通过计算机控制的、可以由多个用户单元同时使用的程序而进行的访问控制的方法

专利名称：通过计算机控制的、可以由多个用户单元同时使用的程序而进行的访问控制的方法
通过所谓计算机控制程序的一种所谓的“共享”，可以在计算机辅助会议中引入标准-壹-用户应用(程序)。参加会议的可能处于不同位置的人员，借此可以因此共同操作该标准-壹-用户应用。所有与会者可以观察各自共同使用的应用的输出。在任一时刻只有与会者之一可以在应用上进行输入。
这个应用分配的技术结构是支持分布在不同位置的人员同步协作的信息技术系统的基础。
在这个应用的“共享”中迄今提供二个不同的用户角色。对此，一方称为“令牌持有者”，在此表明这个人在相应时刻有权进行应用输入，另一方称为“观察者”在此表明其他与会者虽然可以观察应用的输出，可是在有关时刻都无权进行应用的输入。
该“令牌持有者”的角色是取决于时间的。会议期间该角色可以在与会者之间转换，可是在任一时刻始终正好提供一个“令牌持有者”。这意味在任一时刻始终正好仅有一个人员有权对应用进行输入。通过这个技术解决方式，每个“令牌持有者”都有优先权，及操作应用的所有者的访问权，也就是有这个启动应用的用户的权利。因此该“令牌持有者”可以利用该应用准确进行这样的操作，对此该应用的所有者是有权利的。因此，“令牌持有者”与应用的真正所有者不再可以区分。对于应用来说不可以辨认，不同的人员在使用它，并且同样不能辩认在任一确定时刻谁在使用它。在一定程度上，有关的“令牌持有者”通过存在的“共享系统”的技术结构成为一个应用所有者的化身。
这个运行方式隐含着很高的安全风险，因为当应用例如是一具有相应功能的文本处理程序时，则该“令牌持有者”因此有例如到应用所有者的全部文件系统的访问。这种情况下，该“令牌持有者”未经许可就可以清除、修改、读出或复制文件，而无需程序的所有者必须对此有绝对的了解。
目前将窗口系统按使用这些窗口系统的操作方式和工作方式划分为两个已知的范畴。
一种是所谓的客户-服务器-窗口系统具有一公共的网络接口(R．Scheifler et al，The X-Window-System，ACM Transactions onGraphics，1986年4月第5卷第二期79-109页)，另一种是这样的窗口没有公共的网络接口。后者也作为整体的基于图形的窗口系统GDWS公开(Microsoft Windows 3．1 Programmer’s Reference，Volume 1Overview，Microsoft Press，Redmond，ISBN 1-55615-453-4，1992；R．Orfali et al，os／2客户／服务程序，Van Nostrand Reihold，NewYork，ISBN 0-442-01833-9，1993；Inside macintosh，第6卷，Addison wesley，ISBN 0-201-57755-0，1991)。
另外，也公开了使窗口系统成为一可共享的窗口系统的若干扩展(H．Abdel-Wahb et al，多重显示上X客户共享中的结果、问题和解决，Internetwork；Research and Experience，1994年第5卷1-15页；D．Garfinkel et al，HP Shared X实时协作工具，Hewlett-Packard Journal，1994年4月23-36页；W．Minenkel，TransparentesApplication - Sharing unter X Window，MultimedialeTelekooperation，德国人工智能研究中心(DFKI)GmbH，Saarbruecken，1994年1-8页；J．Baldeschwieler et al，A Survey on X Protocol Multiplexors，ACM SIGCOMM，Computer Communication Review，瑞士联邦技术学院，计算机工程和网络实验室(TIK)，ETH中心，苏黎世，1993年16-24页，U．Pech，Sichtlich beeindruckt，PC Professionell，1995年10月71-8页；E．Chang et al，Group Coordination in aparticipant Systems，IEEE，Proceedings of the 24th Annual Hawaii InternationalConference on system Sciences，第3卷第4期，Kauai，HI，1991年1月589-599页；A．Nakajima，A Telepointing Tool for Distributed Meetingsystems，IEEE，Globel Telecommunitions Conference angexhibition，第1卷第3期，San Diego，CA，1990年12月76-80页；
J．Patterson，The Implications of Window Sharing for a VirtualTerminal Protocol，IEEE Internationsl Conference onCommunications，第1卷第4期，Atlanta，GA，1990年4月66-70页；G．Herter，Intel Proshare，Accounting technology，1995年1月第11卷第1期49-54页；D．Riexinger et al，Integration ofExisting Applications into a Conference System，Proceedings ofInternational Conference on Multimedia Transport andTeleservices Vienna，1994年11月，346-355页)。
此外，公开了可以由多个用户共同使用的各种壹-用户-应用的安全扩展(G．Gahse，“会议系统中的访问控制”，IBM德国信息系统GmbH，欧洲网络研究中心，Heidelberg，1995)。
迄今为止公开的会议系统中的各种壹-用户-应用的安全扩展方法说明的是一种访问控制方法，其中，应当由多个用户共同使用的一种壹-用户-应用运行在特殊的“共享特权”下。在这个方法中，用户被分配一共同的、新的临时的协作期间的身份。给这各临时身份分配访问权(“共享”特权)，因此可以降低最初的权利。因此例如没有一个会议参加者在使用应用程序的情况下，可以无理地访问局域系统的数据。
在已知的方法中可以看到的一项主要缺点在于，已提出的访问控制机理在分配所要求的资源时不考虑不同的用户，并且因此在“令牌持有者”和应用的所有者之间不可能加以区别。
在这个方法中一直存在的安全危险的主要原因在于，在本方法中总还有多个用户，例如系统管理者或者也有在一确定的“授权文件”中规定的其它用户，可以设置其它用户对应用的使用权利。通过这个运行方法，其它用户例如通过应用的所有者的文件系统也另外可以“确定”作为真正的应用的所有者。分配应用的权利的用户的可靠性的这种先决条件表明一显著的安全危险。
本发明基于这个问题，给出一种通过计算机控制的程序进行访问控制的方法，该程序可以由多个用户单元同时使用，该方法避免了前面已说明的安全危险。
通过符合权利要求1的方法解决了这个问题。
在本方法中，在应用的所有者，也就是启动应用的用户，当时的“令牌持有者”和所有的其它用户之间进行明确地区分。一个应用(Programm)的所有者构造一种访问控制数据库，在该数据库中此所有者基于其它用户的身份以及由用户发出的请求方式，通过自己的应用可以确定，是否允许当时的用户的申请或是否拒绝申请。
在本方法中，由组织数据流的工具(所谓的多路转换元件)接收可以由多个用户单元同时使用的应用(程序和大量的文库程序)所接收的申请，并且接着检查最初启动程序的用户单元是否已发出该申请。
假如是这种情况，并且假如应用的所有者在相关时刻拥有输入权，那么该申请就直接传递到程序。
否则，根据由应用的所有者构造的访问控制数据库对申请实施访问控制。通过访问控制实现，仅把明确的由应用所有者“许可”的申请传递到程序。
通过这个附加的访问控制显著提高了会议系统中应用“共享”的安全性。
通过符合权利要求2的方法的改进简化了该方法，通过在控制前检查用户单元是否原来已启动该程序，已发出申请的用户单元是否完全享有操作权，也就是说该用户单元是否是“令牌持有者”。如果在发送时刻不是这种情况，那么该申请绝对不首先实施另外的权利要求1所具有的方法步骤。
因此避免了由在申请发出的当时时刻不是“令牌持有者”的用户发出的申请的访问控制，由此达到了很大的计算时间节省，因为不再必须对所有的由组织数据流(多工单元)的工具接收的申请实施访问控制。
通过符合权利要求3的方法的改进，通过鉴别已发出申请的用户单元和／或申请自身，进一步提高了本方法的安全性。
在从属权利要求中给出了符合本发明方法的改进。
下面，根据示出适合本发明方法的二个实施例的附图详细说明本发明。
所示为

图1原理上的资源布置，其使用一个第一实施例的窗口系统，该窗口系统是可以扩展的，在该窗口系统中应用可以由多个用户同时使用；图2在图1中已说明的资源扩展的原理上的布置，借此一个应用的同时使用通过多个用户是可能的。
图3程序方框图，在这里说明了适合本发明方法的各个方法步骤；图4程序方框图，在这里通过对申请和／或申请的发送者的鉴别实施扩展；图5程序方框图，在这里说明了本方法的一个扩展，其中，在本方法开始时检查，在发送时刻发出申请的用户单元是否拥有对应用的操作权；图6结构图，在这里表明了至少应当存在于一个访问控制数据库中的信息；图7一个布置，在这里通过一个访问控制数据库表明了在图2中已说明的布置的必要的安全扩展。
图8原理上的资源布置，其使用了一个第二实施例的一个整体的、基于图表的窗口系统，该实施例可扩展为一个整体的、基于图表的窗口系统，在该窗口系统中各应用可以由多个用户同时使用。
根据图1至8进一步解释本发明。
在图1中为了解释一个第一实施例示出了一个布置，在该布置中说明了各个的成分(资源)，它使用一个已公开的，在(R．Scheifleret al，The X Window System，ACM Transactions on Graphics，1986年4月第5卷第2期79-109页)中已说明的窗口系统。
该布置至少具有以下的成分-一个用户单元，另外称作服务器XS，它又具有以下的成分--至少一个激励器单元DD，它通过一个在其它成分中已说明的客户XC允许在其它的外围成分之间进行耦和，--一个显示单元BS，--一个键盘TA，--一个鼠标MA，-客户XC，他至少具有以下成分--大量的文库程序XL，和--应用ANW。
显示单元BS、键盘TA、鼠标MA以及此外可能存在的其它外围单元，形成前面已说明的外围成分，该成分通过相应的激励单元DD和客户XC耦合。
客户XC的大量文库程序XL形成在已知的、上面已说明的窗口系统和应用ANW之间的接口。
文库程序XL以及应用ANW共同形成程序P。
即使在本实施例中仅说明了各一个应用ANW或一个程序P，那么自然可以为一个实施该应用的计算单元提供多个应用ANW和从而多个客户XC。
这个在图1中示出的布置也仅仅是一个非常简单的、理论上的客户XC和服务器XS进行通信过程的例子，好象通信在已知的窗口系统下进行。
服务器XS向客户XC发出一个申请A，因此在客户XC中，例如在应用ANW中，产生一些动作。这个申请例如可以通过键盘TA体现输入。通过激励器单元DD“改写”输入为申请A，并且发送给客户XC。
应用ANW，例如一个文本操作程序或者一个计算程序，一个字符程序和类似的程序，这时可以接受输入，并且在文本文件中例如作为新的字母符号接收。
为了也能通过显示器显示文本文件中的这个修改，在这种情况下，例如在一个应答B中发出一个显示申请给显示单元BS，要求修改显示器的显示。
在图2中说明的布置，它与图1中已说明的布置相比扩展了一个用于组织数据流的工具，它在其它布置中称作多路转换元件ASC，以致使基于前面已说明的窗口系统的会议系统成为可能。
已公开了多路转换元件ASC的多个不同的实现方法。这例如在(D．Garfinkel et al，HP Shared X实时协作工具，1994年4月Hewlett-Packard杂志，23-26页；W．Minenko，Transparentes ApplicationSharing unter X Window，Multimediale Telekooperation，德国人工智能研究中心(DFKI)GmbH，Saarbruecken，1994年1-8页)中已说明。
关于多路转换元件ASC的不同实现方法的研究在(J．Badeschwieler et al，A Survey on X Protocol Multiplexors，瑞士联邦技术学院，计算机工程与网络实验室(TIK)，ETH中心，Zuerich，1993)中已说明。
通过多路转换元件ASC这当然是可能的，即多个服务器XSi经过多路转换元件ASC与客户XC通信，并且因此可以访问各程序P。标志号i在此明确地定义了当时的每一个服务器XSi，并且该标志号是l和n之间的任意的自然数，同时数字n给出了经过多路转换元件ASC与客户XC耦合的服务器的总数。
多路转换元件ASC应当至少具有以下特性-多路转换元件ASC连接在客户XC和服务器XSi之间。
-与客户XC相比多路转换元件接受单一的服务器XS的功能，是为了因此获得符合图1的布置的功能。
-与n个服务器XSi相比多路转换元件ASC接受客户XC的功能，因此通过多路转换元件ASC模拟n个“逻辑客户”。
一个服务器XSi也总是发出一个会议询问Ai给多路转换元件ASC。在该多路转换元件ASC中各有关会议询问Ai转换成向客户XC发出的询问A。
客户XC的显示询问B跟图1中已说明的布置相反，是发送给多路转换元件ASC的，然后在那里转换成会议显示询问Bi，并且发送给发出会议询问Ai的有关服务器XSi。
可是按会议显示问询Bi的类型把显示问询B分配给各服务器XSi是必要的。例如这是必需的，如果显示问询B存在于向显示单元BS的申请中，因为在各服务器XSi上清楚地显示出显示内容的改变是必须的。
-多路转换元件ASC也接受多路转换器和信号分离器的功能，也接受数据流的组织。
此外在多路转换元件ASC中客户XC的显示询问B被多路转换给相耦合的服务器XSi，对此显示询问B的副本发送给单个的服务器XSi。
如果在服务器XSi上使用了不同类型的显示单元BS，或类似的，那么，此外根据服务器XSi的不同资源，例如当服务器XSi上不同的颜色显示时，就改变单个的会议显示问询Bi。
-把服务器XSi发出的会议申请Ai收集到多路转换元件ASC中，并且也许可能选出不允许的会议申请Ai。
把允许的会议访问Ai传递到客户XC，好象这些会议申请Ai直接来自一个唯一的服务器XS，不是来自多个服务器XSi，但实际是这种情况。
在图3中说明了适合本发明方法的各个步骤。
在第一步1中，一个任意的服务器XSi给多路转换元件ASC发送一个会议申请Ai。
多路转换元件ASC接收该会议申请Ai，2。
接收会议申请Ai后，在另一步骤3中检查，发出会议申请Ai的服务器XSi是否最初已启动与会议申请Ai有关的程序P。
这相当于检查会议申请Ai的发送者是否是应用AWN的所有者。
如果发出会议申请Ai的服务器XSi最初已启动程序P，并且如果他在相关时刻拥有输入权，那么会议申请Ai直接从多路转换元件ASC传递到客户XC，并且因此传递到程序P和应用ANW，4。
这实现了在本发明的范围内应用ANW的所有者拥有对其应用ANW的完全控制。因此对于这种情况来说，不必对由应用ANW的所有者发出的会议申请Ai实施另外的访问控制。
可是如果由一个不是应用ANW的所有者的服务器XSi发出会议申请Ai，那么根据访问控制数据库ZDK对会议申请Ai实施一个附加的访问控制，5．通过访问控制对该会议申请Ai区分为允许的会议申请Ai和不允许的会议申请Ai。
在另一步骤6中检查前面已实施的访问控制5的结果。如果通过应用所有者把该会议申请Ai分类为一个不允许的会议申请Ai，那么该会议申请Ai不传递到客户XC，并且因此也不传递到应用ANW，而是拒绝它，7。
可是如果通过应用所有者把该会议申请Ai分类为一个允许的会议申请Ai，那么就传递该会议申请到客户XC，并且因此传递该会议申请Ai到应用ANW，8。
通过该运行方式不再象往常一样区分这个在会议申请Ai的发送时刻拥有操作权的一方、也就是所谓的“令牌持有者”和另外的用户、所谓的“观察者”。
通过这个符合本发明的方法添加一个附加的鉴别，即鉴别发出会议申请Ai的服务器XSi是否不是应用ANW的所有者，也鉴别应用ANW最初不是由相应的服务器XSi启动的。
用该附加鉴别，在允许的会议申请Ai的适当分类的情况下，通过访问控制数据库ZDK中的应用所有者防止了未经许可的第三者可能对应用ANW的所有者的资源的访问。
通过本发明的方法，现在还只是应用ANW的所有者有权利完整地访问其自己的资源。
另外，应用ANW的所有者具有唯一的构造访问控制数据库ZDK的权利，因此唯有这种可能，他和与会者共同使用由他启动的应用ANW，也就是所有的其它服务器XSi完全承认或接受特别确定的权利。
因此避免了安全危险，其具有在(G．Gahse，“会议系统中的访问控制”，IBM德国信息系统GmbH，欧洲网络研究中心，1995年VIS会议录，141-162页，1995)中说明的方法，并且在前面已说明，因为没有其它用户单元可以作为应用ANW的所有者自己分配到对应用ANW的访问权，并且也除了应用ANW的所有者同意外，不拥有“全权”的对应用ANW的访问权。
如此唯独由应用ANW的所有者，也就是从这个最初启动应用ANW的服务器出发，构造并控制访问控制数据库ZDK。
为了可以高效实施对每个会议申请Ai的访问控制，访问控制数据库ZDK至少具有以下信息(参见图6)-客户XC的资料AC，通过它获得访问控制数据库ZDK中的登记，例如通过Inter网协议地址(IP)和附加的相应的端口地址的资料，-服务器XSi的资料AXSi，通过它获得访问控制数据库ZDK的登记，例如通过细分有关服务器XSi的显示器地址，-会议申请Ai的各类型AAT的资料，通过它获得访问控制数据库ZDK的登记，例如在第一实施例的前面已说明的窗口系统中的登记上Xcreate，Xrequest，等，-其它参数WP；该其它参数WP可以具有例如有关会议申请类型的允许数据范围。
访问控制数据库ZDK允许构造和改变的方式和方法可以以不同的方式实现。
例如预先规定，应用ANW的所有者借助一个文本编辑构造访问控制数据库ZDK作为文本文件。
此外也预先规定，为了构造该访问控制数据库ZDK使用了一个屏幕掩模，通过它对于应用ANW的所有者来说为了建立访问控制数据库ZDK使直观的输入成为可能，并因此简化了输入。
此外预先规定，对预先确定的与会者定义一些模板。这些模板是访问控制数据库，对于确定的安全道具来说，例如对于确定的应用和对于确定的与会者来说是预先确定的，并且对于当时由应用的所有者启动的应用ANW来说可以容易调用结合成为访问控制数据库。
证实消息的附加措施，在本方法的一个改进中预先规定用于避免未经授权的第三者自身进入访问控制数据库，其中消息用于定义，就是说构造访问控制数据库ZDK，或者也用于改变访问控制数据库ZDK中的数据。
专家已知用于证实的加密方法，例如非对称加密方法，通过它使数字签名成为可能，以及可能证实各消息的发送者，或者使用一种单向功能，用它至少通过会议申请Ai的一部分成一个复述值(Hash-Wert)。
在本方法的扩展中，该扩展在图4中示出，该方法开始前实施一个以后将说明的鉴别的初始化41。
这例如通过以下的措施实现。
假设多路转换元件ASC具有一个应用证书，并且用户单元，也就是服务器XSi，各具有一个各明确分配给用户单元的用户证书，于是多路转换元件ASC产生第一个随机数。
在多路转换元件ASC和有关服务器XSi之间建立传输连接后，多路转换元件ASC给用户单元发送第一个协商消息，其至少具有以下成分-程序证书，-第一个随机数，-后面要使用的加密方法的第一个建议，和-数字签名，其至少通过第一个随机数以及第一个建议形成。
由有关的用户单元，也就是服务器XSi，接收第一个协商消息。
由用户单元检查程序证书的正确性。
此外检查数字签名。
如果程序证书和数字签名的检查提供一个肯定的结果，那么在用户单元Xsi中继续检查，在以后为了鉴别和为了传输的安全是否可以使用在第一个协商消息中提出的加密算法。
如果用户单元XSi可能不支持已提出的加密算法，那么用户单元，也就是服务器XSi在第二个建议消息中形成第二建议，并且发送给多路转换元件ASC。第二个建议具有支持用户单元XSi的加密算法。从现在起，多路转换元件ASC将建议这作为在以后的方法中对于在多路转换元件和用户单元XSi之间的逻辑连接所必须使用的加密方法。
第二建议消息至少具有以下成分-有关服务器XSi的用户证书，-由用户单元XSi自己产生的第二随机数，-第二建议，-各自至少通过第一随机数、第二随机数以及第二建议形成的数字签名。
把第二建议消息发送给多路转换元件ASC。
假如支持在第一个建议中用户单元XSi给出的加密算法，那么用户单元XSi形成一个确认消息并把它发送给多路转换元件ASC。
确认消息至少具有以下成分-用户证书，-第二随机数，-肯定的确认，和-各自至少通过第一随机数、第二随机数、和肯定的确认形成的数字签名。
把确认消息发送给多路转换元件ASC。
由多路转换元件ASC接收协商消息或确认消息，在多路转换元件ASC中检查用户证书以及数字签名是否是正确的。
此外假设检查提供一肯定的结果，并且其接收的消息是确认消息，那么对于下面有效数据传输阶段来说，多路转换元件ASC考虑到约定的加密算法产生第一个会议密码。
由第一个会议密码形成第一个会议密码消息，并把它发送到用户单元XSi，其至少具有以下成分-用服务器XSi公共的密码编码的第一会议密码，-必须使用的加密方法的详细说明，-一个至少通过第一随机数、第二随机数、第一会议密码形成的数字签名以及必须使用的加密方法的详细说明。
如果多路转换元件ASC接收第二协商消息，并且用户证书和数字签名或第二协商消息的复述值的检查提供一个肯定的结果，那么在多路转换元件ASC中检查，为了实施另外的加密算法多路转换元件ASC是否支持在第二协商消息中建议的加密算法。
如果多路转换元件ASC支持已建议的加密算法，那么对于下面有效数据传输阶段来说，考虑到约定的加密算法产生第一会议密码。
另外，正如前面已说明的，在使用第一会议密码的情况下，把第一会议密码消息发送给多路转换元件ASC。
为了“商定”必须使用的加密方法只要重复前面已说明的运行方法，直到最终不仅用户单元XSi而且多路转换元件ASC接受已建议的加密方法。
在用户单元XSi中，在使用用户单元ASi的私人密码的情况下确定第一个会议密码。此外检查第一个会议密码消息的数字签名。
此外假如数字签名的检查提供一肯定的结果，那么在使用由用户单元XSi形成的第二会议密码的情况下，形成第二会议密码消息。
这个第二会议密码消息至少具有以下成分-用多路转换元件ASC的公共程序密码编码的第二会议密码，和-一个至少通过第一随机数、第二随机数、第二会议密码形成的数字签名或一个通过该成分形成的复述值。
多路转换元件ASC接收第二会议密码消息并确定第二会议密码。检查数字签名或第二会议密码消息的复述值。
如果数字签名的检查提供一个肯定的结果，那么在下面的有效数据传输阶段为了有效数据的编码而使用已交换的会议密码。对此每个参与的主管使用由他自己为了发送有效数据而产生的会议密码，同时只是为了接收有效数据使用已接收的会议密码。
在适合本发明方法的范围中，为了密码交换或者为了形成用于有效数据编码的会议密码，可以没有限制地引进其它的加密方法。
在用于鉴别的初始化阶段41结束之后，在有效数据传输阶段，在多路转换元件ASC中接收到有关的会议申请Ai之后，总是进行会议申请Ai和／或发出会议申请Ai的用户单元XSi的鉴别42。
在另外的步骤43中检查，鉴别是否提供一个肯定的结果。如果是肯定的结果，会议申请Ai导致其它的前面已说明的方法L。
可是如果鉴别43得到一个否定的结果，那么就拒绝该会议申请Ai，并且因此不把该会议申请传递到客户XC，44。
此外本发明的另一扩展在于，接收会议申请Ai后，通过多路转换元件ASC2检查，在当时的发送时刻，已发出会议申请Ai的用户单元XSi是否拥有操作权51(参见图5)。
这符合这个提问，即在会议申请Ai的发送时刻用户单元XSi是否是应用ANW的“令牌持有者”。
如果是这种情况，那么会议申请Ai进行适合本发明方法的其它方法步骤L。如果不是这种情况，则不传递该会议申请Ai，并且因此拒绝它，52。
该扩展具有这样的优点，本来不允许的会议申请Ai，也就是由一个目前完全不拥有操作权的用户单元XSi发出的会议申请Ai进行全部的方法。因此避免了多余的访问控制。
在图2中已说明的布置的必要扩展，对此该布置可以实施前面已说明的方法，在图7中描述。该扩展在于，在多路转换元件ASC中预先规定一附加的访问控制。
此外，当然必须执行前面已说明的预先规定的检查。
在第二实施例中对计算单元说明该方法，该计算单元使用整体的、基于图形的窗口系统，其不具有在应用ANW和窗口系统之间的公共通信接口(参见图8)。
这样的整体的、基于图形的窗口系统的例子是众所周知的，并在前面已引用。
在整体的、基于图形的窗口系统上，为了分配壹-用户-应用，同样必需在应用ANW和用户界面之间将窗口协议“拆开”。在这里的运行方法原理上与已说明的类似。下面叙述在窗口协议中可能的结合位置。
图8中描述了这个整体的、基于图形的窗口系统GDWS的结构。
整体的、基于图形的窗口系统GDWS至少具有以下成分-显示器BS，-键盘TA，-鼠标MA，-图形卡激励程序GDD，
-图形文库程序BCL，-具有输入处理程序IL的窗口文库程序WL，-应用ANW。
在本实施例中，应用ANW，如基于图形的窗口系统GDWS，在相同环境下并且为了互相通信双方使用大量的一个共同的存储器中的功能调用。
因为基于图形的窗口系统GDWS不具有公共的通信接口，所以必须并且在图8中示出的图的结构中为了由多个用户同时使用的应用ANW，插入该种接口。
在有关基于图片的窗口系统GDWS的不同位置上可以进行扩展，例如在窗口文库程序WL和应用ANW之间的第一程序接口上，在图形文库程序BCL和窗口文库程序WL之间的第二程序接口上，或在图形卡激励程序GDD上。
这个改变只有在下面的情况下是可能的，即如果窗口文库程序WL、图形文库程序BCL或图形卡激励程序GDD不是不变地结合在应用ANW上，而是动态地结合这种方式的程序称为动态链接库(DLL)。
已公开了必要的改变。
正如前面已说明的，根据本发明的方法也在这个整体的、基于图形的窗口系统GDWS上实施。
权利要求
1．通过计算机控制的、可以由多个用户单元(XSi；i=1…n)同时使用的程序(P)而进行访问控制的方法，-其中，用户单元(XSi)发送用于程序(P)的申请(Ai)(1)，-其中，在一个组织数据流的工具(ASC)中，接收用于一个程序的申请(Ai)(2)，-其中，在工具(ASC)中检查，发出申请(Ai)的用户单元(XSi)是否最初已启动该程序(P)(3)，-其中，假如发送申请(Ai)的用户单元(XSi)已启动该程序(P)，那么申请(Ai)将被传递到该程序(P)(4)，-其中，假如发送申请(Ai)的用户单元(XSi)没有启动程序(P)，那么根据一个访问控制数据库(ZDK)，将实现对申请(Ai)的一个访问控制(5)，-其中，假如访问控制得出申请(Ai)表示一个允许的申请，那么申请(Ai)被传递到该程序(P)，(6、8)-其中，假如访问控制(ZDK)得出申请(Ai)表示一个未被允许的申请，那么申请(Ai)不被传递到该程序(P)，(6、7)。
2.根据权利要求1的方法，-其中在控制用户单元(XSi)是否最初已启动程序(P)之前(3)，在工具(ASC)中检查，用户单元(XSi)在申请(Ai)发出时刻是否具有一个操作权(51)，和-其中，假如用户单元(XSi)不具有操作权，那么申请(Ai)不被传递到程序(P)(52)。
3.根据权利要求1或2的方法，其中，在该方法开始时，对发出申请(Ai)的用户单元(XSi)和／或申请(Ai)实施鉴别(42)。
4.根据权利要求3的方法，其中，在用户单元(XSi)和程序(P)之间建立的一个连接上，实施鉴别的一个初始化阶段(41)。
5.根据权利要求4的方法，其中，在初始化阶段设置了下列步骤，其中用户单元(XSi)具有一个用户证书，并且多路转换元件(ASC)具有一个程序证书a)由多路转换元件(ASC)产生第一个随机数，b)由多路转换元件(ASC)给用户单元(XSi)发出第一个协商消息，该协商消息至少具有以下成分--程序证书，--第一个随机数，--第一个建议，和--一个数字签名，该签名至少通过第一个随机数和第一个建议形成，c)第一个协商信息由用户单元(XSi)接收，d)由用户单元(XSi)检查程序证书，e)由用户单元(XSi)检查数字签名，f)假如程序证书和数字签名的检查提供一个肯定结果，那么由用户单元(XSi)检查是否可以继续使用已提出的加密算法，g)假如用户单元(XSi)不支持这个加密算法，那么由用户单元(XSi)在第二个建议消息中构成第二个建议，并且发送到多路转换元件(ASC)上，并且其至少具有以下成分--用户证书，--第二个随机数，它由用户单元(XSi)产生，--其它建议，和--一个数字签名，该签名至少通过第一个随机数、第二个随机数和其它的建议形成，h)假如支持加密算法，那么由用户单元(XSi)形成一个承认消息并且发送到多路转换元件(ASC)上，其至少具有以下成分--用户证书，--第二个随机数，它由用户单元(XSi)产生，--一个肯定承认，和--一个数字签名，该签名至少通过第一个随机数、第二个随机数和肯定的承认形成，i)由多路转换元件(ASC)接收第二个协商消息或者确认消息，j)由多路转换元件(ASC)检查用户证书，k)由多路转换元件(ASC)检查数字签名，l)假如对用户证书和数字签名的检查提供一个肯定结果并且接收到确认消息，那么由多路转换元件(ASC)在考虑用于下面的有效数据传输阶段所约定的加密算法的条件下产生第一个会议密码，m)假如对程序证书和数字签名的检查提供一个肯定结果并且接收到另外的协商消息，那么由多路转换元件(ASC)检查是否可以继续使用已建议的加密算法，o)假如可以继续使用已建议的加密算法，那么由多路转换元件(ASC)在考虑用于下面的有效数据传输阶段所约定的加密算法的条件下产生第一个会议密码，p)由多路转换元件(ASC)向用户单元(XSi)发出第一个会议密码消息，其至少具有以下成分--用用户单元(XSi)的一个公共密码编码的第一会议密码，--一个至少通过第一随机数、第二随机数、第一会议密码形成的数字签名，q)在使用一个私人用户密码的情况下，由用户单元(XSi)确定第一个会议密码，r)由用户单元(XSi)检查数字签名，s)由用户单元(XSi)将第二会议密码消息发送到程序，其至少具有以下成分--用多路转换元件(ASC)的一个公共密码编码的第二会议密码，--一个至少通过第一随机数、第二随机数、第二中间密码形成的数字签名或者复述值，t)由多路转换元件(ASC)接收第二会议密码消息，u)由多路转换元件(ASC)检查数字签名或者复述值，v)假如检查提供一个肯定结果，那么就开始有效数据传输阶段，其中发送数据的每一主管都使用会议密码，该会议密码由主管自身产生，并且其中仅为了接收发送消息使用当时接收到的会议密码。
6.根据权利要求1至5中的任一个的方法，其中，访问控制数据库(ZDK)至少具有下面信息-客户(XC)的一个说明(AC)，访问控制数据库(ZDK)中的登记与该客户有关系，-窗口(AF)的说明，访问控制数据库(ZDK)中的登记与该窗口有关系，-用户单元(XSi)，-请求类型(AAT)说明，它的详细特性在另外的参数(WP)中给出，-另外的参数(WP)，该参数必须具有申请(Ai)，以便于能被作为一个允许的申请接收。
全文摘要
本发明涉及一种根据一访问控制数据库(ZDK)对会议申请(Ai)进行附加访问控制的方法。根据在访问控制数据库(ZDK)中准确指定的允许的会议申请(Ai)实现访问控制,该会议申请是由程序(P)的所有者分配给用户单元(XSi)的。
文档编号G06F9/46GK1205787SQ96199230
公开日1999年1月20日 申请日期1996年11月28日 优先权日1995年12月22日
发明者O·普法夫 申请人:西门子公司