JP2001118042A - カード監視方法 - Google Patents

カード監視方法

Info

Publication number
JP2001118042A
JP2001118042A JP29625599A JP29625599A JP2001118042A JP 2001118042 A JP2001118042 A JP 2001118042A JP 29625599 A JP29625599 A JP 29625599A JP 29625599 A JP29625599 A JP 29625599A JP 2001118042 A JP2001118042 A JP 2001118042A
Authority
JP
Japan
Prior art keywords
card
monitoring
monitoring program
program
monitoring method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP29625599A
Other languages
English (en)
Inventor
Takahiro Hirose
隆裕 廣瀬
Toyohiko Kagimasa
豊彦 鍵政
Atsushi Maeoka
淳 前岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP29625599A priority Critical patent/JP2001118042A/ja
Priority to EP00117805A priority patent/EP1094423A3/en
Priority to AU53581/00A priority patent/AU738426B2/en
Publication of JP2001118042A publication Critical patent/JP2001118042A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3552Downloading or loading of personalisation data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/357Cards having a plurality of specified features
    • G06Q20/3576Multiple memory zones on card
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0833Card having specific functional components
    • G07F7/084Additional components relating to data transfer and storing, e.g. error detection, self-diagnosis

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Credit Cards Or The Like (AREA)

Abstract

(57)【要約】 【課題】不正アクセス手段の進歩及び多様化に対抗す
る。 【解決手段】ICカードに監視プログラム更新装置を備
え、外部端末装置から監視プログラムをロードし、書き
換え可能な不揮発メモリ上に配置する。新手の不正アク
セス手段が開発されたら、監視プログラムを更新するこ
とにより、不正アクセスを検出できるようにする。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】ICカード利用において、不正
利用を防ぐ技術に関する。
【0002】
【従来の技術】ICカードは外部からの不正アクセスを検
出するために、様々な監視を行っている。例えば、暗証
番号の入力を監視する。特開昭62-190585と特開昭62-28
0965は、暗証番号の照会の不一致回数に上限を設定し、
暗証番号の推測による不正なアクセスからカードシステ
ムを保護する。特開昭60-181888は、ICカードに暗号を
格納しておき、端末装置から送られてくる暗号と一致す
るか調べることにより不正なアクセスを防いでいる。
【0003】
【発明が解決しようとする課題】技術の進歩と共に、不
正アクセスの技術も進歩している。新手の不正アクセス
技術が開発されると、旧来の監視システムでは、不正ア
クセスを検知できない恐れがある。短い周期でカードを
更新していけば対抗できるが、コストがかさむ上、ユー
ザーにとっても不便である。
【0004】また、マルチアプリケーションカードの場
合、カードにロードされているアプリケーションの種類
によって監視すべき項目が違ってくる。カードの出荷時
に最適な監視項目を決めることが困難である。
【0005】
【課題を解決するための手段】ICカードシステムにおい
て、監視プログラムをサーバから動的にダウンロードで
きるようにし、外部からの不正なアクセスを監視するプ
ログラムを書き換え可能なメモリ上に配置し、監視方法
の変更に応じてプログラムを書き換える。
【0006】
【発明の実施の形態】図1は全体の構成を示している。I
Cカード101は外部端末装置110を介して外部のネットワ
ーク111上のサーバ112と通信を行う。ICカード101内に
は、通信装置106、監視プログラム更新装置102、監視実
行処理103、電源検出装置107、クロック検出装置108が
ある。これらの装置は、ハードウエア又はROM上のソフ
トウエアによって実装する。アプリケーション109と監
視プログラム104は、書き換え可能な不揮発メモリに実
装する。アプリケーション109と監視プログラム104のう
ち、変更する必要性のない部分はROM上に実装しても良
い。通信装置106は外部端末110との物理的接点を持ち、
カード外部との通信を行う。監視実行処理103内のカー
ド通信中継処理105は、通信装置106、監視プログラム更
新装置102、アプリケーション109の間で、通信データの
配送を行う。監視プログラム更新装置102は、外部(サ
ーバ112)からネットワーク111を介して監視プログラム
104をロードしてカード内不揮発メモリ上に配置する。
監視実行処理103は、監視プログラム104を実行する仮想
計算機であり、ソフトウエアで実装してある。監視プロ
グラム104は、監視実行処理103上でカード稼動状況を監
視し、不正なアクセスを検出するプログラムである。電
源検出装置107は、電源電流と電源電圧の変動パターン
を監視実行処理103に提供する。クロック検出装置108
は、クロックの変動状況を監視実行処理103に提供す
る。
【0007】図2は、カード監視システムのチップ上の
配置を示している。カードシステムは1チップのマイコ
ン201上に実装する。マイコンチップ201上には、CPUコ
ア領域202、RAM領域203、周辺回路領域204、読み出し専
用不揮発メモリ領域205、書き換え可能不揮発メモリ領
域206があり、これらは、内部バス210を介して互いに接
続されている。これらはいくつかのブロックに分けて実
装されることもある。CPUコア領域202は、メモリに格納
された命令を実行し、マイコンチップ全体を制御する。
RAM領域203は、CPUコア202が命令実行するための一時的
なデータ格納領域である。周辺回路204がその一部を一
時記憶領域として利用することもある。周辺回路領域20
4には、CPUコア202に含まれない様々な処理を行う回路
が収められている。例えば、チップと外界とのデータ交
換を行う通信装置106、電源検出装置107、クロック検出
装置108、などが含まれる。読み出し専用不揮発メモリ
領域205には、カードOS207、周辺ドライバ208、監視プ
ログラム更新処理102、監視実行処理103が格納される。
書き換え可能不揮発メモリ領域206には、監視プログラ
ム104とアプリケーション109が格納される。書き換え可
能不揮発メモリ206は、EEPROM、Flashメモリ、強誘電体
メモリ等である。なお監視プログラム104のうち、変更
する必要のない部分は、読み出し専用不揮発メモリ205
に格納しても良い。
【0008】図3は、監視実行処理103の構成を示してい
る。監視実行処理103はソフトウエアで実装した仮想計
算機である。仮想計算機内では、監視プログラム104の
挙動をモニターしていて、監視プログラム104が不正に
アクセスしようとしても、仮想計算機がこれを検出して
例外信号を発生させる。仮想計算機内には大きく分け
て、スタック301、プログラムカウンタ(PC)302、オブジ
ェクト領域303、監視プログラム格納領域304の4つの構
成単位よりなる。スタック301は演算の途中結果を保持
する一時記憶領域である。プログラムカウンタ302は実
行中の仮想命令のアドレスを保持する記憶領域である。
監視プログラム格納領域304は監視プログラム104の仮想
コードを保持する領域であり、通常書き換え可能な不揮
発メモリ206上に置く。オブジェクト領域303は、監視プ
ログラム104の実行に必要なオブジェクトを格納する領
域である。オブジェクトは、監視実行処理組み込みオブ
ジェクトと監視プログラムオブジェクトに分けられる。
監視実行処理組み込みオブジェクトは、監視プログラム
がICカード内の各装置にアクセスするためのインターフ
ェースの役割を果たすオブジェクトである。通常、ROM
上に格納され、ICカードが初期化されてから破棄される
まで存在し続ける。図中では、例として通信オブジェク
ト305、電源オブジェクト306、クロックオブジェクト30
7を示してある。通信オブジェクト305は、監視実行処理
103がカード通信中継処理105を実行するときに使用す
る。電源オブジェクト306は、監視プログラムが電源検
出装置107にアクセスするときに使用する。クロック
オブジェクト307は、クロック検出装置108にアクセ
スするときに使用する。監視プログラムオブジェクト
は、監視プログラムが生成したオブジェクトである。通
常、書き換え可能な不揮発メモリ上に格納され、生成し
た監視プログラムが削除されると、一緒に削除される。
ただし、監視プログラムのバーションアップの場合は、
そのまま残す場合が多い。図中では、例として試行回数
カウンターオブジェクト308と通信パターンオブジェク
ト309を示してある。試行回数カウンターオブジェクト3
08は、暗証番号の入力が一致しなかった回数を記録する
オブジェクトである。通信パターンオブジェクト309
は、不正な外部アクセスのパターンを記録したオブジェ
クトである。
【0009】図4は、電源検出装置107の構成を示してい
る。電源サンプル装置405は、電源サンプルタイマ404か
らの指示を受けて、電源の電圧値や電流値を取得する。
取得したデータは、即座に電源データ蓄積装置403に転
送される。電源サンプルタイマ404は、定期的に電源サ
ンプル装置405にデータ取得指示を出す。電源サンプル
タイマ404が指示を出す時間間隔は、固定にしても良い
し、監視実行処理103からの指示で設定できるようにし
ても良い。電源データ蓄積装置403は、電源サンプル装
置405から転送されてきたデータを蓄積し、ある程度ま
とまったところで、電源データ転送装置401に渡す。デ
ータを渡すタイミングは、データ転送タイマ402の指示
に従う。データ転送タイマ402が指示を出す時間間隔
は、固定にしても良いし、監視実行処理103からの指示
で設定できるようにしても良い。電源データ転送装置40
1は、電源データ蓄積装置403から受け取ったデータを、
監視実行処理103の受け付ける形式に変換して転送す
る。バイト列形式に変換すると、パターンマッチ処理で
電源データを検査することができる。
【0010】図5は、監視プログラム更新装置102の構成
を表している。監視プログラム更新制御装置501は、更
新処理の手順にしたがって各装置を起動し、更新処理全
体の流れを制御する。監視プログラム認証処理502は、
外部から転送されてきた監視プログラム104を調べて、
正当な監視プログラムであることを認証する。監視プロ
グラム認証処理502は、内部に認証鍵を格納したデータ
ベース503を持っており、認証鍵データベース503から適
切な鍵を選択して、その鍵を使って認証を行う。監視プ
ログラム書き込み装置504は、認証した監視プログラム
を、監視実行処理103内の監視プログラム格納領域304に
書き込む。監視プログラム削除装置505は、監視実行処
理103内の監視プログラム格納領域304から、不要になっ
た監視プログラムを削除し、メモリスペースを解放す
る。
【0011】図6は、監視プログラム104の構成を示して
いる。監視プログラムは、外部(サーバ112)からネッ
トワーク111を介してロード可能なので、監視プログラ
ムの中身はICカードによって異なる。ここでは監視プロ
グラムの一例を挙げ、監視プログラムの動作を説明す
る。例の監視プログラム104は、通信データ、電源変
動、クロック変動の3つの項目の監視を行い、不正なア
クセスを検出する。通信監視モジュール601は、カード
通信中継処理105から通信フレームを得て、外部から不
正なアクセスがないかどうか監視する。通信監視モジュ
ール内601には通信パターンマッチング処理部602があ
り、ここで通信フレームの検査を行う。通信パターンマ
ッチング部602は、内部に暗証番号データベース604と通
信パターンデータベース603を持っている。暗証番号デ
ータベース604内には、不正暗証番号リスト605と試行回
数カウンタ606がある。暗証番号データベース604は、暗
証番号フレームの検査に使用するデータベースで、暗証
番号以外のフレームは通信パターンデータベース603を
使用する。検査手順の詳細は後述する。電源監視モジュ
ール607は、電源の変動からアプリケーションの処理内
容を見抜かれることのないようにするため、電源の変動
を監視する。電源監視モジュール607内には、電流変動
監視処理608と電圧変動処理611がある。電流変動監視処
理608は、電流変動パターンデータベース603を参照しな
がら、電流の変動を監視し、適宜、電流変動均一化処理
610を起動する。電流変動均一化処理610は、無意味な処
理をアプリケーションと並行して動作させることで、消
費電流の変動パターンを変え、消費電流からアプリケー
ションの挙動を推測できないようにする。クロック監視
モジュール612は、クロック変動を監視し、極端に遅い
クロックが入力されたり、処理中にクロックが許容値以
上に変動した場合、不正アクセスが行われていると判断
し、対抗手段を実行する。対抗手段としては、アプリケ
ーションのブロック、カードのブロック、カードのリセ
ット等の処理がある。
【0012】図7は、監視プログラム104のフォーマット
を示している。先頭にはヘッダ701があり、プログラム
のバージョンや提供者の情報が書いてある。監視プログ
ラム認証署名情報702は、監視プログラムが正当なもの
であることを証明するための情報が入っている。通常、
監視プログラム提供者の秘密鍵で暗号化した署名が入っ
ている。監視プログラム仮想コード704は、監視実行処
理が実行するプログラムのコードを格納している。オブ
ジェクト初期化情報705は、監視プログラムを初期化す
る時に使用するデータを格納している。監視プログラム
属性情報703には、プログラムのサイズや使用する資源
等の情報が格納されている。
【0013】図8は、監視プログラム104を外部からロー
ドして更新する処理の手順を示している。ステップ801
で外部端末装置110との通信接続を確立する。ICカード
と物理的な通信を行うのは、ICカード端末装置110であ
る。論理的な通信相手は、ICカード端末である必要はな
く、PCやネットワーク111上のサーバ112であっても良
い。ステップ803で、外部端末装置から外部端末装置の
正当性を証明する署名を送ってもらう。ステップ804
で、認証鍵データベース503に格納してある鍵を使って
署名を認証する。署名が正しければステップ805に処理
を移す。署名が不正であれば、処理を終了するか、ICカ
ードをブロックする等の対抗手段を実行する。図中では
単純に処理を終了している。ステップ805で、監視プロ
グラムを格納したファイルを受信する。ステップ806
で、監視プログラムファイル中から署名702を取り出
し、認証鍵データベース503の鍵を使って認証する(ス
テップ808)。正当な署名であれば、ステップ809からス
テップ810に処理を移す。不正な署名であれば、処理を
終了するか、ICカードをブロックする等の対抗手段を実
行する。図中では単純に処理を終了している。ステップ
810で、監視プログラム書き込み装置504を起動し、監視
プログラムのロード処理を開始する。ステップ811で、
監視実行処理103内の監視プログラム格納領304域にアク
セスし、必要な領域を確保する。ステップ812で、確保
した領域に監視プログラム104を書き込む。この他に特
定の初期化処理が必要であればそれを実行する。
【0014】図9は、通信監視モジュール601の処理手順
を示している。ステップ901で、カード通信中継処理105
から、受信したフレームを取り出す。ステップ902で、
通信フレームを調べ、暗証番号フレームであれば、ステ
ップ903に処理を移し、そうでなければ、ステップ905に
処理を移す。ステップ903で、不正暗証番号リスト605と
受信した暗証番号を比較する。不正暗証番号リスト605
には、生年月日、電話番号、自動車登録番号のように、
暗証番号の推測に良く使われる番号を格納している。ス
テップ904の比較で、これらと一致したら、不正なユー
ザーが暗証番号を推測していると判断し、ステップ907
に処理を移す。ステップ907で、該当するアプリケーシ
ョンをブロックする、ICカードをブロックする、カード
をリセットする、又はアプリケーションを異常終了させ
る等の対抗手段を実行する。通信パターンデータベース
603には、不正アクセスで頻繁に利用されるバイト列を
格納してある。ステップ905で比較を行い、通信フレー
ム中にこれらのバイト列が含まれていたら、不正なアク
セスを受けている可能性が高いと判断し、ステップ906
からステップ907に処理を移し、対抗手段を実行する。
【0015】図10は、電源監視モジュール607の処理手
順を示している。ステップ1001で、電源検出装置107か
ら電源電流の変動パターンを取得する。ステップ1002
で、電源電流変動パターンデータベース609に登録され
ているパターンと比較する。ICカードシステムの消費電
流を詳細に調べることで、アプリケーションの挙動を推
測することができる。アプリケーションが不注意な処理
を行うと、推測の手掛かりとなるような電流変動パター
ンが表れてしまうことがある。そのようなパターンが表
れた場合は、ステップ1003からステップ1005に処理を移
し、対抗手段を実行する。ここでは、ステップ1005で、
電流変動均一化処理610を起動する。この他にアプリケ
ーションを異常終了させたり、アプリケーションをブロ
ックする等の対抗手段もある。電流変動均一化処理610
は、無意味な処理を行い消費電流を変えるルーチンであ
る。アプリケーションと並行して動作させることで、消
費電流の変動パターンを変え、消費電流からアプリケー
ションの挙動を推測できないようにする。一致するパタ
ーンがない場合は、ステップ1004に処理を移し、電流変
動均一処理610を停止する。電流変動均一化処理610は、
ICカードの処理速度を下げたり、ICカードの消費電流を
増やす副作用がある。危機が過ぎたら停止しても良い。
特にセキュリティが重視される場合は、アプリケーショ
ンが終了するまで動かしておく方が良い。さらに高度な
セキュリティを要求する場合は、常に起動しておくとい
う方法もある。
【0016】図11は、外部カード端末装置110の内部構
成を示している。端末装置110は、カード通信装置1101
とネットワーク通信装置1102を備え、それぞれICカード
及び外部ネットワークと通信を行う。これらの通信装置
は、端末制御装置1103により制御されている。また端末
制御装置1103は、カード識別処理部1104、監視プログラ
ム更新処理部1105、端末側アプリケーション1106を起動
及び制御する。カード識別処理部1104は、ICカードから
の応答を受け取り、ICカードの種別を認識する。ICカー
ドが監視プログラム更新機能を備えていると判断した場
合は、監視プログラム更新処理部1105に制御を移し、更
新処理を実行する。監視プログラム更新処理部1105は、
ICカードとサーバの間の通信を確立し、監視プログラム
の更新処理を行う。監視プログラム更新処理部1105自身
が直接更新処理を行う訳ではなく、ICカードとサーバの
間で実行される。監視プログラム更新処理部1105は、両
者間のデータ変換を行い通信セッションを確立する。端
末側アプリケーション1106は、カード側アプリケーショ
ンと連携して、アプリケーションを実行する。
【0017】図12は、外部カード端末装置110の処理手
順を示している。ステップ1201で、端末制御装置1103
は、ICカードが挿入されたことを認識すると、カード通
信装置1101を起動し、ICカードの初期化を行う。ステッ
プ1202で、端末制御装置1103は、カード通信装置1101を
経由してICカードからカード種別情報を取得し、カード
識別処理1104に転送する。ステップ1203で、カード識別
処理部1104は、転送されてきた種別情報を調べ、監視プ
ログラム更新機能を持ったICカードであるかどうか判断
する。監視プログラム更新機能を持っていなければステ
ップ1207に処理を移す。持っていればステップ1204に処
理を移し、監視プログラム更新処理部1105を起動する。
ステップ1204で、監視プログラム更新処理部1105は、端
末制御装置1103経由でネットワーク通信装置1102にアク
セスし、ネットワーク上の監視プログラム更新サーバ11
2を検索する。更新サーバ112が見つかったら接続を試み
る。ステップ1205で、サーバ112に接続できたらステッ
プ1206に処理を移し、接続できなかったらステップ1207
に処理を移す。ステップ1206で、ICカード内の監視プロ
グラム更新装置102を起動する。このときカード側が端
末の認証を求めてくることがある。その時は端末の署名
を送信し、ICカードに認証させる。ICカード側から要求
が無ければ何もしなくて良い。以後は主にICカードとサ
ーバの間で更新処理を進める。更新処理が終了したらス
テップ1207に処理を移す。ステップ1207は通常のICカー
ド処理である。ユーザの指定又はデフォルト設定により
適切なアプリケーションを起動し処理を行う。ここで示
した手順では、通常のアプリケーションの処理に先立っ
て自動的に監視プログラムの更新を行う。これによりユ
ーザに意識させることなく、監視プログラムを常に最新
版に維持することができる。この他に、ユーザの指示に
基づいて監視プログラム更新装置102を起動して更新処
理を実行させても良い。
【0018】図13は、外部監視プログラム更新サーバ11
2の構成を示している。更新サーバ112は、一般にネット
ワーク機能を持った汎用計算機上に構築する。データベ
ース処理や暗号処理向けに専用ハードウエアを付加して
も良い。ネットワーク通信装置1306は、ネットワークを
経由してICカード及び端末装置と通信を行う。監視プロ
グラム更新制御部1301は、監視プログラムの更新処理全
体を制御する。暗号化復号化処理1302は、監視プログラ
ムの署名付け、暗号化、及びバージョン情報(後述)の
復号化等の処理を行う。更新サーバ112は、処理に必要
なデータを保持するため、カード情報データベース130
3、監視プログラムデータベース1304、暗号鍵データベ
ース1305を持っている。カード情報データベース1303
は、カード種別、カード番号、OSのバージョン、監視プ
ログラム更新装置102のバージョン等の情報を保持して
いる。監視プログラムデータベース1304は、監視プログ
ラムのバージョン情報と監視プログラムそのものを格納
している。監視プログラムは索引付けされており、ICカ
ードに適した監視プログラムを迅速に取り出せるように
なっている。暗号鍵データベース1305は、監視プログラ
ムの署名付け暗号化、バージョン情報の復号化、ICカー
ドの認証等に使用する暗号鍵を格納している。
【0019】図14は、外部監視プログラム更新サーバ11
2の処理手順を示している。サーバー上の更新プロセス
は、通常、ICカード及び端末装置からの要求により処理
を開始する。ステップ1401で、要求してきたカードに対
してバージョン取得コマンドを送信する。バージョン取
得コマンドとは、ICカードに対して現在稼動している監
視プログラム104のバージョンの情報取得を要求するも
のである。このコマンドは暗号化して送信しても、平文
で送信しても良い。ステップ1402で、ICカードからバー
ジョン情報を受信する。監視プログラム104のバージョ
ン情報は、暗号化して更新サーバー112に送信される。
監視プログラム104のバージョンが判ってしまうと、不
正を行う者に情報を与えてしまうことになる。暗号化す
ることで監視プログラムのバージョンが漏洩することを
防ぐ。ステップ1403で、カード情報データベース1303と
暗号鍵データベース1305を参照して、適切な暗号鍵を選
び出し、バージョン情報を復号化する。ステップ1404
で、監視プログラムデータベース1304を参照し、ICカー
ド上の監視プログラム104が最新版であるかどうか検査
する。最新版であれば処理を終了する。最新版でなけれ
ばステップ1405に処理を移す。ステップ1405で、ICカー
ドが正当なものであることを確認するため、認証要求を
送信する。ステップ1406で、ICカードから返送されてき
た署名を認証する。なお、認証署名は、ステップ1402の
バージョン情報と一緒に送っても良い。この場合、ステ
ップ1405とステップ1406は、ステップ1403の処理に統合
される。その結果、ICカードとサーバの通信回数が減る
ので、多少効率が良くなる。ステップ1407で、カード情
報データベース1303と暗号鍵データベース1304を参照し
て、ICカードに適した暗号鍵を選択する。監視プログラ
ムの更新に使用する暗号鍵は、アプリケーションの更新
に使用する鍵とは別の鍵を使用する。通常、アプリケー
ションの更新鍵より長い鍵を使用し、監視プログラムが
不正に更新されないように保護する。アプリケーション
の更新よりも機密度の高い暗号アルゴリズムを用いても
良い。ステップ1408で、監視プログラムデータベース13
04から最新版の監視プログラムを取り出し、先に選択し
た暗号鍵で署名及び暗号化する。監視プログラム全体を
暗号化する代りに、ICカード上の監視プログラム同一バ
ージョンの監視プログラムと最新版の監視プログラムと
の差分を取って暗号化しても良い。ICカードには差分の
みを送信し、ICカード内で最新版の監視プログラムを再
構成する。これにより通信量を削減することができる。
最後にステップ1408で、暗号化した監視プログラムをIC
カードに送信する。
【0020】
【発明の効果】本発明によれば、監視プログラムを、新
手の不正アクセスを検出可能な最新版に更新すること
で、不正アクセスを検出しICカードを保護することがで
きる。
【図面の簡単な説明】
【図1】カード監視システムの全体構成である。
【図2】カード関しシステムのチップ上の配置である。
【図3】監視実行処理の構成である。
【図4】電源検出装置の構成である。
【図5】監視プログラム更新装置の構成である。
【図6】監視プログラムの構成の例である。
【図7】監視プログラムのファイル形式である。
【図8】監視プログラムのロード手順である。
【図9】カード通信の監視手順である。
【図10】カード電源の監視手順である。
【図11】外部端末装置の構成である。
【図12】外部端末装置の処理手順である。
【図13】外部監視プログラム更新サーバの構成であ
る。
【図14】外部監視プログラム更新サーバの処理手順で
ある。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 前岡 淳 神奈川県川崎市麻生区王禅寺1099番地 株 式会社日立製作所システム開発研究所内 Fターム(参考) 5B017 AA08 BA08 CA14 5B035 AA13 BB09 CA38 5B058 CA27 KA31

Claims (15)

    【特許請求の範囲】
  1. 【請求項1】ICカードシステムにおいて、外部からの不
    正なアクセスを監視するプログラムを書き換え可能なメ
    モリ上に配置し、監視方法の変更に応じて前記プログラ
    ムを書き換えることを特徴とするカード監視方法。
  2. 【請求項2】請求項1記載のICカードシステムにおい
    て、カードの監視を実行する仮想計算機とカード監視プ
    ログラムを更新する装置を備え、安全に監視プログラム
    の更新及び実行することを特徴とするカード監視方法。
  3. 【請求項3】請求項2記載の方法において、すべてのア
    プリケーションに対する通信を監視することを特徴とす
    るカード監視方法。
  4. 【請求項4】請求項2記載の方法において、不正なアク
    セスを監視するプログラム内に不正暗証番号として頻繁
    に利用される数字を格納しておき、外部端末より入力さ
    れた暗証番号として比較することにより、不正なアクセ
    スを検出することを特徴とするカード監視方法。
  5. 【請求項5】請求項4記載の方法において、ユーザに固
    有な数字を不正暗証番号リストとして利用することを特
    徴とするカード監視方法。
  6. 【請求項6】請求項4記載の方法において、カード所有
    者の個人情報に含まれる数字の一部又は全部を不正暗証
    番号リストとして利用することを特徴とするカード監視
    方法。
  7. 【請求項7】請求項2記載の方法において、カードシス
    テムの消費電流又は消費電力を調べ、システムの動作を
    推定しうる変動パターンが現れていないか監視し、現れ
    た場合は対抗手段を実行することを特徴とするカード監
    視方法。
  8. 【請求項8】請求項7記載の方法において、システムの
    動作を推定しうる変動パターンが表れた場合、動作中の
    アプリケーションの処理を強制的に中断することを特徴
    とするカード監視方法。
  9. 【請求項9】請求項8記載の方法において、動作中のア
    プリケーションの処理を強制的に中断させた後、当該ア
    プリケーションを使用不能に設定することを特徴とする
    カード監視方法。
  10. 【請求項10】請求項7記載の方法において、システム
    の動作を推定しうる変動パターンが表れた場合、無意味
    な処理を行い消費電力及び消費電流を均一化する処理を
    起動することにより、システムの挙動を隠蔽することを
    特徴とするカード監視方法。
  11. 【請求項11】請求項3記載の方法において、不正アク
    セスに頻繁に利用されるバイト列を格納しておき、通信
    データ中に当該バイト列が表れた場合、対抗手段を実行
    することを特徴とするカード監視方法。
  12. 【請求項12】請求項1記載の方法において、アプリケ
    ーションの更新処理と監視プログラムの更新処理を分離
    し、監視プログラムの更新処理においては、アプリケー
    ションの更新処理よりも長い鍵又は強度の高い暗号アル
    ゴリズムを用いることを特徴とするカード監視方法。
  13. 【請求項13】請求項1記載の方法において、監視プロ
    グラム更新時に、ICカード上に存在する監視プログラム
    と最新版監視プログラムの差分のみをカードに送信する
    ことを特徴とするカード監視方法。
  14. 【請求項14】請求項1記載の方法において、ICカード
    からサーバに、監視プログラムのバージョン情報を暗号
    化して送信することを特徴とするカード監視方法。
  15. 【請求項15】請求項1記載の方法において、ICカード
    の起動時に、通常のアプリケーションの処理に先立っ
    て、監視プログラムの更新処理を行うことを特徴とする
    カード監視方法。
JP29625599A 1999-10-19 1999-10-19 カード監視方法 Pending JP2001118042A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP29625599A JP2001118042A (ja) 1999-10-19 1999-10-19 カード監視方法
EP00117805A EP1094423A3 (en) 1999-10-19 2000-08-18 Card observing method
AU53581/00A AU738426B2 (en) 1999-10-19 2000-08-23 A card observing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP29625599A JP2001118042A (ja) 1999-10-19 1999-10-19 カード監視方法

Publications (1)

Publication Number Publication Date
JP2001118042A true JP2001118042A (ja) 2001-04-27

Family

ID=17831213

Family Applications (1)

Application Number Title Priority Date Filing Date
JP29625599A Pending JP2001118042A (ja) 1999-10-19 1999-10-19 カード監視方法

Country Status (3)

Country Link
EP (1) EP1094423A3 (ja)
JP (1) JP2001118042A (ja)
AU (1) AU738426B2 (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003036419A (ja) * 2001-07-24 2003-02-07 Dainippon Printing Co Ltd マルチアプリケーションicカード
JP2005509971A (ja) * 2001-11-16 2005-04-14 インターナショナル・ビジネス・マシーンズ・コーポレーション データ管理システムおよび方法
US7232061B2 (en) 2003-07-31 2007-06-19 Matsushita Electric Industrial Co., Ltd. Portable device, IC module, IC card, and method for using services
JP2007206902A (ja) * 2006-01-31 2007-08-16 Dainippon Printing Co Ltd Icカードのプログラム修正システム、プログラム、及びicカード
JP2007280154A (ja) * 2006-04-10 2007-10-25 Hitachi Ltd 認証機能付き情報処理システム
JP2010250364A (ja) * 2009-04-10 2010-11-04 Dainippon Printing Co Ltd Icチップ及びデータ保護方法等
JP2013138508A (ja) * 2007-06-22 2013-07-11 Kt Corp Otaサービスを提供するためのシステムおよびその方法
JP2017097727A (ja) * 2015-11-26 2017-06-01 Jr東日本メカトロニクス株式会社 読書装置、システム、情報処理方法及びプログラム

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0511599D0 (en) * 2005-06-07 2005-07-13 Ecebs Group Ltd ITSO FCV2 application monitor
EP2437195A1 (en) * 2010-09-10 2012-04-04 Gemalto SA Method of analyzing the behavior of a secure electronic token
DE102016007139A1 (de) * 2016-06-10 2017-12-14 Giesecke+Devrient Mobile Security Gmbh Speicherverwaltung eines Sicherheitsmoduls

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0250786A (ja) * 1988-08-12 1990-02-20 Hitachi Maxell Ltd Icカード及びそのプログラム書換え方式
JPH02199561A (ja) * 1988-11-10 1990-08-07 Sgs Thomson Microelectron Sa 許可を得ていない保護データ検出に対する安全装置
JPH05120501A (ja) * 1991-10-24 1993-05-18 Mitsubishi Electric Corp Icカード及びicカード製造方法
JPH08179942A (ja) * 1994-12-27 1996-07-12 Hitachi Ltd 免疫ic,およびそれを用いた免疫icカードとコンピュータ
JPH08214278A (ja) * 1994-10-03 1996-08-20 News Datacom Ltd 安全アクセス・システム及びcatvシステム
JPH09193577A (ja) * 1996-01-12 1997-07-29 N T T Data Tsushin Kk Icカード、情報処理端末、および情報通信システム
JPH09223075A (ja) * 1996-02-19 1997-08-26 Nec Corp Pcカード
JPH09311917A (ja) * 1996-05-22 1997-12-02 Hitachi Ltd 本人確認方法およびそれを用いたicカードシステム
JPH10124457A (ja) * 1996-10-25 1998-05-15 Hitachi Ltd ユーザ認証方法
JPH10340254A (ja) * 1997-04-11 1998-12-22 Hitachi Ltd 不正利用検出可能ネットワークシステム
JP2002508549A (ja) * 1998-03-20 2002-03-19 ジェムプリュス マイクロプロセッサ式カード内で実行済作業をマスキングするための装置

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS60207957A (ja) * 1984-03-31 1985-10-19 Toshiba Corp デ−タ保護方式
JPH0734215B2 (ja) * 1985-02-27 1995-04-12 株式会社日立製作所 Icカ−ド
JPH0654507B2 (ja) 1986-02-18 1994-07-20 株式会社東芝 携帯可能電子装置
JPS62280965A (ja) 1986-05-30 1987-12-05 Hitachi Ltd Icカ−ドの情報保護方式
US5202923A (en) * 1989-11-30 1993-04-13 Kabushiki Kaisha Toshiba Portable electronic device capable of registering subprograms
CA2037857C (en) * 1990-03-20 2001-01-16 Roy Allen Griffin, Iii Prevention of determination of time of execution of predetermined data processing routine in relation to occurrence of prior observable external event
JP3016490B2 (ja) * 1990-09-28 2000-03-06 富士写真フイルム株式会社 Icメモリカード
FR2668274B1 (fr) * 1990-10-19 1992-12-31 Gemplus Card Int Circuit integre a securite d'acces amelioree.
JPH08138017A (ja) * 1994-11-10 1996-05-31 Dainippon Printing Co Ltd Icカード
DE19626339A1 (de) * 1996-07-01 1998-01-08 Ibm Sicheres Laden von Anwendungen und Daten auf Chipkarten
FR2784763B1 (fr) * 1998-10-16 2001-10-19 Gemplus Card Int Composant electronique et procede pour masquer l'execution d'instructions ou la manipulation de donnees

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0250786A (ja) * 1988-08-12 1990-02-20 Hitachi Maxell Ltd Icカード及びそのプログラム書換え方式
JPH02199561A (ja) * 1988-11-10 1990-08-07 Sgs Thomson Microelectron Sa 許可を得ていない保護データ検出に対する安全装置
JPH05120501A (ja) * 1991-10-24 1993-05-18 Mitsubishi Electric Corp Icカード及びicカード製造方法
JPH08214278A (ja) * 1994-10-03 1996-08-20 News Datacom Ltd 安全アクセス・システム及びcatvシステム
JPH08179942A (ja) * 1994-12-27 1996-07-12 Hitachi Ltd 免疫ic,およびそれを用いた免疫icカードとコンピュータ
JPH09193577A (ja) * 1996-01-12 1997-07-29 N T T Data Tsushin Kk Icカード、情報処理端末、および情報通信システム
JPH09223075A (ja) * 1996-02-19 1997-08-26 Nec Corp Pcカード
JPH09311917A (ja) * 1996-05-22 1997-12-02 Hitachi Ltd 本人確認方法およびそれを用いたicカードシステム
JPH10124457A (ja) * 1996-10-25 1998-05-15 Hitachi Ltd ユーザ認証方法
JPH10340254A (ja) * 1997-04-11 1998-12-22 Hitachi Ltd 不正利用検出可能ネットワークシステム
JP2002508549A (ja) * 1998-03-20 2002-03-19 ジェムプリュス マイクロプロセッサ式カード内で実行済作業をマスキングするための装置

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003036419A (ja) * 2001-07-24 2003-02-07 Dainippon Printing Co Ltd マルチアプリケーションicカード
JP2005509971A (ja) * 2001-11-16 2005-04-14 インターナショナル・ビジネス・マシーンズ・コーポレーション データ管理システムおよび方法
US7370366B2 (en) 2001-11-16 2008-05-06 International Business Machines Corporation Data management system and method
US7818581B2 (en) 2001-11-16 2010-10-19 International Business Machines Corporation Data management system
US7232061B2 (en) 2003-07-31 2007-06-19 Matsushita Electric Industrial Co., Ltd. Portable device, IC module, IC card, and method for using services
JP2007206902A (ja) * 2006-01-31 2007-08-16 Dainippon Printing Co Ltd Icカードのプログラム修正システム、プログラム、及びicカード
JP2007280154A (ja) * 2006-04-10 2007-10-25 Hitachi Ltd 認証機能付き情報処理システム
JP2013138508A (ja) * 2007-06-22 2013-07-11 Kt Corp Otaサービスを提供するためのシステムおよびその方法
US9325668B2 (en) 2007-06-22 2016-04-26 Kt Corporation System for supporting over-the-air service and method thereof
JP2010250364A (ja) * 2009-04-10 2010-11-04 Dainippon Printing Co Ltd Icチップ及びデータ保護方法等
JP2017097727A (ja) * 2015-11-26 2017-06-01 Jr東日本メカトロニクス株式会社 読書装置、システム、情報処理方法及びプログラム

Also Published As

Publication number Publication date
EP1094423A3 (en) 2004-01-07
AU738426B2 (en) 2001-09-20
EP1094423A2 (en) 2001-04-25
AU5358100A (en) 2001-04-26

Similar Documents

Publication Publication Date Title
US8572392B2 (en) Access authentication method, information processing unit, and computer product
US7010684B2 (en) Method and apparatus for authenticating an open system application to a portable IC device
US9047486B2 (en) Method for virtualizing a personal working environment and device for the same
US6223284B1 (en) Method and apparatus for remote ROM flashing and security management for a computer system
RU2295834C2 (ru) Инициализация, поддержание, обновление и восстановление защищенного режима работы интегрированной системы, использующей средство управления доступом к данным
JP4982825B2 (ja) コンピュータおよび共有パスワードの管理方法
US8108941B2 (en) Processor, memory, computer system, system LSI, and method of authentication
US20020083318A1 (en) Method and system for software integrity control using secure hardware assist
US20060036851A1 (en) Method and apparatus for authenticating an open system application to a portable IC device
JP2007004522A (ja) 記憶装置
US9262631B2 (en) Embedded device and control method thereof
JP2001118042A (ja) カード監視方法
CN106657551A (zh) 一种防止移动终端解锁的方法及***
JP4724107B2 (ja) リムーバブル・デバイスを用いたユーザの認証方法およびコンピュータ
JP2004070828A (ja) 電子機器及びその不正使用防止方法並びにその不正使用防止プログラム
CN111709054A (zh) 隐私空间信息访问控制方法、装置和计算机设备
WO2017163204A1 (en) A memory management system and method
US9298533B2 (en) Portable data carrier having operating error counter
JPH10301854A (ja) チップ・カードおよびその上に情報をインポートする方法
JP4760124B2 (ja) 認証装置、登録装置、登録方法及び認証方法
CN103105783A (zh) 嵌入式元件与控制方法
JP5460133B2 (ja) マイクロコントローラ装置
JP2010160765A (ja) システムlsi及びこのデバッグ方法
JPH07200756A (ja) 可搬型データ担体処理システム
JPH11272563A (ja) 情報処理装置のセキュリティシステム、及び情報処理装置に於けるセキュリティ方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050531

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050614

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050802

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060307