WO2005073843A1 - セキュアデバイス、端末装置、ゲート機器、機器 - Google Patents

Abstract

　カードアプリ機能や装置機能等が発現されるエリアを限定できるＩＣカード等のセキュアデバイスを提供するセキュアデバイス、端末装置、ゲート機器、機器。セキュアデバイス（２０）に、ゲート機器（４０）に対して認証処理を行う認証アプリ（２４）と、端末である携帯電話（１０）にインストールする端末アプリ・設定命令（２６）や、端末アプリ（２７）と、認証アプリ（２４）がゲート機器（４０）との認証に成功した場合に、ゲート機器（４０）から指定された端末アプリを携帯電話（１０）にインストールする制御手段であるＣＰＵ（２３）とを設けている。セキュアデバイス（２０）をゲート機器（４０）に翳し、正常に通過したエリアでのみ、端末アプリ・設定命令（２６）、端末アプリ（２７）が携帯電話（１０）にインストールされる。ゲート機器（４０）のゲートアプリ（４３）が特定の領域で機能するアプリを指定するので、ユーザの登録操作等は不要であり、また、端末へのＧＰＳ受信機等の装備も必要がない。

Description

明 細 書

セキュアデバイス、端末装置、ゲート機器、機器

技術分野

[0001] 本発明は、 ICカード等のセキュアデバイスと、このセキュアデバイスとの間で接触通 信または非接触通信を行う端末装置、ゲート機器、機器に関するものである。

背景技術

[0002] 近年、 ICカードは、電子決済用カードや定期乗車券、イベント用チケット、クレジット カード等として広く利用されている。最近では、微細化技術の向上とも相俟って、比 較的大容量の記憶空間を持つ ICカードが作られており、このような ICカードは、カー ドサービスを実行する複数のカードアプリケーション（以下、アプリケーションを「アプリ 」と略称する）を格納することにより、一枚で複数の用途に対応するマルチアプリカー ドとして使用することができる。

[0003] ICカードの通信方式には、 ICカードの電気的接点にリーダ'ライタを接触して記録 情報の読み書きを行う接触通信と、無線通信で情報をやり取りし、リーダ'ライタとの 物理的な接触を必要としない非接触通信との二通りがある。最近は、接触通信及び 非接触通信の両方が可能な ICカード (コンビカード)を携帯端末装置に搭載し、この 携帯端末を電子財布や定期券の替わりに使用することも行われてレ、る。

[0004] 下記特許文献 1には、搭載したマルチアプリカードから、 目的のカード機能を迅速 力、つ簡単に選択することを可能にした携帯端末装置が開示されている。この装置を 使用するユーザは、マルチアプリカードのカード機能を携帯端末の表示画面に一覧 表示して、その中から親アプリと、親アプリに関連付けたアプリ（優先アプリ）とを登録 し、マルチアプリカードに記憶させる。例えば、親アプリとして定期乗車券機能を登録 し、その優先アプリとして電子マネー機能を登録すると、携帯端末を自動改札装置に 翳し、マルチアプリカードの定期乗車券機能を用いて駅構内に入場した場合に、携 帯端末の表示画面には、優先アプリの電子マネー機能の表示順位を最上位に設定 したアプリ選択画面が表示される。

[0005] また、ユーザがマルチアプリカードのアプリ機能を使用すると、その位置が携帯端 末の GPS受信機等の現在位置検出手段で検出されて、使用したアプリ機能と使用 位置との関係が携帯端末で記憶される。そして、その位置付近を再び訪れたとき、携 帯端末の表示画面には、その位置に対応するアプリ機能の表示順位を最上位に設 定したアプリ選択画面が表示される。

特許文献 1 :特開 2003 - 76958号公報

発明の開示

発明が解決しょうとする課題

[0006] このように、場所と対応付けてアプリ選択画面の表示を変更することは前記特許文 献 1に記載されているが、 ICカードのカード機能を場所によって限定する発想は、こ の文献には示されていなレ、。 ICカードのカード機能を場所で限定することができるな らば、例えば、 ICカードを搭載した携帯電話を、社内エリアでは内線電話として使用 できるようにし、あるいは、 ICカードに格納された特定データを社内エリアでのみ利用 できるようにする等、新たな応用が可能になる。

[0007] また、 ICカードのカード機能を場所によって限定する場合に、前記特許文献 1のよ うに、ユーザの登録操作を必要とするのでは、ユーザの処理負担が大きいし、また、 携帯端末が位置情報の取得手段を持つ必要があるのでは、携帯端末のコストが高く なる。

[0008] 本発明の目的は、こうした従来の課題を解決するものであり、ユーザの処理負担や コスト負担を招かずに、セキュアデバイスのカード機能や、端末装置あるいは機器の 機能を、場所と関連付けて変更したり、または通信方式、前回の無効化処理、さらに はメモリ容量等に応じて変更したり、よりセキュリティを確保することができる ICカード 等のセキュアデバイスを提供し、また、このセキュアデバイスと連携して処理を行う端 末装置、ゲート機器、機器を提供することである。

課題を解決するための手段

[0009] 本発明のセキュアデバイスは、ゲート機器に対して認証処理を行う認証手段と、端 末にインストールする端末アプリケーションと、前記認証手段がゲート機器との認証に 成功した場合に、前記ゲート機器力 指定された端末アプリケーションを端末にイン ストールする制御手段と、を備える構成を採る。 [0010] また、本発明のセキュアデバイスは、ゲート機器に対して認証処理を行う認証手段 と、カードアプリケーションと、前記認証手段がゲート機器との認証に成功した場合に 、前記ゲート機器力 指定されたカードアプリケーションが、端末の端末アプリケーシ ヨンのアクセスを許容する制御手段と、を備える構成を採る。

[0011] また、本発明のセキュアデバイスは、ゲート機器に対して認証処理を行レ、、認証に 成功したゲート機器の識別情報を登録する認証手段と、前記認証手段がゲート機器 との認証に成功したことを条件に所定の動作を行う機器に対して、前記機器の検証 に供するためにゲート機器の前記識別情報を送信し、または、前記機器に代わって 前記識別情報を検証するカードアプリケーションと、を備える構成を採る。

[0012] また、本発明のゲート機器は、セキュアデバイスまたは前記セキュアデバイスを保持 する端末との通信手段と、前記通信手段を通じて前記セキュアデバイスとの認証処 理を行い、認証に成功したセキュアデバイスに対して、端末にインストールする端末 アプリケーションを指定するゲートアプリケーションと、を備える構成を採る。

[0013] また、本発明のゲート機器は、セキュアデバイスまたは前記セキュアデバイスを保持 する端末との通信手段と、前記通信手段を通じて前記セキュアデバイスとの認証処 理を行い、認証に成功したセキュアデバイスに対して、端末の端末アプリケーション がアクセスできるカードアプリケーションを指定するゲートアプリケーションと、を備える 構成を採る。

[0014] また、本発明の端末装置は、セキュアデバイスを保持し、ゲート機器との認証に成 功した前記セキュアデバイスから、前記ゲート機器が指定した端末アプリケーションを インストールする構成を採る。

[0015] また、本発明の端末装置は、セキュアデバイスを保持し、ゲート機器との認証に成 功した前記セキュアデバイスが保持するカードアプリケーションの中で、前記ゲート機 器が指定したカードアプリケーションにアクセスする端末アプリケーションを備える構 成を採る。

[0016] また、本発明の機器は、ゲート機器との認証に成功したセキュアデバイスから前記 ゲート機器の識別情報を取得し、前記識別情報の検証に成功した場合に所定の動 作を行う構成を採る。 [0017] また、本発明の機器は、ゲート機器との認証に成功したセキュアデバイスから前記 ゲート機器の識別情報の検証に成功した旨の情報を取得した場合に所定の動作を 行う構成を採る。

発明の効果

[0018] 本発明のセキュアデバイス、ゲート機器、端末装置及び機器は、連携して、セキュ アデバイスのカード機能や、端末装置あるいは機器の機能を、場所と関連付けて変 更したり、または通信方式、前回の無効化処理、さらにはメモリ容量等に応じて変更 したり、よりセキュリティを確保することができる。例えば、端末装置の機能をオフィス の中と外とで切替えたり、特定の処理機能を限定したエリアでのみ可能にしたり、特 定の入口から入場しなければ、部屋の扉や金庫が開かないようにしたりすることがで きる。また、こうした処理を、ユーザの処理負担やコスト負担を招かずに実現すること ができる。

図面の簡単な説明

[0019] [図 1]本発明の第 1の実施形態における携帯電話、コンビカード及びゲートの構成を 示すブロック図

[図 2]本発明の第 1の実施形態に設定されたデータ DBのデータ構成を示す図

[図 3]本発明の第 1の実施形態における携帯電話、コンビカード及びゲートの動作を 示すシーケンス図

[図 4]本発明の第 1の実施形態における携帯電話、 ICカード及びゲートの構成を示 すブロック図

[図 5]本発明の第 2の実施形態における携帯電話、コンビカード及びゲートの構成を 示すブロック図

[図 6]本発明の第 2の実施形態に設定されたデータ DBのデータ構成を示す図

[図 7]本発明の第 2の実施形態における携帯電話、コンビカード及びゲートの動作を 示すシーケンス図

[図 8]本発明の第 2の実施形態における優先度設定 DBのデータ構成を示す図

[図 9A]本発明の第 2の実施形態における優先度設定 DBの他のデータ構成であって

、各カードアプリ IDの優先度を規定した優先度テンプレートの一例を示す図 園 9B]本発明の第 2の実施形態における優先度設定 DBの他のデータ構成であって 、ゲートアプリ IDに対応して優先度テンプレートを設定した優先設定 DBの一例を示 す図

園 10]本発明の第 3の実施形態におけるドア、 ICカード及びゲートの構成を示すプロ ック図

園 11]本発明の第 3の実施形態におけるドア、 ICカード及びゲートの動作を示すシ 一ケンス図

園 12]本発明の第 3の実施形態における PIN入力部を持つドア、 ICカード及びグー トの構成を示すブロック図

園 13]本発明の第 3の実施形態における PIN入力部を持つドア、 ICカード及びグー トの動作を示すシーケンス図

園 14]本発明の第 4の実施形態における携帯電話、コンビカード、ゲート及び金庫の 構成を示すブロック図

園 15]本発明の第 4の実施形態における携帯電話、コンビカード、ゲート及び金庫の 動作を示すシーケンス図

園 16]本発明の第 4の実施形態における携帯電話、コンビカード及びゲートの動作を 示すシーケンス図

園 17]本発明の第 4の実施形態における携帯電話、コンビカード、ゲート及び金庫の 動作を示すシーケンス図（図 16の続き）

園 18]本発明の第 4の実施形態における携帯電話、コンビカード及びゲートの動作を 示すシーケンス図

園 19]本発明の第 4の実施形態における携帯電話、コンビカード、ゲート及び金庫の 動作を示すシーケンス図（図 18の続き）

園 20]本発明の第 4の実施形態における携帯電話、コンビカード、ゲート及び金庫の 動作を示すシーケンス図

園 21]本発明の第 4の実施形態における携帯電話、コンビカード、ゲート及び金庫の 動作を示すシーケンス図

園 22]本発明の第 4の実施形態における携帯電話、コンビカード、ゲート及び金庫の 動作を示すシーケンス図

[図 23]本発明の第 4の実施形態における携帯電話、コンビカード、ゲート及び金庫の 動作を示すシーケンス図

[図 24]本発明の第 4の実施形態における携帯電話、コンビカード、ゲート及び金庫の 動作を示すシーケンス図

[図 25]本発明の第 4の実施形態における携帯電話、コンビカード、ゲート及び金庫の 動作を示すシーケンス図

[図 26]本発明の第 4の実施形態における携帯電話、コンビカード、ゲート及び金庫の 動作を示すシーケンス図

[図 27]第 5の実施形態における会社の入場処理と退場処理とを例にした認証情報 D B例を示す図

[図 28]第 5の実施形態における携帯電話、コンビカード及びゲートの動作を示すシー ケンス図

[図 29]第 6の実施形態の認証情報 DBの内容の一例を示す図

[図 30]第 6の実施形態における携帯電話、コンビカード及びゲートの動作を示すシー ケンス図

[図 31]第 7の実施形態の構成を示すブロック図

[図 32]第 7の実施形態の認証情報 DBに設定されたデータの一例を示す図

[図 33]第 7の実施形態の端末設定管理部に設定されたデータの一例を示す図

[図 34]第 7の実施形態における携帯電話、コンビカード及びゲートの動作を示すシー ケンス図

[図 35]第 8の実施形態の構成を示すブロック図。

[図 36]第 8の実施形態における携帯電話、コンビカード及びゲートの動作を示すシー ケンス図

[図 37]第 8の実施形態の端末アプリ退避管理部における詳細処理を示すフローチヤ ート

発明を実施するための最良の形態

(第 1の実施形態） 本発明の第 1の実施形態では、セキュアデバイスである ICカードが特定エリアに位 置するときだけ、 ICカードに格納された端末アプリが、端末にインストールされる場合 について説明する。

[0021] この特定エリアの入口にはゲートが在り、ゲートアプリは、 ICカードとの認証処理に 成功すると、 ICカードに対して、端末に設定すべき端末アプリを指定する。これを受 けて、 ICカードは、適宜の時期に、保持する端末アプリの中から、指定された端末ァ プリを端末にインストールする。

[0022] 図 1は、端末 (機器 1)が携帯電話 10であり、 ICカード (機器 2)が、携帯電話 10に 装着されたチップ状のコンビカード 20である場合の、携帯電話 10、コンビカード 20 及びゲート 40 (機器 3)の構成について示してレ、る。

[0023] ゲート 40は、コンビカード 20に対して認証処理や端末アプリの指定を行うゲートァ プリ 43と、コンビカード 20への非接触通信を行う非接触通信手段（4) 41と、ゲート 40 の動作を制御する CPU42とを備えてレ、る。

[0024] コンビカード 20は、ゲート 40への非接触通信を行う非接触通信手段（3) 22と、携 帯電話 10への接触通信を行う接触通信手段（2) 21と、認証情報等が格納された認 証情報データベース（DB) 25と、他の機器 1、 3との認証処理を行う認証アプリ 24と、 携帯電話 10にインストールする端末アプリ 27や設定命令、あるいはそれらのセットで ある端末アプリ'設定命令 26と、コンビカード 20の動作を制御する CPU23とを備え ている。

[0025] また、携帯電話 10は、コンビカード 20への接触通信を行う接触通信手段（1) 11と、 携帯電話 10の動作を制御する CPU12とを備えている。

[0026] このコンビカード 20の認証情報 DB25には、図 2に示すように、ゲートアプリ 43の ID と対応付けて、認証処理に使用する共通鍵や秘密鍵等の認証情報と、携帯電話 10 へのインストールが可能な端末アプリ 27の IDや、携帯電話 10で設定すべき端末ァ プリを指定する設定命令の IDが格納されてレヽる。

[0027] 設定命令は、例えば、携帯電話 10に対する次のような指示である。 ·表示画面の背 景イメージに会社ロゴを設定する。 ·音 (着信時、アプリ実行時）に会社用の音を設定 する。 'メインメニューに、社内で使用するイントラネットアプリを追加する。 'デフォルト を内線電話に変更する（外線への発信を 0発信に変更）。 'メール機能の設定 (メール サーバアドレス、ユーザ ID、個人情報、ネットワーク設定、など）を変える。 ·会社では 特定のメールサーバにしかアクセスできなレ、。 '会社では特定のアドレスにし力メール 送信できない。 '会社では、特定のメールを読むことしかできなレ、。 'アクセス可能なァ プリサーバを制限する。 ·会社では特定のサイトにしかアクセスできない。

[0028] また、携帯電話 10へのインストールが可能な端末アプリは、携帯電話 10で保持さ れていない、設定命令の実行に必要なアプリであり、例えば、以下に示すアプリがあ る。 '設定命令に基づく表示を実行するブラウザ等のソフトウェア。例えば、会社では 、特定のサイトへのアクセスのみが可能なブラウザァプのみへ切り替える。 'メールァ プリを切り替える。例えば、会社では、メールの保存ができない特定のメールアプリし 力、使えないとか、会社では会社内でないと保存したメールが閲覧できない特定のメー ルアプリし力、使えなレ、。例えば、保存したメールは、特定のメールアプリしかアクセス できなレ、コンビカード 20セキュアメモリエリアに保存されてレ、る。

[0029] 図 3は、このゲート 40、コンビカード 20及び携帯電話 10が連携して行う処理のシー ケンスを示している。

[0030] ユーザは、所定エリアに入場する際に、コンビカード 20を装着した携帯電話 10をゲ ート 40に翳す。ゲート 40の CPU42は、非接触通信手段 41の通信圏内にコンビカー ド 20が進入すると、コンビカード 20に認証アプリ IDとゲートアプリ IDとを指定して認 証処理を要求する（1_1)。これを受けてコンビカード 20の CPU23は認証アプリ 24を 起動し、認証アプリ 24は、認証情報 DB25のゲートアプリ IDに対応する認証情報を 用いて、ゲートアプリ 43との間で、一般的なチャレンジレスポンスによる認証処理を実 行する（1_2)。認証処理に成功すると、ゲートアプリ 43は、端末アプリ IDを指定して 、その端末アプリの端末へのインストールを要求する（1_3)。指定する端末アプリ ID は複数であっても良い。

[0031] この要求を受けたコンビカード 20の認証アプリ 24は、認証情報 DB25の情報から、 その端末アプリがインストール可能であることを確認（検証）し、その旨を CPU23に伝 える。 CPU23は、携帯電話 10に端末アプリ IDを示してインストール要求を送り（2—1 )、認証アプリ 24に携帯電話 10との認証処理を行わせる（2—2)。なお、コンビカード 20を携帯電話 10に装着した時点で両者間の認証処理が既に済んでいれば、この認 証処理を省略しても良い。認証処理に成功すると、 CPU23は、該当する端末アプリ 26、 27を携帯電話 10に送信し（2-3)、携帯電話 10の CPU12は、その端末アプリ をインストールする。

[0032] このように、このゲート 40、コンビカード 20及び携帯電話 10の間では、三者の連携 により、コンビカード 20とゲート 40との認証の成功を条件に、コンビカード 20力 携帯 電話 10への端末アプリのインストールが実行される。そのため、このコンビカード 20 の動作や、携帯電話 10の端末アプリを利用する処理は、ゲート 40を通過して入場し たエリアでのみ可能になる。

[0033] なお、 ICカードの国際標準規格 (接触通信に関する IS〇7816、非接触通信に関 する IS014443)では、 ICカードのカードアプリとリーダ'ライタ側の端末アプリとのデ ータのやり取りは、端末アプリからカードアプリに送られる「コマンド」と、カードアプリか ら端末アプリに送られる「レスポンス」とが基本になると規定されている。従って、国際 標準規格を満たす ICカードは、受動的な動作しかできず、 （2-1)のインストール要 求を自ら携帯電話 10に送信することができない。

[0034] そのため、携帯電話 10は、国際標準規格を満たすコンビカード 20の場合には、ュ 一ザが携帯電話 10をゲート 40に翳した時点から、非接触通信の状態を監視するた めにコンビカード 20にポーリング信号を送り続ける。そして、コンビカード 20から非接 触通信終了の応答を受けると、コンビカード 20に対し、要求が有れば送信するように 指示し、コンビカード 20は、これに応えてインストール要求を携帯電話 10に送信する (2-1)。

[0035] こうした手順を採ることにより、国際標準規格を満たす ICカードにも対応することが できる。

[0036] なお、ここでは、 ICカードがコンビカードである場合について説明した力 ICカード が接触通信機能のみを有するときは、図 4に示すように、携帯電話 10の赤外線 (また は Bluetoothや無線 LAN)等のローカル通信手段 13を利用して、 ICカード 20とゲ ート 40との通信を行うことができる。この場合、ゲート 40が、通信手段 44と携帯電話 1 0のローカル通信手段 13との通信（赤外線)接続を確立して、携帯電話 10に ICカー ド 20へのアクセス命令を送ると、携帯電話 10は ICカード 20との接触通信接続を実 行し、ゲート 40と ICカード 20との通信が可能になる。ゲート 40、 ICカード 20及び携 帯電話 10の三者間におけるデータのシーケンスは、図 3と同じである。

[0037] また、 ICカードが非接触通信機能のみを有するときには、携帯電話 10およびゲート

40と非接触通信を用いて通信を行う。ユーザが携帯電話 10をゲート 40に翳した時 点から、ゲート 40との処理状態を監視するために非接触 ICカード 20に問合せを行う 。そして、非接触 ICカード 20は、ゲート 40との処理が終了すると、携帯電話 10に終 了通知を返し、この結果携帯電話 10は非接触 ICカード 20に対し、要求が有れば送 信するように指示し、非接触 ICカード 20は、これに応えてインストール要求を携帯電 話 10に送信する（2—1)。または、非接触 ICカード 20は、ゲート 40との処理が終了す ると、携帯電話 10に終了通知とともにインストール要求を携帯電話 10に送信する（2 一 1)。

[0038] (第 2の実施形態）

本発明の第 2の実施形態では、 ICカードとゲートとの認証成功を条件に、 ICカード に格納されたカードアプリの利用が、端末に対して許可される場合について説明する ゲートは、 ICカードとの認証に成功すると、 ICカードに、端末での利用を許容する カードアプリの IDと、ゲートを特定するゲート PIN情報とを伝え、このカードアプリ IDと ゲート PINとの対情報が ICカードに格納される。 ICカードは、端末からカードアプリを 指定して、その利用が要求されたとき、この対情報を参照して、カードアプリの利用を 許可するか否かを決定する。

[0039] 図 5は、この処理を連携して行う携帯電話 10、コンビカード 20及びゲート 40の構成 について示している。コンビカード 20は、第 1の実施形態（図 1)と同様に、非接触通 信手段（3) 22、接触通信手段（2) 21、認証情報 DB25、認証アプリ 24及び CPU23 を備え、さらに、ゲート 40との認証に成功した場合に有効になるカードアプリ 28と、力 一ドアプリ IDとゲート PINとの対情報を格納する PINDB29とを備えている。また、携 帯電話 10は、接触通信手段（1) 11、 CPU12の他に、カードアプリ 28を利用する端 末アプリ 14を備えている。ゲート 40の構成は第 1の実施形態（図 1)と変わりが無い。 [0040] このコンビカード 20の認証情報 DB25には、図 6に示すように、ゲートアプリ 43の ID と対応付けて、認証処理に使用する認証情報と、ゲート PINの設定が可能な（即ち、 ゲート 40から入場したエリアで利用可能な）カードアプリの IDと、 PIN設定を解除す る（即ち、そのエリアで利用できなくなる）カードアプリの IDとが格納されている。

[0041] ゲート 40から入場したエリアで利用可能になるカードアプリ 28は、例えば、所内の 内線番号電話帳アプリであり、コンビカード 20とゲート 40との認証が成功すると、携 帯電話 10の電話帳機能を実行する端末アプリ 14からコンビカード 20に格納された 内泉簿にアクセスできるようになる。

[0042] 図 7は、このゲート 40、コンビカード 20及び携帯電話 10が連携して行う処理のシー ケンスを示している。

[0043] ユーザがコンビカード 20を装着した携帯電話 10をゲート 40に翳すと、ゲート 40は、 コンビカード 20に認証アプリ IDとゲートアプリ IDとを示して相互間の認証処理を要求 する（1_1)。これを受けてコンビカード 20の認証アプリ 24は、認証情報 DB25のゲ ートアプリ IDに対応する認証情報を用いて、ゲートアプリ 43との認証処理を実行する (1-2)。認証処理に成功したゲートアプリ 43は、ゲート PINを設定したい（または削 除したレ、）カードアプリの IDとゲート PINとを提示して、カードアプリ IDとゲート PINと の対情報の登録ほたは削除)を認証アプリ 24に要求する（1-3)。このときゲートァ プリ 43が提示するカードアプリ IDの数は、複数であっても良い。

[0044] コンビカード 20の認証アプリ 24は、そのカードアプリ IDに該当するカードアプリ 28 にゲートアプリ IDとゲート PINとの情報を送り、確認 (検証)を要求する（2-1)。カード アプリ 28は、認証情報 DB25を参照して、ゲートアプリとの対応関係を有しているか 否か (ゲート PINの設定が可能であるか否か）を検証し、検証結果を認証アプリ 24に 返す（2— 2)。認証アプリ 24は、検証結果が OKである場合に、検証されたカードァプ リ IDとゲート PINとの対情報を PINDB29に格納し（2—3)、検証結果をゲートアプリ 4 3に通知する（2— 4)。以上がゲート通過時に行われる処理である。

[0045] 一方、携帯電話 10の端末アプリ 14がカードアプリ 24を利用する場合には、次の処 理が行われる。

[0046] 携帯電話 10の端末アプリ 14は、カードアプリ IDを提示して、コンビカード 20のカー ドアプリ 28にアクセスを要求する（3—1)。カードアプリ 28は、認証アプリ 24に、カード アプリ IDを示して検証結果を要求する（3-2)。認証アプリ 24は、 PINDB29を参照し 、そのカードアプリ IDとゲート PINとの対情報が記録されてレ、るときは OKを応答し、 記録されていないときは NGを応答する（3—3)。カードアプリ 28は、認証アプリ 24か らの応答が OKである場合に、端末アプリ 14に対してアクセスを許可する（3—5)。

[0047] こうした処理により、ユーザが正しいゲート 40から入場した場合にのみ、カードァプ リ 28の利用を可能にすることができ、例えば、ユーザがコンビカード 20等の ICカード を装着した携帯電話 10を正規のゲート 40に翳してオフィスに入場すると、 ICカード に格納されたオフィス用の内線番号電話帳アプリが自動的に有効になる。

[0048] なお、ゲートアプリ 43から提示されたカードアプリ IDが PIN設定を解除するカードア プリ IDとして認証情報 DB25に記録されている場合には、認証アプリ 24は、 PINDB 29を参照し、そこに記録されているカードアプリ IDとゲート PINとの対情報を削除す る。

[0049] このように PINDB29の削除処理を併せて行うことにより、例えば、ユーザが、入門 処理をして、あるオフィスに入場した後、別のオフィスに入門処理をして入場した場合 に、先のオフィス用の内線番号電話帳アプリが無効になり、後から入場したオフィス 用の内線番号電話帳アプリだけが有効になる。

[0050] なお、各処理のメッセージ及びデータは、第三者の盗聴を防ぐために喑号ィ匕して送 信するようにしても良い。

[0051] また、図 7において、（2— 3)の検証結果の格納は、カードアプリ IDの検証結果が O Kであることを示す情報だけを PINDB29に格納するようにしても良い。

[0052] また、コンビカード 20等の ICカードは、接触通信機能のみを有するものであっても 良い。この場合には、第 1の実施形態（図 4)で説明したように、携帯電話 10のロー力 ル通信手段を利用して ICカードとゲートとの通信を行う。また、 ICカードは、非接触 通信機能のみを有するものであっても良い。

[0053] なお、図 6に示す認証情報 DB25において、一つのゲートアプリ IDに対し、複数の カードアプリ IDが設定されている場合には、端末アプリ 14のアクセスを許容するカー ドアプリに優先度を設定することも可能である。この場合、図 8に示すように、ゲートァ プリ IDに対応して、優先度設定可能なカードアプリ ID及び優先度設定を解除できる カードアプリ IDの優先度を設定した優先設定 DBを保持する。あるいは、図 9Aに示 すように、各カードアプリ IDの優先度を優先度テンプレートで規定し、図 9Bに示すよ うにゲートアプリ IDに対応して優先度テンプレートを設定した優先設定 DBを保持す る。

[0054] そして、認証情報 DB25から、ゲートアプリ IDに対応するカードアプリ 28を選択する 場合に、優先設定 DBを参照し、優先度に基づいて選択するカードアプリ 28を決定 する。

[0055] (第 3の実施形態）

本発明の第 3の実施形態では、 ICカードとゲートとの認証成功を条件に、 ICカード に格納されたカードアプリの利用が、端末に対して許可される第 2の実施形態の構成 において、 ICカード、ゲート及び端末の三者間での処理が、第 2の実施形態と異なる 手順で行われる場合について説明する。

[0056] ここでは、図 10に示すように、機器 1が、非接触通信手段（1) 110を有するドア 100 であり、機器 2が、非接触通信手段 22のみを有する ICカード 200であるものとして説 明する。機器 1、機器 2及び機器 3のその他の構成は、第 2の実施形態（図 5)と変わり がない。

ここでは、非接触通信手段 22のみを有するが、接触通信手段のみを有しても良い

[0057] 図 11は、ゲート 40、 ICカード 200及びドア 100が連携して行う処理のシーケンスを 示している。

[0058] ユーザが ICカード 200をゲート 40に翳すと、ゲート 40は、 ICカード 200に認証ァプ リ IDとゲートアプリ IDとを示して相互間の認証処理を要求する（1—1)。これを受けて I Cカード 200の認証アプリ 24は、認証情報 DB25のゲートアプリ IDに対応する認証 情報を用いて、ゲートアプリ 43との認証処理を実行する（1—2)。認証処理に成功し たゲートアプリ 43は、ゲート PINを設定するカードアプリの IDとゲート PINとを提示し て、カードアプリ IDとゲート PINとの対情報の登録を認証アプリ 24に要求し（1—3)、 I Cカード 200の認証アプリ 24は、要求に従ってカードアプリ IDとゲート PINとの対情 報を PINDB29に登録する（1一 4)。この登録の段階では、認証情報 DB25との検証 は済んでレ、なレ、。以上がゲート通過時に行われる処理である。

[0059] 一方、ユーザが ICカード 200をドア 100に翳すと、次の処理が行われる。

[0060] ドア 100の端末アプリ 14は、端末アプリ IDとカードアプリ IDとを提示して、 ICカード

200のカードアプリ 28へのアクセスを要求する（2—1)。カードアプリ 28は、認証ァプ リ 24に、カードアプリ IDとゲートアプリ IDとを示して PINDB29の登録情報を要求し（ 2—2)、認証アプリ 24は、 PINDB29力ら、該当するカードアプリ ID及びゲート PINの 対情報を取得してカードアプリ 28に提示する（2—3)。カードアプリ 28は、認証情報 D B25を参照して、ゲートアプリとの対応関係を有している力 ^ゲート PINの設定が可能 である力 を検証し（2— 4)、検証結果が〇Kである場合に、端末アプリ 14にアクセスを 許可する（2— 5)。

[0061] カードアプリ 28にアクセスしたドア 100の端末アプリ 14は、例えば、カードアプリ 28 力 鍵情報を取得してドア 100を開錠し、ユーザは、ドア 100の通過が可能になる。

[0062] このように、ゲート 40、 ICカード 200及びドア 100が連携することにより、正しい玄関

(ゲート）から入らないと、ドアが開かないようにすることができる。

[0063] また、この PIN検証（2-4)では、カードアプリ 28が、端末アプリ 14とゲート PINとの ペアを検証することも可能であり、この場合には、ある端末アプリ 14について、特定の ゲート PINと対応していなければアクセスを許可しない（即ち、あるドアは特定の入口 力 入らないと開かない）と言う制御を行うこともできる。

[0064] また、図 12に示すように、ドア 100に PIN入力部 15を設け、ユーザが PIN入力部 1

5から入力したユーザ PINをさらに検証して、ドア 100を開けるように制御することもで きる。

[0065] 図 13は、この場合のシーケンスを示している。ゲート PINを検証する（2—4)までの 処理は、図 11の場合と同じである。ゲート PINの検証結果が〇Kである場合に、カー ドアプリ 28は、ドア 100にユーザ PINを要求し（2—5)、ユーザが PIN入力部 15から ユーザ PINを入力すると（2—6)、カードアプリ 28は、 ICカード 200の PINDB29で保 持されたユーザ PINと照合して、それを検証する（2—7)。そして、検証結果が一致す る場合に、端末アプリ 14に対してアクセスを許可する（2—8)。 [0066] (第 4の実施形態）

本発明の第 4の実施形態では、 ICカードとゲートとの認証処理が成功したことを条 件に、機器の処理が可能になる場合について説明する。

[0067] ICカードは、ゲートとの認証処理が成功すると、ゲートからゲート PINを取得し、この ゲート PINを機器に送信する。機器は、ゲート PINの検証が終了した後、処理を開始 する。

[0068] 図 14は、ゲート 40、コンビカード 20及び携帯電話 10の構成と、機器 (機器 4)が金 庫 50である場合の構成とを示している。このコンビカード 20を装着した携帯電話 10 をゲート 40に翳し、コンビカード 20とゲート 40との認証処理を行う。認証が成功した 場合に、この携帯電話 10を金庫 50に翳し、また、携帯電話 10からユーザ PINを入 力することにより、金庫 50の開錠が可能になる。

[0069] 金庫 50は、コンビカード 20への非接触通信を行う非接触通信手段（5) 51と、金庫

50の鍵の開閉を制御する鍵アプリ 53と、金庫 50の動作を制御する CPU52とを備え ている。ゲート 40、コンビカード 20及び携帯電話 10の構成は、第 2の実施形態（図 1 0)と変わりがない。

[0070] コンビカード 20を装着した携帯電話 10をゲート 40に翳すと、ゲート 40とコンビカー ド 20との間で、図 13の（1-1)から（1-4)までの処理が行われる。

[0071] 図 15は、その後、ユーザが、コンビカード 20を装着した携帯電話 10を金庫 50に翳 したときの処理シーケンスを示してレヽる。

[0072] 金庫 50の鍵アプリ 53は、カードアプリ IDを示して、コンビカード 20にカードアプリ 2 9へのアクセスを要求する（3_1)。カードアプリ 29は、カードアプリ ID及び鍵アプリ ID を提示して、認証アプリ 24にゲート PINを要求する（3_2)。認証アプリ 24は、 PIND B29を参照し、カードアプリ IDに対応するゲート PIN情報を取得してカードアプリ 29 に返す（3_3)。

[0073] 次に、カードアプリ 29は、携帯電話 10の端末アプリ 14にユーザ PINを要求する（3 —4)。端末アプリ 14は、 PIN入力画面を表示し、ユーザが PINを入力すると（3—5)、 そのユーザ PINをカードアプリ 29に送信する（3—6)。カードアプリ 29は、コンビカー ド 20の PINDB29で保持されているユーザ PIN情報と照合して、それを検証する（3 一 7)。ユーザ PINの検証結果が一致した場合は、ゲート PINを金庫の鍵アプリ 53に 送信する（3— 8)。鍵アプリ 53は、予め保持するゲート PIN情報と、カードアプリ 29か ら送られたゲート PINとを照合して検証し (3-9)、検証結果が一致する場合に、開錠 処理を実行する（3— 10)。

[0074] このように、例えば、ゲート 40が玄関に設置されている場合では、玄関での入門処 理が正しく行われたときにのみ、金庫 50の鍵が使えることになる。

[0075] なお、ユーザ PINやゲート PINの検証を行う時期、あるいは、検証を行う主体等に ついては、種々の変更が可能である。例えば、鍵アプリ 53がゲート PINの検証（3—9 )を行う代わりに、カードアプリ 29力 ユーザ PIN検証（3—8)とともに、ゲート PINの検 証を行い、検証結果を鍵アプリ 53に伝えるようにしても良い。

[0076] また、カードアプリ 29がユーザ PIN検証（3_8)を行う代わりに、入力されたユーザ P INを鍵アプリ 53に送り、鍵アプリ 53力 金庫 50に登録されたユーザ PINと照合して ユーザ PIN検証を行うようにしても良い。

[0077] また、図 16に示すように、 PIN登録 (4-4)を終了した認証アプリ 24が、端末アプリ 1 4にユーザ PINを要求し（4一 5)、入力されたユーザ PINをそのまま PINDB29に登録 (4一 8)するようにしても良い。この場合は、図 17に示すように、携帯電話 10を金庫 5 0に翳した段階で、カードアプリ 29力 PINDB29からゲート PIN及びユーザ PINを 取得し（5-3)、ユーザ PINを検証し（5-4)、ゲート PINを金庫 50の鍵アプリ 53に送 る（5— 5)。この方式では、ユーザの PIN入力が事前に済んでいるため、金庫 50の前 でのユーザの入力操作が不要になる。

[0078] また、図 18に示すように、 PIN登録 (4-4)が終了した時点で、認証アプリ 24が PIN 登録通知（ゲートアプリ ID)をカードアプリ 29に対し行なレ、（4一 5)、その通知を受け たカードアプリ 28が、携帯電話 10に対しカードアプリ IDを渡しながらユーザ PINを要 求する（4一 6)。携帯電話 10の端末アプリ 14は、ユーザ PINを入力し (4一 7)、ユーザ PINをコンビカード 20のカードアプリ 28に対し送信する。コンビカード 20では、カード アプリ 28が入力されたユーザ PINを検証して（4_9)、ユーザ PINの認証結果を認証 アプリ 24に送信する。認証アプリ 24では、カードアプリ 28からのユーザ PINの検証 結果を登録する（4一 11)ようにしてもよい。この場合は、図 19に示すように、携帯電話 10を金庫 50に翳した段階で、ユーザの検証結果をチェックする（5— 4)だけで足りる

。この方式では、ユーザ PIN検証が早い段階で行われるため、ユーザが PIN入力を 間違えていた場合に、早い段階で修正できる。

[0079] また、図 20は、コンビカード（機器 2)のカードアプリ（アプリ 2)力 ユーザ PIN要求と

、ゲート PIN検証と、ユーザ PIN検証とを行う場合のシーケンスを示している。

[0080] また、図 21は、コンビカード（機器 2)のカードアプリ（アプリ 2)力 ユーザ PIN要求と

、ユーザ PIN検証とを行レ、、金庫 (機器 4)の鍵アプリ（アプリ 5)がゲート PIN検証を行 う場合のシーケンスを示してレ、る。

[0081] また、図 22は、コンビカード（機器 2)のカードアプリ（アプリ 2)力 ユーザ PIN要求と

、ゲート PIN検証とを行い、金庫 (機器 4)の鍵アプリ（アプリ 5)がユーザ PIN検証を行 う場合のシーケンスを示してレ、る。

[0082] また、図 23は、コンビカード（機器 2)の認証アプリ（アプリ 3)力 ユーザ PIN要求を 行レ、、金庫 (機器 4)の鍵アプリ（アプリ 5)がゲート PIN検証と、ユーザ PIN検証とを行 う場合のシーケンスを示してレ、る。

[0083] また、図 24は、ユーザ PIN入力を金庫 (機器 4)力 行い、金庫 (機器 4)の鍵アプリ

(アプリ 5)がゲート PIN検証と、ユーザ PIN検証とを行う場合のシーケンスを示してい る。

[0084] また、図 25は、ユーザ PIN入力を金庫 (機器 4)力 行い、コンビカード (機器 2)の カードアプリ（アプリ 2)力 ユーザ PIN検証を行い、金庫 (機器 4)の鍵アプリ（アプリ 5

)がゲート PIN検証を行う場合のシーケンスを示している。

[0085] また、図 26は、ユーザ PIN入力を金庫 (機器 4)力 行い、コンビカード (機器 2)の カードアプリ（アプリ 2) ゲート PIN検証を行い、金庫 (機器 4)の鍵アプリ（アプリ 5) がユーザ PIN検証を行う場合のシーケンスを示している。

[0086] コンビカード (機器 2)のカードアプリ（アプリ 2)でゲート PINを検証する場合は、ゲ ート PINが変わった場合に、カード内に格納されたゲート PINを変更すれば足りる。 また、ゲートアプリ（アプリ 4)と鍵アプリ（アプリ 5)の組み合わせでアクセス制御を行う こと力 Sできる。

[0087] また、金庫 (機器 4)の鍵アプリ（アプリ 5)でゲート PINを検証する場合は、新しい金 庫 (機器 4)が追加された時に、その金庫にゲート PIN情報を登録するだけで足りる。 また、金庫を削除するときに、カードの設定を変える必要がない。

[0088] また、コンビカード (機器 2)のカードアプリ（アプリ 2)でユーザ PINを検証する場合 は、ユーザがユーザ PINを変えたい場合に、コンビカード (機器 2)に格納されている ユーザ PINを変更するだけで足り、わざわざユーザ PINを換えたレ、機器 (例えば金 庫）のところに赴いて変えなくても済む。また、一つのユーザ PINが複数の機器（ドア など）に対応している場合でも、ドアごとにユーザ PINを設定して回らなくて済む。ま た、図 18に示すように、ユーザ PINを事前入力する場合に、ユーザ PINの入力時に 金庫 (機器 4)無しで検証が行えるので、金庫に翳してからユーザ PINの再入力が必 要になるような事態は発生しなレ、。

[0089] また、金庫 (機器 4)の鍵アプリ（アプリ 5)でユーザ PINを検証する場合は、金庫で ユーザ PINを管理しているので、何人のユーザが登録されているのかが容易に把握 できる。

[0090] また、本実施形態では、機器 4を金庫、カードアプリとして鍵アプリを想定した力 機 器 4をビデオやセットトップボックス（STB)、カードアプリとして、決済カードアプリや、 有料放送録画予約アプリ、有料放送受信操作アプリを想定してもよい。こうすることに より、正しく玄関の鍵の処理をしていないと、 STB (PC)を介した決済処理（決済カー ドアプリ）ができない、ビデオ録画予約（その解除）（有料放送録画アプリ）ができない 、といったサービスも可能である。

[0091] また、機器 4を車の防犯モジュールとした場合、正しく玄関の鍵を閉じる処理をした カードアプリと防犯モジュール (機器 4)で正しいチェックイン処理をしないまま、車の ドアを開けたり、車のエンジンをかけたり、車のオーディオを外したりすると防犯ベル が鳴るといったサービスも可能である。

[0092] なお、実施形態では、主に、 ICカードを携帯電話に装着する場合について説明し た力 本発明はこれに限定されるものではなレ、。携帯電話に代えて、 PDA (Personal Digital Assistant)、メール端末、小型パーソナルコンピュータ、ゲーム機など、各種の 端末装置 ·情報処理装置を用いることができる。また、 ICカードは、国際標準規格を 満たすものでも、満たさないものでも使用可能である。セキュアデバイスの形状は、力 ード状でもチップ状でも良ぐ情報処理装置に坦め込む形態であっても良い。また、 I cカードは接触通信手段のみを有しても良い。

[0093] (第⁵の実施形態）

次に、本発明の第 5の実施形態について説明する。第 5の実施形態は、通信方式 に応じてインストール可能なあるいは削除する端末アプリおよび設定命令の設定を 変えるようにしたものである。なお、構成自体は、図 1に示す実施形態 1のものと同じ であるので、図 1を参照して説明する。

[0094] 図 1に示すように、第 5の実施形態でも、第 1の実施形態と同様に、端末 (機器 1)で ある携帯電話 10と、 ICカード (機器 2)である携帯電話 10に装着されたチップ状のコ ンビカード 20と、ゲート機器 (機器 3)であるゲート 40から構成されている。

[0095] そして、第 5の実施形態の場合、 ICカード (機器 2)であるコンビカード 20が複数通 信方式に対応した近距離無線通信機能を有する非接触通信手段 22を有しており、 通信方式によってンストール可能なあるいは削除する端末アプリおよび設定命令の 設定を変えるようにしている。

[0096] ここでは、一例として、会社の入場処理と退場処理とで、異なる通信方式を用いて 端末アプリおよび設定命令の設定を変える例について説明する。

[0097] 図 27は、第 5の実施形態における会社の入場処理と退場処理とを例にした認証情 報 DB25の一例を示す。

[0098] 図 27の例では、通信方式として IS〇14443typeA等の独自通信方式 Aと、 IS014 443typeB等の独自通信方式 Bとの 2つがあり、独自通信方式 Aの場合、インスト一 ル可能な端末アプリ IDとして端末アプリ 1ID (個人用メーラ）および端末アプリ 2ID ( ゲーム）、インストール可能な設定命令 IDとして個人のネットワーク設定や、壁紙、通 常通話モード等の設定命令 5ID、削除する端末アプリ IDとして端末アプリ 3ID (内線 番号閲覧ブラウザ)、削除する設定命令 IDとして (会社用設定である会社のネットヮー ク設定、壁紙、内線モード等の設定命令 7IDがあることを示している。

[0099] また、独自通信方式 Bの場合、インストール可能な端末アプリ IDとして端末アプリ II D (会社用メーラ）および端末アプリ 3ID (内線番号閲覧ブラウザ）があり、インストール 可能な設定命令 IDとして設定命令 7ID (会社用設定：会社のネットワーク設定、壁紙 、内線モード)、削除する端末アプリ IDとして端末アプリ 1ID (個人用メーラ）および端 末アプリ 2ID (ゲーム）、削除する設定命令 IDとして設定命令 5ID (個人のネットワーク 設定、壁紙、通常通話モード)があるものとする。

[0100] これにより、同一のゲートアプリ 43から命令が来ても、あるいはアプリ IDにかかわら ず、通信方式に応じて、設定を変更することができる。

[0101] 例えば、図 27の例では、例えば、 DBテーブルの ID1が出口、 ID2が入り口の処理 とする。 ID1の入り口と、 ID2の出口とでは、ゲートアプリ IDは同じだ力 S、通信方式が 独自通信方式 Aと、独自通信方式 Bとで異なるものとする。なお、ゲートアプリ IDはな くてもよく、ゲートアプリ IDでなぐゲート機器 IDでもよい。

[0102] この例の場合、個人用アプリとして、個人用メーラ（アプリ 1)、ゲーム（アプリ 2)、会 社用アプリとして、会社用メーラ（アプリ 4)、コンビカード 20内に格納された内線番号 データにアクセスできる内線電話番号閲覧ブラウザ（アプリ 3)があり、入口（2)と、出 口（1)で削除またインストールされる。

[0103] また、設定命令も、会社用、個人用があり、例えば、アクセス可能なネットワークの設 定ゃ、壁紙、通話モードなどが切り替えられる。

[0104] 次に図を参照して動作を説明する。

[0105] 図 28は、第 5の実施形態における携帯電話、コンビカード及びゲートの動作を示す シーケンス図である。

[0106] 本実施形態の場合、機器 2であるコンビカード 20の非接触通信手段（3) 22が、機 器 3であるゲート 40の非接触通信手段 (4) 41と非接触通信を行い、機器 3であるゲ ート 40から機器 2であるコンビカード 20に対し、処理要求が送信された場合（6-1)、 コンビカード 20の CPU23は、その非接触通信の通信方式を検出し（6—2)、機器 3 であるゲート 40との間で認証処理を行い（6—3)、認証情報 DB25の認証情報を参照 して認証処理を確認する（6— 4)。

[0107] コンビカード 20の CPU23は、認証処理が確認できた場合、機器 3であるゲート 40 に対し、認証した処理を通知する（6—5)。これにより、ゲート 40では、機器 2であるコ ンビカード 20に対しインストールするアプリや設定命令を確認することができる。なお 、この通知は、省略しても勿論よい。そして、ゲート 40は、その処理通知を受けて、通 信方式に応じてゲートアプリ 43に対応したゲートを開く（6_6)。

[0108] 一方、コンビカード 20の CPU23は、接触通信手段（2) 21を介し、機器 1である携 帯電話 10に対し、検出した通信方式に応じて、インストール可能なあるいは削除する 端末アプリ IDおよび設定命令 IDの設定要求を送信し (6— 7)、認証処理を行う (6-8

[0109] そして、認証できた場合には、コンビカード 20の CPU23は、接触通信手段（2) 21 を介し、機器 1である携帯電話 10に対し、検出した通信方式に応じて、インスト一ノレ 可能なあるいは削除する端末アプリ IDおよび設定命令 IDを送信し (6— 9)、携帯電 話 10では、コンビカード 20とゲート 40との間の通信方式に応じたインストール可能な あるいは削除する端末アプリ IDおよび設定命令 IDを、機器 2の CPU23からの指示 に従いインストールまたは削除し（6—10)、その結果をコンビカード 20へ通知する（6

-ι ι

[0110] これにより、携帯電話 10へは、コンビカード 20とゲート 40との間の通信方式に応じ た端末アプリ IDおよび設定命令 IDをインストールしたり、あるいは通信方式に応じて 削除することが可能となる。

[0111] なお、コンビカード 20と機器 1である携帯電話 10との間の認証処理は、インスト一 ル可能なあるいは削除する端末アプリ IDおよび設定命令 IDの設定要求の前に行つ ても良い。また、コンビカード 20と機器 1である携帯電話 10に装着した時点で認証処 理する場合には、コンビカード 20と携帯電話 10との間の認証処理は、不要となる。

[0112] このように、第 5の実施形態によれば、通信方式に応じて、携帯電話 10にインスト一 ルゃ、携帯電話 10から削除する端末アプリや設定命令を変更することにより、場所だ けでなく、通信方式に応じても、携帯電話 10の機能を変更することができる。

[0113] なお、本実施形態では、通信方式に応じてインストール可能なあるいは削除する端 末アプリおよび設定命令の設定を変える機能を CPU23に持たせている力 S、認証ァ プリ 24にこのような機能を持たせるようにしても勿論良い。

[0114] (第 6の実施形態）

次に、本発明の第 6の実施形態について説明する。第 6の実施形態は、通信方式 に応じて有効および無効 (使用禁止）にするカードアプリを変えるようにしたものであ る。なお、構成自体は、カードアプリを使用する図 5に示す第 2の実施形態や、図 10 に示す第 3の実施形態、図 12に示す第 3の実施形態のものと同じであるので、図 1を 参照して説明する。

[0115] 機器 2であるコンビカード 20が、複数の近距離無線通信機能を有する非接触通信 手段（3) 22を有する場合、通信方式によってカードアプリの有効または無効を変える こと力 Sできる。ここで、カードアプリを無効にする、とは、例えば、 RZW (リードライタ） 力、ら ICカードに IS07816規格のセレクトコマンドを送っても、 ICカード力、ら応答を返 さない状態をいう。

[0116] ここで、近距離無線によって、用途が限定される場合がある。例えば、 IS014443 タイプ Aは金融用途、 IS014443タイプ Bは公共向け用途、 JICSAP2.0は交通向け 等の特定エリア用途などと限定されている。

[0117] このように、通信方式に応じて携帯電話 10の端末アプリ 14からコンビカード 20の力 一ドアプリ 28へのアクセスを制限することで、ユーザが分野外のどのカードアプリ 28 を格納しているかゲート 40等の R/W (リードライタ）に分からないようにする。例えば 、カードアプリ IDは公知なものなので、どの R/W (リードライタ）でも、 IS07816規格 のセレクトコマンドを送ると、コンビカード 20等の ICカードからの応答でカードアプリの 有無が分かってしまう。

[0118] つまり、公共のサービス用の R/W (リードライタ） 、そのユーザがどんなクレジット カードアプリをもっているかという個人情報を、ユーザに知られずに取得することが可 能となる。

[0119] そこで、この第 6の実施形態では、通信方式に応じて、無効、すなわち使用禁止に するアプリ IDを設定できるようにしたものである。

[0120] 図 29は、第 6の実施形態の認証情報 DB25の内容の一例を示す図である。

[0121] 図 29において、通信方式が IS〇14443typeBの場合、無効にするアプリ IDはカー ドアプリ 3ID (クレジットカード）、通信方式が IS〇14443typeAの場合、無効にする アプリ IDはカードアプリ 1ID (運転免許証）、通信方式力 SJICSAP2.0の高速コマンド 仕様の場合、無効にするアプリ IDはカードアプリ 3ID (クレジットカード）であるとする。

[0122] 次に図を参照して動作を説明する。 [0123] 図 30は、第 6の実施形態における携帯電話、コンビカード及びゲートの動作を示す シーケンス図である。

[0124] 本実施形態の場合、機器 2であるコンビカード 20の非接触通信手段（3) 22が、機 器 3であるゲート 40の非接触通信手段 (4) 41と非接触通信を行い、機器 3であるゲ ート 40から機器 2であるコンビカード 20に対し、リクエストコマンドが送信された場合（ 7—1)、コンビカード 20の CPU23は、その非接触通信の通信方式を検出し（7—2)、 通信方式を検出できた場合、応答コマンドを返す（7— 3)。

[0125] そして、機器 3であるゲート 40からカードアプリのセレクトコマンドが送信された場合 には（7—4)、コンビカード 20の CPU23は、認証情報 DB25を参照してアクセス可否 を確認し（7—5)、セレクトコマンド応答を、機器 3であるゲート 40に対し返す（7—6)。

[0126] つまり、コンビカード 20の CPU23は、認証情報 DB25に格納された図 29の認証情 報を参照し、ゲート 40から指定されたカードアプリ ID力 コンビカード 20とゲート 40と の間の通信方式に対応した無効にするアプリ IDに指定されていなければ正常応答 を返し、指定されていればエラー応答を、セレクトコマンド応答とし、ゲート 40に対し 返すようにする。

[0127] 例えば、コンビカード 20とゲート 40との間の通信方式が IS014443typeBであり、 ゲート 40から指定されたカードアプリ IDが、カードアプリ 3ID (クレジットカード）の場 合は、図 29に示す認証情報 DB25の内容を参照すると、無効にするアプリ IDである ため、コンビカード 20はゲート 40に対し、セレクトコマンド応答としてエラー応答を返 す。通信方式力 SJICSAP2.0の高速コマンド仕様の場合も同様である。

[0128] これに対し、コンビカード 20とゲート 40との間の通信方式が IS014443typeBであ り、ゲート 40から指定されたカードアプリ ID力 カードアプリ 1ID (運転免許証）の場 合は、図 29に示す認証情報 DB25の内容を参照すると、無効にするアプリ IDには該 当しないため、コンビカード 20はゲート 40に対し、セレクトコマンド応答として正常応 答を返す。

[0129] これにより、コンビカード 20とゲート 40との間の通信方式に応じて有効および無効（ 使用禁止）にするカードアプリ 28が変わるので、携帯電話 10の端末アプリ 14は、コン ビカード 20とゲート 40との間の通信方式に応じて、コンビカード 20におけるカードア プリ 20にアクセスできる場合と、アクセスできない場合とが生じることになる。

[0130] このように、第 6の実施形態によれば、コンビカード 20とゲート 40との間の通信方式 に応じてコンビカード 20内の端末アプリ 27の無効にするアプリ IDを設定できるように したため、通信方式に応じてコンビカード 20等の ICカードへのアクセス制限をするこ とで、ユーザが分野外のどのアプリを格納しているかゲート 40等の R/W (リードライ タ）に分からないようにすることができる。

[0131] なお、この第 6の実施形態では、通信方式に応じて無効にするアプリ IDを指定する ように説明したが、この第 6の実施形態と、前述の第 5の実施形態とを組み合わせて、 機器 2であるコンビカード 20と、機器 3であるゲート 40との間の 1回の通信方式の検 出および認証処理により、通信方式に応じて、インストールまたは削除する端末アブ リ IDおよび設定命令 ID、および無効にするアプリ IDを同時に変えるようにしても勿論 よい。

[0132] また、この第 6の実施形態では、機器 2であるコンビカード 20の CPU23にコンビ力 ード 20とゲート 40との間の通信方式に応じてコンビカード 20内の端末アプリ 27の無 効にするアプリ IDを設定する機能を持たせた力 コンビカード 20の認証アプリ 24等 にかかる機能を持たせても勿論良レ、。

[0133] (第⁷の実施形態）

次に、本発明の第 7の実施形態について説明する。第 7の実施形態は、前回、機器 2であるコンビカード 20と機器 1である携帯電話 10との間で有効にした設定が正しく 無効化されていれば、今回、機器 3であるゲート 40と、機器 2であるコンビカード 20と の認証を許可するようにしたものである。

[0134] 図 31は、第 7の実施形態の構成を示すブロック図である。

[0135] この第 7の実施形態では、機器 2であるコンビカード 20に端末設定管理部 210を設 け、端末設定管理部 210により前回の機器 1である携帯電話 10と機器 2であるコンビ カード 20で有効にした設定が、正しく無効化されていれば、今回、機器 3であるグー ト 40と機器 2であるコンビカード 20との間の認証を許可するようにしたものである。な お、端末設定管理部 210は、認証アプリ 24と一体でも勿論よいし、 CPU23と一体で も勿論よい。その他の構成は、図 1に示す実施形態 1等のものと同じであるので、図 1 の構成と同一符号を付して説明を省略する。

[0136] 図 32に、第 7の実施形態の認証情報 DB25に設定されたデータの一例を示す。

[0137] 認証情報 DB25には、 ID1、 ID2それぞれのデータが設定されている。

[0138] ID1の場合、 www.app.co.JP/gatel、通信方式は IS〇14443typeB、有効時間 は 5 ; 00時間、インストール可能な端末アプリ IDおよび設定命令 IDとして端末アプリ 3 ID (内線番号閲覧ブラウザ)および設定命令 7ID (会社用設定：会社のネットワーク 設定、壁紙、内線モード）、削除する端末アプリ IDおよび設定命令 IDとして端末アブ リ 2ID (ゲーム）および設定命令 5ID (個人のネットワーク設定、壁紙、通常通話モード )が設定されている。

[0139] また、 ID2の場合、 www. app. co. JP/gate2、通信方式は UWB (Ultra WIDe

Band)、有効時間は制限なし、インストール可能な端末アプリ IDおよび設定命令 I Dとして端末アプリ 2ID (ゲーム）および設定命令 5ID (個人のネットワーク設定、壁紙 、通常通話モード)、削除する端末アプリ IDおよび設定命令 IDとして端末アプリ 3ID ( 内線番号閲覧ブラウザ）および設定命令 7ID (会社用設定：会社のネットワーク設定、 壁紙、内線モード)が設定されている。

[0140] 図 33に、第 7の実施形態の端末設定管理部 210に設定されたデータの一例を示 す。

[0141] 端末設定管理部 210に設定されたデータでは、 ID1として、機器 3の IDが www. a pp. co. jp/ gatetermmall、ケート,プリ ID力、 www. app. co. jp/ gateapp丄、機 器 1の IDが www. app. co. jp/terminall,設定時のタイムスタンプが 2004/12 /24 15 : 32 : 02、有効時間が 5 : 00時間、認証情報 DB25の IDが 1、インスト一ノレ した時の端末アプリ IDが端末アプリ 3ID (内線番号閲覧ブラウザ）、インストールした 設定命令 IDが設定命令 7ID (会社用設定：会社のネットワーク設定、壁紙、内線モ 一ド)、削除した端末アプリ IDが端末アプリ 2ID (ゲーム）、削除した設定命令 IDが設 定命令 5ID (個人のネットワーク設定、壁紙、通常通話モード)、設定処理結果が正常 である、等のデータが、認証アプリ 24から端末設定管理部 210への設定通知処理に より格納される（図 34の 8—14)。

[0142] それ以外に、端末設定管理部 210に設定されたデータでは、図 33に示すように、 復活通知時のタイムスタンプとして 2004/12/24 20 : 32 : 02、復活処理結果とし て正常力 機器 1の CPU12から機器 2の認証アプリ 24への復活通知結果に基づく 認証アプリ 24から端末設定管理部 210への復活結果通知処理により格納される（図 34の 8— 20)。

[0143] 次に図を参照して動作を説明する。

[0144] 図 34は、第 7の実施形態における携帯電話、コンビカード及びゲートの動作を示す シーケンス図である。

[0145] まず、インストール時の処理から説明すると、本実施形態の場合、機器 2であるコン ビカード 20の非接触通信手段（3) 22が、機器 3であるゲート 40の非接触通信手段（ 4) 41と非接触通信を行レ、、機器 3であるゲート 40のゲートアプリ 43から機器 2である コンビカード 20の認証アプリ 24に対し、認証要求が送信された場合（8—1)、コンビ力 ード 20の認証アプリ 24は、機器 3であるゲート 40との間で認証処理を行う（8— 2)。

[0146] そして、認証処理が OKであった場合、コンビカード 20の認証アプリ 24は、前回の 結果を端末設定管理部 210に対し要求し (8— 3)、端末設定管理部 210は、前回の 結果が OKであれば、認証アプリ 24に対し前回結果 OKを返す（8— 4)。

[0147] すると、認証アプリ 24は、ゲート 40のゲートアプリ 43に対し、前回結果 ΟΚを通知し て（8—5)、ゲート 40のゲートアプリ 43は、ゲートをオープンにする（8—6)。なお、機 器 2であるコンビカード 20と、機器 3であるゲート 40との間の非接触通信での認証時 に前回の端末設定の結果を取得した際、前回有効にした設定が正しく無効化されて レ、なレ、場合は、認証を許可しなレ、ようにする。

[0148] また、コンビカード 20の認証アプリ 24は、前回結果 ΟΚの場合、機器 1である携帯 端末 10に対しインストール要求を送信し（8—7)、携帯端末 10の CPU12との間で認 証処理を実行する（8— 8)。

[0149] 認証処理が〇Κの場合、コンビカード 20の認証アプリ 24は、機器 1である携帯端末

10に対し、端末アプリ 27を送信し (8-9)、携帯端末 10はその端末アプリ 27を受信し てインスト一ノレする（8—10)。

[0150] そして、携帯端末 10の CPU12は、コンビカード 20から受信した端末アプリ 27がィ ンストールできた場合は、インストール結果〇Κの通知をコンビカード 20の認証アプリ 24に対し行ない（8-11)、認証アプリ 24は、端末設定管理部 210に対し設定通知を 行なう（8— 13)。

[0151] 端末設定管理部 210は、認証アプリ 24からの設定通知により、図 33に示す ID、機 器 3の ID、ゲートアプリ ID、機器 1の ID、設定時のタイムスタンプ、有効時間、認証情 報 DBの ID、インストールした時の端末アプリ ID、インストールした設定命令 ID、削除 した設定命令 ID、設定処理結果を格納し (8— 14)、かかるデータの格納後、格納結 果 OKの通知を認証アプリ 24に対し行う（8_15)。

[0152] 一方、携帯端末 10では、ンストール結果〇Kの通知をコンビカード 20の認証アプリ

24に対し行なった（8—11)後、タイマー管理を行う（8—16)。ここで、このタイマー管 理を行う代わりに、コンビカード 20の端末設定管理部 210が認証アプリ 24に対し格 納結果を通知（8-15)した後に、認証アプリ 24がタイマー管理を行レ、、後述する機 器 1の携帯端末 10における復活処理（8-17)の前に機器 2の認証アプリ 24から機器 1の CPU12に対し復活命令を行うようにしても良い。これで、インストール時の処理 が終了する。

[0153] 一方、復活時の処理は、機器 1である携帯端末 10にて、復活処理、すなわちインス トールした端末アプリ'設定命令の削除処理を行った場合 (8-17)、携帯端末 10の C PU12は、復活結果 ΟΚの通知をコンビカード 20の認証アプリ 24に対し行う（8— 18)

[0154] ここで、復活時の処理の際、インストールされた端末アプリを削除する力 例えば、 有効時間内に出口処理をした場合などは、インストールされた端末アプリがすでに削 除されている場合もある。このような場合にも、復活結果〇Κ、もしくは削除済みをコン ビカード 20の認証アプリ 24に対し行うようにする。

[0155] 機器 2であるコンビカード 20の認証アプリ 24は、携帯端末 10の CPU12からの復活 結果 ΟΚの通知を受けて、復活結果通知を端末設定管理部 210へ送信する（8— 19)

[0156] 端末設定管理部 210では、認証アプリ 19からの復活結果通知を受けると、例えば、 図 33に示す復活通知時のタイムスタンプ、および復活処理結果を認証情報に格納 し（8—20)、格納結果〇Κであれば、その格納結果 ΟΚを認証アプリ 24に通知する（ 8_21)。

[0157] なお、よりセキュアにするためには、携帯端末 10の CPU12から機器 2であるコンビ カード 20の認証アプリ 24に対する復活結果 OKの通知処理（8-18)の前か後ろに 認証処理を入れるようにしても勿論良い。

[0158] このように、第 7の実施形態によれば、前回、機器 2であるコンビカード 20と機器 1で ある携帯電話 10との間で有効にした設定が正しく無効化されていれば、今回、機器 3であるゲート 40と、機器 2であるコンビカード 20との認証を許可する一方、前回、機 器 2であるコンビカード 20と機器 1である携帯電話 10との間で有効にした設定が正し く無効化されていない場合には、今回、機器 3であるゲート 40と機器 2であるコンビ力 ード 20との認証を許可しないようにしたので、毎回、毎回、機器 1と機器 2との間で有 効にした設定が正しく無効にした力を確認してから、機器 3と機器 2との認証を許可す ること力 Sでき、よりセキュリティを向上させることができる。

[0159] また、この第 7の実施形態では、端末設定管理部 210は、前回の端末設定の結果 を管理する際、設定した内容である設定命令やインストールを認証情報に格納すると 共に、有効時間後に削除 (無効化)命令を出して削除を確認すると共に、端末 1であ る携帯端末 10がタイマー管理しているその有効時間に基づいて削除管理通知を受 け付け、前回の設定である図 33に示す設定内容等を履歴として認証情報に格納す るようにしたので、次回ゲート認証時にその認証情報を参照することにより確実に前 回の履歴を提供することができる。

[0160] なお、この第 7の実施形態では、認証アプリ 24とは別に、端末設定管理部 210を設 けて説明したが、端末設定管理部 210は、認証アプリ 24と一体、すなわちその一機 能として設けたり、さらには CPU23と一体、すなわちその一機能として設けるようにし ても勿論よい。

[0161] (第 8の実施形態）

次に、本発明の第 8の実施形態について説明する。第 8の実施形態は、機器 1であ る携帯電話のメモリ容量確保等のため、携帯電話の端末アプリを退避させた場合、 機器 2であるコンビカードがその端末アプリを関して、設定解除処理の際に、インスト ールし直すようにしたものである。 [0162] 図 35は、第 8の実施形態の構成を示すブロック図である。

[0163] 図 35において、第 8の実施形態の場合、機器 1である携帯電話 10は、携帯電話 10 における端末アプリの退避を管理する端末アプリ退避管理部 120をさらに有してレ、る 。また、機器 2であるコンビカード 20は、携帯電話 10における端末アプリの退避を管 理した際の端末の設定を管理する端末設定管理部 220をさらに有している。なお、 その他の構成は、図 1などに示すものと同じであるので、同一符号を付してその説明 は省略する。

[0164] つまり、この第 8の実施形態では、携帯電話 10からの端末アプリの退避する場合は 、機器 2であるコンビカード 20からインストール要求受信時に、携帯電話 10の端末メ モリ（図示せず）の容量が少なぐ新たに端末アプリ 27をインストールできない場合は 、端末設定管理部 220と、端末アプリ退避管理部 120とで、認証を行う。そして、その 認証に成功すれば、携帯電話 10がインストールしている端末アプリと、その端末アブ リが保持するデータとを、端末設定管理部 220が機器 1の端末アプリ退避管理部 12 0からしかアクセスできないセキュアな領域、例えば、 ICカード 20のタンパ領域または ICカード 20の喑号ィ匕されたフラッシュメモリ領域などに格納する。また、認証時に鍵 生成を行い、その鍵情報に基づレ、て暗号化して保存してもよレ、。

[0165] 機器 1である携帯電話 10にて退避する端末アプリの選択方法は、機器 1で端末ァ プリに優先順位をつけて保持しておぐあるいは機器 2であるコンビカード 20から例え ば、インストール要求に含めて退避するアプリを指定する等がある。

[0166] 一方、復活時は、機器 2であるコンビカード 20から設定解除命令時に、コンビカード

20に退避されたアプリがあれば、設定解除処理確認後に、退避された端末アプリの 復活命令を送り復活のための認証処理を行わせる。そして、端末設定管理部 220と 端末アプリ退避管理部 120との間で認証を行い、その認証が成功すれば、退避され た端末アプリと、そのデータとを端末アプリ退避管理部 120に送信し、端末アプリ退 避管理部 120がその端末アプリの再インストール、端末アプリデータのリストアを行う

[0167] なお、この第 8の実施形態においても、前述の第 7の実施形態と同様に、機器 2で あるコンビカード 20と、機器 3であるゲートとの間の非接触通信での認証時に、前回 の端末設定の結果を取得して、前回機器 1と機器 2との間で有効にした設定が正しく 無効化されている場合のみ、今回の機器 2であるコンビカード 20と機器 3であるゲー トとの間の認証を許可するようにしても勿論よい。

[0168] 次に図を参照して動作を説明する。

[0169] 図 36は、第 8の実施形態における携帯電話、コンビカード及びゲートの動作を示す シーケンス図である。

[0170] まず、端末アプリおよびそのデータの退避時の処理から説明すると、本実施形態の 場合、機器 2であるコンビカード 20の非接触通信手段（3) 22が、機器 3であるゲート 40の非接触通信手段 (4) 41と非接触通信を行レ、、機器 3であるゲート 40のゲートァ プリ 43から機器 2であるコンビカード 20の認証アプリ 24に対し、認証要求が送信され た場合（9—1)、コンビカード 20の CPU23は、機器 3であるゲート 40との間で認証処 理を行う（9一 2)。

[0171] そして、認証処理が OKであった場合、コンビカード 20の認証アプリ 24は、前回の 結果を端末設定管理部 220に対し要求し（9 3)、端末設定管理部 220は、前回の 結果が OKであれば、認証アプリ 24に対し前回結果 OKを返す（9 4)。

[0172] すると、認証アプリ 24は、ゲート 40のゲートアプリ 43に対し、前回結果 ΟΚを通知し て（9—5)、ゲート 40のゲートアプリ 43は、ゲートをオープンにする（9—6)。なお、この 機器 2であるコンビカード 20と機器 3であるゲート 40との間の非接触通信での認証時 に前回の端末設定の結果を取得した際、前回有効にした設定が正しく無効化されて レ、なレ、場合は、認証を許可しなレ、ようにする。

[0173] また、コンビカード 20の認証アプリ 24は、前回結果 ΟΚと判断された場合、機器 1で ある携帯端末 10に対しインストール要求を送信する（9一 7)。

[0174] すると、携帯端末 10の CPU12は、端末アプリ退避管理部 120に対しインストール 可否を問い合わせ（9—8)、端末アプリ退避管理部 120がインストールの可否を判断 する（9—9)。そして、インストール可と判断した場合、端末アプリ退避管理部 120は、 コンビカード 20の端末設定管理部 220に対し、アプリ退避要求を送信して（9一 10)、 端末アプリ退避管理部 120と端末設定管理部 220との間で認証処理を行う（9-11) [0175] その認証結果が OKの場合、端末アプリ退避管理部 120は、携帯電話 10から退避 させるべき端末アプリおよびそのデータを、コンビカード 20側の例えば端末設定管理 部 220に対し送信し（9一 12)、端末設定管理部 220に退避させるべき端末アプリおよ びそのデータを格納させる（9一 13)。

[0176] そして、その格納処理が無事終了した場合、コンビカード 20の端末設定管理部 22 0は、格納〇Kの結果通知を、携帯端末 10の端末アプリ退避管理部 120に対し送信 し（9— 14)、端末アプリ退避管理部 120は、 CPU12に対し応答可力 ^返信する（9— 15)。

[0177] すると、携帯電話 10の CPU12は、コンビカード 20の認証アプリ 24との間で認証処 理を実行し（9—16)、その認証処理が ΟΚの場合には、コンビカード 20の認証アプリ 24から携帯電話 10の CPU12に対し新たにインストールする端末アプリが送信され（ 9一 17)、送信された端末アプリを受信してインストールする（9一 18)。

[0178] 携帯電話 10の CPU12は、コンビカード 20から受信した端末アプリ 27がインスト一 ルできた場合は、インストール結果 ΟΚの通知をコンビカード 20の認証アプリ 24に対 し行ない（9一 19)、認証アプリ 24は端末設定管理部 220に対し設定通知を行なう（9 一 20)。

[0179] 端末設定管理部 220は、認証アプリ 24からの設定通知により、第 7の実施形態と同 様に、図 33に示す ID、機器 3の ID、ゲートアプリ ID、機器 1の ID、設定時のタイムス タンプ、有効時間、認証情報 DBの ID、インストールした時の端末アプリ ID、インスト ールした設定命令 ID、削除した設定命令 ID、設定処理結果を格納する（9一 21)。

[0180] 端末設定管理部 220は、力かるデータの格納後、格納結果 OKの通知を認証アブ リ 24に対し行う（9—22)。これで、携帯電話 10において先に保存されている端末アブ リをコンビカード 20へ退避しての新たな端末アプリのインストール時の処理が終了す る。なお、第 7の実施形態と同様に、コンビカード 20では、端末設定管理部 220は、 認証アプリ 24または CPU23と一体でも勿論よい。

[0181] 次に、復活時の処理について説明する。

[0182] 復活時の処理は、機器 1である携帯端末 10の CPU12が、まず、タイマー管理によ りインストールした端末アプリの削除処理を行い（9_23)、その削除処理が終了した 場合、端末アプリ退避管理部 120に対し、復活要または不要の問い合わせを行う（9 24)。

[0183] 端末アプリ退避管理部 120は、その問い合わせを受けて、復活要または不要の判 断を行い（9—25)、端末アプリを退避させており復活をする必要がある場合は、コン ビカード 20の端末設定管理部 220に対し復活要急を送信し（9—26)、端末アプリ退 避管理部 120と端末設定管理部 220との間で認証処理を行う（9—27)。

[0184] その認証処理の結果、認証が〇Kの場合は、端末設定管理部 220は端末アプリ退 避管理部 120に対し退避させていた端末アプリおよびその端末データのデータを送 信し（9一 28)、端末アプリ退避管理部 120はその退避させていた端末アプリおよびそ の端末データのデータを受信してメモリ等にインストールして復活し（9_29)、復活結 果を端末設定管理部 220に対し送信する（9一 30)。

[0185] すると、端末設定管理部 220は、端末アプリ退避管理部 120からの復活結果を、例 えば、図 33に示す認証情報等に格納し（9-31)、格納結果 ΟΚであれば、その格納 結果 ΟΚを端末アプリ退避管理部 120へ通知する（9-32)。端末アプリ退避管理部 1 20は、 CPU12に対し復活完了通知を行い（9-33)、復活時の処理が終了する。

[0186] なお、端末アプリ退避管理部 120と端末設定管理部 220との間の認証処理（9 - 11 )は、端末アプリ退避管理部 120から端末設定管理部 220へのアプリ退避要求（9-1 0)の前でもよぐ携帯電話 10の CPU12と、コンビカード 20の認証アプリ 24との間の 認証処理（9-16)は、認証アプリ 24力も携帯電話 10の CPU12へのインストール要 求（9 7)の前でもよい。また、復活時の処理における端末アプリ管理部 120と認証ァ プリ 24との間における認証処理は、 CPU12から復活要または不要の問い合わせを 受ける（9—24)前に実行しても良レ、。さらに、機器 2であるコンビカード 20を機器 1で ある携帯電話 10に装着した時点で認証する形態をとる場合には、端末アプリ退避管 理部 120と端末設定管理部 220との間の認証処理（9-11 , 9-27)や、携帯電話 10 の CPU12と認証アプリ 24との間の認証処理（9—16)などは、不要となり、省略しても 良い。

[0187] また、機器 2であるコンビカード 20にタイマー機能がある場合には、コンビカード 20 で時間管理を行い、設定時間になると、機器 1の CPU12によるタイマー管理による 削除処理 (9-23)の前に、機器 2から機器 1にタイマー機能に基づき削除命令を送つ て、機器 1ではこの削除命令により削除処理を行うようにしてもよい。この場合、機器 2 の端末設定管理部 220と、機器 1の端末アプリ退避管理部 120との間の認証処理（9

—25)は、機器 2から機器 1への削除命令の前に、または機器 1の CPU12によるタイ マー管理による削除処理（9—23)の前に行ってもよい。

[0188] 図 37に、第 8の実施形態の端末アプリ退避管理部 120における詳細処理を示すフ ローチャートである。

[0189] 端末アプリ退避管理部 120では、まず、 CPU12からの端末アプリのインストール可 否の問い合わせか否かを判断し (ステップ 1000)、インストール可の場合は（ステップ 1000"YES")、アプリ管理テーブル（図示せず）等を確認して（ステップ 1100)、端 末アプリを退避させずインストールできるか否かを判断する（ステップ 1200)。

[0190] 例えば、アプリ管理テーブル（図示せず)等を確認して、格納可能な端末アプリの 最大個数が 10コで、すでに端末アプリが 10コ格納されている場合には、端末アプリ を退避させずの新規インストールはできないと判断する。なお、インストール可否問い 合わせとしては、例えば、可否問合せ ID1として、アプリ ID3の端末アプリを削除し、 アプリ ID1,アプリ ID2の端末アプリを 2つインストールしたいという例が考えられる。

[0191] そして、端末アプリを退避させずインストール可能と判断した場合 (ステップ 1200" YES")、端末アプリ退避管理部 120は、 CPU12にインストール可能を通知して、端 末アプリを退避させずインストールを実行させる（ステップ 1250)。

[0192] 一方、端末アプリを退避させずインストール不可と判断した場合 (ステップ 1200"N 0")、端末アプリ退避管理部 120は、まず、機器 2であるコンビカード 20に退避させ る端末アプリを決定する (ステップ 1300)。例えば、端末アプリの退避優先度テープ ノレ（図示せず）等を参照して、アプリ ID8のゲームの端末アプリ等を退避することに決 定する。

[0193] 端末アプリ退避管理部 120は、退避させる端末アプリを決定すると、機器 2の端末 設定管理部 220に対し、退避要求を送信し、アプリ退避処理を実施し (ステップ 140 0)、その退避結果を管理テーブル等に格納して (ステップ 1500)、スタートに戻る。 例えば、アプリ ID8のゲームの端末アプリの退避処理を行った場合、その端末アプリ の可否問合せ ID1や、退避時のタイムスタンプ、退避結果〇K、退避したアプリ ID (ァ プリ ID8)、機器 2との認証情報等を、管理テーブル等に格納する。

[0194] 一方、ステップ 3700にて、インストール可否の問い合わせではなく（ステップ 1000" N〇"）、復活要否の問い合わせであると判断した場合 (ステップ 1600"YES")、復活 処理が必要か否かを、アプリ管理テーブル（図示せず)等を参照して確認する（ステツ プ 1700)。

[0195] 復活要否の問い合わせとしては、例えば、インストール可否問合せの可否問合 ID1 の設定を解除したので、復活処理が必要であれば復活処理を実行する等の復活要 否問合せ ID2が考えられる。また、復活処理が必要か否かをアプリ管理テーブル（図 示せず）等を参照して確認した際に、可否問合せ ID1ではアプリ ID8のゲームの端 末アプリの退避処理を実施、等と記載されている場合は、復活処理が必要と判断す る。

[0196] ここで、復活が不要と判断した場合には (ステップ 1800"NO")、 CPU12に完了を 通知して (ステップ 1850)、スタートに戻る一方、復活が必要と判断した場合には (ス テツプ 1800"YES")、端末アプリ退避管理部 120は、機器 2の端末設定管理部 220 に対し復活要求を送信し、機器 2の端末設定管理部 220等に退避させておいた端末 アプリの復活処理を実施する (ステップ 1900)。そして、復活処理の結果をアプリ管 理テーブル（図示せず）等に格納して、 CPU12にその結果を通知し (ステップ 1950 )、最初に戻る。復活処理の結果としては、例えば、可否問合せ ID1、退避時のタイム スタンプ、退避結果〇K、要否問合せ ID2、復活時のタイムスタンプ、復活結果 OK、 退避 '復活したアプリ ID (アプリ ID8)、機器 2との認証情報等がある。

[0197] このように、第 8の実施形態によれば、機器 1である携帯電話 10に新たな端末アブ リをインストールする場合、携帯電話 10のメモリ容量確保等のため、携帯電話 10の 端末アプリをコンビカード 20に退避させて、新たな端末アプリを携帯電話 10にインス トールし、タイマーの管理等により新たにインストールした端末アプリの設定解除を行 つた場合には、退避させておいた端末アプリを携帯電話にインストールするようにした ため、携帯電話 10のメモリ容量をそれほど増やさずに、カードアプリ機能や装置機能 等が発現されるエリアを限定することができる。 [0198] 以上説明したように、本発明の一態様では、セキュアデバイスに、ゲート機器に対し て認証処理を行う認証手段と、端末にインストールする端末アプリと、認証手段がゲ ート機器との認証に成功した場合に、ゲート機器力 指定された端末アプリを端末に インストールする制御手段とを設けているため、セキュアデバイスをゲート機器に翳し

、正常に通過したエリアでのみ、端末アプリが端末にインストールされる。ゲート機器 のゲートアプリが特定の領域で機能するアプリを指定するので、ユーザの登録操作 等は不要であり、また、端末への GPS受信機等の装備も必要がない。

[0199] また、本発明の別の態様では、セキュアデバイスに、ゲート機器に対して認証処理 を行う認証手段と、カードアプリとを設け、認証手段がゲート機器との認証に成功した 場合に、ゲート機器から指定されたカードアプリが、端末の端末アプリのアクセスを許 容するようにしたため、セキュアデバイスをゲート機器に翳し、正常に通過したエリア でのみ、端末アプリは、カードアプリの利用が可能になる。

[0200] また、本発明の別の態様では、セキュアデバイスに、ゲート機器に対して認証処理 を行い、認証に成功したゲート機器の識別情報を登録する認証手段と、認証手段が ゲート機器との認証に成功したことを条件に所定の動作を行う機器に対して、この機 器の検証に供するためにゲート機器の識別情報を送信し、または、この機器に代わ つて識別情報を検証するカードアプリとを設けたため、ゲート機器が設置された正規 の入口から入場しなレ、と、機器は動作しなレ、ようにすることができる。

[0201] また、本発明の別の態様では、セキュアデバイスは、ゲート機器との間の通信方式 に応じて、端末にインストールあるいは端末から削除する端末アプリケーションを設定 するようにしたため、通信方式に応じて簡単に端末にインストールする端末アプリケ ーシヨン等を変更することができ、セキュリティを簡単に確保することができる。

[0202] また、本発明の別の態様では、セキュアデバイスは、ゲート機器との間で認証を行 なう際、端末との間で前回有効にした設定が正しく無効化されているか否力、を判断し 、正しく無効化されている場合のみ、ゲート機器との間の認証を許可するようにしたた め、前回の無効化処理が正しく行われたか否かに基づいて今回のゲート機器との認 証を許可することができ、よりセキュリティを確保することができる。

[0203] また、本発明の別の態様では、セキュアデバイスは、ゲート機器との間の通信方式 に応じて、カードアプリケーションの有効または無効を設定するようにしたため、通信 方式に応じて簡単にセキュリティを確保することができる。

[0204] また、本発明の別の態様では、ゲート機器に、セキュアデバイスまたはセキュアデバ イスを保持する端末との通信手段と、通信手段を通じてセキュアデバイスとの認証処 理を行い、認証に成功したセキュアデバイスに対して、端末にインストールする端末 アプリを指定するゲートアプリとを設けたり、あるいは、ゲート機器に、セキュアデバイ スまたはセキュアデバイスを保持する端末との通信手段と、通信手段を通じてセキュ アデバイスとの認証処理を行レ、、認証に成功したセキュアデバイスに対して、端末の 端末アプリがアクセスできるカードアプリを指定するゲートアプリとを設けるようにした ため、認証に成功したセキュアデバイスに対して、端末にインストールする端末アプリ や、端末アプリがアクセス可能となるカードアプリを指定することができる。

[0205] また、本発明の別の態様では、端末装置は、セキュアデバイスを保持し、ゲート機 器との認証に成功したセキュアデバイスから、ゲート機器が指定した端末アプリをイン ストールするようにしたり、あるいは、端末装置は、セキュアデバイスを保持し、ゲート 機器との認証に成功したセキュアデバイスが保持するカードアプリの中で、ゲート機 器が指定したカードアプリにアクセスする端末アプリを備えるようにしたため、入口に ゲート機器が設置された特定のエリアの中でのみ、端末装置の特殊な機能が発揮で きる。

[0206] また、本発明の別の態様では、端末装置は、セキュアデバイスからの新たな端末ァ プリケーシヨンのインストール要求受信時に、メモリ容量が少なく前記新たな端末アブ リケーシヨンをインストールできない場合には、保持している端末アプリケーションを前 記セキュアデバイスに退避させてから前記新たな端末アプリケーションをインストール し、その後、インストールした前記新たな端末アプリケーションを削除して、前記退避 させた端末アプリケーションを復活させるようにしたため、端末アプリケーションを保存 するためのメモリ容量が少ない場合でも、新たな端末アプリケーションを実施させるこ とができる。

[0207] また、本発明の別の態様では、機器が、ゲート機器との認証に成功したセキュアデ バイスからゲート機器の識別情報を取得し、この識別情報の検証に成功した場合に 所定の動作を行うようにしたり、あるいは、機器が、ゲート機器との認証に成功したセ キュアデバイスからゲート機器の識別情報の検証に成功した旨の情報を取得した場 合に所定の動作を行うようにしたため、ユーザがセキュアデバイスを所持して正規の 入口から入場しないと、機器が動作しなレ、ようにすること力 sできる。

[0208] 本明細書は、 2004年 1月 28日出願の特願 2004—19461に基づく。この内容はす ベてここに含めておく。

産業上の利用可能性

[0209] 本発明は、各種のセキュアデバイスの機能や、各種の端末、装置、機器等の機能 を場所、経路、位置、または通信方式、前回の無効化処理、さらにはメモリ容量等と の関連で変える場合に利用することができ、オフィス、家庭、医療現場、教育現場な ど、あらゆる分野での利用が可能である。

Claims

請求の範囲

[1] ゲート機器に対して認証処理を行う認証手段と、

端末にインストールする端末アプリケーションと、

前記認証手段がゲート機器との認証に成功した場合に、前記ゲート機器から指定 された端末アプリケーションを端末にインストールする制御手段と、

を備えるセキュアデバイス。

[2] ゲート機器と端末アプリケーションとの対応関係が規定された対応情報を保持し、 前記制御手段は、ゲート機器から指定された端末アプリケーションと前記ゲート機器 との関係が前記対応情報に合致する場合にのみ、前記端末アプリケーションを端末 にインストールする請求項 1に記載のセキュアデバイス。

[3] 前記制御手段は、ゲート機器との間の通信方式に応じて、前記端末にインストール あるいは前記端末から削除する端末アプリケーションを設定する請求項 1に記載のセ キュアデバイス。

[4] さらに、前記認証手段がゲート機器との間で認証を行なう際、端末との間で前回有 効にした設定が正しく無効化されているか否力を判断し、正しく無効化されている場 合のみ、前記ゲート機器との間の認証を許可する端末設定管理部を有する請求項 1 記載のセキュアデバイス。

[5] ゲート機器に対して認証処理を行う認証手段と、

カードアプリケーションと、

前記認証手段がゲート機器との認証に成功した場合に、前記ゲート機器から指定 されたカードアプリケーション力 端末の端末アプリケーションのアクセスを許容する 制御手段と、

を備えるセキュアデバイス。

[6] 前記認証手段が認証に成功したゲート機器と前記ゲート機器力 指定されたカード アプリケーションとの関係を記録するデータベースを保持し、カードアプリケーション は、端末アプリケーションからアクセス要求が有ったときに、前記データベースの情報 に基づレ、て、アクセスの諾否を決定する請求項 5に記載のセキュアデバイス。

[7] 前記制御手段は、ゲート機器との間の通信方式に応じて、前記カードアプリケーシ ヨンの有効または無効を設定する請求項 5に記載のセキュアデバイス。

[8] ゲート機器に対して認証処理を行い、認証に成功したゲート機器の識別情報を登 録する認証手段と、

前記認証手段がゲート機器との認証に成功したことを条件に所定の動作を行う機 器に対して、前記機器の検証に供するためにゲート機器の前記識別情報を送信し、 または、前記機器に代わって前記識別情報を検証するカードアプリケーションと、 を備えるセキュアデバイス。

[9] 前記カードアプリケーションは、前記機器の検証に供するために、入力されたユー ザ識別情報を前記機器に送信し、または、前記機器に代わって前記ユーザ識別情 報を検証する請求項 8に記載のセキュアデバイス。

[10] セキュアデバイスまたは前記セキュアデバイスを保持する端末との通信手段と、 前記通信手段を通じて前記セキュアデバイスとの認証処理を行レ、、認証に成功し たセキュアデバイスに対して、端末にインストールする端末アプリケーションを指定す るゲートアプリケーションと、

を備えるゲート機器。

[11] セキュアデバイスまたは前記セキュアデバイスを保持する端末との通信手段と、 前記通信手段を通じて前記セキュアデバイスとの認証処理を行い、認証に成功し たセキュアデバイスに対して、端末の端末アプリケーションがアクセスできるカードア プリケーシヨンを指定するゲートアプリケーションと、

を備えるゲート機器。

[12] セキュアデバイスを保持し、ゲート機器との認証に成功した前記セキュアデバイスか ら、前記ゲート機器が指定した端末アプリケーションをインストールする端末装置。

[13] さらに、セキュアデバイスからの新たな端末アプリケーションのインストール要求受 信時に、メモリ容量が少なく前記新たな端末アプリケーションをインストールできない 場合には、保持している端末アプリケーションを前記セキュアデバイスに退避させて 力、ら前記新たな端末アプリケーションをインストールし、その後、インストールした前記 新たな端末アプリケーションを削除して、前記退避させた端末アプリケーションを復活 させる端末アプリ退避管理部、 を有する請求項 12に記載の端末装置。

[14] セキュアデバイスを保持し、ゲート機器との認証に成功した前記セキュアデバイスが 保持するカードアプリケーションの中で、前記ゲート機器が指定したカードアプリケー シヨンにアクセスする端末アプリケーションを備える端末装置。

[15] 前記セキュアデバイスが、着脱可能な状態で装着される請求項 12に記載の端末装 置。

[16] 前記セキュアデバイスが、一体的に埋め込まれる請求項 12に記載の端末装置。

[17] ゲート機器との認証に成功したセキュアデバイスから前記ゲート機器の識別情報を 取得し、前記識別情報の検証に成功した場合に所定の動作を行う機器。

[18] ゲート機器との認証に成功したセキュアデバイスから前記ゲート機器の識別情報の 検証に成功した旨の情報を取得した場合に所定の動作を行う機器。