WO2003107182A1 - サービス安全拡張プラットフォーム - Google Patents

Abstract

実行形式に不正アクセスを引き起こす処理が含まれることを否定する必要無く、デジタルコンテンツの提供サービスを実現する実行形式による不正アクセスの排除できる、サービスの拡張可能な全く新しいサービス安全拡張プラットフォームを提供することを目的とする。サービス（Ｓ）と実行形式（ＤＥ）とが対応付けられており、前記実行形式（ＤＥ）の変更や追加によって前記サービス（Ｓ）の拡張が達成されるサービス安全拡張プラットフォーム（ＳＥＰ）は、サービスの拡張を行うサービス依存ＡＰＩを備え、かつ実行形式（ＤＥ）からのサービスの拡張はサービス依存ＡＰＩの呼び出しによってのみ行われる。

Description

明細書 サービス安全拡張プラ ッ ト フ オ ーム 技術分野

デジタルコ ンテ ンツ の提供サー ビス を実現する実行形式 によ る不正ア ク セス の排除を、 実行形式に不正ア クセス を 引 き起 こす処理が含まれる こ と を否定する必要無 く 達成す る と い う 、 新次元の安全性を実現 した、 サー ビス の拡張可 能な全く 新 し い 「サー ビス安全拡張プラ ッ ト フ ォ ーム」 に 関する。 詳述すれば、 実行形式の配布元の確か ら し さか ら の推測を必要 とせずに、 他のサー ビス の状態変更、 デ一夕 破壊、 およびプラ ッ ト フ オ ーム 自体の シス テムダウ ンな ど に代表さ れる不正ア ク セス を排除でき る と共に、 実行形式 の変更や追加によ っ てサ一 ビス の機能 Z諸元の変更や新規 サー ビス の追加 と い う サー ビス拡張も達成できるサー ビス 安全拡張プラ ッ ト フ オ ーム に関する 。 背景技術

上述の如 く 、 本発明が提供する も の は、 従来にない全 く 新 し く 提供する 「サー ビス安全拡張プ ラ ッ ト フ ォ ーム」 で あ る の - 従—来の技術一と一して—示すべき—適切な—例—を孝—げる の は非常に困難であ る 。 それゆ え に、 先ず、 本発明が初めて 提唱する と信 じるサー ビス安全拡張プラ ッ ト フ オームが固 有に備え る 3 つの主な特徴につ いて以下に述べる。 第 1 の 特徴はサー ビス の拡張性であ り 、 第 2 の特徴は安全性の確 保であ り 、 そ して第 3 の特徴はサー ビス拡張操作の シーム レス化であ る 。

第 1 の特徴であ る 「サー ビス の拡張性」 と は、 サー ビス 毎に異なるユーザイ ンタ フ ェース を持ち 、 ユーザイ ンタ フ エース の変更や予期せぬサー ビス の追加が任意の時点で可 能であ る こ と を言 う 。 第 2 の特徴であ る 「安全性の確保」 と は、 実行形式に不正ア クセス を引 き起 こす処理が含まれ る こ と の否定を必要 とせずに安全性が確保さ れる こ と を言 う 。 そ して、 第 3 の特徴であ る 「サー ビス拡張操作の シー ム レス化」 と は、 サー ビス拡張のため の操作手順が、 サー ビス の利用時 と 同 じ操作感の も と に行え る こ と を言う 。

上述の よ う に、 これ ら 3 つの主な特徴を全て満たす 「サ — ビス安全拡張プラ ッ ト フ オーム」 を、 従来技術において 見い だす こ と はできない。 しか しなが ら 、 強いて言えば、 第 1 の特徴のみを満たす も の と して、 パー ソ ナルコ ン ビュ —夕 を利用 してィ ン夕 一ネ ッ ト によ る プッ シュ型サ一 ビス を従来技術の一例 と して挙げる こ とができ る 。 ポイ ン ト キ ヤ ス ト ネ ッ ト ワー ク社のポイ ン ト キ ャ ス ト ( R ) は、 ニュ ース配信サー ビス を実現 したプッ シュ型サー ビスであ る 。 パー ソ ナルコ ン ピュータ を利用する複数の プッ シュ型サ一 ビス の利用 は、 機械語で記述さ れたサー ビス毎に実装 した ブテゥ—ザ—を—パ一一つチル： Iフビュ—一—夕一への—ィフス ド ル 一る こ と に可能 と なる 。

こ こで、 プッ シュ型サー ビス にお ける 、 本発明 の第 1 の 特徴であ る 「サー ビス の拡張性」 につ いて説明する。 プッ シュ型サー ビス を実現する ブラ ウザをパーソ ナルコ ン ビュ —夕 のハー ドディ ス ク にイ ンス ト 一ルする こ とで新たなサ — ビス を追加する.こ とができ る。 ブラ ウザは機械語で記述 されたコ ン ピュータ プロ グラ ムであ り 、 サー ビス毎に固有 のそれぞれ異なる ユーザィ ン夕 フ ェース を提供する。

ブラ ウザのイ ンス ト ールは、 従来、 以下の様に して行わ れる 。 例え ば、 ブラ ウザをイ ンス ト ールする 際には、 先ず 、 フ ァ イ ル転送プロ ト コル （例 ： f t p ) の ク ライ ア ン ト を起動 しておき、 ブラ ウザを ク ライ ア ン ト のハー ドディ ス ク な ど にダウ ン ロ ー ド し、 次にダウ ン ロー ド したブラ ウザ を起動する こ とで実現される 。 また、 新たな ブラ ウザを利 用する前に は、 ブラ ウザの設定を、 ブラ ウザに組み込まれ た設定メ ニューで操作 して実現する。

次に、 本発明の第 2 の特徴であ る 「安全性の確保」 に関 しては、 従来は単なる憶測 に基づく も のであ っ て、 具体的 な方策の裏付けを有する も のではない。 つ ま り 、 従来、 ブ ラ ウザが安全であ る と い う こ と は、 ブラ ウザが公式ホーム ページな ど正式な配布先よ り 入手 した も のであ る ので、 悪 意の あ る第 3 者がコ ン ピュータ ウ ィ ルスな ど を感染させて ない はずだ と い う 単な る願望に過ぎない。

そ して、 サー ビス に よ る高度な提示機能を意味する本発 明の第 3 の特徴であ る 「サー ビス拡張操作の シーム レス化 一」 に関 じてぼ、—従—来—の—技術に—お ては—、——ザ—一一 trス—毎にブラー ゥザを変更する こ とで異なるユーザイ ンタ フ ェース を実現 する 。 結果、 操作のシーム レス化の一部を構成する ため に 必要な、 複数サー ビス に対 し異なるュ一ザィ ン夕 フ ェース を持つ要件は満さ れる。 図 1 8 を参照 して、 上述のよ う なサー ビス の拡張は可能 であ るが安全ではない、 従来のサー ビス プラ ッ ト フ オーム につ いて具体的 に説明する。 同図に示すよ う に、 従来のサ — ビス プラ ッ ト フ ォ ーム P F c は、 サー ビス提供源 1 6 1 0 、 デ リ ノ リ システム 1 2 0 、 および端末 1 6 3 0 と を含 む。 サー ビス提供源 1 6 1 0 は、 実行フ ァ イ ル提供器 1 1 1 1 およびフ ァ イ ル転送サ一パ 1 6 1 1 を含む。 実行フ ァ ィ ル提供器 1 1 1 1 は実行フ ァ イ ルを格納 したハー ドディ ス ク装置でよ い。 また、 フ ァ イ ル転送サーノ 1 6 1 1 は W e b サ一ノ でよ い。 なお、 実行フ ァ イ ルと は、 図 1 9 を参 照 して後述する よ う に、 端末 1 6 3 0 の O S に直接渡 して 、 実行される プロ グラ ム フ ァ イ ルに代表さ れるバイ ナ リ デ —夕であ る 。

デ リ バ リ シス テム 1 2 0 は、 サー ビス提供源 1 6 1 0 か ら送 ら れる実行 フ ァ イ ルを空間的または時間的にはなれた 端末 1 6 3 0 に向けて伝送する 。

端末 1 6 3 0 は、 ェク セキュ一夕 1 1 3 3 および実行フ ア イ ル格納器 1 1 3 2 を含む。 ェク セキュー夕 1 1 3 3 は 、 実行フ ァ イ ル格納器 1 1 3 2 に格納さ れた実行フ ァ イ ル を起動する こ と で端末 1 6 3 0 にお ける あ ら ゆ る処理を実 行する。 例え ば、 実行フ ァ イ ル と してフ ァ イ ル転送プロ グ ラーム ¾起動 しだ霧合一に—は一、 デ J バ リ -ジ デム一 Γ一 0 を経 ¾ して受信 した、 新たなサー ビス を実現する実行フ ァイ ルを 実行フ ァ イ ル格納器 1 1 3 2 に格納させる 。 また、 サー ビ ス を実現する実行フ ァ イ ルを実行させれば、 サ一 ビス をュ 一ザに提供でき る。 図 1 9 に、 サー ビス プラ ッ ト フ ォ ーム P F c にお いて、 実行 フ ァ イ ル格納器 1 1 3 2 に格納さ れる データ を例示す る。 サー ビス S 1 の実行フ ァ イ ルであ る F E ( S 1 ) およ びサ一 ビス S 2 の実行 フ ァ イ ルであ る F E ( S 2 ) に並ん で、 実行フ ァ イ ルの起動な どの プラ ッ ト フ オ ーム操作を行 う ユーザイ ンタ フ ェース を提供する s h e 1 1 の実行フ ァ ィ ル F E ( s h e 1 1 ) や、 新たなサー ビス を実現する 実 行フ ァ イ ル F E をデ リ ノ リ シス テム 1 2 0 経由で端末 1 6 3 0 に導入する フ ァ イ ル転送プロ グラ ムであ る F E (フ ァ ィ ル転送） が実行フ ァ イ ル格納器 1 1 3 2 内 に格納されて い る 。 これ ら の実行フ ァ イ ルは何れも機械語で実装さ れる 図 2 0 に、 サー ビス プラ ッ ト フ ォ ーム P F c のソ フ ト ゥ エ ア階層 を示す。 同図か ら 読み とれる よ う に、 サー ビス プ ラ ッ ト フ オ ーム P F c において、 フ ァ イ ル転送実行フ ア イ ルを起動する こ とで、 あ ら ゆ る サー ビス を実現する実行 フ ア イ ルを新た に導入でき る。 こ のよ う に、 O S (〇 p e r a t i n g S y s t e rn) が構成する O S 層 の直上に、 実行フ ァ イ ルによ っ てア プ リ ケ一シ ョ ン層が構成さ れて い る。 結果、 サー ビス を実現する 実行 フ ァ イ ルが直接 O S の リ ソ ース を参照 した り 操作 した り でき る。 それゆえ に、 〇 S 'は、 悪意を持つ—た Tフア イ ルに対じて—無—防 ITTある の で、 サー ビス プラ ッ ト フ オ ーム P F c はと う てい安全と は 言えない。

また、 本発明の第 1 の特徴であ る 「サー ビス の拡張性」 に関 しては、 新たなサー ビス の単純な導入は可能であ る が 、 本発明が提供する コ ンテ ンツ の視聴 と シーム レス化 した 新たなサー ビス の導入につ いては、 従来は不可能であ る。 つ ま り 、 コ ンテ ンツの視聴 と新たなサービス の導入 と にお ける操作性は、 その見かけ も手順も全 く 異なる。 例えば、 従来は、 ブラ ウザをイ ンス トールする 際には、 フ ァ イ ル転 送プロ ト コルの ク ライ ア ン ト を起動 し、 ブラ ウザを ク ライ ア ン ト のハー ド ディ ス ク な どにダウ ン ロー ド し、 次にダウ ン ロー ド したブラ ウザを起動しなければな ら ない。 また、 新たなブラ ウザを利用する 前に は、 ブラ ウザの設定を、 ブ ラ ウザに よ る コ ンテ ンツの視聴画面 と は全 く 別の使い勝手 の設定メ ニュー を操作 しな ければな ら ない。

また、 従来は、 全てのサ一 ビス に対 して、 共通のユーザ —イ ンタ フ エ一ス を利用 して機能拡張が行われる。 そのた め に、 サー ビス拡張する ため に、 プロ グラ ム をイ ンス ト一 ルする 際 に必要な各種パ ラ メ一夕 （イ ンス ト ール先のディ レク ト リ ゃユーザ名等） の入力が、 全サー ビスで必要なパ ラ メ 一夕 の和集合 となっ て し ま う 。 そのため に、 特定のサ — ビス の拡張プロ グラ ム をイ ンス ト ールする ため に、 本来 不要なゾ\° ラ メ 一夕 の入力 まで、 ユーザに求めて し ま う こ と があ る 。

一方、 本発明 にかか るサービス安全拡張プラ ッ ト フ ォ 一 ムが提供する—サー一ビス—の柔軟な拡張性 t、 ブラ_ゥザを終了 した り 、 コ ンテ ンツの視聴 と全 く 異な る使い勝手の手順を 踏む こ と な く 、 あ く まで も コ ンテ ンツ の視聴 と 同 じ操作の 使い勝手の中でサー ビス の拡張を行え る こ とであ る 。 すな わち 、 サー ビス の拡張のためだけの特別な使い勝手の操作 をユーザに.強要する こ と な く 、 ユーザが最も慣れてい るで あ ろ う コ ンテ ンツの視聴 と同 じ使い勝手で、 あたか も 、 通 常の操作の延長 と して、 サー ビスが拡張されてい く 状況を 達成する も のであ る。 しか しなが ら 、 こ のよ う に拡張性は 、 従来のサー ビス プラ ッ ト フ オ ーム の提供できる こ とでは ない こ とは上述の通 り であ り 、 そのため に、 全 く 新 し いサ — ビス拡張の実現方法が求め ら れてい る。

次に、 本発明の第 2 の特徴であ る 「安全性の確保」 に関 して も 、 正式な配布先か ら入手 した ブラ ウザでもバグに よ つ て、 他の プッ シュ型サー ビス の動作に悪影響を与えた り 、 システム全体をダウ ン させた り する こ と も少な く ない の が現実であ る 。 そのため、 従来においては、 ブラ ウザのバ イ ナ リ に正当性があ る 、 すなわち 、 ブラ ウザのバイ ナ リ に 不正ア クセス の処理が含まれないであ ろ う こ と を少な く と も保証する 必要があ る。 しか し、 その保証はあ く まで も信 頼関係に基づく も のであ っ て、 ブラ ウザのバイ ナ リ に不正 ア ク セス処理が含まれて いない こ と を確実にする も のでは ない。

一方、 本発明 にかかる サー ビス安全拡張プラ ッ ト フ ォ ー ムが提供する安全性は、 如何なる実行形式 （従来例での ブ ラ ウザに対応） の実行に よっ て も 、 他のサー ビスへの悪影 饗ゃ シス テ 全—体—の—ダウンを起 こ—ざな—い—、 —全 X-新 し い次 元の安全性であ る。 当然、 従来の技術においては、 こ のよ う に方式は存在せず、 それゆえ に全 く 新 し い実現方法が求 め ら れてい る も のであ る 。

さ ら に、 本発明の第 3 の特徴であ る高度な提示機能を実 現する 「サ一ビス拡張操作の シーム レス化」 に関 して も、 従来の技術ではサー ビス管理 と コ ンテ ンツ の視聴 と の シ一 ム レス化は不可能であ る。 その原因は、 サ一 ビス管理はブ ラ ウザの設定メ ニューで行われてい る こ と にあ る。 つ ま り 、 サー ビス の管理に関わる こ と は、 コ ンテ ンツ の視聴画面 では行えな いのであ る 。

一方、 本発明 にかか るサー ビス安全拡張プラ ッ ト フ ォー ムが提供するサー ビス によ る 高度な提示機能は、 コ ンテン ッ にサ一 ビスの設定を含め る こ とで、 コ ンテンツ視聴 と 同 一の使い勝手の 中で、 コ ンテ ンツ の持つ高度な表現を持ち 、 かつ、 サーバか ら 自 由 に提示内容を設定する こ と を可能 とする 。

例え ば、 ア ンケー ト に記述 しサーバに向けて回答を返信 する と い つ た、 高度な記述能力 を使用 した コ ンテ ンツ にサ 一ビス の設定機能を組み合わせる こ と で、 ア ンケー ト にュ —ザが興味にあ る 内容を回答する こ とで、 自動的に コ ンテ ンッ の取捨選択を行 う ためのュ一ザの嗜好情報が設定され る と言っ た高度な提示機能を実現でき る。 また、 ユーザに と っ ては、 ど こ までがコ ンテ ンツなのか、 サー ビス の設定 なのか を全 く 意識させる こ と な く 、 高度な設定を簡単な操 作で行える 。

一当—然； f来の技術におい—て 1ま；—本発明 にかか—るーサー一—ビス 安全拡張プラ ッ ト フ オ ームが提供するサ一 ビス によ る高度 な提示機能 を実現する方式が存在せず、 それゆえ に全 く 新 し い実現方法が求め ら れてい る も のであ る 。

よ っ て、 本発明は、 上述の 3 つの特徴を実現するサー ビ ス安全拡張プラ ッ ト フ オ ーム を提供する こ と を 目 的 とする

発明の開示

本発明は、 上記のよ う な 目 的を達成する ため に、 以下に 述べる よ う な特徴を有 してい る。

第 1 の局面は、 サー ビス と実行形式 とが対応付け ら れて お り 、 実行形式の変更や追加 によ つ てサー ビス の拡張が達 成さ れるサー ビス安全拡張プラ ッ ト フ ォームであ っ て、 サ — ビス の拡張を行 う サー ビス依存 A P I を具備 し、 かつ実 行形式か ら のサー ビス の拡張はサー ビス依存 A P I の呼び

BJ し によ つ てのみ行われる こ と を特徴 とする

上述の よ う に、 第 1 の局面においては、 実行形式の正当 性に依 ら ない安全性が確保でき る。

第 2 の局面は、 第 1 の局面において、 サー ビス の拡張が 新規サー ビス の新設であ る こ と を特徴とする

第 3 の局面は、 第 1 の局面において、 サ一 ビス の拡張が サ一 ビス利用 開始であ る こ と を特徴 とする 。

第 4 の局面は、 第 1 の局面、 第 2 の局面、 および第 3 の 局面の何れか にお いて、 注 目 するサ一ビス の拡張は、 注 目 するサー ビス に対応付け られた実行形式か ら のサー ビス依 存 A P I一の-呼—び—出一し—によ う ての—み一行—お l一る —こ —と-を特徵とす- る。

第 5 の局面は、 第 1 の局面、 第 2 の局面、 および第 3 の 局面の何れか において、 複数のサー ビス間 に親子関係が定 義さ れ、 実行形式が要求するサー ビス依存 A P I 呼び出 し がサー ビス に対応付け ら れるサー ビス依存 リ ソース を処理 対象 と して指定した際に、 実行形式に対応付け ら れるサー ビスがサー ビス の先祖であ る場合にのみ、 サー ビス依存 リ ソース に対 して処理可能であ る こ と を特徴 とする 。

第 6 の局面は、 第 1 の局面、 第 2 の局面、 および第 3 の 局面の何れか にお いて、 メ タサー ビス に対応付け ら れた実 行形式がサー ビス依存 A P I によ っ て、 サ一 ビス の少な く と も 1 つが拡張可能な こ と を特徴 とする。

第 7 の局面は、 第 6 の局面において、 メ 夕サ一 ビス に対 応付け ら れた実行形式がサー ビス依存 A P I によ っ て、 サ — ビス の全てが拡張可能であ り 、 メ 夕サ一 ビス に対応付け ら れていな い実行形式 （ D E ) はサー ビス依存 A P I によ つ てサー ビス の拡張が不可能であ る こ と を特徴 とする 。

第 8 の局面は、 第 1 の局面、 第 2 の局面、 および第 3 の 局面の何れか にお いて、 実行形式がコ ンテ ンツ と して満た すべき条件 を満た した制御コ ンテ ンツであ り 、 制御コ ンテ ンッ （ D C ) がコ ンテ ンツ の少な く と も 1 つ と共に コ ンテ ンッ と して伝送さ れ、 コ ンテ ンツ （ D C ) の少な く と も 1 つか ら制御 コ ンテ ンツ を指定する情報が伝送さ れ、 制御 コ ンテ ンッ に よ っ てのみサー ビス依存 A P I の処理が可能で あ る こ と を特徴とする 。

第 9—の—局—面 1ま； 第 8 の局面—に—お—いて； サ ビス ^存 - A一 P— I によ っ て、 特定のサ一 ビス の コ ンテ ンツ （ D C ) の 自 動 的な格納が制御さ れる こ と を特徴とする。

第 1 0 の局面は、 第 1 の局面、 第 2 の局面、 第 3 の局面 、 第 4 の局面、 第 5 の局面、 第 6 の局面、 第 7 の局面、 第 8 の局面、 および第 9 の局面の何れか において、 実行形式 を少な く と も 1 つのサー ビス提供部に送出 し、 実行形式を 実行する 少な く と も 1 つの端末で受信する こ と を特徴とす る。

なお、 本局面の一実施の形態にお いては、 ブラ ウザを終 了 した り 、 コ ンテ ンツの視聴 と全 く 異なる使い勝手の手順 を踏む こ とな く 、 あ く までコ ンテ ンッ の視聴 と 同 じ操作の 使い勝手の中でサー ビス の拡張を行え る。 すなわち 、 サ一 ビス の拡張のためだけの特別の使い勝手の操作をュ一ザに 強要する こ とな く 、 ユーザが最も慣れてい る であ ろ ラ コ ン テ ンッ の視聴 と 同 じ使い勝手の う えで、 いわば、 いつ の間 にかサー ビスが拡張されてい る状況を達成でき る。

また、 如何なる実行形式 （従来例でのブラ ウザに対応） の実行に よ っ て も 、 他のサー ビスへの悪影響や、 システム 全体のダウ ンを起 こ さ ない、 全 く 新 し い次元の安全性を達 成でさる 。

さ ら に、 異な る実施の形態 にお いては、 コ ンテンツ にサ 一ビス の設定を含め る こ とで、 コ ンテ ンツ視聴 と 同一の使 い勝手の 中で、 コ ンテンッの持つ高度な表現 を持ち 、 かつ

、 サーバか ら 自 由 に提示内容を設定できる機能であ る 。 そ して、 ユーザに と っ ては、 ど こ ま でがコ ンテ ンツなのか、 サ― ビス の設定—な—の ^ ¾全く 意識さ—せ—る一こ—とな一く 高度-な一 設定を簡単な操作で行える。 図面の簡単な説明

図 1 は、 本発明の第 1 の実施の形態にかか る 、 サー ビス 安全拡張プラ ッ ト フ オ ームの構成を模式的に示すブロ ッ ク 図であ る。

図 2 は、 図 1 に示 したサ一 ビス安全拡張プラ ッ ト フ ォ 一 ムの識別化実行形式格納器に格納さ れる識別化実行形式を 示す説明図であ る 。

図 3 は、 図 1 に示 したサー ビス安全拡張プラ ッ ト フ ォ ー ム のサ一 ビス依存 リ ソース管理器で管理さ れるサー ビス依 存 リ ソース管理テーブルの説明図であ る 。

図 4 は、 図 1 に示 したサー ビス安全拡張プラ ッ ト フ ォ ー ムのサ一 ビス依存 リ ソ ース管理器に よ る新サー ビス の登録 管理動作を示すフ ローチヤ 一 ト であ る。

図 5 は、 図 1 に示 したサー ビス安全拡張プラ ッ ト フ ォ 一 ムの端末によ るサー ビス実行動作を示すフ ロ 一チヤ 一 卜 で あ る。

図 6 は、 図 1 に示 したサー ビス安全拡張プラ ッ ト フ ォ ー ム の端末の ソ フ ト ウ エ ア階層 を示す説明図であ る。

図 7 は、 図 1 に示 したサー ビス安全拡張プラ ッ ト フ ォ 一 ム によ っ てユーザに提示される画面例を示す説明図であ る 図 8 は、 本発明 の第 2 の実施の形態にかかるサー ビス安 全拡張プラ ッ ト フ オ ーム の構成を模式的に示すブロ ッ ク 図 であ-る

図 9 は、 図 8 に示したサー ビス安全拡張プラ ッ ト フ ォ ー ムの識別化実行形式格納器に格納さ れる識別化実行形式お よびメ 夕サー ビス実行形式を示す説明図であ る。

図 1 0 は、 図 8 に示 したサー ビス安全拡張プラ ッ ト フ ォ —ム の端末に よ るサー ビス実行動作を示すフ ロ ーチヤ 一 ト であ る。

図 1 1 は、 本発明の第 3 の実施の形態にかかるサー ビス 安全拡張プラ ッ ト フ オ ーム の構成を模式的 に示すブロ ッ ク 図であ る 。

図 1 2 は、 図 1 1 に示 したサー ビス安全拡張プラ ッ ト フ オ ーム の識別化実行形式格納器に格納される識別化実行形 式および親子識別化実行形式を示す説明図であ る。

図 1 3 は、 図 1 1 に示 したサー ビス安全拡張プラ ッ ト フ オームの端末によ るサー ビス実行動作を示すフ ロ一チヤ 一 ト であ る 。

図 1 4 は、 本発明 の第 4 の実施の形態にかか るサ一 ビス 安全拡張プラ ッ ト フ オ ームの構成を模式的 に示すブロ ッ ク 図であ る 。

図 1 5 は、 図 1 4 に示 したサービス安全拡張プラ ッ ト フ オームの コ ンテ ンツ格納器に格納さ れる制御コ ンテ ンツお よびコ ンテ ンツ を示す説明図である 。

図 1 6 は、 図 1 4 に示 したサ一ビス安全拡張プラ ッ ト フ オ ー ム のサー ビス依存 リ ソース管理器で管理されるサ一 ビ ス依存 リ ソ 一ス管理テーブルの説明図であ る。

図 1 7 は、 図 1 4 に示 したサー ビス安全拡張プラ ッ ト フ ^一-ム -の端末-による制御コ-ン-テ ンッ実行-動作を表すフ-ロ-一 チャ ー ト であ る 。

図 1 8 は、 従来の技術における、 従来のサー ビス プラ ッ ト フ オーム の構成を模式的示すブロ ッ ク 図であ る。

図 1 9 は、 図 1 8 に示したサービス プラ ッ 卜 フ ォ ーム の 実行フ ァ イ ル格納器に格納さ れる実行フ ァ イ ルを示す説明 図で ある 。

図 2 0 は、 図 1 8 に示 したサー ビス プラ ッ ト フ オ ーム の 端末 にお ける の ソ フ ト ウ エア階層 を示す説明図であ る。 発明 を実施する ための最良の形態 先ず、 本発明 にかかるサー ビス安全拡張プラ ッ ト フ ォ ー ム の基本的概念について説明する。 本発明 にかかるサ一 ビ ス安全拡張プラ ッ ト フ ォ ーム において、 サー ビス は、 従来 のよ う な 〇 S によ っ て直接実行さ れる 、 例えばバイ ナ リ の 実行 フ ァ イ ルではな く 、 O S に対する実行を指示するェ ク セキ ュー夕 によ り 解釈さ れる いわばス ク リ プ ト と して構成 される実行形式 と して構成さ れる 。 そ して、 実行形式は、 A P I 呼び出 し を含み、 所定のサー ビス に対応付け られる

A P I は、 呼び出 し時に、 対応付け ら れたサー ビス に依 存 し た挙動をするサー ビス依存であ る 。 サー ビス依存 A P I は、 含まれる実行形式に対応付け ら れたサー ビス に固有 の リ ソース に対 して処理する。 また、 実行形式か ら リ ソ ー スへのあ ら ゆ る処理は A P I 経 由 に限定さ れ、 かつ、 サー ビス依存 A P I によ り 処理される リ ソ ース に対 して処理 を 行一う—サ—一 ビス依存 K P— Iー以—外の A P Γ は存在一し" い。 ま た 、 実行形式内 に記述する A P I のセ ッ ト は、 全てのサ一 ビ ス に対 し共通に予め用意された も のであ り 、 同一である 。

こ のよ う に構成する こ と によ っ て、 従来における実行フ ア イ ル （あ る い は本発明 における実行形式） の正当性に依 らない新次元の安全性を確保 し、 サー ビス の拡張が可能な 全く 新 し い 「サー ビス安全拡張プラ ッ ト フ ォ ーム」 を創出 する 。 同プラ ッ ト フ ォーム においては、 サー ビスを実現す る実行形式の一例であ る ブラ ウザを動作させる こ とで、 サ —ビス のイ ンス タ ンスであ る コ ンテ ンツが視聴でき る。 コ ンテ ンッの通常の視聴は、 コ ンテ ンツ に含まれる A P I を 逐次的に呼び出 して実現さ れる。 そのため に、 実行形式 （ ブラ ウザ） は、 A P I の一種であ るサ一 ビス依存 A P I を 含んで構成さ れる。 つ ま り 、 コ ンテ ンツの視聴の最中 に、 サー ビス依存 A P I が呼び出 さ れる こ とで、 サービスが拡 張さ れる。 結果、 本発明 にお いては、 サー ビス の拡張は、 ユーザにはコ ンテ ンツの視聴操作の一つ と して見え る。

サー ビス を拡張するュ一ザイ ン夕 フ エ一ス は、 サー ビス 依存 A P I を含む実行形式によ っ て決定される。 実行形式 をサー ビス に対応付ける こ とで、 個々 のサー ビスのそれぞ れに適したユーザイ ン夕 フ エ一ス を利用 してサ一ビスが拡 張でき る 。

サー ビス拡張のユーザイ ン夕 フ エ一ス を、 サービス毎に 最適に構成でき る 。 例え ば、 プッ シ ュ型サー ビス Z蓄積型 放送サー ビス の場合、 同サー ビス の会員の 中で、 特定の会 員のみ加入可能なプレ ミ アムサ一 ビス の契約を、 通常のサ —ピス コ ンーテ —ツ 利用 じてぞの— うプょ—特定 Ό会員の- に対 して勧誘でき る 。 つ ま り 、 目 的な どに応 じてユーザィ ン夕 フ ェース を必要十分にカ ス 夕 マイ ズでき る ので、 よ り 適切且つ強力 にサー ビス の勧誘が出来る。

携帯電話等で利用 される J a v a ア プリ （ i アプ リ 等） に本発明 を適応すれば、 ユーザが購読 してい る サー ビス を 実現する アプリ ケ一シ ョ ンソ フ ト ウ エ ア に、 サー ビス の機 能を拡張する プロ グラム を記述する こ とで、 同サー ビス の 機能拡張 を実現でき る。 例え ば、 スキ ンな どの i アプリ の 機能をプラ グイ ン的 に拡張する操作を i アプ リ 自 身で実現 でき る。

更には、 コ ンテ ンツ内 に含まれる ス ク リ プ ト に条件判断 と して、 問いか けに応答 して受信機の型番ゃ メ 一力 の種別 を表す文字列 を返す A P I を呼び出すよ う に コ ンテ ンツ を 記述する こ とで、 受信機の型番やメ ーカ毎にユーザイ ン夕 フ ェース を変化させる こ とができ る。

また、 デジタル放送における ペイ パー ビュー番組に適応 すれば、 配信コ ンテ ンツ に適切なアルゴ リ ズム記述する こ とで、 おため し無料視聴が可能な期間やチャ ンネルを コ ン テ ンッ に プロ グラ ミ ング したアルゴ リ ズム に よ っ て管理で き る 。 デジタル放送でのペイ パ一 ビュ一番組の場合、 ペイ パ一 ビュ ーのチャ ンネルのデ一夕放送を通 してペイ ゾ\°— ビ ユーの契約ができ る 。 ま た、 デ一夕放送のゲームで高得点 を あ げたュ一ザに対 してのみ安価な料金でサー ビス契約す る と い う よ う な、 契約促進に繋がる 、 ユーザ毎に異なるサ — ビス の提供が可能であ る 。

次に、 —コ—ンテ -ンッ—に、—サ—一一ピ-ス -依存 A P Γが実 Tされる よ う にプロ グラ ミ ン グする こ と によ っ て、 コ ンテ ンツの記 述能力 を損な う こ と な く 、 ユーザがコ ンテ ンツ に対 して所 定の操作を行う こ と によ っ て、 コ ンテ ンツ に関 してシーム レス にサー ビス拡張ができる。 例えば、 W e b ブラ ウザの ！） 1 u g - i n をイ ンス ト 一 ルする場合には、 同 ρ 1 u g - i n のイ ンス ト ールプロ グ ラム を入手する為 に、 同 p 1 u g - i n 開発ベ ンダ一のダ ゥ ン ロー ドページにア ク セスせずに、 コ ンテ ンツの受信時 に P l u g — i n をイ ンス ト 一ル出来る 。 また、 W e b ブ ラ ウザの P 1 u g - i n の商品名 につ いて、 ュ一ザが熟知 してお く 必要はな く 、 「商品 を 3 6 0 度の角度か ら みた動 画」 とい う よ う な、 コ ンテ ンツ本意の説明を選択する だけ で実行でき る。

また、 電子ブッ ク プ レーヤや P D A に適応すれば、 特定 ホームぺ一ジに入っ た時に同ホームぺ一ジで必要 と さ れる 掲示板表示専用 ブラ ウザな どが、 ユーザが気づかない う ち に 自 動的 に使える よ う に準備さ れる機能を提供でき る。 い わば、 コ ンテ ンツ の視聴 とサー ビス拡張に用 い ら れるュ一 ザイ ン夕 フ ェース を シーム レス に構成出来る 。 コ ンテンツ 操作に於ける の と 同 じ操作性のユーザイ ンタ ーフ ェース を 利用 してサー ビス拡張ができ る ので、 ユーザにかかる負担 が小 さ い

次に、 逐次的に実行さ れる A P I と して、 サー ビス依存 A P I を追加する こ と によ っ て、 実行形式を実行させれば 、 サ一 ビス依存 A P I も他の A P I 同様逐次的に実行さ れ る。— 結果 自—動一でーサ ビス の拡 ¾Τを一実一行す一る—ま—う—に実行 式を プロ グラ ミ ン グする こ と も可能であ る。 また、 完全に 自動化する こ とで、 旅行中 の専用サー ビスや無料試用 な ど 、 その時限 り のサー ビス拡張もユーザが無意識の う ち に実 現できる。 例えば、 電子ブ ッ ク プレーヤ一や P D Aの場合、 ページ め く り の際の画面効果をタイ トルに付随し、 そのタイ ト ル で しか使えないプ レ ミ アムなプラ グィ ンと して提供でき る 。 また、 成田空港内のバ一チャ ル施設案内な ど、 その場で しか意味のないサー ビス を 自動で利用 でき る 。

次に、 本発明 においては、 ブラ ウザを終了 した り 、 コ ン テ ンッの視聴 と全 く 異な る使い勝手の手順を踏む こ と な く 、 あ く まで も コ ンテ ンツ の視聴 と 同 じ操作の使い勝手の 中 でサー ビス の拡張が行え る こ と を保証する 。 つ ま り 、 サ一 ビス の拡張のため だけに用意さ れる特別の使い勝手の操作 をユーザに強要する こ とな く 、 ュ一ザが最も慣れてい る で あ ろ う コ ンテ ンツ の視聴 と 同 じ使い勝手で、 ユーザがそれ と特に意識する こ とな く 、 気が付けばサー ビスが拡張さ れ てい る環境を提供する。

例えば、 プッ シュ型サー ビス /蓄積型放送サー ビス の場 合、 ビュー ヮ のバ一ジ ョ ンア ッ プな ら その ビュー ヮ 自体の ア ッ プグレー ド機能、 別のサー ビス の導入な ら W e b ブラ ゥザを起動 してダウ ン 口 一 ド と い っ た複数のユーザィ ンタ フ ェース の作法に慣れてい る必要がな い。

つ ま り 、 コ ンテ ンツ の内容や、 ュ一ザの好みに応じて、 複数のブラ ウザを使い分ける必要のあ る場合に も 、 ユーザ は様々なュ ザィ―ン一タフ ス の異な—る—操—作 生1こ慣れる必 要がない。 それ故に、 不慣れなユーザでも安心 し、 且つ容 易 に、 機能拡張でき る 。 そ して、 視聴装置の出荷後に、 ュ —ザイ ン夕 フ ェースが固定化される こ とな く 、 ユーザの使 い勝手の応 じて、 その操作性を改善出来る 。 更には、 全てに共通するが、 如何な る実行形式 （従来例 でのブラ ゥザに対応） の実行によ っ て も、 他のサー ビスへ の悪影響や、 システム全体のダウ ンを起 こ さ ない、 全 く 新 し い次元の安全性が確保でき る 。

(第 1 の実施の形態）

図 1 、 図 2 、 図 3 、 図 4 、 図 5 、 図 6 および図 7 を参照 して、 本発明 の第 1 の実施の形態 にかかるサー ビス安全拡 張プラ ッ ト フ オ ーム について説明する 。 図 1 に示すよ う に 、 本実施の形態 にかか るサー ビス安全拡張プラ ッ ト フ ォ ー ム S E P 1 は、 サ一 ビス提供源 1 1 0 、 デ リ パ リ シス テム 1 2 0 、 および端末 1 3 0 を含む。

サ一 ビス提供源 1 1 0 は、 端末 1 3 0 が実行すべき新た なサー ピス を実現する ための実行形式を送出する。 デ リ バ リ システム 1 2 0 は、 サー ビス提供源 1 1 0 が送出する情 報を端末 1 3 0 に向けて時間的かつ /あ る い は空間的に移 動させる 。 デ リ ノ、 リ システム 1 2 0 は、 イ ンターネ ッ ト 通 信網、 放送や通信の無線ネ ッ ト ワーク 、 あ る いは、 D V D - R O M ( D i g i t a l V e r s a t i l e D i s k - R e a d O n l y M e m o r y ) な どのパ ッ ケ一 ジメ ディ ァ と物理的な物流システムの組み合わせで構成で きる。

端末 1 3 σ は、一デ―リ一 Α—リ システム Γ 2— 0—経一由 -受け取づ た情報を用 いて、 サー ビス提供源 1 1 0 か ら 提供されたサ 一ビス を実行 して、 実行結果をユーザに提供する。 なお、 図 1 にお いては、 簡便化のため に、 サ一ビス提供源 1 1 0 、 デ リ バ リ システム 1 2 0 、 および端末 1 3 0 のそれぞれ の台数比が 1 ： 1 であ る よ う に表されている。 しか し なが ら 、 台数比は放送の形態に類似 した 1 ： 1 ： c ( c は 任意の 自 然数） や、 イ ン夕一ネ ッ ト な どの a ： 1 ： c ( a は任意の 自 然数 ) や、 あ る い は複数のデ リ バ リ システム を 持つ場合の a ： b ： c ( b は任意の 自 然数） であっ て も よ い。 こ の よ う な 般化は以下に述べる全ての実施の形態 にお いて 当 てはま る

サ一ビス提供源 1 1 0 は、 実行形式提供器 1 1 1 、 サ一 ビス識別設定器 1 1 2 、 ね よび送出器 1 1 3 を含む。 実行 形式提供器 1 1 1 は、 サー ビス を実現する実行形式を格納 し、 必要 に応 じて出力する。 この実行形式は、 イ ン夕一ネ ッ 卜 で用 い られる H T M L 言語 （ H y p e r T e x t M a r k u p L a n g u a g e ) や、 日 本のデジ夕ル放送 のデー夕 放送で用 い られる B M L 言語 （ B r o a d c a s t M a r k u P L a n g u a g e ) な どの、 S G M L ( S t a n d a r d G e n e r a 1 i z e d M a r k u p L a n g u a g e ) / X M L ( e X t e n s i b 1 e M a r k u P L a n g u a g e ) 系のマ一ク ァ ッ プ 言語や、 仮想マ シ ン上で動作する J a v a ( X ) S PP' 、 あ る い は機械語な どでよ い。 ただし、 実行形式は、 後述する 端末 1 3 0 に備え ら れたェク セキュ一夕 を介 して、 端末 1 3 0 のひ s-に一対一して渡—されで実行さ-れ一る—一よ一う に構成さ-れ一る一 サー ビス識別設定器 1 1 2 は、 実行形式提供器 1 1 1 の 出力する 実行形式 D E に対して、 実行形式 D E の属性等の 副次的な事項を表す付随情報 I S を生成する と共に実行形 式 D E に付与 して識別化実行形式 D E i を生成する 。 付随 情報 I S は、 対応する実行形式 D E が実現するサー ビス と を対応付ける情報であ るサービス識別情報 E s と、 その実 行形式 D E の使用条件、 使用状態、 お よび対応するサ一 ビ ス 内容な どの情報を表す副次情報 ひ を含む。 サー ビス識別 情報 E s は、 例えば、 重複 しない数字であ る I Dや名称な どでよ い。 副次情報 α はテキス 卜 で も コー ド で も よ い。 ま た、 識別化実行形式 D E i は、 実行形式 D E と付随情報 I S を一体的に生成 して も よ い し、 互い に独立 して生成 して も よい。 本実施の形態にお いては、 視認性を考慮 して付随 情報 I S は独立 して生成さ れる場合を例に説明する 。

送出器 1 1 3 は、 サー ビス識別設定器 1 1 2 か ら 入力 さ れる識別化実行形式 D E i (実行形式 D E および付随情報 I S ) をデ リ バ リ シス テム 1 2 0 に送出する 。 こ の送出 を 実現する伝送モデルは、 いわゆ る プル型およびプッ シュ型 の何れで も よ い。

プル型 と は、 イ ンタ ーネ ッ 卜 のホ一ムページ閲覧に用 い ら れる伝送プロ ト コ ルであ る H T T P ( H y e r T e x t T r a n s p o r t P r o t o c o l ) な どで見 ら れる よ う に、 受信側であ る端末 1 3 0 か ら の要求 （ d e m a n d ) に基づき送出する伝送モデルであ る 。 また プッ シ ーュ型 と は、— デジータル放送の伝送に甩レ ^ら^ I一る -伝送プ口 =r ルであ る D S M — C C ( D i g i t a l S t o r a g e

M e d i a C o m m n d & C o n t r o l ) テ 一夕カルーセルな どで見 ら れる よ う に、 受信側の要求に関 わ らず所定のタイ ミ ングで送出側か ら 送出する伝送モデル であ る

端末 1 3 0 は、 ダゥ ン ロ ーダ 1 3 1 、 識別化実行形式格 納器 1 3 2 、 ェク セキュ一夕 1 3 3 、 リ ソースセ レク タ 1 3 4 、 般 リ ソース管理器 1 3 5 、 およびサー ビス依存 リ ソ ース 理器 1 3 6 を含む。 ダゥ ン ロ —ダ 1 3 1 は、 デ リ パ リ シス テム 1 2 0 か ら伝送さ れて く る、 識別化実行形式 D E i 実行形式 D E および付随情報 I S ) を受信 し、 受 信 した 別化実行形式 D E i を識別化実行形式格納器 1 3 2 に書 込む と共に、 識別化実行形式 D E i か ら付随情報 I S を抽出 してサー ビス依存 リ ソ ース管理器 1 3 6 に出力 する 。 付随情報 I S は、 上述の よ う にサ一 ビス識別設定器 1 1 2 で Β又 / さ れたサ一 ビス識別情報 E s を含む。 ダウ ン ロ ーダ 3 1 は、 送出器 1 1 3 と デリ バ リ シス テム 1 2 0 で実現さ れる 送モデルに整合 してお り 、 プッ シュ型で も プル型で も実施可能である 。

識別化実行形式格納器 1 3 2 は、 ダゥ ン ロ ーダ 1 3 1 に よ り 書 込まれた識別化実行形式 D E i (実行形式 D E お よび付随情報 I S ) を格納する 。 また、 識別化実行形式格 納器 1 3 2 は、 要求に応じて格納 した識別化実行形式 D E i をェク セキュ一タ 1 3 3 に出力する 。 識別化実行形式格 納器 1 3 2 は八一 ドディ ス ク ド ライ ブ ( H D D ) や D V D 一 R A M ¾rど -の,己-録媒体や、-フ ラーツーシーュメ—モ I や R: A M一な一 どの半 体メ モ リ を用 いて構成できる

図 2 、 本実施の形態におい C 、 別化実行形式 D E i が識別化実行形式格納器 1 3 2 に格納される様子を示す。 同例 にお いて、 サ一 ビス S 1 、 サー ビス S 2 乃至サー ビス 対行識形次かスにをらら

S n ( n は任意の 自 数） に関 して 、 識別化実行形式 D Ε ( S 1 ) はサ一 ビ S 1 に対応 し、 識別化実行形式 D Ε ( S 2 ) はサ一 ビ S 2 に対応 し、 識別化実行形式 D Ε ( S n ) はサ一 ビ S η に対応する。

そ して 、 識別化実 形式 D E i ( S 1 ) は 、 それぞれサ ビス S 1 に対応す 廿一 ビス識別情報 E s ( S 1 ) と副 行付式別識スススれスる区 S <

情報 α 1 か ら成る 随情報 I S ( S 1 ) と 実行形式 D Ε 含む。 具体的 には 廿一 ビス識別情報 E s ( S 1 ) が実 形式 D E とサ― ビス S 1 と を対応付けてい る 。 同様 V 、 別化実行形式 D E ( S 2 ) は、 それぞれサー ビス S 2 対応するサ一 ビス 別情報 E s ( S 2 ) と副次情報 a 2 ら 成る付随情報 I ( s 2 ) と実行形式 D E を含む。 さ に、 識別化実行形 D Ε i ( S n ) は、 サ一 ビス S n に 応するサー ビス識 情報 E s ( S n ) と副次情報 α n 成る付随情報 I S S η ) と実行形式 D E を含む。 実行 式 D E はサー ビス 別情報 E s ( S n ) に よ っ てサ一 ビ S 2 に対応付け ら てい る 。

サー ビス を個々 に 別する必要のない場合 、 識別化実行 形式 D E i はサ― ビ 識別情報 E s お よび副次情報 α か ら 成る付随情報 I S と 行形式 D E で構成さ れる と表現する そ して +}-一 ピス を個々 に区別する必要の あ る場合は、 別化実行—形—式- Γ> ΊΕ （ S o ば、 サ一-ビス識別情報 E一 s -

( S o ) お よび副次 報 α o か ら成る付随情報 I S ( S o

) と実行形式 D Ε で 成される と表現する 。 なお、 ο は n 以下の任意の 自然数であ る

図 1 に戻 っ て、 ェ クセキユー夕 1 3 3 は、 識別化実行形 式格納器 1 3 2 か ら入力 さ れる識別化実行形式 D E i に含 まれる実行形式 D E を解釈 してサー ビス を実行する。 ただ し、 識別化実行形式格納器 1 3 2 に格納さ れた識別化実行 形式 D E i に含まれる実行形式 D E は、 ェ ク セキュ一夕 1 3 3 以外では端末 1 3 0 内で解釈実行される こ とはな い特 徴を有 してい る こ と は上述の通 り であ る。 ェク セキュ一夕 1 3 3 は、 また、 ユーザか ら のキーポ一 ドゃポイ ンティ ン グデバイ スや音声入力デバイ ス と い っ た入力デバイ ス か ら の入力 I u や、 G U I の画面表示や音声出力な どの 出力デ バイ ス への出力 、 と い っ た対話処理を実行形式 D E に基づ いた手順で実現する 。

ェク セキュー夕 1 3 3 は、 実行形式 D E が J a v a ( R ) 言語やマーク ア ッ プ言語であれば仮想マ シ ンや、 一般に はブラ ウザ と呼ばれる実行環境でよ い。 ま た、 実行形式 D E が機械語であれば、 それを実行させる ため の 〇 S に付属 する ライ ブラ リ な どの ミ ドルウ ェ ア群な どであ る。

ェク セキュータ 1 3 3 は、 実行形式 D E を解釈実行 して い く 際に、 実行形式 D E に A P I ( A p p 1 i c a t i o n P r o g r a m I n t e r f a c e ) 呼び出 し C a p i が含まれて いる場合には、 リ ソースセ レ ク タ 1 3 4 を 経 由 して一般 リ ソース管理器 1 3 5 も し く はサー ビス依存 y ソース管理器- 1 -3 6 に対七で A- P I -呼--出 - Ci V r を発 ί亍 して、 処理の実行を要求する。 また、 ェク セキュ一夕 1 3 3 は、 現在実行 してい る実行形式 D Ε に対応付け ら れたサ 一ビス識別情報 E s をサー ビス依存 リ ソース管理器 1 3 6 に通知する 。 リ ソースセ レク 夕 1 3 4 は、 ェク セキュ一夕 1 3 3 か ら 発行された A P I 呼出 C a p i に基づいて、 一般 リ ソース 管理器 1 3 o お よびサ一 ビス依存 リ ソース管理器 1 3 6 の 何れに対して、 A P I 処理が要求さ れてい る のかを判断す る。 そ して、 要求されてい る と判断 さ れてい る方に、 A P

I 呼出 C a P i を伝達する 。 なお、 A P I 呼出 C a p i に は、 一般リ ソース管理器 1 3 5 が処理すべき一般の A P I

(以後、 「一般 A P I 」 と呼ぶ ) と 、 サー ビス依存 リ ソ一 ス管理器 1 3 6 が処理すべき A P I (以降、 「サ一 ビス依 存 A P I 」 ) と に分類さ れる。

リ ソース とは、 端术 丄 3 0 がェク セキュ一夕 1 3 3 を経 由 して、 参照、 変更、 あ る いは制御可能なあ ら ゆる計算機 資源を言う 。 すなわち 、 R A Mへの 1 次記録器ゃ H D D な どの 2 次記録器に格納されるデ一夕構造、 制御可能な入出 力デバィ ス に対する ァ クセス権 と具体的な入出力制御、 お よび通信制御な どが含まれる 。 これ ら リ ソ ース の う ち 、 他 のサー ビス への影響を与え る こ とな く 処理可能な リ ソ 一ス を一般 リ ソ ース と し、 サ— ビス毎に存在 し、 かつサ一ビス の拡張の際 に処理が必要な リ ソ —ス をサー ビス依存 リ ソ一 ス と定義する。 そ して、 一般 リ ソース に対する A P I を一 般 A P I と し、 サ一ビス依存 リ ソース に対する A P I をサ ビス-依 -存 -A P - i と定義する -。

さ ら に、 2 つ の A P I と 同一の リ ソ ース と の関係に例 を おいて説明する 。 そ して、 一方の A P I は リ ソ ース を参照 して他のサ一ビス に影響 しないが、 他方の A P I は リ ソ一 ス を変更して他のサー ビス に影響を及ぼす と想定する し の場合、 前者が一般 A P I に対応 し、 後者がサー ビス依存

A P I に対応する。 しか しなが ら 、 説明の簡便化のために

、 参照のための リ ソース と変更のため の リ ソース とがそれ ぞれ独立に存在する と見な して、 前者 と後者の内容が整合 されている と捉えて説明する 。

サー ビス依存 A P I の具体例 と しては、 サー ビス の利用 状態を変更する 関数 （以後、 「サ一 ビス利用状態操作関数

」 と称する） な どが考え ら れる 。 サー ビス利用状態操作関 数によ っ て、 利用者が端末 1 3 0 で個別のサー ビス を利用 する のか しないのか を指定 し、 サ一 ビス を提供する 際に端 末 1 3 0 が行 う べき処理の起動 と停止な ど を制御する 。 具 体的に は実行形式 D E あ る いは識別化実行形式 D E i の内 部データ の初期化や必要な情報の受信な どの前処理や、 デ リ バ リ シス テム を経由 したサー ビス提供部に対するサー ビ ス利用契約の締結、 課金、 およびユーザ登録な どであ る。

一方、 一般 A P I の具体例 と しては、 端末受信部 1 3 0 の画面表示やキーポ一 ド入力 と い っ た入出力デバイ スへの 操作や、 R A Mへ の一時記憶や H D D への 2 次記憶に対す るデー タ の読み書きな どがあ る 。 ただ し、 一般 A P I の リ ソ ースであ る画面表示を例 に した場合に、 複数のサー ビス に対応する画面表示が同時に出現する 際には、 サー ビス間 で競合 発生—す—るて と も考え ら—れ一る—。 一し , しながら—、一本実- 施の形態においては、 実際には同時には 1 つのサー ビス の みが画面を 占有する と い う 制約を一般 リ ソ ース管理器 1 3 5 や A P I の呼び出 し方法な どで実現すれば、 あ ら ゆ る実 行形式 D E に対 して も実際には競合が発生 しない。 一般 リ ソース管理器 1 3 5 は、 一般リ ソース を格納およ び管理する。 一般リ ソース管理器 1 3 5 は、 さ ら に、 リ ソ —スセ レク タ 1 3 4 か ら入力 さ れる A P I 呼出 C a p i に 基づいて、 一般 リ ソース への参照や操作な どを行 う 。 例え ば、 画面描画の A P I が呼び出 される と画面描画行 う 一般 リ ソースであ る グラ フ ィ ッ ク 表示デバイ ス に対 して命令を 発する 。

サー ビス依存 リ ソース管理器 1 3 6 は、 サー ビス依存 リ ソ ース を格納お よび管理する 。 リ ソ ースセ レク タ 1 3 4 か ら 入力 さ れる A P I 呼出 C a p i に基づいて、 サー ビス依 存 リ ソ ース R S への参照や操作な どを行う 。 また、 ダウ ン ロ ーダ 1 3 1 か ら入力 さ れる付随情報 I S に基づいて、 サ 一ビス依存 リ ソ ース R S の管理処理を行 う 。

図 3 を参照 して、 サー ビス依存 リ ソース管理器 1 3 6 に 格納さ れるサー ビス依存 リ ソ 一ス R S を管理する ため に生 成さ れるサー ビス依存 リ ソース管理テーブル T r s につ い て説明する。 同図 に例示する よ う に、 サー ビス依存 リ ソー ス管理テーブル T r s は、 少な く と も、 n 種類のサー ビス 3 1 〜 3 11 を表す複数の行 1^ 1 〜 1^ 11 と、 サー ビス S 毎の 利用状態を表す 2 列 C 1 および C 2 か ら マ ト リ ッ ク ス状に 構成さ れる データ べ一ス であ る 。 具体的には、 同 図 にお い て行 L T がザ一—ヒース— S 1 に対応 じ、一行— L— 2 が—サ^ "—ビス s— に対応 し、 行 L n がサー ビス S n ( こ の場合、 n は 3 以上 の 自然数） に対応 してい る。 そ して、 列 C 1 はサー ビス識 別情報 E s に対応 し、 列 C 2 は利用状態に対応する。

なお、 よ り 具体的に言えば、 列 C 1 および列 C 2 の値は 、 それぞれ図 2 に模式的に表 したよ う に、 サー ビス識別情 報 E s ( S n ) の S n および副次情報 α η に基づいて決定 されて書き込まれる。 図 3 に示す例においては、 行 L 1 に 示さ れるサ一ビス S 1 は 「未利用」 であ り 、 行 L 2 に示さ れるサ一 ビス S 2 は 「利用」 状態であ り 、 行 L η に示さ れ るサ一ビス S η は 「利用」 状態であ る こ とが分か る 。 こ の よ う に行 L 1 〜 ： L n のそれぞれは、 異な るサー ビス S l 〜 S n のサ一 ビス を識別する情報を蓄え る ため に設け られて い る 。 こ の意味にお いて、 行 L l 〜 L n (行 L o ) をサー ビス識別行 と呼ぶ。

次 に、 新たなサー ビス識別行を追加する 際の動作につ い て説明する 。 ダウ ン ロ ーダ 1 3 1 は、 サー ビス （識別化実 行形式 D E i ) を受け取る と 、 識別化実行形式格納器 1 3 2 に格納さ れてい る実行形式 D E が対応するサー ビス依存 リ ソ ース R S を規定するサー ビス識別行がサー ビス依存 リ ソ 一ス管理テーブル T r s に追加 さ れる 。 これ ら の処理に よ っ て、 自 動的 にサー ビスが端末 1 3 0 に導入される こ と によ っ て、 新サ一 ビスがサー ビス依存 リ ソ ース管理器 1 3 6 で登録 - 管理さ れる 。

以下に、 図 4 を参照 し て、 サー ビス依存 リ ソース管理器 1 3 6 によ る新サー ビス の登録管理ルーチ ンの動作につ い て説明す—る-。 噺—たなサ ゼスに対—応する識別化実行— 式— D - E i (実行形式 D E および付随情報 I S ) は、 サー ビス提 供源 1 1 0 か ら端末 1 3 0 に送出 さ れて、 先ずダウ ン口 一 ダ 1 3 1 に入力 される 。 ダウ ン ロ ーダ 1 3 1 は、 識別化実 行形式 D E i か ら付随情報 I S を抽出 して、 サー ビス依存 リ ソ一ス管理器 1 3 6 に出力する。 そ して、 サービス依存 リ ソース管理器 1 3 6 においては、 付随情報 I S が入力 さ れて時点で、 本ルーチンの動作が開始される 。

そのため 、 ステ ッ プ S 5 0 2 において、 付随情報 I S が サー ビス依存 リ ソース管理器 1 3 6 に入力 さ れてい るか否 かが判断さ れる 。 入力 さ れていない場合、 N o と判断さ れ て、 本ステ ッ プにお ける処理が繰 り 返される 。 一方 Y e s の場合、 処理は次のステ ッ プ S 5 0 4 に進む。 つま り 、 サ —ビス依存 リ ソース管理器 1 3 6 は、 ダウ ン ロ ーダ 1 3 1 か ら 付随情報 I S を受け取る まではサイ ンサー ビス の登録 管理処理は、 実質的に開始さ れない。

ス テ ッ プ S 5 0 4 にお いて、 ステ ッ プ S 5 0 2 で受け取 つ た付随情報 I S のサー ビス識別情報 E s が示すサー ビス S が、 サー ビス依存 リ ソ ース管理器 1 3 6 に格納さ れてい るサ一 ビス依存 リ ソース管理テーブル T r s に既に登録さ れてい る か否かが判断さ れる 。 含まれない、 つ ま り 、 未登 録サ一 ビス であ る場合は、 N o と判断されて、 処理は次の ステ ッ プ S 5 0 6 に進む。

ス テ ッ プ S 5 0 6 にお いて、 サ一 ビス依存 リ ソース管理 器 1 3 6 において、 サー ビス依存 リ ソ ース管理テー ブル T r s に新サー ビス に対応する新サー ビス識別行 （ L n + 1 ) -が追記さ れ ¾條 図 3 -に すサ一ゼス依存-リ-ツ-一ス 管理テーブル T r s を例 と して説明する。 サー ビス依存 リ ソース管理テーブル T r s には、 既にサー ビス S l 〜 S n までが登録さ れてい る ので、 新たなサー ビス S ( n + 1 ) を登録する ため に、 サー ビス識別行 L ( n + 1 ) が追加 さ れる。 そ して、 処理は次のステ ッ プ S 5 0 8 に生成さ れる ステ ッ プ S 5 0 8 において、 新たに受領 した付随情報 I S に含まれるサー ビス識別情報 E s に基づいて、 行 L ( n + 1 ) 列 C 1 にサー ビス S ( n + 1 ) を識別する値であ る S ( n + 1 ) が記入される。 そ して、 処理は次のステ ッ プ S 5 1 0 に進む。

ステ ッ プ S 5 1 0 において、 サ一 ビス依存 リ ソース管理 テーブル T r s に追加された行 L ( n + 1 ) 列 C 2 の利用 状態の欄に 「未利用」 が記入さ れる 。 これは、 新規サー ビ ス （識別化実行形式 D E i ) が受信さ れた際の初期状態 と しては、 「未利用」 を設定する よ う に してい る か ら であ る 。 しか しなが ら 、 初期状態が 「利用」 であ っ た り 、 一定期 間の間デモ と して試用する な どの設定に して も よ い し 、 ま た、 こ れ ら の初期状態の何れを採るか示す情報を、 付随情 報 I S (副次情報 α ) と してサー ビス識別設定器 1 1 2 に よ っ てサ一 ビス毎に与えて も よ い。 本ステ ッ プの処理の終 了後、 本ルーチ ンを終了する。

一方、 上述のステ ッ プ S 5 0 4 において、 Y e s 、 つ ま り 含まれる と判定さ れた場合、 上述のステ ッ プ S 5 0 6 、 ステ ッ プ S 5 0 8 お よびステ ッ プ S 5 1 0 をスキ ッ プして 、 - ; φτル一 >における処- &を終了す-る。- すな ち-、 -ダウシ ローダ 1 3 1 が受け取っ たサー ビスが既に導入されてい る サー ビスであ る場合には、 サー ビス登録は不要であ る ので 、 本ルーチ ンの処理が直ち に終了 される。

次に、 図 5 を参照 して、 端末 1 3 0 によ るサー ビス実行 ルーチンの動作 ついて説明する 。 具体的には、 端末 1 3

0 において、 ェク セキュ一夕 1 3 3 が呼び出す A P I に対 する実行形式 D E が実行さ れる こ と に よっ て、 サ一 ビス実 行が実現さ れる つ ま り 、 ェク セキュ ー夕 1 3 3 が識別化 実行形式格鈉器行行るヅ 1 3 2 か ら入力 さ れる識別化実行形式 D E i に含まれる実 形式 D E を実行させるため に、 A P I 呼 出 C a P i を発 した時点で、 本ルーチン にお ける実質的 処理が開始され

よ つ て、 ステ プ S 5 1 2 にお いて、 リ ソースセ レ ク タ 1 3 4 によ つ て ェク セキュー夕 1 3 3 か ら発行さ れた A P I 呼出 C a ρ に基づいて、 呼び出 された A P I がサ一 ビス依存 A P I であ る か否かが判断さ れる 。 サー ビス依存 A P I であれば Y e s と判断さ れて、 処理は次のス テ ツ プ S 5 1 4 に進む

ステ ッ プ S 5 1 4 において、 サー ビス依存 リ ソース管理 ¾ff 1 6 に よ つ て、 現在実行 してい る 実行形式 D E に対応 付け ら れたサ一ビス のサー ビス識別情報 E s を、 ェク セキ ユ ー夕 1 3 3 か ら得る 。 そ して、 処理は、 次のステ ッ プ S 5 1 6 に進む。

ステ ッ プ S 5 1 6 にお いて、 サー ビス依存 リ ソース管理 器 1 3 6 に よ つ て、 A P I 呼出 C a p i が処理対象 と して す -るサ一一ビス依存リ—ソ—^ス -R S がヽ— ステヅーナ S— 5—1 一 4 で検出 さ れた現在実行中 の実行形式 D E に対応するサー ビ ス に対応するか否かが判断される 。 実行中 の実行形式 D E に対応するサ一ビス に対応する場合は、 Y e s と判断され て処理は次のス テ ツ プ S 5 1 8 に進む。 ステ ッ プ S 5 1 8 にお いて、 サ一 ビス依存 リ ソース管理 器 1 3 6 によ っ て、 サー ビス依存 リ ソ ース に対するサー ビ ス依存 A P I の処理が行なわれる 。 そ して、 本ルーチ ン に おける処理は終了 さ れる

一方、 上述のステ ッ プ S 5 1 2 にお いて、 N o 、 つ ま り サー ビス依存 A P I ではない （すなわち一般 A P I であ る ) と判断さ れる場合、 処理はステ ッ プ S 5 2 0 に進む。

ステ ッ プ S 5 2 0 にお いて、 一般 リ ソース管理器 1 3 5 によ っ て、 一般リ ソ ース に対 して処理が行われる 。 そ して 、 本ルーチ ン にお ける処理は終了 さ れる 。

さ ら に、 上述のステ ッ プ S 5 1 6 にお いて N o 、 つ ま り 実行中の実行形式 D E に対応するサ一 ビス に対応 しない場 合、 処理はス テッ プ S 5 2 1 に進む。

ス テ ッ プ S 5 2 1 において、 エ ラ一処理が行われた後に 、 本ルーチ ンが終了 される。 こ の よ う に、 実行中 の実行形 式 D E が対応 してい るサ一 ビス （ S 5 1 2 で Y e s ) であ つ て も、 操作不可能 （ S 5 1 6 で N o ) なサ一 ビス依存 リ ソース に対する A P I 処理を許可 しないよ う に設定 してい る。

言い換えれば、 本実施の形態にお いては、 実行中 の実行 形式 D E に対応付け ら れたサー ビス に関するサー ビス依存 リーソ—一スの-みが操作可 1^と 定 れる。一 こ y†cめ一、 実行形 式 D E によ っ て如何なる A P I 呼び出 し を発行させて も、 サー ビス依存 リ ソース管理器 1 3 6 は他のサー ビス に対す る参照や操作 を排除でき る。 つ ま り 、 他のサー ビス に対す る参照や操作 を行 う よ う なサー ビス の実行形式 D E が入力 さ れても 、 ス ッ プ S 5 1 6 を経てステ ッ プ S 5 2 1 でェ ラー処理が行われて、 そのよ う な参照や操作を防止する と 共に、 そ の う な要求を検出でき る

上述の よ う 、 本実施の形態にお いては、 ステ ッ プ S 5

1 2 に お いて リ ソ一スセ レク 夕 1 3 4 に よ つ て、 サー ビ ス依存 リ ソ一ス に対する処理はサー ビス依存 A P I でのみ 操作でき る様に規制さ れてい る。 これにつ いて、 図 6 に示 すサービス安 拡張プラ ッ 卜 フ ォ ーム S E P 1 の端末 1 3 0 の ソ フ 卜 ゥ ェ ァ階層 を参照 して説明する 。

図 6 に示すよ う に、 サ一 ビス安全拡張ブラ ッ 卜 フ オ ーム S E P 1 の端末 1 3 0 をソ フ 卜 ゥェァ構成か ら見れば、 最 下層 に基本ソ フ 卜 ゥ ェ ァであ る O S に よ り 実現される 〇 S 層が存在する そ して、 〇 S 層 の直上に、 それぞれ一般 リ ソース管理器 3 5 、 サー ビス依存 リ ソース管理器 1 3 6 、 お よび識別化実行形式格納器 1 3 2 を機能させる一般 リ ソース管理ソ フ 卜 ヴ ： ァ、 サ一ビス依存 リ ソ ース管理ソ フ 卜 ウ ェア 、 ¾よび識別化実行形式格納ソ フ ト ウ ェア を有す る。 そし て、 般 リ ソ—ス管理ソ フ 卜 ウ ェ アおよびサー ビ ス依存 リ ソ一ス管理ソ フ 卜 ゥ エ ア の直上には リ ソ一スセ レ ク タ 1 3 4 を機能させる U ソ—スセ レク 卜 ソ フ 卜 ゥ エ ア を 有する。 これ ら の、 一般 リ ソ ース管理ソ フ ト ウ ェ ア 、 ^j" ^%— ビス依存 ソ ス- 理-ソフート ウ ェ ア、 1ナソ-一スセレク-卜 ッ フ 卜 ゥェ ァ、 および識別化実行形式格納ソ フ 卜 ク ェ ァ は、 ミ ドルゥ ェァ層 を構成する。

ミ ドルゥェ ァ層の リ ソースセ レ ク 卜 層の直上には、 ェク セキュー 夕 1 3 3 を機能させるェク セキュー ト ソ フ ト ウ ェ ァ （ェク セキュータ） が位置 し、 識別化実行形式格納ソ フ ト ウ エ ア の直上に はダウ ン ロ ーダ 1 3 1 を機能させる ダウ ン ロ ー ド ソ フ ト ウ ェ ア （ダウ ン口 一ダ） が位置してい る。 そ して、 これ ら のェク セキュー 卜 ソ フ ト ウ ェ ア とダウ ン 口 ー ド ソ フ ト ウ ェ ア は共に、 ア プリ ケーシ ョ ン層 を構成 して い る 。

そ して、 アプ リ ケーシ ョ ン層のェク セキュー ト ソ フ ト ゥ エ ア の直上には、 各サ一 ビス S l 〜 S n を実行するサ一 ビ ス S l 〜 S n 実行形式が位置 して、 コ ンテ ンツ層 を構成 し てい る 。

こ の よ う に、 図 6 に示される ソ フ ト ウェア構成か ら 明 ら かなよ う に、 サー ビス安全拡張プラ ッ ト フ オ ーム S E P 1 にお いては、 サ一 ビス の実行形式 D E は リ ソ ースセ レ ク タ 経由 の A P I 呼び出 した リ ソ ース を参照、 あ る いは操作 し た り できない。 よ っ て、 サー ビス依存 リ ソース に対 しては 、 サー ビス依存 A P I を呼び出す こ とが必須であ る ので、 サー ビス依存 リ ソ ース管理器 1 3 6 を経 由 しなければ参照 した り 操作 した り できない。

次に、 図 7 に示す、 サー ビス安全拡張プラ ッ ト フ ォ ーム S E P 1 によ っ てュ一ザに提示さ れる画面例 を参照 して、 新た に追加 さ れたサー ビス を実際に利用する状態に変更す る際の一動一作一につ い一て簡単に！ ^明す一る '_α 図 7—には、一実一行一形一式 D Ε によ り 表示さ れる新規サービス利用 開始の是非をユー ザに問い合わ る画面の一例が示さ れてい る。

画面 S Mは、 新たなサー ビスであ る 「マイ · ニュース · サー ビス」 を実現する実行形式 D E をェクセキュー夕 1 3 3 で実行する こ とで提示さ れる画面の 1 例であ る。 画面 S M上にはサー ビス の利用 を宣言する ポタ ン B Y と、 利用 し な い こ と を宣言するポタ ン B Nが配置されてい る 。 ユーザ は、 入力デバイ ス を操作 してポタ ン B Y を選択する と こ の サービス の利用が開始される 。

こ こでポタ ン B Yが選択さ れた場合の動作につ いて説明 する。 ポタ ン B Y には、 サー ビス の利用 を開始を宣言する サー ビス依存 A P I を起動する様に実行形式 D E 中に プロ グラ ミ ン グさ れてい る 。 こ のためポタ ン B Yが選択さ れる と リ ソースセ レク タ 1 3 4 を経由 してサー ビス依存 A P I がサー ビス依存 リ ソース管理器 1 3 6 に届き、 サー ビス依 存 リ ソース管理テーブル T r s に記載されてい るサー ビス 依存 リ ソ ース R S に該当するサー ビス の利用状態の欄の値 を 「利用」 に書き換え る 。

なお、 図 7 に示す例では、 サー ビス の単純な利用 開始に つ いて述べたが、 サー ビス提供部に対するサー ビス利用契 約の締結やユーザ登録、 あ る い は蓄積型のデータ放送にお ける視聴前の事前の 自 動蓄積処理開始な ど も 同様に実施可 能であ る 。

このよ う に、 サ一 ビス の使用 Z未使用 の状態遷移な ど、 サー ビス に関する操作をサー ビス 自 身の実行形式 D E によ 一つてュ ザと を—行うて—とが可能 と る 。 さ--ら に、 如 何なる悪意を持っ た実行形式 D E を他のサー ビスが実装さ れた場合であ っ て も、 サー ビスやプラ ッ ト フ オ ームに対す る 、 誤動作やハ ングア ッ プに代表さ れる、 あ ら ゆ る悪影響 を排除でき る 。 上述の よ う に、 本発明の第 1 の実施の形態にかかるサー ビス安全拡張プラ ッ ト フ オ ーム S E P 1 においては、 実行 形式 D E に不正な処理 を引 き起 こすコ ー ドが含まれていな い こ と を実行形式 D E の配布元の身元の確か ら し さ か ら 類 推する よ う な不確実な安全性ではな く 、 どの様な実行形式 D E を想定 して も他のサ一 ビスやプラ ッ ト フ ォ ーム 自体に 対する不正な処理の影響を引 き起 こ さ ない、 完全な安全性 を、 サー ビス の拡張性 を保っ たま まで確保でき る 。

(第 2 の実施の形態）

以下に、 図 8 、 図 9 、 および図 1 1 を参照 して、 本発明 の第 2 の実施の形態にかか るサー ビス安全拡張プラ ッ ト フ オ ーム につ いて説明する。 図 8 に示すよ う に、 本実施の形 態にかか るサ一 ビス安全拡張プラ ッ ト フ オ ーム S E P 2 は 、 図 1 に示すサー ビス安全拡張プラ ッ ト フ ォ ーム S E P 1 におけるサー ビス提供源 1 1 0 がサー ビス提供源 2 1 0 に 変更され、 端末 1 3 0 が端末 2 3 0 に変更さ れてい る 。

サー ビス提供源 2 1 0 は、 サー ビス提供源 1 1 0 にお け るサー ビス識別設定器 1 1 2 がメ タサー ビス指定器 2 1 2 に交換さ れてい る 。 端末 2 3 0 は端末 1 3 0 における ェク セキュー夕 1 3 3 がェ クセキュー夕 2 3 3 に交換さ れる と 共 に、 リ ソースセ レク タ 1 3 4 とサー ビス依存 リ ソース管 理器 1- 3 6 -との間 にメタサ一ビス, 器- 2 3 が新た-に設 け ら れてレ る。

端末 2 3 0 は、 第 1 の実施の形態における端末 1 3 0 の ダウ ン ローダ 1 3 1 がダウ ン ローダ 2 3 1 に置き換え ら れ 、 識別化実行形式格納器 1 3 2 が識別化実行形式格納器 2 3 2 に き換え ら れ、 ェクセキユータ 1 3 3 がェク セキュ 一夕 行サ Dカる E 2 3 に置き換え ら れる と共に、 リ ソ ースセ レク タ 1 判サビ 3

3 4 と — ビス依存 リ ソース管理器 1 3 6 と の間にメ 夕サ ― ビス 定 2 ύ 4 が新たに設け ら れてい る。

サ ス提供源 2 1 0 において、 メ 夕サー ビス指定器 2 1 2 は 上述のサ一ビス識別設定器 1 1 2 にメ タサ一 ビス 指定 生成機能が付与されてい る。 つ ま り 、 メ タサー ビ ス指 2 1 2 は -—ビス識別設定 1 1 2 と 同様に、 実行形式 D Ε の属性等の副次的な事項を表す付随情報 I S を生成する と共に、 メ 夕サー ビス に対応付ける実行形式 D E を指定する メ タ サ一 ビス指定情報 I S mを生成する 。

メ 夕サ一ビス と は、 上述のサ — ビス の一種であ る が、 実 ュ ザの利用するサ— ビス の利用 開始 Z終了な どのサ 一ビス の機能 Ζ諸元の変更ゃ新規サ一 ビス の追加 と レゝ つ た サ一ビス の拡張を行う こ と ができる唯一のサー ビス であ り

、 サ ビス の拡張 を 目 的 と して存在する も のであ る 。 こ の 意味に いて、 本明細書においては上述の第 1 の実施の形 態にかか るサー ビス S o と、 本実施の形態 にお ける メ タサ ― ビス S m e t a を区別 して説明する

付 報 I S が実行形式 D E に付与されて識別化実行形 式 D が生成さ れ、 メ タサー ビス指定情報 I S mが実行 形一式 Έ '\ 付与さ れてメ一夕一サ—一ービス実行形式 Er E-ra 、生成 され つ ま り 、 メ 夕サ一ビス指定器 2 1 2 か ら は、 識別 化実 形式 D E i と メ タサー ビス実行形式 D E mが混在 し て出 さ れる 。 そ して、 これ ら の識別化実行形式 D E i と メ 夕 ビス実行形式 D E mは、 送出器 1 1 3 およびデ リ バ リ システム 1 2 0 を介 して端末 2 3 0 に入力 される。 そ して、 端末 2 3 0 のダウ ン ローダ 2 3 1 に よ っ て、 識別化 実行形式 D E i と メ タサー ビス実行形式 D E mは識別化実 行形式格納器 2 3 2 に出力 される。 そ して、 ダウ ン ローダ 2 3 1 は識別化実行形式 D E i か ら付随情報 I S を抽出 し 、 メ タサー ビス実行形式 D E mか ら メ タサー ビス指定情報 I S mを抽出 して、 それぞれをサー ビス依存 リ ソース管理 器 2 3 6 に出力する 。

図 9 に、 メ タサー ビス指定器 2 1 2 か ら 出力 された識別 化実行形式 D E i と メ 夕サ一 ビス実行形式 D E mが識別化 実行形式格納器 2 3 2 に格納される様子を示す。 同図に示 す例 においては、 図 2 に示 した第 1 の実施の形態における の と 同様に、 サー ビス S 1 、 サー ビス S 2 乃至サー ビス S n ( n は任意の 自 然数） に対応する識別化実行形式 D E i ( S I ) 、 D E i ( S 2 ) 、 および D E i ( S n ) が例示 さ れてい る 。 ただ し、 本図においては、 サー ビス S 3 に対 応する識別化実行形式 D E i ( S 3 ) の位置に、 初めての メ タサー ビス実行形式 D E m ( 1 ) が表示さ れてい る。 メ 夕サー ビス実行形式 D E m ( 1 ) は、 実行形式 D E に、 そ れがメ タサー ビス であ る こ と を示すメ タサー ビス指定情報 I S m ( 1 ) が付与さ れてい る。

一メタサ—一ビス実行—形—式一 D—E m一（ ΐ )—は、- ~れ 、 -夕-ザ一 ビス m 1 に対応するサー ビス識別情報 E s ( S m 1 ) と副 次情報 m 1 か ら 成る メ タサー ビス指定情報 I S m と実行 形式 D E を含む。 具体的 には、 サー ビス識別情報 E s ( S m l ) が実行形式 D E と メ タサー ビス 1 と を対応付けてい る。 こ のよ う にサー ビス識別情報 E s ( S m 1 ) の 「 S m

1 」 がメ タサー ビス 1 を規定する点を除けば、 メ タサ一 ビ ス指定情報 I S m も基本的には付随情報 I S と 同 じ も ので あ る 。

つ ま り 、 メ タサ一ビス S mは、 上述のよ う に、 サ一 ビス S n の 1 つであ る ので、 メ 夕サー ビス実行形式 D E mは、 識別化実行形式 D E i ( S m ) と表す こ と もでき る。 よ つ て、 メ 夕サー ビス指定情報 I S mも付随情報 I S と総称 し て も よ いが、 本明細書においては、 本実施の形態にお ける 特徴をわか り やす く する ため に、 メ タサー ビス指定情報 I S mを付随情報 I S と 区別 して説明する 。 さ ら に、 メ タサ 一ビス に対応する サー ビス識別情報 E s を、 メ タサ一 ビス 識別情報 E s mと称 して、 実行形式 D E に対応するサ一 ビ ス識別情報 E s と 区別 して説明する。

識別化実行形式格納器 2 3 2 の動作は、 上述の第 1 の実 施の形態にかかる識別化実行形式格納器 1 3 2 と基本的に 同 じであ る 。 ただ し、 識別化実行形式格納器 2 3 2 は、 識 別化実行形式 D E i と メ タサー ビス実行形式 D E m と を格 納 し、 要求に応 じて、 識別化実行形式 D E i あ る レ はメ タ サ一 ビス実行形式 D E mをェク セキュ一夕 2 3 3 に出力す る。

ェグセ—キーユー一タ—2 3 3—は、一識別一化 1于形—式 D E 卞 らサ 一ビス識別情報 E s を抽出 し、 メ タサー ビス実行形式 D E mカゝ らサ一 ビス識別情報 E s mを抽出 して、 それぞれをメ 夕サー ビス判定器 2 3 4 に出力する。

メ 夕サー ビス判定器 2 3 4 は、 リ ソースセ レク タ 1 3 4 か ら入力 さ れる A P I 呼出 C a p i と 、 ェク セキュー夕 1

3 3 か ら入力 さ れるサ— ビス識別情報 E s およびサー ビス 識別情報 E s mに基づいて、 実行中 の実行形式 D E がメ タ サー ビス に対応付け ら れている 場合にのみ、 A P I 呼出 C a p i をサ一ビス依存 リ ソース管理器 1 3 6 に出力する。 サー ビス依存 リ ソ一ス管理器 1 3 6 は、 サー ビス依存リ ソース R S を格納する と共にサ— ビス依存 リ ソース管理テ —ブル T r s によ っ てサー ビス依存 リ ソ一ス R S を管理す な 、 サー ビス依存 リ ソ一ス管理器 1 3 6 に格納され るサー ビス依存 リ ソース R S お よびそのサ一ビス依存 リ ソ —ス管理テ—ブル T r s は、 図 3 を参照 して説明 した第 1 の実施の形態にお ける も の と 同 じでよ い。

そ して、 サー ビス依存 リ ソ一ス管理器 1 3 6 は、 メ 夕サ — ビス判定器 2 3 4 を経由 して入力 さ れる A P I 呼出 C a P i に応答 して、 サ一 ビス依存 リ ソ ース管理器 1 3 6 に格 納さ れてい るサー ビス依存 リ ソ —ス R S への参照や操作な どを行 う 。 また、 ダウ ン ロ一ダ 1 3 1 か ら 供給さ れる付随 情報 I S に基づいて、 実行形式 D E のそれぞれが対応する サ一 ビス の 内容を認識する。

新たなサ一ビス の追加は、 サ一ビス依存 リ ソース管理器 1 3 6 が、 ダウ ン 口一ダ 2 3 1 か ら入力 さ れる付随情報 I S お よびメ-タサ =· ビス 1 S m -\Z基づいて -、 サ一-ビ ス依存 リ ソ ース管理テ —ブル T r s に登録さ れていない新 規のサー ビス の存在を検出 した時点で、 そのサー ビス に対 する識別行を追加 して、 内容を S己述する。 つ ま り 、 サ一ビ ス依存 リ ソ ース管理テ一ブル T r s には、 列 C 1 にはメ タ サー ビス の内容が書き込まれるが、 サー ビス識別行追加の 手順だけに注 目 すれば、 第 1 の実施の形態における処理内 容 と 同様であ る 。

次に、 図 1 0 に示すフ ローチャ ー ト を参照 して、 端末 2 3 0 によ る サー ビス実行ルーチンの動作について説明する 。 具体的に は、 端末 2 3 0 において、 ェ ク セキュー夕 2 3 3 が呼び出す A P I に対する 実行形式 D E が実行される こ と に よっ て、 サ一 ビス実行が実現 さ れる 。 つ ま り 、 ェク セ キュー夕 1 3 3 が識別化実行形式格納器 1 3 2 か ら入力 さ れる識別化実行形式 D E i お よびメ タサー ビス実行形式 D E m に含まれる実行形式 D E を実行させるため に、 A P I 呼出 C a p i を発行 し た時点で、 本ル一チンにお ける処理 が開始さ れる。

なお、 図 1 0 に示すフ ローチ ャ ー ト は、 上述の図 5 に示 すフ ローチ ャ ー ト にお いて、 「実行中 の実行形式 D E のサ — ビス識別情報 E s を実行エ ンジ ンか ら取得」 ステ ッ プ S 5 1 4 が 「実行中 の実行形式 D E のサ一 ビス識別情報 E s また はサー ビス識別情報 E s mを取得」 ステ ッ プ S 1 0 1 4 に交換さ れ、 「実行中 のサー ビス に対する操作か を判定 」 ス テッ プ S 5 1 6 が 「実行中 の メ タサ一 ビス に対する 操 作か を判定」 ステ ッ プ S 1 0 1 6 に交換さ れてい る点を除 い一て一は—同様一に構成さ れでい一る-。 -以下 本実施の ^態 -に -固有 の動作に重点をおいて説明する 。

よ っ て、 ステ ッ プ S 5 1 2 において、 リ ソースセ レク タ 1 3 4 によ っ て、 ェク セキュー夕 1 3 3 か ら発行された A P I 呼出 C a p i に基づいて、 呼び出 さ れた A P I がサー ビス依存 A P I であ る と判断さ れて、 処理はステッ プ S 1 0 1 4 に進む。

ス テ ッ プ S 1 0 1 4 において、 メ タサー ビス判定器 2 3 4 に よ っ て、 ェク セキュー夕 2 3 3 か ら現在実行中 の実行 形式 D E に対するサ一 ビス識別情報 E s あ る いはメ タサー ビス識別情報 E s mが読み出 さ れる 。 そ して、 処理は次の ステ ッ プ S 1 0 0 6 に進む。

ス テ ッ プ S 1 0 1 6 において、 実行中の実行形式 D E が メ タサー ビス に対応付け られてい る か否かが判断さ れる 。 N o の場合、 上述のエラ 一処理ス テ ッ プ S 5 2 1 を経て、 本ルーチンが終了 さ れる 。 一方、 実行中の実行形式 D E が メ 夕サ一 ビス に対応付け ら れてい る 場合は、 Y e s と判断 されて、 処理は上述の 「サー ビス依存 リ ソース に対 して処 理」 ステ ッ プ S 5 1 8 を経て本ル一チンが終了 される 。

なお、 ス テ ッ プ S 5 1 8 にお いて は、 実行中 のメ タサ一 ビス の実行形式 D E であれば （ス テ ッ プ S 1 0 1 6 で Y e s ) 、 全てのサー ビス に対するサー ビス依存 リ ソース に対 する処理が実行さ れる。

上述のよ う に、 第 2 の実施の形態 においては、 実行形式 D E がメ タサー ビスであれば、 全てのサー ビス に対するサ 一ビス依存 A P I が実行でき る 。 従っ てメ タサ一ビス の実 行一形 ¾ Ό E の画面上で、 ーサ—一ゼス提供部から 提—貧可 1 なサ —ビス一覧を表示 し、 一覧表示上で、 サー ビス の機能ノ諸 元の変更や新規サー ビス の追加 に代表されるサービス の拡 張が達成さ れる。

(第 3 の実施の形態） 次に、 図 1 1 、 図 1 2 、 お よび図 1 3 を参照 して、 本発 明の第 3 の実施の形態にかか るサー ビス安全拡張プラ ッ ト フ ォ ーム につ いて詳細 に説明する。 図 1 1 に示すよ う に、 本実施の形態にかかるサ一 ビス安全拡張プラ ッ ト フ オ ーム S E P 3 は、 図 1 に示すサー ビス安全拡張プラ ッ ト フ ォ 一 ム S E P 1 にお けるサー ビス提供源 1 1 0 がサー ビス提供 源 3 1 0 に変更さ れ、 端末 1 3 0 が端末 3 3 0 に変更さ れ てい る 。

サー ビス提供源 3 1 0 は、 サー ビス提供源 1 1 0 にお け るサ一 ビス識別設定器 1 1 2 がサー ビス識別設定器 3 1 2 に交換される と共に、 サー ビス識別親子管理器 3 1 4 が新 たに設け ら れてい る。 サー ビス識別親子管理器 3 1 4 は、 個々 のサー ビス に親子関係があ る場合に、 そのよ う な関係 を識別情報 E s の間の親子関係 と して管理する 。 さ ら に、 管理 してい る親子関係を示すサー ビス親子指定情報 I S h をサ一 ビス識別設定器 3 1 2 に出力する。

端末 3 3 0 は、 端末 1 3 0 にお ける ダウ ン ローダ 1 3 1 がダウ ンロ ーダ 3 3 1 に交換され、 識別化実行形式格納器 1 3 2 が識別化実行形式格納器 3 3 2 に交換さ れ、 ェク セ キュ一夕 1 3 3 がェク セキュ ー夕 2 3 3 に交換さ れ、 親子 判定器 3 3 4 が リ ソースセ レ ク タ 1 3 4 とサー ビス依存 リ ソ一一—ス管理器 1 3一 6—の一間 1こ—新たに設けら―れ—て一い一る—

サー ビス提供源 3 1 0 において、 サー ビス識別親子管理 器 3 1 4 が管理するサー ビス の親子関係 とは、 親サー ビス が子サ一 ビス のサー ビス依存 リ ソース R s を操作可能 とす る 関係 と定義さ れる。 なお、 必要に応 じて、 親サー ビス S p 、 子サ一 ビス S c 、 親サー ビス のサー ビス依存 リ ソース R S c を称 して、 互い に識別する の も とする。 例えば、 「 音楽コ ンテ ンッ配信サ— ビス」 と い つ たサ — ビス のカテゴ リ に対応する親サ一 ビス に対 して、 「松下 ュ一ジ ッ ク配 信サ一 ビス」 や、 「テイ チク ミ ユージ ッ ク 配信サ— ビス」 、 および 「ィ 一 ピーチ ャ ンネル音楽サー ビス」 に代表さ れ る個々 のサービス の種類に対応する子サー ビス があ る 。

サー ビス識別設定器 3 1 2 は、 上述のサ一ビス識別設定 器 1 1 2 に親子サー ビス識別情報生成機能が付与されてい る 。 つ ま り 、 サー ビス 識別設定器 3 1 2 は、 +1-一ビス識別 設定器 1 1 2 と 同様に、 実行形式 D E の属性等の副次的な 事項を表す付随情報 I S を生成する 。 さ ら に、 サ— ビス識 別設定器 3 1 2 は、 サ— ビス識別親子管理器 3 1 4 か ら 供 さ れるサービス親子情報 I h に基づいて、 サ一ビス識別 定器 3 1 2 は、 サ一 ビス親子情報 E s c を生成する 。 例

7L ば、 サー ビス親子情報 I h に基づいて、 サー ビス親子指 定情報 I S h ( S I — 1 ) が生成さ れる。 サ一 ビス親子情 報 E s c ( S 1 — 1 ) は、 こ のサー ビスが親サ一 ビス S 1 の子サー ビスであ る こ と を定義する

付随情報 I S が実行形式 D E に付与されて識別化実行形 式 D E i が生成さ れ、 サー ビス親子指定情報 I S h が実行 形式— D— E—に-付与さ れて親子 IT別—化荬行形式 B E cr力 生-成-さ れる。 つ ま り 、 サー ビス識別設定器 3 1 2 か ら は、 識別化 実行形式 D E i と親子識別化実行形式 D E c が混在 して出 力 される。 そ して、 これ ら の識別化実行形式 D E i と親子 識別化実行形式 D E c は、 送出器 1 1 3 およびデ リ ノ、 リ シ ステム 1 2 0 を介 して端末 3 3 0 に入力さ れる。 そ して、 端末 3 3 0 のダウ ン ローダ 3 3 1 によ っ て、 識別化実行形 式 D E i と親子識別化実行形式 D E c は識別化実行形式格 納器 3 3 2 に出力 さ れる 。 さ ら に、 ダウ ン 口 一ダ 3 3 1 は 識別化実行形式 D E i か ら 付随情報 I S を抽出 し、 親子 別化実行形式 D E c か ら サー ビス親子指定情報 I S h を それぞれをサ一 ビス依存 リ ソース管理器 1 3 6 に出力す る

図 1 2 に、 サ一ビス識別 Al£器 3 1 2 か ら 出力 された識 別化実行形式 D E i と親子識別化実行形式 D E c が識別化 実行形式格納器 3 3 2 に格納さ れる様子を示す。 同図 に示 す例においては、 図 2 に示 し た第 1 の実施の形態にお ける の と 同様に、 サ— ビス S 1 ビス S 2 乃至サ— ビス S n ( n は任意の 自 然数） に対応する識別化実行形式 D E i ( S 1 ) 、 D E i ( S 2 ) 、 よび D E i ( S n ) が例示 さ れている 。 ただ し、 本図においては、 サ— ビス S 3 に対 応する識別化実行形式 D E i ( S 3 ) の位置に、 初めての 子識別化実行形式 D E c ( 1 ) が表示さ れてい る。 親子 別化実行形式 D E c ( 1 ) は、 実行形式 D E に、 それが 子サー ビス であ る こ と を示すサー ビス親子指定情報 I S h ( 1 ) が付与さ れてい る 。

親一子 1载別 1匕実行形式 IT c一 （一 1 ) は、― それが親—ナ一 -ビス

S P 1 に対応するサー ビス識別情報 E s ( S c 1 ) と副次 報 a c 1 か ら 成るサー ビス親子指定情報 I S h U ) と 行形式 D E を含む。 具体的には、 親子サー ビス識別情報

E s c が実行形式 D E を親サ一 ビス S 1 に対する子サ一 ビス S c 1 と して対応付けてい る のよ う にサー ビス識 別情報 Ε s ( S P 1 ) の 「 S p 1 」 が子サー ビス 1 を規定 する点を除けば、 サ— ビス親子指定情報 I S h も基本的に は付随情報 I S と 同 じで も のであ る 。

つま り 、 子サ一ビス S c は、 上述のょ ラ に ビス S n の 1 つであ る ので、 親子識別化実行形式 D E c は、 識別 化実行形式 D E 1 ( S c ) と表す こ と もでき る。 よ つ て、 サ一ビス親子指定情報 I S h も付 m報 I S と総称 して も いが、 本明細 お いては、 本実施の形態 における特徴 をわか り やす く する ため に ビス親子指定情報 I S h を付随情報 I S と 区別 して説明する。 さ ら に、 親サ— ビス S p に対する子サ一ビス S C を規定するサ一 ビス識別情報 E s を親子サ一 ビス Bii別 '\η報 E s c と称して、 実行形式 D E に対応するサ一ビス識別情報 E S と 区別 して説明する 。

δ哉別化実行形式格納器 3 3 2 の動作は、 上述の第 1 の実 施の形態 にかか 別化実行形式格納器 1 3 2 と基本的 に 同 じであ る。 ただ し、 識別化実行形式格納器 3 3 2 は、 別化実行形式 D E i と親子識別化実行形式 D E c と を格納 し、 要求に応 じて、 識別化実行形式 D E i あ る いは親ナ 载 別化実行形式 D E c をェク セキュ 3 3 3 に出力する 。

ェク セ十ュ―夕 3 3 3 は、 識別化実行形式 D E i か らサ ビ 別言報 Έ - s を 1*出 じ、 子谶別化実行形式 D - E - c か ら親子サー ビス 別情報 E s c を抽出 して、 それぞれを 親子判定 ¾ff 3 3 4 に出力する。

子判定器 3 3 4 は、 リ ソースセ レ ク タ 1 3 4 か ら入力 される A P I 呼出 C a p i と、 ェクセキュー夕 3 3 3 か ら 入力 されるサ― ビス識別情報 E s および親子サー ビス識別 情報 E s c 基づいて、 実行中 の実行形式 D E が A P I 呼出 C a p i の処理対象のサ― ビス依存 リ ソース のサ一 ビス の 先祖 （親、 または親の親 たは親の親の親 . . . ） であ る場合にのみ、 A P I 呼出 C a p i をサ一 ビス依存 リ ソ一 ス管理器 1 3 6 に出力する。

つ ま り 、 親子判定器 3 3 4 は、 実行中 の実行形式 D Ε の 親子サー ビス識別情報 E s c をェク セキュ—夕 3 3 3 か ら 得る と と も に、 ェ ク セキュ一夕 3 3 3 力 ら発行さ れる A P I 呼出 C a p i を リ ソ一スセ レク 夕 1 3 4 を介 して得る 。 さ ら に、 ダゥ ン 口 ーダ 3 3 1 か ら サー ビス 間の親子関係を 判定する ため の情報であ るサ― ビス親子指定情報 I S h を 得る 。 そ して 子サ一 ビス識別情報 E s c が示すサ― ビ スが、 サ― ビス 1¾子指定情報 I S h の示すサー ビス の先袓 であ る か を判断する。 そ して、 先祖であ る と判断 した 口 には、 サ― ビス依存 リ ソ―ス管理器 1 3 6 に対 してサ ― ビ ス依存 A P I の呼び出 し要求 ( A P I 呼出 C a p i ) を伝 え、 先祖でない と判断した場 A ίケ は伝えない。

次に、 図 1 3 に示すフ 口一チャ ~ 卜 参照 して、 端末 3 3 0 にお ける廿一 ビス実行ル一チ ン の動作について説明す る。 具体的には、 端末 3 3 0 にお いて、 ェク セキュ一夕 3 一 3 が呼び出す A- P—— I—に対一する実行形式 D び親予識 別化実行形式 D E c に含まれる実行形式 D Ε を実行さ せる ため に、 A P I 呼出 C a P i を発行 した時点で、 本ル一チ ンにおける処理が開始される

なお、 3 に示すフ チャ ー ト は、 上述の図 5 に示 すフ ローチ ャ ー ト において、 「実行中 の実行形式 D E のサ 一ビス識別情報 E s を実行エ ンジ ンか ら取得」 ステッ プ S 5 1 4 が 「実行中の実行形式 D E のサー ビス識別情報 E S または親子サー ビス識別情報 E s c を取得」 ステ ッ プ S 1 3 1 4 に交換さ れ、 「実行中 のサー ビス に対する操作かを 判定」 ステ ッ プ S 5 1 6 が 「実行中 の メ タサー ビス に対す る操作か を判定」 ステ ッ プ S 1 3 1 6 に交換さ れてい る点 を除いては同様に構成さ れてい る 。 以下、 本実施の形態に 固有の動作 に重点をお いて説明する 。

よっ て、 ス テ ッ プ S 5 1 2 において、 リ ソ ースセ レ ク タ 1 3 4 によ っ て、 ェク セキュ ー夕 3 3 3 か ら発行された A P I 呼出 C a p 〖 に基づいて、 呼び出 さ れた A P I がサー ビス依存 A P I であ る と判断さ れて、 処理はステ ッ プ S 1 3 0 4 に進む。

ステ ッ プ S 1 3 1 4 において、 親子判定器 3 3 4 によ つ て、 ェク セキュー夕 3 3 3 か ら 現在実行中 の実行形式 D E に対するサー ビス識別情報 E s あ る い は親子サー ビス識別 情報 E s c が読み出 される。 そ して、 処理は次のステ ッ プ S 1 3 0 6 に進む。

ステ ッ プ S 1 3 1 6 において、 親子判定器 3 3 4 に よ つ て、 サ一 ビス依存 A P I 呼出 C a p i の処理対象のサー ビ ス依存 リ—ゾ一—ス一に -応するサ ビス—に- し-て 実行中 の 行形式 D E の対応するサー ビス が先祖のサー ビスであ るか 否かが判断さ れる。 N o の場合、 上述のエラー処理ステ ツ プ S 5 2 1 を経て、 本ル一チ ンが終了 される 。 一方、 実行 中 の実行形式 D E が実行中のサー ビスが先祖であ る場合は 、 Y e s と判断されて、 処理は上述の 「サ一 ビス依存 リ ソ ース に対 して処理」 ステ ッ プ S 5 1 8 を経て本ル一チンが 終了 される。

なお、 ステ ッ プ S 5 1 8 においては、 サー ビス依存 リ ソ —ス管理器 1 3 6 によ っ て、 サ一 ビス依存 A P I 呼出 C a p i に対応するサー ビス依存 リ ソ ース に対する処理が実行 される 。 すなわち 、 現在実行 してい る実行形式 D E のサー ビス の子孫 （子、 または子の子、 ま たは子の子の子、 . . . . ) のサー ビス依存 リ ソース に対 して処理が可能にな る よ う に管理される 。

(第 4 の実施の形態）

次に、 図 1 4 および図 1 5 、 図 1 6 、 およ び図 1 7 を参 照 して、 本発明の第 4 の実施の形態 にかか るサー ビス安全 拡張プラ ッ ト フ ォーム につ いて説明する。 図 8 に示すよ う に、 本実施の形態の形態にかか るサー ビス安全拡張プラ ッ ト フ オ ーム S E P 4 は、 図 1 に示すサー ビス安全拡張ブラ ッ ト フ ォ ーム S E P 1 にお けるサ一 ビス提供源 1 1 0 がサ — ビス提供源 4 1 0 に変更さ れ、 端末 1 3 0 が端末 4 3 0 に変更さ れてい る 。

サ一 ビス提供源 4 1 0 は、 サー ビス提供源 1 1 0 にお け る実行形式提供器 1 1 1 がコ ンテ ンツ提供器 4 1 1 に交換 され、— サ ビス ΪΤ別 1 器 1 1： 2 が制-御-コ-ンテ -ンッ指定器 4 1 2 に交換さ れている 。 端末 4 3 0 は、 端末 1 3 0 にお ける ダウ ン ローダ 1 3 1 がコ ンテ ンツダウ ン ローダ 4 3 1 に交換さ れ、 識別化実行形式格納器 1 3 2 がコ ンテ ンツ格 納器 4 3 2 に交換さ れ、 ェク セキュー夕 1 3 3 がェク セキ ユ ー夕 4 3 3 に交換される と共に、 リ ソースセ レク タ 1 3 4 とサー ビス依存 リ ソース管理器 1 3 6 と の間 に制御コ ン テ ンッ判定器 4 3 4 が新た設け ら れている 。

コ ンテン ツ提供器 4 1 1 は、 サー ビス を実現する実行形 式 D E と実行形式 D E が解釈 しユーザに提示する 目 的で製 作さ れたデータ であ る コ ンテ ンツ D C を格納 し、 必要に応 じて出力する 。 実行形式 D E も コ ンテ ンツ D C の満たすベ き要件を備えてい る 。 例えば、 共 に、 実行形式 D E も コ ン テ ンッ D C も共に、 逐次動作手順を プロ グラ ミ ン グする ス ク リ ブ ト記述を含め る こ とが可能なマーク ア ッ プ言語で記 述する。 ス ク リ プ ト の言語 と して J a v a ( R ) 系の J a v a S c r i p t や E C M A S c r i p t な どの言語でよ い。 また、 マーク ア ッ プ言語 と しては、 H T M L 言語や B M L言語でよ い。

制御コ ンテ ンツ指定器 4 1 2 は、 コ ンテ ンツ提供器 4 1 1 が出力す る コ ンテ ンツ D C の う ち 、 制御コ ンテ ンツ に対 して制御コ ンテンツであ る こ と を指定する付随情報 I S C を付与して制御コ ンテ ンツ D C c と して出力する 。 制御コ ンテ ンッ D C c の定義は、 サー ビス に対応付け ら れた実行 形式 D E と して製作さ れたコ ンテ ンツ D C であ る 。

コ ンテ ンツダウ ン ロ ーダ 4 3 1 は、 デリ ノ リ システム 1 2 ひ か ら伝— さ てく る 、一 rンテ-ン-ッ- D- C と制御 コ ンテン- ッ D C c と を受信 し、 コ ンテ ンツ格納器 4 3 2 に受信 した 情報を書き込む。

デ リ バ リ システム 1 2 0 か ら は実行形式 D E も コ ンテ ン ッ D C の一種類と して伝送さ れる ため、 コ ンテ ンツダウ ン ローダ 4 3 1 は、 コ ンテ ンツ D C を格納する機能を有 して いればよ い。

コ ンテ ンツダウ ン ローダ 4 3 1 は、 サー ビス依存 リ ソ 一 ス管理器 1 3 6 がサー ビス依存 リ ソース と して保持する 、 サー ビス のコ ンテ ンツ を 自動ダウ ン ロ ー ドすべきか を表す 情報に基づき コ ンテ ンッ の格納を制御する 。

すなわち 、 コ ンテ ンツダウ ン 口 一ダ 4 3 1 は、 注 目 する サ一 ビス に対 し、 自 動ダウ ン ロ ー ドすべき場合には、 サー ビス に関する コ ンテ ンツ D C を制御コ ンテ ンツ D C c も含 め全て格納する 。 一方、 自 動ダウ ン ロ ー ドすべきでな い場 合には、 制御コ ンテ ンツ D C c のみを格納する 。

コ ンテ ンツ格納器 4 3 2 は、 コ ンテ ンツ D C を格納する 。 第 1 の実施の形態の識別化実行形式格納器 1 3 2 が格納 する情報が実行形式 D E であ る の に対 し、 コ ンテンッ格納 器 4 3 2 はコ ンテ ンツ D C を格納する 。 なお、 コ ンテ ンツ D C には制御コ ンテ ンツ D C c が含まれる 。

図 1 5 に、 制御コ ンテンツ指定器 4 1 2 か ら 出力 さ れた コ ンテ ンツ D C と付随情報 I S c がコ ンテ ンツ格納器 4 3 2 に格納される様子を示す。 同図 に示す例 にお いては、 サ 一ビス S 1 に対 して、 制御コ ンテ ンツ D C c であ る C ( S 1 ， D E ) 、 コ ンテ ンツ D C であ る C ( S 1 , 1 ) 、 C ( S 1 ，― 2 Γ、 お—よ—び C ( S 1 3 —がコ- -テ--ンッ-格納器 4 3 2 に保持さ れてい る。 制御コ ンテ ンツ D C c であ る C ( S 1 , E ) をェク セキュー夕 4 3 3 で実行させる こ とで、 コ ンテンツ D C であ る C ( S 1 , 1 ) 、 C ( S l ， 2 ) 、 および C ( S 1 , 3 ) を読み込んでユーザに提示する 。 す なわち制御コ ンテ ンツ D C c であ る C ( S I , D E ) は、 コ ンテンツ D C であ る C ( S I , 1 ) 、 C ( S I , 2 ) 、 C ( S I , 3 ) に対する いわゆ る ブラ ウザと 同等の動作を 行う 。

制御コ ンテ ンツ判定器 4 3 4 は、 ェク セキュー夕 4 3 3 の出力か ら 、 実行 してい る コ ンテンツ D C が制御コ ンテ ン ッ D C c であ る か を判定する。 そ して、 制御コ ンテ ンツ D C c であ る場合のみに、 リ ソースセ レ ク タ 1 3 4 か ら のサ 一ビス依存 A P I の要求をサ一 ビス依存 リ ソース管理器 1 3 6 に伝え る 。

図 1 6 に、 本実施の形態 にお いて、 サー ビス依存 リ ソ 一 ス管理器 1 3 6 が格納するサー ビス依存 リ ソ ーステーブル T r s 4 の一例であ る 。 サー ビス依存 リ ソ 一ステ一ブル T r s 4 は、 図 3 に示 した、 第 1 の実施の形態にかか るサ一 ビス依存 リ ソ ース管理テーブル T r s と類似 してい るが、 列 C 2 に は、 コ ンテンツダウ ン ローダ 4 3 1 がコ ンテンツ D C を 自 動ダウ ン ロー ドすべきか につ いての情報がサ一 ビ ス毎に保持さ れてい る 。

次に、 図 1 7 に示すフ ロ 一チャ ー ト を参照 して、 端末 4 3 0 にお ける 制御 コ ンテ ンツ D C c の実行ルーチン の動作 につ いて説明する 。 具体的 には、 端末 4 3 0 において、 ェ クセキ ニタ 4— 3— 3—が—呼び出す A P Γに す一る制—御コ テ ンッ D C c を実行する ため に、 A P I 呼出 C a p i を発行 した時点で本ルーチンにお ける処理が開始さ れる。

なお、 図 1 7 に示すフ ローチヤ 一 卜 は、 上述の図 5 に示 すフ ローチャ ー ト において、 実行中 の実行形式 D E のサー ビス識別情報 E s を実行エ ンジ ンか ら取得」 ステッ プ S 5 1 4 が 「実行中の コ ンテンツ D C のサー ビス識別情報 E s を取得」 ス テ ッ プ S 1 7 1 4 に交換さ れ、 「実行中 のサ一 ビス に対する操作かを判定」 ステ ッ プ S 5 1 6 が 「実行中 のサー ビス に対する制御コ ンテ ンッ操作か を判定」 ステ ツ プ S 1 7 1 6 に交換さ れてい る点 を除いては同様に構成さ れてい る。 以下、 本実施の形態 に固有の動作に重点をお い て説明する 。

ス テ ッ プ S 5 1 2 において、 リ ソ ースセ レ ク タ 1 3 4 に よっ て、 ェ クセキュ一夕 3 3 3 か ら 発行さ れた A P I 呼出 C a p i に基づいて、 呼び出 さ れた A P I がサー ビス依存 A P I であ る と判断さ れて、 処理はス テ ッ プ S 1 7 0 4 に 進む。 .

ス テ ッ プ S 1 7 1 4 にお いて、 制御コ ンテ ンツ判定器 4 3 4 によ っ て、 ェク セキュー夕 4 3 3 か ら 現在実行中 の コ ンテ ンッ D C に対するサー ビス識別情報 E s が読み出 さ れ る。 そ して、 処理は次のステ ッ プ S 1 7 1 6 に進む。

ステ ッ プ S 1 7 1 6 にお いて、 制御コ ンテ ンツ判定器 4 3 4 によ っ て、 サ一 ビス依存 A P I 呼出 C a p i の処理対 象のサー ビス依存 リ ソ ース に対応するサー ビス に対 して、 実行中 のコ ンテ ンツ D C がコ ンテ ンツ D C の対応するサー ービス に対応する—制"卸ーコ -ンテ ンッである—か—否 判断さ れる 。 N o の場合、 上述のエラ一処理ステ ッ プ S 5 2 1 を経て 、 本ルーチ ンが終了 さ れる 。 一方、 実行中の コ ンテ ンツ D Cが実行中 のサー ビスが先袓であ る場合は、 Y e s と判断 されて、 処理は上述の 「サー ビス依存 リ ソース に対 して処 理」 ステ ッ プ S 5 1 8 を経て本ルーチ ンが終了 される 。 なお、 ステ ッ プ S 5 1 8 においては、 サー ビス依存 リ ソ ―ス管理器 1 3 6 によ っ て、 サ一 ビス依存 A P I 呼出 C a

P i に対応するサービス依存 リ ソ ース に対する処理が実行 さ れる 。

本明細 開示 したサー ビス安全拡張フ フ ッ 卜 フ ォ ーム によれば 、 サ— ビス を実現する実行形式 D E によ る不正ァ クセス の排除を、 実行形式 D E に不正ァ ク セス を引 き起 こ す処理が含まれる こ と を否定する必要無 く 達成する と い う 、 新次元の安全性 を実現する こ と ができ る 。

詳述すれば、 他のサ一ビス の状態変更ゃデー夕 の破壊や 、 プラ ッ 卜 フ オ ーム 自体のシステム ダウ ンな ど、 サー ビス の正常な享受 を及ぼす挙動 引 き起 こす処理であ る不正ァ ク セス の排除を、 実行形式 D E に不正ア ク セス を 引 さ す処理が含まれる こ と を実行形式 D E の配布元の 確か ら し さ か ら 推測する まで もな く 達成する 。

さ ら には上記の性質 と 同時に、 実行形式 D E の変更や追 加によ つ てサ— ビス の機能 Z諸元の変更や新規サー ビス の 追加 と い つ たサー ビス の拡張も達成する機能 を実現する こ とができ る。

れに よ り 、 従来のサー ビス の拡張可能な プラ ッ 卜 フ ォ ニーム -に すして従来にな—い—新—次 ¾の安全性と擻 Tft—と 同時 に実現する とができ る 。 産業上の利用可能性

以上のよ う 本発明は、 「サー ビス の拡張性」 「サ — ビス安全性の確保」 および 「サー ビス拡張操作のシーム レス」 と い う 3 つ の特徴を実現する従来にない全 く 新 しい サ一 ビス安全拡張プラ ッ ト フ オーム に有用であ る 。

Claims

請求の範囲

1 . サー ビス （ S ) と実行形式 （ D E ) とが対応付け られ てお り 、 前記実行形式 （ D E ) の変更や追加 によ っ て前記 サー ビス （ S ) の拡張が達成さ れる サー ビス安全拡張ブラ ッ ト フ オ ーム （ S E P ) であ っ て、 前記サー ビス の拡張を 行 う サー ビス依存 A P I を具備 し、 かつ前記実行形式 （ D E ) か ら の前記サー ビス の拡張は前記サー ビス依存 A P I の呼び出 し によ っ てのみ行われる こ と を特徴 とする、 サ一 ビス安全拡張プラ ッ ト フ ォ ーム （ S E P ) 。

2 . 前記サービス の拡張が新規サ一 ビス の新設であ る こ と を特徴 とする、 請求項 1 に記載のサー ビス安全拡張プラ ッ ト フ オ ーム （ S E P 1 ) 。

3 . 前記サービス の拡張がサー ビス利用 開始であ る こ と を 特徴 とする 、 請求項 1 に記載のサー ビス安全拡張プラ ッ ト フ ォ ーム （ S E P 1 ) 。

4 . 注 目 す る前記サー ビス の拡張は、 注 目 する前記サ一 ビ ス に対応付 け ら れた実行形式 （ D E ) か ら の前記サー ビス 依存 A P I の呼び出 し によ っ てのみ行われる こ と を特徴 と する 、 請求項 1 乃至請求項 3 に記載のサー ビス安全拡張プ ラ ッ ト フ オ ーム （ S E P ) 。

-5 7 複数の前記—サ一一ビス 間 に親子関 （—ザ—一—ビス親子指定 情報 I S h ) が定義さ れ、 前記実行形式 （ D E ) が要求す る前記サー ビス依存 A P I 呼び出 しが前記サー ビス （ S ) に対応付け られるサー ビス依存 リ ソ ース （ R S ) を処理対 象 と して指定し た際に、 前記実行形式 （ D E ) に対応付け ら れるサ一 ビス （ S ) が前記サ一 ビス （ S ) の先祖であ る 場合にの み、 サ一 ビス依存 リ ソース （ R S ) に対 して処理 可能であ る こ と を特徴 とする 、 請求項 1 乃至請求項 3 に記 載のサー ビス安全拡張プラ ッ ト フ ォ ーム （ S E P 3 ) 。

6 . メ 夕 サ一 ビス に対応付け られた前記実行形式 （ D E ) が前記サ一 ビス依存 A P I に よっ て、 前記サー ビス （ S ) の少な く と も 1 つが拡張可能な こ と を特徴とする 、 請求項 1 乃至請求項 3 に記載のサ一 ビス安全拡張プラ ッ ト フ ォ 一 ム （ S E P ) 。

7 . 前記メ タサー ビス に対応付け ら れた前記実行形式が前 記サー ビス依存 A P I によ っ て、 前記サ一 ビス （ S ) の全 てが拡張可能であ り 、 前記メ タサー ビス に対応付け ら れて いない前記実行形式 （ D E ) は前記サー ビス依存 A P I に よ っ て前記サー ビス の拡張が不可能であ る こ と を特徴 とす る 、 請求項 6 に記載のサー ビス安全拡張プラ ッ ト フ ォ ーム

8 . 前記実行形式 （ D E ) がコ ンテ ンツ （ D C ) と し て満 たすべき条件を満た した制御 コ ンテ ンツ （ D C c ) で あ り 、 前記制御コ ンテ ンツ （ D C ) が、 前記コ ンテ ンツの少な く と も 1 つ と共に コ ンテ ンツ （ D C ) と して伝送され、 前 記コ ンテ ンツ （ D C ) の少な く と も 1 つか ら 前記制御 コ ン -テン、 （一 D一 C一 c 一を指定する一情一報一 t—E s )一 一が伝送 れ一、 — 記制御コ ンテ ンツ （ D C ) に よっ てのみサ一 ビス依存 A P I の処理が可能であ る こ と を特徴とする請求項 1 乃至請求 項 3 に記載のサー ビス安全拡張プラ ッ ト フ ォ ーム （ S E P 4 ) 。

9 . 前記サー ビス依存 A P I によ っ て、 特定の前記サー ビ ス のコ ンテンツ （ D C ) の 自 動的な格納が制御さ れる こ と を特徴とする請求項 8 に記載のサー ビス安全拡張プラ ッ ト フ ォ一ム （ S E P 4 ) 。

1 0 . 前記実行形式 （ D E ) を少な く と も 1 つのサー ビス 提供部 （ 1 1 0 、 2 1 0 、 3 1 0 、 4 1 0 ) か ら 送出 し、 前記実行形式 （ D E ) を実行する 少な く と も 1 つ の端末 （ 1 3 0 、 2 3 0 、 3 3 0 、 4 3 0 ) で受信する こ と を特徴 とする 、 請求項 1 乃至請求項 9 に記載のサー ビス安全拡張 プラ ッ ト フ ォ ーム （ S E P ) 。

1 1 . 請求項 1 乃至請求項 1 0 に記載のサー ビス安全拡張 プラ ッ ト フ ォ ーム （ S E P ) を実現するサー ビス安全拡張 方法。

1 2 . 請求項 1 乃至請求項 1 0 に記載のサ一 ビス安全拡張 プラ ッ ト フ ォ ーム実施する コ ン ピュータ プロ グラ ム を格納 し た記憶媒体。