TWI229531B

TWI229531B - Announcing method, announcing system and terminal apparatus

Info

Publication number: TWI229531B
Application number: TW092107546A
Authority: TW
Inventors: Nobuyuki Watanabe; Hisanori Sawada; Hideaki Nishio; Tomonori Nakamura; Fumiaki Miura
Original assignee: Ntt Docomo Inc
Priority date: 2002-04-03
Filing date: 2003-04-02
Publication date: 2005-03-11
Also published as: JPWO2003083646A1; TW200306108A; JP4078313B2; CN1992724B; EP1491996A1; CN1647029A; US7587592B2; CN1332301C; AU2003220927A1; EP1491996A4; US20050160045A1; WO2003083646A1; CN1992724A; ES2461241T3; EP1491996B1

Description

1229531 ⑴ 玖、發明說明【發明所屬之技術領域】本發明是關於對端末裝置發佈應用軟體之技術。【先前技術】備有執行用Java(商標）程式語言所記述之程式後執行 Java-AP(Java應用）的功能，及透過網際網路下載含有該種程式之Java-AP軟體的功能之移動式機械正在普及中。

Java-AP 軟體包括有 Jar(Java Archive)檔案及 ADP( Application Descriptor File)。此處，Jar 內含有經由執行該J a r而將一種J a v a - A P供應到用戶之程式。另外，a D F依存於J a r檔案，例如必要資訊內含有提示j a r檔案的儲存位置之資訊、提示j ar檔案的最終變更日期時間之資訊。移動式機械依以下的順序進行與所望的Java-AP有關連之軟體的下載。首先，移動式機械從構成WWW(World Wide Web)之伺服器裝置取得與所望的java-AP有關連之 ADF。已取得ADF之移動式機械檢查此ADF的內容並且檢查被設在該移動式機械之記憶體的容量空間，判斷是否能將與所望的Java-AP有關的Jai*檔案安裝到該移動式機械。當判斷爲可安裝則移動式機械用已含在ADF中之程序包URL ，從構成WWW之伺服器裝置取得Jar檔案。在此；Far檔案中存放Java-AP軟體。因此，經由取得此jar檔案則Java-AP軟體完成下載。之後，進行所被下載之Java-AP軟體的安裝 (2) 1229531 ’該;Uva-AP軟體成爲若有要求啓動就被執行的狀態。然則’關於移動式機械內被執行的Java舉動之限制比關於通訊應用等的移動式機械原本所具有之本機應用的舉動之限制更嚴格。例如，Java-AP無法參考移動式機械內之電話號碼資料等隱密性較高的資訊。經施予此樣嚴格的限制，就可以確實避免經由惡意作成的Java-AP或是經由不正常的Java-AP來洩漏或竄改移動式機械內隱密性較高的資訊之事態。但是，對全部的：Tava-AP—律施予上述的嚴格限制，仍無法滿足用戶或IP(信息提供業者）的期望。例如，若有一定程度的信賴性被保證，則也有一些用戶認爲對Java-AP施予能參考被儲存在移動式機械內的個人資訊之權限亦可。另外，IP也希望能提供使用被儲存在移動式機械內的個人資訊或移動式機械所具有的多數個功能之更具魅力的 Java-AP 〇爲了滿足這些個希望，對移動式機械的用戶提供通信服務之通信業者等的可以信賴之機構將權限施加在：Tava-AP，此權限通知到移動式機械，根據該權限而移動式機械限制該Java的舉動之結構已被思考。此結構爲了保證權限的信賴性，可以信賴的機構以外的他者則完全不得參與權限的施加/管理。

Java-AP軟體的下載順序使用上述的結構時，可以信賴的機構使提不櫂限的資訊內含在A D F或J a r檔案中較爲妥當。此處，Jar檔案因隨時被IP更新，所以爲IP保有較爲適 (4) 1229531 有前述實體檔案的儲存位置和前述安全性記述檔位置之應用記述檔案之資訊供應伺服器裝置的發透過前述終端裝置通知前述應用記述檔案的儲存對該終端裝置傳送該應用記述檔案之過程；及前裝置將內含在從前述發佈系統所傳送到來的應用中之前述安全性記述檔案的儲存位置通知到前述之過程；及前述發佈系統根據前述所被通知之安檔案的存儲位置，在安全性被確保的狀態下，將記述檔案傳送到前述終端裝置之過程；及前述終內含在從前述發佈系統所傳送的前述應用記述檔述實體檔案的儲存位置通知到前述發佈系統之過述發佈系統根據前述所被通知之實體檔案的儲存該實體檔案傳送到前述終端裝置之過程的發佈方依據此方法，發佈系統透過前述終端裝置通述檔案的儲存位置，則對該終端裝置傳送該應用，終端裝置將內含在已獲得的應用記述檔案中之載檔案的儲存位置通知到發佈系統，發佈系統根知之安全性記述檔案的儲存位置，在安全性被確下，將該安全性記述檔案傳送到終端裝置，終端內含在從發佈系統所傳送到來的應用記述檔案中案的儲存位置通知到前述發佈系統，發佈系統根知之實體檔案的儲存位置，將該實體檔案傳送到〇另外，本發明提供具備用來進行與網路內的案的儲存佈系統，位置，則述該終端記述檔案發佈系統全性記述該安全性端裝置將案中之前程；及前位置，將法。知應用記記述檔案安全性記據所被通保的狀態裝置將被之實體檔據所被通終端裝置裝置進行 -10- (5) (5)1229531 通訊之通訊部、記憶部、控制部；前述控制部具有（a)將含有提示記述有內含用來實現應用的軟體之實體檔案的儲存位置、和內含提示施加在經執行前述軟體所實現的應用中的權限之權限資訊之安全性記述檔案的儲存位置之應用記述檔案的儲存位置之資訊的第1發佈要求，透過前述通訊部傳送到前述網路內的發佈系統，因而從前述發佈系統透過前述通訊部接收被儲存在前述發佈系統中的資訊供應伺服器裝置之應用記述檔案，儲存到前述記憶部之手段；及（b )將含有指示內含在從前述發佈系統所接收之應用記述檔案之前述安全性記述檔案的儲存位置之資訊的第2發佈要求，透過前述通訊部傳送到前述發佈系統，因而從前述發佈系統透過前述通訊部接收被記憶在前述發佈系統中的管理伺服器裝置之安全性記述槍案，儲存到前述記憶部之手段；（Ο將含有指示內含在從前述發佈系統所接收的應用記載檔案之實體檔案的儲存位置之資訊的第3發佈要求，透過前述通訊部傳送到前述發佈系統，因而從前述發佈系統透過前述通訊部接收被儲存在前述發佈系統中的資訊供應伺服益之貫體檔案’儲存到前述記憶部之手段；及 (d)當含在被記述在前述記憶部的實體檔案之軟體被指示執行時’依照含在與被記憶在前述記憶部之該實體檔案相對應的安全性記述檔案之權限資訊，經該軟體的執行而限制所被實現之應用的舉動之手段的終端裝置。此情況’前述發佈系統具備將前述安全性記述檔案加密後傳送到前述終端裝置而確保安全性，前述終端裝置的 -11 - (6) (6)1229531 控制部將經由前述發佈系統傳送到來之已被加密的安全性記述檔案解碼之手段亦可。另外，前述終端裝置的控制部透過前述通訊號，經由安全性已被確保的通訊路接收前述安全性記述檔案亦可。此情況，前述終端裝置的控制部，經由加密通訊接收前述安全性記述檔案亦可。另外，前述終端裝置的控制部，透過前述通訊部經由移動通訊網及專用線接收前述安全性記述檔案亦可。此情況，前述終端裝置的控制部，透過經由移動通訊網之加密通訊接收前述安全性記述檔案亦可。理想的形態，控制前述終端裝置的控制部中之應用的舉動之手段，根據被內含在前述安全性記述檔案之權限資訊來限制資源的使用亦可。此情況，前述資源若爲前述終端裝置內部的硬體資訊亦可，若爲前述終端裝置外部的可使用該終端裝置之硬體資訊亦可，若爲前述終端裝置內部的軟體資訊亦可，若爲前述終端裝置外部的可使用該終端裝置之軟體資源亦可，若爲可使用前述終端裝置之網路資源亦可。理想的形態，限制前述終端裝置的控制部中之應用的舉動之手段，根據前述權限資訊來判斷資源使用的種類亦可。理想的形態，提供前述應用記述檔案內含對前述終端裝置供應通訊服務之通訊業者的公開鑰，前述安全性記述檔案用前述通訊的加密鑰來署名，前述控制部用內含在前 -12- (7) 1229531 述應用記載檔案之公開鑰來驗證經由前述發佈系統傳來之安全性記述檔案的正當性，只在該正當性已被驗時’對前述發佈系統通知前述實體檔案的儲存位置之裝置。另外，理想的形態，提供前述應用記述檔案及前全性記述檔案內含分割在所對應的應用中之應用識別前述控制部將內含在經由前述發佈系統傳送到來的應述檔案中之應用識別子與內含在經由前述發佈系統傳來的安全性記述檔案中之應用識別子作比較，只在兩致時’將前述實體檔案的儲存位置通知到前述發佈系終端裝置。另外，只有被記述在前述應用記述檔案中之前述性記述檔案的儲存位置在前述管理伺服器裝置內時，終端裝置的控制部使前述安全性記述檔案的儲存位置到前述發佈系統亦可。理想的形態，具備前述安全性記述檔案內含提示應之應用的有效期限之期限資訊，前述終端裝置的控時序列反覆對前述發佈系統通知前述安全性記述檔案存位置，因而時序列從前述發佈系統返覆接收該安全述檔案，根據內含在經反覆被接收之前述安全性記述中之前述期限資訊，更新前述應用的有效期限之手段此情況，前述終端裝置，只在從前述發佈系統正佈前述安全性前述檔案到來時，更新前述應用的有效亦可。送到證過終端述安子，用記送到者一統之安全前述通知所對制部的儲性記檔案〇當發期限 -13- (8) (8)1229531 理想的形態，前述終端裝置即使爲移動式機械亦可。另外，本發明提供具有內含用來實現應用的軟體之實體檔案，及內含指示被施加在經由執行前述軟體所實現的應用中的權限之權限資訊之安全性記述檔案，及儲存具有依存於前述實體檔案之內容且記述有前述實體檔案的儲存位置和前述安全性記述檔案的儲存位置之應用記述檔案之 1個或複數個的伺服器裝置，前述1個或複數個的伺服器裝置當中儲存前述安全性記述檔案之伺服器裝置爲施加管理安全性記述檔案的權限之管理伺服器裝置，各個的前述伺服器裝置具有當檔案的儲存位置被通知則將該檔案回送到該原通知處之手段，前述管理伺服器裝置當前述安全性記述檔案的儲存位置被通知則在安全性被確保的狀態下將該安全性記載檔案回送到原通知處之發佈系統。【實施方式】以下，參照圖面說明本發明的一實施形態之發佈系統。然而，圖面中，共同的部位附註相同的圖號。 (1)構成如第1圖所示，此發佈系統中，IP伺服器裝置12〜14連結到網際網路11。IP伺服器裝置12以第lIP(Internet Provider)來管理，IP伺服器裝置13和14以與第IIP不同的第2IP來管理，分別具有與一般的WWW伺服器裝置同樣的硬體和功能。行動封包通訊網1 5爲通訊業者用來提供行動 -14- 1229531 Ο) 封包通訊服務之網。移動式機械1 6能在與此行動封包通訊網]5之間進行無線封包通訊。閘道伺服器裝置〗7以與行動封包通訊網1 5相同的通訊業者來管理。此閘道伺服器裝置爲將行動封包通訊網1 5與網際網路1 1連結之裝置，具有與一般的閘道伺服器裝置構成同樣的構成。管理伺服器裝置 1 8經由專用線連結到網間連接伺服器裝置〗7。此管理伺服器裝置1 8也構成WWW，與一般的WWW伺服器裝置同樣的硬體和功能。閘道伺服器裝置1 7進行行動封包通訊網]5與網際網路1 1之間的訊息包中繼、管理伺服器裝置1 8與網際網路1 1之間的封包中繼。移動式機械1 6經由利用此中繼功能就能經由行動封包通訊網1 5和網際網路1 1與IP伺服器裝置1 2〜1 4進行封包通訊。然而，實際的發佈系統存在有多數個移動式機械，不過爲了避免圖面上變複雜而只有圖示 1個移動式機械1 6。與此相同的理由，只有圖示3個IP伺服器裝置12〜14。此發佈系統中，移動式機械1 6能從網際網路1 1上之所望的網站取得Java-AP軟體。此移動式機械16所能取得之軟體大體上爲有關託管Java-AP的軟體及有關非託管Java-AP軟體。此處，託管Java-AP軟體爲管理行動封包通訊網 15的通訊業者根據與管理IP伺服器裝置12〜14的IP之契約來保證信賴性之；fava-AP軟體。另外，非託管Java-AP軟體爲託管Java-AP軟體以外的Java-AP軟體。管理伺服器裝置1 8針對流通在此發佈系統的各託管 Java-AP軟體各別記憶SDF(安全性記述檔案）。此SDF爲管 -15- (10) (10)1229531 理行動封包通訊網1 5的通訊業者所作成之檔案，也就是將使用移動式機械的託管API(Application Interface)之Java-AP軟體下載到移動式機械中之際所必要的檔案。然而，有關託管API於後述。如第3圖所示，SDF具有用來識別託管Java-AP軟體之AP ID、規章資訊以及有效期限。這些資訊用通訊業者的加密鑰而被加密。此處，規章資訊爲表示對託管Java-AP的移動式機械16內的舉動加以限制之資訊。然而，此規章資訊及根據此規章資訊所進之Java-AP的舉動之限制於後詳述。本實施形態，當從移動式機械1 6傳送所期望託管 Java-AP軟體的發佈要求時，該託管java_AP軟體中的ADF 從IP伺服器裝置1 2〜1 4的其中1個發佈到移動式機械〗6。此處，託管Java-AP軟體中的ADF含有提示Jar檔案的所在之 URL，其他尙含有提示與該託管java-AP軟體相對應之SDF 的所在之URL、及與用於該SDF的加密的加密鑰成對之公開鑰。接收了此ADF之移動式機械16用ADF內的URL取得 SDF ’用ADF內的公用鍵將SDF解碼。然後，最後移動式機械16用含在ADF中之；Tar檔案的url取得Jar檔案。之後，移動式機械1 6執行託管：rava-AP軟體時，根據SDF來進行託管Java-AP的舉動限制。此點爲本實施形態的其中1個特徵。如同第1圖所示，S D F的傳送透過行動封包通訊網 I5來進行’管理伺服器裝置18及閘道伺服器裝置17經由專用線來加以連接。以下’針對與此特徵的關連，說明發佈系統之各要件 -16- (11) 1229531 的構成。 IP伺服器裝置]2、1 3、1 4分別具有非揮發性記憶體 ]2 A、] 3 A、1 4A。非揮發性記憶體1 2 A、1 3 A、1 4 A爲硬體等的非揮發性露己憶體，記憶由Jar檔案和ADF所形成之java-AP軟體、及用來對移動式機械的用戶說明Java-AP軟體的內容之說明檔案。被記憶在非揮發性記憶體12A、13 A和14 A之各個的

Java-AP軟體有可能是是託管Java-AP軟體，也有可能是非託管Java-AP軟體。不論是受託Java-AP或者是非受託Java- AP，在全部Java-AP軟體中的ADF記述有提示WWW中Jar 檔案的記憶位置之封包URL、提示Jar檔案的大小之資訊、提示Jar檔案的最終變更日期時間之資訊等。這些資訊爲一般已知的資訊作爲必須記述在Java-AP軟體的ADF之項目。然後，託管Java-AP軟體的ADF內含這些一般已知的資訊’其他如第2圖所示，還內含該託管java-AP軟體的 APID、及jar檔案的散列値、及提示Sdf在於WWW所記憶的位置之URL(以下，稱爲SDF-URL)、及與用於該SDF的加密之加密鑰成對之公開鑰。此處，公開鑰爲對於經CA( 驗證局）（未圖示）已被證明正當性之通訊業者，發行證明書。另外，說明檔案爲依照HTML所記述之文書檔案。移動式機械在下載一個Java-AP軟體時，在下載之前，必須先下載與該Java_AP軟體相對應的說明檔案。說明檔案中 -17- (12) 1229531 含有用來構成從用戶收到要下載Java-AP軟體的指示之ui( 用戶界面）的資訊。移動式機械1 6依照此資訊而顯示UI晝面。用戶能夠對移動式機械1 6進行指定此UI晝面中出現所期望的Java-AP的物件。在說明檔案中，記述著使用戶所指定的物件與對應於下載對象相互對應，也就是記述著使提出Java-AP的說明檔案在ww的所示之URL相互對應。各個IP伺服器裝置12〜14具備有依照IP的指示作成爲更新上述已說明過的各檔案之功能。管理伺服器裝置1 8具有硬碟等非揮發性記憶體1 8 A。管理伺服器裝置1 8確認與通訊對方之間的TCP聯結。管理伺服器裝置18藉由此ICP連結，從通訊對方收到用HTTP的 GET格式的要求訊息，則從非揮發性記憶體1 8 A讀出該被指定爲GET格式的URL所特定的檔案，回送含有此檔案之 HTTP的回應訊息後切斷該連結。另外，在上述非揮發性記憶體1 8 A中記憶有用來將可下載的Java-AP軟體介紹給移動式機械16用戶之表列檔案 200、及各別對應於此表列檔案200中所列舉的各Java-AP 軟體之SDF。這些當中，SDF如同已經參照第3圖作說明過的情形〇表列檔案200爲依照HTML所記述之文書檔案。如同已所明過，移動式機械當下載一個；fava-AP軟體時必須取得與該軟體相關連的說明檔案。如同已說明過，移動式機械 ]6利用對儲存該說明檔之IP伺服器裝置進行存取的方法就 _ 18- (13) (13)1229531 能取得該說明槽案。但是除了此樣直接性的方法以外，本實施形態’移動式機械I 6依照以下的順序也能取得所期望 Java-AP軟體的說明檔案。首先，移動式機械16對管理伺服器裝置1 8進行存取而取得該表列檔案200，依照此表列檔案來顯示UI晝面。用戶能對移動式機械進行指定出現此 U1畫面中所期望的Java-AP之物件的操作。表列檔案200使經此方式而被用戶所指定的物件與指示下載對象的所在之 URL相互對應，也就是使提示：iava-AP軟體中說明檔案在 WWW的所在之URL相互對應。移動式機械16用藉由表列檔案200所得到之URL而從IP伺服器裝置取得說明檔案。移動式機械1 6如第5圖所示具有記憶用來架構執行 OS(Operating System)軟體、Java-AP的環境之 java-AP 環境軟體以及各種本體AP軟體等之ROM 1 6A、和連接到 ROM 16A且從ROM 16A讀出程式後加以執行之CPU 16B、和被連接到CPU 16B之顯示部16C、和非揮發性記憶體16D 、和RAM 1 6E、和通訊部1 6F、和操作部]6G。顯示部16C例如具有液晶顯示面板，將從CPU 16B所供應的資料以畫像來顯示。非揮發性記憶體1 6D例如爲 SRAM或EEPROM，經由CPU 1 6B來讀寫資料。非揮發性記憶體1 6 D用來記憶從構成W W W之伺服器裝置（以下，稱爲 Web伺服器裝置）所下載之Java-AP軟體。如同前述過，在於本實施形態中，「Java-AP軟體」的用語係指「託管 Java-AP軟體」和「非託管Java-AP軟體」的兩者。但是也有某些文件中「Java-AP軟體」用語指「託管Java-AP軟體 -19- (14) (14)1229531 」的情況。在於該類文件中，此用語必須被解釋成包含 A D F、S D F及J a r之槪念。另外，也有在於某些文件中「 J a v a - A P軟體」的用語指r非託管j a v a _ a p軟體」。在於該類文件中’此用語必須被解釋成包含A D F及J a r的槪念。通訊部1 6F用來與移動封包通訊網〗5進行無線封包通訊’在CPU 16B與移動封包通訊網之間中繼封包。另外，通訊部1 6F偏有天線或無線收發部，其他還備有用來通話的CODEC或麥克風、揚聲器等。因此，移動式機械16也可以利用此通訊部16F透過行動通訊網（未圖示）經迴線交換進行通訊。操作部1 6G備有操作子，將依照操作子的操作之訊號供應給CPU 16B。計時部16H計數現在的年月日以及時刻（以下’稱爲現在日期時間。然而，爲了使計時部 1 6H計數更正確的現在日期時間，例如從行動封包通訊網 1 5的基地局透過控制頻道進行與所被定期通知的現在日期同步的處理。 CPU 16B爲依照記憶在ROM I6A之各種程式進行移動式機械1 6全面性控制之裝置。當投入電源（未圖示），此 CPU 16B將RAM 16E作爲工作區，從ROM 16A讀出第6圖的OS並加以執行。CPU 16B依據該OS供應UI等。OS根據從操作部1 6所供應的訊號及UI的狀態特定用戶的指示，依照該指示進行處理。用戶的指示若爲要求啓動本機AP軟體，也就是若爲要求啓動通訊軟體，則OS啓動通訊軟體而在於移動式機械1 6內執行通訊AP。用戶這個通訊AP，用戶就能與通訊 -20- (15) (15)1229531 對方進行通話。用戶的指示若爲要求啓動本機AP軟體，也就是若爲要求啓動電話薄AP，則0 S啓動電話薄軟體而在於移動式機械1 6內執行電話薄AP。用此電話薄ap，用戶就用參照使用/變更己被記憶在非揮發性記憶體1 6D內之電話薄的內容（以下，稱爲電話薄資料）。

用戶的指示若爲要求啓動本機AP軟體，也就是若爲要求啓動Web瀏攬器軟體，則〇s啓動Web瀏攬器軟體而在於移動式機械16內執行Web瀏攬器。這個Web瀏攬器供應 UI。然後，Web瀏攬器從用戶經由操作部16G的操作而有所指示，則根據UI的狀態及從操作部1 6G所提供的訊號來特定用戶的指示，依照這個指示進行處理。例如，主要是從WWW取得該指示所指定的檔案時，控制通訊部丨6F而在與記憶該檔案的Web伺服器裝置之間確立TCP連結，透過此連結，傳送將指示所被指定的位置用於GET格式之 HTTP的要求訊息，接收與該要求訊息相對應的回應訊息，切斷該連結。進而，伺服器依照HTML解釋內含在已接收之回應訊息中的檔案，生成內含Web網頁之UI，提供給用戶。另外，用戶的指示爲要求下載Java-AP軟體時， Web激[濱器將這個指示通知到JAM(Java Application Manager)。具體上，在於Web網頁，經由點選操作或是按鈕操作，指定以物件標籤所指定之錨標籤（Auchor Tag)來表現之錨，則Web伺服器抽出被指定爲該錨標籤的資料屬性之URL，將要求下載該URL中的Java-AP軟體通知到jAM - 21 - (16) (16)1229531 用戶的指示若爲要求啓動本體AP軟體，也就是若爲要求啓動〗AM軟體，則0S啓動;IAM軟體在於移動式機械16 內執行JAM。JAM將被安裝在移動式機械16之Java-AP軟體的一覽表提示給用戶，啓動用戶所指定的Java-AP軟體。具體上，面對JAM時用戶的指示若爲要求啓動java-Ap軟體，則啓動Java-AP環境軟體後在移動式機械1 6內執行 Java-AP環境。然後，啓動所被指定之java-AP軟體後在 Java_AP環境內執行Java-AP。Java-AP環境具有適於攜帶式終端機之輕型的Java虛擬機器之KVM、及面對Java-AP 所供應之API。面對Java-AP所供應之API區分爲根據通訊業者與IP的契約，只在已保證信賴性之java-AP(以下，稱爲託管IP)准許使用之託管IP、及對所有的Java-AP都準許使用之非託管API。 (2)動作以下，說明本實施形態的動作。 (2-1)用移動式機械】6來下載Java-AP軟體 JAM當從Web伺服器通知要求下載；rava-AP的指示則進行將；T a va-AP軟體下載又安裝到移動式機械16之處理。第7 圖表示該處理的流程。然而，第7圖中則是直到移動式機械]6取得說明檔案爲止的過程被省略掉。直到取得說明檔案的過程因有幾個的形態，所以以下舉例來說明具體的動 -22- (17) (17)1229531 作例。如第7圖所丕，；i AM首先判定是否有要求下載java_ A P軟體的指不（步驟S 1 1 )。然後，當從W e b伺服器通知要求下載J a v a - AP軟體的指示則從IP伺服器裝置1 2〜]4的其中 1個取得與該Java_AP軟體相對應的ADF(步驟S12)。具體上，JAM在IP伺服器裝置12〜Μ當中儲存ADF的伺服器裝置之間確立TCP的連結，生成/傳送要求傳送ADF的內容之要求訊息，接收與該訊息相對應的回應訊息而取得ADF後，切斷此TCP的連結。然後，JAM將內含在回應訊息之ADF 寫入到非揮發性記憶體1 6D。接著，根據ADF的內容判定是否能將欲下載的java-AP軟體安裝到移動式機械1 6 (步驟S 1 3 )。此處則是依照將記述在ADF之Jar檔案的大小與可記憶非揮發性記憶體1 6D 內的J ar檔案的空置容量作比較等與過去相同的基準加以判定即可。此處，被判定爲可安裝時（步驟S 1 3中「Yes」），JAM 判定所欲下載的Java-AP軟體是否爲託管Java-AP軟體（步驟S14)。具體上，JAM確認在於步驟中所已取得的ADF內是否記述有SDF-URL，若已記述著，則判定爲存在有與該 Java-AP軟體相對應的SDF，即是判定爲託管Java-AP軟體，若未記述著，則判定爲非託管Java-AP軟體。然後，被判定爲所欲下載的Java-AP軟體爲非託管 Java-AP軟體時（步驟S〗4中「NO」），進行與過去同樣的下載及安裝處理（步驟SIS)。此外，被判定爲所欲下載的Java-AP軟體爲託管Java- -23- (18) (18)1229531 A P軟體時（步驟S 1 4中「Y e s」），J AM從管理伺服器裝置]8 取得與該軟體相對應的S D F (步驟S 1 6 )。即是J AM在與管理伺服器裝置]8之間確立TCP連結，透過此連結，生成/傳送對管理词服#5裝置1 8要求傳送被記憶在用記述在A D F內的 SDF-URL來指示的位置之SDF的內容之要求訊息，接收與此訊息相對應的回應訊息而取得SDF後，切斷上述連結。如前述過，對應於託管Java-AP軟體之SDF內含APID 及規章資訊及有效期限，進一步用通訊業者的加密鑰來署名（加密）。因此，JAM用從已取得的ADF所抽出的公開鑰來驗證內含在回應訊息之SDF的署名（解碼），判斷此SDF 的正當性（步驟S17)。被確認正當性時（步驟S 17中「Yes」 )，JAM:將SDF寫入到非揮發性記憶體16D。接著，JAM將內含在SDF之APID與內含在已取得的 ADF之APID作比較，判定兩者是否一致（步驟S18)。被判定爲兩者一致時（步驟S 1 8中「Yes」），JAM取得 Jar檔案（步驟S1 9)。具體上，；[AM在與記憶用內含在SDF 的封包URL所特定的Jar檔案之IP伺服器裝置]2〜14的其中1 個之間確立TCP連結，生成/傳送要求傳送該jar檔案的內容之要求訊息’接收與該訊息相應的回應訊息而取得Jar 檔案，切斷此TCP連結。其次，JAM算出與所得到的Jar檔案相對應的散列値（步驟S 2 0)。用於算出散列値之散列函數爲任意，不過移動式機械1 6所使用的散列函數與算出含在ad F的散列値時所使用的散列函數必須一致。實際上，用移動式機械1 6所使 -24- (19) (19)1229531 用的散列函數，供應託管Java-AP軟體的IP算出散列値而生成ADF。 JAM將已算出的散列値與已從ADF所抽出的散列値作比較，兩者一致時（步驟S21中「Yes」），將所取得的檔案寫入到非揮發性記憶體1 6 D，進行有關安裝託管 Java- AP軟體的各種處理（步驟S 2 2 )，將安裝成功的訊息通知給用戶（步驟S 2 3 )。之後，JAM當執行託管Java-AP軟體之際，監視託管

Java-AP的舉動，限制託管API的使用，不過此限制爲依照被記憶在非揮發性記憶體1 6 D之S D F內的規章資訊來進行〇

然而，被判斷爲不可安裝Java-AP軟體時（（步驟S13中「NO」）、被判斷爲SDF不是正當時（步驟S17中「NO」）、 SDF所具有的APID與ADF所具有的APID不一致時（步驟S18 中「NO」）、已算出的散列値與ADF所具有的散列値不一致時（步驟S21中「NO」），將安裝失敗的訊息通知給用戶 ’並且將移動式機械1 6的狀態回後到步驟S 1 1以前的狀態 (2-2)用移動式機械16更新SDF 託管Java-AP軟體，直到內含在所對應的SDF之有效期限截止爲止可用移動式機械1 6來執行。更新此有效期限時’移動式機械1 6必須從管理伺服器裝置1 8重新取得S DF 。因此以下則是參照第8圖所示的流程說明JAM在SDF內的 -25- (20) (20)1229531 有效期限截止之際更新該有效期限時的處理。如第8圖所示，：f AM隨時監視移動式機械]6內的計時部1 6H所計數的現在日期時間及從目前所取得的全部SDF 分別抽出而記憶在非揮發性記憶體1 6D之複數個有效曰期時間，判定有效期限是否已截止（步驟S3 1)。其中1個有效期限已截止（步驟S31中「Yes」），則 JAM對用戶詢問有效期限截止之java-AP軟體的名稱並且有效期限已截止是否要更新之訊息顯示在顯示部1 6C而直到用戶有回應操作爲止待機。當進行用戶進行指示更新有效期限的操作，則JAM解釋此指示內容（步驟S32中「Yes」），從管理伺服器裝置18 取得對應於必須更新有效期限的Java-AP軟體之SDF(步驟 S3 3)。具體上，JAM參照非揮發性記憶體16D的記憶內容，抽出內含在內含有必須更新有效期限的Java-AP軟體的 APID之ADF的SDF-URL，生成/傳送對管理伺服器裝置1 S 要求傳送被記憶在SDF-URL所提出的位置之SDF的內容之要求訊息，接收與此訊息相對應的回應訊息而取得SDF後，切斷上述連結。接著，JAM用上述SDF-URL判斷是否能取得SDF(步驟 S 3 4)。此處，無法取得SDF係指因某種狀況下中斷或中止使用Java-AP軟體的理由，所以無法使SDF記憶到管理伺服器裝置1S中上述的SDF-URL所提出的位置。該狀態則例如爲因IP的判斷而使Java-AP軟體的使用中止或中斷之情況（例如，發佈用戶只有一定期間能試用的軟體之情況）、 -26- (21) (21)1229531 或ip與通訊業者之間所簽定的契約已失效之情況。接著JAM當成功取得SDF (步驟S34中，「Yes」）則用內含在已取得的ADF之公開鑰來驗證SDF的署名（解碼），判斷 '此SDF的正當性（步驟S3 5)。正當性被確認（步驟S35中「Yes」），則JAM將內含在 SDF之APID與內含在已經取得的ADF之APID作比較，判定兩者是否一致（步驟S3 6)。被判定爲兩者一致時（步驟S 36 中「Yes」），JAM將所取得的ASDF覆寫成已寫在非揮發性記憶體1 6D之以前的SDF，因而將有效期限更新。然且，被判斷爲經用戶的操作仍未更新有效期限時（步驟S32中「NO」），無法取得SDF的情況（步驟S35中「 NO」”；被判斷爲SDF不具正當性時（步驟S35中「NO」）， SDF所具有的APID與ADF所具有的APID不一致的情況（步驟S36中「NO」），JAM將未更新有效期限的訊息通知給用戶，並且將移動式機械1 6的狀態回復到步驟S 3 1以前的狀態。其次，說明上述過系統的動作例。然而，針對以下所述的動作，因TCP連結的確立爲切斷動作爲HTTP之一般性動作，所以省略有關這些的說明。另外，前述OS、Web伺服器、JAM、Java-AP、本體AP 等所進行的動作爲移動式機械：1 6的動作，所以以下的說明則是動作的主體爲移動式機械]6。另外’如第9圖所示，在管理伺服器裝置1 8的非揮發性記憶體18A中記載著表列檔案200及SDF204。此表列檔 -27- (22) (22)1229531 案、SDF則是依照管理IP伺服器裝置13和IP伺服器裝置]4 的IP與管理伺服器裝置的通訊業者之間所簽定的契約經由通訊業者所作成。此表列檔案、SDF當中3表列檔案2 00記述著當在於移動式機械1 6經解釋/執行則供應第1 0圖所示表列頁20 1。另外，表列檔案2 0 0記述著當按下構成表列頁2 0 1的選擇項 2〇1 A(點選或按壓）則生成含有後述之說明檔案202的URL( ' http://www.main.bbb.co.jp/ghi.html")作爲 GET格式的參數的要求訊息。進而，表列檔案2 0 0記述著當按下構成表列頁201的選擇項201 B(點選或按壓）則生成含有後述之說明檔案207的URL(、、http :"www.ccc.co.jp/jkl.html")作爲GET格式的參數的要求訊息。另外，SDF204內含、、000 1 "作爲APID，內含第4圖所示的內容之資訊作爲規章資訊，內含、、2002年10月1日上午1 0時〃作爲有效期限，這些訊息用通訊業者的加密鑰來署名。另外，在IP伺服器裝置1 2的非揮發性記憶體]2 A記憶著對應於以「棋譜」爲名稱的Java-AP軟體（本動作例，此軟體設爲第1非託管Java-AP軟體）之說明檔案21 1、 ADF2 13和Jar檔案2 14。這些檔案則是經由管理”伺服器裝置之IP所作成。這些檔案當中，說明檔案211的內容如同第1 1圖所示的狀況，記述著在於移動式機械】6經解釋/ 執行則供應第1 2圖所示的說明頁1 2。另外，ADF2 1 3內含

Jar 檔案 214 的 URL(、、http://www.ccc.co.jp/shogi.jar")作 -28- (23) (23)1229531 爲程序包URL。另外，在IP伺服器裝置1 2的非揮發性記憶體]2 A記憶著對應於以「占星術」爲名稱的；r a va-AP軟體（本動作例，將此軟體設爲第2非託管Java-AP軟體）之說明檔案2〇 7 ' A D F 2 2 9和J a r檔案2 1 0。這些檔案則是經由管理I p伺服器裝置12的IP所作成。這些檔案當中，說明檔案207的內容如同第1 3圖所示的情況，記述著在於移動式機械丨6經解釋/ 執行則供應第I4圖所示的說明頁208。另外，ADF 209內含 Jar 檔案 210 的 URL(、、http:/ /www.ccc.co.jp/horos cope.jar，' )作爲程序包URL。然而，上述過的第1非託管Java-AP軟體與第2非託管 Java-AP軟體的不同爲相對於與後者所關連的資訊已登錄在表列檔案200中，與後者有關連的資訊則沒有登錄之點〇

另外，在IP伺服器裝置1 3的非揮發性記憶體1 3 A記憶著對應於以「電話薄一覽表」爲名稱的Java-AP軟體（本動作例，將此Java-AP軟體設爲託管Java-AP軟體）之說明檔案2 02、ADF2 0 5和Jar檔案206。這些檔案則是經由管理IP 伺服器裝置I3和IP伺服器裝置14的IP所作成。這些檔案當中，說明檔案202的內容如同第1 5圖所示的情況，記述著在於移動式機械1 6經解釋/執行則供應第1 6圖所示的說明頁 2 03。ADF2 0 5 內含 '' 000 1 ” 作爲 APID，內含 Jar 檔案 206 的散列値作爲散列値，內含Jar檔案206的URL( '' http://www.main_bbb.co.jp/viewer.jar")作爲程序包 URL -29- (24) (24)1229531 ，內含 SDF204 的 URL( http://www.aaa.co.jp/viewer.sdf 〃）和通訊業者的公開鑰。移動式機械1 6成爲可安裝上述的各個;Fava-AP軟體的狀態。 (3 - 1 )安裝動作首先，對上述過的每個Java-AP軟體說明將Java-AP軟體安裝到移動式機械1 6上時的動作例。 (3-1-1)第1非託管Java-AP軟體第1非託管Java-AP軟體的安裝動作是經用戶操作移動式機械1 6，嘗試取得說明檔案2 1 1後才開始。因而生成含有說明檔案 211 的 URL( '、http://www.ccc.co.jp/mno.html" )作爲GE T格式的參數之要求訊息t m 1 2。此要求訊息t m 1 2 ，如第1 7圖所示，從移動式機械16傳送且透過IP伺服器裝置1 2接收。 IP伺服器裝置12則是對應於該要求訊息tm 12的內容生成內含說明檔案2 1 1之回應訊息tm 1 3。此回應訊息tm 1 3從 IP伺服器裝置12傳送且用移動式機械16來接收。移動式機械1 6則是對用戶供應與說明檔案2 1 1的內容相對應的UI。此結果：顯示部1 6 c例如顯示如第1 2圖所示的說明頁2 1 2。看著此說明頁2 1 2的用戶按下說明頁2 1 2內的錨 (An ch〇r)2 12 A來操作移動式機械16，移動式機械16則是特定被記述在第1 1圖的說明檔案2 1 1之錨標籤（、< A 〃開始的標籤）的指定爲idj am屬性之値指定爲id屬性之物件（ - 30- (25) (25)1229531 <OB]ECT〃所開始的標籤），抽出指定爲物件標籤的data屬性之 URL( '' http://www.ccc.co.jp/shogi.jam")，生成要求傳送此URL所特定之ADF213的內容之要求訊息tml6。此要求訊息tml6從移動式機械16傳送且用IP伺服器裝置12來接收。 IP伺服器裝置12則是對應於此要求訊息tml6的內容生成內含ADF213之回應訊息tml7。此回應訊息tml7從IP伺服器裝置12傳送且用移動式機械16來接收。移動式機械1 6則是根據ADF2 1 3的內容判定是否可安裝第1非託管Java-AP軟體。如前述，行動機16因成爲可安裝非託管Java-AP軟體的狀態，所以移動式機械16則是被判定爲可安裝第1非託管Java-AP軟體。其次，移動式機械1 6則是ADF2 1 3寫入到非非揮發性記憶體16D。另外，移動式機械16則是從ADF213抽出程序包 URL( ''http://www.ccc.co • jp/shogi.jar〃），生成要求傳送此程序包URL所特定之Jar檔案2 14的內容之要求訊息 tml8。此要求訊息tm 18從移動式機械16傳送且用IP伺服器裝置1 2來傳送。 IP伺服器裝置1 2則是對應於此要求訊息t m 1 8的內容生成內含Jar檔案2 I4之回應訊息tm 19。此回應訊息tm 19從IP 伺服器裝置傳送且用移動式機械1 6來接收。移動式機械1 6 則是Jar檔案2 I4在能啓動的狀態下寫入，因而第1非託管 Java-AP軟體完成安裝。然而，被判斷爲在於移動式機械1 6不可安裝第〗非託 -31 - (26) 1229531 管Java-AP軟體時，移動式機械的狀態回復到開始取得 A D F 2 1 3之前的狀態。 (3-1-2)第2非託管；iava-AP軟體第2非託管Java-AP軟體的安裝動作，從用戶操作移動式機械16，嘗試取得說明檔案2〇7或表列檔案2〇〇才開始。從嘗試取得說明檔案2 0 7後才開始的動作成爲從取得表列檔案200後才開始的後繼動作，所以此處只說明嘗試取得表列檔案200後才開始的動作。如第1 8圖所示，移動式機械1 6則是生成含有表列檔案 200 的 URL(、、http://www.aaa.co.jp/def.html7/ )作爲 GET 格式的參數之要求訊息t m 2 0。此要求訊息t m 2 0從移動式機械發送且用管理伺服器裝置1 8來接收。管理伺服器裝置18則是對應於該要求訊息tm20的內容生成內含表列檔案200之回應訊息tm21。此回應訊息tm21 從管理伺服器裝置18發送且用移動式機械16來接收。移動式機械16則是接收回應訊息tm21爲契機，依照HTML來解釋回應訊息t m 2 1內的表列檔案2 0 0，而對移動式機械1 6的用戶供應與表列檔案200的內容相對應的UI。此結果：移動式機械1 6的顯示部1 6c例如顯示如第1 0圖所示的表列頁 201 〇看著此表列頁201之用戶按下表列頁2〇1內的選擇項 2 〇 1 B來操作移動式機械1 6，移動式機械1 6則生成含有已與選擇項 201B相對應的 URL(、、http://www.ccc.co.jp/jki.html -32- (27) (27)1229531 〃）作爲GET格式的參數之要求訊息tm22。此要求訊息 tm22從移動式機械16傳送且用ip伺服器裝置12來接收。 IP伺服器裝置]2則是對應於該要求訊息t m 2 2的內容生成內含說明檔案2 07之回應訊息tm23。此回應訊息tm23從 IP伺服器裝置1 2傳送且用移動式機械I 6來接收。移動式機械]6則是對用戶供應與說明檔案2 〇 7的內容相對應的UI。此結果：顯示部1 6 c例如顯示如第1 4圖所示的說明頁2 0 8。看著此說明頁208之用戶按下說明頁208內的錨208A 來操作移動式機械1 6，移動式機械1 6則特定正好指定爲已被記述在第1 3圖的說明檔案2 0 7之錨標籤（、、A 〃所開始的標籤）的ij am屬性之値正的指定爲id屬性之物件標籤（、、 < OBJECT"所開始的標籤），抽出正好指定爲此物件標籤的 data屬性之 URL( http://www.ccc.co.jp/horoscope.jam 〃）’生成要求傳送此URL所特定之ADF2 09的內容之要求訊息t m 2 6。此要求訊息t m 2 6從移動式機械1 6傳送且用ip伺服器裝置1 2來接收。 IP伺服器裝置I 2對應於此要求訊息t m 2 6的內容生成內含ADF2 09之回應訊息tm27。此回應訊息tm27從IP伺服器裝置1 2傳送且用移動式機械1 6來接收。移動式機械1 6根據A D F 2 0 9的內容判定是否可安裝第2 非託管；Tava-AP軟體。如前述，移動式機械16因在可安裝第2非託管；Tava-AP軟體的狀態，所以移動式機械16被判定爲可安裝非託管Java-AP軟體。其次，移動式機械16則是ADF2 09寫入到非揮發性記 -33- (28) (28)1229531 憶體16D。另外，移動機16則是從ADF209抽出程序包 URL( '、http://www.ccc.co.jp/horoscope.jar")，生成要求傳送該程序包URL所特定之Jar檔案210的內容之要求訊息 tm28。此要求訊息tm28從移動式機械16傳送且用IP伺服器裝置1 2來接收。 IP伺服器裝置12則是對應於該要求訊息tm28的內容生成內含J a r檔案2 1 0之回應訊息t m 2 9。此回應訊息t m 2 9從IP 伺服器裝置1 2傳送且用移動式機械1 6來接收。移動式機械 ]6則是Jar檔案2 1 0在啓動的狀態寫入到非揮發性記憶體 16D，因而第2非託管Java-AP軟體完成安裝。然而，被判斷爲在於移動式機械1 6不能安裝第2非託管Java-AP軟體時，移動式機械16的狀態回復到開始取得 ADF209之前的狀態。 (3-1-3)信賴性Java-AP軟體託管Java-AP軟體的安裝動作是從用戶操作移動式機械16，嘗試取得說明檔案2 02或表列檔案200後才開始。從嘗試取得說明檔案202後才開始的動作，因成爲從嘗試取得表列檔案200後才開始之後繼動作，所以有關從嘗試取得說明檔案202後才開始的動作則省略說明。如第19圖所示，針對從嘗試取得表列檔案200後才開始的動作，移動式機械1 6接收回應訊息tm2 1，例如直到顯示如同第10圖所示的表列頁201爲止，進行與第18圖所示的動作相同的動作。看著此表列頁2 0 1的用戶按下表列頁 -34- (29) (29)1229531 2〇 1內的選擇項2〇 1 A來操作移動式機械1 6，移動式機械]6 則生成含有正與選擇項201A相對應之URL( '、 http://ww'v.main.bbb.co.jp/ghi.html〃）作爲 GET格式的參數之要求訊息t m 3 2。此要求訊息t m 3 2從移動式機械1 6傳送且用IP伺服器裝置13來接收。 IP伺服器裝置13則是對應於該要求訊息tm32的內容生成內含說明檔案202之回應訊息tm33。此回應訊息tm33從 IP伺服器裝置13傳送且用移動式機械16來接收。移動式機械1 6則是對用戶供應與說明檔案202的內容相對應的UI。此結果：顯示部1 6 c例如顯示第1 6圖所示的說明網頁2 0 3。看著此說明頁2 03的用戶按下說明頁203內的錨203 S A 來操作移動式機械1 6，移動式機械1 6則特指定爲被記述在第1 5圖的說明檔案2〇2之錨標籤（、A 〃所開始的標籤）的 i j a m屬性之値指定爲i d屬性之物件標籤（〜< 〇 B JE C T "所開始的標籤），抽出指定爲此物件標籤的data屬性之URL (、、 http://www.main.bbb.co.jp/viewer.jam")，生成要求傳送此URL所特定之ADF205的內容之要求訊息tm34。此要求訊息t m 3 4從移動式機械1 6傳送且用IP伺服器裝置丨3來接收。IP伺服器裝置1 3則是對應於此要求訊息t m 3 4的內容生成內含ADF20 5之回應訊息tm35，透過閘道裝置13及行動封包通訊網1 5用移動式機械1 6來接收。移動式機械16中ADF205寫入到非揮發性記憶體16D，根據 ADF2〇5的內谷判疋是否可安裝託管java-AP軟體。如前述 ’移動式機械1 6因成爲可安裝託管java-AP軟體的狀態， -35- (30) (30)1229531 所以移動式機械]6則是被判定爲可安裝託管Java-AP軟體〇然後，移動式機械1 6則是生成要求傳送內含在 ADF205 之 SDF-URL、、http://www.aaa.co.jp/viewer.sdf"所特定之SDF204的內容之要求訊息tm36。此要求訊息tm36 從移動式機械1 6傳送且用管理伺服器裝置！ 8來接收。管理伺服器裝置18則是對應於此要求訊息tm3 6的內容生成內含SDF2CM之回應訊息tm37。此回應訊息tm37從管理伺服器裝置1 8傳送且透過閘道裝置1 7和移動封包通訊網 1 5用移動式機械1 6來接收。此處，管理伺服器裝置1 8與閘道裝置1 7之間的通訊路徑爲專用線，網間連接裝置1 7因直接連結到安全性被確保之訊息通訊網1 5，所以直到移動式機械1 6接收到爲止不會有SDF 2 04被竄改的可能性。進而，移動式機械1 6則用內含在AD F 2 0 5之公開鑰判斷SDF2CM的正當性。如前述，內含在ADF20 5之公開鑰，因與對SDF 2 (Μ署名之際所用的加密鑰對應，所以只要在於管理伺服器裝置18內沒有變更SDF2 04的內容，都被判斷爲SDF204正當。被判斷爲SDF 2 04正當，移動式機械16則內含在 ADF205之APID與內含在SDF204之APID作比較。如前述，因確定是在IP伺服器裝置13中的ADF205記述與SDF204內的APID—致之APID，所以只要沒有前述錯誤等，則內含在ADF2 0 5之APID與內含在SDF204之APID—致。接著移動式機械16則是SDF2 04寫入到非揮發性記憶體16D。 -36- (31) (31)1229531 接著移動式機械16則是從AD F 2 0 5抽出程序包URL ( '' http://www.main.bbb.co.jp/viewer.jar ")，生成要求傳送該程序包URL所特定的jar檔案206的內容之要求訊息tm38 。此要求訊息tm38從移動式機械16傳送且用IP伺服器裝置 1 3來接收。 IP伺服器裝置13則是對應於該要求訊息tm38的內容生成內含Jai*檔案206之回應訊息tm39。此回應訊息tm39從IP 伺服器裝置13傳送且用移動式機械16來接收。其次，移動式機械46用Jar檔案206及預定的散列函數算出散列値，此散列値與內含在ADF205之散列値作比較。如前述，因確定是在ADF2 0 5記述對應於該ADF2 0 5之Jar 檔案的散列値，所以只要沒有前述錯誤，兩散列値一致。兩散列値一致，移動式機械1 6則在可啓動的狀態下 Jar檔案206寫入到非揮發性記憶體16D，因而託管Java-AP 軟體完成安裝。然而，被判斷爲在於移動式機械16SDF2 04不是正當時或內含在ADF205之APID與內含在SDF204之APID不一致時，被判斷爲不能安裝信賴性Java-AP軟體時，已算出的散列値與內含在ADF2 05之散列値不一致時，移動式機械 1 6的狀態回復到開始取得ADF 2 0 5之前的狀態。 (3-2)開啓Java-AP軟體時移動式機械16的舉動其次，說明啓動上述各個Java-AP軟體時移動式機械 1 6的舉動。 -37- (32) (32)1229531 (3 - 2 - 1 )非託管J a v a - A P軟體的舉動針對經由上述過的安裝動作而被安裝到移動式機械1 6 之非託管Java-AP軟體（包括第1非託管java_AP軟體（棋譜）及第2非託管Java-AP軟體（占星術）的兩者），在於實現JAM 的移動式機械1 6被啓動，對應於此軟體的功能（以下，稱爲非託管J a v a - A P )在移動式機械1 6內被實現時移動式機械 16的舉動作說明。非託管Java-AP軟體所欲使用的API爲非託管API時，如前述過，非託管API因准許使用所有的Java-AP，所以此情況下API的使用經由JAM來准許。因此，非託管Java-AP 能夠使用此非託管API。另外，非託管Java-AP所欲使用的API爲託管API時， JAM查詢對應於此；Fava-AP之SDF是否記憶在非揮發性記憶體1 6D。此處則是該SDF未記憶在非揮發性記億體1 6D，所以JAM禁止使用非託管Java-AP的該API。因此，非託管 Java-AP無法使用非託管API。 (3-2-2)託管Java-AP軟體的舉動針對被安裝在移動式機械16之託管Java-AP軟體（電話薄一覽表）在於實現：f AM的移動式機械1 6被啓動’對應於該軟體之功能在移動式機械1 6內被實現時移動式機械1 6的舉動作說明。託管Java-AP所欲使用的API爲非託管API時，如前述 -38- (33) (33)1229531 過，此A PI的使用經由J A Μ當然被准許。因此，託管J a v a -AP可以使用非託管AP。託管Java-AP所欲使用的API爲託管API時，因對應於此Java-AP之SDF記憶在非揮發性記憶體i6D，所以此API 的使用經由JAM得以被准許，不過該託管java-AP的舉動依存於SDF內的規章資訊。以下，說明所使用的每個API 的該舉動。 (3 -2·2-1)getPhoneLish() getPhoneList(r爲託管API，所以可否使用此API 是根據記憶在非揮發性記憶體16D之SDF204內的規章資訊而透過JAM來決定。此規章資訊的內容如同第4圖所示的情形，所以''getPhoneListO"的使用經由JAM被准許。因此，託管Java-AP(電話簿一覽表）能夠使用 ' getPhoneList()〃。也就是此託管Java-AP能夠讀出電話薄資料。 (3 - 2- 2- 2)getCallHistory() 、、getCaUHistory"爲託管API，所以可否使用此API 是根據SDF204內的規章資訊而透過JAM來決定。此規章資訊的內容如同第4圖所示的情形，所以''getCallHistory() "的使用經由JAM被禁止。因此，託管Java_AP(電話簿一覽表）無法使用、、getCallHistory()〃。也就是此託管Java- AP 無法讀出收發發訊履歷資料。 -39- (34) (34)1229531 (3-3)託管Java-AP軟體的有效期限更新時的動作其次，說明更新託管；Tava-AP軟體的有效期限之動作例。以下的說明中，第9圖在於管理伺服器裝置1 8內 SDF204更新爲SDF204a〇只不過其更新內容只是有效期限從'' 2002年10月1日上午1〇時"變更爲'' 2 00 3年1月1日上午10時〃，SDF204及SDF204a的記憶位置或其檔案名、用來署名之加密鑰等一切都未被變更。移動式機械1 6隨時監視經由計時部1 6H所計時之現在曰期時間、及內含在目前爲止所取得的全部SDF之複數個有效期限，判斷有效期限是否已截止。此處，經由計時部 1 6 Η所計時的現在日期時間爲2 0 0 2年1 0月1日上午1 0時之時，對應於APID、、000 1 "之託管Java-AP軟體（電話簿一覽表）截止有效期限，因而開始第2 0圖所示的動作。首先，移動式機械1 6，如第2 1圖示，將對用戶詢問有效期限已截止之託管Java-AP軟體的名稱 '、電話簿一覽表〃 ’並且詢間有效期限已截止是否要更新之訊息，顯示在顯示部後，直到用戶再進行操作爲止待機。此處，用戶進行指示將有效期限更新之操作，則移動式機械〗6解釋此指示內容，生成含有內含在已內含APID 000 1 的 ADF 之 SDF-URL( 、、http ://www. aaa.co.jp/ viewer. sdf〃）作爲GET格式的參數之要求訊息tm4l。此要求訊息t m 4 1從移動式機械丨6傳送且用管理伺服器裝置丨8來接收。 -40- (35) (35)1229531 管理伺服器裝置1 8則是對應於該要求訊息tm4 1的內容生成內含SDF2 04a之回應訊息tm42。此回應訊息tm42從管理伺服器裝置]8傳送且用移動式機械1 6來接收。此外，移動式機械16用上述SDF-URL判斷是否能取得 SDF204a。此處則是推測取得成功所以處理進到下一個步驟，移動式機械16用內含在已取得的ADF205之公開鑰來驗證（解碼）SDF204之署名，判斷此SDF204a的正當性。正當性被確認（步驟S3 5中「Yes」），則移動式機械1 6將從 SDF204a所抽出之APID與內含在已取得的ADF205之APID 作比較，判定兩者是否一致。此處則是兩者應該一致，所以移動式機械1 6將記憶在非揮發性記憶體16D之SDF203覆寫爲SDF204a，因而託管 Java-AP軟體（電話簿一覽表）的有效期限從& 2〇〇2年10月1 日上午1 0時"更新爲2 0 0 3年1月1日上午1 0時"。然而，被判斷爲經用戶操作爲未更新有效期限時，尙未取得SDF時，判斷爲SDF不正當時，SDF所具有之APID 與APF所具有的APID不一致時，JAM將沒有更新有效期限之訊息通知給用戶，並且將移動式機械1 6的狀態回復到取得SDF203 a之前的狀態。 (3-4)託管Java-AP軟體變更後的動作其次，說明管理IP伺服器裝置13和IP伺服器裝置14的 IP變更了託管Java-AP軟體的發佈形態或內容時的本系統動作。只不過此處的變更包括以改善託管Java-AP軟體等 -41 - (36) 1229531 爲目的之：Tar檔案的內容變更、及以減輕IP伺服器裝置13 的負荷等爲目的之發佈形態的變更。爲了達成後者的變更 ’管理IP伺服器裝置〗3和IP伺服器裝置14的IP，如第22圖所示，使變更後的jar檔案206(以下，稱爲Jar檔案215)記憶在IP伺服器裝置〗4的非揮發性記憶體1 4 A，對應於此jar 檔案來變更AD F 2 0 5的內容作爲AD F 2 1 6。發佈變更後的託管Java-AP軟體所必要的作業如同以上所述的過程，管理管理伺服器裝置1 8的通訊業者所應進行的作業則不存在。也就是通訊業者沒有變更表列檔案200或SDF204的必要。此變更後之託管Java-AP軟體的安裝動作如同第23圖所示的狀況。此圖所示的動作與第1 9圖所示的動作開始有所不同之點則是從移動式機械1 6要求Jar檔案的時間點。然而，兩圖中，回應訊息tm47對應於回應訊息tm37，要求訊息tinM對應於要求訊息tm38，回應訊息tm49對應於回應訊息t m 3 9。即是在於第23圖中與第19圖所示的動作本質上不同之點只有ADF2] 6和Jar檔案21 5成爲處理對象之點、及要求傳送內含在 ADF2 1 6 之程序包 URL( vv http://www . sub.bbb. 〇〇.」^/〃丨6〜61^&1*〃）所特定之；^1*檔案215的內容之要求訊息 tm4 8在於移動式機械16被生成之點、及此要求訊息tm4 8從移動式機械16傳送且用IP伺服器裝置14來接收之點、及在於IP伺服器裝置14生成內含Jar檔案21 5的回應訊息tm49之點、及此回應訊息tm4 9從IP伺服器裝置14傳送且用移動式機械1 6來接收之點。 -42- (37) (37)1229531 如同以上所說明過，對於移動式機械1 6，對應於S D F 之託管java-AP軟體准許依照含在已下載的SDF之規章資訊的內容之舉動，沒有含在規章資訊的內容之舉動則不准許。此規章資訊在確保安全性下從管理伺服器裝置1 8傳送到移動式機械，所以不會有第3者竄改規章資訊的可能性，因而確保託管Java-AP的信賴性。另外，從用戶側而言，能使用過去形式的非託管;Tava-AP，其他也能使用如上述的准許更自由的舉動之託管Java-AP，而非常便利。然而，對於上述的發佈系統，以ADF、SDF、Jar檔案的順序，對移動式機械1 6進行各種檔案的發佈，不過依此樣的順序來發佈，產生以下的效果。如同以上所說明過，J a v a - A P軟體（A D F和J a r檔案）經 IP設計作成，在於各個IP在網際網路上所開設的專用網站 (第1圖中IP伺服器裝置12〜14)，對一般用戶公開。因此，用戶首先對IP的專用網站進行存取，接著一般是參照各種 J a va-AP軟體的解說頁來判斷是否進行下載該軟體。然後，用戶被判斷爲要下載Java-AP軟體，則必須進行指示該下載處理的操作，不過因而在於上述的解說頁上，一般是用錨標籤來充塡下一個應下載檔案的URL。此時，從IP的立場來說，在解說頁充塡ADF的URL最爲簡單。其理由是 ADF因在IP的管理下所以該ADF的URL隨時被IP所掌握之故。對於此點，在解說明頁充塡SDF的URL，則IP不對通訊息業者進行詢問等，而必須不斷對URL的對錯作確認處理。所以依照ADF、SDF、Jar檔案的順序進行各種檔案的 -43- (38) (38)1229531 發佈是非常有意義的。另外，上述的順序對於考慮到在imode(商標名）所現在正在實施之Java-AP軟體的版本升級處理時則有助益。現狀下imode的服務規格爲經用戶進行要求版本升級的操作，則移動式機械首先參照已被記述在ADF的內容，根據已被記述在ADF之程序封包URL，取得版本升級後的：Ur檔案。即是在版本升級時，首先參照ADF後，其後移往下載處理。考慮到此點，即使在於本實施形態的發佈系統之版本升級時，也是首先參照AD F，根據記述在該AD F之S D F -, URL取得SDF後，取得Jar檔案，才開始從首先參照ADF起的一連串處理，之後依照與SDF Jar檔案的通常下載相同的流程進行處理，不太變更現狀的服務規格就能達成。對於此點，如果依照SDF ' ADF、Jar檔案的順序下載各種檔案成爲定義的狀況，欲版本升級時，開始從參照ADF起的下載處理，則未取得SDF而直接到取得；far檔案的處理爲止。 SDF在版本升級時被改寫則十分有可能，所以沒有SDF則會有安全性發生問題的可能性。從以上所述的觀點，依照 ADF、SDF、Jar檔案的順序進行各種檔案的發佈也是具有意義。 (3)變形例本發明並不侷限於上述過的實施形態，以下的種種變更皆有可能。上述過的發佈系統，移動式機械用加密鑰的署名資料 -44- (39) (39)1229531 及公開鑰來確認SDF與ADF的作成者之對應關係的正當性。但是並不侷限於此，若爲可以確認SDF與ADF的作成者之對應關係的正當性之方式則用任何一種方式皆可。另外，依據系統所要求的安全性層級，設成不使公開鑛內含在SDF，IP伺服器裝置不必用對於ADF的加密鑰進行署名’且移動式機械省略掉此確認處理之形態，來減少移動式機械和IP伺服器裝置的處理量、或移動式機械與管理伺服器裝置和IP伺服器裝置之間的通信量亦可。另外，上述過的發佈系統，使Jar檔案的散列値內含在對應於該Jar檔案的ADF，此外在於移動式機械生成Jar 檔案的散列値，比較該兩者來確認Jar檔案與ADF之對應關係的正當性。但是並不侷限於此，若爲可以確認Jar檔案與ADF之對應關係的正當性則用這何一種方式皆可。另外，依照系統所要求的安全性層級，設成不使散列値內含在ADF而省略掉此確認處理之形態，來減少移動式機械和IP伺服器裝置的處理量或移動式機械與IP伺服器裝置之間的通信量。另外，上述過的發佈系統則是託管Java-AP中用固有的APID來判定ADF與ADF(和Jar檔案）的對應是否正當，不過對供應託管Java-AP之資訊供應業者，用固有的CID來判定SDF與ADF(和Jar檔案）的對應是否正當亦可。另外，依照系統所要求的安全性層級，省略掉用APID或CID的判定亦可。另外，上述過的發佈系統，用區域名稱來指定伺服器 - 45- (40) 1229531 ’不過用IP位址來指定伺服器亦可。另外，移動式機械內，設成將內含在ADF之SDF-URL 當中的區域名稱與預先所設定的文字列作比較，只在可信賴的機構爲所管理伺服器裝置的區域名稱時，認可SDF爲正當之形態亦可。此情況，當與預先所設定的文字列不同時，移動式機械16顯示SDF取得失敗的訊息，不對管理伺服器裝置1 8要求SDF就結果處理。另外，此形態，比較對象的文字列（例如，表示通信業者的區域名稱之文字列）預先儲存在移動式機械的ROM 或非揮發性記憶體內。預先儲存在ROM之形態，因不能改寫文字列，所以可以確保更高的安全性。另外，預先儲存在非揮發性記憶體之形態，因可以在買賣移動式機械後儲存可信賴的機構，所以能夠提供對於用戶和可儲賴的機構都優越的更利性。另外，上述過的發佈系統則是將供應用於發佈SDF的通訊路之通信業者作爲可信賴的機構來確保高安全性，不過本發明將不是用可信賴的機構來提供通訊路的形態也含在技術範圍內。例如用加密通信路將可信賴的機構與移動式機械連結，透過此通信路，可信賴的機構發佈SDF亦可 °另外，即使通信路的安全性未被確保，若是在SDF加密後才發佈，在於移動式機械將SDF解碼，則也能一定程度確保安全性後發佈S D F。上述過的發佈系統，依循HTTP來收發檔案，不過將系統變形而使用HTTP S來確保更高的安全性亦可。 -46 - (41) 1229531 另外，在於上述的發佈系統，可信賴的機構爲IP較佳，即是當然也可以使管理伺服器裝置兼作爲IP伺服器裝置〇 . 進而，上述過的發佈系統，列舉API來作爲限制Java-AP應用的對象，不過本發明並不侷限於此，可以將任意的資源（resource)作爲對象。此處所言及的資訊若爲硬體資訊亦可，後述的網路資訊或軟體資訊亦可。硬體資訊列舉有記憶體或揚聲器、麥克風、紅外線控制器、LED( Light Emitting Doide)等的移動式機械得以備有的裝置或是得以與移動式機械協同作動之UIM( User Identity Module)或 SIM(Sub Scriber Module)等的外部機器等。其次說明網路資訊。如前述過，移動式機械在於行動通信網之間進行無線通信。此無線通信時，移動式機械使用透過行動通信網所供應的無線頻道等之無線資源。此無線資源爲網路資源的一種。另外，移動式機械在於比無線資訊所屬的通信協定層更高位的通信層，使用封包的傳送路或迴線連結的通信路等的通信資訊。此樣的通信資源也是網路資源的一種。其次說明軟體資源。軟體資源列舉有API或組織、程序包等。軟體資源所供應的功能則爲種種，典型的功能列舉有密碼運算等的運算處理功能或在與Web瀏欖器等其他的應用軟體之間收發資料的功能等。另外，本發明將也以上述外部機器所具有的軟體資源作爲應用的對象之形態含在技術範圍內。 -47- (42) 1229531 然則用Java-AP來應用硬體資訊或網路資源，一般是利用軟體資源來進行。上述過發佈系統中移動式機械也具有用來利用硬體資源或網路資源之軟體資源，經由限制利用此軟體資訊，間接地限制利用硬體資源或網路資源。此樣，經由設成間接的限制形態，準備多樣的軟體資源，則只針對Java-AP當中的託管java-AP，施加變更其他java_ A P的權限之權限、或是解除只能與下載處的伺服器裝置進行通訊之限制、或是能對記憶體中特定的記憶領域進行存取之不稍加變更複數個資源的限就無法實現爲止都能容易地指定。然而，限制利用移動式機械內部的軟體資源而間接地限制使用上述外部機器的軟體資源之形態也含在本發明的技術範圍內。准許的表現方式，可以使一個資源與1個旗標（准許/ 禁止）相互對應，也可以用1個資訊來表現複數個資源的准許。另外，本發明則是針對持有複數種使用的資源，也能經設定准許方式來表現准許（或禁止）使用。此情況，移動式機械中實現更細密的控制。例如記憶體包括有讀出及寫入的2個使用形態（使用的種類），所以也可以成爲非託管 Java-AP只用來讀出，然則託管Java-AP則以用來讀出及寫入。另外，例如在於複數個應用軟體能其用1個封包傳送路之移動式機械能有下述的控制，當在具有使用封包傳送路的權限之Java-AP正在啓動的期間啓動Web瀏攬器時’ 若是此Java-AP爲未准許「排他性進行封包傳送路的使用 -48- (43) 1229531 」之Java-AP則無法排除Web瀏欖器等所形成封包傳送路的共用，不過若爲准許「排他性進行封包傳送路的使用」之Java-AP則可以占有使用封包傳送路，進而，將此例變形，也能有已獲得某種准許之Java-A P能在不對用戶取得准許可下排他性使用封包通訊路。已獲得其他准許的Java-AP，雖然能在不對用戶取得許可下使用封包通訊路，不過若是要排他性使用封包通訊路則必須取得用戶的准許；已獲得另外准許的Java-AP雖然能在不對用戶獲得准許下使用封包通訊路，不過排他性使用封包通訊路則不能；已獲得另外准許之Java-AP能在取得用戶的許可後才開始使用封包通訊路；已獲得另外准許之 J ava-AP無法使用封包通訊路之控制。從這個例子能明白 ’本發明中「使用的種類」也包含使用資源之際所經過順序的種類（獲得用戶准許之順序/未獲得用戶准許之順序）。另外，上述過的發佈系統，在執行：Tava-AP時限制 Java-AP的舉動，不過使規章資訊內含在被儲存在ip伺服器裝置的Jar*檔案，在下載jar檔案時，在於移動式機械，將此規章資訊與SDF中的規章資訊作比較，當兩者不一致時，使對應於該Jar檔案之Java-AP無法啓動，或是使用含有該Jar檔案之；iava-AP/軟體無法安裝亦可。只有針對兩規章資訊一致的項目之准許爲有效。通訊業者的公開鑰，從IP伺服器裝置12〜14，含在 ADF供應給移動式機械1 6，不過並不侷限於此，預先儲存在移動式機械亦可。公開鑰預先儲存在移動式機械之方法 -49- (44) 1229531 ，被認爲有透過通訊來發佈且寫入到非揮發性記憶體之方法、寫入到ROM後才銷售移動式機械之方法等。另外，上述的發佈系統，軟體發佈給移動式機械，不過本發明的技術範圍內，也含括發佈給移動式機械以外的終端裝置之形態。上述的發佈系統’在託管J a v a - A P軟體的有效期限截止的時間點，開始進行更新該有效期限的處理。但是更新時間點並不侷限於上述的方法，得以採用用戶的期望的時間點、或每個月底1次的定期性時間點等的種種形態。另外，有效期限的設定方法，如同已說明過用日期時間來設定亦可，不過其他例如用從下載託管jav a_ AP軟體時的期間（例如，下載後只能使用1個月的情況）來設定亦可，用託管Java-AP軟體的執行次數或實行期間來設定亦可。總之’有效期限若爲決定其上限使其無法無限期執行 Jav a· AP軟體的資訊則任何的期限皆可。例如，以執行次數來設定有效期限時，因在託管 Java-AP軟體啓動時JAM參照SDF內的規章資訊，所以計數其參照次數作爲託管Java-AP軟體的執行次數亦可。然後 ’已計數的執行次數達到預先所決定的次數，則移到該更新處理即可。另外’若是具備有累積計數執行託管Java-AP軟體的期間之手段（例如，記述在該託管java_AP軟體內作爲子程序等的手段），則也能對應於用執行期間來設定有效期限的情況。然後，已計數的執行期間達到預先所決定的時間 -50- (45) 1229531 ’則移到更新處理即司。然而’上述發佈系統的說明中使用「託管j a v a _ A P軟體的有效期限」的表現方式，不過更嚴密上，即使爲Jar 檔案中該託管Java-AP軟體的有效期限亦可，即使爲SDF 中該託管Java-AP軟體的有效期限亦可，即使爲該兩者的有效期限亦可。另外’上述的發佈系統，即使有效期限已截止仍無法更新該有效期限時，禁止執行該有效期限已截止之託管 Java-AP軟體，不過並不侷限於此，當該有效期限截止時從託管Java-AP軟體遷移到非託管java_AP軟體亦可。即是有效期限已截止之Java-AP軟體被視爲非java-AP軟體，其遷移後，非託管Java-AP軟體其舉動受到更嚴格的限制。另外，將上述實施形態，能使任意託管Java-AP軟體的SDF失效。此變形例中，管理伺服器，與上述實施形態同樣，具有用來記憶各種Java-AP軟體的SDF之記憶部。管理伺服器裝置的控制部，透過通訊部接收各SDF或是已收取被儲存在記憶媒體中的SDF時，儲存在此記憶部。另外，管理伺服器裝置得以輸入使任意託管；Tava-AP 軟體的SDF失效的指令，此指令含有應使其失效的SDF所歸屬之託管Java-AP軟體的APID。此指令經由操作員輸入到管理伺服器的輸入部，或從記IP伺服器透過網路傳送到所指定管理伺服器，用管理伺服器的通訊部來接收。管理伺服器的控制部，透過輸入部或通訊部取得此指令，則將 -51 - (46) 1229531 指令中的AP ID所特定的SDF已失效的資訊儲存到記憶部。因而，之後管理伺服器停止此S D F的公開，而不能下載使用此SDF的Java-AP軟體。然則’也有某個託管；Tava-AP軟體的SDF發佈給某個終端裝置，之後才使該SDF失效的情況。此情況，必須具有使已發佈過的SDF成爲SDF的功能。因此，也考慮到以下的方法。即是終端裝置例如經一定時間間隔對管理伺服

器詢問SDF的有效性，當從管理伺服器回送的回應爲SDF 已失效的訊息時，則禁止使用以'後的SDF。此處，SDF成爲失效後，爲了減少執行託管Java-AP軟體的次數，縮短詢問的時間間隔會有效果。但是全部終端裝置都進行縮短詢問時間間隔，則通訊量變爲龐大而用戶負擔的通訊費也增大。此時，終端裝置的用戶當中，因有頻繁指示執行託管Java-AP軟體的人員，還有偶爾指示執行的人員，所以對於後者的人員，增加通訊量及通訊費則不是良好的政策〇爲了解決此問題，本變形例則是進行以下的處理。首先，管理伺服器裝置當SDF透過通訊部傳送到終端裝置之際，使其含有頻繁度資料N及間隔資料T。此處，頻繁度資料N爲指示傳送有關託管Java-AP軟體的執行次數每次超越N的整數倍時SDF的有效性之詢問的資料。另外，間隔資料T爲託管jrava-AP軟體執行過後，在下次開始執行 Java-AP軟體之前，經過時間T時，指示有關sdf的有效性之詢問的資料。 -52- (47) !229531 終端裝置當接收某SDF時，依照該SDF內的頻繁度資料N及間隔資料T，將有關該SDF的有效性之詢問傳送給管理伺服器裝置。第24圖中表示針對I個SDF的用來進行此樣的處理之控制部的構成。當終端裝置記憶著複數個SDF 時，認爲是在控制部內準備有與該SDF同數個的第24圖所不的電路即可。然而，第24圖中圖號501〜504所表示的要件表現構成控制部之電路或是經控制部所執.行之程度。首先，終端裝置的控制部當接收SDF則爲了該SDF而將第2 4圖所示之電路或程序活性化。然後，從S D F取出頻繁度資料N及間隔資料T，頻繁度資料N設定在除算器502 ，間隔資料T設定在計時器5 0 3。計數器501每當啓動對應於SDF的託管java-AP軟體時逐一增加計數値。除算器5 02將計數器501的計數値，即是將託管Java-AP軟體的啓動資料除以頻繁度資料N，其除算結果的餘數爲1則輸出訊號'' 1 〃。計時器503具體上爲下數計數器。啓動託管Java-AP軟體，則間隔資料T寫入到計時器作爲計數値的初期値。之後，計數器5 0 3與預定頻率的時鐘同步持續下數計數。然後，經過相當於T的時間，而到時間截止，則計時器5 03輸出'' 1 〃。在時間截止之前再度啓動託管Java-AP軟體，則間隔資料T被設定到計時器5 0 3，從該時間點開始新的下數計數。 OR門（OR gate) 5 0 4從除算器5 02或計時器5 03 $命出該訊號％ 1 〃，則產生指示SDF有效性的詢問之訊號。 -53- (48) 1229531 第2 5圖爲表示以上所說明過的動作之時間流程圖。如同圖所示，經施予頻繁度資料N，OR門5 0 4產生對第NT 1 次、第2N+ ]次的狀況指示詢問SDF的有效性之訊號。控制部在產生此訊號時，將有關SDF有效性的詢問透過通訊部傳送到管理伺服器裝置。此詢問包含特定該對象的APID ，也就是包含特定SDF的AP ID。管理伺服器的控制部，透過通訊部接收此詢問，則參照記憶部來檢查詢問中的 APID所特定的SDF是有效還是失效，其結果透過通訊部對終端裝置進行回答。終端裝置的控制部，當透過通訊部已接收到進行詢問的SDF已失效的回答時，進行控制來使對應於該SDF之Java-AP軟體無法啓動。另外，第25圖所示的例子，第2次執行託管java-AP軟體後，在第3次執行之前，經過時間超越T ’所產生指示詢問SDF的有效性之訊號。此情況也是進行與述同樣的詢問、管理伺服器的回應、依回應之終端裝置側的動作。以上所說明過的本變形例有以下的優點。首先，若爲頻繁使用託管Java — AP軟體的人員時，只進行控制產生根據間隔資料T的詢問’則隨時在時間截止之前啓動託管^軟體’所以不進行詢問。因此，爲了此類的用戶，在啓動次數超過N時進行詢問之方法較爲有效。此外，若爲偶爾使用託管Java-AP軟體的人員時，因啓動資料不易超越N，所以時間上無法使s D F失效。因此，爲了此類的用戶，在啓動後的經過時間超越T時進行詢 -54 - (49) 1229531 問之方法較爲有效。本變形例因倂用該兩方法，所以對兩形態的人員都具有效果。【圖式簡單說明】第1圖爲表示本發明的一實施形態之發佈系統的構成之方塊圖。第2圖爲相同系統中表示特有的ADF的資料構成之槪念圖。第3圖爲表示相同系統中儲存在管理伺服器裝置之 S D F的資料構成之槪念圖。第4圖爲表示內包在相同SDF之策略資訊的內容之槪念圖。第5圖爲表示構成相同系統之移動式機械的構成之方塊圖。第6圖爲表示相同移動式機械的功能構成之槪念圖。第7圖爲表示相同移動式機械下載Java-AP軟體且又安裝的處理流程之流程圖。第8圖爲表示相同移動式機械更新Java-AP軟體的有效期限的處理流程之流程圖。第9圖爲用來說明相同發佈系統的動作之方塊圖。第1 〇圖爲表示用相同發佈系統所發佈的表列頁之圖。第1 1圖爲表示構成相同發佈系統之1?伺服器裝置所儲存之說明檔案的內容之圖。 -55- (50) 1229531 第1 2圖爲表示用相同發佈系統所發佈的說明表列頁之圖。第1 3圖爲表示相同IP伺服器裝置所儲存之說明檔案的內容之圖。第1 4圖爲表示用相同發佈系統所發佈的說明頁之圖。第1 5圖爲表示構成相同發佈系統之IP伺服器裝置爲所儲存之說明檔案的內容之圖。第1 6圖爲表示用相同發佈系統所發佈的說明頁之圖。第1 7圖爲用來說明相同發佈系統的動作之序列圖。第1 8圖爲用來說明相同發佈系統的動作之序列圖。第1 9圖爲用來說明相同發佈系統的動作之序列圖。第20圖爲用來說明相同發佈系統的動作之序列圖。第2 1圖爲表示用移動式機械來顯示的畫面之圖。第2 2圖爲用來說明相同發佈系統的其他動作之方塊圖〇第2 3圖爲用來說明相同發佈系統的其他動作之序列圖〇第2 4圖爲表示進行用來詢問S D F的有效性之移動式機械的控制部內的構造之圖。第2 5圖爲表示詢問S DF的有效性的動作之時間流程圖 [符號說明〕 1 1 :網際網路 -56- (51) (51)1229531 12〜14 : IP伺服器裝置 12A〜14A:非揮發性記憶體 ]5 :行動封包通訊網 1 6 :移動式機械

1 6 A ： ROM

1 6B ·· CPU 16C :顯示部 16D :非揮發性記憶體

1 6E ： RAM 1 6 F :通訊部 1 6 G :操作部 1 7 :閘道伺服器裝置 1 8 :管理伺服器裝置 2 0 0 :表列檔案 2 〇 1 :表列頁 201B ：選擇項 2 02 :說明檔案

204 ： SDF

205 ： ADF 2 06 : Jar檔案 2 0 7 :說明檔案 2 0 8 :說明頁 209 : ADF 2 1 0 : J a r 檔案 -57- (52) 1229531 2 11 ：說明檔案 2 1 2 :說明頁 213 ： A D F 2 1 4 : Jar檔案 -58

Claims

(1) 1229531 拾、申請專利範圍第92 1 07 546號專利申請案中文申請專利範圍修正本民國93年7月28日修正 1 . 一種數位內容發佈方法，其特徵爲具有：

備有儲存內含用來實現應用軟體的軟體之實體檔案的資訊供應伺服器裝置、和儲存內含提示施加在經終端裝慶執行前述軟體所實現之應用中的權限之權限資訊的安全性記述檔案的管理伺服器裝置、和儲存具有依存於前述實體檔案的內容且記述有前述實體檔案的儲存位置與前述安全性記述檔的儲存位之應用記述檔案的資訊供應伺服器裝霞之發佈系統，透過前述終端裝置通知前述應用記述檔案白勺儲存位置，則對該終端裝置傳送該應用記述檔案之過程；及

前述終端裝置將內含在從前述發佈系統所傳送到來的應用記述檔案中之前述安全性記述檔案的儲存位置通知前述發佈系統之過程；及前述發佈系統根據前述所被通知之安全性記述檔案的儲存位置，在安全被確認的狀態下，將該安全性記述檔案傳送到前述終端裝置之過程；及前述終端裝置將內含在從前述發佈系統所傳送的前述應用記述檔案中之前述實體檔案的儲存位置通知前述發佈系統之過程；及前述發佈系統根據前述所被通知之實體檔案的儲存位 1229531 ^ 7. 28 置，將該實體檔案傳送到前述終端裝置之過程。 2. —種終端裝置，其特徵爲：具備有用來與網路內的裝置進行通訊之通訊部、及記憶部、及控制部；前述控制部具有：

(a)將含有提示記述有內含用來實現應用的軟體之實體檔案的儲存位置、和內含提示施加在經執行前述軟體所實現的應用中的權限之權限資訊之安全性記述檔案的儲存位置之應用記述檔案的儲存位置之資訊的第1發布要求，透過前述通訊部，傳送到前述網路內的發佈系統，因而從前述發佈系統，透過前述通訊部，接收儲存在前述發佈系統中的資訊供應伺服器裝置之應用記述檔案，存檔到前述目己憶部之手段；及

(M將含有提示內含在從前述發佈系統所接收之應用記述檔案中之前述安全性記述檔案的儲存位置之資訊的第 2發佈要求，透過前述通訊部，傳送到前述發佈系統，因而從前述發佈系統，透過前述通訊部，接收記憶在前述發佈系統中的管理伺服器裝置之安全性記述檔案，儲存到前述記憶部之手段；及 (c)將含有指示內含在從前述發佈系統所接收的應用記述檔案中之實體檔案的儲存位置之資訊的第3發佈要求 ’透過前述通訊部，傳送到前述發佈系統，因而從前述發佈系統，透過前述通訊部，接收儲存在前述發佈系統中的資訊供應伺服器之實體檔案，儲存到前述記憶部之手段；及 -2-

(d)當含在被記憶在前述記憶部的實體檔案中之軟體被指示執行時，依照含在與記憶在前述記憶部的該實體檔案相對應之安全性記憶檔案中的權限資訊，限制經執行該軟體所實現之應用的舉動之手段。 3 .如申請專利範圍第2項之終端裝置，其中前述發佈系統係將前述安全性記述檔案加密後傳送到前述終端裝置來確保安全性，前述控制部具備有將經由前述發佈系統所傳送到來的被加密之安全性記述檔案解碼之手段。 4 ·如申請專利範圍第2項之終端裝置，其中前述控制部，透過前述通訊部，經由被確保安全性的通訊路，接收前述安全性記述檔案。 5 .如申請專利範圍第2項之終端裝置，其中前述控制部，透過加密通訊，接收前述安全性記述檔案。 6 ·如申請專利範圍第2項之終端裝置，其中前述控制部，透過前述通訊部，經由行動通訊網和專用線，接收前述安全性記述檔案。 7 .如申請專利範圍第2項之終端裝置，其中前述控制部，透過經由移動通訊網之加密通訊，接收前述安全性記述檔案。 8 .如申請專利範圍第2項之終端裝置，其中前述控制部中限制應用的舉動之手段，根據內含在前述安全性記述檔案中的權限資訊，限制資源的使用。 9 .如申請專利範圍第8項之終端裝置，其中前述資源

爲前述終端裝置內部的硬體資源。 i 〇 .如申請專利範圍第8項之終端裝置，其中前述資源爲前述終端裝置外部之該終端裝置所能使用之硬體資源。 1 1 ·如申請專利範圍第8項之終端裝置，其中前述資源爲前述終端裝置內部的軟體資源。 1 2 .如申請專利範圍第8項之終端裝置，其中前述資源爲前述終端裝置外部之該終端裝置所能使用之軟體資源。

1 3 .如申請專利範圍第8項之終端裝置，其中前述資源爲前述終端裝置所能使用之網路資源。 1 4 .如申請專利範圍第2項之終端裝置，其中前述控制部中限制應用的舉動之手段，根據前述權限資訊，判斷使用資源的種類。

1 5 .如申請專利範圍第2項之終端裝置，其中前述應用記述檔案內含對前述終端裝置供應通訊服務之通訊業者的公開鎗，前述安全性記述檔案用前述通訊業者的加密鑰來署名前述控制部用內含在前述應用記述檔案中的公開鑰來驗證經前述發佈系統所傳送到來之安全性記述檔案的正當性，只在該正當性已被驗證過時，對前述發佈系統通知前述實體檔案的儲存位置。 I6.如申請專利範圍第2項之終端裝置，其中前述應用記述檔案和前述安全性記述檔案，內含被分割在所對應的應用中之應用識別子. -4- SI229531 ^ ·'·，〜.:::::: ...；前述控制部將內含在經前述發佈系統所傳送到來的應用記述檔案中之應用識別子與內含在經前述發佈系統所傳送到來的安全性記憶檔案中之應用識別子作比較；只在兩者一致時，對前述發佈系統通知前述實體檔案的儲存位置

1 7 ·如申請專利範圍第2項之終端裝置，其中只有記述在則述應用記述檔案中之前述安全性記述檔案的儲存位置在前述管理伺服器裝置內時，前述控制部將前述安全性記述檔案的儲存位置通知前述發佈系統。

1 8 ·如申請專利範圍第2項之終端裝置，其中前述安全性記述檔案內含提示所對應的應用有效期限之期限資訊，前述控制部具備有經由時序列對前述發佈系統反覆通知前述安全性記述檔案的儲存位置，而時序列從前述發佈系統反覆接收該安全性記述檔案，根據內含在所反覆接收的前述安全性記述檔案中之前述期限資訊，更新前述應用的有效期限之手段。 1 9 .如申請專利範圍第】8項之終端裝置，其中前述終端裝置只在從前述發佈系統正當地發佈前述安全性記述檔案時’更新前述應用的有效期限。 2 0.如申請專利範圍第2項之終端裝置，其中前述終端裝置爲移動式機械。 2 1 · —種發佈系統，其特徵爲：具有··內含用來實現應用的軟體之實體檔案、及內含提示施加在應用中的權限之權限資訊之安全性記述檔案、 -5- \^/ 頁® 1臭8 9T95替 7 22正f-T修更體用實應述之前置有位述存記儲且的容案內檔的述案記檔性體全實安述述rr 於和存置依位有存具儲存的儲案及檔 1 固之If之案述案檔前檔述述記記性限全權安的述案前檔存述儲記，性，中全置當安壯衣置f 服器加伺服施個伺數個複數或複個或爲置裝器 |~>又月伺知通被置位存儲的案檔當有具置裝器，艮月置伺裝述器前艮勺伺個理各管之位案存檔儲述的記案性檔全述安記該，性將段全下手安態之述狀處前的知當保通置確原裝被該器性到服全送伺安回理在案管則檔述知該前通將被則置回送到原通知處。 2 2.—種管理伺服器裝置，其特徵爲具備有：通訊部；及記憶部；及進行下述a、b、c三項的處理：（a)將內含提示經執行軟體所實現之應用中的權限之權限資訊之安全性記述檔案寫入到前述記憶部的處理，和（b)將有關前述安全性記述檔案的有效性之資訊寫入到前述記憶部的處理，（c)透過前述通訊部從終端裝置接收到有關前述安全性記述檔案的有效性之詢問時，從前述記憶部讀出有關該安全性記述檔案的有效性之資訊，透過前述通訊部通知前述終端裝置的處理之控制部。 23 _—種終端裝置，其特徵爲具備有：通訊部；及 -6 -

及

執行下述a、b、c三項的處理：（a)透過前述通訊部從管理伺服器接收內含提示施加在經執行軟體所實現的應用中的權限之權限資訊的安全性記述檔案，寫入到前述記憶手段的處理，和將有關儲存在前述記憶手段之安全性記述檔案的有效性之詢問，透過前述通訊部反覆傳送到前述管理伺服器裝置的處理，和當透過前述通訊部從前述管理伺服器裝置接收前述安全性記述檔案已失效的回答時，使已與該安全性記述檔案相對應之實體檔案成爲不能啓動狀態的處理之控制部。