コンピュータ装置上の記憶領域へのアプリケーションレベルのアクセス特権
【課題】装置の記憶領域へのアクセスをアプリケーションに対して制限するための方法を提供する。
【解決手段】装置の受信手段によって、ネットワークを介してアプリケーションを受信するステップと、前記装置のディレクトリ作成手段によって、前記アプリケーションを受信したときに、前記アプリケーションの固有の識別子に基づいて、前記装置上の記憶領域に固有のサブディレクトリを作成するステップと、前記装置のアプリケーションを記憶するための手段によって、前記固有のサブディレクトリに前記アプリケーションを記憶するステップと、前記装置のサブサブディレクトリをルートディレクトリへマップする手段によって、前記アプリケーション固有のサブサブディレクトリをルートディレクトリへマップすることによって、前記記憶領域へのアクセスを前記アプリケーションに許可するステップを、含む。
【解決手段】装置の受信手段によって、ネットワークを介してアプリケーションを受信するステップと、前記装置のディレクトリ作成手段によって、前記アプリケーションを受信したときに、前記アプリケーションの固有の識別子に基づいて、前記装置上の記憶領域に固有のサブディレクトリを作成するステップと、前記装置のアプリケーションを記憶するための手段によって、前記固有のサブディレクトリに前記アプリケーションを記憶するステップと、前記装置のサブサブディレクトリをルートディレクトリへマップする手段によって、前記アプリケーション固有のサブサブディレクトリをルートディレクトリへマップすることによって、前記記憶領域へのアクセスを前記アプリケーションに許可するステップを、含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータ装置において使用するためのアプリケーションの処理、とくに、ファイル構造内にアプリケーションを記憶し、かつコンピュータ装置上の記憶領域へのアプリケーションのアクセスを制限することに関する。
【背景】
【0002】
無線通信は、近年、爆発的な伸びを経験した。消費者および企業は、移動電話およびパーソナルディジタルアシスタント(personal digital assistant, PDA)のような無線装置により依存しているので、無線サービスプロバイダ、すなわち通信業者は、これらの無線装置に対して追加の機能を提供するように努力している。この追加の機能により、無線装置に対する需要が増加するだけでなく、現在のユーザ間における使用量も増加する。
【0003】
無線装置におけるアプリケーションの実行について検討するとき、無線装置の環境は、固有の問題を引き起こす。アプリケーションをダウンロードし、かつアプリケーションを取出す方法を発展させる必要がある。さらに加えて、無線装置にはセキュリティも必要とされている。無線装置におけるセキュリティの問題には、アプリケーションが、無線装置か、または無線装置が通信しているネットワーク上で、他のファイルを、意図されて、または意図されずに、劣化または損うことができなくなるような、可能な限り最良のやり方で環境を制御することが含まれる。
【0004】
アプリケーションは、実行中に、装置上に記憶されているか、または装置にアクセス可能なファイルの読み出し、書込み、および変更のような種々の処理を行なうことができる。これらのファイルは、装置によって使用されるシステムファイル(例えば、装置ドライバー、他のアプリケーションファイル、または他のデータファイル)である。
【0005】
アプリケーションが、装置、または装置に接続された他のシステムへ与える損傷を制限するためのセキュリティの対策として、装置にアクセス可能な他のファイルへのアプリケーションのアクセスを制御することが望ましい。この損傷は、アプリケーションに対するウイルスによるときは意図されたものであり、アプリケーションが、不完全に書込まれた符号を使用して実行され、不完全に書込まれた符号が、意図せずに資源を占め、他のアプリケーションまたはデータに損傷を与えるときは、意図されたものではない。
【0006】
現在、記憶領域へのアプリケーションのアクセスを制御する唯一の方法には、ユーザへの特権レベルを定めることが含まれる。ユーザは、種々の記憶領域内のファイルを読み出したり、書込んだり、あるいは変更したりできるようにする特権レベルを与えられる。この機構は、ユーザレベルにおいてアクセスを制御するだけである。
【0007】
しかしながら、この実行では、アプリケーションの実行に基づいて、記憶部へのアクセスを制限できない。ユーザ自身は、記憶部へのアプリケーションのアクセスを制限することを試みないが、ユーザによって実行される全アプリケーションは、ユーザに定められているのと、同じ記憶部へのアクセス権を与えられる。さらに加えて、ユーザの制御以外には、記憶部へのアプリケーションのアクセスを制限する機構はない。
【0008】
したがって、この技術において、記憶部へのアプリケーションのアクセスを制限するためのシステムおよび方法が必要とされている。さらに加えて、装置または装置のユーザが、アプリケーションへ加えられたアクセスの制限を変えることができなくなるように、このような制限を設定することが好ましい。
【発明の概要】
【0009】
本発明にしたがうシステムおよび方法では、アプリケーション記憶部のためのより安全な環境を生成し、かつアプリケーションの他の記憶領域へのアクセスを制限することによって、既存のシステムの欠点を克服している。さらに加えて、本発明にしたがうシステムおよび方法は、装置または装置のユーザ、あるいはこの両者が、アプリケーションに加えられたアクセスの制限を変更できなくなるような機構を提供する。
【0010】
1つの実施形態では、装置に対してアプリケーションを実行する方法であって、アプリケーションを実行する要求を受信するステップと、アプリケーションが変更されたかどうかを判断するステップと、アプリケーションが変更されていなかったときは、固有の記憶位置へアプリケーションをマップするステップと、固有の記憶位置へのアプリケーションのアクセスを許可するステップと、固有の記憶位置への第2のアプリケーションのアクセスを拒否するステップとを含む方法を提供する。
【0011】
別の実施形態では、本発明は、ファイル構造を有し、ファイル構造内にファイルを記憶するための制御プログラムを含む装置であって、制御プログラムが、ファイル構造内に多数のアプリケーションを記憶するように動作でき、各アプリケーションがファイル構造の関係付けられている部分を有し、かつ制御プログラムが、関係付けられている部分へ各アプリケーションのアクセスを許可し、かつ記憶領域の他の関係付けられている部分への各アプリケーションのアクセスを拒否するように動作できる装置を提供する。
【0012】
さらに別の実施形態では、本発明は、装置にアプリケーションを記憶するための方法であって、装置においてアプリケーションを受信するステップと、装置上で記憶部にアプリケーションを記憶するステップと、装置に対するユーザのアクセス特権とは無関係に、記憶部上の固有の部分へのアプリケーションのアクセスを制限するステップとを含む方法を提供する。本発明の別の実施形態は、次の記述および添付の図面にも記載されている。
【0013】
添付の図面は、本明細書の一部分に取入れられ、かつそれを構成しているものであって、本発明の現在の好ましい実施形態を示し、かつこれまでの全体的な記述、およびこれらが示す好ましい実施形態の詳細な記述と共に、本発明の原理を説明するのに役立つ。
【好適な実施形態の詳細な説明】
【0014】
添付の図面では、いくつかの全図面において同じまたは対応する部分を同じ参照符号で示しており、ここでは、添付の図面に示されている本発明の現在の例示的な好ましい実施形態を詳しく参照することにする。本発明の性質、目的、および長所は、添付の図面に関連する次の詳細な記述を検討した後で、当業者にはより明らかになるであろう。
【0015】
序論
本発明は、コンピュータ装置上の記憶領域へのアプリケーションのアクセスを制限する。装置の同一ユーザは、多数のアプリケーションをインストールしてもよい。ユーザは、全てのアプリケーションおよび各アプリケーションの記憶領域へアクセスしてもよい。しかしながら、本発明にしたがうシステムおよび方法は、特定のアプリケーションに割り当てられた記憶領域以外の記憶領域へのアプリケーションの各アクセスを制限する。これが、ユーザごとにではなく、アプリケーションごとにアクセスを定めることによって、アプリケーションが上書きまたはアクセスすべきではない記憶領域に上書きするか、または不適切にアクセスすることによって生じる望ましくない結果を低減することによって、アプリケーションのより安全な実行を実現することができる。アプリケーションを実行するユーザが、アプリケーションがアクセスするのを禁じられている他の記憶領域へアクセスする権利をもつときでも、これは安全性のレベルを高める。
【0016】
さらに加えて、本発明にしたがうシステムおよび方法では、多数のアプリケーションが、プライベートで、かつセキュリティ保護された領域を維持するが、データおよびライブラリのようなファイルを他のアプリケーションとも共用するように、記憶部の共用領域へのアクセス権も与える。
【0017】
当業者には、上述では、開示を簡潔にするために、分配および実行されるアプリケーションのファイルのタイプを記載したことも分かるであろう。“アプリケーション”には、オブジェクトコード、スクリプト、ジャバファイル、ブックマークファイル(またはPQAファイル)、WMLスクリプト、バイトコード、およびパールスクリプトのような実行可能な内容をもつファイルも含まれる。さらに加えて、本明細書において参照される“アプリケーション”には、開く必要のある文書のような、実際には実行できないファイルか、またはアクセスされる必要のある他のデータファイルも含まれる。
【0018】
図1は、記憶部を有するコンピュータ装置であって、本発明の例示的な実施形態が実行されるコンピュータ装置を示すブロック図である。この例示的な実施形態において、コンピュータ装置105は、記憶領域110と、バス130を介して相互接続されているCPU115および入力/出力(input/output, I/O)インターフェイス120とを含んでいる。当業者には、これらが、コンピュータ装置内に構成される構成要素のいくつかのみであることが分かるであろう。さらに加えて、コンピュータ装置の種々の構成要素を相互接続する多くの他の範例が使用される。
【0019】
コンピュータ装置105は、ネットワーク100を介して外部システムとインターフェイスし、さらに加えて、I/O装置125(例えば、CD−ROM、スマートカード、またはフロッピー(登録商標)ディスク)を介してI/Oインターフェイス120へのアプリケーションまたは他のデータを受信する。コンピュータ装置105の記憶領域110を使用して、コンピュータ装置105へ受信されるデータおよびアプリケーションを記憶する。記憶領域110には、ハードディスクドライブ、フラッシュメモリ、または他の記憶方法(図示されていない)が含まれる。さらに加えて、コンピュータ装置は、オペレーティングシステムファイル、資源ファイル、構成ファイル、およびライブラリのような記憶領域110に他の情報を記憶する。しかしながら、ROM、EPROM、およびRAMのような別の記憶領域を使用して、これらのファイルまたは他のファイルを記憶してもよい。
【0020】
コンピュータ装置は、ネットワーク100に接続されているときの、固定位置のパーソナルコンピュータであっても、またはネットワーク100と通信しているときの、地理的位置が変わる移動無線装置であってもよい。
アプリケーション135は、ネットワーク100またはI/O装置125を介して、コンピュータ装置によって受信される。既に記載したように、これらのアプリケーションには、オブジェクトコード、スクリプト、ジャバファイル、ブックマークファイル(またはPQAファイル)、WMLスクリプト、バイトコード、およびパールスクリプトのような実行可能な内容をもつファイルが含まれるが、これらに制限されるわけではない。
【0021】
ネットワーク100は、プライベートネットワーク、およびインターネットのようなパブリックネットワークを取り入れた陸線ネットワークであっても、または無線通信において使用されるRFネットワークを取入れてもよい。
本発明の1つの実施形態では、コンピュータ装置105は、QUALCOMM Incorporatedによって開発されたBREW APIのような制御プログラムも収める。本明細書に記載されているように、制御プログラムを使用して、アプリケーションへのアクセスを制限する記憶機構を調整することができる。
【0022】
図2は、本発明の例示的な実施形態における記憶部およびアプリケーションアクセスプロセスを有する無線装置を含む無線システムのアーキテクチャを示すブロック図である。中央サーバ202は、それ自体で、または認証サーバとの組み合わせで、定められた組のプログラミングの標準規格または規定と両立するアプリケーションプログラムを認証するエンティティである。既に記載したように、これらのプログラミングの標準規格は、アプリケーションが、QUALCOMM Incorporatedによって開発されたBREW(商標)ソフトウエアプラットフォーム上において、実行されるように設定される。
【0023】
1つの実施形態では、中央サーバデータベース204は、ネットワーク200内の各無線装置230上へ任意のときにダウンロードされる各アプリケーションプログラムに対する識別の記録、アプリケーションプログラムをダウンロードした個人に対する電子サービス番号(Electronic Service Number, ESN)、およびそのアプリケーションプログラムを保持している無線装置230に固有のモバイル識別番号(Mobile Identification Number, MIN)で構成される。その代りに、中央サーバデータベース204は、無線装置モデルのネットワーク200内の各無線装置230の記録、無線ネットワークキャリア、無線装置230が使用される領域、および何れの無線装置230が何れのアプリケーションプログラムを保持しているかを識別するのに有益な他の情報を収めている。さらに加えて、中央サーバデータベースは、アプリケーションと関係付けられている情報を識別するこのディベロッパーも記憶することができる。
【0024】
中央サーバ202は、(好ましくは、セキュリティ保護されている)インターネットのようなネットワーク208によって、1つ以上のコンピュータサーバ206と通信する。サーバ206は、ネットワーク208を介してキャリアネットワーク210とも通信する。キャリアネットワーク210は、インターネットおよび従来型の普通の電話システム(plain ordinary telephone system, POTS)の両者(図2では、まとめて参照符号211で示されている)によってMSC212と通信する。キャリアネットワーク210とMSC212との間のインターネット接続211はデータを転送し、POTS211は音声情報を転送する。代わって、MSC212は、多数の基地局(base stations, BTS)214へ接続される。MSC212は、(データ転送のための)インターネット接続211と(音声情報のための)POTS211との両者によって、BTSへ接続される。BTS214は、ショートメッセージングサービス(short messaging service, SMS)によって、無線装置230へ無線で、または他の空中方法でメッセージを送る。
【0025】
上述のネットワークを使用して、無線装置230のようなコンピュータ装置へアプリケーションを送ってもよい。1つの実施形態では、アプリケーションは、固有の識別子を有して、自分と、他のアプリケーションまたはファイルおよびディジタル署名とを区別して、アプリケーションに対する変更を検出する。このディジタル署名は、アプリケーションと結び付けられ、アプリケーションと結び付けられて、または別々に、しかし依然としてそれと関係付けられて、無線装置上に記憶される。アプリケーションは、中央サーバから、種々のサーバ206の1つを通り、MSC、およびBTSを経て、無線装置230へ送られる。
【0026】
図3は、本発明の例示的な実施形態の実行において使用されるファイル構造を示すブロック図である。本発明の1つの実施形態では、記憶領域を有するコンピュータ装置上で、記憶領域へのアプリケーションのアクセスを制限するのを助けるためのファイル構造を生成する。図3のこの構造は、階層形ファイル構造を示しているが、当業者には、多くのファイル構造を使用して、本明細書に記載されているように、記憶領域へのアプリケーションのアクセスを制限するシステムおよび方法を実行してもよいことが分かるであろう。
【0027】
この実施形態では、ファイル構造のルートは、記憶領域のこの部分に記憶されるファイルを定める。ファイルルートディレクトリ300に対するサブディレクトリには、アプリケーション305および共用310が含まれる。コンピュータ装置がアプリケーションを受信すると、アプリケーションは、アプリケーションディレクトリ305の下のサブディレクトリ(例えば、App X315およびApp X320)に記憶される。当業者には、この階層構造は、本発明を変わらずに実行する一方で、種々のサブディレクトリ方式を使用して多くのやり方で構成できることが分かるであろう。
【0028】
本発明の1つの実施形態では、アプリケーションの各々と関係付けられている許可は、アプリケーションディレクトリ305内に記憶される。これらの許可を使用して、API、データ、およびライブラリのような特定のファイルに対してアプリケーションの権利を与える。
【0029】
各アプリケーションは、それと関係付けられている固有の識別子を有し、この固有の識別子を使用して、アプリケーションサブディレクトリ305の下の個々のアプリケーションのサブディレクトリを生成することが好ましい。1つの実施形態では、各アプリケーションは固有の名前を有し、サブディレクトリは、アプリケーションの名前を使用して生成される。
【0030】
各アプリケーションは、アプリケーションのサブディレクトリ305の下に記憶されると、マップが作られ、各アプリケーションと関係付けられる。このマッピングにより、アプリケーションが、ファイル構造の他の領域へアクセスするのを妨げる。1つの実施形態では、App Xのサブディレクトリ315は、記憶領域へのApp Xの呼に関係して、ルートディレクトリにマップされる。例えば、App Xの観点から、これは、実際にはサブディレクトリであったとしても、ファイル構造内のルートディレクトリに記憶される。この実施形態では、App Xのサブディレクトリ315をルートディレクトリへマップすることによって、App Xからの呼は、App X315のディレクトリ以外のファイルへアクセスすることができない。しかしながら、App Xは、App Xのサブディレクトリ315、およびApp Xのサブディレクトリ315の下のサブディレクトリ(図示されていない)にアクセスすることができる。したがって、この実行のもとでは、App Xは、ファイルルートディレクトリ300、アプリケーションサブディレクトリ305、または、重要なものとして、AppYサブディレクトリ320へアクセスできない。
【0031】
同様に、同一ユーザによってアクセスされる同一装置内で、コンピュータ装置がApp Yを受信すると、App Yは、アプリケーションサブディレクトリ305の下のApp Y320に記憶される。App Xのように、App Yを使ってマップされると、App Yはルートディレクトリに記憶されているように見える。したがって、App Yへのアクセスは、App Yのサブディレクトリ320およびその下のサブディレクトリ(図示されていない)のみに制限される。このファイル構造およびマッピング方式は、App Xと同様に、App Yが、ファイル構造の他の部分へアクセスするのを防ぐといった長所を備える。
【0032】
したがって、コンピュータ装置上で、アプリケーションは、コンピュータ装置を使用するユーザのアクセス特権レベルのみに基づくのではなく、特定のアプリケーションに基づいて、ファイルへのアクセスが許可される。
ファイル構造内のルートディレクトリとしてアプリケーションディレクトリをマップすることは、本発明の1つの実施形態であって、当業者には、セマフォー、許可リスト、および記憶領域へのアプリケーションのアクセスを制限するのに使用される他の技術のような、他の範例が存在することが分かるであろう。
【0033】
本発明の別の実施形態では、アプリケーションの中でも、データまたはライブラリのようなファイルを共用することが望ましいことが予想される。したがって、このような例では、共用ディレクトリ310を設定し、かつデータを共用したい各アプリケーションへの共用ディレクトリのマッピングを含むことが好ましい。この共用データが、例えば、異なるドライブのルートディレクトリに存在するように、共用データをアプリケーションへマップするのも好ましい。共用データ310をルートディレクトリとしてマップすると、共用ディレクトリの親ディレクトリ、したがって共用ディレクトリの親ディレクトリのサブディレクトリへのアプリケーションの各アクセスを防ぐことになる。
【0034】
さらに加えて、ディジタル署名は、上述のアプリケーション名のような固有の識別子と関係付けられることが好ましい。ディジタル署名、または他の変更検出技術を使用することによって、アプリケーションが、サブディレクトリを生成する固有の識別子を変更するかどうかが検出される。変更の検出または防止、あるいはこの両者は、アプリケーションが不適切に動作しているときに、そのサブディレクトリへアクセスする別のアプリケーションの名前、そのものの名前を変えるといった指標を与えることによって、より安全なシステムを生成する。例えば、App X自体をApp Yへ名前を変えるとき、およびシステムが名前(すなわち、この場合は、固有の識別子)に基づいて再びマップできるとき、App XはApp Yのファイルへアクセスする。
【0035】
図4は、本発明の例示的な実施形態において、装置の記憶領域へのアプリケーションのアクセスを制限するアプリケーション記憶プロセスを示すフローチャートである。プロセスは、固有の識別子を有するアプリケーションを受信することによって始まる(ステップ400)。このプロセスは、受信したアプリケーションの記憶およびマッピングについての指示を与える制御プログラムによって制御される。1つの実施形態では、制御プログラムは、無線装置上で実行される、QUALCOMM Incorporatedによって開発されたBREW(商標)のAPIである。
【0036】
1つの実施形態では、固有の識別子はアプリケーション名である。この実施形態では、コンピュータ装置によって送られるか、または受信されるアプリケーションの名前が、コンピュータ装置によって送られることも、受信されることもないように、そのアプリケーションを監視する必要がある。他の識別子を使用してもよく、当業者には、どのようにして、到来するアプリケーションを監視して、複製の識別子が存在するかどうかを判断するかが分かる。
【0037】
プロセスは進み、ファイル構造のサブディレクトリ内に受信したアプリケーションを記憶する(ステップ405)。これは、アプリケーションと共に受信した固有の識別子を使用して、サブディレクトリを生成することを含む。その後で、プロセスは、アプリケーションのサブディレクトリをルートディレクトリとしてマップする(ステップ410)。したがって、アプリケーションの実行中は、そのアプリケーションは、ルートディレクトリに位置しているように見える。
【0038】
その後で、プロセスは進み、別のルートディレクトリを共用ディレクトリへマップすることによって、アプリケーションを共用ディレクトリへアクセスさせる(ステップ415)。多数のアプリケーションが、データおよびライブラリのようなファイルを共用するためのこのディレクトリにアクセスするように、この共用ディレクトリを設定する。
【0039】
コンピュータ装置が、次のアプリケーションを受信すると(ステップ420)、プロセスは反復するが、固有の識別子に基づいて次のアプリケーションに対する別のサブディレクトリを生成する。したがって、次のアプリケーションは、ルートディレクトリに位置しているように見える。さらに加えて、ファイルを共用するために、前のアプリケーションをマップしたのと同じ共用ディレクトリに、この次のアプリケーションもマップする。
【0040】
アプリケーションがさらに受信されないときは、プロセスは終了する(ステップ425)。
図5は、本発明の例示的な実施形態における記憶領域へのアプリケーションのアクセスを制限するプロセスを示すフローチャートである。プロセスは、コンピュータ装置上でアプリケーションを実行する要求を受信することによって始まる(ステップ500)。この要求は、ユーザによるユーザ入力によって行われるか、またはコンピュータ装置上で、またはコンピュータ装置を、例えばネットワークを介して接続して、別のアプリケーションによって行われる。
【0041】
1つの実施形態では、アプリケーションは、アプリケーションと関係付けられているディジタル署名を保持して、変更を検出する。この実施形態では、プロセスは進み、アプリケーションと関係付けられているディジタル署名を評価する(ステップ505)。アプリケーションが変更されると、ディジタル署名によって判断されるので、コンピュータ装置は多くの動作経路を選択することができる。動作経路には、アプリケーションの実行を拒否すること、変更されたアプリケーションについてユーザに知らせること、変更されたアプリケーションについてコンピュータ装置監視システムに知らせることと、あるいは変更されたアプリケーションについてサーバまたは他のコンピュータシステムに知らせることの中の1つ以上が含まれる。
【0042】
アプリケーションが変更されないときは、プロセスは、アプリケーションのアクセス特権を生成する(ステップ508)。これらの特権は、図3および4に関係して既に記載したマッピングプロセスを使用することによって生成される。しかしながら、他の特権方式を使用して、装置上の記憶領域に対するアプリケーションの権利を定めてもよい。
【0043】
アプリケーションの実行中に、アプリケーションは、記憶領域へアクセスするための要求を受信する(ステップ510)。例えば、アプリケーションは、記憶領域内に位置するファイルの読み出し、書込み、または変更の処理を行なうことを要求する。このようなファイルには、コンピュータ装置の資源を制御するファイルが含まれる。コンピュータ装置は、アプリケーションが、ファイルのその位置に対する特権を与えられているかどうかを判断する(ステップ515)。上述のマッピングの範例を使用すると、コンピュータシステムは、アプリケーションがマップされるルートディレクトリより上のファイルにアクセスできないといった事実によって、特権を判断する。
【0044】
アプリケーションが、ステップ515において判断されたように、ファイルの位置に対する特権をもつとき、アプリケーションは、ファイルへのアクセスを許可される(ステップ520)。アプリケーションが、ファイルの位置へのアクセスを許可されないときは、アクセスは拒否される(ステップ525)か、またはプロセスは終了する(ステップ530)。
【0045】
結論
本発明の実行についてのこれまでの記述は、説明および開示を目的として示されている。これは、網羅的ではなく、本発明を、記載されている形そのものに制限しない。変更および変形は、上述の教示を考慮して可能であるか、または本発明を実行することによって得られる。例えば、記載されている実行はソフトウエアを含むが、本発明の1つの実施形態は、ハードウエアとソフトウエアの組合せとしてか、またはハードウエアのみで実行される。本発明は、オブジェクト指向のプログラミングシステムと、非オブジェクト指向のプログラミングシステムとの両者で実行される。さらに加えて、本発明の態様では、メモリに記憶されていると記載されているが、当業者には、他のタイプのコンピュータ読出し可能媒体(例えば、ハードディスク、フロッピー(登録商標)ディスク、またはCD−ROMのような補助記憶装置;インターネットまたは他の伝搬媒体からの搬送波;あるいは他の形態のRAMまたはROM)上にも記憶できることが分かるであろう。本発明の技術的範囲は、特許請求項およびそれに相当するものによって定められる。
【図面の簡単な説明】
【0046】
【図1】記憶部を有するコンピュータ装置であって、本発明の例示的な実施形態が実行される記憶部を有するコンピュータ装置を示すブロック図。
【図2】本発明の例示的な実施形態における、記憶部およびアプリケーションアクセスプロセスを有する無線装置を含む無線システムアーキテクチャを示すブロック図。
【図3】本発明の例示的な実施形態の実行において使用されるファイル構造を示すブロック図。
【図4】本発明の例示的な実施形態における、装置の記憶領域へのアプリケーションのアクセスを制限するアプリケーション記憶プロセスを示すフローチャート。
【図5】本発明の例示的な実施形態における、記憶領域へのアプリケーションのアクセスを制限するプロセスを示すフローチャート。
【符号の説明】
【0047】
130・・・バス、135・・・アプリケーション、200、208・・・ネットワーク、202・・・中央サーバ、204・・・中央サーバデータベース、211・・・インターネット接続およびPOTS、230・・・無線装置。
【技術分野】
【0001】
本発明は、コンピュータ装置において使用するためのアプリケーションの処理、とくに、ファイル構造内にアプリケーションを記憶し、かつコンピュータ装置上の記憶領域へのアプリケーションのアクセスを制限することに関する。
【背景】
【0002】
無線通信は、近年、爆発的な伸びを経験した。消費者および企業は、移動電話およびパーソナルディジタルアシスタント(personal digital assistant, PDA)のような無線装置により依存しているので、無線サービスプロバイダ、すなわち通信業者は、これらの無線装置に対して追加の機能を提供するように努力している。この追加の機能により、無線装置に対する需要が増加するだけでなく、現在のユーザ間における使用量も増加する。
【0003】
無線装置におけるアプリケーションの実行について検討するとき、無線装置の環境は、固有の問題を引き起こす。アプリケーションをダウンロードし、かつアプリケーションを取出す方法を発展させる必要がある。さらに加えて、無線装置にはセキュリティも必要とされている。無線装置におけるセキュリティの問題には、アプリケーションが、無線装置か、または無線装置が通信しているネットワーク上で、他のファイルを、意図されて、または意図されずに、劣化または損うことができなくなるような、可能な限り最良のやり方で環境を制御することが含まれる。
【0004】
アプリケーションは、実行中に、装置上に記憶されているか、または装置にアクセス可能なファイルの読み出し、書込み、および変更のような種々の処理を行なうことができる。これらのファイルは、装置によって使用されるシステムファイル(例えば、装置ドライバー、他のアプリケーションファイル、または他のデータファイル)である。
【0005】
アプリケーションが、装置、または装置に接続された他のシステムへ与える損傷を制限するためのセキュリティの対策として、装置にアクセス可能な他のファイルへのアプリケーションのアクセスを制御することが望ましい。この損傷は、アプリケーションに対するウイルスによるときは意図されたものであり、アプリケーションが、不完全に書込まれた符号を使用して実行され、不完全に書込まれた符号が、意図せずに資源を占め、他のアプリケーションまたはデータに損傷を与えるときは、意図されたものではない。
【0006】
現在、記憶領域へのアプリケーションのアクセスを制御する唯一の方法には、ユーザへの特権レベルを定めることが含まれる。ユーザは、種々の記憶領域内のファイルを読み出したり、書込んだり、あるいは変更したりできるようにする特権レベルを与えられる。この機構は、ユーザレベルにおいてアクセスを制御するだけである。
【0007】
しかしながら、この実行では、アプリケーションの実行に基づいて、記憶部へのアクセスを制限できない。ユーザ自身は、記憶部へのアプリケーションのアクセスを制限することを試みないが、ユーザによって実行される全アプリケーションは、ユーザに定められているのと、同じ記憶部へのアクセス権を与えられる。さらに加えて、ユーザの制御以外には、記憶部へのアプリケーションのアクセスを制限する機構はない。
【0008】
したがって、この技術において、記憶部へのアプリケーションのアクセスを制限するためのシステムおよび方法が必要とされている。さらに加えて、装置または装置のユーザが、アプリケーションへ加えられたアクセスの制限を変えることができなくなるように、このような制限を設定することが好ましい。
【発明の概要】
【0009】
本発明にしたがうシステムおよび方法では、アプリケーション記憶部のためのより安全な環境を生成し、かつアプリケーションの他の記憶領域へのアクセスを制限することによって、既存のシステムの欠点を克服している。さらに加えて、本発明にしたがうシステムおよび方法は、装置または装置のユーザ、あるいはこの両者が、アプリケーションに加えられたアクセスの制限を変更できなくなるような機構を提供する。
【0010】
1つの実施形態では、装置に対してアプリケーションを実行する方法であって、アプリケーションを実行する要求を受信するステップと、アプリケーションが変更されたかどうかを判断するステップと、アプリケーションが変更されていなかったときは、固有の記憶位置へアプリケーションをマップするステップと、固有の記憶位置へのアプリケーションのアクセスを許可するステップと、固有の記憶位置への第2のアプリケーションのアクセスを拒否するステップとを含む方法を提供する。
【0011】
別の実施形態では、本発明は、ファイル構造を有し、ファイル構造内にファイルを記憶するための制御プログラムを含む装置であって、制御プログラムが、ファイル構造内に多数のアプリケーションを記憶するように動作でき、各アプリケーションがファイル構造の関係付けられている部分を有し、かつ制御プログラムが、関係付けられている部分へ各アプリケーションのアクセスを許可し、かつ記憶領域の他の関係付けられている部分への各アプリケーションのアクセスを拒否するように動作できる装置を提供する。
【0012】
さらに別の実施形態では、本発明は、装置にアプリケーションを記憶するための方法であって、装置においてアプリケーションを受信するステップと、装置上で記憶部にアプリケーションを記憶するステップと、装置に対するユーザのアクセス特権とは無関係に、記憶部上の固有の部分へのアプリケーションのアクセスを制限するステップとを含む方法を提供する。本発明の別の実施形態は、次の記述および添付の図面にも記載されている。
【0013】
添付の図面は、本明細書の一部分に取入れられ、かつそれを構成しているものであって、本発明の現在の好ましい実施形態を示し、かつこれまでの全体的な記述、およびこれらが示す好ましい実施形態の詳細な記述と共に、本発明の原理を説明するのに役立つ。
【好適な実施形態の詳細な説明】
【0014】
添付の図面では、いくつかの全図面において同じまたは対応する部分を同じ参照符号で示しており、ここでは、添付の図面に示されている本発明の現在の例示的な好ましい実施形態を詳しく参照することにする。本発明の性質、目的、および長所は、添付の図面に関連する次の詳細な記述を検討した後で、当業者にはより明らかになるであろう。
【0015】
序論
本発明は、コンピュータ装置上の記憶領域へのアプリケーションのアクセスを制限する。装置の同一ユーザは、多数のアプリケーションをインストールしてもよい。ユーザは、全てのアプリケーションおよび各アプリケーションの記憶領域へアクセスしてもよい。しかしながら、本発明にしたがうシステムおよび方法は、特定のアプリケーションに割り当てられた記憶領域以外の記憶領域へのアプリケーションの各アクセスを制限する。これが、ユーザごとにではなく、アプリケーションごとにアクセスを定めることによって、アプリケーションが上書きまたはアクセスすべきではない記憶領域に上書きするか、または不適切にアクセスすることによって生じる望ましくない結果を低減することによって、アプリケーションのより安全な実行を実現することができる。アプリケーションを実行するユーザが、アプリケーションがアクセスするのを禁じられている他の記憶領域へアクセスする権利をもつときでも、これは安全性のレベルを高める。
【0016】
さらに加えて、本発明にしたがうシステムおよび方法では、多数のアプリケーションが、プライベートで、かつセキュリティ保護された領域を維持するが、データおよびライブラリのようなファイルを他のアプリケーションとも共用するように、記憶部の共用領域へのアクセス権も与える。
【0017】
当業者には、上述では、開示を簡潔にするために、分配および実行されるアプリケーションのファイルのタイプを記載したことも分かるであろう。“アプリケーション”には、オブジェクトコード、スクリプト、ジャバファイル、ブックマークファイル(またはPQAファイル)、WMLスクリプト、バイトコード、およびパールスクリプトのような実行可能な内容をもつファイルも含まれる。さらに加えて、本明細書において参照される“アプリケーション”には、開く必要のある文書のような、実際には実行できないファイルか、またはアクセスされる必要のある他のデータファイルも含まれる。
【0018】
図1は、記憶部を有するコンピュータ装置であって、本発明の例示的な実施形態が実行されるコンピュータ装置を示すブロック図である。この例示的な実施形態において、コンピュータ装置105は、記憶領域110と、バス130を介して相互接続されているCPU115および入力/出力(input/output, I/O)インターフェイス120とを含んでいる。当業者には、これらが、コンピュータ装置内に構成される構成要素のいくつかのみであることが分かるであろう。さらに加えて、コンピュータ装置の種々の構成要素を相互接続する多くの他の範例が使用される。
【0019】
コンピュータ装置105は、ネットワーク100を介して外部システムとインターフェイスし、さらに加えて、I/O装置125(例えば、CD−ROM、スマートカード、またはフロッピー(登録商標)ディスク)を介してI/Oインターフェイス120へのアプリケーションまたは他のデータを受信する。コンピュータ装置105の記憶領域110を使用して、コンピュータ装置105へ受信されるデータおよびアプリケーションを記憶する。記憶領域110には、ハードディスクドライブ、フラッシュメモリ、または他の記憶方法(図示されていない)が含まれる。さらに加えて、コンピュータ装置は、オペレーティングシステムファイル、資源ファイル、構成ファイル、およびライブラリのような記憶領域110に他の情報を記憶する。しかしながら、ROM、EPROM、およびRAMのような別の記憶領域を使用して、これらのファイルまたは他のファイルを記憶してもよい。
【0020】
コンピュータ装置は、ネットワーク100に接続されているときの、固定位置のパーソナルコンピュータであっても、またはネットワーク100と通信しているときの、地理的位置が変わる移動無線装置であってもよい。
アプリケーション135は、ネットワーク100またはI/O装置125を介して、コンピュータ装置によって受信される。既に記載したように、これらのアプリケーションには、オブジェクトコード、スクリプト、ジャバファイル、ブックマークファイル(またはPQAファイル)、WMLスクリプト、バイトコード、およびパールスクリプトのような実行可能な内容をもつファイルが含まれるが、これらに制限されるわけではない。
【0021】
ネットワーク100は、プライベートネットワーク、およびインターネットのようなパブリックネットワークを取り入れた陸線ネットワークであっても、または無線通信において使用されるRFネットワークを取入れてもよい。
本発明の1つの実施形態では、コンピュータ装置105は、QUALCOMM Incorporatedによって開発されたBREW APIのような制御プログラムも収める。本明細書に記載されているように、制御プログラムを使用して、アプリケーションへのアクセスを制限する記憶機構を調整することができる。
【0022】
図2は、本発明の例示的な実施形態における記憶部およびアプリケーションアクセスプロセスを有する無線装置を含む無線システムのアーキテクチャを示すブロック図である。中央サーバ202は、それ自体で、または認証サーバとの組み合わせで、定められた組のプログラミングの標準規格または規定と両立するアプリケーションプログラムを認証するエンティティである。既に記載したように、これらのプログラミングの標準規格は、アプリケーションが、QUALCOMM Incorporatedによって開発されたBREW(商標)ソフトウエアプラットフォーム上において、実行されるように設定される。
【0023】
1つの実施形態では、中央サーバデータベース204は、ネットワーク200内の各無線装置230上へ任意のときにダウンロードされる各アプリケーションプログラムに対する識別の記録、アプリケーションプログラムをダウンロードした個人に対する電子サービス番号(Electronic Service Number, ESN)、およびそのアプリケーションプログラムを保持している無線装置230に固有のモバイル識別番号(Mobile Identification Number, MIN)で構成される。その代りに、中央サーバデータベース204は、無線装置モデルのネットワーク200内の各無線装置230の記録、無線ネットワークキャリア、無線装置230が使用される領域、および何れの無線装置230が何れのアプリケーションプログラムを保持しているかを識別するのに有益な他の情報を収めている。さらに加えて、中央サーバデータベースは、アプリケーションと関係付けられている情報を識別するこのディベロッパーも記憶することができる。
【0024】
中央サーバ202は、(好ましくは、セキュリティ保護されている)インターネットのようなネットワーク208によって、1つ以上のコンピュータサーバ206と通信する。サーバ206は、ネットワーク208を介してキャリアネットワーク210とも通信する。キャリアネットワーク210は、インターネットおよび従来型の普通の電話システム(plain ordinary telephone system, POTS)の両者(図2では、まとめて参照符号211で示されている)によってMSC212と通信する。キャリアネットワーク210とMSC212との間のインターネット接続211はデータを転送し、POTS211は音声情報を転送する。代わって、MSC212は、多数の基地局(base stations, BTS)214へ接続される。MSC212は、(データ転送のための)インターネット接続211と(音声情報のための)POTS211との両者によって、BTSへ接続される。BTS214は、ショートメッセージングサービス(short messaging service, SMS)によって、無線装置230へ無線で、または他の空中方法でメッセージを送る。
【0025】
上述のネットワークを使用して、無線装置230のようなコンピュータ装置へアプリケーションを送ってもよい。1つの実施形態では、アプリケーションは、固有の識別子を有して、自分と、他のアプリケーションまたはファイルおよびディジタル署名とを区別して、アプリケーションに対する変更を検出する。このディジタル署名は、アプリケーションと結び付けられ、アプリケーションと結び付けられて、または別々に、しかし依然としてそれと関係付けられて、無線装置上に記憶される。アプリケーションは、中央サーバから、種々のサーバ206の1つを通り、MSC、およびBTSを経て、無線装置230へ送られる。
【0026】
図3は、本発明の例示的な実施形態の実行において使用されるファイル構造を示すブロック図である。本発明の1つの実施形態では、記憶領域を有するコンピュータ装置上で、記憶領域へのアプリケーションのアクセスを制限するのを助けるためのファイル構造を生成する。図3のこの構造は、階層形ファイル構造を示しているが、当業者には、多くのファイル構造を使用して、本明細書に記載されているように、記憶領域へのアプリケーションのアクセスを制限するシステムおよび方法を実行してもよいことが分かるであろう。
【0027】
この実施形態では、ファイル構造のルートは、記憶領域のこの部分に記憶されるファイルを定める。ファイルルートディレクトリ300に対するサブディレクトリには、アプリケーション305および共用310が含まれる。コンピュータ装置がアプリケーションを受信すると、アプリケーションは、アプリケーションディレクトリ305の下のサブディレクトリ(例えば、App X315およびApp X320)に記憶される。当業者には、この階層構造は、本発明を変わらずに実行する一方で、種々のサブディレクトリ方式を使用して多くのやり方で構成できることが分かるであろう。
【0028】
本発明の1つの実施形態では、アプリケーションの各々と関係付けられている許可は、アプリケーションディレクトリ305内に記憶される。これらの許可を使用して、API、データ、およびライブラリのような特定のファイルに対してアプリケーションの権利を与える。
【0029】
各アプリケーションは、それと関係付けられている固有の識別子を有し、この固有の識別子を使用して、アプリケーションサブディレクトリ305の下の個々のアプリケーションのサブディレクトリを生成することが好ましい。1つの実施形態では、各アプリケーションは固有の名前を有し、サブディレクトリは、アプリケーションの名前を使用して生成される。
【0030】
各アプリケーションは、アプリケーションのサブディレクトリ305の下に記憶されると、マップが作られ、各アプリケーションと関係付けられる。このマッピングにより、アプリケーションが、ファイル構造の他の領域へアクセスするのを妨げる。1つの実施形態では、App Xのサブディレクトリ315は、記憶領域へのApp Xの呼に関係して、ルートディレクトリにマップされる。例えば、App Xの観点から、これは、実際にはサブディレクトリであったとしても、ファイル構造内のルートディレクトリに記憶される。この実施形態では、App Xのサブディレクトリ315をルートディレクトリへマップすることによって、App Xからの呼は、App X315のディレクトリ以外のファイルへアクセスすることができない。しかしながら、App Xは、App Xのサブディレクトリ315、およびApp Xのサブディレクトリ315の下のサブディレクトリ(図示されていない)にアクセスすることができる。したがって、この実行のもとでは、App Xは、ファイルルートディレクトリ300、アプリケーションサブディレクトリ305、または、重要なものとして、AppYサブディレクトリ320へアクセスできない。
【0031】
同様に、同一ユーザによってアクセスされる同一装置内で、コンピュータ装置がApp Yを受信すると、App Yは、アプリケーションサブディレクトリ305の下のApp Y320に記憶される。App Xのように、App Yを使ってマップされると、App Yはルートディレクトリに記憶されているように見える。したがって、App Yへのアクセスは、App Yのサブディレクトリ320およびその下のサブディレクトリ(図示されていない)のみに制限される。このファイル構造およびマッピング方式は、App Xと同様に、App Yが、ファイル構造の他の部分へアクセスするのを防ぐといった長所を備える。
【0032】
したがって、コンピュータ装置上で、アプリケーションは、コンピュータ装置を使用するユーザのアクセス特権レベルのみに基づくのではなく、特定のアプリケーションに基づいて、ファイルへのアクセスが許可される。
ファイル構造内のルートディレクトリとしてアプリケーションディレクトリをマップすることは、本発明の1つの実施形態であって、当業者には、セマフォー、許可リスト、および記憶領域へのアプリケーションのアクセスを制限するのに使用される他の技術のような、他の範例が存在することが分かるであろう。
【0033】
本発明の別の実施形態では、アプリケーションの中でも、データまたはライブラリのようなファイルを共用することが望ましいことが予想される。したがって、このような例では、共用ディレクトリ310を設定し、かつデータを共用したい各アプリケーションへの共用ディレクトリのマッピングを含むことが好ましい。この共用データが、例えば、異なるドライブのルートディレクトリに存在するように、共用データをアプリケーションへマップするのも好ましい。共用データ310をルートディレクトリとしてマップすると、共用ディレクトリの親ディレクトリ、したがって共用ディレクトリの親ディレクトリのサブディレクトリへのアプリケーションの各アクセスを防ぐことになる。
【0034】
さらに加えて、ディジタル署名は、上述のアプリケーション名のような固有の識別子と関係付けられることが好ましい。ディジタル署名、または他の変更検出技術を使用することによって、アプリケーションが、サブディレクトリを生成する固有の識別子を変更するかどうかが検出される。変更の検出または防止、あるいはこの両者は、アプリケーションが不適切に動作しているときに、そのサブディレクトリへアクセスする別のアプリケーションの名前、そのものの名前を変えるといった指標を与えることによって、より安全なシステムを生成する。例えば、App X自体をApp Yへ名前を変えるとき、およびシステムが名前(すなわち、この場合は、固有の識別子)に基づいて再びマップできるとき、App XはApp Yのファイルへアクセスする。
【0035】
図4は、本発明の例示的な実施形態において、装置の記憶領域へのアプリケーションのアクセスを制限するアプリケーション記憶プロセスを示すフローチャートである。プロセスは、固有の識別子を有するアプリケーションを受信することによって始まる(ステップ400)。このプロセスは、受信したアプリケーションの記憶およびマッピングについての指示を与える制御プログラムによって制御される。1つの実施形態では、制御プログラムは、無線装置上で実行される、QUALCOMM Incorporatedによって開発されたBREW(商標)のAPIである。
【0036】
1つの実施形態では、固有の識別子はアプリケーション名である。この実施形態では、コンピュータ装置によって送られるか、または受信されるアプリケーションの名前が、コンピュータ装置によって送られることも、受信されることもないように、そのアプリケーションを監視する必要がある。他の識別子を使用してもよく、当業者には、どのようにして、到来するアプリケーションを監視して、複製の識別子が存在するかどうかを判断するかが分かる。
【0037】
プロセスは進み、ファイル構造のサブディレクトリ内に受信したアプリケーションを記憶する(ステップ405)。これは、アプリケーションと共に受信した固有の識別子を使用して、サブディレクトリを生成することを含む。その後で、プロセスは、アプリケーションのサブディレクトリをルートディレクトリとしてマップする(ステップ410)。したがって、アプリケーションの実行中は、そのアプリケーションは、ルートディレクトリに位置しているように見える。
【0038】
その後で、プロセスは進み、別のルートディレクトリを共用ディレクトリへマップすることによって、アプリケーションを共用ディレクトリへアクセスさせる(ステップ415)。多数のアプリケーションが、データおよびライブラリのようなファイルを共用するためのこのディレクトリにアクセスするように、この共用ディレクトリを設定する。
【0039】
コンピュータ装置が、次のアプリケーションを受信すると(ステップ420)、プロセスは反復するが、固有の識別子に基づいて次のアプリケーションに対する別のサブディレクトリを生成する。したがって、次のアプリケーションは、ルートディレクトリに位置しているように見える。さらに加えて、ファイルを共用するために、前のアプリケーションをマップしたのと同じ共用ディレクトリに、この次のアプリケーションもマップする。
【0040】
アプリケーションがさらに受信されないときは、プロセスは終了する(ステップ425)。
図5は、本発明の例示的な実施形態における記憶領域へのアプリケーションのアクセスを制限するプロセスを示すフローチャートである。プロセスは、コンピュータ装置上でアプリケーションを実行する要求を受信することによって始まる(ステップ500)。この要求は、ユーザによるユーザ入力によって行われるか、またはコンピュータ装置上で、またはコンピュータ装置を、例えばネットワークを介して接続して、別のアプリケーションによって行われる。
【0041】
1つの実施形態では、アプリケーションは、アプリケーションと関係付けられているディジタル署名を保持して、変更を検出する。この実施形態では、プロセスは進み、アプリケーションと関係付けられているディジタル署名を評価する(ステップ505)。アプリケーションが変更されると、ディジタル署名によって判断されるので、コンピュータ装置は多くの動作経路を選択することができる。動作経路には、アプリケーションの実行を拒否すること、変更されたアプリケーションについてユーザに知らせること、変更されたアプリケーションについてコンピュータ装置監視システムに知らせることと、あるいは変更されたアプリケーションについてサーバまたは他のコンピュータシステムに知らせることの中の1つ以上が含まれる。
【0042】
アプリケーションが変更されないときは、プロセスは、アプリケーションのアクセス特権を生成する(ステップ508)。これらの特権は、図3および4に関係して既に記載したマッピングプロセスを使用することによって生成される。しかしながら、他の特権方式を使用して、装置上の記憶領域に対するアプリケーションの権利を定めてもよい。
【0043】
アプリケーションの実行中に、アプリケーションは、記憶領域へアクセスするための要求を受信する(ステップ510)。例えば、アプリケーションは、記憶領域内に位置するファイルの読み出し、書込み、または変更の処理を行なうことを要求する。このようなファイルには、コンピュータ装置の資源を制御するファイルが含まれる。コンピュータ装置は、アプリケーションが、ファイルのその位置に対する特権を与えられているかどうかを判断する(ステップ515)。上述のマッピングの範例を使用すると、コンピュータシステムは、アプリケーションがマップされるルートディレクトリより上のファイルにアクセスできないといった事実によって、特権を判断する。
【0044】
アプリケーションが、ステップ515において判断されたように、ファイルの位置に対する特権をもつとき、アプリケーションは、ファイルへのアクセスを許可される(ステップ520)。アプリケーションが、ファイルの位置へのアクセスを許可されないときは、アクセスは拒否される(ステップ525)か、またはプロセスは終了する(ステップ530)。
【0045】
結論
本発明の実行についてのこれまでの記述は、説明および開示を目的として示されている。これは、網羅的ではなく、本発明を、記載されている形そのものに制限しない。変更および変形は、上述の教示を考慮して可能であるか、または本発明を実行することによって得られる。例えば、記載されている実行はソフトウエアを含むが、本発明の1つの実施形態は、ハードウエアとソフトウエアの組合せとしてか、またはハードウエアのみで実行される。本発明は、オブジェクト指向のプログラミングシステムと、非オブジェクト指向のプログラミングシステムとの両者で実行される。さらに加えて、本発明の態様では、メモリに記憶されていると記載されているが、当業者には、他のタイプのコンピュータ読出し可能媒体(例えば、ハードディスク、フロッピー(登録商標)ディスク、またはCD−ROMのような補助記憶装置;インターネットまたは他の伝搬媒体からの搬送波;あるいは他の形態のRAMまたはROM)上にも記憶できることが分かるであろう。本発明の技術的範囲は、特許請求項およびそれに相当するものによって定められる。
【図面の簡単な説明】
【0046】
【図1】記憶部を有するコンピュータ装置であって、本発明の例示的な実施形態が実行される記憶部を有するコンピュータ装置を示すブロック図。
【図2】本発明の例示的な実施形態における、記憶部およびアプリケーションアクセスプロセスを有する無線装置を含む無線システムアーキテクチャを示すブロック図。
【図3】本発明の例示的な実施形態の実行において使用されるファイル構造を示すブロック図。
【図4】本発明の例示的な実施形態における、装置の記憶領域へのアプリケーションのアクセスを制限するアプリケーション記憶プロセスを示すフローチャート。
【図5】本発明の例示的な実施形態における、記憶領域へのアプリケーションのアクセスを制限するプロセスを示すフローチャート。
【符号の説明】
【0047】
130・・・バス、135・・・アプリケーション、200、208・・・ネットワーク、202・・・中央サーバ、204・・・中央サーバデータベース、211・・・インターネット接続およびPOTS、230・・・無線装置。
【特許請求の範囲】
【請求項1】
装置の記憶領域のアクセスをアプリケーションに対して制限するための方法であって、
記憶領域の第1の部分にアプリケーションを記憶するステップと、
第1の部分の特権をアプリケーションへ割り当てるステップと、
第1の部分へアクセスする特権をアプリケーションに与えるステップと、
記憶領域の第2の部分へのアプリケーションのアクセスを拒否するステップとを含む方法。
【請求項2】
記憶領域の第2の部分へのアクセスを装置のユーザに許可するステップをさらに含む請求項1記載の方法。
【請求項3】
記憶領域が、無線装置上に位置する請求項1記載の方法。
【請求項4】
アプリケーションを記憶することが、無線装置上のアプリケーションプログラミングインターフェイスによって実行される請求項1記載の方法。
【請求項5】
第2のアプリケーションを記憶領域に記憶することと、
記憶領域の第3の部分へのアクセスを第1のアプリケーションと第2のアプリケーションとに許可することとをさらに含む請求項1記載の方法。
【請求項6】
装置上に複数のアプリケーションを記憶するための方法であって、
各々が記憶領域の異なる部分と関係付けられている複数のアプリケーションを、装置の記憶領域に記憶するステップと、
複数のアプリケーションの各々に、記憶領域の1つの関係付けられている部分へアクセスするための特権を与えるステップと、
複数のアプリケーションの1つが、記憶領域の関係付けられている部分の1つへアクセスすることを拒否するステップとを含む方法。
【請求項7】
装置のユーザに、記憶領域の1つの関係付けられている部分へのアクセスを行う1つのアプリケーションへのアクセスを許可し、記憶領域の1つの関係付けられている部分に対して拒否された1つのアプリケーションへアクセスできるようにするステップをさらに含む請求項6記載の方法。
【請求項8】
記憶領域の共用部分への複数のアプリケーションのアクセスを許可するステップをさらに含む請求項6記載の方法。
【請求項9】
装置が無線装置である請求項6記載の方法。
【請求項10】
記憶領域を有する装置であって、
記憶領域と関係付けられているファイル構造と、
装置上にアプリケーションを記憶するように指示する制御プログラムと、
第1のアプリケーションが、記憶領域の第1の部分へアクセスするのを許可し、記憶領域の第2の部分へアクセスするのを拒否する記憶領域とを含む装置。
【請求項11】
記憶領域の第2の部分へアクセスするのを許可され、かつ記憶領域の第1の部分へアクセスするのを拒否される第2のアプリケーションをさらに含む請求項10記載の装置。
【請求項12】
第1のアプリケーションと第2のアプリケーションとが、記憶領域の第3の部分へのアクセスが可能である請求項11記載の装置。
【請求項13】
装置上でアプリケーションを実行する方法であって、
アプリケーションを実行する要求を受信するステップと、
アプリケーションが変更されたかどうかを判断するステップと、
アプリケーションが変更されなかった場合は、固有の記憶位置へアプリケーションをマップするステップと、
固有の記憶位置へのアクセスをアプリケーションに許可するステップと、
固有の記憶位置への第2のアプリケーションのアクセスを拒否するステップとを含む方法。
【請求項14】
第2のアプリケーションが第2の記憶位置へアクセスし、ユーザが、固有の記憶位置と第2の記憶位置とへアクセスする請求項13記載の方法。
【請求項15】
アプリケーションおよび第2のアプリケーションに共用の記憶位置へのアクセスを許可するステップをさらに含む請求項13記載の方法。
【請求項16】
装置が無線装置である請求項13記載の方法。
【請求項17】
ファイル構造を有する装置であって、
ファイル構造内にファイルを記憶する制御プログラムを含み、制御プログラムが、多数のアプリケーションをファイル構造内に記憶するように動作可能であり、各アプリケーションがファイル構造の関係付けられている部分を有し、制御プログラムが、関係付けられている部分へのアクセスを各アプリケーションに許可し、かつ記憶領域の他の関係付けられている部分への各アプリケーションのアクセスを拒否するように動作可能である装置。
【請求項18】
ファイル構造が階層構造であり、制御プログラムが、アプリケーションがルートディレクトリに記憶されていることを示すように、各アプリケーションをマップするように動作可能である請求項17記載の装置。
【請求項19】
制御プログラムが、複数の多数のアプリケーションを、ファイル構造の共用部分へマップする請求項17記載の装置。
【請求項20】
装置上にアプリケーションを記憶するための方法であって、
装置においてアプリケーションを受信するステップと、
装置上の記憶部にアプリケーションを記憶するステップと、
装置に対するユーザのアクセス特権とは無関係に、記憶部上の固有の部分へのアプリケーションのアクセスを制限するステップとを含む方法。
【請求項21】
装置が無線装置である請求項20記載の方法。
【請求項22】
アプリケーションへのアクセスを制限するステップが、記憶部上の固有の部分を、アプリケーションのルートディレクトリとしてマップすることによって実行される請求項20記載の方法。
【請求項23】
記憶領域へのアプリケーションのアクセスを制限するシステムであって、
装置においてアプリケーションを受信するための手段と、
装置上の記憶部内にアプリケーションを記憶するための手段と、
装置に対するユーザのアクセス特権とは無関係に、記憶部上の固有の部分へのアプリケーションのアクセスを制限するための手段とを含むシステム。
【請求項24】
記憶領域へのアプリケーションのアクセスを制限するためのコンピュータ実行可能指令であって、実行するときに、
装置においてアプリケーションを受信するステップと、
装置上の記憶部にアプリケーションを記憶するステップと、
装置に対するユーザのアクセス特権とは無関係に、記憶部上の固有の部分へのアプリケーションのアクセスを制限するステップとを含む方法を行なうコンピュータ実行可能指令を含むコンピュータ読み出し可能媒体。
【請求項25】
装置上の記憶領域のアクセスをアプリケーションに対して制限するための方法であって、
記憶領域の第1の部分の特権をアプリケーションへ割り当てるステップと、
第1の部分へアクセスするための特権をアプリケーションに与えるステップと、
記憶領域の第2の部分へのアプリケーションのアクセスを拒否するステップとを含む方法。
【請求項1】
装置の記憶領域のアクセスをアプリケーションに対して制限するための方法であって、
記憶領域の第1の部分にアプリケーションを記憶するステップと、
第1の部分の特権をアプリケーションへ割り当てるステップと、
第1の部分へアクセスする特権をアプリケーションに与えるステップと、
記憶領域の第2の部分へのアプリケーションのアクセスを拒否するステップとを含む方法。
【請求項2】
記憶領域の第2の部分へのアクセスを装置のユーザに許可するステップをさらに含む請求項1記載の方法。
【請求項3】
記憶領域が、無線装置上に位置する請求項1記載の方法。
【請求項4】
アプリケーションを記憶することが、無線装置上のアプリケーションプログラミングインターフェイスによって実行される請求項1記載の方法。
【請求項5】
第2のアプリケーションを記憶領域に記憶することと、
記憶領域の第3の部分へのアクセスを第1のアプリケーションと第2のアプリケーションとに許可することとをさらに含む請求項1記載の方法。
【請求項6】
装置上に複数のアプリケーションを記憶するための方法であって、
各々が記憶領域の異なる部分と関係付けられている複数のアプリケーションを、装置の記憶領域に記憶するステップと、
複数のアプリケーションの各々に、記憶領域の1つの関係付けられている部分へアクセスするための特権を与えるステップと、
複数のアプリケーションの1つが、記憶領域の関係付けられている部分の1つへアクセスすることを拒否するステップとを含む方法。
【請求項7】
装置のユーザに、記憶領域の1つの関係付けられている部分へのアクセスを行う1つのアプリケーションへのアクセスを許可し、記憶領域の1つの関係付けられている部分に対して拒否された1つのアプリケーションへアクセスできるようにするステップをさらに含む請求項6記載の方法。
【請求項8】
記憶領域の共用部分への複数のアプリケーションのアクセスを許可するステップをさらに含む請求項6記載の方法。
【請求項9】
装置が無線装置である請求項6記載の方法。
【請求項10】
記憶領域を有する装置であって、
記憶領域と関係付けられているファイル構造と、
装置上にアプリケーションを記憶するように指示する制御プログラムと、
第1のアプリケーションが、記憶領域の第1の部分へアクセスするのを許可し、記憶領域の第2の部分へアクセスするのを拒否する記憶領域とを含む装置。
【請求項11】
記憶領域の第2の部分へアクセスするのを許可され、かつ記憶領域の第1の部分へアクセスするのを拒否される第2のアプリケーションをさらに含む請求項10記載の装置。
【請求項12】
第1のアプリケーションと第2のアプリケーションとが、記憶領域の第3の部分へのアクセスが可能である請求項11記載の装置。
【請求項13】
装置上でアプリケーションを実行する方法であって、
アプリケーションを実行する要求を受信するステップと、
アプリケーションが変更されたかどうかを判断するステップと、
アプリケーションが変更されなかった場合は、固有の記憶位置へアプリケーションをマップするステップと、
固有の記憶位置へのアクセスをアプリケーションに許可するステップと、
固有の記憶位置への第2のアプリケーションのアクセスを拒否するステップとを含む方法。
【請求項14】
第2のアプリケーションが第2の記憶位置へアクセスし、ユーザが、固有の記憶位置と第2の記憶位置とへアクセスする請求項13記載の方法。
【請求項15】
アプリケーションおよび第2のアプリケーションに共用の記憶位置へのアクセスを許可するステップをさらに含む請求項13記載の方法。
【請求項16】
装置が無線装置である請求項13記載の方法。
【請求項17】
ファイル構造を有する装置であって、
ファイル構造内にファイルを記憶する制御プログラムを含み、制御プログラムが、多数のアプリケーションをファイル構造内に記憶するように動作可能であり、各アプリケーションがファイル構造の関係付けられている部分を有し、制御プログラムが、関係付けられている部分へのアクセスを各アプリケーションに許可し、かつ記憶領域の他の関係付けられている部分への各アプリケーションのアクセスを拒否するように動作可能である装置。
【請求項18】
ファイル構造が階層構造であり、制御プログラムが、アプリケーションがルートディレクトリに記憶されていることを示すように、各アプリケーションをマップするように動作可能である請求項17記載の装置。
【請求項19】
制御プログラムが、複数の多数のアプリケーションを、ファイル構造の共用部分へマップする請求項17記載の装置。
【請求項20】
装置上にアプリケーションを記憶するための方法であって、
装置においてアプリケーションを受信するステップと、
装置上の記憶部にアプリケーションを記憶するステップと、
装置に対するユーザのアクセス特権とは無関係に、記憶部上の固有の部分へのアプリケーションのアクセスを制限するステップとを含む方法。
【請求項21】
装置が無線装置である請求項20記載の方法。
【請求項22】
アプリケーションへのアクセスを制限するステップが、記憶部上の固有の部分を、アプリケーションのルートディレクトリとしてマップすることによって実行される請求項20記載の方法。
【請求項23】
記憶領域へのアプリケーションのアクセスを制限するシステムであって、
装置においてアプリケーションを受信するための手段と、
装置上の記憶部内にアプリケーションを記憶するための手段と、
装置に対するユーザのアクセス特権とは無関係に、記憶部上の固有の部分へのアプリケーションのアクセスを制限するための手段とを含むシステム。
【請求項24】
記憶領域へのアプリケーションのアクセスを制限するためのコンピュータ実行可能指令であって、実行するときに、
装置においてアプリケーションを受信するステップと、
装置上の記憶部にアプリケーションを記憶するステップと、
装置に対するユーザのアクセス特権とは無関係に、記憶部上の固有の部分へのアプリケーションのアクセスを制限するステップとを含む方法を行なうコンピュータ実行可能指令を含むコンピュータ読み出し可能媒体。
【請求項25】
装置上の記憶領域のアクセスをアプリケーションに対して制限するための方法であって、
記憶領域の第1の部分の特権をアプリケーションへ割り当てるステップと、
第1の部分へアクセスするための特権をアプリケーションに与えるステップと、
記憶領域の第2の部分へのアプリケーションのアクセスを拒否するステップとを含む方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2010−182319(P2010−182319A)
【公開日】平成22年8月19日(2010.8.19)
【国際特許分類】
【外国語出願】
【出願番号】特願2010−48210(P2010−48210)
【出願日】平成22年3月4日(2010.3.4)
【分割の表示】特願2003−521631(P2003−521631)の分割
【原出願日】平成14年8月13日(2002.8.13)
【出願人】(595020643)クゥアルコム・インコーポレイテッド (7,166)
【氏名又は名称原語表記】QUALCOMM INCORPORATED
【Fターム(参考)】
【公開日】平成22年8月19日(2010.8.19)
【国際特許分類】
【出願番号】特願2010−48210(P2010−48210)
【出願日】平成22年3月4日(2010.3.4)
【分割の表示】特願2003−521631(P2003−521631)の分割
【原出願日】平成14年8月13日(2002.8.13)
【出願人】(595020643)クゥアルコム・インコーポレイテッド (7,166)
【氏名又は名称原語表記】QUALCOMM INCORPORATED
【Fターム(参考)】
[ Back to top ]