WO2007145222A1

WO2007145222A1 - コマンド実行プログラム及びコマンド実行方法

Info

Publication number: WO2007145222A1
Application number: PCT/JP2007/061839
Authority: WO
Inventors: Takeshi Fujita; Tsutomu Kawachi; Keiichi Ogawa
Original assignee: Visionarts, Inc.
Priority date: 2006-06-12
Filing date: 2007-06-12
Publication date: 2007-12-21
Also published as: US20110213794A1; US8732189B2; JP4893740B2; JPWO2007145222A1

Abstract

【課題】　コンテンツから呼び出される所定のコマンドの実行を制限すること。【解決手段】　情報提供システムの処理手段は、コマンド実行要求と共に、コマンド識別子と、要求元のドメイン識別子とを、外部の端末装置から受信し（Ｓ３０）、受信したコマンド識別子及び受信したドメイン識別子の組合せに関連付けられたコマンドの実体を記憶手段から読み出し（Ｓ３２）、当該読み出したコマンドの実体に基づいてコマンドを実行する（Ｓ３４）。

Description

明細書

コマンド実行プログラム及びコマンド実行方法

技術分野

[0001] 本発明は、コマンドを実行するプログラムに係り、特に、コマンドの呼出し元のコンテンッが属するドメインによって、コマンドの実行を制限することができるコマンド実行プログラム等に関する。背景技術

[0002] 従来、情報提供システムは、様々なアプリケーションプログラムを提供して、る。ァプリケーシヨンプログラムとしては、例えば、ファイルをコピー、移動、削除等するフアイル管理プログラム、テキストファイルを編集するテキストエディタ等が該当する。

[0003] しかし、上記従来例においては、アプリケーションプログラムを実行する場合に、当該アプリケーションプログラムのコンテンツから呼び出される所定のコマンドの実行を制限することができなかった。例えば、ファイル管理プログラムのコンテンツにおいて、ファイルを削除するコマンドの実行を制限することができな力つた。

[0004] また、従来、同一の情報提供システムが提供する複数のアプリケーションプログラムを、端末装置のウェブブラウザのフレーム内で実行する場合、そのアプリケーションプログラムは同一のドメインで実行されて!、た。

[0005] しかし、上記従来例においては、アプリケーションプログラム間で相互にデータを取得することが可能であり、アプリケーションプログラム間でそれぞれのデータや関数等の漏洩を防止することができなかった。

[0006] これらに関して記述された先行技術文献を出願人は知らな!/、。

発明の開示

発明が解決しょうとする課題

[0007] 本発明は、力かる従来例の有する不都合を改善し、特に、コンテンツから呼び出される所定のコマンドの実行を制限すること、及びアプリケーションプログラム間でそれぞれのデータや関数等の漏洩を防止することを課題とする。

課題を解決するための手段 [0008] 上記課題を解決するため、本発明では次のような構成を採っている。

[0009] 請求項 1記載の発明は、記憶手段、通信手段及び処理手段を備えた情報提供システムに用いられるコマンド実行プログラムである。そして、上記記憶手段に、上記情報提供システムに対するコマンドを識別するコマンド識別子と、ドメインを識別するドメイン識別子とを関連付けて記憶する。上記コマンド実行プログラムは、上記処理手段に、（a)コマンドの実行要求と共に、当該コマンドのコマンド識別子と、当該コマンドを呼び出したコンテンツが属するドメインのドメイン識別子とを、外部の端末装置から上記通信手段を介して受信するステップと、 (b)上記受信したコマンド識別子に関連付けられたドメイン識別子を上記記憶手段カゝら読み出すステップと、（c)上記 aステップで受信したドメイン識別子と、上記 bステップで読み出したドメイン識別子とが同一である場合に、上記受信したコマンド識別子に対応するコマンドを実行するステップと、を実行させる。

[0010] 請求項 2記載の発明は、上記 cステップ力上記 aステップで受信したドメイン識別子と、上記 bステップで読み出したドメイン識別子とが同一でない場合に、上記受信したコマンド識別子に対応するコマンドを実行するステップであることを特徴とした請求項 1記載のコマンド実行プログラムである。

[0011] 請求項 3記載の発明は、記憶手段、通信手段及び処理手段を備えた情報提供システムに用いられるコマンド実行プログラムである。そして、上記記憶手段に、上記情報提供システムに対するコマンドを識別するコマンド識別子及び当該コマンドを実行するドメインを識別するドメイン識別子の組合せと、当該コマンドの実体とを関連付けて記憶する。上記コマンド実行プログラムは、上記処理手段に、（_a)コマンドの実行要求と共に、当該コマンドのコマンド識別子と、当該コマンドを呼び出したコンテンツが属するドメインのドメイン識別子とを、外部の端末装置から上記通信手段を介して受信するステップと、 (b)上記受信したコマンド識別子及び上記受信したドメイン識別子の組合せに関連付けられたコマンドの実体を上記記憶手段力読み出すステップと、（c)上記読み出したコマンドの実体に基づいてコマンドを実行するステップと、を実行させる。

[0012] 請求項 4記載の発明は、端末装置と、自身のドメインのエイリアスを複数備えた情報提供システムとが通信ネットワークに接続されたコンピュータシステムで用いられるコンテンッの実行方法である。そして、上記情報提供システム力コンテンツを識別するコンテンツ識別子と、上記エイリアスを識別するドメイン識別子とを関連付けて記憶するための記憶手段を備える。また、上記端末装置の処理手段が、（a)コンテンツの実行要求と共に、当該コンテンツのコンテンツ識別子を情報提供システムに送信するステップを実行する。そして、上記情報提供システムの処理手段が、（b)コンテンツの実行要求と共に、当該コンテンツのコンテンツ識別子を上記端末装置から受信するステップと、（c)上記受信したコンテンツ識別子に関連付けられたドメイン識別子を上記記憶手段から読み出すステップと、 (d)上記受信したコンテンツ識別子及び上記読み出したドメイン識別子に基づいて、コンテンツのアドレスを生成するステップと、（ e)上記生成したコンテンツのアドレスを上記端末装置に送信するステップと、を実行する。続いて、上記端末装置の処理手段が、（f)上記生成したコンテンツのアドレスを上記情報提供システム力受信するステップと、 (g)当該受信したアドレスのドメインで、当該アドレスに対応するコンテンツを取得するステップと、 (h)当該取得したコンテンッを実行するステップと、を実行する。

[0013] 請求項 5記載の発明は、上記記憶手段において、上記コンテンツを識別するコンテンッ識別子に関連付けて記憶する上記エイリアスを識別するドメイン識別子は、上記通信ネットワークを通じて上記端末装置力提供されるものであることを特徴とした請求項 4記載のコンテンツの実行方法である。

発明の効果

[0014] コマンド識別子及びドメイン識別子の組合せに応じて、コマンド識別子に対応するコマンドを実行するので、コンテンツから呼び出される所定のコマンドの実行を制限することができる。また、コンテンツ識別子及びドメイン識別子に基づいて、コンテンツのアドレスを生成するので、アプリケーションプログラム間でそれぞれのデータや関数等の漏洩を防止することができる。

発明を実施するための最良の形態

[0015] 以下、図面を参照しながら、本発明の実施形態について説明する。

[0016] 図 1は、本実施形態のコンピュータシステムの全体構成を示すブロック図である。端末装置 10と、情報提供システム 20と力通信ネットワークとしてのインターネット 30に接続されている。ここで、端末装置 10とインターネット 30との接続は有線であるか無線であるかを問わない。

[0017] 図 2は、端末装置 10の構成図である。

[0018] 処理手段としての CPU12、記憶手段としての RAM13、 ROM14、及び HDD19 ( Hard Disk Drive)、入力手段としてのキーボード 16及びマウス 17、表示手段としてのディスプレイ 18並びに通信手段としての NIC15 (Network Interface Card) 力バス 11に接続されている。 HDD19には、ウェブブラウザのプログラム等が記憶されている。端末装置 10の CPUは、ウェブブラウザのプログラムを実行することにより、情報提供システム 20が提供するコンテンツを実行して表示することができるようになつている。端末装置 10としては、例えば、 PC (Personal Computer)、 PDA (Pers onal Digital Assistance)、インターネット接続機能を有する携帯電話等が該当するが、本実施形態では PCを採用している。

[0019] 図 3は、情報提供システム 20の構成図である。

[0020] 処理手段としての CPU22、記憶手段としての RAM23、 ROM24、及び HDD26 ( Hard Disk Drive)並びに通信手段としての NIC25 (Network Interface Car d)力バス 21に接続されている。 HDD26には、コマンド実行プログラム、コマンド情報ファイル、パーミッション情報ファイル等が記憶されている。情報提供システム 20の CPUは、コマンド実行プログラムを実行することにより、所定のコマンドを実行することができるようになつている。また、当該情報提供システム 20は、 DNS (Domain Na me System)により、自身のドメインのエイリアスを複数備えている。本実施形態では、当該情報提供システム 20のアドレスとしての URL (Uniform Resource Loca tor)は、「http： ZZdomainl」、「http： //domain2j及び「http： //domain3 」という 3つのエイリアスで表現される。さらに、本実施形態では、情報提供システム 20 として、一般的なウェブサーバを採用している。

[0021] 図 4は、コマンド情報ファイルの構造図である。当該コマンド情報ファイルには、情報提供システム 20に対するコマンドを識別するコマンド識別子及びコマンドを実行するドメインを識別するドメイン識別子の組合せと、当該コマンドの実体とが関連付けて格納されている。コマンド識別子としては、例えば、コマンド名等が該当し、ドメイン識別子としては、例えば、ドメイン名等が該当する。さらに、コマンドの実体としては、例えば、コマンドの実行内容等が該当する。図 4の第二レコードでは、コマンド識別子「 cmd001 (ls)」及びドメイン識別子「domainl」の組合せと、コマンドの実体「ls /ro ot」とが関連付けて格納されている。ここで、情報提供システム 20の CPUは、コマンド識別子及びドメイン識別子の組合せに関連付けられたコマンドの実体を読み出して、当該コマンドの実体に基づ、てコマンドを実行できるようになって!/、る。

[0022] 図 5は、パーミッション情報ファイルの構造図である。当該パーミッション情報フアイノレには、コンテンツを識另 Uするコンテンツ識另 U子及び当該コンテンツを実行するドメインを識別するドメイン識別子の組合せと、当該コンテンツに対するアクセス権を識別するパーミッション識別子とが関連付けて格納されている。パーミッション識別子としては、例えば、 UNIX (登録商標）システムで利用されるパーミッション等が該当する。図 5の第一レコードでは、コンテンツ識別子「content001」及びドメイン識別子「dom ainl」の組合せと、パーミッション識別子「pl (rw—）」が関連付けて格納されている。ここで、情報提供システム 20の CPUは、コンテンツ識別子及びドメイン識別子の組合せに関連付けられたパーミッション識別子をパーミッション情報ファイル力読み出して、当該読み出したパーミッション識別子に基づいて当該コンテンツ識別子に対応するコンテンツのアクセス権を特定することができるようになって、る。

[0023] 次に、本実施形態のコンピュータシステムの動作について説明する。

(実施形態 1)

[0024] 図 6は、端末装置 10及び情報提供システム 20のフローチャートである。

[0025] 端末装置 10の CPUは、コンテンツとしてのアプリケーションプログラムの実行要求と共に、当該コンテンツのコンテンツ識別子としてのアプリケーション名「content002」と、当該コンテンツの実行先のドメイン識別子「domain2」とをキーボードから受け付ける。続いて、端末装置 10の CPUは、受け付けたコンテンツの実行要求と、コンテンッ識別子「content002」と、実行先のドメイン識別子「domain2」と、コンテンツの要求元のドメイン識別子「domainl」とを情報提供システム 20に送信する（S10)。ここで、要求元のドメイン識別子は、「HTTP— REFERER」変数により送信される。 [0026] 情報提供システム 20の CPUは、コンテンツの実行要求と、コンテンツ識別子「cont ent002」、実行先のドメイン識別子「domain2」と、コンテンツの要求元のドメイン識別子「domainl」とを端末装置 10から受信する。そして、情報提供システム 20の CP Uは、受信したコンテンツ識別子「content002」及び受信した要求元のドメイン識別子「domainl」の組合せに関連付けられたパーミッション識別子「p3 (r— x)」をパーミッシヨン情報ファイル力も読み出す（S12)。続いて、情報提供システム 20の CPUは、読み出したパーミッション識別子「p3 (r-x)」が実行を許可するものである場合に、受信したコンテンツ識別子「_Content002」及び受信した実行先のドメイン識別子「do main2jに基づ、て、コンテンツのアドレス「http： //domain2/content002jを生成する（S14)。そして、情報提供システム 20の CPUは、生成したアドレスを端末装置 10に送信する（S16)。

[0027] 端末装置 10の CPUは、アドレス「http： //domain2/content002jを受信する。そして、端末装置 10の CPUは、受信したアドレス「http : ZZdomain2Zcontent 002」を参照先として含むフレームとしてのインラインフレームを生成する（S18)。続いて、端末装置は、当該インラインフレームにより、コンテンツの取得要求と共に、アドレス「http： //domain2/content002jと、コンテンツの要求元のドメイン識別子「 domainl」とを情報提供システム 20に送信する（S20)。ここで、要求元のドメイン識別子は、「HTTP— REFERER」変数により送信される。

[0028] 情報提供システム 20の CPUは、コンテンツの取得要求と共に、アドレス「http： / /domain2/content002jと、要求元のドメイン識別子「domainl」とを受信する。そして、情報提供システム 20の CPUは、受信した要求元のドメイン識別子に応じて、受信したアドレスに対応するコンテンツを生成する（S 22)。例えば、要求元のドメイン識別子が、アドレスに対応するコンテンツの実行を許可していない場合には、別のドメインにリダイレクトするコンテンツを生成してもよい。続いて、情報提供システム 20の CPUは、生成したコンテンツを端末装置 10に送信する（S24)。ここで、 S22において生成されたコンテンツは、予め情報提供システム 20の HDDに格納されている静的なコンテンツであってもよ！/、。

[0029] 端末装置 10の CPUは、生成したコンテンツを受信し、当該コンテンツを取得する（ S26) ₀そして、端末装置 10の CPUは、取得したコンテンツとしてのアプリケーションプログラムを実行する（S28)。次に、端末装置 10の CPUは、コマンドの実行要求と共に、コマンド識別子「cmd003」をキーボードから受け付ける。続いて、端末装置 10 の CPUは、受け付けたコマンドの実行要求と、コマンド識別子「cmd003」と、コマンドの要求元のドメイン識別子「domain2」とを情報提供システム 20に送信する（S30) 。ここで、要求元のドメイン識別子は、「HTTP— REFERER」変数により送信される。

[0030] 情報提供システム 20の CPUは、コマンドの実行要求と、コマンド識別子「cmd003 」と、コマンドの要求元のドメイン識別子「domain2」とを受信する。そして、情報提供システム 20の CPUは、受信したコマンド識別子「cmd003」及び受信した要求元のドメイン識別子「domain2」の組合せに関連付けられたコマンドの実体「send (only 100 timesZhour)」をコマンド情報ファイル力も読み出す（S32)。続いて、情報提供システム 20の CPUは、読み出したコマンドの実体に基づいてコマンドを実行する（ S34)。

[0031] これによると、同じコマンド名であっても、ドメインに応じてその実行内容を変更することができる。例えば、同じコマンド名「ls」であっても、コマンド名及びドメイン名の組合せに応じて、「ls /root J , 「ls /root/webapi」のように Isコマンドのパラメータのデフォルト値を変更することができる。同様に、コマンド名「read」であっても、コマンド名及びドメイン名の組合せに応じて、「read all」（全部読む）、「read first 10 li nesj (最初の 10行を読む）のように読み出す範囲を変更することができる。また、コマンド名及びドメイン名の組合せに応じて、メール送信コマンドに、 1時間に 100通までといった制限をつけたり、コマンド名「read」に対して「list」コマンドに相当するコマンドを実行したりすることもできる。さらに、アプリケーションプログラム間でそれぞれのデータゃ関数等の漏洩を防止することができる。

(実施形態 1の変形 1)

[0032] 図 4のコマンド情報ファイルの代わりに、図 12のコマンド情報ファイルを採用してもよい。図 12は、コマンド情報ファイルの構造図である。当該コマンド情報ファイルには、情報提供システム 20に対するコマンドを識別するコマンド識別子と、当該コマンド識別子に対応するコマンドを実行することが許可されたドメインを識別するドメイン識別子とが関連付けて格納されている。コマンド識別子としては、例えば、コマンド名等が該当し、ドメイン識別子としては、例えば、ドメイン名等が該当する。図 4の第一レコードでは、コマンド識別子としてのコマンド名「cmd001」と、ドメイン名「domainl」とが関連付けて格納されている。情報提供システム 20の CPUは、コマンド識別子に関連付けられたドメイン識別子を読み出すことにより、コマンド識別子に対応するコマンドを実行することが可能なドメインを特定することができるようになって、る。

[0033] 情報提供システム 20の CPUは、端末装置 10から受信したコマンド識別子に関連付けられたドメイン識別子をコマンド情報ファイル力読み出し、当該読み出したドメイン識別子が、端末装置 10から受信した実行先のドメイン識別子と同一の場合に受信したコマンド識別子に対応するコマンドを実行する。ここで、当該読み出したドメイン識別子が、端末装置 10から受信した実行先のドメイン識別子と同一でない場合に受信したコマンド識別子に対応するコマンドを実行するようにしてもよい。

(実施形態 1の変形 2)

[0034] 本実施形態では、実施形態 1の構成のほかに、情報提供システム 20が、 HDDにコンテンッ情報ファイルを記憶している。図 13は、コンテンツ情報ファイルの構造図である。当該コンテンツ情報ファイルには、コンテンツを識別するコンテンツ識別子と、当該コンテンツを実行する実行先のドメイン識別子とが関連付けて記憶されている。コンテンツ識別子としては、例えば、アプリケーションプログラムのアプリケーション名等が該当し、ドメイン識別子としては、例えば、ドメイン名が該当する。図 13の第一レコードでは、コンテンツ識別子「content001」が、実行先のドメイン識別子「 domain 1」と関連付けて記憶されている。ここで、情報提供システム 20の CPUは、コンテンツ識別子に関連付けられた実行先のドメイン識別子を読み出して、コンテンツの実行先のドメイン識別子を特定することができるようになって、る。

[0035] 情報提供システム 20の CPUは、 S10においてコンテンツの実行先のドメイン識別子を端末装置 10から受信しな力つた場合に、受信したコンテンツ識別子に関連付けられたドメイン識別子を当該コンテンツ情報ファイルカゝら読み出して実行先のドメイン識別子として使用する。

(実施形態 1の変形 3) [0036] 実施形態 1においては、 S18においてインラインフレームを生成し、当該インラインフレームにおいて、受信したアドレスに対応するコンテンツを取得している力インラインフレームを生成せずにコンテンツの要求元のページに当該コンテンツを取得するようにしてもよい。

[0037] また、予め用意されたインラインフレームにおいて、所定のコールバック関数を定義しておき、コンテンッの要求元のページから当該コールバック関数を指定して XMLH ttpRequestを行うことにより、上記予め用意されたインラインフレームに、受信したァドレスに対応するコンテンツを取得してもよい。ここで、上記コールバック関数は、予め定義されたページを XMLHttpRequestで得たデータに基づいてページ遷移させるように定義される。

(実施形態 2)

[0038] 図 7は、第一のコンテンツとしてのデスクトップ画面を表示する処理における、端末装置 10及び情報提供システム 20のフローチャートである。

[0039] 端末装置 10の CPUは、情報提供システム 20に対応する所定の URLとして、例えば、 rhttp： //domainl/login. htm」をキーボードから受付ける。そして、端末装置 10の CPUは、当該受付けた URLに基づいて、ログイン画面の閲覧要求を情報提供システム 20に送信する（S50)。

[0040] 情報提供システム 20の CPUは、ログイン画面の閲覧要求を端末装置 10から受信する。そして、情報提供システム 20の CPUは、ログイン画面の HTML (HyperText Markup Language)ファイルを HDDから読み出して、当該読み出したログイン画面の HTMLファイルを端末装置 10に送信する（S 55)。

[0041] 端末装置 10の CPUは、ログイン画面の HTMLファイルを情報提供システム 20から受信する。そして、端末装置 10の CPUは、当該受信したログイン画面の HTMLファィルに基づいて、ウェブブラウザを通じて、ログイン画面をディスプレイに表示する（S 60)。続いて、端末装置 10の CPUは、ユーザを識別するユーザ識別子として、ユーザ ID及びパスワードを、ログイン画面を通じて、キーボード力も受付ける。また、端末装置 10の CPUは、当該受付けたユーザ ID及びパスワードを情報提供システム 20に送信する（S65)。 [0042] 情報提供システム 20の CPUは、ユーザ ID及びパスワードを情報提供システム 20 から受信する。そして、情報提供システム 20の CPUは、受信したユーザ ID及びパスワードの組合せ力所定のユーザ情報ファイルに格納されて!、る力確認することによつて、ユーザの認証を行う（S70)。ここで、所定のユーザ情報ファイルは、予め HDD に記憶されている。続いて、情報提供システム 20の CPUは、受信したユーザ ID及びパスワードの組合せ力所定のユーザ情報ファイルに格納されている場合には、ユーザの認証が成功したものとして以下の処理を行う。

[0043] 情報提供システム 20の CPUは、第一のセッション IDを作成する（S75)。本実施形態では、第一のセッション IDとして、例えば、「999」を作成する。ここで、セッション ID は、乱数とハッシュ値等とを組み合わせて第三者に予測不可能な値として作成する力説明の便宜上、上記のように第三者に予測可能な値を用いているものとする。

[0044] 次に、情報提供システム 20の CPUは、第一のセッション ID「999」を含む第一のコンテンッとしてのデスクトップ画面の HTMLファイルを作成して HDDに記憶する。 (S 80)。ここで、本実施形態では、第一のセッション ID「999」は、デスクトップ画面の隠しフィールド「SID」の値として保存されている。また、デスクトップ画面の URLは、例えば、「http : ZZdomainlZdesktop. htm」であるとする。

[0045] 情報提供システム 20の CPUは、デスクトップ画面の URLからデスクトップ画面が属するドメインのドメイン識別子「domainl」を抽出する。続いて、情報提供システム 20 の CPUは、作成した第一のセッション ID「999」と、抽出したデスクトップ画面が属するドメインのドメイン識別子「domainl」とを関連付けて RAMに記憶する（S85)。そして、情報提供システム 20の CPUは、作成したデスクトップ画面の HTMLファイルを端末装置 10に送信する（S90)。

[0046] 端末装置 10の CPUは、デスクトップ画面の HTMLファイルを、情報提供システム 2 0から受信する。そして、端末装置 10の CPUは、当該受信したデスクトップ画面の H TMLファイルに基づいて、ウェブブラウザを通じて、デスクトップ画面をディスプレイに表示する（S95)。図 10は、デスクトップ画面の一例を示す構成図である。当該デスクトップ画面は、アプリケーションプログラムを起動するためのアイコン 31を備えている。ここで、アイコン 31は、所定のコンテンツ識別子、及び所定の実行先のドメイン識別子と関連付けてデスクトップ画面の HTMLファイルに格納されている。そして、端末装置 10の CPUは、マウスによりアイコン 31がクリックされたことを契機として、当該アイコン 31に関連付けられたコンテンツ識別子と、実行先のドメイン識別子とを HTM Lファイル力も読み出して、情報提供システム 20に送信するようになっている。

[0047] 図 8及び図 9は、第二のコンテンツとしてのアプリケーション画面を表示する処理における、端末装置 10及び情報提供システム 20のフローチャートである。

[0048] 端末装置 10の CPUは、マウスによりデスクトップ画面のアイコン 31がクリックされたことを契機として、例えば、コンテンツ実行要求と、当該アイコン 31に関連付けられたコンテンツ識別子「content002」と、実行先のドメイン識別子「domain2」と、第一のセッション ID「999」とを、デスクトップ画面の HTMLファイルから読み出して情報提供システム 20に送信する（S100)。

[0049] 情報提供システム 20の CPUは、コンテンツ識別子「content002」と、実行先のドメイン識別子「domain2」と、第一のセッション ID「999」とを端末装置 10から受信する。そして、情報提供システム 20の CPUは、受信したセッション IDが RAMに記憶されている力確認することによって、セッションの認証を行う（S105)。続いて、情報提供システム 20の CPUは、受信したセッション IDが RAMに記憶されている場合には、セッシヨンの認証が成功したものとして以下の処理を行う。

[0050] 情報提供システム 20の CPUは、受信したセッション ID「999」に関連付けられたドメイン識別子「domainl」を RAMカゝら読み出す (S110)。そして、情報提供システム 2 0の CPUは、受信したコンテンツ識別子「content002」及び読み出したドメイン識別子「domainl」の組合せに関連付けられたパーミッション識別子「p3 (r— x)」をパーミッシヨン情報ファイル力も読み出す（S115)。続いて、情報提供システム 20の CPUは、読み出したパーミッション識別子「p3 (r-x)」が実行を許可するものである場合に、受信したコンテンツ識別子「_Content002」及び受信した実行先のドメイン識別子「do main2jに基づ、て、コンテンツのアドレス「http： //domain2/content002jを生成する（S120)。そして、情報提供システム 20の CPUは、生成したアドレスを端末装置 10に送信する（S125)。

[0051] 端末装置 10の CPUは、アドレス「http： //domain2/content002jを受信する。そして、端末装置 10の CPUは、受信したアドレス「http : ZZdomain2Zcontent 002」を参照先として含むフレームとしてのインラインフレームを生成する（SI 30)。続いて、端末装置は、当該インラインフレームにより、コンテンツの取得要求と共に、アドレス「http： //domain2/content002jと、第一のセッション ID「999」とを情報提供システム 20に送信する（S135)。

[0052] 情報提供システム 20の CPUは、コンテンツの取得要求と共に、アドレス「http： / Zdomain2Zcontent002」と、第一のセッション ID「999」とを受信する。そして、情報提供システム 20の CPUは、受信したセッション IDが RAMに記憶されて!、るか確認すること〖こよって、セッションの認証を行う（S 140)。続いて、情報提供システム 20 の CPUは、受信したセッション IDが RAMに記憶されている場合には、セッションの認証が成功したものとして以下の処理を行う。

[0053] 情報提供システム 20の CPUは、受信したセッション ID「999」に関連付けられたドメイン識別子「domainl」を RAM力も読み出す (S145)。そして、情報提供システム 2 0の CPUは、読み出したドメイン識別子「domainl」が受信したアドレス「http： //ά omain2/content002jのドメインでの実行を許可するものである場合に、第二のセッシヨン 10「111」を作成する 150)。続いて、情報提供システム 20の CPUは、読み出したドメイン識別子に応じて、受信したアドレスに対応するコンテンッを生成し、当該コンテンツに第二のセッション IDを格納する（S155)。そして、情報提供システム 20の CPUは、第二のセッション ID「111」と当該コンテンツのドメイン識別子「dom ain2」とを関連付けて RAMに記憶する（SI 60)。続いて、情報提供システム 20の C PUは、生成したコンテンツを端末装置 10に送信する（S 165)。ここで、 S155において生成されたコンテンツは、予め情報提供システム 20の HDDに格納されている静的なコンテンツであってもよ！/、。

[0054] また、新しく生成したコンテンツにセッション IDを渡す方法として、 GET又は POST のパラメータとして渡す方法、 Cookieを利用する方法などがある力本実施形態では、 GETのパラメータとして渡す方法を採用している。また、実行先のドメインの別のコンテンツがすでに存在し、そのコンテンツがセッション IDを持っている場合は、新しく生成した実行先のドメインのコンテンツは、すでに存在して!/、る実行先のドメインのコンテンツに含まれるセッション IDを自由に読み出して利用することができるので、第二のセッション IDを生成して渡す処理は不要となる。

[0055] 端末装置 10の CPUは、生成したコンテンツを受信し、当該コンテンツを取得する（ S170)。そして、端末装置 10の CPUは、取得したコンテンツとしてのアプリケーションプログラムを実行する（S 175)。図 11は、当該実行結果としてのアプリケーション画面をインラインフレームに表示するデスクトップ画面の一例を示す構成図である。ここで、アプリケーション画面は、アプリケーションプログラムの GUI (Graphical User I nterface)を備えて、る。

[0056] 次に、端末装置 10の CPUは、例えば、コマンドの実行要求と共に、コマンド識別子「cmd001」をキーボードから受け付ける。続いて、端末装置 10の CPUは、受け付けたコマンドの実行要求と、コマンド識別子「_Cmd001」と、第二のセッション ID「111」とを情報提供システム 20に送信する（S180)。

[0057] 情報提供システム 20の CPUは、コマンドの実行要求と、コマンド識別子「cmd001 」と、第二のセッション ID「111」とを受信する。そして、情報提供システム 20の CPU は、受信したセッション IDが RAMに記憶されているか確認することによって、セッションの認証を行う（S185)。続いて、情報提供システム 20の CPUは、受信したセッション IDが RAMに記憶されている場合には、セッションの認証が成功したものとして以下の処理を行う。

[0058] 情報提供システム 20の CPUは、受信したセッション ID「111」に関連付けられたドメイン識別子「domain2」を RAM力も読み出す（S190)。そして、情報提供システム 2 0の CPUは、受信したコマンド識別子「cmd001」及び読み出したドメイン識別子「do main2jの組合せに関連付けられたコマンドの実体「ls /root/webapijをコマンド情報ファイル力も読み出す (S195)。続いて、情報提供システム 20の CPUは、読み出したコマンドの実体に基づ、てコマンドを実行する（S200)。

[0059] ここで、コンテンツとしてのアプリケーションプログラム毎に異なる権限を定義したセッシヨン IDを発行することにより、コンテンツとしてのアプリケーションプログラムから呼び出される所定のコマンドの実行を制限する従来技術と比較する。

[0060] 従来技術では、ウェブブラウザで実行される複数のコンテンツとしてのアプリケーシヨンプログラムで、所定の機能を実現する場合、それらのコンテンツが同一のフレーム内、又は別フレームであっても同一のドメインに属する場合、相互にお互いのデータにアクセスすることができる。クロスドメインのセキュリティーの制限がないためである。そのため、一方のコンテンツから他方のコンテンツのセッション IDを読み取ることにより、本来、割り当てられた以上の権限のセッション IDを不正に取得することができる。

[0061] また、他の従来技術においては、（1)同一のフレーム内でアプリケーションプロダラムのコンテンツを複数実行する方法と、（2)別フレームを内部で開き、フレーム毎にァプリケーシヨンプログラムのコンテンツを実行する方法とがある。別フレームを内部で開く場合には、フレーム毎のアプリケーションプログラムのコンテンツは当然同一のドメインすなわち同一の情報提供システムに属する。一般的には、（2)の方法は、各フレーム間でデータを連携するコードが複雑になるため、（1)の方法が採用されている

[0062] 上記従来例においては、アプリケーションプログラムとシステムの権限分離が困難となり、第三者の作成したアプリケーションプログラムによりシステムのデータ等が取得される可能性がある。

[0063] 一方、本発明によると、同一のコンテンツ、コンポーネント又はアプリケーションプログラムを呼び出す場合であっても、呼び出し元のフレームに表示されるコンテンツが属するドメインを切り替えることにより、処理内容を変える、或いはアプリケーションプログラム間でのデータ漏洩を防ぐといったことができるようになる。例えば、同一のテキストェデイタであっても、「domainl」のコンテンツとして実行する場合と、「domain 2」のコンテンツとして実行する場合とで動作が異なるようにすることができる。

[0064] このときの処理を変えるための権限設定は、コンテンツに対して、ドメインによって、例えば起動する読み取り以外のコマンドの実行を制限したり、コンポーネントに対して、ドメインによって、例えば、コンポーネントの実行を制限したりする等の設定が可能であり、力かる設定を許可するか否かを所定の設定ファイルに記憶することができる。 (その他の実施形態）

[0065] ユーザ Aの使用するデスクトップ画面が属するドメインを「main. visionarts. com」とする。また、 DNSのゾーンファイルの設定により、 3つのドメイン「subdomainl. vis ionarts. com」、「subdomain2. visionarts. com」及び「subdomain3. visionart s. com」が予め用意されているとする。本実施形態では、パーミッション情報ファイルにおいて、コンテンツ識別子及びドメイン識別子「main. visionarts. com」の組合せに関連付けられたパーミッション識別子は、「読み込み」「書き込み」「実行」が可能となっている。したがって、ドメイン識別子「main. visionarts. com」に対応するドメインにおいて、コンテンツ情報ファイル、コマンド情報ファイル及びパーミッション情報フアイル等の編集が許可される。もちろん、ここではすべて「visionarts. com」のサブドメインとし力使つドメインには、「xxx. or. jp」、「yyy. jp」とヽつた「visionarts. co mjとは別のドメインを指定してもよ!/、。

[0066] ユーザ Aは、他者が作成したアプリケーションプログラム「apll」の試用版をダウン口ードし、所定のアプリドメインマネージャー（GUI)から、それを「subdomain3. vision arts. com」から実行するように変更することができる。すなわち、情報提供システム 2 0の CPUは、アプリドメインマネージャー（GUI)を通じて、コンテンツ識別子としての「 apll」と、ドメイン識別子としての「subdomain3. visionarts. com」を端末装置 10から受信する。そして、情報提供システム 20の CPUは、受信したコンテンツ識別子としての「apll」と、ドメイン識別子としての「subdomain3. visionarts. com」とを関連付けてコンテンツ情報ファイルに格納する。ここで、ユーザ Aは、必要に応じてドメイン情報ファイルを更新し、「subdomain3. visionarts. com」で実行できるコマンドを変更してちよい。

[0067] ユーザ Aは、しばらく使用してみて信頼できるアプリケーションだと判断した場合に、アプリドメインマネージャから、アプリケーションプログラム「apll」を、「subdomainl. visionarts. com」から実行できるものと変更することができる。すなわち、情報提供システム 20の CPUは、アプリドメインマネージャー（GUI)を通じて、コンテンツ識別子としての「apll」と、ドメイン識別子としての「subdomainl. visionarts. com」を端末装置 10力も受信する。そして、情報提供システム 20の CPUは、受信したコンテンッ識別子としての「apll」と、ドメイン識別子としての「subdomainl. visionarts. co m」とを関連付けてコンテンツ情報ファイルに格納する。あるいは、ユーザ Aは、アプリドメインマネージャー（GUI)を通じて、ドメイン情報ファイルを更新し、「subdomain3 . visionarts. com」で実行できるコマンドを変更してもよい。

[0068] これによると、同一コンテンツを起動する場合であっても、起動するドメインに応じてコンテンツのパーミッションを変更することができる。

[0069] ここで、本発明は、上記実施形態に限られない。例えば、一つの情報提供システムに割り当てるドメインのエイリアスは、分離設定したい権限の数だけ用意してもよい。また、コンテンツとしてのドキュメントが当該コンテンツを表示する所定のコマンドゃァプリケーシヨンプログラムと関連付けられている場合において、当該コンテンツの属するドメインに応じて当該コマンドやアプリケーションプログラムの実行を制限して、コンテンッの表示を制御してもよい。さらに、コンテンツの拡張子に対応する各ドメイン毎での実行権限を設定できるようにしてもょ、。

図面の簡単な説明

[0070] [図 1]本実施形態のコンピュータシステムの全体構成を示すブロック図である。

[図 2]端末の構成図である。

[図 3]情報提供システムの構成図である。

[図 4]コマンド情報ファイルの構造図である。

[図 5]パーミッション情報ファイルの構造図である。

[図 6]第一の実施形態における、端末装置及び情報提供システムのフローチャートである。

[図 7]第一のコンテンツとしてのデスクトップ画面を表示する処理における、端末装置及び情報提供システムのフローチャートである。

[図 8]第二のコンテンツとしてのアプリケーション画面を表示する処理における、端末装置及び情報提供システムのフローチャートである。

[図 9]図 8のフローチャートの続きである。

[図 10]デスクトップ画面の一例を示す構成図である。

[図 11]アプリケーション画面をインラインフレームに表示するデスクトップ画面の一例を示す構成図である。

[図 12]コマンド情報ファイルの構造図である。

[図 13]コンテンツ情報ファイルの構造図である。符号の説明

〇端末装置

11 ノス

12 CPU (処理手段）

13 RAM (記憶手段）

14 ROM (記憶手段）

15 NIC (通信手段）

16 キーボード (入力手段）

17 マウス (入力手段）

18 ディスプレイ（表示手段）

19 HDD (記憶手段）

20 情報提供システム

21 ノス

22 CPU (処理手段）

23 RAM (記憶手段）

24 ROM (記憶手段）

25 NIC (通信手段）

26 HDD (記憶手段）

30 インターネット（通信ネットワーク）

31 アプリケーションプログラムを起動するためのアイコン

Claims

請求の範囲

[1] 記憶手段、通信手段及び処理手段を備えた情報提供システムに用いられるコマンド実行プログラムであって、

前記記憶手段に、

前記情報提供システムに対するコマンドを識別するコマンド識別子と、ドメインを識別するドメイン識別子とを関連付けて記憶すると共に、

前記処理手段に、

(a)コマンドの実行要求と共に、当該コマンドのコマンド識別子と、当該コマンドを呼び出したコンテンツが属するドメインのドメイン識別子とを、外部の端末装置から前記通信手段を介して受信するステップと、

(b)前記受信したコマンド識別子に関連付けられたドメイン識別子を前記記憶手段から読み出すステップと、

(c)前記 aステップで受信したドメイン識別子と、前記 bステップで読み出したドメイン識別子とが同一である場合に、前記受信したコマンド識別子に対応するコマンドを実行するステップと、

を実行させることを特徴としたコマンド実行プログラム。

[2] 前記 cステップ力前記 aステップで受信したドメイン識別子と、前記 bステップで読み出したドメイン識別子とが同一でない場合に、前記受信したコマンド識別子に対応するコマンドを実行するステップであることを特徴とした請求項 1記載のコマンド実行プログラム。

[3] 記憶手段、通信手段及び処理手段を備えた情報提供システムに用いられるコマンド実行プログラムであって、

前記記憶手段に、

前記情報提供システムに対するコマンドを識別するコマンド識別子及び当該コマンドを実行するドメインを識別するドメイン識別子の組合せと、当該コマンドの実体とを関連付けて記憶すると共に、

前記処理手段に、

(b)前記受信したコマンド識別子及び前記受信したドメイン識別子の組合せに関連付けられたコマンドの実体を前記記憶手段力読み出すステップと、

(C)前記読み出したコマンドの実体に基づいてコマンドを実行するステップと、を実行させることを特徴としたコマンド実行プログラム。

端末装置と、自身のドメインのエイリアスを複数備えた情報提供システムとが通信ネットワークに接続されたコンピュータシステムで用いられるコンテンツの実行方法であつて、

前記情報提供システムが、

コンテンツを識別するコンテンツ識別子と、前記エイリアスを識別するドメイン識別子とを関連付けて記憶するための記憶手段を備え、

前記端末装置の処理手段が、

(a)コンテンツの実行要求と共に、当該コンテンツのコンテンツ識別子を情報提供システムに送信するステップを実行し、

前記情報提供システムの処理手段が、

(b)コンテンツの実行要求と共に、当該コンテンツのコンテンツ識別子を前記端末装置力受信するステップと、

(c)前記受信したコンテンツ識別子に関連付けられたドメイン識別子を前記記憶手段から読み出すステップと、

(d)前記受信したコンテンツ識別子及び前記読み出したドメイン識別子に基づ、て、コンテンツのアドレスを生成するステップと、

(e)前記生成したコンテンツのアドレスを前記端末装置に送信するステップと、を実行し、

前記端末装置の処理手段が、

(f)前記生成したコンテンツのアドレスを前記情報提供システム力受信するステップと、

(g)当該受信したアドレスのドメインで、当該アドレスに対応するコンテンツを取得するステップと、

(h)当該取得したコンテンッを実行するステップと、

を実行することを特徴としたコンテンツの実行方法。

前記記憶手段にぉ、て、前記コンテンツを識別するコンテンツ識別子に関連付けて記憶する前記エイリアスを識別するドメイン識別子は、前記通信ネットワークを通じて前記端末装置力提供されるものであることを特徴とした請求項 4記載のコンテンッの実行方法。