管理服务器和终端单元的制作方法

专利名称:管理服务器和终端单元的制作方法
技术领域：
本发明涉及向终端设备传送应用软件。
背景技术：
具有执行Java-AP(Java应用)软件功能的移动单元被广泛使用，这种移动单元执行依据Java(注册商标)编程语言编写并通过网络下载的程序。
Java-AP软件包括Jar(Java文档)文件和ADF(应用描述文件)。Jar文件包含为用户提供某Java-AP的程序。ADF依赖于Jar文件，并包含例如以下信息示出Jar文件存储位置的URL(下文称作程序包URL)、Jar文件的大小、Jar文件被改变时的最近日期、以及其他需要的信息。
移动单元通过下述的过程下载与所需的Java-AP相关的软件。首先，移动单元从构成WWW(万维网)的服务器单元获得附属于所需Java-AP的ADF。
获得ADF的移动单元检查ADF的内容和安装在移动单元中的存储器的可用容量以确定是否可以在移动单元中安装附属于所需Java-AP的Jar文件。当移动单元确定可以安装Java-AP软件时，移动单元通过使用包含在ADF中的程序包URL从构成WWW的服务器单元获得一包含该Java-AP软件的Jar文件。由此，当获得了Jar文件时，下载Java-AP软件的过程完成。以下，在移动单元中进行下载的Java-AP软件的安装，并在需要时起动该Java-AP软件。
另外，当Java-AP软件被安装在移动单元中时，Java-AP的起动比移动单元固有功能(如通信应用功能)的起动受到的限制更大。例如，Java-AP的起动受限于它不能访问包含在移动单元中的机密数据(如电话号码)。通过以这种方式施加严格的限制，可以防止因误操作Java-AP造成的或蓄意导致的包含在移动单元中的机密数据的泄露或篡改。
然而，对所有的Java-AP一律施加上述限制不能充分满足移动单元用户或IP(信息供应商)的需要。例如，一些用户似乎感到只要安全得到保证就可以允许Java-AP查阅存储在移动单元中的某些私人信息。另外，一些IP希望提供更有用的Java-AP，这种Java-AP使用移动单元中存储的某些私人信息或移动单元所具有的某些功能。
为满足这些要求，提出了一种系统，其中将授权Java-AP以更大的灵活性操作的责任委托给一个可信赖的组织，例如向移动单元的用户提供通信服务的通信供应商。该可信赖的组织向使用Java-AP的移动单元通报操作规则，移动单元根据规定的规则限制Java-AP的操作。在这种系统中，只可委托可信赖的组织来管理对更灵活的Java-AP操作的授权。
当上述的系统应用于Java-AP软件的下载过程时，在ADF或Jar文件中的表明授权的信息必须被可信赖的组织包括在ADF或Jar文件中。由于Jar文件被IP根据需要更新，因而由IP拥有Jar文件是适合的。然而，如果IP拥有Jar文件，被委托来授权Java-AP操作的组织不能在同一时间拥有Jar文件。因而，优选地，由该可信赖的组织拥有ADF而不是Jar文件，而ADF应包含表明授权的数据。
然而，由于ADF的内容依赖于Jar文件，一旦IP更新了Jar文件，则需要更新该可信赖的组织拥有的ADF。在该阶段，由于可信赖的组织需要管理ADF以排除其它公司的介入，因而由可信赖的组织和IP来协同更新ADF。这个过程的缺点是操作繁忙。另外，有时例如在对某个Jar文件的访问溢满(flood)并且Jar文件被移动到IP的另一个服务器单元时，即使没有更新Jar文件，也需要更新ADF。在这种情况下，由于Jar文件的存储位置改变了，因而需要改变包含在ADF中的程序包URL。然而，由于ADF是由可信赖的组织管理的，并排除了其他代理的介入，因而ADF的更新操作成为非常繁忙的一种操作。

发明内容开发本发明来克服常规技术的所描述的问题，本发明的目的是提供一种终端设备，其依据授权来允许操作；一种系统，该系统能够通过传送相互依赖的多个文件，来传送实现该应用的软件。
本发明提供了一种传送方法，包括用于一传送系统的过程，所述传送系统包括信息提供服务器单元、管理服务器单元以及另一信息提供服务器，所述信息提供服务器单元存储有包含用于实现应用的软件的实体文件(entity file)，所述管理服务器单元存储有安全描述文件，该安全描述文件含有表明对在终端设备执行软件时实现的应用的授权的授权信息，所述另一信息提供服务器存储有内容依赖于所述实体文件的应用描述文件，所述实体文件的存储位置和安全描述文件的存储位置被写入该应用描述文件；用于在应用描述文件的存储位置被终端设备通知时，将应用描述文件传送到该终端设备的过程；用于终端设备将包含在从传送系统传送的应用描述文件中的安全描述文件的存储位置通知传送系统的过程；用于传送系统根据所通知的安全描述文件的存储位置，有安全保证地将安全描述文件传送到终端设备的过程；用于终端设备将包含在从传送系统传送来的应用描述文件中的实体文件的存储位置通知传送系统的过程；以及用于传送系统根据通知的实体文件的存储位置向终端设备传送实体文件的过程。
在上述方法中，当应用描述文件的存储位置被终端设备通知时，传送系统向终端设备传送应用描述文件；终端设备将包含在所获得的应用描述文件中的安全描述文件的存储位置通知传送系统；传送系统根据所通知的安全描述文件的存储位置，有安全保证地向终端设备传送安全描述文件；终端设备将包含在从传送系统传送来的应用描述文件中的实体文件的存储位置通知传送系统；以及传送系统根据通知的实体文件的存储位置向终端设备传送实体文件。
另外，本发明提供了一种终端设备，包括通信单元，用于进行与网络中的单元的通信；存储单元；和控制器，其中所述控制器包括(a)用于使所述通信单元向网络中的传送系统传送第一传送请求，以从该传送系统中的信息提供服务器接收应用描述文件，并在存储单元中存储该应用描述文件的装置，所述第一传送请求含有所述应用描述文件的存储位置信息，所述应用描述文件含有实体文件的存储位置信息和安全描述文件的存储位置信息，其中该实体文件含有用于实现一应用的软件，该安全描述文件含有表明对通过执行该软件实现的应用的授权的授权信息；(b)用于使所述通信单元向所述传送系统传送第二传送请求以接收安全描述文件的装置，所述第二传送请求含有包含在从所述传送系统接收的应用描述文件中的安全描述文件的存储位置信息；(c)用于使所述通信单元向所述传送系统传送第三传送请求以从所述传送系统中的信息提供服务器接收实体文件的装置，所述第三传送请求含有包含在从所述传送系统接收的应用描述文件中的实体文件的存储位置信息；和(d)用于在被命令执行存储在所述存储器单元中的实体文件内包含的软件时，依据包含在与所述实体文件对应的安全描述文件中的授权信息，限制通过执行软件所实现的应用的操作的装置。
在这种情况下，在终端设备中，所述传送系统通过向终端设备传送加密之后的安全描述文件来保证安全，并且所述终端设备的控制器可包括用于对由传送系统传送来的加密的安全描述文件进行解密的装置。
另外，所述终端设备的控制器可以利用所述通信单元经安全有保证的通信路径来接收安全描述文件。
在这种情况下，所述终端设备的控制器可利用加密的通信接收安全描述文件。
另外，所述终端设备的控制器可利用所述通信单元经移动通信网络和专用线路接收安全描述文件。
在这种情况下，所述终端设备的控制器可利用加密的通信经移动通信网络接收安全描述文件。
在优选实施例中，在所述终端设备的控制器中用于限制应用的操作的装置可根据包含在安全描述文件中的授权信息限制对资源的使用。
在这种情况下，所述资源可以是所述终端设备内部的硬件资源、所述终端设备可以使用的终端设备外部的硬件资源、所述终端设备内的软件资源、所述终端设备可以使用的终端设备外部的软件资源；或所述终端设备可以使用的网络资源。
在优选的实施例中，在所述终端设备的控制器中用于限制应用的操作的装置可根据授权信息确定资源的使用的类型。
在优选的实施例中，提供了一种终端设各，其中应用描述文件包含向终端设备提供通信服务的通信供应商的公共密钥，其中安全描述文件由通信供应商的保密密钥签署，并且其中所述控制器使用包含在应用描述文件中公共密钥检查从所述传送系统传来的安全描述文件的真实性，并仅在真实性被证实时，向所述传送系统通知所述实体文件的存储位置。
另外，在优选的实施例中，提供了一种终端设备，其中应用描述文件和安全描述文件含有分配给一对应应用的应用标识符，并且，其中所述控制器将包含在由传送系统传送来的应用描述文件中的应用标识符与包含在由传送系统传送来的安全描述文件中的应用标识符进行比较，并仅在两标识符匹配时，向所述传送系统通知所述实体文件的存储位置。
另外，所述终端设备的控制器可以仅在写入应用描述文件的安全描述文件的存储位置在所述管理服务器单元内时，才向所述传送系统通知安全描述文件的存储位置。
在优选的实施例中，所述安全描述文件包含时限信息，所述时限信息表明一对应应用的期满日期，并且终端设备的控制器可以包括执行以下操作的装置通过按时间顺序重复地向传送系统通知安全描述文件的存储位置，而按时间顺序从传送系统重复接收安全描述文件；并根据包含在重复接收的安全描述文件中的时限信息更新所述应用的期满日期。
在这种情况下，所述终端设备可以仅在安全描述文件是正确地从所述传送系统传送来的时候，才更新所述应用的期满日期。
在优选的实施例中，所述终端设备可以是移动单元。
另外，本发明提供了一种传送系统，包括一个或多个服务器单元，其中存储有实体文件、安全描述文件和应用描述文件，所述实体文件含有用于实现一应用的软件，所述安全描述文件含有表明对通过执行该软件实现的应用的授权的授权信息，应用描述文件具有依赖于所述实体文件的内容，在应用描述文件中写入了实体文件和安全描述文件的存储位置，其中，一个或多个服务器单元中的一个存储有安全描述文件的服务器单元是管理服务器单元，对其给予了管理安全描述文件的授权，其中每个服务器单元包括用于当文件的存储位置被通知时，向通知的始发者返回一个文件的装置，并且，其中当所述安全描述文件的存储位置被通知时，所述管理服务器单元有安全保证地向通知的始发者返回安全描述文件。
图1的方框图示出了用于执行本发明的传送系统的一个实施例的结构；图2是示出了该系统固有的ADF的数据结构的概念图；图3是示出了存储在该系统中的管理服务单元中的SDF的数据结构的概念图；图4是示出了包含在SDF内的策略信息的内容的概念图；图5是示出了构成该系统的移动单元的结构的方框图；图6是示出移动单元的功能结构的概念图；图7是示出移动单元用于下载和安装Java-AP软件的过程的流程图；图8是示出移动单元用于更新Java-AP软件的期满日期的过程的流程图；图9是用于解释传送系统的操作的方框图；图10的图示出了在传送系统中传送的列表页；图11的图示出了存储在构成传送系统的IP服务器单元中的解释性文件的内容；图12的图示出了在传送系统中传送的解释性页；图13的图示出了存储在IP服务器单元中的解释性文件的内容；图14的图示出了在传送系统中传送的解释性页；图15的图示出了存储在构成传送系统的IP服务器单元13中的解释性文件的内容；图16的图示出了在传送系统中传送的解释性页；图17是用于解释传送系统的操作的次序图。
图18是用于解释传送系统的操作的次序图；图19是用于解释传送系统的操作的次序图；图20是用于解释传送系统的操作的次序图；图21的图示出了在移动单元中显示的图象；图22是用于解释传送系统的另一操作的方框图；图23是用于解释传送系统的另一操作的次序图；图24的图示出了执行用于询问SDF的有效性(validity)的过程的移动单元的控制器内的结构；图25是示出了询问SDF的有效性的操作的时序图。
具体实施方式以下，通过参照附图，对作为本发明的一种方式的传送系统进行说明。在附图中，对相同的部分给予相同的代码。
(1)结构如图1所示，在传送系统中，IP服务器单元12到14与互联网11相连接。IP服务器单元12由第一IP(互联网供应商)管理，IP服务器单元13和14由与第一IP不同的第二IP管理。IP服务器单元12到14构成WWW，每个具有与通用WWW服务器单元相似的硬件和功能。移动分组通信网15是通信供应商用来提供移动分组通信服务的网络。移动单元16可以进行与移动分组通信网15的无线电分组通信。网关服务器单元17由管理移动分组通信网15的同一通信供应商管理。网关服务器单元17是用于连接移动分组通信网15和互联网11的单元，并具有与通用网关服务器单元相似的结构。管理服务器单元18通过专用线路与网关服务器单元17连接。管理服务器单元18也构成WWW，并具有与通用WWW单元相似的硬件和功能。网关服务器单元17执行移动分组通信网15和互联网11之间的分组通信、管理服务器单元18与移动分组通信网15之间的分组通信、以及管理服务器单元18与互联网11之间的分组通信。通过使用中继功能，移动单元16能够通过移动分组通信网15和互联网11进行与IP服务器单元12到14的分组通信。在实际的传送系统中存在着几个移动单元，但只示出了一个移动单元16，以避免使附图复杂。基于同样的理由，只示出了IP服务器单元12到14。
在传送系统中，移动单元16能够从互联网11上的期望站点接收Java-AP软件。将移动单元16能够接收的软件分为可信任Java-AP和非信任Java-AP。可信任Java-AP软件是管理移动分组通信网15的通信供应商根据与管理IP服务器单元12到14的IP的合同来保证真实性的软件。非信任Java-AP软件是除了可信任Java-AP软件之外的任何Java-AP软件。
管理服务器单元18存储附属于在传送系统中传送的各可信任Java-AP软件的各个SDF(安全描述文件)。SDF是管理移动分组通信网15的通信供应商产生的文件，并且是用于将使用移动单元的可信任API(应用程序接口)的Java-AP软件下载到移动单元所必须的文件。可信任API将在后面解释。如图3所示，SDF包含用于检测可信任Java-AP软件的APID、策略信息和期满日期。这些信息由通信供应商的保密密钥加密。策略信息是表明对移动单元16中的可信任Java-AP的操作的限制的信息。后面将详细解释策略信息和根据策略信息执行的对Java-AP的操作的限制。
在本实施例中，当发送了要求传送移动单元16所需的可信任Java-AP软件的请求时，将与可信任Java-AP软件对应的ADF从IP服务器单元12-14中的一个传送到移动单元16。在该阶段，在可信任Java-AP软件的ADF中含有表明Jar文件位置的URL、表明与可信任Java-AP软件对应的SDF的位置的URL、和与用于加密SDF的保密密钥配对的公共钥匙。在接收ADF之后，移动单元16通过使用ADF中的URL获得SDF，并使用ADF中的公共密钥解密SDF。然后，移动单元16通过使用包含在ADF中的Jar文件的URL最终获得Jar文件。以下，当在移动单元16中执行可信任Java-AP软件时，根据SDF限制可信任Java-AP的操作。这是本实施例的一个特征。如图1所示，经移动分组通信网15以及由专用线路连接的管理服务器单元18和网关服务器单元17完成SDF的传送。
以下，将解释传送系统的各组成部分的结构及相关特性。
IP服务器单元12、13和14分别带有固定存储器12A、13A和14A。
固定存储器12A、13A和14A是固定存储器(如硬盘)，并存储由Jar文件和ADF构成的Java-AP软件以及说明用于移动单元用户的Java-AP软件的内容的解释性文件。
存储在固定存储器12A、13A和14A中的各Java-AP软件可以是可信任Java-AP软件或非信任Java-AP软件。不管Java-AP是可信任Java-AP还是非信任Java-AP，在Java-AP软件的各ADF中都写有例如以下信息示出Jar文件在WWW中的存储位置的程序包URL、示出Jar文件大小的信息、和示出最近更新日期的信息。这些信息是公知写入Java-AP软件的ADF中的项目。另外，如图2所示，可信任Java-AP软件的ADF包含可信任Java-AP的APID、Jar文件的哈希值(hash value)、表明SDF在WWW中的存储位置的URL(以下称为SDF-URL)、以及与用于加密SDF的保密密钥配对的公共密钥。在该阶段，将公共密钥作为证书颁发给其真实性得到CA(认证代理)证实的通信供应商。
另外，解释性文件是依据HTML编写的文本文件。当下载某Java-AP软件时，移动单元需要预先下载与Java-AP软件对应的解释性文件。解释性文件包含用于形成UI(用户界面)的信息，该UI用于从用户接收下载Java-AP软件的命令。移动单元16依据该信息显示UI屏幕。用户可以在UI屏幕上对移动单元16进行操作，来指定表明期望的Java-AP的对象。以这种方式为用户指定的对象编写解释性文件，以对应于表明(与作为下载对象的Java-AP软件对应的)ADF在WWW中的位置的URL。
IP服务器单元12到14中的每一个具有依据IP的命令产生和更新上述各个文件的功能。
管理服务器单元18配备有固定存储器18A(如硬盘)。管理服务器单元18与对方(party)建立TCP连接。当管理服务器单元18经TCP连接从对方接收到一个使用HTTP的GET方法的请求消息时，管理服务器单元18从固定存储器18A中读出由GET方法指定的URL所标识的文件，返回一个含有该文件的HTTP响应消息，并断开连接。
另外，在上述的固定存储器18A中存储有向移动单元16的用户介绍可下载的Java-AP软件的列表文件200，和与列表文件200中列举的各Java-AP软件对应的各SDF。
已经参照图3解释了SDF。
列表文件200是依据HTML编写的文本文件。正如已经解释的那样，当移动单元需要下载某Java-AP软件时，需要获得与Java-AP软件相关的解释性文件。正如已经解释的，移动单元16可以通过访问存储有解释性文件的IP服务器单元直接获得解释性文件。然而，在本实施例中，移动单元16还可以通过与上述的直接方法相对的下列过程获得所需的Java-AP软件的解释性文件。首先，通过访问管理服务器单元18，移动单元16获得列表文件200，并相应地显示UI屏幕。用户可以对移动单元16进行操作，以在UI屏幕上指定表明所需Java-AP的对象。列表文件200将用户指定的对象与表明Java-AP软件(下载对象)的解释性文件在WWW中的位置的URL相匹配。移动单元16通过使用经列表文件200获得的URL从IP服务器单元获得解释性文件。
如图5所示，移动单元16包括OS(操作系统)软件；ROM 16A，其中存储了用于建立执行Java-AP的环境的Java-AP环境软件和几类固有AP软件；CPU 16B，与ROM 16A连接，用于从ROM 16A中读出程序并执行该程序；显示单元16C，与CPU 16B相连接；固定存储器16D；RAM 16E；通信单元16F；和操作单元16G。
例如，显示单元16C具有液晶显示屏，并把CPU 16B提供的数据显示为图像。例如，固定存储器16D是SRAM(静态存储器)或EEPROM(电可擦除只读存储器)，并且数据由CPU 16B读写。固定存储器16D用于存储从构成WWW的服务器单元(以下称作网页服务器单元)下载的Java-AP软件和SDF。如已经解释的，在本实施例中，使用术语“Java-AP软件”来指代“可信任Java-AP软件”和“非信任Java-AP软件。”然而，在某个环境下，术语“Java-AP软件”可能指代“可信任Java-AP软件。”在这样的环境下，术语“Java-AP软件”应该解释为一个含有ADF、SDF和Jar的概念。另外，在某个环境下，术语“Java-AP软件”可能指代“非信任Java-AP软件”。在这样的环境下，术语“Java-AP软件”应该解释为一个含有ADF和Jar的概念。
通信单元16F进行与移动分组通信网15的无线电分组通信，并在CPU 16B和移动分组通信网15之间中转分组。另外，除天线或无线电传送和接收单元之外，通信单元16F还装备有用于通信的CODEC(编解码器)、麦克风、扬声器等。因而，利用通信单元16F，移动单元16可通过电路切换经移动通信网络(未示出)进行通信。操作单元16G具有操作控制器，并依据由操作控制器进行的操作向CPU 16B提供信号。定时器单元16H记录当前日期和时间(以下仅称为当前日期和小时)。为使定时器单元16H更精确地记录当前日期和小时，可使当前日期和小时与由分组通信网络15的基站(未示出)通过控制信道周期性通告的当前日期和小时同步。
CPU 16B是依据存储在ROM 16A中的几种程序控制整个移动单元16的单元。当开关(未示出)导通时，CPU 16B从ROM 16A读出图6的OS并利用RAM 16E作为工作区来执行。CPU 16依据OS提供例如UI的功能。OS根据操作单元16G提供的信号和UI的状态识别用户的命令，并依据命令进行处理。
当用户的命令请求起动通信软件(其为固有AP软件)时，OS起动通信软件，并在移动单元16中执行通信AP。通过使用通信AP，用户可以与对方通信。
当用户的命令请求起动电话簿AP(其为固有AP软件)时，OS起动电话簿软件，并在移动单元16中执行电话簿AP。通过使用电话簿AP，用户能查阅、使用、和改变存储在固定存储器16D中的电话簿的内容(以下称为电话簿数据)。
当用户的命令请求起动网页浏览器软件(其为固有AP软件)时，OS起动网页浏览器软件，并在移动单元16中执行网页浏览器。网页浏览器提供UI。然后，当用户通过操作操作单元16G给出命令时，网页浏览器根据UI的状态和操作单元16G提供的信号识别用户命令，并依据该命令执行处理。例如，当命令是从WWW获得指定文件时，通过操作通信单元16F，建立与其中存储有该文件的网页服务器单元的TCP连接，利用表明所指定位置的URL传送一个使用GET方法的HTTP请求消息，接收与请求消息对应的响应消息，并切断连接。此外，网页浏览器依据HTML解释包含在已接收的响应消息中的文件，产生含有网页的UI，并提供给用户。另外，当用户发送用于下载Java-AP软件的命令时，网页浏览器向JAM(Java应用管理器)通知该命令。具体地，在网页中，通过单击或按压，当指定了被规定了对象标记的锚定标记(anchor tag)时，网页浏览器提取作为对象标记的数据属性而规定的URL，并向JAM通知已请求按URL下载Java-AP软件。
当用户的命令请求起动JAM软件(其为固有AP软件)时，OS起动JAM软件，并在移动单元16中执行JAM。JAM向用户展示安装在移动单元16中的Java-AP软件的列表，并起动用户指定的Java-AP软件。具体地，当对JAM的用户命令请求起动Java-AP软件时，起动Java-AP环境软件，并在移动单元16中执行Java-AP环境。然后，起动指定的Java-AP软件，并在Java-AP环境中执行Java-AP。Java-AP环境包含KVM和为Java-AP提供的API，KVM是适于移动终端(cellular terminal)的轻量Java虚拟机。将对Java-AP提供的API分为可信任API和允许任何Java-AP使用的非信任API。可信任API是只有由通信供应商根据与IP的合同保证了可信性(trustworthiness)的Java-AP(以下称作信任AP)才能使用的API。
(2)操作以下，解释本实施例的操作。
(2-1)通过移动单元16下载Java-AP软件当由网页浏览器通知了请求下载Java-AP的命令时，JAM进行用于将Java-AP软件下载到移动单元16并安装的处理。图7示出了该处理的流程。在图7中，省略了移动单元16获得解释性文件的过程。由于获得解释性文件的过程存在不同的模式，后面将结合该操作的特定示例解释该过程。如图7所示，JAM首先确定是否请求了下载Java-AP软件(步骤S11)。然后，当网页浏览器通知了用于请求下载Java-AP软件的命令时，从IP服务器单元12-14中的任一个获得与Java-AP软件对应的ADF(步骤S12)。更具体地，JAM建立与IP服务器单元12-14中任何一个存储有ADF的单元的TCP连接，产生并传送一个请求传送ADF的请求消息，并在接收到对请求消息的响应消息并获得ADF之后断开TCP连接。然后，JAM将含在响应消息中的ADF写入固定存储器16D。
然后，JAM根据ADF的内容确定是否可以在移动单元16中安装将被下载的Java-AP软件(步骤S13)。在该阶段，可以利用常规的方法，例如将写在ADF中的Jar文件的大小和可存储Jar文件的固定存储器16D的可用容量进行比较来确定是否可能安装。
在该阶段，当确定可能安装时(步骤S13；是)，JAM确定将被下载的Java-AP软件是否是可信任Java-AP软件(步骤S14)。更具体地，JAM确认是否将SDF-URL写入步骤S12获得的ADF中，并在写入了SDF-URL时，确定存在与Java-AP软件对应的SDF。换句话说，JAM确定Java-AP软件是可信任Java-AP软件。另一方面，当没有写入SDF-URL时，JAM确定Java-AP软件是非信任Java-AP软件。
然后，当确定将被下载的Java-AP软件为非信任Java-AP时(步骤S14；否)，执行下载和安装的常规处理(步骤S15)。
另一方面，当确定将被下载的Java-AP软件为可信任Java-AP时(步骤S14；是)，JAM从管理服务器单元18获得与软件对应的SDF(步骤S16)。换句话说，JAM建立与管理服务器单元18的TCP连接，产生并传送一个要求管理服务器单元18传送存储在由写入ADF中的SDF-URL示出的位置上的SDF的请求消息，并在接收到对于该请求消息的响应消息并获得SDF之后断开上述连接。
如上所述，与可信任Java-AP软件对应的SDF包含APID、策略信息，和期满日期。另外，还利用通信供应商的保密密钥对SDF签署(加密)。然后，JAM使用从已经获得的ADF中提取的公共密钥来检查(解密)包含在响应消息中的SDF的签名(signature)，并确定SDF的真实性(步骤S17)。当真实性得到证实时(步骤S17；是)，JAM将SDF写入固定存储器16D。
然后，JAM将含在SDF中的APID和含在已经获得的ADF中的APID进行比较，并确定这两个APID是否匹配(步骤S18)。
当确定这两个APID匹配时(步骤S18；是)，JAM获得Jar文件(步骤S19)。更具体地，JAM建立与IP服务器12-14中的任一个存储有由包含在ADF中的程序包URL所标识的Jar文件的IP服务器的TCP连接；产生和传送一个请求传送Jar文件的请求消息；接收对于该请求消息的响应消息；获得Jar文件；并断开TCP连接。
然后，JAM计算所获得的Jar文件的哈希值(步骤S20)。虽然可以使用任何哈希函数来计算哈希值，但在移动单元16中使用的哈希函数和用于计算含在ADF中的哈希值的哈希函数必须相同。实际上，提供可信任Java-AP软件的IP利用移动单元16中使用的哈希函数来计算哈希值，并产生ADF。
JAM将计算出的哈希值和从ADF中提取的哈希值进行比较，并在哈希值匹配时(步骤S21；是)，将获得的Jar文件写入固定存储器16D，执行与可信任Java-AP软件的安装相关的几种处理(步骤S22)，并通知用户已成功安装(步骤S23)。
以下，当执行可信任Java-AP软件时，JAM监测可信任Java-AP的操作，并限制可信任API的使用。依据存储在固定存储器16D中的SDF中的策略信息进行该限制。
当确定Java-AP软件不能安装(步骤S13；否)、确定SDF不真实(步骤S17；否)、SDF的APID和ADF的APID不匹配(步骤S18；否)、或计算出的哈希值和ADF中的哈希值不匹配(步骤S21；否)时，JAM通知用户安装已失败，并将移动单元16的状态返回到步骤S11或步骤S11之前。
(2-2)由移动单元16更新SDF在包含在对应的SDF中的期满日期到期之前，移动单元16可以执行可信任Java-AP软件。当期满日期需要更新时，移动单元16需要从管理服务器单元18获得新的SDF。以下，参照图8所示的流程图，解释在每当SDF中的期满日期期满时，JAM更新期满日期的过程。
如图8所示，JAM连续监测由移动单元16中的定时器单元16H记录的当前日期和小时，以及从迄今为止所获得并存储在固定存储器16D中的所有SDF中提取的多个期满日期；并确定是否已达到了期满日期(步骤S31)。
当任何一个达到期满日期时(步骤S31；是)，JAM在显示单元16C上显示一个带有已达到期满日期的Java-AP软件的名称的消息，以询问用户是否更新该期满日期，并等待，直到用户完成必需的操作。
当用户命令更新期满日期时，JAM解释该命令的内容(步骤S32；是)，并从管理服务器单元18获得与期满日期应被更新的Java-AP软件对应的SDF(步骤S33)。更具体地，JAM查阅固定存储器16D的存储器内容；提取含在下述ADF中的SDF-URL，该ADF包含其期满日期应被更新的Java-AP软件的APID；产生并传送一个请求消息以请求管理服务器单元18传送存储在SDF-URL示出的位置的SDF；并在接收到该请求消息的响应消息并获得SDF之后断开上述连接然后，JAM确定通过使用上述SDF-URL是否获得了SDF(步骤S34)。在该阶段，在通信供应商不能在管理服务器18中的上述SDF-URL示出的位置存储SDF，或通信供应商因特定原因想要停止或不继续使用Java-AP软件的情况下，不能获得SDF。需要停止或不继续使用Java-AP软件的原因可能是由于与IP有关的环境(例如，用户仅会在一定时间内尝试传送软件)，或如果IP和通信供应商之间的合同已期满。
当JAM成功获得SDF时(步骤S34；是)，JAM使用含在已经获得的ADF中的公共密钥来检查(解密)SDF的签名，并确定SDF的真实性(步骤S35)。
当真实性得到证实时(步骤S35；是)，JAM将包含在SDF中的APID和包含在已经获得的ADF中的APID进行比较，确定这两个APID是否匹配(步骤S36)。当确定这两个APID匹配时(步骤S36；是)，JAM用获得的SDF覆盖已经写入固定存储器16D的以前的SDF，并以这种方式更新期满日期。
在确定用户的操作不更新期满日期时(步骤S32；否)；当不能获得SDF时(步骤S34；否)；当确定SDF不真实时(步骤S35；否)；或当SDF的APID和ADF的APID不匹配时(步骤S36；否)，JAM通知用户将不更新期满日期，并使移动单元16返回到步骤S31或其之前的状态。
(3)具体操作接着，解释上述系统的操作。
在下面解释的操作中，TCP连接的建立和断开操作是HTTP的通用操作；因此，省略该解释。另外，由OS、网页浏览器、JAM、Java-AP，固有AP等进行的上述操作是移动单元16的操作；因此，在下面的解释中，执行操作的主要单元是移动单元16。
另外，如图9所示，在管理服务器单元18的固定存储器18A中存储列表文件200和SDF 204。列表文件200和SDF 204由通信供应商依据管理IP服务器单元13和IP服务器单元14的IP和管理管理服务器单元18的通信供应商之间的合同产生。
在该阶段，编写列表文件200，以在移动单元16对其进行解释和执行时，产生如图10所示的列表页201。另外，编写列表文件200，以在构成列表页201的选项201A被点击(单击或按压)时，产生一个含有作为GET方法的参数的解释性文件202(将随后解释)的URL (“http://www.main.bbb.co.jp/ghi.html”)的请求消息。并且，编写列表文件200，以在构成列表页201的选项201B被点击(单击或按压)时，产生一个含有作为GET方法的参数的解释性文件207(将随后解释)的URL(“http://www.ccc.co.jp/jkl.html”)的请求消息。
另外，SDF 204包含使用通信供应商的保密密钥签署的作为APID的“0001”、作为策略信息的图4示出的信息，以及作为期满日期的“2002年10月1日上午10:00”。
另外，在IP服务器单元12的固定存储器12A中存储与标题为“tsume-shogi”的Java-AP软件(以下称为本实施例第一非信任Java-JP软件)对应的解释性文件211、ADF 213、和Jar文件214。解释性文件211、ADF 213、和Jar文件214由管理IP服务器单元12的IP产生。关于这些文件，解释性文件211的内容在图11示出，所编写解释性文件211在由移动单元16解释和执行时产生图12所示的解释性页212。另外，ADF 213包含作为程序包URL的Jar文件214的URL(“http://www.ccc.co.jp/shogi.jar”)。
另外，在IP服务器单元12的固定存储器12A中存储与标题为“horoscope”的Java-AP软件(以下称为本实施例的第二非信任Java-AP软件)对应的解释性文件207、ADF 209和Jar文件210。解释性文件207、ADF 209和Jar文件210由管理IP服务器单元12的IP产生。关于这些文件，解释性文件207的内容在图13示出，所编写的解释性文件207在由移动单元16解释和执行时，产生图14所示的解释性页208。另外，ADF 209包含作为程序包URL的Jar文件210的URL(“http://www.ccc.co.jp/horoscope.jar”)。
上述第一非信任Java-AP软件和第二非信任Java-AP软件的不同在于，有关第二非信任Java-AP软件的信息已注册在列表文件200中，而有关第一非信任Java-AP软件的信息没有注册。
另外，在IP服务器单元13的固定存储器13A中存储着与标题为“电话号码簿查看器”的Java-AP软件(以下称为本实施例的可信任Java-AP软件)对应的解释性文件202、ADF 205、和Jar文件206。解释性文件202、ADF 205、和Jar文件206由管理IP服务器单元13和IP服务器单元14的IP产生。关于这些文件，解释性文件202的内容在图15示出，所编写的解释性文件202在由移动单元16解释和执行时，产生图16所示的解释性页203。ADF 205包含作为APID的“0001”、作为哈希值的Jar文件206的哈希值、作为程序包URL的Jar文件206的URL(“http://www.main.bbb.co.jp/viewer.jar”)、作为SDF-URL的SDF 204的URL(http://www.aaa.co.jp/viewer.sdf”)、以及通信供应商的公共密钥。另外，移动单元16处于各上述Java-AP软件都可以安装的状态。
(3-1)安装操作首先，参照上述的各Java-AP软件解释在移动单元16中安装Java-AP软件的操作。
(3-1-1)第一非信任Java-AP软件当用户通过操作移动单元16试图获得解释性文件211时，第一非信任Java-AP软件的安装操作开始。结果，在移动单元16中产生一个含有作为GET方法参数的解释性文件211的URL(“http://www.ccc.co.jp/mno.html”)的请求消息tm 12。如图17所示，请求消息tm 12由移动单元16传送并由IP服务器单元12接收。
在IP服务器单元12中，响应请求消息tm 12的内容，产生一个含有解释性文件211的响应消息tm 13。响应消息tm 13由IP服务器单元12传送，并由移动单元16接收。在移动单元16中，向用户提供与解释性文件211的内容对应的UI。结果，在显示单元16C中显示例如如图12所示的解释性页212。
当用户看到解释性页212，并操作移动单元16来点击解释性页212中的锚定标记(anchor)212A时，作为写在图11的解释性文件211中的锚定标记(以“＜A”开始的标记)的ijam属性指定的值标识出作为移动单元16中的id属性指定的对象标记(以“＜OBJECT”开始的标记)。然后，提取作为对象标记的数据属性指定的URL(“http://www.ccc.co.jp/shogi.jam”)，并产生一个请求传送由该URL标识的ADF 213的请求消息tm16。请求消息tm16从移动单元16传送，并由IP服务器单元12接收。
在IP服务器单元12中，产生包含与请求消息tm 16的内容对应的ADF 213的响应消息tm17。响应消息tm 17从IP服务器单元12传送，并由移动单元16接收。
在移动单元16中，根据ADF 213的内容，确定是否可以安装第一非信任Java-AP软件。如上所述，由于移动单元16处于可以安装非信任Java-AP软件的状态，因而确定可在移动单元16中安装第一非信任Java-AP软件。
然后，在移动单元16中，将ADF 213写入固定存储器16D。另外，在移动单元16中，从ADF 213中提取程序包URL(“http://www.ccc.co.jp/shogi.jar”)，并产生一个请求传送由程序包URL标识的Jar文件214的请求消息tm 18。请求消息tm 18由移动单元16传送，并由IP服务器单元12接收。
在IP服务器单元12中，响应于请求消息tm 18的内容，产生含有Jar文件214的响应消息tm 19。响应消息tm 19由IP服务器单元12传送，并由移动单元16接收。在移动单元16中，将Jar文件214以可被起动的状态写入固定存储器16D，并完成了第一非信任Java-AP软件的安装。
当确定移动单元16中不能安装第一非信任Java-AP软件时，移动单元16回到开始获得ADF 213之前的状态。
(3-1-2)第二非信任Java-AP软件当用户通过操作移动单元16试图获得解释性文件207或列表文件200时，第二非信任Java-AP软件的安装操作开始。由试图获得解释性文件207开始的操作是由试图获得列表文件200开始的操作的子集，因而，下文只解释由试图获得列表文件200开始的操作。
如图18所示，在移动单元16中，产生一个含有作为GET方法的参数的列表文件200的URL(“http://www.aaa.co.jp/def.html”)的请求消息tm 20。请求消息tm 20由移动单元16传送，并由管理服务器单元18接收。
在管理服务器单元18中，响应于请求消息tm 20的内容，产生含有列表文件200的响应消息tm 21。响应消息tm 21由管理服务器单元18传送，并由移动单元16接收。在移动单元16中，当接收了响应消息tm 21时，依据HTML解释响应消息tm 21中的列表文件200，并向移动单元16的用户提供与列表文件200的内容对应的UI。结果，在移动单元16的显示单元16C中，显示了例如图10所示的列表页201。
用户看到列表页201之后，操作移动单元16，点击列表页201中的选项201B时，产生一个包含作为GET方法参数的与选项201B对应的URL(“http://www.ccc.co.jp.jkl.html”)的请求消息tm 22。请求消息tm 22由移动单元16传送，并由IP服务器单元12接收。
在IP服务器单元12中，响应于请求消息tm 22的内容，产生含有解释性文件207的响应消息tm 23。响应消息tm 23由IP服务器单元12传送，并由移动单元16接收。在移动单元16中，向用户提供与解释性文件207的内容对应的UI。结果，在显示单元16C中，显示例如如图14所示的解释性页208。
用户看到解释性页208之后，当操作移动单元16来点击解释性页208中的锚定标记208A时，作为写入图13的解释性文件207中的锚定标记(以“＜A”开始的标记)的ijam属性指定的值标识出作为id属性指定的对象标记(以“＜OBJECT”开始的标记)。然后，提取作为对象标记的数据属性指定的URL(“http://www.ccc.co.jp/horoscope.jam”)，并产生一个请求传送由该URL标识的ADF 209的请求消息tm 26。请求消息tm 26从移动单元16传送，并由IP服务器单元12接收。
在IP服务器单元12中，产生包含与请求消息tm 26的内容对应的ADF 209的响应消息tm 27。响应消息tm 27由IP服务器单元12传送，并由移动单元16接收。
在移动单元16中，根据ADF 209的内容，确定是否可以安装第二非信任Java-AP软件。如上所述，由于移动单元16处于可以安装第二非信任Java-AP软件的状态，因而确定可在移动单元16中安装第二非信任Java-AP软件。
然后，在移动单元16中，将ADF 209写入固定存储器16D。另外，在移动单元16中，从ADF 209中提取程序包URL(“http://www.ccc.co.jp/horoscope.jar”)，并产生一个请求传送由该程序包URL标识的Jar文件210的请求消息tm 28。请求消息tm 28由移动单元16传送，并由IP服务器单元12接收。
在IP服务器单元12中，响应于请求消息tm 28的内容，产生含有Jar文件210的响应消息tm 29。响应消息tm 29由IP服务器单元12传送，并由移动单元16接收。在移动单元16中，将Jar文件210写入固定存储器16D，并完成第二非信任Java-AP软件的安装。
当确定移动单元16中不能安装第二非信任Java-AP软件时，移动单元16回到开始获得ADF 209前的状态。
(3-1-3)可信任Java-AP软件当用户通过操作移动单元16试图获得解释性文件202或列表文件200时，可信任Java-AP软件的安装操作开始。由试图获得解释性文件202开始的操作是由试图获得列表文件200开始的操作的子集，因而，省略了由试图获得解释性文件202开始的操作。
如图19所示，在由试图获得列表文件200开始的操作中，执行与图18所示的操作相同的操作，直到移动单元16接收响应消息tm 21之后，显示例如图10所示的列表页201。在用户见到列表201之后，操作移动单元16，点击列表页201中的选项201A时，在移动单元16中产生一个包含作为GET方法参数的与选项201A对应的URL(“http://www.main.bbb.co.jp/ghi.html”)的请求消息tm 32。请求消息tm 32由移动单元16传送，并由IP服务器单元13接收。
在IP服务器单元13中，响应于请求消息tm 32的内容，产生含有解释性文件202的响应消息tm 33。响应消息tm 33由IP服务器单元13传送，并由移动单元16接收。在移动单元16中，向用户提供与解释性文件202的内容对应的UI。结果，在显示单元16C中，显示例如如图16所示的解释性页203。
用户看到解释性页203之后，当操作移动单元16来点击解释性页203中的锚定标记203A时，作为写入图15的解释性文件202中的锚定标记(以“＜A”开始的标记)的ijam属性指定的值标识出作为id属性指定的对象标记(以“＜OBJECT”开始的标记)。然后，提取作为对象标记的数据属性指定的URL(“http://www.main.bbb.co.jp/viewer.jam”)，并产生一个请求传送由URL标识的ADF的请求消息tm 34。请求消息tm 34由移动单元16传送，并由IP服务器单元13接收。在IP服务器单元13中，产生含有与请求消息tm 34的内容对应的ADF 205的响应消息tm 35。响应消息tm 35由IP服务器单元13传送，并通过网关服务器单元17和分组通信网络15由移动单元16接收。
在移动单元16中，将ADF 205写入固定存储器16D中，并根据ADF205的内容，确定可信任Java-AP软件是否可以安装。如上所述，由于移动单元16处于可以安装可信任Java-AP软件的状态，因而确定可在移动单元16中安装可信任Java-AP软件。
然后，在移动单元16中，产生一个请求传送由包含在ADF 205中的SDF-URL(“http://www.aaa.co.jp/viewer.sdf”)标识的SDF 204的请求消息tm 36。请求消息tm 36从移动单元16传送，并由管理服务器单元18接收。
在管理服务器单元18中，产生含有与请求消息tm 36的内容对应的SDF 204的响应消息tm 37。响应消息tm 37从管理服务器单元18传送，并通过网关服务单元17和移动分组通信网15由移动单元16接收。在该阶段，管理服务器单元18和网关服务器单元17之间的通信路径是专用线路，并且由于网关服务器单元17直接连接到安全性有保证的移动分组通信网15，因而在SDF 204由移动单元16接收之前，SDF 204不能被篡改。
另外，在移动单元16中，使用含在ADF 205中的公共密钥来确定SDF 204的真实性。如上所述，含在ADF 205中的公共密钥与用于签署SDF 204的保密密钥对应；因此，只要在管理服务器单元18中没有改变SDF 204的内容，则确定SDF 204是真实的。
当确定SDF 204是真实的时候，在移动单元16中，将含在ADF 205中的APID与含在SDF 205中的APID进行比较。如上所述，由于将与SDF204中的APID对应的APID指定为写入在IP服务器单元13中的ADF 205中，因而，只要在写入等时没有发生错误，则含在ADF 205中的APID与含在SDF 204中的APID是匹配的。然后，在移动单元16中，将SDF 204写入固定存储器16D。
另外，在移动单元16中，从ADF 205中提取程序包URL(http://www.main.bbb.co.jp/viewer.jar)，并产生一个请求传送由程序包URL标识的Jar文件206的请求消息tm 38。请求消息tm 38由移动单元16传送，并由IP服务器单元13接收。
在IP服务器单元13中，产生包含与请求消息tm 38的内容对应的Jar文件206的响应消息tm 39。响应消息tm 39由IP服务器单元13传送，并由移动单元16接收。
然后，在移动单元16中，使用Jar文件206的哈希函数和指定的哈希函数计算哈希值，并将计算出的哈希值与含在ADF 205中的哈希值进行比较。如上所述，由于将与ADF 205对应的Jar文件的哈希值指定为写入ADF 205中，因此只要在写入等时没有发生错误，哈希值是匹配的。
当哈希值匹配时，在移动单元16中，将Jar文件206以可以起动的状态写入固定存储器16D，并完成可信任Java-AP软件的安装。
当确定移动单元16中SDF 204不真实、SDF 204中的APID和ADF 205中的APID不匹配、确定可信任Java-AP软件为不可安装、或计算出的哈希值和ADF 205中的哈希值不匹配时，则移动单元16回到开始获得SDF205之前的状态。
(3-2)当Java-AP软件起动时，移动单元16的操作下面，将解释上述的每一Java-AP软件起动时，移动单元16的操作。
(3-2-1)非信任Java-AP软件的操作将解释当通过上述安装操作而在实现了JAM的移动单元16中来起动安装在移动单元16中的非信任Java-AP软件(包括第一非信任Java-AP软件(tsume-shogi)和第二非信任Java-AP软件(horoscope)两者)时，移动单元16的操作以及在移动单元16中实现的与该软件(以下称为非信任Java-AP)对应的功能。
当非信任Java-AP将使用的API是非信任API时，在这种情况下，API的使用由JAM批准，因为如上所述，允许非信任API使用任何Java-AP。因而，非信任Java-AP可以使用非信任API。
另一方面，当非信任Java-AP将使用的API是可信任API时，JAM检查与该Java-AP对应的SDF是否存储在固定存储器16D中。在该阶段，由于这样的SDF未存储在固定存储器16D中，因此，JAM禁止由非信任Java-AP使用该API。因而，非信任第一Java-AP将不能使用可信任API。
(3-2-2)可信任Java-AP软件的操作将解释在实现了JAM的移动单元16中起动所安装的可信任Java-AP软件(电话簿阅读器)时，移动单元16的操作以及在移动单元16中实现的与该软件对应的功能。
当可信任Java-AP将使用的API是非信任API时，很明显，如上所述，API的使用由JAM核准。因此，可信任Java-AP可以使用非信任API。
当可信任Java-AP将使用的API是可信任API时，由于与Java-AP对应的SDF存储在固定存储器16D中，API的使用可以被JAM核准，但是可信任Java-AP的操作依赖于SDF中的策略信息。以下，解释将被使用的各API的操作。
(3-2-2-1)getPhoneList()由于“getPhoneList()”是可信任API，API是否可以被使用由JAM根据存储在固定存储器16D中的SDF 204中的策略信息确定。策略信息的内容是图4示出的内容；因此，“getPhoneList()”的使用被JAM批准。因而，可信任Java-AP(电话簿阅读器)能使用“getPhoneList()”。换句话说，可信任Java-AP能读出电话号码簿数据。
(3-2-2-2)getCallHistory()由于“getCallHistory()”是可信任API，API是否可以被使用由JAM根据SDF 204中的策略信息确定。由于策略信息的内容是图4示出的内容，因而JAM禁止使用“getCallHistory()”。因而，可信任Java-AP(电话簿阅读器)不能使用“getCallHistory()”。换句话说，可信任Java-AP不能读出打出和打入电话的历史数据。
(3-3)更新可信任Java-AP软件期满日期的操作下面解释更新可信任Java-AP软件的期满日期的操作的例子。在下面的解释中，在图9中，SDF 204被SDF 204a取代。然而，文件的更新仅仅是期满日期由“2002年10月1日上午10:00”变为“2003年1月1日上午10:00”，而SDF 204和SDF 204a的存储位置、文件名、用于签名的保密密钥不变。
移动单元16连续监测定时器单元16H记录的当前日期和小时以及包含在迄今为止获得的各个SDF中的多个期满日期，并确定是否已到期满日期。在该阶段，当定时器单元16H记录的当前日期和小时变为2002年10月1日上午10:00时，与APID“0001”对应的可信任Java-AP软件(电话簿阅读器)的期满日期已到，结果，开始图20所示的操作。
首先，如图所示21，移动单元16在显示单元16c上显示带有期满日期已到的可信任Java-AP软件“TELEPHONE DIRECTORY VIEWER(电话簿阅读器)”的名字的消息以询问用户是否由于已到期满日期而更新期满日期，并等待用户的操作。
在该阶段，当用户进行操作以更新期满日期时，移动单元16解释命令的内容，并产生一个包含作为GET方法参数的含在含有APID“0001”的ADF中的SDF-URL(http://www.aaa.co.jp/viewer.sdf)的请求消息tm 41，请求消息tm 41从移动单元16传送，由管理服务器单元18接收。
在管理服务器单元18中，产生包含与请求消息tm 41的内容对应的SDF 204a的响应消息tm 42。响应消息tm 42从管理服务器单元18传送，并由移动单元16接收。
另一方面，移动单元16确定是否使用上述SDF-URL获得了SDF 204a。在该阶段，假定成功获得了SDF 204a，过程进入下一阶段。然后移动单元16使用含在已经获得的ADF 205中的公共密钥来检查(解密)SDF 204a的签名并确定SDF 204a的真实性。当真实性得到证实时(步骤S35；是)，则移动单元16将从SDF 204a中提取的APID和含在已经获得的ADF 205中的APID进行比较，并确定APID是否匹配。
在该阶段，APID应该匹配；因而，移动单元16写入SDF 204a以覆盖存储在固定存储器16D中的SDF 203。以这种方式，可信任Java-AP软件(电话簿阅读器)的期满日期“2002年10月1日上午10:00”由“2003年1月1日上午10:00”取代。
在确定期满日期将不被用户的操作更新时；当不能获得SDF时；当确定SDF不真实时；或当SDF的APID和ADF的APID不匹配时，JAM通知用户期满日期没有更新，并使移动单元16返回到获得SDF 203a之前的状态。
(3-4)改变之后可信任Java-AP软件的操作接着将解释在管理IP服务器单元13和IP服务器单元14的IP改变了可信任Java-AP软件的传送模式或内容之后，本系统的操作。然而，本改变包括出于例如可信任Java-AP软件改进目的的Jar文件206内容的改变，以及出于例如减轻IP服务器单元13的负担目的的传送模式的改变。为实现后一改变，如图22所示，管理IP服务器单元13和IP服务器单元14的IP在IP服务器单元14的固定存储器14A中存储改变后的Jar文件206(以下，称作Jar文件215)，并通过依据Jar文件215改变ADF 205的内容产生ADF 216。为传送改变之后的可信任Java-AP软件，上述操作是必需的，并且不要求管理管理服务器单元18的通信供应商的操作。换句话说，通信供应商无需改变列表文件200或SDF 204。
图23示出了如此改变之后的可信任Java-AP软件的安装操作。当移动单元16请求Jar文件时，图23所示的操作开始与图19所示的操作不同。在两幅附图中，响应消息tm 47对应于响应消息tm 37，响应消息tm 48对应于响应消息tm 38，响应消息tm 49对应于响应消息tm 39。
换句话说，图23所示的操作与图19所示的操作的不同仅仅在于处理的对象是ADF 216和Jar文件215；在移动单元16中产生一个请求传送由包含在ADF 216中的程序包URL(“http://www.sub.bbb.co.jp/viewer.jar”)所标识的Jar文件215的请求消息tm 48；请求消息tm 48从移动单元16传送，并由IP服务器单元14接收；在IP服务器单元14中产生含有Jar文件215的响应消息tm 49；响应消息tm 49从IP服务器单元14传送，并由移动单元16接收。
如前面所解释的，在移动单元16中，依据包含在已下载的SDF中的策略信息的内容的操作由与SDF对应的可信任Java-AP软件批准。没有包含在策略信息的内容中的操作不被批准。由于策略信息从管理服务器单元18有安全保证地传送到移动单元16，因而，策略信息不会被第三人篡改，并且以这种方式保证可信任Java-AP的可信性。另外，从用户的角度来看，由于在常规非信任Java-AP之外，还可以使用被批准具有很大操作自由的上述可信任Java-AP，因而操作的方便性显著提高。
在上述传送系统中，以ADF、SDF、Jar文件的顺序向移动单元16传送每个文件，下面解释以这种顺序传送文件所产生的效果。
如已经解释的，Java-AP软件(ADF和Jar文件)由IP设计和产生，并在每个IP在互联网上开设的专用站点(图1所示的IP服务器单元12-14)上向普通用户提供。因而，用户首先访问IP的专用站点，并通常参考几种Java-AP软件的解释性页来确定是否下载软件。然后，当用户确定下载Java-AP软件时，用户需要执行操作以指挥下载过程。为支持该过程，将随后下载的文件的URL通常通过锚定标记包含在上述用于下载目的的解释性页中。在该阶段，从IP的角度来看，因为ADF由IP管理，IP可以连续地跟踪ADF的URL，因而将ADF的URL插入解释性页是最高效的。另一方面，如果将SDF的URL插入解释性页，IP不得不通过询问通信供应商等来连续地确认URL的真实性。因此，以ADF、SDF、Jar文件的顺序进行传送是相当有意义的。
另外，当考虑到用于在NTT DoCoMo的i-mode(注册商标)中进行的对Java-AP软件的版本升级的过程时，上述顺序是有利的。在i-mode的当前服务规范中，当用户进行操作以请求版本升级时，移动单元首先查阅写在ADF中的内容，并根据写在ADF中的程序包URL获得版本升级之后的Jar文件。换句话说，在版本升级期间，首先查阅ADF，之后才执行下载的过程。考虑上述事实，即使在本发明的传送系统的版本升级期间，通过以查阅ADF来开始整个过程、根据ADF中的SDF-URL获得SDF、并获得Jar文件，当前服务规范也无需改变许多，因为其后执行的过程与先下载SDF、接着Jar文件的普通下载过程相同。另一方面，如果尝试版本升级时，将每个文件的下载限定为SDF、ADF和Jar文件的次序，那么如果下载过程由查阅ADF开始，则执行获得Jar文件的过程而没有获得SDF。由于版本升级时可能重写SDF，因而在没有SDF时可能造成安全上的不便。即便从上面的观点看，以ADF、SDF和Jar文件的顺序传送每个文件也是有意义的。
(3)改进本发明不限于上述实施例，如下面所描述的一些改进是可能的。
在上述的传送系统中，移动单元利用保密密钥和公共密钥的签名数据确认SDF的制作者和ADF的制作者之间的对应性的真实性。然而，事实上，传送不限于上述的传送方法，只要所用的方法可以确认SDF的制作者和ADF的制作者之间的对应性的真实性就行。
另外，依据系统所需的安全水平，可通过在SDF中不含公共密钥、不利用IP服务器单元中的保密密钥签署ADF、并在移动单元中省略签名的证实过程的模式来减少移动单元和IP服务器单元中的过程数、或移动单元、管理服务器单元和IP服务器单元之间的通信量。
另外，在上述传送系统中，Jar文件的哈希值包括在与Jar文件对应的ADF中；并在移动单元中产生Jar文件的哈希值；然后通过将ADF中的哈希值和所产生的哈希值来确认Jar文件和ADF的对应性的真实性进行比较。然而，可以使用不限于上述方法的任何方法，只要这些方法能够确认Jar文件和ADF之间的对应性的真实性。
另外，依据系统所需的安全水平，通过省略包括ADF中的哈希值的确认过程，可减轻移动单元和IP服务器单元中的过程数以及移动单元和IP服务器单元之间的通信量。
另外，在上述传送系统中，通过使用可信任Java-AP固有的APID来确定SDF与ADF(及Jar文件)的对应性是否真实，但是可以使用提供可信任Java-AP的信息供应商的固有的CID来确定SDF与ADF(及Jar文件)的对应性是否真实。另外，根据系统所需的安全水平，可以省略根据APID和CID进行的确定。
另外，在上述传送系统中，通过使用域名来指定服务器，但也可以通过使用IP地址来指定服务器。
另外，在移动单元中，通过将包含在ADF中的SDF-URL中的域名与预设字符串进行比较，只有在域名为由可信赖的组织管理的服务器单元的域名时，才确认SDF是真实的。在这种情况下，当域名与预设的字符串不同时，移动单元16显示获取SDF失败的消息，结束该过程而不向管理服务器单元18请求SDF。
另外，在这种模式中，将被比较的字符串(例如，示出通信供应商的域名的字符串)是预先存储在移动单元的ROM或固定存储器中的。在预先存储在ROM中的模式中，由于字符串不能被重写，因而可保证更高的安全性。另外，在预先存储在固定存储器的模式中，可以在购买移动单元之后存储可信赖组织；因此，可以非常方便用户及可信赖组织。
另外，在上述传送系统中，由通信供应商保证高水平的安全性，其作为可信赖组织提供用于传送SDF的通信路径。但本发明的技术范围包括一种通信路径不由可信赖组织提供的模式。例如，通过使用加密通信路径连接可信赖组织和移动单元，可信赖组织可以经加密的通信路径传送SDF。另外，即使不能保证通信路径的安全性，通过传送加密后的SDF，并在移动单元解码SDF，可以在某种安全程度上传送SDF。
在上述传送系统中，依据HTTP传送和接收文件，但可改进该系统，以通过使用HTTPS来保证更高的安全性。
另外，在上述传送系统中，可信赖组织可以是IP，换句话说，管理单元可能包括IP服务器单元。
而且，在上述传送系统中，API是用于限制Java-AP使用的对象，但是本发明不限于此，任何资源都可能是这种对象。资源可以是硬件资源。另外，资源可以是网络资源或软件资源(随后解释)。硬件资源可以是移动单元可能具有的资源，例如存储器、扬声器、麦克风、红外控制器，LED(发光二极管)等，或与移动单元相作用的外部硬件盒，例如UIM(用户标识模块)或SIM(客户标识模块)。
接下来解释网络资源。如上所述，移动单元进行与移动通信网的无线电通信。在无线电通信期间，移动单元使用无线电资源，例如移动通信网提供的无线电通道。无线电资源是网络资源的一种。另外，在比无线电资源所属的通信协议层更高的通信协议层，移动单元使用通信资源，例如分组的传送路径或连接网络的通信路径。这些通信资源作为网络资源被包括。
接着解释软件资源。软件资源可以是API、类(class)、分组等等。软件资源提供各种功能，但是典型的功能可以是计算处理(例如加密计算)，或与其他应用(例如网页浏览器)之间传送或接收数据的功能。另外，本发明的技术范围包括一种限制使用上述外部硬件盒具有的软件资源的模式。
另外，Java-AP一般通过使用软件资源来使用硬件资源或网络资源。上述传送系统的移动单元还具有用来使用硬件资源或网络资源的软件资源。通过限制这种软件资源的使用，可以间接限制硬件资源或网络资源的使用。通过这种方式的间接限制，并通过准备不同的软件资源，可以容易地设定除非具体改变对多种资源的限制否则就不能实现的限制，上述改变例如是把改变移动单元的Java-AP的授权的权利或其它权利只给予所有Java-AP中的可信任Java-AP、撤消对只允许与被访问用于下载的服务器单元进行通信的限制、或允许访问存储器的特定存储区。另外，本发明的技术范围包括以下一种模式通过限制对安装在移动单元内的软件资源的使用来间接限制上述外部硬件盒的软件资源的使用。
关于表达许可的方法，可以使用与一种资源对应的标记(允许/禁止)，或利用一段信息指明对多种资源的许可。
另外，在本发明中，可以将许可的类型指定为允许(或禁止)使用多种类型的资源。在这种情况下，在移动单元中，可以实现更精确的控制。例如，由于存储器存在读出和写入两种(使用类型)模式，因而，存储器可以由可信任Java-AP读出和写入，而非信任Java-AP只能读出。另外，例如，在多个应用可以共享一个分组传送路径的移动单元中，当网页浏览器等被起动同时有权利使用分组传送路径的Java-AP被起动时，控制可以是这样的被允许“排它地使用分组传送路径”的Java-AP能排它地使用分组传送路径，而未被允许“排它地使用分组传送路径”的Java-AP不能拒绝网页浏览器等对分组传送路径的共享。
另外，通过进一步修改上述例子，下列各项控制是可能的。换句话说，具有某类型许可的Java-AP可以不经用户同意地排它地使用分组通信路径。另外，具有其它许可的Java-AP能够无需用户同意地使用分组通信路径，但要排它地使用分组通信路径则需要获得用户的同意。另外，具有另外许可的Java-AP可以无需用户同意地使用分组通信路径，但是不能排它地使用分组通信路径。另外，具有另外许可的Java-AP只能在用户同意时，才能使用分组通信路径。另外，具有其他许可的Java-AP甚至不能使用分组通信路径。从这些例子中可以明显地看出，本发明的“使用类型”还包含当使用资源时过程(获得用户许可/未获得用户同意的过程)的类型。
另外，在上述传送系统中，为所有的移动单元提供相同的列表页，但是可以为各个移动单元提供不同的列表页。
另外，在上述传送系统中，当执行Java-AP时，Java-AP的操作受到限制。替代地，可将策略信息包含在存储于IP服务器单元中的Jar文件中，并在移动单元中下载Jar文件时，如果该策略信息与SDF中的策略信息的比较结果为不匹配，则可以禁止与Jar文件对应的Java-AP的起动，或含有该Jar文件的Java-AP软件的安装。只有在策略信息匹配时，对该项目的许可才有效。
通信供应商的公共密钥包含在ADF中，从而从IP服务器单元12-14提供给移动单元16。然而，代替所述的对公共密钥的供应的限制，公共密钥可以预先存储在移动单元中。关于在移动单元中预先存储公共密钥的方法，例如通过通信传送并预先存储在固定存储器中的方法，或在将公共密钥写入ROM中之后才销售移动单元的方法都是可行的。
另外，在上述传送系统中，将软件传送给移动单元，但是本发明的技术范围包括一种将软件传送到移动单元之外的终端设备的模式。
在上述传送系统中，当可信任Java-AP软件的期满日期达到时，更新其期满日期的过程开始。然而，代替上述的对更新定时的限制，可以采用例如用户希望的任何时间或周期性定时(例如每月结束时更新一次)等不同的模式。
另外，关于设置期满日期的方法，如已经解释的，期满日期可以依据，例如在可信任Java-AP软件下载一段时期之后的日期(例如，当可信任Java-AP仅在其安装之后一个月可用)设置，或利用可信任Java-AP软件的执行次数或执行期间(period)设置期满日期。换句话说，期满日期可以是任何信息，只要其设置了上限从而不允许Java-AP软件无限期地执行。
例如，当利用执行次数设置期满日期时，所需的信息可以从JAM中提取，每次起动可信任Java-AP软件时，JAM查阅SDF中的策略信息，并计数JAM进行查阅的次数，作为可信任Java-AP软件的执行次数。当所计数的执行次数达到预定数时，可以开始更新过程。
另外，当配备了累积并计算可信任Java-AP软件执行期间的手段时(例如，作为子程序写入可信任Java-AP软件的手段)，即使期满日期是由执行的期间设置的，也可进行计算。然后，当计算的执行期间达到预定时间时，可以开始更新过程。
在对上述传送系统的解释中，使用了术语“可信任Java-AP软件的期满日期”，但是更精确地，期满日期可以是Jar文件本身的期满日期，或甚至是两者的期满日期。
另外，在上述的传送系统中，当已到期满日期但不能更新时，已到期满日期的可信任Java-AP软件的执行被禁止。然而，当已到期满日期时，可将可信任Java-AP软件变为非信任Java-AP软件，而代替上述方式的限制。换句话说，已到期满日期的Java-AP软件被认为是非信任Java-AP软件，并在改变之后作为非信任Java-AP软件受到更大的限制。
另外，可改进上述实施例，从而使任何可信任Java-AP软件的SDF到期。
在该改进的例子中，管理服务器单元具有存储器单元，以如上述实施例那样存储几种Java-AP软件的SDF。当管理服务器单元的控制器从通信单元收到各SDF时，或当控制器收到存储在存储器介质中的SDF时，控制器在存储器单元中存储SDF。
另外，使任何可信任Java-AP软件的SDF无效的命令可以输入到管理服务器单元。该命令包含与将被无效的SDF对应的可信任Java-AP软件的APID。这类命令由操作者输入到管理服务器单元的输入单元；或经网络将该命令从相关的IP服务器单元传送到管理服务器单元，并由管理服务器单元的接收单元接收。当管理服务器单元的控制器经输入单元或通信单元收到命令时，控制器在存储器单元中存储表明由命令中的APID标识的SDF被无效的信息。结果，在管理服务器单元中，不在公开SDF，并且不能再使用SDF下载Java-AP软件。
诸如某可信任Java-AP软件的SDF被传送到某终端设备，随后SDF被无效的情况也是可能的。在这种情况下，已被传送的SDF将被无效，从而不再起SDF的功能。为此目的，可以使用下述方法。换句话说，终端设备在固定的时间期间向管理服务器单元询问SDF的有效性，并当从管理服务器单元返回表明SDF被无效的响应时，终端设备随后禁止使用SDF。在该阶段，缩短用于询问的时间期间可有效地减少SDF被无效之后可信任Java-AP软件的执行次数。然而，如果每个终端设备独立地采用这样的方法，流量将变得巨大，用户必须支付的通信费用也变得非常高。另一方面，在终端设备的用户之中，一些用户频繁地命令执行可信任Java-AP，而一些用户仅仅偶尔地命令执行可信任Java-AP软件；因而，对后者来说，增加流量及通信费用是不明智的。
为解决上述问题，在本实施例中执行如下过程。首先，当管理服务器单元包括关于将SDF从通信单元传送到终端设备时的频率数据N和期间数据T。在该阶段，频率数据N是这样的数据，每当可信任Java-AP软件的执行次数超过N的整数倍时，就命令传送对SDF有效性的询问。另外，期间数据T是这样的数据，当可信任Java-AP软件的执行之后经过了时间T时，则在Java-AP软件的下一次执行开始前，命令传送对SDF有效性的询问。
当终端设备收到某SDF时，终端设备依据SDF中的频率数据N和期间数据T向管理服务器单元传送关于SDF有效性的询问。图24示出了对某SDF执行该过程的控制器的结构。当终端设备中存储了多个SDF时，则配备与SDF的数目相同的如图24所示的控制器。由图24中的代码501-504指示的部件表明了构成控制器的电路，或由控制器执行的例程(routine)。
首先，当终端设备的控制器收到SDF时，控制器起动图24所示的电路或用于SDF的例程，随后控制器从SDF中提取频率数据N和期间数据T。随后将频率数据N传送给除法器502，将期间数据T送给定时器503。
每当与SDF对应的可信任Java-AP软件起动时，计数器501把计数增加1。除法器502将来自计数器501的计数(换句话说，可信任Java-AP软件起动的次数)除以频率数据N，并在作为相除结果的余数为1时，输出信号“1”。
定时器503具体地是递减计数器。当起动可信任Java-AP软件时，将期间数据T写入定时器503作为计数值的初始值。此后，通过与特定频率的时钟同步，定时器503进行递减计数，随后，当时间期间T向下计数时，定时器503输出信号“1”。当在时间期间T向下计数之前再次起动可信任Java-AP软件时，对定时器503设置期间数据T，并从那时起开始新的递减计数。
当从除法器502或定时器503输出信号“1”时，或门504生成一个命令询问SDF有效性的信号。
图25是示出了上述操作的时序图。如该图所示，或门504生成信号以命令询问SDF的有效性，例如N+第一次，2N+第一次(给定频率数据N)。当生成信号时，控制器通过通信单元向管理服务器单元传送对SDF有效性的询问。该询问包含APID以标识作为对象的SDF。当管理服务器单元的控制器从通信单元收到询问时，其通过查阅存储器单元检查所查询的由APID标识的SDF是否有效，并通过通信单元向终端设备返回结果。当终端设备的控制器从通信单元收到所询问的SDF已期满的响应时，控制器进行操作从而不允许起动与SDF对应的Java-AP软件。
另外，在图25所示出的例子中，因为在可信任Java-AP软件的第二次执行之后第三次执行之前经过的时间超过了时间T，因而产生了一个命令询问SDF的有效性的信号。即使在这种情况下，也进行与上述一样的询问、来自管理服务器单元的响应，以及终端设备依据该应答的操作。
上述改进方案的一些优点如下。
首先，如果某人频繁地使用可信任Java-AP软件，由于可信任Java-AP软件总是在计数下降了时间T之前起动，因而当询问操作是根据期间数据T而产生时，不会执行询问。因此，当所执行的起动的次数超过N时进行询问的方法是有效的。
另一方面，如果某人只偶尔地使用可信任Java-AP软件，由于执行起动的次数不经常超过N，因而及时地无效SDF是不可能的。因而，对于这样的用户，在起动后经过的时间超过T时进行询问的方法是有效的。
由于两种方法相互并行地使用，本改进方案对两种类型的用户都是有效的。
权利要求
1.一种管理服务器单元，该管理服务器单元包括通信单元；存储单元；和控制器，其执行(a)用于向所述存储单元写入安全描述文件的过程，所述安全描述文件包含表明对应用的授权的授权信息，所述应用通过执行软件来实现，(b)用于向所述存储单元写入所述安全描述文件的有效性信息的过程，以及(c)当所述通信单元从终端设备收到关于所述安全描述文件的有效性的询问时，用于从所述存储单元读出所述安全描述文件的有效性的信息，并利用所述通信单元向所述终端设备通知所述信息的过程。
2.一种终端单元，该终端单元包括通信单元；存储单元；和控制器，其执行(a)从管理服务器单元接收安全描述文件并将所述安全描述文件写入所述存储单元的过程，所述安全描述文件包含表明对应用的授权的授权信息，所述应用通过执行软件来实现，(b)用于利用所述通信单元重复地向所述管理服务器单元传送关于存储在所述存储单元中的安全描述文件的有效性的询问的过程，以及(c)当利用所述通信单元从所述管理服务器单元接收到所述安全描述文件已经无效的响应时，使与所述安全描述文件对应的实体文件不能起动的过程。
专利摘要
本发明提供了管理服务器和终端单元。能起动Java－AP软件的移动单元16从IP服务器单元13获得ADF 205，利用ADF 205从可信赖的组织(管理移动分组交换网15的通信供应商)管理的管理服务器单元18接收SDF(安全描述文件)204，并利用来自IP服务器单元13的ADF 205获得Jar文件206。随后，移动单元16安装含有这些文件的Java－AP软件。通过起动所述安装的ava－AP软件实现的Java－AP在包含在SDF 204中的策略信息所表明的授权范围内操作。
文档编号H04L29/08GK1992724SQ200610142256
公开日2007年7月4日 申请日期2003年3月28日
发明者渡边信之, 泽田久德, 西尾英昭, 中村友则, 三浦史光, 富冈淳树 申请人:株式会社Ntt都科摩导出引文BiBTeX, EndNote, RefMan