信息處理器和信息處理方法

2023-05-29 02:57:16

專利名稱：信息處理器和信息處理方法
技術領域：
本發明涉及一種信息處理器和信息處理方法。
背景技術：
在包括複印機和多功能印表機的辦公室自動化產品、家用電器及其他產品中，已通過採用通用作業系統來構建此類產品專用的平臺。在這種環境中，可以通過引入諸如由第三方供應商創建的應用程式和開放源軟體等外部應用程式來增加此類產品的附加價值。此外，在具有特定用途的此類產品中，已準備有此類產品專用的用戶界面。外部應用程式通常適合於此類用戶界面。在很多情況下，包括用戶界面在內的產品的系統信息為財產信息而不對外公開。為此，產品開發商研究這種適應性。 此外，在開發特定用途產品時，認為滿足諸如確保安全等一定的規範要求。即使當
在不對特定用途產品進行任何修改的情況下引入外部應用程式時，也優選保持諸如確保安
全等一定的規範要求。 涉及本發明的專利文獻如下。 專利文獻l(JP-A-2002-082806)提出了應當共同地使用共用的服務以便高效地開發分別用於印表機、複印機、傳真機等的應用程式。 專利文獻2(JP-A-2004-030601)提出了應當將用於應用程式的資源信息與機器資源信息相比較並且應當判斷是否可以啟動應用程式。

發明內容
本發明的一個目的是提供一種利用實現隔離環境的方法來限制從一應用程式對另 一應用程式中所使用的資源的訪問的信息處理器。 [1]根據本發明的一方面，提供一種一種信息處理器，其用於在作業系統的控制下執行包括外部應用程式的多個應用程式，包括執行部分，其基於在所述作業系統的控制下並且分配給所述外部應用程式的用戶識別信息而在隔離環境中執行所述外部應用程式。
[2]根據第[1]項所述的信息處理器，所述信息處理器還可包括安裝部分，在執行所述應用程式時所述安裝部分將表示針對每個應用程式用戶的文件的文件系統安裝到所述隔離環境內部的目錄結構中，所述每個應用程式用戶指示執行所述外部應用程式。
[3]根據第[1]項所述的信息處理器，可利用用於變更所述目錄結構的根的指令來創建所述隔離環境。 [4]根據第[1]項所述的信息處理器，在所述作業系統的控制下的所述用戶識別信息可表示在所述作業系統的控制下的用戶識別符或組識別符。 [5]根據第[1]項所述的信息處理器，除所述外部應用程式之外的其他應用程式可包括均不處在隔離環境中的圖像形成應用程式、圖像讀取應用程式以及傳真通信應用程式中至少之一。
[6]根據第[1]項所述的信息處理器，所述信息處理器還可包括檢測部分，其檢測應用程式用戶的使用開始和使用結束；以及安裝部分，其中，當所述檢測部分檢測到所述應用程式用戶的使用開始時，所述安裝部分將針對每個應用程式用戶的文件系統安裝到目錄結構中，並且當所述檢測部分檢測到所述應用程式用戶的使用結束時，所述安裝部分從所述目錄結構中卸載所述文件系統。 [7]根據第[1] [6]項中任一項所述的信息處理器，所述信息處理器還可包括用戶界面部分，其包括除所述外部應用程式之外的其他應用程式作為選擇元素；添加部分，其將所述外部應用程式添加到用戶界面部分中作為選擇元素；以及控制部分，當所述應用程式用戶選擇對應於所述外部應用程式的選擇元素時，所述控制部分啟動所述外部應用程式。 [8]根據本發明的另一方面，提供一種信息處理方法，包括在作業系統的控制下執行包括外部應用程式的多個應用程式。所述執行步驟包括基於在所述作業系統的控制下並且分配給所述外部應用程式的用戶識別符而在隔離環境中執行所述外部應用程式。
[9]根據本發明的另一方面，提供一種信息處理器，包括圖像輸入部分；圖像輸出部分；第一執行部分，其在作業系統的控制下執行利用所述圖像輸入部分和所述圖像輸出部分中至少之一來實現複印原稿讀取和傳真功能中至少之一的應用程式；以及第二執行部分，其基於在所述作業系統的控制下並且分配給所述應用程式的用戶識別信息而在隔離環境中執行另一應用程式。 根據第[1]項，可以利用用於實現隔離環境的方法來限制從一應用程式對另一應用程式中所使用的資源的訪問。 根據第[2]項，可以進一步限制在外部應用程式的應用程式用戶之間對用戶數據的訪問。 根據第[3]項，可以利用為基於普通UNIX(註冊商標)的作業系統準備的指令來實現上述安全狀態。 根據第[4]項，可以設定針對外部應用程式的用戶ID和組ID並且可以建立與所述ID相關聯的隔離環境。 根據第[5]項，當將附加應用程式引入多功能印表機時，可以限制從所述附加應用程式對為所述多功能印表機準備的功能的不期望的訪問。 根據第[6]項，當用戶沒有在使用所述外部應用程式時，可以限制對所述用戶的用戶數據的訪問。 根據第[7]項，可以將所述附加應用程式適用於為現有應用程式準備的用戶界面。 根據第[8]項，可以利用用於實現隔離環境的方法來限制從一應用程式對另一應用程式中所使用的資源的訪問。 根據第[9]項，可以利用用於實現隔離環境的方法來限制從一應用程式對另一應用程式中所使用的資源的訪問。


基於以下各圖對本發明的示例性實施例進行詳細說明，其中
圖1是示出根據本發明示例性實施例的整體構造的視5
圖2是示出圖1所示的控制面板的實例的視圖； 圖3是分級地示出圖1所示的示例性實施例的系統的視圖； 圖4是示出圖3所示的隔離環境控制前端和隔離環境控制後端的構造實例的視圖； 圖5是示出上述示例性實施例的總體操作的實例的視圖； 圖6是示出根據上述示例性實施例的服務選擇用戶界面的實例的視圖； 圖7是示出上述示例性實施例的具體操作實例的視圖； 圖8是示出上述示例性實施例的目錄結構的實例的視圖； 圖9是示出外部應用程式的顯示實例的視圖； 圖10是示出外部應用程式的另一顯示實例的視圖； 圖11是示出外部應用程式的又一顯示實例的視圖； 圖12是示出多功能印表機文件管理裝置的實例的視圖； 圖13是示出外部應用程式設定信息的實例的視圖； 圖14是示出外部應用程式設定信息的另一實例的視圖；以及 圖15是示出外部應用程式的隔離環境的用戶ID和根目錄的實例的表格。
具體實施例方式
下面將說明根據本發明的示例性實施例。 將以配備有複印功能、傳真通信功能、列印功能、圖像讀取功能等的多功能印表機為實例來說明本示例性實施例。然而，本發明在下述條件下適用於其他辦公室自動化產品和家用電器即，此類產品分別構造成具有用於執行該產品專用的功能的計算機系統。通過使得計算機的硬體資源與各種軟體資源協作來構造下述功能塊。 圖i示出了根據本發明示例性實施例的多功能印表機10的整體構造。參照該圖，多功能印表機10包括CPU 11、存儲裝置(主存儲器)12、輔助存儲裝置13、顯示裝置14、控制面板裝置15、圖像輸出裝置16、圖像輸入裝置17、總線系統18等。除基本的計算機系統之外，多功能印表機10還可包括產品專用的子系統。計算機系統可以經由專用總線與子系統連接。儘管計算機系統通常是個人計算機或與之匹配的計算機並且被修改成適合於製造工業，但計算機系統不限於此類計算機。輔助存儲裝置13是諸如硬碟驅動器等的直接存取存儲裝置，其用於存儲作業系統(也稱為0S)、用於實現各種功能的應用程式、各種數據等。儘管0S通常是基於UNIX(註冊商標)的作業系統，但也可以採用例如LINUX (註冊商標)和FreeBSD(註冊商標)，並且OS不限於這些系統。CPU 11讀取存儲裝置12中的各種程序並且執行各種功能。在本實例中，CPU ll所實現的功能包括菜單功能(也稱為菜單應用程式)110、複印功能111、掃描PC功能112、 FAX功能113、掃描郵寄功能114、隔離控制功能115以及外部應用程式功能116。 控制面板裝置15具有如圖2所示的構造，並且控制面板裝置15和顯示裝置14充當用於向多功能印表機10供給各種指示的用戶界面。在本實例中，利用安裝在控制面板裝置15中的液晶顯示裝置15a來實現顯示裝置14。圖像輸出裝置16通常利用電子照相技術而在紙張介質等上形成圖像。圖像輸入裝置17通過光學地掃描放置在臺板等上的原稿的圖像來形成圖像數據。總線系統18包含用於基本計算機系統的系統總線和用於實現與子
6系統的連接的擴充總線。 上述複印功能111、掃描PC功能112、 FAX功能113、掃描郵寄功能114是為通用 的多功能印表機而準備的功能。複印功能lll用於基於由圖像輸入裝置17讀取的圖像數 據而適當地執行圖像處理並且隨後從圖像輸出裝置16輸出列印圖像。掃描PC功能112用 於將由圖像輸入裝置17讀取的原稿圖像數據存儲在計算機(PC)的存儲部分(輔助存儲裝 置)中以便可以管理該數據。FAX功能113用於利用通信功能(未示出)而傳真發送由圖 像輸入裝置17讀取的原稿圖像數據。掃描郵寄功能114用於利用郵寄功能(未示出)將 由圖像輸入裝置17讀取的原稿圖像數據郵寄到預先記錄的郵件地址。多功能印表機10可 以配備有諸如SMTP伺服器功能等的郵件伺服器功能(未示出)。
菜單功能110提供包括多功能印表機10的選擇功能(作業)的用戶界面。
隔離控制功能115在各個隔離環境(也稱為JAIL環境)中執行並控制外部應用 程序116(116(1) 116(N))。該隔離環境表示這樣的環境即，在隔離環境內部運行的程序 不能自由地訪問隔離環境外部的資源。可以利用用於變更根目錄的chroot指令、JAIL指 令、JAIL工具以及虛擬OS功能來實現該隔離環境。 外部應用程式116是在出廠之前、或在出廠時或在安裝地點添加的任選的應用程 序。在本實例中，各外部應用程式是分配有在0S(參照圖3中的附圖標記30)的控制之下 的用戶ID並且基於該用戶ID而在隔離環境中執行的應用程式。在本實例中，如圖6所示， 包括有瀏覽器功能(HTML)、文檔管理功能、票據處理功能以及按月處理功能，但所述功能不 限於這些。瀏覽器功能是符合HTML的瀏覽器。文檔管理功能用於利用預定的代理程序瀏 覽存儲在文檔管理系統(外部伺服器)中的文檔。"票據處理"功能是為具體用戶處理帳務 處理中的票據的功能。按月處理功能是為具體用戶執行每個特定月份的處理的功能。儘管 通常從OSS(開放源軟體)和外部開發商處得到這些外部應用程式116，但所述外部應用程 序不限於這些。例如，可以由多功能印表機的開發商獨立地開發外部應用程式。
圖3示出了多功能印表機10的系統的分級結構。在該圖中，在OS 30的層級之上 設置多功能印表機平臺31。在多功能印表機平臺31之上設置用於多功能印表機10的應用 程序組36。除用於實現普通多功能印表機的各種功能的應用程式之外，應用程式組36還包 括菜單應用程式33、隔離環境控制前端32等。隔離環境控制前端32將用於選擇外部應用 程序(也稱為配備有用戶界面的隔離環境應用程式或配備有UI的隔離環境應用程式)116 的服務的按鈕標誌記錄在菜單應用程式33中並且在隔離環境中進行控制以經由菜單應用 程序33的用戶界面(控制面板裝置15)來啟動請求執行的外部應用程式116。當在隔離環 境中執行控制以啟動外部應用程式116時，隔離環境控制前端32參考隔離環境應用程式設 定文件34。在隔離環境中執行配備有用戶界面的隔離環境應用程式116，並且可以利用菜 單應用程式33的應用程式界面來對該配備有用戶界面的隔離環境應用程式116進行菜單 驅動。 在OS 30上管理外部應用程式116和隔離環境控制後端35。將隔離環境控制後端 35啟動為守護進程(daemon process)(啟動之後在後臺連續運行的進程)。在接收到來自 隔離環境控制前端32的控制請求之後，隔離環境控制後端35在隔離環境中啟動每個外部 應用程式116。 圖4是示出隔離環境控制前端32和隔離環境控制後端35的具體構造的實例的功能框圖。在該圖中，隔離環境控制前端32包括多功能印表機用戶操作檢測部分21、設定信 息獲取部分22、用戶ID設定部分23、隔離環境啟動請求部分24、隔離環境操作監視部分25 等。隔離環境控制後端35包含文件系統管理部分26、文件系統安裝控制部分27、應用程式 區域管理部分28以及隔離環境執行控制部分29。 多功能印表機用戶操作檢測部分21檢測多功能印表機用戶(也稱為應用程式用 戶)已登錄到多功能印表機10並且已最初使用外部應用程式116中之一。設定信息獲取部 分22獲取外部應用程式的設定信息。用戶ID設定部分23在OS 30的控制下設定各外部 應用程式116的用戶ID。例如可以利用setuid指令來實現用戶ID的設定。如圖15所示， 已預先記錄各外部應用程式116的用戶ID，並且參考該用戶ID。另外，如圖15所示，還與隔 離環境相關聯地記錄根目錄。在圖15所示的實例中，"瀏覽器"的用戶ID是"100"，並且其 隔離環境的根目錄是'7browser"。此外，"文檔管理"的用戶ID是"101"，並且其隔離環境 的根目錄是"/b皿sho"。在圖8所示的目錄結構的實例中，隔離環境的根目錄"/browser"、 "/bunsho"…被定位為"/opt/jail"的子目錄。 隔離環境啟動請求部分24發出指示以在隔離環境下啟動每個外部應用程式116。 隔離環境操作監視部分25監視正在隔離環境中執行的每個外部應用程式116的操作。
文件系統管理部分26為每個多功能印表機用戶創建文件並且管理該文件作為文 件系統。文件系統安裝控制部分27將為多功能印表機用戶創建的文件系統安裝在指定區 域中。應用程式區域管理部分28檢測在所安裝的文件系統內部是否有可用於應用程式的 區域，當沒有可用區域時為該應用程式創建區域。應用程式區域管理部分將多功能印表機 用戶的目錄(為方便起見，稱為"主(home)"目錄)設定到用於應用程式的區域中。隔離 環境執行控制部分29對應於應用程式設定操作環境並且使得所指定的外部應用程式在其 隔離環境中執行。文件系統安裝控制部分27在多功能印表機用戶登入時安裝多功能列印 機用戶的文件系統並且在登出時卸載該文件系統。儘管名稱是相同的，但充當每個多功能 印表機用戶的目錄的"主"目錄不同於在普通目錄結構中被創建為根目錄(/)的子目錄的 "主"目錄(未示出)。在某些情況下，這些目錄稱呼不同；前者稱為多功能印表機用戶(應 用程序用戶)的"主"目錄，而後者稱為在OS控制之下的用戶(0S用戶)的"主"目錄。這 種在0S控制之下的用戶的"主"目錄是在OS控制之下的各用戶可自由使用的磁碟區域中 的最高目錄。然而，每個多功能印表機用戶的"主"目錄是用於存儲每個多功能印表機用戶 (不是在OS控制之下的用戶，而是利用在OS控制之下的用戶的權限向待執行的應用程式提 交作業的人員)的數據的磁碟區域中的最高目錄，因此應注意的是該"主"目錄不同於在通 用磁碟結構的表示中所使用的"主"目錄。此外，"安裝(mount)"表示被執行以便可以從操 作系統中使用文件系統的程序。在廣義上，"安裝"表示被執行以便可以識別在給定磁碟存 儲器上構建的文件系統且在沒有適當程序的情況下不能卸載該文件系統的程序。
接下來將說明本示例性實施例的操作。 圖5示出了示例性實施例的操作概要。參照該圖，當開始向多功能印表機10供電 時，開始引導程序，由此啟動內核(kernel)(步驟S100)。其後，啟動守護進程(步驟S200)。 在本實例中，守護進程是菜單應用程式33、隔離環境控制前端32以及隔離環境控制後端35 的至少一部分。菜單應用程式33用於在控制面板裝置15的液晶顯示裝置15a(顯示裝置 14)上顯示如圖6所示的服務選擇用戶界面。每個多功能印表機用戶使用該用戶界面來選擇服務。 其後，當系統關閉時，多功能印表機10的操作完成(步驟S300)。
當在步驟S200啟動作為守護進程的菜單應用程式33或該菜單應用程式的一部分 時，在控制面板裝置15的液晶顯示裝置15a上顯示出如圖6所示的操作選擇畫面。可以通 過指定並操作該操作選擇畫面上的選擇按鈕來選擇每項服務。由於利用圖6中的星形標記 來指示表示基於外部應用程式116的功能的選擇按鈕，因此用戶可以容易地識別出與外部 應用程式相對應的選擇按鈕。如果在外部應用程式116中之一的運行過程中發生錯誤並且 在顯示器上顯示出相應的外部應用程式116的提供者等的聯絡信息，則用戶可以容易地針 對在外部應用程式的使用過程中遇到的問題而採取措施。 例如，在圖6中選擇"文檔管理"的情況下，顯示出如圖9所示的文檔管理服務畫
面，並且例如可以執行"檢索"。此外，如圖io所示，在該服務中執行"文件選擇"的情況下，
可以選擇文件。圖ll顯示了不存在文件。其他服務提供對應於其目的和用途的功能，並且
在控制面板裝置15的液晶顯示裝置15a上顯示適當的畫面。 圖7示出了示例性實施例的操作實例，下面將說明其細節。[步驟S01]:在啟動內核和守護進程之後，獲得服務開始狀態。[步驟S02]:系統監視在圖6所示的服務選擇畫面上是否已按下服務選擇按鈕。
如果服務選擇按鈕已被按下，則處理轉入步驟S03。[步驟S03]:系統判斷選擇了哪項服務。如果選擇了外部應用程式，則處理轉入步 驟S05。如果選擇了多功能印表機10的普通服務，則處理轉入步驟S04。
[步驟S04]:由於選擇了普通服務，因此啟動多功能印表機10的普通服務，並執行 該普通服務。在普通服務完成之後，處理返回到步驟S02。[步驟S05]:系統從隔離環境應用程式設定文件34中讀取所選外部應用程式的設 定文件信息。[步驟S06]:系統獲取將要使用多功能印表機的多功能印表機用戶的信息。可以 從多功能印表機用戶登入時的卡片等中獲取該信息。[步驟S07]:系統判斷是否可以啟動外部應用程式。如果不能啟動外部應用程式， 則處理返回到步驟S02，並重複上述處理。如果可以啟動外部應用程式，則處理轉入步驟 S08。[步驟S08]:系統判斷已登入的多功能印表機用戶曾經是否使用過該外部應用程 序。在用戶曾經使用過該外部應用程式的情況下，處理轉入步驟S 13。在用戶未曾使用過 該外部應用程式的情況下，程序轉入步驟S09。
[步驟S09]:系統請求獲取多功能印表機用戶文件。[步驟SIO]:系統判斷多功能印表機用戶文件是否可用。如果該文件不可用，則處 理轉入步驟Sll。如果該文件可用，則處理轉入步驟S13。[步驟Sll]:在多功能印表機用戶文件不可用的情況下，創建文件，並且處理轉入 步驟S12。[步驟S12]:系統對所創建的文件進行文件系統化。因此，可以構建基於文件的文
件系統。例如，可以將dmconfig應用程式用於文件系統化。[步驟S13]:系統安裝被隔離的根下的用戶"主"目錄下的文件。
[步驟S14]:系統在所安裝的文件系統中為應用程式創建目錄。
[步驟S15]:對主目錄進行設定。例如，取消進行檢索的權限。[步驟S16]:設定外部應用程式的用戶ID和環境變量。例如參照圖15所示的表 格信息來進行該設定。例如，使用setuid指令來設定用戶ID。
[步驟S17]:在隔離環境中啟動外部應用程式。 在啟動外部應用程式之後並完成服務時，終止外部應用程式。其後，處理可返回到 步驟S02。 例如利用如圖13和14所示的XML來描述外部應用程式116的設定信息，但不限 於此。 如圖12所示，連同用於普通多功能印表機的進程框(progressbox)文件、地址簿 文件等一起，將用於多功能印表機用戶的外部應用程式116的文件存儲在多功能印表機平 臺31的多功能印表機文件管理裝置中，並由該多功能印表機文件管理裝置來進行管理。當 使用相應的外部應用程式116時，在隔離環境中安裝用於多功能印表機用戶的相應外部應 用程序116的文件。 圖8是示出當多功能印表機用戶(用戶1)已登入多功能印表機10並已選擇外部 應用程式116("應用程式1"或"應用程式2")的服務時OS 30的目錄結構的快照。該多 功能印表機用戶不是由0S30管理的用戶。登入/登出多功能印表機10不同於由0S 30管 理的"登入"和"登出"。例如，開始由多功能印表機用戶使用多功能印表機10的過程在本 文中稱為"登入"多功能印表機IO，並且終止使用多功能印表機10的過程在本文中稱為從 多功能印表機IO "登出"。可以利用諸如讀卡機等檢測裝置來檢測多功能印表機用戶的登 入和登出。在經由通信線路使用多功能印表機10的情況下，密碼認證部分等可以檢測多功 能印表機用戶的登入和登出。 參照圖8， "/"表示根目錄，"/bin"包含基本指令，"/etc"包含設定文件，並且'7 opt"包含附加應用程式信息。在本實例中，將"/jail"設置為"/opt"的子目錄。在該子 目錄下面，設置有用於外部應用程式116的各隔離環境的根目錄(例如"/browser"和"/ b皿sho")。利用chroot指令將作為"/jail"的子目錄的隔離環境的根目錄虛擬地變更為
。 另夕卜，將"/bin，，、"/etc，，、 …、"/conf ig，，、"/home，，、"/pkg，，等設置為"/opt/jail ，，下
的隔離環境的根目錄的子目錄。通過結合根目錄'7"的子目錄'7bin"與"/etc"來獲得'7 opt/jail"的子目錄"/bin"和"/etc"。此外，"/config"包含外部應用程式116的設定文件。 '7home"包含用於單獨管理各多功能印表機用戶的數據的子目錄"/userl"、"/user2"、…。 此外，作為隔離環境的根目錄的子目錄的"home"不同於作為實際根目錄('7")的子目錄 的"主"目錄(圖8未示出)。前者用於將每個多功能印表機用戶的使用數據等存儲在子 目錄之下。另一方面，後者用於存儲由OS管理的每個系統用戶(外部應用程式)的使用 數據等。更進一步地，將'7a卯licationl"、"/a卯lication2"等設置為目錄"/userl"、"/ user2"、…的子目錄。將這些外部應用程式"/a卯licationl"、"/a卯lication2"等設置為 可訪問資源。 在本實例中，將通過對文件進行文件系統化而獲得文件系統的"/userl"、'7 user2"、…安裝在"/home"下。當多功能印表機用戶已登入多功能印表機10時，安裝多功 能印表機用戶的文件。當多個多功能印表機用戶同時使用多功能印表機10時，同時安裝多
10個多功能印表機用戶的文件。在文件創建等時，文件的容量受到"配額"信息等的限制。
利用chroot指令來限制作為由OS 30管理的用戶的外部應用程式116對"/jail" 和更高目錄結構的訪問。還可以利用諸如由虛擬OS或FreeBSD(註冊商標)提供的"JAIL" 應用等其他手段來構建類似的隔離環境。由於每個多功能印表機用戶的文件系統只有在使 用時才存在於目錄結構中，因此當只有一個多功能印表機用戶使用外部應用程式時，保護 多功能印表機用戶的數據。此外，即使多個多功能印表機用戶同時使用一個外部應用程式 並且將這些多功能印表機用戶的文件系統安裝在目錄結構上，也取消外部應用程式116 (OS 30的用戶)檢索更高目錄'7home"的權限，由此不能檢索其他多功能印表機用戶的目錄。
這裡將進一步重複說明上述內容。通過只有當使用每個多功能印表機用戶的文件 型文件系統時才安裝該文件系統，可以保護多功能印表機用戶的用戶信息的安全(其他多 功能印表機用戶不能訪問其他用戶信息)。另外，通過將多功能印表機用戶的使用區域當作 文件，可以限制使用區域，由此可以防止其中一個用戶佔用存儲裝置。因此，可保持用戶之 間的信息的可靠性，並且不會破壞每個用戶的操作環境。例如，可以針對每個用戶管理瀏覽 器的高速緩存信息、書籤信息等，並且可以獨立於其他多功能印表機用戶來使用這些信息。 此外，由系統自動辨別外部應用程式而無需多功能印表機用戶等特別注意。
通過在隔離環境中執行外部應用程式，使得多功能印表機IO側的信息不可見以
確保安全。 對於各外部應用程式單獨設定由OS 30管理的用戶ID，並且將分別作為"/opt/ jail"的子目錄的各隔離環境的根目錄(例如"/browser"和"/b皿sho")分配給各外部應 用程序(各用戶ID)。因此，可構建獨立於各外部應用程式(各用戶ID)的隔離環境。結果， 一個外部應用程式不能訪問由其他應用程式(其他外部應用程式、多功能印表機平臺31的 應用程式等)創建的文件(目錄)信息。為此，即使惡意應用程式運行，該應用程式也不能 訪問其他外部應用程式信息等。結果，可確保外部應用程式之間的安全等。即使在同一用 戶同時執行多個外部應用程式的情況下，也可限制各外部應用程式之間的信息交換，進而 確保安全。 通過限制對更高目錄(本實例中的主目錄)的訪問權限，即使多個多功能印表機 用戶同時使用多功能印表機，由於這些用戶不能獲取其他多功能印表機用戶的目錄信息， 因此也可確保安全。 基於所附權利要求書來確定本發明的範圍，並且本發明的範圍不限於其示例性實 施例的具體構造、目的以及效果。本發明不限於上述示例性實施例，而是可以在不脫離本發 明精神和範圍的情況下進行各種變型。例如，在上述實例中，已經為作為由0S管理的用戶 的各外部應用程式設定獨立的隔離環境。然而，如果僅需要確保多功能印表機的主體系統 的安全，則例如可以將外部應用程式合為一個用戶組，並且可以為這一個用戶組設定一個 隔離環境。在這種情況下，例如，將外部應用程式的用戶ID設定為相同的，或者僅將一個組 ID用於該用戶組，由此基於該用戶ID或組ID來實現隔離環境。 出於解釋和說明的目的提供了本發明的示例性實施例的前述說明。其本意並不是 窮舉或將本發明限制為所公開的確切形式。顯然，對於本技術領域的技術人員可以進行許 多修改和變型。選擇和說明該示例性實施例是為了更好地解釋本發明的原理及其實際應 用，因此使得本技術領域的其他技術人員能夠理解本發明所適用的各種實施例並預見到適合於特定應用的各種修改。目的在於通過所附權利要求及其等同內容限定本發明的範圍'
權利要求
一種信息處理器，其用於在作業系統的控制下執行包括外部應用程式的多個應用程式，包括執行部分，其基於在所述作業系統的控制下並且分配給所述外部應用程式的用戶識別信息而在隔離環境中執行所述外部應用程式。
2. 如權利要求l所述的信息處理器，還包括安裝部分，在執行所述應用程式時所述安裝部分將表示針對每個應用程式用戶的文件 的文件系統安裝到所述隔離環境內部的目錄結構中，所述每個應用程式用戶指示執行所述 外部應用程式。
3. 如權利要求l所述的信息處理器，其中，利用用於變更所述目錄結構的根的指令來創建所述隔離環境。
4. 如權利要求l所述的信息處理器，其中，在所述作業系統的控制下的所述用戶識別信息表示在所述作業系統的控制下的用戶 識別符或組識別符。
5. 如權利要求l所述的信息處理器，其中，除所述外部應用程式之外的其他應用程式包括均不處在隔離環境中的圖像形成應用 程序、圖像讀取應用程式以及傳真通信應用程式中至少之一。
6. 如權利要求l所述的信息處理器，還包括 檢測部分，其檢測應用程式用戶的使用開始和使用結束；以及 安裝部分，其中，當所述檢測部分檢測到所述應用程式用戶的使用開始時， 所述安裝部分將針對每個應用程式用戶的文件系統安裝到目錄 結構中，並且當所述檢測部分檢測到所述應用程式用戶的使用結束時， 所述安裝部分從所述目錄結構中卸載所述文件系統。
7. 如權利要求1 6中任一項所述的信息處理器，還包括 用戶界面部分，其包括除所述外部應用程式之外的其他應用程式作為選擇元素； 添加部分，其將所述外部應用程式添加到所述用戶界面部分中作為選擇元素；以及 控制部分，當所述應用程式用戶選擇對應於所述外部應用程式的選擇元素時，所述控制部分啟動所述外部應用程式。
8. —種信息處理方法，包括在作業系統的控制下執行包括外部應用程式的多個應用程式，其中，所述執行步驟包括基於在所述作業系統的控制下並且分配給所述外部應用程式 的用戶識別符而在隔離環境中執行所述外部應用程式。
9. 一種信息處理器，包括 圖像輸入部分； 圖像輸出部分；第一執行部分，其在作業系統的控制下執行利用所述圖像輸入部分和所述圖像輸出部 分中至少之一來實現複印原稿讀取和傳真功能中至少之一的應用程式；以及第二執行部分，其基於在所述作業系統的控制下並且分配給所述應用程式的用戶識別信息而在隔離環境中執行另 一應用程式c
全文摘要
本發明公開了一種信息處理器和信息處理方法，所述信息處理器用於在作業系統的控制下執行包括外部應用程式的多個應用程式，並且包括執行部分，所述執行部分基於在所述作業系統的控制下並且分配給所述外部應用程式的用戶識別信息而在隔離環境中執行所述外部應用程式。
文檔編號H04N1/32GK101742029SQ200910147378
公開日2010年6月16日 申請日期2009年6月18日 優先權日2008年11月13日
發明者田川昌俊 申請人:富士施樂株式會社