專利名稱:傳送方法、傳送系統(tǒng)和終端設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及向終端設(shè)備傳送應(yīng)用軟件����。
背景技術(shù):
具有執(zhí)行Java-AP(Java應(yīng)用)軟件功能的移動單元被廣泛使用�����,這種移動單元執(zhí)行依據(jù)Java(注冊商標)編程語言編寫并通過網(wǎng)絡(luò)下載的程序��。
Java-AP軟件包括Jar(Java文檔)文件和ADF(應(yīng)用描述文件)��。Jar文件包含為用戶提供某Java-AP的程序���。ADF依賴于Jar文件,并包含例如以下信息示出Jar文件存儲位置的URL(下文稱作程序包URL)�����、Jar文件的大小��、Jar文件被改變時的最近日期��、以及其他需要的信息��。
移動單元通過下述的過程下載與所需的Java-AP相關(guān)的軟件�。首先,移動單元從構(gòu)成WWW(萬維網(wǎng))的服務(wù)器單元獲得附屬于所需Java-AP的ADF����。
獲得ADF的移動單元檢查ADF的內(nèi)容和安裝在移動單元中的存儲器的可用容量以確定是否可以在移動單元中安裝附屬于所需Java-AP的Jar文件���。當移動單元確定可以安裝Java-AP軟件時,移動單元通過使用包含在ADF中的程序包URL從構(gòu)成WWW的服務(wù)器單元獲得一包含該Java-AP軟件的Jar文件�。由此,當獲得了Jar文件時�,下載Java-AP軟件的過程完成。以下�,在移動單元中進行下載的Java-AP軟件的安裝,并在需要時起動該Java-AP軟件��。
另外��,當Java-AP軟件被安裝在移動單元中時����,Java-AP的起動比移動單元固有功能(如通信應(yīng)用功能)的起動受到的限制更大。例如���,Java-AP的起動受限于它不能訪問包含在移動單元中的機密數(shù)據(jù)(如電話號碼)��。通過以這種方式施加嚴格的限制�����,可以防止因誤操作Java-AP造成的或蓄意導(dǎo)致的包含在移動單元中的機密數(shù)據(jù)的泄露或篡改���。
然而,對所有的Java-AP一律施加上述限制不能充分滿足移動單元用戶或IP(信息供應(yīng)商)的需要��。例如�����,一些用戶似乎感到只要安全得到保證就可以允許Java-AP查閱存儲在移動單元中的某些私人信息��。另外����,一些IP希望提供更有用的Java-AP,這種Java-AP使用移動單元中存儲的某些私人信息或移動單元所具有的某些功能��。
為滿足這些要求��,提出了一種系統(tǒng)���,其中將授權(quán)Java-AP以更大的靈活性操作的責(zé)任委托給一個可信賴的組織���,例如向移動單元的用戶提供通信服務(wù)的通信供應(yīng)商��。該可信賴的組織向使用Java-AP的移動單元通報操作規(guī)則��,移動單元根據(jù)規(guī)定的規(guī)則限制Java-AP的操作���。在這種系統(tǒng)中,只可委托可信賴的組織來管理對更靈活的Java-AP操作的授權(quán)��。
當上述的系統(tǒng)應(yīng)用于Java-AP軟件的下載過程時��,在ADF或Jar文件中的表明授權(quán)的信息必須被可信賴的組織包括在ADF或Jar文件中���。由于Jar文件被IP根據(jù)需要更新���,因而由IP擁有Jar文件是適合的。然而�����,如果IP擁有Jar文件��,被委托來授權(quán)Java-AP操作的組織不能在同一時間擁有Jar文件�����。因而,優(yōu)選地�����,由該可信賴的組織擁有ADF而不是Jar文件�,而ADF應(yīng)包含表明授權(quán)的數(shù)據(jù)�����。
然而��,由于ADF的內(nèi)容依賴于Jar文件�����,一旦IP更新了Jar文件����,則需要更新該可信賴的組織擁有的ADF。在該階段�,由于可信賴的組織需要管理ADF以排除其它公司的介入,因而由可信賴的組織和IP來協(xié)同更新ADF��。這個過程的缺點是操作繁忙����。另外��,有時例如在對某個Jar文件的訪問溢滿(flood)并且Jar文件被移動到IP的另一個服務(wù)器單元時���,即使沒有更新Jar文件,也需要更新ADF����。在這種情況下,由于Jar文件的存儲位置改變了�����,因而需要改變包含在ADF中的程序包URL�����。然而�����,由于ADF是由可信賴的組織管理的���,并排除了其他代理的介入�,因而ADF的更新操作成為非常繁忙的一種操作。
發(fā)明內(nèi)容
開發(fā)本發(fā)明來克服常規(guī)技術(shù)的所描述的問題��,本發(fā)明的目的是提供一種終端設(shè)備�,其依據(jù)授權(quán)來允許操作;一種系統(tǒng)�,該系統(tǒng)能夠通過傳送相互依賴的多個文件,來傳送實現(xiàn)該應(yīng)用的軟件�����。
本發(fā)明提供了一種傳送方法��,包括用于一傳送系統(tǒng)的過程�����,所述傳送系統(tǒng)包括信息提供服務(wù)器單元�����、管理服務(wù)器單元以及另一信息提供服務(wù)器��,所述信息提供服務(wù)器單元存儲有包含用于實現(xiàn)應(yīng)用的軟件的實體文件(entity file)��,所述管理服務(wù)器單元存儲有安全描述文件���,該安全描述文件含有表明對在終端設(shè)備執(zhí)行軟件時實現(xiàn)的應(yīng)用的授權(quán)的授權(quán)信息���,所述另一信息提供服務(wù)器存儲有內(nèi)容依賴于所述實體文件的應(yīng)用描述文件,所述實體文件的存儲位置和安全描述文件的存儲位置被寫入該應(yīng)用描述文件�;用于在應(yīng)用描述文件的存儲位置被終端設(shè)備通知時,將應(yīng)用描述文件傳送到該終端設(shè)備的過程��;用于終端設(shè)備將包含在從傳送系統(tǒng)傳送的應(yīng)用描述文件中的安全描述文件的存儲位置通知傳送系統(tǒng)的過程�����;用于傳送系統(tǒng)根據(jù)所通知的安全描述文件的存儲位置��,有安全保證地將安全描述文件傳送到終端設(shè)備的過程�����;用于終端設(shè)備將包含在從傳送系統(tǒng)傳送來的應(yīng)用描述文件中的實體文件的存儲位置通知傳送系統(tǒng)的過程���;以及用于傳送系統(tǒng)根據(jù)通知的實體文件的存儲位置向終端設(shè)備傳送實體文件的過程���。
在上述方法中���,當應(yīng)用描述文件的存儲位置被終端設(shè)備通知時,傳送系統(tǒng)向終端設(shè)備傳送應(yīng)用描述文件���;終端設(shè)備將包含在所獲得的應(yīng)用描述文件中的安全描述文件的存儲位置通知傳送系統(tǒng)����;傳送系統(tǒng)根據(jù)所通知的安全描述文件的存儲位置����,有安全保證地向終端設(shè)備傳送安全描述文件;終端設(shè)備將包含在從傳送系統(tǒng)傳送來的應(yīng)用描述文件中的實體文件的存儲位置通知傳送系統(tǒng)����;以及傳送系統(tǒng)根據(jù)通知的實體文件的存儲位置向終端設(shè)備傳送實體文件����。
另外,本發(fā)明提供了一種終端設(shè)備�����,包括通信單元���,用于進行與網(wǎng)絡(luò)中的單元的通信��;存儲單元���;和控制器�,其中所述控制器包括(a)用于使所述通信單元向網(wǎng)絡(luò)中的傳送系統(tǒng)傳送第一傳送請求�,以從該傳送系統(tǒng)中的信息提供服務(wù)器接收應(yīng)用描述文件,并在存儲單元中存儲該應(yīng)用描述文件的裝置����,所述第一傳送請求含有所述應(yīng)用描述文件的存儲位置信息,所述應(yīng)用描述文件含有實體文件的存儲位置信息和安全描述文件的存儲位置信息�,其中該實體文件含有用于實現(xiàn)一應(yīng)用的軟件,該安全描述文件含有表明對通過執(zhí)行該軟件實現(xiàn)的應(yīng)用的授權(quán)的授權(quán)信息��;(b)用于使所述通信單元向所述傳送系統(tǒng)傳送第二傳送請求以接收安全描述文件的裝置�����,所述第二傳送請求含有包含在從所述傳送系統(tǒng)接收的應(yīng)用描述文件中的安全描述文件的存儲位置信息�;(c)用于使所述通信單元向所述傳送系統(tǒng)傳送第三傳送請求以從所述傳送系統(tǒng)中的信息提供服務(wù)器接收實體文件的裝置,所述第三傳送請求含有包含在從所述傳送系統(tǒng)接收的應(yīng)用描述文件中的實體文件的存儲位置信息��;和(d)用于在被命令執(zhí)行存儲在所述存儲器單元中的實體文件內(nèi)包含的軟件時��,依據(jù)包含在與所述實體文件對應(yīng)的安全描述文件中的授權(quán)信息,限制通過執(zhí)行軟件所實現(xiàn)的應(yīng)用的操作的裝置����。
在這種情況下,在終端設(shè)備中��,所述傳送系統(tǒng)通過向終端設(shè)備傳送加密之后的安全描述文件來保證安全����,并且所述終端設(shè)備的控制器可包括用于對由傳送系統(tǒng)傳送來的加密的安全描述文件進行解密的裝置。
另外�����,所述終端設(shè)備的控制器可以利用所述通信單元經(jīng)安全有保證的通信路徑來接收安全描述文件�。
在這種情況下,所述終端設(shè)備的控制器可利用加密的通信接收安全描述文件�。
另外���,所述終端設(shè)備的控制器可利用所述通信單元經(jīng)移動通信網(wǎng)絡(luò)和專用線路接收安全描述文件�。
在這種情況下�,所述終端設(shè)備的控制器可利用加密的通信經(jīng)移動通信網(wǎng)絡(luò)接收安全描述文件。
在優(yōu)選實施例中�����,在所述終端設(shè)備的控制器中用于限制應(yīng)用的操作的裝置可根據(jù)包含在安全描述文件中的授權(quán)信息限制對資源的使用。
在這種情況下�,所述資源可以是所述終端設(shè)備內(nèi)部的硬件資源、所述終端設(shè)備可以使用的終端設(shè)備外部的硬件資源����、所述終端設(shè)備內(nèi)的軟件資源、所述終端設(shè)備可以使用的終端設(shè)備外部的軟件資源�;或所述終端設(shè)備可以使用的網(wǎng)絡(luò)資源。
在優(yōu)選的實施例中����,在所述終端設(shè)備的控制器中用于限制應(yīng)用的操作的裝置可根據(jù)授權(quán)信息確定資源的使用的類型。
在優(yōu)選的實施例中��,提供了一種終端設(shè)備��,其中應(yīng)用描述文件包含向終端設(shè)備提供通信服務(wù)的通信供應(yīng)商的公共密鑰���,其中安全描述文件由通信供應(yīng)商的保密密鑰簽署���,并且其中所述控制器使用包含在應(yīng)用描述文件中公共密鑰檢查從所述傳送系統(tǒng)傳來的安全描述文件的真實性,并僅在真實性被證實時����,向所述傳送系統(tǒng)通知所述實體文件的存儲位置���。
另外,在優(yōu)選的實施例中�,提供了一種終端設(shè)備,其中應(yīng)用描述文件和安全描述文件含有分配給一對應(yīng)應(yīng)用的應(yīng)用標識符�,并且,其中所述控制器將包含在由傳送系統(tǒng)傳送來的應(yīng)用描述文件中的應(yīng)用標識符與包含在由傳送系統(tǒng)傳送來的安全描述文件中的應(yīng)用標識符進行比較���,并僅在兩標識符匹配時�,向所述傳送系統(tǒng)通知所述實體文件的存儲位置�。
另外,所述終端設(shè)備的控制器可以僅在寫入應(yīng)用描述文件的安全描述文件的存儲位置在所述管理服務(wù)器單元內(nèi)時���,才向所述傳送系統(tǒng)通知安全描述文件的存儲位置��。
在優(yōu)選的實施例中��,所述安全描述文件包含時限信息,所述時限信息表明一對應(yīng)應(yīng)用的期滿日期���,并且終端設(shè)備的控制器可以包括執(zhí)行以下操作的裝置通過按時間順序重復(fù)地向傳送系統(tǒng)通知安全描述文件的存儲位置��,而按時間順序從傳送系統(tǒng)重復(fù)接收安全描述文件����;并根據(jù)包含在重復(fù)接收的安全描述文件中的時限信息更新所述應(yīng)用的期滿日期。
在這種情況下�����,所述終端設(shè)備可以僅在安全描述文件是正確地從所述傳送系統(tǒng)傳送來的時候�����,才更新所述應(yīng)用的期滿日期��。
在優(yōu)選的實施例中��,所述終端設(shè)備可以是移動單元��。
另外����,本發(fā)明提供了一種傳送系統(tǒng),包括一個或多個服務(wù)器單元����,其中存儲有實體文件�、安全描述文件和應(yīng)用描述文件�,所述實體文件含有用于實現(xiàn)一應(yīng)用的軟件,所述安全描述文件含有表明對通過執(zhí)行該軟件實現(xiàn)的應(yīng)用的授權(quán)的授權(quán)信息���,應(yīng)用描述文件具有依賴于所述實體文件的內(nèi)容��,在應(yīng)用描述文件中寫入了實體文件和安全描述文件的存儲位置�,其中�����,一個或多個服務(wù)器單元中的一個存儲有安全描述文件的服務(wù)器單元是管理服務(wù)器單元�����,對其給予了管理安全描述文件的授權(quán)��,其中每個服務(wù)器單元包括用于當文件的存儲位置被通知時�����,向通知的始發(fā)者返回一個文件的裝置��,并且,其中當所述安全描述文件的存儲位置被通知時�����,所述管理服務(wù)器單元有安全保證地向通知的始發(fā)者返回安全描述文件����。
圖1的方框圖示出了用于執(zhí)行本發(fā)明的傳送系統(tǒng)的一個實施例的結(jié)構(gòu)�;圖2是示出了該系統(tǒng)固有的ADF的數(shù)據(jù)結(jié)構(gòu)的概念圖;圖3是示出了存儲在該系統(tǒng)中的管理服務(wù)單元中的SDF的數(shù)據(jù)結(jié)構(gòu)的概念圖���;圖4是示出了包含在SDF內(nèi)的策略信息的內(nèi)容的概念圖���;圖5是示出了構(gòu)成該系統(tǒng)的移動單元的結(jié)構(gòu)的方框圖;圖6是示出移動單元的功能結(jié)構(gòu)的概念圖�;圖7是示出移動單元用于下載和安裝Java-AP軟件的過程的流程圖;圖8是示出移動單元用于更新Java-AP軟件的期滿日期的過程的流程圖����;圖9是用于解釋傳送系統(tǒng)的操作的方框圖;圖10的圖示出了在傳送系統(tǒng)中傳送的列表頁���;圖11的圖示出了存儲在構(gòu)成傳送系統(tǒng)的IP服務(wù)器單元中的解釋性文件的內(nèi)容�����;圖12的圖示出了在傳送系統(tǒng)中傳送的解釋性頁�����;圖13的圖示出了存儲在IP服務(wù)器單元中的解釋性文件的內(nèi)容���;圖14的圖示出了在傳送系統(tǒng)中傳送的解釋性頁�����;圖15的圖示出了存儲在構(gòu)成傳送系統(tǒng)的IP服務(wù)器單元13中的解釋性文件的內(nèi)容���;圖16的圖示出了在傳送系統(tǒng)中傳送的解釋性頁;圖17是用于解釋傳送系統(tǒng)的操作的次序圖�����。
圖18是用于解釋傳送系統(tǒng)的操作的次序圖�;圖19是用于解釋傳送系統(tǒng)的操作的次序圖;圖20是用于解釋傳送系統(tǒng)的操作的次序圖����;圖21的圖示出了在移動單元中顯示的圖象���;圖22是用于解釋傳送系統(tǒng)的另一操作的方框圖;圖23是用于解釋傳送系統(tǒng)的另一操作的次序圖�����;圖24的圖示出了執(zhí)行用于詢問SDF的有效性(validity)的過程的移動單元的控制器內(nèi)的結(jié)構(gòu)�����;圖25是示出了詢問SDF的有效性的操作的時序圖��。
具體實施例方式
以下�����,通過參照附圖�����,對作為本發(fā)明的一種方式的傳送系統(tǒng)進行說明�。在附圖中�����,對相同的部分給予相同的代碼。
(1)結(jié)構(gòu)如圖1所示�,在傳送系統(tǒng)中,IP服務(wù)器單元12到14與互聯(lián)網(wǎng)11相連接��。IP服務(wù)器單元12由第一IP(互聯(lián)網(wǎng)供應(yīng)商)管理�,IP服務(wù)器單元13和14由與第一IP不同的第二IP管理。IP服務(wù)器單元12到14構(gòu)成WWW�����,每個具有與通用WWW服務(wù)器單元相似的硬件和功能����。移動分組通信網(wǎng)15是通信供應(yīng)商用來提供移動分組通信服務(wù)的網(wǎng)絡(luò)。移動單元16可以進行與移動分組通信網(wǎng)15的無線電分組通信����。網(wǎng)關(guān)服務(wù)器單元17由管理移動分組通信網(wǎng)15的同一通信供應(yīng)商管理。網(wǎng)關(guān)服務(wù)器單元17是用于連接移動分組通信網(wǎng)15和互聯(lián)網(wǎng)11的單元�,并具有與通用網(wǎng)關(guān)服務(wù)器單元相似的結(jié)構(gòu)。管理服務(wù)器單元18通過專用線路與網(wǎng)關(guān)服務(wù)器單元17連接����。管理服務(wù)器單元18也構(gòu)成WWW,并具有與通用WWW單元相似的硬件和功能�����。網(wǎng)關(guān)服務(wù)器單元17執(zhí)行移動分組通信網(wǎng)15和互聯(lián)網(wǎng)11之間的分組通信、管理服務(wù)器單元18與移動分組通信網(wǎng)15之間的分組通信���、以及管理服務(wù)器單元18與互聯(lián)網(wǎng)11之間的分組通信���。通過使用中繼功能,移動單元16能夠通過移動分組通信網(wǎng)15和互聯(lián)網(wǎng)11進行與IP服務(wù)器單元12到14的分組通信�����。在實際的傳送系統(tǒng)中存在著幾個移動單元���,但只示出了一個移動單元16,以避免使附圖復(fù)雜����。基于同樣的理由���,只示出了IP服務(wù)器單元12到14�。
在傳送系統(tǒng)中�,移動單元16能夠從互聯(lián)網(wǎng)11上的期望站點接收Java-AP軟件�。將移動單元16能夠接收的軟件分為可信任Java-AP和非信任Java-AP��?���?尚湃蜫ava-AP軟件是管理移動分組通信網(wǎng)15的通信供應(yīng)商根據(jù)與管理IP服務(wù)器單元12到14的IP的合同來保證真實性的軟件。非信任Java-AP軟件是除了可信任Java-AP軟件之外的任何Java-AP軟件��。
管理服務(wù)器單元18存儲附屬于在傳送系統(tǒng)中傳送的各可信任Java-AP軟件的各個SDF(安全描述文件)����。SDF是管理移動分組通信網(wǎng)15的通信供應(yīng)商產(chǎn)生的文件,并且是用于將使用移動單元的可信任API(應(yīng)用程序接口)的Java-AP軟件下載到移動單元所必須的文件�。可信任API將在后面解釋����。如圖3所示,SDF包含用于檢測可信任Java-AP軟件的APID���、策略信息和期滿日期�����。這些信息由通信供應(yīng)商的保密密鑰加密�。策略信息是表明對移動單元16中的可信任Java-AP的操作的限制的信息。后面將詳細解釋策略信息和根據(jù)策略信息執(zhí)行的對Java-AP的操作的限制����。
在本實施例中,當發(fā)送了要求傳送移動單元16所需的可信任Java-AP軟件的請求時�,將與可信任Java-AP軟件對應(yīng)的ADF從IP服務(wù)器單元12-14中的一個傳送到移動單元16。在該階段���,在可信任Java-AP軟件的ADF中含有表明Jar文件位置的URL��、表明與可信任Java-AP軟件對應(yīng)的SDF的位置的URL���、和與用于加密SDF的保密密鑰配對的公共鑰匙����。在接收ADF之后,移動單元16通過使用ADF中的URL獲得SDF��,并使用ADF中的公共密鑰解密SDF����。然后,移動單元16通過使用包含在ADF中的Jar文件的URL最終獲得Jar文件����。以下�,當在移動單元16中執(zhí)行可信任Java-AP軟件時�,根據(jù)SDF限制可信任Java-AP的操作。這是本實施例的一個特征��。如圖1所示����,經(jīng)移動分組通信網(wǎng)15以及由專用線路連接的管理服務(wù)器單元18和網(wǎng)關(guān)服務(wù)器單元17完成SDF的傳送。
以下���,將解釋傳送系統(tǒng)的各組成部分的結(jié)構(gòu)及相關(guān)特性�。
IP服務(wù)器單元12�、13和14分別帶有固定存儲器12A、13A和14A��。
固定存儲器12A�����、13A和14A是固定存儲器(如硬盤)����,并存儲由Jar文件和ADF構(gòu)成的Java-AP軟件以及說明用于移動單元用戶的Java-AP軟件的內(nèi)容的解釋性文件���。
存儲在固定存儲器12A、13A和14A中的各Java-AP軟件可以是可信任Java-AP軟件或非信任Java-AP軟件����。不管Java-AP是可信任Java-AP還是非信任Java-AP,在Java-AP軟件的各ADF中都寫有例如以下信息示出Jar文件在WWW中的存儲位置的程序包URL��、示出Jar文件大小的信息���、和示出最近更新日期的信息���。這些信息是公知寫入Java-AP軟件的ADF中的項目。另外��,如圖2所示���,可信任Java-AP軟件的ADF包含可信任Java-AP的APID、Jar文件的哈希值(hash value)���、表明SDF在WWW中的存儲位置的URL(以下稱為SDF-URL)�、以及與用于加密SDF的保密密鑰配對的公共密鑰。在該階段���,將公共密鑰作為證書頒發(fā)給其真實性得到CA(認證代理)證實的通信供應(yīng)商����。
另外���,解釋性文件是依據(jù)HTML編寫的文本文件�。當下載某Java-AP軟件時����,移動單元需要預(yù)先下載與Java-AP軟件對應(yīng)的解釋性文件。解釋性文件包含用于形成UI(用戶界面)的信息���,該UI用于從用戶接收下載Java-AP軟件的命令��。移動單元16依據(jù)該信息顯示UI屏幕�����。用戶可以在UI屏幕上對移動單元16進行操作�,來指定表明期望的Java-AP的對象��。以這種方式為用戶指定的對象編寫解釋性文件,以對應(yīng)于表明(與作為下載對象的Java-AP軟件對應(yīng)的)ADF在WWW中的位置的URL��。
IP服務(wù)器單元12到14中的每一個具有依據(jù)IP的命令產(chǎn)生和更新上述各個文件的功能����。
管理服務(wù)器單元18配備有固定存儲器18A(如硬盤)。管理服務(wù)器單元18與對方(party)建立TCP連接��。當管理服務(wù)器單元18經(jīng)TCP連接從對方接收到一個使用HTTP的GET方法的請求消息時�,管理服務(wù)器單元18從固定存儲器18A中讀出由GET方法指定的URL所標識的文件,返回一個含有該文件的HTTP響應(yīng)消息���,并斷開連接�����。
另外�,在上述的固定存儲器18A中存儲有向移動單元16的用戶介紹可下載的Java-AP軟件的列表文件200����,和與列表文件200中列舉的各Java-AP軟件對應(yīng)的各SDF。
已經(jīng)參照圖3解釋了SDF���。
列表文件200是依據(jù)HTML編寫的文本文件。正如已經(jīng)解釋的那樣,當移動單元需要下載某Java-AP軟件時����,需要獲得與Java-AP軟件相關(guān)的解釋性文件。正如已經(jīng)解釋的����,移動單元16可以通過訪問存儲有解釋性文件的IP服務(wù)器單元直接獲得解釋性文件。然而�����,在本實施例中���,移動單元16還可以通過與上述的直接方法相對的下列過程獲得所需的Java-AP軟件的解釋性文件����。首先����,通過訪問管理服務(wù)器單元18,移動單元16獲得列表文件200����,并相應(yīng)地顯示UI屏幕��。用戶可以對移動單元16進行操作����,以在UI屏幕上指定表明所需Java-AP的對象�����。列表文件200將用戶指定的對象與表明Java-AP軟件(下載對象)的解釋性文件在WWW中的位置的URL相匹配���。移動單元16通過使用經(jīng)列表文件200獲得的URL從IP服務(wù)器單元獲得解釋性文件���。
如圖5所示,移動單元16包括OS(操作系統(tǒng))軟件��;ROM 16A����,其中存儲了用于建立執(zhí)行Java-AP的環(huán)境的Java-AP環(huán)境軟件和幾類固有AP軟件;CPU 16B��,與ROM 16A連接���,用于從ROM 16A中讀出程序并執(zhí)行該程序���;顯示單元16C��,與CPU 16B相連接;固定存儲器16D���;RAM 16E����;通信單元16F��;和操作單元16G���。
例如���,顯示單元16C具有液晶顯示屏,并把CPU 16B提供的數(shù)據(jù)顯示為圖像���。例如����,固定存儲器16D是SRAM(靜態(tài)存儲器)或EEPROM(電可擦除只讀存儲器)�,并且數(shù)據(jù)由CPU 16B讀寫�。固定存儲器16D用于存儲從構(gòu)成WWW的服務(wù)器單元(以下稱作網(wǎng)頁服務(wù)器單元)下載的Java-AP軟件和SDF�。如已經(jīng)解釋的,在本實施例中�����,使用術(shù)語“Java-AP軟件”來指代“可信任Java-AP軟件”和“非信任Java-AP軟件���?�!比欢?��,在某個環(huán)境下,術(shù)語“Java-AP軟件”可能指代“可信任Java-AP軟件�����?��!痹谶@樣的環(huán)境下����,術(shù)語“Java-AP軟件”應(yīng)該解釋為一個含有ADF��、SDF和Jar的概念。另外��,在某個環(huán)境下���,術(shù)語“Java-AP軟件”可能指代“非信任Java-AP軟件”����。在這樣的環(huán)境下��,術(shù)語“Java-AP軟件”應(yīng)該解釋為一個含有ADF和Jar的概念���。
通信單元16F進行與移動分組通信網(wǎng)15的無線電分組通信,并在CPU 16B和移動分組通信網(wǎng)15之間中轉(zhuǎn)分組����。另外,除天線或無線電傳送和接收單元之外���,通信單元16F還裝備有用于通信的CODEC(編解碼器)��、麥克風(fēng)�、揚聲器等��。因而,利用通信單元16F��,移動單元16可通過電路切換經(jīng)移動通信網(wǎng)絡(luò)(未示出)進行通信����。操作單元16G具有操作控制器,并依據(jù)由操作控制器進行的操作向CPU 16B提供信號�。定時器單元16H記錄當前日期和時間(以下僅稱為當前日期和小時)。為使定時器單元16H更精確地記錄當前日期和小時����,可使當前日期和小時與由分組通信網(wǎng)絡(luò)15的基站(未示出)通過控制信道周期性通告的當前日期和小時同步。
CPU 16B是依據(jù)存儲在ROM 16A中的幾種程序控制整個移動單元16的單元����。當開關(guān)(未示出)導(dǎo)通時,CPU 16B從ROM 16A讀出圖6的OS并利用RAM 16E作為工作區(qū)來執(zhí)行�����。CPU 16依據(jù)OS提供例如UI的功能���。OS根據(jù)操作單元16G提供的信號和UI的狀態(tài)識別用戶的命令�����,并依據(jù)命令進行處理�。
當用戶的命令請求起動通信軟件(其為固有AP軟件)時,OS起動通信軟件���,并在移動單元16中執(zhí)行通信AP����。通過使用通信AP���,用戶可以與對方通信����。
當用戶的命令請求起動電話簿AP(其為固有AP軟件)時,OS起動電話簿軟件�,并在移動單元16中執(zhí)行電話簿AP。通過使用電話簿AP���,用戶能查閱���、使用、和改變存儲在固定存儲器16D中的電話簿的內(nèi)容(以下稱為電話簿數(shù)據(jù))。
當用戶的命令請求起動網(wǎng)頁瀏覽器軟件(其為固有AP軟件)時����,OS起動網(wǎng)頁瀏覽器軟件,并在移動單元16中執(zhí)行網(wǎng)頁瀏覽器�����。網(wǎng)頁瀏覽器提供UI�����。然后����,當用戶通過操作操作單元16G給出命令時,網(wǎng)頁瀏覽器根據(jù)UI的狀態(tài)和操作單元16G提供的信號識別用戶命令���,并依據(jù)該命令執(zhí)行處理���。例如,當命令是從WWW獲得指定文件時���,通過操作通信單元16F��,建立與其中存儲有該文件的網(wǎng)頁服務(wù)器單元的TCP連接��,利用表明所指定位置的URL傳送一個使用GET方法的HTTP請求消息�����,接收與請求消息對應(yīng)的響應(yīng)消息���,并切斷連接����。此外����,網(wǎng)頁瀏覽器依據(jù)HTML解釋包含在已接收的響應(yīng)消息中的文件,產(chǎn)生含有網(wǎng)頁的UI�����,并提供給用戶�。另外���,當用戶發(fā)送用于下載Java-AP軟件的命令時����,網(wǎng)頁瀏覽器向JAM(Java應(yīng)用管理器)通知該命令。具體地���,在網(wǎng)頁中�����,通過單擊或按壓����,當指定了被規(guī)定了對象標記的錨定標記(anchor tag)時����,網(wǎng)頁瀏覽器提取作為對象標記的數(shù)據(jù)屬性而規(guī)定的URL,并向JAM通知已請求按URL下載Java-AP軟件���。
當用戶的命令請求起動JAM軟件(其為固有AP軟件)時��,OS起動JAM軟件��,并在移動單元16中執(zhí)行JAM����。JAM向用戶展示安裝在移動單元16中的Java-AP軟件的列表,并起動用戶指定的Java-AP軟件�����。具體地���,當對JAM的用戶命令請求起動Java-AP軟件時���,起動Java-AP環(huán)境軟件,并在移動單元16中執(zhí)行Java-AP環(huán)境�。然后,起動指定的Java-AP軟件�,并在Java-AP環(huán)境中執(zhí)行Java-AP。Java-AP環(huán)境包含KVM和為Java-AP提供的API�����,KVM是適于移動終端(cellular terminal)的輕量Java虛擬機�。將對Java-AP提供的API分為可信任API和允許任何Java-AP使用的非信任API?����?尚湃蜛PI是只有由通信供應(yīng)商根據(jù)與IP的合同保證了可信性(trustworthiness)的Java-AP(以下稱作信任AP)才能使用的API�。
(2)操作以下,解釋本實施例的操作����。
(2-1)通過移動單元16下載Java-AP軟件當由網(wǎng)頁瀏覽器通知了請求下載Java-AP的命令時,JAM進行用于將Java-AP軟件下載到移動單元16并安裝的處理��。圖7示出了該處理的流程����。在圖7中,省略了移動單元16獲得解釋性文件的過程��。由于獲得解釋性文件的過程存在不同的模式�����,后面將結(jié)合該操作的特定示例解釋該過程�。如圖7所示,JAM首先確定是否請求了下載Java-AP軟件(步驟S11)��。然后���,當網(wǎng)頁瀏覽器通知了用于請求下載Java-AP軟件的命令時���,從IP服務(wù)器單元12-14中的任一個獲得與Java-AP軟件對應(yīng)的ADF(步驟S12)�����。更具體地���,JAM建立與IP服務(wù)器單元12-14中任何一個存儲有ADF的單元的TCP連接,產(chǎn)生并傳送一個請求傳送ADF的請求消息��,并在接收到對請求消息的響應(yīng)消息并獲得ADF之后斷開TCP連接��。然后���,JAM將含在響應(yīng)消息中的ADF寫入固定存儲器16D����。
然后���,JAM根據(jù)ADF的內(nèi)容確定是否可以在移動單元16中安裝將被下載的Java-AP軟件(步驟S13)�。在該階段�,可以利用常規(guī)的方法,例如將寫在ADF中的Jar文件的大小和可存儲Jar文件的固定存儲器16D的可用容量進行比較來確定是否可能安裝��。
在該階段�����,當確定可能安裝時(步驟S13�;是),JAM確定將被下載的Java-AP軟件是否是可信任Java-AP軟件(步驟S14)���。更具體地����,JAM確認是否將SDF-URL寫入步驟S12獲得的ADF中��,并在寫入了SDF-URL時����,確定存在與Java-AP軟件對應(yīng)的SDF。換句話說�����,JAM確定Java-AP軟件是可信任Java-AP軟件����。另一方面,當沒有寫入SDF-URL時����,JAM確定Java-AP軟件是非信任Java-AP軟件��。
然后�,當確定將被下載的Java-AP軟件為非信任Java-AP時(步驟S14�����;否)�����,執(zhí)行下載和安裝的常規(guī)處理(步驟S15)���。
另一方面����,當確定將被下載的Java-AP軟件為可信任Java-AP時(步驟S14�;是),JAM從管理服務(wù)器單元18獲得與軟件對應(yīng)的SDF(步驟S16)�����。換句話說,JAM建立與管理服務(wù)器單元18的TCP連接�,產(chǎn)生并傳送一個要求管理服務(wù)器單元18傳送存儲在由寫入ADF中的SDF-URL示出的位置上的SDF的請求消息,并在接收到對于該請求消息的響應(yīng)消息并獲得SDF之后斷開上述連接��。
如上所述��,與可信任Java-AP軟件對應(yīng)的SDF包含APID��、策略信息���,和期滿日期。另外��,還利用通信供應(yīng)商的保密密鑰對SDF簽署(加密)��。然后�,JAM使用從已經(jīng)獲得的ADF中提取的公共密鑰來檢查(解密)包含在響應(yīng)消息中的SDF的簽名(signature),并確定SDF的真實性(步驟S17)�。當真實性得到證實時(步驟S17;是)��,JAM將SDF寫入固定存儲器16D��。
然后���,JAM將含在SDF中的APID和含在已經(jīng)獲得的ADF中的APID進行比較����,并確定這兩個APID是否匹配(步驟S18)。
當確定這兩個APID匹配時(步驟S18���;是)�����,JAM獲得Jar文件(步驟S19)�。更具體地����,JAM建立與IP服務(wù)器12-14中的任一個存儲有由包含在ADF中的程序包URL所標識的Jar文件的IP服務(wù)器的TCP連接;產(chǎn)生和傳送一個請求傳送Jar文件的請求消息���;接收對于該請求消息的響應(yīng)消息�;獲得Jar文件�����;并斷開TCP連接�。
然后����,JAM計算所獲得的Jar文件的哈希值(步驟S20)����。雖然可以使用任何哈希函數(shù)來計算哈希值,但在移動單元16中使用的哈希函數(shù)和用于計算含在ADF中的哈希值的哈希函數(shù)必須相同����。實際上����,提供可信任Java-AP軟件的IP利用移動單元16中使用的哈希函數(shù)來計算哈希值,并產(chǎn)生ADF�。
JAM將計算出的哈希值和從ADF中提取的哈希值進行比較,并在哈希值匹配時(步驟S21�����;是)��,將獲得的Jar文件寫入固定存儲器16D�����,執(zhí)行與可信任Java-AP軟件的安裝相關(guān)的幾種處理(步驟S22),并通知用戶已成功安裝(步驟S23)���。
以下��,當執(zhí)行可信任Java-AP軟件時�,JAM監(jiān)測可信任Java-AP的操作��,并限制可信任API的使用����。依據(jù)存儲在固定存儲器16D中的SDF中的策略信息進行該限制。
當確定Java-AP軟件不能安裝(步驟S13��;否)�����、確定SDF不真實(步驟S17�����;否)��、SDF的APID和ADF的APID不匹配(步驟S18�����;否)、或計算出的哈希值和ADF中的哈希值不匹配(步驟S21�;否)時,JAM通知用戶安裝已失敗���,并將移動單元16的狀態(tài)返回到步驟S11或步驟S11之前��。
(2-2)由移動單元16更新SDF在包含在對應(yīng)的SDF中的期滿日期到期之前�,移動單元16可以執(zhí)行可信任Java-AP軟件��。當期滿日期需要更新時�,移動單元16需要從管理服務(wù)器單元18獲得新的SDF��。以下���,參照圖8所示的流程圖���,解釋在每當SDF中的期滿日期期滿時,JAM更新期滿日期的過程���。
如圖8所示�����,JAM連續(xù)監(jiān)測由移動單元16中的定時器單元16H記錄的當前日期和小時�����,以及從迄今為止所獲得并存儲在固定存儲器16D中的所有SDF中提取的多個期滿日期�;并確定是否已達到了期滿日期(步驟S31)。
當任何一個達到期滿日期時(步驟S31����;是),JAM在顯示單元16C上顯示一個帶有已達到期滿日期的Java-AP軟件的名稱的消息���,以詢問用戶是否更新該期滿日期��,并等待�����,直到用戶完成必需的操作�����。
當用戶命令更新期滿日期時����,JAM解釋該命令的內(nèi)容(步驟S32;是)��,并從管理服務(wù)器單元18獲得與期滿日期應(yīng)被更新的Java-AP軟件對應(yīng)的SDF(步驟S33)�。更具體地,JAM查閱固定存儲器16D的存儲器內(nèi)容���;提取含在下述ADF中的SDF-URL����,該ADF包含其期滿日期應(yīng)被更新的Java-AP軟件的APID���;產(chǎn)生并傳送一個請求消息以請求管理服務(wù)器單元18傳送存儲在SDF-URL示出的位置的SDF���;并在接收到該請求消息的響應(yīng)消息并獲得SDF之后斷開上述連接然后���,JAM確定通過使用上述SDF-URL是否獲得了SDF(步驟S34)����。在該階段�����,在通信供應(yīng)商不能在管理服務(wù)器18中的上述SDF-URL示出的位置存儲SDF,或通信供應(yīng)商因特定原因想要停止或不繼續(xù)使用Java-AP軟件的情況下�,不能獲得SDF。需要停止或不繼續(xù)使用Java-AP軟件的原因可能是由于與IP有關(guān)的環(huán)境(例如�����,用戶僅會在一定時間內(nèi)嘗試傳送軟件)���,或如果IP和通信供應(yīng)商之間的合同已期滿���。
當JAM成功獲得SDF時(步驟S34;是)���,JAM使用含在已經(jīng)獲得的ADF中的公共密鑰來檢查(解密)SDF的簽名�,并確定SDF的真實性(步驟S35)����。
當真實性得到證實時(步驟S35;是)����,JAM將包含在SDF中的APID和包含在已經(jīng)獲得的ADF中的APID進行比較�,確定這兩個APID是否匹配(步驟S36)�。當確定這兩個APID匹配時(步驟S36;是)����,JAM用獲得的SDF覆蓋已經(jīng)寫入固定存儲器16D的以前的SDF,并以這種方式更新期滿日期��。
在確定用戶的操作不更新期滿日期時(步驟S32�;否);當不能獲得SDF時(步驟S34��;否)���;當確定SDF不真實時(步驟S35;否)�;或當SDF的APID和ADF的APID不匹配時(步驟S36;否)�����,JAM通知用戶將不更新期滿日期�����,并使移動單元16返回到步驟S31或其之前的狀態(tài)����。
(3)具體操作接著,解釋上述系統(tǒng)的操作��。
在下面解釋的操作中�����,TCP連接的建立和斷開操作是HTTP的通用操作�;因此,省略該解釋���。另外�����,由OS����、網(wǎng)頁瀏覽器�、JAM、Java-AP,固有AP等進行的上述操作是移動單元16的操作�����;因此��,在下面的解釋中����,執(zhí)行操作的主要單元是移動單元16。
另外�,如圖9所示,在管理服務(wù)器單元18的固定存儲器18A中存儲列表文件200和SDF 204�。列表文件200和SDF 204由通信供應(yīng)商依據(jù)管理IP服務(wù)器單元13和IP服務(wù)器單元14的IP和管理管理服務(wù)器單元18的通信供應(yīng)商之間的合同產(chǎn)生。
在該階段�,編寫列表文件200,以在移動單元16對其進行解釋和執(zhí)行時�����,產(chǎn)生如圖10所示的列表頁201���。另外�,編寫列表文件200����,以在構(gòu)成列表頁201的選項201A被點擊(單擊或按壓)時,產(chǎn)生一個含有作為GET方法的參數(shù)的解釋性文件202(將隨后解釋)的URL(“http//www.main.bbb.co.jp/ghi.html”)的請求消息��。并且����,編寫列表文件200,以在構(gòu)成列表頁201的選項201B被點擊(單擊或按壓)時��,產(chǎn)生一個含有作為GET方法的參數(shù)的解釋性文件207(將隨后解釋)的URL(“http//www.ccc.co.jp/jkl.html”)的請求消息����。
另外,SDF 204包含使用通信供應(yīng)商的保密密鑰簽署的作為APID的“0001”����、作為策略信息的圖4示出的信息,以及作為期滿日期的“2002年10月1日上午10:00”���。
另外��,在IP服務(wù)器單元12的固定存儲器12A中存儲與標題為“tsume-shogi”的Java-AP軟件(以下稱為本實施例第一非信任Java-JP軟件)對應(yīng)的解釋性文件211����、ADF 213、和Jar文件214�����。解釋性文件211��、ADF 213�����、和Jar文件214由管理IP服務(wù)器單元12的IP產(chǎn)生��。關(guān)于這些文件�,解釋性文件211的內(nèi)容在圖11示出,所編寫解釋性文件211在由移動單元16解釋和執(zhí)行時產(chǎn)生圖12所示的解釋性頁212����。另外,ADF 213包含作為程序包URL的Jar文件214的URL(“http//www.ccc.co.jp/shogi.jar”)�����。
另外����,在IP服務(wù)器單元12的固定存儲器12A中存儲與標題為“horoscope”的Java-AP軟件(以下稱為本實施例的第二非信任Java-AP軟件)對應(yīng)的解釋性文件207���、ADF 209和Jar文件210。解釋性文件207�、ADF 209和Jar文件210由管理IP服務(wù)器單元12的IP產(chǎn)生。關(guān)于這些文件�����,解釋性文件207的內(nèi)容在圖13示出�����,所編寫的解釋性文件207在由移動單元16解釋和執(zhí)行時����,產(chǎn)生圖14所示的解釋性頁208�����。另外�����,ADF 209包含作為程序包URL的Jar文件210的URL(“http//www.ccc.co.jp/horoscope.jar”)����。
上述第一非信任Java-AP軟件和第二非信任Java-AP軟件的不同在于���,有關(guān)第二非信任Java-AP軟件的信息已注冊在列表文件200中,而有關(guān)第一非信任Java-AP軟件的信息沒有注冊�。
另外,在IP服務(wù)器單元13的固定存儲器13A中存儲著與標題為“電話號碼簿查看器”的Java-AP軟件(以下稱為本實施例的可信任Java-AP軟件)對應(yīng)的解釋性文件202�、ADF 205、和Jar文件206���。解釋性文件202�、ADF 205�����、和Jar文件206由管理IP服務(wù)器單元13和IP服務(wù)器單元14的IP產(chǎn)生���。關(guān)于這些文件����,解釋性文件202的內(nèi)容在圖15示出�,所編寫的解釋性文件202在由移動單元16解釋和執(zhí)行時,產(chǎn)生圖16所示的解釋性頁203��。ADF 205包含作為APID的“0001”、作為哈希值的Jar文件206的哈希值�、作為程序包URL的Jar文件206的URL(“http//www.main.bbb.co.jp/viewer.jar”)、作為SDF-URL的SDF 204的URL(http//www.aaa.co.jp/viewer.sdf”)�、以及通信供應(yīng)商的公共密鑰。另外��,移動單元16處于各上述Java-AP軟件都可以安裝的狀態(tài)��。
(3-1)安裝操作首先����,參照上述的各Java-AP軟件解釋在移動單元16中安裝Java-AP軟件的操作��。
(3-1-1)第一非信任Java-AP軟件當用戶通過操作移動單元16試圖獲得解釋性文件211時�����,第一非信任Java-AP軟件的安裝操作開始�����。結(jié)果�����,在移動單元16中產(chǎn)生一個含有作為GET方法參數(shù)的解釋性文件211的URL(“http//www.ccc.co.jp/mno.html”)的請求消息tm 12。如圖17所示��,請求消息tm 12由移動單元16傳送并由IP服務(wù)器單元12接收���。
在IP服務(wù)器單元12中����,響應(yīng)請求消息tm 12的內(nèi)容���,產(chǎn)生一個含有解釋性文件211的響應(yīng)消息tm 13����。響應(yīng)消息tm 13由IP服務(wù)器單元12傳送�,并由移動單元16接收。在移動單元16中���,向用戶提供與解釋性文件211的內(nèi)容對應(yīng)的UI�����。結(jié)果��,在顯示單元16C中顯示例如如圖12所示的解釋性頁212�。
當用戶看到解釋性頁212,并操作移動單元16來點擊解釋性頁212中的錨定標記(anchor)212A時�,作為寫在圖11的解釋性文件211中的錨定標記(以“<A”開始的標記)的ijam屬性指定的值標識出作為移動單元16中的id屬性指定的對象標記(以“<OBJECT”開始的標記)。然后�,提取作為對象標記的數(shù)據(jù)屬性指定的URL(“http//www.ccc.co.jp/shogi.jam”),并產(chǎn)生一個請求傳送由該URL標識的ADF 213的請求消息tm16�。請求消息tm16從移動單元16傳送,并由IP服務(wù)器單元12接收�����。
在IP服務(wù)器單元12中��,產(chǎn)生包含與請求消息tm16的內(nèi)容對應(yīng)的ADF 213的響應(yīng)消息tm17��。響應(yīng)消息tm17從IP服務(wù)器單元12傳送�����,并由移動單元16接收��。
在移動單元16中��,根據(jù)ADF 213的內(nèi)容�����,確定是否可以安裝第一非信任Java-AP軟件�����。如上所述�����,由于移動單元16處于可以安裝非信任Java-AP軟件的狀態(tài)���,因而確定可在移動單元16中安裝第一非信任Java-AP軟件���。
然后,在移動單元16中�����,將ADF 213寫入固定存儲器16D�����。另外�����,在移動單元16中,從ADF 213中提取程序包URL(“http//www.ccc.co.jp/shogi.jar”)����,并產(chǎn)生一個請求傳送由程序包URL標識的Jar文件214的請求消息tm 18。請求消息tm 18由移動單元16傳送��,并由IP服務(wù)器單元12接收����。
在IP服務(wù)器單元12中,響應(yīng)于請求消息tm 18的內(nèi)容�,產(chǎn)生含有Jar文件214的響應(yīng)消息tm 19。響應(yīng)消息tm 19由IP服務(wù)器單元12傳送���,并由移動單元16接收�����。在移動單元16中,將Jar文件214以可被起動的狀態(tài)寫入固定存儲器16D�����,并完成了第一非信任Java-AP軟件的安裝。
當確定移動單元16中不能安裝第一非信任Java-AP軟件時����,移動單元16回到開始獲得ADF 213之前的狀態(tài)。
(3-1-2)第二非信任Java-AP軟件當用戶通過操作移動單元16試圖獲得解釋性文件207或列表文件200時��,第二非信任Java-AP軟件的安裝操作開始����。由試圖獲得解釋性文件207開始的操作是由試圖獲得列表文件200開始的操作的子集,因而�,下文只解釋由試圖獲得列表文件200開始的操作。
如圖18所示�����,在移動單元16中����,產(chǎn)生一個含有作為GET方法的參數(shù)的列表文件200的URL(“http//www.aaa.co.jp/def.html”)的請求消息tm 20。請求消息tm 20由移動單元16傳送�,并由管理服務(wù)器單元18接收。
在管理服務(wù)器單元18中���,響應(yīng)于請求消息tm 20的內(nèi)容��,產(chǎn)生含有列表文件200的響應(yīng)消息tm 21����。響應(yīng)消息tm 21由管理服務(wù)器單元18傳送,并由移動單元16接收���。在移動單元16中����,當接收了響應(yīng)消息tm 21時����,依據(jù)HTML解釋響應(yīng)消息tm 21中的列表文件200,并向移動單元16的用戶提供與列表文件200的內(nèi)容對應(yīng)的UI�。結(jié)果,在移動單元16的顯示單元16C中�,顯示了例如圖10所示的列表頁201。
用戶看到列表頁201之后��,操作移動單元16����,點擊列表頁201中的選項201B時���,產(chǎn)生一個包含作為GET方法參數(shù)的與選項201B對應(yīng)的URL(“http//www.ccc.co.jp.jkl.html”)的請求消息tm 22����。請求消息tm22由移動單元16傳送,并由IP服務(wù)器單元12接收��。
在IP服務(wù)器單元12中�����,響應(yīng)于請求消息tm 22的內(nèi)容��,產(chǎn)生含有解釋性文件207的響應(yīng)消息tm 23�。響應(yīng)消息tm 23由IP服務(wù)器單元12傳送,并由移動單元16接收����。在移動單元16中,向用戶提供與解釋性文件207的內(nèi)容對應(yīng)的UI���。結(jié)果��,在顯示單元16C中����,顯示例如如圖14所示的解釋性頁208。
用戶看到解釋性頁208之后�����,當操作移動單元16來點擊解釋性頁208中的錨定標記208A時���,作為寫入圖13的解釋性文件207中的錨定標記(以“<A”開始的標記)的ijam屬性指定的值標識出作為id屬性指定的對象標記(以“<OBJECT”開始的標記)�。然后����,提取作為對象標記的數(shù)據(jù)屬性指定的URL(“http//www.ccc.co.jp/horoscope.jam”),并產(chǎn)生一個請求傳送由該URL標識的ADF 209的請求消息tm 26�����。請求消息tm 26從移動單元16傳送���,并由IP服務(wù)器單元12接收��。
在IP服務(wù)器單元12中�����,產(chǎn)生包含與請求消息tm 26的內(nèi)容對應(yīng)的ADF 209的響應(yīng)消息tm 27����。響應(yīng)消息tm 27由IP服務(wù)器單元12傳送�,并由移動單元16接收。
在移動單元16中���,根據(jù)ADF 209的內(nèi)容�,確定是否可以安裝第二非信任Java-AP軟件�。如上所述,由于移動單元16處于可以安裝第二非信任Java-AP軟件的狀態(tài)�,因而確定可在移動單元16中安裝第二非信任Java-AP軟件。
然后����,在移動單元16中,將ADF 209寫入固定存儲器16D�����。另外��,在移動單元16中�����,從ADF 209中提取程序包URL(“http//www.ccc.co.jp/horoscope.jar”),并產(chǎn)生一個請求傳送由該程序包URL標識的Jar文件210的請求消息tm28���。請求消息tm28由移動單元16傳送���,并由IP服務(wù)器單元12接收。
在IP服務(wù)器單元12中�,響應(yīng)于請求消息tm 28的內(nèi)容,產(chǎn)生含有Jar文件210的響應(yīng)消息tm 29��。響應(yīng)消息tm 29由IP服務(wù)器單元12傳送�,并由移動單元16接收。在移動單元16中�,將Jar文件210寫入固定存儲器16D,并完成第二非信任Java-AP軟件的安裝����。
當確定移動單元16中不能安裝第二非信任Java-AP軟件時,移動單元16回到開始獲得ADF 209前的狀態(tài)�。
(3-1-3)可信任Java-AP軟件當用戶通過操作移動單元16試圖獲得解釋性文件202或列表文件200時,可信任Java-AP軟件的安裝操作開始��。由試圖獲得解釋性文件202開始的操作是由試圖獲得列表文件200開始的操作的子集�,因而,省略了由試圖獲得解釋性文件202開始的操作。
如圖19所示���,在由試圖獲得列表文件200開始的操作中���,執(zhí)行與圖18所示的操作相同的操作,直到移動單元16接收響應(yīng)消息tm 21之后����,顯示例如圖10所示的列表頁201����。在用戶見到列表201之后,操作移動單元16����,點擊列表頁201中的選項201A時,在移動單元16中產(chǎn)生一個包含作為GET方法參數(shù)的與選項201A對應(yīng)的URL(“http//www.main.bbb.co.jp/ghi.html”)的請求消息tm32���。請求消息tm32由移動單元16傳送�����,并由IP服務(wù)器單元13接收����。
在IP服務(wù)器單元13中,響應(yīng)于請求消息tm32的內(nèi)容����,產(chǎn)生含有解釋性文件202的響應(yīng)消息tm33。響應(yīng)消息tm33由IP服務(wù)器單元13傳送�,并由移動單元16接收。在移動單元16中�����,向用戶提供與解釋性文件202的內(nèi)容對應(yīng)的UI��。結(jié)果����,在顯示單元16C中,顯示例如如圖16所示的解釋性頁203�。
用戶看到解釋性頁203之后,當操作移動單元16來點擊解釋性頁203中的錨定標記203A時����,作為寫入圖15的解釋性文件202中的錨定標記(以“<A”開始的標記)的ijam屬性指定的值標識出作為id屬性指定的對象標記(以“<OBJECT”開始的標記)。然后����,提取作為對象標記的數(shù)據(jù)屬性指定的URL(“http//www.main.bbb.co.jp/viewer.jam”)����,并產(chǎn)生一個請求傳送由URL標識的ADF的請求消息tm34��。請求消息tm34由移動單元16傳送�,并由IP服務(wù)器單元13接收。在IP服務(wù)器單元13中��,產(chǎn)生含有與請求消息tm34的內(nèi)容對應(yīng)的ADF 205的響應(yīng)消息tm35�。響應(yīng)消息tm 35由IP服務(wù)器單元13傳送��,并通過網(wǎng)關(guān)服務(wù)器單元17和分組通信網(wǎng)絡(luò)15由移動單元16接收�����。
在移動單元16中���,將ADF 205寫入固定存儲器16D中�,并根據(jù)ADF205的內(nèi)容�����,確定可信任Java-AP軟件是否可以安裝。如上所述�����,由于移動單元16處于可以安裝可信任Java-AP軟件的狀態(tài)��,因而確定可在移動單元16中安裝可信任Java-AP軟件����。
然后,在移動單元16中����,產(chǎn)生一個請求傳送由包含在ADF 205中的SDF-URL(“http//www.aaa.co.jp/viewer.sdf”)標識的SDF 204的請求消息tm 36。請求消息tm 36從移動單元16傳送��,并由管理服務(wù)器單元18接收�。
在管理服務(wù)器單元18中,產(chǎn)生含有與請求消息tm 36的內(nèi)容對應(yīng)的SDF 204的響應(yīng)消息tm 37����。響應(yīng)消息tm 37從管理服務(wù)器單元18傳送,并通過網(wǎng)關(guān)服務(wù)單元17和移動分組通信網(wǎng)15由移動單元16接收����。在該階段�����,管理服務(wù)器單元18和網(wǎng)關(guān)服務(wù)器單元17之間的通信路徑是專用線路��,并且由于網(wǎng)關(guān)服務(wù)器單元17直接連接到安全性有保證的移動分組通信網(wǎng)15�����,因而在SDF 204由移動單元16接收之前����,SDF 204不能被篡改��。
另外�,在移動單元16中����,使用含在ADF 205中的公共密鑰來確定SDF 204的真實性。如上所述���,含在ADF 205中的公共密鑰與用于簽署SDF 204的保密密鑰對應(yīng)����;因此,只要在管理服務(wù)器單元18中沒有改變SDF 204的內(nèi)容�����,則確定SDF 204是真實的����。
當確定SDF 204是真實的時候,在移動單元16中�,將含在ADF 205中的APID與含在SDF 205中的APID進行比較。如上所述�,由于將與SDF204中的APID對應(yīng)的APID指定為寫入在IP服務(wù)器單元13中的ADF 205中,因而�,只要在寫入等時沒有發(fā)生錯誤,則含在ADF 205中的APID與含在SDF 204中的APID是匹配的����。然后,在移動單元16中�����,將SDF 204寫入固定存儲器16D��。
另外�����,在移動單元16中,從ADF 205中提取程序包URL(http//www.main.bbb.co.jp/viewer.jar)��,并產(chǎn)生一個請求傳送由程序包URL標識的Jar文件206的請求消息tm 38��。請求消息tm 38由移動單元16傳送��,并由IP服務(wù)器單元13接收�����。
在IP服務(wù)器單元13中��,產(chǎn)生包含與請求消息tm 38的內(nèi)容對應(yīng)的Jar文件206的響應(yīng)消息tm 39�����。響應(yīng)消息tm 39由IP服務(wù)器單元13傳送���,并由移動單元16接收。
然后�����,在移動單元16中,使用Jar文件206的哈希函數(shù)和指定的哈希函數(shù)計算哈希值����,并將計算出的哈希值與含在ADF 205中的哈希值進行比較。如上所述��,由于將與ADF 205對應(yīng)的Jar文件的哈希值指定為寫入ADF 205中�,因此只要在寫入等時沒有發(fā)生錯誤,哈希值是匹配的��。
當哈希值匹配時����,在移動單元16中,將Jar文件206以可以起動的狀態(tài)寫入固定存儲器16D��,并完成可信任Java-AP軟件的安裝���。
當確定移動單元16中SDF 204不真實���、SDF 204中的APID和ADF 205中的APID不匹配、確定可信任Java-AP軟件為不可安裝���、或計算出的哈希值和ADF 205中的哈希值不匹配時��,則移動單元16回到開始獲得SDF205之前的狀態(tài)����。
(3-2)當Java-AP軟件起動時,移動單元16的操作下面�,將解釋上述的每一Java-AP軟件起動時,移動單元16的操作����。
(3-2-1)非信任Java-AP軟件的操作將解釋當通過上述安裝操作而在實現(xiàn)了JAM的移動單元16中來起動安裝在移動單元16中的非信任Java-AP軟件(包括第一非信任Java-AP軟件(tsume-shogi)和第二非信任Java-AP軟件(horoscope)兩者)時,移動單元16的操作以及在移動單元16中實現(xiàn)的與該軟件(以下稱為非信任Java-AP)對應(yīng)的功能��。
當非信任Java-AP將使用的API是非信任API時�����,在這種情況下���,API的使用由JAM批準���,因為如上所述,允許非信任API使用任何Java-AP��。因而���,非信任Java-AP可以使用非信任API���。
另一方面,當非信任Java-AP將使用的API是可信任API時���,JAM檢查與該Java-AP對應(yīng)的SDF是否存儲在固定存儲器16D中����。在該階段�����,由于這樣的SDF未存儲在固定存儲器16D中��,因此�����,JAM禁止由非信任Java-AP使用該API���。因而��,非信任第一Java-AP將不能使用可信任API�����。
(3-2-2)可信任Java-AP軟件的操作將解釋在實現(xiàn)了JAM的移動單元16中起動所安裝的可信任Java-AP軟件(電話簿閱讀器)時�����,移動單元16的操作以及在移動單元16中實現(xiàn)的與該軟件對應(yīng)的功能�。
當可信任Java-AP將使用的API是非信任API時,很明顯���,如上所述����,API的使用由JAM核準�。因此,可信任Java-AP可以使用非信任API����。
當可信任Java-AP將使用的API是可信任API時,由于與Java-AP對應(yīng)的SDF存儲在固定存儲器16D中�����,API的使用可以被JAM核準,但是可信任Java-AP的操作依賴于SDF中的策略信息����。以下�,解釋將被使用的各API的操作。
(3-2-2-1)getPhoneList()由于“getPhoneList()”是可信任API�,API是否可以被使用由JAM根據(jù)存儲在固定存儲器16D中的SDF 204中的策略信息確定。策略信息的內(nèi)容是圖4示出的內(nèi)容��;因此���,“getPhoneList()”的使用被JAM批準�����。因而�����,可信任Java-AP(電話簿閱讀器)能使用“getPhoneList()”����。換句話說��,可信任Java-AP能讀出電話號碼簿數(shù)據(jù)。
(3-2-2-2)getCallHistory()由于“getCallHistory()”是可信任API�����,API是否可以被使用由JAM根據(jù)SDF 204中的策略信息確定���。由于策略信息的內(nèi)容是圖4示出的內(nèi)容�,因而JAM禁止使用“getCallHistory()”�。因而,可信任Java-AP(電話簿閱讀器)不能使用“getCallHistory()”����。換句話說,可信任Java-AP不能讀出打出和打入電話的歷史數(shù)據(jù)�。
(3-3)更新可信任Java-AP軟件期滿日期的操作下面解釋更新可信任Java-AP軟件的期滿日期的操作的例子。在下面的解釋中���,在圖9中��,SDF 204被SDF 204a取代����。然而�����,文件的更新僅僅是期滿日期由“2002年10月1日上午10:00”變?yōu)椤?003年1月1日上午10:00”,而SDF 204和SDF 204a的存儲位置��、文件名����、用于簽名的保密密鑰不變。
移動單元16連續(xù)監(jiān)測定時器單元16H記錄的當前日期和小時以及包含在迄今為止獲得的各個SDF中的多個期滿日期��,并確定是否已到期滿日期��。在該階段�����,當定時器單元16H記錄的當前日期和小時變?yōu)?002年10月1日上午10:00時����,與APID“0001”對應(yīng)的可信任Java-AP軟件(電話簿閱讀器)的期滿日期已到���,結(jié)果�����,開始圖20所示的操作����。
首先,如圖所示21�����,移動單元16在顯示單元16c上顯示帶有期滿日期已到的可信任Java-AP軟件“TELEPHONE DIRECTORY VIEWER(電話簿閱讀器)”的名字的消息以詢問用戶是否由于已到期滿日期而更新期滿日期�,并等待用戶的操作。
在該階段���,當用戶進行操作以更新期滿日期時��,移動單元16解釋命令的內(nèi)容�,并產(chǎn)生一個包含作為GET方法參數(shù)的含在含有APID“0001”的ADF中的SDF-URL(http//www.aaa.co.jp/viewer.sdf)的請求消息tm 41��,請求消息tm 41從移動單元16傳送�����,由管理服務(wù)器單元18接收���。
在管理服務(wù)器單元18中����,產(chǎn)生包含與請求消息tm 41的內(nèi)容對應(yīng)的SDF 204a的響應(yīng)消息tm 42。響應(yīng)消息tm 42從管理服務(wù)器單元18傳送�����,并由移動單元16接收���。
另一方面����,移動單元16確定是否使用上述SDF-URL獲得了SDF 204a��。在該階段�����,假定成功獲得了SDF 204a���,過程進入下一階段。然后移動單元16使用含在已經(jīng)獲得的ADF 205中的公共密鑰來檢查(解密)SDF 204a的簽名并確定SDF 204a的真實性���。當真實性得到證實時(步驟S35�����;是)����,則移動單元16將從SDF 204a中提取的APID和含在已經(jīng)獲得的ADF 205中的APID進行比較,并確定APID是否匹配�。
在該階段,APID應(yīng)該匹配�;因而,移動單元16寫入SDF 204a以覆蓋存儲在固定存儲器16D中的SDF 203����。以這種方式,可信任Java-AP軟件(電話簿閱讀器)的期滿日期“2002年10月1日上午10:00”由“2003年1月1日上午10:00”取代�����。
在確定期滿日期將不被用戶的操作更新時���;當不能獲得SDF時�;當確定SDF不真實時����;或當SDF的APID和ADF的APID不匹配時�,JAM通知用戶期滿日期沒有更新��,并使移動單元16返回到獲得SDF 203a之前的狀態(tài)����。
(3-4)改變之后可信任Java-AP軟件的操作接著將解釋在管理IP服務(wù)器單元13和IP服務(wù)器單元14的IP改變了可信任Java-AP軟件的傳送模式或內(nèi)容之后,本系統(tǒng)的操作�。然而,本改變包括出于例如可信任Java-AP軟件改進目的的Jar文件206內(nèi)容的改變�����,以及出于例如減輕IP服務(wù)器單元13的負擔(dān)目的的傳送模式的改變���。為實現(xiàn)后一改變��,如圖22所示,管理IP服務(wù)器單元13和IP服務(wù)器單元14的IP在IP服務(wù)器單元14的固定存儲器14A中存儲改變后的Jar文件206(以下����,稱作Jar文件215),并通過依據(jù)Jar文件215改變ADF 205的內(nèi)容產(chǎn)生ADF 216���。為傳送改變之后的可信任Java-AP軟件���,上述操作是必需的���,并且不要求管理管理服務(wù)器單元18的通信供應(yīng)商的操作。換句話說�����,通信供應(yīng)商無需改變列表文件200或SDF 204���。
圖23示出了如此改變之后的可信任Java-AP軟件的安裝操作��。當移動單元16請求Jar文件時�����,圖23所示的操作開始與圖19所示的操作不同��。在兩幅附圖中��,響應(yīng)消息tm 47對應(yīng)于響應(yīng)消息tm 37����,響應(yīng)消息tm 48對應(yīng)于響應(yīng)消息tm 38,響應(yīng)消息tm 49對應(yīng)于響應(yīng)消息tm 39���。
換句話說�,圖23所示的操作與圖19所示的操作的不同僅僅在于處理的對象是ADF 216和Jar文件215�����;在移動單元16中產(chǎn)生一個請求傳送由包含在ADF 216中的程序包URL(“http//www.sub.bbb.co.jp/viewer.jar”)所標識的Jar文件215的請求消息tm48�;請求消息tm48從移動單元16傳送,并由IP服務(wù)器單元14接收����;在IP服務(wù)器單元14中產(chǎn)生含有Jar文件215的響應(yīng)消息tm 49;響應(yīng)消息tm 49從IP服務(wù)器單元14傳送�,并由移動單元16接收。
如前面所解釋的�,在移動單元16中,依據(jù)包含在已下載的SDF中的策略信息的內(nèi)容的操作由與SDF對應(yīng)的可信任Java-AP軟件批準�����。沒有包含在策略信息的內(nèi)容中的操作不被批準�����。由于策略信息從管理服務(wù)器單元18有安全保證地傳送到移動單元16�����,因而���,策略信息不會被第三人篡改��,并且以這種方式保證可信任Java-AP的可信性���。另外,從用戶的角度來看�����,由于在常規(guī)非信任Java-AP之外����,還可以使用被批準具有很大操作自由的上述可信任Java-AP,因而操作的方便性顯著提高�。
在上述傳送系統(tǒng)中,以ADF�����、SDF、Jar文件的順序向移動單元16傳送每個文件�����,下面解釋以這種順序傳送文件所產(chǎn)生的效果����。
如已經(jīng)解釋的,Java-AP軟件(ADF和Jar文件)由IP設(shè)計和產(chǎn)生���,并在每個IP在互聯(lián)網(wǎng)上開設(shè)的專用站點(圖1所示的IP服務(wù)器單元12-14)上向普通用戶提供��。因而����,用戶首先訪問IP的專用站點�����,并通常參考幾種Java-AP軟件的解釋性頁來確定是否下載軟件����。然后,當用戶確定下載Java-AP軟件時�,用戶需要執(zhí)行操作以指揮下載過程�����。為支持該過程,將隨后下載的文件的URL通常通過錨定標記包含在上述用于下載目的的解釋性頁中����。在該階段,從IP的角度來看����,因為ADF由IP管理,IP可以連續(xù)地跟蹤ADF的URL�,因而將ADF的URL插入解釋性頁是最高效的。另一方面�����,如果將SDF的URL插入解釋性頁�����,IP不得不通過詢問通信供應(yīng)商等來連續(xù)地確認URL的真實性���。因此�,以ADF、SDF�、Jar文件的順序進行傳送是相當有意義的。
另外����,當考慮到用于在NTT DoCoMo的i-mode(注冊商標)中進行的對Java-AP軟件的版本升級的過程時,上述順序是有利的���。在i-mode的當前服務(wù)規(guī)范中��,當用戶進行操作以請求版本升級時��,移動單元首先查閱寫在ADF中的內(nèi)容��,并根據(jù)寫在ADF中的程序包URL獲得版本升級之后的Jar文件��。換句話說�,在版本升級期間����,首先查閱ADF,之后才執(zhí)行下載的過程���?�?紤]上述事實���,即使在本發(fā)明的傳送系統(tǒng)的版本升級期間�,通過以查閱ADF來開始整個過程�����、根據(jù)ADF中的SDF-URL獲得SDF����、并獲得Jar文件��,當前服務(wù)規(guī)范也無需改變許多��,因為其后執(zhí)行的過程與先下載SDF���、接著Jar文件的普通下載過程相同���。另一方面,如果嘗試版本升級時�,將每個文件的下載限定為SDF、ADF和Jar文件的次序���,那么如果下載過程由查閱ADF開始��,則執(zhí)行獲得Jar文件的過程而沒有獲得SDF��。由于版本升級時可能重寫SDF�,因而在沒有SDF時可能造成安全上的不便。即便從上面的觀點看����,以ADF、SDF和Jar文件的順序傳送每個文件也是有意義的��。
(3)改進本發(fā)明不限于上述實施例����,如下面所描述的一些改進是可能的。
在上述的傳送系統(tǒng)中���,移動單元利用保密密鑰和公共密鑰的簽名數(shù)據(jù)確認SDF的制作者和ADF的制作者之間的對應(yīng)性的真實性����。然而����,事實上���,傳送不限于上述的傳送方法,只要所用的方法可以確認SDF的制作者和ADF的制作者之間的對應(yīng)性的真實性就行�。
另外,依據(jù)系統(tǒng)所需的安全水平���,可通過在SDF中不含公共密鑰�����、不利用IP服務(wù)器單元中的保密密鑰簽署ADF、并在移動單元中省略簽名的證實過程的模式來減少移動單元和IP服務(wù)器單元中的過程數(shù)��、或移動單元�、管理服務(wù)器單元和IP服務(wù)器單元之間的通信量。
另外�,在上述傳送系統(tǒng)中,Jar文件的哈希值包括在與Jar文件對應(yīng)的ADF中�����;并在移動單元中產(chǎn)生Jar文件的哈希值���;然后通過將ADF中的哈希值和所產(chǎn)生的哈希值來確認Jar文件和ADF的對應(yīng)性的真實性進行比較�����。然而�,可以使用不限于上述方法的任何方法,只要這些方法能夠確認Jar文件和ADF之間的對應(yīng)性的真實性�����。
另外����,依據(jù)系統(tǒng)所需的安全水平,通過省略包括ADF中的哈希值的確認過程����,可減輕移動單元和IP服務(wù)器單元中的過程數(shù)以及移動單元和IP服務(wù)器單元之間的通信量。
另外���,在上述傳送系統(tǒng)中��,通過使用可信任Java-AP固有的APID來確定SDF與ADF(及Jar文件)的對應(yīng)性是否真實���,但是可以使用提供可信任Java-AP的信息供應(yīng)商的固有的CID來確定SDF與ADF(及Jar文件)的對應(yīng)性是否真實���。另外,根據(jù)系統(tǒng)所需的安全水平�����,可以省略根據(jù)APID和CID進行的確定���。
另外��,在上述傳送系統(tǒng)中����,通過使用域名來指定服務(wù)器���,但也可以通過使用IP地址來指定服務(wù)器。
另外��,在移動單元中��,通過將包含在ADF中的SDF-URL中的域名與預(yù)設(shè)字符串進行比較��,只有在域名為由可信賴的組織管理的服務(wù)器單元的域名時����,才確認SDF是真實的��。在這種情況下��,當域名與預(yù)設(shè)的字符串不同時�,移動單元16顯示獲取SDF失敗的消息����,結(jié)束該過程而不向管理服務(wù)器單元18請求SDF。
另外���,在這種模式中�,將被比較的字符串(例如�,示出通信供應(yīng)商的域名的字符串)是預(yù)先存儲在移動單元的ROM或固定存儲器中的。在預(yù)先存儲在ROM中的模式中��,由于字符串不能被重寫���,因而可保證更高的安全性�。另外�����,在預(yù)先存儲在固定存儲器的模式中,可以在購買移動單元之后存儲可信賴組織�����;因此�����,可以非常方便用戶及可信賴組織�����。
另外����,在上述傳送系統(tǒng)中,由通信供應(yīng)商保證高水平的安全性���,其作為可信賴組織提供用于傳送SDF的通信路徑。但本發(fā)明的技術(shù)范圍包括一種通信路徑不由可信賴組織提供的模式���。例如����,通過使用加密通信路徑連接可信賴組織和移動單元,可信賴組織可以經(jīng)加密的通信路徑傳送SDF��。另外�,即使不能保證通信路徑的安全性,通過傳送加密后的SDF��,并在移動單元解碼SDF����,可以在某種安全程度上傳送SDF。
在上述傳送系統(tǒng)中���,依據(jù)HTTP傳送和接收文件����,但可改進該系統(tǒng)��,以通過使用HTTPS來保證更高的安全性���。
另外��,在上述傳送系統(tǒng)中�,可信賴組織可以是IP�����,換句話說,管理單元可能包括IP服務(wù)器單元��。
而且��,在上述傳送系統(tǒng)中���,API是用于限制Java-AP使用的對象�����,但是本發(fā)明不限于此����,任何資源都可能是這種對象��。資源可以是硬件資源���。另外�����,資源可以是網(wǎng)絡(luò)資源或軟件資源(隨后解釋)��。硬件資源可以是移動單元可能具有的資源����,例如存儲器���、揚聲器���、麥克風(fēng)、紅外控制器��,LED(發(fā)光二極管)等��,或與移動單元相作用的外部硬件盒�����,例如UIM(用戶標識模塊)或SIM(客戶標識模塊)�。
接下來解釋網(wǎng)絡(luò)資源。如上所述�,移動單元進行與移動通信網(wǎng)的無線電通信。在無線電通信期間����,移動單元使用無線電資源�����,例如移動通信網(wǎng)提供的無線電通道�����。無線電資源是網(wǎng)絡(luò)資源的一種�。另外�����,在比無線電資源所屬的通信協(xié)議層更高的通信協(xié)議層�,移動單元使用通信資源,例如分組的傳送路徑或連接網(wǎng)絡(luò)的通信路徑�����。這些通信資源作為網(wǎng)絡(luò)資源被包括�����。
接著解釋軟件資源�����。軟件資源可以是API、類(class)��、分組等等�。軟件資源提供各種功能����,但是典型的功能可以是計算處理(例如加密計算),或與其他應(yīng)用(例如網(wǎng)頁瀏覽器)之間傳送或接收數(shù)據(jù)的功能����。另外,本發(fā)明的技術(shù)范圍包括一種限制使用上述外部硬件盒具有的軟件資源的模式���。
另外����,Java-AP一般通過使用軟件資源來使用硬件資源或網(wǎng)絡(luò)資源���。上述傳送系統(tǒng)的移動單元還具有用來使用硬件資源或網(wǎng)絡(luò)資源的軟件資源�����。通過限制這種軟件資源的使用���,可以間接限制硬件資源或網(wǎng)絡(luò)資源的使用���。通過這種方式的間接限制,并通過準備不同的軟件資源����,可以容易地設(shè)定除非具體改變對多種資源的限制否則就不能實現(xiàn)的限制,上述改變例如是把改變移動單元的Java-AP的授權(quán)的權(quán)利或其它權(quán)利只給予所有Java-AP中的可信任Java-AP����、撤消對只允許與被訪問用于下載的服務(wù)器單元進行通信的限制、或允許訪問存儲器的特定存儲區(qū)�。另外,本發(fā)明的技術(shù)范圍包括以下一種模式通過限制對安裝在移動單元內(nèi)的軟件資源的使用來間接限制上述外部硬件盒的軟件資源的使用����。
關(guān)于表達許可的方法,可以使用與一種資源對應(yīng)的標記(允許/禁止)��,或利用一段信息指明對多種資源的許可�����。
另外,在本發(fā)明中���,可以將許可的類型指定為允許(或禁止)使用多種類型的資源��。在這種情況下����,在移動單元中�,可以實現(xiàn)更精確的控制��。例如����,由于存儲器存在讀出和寫入兩種(使用類型)模式,因而�����,存儲器可以由可信任Java-AP讀出和寫入���,而非信任Java-AP只能讀出���。另外����,例如���,在多個應(yīng)用可以共享一個分組傳送路徑的移動單元中����,當網(wǎng)頁瀏覽器等被起動同時有權(quán)利使用分組傳送路徑的Java-AP被起動時��,控制可以是這樣的被允許“排它地使用分組傳送路徑”的Java-AP能排它地使用分組傳送路徑�����,而未被允許“排它地使用分組傳送路徑”的Java-AP不能拒絕網(wǎng)頁瀏覽器等對分組傳送路徑的共享�����。
另外����,通過進一步修改上述例子,下列各項控制是可能的�。換句話說,具有某類型許可的Java-AP可以不經(jīng)用戶同意地排它地使用分組通信路徑��。另外,具有其它許可的Java-AP能夠無需用戶同意地使用分組通信路徑���,但要排它地使用分組通信路徑則需要獲得用戶的同意����。另外����,具有另外許可的Java-AP可以無需用戶同意地使用分組通信路徑,但是不能排它地使用分組通信路徑�。另外���,具有另外許可的Java-AP只能在用戶同意時�,才能使用分組通信路徑����。另外,具有其他許可的Java-AP甚至不能使用分組通信路徑����。從這些例子中可以明顯地看出,本發(fā)明的“使用類型”還包含當使用資源時過程(獲得用戶許可/未獲得用戶同意的過程)的類型��。
另外,在上述傳送系統(tǒng)中���,為所有的移動單元提供相同的列表頁��,但是可以為各個移動單元提供不同的列表頁��。
另外��,在上述傳送系統(tǒng)中�����,當執(zhí)行Java-AP時��,Java-AP的操作受到限制�。替代地��,可將策略信息包含在存儲于IP服務(wù)器單元中的Jar文件中���,并在移動單元中下載Jar文件時����,如果該策略信息與SDF中的策略信息的比較結(jié)果為不匹配�����,則可以禁止與Jar文件對應(yīng)的Java-AP的起動,或含有該Jar文件的Java-AP軟件的安裝��。只有在策略信息匹配時�����,對該項目的許可才有效����。
通信供應(yīng)商的公共密鑰包含在ADF中,從而從IP服務(wù)器單元12-14提供給移動單元16����。然而����,代替所述的對公共密鑰的供應(yīng)的限制,公共密鑰可以預(yù)先存儲在移動單元中��。關(guān)于在移動單元中預(yù)先存儲公共密鑰的方法��,例如通過通信傳送并預(yù)先存儲在固定存儲器中的方法����,或在將公共密鑰寫入ROM中之后才銷售移動單元的方法都是可行的����。
另外��,在上述傳送系統(tǒng)中�����,將軟件傳送給移動單元�����,但是本發(fā)明的技術(shù)范圍包括一種將軟件傳送到移動單元之外的終端設(shè)備的模式���。
在上述傳送系統(tǒng)中�����,當可信任Java-AP軟件的期滿日期達到時����,更新其期滿日期的過程開始。然而�����,代替上述的對更新定時的限制�,可以采用例如用戶希望的任何時間或周期性定時(例如每月結(jié)束時更新一次)等不同的模式。
另外��,關(guān)于設(shè)置期滿日期的方法��,如已經(jīng)解釋的�,期滿日期可以依據(jù),例如在可信任Java-AP軟件下載一段時期之后的日期(例如�����,當可信任Java-AP僅在其安裝之后一個月可用)設(shè)置�,或利用可信任Java-AP軟件的執(zhí)行次數(shù)或執(zhí)行期間(period)設(shè)置期滿日期。換句話說��,期滿日期可以是任何信息�����,只要其設(shè)置了上限從而不允許Java-AP軟件無限期地執(zhí)行����。
例如,當利用執(zhí)行次數(shù)設(shè)置期滿日期時��,所需的信息可以從JAM中提取����,每次起動可信任Java-AP軟件時,JAM查閱SDF中的策略信息���,并計數(shù)JAM進行查閱的次數(shù)����,作為可信任Java-AP軟件的執(zhí)行次數(shù)��。當所計數(shù)的執(zhí)行次數(shù)達到預(yù)定數(shù)時����,可以開始更新過程。
另外�,當配備了累積并計算可信任Java-AP軟件執(zhí)行期間的手段時(例如,作為子程序?qū)懭肟尚湃蜫ava-AP軟件的手段)�,即使期滿日期是由執(zhí)行的期間設(shè)置的,也可進行計算����。然后��,當計算的執(zhí)行期間達到預(yù)定時間時����,可以開始更新過程��。
在對上述傳送系統(tǒng)的解釋中���,使用了術(shù)語“可信任Java-AP軟件的期滿日期”���,但是更精確地,期滿日期可以是Jar文件本身的期滿日期��,或甚至是兩者的期滿日期��。
另外���,在上述的傳送系統(tǒng)中�,當已到期滿日期但不能更新時���,已到期滿日期的可信任Java-AP軟件的執(zhí)行被禁止��。然而�����,當已到期滿日期時��,可將可信任Java-AP軟件變?yōu)榉切湃蜫ava-AP軟件����,而代替上述方式的限制���。換句話說�,已到期滿日期的Java-AP軟件被認為是非信任Java-AP軟件��,并在改變之后作為非信任Java-AP軟件受到更大的限制����。
另外,可改進上述實施例���,從而使任何可信任Java-AP軟件的SDF到期����。
在該改進的例子中,管理服務(wù)器單元具有存儲器單元��,以如上述實施例那樣存儲幾種Java-AP軟件的SDF��。當管理服務(wù)器單元的控制器從通信單元收到各SDF時�,或當控制器收到存儲在存儲器介質(zhì)中的SDF時,控制器在存儲器單元中存儲SDF���。
另外����,使任何可信任Java-AP軟件的SDF無效的命令可以輸入到管理服務(wù)器單元���。該命令包含與將被無效的SDF對應(yīng)的可信任Java-AP軟件的APID�����。這類命令由操作者輸入到管理服務(wù)器單元的輸入單元����;或經(jīng)網(wǎng)絡(luò)將該命令從相關(guān)的IP服務(wù)器單元傳送到管理服務(wù)器單元�����,并由管理服務(wù)器單元的接收單元接收。當管理服務(wù)器單元的控制器經(jīng)輸入單元或通信單元收到命令時����,控制器在存儲器單元中存儲表明由命令中的APID標識的SDF被無效的信息��。結(jié)果�,在管理服務(wù)器單元中,不在公開SDF����,并且不能再使用SDF下載Java-AP軟件。
諸如某可信任Java-AP軟件的SDF被傳送到某終端設(shè)備���,隨后SDF被無效的情況也是可能的�����。在這種情況下��,已被傳送的SDF將被無效�,從而不再起SDF的功能����。為此目的�,可以使用下述方法���。換句話說��,終端設(shè)備在固定的時間期間向管理服務(wù)器單元詢問SDF的有效性��,并當從管理服務(wù)器單元返回表明SDF被無效的響應(yīng)時��,終端設(shè)備隨后禁止使用SDF�。在該階段����,縮短用于詢問的時間期間可有效地減少SDF被無效之后可信任Java-AP軟件的執(zhí)行次數(shù)。然而��,如果每個終端設(shè)備獨立地采用這樣的方法����,流量將變得巨大,用戶必須支付的通信費用也變得非常高��。另一方面��,在終端設(shè)備的用戶之中�����,一些用戶頻繁地命令執(zhí)行可信任Java-AP,而一些用戶僅僅偶爾地命令執(zhí)行可信任Java-AP軟件����;因而,對后者來說�����,增加流量及通信費用是不明智的����。
為解決上述問題�,在本實施例中執(zhí)行如下過程。首先����,當管理服務(wù)器單元包括關(guān)于將SDF從通信單元傳送到終端設(shè)備時的頻率數(shù)據(jù)N和期間數(shù)據(jù)T。在該階段���,頻率數(shù)據(jù)N是這樣的數(shù)據(jù)���,每當可信任Java-AP軟件的執(zhí)行次數(shù)超過N的整數(shù)倍時���,就命令傳送對SDF有效性的詢問。另外�,期間數(shù)據(jù)T是這樣的數(shù)據(jù),當可信任Java-AP軟件的執(zhí)行之后經(jīng)過了時間T時�����,則在Java-AP軟件的下一次執(zhí)行開始前�,命令傳送對SDF有效性的詢問。
當終端設(shè)備收到某SDF時�,終端設(shè)備依據(jù)SDF中的頻率數(shù)據(jù)N和期間數(shù)據(jù)T向管理服務(wù)器單元傳送關(guān)于SDF有效性的詢問。圖24示出了對某SDF執(zhí)行該過程的控制器的結(jié)構(gòu)����。當終端設(shè)備中存儲了多個SDF時,則配備與SDF的數(shù)目相同的如圖24所示的控制器����。由圖24中的代碼501-504指示的部件表明了構(gòu)成控制器的電路,或由控制器執(zhí)行的例程(routine)�����。
首先,當終端設(shè)備的控制器收到SDF時��,控制器起動圖24所示的電路或用于SDF的例程���,隨后控制器從SDF中提取頻率數(shù)據(jù)N和期間數(shù)據(jù)T�����。隨后將頻率數(shù)據(jù)N傳送給除法器502����,將期間數(shù)據(jù)T送給定時器503�。
每當與SDF對應(yīng)的可信任Java-AP軟件起動時,計數(shù)器501把計數(shù)增加1��。除法器502將來自計數(shù)器501的計數(shù)(換句話說��,可信任Java-AP軟件起動的次數(shù))除以頻率數(shù)據(jù)N��,并在作為相除結(jié)果的余數(shù)為1時���,輸出信號“1”。
定時器503具體地是遞減計數(shù)器�����。當起動可信任Java-AP軟件時,將期間數(shù)據(jù)T寫入定時器503作為計數(shù)值的初始值��。此后���,通過與特定頻率的時鐘同步�,定時器503進行遞減計數(shù)�����,隨后�,當時間期間T向下計數(shù)時,定時器503輸出信號“1”��。當在時間期間T向下計數(shù)之前再次起動可信任Java-AP軟件時�,對定時器503設(shè)置期間數(shù)據(jù)T,并從那時起開始新的遞減計數(shù)��。
當從除法器502或定時器503輸出信號“1”時���,或門504生成一個命令詢問SDF有效性的信號��。
圖25是示出了上述操作的時序圖��。如該圖所示��,或門504生成信號以命令詢問SDF的有效性�,例如N+第一次,2N+第一次(給定頻率數(shù)據(jù)N)����。當生成信號時,控制器通過通信單元向管理服務(wù)器單元傳送對SDF有效性的詢問���。該詢問包含APID以標識作為對象的SDF����。當管理服務(wù)器單元的控制器從通信單元收到詢問時�,其通過查閱存儲器單元檢查所查詢的由APID標識的SDF是否有效,并通過通信單元向終端設(shè)備返回結(jié)果�。當終端設(shè)備的控制器從通信單元收到所詢問的SDF已期滿的響應(yīng)時,控制器進行操作從而不允許起動與SDF對應(yīng)的Java-AP軟件����。
另外����,在圖25所示出的例子中,因為在可信任Java-AP軟件的第二次執(zhí)行之后第三次執(zhí)行之前經(jīng)過的時間超過了時間T,因而產(chǎn)生了一個命令詢問SDF的有效性的信號��。即使在這種情況下�����,也進行與上述一樣的詢問�����、來自管理服務(wù)器單元的響應(yīng)����,以及終端設(shè)備依據(jù)該應(yīng)答的操作。
上述改進方案的一些優(yōu)點如下����。
首先,如果某人頻繁地使用可信任Java-AP軟件���,由于可信任Java-AP軟件總是在計數(shù)下降了時間T之前起動�����,因而當詢問操作是根據(jù)期間數(shù)據(jù)T而產(chǎn)生時����,不會執(zhí)行詢問。因此��,當所執(zhí)行的起動的次數(shù)超過N時進行詢問的方法是有效的����。
另一方面,如果某人只偶爾地使用可信任Java-AP軟件�,由于執(zhí)行起動的次數(shù)不經(jīng)常超過N,因而及時地?zé)o效SDF是不可能的���。因而���,對于這樣的用戶,在起動后經(jīng)過的時間超過T時進行詢問的方法是有效的�。
由于兩種方法相互并行地使用,本改進方案對兩種類型的用戶都是有效的�����。
權(quán)利要求
1.一種傳送方法��,包括用于傳送系統(tǒng)的過程�,所述傳送系統(tǒng)包括信息提供服務(wù)器單元、管理服務(wù)器單元以及另一信息提供服務(wù)器�����,所述信息提供服務(wù)器單元存儲有包含用于實現(xiàn)一應(yīng)用的軟件的實體文件���,所述管理服務(wù)器單元存儲有安全描述文件�����,該安全描述文件含有表明對在終端設(shè)備執(zhí)行所述軟件時實現(xiàn)的應(yīng)用的授權(quán)的授權(quán)信息�,所述另一信息提供服務(wù)器存儲有其內(nèi)容依賴于所述實體文件的應(yīng)用描述文件���,所述實體文件的存儲位置和所述安全描述文件的存儲位置被寫入所述應(yīng)用描述文件�;所述過程用于在所述應(yīng)用描述文件的存儲位置被終端設(shè)備通知時���,將所述應(yīng)用描述文件傳送到所述終端設(shè)備��;用于所述終端設(shè)備將包含在從所述傳送系統(tǒng)傳送的應(yīng)用描述文件中的所述安全描述文件的存儲位置通知所述傳送系統(tǒng)的過程�����;用于所述傳送系統(tǒng)根據(jù)所通知的安全描述文件的存儲位置����,有安全保證地將所述安全描述文件傳送到所述終端設(shè)備的過程;用于所述終端設(shè)備將包含在從所述傳送系統(tǒng)傳送來的所述應(yīng)用描述文件中的實體文件的所述存儲位置通知所述傳送系統(tǒng)的過程����;以及用于所述傳送系統(tǒng)根據(jù)所通知的實體文件的存儲位置向所述終端設(shè)備傳送所述實體文件的過程。
2.一種終端設(shè)備�����,包括通信單元��,用于進行與網(wǎng)絡(luò)中的單元的通信�����;存儲單元�����;和控制器����,其中,所述控制器包括(a)用于使所述通信單元向所述網(wǎng)絡(luò)中的傳送系統(tǒng)傳送第一傳送請求,以從所述傳送系統(tǒng)中的信息提供服務(wù)器接收應(yīng)用描述文件�����,并在所述存儲單元中存儲該應(yīng)用描述文件的裝置���,所述第一傳送請求含有所述應(yīng)用描述文件的存儲位置信息,所述應(yīng)用描述文件含有含有用于實現(xiàn)一應(yīng)用的軟件的實體文件的存儲位置信息�,和含有授權(quán)信息的安全描述文件的存儲位置信息,其中所述授權(quán)信息表明對通過執(zhí)行所述軟件實現(xiàn)的一應(yīng)用的授權(quán)�;(b)用于使所述通信單元向所述傳送系統(tǒng)傳送第二傳送請求以接收安全描述文件的裝置,所述第二傳送請求含有包含在從所述傳送系統(tǒng)接收的應(yīng)用描述文件中的安全描述文件的存儲位置信息��;(c)用于使所述通信單元向所述傳送系統(tǒng)傳送第三傳送請求以從所述傳送系統(tǒng)中的信息提供服務(wù)器接收實體文件的裝置����,所述第三傳送請求含有包含在從所述傳送系統(tǒng)接收的應(yīng)用描述文件中的實體文件的存儲位置信息;和(d)用于在被命令執(zhí)行存儲在所述存儲器單元中的實體文件內(nèi)包含的軟件時����,依據(jù)包含在與所述實體文件對應(yīng)的安全描述文件中的授權(quán)信息,限制所述軟件的執(zhí)行所實現(xiàn)的應(yīng)用的操作的裝置���。
3.根據(jù)權(quán)利要求2所述的終端設(shè)備���,其特征在于�,所述傳送系統(tǒng)通過向所述終端設(shè)備傳送加密之后的所述安全描述文件來保證安全��,并且其中�,所述控制器包括用于解密由所述傳送系統(tǒng)傳送來的已加密的安全描述文件的裝置。
4.根據(jù)權(quán)利要求2所述的終端設(shè)備���,其特征在于�����,所述控制器利用所述通信單元經(jīng)安全有保證的通信路徑接收所述安全描述文件���。
5.根據(jù)權(quán)利要求2所述的終端設(shè)備,其特征在于���,所述控制器通過加密的通信接收所述安全描述文件��。
6.根據(jù)權(quán)利要求2所述的終端設(shè)備���,其特征在于,所述控制器利用所述通信單元經(jīng)移動通信網(wǎng)絡(luò)和專用線路接收所述安全描述文件�。
7.根據(jù)權(quán)利要求2所述的終端設(shè)備,其特征在于,所述控制器利用加密的通信經(jīng)移動通信網(wǎng)絡(luò)接收所述安全描述文件��。
8.根據(jù)權(quán)利要求2所述的終端設(shè)備��,其特征在于��,所述控制器中的用于限制應(yīng)用的操作的裝置根據(jù)包含在所述安全描述文件中的授權(quán)信息限制對資源的使用��。
9.根據(jù)權(quán)利要求8所述的終端設(shè)備�����,其特征在于��,所述資源是所述終端設(shè)備內(nèi)部的硬件資源���。
10.根據(jù)權(quán)利要求8所述的終端設(shè)備,其特征在于��,所述資源是所述終端設(shè)備可以使用的所述終端設(shè)備外部的硬件資源��。
11.根據(jù)權(quán)利要求8所述的終端設(shè)備�����,其特征在于,所述資源是所述終端設(shè)備內(nèi)的軟件資源�。
12.根據(jù)權(quán)利要求8所述的終端設(shè)備,其特征在于�����,所述資源是所述終端設(shè)備可以使用的所述終端設(shè)備外部的軟件資源�����。
13.根據(jù)權(quán)利要求8所述的終端設(shè)備���,其特征在于�,所述資源是所述終端設(shè)備可以使用的網(wǎng)絡(luò)資源�。
14.根據(jù)權(quán)利要求2所述的終端設(shè)備,其特征在于�,所述控制器中的用于限制應(yīng)用的操作的裝置根據(jù)所述授權(quán)信息確定資源的使用類型。
15.根據(jù)權(quán)利要求2所述的終端設(shè)備��,其特征在于����,所述應(yīng)用描述文件中包含向所述終端設(shè)備提供通信服務(wù)的通信供應(yīng)商的公共密鑰,其中所述安全描述文件由所述通信供應(yīng)商的保密密鑰簽署�,以及其中所述控制器使用包含在所述應(yīng)用描述文件中的公共密鑰檢查從所述傳送系統(tǒng)傳來的安全描述文件的真實性���,并僅在所述真實性得到證實時,向所述傳送系統(tǒng)通知所述實體文件的存儲位置�。
16.根據(jù)權(quán)利要求2所述的終端設(shè)備,其特征在于��,所述應(yīng)用描述文件和所述安全描述文件含有分配給一對應(yīng)應(yīng)用的應(yīng)用標識符���,以及����,其中所述控制器將包含在由所述傳送系統(tǒng)傳送的應(yīng)用描述文件中的應(yīng)用標識符與包含在由所述傳送系統(tǒng)傳送的安全描述文件中的應(yīng)用標識符進行比較��,并僅在兩標識符匹配時��,向所述傳送系統(tǒng)通知所述實體文件的存儲位置�����。
17.根據(jù)權(quán)利要求2所述的終端設(shè)備�,其特征在于�����,所述控制器僅在寫入所述應(yīng)用描述文件的所述安全描述文件的存儲位置在所述管理服務(wù)器單元內(nèi)時,才向所述傳送系統(tǒng)通知所述安全描述文件的存儲位置��。
18.根據(jù)權(quán)利要求2所述的終端設(shè)備��,其特征在于���,所述安全描述文件包含時限信息�����,所述時限信息表明一對應(yīng)應(yīng)用的期滿日期��,并且所述控制器包括執(zhí)行以下操作的裝置通過按時間順序重復(fù)地向所述傳送系統(tǒng)通知所述安全描述文件的存儲位置�,而按時間順序從所述傳送系統(tǒng)重復(fù)接收所述安全描述文件����;并根據(jù)包含在重復(fù)接收的所述安全描述文件中的所述時限信息更新所述應(yīng)用的期滿日期。
19.根據(jù)權(quán)利要求18所述的終端設(shè)備��,其特征在于����,所述終端設(shè)備僅在所述安全描述文件是正確地從所述傳送系統(tǒng)傳送的時候,才更新所述應(yīng)用的期滿日期��。
20.根據(jù)權(quán)利要求2所述的終端設(shè)備,其特征在于�����,所述終端設(shè)備是移動單元���。
21.一種傳送系統(tǒng)�,包括一個或多個服務(wù)器單元�,其中存儲有實體文件、安全描述文件和應(yīng)用描述文件���,所述實體文件含有用于實現(xiàn)應(yīng)用的軟件�,所述安全描述文件含有表明對通過執(zhí)行所述軟件實現(xiàn)的應(yīng)用的授權(quán)的授權(quán)信息��,應(yīng)用描述文件具有依賴于所述實體文件的內(nèi)容�����,在所述應(yīng)用描述文件中寫入了所述實體文件和所述安全描述文件的存儲位置��,其中�,所述一個或多個服務(wù)器單元中的一個存儲有所述安全描述文件的服務(wù)器單元是管理服務(wù)器單元�����,其被給予管理安全描述文件的授權(quán),其中�����,每個所述服務(wù)器單元包括用于當被通知了所述文件的存儲位置時���,向通知的始發(fā)者返回一個文件的裝置�,以及����,其中,當被通知了所述安全描述文件的存儲位置時��,所述管理服務(wù)器單元安全有保證地向通知的始發(fā)者返回所述安全描述文件����。
22.一種管理服務(wù)器單元,包括通信單元��;存儲單元���;和控制器���,其執(zhí)行(a)用于向所述存儲單元寫入安全描述文件的過程����,所述安全描述文件包含表明對應(yīng)用的授權(quán)的授權(quán)信息�,所述應(yīng)用通過執(zhí)行軟件來實現(xiàn),(b)用于向所述存儲單元寫入所述安全描述文件的有效性信息的過程���,以及(c)當所述通信單元從終端設(shè)備收到關(guān)于所述安全描述文件的有效性的詢問時���,用于從所述存儲單元讀出所述安全描述文件的有效性的信息,并利用所述通信單元向所述終端設(shè)備通知所述信息的過程�����。
23.一種終端單元���,包括通信單元;存儲單元���;和控制器����,其執(zhí)行(a)從管理服務(wù)器單元接收安全描述文件并將所述安全描述文件寫入所述存儲單元的過程,所述安全描述文件包含表明對應(yīng)用的授權(quán)的授權(quán)信息�����,所述應(yīng)用通過執(zhí)行軟件來實現(xiàn)����,(b)用于利用所述通信單元重復(fù)地向所述管理服務(wù)器單元傳送關(guān)于存儲在所述存儲單元中的安全描述文件的有效性的詢問的過程,以及(c)當利用所述通信單元從所述管理服務(wù)器單元接收到所述安全描述文件已經(jīng)無效的響應(yīng)時��,使與所述安全描述文件對應(yīng)的實體文件不能起動的過程���。
全文摘要
能起動Java-AP軟件的移動單元16從IP服務(wù)器單元13獲得ADF205�����,利用ADF 205從可信賴的組織(管理移動分組交換網(wǎng)15的通信供應(yīng)商)管理的管理服務(wù)器單元18接收SDF(安全描述文件)204�,并利用來自IP服務(wù)器單元13的ADF 205獲得Jar文件206�����。隨后����,移動單元16安裝含有這些文件的Java-AP軟件���。通過起動所述安裝的ava-AP軟件實現(xiàn)的Java-AP在包含在SDF 204中的策略信息所表明的授權(quán)范圍內(nèi)操作。
文檔編號G06F21/00GK1647029SQ0380763
公開日2005年7月27日 申請日期2003年3月28日 優(yōu)先權(quán)日2002年4月3日
發(fā)明者渡邊信之, 澤田久德, 西尾英昭, 中村友則, 三浦史光, 富岡淳樹 申請人:株式會社Ntt都科摩