-
HINTERGRUND
DER ERFINDUNG
-
Gebiet der Erfindung
-
Die vorliegende Erfindung betrifft
die Sicherheit in einem verteilten Objektsystem mit einem oder mehreren
Serverobjekten zum Zuführen
verschiedener Dienstleistungen und einem oder mehreren Teilnehmerobjekten
zur Verwendung dieser Dienstleistungen.
-
Beschreibung des Stands
der Technik
-
Ein verteiltes Objektsystem, das
durch Kombinieren eines Teilnehmer-Server-Systems (verteiltes Berechnungssystem)
und einer objektorientierten Technik eingerichtet wird, beginnt
große
Aufmerksamkeit zu erregen.
-
Anders als beim Teilnehmer-Server-System (verteiltes
Berechnungssystem) ist es beim verteilten Objektsystem nicht erforderlich,
daß eine
Teilnehmeranwendung (ein Teilnehmerobjekt) zuvor weiß, wo ein
Serverprogramm (Serverobjekt) arbeitet. Weiterhin ist auf einer
Teilnehmerseite selbst in einem Fall, in dem das System erweitert
wird, keine Änderung
erforderlich. Daher kann ein hochflexibles System aufgebaut werden.
-
Die Flexibilität und der Mechanismus des verteilten
Objektsystems, wie es vorstehend beschrieben wurde, sind beispielsweise
in "Client/Server
Programming With Java and CORBA" von
Robert Orfali, Dan Harkey, veröffentlicht
von John Wiley & Sons,
beschrieben.
-
In der Praxis gibt es viele Fälle, in
denen die gesamte Kommunikation zwischen einem Teilnehmerobjekt
und einem Serverobjekt häufig über ein Objekt-Zwischenprogramm
ausgeführt
wird, wodurch ein sehr flexibles verteiltes Objektsystem eingerichtet werden
kann.
-
Zum Aufbauen eines solchen flexiblen
Systems wurden in letzter Zeit Aktivitäten zum Normieren des verteilten
Objektsystems ausgeführt.
Die vorstehende Veröffentlichung
beschreibt kurz die Normieraktivitäten.
-
Auf dem Informationsverarbeitungsgebiet wurde
viel Aufmerksamkeit auf eine Softwarekomponententechnik zum Herstellen
von Software, wie Anwendungen, von den Anwendungen verwendete Daten
usw. als Komponenten gerichtet.
-
Diese Technik hat viele Vorteile.
Beispielsweise wird eine als ein Grundabschnitt einer Anwendung
dienende Komponente in einem Teilnehmeranschluß vorinstalliert, und wenn
die Anwendung gestartet wird, wird der Teilnehmeranschluß zuerst über ein
Netz mit einem angegebenen Server verbunden, um eine Zusatzkomponente
herunterzuladen, welche die Anwendung in Kombination mit dem Grundabschnitt
der Anwendung vervollständigt,
woraufhin die Anwendung tatsächlich
ausgeführt
wird. Daher kann die gleiche Teilnehmerkomponente für verschiedene
Verarbeitungen verwendet werden, indem lediglich Komponenten vorbereitet
werden, welche zwischen Servern verschieden sind, so daß die Entwicklungswirksamkeit
des Systems erhöht
wird.
-
Mit der Entwicklung und Verbreitung
der vorstehend beschriebenen Informationsverarbeitungstechnik sind
die Anforderungen an eine Sicherheitstechnik zur Berechtigungsprüfung, an
die Zugangskontrolle, an das Verschlüsseln von Informationen usw.
immer stärker
angestiegen.
-
Die Sicherheitsfunktion der verteilten
Objekttechnik ist beispielsweise in "Instant CORBA" von Robert Orfali, Dan Harkey, Jeri
Edwards, veröffentlicht
von John Wiley & Sons,
beschrieben. Gemäß dieser
Veröffentlichung
ist spezifiziert, daß die
folgenden sechs Sicherheitsfunktionen als gemeinsame Dienstleistungen
in den Normieraktivitäten
des vorstehend beschriebenen verteilten Objektsystems zugeführt werden.
-
- (1) Eine Identifikationsfunktion zum Prüfen der Identität eines
Zugangssuchenden in der Art eines Benutzers, eines Objekts oder
dergleichen. Der Zugangssuchende identifiziert sich durch Zeigen
geheimer Informationen (Paßwort
oder dergleichen), die nur ihm selbst und einem die Berechtigungsprüfung ausführenden
Server bekannt sind.
- (2) Eine Zugangssteuerfunktion zum Prüfen, ob ein Zugangssuchender,
dessen Identität
bestätigt wurde,
berechtigt ist, auf Betriebsmittel, wie Objekte usw., zuzugreifen,
und zum Kontrollieren des Zugriffs.
- (3) Eine Sicherheitsüberprüfungsfunktion
zum Aufzeichnen verschiedener Ereignisse hinsichtlich der Sicherheit.
- (4) Eine Kommunikationsschutzfunktion zum Schützen der
Kommunikation zwischen einem Teilnehmerobjekt und einem Serverobjekt
vor einer dritten Partei. Diese Funktion umfaßt eine Funktion zum Erkennen
einer Manipulation von Daten oder von Datenfehlern sowie eine Funktion zum
Verhindern, daß Daten
angezapft werden.
- (5) Eine Anerkennungsfunktion zum Bestätigen der Übertragung bzw. des Empfangs
von Daten zwischen einem Teilnehmer und einem Server, so daß sowohl
der Teilnehmer als auch der Server später nicht abstreiten können, daß sie die Übertragung
bzw. den Empfang der Daten vorgenommen haben.
- (6) Eine Betriebsverwaltungsfunktion zum Festlegen der Sicherheitsvorschriften
usw. durch einen Verwalter.
-
Die Sicherheitsfunktion der Softwarekomponententechnik
ist beispielsweise in "Java
Security" von Scott
Oaks, veröffentlicht
von O'Reilly & Associates, Inc.,
beschrieben. Gemäß dieser
Veröffentlichung
werden für
die Teilnehmerkomponenten, welche über ein Netz heruntergeladen
werden, die folgenden Beschränkungen
auferlegt.
-
- (1) Eine heruntergeladene Teilnehmerkomponente
kann auf kein lokales Betriebsmittel (Datei, Vorrichtung usw.) an
einem Teilnehmeranschluß zugreifen.
- (2) Eine heruntergeladene Teilnehmerkomponente kann nur mit
einem Server kommunizieren, in dem die Komponente gehalten worden
ist.
- (3) Eine heruntergeladene Teilnehmerkomponente kann keinen neuen
Prozeß erzeugen.
-
Diese Sicherheitsfunktionen wurden
vorgeschlagen, um das System vor einer feindlichen Teilnehmerkomponente
zu schützen.
Es ist jedoch anhand dieser Beschränkungen ersichtlich, daß die Vorteile
der Softwarekomponententechnik verlorengehen. Daher wurden auch
die folgenden Erweiterungsfunktionen vorgeschlagen. Danach wird
eine über
ein Netz heruntergeladene Teilnehmerkomponente vorab mit einer Unterschrift
eines Erzeugers versehen, der die Komponente erzeugt hat (die Unterschrift
erfolgt elektronisch und ist daher als "digitale Unterschrift" bekannt), und wenn
ein Benutzer, der einen Teilnehmeranschluß verwendet, zustimmt, daß einer
Teilnehmerkomponente getraut wird, wenn sie eine Teilnehmerkomponente
vom Erzeuger ist, werden die vorstehenden Beschränkungen von der Teilnehmerkomponente
weggenommen.
-
Sowohl die verteilte Objekttechnik
als auch die Softwarekomponententechnik beruhen auf einer objektorientierten
Technik. Daher gibt es eine Bestrebung, Teilnehmerobjekte, Serverobjekte
und Objekt-Zwischenprogramme als Komponenten aufzubauen.
-
Falls die vorstehenden zwei Techniken
miteinander verwendet werden, werden die folgenden Eigenschaften
erreicht.
-
- (1) Ein Teilnehmerobjekt muß einen Server nicht erkennen,
in dem ein Serverobjekt arbeitet, und es kann die gleiche Dienstleistung
unabhängig von
dem Server, in dem das Serverobjekt arbeitet, verwenden.
- (2) Ein Teilnehmerobjekt, das nicht zuvor in einem Teilnehmeranschluß installiert
wurde, jedoch über ein
Netz von einem Server heruntergeladen wurde, kann an diesem Ort
automatisch ausgeführt werden.
-
Bei dem System, bei dem die verteilte
Objekttechnik und die Komponententechnik zusammenwirkend verwendet
werden, treten die folgenden Probleme auf, falls das System lediglich
die vorstehenden Sicherheitsfunktionen aufweist, die voneinander unabhängig sind.
-
Es sei angenommen, daß eine unberechtigte Person
U1 versucht, eine Datei F1 unberechtigt zu kopieren, die von einem
Server S1 verwaltet wird (in dem ein Serverobjekt OS1 arbeitet)
und worauf mit dem Vorrecht der unberechtigten Person U1 kein Zugriff
ausgeführt
werden kann. Die unberechtigte Person U1 erzeugt ein Teilnehmerobjekt
OC1, das ein signiertes Objekt ist und das auf das Serverobjekt
OS1 zugreift, um unberechtigt eine Datei F1 zu kopieren, und es überträgt dann
die Kopie zur unberechtigten Person U1. Die unberechtigte Person
U1 hält
das Teilnehmerobjekt OC1 und das andere signierte Objekt OC2, OC3
(worin keine unberechtigte Verarbeitung installiert ist) in einen
WWW-Server S2, der
von der unberechtigten Person U1 in einem solchen Zustand verwaltet
wird, daß dieses
Teilnehmerobjekt heruntergeladen werden kann.
-
Weiterhin sei angenommen, daß ein Benutzer
U2 mit einer Berechtigung zum Zugriff auf die Datei F1 das signierte
Teilnehmerobjekt OC1 von einem Teilnehmeranschluß C1 unter Verwendung eines Browserprogramms
herunterlädt.
Falls der Benutzer U2 Erfahrungen mit dem vorhergehenden Herunterladen
der Teilnehmerobjekte OC2, OC3 hat und sie so festlegt, daß dem Teilnehmerobjekt
mit der vom Benutzer U1 erzeugten Unterschrift zu jeder Zeit oder zu
der Zeit, zu der der Benutzer U2 OC1 herunterlädt, vertraut wird, beginnt
das signierte Teilnehmerobjekt OC1 auf der Grundlage des Vorrechts
des Benutzers U2 (nicht des Vorrechts der unberechtigten Person U1)
zu arbeiten.
-
Daher kann die unberechtigte Person
U1 die Datei F1 unter Verwendung seines Vorrechts unberechtigt gewinnen,
worauf der Zugriff nicht möglich sein
sollte. Wenn das signierte Teilnehmerobjekt OC1 weiterhin so festgelegt
ist, daß es
anscheinend den gleichen Vorgang ausführt wie das normal signierte
Teilnehmerobjekt OC2 oder OC3, kann es dem Benutzer U2 nicht bewußt sein,
daß das
signierte Teilnehmerobjekt OC1 eine unberechtigte Verarbeitung ausführt.
-
Weiterhin kann das Browserprogramm
OC1 automatisch herunterladen, wenngleich der Benutzer U2 dies nicht
weiß,
und es ist dem Benutzer U2 in diesem Fall gewöhnlich auch nicht die unberechtigte Verarbeitung
von OC1 bewußt.
-
Im Dokument XP-000784871: Anand,
R. u. a. "A Flexible
Security Model for Using Internet Content", PROCEEDINGS OF THE 16TH SYMPOSIUM ON
RELIABLE DISTRIBUTED SYSTEMS (SRDS) '97, Durham, NC, Okt. 22–14, 1997,
PROCEEDINGS OF THE SYMPOSIUM ON RELIABLE DISTRIBUTED SYSTEMS, Los
Alamitos, CA, IEEE Computer Soc., USA, 22. Oktober 1997, S. 89–96 ist
ein verteiltes Objektsystem gemäß dem ersten
Teil des Anspruchs 1 offenbart. Das bekannte System betrifft speziell
das Herunterladen von Inhalten über
das Internet und das Steuern von Aktionen auf einem Teilnehmeranschluß, einschließlich des
Schutzes des heruntergeladenen Inhalts unter Bezugnahme auf die
angeforderte Domäne
des Inhalts und eine Datenbank, die das Vertrauen des Benutzers
in den Hersteller und den Inhaltstyp beschreibt.
-
In
US 5,553,239 A ist ein Serversystem zum Verbinden
mehrerer Teilnehmeranschlüsse
offenbart, die einen Zugriff auf Anwendungen, welche auf dem Server
vorhanden sind, anstreben. Das System versucht, die Verwendung des
Systems durch Bereitstellen von Sicherheit, eine schnelle Wiederherstellung
bei einem Fehler und ein Beenden inaktiver Verbindungen zu optimieren.
-
Das Dokument XP-000452345: Rozenblit, M. "Secure Software Distribution", PROCEEDINGS OF
THE NETWORK OPERATIONS AND MANAGEMENT SYMPO SIUM (NOMS), Kissimmee,
Feb. 14–17,
1994, New York, IEEE, USA, Band 2, SYMP. 4, 14. Februar 1994, S.
486–496
beschreibt ein Softwareverteilsystem unter Verwendung elektronischer Unterschriften
zum Gewährleisten
der Unversehrtheit der Software und zum Kontrollieren des Benutzerzugriffs
auf das System.
-
ZUSAMMENFASSUNG DER ERFINDUNG
-
Eine Aufgabe der vorliegenden Erfindung besteht
darin, ein verteiltes Objektsystem mit einer verbesserten Sicherheit
vor unberechtigten Aktionen bereitzustellen, ohne daß die vorstehend
erwähnten Merkmale
(1) und (2) verlorengehen.
-
Im verteilten Objektsystem gemäß der vorliegenden
Erfindung sind alle Teilnehmerobjektprogramme mit elektronischen
Unterschriften versehen.
-
Wenn ein Benutzer eines Teilnehmeranschlusses
ein Teilnehmerobjektprogramm von einem Teilnehmerobjekt-Verteilserver
herunterlädt,
wird die elektronische Unterschrift des Teilnehmerobjektprogramms
geprüft,
bevor das betreffende Teilnehmerobjektprogramm ausgeführt wird.
Weiterhin wird das Teilnehmerobjektprogramm erst dann ausgeführt, wenn
die Vollständigkeit
des Teilnehmerobjektprogramms bestätigt wurde und der Benutzer
des Teilnehmeranschlusses die Ausführung des von einem Unterzeichner
signierten Teilnehmerobjektprogramms zuläßt.
-
Wenn der Benutzer des Teilnehmeranschlusses
Dienstleistungen verwendet, die von einem Server-Objektausführserver
unter Verwendung des Teilnehmerobjektprogramms zugeführt wurden, überträgt der Teilnehmeranschluß weiterhin
die einem Teilnehmerobjektprogramm zugewiesene elektronische Unterschrift,
wenn eine Dienstleistung angefordert wird. Der Server-Objektausführserver,
der die Unterschrift empfängt,
prüft die
betreffende Unterschrift, bevor er dem Benutzer des Teilnehmeranschlusses
die Dienstleistung zuführt.
In diesem Fall wird die Dienstleistung dem Benutzer des Teilnehmeranschlusses
nur dann zugeführt,
wenn die Vollständigkeit
des Teilnehmerobjektprogramms bestätigt wurde und sowohl dem betreffenden
Benutzer als auch dem betreffenden Teilnehmerobjektprogramm vom
Verwalter des Server-Objektausführservers
vorab erlaubt wurde, die betreffende Dienstleistung zu verwenden.
-
Dementsprechend kann gemäß der vorliegenden
Erfindung mit dem Vorrecht eines einen Teilnehmeranschluß verwendenden
Benutzers verhindert werden, daß ein
Teilnehmerobjektprogramm, das über
ein Netz auf den Teilnehmeranschluß heruntergeladen wurde und
darin ausgeführt
wird, eine unberechtigte Verarbeitung ausführt, die vom Benutzer nicht
beabsichtigt ist.
-
KURZBESCHREIBUNG DER ZEICHNUNGEN
-
1 ist
ein Blockdiagramm, in dem die Gerätekonstruktion eines verteilten
Objektsystems dargestellt ist, worauf eine Ausführungsform der vorliegenden
Erfindung angewendet wird,
-
die 2A bis 2E sind Diagramme, in denen der
Hardwareaufbau eines Teilnehmeranschlusses, eines Ausführservers,
eines Verteilservers und eines Verwaltungsservers, die in 1 dargestellt sind, gezeigt
ist,
-
3 ist
ein Funktionsblockdiagramm, in dem ein Teilnehmeranschluß und ein
Verwaltungsserver, die der Anmeldeverarbeitung und der Abmeldeverarbeitung
eines Benutzers zugeordnet sind, dargestellt sind,
-
4 ist
ein Diagramm, in dem ein Beispiel von in der in 3 dargestellten Paßwort-Verwaltungsdatei gespeicherten
Informationen dargestellt ist,
-
5 ist
ein Diagramm, in dem ein Beispiel von in der in 3 dargestellten Benutzeranmelde-Verwaltungsdatei
gespeicherten Informationen dargestellt ist,
-
6 ist
ein Funktionsblockdiagramm, in dem ein Ausführserver und ein Verwaltungsserver dargestellt
sind, welche einer Serverobjektprogramm-Start- und -Beendigungsverarbeitung
eines Serverobjektprogramms gemäß der vorliegenden
Erfindung zugeordnet sind,
-
7 ist
ein Diagramm, in dem ein Beispiel von in einer in 6 dargestellten Serverobjekt-Verwaltungsdatei
gespeicherten Informationen dargestellt ist,
-
8 ist
ein Funktionsblockdiagramm, in dem ein Teilnehmeranschluß und ein
Verteilserver dargestellt sind, welche dem Erhalten eines Teilnehmerobjekts
gemäß der vorliegenden
Erfindung zugeordnet sind,
-
9 ist
ein Diagramm, in dem ein Beispiel von in einer in. 8 dargestellten Unterschriftsobjekt-Verwaltungsdatei
und einer in 10 dargestellten
Teilnehmerobjekt-Verwaltungsdatei
gespeicherten Informationen dargestellt ist,
-
10 ist
ein Funktionsblockdiagramm, in dem ein Teilnehmeranschluß, ein Ausführserver
und ein Verwaltungsserver, die der Verwendung von Dienstleistungen
durch den Benutzer zugeordnet sind, dargestellt sind,
-
11 ist
ein Diagramm, in dem ein Beispiel von in einem in 10 dargestellten Zugriffsverwaltungsserver
gespeicherten Informationen dargestellt ist,
-
12 ist
ein Flußdiagramm,
in dem die Arbeitsweise des Teilnehmeranschlusses gemäß der vorliegenden
Erfindung dargestellt ist,
-
13 ist
ein Flußdiagramm,
in dem die Arbeitsweise des Teilnehmeranschlusses gemäß der vorliegenden
Erfindung dargestellt ist,
-
14 ist
ein Flußdiagramm,
in dem die Arbeitsweise des Ausführservers
gemäß der vorliegenden
Erfindung dargestellt ist,
-
15 ist
ein Flußdiagramm,
in dem die Arbeitsweise des Verteilservers gemäß der vorliegenden Erfindung
dargestellt ist,
-
16 ist
ein Flußdiagramm,
in dem die Arbeitsweise des der Anmeldeverarbeitung des Benutzers
zugeordneten Verwaltungsservers gemäß der vorliegenden Erfindung
dargestellt ist,
-
17 ist
ein Flußdiagramm,
in dem die Arbeitsweise des der Abmeldeverarbeitung des Benutzers
zugeordneten Verwaltungsservers gemäß der vorliegenden Erfindung
dargestellt ist,
-
18 ist
ein Flußdiagramm,
in dem die Arbeitsweise des der Startverarbeitung des Serverobjektprogramms
zugeordneten Verwaltungsservers gemäß der vorliegenden Erfindung
dargestellt ist,
-
19 ist
ein Flußdiagramm,
in dem die Arbeitsweise des der Beendigungsverarbeitung des Serverobjektprogramms
zugeordneten Verwaltungsservers gemäß der vorliegenden Erfindung
dargestellt ist, und
-
20 ist
ein Flußdiagramm,
in dem die Arbeitsweise des einer Ortsinformationsanforderung vom
Benutzer zugeordneten Verwaltungsservers gemäß der vorliegenden Erfindung
dargestellt ist.
-
DETAILLIERTE BESCHREIBUNG
DER BEVORZUGTEN AUSFÜHRUNGSFORM
-
Eine bevorzugte Ausführungsform
der vorliegenden Erfindung wird nachstehend mit Bezug auf die anliegende
Zeichnung beschrieben. Die vorliegende Erfindung ist nicht auf die
folgende Ausführungsform
beschränkt,
und es können
verschiedene Modifikationen vorgenommen werden.
-
1 ist
ein Diagramm, in dem die Gerätekonstruktion
eines verteilten Objektsystems dargestellt ist, worauf eine Ausführungsform
der vorliegenden Erfindung angewendet wird.
-
Wie in 1 dargestellt
ist, umfaßt
das verteilte Objektsystem gemäß dieser
Ausführungsform Teilnehmeranschlüsse 4001 bis 400n (nachstehend einfach
als "Teilnehmeranschluß 400'' bezeichnet), einen Server-Objektausführserver 401 (nachstehend als "Ausführserver 401'' bezeichnet), einen Teilnehmer-Objektverteilserver 402 (nachstehend
als "Verteilserver 402'' bezeichnet) und einen Verwaltungsserver 403 für das verteilte
Objektsystem (nachstehend als "Verwaltungsserver 403'' bezeichnet), welche über ein
KommunikationsNetz 410 in der Art eines LAN oder dergleichen
miteinander verbunden sind.
-
Der Ausführserver 401 führt verschiedene Dienstleistungen
für den
Teilnehmeranschluß 400 aus.
Hier bedeutet das Wort "Dienstleistung", daß der Teilnehmeranschluß 400 Betriebsmittel,
die zum Ausführserver 401 gehören, praktisch
verwenden darf. Es können verschiedene
Dienstleistungen für einen
Benutzer ausgeführt
werden, welche vom Ausführserver 401 zugeführt werden.
-
Der Verteilserver 402 ist
ein sogenannter WWW-Server, und er überträgt ein Teilnehmerobjektprogramm,
wie später
beschrieben wird, wenn ein auf einem Browserprogramm beruhender
Zugriff vom Teilnehmeranschluß 400 ausgeführt wird.
Das so übertragene
Teilnehmerobjektprogramm wird im Teilnehmeranschluß 400 ausgeführt und
praktisch verwendet, um die Dienstleistungen zu verwenden, die der
Ausführserver 401 zuführt.
-
Der Verwaltungsserver 403 verwaltet
das gesamte in 1 dargestellte
verteilte Objektsystem. Er führt
insbesondere eine Ortsverwaltung zwischen dem Teilnehmeranschluß 400 und
dem Ausführserver 401 (die
Verwaltung einer Netzadresse usw.), eine Statusverwaltung (die Verwaltung
eines Betriebszustands, eines Benutzungsstatus usw.), eine Sicherheitsverwaltung
(die Verwaltung von Benutzern, die den Teilnehmeranschluß 400 verwenden, usw.)
und dergleichen aus.
-
Als nächstes wird die Hardwarekonstruktion eines
Computers, der im Teilnehmeranschluß 400, im Ausführserver 401,
im Verteilserver 402 und im Verwaltungsserver 403 verwendet
wird, mit Bezug auf 2 beschrieben.
-
Wie in 2A dargestellt
ist, umfaßt
der Computer eine Kommunikationsnetz-Schnittstelle 501, eine Anzeigevorrichtung 502,
eine Eingabevorrichtung 503, eine Speichervorrichtung 504,
eine Zentralverarbeitungseinheit (CPU) 505 und einen Speicher 506,
welche über
einen Bus 500 miteinander verbunden sind.
-
Die Kommunikationsnetz-Schnittstelle 501 ist
eine Schnittstelle zum Austauschen von Daten mit anderen Anschlüssen, wie
einem Server, über
das Netz 410. Die Anzeigevorrichtung 502 wird
verwendet, um verschiedene Nachrichten für den Benutzer anzuzeigen,
und sie umfaßt
eine Kathodenstrahlröhre,
eine Flüssigkristall-Anzeigevorrichtung
oder dergleichen. Die Eingabevorrichtung 503 wird zur Eingabe
verschiedener Daten, Befehle usw. durch den Benutzer verwendet,
und sie umfaßt
eine Tastatur, eine Maus oder dergleichen. Die Speichervorrichtung 504 wird
verwendet, um in jedem Computer verwendete Programme und Daten permanent
zu speichern, und sie umfaßt
eine Festplatte, eine Diskette oder dergleichen. Die CPU 505 dient
dazu, die jeden Computer bildenden jeweiligen Teile gemeinsam zu
steuern, und sie führt
verschiedene Berechnungen aus. Im Speicher 506 sind ein
Betriebssystem 506a (nachstehend als "OS 506a" bezeichnet) sowie Programme zum Implementieren
jedes Anschlusses und des Servers zwischengespeichert. Hierbei ist
das OS 506a ein Programm zum Implementieren verschiedener
Funktionen, wie einer Dateiverwaltung, einer Prozeßverwaltung
und einer Vorrichtungsverwaltung zum Steuern des gesamten Teilnehmeranschlusses 400.
-
Der Computer, der jeden Anschluß und den Server
implementiert, muß nicht
unbedingt den vorstehend beschriebenen Aufbau aufweisen, und er kann
aufgebaut sein, um seinen Verwendungszweck zu erfüllen.
-
Wenn ein Computer als der Teilnehmeranschluß 400 aufgebaut
ist, werden von der CPU 505 ausgeführte Programme, wie ein Teilnehmergrundprogramm 506b für das verteilte
Objektsystem (nachstehend einfach als "Teilnehmergrundprogramm 506b'' bezeichnet), ein Browserprogramm 506c und
ein Teilnehmerobjektprogramm 506d im Speicher 506 zwischengespeichert,
wie in 2B dargestellt
ist.
-
Das Teilnehmergrundprogramm 506b dient dazu,
den Teilnehmeranschluß 400 zu
veranlassen, in dem verteilten Objektsystem als ein Teilnehmer zu arbeiten.
Das Teilnehmergrundprogramm 506b führt zusammen mit einem Servergrundprogramm
für das verteilte
Objektsystem und einem Verwaltungsprogramm für das verteilte Objektsystem
verschiedene Verarbeitungen durch, wie später beschrieben wird.
-
Das Browserprogramm 506c ist
ein Programm, um es dem Teilnehmeranschluß 400 zu ermöglichen,
mit dem Verteilserver 402 zu kommunizieren und das Teilnehmerobjektprogramm 506d herunterzuladen.
-
Das Teilnehmerobjektprogramm 506d ist
ein Programm zum Ausführen
der Verarbeitung, die erforderlich ist, um die verschiedenen vom
Ausführserver 401 zugeführten Dienstleistungen
zu verwenden. Insbesondere führt
der Benutzer des Teilnehmeranschlusses 400 die erforderliche
Verarbeitung aus, wenn die Dienstleistungen verwendet werden. Das Teilnehmerobjektprogramm 506d enthält eine
Objektkennung zum Unterscheiden des Teilnehmerobjektprogramms 506d von
den anderen Programmen, die Unterschrift eines Erzeugers des betreffenden Teilnehmerobjektprogramms 506d (gemäß dieser Ausführungsform
werden alle Daten, die erforderlich sind, um die Unterschrift des
Erzeugers zu prüfen,
als "Unterschrift" bezeichnet) usw.,
und es ist demgemäß verfügbar, um
den betreffenden Erzeuger zu identifizieren und die Vollständigkeit
des Teilnehmerobjektprogramms 506d zu prüfen (zu
prüfen,
ob das Programm manipuliert wurde).
-
Wenn ein Computer als der Ausführserver 401 aufgebaut
ist, werden im Speicher 506 von der CPU 505 ausgeführte Programme,
wie das OS 606a, ein Servergrundprogramm 606b des
verteilten Objektsystems (nachstehend einfach als "Servergrundprogramm 606b'' bezeichnet) und ein Serverobjektprogramm 606c zwischengespeichert,
wie in 2C dargestellt
ist. Hierbei ist das OS 606a ein Programm zum Implementieren
von Funktionen in der An einer Dateiverwaltung, einer Prozeßverwaltung
und einer Vorrichtungsverwaltung, um den gesamten Ausführserver 401 zu
steuern.
-
Das Servergrundprogramm 606b ist
ein Programm, das dazu dient, den Ausführserver 401 zu veranlassen,
in dem verteilten Objektsystem als ein Server zu arbeiten. Das Servergrundprogramm 606b führt zusammen
mit dem vorstehenden Teilnehmergrundpro gramm 506b und einem
später
beschriebenen Verwaltungsprogramm für das verteilte Objektsystem
verschiedene Verarbeitungen aus.
-
Das Serverobjektprogramm 606c dient
dazu, dem betreffenden Teilnehmeranschluß 400 entsprechend
einer Dienstleistungs-Zuführanforderung
vom Teilnehmeranschluß 400 verschiedene
Dienstleistungen zuzuführen.
Insbesondere führt
das Serverobjektprogramm 606c zusammen mit dem Teilnehmerobjektprogramm 506d Verarbeitungen
aus, die erforderlich sind, wenn der Benutzer des Teilnehmeranschlusses 400 die
Dienstleistungen verwendet. Das Serverobjektprogramm 606c enthält eine
Objektkennung zum Unterscheiden des Serverobjektprogramms 606c von
den anderen Programmen.
-
Wenn ein Computer als der Verteilserver 402 aufgebaut
ist, wie in 2D dargestellt
ist, werden von der CPU 505 ausgeführte Programme, wie das OS 706a und
ein WWW-Serverprogramm 706b, im Speicher 506 zwischengespeichert.
Hierbei ist das OS 706a ein Programm zum Implementieren
von Funktionen in der Art einer Dateiverwaltung, einer Prozeßverwaltung
und einer Vorrichtungsverwaltung zum Steuern des gesamten Verteilservers 402.
-
Das WWW-Serverprogramm 706b überträgt in der
Speichervorrichtung 504 gespeicherte Daten (das vorstehende
Teilnehmerobjektprogramm 506d oder dergleichen), wenn vom
Teilnehmeranschluß 400 ein
auf dem Browserprogramm 506c beruhender Zugriff erfolgt.
-
Wenn ein Computer als der Verwaltungsserver 403 aufgebaut
ist, wie in 2E dargestellt
ist, werden von der CPU 505 ausgeführte Programme, wie das OS 806a und
ein Verwaltungsprogramm 806b für das verteilte Objektsystem
(nachstehend einfach als "Systemverwaltungsprogramm 806b'' bezeichnet), im Speicher 506 zwischengespeichert. Hierbei
ist das OS 806a ein Programm zum Implementieren von Funktionen
in der Art einer Dateiverwaltung, einer Prozeßverwaltung und einer Vorrichtungsverwaltung
zum Steuern des gesamten Verwaltungsservers 403.
-
Das Systemverwaltungsprogramm 806b ist ein
Programm zum geeigneten Verwalten des gesamten verteilten Objektsystems
gemäß dieser
Ausführungsform.
Das Systemverwaltungsprogramm 806b führt zusammen mit dem Teilnehmergrundprogramm 506b und
dem Servergrundprogramm 606 verschiedene Verarbeitungen
aus, wie vorstehend beschrieben wurde.
-
Der Funktionsblockaufbau des Teilnehmeranschlusses 400,
des Ausführservers 401,
des Verteilservers 402 und des Verwaltungsservers 403, welche
das verteilte Objektsystem gemäß dieser Ausführungsform
bilden, werden nachstehend mit Bezug auf die anliegende Zeichnung
beschrieben.
-
3 ist
ein Funktionsblockdiagramm, in dem der Teilnehmeranschluß 400 und
der Verwaltungsserver 403 dargestellt sind, wenn der Benutzer des
Teilnehmeranschlusses
400 die Verwendung des verteilten
Objektsystems gemäß dieser
Ausführungsform
einleitet/ abschließt.
Hierbei wird jeder Funktionsblock des Teilnehmeranschlusses 400 durch
die Ausführung
jedes im Speicher 506 gespeicherten Programms durch die
CPU 505 des Teilnehmeranschlusses 400 implementiert.
Weiterhin wird jeder Funktionsblock des Verwaltungsservers 403 durch die
Ausführung
jedes im Speicher 506 gespeicherten Programms durch die
CPU 505 des Verwaltungsservers 403 implementiert.
-
Der Funktionsblockaufbau des Teilnehmeranschlusses 400 wird
nun beschrieben. Wie in 3 dargestellt
ist, hat der Teilnehmeranschluß 400 einen
Eingabeabschnitt 901 zum Annehmen von Befehlen vom Benutzer
des Teilnehmeranschlusses 400, einen Anzeigeabschnitt 902 zum
Anzeigen der in den Eingabeabschnitt 901 eingegebenen Daten und
der vom Verwaltungsserver 403 übertragenen Daten und dergleichen,
einen Anmeldeanforderprozeß-Abschnitt 900 zum Übergeben
einer Anmeldeanforderung an den Verwaltungsserver 403 entsprechend
dem Befehl vom Benutzer, der in den Eingabeabschnitt 901 eingegeben
wird, und einen Abmeldeanforderprozeß-Abschnitt 1900.
-
Nun wird der Funktionsblockaufbau
des Verwaltungsservers 403 beschrieben.
-
Wie in 3 dargestellt
ist, umfaßt
der Verwaltungsserver 403 einen Anmeldeprozeßabschnitt 910 zum
Ausführen
einer Anmeldeverarbeitung entsprechend einer Anmeldeanforderung
vom Teilnehmeranschluß 400 und
einen Abmeldeprozeßabschnitt 1910.
-
6 ist
ein Funktionsblockdiagramm, in dem der Ausführserver 401 und der
Verwaltungsserver 403 dargestellt sind, wenn der Verwalter
des Ausführservers 401 das
Serverobjektprogramm 606c startet/beendet. Hierbei wird
jeder Funktionsblock des Ausführservers 401 durch
die Ausführung
von jedem der im Speicher 506 gespeicherten Programme durch
die CPU 505 des Ausführservers 401 implementiert.
Weiterhin wird jeder Funktionsblock des Verwaltungsservers 403 durch
die Ausführung
von jedem der im Speicher 506 gespeicherten Programme durch
die CPU 505 des Verwaltungsservers 403 implementiert.
-
Als nächstes wird der Funktionsblockaufbau des
Ausführservers 401 beschrieben.
Wie in 6 dargestellt
ist, umfaßt
der Ausführserver 401 einen Eingabeabschnitt 1201 zum
Annehmen eines Befehls vom Verwalter des Ausführservers 401, einen Anzeigeabschnitt 1202 zum
Anzeigen in den Eingabeabschnitt 1201 eingegebener Daten
und vom Verwaltungsserver 403 übertragener Daten, einen Serverobjekt-Startprozeßabschnitt 1200 zum
Benachrichtigen des Verwaltungsservers 403, daß er ein Serverobjekt
entsprechend dem in den Eingabeabschnitt 1201 eingegebenen
Befehl des Benutzers starten soll, und einen Serverobjekt-Endprozeßabschnitt 2000,
um dem Verwaltungsserver 403 das Ende des Serverobjekts
mitzuteilen.
-
Nun wird der Funktionsblockaufbau
des Verwaltungsservers 403 beschrieben.
-
Wie in 6 dargestellt
ist, hat der Verwaltungsserver 403 einen Serverobjekt-Verwaltungsprozeßabschnitt 1210 zum
Erneuern einer Serverobjekt-Verwaltungsdatei 1211 entsprechend
einer Serverobjekt-Startmitteilung oder einer Serverobjekt-Endmitteilung
vom Ausführserver 401.
-
8 ist
ein Funktionsblockdiagramm, in dem der Teilnehmeranschluß 400 und
der Verteilserver 402 dargestellt sind, wenn der Teilnehmeranschluß 400 vom
Verteilserver 402 eine Reihe verteilter Daten empfängt, welche
das Teilnehmerobjektprogramm 506d enthalten. Hierbei wird
jeder Funktionsblock des Teilnehmeranschlusses 400 durch
die Ausführung
von jedem der im Speicher 506 gespeicherten Programme durch
die CPU 505 des Teilnehmeranschlusses 400 implementiert.
Weiterhin wird jeder Funktionsblock des Verteilservers 402 durch die
Ausführung
von jedem der im Speicher 506 gespeicherten Programme durch
die CPU 505 des Verteilservers 402 implementiert.
-
Nun wird der Funktionsblockaufbau
des Teilnehmeranschlusses 400 beschrieben. Wie in 8 dargestellt ist, umfaßt der Teilnehmeranschluß 400 einen
Eingabeabschnitt 901 zum Annehmen eines Befehls vom Benutzer
des Teilnehmeranschlusses 400, einen Anzeigeabschnitt 902 zum
Anzeigen in den Eingabeabschnitt 901 eingegebener Daten
und vom Verteilserver 403 übertragener Daten, einen Datenzuführanforderprozeß-Abschnitt 1400 zum
Ausführen
einer Datenanforderung an den Verteilserver 402 entsprechend
dem in den Eingabeabschnitt 901 vom Benutzer eingegebenen
Befehl, und einen Datenempfangsprozeß-Abschnitt 1401 zum
Empfangen vom Verteilserver 402 übertragener verteilter Daten.
-
Als nächstes wird der Funktionsblockaufbau des
Verteilservers 402 beschrieben.
-
Wie in 8 dargestellt
ist, umfaßt
der Verteilserver 402 einen Datenzuführanforderannahmeprozeß-Abschnitt 1410 zum
Annehmen einer Datenanforderung vom Teilnehmeranschluß 400 und
einen Datenverteilprozeß-Abschnitt 1411 zum Übertragen einer
Reihe verteilter Daten zum Teilnehmeranschluß 400 entsprechend
der betreffenden Datenanforderung.
-
10 ist
ein Funktionsblockdiagramm, in dem der Teilnehmeranschluß 400,
der Ausführserver 401 und
der Verwaltungsserver 403 dargestellt sind, wenn der Benutzer
des Teilnehmeranschlusses 400 vom Ausführserver 401 zugeführte Dienstleistungen verwendet.
Hierbei wird jeder Funktionsblock des Teilnehmeranschlusses 400 durch
die Ausführung
jedes im Speicher 506 gespeicherten Programms durch die
CPU 505 des Teilnehmeranschlusses 400 implementiert.
Weiterhin wird jeder Funktionsblock des Ausführservers 401 durch
die Ausführung
jedes im Speicher 506 gespeicherten Programms durch die CPU 505 des
Ausführservers 401 implementiert. Weiterhin
wird jeder Funktionsblock des Verwaltungsservers 403 durch
die Ausführung
jedes im Speicher 506 gespeicherten Programms durch die CPU 505 des
Verwaltungsservers 403 implementiert.
-
Nun wird der Funktionsblockaufbau
des Teilnehmeranschlusses 400 beschrieben. Wie in 10 dargestellt ist, umfaßt der Teilnehmeranschluß 400 einen
Eingabeabschnitt 901 zum Annehmen eines Befehls vom Benutzer
des Teilnehmeranschlusses 400, einen Anzeigeabschnitt 902 zum
Anzeigen in den Eingabeabschnitt 901 eingegebener Daten
und vom Ausführserver 401 übertragener
Daten, einen Ortsinformations-Zuführanforderprozeß-Abschnitt 1600 zum
Ausführen
einer Ortsinformationsanforderung an den Verwaltungsserver 403,
einen Dienstleistungs-Zuführanforderprozeß-Abschnitt 1601 zum Ausführen einer
Dienstleistungs-Zuführanforderung an
den Ausführserver 401 und
einen Dienstleistungs-Empfangsprozeß-Abschnitt 1602 zum
Ausführen
einer Empfangsverarbeitung von Dienstleistungen, die vom Ausführserver 401 zugeführt werden.
-
Nun wird der Funktionsblockaufbau
des Verwaltungsservers 403 beschrieben.
-
Wie in 10 dargestellt
ist, umfaßt
der Verwaltungsserver 403 einen Ortsinformations-Anforderprozeß-Abschnitt 1610 zum
ansprechend auf die Ortsinformationsanforderung vom Teilnehmeranschluß 400 erfolgenden
Suchen nach Ortsinformationen des Ausführservers 402, worin
das Serverobjektprogramm 606c arbeitet, einen Server-Startanforderprozeß-Abschnitt 1611 zum
Ausführen
einer Anforderung zum Starten des Serverobjektprogramms 606c an
den Ausführserver 401 und
einen Benutzerinformations-Anforderprozeß-Abschnitt 1612 zum Suchen
von Informationen des Benutzers des Teilnehmeranschlusses 400 ansprechend
auf die Benutzerinformationsanforderung vom Ausführserver 401.
-
Nun wird der Funktionsblockaufbau
des Ausführservers 401 beschrieben.
-
Wie in 10 dargestellt
ist, umfaßt
der Ausführserver 401 einen
Serverstartprozeß-Abschnitt 1620 zum
Starten des Serverobjektprogramms 606c ansprechend auf
die Serverstartanforderung vom Verwaltungsserver 403, einen
Dienstleistungs-Anforderannahmeprozeß-Abschnitt 1621 zum
Annehmen einer Dienstleistungsanforderung vom Teilnehmeranschluß 400,
einen Dienstleistungs-Anforderprüfprozeß-Abschnitt 1622 zum
Prüfen,
ob der Benutzer des Teilnehmeranschlusses 400 und das Teilnehmerobjektprogramm
berechtigt sind, die vom Serverobjektprogramm 606c zugeführten Dienstleistungen
zu verwenden, und einen Dienstleistungs-Zuführprozeß-Abschnitt 1623 zum
Zuführen
der Dienstleistungen zum Teilnehmeranschluß 400.
-
Ein Startverarbeitungsergebnis, das
angibt, daß die
Startverarbeitung des Serverobjektprogramms 606c normal
abgeschlossen wurde oder daß das
Serverobjektprogramm 606c aus irgendeinem Grunde nicht
normal gestartet werden kann, wird dem Verwaltungsserver 403 mitgeteilt.
-
Als nächstes wird die Arbeitsweise
des verteilten Objektsystems gemäß dieser
Ausführungsform
beschrieben.
-
Die 12 und 13 sind Flußdiagramme,
in denen die Arbeitsweise des Teilnehmeranschlusses 400,
wenn der Benutzer des Teilnehmeranschlusses 400 die verteilten
Daten vom Verteilserver 402 empfängt und die vom Ausführserver 401 zugeführten Dienstleistungen
unter Verwendung des in den verteilten Daten enthaltenen Teilnehmerobjektprogramms 506d verwendet,
dargestellt sind. Diese Flußdiagramme
werden mit Bezug auf die 3, 8 und 10 beschrieben.
-
Wenn der Benutzer des Teilnehmeranschlusses 400 eine
Benutzerkennung und ein Paßwort
des Benutzers in den Eingabeabschnitt 901 eingibt (Schritt 2101), überträgt der Anmeldeanforderprozeß-Abschnitt 900 zum
Verwaltungsserver 403 eine Anmeldeanforderung, die sowohl
die Benutzerkennung als auch das Paßwort enthält, sowie die Ortsinformationen
des Teilnehmeranschlusses 400 zum Verwaltungsserver 403 (Schritt 2102).
-
Der Anmeldeanforderprozeß-Abschnitt 900 empfängt die
vom Verwaltungsserver 403 übertragenen Anmeldeinformationen
(Schritt 2103). Wenn die Anmeldeinformationen eine Anmeldeerlaubnis
angeben, wird diese Tatsache auf dem Anzeigeabschnitt 902 angezeigt
(Schritt 2105), und die Verarbeitung geht dann zu Schritt 2106.
-
Wenn die Anmeldeinformationen keine
Anmeldeerlaubnis angeben, wird diese Tatsache auf dem Anzeigeabschnitt 902 angezeigt
(Schritt 2104), und dieser Ablauf wird dann beendet. In
diesem Fall können
dem Benutzer des Teilnehmeranschlusses 400 nicht die vom
Ausführserver 401 zugeführten Dienstleistungen
bereitgestellt werden.
-
Wenn der Benutzer eine Datenanforderung, welche
den Namen der verteilten Daten enthält, und Informationen, die
einen Speicherplatz dafür
angeben (Dateiname, Verzeichnisname oder dergleichen), über den
Eingabeabschnitt 901 eingibt, um das Herunterladen der
Daten im Verteilserver 402 vorzuschreiben (Schritt 2106), überträgt der Datenzuführ-Anforderprozeß-Abschnitt 1400 die
Datenanforderung zum Verteilserver 402 (Schritt 2107).
-
Wenn die Datenkommunikation beispielsweise
unter Verwendung eines WWW-Serverprogramms
und eines Browserprogramms wie in dieser Ausführungsform ausgeführt wird,
werden Uniform Resource Locators (URLs), die jeweils eine Verknüpfung der
Adresse des WWW-Servers und des Dateinamens aufweisen, als Informationen
zum Namen der verteilten Daten und ihres Speicherorts verwendet.
-
Wenn die verteilten Daten empfangen
werden, die der Datenanforderung vom Verteilserver 402 entsprechen
(Schritt 2108), prüft
der Datenempfangsprozeß-Abschnitt 1401 die
in den betreffenden verteilten Daten enthaltene Unterschrift des
Teilnehmerobjektprogramms 506d (Schritt 2109).
-
Falls die Vollständigkeit des Teilnehmerobjektprogramms 506d (es
fand keine Manipulation am ursprünglichen
Teilnehmerobjektprogramm 506d statt) durch den vorstehenden
Prüfvorgang
nicht geprüft
werden kann, wird diese Tatsache auf dem Anzeigeab schnitt 902 angezeigt.
Weiterhin werden die vom Verteilserver 402 übertragenen
verteilten Daten nicht auf dem Anzeigeabschnitt 902 angezeigt,
und die später
beschriebene Teilnehmerobjektprogramm-Ausführungsverarbeitung wird nicht
ausgeführt
(Schritt 2110). Danach geht die Verarbeitung zu Schritt 2124.
-
Falls andererseits die Vollständigkeit
des Teilnehmerobjektprogramms 506d durch den vorstehenden
Prüfvorgang
bestätigt
werden kann, wird die Unterschriftsobjekt-Verwaltungsdatei 1402 (ein
Beispiel davon ist in 9 dargestellt),
die vorab in der Speichervorrichtung 504 gespeichert wurde,
durchsucht, um zu überprüfen, ob
die Objektkennung des betreffenden Teilnehmerobjektprogramms 506d und der
Name seines Erzeugers bereits in der Datei registriert wurden (Schritt 2111),
und falls dies der Fall ist, geht die Verarbeitung zu Schritt 2113.
-
Falls sie nicht in der Unterschriftsobjekt-Verwaltungsdatei 1402 registriert
worden sind, wird eine Auswahl, die angibt, ob das Teilnehmerobjektprogramm 506d und
die Informationen des Erzeugers zur betreffenden Datei hinzugefügt werden
sollten oder nicht, auf dem Anzeigeabschnitt 902 angezeigt (Schritt 2112).
Falls der Benutzer das Hinzufügen vom
Eingabeabschnitt 901 anweist, geht die Verarbeitung zu
Schritt 2113.
-
Falls der Benutzer das Nichthinzufügen vom Eingabeabschnitt 901 anweist,
geht die Verarbeitung zu Schritt 2124.
-
Wenn nur der Name eines Erzeugers
anhand der vorstehenden Tabelle erkannt werden kann und wenn weder
die Objektkennung noch der Name des Erzeugers erkannt werden kann,
wird auf dem Anzeigeabschnitt 902 angezeigt, ob die Objektkennung
und der Name des Erzeugers zu einer Unterschriftsobjekt-Verwaltungsdatei 1402 hinzugefügt worden
sind oder nicht, und sie werden vom Benutzer des Teilnehmeranschlusses 400 ausgewählt.
-
Wenn der Befehl zum Hinzufügen vom
Eingabeabschnitt 901 vom Benutzer erteilt wird, wird eine Folge
aus der Objektkennung des Teilnehmerobjektprogramms 506d und
dem Namen seines Erzeugers neu zur Tabelle hinzugefügt, und
es wird eine Reihe vom Verteilserver 402 empfangener verteilter
Daten auf dem Anzeigeabschnitt 902 angezeigt. Zusätzlich wird
die später
beschriebene Teilnehmerobjektprogramm-Ausführungsverarbeitung kontinuierlich
ausgeführt.
-
Wenn der Benutzer weiterhin einen
Befehl eingibt, daß das
Hinzufügen
vom Eingabeabschnitt 901 nicht zulässig ist, werden keine vom
Verteilserver 402 übertragenen
verteilten Daten auf dem Anzeigeabschnitt 902 angezeigt,
und die später
beschriebene Teilnehmerobjektprogramm-Ausführungsverarbeitung wird nicht
ausgeführt.
-
Wenn nur die Objektkennung von der
Tabelle als Suchergebnis erkannt werden kann, wird die Tatsache,
daß das
Teilnehmerobjektprogramm einen anderen Erzeugernamen hat, jedoch
das gleiche Teilnehmerobjektprogramm in den verteilten Daten enthalten
ist, auf dem Anzeigeabschnitt 902 angezeigt, und die später beschriebene
Teilnehmerobjektprogramm-Ausführungsverarbeitung
wird nicht ausgeführt.
-
In Schritt 2113 zeigt der
Datenempfangsprozeß-Abschnitt 1401 auf
dem Anzeigeabschnitt 902 die Reihe der verteilten Daten
an, welche vom Verteilserver 402 empfangen wurden, und
startet das Teilnehmerobjektprogramm 506d, um die Verarbeitung
zum Ortsinformations-Zuführanforderprozeß-Abschnitt 1600 zu übertragen
(Schritt 2113).
-
Der Ortsinformations-Zuführanforderprozeß-Abschnitt 1600 arbeitet
mit dem Teilnehmerobjektprogramm 506d zusammen, um die
Ortsinformationsanforderung, die die Serverobjektkennung des Serverobjektprogramms 606c enthält, zum
Verwaltungsserver 403 zu übertragen (Schritt 2114).
-
Der Ortsinformations-Zuführanforderprozeß-Abschnitt 1600 prüft, ob die
vom Verwaltungsserver 403 übertragenen Informationen Ortsinformationen
vom Ausführserver 401 enthalten
(Schritt 2115). Falls die Ortsinformationen nicht enthalten sind,
wird die Tatsache, daß die
Ortsinformationen nicht erhalten werden konnten, auf dem Anzeigeabschnitt 902 angezeigt
(Schritt 2116), und die Verarbeitung geht zu Schritt 2124.
-
Falls die Ortsinformationen enthalten
sind, überträgt der Dienstleistungs-Zuführanforderprozeß-Abschnitt 1601 zum
Ausführserver 401 eine Dienstleistungsanforderung
hinsichtlich der vom Serverobjektprogramm 606c zugeführten Dienstleistungen,
während
die Objektkennung des Teilnehmerobjektprogramms 506d, die
Unterschrift seines Erzeugers und die Ortsinformationen des Teilnehmeranschlusses
zur Dienstleistungsanforderung in der Dienstleistungsanforderung
enthalten sind (Schritt 2117).
-
Wenn der Dienstleistungs-Empfangsprozeß-Abschnitt 1602 vom
Ausführserver
die Informationen empfängt,
daß die
Unterschriftsüberprüfung fehlgeschlagen
ist (Schritt 2118), wird dies auf dem Anzeigeabschnitt 902 angezeigt
(Schritt 2119), und die Verarbeitung geht zu Schritt 2124.
-
Wenn andere Informationen als die
vorstehenden Informationen empfangen werden, führt der Dienstleistungs-Empfangsprozeß-Abschnitt 1602 die Verarbeitung
entsprechend den betreffenden Informationen aus und stellt sie nach
Bedarf auf der Anzeige 902 dar (Schritt 2120).
-
Wenn die vom Ausführserver 401 übertragenen
Informationen insbesondere angeben, daß das von der Dienstleistungsanforderung
angegebene Teilnehmerobjektprogramm 506d nicht in der Teilnehmerobjekt-Verwaltungsdatei 1625,
welche vorab in der Speichervorrichtung 504 des Ausführservers 401 gespeichert
wurde, registriert ist, zeigt der Dienstleistungs-Empfangsprozeß-Abschnitt 1602 dies
auf dem Anzeigeabschnitt 902 an (Schritt 2121), und
die Verarbeitung geht zu Schritt 2124.
-
Falls die betreffenden Informationen
angeben, daß der
Benutzer nicht berechtigt ist, die Dienstleistungen zu verwenden,
zeigt der Dienstleistungs-Empfangsprozeß-Abschnitt
1602 dies
auf dem Anzeigeabschnitt 902 an (Schritt 2122),
und die Verarbeitung geht zu Schritt 2124.
-
Falls die betreffenden Informationen
Dienstleistungsinformationen sind, welche entsprechend der in Schritt 2117 übertragenen
Dienstleistungsanforderung zugeführt
wurden, werden diese Dienstleistungsinformationen oder die auf der
Grundlage der Dienstleistungsinformationen bestimmten Informationen
dem Benutzer zugeführt,
indem sie auf dem Anzeigeabschnitt 902 oder dergleichen
angezeigt werden (Schritt 2123), und die Verarbeitung geht
zu Schritt 2124.
-
Wenn der Benutzer eine Abmeldeanforderung
in den Eingabeabschnitt 901 eingibt (Schritt 2124), überträgt der Abmeldeanforderprozeß-Abschnitt 1900 zum
Verwaltungsserver 403 eine Abmeldeanforderung, die die
Benutzerkennung des Benutzers und die Ortsinformationen des Teilnehmeranschlusses 400 enthält, welche
vom Benutzer in den Eingabeabschnitt 901 eingegeben werden,
wenn die Anmeldeanforderverarbeitung ausgeführt wird (Schritt 2125),
und dieser Ablauf wird dann beendet. Falls keine Abmeldeanforderung
eingegeben wird (Schritt 2124), kehrt die Verarbeitung
zu Schritt 2106 zurück.
-
14 ist
ein Flußdiagramm,
in dem die Arbeitsweise des Ausführservers 401 dargestellt
ist, wenn die Dienstleistungen dem Benutzer des Teilnehmeranschlusses 400 zugeführt werden.
Dieses Flußdiagramm
wird nun mit Bezug auf die 6 und 10 beschrieben.
-
Wenn der Verwalter des Ausführservers 401 über den
Eingabeabschnitt 1201 befiehlt, das Serverobjektprogramm 606c zu
starten, oder eine Startanforderung vom Serverobjektprogramm 606c vom Verwaltungsserver 403 empfängt (Schritt 2301),
startet der Serverobjekt-Startprozeß-Abschnitt 1200 oder der
Serverstartprozeß-Abschnitt 1620 das
Serverobjektprogramm 606c entsprechend der in der Startanforderung
enthaltenen Objektkennung und überträgt auch
eine Serverobjekt-Startmitteilung, die die Objektkennung des Serverobjektprogramms 606c und die
Ortsinformationen des Ausführservers 401 enthält, zum
Verwaltungsserver 403 (Schritt 2302).
-
Der Ausführserver 401 prüft, ob der
Verwalter durch den Eingabeabschnitt 1201 befiehlt, das Serverobjektprogramm 606c zu
beenden (Schritt 2303).
-
Falls der Verwalter befiehlt, das
Serverobjektprogramm 606c zu beenden, beendet ein Serverobjekt-Endprozeß-Abschnitt 2000 das
angegebene Serverobjektprogramm 606c und überträgt zum Verwaltungsserver 403 eine
Serverobjekt-Endmitteilung, welche die Objektkennung des Serverobjektprogramms 606c und
die Ortsinformationen des Ausführservers 401 enthält (Schritt 2304),
und dieser Ablauf wird beendet.
-
Der Dienstleistungs-Anforderannahmeprozeß-Abschnitt 1621 nimmt
die vom Teilnehmeranschluß 400 übertragene
Dienstleistungsanforderung an und überträgt zum Dienstleistungs-Anforderprüfprozeß-Abschnitt 1622 die
Objektkennung des Teilnehmerobjektpro gramms 506d, die Unterschrift
seines Erzeugers und die Ortsinformationen des Teilnehmeranschlusses 400,
die in der betreffenden Dienstleistungsanforderung enthalten sind
(Schritt 2306). Der Dienstleistungs-Anforderprüfprozeß-Abschnitt 1622 prüft die Unterschrift
des Erzeugers des Teilnehmerobjektprogramms 506d, die vom
Dienstleistungs-Anforderannahmeprozeß-Abschnitt 1621 empfangen
wird.
-
Falls die Vollständigkeit des Teilnehmerobjektprogramms 506d durch
diesen Prüfvorgang
nicht bestätigt
werden kann, wird keine Dienstleistung zugeführt, und der Fehlschlag der
Unterschriftsprüfung wird
dem Teilnehmeranschluß 400 mitgeteilt
(Schritt 2308), und die Verarbeitung kehrt zu Schritt 2303 zurück.
-
Falls die Vollständigkeit des Teilnehmerobjektprogramms 506d bestätigt werden
kann, wird die vorab in der Speichervorrichtung 504 gespeicherte Teilnehmerobjekt-Verwaltungsdatei 1625 (ein
Beispiel ihres Aufbaus ist in 9 dargestellt)
durchsucht, und es wird geprüft,
ob das betreffende Teilnehmerobjektprogramm 506d und sein
Erzeuger bereits in der Datei registriert worden sind (Schritt 2309).
Falls sie registriert worden sind, geht die Verarbeitung zu Schritt 2311.
-
Falls die Teilnehmerobjekt-Verwaltungsdatei 1625 andererseits
nicht registriert worden ist und weder die Objektkennung noch der
Name des Erzeugers anhand der Tabelle erkannt werden können, wird
dem Teilnehmeranschluß 400 mitgeteilt,
daß das
Teilnehmerobjekt noch nicht registriert worden ist, und es wird
keine Dienstleistung zugeführt (Schritt 2310).
Danach kehrt die Verarbeitung zu Schritt 2303 zurück.
-
Falls die Objektkennung und der Name
des Erzeugers anhand der Tabelle erkannt werden können, überträgt der Dienstleistungs-Anforderprüfprozeß-Abschnitt 1622 zum
Verwaltungsserver 403 eine Benutzerinformationsanforderung,
welche die Ortsinformationen des Teilnehmeranschlusses 400 enthält, die
vom Dienstleistungs-Anforderannahmeprozeß-Abschnitt 1621 empfangen
wurden, in Schritt 2311 zum Verwaltungsserver 403.
-
Der Benutzerinformations-Anforderprozeß-Abschnitt 1612 sucht
nach den in der Benutzerinformationsanforderung, die vom Ausführserver 401 übertragen
wurde, enthaltenen Ortsinformationen des Teilnehmeranschlusses 400 in
der in 5 dargestellten
Tabelle, die vorab in der Benutzeranmelde-Verwaltungsdatei 912 der
Speichervorrichtung 504 gespeichert wurde.
-
Falls die Ortsinformationen des Teilnehmeranschlusses 400 aus
der Tabelle entnommen werden können,
werden die Benutzerkennung und das Vorrecht des Benutzers des betreffenden
Teilnehmeranschlusses 400 dem Ausführserver 401 mitgeteilt. Wenn
die Ortsinformationen des Teilnehmeranschlusses 400 nicht
aus der Tabelle entnommen werden können, werden sie dem Ausführserver 401 mitgeteilt.
-
Wenn danach die Kennung des Benutzers des
Teilnehmeranschlusses 400 und das Vorrecht des Benutzers
als eine Antwort auf die Benutzerinformationsanforderung vom Verwaltungsserver 403 empfangen
werden, durchsucht der Dienstleistungs-Anforderprüfprozeß-Abschnitt 1622 die
in 11 dargestellte Tabelle,
die vorab in der Zugriffsverwaltungsdatei 1624 der Speichervorrichtung 504 gespeichert
wurde, um auf der Grundlage der Benutzerkennung und des Vorrechts
zu prüfen,
ob der Benutzer berechtigt ist, die Dienstleistungen zu verwenden
(Schritt 2312).
-
Falls das Prüfergebnis angibt, daß der Benutzer
des Teilnehmeranschlusses 400 nicht berechtigt ist, die
Dienstleistungen zu verwenden, und daher keine Dienstleistungszufuhr
gestattet ist, teilt der Dienstleistungs-Anforderprüfprozeß-Abschnitt 1622 dies
dem Teilnehmeranschluß 400 mit,
und es wird keine Dienstleistung zugeführt. Die Verarbeitung kehrt
zu Schritt 2303 zurück.
-
Falls das Prüfergebnis angibt, daß der Benutzer
des Teilnehmeranschlusses 400 berechtigt ist, mit den Dienstleistungen
versorgt zu werden, falls der Benutzer also berechtigt ist, die
Dienstleistungen zu verwenden, überträgt der Dienstleistungs-Anforderprüfprozeß-Abschnitt 1622 die
Ortsinformationen des Teilnehmeranschlusses 400 zum Dienstleistungs-Zuführprozeß-Abschnitt 1623 und
befiehlt das Bereitstellen der Dienstleistungen.
-
Der Dienstleistungs-Zuführprozeß-Abschnitt 1623 führt das
Serverobjektprogramm 606c unter Verwendung der Ortsinformationen
vom Teilnehmeranschluß 400 aus.
Es werden die Dienstleistungen, wie eine Dienstleistung des Übertragens
der Dienstleistungsinformationen, die der in Schritt 2306 empfangenen
Dienstleistungsanforderung entsprechen, zum Teilnehmeranschluß 400 usw.,
zugeführt
(Schritt 2314). Danach kehrt die Verarbeitung zu Schritt 2303 zurück.
-
15 ist
ein Flußdiagramm,
in dem die Arbeitsweise des Verteilservers 402 dargestellt
ist, wenn der Verteilserver 402 dem Benutzer des Teilnehmeranschlusses 400 die
verteilten Daten zuführt, welche
das Teilnehmerobjektprogramm 506d enthalten. Dieses Flußdiagramm
wird nun mit Bezug auf 8 beschrieben.
-
Der Datenzuführ-Anforderannahmeprozeß-Abschnitt 1410 akzeptiert
die vom Teilnehmeranschluß 400 übertragene
Datenanforderung (Schritt 2401) und übergibt an den Datenverteilprozeß-Abschnitt 1411 Informationen
zum Namen und zum Speicherort einer Reihe verteilter Daten, welche das
in der betreffenden Datenanforderung enthaltene Teilnehmerobjektprogramm 506d enthalten.
-
Der Datenverteilprozeß-Abschnitt 1411 sucht
die verteilte Datendatei 1412 aus den so empfangenen Informationen,
um gewünschte
verteilte Daten auszulesen, und überträgt die Daten
zum Teilnehmeranschluß 400 (Schritt 2402).
-
In 15 ist
der Start/Beendigungsvorgang des Verteilservers, 402 fortgelassen.
-
16 ist
ein Flußdiagramm,
in dem die Arbeitsweise des Verwaltungsservers 403 dargestellt ist,
wenn sich der Benutzer des Teilnehmeranschlusses 400 anmeldet.
Dieses Flußdiagramm
wird nun mit Bezug auf 3 beschrieben.
-
Der Anmeldeprozeßabschnitt 910 akzeptiert die
vom Teilnehmeranschluß 400 übertragene
Anmeldeanforderung (Schritt 2501) und durchsucht die in 4 dargestellte Tabelle,
die vorab in der Paßwort-Verwaltungsdatei 911 der
Speichervorrichtung 504 gespeichert wurde, nach der Benutzerkennung und
dem Paßwort
des Benutzers des Teilnehmeranschlusses 400, welche in
der Anmeldeanforderung enthalten sind (Schritt 2502).
-
Falls die Benutzerkennung und das
Paßwort anhand
der Tabelle erkannt werden können,
werden die betreffende Benutzerkennung und die betreffenden Ortsinformationen
des Teilnehmeranschlusses 400 zur Benutzeranmelde-Verwaltungsdatei 912 übertragen,
um die Benutzeranmelde-Verwaltungsdatei 912 zu erneuern.
-
In der Benutzeranmelde-Verwaltungsdatei 912 sind
eine Liste eines Satzes der Benutzerkennung, der Ortsinformationen
des Teilnehmeranschlusses 400 und des Vorrechts des betreffenden Benutzers
gespeichert. 5 zeigt
ein Beispiel der in der Anmeldeverwaltungsdatei 912 gespeicherten Liste.
-
Es wird dem Teilnehmeranschluß 400 mitgeteilt,
daß die
Anmeldung normal ausgeführt
wurde (Schritt 2503).
-
Falls die Benutzerkennung und das
Paßwort andererseits
nicht anhand der Tabelle erkannt werden können, wird dem Teilnehmeranschluß 400 mitgeteilt,
daß die
Anmeldung nicht ausgeführt
werden kann (Schritt 2504), und dieser Ablauf wird dann
beendet.
-
Als nächstes wird die Arbeitsweise
des Verwaltungsservers 403, wenn sich der Benutzer des Teilnehmeranschlusses 400 abmeldet,
beschrieben.
-
17 ist
ein Flußdiagramm,
in dem die Arbeitsweise des Verwaltungsservers 403 dargestellt ist,
wenn sich der Benutzer des Teilnehmeranschlusses 400 abmeldet.
-
Wenn der Verwaltungsserver 403 die
Abmeldeanforderung vom Benutzer des Teilnehmeranschlusses 400 akzeptiert
(Schritt 2601), löscht
der Abmeldeprozeßabschnitt 1910 die
Benutzerkennung und die Ortsinformationen des Teilnehmeranschlusses 400,
die in der Abmeldeanforderung enthalten sind, und das Vorrecht,
der mit der Benutzerkennung und den Ortsinformationen aus der in 5 dargestellten Tabelle,
die in der Benutzeranmelde-Verwaltungsdatei 912 der
Speichervorrichtung 504 vorab gespeichert wurde, festgelegt
ist. Zusätzlich
wird die Information, daß die
Abmeldung erfolgreich war, zum Teilnehmeranschluß 400 übertragen
(Schritt 2602), und dieser Ablauf wird dann beendet.
-
18 ist
ein Flußdiagramm,
in dem die Arbeitsweise des Verwaltungsservers 403 dargestellt ist,
wenn der Verwalter des Ausführservers 401 das Serverobjektprogramm 606c startet.
Dieses Flußdiagramm
wird nun mit Bezug auf 6 beschrieben.
-
Wenn der Verwaltungsserver 403 die
Serverobjekt-Startmitteilung vom Serverobjekt-Startprozeß-Abschnitt 1200 des
Ausführservers 401 empfängt (Schritt 2701),
durchsucht der Serverobjekt-Verwaltungsprozeß-Abschnitt 1210 die
in 7 dargestellte Tabelle,
die vorab in der Serverobjekt-Verwaltungsdatei 1211 der
Speichervorrichtung 504 gespeichert wurde, nach der Objektkennung
des Serverobjektprogramms 606c und den Ortsinformationen
des Ausführservers 401 (Schritt 2702).
-
Falls die Objektkennung des Serverobjektprogramms 606c beim
vorstehenden Suchvorgang in der Tabelle registriert wurde, geht
die Verarbeitung zu Schritt 2704.
-
Falls entweder die Objektkennung
des Serverobjektprogramms 606c oder die Ortsinformationen
des Ausführservers 401 nicht
in der Tabelle registriert sind, entscheidet der Serverobjekt-Verwaltungsprozeß-Abschnitt 1210 entsprechend
einem vorbestimmten Betriebshandbuch des verteilten Objektsystems
gemäß dieser
Ausführungsform,
ob die Objektkennung und die Ortsinformationen zur Tabelle hinzugefügt werden
können
(Schritt 2703). Falls ein dynamisches Hinzufügen des
Serverobjekts zugelassen wird, wird die Folge, die die Objektkennung, welche
in der vom Ausführserver 401 übertragenen Serverobjekt-Startmitteilung
enthalten ist, und die Ortsinformationen des Ausführservers 401 enthält, neu
hinzugefügt,
und die Verarbeitung geht dann zu Schritt 2704.
-
Wenn das dynamische Hinzufügen des
Serverobjekts nicht zugelassen wird, wird dem Ausführserver 401 weiterhin
mitgeteilt, daß die
Serverobjekt-Startverarbeitung nicht normal abgeschlossen werden
kann, weil das dynamische Hinzufügen
des Serverobjekts nicht erlaubt ist (Schritt 2705), und
dieser Ablauf wird dann beendet.
-
Der Serverobjekt-Verwaltungsprozeß-Abschnitt 1210 sucht
die Objektkennung des Serverobjektprogramms 606c, die in
der Serverobjekt-Endmitteilung enthalten ist, und die Ortsinformationen
des Ausführservers 401 aus
der in 7 dargestellten Tabelle,
die vorab in der Serverobjekt-Verwaltungsdatei 1211 der
Speichervorrichtung 504 gespeichert wurde, und erneuert
den "Startzustand" zu "kein Start".
-
In Schritt 2704 werden die
Ortsinformationen des Ausführservers 401,
die der betreffenden Objektkennung entsprechen, welche in der Tabelle
enthalten ist, mit den vom Ausführserver 401 übertragenen Ortsinformationen
verglichen.
-
Falls das Vergleichsergebnis eine Übereinstimmung
der Ortsinformationen angibt, wird der "Startzustand" der Tabelle mit "Start" erneuert. Falls die Vergleichsergebnisse
weiterhin eine Nichtübereinstimmung
der Ortsinformationen angeben (sie also voneinander verschieden
sind), werden die "Ortsinformationen" der betreffenden
Tabelle zu den vom Ausführserver 401 übertragenen
Ortsinformationen erneuert, und der "Startzustand" wird dann zu "Start" erneuert. Danach wird dem Ausführserver 401 mitgeteilt,
daß die
Startverarbeitung des Serverobjekts normal beendet wurde (Schritt 2704),
und dieser Ablauf wird dann beendet.
-
19 ist
ein Flußdiagramm,
in dem die Arbeitsweise des Verwaltungsservers 403 dargestellt ist,
wenn der Verwalter des Ausführservers 401 das Serverobjektprogramm 606c beendet.
Dieses Flußdiagramm
wird nun mit Bezug auf 6 beschrieben.
-
Wenn der Verwaltungsserver 403 eine
Serverobjekt-Endmitteilung vom Serverobjekt-Endprozeß-Abschnitt 2000 des
Ausführservers 401 empfängt (Schritt 2801),
sucht der Serverobjekt-Verwaltungsprozeß-Abschnitt 1210 die
Objektkennung des Serverobjektprogramms 606c und die Ortsinformationen
des Ausführservers 401,
welche in der Serverobjekt-Endmitteilung enthalten sind, aus der
in 7 dargestellten Tabelle,
die vorab in der Serverobjekt-Verwaltungsdatei 1211 der
Speichervorrichtung 504 gespeichert wurde, und erneuert "Startzustand" der Folge zu "kein Start". Zusätzlich überträgt er zum Ausführserver 401 Informationen,
die angeben, daß die
Verarbeitung im Verwaltungsserver 403 am Ende des Serverobjektprogramms 606c normal
beendet wurde (Schritt 2802), und dieser Ablauf wird dann
beendet.
-
20 ist
ein Flußdiagramm,
in dem die Arbeitsweise des Verwaltungsservers 403 dargestellt ist,
wenn eine Anfrage zu den Ortsinformationen des Ausführservers 401 vom
Teilnehmeranschluß 400 vorgenommen
wird. Dieses Flußdiagramm
wird nun mit Bezug auf 10 beschrieben.
-
Wenn der Verwaltungsserver 403 die
Ortsinformationsanforderung vom Teilnehmeranschluß 400 empfängt (Schritt 2901),
sucht der Ortsinformations-Anforderprozeß-Abschnitt 1610 die Objektkennung
des Serverobjektprogramms 606c, die in der betreffenden
Ortsinformationsanforderung enthalten ist, aus der in 7 dargestellten Tabelle,
welche vorab in der Serverobjekt-Verwaltungsdatei 1211 der Speichervorrichtung 504 gespeichert
wurde (Schritt 2902).
-
Wenn anhand der Tabelle keine Objektkennung
erkannt werden kann, wird dem Teilnehmeranschluß 400 mitgeteilt,
daß das
angegebene Serverobjektprogramm 606c noch nicht registriert
worden ist (Schritt 2903), und dieser Ablauf wird dann
beendet.
-
Wenn die Objektkennung anhand der
Tabelle erkannt werden kann, wird unter Bezugnahme auf die entsprechende
Folge der Tabelle geprüft,
ob das Serverobjektprogramm 606c gestartet wurde (Schritt 2904).
Falls das Serverobjektprogramm 606c gestartet worden ist,
geht die Verarbeitung zu Schritt 2908.
-
Falls im Startprüfvorgang in Schritt 2904 entschieden
wird, daß das
Serverobjektprogramm 606c nicht gestartet worden ist, werden
die Objektkennung des Serverobjektprogramms 606c und die
Ortsinformationen des Ausführservers 401 an
den Serverstart-Anforderprozeß-Abschnitt 1611 übertragen.
Der Serverstart-Anforderprozeß-Abschnitt 1611 überträgt die Serverstartanforderung,
die die Objektkennung und die Ortsinformationen enthält, zum
Ausführserver 401 (Schritt 2905).
-
Wenn danach vom Ausführserver 401 eine Mitteilung
empfangen wird, daß das
Serverobjektprogramm 606c normal gestartet wurde (Schritt 2906), erneuert
der Serverstart-Anforderprozeß-Abschnitt 1611 den "Startzustand" zu "Start" für die Folge,
die die Objektkennung des Serverobjektprogramms 606c aus
der in 7 dargestellten
Tabelle enthält, und überträgt sie auch
zum Ortsinformations-Anforderprozeß-Abschnitt 1610,
woraufhin die Verarbeitung zu Schritt 2908 geht.
-
Wenn vom Ausführserver 401 eine
Mitteilung empfangen wird, daß das
Serverobjektprogramm 606c nicht normal gestartet werden
kann (Schritt 2906), teilen der Serverstart-Anforderprozeß-Abschnitt 1611 und
der Ortsinformations-Anforderprozeß-Abschnitt 1610 dem
Teilnehmeranschluß 400 mit,
daß das
angegebene Serverobjektprogramm 606c nicht gestartet werden
kann (Schritt 2907), und dieser Ablauf wird dann beendet.
-
In Schritt 2908 werden die
Ortsinformationen des Ausführservers 401,
in dem das Serverobjektprogramm 606c arbeitet, dem Teilnehmeranschluß 400 mitgeteilt,
und dieser Ablauf wird dann beendet.
-
Die vorliegende Erfindung ist nicht
auf die vorstehende Ausführungsform
beschränkt,
und es können
verschiedene Modifikationen vorgenommen werden.
-
Beispielsweise muß der Benutzer gemäß dieser
Ausführungsform
eine Benutzerkennung und ein Paßwort
eingeben, um eine Anmeldeverarbeitung auszuführen, die vorliegende Erfindung
ist jedoch nicht auf diese Vorgehensweise beschränkt. An Stelle des Paßworts kann
der Anmeldevorgang unter Verwendung eines biologischen Merkmals,
wie eines Fingerabdrucks oder dergleichen, ausgeführt werden.
-
Das heißt, daß es so eingerichtet werden kann,
daß eine
Tabelle, in der eine Benutzerkennung und ein biologisches Merkmal,
wie ein Fingerabdruck oder dergleichen, einander zugeordnet sind,
vorab in der Paßwortverwaltungsdatei 911 gespeichert
wird und daß die
Zuordnung zwischen der Benutzerkennung und dem biologischen Merkmal
in der Art eines Fingerabdrucks oder dergleichen auf der Grundlage der
Tabelle geprüft
wird, um die Anmeldeverarbeitung auszuführen. Das biologische Merkmal
in der Art des Fingerabdrucks oder dergleichen kann beispielsweise
durch einen Scanner ausgelesen werden.
-
Weiterhin kann es so eingerichtet
werden, daß ein
Paßwortumwandlungsprogramm
(beispielsweise ein Verschlüsselungsprogramm,
ein Einweg-Hash-Programm oder dergleichen) gemeinsam für den Teilnehmeranschluß 400 und
den Verwaltungsserver 403 bereitgestellt wird und daß Ergebnisse,
die erhalten werden, indem Paßwörter dem Umwandlungsprogramm
unterzogen werden, vorab in der Paßwortverwaltungsdatei 911 gespeichert
werden und die Anmeldeverarbeitung unter Verwendung des Umwandlungsergebnisses
ausgeführt
wird.
-
Weiterhin führt das Serverobjektprogramm 606c gemäß dieser
Ausführungsform
nur eine Dienstleistung zu. Demgemäß macht der Benutzer des Teilnehmeranschlusses 400 gemäß dieser
Ausführungsform
eine Ortsinformationsanforderung oder eine Dienstleistungsanforderung
unter Verwendung nur der Objektkennung des Serverobjektprogramms 606c.
-
Die vorliegende Erfindung ist jedoch
nicht auf diese Weise beschränkt.
Das heißt,
daß eine
Dienstleistungskennung jedem Dienstleistungstyp zugeordnet werden
kann, der von jedem Serverobjektprogramm zugeführt wird. Wenn der Benutzer
des Teilnehmeranschlusses 400 in diesem Fall eine Ortsinformationsanforderung
oder eine Dienstleistungsanforderung vornimmt, kann eine Dienstleistungskennung
einer gewünschten
Dienstleistung in mehreren vom Serverobjektprogramm 606c zugeführten Dienstleistungen
in den Ortsinformationen und der Dienstleistungsanforderung enthalten
sein.
-
Bei der vorstehenden Modifikation
wird jede Folge der in 7 dargestellten
Tabelle, die in der Serverobjekt-Verwaltungsdatei 1211 der
Speichervorrichtung 504 des Verwaltungsservers 403 gespeichert
ist, für
jede Dienstleistungskennung weiter unterteilt. Weiterhin wird eine
in 11 dargestellte Tabelle,
die in der Zugriffsverwaltungsdatei 1624 der Speichervorrichtung 504 des
Ausführservers 401 gespeichert
ist, ebenso unterteilt.
-
Mit dieser Unterteilung kann ein
Serverobjektprogramm viele Dienstleistungen bereitstellen.
-
Weiterhin sind gemäß dieser
Ausführungsform
keine speziellen Einrichtungen vorgesehen, um die Geheimhaltung
und die Vollständigkeit
der Informationen aufrechtzuerhalten, die zwischen dem Teilnehmeranschluß 400,
dem Ausführserver 401,
dem Verteilserver 402 und dem Verwaltungsserver 403 über ein
Kommunikationsnetz 410 übertragen
werden, die vorliegende Erfindung kann jedoch mit verschiedenen
Verschlüsselungseinrichtungen
und Berechtigungsprüfeinrichtungen
kombiniert werden. Gemäß dieser
Ausführungsform
kann die Sicherheit des Gesamtsystems durch Anwenden der Verschlüsselungseinrichtung
oder der Berechtigungsprüfeinrichtung
auf die in einem Kommunikationsnetz fließenden Informationen weiter
verbessert werden.
-
Die vorstehende Ausführungsform
ist mit keiner Einrichtung zum Gewinnen und Unterhalten von Protokollen
für alle
Verarbeitungen, die dem Teilnehmeranschluß 400, dem Ausführserver 401,
dem Verteilserver 402 und dem Verwaltungsserver 403 zugeordnet
sind, versehen. Die vorliegende Erfindung kann jedoch in Kombination
mit solchen Einrichtungen angewendet werden. Einrichtungen zum Gewinnen
bzw. Unterhalten von Protokollen können jeweils für den Teilnehmeranschluß 400,
den Ausführserver 401,
den Verteilserver 402 und den Verwaltungsserver 403 bereitgestellt
werden, um die Sicherheit des Gesamtsystems weiter zu erhöhen.
-
Weiterhin sind gemäß dieser
Ausführungsform
der Ausführserver 401,
der Verteilserver 402 und der Verwaltungsserver 403 jeweils
in getrennten Computervorrichtungen eingerichtet, sie können jedoch
auch gemeinsam in einem Computer eingerichtet sein.
-
Das heißt, daß jeder Server ein Programmodul
in der Art eines Prozeßabschnitt-Programmteils sein
kann, das auf einem Computer abläuft.
In diesem Fall werden die Prüfung
der mit dem Objektprogramm verbundenen Unterschrift und ihre Ausführungsverwaltung
auf einer Modulbasis ausgeführt.
In diesem Fall werden die in den 2B bis 2E dargestellten jeweiligen
Programme auf demselben Computer gespeichert und als verschiedene
Programmodule ausgeführt.
-
Weiterhin wird gemäß dieser
Ausführungsform
die Tabelle, die die Entsprechungsbeziehung zwischen der Objektkennung
des Teilnehmerobjektprogramms 506d und dem Erzeuger davon
zeigt, vom Ausführserver 401 verwaltet,
die vorliegende Erfindung ist jedoch nicht auf diese Vorgehensweise beschränkt. Die
Tabelle kann durch den Verwaltungsserver 403 verwaltet
werden, und der Ausführserver 401 kann
beim Verwaltungsserver 403 anfragen, wodurch die Tabellen
zwischen allen Ausführservern gemeinsam
gemacht werden können,
um eine gemeinsame Verwaltung der Tabellen in einem solchen System
zu erleichtern, bei dem es mehrere Ausführserver 401 gibt.
-
Zusätzlich wird gemäß dieser
Ausführungsform
vom Erzeuger des betreffenden Teilnehmerobjektprogramms 506d eine
elektronische Unterschrift für
das Teilnehmerobjektprogramm 506d bereitgestellt, die vorliegende
Erfindung ist jedoch nicht auf diese Vorgehensweise beschränkt. An
Stelle der elektronischen Unterschrift des Erzeugers kann die elektronische
Unterschrift eines beliebigen Verwalters des verteilten Objektsystems
gemäß dieser
Ausführungsform
oder die elektronische Unterschrift eines Instituts einer dritten
Partei (Verschlüsselungsinstituts)
verwendet werden, denen von allen Personen vertraut wird, die am
verteilten Objektsystem gemäß dieser
Ausführungsform
beteiligt sind (der Benutzer des Teilnehmeranschlusses 400,
der Verwalter des Ausführservers 401,
der Verwalter des Verwaltungsservers usw.). Wenn diese Verwalter
oder das Verschlüsselungsinstitut
weiterhin dem Teilnehmerobjektprogramm 506d eine elektronische
Unterschrift bereitstellen, kann vor dem Bereitstellen der Unterschrift
geprüft
werden, ob das Teilnehmerobjektprogramm 506d eine nicht
gerechtfertigte Verarbeitung ausführt. In diesem Fall wird nur
dann, wenn geprüft wurde,
daß das
Teilnehmerobjektprogramm normal ist, die Unterschrift dem Teilnehmerobjektprogramm 506d bereitgestellt,
wodurch ein nicht gerechtfertigtes Teilnehmerobjektprogramm vorab
ausgeschlossen werden kann und die Sicherheit des Gesamtsystems
weiter erhöht
werden kann.
-
Wie vorstehend beschrieben wurde,
ist es gemäß der vorliegenden
Erfindung möglich,
den Fall zu verhindern, in dem ein Teilnehmerobjektprogramm, das über ein
Netz auf den Teilnehmeranschluß heruntergeladen
wird und dann darin unter Verwendung der Berechtigung eines einen
Teilnehmeranschlusses verwendenden Benutzers ausgeführt wird,
eine vom Benutzer nicht vorgesehene nicht gerechtfertigte Verarbeitung
ausführt.