信息处理系统和认证介质的访问控制方法和计算机程序.pdf

服务提供商(30)请求信息处理中心(70)以卡命令为单位对IC卡(52)进行处理。根据从服务提供商(30)接收的请求，信息处理中心(70)发出IC卡本身可以解释的加密卡命令，并且通过计算机网络，客户端(51)和卡读/写器设备(52)向IC卡(53)发送这些。这允许使用安全通信访问连接到客户端的IC卡。

1.  一种用于向客户端提供信息的信息提供系统，所述客户端拥有能够经由通信介质使用密钥信息访问的认证介质，所述信息提供系统的特征在于：
信息提供设备，用于通过所述通信介质针对所述客户端执行信息提供服务；
认证介质访问设备，用于响应所述信息提供设备执行的信息提供服务，通过所述通信介质对所述客户端拥有的所述认证介质执行伴随信息提供服务的访问处理；和
连接设备，用于在所述信息提供设备和所述认证介质访问设备之间事先传递用于访问所述认证介质的密钥信息。

2.  如权利要求1所述的信息提供系统，其特征在于，所述认证介质访问设备执行所述认证介质的验证，所述认证介质的认证处理，和/或所述认证介质中存储的电子数据的读写处理。

3.  如权利要求1所述的信息提供系统，其特征在于，所述连接设备由所述通信介质上的安全通信路径构成。

4.  如权利要求1所述的信息提供系统，其特征在于，所述连接设备由专线构成。

5.  如权利要求1所述的信息提供系统，其特征在于，响应来自所述信息提供设备的请求，所述认证介质访问设备对所述认证介质执行访问操作，并且顺序返回所述访问结果给所述信息提供设备。

6.  如权利要求1所述的信息提供系统，其特征在于，响应来自所述信息提供设备的请求，所述所述认证介质访问设备执行所述认证介质的验证，所述认证介质的认证处理，和/或所述认证介质中存储的电子数据的读写处理，并且返回针对所述认证介质的系列访问处理的结果给所述信息提供设备。

7.  一种用于控制对认证介质的访问的方法，其中能够经由通信介质使用密钥信息访问所述认证介质，所述方法的特征在于：
密钥信息接收步骤，用于从信息提供设备事先接收用于访问所述认证介质的密钥信息；和
认证介质访问步骤，用于响应所述信息提供设备通过所述通信介质针对客户端执行的信息提供服务，通过所述通信介质对所述客户端拥有的所述认证介质执行伴随信息提供服务的访问处理。

8.  如权利要求7所述的用于控制对认证介质的访问的方法，其特征在于，在所述认证介质访问步骤中执行所述认证介质的验证，所述认证介质的认证处理，和/或所述认证介质中存储的电子数据的读写处理。

9.  如权利要求7所述的用于控制对认证介质的访问的方法，其特征在于，使用在所述通信介质上建立的安全通信路径执行所述密钥信息接收步骤。

10.  如权利要求7所述的用于控制对认证介质的访问的方法，其特征在于，在专线上执行所述密钥信息接收步骤。

11.  如权利要求7所述的用于控制对认证介质的访问的方法，其特征在于，在所述认证介质访问步骤中，响应来自所述信息提供设备的请求执行对所述认证介质的访问操作，并且顺序返回所述访问结果给所述信息提供设备。

12.  如权利要求7所述的用于控制对认证介质的访问的方法，其特征在于，在所述认证介质访问步骤中，响应来自所述信息提供设备的请求执行所述认证介质的验证，所述认证介质的认证处理，和/或所述认证介质中存储的电子数据的读写处理，并且将针对所述认证介质的系列访问处理的结果报告给所述信息提供设备。

13.  一种以计算机可读格式描述的计算机程序，用于在计算机系统中控制对能够经由通信介质使用密钥信息访问的认证介质的访问，其特征在于：
密钥信息接收步骤，用于从信息提供设备事先接收用于访问所述认证介质的密钥信息；和
认证介质访问步骤，用于响应所述信息提供设备通过所述通信介质针对客户端执行的信息提供服务，通过所述通信介质对所述客户端拥有的所述认证介质执行伴随信息提供服务的访问处理。

信息处理系统和认证介质 的访问控制方法和计算机程序
技术领域
本发明涉及通过例如因特网的广域网提供信息服务的信息提供系统和认证介质的访问控制方法和计算机程序，尤其涉及用于使用通过广域网的安全通信执行例如认证(authentication)过程和电子结算的处理的信息提供系统和认证介质的访问控制方法和计算机程序。
更具体地，本发明涉及通过广域网为与保存数值信息和认证信息的IC卡连接的客户端提供服务的信息提供系统和认证介质的访问控制方法和计算机程序，尤其涉及用于使用安全通信访问连接到客户端的IC卡的信息提供系统和认证介质的访问控制方法和计算机程序。
背景技术
通常，已经提出了使用个人标识号和口令来执行对人员进行验证和认证的处理的各种设备，并且将其付诸实际应用。例如，对于银行或其它金融机构，当通过现金卡或信用卡使用自动柜员机或其它金融终端时，提示用户输入个人标识号和口令以作为个人认证的装置。接着在用户输入正确的个人标识号和口令之后，执行存款或取款的操作。
只在记录介质，例如单个现金卡上提供的磁条中提供仅能够被这个银行使用的存储区。因此，上述个人标识号或口令的输入不能超过对这个单独存储区的访问，很难说足以防止伪造和盗用。
结果，从预防伪造等等的角度出发，人们想到使用配备有存储器功能的IC卡，例如在现金卡和信用卡等等上提供的具有电触点的接触型IC卡，和无需接触便可通过无线数据进行数据读写的非接触型IC卡。例如，自动柜员机，音乐厅入口或车站检票口等等处安装的IC卡读写器可以通过非接触方式访问用户出示的IC卡。
用户将个人标识号输入IC卡读取器，并且通过核对输入的个人标识号和IC卡中存储的个人标识号，在IC卡和IC卡读写器之间执行个人验证(verification)或认证处理。(IC卡访问期间使用的个人标识号专门被称作PIN(个人标识号)。)当个人验证或认证处理成功时，可以使用IC卡中存储的应用程序。
这里可以认为，例如用于电子货币或电子门票的数值信息可以作为IC卡上保存的应用程序。电子货币和电子门票代表通过根据用户提供的资金而发出的电子数据进行结算(电子结算)的系统，或电子数据本身。
最近，具有相当大容量的存储空间的IC卡已经出现，并且随着微制程技术的进步而日益普及。常规现金卡等等只具有单独的存储区，即单独的应用程序。因此有必要随身携带对应于每个应用程序或目的的多个卡。相反，根据具有这种大存储器容量的IC卡，可以同时存储多个应用程序，使得单个卡可以在多个应用中使用。因此，通过例如在单个IC卡上存储两个或更多应用程序，例如用于执行电子结算的电子货币应用程序或用于进入特定音乐厅的电子门票应用程序，能够将单个IC卡用于各种应用。
此外，通过除了连接IC卡与卡读/写器(卡读/写设备)的无线非接触接口之外还提供与其它设备连接的有线接口，可以使用诸如移动电话，PDA(个人数字助理)或个人计算机等等中内置的IC卡，或通过经由外部接口的连接使用IC卡。例如，通过增加个人计算机等等的卡读/写设备的数目，可以连接用户的IC卡。
在这种情况下，可以使用信息处理终端执行利用IC卡的各种应用业务。例如，在信息处理终端上可以执行用户利用信息处理终端的用户接口，例如键盘或显示器等等与IC卡间的交互。
在IC卡连接到信息处理终端，而信息处理终端连接到例如因特网的情况下，用户可以通过使用信息处理终端启动的Web浏览器搜索WWW信息空间，并且向IC卡下载(即写入到IC卡)该时刻发现的内容，或者相反地，用户可以向WWW信息空间中发现的位置上载(即从IC卡读取)IC卡中保存的内容。
此外，可以使用IC卡中保存的电子货币结清在WWW信息空间中享受的基于收费的服务(观看基于收费的内容或在线购物)的费用。在这种情况下所谓的电子货币代表通过根据用户提供的资金而发出的电子数据进行结算(电子结算)的系统，或电子数据本身。可选地，对应于所购买的商品的计点服务(point service)可以被写入到IC卡中。
然而，为了通过例如因特网等等的计算机网络执行安全通信并且与IC卡交换数据，有必要付出巨大地代价。其原因在于，除了必须有用于发出IC卡可以解释的命令的专用设备之外，有必要管理每个IC卡的用户的口令和加密密钥以进行加密通信，并且有必要引入强大的防窜改设备以对保密信息进行物理保护。
这种巨大代价成为普及利用IC卡的方便服务和扩展相关业务的极大障碍。
发明内容
因此，本发明的目的是提供一种用于信息提供系统和认证介质的优良访问控制方法和计算机程序，所述信息提供系统和认证介质能够使用经由广域网的安全通信执行例如认证过程和电子结算的处理。
本发明的另一个目的是提供一种用于信息提供系统和认证介质的优良访问控制方法和计算机程序，所述信息提供系统和认证介质能够经由广域网适当地向保存数值信息和认证信息的IC卡所连接到的客户端提供服务。
本发明的另一个目的是提供一种用于信息提供系统和认证介质的优良访问控制方法和计算机程序，所述信息提供系统和认证介质能够使用安全通信访问连接到客户端的IC卡。
在本发明的第一方面，为了解决上述问题，提供一种用于向拥有认证介质的客户端提供信息的信息提供系统，其中能够经由通信介质使用密钥信息访问所述认证介质，所述信息提供系统的特征在于：
信息提供设备，用于通过通信介质针对客户端执行信息提供服务；
认证介质访问设备，用于响应信息提供设备执行的信息提供服务，通过通信介质对客户端拥有的认证介质执行伴随信息提供服务的访问处理；和
连接设备，用于在信息提供设备和认证介质访问设备之间事先传递用于访问认证介质的密钥信息。
然而，在这种情况下所谓的″系统″是指这样的地方，其中多个设备(或实现特定功能的功能模块)以逻辑方式集中在一起，并且对于每个设备或功能模块是否在单个壳体内没有特定偏好。
此外，在本发明的第二方面，提供一种用控制对认证介质的访问，以便向拥有认证介质的客户端提供信息的方法，其中能够经由通信介质使用密钥信息访问所述认证介质，所述方法的特征在于：
密钥信息接收步骤，用于从信息提供设备事先接收密钥信息，该密钥信息用于访问认证介质；和
认证介质访问步骤，用于响应信息提供设备通过通信介质针对客户端执行的信息提供服务，通过通信介质对客户端拥有的认证介质执行伴随信息提供服务的访问处理。
这里，认证介质是IC卡，其保存电子货币和其它数值信息，并且通过例如个人验证或认证处理允许对其进行访问。
根据本发明，通过通信介质利用信息提供服务的客户端可以利用IC卡上保存的电子货币对信息提供服务的使用费进行结算，或者可以执行管理，以便将对应于结算费用的计点服务的点数写入IC卡。
在这种情况下，为通过通信介质执行安全通信以及与IC卡交换数据，承受了巨大的代价。其原因在于，除了必须有用于发出IC卡可以解释的命令的专用设备之外，有必要管理每个IC卡的用户的口令和加密密钥以进行加密通信，并且有必要引入强大的防窜改设备以在物理上保证保密信息的安全。
根据本发明第一和第二方面的用于控制对认证介质的访问的信息提供系统和方法，用于对客户端拥有的例如IC卡的认证介质执行访问操作的认证介质访问设备可以位于通信介质上不同于信息提供服务器的位置。因此，对于信息提供设备本身，不必在认证介质中安装通信介质，并且这个功能可以委托给认证介质访问设备。
结果，由于访问认证介质的功能被委托给认证介质访问设备，信息提供设备从安装和维护这个功能所需的大量繁琐工作和代价中解放出来。
这里，认证介质访问设备或步骤执行认证介质的验证，认证介质的认证处理，和/或认证介质中存储的电子数据的读写处理。
此外，可以利用通信介质上建立的安全通信路径，或者通过专线接收访问认证介质所需的密钥信息。
此外，通过响应来自信息提供设备的请求而对认证介质执行访问操作，并且顺序返回访问结果给信息提供设备，也可以实现访问认证介质访问设备的操作。
可选地，可以响应来自信息提供设备的请求而执行认证介质的验证，认证介质的认证处理和/或认证介质中存储的电子数据的读/写处理，并且可以向信息提供设备报告针对认证介质的系列访问处理的结果。
此外，在本发明的第三方面，提供一种以计算机可读格式描述的计算机程序，用于在计算机系统上对经由通信介质的认证介质访问执行控制，其中可使用信息密钥访问该认证介质，所述计算机程序的特征在于：
密钥信息接收步骤，用于从信息提供设备事先接收密钥信息，该密钥信息用于访问认证介质；和
认证介质访问步骤，用于响应信息提供设备通过通信介质针对客户端执行的信息提供服务，通过通信介质对客户端拥有的认证介质执行伴随信息提供服务的访问处理。
本发明的第三方面的计算机程序在于限定以计算机可读格式描述的计算机程序，所述计算机程序用于在计算机系统上实现规定的处理。换言之，通过在计算机系统上安装本发明的第三方面的计算机程序，在计算机系统上执行协同操作，并且可以获得与本发明第二方面的用于控制对认证介质的访问的方法相同的操作结果。
通过下面根据本发明实施例和附图提供的更加详细的描述可以理解本发明的其它目的，特征和优点。
附图说明
图1示意性地示出了本发明第一实施例的信息提供系统10的应用例子。
图2示出了允许客户端50通过计算机网络利用在线事务和其它信息提供服务的序列，其中由服务提供商30提供所述在线事务和其它信息提供服务。
图3示出了信息提供系统10的修改例子。
图4示出了信息提供系统10的修改例子。
图5示意性地示出了本发明第二实施例的信息提供系统10-2的应用例子。
图6示出了允许客户端50通过计算机网络利用在线事务和其它信息提供服务的序列，其中由服务提供商30提供所述在线事务和其它信息提供服务。
图7示意性地示出了本发明第三实施例的信息提供系统10-3的应用例子。
图8示出了允许客户端50通过计算机网络利用在线事务和其它信息提供服务的序列，其中由服务提供商30提供所述在线事务和其它信息提供服务。
具体实施方式
下面参照本发明实施例的附图进行详细描述。
图1示意性地示出了本发明第一实施例的信息提供系统10的应用例子。
如图1所示，信息提供系统10由执行信息服务的服务提供商30，向服务提供商30请求服务的客户端50，和通过网络90与客户端50一侧安装的IC卡52通信的信息处理中心70构成信息提供系统10。这3个部分通过基于规定协议，例如TCP/IP的计算机网络(因特网等等)90相互连接。为了保持附图的简单，只描述每个服务提供商和客户端中的一个，但是也可以在网络90上存在无限数目的提供商和客户端。
例如，服务提供商30启动WWW服务器，响应来自客户端50的HTTP请求，并且提供HTTP应答形式的服务。可以通过基于收费的方式提供信息内容，或者可以将其实现为商品销售(网络销售)等等。
客户端50是启动客户端应用程序，例如WWW浏览器的个人计算机(PC)51，并且可以布置在家庭或办公室。客户端50发出HTTP请求并且对服务提供商30作出各种服务请求，例如用于内容提供和购货等等的服务请求。
具有存储器功能的IC卡52连接到客户端50。在该图示出的例子中，卡读/写器设备51被加入客户端50，并且通过卡读/写器设备52和IC卡53之间基于电磁感应作用理论的非接触式通信连接到客户端50。卡读/写器设备51通过例如USB(通用串行总线)或其它I/O接口连接到客户端50。然而，客户端50和IC卡52之间的连接形式没有特别的限制，例如卡52可以内置在客户端50中(在这种情况下，卡读/写器设备51不再必要)。
例如电子货币的数值信息被保存在IC卡52内。当客户端50通过计算机网络90享受服务提供商30的基于收费的服务时，可以利用IC卡52上的电子货币进行即时结算。可选地，也可以把通过支付使用基于收费的服务，例如购货的费用而产生的计点服务写入到IC卡52中。
另一方面，为通过计算机网络90执行安全通信以及与IC卡52交换数据，大量代价是必要的。其原因在于，除了必须有用于发出IC卡52可以解释的命令的专用设备之外，有必要管理每个IC卡52的用户的口令和加密密钥以进行加密通信，并且有必要引入强大的防窜改设备以对保密信息进行物理保护。
当然，服务提供商30本身可以安装有通过计算机网络90与IC卡52通信的功能，但是这个实施例采用将这个功能委托给信息处理中心70的结构。
信息处理中心70包括应用服务器71和卡命令产生设备72。应用服务器71与通过TCP/IP网络连接的客户端50协同工作，并且建立与连接到卡读/写器设备51的IC卡53的通信。卡命令产生设备72发出IC卡53能够解释的命令。
在这个实施例中，服务提供商30顺序指示信息处理中心70针对IC卡52的所有过程。换言之，信息处理中心70根据来自服务提供商30的顺序请求对IC卡52执行访问操作，并且通过访问结果顺序应答。
图1示出的信息提供系统10执行下面示出的网络操作类型。
(1)服务提供商30请求信息处理中心70以卡命令为单位对IC卡52进行处理。在此期间，在保证安全的状态下在服务提供商30和信息处理中心70之间执行通信，所述安全包含在针对IC卡53进行读写时使用密钥。
(2)根据从服务提供商30接收的请求，信息处理中心70发出IC卡本身可以解释的加密卡命令，并且通过计算机网络，客户端51和卡读/写器设备52向IC卡53发送这些。
(3)IC卡53对从信息处理中心70接收的、对其完成加密的卡命令进行转换，在卡内执行处理，并且通过卡读/写器设备52，客户终端51和计算机网络90向信息处理中心70发送针对加密卡命令的应答(处理结果)。
(4)信息处理中心70对从IC卡53接收的、对其完成加密的应答进行解密，并且应答来自服务提供商30的指令。
(5)接着，服务提供商30根据来自信息处理中心70的应答执行后续处理。
因此，通过将访问IC卡的功能委托给信息处理中心70，服务提供商30从安装和维护这个功能所需的大量工作和代价中解放出来。
这个信息提供系统10使用下面示出的处理过程在客户端50和服务提供商30之间执行在线购买过程。
(1)事先在服务提供商30和信息处理中心70之间传递密钥
(2)在客户端50上触发服务提供商30(例如，按下浏览器屏幕上的购买按钮)
(3)从服务提供商30到信息处理中心70的指令
(4)从信息处理中心70向IC卡52发出命令
(5)从IC卡52到信息处理中心70的应答
(6)从信息处理中心70到服务提供商30对指令的应答
(7)从服务提供商30到客户端50对触发的应答
图2示出了允许客户端50通过图1的信息提供系统10的计算机网络90利用在线事务和其它信息提供服务的序列，其中由服务提供商30提供所述在线事务和其它信息提供服务。通过介于之间的信息处理中心70，服务提供商30使用安全通信路径访问客户端50拥有的IC卡52，并且能够以安全方式处理认证和收费等等。
服务提供商30和信息处理中心70使用经由计算机网络的安全通信进行连接。此外，信息处理中心70和客户端50通过经由计算机网络90的卡加密和SSL(安全套接字层)加密通信进行连接。此外，客户端50使用电磁感应作用经由连接到USB的卡读/写器设备51连接到IC卡52。此外，通过使用例如WWW等等的信息搜索系统，服务提供商30和客户端50根据HTTP协议进行网络连接。
在服务提供商30开始针对客户端50的信息提供服务之前，在信息处理中心70上进行预先注册以便访问卡。对此，信息处理中心70以注册结果作为应答。
例如在客户端50上，启动WWW浏览器，并且可以搜索计算机网络90上的WWW信息空间。接着访问由服务提供商30管理的WWW服务器31的站点，并且以HTTP请求格式发出商品列表请求。在WWW服务器31一侧，响应这个请求，以HTTP应答格式返回显示商品列表的HTML内容。
接着，通过在客户端50一侧显示商品列表的WWW浏览器屏幕(附图中未示出)，可以选择各种商品。当决定希望购买的商品时，按下浏览器屏幕内准备的″购买按钮″。结果，以HTTP请求格式将购货请求发送到服务提供商一侧。
客户端50接着使用IC卡52执行伴随商品购买的结算和计点服务。当服务提供商30从客户端50接收购买请求时，针对IC卡52的结算处理和计点服务处理被委托给信息处理中心70。因此，服务提供商30首先下载Java applet，其用于执行处理以便将客户端50连接到信息处理中心70。
客户端50接着启动Java applet，并且以HTTP请求格式建立到信息处理中心70的连接。
之后，服务提供商30向信息处理中心70指示对IC卡52进行验证。响应于此，信息处理中心70使用HTTP应答格式发出用于对IC卡52执行验证的查询命令，并且等待IC卡52的查询应答。当接收到查询应答时，卡验证应答被发送到服务提供商30。
接着，服务提供商30向信息处理中心70指示对IC卡52进行认证。响应于此，信息处理中心70使用HTTP应答格式发出针对IC卡52的认证(Authentication)命令，并且等待IC卡52的认证(Authentication)应答。当从客户端50接收到HTTP请求格式的认证应答时，认证应答被发送到服务提供商30。
在类似认证过程重复适当次数之后，开始访问IC卡52以进行购货的费用结算和计点服务的操作。也就是，当服务提供商30向IC卡52发出读指令时，信息处理中心70使用HTTP应答格式发出IC卡52的读(Read)命令，并且等待IC卡52的读(Read)应答。当从客户端50接收到HTTP请求格式的读应答时，卡读取应答被发送到服务提供商30。
此外，当服务提供商30向IC卡52发出写指令时，信息处理中心70使用HTTP应答格式发出IC卡52的写入(Write)命令，并且等待IC卡52的写入(Write)应答。当从客户端50接收到HTTP请求格式的写应答时，卡读取应答被发送到服务提供商30。对IC卡52进行读/写的操作被重复执行所需的次数。
通过这种方式，当使用IC卡52的结算处理和计点服务处理完成时，服务提供商30通知信息处理中心70处理完成，并且信息处理中心70使用HTTP应答格式通知客户端50处理完成。
当针对IC卡52完成处理时，客户端50向服务提供商30发出显示IC卡52的处理结果的请求，而服务提供商30返回显示的结果。结果，切换客户端50的浏览器屏幕。
图3示出了信息提供系统10的修改例子的视图。在图中示出的例子中，为了进一步提高服务提供商30和信息处理中心70之间的安全性，通过使用专线91而不是计算机网络90的连接执行双方之间的通信。在这种情况下，例如服务提供商30在信息处理中心70的预先注册和注册结果应答等等过程的通信和卡的访问等等全部通过专线91来执行。
图3示出的这个信息提供系统10使用下面示出的处理过程执行客户端50和服务提供商30之间的在线购物过程。
(1)事先在服务提供商30和信息处理中心70之间传递密钥
(2)在客户端50上触发(例如，按下浏览器屏幕上的购买按钮)
(3)从服务提供商30到信息处理中心70的指令
(4)从信息处理中心70向IC卡52发出命令
(5)从IC卡52到信息处理中心70的应答
(6)从信息处理中心70到服务提供商30对指令的应答
(7)从服务提供商30到客户端50对触发的应答
然而(1)，(3)和(6)的处理不通过计算机网络90，而是通过专线91来执行。
此外，图4示出了信息提供系统10的修改例子的另一个视图。在该图的例子中，为了进一步提高服务提供商30和信息处理中心70之间的安全性，在交换极其重要的数据时，例如当服务提供商30在信息处理中心70的预先注册和返回注册结果等等时，使用没有利用数据信号的实时发送和接收的手段(例如邮件)。
图4示出的这个信息提供系统10使用下面示出的处理过程执行客户端50和服务提供商30之间的在线购物过程。
(1)事先在服务提供商30和信息处理中心70之间传递密钥
(2)在客户端50上触发(例如，按下浏览器屏幕上的购买按钮)
(3)从服务提供商30到信息处理中心70的指令
(4)从信息处理中心70向IC卡52发出命令
(5)从IC卡52到信息处理中心70的应答
(6)从信息处理中心70到服务提供商30对指令的应答
(7)从服务提供商30到客户端50对触发的应答
然而，事先传递密钥的处理(1)通过现实世界(real space)的物理发布(例如通过邮件等等)而不是使用计算机网络90来执行。
图5示出了本发明第二实施例的信息提供系统10-2的应用例子。
由执行信息服务的服务提供商30，向服务提供商30请求服务的客户端50，和通过网络90与客户端50一侧安装的IC卡52通信的信息处理中心70构成这个信息提供系统10-2。为了保持附图的简单，只描述每个服务提供商和客户端中的一个，但是也可以在网络90上存在无限数目的提供商和客户端。
在这个实施例中，服务提供商30没有特别准备任何用于通过计算机网络90交换数据的装置，并且对客户端50一侧的IC卡52的访问和从WWW等等的信息提供服务开始的所有常规操作均被委托给信息处理中心70。除了卡命令产生设备72和应用服务器71之外，信息处理中心70还配有WWW服务器73。
图5示出的信息提供系统10-2执行下面示出的网络操作类型。
(1)服务提供商30事先在信息处理中心70上注册描述IC卡52的处理内容的程序列表。
(2)当从安装在家庭或办公室等等的客户端50访问信息处理中心70时，信息处理中心执行事先注册的、描述IC卡52的处理内容的程序列表，并且确定这是不是属于程序执行的目标的IC卡。如果这是所针对的卡，则根据程序列表中的描述发出可以被IC卡本身解释的加密卡命令，并且这些通过计算机网络90，客户端P和卡读/写器设备52被发送到IC卡52。
(3)IC卡52对从信息处理中心70接收的、对其完成加密的卡命令进行转换，在卡内执行处理，并且通过卡读/写器设备51，客户端50和计算机网络90向信息处理中心70发送针对加密卡命令的应答(处理结果)。
(4)信息处理中心70对从IC卡52接收的、对其完成加密的应答进行解密，并且根据程序列表的描述对这些结果执行以下处理。
(5)在针对IC卡52完成系列处理的阶段，信息处理中心70将此情况通知客户端50。
(6)信息处理中心70在固定时间段内周期性地向服务提供商30发送处理报告。
在这个实施例中，服务提供商30将访问IC卡的功能和针对客户端50的所有服务执行，例如WWW站点管理等等全部委托给信息处理中心70。因此，将服务提供商30从安装和维护访问IC卡的功能时所涉及的大量繁琐工作和代价中解放出来。此外，信息处理中心70能够使WWW服务器73的信息提供服务和卡所使用的例如结算和计点服务等等的处理有效地配合工作。
这个信息提供系统10-2使用下面示出的处理过程执行客户端50的在线购买过程。
(1)在信息处理中心70上预先注册描述服务提供商30定义的处理内容的程序
(2)由客户端50访问信息处理中心70
(3)从信息处理中心70向客户端50的IC卡52发出命令
(4)从IC卡52向信息处理中心70发送应答
(5)从信息处理中心到客户端50的完成通知
(6)从信息处理中心70到服务提供商30的处理报告发布
图6示出了允许客户端50通过图5的信息提供系统10-2的计算机网络90使用在线事务和其它信息提供服务的操作序列，其中由服务提供商30提供所述在线事务和其它信息提供服务。服务提供商30通过计算机网络90将所有处理过程委托给信息处理中心70。信息处理中心70使用安全通信线路执行客户端50的在线过程和针对客户端50拥有的IC卡52的访问，并且可以通过安全方式执行认证和收费等等的处理。
在这个实施例中，服务提供商30和信息处理中心70之间的通信路径是任意的，并且可以采用计算机网络或真实世界的任何类型的物理发布，只要能够保证安全通信。此外，信息处理中心70和客户端50通过经由计算机网络90的卡加密和SSL(安全套接字层)加密通信进行连接。此外，客户端50使用电磁感应作用经由连接到USB的卡读/写器设备51连接到IC卡52。此外，信息处理中心70代表服务提供商30管理WWW服务器73，并且因此不必连接服务提供商30和客户端50。
服务提供商30通过计算机网络90或使用现实世界的物理发布，在信息处理中心70注册描述希望管理的服务的处理内容的程序列表，并且事先注册用于卡访问的密钥。
例如在客户端50上，启动WWW浏览器，搜索计算机网络90上的WWW信息空间，根据服务提供商30的请求访问信息处理中心70管理的WWW服务器73，并且显示商品列表。当决定希望购买的商品时，按下浏览器屏幕内准备的″购买按钮″(如上所述)。结果，以HTTP请求格式将购货请求发送到WWW服务器73。
客户端50接着使用IC卡52执行伴随商品购买的结算和计点服务。  服务提供商30将针对IC卡52的结算处理和计点服务处理委托给信息处理中心70。首先，信息处理中心70使用HTTP应答格式发出用于执行IC卡52的验证的查询命令，并且等待IC卡52的查询应答。
客户端50以HTTP请求格式从IC卡52向信息处理中心70返回查询应答。继续地，信息处理中心70使用HTTP应答格式发出针对IC卡52的认证(Authentication)命令，并且等待IC卡52的认证(Authentication)应答。客户端50以HTTP请求格式从IC卡52向信息处理中心70返回认证应答。对IC卡52，将这种过程重复执行所需的次数。
通过这种方式，当完成IC卡52的验证和认证时，信息处理中心70开始访问IC卡52，并且执行伴随产品购买的结算和服务点的处理。也就是，信息处理中心70使用HTTP应答格式发出针对IC卡52的读(Read)命令，并且等待IC卡52的读(Read)应答。当从客户端50接收HTTP请求格式的读应答时，使用HTTP应答格式发出IC卡52的读应答(Write)命令，并且等待IC卡52的写入(Write)应答。对IC卡52进行读/写的操作被重复执行所需的次数。
通过这种方式，当使用IC卡52的结算处理和计点服务处理完成时，信息处理中心70通知服务提供商30处理完成，并且使用HTTP应答格式通知客户端50处理完成。
信息处理中心70在固定时间段内周期性地向服务提供商30发送处理报告。通过计算机网络90，或通过使用真实世界的物理发布(使用邮件等等)可以执行处理报告的传输。
图7示出了本发明第三实施例的信息提供系统10-3的应用例子。
由执行信息服务的服务提供商30，向服务提供商30请求服务的客户端50，和通过网络90与客户端50一侧安装的IC卡52通信的信息处理中心70构成这个信息提供系统10-3。为了保持附图的简单，只描述每个服务提供商和客户端中的一个，但是也可以在网络90上存在无限数目的提供商和客户端。
在这个实施例中，服务提供商30集中指示信息处理中心70针对IC卡52的系列过程，例如收费和计点服务等等。在这种情况下，信息处理中心70响应来自服务提供商30的过程请求，执行IC卡52的认证和系列读/写操作，并且只将这些结果返回给服务提供商30。
图7示出的信息提供系统10-3执行下面示出的网络操作类型。
(1)服务提供商30针对信息处理中心70请求限于访问IC卡52的特定服务，例如费用结算和计点服务(例如增加1000点)的指令。在此期间，在保证安全的状态下在服务提供商30和信息处理中心70之间执行通信，所述安全包含在针对IC卡52进行读写时使用密钥。
(2)根据从服务提供商30接收的请求，信息处理中心70发出IC卡52本身可以解释的加密卡命令，并且通过计算机网络90，客户端50和卡读/写器设备51向IC卡53发送这些。
(3)IC卡52对从信息处理中心70接收的、对其完成加密的卡命令进行转换，在卡内执行处理，并且通过卡读/写器设备51，客户端50和计算机网络90向信息处理中心70发送针对加密卡命令的应答(处理结果)。
(4)信息处理中心70对从IC卡52接收的加密应答进行解密，并且重复执行自上述(2)的处理，直到从服务提供商30接收指令完成结束。
(5)当从服务提供商30接收的指令完成时，信息处理中心70将此通知给服务提供商30。
这个信息提供系统10-3使用下面示出的处理过程执行客户端50的在线购买过程。
(1)在客户端50上触发服务提供商30(例如，按下浏览器屏幕上的购买按钮)
(2)从服务提供商30到信息处理中心70的指令
(3)从信息处理中心70向IC卡52发出命令
(4)从IC卡52到信息处理中心70的应答
(5)从信息处理中心70到服务提供商30对指令的应答
(6)从服务提供商30到客户端50对触发的应答
图8示出了允许客户端50通过图7的信息提供系统10-3的计算机网络90使用在线事务和其它信息提供服务的操作序列，其中由服务提供商30提供所述在线事务和其它信息提供服务。服务提供商30集中将客户端50一侧的IC卡52的处理过程委托给信息处理中心70，并且信息处理中心70只将针对IC卡52的访问操作的结果返回给服务提供商30。
服务提供商30和信息处理中心70使用经由计算机网络的安全通信进行连接。此外，信息处理中心70和客户端50通过经由计算机网络90的卡加密和SSL(安全套接字层)加密通信进行连接。此外，客户端50使用电磁感应作用经由连接到USB的卡读/写器设备51连接到IC卡52。此外，通过使用例如WWW等等的信息搜索系统，服务提供商30和客户端50根据HTTP协议进行网络连接。
例如在客户端50上，启动WWW浏览器，并且可以搜索计算机网络90上的WWW信息空间。接着访问由服务提供商30管理的WWW服务器31的站点，并且以HTTP请求格式发出商品列表请求。在WWW服务器31一侧，响应这个请求，以HTTP应答格式返回显示商品列表的HTML内容。
接着，通过在客户端50一侧显示商品列表的WWW浏览器屏幕(附图中未示出)，可以选择各种商品。当决定希望购买的商品时，按下浏览器屏幕内准备的″购买按钮″。结果，以HTTP请求格式将购货请求发送到服务提供商一侧。
客户端50接着使用IC卡52执行伴随商品购买的结算和计点服务。当服务提供商30从客户端50接收购买请求时，针对IC卡52的结算处理和计点服务处理被委托给信息处理中心70。因此，服务提供商30首先下载Java applet，其用于执行处理以便将客户端50连接到信息处理中心70。
客户端50接着启动Java applet，并且以HTTP请求格式建立到信息处理中心70的连接。
之后，服务提供商30向信息处理中心70指示执行IC卡52使用的特定服务，例如电子结算和服务点等等的处理。
响应于此，信息处理中心70使用HTTP应答格式发出用于对IC卡52执行验证的查询命令，并且等待IC卡52的查询应答。当接收到查询应答时，卡验证应答被发送到服务提供商30。
客户端50以HTTP请求格式从IC卡52向信息处理中心70返回查询应答。继续地，信息处理中心70使用HTTP应答格式发出针对IC卡52的认证(Authentication)命令，并且等待IC卡52的认证(Authentication)应答。客户端50以HTTP请求格式从IC卡52向信息处理中心70返回认证应答。对IC卡52，将这种过程重复执行所需的次数。
通过这种方式，当完成IC卡52的验证和认证时，信息处理中心70开始访问IC卡52，并且执行伴随产品购买的结算和服务点的处理。也就是，信息处理中心70使用HTTP应答格式发出针对IC卡52的读(Read)命令，并且等待IC卡52的读(Read)应答。当从客户端50接收HTTP请求格式的读应答时，使用HTTP应答格式发出IC卡52的读应答(Write)命令，并且等待IC卡52的写入(Write)应答。对IC卡52进行读/写的操作被重复执行所需的次数。
通过这种方式，当使用IC卡52的、所指示的特定服务(例如结算处理和计点服务处理)的执行完成时，信息处理中心70通知服务提供商30处理完成，并且使用HTTP应答格式通知客户端50处理完成。
当针对IC卡52完成处理时，客户端50向服务提供商30发出显示IC卡52的处理结果的请求，而服务提供商30返回显示的结果。结果，切换客户端50的浏览器屏幕。
补充
前面针对特定实施例详细描述了本发明。然而在不偏离本发明的范围的前提下，然而本领域的技术人员显然可以得出上述实施例的变型和替换。也就是，上述公开的本发明仅仅是作为例子而提出的，不应被解释为对本说明书中公开的内容的限制。本发明的必要特征由所附权利要求来限定。
工业实用性
根据本发明，提供了一种用于信息提供系统和认证介质的优良访问控制方法和计算机程序，所述信息提供系统和认证介质能够使用经由广域网的安全通信执行例如认证过程和电子结算的处理。
此外，根据本发明，提供了一种用于信息提供系统和认证介质的优良访问控制方法和计算机程序，所述信息提供系统和认证介质能够经由广域网适当地向保存数值信息和认证信息的IC卡所连接，存在的客户端提供服务。
此外，根据本发明，提供了一种用于信息提供系统和认证介质的优良访问控制方法和计算机程序，所述信息提供系统和认证介质能够使用安全通信访问连接到客户端的IC卡。
根据本发明，使用计算机网络提供信息的服务提供商将访问IC卡的管理委托给外部信息处理中心。因此，当使用IC卡执行在线事务时，将服务提供商从安装和维护访问IC卡的功能时所涉及的大量繁琐工作和代价中解放出来。
例如，通过购买商品的客户端的计算机网络可以容易地实现使用IC卡的费用结算和服务点的处理。
此外，服务提供商可以在不具备涉及IC卡的知识或技能的情况下开展使用IC卡的业务。