JP2002535772A - 小面積装置において実行時環境特権を使用してコンテキスト障壁を横断するアクセスを許可する技術 - Google Patents
小面積装置において実行時環境特権を使用してコンテキスト障壁を横断するアクセスを許可する技術Info
- Publication number
- JP2002535772A JP2002535772A JP2000595238A JP2000595238A JP2002535772A JP 2002535772 A JP2002535772 A JP 2002535772A JP 2000595238 A JP2000595238 A JP 2000595238A JP 2000595238 A JP2000595238 A JP 2000595238A JP 2002535772 A JP2002535772 A JP 2002535772A
- Authority
- JP
- Japan
- Prior art keywords
- context
- applet
- access
- jcre
- card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000004888 barrier function Effects 0.000 title claims abstract description 48
- 238000000034 method Methods 0.000 title claims description 285
- 230000009471 action Effects 0.000 claims abstract description 40
- 238000012545 processing Methods 0.000 claims description 13
- 238000004891 communication Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 8
- 230000008569 process Effects 0.000 description 45
- 230000007246 mechanism Effects 0.000 description 32
- 238000009434 installation Methods 0.000 description 30
- 238000005516 engineering process Methods 0.000 description 28
- 230000002085 persistent effect Effects 0.000 description 22
- 230000001052 transient effect Effects 0.000 description 20
- 230000003068 static effect Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 17
- 230000006399 behavior Effects 0.000 description 16
- 238000012546 transfer Methods 0.000 description 16
- 230000006870 function Effects 0.000 description 13
- 238000012360 testing method Methods 0.000 description 13
- 230000004044 response Effects 0.000 description 11
- 238000003491 array Methods 0.000 description 10
- 238000002955 isolation Methods 0.000 description 9
- 238000003860 storage Methods 0.000 description 8
- 239000000872 buffer Substances 0.000 description 7
- 239000000370 acceptor Substances 0.000 description 6
- 206010000210 abortion Diseases 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000012937 correction Methods 0.000 description 3
- 239000000047 product Substances 0.000 description 3
- 238000011084 recovery Methods 0.000 description 3
- 238000012552 review Methods 0.000 description 3
- 244000035744 Hura crepitans Species 0.000 description 2
- 231100000176 abortion Toxicity 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000002688 persistence Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 102100033029 Carbonic anhydrase-related protein 11 Human genes 0.000 description 1
- 235000006719 Cassia obtusifolia Nutrition 0.000 description 1
- 235000014552 Cassia tora Nutrition 0.000 description 1
- 244000201986 Cassia tora Species 0.000 description 1
- 102100034761 Cilia- and flagella-associated protein 418 Human genes 0.000 description 1
- 101100439214 Homo sapiens CFAP418 gene Proteins 0.000 description 1
- 101000867841 Homo sapiens Carbonic anhydrase-related protein 11 Proteins 0.000 description 1
- 101001075218 Homo sapiens Gastrokine-1 Proteins 0.000 description 1
- 241001354471 Pseudobahia Species 0.000 description 1
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 1
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 238000005282 brightening Methods 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000011900 installation process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000000873 masking effect Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000013011 mating Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000003340 mental effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/468—Specific access rights for resources, e.g. using capability register
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2153—Using hardware token as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Storage Device Security (AREA)
- Length Measuring Devices With Unspecified Measuring Means (AREA)
- Details Of Garments (AREA)
- Surgical Instruments (AREA)
- Devices For Executing Special Programs (AREA)
Abstract
Description
/839.621、発明の名称「セキュリテイ分配バイト・コード確証を有する
仮想マシン」、発明者モシュ・レビイとジュデイ・シュワブ(ドケット番号50
253−221/P3263)の関連出願である。 本出願は、1999年1月22日に出願された米国特許出願シリアル番号09
/235.158、発明の名称「小面積装置においてコンテキスト障壁を使用し
てセキュリテイを実施する技術」、発明者ジョシュア・スーサーとミシェル・ビ
ー・バットラー及びアンデイ・ストレイヒ(ドケット番号50253−216/
P3708)の関連出願でもある。 本出願は、1999年1月22日に出願された米国特許出願シリアル番号09
/235.155、発明の名称「小面積装置において入口点オブジェクトを使用
してコンテキスト障壁を横断するアクセスを許可する技術」、発明者ジョシュア
・スーサーとミシェル・ビー・バットラー及びアンデイ・ストレイヒ(ドケット
番号50253−217/P3709)の関連出願でもある。 本出願は、1999年1月22日に出願された米国特許出願シリアル番号09
/235.156、発明の名称「小面積装置においてグローバル・データ構造を
使用してコンテキスト障壁を横断するアクセスを許可する技術」、発明者ジョシ
ュア・スーサーとミシェル・ビー・バットラー及びアンデイ・ストレイヒ(ドケ
ット番号50253−219/P3711)の関連出願でもある。 本出願は、1999年1月22日に出願された米国特許出願シリアル番号09
/235.159、発明の名称「小面積装置において共有可能インターフエイス
を使用してコンテキスト障壁を横断するアクセスを許可する技術」、発明者ジョ
シュア・スーサーとミシェル・ビー・バットラー及びアンデイ・ストレイヒ(ド
ケット番号50253−220/P3712)の関連出願でもある。
ードなどの小面積装置にセキュリテイを施す技術に関する。
る。これらの例は、C++言語及びスモールトーク言語を含む。
ある。この言語は、アディソン−ウェズレイから出版されたジェームス・ゴスリ
ング等による本、「ジャバ(商標)言語仕様」に記載されている。ジャバ(商標
)言語は特に、ジャバ(商標)仮想マシン上で動作するのに適している。このよ
うなマシンが同じくアディソン−ウェズレイから出版されたティム・リンドホル
ム及びフランク・イェリンによる本、「ジャバ(商標)仮想マシン」に記載され
ている。
、スマート・カード、セルラー・ホン、及びその他の小面積又はミニアチュアの
装置を含む。
に、カード中にデータ処理機能及びそれを介してスマート・カードとプログラム
、データ、その他の通信を達成する1組の接点を含む。典型的に、1組の接点は
、クロック入力、リセット入力及びそれを介してデータ通信が達成できるデータ
・ポートと、電源接続と、戻りとを含む。
ート・カードから読み出される。カード受入装置は典型的に、ホスト・コンピュ
ータに取付けられた周辺装置であり、スマート・カードがその中に挿入できるス
ロットなどのカード・ポートを含む。一旦、挿入されると、コネクターからの接
点又はブラシがスマート・カードの表面接続領域に当接して、電源を供給し、そ
して、スマート・カード上に典型的に見出されるプロセッサー及びメモリとの通
信を許容する。
えば、ISO7816、の主題である。
ら分離することは、ネットワーク環境では良く知られている。このようなフアイ
ヤウォールは、発明者デビッド・ブランウェルの名前で1998年12月1日に
出願された米国特許出願シリアル番号09/203,719、名称「認証された
フアイヤウォール通過フレームワーク」(ドケット番号50435−023/P
2789/TJC)に記載されている。
の小面積装置のために定義されている。この小組は、ジャバ・カード(商標)プ
ラットホームと呼ばれている。ジャバ・カード(商標)プラットホームの使用は
以下の刊行物に記載されている。
ターフエイス ジャバ・カード(商標)2.0−−プログラミング・コンセプト ジャバ・カード(商標)アプレット開発者ガイド ISO7816−−部分11の作業ドラフトが、批評を受けるため回覧されて
いる。そのドラフトは、スマート・カード上で動作するための別の実行コンテキ
ストを可能にする標準を特定している。
に、計算環境内で複数実行コンテキストを使用することは、各々が他から不適当
な干渉無しに動作できるように、互いに異なるプログラム・モジュール又はプロ
セスを分離又は隔離するための方法を提供する。異なるコンテキスト間の相互作
用はもしあれば、偶然というよりは熟考されて、各コンテキストの完全性を保全
するために注意深く制御される。複数コンテキストの一例が、複数の仮想マシン
が定義されて、各仮想マシンがそれ自身の実行コンテキストを有すメインフレー
ムなどのより大きなハードウェア装置に見られる。別の例として、発明者デジョ
ングの米国特許番号第5,802,519号が、スマート・カード上での複数実
行テキストの使用を開示している。当業者には理解されるように、複数実行コン
テキストを提供する計算環境はさらにある与えられた実行コードとそれに対応す
るコンテキストとを関連付けるための機構を与える必要がある。
計算環境は、いかなる時点において、1つのコンテキストを特に計算の能動的集
中として取扱う。このコンテキストは「現在コンテキスト」と呼ばれる。その他
のあるコンテキストが現在コンテキストとなるために、現在コンテキストが変化
する時、「コンテキスト切換え」が発生すると言われる。当業者には理解される
ように、これらの計算環境は、コンテキスト切換えを容易にするため、どのコン
テキストが現在のものであるかを記録するための機構を提供する。
ては、小面積装置上で動作するコンテキスト間の相互動作は存在しなかった。各
コンテキストは完全に分離されて動作し、そして異なるコンテキスト中の他のア
プリケーション又はプロセスに影響を与えることなく、そのコンテキスト空間内
で動作又は故障する。
通、砂箱モデルと呼ばれる。信用されないコードは「砂箱」内に置かれて、完全
なジャバ(商標)環境又は「現実世界」にどんな損傷も与えることなく、安全に
「遊ぶ」ことができる。このような環境において、ジャバ(商標)アプレットは
通信をせず、しかし、各々はそれ自身の名前の空間を有する。
トが直接に通信することを許さず、オペレーティング・システム又はサーバーを
介しての通信を許す。
、いくつかの問題が存在する。1つの大きな問題は大変に制限されたメモリ空間
の存在である。これはしばしば必要な機能をメモリ空間内に与えるために非常に
大きな努力を要する。
ペレーテイング・システムを使用することができるという事実である。この結果
、1つのオペレーテイング・システムのために開発されたアプリケーションは必
ずしも、異なる製造業者により製造された小面積装置にポータブルではない。
が1つの小面積装置に適用されるならば、セキュリテイが、新しいプログラムを
その小面積装置にロードする時に、既存のプログラム及びデータの劣化を回避す
る1つの試みとしてのファクターとなる。同じ関心が、ハッカー又は悪意ある人
間がプログラム及びデータをアクセスすることを防ぐ時に、存在する。
必要な資源を有しないことは明らかである。それにもかかわらず、別個の実行コ
ンテキスト間で厳格なセキュリテイを維持することが望まれる。
ソース又は既知の信頼されるソースからのアプリケーションのみがロードされる
ことにより与えられていた。
ピア通信を介した安全な方法のみにより選択された実行コンテキスト間のオブジ
ェクト指向相互作用を可能にし、しかし、信用できないソースにより異なる時に
書かれたアプレットの動的なローディングを容易にすることが望まれる。
スト障壁(時々、フアイヤウォールと呼ばれる)を提供し、必要な時に障壁を横
断して制御されたアクセスを提供することに関する。
すなわち、仮想又は現実)マシンで実行され、互いに保護された、2つの実行コ
ンテキストが、オブジェクト指向言語機構などの言語機構を使用して、制御され
た安全な方法で情報を共有できる。例えば、セキュリテイはオブジェクトごとに
できる。このように、第1実行コンテキスト内のメソッドは第2実行コンテキス
ト内の第1オブジェクトAにアクセスすることができるが、第2実行コンテキス
ト内の第2オブジェクトBには選択的なベースでアクセスできない。
VM)は、VM内で実行コンテキストを横断するアクセスの試みについてある実
行時検査を提供する。検査は、VMにより自動化され、又はVMからの支援でも
ってプログラマによりコード化できる。これは言語レベル通信機構を使用して達
成できる。この方法では、作られている言語を使用して他のオブジェクトへアク
セスするのと同じ方法で実行テキストを横断するオブジェクトのアクセスを表現
できる。これらの実行時検査は、ジャバ(商標)言語及びプラットホームが既に
提供するものを越えた防御/セキュリテイの第二次元を提供する。
セス可能であるべきでない時に、データを「パブリック(公)」(グローバル)
と宣言するような)に起因するセキュリテイ・ホールに対する保護を提供する。
それらはまた、細かい単位で共有の制御を可能にする(共有されるべきオブジェ
クト及び共有されるべきアプレットの選択など)。
る搬送波に関する。
明を添付図面と共に参照することにより、明らかとなる。
されるプログラム手順の言葉で説明される。これらの手続的記述及び表現は、当
業者が彼等の仕事の本旨を最も効果的に他の当業者に伝えるのに使用される手段
である。
明される。これらステップは物理的量の物理的操作を必要とするステップである
。必ずではないが、これらの量は普通、記憶、移送、結合、比較、又はその他の
操作が可能な電気的又は磁気的信号の形を取る。主として共通の使用のため、こ
れらの信号は、ビット、値、要素、シンボル、文字、言葉、数など、又は同等な
ものとして呼ぶことが便利であることが示される。しかし、これらの全ての及び
類似の言葉は、適当な物理量に関連付けられるへきであり、そしてこれらの量に
適用される単なる便利なラベルにすぎないことに注意すべきである。
作と共通に関連付けられる加算又は比較などの言葉で呼ばれる。本発明の一部を
形成するここで記述されたどんな操作においても、大部分の場合は、人間の操作
者のこのような能力は必要ではなく、又は望まれない。操作は機械的操作である
。本発明の操作を実行するために有用な機械は、汎用デジタル・コンピュータ又
は他の計算装置を含む。
所望の目的のために特別に構成されてよい。又は、選択的に活性化される又はコ
ンピュータに記憶されたコンピュータ・プログラムにより再構成される汎用コン
ピュータを含んでもよい。ここで説明される手続は特定のコンピュータ又は他の
装置に固有的に関係するものではない。ここでの教示に従って書かれたプログラ
ムと一緒にさまざまな汎用機械が使用でき、又は、所望のメソッドのステップを
実行するためにより専門化された装置を構成することがより便利であろう。これ
らのマシンのさまざまについての必要な構成が、以下の記述から明らかとなる。
1仕様という名称の書類の草案である。この草案書類は本発明の特定の実施の形
態のさらに詳細な説明を与える。
る例示であり、本発明の範囲を制限するものではない。
装置110と共に使用するスマート・カード100を示す図である。動作におい
ては、スマート・カード100はカード受入装置110内に挿入されて、そして
、スマート・カード100の表面上でアクセス可能な1組の接点105を介して
電源又はデータ接続が与えられる。カードが挿入される時、カード受入装置11
0からの嵌入接点が、表面接点105と相互接続してカードに電源を与え、そし
てボード上のプロセッサ及びメモリ記憶との通信を可能にする。
ード受入装置を具備したコンピュータを示す。さらに、ネットワークに接続され
るのは、サーバー210などの複数の他の計算装置である。カードを具備した装
置120を使用してネットワーク200を介してスマート・カード上にデータ及
びソフトウェアをロードすることが可能である。この種のダウンロードされるも
のは、さまざまな電子商取引及び他のさまざまなアプリケーションに従って使用
されるデジタル・キャッシュ及び他の情報、及びスマート・カード上にロードさ
れるべきアプレット又は他のプログラムも含むことができる。カード受入装置及
びスマート・カードの処理要素の制御に使用されるデータ及び命令は、揮発性又
は不揮発性メモリ内に記憶することができ、若しくは、例えば、命令及び/又は
データを含む搬送波などの通信リンク上で直接に受信することが可能である。さ
らに、例えば、ネットワークはLAN又はインターネットなどのWAN又は他の
ネットワークであってよい。
ア・アーキテクチャである。図3に示すように、プロセッサ300は、読出し専
用メモリ315及び/又はランダム・アクセス・メモリ316を含むことができ
る主記憶310と相互接続される。プロセッサはまた、EEPROMなどの二次
記憶320及びシリアル・ポートなどの入力/出力330に接続される。この種
の小面積装置は大変に単純にできることが理解できる。
す。図4に示すように、小面積装置などの物理装置400は、実行コンテキスト
420を実行する1つ又は複数の処理マシン(仮想又は物理的)をその中に含む
。実行コンテキストは、例えば、特定のアプレットと関連したコンテキストであ
る。実行コンテキスト中の1つ又は複数のプリンシパル430(例えば、アプレ
ット又はアプリケーション)は、実行コンテキスト中の他のオブジェクトのアク
セスを求めることができる。実行コンテキスト中でアクセスが発生する限り、ア
クセスは許可されて、全てが通常に機能するであろう。
キュリテイ・モデルである。これは単に使用できる多くのモデルの1つにすぎな
いが、この目的には便利なモデルである。このモデルにおいて、プリンシパル(
時々、エンティテイと呼ばれる)は、オブジェクト520などの1つのオブジェ
クトについてアクション510を取ることを提案する。セキュリテイ検査が、プ
リンシパル、オブジェクト、及び/又は取られることが提案されたアクション上
に課せられる。
によりアクションが取られる。これらは、データ・オブジェクト(例えば、デー
タ1及びデータ2(520、520”))とエンティテイ530を含む。プリン
シパルはこれらのオブジェクトのいずれについても動作し又は動作を試みる。
から能動的エンティテイへの対角線も「アクション」とラベルが付けられている
が、しかし、これはデータ・オブジェクトへのアクションと比較して、機能を実
行し、又は、メソッドをコールし、又は、メッセージを送信するなどのより洗練
され且つ任意に複雑なアクションであることができる。データと同じく、オペレ
ーテイング・システムにより実行されるセキュリテイ検査は、プリンシパルの識
別、エンティテイの識別、及び/又はアクションのタイプを使用することができ
る。さらに、能動的であるエンティテイは、それ自身の追加的なセキュリテイ検
査を実行できる。これらは、所望ならば任意に複雑にすることができ、そしてプ
レンシパルの識別、エンティテイ自身の識別、アクション及び/又は利用可能な
他の情報も使用できる。
など)、「オブジェクト」は典型的にデータ及びエンティテイの組合せである。
プリンシパルが、オブジェクトのフィールドをアクセスすることを試みる時、こ
れはデータ・アクセス−−かなり単純なセキュリテイ検査により保護されるかな
り単純なアクション、である。プリンシパルがオブジェクトのメソッドのアクセ
スを試みる時、これは、アクション及びセキュリテイ検査の両方を任意に複雑で
きるエンティテイ・アクセスである。
よる実行テキストの分離を示すブロック図である。物理装置400及びマシン4
10は、図4に示される同じアイテムに対応する。実行コンテキスト420は、
コンテキスト内でオブジェクト440にアクセスすることを試みる1つのプリン
シパル430を示す。このアクセスは普通成功する。しかし、実行コンテキスト
420はまた、コンテキスト障壁600を横断して、実行コンテキスト620の
オブジェクト640にアクセスすることを試みるプリンシパル630を示す。普
通、このアクセスはアクション635がコンテキスト障壁600を横断する所の
X636に示されるように禁止される。
いる。このソフトウェア・アーキテクチャは実行時環境700として示されてい
る。小面積装置についてオペレーテイング・システム710が普通、使用される
。本発明の例示的な実施の形態中の仮想マシン720が、オペレーティング・シ
ステム上で実現される。仮想マシンは、ジャバ・カード(商標)仮想マシン又は
他の仮想マシンである。標準の仮想マシンの能力がここに記載される追加の機能
を与えるために拡張できる。又は、機能は別個のモジュールとして提供できる。
仮想マシン720は、インタープリータ又は実行時システム740へのアクセス
を与えるネイテイブ処理系730を含む。実行時システムは、オブジェクト指向
処理系のオブジェクトを管理するためのオブジェクト・システム750を含む。
3つのコンテキスト760、770、及び780が示される。各コンテキストが
、実行コンテキスト間のコンテキスト障壁(時々、フアイヤウォールと呼ばれる
)により他から分離される。1つの特定の実施の形態において、コンテキスト7
60はスーパーコンテキストである。すなわち、コンテキスト760は、下位の
コンテキスト770及び780には利用できない特権及び能力を有する。それは
入口点オブジェクト又はグローバル・データ構造を生成し、そして下位コンテキ
スト770及び780内のオブジェクトにアクセスする特権を潜在的に含む。
テキストはそれと関連付けられた各オブジェクトを所有すると言われる。実行時
システム740は、コンテキストを独特に識別するための手段と現在実行されて
いるコンテキスト識別し指定するための手段を与える。オブジェクト・システム
750は、オブジェクトをそれらが所有するコンテキストと関連付けるための機
構を与える。
て、オブジェクト・システム750はコンテキストの名前をオブジェクトのヘッ
ダー内に記録することにより、オブジェクトをコンテキストと対応して関連付け
ることができる。オブジェクトのヘッダー内の情報は、オブジェクト指向言語に
より書かれたプログラムによりアクセスできないが、仮想マシン720自身のみ
に利用可能である。代替的に、実行時システム740は、メモリ空間を各々が特
定のコンテキストのための分離領域に分割することによりコンテキストを識別で
きる。そして、オブジェクト・システム750はコンテキストのメモリ空間内に
オブジェクトの記憶を割当てることによりオブジェクトをそのコンテキストに対
応して関連付けることができる。
実施プロセスのフローチャートである。プリンシパルがオブジェクト(800)
上のアクションを呼出すと、オブジェクトがプリンシパル(810)のコンテキ
スト内にあるかどうかを決定するための検査が作られる。もしなければ、アクシ
ョンは不許可となる(840)。それ以外は、アクションは許可される(830
)。これはコンテキスト障壁又はフアイヤウォールの最も単純な形である。1つ
の特定の実施の形態では、もしオブジェクトが名前空間の外側にあるか又はコン
テキストがアクセスを要求するメモリ空間の外側にあれば、セキュリテイ例外を
投げることにより、アクションが不許可とされる(840)。
オブジェクトを示すブロック図である。図9は図6と実質的に同じである。しか
し、図9は、オブジェクト910上にアクション905を実行するためにオブジ
ェクト910のアクセスを求めるプリンシパル900も示す。本発明によれば、
アクション635が阻止された方法でアクセスがフアイヤウォール600により
阻止されるというよりは、プリンシパルとオブジェクトが異なる実行コンテキス
ト内にあるという事実にかかわらず、プリンシパル900がオブジェクト910
上のアクション905を実行できるように、アクション905がアクセス・ポイ
ント920を介してフアイヤウォールを横断して生ずることを許可する。アクセ
ス・ポイント920の背後の機構は図12−18を参照して以下に説明される。
アクセス・ポイント920は、X636などの阻止されたアクセスと共に存在で
きることに注意する。このように、アクセス・ポイント920は、コンテキスト
障壁600を横断して細かい単位の制御(オブジェクト単位のセキュリテイ)の
共有を与える。
テキスト420である。もしオブジェクト910がデータ・オブジェクトであれ
ば、アクション905は単純なデータ・アクセスであり、第2コンテキストでは
コードは実行されない。もしオブジェクト910がエンティテイ・オブジェクト
であれば、アクション905は実行されるそのオブジェクトのコードを生ずる。
そのコードは第2コンテキスト620内で実行される。正しいコンテキスト62
0内でオブジェクト910のコードを実行するため、仮想マシン410はコンテ
キスト切換えを実行する。コンテキスト切換えは、現在コンテキスト設定をコン
テキスト620に変えて、現在コンテキスト設定の前の値を後で再開できるよう
に記憶する。この点から、コードは新しい現在コンテキスト内で実行される。ア
クション905が完了した時、制御はアクセス900後の点に戻される。復帰中
、仮想マシン410は現在コンテキスト設定の値をその前の値に回復しなければ
ならない。
ェクトを示すブロック図である。図10は、3つの実行コンテキスト、1000
、1010及び1020を示す。実行コンテキスト1内のプリンシパル1030
は、実行コンテキスト2内のオブジェクト1050上のアクション1035を呼
出すことを求め、コンテキスト障壁600内のアクセス・ポイント1070を介
してそれを行なう。実行コンテキスト2内のオブジェクト1050は、実行コン
テキスト3内のオブジェクト1060上のアクション1045の実行を求めるオ
ブジェクト・アクセス1040を有する。それは、実行コンテキスト2及び3を
分離するコンテキスト障壁600’内のアクセス・ポイント1080を使用して
これを達成する。実行コンテキスト2内のオブジェクト1050はまた、同じ実
行コンテキスト内で、すなわち、実行コンテキスト2内で、オブジェクト109
9上でアクション1095を呼出す別のオブジェクト・アクセス1090を有す
る。両方のアクション1035及び1045は図9の説明で開示されたようなコ
ンテキスト切換えを生ずる。しかし、アクション1095はコンテキスト障壁を
横断しないため、コンテキスト切換えはその実行に必要ではなく、従って発生し
ない。
て別のコンテキスト内にアクセスすることを許可するプロセスのフローチャート
である。このプロセスには本質的に3つのステップが存在する。実行コンテキス
ト2において、アクセスされるべきオブジェクトが生成されて共有されるものと
して指定される(1100)。実行コンテキスト1中において、プリンシパルが
実行コンテキスト2内のオブジェクトについての参照を得る(1110)。そし
て、実行コンテキスト1中のプリンシパルは、コンテキスト2中で共有として指
定されたオブジェクト上のアクションを呼出す(1120)。
を指定又は識別することについては、本発明によれば、これはオブジェクトの表
現のヘッダー内に共有可能な属性を含むことにより、行なわれる。オブジェクト
のヘッダー内の情報はオブジェクト指向言語により書かれたプログラムによりア
クセスすることはできないが、VM自身のみにより利用可能である。
スト中のオブジェクトにアクセスする特別の場合である。別のコンテキスト内の
1つのオブジェクトへのアクセスを与える機構は、別のオブジェクトをまた利用
可能にする。例えば、別のコンテキスト中のオブジェクト上のメソッドを呼出す
ことは、異なるコンテキスト中に第2のオブジェクトへの参照を戻す。追加の機
構が、異なるテキスト中のオブジェクトへの初期参照の獲得を可能にするため必
要とされる。特定の実施の形態においては、ある周知の入口点オブジェクトへの
参照が公のAPIを使用して獲得できる。一旦、異なるコンテキスト内のオブジ
ェクトに対する初期参照が獲得されると、そのオブジェクトからさらなる参照が
獲得でき、さらに続けられる。
一般的な手法がそんざいする。これらの手法は、コンテキスト障壁を横断してオ
ブジェクトをアクセスするため、又は、コンテキスト障壁を横断してアクセスさ
れるべきオブジェクトの参照を獲得するために、個別に又は組合せで使用できる
(1110)。これらの手法は図12−18により説明される。
ジェクトの使用を説明するブロック図である。図12に示すように、コンテキス
ト770(コンテキスト1)内のあるオブジェクト1200は、スーパーコンテ
キスト760内の情報にアクセスすることを望む。特定の実施の形態において、
スーパーコンテキスト760は少なくとも1つの入口点オブジェクト1210を
含む。入口点オブジェクト1210は、スーパーコンテキストの下位の各コンテ
キストがスーパーコンテキストの入口点オブジェクトと通信できるようにするた
め、公のAPIの一部として刊行されるか、又は、刊行されたAPIを通じて間
接的に利用可能にできる(例えば、図11を参照して前に説明した機構に従い)
。(他の実施の形態では、入口定オブジェクトはスーパーコンテキスト以外のコ
ンテキストにより収納される。)
・データ構造の使用を説明するブロック図である。この手法において、スーパー
コンテキスト760は、グローバル配列などのグローバル・データ構造を生成す
る。特定の実施の形態では、スーパーコンテキスト760はこのようなグローバ
ル・データ構造を生成することを許可された唯一のコンテキストである。(別の
実施の形態では、グローバル・データはスーパーコンテキスト以外のコンテキス
トにより収納されてよいことが理解される。)このグローバル状態のため、コン
テキスト770及び780の各々は、グローバル・データ構造を読書きすること
ができる。このように、1つのコンテキストによりグローバル・データ構造内に
書込まれた情報は、別のコンテキストにより読み出すことができる。例えば、こ
の機構はコンテキスト間でオブジェクトへの参照又は2進値データを送るために
使用できる。
ンテキスト特権を使用することを説明するブロック図である。図14において、
スーパーコンテキスト760におけるオブジェクトは2つに分離するコンテキス
ト障壁を横断してコンテキスト780へのアクセスを求める。スーパーコンテキ
スト760は、スーパーコンテキストに関連した特権により、コンテキスト78
0のどんなメソッドも呼出すことができ、そしてコンテキスト780内に含まれ
るどんなデータもアクセスすることができる。
有可能インターフエイス・オブジェクトの使用を説明するブロック図である。共
有可能インターフエイスは共有可能インターフエイス・メソッドの1組を定義す
る。共有可能インターフエイス・オブジェクトは共有可能インターフエイス内に
定義されたメソッドの組を少なくとも実現するオブジェクトである。図15にお
いて、コンテキスト2(780)内のオブジェクト1210は共有可能インター
フエイス・オブジェクトである。別のコンテキスト770中のオブジェクト・ア
クセス1200は、もしオブジェクト・アクセス1200のプリンシパルがオブ
ジェクト1210自身によりそのようにすることが認証されているならば、オブ
ジェクト1210上のどんな共有可能なインターフエイス・メソッドをも呼出す
ことができる。この認証は以下の図18を参照してさらに説明する。
仮想マシンなどの初期の仮想マシンを越えた機能を提供することが理解される。
特に、本発明によれば、仮想マシンはフアイヤウォールを横断したアクセスを許
可するセキュリテイ実施プロセスを実現又は容易にするための機能を与える。こ
のプロセスが次に図16−18を参照して説明される。それは、上記の図12−
15を参照して説明された4つの手法を限定的ではなく含む、フアイヤウォール
を横断するアクセスを提供するどんな手法にも適用できることに注意する。
プロセスのフローチャートである。プリンシパルがオブジェクト1600上のア
クションの呼出しを試みる時、オブジェクトがプリンシパルのコンテキスト内に
あるかどうかを決定するための検査が作成される(1610)。もしそうである
ならば(1610−Y)、アクションが許可される(1630)。もしそうでな
ければ(1610−N)、プリンシパルによるアクションがオブジェクトに対し
て許可されるているかどうかを見るための検査が生成される(1620)。もし
そうであるならば(1620−Y)、アクションが許可される(1630)。も
しそうでなければ(1620−N)、アクションは許可されない。この特定の実
施の形態では、セキュリテイ例外が投げられる(1640)。
る。もしオブジェクトがプリンシパル(1610−N)のコンテキスト内になけ
れば、プリンシパルによるアクションがオブジェクト上で許可されるかどうかを
見るために複数のテスト1621、1622、1623…1629が引受けられ
る。これらのテストは仮想マシン・オブジェクト指向実現の中で、仮想マシンの
みで、又は、仮想マシンとオブジェクトとを加えて、行なわれる。もしどんなテ
ストにおいて合格ならば、アクションは許可される(1630)。しかし、もし
全てのテストが否定的決定(162X−ノー)を生ずる場合は、アクションは許
可されない。特定の実施の形態では、セキュリテイ例外が投げられる(1640
)。これらテストは図12−15と関連して説明された許可されたアクセスに関
係する。
のブロック1629の例示的な実現を示すフローチャートである。829又は1
629などのテストにおいて、仮想マシンはオブジェクトが共有されたオブジェ
クト1810かどうかを検査する。もしそうでなければ(1810−ノー)、こ
のテストは失敗する。しかし、もしそうであれば(1810−イエス)、仮想マ
シンはオブジェクトO上のメソッドAを呼出す(1820)。もし、オフジェク
トO上のメソッドAがプリンシパルが認証されていると決定すれば(1830)
、テストは合格であり(1840)、そしてアクセスは許可される。それ以外は
、テストは失敗である(1850)。これは、認証テキストをオブジェクト自身
のコード内にプログラムすることを可能にする。
・カードに限らず、他の小面積の装置にも適用できる。小面積の装置は一般に、
メモリ、計算能力又は速度において制限又は限界があるものと考えられる。この
ような小面積装置は、境界走査装置、フイールド・プログラム可能装置、ページ
ャー、及びセルラー・ホンなどの多くの装置を含む。
源の制約を受ける計算装置及びシステムである。このような小面積装置はそれら
の制限された資源のためにセキュリテイ手段の実現に制約が課せられる。資源の
制約のため仮想マシン構成においては、単一の仮想又は物理的マシンが、複数の
仮想マシンと対比して、使用されなければならない。
、本発明は、サーブレットを使用する時、もしこれらの間でオブジェクトの共有
があれば、有利であることが確かめられる。いくつかのデスクトップ・システム
においてさえも、本発明の技術を有利に使用できる。
有する言語又はプラットホームが本発明を実現するのに良く適しているであろう
。これらの特性は、タイプ安全性、ポインター安全性、オブジェクト指向、動的
リンク、及び仮想マシンに基づくことを含む。これらの特性の全てが特定の実現
において存在する必要はない。いくつかの実施の形態では、これらの特性の一つ
又は複数を欠く言語又はプラットホームが使用できる。「仮想マシン」は、ビッ
ト(仮想マシン)又はシリコン(現実/物理的マシン)のいずれかで実現できる
。
位のセキュリテイなどの他の手法も使用できる。
は明らかである。本発明の範囲と精神は特許請求の範囲の記載とその均等物のみ
により限定される。
。
するために、ジャバ(商標)カード(商標)実行時環境(JCRE)2.1仕様
(仕様)を実施するために必要なSUNの知的所有権の非独占、移転不可、世界
的、制限ライセンス(サブライセンス無し)を無料で許諾する。この制限ライセ
ンス以外には、あなたは仕様について権利や利益を有せず、仕様を生産又は商業
的使用に使用する権利を有しない。
又は商品可能性の黙示的保証を限定的ではなく含む、一切の明示又は黙示の保証
又は表示をしない。サンはこのソフトウエア及び二次的著作物の使用、修正、又
は配布の結果としてライセンシーが受けた損害については責任を持たない。
、JDK、ジャバ、ジャバカード、ホットジャバ、ホットジャバ・ビュウズ、ビ
ジュアル・ジャバ、ソラリス、NEO、ジョー、ネトラ、NFC、ONC、ON
C+、オープン・ウインドウズ、PC−NFS、エンベデッド・ジャバ、パーソ
ナル・ジャバ、SNM、サンネット・マネージャ、ソラリス・サンバースト・デ
ザイン、ソルステイス、サンコア、ソーラーネット、サンウェブ、サン・ワーク
ステーション、ザ・ネットワーク・イズ・ザ・コンピュータ、ツールトーク、ウ
ルトラ、ウルトラコンピューテイング、ウルトラサーバ、ホェア・ザ・ネットワ
ーク・イズ・ゴーイング、サン・ワークショツプ、エックス・ビュー、ジャバ・
ワークショップ、ジャバ・コーヒー・カップ・ロゴ、及びビジュアル・ジャバは
、サン・マイクロシステムズ社の米国または他の国での商標又は登録商標である
。
可能性の黙示的保証を限定的ではなく含む、明示又は黙示のいかなる種類の保証
を含まない。
に行なわれる。これらの変更はこの文献の新しい版に組み込まれる。サン・マイ
クロシステムズ社はこの文献に記載されたプログラム又は製品の改良又は変更を
何時でも行なうであろう。
、スマート・カード及び関連する小メモリ埋め込み装置に最適化された実行時環
境とを結合する。ジャバカード技術の目標は、ジャバ・ソフトウェア・プログラ
ミングの多くの利点を資源を、制約されたスマート・カードの世界へ持って来る
ことである。 この書類は、ジャバ・カード実行時環境(JCRE)2.1の仕様である。ジ
ャバ・カード可能化装置のベンダーはJCREの実現を提供する。この仕様の文
脈内でのJCREの実現とは、ジャバ・カード仮想マシン(VM)、ジャバ・カ
ード・アプリケーション・プログラミング・インターフエイス(API)、又は
ジャバ・カード技術仕様に基づいた他の部品のベンダーの実現を言う。参照実現
とは、サン・マイクロシステムズ社により作られた実現である。ジャバ・カード
に対して書かれたアプレットはジャバ・カード・アプレットと呼ぶ。 誰がこの仕様は使用すべきか? この仕様は、ジャバ・カード技術仕様を拡張する仕様を開発、実現を作成する
際、又はジャバ・カード実行時環境(JCRE)の拡張を作る際にJCRE実現
を補助することを意図している。この仕様はさらに、ジャバ・カード技術仕様の
理解を深めたいシャバ・カード・アプレット開発者に対して意図している。 この仕様を読む前に このガイドを読む前に、あなたはジャバ・プログラミング言語、ジャバ・カー
ド技術仕様、及びスマート・カードに明るくなければならない。ジャバ技術及び
ジャバ・カード技術に明るくなるための良い材料が、サン・マイクロシステムズ
社のウェブ・サイト、http://java.sun.comにある。 この仕様は、どのように構成されているか 1章、「JCREの範囲と責任」はJCRE実現に必要とされるサービスの概観
を与える。 2章、「仮想マシンの一生」は仮想マシンの一生を定義する。 3章、「アプレットの一生」はアプレットの一生を定義する。 4章、「短期オブジェクト」は短期オブジェクトの概観を与える。 5章、「選択」はJCREがどのようにアプレット選択を処理するかを説明する
。 6章、「アプレット隔離及びオブジェクト共有」はアプレット隔離とオブジェク
ト共有を説明する。 7章、「トランザクションとアトミシテイ」はトランザクション中のアトミシテ
イの概観を与える。 8章、「APIトピックス」はJCREに必要だがシャバ・カード2.1API
仕様には完全に特定されていないAPI機能を説明する。 9章、「仮想マシン・トピックス」は仮想マシンの詳細を説明する。 10章、「アプレット・インストーラ」はアプレット・インストーラの概観を与
える。 11章、「API定数」はシャバ・カード2.1API仕様に特定されていない
定数の数値を与える。 用語は、この本を使用するのに役立つ言葉とそれらの定義のリストである。 関連の書類及び刊行物 このマニュアル内ではさまざまな書類及び製品に言及する。以下の書類が入手
可能である。 ・シャバ・カード2.1API草案2仕様、サン・マイクロシステムズ社 ・ジャバ・カード2.0言語サブセット及び仮想マシン仕様、1997年10月
13日、改訂1.0最終、サン・マイクロシステムズ社 ・ジャバ・カード・アプレット開発者ガイド、サン・マイクロシステムズ社 ・ジャバ言語使用、ジェームズ・ゴスリング、ビル・ジョイ、及びゲイ・エル・
ステイール著、アデイソン−ウエズレイ、1996年、ISBN 0-201-63451-1 ・ジャバ仮想マシン仕様(ジャバ・シリーズ)、ティム・リインデホルム及びフ
ランク・イェリン著、アディソン−ウエズレイ、1996年、ISBN 0-201-63452
-X ・ジャバ・クラス・ライブラリイ:注解参考書(ジャバ・シリーズ)パトリック ・チェン及びロザンナ・リー著、アディソン−ウエズレイ、2巻、ISBN 0201310
023及び0201310031 ・ISO7816仕様1−6部分 ・支払いシステム用EMV‘96集積回路カード仕様
(VM)、ジャバ・カード・アプリケーション・プログラミング・インターフエ
イス(API)クラス(及び業界特有拡張)及びサポート・サービスを含む。
RE機能を詳述する。ジャバ・カード技術のどんな実現もこの必要な行動と環境
を与える。
テム・プロセスとして実行する。OSプロセスが終了する時、ジャバ・アプリケ
ーションとそれらのオブジェクトは自動的に破壊される。 ジャバ・カード技術において、仮想マシン(VM)の実行の一生は、カードの
一生である。カードに記憶された情報の大部分は電源がカードから外されても保
存される。持続性メモリ技術(EEPROMなど)は、スマート・カードが電源
から外された時に情報の記憶を可能にする。カード上に生成されたVM及びオブ
ジェクトは、持続性のアプリケーション情報を表すのに使用されるため、ジャバ
・カードVMは永久に動作するように見える。電源が外された時、VMは単に一
時的に停止する。カードが次にリセットされる時、VMは再び開始して、持続性
記憶から前のオブジェクト群を回復する。 持続性の特徴は別として、ジャバ・カード仮想マシンは、ジャバ仮想マシンと
同様である。 カード初期化時は、マスキング後の時間であり、カードの個性化と発行の時間
の前である。カード初期化時に、JCREが初期化される。JCREにより生成
されたフレームワーク・オブジェクトは仮想マシンの一生の間、存在する。仮想
マシン及びJCREフレームワークの実行の一生は、カードのCADセッション
に及ぶため、アプレットにより生成されたオブジェクトの一生もまたCADセッ
ションに及ぶ。(CADは、カード受入装置、又はカード読取り器。カード・セ
ッションはカードがCAD内に挿入されて、電源が投入され、そしてCADとA
PDUのストリームを交換する期間である。カード・セッションはカードがCA
Dから取外される時に終了する。)この特性を有するオブジェクトを持続性オブ
ジェクトと呼ぶ。 JCRE実現者は、以下の時にオブジェクトを持続性にする。 ・Applet.registerメソッドがコールされる時。JCREはアプレット・オブジ
ェクトのインスタンスへの参照を記憶する。JCRE実現者は、クラス・アプレ
ットのインスタンスが持続性であることを保証しなければならない。 ・オブジェクトへの参照がクラスの静的フイールド又はその他の持続性オフジェ
クトのフイールドに記憶される時。この要件は、JCRE内部データ構造の完全
性を保存するための必要性から派生する。
カード・メモリにロードされて、リンクされ、又は、その他、実行のために準備
された時点で開始する。(この仕様の以降において、アプレットとはジャバ・カ
ード・プラットホームのために書かれたアプレットを言う。)Applet.register
メソッドに登録されたアプレットは、カードの一生の間、存在する。JCREは
アプレットのパブリック・メソッド、インストール、セレクト、デセレクト、及
びプロセスを介してアプレットと相互作用をする。アプレットは静的インストー
ル・メソッドを実現する。もしインストール・メソッドが実現されなければ、ア
プレットのオブジェクトは生成又は初期化できない。JCRE実現はアプレット
のインストール、セレクト、デセレクト、及びプロセス・メソッドを以下に説明
するようにコールする。 アプレットがスマート・カード上にインストールされる時、静的インストール
・メソッドがJCREにより生成された各アプレット・インスタンスのために1
度、コールされる。JCREはアプレットのコンスラクターを直接コールしては
いけない。
プレット内のインストール・メソッドの主な仕事は、アプレット・クラスのイン
スタンスを生成し、インスタンスを登録することである。アプレットがその一生
の間に必要とする全ての他のオブジェクトはそれが可能な時に生成できる。その
他のアプレットがCADにより選択されてアクセスされるのに必要な準備は可能
な時に行なうことができる。インストール・メソッドは入力するバイト配列パラ
メータの内容から初期化パラメータを獲得する。 典型的に、アプレットは、さまざまなオブジェクトを生成し、それらを所定値
で初期化し、いくつかの内部状態変数を設定し、そしてそれを選択するのに使用
するためにAID(ISO7816−5に定義されるアプレット識別子)を指定
するためにApplet.registerメソッドをコールする。このインストールは、Apple
t.registerメソッドのコールが例外なしに完了した時に成功と見なされる。もし
インストール・メソッドがApplet.registerメソッドをコールしない場合、又は
、もしApplet.registerメソッドがコールされる前にインストール・メソッド内
から例外が投げられる場合、又は、もしApplet.registerメソッドが例外を投げ
る場合、にはインストールは不成功と見なされる。もしインストールが不成功な
らば、JCREはそれが制御を再獲得する時に全てのクリーン・アップを実行し
なければならない。すなわち、全ての持続性オブジェクトは、インストール・メ
ソッドがコールされる前に持っていた状態に戻される。もしインストールが成功
したならば、JCREはアプレットを選択可能と印を付けることができる。
が名前データがアプレットのAIDと一致するSELECT APDUを受取る
時に、選択は発生する。選択はアプレットを現在選択されたアプレットとする。 SELECTをコールする前、JCREは前に選択されたアプレットの選択を
解除しなければならない。JCREはこれをアプレットのデセレクト・メソッド
を呼出すことでアプレットに支持する。 JCREは、アプレットにそのセレクト・メソッドを呼出すことにより選択を
知らせる。 アプレットは、コールから誤りを返すことにより、又は例外を投げることによ
り、選択されることを拒否することができる。もしアプレットが真を返すと、現
実のSELECT APDU命令が以後のそのプロセス・メソッドへのコールで
アプレットに供給されて、アプレットがAPDU内容を検査できる。それはSE
LECT APDUに対してデータ(詳細はプロセス・メソッドを参照)でもっ
て返答でき、又は、適当なSW(状態ワードの返却)を有するISOExcep
tionを投げることでエラーのフラグを立てることができる。SW及び選択的
な応答データはCADへ戻される。 Applet.selectingAppletメソッドは、セレクト・メソッド中にコールされる時
に真を返答する。Applet.selectingAppletメソッドは、SELECT APDU
命令を処理するためにコールされる以降のプロセス・メソッド中に真を返答し続
ける。 もしアプレットが選択されることを拒否すると、JCREはCADにISO.SW_A
PPLET_SELECT_FAILEDのAPDU応答状態ワードを戻す。選択の失敗の際、JC
RE状態はアプレットが選択されていないことを示すように設定される。 選択が成功した後、全ての以降のAPDUはプロセス・メソッドを経由して現
在選択されたアプレットへ配達される。
を現在選択されたアプレットのプロセス・メソッドに送る。 注−SELECT APDUは、プロセス・メソッドのコール前に、現在選択
されたアプレット内に変化を生ずるかもしれない。 正常な返答の際、JCREはアプレットにより既に送られたどんなデータにも
完了応答SWとして、0x9000、を自動的に付ける。 プロセス中のどんな時にも、アプレットは適当なSWと共にISOExceptionを投
げることが可能であり、この場合、JCREはその例外を受取り、そしてSWを
CADに戻す。 プロセス中に、もしその他の例外が投げられた場合、JCREはその例外を受
取り、状態ワード、ISO7816.Sw_UNKNOWN、をCADへ戻す。
令を受取る時、JCREは現在選択されているアプレットのデセレクト・メソッ
ドをコールする。これは他のアプレットの実行を可能にするために必要なクリー
ン・アップ操作をアプレットが実行することを可能にする。 Applet.selectingAppletメソッドは、デセレクト・メソッド中にコールされた
時、誤りを戻す。デセレクト・メソッドにより投げられた例外はJCREにより
受取られる。しかし、アプレットは選択が解除される。
る場合、電源が喪失する。カードに電源が再び加えられる時及びカード・リセッ
ト(ウアーム又はコールド)時、JCREは以下を保証する。 ・一時データはデフォルト値にリセットされる。 ・電源が喪失した(又はリセットが発生した)時に進行中のトランザクションが
あれば、中止される。 ・電源が喪失した(又はリセットが発生した)時に選択されたアプレットは黙示
的に選択が解除される(この場合、デセレクト・メソッドはコールされない)。 ・もしJCREがデフォルト・アプレット選択を実現する場合は(パラグラフ5
.1参照)、デフォルト・アプレットが現在選択されたアプレットとして選択さ
れ、そして、デフォルト・アプレットのセレクト・メソッドがコールされる。そ
れ以外は、JCREはその状態をアプレットが選択されていないことを示すもの
に設定する。
暫定)データを含むオブジェクトを必要とする。ジャバ・カードはジャバ・キー
ワード遷移をサポートしない。しかし、ジャバ・カード技術はオブジェクトへの
参照又はプリミティブな成分を有する一時的配列を生成する方法を与える。 「一時的オブジェクト」の語は誤った名称である。これはオブジェクト自身が
一時的という意味に誤解される。しかし、オブジェクトのフイールド(長さフイ
ールドを除く)の内容のみが一時的な性格を有する。ジャバ・プログラミング言
語内のその他のオブジェクトと同様に、ジャバ・カード・プラットホーム内の一
時的オブジェクトは、以下から参照される限り、存在する。 ・スタック ・ローカル変数 ・クラス静的フイールド ・別の存在するオブジェクト内のフイールド ジャバ・カード・プラットホーム内の一時的オブジェクトは以下の要求された
振舞いを有する。 ・一時的オブジェクトのフィールドは、ある出来事(以下を参照)の発生時に、
フィールドのデフォルト値(ゼロ、誤り、又は無効)にクリアされる。 ・セキュリテイの理由のため、一時的オブジェクトのフイールドは「持続性メモ
リ技術」内には絶対に記憶されない。例として現在のスマート・カード技術を用
いれば、一時的オブジェクトの内容はRAMに記憶できるが、EEPROMには
決して記憶されない。この要件の目的は一時的オブジェクトがセッション・キー
を記憶するのに使用できるようにするためである。 ・一時的オブジェクトのフイールドへの書き込みは性能を悪くしてはいけない。
(例として、現在のスマート・カード技術を取ると、一時的オブジェクトの内容
はRAM内に記憶できるが、一時的でないオブジェクトの内容はEEPROM内
に記憶できる。典型的に、RAM技術はEEPROMよりもずっと早い書込みサ
イクルを有する。) ・一時的オブジェクトのフアイルへの書込みは「トランザクション」により影響
を受けない。すなわち、abortTransactionは決して一時的オブジェクト内のフイ
ールドを前の値に回復しない。 この振舞いは、一時的オブジェクトを、しばしば修正されるがCAD又は選択
セッションにわたって保存する必要の無い少量の一時的アプレット・データにつ
いて、理想的にする。
するために使用される。一時的オブジェクトが生成される時、そのフイールドを
クリアするための1つ又は2つの出来事が指定される。クリア・オン・リセット
一時的オブジェクトは、アプレット・セッションをわたって持続されるがカード
・リセットをわたって持続されない状態を維持するために使用される。クリア・
オン・デセレクト一時的オブジェクトは、アプレットが選択されている間は持続
されるが、アプレット選択又はカード・リセットをわたっては持続しない状態を
維持するために使用される。 2つのクリア出来事の詳細は以下の通りである。 ・クリア・オン・リセット・オブジェクトのフイールドは、カードがリセットさ
れる時にクリアされる。カードに電源が投入される時、これはカード・リセット
を生ずる。 注−電源がカードから取除かれる前に一時的オブジェクトのフイールドをクリ
アする必要はない。しかし、このようなフイールドの内容は一旦電源が喪失する
と回復できないことを保証する必要がある。 ・クリア・オン・デセレクト・オブジェクトのフイールドは、アプレットの選択
が解除された時には常にクリアされる。カード・リセットは黙示的に現在選択さ
れたアプレットの選択を解除するため、クリア・オン・デセレクト・オブジェク
トのフイールドはまた、クリア・オン・リセットのために指定された同じ出来事
によりクリアされる。 現在選択されているアプレットは、選択命令が処理される時のみに明示的に選
択が解除される。現在選択されたアプレットは選択が解除され、そして全てのク
リア・オン・デセレクト一時的オブジェクトのフイールドは、選択命令が以下の
状態にかかわらず、クリアされる。 ・アプレットの選択に失敗。 ・異なるアプレットを選択。 ・同じアプレットを再選択。
T APDUはJCREにより現在選択されているアプレットを指定するのに使
用される。一旦、選択されると、アプレットは選択が解除されるまで、全ての以
降のAPDUを受取る。
もって指定されていない。 ・アプレットの選択を試みた時、選択命令が失敗する。
スマート・カードCADアプリケーションは、各カード・リセット後に、黙示的
に選択されるデフォルト・アプレットの存在を必要とする。その振舞いは、 1.カード・リセット(又は、リセットの形式の電源投入)後、JCREはその
初期化を行ない、その内部状態が特定のアプレットがデフォルト・アプレットで
あると示しているかを検査する。もしそうならば、JCREはこのアプレットを
現在選択されたアプレットとし、そのアプレットのセレクト・メソッドがコール
される。もしアプレットのセレクト・メソッドが例外を投げ又は誤りを返すと、
JCREはその状態をアプレットが選択されないことを示す状態に設定する。(
デフォルト・アプレット選択中にはSELECT APDUが無いため、アプレ
ットのプロセス・メソッドはコールされない。)デフォルト・アプレットがカー
ド・リセットにおいて選択される時、そのプロセス・メソッドがコールされる必
要はない。 2.JCREはATRが送られることを保証し、そしてカードは現在APDU命
令を受取るための用意ができている。 もしデフォルト・アプレットが成功的に選択されると、APDU命令はこのア
プレットに直接的に送られることができる。もしデフォルト・アプレットが選択
されなければ、選択命令のみが処理できる。 デフォルト・アプレットを指定するための機構はジャバ・カードAPI2.1
には定義されていない。それはJCRE実現の詳細であり、個々のJCRE実現
者に任されている。
舞いは、 1.アプレットがもしあれば活動的かどうかにかかわらず、JCREによりSE
LECT APDUは常に処理される。 2.JCREは一致したAIDについて内部テーブルを探す。JCREは選択命
令中に完全なAIDがある場合、アプレットの選択を支援する。 JCRE実現者は、他の選択基準を支援するために彼等のJCREを増強する
ことは自由である。この一例は、ISO7816−14に説明されるように部分
的なAID一致を介しての選択である。特別な要件は以下の通りである。 注−星印はISO7816内の2進値ビット番号を示す。最上位ビット=b8、
最下位ビット=b1である。 a)アプレット選択命令は、CLA=0x00,INS=0xA4、を使用する。 b)アプレット選択命令は、「DF名による選択」を使用する。従って、P1=0
x04である。 c)P1の他の値はアプレット選択を示唆しない。APDUは現在選択されたア
プレットにより処理される。 d)JCREは、正確なDF名(AID)選択、すなわち、P2=%b0000xx00(b4
,b3*は無視)、を支援する。 e)全ての他の部分DF名選択オプション(b2,b1*)は、JCRE実現に依存す
る。 f)全てのフアイル制御情報オプション・コード(b4,b3*)は、JCREにより
支援され、そしてアプレットにより解釈されそして処理される。 3.もしAID一致が見つからなければ、 a.もし現在選択されたアプレットが存在しなければ、JCREは選択命令に
状態コード0x6999(SW_APPLET_SELECT_FAILED)でもって返答する。 b.それ以外は、選択命令は、現在選択されたアプレットのプロセス・メソッ
ドに送られる。この点で、アプレットのコンテキストへのコンテキスト切換えが
発生する。(アプレット・コンテキストはパラグラフ6.1.1.で定義される
。)アプレットは、それら自身の内部選択処理のためにSELECT APDU
命令を使用できる。 4.もし一致したAIDが見つかれば、JCREは新しいアプレットを選択する
準備をする。もし現在選択されたアプレットが存在すれば、そのデセレクト・メ
ソッドへのコールを介して選択解除される。この時点で選択解除されたアプレッ
トのコンテキストへのコンテキスト切換えが生ずる。JCREコンテキストはデ
セレクトからの出口において回復される。 5.JCREは、新たに現在選択されたアプレットを設定する。新しいアプレッ
トは、そのセレクト・メソッドへのコールを介して選択される。そして新しいア
プレットのコンテキストへのコンテキスト切換えが発生する。 a.もしアプレットのセレクト・メソッドが例外を投げる又は誤りを戻すと、
JCRE状態はアプレットが選択されないように設定される。JCREは選択命
令に対して状態コード0x6999(SW_APPLET_SELECT_FAILED)でもって返答する。 b.新たに現在の選択されたアプレットのプロセス・メソッドは、入力パラメ
ータとしてSELECT APDUと共にコールされる。アプレットのコンテキ
ストへのコンテキスト切換えが発生する。 注−もし一致するAIDが存在しなければ、選択命令は通常のアプレットAPD
U命令として処理するために現在選択されたアプレット(もし有れば)に送られ
る。 もし、一致するAIDが存在し、そして選択命令が失敗すると、JCREは常
にアプレットが選択されない状態にはいる。 もし、一致するAIDが現在選択されたアプレットと同じならば、JCREは
アプレットの選択を解除するプロセスを経過して、そしてそれを選択する。再選
択は失敗することがあり、カードをアプレットが選択されない状態にする。
、JCREはAPDUに状態コード0x6999(SW_APPLET_SELECT_FAILED)でもって
返答する。 非選択APDUが受取られ、そして現在選択されたアプレットが存在する時、
JCREは現在選択されたアプレットのプロセス・メソッドを呼出して、APD
Uをパラメータとして送る。これは、JCREコンテキストから現在選択された
アプレットのコンテキストへのコンテキスト切換えを生ずる。プロセス・メソッ
ドが存在する時、VMはJCREコンテキストへ戻される。JCREは返答をA
PDUへ送る。そして次の命令APDUを待つ。
とは、他のアプレットが明示的にアクセスのためのインターフエイスを与えなけ
れば、アプレットは別のコンテキスト内のアプレットのオブジェクト又はフイー
ルドにアクセスすることができないことを意味する。
り、ジャバ技術保護とは別である。ジャバ言語保護はジャバ・カード・アプレッ
トへ適用される。ジャバ言語は強いタイピングと保護属性を実施することを保証
する。 アプレット・フアイヤウォールは常にジャバ・カードVM内で実施される。こ
れらは、VMを実行時に自動的に追加のセキュリテイ検査を実行することを可能
にする。
・システムを、コンテキストと呼ばれる分離した保護されたオブジェクト空間に
区分する。フアイヤウォールは、1つのコンテキストと別の間の境界である。J
CREはカード上にインストールされている各アプレットに対するアプレット・
コンテキストを割当てそして管理する(しかし、グループ・コンテキストの議論
について下のパラグラフ6.1.1.2を参照)。 これに加え、JCREはそれ自身のJCREコンテキストを維持する。このコ
ンテキストはアプレット・コンテキストと大変似ている。しかし、それはアプレ
ット・コンテキストには否定された操作を実行することができるように特別なシ
ステム特権を有する。 どの時点においても、VM内には1つのみの活動的なコンテキスト存在する。
(これが現在活動的なコンテキストと呼ばれる。)オブジェクトにアクセスする
全てのバイトコードは、アクセスが許可されるかどうかを決定するために、現在
活動的なコンテキストに対して実行時に検査される。アクセスが不許可の時、ja
va.lang.SecurityExceptionが投げられる。 パラグラフ6.2.8に記述するように、呼出しタイプ・バイトコードの実行
中に、ある良く定義された条件が満足される時、VMはコンテキスト切換えを実
行する。前のコンテキストは、内部VMスタックに押し込められて、新しいコン
テキストが現在活動的なコンテキストとなり、呼出されたメソッドがこの新しい
コンテキスト内で実行する。メソッドから出る時、VMはコンテキスト切換えの
回復を実行する。元のコンテキスト(メソッドをコールした)はスタックから取
出されて、現在活動的なコンテキストとして回復される。コンテキスト切換えは
ネストできる。最大の深さは、利用可能なVMスタック空間の量に依存する。 ジャバ・カード技術内での大部分のメソッドの呼出しは、コンテキスト切換え
を生じない。コンテキスト切換えは、あるメソッドからの戻りと呼出し中及びそ
れらのメソッドからの例外出口中のみに生ずる(6.2.8参照)。 コンテキスト切換えメソッド呼出し中、現在活動的なコンテキストを示すデー
タの追加の部分が戻りスタック内に押し込まれる。メソッドが出る時にこのコン
テキストが回復される。 この章の以下の部分においてコンテキスト及びコンテキスト切換えのさらなる
詳細が与えられる。
義する。しかし、ジャバ・カード2.1技術では、グループ・コンテキストの概
念が導入される。もし2以上のアプレットが、1つのジャバ・パッケージ内に含
まれる時、それらは同じコンテキストを共有する。これに加え、同じアプレット
・クラスの全てのインスタンスは同じコンテキストを共有する。換言すれば、グ
ループ・コンテキスト内の2つのアプレット・インスタンス間にフアイヤウォー
ルは存在しない。 節6.1.1内の上記コンテキスト及びコンテキスト切換えの説明は、各アプ
レット・インスタンスが別のコンテキストと関連していると仮定している。ジャ
バ・カード2.1技術では、フアイヤウォールを実施するためにコンテキストが
比較される。そしてインスタンスAIDがスタック内に押し込まれる。これに加
えて、これはコンテキスト切換えの時だけではなく、1つのアプレット・インス
タンスにより所有されたオブジェクトから同じパッケージ内の別のインスタンス
により所有されたオブジェクトへの制御切換えの時にも生ずる。
付けられる。しかし、オブジェクトは、オブジェクトが具体化される時に現在活
動的なコンテキスト内のアプレット・インスタンスにより所有される。オブジェ
クトはアプレット・インスタンス又はJCREにより所有される。
。すなわち、所有コンテキストが現在活動的なコンテキストである時。フアイヤ
ウォールが異なるコンテキスト内の別のアプレットによりオブジェクトがアクセ
スされることを防ぐ。 実現の観点では、オブジェクトがアクセスされる時は何時でも、オブジェクト
の所有コンテキストが現在活動的なコンテキストと比較される。もしこれらが一
致しなければ、アクセスは実行されず、SecurityExceptionが投げられる。 オブジェクトの参照を使用して、以下のバイトコードの1つが実行される時、
オブジェクトがアクセスされる。 Getfield, putfield, invokevirtual, invokeinterface, athrow, <T>aload, <T>astore, arraylength, checkcast, instanceof, <T> は、baload、sastore等、さまざまなタイプのバイトコード配列を言う。 このリストは、getfield_b, sgetfield_s_this,等、ジャバ・カードVM内で
実現されるこれらのバイトコードの特別な又は最適化された形を含む。
問題、大切なデータを別のアプレットに「漏らす」ような開発者の誤り及び設計
の見過ごし、に対して保護を与える。アプレットは公にアクセス可能な場所から
オブジェクトの参照を得ることができるかもしれないが、しかし、オブジェクト
が異なるアプレットに所有されていると、フアイヤウォールはセキュリテイを保
証する。 フアイヤウォールはまた、間違ったコードに対して保護を与える。もしカード
に誤ったコードがロードされると、フアイヤウォールはこのコードからオブジェ
クトがアクセスされることを保護する。 ジャバ・カードAPI2.1は、これらの特徴がアプレット開発者には透明で
はない方法で支援されるため、フアイヤウォール及びコンテキストの基本的な最
小保護要件を説明する。開発者は、API、フアイヤウォールに関する例外、及
び、オブジェクトの振舞いについて知らなければならない。 JCRE実現は、これらの機構がアプレットに透明で且つVMの外部に見える
操作を変更しない限り、これらのアプレット・フアイヤウォールを越えて、追加
のセキュリテイ機構を実現することは自由である。
的フイールドがアクセスされる時、実行される実行時コンテキスト検査はない。
静的メソッドが呼出される時、コンテキスト切換えはない。(同様に、invokesp
ecialはコンテキスト切換えを生じない) パブリック静的フイールド及びパブリック静的メソッドは、どんなコンテキス
トからもアクセス可能である。静的メソッドはそれらを呼出したのと同じコンテ
キスト内で実行される。 静的フイールド内で参照されるオブジェクトは普通のオブジェクトである。こ
れらはこれらを生成したものより所有され、標準のフアイヤウォール・アクセス
規則が適用される。もしそれらが複数のアプレット・コンテキストに横断して共
有される必要があるならば、これらは共有可能インターフエイス・オブジェクト
(SIO)である必要がある。(以下のパラグラフ6.2.4参照) もちろん、通常のジャバ技術保護が静的フイールド及びメソッドに対して実施
できる。これに加え、アプレットがインストールされる時、インストーラは外部
の静的フイールド又はメソッドへのリンクの各試みが許可されることを確証する
。インストレーションとリンケージについての仕様はこの仕様の範囲外である。
を実行できる。ジャバ・カードVMは、コードが別のクラスのプライベートなメ
ソッドの呼出しなど、基本的な言語制限に違反する時、検出して、報告し、又は
違反に対処する。
するため、1つのコンテキストが別のコンテキストに属するオブジェクトにアク
セスすることができる、良く定義され且つ安全な機構が提供される。 これらの機構は、ジャバ・カードAPI2.1において与えられ、そして以下
の節で説明される。 ・JCRE入口点オブジェクト ・グローバル配列 ・JCRE特権 ・共有可能インターフエイス
定された)が、特権的な「システム」ルーチンにより実行されるシステム・サー
ビスを要求するための方法を持たなければならない。 ジャバ・カードAPI2.1では、これはJCRE入口点オブジェクトを使用
して達成される。これらはJCREコンテキストにより所有されるオフジェクト
であるが、しかしそれらは入口点メソッドを含むとしてフラグが立てられている
。 フアイヤウォールは、これらのオブジェクトをアプレットによるアクセスから
保護する。入口点指定はこれらのオブジェクトのメソッドがどんなコンテキスト
からも呼出されることを可能にする。それが発生する時、JCREコンテキスト
へのコンテキスト切換えが実行される。これらのメソッドは、アプレットが特権
JCREシステム・サービスを要求するゲートである。 JCRE入口点オブジェクトには2つの分類がある。 ・一時的JCRE入口点オブジェクト 全てのJCRE入口点オブジェクトと同様に、一時的JCRE入口点オブジェ
クトのメソッドは、どんなアプレットのコンテキストから呼出されることができ
る。しかし、これらのオブジェクトへの参照は、クラス変数、インスタンス変数
、又は配列要素内には記憶することができない。JCREは、これらのオブジェ
クトへの参照の記憶の試みを、認証されない再使用を防ぐために、フアイヤウォ
ール機能の一部として検出して制限する。 APDUオブジェクト及び全てのJCRE所有例外オブジェクトは、一時的J
CRE入口点オブジェクトの例である。 ・永久JCRE入口点オブジェクト 全てのJCRE入口点オブジェクトと同様に、永久JCRE入口点オブジェク
トのメソッドは、どんなアプレットのコンテキストから呼出されることができる
。これに加えて、これらのオブジェクトへの参照は記憶でき、自由に再使用でき
る。 JCRE所有AIDインスタンスは、永久JCRE入口点ポイントの例である
。 JCREは、以下の責任を有する。 ・どんな特権的サービスがアプレットに提供できるかを決定する。 ・それらのサービスへの入口点メソッドを含むクラスを定義する。 ・それらのクラスの1又は複数のオブジェクト・インスタンスを生成する。 ・それらのインスタンスをJCRE入口点オブジェクトと指定する。 ・JCRE入口点オブジェクトを一時的又は永久と指定する。 ・必要に応じてこれらのオブジェクトへの参照をアプレットに利用可能にする。
注−これらのオブジェクトのメソッドのみがフアイヤウォールを通じてアクセス
可能にする。これらのオブジェクトのフイールドはフアイヤウォールにより保護
されていて、JCREコンテキストのみによりアクセス可能である。 JCRE自身のみが入口点オブジェクト及びそれらが一時的又は永久かを指定
できる。JCRE実現者は、JCRE入口点オブジェクトが指定されそしてそれ
らがどのように一時的又は永久的になるかの機構の実現に責任を有する。
テキストからもアクセス可能であることを要求する。フアイヤウォールは通常、
これらオブジェクトが柔軟な態様で使用されることを防ぐ。ジャバ・カードVM
はオブジェクトがグローバルとして指定されることを可能にする。 全てのグローバル配列は一時的グローバル配列オブジェクトである。これらオ
ブジェクトはJCREコンテキストにより所有されるが、どんなアプレット・コ
ンテキストからもアクセスできる。しかし、これらのオブジェクトへの参照はク
ラス変数、インスタンス変数又は配列要素内には記憶できない。JCREはこれ
らのオブジェクトへの参照の記憶の試みを、認証されない再使用を防ぐためにフ
アイヤウォール機能の一部として検出して制限する。 追加のセキュリテイのため、配列のみがグローバルと指定でき、そしてJCR
E自身のみがグローバル配列を指定できる。アプレットがそれらを生成できない
ため、APIメソッドは定義されない。JCRE実現者はグローバル配列が指定
される機構を実現する責任がある。 この仕様の刊行時に、ジャバ・カードAPI2.1に要求されるグローバル配
列は、APDUバッフア及びアプレットのインストール・メソッドへのバイト配
列入力パラメータ(b配列)のみである。 注−そのグローバル地位のため、アプレットが選択される時は常に、JCREが
新しいAPDU命令を受取る前に、APDUバッフアがゼロにクリアされること
をAPIは指定する。これは、アプレットの潜在的な重要なデータがグローバル
APDUバッフアを経由して他のアプレットへ「漏れる」ことを防止する。AP
DUバッフアは、共有インターフエイス・オブジェクト・コンテキストからアク
セスでき、アプレット・今テキストを横断してデータを送るのに適している。ア
プレットは、APDUバッフアからアクセスされる秘密データを保護する責任が
ある。
有する。それはカード上のどんなオブジェクトのメソッドも呼出すことができる
。例えば、オブジェクトXがアプレットAにより所有されていると仮定すると、
普通、コンテキストAのみがフイールド及びXのメソッドをアクセスできる。し
かし、JCREコンテキストはXのどんなメソッドも呼出すことができる。この
ような呼出し中、コンテキスト切換えが、JCREコンテキストからXを所有す
るアプレット・コンテキストへ生ずる。 注−JCREは、Xのメソッド及びフイールドの両方をアクセスできる。メソッ
ドのアクセスはJCREがアプレット・コンテキストに入るための機構である。
JCREはフアイヤウォールを介してどんなメソッドも呼出すことができるが、
アプレット・クラスで定義された、select,process,deselect,getShareableInte
rfaceObjectメソッド(6.2.7.1参照)のみを呼出すべきである。 JCREコンテキストは、VMがカード・リセット後に実行を開始する時の現
在活動的なコンテキストである。JCREコンテキストは「ルート」コンテキス
トであり、常に現在活動的なコンテキスト又はスタックに記憶された底コンテキ
ストのいずれかである。
・カードAPI2.1の新しい特徴である。共有可能インターフエイスは、1組
の共有されたインターフエイス・メソッドを定義する。これらのインターフエイ
ス・メソッドは、もしそれらを実現するオブジェクトが別のアプレット・コンテ
キストにより所有されていても、1つのアプレット・コンテキストから呼出すこ
とができる。 この仕様では、共有可能インターフエイスを実現するクラスのオブジェクト・
インターフエイスは、共有可能インターフエイス・オブジェクト(SIO)と呼
ばれる。 所有コンテキストには、SIOはそのフイールド及びメソッドがアクセスでき
る普通のオブジェクトである。その他のコンテキストには、SIOは共有可能な
インターフエイスのインスタンスであり、共有可能インターフエイス内で定義さ
れたメソッドのみがアクセス可能である。SIOのその他の全てのフイールド及
びメソッドはフアイヤウォールにより保護される。 共有可能インターフエイスは、アプレット間通信のための安全な機構を以下の
様に与える。 1.オブジェクトを別のアプレットに利用可能にするため、アプレットAは最初
に共有可能インターフエイスSIを定義する。共有可能インターフエイスはイン
ターフエイス、javacard.framework.Shareable、を拡張する。共有可能インター
フエイスSIに定義されたメソッドは、アプレットAが他のアプレットにアクセ
ス可能にしたサービスを表す。 2.そして、アプレットAは共有可能インターフエイスSIを実現するクラスC
を定義する。CはSI内に定義されたメソッドを実現する。Cは他のメソッド及
びフイールドも定義してもよいが、これらはアプレット・フアイヤウォールで保
護されている。SI内で定義されているメソッドのみが他のアプレットにとりア
クセス可能である。 3.アプレットAは、クラスCのオブジェクト・インスタンスOを生成する。O
はアプレットAに属し、フアイヤウォールはAがOのどんなフイールド及びメソ
ッドもアクセスすることを可能にする。 4.アプレットAのオブジェクトOにアクセスするために、アプレットBはタイ
プSIのオブジェクト参照SIOを生成する。 5.アプレットBは、アプレットAから共有されたインターフエイス・オブジェ
クト参照を要求するために特別なメソッド(パラグラフ6.2.7.2に記載さ
れたJCSystem.getAppletShareableInterfaceObject)を呼出す。 6.アプレットAは、要求及びApplet.getShareableInterfaceObjectを経由して
要求者(B)のAIDを受取り、そしてそれがアプレットBとオブジェクトOを
共有するかどうかを決定する。 7.もしアプレットAが、アプレットBと共有を同意すれば、AはOへの参照と
共に要求に応答する。この参照はOのメソッド又はフイールドのいずれも見えな
いようにするために、Shareableをタイプするためのキャストである。 8.アプレットBはアプレットAからオブジェクト参照を受取り、それをSIを
タイプするためにキャストし、それをオブジェクト参照SIO内に記憶する。S
IOは実際にAのオブジェクトOを参照するが、SIOはタイプSIである。S
Iで定義された共有可能インターフエイス・メソッドのみがBに見える。フアイ
ヤウォールはOの他のフイールド及びメソッドがBによりアクセスされることを
防止する。 9.アプレットBは、SIOの共有可能なインフエイス・メソッドの1つを呼出
すことにより、アプレットAからのサービスを要求できる。呼出し中、ジャバ・
カードVMはコンテキスト切換えを実行する。元の現在活動的なコンテキスト(
B)はスタック上に記憶され、そして実際のオブジェクト(O)の所有者(A)
のコンテキストが新しく現在活動的なコンテキストとなる。共有可能インターフ
エイス・メソッド(SIメソッド)のAの実現がAのコンテキスト中で実行され
る。 10.SIメソッドは、JCSystem.getPreviousContextAIDメソッドを介してその
クライアント(B)のAIDを見付けることができる。これはパラグラフ6.3
2.5内に記載されている。このメソッドはアプレットBのためにサービスを実
行するかどうかを決定する。 11.コンテキスト切換えのため、フアイヤウォールは、SIメソッドがオブジ
ェクトOの全てのメソッド及びフイールド及びAにより所有されるその他のオブ
ジェクトにアクセスすることを可能にする。同時に、フアイヤウォールはメソッ
ドがBにより所有された非共有オブジェクトをアクセスすることを防止する。 12.SIメソッドは、Bにより送られたパラメータをアクセスでき、そしてB
に戻り値を与えることができる。 13.戻る際に、ジャバ・カードVMはコンテキスト切換えの回復を実行する。
元の現在活動的なコンテキスト(B)がスタックから押出されて、再び、現在の
コンテキストとなる。 14.コンテキスト切換えのため、フアイヤウォールは再び、Bがそのオブジェ
クトのいずれにもアクセスすることを可能にし、そしてBがA所有の非共有オブ
ジェクトにアクセスすることを防止する。
最後のコンテキスト切換えの時に活動的なアプレット・インスタンスのインスタ
ンスAIDを戻す。
REから直接に入った時、もしアプレットが、getPreviousContextAIDをコール
すれば、このメソッドは無効を返答する。 もしアプレットが、アプレット自身から又は共有可能インターフエイスを介し
てアクセスされている時に外部アプレットからアクセスされているメソッドから
、getPreviousContextAIDをコールすれば、それは呼出し者AID認証を実行す
る前に、無効返答を検査する。
.framework.Shareable、を拡張(直接的又は間接的のいずれかで)したものであ
る。この共有可能インターフエイスはRMIフアシリテイにより使用された遠隔
インターフエイスの概念的に類似していて、インターフエイス・メソッドへのコ
ールは、ローカル/遠隔境界を横断して生ずる。
別な性質を有する。インターフエイス・メソッドのコールはコンテキスト切換え
によりジャバ・カードのアプレットのフアイヤウォール境界を横断して生ずる。 共有可能インターフエイスは全ての共有されたオブジェクトを識別する役割を
有する。アプレット・フアイヤウォールを介して共有される必要のあるオブジェ
クトはこのインターフエイスを直接的に又は間接的に実現する。共有可能なイン
ターフエイスに指定されたこれらの方法のみがフアイヤウォールを介して利用可
能である。 実現クラスはどんな数の共有可能なインターフエイスも実現でき、その他の共
有可能な実現クラスに拡張できる。 ジャバ・プラットホーム・インターフエイスと同じく、共有可能インターフエ
イスは単に1組のサービス・メソッドを定義する。サービス提供者クラスが共有
可能インターフエイスを「実現」することを宣言し、インターフエイスのサービ
ス・メソッドの各々の実現を提供する。サービス・クライアント・クラスが、オ
ブジェクト参照を得て、もし必要ならば、共有可能インターフエイス・タイプに
それをキャストし、そしてインターフエイスのサービス・メソッドを呼び出すこ
とにより、サービスにアクセスする。 ジャバ・カード技術内の共有可能インターフエイスは以下の性質を有する。 ・共有可能インターフエイス内のメソッドが呼出された時、コンテキスト切換え
がオブジェクト所有者のコンテキストへ生ずる。 ・メソッドが出る時、コールしたもののコンテキストが回復される。 ・例外が投げられた時に発生するスタック・フレームの巻き戻しの際に、現在活
動的なコンテキストが正しく回復されるように、例外処理が増強される。
するSIOの共有可能インターフエイス・メソッドを呼出す時に達成される。こ
れが動作するために、クライアント・アプレットが最初にサーバー・アプレット
からSIOを獲得するための方法がなければならない。JCREはこれを可能に
する機構を与える。アプレット・クラス及びJCSystemクラスはクライアントがサ
ーバーからサービスを要求することを可能にするメソッドを与える。 6.2.7.1メソッド・アプレット.getShareableInterfaceObject このメソッドは、サーバー・アプレット・インスタンスにより実現される。そ
れは別のアプレットに属するオブジェクトを使用することを要求するクライアン
ト・アプレットとオブジェクトを共有可能にするサーバー・アプレットとの間の
調停をするため、JCREによりコールされなければならない。 デフォルトの振舞いは無効を返答する。これはアプレットはアプレット間通信
に参加しないことを示す。 別のアプレットから呼出されることを意図されたサーバー・アプレットはこの
メソッドを覆す必要が有る。このメソッドはクライアントAIDとパラメータを
検査する。もしクライアントAIDが期待されたAIDの1つでなければ、メソ
ッドは無効を返答する。同様に、もしパラメータが認識されなければ、又は、も
しそれがクライアントAIDに許可されなければ、メソッドはまた無効を返す。
それら以外は、アプレットはクライアントが要求した共有可能インターフエイス
・タイプのSIOを戻す。 サーバー・アプレットは、同じSIOを全てのクライアントに返答する必要は
無い。サーバーは異なる目的のために共有されたインターフエイスの複数のタイ
プを支援でき、クライアントへどの種類のSIOを戻すかを決定するためにクラ
イアントAIDとパラメータを使用する。 6.2.7.2メソッドJCSystem.getAppletShareableInterfaceObject JCSystemクラスはメソッドgetAppletShareableInterfaceObjectを含
む。これはサーバー・アプレットと通信するためにクライアント・アプレットに
より呼出される。 JCREは以下の様に振舞うためにこのメソッドを実現する。 1.JCREはその内部アプレット・テーブル内でサーバーAIDを持ったもの
を探す。見つからなければ、無効が戻される。 2.JCREは、このアプレットのgetShareableInterfaceObjectメソッドを呼
出し、呼出したもののクライアントAIDとパラメータを送る。 3.コンテキスト切換えがサーバー・アプレットへ生ずる。そして前記したよう
にgetShareableInterfaceObjectの実現が進行する。サーバー・アプレットはS
IO(又は無効)を戻す。 4.GetAppletShareableInterfaceObjectは同じSIO(又は無効)をそのコー
ルしたものに戻す。 増強されたセキュリテイのため、実現はクライアントが以下の状態のどれが無
効値を戻したかを知ることが不可能にする。 ・サーバーAIDが見つからない。 ・サーバー・アプレットはアプレット間通信に参加していない。 ・サーバー・アプレットはクライアントAID又はパラメータを認識しない。 ・サーバー・アプレットはこのクライアントと通信しない。 ・サーバー・アプレットはパラメータにより指定されたようにこのクライアント
と通信しない。
時にアクセスされる。 getstatic, putstatic オブジェクトは、以下の1つのジャバ・バイトコードがオブジェクト参照を使
用して実行される時にアクセスされる。 Getfield, putfield, invokevirtual, invokeinterface, athrow, <T>aload, <T>astore, arraylength, checkcast, instanceof, <T> は、baload、sastore等、さまざまなタイプのバイトコード配列を言う。 このリストは、getfield_b, sgetfield_s_this,等、ジャバ・カードVM内で
実現されるこれらのバイトコードの特別な又は最適化された形を含む。 ジャバVMにより指定されたバイトコードの仕事を実行する前に、ジャバ・カ
ードVMは参照されたオブジェクト上にアクセス検査を実行する。もしアクセス
が否定されると、SecurityExceptionが投げられる。 ジャバ・カードVMにより実行されるアクセス検査は参照されたオブジェクト
、バイトコード、及び現在活動的なコンテキストのタイプと所有者に依存する。
それらは以降に説明される。
参照タイプで、記憶されている参照が一時JCRE入口点オブジェクト又はグロ
ーバル配列への参照であれば、アクセスは否定される。 ・それ以外は、アクセスは許可される。
プであり、記憶されている参照が一時JCRE入口点オブジェクト又はグローバ
ル配列への参照であれば、アクセスは否定される。 ・それ以外で、もし配列が現在活動的コンテキストにより所有されていれば、ア
クセスは許可される。 ・それ以外で、配列がグローバルと指定されれば、アクセスは許可される。 ・それ以外は、アクセスは否定される。
照タイプで、記憶されている参照が一時JCRE入口点オブジェクト又はグロー
バル配列への参照であれば、アクセスは否定される。 ・それ以外で、もしオブジェクトが現在活動的なコンテキストに所有されれば、
アクセスは許可される。 ・それ以外は、アクセスは否定される。
可される。コンテキストはオブジェクトの所有者のコンテキストへ切り換えられ
る。 ・それ以外で、もしオブジェクトがJCRE入口点オブジェクトと指定されれば
アクセスは許可される。コンテキストはオブジェクトの所有者のコンテキスト(
JCREの)へ切り換えられる。 ・それ以外で、もしJCREが現在活動的なコンテキストであれば、アクセスが
許可される。コンテキストはオブジェクトの所有者のコンテキストへ切り換えら
れる。 ・それ以外は、アクセスが否定される。
可される。 ・それ以外で、もしJCREが現在活動的なコンテキストであれば、アクセスが
許可される。コンテキストはオブジェクトの所有者のコンテキストへ切り換えら
れる。 ・それ以外は、アクセスは拒否される。
可される。 ・それ以外で、もしオブジェクトのクラスが共有可能インターフエイスを実現す
れば、そしてもし呼出されるインターフエイスが共有可能インターフエイスを拡
張すれば、アクセスは許可される。コンテキストはオブジェクトの所有者のコン
テキストへ切り換えられる。 ・それ以外で、もしJCREが現在活動的なコンテキストであれば、アクセスが
許可される。コンテキストはオブジェクトの所有者のコンテキストへ切り換えら
れる。 ・それ以外は、アクセスは拒否される。
可される。 ・それ以外で、もしオブジェクトがJCRE入口点オブジェクトと指定されれば
、アクセスは許可される。 ・それ以外で、もしJCREが現在活動的なコンテキストであれば、アクセスは
許可される。 ・それ以外は、アクセスは否定される。
可される。 ・それ以外で、もしJCREが現在活動的なコンテキストであれば、アクセスは
許可される。 ・それ以外で、もしオブジェクトがJCRE入口点オブジェクトと指定されれば
、アクセスは許可される。 ・それ以外で、もしJCREが現在活動的なコンテキストであれば、アクセスは
許可される。 ・それ以外は、アクセスは否定される。
可される。 ・それ以外で、もしJCREが現在活動的なコンテキストであれば、アクセスは
許可される。 ・それ以外は、アクセスは否定される。
可される。 ・それ以外で、もしオブジェクトのクラスが共有可能インターフエイスを実現し
、そしてもしオブジェクトが共有可能インターフエイスを拡張するインターフエ
イスにキャスト(checkcast)され又はそのインスタンス(instanceof)であれば、
アクセスは許可される。 ・それ以外で、もしJCREが現在活動的なコンテキストであれば、アクセスは
許可される。 ・それ以外は、アクセスは否定される。
レット・コンテキストがオブジェクトの所有者(オブジェクトが生成された時に
現在活動的なアプレット・コンテキスト)と同じ時のみにそれらがアクセスでき
るという点で、持続性オブジェクトと似た振舞いをする。
プレット・コンテキストが現在選択されたアプレット・コンテキストである時の
みに生成又はアクセスできる。もしどんなmakeTransientfactoryメソッドが、現
在活動的なアプレット・コンテキストが現在選択されたアプレット・コンテキス
トでない時に、クリア・オン・デセレクト・タイプの一時的オブジェクトを生成
するためにコールされると、メソッドは理由コード、ILLEGAL_TRANSIENT、と共
に、SystemException、を投げる。もしクリア・オン・デセレクト・タイプの一
時的オフジェクトへのアクセスが、現在活動的なアプレット・コンテキストが現
在選択されたアプレット・コンテキストでない時に試みられた場合、JCREは
SecurityExceptionを投げる。 同じパッケージの部分のアプレットは同じグループ・コンテキストを共有する
。パッケージからの各アプレット・インスタンスは、同じパッケージからの全て
の他のインスタンスと共に全てのそのオブジェクト・インスタンスを共有する。
(これはこれらのアプレット・インスタンスにより所有されるクリア・オン・リ
セット・タイプ及びクリア・オン・デセレクト・タイプの両方の一時的オブジェ
クトを含む。) 同じパッケージ内のどんなアプレット・インスタンスにより所有されるクリア
・オン・デセレクト・タイプの一時的オブジェクトは、このパッケージ内のいず
れかのアプレット・インスタンスが現在選択されたアプレットである時に、アク
セス可能である。
口座から別の口座にある量のお金を移動することは銀行トランザクションである
。トランザクションがアトミックであることが重要である。データ・フイールド
の全てが更新されるか、又は全くされないかのいずれかである。JCREは、も
しトランザクションが正常に終了しなければ、カードのデータはその元のトラン
ザクション前状態に回復されるように、アトミック・トランザクションのための
健全な支援を与える。この機構は、トランザクション中の電源喪失やプログラム
エラーなどのもしトランザクションの全ステップが正常に終了しない場合にデー
タを壊すであろう出来事に対して、保護する。
更新中の停止、故障、又は致命的な例外の後に、持続性記憶の内容をカードがど
のように処理するかを定義する。もし電源が更新中に喪失したならば、アプレッ
ト開発者は、電源が回復された時にフイールド又は配列成分が含むものに依存す
ることができなければならない。 ジャバ・カード・プラットホームは、単一の持続性オブジェクト又はクラス・
フイールドのどんな更新もアトミックであることを保証する。これに加えて、ジ
ャバ・カード・プラットホームは、持続性配列に対して、単一成分レベル・アト
ミシテイを与える。すなわち、もしスマート・カードがCADセッションを横断
して保存されるべきデータ要素(オブジェクト/クラス内のフイールド又は配列
の成分)の更新中に電源を喪失すると、データ要素はその前の値に回復される。 いくつかのメソッドはまた、複数のデータ要素のブロック更新のためのアトミ
シテイを保証する。例えば、Util.arrayCopyメソッドのアトミシテイは、全ての
バイトが正しくコピーされたか、又はそうでなければ宛先配列はその前のバイト
値に回復されるかのいずれかを保証する。 アプレットは配列更新に対してアトミシテイを要求しないかもしれない。Util
.arrayCopyNonAtomicメソッドは、この目的のために提供される。それは進行中
のトランザクションと一緒にコールされた時でさえも、トランザクション・コミ
ット・バッフアを使用しない。
ド又は配列成分を、アトミカリーに更新する必要があるかもしれない。全ての更
新は、正確に且つ整合的に行なわれるか、そうでなければ、全てのフイールド/
成分はそれらの前の値に回復されるかのいずれかである。 ジャバ・カード・プラットホームは、アプレットがJCSystem.beginTransactio
nメソッドへのコールと共に更新のアトミックな組の始まりを指定することがで
きるトランザクション・モデルを支援する。この点の後の各オブジェクト更新は
、条件付きで更新される。フイールド又は配列成分は更新されたかのように見え
る。フイールド/配列成分を読み返すとその最新の条件付き値が生ずる。しかし
、更新はまだコミットされていない。 アプレットが、JCSystem.commitTransactionをコールする時、全て条件付きの
更新が持続性記憶にコミットされる。JCSystem.commitTransactionの完了前に電
源喪失又はその他のシステム故障が発生すると、全ての条件付更新フイールド又
は配列成分はそれらの前の値に回復される。もしアプレットが、内部的問題に出
会う又はトランザクションを取消すと決定した場合、それは、JCSystem.abortTr
ansactionをコールすることにより条件付き更新をプログラム的に元に戻すこと
ができる。
ス、又はインストール・メソッドからの戻りの際にプログラム的制御を再獲得す
る時に、常に終了する。これは、トランザクションがアプレットのcommitTransa
ctionへのコールでもって、又は、トランザクションの中止(アプレットにより
プログラム的に又はJCREによるデフォルトによるかのいずれか)でもって正
常に終了するかにかかわらず、真である。トランザクション中止のさらなる詳細
はパラグラフ7.6を参照。 トランザクション期間は、JCSystem.beginTransactionへのコールとcommitTra
nsactionへのコール若しくはトランザクションの中止の間のトランザクションの
一生である。
時には1つのトランザクションだけが存在できる。もしトランザクションが既に
進行中に、JCSystem.beginTransactiontがコールされると、TransactionExcepti
onが投げられる。 トランザクションが進行中がどうかを決定することができるように、JCSystem
.transactionDepthメソッドが提供される。
ットされ、又は、その他のシステム故障が発生した場合、JCREは前のJCSyst
em.beginTransactionをコール以降の全てのフイールド及び配列の成分の条件付
き更新をそれらの前の値に回復する。 この動作は、JCREにより自動的にカードを電源喪失、リセット、又は故障
から回復した後に再初期化する時に、実行される。JCREはそれらのオブジェ
クトのどれが(もしあれば)条件付きで更新されたかを決定し、それらを回復す
る。 注−電源喪失又はカード・リセットにより失敗したトランザクション中に生成さ
れたインスタンスにより使用されたオブジェクト空間は、JCREにより回復で
きる。
た場合、それはJCSystem.abortTransactionをコールすることにより、条件付き
更新をプログラム的に元に戻すことができる。もしこのメソッドがコールされる
と、前のJCSystem.beginTransactionのコール以来の全ての条件付き更新された
フイールド又は配列成分はそれらの前の値に回復され、そして、JCSystem.trans
actionDepth値は0にリセットされる。
ロセス又はインストール・メソッドから戻ると、JCREは自動的にトランザク
ションを中止する。もしトランザクションの進行中にセレクト、デセレクト、プ
ロセス、又はインストール・メソッドからの戻りが発生すると、JCREはあた
かも例外が投げなれたように動作する。
、もしこれらのオブジェクトについての全ての参照が探すことができて無効に変
換できれば、削除できる。JCREは中止されたトランザクション中に生成され
たオブジェクトについての参照は無効の参照に等しいことを保証する。
ェクトの更新は、それらが「内部トランザクション」がどうかにかかわらず決し
て、元に回復されない。
付き更新データのバイト数は制限される。ジャバ・カード技術は、実現の際にど
れだけのコミット容量が利用可能かを決定するメソッドを与える。コミット能力
は、利用可能な条件付きバイト更新の数の上限を表す。マネージメント・オーバ
ーヘッドのために利用できる条件付きバイト更新の実際の数はそれよりも少ない
。 トランザクション中に、もしコミット容量を越えると、例外が投げられる。
要件を補足する。第1トピックはAPDUクラス内に完全に実現されるジャバ・
カードI/O機能である。第2トピックはAPI支援ジャバ・カード・セキュリ
テイと暗号である。JCSystem classはAPIバージョン・レベルをカプセル化す
る。 API内部のトランザクション ジャバ・カード2.1API仕様で特別に表示されなければ、APIクラスの
実現はトランザクションを開始したり、又は進行中であれば、トランザクション
の状態を変更したりしない。 API内部の資源の使用 ジャバ・カード2.1API仕様で特別に表示されなければ、実現はオブジェ
クト・インスタンスの所有者が現在選択されたアプレットでない時でさえ、AP
Iインスタンス・メソッドの呼出しを支援する。換言すれば、特に表示されなけ
れば、実現はクリア・オン・デセレクト・タイプの一時的オブジェクトなどの資
源を使用しない。 APIクラスにより投げられた例外 API実現により投げられた全ての例外オブジェクトは、一時的JCRE入口
点オブジェクトである。一時的JCRE入口点オブジェクトは、クラス変数、イ
ンスタンス変数、又は配列成分内に記憶することができない(参照6.2.1)
。
するI/Oへのアクセスをカプセル化する。APDUクラスは、下にあるI/O
トランスポート・プロトコルに独立に設計されている。 JCREは、T=0又はT=1トランスポート・プロトコル又は両方を支援す
る。
APDUクラスは、setOutgoingNoChainingメソッドを介してモード選択を可能
にする。
求された出力転送の無連鎖モードの時、以下のプロトコル順序が続く。 注−無連鎖モードが使用される時、waitExtensionメソッドへのコールは理由コ
ード、ILLEGAL_USE、と共に、APDUException、を投げる。 表記 Le=CADが期待する長さ。 Lr=setOutgoingLengthメソッドを介して設定されたアプレット返答長さ。 <INS>=次に転送される全データ・バイトを示す、入力ヘッダーINSバイ
トに等しいプロトコル・バイト。 <〜INS>=次に転送される約1データ・バイトを示す、入力ヘッダーINS
バイトの補数であるプロトコル・バイト。 <SW1,SW2>=ISO7816−4内のような応答状態バイト。 ISO7816−4ケース2 Le==Lr 1.カードが、標準のT=0<INS>又は<〜INS>手順バイト機構を使用
して、Lrバイトの出力データを送信する。 2.カードが、Applet.processメソッドの完了時に<SW1,SW2>完了状態
を送信する。 Lr<Le 1.カードが、<0x61,Lr>完了状態バイトを送信する。 2.CADが、Le=LrでもってGET RESPONSE命令を送信する。 3.カードが、標準のT=0<INS>又は<〜INS>手順バイト機構を使用
して、Lrバイトの出力データを送信する。 4.カードが、Applet.processメソッドの完了時に<SW1,SW2>完了状態
を送信する。 Lr>Le 1.カードが、標準のT=0<INS>又は<〜INS>手順バイト機構を使用
して、Leバイトの出力データを送信する。 2.カードが、<0x61,(Lr−Le)>完了状態バイトを送信する。 3.CADが、新Le<=Lrで持つGET RESPONSE命令を送信する
。 4.カードが、標準のT=0<INS>又は<〜INS>手順バイト機構を使用
して、(新)Leバイトの出力データを送信する。 5.要求されるならば残りの出力データ・バイト(Lr)を送るのに必要なステ
ップ2−4を繰返す。 6.カードが、Applet.processメソッドの完了時に<SW1,SW2>完了状態
を送信する。 ISO7816−4ケース4 ケース4において、Leは以下の初期交換後に決定される。 1.カードが、<0x61,Lr状態バイト>を送信する。 2.CADが、Le<=Lrを持つGET RESPONSE命令を送信する。 プロトコル順序の残りは、上記のケース2と同じ。 もし、アプレットが早く中止してLeバイトよりも少なく送信すると、CADが
期待する転送長を満たすためにゼロが代りに送られてもよい。
utgoing方法が使用される)、以下のプロトコル順序が続く。 どんなISO−7816−3/4準拠T=0プロトコル転送順序が使用できる
。 注−sendBytes又はsendBytesLongメソッドの連続したコール間でアプレットによ
り、waitExtensionメソッドを呼出すことができる。waitExtensionメソッドは、
0x60手順バイトを使用して追加の作業時間を要求する(ISO−7816−3)
。
ードからの<0x61,xx>の返答状態に応答してCADからのGET RE
SPONSE命令を待っている時、もしCADが異なる命令を送れば、sendByte
s又はsendBytesLongメソッドは理由コードNO_TO_GETRESPONSEと共にAPDUExcepti
onを投げる。 この点からのsendBytes又はsendBytesLongメソッドへのコールは、理由コード
ILLEGAL_USEと共にAPDUExceptionを生ずる。もし、NO_T0_GETRESPONSE例外が投
げられた後に、アプレットによりISOExceptionが投げられると、JCREはその
理由コードの返答状態を破棄する。JCREは新たに受取った命令と共にAPD
Uを再開し、APDUの発送を再開する。
求された出力転送の無連鎖モードの時、以下のプロトコル順序が続く。 表記 Le=CADが期待する長さ。 Lr=setOutgoingLengthメソッドを介して設定されるアプレット返答長さ。 トランスポート・プロトコル順序ブロック連鎖を使用しない。転送中にMビッ
ト(より多くのデータ・ビット)はIブロックのPCB内に設定されない。換言
すれば、外向きデータの全体(Lrバイト)は1つのIブロック内で転送される
。 (もし、アプレットが早く中止してLeバイトよりも少なく送信すると、残り
のブロックの長とを満たすためにゼロが代りに送られる。) 注−無連鎖モードが使用される時、waitExtensionメソッドへのコールは理由コ
ード、ILLEGAL_USE、と共に、APDUException、を投げる。
utgoing方法が使用される時、以下のプロトコル順序が続く。 どんなISO−7816−3/4準拠T=1プロトコル転送順序が使用できる
。 注−sendBytes又はsendBytesLongメソッドの連続したコール間でアプレットによ
り、waitExtensionメソッドを呼出すことができる。waitExtensionメソッドは、
T=0モード内の追加の1作業時間を要求することに等しい、INFユニットの
WTX要求を有するSブロック命令を送る(ISO7816−3参照)。
るアプレットのコンテキスト中に実現インスタンスを戻す。 Javacard.security.MessageDigest Javacard.security.Signature Javacard.security.RandomData Javacardx.crypto.Cipher JCREの実現は、APIにリストされたアルゴリズムの0又は複数を実現す
る。実現されていないアルゴリズムが要求される時、このメソッドは理由コード
、NO_SUCH_ALGORITHM、を持った、CryptoException、を投げる。 上記クラスの実現は、対応する基本クラスを拡張し、全てのアブストラクト・
メソッドを実現する。実現インスタンスと関連された全てのデータ割当ては 、アプレットのインストレーション中に要求された資源の不足を早期にフラグを
立てることができることを保証するためにインスタンス構成の時に実行される。 同様に、javacard.security.keyBuilderクラスのbuildkey方法は、要求された
キー・タイプの実現インスタンスを戻す。JCREは、0又は複数のキー・タイ
プを実現する。実現されていないキー・タイプが要求される時、このメソッドは
理由コード、NO_SUCH_ALGORITHM、を持った、CryptoException、を投げる。 キー・タイプの実現は関連したインターフエイスを実現する。キー実現インス
タンスに関連した全てのデータ割当ては、アプレットのインストレーション中に
要求された資源の不足を早期にフラグを立てることができることを保証するため
にインスタンス構成の時に実行される。
戻す。
RCE、を持った、SystemException、を生ずる。一時的配列を生成するために使用
されるJCSystem内のフアクトリイ・メソッドは、一時的空間の不足を示
すために、理由コード、NO_TRANSIENT_SPACE、を持った、SystemException、を
投げる。 スタックのオーバーフローなどの全ての仮想マシン・エラー(回復不可能)は
、仮想マシン・エラーを生ずる。これらの状態は仮想マシンを停止させる。この
ような回復不可能な仮想マシン・エラーが発生する時、実現は選択的にカードを
ミュートにするか将来の使用を阻止することを要求できる。
ーションは、複雑なトピックである。ジャバ・カードAPI2.1は、それらの
実現において可能な限りの多くの自由度を、JCRE実現者に与えることを意図
している。しかし、いくつかの基本的な共通仕様が、ジャバ・カード・アプレッ
トがインストールする特定のインストーラの実現の詳細を知ることなくインスト
ールすることを可能にするために、要求される。 この仕様は、インストーラの概念を定義し、そして広い範囲にわたり可能なイ
ンストーラの実現の相互操作を達成するために、最小のインストレーション要件
を詳細に示す。 アプレット・インストーラはJCRE2.1仕様の選択的な部分である。すな
わち、JCREの実現は、発行後にインストーラを含むことは必ずしも必要でな
い。しかし、もし実現されれば、インストーラは節9.1に詳細に説明された振
舞いを支援することが要求される。
ルするために必要な機構は、インストーラと呼ばれるカード上の部品に具体化さ
れている。 CADに対して、インストーラはアプレットに見える。それはAIDを持ち、
そしてこのAIDがセレクト命令により成功的に処理された時に現在選択された
アプレットとなる。一旦、選択されると、インストーラは他のアプレットと同様
に振舞う。 ・その他の選択されたアプレットと同様に、それは全てのAPDUを受取る。 ・その設計仕様は、さまざまな前処理下でこれらの命令のセマテイックスと共に
受取るこてが期待されるAPDUのフォーマット及び様々な種類を規定する。 ・それが受取る全てのAPDUを処理して応答する。不正確なAPDUはある種
類のエラー状態を持って応答される。 ・別のアプレットが選択された時(又はカードがリセットされた時又は電源がカ
ードから取外された時)、インストーラは選択解除されて、それが選択される次
の時まで中止される。
インストーラの機能は選択可能であることだけである。この要件の結果として、
インストーラ成分は、非インストーラ・アプレットが選択された時又はアプレッ
トが選択されない時、呼出すことができない。 明らかに、JCRE実現者はインストーラをアプレットとして実現できること
を選択できる。もしそうならば、インストーラはアプレット・クラスを拡張する
ためにコードされて、セレクト、プロセス、及びデセレクト・メソッドの呼出し
に応答する。 しかし、JCRE実現者は、インストーラをそれが外界に対して選択可能な振
舞いを与える限り、別の方法で実現できる。この場合、JCRE実現者はAPD
Uがインストーラ・コード・モジュールに配達される別の機構を与える自由度を
有する。
はそれらのインストーラが選択されるAIDを自由に選択できる。複数のインス
トーラが実現できる。
。JCREは実現者はそれらのインストーラに仕事を指示するためにAPDU命
令を完全に自由に選択できる。 モデルは、カード上のインストーラがCAD上で走るインストレーション・プ
ログラムにより駆動される。インストレーションが成功するために、このCAD
インストレーション・プログラムは以下のことが可能でなければならない。 ・カードを認識する。 ・カード上のインストーラを選択する。 ・適当なAPDUをカード・インストーラに送ることにより、インストレーショ
ン・プロセスを駆動する。これらのAPDUは、以下を含む。 >インストレーションが認証されることを保証するための、認証情報。 >カード・メモリ内にロードされるべきアプレット・コード >カード上に既に存在するコードとアプレット・コードをリンクするためのリン
ケージ情報 >アプレットのインストール・メソッドに送られるべきインスタンス・イニシャ
ライゼーション・パラメータ・データ ジャバ・カードAPI2.1はCADインストーレイション・プログラムの詳
細を指定せず、また、APDUはそれとインストーラの間に送られない。
ければならない。 ・インストーレイションが中止できるかどうか、そしてこれがいかになされたか
。 ・インストーレイション中に、もし例外、リセット、又は電源喪失が発生したら
、何が生ずるか。 ・インストーラがその仕事を終える前に、もし別のアプレットが選択されたら何
が生ずるか。 JCREは、以下の場合、アプレットが成功的にインストールされたと見なさ
れないことを保証する。 ・Applet.registerメソッドからの成功的な戻りの前に、アプレットのインスト
ール・メソッドが例外を投げる(パラグラフ9.2参照)。
のアプレット」に利用可能ではない特徴にアクセスする必要がある。例えば、J
CRE実現者の実現に依存して、インストーラは次のことが必要である。 ・オブジェクト・システム及び/又は標準セキュリテイをバイパスして、直接に
メモリに読み書きする。 ・他のアプレット又はJCREにより所有されたオブジェクトへのアクセス。 ・JCREの非入口点メソッドを呼出す。 ・新たにインストールされたアプレットのインストール・メソッドを呼出すこと
ができる。 再び、インスートラ実現を決定し、そしてインストーラを支援するのに必要な
JCRE実現内の特徴を供給することは、各JCRE実現者の責任である。JC
RE実現者は、普通のアプレットに利用できないようにするため、そのような特
徴のセキュリテイに責任を有する。
イスが存在する。インストーラが正しく実行(ローデイング及びリンキングなど
の実行されたステップ)するためのアプレットを準備した後に、インストーラは
アプレットのインストール・メソッドを呼出す。このメソッドはアプレット・ク
ラスと定義される。 インストーラからアプレットのインストール・メソッドが呼出される正確な機
構は、JCRE実現者定義の実現詳細である。しかし、インストール・メソッド
(新しいオブジェクトを生成するなど)により実行されたコンテキストに関係し
た操作が新アプレットのコンテキスト内でなされ、そしてインストーラのコンテ
キスト内でないようにするため、コンテキスト切換えがある。インストーラはア
プレット・クラス初期化(<clint>)メソッド中に生成された配列オブジ
ェクトが、新アプレットのコンテキストにより所有されることも保証する。 もし全てのステップが失敗又は例外が投げられることなく、実行するApplet.r
egisterメソッドからの成功的な戻りを含むまで、完了した場合、アプレットの
インストレーションは完全とみなされる。その点において、インストールされた
アプレットは選択可能である。 パラメータ・データの最大サイズは32バイトである。セキュリテイの理由の
ため、bArrayパラメータは戻りの後にゼロにされる(APDUバッフアが
アプレットのプロセス・メソッドからの戻りの際にゼロにされるのと同様)。
ション・パラメータ・バイト配列セグメントの内容について何ら指示しない。こ
りはアプレット設計者により完全に定義され、所望のどんなフオーマットででき
る。これに加え、これらインストレーション・パラメータはインストーラーに不
透明であることを意図している。 CAD内で実行されるインストレーション・プログラムがインストーラに配達
されるべき任意のバイト配列を指定することを可能にするように、JCRE実現
者はそれらのインストーラを設計すべきである。インストーラは、単にこのバイ
ト配列をbArrayパラメータ内の目標のアプレットのインストール・メソッ
ドヘ転送する。典型的な実現は、セマンテイック「付随するバイト配列の内容を
送るアプレットのインストール・メソッドをコール」を有するJCRE実現者専
有APDU命令を定義する。
れらの定数を指定された値を有しない。もし、一定の値がこのJCRE2.1仕
様の実現者により一貫して指定されない場合、業界全体の互換性は不可能である
。この章はジャバ・カードAPI2.1レファレンス内で指定されない必要な一
定の値を与える。
・データ・ユニットの略。 APIは、アプリケーション・プログラム・インターフエイスの略。apiは
アプリケーション・プログラムがオペーレーテイング・システム又はその他のサ
ービスをアクセスするときに呼ぶ約束事を定義する。 アプレットは、この書類の文脈内では、ジャバ・カード技術内の選択、コンテ
キスト、機能、及びセキュリテイの基本的単位である、ジャバ・カード・アプレ
ットである。 アプレット開発者は、ジャバ・カード技術仕様を用いてジャバ・カード・アプ
レットを生成する人を言う。 アプレット・フアイヤウォールは、VMが他のアプレット・コンテキスト又は
JCREコンテキストにより所有されたオブジェクトへのアプレットの認証され
ないアクセスから防止し、そして違反を報告し又は対処するジャバ・カード技術
内の機構。 アトミック操作は、その全体が完了するか(もし操作が成功すると)、又は操
作のどの部分も全く完了しない(もし操作が失敗したら)のいずれかである操作
である。 アトミシテイは、特定の操作がアトミックであるか否か、そして電源が喪失、
又はカードがCADから予期されずに取外された場合の適当なデータ回復が必要
な操作を言う。 ATRは、リセットの返答の略。ATRは、リセット条件後にジャバ・カード
により送られる一連のバイトである。 CADは、カード受入装置の略。CADはカードが挿入される装置である。 キャストは、1つのデータ・タイプから別のタイプへの明示的な変換である。 cJCKは、ジャバ・カード技術仕様の実現の許容性を確証するためのテスト
の一揃い。cJCKはテストの一揃いを実行するためジャバ・テスト・ツールを
使用する。 クラスは、オブジェクト指向言語のオブジェクトの原型(プロトタイプ)であ
る。クラスは共通の構造と振舞いを共有する1組のオブジェクトとみなすことが
できる。クラスの構造は、そのクラスのオブジェクトの状態を表すクラス変数に
より定義され、その振舞いはクラスに関連する1組のメソッドにより与えられる
。 クラスは、クラス階層に関係する。1つのクラスは他のクラス(そのスーパー
クラス)の特別化(サブクラス)であってよい。それは他のクラスへの参照を有
し、そしてそれは他のクラスをクライアント−サーバー関係で使用してもよい。
コンテキスト(アプレット実行コンテキスト参照)。 現在活動的なコンテキスト。JCREは現在活動的なジャバ・カード・アプレ
ット・コンテキストの記録を残す。仮想メソッドがオブジェクト上で呼出され、
そしてコンテキスト切換えが必要とされ、そして許可される時、現在活動的なコ
ンテキストはそのオブジェクトを所有するアプレット・コンテキストに対応する
ために変化される。そのメソッドが戻る時、前のコンテキストが回復される。静
的メソッドの呼出しは現在活動的なコンテキストについて影響を与えない。オブ
ジェクトの現在活動的なコンテキスト及び共有状態は一緒に、オブジェクトへの
アクセスが許可されるかどうかを決定する。 現在選択されたアプレット。JCREは現在選択されたジャバ・カード・アプ
レットの記録を残す。このアプレットのAIDを有する選択命令を受取る際、J
CREはこのアプレットを現在選択されたアプレットとする。JCREは全ての
APDU命令を現在選択されたアプレットに送る。 EEPROMは、電気的消去可能プログラム可能読み出し専用メモリの略。 フアイヤウォール(アプレット・フアイヤウォール参照)。 フレームワークは、APIを実現する1組のクラス。これはコア及び拡張パッ
ケージを含む。責任は、APDUの発送、アプレット選択、アトミシテイ管理、
及びアプレット・インストーリングを含む。 ガーベッジ・コレクションは、プログラムの実行時に自動的に再クレームされ
る動的に割当てられた記憶によるプロセスを言う。 インスタンス変数はまたフイールドとして知られていて、オブジェクトの内部
状態の一部を表す。各オブジェクトはそれ自身のインスタンス変数の組を有する
。同じクラスのオブジェクトは同じインスタンス変数を有するが、各オブジェク
トは異なった値を持つことができる。 インスタンシエイションとは、オブジェクト指向プログラミングにおいて、そ
のクラス・テンプレートから特定のオブジェクトを生成することを意味する。こ
れはテンプレートにより指定されたタイプを持つデータ構造の割当てと、デフォ
ルト値又はクラス建設関数により与えられた値でインスタンス変数を初期化する
ことを含む。 JARは、ジャバ・アーキテクチャの略。JARは多くのフアイルを1つに結
合するプラットホームに依存しないフアイル・フオーマットである。 ジャバ・カード実行時環境(JCRE)は、ジャバ・カード仮想マシンねフレ
ームワーク、及び関連のネイテイブ・メソッドからなる。 JC21RIは、ジャバ・カード2.1レファレンス実行の略。 JCRE実現者は、ジャバ・カードAPIを使用してベンダー固有の実現を作
成する人。 JCVMは、ジャバ・カード仮想マシンの略。JCVMは、OPカード・アー
キテクチャの基礎である。JCVMは、バイトコードを実行し、そしてクラス及
びオブジェクトを管理する。これはアプリケーション間の分離(フアイヤウォー
ル)を実施し及び安全なデータ共有を可能にする。 JDKは、ジャバ開発キットの略。JDKはジャバでプログラムするために必
要な環境を与えるサン・マイクロシステムズ社の製品。JDKはさまざまなプラ
ットホームで利用可能であるが、最も有名なのは、サン・ソラリス及びマイクロ
ソフト・ウインドウズ(商標)である。 メソッドは、オブジェクト指向言語において、1つ又は複数のクラスと関連し
た手順若しくはルーチンに与えられた名前である。 名前空間は、全ての名前が独特な1組の名前。 オブジェクト指向は、メソッドと呼ばれるデータを操作する1組のルーチンに
よりカプセル化されたデータ構造である、オブジェクトに基づいたプログラミン
グ方式である。 オブジェクトは、オブジェクト指向プログラミングにおいて、そのクラスによ
り与えられたテンプレートに従い定義されたデータ構造の独特なインスタンスで
ある。各オブジェクトは、そのクラスに属する変数についてそれ自身の値を有し
、そのクラスにより定義されたメッセージ(メソッド)に応答できる。 パッケージは、ジャバ・プログラミング言語内の名前空間であり、クラス及び
インターフエイスを有することができる。パッケージはジャバ・プログラミング
言語内の最小ユニットである。 持続性オブジェクトは、持続性オブジェクトとそれらの値が、無限に、1つの
CADセッションから次に持続するものであるるオブジェクトはデフォルトで持
続性である。持続性オブジェクトの値はトランザクションによりアトミカリイに
更新される。持続性の語はカード上にオブジェクト指向データベースが存在する
ことを意味しない。又、オブジェクトが直列化/非直列化されることを意味しな
い。カードが電源を喪失する時にオブジェクトが失われないことを意味する。 共有可能インターフエイスは、共有されたインターフエイス・メソッドの1組
を定義する。これらのインターフエイス・メソッドは、それらを実現するオブジ
ェクトが別のアプレット・コンテキストにより所有されている時、1つのアプレ
ット・コンテキストにより呼出すことができる。 共有可能インターフエイス・オフジェクト(SIO)は、共有可能インターフ
エイスを実現するオブジェクトである。 トランザクションは、開発者がプログラム・コード内にトランザクションの開
始及び終了を指示することにより操作の広がりを定義する、アトミック操作であ
る。 一時的オブジェクト。一時的オブジェクトの値は、1つのCADセッションか
ら次のセッションに持続せず、特定の間隔でデフォルト値にリセットされる。一
時的オブジェクトの値の更新はアトミックではなく、トランザクションにより影
響されない。
ge 1 日付: 1998年12月16日 ジャバ・カード・ライセンシー殿 JCRE21−DF2−14DEC98.zIPは、ライセンシーの検討と意
見のために、1998年12月14日の日付のジャバ・カード2.1実行時環境
仕様の第2草案を含む。我々は今まで受取った検討フイードバックに基づいて書
類を明確に組み込んで来た。 ZIPのアーカイブの完全の内容は次の通りである。 READ−ME−JCRE21−DE2.txt このREAD ME文書フア
イル。 JCRE21−DF2.pdf−「ジャバ・カード実行時環境(JCRE)2.
1仕様」のPDFフォーマット。 JCRE21−DF2−changebar.pdf−見やすくするために前の
バージョンから変化バーを有する改訂バージョン。
る。 2.認証されないアクセスを制限するために、一時的JCRE入口点オブジェク
トの新しい記述が導入された。フアイヤウォール章6.2.1 3.グローバル配列が一時的JCRE入口点オブジェクトと似たセキュリテイ関
係の制限を追加する。フアイヤウォール章6.2.2 4.一時的JCRE入口点オブジェクト及びグローバル配列の記憶に関して、バ
イトコードの詳細な説明が追加された。章6.2.8 5.章8にJCRE所有の例外オブジェクトの一般的説明が追加された。 6.一時的フアクトリイ・メソッド内の仮想マシン資源故障の修正された記述。
章9.1 「ジャバ・カード2.1実行時環境仕様」は、ジャバ・カードAPT2.1及
びジャバ・カード2.1仮想マシン仕様書類で言及されるような、ジャバ・カー
ド2.1実現を完成するための最小の振舞いと実行時環境を詳述する。この仕様
はジャバ・カード・アプレットの動作と互換性を保証する必要がある。この仕様
書類の目的は、ジャバ・カード2.1仕様の一揃いの部分として、簡潔な方法で
全てのJCRE要素を一緒にすることである。 検討したコメントを<javaoem-javacard@sun.com>又は下の私のアドレスに送っ
て下さい。ジャバ・カード・チームとして、ご意見を待っています。 よろしく。 ゴットフライ・デイジオルジ Godfrey DiGiorgi - godfrey.digiorgi@eng.sun.com OEM Licnesee Engineering Sun Microsystems / Java Software +1 408 343-1506 FAX +1 408 517-5460
するためのコンピュータを示す図。
キテクチャを示す図。
イ・モデルを示す図。
行コンテキストの分離を示すブロック図。
セスのフロー・チャート。
スを示すブロック図。
。
キストへのアクセスを許可するプロセスのフロー・チャート。
使用を声明するブロック図。
構造の使用を説明するブロック図。
の使用を説明するブロック図。
イス・オブジェクトの使用を説明するブロック図。
フロー・チヤート。
Claims (24)
- 【請求項1】 小面積装置であって、 a.少なくとも1つの処理要素と、 b.メモリと、 c.前記メモリ及び前記処理要素を使用して、プログラム・モジュールを互い
に隔離するためのコンテキスト障壁と、 d.前記コンテキスト障壁の制約無しに全てのプログラム・モジュールへのア
クセスを有する1つコンテキストと、 を備えた小面積装置。 - 【請求項2】 前記コンテキストが、コンテキスト障壁を横断して少なくと
も1つのプログラム・モジュールへのアクセスに使用される請求項1に記載の小
面積装置。 - 【請求項3】 前記コンテキストが各プログラム・モジュールに別の名前空
間を割当てる請求項1に記載の小面積装置。 - 【請求項4】 前記コンテキストが、異なる名前空間に位置する少なくとも
1つの他のプログラム・モジュールにアクセスできる請求項3に記載の小面積装
置。 - 【請求項5】 前記コンテキストが各プログラム・モジュールに別のメモリ
空間を割当てる請求項1に記載の小面積装置。 - 【請求項6】 前記コンテキストが、異なるメモリ空間に位置する少なくと
も1つのプログラム・モジュールにアクセスできる請求項5に記載の小面積装置
。 - 【請求項7】 前記コンテキスト障壁が、プリンシパル、オブジェクト及び
アクションの少なくとも1つについて少なくとも1つのセキュリテイ検査を実施
する請求項1に記載の小面積装置。 - 【請求項8】 少なくとも1つのセキュリテイ検査がプリンシパル及びオブ
ジェクトの間の部分的な名前の一致に基づいている請求項7に記載の小面積装置
。 - 【請求項9】 前記コンテキストが前記少なくとも1つのセキュリテイ検査
無しに少なくとも1つの他のコンテキストにアクセス可能な請求項8に記載の小
面積装置。 - 【請求項10】 少なくとも1つのセキュリテイ検査がプリンシパル及びオ
ブジェクトの間のメモリ空間の一致に基づいている請求項7に記載の小面積装置
。 - 【請求項11】 前記コンテキストが前記少なくとも1つのセキュリテイ検
査無しに少なくとも1つの他のコンテキストにアクセス可能な請求項10に記載
の小面積装置。 - 【請求項12】 コンテキスト障壁を使用してプログラム・モジュールを分
離し、1つのコンテキストをコンテキスト障壁の制約無しに少なくとも1つの他
のコンテキストにアクセスを許可するステップを含む、小面積装置を操作する方
法。 - 【請求項13】 コンテキスト障壁は、もしプリンシパルが前記1つのコン
テキスト部分ではなく、又は、プリンシパル及びオブジェクトの両方が同じコン
テキストの部分でなければ、プリンシパルがオブジェクトへのアクションを実行
することを許可しない請求項12に記載の方法。 - 【請求項14】 小面積装置上において、コンテキスト障壁により分離され
た第1プログラム・モジュールから第2プログラム・モジュールへ情報をアクセ
スすることを許可する方法であって、コンテキスト障壁の制約無くして全てのプ
ログラム・モジュールにアクセスできる1つのコンテキストを生成するステップ
を含む方法。 - 【請求項15】 前記コンテキストが、スーパーコンテキストである請求項
14に記載の方法。 - 【請求項16】 小面積装置上において、プログラム・モジュールを分離す
るコンテキスト障壁を横断して通信する方法であって、 a.コンテキスト障壁の制約無くして全てのプログラム・モジュールにアクセ
スできる1つのコンテキストを生成し、 b.他のプログラムの情報へ前記コンテキスト障壁を横断してアクセスするこ
とを前記コンテキストに許可する、 各ステップを含む方法。 - 【請求項17】 小面積装置上において、プログラム・モジュールを分離す
るコンテキスト障壁を横断して通信する方法であって、 a.コンテキスト障壁の制約無くして全てのプログラム・モジュールにアクセ
スできる1つのコンテキストを生成し、 b.前記コンテキストを使用して、他のプログラムの情報へ前記コンテキスト
障壁を横断してアクセスすることを、少なくとも1つのプログラム・モジュール
に許可する、 各ステップを含む方法。 - 【請求項18】 コンピュータ・プログラム製品であって、 a.メモリ媒体と、 b.小面積装置上にコンテキスト障壁を実現し、そしてひとつのコンテキスト
に前記コンテキスト障壁の制約無くして全てのプログラム・モジュールへのアク
セスを与える命令を含むコンピュータ制御要素と、 を含むコンピュータ・プログラム製品。 - 【請求項19】 前記媒体が、搬送波である請求項18に記載のコンピュー
タ・プログラム製品。 - 【請求項20】 コンピュータ・プログラム製品であって、 a.メモリ媒体と、 b.小面積装置において、それぞれのコンテキスト内で複数のプログラムを実
行することにより複数のプログラムを分離し、そして1つのコンテキストにコン
テキスト障壁の制約無しに全てのプログラム・モジュールへのアクセスを許可す
るための命令を含むコンピュータ制御要素と、 を含むコンピュータ・プログラム製品。 - 【請求項21】 前記媒体が、搬送波である請求項20に記載のコンピュー
タ・プログラム製品。 - 【請求項22】 通信リンクを介して小面積装置上にコンテキスト障壁の制
約無しに全てのプログラム・モジュールへのアクセスを有するコンテキストを実
現するための命令を運ぶ搬送波。 - 【請求項23】 小面積装置上においてそれぞれのコンテキスト内で複数の
プログラムを実行することにより複数のプログラムを分離するコンテキスト障壁
を実現し、そして1つのコンテキストにコンテキスト障壁の制約無くして全ての
プログラムにアクセスを許可するための命令を、通信リンクを介して運ぶ搬送波
。 - 【請求項24】 ネットワークを介してコードを送信する方法であって、サ
ーバーからコードのブロックを送信するステップを含み、前記コードのブロック
はコンテキスト障壁を横断してアクセスするために全てのプログラム・モジュー
ルに対してアクセスを有するコンテキストを実現するための命令を含む方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/235,155 US6922835B1 (en) | 1999-01-22 | 1999-01-22 | Techniques for permitting access across a context barrier on a small footprint device using run time environment privileges |
US09/235,155 | 1999-01-22 | ||
PCT/US2000/001238 WO2000043878A1 (en) | 1999-01-22 | 2000-01-20 | Techniques for permitting access across a context barrier on a small footprint device using run time environment privileges |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012202985A Division JP5483768B2 (ja) | 1999-01-22 | 2012-09-14 | 小面積装置において実行時環境特権を使用してコンテキスト障壁を横断するアクセスを許可する技術 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2002535772A true JP2002535772A (ja) | 2002-10-22 |
JP5132853B2 JP5132853B2 (ja) | 2013-01-30 |
Family
ID=22884320
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000595238A Expired - Lifetime JP5132853B2 (ja) | 1999-01-22 | 2000-01-20 | 小面積装置において実行時環境特権を使用してコンテキスト障壁を横断するアクセスを許可する技術 |
JP2012202985A Expired - Lifetime JP5483768B2 (ja) | 1999-01-22 | 2012-09-14 | 小面積装置において実行時環境特権を使用してコンテキスト障壁を横断するアクセスを許可する技術 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012202985A Expired - Lifetime JP5483768B2 (ja) | 1999-01-22 | 2012-09-14 | 小面積装置において実行時環境特権を使用してコンテキスト障壁を横断するアクセスを許可する技術 |
Country Status (9)
Country | Link |
---|---|
US (1) | US6922835B1 (ja) |
EP (1) | EP1163579B1 (ja) |
JP (2) | JP5132853B2 (ja) |
KR (1) | KR100716699B1 (ja) |
CN (1) | CN1316360C (ja) |
AT (1) | ATE240549T1 (ja) |
AU (1) | AU771765B2 (ja) |
DE (2) | DE1163579T1 (ja) |
WO (1) | WO2000043878A1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007519994A (ja) * | 2003-12-23 | 2007-07-19 | フランス テレコム | 2つの実行空間を備える通信端末 |
JP2007219786A (ja) * | 2006-02-16 | 2007-08-30 | Hitachi Software Eng Co Ltd | 未知のマルウェアによる情報漏洩防止システム |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6633984B2 (en) * | 1999-01-22 | 2003-10-14 | Sun Microsystems, Inc. | Techniques for permitting access across a context barrier on a small footprint device using an entry point object |
FR2797968B1 (fr) * | 1999-08-24 | 2001-10-12 | Schlumberger Systems & Service | Dispositif et procede de chargement de commandes dans une carte a circuit integre |
JP4055393B2 (ja) | 2001-10-30 | 2008-03-05 | ソニー株式会社 | データ処理装置およびその方法とプログラム |
DE10324384B3 (de) * | 2003-05-28 | 2004-11-04 | Giesecke & Devrient Gmbh | Behandlung eines Fehlerereignisses bei der Installation eines Anwendungsprogramms in einem tragbaren Datenträger |
JP2005050286A (ja) * | 2003-07-31 | 2005-02-24 | Fujitsu Ltd | ネットワークノードマシンおよび情報ネットワークシステム |
EP1522923A3 (fr) | 2003-10-08 | 2011-06-22 | STMicroelectronics SA | Architecture de processeur à plusieurs contextes d'exécution simultanés |
FR2864658B1 (fr) * | 2003-12-30 | 2006-02-24 | Trusted Logic | Controle d'acces aux donnees par verification dynamique des references licites |
US8087031B2 (en) | 2006-01-09 | 2011-12-27 | Oracle America, Inc. | Method and apparatus for data transfer between isolated execution contexts |
US20080309665A1 (en) * | 2007-06-13 | 2008-12-18 | 3D Systems, Inc., A California Corporation | Distributed rapid prototyping |
CN101430650B (zh) * | 2007-11-07 | 2013-02-06 | 国际商业机器公司 | 用于事务内存的方法和设备 |
US8621168B2 (en) | 2010-12-17 | 2013-12-31 | Google Inc. | Partitioning the namespace of a contactless smart card |
US8807440B1 (en) | 2010-12-17 | 2014-08-19 | Google Inc. | Routing secure element payment requests to an alternate application |
US8352749B2 (en) | 2010-12-17 | 2013-01-08 | Google Inc. | Local trusted services manager for a contactless smart card |
US8171525B1 (en) | 2011-09-15 | 2012-05-01 | Google Inc. | Enabling users to select between secure service providers using a central trusted service manager |
US8255687B1 (en) | 2011-09-15 | 2012-08-28 | Google Inc. | Enabling users to select between secure service providers using a key escrow service |
US8313036B1 (en) | 2011-09-16 | 2012-11-20 | Google Inc. | Secure application directory |
US8850557B2 (en) | 2012-02-29 | 2014-09-30 | International Business Machines Corporation | Processor and data processing method with non-hierarchical computer security enhancements for context states |
US8385553B1 (en) | 2012-02-28 | 2013-02-26 | Google Inc. | Portable secure element |
US8429409B1 (en) | 2012-04-06 | 2013-04-23 | Google Inc. | Secure reset of personal and service provider information on mobile devices |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05224956A (ja) * | 1992-02-14 | 1993-09-03 | Nippon Telegr & Teleph Corp <Ntt> | プロセス間メッセージ通信方法 |
JPH09223200A (ja) * | 1995-09-29 | 1997-08-26 | Internatl Business Mach Corp <Ibm> | 多機能チップ・カード |
Family Cites Families (38)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS61177585A (ja) | 1985-02-04 | 1986-08-09 | Toshiba Corp | 携帯用電子装置密封体 |
DE3689287T2 (de) * | 1985-02-18 | 1994-05-26 | Nippon Electric Co | Datenverarbeitungsgerät. |
US4816654A (en) | 1986-05-16 | 1989-03-28 | American Telephone And Telegraph Company | Improved security system for a portable data carrier |
JP2514954B2 (ja) | 1987-03-13 | 1996-07-10 | 三菱電機株式会社 | Icカ−ド |
JPH01277993A (ja) | 1988-04-28 | 1989-11-08 | Toshiba Corp | 携帯可能電子装置 |
JPH02156357A (ja) | 1988-12-08 | 1990-06-15 | Fujitsu Ltd | プログラム破壊防止方法 |
US5057997A (en) | 1989-02-13 | 1991-10-15 | International Business Machines Corp. | Interruption systems for externally changing a context of program execution of a programmed processor |
US5204663A (en) | 1990-05-21 | 1993-04-20 | Applied Systems Institute, Inc. | Smart card access control system |
DE59004248D1 (de) | 1990-07-20 | 1994-02-24 | Siemens Nixdorf Inf Syst | Verfahren zur Verhinderung unzulässiger Abweichungen vom Ablaufprotokoll einer Anwendung bei einem Datenaustauschsystem. |
JP3007425B2 (ja) | 1991-02-14 | 2000-02-07 | 凸版印刷 株式会社 | Icカード |
US5204897A (en) | 1991-06-28 | 1993-04-20 | Digital Equipment Corporation | Management interface for license management system |
DE4126213C2 (de) | 1991-08-08 | 2000-06-15 | Deutsche Telekom Ag | Chipkarte für mehrere Diensteanbieter |
FR2683357A1 (fr) | 1991-10-30 | 1993-05-07 | Philips Composants | Microcircuit pour carte a puce a memoire programmable protegee. |
CA2147824A1 (en) | 1992-10-26 | 1994-05-11 | Johannes Marinus George Bertina | Host and user transaction system |
US5446901A (en) * | 1993-06-30 | 1995-08-29 | Digital Equipment Corporation | Fault tolerant distributed garbage collection system and method for collecting network objects |
US5649118A (en) | 1993-08-27 | 1997-07-15 | Lucent Technologies Inc. | Smart card with multiple charge accounts and product item tables designating the account to debit |
US5544246A (en) | 1993-09-17 | 1996-08-06 | At&T Corp. | Smartcard adapted for a plurality of service providers and for remote installation of same |
US5481715A (en) | 1993-12-15 | 1996-01-02 | Sun Microsystems, Inc. | Method and apparatus for delegated communications in a computer system using trusted deputies |
US5432924A (en) * | 1993-12-15 | 1995-07-11 | Microsoft Corporation | Method and system for selectively applying an appropriate object ownership model |
EP0666550B1 (en) | 1994-02-08 | 1997-05-02 | Belle Gate Investment B.V. | Data exchange system comprising portable data processing units |
US5594227A (en) | 1995-03-28 | 1997-01-14 | Microsoft Corporation | System and method for protecting unauthorized access to data contents |
WO1996031823A1 (en) | 1995-04-07 | 1996-10-10 | Sofmap Future Design Co., Ltd. | Data processing system and method, and computer program architecture |
CA2173695A1 (en) * | 1995-04-14 | 1996-10-15 | Panagiotis Kougiouris | Method and system for providing interoperability among processes written to execute on different operating systems |
PT757336E (pt) * | 1995-08-04 | 2001-04-30 | Belle Gate Invest B V | Sistema de intercambio de dados que inclui unidades portateis de processamento de dados |
US5768385A (en) | 1995-08-29 | 1998-06-16 | Microsoft Corporation | Untraceable electronic cash |
US5721781A (en) | 1995-09-13 | 1998-02-24 | Microsoft Corporation | Authentication system and method for smart card transactions |
FR2743910B1 (fr) | 1996-01-19 | 1998-02-27 | Solaic Sa | Procede de mise en oeuvre d'un programme securise dans une carte a microprocesseur et carte a microprocesseur comportant un programme securise |
US5742756A (en) | 1996-02-12 | 1998-04-21 | Microsoft Corporation | System and method of using smart cards to perform security-critical operations requiring user authorization |
US5781723A (en) | 1996-06-03 | 1998-07-14 | Microsoft Corporation | System and method for self-identifying a portable information device to a computing unit |
KR100329063B1 (ko) | 1996-10-25 | 2002-03-18 | 디디어 레묀 | 마이크로컨트롤러를 이용한 고급 프로그래밍 언어 사용 |
US5884316A (en) * | 1996-11-19 | 1999-03-16 | Microsoft Corporation | Implicit session context system with object state cache |
US6575372B1 (en) | 1997-02-21 | 2003-06-10 | Mondex International Limited | Secure multi-application IC card system having selective loading and deleting capability |
AU746459B2 (en) | 1997-03-24 | 2002-05-02 | Visa International Service Association | A system and method for a multi-application smart card which can facilitate a post-issuance download of an application onto the smart card |
US6220510B1 (en) | 1997-05-15 | 2001-04-24 | Mondex International Limited | Multi-application IC card with delegation feature |
US6564995B1 (en) | 1997-09-19 | 2003-05-20 | Schlumberger Malco, Inc. | Smart card application-selection |
US6212633B1 (en) * | 1998-06-26 | 2001-04-03 | Vlsi Technology, Inc. | Secure data communication over a memory-mapped serial communications interface utilizing a distributed firewall |
US6349336B1 (en) | 1999-04-26 | 2002-02-19 | Hewlett-Packard Company | Agent/proxy connection control across a firewall |
US6292874B1 (en) | 1999-10-19 | 2001-09-18 | Advanced Technology Materials, Inc. | Memory management method and apparatus for partitioning homogeneous memory and restricting access of installed applications to predetermined memory ranges |
-
1999
- 1999-01-22 US US09/235,155 patent/US6922835B1/en not_active Expired - Lifetime
-
2000
- 2000-01-20 KR KR1020017009171A patent/KR100716699B1/ko active IP Right Grant
- 2000-01-20 DE DE1163579T patent/DE1163579T1/de active Pending
- 2000-01-20 WO PCT/US2000/001238 patent/WO2000043878A1/en active IP Right Grant
- 2000-01-20 DE DE60002687T patent/DE60002687T2/de not_active Expired - Lifetime
- 2000-01-20 EP EP00904413A patent/EP1163579B1/en not_active Expired - Lifetime
- 2000-01-20 AT AT00904413T patent/ATE240549T1/de not_active IP Right Cessation
- 2000-01-20 AU AU26176/00A patent/AU771765B2/en not_active Expired
- 2000-01-20 JP JP2000595238A patent/JP5132853B2/ja not_active Expired - Lifetime
- 2000-01-20 CN CNB008029903A patent/CN1316360C/zh not_active Expired - Lifetime
-
2012
- 2012-09-14 JP JP2012202985A patent/JP5483768B2/ja not_active Expired - Lifetime
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05224956A (ja) * | 1992-02-14 | 1993-09-03 | Nippon Telegr & Teleph Corp <Ntt> | プロセス間メッセージ通信方法 |
JPH09223200A (ja) * | 1995-09-29 | 1997-08-26 | Internatl Business Mach Corp <Ibm> | 多機能チップ・カード |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007519994A (ja) * | 2003-12-23 | 2007-07-19 | フランス テレコム | 2つの実行空間を備える通信端末 |
JP4833079B2 (ja) * | 2003-12-23 | 2011-12-07 | フランス・テレコム | 2つの実行空間を備える通信端末 |
JP2007219786A (ja) * | 2006-02-16 | 2007-08-30 | Hitachi Software Eng Co Ltd | 未知のマルウェアによる情報漏洩防止システム |
JP4627266B2 (ja) * | 2006-02-16 | 2011-02-09 | 株式会社日立ソリューションズ | 未知のマルウェアによる情報漏洩防止システム |
Also Published As
Publication number | Publication date |
---|---|
DE60002687T2 (de) | 2004-03-25 |
KR100716699B1 (ko) | 2007-05-14 |
KR20010101622A (ko) | 2001-11-14 |
JP2013030175A (ja) | 2013-02-07 |
JP5132853B2 (ja) | 2013-01-30 |
WO2000043878A1 (en) | 2000-07-27 |
EP1163579A1 (en) | 2001-12-19 |
DE1163579T1 (de) | 2003-03-06 |
AU771765B2 (en) | 2004-04-01 |
DE60002687D1 (de) | 2003-06-18 |
EP1163579B1 (en) | 2003-05-14 |
JP5483768B2 (ja) | 2014-05-07 |
US6922835B1 (en) | 2005-07-26 |
ATE240549T1 (de) | 2003-05-15 |
AU2617600A (en) | 2000-08-07 |
CN1351728A (zh) | 2002-05-29 |
CN1316360C (zh) | 2007-05-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5132852B2 (ja) | 小面積装置において入力点オブジェクトを使用してコンテキスト障壁を横断するアクセスを許可する技術 | |
JP4716573B2 (ja) | 小面積装置においてグローバル・データ構造を使用してコンテキスト障壁を横断するアクセスを許可する技術 | |
JP5483768B2 (ja) | 小面積装置において実行時環境特権を使用してコンテキスト障壁を横断するアクセスを許可する技術 | |
JP4996787B2 (ja) | 小面積装置においてコンテキスト障壁を用いたセキュリテイを施す技術 | |
JP4981210B2 (ja) | 小型装置において共有オブジェクト・インターフエイスを使用してコンテキスト障壁を横断するアクセスを許可する技術 | |
AU2004200537A1 (en) | Techniques for implementing security on a small footprint device using a context barrier | |
AU2004200637A1 (en) | Techniques for permitting access across a context barrier on a small footprint device using run time environment privileges | |
AU2004200758A1 (en) | Techniques for permitting access across a context barrier on a small footprint device using an entry point object |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070117 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091203 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20100303 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20100311 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20100405 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20100412 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20100506 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20100513 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100603 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110106 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110405 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110412 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110606 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110609 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110613 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20111007 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20111011 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111122 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120221 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120228 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120522 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120914 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20120921 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121009 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121107 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151116 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5132853 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
EXPY | Cancellation because of completion of term |