JP2002157554A - スマートカードのアクセス管理システム、共有方法及び記憶媒体 - Google Patents
スマートカードのアクセス管理システム、共有方法及び記憶媒体Info
- Publication number
- JP2002157554A JP2002157554A JP2001220865A JP2001220865A JP2002157554A JP 2002157554 A JP2002157554 A JP 2002157554A JP 2001220865 A JP2001220865 A JP 2001220865A JP 2001220865 A JP2001220865 A JP 2001220865A JP 2002157554 A JP2002157554 A JP 2002157554A
- Authority
- JP
- Japan
- Prior art keywords
- application
- smart card
- access
- exclusive
- exclusion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
(57)【要約】
【課題】 複数のアプリケーションによるアクセスに対
し、各アプリケーション(プロセス)毎に認証許可を与
えるスマートカードのアクセス管理システム及び管理方
法を提供することを課題とする。 【解決手段】 スマートカードへの複数のアクセス処理
を含むアプリケーション21は、各アクセス処理毎にス
マートカード22に対してアクセス要求を行う際、排他
制御機構11に対して排他獲得要求を行い、排他が得ら
れるとアクセス制御機構12に対してアクセスを要求す
る。アクセス制御機構12はアプリケーション21が未
認証ならばPINの入力を要求し、既に認証を得られて
いればスマートカード22へのアクセスを許可する。ア
プリケーション21はアクセス処理単位で排他獲得要求
/解除を行う。
し、各アプリケーション(プロセス)毎に認証許可を与
えるスマートカードのアクセス管理システム及び管理方
法を提供することを課題とする。 【解決手段】 スマートカードへの複数のアクセス処理
を含むアプリケーション21は、各アクセス処理毎にス
マートカード22に対してアクセス要求を行う際、排他
制御機構11に対して排他獲得要求を行い、排他が得ら
れるとアクセス制御機構12に対してアクセスを要求す
る。アクセス制御機構12はアプリケーション21が未
認証ならばPINの入力を要求し、既に認証を得られて
いればスマートカード22へのアクセスを許可する。ア
プリケーション21はアクセス処理単位で排他獲得要求
/解除を行う。
Description
【0001】
【発明の属する技術分野】本発明は、スマートカード上
のデータの複数プロセスによる共有した場合のスマート
カードのアクセス管理に関する。
のデータの複数プロセスによる共有した場合のスマート
カードのアクセス管理に関する。
【0002】
【従来の技術】スマートカードは、従来用いられている
磁気カードに比して非常に大きな容量のデータを記憶す
ることが出来ることなどから、様々な分野への使用が検
討され、あるいは実用化されている。
磁気カードに比して非常に大きな容量のデータを記憶す
ることが出来ることなどから、様々な分野への使用が検
討され、あるいは実用化されている。
【0003】またスマートカードは、内部にメモリと共
にCPUを備えており、このCPUを介してメモリ内の
データへアクセスを行うので、アクセス時にCPUに認
証処理を行わせることにより、従来の磁気カードに比べ
て高いセキュリティ性を実現出来、この点もスマートカ
ードのメリットとなっている。
にCPUを備えており、このCPUを介してメモリ内の
データへアクセスを行うので、アクセス時にCPUに認
証処理を行わせることにより、従来の磁気カードに比べ
て高いセキュリティ性を実現出来、この点もスマートカ
ードのメリットとなっている。
【0004】スマートカードはPIN(Personal Ident
ification Number)によるセキュリティ機能を持ってお
り、この機能によりPINの照合を行い、認証された場
合にだけカード内の秘密情報をアクセスすることができ
るように制御することが可能である。このPINによる
認証は、いわゆるパスワード入力方式で、スマートカー
ドを用いるユーザがPINとして例えばパスワードを入
力し、これをスマートカード内に記憶しているパスワー
ドとカード内で比較して、一致した場合に内部データへ
のアクセスを許可する。
ification Number)によるセキュリティ機能を持ってお
り、この機能によりPINの照合を行い、認証された場
合にだけカード内の秘密情報をアクセスすることができ
るように制御することが可能である。このPINによる
認証は、いわゆるパスワード入力方式で、スマートカー
ドを用いるユーザがPINとして例えばパスワードを入
力し、これをスマートカード内に記憶しているパスワー
ドとカード内で比較して、一致した場合に内部データへ
のアクセスを許可する。
【0005】スマートカードへのアクセスは、スマート
カードが持つ論理チャネルを通して行い、認証要求は論
理チャネルに対して行われる。そしてスマートカード
は、この論理チャネル毎にPINによる認証状態などセ
キュリティに関する状態を保持している。
カードが持つ論理チャネルを通して行い、認証要求は論
理チャネルに対して行われる。そしてスマートカード
は、この論理チャネル毎にPINによる認証状態などセ
キュリティに関する状態を保持している。
【0006】図15は、アプリケーションから見たスマ
ートカード内部の論理的構成を示したものである。スマ
ートカード内では、データをツリー構造の構成によって
管理しており、最上位にあるDIRの下層に、使用され
るアプリケーション毎の単位等でDF(Delicated Fil
e)が設けられている。そして、各DF内には実際のデ
ータを保持しているEF(Elementary File )が格納さ
れている。スマートカードからデータにアクセスする
際、アプリケーションは、まずアクセスを行うデータの
位置を示す位置付け情報を送って、目的のEFにアクセ
ス位置を移動した後、そのEFからデータの読みだし/
書込みを行う。また各チャネルは、現在のアクセス位置
を状態情報として保持している。
ートカード内部の論理的構成を示したものである。スマ
ートカード内では、データをツリー構造の構成によって
管理しており、最上位にあるDIRの下層に、使用され
るアプリケーション毎の単位等でDF(Delicated Fil
e)が設けられている。そして、各DF内には実際のデ
ータを保持しているEF(Elementary File )が格納さ
れている。スマートカードからデータにアクセスする
際、アプリケーションは、まずアクセスを行うデータの
位置を示す位置付け情報を送って、目的のEFにアクセ
ス位置を移動した後、そのEFからデータの読みだし/
書込みを行う。また各チャネルは、現在のアクセス位置
を状態情報として保持している。
【0007】
【発明が解決しようとする課題】現在スマートカードを
複数のアプリケーションで同時に使用する使い方が検討
されている。例えば公開鍵暗号方式をベースとしたPK
I(Public Key Instructure)システムを構築し、この
システム上のコンピュータで複数のアプリケーションが
稼動している場合に、各アプリケーションがデジタル署
名などによるセキュリティ認証にスマートカードを用い
ることが、現在スマートカードの1つの使用方法として
考えられている。
複数のアプリケーションで同時に使用する使い方が検討
されている。例えば公開鍵暗号方式をベースとしたPK
I(Public Key Instructure)システムを構築し、この
システム上のコンピュータで複数のアプリケーションが
稼動している場合に、各アプリケーションがデジタル署
名などによるセキュリティ認証にスマートカードを用い
ることが、現在スマートカードの1つの使用方法として
考えられている。
【0008】この場合、スマートカードを接続したコン
ピュータ上の複数のアプリケーションがスマートカード
を共用することになる。そして1つのスマートカードが
持つ論理チャネルの数はせいぜい2チャネル程度なの
で、多数のアプリケーションに同一のカードに対してア
クセスさせる場合、1つの論理チャネルを複数のアプリ
ケーションが共有する必要が出てくる。尚本明細書内の
以下の説明は、説明の簡略化のため、1つのアプリケー
ションは1つのプロセスで構成されることを前提として
おり、アプリケーションという言葉をプロセスと同義で
用いている。通常1つのアプリケーションは1つのプロ
セスで構成されることが多いが、複数のプロセスで構成
されている場合でも、アプリケーションをプロセスと置
換えて考えれば、以下の説明は基本的に同じである。
ピュータ上の複数のアプリケーションがスマートカード
を共用することになる。そして1つのスマートカードが
持つ論理チャネルの数はせいぜい2チャネル程度なの
で、多数のアプリケーションに同一のカードに対してア
クセスさせる場合、1つの論理チャネルを複数のアプリ
ケーションが共有する必要が出てくる。尚本明細書内の
以下の説明は、説明の簡略化のため、1つのアプリケー
ションは1つのプロセスで構成されることを前提として
おり、アプリケーションという言葉をプロセスと同義で
用いている。通常1つのアプリケーションは1つのプロ
セスで構成されることが多いが、複数のプロセスで構成
されている場合でも、アプリケーションをプロセスと置
換えて考えれば、以下の説明は基本的に同じである。
【0009】現行のスマートカードのセキュリティ方式
では、1つのアプリケーションがある論理チャネルに対
してPIN認証を行いアクセス許可を得ると、以降その
論理チャネルからは、認証が解除されるまでの間、認証
を受けたアプリケーションだけでなく他のアプリケーシ
ョンもアクセス出来てしまう。
では、1つのアプリケーションがある論理チャネルに対
してPIN認証を行いアクセス許可を得ると、以降その
論理チャネルからは、認証が解除されるまでの間、認証
を受けたアプリケーションだけでなく他のアプリケーシ
ョンもアクセス出来てしまう。
【0010】複数のアプリケーションで1つのカードの
同じ情報を共有することを、セキュリティの観点から考
えると、個々のアプリケーション毎にPINによる認証
を行った方がセキュリティレベルはより強固になる。し
かし、現行のスマートカードへのアクセス制御では、1
つの論理チャネルを複数のアプリケーションで共有する
場合、論理チャネル毎に認証が行われ各論理チャネルに
認証状態(アクセス許可を与えたか否か)が保持される
ため、1つのアプリケーションがPINによる認証を行
ってアクセス許可を得れば、他のアプリケーションはP
INによる認証を受けずに、その論理チャネルからカー
ドへのアクセスが可能となってしまう。
同じ情報を共有することを、セキュリティの観点から考
えると、個々のアプリケーション毎にPINによる認証
を行った方がセキュリティレベルはより強固になる。し
かし、現行のスマートカードへのアクセス制御では、1
つの論理チャネルを複数のアプリケーションで共有する
場合、論理チャネル毎に認証が行われ各論理チャネルに
認証状態(アクセス許可を与えたか否か)が保持される
ため、1つのアプリケーションがPINによる認証を行
ってアクセス許可を得れば、他のアプリケーションはP
INによる認証を受けずに、その論理チャネルからカー
ドへのアクセスが可能となってしまう。
【0011】また、上述したように各アプリケーション
は、カード内のデータにアクセスする際、位置付け情報
を論理チャネルに送信してアクセス位置を移動してから
データの書込み/読みだしを行うが、複数のアプリケー
ションが論理チャネルを共有する場合、各アプリケーシ
ョンはカレントのアクセス位置の把握が難しくなる。
は、カード内のデータにアクセスする際、位置付け情報
を論理チャネルに送信してアクセス位置を移動してから
データの書込み/読みだしを行うが、複数のアプリケー
ションが論理チャネルを共有する場合、各アプリケーシ
ョンはカレントのアクセス位置の把握が難しくなる。
【0012】上記問題点を鑑み、本発明は、複数のアプ
リケーション(プロセス)によるアクセスに対し、スマ
ートカードへの認証状態を一元管理することにより、各
アプリケーション(プロセス)毎に認証許可を与えるス
マートカードのアクセス管理システム及び管理方法を提
供することを課題とする。また、各アプリケーション
(プロセス)毎の認証を認証処理によるオーバヘッドを
大きくすること無く実現するアクセス管理システム及び
管理方法を提供することを課題とする。
リケーション(プロセス)によるアクセスに対し、スマ
ートカードへの認証状態を一元管理することにより、各
アプリケーション(プロセス)毎に認証許可を与えるス
マートカードのアクセス管理システム及び管理方法を提
供することを課題とする。また、各アプリケーション
(プロセス)毎の認証を認証処理によるオーバヘッドを
大きくすること無く実現するアクセス管理システム及び
管理方法を提供することを課題とする。
【0013】
【課題を解決するための手段】上記問題点を解決するた
め、本発明によるスマートカードのアクセス管理システ
ムは、複数のアプリケーションによるスマートカードへ
のアクセスを管理するものであって、排他制御手段及び
アクセス制御手段を備える。
め、本発明によるスマートカードのアクセス管理システ
ムは、複数のアプリケーションによるスマートカードへ
のアクセスを管理するものであって、排他制御手段及び
アクセス制御手段を備える。
【0014】排他制御手段は、アプリケーションからの
スマートカードに対する排他獲得要求に対し、該スマー
トカードに他のアプリケーションによって排他獲得済み
となっていない論理チャネルが存在すれば、該アプリケ
ーションを排他獲得済みとする。また上記排他制御手段
は、アプリケーションからのスマートカードに対する排
他獲得要求に対し、該スマートカードに他のアプリケー
ションによって排他獲得済みとなっていない論理チャネ
ルが存在しなければ、該排他獲得要求を行ったアプリケ
ーションをキューに登録する。
スマートカードに対する排他獲得要求に対し、該スマー
トカードに他のアプリケーションによって排他獲得済み
となっていない論理チャネルが存在すれば、該アプリケ
ーションを排他獲得済みとする。また上記排他制御手段
は、アプリケーションからのスマートカードに対する排
他獲得要求に対し、該スマートカードに他のアプリケー
ションによって排他獲得済みとなっていない論理チャネ
ルが存在しなければ、該排他獲得要求を行ったアプリケ
ーションをキューに登録する。
【0015】アクセス制御手段は、排他獲得済みとなっ
ているアプリケーションからの上記スマートカードへの
アクセス要求に対し、該排他獲得済みとなっているアプ
リケーションが該スマートカードから既に認証されてい
る時、該排他獲得済みとなっているアプリケーションに
該スマートカードへのアクセスを許可する。またアクセ
ス制御手段は、上記アクセス要求に対し、上記排他を獲
得したアプリケーションが上記スマートカードから未認
証である時、該アプリケーションにPINの入力を要求
する。各アプリケーションによるスマートカードの認証
はこのアクセス制御手段を通して行われ、アクセス制御
手段は各アプリケーションとスマートカードとの認証関
係を把握している。
ているアプリケーションからの上記スマートカードへの
アクセス要求に対し、該排他獲得済みとなっているアプ
リケーションが該スマートカードから既に認証されてい
る時、該排他獲得済みとなっているアプリケーションに
該スマートカードへのアクセスを許可する。またアクセ
ス制御手段は、上記アクセス要求に対し、上記排他を獲
得したアプリケーションが上記スマートカードから未認
証である時、該アプリケーションにPINの入力を要求
する。各アプリケーションによるスマートカードの認証
はこのアクセス制御手段を通して行われ、アクセス制御
手段は各アプリケーションとスマートカードとの認証関
係を把握している。
【0016】本発明によれば、排他制御手段により、ス
マートカードに対する排他制御が行われるので、複数の
アプリケーションによってスマートカードを共用しても
各アプリケーション毎の認証を可能とする。
マートカードに対する排他制御が行われるので、複数の
アプリケーションによってスマートカードを共用しても
各アプリケーション毎の認証を可能とする。
【0017】また、アクセス制御手段により、各アクセ
ス要求を行ったアプリケーションが認証済みかどうかが
判断され、認証済みの場合、認証処理を行わずにアクセ
ス許可を与えるので、認証処理回数を削減することが出
来る。
ス要求を行ったアプリケーションが認証済みかどうかが
判断され、認証済みの場合、認証処理を行わずにアクセ
ス許可を与えるので、認証処理回数を削減することが出
来る。
【0018】
【発明の実施の形態】以下に本発明の一実施形態につい
て、図面を参照しながら説明する。各アプリケーション
毎に認証許可を与えるようにするためには、スマートカ
ード(スマートカードが複数の論理チャネルをもつ場合
論理チャネル)に対して排他制御を行い、認証された1
つのアプリケーションがスマートカードを使用している
間、そのアプリケーションがカード(若しくは論理チャ
ネル)を専有し、他のアプリケーションからのアクセス
を抑止する必要がある。尚説明簡略化の為、以下の実施
形態では各スマートカードは論理チャネルを1つ備える
構成とする。尚スマートカードが複数論理チャネルを備
えた場合は、以下に説明する排他制御は論理チャネル単
位で行われる。
て、図面を参照しながら説明する。各アプリケーション
毎に認証許可を与えるようにするためには、スマートカ
ード(スマートカードが複数の論理チャネルをもつ場合
論理チャネル)に対して排他制御を行い、認証された1
つのアプリケーションがスマートカードを使用している
間、そのアプリケーションがカード(若しくは論理チャ
ネル)を専有し、他のアプリケーションからのアクセス
を抑止する必要がある。尚説明簡略化の為、以下の実施
形態では各スマートカードは論理チャネルを1つ備える
構成とする。尚スマートカードが複数論理チャネルを備
えた場合は、以下に説明する排他制御は論理チャネル単
位で行われる。
【0019】図1は、排他制御機構を設け、スマートカ
ードにアクセスするアプリケーションの排他処理を行っ
た場合を示す。図1では、複数のアプリケーション21
とスマートカード22の間に排他制御機構11を設け、
スマートカード22に対してアクセスを要求する際、各
アプリケーション21はこの排他制御機構11に対して
排他獲得要求を行い、排他が得られたアプリケーション
21が、スマートカード22を専有してアクセスを行
う。同図の排他制御機構11はカードa、bの2つのカ
ードへのアクセスに対する排他を管理している。そして
アプリ1、アプリ2及びアプリ3の3つのアプリケーシ
ョン21がカードaに対してアクセス要求を発行してお
り、排他制御機構11はそのうちのアプリ1に対して排
他獲得とし、他のアプリ2及び3はカードaが解放され
るまで待ち状態にしておく。排他を獲得したアプリ1
は、カードaの論理チャネルに対してPIN認証を行っ
た後データの読みだし/書込みを行う。この間他のアプ
リケーション21は、カードaに対してアクセスするこ
とが出来ない。アプリ1の処理を完了してカードaを解
放すると、次に、待ち状態となっているアプリ2が排他
を獲得し、カードaに対してPIN認証を行った後内部
のデータにアクセスする。この様に排他制御機構11を
設けることにより、認証を受けた1つのアプリケーショ
ンのみスマートカードに対してアクセスすることが出
来、各アプリケーション21毎の認証を実現することが
出来る。
ードにアクセスするアプリケーションの排他処理を行っ
た場合を示す。図1では、複数のアプリケーション21
とスマートカード22の間に排他制御機構11を設け、
スマートカード22に対してアクセスを要求する際、各
アプリケーション21はこの排他制御機構11に対して
排他獲得要求を行い、排他が得られたアプリケーション
21が、スマートカード22を専有してアクセスを行
う。同図の排他制御機構11はカードa、bの2つのカ
ードへのアクセスに対する排他を管理している。そして
アプリ1、アプリ2及びアプリ3の3つのアプリケーシ
ョン21がカードaに対してアクセス要求を発行してお
り、排他制御機構11はそのうちのアプリ1に対して排
他獲得とし、他のアプリ2及び3はカードaが解放され
るまで待ち状態にしておく。排他を獲得したアプリ1
は、カードaの論理チャネルに対してPIN認証を行っ
た後データの読みだし/書込みを行う。この間他のアプ
リケーション21は、カードaに対してアクセスするこ
とが出来ない。アプリ1の処理を完了してカードaを解
放すると、次に、待ち状態となっているアプリ2が排他
を獲得し、カードaに対してPIN認証を行った後内部
のデータにアクセスする。この様に排他制御機構11を
設けることにより、認証を受けた1つのアプリケーショ
ンのみスマートカードに対してアクセスすることが出
来、各アプリケーション21毎の認証を実現することが
出来る。
【0020】この図1の構成による方式の場合、1つの
アプリケーション21がスマートカード22を使用して
いる間このスマートカード22はこのアプリケーション
21に専有されるので、他のアプリケーション21は排
他が解除されスマートカード22が解放されるまで待ち
状態になる。よってこの方式では、複数のアプリケーシ
ョンの並列処理性能が悪く、また待ち状態にあるアプリ
ケーションは長い期間処理を停止してハングアップした
状態に見える等、非常に使い勝手が悪くなる。
アプリケーション21がスマートカード22を使用して
いる間このスマートカード22はこのアプリケーション
21に専有されるので、他のアプリケーション21は排
他が解除されスマートカード22が解放されるまで待ち
状態になる。よってこの方式では、複数のアプリケーシ
ョンの並列処理性能が悪く、また待ち状態にあるアプリ
ケーションは長い期間処理を停止してハングアップした
状態に見える等、非常に使い勝手が悪くなる。
【0021】これを回避するものとしては、アプリケー
ション21がスマートカード22へのアクセス処理が完
了すると専有していたスマートカード22を逐一解放す
る方式がある。この方式では、アプリケーション21が
複数回スマートカード22に対するアクセス処理を含む
場合、各アクセス処理毎に排他制御機構11に対してス
マートカード22への排他獲得/解放を行い、こまめに
排他制御を区切る。
ション21がスマートカード22へのアクセス処理が完
了すると専有していたスマートカード22を逐一解放す
る方式がある。この方式では、アプリケーション21が
複数回スマートカード22に対するアクセス処理を含む
場合、各アクセス処理毎に排他制御機構11に対してス
マートカード22への排他獲得/解放を行い、こまめに
排他制御を区切る。
【0022】図2に、この方式による各アプリケーショ
ンのスマートカードへの排他獲得/解放の例を示す。同
図は、図1と同様アプリ1、アプリ2及びアプリ3の3
つのアプリケーション21がカードaに対してアクセス
要求を発行した場合の各アプリケーションのスマートカ
ードへのアクセス処理例を示すもので、同図中排他制御
機構11への矢印↑は、各アプリケーション21から排
他制御機構11への排他獲得要求、排他制御機構11か
らの矢印↓は排他制御機構11から各アプリケーション
21への排他獲得の通知を示す。また斜線部分は各アプ
リケーション21によるPIN認証処理、網掛け部分は
スマートカード22へアクセス処理を示す。
ンのスマートカードへの排他獲得/解放の例を示す。同
図は、図1と同様アプリ1、アプリ2及びアプリ3の3
つのアプリケーション21がカードaに対してアクセス
要求を発行した場合の各アプリケーションのスマートカ
ードへのアクセス処理例を示すもので、同図中排他制御
機構11への矢印↑は、各アプリケーション21から排
他制御機構11への排他獲得要求、排他制御機構11か
らの矢印↓は排他制御機構11から各アプリケーション
21への排他獲得の通知を示す。また斜線部分は各アプ
リケーション21によるPIN認証処理、網掛け部分は
スマートカード22へアクセス処理を示す。
【0023】排他を獲得したアプリケーション21が、
全処理が完了するまで排他を解除してスマートカード2
2を解放しなかった場合、アプリ2は排他制御機構11
にカードaへの排他獲得要求を行った図2中の31の位
置から、既にカードaへの排他を獲得しているアプリ1
が処理が完了する33の位置まで、更にアプリ3は32
の位置からこのアプリ2の処理が完了するまで待ち状態
となる。しかし、同図の様にアプリケーション21が各
アクセス処理毎にこまめに排他制御を区切ることによ
り、排他が解除された期間に別のアプリケーション21
がカードaにアクセスすることが出来るので、排他獲得
の為の待ち状態となり処理が停止してしまう期間が短く
なり、処理の並列性が向上する。
全処理が完了するまで排他を解除してスマートカード2
2を解放しなかった場合、アプリ2は排他制御機構11
にカードaへの排他獲得要求を行った図2中の31の位
置から、既にカードaへの排他を獲得しているアプリ1
が処理が完了する33の位置まで、更にアプリ3は32
の位置からこのアプリ2の処理が完了するまで待ち状態
となる。しかし、同図の様にアプリケーション21が各
アクセス処理毎にこまめに排他制御を区切ることによ
り、排他が解除された期間に別のアプリケーション21
がカードaにアクセスすることが出来るので、排他獲得
の為の待ち状態となり処理が停止してしまう期間が短く
なり、処理の並列性が向上する。
【0024】この様に、排他制御を頻繁に切替えると、
各アプリケーションの待ち状態の期間は短くなり処理の
並列性は向上する。しかし図2の斜線部に示すように各
アプリケーションは切替えの度に認証状態の設定/解除
処理を行う必要があり、その為のオーバヘッドが大きく
なってしまう。また認証の再許可を得る際PINを送信
するので、各アプリケーション21がPINを保持し続
けることになり、セキュリティ上の問題も生じる。これ
を回避するため、認証処理の度にユーザがパスワードを
入力する構成とすると更に認証処理のオーバヘッドが大
きくなる。
各アプリケーションの待ち状態の期間は短くなり処理の
並列性は向上する。しかし図2の斜線部に示すように各
アプリケーションは切替えの度に認証状態の設定/解除
処理を行う必要があり、その為のオーバヘッドが大きく
なってしまう。また認証の再許可を得る際PINを送信
するので、各アプリケーション21がPINを保持し続
けることになり、セキュリティ上の問題も生じる。これ
を回避するため、認証処理の度にユーザがパスワードを
入力する構成とすると更に認証処理のオーバヘッドが大
きくなる。
【0025】図3にこの点を考慮した構成を示す。図3
の構成では、複数のアプリケーション21とスマートカ
ード22の間に、排他制御機構11に加えアクセス制御
機構12を設け、このアクセス制御機構12によって各
アプリケーション21のスマートカード22による認証
を一元管理しながら、排他制御機構11がスマートカー
ド22にアクセスするアプリケーション21の排他処理
を行っている。
の構成では、複数のアプリケーション21とスマートカ
ード22の間に、排他制御機構11に加えアクセス制御
機構12を設け、このアクセス制御機構12によって各
アプリケーション21のスマートカード22による認証
を一元管理しながら、排他制御機構11がスマートカー
ド22にアクセスするアプリケーション21の排他処理
を行っている。
【0026】各アプリケーション21はスマートカード
22に対してアクセスを要求する際、まず排他制御機構
11に対して排他獲得要求を行い、排他が獲得できると
次にアクセス制御機構12にスマートカード22への認
証を依頼する。そして認証が得られるとスマートカード
22内のデータにアクセスする。
22に対してアクセスを要求する際、まず排他制御機構
11に対して排他獲得要求を行い、排他が獲得できると
次にアクセス制御機構12にスマートカード22への認
証を依頼する。そして認証が得られるとスマートカード
22内のデータにアクセスする。
【0027】アクセス制御機構12は認証状態管理テー
ブルを持ち、この認証状態管理テーブルを用いてアプリ
ケーション21がスマートカード22への認証の開始宣
言を行ってから認証の解除を通知するまでの間について
各アプリケーションとスマートカード22との認証状態
の管理を行う。
ブルを持ち、この認証状態管理テーブルを用いてアプリ
ケーション21がスマートカード22への認証の開始宣
言を行ってから認証の解除を通知するまでの間について
各アプリケーションとスマートカード22との認証状態
の管理を行う。
【0028】図4は、認証状態管理テーブルの構成例を
示す図である。認証状態管理テーブルは、各アプリケー
ション21が現在どのスマートカード22から認証を得
ているのかを排他制御機構11が管理するために用いる
テーブルで、アプリ識別情報と認証済みカード情報を対
応づけて記憶している。アプリ識別情報は、各アプリケ
ーション21を識別するための一意な識別子を記憶する
もので、この識別子は、一般のアプリケーションが操作
できないものが用いられ、例えばプロセス生成時に各プ
ロセスに付加され、カーネルが管理しているプロセスI
Dを用いる。あるいは、スマートカードへアクセスへの
アクセス要求を行ったアプリケーション21に対してア
クセス制御機構12が識別子を順次生成付加してゆく構
成としてもよい。
示す図である。認証状態管理テーブルは、各アプリケー
ション21が現在どのスマートカード22から認証を得
ているのかを排他制御機構11が管理するために用いる
テーブルで、アプリ識別情報と認証済みカード情報を対
応づけて記憶している。アプリ識別情報は、各アプリケ
ーション21を識別するための一意な識別子を記憶する
もので、この識別子は、一般のアプリケーションが操作
できないものが用いられ、例えばプロセス生成時に各プ
ロセスに付加され、カーネルが管理しているプロセスI
Dを用いる。あるいは、スマートカードへアクセスへの
アクセス要求を行ったアプリケーション21に対してア
クセス制御機構12が識別子を順次生成付加してゆく構
成としてもよい。
【0029】図4はカードa,bの2つのスマートカー
ド22に対する各アプリケーション21の認証状態を管
理する場合を例示しており、各アプリケーションに対し
認証済みカード情報としてそのアプリケーション21が
認証されているカードが記録されている。尚認証済みカ
ード情報が空欄の部分は、そのアプリケーションに対し
認証済みとなっているスマートカードが存在しないこと
を示す。同図では、アプリ1はカードa,b両方が認証
済み、アプリ2、アプリnはいずれも未認証、アプリ3
はカードaのみ認証済みととなっている。
ド22に対する各アプリケーション21の認証状態を管
理する場合を例示しており、各アプリケーションに対し
認証済みカード情報としてそのアプリケーション21が
認証されているカードが記録されている。尚認証済みカ
ード情報が空欄の部分は、そのアプリケーションに対し
認証済みとなっているスマートカードが存在しないこと
を示す。同図では、アプリ1はカードa,b両方が認証
済み、アプリ2、アプリnはいずれも未認証、アプリ3
はカードaのみ認証済みととなっている。
【0030】各アプリケーション21は、スマートカー
ド22に対する認証及びスマートカード22へのアクセ
スをアクセス制御機構12を介して行う。アプリケーシ
ョン21からスマートカード22へのアクセス要求が有
ると、認証状態管理テーブルを参照してそのアプリケー
ション21がアクセス要求したスマートカード22に認
証済みであるかどうかを調べ、未認証ならばアプリケー
ション21からの要求を拒絶し、またアプリケーション
21にPINの入力を要求してスマートカード22との
認証処理を行う。また、そのアプリケーション21が認
証済みならばアプリケーション21は既にそのスマート
カード21の認証許可を得ているのでスマートカード2
1へのアクセスを許可し、実行する。
ド22に対する認証及びスマートカード22へのアクセ
スをアクセス制御機構12を介して行う。アプリケーシ
ョン21からスマートカード22へのアクセス要求が有
ると、認証状態管理テーブルを参照してそのアプリケー
ション21がアクセス要求したスマートカード22に認
証済みであるかどうかを調べ、未認証ならばアプリケー
ション21からの要求を拒絶し、またアプリケーション
21にPINの入力を要求してスマートカード22との
認証処理を行う。また、そのアプリケーション21が認
証済みならばアプリケーション21は既にそのスマート
カード21の認証許可を得ているのでスマートカード2
1へのアクセスを許可し、実行する。
【0031】図5はアプリケーション21がスマートカ
ード22へのアクセスを行う際の、アプリケーション2
1、排他制御機構11及びアクセス制御機構12の処理
の流れを示した図である。同図はアプリ1がカードaに
対してアクセスを行う場合を例としており、また以下の
説明中の1)〜23)は図5中の番号と対応している。 1)アプリ1はカードaへの排他開始を行うため、排他
制御機構11に対し、排他獲得要求を行う。 2)アプリ1からの要求に対し、排他制御機構11は、
カードaに対し排他獲得済のアプリケーションが有るか
調べ、既に他のアプリケーションが獲得していたならば
排他待ちのキューに登録する。また排他獲得済でなけれ
ば、アプリ1に排他獲得を通知する。 3)アプリ1は、アクセス制御機構12にカードaへの
アクセス開始宣言を行う。 4)アクセス開始宣言に対しアクセス制御機構12は、
認証状態管理テーブルにアプリ1を登録する。そして、
アプリ1にPINの入力要求を行う。尚アプリ1がカー
ドbにもアクセス開始宣言を行っている場合は、アプリ
1は既に認証状態管理テーブルに登録してあるのでカー
ドaに対するアクセス開始宣言で再度認証状態管理テー
ブルに登録する必要はない。 5)アプリ1はユーザにパスワードの入力を促し、ユー
ザの入力からPINを指定してカードaへの認証を要求
する。 6)排他制御機構11は、カードaに対しPINを通知
し、カードaに認証チェックを行わせる。 7)アクセス制御機構12は、カードaによる認証チェ
ックの結果、認証が得られれば、認証状態管理テーブル
にアプリ1がカードaに認証済みであることを登録す
る。 8)アプリ1はアクセス制御機構12に対し、カードa
へのデータの読み出し/書込みを要求する。 9)アプリ1からの読み出し/書込み要求に対し、認証
状態管理テーブルを検索し、アプリ1が認証済カードa
に認証済みならばカードaに対してアクセスを行う。未
認証ならば、アプリ1にエラーを通知する。 10)1つのアクセス処理が完了しカードaの専有を解
除する場合に、アプリ1は排他制御機構11に排他の解
除を通知する。 11)排他制御機構11は、登録されているアプリ1の
カードaに対する排他獲得を削除し、他にカードaへの
排他待ちのキューに登録されているアプリケーション2
1があればそのアプリケーション21の排他獲得を登録
する。 12)排他の解除後、アプリ1はカードaへのアクセス
処理以外の処理を行う。この間、カードaの排他を解放
しているので他のアプリケーション21がカードaを使
用することが出来る。 13)アプリ1は、再度カードaへのアクセスの必要が
生じると、排他制御機構11に排他獲得要求を行う。 14)アプリ1からの要求に対し、排他制御機構11は
2)と同様、カードaに対し排他獲得済のアプリケーシ
ョンが有るか再度調べ、既に他のアプリケーションが排
他獲得済でなければ、アプリ1に排他獲得を通知する。 15)アプリ1はアクセス制御機構12に対し、カード
aへのデータの読み出し/書込みを要求する。 16)アクセス制御機構12は、再度9)と同様な処理
を行う。この時7)で、認証状態管理テーブルにアプリ
1がカードaに認証済みであることが登録されているの
で、そのままカードaヘアクセスを行う。以降アプリ1
内のカードaへのアクセス処理の回数分10)〜16)
の処理が繰り返される。 17)全アクセス処理が完了するとアプリ1は、アクセ
ス制御機構12にカードaへの認証を解除を通知する。 18)アクセス制御機構12は、認証状態管理テーブル
のアプリ1からカードa認証済の情報を削除する。 19)アクセス制御機構12は、認証状態管理テーブル
13に他にカードaに認証されているアプリケーション
21が存在しなくなるまで認証状態を保持し、認証され
ているアプリケーション21が存在しなくなるとカード
aに認証解除を要求する。これにより同一のスマートカ
ードとの認証処理の回数を削減することが出来る。 20)アプリ1は、アクセス制御機構12にスマートカ
ード22へのアクセス終了を通知する。 21)20)での通知を受けるとアクセス制御機構12
は認証状態管理テーブルから、アプリ1を削除する。こ
の時アプリ1が他のスマートカード22に対してはまだ
アクセスを終了していない場合は認証状態管理テーブル
からアプリ1を削除しない。 22)アプリ1は排他制御機構11にカードaの排他の
解除を通知する。 23)排他制御機構11は、再度11)と同様な処理を
行い、排他を解除する。
ード22へのアクセスを行う際の、アプリケーション2
1、排他制御機構11及びアクセス制御機構12の処理
の流れを示した図である。同図はアプリ1がカードaに
対してアクセスを行う場合を例としており、また以下の
説明中の1)〜23)は図5中の番号と対応している。 1)アプリ1はカードaへの排他開始を行うため、排他
制御機構11に対し、排他獲得要求を行う。 2)アプリ1からの要求に対し、排他制御機構11は、
カードaに対し排他獲得済のアプリケーションが有るか
調べ、既に他のアプリケーションが獲得していたならば
排他待ちのキューに登録する。また排他獲得済でなけれ
ば、アプリ1に排他獲得を通知する。 3)アプリ1は、アクセス制御機構12にカードaへの
アクセス開始宣言を行う。 4)アクセス開始宣言に対しアクセス制御機構12は、
認証状態管理テーブルにアプリ1を登録する。そして、
アプリ1にPINの入力要求を行う。尚アプリ1がカー
ドbにもアクセス開始宣言を行っている場合は、アプリ
1は既に認証状態管理テーブルに登録してあるのでカー
ドaに対するアクセス開始宣言で再度認証状態管理テー
ブルに登録する必要はない。 5)アプリ1はユーザにパスワードの入力を促し、ユー
ザの入力からPINを指定してカードaへの認証を要求
する。 6)排他制御機構11は、カードaに対しPINを通知
し、カードaに認証チェックを行わせる。 7)アクセス制御機構12は、カードaによる認証チェ
ックの結果、認証が得られれば、認証状態管理テーブル
にアプリ1がカードaに認証済みであることを登録す
る。 8)アプリ1はアクセス制御機構12に対し、カードa
へのデータの読み出し/書込みを要求する。 9)アプリ1からの読み出し/書込み要求に対し、認証
状態管理テーブルを検索し、アプリ1が認証済カードa
に認証済みならばカードaに対してアクセスを行う。未
認証ならば、アプリ1にエラーを通知する。 10)1つのアクセス処理が完了しカードaの専有を解
除する場合に、アプリ1は排他制御機構11に排他の解
除を通知する。 11)排他制御機構11は、登録されているアプリ1の
カードaに対する排他獲得を削除し、他にカードaへの
排他待ちのキューに登録されているアプリケーション2
1があればそのアプリケーション21の排他獲得を登録
する。 12)排他の解除後、アプリ1はカードaへのアクセス
処理以外の処理を行う。この間、カードaの排他を解放
しているので他のアプリケーション21がカードaを使
用することが出来る。 13)アプリ1は、再度カードaへのアクセスの必要が
生じると、排他制御機構11に排他獲得要求を行う。 14)アプリ1からの要求に対し、排他制御機構11は
2)と同様、カードaに対し排他獲得済のアプリケーシ
ョンが有るか再度調べ、既に他のアプリケーションが排
他獲得済でなければ、アプリ1に排他獲得を通知する。 15)アプリ1はアクセス制御機構12に対し、カード
aへのデータの読み出し/書込みを要求する。 16)アクセス制御機構12は、再度9)と同様な処理
を行う。この時7)で、認証状態管理テーブルにアプリ
1がカードaに認証済みであることが登録されているの
で、そのままカードaヘアクセスを行う。以降アプリ1
内のカードaへのアクセス処理の回数分10)〜16)
の処理が繰り返される。 17)全アクセス処理が完了するとアプリ1は、アクセ
ス制御機構12にカードaへの認証を解除を通知する。 18)アクセス制御機構12は、認証状態管理テーブル
のアプリ1からカードa認証済の情報を削除する。 19)アクセス制御機構12は、認証状態管理テーブル
13に他にカードaに認証されているアプリケーション
21が存在しなくなるまで認証状態を保持し、認証され
ているアプリケーション21が存在しなくなるとカード
aに認証解除を要求する。これにより同一のスマートカ
ードとの認証処理の回数を削減することが出来る。 20)アプリ1は、アクセス制御機構12にスマートカ
ード22へのアクセス終了を通知する。 21)20)での通知を受けるとアクセス制御機構12
は認証状態管理テーブルから、アプリ1を削除する。こ
の時アプリ1が他のスマートカード22に対してはまだ
アクセスを終了していない場合は認証状態管理テーブル
からアプリ1を削除しない。 22)アプリ1は排他制御機構11にカードaの排他の
解除を通知する。 23)排他制御機構11は、再度11)と同様な処理を
行い、排他を解除する。
【0032】図6は、図3の排他制御機構11及びアク
セス制御機構12を備えた構成による各アプリケーショ
ンのスマートカードへの処理を示す図である。同図は、
比較のため図2と同じ前提の元での同じアプリケーショ
ン21の処理を示してある。図6を図2と比較すると、
各アプリケーション21は、認証処理としては、一番最
初のカードaへのアクセス処理開始時のPINによる認
証処理と、一番最後のアクセス処理終了時にカードaへ
の認証の解除処理を行っているのみで、図2では行って
いたカードaへの各アクセス処理毎の認証処理が省略さ
れている。よって各アプリケーション21は認証処理が
省略された分処理時間が短くなる。また各アプリケーシ
ョン21が、カードaを専有している期間も認証処理が
省かれた分だけ短くなるので、その分待ち状態となる期
間が短くてすむ可能性がある。更に各アプリケーション
21は、スマートカード22に対するPIN認証を最初
に1度だけ行えばよいので、カードから認証が得られれ
ばPINを破棄することが出来る。
セス制御機構12を備えた構成による各アプリケーショ
ンのスマートカードへの処理を示す図である。同図は、
比較のため図2と同じ前提の元での同じアプリケーショ
ン21の処理を示してある。図6を図2と比較すると、
各アプリケーション21は、認証処理としては、一番最
初のカードaへのアクセス処理開始時のPINによる認
証処理と、一番最後のアクセス処理終了時にカードaへ
の認証の解除処理を行っているのみで、図2では行って
いたカードaへの各アクセス処理毎の認証処理が省略さ
れている。よって各アプリケーション21は認証処理が
省略された分処理時間が短くなる。また各アプリケーシ
ョン21が、カードaを専有している期間も認証処理が
省かれた分だけ短くなるので、その分待ち状態となる期
間が短くてすむ可能性がある。更に各アプリケーション
21は、スマートカード22に対するPIN認証を最初
に1度だけ行えばよいので、カードから認証が得られれ
ばPINを破棄することが出来る。
【0033】図7は、本システムによりスマートカード
22にアクセスを行うアプリケーション21の処理を示
すフローチャートである。尚これらの処理を行う機構を
アプリケーション21に直接持たせる構成とすることも
出来るが、これらの処理をライブラリとして実現し、こ
のライブラリを各アプリケーション21に組込む形態を
取るのが一般的な構成である。
22にアクセスを行うアプリケーション21の処理を示
すフローチャートである。尚これらの処理を行う機構を
アプリケーション21に直接持たせる構成とすることも
出来るが、これらの処理をライブラリとして実現し、こ
のライブラリを各アプリケーション21に組込む形態を
取るのが一般的な構成である。
【0034】アプリケーション21は、スマートカード
22にアクセスを行う際、まず排他制御機構11へ排他
獲得の依頼を行い(ステップS1)、排他制御機構11
からの応答を待つ。その結果、排他制御機構11から何
等かの理由で、排他が獲得出来ない旨の通知が有れば
(ステップS2、NO)、処理を終了する。
22にアクセスを行う際、まず排他制御機構11へ排他
獲得の依頼を行い(ステップS1)、排他制御機構11
からの応答を待つ。その結果、排他制御機構11から何
等かの理由で、排他が獲得出来ない旨の通知が有れば
(ステップS2、NO)、処理を終了する。
【0035】排他獲得の依頼に対し、排他制御機構11
から排他獲得成功の通知が有れば(ステップS2、YE
S)、次にステップS3として、アクセス制御機構12
にスマートカード22へのアクセスの開始宣言を行う。
から排他獲得成功の通知が有れば(ステップS2、YE
S)、次にステップS3として、アクセス制御機構12
にスマートカード22へのアクセスの開始宣言を行う。
【0036】このスマートカード22へのアクセスが未
認証のスマートカード22へのアクセスであり、スマー
トカード22への認証が必要なためアクセス制御機構1
2からPINの入力を要求された時(ステップS4、Y
ES)、ステップS8としてPINとしてユーザが入力
したパスワードをアクセス制御機構12に送って、認証
処理を依頼し確認を行う。その結果認証されれば(ステ
ップS9、YES)、処理をステップS5に移してスマ
ートカードへアクセスし、認証されなければ(ステップ
S9、NO)、処理を終了する。
認証のスマートカード22へのアクセスであり、スマー
トカード22への認証が必要なためアクセス制御機構1
2からPINの入力を要求された時(ステップS4、Y
ES)、ステップS8としてPINとしてユーザが入力
したパスワードをアクセス制御機構12に送って、認証
処理を依頼し確認を行う。その結果認証されれば(ステ
ップS9、YES)、処理をステップS5に移してスマ
ートカードへアクセスし、認証されなければ(ステップ
S9、NO)、処理を終了する。
【0037】ステップS4において、このアクセスが既
に認証を得ているスマートカード22へのアクセスであ
る時(ステップS4、NO)、更なる認証処理は必要無
いので、ステップS5としてスマートカード22へのア
クセスを許可してデータの読み出し/書込みを行う。
に認証を得ているスマートカード22へのアクセスであ
る時(ステップS4、NO)、更なる認証処理は必要無
いので、ステップS5としてスマートカード22へのア
クセスを許可してデータの読み出し/書込みを行う。
【0038】ステップS5のアクセス処理が終了する
と、ステップS6として、アクセス制御機構12に対し
てスマートカード22へのアクセスの終了宣言を行う。
そしてステップS7として、そのスマートカード22へ
の排他の解除を排他制御機構11に通知してスマートカ
ード22へのアクセス処理を終了する。
と、ステップS6として、アクセス制御機構12に対し
てスマートカード22へのアクセスの終了宣言を行う。
そしてステップS7として、そのスマートカード22へ
の排他の解除を排他制御機構11に通知してスマートカ
ード22へのアクセス処理を終了する。
【0039】図8は、アプリケーション21からの排他
獲得要求に対する排他制御機構11の処理を示すフロー
チャートである。アプリケーション21から、スマート
カード22への排他獲得要求があると、排他制御機構1
1は、ステップS11として、排他獲得を要求されたス
マートカード22が、既に他のアプリケーション21に
よって排他獲得済みであるかどうかを判断する。その結
果他のアプリケーション21による排他獲得が行われて
いなければ(ステップS11、NO)、そのスマートカ
ード22を排他獲得済みとして登録し、要求を行ったア
プリケーション22に排他獲得を通知して処理を終了す
る。
獲得要求に対する排他制御機構11の処理を示すフロー
チャートである。アプリケーション21から、スマート
カード22への排他獲得要求があると、排他制御機構1
1は、ステップS11として、排他獲得を要求されたス
マートカード22が、既に他のアプリケーション21に
よって排他獲得済みであるかどうかを判断する。その結
果他のアプリケーション21による排他獲得が行われて
いなければ(ステップS11、NO)、そのスマートカ
ード22を排他獲得済みとして登録し、要求を行ったア
プリケーション22に排他獲得を通知して処理を終了す
る。
【0040】またステップS11で他のアプリケーショ
ン21が排他獲得済みであるならば(ステップS11、
YES)、ステップS12としてこの排他獲得要求を排
他待ちキューに追加して処理を終了する。
ン21が排他獲得済みであるならば(ステップS11、
YES)、ステップS12としてこの排他獲得要求を排
他待ちキューに追加して処理を終了する。
【0041】図9は、アプリケーション21からの排他
の解除通知に対する排他制御機構11の処理を示すフロ
ーチャートである。アプリケーション21からスマート
カード22への排他の解除通知を受けると、排他制御機
構11は、ステップS21としてそのアプリケーション
21の排他獲得済みの登録を削除して排他を解除する。
の解除通知に対する排他制御機構11の処理を示すフロ
ーチャートである。アプリケーション21からスマート
カード22への排他の解除通知を受けると、排他制御機
構11は、ステップS21としてそのアプリケーション
21の排他獲得済みの登録を削除して排他を解除する。
【0042】そして排他待ちキューを調べ、排他が解除
されたスマートカード22に対して排他待ちとなってい
るアプリケーション21が存在すれば(ステップS2
2、YES)、排他待ちキューの先頭に登録されている
アプリケーション21のそのスマートカード22への排
他獲得を登録してスマートカード22をディスパッチし
た後、また排他待ちキューに待ちが存在しなければ(ス
テップS22、NO)そのまま、処理を終了する。
されたスマートカード22に対して排他待ちとなってい
るアプリケーション21が存在すれば(ステップS2
2、YES)、排他待ちキューの先頭に登録されている
アプリケーション21のそのスマートカード22への排
他獲得を登録してスマートカード22をディスパッチし
た後、また排他待ちキューに待ちが存在しなければ(ス
テップS22、NO)そのまま、処理を終了する。
【0043】図10は、アプリケーション21からのス
マートカード22へのアクセス要求に対するアクセス制
御機構12の処理を示すフローチャートである。アプリ
ケーション21からのアクセス開始宣言に対し、アクセ
ス制御機構12は、ステップS31として、認証状態管
理テーブルにアプリケーション21を登録して、スマー
トカード22に対してアクセス要求プロセスを登録す
る。
マートカード22へのアクセス要求に対するアクセス制
御機構12の処理を示すフローチャートである。アプリ
ケーション21からのアクセス開始宣言に対し、アクセ
ス制御機構12は、ステップS31として、認証状態管
理テーブルにアプリケーション21を登録して、スマー
トカード22に対してアクセス要求プロセスを登録す
る。
【0044】図11は、アプリケーション21からのス
マートカード22へのアクセス要求に対するアクセス制
御機構12の処理を示すフローチャートである。アプリ
ケーション21からのアクセス要求に対し、アクセス制
御機構12はステップS41として認証状態管理テーブ
ルを参照して、そのアプリケーション21がアクセス要
求先のスマートカード22から既に認証済であるかどう
か調べる。その結果、既に認証済みであれば(ステップ
S41、YES)、更なる認証は必要無いので、ステッ
プS45としてアプリケーション21に対してアクセス
許可を通知する。
マートカード22へのアクセス要求に対するアクセス制
御機構12の処理を示すフローチャートである。アプリ
ケーション21からのアクセス要求に対し、アクセス制
御機構12はステップS41として認証状態管理テーブ
ルを参照して、そのアプリケーション21がアクセス要
求先のスマートカード22から既に認証済であるかどう
か調べる。その結果、既に認証済みであれば(ステップ
S41、YES)、更なる認証は必要無いので、ステッ
プS45としてアプリケーション21に対してアクセス
許可を通知する。
【0045】ステップS41で、そのアプリケーション
21がまだ認証を得ていないのならば(ステップS4
1、NO)、認証処理を行う必要があるので、ステップ
S42としてアプリケーション21にパスワードの入力
を要求し、スマートカード22に対してPINによる認
証チェックを依頼する。その結果、スマートカード22
から認証が得られれば、ステップS45としてアプリケ
ーション21に対してアクセス許可を通知し、また認証
が得られなければ(ステップS43、NO)、アクセス
不許可をアプリケーション21に対して通知して処理を
終了する。
21がまだ認証を得ていないのならば(ステップS4
1、NO)、認証処理を行う必要があるので、ステップ
S42としてアプリケーション21にパスワードの入力
を要求し、スマートカード22に対してPINによる認
証チェックを依頼する。その結果、スマートカード22
から認証が得られれば、ステップS45としてアプリケ
ーション21に対してアクセス許可を通知し、また認証
が得られなければ(ステップS43、NO)、アクセス
不許可をアプリケーション21に対して通知して処理を
終了する。
【0046】図12は、本実施形態に於けるスマートカ
ードを使用するシステムの構成を示す図である。本実施
形態でのアプリケーション41とスマートカード42と
の間を管理するアクセス管理システム40は、スマート
カードリーダ43と各アプリケーション41のライブラ
リ44との間に構成され、OSの一機能として、あるい
はOSに実装される形で実現される。
ードを使用するシステムの構成を示す図である。本実施
形態でのアプリケーション41とスマートカード42と
の間を管理するアクセス管理システム40は、スマート
カードリーダ43と各アプリケーション41のライブラ
リ44との間に構成され、OSの一機能として、あるい
はOSに実装される形で実現される。
【0047】アプリケーション41は、スマートカード
42に対する認証処理やアクセス処理を、全てこのアク
セス管理システム40を介して行い、アクセス管理シス
テム40は、各アプリケーション41とスマートカード
42との間のやり取りを把握している。またアクセス管
理システム40は、スマートカードリーダ43の状態も
把握しており、例えばスマートカードリーダ43からス
マートカード42が抜かれると、認証状態管理テーブル
を調べ、そのカードが認証済みとしているアプリケーシ
ョンがあれば未認証に変更する。
42に対する認証処理やアクセス処理を、全てこのアク
セス管理システム40を介して行い、アクセス管理シス
テム40は、各アプリケーション41とスマートカード
42との間のやり取りを把握している。またアクセス管
理システム40は、スマートカードリーダ43の状態も
把握しており、例えばスマートカードリーダ43からス
マートカード42が抜かれると、認証状態管理テーブル
を調べ、そのカードが認証済みとしているアプリケーシ
ョンがあれば未認証に変更する。
【0048】なお、アクセス管理システム40は、内部
に排他制御機構11とアクセス制御機構12を別々に持
つ構成となっているが、これらを1つの機能構成要素と
して実現することもできる。また、セキュリティ上、ア
クセス制御機構や排他制御機構は、複数のアプリケーシ
ョンが共有できる必要があるので、OSのカーネル内に
実現するとセキュリティをより向上することができる。
に排他制御機構11とアクセス制御機構12を別々に持
つ構成となっているが、これらを1つの機能構成要素と
して実現することもできる。また、セキュリティ上、ア
クセス制御機構や排他制御機構は、複数のアプリケーシ
ョンが共有できる必要があるので、OSのカーネル内に
実現するとセキュリティをより向上することができる。
【0049】図13は、本実施形態における上記スマー
トカードのアクセス管理をコンピュータプログラムによ
り実現した場合の情報処理装置のシステム環境図であ
る。スマートカードを実装した情報処理装置は、図13
の様にCPU51、ROM、RAMによる主記憶装置5
2、補助記憶装置53、ディスプレイ、キーボード等の
入出力装置(I/O)54、LANやWAN、一般回線
等により他の情報処理装置とネットワーク接続を行うモ
デム等のネットワーク接続装置55、ディスク、磁気テ
ープなどの可搬記録媒体57から記憶内容を読み出す媒
体読取り装置56及び1乃至複数のいスマートカード5
9を実装しているスマートカードリーダ58を有し、こ
れらが互いにバス60により接続される構成を備えてい
る。
トカードのアクセス管理をコンピュータプログラムによ
り実現した場合の情報処理装置のシステム環境図であ
る。スマートカードを実装した情報処理装置は、図13
の様にCPU51、ROM、RAMによる主記憶装置5
2、補助記憶装置53、ディスプレイ、キーボード等の
入出力装置(I/O)54、LANやWAN、一般回線
等により他の情報処理装置とネットワーク接続を行うモ
デム等のネットワーク接続装置55、ディスク、磁気テ
ープなどの可搬記録媒体57から記憶内容を読み出す媒
体読取り装置56及び1乃至複数のいスマートカード5
9を実装しているスマートカードリーダ58を有し、こ
れらが互いにバス60により接続される構成を備えてい
る。
【0050】また図13の情報処理システムでは、媒体
読取り装置56により磁気テープ、フロッピー(登録商
標)ディスク、CD−ROM、MO等の記録媒体57に
記憶されているプログラム、データを読み出し、これを
主記憶装置52またはハードディスク55にダウンロー
ドする。そして本実施形態による各処理は、CPU51
がこのプログラムやデータを実行することにより、ソフ
トウエア的に実現することが可能である。
読取り装置56により磁気テープ、フロッピー(登録商
標)ディスク、CD−ROM、MO等の記録媒体57に
記憶されているプログラム、データを読み出し、これを
主記憶装置52またはハードディスク55にダウンロー
ドする。そして本実施形態による各処理は、CPU51
がこのプログラムやデータを実行することにより、ソフ
トウエア的に実現することが可能である。
【0051】また、この情報処理装置では、フロッピー
ディスク等の記録媒体57を用いてアプリケーションソ
フトの交換が行われる場合がある。よって、本発明は、
スマートカードのアクセス管理システムや共有方法に限
らず、コンピュータにより使用されたときに、上述の本
発明の実施の形態の機能をコンピュータに行わせるため
のコンピュータ読み出し可能な記録媒体57として構成
することもできる。
ディスク等の記録媒体57を用いてアプリケーションソ
フトの交換が行われる場合がある。よって、本発明は、
スマートカードのアクセス管理システムや共有方法に限
らず、コンピュータにより使用されたときに、上述の本
発明の実施の形態の機能をコンピュータに行わせるため
のコンピュータ読み出し可能な記録媒体57として構成
することもできる。
【0052】この場合、「記録媒体」には、例えば図1
4に示されるように、CD−ROM、フロッピーディス
ク(あるいはMO、DVD、リムーバブルハードディス
ク等であってもよい)等の媒体駆動装置77に脱着可能
な可搬記録媒体76や、ネットワーク回線73経由で送
信される外部の装置(サーバ等)内の記憶手段(データ
ベース等)72、あるいは情報処理装置71の本体74
内のメモリ(RAM又はハードディスク等)75等が含
まれる。可搬記録媒体76や記憶手段(データベース
等)72に記憶されているプログラムは、本体74内の
メモリ(RAM又はハードディスク等)75にロードさ
れて、実行される。
4に示されるように、CD−ROM、フロッピーディス
ク(あるいはMO、DVD、リムーバブルハードディス
ク等であってもよい)等の媒体駆動装置77に脱着可能
な可搬記録媒体76や、ネットワーク回線73経由で送
信される外部の装置(サーバ等)内の記憶手段(データ
ベース等)72、あるいは情報処理装置71の本体74
内のメモリ(RAM又はハードディスク等)75等が含
まれる。可搬記録媒体76や記憶手段(データベース
等)72に記憶されているプログラムは、本体74内の
メモリ(RAM又はハードディスク等)75にロードさ
れて、実行される。
【0053】(付記1) 複数のアプリケーションによ
るスマートカードへのアクセスを管理するスマートカー
ドのアクセス管理システムであって、アプリケーション
からのスマートカードに対する排他獲得要求に対し、該
スマートカードに他のアプリケーションによって排他獲
得済みとなっていない論理チャネルが存在すれば、該ア
プリケーションを排他獲得済みとする排他制御手段と、
排他獲得済みとなっているアプリケーションからの前記
スマートカードへのアクセス要求に対し、該排他獲得済
みとなっているアプリケーションが該スマートカードか
ら既に認証されている時、該排他獲得済みとなっている
アプリケーションに該スマートカードへのアクセスを許
可するアクセス制御手段とを備えることを特徴とするア
クセス管理システム。
るスマートカードへのアクセスを管理するスマートカー
ドのアクセス管理システムであって、アプリケーション
からのスマートカードに対する排他獲得要求に対し、該
スマートカードに他のアプリケーションによって排他獲
得済みとなっていない論理チャネルが存在すれば、該ア
プリケーションを排他獲得済みとする排他制御手段と、
排他獲得済みとなっているアプリケーションからの前記
スマートカードへのアクセス要求に対し、該排他獲得済
みとなっているアプリケーションが該スマートカードか
ら既に認証されている時、該排他獲得済みとなっている
アプリケーションに該スマートカードへのアクセスを許
可するアクセス制御手段とを備えることを特徴とするア
クセス管理システム。
【0054】(付記2) 前記排他制御手段は、アプリ
ケーションからのスマートカードに対する排他獲得要求
に対し、該スマートカードに他のアプリケーションによ
って排他獲得済みとなっていない論理チャネルが存在し
なければ、該排他獲得要求を行ったアプリケーションを
キューに登録することを特徴とする付記1に記載のアク
セス管理システム。
ケーションからのスマートカードに対する排他獲得要求
に対し、該スマートカードに他のアプリケーションによ
って排他獲得済みとなっていない論理チャネルが存在し
なければ、該排他獲得要求を行ったアプリケーションを
キューに登録することを特徴とする付記1に記載のアク
セス管理システム。
【0055】(付記3) 前記アクセス制御手段は、前
記アクセス要求に対し、前記排他を獲得したアプリケー
ションが前記スマートカードから未認証である時、該ア
プリケーションの要求を拒絶することを特徴とする付記
1又は2に記載のアクセス管理システム。
記アクセス要求に対し、前記排他を獲得したアプリケー
ションが前記スマートカードから未認証である時、該ア
プリケーションの要求を拒絶することを特徴とする付記
1又は2に記載のアクセス管理システム。
【0056】(付記4) 前記アクセス制御手段は、ア
プリケーションとスマートカードとの認証関係を該アプ
リケーションのプロセスIDを用いて管理することを特
徴とする付記1乃至3のいずれか1に記載のアクセス管
理システム。
プリケーションとスマートカードとの認証関係を該アプ
リケーションのプロセスIDを用いて管理することを特
徴とする付記1乃至3のいずれか1に記載のアクセス管
理システム。
【0057】(付記5) 前記アクセス制御手段は、前
記スマートカードがスマートカードリーダより抜かれた
時、該抜かれたスマートカードにより認証済みとなって
いるアプリケーションを未認証に変更することを特徴と
する付記1乃至4のいずれか1に記載のアクセス管理シ
ステム。
記スマートカードがスマートカードリーダより抜かれた
時、該抜かれたスマートカードにより認証済みとなって
いるアプリケーションを未認証に変更することを特徴と
する付記1乃至4のいずれか1に記載のアクセス管理シ
ステム。
【0058】(付記6) 前記アプリケーションは、前
記スマートカードに複数回アクセスする時、各アクセス
の開始時に前記排他制御手段に前記排他獲得要求を行
い、該各アクセスの終了時に前記排他制御手段に排他の
解除通知を行うことを特徴とする付記1乃至5のいずれ
か1に記載のアクセス管理システム。
記スマートカードに複数回アクセスする時、各アクセス
の開始時に前記排他制御手段に前記排他獲得要求を行
い、該各アクセスの終了時に前記排他制御手段に排他の
解除通知を行うことを特徴とする付記1乃至5のいずれ
か1に記載のアクセス管理システム。
【0059】(付記7) 前記排他制御手段は、アプリ
ケーションからのスマートカードに対する排他獲得要求
に対し、該スマートカードが他のアプリケーションによ
って既に排他獲得済みであれば、該排他獲得要求を行っ
たアプリケーションをキューに登録し、前記アプリケー
ションからの排他の解除通知に対し、前記キューに登録
されているアプリケーションを排他獲得済みとすること
を特徴とする付記6に記載のアクセス管理システム。
ケーションからのスマートカードに対する排他獲得要求
に対し、該スマートカードが他のアプリケーションによ
って既に排他獲得済みであれば、該排他獲得要求を行っ
たアプリケーションをキューに登録し、前記アプリケー
ションからの排他の解除通知に対し、前記キューに登録
されているアプリケーションを排他獲得済みとすること
を特徴とする付記6に記載のアクセス管理システム。
【0060】(付記8) 前記アクセス制御手段は、ア
プリケーションからスマートカードの認証解除の通知に
対し、該認証解除が該スマートカードにより認証済みと
なっている最後のアプリケーションからの時、該スマー
トカードに認証解除を要求することを特徴とする付記1
乃至7のいずれか1に記載のアクセス管理システム。
プリケーションからスマートカードの認証解除の通知に
対し、該認証解除が該スマートカードにより認証済みと
なっている最後のアプリケーションからの時、該スマー
トカードに認証解除を要求することを特徴とする付記1
乃至7のいずれか1に記載のアクセス管理システム。
【0061】(付記9) 複数のアプリケーションによ
るスマートカードへのアクセスを管理するスマートカー
ドの共有方法であって、アプリケーションからのスマー
トカードに対する排他獲得要求に対し、該スマートカー
ドに他のアプリケーションによって排他獲得済みとなっ
ていない論理チャネルが存在すれば、該アプリケーショ
ンを排他獲得済みとし、排他獲得済みとなっているアプ
リケーションからの前記スマートカードへのアクセス要
求に対し、該排他獲得済みとなっているアプリケーショ
ンが該スマートカードから既に認証されている時、該排
他獲得済みとなっているアプリケーションに該スマート
カードへのアクセスを許可することを特徴とする共有方
法。
るスマートカードへのアクセスを管理するスマートカー
ドの共有方法であって、アプリケーションからのスマー
トカードに対する排他獲得要求に対し、該スマートカー
ドに他のアプリケーションによって排他獲得済みとなっ
ていない論理チャネルが存在すれば、該アプリケーショ
ンを排他獲得済みとし、排他獲得済みとなっているアプ
リケーションからの前記スマートカードへのアクセス要
求に対し、該排他獲得済みとなっているアプリケーショ
ンが該スマートカードから既に認証されている時、該排
他獲得済みとなっているアプリケーションに該スマート
カードへのアクセスを許可することを特徴とする共有方
法。
【0062】(付記10) 1つのスマートカードへの
複数のアクセス処理を含むアプリケーション又はそのラ
イブラリであって、複数のアクセス処理に対し、該アク
セス処理の開始時にそれぞれ排他獲得要求を行い、各ア
クセス処理の終了時にそれぞれ排他の解除通知し、前記
複数のアクセス処理のうちの最初の処理時のみに該アク
セス処理を行うスマートカードに対して認証要求を行う
ことを特徴とするアプリケーション又はそのライブラ
リ。
複数のアクセス処理を含むアプリケーション又はそのラ
イブラリであって、複数のアクセス処理に対し、該アク
セス処理の開始時にそれぞれ排他獲得要求を行い、各ア
クセス処理の終了時にそれぞれ排他の解除通知し、前記
複数のアクセス処理のうちの最初の処理時のみに該アク
セス処理を行うスマートカードに対して認証要求を行う
ことを特徴とするアプリケーション又はそのライブラ
リ。
【0063】(付記11) 1つスマートカードへの複
数のアクセス処理を含むアプリケーションのライブラリ
であって、複数のアクセス処理に対し、該アクセス処理
の開始時にそれぞれ排他獲得要求を行い、各アクセス処
理の終了時にそれぞれ排他の解除通知し、前記複数のア
クセス処理のうちの最初の処理時のみに該アクセス処理
を行うスマートカードに対して認証要求を行うことを特
徴とするアプリケーションのライブラリ。
数のアクセス処理を含むアプリケーションのライブラリ
であって、複数のアクセス処理に対し、該アクセス処理
の開始時にそれぞれ排他獲得要求を行い、各アクセス処
理の終了時にそれぞれ排他の解除通知し、前記複数のア
クセス処理のうちの最初の処理時のみに該アクセス処理
を行うスマートカードに対して認証要求を行うことを特
徴とするアプリケーションのライブラリ。
【0064】(付記12) 複数のアプリケーションが
並列動作する情報処理装置によって使用された時、アプ
リケーションからのスマートカードに対する排他獲得要
求に対し、該スマートカードに他のアプリケーションに
よって排他獲得済みとなっていない論理チャネルが存在
すれば、該アプリケーションを排他獲得済みとし、排他
獲得済みとなっているアプリケーションからの前記スマ
ートカードへのアクセス要求に対し、該排他獲得済みと
なっているアプリケーションが該スマートカードから既
に認証されている時、該排他獲得済みとなっているアプ
リケーションに該スマートカードへのアクセスを許可す
ることを前記情報処理装置に行わせるプログラムを記憶
した前記情報処理装置が読み出し可能な記録媒体。
並列動作する情報処理装置によって使用された時、アプ
リケーションからのスマートカードに対する排他獲得要
求に対し、該スマートカードに他のアプリケーションに
よって排他獲得済みとなっていない論理チャネルが存在
すれば、該アプリケーションを排他獲得済みとし、排他
獲得済みとなっているアプリケーションからの前記スマ
ートカードへのアクセス要求に対し、該排他獲得済みと
なっているアプリケーションが該スマートカードから既
に認証されている時、該排他獲得済みとなっているアプ
リケーションに該スマートカードへのアクセスを許可す
ることを前記情報処理装置に行わせるプログラムを記憶
した前記情報処理装置が読み出し可能な記録媒体。
【0065】
【発明の効果】本発明によれば、スマートカードに対す
る排他制御が行われるので、複数のアプリケーションに
よってスマートカードを共用しても各アプリケーション
単位の認証を可能とする。
る排他制御が行われるので、複数のアプリケーションに
よってスマートカードを共用しても各アプリケーション
単位の認証を可能とする。
【0066】また、各アプリケーションとスマートカー
ドとの間の認証関係が一元管理されているので、アプリ
ケーションがスマートカードにアクセス要求を行うとそ
のスマートカードはそのアプリケーションを認証済みか
どうかが判断され、未認証の場合のみ認証処理が行われ
るので、認証処理回数を削減することが出来、認証処理
によるオーバヘッドを小さくすることが出来る。またP
INによる認証処理は、最初に一度だけ行われるのでア
プリケーションは、PINを保持し続ける必要がなく、
セキュリティレベルの向上が図れる。
ドとの間の認証関係が一元管理されているので、アプリ
ケーションがスマートカードにアクセス要求を行うとそ
のスマートカードはそのアプリケーションを認証済みか
どうかが判断され、未認証の場合のみ認証処理が行われ
るので、認証処理回数を削減することが出来、認証処理
によるオーバヘッドを小さくすることが出来る。またP
INによる認証処理は、最初に一度だけ行われるのでア
プリケーションは、PINを保持し続ける必要がなく、
セキュリティレベルの向上が図れる。
【0067】更にスマートカードは、認証状態を保持し
たまま複数の認証済みアプリケーションとの間でアクセ
スが可能となる。またアプリケーションは、排他獲得の
為の待ち状態期間を短く出来る。よって処理の並列性を
向上出来また各アプリケーションの処理時間の短縮を図
れる。
たまま複数の認証済みアプリケーションとの間でアクセ
スが可能となる。またアプリケーションは、排他獲得の
為の待ち状態期間を短く出来る。よって処理の並列性を
向上出来また各アプリケーションの処理時間の短縮を図
れる。
【図1】排他制御機構を設け、スマートカードへのアク
セスの排他処理を行った場合の構成を示す図である。
セスの排他処理を行った場合の構成を示す図である。
【図2】排他制御機構を備えた構成時の各アプリケーシ
ョンのスマートカードへのアクセス処理を示す図であ
る。
ョンのスマートカードへのアクセス処理を示す図であ
る。
【図3】排他制御機構及びアクセス制御機構を設けた場
合の構成図である。
合の構成図である。
【図4】認証状態管理テーブルの構成例を示す図であ
る。
る。
【図5】アプリケーションがスマートカードへのアクセ
スを行う際の、アプリケーション、排他制御機構及びア
クセス制御機構の処理の流れを示した図である。
スを行う際の、アプリケーション、排他制御機構及びア
クセス制御機構の処理の流れを示した図である。
【図6】排他制御機構及びアクセス制御機構を備えた構
成時の各アプリケーションのスマートカードへのアクセ
ス処理を示す図である。
成時の各アプリケーションのスマートカードへのアクセ
ス処理を示す図である。
【図7】スマートカードにアクセスを行うアプリケーシ
ョンの処理を示すフローチャートである。
ョンの処理を示すフローチャートである。
【図8】アプリケーションからの排他獲得要求に対する
排他制御機構の処理を示すフローチャートである。
排他制御機構の処理を示すフローチャートである。
【図9】アプリケーションからの排他の解除通知に対す
る排他制御機構の処理を示すフローチャートである。
る排他制御機構の処理を示すフローチャートである。
【図10】アプリケーションからのスマートカードへの
アクセス開始宣言に対するアクセス制御機構の処理を示
すフローチャートである。
アクセス開始宣言に対するアクセス制御機構の処理を示
すフローチャートである。
【図11】アプリケーションからのスマートカードへの
アクセス要求に対するアクセス制御機構の処理を示すフ
ローチャートである。
アクセス要求に対するアクセス制御機構の処理を示すフ
ローチャートである。
【図12】本実施形態に於けるスマートカードを使用す
るシステムの構成を示す図である。
るシステムの構成を示す図である。
【図13】情報処理装置のシステム環境図である。
【図14】記憶媒体の例を示す図である。
【図15】スマートカード内部の論理的構成を示す図で
ある。
ある。
11 排他制御機構 12 アクセス制御機構 21、41 アプリケーション 22、42、59 スマートカード 40 アクセス管理システム 43、58 スマートカードリーダ 51 CPU 52 主記憶装置 55 補助記憶装置 54 入出力装置 55 ネットワーク接続装置 56 媒体読取り装置 57 可搬記憶媒体 60 バス 71 情報処理装置 72 記憶手段 73 ネットワーク回線 74 情報処理装置本体(コンピュータ) 75 メモリ 76 可搬記録媒体
Claims (11)
- 【請求項1】 複数のアプリケーションによるスマート
カードへのアクセスを管理するスマートカードのアクセ
ス管理システムであって、 アプリケーションからのスマートカードに対する排他獲
得要求に対し、該スマートカードに他のアプリケーショ
ンによって排他獲得済みとなっていない論理チャネルが
存在すれば、該アプリケーションを排他獲得済みとする
排他制御手段と、 排他獲得済みとなっているアプリケーションからの前記
スマートカードへのアクセス要求に対し、該排他獲得済
みとなっているアプリケーションが該スマートカードか
ら既に認証されている時、該排他獲得済みとなっている
アプリケーションに該スマートカードへのアクセスを許
可するアクセス制御手段とを備えることを特徴とするア
クセス管理システム。 - 【請求項2】 前記排他制御手段は、アプリケーション
からのスマートカードに対する排他獲得要求に対し、該
スマートカードに他のアプリケーションによって排他獲
得済みとなっていない論理チャネルが存在しなければ、
該排他獲得要求を行ったアプリケーションをキューに登
録することを特徴とする請求項1に記載のアクセス管理
システム。 - 【請求項3】 前記アクセス制御手段は、前記アクセス
要求に対し、前記排他を獲得したアプリケーションが前
記スマートカードから未認証である時、該アプリケーシ
ョンの要求を拒否することを特徴とする請求項1又は2
に記載のアクセス管理システム。 - 【請求項4】 前記アクセス制御手段は、前記スマート
カードがスマートカードリーダより抜かれた時、該抜か
れたスマートカードにより認証済みとなっているアプリ
ケーションを未認証に変更することを特徴とする請求項
1乃至3のいずれか1に記載のアクセス管理システム。 - 【請求項5】 前記アプリケーションは、前記スマート
カードに複数回アクセスする時、各アクセスの開始時に
前記排他制御手段に前記排他獲得要求を行い、該各アク
セスの終了時に前記排他制御手段に排他の解除通知を行
うことを特徴とする請求項1乃至4のいずれか1に記載
のアクセス管理システム。 - 【請求項6】 前記排他制御手段は、アプリケーション
からのスマートカードに対する排他獲得要求に対し、該
スマートカードが他のアプリケーションによって既に排
他獲得済みであれば、該排他獲得要求を行ったアプリケ
ーションをキューに登録し、前記アプリケーションから
の排他の解除通知に対し、前記キューに登録されている
アプリケーションを排他獲得済みとすることを特徴とす
る請求項5に記載のアクセス管理システム。 - 【請求項7】 前記アクセス制御手段は、アプリケーシ
ョンからスマートカードの認証解除の通知に対し、該認
証解除が該スマートカードにより認証済みとなっている
最後のアプリケーションからの時、該スマートカードに
認証解除を要求することを特徴とする請求項1乃至6の
いずれか1に記載のアクセス管理システム。 - 【請求項8】 複数のアプリケーションによるスマート
カードへのアクセスを管理するスマートカードの共有方
法であって、 アプリケーションからのスマートカードに対する排他獲
得要求に対し、該スマートカードに他のアプリケーショ
ンによって排他獲得済みとなっていない論理チャネルが
存在すれば、該アプリケーションを排他獲得済みとし、 排他獲得済みとなっているアプリケーションからの前記
スマートカードへのアクセス要求に対し、該排他獲得済
みとなっているアプリケーションが該スマートカードか
ら既に認証されている時、該排他獲得済みとなっている
アプリケーションに該スマートカードへのアクセスを許
可することを特徴とする共有方法。 - 【請求項9】 1つのスマートカードへの複数のアクセ
ス処理を含むアプリケーション又はそのライブラリであ
って、 複数のアクセス処理に対し、該アクセス処理の開始時に
それぞれ排他獲得要求を行い、各アクセス処理の終了時
にそれぞれ排他の解除通知し、 前記複数のアクセス処理のうちの最初の処理時のみに該
アクセス処理を行うスマートカードに対して認証要求を
行うことを特徴とするアプリケーション又はそのライブ
ラリ。 - 【請求項10】 複数のアプリケーションが並列動作す
る情報処理装置によって使用された時、 アプリケーションからのスマートカードに対する排他獲
得要求に対し、該スマートカードに他のアプリケーショ
ンによって排他獲得済みとなっていない論理チャネルが
存在すれば、該アプリケーションを排他獲得済みとし、 排他獲得済みとなっているアプリケーションからの前記
スマートカードへのアクセス要求に対し、該排他獲得済
みとなっているアプリケーションが該スマートカードか
ら既に認証されている時、該排他獲得済みとなっている
アプリケーションに該スマートカードへのアクセスを許
可することを前記情報処理装置に行わせるプログラムを
記憶した前記情報処理装置が読み出し可能な記録媒体。 - 【請求項11】 複数のアプリケーションが並列動作す
る情報処理装置によって実行された時、 アプリケーションからのスマートカードに対する排他獲
得要求に対し、該スマートカードに他のアプリケーショ
ンによって排他獲得済みとなっていない論理チャネルが
存在すれば、該アプリケーションを排他獲得済みとし、 排他獲得済みとなっているアプリケーションからの前記
スマートカードへのアクセス要求に対し、該排他獲得済
みとなっているアプリケーションが該スマートカードか
ら既に認証されている時、該排他獲得済みとなっている
アプリケーションに該スマートカードへのアクセスを許
可することを前記情報処理装置に行わせるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001220865A JP2002157554A (ja) | 2000-09-05 | 2001-07-23 | スマートカードのアクセス管理システム、共有方法及び記憶媒体 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000269096 | 2000-09-05 | ||
| JP2000-269096 | 2000-09-05 | ||
| JP2001220865A JP2002157554A (ja) | 2000-09-05 | 2001-07-23 | スマートカードのアクセス管理システム、共有方法及び記憶媒体 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002157554A true JP2002157554A (ja) | 2002-05-31 |
Family
ID=26599291
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001220865A Pending JP2002157554A (ja) | 2000-09-05 | 2001-07-23 | スマートカードのアクセス管理システム、共有方法及び記憶媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002157554A (ja) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001026883A (ja) * | 1999-07-15 | 2001-01-30 | Canon Inc | 膜形成方法および膜形成装置 |
| JP2002117381A (ja) * | 2000-10-05 | 2002-04-19 | Dainippon Printing Co Ltd | Icカード |
| KR20040001438A (ko) * | 2002-06-28 | 2004-01-07 | (주)애트리움씨앤아이 | 다기능 개방형 스마트카드에서 공용 어플리케이션을검색하는방법 |
| KR100471007B1 (ko) * | 2004-08-27 | 2005-03-14 | 케이비 테크놀러지 (주) | 시큐리티 도메인의 독립성을 보장하기 위한 스마트 카드와그 방법 |
| WO2005066802A1 (ja) * | 2004-01-06 | 2005-07-21 | Sony Corporation | データ通信装置及びデータ通信装置のメモリ管理方法 |
| JP2006270455A (ja) * | 2005-03-23 | 2006-10-05 | Fuji Xerox Co Ltd | ネットワークシステム、情報処理機器、コンピュータの制御方法及びプログラム |
| JP2007148596A (ja) * | 2005-11-25 | 2007-06-14 | Hitachi Ltd | 情報配信方法 |
| JP2007537533A (ja) * | 2004-05-31 | 2007-12-20 | サムスン エレクトロニクス カンパニー リミテッド | 携帯用保存装置とデバイスで多数のアプリケーションを行う方法及び装置 |
| US7483690B2 (en) | 2002-08-19 | 2009-01-27 | Ntt Docomo, Inc. | Communication terminal having a function to inhibit connection to a particular site and program thereof |
| US7779263B2 (en) | 2003-11-14 | 2010-08-17 | Ricoh Company, Ltd. | Security support apparatus and computer-readable recording medium recorded with program code to cause a computer to support security |
| JP2011008565A (ja) * | 2009-06-26 | 2011-01-13 | Buffalo Inc | ストレージ装置、ストレージ装置の制御方法、およびコンピュータプログラム |
| JP2013539609A (ja) * | 2010-06-17 | 2013-10-24 | ジェムアルト エスアー | 集積回路カードによる複数の無線通信ストリームの処理を行う方法及びシステム |
| WO2014103543A1 (ja) * | 2012-12-28 | 2014-07-03 | 楽天株式会社 | 情報アクセス装置、コンピュータプログラム、情報処理システム、アクセス制御システム、携帯端末、携帯端末の制御方法、及び携帯端末の制御プログラム |
| JP5608308B1 (ja) * | 2012-12-28 | 2014-10-15 | 楽天株式会社 | 情報アクセス装置、コンピュータプログラム、アクセス制御システム、携帯端末、携帯端末の制御方法、及び携帯端末の制御プログラム |
| JP2014232372A (ja) * | 2013-05-28 | 2014-12-11 | 富士通株式会社 | アプリケーション配信装置、アプリケーション配信方法、アプリケーション配信プログラム、アプリケーション実行装置、アプリケーション実行方法、アプリケーション実行プログラム、及びアプリケーション配信システム |
| WO2017022353A1 (ja) * | 2015-08-05 | 2017-02-09 | ソニー株式会社 | 制御装置、認証装置、制御システム、および制御方法 |
-
2001
- 2001-07-23 JP JP2001220865A patent/JP2002157554A/ja active Pending
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001026883A (ja) * | 1999-07-15 | 2001-01-30 | Canon Inc | 膜形成方法および膜形成装置 |
| JP2002117381A (ja) * | 2000-10-05 | 2002-04-19 | Dainippon Printing Co Ltd | Icカード |
| KR20040001438A (ko) * | 2002-06-28 | 2004-01-07 | (주)애트리움씨앤아이 | 다기능 개방형 스마트카드에서 공용 어플리케이션을검색하는방법 |
| US7483690B2 (en) | 2002-08-19 | 2009-01-27 | Ntt Docomo, Inc. | Communication terminal having a function to inhibit connection to a particular site and program thereof |
| US7779263B2 (en) | 2003-11-14 | 2010-08-17 | Ricoh Company, Ltd. | Security support apparatus and computer-readable recording medium recorded with program code to cause a computer to support security |
| US8215547B2 (en) | 2004-01-06 | 2012-07-10 | Sony Corporation | Data communicating apparatus and method for managing memory of data communicating apparatus |
| WO2005066802A1 (ja) * | 2004-01-06 | 2005-07-21 | Sony Corporation | データ通信装置及びデータ通信装置のメモリ管理方法 |
| US7886970B2 (en) | 2004-01-06 | 2011-02-15 | Sony Corporation | Data communicating apparatus and method for managing memory of data communicating apparatus |
| US7882291B2 (en) | 2004-05-31 | 2011-02-01 | Samsung Electronics Co., Ltd. | Apparatus and method for operating plural applications between portable storage device and digital device |
| KR101152388B1 (ko) | 2004-05-31 | 2012-06-05 | 삼성전자주식회사 | 휴대용 저장장치와 디바이스에서 다수의 어플리케이션을수행하는 방법 및 장치 |
| JP2007537533A (ja) * | 2004-05-31 | 2007-12-20 | サムスン エレクトロニクス カンパニー リミテッド | 携帯用保存装置とデバイスで多数のアプリケーションを行う方法及び装置 |
| KR100471007B1 (ko) * | 2004-08-27 | 2005-03-14 | 케이비 테크놀러지 (주) | 시큐리티 도메인의 독립성을 보장하기 위한 스마트 카드와그 방법 |
| JP2006270455A (ja) * | 2005-03-23 | 2006-10-05 | Fuji Xerox Co Ltd | ネットワークシステム、情報処理機器、コンピュータの制御方法及びプログラム |
| JP2007148596A (ja) * | 2005-11-25 | 2007-06-14 | Hitachi Ltd | 情報配信方法 |
| JP2011008565A (ja) * | 2009-06-26 | 2011-01-13 | Buffalo Inc | ストレージ装置、ストレージ装置の制御方法、およびコンピュータプログラム |
| JP2013539609A (ja) * | 2010-06-17 | 2013-10-24 | ジェムアルト エスアー | 集積回路カードによる複数の無線通信ストリームの処理を行う方法及びシステム |
| WO2014103543A1 (ja) * | 2012-12-28 | 2014-07-03 | 楽天株式会社 | 情報アクセス装置、コンピュータプログラム、情報処理システム、アクセス制御システム、携帯端末、携帯端末の制御方法、及び携帯端末の制御プログラム |
| WO2014103072A1 (ja) * | 2012-12-28 | 2014-07-03 | 楽天株式会社 | アクセス制御システム、アクセス制御方法、携帯端末、携帯端末の制御方法、携帯端末の制御プログラムが記録された記録媒体、及び携帯端末の制御プログラム |
| JP5608308B1 (ja) * | 2012-12-28 | 2014-10-15 | 楽天株式会社 | 情報アクセス装置、コンピュータプログラム、アクセス制御システム、携帯端末、携帯端末の制御方法、及び携帯端末の制御プログラム |
| JP2014232372A (ja) * | 2013-05-28 | 2014-12-11 | 富士通株式会社 | アプリケーション配信装置、アプリケーション配信方法、アプリケーション配信プログラム、アプリケーション実行装置、アプリケーション実行方法、アプリケーション実行プログラム、及びアプリケーション配信システム |
| WO2017022353A1 (ja) * | 2015-08-05 | 2017-02-09 | ソニー株式会社 | 制御装置、認証装置、制御システム、および制御方法 |
| JP2017033431A (ja) * | 2015-08-05 | 2017-02-09 | ソニー株式会社 | 制御装置、認証装置、制御システム、および制御方法 |
| US10733272B2 (en) | 2015-08-05 | 2020-08-04 | Sony Corporation | Control apparatus, authentication apparatus, control system, and control method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20020029343A1 (en) | Smart card access management system, sharing method, and storage medium | |
| JP2002157554A (ja) | スマートカードのアクセス管理システム、共有方法及び記憶媒体 | |
| CA2016224C (en) | A flexible interface to authentication services in a distributed data processing system | |
| CN103559448B (zh) | 一种用于安全环境的处理器 | |
| JP5028194B2 (ja) | 認証サーバ、クライアント端末、生体認証システム、方法及びプログラム | |
| CN109873804A (zh) | 基于行为的服务识别方法、装置、设备及可读存储介质 | |
| WO2017113582A1 (zh) | 数据访问方法、数据访问***和终端 | |
| WO2014049749A1 (ja) | 生体参照情報登録システム、装置及びプログラム | |
| US20120005732A1 (en) | Person authentication system and person authentication method | |
| CN112101949A (zh) | 安全的服务请求处理方法及装置 | |
| TW202223704A (zh) | 可信應用的控制方法和設備、電腦儲存媒體以及終端機 | |
| CN108229190B (zh) | 透明加解密的控制方法、装置、程序、存储介质和电子设备 | |
| JP6984580B2 (ja) | チケット譲渡装置、チケット譲渡方法及びプログラム | |
| JP2003316655A (ja) | Icカードに格納されたアプリケーションやデータのアクセス制御方法及びシステム | |
| CN113672636B (zh) | 图数据写入方法及装置 | |
| JP2000003302A (ja) | 共有メモリ排他アクセス制御方法 | |
| US20050198005A1 (en) | Systems and methods for controlling access to an object | |
| JP2002304231A (ja) | コンピュータシステム | |
| CN110347517B (zh) | 双***的通信方法及计算机可读存储介质 | |
| US20070174571A1 (en) | Binding a protected application program to shell code | |
| TWI632508B (zh) | Multi-card integrated chip card application sharing authentication method | |
| JP2002304316A (ja) | セキュリティシステム、セキュリティ方式及びセキュリティ処理プログラム | |
| JP2002304318A (ja) | コンピュータシステムおよびその使用制御方法 | |
| JP2000267995A (ja) | セキュリティ統合管理装置、セキュリティ統合管理方法およびセキュリティ統合管理用プログラムを記録した記録媒体 | |
| US11599620B2 (en) | Securing access to group accounts on a computer system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040805 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060418 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060425 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060626 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070220 |