CN101416204B - 安全设备 - Google Patents
安全设备 Download PDFInfo
- Publication number
- CN101416204B CN101416204B CN2007800120482A CN200780012048A CN101416204B CN 101416204 B CN101416204 B CN 101416204B CN 2007800120482 A CN2007800120482 A CN 2007800120482A CN 200780012048 A CN200780012048 A CN 200780012048A CN 101416204 B CN101416204 B CN 101416204B
- Authority
- CN
- China
- Prior art keywords
- safety equipment
- application
- server
- authorization code
- client application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/77—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
有可能解决由一个安全设备拥有的服务器应用不能被由另一个安全设备拥有的客户机应用使用的问题。一安全设备包括:应用存储单元(202),用于存储客户机应用,作为执行数据处理的应用;地址计算单元(205),用于判定所述应用存储部单元(202)是否具有用于向/从所述客户机传送数据的服务器应用;以及引用对象存在判定单元(210),用于当所述地址计算单元(205)已经判定所述应用存储单元(202)没有用于向/从第一客户机应用传送数据的第一服务器应用时,判定是否另一安全设备具有第一服务器应用。
Description
技术领域
本发明涉及安全设备和连接到所述安全设备的外部机器。
背景技术
当前,关注IC卡作为安全设备。开发了允许在发行卡后向其下载应用的多应用兼容卡,以用于改善用户的方便性,并且降低想要提供IC卡服务的企业的进入屏障。
近来,已经提出了包括IC芯片内的大容量存储器的、可用作IC卡扩展存储器保护区域的设备(以下称为安全存储卡),并且已经使得有可能满足IC卡应用数据的较大容量的需要。因为可以使安全存储卡适合于移动机器的大小,因此可以预期所述安全存储卡将被直接地插入到具有用于开发的插槽的移动机器内,以用作使用所述移动机器的EC(电子商务)服务。
在此,将简述IC卡的硬件配置。
图30是关于IC卡的硬件的功能方框图。IC卡3001包括CPU(中央处理单元)3002、ROM(只读存储器)3003、易失性存储器(例如RAM:随机存取存储器)3004、易失性存储器(例如EEPROM:电可擦除可编程只读存储器)3005和输入/输出接口3006。CPU 3002执行计算。ROM 3003是不能被重写的只读存储器。ROM 3003的存储内容在制造IC卡时被确定,并且不能在以后被改变。RAM 3004是可以被读和写的存储器。如果关断电源,EEPROM 3005的内容被保留。输入/输出接口3006负责在IC卡和外部系统之间的数据交换。在CPU 3002中执行的程序通常被称为“应用”。用于执行应用的代码被存储在ROM 3003或者EEPROM 3005内。除了在图30中所示的部件之外,IC卡可以包括加密协处理器,用于加密操作。
在IC卡内安装的应用和外部系统(读取器)使用在ISO/IEC 7816-4中定义的APDU(应用协议数据单元)来交换数据。APDU由通过读取器给出到IC卡的命令和从IC卡向读取器返回的响应构成。
图31示出了APDU命令3101,并且由首标和主体构成。所述主体具有任何期望的长度,并且如果其为空则可以不存在。所述首标由类(CLA)、指令(INS)和参数1和2(P1和P2)构成。
图32示出了APDU响应命令3201,并且由数据部分和状态字(SW)构成。
所述IC卡具有应用防火墙的特征。所述应用防火墙表示当多个应用共存在IC卡内时,一个应用不能调用不同应用的函数或者向不同的应用的对象进行数据访问,除非所述不同的应用明确地给出用于访问的接口。
已知可共享的接口对象(SIO)为在应用之间的对象共享方法(参见专利文件1)。
以下,用于提供SIO的应用将被称为服务器应用,并且使用SIO的应用将被称为服务器应用。
例如,提出了一种方法,其有效地用于通过下述方式来显示没有显示器的IC卡的使用结果:向移动电话内插入安装了两种应用的IC卡(芯片),通过进行在票据检查机器和票据检查应用之间的非接触通信来通过票据检查,由在卡内的票据检查应用将结果传送到显示应用,并且通过由移动电话与显示应用进行接触通信而在移动电话的屏幕上显示结果。
在这个示例内,票据检查应用作为客户机应用,并且所述显示应用作为服务器应用。
专利文件1:国际专利公开第2003-522988号
发明内容
本发明要解决的问题
为了使用诸如IC卡的设备来通过票据检查或者进入和离开检查,期望整个处理将在大约一到几秒内完成。因为IC卡的CPU处理能力与通用的PC或者移动机器相比较低,因此经常在下载时间执行链接,并且将中间值设置为地址引用对象(referent)。在需要的时候调用存储器进行使用的技术(诸如动态链接库)不能用于IC卡应用,因为链接处理变为瓶颈。
因此,对于许多IC卡,如果在其中未安装服务器应用的状态中下载客户机应用,则其导致作为链接错误的失败。
因此,在已经存在的现有技术内,服务器应用和客户机应用必须存在于同一卡内。
但是,可以从多个客户机应用使用一些服务器应用,并且在所有所拥有的卡中安装同一服务器应用,不能有效地使用IC卡的有限存储器中的大部分。
本发明被实现来解决在相关技术中的问题,并且本发明的目的是提供一种方法,用于如果当下载客户机应用时在同一卡内不存在服务器应用,则许可下载,并且当所述客户机应用被执行时与在不同卡中安装的服务器应用相结合地工作(以下称为卡间接口使用)。
解决所述问题的手段
本发明是一种安全设备,其包括:应用存储部分,用于存储用于执行数据处理的应用的客户机应用;地址计算部分,用于确定所述应用存储部分是否具有用于向和从客户机应用传送数据的服务器应用;引用对象存在确定部分,用于当所述地址计算部分确定所述应用存储部分没有用于向和从第一客户机应用传送数据的第一服务器应用时,确定不同安全设备是否具有所述第一服务器应用;卡间接口执行部分,其访问所述不同安全设备,其中,所述引用对象存在确定部分根据所述卡间接口执行部分的结果确定所述不同安全设备是否具有所述第一服务器应用;授权码发出部分,当所述引用对象存在确定部分确定所述不同安全设备具有所述第一服务器应用时,该授权码发出部分发出用于许可引用所述第一服务器应用的授权码;以及应用执行部分,其根据所述授权码来执行所述第一客户机应用。
因此,如果在家庭(home)安全设备中不存在服务器应用,则可以进行检查以查看是否可以按照不同的安全设备的服务器应用来执行家庭安全设备的客户机应用。
本发明的优点
本发明具有可以减少在安全设备中的存储区域的优点。
附图说明
图1是本发明的实施例1中的系统配置的图。
图2是实施例1中的安全设备的方框图。
图3是示出在下载期间和下载后的应用区域的图。
图4是实施例1中的不同安全设备的方框图。
图5是实施例1中的读取器-写入器的方框图。
图6是当在卡内存在引用对象时的处理的流程图。
图7是当在卡内不存在引用对象时的处理的流程图。
图8是用于示出在实施例1内的地址空间的图。
图9是用于示出授权码表的示例的图。
图10是被提供授权码的应用的处理的流程图。
图11a是用于示出命令和响应的示例的图(a)。
图11b是用于示出命令和响应的示例的图(b)。
图12是本发明的实施例2中的安全设备的方框图。
图13是实施例2中的不同安全设备的方框图。
图14是示出向/从读取器-写入器的输入和输出之间的关系的图。
图15是本发明的实施例3中的读取器-写入器的方框图。
图16是实施例3中的处理的流程图。
图17是本发明的实施例4中的读取器-写入器的方框图。
图18是实施例4中的处理的流程图。
图19是本发明的实施例5中的处理的流程图。
图20是实施例5中的授权码表的示例。
图21是实施例5中的发出授权码的流程图。
图22是用于示出指令的示例的图。
图23是用于示出临时授权码管理表的示例的图。
图24是本发明的实施例7中的安全设备的方框图。
图25是实施例7中的不同安全设备的方框图。
图26是用于示出由应用执行部分处理的帧(frame)的示例的图。
图27是用于示出由堆栈控制部分建立的数据的示例的图。
图28是当在同一安全设备中存在引用对象应用时下载应用的流程图。
图29是实施例2中提供安全的流程图。
图30是关于IC卡的硬件的功能方框图。
图31是APDU命令的格式图。
图32是APDU响应的格式图。
图33a是用于示出由读取器-写入器处理的数据类型定义的图(1)。
图33b是用于示出由读取器-写入器处理的数据类型定义的图(2)。
参考标号的描述
101 安全设备
102 不同安全设备
103 读取器-写入器
201 下载管理部分
202 应用存储部分
203 应用(正在被下载)
204 不同应用(已经被下载)
205 地址计算部分
206 应用执行部分
207 授权码发出部分
208 卡间接口执行部分
209 授权码管理部分
210 引用对象存在确定部分
301 正在被下载的应用
302 应用代码数据区域
303 应用计算数据区域
304 应用数据区域
305 应用代码数据
306 应用计算数据
307 下载后的应用
308 应用代码
309 下载数据
401 服务器应用
501 排他控制通信部分
502 应用控制部分
801 存储器空间
802 对于应用许可的区域
803 系统区域
901 授权码表
1101、1103、1105、1107 响应
1102 选择命令
1104、1108共享命令
1106 INVOKE(调用)命令
1201 安全设备
1202 安全性管理部分
1301 安全设备
1302 卡间接口执行部分
1303 安全性管理部分
1401 对读取器-写入器的输入(来自安全设备的响应)
1402 来自读取器-写入器的输出(到不同安全设备的命令)
1403 对读取器-写入器的输入(来自不同安全设备的响应)
1404 来自读取器-写入器的输出(到安全设备的命令)
1501 读取器-写入器
1502 拥有者管理部分
1701 读取器-写入器
1702 拥有者检查信息输入部分
1703 下载条件确定部分
2001 授权码表
2201 指令
2301 临时授权码管理表
2401 安全设备
2402 客户机应用
2403 堆栈操作部分
2501 不同安全设备
2502 堆栈控制部分
2601 部分应用
2602 帧1
2603 帧2ROM
2604 堆栈
2605 局部变量
2701 响应数据
3001 IC卡
3002 CPU
3003 ROM
3004 RAM
3005 EEPROM
3006 输入/输出接口
3101 APDU命令
3201 APDU响应
3301 由读取器-写入器处理的数据结构定义书
具体实施方式
本发明涉及一种安全设备,用于如果当下载客户机应用时在同一卡中不存在服务器应用,则许可下载,并且当所述客户机应用被执行时与在不同卡中安装的服务器应用相结合地工作。
实施例1是涉及安全设备的发明,所述安全设备用于如果当下载客户机应用时在同一卡中不存在服务器应用,则许可下载,并且当所述客户机应用被执行时与在不同卡中安装的服务器应用相结合地工作。
实施例2是涉及一种系统的发明,所述系统用于当设备彼此相结合地工作时提供安全性。
实施例3是涉及一种(第一)系统的发明,所述系统用于当一安全设备和一不同的安全设备彼此相结合地工作时检查所述安全设备的拥有者和所述不同的安全设备的拥有者的相同性。
实施例4是涉及一种(第二)系统的发明,所述系统用于当一安全设备和一不同的安全设备彼此相结合地工作时检查所述安全设备的拥有者和所述不同的安全设备的拥有者的相同性。
实施例5是涉及与在其中安装了服务器应用的安全设备的生命周期相关联的客户机应用的使用控制方法的发明。
实施例6是涉及当服务器应用不存在于同一卡中时的客户机应用的有条件下载方法和条件检查方法的发明。
实施例7是涉及请求在不同的安全设备中安装的服务器应用执行处理并且在客户机应用中使用所述服务器应用的处理数据的方法的发明。
将使用附图来讨论本发明的所述实施例。应当明白,本发明不限于下述的具体实施例,在不脱离本发明的精神和范围的情况下,可以以各种形式来体现本发明。
(实施例1)
在实施例1中描述的本发明提供了一种安全设备,用于如果当下载客户机应用时在同一卡中不存在服务器应用,许可下载,并且当所述客户机应用被执行时与在不同卡中安装的服务器应用相结合地工作。
例如,下述情况是可能的:本发明被应用到安全设备,所述安全设备包含作为服务器应用的显示器应用,用于在移动电话的屏幕上显示客户机应用的处理结果;以及作为客户机应用的通信票据应用和预付应用。
或者,本发明也可以被应用到下述示例,其中,在用于检查观看权限的服务器应用和用于存储观看权限和所观看内容的客户机应用之间的关系中,所述客户机应用向所述服务器应用传送观看权限,并且除非由所述服务器应用执行的、在所述观看权限内包含的年限(age)、次数、过期日期、总的回放时间等的条件检查通过,否则不能观看所述内容。
将使用图1-11和28来讨论所述实施例。
图1是示出所述实施例中的安全设备和不同安全设备的结合系统的图,并且所述结合系统由安全设备101、不同安全设备102和读取器-写入器103构成。
图2、4和5分别是在图1内所示的安全设备101、不同安全设备102和读取器-写入器103的方框图。
图2是示出如上所述的安全设备101的配置的方框图。
下载管理部分201与读取器-写入器103进行通信,并且管理用于向安全设备101下载应用的操作。
应用存储部分202包含正在被下载的应用203和已经被下载的应用204。
图3示出了由在图2中的应用存储部分202中的应用占用的区域。
由正在被下载的应用301(203)保留的区域是应用代码数据区域302、地址计算数据区域303和应用数据区域304。
应用代码数据305被存储在应用代码数据区域302内,并且地址计算数据306被存储在地址计算数据区域303内。
由下载后的应用307占用的区域是应用代码数据区域302和应用数据区域304。应用代码308被存储在应用代码数据区域302内,并且应用数据309被存储在应用数据区域304内。
地址计算部分205使用在正在被下载的应用203中的应用代码数据305和应用计算数据306以及已经被下载的不同应用204来执行要被下载的应用203的“地址解析”。
所述“地址解析”是指在函数调用或者对象访问时间引导数据的引用对象的地址的更新。
在地址解析后,删除地址计算数据区域303,并且在下载完成后,由应用代码308和应用数据309构成的应用307被存储在应用存储部分202中作为已经下载的应用。
安全设备101的应用执行部分206按照来自读取器-写入器103的命令来执行已经下载的应用307。
例如,下述技术被广泛地知道:字节代码作为应用代码308被存储,并且对象作为应用数据309被存储在应用存储部分202中,并且作为应用执行部分206的虚拟机解释字节代码并执行处理。
在包括实施例1的说明书中的实施例的说明中使用这样的处理系统。在由虚拟机管理的存储空间内的每个地址被表示为16比特(两个字节)。
授权码发出部分207在地址解析期间从地址计算部分205接收到请求时发出“授权码”。下面说明“授权码”。
此时,引用对象存在确定部分210检查是否“在不同安全设备中存在引用对象”。下面说明这个操作。
卡间接口执行部分208在地址解析期间从引用对象存在确定部分210接收到请求时或者在应用307的执行时间从应用执行部分206接收到请求时,与不同安全设备102进行通信。
图4是示出如上所述的不同安全设备102的配置的方框图。
在不同安全设备102内,用于为不同应用204提供接口以明确地访问的应用(以下将称为服务器应用401。另一方面,使用所述接口的应用以下将被称为客户机应用307(在图2中为下载后的应用307))被存储在应用存储部分402内,并且由应用执行部分403执行。
图5是用于示出如上所述的读取器-写入器103的配置的方框图。
读取器-写入器103可以与安全设备101、不同安全设备102等多个安全设备通信,并且单独地识别安全设备101和不同安全设备102来进行通信。
为了执行如上所述的操作,读取器-写入器103由下述部分构成:排他(exclusive)控制通信部分501,用于防止要发送到安全设备101的数据被错误地发送到不同安全设备102(并且反之亦然);以及应用控制部分502,用于向安全设备101中的应用307和不同安全设备中的服务器应用401发送命令,并且处理响应。
例如,已知下述设备:一种读取器-写入器,其具有多个插槽,用于与插入到每个插槽中的安全设备接触,并且与所述安全设备通信;一种读取器-写入器,用于与在无线电波的到达范围内的多个安全设备进行非接触通信;等等。
应用控制部分502可以是:1)全部存在于读取器-写入器103中的情况,或者2)一部分存在于读取器-写入器103中并且剩余部分通过网络而存在于不同的设备中的情况;两者在说明书中类似地被处理。
在所述实施例中,将讨论在具有如上所述的部件的安全设备101、不同安全设备102和读取器-写入器103之间的数据传送。
在包含所述实施例的应用内,除非明确地另外说明,通常控制部分(未示出)执行数据传送等。
在说明所述实施例的特征部分之前,首先将使用图7和28来说明当在同一安全设备中存在引用对象的应用时的应用下载。
安全设备101中的下载管理部分201接收从读取器-写入器103发送的应用下载命令,并且将处理结果发送至读取器-写入器103作为响应。一般,通过重复操作来执行应用下载。
(步骤1(S2801))
在安全设备101中,响应于在从读取器-写入器103发送的下载命令中指定的大小而保留应用代码数据区域302、地址计算数据区域303和应用数据区域304,并且从所述下载命令提取应用代码数据305和地址计算数据306,并存储在相应的区域中。
(步骤2(S2802))
在安全设备101中,在提取了应用代码数据305和地址计算数据306后,地址计算部分205在从下载管理部分201接收到请求时执行地址解析。
地址计算部分205在应用代码数据305的顶部开始,以字节为单位进行解释。例如,当读取指令代码的“invokeinterface(调用接口)”以便经由由不同应用204提供的接口(IF)而调用函数时,地址计算部分205响应于“invokeinterface”而执行处理,如图6内所示。
“processing responsive(作出响应而处理)”表示定义了诸如“invokeinterface”的各种指令代码,并且处理在指令代码之间不同。
紧随“invokeinterface”的一个字节控制要调用的自变量,随后的2个字节的“0002”是地址计算数据306的索引。地址计算部分205根据地址计算数据306的索引来引用对应的地址计算数据306。
图6中所示的引用对象“01800000”由包、类令牌(class token)、方法标识号等构成,并且地址计算部分205使用它们来提取指示要调用的函数的顶部位置的地址,并且将索引“0002”转换为被调用的地址“a000”。
(步骤3(S2803))
在安全设备101中,在解释了所有的应用代码数据305后,地址计算部分205向下载管理部分201发送地址计算完成的通知。
(步骤4(S2804))
在安全设备101中,下载管理部分201释放存储变得不需要的地址计算数据的区域303。但是,所述步骤可以是选用的,虽然考虑到卡的存储器资源,其是非常有效的。
(步骤5(S2805))
当从读取器-写入器103接收到“应用初始化”请求命令时,下载管理部分201初始化应用。
“应用初始化”用于生成每个应用的实例,并且设置对象中的初始值。数据被存储在应用数据区域304中作为应用数据309。
其后,使得有可能对于来自读取器-写入器103的命令,应用执行部分206选择和执行应用307或者204。
已经描述了当地址解析导致成功时的处理。
接着,将使用图7来讨论因为要引用的应用不存在于卡内而不能执行地址解析的情况。
在图7内,为了与如上所述的(步骤2(S2802))相同地执行不同应用的函数调用的地址解析,地址计算部分205识别在安全设备101中不存在引用对象。
地址计算部分205请求引用对象存在确定部分210检查“在不同安全设备102中是否存在对应的引用对象”。
此时,地址计算部分205向引用对象存在确定部分210传送存在检查信息,其包含引用对象应用的标识符应用标识数据(AID)、方法ID、自变量的数量等。
从引用对象存在确定部分210向卡间接口执行部分208传递存在检查信息,卡间接口执行部分208然后通过读取器-写入器103向不同安全设备102传送所述存在检查信息。
不同安全设备102检查由存在检查信息指示的函数存在,然后向安全设备101传送表示使用许可或者使用拒绝的许可检查信息。
由安全设备101的卡间接口执行部分208接收的许可检查信息被传递到引用对象存在确定部分210,并且如果作为引用对象存在确定部分210检查许可检查信息的结果而许可使用不同安全设备102的服务器应用401,则请求授权码发出部分207发出授权码。如果所述使用被拒绝,则授权码发出部分207发出错误。
如果发出错误,则通过下载管理部分201向读取器-写入器103返回SW,其表示“因为不存在引用对象,因此下载产生错误”。
授权码的长度是与地址相同的被必要地更新的长度;例如,如果以两个字节表示地址,则授权码也是两个字节。
授权码由指示其中不许可应用布置的地址区域的信息和由授权码管理部分管理的表的索引构成。
图8示出了安全设备101中的地址空间。
当通过0000h到EFFFh来表示存储器空间801中的、对于应用布置所许可的存储器空间802时,对于所述应用不许可的区域(例如系统区域)803是F000h到FFFFh。
例如,作为授权码,给出了FF02h,其指示在对于应用803不许可的区域的范围内的表的索引“2”并通过后半部分的一个字节来指示。在这种情况下,在发出授权码后,引用对象应用的标识符(服务器应用401)、方法ID、自变量的数量等被存储在由授权码管理部分209管理的授权码表901的索引“2”的行中。
接着,将使用图10和11来说明被提供授权码的应用(客户机应用307)的执行操作。
图10示出了操作流程,图11示出了在安全设备101、不同安全设备102和读取器-写入器103之间传送的命令和响应的示例。
将使用在图10中的操作流程来讨论安全设备101、不同安全设备102和读取器-写入器103的操作。
图33示出了用于描述由读取器-写入器103处理的数据的结构的定义书3301。定义书3301从在图33a内所示的数据行向在图33b的左边所示的数据行继续,并且进一步向在图的右边所示的数据行继续。在此,使用用于定义标准的语言的ASN.1(抽象语法表示1)进行说明。而且,在C语言内,具有typedef关键字的数据类型的定义也是可能的。
在所述实施例中的定义书和实现方式之间的关系,即所定义的数据类型考虑什么命令/响应被加到定义书3301中的评述。在此,描述了APDU的发送和接收,但是可以执行基于HTTP(超文本传送协议)的数据的发送和接收。
因此,可以以各种形式来实现在读取器-写入器103内的数据类型定义和由在IC卡内安装的应用(客户机应用307、服务器应用401)和读取器-写入器103交换的数据的结构。以下,将跳过在实施例2-7内的类似说明。
(执行操作步骤1(S1001))
假定安全设备101中的客户机应用307已经开始(未示出)。
对应于从读取器-写入器103发送的命令1的处理由安全设备101的应用执行部分206执行。
对于由客户机应用提供的每个功能,命令1可以以各种格式存在,诸如用于检查在视频内容观看时间的许可条件的请求。
在读取表示方法调用的指令代码后,应用执行部分206取出紧随在所述指令代码之后的地址信息。
应用执行部分206确定由地址信息指示的区域是否是“对于应用所许可的区域”,并且如果所述区域是许可的区域,则应用执行部分调用地址。
如果所述区域不是许可的区域,则应用执行部分206识别授权码,并且将所述授权码传递到授权码管理部分209,并且将在所述方法内使用的参数传递到卡间接口执行部分208。
授权码管理部分209读取在授权码内包含的索引,取出在授权码表901内包含的引用对象应用的AID,并且将所述AID传递到卡间接口执行部分208。
卡间接口执行部分208在响应1101的数据部分设置引用对象应用的AID,在响应1101的SW内设置表示用于使用卡间接口的请求的数据,并且向读取器-写入器103发送响应1101。
(执行操作步骤2(S1002))
当读取器-写入器103的排他控制通信部分501从安全设备101接收响应1101时,应用控制部分502分析所述响应,并且识别安全设备101想要使用卡间接口。
应用控制部分502处理从安全设备101接收的数据(来自安全设备101的响应),将其作为命令传送到不同安全设备102,处理从不同安全设备102接收的数据(来自不同安全设备102的响应),并且将其作为命令传送到安全设备101,直到识别出从安全设备101接收的响应意味着卡间接口使用完成。
如果读取器-写入器103首先从安全设备101接收到包含想要使用卡间接口的消息的响应,则读取器-写入器103将来自安全设备101的响应处理为在图11内所示的选择命令1102,并且将所述命令发送到不同安全设备102。
在不同安全设备102的应用存储部分402中存储的服务器应用401按照选择命令1102而开始。
在后面的说明内,将服务器应用401实现远程方法调用(RMI)的情况作为示例。
RMI是在Java(注册商标)卡TM中定义的技术,并且是用于在读取器-写入器中操作以调用卡的远程对象的方法的应用的机制。
实现RMI的服务器应用401响应于来自读取器-写入器103的选择命令1102而向读取器-写入器103返回包含INS和对象ID的响应1103。
(执行操作步骤3(S1003))
读取器-写入器103在图11(a)中所示的共享命令1104中的数据部分中设置来自服务器应用401的响应1103,并且向安全设备101的卡间接口执行部分208发送共享命令1104。
共享命令1104是专用于当安全设备101想要使用卡间接口时从读取器-写入器103向安全设备101发送的命令的命令;期望应当分配唯一的INS。
安全设备101的卡间接口执行部分208在图11(b)中所示的响应1105的数据部分中设置从服务器应用401传递的包含INS和对象ID的请求数据、在授权码表901中存储的方法ID、和从安全设备101的应用执行部分206传递的参数,在响应1105的SW中设置用于使用卡间接口的请求,并且向读取器-写入器103返回响应1105。
(执行操作步骤4(S1104))
读取器-写入器103解释使用卡间接口的请求,并且向服务器应用401发送基于在响应1105的数据部分中存储的数据而建立的INVOKE(调用)命令。
服务器应用401使用所述方法ID和参数来执行处理,并且向读取器-写入器103返回响应1107。
(执行操作步骤5(S1005))
读取器-写入器103在图11(b)中所示的共享命令1108的数据部分中设置服务器应用的INVOKE命令处理结果(例如仅仅在响应1107中所示的SW),并且向安全设备101的卡间接口执行部分208发送共享命令1108。
卡间接口执行部分208向应用执行部分206传递服务器应用的INVOKE命令处理结果。
其后,应用执行部分206继续服务器应用的INVOKE命令处理结果的处理,并且向读取器-写入器103发送对于命令1的响应1109。
对于命令1的响应1109包含意味着成功的9000h,并且不包含SW,所述SW包含想要使用卡间接口的消息。
因此,读取器-写入器103识别卡间接口使用完成的含义,并且停止在安全设备101和安全设备102之间的随后的传送。
或者,可以从安全设备101发送明确地表示卡间接口使用完成的SW。
如上所述,所述实施例使得有可能不仅访问在安全设备中安装的服务器应用,而且访问在不同安全设备中安装的服务器应用。
因此,不必为每个所拥有的安全设备安装普通用途的应用,并且这个益处对于缺少存储器资源的安全设备是有效的。
即,产生了用户益处:可以在第二个卡和以后的卡中安装不同的应用代替服务器应用。
而且,客户机应用的源代码在同一安全设备中安装的服务器应用的使用中和在不同安全设备中安装的服务器应用的使用中变得相同。
因此,通常当用户的方便性改善并且使用场景被扩大时,在开发者身上的负担也趋向于扩大;另一方面,所述应用开发者可以如前开发,而不接收在系统内扩大用户使用场景的效果。
已经开发的应用的下载和执行不受影响(保证反向兼容)。
因此,有利于从先前的安全设备向在所述实施例中提出的安全设备的过渡。
(实施例2)
在本发明的实施例2内,将讨论当安全设备和不同安全设备彼此结合地工作时的安全性提供。
将使用图12-14来说明实施例2。
图12是用于示出在所述实施例中的安全设备1201的配置的方框图。
图12中的下载管理部分201、应用存储部分202、正在被下载的应用203(下载后的客户机应用307)、已经下载的应用204、地址计算部分205、应用执行部分206、授权码发出部分207、卡间接口执行部分208、授权码管理部分209和引用对象存在确定部分210与图2中的那些类似。
与图2中的安全设备101的那些相同的部件通过相同的附图标号来表示。
下面给出详细说明,其集中于安全性管理部分1202、在实施例1中描述的图2中的安全设备101和在实施例2中描述的图12中的安全设备1201之间的差别点:
安全性管理部分1202在发出在实施例1中描述的授权码的阶段和在应用执行期间引用不同安全设备的阶段“提供安全”。
表达“提供安全”用于表示用于认证通信方(不同安全设备)的所述设备(安全设备)的外部认证、用于认证所述设备的通信方的内部认证(以下所述外部认证和所述内部认证将被统称为相互认证)、所传送的数据的隐藏和篡改检测等的执行,并且使用加密技术来实现它们。
在实施例中,在“有可能可以从未预先注册以使用服务器应用的不确定数量的客户机应用使用服务器应用”的前提下,使用公开密钥加密来讨论如上所述的“安全性提供”。
公开密钥加密一般在处理速度上次于公共密钥加密。
因此,进行外部认证和内部认证,并且使用公开密钥加密来共享会话密钥(或者会话密钥的种子),并且使用会话密钥按照公共密钥加密来执行通信数据的加密和解密以及篡改检测。
为了向所述实施例应用如上所述的开放密钥和会话密钥加密技术,下面的三种“安全性提供”方法是可能的:
方法1:进行外部认证和内部认证,并且在发出授权码的阶段共享会话密钥,并且当在应用执行期间引用不同安全设备时,使用会话密钥。
方法2:进行外部认证和内部认证,并且在发出授权码的阶段共享会话密钥的种子,并且安全设备和不同安全设备在应用执行期间按照同一算法从会话密钥的种子建立会话密钥,并且使用所述会话密钥。
方法3:进行外部认证和内部认证,并且在发出授权码的阶段和在应用执行期间引用不同安全设备的阶段共享会话密钥。
所述方法在处理时间和所传送的数据上略为不同,但是在基本思想上是相同的。
因此,在所述实施例中,将举例说明如上所述的三种方法的方法1。
图13是示出在所述实施例中的不同安全设备1301的配置的方框图。
图13中的应用执行部分206、应用存储部分202和服务器应用401与图4中的那些类似。
所述不同安全设备与图4中的不同安全设备102的不同在于卡间接口执行部分1302和安全性管理部分1303。
卡间接口执行部分1302在通过安全设备1301发出授权码的阶段和在应用执行期间引用不同安全设备的阶段执行通信。
安全性管理部分1303具有类似于安全性管理部分1202的功能的功能,并且提供安全。
将说明具有如上所述的配置的安全设备1201和不同安全设备1301的操作。
开始,将讨论发出授权码的阶段。
为了像在实施例1中描述的(步骤2)那样执行不同应用的函数调用的地址解析,安全设备1201的地址计算部分205识别在卡中不存在引用对象。
接着,地址计算部分205请求引用对象存在确定部分210检查“在不同安全设备102中是否存在对应的引用对象”。
在图29中示出了下面的操作流程:
(安全性提供步骤1(S2901))
在从引用对象存在确定部分210接收到请求时,安全设备1201的卡间接口执行部分208获取安全性管理部分1202具有的安全设备1201的卡公开密钥证书A和由安全性管理部分1202生成的随机数a。
安全设备1201的卡间接口执行部分208向不同安全设备1301的卡间接口执行部分1302发送卡公开密钥证书A和随机数a。
(安全性提供步骤2(S2902))
不同安全设备1301的卡间接口执行部分1302向安全性管理部分1303传送卡公开密钥证书A和随机数a,安全性管理部分1303然后执行证书验证,并且获取安全设备1201的卡ID和卡公开密钥A。
接着,不同安全设备1301的安全性管理部分1303生成随机数b,并且按照卡秘密密钥B来加密所述随机数a。
随后,加密的随机数a和不同安全设备1301的卡公开密钥证书B被传送到卡间接口执行部分1302。
不同安全设备1301的卡间接口执行部分1302向卡间接口执行部分208发送随机数b、加密的随机数a和不同安全设备1301的卡公开密钥证书B。
(安全性提供步骤3(S2903))
安全设备1201的卡间接口执行部分208向安全性管理部分1202传送随机数b、加密的随机数a和不同安全设备1301的卡公开密钥证书B,安全性管理部分1202然后执行证书验证,并且获取不同安全设备1301的卡ID和卡公开密钥B。
接着,安全性管理部分1202按照所述卡公开密钥B来解密加密的随机数a,并且检查所述随机数是否匹配所生成的随机数a(外部认证完成)。
随后,安全性管理部分1202按照卡密钥A来加密随机数b,并且将其传送到卡间接口执行部分208。
卡间接口执行部分208向不同安全设备1301的卡间接口执行部分1302发送加密的随机数b。
(安全性提供步骤4(S2904))
不同安全设备1301的卡间接口执行部分1302向安全性管理部分1303传送加密的随机数b,安全性管理部分1303然后按照卡密钥B来解密加密的随机数b,并且检查所述随机数是否匹配所生成的随机数b(内部认证完成)。
(安全性提供步骤5(S2905))
接着,不同安全设备1301的安全性管理部分1303建立会话密钥,按照卡公开密钥A来加密会话密钥,并且向卡间接口执行部分1302传送加密的会话密钥。
卡间接口执行部分1302向安全设备1201的卡间接口执行部分208发送加密的会话密钥。
卡间接口执行部分208向安全性管理部分1202传送加密的会话密钥,安全性管理部分1202然后按照所述卡密钥A来解密加密的会话密钥,并且获取会话密钥(共享会话密钥完成)。
在这个阶段,在通过在如上所述的步骤中的交换和产生而新保留的数据中,安全性管理部分1202至少需要保留会话密钥,并且安全性管理部分1303至少需要保留安全设备1201的卡ID和会话密钥。
在完成如上所述的安全性提供步骤5后,从引用对象存在确定部分210向安全设备1201的卡间接口执行部分208传送存在检查信息,其包含引用对象应用的标识符、方法ID、自变量的数量等,安全设备1201然后通过读取器-写入器103向不同安全设备1301传送所述存在检查信息。
此时,安全设备1201的安全性管理部分1202使用会话密钥来加密所述发送数据,并且给出篡改检测数据。
不同安全设备1301检查在存在检查信息内指示的函数存在,然后向安全设备1201传送用于表示使用许可的信息。
而且,在这种情况下,不同安全设备1301的安全性管理部分1303使用会话密钥来加密发送数据,并且给出篡改检测数据。
由安全设备1201的卡间接口执行部分208接收的信息在安全性管理部分1202中经历使用会话密钥的解密和篡改检查,然后被传送到引用对象存在确定部分210。
如果许可使用,则引用对象存在确定部分210请求授权码发出部分207发出授权码。
如果拒绝使用,则发出错误,并且通过下载管理部分201向读取器-写入器103返回SW,该SW表示“因为不存在引用对象,所以下载导致失败”。
接着,将说明被提供授权码的客户机应用的执行。基本上,其类似于实施例1,并且其间的差别如下:
首先,使用由安全性管理部分1202和1303管理的会话密钥来加密来自安全设备1201和不同安全设备1301的响应。
其次,加密来自安全设备1201和不同安全设备1301的响应,因此,读取器-写入器103不可能解释、提取必要的数据、以及建立命令。
因此,读取器-写入器103需要从所述响应的数据部分提取必要的数据,在命令中建立数据,并且向安全设备1201和不同安全设备1301发送所述命令。
接着,将使用图10来说明在通过安全设备1201、不同安全设备1301和读取器-写入器103的客户机应用执行期间的操作流程。
在下面的说明中,假定图10中的安全设备101被原样应用为安全设备1201,并且不同安全设备102被原样应用为不同安全设备1301。
还假定安全设备1201中的客户机应用307已经开始。
(执行操作步骤1(S1001))
通过安全设备1201的应用执行部分206来执行对应于从读取器-写入器103发送的命令1的处理,
在读取表示方法调用的指令代码后,应用执行部分206取出紧随所述指令代码的地址信息。
确定所述地址信息是否是对于应用所许可的区域,并且,如果所述区域是许可的区域,则调用所述地址。
如果所述区域“不”是许可区域,则识别授权码,并且将授权码传送到授权码管理部分209。
授权码管理部分209读取在授权码中包含的索引,取出在表格901中包含的引用对象应用的AID,并且将所述引用对象应用的AID传送到卡间接口执行部分208。
卡间接口执行部分208在响应的数据部分中设置引用对象应用的AID,在响应的SW中设置表示使用卡间接口的请求的数据,并且向读取器-写入器103发送所述响应。
(执行操作步骤2(S1002))
当读取器-写入器103的排他控制通信部分501接收到所述响应时,应用控制部分502分析所述响应,并且识别安全设备1201想要使用卡间接口。
应用控制部分502处理从安全设备1201接收的数据(来自安全设备1201的响应),将其作为对于不同安全设备1301的命令传送到不同安全设备1301,处理从不同安全设备1301接收的数据(来自不同安全设备1301的响应),并且将其作为对于安全设备1201的命令传送到安全设备1201,直到识别出从安全设备1201接收的数据表示卡间接口使用完成。
如果读取器-写入器103首先从安全设备1201接收到包含想要使用卡间接口的消息的响应,则读取器-写入器103将所述响应处理为选择命令,并且向不同安全设备1301发送该命令。
不同安全设备1301的服务器应用401按照选择命令而启动。
在随后的说明内,将服务器应用401实现远程方法调用(RMI)的情况作为示例。
实现RMI的服务器应用401向读取器-写入器103返回包含INS和对象ID的响应,作为对于选择命令的响应。
(执行操作步骤3(S1003))
读取器-写入器103在共享命令的数据部分中设置来自服务器应用401的响应,并且向安全设备1201的卡间接口执行部分208发送所述共享命令。
卡间接口执行部分208保存从服务器应用401传送的INS和对象ID。
虽然在附图中未示出保留INS和对象ID的方法,但是可以在安全设备1201内提供存储器来用于保留它们。
其后,在安全性管理部分1202和1303中使用会话密钥来加密来自安全设备1201和不同安全设备1301的响应。
在安全性管理部分1202和1303中使用会话密钥来解密从相关方接收的数据,然后,在卡间接口执行部分208和1302中执行处理。
图14示出了在向读取器-写入器103的输入和来自读取器-写入器的输出之间的关系。
读取器-写入器103向不同安全设备1301发送来自安全设备1201的响应1401的数据部分作为命令1402。
在命令1404的数据部分中设置来自不同安全设备1301的响应1403,并且添加用于共享命令的首标以便发送到安全设备1201。
安全设备1201的卡间接口执行部分208在响应的数据部分中设置请求数据,该请求数据包含从不同安全设备1301的服务器应用401传送的INS和对象ID、由安全设备1201的应用执行部分206指定的方法ID、和从应用执行部分传送的参数,并且安全设备1201的卡间接口执行部分208在SW中设置用于使用卡间接口的请求,并向读取器-写入器103返回。
(执行操作步骤4(S1004))
读取器-写入器103解释来自安全设备1201的用于使用卡间接口的请求,提取在响应(已经加密的INVOKE命令)的数据部分内存储的数据,并且将所述数据发送到不同安全设备1301的服务器应用401作为命令。
服务器应用401使用方法ID和在INVOKE命令中指定的参数来执行处理,并且向读取器-写入器103返回处理结果。
(执行操作步骤5(S1005))
读取器-写入器103向安全设备1201的卡间接口执行部分208发送在数据部分中设置的具有处理结果的共享命令。
卡间接口执行部分208向应用执行部分206传送所述结果。
其后,应用执行部分206继续所述结果的处理,并且向读取器-写入器103发送对于命令1的响应。
对于命令1的响应一般不包含SW,所述SW包含想要使用卡间接口的消息。
因此,读取器-写入器103识别卡间接口使用完成的含义,并且停止在安全设备1201和不同安全设备1301之间的随后的传送。
或者,可以从安全设备1201发送明确地表示卡间接口使用完成的SW。
在实施例2内,已经说明了用于在由安全性管理部分1202和1303的应用执行期间在不同安全设备的引用对象和引用的存在检查中提供安全的系统。
如上所述的配置使得有可能防止安全设备的欺骗,防止窃听在安全设备之间交换的数据,并且检测数据的篡改。
(实施例3)
在本发明的实施例3内,将说明用于检查安全设备的拥有者和不同安全设备的拥有者匹配的(第一)系统。
将使用图12、13、15和16来说明实施例3。
图12是用于示出所述实施例中的安全设备1201的配置的方框图,并且类似于在实施例2中所描述的。
图13是示出所述实施例中的不同安全设备1301的配置的方框图,并且类似于在实施例2中所描述的。
图15是示出所述实施例中的读取器-写入器1501的配置的方框图。
图15中的排他控制部分501和应用控制部分502类似于图5中的排他控制部分501和应用控制部分502。
所述实施例的特征在于读取器-写入器,并且与如上所述的实施例1和实施例2的不同在其具有拥有者管理部分1502和下载条件确定部分1503。
拥有者管理部分1502管理安全设备1201的拥有者和在安全设备1201内设置的卡ID。
下载条件确定部分1503管理定义下载客户机应用的条件的下载条件信息。
如果用户想要下载客户机应用,则读取器-写入器1501将对应的下载条件信息传送到应用控制部分502,其然后执行处理来检查是否满足所述下载条件。
在所述实施例中,下面将说明由安全设备1201、不同安全设备1301和读取器-写入器1501构成的系统。
在如上所述的实施例1和2内,当客户机应用执行地址解析时,如果服务器应用不存在于同一安全设备中,说明了使用在不同安全设备中存在的服务器应用的方法。
在此,不考虑使用客户机应用来享受服务的“客户机应用拥有者(=安全设备的拥有者)”和使用服务器应用来享受服务的“服务器应用拥有者(=不同安全设备的拥有者)”等的相同性。
在所述实施例中,如果需要客户机应用拥有者和服务器应用拥有者的某种关系,则说明一种检查和保证所需要的关系的方法。
例如,假设服务器应用是信用应用,并且客户机应用是内容购买应用。
在这种情况下,信用卡交易需要正确地了解“谁花了多少钱购买了什么内容”,因此会出现下述情况,其中,期望客户机应用的拥有者和服务器应用的拥有者应当是同一人。
在所述实施例中,假定这样的情况,并且将说明当客户机应用执行地址解析时检查服务器应用拥有者和客户机应用拥有者的相同性的方法。
下面两种模式被当作用于保证服务器应用拥有者和客户机应用拥有者的相同性的方法:
(1)在读取器-写入器中检查相同性,然后,在安全设备中下载客户机应用。
(2)在下载阶段对于每个安全设备执行个人认证(例如:PIN检查),由此检查相同性。
在实施例3中,将说明如上所述的(1)。
在实施例4中将说明如上所述的(2)。
为了描述如上所述的(1),以下是前提:(图16中的“开始”)
读取器-写入器1501处于其可以与已经被下载了服务器应用的不同安全设备1301和已经被下载了客户机应用的安全设备1201通信的状态。
下载客户机应用的条件被定义为“可以引用不同安全设备,在这种情况下,服务器应用拥有者和客户机应用拥有者是相同的”。
读取器-写入器1501已经掌握了在安全设备1201中不存在服务器应用。
可以使用一般的技术来实现所述前提,并且在附图内未示出所述前提。将使用图16的流程图来说明涉及如上所述的(1)的系统的操作。
开始,如图16内所示,读取器-写入器1501向不同安全设备1301发送SELECT(选择)命令,并且检查在不同安全设备中是否存在服务器应用。
接着,按照GETDATA命令来获取被提供到不同安全设备1301的卡ID。
所述“卡ID”是用于唯一地识别安全设备的信息;例如,其由对于卡发行者唯一的发行者标识号和用于唯一地识别由所述卡发行者发行的卡的卡标识号构成。
同样,读取器-写入器1501也从安全设备1201获取卡ID。
读取器-写入器1501的应用到部分502请求拥有者管理部分1502检查按照如上所述获取的安全设备1201和不同安全设备1301的卡ID而相关联的安全设备的拥有者匹配。
作为拥有者管理部分1502关于安全设备1201的拥有者和不同安全设备1301的拥有者是否匹配的确定的结果,如果两个安全设备的拥有者匹配,则读取器-写入器1501开始下载客户机应用。
在此,读取器-写入器1501需要至少在安全设备1201的地址计算部分205执行地址解析之前向安全设备1201发送不同安全设备1301的卡ID。
安全设备1201在授权码管理部分209中存储所述卡ID。
当安全设备1201执行地址解析时,其识别服务器应用不存在于家用安全设备的安全设备1201中,并且检查服务器应用是否存在于不同安全设备1301内。
在此,以类似的方式来执行在实施例2中所述的安全性提供步骤1-5。
但是,在所述步骤的执行期间,必须检查从不同安全设备1301的卡公开密钥证书获取的卡ID和在授权码管理部分209中存储的卡ID是否匹配。
也可以跳过这一点,因为已经在读取器-写入器1501中检查了卡ID和拥有者的匹配。
但是,除了在发送卡ID后针对用假的安全设备替换不同安全设备1301的威胁的先前检查之外,通过在地址解析期间再一次检查,安全级别改善。
在实施例3中,已经说明了如果服务器应用和客户机应用被安装在不同安全设备,保证服务器应用拥有者和客户机应用拥有者的相同性的方法。
检查所述相同性,由此,可以防止通过欺骗的客户机应用的下载。
所述技术不仅可以应用于检查拥有者的相同性,而且可以应用于检查客户机应用拥有者是否是服务器应用拥有者的家人,属于同一组,等等。
如上所述,可以提供能够灵活地设置和检查在服务器应用拥有者和客户机应用拥有者之间的关系的系统。
(实施例4)
在本发明的实施例4中,将说明用于检查安全设备的拥有者和不同安全设备的拥有者匹配的(第二)系统。
将使用图12、13、17和18来说明实施例4。
图12是示出所述实施例中的安全设备1201的配置的方框图,并且类似于在实施例2中所描述的。
图13是示出所述实施例中的不同安全设备1301的配置的方框图,并且类似于在实施例2中所描述的。
图17是用于示出所述实施例中的读取器-写入器1701的配置的方框图。
图17中的排他控制部分501和应用控制部分502类似于图5中的排他控制部分501和应用控制部分502。
拥有者管理部分1502类似于图15中的拥有者管理部分1502。
所述实施例与实施例3的不同在其具有拥有者信息检查输入部分1702。
提供拥有者信息检查输入部分1702,以输入信息从而确定安全设备拥有者的合法性(示例:PIN)。
输入屏幕有可能作为拥有者信息检查输入部分1702的示例。
但是,仅仅当应用控制部分502在从安全设备1201返回响应后将所述响应解释为用于提供PIN输入屏幕的请求并且请求拥有者信息检查输入部分1702输出屏幕时,显示所述屏幕。
在所述实施例中,下面将说明由安全设备1201、不同安全设备1301和读取器-写入器1501构成的系统。
在实施例1和2内,当安全设备中的客户机应用执行地址解析时,如果服务器应用不存在于家用安全设备中,说明了使用在不同安全设备中存在的服务器应用的系统。
在此,不考虑使用客户机应用来享受服务的“客户机应用拥有者(=安全设备的拥有者)”和使用服务器应用来享受服务的“服务器应用拥有者(=不同安全设备的拥有者)”等的相同性。
在所述实施例中,如果需要客户机应用拥有者和服务器应用拥有者的某种关系,则像如上所述的实施例3中那样,说明用于检查和保证所需要的关系的方法。
例如,假定服务器应用是信用应用,并且客户机应用是内容购买应用。在这种情况下,信用卡交易需要正确地了解“谁花了多少钱购买了什么内容”,因此会出现其中期望客户机应用的拥有者和服务器应用的拥有者应当是同一人的情况。
因此,假定这样的情况,并且在所述实施例中,将使用图18说明当客户机应用执行地址解析时检查服务器应用拥有者和客户机应用拥有者的相同性的方法。
为了描述在所述实施例中描述的发明,首先,说明前提。(图18中的“开始”)
读取器-写入器处于其可以与已经被下载了服务器应用的不同安全设备和要被下载了客户机应用的安全设备通信的状态。
下载客户机应用的条件被定义为“可以引用不同安全设备,在这种情况下,服务器应用拥有者和客户机应用拥有者是相同的”。
读取器-写入器已经掌握了在安全设备中不存在服务器应用。
可以使用一般的技术来实现所述前提,并且在附图中未示出所述前提。
将使用图18的流程图来说明涉及在实施例中描述的发明的系统的操作。
开始,读取器-写入器1701向安全设备1201发送下载条件。
下载管理部分1201接收所述下载条件,并且将其传送到安全性管理部分1202,该安全管理器部分随后存储所述下载条件。
接着,开始客户机应用下载。
当安全设备1201执行地址解析时,其识别服务器应用不存在于家用安全设备的安全设备1201内,并且检查服务器应用是否存在于不同安全设备1301内。
在此,以类似的方式来执行在实施例2中描述的安全性提供步骤1-5。
但是,在所述步骤的执行期间,安全设备1201的卡间接口执行部分208与读取器-写入器1701相结合地执行处理,以检查是否满足了在安全性管理部分1202中存储的下载条件。
卡间接口执行部分208可以响应于所述下载条件而切换用于检查是否满足所述条件的处理。
如果在所述实施例中下载条件是“可以引用不同安全设备,在这种情况下,所述服务器应用拥有者和所述客户机应用拥有者是相同的”,则向读取器-写入器1701发送作为输入PIN的请求的响应。
读取器-写入器1701在排他控制部分501中接收所述响应,并且向应用控制部分502传送所述响应。
应用控制部分502将所述响应解释为输入PIN的请求,并且请求拥有者信息检查输入部分1702显示屏幕。
接着,拥有者在由拥有者信息检查输入部分1702显示的屏幕中输入PIN。
所输入的PIN被从排他控制部分501发送到不同安全设备1301,并且被卡间接口执行部分1302接收。
在从卡间接口执行部分1302接收到请求时,安全性管理部分1303执行PIC检查,并且经由读取器-写入器1701将结果发送至安全设备1201。
不必在安全性管理部分1303内执行PIN检查;例如,可以提供诸如PIN检查部分的部件。
如果结果是“良好”,则安全设备1201的卡间接口执行部分208确定不同安全设备的拥有者与要被下载应用的安全设备的拥有者是相同的,并且继续地址解析。
即使不同安全设备的拥有者与安全设备的拥有者不同,仍然存在不同安全设备的PIN检查产生良好的可能,因为所述安全设备的拥有者彼此相结合地工作。
然后,在完成下载后,从安全设备向读取器-写入器发送不同安全设备的卡证书,所述读取器-写入器然后检查拥有者的相同性。结果,可以检测欺骗。
如上所述,在实施例4内,已经说明了如果服务器应用和客户机应用被安装在不同安全设备中时保证服务器应用拥有者和客户机应用拥有者的相同性的方法。
特别是当在与拥有者信息数据库分离的环境中执行下载时,所述技术是最佳的。
(实施例5)
本发明的实施例5涉及与其中安装了服务器应用的安全设备的生命周期相关联的客户机应用的使用控制。
将使用图2、4、5、19和20来说明实施例5。
图2是示出所述实施例中的安全设备101的配置的方框图,并且,部件类似于实施例1中所述的那些。
图4是示出所述实施例中的不同安全设备102的配置的方框图,并且,部件与实施例1中所述的那些类似。
图5是示出所述实施例中的读取器-写入器103的配置的方框图,并且,部件类似于实施例1中所述的那些。
图20是在授权码管理部分209中包含的授权码表2001,并且除了在图9中的索引、引用对象应用的标识符、方法ID和自变量的数量之外,还包含客户机应用的标识符。
所述实施例与本发明的其他实施例的不同在于包含客户机应用的标识符。
在所述实施例中,下面将说明由安全设备101、不同安全设备102和读取器-写入器103构成的系统。
如果服务器应用和客户机应用安装在同一安全设备中,则两个应用的生命周期与安全设备的生命周期相关联。
即,如果安全设备是可用的,则两个应用是可用的;如果安全设备处于暂停或者放弃状态,则两个应用也变得不可用。
在如上所述的实施例中服务器应用和客户机应用被安装在分离的安全设备中的情况下,当安全设备处于暂停或者放弃状态时,将说明系统如何工作。
如果其中安装了服务器应用的不同安全设备(以下称为服务器设备)是可用的并且其中安装了客户机应用的读取器-写入器(以下称为客户机设备)是不可用的,则不产生问题,因为不能执行客户侧。
另一方面,如果服务器设备是不可用的并且客户机设备是可用的,则需要与先前的处理不同的处理。
即,需要向读取器-写入器返回“客户机应用不能使用,因为服务器设备暂停”的说明。
期望应当尽早地进行所述返回。
因此,在所述实施例中,将使用图19来说明当执行引用在不同安全设备中注册的服务器应用的客户机应用时检查不同安全设备的生命周期的处理。
读取器-写入器103向安全设备101发送用于选择客户机应用的SELECT命令。
安全设备101的应用执行部分206接收所述SELECT命令,并且将在数据部分中设置的客户机应用的AID传送到卡间接口执行部分208。
卡间接口执行部分208引用在授权码管理部分209中存储的授权码表2001。
如果在授权码表2001中不存在对应的客户机应用的AID,则向应用执行部分206发送用于指示所述事实的通知,应用执行部分206然后执行通常的SELECT命令处理。
如果对应的客户机应用的AID存在,则从授权码表2001提取在不同安全设备中安装的服务器应用的AID,并且向读取器-写入器103返回由服务器应用的AID和作为“用于向不同安全设备发送SELECT命令的请求”的数据构成的响应。
读取器-写入器103根据从安全设备101的卡间接口执行部分208接收的数据建立SELECT命令,并且向不同安全设备102发送所述SELECT命令。
接着,向安全设备101传送来自不同安全设备102的响应。
安全设备101的卡间接口执行部分208分析所述响应,并且掌握不同安全设备102的可使用状态。
如果不同安全设备102可用,则向卡间接口执行部分208发送用于指示所述事实的消息,卡间接口执行部分208然后执行通常的SELECT命令处理。
如果不同安全设备102不可用,则向卡间接口执行部分208发送用于指示所述事实的消息,卡间接口执行部分208然后向读取器-写入器103返回设置了SW的响应,所述SW指示“客户机应用不能使用,因为不同安全设备不可用”。
在实施例5内,已经说明了当安装了服务器应用的安全设备处于暂停或者放弃状态时、安装了客户机应用的安全设备的行为,其中,如果服务器应用和客户机应用安装在不同安全设备中,则会发生所述暂停或者放弃状态。
在客户机应用的选择时间检查服务器应用的状态,从而与在客户机应用的处理执行期间检查服务器应用的状态的情况相比较,可以消除诸如在卡和读取器-写入器中的恢复处理的额外处理。
也可以执行切换,以便仅仅在其中不使用服务器应用的功能的范围内执行客户机应用。
如上所述,与其中服务器应用和客户机应用可用或者不可用的现有技术相反,使得在用于执行客户机应用的服务器内的服务器中有可能响应于应用的状态而选择处理,并且可以实现灵活的服务提供。
(实施例6)
实施例6涉及当服务器应用不存在于同一卡中时客户机应用的有条件下载方法和条件检查方法的发明。
例如,所述实施例可以被应用到下述系统:假如用户忘记携带安装了服务器应用的安全设备,如果在实际使用客户机应用之前引用了服务器应用,则所述系统许可客户机应用的下载。
将使用图2、4、5、9、10、21、22和23来说明实施例6。
图2是示出所述实施例中的安全设备101的配置的方框图,并且,部件类似于在实施例1中所述的那些。
图4是示出所述实施例中的不同安全设备102的配置的方框图,并且,部件类似于在实施例1中所述的那些。
图5是示出所述实施例中的读取器-写入器103的配置的方框图,并且,部件类似于在实施例1内所述的那些。
图9示出了授权码表901的示例,并且,部件类似于在实施例1内所述的那些。
所述实施例其特征在于图22、图23中所示的授权码、临时授权码等。
图22是定义授权码发出部分207发出授权码的规则的指令。
图23示出了由应用执行部分206管理的临时授权码管理表2301的示例。临时授权码管理表2301由索引、客户机应用的标识符、服务器应用的标识符和地址计算数据构成。
在所述实施例中,下面将说明由安全设备101、不同安全设备102和读取器-写入器103构成的系统。
在实施例1中,描述了如果可以在使用服务器应用的接口下载客户机应用中引用在不同安全设备中安装的服务器应用,则发出授权码的方法。
相反,在所述实施例中,将使用图21来说明各种授权码的发出和建立大多数所发出的授权码的方法。
预先,按照用于设置从读取器-写入器103发送的应用的属性的命令来在授权码发出部分207中设置“应用类型”和“临时授权码发出许可”等。
“应用类型”是按照各种限制的应用的分类,诸如:临时应用,其使用次数、使用时段等受限;或者,正式应用,其上未施加任何限制。
因此,“应用类型”用于确定在应用上施加了什么限制。
“临时授权码发出许可”是虽然当引用对象存在确定部分210在地址解析时间检查对于服务器应用的引用时没有引用对象,但是不处理为下载错误,而是发出临时授权码的许可,并且,应用执行部分206必须在临时授权码的解释内“能够确定所述状态是其中还没有检查引用对象的状态”和“能够确定将许可所述状态多长时间”。
例如,假定一种场景,其中,如果用户不具有安装了服务器应用的安全设备(例如忘记携带等),则临时下载客户机应用,然后,检查安装了服务器应用的安全设备,并且发出授权码。
在所述实施例中,将说明在所假定的情况下的系统的操作。
在图21中,直到“发出授权码”的流程类似于实施例1中的流程,并且在所述实施例中描述的发明的特征在于后面的处理。
(受限授权码的发出)
将说明受限授权码的发出。
预先,按照从读取器-写入器103发送的用于设置应用的属性的命令在引用对象存在确定部分201中设置“应用类型”。
在此,假定所述应用被设置为临时应用,并且使用次数的上限为3次。
直到在应用下载时开始地址解析、并且不同安全设备102向安全设备101传送表示使用许可的信息的流程与实施例1中的类似。
引用对象存在确定部分210确定“良好”作为由卡间接口执行部分208分析所接收的信息的结果,然后请求授权码发出部分207发出使用所述“应用类型”的受限授权码。
因为应用类型是临时应用并且使用次数是3,因此,授权码发出部分207按照指令2201发出FCB1h作为受限授权码。
按照指令2201,用于指示其中不许可应用的布置的地址区域的信息的FC-FDh被分配给最上面的一种类型,随后的四个比特表示限制的类型和说明,并且最后四个比特给出了授权码表901的索引。
在发出受限授权码后,在由授权码管理部分209管理的授权码表901内存储引用对象应用(服务器应用)的标识符、方法ID和自变量的数量等。
接着,将使用图10来说明在被提供受限授权码的客户机应用的执行期间的操作。
在此,将仅仅详细说明与实施例1中的步骤不同的步骤10-1。
(步骤10-1)
假定在安全设备101中的客户机应用307已经开始。
通过安全设备101的应用执行部分206来执行对应于从读取器-写入器103发送的命令1的处理。
在读取表示方法调用的指令代码后,应用执行部分206取出紧随所述指令代码的地址信息。
确定所述地址信息是否是应用所许可的区域,并且如果所述区域是被许可的区域,则调用所述地址。
如果所述区域“不”是许可的区域,则识别授权码,并且,进一步确定授权码的类型。
如果确定结果是受限授权码,则确定是否满足限制的类型和说明。
例如,当施加使用限制时,如果剩余的重试数目达到0,则发出表示“不再许可使用”的错误。
如果剩余的重试数目未达到0,则向授权码管理部分209传送受限授权码。
为了检查剩余的重试数目,在使用时,可以更新受限授权码,或者,使用次数可以存储在授权码管理部分209中,并且可以与在受限授权码中包含的使用次数相比较。
授权码管理部分209读取在受限授权码中包含的索引,取出在表901中包含的引用对象应用的AID,并且向卡间接口执行部分208传送该AID。
卡间接口执行部分208在响应的数据部分中设置引用对象应用的AID,在响应的SW中设置表示用于使用卡间接口的请求的数据,并且向读取器-写入器103发送响应1101。
步骤10-2和随后的步骤类似于在发出授权码的实施例1中的那些,将不再讨论。
(临时授权码的发出)
最后,将说明临时授权码的发出。
假定预先在引用对象存在确定部分210中设置了应用属性,其表示在客户机应用被下载后直到选择了客户机应用时的临时许可状态的许可。
因此,如果用户忘记携带安装了服务器应用的安全设备,则可以在实际使用客户机应用时,发出用于引用服务器应用的授权码。
直到在应用下载时开始地址解析、并且表示使用许可的信息被传送到安全设备101的流程与实施例1中的类似。
在这种情况下,安全设备101的卡间接口执行部分208接收用于指示要引用的应用不存在的信息,并且,引用对象存在确定部分210确定“不好”,然后检查设置了“临时授权码发出许可”,并且请求授权码发出部分207发出临时授权码。
授权码发出部分207按照指令2201发出“FA02h”作为临时授权码。
按照指令2201,用于指示其中不许可应用的布置的地址区域的信息的FA-FBh被分配给最上面的一种类型,并且后半部分的一种类型表示临时状态的许可条件。
在发出受限授权码后,更新由应用执行部分206保留的临时授权状态管理表2301。
当发出临时授权码时,更新临时授权状态管理表2301。
当试图按照SELECT命令来选择应用时,应用执行部分206引用临时授权码管理表2301,检查对于要选择的应用还没有执行利用服务器应用的地址解析,并且发出表示应用不可用的错误。
为了使得有可能选择应用,变得需要:1)向同一安全设备下载服务器应用,或者2)执行与安装了服务器应用的不同安全设备的链接处理。
1)为了向同一安全设备下载服务器应用,按照已知的技术来下载服务器应用,然后,地址计算部分205引用由应用执行部分206管理的临时授权码管理表2301,并且检查等待与服务器应用的链接处理的客户机应用的存在。
如果存在客户机应用,使用在临时授权码管理表中保留的地址计算数据来执行地址解析。
其后,从临时授权码管理表删除与已经被链接的客户机应用相关的行。
2)为了执行与安装了服务器应用的不同安全设备的链接处理,从读取器-写入器103发送链接专用的命令。
所述链接专用命令由下述部分构成:首标部分,其中可以将所述命令解释为链接专用命令;以及数据部分,其包含服务器应用的标识符。
当下载管理部分201接收到链接专用命令何时,地址计算部分205引用由应用执行部分206管理的临时授权码管理表2301,并且检查等待与服务器应用的链接处理的客户机应用的存在。
如果等待链接处理的客户机应用存在,则在临时授权码管理表2301中保留的地址计算数据和服务器应用的标识符被传送到卡间接口执行部分208,并且在卡间接口执行部分208和不同安全设备102之间检查引用对象的存在。
当卡间接口执行部分208接收到表示使用许可的信息时,引用对象存在确定部分210请求授权码发出部分207发出授权码。
授权码发出部分207发出授权码,并且授权码表901被更新。
引用对象存在确定部分210请求应用执行部分206从临时授权码管理表删除与已经被链接的客户机应用相关的行。
如上所述执行1)或者2)的处理,由此可以完成以后的客户机应用选择和执行。
在实施例6中,已经说明了除了在实施例1中详细说明的授权码之外的受限授权码和临时授权码的发出和被提供授权码的应用的操作。
受限授权码使得能够在不改变服务器应用侧的情况下限制使用次数等,以便可以将所述实施例应用到试验拷贝的临时应用的发出等。
当下载客户机应用时,如果用户不具有安装了客户机应用的安全设备,则可以按照临时授权码来执行以后的链接处理。因此,消除了下述情况:其中,虽然用户想要下载客户机应用,但是他或者她必须放弃下载客户机应用的想法,因为用户当时没有恰巧具有安装了服务器应用的安全设备。
因此,相对于从服务提供商看的商业机会的丢失和从用户看的服务使用机会的丢失,所述实施例变为有效措施。
(实施例7)
实施例7是涉及请求在不同安全设备中安装的服务器应用执行处理并且在客户机应用内使用所述服务器应用的处理数据的方法的发明。
将使用图5和24-27来说明本发明的实施例7。
图24是示出所述实施例中的安全设备2401的配置的方框图。
下载管理部分201、应用存储部分202、应用203和204、地址计算部分205、应用执行部分206、授权码发出部分207、卡间接口执行部分208、授权码管理部分209与实施例1中描述的那些相同。
所述安全设备与在图1中所示的安全设备101的不同在客户机应用2402和堆栈操作部分2403。
客户机应用2402使用由在不同安全设备2501中安装的服务器应用提供的接口。
堆栈操作部分2403在使用由服务器应用提供的接口时操作由客户机应用处理的堆栈。
图25是示出在所述实施例中的不同安全设备2501的配置的方框图。应用存储部分202、应用执行部分206和服务器应用401类似于在实施例1中描述的那些。
所述安全设备与在图4中所示的不同安全设备102的不同在于堆栈控制部分2502。
所述堆栈控制部分2502对服务器应用执行控制,以对于来自在同一安全设备中安装的客户机应用的调用和来自在分离的安全设备中安装的客户机应用的调用执行相同的操作。
图5是所述实施例中的读取器-写入器103,并且类似于实施例1中的读取器-写入器。
在所述实施例中,将描述由安全设备2401、不同安全设备2501和读取器-写入器103构成的系统。
在实施例1中,描述了下述情况:其中,来自服务器应用的响应不包含除了SW之外的任何数据(参见在图11(a)中的响应1103)。
如果响应由数据和SW构成,并且所述数据用于随后的客户机应用处理,则需要堆叠(stack)数据。
已知如果在同一安全设备中存在服务器应用,则服务器应用中的处理结果的返回值被堆叠,并且被返回到调用者的客户机应用。
但是,如果服务器应用不存在于同一安全设备中并且使用在不同安全设备中的服务器应用,则按照安全设备之间的通信协议在APDU(应用协议数据单元)内存储返回值。
因此,为了使得客户机应用执行相同的操作而与所述服务器应用存在于哪个安全设备中无关,变得必须从APDU提取返回值,并且在客户机应用的堆栈上存储返回值。
在实施例7中,将说明在以后的客户机应用处理中使用来自服务器应用的返回值的方法。
为了描述所述方法,下面说明前提条件:
服务器应用被安装在不同安全设备中,并且客户机应用的地址解析完成。
执行客户机应用,并且到图10中的步骤10-3的流程完成。
像在实施例1中描述的系统的操作那样,执行前提。
将说明如图26所示的、其中“method_1(方法_1)”调用“method_2(方法_2)”的情况。
应用执行部分206以函数为单位建立帧(frame),并且执行处理。所述帧是用于从函数返回值、处理异常并且存储数据的多个部分和结果的工作区域。帧1被分配到“method_1”,帧2被分配到“method_2”。每个帧由局部变量和堆栈构成。
在“method_1”调用“method_2”后立即产生帧2。“method_2”使用帧2执行处理,并且最后返回“b”。
“返回‘b’”的表达用于表示按照指令码“sreturn”在帧1的堆栈上直接地堆叠“b”的值。在返回“b”后,消除帧2。
其后,“method_1”继续处理。
因此,建立了函数到函数的调用。
但是,如果“method_1”和“method_2”存在于不同的安全设备中,则实质上应当被堆叠在“method_1”的帧上的“method_2”的帧在不同安全设备的控制下,因此,“method_2”的处理结果不能直接地被存储在调用者的“method_1”的堆栈上。
因此,下述机制变得必要:所述机制使得有可能在“method_2”不能直接地在“method_1”的堆栈上存储处理结果的情况下,实现与“method_2”直接在所述堆栈上存储处理结果的必要操作相同的处理。
因此,堆栈控制部分2502仅仅在来自在分离的安全设备中安装的客户机应用的引用时执行与用于在返回值(示例:sreturn)的操作内涉及的指令代码的通常处理不同的处理。
当从在分离的安全设备中安装的客户机应用调用时,调用者的帧不存在于应用执行部分403中。
在这种情况下,堆栈控制部分2502负责“sreturn”的处理。
堆栈控制部分2502停止向调用者帧的堆栈内写入,而是建立如图27所示的数据。
在所述实施例中所述的发明内,建立和使用如图27中的数据,由此,如果客户机应用不存在于具有服务器应用的安全设备中,则可以在堆栈上存储处理结果。
图27由表示“sreturn”的TAG、表示返回值的长度的LENGTH和表示返回值的Value组成。
这在从服务器应用发送的响应的数据部分中设置,并且作为调用结果被传送到用于执行客户机应用的安全设备101。
接着,将使用图10来说明在接收数据后的安全设备2401的操作。
在所述实施例中的说明内,图10中的安全设备101被替换为安全设备2401,并且不同安全设备102被替换为不同安全设备2501。
当客户机应用2402引用服务器应用时的步骤的步骤10-1到步骤10-4与实施例1中的那些步骤类似,因此不再说明,将说明返回服务器应用的处理结果的步骤10-5。
安全设备2401的卡间接口执行部分208接收共享命令,并且向堆栈操作部分2403传送所述共享命令的数据部分。
堆栈操作部分2403解释表示“sreturn”的TAG,并且在调用者(客户机应用)的帧的堆栈上存储值。
其后,客户机应用也可以继续处理,就像服务器应用被安装在同一安全设备中那样。
在实施例6中,已经说明了通过对于安全设备2401提供堆栈操作部分2403的对于不同安全设备2501提供堆栈控制部分2502,使得客户机应用能够使用来自在不同安全设备中安装的服务器应用的返回值的而不向服务器应用和客户机应用的代码施加特殊处理的方法。
客户机应用检查和使用来自服务器应用的返回值的场景经常发生,并且所述系统的优点很大。
虽然已经参考特定实施例详细说明了本发明,但是对于本领域内的技术人员显然,可以在不脱离本发明的精神和范围的情况下,进行各种改变和修改。
本申请基于2006年3月31日提交的日本专利申请(第2006-098865号)和在2007年3月22日提交的日本专利申请(第2007-075217号),它们通过引用被包含在此。
产业上的应用性
可以提供了具有下述优点的系统:可以通过本发明的安全设备和读取器-写入器来减少安全设备的存储区域。
Claims (9)
1.一种安全设备,包括:
应用存储部分,其存储客户机应用,作为用于执行数据处理的应用;
地址计算部分,其确定所述应用存储部分是否具有用于向和从所述客户机应用传送数据的服务器应用;
引用对象存在确定部分,当所述地址计算部分确定所述应用存储部分不具有用于向和从第一客户机应用传送数据的第一服务器应用时,该引用对象存在确定部分确定不同安全设备是否具有所述第一服务器应用;
卡间接口执行部分,其访问所述不同安全设备,其中,所述引用对象存在确定部分根据所述卡间接口执行部分的结果确定所述不同安全设备是否具有所述第一服务器应用;
授权码发出部分,当所述引用对象存在确定部分确定所述不同安全设备具有所述第一服务器应用时,该授权码发出部分发出用于许可引用所述第一服务器应用的授权码;以及
应用执行部分,其根据所述授权码来执行所述第一客户机应用。
2.按照权利要求1所述的安全设备,还包括授权码管理部分,其至少管理包含所述不同安全设备具有的第一服务器应用的应用标识符的管理信息,
其中,当执行第一客户机应用时,所述应用执行部分基于所述管理信息向引用对象发送所述应用标识符、所述引用对象和要传送到所述引用对象的参数的至少一个,作为响应。
3.按照权利要求1所述的安全设备,还包括:安全性管理部分,其提供由所述卡间接口执行部分发送和接收的数据的安全性。
4.按照权利要求1所述的安全设备,其中,当所述授权码发出部分响应于所述第一客户机应用的使用限制而发出使用受限授权码时,所述应用执行部分根据所述授权码限制从所述第一客户机应用引用所述第一服务器应用。
5.按照权利要求1所述的安全设备,还包括:下载管理部分,其下载第二客户机应用,其中
如果所述卡间接口执行部分不能引用第二服务器应用,则所述授权码发出部分发出临时授权码,用于许可所述下载管理部分下载所述第二客户机应用。
6.按照权利要求5所述的安全设备,其中,当卡间接口执行部分能够引用所述第二服务器应用时,在所述第二服务器应用和按照所述临时授权码被许可下载的第二客户机应用之间进行数据通信。
7.按照权利要求1所述的安全设备,还包括:堆栈操作部分,其使得应用执行部分根据来自所述不同安全设备具有的所述第一服务器应用的命令和基于所述处理的返回值来执行第一客户机应用。
8.按照权利要求1所述的安全设备,其中,
所述应用执行部分使得所述卡间接口执行部分获取具有所述第一服务器应用的所述不同安全设备的使用状态,并且
当所述使用状态指示其中不能使用不同安全设备的状态时,所述卡间接口执行部分接收用于指示不能使用所述不同安全设备的数据。
9.按照权利要求1所述的安全设备,其中,
所述客户机应用包含观看权限和被观看的内容,并且
所述服务器应用检查在从所述客户机应用传送的观看权限内涉及的条件。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006098865 | 2006-03-31 | ||
JP098865/2006 | 2006-03-31 | ||
JP075217/2007 | 2007-03-22 | ||
JP2007075217A JP5150116B2 (ja) | 2006-03-31 | 2007-03-22 | Icカード及び読み書き装置 |
PCT/JP2007/056982 WO2007119594A1 (ja) | 2006-03-31 | 2007-03-29 | セキュアデバイス及び読み書き装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101416204A CN101416204A (zh) | 2009-04-22 |
CN101416204B true CN101416204B (zh) | 2012-05-09 |
Family
ID=38609366
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007800120482A Expired - Fee Related CN101416204B (zh) | 2006-03-31 | 2007-03-29 | 安全设备 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8366007B2 (zh) |
JP (1) | JP5150116B2 (zh) |
CN (1) | CN101416204B (zh) |
WO (1) | WO2007119594A1 (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2951343A1 (fr) * | 2009-10-14 | 2011-04-15 | Alcatel Lucent | Gestion de dispositif de communication a travers un reseau de telecommunications |
JP5923727B2 (ja) * | 2010-10-12 | 2016-05-25 | パナソニックIpマネジメント株式会社 | 情報処理システム |
WO2015149285A1 (zh) * | 2014-04-01 | 2015-10-08 | 华为终端有限公司 | 一种安全单元的管理方法及终端 |
US10032031B1 (en) * | 2015-08-27 | 2018-07-24 | Amazon Technologies, Inc. | Detecting unknown software vulnerabilities and system compromises |
JP6126293B1 (ja) * | 2016-11-11 | 2017-05-10 | 秀邦 平井 | 識別装置 |
CN109308417B (zh) * | 2017-07-27 | 2022-11-01 | 阿里巴巴集团控股有限公司 | 基于可信计算的解锁方法及装置 |
JP7068603B2 (ja) * | 2017-09-04 | 2022-05-17 | 大日本印刷株式会社 | 電子情報記憶媒体、icカード、電子情報記憶媒体によるアップデート方法及びアップデートプログラム |
JP7484092B2 (ja) | 2019-06-11 | 2024-05-16 | 大日本印刷株式会社 | サーバ及びコンピュータプログラム |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6233683B1 (en) * | 1997-03-24 | 2001-05-15 | Visa International Service Association | System and method for a multi-application smart card which can facilitate a post-issuance download of an application onto the smart card |
CN1441385A (zh) * | 2002-02-28 | 2003-09-10 | 松下电器产业株式会社 | 存储卡 |
CN1549198A (zh) * | 1995-08-04 | 2004-11-24 | ���ռ���Ͷ�ʹ�˾ | 包括便携式数据处理单元的数据交换系统 |
US20050234825A1 (en) * | 2002-05-07 | 2005-10-20 | Stefan Andersson | Method for loading an application in a device, device and smart card therefor |
CN1726478A (zh) * | 2002-12-16 | 2006-01-25 | 松下电器产业株式会社 | 存储器件和使用存储器件的电子器件 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10143774A (ja) * | 1996-11-14 | 1998-05-29 | Nec Eng Ltd | セキュリティシステム |
JP3817823B2 (ja) * | 1997-04-10 | 2006-09-06 | ソニー株式会社 | データ通信方法 |
JP2000172657A (ja) * | 1998-12-08 | 2000-06-23 | Fujitsu Ltd | 分散処理システム、分散処理方法、その方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体、サーバ装置およびクライアント装置 |
US7093122B1 (en) | 1999-01-22 | 2006-08-15 | Sun Microsystems, Inc. | Techniques for permitting access across a context barrier in a small footprint device using shared object interfaces |
JP4189870B2 (ja) * | 1999-12-28 | 2008-12-03 | 日本電信電話株式会社 | Icカードシステムにおいて利用可能なicカードおよびicカードシステム |
JP4548758B2 (ja) * | 2000-09-05 | 2010-09-22 | 大日本印刷株式会社 | 共有アクセス管理機能を備えた携帯可能な情報処理装置 |
JP4054535B2 (ja) * | 2001-01-19 | 2008-02-27 | 株式会社日立製作所 | Icカード・サービス提供方法、カード端末機、及びicカード |
JP3927411B2 (ja) * | 2001-12-27 | 2007-06-06 | 大日本印刷株式会社 | Icカードプログラム及びicカード |
EP1733305A1 (en) * | 2004-04-08 | 2006-12-20 | Matsushita Electric Industries Co., Ltd. | Semiconductor memory |
-
2007
- 2007-03-22 JP JP2007075217A patent/JP5150116B2/ja not_active Expired - Fee Related
- 2007-03-29 CN CN2007800120482A patent/CN101416204B/zh not_active Expired - Fee Related
- 2007-03-29 US US12/295,163 patent/US8366007B2/en not_active Expired - Fee Related
- 2007-03-29 WO PCT/JP2007/056982 patent/WO2007119594A1/ja active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1549198A (zh) * | 1995-08-04 | 2004-11-24 | ���ռ���Ͷ�ʹ�˾ | 包括便携式数据处理单元的数据交换系统 |
US6233683B1 (en) * | 1997-03-24 | 2001-05-15 | Visa International Service Association | System and method for a multi-application smart card which can facilitate a post-issuance download of an application onto the smart card |
CN1441385A (zh) * | 2002-02-28 | 2003-09-10 | 松下电器产业株式会社 | 存储卡 |
US20050234825A1 (en) * | 2002-05-07 | 2005-10-20 | Stefan Andersson | Method for loading an application in a device, device and smart card therefor |
CN1726478A (zh) * | 2002-12-16 | 2006-01-25 | 松下电器产业株式会社 | 存储器件和使用存储器件的电子器件 |
Also Published As
Publication number | Publication date |
---|---|
US8366007B2 (en) | 2013-02-05 |
JP2007293826A (ja) | 2007-11-08 |
WO2007119594A1 (ja) | 2007-10-25 |
US20090119516A1 (en) | 2009-05-07 |
JP5150116B2 (ja) | 2013-02-20 |
CN101416204A (zh) | 2009-04-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101416204B (zh) | 安全设备 | |
US7117364B1 (en) | System and method for downloading application components to a chipcard | |
US6328217B1 (en) | Integrated circuit card with application history list | |
US10970706B2 (en) | Method for processing a transaction from a communications terminal | |
US7707408B2 (en) | Key transformation unit for a tamper resistant module | |
RU2488888C2 (ru) | Способ доступа к приложениям в защищенной мобильной среде | |
US6694436B1 (en) | Terminal and system for performing secure electronic transactions | |
EP0985204B1 (en) | Ic card transportation key set | |
US7917760B2 (en) | Tamper resistant module having separate control of issuance and content delivery | |
JP4129063B2 (ja) | シェル特徴を有するicカード | |
EP1645987B1 (en) | Information processing apparatus, information processing method, and program | |
WO1998052161A2 (en) | Key transformation unit for an ic card | |
WO2003049056A2 (en) | Smartcard system | |
JP2002518727A (ja) | ソフトウェア製品の実行の制御方法 | |
US20040105547A1 (en) | Software protection | |
Hoepman et al. | Secure method invocation in Jason | |
Brinkman et al. | Secure Method Invocation in {JASON} | |
CN118102002A (zh) | 一种防止第三方伪造订购行为的方法、系统、设备及存储介质 | |
JP4880353B2 (ja) | 耐タンパーシステム | |
Kowalski et al. | CRYPTOSMART CARD 5.1 PUBLIC SECURITY TARGET | |
JP2007249544A (ja) | 電子媒体およびそれを含む情報端末 | |
Brinkman | JavaCards As Secure Objects Network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120509 Termination date: 20200329 |
|
CF01 | Termination of patent right due to non-payment of annual fee |