应用功能指定装置及其方法和存储执行程序的记录媒体的制作方法

专利名称：应用功能指定装置及其方法和存储执行程序的记录媒体的制作方法
技术领域：
本发明涉及应用功能指定(application function designatingapparatus)装置和方法，以及记录媒体，具体地说，涉及用于允许授权应用执行者动态地转换在WWW浏览器等上操作的应用的可执行功能的应用功能指定装置和方法，以及存储功能程序的记录媒体。
随着互联网技术的最新发展，开始广泛运用WWW(环球网)应用，诸如在WWW浏览器上操作的Java小应用程序(applet-下面称为小应用程序)。
而操作本身或者这种应用的一些功能经常受到与用户相关的运用限制。例如，假设某一小应用程序包括几种功能。当执行该小应用程序时，必须根据用户的授权情况使一些功能动态可执行或者不可执行。为了实现这种动态改变可执行范围的功能，传统上采用下列方法。
第一种方法是，小应用程序本身询问用户信息(例如，用户名和密码)。
即，如此形成小应用程序，从而当执行该小应用程序时，小应用程序要求用户(小应用程序执行者)输入用户信息(即，用户名和密码)，而且根据该信息确定要执行和不要执行的内部功能。
然而，为此，需要分别形成用户授权机制和用于设置和管理每个用户的授权信息的机制。
第二种方法是对不同组合的可执行功能准备不同小应用程序。
例如，假设由小应用程序实现三种功能A、B和C。如果是这种情况，那么准备小应用程序1能够执行功能A、B和C的小应用程序小应用程序2能够执行功能A和C的小应用程序小应用程序3只能执行功能A的小应用程序，而且对于三个小应用程序根据WWW服务器的访问控制功能设置访问权限。
即，对于能够执行所有功能A、B和C的用户设置对小应用程序1的访问权。对于能够执行功能A和C的用户设置对小应用程序2的访问权。对于只能执行功能A的用户设置对小应用程序3的访问权。
结果，没有授权执行功能B的用户不能下载或执行小应用程序1。
不幸的是，通过传统执行应用的技术动态地改变一些WWW功能仍然存在下列问题有待解决。
在其中小应用程序本身询问用户信息的第一种方法中，输入到该小应用程序的用户信息只有在WWW浏览器上运行的这种小应用程序中才有效。
另一方面，如果设置对WWW内容的访问权，那么通过使用HTTP(超文本传输协议)将用户信息从WWW浏览器传递到WWW服务器，而且WWW服务器执行用户识别并检测访问授权。
为了访问已设置对其访问权的WWW内容，首先要求用户输入用户信息，而且当执行小应用程序时再次要求输入用户信息。即，不能实现单注册(single-sign-on)(用户只进行一次识别用于多项服务的机制)。
此外，在该第一种方法中，必须分别在服务器上准备用于用户识别的机制或者用于管理和设置访问授权的机制，或者包含在小应用程序中。打包这些机制需要更多工作量。
此外，有时宁可运用数字证明，替代用户名和密码的组合作为用户信息，以便提高安全度和便于用户使用。当将第一种方法与运用数字证明的方法相结合时，为了使小应用程序询问用户信息，需要形成用于从它的存储器位置(即，WWW浏览器或IC卡)提取数字证明的机制，和用于分析数字证明的内容以便执行用户授权的机制。这大大增加了用于打包的工作量。
另一方面，在为可执行功能的不同组合准备不同小应用程序的第二种方法中，用户选择以菜单等形式执行的小应用程序。然而，有时很难每次都允许用户选择小应用程序。
例如，假设通过在执行小应用程序1之后执行小应用程序2来完成该处理过程。还假设小应用程序1包括功能A和B，而且小应用程序2包括功能C和D。在这种情况下，由下列两个小应用程序根据上面提到的现有技术中的内容实现该小应用程序1和2中的每个程序。
小应用程序1a能够执行功能A和B的小应用程序1小应用程序1b只能执行功能A的小应用程序1小应用程序2a能够执行功能C和D的小应用程序2小应用程序2b只能执行功能C的小应用程序2在这种处理过程中，在完成小应用程序1a的处理之后，调用小应用程序2。然而，这种小应用程序2具有两种变化(variation)，小应用程序2a和2b。
一般，对于具有对小应用程序1a的访问权的用户不需要赋予对小应用程序2a的访问权。因此，当小应用程序1a形成(打包)时不能规定该小应用程序1a是调用小应用程序2a还是小应用程序2b。出于这一原因，当执行小应用程序1a时，需要动态改变下一步调用的小应用程序。
不幸的是，没有提供这样的机制。因此，当执行小应用程序1a时，需要以菜单的形式使用户选择小应用程序2a或2b。然而，实践中，通常动态将处理从小应用程序1传递到小应用程序2，而没有用户的干预。因此，在多种情况下每次询问用户是很难的。
此外，当一个小应用程序包括多种功能时，形成对小应用程序的多种变化，诸如小应用程序1a、1b、1c、…。这大大增加了打包和管理的成本。
本发明的目的在于提供一种当执行该应用时，根据执行应用的用户授权能够动态使由应用提供的一些功能可执行或不可执行，而且能够实现单注册的应用功能指定装置，以及存储执行该应用功能指定的程序的记录媒体。
本发明提供一种应用功能指定装置，它包括接收来自应用的授权信息请求的接收部分，和根据来自该应用的授权信息请求，将授权信息返回到应用的返回部分，授权信息是关于由应用提供的一个或多个功能中可由使用该应用的用户执行的应用功能的可行性。
在本发明中，授权信息返回装置能够根据执行该应用的用户授权，使由应用提供的一些功能可执行或不可执行。
本发明提供一种应用功能指定装置，它包括接收来自应用的授权信息请求的接收部分，和根据来自该应用的授权信息请求指定该应用的一个或多个功能中的可执行功能的指定部分。
在该应用功能指定装置中，授权信息管理部分管理被允许或不被允许执行功能的用户信息作为对于每个应用的每个功能的执行授权信息。
此外，授权信息返回部分获得来自授权信息管理部分的关于已输出授权信息请求的应用的执行授权信息。根据该执行授权信息，形成关于由使用该应用的用户可执行的应用功能的可行性的信息作为例如，可执行功能表，而且返回到以输出该请求的该应用。
因此，根据执行应用的用户授权，可使由该应用提供的一些功能可执行或不可执行。
在下面的描述中提到，并从该描述中部分地看到，或者通过实践本发明可认识到本发明的附加目的和优点。可实现本发明的目的和优点，而且利用下面特别指出的手段和组合，可实现和获得本发明的目的和优点。
加入并构成本发明的一部分的附图当前示出本发明的较佳实施例，结合上面给出的一般描述和下面给出的较佳实施例的详细描述，用来解释本发明的原理。


图1是示出将根据本发明的第一实施例的应用功能指定装置施于它的网络系统的布局的方框图；图2是与小应用程序A相对应的授权信息示图；图3是示出在本实施例中的WWW服务器的操作过程的流程图；图4是示出可执行功能表的内容的示图；图5是示出在本实施例中WWW浏览器的操作过程的流程图；图6是示出实现根据本发明的第二实施例的应用功能指定装置的WWW服务器的布局的方框图；图7是示出在该实施例中的应用功能指定装置的操作的流程图；图8是示出在该实施例中作为CGI返回值的可执行功能表的示图；图9是示出在根据本发明的第三实施例的应用功能指定装置中的授权信息的数据结构的示图；图10是示出在该实施例中应用功能指定装置的操作过程的流程图；图11是示出将根据本发明的第五实施例的应用功能指定装置施于它的WWW服务器的布局的方框图；图12是示出ACE的示图；图13是示出在第五实施例中的信息转换器155的信息转换表的示图；图14是示出在第五实施例中的ACL的示图；图15是示出在本发明的实施例中由应用显示的系统结构的示图；图16是示出当没有任何设置变化授权的用户执行应用时屏幕的示图；和图17是示出当具有设置变化授权的用户执行应用时的屏幕的示图。
下面参照图1，叙述将根据本发明的第一实施例的应用功能指定装置施于一个网络系统。该网络系统由与互联网相连的大量计算机构成。图1示出WWW浏览器108和110以及被安装在这些计算机中的一些计算机中的WWW服务器101。注意，没有示出计算机本身和运用公共信道等的网络信道。
WWW服务器101具有一般WWW服务器功能，还包括授权信息返回部分102以及授权信息管理部分103。该WWW服务器101还包括在存储装置(未图示)中的多个小应用程序，包含小应用程序105和106。授权信息管理部分103管理与小应用程序105，106等相对应的授权信息104。
通过在WWW服务器101上提供授权信息返回部分102和授权信息管理部分103，实现本实施例的WWW应用功能指定装置。
在如图1所示的结构中，用户1运用浏览器108，用户2运用浏览器110和这些用户从WWW服务器101把小应用程序105下载到他们的浏览器并执行它。下载到浏览器108和110上并使可执行的小应用程序分别是小应用程序111和112。
如果小应用程序询问用户授权，那么授权信息返回部分102询问授权信息管理部分103，允许用户运用小应用程序的哪些功能。根据该询问的结果，授权信息返回部分102形成可执行功能表并将该表返回到小应用程序。没有特别限制执行该授权信息返回部分102的方法，只要可从小应用程序激活该部分。例如，可运用由WWW服务器向公众开放以扩充WWW服务器功能的CGI(公共网关接口)或者API(应用编程结构)，执行授权信息返回部分102。
授权信息管理部分103管理如上所述的授权信息104，而且当由授权信息返回部分102调用时，返回与指定的小应用程序相对应的结果和用户的授权信息104的内容。当CGI执行授权信息返回部分102时，可激活授权信息管理部分103作为来自授权信息返回部分102的子过程，或者作为授权信息返回部分102的一个内部功能并在其相同的处理过程中执行上述授权信息管理部分103。
对于由WWW服务器101保持的每个小应用程序，准备授权信息104。该授权信息104表示可执行相应小应用程序功能的用户。
图2是示出与小应用程序A相对应的授权信息的示图。
该小应用程序A具有粗略显示功能122、详细显示功能123和数据变化功能124，作为该小应用程序的原始处理功能。如图2所示的用户具有这些功能的执行授权。
除了这些小应用程序原始处理功能122、123和124之外，小应用程序105和106具有授权检测处理器121。注意，不同小应用程序具有不同原始处理功能。
授权检测处理器121用它自己的小应用程序名称激活WWW服务器101的返回部分102，而且还接收来自返回部分102的可执行功能表。
根据该可执行功能表，授权检测处理器121使该小应用程序的其他功能(小应用程序原始处理功能)中的并且允许用户执行的一些功能可执行。参照图1，使得允许用户1和2执行的功能可执行。
WWW浏览器108和110具有根据来自WWW服务器101的请求获取例如包含用户识别信息(用户名)和密码的用户信息并把用户信息发送到服务器101的功能作为浏览器标准功能，虽然未图示。利用该信息，WWW服务器101识别WWW浏览器108和110的操作者作为用户。
下面，将描述根据如上所述构成的本实施例的应用功能指定装置的操作过程。
图3是示出在该实施例中的WWW服务器的操作过程的流程图。
首先，从小应用程序111、112等调用授权信息返回部分102，并接收询问目标小应用程序名(s1)。
接着，WWW服务器101的服务器功能赋予授权信息返回部分102以用户名，它是执行调用授权信息返回部分102的小应用程序的用户的用户名(s2)。可通过运用由WWW服务器101提供的标准功能，提取该用户名。
通过运用已获取的询问目标小应用程序名作为参数，授权信息返回部分102询问授权信息管理部分103关于授权信息104(s3)。
授权信息管理部分103提取在步骤s3中接收到的并与询问目标小应用程序名相对应的授权信息104，并将它发送到授权信息返回部分102(s4)。
授权信息返回部分102分析该授权信息104并形成一个功能表(可执行功能表)这些功能的执行权已赋予在步骤s2得到的询问目标用户。
图4是示出可执行功能表的内容的示图。
图4的表表示是否允许用户1和2执行小应用程序A和B的功能作为询问目标。注意，如图2的该可执行功能表125与对于用户2的小应用程序A相关。
授权信息返回部分102把已形成的该可执行功能表返回到小应用程序111、112等作为调用源(calling source)(s6)。
注意，在步骤s5中，授权信息返回部分102通过将询问目标用户名与从授权信息管理部分103接收到的信息进行核对，形成可执行功能表。然而，当调用授权信息管理部分103时，还可以把询问目标用户名作为参数传递，而且允许授权信息管理部分103形成询问目标用户的可执行功能表。
下面参照图5的流程图，描述根据从授权信息返回部分102接收到的授权信息(可执行功能表125)，并根据给定授权，转换操作的小应用程序111、112等的操作步骤。
图5是示出在该实施例中的WWW浏览器的操作过程的流程图。
首先，当启动小应用程序111、112等以在浏览器108、110等中执行(t1)时，小应用程序111、112等的授权检测处理器121激活在WWW浏览器101上的授权信息返回部分102(t2)。
此后，将由授权信息返回部分102形成的可执行功能表125传递到授权检测处理器121(t3)。根据该小应用程序的功能的该表125，授权检测处理器121或小应用程序原始处理功能122、123、124等使得只有允许用户1，2执行的那些成为可执行。
在如图1所示的用户2运用小应用程序A的情况下，图2示出了用于该小应用程序A的授权信息。因此，可执行功能表125如图4所示。如图1所示，只有“粗略显示功能122”可执行。
下列方法可用作小应用程序111、112等的功能控制方法。
(1)当形成小应用程序的执行屏幕时，对于未被授权小应用程序用户不显示执行功能的GUI(图形用户界面)部件(例如，按钮)，或者由授权检测处理器121，或小应用程序原始处理功能122、123、124等通过设置它们的特性，使得这些GUI部件不可操作。
(2)将可执行功能125保持在小应用程序中，而且把例行程序存储在提供小应用程序功能122等的每种方法中。该例行程序检测所保持的可执行功能表，而且如果不给出任何授权，停止执行该方法。例如，方法定义具有下列布局公共空白(Public void)详细显示功能(){查寻可执行功能表并检测是否赋予详细显示功能的执行权如果(赋予执行授权){用于执行详细显示的例行程序}}以这种形式，在授权检测处理器121或小应用程序原始处理功能122、123、124等中形成基于可执行功能表125的功能执行限制处理。当执行小应用程序时，这完成了与执行者的授权相对应的操作转换。
如上所述，根据本发明的该实施例的应用功能指定装置中，WWW服务器101包括授权信息返回部分102和授权信息管理部分103，而且小应用程序111，112等运用这些部分。结果，可获得下列效果。
(1)当执行小应用程序时，要求授权信息返回部分102检测用户授权。因此，可以如此构成小应用程序，使得根据用户授权在执行中能动态改变可执行功能。
(2)因此，可以动态地改变在所提供的功能中哪些可执行和哪些不可执行。这就不需要形成不同变化的几种小应用程序，从而大大减小了打包和管理成本。
(3)由于小应用程序111、112等参照在服务器上保持的执行授权信息，所以可以有效地设置和管理授权信息，从而可以减小设置和管理成本。此外，当改变授权信息的内容时，不发生任何误匹配，这与赋予每个客户授权信息的情况不同。
(4)此外，通过WWW服务器101等将用户信息传递到授权信息返回部分102。因此，可以直接使用WWW服务器101的服务器功能所具有的用户授权功能。这不需要再次请求用户信息，从而实现了所谓的单注册。
注意，不总是需要直接使用由WWW服务器提供的作为标准功能的用户授权功能。即，通过不同方法可以获得用户名。
此外，即使当使用扩展服务器功能的API来实现授权信息返回部分102时，该API通过运用或者无需运用WWW服务器的标准用户授权功能可以获取用户名。如果不用WWW服务器的标准用户授权功能，那么可将用户信息发送到小应用程序111，112等的授权检测处理器121。
下面描述第二实施例。在该第二实施例中，将使用CGI作为实现第一实施例中授权信息返回部分102的方法。
图6示出用于根据第二实施例实现应用功能指定装置的WWW服务器的布局。与图1中相同的标号表示相同部分，将省略其详细描述，而且下面仅描述不同部分。
以与第一实施例中相同的方法构成该WWW服务器101，除了授权信息返回部分102被构成为CGI程序(由CGI执行的程序)，而且授权信息管理部分103作为授权信息返回部分102的一个功能实现，并与返回部分102作为同一过程运行。虽然该WWW服务器101具有用户授权部分131，但是通常将这授权部分131包含在一般WWW服务器功能中，因此不在第一实施例中示出。
当接收来自小应用程序111、112等的执行授权信息返回部分102的请求时，用户授权部分131向WWW浏览器108，110等请求用户信息。此外，用户授权部分131将它自己获得的用户信息，或者前面获得的用户信息设置在变量REMOTE_USER中，给予授权信息返回部分102。
注意，CGI是用于执行在WW服务器上的程序的机制，而且通过向浏览器请求执行程序，实现该程序操作。
下面，描述在该实施例中如上所述构成的应用功能指定装置的操作过程。
图7是示出本实施例的WWW应用功能指定装置的操作过程的流程图。
首先，小应用程序111、112等的授权信息检测处理器121通过运用CGI，请求执行授权信息返回部分102。结果，把作为CGI的参数的询问目标名称(小应用程序名)的授权信息传递到授权信息返回部分102(u1)。
如果相对于WWW服务器101，该小应用程序111、112等的执行者本身未被授权，那么用户授权部分131请求WWW浏览器108、110等发送在HTTP级上的用户信息(u2)。
接收该请求并提示用户输入用户信息的处理是WWW浏览器一般作为标准功能提供的功能(未图示)。通常的解决方法是显示弹出窗口，并允许用户输入用户名和密码。如果对于该WWW服务器已执行用户授权，那么在这点上省略处理。
接着，WWW服务器101通过运用HTTP接收从WWW浏览器108、110等发送的用户信息(u3)。
根据作为用户信息的用户名和密码，WWW服务器101的用户授权部分131执行用户授权。如果用户被授权，那么用户授权部分131在变量REMOTE_USER中设置用户名(u4)。该变量可被作为CGI程序的授权信息返回部分102参照。
于是，授权信息返回部分102作为CGI程序执行(u5)。首先，通过参照在授权信息返回部分102中的变量REMOTE_USER，获得激活该授权返回部分102的用户(即，运用小应用程序111、112等的用户)的用户名。此外，提取激活CGI的参数来获得在授权信息返回部分102中的授权询问目标名(小应用程序名)(u6)。
接着，通过运用在步骤u6中获得的询问目标名作为参数，请求授权信息管理部分103(功能或子程序)返回询问目标的授权信息(u7)。
根据这种询问目标名，授权信息管理部分103搜索该询问目标的授权信息，而且把搜索结果返回到授权信息返回部分102(u8)。
授权信息返回部分102用在步骤u8中获得的授权信息核对在步骤u6中获得的用户名，并形成目标用户可执行的功能表(可执行功能表125)(u9)。
如果询问目标是“小应用程序A”，目标用户是“用户2”，而且授权信息如图2所示，则该用户2是仅对“粗略显示功能122”给定授权。因此，可执行功能表125如图4所示。
根据在步骤u9中获得的可执行功能表125，授权信息返回部分102构成返回值并作为CGI的返回值返回到小应用程序111，112等(u10)。
注意，如图8所示的格式可作为返回信息格式(可执行功能表125)。
图8示出在该实施例中作为CGI返回值的可执行功能表的例子。
在该实施例中，授权信息返回部分102通过用询问目标用户名核对从授权信息管理部分103接收到的信息，形成可执行功能表。然而，也可以当调用目标信息管理部分103时传递询问目标用户名作为参数，并允许授权信息管理部分103形成询问目标用户的可执行功能表。
如上所述，在根据本方面的该实施例的应用功能指定装置中，授权信息返回部分102作为CGI构成，而且将授权信息管理部分103与该授权信息返回部分102互锁。结果，可以获得下列效果。
(1)由于直接使用通常由WWW服务器和WWW浏览器提供的用户授权功能，所以无需新形成这些功能。这减小系统构成的工作量。
(2)由于用HTTP执行用户授权，所以当WWW浏览器访问另一个HTML文件时，可通过与用于用户授权的相同处理执行该用户授权。因此，可以容易地完成在该WWW浏览器和另一个WWW系统或WWW应用之间的单注册。
下面描述第三实施例。在第一和第二实施例中，用户输入用户名和密码的组合作为在用户识别中用到的用户信息。在该第三实施例中，将数字证明作为用户信息。
用与第一和第二实施例相同的方法，构成第三实施例的应用功能指定装置，除了将数字证明用作用户信息。数字证明是包含用户名并具有数字签名的信息。
在该实施例中，WWW浏览器108、110等和WWW服务器101具有运用数字证明执行用户授权的功能。注意，该功能是由一般WWW浏览器和WWW服务器提供的标准功能。
下面描述如上所述构成的该实施例的应用功能指定装置的操作。
该装置的操作与在第一和第二实施例中描述的过程相同，除了运用数字证明。
为了获得该数字证明，WWW服务器101根据HTTP发送用户信息传输请求。
一旦接收到该请求，WWW浏览器108，110等运用它的WWW浏览器标准功能来提取运用在该浏览器上操作的小应用程序111、112等的用户的数字证明，并发送到WWW服务器101。
WWW服务器101的WWW服务器标准功能分析发送到WWW服务器101的数字证明，并执行用户授权鉴别。
结果，在可从CGI程序参照的变量(remote_user)中设置运用小应用程序111、112等的用户的用户名，如在第二个实施例中一样。注意，即使当由用于扩展WWW服务器的功能的API构成授权信息返回部分102时，通过运用该API，可参照存储用户名的变量。
如上所述，在根据本发明的该实施例的应用功能指定装置中，可在用户授权中运用数字证明。结果，可获得下列效果。
(1)运用数字证明可改善安全性。
(2)由于运用数字证明，浏览器用户无需每次输入用户名和密码的组合。这提高了对用户的方便程度。
(3)可以直接运用WWW浏览器和WWW服务器通常提供的数字证明处理功能。因此，应用开发商无需形成任何这样的功能，而且这有利于应用发展。
下面描述第四实施例。在该第四实施例中，在第一至第三实施例中的授权信息104作为如图9所示的格式的文本文件实现。
图9示出在根据本发明的第四实施例的应用功能指定装置中的授权信息的数据结构。
如图9所示，该授权信息104具有运用空行表示记录分隔符(record break)作为记录单元的数据格式。即，在小应用程序A的授权信息的记录区域和小应用程序B的授权信息的记录区域之间形成一空行。此外，在每个记录的第一行中描述目标小应用程序名，由该小应用程序提供并设置访问权的功能名，和允许执行这些功能的用户名在第二和下面的行中描述。
下面，参照图10的流程图，描述如上所述构成的第四实施例的应用功能指定装置的操作。
图10是示出根据第四实施例的WWW应用功能指定装置的操作过程的流程图。
如图3所示的第一实施例的步骤s1和s2中的处理过程与第四实施例中的相同，省略其详细描述，而且只描述与步骤s3至s6相对应的部分。在下列描述中，假定授权信息询问目标小应用程序名是“小应用程序A”且询问目标用户名是“用户2”。
首先，授权信息返回部分102通过运用询问目标小应用程序名(“小应用程序A”)作为参数，询问授权信息管理部分103关于授权信息(v1)。
接着，授权信息管理部分103参照授权信息104并提取与询问目标小应用程序名相对应的授权信息，即，其中在第一行中描述询问目标小应用程序名的记录信息(v2)。
在这个例子中，询问目标小应用程序名是“小应用程序A”。因此，在如图9所示的授权信息中，提取与“小应用程序A”相对应的记录内容，即，目标小应用程序A粗略显示用户1，用户2，用户3，用户4详细显示用户1，用户4数据变化用户1。
接着，授权信息管理部分103把在步骤v2中获得的授权信息传递到授权信息返回部分102(v3)。不特殊限定返回部分，而且可以是处理间(inter-process)通信或者运用文件或共享存储器交换。如果执行授权信息管理部分103作为授权信息返回部分102的一个功能，并在与它相同的处理中，可以诸如C/C++结构的数据结构的形式交换授权信息。
授权信息返回部分102参照在步骤v3中接收到的授权信息，检测是否包括询问目标作为对每个功能设置的可执行用户，并形成可执行功能表125(v4)。
在这个例子中，询问目标用户是“用户2”。因此，通过检测“用户2”是否包含在步骤v2中获得的授权信息的任一行中，形成可执行功能表125。
三个功能，即，“粗略显示功能122”、“详细显示功能123”和“数据变化功能124”被描述为功能。由于用户2被描述为只在“粗略显示功能122”的行中具有授权，所以可执行功能表125如下粗略显示0K信息显示NG数据变化NG在形成该可执行功能表125之后，把需要返回到小应用程序112的信息加到表125，而且返回表125(v5)。如果通过运用HTTP执行利用小应用程序112的发送/接收，那么附加信息是“内容类型文本/无格式”。
在该实施例中，授权信息返回部分102通过用询问目标用户名核对从授权信息管理部分103接收到的信息，形成可执行功能表。然而，当调用授权信息管理部分103时也可能将询问目标用户名作为参数传递，并允许授权信息管理部分103形成询问目标用户的可执行功能表。
如上所述，在根据本发明的这个实施例的应用功能指定装置中，以用空行表示记录分隔符的数据格式描述授权信息104。因此，很容易实现上述实施例的功能和效果。
下面，描述第五实施例。在该第五实施例中，通过提供以访问控制表(ACL)形式的授权信息104，实现在第一至第四实施例中的授权信息管理部分103。
图11是示出应用根据本发明的第五实施例的应用功能指定装置的WWW服务器的布局的方框图。与图1至10相同的标号表示相同部分，而且省略其详细描述。
这个WWW应用功能指定装置具有与第一至第四实施例相同的布局，除了授权信息管理部分103包括询问管理部分151、ACL管理部分152和ACL存储部分153。
ACL管理部分152提供设置和管理ACL、分析ACL和返回ACL内容的功能。作为这些功能，直接使用由WWW服务器提供的标准功能。
注意，一般WWW服务器通过运用该ACL管理部分152的功能，提供用于设置和管理ACL的用户接口。此外，在一些情况下，向公众开放使用ACL管理部分152的功能的API。对于不提供任何用户接口或API的WWW服务器，通过以CGI程序等的形式打包ACL设置/管理功能，构成ACL管理部分152。
ACL存储部分153存储ACL作为多个ACE154(访问控制入口)的组，每个ACE包括对单个内容(文件)的访问权的设置信息。处理该ACL的功能也是由WWW访问器提供的标准功能。
图12示出ACE的一个例子。
在如图12所示的ACE例子中，赋予用户1和2对内容“sample.html”的“读取”授权。不同WWW服务器具有ACL和它的元件ACE的不同描述格式。然而，所包含的所有信息基本上是相等的。
询问管理部分151包括信息转换器155和作为与ACL管理部分152的接口的ACL询问部分156。
该询问管理部分151把诸如从授权信息返回部分102提供的小应用程序名的信息转换成具有在ACL管理部分152中所用到的形式的命令，而且向ACL管理部分152请求ACE。此外，询问管理部分151将从ACL管理部分152接收到的信息返回到授权信息返回部分102。
信息转换器155把诸如从授权信息返回部分102提供的小应用程序名的信息转换成具有在ACL管理部分152中用到的格式的命令。对于这种转换，信息转换器155具有如图13所示的表格。
图13示出第五实施例的信息转换器155具有的信息转换表的例子。
如图13所示，当接收某一小应用程序名时，该表格把信息转换成用于从相应ACE中获取小应用程序信息的命令。
下面，描述根据如上所述构成的第五实施例的应用功能指定装置的操作过程。
在详细描述WWW应用功能指定装置的操作之前，描述将授权信息104设为ACL的过程。作为该授权信息104的例子，运用如第一实施例的图2所示的信息。
首先，形成几个文件来设置授权信息。作为例子，假设文件名命名法是“目标名DOT功能名DOT acl(target name DOT function name DOT acl)”。该命名法只是例子而已，只要能够执行下列处理，可以使用任何其他形式。
如图2所示，小应用程序A包括三个功能。因此，根据上述命名法，形成具有名“applet A.rough display.acl”、“applet A.detail display.acl”和“applet A.data change.acl”的文件。
接着，例如通过运用由WWW服务器101提供的接口，设置对于这三个文件的ACL。设置方法与对于公共HTML文件等相同。
根据图2，用户1、2、3和4具有对小应用程序A的粗略显示功能的执行授权。因此，如此设置ACL，从而相对于文件“applet A.rough display.acl”，赋予这4个用户访问权。图14示出以这种方法设置ACL的例子。
图14示出在第五实施例中的ACL的例子。
下面描述WWW应用功能指定装置的操作细节。
在第五实施例中，省略与在前面实施例中相同的操作部分的描述。在下面的描述中，解释在第一实施例的图3中的步骤s3之后的处理，即，授权信息管理部分103响应于来自授权信息返回部分102的请求提取和返回授权信息的处理将予以解释。假设授权信息询问目标是“小应用程序A”。
首先，授权信息返回部分102请求授权信息管理部分103的询问管理部分151发送关于小应用程序A的授权信息。询问管理部分151根据信息转换表，把小应用程序名(applet A)转换成对ACL管理部分152的命令。此外，询问管理部分151利用相同的命令请求ACL管理部分152返回ACE，其中设置对于小应用程序A的各功能的授权信息。
接着，ACL管理部分152分析ACL、提取感兴趣的ACE并把这些ACE返回到询问管理部分151。所感兴趣的ACE是更加具体的路径＝“applet A.*.acl”(“*”是表示任一字符串的通配符)。在这个例子中，感兴趣的ACE是如图14所示的三个ACE。
询问管理部分151把从ACL管理部分152接收到的ACE发送到授权信息返回部分102。在该处理中，可以直接地或在转换格式以允许授权信息返回部分102容易处理之后，发送接收到的ACE。例如，以一行概括一个ACE的信息，具体如下粗略显示用户1、用户2、用户3、用户4详细显示用户1、用户4数据变换用户1如果授权信息返回部分102和授权信息管理部分103以相同处理过程进行操作，那么可以诸如C/C++结构的数据结构交换ACE。
授权信息返回部分102参照从授权信息管理部分103接收到的授权信息，并检测是否包含询问目标用户作为对每个功能设置的可执行用户。根据该检测结果，授权信息返回部分102形成要返回到小应用程序的数据格式。
如果询问目标用户是“用户2”，那么只在“粗略显示”的可执行用户中包括该“用户2”，所以形成下列可执行功能表粗略显示OK
详细显示NG数据变化NG把需要返回到小应用程序112的信息加到可执行功能表125，而且返回该表125。如果通过运用HTTP执行利用小应用程序112的发送/接收，附加信息是“Content-Typetext/plain”。
在该实施例中，授权信息返回部分102通过用询问目标用户名核对从授权信息管理部分103接收到的信息，来形成可执行功能表。然而，也可以当调用授权信息管理部分103时把询问目标用户名作为参数传递，而且允许授权信息管理部分103形成询问目标用户的可执行功能表。
如上所述，在根据本发明的该实施例的应用功能指定装置中，通过运用ACL设置授权信息104，实现授权信息管理部分103。因此，可用由WWW服务器或用户接口提供的标准功能(例如API)设置和管理ACL，并分析ACL的内容。这减小了系统发展的工作量。
下面描述运用根据第一至第五实施例的应用功能指定装置和WWW应用(不包括小应用程序)的一个例子。这个例子是关于根据与小应用程序111、112等的功能122等相对应的授权信息，动态改变小应用程序的功能的应用。在该例子中假设的应用如下(1)将系统结构作为HTML显示。
(2)当点击没有设置的装置时，激活用于改变该装置的设置的小应用程序。
(3)当具有授权改变设置的用户执行应用时，该小应用程序提供改变设置的功能。当没有授权改变设置的用户执行该应用时，小应用程序提供仅显示当前设置值的功能。
图15示出通过该应用显示的系统结构的例子。
由一个HTML文件构成该系统结构。如此链接装置A、B和C的区域以便执行小应用程序，它通过运用HTML功能(诸如可点击映象(clickable map))，提供改变这些装置的设置的功能。
图16和17示出以这种方法执行的小应用程序窗口。
图16示出当没有任何设置改变授权的用户执行该运用时的窗口。
图17示出当具有设置改变授权的用户执行该运用时的窗口。参照图17，字段显示值是可编辑的，而且示出“设置变化(SETTING CHANGE)”按钮。
下面，描述WWW应用功能指定装置和应用的操作。
首先，下面描述由小应用程序改变装置的设置所执行的过程。该小应用程序以下列流程进行操作。
请求WWW服务器101的授权信息返回部分102发送可执行功能表125。从该授权信息返回部分102接收执行该小应用程序的用户的可执行功能表。
同时，利用小应用程序的功能，定位诸如“对象(OBJECT)”和“管理器(MANAGER)”的标签和用于显示设置值的字段。根据接收到的可执行功能表，检测用户是否具有设置变化授权。通过嵌入每个功能的处理或者借助授权检测处理器121，可进行这样的检测。
如果用户具有设置变化授权，那么将设置值显示字段设为可变的，而且设置变化按钮如图17所示。从目标装置获得当前设置值，而且以如图16和17所示的字段显示它们。如果按下如图17所示的设置变化按钮，那么提取每个字段值，而且根据用户的输入改变目标装置的设置。
前面是在应用中的处理。接着，描述如图15所示的系统结构。
该结构是运用诸如可点击映象的功能形成的一个HTML。例如，当点击部分“装置A(APPARATUS A)”时，启动用于改变装置A的设置的小应用程序。假设如此设置以激活用于改变装置A的设置的小应用程序的HTML是“APPARATUSA.html”，部分“APPARATUS A”链接到“APPARATUS A.html”。
在该例子中，向授权信息返回部分102询问有关可执行功能表125，而且构成用于改变装置的设置的小应用程序。因此，小应用程序的实体(entity)只有一个。因此，只需准备一个“系统结构”。
为了与实施例比较，假设如在现有技术中所述的对于每个功能的另一个小应用程序那样打包用于改变装置A的设置的小应用程序。即，形成具有只显示设置信息的功能的“小应用程序A1”和具有显示功能和设置变化功能的“小应用程序A2”。由于HTML的限制，使得在系统结构中，只能设置一个目标作为来自部分“APPARATUS A”的链接目标。在如此结构中，需要准备“对于不具有改变设置授权的用户的系统结构”以及“对于具有改变设置授权的用户的系统结构”。设置前者以便激活小应用程序A1，和设置后者以便激活小应用程序A2。
下面，描述将现有技术用于装置B的情况。一般假设，某一用户具有对装置A的授权与他(或她)具有对装置B的授权不一致。即，假设所存在的用户具有对装置A的设置改变授权，而不被赋予对装置B的这种设置改变授权。因此，需要准备四种不同的“系统结构”“对于能够改变装置A和B的设置的用户的系统结构”；“对于只能改变装置A的设置的用户的系统结构”；“对于只能改变装置B的设置的用户的系统结构”；和“对于不能改变装置A和B的设置的用户的系统结构”。如果装置的数量进一步增加，那么要准备的“系统结构”的组合数量很庞大。
相反，如上所述的该实施例的WWW应用功能指定装置运用能够通过询问授权信息返回部分102关于可执行功能表125的情况改变装置设置的小应用程序。由于这仅需要一个实际小应用程序，所以只需准备一个“系统结构”。
在每个实施例中，授权信息返回部分102以可执行功能表形式将可执行和不可执行功能表返回到浏览器(小应用程序)。然而，本发明并不局限于返回可执行功能信息的这种形式。例如，可以返回关于不可执行功能的信息，或者表示功能可执行、不可执行或有条件地可执行的信息。
此外，可应用本发明的情况并不局限于通过网络询问功能是否可执行的情况。例如，本发明可用于下述情况，在计算机中的应用程序询问在相同计算机中的另一个程序(与应用功能指定装置相对应)关于该应用所具有的大量功能的可执行功能。
通过将存储在记录媒体中的程序安装在计算机中，可以实现在实施例和例子中所解释的装置。
本发明的该记录媒体可具有任何记录格式，只要记录媒体可存储程序，并可由计算机读取。记录媒体的例子是磁盘、软盘、硬盘、光盘(例如，CD-ROM、CD-R和DVD)、磁光盘(例如，MO)和半导体存储器。
此外，根据来自从记录媒体安装到计算机上的程序的指令，在计算机或MW(中间件)上操作的OS(操作系统)，诸如数据库管理软件或网络软件，可以执行用于实现每个实施例的每个处理部分。
此外，本发明的记录媒体并不局限于独立于计算机的媒体，而且包括存储或临时存储从LAN或互联网下载的程序的记录媒体。
此外，记录媒体的数量并不局限于一个。即，本发明的记录媒体包括其中从多个媒体执行每个实施例的操作的情况。
注意，本发明的计算机根据存储在记录媒体中的程序执行每个实施例的处理。因此，该计算机可以具有任何结构，诸如单个装置，例如，个人计算机，或其中通过网络连接多个装置的系统。
本发明的计算机并不局限于个人计算机，而且包括包含在信息处理装置中的运算处理器和微计算机。即，计算机是能够通过程序实现本发明的装置和设备的一般条件。
在上面所述的本发明中，管理关于每个应用和每个用户的授权信息，而且根据来自应用的授权检测请求返回可执行功能的信息。因此，当执行该应用时，根据执行应用的用户的授权，可能提供能够动态地使由应用提供的某些功能可执行或不可执行的应用功能指定装置和记录媒体。
对于熟悉本技术领域的人员而言，附加优点和修正是容易的。因此，本发明的更宽范围并不局限于特定细节和所示的代表性实施例及此处的叙述。因此，可进行各种修正，而不偏离如所附权利要求书以及它们的等同物所限定的一般发明原理的构思或范围。
权利要求
1.一种应用功能指定装置，其特征在于，包括构成以接收来自应用的授权信息请求的请求接收部分；和构成以根据来自所述应用的授权信息请求，把授权信息返回到所述应用的授权信息返回部分，其中所述授权信息关于应用功能的可行性，所述应用功能是由所述应用提供的不少于一个功能中可由使用所述应用的用户执行的功能。
2.如权利要求1所述的装置，其特征在于，把所述装置加入WWW器，而且所述授权信息返回部分包括指定部分，构成它是指定一个由所述WWW服务器的用户授权机制识别的用户为运用所述应用的用户。
3.如权利要求1所述的装置，其特征在于，所述授权信息返回部分包括授权信息管理部分，构成它以管理关于对于每个应用的每个功能，可由所述用户执行的功能的可行性的信息；和授权信息返回部分，构成它以从所述授权信息管理部分获得已输出所述授权信息请求的应用的执行授权信息，根据所述执行授权信息，形成关于可由使用所述应用的用户执行的应用功能的可行性的信息，和将所述信息返回到所述应用。
4.如权利要求3所述的装置，其特征在于，把所述装置加入WWW服务器，而且所述授权信息返回部分包括指定部分，构成它是指定一个由所述WWW服务器的用户授权机制识别的用户为运用所述应用的用户。
5.如权利要求3所述的装置，其特征在于，把所述装置加入WWW服务器，而且所述授权信息管理部分包括管理部分，构成它用以管理执行授权信息作为在所述WWW服务器中使用的访问控制表。
6.如权利要求5所述的装置，其特征在于，所述授权信息返回部分包括指定部分，构成它是指定一个由所述WWW服务器的用户授权机制识别的用户为运用所述应用的用户。
7.如权利要求3所述的装置，其特征在于，所述授权信息返回部分用用户名核对从所述授权信息管理部分接收到的信息，并形成描述可由所述用户执行的功能的可执行功能表。
8.如权利要求1所述的装置，其特征在于，还包括输出部分，构成它以输出用于显示所述授权信息的内容的显示信息。
9.如权利要求1所述的装置，其特征在于，还包括构成以分析与所述授权信息请求一起提供的用户数字证明的分析部分，并执行用户授权。
10.如权利要求1所述的装置，其特征在于，所述授权信息返回部分以记录为单位描述应用的每个小应用程序的授权信息。
11.一种计算机可读记录媒体，其特征在于，所述记录媒体记录具有授权信息返回指令的程序，其中所述授权信息返回指令用于根据来自应用的授权信息请求，把授权信息返回到所述应用，其中所述授权信息关于由所述应用提供的不少于一个功能中可由使用所述应用的用户执行的功能的可行性。
12.如权利要求11所述的媒体，其特征在于，所述授权信息返回指令包括管理指令和授权信息返回指令，其中所述管理指令使授权信息管理装置对于每个应用的每个功能，管理关于可由所述用户执行的功能的可行性信息作为执行授权信息；而所述授权信息返回指令从所述授权信息管理装置获得关于已输出所述授权信息请求的应用的执行授权信息，并使得授权信息返回装置根据所述执行授权信息形成关于可由运用所述应用的用户使用的应用功能的可行性信息，而且把所述信息返回到所述应用。
13.如权利要求12所述的媒体，其特征在于，把所述媒体加入WWW服务器，而且所述管理指令包括用于使得所述授权信息管理装置管理所述执行授权信息作为在所述WWW服务器中使用的访问控制表的指令。
14.如权利要求11所述的媒体，其特征在于，把所述媒体加入所述WWW服务器，而且所述授权信息返回指令使得所述授权信息返回装置指定由所述WWW服务器的用户识别机制识别的用户为运用所述应用的用户。
15.一种应用功能指定方法，其特征在于，包括通过服务器的授权信息返回部分，接收来自用户使用的应用的应用名和用户信息；由所述服务器的所述授权信息返回部分通过运用所述获得的应用名作为参数询问所述服务器的授权信息管理部分关于授权信息的情况；由所述授权信息管理部分搜索与所述应用相对应的授权信息，而且把所述找到的授权信息发送到所述授权信息返回部分；和由所述授权信息返回部分通过分析所述授权信息，形成可由所述用户执行的应用功能表，并把所述表返回到所述应用。
全文摘要
应用功能指定装置包括授权信息返回部分,它根据来自所述应用的授权信息请求,返回关于由一个应用提供的一个或多个功能中可由运用所述应用的用户执行的应用功能的授权信息。
文档编号G06F9/40GK1327206SQ0010879
公开日2001年12月19日 申请日期2000年6月2日 优先权日2000年6月2日
发明者长谷川义朗, 桥本圭介 申请人:东芝株式会社