JP2002535772A - 小面積装置において実行時環境特権を使用してコンテキスト障壁を横断するアクセスを許可する技術 - Google Patents

小面積装置において実行時環境特権を使用してコンテキスト障壁を横断するアクセスを許可する技術

Info

Publication number
JP2002535772A
JP2002535772A JP2000595238A JP2000595238A JP2002535772A JP 2002535772 A JP2002535772 A JP 2002535772A JP 2000595238 A JP2000595238 A JP 2000595238A JP 2000595238 A JP2000595238 A JP 2000595238A JP 2002535772 A JP2002535772 A JP 2002535772A
Authority
JP
Japan
Prior art keywords
context
applet
access
jcre
card
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000595238A
Other languages
English (en)
Other versions
JP5132853B2 (ja
Inventor
ジョシュア サッサー
ミッチェル ビー バトラー
アンディー ストレイチ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Microsystems Inc
Original Assignee
Sun Microsystems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sun Microsystems Inc filed Critical Sun Microsystems Inc
Publication of JP2002535772A publication Critical patent/JP2002535772A/ja
Application granted granted Critical
Publication of JP5132853B2 publication Critical patent/JP5132853B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/468Specific access rights for resources, e.g. using capability register
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Storage Device Security (AREA)
  • Length Measuring Devices With Unspecified Measuring Means (AREA)
  • Details Of Garments (AREA)
  • Surgical Instruments (AREA)
  • Devices For Executing Special Programs (AREA)

Abstract

(57)【要約】 【課題】 スマート・カードなどの小面積装置において、プログラムの実行を隔離するコンテキスト障壁を含むことにより、関係の無いベンダーからの複数のプログラムを安全に実行する構成を提供する。 【解決手段】 コンテキスト障壁が、プリンシパル及びオブジェクトが同じコンテキスト内にあるか、又は要求されたアクションが操作されるべきオブジェクトに対して認証されているかを検査するセキュリテイ検査を実行する。各プログラム又は1組のプログラムは分離されたコンテキスト内で実行される。しかし、1つのコンテキストがコンテキスト障壁の制約無く、全てのプログラム・モジュールにアクセスできる。

Description

【発明の詳細な説明】
【0001】 関連出願の相互参照 本出願は、1997年4月15日に出願された米国特許出願シリアル番号08
/839.621、発明の名称「セキュリテイ分配バイト・コード確証を有する
仮想マシン」、発明者モシュ・レビイとジュデイ・シュワブ(ドケット番号50
253−221/P3263)の関連出願である。 本出願は、1999年1月22日に出願された米国特許出願シリアル番号09
/235.158、発明の名称「小面積装置においてコンテキスト障壁を使用し
てセキュリテイを実施する技術」、発明者ジョシュア・スーサーとミシェル・ビ
ー・バットラー及びアンデイ・ストレイヒ(ドケット番号50253−216/
P3708)の関連出願でもある。 本出願は、1999年1月22日に出願された米国特許出願シリアル番号09
/235.155、発明の名称「小面積装置において入口点オブジェクトを使用
してコンテキスト障壁を横断するアクセスを許可する技術」、発明者ジョシュア
・スーサーとミシェル・ビー・バットラー及びアンデイ・ストレイヒ(ドケット
番号50253−217/P3709)の関連出願でもある。 本出願は、1999年1月22日に出願された米国特許出願シリアル番号09
/235.156、発明の名称「小面積装置においてグローバル・データ構造を
使用してコンテキスト障壁を横断するアクセスを許可する技術」、発明者ジョシ
ュア・スーサーとミシェル・ビー・バットラー及びアンデイ・ストレイヒ(ドケ
ット番号50253−219/P3711)の関連出願でもある。 本出願は、1999年1月22日に出願された米国特許出願シリアル番号09
/235.159、発明の名称「小面積装置において共有可能インターフエイス
を使用してコンテキスト障壁を横断するアクセスを許可する技術」、発明者ジョ
シュア・スーサーとミシェル・ビー・バットラー及びアンデイ・ストレイヒ(ド
ケット番号50253−220/P3712)の関連出願でもある。
【0002】 発明の背景 発明の属する技術分野 本発明は、コンピュータ・セキュリテイに関し、より詳細には、スマート・カ
ードなどの小面積装置にセキュリテイを施す技術に関する。
【0003】従来の技術 いくつかのオブジェクト指向プログラミング言語が、当業者に良く知られてい
る。これらの例は、C++言語及びスモールトーク言語を含む。
【0004】 別のこのようなオブジェクト言語は、ジャバ(JAVA)(登録商標)言語で
ある。この言語は、アディソン−ウェズレイから出版されたジェームス・ゴスリ
ング等による本、「ジャバ(商標)言語仕様」に記載されている。ジャバ(商標
)言語は特に、ジャバ(商標)仮想マシン上で動作するのに適している。このよ
うなマシンが同じくアディソン−ウェズレイから出版されたティム・リンドホル
ム及びフランク・イェリンによる本、「ジャバ(商標)仮想マシン」に記載され
ている。
【0005】 いくつかの小面積装置が当業者には良く知られている。これらの小面積装置は
、スマート・カード、セルラー・ホン、及びその他の小面積又はミニアチュアの
装置を含む。
【0006】 スマート・カードは、形と大きさがクレジット・カードに似ているが、典型的
に、カード中にデータ処理機能及びそれを介してスマート・カードとプログラム
、データ、その他の通信を達成する1組の接点を含む。典型的に、1組の接点は
、クロック入力、リセット入力及びそれを介してデータ通信が達成できるデータ
・ポートと、電源接続と、戻りとを含む。
【0007】 カード受入装置を使用して、情報がスマート・カードに書込まれ、そしてスマ
ート・カードから読み出される。カード受入装置は典型的に、ホスト・コンピュ
ータに取付けられた周辺装置であり、スマート・カードがその中に挿入できるス
ロットなどのカード・ポートを含む。一旦、挿入されると、コネクターからの接
点又はブラシがスマート・カードの表面接続領域に当接して、電源を供給し、そ
して、スマート・カード上に典型的に見出されるプロセッサー及びメモリとの通
信を許容する。
【0008】 スマート・カード及びカード受入装置(CAD)は、広範囲な標準化努力、例
えば、ISO7816、の主題である。
【0009】 フアイヤウォールを使用して、認証されたユーザを認証されていないユーザか
ら分離することは、ネットワーク環境では良く知られている。このようなフアイ
ヤウォールは、発明者デビッド・ブランウェルの名前で1998年12月1日に
出願された米国特許出願シリアル番号09/203,719、名称「認証された
フアイヤウォール通過フレームワーク」(ドケット番号50435−023/P
2789/TJC)に記載されている。
【0010】 完全なジャバ(商標)プラットホームの能力の小組が、スマート・カードなど
の小面積装置のために定義されている。この小組は、ジャバ・カード(商標)プ
ラットホームと呼ばれている。ジャバ・カード(商標)プラットホームの使用は
以下の刊行物に記載されている。
【0011】 ジャバ・カード(商標)2.0−−言語セット及び仮想マシン仕様 ジャバ・カード(商標)2.1−−アプリケーション・プログラミング・イン
ターフエイス ジャバ・カード(商標)2.0−−プログラミング・コンセプト ジャバ・カード(商標)アプレット開発者ガイド ISO7816−−部分11の作業ドラフトが、批評を受けるため回覧されて
いる。そのドラフトは、スマート・カード上で動作するための別の実行コンテキ
ストを可能にする標準を特定している。
【0012】 実行コンテキストの一般概念はコンピュータ科学では良く知られている。一般
に、計算環境内で複数実行コンテキストを使用することは、各々が他から不適当
な干渉無しに動作できるように、互いに異なるプログラム・モジュール又はプロ
セスを分離又は隔離するための方法を提供する。異なるコンテキスト間の相互作
用はもしあれば、偶然というよりは熟考されて、各コンテキストの完全性を保全
するために注意深く制御される。複数コンテキストの一例が、複数の仮想マシン
が定義されて、各仮想マシンがそれ自身の実行コンテキストを有すメインフレー
ムなどのより大きなハードウェア装置に見られる。別の例として、発明者デジョ
ングの米国特許番号第5,802,519号が、スマート・カード上での複数実
行テキストの使用を開示している。当業者には理解されるように、複数実行コン
テキストを提供する計算環境はさらにある与えられた実行コードとそれに対応す
るコンテキストとを関連付けるための機構を与える必要がある。
【0013】 現在コンテキストも周知の一般概念である。複数コンテキストを支援するある
計算環境は、いかなる時点において、1つのコンテキストを特に計算の能動的集
中として取扱う。このコンテキストは「現在コンテキスト」と呼ばれる。その他
のあるコンテキストが現在コンテキストとなるために、現在コンテキストが変化
する時、「コンテキスト切換え」が発生すると言われる。当業者には理解される
ように、これらの計算環境は、コンテキスト切換えを容易にするため、どのコン
テキストが現在のものであるかを記録するための機構を提供する。
【0014】 従来技術において、小面積装置の世界、特に、スマート・カードの世界におい
ては、小面積装置上で動作するコンテキスト間の相互動作は存在しなかった。各
コンテキストは完全に分離されて動作し、そして異なるコンテキスト中の他のア
プリケーション又はプロセスに影響を与えることなく、そのコンテキスト空間内
で動作又は故障する。
【0015】 ジャバ(商標)プラットホームに用いられるセキュリテイ保護の1つの層は普
通、砂箱モデルと呼ばれる。信用されないコードは「砂箱」内に置かれて、完全
なジャバ(商標)環境又は「現実世界」にどんな損傷も与えることなく、安全に
「遊ぶ」ことができる。このような環境において、ジャバ(商標)アプレットは
通信をせず、しかし、各々はそれ自身の名前の空間を有する。
【0016】 いくつかのスマート・カードのオペレーティング・システムは実行コンテキス
トが直接に通信することを許さず、オペレーティング・システム又はサーバーを
介しての通信を許す。
【0017】問題 小面積装置上にコンピュータ・プログラム及び他の情報を置くことを試みる時
、いくつかの問題が存在する。1つの大きな問題は大変に制限されたメモリ空間
の存在である。これはしばしば必要な機能をメモリ空間内に与えるために非常に
大きな努力を要する。
【0018】 小面積装置に関連した第2の問題は、異なる小面積装置の製造業者は異なるオ
ペレーテイング・システムを使用することができるという事実である。この結果
、1つのオペレーテイング・システムのために開発されたアプリケーションは必
ずしも、異なる製造業者により製造された小面積装置にポータブルではない。
【0019】 もし、複数のプログラム・ソース(製造業者又はベンダー)からのプログラム
が1つの小面積装置に適用されるならば、セキュリテイが、新しいプログラムを
その小面積装置にロードする時に、既存のプログラム及びデータの劣化を回避す
る1つの試みとしてのファクターとなる。同じ関心が、ハッカー又は悪意ある人
間がプログラム及びデータをアクセスすることを防ぐ時に、存在する。
【0020】 スマート・カードなどの小面積装置は、分離した仮想マシンを実現するために
必要な資源を有しないことは明らかである。それにもかかわらず、別個の実行コ
ンテキスト間で厳格なセキュリテイを維持することが望まれる。
【0021】 従来は、セキュリテイが、スマート・カード又はその他の小面積装置上に同じ
ソース又は既知の信頼されるソースからのアプリケーションのみがロードされる
ことにより与えられていた。
【0022】 従って、プログラマーに不適当な重荷を課さない高速で効率的なピア・ツー・
ピア通信を介した安全な方法のみにより選択された実行コンテキスト間のオブジ
ェクト指向相互作用を可能にし、しかし、信用できないソースにより異なる時に
書かれたアプレットの動的なローディングを容易にすることが望まれる。
【0023】 発明の開示 本発明は、1つのコンテキストを他から隔離及び分離を与えるためのコンテキ
スト障壁(時々、フアイヤウォールと呼ばれる)を提供し、必要な時に障壁を横
断して制御されたアクセスを提供することに関する。
【0024】 本発明によれば、例えば、各々が1又は複数のアプレットを含み、同じ論理(
すなわち、仮想又は現実)マシンで実行され、互いに保護された、2つの実行コ
ンテキストが、オブジェクト指向言語機構などの言語機構を使用して、制御され
た安全な方法で情報を共有できる。例えば、セキュリテイはオブジェクトごとに
できる。このように、第1実行コンテキスト内のメソッドは第2実行コンテキス
ト内の第1オブジェクトAにアクセスすることができるが、第2実行コンテキス
ト内の第2オブジェクトBには選択的なベースでアクセスできない。
【0025】 1つの例示的な実施の形態によれば、増強されたジャバ(商標)仮想マシン(
VM)は、VM内で実行コンテキストを横断するアクセスの試みについてある実
行時検査を提供する。検査は、VMにより自動化され、又はVMからの支援でも
ってプログラマによりコード化できる。これは言語レベル通信機構を使用して達
成できる。この方法では、作られている言語を使用して他のオブジェクトへアク
セスするのと同じ方法で実行テキストを横断するオブジェクトのアクセスを表現
できる。これらの実行時検査は、ジャバ(商標)言語及びプラットホームが既に
提供するものを越えた防御/セキュリテイの第二次元を提供する。
【0026】 これらの機構は、例えば、プログラミング・バグ(全てのコンテキストがアク
セス可能であるべきでない時に、データを「パブリック(公)」(グローバル)
と宣言するような)に起因するセキュリテイ・ホールに対する保護を提供する。
それらはまた、細かい単位で共有の制御を可能にする(共有されるべきオブジェ
クト及び共有されるべきアプレットの選択など)。
【0027】 本発明はまた、コンピュータ・プログラム製品及び本発明の別の観点に関係す
る搬送波に関する。
【0028】 本発明の上述又はその他の特徴、観点、及び利点は、以下の本発明の詳細な説
明を添付図面と共に参照することにより、明らかとなる。
【0029】 表記法及び命名法 以下の詳細な説明は、コンピュータ又はコンピュータ・ネットワーク上で実行
されるプログラム手順の言葉で説明される。これらの手続的記述及び表現は、当
業者が彼等の仕事の本旨を最も効果的に他の当業者に伝えるのに使用される手段
である。
【0030】 手順は、ここでは一般に、所望の結果に導くステップの首尾一貫した順序で説
明される。これらステップは物理的量の物理的操作を必要とするステップである
。必ずではないが、これらの量は普通、記憶、移送、結合、比較、又はその他の
操作が可能な電気的又は磁気的信号の形を取る。主として共通の使用のため、こ
れらの信号は、ビット、値、要素、シンボル、文字、言葉、数など、又は同等な
ものとして呼ぶことが便利であることが示される。しかし、これらの全ての及び
類似の言葉は、適当な物理量に関連付けられるへきであり、そしてこれらの量に
適用される単なる便利なラベルにすぎないことに注意すべきである。
【0031】 さらに、実行される操作は、時々、人間の操作者により実行される精神的な操
作と共通に関連付けられる加算又は比較などの言葉で呼ばれる。本発明の一部を
形成するここで記述されたどんな操作においても、大部分の場合は、人間の操作
者のこのような能力は必要ではなく、又は望まれない。操作は機械的操作である
。本発明の操作を実行するために有用な機械は、汎用デジタル・コンピュータ又
は他の計算装置を含む。
【0032】 本発明はまた、これらの操作を実行するための装置に関する。これらの装置は
所望の目的のために特別に構成されてよい。又は、選択的に活性化される又はコ
ンピュータに記憶されたコンピュータ・プログラムにより再構成される汎用コン
ピュータを含んでもよい。ここで説明される手続は特定のコンピュータ又は他の
装置に固有的に関係するものではない。ここでの教示に従って書かれたプログラ
ムと一緒にさまざまな汎用機械が使用でき、又は、所望のメソッドのステップを
実行するためにより専門化された装置を構成することがより便利であろう。これ
らのマシンのさまざまについての必要な構成が、以下の記述から明らかとなる。
【0033】 詳細な説明 付録として明細書に添付したものは、未刊行のジャバ・カード実行時環境2.
1仕様という名称の書類の草案である。この草案書類は本発明の特定の実施の形
態のさらに詳細な説明を与える。
【0034】 本発明の技術は以降、スマート・カードの例の文脈で記載されるが、例は単な
る例示であり、本発明の範囲を制限するものではない。
【0035】 図1は、カード受入装置110を具備したコンピュータ120及びカード受入
装置110と共に使用するスマート・カード100を示す図である。動作におい
ては、スマート・カード100はカード受入装置110内に挿入されて、そして
、スマート・カード100の表面上でアクセス可能な1組の接点105を介して
電源又はデータ接続が与えられる。カードが挿入される時、カード受入装置11
0からの嵌入接点が、表面接点105と相互接続してカードに電源を与え、そし
てボード上のプロセッサ及びメモリ記憶との通信を可能にする。
【0036】 図2は、ネットワーク200に接続された、図1中の120などに示されるカ
ード受入装置を具備したコンピュータを示す。さらに、ネットワークに接続され
るのは、サーバー210などの複数の他の計算装置である。カードを具備した装
置120を使用してネットワーク200を介してスマート・カード上にデータ及
びソフトウェアをロードすることが可能である。この種のダウンロードされるも
のは、さまざまな電子商取引及び他のさまざまなアプリケーションに従って使用
されるデジタル・キャッシュ及び他の情報、及びスマート・カード上にロードさ
れるべきアプレット又は他のプログラムも含むことができる。カード受入装置及
びスマート・カードの処理要素の制御に使用されるデータ及び命令は、揮発性又
は不揮発性メモリ内に記憶することができ、若しくは、例えば、命令及び/又は
データを含む搬送波などの通信リンク上で直接に受信することが可能である。さ
らに、例えば、ネットワークはLAN又はインターネットなどのWAN又は他の
ネットワークであってよい。
【0037】 図3は、従来技術のスマート・カードなどの小面積装置の例示的なハードウェ
ア・アーキテクチャである。図3に示すように、プロセッサ300は、読出し専
用メモリ315及び/又はランダム・アクセス・メモリ316を含むことができ
る主記憶310と相互接続される。プロセッサはまた、EEPROMなどの二次
記憶320及びシリアル・ポートなどの入力/出力330に接続される。この種
の小面積装置は大変に単純にできることが理解できる。
【0038】 図4は、従来技術によるプリンシパルによりアクセスされるオブジェクトを示
す。図4に示すように、小面積装置などの物理装置400は、実行コンテキスト
420を実行する1つ又は複数の処理マシン(仮想又は物理的)をその中に含む
。実行コンテキストは、例えば、特定のアプレットと関連したコンテキストであ
る。実行コンテキスト中の1つ又は複数のプリンシパル430(例えば、アプレ
ット又はアプリケーション)は、実行コンテキスト中の他のオブジェクトのアク
セスを求めることができる。実行コンテキスト中でアクセスが発生する限り、ア
クセスは許可されて、全てが通常に機能するであろう。
【0039】 図5は、本発明のさまざまな実施の形態を説明するのに使用できる例示的なセ
キュリテイ・モデルである。これは単に使用できる多くのモデルの1つにすぎな
いが、この目的には便利なモデルである。このモデルにおいて、プリンシパル(
時々、エンティテイと呼ばれる)は、オブジェクト520などの1つのオブジェ
クトについてアクション510を取ることを提案する。セキュリテイ検査が、プ
リンシパル、オブジェクト、及び/又は取られることが提案されたアクション上
に課せられる。
【0040】 図5において、2つのタイプのオブジェクトが示され、その上にプリンシパル
によりアクションが取られる。これらは、データ・オブジェクト(例えば、デー
タ1及びデータ2(520、520”))とエンティテイ530を含む。プリン
シパルはこれらのオブジェクトのいずれについても動作し又は動作を試みる。
【0041】 データは受動的であるが、エンティテイ530は能動的である。プリンシパル
から能動的エンティテイへの対角線も「アクション」とラベルが付けられている
が、しかし、これはデータ・オブジェクトへのアクションと比較して、機能を実
行し、又は、メソッドをコールし、又は、メッセージを送信するなどのより洗練
され且つ任意に複雑なアクションであることができる。データと同じく、オペレ
ーテイング・システムにより実行されるセキュリテイ検査は、プリンシパルの識
別、エンティテイの識別、及び/又はアクションのタイプを使用することができ
る。さらに、能動的であるエンティテイは、それ自身の追加的なセキュリテイ検
査を実行できる。これらは、所望ならば任意に複雑にすることができ、そしてプ
レンシパルの識別、エンティテイ自身の識別、アクション及び/又は利用可能な
他の情報も使用できる。
【0042】 オブジェクト指向システムにおいて(ジャバ・カード(商標)プラットホーム
など)、「オブジェクト」は典型的にデータ及びエンティテイの組合せである。
プリンシパルが、オブジェクトのフィールドをアクセスすることを試みる時、こ
れはデータ・アクセス−−かなり単純なセキュリテイ検査により保護されるかな
り単純なアクション、である。プリンシパルがオブジェクトのメソッドのアクセ
スを試みる時、これは、アクション及びセキュリテイ検査の両方を任意に複雑で
きるエンティテイ・アクセスである。
【0043】 図6は、本発明の1つの観点によるコンテキスト障壁又はフアイヤウォールに
よる実行テキストの分離を示すブロック図である。物理装置400及びマシン4
10は、図4に示される同じアイテムに対応する。実行コンテキスト420は、
コンテキスト内でオブジェクト440にアクセスすることを試みる1つのプリン
シパル430を示す。このアクセスは普通成功する。しかし、実行コンテキスト
420はまた、コンテキスト障壁600を横断して、実行コンテキスト620の
オブジェクト640にアクセスすることを試みるプリンシパル630を示す。普
通、このアクセスはアクション635がコンテキスト障壁600を横断する所の
X636に示されるように禁止される。
【0044】 図7は、本発明を実行するのに有用なソフトウェア・アーキテクチヤを表して
いる。このソフトウェア・アーキテクチャは実行時環境700として示されてい
る。小面積装置についてオペレーテイング・システム710が普通、使用される
。本発明の例示的な実施の形態中の仮想マシン720が、オペレーティング・シ
ステム上で実現される。仮想マシンは、ジャバ・カード(商標)仮想マシン又は
他の仮想マシンである。標準の仮想マシンの能力がここに記載される追加の機能
を与えるために拡張できる。又は、機能は別個のモジュールとして提供できる。
仮想マシン720は、インタープリータ又は実行時システム740へのアクセス
を与えるネイテイブ処理系730を含む。実行時システムは、オブジェクト指向
処理系のオブジェクトを管理するためのオブジェクト・システム750を含む。
3つのコンテキスト760、770、及び780が示される。各コンテキストが
、実行コンテキスト間のコンテキスト障壁(時々、フアイヤウォールと呼ばれる
)により他から分離される。1つの特定の実施の形態において、コンテキスト7
60はスーパーコンテキストである。すなわち、コンテキスト760は、下位の
コンテキスト770及び780には利用できない特権及び能力を有する。それは
入口点オブジェクト又はグローバル・データ構造を生成し、そして下位コンテキ
スト770及び780内のオブジェクトにアクセスする特権を潜在的に含む。
【0045】 各オブジェクトは1つの特定のコンテキストに関連付けられている。そのコン
テキストはそれと関連付けられた各オブジェクトを所有すると言われる。実行時
システム740は、コンテキストを独特に識別するための手段と現在実行されて
いるコンテキスト識別し指定するための手段を与える。オブジェクト・システム
750は、オブジェクトをそれらが所有するコンテキストと関連付けるための機
構を与える。
【0046】 例えば、実行時740は、独特な名前でもってコンテキストを識別でき、そし
て、オブジェクト・システム750はコンテキストの名前をオブジェクトのヘッ
ダー内に記録することにより、オブジェクトをコンテキストと対応して関連付け
ることができる。オブジェクトのヘッダー内の情報は、オブジェクト指向言語に
より書かれたプログラムによりアクセスできないが、仮想マシン720自身のみ
に利用可能である。代替的に、実行時システム740は、メモリ空間を各々が特
定のコンテキストのための分離領域に分割することによりコンテキストを識別で
きる。そして、オブジェクト・システム750はコンテキストのメモリ空間内に
オブジェクトの記憶を割当てることによりオブジェクトをそのコンテキストに対
応して関連付けることができる。
【0047】 図8は、本発明の1つの観点によるコンテキスト障壁を実現するセキュリテイ
実施プロセスのフローチャートである。プリンシパルがオブジェクト(800)
上のアクションを呼出すと、オブジェクトがプリンシパル(810)のコンテキ
スト内にあるかどうかを決定するための検査が作られる。もしなければ、アクシ
ョンは不許可となる(840)。それ以外は、アクションは許可される(830
)。これはコンテキスト障壁又はフアイヤウォールの最も単純な形である。1つ
の特定の実施の形態では、もしオブジェクトが名前空間の外側にあるか又はコン
テキストがアクセスを要求するメモリ空間の外側にあれば、セキュリテイ例外を
投げることにより、アクションが不許可とされる(840)。
【0048】 図9は、本発明の1つの観点によるフアイヤウォールを横断してアクセスする
オブジェクトを示すブロック図である。図9は図6と実質的に同じである。しか
し、図9は、オブジェクト910上にアクション905を実行するためにオブジ
ェクト910のアクセスを求めるプリンシパル900も示す。本発明によれば、
アクション635が阻止された方法でアクセスがフアイヤウォール600により
阻止されるというよりは、プリンシパルとオブジェクトが異なる実行コンテキス
ト内にあるという事実にかかわらず、プリンシパル900がオブジェクト910
上のアクション905を実行できるように、アクション905がアクセス・ポイ
ント920を介してフアイヤウォールを横断して生ずることを許可する。アクセ
ス・ポイント920の背後の機構は図12−18を参照して以下に説明される。
アクセス・ポイント920は、X636などの阻止されたアクセスと共に存在で
きることに注意する。このように、アクセス・ポイント920は、コンテキスト
障壁600を横断して細かい単位の制御(オブジェクト単位のセキュリテイ)の
共有を与える。
【0049】 オブジェクト・アクセス900が開始される時、現在コンテキスト設定はコン
テキスト420である。もしオブジェクト910がデータ・オブジェクトであれ
ば、アクション905は単純なデータ・アクセスであり、第2コンテキストでは
コードは実行されない。もしオブジェクト910がエンティテイ・オブジェクト
であれば、アクション905は実行されるそのオブジェクトのコードを生ずる。
そのコードは第2コンテキスト620内で実行される。正しいコンテキスト62
0内でオブジェクト910のコードを実行するため、仮想マシン410はコンテ
キスト切換えを実行する。コンテキスト切換えは、現在コンテキスト設定をコン
テキスト620に変えて、現在コンテキスト設定の前の値を後で再開できるよう
に記憶する。この点から、コードは新しい現在コンテキスト内で実行される。ア
クション905が完了した時、制御はアクセス900後の点に戻される。復帰中
、仮想マシン410は現在コンテキスト設定の値をその前の値に回復しなければ
ならない。
【0050】 図10は、フアイヤウォールを横断してアクセスするカスケードされたオブジ
ェクトを示すブロック図である。図10は、3つの実行コンテキスト、1000
、1010及び1020を示す。実行コンテキスト1内のプリンシパル1030
は、実行コンテキスト2内のオブジェクト1050上のアクション1035を呼
出すことを求め、コンテキスト障壁600内のアクセス・ポイント1070を介
してそれを行なう。実行コンテキスト2内のオブジェクト1050は、実行コン
テキスト3内のオブジェクト1060上のアクション1045の実行を求めるオ
ブジェクト・アクセス1040を有する。それは、実行コンテキスト2及び3を
分離するコンテキスト障壁600’内のアクセス・ポイント1080を使用して
これを達成する。実行コンテキスト2内のオブジェクト1050はまた、同じ実
行コンテキスト内で、すなわち、実行コンテキスト2内で、オブジェクト109
9上でアクション1095を呼出す別のオブジェクト・アクセス1090を有す
る。両方のアクション1035及び1045は図9の説明で開示されたようなコ
ンテキスト切換えを生ずる。しかし、アクション1095はコンテキスト障壁を
横断しないため、コンテキスト切換えはその実行に必要ではなく、従って発生し
ない。
【0051】 図11は、1つのコンテキスト中のプリンシパルがフアイヤウォールを横断し
て別のコンテキスト内にアクセスすることを許可するプロセスのフローチャート
である。このプロセスには本質的に3つのステップが存在する。実行コンテキス
ト2において、アクセスされるべきオブジェクトが生成されて共有されるものと
して指定される(1100)。実行コンテキスト1中において、プリンシパルが
実行コンテキスト2内のオブジェクトについての参照を得る(1110)。そし
て、実行コンテキスト1中のプリンシパルは、コンテキスト2中で共有として指
定されたオブジェクト上のアクションを呼出す(1120)。
【0052】 図11の項目1100中で説明したように共有可能と生成されたオブジェクト
を指定又は識別することについては、本発明によれば、これはオブジェクトの表
現のヘッダー内に共有可能な属性を含むことにより、行なわれる。オブジェクト
のヘッダー内の情報はオブジェクト指向言語により書かれたプログラムによりア
クセスすることはできないが、VM自身のみにより利用可能である。
【0053】 別のコンテキスト中のオブジェクトへの参照を獲得することは、別のコンテキ
スト中のオブジェクトにアクセスする特別の場合である。別のコンテキスト内の
1つのオブジェクトへのアクセスを与える機構は、別のオブジェクトをまた利用
可能にする。例えば、別のコンテキスト中のオブジェクト上のメソッドを呼出す
ことは、異なるコンテキスト中に第2のオブジェクトへの参照を戻す。追加の機
構が、異なるテキスト中のオブジェクトへの初期参照の獲得を可能にするため必
要とされる。特定の実施の形態においては、ある周知の入口点オブジェクトへの
参照が公のAPIを使用して獲得できる。一旦、異なるコンテキスト内のオブジ
ェクトに対する初期参照が獲得されると、そのオブジェクトからさらなる参照が
獲得でき、さらに続けられる。
【0054】 本発明によれば、コンテキスト障壁を横断して情報を獲得するために、4つの
一般的な手法がそんざいする。これらの手法は、コンテキスト障壁を横断してオ
ブジェクトをアクセスするため、又は、コンテキスト障壁を横断してアクセスさ
れるべきオブジェクトの参照を獲得するために、個別に又は組合せで使用できる
(1110)。これらの手法は図12−18により説明される。
【0055】 図12は、コンテキスト障壁を横断してアクセスを許可するための入口点オブ
ジェクトの使用を説明するブロック図である。図12に示すように、コンテキス
ト770(コンテキスト1)内のあるオブジェクト1200は、スーパーコンテ
キスト760内の情報にアクセスすることを望む。特定の実施の形態において、
スーパーコンテキスト760は少なくとも1つの入口点オブジェクト1210を
含む。入口点オブジェクト1210は、スーパーコンテキストの下位の各コンテ
キストがスーパーコンテキストの入口点オブジェクトと通信できるようにするた
め、公のAPIの一部として刊行されるか、又は、刊行されたAPIを通じて間
接的に利用可能にできる(例えば、図11を参照して前に説明した機構に従い)
。(他の実施の形態では、入口定オブジェクトはスーパーコンテキスト以外のコ
ンテキストにより収納される。)
【0056】 図13は、フアイヤウォールを横断してアクセスを許可するためにグローバル
・データ構造の使用を説明するブロック図である。この手法において、スーパー
コンテキスト760は、グローバル配列などのグローバル・データ構造を生成す
る。特定の実施の形態では、スーパーコンテキスト760はこのようなグローバ
ル・データ構造を生成することを許可された唯一のコンテキストである。(別の
実施の形態では、グローバル・データはスーパーコンテキスト以外のコンテキス
トにより収納されてよいことが理解される。)このグローバル状態のため、コン
テキスト770及び780の各々は、グローバル・データ構造を読書きすること
ができる。このように、1つのコンテキストによりグローバル・データ構造内に
書込まれた情報は、別のコンテキストにより読み出すことができる。例えば、こ
の機構はコンテキスト間でオブジェクトへの参照又は2進値データを送るために
使用できる。
【0057】 図14は、コンテキスト障壁を横断してアクセスを許可するためにスーパーコ
ンテキスト特権を使用することを説明するブロック図である。図14において、
スーパーコンテキスト760におけるオブジェクトは2つに分離するコンテキス
ト障壁を横断してコンテキスト780へのアクセスを求める。スーパーコンテキ
スト760は、スーパーコンテキストに関連した特権により、コンテキスト78
0のどんなメソッドも呼出すことができ、そしてコンテキスト780内に含まれ
るどんなデータもアクセスすることができる。
【0058】 図15は、フアイヤウォールを横断してアクセスすることを許容するため、共
有可能インターフエイス・オブジェクトの使用を説明するブロック図である。共
有可能インターフエイスは共有可能インターフエイス・メソッドの1組を定義す
る。共有可能インターフエイス・オブジェクトは共有可能インターフエイス内に
定義されたメソッドの組を少なくとも実現するオブジェクトである。図15にお
いて、コンテキスト2(780)内のオブジェクト1210は共有可能インター
フエイス・オブジェクトである。別のコンテキスト770中のオブジェクト・ア
クセス1200は、もしオブジェクト・アクセス1200のプリンシパルがオブ
ジェクト1210自身によりそのようにすることが認証されているならば、オブ
ジェクト1210上のどんな共有可能なインターフエイス・メソッドをも呼出す
ことができる。この認証は以下の図18を参照してさらに説明する。
【0059】 本発明による仮想マシンは、「ジャバ(商標)仮想マシン仕様」に記載される
仮想マシンなどの初期の仮想マシンを越えた機能を提供することが理解される。
特に、本発明によれば、仮想マシンはフアイヤウォールを横断したアクセスを許
可するセキュリテイ実施プロセスを実現又は容易にするための機能を与える。こ
のプロセスが次に図16−18を参照して説明される。それは、上記の図12−
15を参照して説明された4つの手法を限定的ではなく含む、フアイヤウォール
を横断するアクセスを提供するどんな手法にも適用できることに注意する。
【0060】 図16は、フアイヤウォールを横断してアクセスを許可するセキュリテイ実施
プロセスのフローチャートである。プリンシパルがオブジェクト1600上のア
クションの呼出しを試みる時、オブジェクトがプリンシパルのコンテキスト内に
あるかどうかを決定するための検査が作成される(1610)。もしそうである
ならば(1610−Y)、アクションが許可される(1630)。もしそうでな
ければ(1610−N)、プリンシパルによるアクションがオブジェクトに対し
て許可されるているかどうかを見るための検査が生成される(1620)。もし
そうであるならば(1620−Y)、アクションが許可される(1630)。も
しそうでなければ(1620−N)、アクションは許可されない。この特定の実
施の形態では、セキュリテイ例外が投げられる(1640)。
【0061】 図17は、ブロック1620のさらに詳細を示す図16のフローチャートであ
る。もしオブジェクトがプリンシパル(1610−N)のコンテキスト内になけ
れば、プリンシパルによるアクションがオブジェクト上で許可されるかどうかを
見るために複数のテスト1621、1622、1623…1629が引受けられ
る。これらのテストは仮想マシン・オブジェクト指向実現の中で、仮想マシンの
みで、又は、仮想マシンとオブジェクトとを加えて、行なわれる。もしどんなテ
ストにおいて合格ならば、アクションは許可される(1630)。しかし、もし
全てのテストが否定的決定(162X−ノー)を生ずる場合は、アクションは許
可されない。特定の実施の形態では、セキュリテイ例外が投げられる(1640
)。これらテストは図12−15と関連して説明された許可されたアクセスに関
係する。
【0062】 図18は、図15において説明されたアクセス・メソッドに使用される図17
のブロック1629の例示的な実現を示すフローチャートである。829又は1
629などのテストにおいて、仮想マシンはオブジェクトが共有されたオブジェ
クト1810かどうかを検査する。もしそうでなければ(1810−ノー)、こ
のテストは失敗する。しかし、もしそうであれば(1810−イエス)、仮想マ
シンはオブジェクトO上のメソッドAを呼出す(1820)。もし、オフジェク
トO上のメソッドAがプリンシパルが認証されていると決定すれば(1830)
、テストは合格であり(1840)、そしてアクセスは許可される。それ以外は
、テストは失敗である(1850)。これは、認証テキストをオブジェクト自身
のコード内にプログラムすることを可能にする。
【0063】 本発明がスマート・カードの実現と関連して説明されたが、本発明はスマート
・カードに限らず、他の小面積の装置にも適用できる。小面積の装置は一般に、
メモリ、計算能力又は速度において制限又は限界があるものと考えられる。この
ような小面積装置は、境界走査装置、フイールド・プログラム可能装置、ページ
ャー、及びセルラー・ホンなどの多くの装置を含む。
【0064】 一般に、小面積装置は、実行コンテキストの安全な相互操作に問題がある、資
源の制約を受ける計算装置及びシステムである。このような小面積装置はそれら
の制限された資源のためにセキュリテイ手段の実現に制約が課せられる。資源の
制約のため仮想マシン構成においては、単一の仮想又は物理的マシンが、複数の
仮想マシンと対比して、使用されなければならない。
【0065】 本発明はまた、本発明の特徴が有利なより大型の装置にも適用できる。例えば
、本発明は、サーブレットを使用する時、もしこれらの間でオブジェクトの共有
があれば、有利であることが確かめられる。いくつかのデスクトップ・システム
においてさえも、本発明の技術を有利に使用できる。
【0066】 ジャバ(商標)言語及びプラットホームが本発明に適しているが、ある特性を
有する言語又はプラットホームが本発明を実現するのに良く適しているであろう
。これらの特性は、タイプ安全性、ポインター安全性、オブジェクト指向、動的
リンク、及び仮想マシンに基づくことを含む。これらの特性の全てが特定の実現
において存在する必要はない。いくつかの実施の形態では、これらの特性の一つ
又は複数を欠く言語又はプラットホームが使用できる。「仮想マシン」は、ビッ
ト(仮想マシン)又はシリコン(現実/物理的マシン)のいずれかで実現できる
【0067】 本発明は、オブジェクト単位のセキュリテイを示して説明されたが、クラス単
位のセキュリテイなどの他の手法も使用できる。
【0068】 本発明が詳細に説明されたが、説明は例示であり、限定するものではないこと
は明らかである。本発明の範囲と精神は特許請求の範囲の記載とその均等物のみ
により限定される。
【0069】ジャバ(商標)カード(商標)実行時環境(JCRE)2.1仕様 草案2 Copyright(c)1998 Sun Microsystems,Inc. 901 San Antonio Road, Pal Alto, CA 94303 USA 全ての権利を留保。この書類の著作権はサン・マイクロシステムズ社が所有する
【0070】 サン・マイクロシステムズ社(SUN)は、あなたに、内部評価目的に限り使用
するために、ジャバ(商標)カード(商標)実行時環境(JCRE)2.1仕様
(仕様)を実施するために必要なSUNの知的所有権の非独占、移転不可、世界
的、制限ライセンス(サブライセンス無し)を無料で許諾する。この制限ライセ
ンス以外には、あなたは仕様について権利や利益を有せず、仕様を生産又は商業
的使用に使用する権利を有しない。
【0071】 制限的権利標章 サンは、このソフトウェアの適当性について、非侵害性又は特定の目的の適合性
又は商品可能性の黙示的保証を限定的ではなく含む、一切の明示又は黙示の保証
又は表示をしない。サンはこのソフトウエア及び二次的著作物の使用、修正、又
は配布の結果としてライセンシーが受けた損害については責任を持たない。
【0072】 商標 サン、サン・ロゴ、サン・マイクロシステムズ、ジャバソフト、ジャバビーンズ
、JDK、ジャバ、ジャバカード、ホットジャバ、ホットジャバ・ビュウズ、ビ
ジュアル・ジャバ、ソラリス、NEO、ジョー、ネトラ、NFC、ONC、ON
C+、オープン・ウインドウズ、PC−NFS、エンベデッド・ジャバ、パーソ
ナル・ジャバ、SNM、サンネット・マネージャ、ソラリス・サンバースト・デ
ザイン、ソルステイス、サンコア、ソーラーネット、サンウェブ、サン・ワーク
ステーション、ザ・ネットワーク・イズ・ザ・コンピュータ、ツールトーク、ウ
ルトラ、ウルトラコンピューテイング、ウルトラサーバ、ホェア・ザ・ネットワ
ーク・イズ・ゴーイング、サン・ワークショツプ、エックス・ビュー、ジャバ・
ワークショップ、ジャバ・コーヒー・カップ・ロゴ、及びビジュアル・ジャバは
、サン・マイクロシステムズ社の米国または他の国での商標又は登録商標である
【0073】 この文献は、そのまま提供されて、非侵害性又は特定の目的の適合性又は商品
可能性の黙示的保証を限定的ではなく含む、明示又は黙示のいかなる種類の保証
を含まない。
【0074】 この文献は、技術的不正確さタイプ誤りを含み得、この情報への変更は定期的
に行なわれる。これらの変更はこの文献の新しい版に組み込まれる。サン・マイ
クロシステムズ社はこの文献に記載されたプログラム又は製品の改良又は変更を
何時でも行なうであろう。
【0075】 目次 前書 1.導入 2.ジャバ・カード仮想マシンの一生 3.ジャバ・カード・アプレットの一生 3.1メソッド・インストール 3.2メソッド・セレクト 3.3メソッド・プロセス 3.4メソッド・デセレクト 3.5電源喪失及びリセット 4.一時的オブジェクト 4.1一時的オブジェクトをクリアする出来事 5.選択 5.1デフォルト・アプレット 5.2選択命令処理 5.3非選択命令処理 6.アプレット隔離及びオブジェクト共有 6.1アプレット・フアイヤウォール 6.1.1コンテキスト及びコンテキスト切換え 6.1.2オブジェクト所有 6.1.3オブジェクト・アクセス 6.1.4フアイヤウォール保護 6.1.5静的フイールド及びメソッド 6.2コンテキストを横断したオブシェクト・アクセス 6.2.1JCRE入口点オブジェクト 6.2.2グローバル配列 6.2.3JCRE特権 6.2.4共有可能インターフエイス 6.2.5前のコンテキストの決定 6.2.6共有可能インターフエイスの詳細 6.2.7共有可能インターフエイス・オブシェクトの獲得 6.2.8オブジェクト・アクセス振舞い 6.3一時的オブジェクト及びアプレット・コンテキスト 7.トランザクション及びアトミシテイ 7.1アトミシテイ 7.2トランザクション 7.3トランザクション期間 7.4ネストされたトランザクション 7.5テスト及びリセット・トランザクション故障 7.6トランザクションの中止 7.6.1プログラム的中止 7.6.2JCREによる中止 7.6.3JCREのクリーンアップ責任 7.7一時的オブジェクト 7.8コミット容量 8.APIトピックス 8.1APDUクラス 8.1.1外向きデータ転送のT=0詳細 8.1.2外向きデータ転送のT=1詳細 8.2セキュリテイ及び暗号パッケージ 8.3JCSystemクラス 9.仮想マシン・トピックス 9.1資源故障 10.アプレット・インストーラ 10.1インストーラ 10.1.1インストーラ実現 10.1.2インストーラAID 10.1.3インストーラAPDU 10.1.4インストーラ振舞い 10.1.5インストーラ特権 10.2新にインストールされたアプレット 10.2.1インストーレイション・パラメータ 11.API定数
【0076】 前書 ジャバ(商標)カード(商標)技術は、ジャバ・プログラミング言語の一部と
、スマート・カード及び関連する小メモリ埋め込み装置に最適化された実行時環
境とを結合する。ジャバカード技術の目標は、ジャバ・ソフトウェア・プログラ
ミングの多くの利点を資源を、制約されたスマート・カードの世界へ持って来る
ことである。 この書類は、ジャバ・カード実行時環境(JCRE)2.1の仕様である。ジ
ャバ・カード可能化装置のベンダーはJCREの実現を提供する。この仕様の文
脈内でのJCREの実現とは、ジャバ・カード仮想マシン(VM)、ジャバ・カ
ード・アプリケーション・プログラミング・インターフエイス(API)、又は
ジャバ・カード技術仕様に基づいた他の部品のベンダーの実現を言う。参照実現
とは、サン・マイクロシステムズ社により作られた実現である。ジャバ・カード
に対して書かれたアプレットはジャバ・カード・アプレットと呼ぶ。 誰がこの仕様は使用すべきか? この仕様は、ジャバ・カード技術仕様を拡張する仕様を開発、実現を作成する
際、又はジャバ・カード実行時環境(JCRE)の拡張を作る際にJCRE実現
を補助することを意図している。この仕様はさらに、ジャバ・カード技術仕様の
理解を深めたいシャバ・カード・アプレット開発者に対して意図している。 この仕様を読む前に このガイドを読む前に、あなたはジャバ・プログラミング言語、ジャバ・カー
ド技術仕様、及びスマート・カードに明るくなければならない。ジャバ技術及び
ジャバ・カード技術に明るくなるための良い材料が、サン・マイクロシステムズ
社のウェブ・サイト、http://java.sun.comにある。 この仕様は、どのように構成されているか 1章、「JCREの範囲と責任」はJCRE実現に必要とされるサービスの概観
を与える。 2章、「仮想マシンの一生」は仮想マシンの一生を定義する。 3章、「アプレットの一生」はアプレットの一生を定義する。 4章、「短期オブジェクト」は短期オブジェクトの概観を与える。 5章、「選択」はJCREがどのようにアプレット選択を処理するかを説明する
。 6章、「アプレット隔離及びオブジェクト共有」はアプレット隔離とオブジェク
ト共有を説明する。 7章、「トランザクションとアトミシテイ」はトランザクション中のアトミシテ
イの概観を与える。 8章、「APIトピックス」はJCREに必要だがシャバ・カード2.1API
仕様には完全に特定されていないAPI機能を説明する。 9章、「仮想マシン・トピックス」は仮想マシンの詳細を説明する。 10章、「アプレット・インストーラ」はアプレット・インストーラの概観を与
える。 11章、「API定数」はシャバ・カード2.1API仕様に特定されていない
定数の数値を与える。 用語は、この本を使用するのに役立つ言葉とそれらの定義のリストである。 関連の書類及び刊行物 このマニュアル内ではさまざまな書類及び製品に言及する。以下の書類が入手
可能である。 ・シャバ・カード2.1API草案2仕様、サン・マイクロシステムズ社 ・ジャバ・カード2.0言語サブセット及び仮想マシン仕様、1997年10月
13日、改訂1.0最終、サン・マイクロシステムズ社 ・ジャバ・カード・アプレット開発者ガイド、サン・マイクロシステムズ社 ・ジャバ言語使用、ジェームズ・ゴスリング、ビル・ジョイ、及びゲイ・エル・
ステイール著、アデイソン−ウエズレイ、1996年、ISBN 0-201-63451-1 ・ジャバ仮想マシン仕様(ジャバ・シリーズ)、ティム・リインデホルム及びフ
ランク・イェリン著、アディソン−ウエズレイ、1996年、ISBN 0-201-63452
-X ・ジャバ・クラス・ライブラリイ:注解参考書(ジャバ・シリーズ)パトリック ・チェン及びロザンナ・リー著、アディソン−ウエズレイ、2巻、ISBN 0201310
023及び0201310031 ・ISO7816仕様1−6部分 ・支払いシステム用EMV‘96集積回路カード仕様
【0077】 1.導入 ジャバ・カード実行時環境(JCRE)2.1は、ジャバ・カード仮想マシン
(VM)、ジャバ・カード・アプリケーション・プログラミング・インターフエ
イス(API)クラス(及び業界特有拡張)及びサポート・サービスを含む。
【0078】 この書類、JCRE2.1仕様は、ジャバ・カード技術により要求されるJC
RE機能を詳述する。ジャバ・カード技術のどんな実現もこの必要な行動と環境
を与える。
【0079】 2.ジャバ・カード仮想マシンの一生 PC又はワークステーションで、ジャバ仮想マシンはオペレーテイング・シス
テム・プロセスとして実行する。OSプロセスが終了する時、ジャバ・アプリケ
ーションとそれらのオブジェクトは自動的に破壊される。 ジャバ・カード技術において、仮想マシン(VM)の実行の一生は、カードの
一生である。カードに記憶された情報の大部分は電源がカードから外されても保
存される。持続性メモリ技術(EEPROMなど)は、スマート・カードが電源
から外された時に情報の記憶を可能にする。カード上に生成されたVM及びオブ
ジェクトは、持続性のアプリケーション情報を表すのに使用されるため、ジャバ
・カードVMは永久に動作するように見える。電源が外された時、VMは単に一
時的に停止する。カードが次にリセットされる時、VMは再び開始して、持続性
記憶から前のオブジェクト群を回復する。 持続性の特徴は別として、ジャバ・カード仮想マシンは、ジャバ仮想マシンと
同様である。 カード初期化時は、マスキング後の時間であり、カードの個性化と発行の時間
の前である。カード初期化時に、JCREが初期化される。JCREにより生成
されたフレームワーク・オブジェクトは仮想マシンの一生の間、存在する。仮想
マシン及びJCREフレームワークの実行の一生は、カードのCADセッション
に及ぶため、アプレットにより生成されたオブジェクトの一生もまたCADセッ
ションに及ぶ。(CADは、カード受入装置、又はカード読取り器。カード・セ
ッションはカードがCAD内に挿入されて、電源が投入され、そしてCADとA
PDUのストリームを交換する期間である。カード・セッションはカードがCA
Dから取外される時に終了する。)この特性を有するオブジェクトを持続性オブ
ジェクトと呼ぶ。 JCRE実現者は、以下の時にオブジェクトを持続性にする。 ・Applet.registerメソッドがコールされる時。JCREはアプレット・オブジ
ェクトのインスタンスへの参照を記憶する。JCRE実現者は、クラス・アプレ
ットのインスタンスが持続性であることを保証しなければならない。 ・オブジェクトへの参照がクラスの静的フイールド又はその他の持続性オフジェ
クトのフイールドに記憶される時。この要件は、JCRE内部データ構造の完全
性を保存するための必要性から派生する。
【0080】 3.ジャバ・カード・アプレットの一生 この仕様の目的のため、ジャバ・カード・アプレットの一生は、それが正しく
カード・メモリにロードされて、リンクされ、又は、その他、実行のために準備
された時点で開始する。(この仕様の以降において、アプレットとはジャバ・カ
ード・プラットホームのために書かれたアプレットを言う。)Applet.register
メソッドに登録されたアプレットは、カードの一生の間、存在する。JCREは
アプレットのパブリック・メソッド、インストール、セレクト、デセレクト、及
びプロセスを介してアプレットと相互作用をする。アプレットは静的インストー
ル・メソッドを実現する。もしインストール・メソッドが実現されなければ、ア
プレットのオブジェクトは生成又は初期化できない。JCRE実現はアプレット
のインストール、セレクト、デセレクト、及びプロセス・メソッドを以下に説明
するようにコールする。 アプレットがスマート・カード上にインストールされる時、静的インストール
・メソッドがJCREにより生成された各アプレット・インスタンスのために1
度、コールされる。JCREはアプレットのコンスラクターを直接コールしては
いけない。
【0081】 3.1メソッド・インストール インストールがコールされる時、アプレットのオブジェクトは存在しない。ア
プレット内のインストール・メソッドの主な仕事は、アプレット・クラスのイン
スタンスを生成し、インスタンスを登録することである。アプレットがその一生
の間に必要とする全ての他のオブジェクトはそれが可能な時に生成できる。その
他のアプレットがCADにより選択されてアクセスされるのに必要な準備は可能
な時に行なうことができる。インストール・メソッドは入力するバイト配列パラ
メータの内容から初期化パラメータを獲得する。 典型的に、アプレットは、さまざまなオブジェクトを生成し、それらを所定値
で初期化し、いくつかの内部状態変数を設定し、そしてそれを選択するのに使用
するためにAID(ISO7816−5に定義されるアプレット識別子)を指定
するためにApplet.registerメソッドをコールする。このインストールは、Apple
t.registerメソッドのコールが例外なしに完了した時に成功と見なされる。もし
インストール・メソッドがApplet.registerメソッドをコールしない場合、又は
、もしApplet.registerメソッドがコールされる前にインストール・メソッド内
から例外が投げられる場合、又は、もしApplet.registerメソッドが例外を投げ
る場合、にはインストールは不成功と見なされる。もしインストールが不成功な
らば、JCREはそれが制御を再獲得する時に全てのクリーン・アップを実行し
なければならない。すなわち、全ての持続性オブジェクトは、インストール・メ
ソッドがコールされる前に持っていた状態に戻される。もしインストールが成功
したならば、JCREはアプレットを選択可能と印を付けることができる。
【0082】 3.2メソッド・セレクト アプレットはそれらが明示的に選択されるまで、停止状態に留まる。JCRE
が名前データがアプレットのAIDと一致するSELECT APDUを受取る
時に、選択は発生する。選択はアプレットを現在選択されたアプレットとする。 SELECTをコールする前、JCREは前に選択されたアプレットの選択を
解除しなければならない。JCREはこれをアプレットのデセレクト・メソッド
を呼出すことでアプレットに支持する。 JCREは、アプレットにそのセレクト・メソッドを呼出すことにより選択を
知らせる。 アプレットは、コールから誤りを返すことにより、又は例外を投げることによ
り、選択されることを拒否することができる。もしアプレットが真を返すと、現
実のSELECT APDU命令が以後のそのプロセス・メソッドへのコールで
アプレットに供給されて、アプレットがAPDU内容を検査できる。それはSE
LECT APDUに対してデータ(詳細はプロセス・メソッドを参照)でもっ
て返答でき、又は、適当なSW(状態ワードの返却)を有するISOExcep
tionを投げることでエラーのフラグを立てることができる。SW及び選択的
な応答データはCADへ戻される。 Applet.selectingAppletメソッドは、セレクト・メソッド中にコールされる時
に真を返答する。Applet.selectingAppletメソッドは、SELECT APDU
命令を処理するためにコールされる以降のプロセス・メソッド中に真を返答し続
ける。 もしアプレットが選択されることを拒否すると、JCREはCADにISO.SW_A
PPLET_SELECT_FAILEDのAPDU応答状態ワードを戻す。選択の失敗の際、JC
RE状態はアプレットが選択されていないことを示すように設定される。 選択が成功した後、全ての以降のAPDUはプロセス・メソッドを経由して現
在選択されたアプレットへ配達される。
【0083】 3.3メソッド・プロセス 全てのAPDUは、JCREにより受取られ、APDUクラスのインスタンス
を現在選択されたアプレットのプロセス・メソッドに送る。 注−SELECT APDUは、プロセス・メソッドのコール前に、現在選択
されたアプレット内に変化を生ずるかもしれない。 正常な返答の際、JCREはアプレットにより既に送られたどんなデータにも
完了応答SWとして、0x9000、を自動的に付ける。 プロセス中のどんな時にも、アプレットは適当なSWと共にISOExceptionを投
げることが可能であり、この場合、JCREはその例外を受取り、そしてSWを
CADに戻す。 プロセス中に、もしその他の例外が投げられた場合、JCREはその例外を受
取り、状態ワード、ISO7816.Sw_UNKNOWN、をCADへ戻す。
【0084】 3.4メソッド・デセレクト JCREが、アプレットのAIDと一致する名前のSELECT APDU命
令を受取る時、JCREは現在選択されているアプレットのデセレクト・メソッ
ドをコールする。これは他のアプレットの実行を可能にするために必要なクリー
ン・アップ操作をアプレットが実行することを可能にする。 Applet.selectingAppletメソッドは、デセレクト・メソッド中にコールされた
時、誤りを戻す。デセレクト・メソッドにより投げられた例外はJCREにより
受取られる。しかし、アプレットは選択が解除される。
【0085】 3.5電源喪失及びリセット カードがCADから取出される時又はその他の機械的又は電気的故障が存在す
る場合、電源が喪失する。カードに電源が再び加えられる時及びカード・リセッ
ト(ウアーム又はコールド)時、JCREは以下を保証する。 ・一時データはデフォルト値にリセットされる。 ・電源が喪失した(又はリセットが発生した)時に進行中のトランザクションが
あれば、中止される。 ・電源が喪失した(又はリセットが発生した)時に選択されたアプレットは黙示
的に選択が解除される(この場合、デセレクト・メソッドはコールされない)。 ・もしJCREがデフォルト・アプレット選択を実現する場合は(パラグラフ5
.1参照)、デフォルト・アプレットが現在選択されたアプレットとして選択さ
れ、そして、デフォルト・アプレットのセレクト・メソッドがコールされる。そ
れ以外は、JCREはその状態をアプレットが選択されていないことを示すもの
に設定する。
【0086】 4.一時的オブジェクト アプレットは時々、CADセッションにわたって持続する必要の無い一時的(
暫定)データを含むオブジェクトを必要とする。ジャバ・カードはジャバ・キー
ワード遷移をサポートしない。しかし、ジャバ・カード技術はオブジェクトへの
参照又はプリミティブな成分を有する一時的配列を生成する方法を与える。 「一時的オブジェクト」の語は誤った名称である。これはオブジェクト自身が
一時的という意味に誤解される。しかし、オブジェクトのフイールド(長さフイ
ールドを除く)の内容のみが一時的な性格を有する。ジャバ・プログラミング言
語内のその他のオブジェクトと同様に、ジャバ・カード・プラットホーム内の一
時的オブジェクトは、以下から参照される限り、存在する。 ・スタック ・ローカル変数 ・クラス静的フイールド ・別の存在するオブジェクト内のフイールド ジャバ・カード・プラットホーム内の一時的オブジェクトは以下の要求された
振舞いを有する。 ・一時的オブジェクトのフィールドは、ある出来事(以下を参照)の発生時に、
フィールドのデフォルト値(ゼロ、誤り、又は無効)にクリアされる。 ・セキュリテイの理由のため、一時的オブジェクトのフイールドは「持続性メモ
リ技術」内には絶対に記憶されない。例として現在のスマート・カード技術を用
いれば、一時的オブジェクトの内容はRAMに記憶できるが、EEPROMには
決して記憶されない。この要件の目的は一時的オブジェクトがセッション・キー
を記憶するのに使用できるようにするためである。 ・一時的オブジェクトのフイールドへの書き込みは性能を悪くしてはいけない。
(例として、現在のスマート・カード技術を取ると、一時的オブジェクトの内容
はRAM内に記憶できるが、一時的でないオブジェクトの内容はEEPROM内
に記憶できる。典型的に、RAM技術はEEPROMよりもずっと早い書込みサ
イクルを有する。) ・一時的オブジェクトのフアイルへの書込みは「トランザクション」により影響
を受けない。すなわち、abortTransactionは決して一時的オブジェクト内のフイ
ールドを前の値に回復しない。 この振舞いは、一時的オブジェクトを、しばしば修正されるがCAD又は選択
セッションにわたって保存する必要の無い少量の一時的アプレット・データにつ
いて、理想的にする。
【0087】 4.1一時的オブジェクトをクリアする出来事 持続性オブジェクトはカード・リセットをわたって持続されるべき状態を維持
するために使用される。一時的オブジェクトが生成される時、そのフイールドを
クリアするための1つ又は2つの出来事が指定される。クリア・オン・リセット
一時的オブジェクトは、アプレット・セッションをわたって持続されるがカード
・リセットをわたって持続されない状態を維持するために使用される。クリア・
オン・デセレクト一時的オブジェクトは、アプレットが選択されている間は持続
されるが、アプレット選択又はカード・リセットをわたっては持続しない状態を
維持するために使用される。 2つのクリア出来事の詳細は以下の通りである。 ・クリア・オン・リセット・オブジェクトのフイールドは、カードがリセットさ
れる時にクリアされる。カードに電源が投入される時、これはカード・リセット
を生ずる。 注−電源がカードから取除かれる前に一時的オブジェクトのフイールドをクリ
アする必要はない。しかし、このようなフイールドの内容は一旦電源が喪失する
と回復できないことを保証する必要がある。 ・クリア・オン・デセレクト・オブジェクトのフイールドは、アプレットの選択
が解除された時には常にクリアされる。カード・リセットは黙示的に現在選択さ
れたアプレットの選択を解除するため、クリア・オン・デセレクト・オブジェク
トのフイールドはまた、クリア・オン・リセットのために指定された同じ出来事
によりクリアされる。 現在選択されているアプレットは、選択命令が処理される時のみに明示的に選
択が解除される。現在選択されたアプレットは選択が解除され、そして全てのク
リア・オン・デセレクト一時的オブジェクトのフイールドは、選択命令が以下の
状態にかかわらず、クリアされる。 ・アプレットの選択に失敗。 ・異なるアプレットを選択。 ・同じアプレットを再選択。
【0088】 5.選択 カードは、APDUの形式でCADからサービスの要求を受取る。SELEC
T APDUはJCREにより現在選択されているアプレットを指定するのに使
用される。一旦、選択されると、アプレットは選択が解除されるまで、全ての以
降のAPDUを受取る。
【0089】 以下のいずれかが発生する時、現在選択されているアプレットは存在しない。 ・カードがリセットされ、そしてアプレットがデフォルト・アプレットとして前
もって指定されていない。 ・アプレットの選択を試みた時、選択命令が失敗する。
【0090】 5.1デフォルト・アプレット 普通、アプレットは成功した選択命令を介してのみ選択される。しかし、ある
スマート・カードCADアプリケーションは、各カード・リセット後に、黙示的
に選択されるデフォルト・アプレットの存在を必要とする。その振舞いは、 1.カード・リセット(又は、リセットの形式の電源投入)後、JCREはその
初期化を行ない、その内部状態が特定のアプレットがデフォルト・アプレットで
あると示しているかを検査する。もしそうならば、JCREはこのアプレットを
現在選択されたアプレットとし、そのアプレットのセレクト・メソッドがコール
される。もしアプレットのセレクト・メソッドが例外を投げ又は誤りを返すと、
JCREはその状態をアプレットが選択されないことを示す状態に設定する。(
デフォルト・アプレット選択中にはSELECT APDUが無いため、アプレ
ットのプロセス・メソッドはコールされない。)デフォルト・アプレットがカー
ド・リセットにおいて選択される時、そのプロセス・メソッドがコールされる必
要はない。 2.JCREはATRが送られることを保証し、そしてカードは現在APDU命
令を受取るための用意ができている。 もしデフォルト・アプレットが成功的に選択されると、APDU命令はこのア
プレットに直接的に送られることができる。もしデフォルト・アプレットが選択
されなければ、選択命令のみが処理できる。 デフォルト・アプレットを指定するための機構はジャバ・カードAPI2.1
には定義されていない。それはJCRE実現の詳細であり、個々のJCRE実現
者に任されている。
【0091】 5.2選択命令処理 SELECT APDU命令はアプレットを選択するのに使用される。その振
舞いは、 1.アプレットがもしあれば活動的かどうかにかかわらず、JCREによりSE
LECT APDUは常に処理される。 2.JCREは一致したAIDについて内部テーブルを探す。JCREは選択命
令中に完全なAIDがある場合、アプレットの選択を支援する。 JCRE実現者は、他の選択基準を支援するために彼等のJCREを増強する
ことは自由である。この一例は、ISO7816−14に説明されるように部分
的なAID一致を介しての選択である。特別な要件は以下の通りである。 注−星印はISO7816内の2進値ビット番号を示す。最上位ビット=b8、
最下位ビット=b1である。 a)アプレット選択命令は、CLA=0x00,INS=0xA4、を使用する。 b)アプレット選択命令は、「DF名による選択」を使用する。従って、P1=0
x04である。 c)P1の他の値はアプレット選択を示唆しない。APDUは現在選択されたア
プレットにより処理される。 d)JCREは、正確なDF名(AID)選択、すなわち、P2=%b0000xx00(b4
,b3*は無視)、を支援する。 e)全ての他の部分DF名選択オプション(b2,b1*)は、JCRE実現に依存す
る。 f)全てのフアイル制御情報オプション・コード(b4,b3*)は、JCREにより
支援され、そしてアプレットにより解釈されそして処理される。 3.もしAID一致が見つからなければ、 a.もし現在選択されたアプレットが存在しなければ、JCREは選択命令に
状態コード0x6999(SW_APPLET_SELECT_FAILED)でもって返答する。 b.それ以外は、選択命令は、現在選択されたアプレットのプロセス・メソッ
ドに送られる。この点で、アプレットのコンテキストへのコンテキスト切換えが
発生する。(アプレット・コンテキストはパラグラフ6.1.1.で定義される
。)アプレットは、それら自身の内部選択処理のためにSELECT APDU
命令を使用できる。 4.もし一致したAIDが見つかれば、JCREは新しいアプレットを選択する
準備をする。もし現在選択されたアプレットが存在すれば、そのデセレクト・メ
ソッドへのコールを介して選択解除される。この時点で選択解除されたアプレッ
トのコンテキストへのコンテキスト切換えが生ずる。JCREコンテキストはデ
セレクトからの出口において回復される。 5.JCREは、新たに現在選択されたアプレットを設定する。新しいアプレッ
トは、そのセレクト・メソッドへのコールを介して選択される。そして新しいア
プレットのコンテキストへのコンテキスト切換えが発生する。 a.もしアプレットのセレクト・メソッドが例外を投げる又は誤りを戻すと、
JCRE状態はアプレットが選択されないように設定される。JCREは選択命
令に対して状態コード0x6999(SW_APPLET_SELECT_FAILED)でもって返答する。 b.新たに現在の選択されたアプレットのプロセス・メソッドは、入力パラメ
ータとしてSELECT APDUと共にコールされる。アプレットのコンテキ
ストへのコンテキスト切換えが発生する。 注−もし一致するAIDが存在しなければ、選択命令は通常のアプレットAPD
U命令として処理するために現在選択されたアプレット(もし有れば)に送られ
る。 もし、一致するAIDが存在し、そして選択命令が失敗すると、JCREは常
にアプレットが選択されない状態にはいる。 もし、一致するAIDが現在選択されたアプレットと同じならば、JCREは
アプレットの選択を解除するプロセスを経過して、そしてそれを選択する。再選
択は失敗することがあり、カードをアプレットが選択されない状態にする。
【0092】 5.3非選択命令処理 非選択APDUが受取られ、そして現在選択されたアプレットが存在しない時
、JCREはAPDUに状態コード0x6999(SW_APPLET_SELECT_FAILED)でもって
返答する。 非選択APDUが受取られ、そして現在選択されたアプレットが存在する時、
JCREは現在選択されたアプレットのプロセス・メソッドを呼出して、APD
Uをパラメータとして送る。これは、JCREコンテキストから現在選択された
アプレットのコンテキストへのコンテキスト切換えを生ずる。プロセス・メソッ
ドが存在する時、VMはJCREコンテキストへ戻される。JCREは返答をA
PDUへ送る。そして次の命令APDUを待つ。
【0093】 6.アプレット隔離及びオブジェクト共有 JCREのどんな実現もコンテキスト及びアプレットの隔離を支援する。隔離
とは、他のアプレットが明示的にアクセスのためのインターフエイスを与えなけ
れば、アプレットは別のコンテキスト内のアプレットのオブジェクト又はフイー
ルドにアクセスすることができないことを意味する。
【0094】 6.1アプレット・フアイヤウォール ジャバ・カード技術内のアプレット・フアイヤウォールは実行時実施保護であ
り、ジャバ技術保護とは別である。ジャバ言語保護はジャバ・カード・アプレッ
トへ適用される。ジャバ言語は強いタイピングと保護属性を実施することを保証
する。 アプレット・フアイヤウォールは常にジャバ・カードVM内で実施される。こ
れらは、VMを実行時に自動的に追加のセキュリテイ検査を実行することを可能
にする。
【0095】 6.1.1コンテキスト及びコンテキスト切換え フアイヤウォールは本質的にジャバ・カード・プラットホームのオブジェクト
・システムを、コンテキストと呼ばれる分離した保護されたオブジェクト空間に
区分する。フアイヤウォールは、1つのコンテキストと別の間の境界である。J
CREはカード上にインストールされている各アプレットに対するアプレット・
コンテキストを割当てそして管理する(しかし、グループ・コンテキストの議論
について下のパラグラフ6.1.1.2を参照)。 これに加え、JCREはそれ自身のJCREコンテキストを維持する。このコ
ンテキストはアプレット・コンテキストと大変似ている。しかし、それはアプレ
ット・コンテキストには否定された操作を実行することができるように特別なシ
ステム特権を有する。 どの時点においても、VM内には1つのみの活動的なコンテキスト存在する。
(これが現在活動的なコンテキストと呼ばれる。)オブジェクトにアクセスする
全てのバイトコードは、アクセスが許可されるかどうかを決定するために、現在
活動的なコンテキストに対して実行時に検査される。アクセスが不許可の時、ja
va.lang.SecurityExceptionが投げられる。 パラグラフ6.2.8に記述するように、呼出しタイプ・バイトコードの実行
中に、ある良く定義された条件が満足される時、VMはコンテキスト切換えを実
行する。前のコンテキストは、内部VMスタックに押し込められて、新しいコン
テキストが現在活動的なコンテキストとなり、呼出されたメソッドがこの新しい
コンテキスト内で実行する。メソッドから出る時、VMはコンテキスト切換えの
回復を実行する。元のコンテキスト(メソッドをコールした)はスタックから取
出されて、現在活動的なコンテキストとして回復される。コンテキスト切換えは
ネストできる。最大の深さは、利用可能なVMスタック空間の量に依存する。 ジャバ・カード技術内での大部分のメソッドの呼出しは、コンテキスト切換え
を生じない。コンテキスト切換えは、あるメソッドからの戻りと呼出し中及びそ
れらのメソッドからの例外出口中のみに生ずる(6.2.8参照)。 コンテキスト切換えメソッド呼出し中、現在活動的なコンテキストを示すデー
タの追加の部分が戻りスタック内に押し込まれる。メソッドが出る時にこのコン
テキストが回復される。 この章の以下の部分においてコンテキスト及びコンテキスト切換えのさらなる
詳細が与えられる。
【0096】 6.1.1.1 グループ・コンテキスト 普通、ジャバ・カード・アプレットの各インスタンスは別のコンテキストを定
義する。しかし、ジャバ・カード2.1技術では、グループ・コンテキストの概
念が導入される。もし2以上のアプレットが、1つのジャバ・パッケージ内に含
まれる時、それらは同じコンテキストを共有する。これに加え、同じアプレット
・クラスの全てのインスタンスは同じコンテキストを共有する。換言すれば、グ
ループ・コンテキスト内の2つのアプレット・インスタンス間にフアイヤウォー
ルは存在しない。 節6.1.1内の上記コンテキスト及びコンテキスト切換えの説明は、各アプ
レット・インスタンスが別のコンテキストと関連していると仮定している。ジャ
バ・カード2.1技術では、フアイヤウォールを実施するためにコンテキストが
比較される。そしてインスタンスAIDがスタック内に押し込まれる。これに加
えて、これはコンテキスト切換えの時だけではなく、1つのアプレット・インス
タンスにより所有されたオブジェクトから同じパッケージ内の別のインスタンス
により所有されたオブジェクトへの制御切換えの時にも生ずる。
【0097】 6.1.2オブジェクト所有 新しいオブジェクトが生成される時、それは現在活動的なコンテキストと関連
付けられる。しかし、オブジェクトは、オブジェクトが具体化される時に現在活
動的なコンテキスト内のアプレット・インスタンスにより所有される。オブジェ
クトはアプレット・インスタンス又はJCREにより所有される。
【0098】 6.1.3オブジェクト・アクセス 一般に、オブジェクトはその所有するコンテキストによりのみアクセスできる
。すなわち、所有コンテキストが現在活動的なコンテキストである時。フアイヤ
ウォールが異なるコンテキスト内の別のアプレットによりオブジェクトがアクセ
スされることを防ぐ。 実現の観点では、オブジェクトがアクセスされる時は何時でも、オブジェクト
の所有コンテキストが現在活動的なコンテキストと比較される。もしこれらが一
致しなければ、アクセスは実行されず、SecurityExceptionが投げられる。 オブジェクトの参照を使用して、以下のバイトコードの1つが実行される時、
オブジェクトがアクセスされる。 Getfield, putfield, invokevirtual, invokeinterface, athrow, <T>aload, <T>astore, arraylength, checkcast, instanceof, <T> は、baload、sastore等、さまざまなタイプのバイトコード配列を言う。 このリストは、getfield_b, sgetfield_s_this,等、ジャバ・カードVM内で
実現されるこれらのバイトコードの特別な又は最適化された形を含む。
【0099】 6.1.4フアイヤウォール保護 ジャバ・カード・フアイヤウォールは、最もしばしば予期されるセキュリテイ
問題、大切なデータを別のアプレットに「漏らす」ような開発者の誤り及び設計
の見過ごし、に対して保護を与える。アプレットは公にアクセス可能な場所から
オブジェクトの参照を得ることができるかもしれないが、しかし、オブジェクト
が異なるアプレットに所有されていると、フアイヤウォールはセキュリテイを保
証する。 フアイヤウォールはまた、間違ったコードに対して保護を与える。もしカード
に誤ったコードがロードされると、フアイヤウォールはこのコードからオブジェ
クトがアクセスされることを保護する。 ジャバ・カードAPI2.1は、これらの特徴がアプレット開発者には透明で
はない方法で支援されるため、フアイヤウォール及びコンテキストの基本的な最
小保護要件を説明する。開発者は、API、フアイヤウォールに関する例外、及
び、オブジェクトの振舞いについて知らなければならない。 JCRE実現は、これらの機構がアプレットに透明で且つVMの外部に見える
操作を変更しない限り、これらのアプレット・フアイヤウォールを越えて、追加
のセキュリテイ機構を実現することは自由である。
【0100】 6.1.5静的フイールド及びメソッド クラスはコンテキストにより所有されないことに注意すべきである。クラス静
的フイールドがアクセスされる時、実行される実行時コンテキスト検査はない。
静的メソッドが呼出される時、コンテキスト切換えはない。(同様に、invokesp
ecialはコンテキスト切換えを生じない) パブリック静的フイールド及びパブリック静的メソッドは、どんなコンテキス
トからもアクセス可能である。静的メソッドはそれらを呼出したのと同じコンテ
キスト内で実行される。 静的フイールド内で参照されるオブジェクトは普通のオブジェクトである。こ
れらはこれらを生成したものより所有され、標準のフアイヤウォール・アクセス
規則が適用される。もしそれらが複数のアプレット・コンテキストに横断して共
有される必要があるならば、これらは共有可能インターフエイス・オブジェクト
(SIO)である必要がある。(以下のパラグラフ6.2.4参照) もちろん、通常のジャバ技術保護が静的フイールド及びメソッドに対して実施
できる。これに加え、アプレットがインストールされる時、インストーラは外部
の静的フイールド又はメソッドへのリンクの各試みが許可されることを確証する
。インストレーションとリンケージについての仕様はこの仕様の範囲外である。
【0101】 6.1.5.1選択的静的アクセス検査 JCREは、確証者により実施される制約と冗長なオプショナルな実行時検査
を実行できる。ジャバ・カードVMは、コードが別のクラスのプライベートなメ
ソッドの呼出しなど、基本的な言語制限に違反する時、検出して、報告し、又は
違反に対処する。
【0102】 6.2コンテキストを横断するオブジェクトへのアクセス アプレットが互いに相互作用し、又は、JCREと相互作用することを可能に
するため、1つのコンテキストが別のコンテキストに属するオブジェクトにアク
セスすることができる、良く定義され且つ安全な機構が提供される。 これらの機構は、ジャバ・カードAPI2.1において与えられ、そして以下
の節で説明される。 ・JCRE入口点オブジェクト ・グローバル配列 ・JCRE特権 ・共有可能インターフエイス
【0103】 6.2.1JCRE入口点オブジェクト 安全なコンピュータ・システムは、非特権ユーザ・プロセス(資源の一部に限
定された)が、特権的な「システム」ルーチンにより実行されるシステム・サー
ビスを要求するための方法を持たなければならない。 ジャバ・カードAPI2.1では、これはJCRE入口点オブジェクトを使用
して達成される。これらはJCREコンテキストにより所有されるオフジェクト
であるが、しかしそれらは入口点メソッドを含むとしてフラグが立てられている
。 フアイヤウォールは、これらのオブジェクトをアプレットによるアクセスから
保護する。入口点指定はこれらのオブジェクトのメソッドがどんなコンテキスト
からも呼出されることを可能にする。それが発生する時、JCREコンテキスト
へのコンテキスト切換えが実行される。これらのメソッドは、アプレットが特権
JCREシステム・サービスを要求するゲートである。 JCRE入口点オブジェクトには2つの分類がある。 ・一時的JCRE入口点オブジェクト 全てのJCRE入口点オブジェクトと同様に、一時的JCRE入口点オブジェ
クトのメソッドは、どんなアプレットのコンテキストから呼出されることができ
る。しかし、これらのオブジェクトへの参照は、クラス変数、インスタンス変数
、又は配列要素内には記憶することができない。JCREは、これらのオブジェ
クトへの参照の記憶の試みを、認証されない再使用を防ぐために、フアイヤウォ
ール機能の一部として検出して制限する。 APDUオブジェクト及び全てのJCRE所有例外オブジェクトは、一時的J
CRE入口点オブジェクトの例である。 ・永久JCRE入口点オブジェクト 全てのJCRE入口点オブジェクトと同様に、永久JCRE入口点オブジェク
トのメソッドは、どんなアプレットのコンテキストから呼出されることができる
。これに加えて、これらのオブジェクトへの参照は記憶でき、自由に再使用でき
る。 JCRE所有AIDインスタンスは、永久JCRE入口点ポイントの例である
。 JCREは、以下の責任を有する。 ・どんな特権的サービスがアプレットに提供できるかを決定する。 ・それらのサービスへの入口点メソッドを含むクラスを定義する。 ・それらのクラスの1又は複数のオブジェクト・インスタンスを生成する。 ・それらのインスタンスをJCRE入口点オブジェクトと指定する。 ・JCRE入口点オブジェクトを一時的又は永久と指定する。 ・必要に応じてこれらのオブジェクトへの参照をアプレットに利用可能にする。
注−これらのオブジェクトのメソッドのみがフアイヤウォールを通じてアクセス
可能にする。これらのオブジェクトのフイールドはフアイヤウォールにより保護
されていて、JCREコンテキストのみによりアクセス可能である。 JCRE自身のみが入口点オブジェクト及びそれらが一時的又は永久かを指定
できる。JCRE実現者は、JCRE入口点オブジェクトが指定されそしてそれ
らがどのように一時的又は永久的になるかの機構の実現に責任を有する。
【0104】 6.2.2グローバル配列 いくつかのオブジェクトのグローバル性質はそれらがどんなアプレット・コン
テキストからもアクセス可能であることを要求する。フアイヤウォールは通常、
これらオブジェクトが柔軟な態様で使用されることを防ぐ。ジャバ・カードVM
はオブジェクトがグローバルとして指定されることを可能にする。 全てのグローバル配列は一時的グローバル配列オブジェクトである。これらオ
ブジェクトはJCREコンテキストにより所有されるが、どんなアプレット・コ
ンテキストからもアクセスできる。しかし、これらのオブジェクトへの参照はク
ラス変数、インスタンス変数又は配列要素内には記憶できない。JCREはこれ
らのオブジェクトへの参照の記憶の試みを、認証されない再使用を防ぐためにフ
アイヤウォール機能の一部として検出して制限する。 追加のセキュリテイのため、配列のみがグローバルと指定でき、そしてJCR
E自身のみがグローバル配列を指定できる。アプレットがそれらを生成できない
ため、APIメソッドは定義されない。JCRE実現者はグローバル配列が指定
される機構を実現する責任がある。 この仕様の刊行時に、ジャバ・カードAPI2.1に要求されるグローバル配
列は、APDUバッフア及びアプレットのインストール・メソッドへのバイト配
列入力パラメータ(b配列)のみである。 注−そのグローバル地位のため、アプレットが選択される時は常に、JCREが
新しいAPDU命令を受取る前に、APDUバッフアがゼロにクリアされること
をAPIは指定する。これは、アプレットの潜在的な重要なデータがグローバル
APDUバッフアを経由して他のアプレットへ「漏れる」ことを防止する。AP
DUバッフアは、共有インターフエイス・オブジェクト・コンテキストからアク
セスでき、アプレット・今テキストを横断してデータを送るのに適している。ア
プレットは、APDUバッフアからアクセスされる秘密データを保護する責任が
ある。
【0105】 6.2.3JCRE特権 「システム」コンテキストであるため、JCREコンテキストは特別な特権を
有する。それはカード上のどんなオブジェクトのメソッドも呼出すことができる
。例えば、オブジェクトXがアプレットAにより所有されていると仮定すると、
普通、コンテキストAのみがフイールド及びXのメソッドをアクセスできる。し
かし、JCREコンテキストはXのどんなメソッドも呼出すことができる。この
ような呼出し中、コンテキスト切換えが、JCREコンテキストからXを所有す
るアプレット・コンテキストへ生ずる。 注−JCREは、Xのメソッド及びフイールドの両方をアクセスできる。メソッ
ドのアクセスはJCREがアプレット・コンテキストに入るための機構である。
JCREはフアイヤウォールを介してどんなメソッドも呼出すことができるが、
アプレット・クラスで定義された、select,process,deselect,getShareableInte
rfaceObjectメソッド(6.2.7.1参照)のみを呼出すべきである。 JCREコンテキストは、VMがカード・リセット後に実行を開始する時の現
在活動的なコンテキストである。JCREコンテキストは「ルート」コンテキス
トであり、常に現在活動的なコンテキスト又はスタックに記憶された底コンテキ
ストのいずれかである。
【0106】 6.2.4共有可能インターフエイス 共有可能インターフエイスは、アプレット相互作用を可能にするためのジャバ
・カードAPI2.1の新しい特徴である。共有可能インターフエイスは、1組
の共有されたインターフエイス・メソッドを定義する。これらのインターフエイ
ス・メソッドは、もしそれらを実現するオブジェクトが別のアプレット・コンテ
キストにより所有されていても、1つのアプレット・コンテキストから呼出すこ
とができる。 この仕様では、共有可能インターフエイスを実現するクラスのオブジェクト・
インターフエイスは、共有可能インターフエイス・オブジェクト(SIO)と呼
ばれる。 所有コンテキストには、SIOはそのフイールド及びメソッドがアクセスでき
る普通のオブジェクトである。その他のコンテキストには、SIOは共有可能な
インターフエイスのインスタンスであり、共有可能インターフエイス内で定義さ
れたメソッドのみがアクセス可能である。SIOのその他の全てのフイールド及
びメソッドはフアイヤウォールにより保護される。 共有可能インターフエイスは、アプレット間通信のための安全な機構を以下の
様に与える。 1.オブジェクトを別のアプレットに利用可能にするため、アプレットAは最初
に共有可能インターフエイスSIを定義する。共有可能インターフエイスはイン
ターフエイス、javacard.framework.Shareable、を拡張する。共有可能インター
フエイスSIに定義されたメソッドは、アプレットAが他のアプレットにアクセ
ス可能にしたサービスを表す。 2.そして、アプレットAは共有可能インターフエイスSIを実現するクラスC
を定義する。CはSI内に定義されたメソッドを実現する。Cは他のメソッド及
びフイールドも定義してもよいが、これらはアプレット・フアイヤウォールで保
護されている。SI内で定義されているメソッドのみが他のアプレットにとりア
クセス可能である。 3.アプレットAは、クラスCのオブジェクト・インスタンスOを生成する。O
はアプレットAに属し、フアイヤウォールはAがOのどんなフイールド及びメソ
ッドもアクセスすることを可能にする。 4.アプレットAのオブジェクトOにアクセスするために、アプレットBはタイ
プSIのオブジェクト参照SIOを生成する。 5.アプレットBは、アプレットAから共有されたインターフエイス・オブジェ
クト参照を要求するために特別なメソッド(パラグラフ6.2.7.2に記載さ
れたJCSystem.getAppletShareableInterfaceObject)を呼出す。 6.アプレットAは、要求及びApplet.getShareableInterfaceObjectを経由して
要求者(B)のAIDを受取り、そしてそれがアプレットBとオブジェクトOを
共有するかどうかを決定する。 7.もしアプレットAが、アプレットBと共有を同意すれば、AはOへの参照と
共に要求に応答する。この参照はOのメソッド又はフイールドのいずれも見えな
いようにするために、Shareableをタイプするためのキャストである。 8.アプレットBはアプレットAからオブジェクト参照を受取り、それをSIを
タイプするためにキャストし、それをオブジェクト参照SIO内に記憶する。S
IOは実際にAのオブジェクトOを参照するが、SIOはタイプSIである。S
Iで定義された共有可能インターフエイス・メソッドのみがBに見える。フアイ
ヤウォールはOの他のフイールド及びメソッドがBによりアクセスされることを
防止する。 9.アプレットBは、SIOの共有可能なインフエイス・メソッドの1つを呼出
すことにより、アプレットAからのサービスを要求できる。呼出し中、ジャバ・
カードVMはコンテキスト切換えを実行する。元の現在活動的なコンテキスト(
B)はスタック上に記憶され、そして実際のオブジェクト(O)の所有者(A)
のコンテキストが新しく現在活動的なコンテキストとなる。共有可能インターフ
エイス・メソッド(SIメソッド)のAの実現がAのコンテキスト中で実行され
る。 10.SIメソッドは、JCSystem.getPreviousContextAIDメソッドを介してその
クライアント(B)のAIDを見付けることができる。これはパラグラフ6.3
2.5内に記載されている。このメソッドはアプレットBのためにサービスを実
行するかどうかを決定する。 11.コンテキスト切換えのため、フアイヤウォールは、SIメソッドがオブジ
ェクトOの全てのメソッド及びフイールド及びAにより所有されるその他のオブ
ジェクトにアクセスすることを可能にする。同時に、フアイヤウォールはメソッ
ドがBにより所有された非共有オブジェクトをアクセスすることを防止する。 12.SIメソッドは、Bにより送られたパラメータをアクセスでき、そしてB
に戻り値を与えることができる。 13.戻る際に、ジャバ・カードVMはコンテキスト切換えの回復を実行する。
元の現在活動的なコンテキスト(B)がスタックから押出されて、再び、現在の
コンテキストとなる。 14.コンテキスト切換えのため、フアイヤウォールは再び、Bがそのオブジェ
クトのいずれにもアクセスすることを可能にし、そしてBがA所有の非共有オブ
ジェクトにアクセスすることを防止する。
【0107】 6.2.5前のコンテキストの決定 アプレットが、JCSystem.getPreviousContextAIDをコールする時、JCREは
最後のコンテキスト切換えの時に活動的なアプレット・インスタンスのインスタ
ンスAIDを戻す。
【0108】 6.2.5.1JCREコンテキスト JCREコンテキストはAIDを持たない。アプレット・コンテキストがJC
REから直接に入った時、もしアプレットが、getPreviousContextAIDをコール
すれば、このメソッドは無効を返答する。 もしアプレットが、アプレット自身から又は共有可能インターフエイスを介し
てアクセスされている時に外部アプレットからアクセスされているメソッドから
、getPreviousContextAIDをコールすれば、それは呼出し者AID認証を実行す
る前に、無効返答を検査する。
【0109】 6.2.6共有可能インターフエイス詳細 共有可能インターフエイスは、単にタッギング・インターフエイス、javacard
.framework.Shareable、を拡張(直接的又は間接的のいずれかで)したものであ
る。この共有可能インターフエイスはRMIフアシリテイにより使用された遠隔
インターフエイスの概念的に類似していて、インターフエイス・メソッドへのコ
ールは、ローカル/遠隔境界を横断して生ずる。
【0110】 6.2.6.1ジャバ・カード共有可能インターフエイス 共有可能タッギング・インターフエイスを拡張したインターフエイスはこの特
別な性質を有する。インターフエイス・メソッドのコールはコンテキスト切換え
によりジャバ・カードのアプレットのフアイヤウォール境界を横断して生ずる。 共有可能インターフエイスは全ての共有されたオブジェクトを識別する役割を
有する。アプレット・フアイヤウォールを介して共有される必要のあるオブジェ
クトはこのインターフエイスを直接的に又は間接的に実現する。共有可能なイン
ターフエイスに指定されたこれらの方法のみがフアイヤウォールを介して利用可
能である。 実現クラスはどんな数の共有可能なインターフエイスも実現でき、その他の共
有可能な実現クラスに拡張できる。 ジャバ・プラットホーム・インターフエイスと同じく、共有可能インターフエ
イスは単に1組のサービス・メソッドを定義する。サービス提供者クラスが共有
可能インターフエイスを「実現」することを宣言し、インターフエイスのサービ
ス・メソッドの各々の実現を提供する。サービス・クライアント・クラスが、オ
ブジェクト参照を得て、もし必要ならば、共有可能インターフエイス・タイプに
それをキャストし、そしてインターフエイスのサービス・メソッドを呼び出すこ
とにより、サービスにアクセスする。 ジャバ・カード技術内の共有可能インターフエイスは以下の性質を有する。 ・共有可能インターフエイス内のメソッドが呼出された時、コンテキスト切換え
がオブジェクト所有者のコンテキストへ生ずる。 ・メソッドが出る時、コールしたもののコンテキストが回復される。 ・例外が投げられた時に発生するスタック・フレームの巻き戻しの際に、現在活
動的なコンテキストが正しく回復されるように、例外処理が増強される。
【0111】 6.2.7共有可能インターフエイス・オブジェクトの獲得 アプレット間通信は、クライアント・アプレットがサーバー・アプレットに属
するSIOの共有可能インターフエイス・メソッドを呼出す時に達成される。こ
れが動作するために、クライアント・アプレットが最初にサーバー・アプレット
からSIOを獲得するための方法がなければならない。JCREはこれを可能に
する機構を与える。アプレット・クラス及びJCSystemクラスはクライアントがサ
ーバーからサービスを要求することを可能にするメソッドを与える。 6.2.7.1メソッド・アプレット.getShareableInterfaceObject このメソッドは、サーバー・アプレット・インスタンスにより実現される。そ
れは別のアプレットに属するオブジェクトを使用することを要求するクライアン
ト・アプレットとオブジェクトを共有可能にするサーバー・アプレットとの間の
調停をするため、JCREによりコールされなければならない。 デフォルトの振舞いは無効を返答する。これはアプレットはアプレット間通信
に参加しないことを示す。 別のアプレットから呼出されることを意図されたサーバー・アプレットはこの
メソッドを覆す必要が有る。このメソッドはクライアントAIDとパラメータを
検査する。もしクライアントAIDが期待されたAIDの1つでなければ、メソ
ッドは無効を返答する。同様に、もしパラメータが認識されなければ、又は、も
しそれがクライアントAIDに許可されなければ、メソッドはまた無効を返す。
それら以外は、アプレットはクライアントが要求した共有可能インターフエイス
・タイプのSIOを戻す。 サーバー・アプレットは、同じSIOを全てのクライアントに返答する必要は
無い。サーバーは異なる目的のために共有されたインターフエイスの複数のタイ
プを支援でき、クライアントへどの種類のSIOを戻すかを決定するためにクラ
イアントAIDとパラメータを使用する。 6.2.7.2メソッドJCSystem.getAppletShareableInterfaceObject JCSystemクラスはメソッドgetAppletShareableInterfaceObjectを含
む。これはサーバー・アプレットと通信するためにクライアント・アプレットに
より呼出される。 JCREは以下の様に振舞うためにこのメソッドを実現する。 1.JCREはその内部アプレット・テーブル内でサーバーAIDを持ったもの
を探す。見つからなければ、無効が戻される。 2.JCREは、このアプレットのgetShareableInterfaceObjectメソッドを呼
出し、呼出したもののクライアントAIDとパラメータを送る。 3.コンテキスト切換えがサーバー・アプレットへ生ずる。そして前記したよう
にgetShareableInterfaceObjectの実現が進行する。サーバー・アプレットはS
IO(又は無効)を戻す。 4.GetAppletShareableInterfaceObjectは同じSIO(又は無効)をそのコー
ルしたものに戻す。 増強されたセキュリテイのため、実現はクライアントが以下の状態のどれが無
効値を戻したかを知ることが不可能にする。 ・サーバーAIDが見つからない。 ・サーバー・アプレットはアプレット間通信に参加していない。 ・サーバー・アプレットはクライアントAID又はパラメータを認識しない。 ・サーバー・アプレットはこのクライアントと通信しない。 ・サーバー・アプレットはパラメータにより指定されたようにこのクライアント
と通信しない。
【0112】 6.2.8クラス及びオブジェクト・アクセスの振舞い 静的クラス・フイールドは、以下の1つのジャバ・バイトコードが実行される
時にアクセスされる。 getstatic, putstatic オブジェクトは、以下の1つのジャバ・バイトコードがオブジェクト参照を使
用して実行される時にアクセスされる。 Getfield, putfield, invokevirtual, invokeinterface, athrow, <T>aload, <T>astore, arraylength, checkcast, instanceof, <T> は、baload、sastore等、さまざまなタイプのバイトコード配列を言う。 このリストは、getfield_b, sgetfield_s_this,等、ジャバ・カードVM内で
実現されるこれらのバイトコードの特別な又は最適化された形を含む。 ジャバVMにより指定されたバイトコードの仕事を実行する前に、ジャバ・カ
ードVMは参照されたオブジェクト上にアクセス検査を実行する。もしアクセス
が否定されると、SecurityExceptionが投げられる。 ジャバ・カードVMにより実行されるアクセス検査は参照されたオブジェクト
、バイトコード、及び現在活動的なコンテキストのタイプと所有者に依存する。
それらは以降に説明される。
【0113】 6.2.8.1静的クラス・フイールドへのアクセス バイトコード: getstatic, putstatic ・もしJCREが現在活動的なコンテキストであれば、アクセスが許可される。 ・それ以外で、もしバイトコードがputstaticで、記憶されているフイールドが
参照タイプで、記憶されている参照が一時JCRE入口点オブジェクト又はグロ
ーバル配列への参照であれば、アクセスは否定される。 ・それ以外は、アクセスは許可される。
【0114】 6.2.8.2配列オブジェクトへのアクセス バイトコード: <T>aload, <T>astore, arraylength, checkcast, instanceof ・もしJCREが現在活動的なコンテキストであれば、アクセスが許可される。 ・それ以外は、もしバイトコードがaastoreで、記憶されている要素が参照タイ
プであり、記憶されている参照が一時JCRE入口点オブジェクト又はグローバ
ル配列への参照であれば、アクセスは否定される。 ・それ以外で、もし配列が現在活動的コンテキストにより所有されていれば、ア
クセスは許可される。 ・それ以外で、配列がグローバルと指定されれば、アクセスは許可される。 ・それ以外は、アクセスは否定される。
【0115】 6.2.8.3クラス・インスタンス・オブジェクト・フイールドへのアクセス バイトコード: getfield, putfield ・もしJCREが現在活動的なコンテキストであれば、アクセスが許可される。 ・それ以外で、もしバイトコードがputfieldで、記憶されているフイールドが参
照タイプで、記憶されている参照が一時JCRE入口点オブジェクト又はグロー
バル配列への参照であれば、アクセスは否定される。 ・それ以外で、もしオブジェクトが現在活動的なコンテキストに所有されれば、
アクセスは許可される。 ・それ以外は、アクセスは否定される。
【0116】 6.2.8.4クラス・インスタンス・オブジェクト・メソッドへのアクセス バイトコード: invokevirtual ・もしオブジェクトが現在活動的なコンテキストに所有されれば、アクセスは許
可される。コンテキストはオブジェクトの所有者のコンテキストへ切り換えられ
る。 ・それ以外で、もしオブジェクトがJCRE入口点オブジェクトと指定されれば
アクセスは許可される。コンテキストはオブジェクトの所有者のコンテキスト(
JCREの)へ切り換えられる。 ・それ以外で、もしJCREが現在活動的なコンテキストであれば、アクセスが
許可される。コンテキストはオブジェクトの所有者のコンテキストへ切り換えら
れる。 ・それ以外は、アクセスが否定される。
【0117】 6.2.8.5標準インターフエイス・メソッドへのアクセス バイトコード: invokeinterface ・もしオブジェクトが現在活動的なコンテキストに所有されれば、アクセスは許
可される。 ・それ以外で、もしJCREが現在活動的なコンテキストであれば、アクセスが
許可される。コンテキストはオブジェクトの所有者のコンテキストへ切り換えら
れる。 ・それ以外は、アクセスは拒否される。
【0118】 6.2.8.6共有可能インターフエイス・メソッドへのアクセス バイトコード: invokeinterface ・もしオブジェクトが現在活動的なコンテキストに所有されれば、アクセスは許
可される。 ・それ以外で、もしオブジェクトのクラスが共有可能インターフエイスを実現す
れば、そしてもし呼出されるインターフエイスが共有可能インターフエイスを拡
張すれば、アクセスは許可される。コンテキストはオブジェクトの所有者のコン
テキストへ切り換えられる。 ・それ以外で、もしJCREが現在活動的なコンテキストであれば、アクセスが
許可される。コンテキストはオブジェクトの所有者のコンテキストへ切り換えら
れる。 ・それ以外は、アクセスは拒否される。
【0119】 6.2.8.7例外オブジェクトを投げる バイトコード: athrow ・もしオブジェクトが現在活動的なコンテキストに所有されれば、アクセスは許
可される。 ・それ以外で、もしオブジェクトがJCRE入口点オブジェクトと指定されれば
、アクセスは許可される。 ・それ以外で、もしJCREが現在活動的なコンテキストであれば、アクセスは
許可される。 ・それ以外は、アクセスは否定される。
【0120】 6.2.8.8クラス・インスタンス・オブジェクトへのアクセス バイトコード checkcast, instanceof ・もしオブジェクトが現在活動的なコンテキストに所有されれば、アクセスは許
可される。 ・それ以外で、もしJCREが現在活動的なコンテキストであれば、アクセスは
許可される。 ・それ以外で、もしオブジェクトがJCRE入口点オブジェクトと指定されれば
、アクセスは許可される。 ・それ以外で、もしJCREが現在活動的なコンテキストであれば、アクセスは
許可される。 ・それ以外は、アクセスは否定される。
【0121】 6.2.8.9標準インターフエイスへのアクセス バイトコード checkcast, instanceof ・もしオブジェクトが現在活動的なコンテキストに所有されれば、アクセスは許
可される。 ・それ以外で、もしJCREが現在活動的なコンテキストであれば、アクセスは
許可される。 ・それ以外は、アクセスは否定される。
【0122】 6.2.8.10共有可能インターフエイスへのアクセス バイトコード checkcast, instanceof ・もしオブジェクトが現在活動的なコンテキストに所有されれば、アクセスは許
可される。 ・それ以外で、もしオブジェクトのクラスが共有可能インターフエイスを実現し
、そしてもしオブジェクトが共有可能インターフエイスを拡張するインターフエ
イスにキャスト(checkcast)され又はそのインスタンス(instanceof)であれば、
アクセスは許可される。 ・それ以外で、もしJCREが現在活動的なコンテキストであれば、アクセスは
許可される。 ・それ以外は、アクセスは否定される。
【0123】 6.3一時的オブジェクト及びアプレット・コンテキスト クリア・オン・リセット・タイプの一時的オブジェクトは、現在活動的なアプ
レット・コンテキストがオブジェクトの所有者(オブジェクトが生成された時に
現在活動的なアプレット・コンテキスト)と同じ時のみにそれらがアクセスでき
るという点で、持続性オブジェクトと似た振舞いをする。
【0124】 クリア・オン・デセレクト・タイプの一時的オフジェクトは、現在活動的なア
プレット・コンテキストが現在選択されたアプレット・コンテキストである時の
みに生成又はアクセスできる。もしどんなmakeTransientfactoryメソッドが、現
在活動的なアプレット・コンテキストが現在選択されたアプレット・コンテキス
トでない時に、クリア・オン・デセレクト・タイプの一時的オブジェクトを生成
するためにコールされると、メソッドは理由コード、ILLEGAL_TRANSIENT、と共
に、SystemException、を投げる。もしクリア・オン・デセレクト・タイプの一
時的オフジェクトへのアクセスが、現在活動的なアプレット・コンテキストが現
在選択されたアプレット・コンテキストでない時に試みられた場合、JCREは
SecurityExceptionを投げる。 同じパッケージの部分のアプレットは同じグループ・コンテキストを共有する
。パッケージからの各アプレット・インスタンスは、同じパッケージからの全て
の他のインスタンスと共に全てのそのオブジェクト・インスタンスを共有する。
(これはこれらのアプレット・インスタンスにより所有されるクリア・オン・リ
セット・タイプ及びクリア・オン・デセレクト・タイプの両方の一時的オブジェ
クトを含む。) 同じパッケージ内のどんなアプレット・インスタンスにより所有されるクリア
・オン・デセレクト・タイプの一時的オブジェクトは、このパッケージ内のいず
れかのアプレット・インスタンスが現在選択されたアプレットである時に、アク
セス可能である。
【0125】 7.トランザクション及びアトミシテイ トランザクションは、持続性データの更新の論理的組である。例えば、1つの
口座から別の口座にある量のお金を移動することは銀行トランザクションである
。トランザクションがアトミックであることが重要である。データ・フイールド
の全てが更新されるか、又は全くされないかのいずれかである。JCREは、も
しトランザクションが正常に終了しなければ、カードのデータはその元のトラン
ザクション前状態に回復されるように、アトミック・トランザクションのための
健全な支援を与える。この機構は、トランザクション中の電源喪失やプログラム
エラーなどのもしトランザクションの全ステップが正常に終了しない場合にデー
タを壊すであろう出来事に対して、保護する。
【0126】 7.1アトミシテイ アトミシテイは、1つのオブジェクト又はクラス・フイールド又は配列成分の
更新中の停止、故障、又は致命的な例外の後に、持続性記憶の内容をカードがど
のように処理するかを定義する。もし電源が更新中に喪失したならば、アプレッ
ト開発者は、電源が回復された時にフイールド又は配列成分が含むものに依存す
ることができなければならない。 ジャバ・カード・プラットホームは、単一の持続性オブジェクト又はクラス・
フイールドのどんな更新もアトミックであることを保証する。これに加えて、ジ
ャバ・カード・プラットホームは、持続性配列に対して、単一成分レベル・アト
ミシテイを与える。すなわち、もしスマート・カードがCADセッションを横断
して保存されるべきデータ要素(オブジェクト/クラス内のフイールド又は配列
の成分)の更新中に電源を喪失すると、データ要素はその前の値に回復される。 いくつかのメソッドはまた、複数のデータ要素のブロック更新のためのアトミ
シテイを保証する。例えば、Util.arrayCopyメソッドのアトミシテイは、全ての
バイトが正しくコピーされたか、又はそうでなければ宛先配列はその前のバイト
値に回復されるかのいずれかを保証する。 アプレットは配列更新に対してアトミシテイを要求しないかもしれない。Util
.arrayCopyNonAtomicメソッドは、この目的のために提供される。それは進行中
のトランザクションと一緒にコールされた時でさえも、トランザクション・コミ
ット・バッフアを使用しない。
【0127】 7.2トランザクション アプレットは、いくつかの異なるオブジェクト内のいくつかの異なるフイール
ド又は配列成分を、アトミカリーに更新する必要があるかもしれない。全ての更
新は、正確に且つ整合的に行なわれるか、そうでなければ、全てのフイールド/
成分はそれらの前の値に回復されるかのいずれかである。 ジャバ・カード・プラットホームは、アプレットがJCSystem.beginTransactio
nメソッドへのコールと共に更新のアトミックな組の始まりを指定することがで
きるトランザクション・モデルを支援する。この点の後の各オブジェクト更新は
、条件付きで更新される。フイールド又は配列成分は更新されたかのように見え
る。フイールド/配列成分を読み返すとその最新の条件付き値が生ずる。しかし
、更新はまだコミットされていない。 アプレットが、JCSystem.commitTransactionをコールする時、全て条件付きの
更新が持続性記憶にコミットされる。JCSystem.commitTransactionの完了前に電
源喪失又はその他のシステム故障が発生すると、全ての条件付更新フイールド又
は配列成分はそれらの前の値に回復される。もしアプレットが、内部的問題に出
会う又はトランザクションを取消すと決定した場合、それは、JCSystem.abortTr
ansactionをコールすることにより条件付き更新をプログラム的に元に戻すこと
ができる。
【0128】 7.3トランザクション期間 トランザクションは、JCREがアプレットのセレクト、デセレクト、プロセ
ス、又はインストール・メソッドからの戻りの際にプログラム的制御を再獲得す
る時に、常に終了する。これは、トランザクションがアプレットのcommitTransa
ctionへのコールでもって、又は、トランザクションの中止(アプレットにより
プログラム的に又はJCREによるデフォルトによるかのいずれか)でもって正
常に終了するかにかかわらず、真である。トランザクション中止のさらなる詳細
はパラグラフ7.6を参照。 トランザクション期間は、JCSystem.beginTransactionへのコールとcommitTra
nsactionへのコール若しくはトランザクションの中止の間のトランザクションの
一生である。
【0129】 7.4ネストされたトランザクション 現在のモデルは、ネストされたトランザクションは可能でないと仮定する。一
時には1つのトランザクションだけが存在できる。もしトランザクションが既に
進行中に、JCSystem.beginTransactiontがコールされると、TransactionExcepti
onが投げられる。 トランザクションが進行中がどうかを決定することができるように、JCSystem
.transactionDepthメソッドが提供される。
【0130】 7.5トランザクション故障のリセット又はテイア トランザクションが進行中に、電源が喪失(テイア)し、又は、カードがリセ
ットされ、又は、その他のシステム故障が発生した場合、JCREは前のJCSyst
em.beginTransactionをコール以降の全てのフイールド及び配列の成分の条件付
き更新をそれらの前の値に回復する。 この動作は、JCREにより自動的にカードを電源喪失、リセット、又は故障
から回復した後に再初期化する時に、実行される。JCREはそれらのオブジェ
クトのどれが(もしあれば)条件付きで更新されたかを決定し、それらを回復す
る。 注−電源喪失又はカード・リセットにより失敗したトランザクション中に生成さ
れたインスタンスにより使用されたオブジェクト空間は、JCREにより回復で
きる。
【0131】 7.6トランザクションの中止 トランザクションはアプレット又はJCREのいずれかにより中止できる。
【0132】 7.6.1プログラム的中止 もしアプレットが内部的問題に出会い又はトランザクションを取消す決定をし
た場合、それはJCSystem.abortTransactionをコールすることにより、条件付き
更新をプログラム的に元に戻すことができる。もしこのメソッドがコールされる
と、前のJCSystem.beginTransactionのコール以来の全ての条件付き更新された
フイールド又は配列成分はそれらの前の値に回復され、そして、JCSystem.trans
actionDepth値は0にリセットされる。
【0133】 7.6.2JCREによる中止 もしアプレットが進行中のトランザクションの際にセレクト、デセレクト、プ
ロセス又はインストール・メソッドから戻ると、JCREは自動的にトランザク
ションを中止する。もしトランザクションの進行中にセレクト、デセレクト、プ
ロセス、又はインストール・メソッドからの戻りが発生すると、JCREはあた
かも例外が投げなれたように動作する。
【0134】 7.6.3JCREのクリーンアップ責任 中止されたトランザクションの際に生成されたオブジェクト・インスタンスは
、もしこれらのオブジェクトについての全ての参照が探すことができて無効に変
換できれば、削除できる。JCREは中止されたトランザクション中に生成され
たオブジェクトについての参照は無効の参照に等しいことを保証する。
【0135】 7.7一時的オブジェクト 持続性オブジェクトの更新のみがトランザクションに参加する。一時的オブジ
ェクトの更新は、それらが「内部トランザクション」がどうかにかかわらず決し
て、元に回復されない。
【0136】 7.8コミット容量 プラットホーム資源が制限されるため、トランザクション中に蓄積できる条件
付き更新データのバイト数は制限される。ジャバ・カード技術は、実現の際にど
れだけのコミット容量が利用可能かを決定するメソッドを与える。コミット能力
は、利用可能な条件付きバイト更新の数の上限を表す。マネージメント・オーバ
ーヘッドのために利用できる条件付きバイト更新の実際の数はそれよりも少ない
。 トランザクション中に、もしコミット容量を越えると、例外が投げられる。
【0137】 8.APIトピックス この章のトピックスは、ジャバ・カード2.1API草案2仕様に詳述された
要件を補足する。第1トピックはAPDUクラス内に完全に実現されるジャバ・
カードI/O機能である。第2トピックはAPI支援ジャバ・カード・セキュリ
テイと暗号である。JCSystem classはAPIバージョン・レベルをカプセル化す
る。 API内部のトランザクション ジャバ・カード2.1API仕様で特別に表示されなければ、APIクラスの
実現はトランザクションを開始したり、又は進行中であれば、トランザクション
の状態を変更したりしない。 API内部の資源の使用 ジャバ・カード2.1API仕様で特別に表示されなければ、実現はオブジェ
クト・インスタンスの所有者が現在選択されたアプレットでない時でさえ、AP
Iインスタンス・メソッドの呼出しを支援する。換言すれば、特に表示されなけ
れば、実現はクリア・オン・デセレクト・タイプの一時的オブジェクトなどの資
源を使用しない。 APIクラスにより投げられた例外 API実現により投げられた全ての例外オブジェクトは、一時的JCRE入口
点オブジェクトである。一時的JCRE入口点オブジェクトは、クラス変数、イ
ンスタンス変数、又は配列成分内に記憶することができない(参照6.2.1)
【0138】 8.1APDUクラス APDUクラスは、ISO7816−4に基づいたカード・シリアル線を横断
するI/Oへのアクセスをカプセル化する。APDUクラスは、下にあるI/O
トランスポート・プロトコルに独立に設計されている。 JCREは、T=0又はT=1トランスポート・プロトコル又は両方を支援す
る。
【0139】 8.1.1外向きデータ転送ためT=0詳細 ブロック連鎖機構を支援しない旧式のCAD/ターミナルとの互換性のため、
APDUクラスは、setOutgoingNoChainingメソッドを介してモード選択を可能
にする。
【0140】 8.1.1.1連鎖無しの制約された転送 setOutgoingNoChainingメソッドをコールすることによりアプレットにより要
求された出力転送の無連鎖モードの時、以下のプロトコル順序が続く。 注−無連鎖モードが使用される時、waitExtensionメソッドへのコールは理由コ
ード、ILLEGAL_USE、と共に、APDUException、を投げる。 表記 Le=CADが期待する長さ。 Lr=setOutgoingLengthメソッドを介して設定されたアプレット返答長さ。 <INS>=次に転送される全データ・バイトを示す、入力ヘッダーINSバイ
トに等しいプロトコル・バイト。 <〜INS>=次に転送される約1データ・バイトを示す、入力ヘッダーINS
バイトの補数であるプロトコル・バイト。 <SW1,SW2>=ISO7816−4内のような応答状態バイト。 ISO7816−4ケース2 Le==Lr 1.カードが、標準のT=0<INS>又は<〜INS>手順バイト機構を使用
して、Lrバイトの出力データを送信する。 2.カードが、Applet.processメソッドの完了時に<SW1,SW2>完了状態
を送信する。 Lr<Le 1.カードが、<0x61,Lr>完了状態バイトを送信する。 2.CADが、Le=LrでもってGET RESPONSE命令を送信する。 3.カードが、標準のT=0<INS>又は<〜INS>手順バイト機構を使用
して、Lrバイトの出力データを送信する。 4.カードが、Applet.processメソッドの完了時に<SW1,SW2>完了状態
を送信する。 Lr>Le 1.カードが、標準のT=0<INS>又は<〜INS>手順バイト機構を使用
して、Leバイトの出力データを送信する。 2.カードが、<0x61,(Lr−Le)>完了状態バイトを送信する。 3.CADが、新Le<=Lrで持つGET RESPONSE命令を送信する
。 4.カードが、標準のT=0<INS>又は<〜INS>手順バイト機構を使用
して、(新)Leバイトの出力データを送信する。 5.要求されるならば残りの出力データ・バイト(Lr)を送るのに必要なステ
ップ2−4を繰返す。 6.カードが、Applet.processメソッドの完了時に<SW1,SW2>完了状態
を送信する。 ISO7816−4ケース4 ケース4において、Leは以下の初期交換後に決定される。 1.カードが、<0x61,Lr状態バイト>を送信する。 2.CADが、Le<=Lrを持つGET RESPONSE命令を送信する。 プロトコル順序の残りは、上記のケース2と同じ。 もし、アプレットが早く中止してLeバイトよりも少なく送信すると、CADが
期待する転送長を満たすためにゼロが代りに送られてもよい。
【0141】 8.1.1.2通常の出力転送 アプレットにより出力転送の無連鎖モードが要求されない時(すなわち、setO
utgoing方法が使用される)、以下のプロトコル順序が続く。 どんなISO−7816−3/4準拠T=0プロトコル転送順序が使用できる
。 注−sendBytes又はsendBytesLongメソッドの連続したコール間でアプレットによ
り、waitExtensionメソッドを呼出すことができる。waitExtensionメソッドは、
0x60手順バイトを使用して追加の作業時間を要求する(ISO−7816−3)
【0142】 8.1.1.3追加的T=0要件 何時でも、T=0出力転送プロトコルが使用中で、そしてAPDUクラスがカ
ードからの<0x61,xx>の返答状態に応答してCADからのGET RE
SPONSE命令を待っている時、もしCADが異なる命令を送れば、sendByte
s又はsendBytesLongメソッドは理由コードNO_TO_GETRESPONSEと共にAPDUExcepti
onを投げる。 この点からのsendBytes又はsendBytesLongメソッドへのコールは、理由コード
ILLEGAL_USEと共にAPDUExceptionを生ずる。もし、NO_T0_GETRESPONSE例外が投
げられた後に、アプレットによりISOExceptionが投げられると、JCREはその
理由コードの返答状態を破棄する。JCREは新たに受取った命令と共にAPD
Uを再開し、APDUの発送を再開する。
【0143】 8.1.2外向きデータ転送のためのT=1詳細 8.1.2.1無連鎖転送の制約 setOutgoingNoChainingメソッドをコールすることによりアプレットにより要
求された出力転送の無連鎖モードの時、以下のプロトコル順序が続く。 表記 Le=CADが期待する長さ。 Lr=setOutgoingLengthメソッドを介して設定されるアプレット返答長さ。 トランスポート・プロトコル順序ブロック連鎖を使用しない。転送中にMビッ
ト(より多くのデータ・ビット)はIブロックのPCB内に設定されない。換言
すれば、外向きデータの全体(Lrバイト)は1つのIブロック内で転送される
。 (もし、アプレットが早く中止してLeバイトよりも少なく送信すると、残り
のブロックの長とを満たすためにゼロが代りに送られる。) 注−無連鎖モードが使用される時、waitExtensionメソッドへのコールは理由コ
ード、ILLEGAL_USE、と共に、APDUException、を投げる。
【0144】 8.1.2.2通常の出力転送 アプレットにより出力転送の無連鎖モードが要求されない時、すなわち、setO
utgoing方法が使用される時、以下のプロトコル順序が続く。 どんなISO−7816−3/4準拠T=1プロトコル転送順序が使用できる
。 注−sendBytes又はsendBytesLongメソッドの連続したコール間でアプレットによ
り、waitExtensionメソッドを呼出すことができる。waitExtensionメソッドは、
T=0モード内の追加の1作業時間を要求することに等しい、INFユニットの
WTX要求を有するSブロック命令を送る(ISO7816−3参照)。
【0145】 8.2セキュリテイ及び暗号パッケージ 次のクラス内のgetInstanceメソッドは、要求されたアルゴリズムをコールす
るアプレットのコンテキスト中に実現インスタンスを戻す。 Javacard.security.MessageDigest Javacard.security.Signature Javacard.security.RandomData Javacardx.crypto.Cipher JCREの実現は、APIにリストされたアルゴリズムの0又は複数を実現す
る。実現されていないアルゴリズムが要求される時、このメソッドは理由コード
、NO_SUCH_ALGORITHM、を持った、CryptoException、を投げる。 上記クラスの実現は、対応する基本クラスを拡張し、全てのアブストラクト・
メソッドを実現する。実現インスタンスと関連された全てのデータ割当ては 、アプレットのインストレーション中に要求された資源の不足を早期にフラグを
立てることができることを保証するためにインスタンス構成の時に実行される。 同様に、javacard.security.keyBuilderクラスのbuildkey方法は、要求された
キー・タイプの実現インスタンスを戻す。JCREは、0又は複数のキー・タイ
プを実現する。実現されていないキー・タイプが要求される時、このメソッドは
理由コード、NO_SUCH_ALGORITHM、を持った、CryptoException、を投げる。 キー・タイプの実現は関連したインターフエイスを実現する。キー実現インス
タンスに関連した全てのデータ割当ては、アプレットのインストレーション中に
要求された資源の不足を早期にフラグを立てることができることを保証するため
にインスタンス構成の時に実行される。
【0146】 8.3JCSystem Class ジャバ・カード2.1において、getVersionメソッドは、0x0201、(短い)を
戻す。
【0147】 9.仮想マシン・トピックス この章のトピックスは仮想マシンの詳細を説明する。 9.1資源故障 回復可能な資源状態(例えば、ヒープ空間)の枯渇は、理由コード、NO_RESOU
RCE、を持った、SystemException、を生ずる。一時的配列を生成するために使用
されるJCSystem内のフアクトリイ・メソッドは、一時的空間の不足を示
すために、理由コード、NO_TRANSIENT_SPACE、を持った、SystemException、を
投げる。 スタックのオーバーフローなどの全ての仮想マシン・エラー(回復不可能)は
、仮想マシン・エラーを生ずる。これらの状態は仮想マシンを停止させる。この
ような回復不可能な仮想マシン・エラーが発生する時、実現は選択的にカードを
ミュートにするか将来の使用を阻止することを要求できる。
【0148】 10.アプレット・インストラー ジャバ・カード技術を使用したスマート・カード上のアプレット・インストレ
ーションは、複雑なトピックである。ジャバ・カードAPI2.1は、それらの
実現において可能な限りの多くの自由度を、JCRE実現者に与えることを意図
している。しかし、いくつかの基本的な共通仕様が、ジャバ・カード・アプレッ
トがインストールする特定のインストーラの実現の詳細を知ることなくインスト
ールすることを可能にするために、要求される。 この仕様は、インストーラの概念を定義し、そして広い範囲にわたり可能なイ
ンストーラの実現の相互操作を達成するために、最小のインストレーション要件
を詳細に示す。 アプレット・インストーラはJCRE2.1仕様の選択的な部分である。すな
わち、JCREの実現は、発行後にインストーラを含むことは必ずしも必要でな
い。しかし、もし実現されれば、インストーラは節9.1に詳細に説明された振
舞いを支援することが要求される。
【0149】 10.1インストーラ ジャバ・カード技術を使用してスマート・カード上にアプレットをインストー
ルするために必要な機構は、インストーラと呼ばれるカード上の部品に具体化さ
れている。 CADに対して、インストーラはアプレットに見える。それはAIDを持ち、
そしてこのAIDがセレクト命令により成功的に処理された時に現在選択された
アプレットとなる。一旦、選択されると、インストーラは他のアプレットと同様
に振舞う。 ・その他の選択されたアプレットと同様に、それは全てのAPDUを受取る。 ・その設計仕様は、さまざまな前処理下でこれらの命令のセマテイックスと共に
受取るこてが期待されるAPDUのフォーマット及び様々な種類を規定する。 ・それが受取る全てのAPDUを処理して応答する。不正確なAPDUはある種
類のエラー状態を持って応答される。 ・別のアプレットが選択された時(又はカードがリセットされた時又は電源がカ
ードから取外された時)、インストーラは選択解除されて、それが選択される次
の時まで中止される。
【0150】 10.1.1インストーラ実現 インストーラは、カード上にアプレットとして実現する必要はない。要件は、
インストーラの機能は選択可能であることだけである。この要件の結果として、
インストーラ成分は、非インストーラ・アプレットが選択された時又はアプレッ
トが選択されない時、呼出すことができない。 明らかに、JCRE実現者はインストーラをアプレットとして実現できること
を選択できる。もしそうならば、インストーラはアプレット・クラスを拡張する
ためにコードされて、セレクト、プロセス、及びデセレクト・メソッドの呼出し
に応答する。 しかし、JCRE実現者は、インストーラをそれが外界に対して選択可能な振
舞いを与える限り、別の方法で実現できる。この場合、JCRE実現者はAPD
Uがインストーラ・コード・モジュールに配達される別の機構を与える自由度を
有する。
【0151】 10.1.2インストーラAID インストーラは選択可能であるから、それはAIDを有する。JCRE実現者
はそれらのインストーラが選択されるAIDを自由に選択できる。複数のインス
トーラが実現できる。
【0152】 10.1.3インストーラAPDU ジャバ・カードAPI2.1は、インストーラに対してAPDUを指定しない
。JCREは実現者はそれらのインストーラに仕事を指示するためにAPDU命
令を完全に自由に選択できる。 モデルは、カード上のインストーラがCAD上で走るインストレーション・プ
ログラムにより駆動される。インストレーションが成功するために、このCAD
インストレーション・プログラムは以下のことが可能でなければならない。 ・カードを認識する。 ・カード上のインストーラを選択する。 ・適当なAPDUをカード・インストーラに送ることにより、インストレーショ
ン・プロセスを駆動する。これらのAPDUは、以下を含む。 >インストレーションが認証されることを保証するための、認証情報。 >カード・メモリ内にロードされるべきアプレット・コード >カード上に既に存在するコードとアプレット・コードをリンクするためのリン
ケージ情報 >アプレットのインストール・メソッドに送られるべきインスタンス・イニシャ
ライゼーション・パラメータ・データ ジャバ・カードAPI2.1はCADインストーレイション・プログラムの詳
細を指定せず、また、APDUはそれとインストーラの間に送られない。
【0153】 10.1.4インストーラ振舞い JCRE実現者は、以下を含むそれらのインストーラの他の振舞いを定義しな
ければならない。 ・インストーレイションが中止できるかどうか、そしてこれがいかになされたか
。 ・インストーレイション中に、もし例外、リセット、又は電源喪失が発生したら
、何が生ずるか。 ・インストーラがその仕事を終える前に、もし別のアプレットが選択されたら何
が生ずるか。 JCREは、以下の場合、アプレットが成功的にインストールされたと見なさ
れないことを保証する。 ・Applet.registerメソッドからの成功的な戻りの前に、アプレットのインスト
ール・メソッドが例外を投げる(パラグラフ9.2参照)。
【0154】 10.1.5インストーラ特権 インストーラはアプレットとして実現できるが、インストーラは典型的に「他
のアプレット」に利用可能ではない特徴にアクセスする必要がある。例えば、J
CRE実現者の実現に依存して、インストーラは次のことが必要である。 ・オブジェクト・システム及び/又は標準セキュリテイをバイパスして、直接に
メモリに読み書きする。 ・他のアプレット又はJCREにより所有されたオブジェクトへのアクセス。 ・JCREの非入口点メソッドを呼出す。 ・新たにインストールされたアプレットのインストール・メソッドを呼出すこと
ができる。 再び、インスートラ実現を決定し、そしてインストーラを支援するのに必要な
JCRE実現内の特徴を供給することは、各JCRE実現者の責任である。JC
RE実現者は、普通のアプレットに利用できないようにするため、そのような特
徴のセキュリテイに責任を有する。
【0155】 10.2新にインストールされたアプレット インストーラとインストールされているアプレットの間に単一のインターフエ
イスが存在する。インストーラが正しく実行(ローデイング及びリンキングなど
の実行されたステップ)するためのアプレットを準備した後に、インストーラは
アプレットのインストール・メソッドを呼出す。このメソッドはアプレット・ク
ラスと定義される。 インストーラからアプレットのインストール・メソッドが呼出される正確な機
構は、JCRE実現者定義の実現詳細である。しかし、インストール・メソッド
(新しいオブジェクトを生成するなど)により実行されたコンテキストに関係し
た操作が新アプレットのコンテキスト内でなされ、そしてインストーラのコンテ
キスト内でないようにするため、コンテキスト切換えがある。インストーラはア
プレット・クラス初期化(<clint>)メソッド中に生成された配列オブジ
ェクトが、新アプレットのコンテキストにより所有されることも保証する。 もし全てのステップが失敗又は例外が投げられることなく、実行するApplet.r
egisterメソッドからの成功的な戻りを含むまで、完了した場合、アプレットの
インストレーションは完全とみなされる。その点において、インストールされた
アプレットは選択可能である。 パラメータ・データの最大サイズは32バイトである。セキュリテイの理由の
ため、bArrayパラメータは戻りの後にゼロにされる(APDUバッフアが
アプレットのプロセス・メソッドからの戻りの際にゼロにされるのと同様)。
【0156】 10.2.1インストーレイション・パラメータ 32バイトの最大サイズ以外に、ジャバ・カードAPI2.1インストーレイ
ション・パラメータ・バイト配列セグメントの内容について何ら指示しない。こ
りはアプレット設計者により完全に定義され、所望のどんなフオーマットででき
る。これに加え、これらインストレーション・パラメータはインストーラーに不
透明であることを意図している。 CAD内で実行されるインストレーション・プログラムがインストーラに配達
されるべき任意のバイト配列を指定することを可能にするように、JCRE実現
者はそれらのインストーラを設計すべきである。インストーラは、単にこのバイ
ト配列をbArrayパラメータ内の目標のアプレットのインストール・メソッ
ドヘ転送する。典型的な実現は、セマンテイック「付随するバイト配列の内容を
送るアプレットのインストール・メソッドをコール」を有するJCRE実現者専
有APDU命令を定義する。
【0157】 11.API定数 いくつかのAPIクラスは、ジャバ・カードAPI2.1レファレンス内にそ
れらの定数を指定された値を有しない。もし、一定の値がこのJCRE2.1仕
様の実現者により一貫して指定されない場合、業界全体の互換性は不可能である
。この章はジャバ・カードAPI2.1レファレンス内で指定されない必要な一
定の値を与える。
【0158】
【表1】
【0159】
【表2】
【0160】
【表3】
【0161】 用語集 AIDは、ISO7816−5に定義されたアプリケーション識別子の略。 APDUは、ISO7816−4に定義されたアプリケーション・プロトコル
・データ・ユニットの略。 APIは、アプリケーション・プログラム・インターフエイスの略。apiは
アプリケーション・プログラムがオペーレーテイング・システム又はその他のサ
ービスをアクセスするときに呼ぶ約束事を定義する。 アプレットは、この書類の文脈内では、ジャバ・カード技術内の選択、コンテ
キスト、機能、及びセキュリテイの基本的単位である、ジャバ・カード・アプレ
ットである。 アプレット開発者は、ジャバ・カード技術仕様を用いてジャバ・カード・アプ
レットを生成する人を言う。 アプレット・フアイヤウォールは、VMが他のアプレット・コンテキスト又は
JCREコンテキストにより所有されたオブジェクトへのアプレットの認証され
ないアクセスから防止し、そして違反を報告し又は対処するジャバ・カード技術
内の機構。 アトミック操作は、その全体が完了するか(もし操作が成功すると)、又は操
作のどの部分も全く完了しない(もし操作が失敗したら)のいずれかである操作
である。 アトミシテイは、特定の操作がアトミックであるか否か、そして電源が喪失、
又はカードがCADから予期されずに取外された場合の適当なデータ回復が必要
な操作を言う。 ATRは、リセットの返答の略。ATRは、リセット条件後にジャバ・カード
により送られる一連のバイトである。 CADは、カード受入装置の略。CADはカードが挿入される装置である。 キャストは、1つのデータ・タイプから別のタイプへの明示的な変換である。 cJCKは、ジャバ・カード技術仕様の実現の許容性を確証するためのテスト
の一揃い。cJCKはテストの一揃いを実行するためジャバ・テスト・ツールを
使用する。 クラスは、オブジェクト指向言語のオブジェクトの原型(プロトタイプ)であ
る。クラスは共通の構造と振舞いを共有する1組のオブジェクトとみなすことが
できる。クラスの構造は、そのクラスのオブジェクトの状態を表すクラス変数に
より定義され、その振舞いはクラスに関連する1組のメソッドにより与えられる
。 クラスは、クラス階層に関係する。1つのクラスは他のクラス(そのスーパー
クラス)の特別化(サブクラス)であってよい。それは他のクラスへの参照を有
し、そしてそれは他のクラスをクライアント−サーバー関係で使用してもよい。
コンテキスト(アプレット実行コンテキスト参照)。 現在活動的なコンテキスト。JCREは現在活動的なジャバ・カード・アプレ
ット・コンテキストの記録を残す。仮想メソッドがオブジェクト上で呼出され、
そしてコンテキスト切換えが必要とされ、そして許可される時、現在活動的なコ
ンテキストはそのオブジェクトを所有するアプレット・コンテキストに対応する
ために変化される。そのメソッドが戻る時、前のコンテキストが回復される。静
的メソッドの呼出しは現在活動的なコンテキストについて影響を与えない。オブ
ジェクトの現在活動的なコンテキスト及び共有状態は一緒に、オブジェクトへの
アクセスが許可されるかどうかを決定する。 現在選択されたアプレット。JCREは現在選択されたジャバ・カード・アプ
レットの記録を残す。このアプレットのAIDを有する選択命令を受取る際、J
CREはこのアプレットを現在選択されたアプレットとする。JCREは全ての
APDU命令を現在選択されたアプレットに送る。 EEPROMは、電気的消去可能プログラム可能読み出し専用メモリの略。 フアイヤウォール(アプレット・フアイヤウォール参照)。 フレームワークは、APIを実現する1組のクラス。これはコア及び拡張パッ
ケージを含む。責任は、APDUの発送、アプレット選択、アトミシテイ管理、
及びアプレット・インストーリングを含む。 ガーベッジ・コレクションは、プログラムの実行時に自動的に再クレームされ
る動的に割当てられた記憶によるプロセスを言う。 インスタンス変数はまたフイールドとして知られていて、オブジェクトの内部
状態の一部を表す。各オブジェクトはそれ自身のインスタンス変数の組を有する
。同じクラスのオブジェクトは同じインスタンス変数を有するが、各オブジェク
トは異なった値を持つことができる。 インスタンシエイションとは、オブジェクト指向プログラミングにおいて、そ
のクラス・テンプレートから特定のオブジェクトを生成することを意味する。こ
れはテンプレートにより指定されたタイプを持つデータ構造の割当てと、デフォ
ルト値又はクラス建設関数により与えられた値でインスタンス変数を初期化する
ことを含む。 JARは、ジャバ・アーキテクチャの略。JARは多くのフアイルを1つに結
合するプラットホームに依存しないフアイル・フオーマットである。 ジャバ・カード実行時環境(JCRE)は、ジャバ・カード仮想マシンねフレ
ームワーク、及び関連のネイテイブ・メソッドからなる。 JC21RIは、ジャバ・カード2.1レファレンス実行の略。 JCRE実現者は、ジャバ・カードAPIを使用してベンダー固有の実現を作
成する人。 JCVMは、ジャバ・カード仮想マシンの略。JCVMは、OPカード・アー
キテクチャの基礎である。JCVMは、バイトコードを実行し、そしてクラス及
びオブジェクトを管理する。これはアプリケーション間の分離(フアイヤウォー
ル)を実施し及び安全なデータ共有を可能にする。 JDKは、ジャバ開発キットの略。JDKはジャバでプログラムするために必
要な環境を与えるサン・マイクロシステムズ社の製品。JDKはさまざまなプラ
ットホームで利用可能であるが、最も有名なのは、サン・ソラリス及びマイクロ
ソフト・ウインドウズ(商標)である。 メソッドは、オブジェクト指向言語において、1つ又は複数のクラスと関連し
た手順若しくはルーチンに与えられた名前である。 名前空間は、全ての名前が独特な1組の名前。 オブジェクト指向は、メソッドと呼ばれるデータを操作する1組のルーチンに
よりカプセル化されたデータ構造である、オブジェクトに基づいたプログラミン
グ方式である。 オブジェクトは、オブジェクト指向プログラミングにおいて、そのクラスによ
り与えられたテンプレートに従い定義されたデータ構造の独特なインスタンスで
ある。各オブジェクトは、そのクラスに属する変数についてそれ自身の値を有し
、そのクラスにより定義されたメッセージ(メソッド)に応答できる。 パッケージは、ジャバ・プログラミング言語内の名前空間であり、クラス及び
インターフエイスを有することができる。パッケージはジャバ・プログラミング
言語内の最小ユニットである。 持続性オブジェクトは、持続性オブジェクトとそれらの値が、無限に、1つの
CADセッションから次に持続するものであるるオブジェクトはデフォルトで持
続性である。持続性オブジェクトの値はトランザクションによりアトミカリイに
更新される。持続性の語はカード上にオブジェクト指向データベースが存在する
ことを意味しない。又、オブジェクトが直列化/非直列化されることを意味しな
い。カードが電源を喪失する時にオブジェクトが失われないことを意味する。 共有可能インターフエイスは、共有されたインターフエイス・メソッドの1組
を定義する。これらのインターフエイス・メソッドは、それらを実現するオブジ
ェクトが別のアプレット・コンテキストにより所有されている時、1つのアプレ
ット・コンテキストにより呼出すことができる。 共有可能インターフエイス・オフジェクト(SIO)は、共有可能インターフ
エイスを実現するオブジェクトである。 トランザクションは、開発者がプログラム・コード内にトランザクションの開
始及び終了を指示することにより操作の広がりを定義する、アトミック操作であ
る。 一時的オブジェクト。一時的オブジェクトの値は、1つのCADセッションか
ら次のセッションに持続せず、特定の間隔でデフォルト値にリセットされる。一
時的オブジェクトの値の更新はアトミックではなく、トランザクションにより影
響されない。
【0162】 1/5/99 12:49PM Havnor: Stuff: JCRE D2 14DEC98: READ-ME-JCRE21-DF2.txt Pa
ge 1 日付: 1998年12月16日 ジャバ・カード・ライセンシー殿 JCRE21−DF2−14DEC98.zIPは、ライセンシーの検討と意
見のために、1998年12月14日の日付のジャバ・カード2.1実行時環境
仕様の第2草案を含む。我々は今まで受取った検討フイードバックに基づいて書
類を明確に組み込んで来た。 ZIPのアーカイブの完全の内容は次の通りである。 READ−ME−JCRE21−DE2.txt このREAD ME文書フア
イル。 JCRE21−DF2.pdf−「ジャバ・カード実行時環境(JCRE)2.
1仕様」のPDFフォーマット。 JCRE21−DF2−changebar.pdf−見やすくするために前の
バージョンから変化バーを有する改訂バージョン。
【0163】 変更の要約 1.これは第2草案のリリースであり、公開のウエブ・サイトに直ぐに公開され
る。 2.認証されないアクセスを制限するために、一時的JCRE入口点オブジェク
トの新しい記述が導入された。フアイヤウォール章6.2.1 3.グローバル配列が一時的JCRE入口点オブジェクトと似たセキュリテイ関
係の制限を追加する。フアイヤウォール章6.2.2 4.一時的JCRE入口点オブジェクト及びグローバル配列の記憶に関して、バ
イトコードの詳細な説明が追加された。章6.2.8 5.章8にJCRE所有の例外オブジェクトの一般的説明が追加された。 6.一時的フアクトリイ・メソッド内の仮想マシン資源故障の修正された記述。
章9.1 「ジャバ・カード2.1実行時環境仕様」は、ジャバ・カードAPT2.1及
びジャバ・カード2.1仮想マシン仕様書類で言及されるような、ジャバ・カー
ド2.1実現を完成するための最小の振舞いと実行時環境を詳述する。この仕様
はジャバ・カード・アプレットの動作と互換性を保証する必要がある。この仕様
書類の目的は、ジャバ・カード2.1仕様の一揃いの部分として、簡潔な方法で
全てのJCRE要素を一緒にすることである。 検討したコメントを<javaoem-javacard@sun.com>又は下の私のアドレスに送っ
て下さい。ジャバ・カード・チームとして、ご意見を待っています。 よろしく。 ゴットフライ・デイジオルジ Godfrey DiGiorgi - godfrey.digiorgi@eng.sun.com OEM Licnesee Engineering Sun Microsystems / Java Software +1 408 343-1506 FAX +1 408 517-5460
【図面の簡単な説明】
【図1】 スマート・カードのカード受入装置を装備されたカード受入装置と一緒に使用
するためのコンピュータを示す図。
【図2】 ネットワークに接続されカード受入装置を装備されたコンピュータを示す図。
【図3】 従来技術のスマート・カードなどの小面積装置の例示的なハードウェア・アー
キテクチャを示す図。
【図4】 従来技術で使用される原理によりアクセスされるオブジェクトを示す図。
【図5】 本発明のさまざまな実施の形態を説明するのに使用できる例示的なセキュリテ
イ・モデルを示す図。
【図6】 本発明の1つの観点によるコンテキスト障壁又はフアイヤ・ウォールによる実
行コンテキストの分離を示すブロック図。
【図7】 本発明を実行するのに有用なソフトウェア・アーキテクチャを示す図。
【図8】 本発明の1つの観点によるフアイヤウォールを実現するセキュリテイ増強プロ
セスのフロー・チャート。
【図9】 本発明の1つの観点によるフアイヤウォールを横断するオブジェクトのアクセ
スを示すブロック図。
【図10】 フアイヤウォールを横断するカスケードされたオブジェクトを示すブロック図
【図11】 1つのコンテキスト中の主成分によるフアイヤウォールを横断して別のコンテ
キストへのアクセスを許可するプロセスのフロー・チャート。
【図12】 フアイヤウォールを横断したアクセスを許可するための入口点オブジェクトの
使用を声明するブロック図。
【図13】 フアイヤウォールを横断するアクセスのための配列などのグローバル・データ
構造の使用を説明するブロック図。
【図14】 フアイヤウォールを横断するアクセスを許可するためのスーパーコンテキスト
の使用を説明するブロック図。
【図15】 フアイヤウォールを横断するアクセスを許可するための共有可能インターフェ
イス・オブジェクトの使用を説明するブロック図。
【図16】 フアイヤウォールを横断したアクセスを許可するセキュリテイ増強プロセスの
フロー・チヤート。
【図17】 ブロック1620の詳細を示す図16のフローチャート。
【図18】 図17のブロック1629の例示的実現を示すフローチャート。
【手続補正書】
【提出日】平成14年4月25日(2002.4.25)
【手続補正1】
【補正対象書類名】明細書
【補正対象項目名】特許請求の範囲
【補正方法】変更
【補正の内容】
【特許請求の範囲】
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE),OA(BF,BJ ,CF,CG,CI,CM,GA,GN,GW,ML, MR,NE,SN,TD,TG),AP(GH,GM,K E,LS,MW,SD,SL,SZ,TZ,UG,ZW ),EA(AM,AZ,BY,KG,KZ,MD,RU, TJ,TM),AE,AL,AM,AT,AU,AZ, BA,BB,BG,BR,BY,CA,CH,CN,C R,CZ,DE,DK,DM,EE,ES,FI,GB ,GD,GE,GH,GM,HR,HU,ID,IL, IN,IS,JP,KE,KG,KR,KZ,LC,L K,LR,LS,LT,LU,LV,MA,MD,MG ,MK,MN,MW,MX,NO,NZ,PL,PT, RO,RU,SD,SE,SG,SI,SK,SL,T J,TM,TR,TT,TZ,UA,UG,UZ,VN ,YU,ZA,ZW (72)発明者 サッサー ジョシュア アメリカ合衆国 カリフォルニア州 94114 サン フランシスコ セヴンティ ーンス ストリート #11 4150 (72)発明者 バトラー ミッチェル ビー アメリカ合衆国 カリフォルニア州 94087 サニーヴェイル ノース カスケ イド テラス 522 (72)発明者 ストレイチ アンディー アメリカ合衆国 カリフォルニア州 94404 フォスター シティー ビーチ パーク ブールヴァード 693 Fターム(参考) 5B017 AA01 BA06 CA15 5B035 AA06 BB09 CA11 CA29 5B098 GA02 GA04 GA07

Claims (24)

    【特許請求の範囲】
  1. 【請求項1】 小面積装置であって、 a.少なくとも1つの処理要素と、 b.メモリと、 c.前記メモリ及び前記処理要素を使用して、プログラム・モジュールを互い
    に隔離するためのコンテキスト障壁と、 d.前記コンテキスト障壁の制約無しに全てのプログラム・モジュールへのア
    クセスを有する1つコンテキストと、 を備えた小面積装置。
  2. 【請求項2】 前記コンテキストが、コンテキスト障壁を横断して少なくと
    も1つのプログラム・モジュールへのアクセスに使用される請求項1に記載の小
    面積装置。
  3. 【請求項3】 前記コンテキストが各プログラム・モジュールに別の名前空
    間を割当てる請求項1に記載の小面積装置。
  4. 【請求項4】 前記コンテキストが、異なる名前空間に位置する少なくとも
    1つの他のプログラム・モジュールにアクセスできる請求項3に記載の小面積装
    置。
  5. 【請求項5】 前記コンテキストが各プログラム・モジュールに別のメモリ
    空間を割当てる請求項1に記載の小面積装置。
  6. 【請求項6】 前記コンテキストが、異なるメモリ空間に位置する少なくと
    も1つのプログラム・モジュールにアクセスできる請求項5に記載の小面積装置
  7. 【請求項7】 前記コンテキスト障壁が、プリンシパル、オブジェクト及び
    アクションの少なくとも1つについて少なくとも1つのセキュリテイ検査を実施
    する請求項1に記載の小面積装置。
  8. 【請求項8】 少なくとも1つのセキュリテイ検査がプリンシパル及びオブ
    ジェクトの間の部分的な名前の一致に基づいている請求項7に記載の小面積装置
  9. 【請求項9】 前記コンテキストが前記少なくとも1つのセキュリテイ検査
    無しに少なくとも1つの他のコンテキストにアクセス可能な請求項8に記載の小
    面積装置。
  10. 【請求項10】 少なくとも1つのセキュリテイ検査がプリンシパル及びオ
    ブジェクトの間のメモリ空間の一致に基づいている請求項7に記載の小面積装置
  11. 【請求項11】 前記コンテキストが前記少なくとも1つのセキュリテイ検
    査無しに少なくとも1つの他のコンテキストにアクセス可能な請求項10に記載
    の小面積装置。
  12. 【請求項12】 コンテキスト障壁を使用してプログラム・モジュールを分
    離し、1つのコンテキストをコンテキスト障壁の制約無しに少なくとも1つの他
    のコンテキストにアクセスを許可するステップを含む、小面積装置を操作する方
    法。
  13. 【請求項13】 コンテキスト障壁は、もしプリンシパルが前記1つのコン
    テキスト部分ではなく、又は、プリンシパル及びオブジェクトの両方が同じコン
    テキストの部分でなければ、プリンシパルがオブジェクトへのアクションを実行
    することを許可しない請求項12に記載の方法。
  14. 【請求項14】 小面積装置上において、コンテキスト障壁により分離され
    た第1プログラム・モジュールから第2プログラム・モジュールへ情報をアクセ
    スすることを許可する方法であって、コンテキスト障壁の制約無くして全てのプ
    ログラム・モジュールにアクセスできる1つのコンテキストを生成するステップ
    を含む方法。
  15. 【請求項15】 前記コンテキストが、スーパーコンテキストである請求項
    14に記載の方法。
  16. 【請求項16】 小面積装置上において、プログラム・モジュールを分離す
    るコンテキスト障壁を横断して通信する方法であって、 a.コンテキスト障壁の制約無くして全てのプログラム・モジュールにアクセ
    スできる1つのコンテキストを生成し、 b.他のプログラムの情報へ前記コンテキスト障壁を横断してアクセスするこ
    とを前記コンテキストに許可する、 各ステップを含む方法。
  17. 【請求項17】 小面積装置上において、プログラム・モジュールを分離す
    るコンテキスト障壁を横断して通信する方法であって、 a.コンテキスト障壁の制約無くして全てのプログラム・モジュールにアクセ
    スできる1つのコンテキストを生成し、 b.前記コンテキストを使用して、他のプログラムの情報へ前記コンテキスト
    障壁を横断してアクセスすることを、少なくとも1つのプログラム・モジュール
    に許可する、 各ステップを含む方法。
  18. 【請求項18】 コンピュータ・プログラム製品であって、 a.メモリ媒体と、 b.小面積装置上にコンテキスト障壁を実現し、そしてひとつのコンテキスト
    に前記コンテキスト障壁の制約無くして全てのプログラム・モジュールへのアク
    セスを与える命令を含むコンピュータ制御要素と、 を含むコンピュータ・プログラム製品。
  19. 【請求項19】 前記媒体が、搬送波である請求項18に記載のコンピュー
    タ・プログラム製品。
  20. 【請求項20】 コンピュータ・プログラム製品であって、 a.メモリ媒体と、 b.小面積装置において、それぞれのコンテキスト内で複数のプログラムを実
    行することにより複数のプログラムを分離し、そして1つのコンテキストにコン
    テキスト障壁の制約無しに全てのプログラム・モジュールへのアクセスを許可す
    るための命令を含むコンピュータ制御要素と、 を含むコンピュータ・プログラム製品。
  21. 【請求項21】 前記媒体が、搬送波である請求項20に記載のコンピュー
    タ・プログラム製品。
  22. 【請求項22】 通信リンクを介して小面積装置上にコンテキスト障壁の制
    約無しに全てのプログラム・モジュールへのアクセスを有するコンテキストを実
    現するための命令を運ぶ搬送波。
  23. 【請求項23】 小面積装置上においてそれぞれのコンテキスト内で複数の
    プログラムを実行することにより複数のプログラムを分離するコンテキスト障壁
    を実現し、そして1つのコンテキストにコンテキスト障壁の制約無くして全ての
    プログラムにアクセスを許可するための命令を、通信リンクを介して運ぶ搬送波
  24. 【請求項24】 ネットワークを介してコードを送信する方法であって、サ
    ーバーからコードのブロックを送信するステップを含み、前記コードのブロック
    はコンテキスト障壁を横断してアクセスするために全てのプログラム・モジュー
    ルに対してアクセスを有するコンテキストを実現するための命令を含む方法。
JP2000595238A 1999-01-22 2000-01-20 小面積装置において実行時環境特権を使用してコンテキスト障壁を横断するアクセスを許可する技術 Expired - Lifetime JP5132853B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US09/235,155 US6922835B1 (en) 1999-01-22 1999-01-22 Techniques for permitting access across a context barrier on a small footprint device using run time environment privileges
US09/235,155 1999-01-22
PCT/US2000/001238 WO2000043878A1 (en) 1999-01-22 2000-01-20 Techniques for permitting access across a context barrier on a small footprint device using run time environment privileges

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2012202985A Division JP5483768B2 (ja) 1999-01-22 2012-09-14 小面積装置において実行時環境特権を使用してコンテキスト障壁を横断するアクセスを許可する技術

Publications (2)

Publication Number Publication Date
JP2002535772A true JP2002535772A (ja) 2002-10-22
JP5132853B2 JP5132853B2 (ja) 2013-01-30

Family

ID=22884320

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2000595238A Expired - Lifetime JP5132853B2 (ja) 1999-01-22 2000-01-20 小面積装置において実行時環境特権を使用してコンテキスト障壁を横断するアクセスを許可する技術
JP2012202985A Expired - Lifetime JP5483768B2 (ja) 1999-01-22 2012-09-14 小面積装置において実行時環境特権を使用してコンテキスト障壁を横断するアクセスを許可する技術

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2012202985A Expired - Lifetime JP5483768B2 (ja) 1999-01-22 2012-09-14 小面積装置において実行時環境特権を使用してコンテキスト障壁を横断するアクセスを許可する技術

Country Status (9)

Country Link
US (1) US6922835B1 (ja)
EP (1) EP1163579B1 (ja)
JP (2) JP5132853B2 (ja)
KR (1) KR100716699B1 (ja)
CN (1) CN1316360C (ja)
AT (1) ATE240549T1 (ja)
AU (1) AU771765B2 (ja)
DE (2) DE1163579T1 (ja)
WO (1) WO2000043878A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007519994A (ja) * 2003-12-23 2007-07-19 フランス テレコム 2つの実行空間を備える通信端末
JP2007219786A (ja) * 2006-02-16 2007-08-30 Hitachi Software Eng Co Ltd 未知のマルウェアによる情報漏洩防止システム

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6633984B2 (en) * 1999-01-22 2003-10-14 Sun Microsystems, Inc. Techniques for permitting access across a context barrier on a small footprint device using an entry point object
FR2797968B1 (fr) * 1999-08-24 2001-10-12 Schlumberger Systems & Service Dispositif et procede de chargement de commandes dans une carte a circuit integre
JP4055393B2 (ja) 2001-10-30 2008-03-05 ソニー株式会社 データ処理装置およびその方法とプログラム
DE10324384B3 (de) * 2003-05-28 2004-11-04 Giesecke & Devrient Gmbh Behandlung eines Fehlerereignisses bei der Installation eines Anwendungsprogramms in einem tragbaren Datenträger
JP2005050286A (ja) * 2003-07-31 2005-02-24 Fujitsu Ltd ネットワークノードマシンおよび情報ネットワークシステム
EP1522923A3 (fr) 2003-10-08 2011-06-22 STMicroelectronics SA Architecture de processeur à plusieurs contextes d'exécution simultanés
FR2864658B1 (fr) * 2003-12-30 2006-02-24 Trusted Logic Controle d'acces aux donnees par verification dynamique des references licites
US8087031B2 (en) 2006-01-09 2011-12-27 Oracle America, Inc. Method and apparatus for data transfer between isolated execution contexts
US20080309665A1 (en) * 2007-06-13 2008-12-18 3D Systems, Inc., A California Corporation Distributed rapid prototyping
CN101430650B (zh) * 2007-11-07 2013-02-06 国际商业机器公司 用于事务内存的方法和设备
US8621168B2 (en) 2010-12-17 2013-12-31 Google Inc. Partitioning the namespace of a contactless smart card
US8807440B1 (en) 2010-12-17 2014-08-19 Google Inc. Routing secure element payment requests to an alternate application
US8352749B2 (en) 2010-12-17 2013-01-08 Google Inc. Local trusted services manager for a contactless smart card
US8171525B1 (en) 2011-09-15 2012-05-01 Google Inc. Enabling users to select between secure service providers using a central trusted service manager
US8255687B1 (en) 2011-09-15 2012-08-28 Google Inc. Enabling users to select between secure service providers using a key escrow service
US8313036B1 (en) 2011-09-16 2012-11-20 Google Inc. Secure application directory
US8850557B2 (en) 2012-02-29 2014-09-30 International Business Machines Corporation Processor and data processing method with non-hierarchical computer security enhancements for context states
US8385553B1 (en) 2012-02-28 2013-02-26 Google Inc. Portable secure element
US8429409B1 (en) 2012-04-06 2013-04-23 Google Inc. Secure reset of personal and service provider information on mobile devices

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05224956A (ja) * 1992-02-14 1993-09-03 Nippon Telegr & Teleph Corp <Ntt> プロセス間メッセージ通信方法
JPH09223200A (ja) * 1995-09-29 1997-08-26 Internatl Business Mach Corp <Ibm> 多機能チップ・カード

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS61177585A (ja) 1985-02-04 1986-08-09 Toshiba Corp 携帯用電子装置密封体
DE3689287T2 (de) * 1985-02-18 1994-05-26 Nippon Electric Co Datenverarbeitungsgerät.
US4816654A (en) 1986-05-16 1989-03-28 American Telephone And Telegraph Company Improved security system for a portable data carrier
JP2514954B2 (ja) 1987-03-13 1996-07-10 三菱電機株式会社 Icカ−ド
JPH01277993A (ja) 1988-04-28 1989-11-08 Toshiba Corp 携帯可能電子装置
JPH02156357A (ja) 1988-12-08 1990-06-15 Fujitsu Ltd プログラム破壊防止方法
US5057997A (en) 1989-02-13 1991-10-15 International Business Machines Corp. Interruption systems for externally changing a context of program execution of a programmed processor
US5204663A (en) 1990-05-21 1993-04-20 Applied Systems Institute, Inc. Smart card access control system
DE59004248D1 (de) 1990-07-20 1994-02-24 Siemens Nixdorf Inf Syst Verfahren zur Verhinderung unzulässiger Abweichungen vom Ablaufprotokoll einer Anwendung bei einem Datenaustauschsystem.
JP3007425B2 (ja) 1991-02-14 2000-02-07 凸版印刷 株式会社 Icカード
US5204897A (en) 1991-06-28 1993-04-20 Digital Equipment Corporation Management interface for license management system
DE4126213C2 (de) 1991-08-08 2000-06-15 Deutsche Telekom Ag Chipkarte für mehrere Diensteanbieter
FR2683357A1 (fr) 1991-10-30 1993-05-07 Philips Composants Microcircuit pour carte a puce a memoire programmable protegee.
CA2147824A1 (en) 1992-10-26 1994-05-11 Johannes Marinus George Bertina Host and user transaction system
US5446901A (en) * 1993-06-30 1995-08-29 Digital Equipment Corporation Fault tolerant distributed garbage collection system and method for collecting network objects
US5649118A (en) 1993-08-27 1997-07-15 Lucent Technologies Inc. Smart card with multiple charge accounts and product item tables designating the account to debit
US5544246A (en) 1993-09-17 1996-08-06 At&T Corp. Smartcard adapted for a plurality of service providers and for remote installation of same
US5481715A (en) 1993-12-15 1996-01-02 Sun Microsystems, Inc. Method and apparatus for delegated communications in a computer system using trusted deputies
US5432924A (en) * 1993-12-15 1995-07-11 Microsoft Corporation Method and system for selectively applying an appropriate object ownership model
EP0666550B1 (en) 1994-02-08 1997-05-02 Belle Gate Investment B.V. Data exchange system comprising portable data processing units
US5594227A (en) 1995-03-28 1997-01-14 Microsoft Corporation System and method for protecting unauthorized access to data contents
WO1996031823A1 (en) 1995-04-07 1996-10-10 Sofmap Future Design Co., Ltd. Data processing system and method, and computer program architecture
CA2173695A1 (en) * 1995-04-14 1996-10-15 Panagiotis Kougiouris Method and system for providing interoperability among processes written to execute on different operating systems
PT757336E (pt) * 1995-08-04 2001-04-30 Belle Gate Invest B V Sistema de intercambio de dados que inclui unidades portateis de processamento de dados
US5768385A (en) 1995-08-29 1998-06-16 Microsoft Corporation Untraceable electronic cash
US5721781A (en) 1995-09-13 1998-02-24 Microsoft Corporation Authentication system and method for smart card transactions
FR2743910B1 (fr) 1996-01-19 1998-02-27 Solaic Sa Procede de mise en oeuvre d'un programme securise dans une carte a microprocesseur et carte a microprocesseur comportant un programme securise
US5742756A (en) 1996-02-12 1998-04-21 Microsoft Corporation System and method of using smart cards to perform security-critical operations requiring user authorization
US5781723A (en) 1996-06-03 1998-07-14 Microsoft Corporation System and method for self-identifying a portable information device to a computing unit
KR100329063B1 (ko) 1996-10-25 2002-03-18 디디어 레묀 마이크로컨트롤러를 이용한 고급 프로그래밍 언어 사용
US5884316A (en) * 1996-11-19 1999-03-16 Microsoft Corporation Implicit session context system with object state cache
US6575372B1 (en) 1997-02-21 2003-06-10 Mondex International Limited Secure multi-application IC card system having selective loading and deleting capability
AU746459B2 (en) 1997-03-24 2002-05-02 Visa International Service Association A system and method for a multi-application smart card which can facilitate a post-issuance download of an application onto the smart card
US6220510B1 (en) 1997-05-15 2001-04-24 Mondex International Limited Multi-application IC card with delegation feature
US6564995B1 (en) 1997-09-19 2003-05-20 Schlumberger Malco, Inc. Smart card application-selection
US6212633B1 (en) * 1998-06-26 2001-04-03 Vlsi Technology, Inc. Secure data communication over a memory-mapped serial communications interface utilizing a distributed firewall
US6349336B1 (en) 1999-04-26 2002-02-19 Hewlett-Packard Company Agent/proxy connection control across a firewall
US6292874B1 (en) 1999-10-19 2001-09-18 Advanced Technology Materials, Inc. Memory management method and apparatus for partitioning homogeneous memory and restricting access of installed applications to predetermined memory ranges

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05224956A (ja) * 1992-02-14 1993-09-03 Nippon Telegr & Teleph Corp <Ntt> プロセス間メッセージ通信方法
JPH09223200A (ja) * 1995-09-29 1997-08-26 Internatl Business Mach Corp <Ibm> 多機能チップ・カード

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007519994A (ja) * 2003-12-23 2007-07-19 フランス テレコム 2つの実行空間を備える通信端末
JP4833079B2 (ja) * 2003-12-23 2011-12-07 フランス・テレコム 2つの実行空間を備える通信端末
JP2007219786A (ja) * 2006-02-16 2007-08-30 Hitachi Software Eng Co Ltd 未知のマルウェアによる情報漏洩防止システム
JP4627266B2 (ja) * 2006-02-16 2011-02-09 株式会社日立ソリューションズ 未知のマルウェアによる情報漏洩防止システム

Also Published As

Publication number Publication date
DE60002687T2 (de) 2004-03-25
KR100716699B1 (ko) 2007-05-14
KR20010101622A (ko) 2001-11-14
JP2013030175A (ja) 2013-02-07
JP5132853B2 (ja) 2013-01-30
WO2000043878A1 (en) 2000-07-27
EP1163579A1 (en) 2001-12-19
DE1163579T1 (de) 2003-03-06
AU771765B2 (en) 2004-04-01
DE60002687D1 (de) 2003-06-18
EP1163579B1 (en) 2003-05-14
JP5483768B2 (ja) 2014-05-07
US6922835B1 (en) 2005-07-26
ATE240549T1 (de) 2003-05-15
AU2617600A (en) 2000-08-07
CN1351728A (zh) 2002-05-29
CN1316360C (zh) 2007-05-16

Similar Documents

Publication Publication Date Title
JP5132852B2 (ja) 小面積装置において入力点オブジェクトを使用してコンテキスト障壁を横断するアクセスを許可する技術
JP4716573B2 (ja) 小面積装置においてグローバル・データ構造を使用してコンテキスト障壁を横断するアクセスを許可する技術
JP5483768B2 (ja) 小面積装置において実行時環境特権を使用してコンテキスト障壁を横断するアクセスを許可する技術
JP4996787B2 (ja) 小面積装置においてコンテキスト障壁を用いたセキュリテイを施す技術
JP4981210B2 (ja) 小型装置において共有オブジェクト・インターフエイスを使用してコンテキスト障壁を横断するアクセスを許可する技術
AU2004200537A1 (en) Techniques for implementing security on a small footprint device using a context barrier
AU2004200637A1 (en) Techniques for permitting access across a context barrier on a small footprint device using run time environment privileges
AU2004200758A1 (en) Techniques for permitting access across a context barrier on a small footprint device using an entry point object

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091203

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100303

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100311

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100405

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100412

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100506

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100513

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100603

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110106

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110405

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110412

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110606

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110609

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110613

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20111007

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20111011

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111122

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20120221

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120228

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120522

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120914

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20120921

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121009

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121107

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151116

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5132853

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term