安全设备和读/写设备的制作方法

专利名称：安全设备和读/写设备的制作方法
技术领域：
本发明涉及安全设备和连接到所述安全设备的外部机器。
背景技术：
当前，关注IC卡作为安全设备。开发了允许在发行卡后向其下载应用的 多应用兼容卡，以用于改善用户的方便性，并且降低想要提供IC卡服务的企
业的进入屏障。
近来，已经提出了包括IC芯片内的大容量存储器的、可用作IC卡扩展 存储器保护区域的设备(以下称为安全存储卡)，并且已经使得有可能满足IC
卡应用数据的较大容量的需要。因为可以使安全存储卡适合于移动机器的大 小，因此可以预期所迷安全存储卡将被直接地插入到具有用于开发的插槽的
移动机器内，以用作使用所述移动机器的EC (电子商务)服务。 在此，将简述IC卡的硬件配置。
图30是关于IC卡的硬件的功能方框图。IC卡3001包括CPU(中央处 理单元)3002、 ROM (只读存储器)3003、易失性存储器(例如RAM:随 机存取存储器)3004、易失性存储器(例如EEPROM:电可擦除可编程只读 存储器)3005和输入/输出接口 3006。 CPU 3002执行计算。ROM 3003是不 能被重写的只读存储器。ROM 3003的存储内容在制造IC卡时被确定，并且 不能在以后被改变。RAM 3004是可以被读和写的存储器。如果关断电源， EEPROM 3005的内容被保留。输入/输出接口 3006负责在IC卡和外部系统 之间的数据交换。在CPU 3002中执行的程序通常被称为"应用"。用于执行 应用的代码被存储在ROM 3003或者EEPROM 3005内。除了在图30中所示 的部件之外，IC卡可以包括加密协处理器，用于加密操作。
在IC卡内安装的应用和外部系统(读取器)使用在ISO/正C 7816-4中定 义的APDU (应用协议数据单元)来交换数据。APDU由通过读取器给出到 IC卡的命令和从IC卡向读取器返回的响应构成。
图31示出了 APDU命令3101,并且由首标和主体构成。所述主体具有任何期望的长度，并且如果其为空则可以不存在。所述首标由类(CLA)、指 令(INS )和参数1和2 ( Pl和P2 )构成。
图32示出了 APDU响应命令3201,并且由数据部分和状态字(SW)构成。
所述IC卡具有应用防火墙的特征。所述应用防火墙表示当多个应用共存 在IC卡内时， 一个应用不能调用不同应用的函数或者向不同的应用的对象进
行数据访问，除非所述不同的应用明确地给出用于访问的接口 。
已知可共享的接口对象(SIO)为在应用之间的对象共享方法(参见专利
文件1 )。
以下，用于提供SIO的应用将被称为服务器应用，并且使用SIO的应用
将被称为服务器应用。
例如，提出了一种方法，其有效地用于通过下述方式来显示没有显示器
的IC卡的使用结果向移动电话内插入安装了两种应用的IC卡(芯片)，通 过进行在票据检查机器和票据检查应用之间的非接触通信来通过票据检查， 由在卡内的票据检查应用将结果传送到显示应用，并且通过由移动电话与显 示应用进行接触通信而在移动电话的屏幕上显示结果。
在这个示例内，票据检查应用作为客户机应用，并且所述显示应用作为 服务器应用。
专利文件1:国际专利公开第2003-522988号

发明内容
本发明要解决的问题
为了使用诸如IC卡的设备来通过票据检查或者进入和离开检查，期望整 个处理将在大约一到几秒内完成。因为IC卡的CPU处理能力与通用的PC 或者移动机器相比较低，因此经常在下载时间执行链接，并且将中间值设置 为地址引用对象(referent)。在需要的时候调用存储器进行使用的技术(诸如 动态链接库)不能用于IC卡应用，因为链接处理变为瓶颈。
因此，对于许多IC卡，如果在其中未安装服务器应用的状态中下载客户 机应用，则其导致作为链接错误的失败。
因此，在已经存在的现有技术内，服务器应用和客户机应用必须存在于 同一卡内。但是，可以从多个客户机应用使用一些服务器应用，并且在所有所拥有 的卡中安装同一服务器应用，不能有效地使用IC卡的有限存储器中的大部分。
本发明被实现来解决在相关技术中的问题，并且本发明的目的是提供一 种方法，用于如果当下载客户机应用时在同一卡内不存在服务器应用，则许
结合地工作(以下称为卡间接口使用)。 解决所述问题的手段
本发明是一种安全设备，其包括应用存储部分，用于存储用于执行数据
处理的应用的客户机应用；地址计算部分，用于确定所述应用存储部分是否 具有用于向和从客户机应用传送数据的服务器应用；以及，引用对象存在确 定部分，用于当所述地址计算部分确定所述应用存储部分没有用于向和从第 一客户机应用传送数据的第 一服务器应用时，确定不同安全设备是否具有所 述第一服务器应用。
因此，如果在家庭(home)安全设备中不存在服务器应用，则可以进行 检查以查看是否可以按照不同的安全设备的服务器应用来执行家庭安全设备 的客户机应用。
本发明的优点
本发明具有可以减少在安全设备中的存储区域的优点。


图1是本发明的实施例1中的系统配置的图。
图2是实施例1中的安全设备的方框图。
图3是示出在下载期间和下载后的应用区域的图。
图4是实施例1中的不同安全设备的方框图。
图5是实施例1中的读取器-写入器的方框图。
图6是当在卡内存在引用对象时的处理的流程图。
图7是当在卡内不存在引用对象时的处理的流程图。
图8是用于示出在实施例1内的地址空间的图。
图9是用于示出授权码表的示例的图。
图IO是被提供授权码的应用的处理的流程图。图lla是用于示出命令和响应的示例的图(a)。
图llb是用于示出命令和响应的示例的图(b)。
图12是本发明的实施例2中的安全设备的方框图。
图13是实施例2中的不同安全设备的方框图。
图14是示出向/从读取器-写入器的输入和输出之间的关系的图。
图15是本发明的实施例3中的读取器-写入器的方框图。
图16是实施例3中的处理的流程图。
图17是本发明的实施例4中的读取器-写入器的方框图。
图18是实施例4中的处理的流程图。
图19是本发明的实施例5中的处理的流程图。
图20是实施例5中的授权码表的示例。
图21是实施例5中的发出授权码的流程图。
图22是用于示出指令的示例的图。
图23是用于示出临时授权码管理表的示例的图。
图24是本发明的实施例7中的安全设备的方框图。
图25是实施例7中的不同安全设备的方框图。
图26是用于示出由应用执行部分处理的帧(frame)的示例的图。
图27是用于示出由堆栈控制部分建立的数据的示例的图。
图28是当在同一安全设备中存在引用对象应用时下载应用的流程图。
图29是实施例2中提供安全的流程图。
图30是关于IC卡的硬件的功能方框图。
图31是APDU命令的格式图。
图32是APDU响应的格式图。
图33a是用于示出由读取器-写入器处理的数据类型定义的图(1)。 图33b是用于示出由读取器-写入器处理的数据类型定义的图(2)。
参考标号的描述
101 安全设备
102 不同安全设备
103 读取器-写入器 201 下载管理部分202 应用存储部分
203 应用(正在被下载)
204 不同应用(已经被下载)
205 地址计算部分
206 应用执行部分
207 授权码发出部分
208 卡间接口执行部分
209 授权码管理部分
210 引用对象存在确定部分
301 正在被下载的应用
302 应用代码数据区域
303 应用计算数据区域
304 应用数据区域
305 应用代码数据
306 应用计算数据
307 下载后的应用
308 应用代码
309 下载数据 401 服务器应用
501 排他控制通信部分
502 应用控制部分
801 存储器空间
802 对于应用许可的区域
803 系统区域 901 授权码表
1101、 1103、 1105、 1107响应
1102选择命令
1104、 1108共享命令
1106 INVOKE (调用)命令
1201安全设备
1202安全性管理部分1301安全设备
1302卡间接口才丸4亍部分
1303安全性管理部分
1401对读取器-写入器的输入(来自安全设备的响应)
1402来自读取器-写入器的输出(到不同安全设备的命令)
1403对读取器-写入器的输入(来自不同安全设备的响应)
1404来自读取器-写入器的输出(到安全设备的命令)
1501读取器-写入器
1502拥有者管理部分
1701读取器-写入器
1702拥有者检查信息输入部分
1703下载条件确定部分
2001授权码表
2201指令
2301临时授权码管理表 2401安全设备 2402客户机应用 2403堆栈操作部分 2501不同安全设备 2502堆栈控制部分 2601部分应用 2602帧1 2603帧2 ROM 2604堆栈 2605局部变量 2701响应数据
3001 IC卡
3002 CPU
3003 ROM
3004 RAM
3005 EEPROM3006输入/输出4妄口 3101 APDU命令 3201 APDU响应
3301由读取器-写入器处理的数据结构定义书
具体实施例方式
本发明涉及一种安全设备，用于如果当下载客户机应用时在同一卡中不 存在服务器应用，则许可下载，并且当所述客户机应用被执行时与在不同卡 中安装的服务器应用相结合地工作。
实施例1是涉及安全设备的发明，所述安全设备用于如果当下载客户机 应用时在同一卡中不存在服务器应用，则许可下载，并且当所述客户机应用
实施例2是涉及一种系统的发明，所述系统用于当设备彼此相结合地工 作时提供安全性。
实施例3是涉及一种(第一)系统的发明，所述系统用于当一安全设备 和一不同的安全设备彼此相结合地工作时检查所述安全设备的拥有者和所述
不同的安全设备的拥有者的相同性。
实施例4是涉及一种(第二)系统的发明，所述系统用于当一安全设备 和一不同的安全设备彼此相结合地工作时检查所述安全设备的拥有者和所述 不同的安全设备的拥有者的相同性。
联的客户机应用的使用控制方法的发明。
实施例6是涉及当服务器应用不存在于同一卡中时的客户机应用的有条
件下载方法和条件;险查方法的发明。
实施例7是涉及请求在不同的安全设备中安装的服务器应用执行处理并 且在客户机应用中使用所述服务器应用的处理数据的方法的发明。
将使用附图来讨论本发明的所述实施例。应当明白，本发明不限于下述 的具体实施例，在不脱离本发明的精神和范围的情况下，可以以各种形式来
体现本发明。
(实施例1 )
在实施例1中描述的本发明提供了一种安全设备，用于如果当下载客户机应用时在同一卡中不存在服务器应用，许可下载，并且当所述客户机应用
例如，下述情况是可能的本发明被应用到安全设备，所述安全设备包
含作为服务器应用的显示器应用，用于在移动电话的屏幕上显示客户机应用
的处理结果；以及作为客户机应用的通信票据应用和预付应用。
或者，本发明也可以被应用到下述示例，其中，在用于检查观看权限的 服务器应用和用于存储观看权限和所观看内容的客户机应用之间的关系中， 所述客户机应用向所述服务器应用传送观看权限，并且除非由所述服务器应 用执行的、在所述观看权限内包含的年限(age)、次数、过期日期、总的回放 时间等的条件检查通过，否则不能观看所述内容。 将使用图1-11和28来讨论所述实施例。
图1是示出所述实施例中的安全设备和不同安全设备的结合系统的图， 并且所述结合系统由安全设备101、不同安全设备102和读取器-写入器103 构成。
图2、 4和5分别是在图1内所示的安全设备101、不同安全设备102和
读取器-写入器103的方框图。
图2是示出如上所述的安全设备101的配置的方框图。 下载管理部分201与读取器-写入器103进行通信，并且管理用于向安全
设备101下载应用的操作。
应用存储部分202包含正在被下载的应用203和已经被下载的应用204。 图3示出了由在图2中的应用存储部分202中的应用占用的区域。 由正在被下载的应用301 (203 )保留的区域是应用代码数据区域302、
地址计算数据区域303和应用数据区域304。
应用代码数据305被存储在应用代码数据区域302内，并且地址计算数
据306被存储在地址计算数据区域303内。
由下载后的应用307占用的区域是应用代码数据区域302和应用数据区
域304。应用代码308被存储在应用代码数据区域302内，并且应用数据309
被存储在应用数据区域304内。
地址计算部分205使用在正在被下载的应用203中的应用代码数据305
和应用计算数据306以及已经被下载的不同应用204来执行要被下载的应用
203的"地址解析"。所述"地址解析"是指在函数调用或者对象访问时间引导数据的引用对 象的地址的更新。 '
在地址解析后，删除地址计算数据区域303，并且在下载完成后，由应 用代码308和应用数据309构成的应用307被存储在应用存储部分202中作 为已经下载的应用。
安全设备101的应用执行部分206按照来自读取器-写入器103的命令来 执行已经下载的应用307。
例如，下述技术被广泛地知道字节代码作为应用代码308被存储，并 且对象作为应用数据309被存储在应用存储部分202中，并且作为应用执行 部分206的虚拟机解释字节代码并执行处理。
在包括实施例1的说明书中的实施例的说明中使用这样的处理系统。在 由虚拟机管理的存储空间内的每个地址被表示为16比特(两个字节)。
授权码发出部分207在地址解析期间从地址计算部分205接收到请求时 发出"授权码"。下面说明"授权码"。
此时，引用对象存在确定部分210检查是否"在不同安全设备中存在引 用对象"。下面说明这个操作。
卡间接口执行部分208在地址解析期间从引用对象存在确定部分210接 收到请求时或者在应用307的执行时间从应用执行部分206接收到请求时， 与不同安全设备102进行通信。
图4是示出如上所述的不同安全设备102的配置的方框图。
在不同安全设备102内，用于为不同应用204^t是供接口以明确地访问的 应用(以下将称为服务器应用401。另一方面，使用所述接口的应用以下将 被称为客户机应用307 (在图2中为下载后的应用307))被存储在应用存储 部分402内，并且由应用执行部分403执行。
图5是用于示出如上所述的读取器-写入器103的配置的方框图。
读取器-写入器103可以与安全设备101、不同安全设备102等多个安全 设备通信，并且单独地识别安全设备101和不同安全设备102来进行通信。
为了执行如上所述的操作，读取器-写入器103由下述部分构成排他 (exclusive)控制通信部分501,用于防止要发送到安全设备101的数据被错误 地发送到不同安全设备102 (并且反之亦然)；以及应用控制部分502，用于 向安全设备IOI中的应用307和不同安全设备中的服务器应用401发送命令，并且处理响应。
例如，已知下述设备 一种读取器-写入器，其具有多个插槽，用于与插 入到每个插槽中的安全设备接触，并且与所述安全设备通信； 一种读取器-写 入器，用于与在无线电波的到达范围内的多个安全设备进行非接触通信；等等。
应用控制部分502可以是1 )全部存在于读取器-写入器103中的情况， 或者2) —部分存在于读取器-写入器103中并且剩余部分通过网络而存在于 不同的设备中的情况；两者在说明书中类似地被处理。
在所述实施例中，将讨论在具有如上所述的部件的安全设备101、不同 安全设备102和读取器-写入器103之间的数据传送。
在包含所述实施例的应用内，除非明确地另外说明，通常控制部分(未 示出)执行数据传送等。
在说明所述实施例的特征部分之前，首先将使用图7和28来说明当在同 一安全设备中存在引用对象的应用时的应用下载。
安全设备101中的下载管理部分201接收从读取器-写入器103发送的应 用下载命令，并且将处理结果发送至读取器-写入器103作为响应。 一般，通
过重复操作来执行应用下载。 (步骤l (S2801 ))
在安全设备IOI中，响应于在从读取器-写入器103发送的下载命令中指 定的大小而保留应用代码数据区域302、地址计算数据区域303和应用数据 区域304，并且从所述下载命令提取应用代码数据305和地址计算数据306， 并存储在相应的区域中。 (步骤2 ( S2802 ))
在安全设备101中，在提取了应用代码数据305和地址计算数据306后， 地址计算部分205在从下载管理部分201接收到请求时执行地址解析。
地址计算部分205在应用代码数据305的顶部开始，以字节为单位进行 解释。例如，当读取指令代码的"invokeinterface (调用接口 )"以便经由由 不同应用204提供的接口(IF)而调用函数时，地址计算部分205响应于 "invokeinterface，，而4丸^亍处理，如图6内所示。
"processing responsive (作出响应而处理)，，表示定义了 i者如 "invokeinterface，，的各种指令代码，并且处理在指令代码之间不同。紧随"invokeinterface"的一个字节控制要调用的自变量，随后的2个字 节的"0002"是地址计算数据306的索引。地址计算部分205根据地址计算 数据306的索引来引用对应的地址计算数据306。
图6中所示的引用对象"01800000"由包、类令牌(class token)、方法标 识号等构成，并且地址计算部分205使用它们来提取指示要调用的函数的顶 部位置的地址，并且将索引"0002"转换为被调用的地址"a000"。
(步骤3 ( S2803 ))
在安全设备101中，在解释了所有的应用代码数据305后，地址计算部 分205向下载管理部分201发送地址计算完成的通知。 (步骤4 ( S2804 ))
在安全设备101中，下栽管理部分201释放存储变得不需要的地址计算 数据的区域303。但是，所述步骤可以是选用的，虽然考虑到卡的存储器资
源，其是非常有效的。 (步骤5 (S2805 ))
当从读取器-写入器103接收到"应用初始化，，请求命令时，下载管理部 分201初始化应用。
"应用初始化，，用于生成每个应用的实例，并且设置对象中的初始值。 数据被存储在应用数据区域304中作为应用数据309。
其后，使得有可能对于来自读取器-写入器103的命令，应用执行部分206 选择和执行应用307或者204。
已经描述了当地址解析导致成功时的处理。
接着，将使用图7来讨论因为要引用的应用不存在于卡内而不能执行地 址解析的情况。
在图7内，为了与如上所述的(步骤2 (S2802))相同地执行不同应用 的函数调用的地址解析，地址计算部分205识别在安全设备101中不存在引 用对象。
地址计算部分205请求引用对象存在确定部分210检查"在不同安全设 备102中是否存在对应的引用对象"。
此时，地址计算部分205向引用对象存在确定部分210传送存在检查信 息，其包含引用对象应用的标识符应用标识数据(AID)、方法ID、自变量的 数量等。从引用对象存在确定部分210向卡间接口执行部分208传递存在检查信 息，卡间接口执行部分208然后通过读取器-写入器103向不同安全设备102 传送所述存在检查信息。
不同安全设备102检查由存在检查信息指示的函数存在，然后向安全设 备101传送表示使用许可或者使用拒绝的许可检查信息。
由安全设备101的卡间接口执行部分208接收的许可检查信息被传递到 引用对象存在确定部分210,并且如果作为引用对象存在确定部分210 ^r查 许可检查信息的结果而许可使用不同安全设备102的服务器应用401，则请 求授权码发出部分207发出授权码。如果所述使用被拒绝，则授权码发出部 分207发出错误。
如果发出错误，则通过下载管理部分201向读取器-写入器103返回SW， 其表示"因为不存在引用对象，因此下载产生错误"。
授权码的长度是与地址相同的被必要地更新的长度；例如，如果以两个 字节表示地址，则授权码也是两个字节。
授权码由指示其中不许可应用布置的地址区域的信息和由授权码管理部 分管理的表的索引构成。
图8示出了安全设备101中的地址空间。
当通过0000h到EFFFh来表示存储器空间801中的、对于应用布置所许 可的存储器空间802时，对于所述应用不许可的区域(例如系统区域)803 是F000h到FFFFh。
例如，作为授权码，给出了 FF02h，其指示在对于应用803不许可的区 域的范围内的表的索引"2"并通过后半部分的一个字节来指示。在这种情况 下，在发出授权码后，引用对象应用的标识符(服务器应用401)、方法ID、 自变量的数量等被存储在由授权码管理部分209管理的授权码表901的索引 "2"的行中。
接着，将使用图IO和11来说明被提供授权码的应用(客户机应用307) 的执行操作。
图IO示出了操作流程，图11示出了在安全设备IOI、不同安全设备102 和读取器-写入器103之间传送的命令和响应的示例。
将使用在图10中的操作流程来讨论安全设备101、不同安全设备102和 读取器-写入器103的操作。图33示出了用于描述由读取器-写入器103处理的数据的结构的定义书 3301。定义书3301从在图33a内所示的数据行向在图33b的左边所示的数据 行继续，并且进一步向在图的右边所示的数据行继续。在此，使用用于定义 标准的语言的ASN.l (抽象语法表示1 )进行说明。而且，在C语言内，具 有typedef关键字的数据类型的定义也是可能的。
在所述实施例中的定义书和实现方式之间的关系，即所定义的数据类型 考虑什么命令/响应被加到定义书3301中的评述。在此，描述了 APDU的发 送和接收，但是可以执行基于HTTP (超文本传送协议)的数据的发送和接 收。
因此，可以以各种形式来实现在读取器-写入器103内的数据类型定义和 由在IC卡内安装的应用(客户机应用307、服务器应用401 )和读取器-写入 器103交换的数据的结构。以下，将跳过在实施例2-7内的类似说明。 (执行操作步骤1 (S1001 ))
假定安全设备101中的客户机应用307已经开始(未示出)。
对应于从读取器-写入器103发送的命令1的处理由安全设备101的应用 执行部分206执行。
对于由客户机应用提供的每个功能，命令1可以以各种格式存在，诸如 用于检查在视频内容观看时间的许可条件的请求。
在读取表示方法调用的指令代码后，应用执行部分206取出紧随在所述 指令代码之后的地址信息。
应用执行部分206确定由地址信息指示的区域是否是"对于应用所许可 的区域"，并且如果所述区域是许可的区域，则应用执行部分调用地址。
如果所述区域不是许可的区域，则应用执行部分206识别授权码，并且 将所述授权码传递到授权码管理部分209，并且将在所述方法内使用的参数 传递到卡间接口执行部分208。
授权码管理部分209读取在授权码内包含的索引，取出在授权码表901 内包含的引用对象应用的AID,并且将所述AID传递到卡间接口执行部分 208。
卡间接口执行部分208在响应1101的数据部分设置引用对象应用的 AID,在响应1101的SW内设置表示用于使用卡间接口的请求的数据，并且 向读取器-写入器103发送响应1101。(执行操作步骤2 (S画2))
当读取器—写入器103的排他控制通信部分501从安全设备101接收响应 1101时，应用控制部分502分析所述响应，并且识别安全设备101想要使用 卡间接口。
应用控制部分502处理从安全设备101接收的数据(来自安全设备101 的响应)，将其作为命令传送到不同安全设备102，处理从不同安全设备102 接收的数据(来自不同安全设备102的响应)，并且将其作为命令传送到安全 设备101，直到识别出从安全设备101接收的响应意味着卡间接口使用完成。
如果读取器-写入器103首先从安全设备101接收到包含想要使用卡间接 口的消息的响应，则读取器-写入器103将来自安全设备101的响应处理为在 图11内所示的选择命令1102,并且将所述命令发送到不同安全设备102。
在不同安全设备102的应用存储部分402中存储的服务器应用401按照 选择命令1102而开始。
在后面的说明内，将服务器应用401实现远程方法调用(RMI)的情况 作为示例。
RMI是在Java (注册商标)卡TM中定义的技术，并且是用于在读取器-写入器中操作以调用卡的远程对象的方法的应用的机制。
实现RMI的服务器应用401响应于来自读取器-写入器103的选择命令 1102而向读取器-写入器103返回包含INS和对象ID的响应1103。
(执行操作步骤3 (S1003 ))
读取器-写入器103在图11 (a)中所示的共享命令1104中的数据部分中 设置来自服务器应用401的响应1103,并且向安全设备101的卡间接口执行 部分208发送共享命令1104。
共享命令1104是专用于当安全设备101想要使用卡间接口时从读取器-写入器103向安全设备101发送的命令的命令；期望应当分配唯一的INS。
安全设备101的卡间接口执行部分208在图11 (b)中所示的响应1105 的数据部分中设置从服务器应用401传递的包含INS和对象ID的请求数据、 在授权码表901中存储的方法ID、和从安全设备IOI的应用执行部分206传 递的参数，在响应1105的SW中设置用于使用卡间接口的请求，并且向读取 器-写入器103返回响应1105。
(执行操作步骤4 (S1104))读取器-写入器103解释使用卡间接口的请求，并且向服务器应用401发 送基于在响应1105的数据部分中存储的数据而建立的INVOKE(调用)命令。
服务器应用401使用所述方法ID和参数来执行处理，并且向读取器-写 入器103返回响应1107。
(执行操作步骤5 (S簡))
读取器-写入器103在图11 (b)中所示的共享命令1108的数据部分中设 置服务器应用的INVOKE命令处理结果(例如仅仅在响应1107中所示的 SW),并且向安全设备101的卡间接口执行部分208发送共享命令1108。
卡间接口执行部分208向应用执行部分206传递服务器应用的INVOKE 命令处理结果。
其后，应用执行部分206继续服务器应用的INVOKE命令处理结果的处 理，并且向读取器-写入器103发送对于命令1的响应1109。
对于命令1的响应1109包含意味着成功的9000h，并且不包含SW，所 述SW包含想要使用卡间接口的消息。
因此，读取器-写入器103识别卡间接口使用完成的含义，并且停止在安 全设备101和安全设备102之间的随后的传送。
或者，可以从安全设备101发送明确地表示卡间接口使用完成的SW。
如上所述，所述实施例使得有可能不仅访问在安全设备中安装的服务器 应用，而且访问在不同安全设备中安装的服务器应用。
因此，不必为每个所拥有的安全设备安装普通用途的应用，并且这个益 处对于缺少存储器资源的安全设备是有效的。
即，产生了用户益处可以在第二个卡和以后的卡中安装不同的应用代 替服务器应用。
而且，客户机应用的源代码在同 一安全设备中安装的服务器应用的使用 中和在不同安全设备中安装的服务器应用的使用中变得相同。
因此，通常当用户的方便性改善并且使用场景被扩大时，在开发者身上 的负担也趋向于扩大；另一方面，所述应用开发者可以如前开发，而不接收 在系统内扩大用户使用场景的效果。
已经开发的应用的下载和执行不受影响(保证反向兼容)。
因此，有利于从先前的安全设备向在所述实施例中提出的安全设备的过渡。(实施例2 )
在本发明的实施例2内，将讨论当安全设备和不同安全设备彼此结合地 工作时的安全性提供。
将使用图12-14来说明实施例2。
图12是用于示出在所述实施例中的安全设备1201的配置的方框图。 图12中的下载管理部分201、应用存储部分202、正在^1下载的应用203 (下载后的客户机应用307)、已经下载的应用204、地址计算部分205、应
用执行部分206、授权码发出部分207、卡间接口执行部分208、授权码管理
部分209和引用对象存在确定部分210与图2中的那些类似。
与图2中的安全设备IOI的那些相同的部件通过相同的附图标号来表示。 下面给出详细说明，其集中于安全性管理部分1202、在实施例1中描述
的图2中的安全设备101和在实施例2中描述的图12中的安全设备1201之
间的差别点
安全性管理部分1202在发出在实施例1中描述的授权码的阶段和在应用 执行期间引用不同安全设备的阶段"提供安全"。
表达"提供安全，，用于表示用于认证通信方(不同安全设备)的所述设 备(安全设备)的外部认证、用于认证所述设备的通信方的内部认证(以下 所述外部认证和所述内部认证将被统称为相互认证)、所传送的数据的隐藏和 篡改检测等的执行，并且使用加密技术来实现它们。
在实施例中，在"有可能可以从未预先注册以使用服务器应用的不确定 数量的客户机应用使用服务器应用"的前提下，使用公开密钥加密来讨论如 上所述的"安全性提供"。
公开密钥加密一般在处理速度上次于公共密钥加密。
因此，进行外部认证和内部认证，并且使用公开密钥加密来共享会话密 钥(或者会话密钥的种子)，并且使用会话密钥按照公共密钥加密来执行通信 数据的加密和解密以及篡 文;险测。
为了向所述实施例应用如上所迷的开放密钥和会话密钥加密技术，下面 的三种"安全性提供"方法是可能的
方法1:进行外部认证和内部认证，并且在发出授权码的阶段共享会话 密钥，并且当在应用执行期间引用不同安全设备时，使用会话密钥。
方法2:进行外部认证和内部认证，并且在发出授权码的阶段共享会话密钥的种子，并且安全设备和不同安全设备在应用执行期间按照同 一算法从 会话密钥的种子建立会话密钥，并且使用所述会话密钥。
方法3:进行外部认证和内部认证，并且在发出授权码的阶^殳和在应用 执行期间引用不同安全设备的阶段共享会话密钥。
所述方法在处理时间和所传送的数据上略为不同，但是在基本思想上是 相同的。
因此，在所述实施例中，将举例说明如上所述的三种方法的方法1。 图13是示出在所述实施例中的不同安全设备1301的配置的方框图。 图13中的应用执行部分206、应用存储部分202和服务器应用401与图 4中的那些类似。
所述不同安全设备与图4中的不同安全设备102的不同在于卡间接口执 行部分1302和安全性管理部分1303。
卡间接口执行部分1302在通过安全设备1301发出授权码的阶段和在应 用执行期间引用不同安全设备的阶段执行通信。
安全性管理部分1303具有类似于安全性管理部分1202的功能的功能， 并且提供安全。
将说明具有如上所述的配置的安全设备1201和不同安全设备1301的操作。
开始，将讨论发出授权码的阶段。
为了像在实施例1中描述的(步骤2)那样执行不同应用的函数调用的 地址解析，安全设备1201的地址计算部分205识别在卡中不存在引用对象。
接着，地址计算部分205请求引用对象存在确定部分210检查"在不同 安全设备102中是否存在对应的引用对象"。
在图29中示出了下面的操作流程 (安全性提供步骤1 ( S2901 ))
在从引用对象存在确定部分210接收到请求时，安全设备1201的卡间接 口执行部分208获取安全性管理部分1202具有的安全设备1201的卡公开密 钥证书A和由安全性管理部分1202生成的随初4史a。
安全设备1201的卡间接口执行部分208向不同安全设备1301的卡间接 口执行部分1302发送卡公开密钥证书A和随枳4史a。 (安全性提供步骤2 ( S2902 ))不同安全设备1301的卡间接口执行部分1302向安全性管理部分1303传 送卡公开密钥证书A和随机数a，安全性管理部分1303然后执行证书验证， 并且获取安全设备1201的卡ID和卡公开密钥A。
接着，不同安全设备1301的安全性管理部分1303生成随机数b，并且 按照卡秘密密钥B来加密所述随机数a。
随后，加密的随机数a和不同安全设备1301的卡公开密钥证书B被传送 到卡间接口执行部分1302。
不同安全设备1301的卡间接口执行部分1302向卡间接口执行部分208 发送随机数b、加密的随机数a和不同安全设备1301的卡公开密钥证书B。 (安全性提供步骤3 (S2903 ))
安全设备1201的卡间接口执行部分208向安全性管理部分1202传送随 机数b、加密的随机数a和不同安全设备1301的卡公开密钥证书B，安全性 管理部分1202然后执行证书验证，并且获取不同安全设备1301的卡ID和卡 公开密钥B。
接着，安全性管理部分1202按照所述卡公开密钥B来解密加密的随机数 a,并且检查所述随机数是否匹配所生成的随机数a (外部认证完成)。
随后，安全性管理部分1202按照卡密钥A来加密随机数b,并且将其传 送到卡间接口执行部分208。
卡间接口执行部分208向不同安全设备1301的卡间接口执行部分1302 发送加密的随机数b。
(安全性提供步骤4 ( S2904 ))
不同安全设备1301的卡间接口执行部分1302向安全性管理部分1303传 送加密的随机数b，安全性管理部分1303然后按照卡密钥B来解密加密的随 机数b，并且检查所述随机数是否匹配所生成的随机数b (内部认证完成)。 (安全性提供步骤5 (S2905 ))
接着，不同安全设备1301的安全性管理部分1303建立会话密钥，按照 卡公开密钥A来加密会话密钥，并且向卡间接口执行部分1302传送加密的 会话密钥。
卡间接口执行部分1302向安全设备1201的卡间接口#1行部分208发送 加密的会话密钥。
卡间接口执行部分208向安全性管理部分1202传送加密的会话密钥，安全性管理部分l202然后按照所述卡密钥A来解密加密的会话密钥，并且获
取会话密钥(共享会话密钥完成)。
在这个阶段，在通过在如上所述的步骤中的交换和产生而新保留的数据
中，安全性管理部分1202至少需要保留会话密钥，并且安全性管理部分1303 至少需要保留安全设备1201的卡ID和会话密钥。
在完成如上所述的安全性提供步骤5后，从引用对象存在确定部分210 向安全设备1201的卡间接口执行部分208传送存在检查信息，其包含引用对 象应用的标识符、方法ID、自变量的数量等，安全设备1201然后通过读取 器-写入器103向不同安全设备1301传送所述存在检查信息。
此时，安全设备1201的安全性管理部分1202使用会话密钥来加密所述 发送数据，并且给出篡改检测数据。
不同安全设备1301检查在存在检查信息内指示的函数存在，然后向安全 设备1201传送用于表示使用许可的信息。
而且，在这种情况下，不同安全设备1301的安全性管理部分1303使用 会话密钥来加密发送数据，并且给出篡改检测数据。
由安全设备1201的卡间接口执行部分208接收的信息在安全性管理部分 1202中经历使用会话密钥的解密和篡改检查，然后被传送到引用对象存在确 定部分210。
如果许可使用，则引用对象存在确定部分210请求:l更权码发出部分207 发出授权码。
如果拒绝使用，则发出错误，并且通过下载管理部分201向读取器-写入 器103返回SW，该SW表示"因为不存在引用对象，所以下载导致失败"。
接着，将说明被提供授权码的客户机应用的执行。基本上，其类似于实 施例l，并且其间的差别如下
首先，使用由安全性管理部分1202和1303管理的会话密钥来加密来自 安全设备1201和不同安全设备1301的响应。
其次，加密来自安全设备1201和不同安全设备1301的响应，因此，读 取器-写入器103不可能解释、提取必要的数据、以及建立命令。
因此，读取器-写入器103需要从所述响应的数据部分提取必要的数据， 在命令中建立数据，并且向安全设备1201和不同安全设备1301发送所述命令。接着，将使用图IO来说明在通过安全设备1201、不同安全设备1301和 读取器—写入器103的客户机应用执行期间的操作流程。
在下面的说明中，假定图10中的安全设备101被原样应用为安全设备 1201,并且不同安全设备102被原样应用为不同安全设备1301。
还假定安全设备1201中的客户机应用307已经开始。 (执行操作步骤1 (S1001 ))
通过安全设备1201的应用执行部分206来执行对应于从读取器-写入器 103发送的命令1的处理，
在读取表示方法调用的指令代码后，应用执行部分206取出紧随所述指 令代码的地址信息。
确定所述地址信息是否是对于应用所许可的区域，并且，如果所述区域 是许可的区域，则调用所述地址。
如果所述区域"不，，是许可区域，则识别授权码，并且将^:权码传送到 授权码管理部分209。
授权码管理部分209读取在授权码中包含的索引，取出在表格901中包 含的引用对象应用的AID，并且将所述引用对象应用的AID传送到卡间接口 执行部分208。
卡间接口执行部分208在响应的数据部分中设置引用对象应用的AID, 在响应的SW中设置表示使用卡间接口的请求的数据，并且向读取器-写入器 103发送所述响应。
(执行操作步骤2 (S臓))
当读取器-写入器103的排他控制通信部分501接收到所述响应时，应用 控制部分502分析所述响应，并且识别安全设备1201想要使用卡间接口 。
应用控制部分502处理从安全设备1201接收的数据(来自安全设备1201 的响应),将其作为对于不同安全设备1301的命令传送到不同安全设备1301， 处理从不同安全设备1301接收的数据(来自不同安全设备1301的响应)，并 且将其作为对于安全设备1201的命令传送到安全设备1201,直到识别出从 安全设备1201接收的数据表示卡间接口使用完成。
如果读取器-写入器103首先从安全设备1201接收到包含想要使用卡间 接口的消息的响应，则读取器-写入器103将所述响应处理为选择命令，并且 向不同安全设备1301发送该命令。不同安全设备1301的服务器应用401按照选择命令而启动。 在随后的说明内，将服务器应用401实现远程方法调用(RMI)的情况 作为示例。
实现RMI的服务器应用401向读取器-写入器103返回包含INS和对象 ID的响应，作为对于选择命令的响应。 (执行操作步骤3 (S細))
读取器-写入器103在共享命令的数据部分中设置来自服务器应用401的 响应，并且向安全设备1201的卡间接口执行部分208发送所述共享命令。
卡间接口执行部分208保存从服务器应用401传送的INS和对象ID。
虽然在附图中未示出保留INS和对象ID的方法，但是可以在安全设备 1201内提供存储器来用于保留它们。
其后，在安全性管理部分1202和1303中使用会话密钥来加密来自安全 设备1201和不同安全设备1301的响应。
在安全性管理部分1202和1303中使用会话密钥来解密从相关方接收的 数据，然后，在卡间接口执行部分208和1302中执行处理。
图14示出了在向读取器-写入器103的输入和来自读取器-写入器的输 出之间的关系。
读取器-写入器103向不同安全设备1301发送来自安全设备1201的响应 1401的数据部分作为命令1402。
在命令1404的数据部分中设置来自不同安全设备1301的响应1403，并 且添加用于共享命令的首标以便发送到安全设备1201。
安全设备1201的卡间接口执行部分208在响应的数据部分中设置请求数 据，该请求数据包含从不同安全设备1301的服务器应用401传送的INS和对 象ID、由安全设备1201的应用执行部分206指定的方法ID、和从应用执行 部分传送的参数，并且安全设备1201的卡间接口执行部分208在SW中设置 用于使用卡间接口的请求，并向读取器-写入器103返回。 (执行操作步骤4 (S1004))
读取器-写入器103解释来自安全设备1201的用于使用卡间接口的请求， 提取在响应(已经加密的INVOKE命令)的数据部分内存储的凝:据，并且将 所述数据发送到不同安全设备1301的服务器应用401作为命令。
服务器应用401使用方法ID和在INVOKE命令中指定的参数来执行处理，并且向读取器-写入器103返回处理结果。
(执行操作步骤5 (S蘭))
读取器-写入器103向安全设备1201的卡间接口执行部分208发送在数 据部分中设置的具有处理结果的共享命令。
卡间接口执行部分208向应用执行部分206传送所述结果。
其后，应用执行部分206继续所述结果的处理，并且向读取器-写入器103 发送对于命令1的响应。
对于命令1的响应一^L不包含SW,所述SW包含想要使用卡间接口的 消息。
因此，读取器-写入器103识别卡间接口使用完成的含义，并且停止在安
全设备1201和不同安全设备1301之间的随后的传送。
或者，可以从安全设备1201发送明确地表示卡间接口使用完成的SW。 在实施例2内，已经说明了用于在由安全性管理部分1202和1303的应
用执行期间在不同安全设备的引用对象和引用的存在检查中提供安全的系统。
如上所述的配置使得有可能防止安全设备的欺骗，防止窃听在安全设备 之间交换的数据，并且检测数据的篡改。 (实施例3 )
在本发明的实施例3内，将说明用于检查安全设备的拥有者和不同安全 设备的拥有者匹配的(第一)系统。
将使用图12、 13、 15和16来说明实施例3。
图12是用于示出所述实施例中的安全设备1201的配置的方框图，并且 类似于在实施例2中所描述的。
图13是示出所述实施例中的不同安全设备1301的配置的方框图，并且 类似于在实施例2中所描述的。
图15是示出所述实施例中的读取器-写入器1501的配置的方框图。
图15中的排他控制部分501和应用控制部分502类似于图5中的排他控 制部分501和应用控制部分502。
所述实施例的特征在于读取器-写入器，并且与如上所述的实施例1和实 施例2的不同在其具有拥有者管理部分1502和下载条件确定部分1503。
拥有者管理部分1502管理安全设备1201的拥有者和在安全设备1201内设置的卡ID。
下载条件确定部分1503管理定义下载客户机应用的条件的下载条件信
自
如果用户想要下载客户机应用，则读取器-写入器1501将对应的下载条 件信息传送到应用控制部分502，其然后执行处理来检查是否满足所述下载 条件。
在所述实施例中，下面将说明由安全设备1201、不同安全设备1301和 读取器-写入器1501构成的系统。
在如上所述的实施例1和2内，当客户机应用执行地址解析时，如果服 务器应用不存在于同一安全设备中，说明了使用在不同安全设备中存在的服 务器应用的方法。
在此，不考虑使用客户机应用来享受服务的"客户机应用拥有者(=安 全设备的拥有者)"和使用服务器应用来享受服务的"服务器应用拥有者(= 不同安全设备的拥有者)"等的相同性。
在所述实施例中，如果需要客户机应用拥有者和服务器应用拥有者的某 种关系，则说明一种检查和保证所需要的关系的方法。
例如，假设服务器应用是信用应用，并且客户机应用是内容购买应用。
在这种情况下，信用卡交易需要正确地了解"谁花了多少钱购买了什么 内容"，因此会出现下述情况，其中，期望客户机应用的拥有者和服务器应用 的拥有者应当是同一人。
在所述实施例中，假定这样的情况，并且将说明当客户机应用执行地址 解析时检查服务器应用拥有者和客户机应用拥有者的相同性的方法。
相同性的方法
(1 )在读取器-写入器中检查相同性，然后，在安全设备中下载客户机应用。
(2)在下载阶段对于每个安全设备执行个人认证(例如PIN检查)， 由此4企查相同性。
在实施例3中，将说明如上所述的(1 )。 在实施例4中将说明如上所述的(2 )。
为了描述如上所述的(1)，以下是前提(图16中的"开始，，)读取器-写入器1501处于其可以与已经被下载了服务器应用的不同安全 设备1301和已经被下载了客户机应用的安全设备1201通信的状态。
下载客户机应用的条件被定义为"可以引用不同安全设备，在这种情况 下，服务器应用拥有者和客户机应用拥有者是相同的"。
读取器-写入器1501已经掌握了在安全设备1201中不存在服务器应用。
可以使用一般的技术来实现所述前提，并且在附图内未示出所述前提。 将使用图16的流程图来说明涉及如上所述的(1)的系统的操作。
开始，如图16内所示，读取器-写入器1501向不同安全设备1301发送 SELECT (选择)命令，并且检查在不同安全设备中是否存在服务器应用。
接着，按照GETDATA命令来获取被提供到不同安全设备1301的卡ID。
所述"卡ID"是用于唯一地识别安全设备的信息；例如，其由对于卡发 行者唯一的发行者标识号和用于唯一地识别由所述卡发行者发行的卡的卡标 识号构成。
同样，读取器-写入器1501也从安全设备1201获取卡ID。 读取器-写入器1501的应用到部分502请求拥有者管理部分1502检查按
照如上所述获取的安全设备1201和不同安全设备1301的卡ID而相关联的安
全设备的拥有者匹配。
作为拥有者管理部分1502关于安全设备1201的拥有者和不同安全设备
1301的拥有者是否匹配的确定的结果，如果两个安全设备的拥有者匹配，则
读取器-写入器1501开始下载客户机应用。
在此，读取器-写入器1501需要至少在安全设备1201的地址计算部分205
执行地址解析之前向安全设备1201发送不同安全设备1301的卡ID。 安全设备1201在授权码管理部分209中存储所述卡ID。 当安全设备1201执行地址解析时，其识别服务器应用不存在于家用安全
设备的安全设备1201中，并且检查服务器应用是否存在于不同安全设备1301内。
在此，以类似的方式来执行在实施例2中所述的安全性提供步骤1-5。 但是，在所述步骤的执行期间，必须检查从不同安全设备1301的卡公开
密钥证书获取的卡ID和在授权码管理部分209中存储的卡ID是否匹配。 也可以跳过这一点，因为已经在读取器-写入器1501中检查了卡ID和拥
有者的匹配。但是，除了在发送卡ID后针对用假的安全设备替换不同安全设备1301 的威胁的先前检查之外，通过在地址解析期间再一次检查，安全级别改善。
在实施例3中，已经说明了如果服务器应用和客户机应用被安装在不同 安全设备，保证服务器应用拥有者和客户机应用拥有者的相同性的方法。
检查所述相同性，由此，可以防止通过欺骗的客户机应用的下载。
所述技术不仅可以应用于检查拥有者的相同性，而且可以应用于检查客 户机应用拥有者是否是服务器应用拥有者的家人，属于同一组，等等。
如上所述，可以提供能够灵活地设置和检查在服务器应用拥有者和客户 机应用拥有者之间的关系的系统。 (实施例4)
在本发明的实施例4中，将说明用于检查安全设备的拥有者和不同安全 设备的拥有者匹配的(第二)系统。
将使用图12、 13、 17和18来说明实施例4。
图12是示出所述实施例中的安全设备1201的配置的方框图，并且类似
于在实施例2中所描述的。
图13是示出所述实施例中的不同安全设备1301的配置的方框图，并且
类似于在实施例2中所描述的。
图17是用于示出所述实施例中的读取器-写入器1701的配置的方框图。 图17中的排他控制部分501和应用控制部分502类似于图5中的排他控
制部分501和应用控制部分502。
拥有者管理部分1502类似于图15中的拥有者管理部分1502。 所述实施例与实施例3的不同在其具有拥有者信息检查输入部分1702。 提供拥有者信息检查输入部分1702，以输入信息从而确定安全设备拥有
者的合法性(示例PIN)。
输入屏幕有可能作为拥有者信息检查输入部分1702的示例。
但是，仅仅当应用控制部分502在从安全设备1201返回响应后将所述响
应解释为用于提供PIN输入屏幕的请求并且请求拥有者信息检查输入部分
1702输出屏幕时，显示所述屏幕。
在所述实施例中，下面将说明由安全设备1201、不同安全设备1301和
读取器-写入器1501构成的系统。
在实施例1和2内，当安全设备中的客户机应用执行地址解析时，如果服务器应用不存在于家用安全设备中，说明了使用在不同安全设备中存在的 服务器应用的系统。
在此，不考虑使用客户机应用来享受服务的"客户机应用拥有者(=安 全设备的拥有者)"和使用服务器应用来享受服务的"服务器应用拥有者(= 不同安全设备的拥有者)"等的相同性。
在所述实施例中，如果需要客户机应用拥有者和服务器应用拥有者的某 种关系，则像如上所述的实施例3中那样，说明用于检查和保证所需要的关 系的方法。
例如，假定服务器应用是信用应用，并且客户机应用是内容购买应用。 在这种情况下，信用卡交易需要正确地了解"谁花了多少钱购买了什么内容，，， 因此会出现其中期望客户机应用的拥有者和服务器应用的拥有者应当是同一 人的情况。
因此，假定这样的情况，并且在所述实施例中，将使用图18说明当客户
机应用执行地址解析时检查服务器应用拥有者和客户机应用拥有者的相同性 的方法。
为了描述在所述实施例中描述的发明，首先，说明前提。(图18中的"开
始")
读取器-写入器处于其可以与已经被下载了服务器应用的不同安全设备
和要被下载了客户机应用的安全设备通信的状态。
下载客户机应用的条件被定义为"可以引用不同安全设备，在这种情况
下，服务器应用拥有者和客户机应用拥有者是相同的"。
读取器-写入器已经掌握了在安全设备中不存在服务器应用。 可以使用一般的技术来实现所述前提，并且在附图中未示出所述前提。 将使用图18的流程图来说明涉及在实施例中描述的发明的系统的操作。 开始，读取器-写入器1701向安全设备1201发送下载条件。 下载管理部分1201接收所述下载条件，并且将其传送到安全性管理部分
1202,该安全管理器部分随后存储所述下载条件。 接着，开始客户机应用下载。
当安全设备1201执行地址解析时，其识别服务器应用不存在于家用安全 设备的安全设备1201内，并且检查服务器应用是否存在于不同安全设备1301 内。在此，以类似的方式来执行在实施例2中描述的安全性提供步骤1-5。
但是，在所述步骤的执行期间，安全设备1201的卡间接口执行部分208 与读取器-写入器1701相结合地执行处理，以检查是否满足了在安全性管理 部分1202中存储的下载条件。
卡间接口执行部分208可以响应于所述下载条件而切换用于检查是否满 足所述条件的处理。
如果在所述实施例中下载条件是"可以引用不同安全设备，在这种情况 下，所述服务器应用拥有者和所述客户机应用拥有者是相同的"，则向读取器 -写入器1701发送作为输入PIN的请求的响应。
读取器-写入器1701在排他控制部分501中接收所述响应，并且向应用 控制部分502传送所述响应。
应用控制部分502将所述响应解释为输入PIN的请求，并且请求拥有者 信息检查输入部分1702显示屏幕。
接着，拥有者在由拥有者信息检查输入部分1702显示的屏幕中输入PIN。
所输入的PIN被从排他控制部分501发送到不同安全设备1301，并且被 卡间接口执行部分1302接收。
在从卡间接口执行部分1302接收到请求时，安全性管理部分1303执行 PIC检查，并且经由读取器-写入器1701将结果发送至安全设备1201。
不必在安全性管理部分1303内执行PIN检查；例如，可以提供诸如PIN 检查部分的部件。
如果结果是"良好"，则安全设备1201的卡间接口执行部分208确定不 同安全设备的拥有者与要被下载应用的安全设备的拥有者是相同的，并且继 续地址解析。
即使不同安全设备的拥有者与安全设备的拥有者不同，仍然存在不同安 全设备的PIN检查产生良好的可能，因为所述安全设备的拥有者彼此相结合 地工作。
然后，在完成下载后，从安全设备向读取器-写入器发送不同安全设备的 卡证书，所述读取器-写入器然后检查拥有者的相同性。结果，可以检测欺骗。 如上所述，在实施例4内，已经说明了如果服务器应用和客户机应用被
性的方法。特别是当在与拥有者信息数据库分离的环境中执行下载时，所述技术是 最佳的。
(实施例5 )
本发明的实施例5涉及与其中安装了服务器应用的安全设备的生命周期
相关联的客户机应用的使用控制。
将使用图2、 4、 5、 19和20来说明实施例5。
图2是示出所述实施例中的安全设备101的配置的方框图，并且，部件 类似于实施例1中所述的那些。
图4是示出所述实施例中的不同安全设备102的配置的方框图，并且， 部件与实施例1中所述的那些类似。
图5是示出所述实施例中的读取器-写入器103的配置的方框图，并且， 部件类似于实施例1中所述的那些。
图20是在授权码管理部分209中包含的授权码表2001,并且除了在图9 中的索引、引用对象应用的标识符、方法ID和自变量的数量之外，还包含客 户;fc/L应用的标识符。
所述实施例与本发明的其他实施例的不同在于包含客户机应用的标识付。
在所述实施例中，下面将说明由安全设备101、不同安全设备102和读 取器-写入器103构成的系统。
如果服务器应用和客户机应用安装在同 一安全设备中，则两个应用的生 命周期与安全设备的生命周期相关联。
即，如果安全设备是可用的，则两个应用是可用的；如果安全设备处于 暂停或者放弃状态，则两个应用也变得不可用。
在如上所述的实施例中服务器应用和客户机应用被安装在分离的安全设 备中的情况下，当安全设备处于暂停或者放弃状态时，将说明系统如何工作。
如果其中安装了服务器应用的不同安全设备(以下称为服务器设备)是
可用的并且其中安装了客户机应用的读取器-写入器(以下称为客户机设备) 是不可用的，则不产生问题，因为不能执行客户侧。
另一方面，如果服务器设备是不可用的并且客户机设备是可用的，则需
要与先前的处理不同的处理。
即，需要向读取器-写入器返回"客户机应用不能使用，因为服务器设备暂停"的说明。
期望应当尽早地进行所述返回。
因此，在所述实施例中，将使用图19来说明当执行引用在不同安全设备 中注册的服务器应用的客户机应用时检查不同安全设备的生命周期的处理。
读取器-写入器103向安全设备101发送用于选择客户机应用的SELECT 命令。
安全设备101的应用执行部分206接收所述SELECT命令，并且将在数 据部分中设置的客户机应用的AID传送到卡间接口执行部分208。
卡间接口执行部分208引用在授权码管理部分209中存储的授权码表 2001。
如果在授权码表2001中不存在对应的客户机应用的AID,则向应用执行 部分206发送用于指示所述事实的通知，应用执行部分206然后执行通常的 SELECT命令处理。
如果对应的客户机应用的AID存在，则从授权码表2001提取在不同安 全设备中安装的服务器应用的AID,并且向读取器-写入器103返回由服务器 应用的AID和作为"用于向不同安全设备发送SELECT命令的请求"的数据 构成的响应。
读取器-写入器103根据从安全设备IOI的卡间接口执行部分208接收的 数据建立SELECT命令，并且向不同安全设备102发送所述SELECT命令。
接着，向安全设备101传送来自不同安全设备102的响应。
安全设备101的卡间接口执行部分208分析所述响应，并且掌握不同安 全设备102的可使用状态。
如果不同安全设备102可用，则向卡间接口执行部分208发送用于指示 所述事实的消息，卡间接口执行部分208然后执行通常的SELECT命令处理。
如果不同安全设备102不可用，则向卡间接口执行部分208发送用于指 示所述事实的消息，卡间接口执行部分208然后向读取器-写入器103返回设 置了SW的响应，所述SW指示"客户机应用不能使用，因为不同安全设备 不可用"。
在实施例5内，已经说明了当安装了服务器应用的安全设备处于暂停或 者放弃状态时、安装了客户机应用的安全设备的行为，其中，如果服务器应 用和客户机应用安装在不同安全设备中，则会发生所述暂停或者放弃状态。在客户机应用的选择时间检查服务器应用的状态，从而与在客户机应用 的处理执行期间检查服务器应用的状态的情况相比较，可以消除诸如在卡和 读取器-写入器中的恢复处理的额外处理。
也可以执行切换，以便仅仅在其中不使用服务器应用的功能的范围内执 行客户机应用。
如上所述，与其中服务器应用和客户机应用可用或者不可用的现有技术
的状态而选择处理，并且可以实现灵活的服务提供。 (实施例6)
实施例6涉及当服务器应用不存在于同一卡中时客户机应用的有条件下 载方法和条件检查方法的发明。
例如，所述实施例可以被应用到下述系统假如用户忘记携带安装了服 务器应用的安全设备，如果在实际使用客户机应用之前引用了服务器应用， 则所述系统许可客户机应用的下载。
将使用图2、 4、 5、 9、 10、 21、 22和23来说明实施例6。
图2是示出所述实施例中的安全设备101的配置的方框图，并且，部件 类似于在实施例1中所述的那些。
图4是示出所述实施例中的不同安全设备102的配置的方框图，并且， 部件类似于在实施例1中所述的那些。
图5是示出所述实施例中的读取器-写入器103的配置的方框图，并且， 部件类似于在实施例1内所述的那些。
图9示出了授权码表901的示例，并且，部件类似于在实施例1内所述 的那些。
所述实施例其特征在于图22、图23中所示的授权码、临时授权码等。
图22是定义授权码发出部分207发出授权码的规则的指令。
图23示出了由应用执行部分206管理的临时授权码管理表2301的示例。
临时授权码管理表2301由索引、客户机应用的标识符、服务器应用的标识符
和地址计算数据构成。
在所述实施例中，下面将说明由安全设备101、不同安全设备102和读
取器-写入器103构成的系统。
在实施例1中，描述了如果可以在使用服务器应用的接口下载客户机应用中引用在不同安全设备中安装的服务器应用，则发出授权码的方法。
相反，在所述实施例中，将使用图21来说明各种授权码的发出和建立大 多数所发出的授权码的方法。
预先，按照用于设置从读取器-写入器103发送的应用的属性的命令来在 授权码发出部分207中设置"应用类型"和"临时授权码发出许可"等。
"应用类型"是按照各种限制的应用的分类，诸如临时应用，其使用 次数、使用时段等受限；或者，正式应用，其上未施加任何限制。
因此，"应用类型"用于确定在应用上施加了什么限制。 "临时授权码发出许可"是虽然当引用对象存在确定部分210在地址解 析时间检查对于服务器应用的引用时没有引用对象，但是不处理为下载错误， 而是发出临时授权码的许可，并且，应用执行部分206必须在临时授权码的 解释内"能够确定所述状态是其中还没有检查引用对象的状态"和"能够确 定将许可所述状态多长时间"。
例如，假定一种场景，其中，如果用户不具有安装了服务器应用的安全 设备(例如忘记携带等)，则临时下载客户机应用，然后，检查安装了服务器 应用的安全设备，并且发出授权码。
在所述实施例中，将说明在所假定的情况下的系统的操作。
在图21中，直到"发出授权码"的流程类似于实施例1中的流程，并且 在所述实施例中描述的发明的特征在于后面的处理。 (受限授权码的发出)
将说明受限授权码的发出。
预先，按照从读取器-写入器103发送的用于设置应用的属性的命令在引 用对象存在确定部分201中设置"应用类型"。
在此，假定所述应用被设置为临时应用，并且使用次数的上限为3次。
直到在应用下载时开始地址解析、并且不同安全设备102向安全设备101 传送表示使用许可的信息的流程与实施例1中的类似。
引用对象存在确定部分210确定"良好"作为由卡间接口执行部分208 分析所接收的信息的结果，然后请求授权码发出部分207发出使用所述"应 用类型"的受限授权码。
因为应用类型是临时应用并且使用次数是3，因此，授权码发出部分207 按照指令2201发出FCBlh作为受限授权码。按照指令2201，用于指示其中不许可应用的布置的地址区域的信息的 FC-FDh被分配给最上面的一种类型，随后的四个比特表示限制的类型和说 明，并且最后四个比特给出了授权码表901的索引。
在发出受限授权码后，在由授权码管理部分209管理的授权码表901内 存储引用对象应用(服务器应用)的标识符、方法ID和自变量的数量等。
接着，将使用图IO来说明在被提供受限授权码的客户机应用的执行期间 的操作。
在此，将仅仅详细说明与实施例1中的步骤不同的步骤10-1。 (步骤10-1 )
假定在安全设备101中的客户机应用307已经开始。
通过安全设备101的应用执行部分206来执行对应于从读取器-写入器 103发送的命令1的处理。
在读取表示方法调用的指令代码后，应用执行部分206取出紧随所述指 令代码的地址信息。
确定所述地址信息是否是应用所许可的区域，并且如果所述区域是被许 可的区域，则调用所述地址。
如果所述区域"不，，是许可的区域，则识别授权码，并且，进一步确定 授权码的类型。
如果确定结果是受限授权码，则确定是否满足限制的类型和说明。 例如，当施加使用限制时，如果剩余的重试数目达到0，则发出表示"不 再许可使用，，的错误。
如果剩余的重试数目未达到0，则向授权码管理部分209传送受限授权码。
为了检查剩余的重试数目，在使用时，可以更新受限授权码，或者，使 用次数可以存储在授权码管理部分209中，并且可以与在受限授权码中包含 的使用次数相比较。
授权码管理部分209读取在受限授权码中包含的索引，取出在表卯l中 包含的引用对象应用的AID,并且向卡间接口执行部分208传送该AID。
卡间接口执行部分208在响应的数据部分中设置引用对象应用的AID， 在响应的SW中设置表示用于使用卡间接口的请求的数据，并且向读取器-写 入器103发送响应1101。步骤10-2和随后的步骤类似于在发出授权码的实施例1中的那些，将不 再讨"^仑。
(临时授权码的发出) 最后，将说明临时授权码的发出。
假定预先在引用对象存在确定部分210中设置了应用属性，其表示在客 户机应用被下载后直到选择了客户机应用时的临时许可状态的许可。
因此，如果用户忘记携带安装了服务器应用的安全设备，则可以在实际 使用客户机应用时，发出用于引用服务器应用的授权码。
直到在应用下载时开始地址解析、并且表示使用许可的信息被传送到安 全设备101的流程与实施例1中的类似。
在这种情况下，安全设备101的卡间接口执行部分208接收用于指示要 引用的应用不存在的信息，并且，引用对象存在确定部分210确定"不好"， 然后检查设置了 "临时授权码发出许可"，并且请求授权码发出部分207发出 临时授权码。
授权码发出部分207按照指令2201发出"FA02h"作为临时授权码。 按照指令2201,用于指示其中不许可应用的布置的地址区域的信息的
FA-FBh被分配给最上面的一种类型，并且后半部分的一种类型表示临时状态
的许可条件。
在发出受限授权码后，更新由应用执行部分206保留的临时授权状态管 理表2301。
当发出临时授权码时，更新临时授权状态管理表2301 。
当试图按照SELECT命令来选择应用时，应用执行部分206引用临时授 权码管理表2301,检查对于要选择的应用还没有执行利用服务器应用的地址 解析，并且发出表示应用不可用的错误。
为了使得有可能选择应用，变得需要1)向同一安全设备下载服务器应 用，或者2)执行与安装了服务器应用的不同安全设备的链接处理。
1 )为了向同一安全设备下载服务器应用，按照已知的技术来下载服务器 应用，然后，地址计算部分205引用由应用执行部分206管理的临时授权码 管理表2301,并且检查等待与服务器应用的链接处理的客户机应用的存在。
如果存在客户机应用，使用在临时授权码管理表中保留的地址计算数据 来执行地址解析。其后，从临时授权码管理表删除与已经被链接的客户机应用相关的行。
-写入器103发送链接专用的命令。
所述链接专用命令由下述部分构成首标部分，其中可以将所述命令解 释为链接专用命令；以及数据部分，其包含服务器应用的标识符。
当下载管理部分201接收到链接专用命令何时，地址计算部分205引用 由应用执行部分206管理的临时授权码管理表2301,并且才企查等待与服务器 应用的链接处理的客户机应用的存在。
如果等待链接处理的客户机应用存在，则在临时授权码管理表2301中保 留的地址计算数据和服务器应用的标识符被传送到卡间接口执行部分208, 并且在卡间接口执行部分208和不同安全设备102之间检查引用对象的存在。
当卡间接口执行部分208接收到表示使用许可的信息时，引用对象存在 确定部分210请求授权码发出部分207发出授权码。
授权码发出部分207发出授权码，并且授权码表901被更新。
引用对象存在确定部分210请求应用执行部分206从临时授权码管理表 删除与已经被链接的客户机应用相关的行。
如上所述执行1 )或者2)的处理，由此可以完成以后的客户机应用选择 和执行。
在实施例6中，已经说明了除了在实施例1中详细说明的授权码之外的 受限授权码和临时授权码的发出和被提供授权码的应用的操作。
受限授权码使得能够在不改变服务器应用侧的情况下限制使用次数等， 以便可以将所述实施例应用到试验拷贝的临时应用的发出等。
当下载客户机应用时，如果用户不具有安装了客户机应用的安全设备， 则可以按照临时授权码来执行以后的链接处理。因此，消除了下述情况其 中，虽然用户想要下载客户机应用，但是他或者她必须放弃下载客户机应用 的想法，因为用户当时没有恰巧具有安装了服务器应用的安全设备。
因此，相对于从服务提供商看的商业机会的丟失和从用户看的服务使用 机会的丢失，所述实施例变为有效措施。 (实施例7)
实施例7是涉及请求在不同安全设备中安装的服务器应用执行处理并且将使用图5和24-27来说明本发明的实施例7。
图24是示出所述实施例中的安全设备2401的配置的方框图。
下载管理部分201、应用存储部分202、应用203和204、地址计算部分
205、应用执行部分206、授权码发出部分207、卡间接口执行部分208、授
权码管理部分209与实施例1中描述的那些相同。
所述安全设备与在图1中所示的安全设备IOI的不同在客户机应用2402
和堆栈操作部分2403。
客户机应用2402使用由在不同安全设备2501中安装的服务器应用提供
的接口 。
堆栈操作部分2403在使用由服务器应用提供的接口时操作由客户机应 用处理的堆栈。
图25是示出在所述实施例中的不同安全设备2501的配置的方框图。应 用存储部分202、应用执行部分206和服务器应用401类似于在实施例1中 描述的那些。
所述安全设备与在图4中所示的不同安全设备102的不同在于堆栈控制 部分2502。
所述堆栈控制部分2502对服务器应用执行控制，以对于来自在同 一安全 设备中安装的客户机应用的调用和来自在分离的安全设备中安装的客户机应 用的调用执行相同的操作。
图5是所述实施例中的读取器-写入器103，并且类似于实施例1中的读 取器-写入器。
在所述实施例中，将描述由安全设备2401、不同安全设备2501和读取 器_写入器103构成的系统。
在实施例1中，描述了下述情况其中，来自服务器应用的响应不包含 除了 SW之外的任何数据(参见在图11 (a)中的响应1103)。
如果响应由数据和SW构成，并且所述数据用于随后的客户机应用处理， 则需要堆叠(stack)数据。
已知如果在同一安全设备中存在服务器应用，则服务器应用中的处理结 果的返回值被堆叠，并且被返回到调用者的客户机应用。
但是，如果服务器应用不存在于同 一安全设备中并且使用在不同安全设 备中的服务器应用，则按照安全设备之间的通信协议在APDU (应用协议数据单元)内存储返回值。
因此，为了使得客户机应用执行相同的操作而与所述服务器应用存在于
哪个安全设备中无关，变得必须从APDU提取返回值，并且在客户机应用的
堆栈上存储返回值。
在实施例7中，将说明在以后的客户机应用处理中使用来自服务器应用
的返回值的方法。
为了描述所述方法，下面说明前提条件
服务器应用被安装在不同安全设备中，并且客户机应用的地址解析完成。 执行客户机应用，并且到图10中的步骤10-3的流程完成。 像在实施例1中描述的系统的操作那样，执行前提。 将说明如图26所示的、其中"methodj (方法一l )"调用"method—2 (方 法一2)"的情况。
应用执行部分206以函数为单位建立帧(frame),并且执行处理。所述帧 是用于从函数返回值、处理异常并且存储数据的多个部分和结果的工作区域。 帕1被分配到"method—1",帧2 #:分配到"method_2"。每个帧由局部变量 和堆栈构成。
在"method—1"调用"method—2"后立即产生帧2。 "method_2"使用帧 2执行处理，并且最后返回"b"。
"返回'b，"的表达用于表示按照指令码"sreturn"在帧1的堆栈上直 接地堆叠"b"的值。在返回"b"后，消除帧2。
其后，"method—1"继续处理。
因此，建立了函数到函数的调用。
但是，如果"method—1"和"method—2"存在于不同的安全设备中，则 实质上应当被堆叠在"methodj"的帧上的"method_2"的帧在不同安全设 备的控制下，因此，"method—2"的处理结果不能直接地被存储在调用者的 "method—1"的堆栈上。
因此，下述机制变得必要所述机制使得有可能在"method_2，，不能直 接地在"method—1"的堆栈上存储处理结果的情况下，实现与"method—2" 直接在所述堆栈上存储处理结果的必要操作相同的处理。
因此，堆栈控制部分2502仅仅在来自在分离的安全设备中安装的客户机 应用的引用时执行与用于在返回值(示例sretum)的操作内涉及的指令代码的通常处理不同的处理。
当从在分离的安全设备中安装的客户机应用调用时，调用者的帧不存在
于应用执行部分403中。
在这种情况下，堆栈控制部分2502负责"sreturn"的处理。 堆栈控制部分2502停止向调用者巾贞的堆栈内写入，而是建立如图27所
示的数据。
在所述实施例中所述的发明内，建立和使用如图27中的数据，由此，如 果客户机应用不存在于具有服务器应用的安全设备中，则可以在堆栈上存储 处理结果。
图27由表示"sreturn"的TAG、表示返回值的长度的LENGTH和表示 返回值的Value组成。
这在从服务器应用发送的响应的数据部分中设置，并且作为调用结果被 传送到用于执行客户机应用的安全设备101。
接着，将使用图10来说明在接收数据后的安全设备2401的操作。
在所述实施例中的说明内，图10中的安全设备101被替换为安全设备 2401,并且不同安全设备102被替换为不同安全设备2501。
当客户机应用2402引用服务器应用时的步骤的步骤10-1到步骤10-4与 实施例1中的那些步骤类似，因此不再说明，将说明返回服务器应用的处理 结果的步骤10-5。
安全设备2401的卡间接口执行部分208接收共享命令，并且向堆栈操作 部分2403传送所述共享命令的数据部分。
堆栈操作部分2403解释表示"sreturn"的TAG,并且在调用者(客户机 应用)的帧的堆栈上存储值。
其后，客户机应用也可以继续处理，就像服务器应用被安装在同一安全 设备中那样。
在实施例6中，已经说明了通过对于安全设备2401提供堆栈操作部分 2403的对于不同安全设备2501提供堆栈控制部分2502，使得客户机应用能
用和客户才几应用的代码施加特殊处理的方法。
客户机应用检查和使用来自服务器应用的返回值的场景经常发生，并且 所述系统的优点很大。虽然已经参考特定实施例详细说明了本发明，但是对于本领域内的技术 人员显然，可以在不脱离本发明的精神和范围的情况下，进行各种改变和修改。
本申请基于2006年3月31日提交的日本专利申请(第2006-098865号) 和在2007年3月22日提交的日本专利申请(第2007-075217号)，它们通过 引用被包含在此。
产业上的应用性
可以提供了具有下述优点的系统可以通过本发明的安全设备和读取器-写入器来减少安全设备的存储区域。
权利要求
1. 一种安全设备，包括应用存储部分，其存储客户机应用，作为用于执行数据处理的应用；地址计算部分，其确定所述应用存储部分是否具有用于向和从所述客户机应用传送数据的服务器应用；以及引用对象存在确定部分，当所述地址计算部分确定所述应用存储部分不具有用于向和从第一客户机应用传送数据的第一服务器应用时，该引用对象存在确定部分确定不同安全设备是否具有所述第一服务器应用。
2. 按照权利要求1所述的安全设备，还包括卡间接口执行部分，其访问 所述不同安全设备，其中，所述引用对象存在确定部分根据所述卡间接口执行部分的结果确 定所述不同安全设备是否具有所述第一服务器应用。
3. 按照权利要求2所述的安全设备，还包括授权码发出部分，当所述引用对象存在确定部分确定所述不同安全设备 具有所述第 一服务器应用时，该授权码发出部分发出用于许可？ 1用所述第一 服务器应用的授权码；以及应用执行部分，其根据所述授权码来执行所述第一客户机应用。
4. 按照权利要求3所述的安全设备，还包括授权码管理部分，其至少管 理包含所述不同安全设备具有的第 一服务器应用的应用标识符的管理信息，其中，当执行第一客户机应用时，所述应用执行部分基于所述管理信息 向引用对象发送所述应用标识符、所述引用对象和要传送到所述引用对象的 参数的至少一个，作为响应。
5. 按照权利要求2所述的安全设备，还包括安全性管理部分，其提供 由所述卡间接口执行部分发送和接收的数据的安全性。
6. 按照权利要求3所述的安全设备，其中，当所述授权码发出部分响应 于所述第 一客户机应用的使用限制而发出使用受限授权码时，所述应用执行 部分根据所述授权码限制从所述第一客户机应用引用所述第一服务器应用。
7. 按照权利要求3所述的安全设备，还包括下载管理部分，其下载第 二客户机应用，其中如果所述卡间接口执行部分不能引用第二服务器应用，则所述授权码发出部分发出临时授权码，用于许可所述下载管理部分下载所述第二客户机应 用。
8. 按照权利要求7所述的安全设备，其中，当卡间接口执行部分能够引 用所述第二服务器应用时，在所述第二服务器应用和按照所述临时授权码被 许可下载的第二客户机应用之间进行数据通信。
9. 按照权利要求1所述的安全设备，还包括堆栈操作部分，其使得应 用执行部分根据来自所述不同安全设备具有的所述第一服务器应用的命令和 基于所述处理的返回值来执行第一客户机应用。
10. —种具有服务器应用的安全设备，包括 卡间接口执行部分，其接收用于引用服务器应用的请求； 应用执行部分，其执行所述服务器应用；以及堆栈控制部分，如果当所述应用执行部分执行服务器应用时、从具有客 户机应用的安全设备接收到引用请求，则所述堆栈控制部分创建用于向具有 客户机应用的安全设备发送由所述服务器应用处理的确定和基于所述处理的 返回值的数据。
11. 一种读取器-写入器，用于控制在具有服务器应用的第一安全设备和 用于执行客户机应用的第二安全设备之间的数据的传送，所述读取器-写入器 包括排他控制通信部分，其与所述第一安全设备和所述第二安全设备进行数 据通信；以及应用控制部分，其管理要发送到所述第一安全设备和所述第二安全设备 的命令，并且分析来自所述第一安全设备和所述第二安全设备的响应，其中，从由所述排他控制通信部分自所述第一安全设备接收到指示卡间 接口使用的数据到接收到指示卡间接口使用完成的数据，所述应用控制部分 使得所述排他控制通信部分向第一安全设备发送来自第二安全设备的响应作 为命令，并且使得所述排他控制通信部分向所述第二安全设备发送来自所述 第 一 安全设备的响应作为命令。
12. 按照权利要求11所述的读取器-写入器，还包括 拥有者管理部分，其管理在用于识别所述第一安全设备的第一卡ID和所述第 一安全设备的拥有者之间的第 一 关系信息、以及在用于识别所述第二安 全设备的第二卡ID和所述第一安全设备的拥有者之间的第二关系信息；以及下载条件确定部分，当所述第一关系信息和所述第二关系信息满足预定 要求时，该下载条件确定部分许可所述第二安全设备下载所述客户机应用。
13. 按照权利要求12所述的读取器-写入器，其中，所述预定要求是所 述第一安全设备的拥有者信息和所述第二安全设备的拥有者信息是指示同一 拥有者的信息。
14. 按照权利要求3所述的安全设备，其中，应用的所述不同安全设备的使用状态，并且当所述使用状态指示其中不能使用不同安全设备的状态时，所述卡间接 口执行部分接收用于指示不能使用所述不同安全设备的数据。
15. 按照权利要求1所述的安全设备，其中， 所述客户机应用包含观看权限和被观看的内容，并且 所述服务器应用检查在从所述客户机应用传送的观看权限内涉及的条件。
16. 按照权利要求12所述的读取器-写入器，还包括拥有者信息检查 输入部分，其输入信息以确定所述安全设备拥有者的合法性。
全文摘要
有可能解决由一个安全设备拥有的服务器应用不能被由另一个安全设备拥有的客户机应用使用的问题。一安全设备包括应用存储单元(202)，用于存储客户机应用，作为执行数据处理的应用；地址计算单元(205)，用于判定所述应用存储部单元(202)是否具有用于向/从所述客户机传送数据的服务器应用；以及引用对象存在判定单元(210)，用于当所述地址计算单元(205)已经判定所述应用存储单元(202)没有用于向/从第一客户机应用传送数据的第一服务器应用时，判定是否另一安全设备具有第一服务器应用。
文档编号G06K17/00GK101416204SQ200780012048
公开日2009年4月22日 申请日期2007年3月29日 优先权日2006年3月31日
发明者德田泰久, 田靡雅基, 竹内康雄, 鹤切惠美 申请人:松下电器产业株式会社