JP2002073196A - Portable information processor provided with shared access managing function - Google Patents
Portable information processor provided with shared access managing functionInfo
- Publication number
- JP2002073196A JP2002073196A JP2000268676A JP2000268676A JP2002073196A JP 2002073196 A JP2002073196 A JP 2002073196A JP 2000268676 A JP2000268676 A JP 2000268676A JP 2000268676 A JP2000268676 A JP 2000268676A JP 2002073196 A JP2002073196 A JP 2002073196A
- Authority
- JP
- Japan
- Prior art keywords
- application
- access
- management information
- authentication
- shared
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012217 deletion Methods 0.000 claims abstract description 26
- 230000037430 deletion Effects 0.000 claims abstract description 26
- 238000000034 method Methods 0.000 claims description 20
- 230000010365 information processing Effects 0.000 claims description 16
- 230000003044 adaptive effect Effects 0.000 abstract 1
- 238000007726 management method Methods 0.000 description 91
- 230000006870 function Effects 0.000 description 42
- 238000010586 diagram Methods 0.000 description 25
- 238000012545 processing Methods 0.000 description 10
- 102000005591 NIMA-Interacting Peptidylprolyl Isomerase Human genes 0.000 description 9
- 108010059419 NIMA-Interacting Peptidylprolyl Isomerase Proteins 0.000 description 9
- MOVRNJGDXREIBM-UHFFFAOYSA-N aid-1 Chemical compound O=C1NC(=O)C(C)=CN1C1OC(COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C(NC(=O)C(C)=C2)=O)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C(NC(=O)C(C)=C2)=O)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C(NC(=O)C(C)=C2)=O)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)CO)C(O)C1 MOVRNJGDXREIBM-UHFFFAOYSA-N 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Landscapes
- Credit Cards Or The Like (AREA)
- Storage Device Security (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は書き換え可能な複数
のアプリケーションを搭載可能な携帯可能情報処理装置
(例えば、ICカード)に係り、特にアプリケーション
間のアクセスの管理に関するものである。[0001] 1. Field of the Invention [0002] The present invention relates to a portable information processing apparatus (for example, an IC card) capable of mounting a plurality of rewritable applications, and more particularly to management of access between applications.
【0002】[0002]
【従来の技術】ICカード上のアプリケーション間のア
クセスはセキュリティ上問題があり、通常、OS等によ
り不可能となっている(ファイアーウォール)。しか
し、複数のアプリケーションを搭載したICカードでは
限られた資源を有効に使うため、機能やデータの共有を
目的として、お互いに管理された環境下での限定的なア
クセス(共有アクセス)を許す必要がある。さらに各ア
プリケーションは任意のタイミングで追加、削除される
ため、管理方法もそれに対応する必要がある。この共有
アクセスについて以下に説明するが、ここでは、共有ア
クセスを要求する側をクライアントアプリケーション、
共有アクセスを許可し、機能や情報を提供する側をサー
バーアプリケーションと呼ぶことにする。2. Description of the Related Art Access between applications on an IC card has a security problem, and is usually impossible by an OS or the like (firewall). However, IC cards with multiple applications use limited resources effectively, so it is necessary to allow limited access (shared access) in an environment managed by each other for the purpose of sharing functions and data. There is. Furthermore, since each application is added or deleted at an arbitrary timing, the management method needs to correspond to it. This sharing access will be described below. Here, the side requesting the sharing access is a client application,
The side that grants shared access and provides functions and information is called the server application.
【0003】従来、ICカードにアプリケーションを搭
載する場合に、予め共有アクセスを要求されると予測さ
れる他のアプリケーションの情報(ID)と認証のため
のパラメータ(PIN:Personal Ident
ification Number)等を各アプリケー
ションにデータとして与えておき、アプリケーションが
他のアプリケーションにアクセスしたい場合、対象とな
るアプリケーションに対して自分のアプリケーションの
IDと引き数となる認証パラメータ(PIN等)を渡
す。アクセスを要求されたサーバーアプリケーション側
では渡されたアプリケーションIDと認証パラメータを
予め自分が知っているデータ(アプリケーションIDと
認証パラメータの組)と比較し、一致/不一致によって
アクセス許可/不許可を判定する。他のアプリケーショ
ンに関する情報(アプリケーションIDと認証パラメー
タの組)を追加する場合には、アプリケーションのプロ
グラムを新しく作成し、ICカードに再びインストール
しなおす手順により行う。Conventionally, when an application is mounted on an IC card, information (ID) of another application, which is predicted to require a shared access in advance, and a parameter for authentication (PIN: Personal Identifier).
An application number and the like are given to each application as data, and when the application wants to access another application, an ID of the application and an authentication parameter (PIN or the like) serving as an argument are passed to the target application. The server application requested to access compares the passed application ID and authentication parameter with data (a set of application ID and authentication parameter) known in advance, and determines access permission / non-permission based on a match / mismatch. . To add information (a set of an application ID and an authentication parameter) relating to another application, a procedure for creating a new application program and installing it again in the IC card is performed.
【0004】[0004]
【発明が解決しようとする課題】このような従来のIC
カードにおける共有アクセス管理は、次のような問題が
あった。 自分以外のアプリケーションの情報はカード発行時に
確定してしまうため、想定しなかったアプリケーション
の追加や削除に対して正しく共有アクセスの許可/不許
可を管理できなかった。従来では、後から追加されたア
プリケーションには「その他の場合」として対応し、限
定的に使用を認めることができるようにしている。 後から作成されたアプリケーションに対応するため
に、既存のアプリケーションを入れなおすと、特にアプ
リケーションとデータが一体になって管理されている仕
組みのICカードの場合に、そのアプリケーションに対
応したデータも一緒に消えてしまう場合がある。 認証パラメータ(PIN)を変更して何度もアクセス
を試す等、不正なアプリケーションが不正な共有アクセ
ス権を取得できてしまう可能性があった。SUMMARY OF THE INVENTION Such a conventional IC
Shared access management in a card has the following problems. Since the information of the application other than the user is determined at the time of issuing the card, the permission / rejection of the sharing access cannot be properly managed for the unexpected addition or deletion of the application. Conventionally, an application added later is dealt with as "other cases" so that the use of the application can be limited. If an existing application is re-inserted to support an application created later, the data corresponding to the application is also included, especially in the case of an IC card in which the application and data are managed integrally. May disappear. There is a possibility that an unauthorized application may acquire an unauthorized sharing access right, such as changing the authentication parameter (PIN) and trying access many times.
【0005】本発明は上記課題を解決するためのもの
で、カード発行後のアプリケーションの追加や削除に対
応できるようにするとともに、不正な共有アクセスや共
有管理情報への不正なアクセスを監視してアプリケーシ
ョンに対してアクセスを閉塞することで、セキュリティ
を高めるようにすることを目的とする。SUMMARY OF THE INVENTION The present invention has been made to solve the above-mentioned problems, and is capable of responding to addition or deletion of an application after a card is issued, and also monitors unauthorized sharing access and unauthorized access to sharing management information. The purpose is to increase security by blocking access to applications.
【0006】[0006]
【課題を解決するための手段】本発明は、書き換え可能
な複数のアプリケーションを搭載可能で、各アプリケー
ション間での共有アクセスが可能な携帯可能な情報処理
装置において、各アプリケーション(サーバーアプリケ
ーション)が共有管理情報を有し、他のアプリケーショ
ン(クライアントアプリケーション)からのアクセス要
求があったとき共有管理情報に基づいてアクセスの許可
/不許可を判断することを特徴とする。また、本発明
は、共有管理情報が、アプリケーション管理情報、アク
セス管理情報、認証管理情報からなることを特徴とす
る。また、本発明は、アプリケーション管理情報がクラ
イアントアプリケーションを特定するためのIDごとの
アクセス種別、前記IDとアクセス種別に対する許可状
態を示す情報、アクセス種別ごとの認証に失敗した要求
回数からなることを特徴とする。また、本発明は、アク
セス管理情報が、アクセス種別ごとの認証レベル、アク
セスしたクライアントアプリケーションに返す返却値か
らなることを特徴する。また、本発明は、認証管理情報
が認証レベルに応じたアクセス認証条件と追加削除認証
条件からなることを特徴とする。また、本発明は、共有
管理情報が、アプリケーション管理情報、追加削除認証
条件管理情報からなることを特徴とする。また、本発明
は、アプリケーション管理情報がクライアントアプリケ
ーションを特定するためのIDごとのアクセス種別、前
記IDとアクセス種別に対する許可状態を示す情報、ア
クセス種別ごとの認証に失敗した要求回数、アクセス認
証条件からなることを特徴とする。また、本発明は、追
加削除認証条件管理情報が、追加削除認証条件と要求回
数からなることを特徴とする。また、本発明は、要求回
数が規定値を超えたとき、許可状態を閉塞にして以後の
アクセスを受けつけないことを特徴とする。また、本発
明は、クライアントアプリケーションからの共有アクセ
スがあったとき、許可状態を示す情報が許可状態であ
り、かつ認証が成立したことを条件に、サーバーアプリ
ケーションは許可状態にあるアクセス種別の関数群及び
/又はオブジェクトのポインタを渡し、クライアントア
プリケーションはサーバーの関数を呼び出し、関数は処
理を実行することを特徴とする。また、本発明は、外部
端末装置からアプリケーション管理情報へアプリケーシ
ョンID、アクセス種別が追加され、サーバーアプリケ
ーションの関数群及び/又はオブジェクトのポインタを
獲得したクライアントアプリケーションから共有アクセ
スがあったとき、認証が成立したことを条件にサーバー
アプリケーションはアプリケーション管理情報の許可状
態情報を許可とし、クライアントアプリケーションがサ
ーバーアプリケーションの関数を呼び出すと、当該関数
のアクセス種別が許可状態か否かアプリケーション管理
情報を参照して判断し、許可状態にあることを条件に関
数は処理を実行することを特徴とする。SUMMARY OF THE INVENTION The present invention provides a portable information processing apparatus capable of mounting a plurality of rewritable applications and enabling shared access between the applications. It has management information, and when there is an access request from another application (client application), whether access is permitted or not is determined based on the shared management information. Further, the present invention is characterized in that the shared management information includes application management information, access management information, and authentication management information. Further, the present invention is characterized in that the application management information includes an access type for each ID for specifying a client application, information indicating a permission state for the ID and the access type, and the number of requests that failed in authentication for each access type. And Further, the present invention is characterized in that the access management information includes an authentication level for each access type and a return value returned to the accessed client application. Further, the present invention is characterized in that the authentication management information includes an access authentication condition and an addition / deletion authentication condition according to the authentication level. Further, the present invention is characterized in that the shared management information includes application management information and addition / deletion authentication condition management information. Further, according to the present invention, the application management information may include an access type for each ID for identifying a client application, information indicating a permission state for the ID and the access type, the number of requests that failed in authentication for each access type, and an access authentication condition. It is characterized by becoming. Further, the present invention is characterized in that the addition / deletion authentication condition management information includes an addition / deletion authentication condition and the number of requests. Further, the present invention is characterized in that when the number of requests exceeds a prescribed value, the permission state is closed and no further access is accepted. Further, according to the present invention, when there is a shared access from the client application, the server application may execute the function group of the access type in the permitted state on condition that the information indicating the permitted state is the permitted state and that the authentication is established. And / or passing a pointer to the object, wherein the client application calls a function on the server, the function performing the operation. Further, according to the present invention, when an application ID and an access type are added from the external terminal device to the application management information and a shared access is made from a client application that has acquired a function group of the server application and / or a pointer of the object, authentication is established. On the condition that the server application permits the permission state information of the application management information, and when the client application calls a function of the server application, the server application determines whether or not the access type of the function is the permission state by referring to the application management information. , The function executes a process on condition that it is in the permission state.
【0007】[0007]
【発明の実施の形態】以下、図面を参照して本発明の実
施の形態を、形態可能な情報処理装置としてICカード
を例にとって説明する。 (第1の実施例)図1はICカードに搭載される各アプ
リケーションが持つ共有管理情報を説明する図である。
共有管理情報はアプリケーション管理情報(図1
(a))、アクセス管理情報(図1(b))、認証管理
情報(図1(c))からなっている。アプリケーション
管理情報は、クライアントアプリケーションのID(A
ID)、アクセス種別(TYPE)、許可状態、要求回
数からなり、クライアントアプリケーションからの共有
アクセスを管理し、各アプリケーションが個々に所有す
るが、共有アクセス機能を提供しないアプリケーション
は持たなくてもよい。その場合は、どのアプリケーショ
ンからの共有アクセス要求も受けつけないことになる。Embodiments of the present invention will be described below with reference to the drawings, using an IC card as an example of a configurable information processing apparatus. (First Embodiment) FIG. 1 is a diagram for explaining sharing management information possessed by each application mounted on an IC card.
The shared management information is the application management information (FIG. 1)
(A)), access management information (FIG. 1 (b)), and authentication management information (FIG. 1 (c)). The application management information includes the ID (A
ID), access type (TYPE), permission status, and number of requests, and manages shared access from client applications. Each application individually owns, but an application that does not provide a shared access function may not be provided. In that case, the shared access request from any application will not be accepted.
【0008】アプリケーションID(AID)はクライ
アントアプリケーションを特定するための少なくともI
Cカード内でユニークな番号である。アクセス種別(T
YPE)はそのアプリケーションに与えるアクセスの種
別で共有するデータや関数、オブジェクト(データと機
能を一まとめにした単位)や、それらの集合を表す番号
を指定するか、あるいは直接アドレスやポインタ、関数
名を指定するようにしても良い。[0008] The application ID (AID) is at least I for identifying a client application.
This is a unique number in the C card. Access type (T
YPE) specifies the data, functions, objects (units that combine data and functions) and the numbers that represent the sets of data and functions to be shared depending on the type of access given to the application, or directly addresses, pointers, and function names May be specified.
【0009】許可状態はあるアプリケーションIDとア
クセス種別に対するアクセスの許可状態を表し、最低
限、許可/不許可/閉塞を表せるものとする。その他に
アクセス速度を速くするために、一度認証が成功した
ら、その後認証をしなくても良い「常時許可」や回数や
期限を限定した「一時許可」等の状態を設けるようにし
ても良い。閉塞状態では、後述するように、共有アクセ
スの認証自体を受け付けない。要求回数はアクセス種別
の認証に失敗した回数、およびアプリケーション管理情
報への追加/削除要求の認証失敗の回数をカウントす
る。なお、追加と削除について両者を分けてカウントで
きるように項目を追加するようにしても良い。The permission state indicates a permission state of access to a certain application ID and an access type, and can at least indicate permission / non-permission / blockage. In addition, in order to increase the access speed, a state such as "permanent permission" which does not need to be authenticated once after authentication is successful or "temporary permission" in which the number of times and time limit are limited may be provided. In the closed state, as will be described later, authentication of shared access itself is not accepted. The number of requests counts the number of times that the authentication of the access type has failed, and the number of times that the authentication of the addition / deletion request to the application management information has failed. Note that items may be added so that the addition and deletion can be counted separately.
【0010】アクセス管理情報はアクセス種別、認証レ
ベル、返却値からなる。認証レベルはその共有アクセス
時に必要な認証のレベルを示す番号である。返却値はク
ライアントアプリケーションに返却する共有アクセスの
ための参照値で関数名、変数名、関数へのポインタ、変
数へのポインタ、オブジェクトへの参照、実アドレス、
値(変数への値そのもの)等、あるいはそれらの集合で
ある。The access management information includes an access type, an authentication level, and a return value. The authentication level is a number indicating the level of authentication required for the shared access. The return value is a reference value for shared access to be returned to the client application. Function name, variable name, pointer to function, pointer to variable, reference to object, real address,
It is a value (the value itself to a variable) or the like, or a set thereof.
【0011】認証管理情報は認証ベルとアクセス認証条
件(PIN1)、追加/削除認証条件(追加/削除のた
めに予め有しているPIN2との照合)からなる。ある
認証レベルの共有アクセスの要求があった場合、それに
対応したアクセス認証条件(予め保持しているPIN2
との比較)を満たした場合に、共有アクセスが許され
る。The authentication management information includes an authentication bell, an access authentication condition (PIN1), and an addition / deletion authentication condition (collation with a PIN2 previously provided for addition / deletion). If there is a request for a shared access at a certain authentication level, the access authentication conditions (PIN2
), Shared access is allowed.
【0012】アプリケーション管理情報はアプリケーシ
ョン名とアクセス種別の組単位で追加/削除可能とし、
その際、図1(b)に示すように、アクセス種別に対応
する認証レベルが設定されており、その認証レベルに対
応した追加/削除認証条件を満たすことを条件とするよ
うに、図1(c)のように、レベル毎に異なるPINを
用意する。[0012] The application management information can be added / deleted in pairs of an application name and an access type.
At this time, as shown in FIG. 1 (b), an authentication level corresponding to the access type is set, and an addition / deletion authentication condition corresponding to the authentication level is satisfied. As shown in c), a different PIN is prepared for each level.
【0013】次にアプリケーション管理情報の追加/削
除の手順について説明する。 クライアントアプリケーション、または端末側から、
追加(削除)するアプリケーションIDとアクセス種
別、認証パラメータ(PIN)をサーバーアプリケーシ
ョンに渡す。 サーバーアプリケーションはアクセス種別に対応した
認証条件を検索し、認証処理(PINの照合等)をす
る。認証に成功したら、自分が持つアプリケーション管
理情報にアプリケーションIDとアクセス種別と許可状
態(許可)を追加する。 不正なアプリケーションや外部からの不正アクセスを
防ぐため、認証に失敗した場合は要求回数のカウントを
1つ増し、特定の回数に達したら許可状態を「閉塞」
し、それ以降、アプリケーションIDとアクセス種別の
追加、削除要求を閉塞する。閉塞解除は行えないか特定
の認証を必要とするようにする。Next, a procedure for adding / deleting application management information will be described. From the client application or terminal
The application ID to be added (deleted), the access type, and the authentication parameter (PIN) are passed to the server application. The server application searches for an authentication condition corresponding to the access type, and performs an authentication process (such as PIN verification). If the authentication succeeds, the application ID, the access type, and the permission status (permission) are added to the application management information held by the user. In order to prevent unauthorized applications and unauthorized access from outside, if authentication fails, the count of the number of requests is increased by one, and the permission status is "blocked" when a certain number of times is reached.
Thereafter, the application ID and the access type addition / deletion request are blocked. Unblocking cannot be performed or specific authentication is required.
【0014】次に共有アクセス管理の手順について説明
する。 クライアントアプリケーションから直接、またはOS
を通じてデータや処理にアクセス要求が発生する。 サーバーアプリケーションは共有管理テーブルを参照
し、アプリケーションIDとアクセス種別の組から許可
状態フラグを検索し、許可であり、かつ認証条件があえ
ばクライアントアプリケーションへアクセスの手段を返
却値(データや機能への参照アドレス等)として提供す
る。Next, the procedure of the shared access management will be described. Directly from client application or OS
An access request is generated for data and processing through the server. The server application refers to the sharing management table and searches for a permission status flag from the set of the application ID and the access type. If the permission is granted and the authentication condition is satisfied, the access means to the client application is returned as a return value (data or function access). Reference address).
【0015】図2は各アプリケーションが持つ(メモリ
領域に格納)共有管理情報を説明する図である。図示す
るようにアプリケーションは自分のアプリケーションI
D(AID)と共有管理テーブルの情報を持ち、AID
0のアプリケーションがAID1、AID2についてア
プリケーション管理情報、アクセス管理情報、認証管理
情報を持っている。図では本来アプリケーションが持つ
データ、関数、その他が格納されているメモリ領域は図
示を省略している。なお、以下ではAID0、1、2の
アプリケーションをそれぞれアプリケーション0、1、
2と呼ぶことにする。FIG. 2 is a view for explaining shared management information (stored in a memory area) possessed by each application. As shown, the application is my application I
D (AID) and information of the shared management table,
Application 0 has application management information, access management information, and authentication management information for AID1 and AID2. In the figure, a memory area in which data, functions, and the like originally owned by the application are stored is omitted. In the following, the applications of AID 0, 1, 2 are referred to as application 0, 1,
Let's call it 2.
【0016】図3はクライアントアプリケーションから
共有アクセスを求める例を説明する図である。図の例で
は、アプリケーション1がアプリケーション0に対して
アクセス種別1のアクセス許可を求める様子を示してい
る。サーバーとなるアプリケーション0はAIDとTY
PE(アクセス種別)の組から認証PINを検索し、P
IN1が1234で、一致していること、アクセス状態
が許可(フラグ=1)であることを確認し、アクセス許
可を出し、共有データ関数への参照を返す。FIG. 3 is a view for explaining an example of requesting shared access from a client application. In the example shown in the figure, the application 1 requests the application 0 for the access permission of the access type 1. Application 0 that is the server is AID and TY
An authentication PIN is searched from a set of PEs (access types),
When IN1 is 1234, it is confirmed that they match and that the access state is permission (flag = 1), the access permission is issued, and a reference to the shared data function is returned.
【0017】図4は共有アクセスに失敗する例を示す図
である。アプリケーション3がアプリケーション0に対
してアクセス種別(TYPE)2の許可を求めている様
子を示している。サーバーとなるアプリケーション0は
AID3とTYPE2の組が共有管理テーブルにないた
め、共有アクセス許可を出さない。FIG. 4 is a diagram showing an example in which shared access fails. The state where the application 3 is requesting permission of the access type (TYPE) 2 from the application 0 is shown. The application 0 serving as a server does not issue a shared access permission because the set of AID3 and TYPE2 is not in the shared management table.
【0018】図5は共有管理情報にアプリケーションを
追加する例を示す図である。アプリケーション3がアプ
リケーション0に対して共有管理情報にアプリケーショ
ンを追加する様子を示しており、アプリケーション3が
AID=3、TYPE=2とそれに対応する認証パラメ
ータ(PIN2=8765)をサーバーとなるアプリケ
ーション0に送る。アプリケーション0はTYPE=2
のアクセス権を追加するのに必要な認証レベル2のPI
N=8765(予め保持)と、アプリケーション3から
のPIN2を比較し、両者が一致しているので共有管理
情報にAID3、TYPE2を追加する。その結果、図
6に示すように、共有管理情報にアプリケーション3が
追加される。FIG. 5 is a diagram showing an example of adding an application to the shared management information. The application 3 adds an application to the shared management information for the application 0, and the application 3 sends AID = 3, TYPE = 2, and the corresponding authentication parameter (PIN2 = 8765) to the application 0 serving as a server. send. Application 0 is TYPE = 2
Level 2 PI required to add access rights
N = 8765 (previously held) and PIN2 from application 3 are compared, and since both match, AID3 and TYPE2 are added to the shared management information. As a result, as shown in FIG. 6, the application 3 is added to the shared management information.
【0019】図7は共有アクセスとアプリケーション管
理情報の追加処理フローを示す図である。外部端末ある
いはクライアントから呼び出し(関数呼び出しまたは通
信)が発生すると(ステップS1)、アクセス要求か否
か判断する(ステップS2)。アクセス要求であるとア
プリケーション管理情報にそのAID、TYPEがある
か否か判断する(ステップS3)。アプリケーション管
理情報にAID TYPEがある場合、次いで認証処理
(PINが一致か否か)を行い(ステップS4)、PI
Nが一致した場合、アクセス種別に対応した参照(返却
値)を返す(ステップS5)。ステップS4において、
PINが一致しない場合、アプリケーション管理情報の
要求回数を1追加し(ステップS6)、要求回数が規定
値を超えたか否か判断し(ステップS7)、超えた場合
にはアプリケーション管理情報の許可状態フラグを2に
セットし、このアプリケーションのアクセスを閉塞する
(ステップS8)。ステップS2において、アクセス要
求でない場合、アプリケーション管理情報への追加要求
か否か判断する(ステップS9)。追加要求である場
合、アクセス種別から認証レベルを検索し、追加用の認
証レベル2のPINを得る(ステップS10)。次い
で、PINが一致するか否か判断し(ステップS1
1)、一致する場合にはアプリケーション管理情報にA
ID、アクセス種別があるか否か判断し(ステップS1
2)、ない場合にはアプリケーション管理情報に追加
し、許可状態フラグを1にセットする。アプリケーショ
ン管理情報にAIDアクセス種別がある場合には、それ
が閉塞されているか否か判断し(ステップS13)、閉
塞されている場合には処理は終了し、閉塞されていない
場合は許可状態フラグが1にセットされる。FIG. 7 is a diagram showing a flow of processing for adding shared access and application management information. When a call (function call or communication) occurs from an external terminal or a client (step S1), it is determined whether the request is an access request (step S2). If the request is an access request, it is determined whether or not the AID and TYPE are included in the application management information (step S3). If the application management information includes AID TYPE, then authentication processing (whether or not the PINs match) is performed (step S4), and PI
If N matches, a reference (return value) corresponding to the access type is returned (step S5). In step S4,
If the PINs do not match, the request count of the application management information is added by 1 (step S6), and it is determined whether the request count has exceeded a prescribed value (step S7). Is set to 2, and the access of this application is blocked (step S8). If the request is not an access request in step S2, it is determined whether the request is an addition request to the application management information (step S9). If the request is an addition request, the authentication level is searched from the access type, and an additional authentication level 2 PIN is obtained (step S10). Next, it is determined whether the PINs match (step S1).
1) If they match, A is added to the application management information.
It is determined whether there is an ID and an access type (step S1).
2) If not, add it to the application management information and set the permission status flag to 1. If there is an AID access type in the application management information, it is determined whether or not it is blocked (step S13). If it is blocked, the process ends. If not, the permission status flag is set. Set to 1.
【0020】図8は共有アクセス管理の手順を説明する
処理フローである。外部端末かクライアントからアプリ
ケーション管理情報へAID、アクセス種別、許可状態
を追加し(ステップS21)、クライアントが共有アク
セスを求めると(ステップS22)、許可状態が許可で
あるか、かつPINが一致するか否か判断し(ステップ
S23)、これらを満たさない場合はアクセスを不許可
とし、満たす場合には、サーバーはクライアントに許可
されたアクセス種別の関数群へのポインタを返す(ステ
ップS24)。クライアントはサーバーの関数を呼び出
し(ステップS25)、関数(実際はオブジェクト)は
処理を実行する(ステップS26)。この時、すでに許
可済みの関数へのポインタが与えられているので、特に
チェックはせず、処理が実行される。 (第2の実施例)第1の実施例においては、アクセス種
別毎に認証条件が異なり,許可状態になっていると、関
数へのポインタを得た時点で自由にアクセスできるよう
にし、また認証レベル毎に異なるPINを用意するよう
にしていたが、アプリケーションIDとアクセス種別に
対して認証条件を設定してレベル毎に異なるPINを用
意せず、アクセスがあったときに全てのポインタを返
し、各関数の実行時に関数自身が許可状態を参照するよ
うにした例について以下に説明する。FIG. 8 is a processing flow for explaining the procedure of shared access management. The AID, the access type, and the permission status are added to the application management information from the external terminal or the client (step S21). When the client requests the shared access (step S22), whether the permission status is permitted and whether the PINs match. It is determined whether or not these are satisfied (step S23). If these are not satisfied, the access is rejected. If they are satisfied, the server returns a pointer to a function group of the access type permitted to the client (step S24). The client calls a function of the server (step S25), and the function (actually, an object) executes a process (step S26). At this time, since the pointer to the already permitted function has been given, the process is executed without any particular check. (Second Embodiment) In the first embodiment, the authentication conditions are different for each access type, and when the access state is enabled, the access is freely made when the pointer to the function is obtained. Although different PINs were prepared for each level, authentication conditions were set for the application ID and the access type, and different PINs were not prepared for each level, and all pointers were returned when accessed, An example in which the function itself refers to the permission state when each function is executed will be described below.
【0021】図9は共有管理情報を説明する図で、アプ
リケーション管理情報と追加削除認証条件管理情報とか
らなっている。アプリケーション管理情報はAID、ア
クセス種別、許可状態、要求回数、認証条件からなって
おり(図9(a))、追加削除認証条件管理情報は認証
条件(PIN2)と要求回数とからなっている。そして
アプリケーション管理情報はアプリケーション名とアク
セス種別の組単位で追加、削除を可能とし、その際に
は、図9(b)の追加削除認証条件を満たすことが条件
となる。FIG. 9 is a diagram for explaining the shared management information, which is composed of application management information and addition / deletion authentication condition management information. The application management information includes an AID, an access type, a permission state, the number of requests, and an authentication condition (FIG. 9A). The addition / deletion authentication condition management information includes an authentication condition (PIN2) and the number of requests. The application management information can be added or deleted in units of a combination of the application name and the access type. In this case, the condition is that the addition / deletion authentication condition shown in FIG. 9B is satisfied.
【0022】第2の実施例におけるアクセス管理情報の
追加手順について説明する。 端末側から追加削除用認証条件(PIN2)をサーバ
ーアプリケーションに渡す。認証が成功すれば次に進
み、不正なアプリケーションや外部からの不正アクセス
を防ぐため、認証に失敗した場合は要求回数のカウント
を1つ増し、特定の回数に達したら「閉塞」し、それ以
降サーバーアプリケーションへの追加、削除要求を閉塞
する。閉塞解除は行えないか、特定の認証を必要とす
る。 端末側から追加するアプリケーションIDとアクセス
種別、認証パラメータ(PIN1)をサーバーアプリケ
ーションに渡す。サーバーアプリケーションは自分が持
つアプリケーション管理情報にアプリケーションIDと
アクセス種別と認証条件(PIN1)を追加する。A procedure for adding access management information in the second embodiment will be described. The terminal passes the addition / deletion authentication condition (PIN2) to the server application. If the authentication succeeds, proceed to the next step. To prevent unauthorized applications and unauthorized access from outside, if authentication fails, increase the count of the number of requests by one, and when it reaches a specific number of times, "block", and thereafter Block addition / deletion requests to the server application. Unblocking cannot be performed or requires specific authentication. The terminal sends the application ID, the access type, and the authentication parameter (PIN1) to be added to the server application. The server application adds an application ID, an access type, and an authentication condition (PIN1) to its own application management information.
【0023】次にアプリケーション管理情報の削除の手
順について説明する。 端末側から追加削除用認証条件(PIN2)をサーバ
ーアプリケーションに渡す。認証が成功すれば次に進
み、不正なアプリケーションや外部からの不正アクセス
を防ぐため、認証に失敗した場合は要求回数のカウンタ
を1つ増し、特定の回数に達したら「閉塞」し、それ以
降サーバーアプリケーションへの追加削除要求を閉塞す
る。閉塞解除は行えないか、特定の認証を必要とする。 端末側から削除するアプリケーションIDとアクセス
種別、認証パラメータ(PIN1)をサーバーアプリケ
ーションに渡す。 サーバーアプリケーションは自分が持つアプリケーシ
ョン管理情報内からアプリケーションIDとアクセス種
別を検索し、認証条件(PIN1)についてチェックす
る。認証が成功したら、そのアプリケーションIDとア
クセス種別に対する管理情報を削除する。Next, a procedure for deleting the application management information will be described. The terminal passes the addition / deletion authentication condition (PIN2) to the server application. If authentication succeeds, proceed to the next step. To prevent unauthorized applications and unauthorized access from outside, if authentication fails, increment the request counter by one. Block the addition / deletion request to the server application. Unblocking cannot be performed or requires specific authentication. The application ID, the access type, and the authentication parameter (PIN1) to be deleted from the terminal are passed to the server application. The server application searches for the application ID and the access type from its own application management information, and checks the authentication condition (PIN1). If the authentication is successful, the management information for the application ID and the access type is deleted.
【0024】次に、共有アクセス管理の手順について説
明する。 クライアントアプリケーションから直接、またはOS
を通じて共有アクセスを要求し、サーバーアプリケーシ
ョンからは各関数(実際はオブジェクト)への参照ポイ
ンタが返ってくる。 クライアントアプリケーションは上記参照ポインタを
通じてAIDとアクセス種別認証用PINをパラメータ
として送る。 サーバー(実際はサーバーの認証用関数)は管理テー
ブルを参照し、アプリケーションIDとアクセス種別の
組から認証条件を検索し、認証に成功すれば許可フラグ
を立てて許可状態とする。 クライアントはサーバーから共有している各関数を呼
び出しAIDもパラメータとして渡す。 呼び出されたサーバーの各関数は管理テーブルを参照
し、AIDとアクセス種別(各関数はどのアクセス種別
に属するか予め定義されている)に対応する許可フラグ
が「許可」であるか否かをチェックし、許可であれば処
理を実行する。Next, the procedure of the shared access management will be described. Directly from client application or OS
Requests shared access through the server application, and a reference pointer to each function (actually an object) is returned from the server application. The client application sends the AID and the access type authentication PIN as parameters through the reference pointer. The server (actually, the authentication function of the server) refers to the management table, searches for the authentication condition from the set of the application ID and the access type, and sets the permission flag if the authentication is successful, and sets the state to the permission state. The client calls each function shared from the server and passes the AID as a parameter. Each function of the called server refers to the management table and checks whether the permission flag corresponding to the AID and the access type (each function belongs to a predefined access type) is “permitted”. If the permission is granted, the process is executed.
【0025】図10はアプリケーションが持つ共有管理
情報を説明する図で、アプリケーション0がAID1、
2についての管理情報と、追加削除認証条件PIN2=
4321を有していることが示されている。FIG. 10 is a view for explaining the sharing management information possessed by the application.
2 and management information PIN2 = addition / deletion authentication condition
4321 is shown.
【0026】図11はクライアントアプリケーションか
ら共有アクセスを求める例を示す図である。アプリケー
ション1がアプリケーション0に対してアクセス種別1
のアクセス許可をもとめている様子を示しており、サー
バーとなるアプリケーション0はAIDとアクセス種別
の組から認証PINを検索し、PIN1がそれぞれ12
34で、正しいことを確認する。PIN1が一致したの
で、AID1、TYPE1について許可状態フラグを1
としている(図12)。FIG. 11 is a diagram showing an example of requesting shared access from a client application. Application 1 accesses application 0 with access type 1
The application 0 serving as the server searches for the authentication PIN from the set of the AID and the access type.
At 34, it is confirmed that it is correct. Since the PIN1s match, the permission status flag is set to 1 for AID1 and TYPE1.
(FIG. 12).
【0027】図13は共有アクセスに失敗した例を示す
図である。アプリケーション1がアプリケーション0に
対してアクセス種別1のアクセス許可を求めており、サ
ーバーとなるアプリケーション0はAID1とアクセス
種別1のPIN1が1234であり、アプリケーション
1が提示してきたPIN1が4321であるので、認証
が成立せず共有アクセス許可を出さない。FIG. 13 is a diagram showing an example in which shared access has failed. The application 1 requests the access permission of the access type 1 to the application 0, and the application 0 serving as the server has the AID1 and the PIN1 of the access type 1 of 1234, and the PIN1 presented by the application 1 is 4321. Authentication is not established and sharing access permission is not issued.
【0028】図14は共有管理情報にアプリケーション
を追加する例を示す図である。アプリケーション3がア
プリケーション0に対してアクセス種別2とそれに対応
する認証パラメータPIN1、PIN2をサーバーとな
るアプリケーション0に送る。アプリケーション0のア
クセス権を追加するのに必要な認証条件(PIN2)に
ついて認証し、アプリケーション3から送られてくるP
IN2=4321がアプリケーション0の持つPIN2
=4321と一致するので、AID=3、TYPE=
2、PIN1=9876を図15に示すように追加す
る。FIG. 14 is a diagram showing an example of adding an application to the shared management information. The application 3 sends the access type 2 and the corresponding authentication parameters PIN1 and PIN2 to the application 0 to the application 0. The authentication condition (PIN2) necessary to add the access right of application 0 is authenticated, and the P sent from application 3 is authenticated.
IN2 = 4321 is PIN2 of application 0
= 4321, so AID = 3, TYPE =
2. PIN1 = 9876 is added as shown in FIG.
【0029】図16は第2の実施例の処理フローを示す
図である。FIG. 16 is a diagram showing a processing flow of the second embodiment.
【0030】外部からの呼び出しが発生すると(ステッ
プS31)、共有アクセスの認証要求か否か判断する
(ステップS32)。共有アクセス認証要求である場
合、アプリケーション管理情報にそのAID、アクセス
種別があるか否か判断する(ステップS33)。ある場
合にそれが閉塞されていないか否か判断し(ステップS
34)、閉塞されていない場合、PINが一致するか否
か判断する(ステップS35)。PINが一致すると、
AIDとアクセス種別に対応した認証フラグを立てる
(ステップS36)。ステップS35において、PIN
が一致していないと、アプリケーション管理情報の要求
回数を1増加させ(ステップS37)、次いで要求回数
が規定値を超えたか否か判断し(ステップS38)、超
えている場合アプリケーション管理情報の該当するAI
Dとアクセス種別のフラグを2にセットし、閉塞する
(ステップS39)。ステップS32において、共有ア
クセス認証の要求でない場合、共有している関数の呼び
出し要求か否か判断する(ステップS40)。関数の呼
び出し要求であると、呼ばれた関数のアクセス種別をセ
ットし(ステップS41)、次いでアプリケーション管
理情報にそのAIDとアクセス種別があるか否か判断し
(ステップS42)、ある場合にそれが閉塞されていな
いか否か判断する(ステップS43)。閉塞されていな
い場合には、認証フラグが立っているか否か判断し(ス
テップS44)、認証フラグが立っていると呼ばれた関
数の処理を実行する(ステップS45)。When an external call is made (step S31), it is determined whether the request is a shared access authentication request (step S32). If the request is a shared access authentication request, it is determined whether the AID and the access type are included in the application management information (step S33). If there is, it is determined whether or not it is blocked (step S
34) If not blocked, it is determined whether the PINs match (step S35). If the PIN matches,
An authentication flag corresponding to the AID and the access type is set (step S36). In step S35, the PIN
If they do not match, the number of requests for application management information is increased by 1 (step S37), and it is then determined whether the number of requests exceeds a prescribed value (step S38). AI
D and the flag of the access type are set to 2 and closed (step S39). If the request is not a request for shared access authentication in step S32, it is determined whether the request is a call for a shared function (step S40). If the request is a function call request, the access type of the called function is set (step S41), and it is determined whether or not the application management information includes the AID and the access type (step S42). It is determined whether it is not blocked (step S43). If not closed, it is determined whether or not the authentication flag is set (step S44), and processing of a function called that the authentication flag is set is executed (step S45).
【0031】図17は第2の実施例における共有アクセ
ス管理の手順を示す処理フローである。外部端末からア
プリケーション管理情報へAID、アクセス種別が追加
(ステップS51)されたクライアントアプリケーショ
ンはサーバーアプリケーションの関数群のポインタを得
ることができる(ステップS52)。このクライアント
アプリケーションが共有アクセスの要求を行うと(ステ
ップS53)、サーバーアプリケーションはPINが一
致するか否か判断し(ステップS54)、PINが一致
するとアプリケーション管理情報の許可状態を「許可」
にし(ステップS55)、一致しなければ不許可とす
る。次いで、クライアントアプリケーションがサーバー
アプリケーションの関数を呼び出すと(ステップS5
6)、この関数のアクセス種別が許可状態にあるか否か
アプリケーション管理情報を参照して判断し(ステップ
S57)、許可状態にあれば関数は処理を実行し、許可
状態でなければアクセス不許可となる。FIG. 17 is a processing flow chart showing the procedure of shared access management in the second embodiment. The client application in which the AID and the access type are added to the application management information from the external terminal (step S51) can obtain the pointer of the function group of the server application (step S52). When the client application makes a request for shared access (step S53), the server application determines whether the PINs match (step S54). If the PINs match, the permission state of the application management information is set to “permitted”.
(Step S55), and if they do not match, it is rejected. Next, when the client application calls the function of the server application (step S5)
6), it is determined by referring to the application management information whether the access type of this function is in the permitted state (step S57). If the function is in the permitted state, the function executes the process. Becomes
【0032】[0032]
【発明の効果】以上のように、本発明によれば、複数の
アプリケーションを搭載可能な携帯可能情報処理装置に
おける共有アクセス管理において、当初想定していなか
ったアプリケーションの追加や削除に対しても正しくア
クセス種別の許可/不許可を管理でき、機能やデータを
アクセス可能/不可能とすることが可能である。また、
不正なアプリケーションからの共有アクセスを防ぎ、不
正な共有アクセス権の取得を防ぐことが可能となる。As described above, according to the present invention, in the shared access management in a portable information processing apparatus capable of mounting a plurality of applications, it is possible to correctly correct addition or deletion of an application that was not initially supposed. Permission / non-permission of the access type can be managed, and functions and data can be made accessible / impossible. Also,
It is possible to prevent sharing access from an unauthorized application and prevent unauthorized acquisition of a sharing access right.
【図面の簡単な説明】[Brief description of the drawings]
【図1】 ICカードに搭載される各アプリケーション
が持つ共有管理情報を説明する図である。FIG. 1 is a diagram illustrating shared management information possessed by each application mounted on an IC card.
【図2】 各アプリケーションが持つ共有管理情報を説
明する図である。FIG. 2 is a diagram illustrating shared management information possessed by each application.
【図3】 クライアントアプリケーションから共有アク
セスを求める例を説明する図である。FIG. 3 is a diagram illustrating an example of requesting shared access from a client application.
【図4】 共有アクセスに失敗する例を示す図である。FIG. 4 is a diagram illustrating an example in which shared access fails.
【図5】 共有管理情報にアプリケーションを追加する
例を示す図である。FIG. 5 is a diagram illustrating an example of adding an application to shared management information.
【図6】 共有管理情報にアプリケーションが追加され
た例を示す図である。FIG. 6 is a diagram illustrating an example in which an application is added to the shared management information.
【図7】 共有アクセスとアプリケーション管理情報の
追加処理フローを示す図である。FIG. 7 is a diagram showing a shared access and application management information addition processing flow.
【図8】 共有アクセス管理の手順を説明する処理フロ
ー図である。FIG. 8 is a process flowchart illustrating a procedure of shared access management.
【図9】 共有管理情報を説明する図である。FIG. 9 is a diagram illustrating shared management information.
【図10】 アプリケーションが持つ共有管理情報を説
明する図である。FIG. 10 is a diagram illustrating shared management information possessed by an application.
【図11】 クライアントアプリケーションから共有ア
クセスを求める例を示す図である。FIG. 11 is a diagram illustrating an example of requesting shared access from a client application.
【図12】 認証済みフラグが立つ例を示す図である。FIG. 12 is a diagram illustrating an example in which an authenticated flag is set.
【図13】 共有アクセスに失敗した例を示す図であ
る。FIG. 13 is a diagram illustrating an example in which shared access has failed.
【図14】 共有管理情報にアプリケーションを追加す
る例を示を図である。FIG. 14 is a diagram illustrating an example of adding an application to shared management information.
【図15】 共有管理情報にアプリケーションが追加さ
れた例の図である。FIG. 15 is a diagram illustrating an example in which an application is added to the shared management information.
【図16】 第2の実施例の処理フローを示す図であ
る。FIG. 16 is a diagram showing a processing flow of the second embodiment.
【図17】 第2の実施例の共有アクセス管理の手順の
処理フローを示す図である。FIG. 17 is a diagram illustrating a processing flow of a procedure of shared access management according to the second embodiment;
AID…アプリケーションID、TYPE…アクセス種
別。AID: Application ID, TYPE: Access type.
Claims (11)
を搭載可能で、各アプリケーション間での共有アクセス
が可能な携帯可能な情報処理装置において、各アプリケ
ーション(サーバーアプリケーション)が共有管理情報
を有し、他のアプリケーション(クライアントアプリケ
ーション)からのアクセス要求があったとき共有管理情
報に基づいてアクセスの許可/不許可を判断することを
特徴とする共有アクセス管理機能を備えた携帯可能な情
報処理装置。In a portable information processing apparatus capable of mounting a plurality of rewritable applications and enabling shared access between the applications, each application (server application) has sharing management information, A portable information processing apparatus having a shared access management function, characterized in that when there is an access request from an application (client application), permission / non-permission of access is determined based on the shared management information.
管理情報、アクセス管理情報、認証管理情報からなるこ
とを特徴とする請求項1記載の携帯可能な情報処理装
置。2. The portable information processing apparatus according to claim 1, wherein the shared management information includes application management information, access management information, and authentication management information.
アントアプリケーションを特定するためのIDごとのア
クセス種別、前記IDとアクセス種別に対する許可状態
を示す情報、アクセス種別ごとの認証に失敗した要求回
数からなることを特徴とする請求項2記載の携帯可能な
情報処理装置。3. The application management information includes an access type for each ID for identifying a client application, information indicating a permission state for the ID and the access type, and the number of requests for which authentication failed for each access type. 3. The portable information processing apparatus according to claim 2, wherein
ごとの認証レベル、アクセスしたクライアントアプリケ
ーションに返す返却値からなることを特徴する請求項2
記載の携帯可能な情報処理装置。4. The apparatus according to claim 2, wherein the access management information includes an authentication level for each access type and a return value returned to the accessed client application.
The portable information processing apparatus according to the above.
たアクセス認証条件と追加削除認証条件からなることを
特徴とする請求項2記載の携帯可能な情報処理装置。5. The portable information processing apparatus according to claim 2, wherein the authentication management information includes an access authentication condition and an addition / deletion authentication condition according to an authentication level.
管理情報、追加削除認証条件管理情報からなることを特
徴とする請求項1記載の携帯可能な情報処理装置。6. The portable information processing apparatus according to claim 1, wherein the shared management information includes application management information and additional / deleted authentication condition management information.
アントアプリケーションを特定するためのIDごとのア
クセス種別、前記IDとアクセス種別に対する許可状態
を示す情報、アクセス種別ごとの認証に失敗した要求回
数、アクセス認証条件からなることを特徴とする請求項
6記載の携帯可能な情報処理装置。7. The application management information includes: an access type for each ID for specifying a client application; information indicating a permission state for the ID and the access type; the number of requests that failed in authentication for each access type; and access authentication conditions. 7. The portable information processing apparatus according to claim 6, wherein:
削除認証条件と要求回数からなることを特徴とする請求
項6記載の携帯可能な情報処理装置。8. The portable information processing apparatus according to claim 6, wherein the additional deletion authentication condition management information includes an additional deletion authentication condition and a request count.
可状態を閉塞にして以後のアクセスを受けつけないこと
を特徴とする請求項3、7または8記載の携帯可能な情
報処理装置。9. The portable information processing apparatus according to claim 3, wherein when the number of requests exceeds a prescribed value, the permission state is closed and no further access is accepted.
共有アクセスがあったとき、許可状態を示す情報が許可
状態であり、かつ認証が成立したことを条件に、サーバ
ーアプリケーションは許可状態にあるアクセス種別の関
数群及び/又はオブジェクトのポインタを渡し、クライ
アントアプリケーションはサーバーの関数を呼び出し、
関数は処理を実行することを特徴とする請求項3記載の
携帯可能な情報処理装置。10. When there is a shared access from a client application, a condition indicating that the information indicating the permission state is the permission state and the authentication is established, the server application executes the function group of the access type in the permission state and Passing the object pointer, the client application calls a server function,
4. The portable information processing apparatus according to claim 3, wherein the function executes a process.
理情報へアプリケーションID、アクセス種別が追加さ
れ、サーバーアプリケーションの関数群及び/又はオブ
ジェクトのポインタを獲得したクライアントアプリケー
ションから共有アクセスがあったとき、認証が成立した
ことを条件にサーバーアプリケーションはアプリケーシ
ョン管理情報の許可状態情報を許可とし、クライアント
アプリケーションがサーバーアプリケーションの関数を
呼び出すと、当該関数のアクセス種別が許可状態か否か
アプリケーション管理情報を参照して判断し、許可状態
にあることを条件に関数は処理を実行することを特徴と
する請求項7記載の携帯可能な情報処理装置。11. The authentication is established when an application ID and an access type are added from the external terminal device to the application management information, and there is a shared access from a client application that has acquired a function group of a server application and / or a pointer to an object. On the condition that the server application permits the permission state information of the application management information, and when the client application calls a function of the server application, it determines whether or not the access type of the function is the permission state by referring to the application management information, 8. The portable information processing apparatus according to claim 7, wherein the function executes a process on condition that the function is in a permission state.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000268676A JP4548758B2 (en) | 2000-09-05 | 2000-09-05 | Portable information processing device with shared access management function |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000268676A JP4548758B2 (en) | 2000-09-05 | 2000-09-05 | Portable information processing device with shared access management function |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002073196A true JP2002073196A (en) | 2002-03-12 |
| JP4548758B2 JP4548758B2 (en) | 2010-09-22 |
Family
ID=18755423
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000268676A Expired - Fee Related JP4548758B2 (en) | 2000-09-05 | 2000-09-05 | Portable information processing device with shared access management function |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4548758B2 (en) |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003216914A (en) * | 2002-01-23 | 2003-07-31 | Dainippon Printing Co Ltd | Ic card with shared access monitoring function |
| JP2004030532A (en) * | 2002-06-28 | 2004-01-29 | Dainippon Printing Co Ltd | Ic card and ic card program |
| JP2004029945A (en) * | 2002-06-21 | 2004-01-29 | Dainippon Printing Co Ltd | Ic card and ic card program |
| JP2004157924A (en) * | 2002-11-08 | 2004-06-03 | Toshiba Corp | Portable electronic device |
| JP2004272595A (en) * | 2003-03-07 | 2004-09-30 | Ntt Docomo Inc | Communication system, server, mobile apparatus, program, and recording medium |
| JP2005044009A (en) * | 2003-07-24 | 2005-02-17 | Hitachi Ltd | Protection method for portable information, portable terminal device, and server device |
| JP2005129066A (en) * | 2003-10-24 | 2005-05-19 | Microsoft Corp | Operating system resource protection |
| JP2005173939A (en) * | 2003-12-10 | 2005-06-30 | Ntt Docomo Inc | Electronic equipment, receiving apparatus, and program |
| JP2005190184A (en) * | 2003-12-25 | 2005-07-14 | Canon Inc | Authentication system, information recording medium, authentication method, program |
| JP2005258924A (en) * | 2004-03-12 | 2005-09-22 | Canon Inc | Information processing apparatus, control method therefor, and image forming system |
| JP2005354529A (en) * | 2004-06-11 | 2005-12-22 | Ntt Docomo Inc | Moving machine, and access controlling method |
| JP2006172398A (en) * | 2004-12-20 | 2006-06-29 | Canon Inc | Data processor, authentication processing method, and computer program |
| JP2007526573A (en) * | 2004-03-04 | 2007-09-13 | アクサルト・エス・アー | Secure resource sharing between applications in independent execution environments within a retrieveable token (eg smart card) |
| WO2007119594A1 (en) * | 2006-03-31 | 2007-10-25 | Matsushita Electric Industrial Co., Ltd. | Secure device and read/write device |
| US7357313B2 (en) | 2005-09-15 | 2008-04-15 | Hitachi, Ltd. | Information processor-based service providing system and method |
| JP2008139923A (en) * | 2006-11-30 | 2008-06-19 | Dainippon Printing Co Ltd | Ic card having shared object, access management method to shared object and ic card program |
| JP2009146199A (en) * | 2007-12-14 | 2009-07-02 | Sony Corp | Information processing device, disc, information processing method, and program |
| JP2009301558A (en) * | 2002-07-19 | 2009-12-24 | Ricoh Co Ltd | Image forming apparatus, wrapping processing method and program |
| WO2011074168A1 (en) * | 2009-12-14 | 2011-06-23 | パナソニック株式会社 | Information processing apparatus |
| JP2011150709A (en) * | 2003-12-22 | 2011-08-04 | Oracle America Inc | System for using configurable firewall, method, portable computing apparatus, and computer readable medium |
| JP2015102902A (en) * | 2013-11-21 | 2015-06-04 | 株式会社東芝 | IC card |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000172490A (en) * | 1998-12-01 | 2000-06-23 | Toshiba Corp | Ic card issuing system, ic card processing system, and ic card |
| JP2002503007A (en) * | 1998-02-03 | 2002-01-29 | モンデックス インターナショナル リミテッド | System and method for controlling access to computer code in an IC card |
-
2000
- 2000-09-05 JP JP2000268676A patent/JP4548758B2/en not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002503007A (en) * | 1998-02-03 | 2002-01-29 | モンデックス インターナショナル リミテッド | System and method for controlling access to computer code in an IC card |
| JP2000172490A (en) * | 1998-12-01 | 2000-06-23 | Toshiba Corp | Ic card issuing system, ic card processing system, and ic card |
Cited By (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003216914A (en) * | 2002-01-23 | 2003-07-31 | Dainippon Printing Co Ltd | Ic card with shared access monitoring function |
| JP2004029945A (en) * | 2002-06-21 | 2004-01-29 | Dainippon Printing Co Ltd | Ic card and ic card program |
| JP2004030532A (en) * | 2002-06-28 | 2004-01-29 | Dainippon Printing Co Ltd | Ic card and ic card program |
| JP2009301558A (en) * | 2002-07-19 | 2009-12-24 | Ricoh Co Ltd | Image forming apparatus, wrapping processing method and program |
| JP2004157924A (en) * | 2002-11-08 | 2004-06-03 | Toshiba Corp | Portable electronic device |
| JP2004272595A (en) * | 2003-03-07 | 2004-09-30 | Ntt Docomo Inc | Communication system, server, mobile apparatus, program, and recording medium |
| JP2005044009A (en) * | 2003-07-24 | 2005-02-17 | Hitachi Ltd | Protection method for portable information, portable terminal device, and server device |
| JP2005129066A (en) * | 2003-10-24 | 2005-05-19 | Microsoft Corp | Operating system resource protection |
| JP4580164B2 (en) * | 2003-12-10 | 2010-11-10 | 株式会社エヌ・ティ・ティ・ドコモ | Electronic equipment and programs |
| JP2005173939A (en) * | 2003-12-10 | 2005-06-30 | Ntt Docomo Inc | Electronic equipment, receiving apparatus, and program |
| JP2011150709A (en) * | 2003-12-22 | 2011-08-04 | Oracle America Inc | System for using configurable firewall, method, portable computing apparatus, and computer readable medium |
| JP2005190184A (en) * | 2003-12-25 | 2005-07-14 | Canon Inc | Authentication system, information recording medium, authentication method, program |
| US7461252B2 (en) | 2003-12-25 | 2008-12-02 | Canon Kabushiki Kaisha | Authentication method, program for implementing the method, and storage medium storing the program |
| JP2013065340A (en) * | 2004-03-04 | 2013-04-11 | Gemalto Sa | Resource sharing protected by security between applications in independent execution environments in retrievable token such as smart card |
| JP2007526573A (en) * | 2004-03-04 | 2007-09-13 | アクサルト・エス・アー | Secure resource sharing between applications in independent execution environments within a retrieveable token (eg smart card) |
| US8321923B2 (en) | 2004-03-04 | 2012-11-27 | Gemalto Sa | Secure sharing of resources between applications in independent execution environments in a retrievable token (e.g. smart card) |
| JP2005258924A (en) * | 2004-03-12 | 2005-09-22 | Canon Inc | Information processing apparatus, control method therefor, and image forming system |
| JP2005354529A (en) * | 2004-06-11 | 2005-12-22 | Ntt Docomo Inc | Moving machine, and access controlling method |
| US8001375B2 (en) | 2004-06-11 | 2011-08-16 | Ntt Docomo, Inc. | Mobile device, and access control method |
| WO2005121975A1 (en) * | 2004-06-11 | 2005-12-22 | Ntt Docomo, Inc. | Mobile device, and access control method |
| JP4745657B2 (en) * | 2004-12-20 | 2011-08-10 | キヤノン株式会社 | Data processing apparatus, authentication processing method, and computer program |
| JP2006172398A (en) * | 2004-12-20 | 2006-06-29 | Canon Inc | Data processor, authentication processing method, and computer program |
| US7357313B2 (en) | 2005-09-15 | 2008-04-15 | Hitachi, Ltd. | Information processor-based service providing system and method |
| JP2007293826A (en) * | 2006-03-31 | 2007-11-08 | Matsushita Electric Ind Co Ltd | Secure device and reader/writer |
| WO2007119594A1 (en) * | 2006-03-31 | 2007-10-25 | Matsushita Electric Industrial Co., Ltd. | Secure device and read/write device |
| US8366007B2 (en) | 2006-03-31 | 2013-02-05 | Panasonic Corporation | Secure device and reader-writer |
| JP2008139923A (en) * | 2006-11-30 | 2008-06-19 | Dainippon Printing Co Ltd | Ic card having shared object, access management method to shared object and ic card program |
| JP2009146199A (en) * | 2007-12-14 | 2009-07-02 | Sony Corp | Information processing device, disc, information processing method, and program |
| US8270275B2 (en) | 2007-12-14 | 2012-09-18 | Sony Corporation | Information processing device, disc, information processing method, and program |
| WO2011074168A1 (en) * | 2009-12-14 | 2011-06-23 | パナソニック株式会社 | Information processing apparatus |
| JPWO2011074168A1 (en) * | 2009-12-14 | 2013-04-25 | パナソニック株式会社 | Information processing device |
| JP5631334B2 (en) * | 2009-12-14 | 2014-11-26 | パナソニック株式会社 | Information processing device |
| JP2015102902A (en) * | 2013-11-21 | 2015-06-04 | 株式会社東芝 | IC card |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4548758B2 (en) | 2010-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2002073196A (en) | Portable information processor provided with shared access managing function | |
| US11968208B2 (en) | Architecture having a protective layer at the data source | |
| US10055561B2 (en) | Identity risk score generation and implementation | |
| CN112637214B (en) | Resource access method and device and electronic equipment | |
| US8510818B2 (en) | Selective cross-realm authentication | |
| US8412928B1 (en) | One-time password authentication employing local testing of candidate passwords from one-time password server | |
| WO2019231578A1 (en) | Securing access to confidential data using a blockchain ledger | |
| CN107196951A (en) | The implementation method and firewall system of a kind of HDFS systems fire wall | |
| CN104639650B (en) | A kind of fine granularity distributed interface access control method and device | |
| US11863557B2 (en) | Sidecar architecture for stateless proxying to databases | |
| CN112948842A (en) | Authentication method and related equipment | |
| US20070005600A1 (en) | Security execution context for a database management system | |
| US7743255B2 (en) | Trust model for a database management system supporting multiple authorization domains | |
| CN115987696A (en) | Block chain structure-based zero-trust security gateway implementation method and device | |
| CN115913676B (en) | Access control method and device for cloud native application, electronic equipment and storage medium | |
| CN115795493A (en) | Access control policy deployment method, related device and access control system | |
| JP3594075B2 (en) | User authentication method and device | |
| US8875300B1 (en) | Method and apparatus for authenticating a request between tasks in an operating system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070511 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100108 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100205 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100318 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100416 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100611 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100702 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100702 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130716 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |