JP2008139923A - 共有オブジェクトを有するicカード、共有オブジェクトへのアクセス管理方法、及び、icカードプログラム - Google Patents

共有オブジェクトを有するicカード、共有オブジェクトへのアクセス管理方法、及び、icカードプログラム Download PDF

Info

Publication number
JP2008139923A
JP2008139923A JP2006322785A JP2006322785A JP2008139923A JP 2008139923 A JP2008139923 A JP 2008139923A JP 2006322785 A JP2006322785 A JP 2006322785A JP 2006322785 A JP2006322785 A JP 2006322785A JP 2008139923 A JP2008139923 A JP 2008139923A
Authority
JP
Japan
Prior art keywords
application
shared object
access
data
card
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006322785A
Other languages
English (en)
Inventor
Takashi Haginiwa
崇 萩庭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2006322785A priority Critical patent/JP2008139923A/ja
Publication of JP2008139923A publication Critical patent/JP2008139923A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】アプリケーション間でデータを引渡すメッソドで、1バイトのデータした引渡せない場合であっても、1バイトを超える認証データ利用することができるICカードを提供する。
【解決手段】サーバアプレット24には、クライアントアプレット23がアクセスする共有オブジェクトであるSIO241と、SIO241をクライアントアプレット23に提供するためのオブジェクトであるSIOサービスオブジェクト240を備え、SIOサービスオブジェクト240は、クライアントアプレット23から1バイトづつ引渡されるPINを順に蓄積することでPINを組み立て、組み立てたPINを照合する。そして、PINの照合に成功したときのみ、SIO241へのアクセスを許可する。
【選択図】図4

Description

本発明は、プラットフォーム型オペレーティングシステムが実装されたICカードに係り、更に詳しくは、ICカードに実装されたアプリケーション間のアクセスの管理に関する。
Java(登録商標)などのプラットフォーム型オペレーティングシステムが実装され、複数のアプリケーションの追加・削除が可能なマルチアプリケーションICカードにおいて、マルチアプリケーションICカードに実装されたアプリケーション間のアクセスは禁止することが望ましいが、マルチアプリケーションICカードの限られた資源を有効に使うため、共有アクセス可能なオブジェクトである共有オブジェクトをアプリケーションは備えていることがある。
アプリケーションに備えられた共有オブジェクトへのアクセスを限定したいとき、一般的に、共有オブジェクトへアクセス要求するアプリケーションのアプリケーション識別子(AID: Application Identifier)から、共有オブジェクトへのアクセスの許可/不許可が判定される。
また、共有オブジェクトへアクセス要求するアプリケーションのAIDに加え、共有オブジェクトへアクセス要求するアプリケーションから引渡された認証データを照合することで、共有オブジェクトへのアクセスの許可/不許可を判定することもできる。
しかし、Java(登録商標)のプラットフォーム型OSが実装されている場合、共有オブジェクトへアクセスすために利用されるメッソッド、すなわち、getAppletShareableInterfaceObjectやgetShareableInterfaceObjectにおいては、AIDに加え、1バイトのパラメータを引渡すことしかできず、認証データとして1バイトのパラメータしか利用することができないためセキュリティ的に問題がある。
そこで、本出願人は、Java(登録商標)のプラットフォーム型OSが実装されているICカードにおいて、認証データの照合に連続してリトライできる回数を制限することでセキュリティ性を向上させる発明として、特許文献1を既に出願している。
特開2002−73196号公報
しかし、特許文献1で開示している発明を用い、共有オブジェクトへアクセスするときのセキュリティ性を向上させたとしても、照合する認証データは1バイトしか利用できない問題が残る。
そこで、本発明は、Java(登録商標)のプラットフォーム型OSが実装されているICカードにおいて、アプリケーション間でデータを引渡すメッソドで、1バイトのデータした引渡せない場合であっても、1バイトを超える認証データ利用することができるICカード、共有オブジェクトへのアクセス管理方法及びICカードプログラムを提供することを目的とする。
上述した課題を解決する第1の発明は、プラットフォーム型オペレーティングシステム上に、共有アクセス可能なオブジェクトである共有オブジェクトを有するアプリケーション(サーバアプリケーション)が実装されたICカードであって、前記サーバアプリケーションは、前記共有オブジェクトへアクセスするアプリケーション(クライアントアプリケーション)から前記共有オブジェクトへのアクセス要求が示されたとき、前記プラットフォーム型オペレーティングシステムを介し、前記クライアントアプリケーションから1バイト単位で引渡される認証データを引渡された順に蓄積することで前記認証データを組み立て、前記サーバアプリケーションが保持している参照データと組み立てた前記認証データを照合し、照合に成功した場合のみ、前記クライアントアプリケーションの前記共有オブジェクトへのアクセスを許可することを特徴とする。
更に、第2の発明は、第1の発明に記載のICカードであって、前記サーバアプリケーションは、前記共有オブジェクトへのアクセスを許可する前記クライアントアプリケーションを特定するためのデータであるアプリケーション識別子を記憶し、更に、前記サーバアプリケーションは、前記認証データを1バイト単位で引渡す前記クライアントアプリケーションの前記アプリケーション識別子を確認し、前記共有オブジェクトへのアクセスが許可された前記アプリケーション識別子であったときのみ、前記アプリケーション識別子に関連付けて前記認証データを組み立てることを特徴とする。
更に、第3の発明は、第2の発明に記載のICカードであって、前記サーバアプリケーションは、前記共有オブジェクトへのアクセスを許可する前記クライアントアプリケーションの前記アプリケーション識別子ごとに前記参照データを保持し、前記認証データを照合するときは、前記認証データの前記アプリケーション識別子に対応した前記参照データを用いることを特徴とする。
更に、第4の発明は、プラットフォーム型オペレーティングシステム上に、共有アクセス可能なオブジェクトである共有オブジェクトを有するアプリケーション(サーバアプリケーション)が実装されたICカードにおいて、前記サーバアプリケーションが有する前記共有オブジェクトへのアクセス管理方法であって、前記プラットフォーム型オペレーティングシステムを介して、前記共有オブジェクトへアクセスするアプリケーション(クライアントアプリケーション)が前記サーバアプリケーションへ前記共有オブジェクトへのアクセスを要求するステップa)、前記クライアントアプリケーションから1バイト単位で引渡される認証データを引渡された順に蓄積することで前記認証データを組み立るステップb)、前記サーバアプリケーションが保持している参照データと組み立てた前記認証データを照合するステップc)、前記ステップc)で照合に成功した場合のみ、前記クライアントアプリケーションの前記共有オブジェクトへのアクセスを許可するステップd)を含むこと特徴とする。
更に、第5の発明は、第4の発明に記載の共有オブジェクトへのアクセス管理方法であって、前記サーバアプリケーションは、前記共有オブジェクトへのアクセスを許可する前記クライアントアプリケーションを特定するためのデータであるアプリケーション識別子を記憶し、前記ステップb)において、前記サーバアプリケーションは、前記認証データを1バイト単位で引渡す前記クライアントアプリケーションの前記アプリケーション識別子を確認し、前記共有オブジェクトへのアクセスが許可された前記アプリケーション識別子であったときのみ、前記アプリケーション識別子に関連付けて前記認証データを組み立てることを特徴とする。
更に、第6の発明は、第5の発明に記載の共有オブジェクトへのアクセス管理方法であって、前記サーバアプリケーションは、前記共有オブジェクトへのアクセスを許可する前記クライアントアプリケーションの前記識別データごとに前記参照データを保持し、前記ステップc)において、前記認証データを照合するときは、前記認証データの前記識別データに対応した前記参照データを用いることを特徴とする。
更に、第7の発明は、プラットフォーム型オペレーティングシステム上に、共有アクセス可能なオブジェクトである共有オブジェクトを有するアプリケーション(サーバアプリケーション)が実装されたICカードに、前記プラットフォーム型オペレーティングシステムを介して、前記共有オブジェクトへアクセスするアプリケーション(クライアントアプリケーション)が前記サーバアプリケーションへ前記共有オブジェクトへのアクセスを要求するステップa)、前記クライアントアプリケーションから1バイト単位で引渡される認証データを引渡された順に蓄積することで前記認証データを組み立るステップb)、前記サーバアプリケーションが保持している参照データと組み立てた前記認証データを照合するステップc)、前記ステップc)で照合に成功した場合のみ、前記クライアントアプリケーションの前記共有オブジェクトへのアクセスを許可するステップd)を実行させるためのICカードプログラムである。
更に、第8の発明は、第7の発明に記載のICカードプログラムであって、前記サーバアプリケーションは、前記共有オブジェクトへのアクセスを許可する前記クライアントアプリケーションを特定するためのデータであるアプリケーション識別子を記憶し、前記ステップb)において、前記サーバアプリケーションは、前記認証データを1バイト単位で引渡す前記クライアントアプリケーションの前記アプリケーション識別子を確認し、前記共有オブジェクトへのアクセスが許可された前記アプリケーション識別子であったときのみ、前記アプリケーション識別子に関連付けて前記認証データを組み立てることを特徴とする。
更に、第9の発明は、第8の発明に記載のICカードプログラムであって、前記サーバアプリケーションは、前記共有オブジェクトへのアクセスを許可する前記クライアントアプリケーションの前記識別データごとに前記参照データを保持し、前記ステップc)において、前記認証データを照合するときは、前記認証データの前記識別データに対応した前記参照データを用いることを特徴とする。
上述した本発明によれば、共有オブジェクトを有するサーバアプリケーションは、クライアントアプリケーションから1バイト単位で引渡される認証データを引渡された順に蓄積することで認証データを組み立てるため、共有オブジェクトへのアクセスを管理するときに、1バイトを超える認証データを利用できるようになる。
更に、アプリケーション識別子に関連付けて認証データを組み立てることで、複数のクライアントアプリケーションから共有オブジェクトへのアクセス要求があった場合でも対応を取ることができる。
更に、サーバアプリケーションがアプリケーション識別子ごとに参照データを保持することで、共有オブジェクトへのアクセス要求があった場合、クライアントアプリケーションごとに異なる参照データを用いることができる。
ここから、共有オブジェクトを有するICカードについて、図を参照しながら詳細に説明する。図1は、共有オブジェクトを有するICカード1を説明する図である。
図1に示したICカード1は、プラスチックカードにICチップ2が実装された接触型ICカードで、プラットフォーム型OSとしてJCRE(JCRE: Java Card Runtime Environment)が実装され、JCREで解釈実行されるJava(登録商標)のコードで記述された複数のアプリケーションをICカード1に追加・削除できる。
図2は、図1で示したICカード1に実装されるICチップ2の構成図で、図3は、ICカード1に実装されるソフトウェアを説明する図である。
図2に示したようにICカード1のICチップ2には、演算機能およびICチップ2が具備するデバイスを制御する機能を備えた中央演算装置2a(CPU:Central Processing Unit)、読み出し専用の不揮発性メモリ2c(ROM:Read Only Memory、)、電気的に書換え可能な不揮発性メモリとしてEEPROM2d(EEPROM:Electrically Erasable Programmable Read-Only Memoryの略)、揮発性メモリとしてランダムアクセスメモリ2b(RAM:Random Access Memory)、および、外部の端末装置とデータ通信するためのI/F2eとを少なくとも備なえている。
本発明は、ICカード1に実装されるICチップ2の仕様をなんら限定するものではなく、ICカード1の用途に適した仕様のICチップ2を選択することができる。例えば、ROM2cおよびEEPROM2dの容量については限定しないし、書換え可能な不揮発性メモリはフラッシュメモリ等であっても構わない。またICチップ2は乱数を生成する乱数生成回路等の図示していない他のデバイスを備えていても構わない。
なお、図1においては、ICカード1を接触ICカードとして図示しているが、本発明は何らICカード1の通信方式に依存するものではなく、無線でデータ通信する非接触ICカード、または、接触データ通信と非接触データ通信の2つの通信機能を備えたデュアルインターフェースICカードであってもよい。加えて、ICカード1は、ICチップ2の近辺を短冊状に切り取った形状をしているSIM(Subscriber Identity Module)であってもよい。
図3で示したように、ICカード1の不揮発性メモリであるROM2c及びEEPROM2dには、ICチップ2ごとの仕様差分を吸収するためのプログラムであるカードオペレーティングシステム20(COS: Card Operating System)上に、Java(登録商標)のコードの解釈・実行機能を備えたJCRE21が実装されている。
更に、ICカード1の電気的に書換え可能な不揮発性メモリであるEEPROM2dには、アプリケーションとして、JCRE21上で動作する複数のアプレット22が実装されている。
ICカード1に実装されたアプレット22の少なくとも一つは、他のアプレット22から共有アクセス可能なオブジェクトである共有オブジェクトを有している。共有オブジェクトを有するアプレット22および共有オブジェクトにアクセスするアプレット22は一つとは限らないが、便宜的に、共有オブジェクトにアクセスするアプレット22をクライアントアプレットと、そして、共有アクセスを有するアプレット22をサーバアプレットと呼ぶことにする。
図4は、クライアントアプレットとサーバアプレットを説明する図である。サーバアプレット24には、クライアントアプレット23がアクセスする共有オブジェクトであるSIO241(SIO: Shareable Interface Object)と、SIO241をクライアントアプレット23に提供するためのオブジェクトであるSIOサービスオブジェクト240を備え、クライアントアプレット23はSIOサービスオブジェクト240を介してのみSIO241にアクセスできる。すなわち、SIOサービスオブジェクト240は、SIO241へのアクセスに対するファイヤーウォールの役割を果たしている。
また、JCRE21には、クライアントアプレット23とJCRE21間でデータを受け渡すメッソドであるgASIO (gASIO: getAppletShareableInterfaceObject)と、JCRE21とサーバアプレット24間で1バイトのデータを受け渡すメッソドであるgSIO(gSIO: getShareableInterfaceObject)が、JCRE21のフレームワークに備えられている。
SIO241へのアクセスに対するファイヤーウォールの役割を果たすために、SIOサービスオブジェクト240は、SIO241へアクセス要求するクライアントアプレット23から送信される認証データを認証し、認証に成功したときのみ、SIO241へのアクセスを許可する。
本実施の形態で認証データはPINで、クライアントアプレット23は、サーバアプレット24のSIO241へアクセス要求するとき、gASIO及びgSIOを利用して、PINを1バイト単位でサーバアプレット24に引渡し、サーバアプレット24はクライアントアプレット23から1バイトづつ引渡されるPINを順に蓄積することでPINを組み立て、組み立てたPINを照合する。
サーバアプレット24のSIOサービスオブジェクト240は、クライアントアプレット23から引渡されるPINを照合するために、共有アクセスを許可するクライアントアプレットのC_AIDに関連付けて、PINと照合するためのデータである参照PINを記憶したデータテーブルオブジェクト242を備えている。
図5は、サーバアプレット24が有するデータテーブルオブジェクト242を説明する図である。図5のデータテーブルオブジェクト242には、共有が許可される3つのC_AIDが記述され、それぞれのC_AIDに関連付けて、参照PINの長さと参照PINが記憶されている。図5に従えば、C_AIDが「0x 01 02 03 0A」のクライアントアプレット23の参照PINの長さは8バイトで、参照PINは「0x11 22 33 44 55 66 77 88」である。
図6は、サーバアプレット24のコードを説明するための図である。サーバアプレット24には、少なくとも、クライアントアプレット23がアクセスするSIO241と、SIO241を提供するためのオブジェクトであるSIOサービスオブジェクト240が定義されている。
SIOサービスオブジェクト240には、gSIOが定義され、SIO241へアクセス要求するクライアントを認証するメッソドである認証メッソド240aが定義され、認証メッソド240aで認証されたクライアントアプレット23に対してのみ、SIO241が提供される。
ここから、サーバクライアントが、共有オブジェクトへアクセス要求するクライアントアプレット23を認証する手順について説明する。
図7は、クライアントアプレット23からサーバアプレット24へ1バイトのデータが引渡される動作を説明する図で、図8は、サーバアプレットのSIOサービスオブジェクト240が、SIO241へアクセス要求するクライアントアプレット23を認証開始するまでのフロー図で、図9は、サーバクライアントのSIOサービスオブジェクト240が、SIO241へアクセス要求するクライアントアプレット23を認証する手順を示したフロー図である。
まず、図7を参照しながら、クライアントアプレット23からサーバアプレット24へ1バイトのデータが引渡される動作を説明する。gASIOのコードは、クライアントアプレット23内に記述され、gASIOの引数は、SIO241を有するサーバアプレット24のAID(以下、S#AID: Server#AID)及び1バイトのパラメータで、SIO241に対するアクセス要求をクライアントアプレット23がサーバアプレット24にするとき、JCRE21のgASIOがクライアントアプレット23によって呼出される。
gSIOのコードはサーバアプレット24のSIOサービスオブジェクト240内に記述されており、gSIOの引数は、SIO241にアクセス要求したクライアントアプレット23のAID(以下、C#AID: Client#AID)及びgASIOの1バイトのパラメータで、JCRE21のgASIOが呼出されると、gASIOを呼出したクライアントアプレット23のC_AIDと、gASIOのパラメータを含むgSIOが生成され、JCRE21は、gASIOのS_AIDで特定されるサーバアプレット24のgSIOを呼出す。
JCRE21からサーバアプレット24のgSIOが呼出されることで、サーバアプレット24のSIOサービスオブジェクト240には、C_AIDと1バイトのパラメータが引渡され、サーバアプレット24のSIOサービスオブジェクト240は、C_AIDと1バイトのパラメータに従い処理を行う。
次に、図8を参照しながら、サーバクライアントが、共有オブジェクトへアクセス要求するクライアントアプレット23を認証開始する手順について説明する。
この手順の最初のステップS1は、JCRE21からサーバクライアントのgSIOが呼出されるステップで、このステップでは、SIO241へアクセス要求するクライアントアプレット23のC_AIDとパラメータが、gASIOによりサーバクライアントのSIOサービスオブジェクト240に引渡される。
次のステップS2は、ステップS1で引渡されたC_AIDがデータテーブルオブジェクト242に登録されているか確認するステップである。このステップで、認証メッソッド240aはデータテーブルオブジェクト242を参照し、受信したC_AIDがデータテーブルオブジェクト242に登録されているか確認する。C_AIDが登録されていればステップS3に進み、受信したC_AIDがデータテーブルオブジェクト242に登録されていなければステップS6に進み、ステップS6ではNullを送信してこの手順は終了する。
ステップS3は、ステップS1で受信したパラメータが認証開始を示すパラメータであるか確認するステップである。SIOサービスオブジェクト240の認証メッソド240aは、ステップS1で受信したパラメータを確認し、認証開始を示すパラメータ(例えば、0xFF)であればステップS4に進み、認証開始を示すパラメータでなければステップS6に進み、ステップS6ではNullを送信してこの手順は終了する。
ステップS4は、クライアントアプレット23から送信されるPINを格納するためのバッファであるPIN受信バッファを生成するステップである。このステップで認証メッソド240aは、ステップS1で受信したC_AIDで特定されるクライアントアプレット23から1バイト単位で引渡されるPINを順に蓄積するためのPIN受信バッファを、ICチップ2のRAM2bなどに生成する。
ステップS4の後に実行されるステップS5は、サーバアプレット24のSIOサービスオブジェクト240が、クライアントアプレット23を認証する状態に遷移したことを示すオブジェクトをクライアントアプレット23へJCRE21経由で返信するステップである。
クライアントアプレット23を認証する状態に遷移したことを示すオブジェクトをクライアントアプレット23へ返信した後、SIOサービスオブジェクト240はフラグを立てるなどして、SIO241へアクセス要求するクライアントアプレット23を認証する状態に遷移する。
このステップS5をもって、サーバアプレット24に備えられたSIO241の認証メッソド240aが、SIO241へアクセス要求するクライアントアプレット23を認証開始する手順は終了する。
次に図9を参照しながら、サーバアプレット24に備えられたSIOサービスオブジェクト240が、SIO241へアクセス要求するクライアントアプレット23を認証する手順について説明する。
この手順の最初のステップS10は、JCRE21からサーバクアプレット24のgSIOが呼出されるステップで、このステップで、サーバアプレット24のSIOサービスオブジェクト240には、SIO241へアクセス要求するクライアントアプレット23のC_AIDとパラメータが引渡される。
次のステップS11は、受信したクライアントアプレット23のC_AIDがデータテーブルオブジェクト242に登録されているか確認するステップである。SIOサービスオブジェクト240の認証メッソド240aは、データテーブルオブジェクト242を参照し、受信したC_AIDがデータテーブルオブジェクト242に登録されていればステップSS13に進み、受信したC_AIDがデータテーブルオブジェクト242に登録されていなければステップS12に進み、ステップS12ではNullを送信しステップS10に戻る。
ステップS13は、ステップS10で引渡されたC_AIDで特定されるクライアントアプレット23から送信されるPINを順に蓄積するためのPIN受信バッファが生成されているか確認するステップである。認証メッソド240aは、生成しているPIN受信バッファを確認し、ステップS10で受信したC_AID用のPIN受信バッファが生成されていればステップS14に進み、されていなければステップS12に進み、ステップS12ではNullを送信してステップS10に戻る。
ステップS14は、ステップS10で受信したパラメータがPINの送信完了を示すパラメータであるか確認するステップである。認証メッソド240aは、ステップS10で受信したパラメータを確認し、PINの送信完了を示すパラメータ(例えば、0xFF)であればステップS17に進み、PINの送信完了を示すパラメータでなければステップS15に進む。
ステップS15は、ステップS10で受信したパラメータをPIN受信バッファに蓄積するステップである。ステップS15が実行された後はステップS16が実行され、ステップS16では、ACKを示すオブジェクトをクライアントアプレット23にJCRE21経由で返信し、ステップS10に戻る。
図10は、PIN受信バッファに蓄積されるをPINを説明する図である。図10は、C_AIDが「0x 01 02 03 0A」であるクライアントアプレット23用のPIN受信バッファの内容を説明する図である。
図8のステップS4でPIN受信バッファが生成された時点では、PIN受信バッファの内容は「Null」で、図9のステップS15が最初に実行されると、PIN受信バッファには「0x11」が蓄積され、ステップS15が繰り返して8回実行されることで、PIN受信バッファにPINのすべてが蓄積される。
ステップS17は、PIN受信バッファに蓄積されたPINと、ステップS10で受信したC_AIDに対応する参照PINとを照合し、SIO241へアクセス要求したクライアントアプレット23を認証するステップである。
SIOサービスオブジェクト240の認証メッソドは、データテーブルオブジェクト242を参照することで、ステップS10で引渡されたC_AID用の参照PINを取得し、取得した参照PINとPIN受信バッファの内容を照合する。
ステップS17で、取得した参照PINとPIN受信バッファの内容が同一であるとき、すなわち、SIO241へアクセス要求したクライアントアプレット23の認証に成功したときはステップS18に進みSIOサービスオブジェクト240で定義されたSIO241がクライアントアプレット23に提供され、この手順は終了する。
また、ステップS17で、取得した参照PINとPIN受信バッファの内容が異なるとき、すなわち、SIO241へアクセス要求したクライアントアプレット23の認証に失敗したときはステップS19に進み、認証に失敗したことを示すオブジェクトがクライアントアプレット23に返信し、この手順は終了する。
なお、本発明は、これまで説明した実施の形態に限定されることなく、種々の変形や変更が可能であって、それらも本発明の均等の範囲内である。例えば、サーバアプレット24は複数のSIO241を備えていてもよい。
サーバアプレット24が複数のSIO241を備えているとき、図8のステップS1が実行される前に、gSIOのパラメータによって、サーバアプレット24に備えられた複数のSIO241の中から、クライアントアプレット23がアクセス要求するSIO241が指定される。
また、本実施の形態では、サーバアプレット24がクライアントアプレット23を認証するためにPINを利用しているが、サーバアプレット24がクライアントアプレット23を認証する方式はPINに限らず、如何なる方式を用いてもよい。
ICカードを説明する図。 ICカードに実装されるICチップの構成図。 ICカードに実装されるソフトウェアを説明する図。 クライアントアプレットとサーバアプレットを説明する図。 データテーブルオブジェクトを説明する図。 サーバアプレットのコードを説明するための図。 クライアントアプレットからサーバアプレットへ1バイトのデータが引渡される動作を説明する図。 クライアントアプレットを認証開始するまでのフロー図。 クライアントアプレットを認証する手順を示したフロー図。 PIN受信バッファに蓄積されるをPINを説明する図。
符号の説明
1 ICカード
2 ICチップ
20 COS
21 JCRE
22 アプレット
23 クライアントアプレット
24 サーバアプレット
240 SIOサービスオブジェクト
241 SIO
242 データテーブルオブジェクト

Claims (9)

  1. プラットフォーム型オペレーティングシステム上に、共有アクセス可能なオブジェクトである共有オブジェクトを有するアプリケーション(サーバアプリケーション)が実装されたICカードであって、前記サーバアプリケーションは、前記共有オブジェクトへアクセスするアプリケーション(クライアントアプリケーション)から前記共有オブジェクトへのアクセス要求が示されたとき、前記プラットフォーム型オペレーティングシステムを介し、前記クライアントアプリケーションから1バイト単位で引渡される認証データを引渡された順に蓄積することで前記認証データを組み立て、前記サーバアプリケーションが保持している参照データと組み立てた前記認証データを照合し、照合に成功した場合のみ、前記クライアントアプリケーションの前記共有オブジェクトへのアクセスを許可することを特徴とするICカード。
  2. 請求項1に記載のICカードであって、前記サーバアプリケーションは、前記共有オブジェクトへのアクセスを許可する前記クライアントアプリケーションを特定するためのデータであるアプリケーション識別子を記憶し、更に、前記サーバアプリケーションは、前記認証データを1バイト単位で引渡す前記クライアントアプリケーションの前記アプリケーション識別子を確認し、前記共有オブジェクトへのアクセスが許可された前記アプリケーション識別子であったときのみ、前記アプリケーション識別子に関連付けて前記認証データを組み立てることを特徴とするICカード。
  3. 請求項2に記載のICカードであって、前記サーバアプリケーションは、前記共有オブジェクトへのアクセスを許可する前記クライアントアプリケーションの前記アプリケーション識別子ごとに前記参照データを保持し、前記認証データを照合するときは、前記認証データの前記アプリケーション識別子に対応した前記参照データを用いることを特徴とするICカード。
  4. プラットフォーム型オペレーティングシステム上に、共有アクセス可能なオブジェクトである共有オブジェクトを有するアプリケーション(サーバアプリケーション)が実装されたICカードにおいて、前記サーバアプリケーションが有する前記共有オブジェクトへのアクセス管理方法であって、前記プラットフォーム型オペレーティングシステムを介して、前記共有オブジェクトへアクセスするアプリケーション(クライアントアプリケーション)が前記サーバアプリケーションへ前記共有オブジェクトへのアクセスを要求するステップa)、前記クライアントアプリケーションから1バイト単位で引渡される認証データを引渡された順に蓄積することで前記認証データを組み立るステップb)、前記サーバアプリケーションが保持している参照データと組み立てた前記認証データを照合するステップc)、前記ステップc)で照合に成功した場合のみ、前記クライアントアプリケーションの前記共有オブジェクトへのアクセスを許可するステップd)を含むこと特徴とする共通オブジェクトへのアクセス管理方法。
  5. 請求項4に記載の共有オブジェクトへのアクセス管理方法であって、前記サーバアプリケーションは、前記共有オブジェクトへのアクセスを許可する前記クライアントアプリケーションを特定するためのデータであるアプリケーション識別子を記憶し、前記ステップb)において、前記サーバアプリケーションは、前記認証データを1バイト単位で引渡す前記クライアントアプリケーションの前記アプリケーション識別子を確認し、前記共有オブジェクトへのアクセスが許可された前記アプリケーション識別子であったときのみ、前記アプリケーション識別子に関連付けて前記認証データを組み立てることを特徴とする共通オブジェクトへのアクセス管理方法。
  6. 請求項5に記載の共有オブジェクトへのアクセス管理方法であって、前記サーバアプリケーションは、前記共有オブジェクトへのアクセスを許可する前記クライアントアプリケーションの前記識別データごとに前記参照データを保持し、前記ステップc)において、前記認証データを照合するときは、前記認証データの前記識別データに対応した前記参照データを用いることを特徴とする共通オブジェクトへのアクセス管理方法。
  7. プラットフォーム型オペレーティングシステム上に、共有アクセス可能なオブジェクトである共有オブジェクトを有するアプリケーション(サーバアプリケーション)が実装されたICカードに、前記プラットフォーム型オペレーティングシステムを介して、前記共有オブジェクトへアクセスするアプリケーション(クライアントアプリケーション)が前記サーバアプリケーションへ前記共有オブジェクトへのアクセスを要求するステップa)、前記クライアントアプリケーションから1バイト単位で引渡される認証データを引渡された順に蓄積することで前記認証データを組み立るステップb)、前記サーバアプリケーションが保持している参照データと組み立てた前記認証データを照合するステップc)、前記ステップc)で照合に成功した場合のみ、前記クライアントアプリケーションの前記共有オブジェクトへのアクセスを許可するステップd)を実行させるためのICカードプログラム。
  8. 請求項7に記載のICカードプログラムであって、前記サーバアプリケーションは、前記共有オブジェクトへのアクセスを許可する前記クライアントアプリケーションを特定するためのデータであるアプリケーション識別子を記憶し、前記ステップb)において、前記サーバアプリケーションは、前記認証データを1バイト単位で引渡す前記クライアントアプリケーションの前記アプリケーション識別子を確認し、前記共有オブジェクトへのアクセスが許可された前記アプリケーション識別子であったときのみ、前記アプリケーション識別子に関連付けて前記認証データを組み立てることを特徴とするICカードプログラム。
  9. 請求項8に記載のICカードプログラムであって、前記サーバアプリケーションは、前記共有オブジェクトへのアクセスを許可する前記クライアントアプリケーションの前記識別データごとに前記参照データを保持し、前記ステップc)において、前記認証データを照合するときは、前記認証データの前記識別データに対応した前記参照データを用いることを特徴とするICカードプログラム。

JP2006322785A 2006-11-30 2006-11-30 共有オブジェクトを有するicカード、共有オブジェクトへのアクセス管理方法、及び、icカードプログラム Pending JP2008139923A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006322785A JP2008139923A (ja) 2006-11-30 2006-11-30 共有オブジェクトを有するicカード、共有オブジェクトへのアクセス管理方法、及び、icカードプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006322785A JP2008139923A (ja) 2006-11-30 2006-11-30 共有オブジェクトを有するicカード、共有オブジェクトへのアクセス管理方法、及び、icカードプログラム

Publications (1)

Publication Number Publication Date
JP2008139923A true JP2008139923A (ja) 2008-06-19

Family

ID=39601351

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006322785A Pending JP2008139923A (ja) 2006-11-30 2006-11-30 共有オブジェクトを有するicカード、共有オブジェクトへのアクセス管理方法、及び、icカードプログラム

Country Status (1)

Country Link
JP (1) JP2008139923A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100879909B1 (ko) 2008-09-09 2009-01-22 주식회사 스마트카드연구소 Scws를 이용한 애플릿 서비스 제공 시스템 및 제공 방법
KR100890251B1 (ko) 2008-10-01 2009-03-24 주식회사 스마트카드연구소 애플릿 패치 시스템 및 애플릿 패치 방법
SG165200A1 (en) * 2009-03-10 2010-10-28 Toshiba Kk Portable electronic device and access control method in portable electronic device
JP2011198298A (ja) * 2010-03-23 2011-10-06 Dainippon Printing Co Ltd Icカード及びコンピュータプログラム
CN102945206A (zh) * 2012-10-22 2013-02-27 大唐微电子技术有限公司 一种基于智能卡的对象存储访问方法及智能卡
CN110166452A (zh) * 2019-05-21 2019-08-23 东信和平科技股份有限公司 一种基于JavaCard共享接口的访问控制方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09223203A (ja) * 1996-02-20 1997-08-26 Shinko Electric Co Ltd 非接触icカード
JP2002073196A (ja) * 2000-09-05 2002-03-12 Dainippon Printing Co Ltd 共有アクセス管理機能を備えた携帯可能な情報処理装置
JP2003016038A (ja) * 2001-06-27 2003-01-17 Sony Corp 暗証コード識別装置及び暗証コード識別方法
JP2003196625A (ja) * 2001-12-27 2003-07-11 Dainippon Printing Co Ltd Icカードプログラム及びicカード

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09223203A (ja) * 1996-02-20 1997-08-26 Shinko Electric Co Ltd 非接触icカード
JP2002073196A (ja) * 2000-09-05 2002-03-12 Dainippon Printing Co Ltd 共有アクセス管理機能を備えた携帯可能な情報処理装置
JP2003016038A (ja) * 2001-06-27 2003-01-17 Sony Corp 暗証コード識別装置及び暗証コード識別方法
JP2003196625A (ja) * 2001-12-27 2003-07-11 Dainippon Printing Co Ltd Icカードプログラム及びicカード

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100879909B1 (ko) 2008-09-09 2009-01-22 주식회사 스마트카드연구소 Scws를 이용한 애플릿 서비스 제공 시스템 및 제공 방법
KR100890251B1 (ko) 2008-10-01 2009-03-24 주식회사 스마트카드연구소 애플릿 패치 시스템 및 애플릿 패치 방법
SG165200A1 (en) * 2009-03-10 2010-10-28 Toshiba Kk Portable electronic device and access control method in portable electronic device
JP2011198298A (ja) * 2010-03-23 2011-10-06 Dainippon Printing Co Ltd Icカード及びコンピュータプログラム
CN102945206A (zh) * 2012-10-22 2013-02-27 大唐微电子技术有限公司 一种基于智能卡的对象存储访问方法及智能卡
CN102945206B (zh) * 2012-10-22 2016-04-20 大唐微电子技术有限公司 一种基于智能卡的对象存储访问方法及智能卡
CN110166452A (zh) * 2019-05-21 2019-08-23 东信和平科技股份有限公司 一种基于JavaCard共享接口的访问控制方法及系统
CN110166452B (zh) * 2019-05-21 2022-03-04 东信和平科技股份有限公司 一种基于JavaCard共享接口的访问控制方法及系统

Similar Documents

Publication Publication Date Title
US10776786B2 (en) Method for creating, registering, revoking authentication information and server using the same
CN106453415B (zh) 基于区块链的设备认证方法、认证服务器及用户设备
CN101027676B (zh) 用于可控认证的个人符记和方法
US8028167B2 (en) Method and apparatus for certificate roll-over
US7117364B1 (en) System and method for downloading application components to a chipcard
US7357313B2 (en) Information processor-based service providing system and method
CN110417730B (zh) 多应用程序的统一接入方法及相关设备
JP2008139923A (ja) 共有オブジェクトを有するicカード、共有オブジェクトへのアクセス管理方法、及び、icカードプログラム
CN110784450A (zh) 一种基于浏览器的单点登录方法和装置
EP2550768A1 (en) System and methods for remote maintenance of client systems in an electronic network using software testing by a virtual machine
CN106878250B (zh) 跨应用的单态登录方法及装置
US11509655B2 (en) Authentication system and authentication method
CN111953634A (zh) 终端设备的访问控制方法、装置、计算机设备和存储介质
CN112637167A (zh) 系统登录方法、装置、计算机设备和存储介质
US20160269420A1 (en) Apparatus for verifying safety of resource, server thereof, and method thereof
US7882030B2 (en) Connection information management system for managing connection information used in communications between IC cards
CN112541820A (zh) 数字资产管理方法、装置、计算机设备及可读存储介质
US10637848B2 (en) Apparatus for supporting authentication between devices in resource-constrained environment and method for the same
JP3944216B2 (ja) 認証装置、携帯端末、及び、認証方法
CN113779516B (zh) 一种设备控制方法、装置、存储介质及电子装置
CN115563588A (zh) 一种软件离线鉴权的方法、装置、电子设备和存储介质
CN112732676B (zh) 基于区块链的数据迁移方法、装置、设备及存储介质
CN107851044B (zh) 适于从第一应用传送第一数据以供第二应用使用的集成电路卡
CN106790331B (zh) 一种业务接入方法、系统及相关装置
CN112055849A (zh) 排他控制系统以及排他控制方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090915

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120111

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120119

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120529