JP3686565B2 - Icカード及びicカードアクセス実行/通信方法 - Google Patents

Icカード及びicカードアクセス実行/通信方法 Download PDF

Info

Publication number
JP3686565B2
JP3686565B2 JP2000004674A JP2000004674A JP3686565B2 JP 3686565 B2 JP3686565 B2 JP 3686565B2 JP 2000004674 A JP2000004674 A JP 2000004674A JP 2000004674 A JP2000004674 A JP 2000004674A JP 3686565 B2 JP3686565 B2 JP 3686565B2
Authority
JP
Japan
Prior art keywords
application
manager
profile
policy
card
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2000004674A
Other languages
English (en)
Other versions
JP2001195266A (ja
Inventor
晃司 岸
栄一 庭野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2000004674A priority Critical patent/JP3686565B2/ja
Publication of JP2001195266A publication Critical patent/JP2001195266A/ja
Application granted granted Critical
Publication of JP3686565B2 publication Critical patent/JP3686565B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明はICカード内のアプリケーションへのアクセス実行/通信を行うICカード及びICカードアクセス実行/通信方法に関する。
【0002】
【従来の技術】
複数のアプリケーションを載せることのできるICカードの提案がされている。ICカード内のアプリケーション間、もしくはサーバ内のアプリケーションとICカード内のアプリケーション間の通信により多彩なサービスの提供が可能になる。
【0003】
【発明が解決しようとする課題】
サーバ内のアプリケーションがICカード内のアプリケーションにアクセス実行/通信を行う場合、あるいはICカード内のアプリケーションが別のICカード内のアプリケーションにアクセス実行/通信を行う場合、トリガを起こしたアプリケーションの属性によってそのアクセス実行/通信方法を細かく規定する統一的な方法がなかった。そのため、トリガを起こしたアプリケーションと相手のアプリケーションの提供者が異なる場合など、安全で柔軟性の高いアクセス実行/通信が困難であった。
【0004】
本発明は上記の事情に鑑みてなされたもので、ICカード内に実行マネージャ、ポリシマネージャ、プロファイルマネージャを実装することにより、アプリケーション間の通信を安全且つ柔軟に行うことのできるICカード及びICカードアクセス実行/通信方法を提供することを目的とする。
【0005】
【課題を解決するための手段】
上記目的を達成するために本発明のICカードは、1つ以上のアプリケーションを収容したICカードであって、サーバ内もしくはICカード内の第1のアプリケーションから要求のあった第2のアプリケーションへのアクセスの制御及びコマンドの実行を行う実行マネージャと、前記実行マネージャから要求されたICカード内の第2のアプリケーションのアプリケーション提供者作成ポリシとそれに対応する利用者ポリシを前記実行マネージャに送出する、アプリケーションとは別のポリシマネージャと、前記実行マネージャから要求された前記第2のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを前記実行マネージャに送出する、アプリケーションとは別のプロファイルマネージャとをカード内に実装前記実行マネージャは、前記第1のアプリケーションから取得した第1のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイル及び前記プロファイルマネージャから取得した第2のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを基に、前記ポリシマネージャから取得した第2のアプリケーションのアプリケーション提供者作成ポリシとそれに対応する利用者ポリシからスクリプトを抽出し、前記実行マネージャがスクリプトを実行し、前記第1のアプリケーションからICカード内の第2のアプリケーションへのアクセスを許可/禁止し、前記アプリケーション提供者作成ポリシおよび前記利用者ポリシは、アクセス制御のためのルールを表し、前記アプリケーション提供者作成プロファイルおよび前記利用者プロファイルは、アプリケーションがもつ1つ1つの情報(属性)の集合を表すことを特徴とするものである。
【0006】
また、本発明のICカードは、1つ以上のアプリケーションを収容したICカードであって、サーバ内もしくはICカード内の第1のアプリケーションから要求のあった第2のアプリケーションへのアクセスの制御及びコマンドの実行を行う実行マネージャと、前記実行マネージャから要求されたICカード内の第2のアプリケーションのアプリケーション提供者作成ポリシとそれに対応する利用者ポリシを前記実行マネージャに送出する、アプリケーションとは別のポリシマネージャと、前記実行マネージャから要求された前記第2のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを前記実行マネージャに送出する、アプリケーションとは別のプロファイルマネージャと前記実行マネージャが前記第1のアプリケーションから取得した第1のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイル及び前記プロファイルマネージャから取得した第2のアプリケーションのアプリケーション提供者作成プロファイルを基に、前記ポリシマネージャから取得した第2のアプリケーションのアプリケーション提供者作成ポリシとそれに対応する利用者ポリシからスクリプトを抽出し、前記実行マネージャから送出された前記スクリプトを実行し、前記第1のアプリケーションから前記第2のアプリケーションへのアクセスレベルを設定する、アプリケーションとは別のスクリプトマネージャとをカード内に実装前記アプリケーション提供者作成ポリシおよび前記利用者ポリシは、アクセス制御のためのルールを表し、前記アプリケーション提供者作成プロファイルおよび前記利用者プロファイルは、アプリケーションがもつ1つ1つの情報(属性)の集合を表すことを特徴とするものである。
【0007】
また本発明は、請求項1記載のICカードを用いたICカードアクセス実行/通信方法であって、サーバ内もしくはICカード内の第1のアプリケーションからICカード内の実行マネージャに第1のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを送出するステップと、前記実行マネージャからICカード内のポリシマネージャに第2のアプリケーションのアプリケーション提供者作成ポリシとそれに対応する利用者ポリシを要求するステップと、前記ポリシマネージャがICカード内のポリシデータからデータを取得するステップと、前記ポリシマネージャから前記実行マネージャに第2のアプリケーションのアプリケーション提供者作成ポリシとそれに対応する利用者ポリシを送出するステップと、前記実行マネージャからICカード内のプロファイルマネージャに第2のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを要求するステップと、前記プロファイルマネージャがICカード内のプロファイルデータからデータを取得するステップと、前記プロファイルマネージャから前記実行マネージャに第2のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを送出するステップと、前記実行マネージャが前記第1のアプリケーションから取得した第1のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイル及び前記プロファイルマネージャから取得した第2のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを基に、前記ポリシマネージャから取得した第2のアプリケーションのアプリケーション提供者作成ポリシとそれに対応する利用者ポリシからスクリプトを抽出するステップと、前記実行マネージャがスクリプトを実行し、前記第1のアプリケーションからICカード内の第2のアプリケーションへのアクセスを許可/禁止するステップとを具備前記アプリケーション提供者作成ポリシおよび前記利用者ポリシは、アクセス制御のためのルールを表し、前記アプリケーション提供者作成プロファイルおよび前記利用者プロファイルは、アプリケーションがもつ1つ1つの情報(属性)の集合を表すことを特徴とする。
【0008】
また本発明は、請求項2記載のICカードを用いたICカードアクセス実行/通信方法であって、サーバ内もしくはICカード内の第1のアプリケーションからICカード内の実行マネージャに第1のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを送出するステップと、前記実行マネージャからICカード内のポリシマネージャに第2のアプリケーションのアプリケーション提供者作成ポリシとそれに対応する利用者ポリシを要求するステップと、前記ポリシマネージャがICカード内のポリシデータからデータを取得するステップと、前記ポリシマネージャから前記実行マネージャに第2のアプリケーションのアプリケーション提供者作成ポリシとそれに対応する利用者ポリシを送出するステップと、前記実行マネージャからICカード内のプロファイルマネージャに第2のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを要求するステップと、前記プロファイルマネージャがICカード内のプロファイルデータからデータを取得するステップと、前記プロファイルマネージャから前記実行マネージャに第2のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを送出するステップと、前記実行マネージャが前記第1のアプリケーションから取得した第1のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイル及び前記プロファイルマネージャから取得した第2のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを基に、前記ポリシマネージャから取得した第2のアプリケーションのアプリケーション提供者作成ポリシとそれに対応する利用者ポリシからスクリプトを抽出するステップと、前記スクリプトマネージャがスクリプトを実行し、前記第1のアプリケーションからICカード内の第2のアプリケーションへのアクセスレベルを設定するステップと、前記スクリプトマネージャから前記実行マネージャに作業終了通知をするステップと、前記実行マネージャが設定されたアクセスレベルに従い、前記第1のアプリケーションから前記第2のアプリケーションへのアクセスを許可/禁止するステップとを具備前記アプリケーション提供者作成ポリシおよび前記利用者ポリシは、アクセス制御のためのルールを表し、前記アプリケーション提供者作成プロファイルおよび前記利用者プロファイルは、アプリケーションがもつ1つ1つの情報(属性)の集合を表すことを特徴とする。
【0009】
【発明の実施の形態】
以下図面を参照して本発明の実施形態例を詳細に説明する。
【0010】
図1は本発明の実施形態例を示す構成説明図である。すなわち、ICカードアクセス実行/通信システムはサービス提供サーバ11にカード端末12が接続され、このカード端末12にICカード13が接続されて構成される。前記ICカード13には、前記カード端末12に接続される実行マネージャ(EM)14、前記実行マネージャ(EM)14にそれぞれ接続されてアプリケーション(AP)15、スクリプトマネージャ(SM)16、ポリシマネージャ(PoM)17、プロファイルマネージャ(ProM)18が実装される。
【0011】
前記実行マネージャ(EM)14はアプリケーション(AP)15へのアクセス制御やコマンド実行を行う
前記スクリプトマネージャ(SM)16はスクリプトを実行する
前記ポリシマネージャ(PoM)17はICカード13内のアプリケーション(AP)15のポリシを管理する。前記ポリシとは、if−then文の集合である。前記ポリシには、ICカード13内のアプリケーション(AP)15の1つにつき少なくとも2つのポリシが存在する。アプリケーション(AP)提供者作成ポリシPoDとそれに対応する利用者ポリシPoUである。アプリケーション(AP)提供者作成ポリシPoDはデフォルト、利用者ポリシPoUはアプリケーション(AP)提供者作成ポリシPoDを補足するものである。
【0012】
以下、第1のアプリケーション(AP1)の利用者ポリシPoU,アプリケーション(AP)提供者作成ポリシPoDを利用者ポリシPoU(1),アプリケーション(AP)提供者作成ポリシPoD(1)、第2のアプリケーション(AP2)の利用者ポリシPoU,アプリケーション(AP)提供者作成ポリシPoDを利用者ポリシPoU(2),アプリケーション(AP)提供者作成ポリシPoD(2)と表記する。アプリケーション(AP)提供者作成ポリシPoD群、利用者ポリシPoU群を合わせてポリシデータPoDATAと表記する。
【0013】
前記プロファイルマネージャ(ProM)18はICカード13内のアプリケーション(AP)15のプロファイル(属性)を管理する。前記プロファイルはICカード13内のアプリケーション(AP)15の1つにつき少なくとも2つのプロファイルが存在する。アプリケーション(AP)提供者作成プロファイルProDとそれに対応する利用者プロファイルProUである。アプリケーション(AP)提供者作成プロファイルProDはデフォルト、利用者プロファイルProUはアプリケーション(AP)提供者作成プロファイルProDを補足するものである。以下、第1のアプリケーション(AP1)の利用者プロファイルProU,アプリケーション(AP)提供者作成プロファイルProDを利用者プロファイルProU(1),アプリケーション(AP)提供者作成プロファイルProD(1)、第2のアプリケーション(AP2)の利用者プロファイルProU,アプリケーション(AP)提供者作成プロファイルProDを利用者プロファイルProU(2),アプリケーション(AP)提供者作成プロファイルProD(2)と表記する。アプリケーション(AP)提供者作成プロファイルProD群、利用者プロファイルProU群を合わせてプロファイルデータProDataと表記する。
【0014】
前記アプリケーション(AP)15はカード発行者用アプリケーション(AP)およびサービス提供者用アプリケーション(AP)があり、どちらもICカード13内に複数個存在できる。一意の識別子AIDを持つ。ICカード13内のアプリケーション(AP)は、上記の通りアプリケーション(AP)提供者作成ポリシPoD、利用者ポリシPoU,アプリケーション(AP)提供者作成プロファイルProD,利用者プロファイルProUを伴う。
【0015】
図2は本発明の実施例1に係るデータの流れと各マネージャの仕事を説明するための構成説明図である。実施例1は第1のアプリケーション(AP1)21がサーバ11内にある場合である。
【0016】
すなわち、[1] サーバ11内の第1のアプリケーション(AP1)21からICカード13内の実行マネージャ(EM)14にアプリケーション識別子AID1,AID2及びプロファイルProD(1),ProU(1)を送出する。
【0017】
[2] 前記実行マネージャ(EM)14からICカード13内のポリシマネージャ(PoM)17にポリシPoD(2),PoU(2)を要求する。
【0018】
[3] 前記ポリシマネージャ(PoM)17がICカード13内のポリシデータ(PoData)19からデータを取得する。図6(a)にポリシデータ(PoData)19のデータ構成の一例を示す。
【0019】
[4] 前記ポリシマネージャ(PoM)17から前記実行マネージャ(EM)14にポリシPoD(2),PoU(2)を送出する。
【0020】
[5] 前記実行マネージャ(EM)14からICカード13内のプロファイルマネージャ(ProM)18にプロファイルProD(2),ProU(2)を要求する。
【0021】
[6] 前記プロファイルマネージャ(ProM)18がICカード13内のプロファイルデータ(ProData)20からデータを取得する。図6(b)にプロファイルデータ(ProData)20のデータ構成の一例を示す。
【0022】
[7] 前記プロファイルマネージャ(ProM)18から前記実行マネージャ(EM)14にプロファイルProD(2),ProU(2)を送出する。
【0023】
[8] 前記実行マネージャ(EM)14が前記第1のアプリケーション(AP1)21から取得したプロファイルProD(1),ProU(1)及び前記プロファイルマネージャ(ProM)18から取得したプロファイルProD(2),ProU(2)を基に、前記ポリシマネージャ(PoM)17から取得したポリシPoD(2),PoU(2)から適切なスクリプト(script)を抽出する。前記実行マネージャ(EM)14がスクリプト(script)を実行し、前記第1のアプリケーション(AP1)21からICカード13内の第2のアプリケーション(AP2)15もしくは前記第2のアプリケーション(AP2)15のプロファイルへのアクセスを許可/禁止するコントロールを行う。
【0024】
図3は本発明の実施例2に係るデータの流れと各マネージャの仕事を説明するための構成説明図である。実施例2は第1のアプリケーション(AP1)21がICカード13内にある場合である。
【0025】
すなわち、[1] ICカード13内の第1のアプリケーション(AP1)21からICカード13内の実行マネージャ(EM)14にアプリケーション識別子AID1,AID2及びプロファイルProD(1),ProU(1)を送出する。
【0026】
[2] 前記実行マネージャ(EM)14からICカード13内のポリシマネージャ(PoM)17にポリシPoD(2),PoU(2)を要求する。
【0027】
[3] 前記ポリシマネージャ(PoM)17がICカード13内のポリシデータ(PoData)19からデータを取得する。図6(a)にポリシデータ(PoData)19のデータ構成の一例を示す。
【0028】
[4] 前記ポリシマネージャ(PoM)17から前記実行マネージャ(EM)14にポリシPoD(2),PoU(2)を送出する。
【0029】
[5] 前記実行マネージャ(EM)14からICカード13内のプロファイルマネージャ(ProM)18にプロファイルProD(2),ProU(2)を要求する。
【0030】
[6] 前記プロファイルマネージャ(ProM)18がICカード13内のプロファイルデータ(ProData)20からデータを取得する。図6(b)にプロファイルデータ(ProData)20のデータ構成の一例を示す。
【0031】
[7] 前記プロファイルマネージャ(ProM)18から前記実行マネージャ(EM)14にプロファイルProD(2),ProU(2)を送出する。
【0032】
[8] 前記実行マネージャ(EM)14が前記第1のアプリケーション(AP1)21から取得したプロファイルProD(1),ProU(1)及び前記プロファイルマネージャ(ProM)18から取得したプロファイルProD(2),ProU(2)を基に、前記ポリシマネージャ(PoM)17から取得したポリシPoD(2),PoU(2)から適切なスクリプト(script)を抽出する。前記実行マネージャ(EM)14がスクリプト(script)を実行し、前記第1のアプリケーション(AP1)21からICカード13内の第2のアプリケーション(AP2)15もしくは前記第2のアプリケーション(AP2)15のプロファイルへのアクセスを許可/禁止するコントロールを行う。
【0033】
図4は本発明の実施例3に係るデータの流れと各マネージャの仕事を説明するための構成説明図である。実施例3は第1のアプリケーション(AP1)21がサーバ11内にある場合である。
【0034】
すなわち、[1] サーバ11内の第1のアプリケーション(AP1)21からICカード13内の実行マネージャ(EM)14にアプリケーション識別子AID1,AID2及びプロファイルProD(1),ProU(1)を送出する。
【0035】
[2] 前記実行マネージャ(EM)14からICカード13内のポリシマネージャ(PoM)17にポリシPoD(2),PoU(2)を要求する。
【0036】
[3] 前記ポリシマネージャ(PoM)17がICカード13内のポリシデータ(PoData)19からデータを取得する。図6(a)にポリシデータ(PoData)19のデータ構成の一例を示す。
【0037】
[4] 前記ポリシマネージャ(PoM)17から前記実行マネージャ(EM)14にポリシPoD(2),PoU(2)を送出する。
【0038】
[5] 前記実行マネージャ(EM)14からICカード13内のプロファイルマネージャ(ProM)18にプロファイルProD(2),ProU(2)を要求する。
【0039】
[6] 前記プロファイルマネージャ(ProM)18がICカード13内のプロファイルデータ(ProData)20からデータを取得する。図6(b)にプロファイルデータ(ProData)20のデータ構成の一例を示す。
【0040】
[7] 前記プロファイルマネージャ(ProM)18から前記実行マネージャ(EM)14にプロファイルProD(2),ProU(2)を送出する。
【0041】
[8] 前記実行マネージャ(EM)14が前記第1のアプリケーション(AP1)21から取得したプロファイルProD(1),ProU(1)及び前記プロファイルマネージャ(ProM)18から取得したプロファイルProD(2),ProU(2)を基に、前記ポリシマネージャ(PoM)17から取得したポリシPoD(2),PoU(2)から適切なスクリプト(script)を抽出する。前記実行マネージャ(EM)14からICカード13内のスクリプトマネージャ(SM)16にアプリケーション識別子AID1,AID2及びスクリプト(script)を送出する。
【0042】
[9] 前記スクリプトマネージャ(SM)16がスクリプト(script)を実行し、前記第1のアプリケーション(AP1)21からICカード13内の第2のアプリケーション(AP2)15へのアクセスレベルを設定する。前記スクリプトマネージャ(SM)16から前記実行マネージャ(EM)14に作業終了通知(return)をする。
【0043】
[10] 前記実行マネージャ(EM)14が設定されたアクセスレベルに従い、前記第1のアプリケーション(AP1)21から前記第2のアプリケーション(AP2)15もしくは前記第2のアプリケーション(AP2)15のプロファイルへのアクセスを許可/禁止するコントロールを行う。
【0044】
図5は本発明の実施例4に係るデータの流れと各マネージャの仕事を説明するための構成説明図である。実施例4は第1のアプリケーション(AP1)21がICカード13内にある場合である。
【0045】
すなわち、[1] ICカード13内の第1のアプリケーション(AP1)21からICカード13内の実行マネージャ(EM)14にアプリケーション識別子AID1,AID2及びプロファイルProD(1),ProU(1)を送出する。
【0046】
[2] 前記実行マネージャ(EM)14からICカード13内のポリシマネージャ(PoM)17にポリシPoD(2),PoU(2)を要求する。
【0047】
[3] 前記ポリシマネージャ(PoM)17がICカード13内のポリシデータ(PoData)19からデータを取得する。図6(a)にポリシデータ(PoData)19のデータ構成の一例を示す。
【0048】
[4] 前記ポリシマネージャ(PoM)17から前記実行マネージャ(EM)14にポリシPoD(2),PoU(2)を送出する。
【0049】
[5] 前記実行マネージャ(EM)14からICカード13内のプロファイルマネージャ(ProM)18にプロファイルProD(2),ProU(2)を要求する。
【0050】
[6] 前記プロファイルマネージャ(ProM)18がICカード13内のプロファイルデータ(ProData)20からデータを取得する。図6(b)にプロファイルデータ(ProData)20のデータ構成の一例を示す。
【0051】
[7] 前記プロファイルマネージャ(ProM)18から前記実行マネージャ(EM)14にプロファイルProD(2),ProU(2)を送出する。
【0052】
[8] 前記実行マネージャ(EM)14が前記第1のアプリケーション(AP1)21から取得したプロファイルProD(1),ProU(1)及び前記プロファイルマネージャ(ProM)18から取得したプロファイルProD(2),ProU(2)を基に、前記ポリシマネージャ(PoM)17から取得したポリシPoD(2),PoU(2)から適切なスクリプト(script)を抽出する。前記実行マネージャ(EM)14からICカード13内のスクリプトマネージャ(SM)16にアプリケーション識別子AID1,AID2及びスクリプト(script)を送出する。
【0053】
[9] 前記スクリプトマネージャ(SM)16がスクリプト(script)を実行し、前記第1のアプリケーション(AP1)21からICカード13内の第2のアプリケーション(AP2)15へのアクセスレベルを設定する。前記スクリプトマネージャ(SM)16から前記実行マネージャ(EM)14に作業終了通知(return)をする。
【0054】
[10] 前記実行マネージャ(EM)14が設定されたアクセスレベルに従い、前記第1のアプリケーション(AP1)21から前記第2のアプリケーション(AP2)15もしくは前記第2のアプリケーション(AP2)15のプロファイルへのアクセスを許可/禁止するコントロールを行う。
【0055】
次に、本発明の具体例として、第1のアプリケーションAP1は航空会社A.comのアプリケーション、第2のアプリケーションAP2はレンタカー会社R.comのアプリケーションとし、第1のアプリケーションAP1が第2のアプリケーションAP2と通信しようとするケースについて説明する。
【0056】
▲1▼アプリケーション提供者作成プロファイルProD(1):会社名(CompanyName)=A.com
利用者プロファイルProU(1):グレード(Grade)=ゴールド(Gold)
▲2▼アプリケーション提供者作成プロファイルProD(2):
if CompanyName in(A.com B.com C.com)then アライアンス(Alliance)=ノーマル(normal)
if CompanyName in(D.com E.com)then Alliance=スペシャル(special)
利用者プロファイルProU(2):なし
▲3▼アプリケーション提供者作成ポリシPoD(2):
if(Alliance=special)then セットアクセスレベル(set AccessLevel)=1(アクセス全許可)
if(Alliance=normal)and(Grade=Gold)then set AccessLevel=1
if(Alliance=normal)and(Grade=シルバ−(Silver))then set AccessLevel=2(アクセス一部許可)
エルス(else) set AccessLevel=0(アクセス拒否)
利用者ポリシPoU(2):なし
▲4▼script:set AccessLevel=1
【0057】
【発明の効果】
以上述べたように本発明によれば、ICカード内に実行マネージャ、ポリシマネージャ、プロファイルマネージャを実装することにより、アプリケーション間の通信を安全且つ柔軟に行うことのできるICカード及びICカードアクセス実行/通信方法を提供することができる。
【図面の簡単な説明】
【図1】本発明の実施形態例を示す構成説明図である。
【図2】本発明の実施例1に係るデータの流れと各マネージャの仕事を説明するための構成説明図である。
【図3】本発明の実施例2に係るデータの流れと各マネージャの仕事を説明するための構成説明図である。
【図4】本発明の実施例3に係るデータの流れと各マネージャの仕事を説明するための構成説明図である。
【図5】本発明の実施例4に係るデータの流れと各マネージャの仕事を説明するための構成説明図である。
【図6】(a)は本発明の実施例に係るポリシデータのデータ構成の一例を示す説明図、(b)は本発明の実施例に係るプロファイルデータのデータ構成の一例を示す説明図である。
【符号の説明】
11 サービス提供サーバ
12 カード端末
13 ICカード
14 実行マネージャ(EM)
15 アプリケーション(AP)
16 スクリプトマネージャ(SM)
17 ポリシマネージャ(PoM)
18 プロファイルマネージャ(ProM)
19 ポリシデータ(PoData)
20 プロファイルデータ(ProData)

Claims (4)

  1. 1つ以上のアプリケーションを収容したICカードであって
    サーバ内もしくはICカード内の第1のアプリケーションから要求のあった第2のアプリケーションへのアクセスの制御及びコマンドの実行を行う実行マネージャと、
    前記実行マネージャから要求されたICカード内の第2のアプリケーションのアプリケーション提供者作成ポリシとそれに対応する利用者ポリシを前記実行マネージャに送出する、アプリケーションとは別のポリシマネージャと、
    前記実行マネージャから要求された前記第2のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを前記実行マネージャに送出する、アプリケーションとは別のプロファイルマネージャとをカード内に実装
    前記実行マネージャは、前記第1のアプリケーションから取得した第1のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイル及び前記プロファイルマネージャから取得した第2のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを基に、前記ポリシマネージャから取得した第2のアプリケーションのアプリケーション提供者作成ポリシとそれに対応する利用者ポリシからスクリプトを抽出し、前記実行マネージャがスクリプトを実行し、前記第1のアプリケーションからICカード内の第2のアプリケーションへのアクセスを許可/禁止し、
    前記アプリケーション提供者作成ポリシおよび前記利用者ポリシは、アクセス制御のためのルールを表し、前記アプリケーション提供者作成プロファイルおよび前記利用者プロファイルは、アプリケーションがもつ1つ1つの情報(属性)の集合を表す
    ことを特徴とするICカード。
  2. 1つ以上のアプリケーションを収容したICカードであって
    サーバ内もしくはICカード内の第1のアプリケーションから要求のあった第2のアプリケーションへのアクセスの制御及びコマンドの実行を行う実行マネージャと、
    前記実行マネージャから要求されたICカード内の第2のアプリケーションのアプリケーション提供者作成ポリシとそれに対応する利用者ポリシを前記実行マネージャに送出する、アプリケーションとは別のポリシマネージャと、
    前記実行マネージャから要求された前記第2のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを前記実行マネージャに送出する、アプリケーションとは別のプロファイルマネージャと
    前記実行マネージャが前記第1のアプリケーションから取得した第1のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイル及び前記プロファイルマネージャから取得した第2のアプリケーションのアプリケーション提供者作成プロファイルを基に、前記ポリシマネージャから取得した第2のアプリケーションのアプリケーション提供者作成ポリシとそれに対応する利用者ポリシからスクリプトを抽出し、前記実行マネージャから送出された前記スクリプトを実行し、前記第1のアプリケーションから前記第2のアプリケーションへのアクセスレベルを設定する、アプリケーションとは別のスクリプトマネージャとをカード内に実装
    前記アプリケーション提供者作成ポリシおよび前記利用者ポリシは、アクセス制御のためのルールを表し、前記アプリケーション提供者作成プロファイルおよび前記利用者プロファイルは、アプリケーションがもつ1つ1つの情報(属性)の集合を表す
    ことを特徴とするICカード。
  3. 請求項1記載のICカードを用いたICカードアクセス実行/通信方法であって、
    サーバ内もしくはICカード内の第1のアプリケーションからICカード内の実行マネージャに第1のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを送出するステップと、
    前記実行マネージャからICカード内のポリシマネージャに第2のアプリケーションのアプリケーション提供者作成ポリシとそれに対応する利用者ポリシを要求するステップと、
    前記ポリシマネージャがICカード内のポリシデータからデータを取得するステップと、
    前記ポリシマネージャから前記実行マネージャに第2のアプリケーションのアプリケーション提供者作成ポリシとそれに対応する利用者ポリシを送出するステップと、
    前記実行マネージャからICカード内のプロファイルマネージャに第2のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを要求するステップと、
    前記プロファイルマネージャがICカード内のプロファイルデータからデータを取得するステップと、
    前記プロファイルマネージャから前記実行マネージャに第2のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを送出するステップと、
    前記実行マネージャが前記第1のアプリケーションから取得した第1のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイル及び前記プロファイルマネージャから取得した第2のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを基に、前記ポリシマネージャから取得した第2のアプリケーションのアプリケーション提供者作成ポリシとそれに対応する利用者ポリシからスクリプトを抽出するステップと、
    前記実行マネージャがスクリプトを実行し、前記第1のアプリケーションからICカード内の第2のアプリケーションへのアクセスを許可/禁止するステップとを具備
    前記アプリケーション提供者作成ポリシおよび前記利用者ポリシは、アクセス制御のためのルールを表し、前記アプリケーション提供者作成プロファイルおよび前記利用者プロファイルは、アプリケーションがもつ1つ1つの情報(属性)の集合を表す
    ことを特徴とするICカードアクセス実行/通信方法。
  4. 請求項2記載のICカードを用いたICカードアクセス実行/通信方法であって、
    サーバ内もしくはICカード内の第1のアプリケーションからICカード内の実行マネージャに第1のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを送出するステップと、
    前記実行マネージャからICカード内のポリシマネージャに第2のアプリケーションのアプリケーション提供者作成ポリシとそれに対応する利用者ポリシを要求するステップと、
    前記ポリシマネージャがICカード内のポリシデータからデータを取得するステップと、
    前記ポリシマネージャから前記実行マネージャに第2のアプリケーションのアプリケーション提供者作成ポリシとそれに対応する利用者ポリシを送出するステップと、
    前記実行マネージャからICカード内のプロファイルマネージャに第2のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを要求するステップと、
    前記プロファイルマネージャがICカード内のプロファイルデータからデータを取得するステップと、
    前記プロファイルマネージャから前記実行マネージャに第2のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを送出するステップと、
    前記実行マネージャが前記第1のアプリケーションから取得した第1のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイル及び前記プロファイルマネージャから取得した第2のアプリケーションのアプリケーション提供者作成プロファイルとそれに対応する利用者プロファイルを基に、前記ポリシマネージャから取得した第2のアプリケーションのアプリケーション提供者作成ポリシとそれに対応する利用者ポリシからスクリプトを抽出するステップと、
    前記スクリプトマネージャがスクリプトを実行し、前記第1のアプリケーションからICカード内の第2のアプリケーションへのアクセスレベルを設定するステップと、
    前記スクリプトマネージャから前記実行マネージャに作業終了通知をするステップと、
    前記実行マネージャが設定されたアクセスレベルに従い、前記第1のアプリケーションから前記第2のアプリケーションへのアクセスを許可/禁止するステップとを具備
    前記アプリケーション提供者作成ポリシおよび前記利用者ポリシは、アクセス制御のためのルールを表し、前記アプリケーション提供者作成プロファイルおよび前記利用者プロファイルは、アプリケーションがもつ1つ1つの情報(属性)の集合を表す
    ことを特徴とするICカードアクセス実行/通信方法。
JP2000004674A 2000-01-13 2000-01-13 Icカード及びicカードアクセス実行/通信方法 Expired - Lifetime JP3686565B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000004674A JP3686565B2 (ja) 2000-01-13 2000-01-13 Icカード及びicカードアクセス実行/通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000004674A JP3686565B2 (ja) 2000-01-13 2000-01-13 Icカード及びicカードアクセス実行/通信方法

Publications (2)

Publication Number Publication Date
JP2001195266A JP2001195266A (ja) 2001-07-19
JP3686565B2 true JP3686565B2 (ja) 2005-08-24

Family

ID=18533435

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000004674A Expired - Lifetime JP3686565B2 (ja) 2000-01-13 2000-01-13 Icカード及びicカードアクセス実行/通信方法

Country Status (1)

Country Link
JP (1) JP3686565B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6896183B2 (en) 2001-08-03 2005-05-24 Dai Nippon Printing Co., Ltd. Multi-application IC card
JP4780434B2 (ja) * 2001-08-03 2011-09-28 大日本印刷株式会社 マルチアプリケーションicカードシステム
JP4780433B2 (ja) * 2001-08-03 2011-09-28 大日本印刷株式会社 マルチアプリケーションicカードシステム
EP2169900A1 (fr) 2008-09-30 2010-03-31 Gemplus Régulateur de commandes destinées à une application sensible

Also Published As

Publication number Publication date
JP2001195266A (ja) 2001-07-19

Similar Documents

Publication Publication Date Title
US8935398B2 (en) Access control in client-server systems
EP1004069B1 (en) Network distributed system for updating locally secured objects in client machines
CN103813314B (zh) 软sim卡的启用方法及入网方法及终端及网络接入设备
DE60218615T2 (de) Verfahren und Architektur zur durchdringenden Absicherung von digitalen Gütern
CN106411857B (zh) 一种基于虚拟隔离机制的私有云gis服务访问控制方法
CN107528856A (zh) 基于区块链的物联网雾端设备在云端平台接入认证方法
CN106656959A (zh) 访问请求调控方法和装置
CN110557384A (zh) 一种基于区块链的物联网管理控制方法
CN105786630B (zh) 一种基于中间件的Web API调控方法
JP2002528815A (ja) 分散コンピュータネットワーク内でのセキュリティの維持
CN113221093B (zh) 一种基于区块链的单点登录系统、方法、设备和产品
CN112019496B (zh) 基于mqtt总线的主题安全订阅方法及装置
CN112764913A (zh) 服务熔断方法和装置、存储介质及电子设备
JP3686565B2 (ja) Icカード及びicカードアクセス実行/通信方法
CN102201935B (zh) 一种基于view的访问控制方法及其装置
CN112312400B (zh) 一种接入控制方法、接入控制器及存储介质
CN113992406A (zh) 一种用于联盟链跨链的权限访问控制方法
CN102404114A (zh) Web服务监控方法和系统
CN114066182A (zh) 继电保护定值管理智能合约方法、系统、设备及存储介质
CN104041096B (zh) 认证机制
CN104539465B (zh) 多系统外部设备共享的方法、装置和多系统终端
CN110691099B (zh) 一种微服务架构下实现级联授权的系统及方法
JP2002108822A (ja) セキュリティ管理方式
CN110414213A (zh) 一种基于keycloak的对运维管理系统中权限管理的方法及装置
JP5733387B2 (ja) 管理装置、管理プログラムおよび管理方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040713

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040824

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041025

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20050111

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050314

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20050314

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20050414

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050531

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050603

R151 Written notification of patent or utility model registration

Ref document number: 3686565

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090610

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090610

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100610

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100610

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110610

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120610

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130610

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140610

Year of fee payment: 9

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term