JP2001034729A - Icカード - Google Patents
IcカードInfo
- Publication number
- JP2001034729A JP2001034729A JP11202378A JP20237899A JP2001034729A JP 2001034729 A JP2001034729 A JP 2001034729A JP 11202378 A JP11202378 A JP 11202378A JP 20237899 A JP20237899 A JP 20237899A JP 2001034729 A JP2001034729 A JP 2001034729A
- Authority
- JP
- Japan
- Prior art keywords
- file
- card
- attribute
- security
- folder
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
(57)【要約】
【課題】カード発行後は、設定により、いかなることが
あっても、ファイルのアクセス権属性を変更させないセ
キュリティ機構を実現することを課題とする。 【解決手段】上記課題を解決するために、ICカードの
不揮発性記憶部の各ファイルの管理領域に、当該ファイ
ルのアクセス権属性を変更可能か否かを表すフラグビッ
トを設け、セキュリティ属性変更禁止コマンドを定義
し、外部からセキュリティ属性変更禁止コマンドを受け
付けると、前記フラグビットを変更不可として、以後の
当該データファイルのアクセス権属性変更を、いかなる
場合も恒久的に受け付けないようにセキュリティ機構を
実現する。
あっても、ファイルのアクセス権属性を変更させないセ
キュリティ機構を実現することを課題とする。 【解決手段】上記課題を解決するために、ICカードの
不揮発性記憶部の各ファイルの管理領域に、当該ファイ
ルのアクセス権属性を変更可能か否かを表すフラグビッ
トを設け、セキュリティ属性変更禁止コマンドを定義
し、外部からセキュリティ属性変更禁止コマンドを受け
付けると、前記フラグビットを変更不可として、以後の
当該データファイルのアクセス権属性変更を、いかなる
場合も恒久的に受け付けないようにセキュリティ機構を
実現する。
Description
【0001】
【発明の属する技術分野】本発明は、EEPROM(El
ectrically Erasable and Programable Read Only Memo
ry)等の不揮発性メモリを有する携帯可能な情報記録媒
体、いわゆるICカードについて、データファイルのア
クセス権を不正に変更することを防止するセキュリティ
機構に関する。
ectrically Erasable and Programable Read Only Memo
ry)等の不揮発性メモリを有する携帯可能な情報記録媒
体、いわゆるICカードについて、データファイルのア
クセス権を不正に変更することを防止するセキュリティ
機構に関する。
【0002】
【従来技術】ICカードは、磁気カードに代わる携帯可
能情報記録媒体として近年利用が広がっている。特に、
CPUを内蔵したICカードは、単なる情報記録媒体と
しての機能だけではなく、情報処理機能を組み込むこと
ができるため、高度なセキュリティを必要とする情報処
理システムへの利用が期待されている。このようなIC
カードでは、通常、カードが使用可能な状態となった後
でも、所定の認証条件が満たされファイル属性の変更権
が認められると、ICカード内のファイルのアクセス権
属性を変更できるようになっている。
能情報記録媒体として近年利用が広がっている。特に、
CPUを内蔵したICカードは、単なる情報記録媒体と
しての機能だけではなく、情報処理機能を組み込むこと
ができるため、高度なセキュリティを必要とする情報処
理システムへの利用が期待されている。このようなIC
カードでは、通常、カードが使用可能な状態となった後
でも、所定の認証条件が満たされファイル属性の変更権
が認められると、ICカード内のファイルのアクセス権
属性を変更できるようになっている。
【0003】
【発明が解決しようとする課題】従来のカードでは、カ
ードが使用可能な状態となった後でも、必要な認証条件
が満たされさえすれば、どんなに重要なファイルでもそ
のアクセス属性を変更できるようになっていたため、カ
ード発行後に、書き込み禁止と属性設定されているファ
イルのアクセス属性を変更して、重要なデータの改竄を
行う余地が残されていた。
ードが使用可能な状態となった後でも、必要な認証条件
が満たされさえすれば、どんなに重要なファイルでもそ
のアクセス属性を変更できるようになっていたため、カ
ード発行後に、書き込み禁止と属性設定されているファ
イルのアクセス属性を変更して、重要なデータの改竄を
行う余地が残されていた。
【0004】例えば、ICカードに適した利用形態とし
て、第1の発行主体(通常のカード発行者)がカードを
利用するために必要な基本データをカードに記録した後
で、第2、第3の発行主体(第1の発行主体と業務提携
しているサービス業者等)が、それぞれのサービスに必
要なデータを書き込んで、多目的なカードとして利用者
に発行する場合がある。このような場合に、従来のカー
ドでは、第2、第3の発行者が既に記録されたデータの
改竄をする余地が残されていた。
て、第1の発行主体(通常のカード発行者)がカードを
利用するために必要な基本データをカードに記録した後
で、第2、第3の発行主体(第1の発行主体と業務提携
しているサービス業者等)が、それぞれのサービスに必
要なデータを書き込んで、多目的なカードとして利用者
に発行する場合がある。このような場合に、従来のカー
ドでは、第2、第3の発行者が既に記録されたデータの
改竄をする余地が残されていた。
【0005】本発明はこのような問題点を考慮してなさ
れたものであり、利用フェーズ、すなわち、第1の発行
主体が必要な基本データをカードに設定して、カードの
制御プログラムが正しく機能できる状態、になった後
で、いかなることがあっても、ファイルのアクセス権属
性を変更させないセキュリティ機構を実現することを課
題とする。
れたものであり、利用フェーズ、すなわち、第1の発行
主体が必要な基本データをカードに設定して、カードの
制御プログラムが正しく機能できる状態、になった後
で、いかなることがあっても、ファイルのアクセス権属
性を変更させないセキュリティ機構を実現することを課
題とする。
【0006】尚、以下の説明では、単にファイルと言う
ときにはISO7816−4で規定しているDF(Dedi
cated File)およびEF(Elementary File)の両方を
指し、フォルダまたはフォルダファイルというときはD
Fだけを意味するものとする。
ときにはISO7816−4で規定しているDF(Dedi
cated File)およびEF(Elementary File)の両方を
指し、フォルダまたはフォルダファイルというときはD
Fだけを意味するものとする。
【0007】
【課題を解決するための手段】上記課題を解決するため
に、本発明では、ICカードの不揮発性記憶部の各ファ
イルの管理領域に、当該ファイルのアクセス権属性を変
更可能か否かを表すフラグビットを設けるとともに、セ
キュリティ属性変更禁止コマンドを定義し、外部からセ
キュリティ属性変更禁止コマンドを受け付けると、前記
フラグビットを変更不可として、以後の当該データファ
イルのアクセス権属性変更を、いかなる場合も恒久的に
受け付けないようにセキュリティ機構を実現することを
要旨とする。
に、本発明では、ICカードの不揮発性記憶部の各ファ
イルの管理領域に、当該ファイルのアクセス権属性を変
更可能か否かを表すフラグビットを設けるとともに、セ
キュリティ属性変更禁止コマンドを定義し、外部からセ
キュリティ属性変更禁止コマンドを受け付けると、前記
フラグビットを変更不可として、以後の当該データファ
イルのアクセス権属性変更を、いかなる場合も恒久的に
受け付けないようにセキュリティ機構を実現することを
要旨とする。
【0008】従来は、認証条件さえ満たせば、利用フェ
ーズにおいてもファイルのアクセス属性を変更できた
が、前記フラグビットを設けることにより、認証条件を
満たしてもアクセス権を変更させないようにできる。
ーズにおいてもファイルのアクセス属性を変更できた
が、前記フラグビットを設けることにより、認証条件を
満たしてもアクセス権を変更させないようにできる。
【0009】カード発行時にフラグビットを適切に設定
することにより、ICカードの用途により、カード発行
後にファイルのアクセス属性を変更する必要がある場合
にも対応可能である。その場合でも、ある時点で、セキ
ュリティ属性変更禁止コマンドを一度受け付けると、そ
れ以降のアクセス属性変更は不可能となる。このフラグ
ビットはファイル毎に設定されるので柔軟に利用でき
る。
することにより、ICカードの用途により、カード発行
後にファイルのアクセス属性を変更する必要がある場合
にも対応可能である。その場合でも、ある時点で、セキ
ュリティ属性変更禁止コマンドを一度受け付けると、そ
れ以降のアクセス属性変更は不可能となる。このフラグ
ビットはファイル毎に設定されるので柔軟に利用でき
る。
【0010】また、前記フラグビットが設けられるファ
イルの管理領域は、ICカードの制御部のみがアクセス
可能な領域であり、外部からアクセスすることはできな
い。カード発行者が、セキュリティ属性変更禁止コマン
ド以外の方法で、カード発行後に前記フラグビットを操
作することは不可能である。前記フラグビットを、変更
禁止から変更可能に変えることは全く不可能である。
イルの管理領域は、ICカードの制御部のみがアクセス
可能な領域であり、外部からアクセスすることはできな
い。カード発行者が、セキュリティ属性変更禁止コマン
ド以外の方法で、カード発行後に前記フラグビットを操
作することは不可能である。前記フラグビットを、変更
禁止から変更可能に変えることは全く不可能である。
【0011】また、本発明の第2の態様は、セキュリテ
ィ属性変更禁止コマンドを受け付けたフォルダファイル
の下位に位置するファイルはすべて、前記フォルダファ
イルとともに、以後の当該ファイルへのアクセス権属性
変更を、いかなる場合も恒久的に受け付けないようにセ
キュリティ機構を実現することを要旨とする。
ィ属性変更禁止コマンドを受け付けたフォルダファイル
の下位に位置するファイルはすべて、前記フォルダファ
イルとともに、以後の当該ファイルへのアクセス権属性
変更を、いかなる場合も恒久的に受け付けないようにセ
キュリティ機構を実現することを要旨とする。
【0012】複数のサービスや複雑な機能を提供するた
めに、ICカードの中に、複数のファイルをまとめて格
納する入れ物としてフォルダを定義し、階層構造を持つ
ファイルシステムを実現して情報を記憶管理する場合が
ある。このような場合には、入れ物であるフォルダのア
クセス権属性変更を不可能にした場合に、下位に位置す
るファイルのアクセス権属性変更も同時に不可能となる
ように構成した方が都合の良い場合がある。尚、フォル
ダはファイルの一種である。
めに、ICカードの中に、複数のファイルをまとめて格
納する入れ物としてフォルダを定義し、階層構造を持つ
ファイルシステムを実現して情報を記憶管理する場合が
ある。このような場合には、入れ物であるフォルダのア
クセス権属性変更を不可能にした場合に、下位に位置す
るファイルのアクセス権属性変更も同時に不可能となる
ように構成した方が都合の良い場合がある。尚、フォル
ダはファイルの一種である。
【0013】さらに、本発明の第3の態様は、セキュリ
ティ属性変更禁止コマンドを受け付けたフォルダファイ
ルに含まれる、フォルダでないファイルはすべて、前記
フォルダファイルとともに、以後の当該ファイルへのア
クセス権属性変更を、いかなる場合も恒久的に受け付け
ないようにセキュリティ機構を実現することを要旨とす
る。
ティ属性変更禁止コマンドを受け付けたフォルダファイ
ルに含まれる、フォルダでないファイルはすべて、前記
フォルダファイルとともに、以後の当該ファイルへのア
クセス権属性変更を、いかなる場合も恒久的に受け付け
ないようにセキュリティ機構を実現することを要旨とす
る。
【0014】第3の態様では、セキュリティ属性変更禁
止コマンドの影響をそのフォルダに直接含まれる、フォ
ルダでないファイル(ISO7816−4で規定してい
るEF)だけに限定することができる。ICカードにの
せるサービスアプリケーションによっては、このような
態様が適したものもある。
止コマンドの影響をそのフォルダに直接含まれる、フォ
ルダでないファイル(ISO7816−4で規定してい
るEF)だけに限定することができる。ICカードにの
せるサービスアプリケーションによっては、このような
態様が適したものもある。
【0015】
【発明の実施の形態】以下に本発明に係る実施形態につ
いて詳しく説明する。図1は、本実施形態に係るICカ
ード10がリーダー・ライター装置20に接続されてい
る様子を示すブロック図である。ICカード10には、
I/Oインターフェイス11、CPU12、ROM1
3、RAM14、EEPROM15が内蔵されている。
I/Oインターフェイス11は、I/Oライン30を介
してデータを送受するための入出力回路であり、CPU
12はこのI/Oインターフェイス11を通して、リー
ダ・ライタ装置20とデータのやりとりを行う。ROM
13内には、CPU12によって実行されるべきプログ
ラムが記憶されており、CPU12はこのプログラムに
基づいてICカード10を統括制御する。RAM14は
一時的な作業用領域であり、EEPROMの内容をこの
作業領域に読み出す。CPUはこの作業領域に対してデ
ータ参照やデータ書き込みを行う。EEPROM15
は、このICカード10に記録すべき本来のデータが格
納されるメモリである。
いて詳しく説明する。図1は、本実施形態に係るICカ
ード10がリーダー・ライター装置20に接続されてい
る様子を示すブロック図である。ICカード10には、
I/Oインターフェイス11、CPU12、ROM1
3、RAM14、EEPROM15が内蔵されている。
I/Oインターフェイス11は、I/Oライン30を介
してデータを送受するための入出力回路であり、CPU
12はこのI/Oインターフェイス11を通して、リー
ダ・ライタ装置20とデータのやりとりを行う。ROM
13内には、CPU12によって実行されるべきプログ
ラムが記憶されており、CPU12はこのプログラムに
基づいてICカード10を統括制御する。RAM14は
一時的な作業用領域であり、EEPROMの内容をこの
作業領域に読み出す。CPUはこの作業領域に対してデ
ータ参照やデータ書き込みを行う。EEPROM15
は、このICカード10に記録すべき本来のデータが格
納されるメモリである。
【0016】ICカード10内のメモリ13、14、1
5へのアクセスは、すべてCPU12を介して行われ、
外部からこれらのメモリを直接アクセスすることはでき
ない。そのかわりに、リーダ・ライタ装置20からIC
カード10に対してあらかじめ決められたフォーマット
の「コマンド」を与えると、CPU12がこの「コマン
ド」を解釈実行することでICカード10内のデータメ
モリ15にアクセスする。その結果をリーダ・ライタ装
置20に対して「レスポンス」として返送する。
5へのアクセスは、すべてCPU12を介して行われ、
外部からこれらのメモリを直接アクセスすることはでき
ない。そのかわりに、リーダ・ライタ装置20からIC
カード10に対してあらかじめ決められたフォーマット
の「コマンド」を与えると、CPU12がこの「コマン
ド」を解釈実行することでICカード10内のデータメ
モリ15にアクセスする。その結果をリーダ・ライタ装
置20に対して「レスポンス」として返送する。
【0017】図6は、ICカードの制御プログラムの働
きを示すフローチャートである。カードがカード端末に
挿入されると、ICカードはカード端末から電源を供給
され、まず必要な初期化動作を行い(S1)、その後は
カード端末からのコマンドを待ち(S3)、もしコマン
ドが来れば、そのコマンドに対応したコマンド処理を行
う(S5)。そしてステップS3に戻り、再び次のコマ
ンドが来るのを待つ。
きを示すフローチャートである。カードがカード端末に
挿入されると、ICカードはカード端末から電源を供給
され、まず必要な初期化動作を行い(S1)、その後は
カード端末からのコマンドを待ち(S3)、もしコマン
ドが来れば、そのコマンドに対応したコマンド処理を行
う(S5)。そしてステップS3に戻り、再び次のコマ
ンドが来るのを待つ。
【0018】図3はEEPROM領域15を更に詳しく
説明する図である。EEPROM領域15は論理的にデ
ータ領域と管理領域に分けられる。データ領域は、定め
られたICカードコマンドを利用して、外部からアクセ
ス可能な領域である。データはファイルという論理的な
単位にまとめられて記憶され、制御プログラムによって
管理される。一方管理領域は、ICカードのCPU12
のみが制御プログラムの制御によってアクセスする領域
である。管理領域は、ディレクトリと呼ばれるファイル
の管理情報を保持している。図3では前記データ領域の
ファイル1、2、3のそれぞれに対応したディレクトリ
が管理領域に存在している。このように、データ領域に
1つのファイルが生成されると、そのファイルの管理情
報を記憶する1つのディレクトリが管理領域に形成され
る。
説明する図である。EEPROM領域15は論理的にデ
ータ領域と管理領域に分けられる。データ領域は、定め
られたICカードコマンドを利用して、外部からアクセ
ス可能な領域である。データはファイルという論理的な
単位にまとめられて記憶され、制御プログラムによって
管理される。一方管理領域は、ICカードのCPU12
のみが制御プログラムの制御によってアクセスする領域
である。管理領域は、ディレクトリと呼ばれるファイル
の管理情報を保持している。図3では前記データ領域の
ファイル1、2、3のそれぞれに対応したディレクトリ
が管理領域に存在している。このように、データ領域に
1つのファイルが生成されると、そのファイルの管理情
報を記憶する1つのディレクトリが管理領域に形成され
る。
【0019】図4は、管理領域の中のディレクトリのフ
ォーマットを説明する図である。ディレクトリは当該フ
ァイルの先頭アドレス、当該ファイルのサイズ、セキュ
リティ属性、ファイル種類、チェックコードなどの属性
値の他に、変更禁止フラグを含んでいる。セキュリティ
属性は、当該ファイルに対するアクセスが可能かどうか
を決める鍵の開錠状態を表すビットパターンが格納され
る。これについての詳細は後述する。ファイルの種類は
通常のデータファイルか、パスワード(鍵情報)を記録
したファイルかなどの区別を示す。チェックコードはデ
ィレクトリ情報が誤りなく記録されたか、読み出された
かをチェックするためのチェックコードである。
ォーマットを説明する図である。ディレクトリは当該フ
ァイルの先頭アドレス、当該ファイルのサイズ、セキュ
リティ属性、ファイル種類、チェックコードなどの属性
値の他に、変更禁止フラグを含んでいる。セキュリティ
属性は、当該ファイルに対するアクセスが可能かどうか
を決める鍵の開錠状態を表すビットパターンが格納され
る。これについての詳細は後述する。ファイルの種類は
通常のデータファイルか、パスワード(鍵情報)を記録
したファイルかなどの区別を示す。チェックコードはデ
ィレクトリ情報が誤りなく記録されたか、読み出された
かをチェックするためのチェックコードである。
【0020】図5はICカードのセキュリティ管理の仕
組みを表す図である。以下図5により、本発明に係る実
施形態におけるICカードのセキュリティ管理の仕組み
を説明する。
組みを表す図である。以下図5により、本発明に係る実
施形態におけるICカードのセキュリティ管理の仕組み
を説明する。
【0021】図5(A)はICカードのある時点の鍵の
開錠状態を示している。図では8ビットのビットパター
ンが示されているが、この各ビットは1つの特定の鍵の
開錠状態を示す。1であればそのビットに対応する鍵は
閉じられている。0であれば開錠されていることを示
す。ここでいう鍵とは論理的な鍵の意味であり、カード
に対して特定の鍵の要求するパスワードを与えることが
できれば、その鍵を開けることができる。この例では8
ビットなので、8つの鍵を使用していることとなる。鍵
を開くことは、当該カードがカード端末に挿入されカー
ドの認証チェックが行われる際に、制御プログラムの処
理によりあらかじめ定められた幾つかのパスワードファ
イルを調べることにより、または、カード端末のアプリ
ケーションプログラムに応じて利用者がその場で打ち込
んだパスワードを制御プログラムがチェックすることな
どにより行われる。その結果が図5(A)のビットパタ
ーンとしてRAM領域14の特定のアドレスに保持され
る。図5では第1鍵、第2鍵、第3鍵は開錠されたが、
第4〜第8の鍵は閉じられたままであることが分かる。
開錠状態を示している。図では8ビットのビットパター
ンが示されているが、この各ビットは1つの特定の鍵の
開錠状態を示す。1であればそのビットに対応する鍵は
閉じられている。0であれば開錠されていることを示
す。ここでいう鍵とは論理的な鍵の意味であり、カード
に対して特定の鍵の要求するパスワードを与えることが
できれば、その鍵を開けることができる。この例では8
ビットなので、8つの鍵を使用していることとなる。鍵
を開くことは、当該カードがカード端末に挿入されカー
ドの認証チェックが行われる際に、制御プログラムの処
理によりあらかじめ定められた幾つかのパスワードファ
イルを調べることにより、または、カード端末のアプリ
ケーションプログラムに応じて利用者がその場で打ち込
んだパスワードを制御プログラムがチェックすることな
どにより行われる。その結果が図5(A)のビットパタ
ーンとしてRAM領域14の特定のアドレスに保持され
る。図5では第1鍵、第2鍵、第3鍵は開錠されたが、
第4〜第8の鍵は閉じられたままであることが分かる。
【0022】図5(B)はディレクトリの中のセキュリ
ティ属性の詳細を示している。セキュリティ属性は、当
該ファイルに対して、読み込み、書き込み、更新の各動
作が可能であることを認める鍵の開錠状態を示す3つの
ビットパターンの集合で表される。尚、アクセスを認め
る開錠状態を示すビットパターンを認証条件情報ともい
うことにする。図5の場合では、読み込みアクセスは第
1の鍵が開けられていれば認められる。書き込みアクセ
スは、第1と第3の鍵が開かれていれば認められる。
ティ属性の詳細を示している。セキュリティ属性は、当
該ファイルに対して、読み込み、書き込み、更新の各動
作が可能であることを認める鍵の開錠状態を示す3つの
ビットパターンの集合で表される。尚、アクセスを認め
る開錠状態を示すビットパターンを認証条件情報ともい
うことにする。図5の場合では、読み込みアクセスは第
1の鍵が開けられていれば認められる。書き込みアクセ
スは、第1と第3の鍵が開かれていれば認められる。
【0023】そして制御プログラムは、あるファイルへ
のアクセス要求が来たときに、先ず現在の鍵の開錠状態
ビットパターンと、そのアクセス要求を認める鍵の開錠
状態ビットパターンを比較して、そのアクセス要求の可
否を決定する。図5の場合では読み込み、書き込みアク
セスは認められるが更新アクセスは認められないことと
なる。
のアクセス要求が来たときに、先ず現在の鍵の開錠状態
ビットパターンと、そのアクセス要求を認める鍵の開錠
状態ビットパターンを比較して、そのアクセス要求の可
否を決定する。図5の場合では読み込み、書き込みアク
セスは認められるが更新アクセスは認められないことと
なる。
【0024】以上がセキュリティ管理の仕組みの基本で
あるが、更新アクセス可能な開錠状態を一度作れば、カ
ード発行後においても、書き込み・更新アクセスの認証
条件情報を書き換えることにより以後の当該ファイルへ
の書き込み・更新がどこでも容易に可能となるように設
定してしまうことができる。これを防ぐために、ディレ
クトリの中に属性変更禁止フラグを設定する。もし属性
変更禁止フラグが1にセットされていると、更新アクセ
スの認証条件が満たされても当該ファイルのセキュリテ
ィ属性を変更することはできない。
あるが、更新アクセス可能な開錠状態を一度作れば、カ
ード発行後においても、書き込み・更新アクセスの認証
条件情報を書き換えることにより以後の当該ファイルへ
の書き込み・更新がどこでも容易に可能となるように設
定してしまうことができる。これを防ぐために、ディレ
クトリの中に属性変更禁止フラグを設定する。もし属性
変更禁止フラグが1にセットされていると、更新アクセ
スの認証条件が満たされても当該ファイルのセキュリテ
ィ属性を変更することはできない。
【0025】図2は、属性変更禁止フラグの働きを説明
するために、属性変更コマンドを受けたときのコマンド
処理フローを示したフローチャートである。属性変更コ
マンドを受けると、まず当該ファイルのディレクトリを
読み出す(S13)。次にディレクトリの中のセキュリ
ティ属性をチェックし、現在の開錠状態が当該ファイル
の更新アクセスの認証条件を満たしているか判定する
(S17)。もし更新アクセスの認証条件を満たしてい
る場合は、ステップS19で、属性変更禁止フラグがセ
ットされているかどうかを調べる。同フラグが0なら
ば、変更可能と言うことなのでセキュリティ属性の変更
を行う(S23)。その結果、属性変更がリクエスト通
り正常に行われた旨のレスポンスをカード端末に返して
コマンド処理を終了する(S29)。属性変更禁止フラ
グがセットされていた場合、または更新アクセスの認証
条件が満たされていない場合はステップ23を行わず
に、ステップ29にジャンプして、属性変更はしかるべ
き理由により拒否された旨のレスポンスをカード端末に
返してコマンド処理を終了する。
するために、属性変更コマンドを受けたときのコマンド
処理フローを示したフローチャートである。属性変更コ
マンドを受けると、まず当該ファイルのディレクトリを
読み出す(S13)。次にディレクトリの中のセキュリ
ティ属性をチェックし、現在の開錠状態が当該ファイル
の更新アクセスの認証条件を満たしているか判定する
(S17)。もし更新アクセスの認証条件を満たしてい
る場合は、ステップS19で、属性変更禁止フラグがセ
ットされているかどうかを調べる。同フラグが0なら
ば、変更可能と言うことなのでセキュリティ属性の変更
を行う(S23)。その結果、属性変更がリクエスト通
り正常に行われた旨のレスポンスをカード端末に返して
コマンド処理を終了する(S29)。属性変更禁止フラ
グがセットされていた場合、または更新アクセスの認証
条件が満たされていない場合はステップ23を行わず
に、ステップ29にジャンプして、属性変更はしかるべ
き理由により拒否された旨のレスポンスをカード端末に
返してコマンド処理を終了する。
【0026】この属性禁止フラグを適切に使用すれば、
多目的カードとして発行する場合に、第1の発行者は金
銭情報を記憶したファイルのアクセス権属性変更禁止フ
ラグを1にセットしておけば、その後いかなることがあ
ってもその金銭情報ファイルのアクセス属性を変えるこ
とができないので高い安全性が維持できる。しかも、他
のファイルについては当該ファイルのアクセス権属性変
更禁止フラグを0としておくことにより、従来技術によ
り発行する場合の利便性が損なわれることはない。
多目的カードとして発行する場合に、第1の発行者は金
銭情報を記憶したファイルのアクセス権属性変更禁止フ
ラグを1にセットしておけば、その後いかなることがあ
ってもその金銭情報ファイルのアクセス属性を変えるこ
とができないので高い安全性が維持できる。しかも、他
のファイルについては当該ファイルのアクセス権属性変
更禁止フラグを0としておくことにより、従来技術によ
り発行する場合の利便性が損なわれることはない。
【0027】図7は、ICカードがセキュリティ属性変
更禁止コマンドを受けたときの動作を示すフローチャー
トである。ICカードがセキュリティ属性変更禁止コマ
ンドを受けると、まず当該ファイルのディレクトリを読
み出す(S31)。次にディレクトリの中のセキュリテ
ィ属性をチェックし、現在の開錠状態が当該ファイルへ
の更新アクセスの認証条件を満たしているか判定する
(S37)。もし更新アクセスの認証条件を満たしてい
る場合は、ステップS43で、属性変更禁止フラグを1
にセットする。その結果、禁止コマンドがリクエスト通
り正常に行われた旨のレスポンスをカード端末に返して
コマンド処理を終了する(S53)。ステップS37で
更新アクセスの認証条件を満たしていない場合は、ステ
ップS53にジャンプして属性変更禁止設定はしかるべ
き理由により拒否された旨のレスポンスをカード端末に
返してコマンド処理を終了する。
更禁止コマンドを受けたときの動作を示すフローチャー
トである。ICカードがセキュリティ属性変更禁止コマ
ンドを受けると、まず当該ファイルのディレクトリを読
み出す(S31)。次にディレクトリの中のセキュリテ
ィ属性をチェックし、現在の開錠状態が当該ファイルへ
の更新アクセスの認証条件を満たしているか判定する
(S37)。もし更新アクセスの認証条件を満たしてい
る場合は、ステップS43で、属性変更禁止フラグを1
にセットする。その結果、禁止コマンドがリクエスト通
り正常に行われた旨のレスポンスをカード端末に返して
コマンド処理を終了する(S53)。ステップS37で
更新アクセスの認証条件を満たしていない場合は、ステ
ップS53にジャンプして属性変更禁止設定はしかるべ
き理由により拒否された旨のレスポンスをカード端末に
返してコマンド処理を終了する。
【0028】図7は、ファイル毎に全く独立にセキュリ
ティ属性変更禁止コマンドを制御するICカードの場合
のフローであるが、フォルダファイルを設けて、ファイ
ルを階層的に管理できるタイプのICカードの場合は、
図8のように、フォルダファイルがセキュリティ属性変
更禁止コマンドにより設定されると、そのフォルダの下
位に位置するファイルがすべて影響されるようにセキュ
リティ属性変更禁止コマンドを受けたときの動作を定め
ることもできる。両者はS47のステップ、すなわち、
「当該フォルダに含まれるファイルのディレクトリの変
更禁止フラグを1にセットする、それらの中にフォルダ
ファイルがある場合には、その中に含まれるファイルの
ディレクトリの変更禁止フラグも1にセットする」、が
あるかないかが異なるだけで他は同じである。
ティ属性変更禁止コマンドを制御するICカードの場合
のフローであるが、フォルダファイルを設けて、ファイ
ルを階層的に管理できるタイプのICカードの場合は、
図8のように、フォルダファイルがセキュリティ属性変
更禁止コマンドにより設定されると、そのフォルダの下
位に位置するファイルがすべて影響されるようにセキュ
リティ属性変更禁止コマンドを受けたときの動作を定め
ることもできる。両者はS47のステップ、すなわち、
「当該フォルダに含まれるファイルのディレクトリの変
更禁止フラグを1にセットする、それらの中にフォルダ
ファイルがある場合には、その中に含まれるファイルの
ディレクトリの変更禁止フラグも1にセットする」、が
あるかないかが異なるだけで他は同じである。
【0029】図8のフローでは、セキュリティ属性変更
禁止コマンドを受けるファイルがフォルダファイルの場
合には、そのコマンドを受けたことの影響が、下位のフ
ォルダファイルを中継して、下位のファイルすべてに影
響する。これとは別に、セキュリティ属性変更禁止コマ
ンドを受けたことの影響が、下位のフォルダファイルに
は及ばない(従ってその下位に位置するファイルに及ば
ない)ようにICカードのセキュリティ機構を実現する
ことが可能である。図9はそのようなICカードのセキ
ュリティ属性変更禁止コマンド受信時の動作フローであ
る。図9では、図8のステップS47がステップS48
に差し替わっている。S48では、セキュリティ属性変
更禁止コマンドを受けるファイルがフォルダファイルの
場合には、その中に直接含まれるファイルでフォルダで
ないものだけについて、変更禁止フラグを1にセットす
る。フォルダファイルかそうでないファイルかはそのフ
ァイルのディレクトリ情報を参照して識別できる。
禁止コマンドを受けるファイルがフォルダファイルの場
合には、そのコマンドを受けたことの影響が、下位のフ
ォルダファイルを中継して、下位のファイルすべてに影
響する。これとは別に、セキュリティ属性変更禁止コマ
ンドを受けたことの影響が、下位のフォルダファイルに
は及ばない(従ってその下位に位置するファイルに及ば
ない)ようにICカードのセキュリティ機構を実現する
ことが可能である。図9はそのようなICカードのセキ
ュリティ属性変更禁止コマンド受信時の動作フローであ
る。図9では、図8のステップS47がステップS48
に差し替わっている。S48では、セキュリティ属性変
更禁止コマンドを受けるファイルがフォルダファイルの
場合には、その中に直接含まれるファイルでフォルダで
ないものだけについて、変更禁止フラグを1にセットす
る。フォルダファイルかそうでないファイルかはそのフ
ァイルのディレクトリ情報を参照して識別できる。
【0030】以上、セキュリティ属性変更禁止コマンド
を受けた時の動作フローの相違により、3通りの実現形
態があることを述べた。また、これまでの説明では、図
3および図4によって、すべてのファイルに等しくディ
レクトリ情報が設けられる構成を前提にして説明した。
これらとは異なる実施形態として、図4で示した構成の
ディレクトリ情報はフォルダファイルだけが持ち、フォ
ルダでないファイルは、変更禁止フラグ、または変更禁
止フラグとセキュリティ属性の両方、を持たずに、自分
を含むフォルダ(親フォルダ)のディレクトリにある属
性値で代用するという形態も実現可能である。すなわ
ち、この場合には、セキュリティ属性変更禁止コマンド
はフォルダファイルに対して発行されることになる。そ
して図7と図9の区別はなくなる。図8のS47は「下
位に位置するすべてのフォルダファイルのディレクトリ
の変更禁止フラグを1にセットする」と読み替える。ま
た、フォルダでないファイルがセキュリティ属性変更コ
マンドを受けた時(この場合は当該ファイルは固有のセ
キュリティ属性情報を持っている)は、図2のS19の
ステップは「親フォルダの属性変更禁止フラグをチェッ
クする」に読み替える。
を受けた時の動作フローの相違により、3通りの実現形
態があることを述べた。また、これまでの説明では、図
3および図4によって、すべてのファイルに等しくディ
レクトリ情報が設けられる構成を前提にして説明した。
これらとは異なる実施形態として、図4で示した構成の
ディレクトリ情報はフォルダファイルだけが持ち、フォ
ルダでないファイルは、変更禁止フラグ、または変更禁
止フラグとセキュリティ属性の両方、を持たずに、自分
を含むフォルダ(親フォルダ)のディレクトリにある属
性値で代用するという形態も実現可能である。すなわ
ち、この場合には、セキュリティ属性変更禁止コマンド
はフォルダファイルに対して発行されることになる。そ
して図7と図9の区別はなくなる。図8のS47は「下
位に位置するすべてのフォルダファイルのディレクトリ
の変更禁止フラグを1にセットする」と読み替える。ま
た、フォルダでないファイルがセキュリティ属性変更コ
マンドを受けた時(この場合は当該ファイルは固有のセ
キュリティ属性情報を持っている)は、図2のS19の
ステップは「親フォルダの属性変更禁止フラグをチェッ
クする」に読み替える。
【0031】
【発明の効果】以上詳述したように、本発明によるセキ
ュリティ管理の仕組みにより、利用フェーズになった後
で、いかなることがあっても、ファイルのアクセス権属
性を変更させないセキュリティ機構が実現できる。
ュリティ管理の仕組みにより、利用フェーズになった後
で、いかなることがあっても、ファイルのアクセス権属
性を変更させないセキュリティ機構が実現できる。
【0032】このセキュリティ機構によれば、例えば、
多目的ICカードとして、第1のカード発行者以外のサ
ービス事業者がサービスに関する設定を行うような場合
に懸念されるカードデータの改竄を防ぐことができる。
また、鍵データ(パスワード等)が漏洩しても、不正に
セキュリティ属性を変更されて不正使用されることは万
が一にもなくなり、非常にセキュリティの高いICカー
ドを実現することができる。
多目的ICカードとして、第1のカード発行者以外のサ
ービス事業者がサービスに関する設定を行うような場合
に懸念されるカードデータの改竄を防ぐことができる。
また、鍵データ(パスワード等)が漏洩しても、不正に
セキュリティ属性を変更されて不正使用されることは万
が一にもなくなり、非常にセキュリティの高いICカー
ドを実現することができる。
【図1】本実施形態に係るICカード10がリーダー・
ライター装置20に接続されている様子を示すブロック
図である。
ライター装置20に接続されている様子を示すブロック
図である。
【図2】属性変更禁止フラグの働きを説明するために、
属性変更コマンドを受けたときのコマンド処理フローを
示したフローチャートである。
属性変更コマンドを受けたときのコマンド処理フローを
示したフローチャートである。
【図3】EEPROM領域15を更に詳しく説明する図
である。
である。
【図4】管理領域の中のディレクトリのフォーマットを
説明する図である。
説明する図である。
【図5】ICカードのセキュリティ管理の仕組みを表す
図である。
図である。
【図6】ICカードの制御プログラムの働きを示すフロ
ーチャートである。
ーチャートである。
【図7】、
【図8】、
【図9】セキュリティ属性変更禁止コマンドを受けたと
きのICカードの動作を示すフローチャートである。
きのICカードの動作を示すフローチャートである。
10 ICカード 11 I/0インターフェイス 12 CPU 13 ROM 14 RAM 15 EEPROM 20 リーダ・ライタ装置 30 IOライン
Claims (3)
- 【請求項1】 不揮発性のデータ記憶部と前記記憶部に
対して情報の書き込み又は読み出しを行う制御部とを有
し、定められたプロトコルにより外部接続装置との間で
情報の授受を行うICカードであって、前記記憶部の各
ファイルの管理領域に、当該ファイルのアクセス権属性
を変更可能か否かを表すフラグビットを設け、外部から
セキュリティ属性変更禁止コマンドを受け付けると、前
記フラグビットを変更不可として、以後の当該ファイル
のアクセス権属性変更を、いかなる場合も恒久的に受け
付けないようにできることを特徴としたICカード。 - 【請求項2】 請求項1に記載のICカードであって、
セキュリティ属性変更禁止コマンドを受け付けたフォル
ダファイルの下位に位置するファイルはすべて、前記フ
ォルダファイルとともに、以後の当該ファイルへのアク
セス権属性変更を、いかなる場合も恒久的に受け付けな
いようにできることを特徴としたICカード。 - 【請求項3】 請求項1に記載のICカードであって、
セキュリティ属性変更禁止コマンドを受け付けたフォル
ダファイルに含まれる、フォルダでないファイルはすべ
て、前記フォルダファイルとともに、以後の当該ファイ
ルへのアクセス権属性変更を、いかなる場合も恒久的に
受け付けないようにできることを特徴としたICカー
ド。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11202378A JP2001034729A (ja) | 1999-07-16 | 1999-07-16 | Icカード |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11202378A JP2001034729A (ja) | 1999-07-16 | 1999-07-16 | Icカード |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001034729A true JP2001034729A (ja) | 2001-02-09 |
Family
ID=16456514
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP11202378A Pending JP2001034729A (ja) | 1999-07-16 | 1999-07-16 | Icカード |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001034729A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006075485A1 (ja) * | 2005-01-11 | 2006-07-20 | Sharp Kabushiki Kaisha | 非接触型半導体装置、携帯端末装置および通信システム |
| JP2007227759A (ja) * | 2006-02-24 | 2007-09-06 | Tokyo Electron Ltd | 基板処理装置、基板処理装置のパラメータ管理システム、基板処理装置のパラメータ管理方法、プログラム、及び記憶媒体 |
| JP2009075959A (ja) * | 2007-09-21 | 2009-04-09 | Chugoku Electric Power Co Inc:The | 記憶媒体制御装置及び記憶媒体制御方法 |
-
1999
- 1999-07-16 JP JP11202378A patent/JP2001034729A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006075485A1 (ja) * | 2005-01-11 | 2006-07-20 | Sharp Kabushiki Kaisha | 非接触型半導体装置、携帯端末装置および通信システム |
| US8112795B2 (en) | 2005-01-11 | 2012-02-07 | Sharp Kabushiki Kaisha | Non-contact type semiconductor device, mobile terminal device, and communication system |
| JP2007227759A (ja) * | 2006-02-24 | 2007-09-06 | Tokyo Electron Ltd | 基板処理装置、基板処理装置のパラメータ管理システム、基板処理装置のパラメータ管理方法、プログラム、及び記憶媒体 |
| JP2009075959A (ja) * | 2007-09-21 | 2009-04-09 | Chugoku Electric Power Co Inc:The | 記憶媒体制御装置及び記憶媒体制御方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5408082A (en) | IC card with hierarchical file structure | |
| KR920007410B1 (ko) | 휴대용 데이타 캐리어용 안전 파일 시스템 | |
| US5225664A (en) | Mutual authentication system | |
| US6296191B1 (en) | Storing data objects in a smart card memory | |
| US6575372B1 (en) | Secure multi-application IC card system having selective loading and deleting capability | |
| US6371377B2 (en) | Card type recording medium and access control method for card type recording medium and computer-readable recording medium having access control program for card type recording medium recorded | |
| JP3568970B2 (ja) | Icカード発行装置 | |
| JP3662946B2 (ja) | ファイル管理方式および携帯可能電子装置 | |
| US7577854B2 (en) | Information storage device having a divided area in memory area | |
| KR970006646B1 (ko) | 휴대가능전자장치 | |
| EP1733305A1 (en) | Semiconductor memory | |
| KR100349033B1 (ko) | 전자회로를 가지는 기억매체와 그 관리방법 | |
| KR920008755B1 (ko) | 다목적 휴대용 데이타 캐리어 장치 | |
| JP3445304B2 (ja) | ファイル管理装置 | |
| JP2502894B2 (ja) | Icカ―ド | |
| US5828053A (en) | Portable storage medium and portable storage medium issuing system | |
| JP4090350B2 (ja) | Icカード | |
| US6286757B1 (en) | Portable electronic apparatus | |
| JP3478968B2 (ja) | 暗証番号処理装置及びその方法 | |
| JP2001034729A (ja) | Icカード | |
| JP4445718B2 (ja) | Icカード及びicカードプログラム | |
| JP4443699B2 (ja) | 携帯可能電子装置および携帯可能電子装置の制御方法 | |
| US7296289B2 (en) | Setting or changing an access condition for an access management apparatus and method of a portable electronic device | |
| CN108376227B (zh) | 一种安全芯片的文件访问方法及其*** | |
| JPH11232177A (ja) | 情報記録再生方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060621 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090615 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090623 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20091118 |