WO2013054747A1

WO2013054747A1 - 情報処理装置および方法、並びにプログラム

Info

Publication number: WO2013054747A1
Application number: PCT/JP2012/075918
Authority: WO
Inventors: 弘和小松
Original assignee: ソニー株式会社
Priority date: 2011-10-13
Filing date: 2012-10-05
Publication date: 2013-04-18
Also published as: CN103843012A; US20140258362A1; JPWO2013054747A1; EP2755169A1; US9674272B2

Abstract

第１のアプリケーション作成手段は、ＩＣカードと通信する他の情報処理装置のデバイスを制御する第１のアプリケーションを作成し、第１のドメイン作成手段は、第１のアプリケーションを登録する第１のドメインを他の情報処理装置に作成させる。第１のアプリケーション登録手段は、第１のアプリケーションを他の情報処理装置の第１のドメインに登録させる。書き込み手段は、第１のアプリケーションを他の情報処理装置の実行領域に書き込ませ、第２のアプリケーション作成手段は、ＩＣカードに対する処理を行う第２のアプリケーションを作成する。第２のドメイン作成手段は、第２のアプリケーションを登録する第２のドメインを他の情報処理装置に作成させ、第２のアプリケーション登録手段は、第２のアプリケーションを他の情報処理装置の第２のドメインに登録させる。

Description

情報処理装置および方法、並びにプログラム

　本技術は情報処理装置および方法、並びにプログラムに関し、特に装置の交換に簡単に対処することができるようにした情報処理装置および方法、並びにプログラムに関する。

　図１は、従来の決済システム１の構成を示すブロック図である。この決済システム１は、ＰＯＳ（Point of Sales）システムのレジスタなどからなる上位端末１１と決済端末１２とにより構成されている。決済端末１２は、ユーザインタフェイス（ＵＩ）制御用端末２１と端末ＳＡＭ２２とにより構成されている。

　端末ＳＡＭ２２は、内部に有するサービスアプリケーションに基づき、ＩＣカード（図示せず）との決済処理を行う。従って端末ＳＡＭ２２は、ＩＣカードとの通信のためのＲＦ（Radio Frequency）制御や、ＵＩ制御端末２１との通信制御を行う。

　ＵＩ制御用端末２１は、表示デバイス（図示せず）などのＵＩデバイスの制御を行う他、端末ＳＡＭ２２との通信制御や、上位端末１１との通信制御を行う。

　端末ＳＡＭ２２との通信制御は、決済端末１２のファームウェアにより規定されるプロトコルに従って行われる。それに対して、上位端末１１との通信制御は、上位端末１１により規定されるプロトコルに従って行われる。

　その結果、例えば端末ＳＡＭ２２や上位端末１１を他のメーカのものに置き換えるような場合、通信プロトコルを調整し直さなければならなかった。

　特許文献１には、各クライアント機器に中継モジュールを設け、その中継モジュールを利用して各クライアント機器が、インターネット上に配置された専用のサーバを介して相互に通信することが提案されている。

　この特許文献１の技術を決済システム１に応用することが考えられる。

特開２００８－３０６７３６号公報

　特許文献１の技術は、中継モジュールという共通の装置を各クライアント機器に持たせることで、プロトコルの共通化を図り、インターネットを介して多くのクライアント機器を相互に接続できるようにするものである。しかし端末ＳＡＭ２２と上位端末１１により構成されている決済システム１において、その一部の装置を他のメーカの装置に交換し、プロトコルを変更する必要があるような場合に、特許文献１の技術を適用することはコスト高となり、装置を簡単に交換することが困難になる。

　本技術はこのような状況に鑑みてなされたものであり、装置の交換に簡単に対処することができるようにするものである。

　本技術の一側面は、ＩＣカードと通信する他の情報処理装置のデバイスを制御する第１のアプリケーションを作成する第１のアプリケーション作成手段と、前記第１のアプリケーションを登録する第１のドメインを前記他の情報処理装置に作成させる第１のドメイン作成手段と、前記第１のアプリケーションを前記他の情報処理装置の前記第１のドメインに登録させる第１のアプリケーション登録手段と、前記第１のアプリケーションを前記他の情報処理装置の実行領域に書き込ませる書き込み手段と、前記ＩＣカードに対する処理を行う第２のアプリケーションを作成する第２のアプリケーション作成手段と、前記第２のアプリケーションを登録する第２のドメインを前記他の情報処理装置に作成させる第２のドメイン作成手段と、前記第２のアプリケーションを前記他の情報処理装置の前記第２のドメインに登録させる第２のアプリケーション登録手段とを備える情報処理装置である。

　前記第１のドメインの作成、前記第１のドメインへの登録、前記実行領域への書き込み、前記第２のドメインの作成、および前記第２のドメインへの登録のコマンドのそれぞれは、暗号化パッケージとして前記他の情報処理装置に送信させることができる。

　前記書き込み手段は、前記第１のアプリケーションを、前記第２のアプリケーションの実行領域が形成されているメモリとは異なるメモリに形成された前記第１のアプリケーションの実行領域に書き込ませることができる。

　前記第１のアプリケーションを有効化する有効化手段をさらに備えることができる。

　前記第１のアプリケーションは有効化されている場合、前記他の情報処理装置が起動されたとき起動されることができる。

　前記第１のアプリケーションは、前記他の情報処理装置のファームウェアより高い優先度を有することができる。

　前記情報処理装置はＰＯＳ端末とし、前記他の情報処理装置はＩＣカードのリーダライタとすることができる。

　本技術の一側面の情報処理方法及びプログラムは、上述した本技術の一側面の情報処理装置に対応する方法及びプログラムである。

　本技術の他の側面は、他の情報処理装置からの指示に基づいて、デバイスを制御する第１のアプリケーションを登録する第１のドメインを作成する第１のドメイン作成手段と、前記他の情報処理装置からの指示に基づいて、前記他の情報処理装置から受信した前記第１のアプリケーションを、前記第１のドメインに登録する第１のアプリケーション登録手段と、前記他の情報処理装置からの指示に基づいて、前記第１のアプリケーションを実行領域に書き込む書き込み手段と、前記他の情報処理装置からの指示に基づいて、ＩＣカードに対する処理を行う第２のアプリケーションを登録する第２のドメインを作成する第２のドメイン作成手段と、前記他の情報処理装置からの指示に基づいて、前記他の情報処理装置から受信した前記第２のアプリケーションを、前記第２のドメインに登録する第２のアプリケーション登録手段とを備える情報処理装置である。

　前記書き込み手段は、前記第１のアプリケーションを、前記第２のアプリケーションの実行領域が形成されているメモリとは異なるメモリに形成された前記第１のアプリケーションの実行領域に書き込むことができる。

　前記第１のアプリケーションが前記他の情報処理装置により有効化されたことを表す有効化情報を記憶する記憶手段をさらに備え、前記第１のアプリケーションは有効化されているとき、前記情報処理装置が起動されたとき起動されることができる。

　前記第１のアプリケーションは、前記情報処理装置のファームウェアより高い優先度を有することができる。

　前記情報処理装置はＩＣカードのリーダライタとし、前記他の情報処理装置はＰＯＳ端末とすることができる。

　本技術の他の側面の情報処理方法及びプログラムは、上述した本技術の他の側面の情報処理装置に対応する方法及びプログラムである。

　本技術の一側面においては、ＩＣカードと通信する他の情報処理装置のデバイスを制御する第１のアプリケーションが作成され、第１のアプリケーションを登録する第１のドメインが他の情報処理装置に作成される。さらに第１のアプリケーションが他の情報処理装置の第１のドメインに登録される。第１のアプリケーションが他の情報処理装置の実行領域に書き込まれる。ＩＣカードに対する処理を行う第２のアプリケーションが作成され、第２のアプリケーションを登録する第２のドメインが他の情報処理装置に作成される。そして第２のアプリケーションが他の情報処理装置の第２のドメインに登録される。

　本技術の他の側面においては、他の情報処理装置からの指示に基づいて、デバイスを制御する第１のアプリケーションを登録する第１のドメインが作成され、他の情報処理装置からの指示に基づいて、他の情報処理装置から受信した第１のアプリケーションが、第１のドメインに登録される。さらに他の情報処理装置からの指示に基づいて、第１のアプリケーションが実行領域に書き込まれる。また他の情報処理装置からの指示に基づいて、ＩＣカードに対する処理を行う第２のアプリケーションを登録する第２のドメインが作成され、他の情報処理装置からの指示に基づいて、他の情報処理装置から受信した第２のアプリケーションが、第２のドメインに登録される。

　以上のように、本技術の側面によれば、装置の交換に簡単に対処することができる。

従来の決済システムの構成を示すブロック図である。本技術の情報処理システムの一実施の形態の構成を示すブロック図である。アプリケーションのデジタル証明書の例を示す図である。端末ＳＡＭクライアントの構成を示すブロック図である。端末ＳＡＭのハードウェアの構成を示すブロック図である。端末ＳＡＭのソフトウェアの構成を示す図である。上位端末の機能的構成を示すブロック図である。上位端末の記憶部の記憶情報を説明する図である。端末ＳＡＭファームウェアの機能的構成を示す図である。端末ＳＡＭファームウェアの記憶部の記憶情報を説明する図である。アプリケーションの登録を説明するフローチャートである。ＭＣドメイン作成要求パッケージの例を示す図である。ＭＣドメインへの登録要求パッケージの例を示す図である。ＭＣアプリケーションの実行領域への書き込み要求パッケージの例を示す図である。サービス用ドメイン作成要求パッケージの例を示す図である。サービスアプリケーションの実行領域への書き込み要求パッケージの例を示す図である。システム電源起動処理を説明するフローチャートである。ＭＣアプリケーションの機能的構成を示す図である。サービスアプリケーションの機能的構成を示す図である。決済サービス処理を説明するフローチャートである。決済サービス処理を説明するフローチャートである。端末ＳＡＭクライアントの構成を示すブロック図である。

　以下、本技術を次の順番に説明する。
１　情報処理システムの構成
２　端末SAMクライアントの構成
３　端末ＳＡＭのハードウェアの構成
４　端末ＳＡＭのソフトウェアの構成
５　上位端末の機能的構成
６　端末ＳＡＭの機能的構成
７　アプリケーション登録処理
８　システム電源起動処理
９　ＭＣアプリケーションとサービスアプリケーションの構成
１０　決済サービス処理
１１　決済システムの構成
１２　本技術のプログラムへの適用
１３　その他

　以下、技術を実施するための形態（以下、実施の形態と称する）について説明する。

［情報処理システムの構成］

　図２は、本技術を適用した情報処理システムの全体の構成例を示す図である。決済システムとして機能するこの情報処理システム３１は、端末SAM(Secure Application Module)クライアント４１－１乃至４１－３、ネットワーク４２、認定装置４３、サーバ４４－１乃至４４－３、並びに鍵サーバ４５により構成されている。

　端末SAMクライアント４１－１乃至４１－３は、それぞれネットワーク４２に接続されている。また、ネットワーク４２には、認定装置４３、サーバ４４－１乃至４４－３、並びに鍵サーバ４５が接続されている。

　サーバ４４－１はサービス提供者Ａが運営しており、サーバ４４－２はサービス提供者Ｂが運営しており、サーバ４４－３はサービス提供者Ｃが運営している。すなわち、サーバ４４－１乃至４４－３は、それぞれ異なるサービス提供者により運営されており、それぞれ異なるサービスを提供している。ネットワーク４２は、例えば、LAN（Local Area Network）、インターネットなどにより構成される。ＩＣカードと情報を授受するための鍵を集中的に管理するサーバである鍵サーバ４５は、各サービス提供者Ａ，Ｂ，Ｃにより共同で運営される。すなわち、サーバ４４－１乃至４４－３で管理されているサービスに対応する鍵データが、まとめて鍵サーバ４５で管理されている。サーバ４４－１乃至４４－３は、鍵を更新する場合、ネットワーク４２を介して鍵サーバ４５に鍵データを登録する。認定装置４３は、所定の認定機関により管理される装置であり、実際には、認定装置４３により各種の処理が実行される。つまり認定装置４３の処理は認定機関が実行する。

　なお、以下において、端末SAMクライアント４１－１乃至４１－３を個々に区別する必要がない場合、単に端末SAMクライアント４１と称し、サーバ４４－１乃至４４－３を個々に区別する必要がない場合、単にサーバ４４と称する。また、サービス提供者Ａ、Ｂ、およびＣを個々に区別する必要がない場合、サービス提供者と称する。その他の構成要素についても同様とする。

　認定装置４３は、端末SAMクライアント４１を、サービス提供者に対して認定する機関である。例えば、認定装置４３は、端末SAMクライアント４１からの要求に対して、端末SAMクライアント４１のアプリケーションに、アプリケーションのデジタル証明書（認定装置４３による、端末SAMクライアント４１のアプリケーションに対する証明書）を発行する。

　　図３は、アプリケーションのデジタル証明書３５３の例を示す図である。アプリケーションのデジタル証明書３５３は、アプリケーションを識別するアプリケーションＩＤと、その署名とにより構成されている。端末SAMクライアント４１は、登録されているアプリケーションＩＤを読み出す。このアプリケーションＩＤは平文である。

　アプリケーションＩＤは認定装置４３に送信される。認定装置４３は、アプリケーションＩＤをハッシュ関数を用いて圧縮する。さらに認定装置４３は、圧縮した結果を、認定装置秘密鍵により暗号化し、署名とする。認定装置４３は、アプリケーションＩＤとその署名をペアとして組み合わせ、アプリケーションのデジタル証明書３５３を作成する。アプリケーションのデジタル証明書３５３は認定装置４３から端末SAMクライアント４１に送信される。

端末SAMクライアント４１の各アプリケーションは、このアプリケーションのデジタル証明書を、鍵サーバ４５に送信し、鍵サーバ４５は、アプリケーションのデジタル証明書を受信する。鍵サーバ４５は、アプリケーションのデジタル証明書が正当であるかを認定装置４３の公開鍵により検証し、正当であると検証された場合、アクセス許可証を発行し、端末SAMクライアント４１のアプリケーションに送信する。端末SAMクライアント４１のアプリケーションは、このアクセス許可証を用いて、鍵サーバ４５から適宜鍵データを取得する。また、端末SAMクライアント４１は、サーバ４４からアプリケーションやその他の情報の配信を適宜受け付ける。

　鍵サーバ４５は、端末SAMクライアント４１のアプリケーションからのアクセス許可証に基づいて、端末SAMクライアント４１のアプリケーションが、鍵データを配信すべきものであるか否かを判断することができる。鍵サーバ４５は、端末SAMクライアント４１のアプリケーションからのアクセス許可証に基づいて、端末SAMクライアント４１のアプリケーションの認証が成功した場合に、鍵データを、端末SAMクライアント４１のアプリケーションに対して送信する。

　端末SAMクライアント４１は、複数のアプリケーションを実行させることができる。また、端末SAMクライアント４１は、アプリケーションを実行してＩＣカード７１（後述する図４参照）にアクセスする。このときアプリケーションは、鍵データを、ＩＣカード７１との間で情報をやりとりするための共通鍵として利用する。例えば、端末SAMクライアント４１は、アプリケーションを実行し、ＩＣカード７１内のデータを更新する。そして、端末SAMクライアント４１のアプリケーションは、処理の実行結果や問い合せなどを、ネットワーク４２を介して、対応するサービスを提供しているサーバ４４に送信する。なお、ネットワーク４２がオフラインである場合、端末SAMクライアント４１のアプリケーションは、処理の実行結果を保持しておき、オンラインになったとき、その実行結果を、ネットワーク４２を介してサーバ４４に送信する。なお、この実施の形態は、ネットワーク４２を介するものとして記載されているが、ネットワーク４２を用いなくともよい。

［端末SAMクライアントの構成］

　次に、端末SAMクライアント４１の機能的構成例を説明する。図４は、図２の端末SAMクライアント４１の機能的構成例を示すブロック図である。

　端末SAMクライアント４１は、上位端末５１と決済端末５２により構成され、決済端末５２は、端末SAM６１およびアンテナ部６２により構成される。端末SAM６１は、例えばＩＣカードリーダライタにより構成される。

　上位端末５１は、例えばPOS(Point Of Sales)端末である。情報処理装置としての上位端末５１は、ＩＣカード７１に対してデータを更新する指令を出したり、ＩＣカード７１から読み出されたデータを、ネットワーク４２を介してサーバ４４に送信する。

　アンテナ部６２は、外部のＩＣカード７１と、NFC(Near Field communication)その他の近距離無線通信などの非接触により通信を行い、ＩＣカード７１に記憶されている各種のデータの読み出しや、データの書き込みを行なう。例えば、アンテナ部６２は、ＩＣカード７１に記憶されているＩＣカード７１に固有の識別番号やＩＣカード７１に蓄積されている金額などのデータを読み出す。またアンテナ部６２は、ＩＣカード７１と非接触により通信を行い、ＩＣカード７１に蓄積されている金額などのデータを書き換える（すなわち更新する）。このとき、ＩＣカード７１とアンテナ部６２を介してアプリケーション（つまり端末SAM６１のアプリケーション）との間で授受される情報は、共通鍵を用いて暗号化されている。なお、本実施の形態では、ＩＣカード７１とアンテナ部６２とが非接触式であるとして説明したが、ＩＣカードとＩＣカードリーダライタとが接触式であってもよい。

　ＩＣカード７１と通信する情報処理装置としての端末SAM６１は、アンテナ部６２から供給されたデータに対して、暗号化の処理や復号の処理を施す。また端末SAM６１は、サーバ４４の認定を得るために、認定装置４３に対して、端末SAM６１の公開鍵の署名を要求するよう制御する。さらに端末SAM６１は、サーバ４４に端末SAM６１の公開鍵の署名と端末SAM公開鍵からなる端末SAMデジタル証明書を送信するよう制御する。また、端末SAM６１は、アプリケーションを実行したり、処理の実行結果をログとして保存する。すなわち端末SAM６１は、端末SAMクライアント４１内のデータをセキュアに管理する。

［端末ＳＡＭのハードウェアの構成］

　図５は、端末ＳＡＭ６１のハードウェアの構成を示すブロック図である。端末ＳＡＭ６１は、例えばＮＡＮＤ型メモリにより構成される不揮発メモリ９１、例えばＮＯＲ型メモリにより構成される不揮発メモリ９２、および例えばＲＡＭ（Random Access Memory）により構成される揮発メモリ９３を有している。

　不揮発メモリ９１にはサービス用ドメインとＭＣ（Module Controller）ドメインが形成される。第２のドメインとしてのサービス用ドメインには第２のアプリケーションとしてのサービスアプリケーションが登録され、第１のドメインとしてのＭＣドメインには第１のアプリケーションとしてのＭＣ（Module Controller）アプリケーションが登録される。サービスアプリケーションは、ＩＣカード７１に対する処理を行うプログラムであり、本実施の形態の場合、決済サービスを実行するプログラムである。ＭＣアプリケーションは、デバイスを制御するプログラムである。不揮発メモリ９１にはまた、データ、サービスログなどが記憶される。以下必要に応じて、ＭＣアプリケーションを単にＭＣと、またサービスアプリケーションを単にＳＡＰと、それぞれ記載する。

　不揮発メモリ９２には、ファームウェア（以下、必要に応じてＦＷとも記載する。）プログラムの実行領域、ＭＣアプリケーションの実行領域が形成される。すなわち、ＭＣアプリケーションは、実行されるとき、不揮発メモリ９１から読み出され、不揮発メモリ９２のＭＣアプリケーションの実行領域に展開される。揮発メモリ９３には、サービスアプリケーションの実行領域が形成される。すなわち、サービスアプリケーションは、実行されるとき、不揮発メモリ９１から読み出され、揮発メモリ９３のサービスアプリケーションの実行領域に展開される。揮発メモリ９３にはまた、各種パラメータが記憶される他、各プログラムヒープ領域が形成される。

　端末ＳＡＭ６１には、ＳＰＩ（System Packet Interface）等の通信インタフェイス１０１を介してＬＣＤ（Liquid Crystal Display）などの表示デバイス８１が接続され、Ｉ２Ｓ（The Inter-IC Sound Bus）などの通信インタフェイス１０２を介して、スピーカなどのサウンドデバイス８２が接続される。また、端末ＳＡＭ６１はインタフェイス１０４を介してＬＡＮなどのネットワークに接続される。さらに端末ＳＡＭ６１は、シリアルインタフェイス１０３を介して上位端末５１に接続される。

[端末ＳＡＭのソフトウェアの構成]

　図６は、端末ＳＡＭ６１のソフトウェアの構成を示す図である。端末ＳＡＭ６１のソフトウェアは、システムソフトウェア１５１とユーザソフトウェア１５２とを有している。システムソフトウェア１５１は、端末ＳＡＭファームウェア１６１から構成されている。

　端末ＳＡＭファームウェア１６１は、タスク管理、カーネルリソース管理などを行うＯＳ（Operating System）１７１と、その上で動作するサービスミドルウェア１８１を有している。サービスミドルウェア１８１は、カード操作サ－ビス部１９１、ドメイン管理サービス部１９２、デバイス制御サービス部１９３、および端末ＳＡＭコマンド実行サービス部１９４を有している。

　カード操作サ－ビス部１９１はＩＣカード７１の操作に対応するサービスを実行する。ドメイン管理サービス部１９２は、ドメインの管理を行う。デバイス制御サービス部１９３は、ＳＰＩドライバ、サウンドドライバ、シリアルドライバなどを有し、デバイス制御を行う。端末ＳＡＭコマンド実行サービス部１９４は、アクティベーション、サービスアプリケーションの起動などを実行する。

　ユーザソフトウェア１５２は、サービス用ドメイン２０１とＭＣドメイン２０２を有する。図６の例の場合、サービス用ドメイン２０１には、サービスアプリケーション２１１－１，２１１－２が登録されており、ＭＣドメイン２０２には、ＭＣアプリケーション２２１が登録されている。なお、サービスアプリケーション２１１－１，２１１－２を個々に区別する必要が無い場合、単にサービスアプリケーション２１１と記載する。

　図６において矢印は、その方向にＡＰＩ（Application Programming Interface）が提供されることを表している。ＯＳ１７１はサービス用ドメイン２０１、ＭＣドメイン２０２、およびサービスミドルウェア１８１にＡＰＩを提供する。カード操作サービス部１９１は、サービス用ドメイン２０１とＭＣドメイン２０２にＡＰＩを提供する。ドメイン管理サービス部１９２も、サービス用ドメイン２０１とＭＣドメイン２０２にＡＰＩを提供する。デバイス制御サービス部１９３はＭＣドメイン２０２にＡＰＩを提供する。端末ＳＡＭコマンド実行サービス部１９４も、ＭＣドメイン２０２にＡＰＩを提供する。

［上位端末の機能的構成］

　図７は、上位端末５１の機能的構成を示すブロック図である。上位端末５１には、記憶部３０１、送信部３０２、受信部３０３、ＭＣアプリケーション作成部３０４、ＭＣドメイン作成部３０５、ＭＣアプリケーション登録部３０６、書き込み部３０７、サービスアプリケーション作成部３０８、サービス用ドメイン作成部３０９、サービスアプリケーション登録部３１０、および有効化部３１１が設けられている。

　記憶部３０１は、上位端末５１が処理を実行する上で必要な情報を（仮想的に）記憶する。

　図８は、上位端末５１の記憶部３０１の記憶情報を説明する図である。同図に示されるように、記憶部３０１は、認定機関公開鍵３５１を記憶する。

　認定機関公開鍵３５１は、認定装置４３により発行された公開鍵であり、認定装置４３が保持している認定機関秘密鍵と鍵ペアを構成する。

　図７に戻って、送信部３０２は、情報を送信する。受信部３０３は、情報を受信する。

　ＭＣアプリケーション作成部３０４は、デバイスを制御するＭＣアプリケーション２２１を作成する。ＭＣドメイン作成部３０５は、ＭＣアプリケーション２２１を登録するＭＣドメイン２０２を作成する。ＭＣアプリケーション登録部３０６は、ＭＣアプリケーション２２１をＭＣドメイン２０２に登録する。書き込み部３０７は、ＭＣアプリケーション２２１を実行領域に書き込む。サービスアプリケーション作成部３０８は、サービスアプリケーション２１１を作成する。サービス用ドメイン作成部３０９は、サービスアプリケーション２１１を登録するサービス用ドメイン２０１を作成する。サービスアプリケーション登録部３１０は、サービスアプリケーション２１１をサービス用ドメイン２０１に登録する。有効化部３１１は、ＭＣアプリケーション２２１を有効化する。

［端末ＳＡＭの機能的構成］

　図９は、端末ＳＡＭファームウェア１６１の機能的構成を示す図である。端末ＳＡＭファームウェア１６１には、記憶部３８１、送信部３８２、受信部３８３、検証処理部３８４、ＭＣドメイン作成部３８５、ＭＣアプリケーション登録部３８６、書き込み部３８７、サービス用ドメイン作成部３８８、サービスアプリケーション登録部３８９、起動部３９０、およびカード制御部３９１が設けられている。

　記憶部３８１は、端末ＳＡＭファームウェア１６１が処理を実行する上で必要な情報を（仮想的に）記憶する。

　図１０は、端末ＳＡＭファームウェア１６１の記憶部３８１の記憶情報を説明する図である。同図に示されるように、記憶部３８１は、認定機関公開鍵４１１、ＭＣ許可フラグ４１２、およびパスワード４１３を記憶する。

　ＭＣ許可フラグ４１２は、上位端末５１がＭＣアプリケーション２２１を有効化したときオンに設定される。パスワード４１３は、上位端末５１の管理者の認証を行うために記憶されている。

　図９に戻って、送信部３８２は、情報を送信する。受信部３８３は、情報を受信する。検証処理部３８４は、所定のデータが正当であることを検証する処理を実行する。例えば、検証処理部３８４は、送信元の公開鍵を用いて、所定のデータが正当であることを検証する。

　ＭＣドメイン作成部３８５は、ＭＣアプリケーション２２１を登録するＭＣドメイン２０２を作成する。ＭＣアプリケーション登録部３８６は、ＭＣアプリケーション２２１をＭＣドメイン２０２に登録する。書き込み部３８７は、ＭＣアプリケーション２２１を実行領域に書き込む。サービスアプリケーション作成部３８８は、サービスアプリケーション２１１を作成する。サービス用ドメイン作成部３８９は、サービスアプリケーション２１１を登録するサービス用ドメイン２０１を作成する。サービスアプリケーション登録部３９０は、サービスアプリケーション２１１をサービス用ドメイン２０１に登録する。起動部３９０は、起動処理を実行する。カード制御部３９１は、ＩＣカード７１の操作に対応するサービスを実行する。

　なお、図６のサービスミドルウェア１８１の各部は、図９の端末ＳＡＭファームウェアの次の各部に対応する。

　カード操作サービス部１９１→カード制御部３９１
　ドメイン管理サービス部１９２→ＭＣドメイン作成部３８５、ＭＣアプリケーション登録部３８６、書き込み部３８７、サービス用ドメイン作成部３８８、サービスアプリケーション登録部３８９
　デバイス制御サービス部１９３→記憶部３８１、送信部３８２、受信部３８３、起動部３９０
　端末ＳＡＭコマンド実行サービス部１９４→検証処理部３８４

［アプリケーション登録処理］

　図１１は、アプリケーションの登録を説明するフローチャートである。以下、この図１１を参照して、アプリケーションの登録を説明する。なお、以下の上位端末５１と端末ＳＡＭファームウェア１６１との通信は、シリアルインタフェイス１０３を介して行われる。

　ステップＳ１１において上位端末５１の送信部３０２は、管理者モードで、端末ＳＡＭ６１にアクティベーションコマンドを送信する。この処理は、上位端末５１の管理者からの指示に基づき、端末ＳＡＭ６１にＭＣアプリケーション２２１やサービスアプリケーション２１１をセットアップする場合に行われる。このとき管理者が入力したアクティベーションパスワードが送信される。

　ステップＳ５１において端末ＳＡＭ６１、より具体的には端末ＳＡＭファームウェア１６１の受信部３８３は、シリアルインタフェイス１０３を介して送信されてきたアクティベーションコマンドを受信する。検証処理部３８４はこのアクティベーションコマンドに含まれるアクティベーションパスワードを照合する。すなわち、記憶部３８１に記憶されているパスワード４１３と、受信されたアクティベーションパスワードとが照合される。両者が一致する場合、ステップＳ５２において起動部３９０は、管理者モードで起動処理を行う。両者が一致しない場合、管理者からの指示ではないと判断され、起動処理は行われない。これにより、特定の管理者のみが、アプリケーションの登録処理を実行することができる。

　また起動処理が成功したとき、ステップＳ５２において送信部３８２は、起動が成功したことを表す成功のレスポンスを送信する。

　ステップＳ１２において上位端末５１の受信部３０３は、端末ＳＡＭファームウェア１６１からのレスポンスを受信する。アクティベーションコマンド送信後、一定時間内に成功のレスポンスが受信できない場合、アクティベーションコマンドが再度送信されるか、または処理が中止される。

　ステップＳ１３において、ＭＣドメイン作成部３０５は、ＭＣドメイン作成コマンドを作成する。そして送信部３０２は、ＭＣドメインの作成コマンドを送信する。このコマンドは図１２に示されるように暗号化パッケージとされている。

　ここで暗号化パッケージとは、メッセージ、アプリケーションなどの送信内容と、その送信内容を秘密鍵で暗号化して生成した署名とをペアとして組み合わせ、パッケージとしたものをいう。この実施の形態においては、暗号化のための秘密鍵として認定装置４３の秘密鍵が用いられる。暗号化は、一方向性関数であるハッシュ関数で圧縮することで行われる。一方向性関数であるため、圧縮値を元の平文に戻すことはできない。一方向性関数としてハッシュ関数以外の関数を用いることもできる。なお、暗号化パッケージを作成する装置とそれを復号する装置は、同じ一方向性関数を予め保持している。

　図１２は、ＭＣドメイン作成要求パッケージ５０１の例を示す図である。ＭＣドメイン作成要求パッケージ５０１は、ＭＣドメイン作成要求のメッセージと、ＭＣドメイン作成要求のメッセージの署名とにより構成されている。ＭＣドメイン作成部３０５は、ＭＣドメイン作成要求のメッセージを作成する。このメッセージは、ＭＣドメイン２０２の作成を要求するコマンドとなるメッセージであり、平文である。

　平文のＭＣドメイン作成要求のメッセージは認定装置４３に送信される。認定装置４３はＭＣドメイン作成要求のメッセージをハッシュ関数を用いて圧縮し、圧縮した結果を、認定装置４３の秘密鍵により暗号化し、署名とする。認定装置４３は、ＭＣドメイン作成要求のメッセージとその署名をペアとして組み合わせ、ＭＣドメイン作成要求パッケージ５０１を作成する。ＭＣドメイン作成要求パッケージ５０１は認定装置４３から上位端末５１に送信される。このパッケージを用意する処理は、リアルタイムで行ってもよいし、予め行っておくこともできる。このことは、後述する図１３乃至図１６のパッケージを用意する処理についても同様である。

　ステップＳ５３において端末ＳＡＭファームウェア１６１の受信部３８３は、上位端末５１から送信されてきたＭＣドメイン作成要求パッケージ５０１を受信する。検証処理部３８４は、受信した暗号化パッケージを署名検証する。すなわち、検証処理部３８４は、ＭＣドメイン作成要求パッケージ５０１の署名を認定機関公開鍵４１１により復号する。これによりハッシュ関数により圧縮されたＭＣドメイン作成要求のメッセージが得られる。また検証処理部３８４は、平文のＭＣドメイン作成要求のメッセージにハッシュ関数を適用して圧縮する。そして検証処理部３８４は、復号して得た圧縮値と、平文を圧縮して得た圧縮値とを比較する。

　両者が一致していれば、すなわち検証に成功すれば、ＭＣドメイン作成要求パッケージ５０１に記載されている平文のＭＣドメイン作成要求のメッセージは、改ざんされていない真正なものであることになる。その理由は、認定機関公開鍵４１１により復号できる署名を作成できる者は、認定機関秘密鍵を所持している者だけであるからである。そして認定機関秘密鍵を所持している者は、認定装置４３だけであるからである。

　これに対して両者が一致していなければ、すなわち検証に失敗すれば、ＭＣドメイン作成要求メッセージは改ざんされたものであることになる。この場合、ＭＣアプリケーション２２１とサービスアプリケーション２１１を登録する処理は終了される。それまでの処理は無効とされる。

　このように、コマンドを暗号化パッケージにすることで、コマンドの改ざんを防止することができる。

　なお、端末ＳＡＭ６１は認定機関公開鍵４１１も事前に認定装置４３から受信し、記憶部３８１に記憶している。

　以上のようにして検証に成功した場合、ＭＣドメイン作成部３８５はステップＳ５３において、不揮発メモリ９１にＭＣドメイン２０２を作成する。

　ステップＳ１４において上位端末５１のＭＣアプリケーション作成部３０４は、ＭＣアプリケーション２２１を作成する。このＭＣアプリケーション２２１により端末ＳＡＭ６１における上位端末５１との通信制御や、表示デバイス８１、サウンドデバイス８２、その他のＵＩデバイスの制御が行われる。ＭＣアプリケーション２２１の優先度は、端末ＳＡＭファームウェア１６１の優先度より高いものとされる。また、ＭＣアプリケーション２２１が利用できる端末ＳＡＭファームウェア１６１のＡＰＩ（Application Interface）は、サービスアプリケーション２１１のそれとは異なるものとされる。ＭＣアプリケーション２２１が作成されると、他のプログラムプログラム実行領域、プログラム優先度は、以後、ＭＣアプリケーション２２１が許可するものが設定される。

　ＭＣアプリケーション２２１はこのように設定されるので、上位端末５１によるデバイス制御の即時性を確保することができる。また、サービスアプリケーション２１１とは別にＭＣアプリケーション２２１が用意されるので、デバイス制御を行うアプリケーション（すなわち、ＭＣアプリケーション２２１）を、端末ＳＡＭ６１内に常駐させることが可能になる。

　さらに上位端末５１のＭＣアプリケーション登録部３０６は、ステップＳ１４において、ＭＣドメインへのＭＣアプリケーションの登録コマンドを作成する。そして送信部３０２は、ＭＣドメインへのＭＣアプリケーションの登録コマンドを送信する。このコマンドは図１３に示されるように暗号化パッケージとされている。

　図１３は、ＭＣドメインへの登録要求パッケージ５０２例を示す図である。ＭＣドメインへの登録要求パッケージ５０２は、ＭＣドメインへのＭＣアプリケーション登録要求のメッセージおよびＭＣアプリケーション２２１と、その署名とにより構成されている。ＭＣアプリケーション登録部３０６は、ＭＣドメインへのＭＣアプリケーション登録要求のメッセージを作成する。このメッセージは、ＭＣドメイン２０２へのＭＣアプリケーション２２１の登録を要求するメッセージであり、平文である。ＭＣアプリケーション２２１も同様に平文である。

　ＭＣドメインへのＭＣアプリケーション登録要求のメッセージとＭＣアプリケーション２２１は認定装置４３に送信される。認定装置４３は、ＭＣドメインへのＭＣアプリケーション登録要求のメッセージとＭＣアプリケーション２２１をハッシュ関数を用いて圧縮する。さらに認定装置４３は、圧縮した結果を、認定機関秘密鍵により暗号化し、署名とする。認定装置４３は、ＭＣドメインへのＭＣアプリケーション登録要求のメッセージとＭＣアプリケーション２２１、並びにその署名をペアとして組み合わせ、ＭＣドメインへの登録要求パッケージ５０２を作成する。ＭＣドメインへの登録要求パッケージ５０２は認定装置４３から上位端末５１に送信される。

　ステップＳ５４において端末ＳＡＭファームウェア１６１の受信部３８３は、暗号化パッケージ、すなわちＭＣドメインへの登録要求パッケージ５０２を受信する。検証処理部３８４は暗号化パッケージを署名検証する。すなわち、検証処理部３８４は、ＭＣドメインへの登録要求パッケージ５０２の署名を認証機関公開鍵４１４により復号する。これによりハッシュ関数により圧縮されたＭＣドメインへのＭＣアプリケーション登録要求のメッセージとＭＣアプリケーション２２１が得られる。また検証処理部３８４は、平文のＭＣドメインへのＭＣアプリケーション登録要求のメッセージとＭＣアプリケーション２２１にハッシュ関数を適用して圧縮する。そして検証処理部３８４は、復号して得た圧縮値と、平文を圧縮して得た圧縮値とを比較する。

　両者が一致していれば、すなわち検証に成功すれば、ＭＣドメインへのＭＣアプリケーション登録要求パッケージ５０２に記載されている平文のＭＣドメインへのＭＣアプリケーション登録要求のメッセージとＭＣアプリケーション２２１は、改ざんされていない真正なものであることになる。これに対して両者が一致していなければ、すなわち検証に失敗すれば、ＭＣドメインへのＭＣアプリケーション登録要求のメッセージまたはＭＣアプリケーション２２１は改ざんされたものであることになる。この場合、ＭＣアプリケーション２２１とサービスアプリケーション２１１を登録する処理は終了とされる。それまでの処理は無効とされる。

　検証に成功した場合、ＭＣアプリケーション登録部３８６は、受信したＭＣアプリケーション２２１を、ステップＳ５３の処理で不揮発メモリ９１に作成したＭＣドメイン２０２に登録する。さらに検証処理部３８４は、ＭＣアプリケーション２２１のチェックサム値を検証する。演算したチェックサム値とＭＣアプリケーション２２１に登録してあるチェックサム値が一致すればＭＣアプリケーション２２１には誤りがないことが確認される。

　ステップＳ１５において上位端末５１の書き込み部３０７は、ＭＣアプリケーションの実行領域への書き込みコマンド作成し、送信部３０２は、それを送信する。このコマンドは図１４に示されるように暗号化パッケージとされている。

　図１４は、ＭＣアプリケーションの実行領域への書き込み要求パッケージ例を示す図である。ＭＣアプリケーションの実行領域への書き込み要求パッケージ５０３は、ＭＣアプリケーションの実行領域への書き込み要求のメッセージと、その署名とにより構成されている。書き込み部３０７は、ＭＣアプリケーションの実行領域への書き込み要求のメッセージを作成する。このメッセージは、ＭＣアプリケーション２２１を実行領域に書き込むことを要求するメッセージであり、平文である。

　ＭＣアプリケーションの実行領域への書き込み要求のメッセージは、認定装置４３に送信される。認定装置４３は、ＭＣアプリケーションの実行領域への書き込み要求のメッセージをハッシュ関数を用いて圧縮する。さらに認定装置４３は、圧縮した結果を、認定装置秘密鍵により暗号化し、署名とする。認定装置４３は、ＭＣアプリケーションの実行領域への書き込み要求のメッセージと、その署名をペアとして組み合わせ、ＭＣアプリケーションの実行領域への書き込み要求パッケージ５０３を作成する。ＭＣアプリケーションの実行領域への書き込み要求パッケージ５０３は認定装置４３から上位端末５１に送信される。

　ステップＳ５５において端末ＳＡＭファームウェア１６１の受信部３８３は、暗号化パッケージ、すなわちＭＣアプリケーションの実行領域への書き込み要求コマンドを受信する。検証処理部３８４は暗号化パッケージを署名検証する。すなわち、検証処理部３８４は、ＭＣアプリケーションの実行領域への書き込み要求パッケージ５０３の署名を認定機関公開鍵４１４により復号する。これによりハッシュ関数により圧縮されたＭＣアプリケーションの実行領域への書き込み要求のメッセージが得られる。また検証処理部３８４は、平文のＭＣアプリケーションの実行領域への書き込み要求のメッセージにハッシュ関数を適用して圧縮する。そして検証処理部３８４は、復号して得た圧縮値と、平文を圧縮して得た圧縮値とを比較する。

　両者が一致していれば、すなわち検証に成功すれば、ＭＣアプリケーションの実行領域への書き込み要求パッケージ５０３に記載されている平文のＭＣアプリケーションの実行領域への書き込み要求のメッセージは、改ざんされていない真正なものであることになる。これに対して両者が一致していなければ、すなわち検証に失敗すれば、ＭＣアプリケーションの実行領域への書き込み要求のメッセージは改ざんされたものであることになる。この場合、ＭＣアプリケーション２２１とサービスアプリケーション２１１を登録する処理は終了とされる。それまでの処理は無効とされる。

　検証に成功した場合、書き込み部３８７はステップS５５において、ステップＳ５３の処理で不揮発メモリ９１に作成したＭＣドメイン２０２に、ステップＳ５４の処理で登録したＭＣアプリケーション２２１を読み出し、不揮発メモリ９２の実行領域に書き込む。これにより、サービスアプリケーション２１１の切り替わりに拘わらず、ＭＣアプリケーション２２１を常駐させることが可能になる。また、ＭＣアプリケーション２２１をサービスアプリケーション２１１より早く起動することが可能になる。さらに検証処理部３８４は、ＭＣアプリケーション２２１のチェックサム値を検証する。演算したチェックサム値とＭＣアプリケーション２２１に登録してあるチェックサム値が一致すればＭＣアプリケーション２２１には誤りがないことが確認される。

　ステップＳ１６において、上位端末５１のサービス用ドメイン作成部３０９は、サービス用ドメイン作成コマンドを作成する。そして送信部３０２は、サービス用ドメインの作成コマンドを送信する。このコマンドは図１５に示されるように暗号化パッケージとされている。

　図１５は、サービス用ドメイン作成要求パッケージ５０４例を示す図である。サービス用ドメイン作成要求パッケージ５０４は、サービス用ドメイン作成要求のメッセージと、その署名とにより構成されている。サービス用ドメイン作成部３０９は、サービス用ドメイン作成要求のメッセージを作成する。このメッセージは、サービス用ドメイン２０１の作成を要求するコマンドとなるメッセージであり、平文である。

　サービス用ドメイン作成要求のメッセージは認定装置４３に送信される。認定装置４３は、サービス用ドメイン作成要求のメッセージをハッシュ関数を用いて圧縮する。さらに認定装置４３は、圧縮した結果を、認定装置秘密鍵により暗号化し、署名とする。認定装置４３は、サービス用ドメイン作成要求のメッセージとその署名をペアとして組み合わせ、サービス用ドメイン作成要求パッケージ５０４を作成する。サービス用ドメイン作成要求パッケージ５０４は認定装置４３から上位端末５１に送信される。

　ステップＳ５６において端末ＳＡＭファームウェア１６１の受信部３８３は、上位端末５１から送信されてきたサービス用ドメイン作成要求パッケージ５０４を受信する。検証処理部３８４は、受信した暗号化パッケージを署名検証する。すなわち、検証処理部３８４は、サービス用ドメイン作成要求パッケージ５０４の署名を認定機関公開鍵４１４により復号する。これによりハッシュ関数により圧縮されたサービス用ドメインの作成要求のメッセージが得られる。また検証処理部３８４は、平文のサービス用ドメイン作成要求のメッセージにハッシュ関数を適用して圧縮する。そして検証処理部３８４は、復号して得た圧縮値と、平文を圧縮して得た圧縮値とを比較する。

　両者が一致していれば、すなわち検証に成功すれば、サービス用ドメイン作成要求パッケージ５０４に記載されている平文のサービス用ドメイン作成要求のメッセージは、改ざんされていない真正なものであることになる。これに対して両者が一致していなければ、すなわち検証に失敗すれば、サービス用ドメイン作成要求メッセージは改ざんされたものであることになる。この場合、ＭＣアプリケーション２２１とサービスアプリケーション２１１を登録する処理は終了とされる。それまでの処理は無効とされる。

　以上のようにして検証に成功した場合、サービス用ドメイン作成部３８８は、不揮発メモリ９１にサービス用ドメイン２０１を作成する。

　ステップＳ１７において上位端末５１のサービスアプリケーション作成部３０８は、サービスアプリケーション２１１を作成する。このサービスアプリケーション２１１により端末ＳＡＭ６１における決済処理の制御が行われる。サービスアプリケーション２１１の優先度は、ＭＣアプリケーション２２１と端末ＳＡＭファームウェア１６１の優先度より低いものとされる。ＭＣアプリケーション２２１と端末ＳＡＭファームウェア１６１の動作を邪魔しないようにするためである。また、サービスアプリケーション２１１が利用できる端末ＳＡＭファームウェア１６１のＡＰＩ（Application Interface）は、ＭＣアプリケーション２２１のそれとは異なるものとされる。サービスプログラムのプログラム実行領域、プログラム優先度は、ＭＣアプリケーション２２１が許可するものが設定される。

　さらに上位端末５１のサービスアプリケーション登録部３１０は、サービス用ドメインへのサービスアプリケーションの登録コマンドを作成し、送信部３０２はこれを送信する。このコマンドは図１６に示されるように暗号化パッケージとされている。

　図１６は、サービス用ドメインへの登録要求パッケージ５０５例を示す図である。サービス用ドメインへの登録要求パッケージ５０５は、サービス用ドメインへのサービスアプリケーション登録要求のメッセージおよびサービスアプリケーションと、その署名とにより構成されている。サービスアプリケーション登録部３１０は、サービス用ドメインへのサービスアプリケーション登録要求のメッセージを作成する。このメッセージは、サービス用ドメイン２０１へのサービスアプリケーション２１１の登録を要求するメッセージであり、平文である。サービスアプリケーション２１１も同様に平文である。

　サービス用ドメインへのサービスアプリケーション登録要求のメッセージとサービスアプリケーション２１１は、認証装置４３に送信される。認証装置４３は、サービス用ドメインへのサービスアプリケーション登録要求のメッセージとサービスアプリケーション２１１をハッシュ関数を用いて圧縮する。さらに認証装置４３は、圧縮した結果を、認証機関秘密鍵により暗号化し、署名とする。認証装置４３は、サービス用ドメインへのサービスアプリケーション登録要求のメッセージとその署名をペアとして組み合わせ、サービス用ドメインへの登録要求パッケージ５０５を作成する。サービス用ドメインへの登録要求パッケージ５０５は認定装置４３から上位端末５１に送信される。

　ステップＳ５７において端末ＳＡＭファームウェア１６１の受信部３８３は、暗号化パッケージ、すなわちサービス用ドメインへのサービスアプリケーションの登録コマンドを受信する。検証処理部３８４は暗号化パッケージを署名検証する。すなわち、検証処理部３８４は、サービス用ドメインへの登録要求パッケージ５０５の署名を認証機関公開鍵４１４により復号する。これによりハッシュ関数により圧縮されたサービス用ドメインへのサービスアプリケーション登録要求のメッセージとサービスアプリケーション２１１が得られる。また検証処理部３８４は、平文のサービス用ドメインへのサービスアプリケーション登録要求のメッセージとサービスアプリケーション２１１にハッシュ関数を適用して圧縮する。そして検証処理部３８４は、復号して得た圧縮値と、平文を圧縮して得た圧縮値とを比較する。

　両者が一致していれば、すなわち検証に成功すれば、サービス用ドメインへのサービスアプリケーション登録要求パッケージ５０５に記載されている平文のサービス用ドメインへのサービスアプリケーション登録要求のメッセージとサービスアプリケーション２１１は、改ざんされていない真正なものであることになる。これに対して両者が一致していなければ、すなわち検証に失敗すれば、サービス用ドメインへのサービスアプリケーション登録要求のメッセージまたはサービスアプリケーション２１１は改ざんされたものであることになる。この場合、ＭＣアプリケーション２２１とサービスアプリケーション２１１を登録する処理は終了とされる。それまでの処理は無効とされる。

　検証に成功した場合、サービスアプリケーション登録部３８９は、受信したサービスアプリケーション２１１を、ステップＳ５６の処理で不揮発メモリ９１に作成したサービス用ドメイン２０１に登録する。さらに検証処理部３８４は、サービスアプリケーション２１１のチェックサム値を検証する。演算したチェックサム値とサービスアプリケーション２１１に登録してあるチェックサム値が一致すればサービスアプリケーション２１１には誤りがないことが確認される。

　ステップＳ１８において上位端末５１の有効化部３１１は、ＭＣコマンドの有効化コマンドを作成する。送信部３０２は、ＭＣコマンドの有効化コマンドを送信する。

　ステップＳ５８において端末ＳＡＭファームウェア１６１の受信部３８３は、ＭＣコマンドの有効化コマンドを受信する。起動部３９０は、端末ＳＡＭ６１の状態をＭＣ有効状態に変更する。具体的には、記憶部３８１に、有効化情報としてのＭＣ許可フラグ４１２がオンに設定され、記憶される。このＭＣ許可フラグ４１２は、後述する図１７のステップＳ８３において判定処理に用いられる。すなわち、端末ＳＡＭ６１は、次回の起動時に、このＭＣ許可フラグ４１２がオンに設定されている場合には、ＭＣ起動モードで起動される。ＭＣ許可フラグ４１２がオンに設定されていない場合、すなわちオフに設定されている場合、ＭＣアプリケーション２２１は起動されない。従って上位端末５１の管理者は、有効化を行うか否かの選択を行うことで、ＭＣアプリケーション２２１の起動を自由に選択することができる。

　ステップＳ１９において上位端末５１の送信部３０２は、再起動コマンドを送信する。

　ステップＳ５９において端末ＳＡＭファームウェア１６１の受信部３８３は、再起動コマンドを受信する。起動部３９０は、端末ＳＡＭ６１をシステムリセットし、再起動させる。

　以上のようにして上位端末５１により作成されたＭＣアプリケーション２２１とサービスアプリケーション２１１が端末ＳＡＭ６１に設定される。

［システム電源起動処理］

　図１７は、システム電源起動処理を説明するフローチャートである。次にこの図１７を参照して、端末ＳＡＭ６１におけるシステム電源起動処理を説明する。この処理は、例えば端末ＳＡＭ６１の電源をオンするなどして起動が指示された場合に実行される。

　ステップＳ８１において端末ＳＡＭファームウェア１６１のＯＳ１７１が起動する。ステップＳ８２においてＯＳ１７１がサービスミドルウェア１８１を起動する。ステップＳ８３においてサービスミドルウェア１８１はＭＣ許可フラグ４１２はオンかを判定する。ＭＣ許可フラグ４１２は図１１のステップＳ１８，Ｓ５８の処理でオンまたはオフに設定されている。

　ＭＣ許可フラグ４１２がオンに設定されているとき、ステップＳ８４においてサービスミドルウェア１８１はＭＣ登録がされているかを判定する。すなわち、図１１のステップＳ５５の処理により、ＭＣアプリケーション２２１が不揮発メモリ９２の実行領域に登録されているかが判定される。

　ＭＣアプリケーション２２１が登録されている場合、ステップＳ８５においてＯＳ１７１は、ＭＣバイナリに整合性があるかを判定する。具体的には、チェックサム値が登録したものと一致しているか、ヘッダに記録されているタスク数、カーネルリソース数が違反しているか、優先順位が守られているか、といったことの確認が行われる。ＭＣバイナリに整合性がある場合、ステップＳ８６においてＯＳ１７１は、ＭＣアプリケーション２２１を起動する。

　ステップＳ８３においてＭＣ許可フラグ４１２がオフされていると判定された場合、ステップＳ８６のＭＣアプリケーション２２１の起動処理は実行されない。ステップＳ８４においてＭＣアプリケーション２２１が登録されていないと判定された場合にも、ステップＳ８６のＭＣアプリケーション２２１の起動処理は実行されない。さらにステップＳ８５においてＭＣバイナリに整合性がないと判定された場合、すなわち、起動不可能なバイナリである場合にも、ＭＣアプリケーション２２１の起動処理は実行されない。

　以上、システム電源起動処理について説明した。

［ＭＣアプリケーションとサービスアプリケーションの構成］

　次に決済サービス処理について説明する前に、ＭＣアプリケーション２２１とサービスアプリケーション２１１の構成について説明する。

　図１８は、ＭＣアプリケーション２２１の機能的構成を示す図である。同図に示されるように、ＭＣアプリケーション２２１は、受信部５５１、送信部５５２、および制御部５５３を有している。

　受信部５５１は、情報を受信する。送信部５５２は、情報を送信する。制御部５５３は、各種の制御を行う。

　図１９は、サービスアプリケーション２１１の機能的構成を示す図である。サービスアプリケーション２１１は、受信部５８１、送信部５８２、および制御部５８３を有している。

　受信部５８１は、情報を受信する。送信部５８２は、情報を送信する。制御部５８３は、各種の制御を行う。

［決済サービス処理］

　図２０と図２１は、決済サービス処理を説明するフローチャートである。以下、これらの図を参照して、決済サービス処理を説明する。

　ステップＳ１５１において端末ＳＡＭファームウェア１６１は、ＭＣの起動処理を実行する。具体的には、図１１のステップＳ５９の再起動処理により、図１７のシステム電源起動処理が実行される。すなわち、図１７を参照して説明したステップＳ８３，Ｓ８４，Ｓ８５の条件が充足されるとき、端末ＳＡＭファームウェア１６１の起動部３９０はＭＣアプリケーション２２１に起動を指示する。ステップＳ１２１においてＭＣアプリケーション２２１の受信部５５１はこの指示を受信する。制御部５５３はこの指示に基づいて、ＭＣアプリケーション２２１を起動する。

　このように、ＭＣ許可フラグ４１２がオンされていれば、端末ＳＡＭ６１の起動と同時に、ＭＣアプリケーション２２１を起動することができる。

　ステップＳ１０１において上位端末５１の送信部３０２は、運用モードで決済サービスの実行を要求するアクティベーションコマンドをＭＣアプリケーション２２１に送信する。アクティベーションパスワードを含むこのコマンドは、シリアルインタフェイス１０３を介して送信される。ＭＣアプリケーション２２１は、端末ＳＡＭ６１の通信デバイスを自由に制御することができるので、ＭＣアプリケーション２２１が独自の通信路と独自のプロトコルを規定して、上位端末５１と通信を行うことができる。

　ステップＳ１２２においてＭＣアプリケーション２２１の受信部５５１は、このコマンドを受信する。上位端末５１からのアクティベーションコマンドを受けて、ステップＳ１２３において制御部５５３は、端末ＳＡＭ６１のＡＰＩを用いてアクティベーション要求をする。

　ステップＳ１５２において端末ＳＡＭファームウェア１６１の受信部３８３は、アクティベーション要求を受信する。検証処理部３８４は、アクティベーションパスワードを照合する。すなわち、記憶部３８１に予め記憶されているパスワード４１３と受信されたパスワードとが比較され、両者が一致した場合、起動部３９０はアクティベーションする。そしてステップＳ１５３において送信部３８２は、アクティベーションが成功したことを示すレスポンスを送信する。

　ステップＳ１２４においてＭＣアプリケーション２２１の受信部５５１は、端末ＳＡＭファームウェア１６１からのレスポンスを受信する。これによりアクティベーションの成功が確認される。

　ステップＳ１０２において上位端末５１の送信部３０２は、決済サービスを実行するサービスアプリケーション２１１を起動させるため、決済サービス開始要求コマンドをＭＣアプリケーション２２１に送信する。

　ステップＳ１２５においてＭＣアプリケーション２２１の受信部５５１はこのコマンドを受信する。ステップＳ１２６において送信部５５２は、端末ＳＡＭ６１のＡＰＩを用いてサービスアプリケーション２１１の起動要求をする。

　ステップＳ１５４において端末ＳＡＭファームウェア１６１の受信部３８３は、起動要求を受信する。起動部３９０（すなわち図６の端末ＳＡＭコマンド実行サービス部１９４）は不揮発メモリ９１のサービス用ドメイン２０１に保存されていたサービスアプリケーション２１１を読み出し、揮発メモリ９３のサービスアプリケーション実行領域に展開させる。ＭＣアプリケーション２２１の実行領域は不揮発メモリ９２とされるのに対して、サービスアプリケーション２１１の実行領域は揮発メモリ９３とされる。このように実行領域を異なるメモリに形成することで、ＯＳ１７１により相互に不正なアクセスができないようになる。そしてＭＣアプリケーション２２１がサービスアプリケーション２１１によりデータの改ざんを受けたり、破壊されることが防止される。さらに図１７のステップＳ８５における場合と同様に、起動部３９０はサービスアプリケーション２１１の整合性を確認する。

　サービスアプリケーション２１１の整合性が確認されたとき、ステップＳ１５５において送信部３８２は、起動要求で指定されたサービスアプリケーション２１１の起動を指示する。

　ステップＳ１８１においてサービスアプリケーション２１１の受信部５８１はこの指示を受信する。制御部５８３は起動処理を実行する。

　ステップＳ１５６において端末ＳＡＭファームウェア１６１の送信部３８２は、ＭＣアプリケーション２２１に成功のレスポンスを送信する。

　ステップＳ１２７においてＭＣアプリケーション２２１の受信部５５１は、成功のレスポンスを受信する。これによりサービスアプリケーション２１１の起動の成功が確認される。

　ステップＳ１８２においてサービスアプリケーション２１１の制御部５８３は、ＩＣカード７１へ決済情報を書き込むためのＡＰＩをコールする。

　ステップＳ１５７において端末ＳＡＭファームウェア１６１の受信部３８３は、ＡＰＩのコールを受け付ける。書き込み部３８７は、ＩＣカード７１の書き込みＡＰＩを用いて決済処理を行う。すなわち、アンテナ部６２のＲＦが起動され、ＩＣカード７１に決済情報が書き込まれ、決済が完了される。ステップＳ１５８において送信部３８２は、書き込み成功のレスポンスを送信する。

　ステップＳ１８３においてサービスアプリケーション２１１の受信部５８１は、このレスポンスを受信する。ステップＳ１８４において送信部５８２は、決済完了をＡＰＩを用いて通知する。

　ステップＳ１２８においてＭＣアプリケーション２２１の受信部５５１は、この通知を受信する。決済完了の通知を受けたＭＣアプリケーション２２１は決済情報の表示を行う。すなわち、端末ＳＡＭ６１の表示デバイス８１への決済完了の表示を指示するため、ステップＳ１２９においてＭＣアプリケーション２２１の送信部５５２は、ＳＰＩドライバデータ送信ＡＰＩをコールする。

　ステップＳ１５９において端末ＳＡＭファームウェア１６１の受信部３８３は、ＳＰＩドライバデータ送信ＡＰＩのコールを受け付ける。ＳＰＩドライバは指定された通信インタフェイス１０１を介して（すなわち指定されたＳＰＩのポートを利用して）表示デバイス８１に、データを送信する。その結果、表示デバイス８１に決済情報が表示される。

　ステップＳ１６０において端末ＳＡＭファームウェア１６１の送信部３８２は、送信完了のレスポンスを送信する。

　ステップＳ１３０においてＭＣアプリケーション２２１の受信部５５１は、このレスポンスを受信する。

　さらに決済完了音を端末ＳＡＭ６１のサウンドデバイス８２から出力させるために、ステップＳ１３１においてＭＣアプリケーション２２１の送信部５５２は、サウンドドライバＡＰＩをコールする。

　ステップＳ１６１において端末ＳＡＭファームウェア１６１の受信部３８３は、サウンドドライバＡＰＩのコールを受け付ける。サウンドドライバは、指定されたサウンドデータを、サウンドデバイス８２に出力する。これにより、Ｉ２Ｓの通信インタフェイス１０２を介して決済確認音の鳴動が行われる。

　表示と鳴動が完了したとき、ステップＳ１６２において送信部３８２は、完了のレスポンスを送信する。

　ステップＳ１３２においてＭＣアプリケーション２２１の受信部５５１は、このレスポンスを受信する。ステップＳ１３３において送信部５５２は、サービスアプリケーション２１１の終了を要求するＡＰＩをコールする。

　ステップＳ１６３において端末ファームウェア１６１の受信部３８３は、この要求を受信する。ステップＳ１６４において送信部３８２は、サービスアプリケーション２１１の終了を指示する。

　ステップＳ１８５においてサービスアプリケーション２１１の受信部５８１がこの指示を受信する。制御部５８３はサービスアプリケーション２１１を終了させる。

　ステップＳ１３４においてＭＣアプリケーション２２１の送信部５５２は、決済サービス完了のレスポンスを送信する。

　ステップＳ１０３において上位端末５１の受信部３０３は、このレスポンスを受信し、決済処理の完了を確認する。

　以上、決済処理について説明した。

［決済システムの構成］

　図２２は、端末ＳＡＭクライアント４１の構成を示すブロック図である。図２２を図１と比較して明らかなように、この端末ＳＡＭクライアント４１においては、図１の決済システム１のＵＩ制御用端末２１が設けられていない。

　従って、図１の端末ＳＡＭ２２は、サービスアプリケーション２１１を有し、ＲＦ制御などを行う他、ＵＩ制御用端末２１との通信制御を行う。これに対して、図２２の端末ＳＡＭ６１は、サービスアプリケーション２１１を有し、ＲＦ制御などを行う他、上位端末５１との通信制御、表示デバイス８１，サウンドデバイス８２などのＵＩデバイス制御を行う。従って、従来ＵＩ制御用端末２１で行っていたユーザ独自の処理を、端末ＳＡＭ６１内に取り込むことが可能になる。

　以上、本技術を決済システムに適用した場合を例として説明したが、本技術は他の情報処理システムに適用することが可能である。

[本技術のプログラムへの適用]

　上述した一連の処理は、ハードウェアにより実行させることもできるし、ソフトウェアにより実行させることができる。

　一連の処理をソフトウェアにより実行させる場合には、そのソフトウェアを構成するプログラムが、専用のハードウェアに組み込まれているコンピュータ、または、各種のプログラムをインストールすることで、各種の機能を実行することが可能な、例えば汎用のパーソナルコンピュータなどに、ネットワークや記録媒体からインストールされる。

　このようなプログラムを含む記録媒体は、装置本体とは別に、ユーザにプログラムを提供するために配布される、プログラムが記録されている磁気ディスク（フロッピディスクを含む）、光ディスク（CD-ROM(Compact Disk-Read Only Memory),DVDを含む）、光磁気ディスク（MD（Mini-Disk）を含む）、もしくは半導体メモリなどよりなる記録媒体により構成されるだけでなく、装置本体に予め組み込まれた状態でユーザに提供される、プログラムが記録されているフラッシュROMや、ハードディスクなどで構成される。

［その他］

　なお、本明細書において、システムとは、複数の光栄要素により構成される１台以上の装置全体を表すものである。

　また、ネットワークとは、少なくとも２つの装置が接続され、ある装置から、他の装置に対して、情報の伝達をできるようにした仕組みをいう。ネットワークを介して通信する装置は、独立した装置どうしであっても良いし、１つの装置を構成している内部ブロックどうしであっても良い。

　また、通信とは、無線通信および有線通信は勿論、無線通信と有線通信とが混在した通信、即ち、ある区間では無線通信が行われ、他の区間では有線通信が行われるようなものであっても良い。さらに、ある装置から他の装置への通信が有線通信で行われ、他の装置からある装置への通信が無線通信で行われるようなものであっても良い。

　本明細書において、記録媒体に記録されるプログラムを記述するステップは、その順序に沿って時系列的に行われる処理はもちろん、必ずしも時系列的に処理されなくとも、並列的あるいは個別に実行される処理をも含むものである。各ステップは異なる装置により分担して実施させたり、また１つのステップは異なる装置により分担して実施させることができる。

　本技術の実施の形態は、上述した実施の形態に限定されるものではなく、本技術の要旨を逸脱しない範囲において種々の変更が可能である。

　また本技術は、以下のような構成もとることができる。
（１）
　ＩＣカードと通信する他の情報処理装置のデバイスを制御する第１のアプリケーションを作成する第１のアプリケーション作成手段と、
　前記第１のアプリケーションを登録する第１のドメインを前記他の情報処理装置に作成させる第１のドメイン作成手段と、
　前記第１のアプリケーションを前記他の情報処理装置の前記第１のドメインに登録させる第１のアプリケーション登録手段と、
　前記第１のアプリケーションを前記他の情報処理装置の実行領域に書き込ませる書き込み手段と、
　前記ＩＣカードに対する処理を行う第２のアプリケーションを作成する第２のアプリケーション作成手段と、
　前記第２のアプリケーションを登録する第２のドメインを前記他の情報処理装置に作成させる第２のドメイン作成手段と、
　前記第２のアプリケーションを前記他の情報処理装置の前記第２のドメインに登録させる第２のアプリケーション登録手段と
　を備える情報処理装置。
（２）
　前記第１のドメインの作成、前記第１のドメインへの登録、前記実行領域への書き込み、前記第２のドメインの作成、および前記第２のドメインへの登録のコマンドのそれぞれは、暗号化パッケージとして前記他の情報処理装置に送信される
　前記（１）に記載の情報処理装置。
（３）
　前記書き込み手段は、前記第１のアプリケーションを、前記第２のアプリケーションの実行領域が形成されているメモリとは異なるメモリに形成された前記第１のアプリケーションの実行領域に書き込ませる
　前記（１）または（２）に記載の情報処理装置。
（４）
　前記第１のアプリケーションを有効化する有効化手段をさらに備える
　前記（１）、（２）または（３）に記載の情報処理装置。
（５）
　前記第１のアプリケーションは有効化されている場合、前記他の情報処理装置が起動されたとき起動される
　前記（４）に記載の情報処理装置。
（６）
　前記第１のアプリケーションは、前記他の情報処理装置のファームウェアより高い優先度を有する
　前記（１）乃至（５）のいずれかに記載の情報処理装置。
（７）
　前記情報処理装置はＰＯＳ端末であり、
　前記他の情報処理装置はＩＣカードのリーダライタである
　前記（１）乃至（６）のいずれかに記載の情報処理装置。
（８）
　ＩＣカードと通信する他の情報処理装置のデバイスを制御する第１のアプリケーションを作成する第１のアプリケーション作成ステップと、
　前記第１のアプリケーションを登録する第１のドメインを前記他の情報処理装置に作成させる第１のドメイン作成ステップと、
　前記第１のアプリケーションを前記他の情報処理装置の前記第１のドメインに登録させる第１のアプリケーション登録ステップと、
　前記第１のアプリケーションを前記他の情報処理装置の実行領域に書き込ませる書き込みステップと、
　前記ＩＣカードに対する処理を行う第２のアプリケーションを作成する第２のアプリケーション作成ステップと、
　前記第２のアプリケーションを登録する第２のドメインを前記他の情報処理装置に作成させる第２のドメイン作成ステップと、
　前記第２のアプリケーションを前記他の情報処理装置の前記第２のドメインに登録させる第２のアプリケーション登録ステップと
　を含む情報処理方法。
（９）
　コンピュータに、
　ＩＣカードと通信する他の情報処理装置のデバイスを制御する第１のアプリケーションを作成する第１のアプリケーション作成ステップと、
　前記第１のアプリケーションを登録する第１のドメインを前記他の情報処理装置に作成させる第１のドメイン作成ステップと、
　前記第１のアプリケーションを前記他の情報処理装置の前記第１のドメインに登録させる第１のアプリケーション登録ステップと、
　前記第１のアプリケーションを前記他の情報処理装置の実行領域に書き込ませる書き込みステップと、
　前記ＩＣカードに対する処理を行う第２のアプリケーションを作成する第２のアプリケーション作成ステップと、
　前記第２のアプリケーションを登録する第２のドメインを前記他の情報処理装置に作成させる第２のドメイン作成ステップと、
　前記第２のアプリケーションを前記他の情報処理装置の前記第２のドメインに登録させる第２のアプリケーション登録ステップと
　を実行させるプログラム。
（１０）
　他の情報処理装置からの指示に基づいて、デバイスを制御する第１のアプリケーションを登録する第１のドメインを作成する第１のドメイン作成手段と、
　前記他の情報処理装置からの指示に基づいて、前記他の情報処理装置から受信した前記第１のアプリケーションを、前記第１のドメインに登録する第１のアプリケーション登録手段と、
　前記他の情報処理装置からの指示に基づいて、前記第１のアプリケーションを実行領域に書き込む書き込み手段と、
　前記他の情報処理装置からの指示に基づいて、ＩＣカードに対する処理を行う第２のアプリケーションを登録する第２のドメインを作成する第２のドメイン作成手段と、
　前記他の情報処理装置からの指示に基づいて、前記他の情報処理装置から受信した前記第２のアプリケーションを、前記第２のドメインに登録する第２のアプリケーション登録手段と
　を備える情報処理装置。
（１１）
　前記書き込み手段は、前記第１のアプリケーションを、前記第２のアプリケーションの実行領域が形成されているメモリとは異なるメモリに形成された前記第１のアプリケーションの実行領域に書き込む
　前記（１０）に記載の情報処理装置。
（１２）
　前記第１のアプリケーションが前記他の情報処理装置により有効化されたことを表す有効化情報を記憶する記憶手段をさらに備え、
　前記第１のアプリケーションは有効化されているとき、前記情報処理装置が起動されたとき起動される
　前記（１０）または（１１）に記載の情報処理装置。
（１３）
　前記第１のアプリケーションは、前記情報処理装置のファームウェアより高い優先度を有する
　前記（１０）、（１１）または（１２）に記載の情報処理装置。
（１４）
　前記情報処理装置はＩＣカードのリーダライタであり、
　前記他の情報処理装置はＰＯＳ端末である
　前記（１０）乃至（１３）のいずれかに記載の情報処理装置。
（１５）
　他の情報処理装置からの指示に基づいて、デバイスを制御する第１のアプリケーションを登録する第１のドメインを作成する第１のドメイン作成ステップと、
　前記他の情報処理装置からの指示に基づいて、前記他の情報処理装置から受信した前記第１のアプリケーションを、前記第１のドメインに登録する第１のアプリケーション登録ステップと、
　前記他の情報処理装置からの指示に基づいて、前記第１のアプリケーションを実行領域に書き込む書き込みステップと、
　前記他の情報処理装置からの指示に基づいて、ＩＣカードに対する処理を行う第２のアプリケーションを登録する第２のドメインを作成する第２のドメイン作成ステップと、
　前記他の情報処理装置からの指示に基づいて、前記他の情報処理装置から受信した前記第２のアプリケーションを、前記第２のドメインに登録する第２のアプリケーション登録ステップと
　を含む情報処理装置の情報処理方法。
（１６）
　情報処理装置の動作を制御するコンピュータに、
　他の情報処理装置からの指示に基づいて、デバイスを制御する第１のアプリケーションを登録する第１のドメインを作成する第１のドメイン作成ステップと、
　前記他の情報処理装置からの指示に基づいて、前記他の情報処理装置から受信した前記第１のアプリケーションを、前記第１のドメインに登録する第１のアプリケーション登録ステップと、
　前記他の情報処理装置からの指示に基づいて、前記第１のアプリケーションを実行領域に書き込む書き込みステップと、
　前記他の情報処理装置からの指示に基づいて、ＩＣカードに対する処理を行う第２のアプリケーションを登録する第２のドメインを作成する第２のドメイン作成ステップと、
　前記他の情報処理装置からの指示に基づいて、前記他の情報処理装置から受信した前記第２のアプリケーションを、前記第２のドメインに登録する第２のアプリケーション登録ステップと
　を実行させるプログラム。

３１　情報処理システム，　４１－１乃至４１－３　端末ＳＡＭクライアント，　４２　ネットワーク，　４３　認定装置，　４４－１乃至４４－３　サーバ，　４５　鍵サーバ，　５１　上位端末，　５２　決済端末，　６１　端末ＳＡＭ，　６２　アンテナ部，　７１　ＩＣカード，　９１，９２　不揮発メモリ，　９３　揮発メモリ

Claims

　ＩＣカードと通信する他の情報処理装置のデバイスを制御する第１のアプリケーションを作成する第１のアプリケーション作成手段と、
　前記第１のアプリケーションを登録する第１のドメインを前記他の情報処理装置に作成させる第１のドメイン作成手段と、
　前記第１のアプリケーションを前記他の情報処理装置の前記第１のドメインに登録させる第１のアプリケーション登録手段と、
　前記第１のアプリケーションを前記他の情報処理装置の実行領域に書き込ませる書き込み手段と、
　前記ＩＣカードに対する処理を行う第２のアプリケーションを作成する第２のアプリケーション作成手段と、
　前記第２のアプリケーションを登録する第２のドメインを前記他の情報処理装置に作成させる第２のドメイン作成手段と、
　前記第２のアプリケーションを前記他の情報処理装置の前記第２のドメインに登録させる第２のアプリケーション登録手段と
　を備える情報処理装置。
　前記第１のドメインの作成、前記第１のドメインへの登録、前記実行領域への書き込み、前記第２のドメインの作成、および前記第２のドメインへの登録のコマンドのそれぞれは、暗号化パッケージとして前記他の情報処理装置に送信される
　請求項１に記載の情報処理装置。
　前記書き込み手段は、前記第１のアプリケーションを、前記第２のアプリケーションの実行領域が形成されているメモリとは異なるメモリに形成された前記第１のアプリケーションの実行領域に書き込ませる
　請求項２に記載の情報処理装置。
　前記第１のアプリケーションを有効化する有効化手段をさらに備える
　請求項３に記載の情報処理装置。
　前記第１のアプリケーションは有効化されている場合、前記他の情報処理装置が起動されたとき起動される
　請求項４に記載の情報処理装置。
　前記第１のアプリケーションは、前記他の情報処理装置のファームウェアより高い優先度を有する
　請求項５に記載の情報処理装置。
　前記情報処理装置はＰＯＳ端末であり、
　前記他の情報処理装置はＩＣカードのリーダライタである
　請求項６に記載の情報処理装置。
　ＩＣカードと通信する他の情報処理装置のデバイスを制御する第１のアプリケーションを作成する第１のアプリケーション作成ステップと、
　前記第１のアプリケーションを登録する第１のドメインを前記他の情報処理装置に作成させる第１のドメイン作成ステップと、
　前記第１のアプリケーションを前記他の情報処理装置の前記第１のドメインに登録させる第１のアプリケーション登録ステップと、
　前記第１のアプリケーションを前記他の情報処理装置の実行領域に書き込ませる書き込みステップと、
　前記ＩＣカードに対する処理を行う第２のアプリケーションを作成する第２のアプリケーション作成ステップと、
　前記第２のアプリケーションを登録する第２のドメインを前記他の情報処理装置に作成させる第２のドメイン作成ステップと、
　前記第２のアプリケーションを前記他の情報処理装置の前記第２のドメインに登録させる第２のアプリケーション登録ステップと
　を含む情報処理方法。
　コンピュータに、
　ＩＣカードと通信する他の情報処理装置のデバイスを制御する第１のアプリケーションを作成する第１のアプリケーション作成ステップと、
　前記第１のアプリケーションを登録する第１のドメインを前記他の情報処理装置に作成させる第１のドメイン作成ステップと、
　前記第１のアプリケーションを前記他の情報処理装置の前記第１のドメインに登録させる第１のアプリケーション登録ステップと、
　前記第１のアプリケーションを前記他の情報処理装置の実行領域に書き込ませる書き込みステップと、
　前記ＩＣカードに対する処理を行う第２のアプリケーションを作成する第２のアプリケーション作成ステップと、
　前記第２のアプリケーションを登録する第２のドメインを前記他の情報処理装置に作成させる第２のドメイン作成ステップと、
　前記第２のアプリケーションを前記他の情報処理装置の前記第２のドメインに登録させる第２のアプリケーション登録ステップと
　を実行させるプログラム。
　他の情報処理装置からの指示に基づいて、デバイスを制御する第１のアプリケーションを登録する第１のドメインを作成する第１のドメイン作成手段と、
　前記他の情報処理装置からの指示に基づいて、前記他の情報処理装置から受信した前記第１のアプリケーションを、前記第１のドメインに登録する第１のアプリケーション登録手段と、
　前記他の情報処理装置からの指示に基づいて、前記第１のアプリケーションを実行領域に書き込む書き込み手段と、
　前記他の情報処理装置からの指示に基づいて、ＩＣカードに対する処理を行う第２のアプリケーションを登録する第２のドメインを作成する第２のドメイン作成手段と、
　前記他の情報処理装置からの指示に基づいて、前記他の情報処理装置から受信した前記第２のアプリケーションを、前記第２のドメインに登録する第２のアプリケーション登録手段と
　を備える情報処理装置。
　前記書き込み手段は、前記第１のアプリケーションを、前記第２のアプリケーションの実行領域が形成されているメモリとは異なるメモリに形成された前記第１のアプリケーションの実行領域に書き込む
　請求項１０に記載の情報処理装置。
　前記第１のアプリケーションが前記他の情報処理装置により有効化されたことを表す有効化情報を記憶する記憶手段をさらに備え、
　前記第１のアプリケーションは有効化されているとき、前記情報処理装置が起動されたとき起動される
　請求項１１に記載の情報処理装置。
　前記第１のアプリケーションは、前記情報処理装置のファームウェアより高い優先度を有する
　請求項１２に記載の情報処理装置。
　前記情報処理装置はＩＣカードのリーダライタであり、
　前記他の情報処理装置はＰＯＳ端末である
　請求項１３に記載の情報処理装置。
　他の情報処理装置からの指示に基づいて、デバイスを制御する第１のアプリケーションを登録する第１のドメインを作成する第１のドメイン作成ステップと、
　前記他の情報処理装置からの指示に基づいて、前記他の情報処理装置から受信した前記第１のアプリケーションを、前記第１のドメインに登録する第１のアプリケーション登録ステップと、
　前記他の情報処理装置からの指示に基づいて、前記第１のアプリケーションを実行領域に書き込む書き込みステップと、
　前記他の情報処理装置からの指示に基づいて、ＩＣカードに対する処理を行う第２のアプリケーションを登録する第２のドメインを作成する第２のドメイン作成ステップと、
　前記他の情報処理装置からの指示に基づいて、前記他の情報処理装置から受信した前記第２のアプリケーションを、前記第２のドメインに登録する第２のアプリケーション登録ステップと
　を含む情報処理装置の情報処理方法。
　情報処理装置の動作を制御するコンピュータに、
　他の情報処理装置からの指示に基づいて、デバイスを制御する第１のアプリケーションを登録する第１のドメインを作成する第１のドメイン作成ステップと、
　前記他の情報処理装置からの指示に基づいて、前記他の情報処理装置から受信した前記第１のアプリケーションを、前記第１のドメインに登録する第１のアプリケーション登録ステップと、
　前記他の情報処理装置からの指示に基づいて、前記第１のアプリケーションを実行領域に書き込む書き込みステップと、
　前記他の情報処理装置からの指示に基づいて、ＩＣカードに対する処理を行う第２のアプリケーションを登録する第２のドメインを作成する第２のドメイン作成ステップと、
　前記他の情報処理装置からの指示に基づいて、前記他の情報処理装置から受信した前記第２のアプリケーションを、前記第２のドメインに登録する第２のアプリケーション登録ステップと
　を実行させるプログラム。