通过计算机控制的、可以由多个用户单元同时使用的程序而进行的访问控制的方法

通过计算机控制的、可以由多个用户单元同时 使用的程序而进行的访问控制的方法

通过所谓计算机控制程序的一种所谓的“共享”，可以在计算机 辅助会议中引入标准-壹-用户应用(程序)。参加会议的可能处于不 同位置的人员，借此可以因此共同操作该标准-壹-用户应用。所有 与会者可以观察各自共同使用的应用的输出。在任一时刻只有与会者 之一可以在应用上进行输入。

这个应用分配的技术结构是支持分布在不同位置的人员同步协作 的信息技术系统的基础。

在这个应用的“共享”中迄今提供二个不同的用户角。对此， 一方称为“令牌持有者”，在此表明这个人在相应时刻有权进行应用输 入，另一方称为“观察者”在此表明其他与会者虽然可以观察应用的 输出，可是在有关时刻都无权进行应用的输入。

该“令牌持有者”的角是取决于时间的。会议期间该角可以 在与会者之间转换，可是在任一时刻始终正好提供一个“令牌持有者”。 这意味在任一时刻始终正好仅有一个人员有权对应用进行输入。通过 这个技术解决方式，每个“令牌持有者”都有优先权，及操作应用的 所有者的访问权，也就是有这个启动应用地用户的权利。因此该“令 牌持有者”可以利用该应用准确进行这样的操作，对此该应用的所有 者是有权利的。因此，“令牌持有者”与应用的真正所有者不再可以 区分。对于应用来说不可以辨认，不同的人员在使用它，并且同样不 能辩认在任一确定时刻谁在使用它。在一定程度上，有关的“令牌持 有者”通过存在的“共享系统”的技术结构成为一个应用所有者的化 身。

这个运行方式隐含着很高的安全风险，因为当应用例如是一具有 相应功能的文本处理程序时，则该“令牌持有者”因此有例如到应用 所有者的全部文件系统的访问。这种情况下，该“令牌持有者”未经 许可就可以清除、修改、读出或复制文件，而无需程序的所有者必须 对此有绝对的了解。

目前将窗口系统按使用这些窗口系统的操作方式和工作方式划分 为两个已知的范畴。

一种是所谓的客户-服务器-窗口系统具有一公共的网络接口 (R．Scheifler et al，The X-Window-System，ACM Transactions on Graphics，1986年4月第5卷第二期79-109页)，另一种是这样的 窗口没有公共的网络接口。后者也作为整体的基于图形的窗口系统GDWS 公开(Microsoft Windows 3．1 Programmer’s Reference，Volume 1： Overview，Microsoft Press，Redmond，ISBN 1-55615-453-4，1992； R．Orfali et al，os／2客户／服务程序，Van Nostrand Reihold，New York，ISBN 0-442-01833-9，1993；Inside macintosh，第6卷， Addison wesley，ISBN 0-201-57755-0，1991)。

另外，也公开了使窗口系统成为一可共享的窗口系统的若干扩展 (H．Abdel-Wahb et al，多重显示上X客户共享中的结果、问题和解 决，Internetwork；Research and Experience，1994年第5卷1-15 页；

D．Garfinkel et al，HP Shared X：实时协作工具，Hewlett- Packard Journal，1994年4月23-36页；W．Minenkel，Transparentes Application - Sharing unter X Window，Multimediale Telekooperation，德国人工智能研究中心(DFKI)GmbH， Saarbruecken，1994年1-8页；

J．Baldeschwieler et al，A Survey on X Protocol Multiplexors， ACM SIGCOMM，Computer Communication Review，瑞士联邦技术学院， 计算机工程和网络实验室(TIK)，ETH中心，苏黎世，1993年16-24 页，U．Pech，Sichtlich beeindruckt，PC Professionell，1995年 10月71-8页；

E．Chang et al，Group Coordination in aparticipant Systems， IEEE，Proceedings of the 24th Annual Hawaii International Conference on system Sciences，第3卷第4期，Kauai，HI，1991 年1月589-599页；

A．Nakajima，A Telepointing Tool for Distributed Meeting systems，IEEE，Globel Telecommunitions Conference ang exhibition，第1卷第3期，San Diego，CA，1990年12月76-80 页；

J．Patterson，The Implications of Window Sharing for a Virtual Terminal Protocol，IEEE Internationsl Conference on Communications，第1卷第4期，Atlanta，GA，1990年4月66-70 页；

G．Herter，Intel Proshare，Accounting technology，1995年 1月第11卷第1期49-54页；D．Riexinger et al，Integration of Existing Applications into a Conference System，Proceedings of International Conference on Multimedia Transport and Teleservices Vienna，1994年11月，346-355页)。

此外，公开了可以由多个用户共同使用的各种壹-用户-应用的 安全扩展(G．Gahse，“会议系统中的访问控制”，IBM德国信息系统 GmbH，欧洲网络研究中心，Heidelberg，1995)。

迄今为止公开的会议系统中的各种壹-用户-应用的安全扩展方 法说明的是一种访问控制方法，其中，应当由多个用户共同使用的一 种壹-用户-应用运行在特殊的“共享特权”下。在这个方法中，用 户被分配一共同的、新的临时的协作期间的身份。给这各临时身份分 配访问权(“共享”特权)，因此可以降低最初的权利。因此例如没 有一个会议参加者在使用应用程序的情况下，可以无理地访问局域系 统的数据。

在已知的方法中可以看到的一项主要缺点在于，已提出的访问控 制机理在分配所要求的资源时不考虑不同的用户，并且因此在“令牌 持有者”和应用的所有者之间不可能加以区别。

在这个方法中一直存在的安全危险的主要原因在于，在本方法中 总还有多个用户，例如系统管理者或者也有在一确定的“授权文件” 中规定的其它用户，可以设置其它用户对应用的使用权利。通过这个 运行方法，其它用户例如通过应用的所有者的文件系统也另外可以“确 定”作为真正的应用的所有者。分配应用的权利的用户的可靠性的这 种先决条件表明一显著的安全危险。

本发明基于这个问题，给出一种通过计算机控制的程序进行访问 控制的方法，该程序可以由多个用户单元同时使用，该方法避免了前 面已说明的安全危险。

通过符合权利要求1的方法解决了这个问题。

在本方法中，在应用的所有者，也就是启动应用的用户，当时的 “令牌持有者”和所有的其它用户之间进行明确地区分。一个应用 (Programm)的所有者构造一种访问控制数据库，在该数据库中此所有 者基于其它用户的身份以及由用户发出的请求方式，通过自己的应用 可以确定，是否允许当时的用户的申请或是否拒绝申请。

在本方法中，由组织数据流的工具(所谓的多路转换元件)接收 可以由多个用户单元同时使用的应用(程序和大量的文库程序)所接 收的申请，并且接着检查最初启动程序的用户单元是否已发出该申请。

假如是这种情况，并且假如应用的所有者在相关时刻拥有输入权， 那么该申请就直接传递到程序。

否则，根据由应用的所有者构造的访问控制数据库对申请实施访 问控制。通过访问控制实现，仅把明确的由应用所有者“许可”的申 请传递到程序。

通过这个附加的访问控制显著提高了会议系统中应用“共享”的 安全性。

通过符合权利要求2的方法的改进简化了该方法，通过在控制前 检查用户单元是否原来已启动该程序，已发出申请的用户单元是否完 全享有操作权，也就是说该用户单元是否是“令牌持有者”。如果在 发送时刻不是这种情况，那么该申请绝对不首先实施另外的权利要求1 所具有的方法步骤。

因此避免了由在申请发出的当时时刻不是“令牌持有者”的用户 发出的申请的访问控制，由此达到了很大的计算时间节省，因为不再 必须对所有的由组织数据流(多工单元)的工具接收的申请实施访问 控制。

通过符合权利要求3的方法的改进，通过鉴别已发出申请的用户 单元和／或申请自身，进一步提高了本方法的安全性。

在从属权利要求中给出了符合本发明方法的改进。

下面，根据示出适合本发明方法的二个实施例的附图详细说明本 发明。

所示为

图1原理上的资源布置，其使用一个第一实施例的窗口系统，该 窗口系统是可以扩展的，在该窗口系统中应用可以由多个用户同时使 用；

图2在图1中已说明的资源扩展的原理上的布置，借此一个应用 的同时使用通过多个用户是可能的。

图3程序方框图，在这里说明了适合本发明方法的各个方法步骤；

图4程序方框图，在这里通过对申请和／或申请的发送者的鉴别 实施扩展；

图5程序方框图，在这里说明了本方法的一个扩展，其中，在本 方法开始时检查，在发送时刻发出申请的用户单元是否拥有对应用的 操作权；

图6结构图，在这里表明了至少应当存在于一个访问控制数据库 中的信息；

图7一个布置，在这里通过一个访问控制数据库表明了在图2中 已说明的布置的必要的安全扩展。

图8原理上的资源布置，其使用了一个第二实施例的一个整体的、 基于图表的窗口系统，该实施例可扩展为一个整体的、基于图表的窗 口系统，在该窗口系统中各应用可以由多个用户同时使用。

根据图1至8进一步解释本发明。

在图1中为了解释一个第一实施例示出了一个布置，在该布置中 说明了各个的成分(资源)，它使用一个已公开的，在(R．Scheifler et al，The X Window System，ACM Transactions on Graphics，1986 年4月第5卷第2期79-109页)中已说明的窗口系统。

该布置至少具有以下的成分：

-一个用户单元，另外称作服务器XS，它又具有以下的成分：

--至少一个激励器单元DD，它通过一个在其它成分中已说明的 客户XC允许在其它的外围成分之间进行耦和，

--一个显示单元BS，

--一个键盘TA，

--一个鼠标MA，

-客户XC，他至少具有以下成分：

--大量的文库程序XL，和

--应用ANW。

显示单元BS、键盘TA、鼠标MA以及此外可能存在的其它外围单 元，形成前面已说明的外围成分，该成分通过相应的激励单元DD和客 户XC耦合。

客户XC的大量文库程序XL形成在已知的、上面已说明的窗口系 统和应用ANW之间的接口。

文库程序XL以及应用ANW共同形成程序P。

即使在本实施例中仅说明了各一个应用ANW或一个程序P，那么自 然可以为一个实施该应用的计算单元提供多个应用ANW和从而多个客 户XC。

这个在图1中示出的布置也仅仅是一个非常简单的、理论上的客 户XC和服务器XS进行通信过程的例子，好象通信在已知的窗口系统 下进行。

服务器XS向客户XC发出一个申请A，因此在客户XC中，例如在 应用ANW中，产生一些动作。这个申请例如可以通过键盘TA体现输入。 通过激励器单元DD“改写”输入为申请A，并且发送给客户XC。

应用ANW，例如一个文本操作程序或者一个计算程序，一个字符程 序和类似的程序，这时可以接受输入，并且在文本文件中例如作为新 的字母符号接收。

为了也能通过显示器显示文本文件中的这个修改，在这种情况下， 例如在一个应答B中发出一个显示申请给显示单元BS，要求修改显示 器的显示。

在图2中说明的布置，它与图1中已说明的布置相比扩展了一个 用于组织数据流的工具，它在其它布置中称作多路转换元件ASC，以致 使基于前面已说明的窗口系统的会议系统成为可能。

已公开了多路转换元件ASC的多个不同的实现方法。这例如在 (D．Garfinkel et al，HP Shared X：实时协作工具，1994年4月Hewlett -Packard杂志，23-26页；W．Minenko，Transparentes Application Sharing unter X Window，Multimediale Telekooperation，德国人 工智能研究中心(DFKI)GmbH，Saarbruecken，1994年1-8页)中已 说明。

关于多路转换元件ASC的不同实现方法的研究在 (J．Badeschwieler et al，A Survey on X Protocol Multiplexors， 瑞士联邦技术学院，计算机工程与网络实验室(TIK)，ETH中心， Zuerich，1993)中已说明。

通过多路转换元件ASC这当然是可能的，即多个服务器XSi经过 多路转换元件ASC与客户XC通信，并且因此可以访问各程序P。标志 号i在此明确地定义了当时的每一个服务器XSi，并且该标志号是l和 n之间的任意的自然数，同时数字n给出了经过多路转换元件ASC与客 户XC耦合的服务器的总数。

多路转换元件ASC应当至少具有以下特性：

-多路转换元件ASC连接在客户XC和服务器XSi之间。

-与客户XC相比多路转换元件接受单一的服务器XS的功能，是 为了因此获得符合图1的布置的功能。

-与n个服务器XSi相比多路转换元件ASC接受客户XC的功能， 因此通过多路转换元件ASC模拟n个“逻辑客户”。

一个服务器XSi也总是发出一个会议询问Ai给多路转换元件ASC。 在该多路转换元件ASC中各有关会议询问Ai转换成向客户XC发出的 询问A。

客户XC的显示询问B跟图1中已说明的布置相反，是发送给多路 转换元件ASC的，然后在那里转换成会议显示询问Bi，并且发送给发 出会议询问Ai的有关服务器XSi。

可是按会议显示问询Bi的类型把显示问询B分配给各服务器XSi 是必要的。例如这是必需的，如果显示问询B存在于向显示单元BS的 申请中，因为在各服务器XSi上清楚地显示出显示内容的改变是必须 的。

-多路转换元件ASC也接受多路转换器和信号分离器的功能，也 接受数据流的组织。

此外在多路转换元件ASC中客户XC的显示询问B被多路转换给相 耦合的服务器XSi，对此显示询问B的副本发送给单个的服务器XSi。

如果在服务器XSi上使用了不同类型的显示单元BS，或类似的， 那么，此外根据服务器XSi的不同资源，例如当服务器XSi上不同的 颜显示时，就改变单个的会议显示问询Bi。

-把服务器XSi发出的会议申请Ai收集到多路转换元件ASC中， 并且也许可能选出不允许的会议申请Ai。

把允许的会议访问Ai传递到客户XC，好象这些会议申请Ai直接 来自一个唯一的服务器XS，不是来自多个服务器XSi，但实际是这种 情况。

在图3中说明了适合本发明方法的各个步骤。

在第一步1中，一个任意的服务器XSi给多路转换元件ASC发送 一个会议申请Ai。

多路转换元件ASC接收该会议申请Ai，2。

接收会议申请Ai后，在另一步骤3中检查，发出会议申请Ai的 服务器XSi是否最初已启动与会议申请Ai有关的程序P。

这相当于检查会议申请Ai的发送者是否是应用AWN的所有者。

如果发出会议申请Ai的服务器XSi最初已启动程序P，并且如果 他在相关时刻拥有输入权，那么会议申请Ai直接从多路转换元件ASC 传递到客户XC，并且因此传递到程序P和应用ANW，4。

这实现了在本发明的范围内应用ANW的所有者拥有对其应用ANW 的完全控制。因此对于这种情况来说，不必对由应用ANW的所有者发 出的会议申请Ai实施另外的访问控制。

可是如果由一个不是应用ANW的所有者的服务器XSi发出会议申 请Ai，那么根据访问控制数据库ZDK对会议申请Ai实施一个附加的访 问控制，5．通过访问控制对该会议申请Ai区分为允许的会议申请Ai 和不允许的会议申请Ai。

在另一步骤6中检查前面已实施的访问控制5的结果。如果通过 应用所有者把该会议申请Ai分类为一个不允许的会议申请Ai，那么该 会议申请Ai不传递到客户XC，并且因此也不传递到应用ANW，而是拒 绝它，7。

可是如果通过应用所有者把该会议申请Ai分类为一个允许的会议 申请Ai，那么就传递该会议申请到客户XC，并且因此传递该会议申请 Ai到应用ANW，8。

通过该运行方式不再象往常一样区分这个在会议申请Ai的发送时 刻拥有操作权的一方、也就是所谓的“令牌持有者”和另外的用户、 所谓的“观察者”。

通过这个符合本发明的方法添加一个附加的鉴别，即鉴别发出会 议申请Ai的服务器XSi是否不是应用ANW的所有者，也鉴别应用ANW 最初不是由相应的服务器XSi启动的。

用该附加鉴别，在允许的会议申请Ai的适当分类的情况下，通过 访问控制数据库ZDK中的应用所有者防止了未经许可的第三者可能对 应用ANW的所有者的资源的访问。

通过本发明的方法，现在还只是应用ANW的所有者有权利完整地 访问其自己的资源。

另外，应用ANW的所有者具有唯一的构造访问控制数据库ZDK的 权利，因此唯有这种可能，他和与会者共同使用由他启动的应用ANW， 也就是所有的其它服务器XSi完全承认或接受特别确定的权利。

因此避免了安全危险，其具有在(G．Gahse，“会议系统中的访 问控制”，IBM德国信息系统GmbH，欧洲网络研究中心，1995年VIS 会议录，141-162页，1995)中说明的方法，并且在前面已说明，因 为没有其它用户单元可以作为应用ANW的所有者自己分配到对应用ANW 的访问权，并且也除了应用ANW的所有者同意外，不拥有“全权”的 对应用ANW的访问权。

如此唯独由应用ANW的所有者，也就是从这个最初启动应用ANW 的服务器出发，构造并控制访问控制数据库ZDK。

为了可以高效实施对每个会议申请Ai的访问控制，访问控制数据 库ZDK至少具有以下信息(参见图6)：

-客户XC的资料AC，通过它获得访问控制数据库ZDK中的登记， 例如通过Inter网协议地址(IP)和附加的相应的端口地址的资料，

-服务器XSi的资料AXSi，通过它获得访问控制数据库ZDK的登 记，例如通过细分有关服务器XSi的显示器地址，

-会议申请Ai的各类型AAT的资料，通过它获得访问控制数据库 ZDK的登记，例如在第一实施例的前面已说明的窗口系统中的登记上： Xcreate，Xrequest，等，

-其它参数WP；该其它参数WP可以具有例如有关会议申请类型的 允许数据范围。

访问控制数据库ZDK允许构造和改变的方式和方法可以以不同的 方式实现。

例如预先规定，应用ANW的所有者借助一个文本编辑构造访问控 制数据库ZDK作为文本文件。

此外也预先规定，为了构造该访问控制数据库ZDK使用了一个屏 幕掩模，通过它对于应用ANW的所有者来说为了建立访问控制数据库ZDK 使直观的输入成为可能，并因此简化了输入。

此外预先规定，对预先确定的与会者定义一些模板。这些模板是 访问控制数据库，对于确定的安全道具来说，例如对于确定的应用和 对于确定的与会者来说是预先确定的，并且对于当时由应用的所有者 启动的应用ANW来说可以容易调用结合成为访问控制数据库。

证实消息的附加措施，在本方法的一个改进中预先规定用于避免 未经授权的第三者自身进入访问控制数据库，其中消息用于定义，就 是说构造访问控制数据库ZDK，或者也用于改变访问控制数据库ZDK中 的数据。

专家已知用于证实的加密方法，例如非对称加密方法，通过它使 数字签名成为可能，以及可能证实各消息的发送者，或者使用一种单 向功能，用它至少通过会议申请Ai的一部分成一个复述值(Hash- Wert)。

在本方法的扩展中，该扩展在图4中示出，该方法开始前实施一 个以后将说明的鉴别的初始化41。

这例如通过以下的措施实现。

假设多路转换元件ASC具有一个应用证书，并且用户单元，也就 是服务器XSi，各具有一个各明确分配给用户单元的用户证书，于是多 路转换元件ASC产生第一个随机数。

在多路转换元件ASC和有关服务器XSi之间建立传输连接后，多路 转换元件ASC给用户单元发送第一个协商消息，其至少具有以下成分：

-程序证书，

-第一个随机数，

-后面要使用的加密方法的第一个建议，和

-数字签名，其至少通过第一个随机数以及第一个建议形成。

由有关的用户单元，也就是服务器XSi，接收第一个协商消息。

由用户单元检查程序证书的正确性。

此外检查数字签名。

如果程序证书和数字签名的检查提供一个肯定的结果，那么在用 户单元Xsi中继续检查，在以后为了鉴别和为了传输的安全是否可以 使用在第一个协商消息中提出的加密算法。

如果用户单元XSi可能不支持已提出的加密算法，那么用户单元， 也就是服务器XSi在第二个建议消息中形成第二建议，并且发送给多 路转换元件ASC。第二个建议具有支持用户单元XSi的加密算法。从现 在起，多路转换元件ASC将建议这作为在以后的方法中对于在多路转 换元件和用户单元XSi之间的逻辑连接所必须使用的加密方法。

第二建议消息至少具有以下成分：

-有关服务器XSi的用户证书，

-由用户单元XSi自己产生的第二随机数，

-第二建议，

-各自至少通过第一随机数、第二随机数以及第二建议形成的数 字签名。

把第二建议消息发送给多路转换元件ASC。

假如支持在第一个建议中用户单元XSi给出的加密算法，那么用 户单元XSi形成一个确认消息并把它发送给多路转换元件ASC。

确认消息至少具有以下成分：

-用户证书，

-第二随机数，

-肯定的确认，和

-各自至少通过第一随机数、第二随机数、和肯定的确认形成的 数字签名。

把确认消息发送给多路转换元件ASC。

由多路转换元件ASC接收协商消息或确认消息，在多路转换元件 ASC中检查用户证书以及数字签名是否是正确的。

此外假设检查提供一肯定的结果，并且其接收的消息是确认消息， 那么对于下面有效数据传输阶段来说，多路转换元件ASC考虑到约定 的加密算法产生第一个会议密码。

由第一个会议密码形成第一个会议密码消息，并把它发送到用户 单元XSi，其至少具有以下成分：

-用服务器XSi公共的密码编码的第一会议密码，

-必须使用的加密方法的详细说明，

-一个至少通过第一随机数、第二随机数、第一会议密码形成的 数字签名以及必须使用的加密方法的详细说明。

如果多路转换元件ASC接收第二协商消息，并且用户证书和数字 签名或第二协商消息的复述值的检查提供一个肯定的结果，那么在多 路转换元件ASC中检查，为了实施另外的加密算法多路转换元件ASC 是否支持在第二协商消息中建议的加密算法。

如果多路转换元件ASC支持已建议的加密算法，那么对于下面有 效数据传输阶段来说，考虑到约定的加密算法产生第一会议密码。

另外，正如前面已说明的，在使用第一会议密码的情况下，把第 一会议密码消息发送给多路转换元件ASC。

为了“商定”必须使用的加密方法只要重复前面已说明的运行方 法，直到最终不仅用户单元XSi而且多路转换元件ASC接受已建议的 加密方法。

在用户单元XSi中，在使用用户单元ASi的私人密码的情况下确 定第一个会议密码。此外检查第一个会议密码消息的数字签名。

此外假如数字签名的检查提供一肯定的结果，那么在使用由用户 单元XSi形成的第二会议密码的情况下，形成第二会议密码消息。

这个第二会议密码消息至少具有以下成分：

-用多路转换元件ASC的公共程序密码编码的第二会议密码，和

-一个至少通过第一随机数、第二随机数、第二会议密码形成的 数字签名或一个通过该成分形成的复述值。

多路转换元件ASC接收第二会议密码消息并确定第二会议密码。 检查数字签名或第二会议密码消息的复述值。

如果数字签名的检查提供一个肯定的结果，那么在下面的有效数 据传输阶段为了有效数据的编码而使用已交换的会议密码。对此每个 参与的主管使用由他自己为了发送有效数据而产生的会议密码，同时 只是为了接收有效数据使用已接收的会议密码。

在适合本发明方法的范围中，为了密码交换或者为了形成用于有 效数据编码的会议密码，可以没有限制地引进其它的加密方法。

在用于鉴别的初始化阶段41结束之后，在有效数据传输阶段，在 多路转换元件ASC中接收到有关的会议申请Ai之后，总是进行会议申 请Ai和／或发出会议申请Ai的用户单元XSi的鉴别42。

在另外的步骤43中检查，鉴别是否提供一个肯定的结果。如果是 肯定的结果，会议申请Ai导致其它的前面已说明的方法L。

可是如果鉴别43得到一个否定的结果，那么就拒绝该会议申请 Ai，并且因此不把该会议申请传递到客户XC，44。

此外本发明的另一扩展在于，接收会议申请Ai后，通过多路转换 元件ASC2检查，在当时的发送时刻，已发出会议申请Ai的用户单元 XSi是否拥有操作权51(参见图5)。

这符合这个提问，即在会议申请Ai的发送时刻用户单元XSi是否 是应用ANW的“令牌持有者”。

如果是这种情况，那么会议申请Ai进行适合本发明方法的其它方 法步骤L。如果不是这种情况，则不传递该会议申请Ai，并且因此拒 绝它，52。

该扩展具有这样的优点，本来不允许的会议申请Ai，也就是由一 个目前完全不拥有操作权的用户单元XSi发出的会议申请Ai进行全部 的方法。因此避免了多余的访问控制。

在图2中已说明的布置的必要扩展，对此该布置可以实施前面已 说明的方法，在图7中描述。该扩展在于，在多路转换元件ASC中预 先规定一附加的访问控制。

此外，当然必须执行前面已说明的预先规定的检查。

在第二实施例中对计算单元说明该方法，该计算单元使用整体的、 基于图形的窗口系统，其不具有在应用ANW和窗口系统之间的公共通 信接口(参见图8)。

这样的整体的、基于图形的窗口系统的例子是众所周知的，并在 前面已引用。

在整体的、基于图形的窗口系统上，为了分配壹-用户-应用， 同样必需在应用ANW和用户界面之间将窗口协议“拆开”。在这里的 运行方法原理上与已说明的类似。下面叙述在窗口协议中可能的结合 位置。

图8中描述了这个整体的、基于图形的窗口系统GDWS的结构。

整体的、基于图形的窗口系统GDWS至少具有以下成分：

-显示器BS，

-键盘TA，

-鼠标MA，

-图形卡激励程序GDD，

-图形文库程序BCL，

-具有输入处理程序IL的窗口文库程序WL，

-应用ANW。

在本实施例中，应用ANW，如基于图形的窗口系统GDWS，在相同 环境下并且为了互相通信双方使用大量的一个共同的存储器中的功能 调用。

因为基于图形的窗口系统GDWS不具有公共的通信接口，所以必须 并且在图8中示出的图的结构中为了由多个用户同时使用的应用ANW， 插入该种接口。

在有关基于图片的窗口系统GDWS的不同位置上可以进行扩展，例 如在窗口文库程序WL和应用ANW之间的第一程序接口上，在图形文库 程序BCL和窗口文库程序WL之间的第二程序接口上，或在图形卡激励 程序GDD上。

这个改变只有在下面的情况下是可能的，即如果窗口文库程序WL、 图形文库程序BCL或图形卡激励程序GDD不是不变地结合在应用ANW 上，而是动态地结合这种方式的程序称为动态链接库(DLL)。

已公开了必要的改变。

正如前面已说明的，根据本发明的方法也在这个整体的、基于图 形的窗口系统GDWS上实施。