JP4717381B2

JP4717381B2 - 移動機、及び、アクセス制御方法

Info

Publication number: JP4717381B2
Application number: JP2004174623A
Authority: JP
Inventors: 易憲服部; 尚史吉永; 博史川端; 諭鷲尾
Original assignee: NTT Docomo Inc
Current assignee: NTT Docomo Inc
Priority date: 2004-06-11
Filing date: 2004-06-11
Publication date: 2011-07-06
Anticipated expiration: 2024-06-11
Also published as: CN100517275C; EP1770534A4; US8001375B2; EP1770534A1; US20080039134A1; CN1934545A; WO2005121975A1; JP2005354529A

Description

本発明は、アプリケーションからデータ領域に対するアクセスを制限する技術に関する。

従来、複数のアプリケーションプログラム（以下、「アプリケーション」と略記する。）を１つの装置に保持させておき、特定のアプリケーションに関してのみ、データのアクセスを許可する技術が存在する。例えば、特許文献１には、かかる技術をＩＣカードに適用することで、セキュリティ上の問題を解決すると共に、メモリの有効利用を実現する手法が開示されている。本文献においては、ＩＣカードが、複数のアプリケーションによる所定のデータ領域の共通使用を許可するという技術的特徴が開示されている。
特開平８−１９０６１４号公報

しかしながら、上記従来技術は、アプリケーションからのアクセスの自由度が高い反面、ネットワーク経由でダウンロードされたアプリケーションの使用を想定したものではないことから、以下のような問題点が懸念される。すなわち、外部から取得されたアプリケーションは、その機能や用途に応じて、必要とするデータ領域の容量やデータの種類が異なるため、ＩＣカード内のデータ領域は、アプリケーション毎に個別に確保する必要がある。したがって、ＩＣカードは、アプリケーションの指定する容量の領域割当てあるいは開放といった、困難なメモリの運用管理を強いられることになる。また、アプリケーションの開発者にとっても、割り当てられた領域のみを使用するように、その領域番号を指定してアクセスさせる必要がある。このため、アプリケーションの開発に際しての煩雑性が増すという懸念もある。

そこで、本発明の課題は、移動機において、メモリの管理を容易にすると共に、メモリ内のデータにアクセスするアプリケーションを制限することで、データに対するセキュリティを確保することである。

上記課題を解決すべく、本発明に係る移動機は、所定数分のデータ領域（例えば三領域）が内部に形成された格納手段と、アプリケーションを取得する取得手段と、前記取得手段によりアプリケーションが取得された際に、当該アプリケーションを、前記格納手段内の何れかのデータ領域に割り当てる割当手段と、前記データ領域に対しては、当該データ領域に割り当てられたアプリケーションからのアクセスのみを許可する制御を行う制御手段と、を備え、データ領域は、ＰＩＮがアプリケーションの取得時及び削除時に書き換え可能である状態で対応付けられており、制御手段は、アプリケーションからデータ領域にアクセスする際に、当該アプリケーションのアプリケーション定義ファイルからＰＩＮを取得し、当該取得したＰＩＮとデータ領域に対応付けられたＰＩＮとを比較し、一致する場合はアクセスを許可する。

本発明に係るアクセス制御方法は、所定数分のデータ領域（例えば三領域）が内部に形成された格納手段を有する移動機が、アプリケーションを取得する取得ステップと、前記取得ステップにてアプリケーションが取得された際に、当該アプリケーションを、前記格納手段内の何れかの、ＰＩＮがアプリケーションの取得時及び削除時に書き換え可能である状態で対応付けられているデータ領域に割り当てる割当ステップと、前記データ領域に対しては、当該データ領域に割り当てられたアプリケーションからのアクセスのみを許可する制御を行う制御ステップとを含み、制御ステップは、アプリケーションからデータ領域にアクセスする際に、当該アプリケーションのアプリケーション定義ファイルからＰＩＮを取得し、当該取得したＰＩＮとデータ領域に対応付けられたＰＩＮとを比較し、一致する場合はアクセスを許可する。

ここで、移動機は、例えば携帯電話であるが、これに限定されるものではなく、ＰＤＡ（Personal Digital Assistance）やＰＨＳのように通信機能を備えた情報機器であればよく、その機能やサイズによって、本発明の適用対象を限定するものではない。

これらの発明によれば、移動機は、アプリケーションを取得した際に、当該アプリケーションがアクセス可能なデータ領域に自動的にこれを割り当てる。すなわち、アプリケーションは、データへのアクセスに際して、自らが指定した領域ではなく、予め確保されていたデータ領域を使用する。したがって、アプリケーションからは、他のデータ領域（割り当てられていないデータ領域）を意識することなく、当該アプリケーションに関連するデータに簡易迅速にアクセスすることができる。また、取得されたアプリケーションは、取得時に割当てが決定されたデータ領域に対するアクセスのみが許可され、同時に、別のアプリケーションからの当該データ領域に対するアクセスも拒否される。その結果、移動機において、メモリ（格納手段）の管理を容易にしつつ、データに対するセキュリティを確保することが可能となる。

アプリケーションからデータ領域にアクセスする際には、高いセキュリティレベルを確保するためにＰＩＮの入力を必要とするが、本発明によれば、データ領域にはＰＩＮが対応付けられており、移動機は、当該アプリケーションのアプリケーション定義ファイルからＰＩＮを読み取り、当該読み取ったＰＩＮとデータ領域に対応づけたれらＰＩＮとを比較し、一致する場合は領域アクセスを許可する。これにより、アプリケーションを利用するユーザによるＰＩＮの入力や確認は不要となり、利便性が向上する。

本発明によれば、移動機において、メモリの管理を容易にすると共に、メモリ内のデータにアクセスするアプリケーションを制限することで、データに対するセキュリティを確保することができる。

以下、例示のために添付された図面を参照しながら、本発明の一実施の形態について説明する。まず、本実施の形態における移動機１０の構成について説明する。図１は、移動機１０の機能的構成を示すブロック図である。図１に示すように、移動機１０は、非接触型ＩＣ１１（格納手段に対応）と、入力部１２と、アプリケーション受信部１３（取得手段に対応）と、格納領域割当部１４（割当手段に対応）と、アプリケーション格納部１５と、アクセス制御部１６（制御手段に対応）とを備える。これら各構成部分は、バスを介して各種信号の入出力が可能なように接続されている。

詳細な処理内容に関しては、動作説明において後述するが、以下、移動機１０の各構成部分の機能概要について説明する。
非接触型ＩＣ１１は、内蔵アンテナにより、外部端末（例えば、外部リーダライタ３０）が発信する電波を受信して、各種データの送受信を行う。通信方式は、例えば、ＦｅｌｉＣａ（登録商標）の通信方式をベースにしたＮＦＣ（Near Field Communication）である。非接触型ＩＣ１１は、初期出荷時に均等に分割された三つの格納領域１，２，３（データ領域に対応）を有する。格納領域１〜３には、アプリケーション提供者ＩＤブロック１ａ〜３ａ、ＰＩＮブロック１ｂ〜３ｂ、データブロック１ｃ〜３ｃがそれぞれ形成されている。アプリケーション提供者ＩＤブロック１ａ〜３ａには、対応する格納領域へのアクセスが可能なアプリケーションの提供元であるコンテンツプロバイダの識別情報が格納される。外部リーダライタ３０は、このアプリケーション提供者ＩＤを移動機１０から取得することで、自機がサービスの提供主体となり得るかの判定を行う。なお、アプリケーション提供者ＩＤの初期値には、オール０が設定されている。

ＰＩＮブロック１ｂ〜３ｂには、第三者からの不正アクセスを排除するための識別情報として、ＰＩＮ（Personal Identification Number）が格納される。アプリケーションや外部リーダライタ３０から格納領域にアクセスがあった場合には、移動機１０はＰＩＮの照合を行うことで、アクセス主体を制限する。なお、初期出荷時には、仮ＰＩＮ（例えば、“１１１１１１１１”）が設定されている。

データブロック１ｃ〜３ｃに格納されるデータは、提供されるサービスの内容に応じて異なる。例えば、格納領域１に割り当てられたアプリケーションにより実現されるサービスが電子マネーサービスである場合には、データブロック１ｃには、残額情報が更新可能に格納される。また、電子チケットサービスである場合には、電子価値が化体されたチケットの種類、あるいは、開催日時、開催場所、席番号といった詳細情報がデータブロック１ｃに格納される。更に、会員証サービスの場合には、会員種別、氏名、連絡先といった個人情報をデータブロック１ｃに格納することもできる。各データブロック１ｃ，２ｃ，３ｃの容量は、９６バイト程度である。

図２は、非接触型ＩＣ１１内部の構成をより具体的に示す図である。図２に示すように、格納領域１〜３は、領域定義ブロック１１４ａにその関連情報が記録されたエリア１１４内の所定の領域に形成されている。非接触型ＩＣ１１は、格納領域１〜３以外にも、ＩＣの製造番号などが記録された製造ＩＤブロック１１１や、ＩＣの発行番号などが記録された発行ＩＤブロック１１２、非接触型ＩＣ１１の動作環境などが記録されたシステム定義ブロック１１３などを有する。システム定義ブロック１１３には、非接触型ＩＣ１１の動作環境として、システムコード、キーバージョン、システムキーといった情報が記録されている。

入力部１２は、ハードウェアとしてのボタンにより構成され、ユーザによる押下又は接触操作を検知すると、各種処理の実行を指示する。例えば、入力部１２は、アプリケーションのダウンロード実行をアプリケーション受信部１３に対して指示する。また、入力部１２は、実行中のアプリケーションからの格納領域に対するアクセス（データの書込みや読出し）を指示する。

アプリケーション受信部１３は、入力部１２からの指示を検知すると、コンテンツサーバ２０に対してアプリケーションの送信を要求する。コンテンツサーバ２０には、移動機１０の実行可能なアプリケーションＡが保持されており、移動機１０からの要求に応じてアプリケーションＡを提供する。アプリケーション受信部１３は、アプリケーションのダウンロードに際して、その可否を判定する。ダウンロードが不可の場合とは、例えば、アプリケーションにアプリケーション提供者ＩＤ又はＰＩＮが設定されていない場合、設定されているがその形式が所定条件（桁数やバイト数）を満たさない場合、アプリケーション提供者ＩＤが既に登録されている場合、空きの格納領域が存在しない場合などである。

格納領域割当部１４は、アプリケーション受信部１３によりアプリケーションが受信された際に、当該アプリケーションの割当て先となる格納領域を決定する。三つの格納領域は、格納領域１，２，３の順に使用され、初期出荷状態で新規に受信されたアプリケーションは、格納領域１に割り当てられる。以降、受信されたアプリケーションは、順次格納領域２，３に割り当てられる。また、アプリケーションの削除に伴って開放された格納領域にも、再度、アプリケーションを割り当てることが可能である。かかる格納領域が複数存在する場合には、格納領域１，２，３の優先順位で、追加されたアプリケーションが割り当てられる。格納領域割当部１４は、アプリケーション管理機構（ＪＡＭ：Java Application Manager)により実現される。

アプリケーション格納部１５は、物理的には、ＥＥＰＲＯＭ（Electrically Erasable and Programmable Read Only Memory）等の内蔵メモリにより構成される。図３は、アプリケーション格納部１５に格納されたデータの一例を示す図である。図３に示すように、アプリケーション格納部１５には、ダウンロードされたアプリケーションが、アクセス可能な格納領域の識別番号と対応付けて格納される。アプリケーションは、例えばｉアプリ（登録商標）である。更に、各アプリケーションには、その属性情報が記述されたアプリケーション定義ファイル（ＡＤＦ：ApplicationDescription File）の拡張キーが対応付けられており、拡張キーとしては、前述のアプリケーション提供者ＩＤとＰＩＮとが格納される。

アプリケーション提供者ＩＤは、ID＝＜parameter＞というフォーマットの“parameter”の部分に、１６進数で２桁の文字列により指定されている。文字列としては、“０”〜“９”の数字以外に、“ａ”〜“ｆ”又は“Ａ”〜“Ｆ”の英字も指定可能である。但し、指定されている文字列がこれら以外の文字列である場合、あるいは、指定されている文字列が３２桁である場合には、形式が所定条件を満たさないという上述の場合に該当するので、このような文字列を“parameter”として有するアプリケーションが領域１５ｂに格納されることはない。

ＰＩＮに関しても同様である。すなわち、ＰＩＮは、PIN＝＜parameter＞というフォーマットの“parameter”の部分に、１０進数で８桁の数字により指定されている。但し、先頭に位置する“０”は省略することができる。数字以外が指定されている場合には、形式が所定条件を満たさないという上述の場合に該当するので、このような文字列を“parameter”として有するアプリケーションが領域１５ｂに格納されることはない。

アクセス制御部１６は、入力部１２からのアクセス指示を受けると、実行中のアプリケーションによる格納領域へのアクセスを試行する。アクセス制御部１６は、アクセスを試行するアプリケーションが、アクセス先の格納領域に割り当てられているか否かに応じて、その許否を判定する。例えば、アプリケーションＡが格納領域１に割り当てられた場合、アクセス制御部１６は、アプリケーションから格納領域１に対するアクセスを、アプリケーションＡに関してのみ許可し、他のアプリケーションから格納領域１に対するアクセスは拒否する。また、アクセス制御部１６は、アプリケーションＡのアプリケーション定義ファイルからＰＩＮ（PIN＝＜00123456＞）を取得し、格納領域１のＰＩＮブロック１ｂに格納されているＰＩＮとこれを照合する。一致する場合には、アクセスを許可する。

次に、移動機１０の動作を説明し、併せて、本発明に係るアクセス制御方法について説明する。説明の前提として、本発明は、アプリケーションＡ，Ｂ，Ｃのうち、何れのアプリケーションの取得を所望する状況にも適用し得るが、本実施の形態では、説明の便宜上、移動機１０がコンテンツサーバ２０からアプリケーションＡをダウンロードする状況を想定する。図４は、アプリケーションダウンロード処理を説明するためのフローチャートである。

入力部１２からアプリケーションのダウンロードが指示されると（Ｓ１）、移動機１０は、アプリケーション受信部１３により、コンテンツサーバ２０宛の送信要求信号を送信する（Ｓ２）。コンテンツサーバ２０は、アプリケーションＡと外部リーダライタ３０とを使用してサービスを提供するコンテンツプロバイダによって管理運用されている。コンテンツサーバ２０は、上記送信要求信号を受信すると、アプリケーションＡの送信に先立って、そのアプリケーション定義ファイルを取得し（Ｓ３）、ネットワークＮ経由で移動機１０宛に送信する（Ｓ４）。

Ｓ５では、移動機１０は、格納領域割当部１４により、受信されたアプリケーション定義ファイルの検証を行う。すなわち、格納領域割当部１４は、アプリケーション提供者ＩＤ及びＰＩＮの双方が正規のフォーマットでアプリケーション定義ファイルに設定されているか否かを判別し、されている場合には（Ｓ５；ＹＥＳ）、Ｓ６以降の処理が実行される。Ｓ６では、格納領域割当部１４により、格納領域の空きの存否が確認される。未使用の格納領域が存在する場合には（Ｓ６；ＹＥＳ）、格納領域割当部１４は、格納領域への割当てが可能であるものと判断し、アプリケーション定義ファイル内のアプリケーション提供者ＩＤをアプリケーション提供者ＩＤブロックに格納すると共に、ＰＩＮブロック内の仮ＰＩＮの置換を行う（Ｓ７）。これにより、格納領域に対するアプリケーションの割当てが完了する。

例えば、初期出荷時における移動機１０を想定すると、格納領域１〜３は何れも未使用であるので、受信されるアプリケーションＡの割当て先は格納領域１に決定する。したがって、Ｓ７においては、アプリケーションＡのアプリケーション定義ファイルのアプリケーション提供者ＩＤ“ID＝＜01＞”がアプリケーション提供者ＩＤブロック１ａに格納された後、ＰＩＮ“PIN＝＜00123456＞”がＰＩＮブロック１ｂに上書きで格納される。

割当て完了後、アプリケーションＡのダウンロードが開始される。まず、移動機１０からコンテンツサーバ２０に向けて、送信要求信号が送信される（Ｓ８）。次いで、該要求信号を受信したコンテンツサーバ２０は、アプリケーションＡを取得し（Ｓ９）、移動機１０宛に送信する（Ｓ１０）。

一方、Ｓ５における判別の結果、アプリケーション提供者ＩＤ及びＰＩＮの双方が正規のフォーマットでアプリケーション定義ファイルに設定されていない場合には（Ｓ５；ＮＯ）、ダウンロードは中止され、一連のアプリケーションダウンロード処理が終了する。望ましくは、移動機１０は、ダウンロードが不可である旨をその理由と共にユーザに通知する（Ｓ１１）。なお、上記場合には、アプリケーション提供者ＩＤが設定されていない場合、ＰＩＮが設定されていない場合はもとより、何れかの格納領域のアプリケーション提供者ＩＤブロックに同一のアプリケーション提供者ＩＤが既存の場合を含む。また、Ｓ６における確認の結果、未使用の格納領域が存在しない場合にも（Ｓ６；ＮＯ）、Ｓ１１の処理が実行される。

ダウンロードが不可である旨のメッセージとしては、例えば、“アプリケーション定義ファイルにＰＩＮが設定されていないため、ダウンロードに失敗しました。”、“格納領域に空きがないため、ダウンロードに失敗しました。”などが表示される。

続いて、図５のフローチャートを参照しながら、アプリケーションＡが格納領域１にアクセスする処理について説明する。
まずＳ２１では、アプリケーション格納部１５に格納されているアプリケーションＡによる格納領域１へのアクセスが指示される。このアクセス指示は、アプリケーションＡの起動を契機として自動的に行われるものとしてもよいし、ユーザによる指示を待って行われるものとしてもよい。また、アクセス指示の契機となる起動に関しても、外部リーダライタ３０の検知を契機とした自動起動であってもよいし、移動機１０のユーザの指示による手動起動であってもよい。

格納領域１へのアクセス指示があると、移動機１０のアクセス制御部１６は、アプリケーションＡがデータブロック１ｃにアクセスするためのＡＰＩ（Application Program Interface）を呼び出し、アプリケーション格納部１５からＰＩＮを取得する。これにより、ＰＩＮブロック１ｂを解除するためのＰＩＮ“PIN＝＜00123456＞”が、アプリケーションＡのアプリケーション定義ファイルから取得される（Ｓ２２）。

続いて、アクセス制御部１６は、アプリケーション管理機構を使用して、上記ＰＩＮからＰＩＮブロック解除コマンドを発行し、このコマンドにより、データブロック１ｃのＰＩＮロックを解除する（Ｓ２３）。この解除処理により、アプリケーションＡからデータブロック１ｃに対するアクセスが可能となり、アクセス制御部１６は、データブロック１ｃに格納されているバリューの読出しや書込みを行う（Ｓ２４）。このように、ＰＩＮロックの解除に要する一連の処理は、移動機１０の内部処理として完結するので、ユーザによるＰＩＮのキー入力や確認は不要である。

次に、図６のフローチャートを参照しながら、外部リーダライタ３０が格納領域１にアクセスする処理について説明する。
外部リーダライタ３０は、不特定の移動機に対して、格納領域内のアプリケーション提供者ＩＤの送信を要求する信号を常時発信（ポーリング）している（Ｓ３１）。当該要求信号を受信した移動機１０は、非接触型ＩＣ１１に現在保持しているアプリケーション提供者ＩＤ“ID＝＜01＞”を外部リーダライタ３０宛に返信する（Ｓ３２）。

アプリケーション提供者ＩＤには、対応するアプリケーション（本実施の形態では、アプリケーションＡ）のアクセス可能な格納領域を識別するための情報が記録されている。したがって、外部リーダライタ３０は、受信したアプリケーション提供者ＩＤを参照して、サービスの提供に際して使用される格納領域を特定することができる（Ｓ３３）。この時点で、格納領域は格納領域１に特定される。外部リーダライタ３０は、サービス提供者により事前（アプリケーション定義ファイルの定義時）に設定された、移動機１０のユーザ専用のＰＩＮを保持している。外部リーダライタ３０は、ＰＩＮブロック解除のためにこれを取得する（Ｓ３４）。

Ｓ３５では、外部リーダライタ３０は、Ｓ３４で取得されたＰＩＮを用いて、Ｓ３３で特定された格納領域１のＰＩＮブロック解除コマンドを発行し、移動機１０宛にこれを送信する。移動機１０においては、ＰＩＮブロック解除コマンドを受信し、このコマンドのＰＩＮと、格納領域１のＰＩＮブロック１ｂに格納されているＰＩＮとを照合する。双方のＰＩＮの一致により、格納領域１内のデータブロック１ｃのＰＩＮロックは、解除される（Ｓ３６）。その結果、外部リーダライタ３０からデータブロック１ｃへのアクセスが可能となる。以降、外部リーダライタ３０は、データブロック１ｃに格納されているバリューの読出し、書込みといったアクセスを行う（Ｓ３７）。このように、ＰＩＮロックの解除に要する一連の処理は、移動機１０と外部リーダライタ３０との連携によって完結する。すなわち、外部リーダライタ３０側でのユーザによるＰＩＮの入力や確認は不要である。

次に、図７のフローチャートを参照しながら、不要となったアプリケーションＡを移動機１０から削除する処理について説明する。
アプリケーションＡを削除する指示が入力部１２から入力されると（Ｓ４１）、アクセス制御部１６は、アプリケーション管理機構により、格納領域１のアプリケーション提供者ＩＤブロック１ａに設定されているアプリケーション提供者ＩＤを初期値に戻す（Ｓ４２）。これにより、アプリケーション提供者ＩＤブロック１ａに設定されていた“ID＝＜01＞”は、“ID＝＜00＞”に変更される。ＰＩＮに関しても同様に、アクセス制御部１６は、仮ＰＩＮを再設定する（Ｓ４３）。その結果、ＰＩＮブロック１ｂに設定されていた“PIN＝＜00123456＞”は、初期値である“PIN＝＜11111111＞”に変更される。

更に、アクセス制御部１６は、削除が指示されたアプリケーションＡの格納領域１内のデータブロック１ｃを初期値に戻す（Ｓ４４）。これにより、データブロック１ｃに格納されていたバリュー（電子マネーや電子クーポンの残額）は消去される。続いて、アクセス制御部１６により、アプリケーション格納部１５に格納されているアプリケーション定義ファイルの削除（Ｓ４５）、及びアプリケーションＡの削除（Ｓ４６）が実行される。このようなアプリケーションの削除処理の実行により、一度ダウンロードされたアプリケーション用の格納領域を、別のアプリケーションに明け渡すことができるので、非接触型ＩＣ１１の利用効率が向上する。

以上説明したように、本実施の形態における移動機１０によれば、内蔵の非接触型ＩＣ１１に三つの格納領域が予め確保されており、アプリケーションＡをダウンロードした際に、この内の一つである格納領域１が割り当てられる。このとき、格納領域１には、不正な第三者からのアクセスを排除するためにＰＩＮが設定され、以降、格納領域１に対するアクセスには、このＰＩＮによる認証処理が必要となる。ＰＩＮの保持主体は、アプリケーションＡのアプリケーション定義ファイルと、アプリケーションＡを利用したサービスを提供する外部リーダライタ３０とに限定される。したがって、これら以外（例えば、アプリケーションＢ，Ｃや他の外部機器）からのアクセスは拒否され、格納領域１内のデータの秘匿性が維持される。また、その不正使用が防止される。

また、格納領域に対するアプリケーションの割当ては、ダウンロード時に移動機１０が行う。このため、アプリケーション側でアクセス先のデータ領域を予め指定しておく必要はなく、また、この情報をもとに移動機１０がデータ領域の確保の可否判定や形成を行う必要もない。したがって、非接触型ＩＣ１１の管理が容易になる。アプリケーションの開発者にとっても、開発したアプリケーションを運用管理機構に登録したり、高額な投資が必要な非接触型ＩＣ用サーバを調達したりすることなく、非接触型ＩＣを利用した移動機向けのサービスを提供することができるという効果がある。移動機１０を適用可能なサービスとしては、例えば、クーポンサービス、ポイントサービス、入場サービスなどが挙げられる。その他にも、くじ引き等のイベントアトラクション、社員証、会員証への応用も可能である。

例えば、クーポンサービスでは、まず、移動機１０がアプリケーションを介してＷｅｂサイトにアクセスし、電子クーポンをダウンロードする。ダウンロードされた電子クーポンは、上記アプリケーションに割り当てられた、非接触型ＩＣ１１内のデータブロックに格納される。利用に際しては、外部リーダライタ３０が、電子クーポンを読み取り、所定のサービスを提供する。

ポイントサービスでは、商品購入の際に、外部リーダライタ３０により、非接触型ＩＣ１１のデータブロック内に保持されているポイントが加算される。ポイントの累積状況は、アプリケーション（ビューワ）により随時確認することができる。所定ポイントに達した後に、移動機１０は、アプリケーションを介してポイントにアクセスし、外部リーダライタ３０に通知、あるいは、図示しないサーバ装置に申請する。これにより、移動機１０のユーザは、ポイントに見合ったサービスを受けることが可能となる。

入場サービスでは、移動機１０は、アプリケーションを使用してサーバ装置に接続し、電子チケットをダウンロードする。電子チケットは、非接触型ＩＣ１１のデータブロック内に格納される。入場に際しては、ゲートに設置された外部リーダライタ３０が、電子チケットの内容を読み取り、入場の許否を判定する。電子チケットが正当なものである場合には、移動機１０のユーザの入場は許可される。

なお、本発明は、上述した実施の形態に限定されるものではなく、その趣旨を逸脱しない範囲において、適宜変形態様を採ることも可能である。
例えば、上記実施の形態では、移動機１０と外部リーダライタ３０間の短距離無線通信として、ＮＦＣを例示した。しかし、ＢＬＵＥＴＯＯＴＨ（登録商標）、あるいは、ＩｒＤＡ（Infrared Data Association）を始めとする赤外線通信や無線ＬＡＮ（LocalArea Network）通信に対しても本発明を適用可能であることは勿論である。

本発明に係る移動機の機能的構成、及び格納領域の概略構成を示すブロック図である。非接触型ＩＣ内のデータ格納例を示す図である。アプリケーション格納部におけるデータ格納例を示す図である。移動機がコンテンツサーバからアプリケーションをダウンロードする処理を説明するためのフローチャートである。移動機内のアプリケーションから格納領域にアクセスする処理を説明するためのフローチャートである。外部リーダライタから格納領域にアクセスする処理を説明するためのフローチャートである。移動機がアプリケーションを削除する処理を説明するためのフローチャートである。

符号の説明

１，２，３…格納領域、１ａ，２ａ，３ａ…アプリケーション提供者ＩＤブロック、１ｂ，２ｂ，３ｂ…ＰＩＮブロック、１ｃ，２ｃ，３ｃ…データブロック、１０…移動機、１１…非接触型ＩＣ、１２…入力部、１３…アプリケーション受信部、１４…格納領域割当部、１５…アプリケーション格納部、１６…アクセス制御部、２０…コンテンツサーバ、３０…外部リーダライタ

Claims

所定数分のデータ領域が内部に形成された格納手段と、
アプリケーションを取得する取得手段と、
前記取得手段によりアプリケーションが取得された際に、当該アプリケーションを、前記格納手段内の何れかのデータ領域に割り当てる割当手段と、
前記データ領域に対しては、当該データ領域に割り当てられたアプリケーションからのアクセスのみを許可する制御を行う制御手段と、を備え、
前記データ領域は、ＰＩＮが前記アプリケーションの取得時及び削除時に書き換え可能である状態で対応付けられており、
前記制御手段は、前記アプリケーションからデータ領域にアクセスする際に、当該アプリケーションのアプリケーション定義ファイルからＰＩＮを取得し、当該取得したＰＩＮと前記データ領域に対応付けられたＰＩＮとを比較し、一致する場合はアクセスを許可することを特徴とする移動機。
所定数分のデータ領域が内部に形成された格納手段を有する移動機が、
アプリケーションを取得する取得ステップと、
前記取得ステップにてアプリケーションが取得された際に、当該アプリケーションを、前記格納手段内の何れかの、ＰＩＮが前記アプリケーションの取得時及び削除時に書き換え可能である状態で対応付けられているデータ領域に割り当てる割当ステップと、
前記データ領域に対しては、当該データ領域に割り当てられたアプリケーションからのアクセスのみを許可する制御を行う制御ステップとを含み、
前記制御ステップは、前記アプリケーションからデータ領域にアクセスする際に、当該アプリケーションのアプリケーション定義ファイルからＰＩＮを取得し、当該取得したＰＩＮと前記データ領域に対応付けられたＰＩＮとを比較し、一致する場合はアクセスを許可する
ことを特徴とするアクセス制御方法。