本发明的技术领域

本发明涉及数据管理，具体而言，本发明涉及验证部件对象系 统中的对等数据对象的系统和方法。

本发明的现有技术

历史上，软件应用正象仓库一样设计，而仓库是出现准时制 (JIT，just in time)制造之前，用来向工厂提供支持的。在准时制 制造之前，仓库里储藏着每一种零部件，全然不考虑何时需要该 零部件或是否需要该零部件。类似地，各种软件应用一直是利用 储存在某个软件应用中的大量的模块构建，而不考虑是否需要所 有的模块。在开发基于对象的解决方案时，一个技术问题是软件 代码通常经过编译被链接到某个可执行程序中。一旦该代码处于 可执行状态，进一步把诸部件结合到该程序中就困难了。

但是，新的对象模型现在准备把数据对象结合到工作应用中。 例如，互联网浏览器利用解释环境，允许把各种各样的数据对象， 如Java小程序，动态地集成到互联网浏览器中。

虽然根据现有的对象模型，数据对象包含某些单向保密特性， 但是还没有供数据对象验证浏览器的身份和浏览器验证数据对象 的身份的途经。至多把数据对象设计成带简单的保密计划，浏览 器可以按这个保密计划决定是否信任该数据对象。如果该数据对 象是可信任的，那么授权该数据对象访问某些系统特性。反之， 如果该数据对象是不可信任的，那么将限制该数据对象访问系统 特性。

此外，数据对象利用现有技术不能检验浏览器或其它可能已经 安装在浏览器中的数据对象的身份。由于这种限制，安全的和受 保护的数据对象不能得到发展，因为它们不能保证目标环境将认 可并理解它们内部的保密性。

所以，需要有一种系统，这种系统能够在每次使用数据对象时， 都验证该数据对象对其各个对等体的同一性。此外，该系统还应 当能够验证各个对等体对该数据对象的同一性。在数据对象和对 等数据对象被识别之后，该数据对象应当能够动态地与各个对等 数据对象连接。而且，如果该数据对象需要某个选定的对等数据 对象，而在该系统上又找不到那个选定的对等数据对象，或者那 个对等数据对象未能通过验证，那么该系统应当能够找到一个能 通过验证的对等数据对象。

本发明的概述

本发明的动画系统具有若干特性，其中没有一个特性能够单独 对其想要的属性负责。现在，不限制所附权利要求书所表述的本 发明的范围，扼要地介绍本发明更显著的特性。

本发明的一个实施方案包括在具有一个或多个对等数据对象的 计算机中控制数据使用的方法，该方法包含提供一个数据对象， 该数据对象包括对一个或多个对等数据对象的描述，确定这些对 等数据对象是否被授权与该数据对象通信，确定该数据对象是否 被授权与各个对等数据对象通信，以及根据被授权的权限把该数 据对象与各个对等数据对象连接起来，以使该数据对象可以与各 个对等数据对象通信，而且各个对等数据对象也可以与该数据对 象通信。

本发明的另一个实施方案包括一种控制数据对象使用的系统， 该系统包含一个或多个对等数据对象，这些对等数据对象共同定 义一个软件应用，一个能够从数据对象中读出对于使用该数据对 象所必需的对一个或多个对等数据对象的描述的句法分析程序， 一个能够确定该数据对象是否被授权与一个或多个对等数据对象 通信的确认数据对象模块，一个能够确定各个对等数据对象是否 被授权与该数据对象通信的确认对等模块，以及一个能够控制对 等数据对象与该数据对象的连接的接线模块。

附图的简要说明

图1是一个高级方框图，图解说明众多数据对象提供者，数据 对象，和把数据对象与一个或多个对等数据对象连接起来的本发 明的动画系统。

图2是一个方框图，图解说明组成图1所示动画系统的各个模 块。

图3是一个方框图，图解说明图1所示的数据对象的部件，该 部件包括：对象的数字标识符，对等表，签名表，管理信息，一 个或多个子部件和出口表。

图4是一个方框图，图解说明图3所示子部件之一的各个元素。

图5是一个方框图，图解说明图3所示出口表的各个元素。

图6是一个方框图，图解说明包含在选定的图3所示子部件中 的接线数据字段。

图7是一个方框图，图解说明可以包含在图3所示子部件中的 示范数据。

图8是一个方框图，图解说明可以包含在图3所示子部件中的 示范代码。

图9是一个流程图，图解说明图3所示数据对象的创建过程。

图10是一个流程图，图解说明图1所示的数据对象与对等数 据对象的连接过程。

本发明实施方案的详细叙述

下面的详细介绍目的在于说明本发明的某些特定实施方案。但 是，本发明可以象权利要求书所定义和覆盖的那样，以很多不同 的方式实现。 系统综述

图1是图解说明本发明的动画系统100的高级方框图。动画系 统100能够在一个安全的和受保护的环境中验证数据对象112，并 把它与一个或多个对等数据对象或部件118连接起来。在验证和 假设数据对象被授权与各个对等数据对象118通信之后，动画系 统100调整该数据对象112与各个对等数据对象118的连接。

如图1所示，动画系统100可以与一个或多个包含数据对象112 的数据对象提供者107通信。典型的数据对象提供者可以是下列 之一：数据库104，服务器计算机106，可拆装媒体存储器110， 或硬件设备111。可拆装媒体存储器110可以是软盘、光盘、硬盘、 磁带机、只读存储器(ROM)、或其它永久性存储媒体。硬件设备 111可以是逻辑芯片、只读存储器、随机存储器(RAM)、智能卡、 或中央处理器。

在本发明的一个实施方案中，数据对象112可以被保存在Java 档案文件(JAR，Java Archive)中。Java档案文件是一种与操作 系统平台无关的文件格式，它把许多文件集合到一个文件中。利 用Java档案文件的文件格式，多种Java小程序及其必不可少的部 件可以被集合在一份单独的文件中，借此便于在计算机之间传递 这些小程序。关于Java档案文件的补充资料可以在加利福尼亚州 Mountainview的太阳微系统公司(Sun Microsystem，Inc)出版的Java 档案文件指南(http：∥java.sun.com/products/jar/jarGuide.html)中找 到，在此将其引入本文作为参考。在本发明的另一个实施方案中， 数据对象112是硬件设备。

在此需要注意的是，每个对等数据对象118都是一个数据对 象，文中用术语“对等”定义它仅仅是为了区分其角色。数据对 象112和对等数据对象118的模式将在下面参照图3予以阐明。

诸对等数据对象118可以一起或孤立地定义一个或多个软件应 用。软件应用包括诸如字处理器，数据库，个人理财实用程序， 绘图工具，互联网浏览器，计算机游戏，通信程序，授权程序， 电子钱包，多媒体着色程序(multi-media renderer)，或合同管理 器等。使用对等数据对象的过程将在下面参照图10予以阐明。

在根据本发明的一个实施方案中，动画系统100是驻留在客户 机102上的可执行的计算机程序。该动画系统100包括通常被分 开编译并链接到单一的可执行程序上的各种模块。这种动画系统 100的诸模块下面将参照图6予以介绍。

动画系统100(图1)可以用任何编程语言编写，例如C，C++， BASIC，Pascal，Java，和FORTRAN。C，C++，BASIC，Pascal， Java，和FORTRAN是标准的工业编程语言，许多商用编译程序和 解释程序可以用于这类语言以生成可执行代码。此外，动画系统100 可以与各种操作系统结合起来使用，例如UNIX，Solaris，磁盘操 作系统(DOS)，OS/2，Windows 3.X，Windows 95，Windows 98， Windows CE，Palm Pilot操作系统，以及Windows NT。

客户机102可以是任何使用一个或多个微处理器(例如Pentium 处理器、PentiumⅡ处理器、Pentium Pro处理器、xx86处理器、8051 处理器、MIPS处理器、Power PC处理器、或Alpha处理器)的常 规的通用计算机。此外，客户机102可以是专用计算机，例如手 持计算机、电话、路由器、卫星、智能卡、嵌入式计算设备、或 计算设备网络。

图2是图解说明动画系统100(图1)的诸部件的方框图。动 画系统100包括用于读数据对象112的句法分析程序150。该动画 系统100还包括确认模块152。该确认模块152包括两个子部件， 即确认数据对象模块158和确认对等模块160。对确认数据对象模 块158进行配置，以便在数据对象与对等数据对象118(图1)连 接之前，验证该数据对象112(图1)的完整性。确认对等模块160 被用于确认每个对等数据对象118的完整性。

动画系统100还包括与确认模块152通信的接线模块154。接 线模块读出数据对象112，以便确定哪些对等数据对象和/或硬件 配置是正确操作该数据对象所必需的。该数据部件与对等数据部 件的连接过程将在下面参照图10予以阐明。

此外，动画系统100包括事件管理器156。该事件管理器负责 在数据对象112连接到对等数据对象118(图1)上之前和之后， 把诸事件发送给该数据对象112。

图3是图解说明数据对象112的组成部分的示意图。数据对象 112包括数字对象标识符200，它唯一地识别该数据对象。该数字 对象标识符可以按照任何标准的或专有的识别模式产生。关于示 范的数字对象识别体系的补充资料在International Digital object Identifier Foundation出版的About DDI(关于数字对象标识符) <http：∥www.doi.org/overview.html>中予以介绍，在此引入本文作为 参考。

数据对象112还包括对等表202(图3)。对等表202定义数据 对象112进行适当操作所需要的所有的对等数据对象，如图1所 示。在本发明的一个实施方案中，对等表202是对等表结构(未 示出)的链接表，其中每个对等表结构代表一个对等数据对象118。 每个对等表结构都包含对等数据对象的名称，与该对等数据对象 相关的版本号，和位置标识符。如果数据对象没有储存在客户机102 上，位置标识符将指出可以重新找到对等数据对象的位置。在本 发明的一个实施方案中，位置标识符是指出万维网站点的通用资 源定位符(URL)。另外，位置标识符可以识别数据库104。

对等表202可以非必选地包括对解密数据对象(未示出)的描 述，它负责对数据对象112的子部件内容解密。

数据对象112还包括签名表204(图3)。签名表204包含一个 或多个数字签名，这些签名可被用于验证在该签名表204中签名 的一个或多个签名人的身份。

数据对象112的每个数字签名都是以该数据对象112的内容和 签名人的个人密匙为基础的。通过使用散列功能和利用个人密匙 为该数据对象加密的个人签名功能，可以生成每个数字签名。每 个数字签名还包括可用于检验数据对象112的真实性的公用密匙。

在本发明的一个实施方案中，每个数字签名都有相关的数字证 书。数字证书由鉴证权威颁发，该鉴证权威为接受者的身份提供 担保，该接受者由它用特定的密匙颁发数字证书。

当公用的和个人的密匙对于数据对象112都有效时，公用密匙 与某种鉴定证据一起被发送给鉴证代理。该鉴证代理检验该证明， 然后把证实数据对象112提供者的名称与公用密匙之间的联系 (binding)的证书与检验鉴证权威的公用密匙的证书体系结构(即 证书链)一起发送给该证书的请求者。为了证明数据对象112提 供者的公用密匙的合法性，只要需要，该提供者随时可以提交这 种证书链。例如，关于数字签名和数字证书的补充资料是由RSA Data Security http：∥www/rsa.com介绍的。

数据对象包括管理信息205。该管理信息205可以包括数据对 象112的提供者的名称，数据对象的名称和/或数据对象112的提 供者想要包括在内的任何与该数据对象112有关的其它信息。

再者，数据对象112包括一个或多个子部件206。这些子部件 包括数据对象112的内容。对每种类型的子部件206的描述将在 下面参照图3阐明。

最后，数据对象112包括出口表210。该出口表210定义向对 等数据对象118和动画系统100输出的程序。对等数据对象118使 用被输出的例行程序访问与数据对象112相关的子部件206。对出 口表210的描述下面将参照图5进行阐明。

图4是图解说明每个子部件206(图3)的诸要素的方框图。 每个子部件206包括名称字段302，类型字段304，数据字段306， 和签名字段308。名称字段302包含识别该子部件206的任意的字 符串。子部件206的类型字段304包括对该子部件206的类型描 述。

在根据本发明的一个实施方案中，每个子部件206都通过定义 落在六种类型之一中，这六种类型是：对等接线，动画器接线， 自接线，数据，状态，和代码。每个子部件206的类型决定在数 据字段306中包括哪种类型的信息。为了便于描述，每种类型的 子部件206都按照在类型字段304中定义的标识符来引用。例如， 以自接线(self-wiring)标识的类型字段304的子部件被引用为自 接线子部件。再比如，具有标以数据(data)的类型字段304的子 部件被引用为数据子部件。

在本发明的一个实施方案中，对等接线子部件，动画器接线子 部件，和自接线子部件都是系列化的JavaBeans。关于JavaBeans 的补充资料在Sun MicroSystems出版的JavaBeans API Specification (1.01版)中可以找到，在此引入本文作为参考。

每个对等接线子部件，即，在数据对象112中选定的子部件 206，描述数据对象112中的状态子部件和对等数据对象118(图1) 之一中的状态子部件之间的连接。

每个动画器接线子部件包括关于数据对象112中的状态子部件 怎样与动画系统100(图1)连接的描述。仍然参照图3，自接线 部件包括关于在数据对象112内两个状态子部件怎样连接的描述。 一旦数据对象112与对等数据对象118(图1)连接起来，数据子 部件，状态子部件，和代码子部件就被用于定义数据对象112的 功能。

在根据本发明的一个实施方案中，数据子部件，状态子部件和 代码子部件是利用Java编程语言实现的。在这个实施方案中，每 个状态子部件都是系列化的JavaBean。此外，每个代码子部件都 是一个Java类。但是请注意，在本发明的替代实施方案中，代码 部件也可以包括其它代码类型，例如Visual Basic Script、 JavaScript、或动态链接库(DLL)。

最后，签名字段308(图3)定义一个或多个用于子部件206 的数字签名。在签名字段308中的每个数字签名都是一个与签名 表204(图3)中提供的唯一标识符类似的适合每个子部件的唯一 的标识符。

图5图解说明出口表210的程序。出口表210定义一系列从数 据对象112输出的程序。出口表210包括把签名表204(图3)提 供给动画系统100(图1)的获取信元签名的程序(get-cell-signatures procedure)400。动画系统100(图1)将该签名表204用于确定 数字对象112的签名人的身份。

出口表210进一步包括获取数据对象标识程序(get-data- object-id procedure)402。在调用时，获取数据对象标识程序把数 字对象标识符200(图3)提供给请求者，例如动画系统100或对 等数据对象118。参照图1和图3，动画系统100可以将该对象标 识符200用于确定数据对象112是否应当与对等数据对象118连 接。

如图5所示，出口表210还包括获取入口表程序(get-list-of- entries procedure)404。获取入口表程序404把在每个子部件206 (图3)中的名称字段302(图4)中识别的一系列名称提供给动 画系统100(图1)。

此外，出口表210还包括获取签名证书程序(get-signing- certificate procedure)406。利用获取签名证书程序406，任何经由 动画系统100的对等数据对象118都可以获得与位于数据对象112 (图1)中的一个或多个数字签名相关的数字证书。

出口表210还包括获取入口名称程序(get-entry-name procedure)408。获取入口名称程序408把选定的子部件206(图 3)之一的句柄提供给请求者。请注意，在请求者可以请求子部件 206之一的句柄之前，所选子部件应当通过动画系统100与该请求 者接线。

出口表210还包括获取对等表的程序412(get-peer-list procedure)。获取对等表程序412把对等表202(图3)提供给动 画系统100(图1)。动画系统100把该对等表202用于确定每个 数据对象112可能需要的每个对等数据对象118是否包含在客户机 102内。

此外，出口表210还定义获取验证者程序(get-authenticator procedure)414。获取验证者程序414提供验证系统(未示出)的 名称，该验证系统可为数据对象112允许自身连接到对等数据对 象118(图1)提供必要条件。在根据本发明的一个实施方案中， 该验证系统是数据对象112中的子部件之一。在本发明的另一个 实施方案中，验证系统是动画系统100中的一个部件。在根据本 发明的又一个实施方案中，该验证系统被包含在一个对等数据对 象118之中。

在验证系统允许数据对象112连接到某个目标数据对象(例如 对等数据对象118之一)之前，它先考核许多任意定义的与该数 据对象112有关的条件。在根据本发明的一个实施方案中，验证 系统考核签名表204中的签名和在子部件206中的每个签名字段 308以检验目标数据对象的身份。一旦请求者(例如对等数据对象 206之一)的身份被确定，该验证系统将确定是否应当允许该请求 者与数据对象112连接。

最后，出口表210包括激活对象程序418(activate-object procedure)。在动画系统100把数据对象112与对等数据对象118 连接起来之后，该激活对象程序418被动画系统100(图1)用于 激活数据对象112。

图6图解说明在接线数据字段中的要素。接线数据字段描述用 于对等接线子部件，动画器接线子部件和自接线子部件的数据字 段306(图4)的内容。与这些接线子部件相关的每个数据字段306 (图4)描述两个状态子部件怎样相互连接。数据字段定义监听器 500，源502，相加方法504，移动方法506，和源指示器508。

监听器500包含监听器标识符，该标识符用于识别负责监听事 件的诸子部件206中的一个子部件。作为监听器500的相对物， 源502包含源标识符，该标识符用于识别诸子部件206中对发送 事件负责的子部件。

相加方法504确定在源部件上启动监听器部件来接收事件的方 法。移动方法506确定在可调用的源部件上停止监听器子部件监 听诸事件的方法。源标识符确定由监听器500和源502识别的事 件的方向。关于在Java实施方案中连接诸子部件的补充资料可以 在Sun Microsystems出版的Javabeans API Specification，1.01版第 54至58页中找到。

图7是一个方框图，它图解说明可包含在数据子部件的数据字 段306中的示范内容的数据项510。请注意，数据可以包括诸如书， 诗，论文，银行科目资料，合同，多媒体演示，或者数据内容提 供者希望在安全环境中得到保护的任何其它类型的数据。

图8是一个方框图，它图解说明可包含在代码子部件的数据字 段306(图4)中的代码的示范项512。每个代码子部件通常包括 用户定义的各种组合数据类型。例如，代码子部件可包含代表数 据类型的数据成员和实现关于该数据类型的运算的函数成员。如 图8所示，在该示例中，代码子部件包含Java类。

每个状态子部件定义类子部件之一的实例信息。例如，图8所 示的Java类的实例可以包括关于变量“count”的状态的信息。 系统操作

图9是一个流程图，图解说明图1所示数据对象112的生成过 程。请注意，数据对象112可以利用任何已知的对象模型(如Java Beans，ActiveX，LiveConnect，和OpenDoc)或系统对象模型(SOM) 或今后可能开发的任何对象模型来生成。在根据本发明的一个实 施方案中，数据对象112是在服务器计算机106上借助数据对象 包装程序(未示出)生成的。在该实施方案中，图9所示的每个 状态都对应于数据对象包装程序的一种公用方法。希望生成数据 对象的数据对象提供者依次调用数据对象包装程序的每种方法以 生成数据对象。请注意，在本发明的一个实施方案中，数据对象112 是由动画系统100生成的。

从状态604开始，内容提供者希望把某些类型的信息分配给其 他人。例如，所述信息可以包括书，诗，论文，银行科目资料， 合同，多媒体演示，录象，音乐，动态内容，例如流式(streaming) 媒体的通用资源标识符，或数据内容提供者希望在安全环境内受 到保护的任何其它类型的数据。

在状态604，用于唯一地识别数据对象112的数字对象标识符 200被加到数据对象112上。在根据本发明的一个实施方案中，数 据对象标识符是由动画系统100提供的。在根据本发明的另一个 实施方案中，数据对象标识符是从第三方获得的。

继续到状态608，管理信息205(图3)被加到数据对象112(图 1)上。该管理信息205可以包括数据对象112的提供者的名称， 数据对象的名称，和/或数据对象112的提供者想要包括的与数据 对象112有关的其它信息。

接下来在状态612，子部件206(图3)被加到数据对象112 上。子部件包括：动画器接线子部件，自接线子部件，对等接线 子部件，数据子部件，和代码子部件。上述每个子部件的目的在 前面参照图4已进行过描述。

进行到状态614，共同组成对等表204(图3)的对等表结构 被加到数据对象112(图1)上。每个对等表结构接收一个选定的 对等数据对象118(图1)的名称，该选定的对等数据对象的版本 号，以及如果在客户机102(图1)中找不到所选对等数据对象时， 可以确定该所选对等数据对象在哪里的位置标识符。

继续到状态618，由一个或多个签名人给每个子部件206(图 3)数字签名。每个数字签名都可以通过使用散列功能和私有签名 功能生成，该方法利用个人密匙对数据对象的最终散列进行加密。

接下来，在状态622，由一个或多个签名人给数据对象112数 字签名。可以采用参照状态618介绍的给每个子部件签名的方法 给数据对象112签名。在根据本发明的一个实施方案中，可以把 位于美国加州的San Mateo市的RSA Data Security公司的Certificate Security Suite用于该签名过程。

最后，在状态626中，数据对象112被储存在数据存储设备(如 磁盘)中。在根据本发明的一个实施方案中，利用Java串行化将 数据对象112串行化，并作为一份Java文件储存。在根据本发明 另一个实施方案中，数据对象112是作为ASSII文本文件储存的。

图10是一个流程图，它图解说明数据对象112(图1)与对等 数据对象118(图1)集合成一个整体的过程。从状态700开始， 客户机102(图1)接收来自数据对象提供者的数据对象112。举 例说，数据对象提供者可以是数据库104、服务器计算机110、或 图1所示的可拆装存储媒体110。

在本发明的一个实施方案中，在客户机102收到数据对象112 之后，动画系统100(图1)将自动得到由该客户机102上操作系 统(未示出)提供的关于存在数据对象112的通知。在该实施方 案中，操作系统的配置是为了考核数据对象112中的管理信息205 (图3)，以确定一个用于该数据对象的信息处理器。在这个实施 方案中，管理信息205进一步指定动画系统100作为它的信息处 理器。

请注意，一旦数据对象112被客户机(图1)接收，该数据对 象112就处于不可被对等数据对象118使用的状态。在数据对象112 可以与对等数据对象118连接之前，每个对等数据对象118的身份 都需要被确定。此外，动画系统100还需要确定对等数据对象118 是否被授权与数据对象112通信。

接下来，在状态704(图10)，动画系统100(图1)验证该数 据对象以保证该数据对象112没有被不适当地改动或以其它方式 篡改。动画系统100利用可以从数据对象112的提供者那里得到 的公用密匙检查签名表204(图3)中的每个签名。此外，动画系 统100还可以使用获取签名证书程序406(图5)分析一个或多个 与数据对象112相关的数字证书。

进行到状态708(图10)，动画系统100(图1)使用获取对等 表程序412(图5)来获得对等表202(图3)。继续到状态712(图 10)，动画系统100(图1)确定所有通过对等表202识别的必需 的对等数据对象118是否都在客户机102中存在。如果所有的对 等数据对象118都不存在，动画系统100转入状态714。在状态714， 动画系统100重新找回不存在的对等数据对象118。正象前面讨论 过的那样，对等表202中的每个对等表结构都包括可以发现每个 不存在的对等数据对象118在哪里的位置标识符。例如，位置标 识符可以指向数据库104(图1)、服务器计算机106(图1)、可 拆装的存储媒体110(图1)，或来自数据对象的某个其它存放处。

如果动画系统100(图1)找不到任何不存在的对等数据对象 118，该动画系统100停止，并禁止与使用数据对象112(图1)有 关的任何进一步的操作。但是，如果动画系统100可以找到不存 在的对等数据对象118，那么该动画系统110转入状态716。

动画系统110既可以从判断状态712转入状态716，也可以从 状态714转入状态716。在状态716，动画系统100制作每个对等 数据对象118(图1)的动画。为了制作对等数据对象118的动画， 动画系统100执行与对等数据对象118有关的700-730(图10)的 每一个状态。通过执行关于每个对等数据对象118的动画制作过 程，动画系统100保证这些对等数据对象118没有被不适当地改 动或以其它方式篡改。

接下来，在状态720(图10)，动画系统100(图1)完成数据 对象112与自身的接线。在状态720，动画系统100把在数据对象 112中选定的子部件206连接到动画系统100上。在本发明的一个 实施方案中，动画系统100包括格式与数据对象112类似，用于 与数据对象112通信的连接数据对象(未示出)。

在状态720中，动画系统100读出在每个子部件206的接线数 据字段(如图6所示)中的数据，即监听器字段500，源字段502， 相加方法字段504，移动方法字段506，和源指示器字段508中的 数据，以便为数据对象112确定适当的连接。关于连接子部件的 补充资料可在Sun Microsystems出版的Javabeans API Specification， 1.01版的第54至58页中找到。

作为动画器接线过程的一部分，动画系统100(图1)调用与 数据对象112相关的获取验证者程序414(图5)，以便找回适合 数据对象112的验证系统(未示出)。正象前面讨论过的那样，该 验证系统可以驻留在一个或多个地方，包括数据对象112、动画系 统100、或诸对等数据对象之一。该验证系统为动画系统100检验 给定的连接是否应当进行。

继续到状态722，动画系统100(图1)把数据对象112中的 各个子部件206相互连接起来。与动画器接线过程相似，在自接 线过程中动画系统100考核每个自接线子部件中的接线数据字段， 以便确定数据对象112将怎样构成。在识别对等接线子部件时， 动画系统100考核对等接线部件的内容以确定适当的连接。

类似于动画器接线过程，在自接线过程中，动画系统100(图 1)与验证系统协商，以确定某种连接是否应当完成。例如，数据 对象112可能包含指明第一子部件应当连接到第二子部件上的自 接线子部件。但是，只要该数据对象的提供者在验证系统保持的 虚拟帐户中存有资金，验证系统就只能允许进行该连接。

进行到状态726，动画系统100(图1)执行对等接线。动画 系统100搜索子部件206以便找到各个对等接线子部件。在对等 接线过程中，动画系统100使用接线数据字段中的信息，把由各 个接线子部件识别的子部件206连接起来。

在这个对等接线过程中，动画系统100(图1)确定数据对象 112是否被授权与各个对等数据对象118通信。有利的是每个对等 数据对象118和数据对象112都可以借助验证系统定义与它们的使 用有关的各种各样的限制。正象前面讨论过的那样，每个对等数 据对象都包括为数据对象识别验证系统的获取验证者程序414(图 5)。该验证系统定义关于该数据对象的使用条件。

例如，假设根据数据对象112中的管理信息205(图3)，数据 对象112(图1)表明是一个儿童卡通动画。但是，事实上数据对 象112已经被篡改并且已被不适当地修改，以致可以找出来自别 人的个人信息。在这个实例中，由于数据对象112已被更改，所 以动画系统100不能检验在该数据对象112的签名表204(图3) 中的签名。此外，在这个实例中，对等数据对象118定义个人理 财程序(未示出)。如果数据对象112试图访问该个人理财程序， 那么动画系统100将用对等数据对象118进行检验，以确定该数 据对象112是否应该被授权访问对等数据对象118。在这个实例中， 对等数据对象118的验证系统将拒绝该请求。

因此，如果动画系统100(图1)确定数据对象112未授权访 问对等数据对象118，那么该动画系统100将决定究竟是停止还是 继续进行有关数据对象112的活动。仍然回到状态726，如果动画 系统100确定授权得到允许，那么该动画系统100将借助访问与 每个对等数据对象118相关的验证系统，确定对等数据对象118是 否被授权访问数据对象112。

例如，假设数据对象112是由ACME公司(“ACME”)生成 的。在这个实例中，数据对象112把一份描述ACME公司策略的 文件包括在子部件206之一中。此外，在这个实例中，这些对等 数据对象118定义一个文字处理系统，并且有一个对等数据对象118 负责编辑各种文件，而另一个对等数据对象118负责浏览各种文 件。在数据对象112中，一个子部件206指示只有系统管理员被 授权编辑数据对象112。如果数据对象112被分配给某个雇员， ACME可以调整数据对象112，以使数据对象112不被授权与负责 编辑的对等数据对象连接。在这个实例中，数据对象112将被配 置成只被授权与负责浏览的数据对象通信。

最后，在状态730，动画系统100(图1)通过调用与数据对 象112有关的激活对象程序418(图5)将数据对象112初始化。

本发明的动画系统100使在安全环境中动态连接数据部件成为 可能。动画系统100保证在数据对象112与对等数据对象118之一 连接之前，该对等数据对象不曾被不适当地改动。此外，根据本 发明的动画系统100包括双向保密计划，在该计划中，数据对象 依据对等数据对象的身份授权该对等数据对象与该数据对象通 信。相反，每个对等数据对象检验该数据对象的内容。每个对等 数据对象可以依据数据对象的身份确定是否允许该数据对象与自 身通信。

本发明的数据对象可以方便的用于定义各种电子商务管理的解 决方案。例如，利用本发明，对等数据对象之一可以充当“受管 理的”数据对象的合同管理器。在利用受管理的数据对象完成某 项活动之前，该合同管理器可以要求用户付款。合同管理器可以 非必选地提供“合同”数据对象，该数据对象规定受管理的数据 对象的使用条款。合同数据对象可以包含每次另一个数据对象请 求由受管理的数据对象参与某种活动所欠下的虚拟钱币。此外， 合同对象可以安排与受管理的数据对象有关的可改变的限制，例 如，定义在某个特定的时间或某个特定的使用次数里，对受管理 的数据对象的访问。这种可改变的限制可取决于一种或多种可供 其它数据对象选择的付款计划。

再比如，本发明的数据对象可以方便的用于于定义买方数据对 象。买方数据对象可以带着某种虚拟钱币分布在互联网上，并为 寻找特定商品的最便宜的卖方而进行配置。例如，买方数据对象 可以通过银行提供数字签名证实该数据对象具备有效的虚拟钱 币。

再比如，可以为了销售某种特定的商品提供一个或多个卖方数 据对象。在本发明的一个实施方案中，当买方数据对象遇到卖方 数据对象时，买方数据对象可以试图通知卖方数据对象的提供者。 在本发明的另一个实施方案中，买方数据对象可配置成可与卖方 数据对象协商。有利的是，通过使用数字签名和证书，买方数据 对象可以验证卖方数据对象的身份并证实该卖方确实在销售所请 求的商品。此外，卖方代理可以确定买方数据对象确实具有为购 买卖方的商品准备的虚拟钱币。

上述实例只是本发明的几个应用。本发明的动画系统为新的电 子商务解决办法提供了无限的新的可能性。

尽管前面的详细介绍已经展示，介绍，并指出了本发明在应用 于各种实施方案时的种种新颖的特性，但是，应当理解，熟悉这 项技术的人在不脱离本发明的精神的情况下，可对图解说明的设 备和过程的形式和细节作出各种省略，代用，和改变。本发明的 范围由所附权利要求书限定而不受前面的介绍所限定。所有在权 利要求书的等价意义上和范围内的改变都被包括在权利要求书的 范围内。