JP2003216585A - Authentication application, management application, authentication request application and ic card - Google Patents
Authentication application, management application, authentication request application and ic cardInfo
- Publication number
- JP2003216585A JP2003216585A JP2002009383A JP2002009383A JP2003216585A JP 2003216585 A JP2003216585 A JP 2003216585A JP 2002009383 A JP2002009383 A JP 2002009383A JP 2002009383 A JP2002009383 A JP 2002009383A JP 2003216585 A JP2003216585 A JP 2003216585A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- application
- card
- cpu
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、JavaCard
(「JAVA」は登録商標)等、共有関係にある複数の
アプリケーションを搭載可能であって、本人認証の処理
を行うICカードと、このICカードに搭載され、本人
認証の処理を行うための認証アプリケーション、本人認
証の処理を管理するための管理アプリケーション及び本
人認証が行われていることを主機能の実行要件とする要
認証アプリケーションとに関するものである。TECHNICAL FIELD The present invention relates to a JavaCard.
(“JAVA” is a registered trademark), etc., a plurality of applications having a shared relationship can be installed, and an IC card for performing personal authentication processing, and an authentication for being mounted on this IC card and performing personal authentication processing The present invention relates to an application, a management application for managing the process of personal authentication, and an authentication-required application having a main function execution requirement that personal authentication is performed.
【0002】[0002]
【従来の技術】従来から、ICカード(ICカードと
は、ISO等の標準規格のサイズに準拠したICカー
ド、SIMカードに限られず、また、外形形状、厚さに
かかわらず、ポケットに入れられる程度のサイズを有す
るポケット型で携帯可能な情報端末をいう。)は、アプ
リケーションの一部として認証機能を備え、このカード
を使用する使用者がカードを正当に使用できる名義人で
あることを確認する本人認証に利用されている。例え
ば、その一部がPIN認証機能であるキャッシュアプリ
ケーションを備えるICカードを利用して、銀行のAT
Mで最初に暗証番号であるPINを入力し、本人認証を
行った後に取引を行っている。また、高度なセキュリテ
ィレベルが要求される場面では、ICカードを利用した
指紋や声紋、虹彩、筆跡等バイオメトリクス技術を利用
した各種の本人認証が行われている。2. Description of the Related Art Conventionally, an IC card (an IC card is not limited to an IC card or a SIM card conforming to the size of a standard such as ISO, etc., and can be put in a pocket regardless of its outer shape and thickness. It is a pocket-sized portable information terminal that is about the same size.) Is equipped with an authentication function as part of the application, and it is confirmed that the user who uses this card is a holder who can use the card legally. It is used for personal authentication. For example, by using an IC card equipped with a cash application, a part of which is a PIN authentication function, a bank AT
First, in PIN M, which is a personal identification number, is entered, and after authenticating the individual, a transaction is carried out. In addition, in situations where a high security level is required, various types of personal authentication using biometrics technology such as fingerprints, voiceprints, iris, and handwriting using IC cards are performed.
【0003】図11は、従来のICカードの処理を説明
するフローチャートである。S500において、ICカ
ードは、外部装置と通信可能な環境に設置される。IC
カードは、外部装置から電力、クロック等の供給を受
け、OSを起動し、メモリチェック等、カードの初期化
を行う。ICカード1は、自己診断処理及び通信条件等
を含む初期応答情報(ATR)の外部装置への送信を行
う(S501)。FIG. 11 is a flow chart for explaining the processing of a conventional IC card. In S500, the IC card is installed in an environment capable of communicating with an external device. IC
The card receives power, clock, etc. supplied from an external device, boots the OS, and initializes the card such as memory check. The IC card 1 transmits initial response information (ATR) including self-diagnosis processing and communication conditions to an external device (S501).
【0004】S502において、ICカードは、受信待
ちの状態となる。コマンドを外部装置から受信した場合
には、ICカードは、このコマンドに対応するアプリケ
ーションを選択し(S503,S504)、このアプリ
ケーションの関数を呼び出して処理を行う(S50
5)。ICカードは、処理結果をレスポンスとして外部
装置へ送信し(S506)、再び受信待ちの状態となる
(S502)。ICカードは、外部装置と通信可能な環
境から外れるまで同様の処理を繰り返す。At step S502, the IC card is in a reception waiting state. When the command is received from the external device, the IC card selects the application corresponding to this command (S503, S504) and calls the function of this application to perform processing (S50).
5). The IC card transmits the processing result as a response to the external device (S506) and waits for reception again (S502). The IC card repeats the same processing until it leaves the environment in which it can communicate with the external device.
【0005】このICカードを利用した本人認証には、
以下のような方式がある。
(1)名義人を識別するための名義人識別情報であるP
INデータや、バイオメトリクスデータ(指紋や声紋デ
ータの全て、または特徴のみ)をICカード内に格納
し、外部端末側がこれを読み出し、入力された使用者識
別情報と照合する。名義人識別情報及び使用者識別情報
が一致したらICカード内のアプリケーションに対して
認証成功のコマンドを送る。
(2)外部端末側から使用者識別情報であるPINデー
タやバイオメトリクスデータをICカード内の認証機能
を備えるアプリケーションに送信、アプリケーションの
認証機能は、アプリケーション内(またはそのアプリケ
ーションがアクセスできる領域)に記録されていた名義
人識別情報と照合し、一致すれば認証成功とする。
(3)ICカード上に認証入力装置(PIN入力キーボ
ードや指紋入力装置等のバイオメトリクス装置等)がつ
いており、そこからカード内の認証アプリケーションに
使用者識別情報が送られ、アプリケーション内(または
そのアプリケーションがアクセスできる領域)に記録さ
れていた名義人識別情報と照合する。[0005] For personal identification using this IC card,
There are the following methods. (1) P, which is the holder identification information for identifying the holder
IN data and biometrics data (all or only features of fingerprints and voiceprint data) are stored in the IC card, and the external terminal side reads this and compares it with the input user identification information. If the holder identification information and the user identification information match, an authentication success command is sent to the application in the IC card. (2) The PIN data or biometrics data, which is the user identification information, is sent from the external terminal side to the application having the authentication function in the IC card, and the authentication function of the application is stored in the application (or in the area accessible by the application). The recorded identification information of the holder is collated, and if they match, the authentication is successful. (3) An authentication input device (such as a PIN input keyboard or a biometrics device such as a fingerprint input device) is provided on the IC card, from which user identification information is sent to the authentication application in the card, and the application (or its Match the holder identification information recorded in the application accessible area).
【0006】上記3つの方式のうち、名義人識別情報が
ICカードから外部に流出しないことから、(2)、
(3)が(1)よりも望ましく、本人の身体的な特徴を
含むバイオメトリクスデータに基づく認証の場合にはな
おさらである。なお、運用上(1)の場合でも端末との
通信にはセキュアメッセージングと呼ばれる暗号通信を
用いることが多いと思われるが、より確実な安全性のた
めに(2)、(3)が望ましい。Of the above three methods, since the holder identification information does not leak out from the IC card, (2),
(3) is preferable to (1), and even more so in the case of authentication based on biometrics data including the physical characteristics of the person. In operation (1), it seems that encrypted communication called secure messaging is often used for communication with the terminal, but (2) and (3) are preferable for more reliable security.
【0007】従って、安全性を保持する観点から、名義
人識別情報及び使用者識別情報を照合する本人認証手段
を備えたアプリケーションをICカードに搭載すること
が要請されている。また、バイオメトリクス等による本
人認証の多様化、ICカードに格納されるアプリケーシ
ョンの多様化が進み、利便性の高いICカードが要請さ
れる現状においては、ICカードは、セキュリティレベ
ルに対応した各種の本人認証機能を備えることが必要と
されている。[0007] Therefore, from the viewpoint of maintaining security, it is required to mount an application equipped with a personal authentication means for collating the holder identification information and the user identification information on the IC card. Further, in the present situation where a highly convenient IC card is required due to the diversification of personal authentication due to biometrics and the like and the diversification of applications stored in the IC card, the IC card can be used in various types corresponding to security levels. It is required to have a personal authentication function.
【0008】[0008]
【発明が解決しようとする課題】しかし、図12(a)
に示すように、種々の外部端末の設定に対応する各種認
証機能を備えるアプリケーション531−5,532−
5,533−5は、サイズが大きくなってICカードに
搭載する上で現実的ではない。この課題を解決するため
に、アプリケーションに含まれるオブジェクト、関数等
を複数のアプリケーションで共有するICカードがあ
る。このICカードを以下に示す。However, as shown in FIG. 12 (a).
As shown in FIG. 5, applications 531-5, 532 having various authentication functions corresponding to settings of various external terminals are provided.
The size of 5,533-5 is too large to be mounted on an IC card, which is not practical. In order to solve this problem, there is an IC card in which objects, functions, etc. included in an application are shared by a plurality of applications. This IC card is shown below.
【0009】例えば、サンマイクロシステムズ社のJa
vaCardは、各アプリケーションを管理している実
行環境(JavaCardの場合はJCRE:Java
Card Runtime Environment
と呼ばれる。)を介して特定のオブジェクトを他のアプ
リケーションに提供することが可能である(以下、オブ
ジェクトを提供するアプリケーションを「サーバアプ
リ」、提供を受けるアプリケーションを「クライアント
アプリ」と言う。)。一方、実行環境によって、各アプ
リケーションは、互いに直接アクセスできず、クライア
ントアプリがサーバアプリのオブジェクトを直接呼び出
そうとしてもエラーとなる(ファイアウォール)。な
お、オブジェクトとは、機能とデータをひとまとめとし
たモジュールであって、例えば、ポイント残高データ
と、ポイント加算機能と、ポイント使用機能とをまとめ
て、ポイントオブジェクトとして実装する。For example, Ja of Sun Microsystems, Inc.
vaCard is an execution environment that manages each application (JCRE: Java in the case of JavaCard).
Card Runtime Environment
Called. ), It is possible to provide a specific object to another application (hereinafter, the application that provides the object is referred to as a “server application”, and the application that is provided is referred to as a “client application”). On the other hand, depending on the execution environment, the applications cannot directly access each other, and an error occurs even if the client application tries to directly call the object of the server application (firewall). The object is a module in which functions and data are integrated, and for example, the point balance data, the point addition function, and the point use function are integrated and implemented as a point object.
【0010】また、JavaCardでは、アプリケー
ションを搭載する場合に、予め共有アクセスを要求する
と予測されるクライアントアプリのユニークなID(以
下、「AID」という。)と認証のためのパラメータ
(PIN等)を対象となるサーバアプリケーションにデ
ータとして与えておき、サーバアプリはこのデータによ
ってクライアントが正当なアプリケーションかどうかを
確認することが可能である(セキュリティ上問題ない場
合は無制限にアクセスを許してもよい)。Further, in JavaCard, when an application is installed, a unique ID (hereinafter referred to as "AID") of a client application predicted to request shared access in advance and a parameter (PIN or the like) for authentication are provided. The data can be given to the target server application as data, and the server application can confirm whether or not the client is a legitimate application based on this data (unlimited access may be permitted if there is no security problem).
【0011】しかし、AIDがわからないため、予測し
ていなかったクライアントアプリケーションの追加に対
応できない。この課題を解決するために、本出願人は、
「共有アクセス管理機能を備えた携帯可能情報処理装
置」(ICカード)(特願2000−268676)を
提案している。However, since the AID is not known, it is impossible to cope with the unexpected addition of a client application. In order to solve this problem, the present applicant has
A "portable information processing device having a shared access management function" (IC card) (Japanese Patent Application No. 2000-268676) is proposed.
【0012】共有アクセス管理機能を備えた携帯可能情
報処理装置に搭載されている各アプリケーションは、ど
のクライアントに対しどのような許可を与えるかを判断
するための共有管理情報を持っている。この管理情報は
追加、削除、更新ができるため、カード発行時に想定し
ていなかったアプリケーションの追加や削除に対しても
正しくアクセスの許可/不許可を管理でき、機能やデー
タをアクセス可能/不可能にすることができる。Each application installed in the portable information processing device having the shared access management function has shared management information for judging what kind of permission is given to which client. Since this management information can be added, deleted, and updated, it is possible to correctly manage the permission / non-permission of access even for the addition / deletion of applications that were not expected at the time of card issuance, and it is possible to access / disable the functions and data. Can be
【0013】しかし、クライアントアプリからまた別の
クライアントアプリへアクセスを公開されてしまうと制
御できない。また、サーバアプリとクライアント間のア
クセス管理はできるが、いったんオブジェクトを手にい
れたクライアントアプリが、勝手にそのオブジェクトを
別のアプリケーションに公開してしまったら管理できな
いという問題があった。この課題を解決するために、本
出願人は、「ICカードプログラム及びICカード」
(特願2001−397304)を提案している。この
ICカードは、JavaCard等複数のアプリケーシ
ョンを搭載可能であって、オブジェクトを他のアプリケ
ーションから利用できるようにする場合に、その回数や
提供範囲を限定する機能を持ったアプリケーション(無
制限にコピーされないようにする)を備えている。However, if the access from a client application is made public to another client application, it cannot be controlled. In addition, although the access between the server application and the client can be managed, there is a problem that the client application that once obtains the object cannot manage it if the object is arbitrarily disclosed to another application. In order to solve this problem, the present applicant has proposed “IC card program and IC card”.
(Japanese Patent Application No. 2001-397304) is proposed. This IC card can be loaded with a plurality of applications such as JavaCard, and when an object can be used by other applications, an application having a function of limiting the number of times and the range of provision (not to be copied indefinitely It is equipped with.
【0014】図12(b)に示すように、各種認証機能
が振り分けられたオブジェクトを複数のアプリケーショ
ン531−6,532−6,533−6で共有すること
によって、ICカードは、セキュリティレベルに対応し
た各種の本人認証機能を備えることが可能である。As shown in FIG. 12B, the IC card corresponds to the security level by sharing the object to which the various authentication functions are distributed among a plurality of applications 531-6, 532-6, 533-6. It is possible to provide various personal authentication functions described above.
【0015】しかし、外部端末が認証結果を要求する場
合には、ICカードは、(1)認証機能を備えるアプリ
ケーションを選択し、(2)このアプリケーション内の
認証結果を示すフラグをチェックするという処理を繰り
返さなければならず、処理効率が悪い。また、本人認証
は、一連の処理の開始時に行うことが多いため、迅速な
処理が特に要請される。更に、複数の認証機能をそれぞ
れアプリケーションに振り分け、整合をとらなければな
らず、アプリケーションの設計に制約がかかるととも
に、汎用性に欠ける可能性がある。However, when the external terminal requests the authentication result, the IC card (1) selects an application having an authentication function and (2) checks the flag indicating the authentication result in this application. Must be repeated, resulting in poor processing efficiency. In addition, since personal authentication is often performed at the start of a series of processes, rapid processing is particularly required. Furthermore, it is necessary to distribute a plurality of authentication functions to each application so as to match them, which imposes restrictions on the application design and may lack versatility.
【0016】本発明の課題は、汎用性、利便性及び認証
の処理効率の向上を図ることが可能な認証アプリケーシ
ョン、管理アプリケーション、要認証アプリケーション
及びICカードを提供することである。An object of the present invention is to provide an authentication application, a management application, an authentication required application, and an IC card which can improve versatility, convenience and authentication processing efficiency.
【0017】[0017]
【課題を解決するための手段】本発明は、以下のような
解決手段により、前記課題を解決する。なお、理解を容
易にするために、本発明の実施形態に対応する符号を付
して説明するが、これに限定されるものではない。すな
わち、請求項1の発明は、複数のアプリケーションを搭
載可能なICカード(1,1−2,1−3)に搭載さ
れ、本人認証を行うためにCPU(20,20−2)を
実行させる認証アプリケーションであって、他のアプリ
ケーション(53,53−2,53−3)等の外部から
アクセスされた場合(S111)にのみ、使用者識別情
報に基づいて使用者が名義人であるか否かを判定し、肯
の場合に本人認証を行う判定認証手順(S112,S2
02)を備えること、を特徴とする認証アプリケーショ
ン(52,52−2)である。The present invention solves the above-mentioned problems by the following means for solving the problems. It should be noted that, for ease of understanding, reference numerals corresponding to the embodiments of the present invention will be given and described, but the present invention is not limited thereto. That is, the invention of claim 1 is mounted on an IC card (1, 1-2, 1-3) capable of mounting a plurality of applications, and causes the CPU (20, 20-2) to execute to perform personal authentication. Whether or not the user is a holder based on the user identification information only when the application is an authentication application and is accessed from the outside by another application (53, 53-2, 53-3) (S111). The determination authentication procedure (S112, S2)
02) is included in the authentication application (52, 52-2).
【0018】請求項2の発明は、請求項1に記載の認証
アプリケーションにおいて、前記判定認証手順における
結果である認証結果を記憶する認証結果記憶手順(S2
03)を備えること、を特徴とする認証アプリケーショ
ン(52−2)である。According to a second aspect of the present invention, in the authentication application according to the first aspect, an authentication result storage procedure (S2) for storing an authentication result which is a result of the determination authentication procedure.
03) is included in the authentication application (52-2).
【0019】請求項3の発明は、請求項1又は請求項2
に記載の認証アプリケーションにおいて、前記ICカー
ドに搭載されている他の一のアプリケーション(51,
51−3)へアクセスし、前記判定認証手順における結
果である認証結果を前記一のアプリケーション内で記憶
するアクセス認証結果記憶手順(S121)を備えるこ
と、を特徴とする認証アプリケーション(52)であ
る。The invention according to claim 3 is claim 1 or claim 2.
In the authentication application described in (1), another application (51,
51-3), and an access authentication result storing procedure (S121) for storing the authentication result, which is the result of the determination authentication procedure, in the one application, the authentication application (52). .
【0020】請求項4の発明は、CPU(20)と、そ
れぞれ異なる複数の種類の使用者識別情報に基づいて使
用者が名義人であるか否かを判定し、肯の場合に本人認
証を行う判定認証手順(S112)を前記CPUに実行
させる複数の認証アプリケーション(52)を記憶する
認証アプリケーション記憶手段(50,50−3)とを
備えるICカード(1,1−3)に搭載され、本人認証
を管理するために前記CPUを実行させる管理アプリケ
ーションであって、認証選択要求があった場合に、この
認証選択要求に応じて前記CPUが実行すべき前記認証
アプリケーションを選択する認証選択手順(S102,
S103)を備えること、を特徴とする管理アプリケー
ション(51,51−3)である。According to a fourth aspect of the present invention, it is determined whether or not the user is a holder based on the CPU (20) and a plurality of different types of user identification information. It is mounted on an IC card (1, 1-3) equipped with an authentication application storage means (50, 50-3) for storing a plurality of authentication applications (52) for causing the CPU to execute the determination authentication procedure (S112) to be performed, A management application that causes the CPU to execute to manage personal authentication, and when an authentication selection request is made, an authentication selection procedure for selecting the authentication application to be executed by the CPU in response to the authentication selection request ( S102,
S103) is included in the management application (51, 51-3).
【0021】請求項5の発明は、請求項4に記載の管理
アプリケーションにおいて、前記判定認証手順における
結果である認証結果を記憶する認証結果記憶手順(S1
21)を備えること、を特徴とする管理アプリケーショ
ン(51,51−3)である。According to a fifth aspect of the present invention, in the management application according to the fourth aspect, an authentication result storage procedure (S1) for storing an authentication result which is a result of the determination authentication procedure.
21) is provided, which is a management application (51, 51-3).
【0022】請求項6の発明は、CPUを備えるICカ
ード(1,1−2)に搭載され、所定の本人認証が行わ
れていることを主機能の実行要件とする要認証アプリケ
ーションであって、前記ICカードに搭載されている一
又は複数の他のアプリケーション(52,52−2)に
アクセスし、このアプリケーションが有する前記所定の
本人認証を行う機能を前記CPUに実行させるアクセス
認証手順(S111,S201)を備えること、を特徴
とする要認証アプリケーション(53,53−2)であ
る。According to a sixth aspect of the present invention, there is provided an authentication-required application, which is mounted on an IC card (1, 1-2) equipped with a CPU, and which has a predetermined personal authentication as a main function execution requirement. , An access authentication procedure for accessing the one or more other applications (52, 52-2) mounted on the IC card and causing the CPU to execute the function of performing the predetermined personal authentication included in the application (S111). , S201) is included in the authentication-required application (53, 53-2).
【0023】請求項7の発明は、CPU(20,20−
2)と、それぞれ異なる種類の使用者識別情報に基づい
て使用者が名義人であるか否かを判定し、肯の場合に本
人認証する判定認証手順(S112,S202)を前記
CPUに実行させる請求項1又は請求項2に記載の複数
の認証アプリケーション(52,52−2)を記憶する
認証アプリケーション記憶手段(50,50−2)と、
を備えるICカード(1,1−2)である。According to the invention of claim 7, the CPU (20, 20-
2) and the determination authentication procedure (S112, S202) for determining whether or not the user is a holder based on different types of user identification information, and authenticating the user if the result is affirmative. An authentication application storage means (50, 50-2) for storing the plurality of authentication applications (52, 52-2) according to claim 1 or 2;
It is an IC card (1, 1-2) provided with.
【0024】請求項8の発明は、それぞれ異なる種類の
使用者識別情報に基づいて使用者が名義人であるか否か
を判定し、肯の場合に本人認証する複数の認証手段(2
1,22,23,24)と、認証選択要求があった場合
に、この要求に応じて前記判定を行うべき認証手段を選
択する認証選択手段(25)と、を備えるICカード
(1,1−3)である。According to an eighth aspect of the present invention, a plurality of authentication means (2) for determining whether or not the user is a holder based on different types of user identification information, and authenticating the individual when the user is affirmative.
1, 2, 23, 24) and, when there is an authentication selection request, an authentication selection means (25) for selecting an authentication means to perform the determination in response to the request, an IC card (1, 1) -3).
【0025】請求項9の発明は、請求項8に記載のIC
カードにおいて、CPU(20)と、所定の本人認証が
行われていることを主機能の実行要件とし、前記認証選
択要求を行う要認証アプリケーション(53)を記憶す
る要認証アプリ記憶手段(50)と、前記CPUに実行
させることによって前記複数の認証手段を実現する複数
の認証アプリケーション(52)を記憶する認証アプリ
ケーション記憶手段(50)と、前記要認証アプリケー
ションを識別する要認証アプリケーション識別情報と、
前記認証アプリケーションを識別する認証アプリケーシ
ョン識別情報とを関連づけた認証選択情報を、前記要認
証アプリケーションからアクセス可能な管理アプリケー
ション(51)内で記憶する認証選択情報記憶手段(5
0)とを備え、前記認証選択手段は、前記認証選択情報
に基づいて選択を行うこと、を特徴とするICカード
(1)である。The invention according to claim 9 is the IC according to claim 8.
In the card, a required authentication application storage means (50) for storing the required authentication application (53) for making the authentication selection request, with the CPU (20) as a main function execution requirement that a predetermined authentication is performed. An authentication application storage means (50) for storing a plurality of authentication applications (52) for realizing the plurality of authentication means by causing the CPU to execute; and authentication application identification information for identifying the authentication application.
Authentication selection information storage means (5) for storing authentication selection information associated with authentication application identification information for identifying the authentication application in a management application (51) accessible from the authentication-required application.
0), and the authentication selection means makes a selection based on the authentication selection information.
【0026】請求項10の発明は、請求項9に記載のI
Cカードにおいて、前記認証アプリケーション記憶手段
は、請求項1又は請求項2に記載の認証アプリケーショ
ン(52)を記憶すること、を特徴とするICカード
(1)である。The invention according to claim 10 is the I according to claim 9.
In the C card, the authentication application storage means is an IC card (1) characterized by storing the authentication application (52) according to claim 1 or 2.
【0027】請求項11の発明は、請求項9又は請求項
10に記載のICカードにおいて、前記判定認証手順に
おける結果である認証結果を一のアプリケーション(5
1)内で記憶する認証結果記憶手段(50)とを備える
こと、を特徴とするICカード(1)である。According to a tenth aspect of the invention, in the IC card according to the ninth or tenth aspect, the authentication result which is the result of the determination authentication procedure is set as one application (5
1) An IC card (1) characterized by comprising an authentication result storage means (50) stored therein.
【0028】[0028]
【発明の実施の形態】以下、図面等を参照しながら、本
発明の実施の形態について、更に詳しく説明する。
(第1実施形態)図1は、本発明によるICカードの第
1実施形態を示すブロック図である。なお、前述した従
来例と同様の機能を果たす部分には、同一の符号を付し
て、重複する説明を適宜省略する。図1に示すように、
ICカード1は、外部装置2との通信を制御するI/O
インターフェイス10、機器全体を制御するCPU2
0、情報を記憶する記憶手段であるRAM30、ROM
40及びEEPROM50、使用者識別情報入力部60
等を備え、複数のアプリケーションを搭載可能なJav
aCard、MultosCard等のマルチアプリケ
ーションICカード上に構築することができる。BEST MODE FOR CARRYING OUT THE INVENTION Embodiments of the present invention will be described in more detail below with reference to the drawings. (First Embodiment) FIG. 1 is a block diagram showing a first embodiment of an IC card according to the present invention. It should be noted that the same reference numerals are given to the portions having the same functions as those of the above-described conventional example, and the duplicate description will be appropriately omitted. As shown in Figure 1,
The IC card 1 is an I / O that controls communication with the external device 2.
Interface 10, CPU2 for controlling the entire device
0, RAM 30 which is storage means for storing information, ROM
40, EEPROM 50, user identification information input unit 60
Java that can be loaded with multiple applications
It can be built on a multi-application IC card such as aCard or MultisCard.
【0029】I/Oインターフェイス10は、外部装置
2のリーダライタから物理的な伝送路又は非接触な伝送
路を介してコマンドを受信し、レスポンスを送信する通
信手段である。RAM30は、揮発性メモリであり、C
PU20が処理を行う作業領域として使用される。RO
M40は、不揮発性の読み出し専用メモリであって、O
S、実行環境等を格納している。OSは、ICカードの
用途によらず汎用的に使用できる基本ソフトウェアであ
る。The I / O interface 10 is a communication means for receiving a command from the reader / writer of the external device 2 via a physical transmission path or a non-contact transmission path and transmitting a response. RAM30 is a volatile memory, C
It is used as a work area in which the PU 20 performs processing. RO
M40 is a nonvolatile read-only memory,
S, execution environment, etc. are stored. The OS is basic software that can be used universally regardless of the application of the IC card.
【0030】EEPROM50は、随時書き換え可能な
不揮発性メモリであり、指紋認証アプリ521、PIN
認証アプリ522、声紋認証アプリ523、筆跡認証ア
プリ524(以下、これらのアプリケーション521,
522,523,524をまとめて認証アプリケーショ
ン52という。)、管理アプリ51、社員証アプリ53
1、ポイントアプリ532、キャッシュアプリ533、
(以下、これらのアプリケーション531,532,5
33をまとめて要認証アプリケーション53という。)
等の種々のアプリケーションを格納している。アプリケ
ーションは、OS等、基本ソフトウェアの管理化におい
て、CPU20がICカード1の各種固有の処理を行う
ためのプログラムである。また、EEPROM50は、
OSやアプリケーションの作業領域として使用される。The EEPROM 50 is a nonvolatile memory that can be rewritten at any time, and includes a fingerprint authentication application 521 and a PIN.
Authentication application 522, voiceprint authentication application 523, handwriting authentication application 524 (hereinafter, these applications 521,
522, 523, and 524 are collectively referred to as an authentication application 52. ), Management application 51, employee ID application 53
1, point application 532, cash application 533,
(Hereafter, these applications 531, 532, 5
33 is collectively referred to as an authentication required application 53. )
It stores various applications such as. The application is a program for the CPU 20 to perform various unique processes of the IC card 1 in the management of basic software such as the OS. In addition, the EEPROM 50 is
Used as a work area for OS and applications.
【0031】図2は、本発明による認証アプリケーショ
ン、管理アプリケーション、要認証アプリケーション及
びICカードの第1実施形態を説明する論理構造図であ
る。図3は、EEPROM50に格納されているアプリ
ケーション間の共有関係を示す図である。図2に示すよ
うに、CPU20は、OSの管理下において各アプリケ
ーション51,52,53を実行する。FIG. 2 is a logical structure diagram for explaining the first embodiment of the authentication application, the management application, the authentication required application and the IC card according to the present invention. FIG. 3 is a diagram showing a sharing relationship between applications stored in the EEPROM 50. As shown in FIG. 2, the CPU 20 executes each application 51, 52, 53 under the control of the OS.
【0032】図2及び図3に示すように、要認証アプリ
ケーション53は、管理アプリ51にアクセスして認証
選択機能を呼び出すことが可能であり(#1、実線)、
この認証選択機能の呼び出しを要求する認証選択要求を
行う。また、要認証アプリケーション53は、管理アプ
リ51にアクセスして受け取ったアドレスによってそれ
ぞれ所定の認証アプリケーション52へアクセスし、認
証機能を呼び出すことが可能である(#2、破線)。ポ
イントアプリ532は指紋認証アプリ521、社員証ア
プリ531は指紋認証アプリ521、PIN認証アプリ
522及び声紋認証アプリ523、キャッシュアプリ5
33はPIN認証アプリ522及び筆跡認証アプリ52
4へそれぞれアクセスすることが可能である。認証アプ
リケーション52は、管理アプリ51へアクセスし、テ
ーブル書込機能を呼び出すことが可能である(#3、一
点鎖線)。As shown in FIGS. 2 and 3, the authentication required application 53 can access the management application 51 and call the authentication selection function (# 1, solid line).
An authentication selection request for calling this authentication selection function is made. The authentication-required application 53 can access the predetermined authentication application 52 by the address received by accessing the management application 51 and call the authentication function (# 2, broken line). The point application 532 is a fingerprint authentication application 521, the employee ID application 531 is a fingerprint authentication application 521, a PIN authentication application 522, a voiceprint authentication application 523, and a cash application 5.
33 is a PIN authentication application 522 and a handwriting authentication application 52
4 can be accessed respectively. The authentication application 52 can access the management application 51 and call the table writing function (# 3, alternate long and short dash line).
【0033】これらの共有関係はアクセス前のいずれか
の時点で結ばれているものとする。なお、共有関係の実
装方法は、認証アプリケーション52、要認証アプリケ
ーションからのアクセスを認めるか否かの認証を行うア
プリケーション認証機能を管理アプリ51が備え、この
認証によって実装してもよく、前述した方法等(特願2
000−268676、特願2001−397304)
で実装してもよい。It is assumed that these sharing relationships are established at some point before access. As a method of implementing the sharing relationship, the management application 51 may have an application authentication function that authenticates whether or not to permit access from the authentication application 52 and the application requiring authentication, and the authentication may be implemented by this authentication. Etc. (Japanese Patent Application 2
000-268676, Japanese Patent Application No. 2001-397304)
May be implemented with.
【0034】社員証アプリ531、ポイントアプリ53
2及びキャッシュアプリ533は、それぞれ、CPU2
0が実行することによって、所定の目的を実現する社員
認証機能、ポイント換算機能、現金決済機能を主な機能
(主機能)として備え、所定の種類の本人認証が行われ
ることを主機能の実行要件とする要認証アプリケーショ
ンである。要認証アプリケーション53は、主機能の実
行前に管理アプリ51の認証選択機能を呼び出し、受け
取ったアドレスに基づいて認証アプリケーション52へ
アクセスし、所定の種類の本人認証を行う認証機能を呼
び出す。本実施形態において、キャッシュアプリ533
はPIN認証及び筆跡認証、ポイントアプリ532は指
紋認証、社員証アプリ531はPIN認証、指紋認証及
び声紋認証が行われていることを主機能の実行要件とし
ている(後述する図4参照)。Employee ID application 531 and point application 53
2 and the cache application 533 are respectively CPU2
0 has the employee authentication function, the point conversion function, and the cash settlement function as main functions (main function) that realizes the predetermined purpose, and that the predetermined type of personal authentication is performed. It is a required authentication application. The authentication-required application 53 calls the authentication selection function of the management application 51 before executing the main function, accesses the authentication application 52 based on the received address, and calls the authentication function for performing a predetermined type of personal authentication. In the present embodiment, the cache application 533
Indicates that PIN authentication and handwriting authentication are performed, point application 532 is fingerprint authentication, and employee ID application 531 is PIN authentication, fingerprint authentication, and voice print authentication (see FIG. 4 described later).
【0035】指紋認証アプリ521、PIN認証アプリ
522、声紋認証アプリ523、筆跡認証アプリ524
は、それぞれ名義人識別情報である名義人の指紋、PI
N、声紋、筆跡の情報を持ち、ICカード1に格納され
ている要認証アプリケーション53等の認証アプリ52
の外部から呼び出された場合にのみ、CPU20が実行
することによって、それぞれ指紋認証部21、PIN認
証部22、声紋認証部23、筆跡認証部24を実現する
認証機能を主機能として備える認証アプリケーションで
ある。また、認証アプリケーション52は、管理アプリ
51へアクセスし、テーブル書換機能を呼び出すことに
よって認証機能による認証結果を管理テーブル510へ
書き込み、記憶する。なお、ICカード1が家族カード
であって、複数の者、例えば夫婦がICカード1の正当
使用者として登録されている場合には、認証アプリケー
ション52は、名義人である夫婦それぞれの指紋等、名
義人識別情報を持つ。Fingerprint authentication application 521, PIN authentication application 522, voiceprint authentication application 523, handwriting authentication application 524
Is the fingerprint of the holder, which is the holder identification information, and PI.
An authentication application 52 such as an authentication-necessary application 53 stored in the IC card 1 having N, voiceprint, and handwriting information.
Only when called from outside the CPU, the authentication application having the authentication function to realize the fingerprint authentication unit 21, the PIN authentication unit 22, the voiceprint authentication unit 23, and the handwriting authentication unit 24 as main functions by being executed by the CPU 20. is there. The authentication application 52 accesses the management application 51 and calls the table rewriting function to write and store the authentication result of the authentication function in the management table 510. If the IC card 1 is a family card and a plurality of persons, such as a married couple, are registered as legal users of the IC card 1, the authentication application 52 displays the fingerprints of the married couples who are the owners. Has holder identification information.
【0036】なお、認証アプリケーション52をICカ
ード1へ搭載するタイミングは任意であって、必要にな
った時点でICカード1へダウンロードすればよく、最
初からすべて搭載済みである必要はない。逆に不要にな
った認証アプリは、削除してもよい。The authentication application 52 may be mounted on the IC card 1 at any timing, and may be downloaded to the IC card 1 when it is needed, and it is not necessary to install the authentication application 52 from the beginning. Conversely, an authentication application that is no longer needed may be deleted.
【0037】管理アプリ51は、管理テーブル510等
のデータを持ち、認証選択機能、テーブル書換機能等の
プログラムを備えている。管理アプリ51は、本人認証
を管理するためのアプリケーションである。認証選択機
能、テーブル書換機能は、CPU20が実行することに
よってそれぞれ認証選択部25、テーブル書換部26を
実現するプログラムである。The management application 51 has data such as the management table 510, and is provided with programs such as an authentication selection function and a table rewriting function. The management application 51 is an application for managing personal authentication. The authentication selection function and the table rewriting function are programs that are executed by the CPU 20 to realize the authentication selection unit 25 and the table rewriting unit 26, respectively.
【0038】図4は、管理テーブルを説明する図であっ
て、図4(a)は、本人認証が行われていない場合、図
4(b)は、PINによる本人認証が行われた場合を示
している。図4に示すように、管理テーブル510は、
要認証アプリケーション53が主機能を実行するために
必要な本人認証を示している。また、管理テーブル51
0は、認証部21,22,23,24が各種認証を行っ
たか否かの認証結果を示している。FIG. 4 is a diagram for explaining the management table. FIG. 4A shows the case where the personal authentication is not performed, and FIG. 4B shows the case where the personal authentication by PIN is performed. Shows. As shown in FIG. 4, the management table 510 is
The authentication-required application 53 shows the personal authentication required for executing the main function. In addition, the management table 51
0 indicates the authentication result of whether or not the authentication units 21, 22, 23, and 24 have performed various authentications.
【0039】管理テーブル510は、行及び列にそれぞ
れ要認証アプリケーション53の名称、認証アプリケー
ション52の名称等の要認証アプリケーション識別情報
及び認証アプリケーション識別情報を配置し、要認証ア
プリケーション53が必要な種類の本人認証についてフ
ラグ(値)を結びつけて格納している。フラグ「0」は
未認証、「1」は認証済を示している。例えば、図4
(b)に示すように、PIN認証部22によって本人認
証が行われた場合には、テーブル書換部26は、PIN
認証アプリ522と、社員証アプリ531及びキャッシ
ュアプリ533の交差する2つの欄のフラグを「1」と
書き換える。この場合に、キャッシュアプリ533の主
機能を実行するためには、更に筆跡認証部24によって
本人認証が行われることが必要である。フラグ「1」
は、ICカード1が外部装置2との通信が不能となった
場合に「0」に書き換えられる。なお、要認証アプリケ
ーション53、認証アプリケーション52の名称は、ア
プリケーションID(AID)等、要認証アプリケーシ
ョン53、認証アプリケーション52を識別することが
できる情報であればよい。The management table 510 has authentication application identification information and authentication application identification information such as the name of the authentication application 53 and the name of the authentication application 52 arranged in a row and a column, respectively. Stores a flag (value) associated with personal authentication. The flag “0” indicates unauthenticated, and the flag “1” indicates authenticated. For example, in FIG.
As shown in (b), when the PIN authentication unit 22 authenticates the person, the table rewriting unit 26 displays the PIN.
The flags in the two intersecting columns of the authentication application 522, the employee ID application 531 and the cash application 533 are rewritten as "1". In this case, in order to execute the main function of the cache application 533, it is necessary that the handwriting authentication unit 24 further authenticates the person. Flag "1"
Is rewritten to "0" when the IC card 1 cannot communicate with the external device 2. The names of the authentication-requiring application 53 and the authentication application 52 may be information such as an application ID (AID) that can identify the authentication-requiring application 53 and the authentication application 52.
【0040】図1に示すように、CPU20は、ICカ
ード1を統括制御する中央処理装置であり、指紋認証部
21、PIN認証部22、声紋認証部23、筆跡認証部
24、認証選択部25、テーブル書換部26等を備えて
いる。これら各部21,22,23,24,25,26
は、CPU20がEEPROM50に格納されているア
プリケーションを実行することによって実現される。As shown in FIG. 1, the CPU 20 is a central processing unit for controlling the IC card 1 in a centralized manner, and has a fingerprint authentication unit 21, a PIN authentication unit 22, a voiceprint authentication unit 23, a handwriting authentication unit 24, and an authentication selection unit 25. , A table rewriting unit 26 and the like. These parts 21, 22, 23, 24, 25, 26
Is realized by the CPU 20 executing an application stored in the EEPROM 50.
【0041】指紋認証部21、PIN認証部22、声紋
認証部23及び筆跡認証部24(以下、まとめて認証部
21,22,23,24という。)は、それぞれ種類の
異なる使用者識別情報及び名義人識別情報に基づいてI
Cカード1を使用している使用者がICカード1を正当
に使用できる名義人であるか否かを判定し、肯の場合に
本人認証を行う認証手段である。The fingerprint authenticating section 21, the PIN authenticating section 22, the voiceprint authenticating section 23 and the handwriting authenticating section 24 (hereinafter collectively referred to as authenticating sections 21, 22, 23 and 24) respectively have different kinds of user identification information and user identifying information. I based on the holder identification information
This is an authentication means that determines whether the user who is using the C card 1 is a holder who can legally use the IC card 1 and, if the result is affirmative, authenticates the person.
【0042】また、認証部21,22,23,24は、
外部装置2の使用者識別情報入力部210から入力され
た使用者の指紋、PIN、声紋、筆跡の情報等、使用者
を他の者から識別する使用者識別情報と、EEPROM
50に予め記憶されている名義人の指紋等、名義人を他
の者から識別する名義人識別情報とを照合して同一とみ
なせるか否かを判定し、みなせる場合に使用者が名義人
であることを認証(本人認証)する判定認証を行う認証
手段である。The authentication units 21, 22, 23 and 24 are
User identification information for identifying the user from others, such as the user's fingerprint, PIN, voiceprint, handwriting information, etc. input from the user identification information input unit 210 of the external device 2, and the EEPROM.
It is determined whether or not it can be regarded as the same by collating with the holder identification information that identifies the holder from other persons, such as the fingerprint of the holder stored in advance in 50, and if so, the user is the holder. It is an authentication means that performs determination authentication to authenticate that there is something (personal authentication).
【0043】なお、複数の者が名義人である場合には、
認証部21,22,23,24は、使用者識別情報と、
複数の名義人識別情報とを照合し、いずれかの名義人識
別情報と同一とみなせるか否かを判定し、みなせる場合
に本人認証を行う。従って、例えば、夫婦が名義人であ
る場合には、いずれがICカード1を使用しても本人認
証が行われる。また、名義人識別情報、使用者識別情報
である指紋、PIN、声紋、筆跡の情報のフォーマット
は、本人認証のアルゴリズムにあわせて定められる。When a plurality of persons are holders,
The authentication units 21, 22, 23 and 24 store user identification information,
By collating with a plurality of holder identification information, it is determined whether or not it can be regarded as the same as any one of the holder identification information, and if it can be regarded, personal authentication is performed. Therefore, for example, in the case where the married couple is the owner, whichever person uses the IC card 1, personal authentication is performed. Further, the format of the owner identification information and the user identification information such as the fingerprint, PIN, voiceprint, and handwriting information is determined according to the algorithm for personal authentication.
【0044】認証選択部25は、認証選択要求があった
場合に、本人認証のための判定を行うべき認証部21,
22,23,24を選択する認証選択手段である。認証
選択部25は、CPU20によるキャッシュアプリ53
3の実行において認証要求(管理アプリ51が有する認
証選択機能の呼び出し)があった場合に、管理テーブル
510のキャッシュアプリ533に対応するフラグにお
いて、値が「0」である認証アプリケーション52を検
索し、そのアドレスをキャッシュアプリ533に返すこ
とによって、本人認証を行う認証部21,22,23,
24を選択する。なお、「0」である認証アプリケーシ
ョン52がない場合には、すべて認証済である旨をキャ
ッシュアプリ533へ返す。The authentication selecting section 25 is a section for authenticating the person, when an authentication selection request is made.
Authentication selection means for selecting 22, 23, and 24. The authentication selection unit 25 uses the cache application 53 by the CPU 20.
When an authentication request (call of the authentication selection function of the management application 51) is made in the execution of No. 3, the authentication application 52 whose value is “0” is searched for in the flag corresponding to the cache application 533 of the management table 510. , By returning the address to the cache application 533, the authentication units 21, 22, 23, which perform personal authentication.
Select 24. If there is no authentication application 52 that is “0”, the fact that all are authenticated is returned to the cache application 533.
【0045】テーブル書換部26は、管理アプリ51に
含まれる管理テーブル510の内容の書き込み、書き換
え、削除等を行う書換手段であって、認証部21,2
2,23,24によって認証されたか否かを示す認証結
果を管理テーブル510に書き込んで記憶させる。The table rewriting unit 26 is a rewriting unit that writes, rewrites, deletes, etc. the contents of the management table 510 included in the management application 51.
The authentication result indicating whether or not the authentication is performed is recorded in the management table 510 and stored therein.
【0046】外部装置2は、指紋情報入力部211、P
IN入力部212、声紋情報入力部213、筆跡情報入
力部214を含む使用者識別情報入力部210を備え、
ICカード1に電源、クロック等の供給、コマンド等の
送信を行い、ICカード1における処理結果であるレス
ポンスを受信する情報処理装置である。The external device 2 includes the fingerprint information input units 211, P.
A user identification information input unit 210 including an IN input unit 212, a voice print information input unit 213, and a handwriting information input unit 214;
This is an information processing apparatus that supplies power to the IC card 1, clocks, etc., transmits commands, etc., and receives a response, which is a processing result in the IC card 1.
【0047】指紋情報入力部211、PIN入力部21
2、声紋情報入力部213及び筆跡情報入力部214
は、それぞれ使用者識別情報である使用者の指紋情報、
PIN、声紋情報、筆跡情報等の使用者識別情報を入力
する使用者識別情報入力手段である。使用者識別情報入
力部210は、センサ、キーボード、マイクロホン等か
ら入力した使用者識別情報を所定のフォーマットに変換
し、EEPROM50に格納されている名義人識別情報
と比較可能なように所定のフォーマットに変換して外部
装置2へ入力する。この使用者識別情報は、ICカード
1へ送信される。Fingerprint information input section 211, PIN input section 21
2. Voiceprint information input unit 213 and handwriting information input unit 214
Is the fingerprint information of the user, which is the user identification information,
It is a user identification information input means for inputting user identification information such as PIN, voiceprint information, and handwriting information. The user identification information input unit 210 converts user identification information input from a sensor, a keyboard, a microphone or the like into a predetermined format and puts it in a predetermined format so that it can be compared with the holder identification information stored in the EEPROM 50. It is converted and input to the external device 2. This user identification information is transmitted to the IC card 1.
【0048】図5は、本発明による認証アプリケーショ
ン、管理アプリケーション及び要認証アプリケーション
の第1実施形態を示すフローチャートであり、図6は、
認証アプリケーション、管理アプリケーション及び要認
証アプリケーション間における共有アクセスを説明する
図である。図5及び図6は、図11のS505における
ICカード1の処理を示している。以下、図5を主とし
て、図6等の他の図面を適宜参照しながら説明する。S
100において、CPU20は、外部装置2と通信可能
な環境に設置され、外部装置2からキャッシュアプリ5
33を実行する要求を受け(図11,S502,S50
3)、キャッシュアプリ533を選択し(図11,S5
04)、実行を開始する。FIG. 5 is a flow chart showing a first embodiment of the authentication application, the management application and the authentication required application according to the present invention, and FIG. 6 is
It is a figure explaining the shared access between an authentication application, a management application, and an authentication required application. 5 and 6 show the processing of the IC card 1 in S505 of FIG. Hereinafter, description will be given mainly with reference to FIG. 5 and with reference to other drawings such as FIG. 6 as appropriate. S
In 100, the CPU 20 is installed in an environment in which it can communicate with the external device 2, and the external device 2 allows the cache application 5 to operate.
33, the request for executing 33 is received (FIG. 11, S502, S50
3), select the cache application 533 (FIG. 11, S5
04), start execution.
【0049】S101において、CPU20は、キャッ
シュアプリ533を実行することによって認証選択要求
がキャッシュアプリ533から管理アプリ51へ行わ
れ、管理アプリ51へアクセスし、認証選択機能を呼び
出す(図6,#1)。S102、S103において、認
証選択部25は、管理テーブル510のキャッシュアプ
リ533に対応するフラグにおいて、値が「0」である
認証アプリ52を検索し(図6,#2)、「0」のフラ
グがない場合には、現金決済等の主機能を実行し(S1
04、図6,#3’,#4’)、処理を終了する(S1
30)。なお、処理結果は、ICカード1から外部装置
2へ送信される(図11,S506)。In S101, the CPU 20 executes the cache application 533 to make an authentication selection request from the cache application 533 to the management application 51, access the management application 51, and call the authentication selection function (FIG. 6, # 1). ). In S102 and S103, the authentication selection unit 25 searches the flag corresponding to the cache application 533 of the management table 510 for the authentication application 52 whose value is “0” (FIG. 6, # 2), and the flag of “0”. If there is not, the main function such as cash settlement is executed (S1
04, FIG. 6, # 3 ', # 4'), and the process is terminated (S1).
30). The processing result is transmitted from the IC card 1 to the external device 2 (FIG. 11, S506).
【0050】一方、「0」である認証アプリ52がある
場合には、この認証アプリ52を選択してアクセスし
(図6,#3)、認証部21,22,23,24は、判
定認証を行う(S111、図6,#4)。本実施形態で
は、管理テーブル510は、図4(a)に示す状態であ
るとし、認証選択部25は、PIN認証アプリ522を
選択し、PIN認証部22は、使用者のPINに基づい
て本人認証するか否かを判定する(S112)。なお、
PIN等、本人認証に必要な使用者の識別情報は、S1
11においてICカード1から外部装置2へ要求して受
ける等、この処理の前の段階においてPIN入力部21
2等、使用者識別情報入力部210からICカード1へ
入力されればよい。S112において、否の場合には、
エラーとして処理を終了し(S113,S130、図
6,#5’)、ICカード1は、処理結果を外部装置2
へ送信する(図11,S506)。On the other hand, when there is the authentication application 52 of "0", the authentication application 52 is selected and accessed (# 3 in FIG. 6), and the authentication units 21, 22, 23 and 24 determine and authenticate. Is performed (S111, FIG. 6, # 4). In the present embodiment, the management table 510 is in the state shown in FIG. 4A, the authentication selection unit 25 selects the PIN authentication application 522, and the PIN authentication unit 22 identifies the PIN based on the user's PIN. It is determined whether or not to authenticate (S112). In addition,
The user identification information required for personal authentication such as PIN is S1.
At the stage before this processing, such as when the IC card 1 requests and receives the external device 2 at 11, the PIN input unit 21
The information such as 2 may be input to the IC card 1 from the user identification information input unit 210. In S112, in the case of no,
The processing ends as an error (S113, S130, # 5 ′ in FIG. 6), and the IC card 1 displays the processing result in the external device 2
To S506 (FIG. 11, S506).
【0051】本人認証した場合には、CPU20は、管
理アプリ51へアクセスし(図6,#5)、テーブル書
換部26は、管理テーブル510のPIN認証に対応す
るフラグを「0」から「1」に書き換える[S121、
図6,#6、図4(b)]。認証選択部25は、再び管
理テーブル510の検索を行い(S102、図6,#
7)、同様に筆跡認証アプリ524を選択して、同様の
処理を繰り返す(S103,S111,S112,S1
21,S102、図6,#8〜#11)。筆跡認証部2
4が使用者の筆跡情報で本人認証した場合には、管理テ
ーブル510のキャッシュアプリ533に対応するフラ
グはすべて「1」となり、CPU20は、このキャッシ
ュアプリ533の主機能を実行し(S103,S10
4、図6,#12,#13)、処理を終了する(S13
0)。処理結果は、ICカード1から外部装置2へ送信
される(図11,S506)。When the personal authentication is performed, the CPU 20 accesses the management application 51 (# 5 in FIG. 6), and the table rewriting unit 26 sets the flags corresponding to the PIN authentication of the management table 510 from "0" to "1". "S121,
FIG. 6, # 6, FIG. 4 (b)]. The authentication selection unit 25 searches the management table 510 again (S102, FIG. 6, #).
7) Similarly, the handwriting authentication application 524 is selected and the same processing is repeated (S103, S111, S112, S1).
21, S102, FIGS. 6, # 8 to # 11). Handwriting authentication part 2
When 4 authenticates the user with the handwriting information of the user, all the flags corresponding to the cache application 533 in the management table 510 become "1", and the CPU 20 executes the main function of this cache application 533 (S103, S10).
4, FIG. 6, # 12, # 13), the process ends (S13).
0). The processing result is transmitted from the IC card 1 to the external device 2 (FIG. 11, S506).
【0052】このように、本実施形態によれば、ICカ
ード1は、複数の認証機能を複数のアプリケーションに
振り分けて備えているため、限られたメモリを効率的に
使用することが可能となった。また、認証アプリ52
は、使用者識別情報に基づいて本人認証を行う認証機能
をその主機能とし、管理アプリ51は、この機能へのア
クセスを一括管理するため、ICカード1に搭載する要
認証アプリケーション53において整合を取り易く、利
便性及び汎用性の向上を図ることが可能となった。As described above, according to this embodiment, the IC card 1 is provided with a plurality of authentication functions distributed to a plurality of applications, so that it is possible to efficiently use the limited memory. It was In addition, the authentication application 52
Has as its main function an authentication function for performing personal authentication based on user identification information, and the management application 51 collectively manages access to this function, so that the authentication-required application 53 installed in the IC card 1 must be matched. It is easy to take, and it has become possible to improve convenience and versatility.
【0053】更に、管理アプリ51は、認証結果をまと
めて管理テーブル510に記憶するため、処理の効率化
を図るとともに、利便性を高めることが可能となった。
更にまた、ICカード1は、それぞれ異なる複数の種類
の使用者識別情報に基づいて本人認証を行う複数の認証
部21,22,23,24を備えるため、指紋を撮られ
るのは心理的に抵抗がある、指紋が薄くて認証ができな
い等の諸事情を考慮した認証を行うことができ、利便性
を向上することが可能となった。また、各種認証のアル
ゴリズムによって認証精度に差があるため、複数の認証
を組み合わせてシステム全体の認証精度を高めることが
可能となった。Further, since the management application 51 collectively stores the authentication results in the management table 510, it is possible to improve the efficiency of the processing and improve the convenience.
Furthermore, since the IC card 1 is provided with a plurality of authentication units 21, 22, 23, 24 that perform personal authentication based on a plurality of different types of user identification information, respectively, it is psychologically difficult to take a fingerprint. However, it is possible to perform the authentication in consideration of various circumstances such as the fingerprint is thin and the authentication cannot be performed, and the convenience can be improved. In addition, since there is a difference in authentication accuracy depending on various authentication algorithms, it has become possible to improve the authentication accuracy of the entire system by combining a plurality of authentications.
【0054】(第2実施形態)図7は、本発明によるI
Cカードの第2実施形態を示すブロック図である。な
お、前述した実施形態と同様の機能を果たす部分には、
同一の符号を付して、重複する説明を適宜省略する。図
7に示すように、ICカード1−2は、I/Oインター
フェイス10、CPU20−2、RAM30、ROM4
0、EEPROM50−2等を備えている。(Second Embodiment) FIG. 7 shows the I according to the present invention.
It is a block diagram which shows 2nd Embodiment of C card. In addition, in the portion that performs the same function as the above-described embodiment,
The same reference numerals are given and duplicate explanations are appropriately omitted. As shown in FIG. 7, the IC card 1-2 includes an I / O interface 10, a CPU 20-2, a RAM 30, and a ROM 4.
0, EEPROM 50-2 and the like.
【0055】EEPROM50−2は、指紋認証アプリ
521−2、PIN認証アプリ522−2、声紋認証ア
プリ523−2、筆跡認証アプリ524−2(以下、こ
れらのアプリケーション521−2,522−2,52
3−2.524−2をまとめて認証アプリケーション5
2−2という。)、社員証アプリ531−2、キャッシ
ュアプリ533−2、ポイントアプリ532−2(以
下、これらのアプリケーション531−2,532−
2,533−2をまとめて要認証アプリケーション53
−2という。)等の種々のアプリケーションを格納して
いる。The EEPROM 50-2 includes a fingerprint authentication application 521-2, a PIN authentication application 522-2, a voiceprint authentication application 523-2, a handwriting authentication application 524-2 (these applications 521-2, 522-2, 52.
3-2.524-2 together authentication application 5
2-2. ), Employee ID application 531-2, cash application 533-2, point application 532-2 (hereinafter, these applications 531-2 and 532-).
2, 533-2 are collectively required authentication application 53
-2. ) And other various applications are stored.
【0056】図8は、本発明による認証アプリケーショ
ン、要認証アプリケーション及びICカードの第2実施
形態を説明する論理構造図である。要認証アプリケーシ
ョン53−2は、それぞれ第1実施形態と同様の種類の
本人認証が行われていることを主機能の実行要件として
いる(図4参照)。要認証アプリケーション53−2
は、認証アプリケーション52−2が備える認証機能の
アドレスに基づいて、所定の認証アプリケーション52
−2にアクセスし、認証機能を呼び出すことが可能であ
る。FIG. 8 is a logical structure diagram for explaining the second embodiment of the authentication application, the authentication required application and the IC card according to the present invention. Each of the authentication-required applications 53-2 has the main function execution requirement that the same type of personal authentication as in the first embodiment is performed (see FIG. 4). Authentication Required Application 53-2
Is a predetermined authentication application 52 based on the address of the authentication function of the authentication application 52-2.
-2, it is possible to call the authentication function.
【0057】なお、第1実施形態と同様に、キャッシュ
アプリ533−2はPIN認証アプリ522−2及び筆
跡認証アプリ524−2、ポイントアプリ532−2は
指紋認証アプリ521−2、社員証アプリ531−2は
PIN認証アプリ522−2、指紋認証アプリ521−
2及び声紋認証アプリ523−2の認証機能を呼び出す
機能を備えている。認証アプリケーション52−2は、
認証機能をその主機能として備え、その認証結果は、呼
び出したアプリケーション等へ返される。また、認証ア
プリケーション52−2は、認証結果を認証アプリケー
ション52−2内に書き込み、記憶する書込機能を備え
ている。As in the first embodiment, the cash application 533-2 is the PIN authentication application 522-2 and the handwriting authentication application 524-2, and the point application 532-2 is the fingerprint authentication application 521-2 and the employee ID application 531. -2 is a PIN authentication application 522-2 and a fingerprint authentication application 521-
2 and the function of calling the authentication function of the voiceprint authentication application 523-2. The authentication application 52-2 is
An authentication function is provided as its main function, and the authentication result is returned to the calling application or the like. The authentication application 52-2 has a writing function of writing and storing the authentication result in the authentication application 52-2.
【0058】図9は、本発明による認証アプリケーショ
ン及び要認証アプリケーションの第2実施形態を示すフ
ローチャートであり、図11のS505におけるICカ
ード1−2の処理を示している。S200において、I
Cカード1−2は、第1実施形態におけるS100のI
Cカードと同様の状態にあり、CPU20−2がキャッ
シュアプリ533−2の実行を開始する。S201にお
いて、CPU20−2は、キャッシュアプリ533を実
行することによって、キャッシュアプリ533−2から
PIN認証アプリ522−2へアクセスし、PIN認証
部22は、認証判定を行う(S201,S202)。FIG. 9 is a flow chart showing a second embodiment of the authentication application and the application requiring authentication according to the present invention, and shows the processing of the IC card 1-2 in S505 of FIG. In S200, I
The C card 1-2 is I of S100 in the first embodiment.
In the same state as the C card, the CPU 20-2 starts executing the cache application 533-2. In S201, the CPU 20-2 accesses the PIN authentication application 522-2 from the cache application 533-2 by executing the cache application 533, and the PIN authentication unit 22 makes an authentication determination (S201, S202).
【0059】本人認証しない場合には、エラーとして処
理を終了し(S211,S220)、ICカード1−2
は、処理結果を外部装置2へ送信する(図11,S50
6)。本人認証した場合には、CPU20−2は、PI
N認証アプリ522−2内に認証結果を書き込み(S2
03)、PIN認証アプリ522−2からキャッシュア
プリ533−2へ認証結果を返し、主機能を実行するた
めに必要な本人認証がすべて行われたか否かを判定する
(S204)。If the person is not authenticated, the processing ends as an error (S211, S220), and the IC card 1-2
Transmits the processing result to the external device 2 (FIG. 11, S50).
6). When the person is authenticated, the CPU 20-2 determines PI
Write the authentication result in the N authentication application 522-2 (S2
03), the authentication result is returned from the PIN authentication application 522-2 to the cache application 533-2, and it is determined whether all the personal authentication required to execute the main function has been performed (S204).
【0060】CPU20−2は、キャッシュアプリ53
3−2の主機能を実行するために筆跡認証が行われてい
ないため、同様に筆跡認証アプリ524−2へアクセス
し(S201)、同様の処理を行う(S202,S20
3)。S204において必要な本人認証がすべて行われ
た場合には、CPU20−2は、キャッシュアプリ53
3−2の主機能を実行し(S205)、処理を終了する
(S220)。処理結果は、ICカード1−2から外部
装置2へ送信される(図11,S506)。The CPU 20-2 uses the cash application 53.
Since the handwriting authentication is not performed to execute the main function of 3-2, the handwriting authentication application 524-2 is similarly accessed (S201) and the same processing is performed (S202, S20).
3). When all the required personal authentication is performed in S204, the CPU 20-2 determines that the cache application 53
The main function of 3-2 is executed (S205), and the process ends (S220). The processing result is transmitted from the IC card 1-2 to the external device 2 (FIG. 11, S506).
【0061】このように、本実施形態によれば、要認証
アプリケーション53−2は、第1実施形態における管
理アプリケーション51を介さずに直接認証アプリケー
ション52−2へアクセスするため、管理アプリケーシ
ョン51がない場合であっても、第1実施形態と同様の
効果を得ることが可能となった。As described above, according to the present embodiment, since the authentication-required application 53-2 directly accesses the authentication application 52-2 without going through the management application 51 in the first embodiment, there is no management application 51. Even in such a case, it is possible to obtain the same effect as that of the first embodiment.
【0062】(第3実施形態)図10は、本発明による
認証アプリケーション、管理アプリケーション、要認証
アプリケーション及びICカードの第3実施形態を説明
する図であり、図10(a)は、ブロック図、図10
(b)は、アプリケーションの共有関係を示す図であ
る。図10(a)に示すように、ICカード1−3は、
第1、第2実施形態と同様にI/Oインターフェイス1
0、CPU20、RAM30、ROM40、EEPRO
M50−3等を備えている。EEPROM50−3は、
管理アプリ51、PIN認証アプリ522、ポイントア
プリ532−3、社員証アプリ531−3、キャッシュ
アプリ533−3、(以下、これらのアプリケーション
531−3,532−3,533−3をまとめて要認証
アプリケーション53−3という。)(Third Embodiment) FIG. 10 is a diagram for explaining an authentication application, a management application, an authentication required application, and an IC card according to a third embodiment of the present invention. FIG. 10A is a block diagram. Figure 10
(B) is a figure which shows the sharing relationship of an application. As shown in FIG. 10A, the IC card 1-3 is
I / O interface 1 as in the first and second embodiments
0, CPU20, RAM30, ROM40, EEPRO
It is equipped with M50-3. EEPROM50-3 is
The management application 51, the PIN authentication application 522, the point application 532-3, the employee ID application 531-3, the cash application 533-3, (hereinafter, these applications 531-3, 532-3, 533-3 are collectively required to be authenticated. It is called application 53-3.)
【0063】図10(b)に示すように、社員証アプリ
531−3は、第1実施形態における声紋認証アプリ5
23と同様の機能を有するオブジェクトである声紋認証
オブジェクト523−3を有している。ポイントアプリ
532−3及びキャッシュアプリ533−3は、同様に
指紋認証アプリ521、筆跡認証アプリ524と同様の
機能を有する指紋認証オブジェクト521−3、PIN
認証オブジェクト522−3をそれぞれ有している(以
下、これらのオブジェクト521−3,523−3,5
24−3をまとめて認証オブジェクト52−3とい
う。)。As shown in FIG. 10B, the employee ID application 531-3 is the voiceprint authentication application 5 in the first embodiment.
It has a voiceprint authentication object 523-3, which is an object having the same function as 23. The point application 532-3 and the cache application 533-3 similarly have the fingerprint authentication object 521-3 and PIN that have the same functions as the fingerprint authentication application 521 and the handwriting authentication application 524.
Each has an authentication object 522-3 (hereinafter, these objects 521-3, 523-3, 5
24-3 is collectively referred to as an authentication object 52-3. ).
【0064】要認証アプリケーション53−3は、それ
ぞれ第1実施形態と同様の種類の本人認証が行われてい
ることを主機能の実行要件としている(図4参照)。要
認証アプリケーション53−3は、管理アプリ51にア
クセスし、認証選択機能を呼び出すことが可能である
(#1、実線)。また、要認証アプリケーション53−
3は、管理アプリ51にアクセスして受け取ったアドレ
スによってそれぞれ所定のPIN認証アプリ522又は
認証オブジェクト52−3へアクセスし、認証機能を呼
び出すことが可能である(#2、破線)。The authentication-required application 53-3 requires that the same type of personal authentication as that in the first embodiment is performed, as an execution requirement for the main function (see FIG. 4). The authentication-required application 53-3 can access the management application 51 and call the authentication selection function (# 1, solid line). In addition, the authentication required application 53-
3 can access the predetermined PIN authentication application 522 or the authentication object 52-3 by the address received by accessing the management application 51 and call the authentication function (# 2, broken line).
【0065】社員証アプリ531−3は指紋認証オブジ
ェクト521−3及びPIN認証アプリ522、キャッ
シュアプリ533−3はPIN認証アプリ522へそれ
ぞれアクセスすることが可能である。認証アプリケーシ
ョン52、要認証アプリケーション53−3は、管理ア
プリ51へアクセスし、テーブル書込機能を呼び出すこ
とが可能である(#3、実線)。The employee ID application 531-3 can access the fingerprint authentication object 521-3 and the PIN authentication application 522, and the cache application 533-3 can access the PIN authentication application 522. The authentication application 52 and the authentication required application 53-3 can access the management application 51 and call the table writing function (# 3, solid line).
【0066】本発明による認証アプリケーション、管理
アプリケーションの第3実施形態における処理の流れ
は、図5に示すように、S103、S111において、
認証選択部25が未認証のPIN認証アプリ522又は
認証オブジェクト52−3を選択し、実行すること以外
の部分では、第1実施形態における処理と略同様である
(図5参照)。The flow of processing in the third embodiment of the authentication application and the management application according to the present invention is as shown in FIG.
The process is substantially the same as the process in the first embodiment except that the authentication selection unit 25 selects and executes the unauthenticated PIN authentication application 522 or the authentication object 52-3 (see FIG. 5).
【0067】このように、本実施形態によれば、各種認
証機能を要認証アプリケーション53−3に割り当てて
格納した場合であっても、第1実施形態と同様の効果を
得ることが可能となった。As described above, according to the present embodiment, even when various authentication functions are allocated and stored in the authentication-required application 53-3, the same effect as in the first embodiment can be obtained. It was
【0068】(変形形態)以上説明した実施形態に限定
されることなく、種々の変形や変更が可能であって、そ
れらも本発明の均等の範囲内である。例えば、各実施形
態において、ICカード1,1−2,1−3は、使用者
識別情報入力部210と同様の使用者識別情報入力手段
を備えていてもよい。より一層の利便性の向上を図るこ
とが可能である。(Modifications) The present invention is not limited to the above-described embodiments, and various modifications and changes can be made, which are also within the scope of the present invention. For example, in each embodiment, the IC cards 1, 1-2, 1-3 may include the same user identification information input means as the user identification information input unit 210. It is possible to further improve convenience.
【0069】各実施形態において、ICカード1,1−
2,1−3は、指紋認証機能及びPIN認証機能を一つ
の認証アプリケーションに備えていてもよい。In each embodiment, the IC cards 1, 1-
2 and 1-3 may have a fingerprint authentication function and a PIN authentication function in one authentication application.
【0070】各実施形態において、ICカード1,1−
2,1−3は、認証アプリ52等、書換えが行われない
と考えられるプログラムをROM30に記憶していても
よい。EEPROM50の限られた容量を他のアプリケ
ーションに割り当て、利便性を向上させることが可能で
ある。また、RAM30が管理テーブル510を記憶し
ていてもよい。管理アプリ51,51−2のテーブル書
換プログラムからアクセス可能な場所に記憶されていれ
ばよい。In each embodiment, the IC cards 1, 1-
The programs 2 and 1-3 may store in the ROM 30 a program such as the authentication application 52, which is considered not to be rewritten. It is possible to allocate the limited capacity of the EEPROM 50 to other applications and improve the convenience. Further, the RAM 30 may store the management table 510. It may be stored in a location accessible from the table rewriting program of the management applications 51 and 51-2.
【0071】各実施形態において、認証部21,22,
23,24は、使用者識別情報及び名義人識別情報であ
る使用者及び名義人の指紋、声紋、PINに基づいて認
証を行うが、虹彩、掌形、静脈パターン、網膜、署名
等、他のバイオメトリクス情報、バイオメトリクスの特
徴抽出済の情報に基づいて本人認証を行う認証部を備え
ていてもよい。使用者及び名義人を識別できる情報であ
って、照合できる情報であればよい。ICカード1.1
−2,1−3の用途等、諸条件に合わせた様々な種類の
本人認証を行うことが可能である。In each embodiment, the authentication units 21, 22,
23 and 24 perform authentication based on the user identification information and the owner identification information, that is, the fingerprints, voiceprints, and PINs of the user and the owner, but the iris, palm shape, vein pattern, retina, signature, etc. An authentication unit may be provided that authenticates the person based on the biometrics information and the information on which the characteristics of the biometrics have been extracted. Any information can be used as long as it can identify the user and the owner and can be collated. IC card 1.1
It is possible to perform various types of personal authentication in accordance with various conditions such as usage of -2 and 1-3.
【0072】各実施形態において、ICカード1,1−
2,1−3は、異なる4種類の使用者識別情報に基づい
て本人認証を行う4つの認証部21,22,23,24
を備えるが、異なる種類の使用者識別情報に基づいてそ
れぞれ本人認証を行う1〜3又は、5以上の認証部を備
えていてもよい。ICカード1,1−2,1−3の利用
方法、性能等、諸条件に応じて設定することが可能であ
る。In each embodiment, the IC cards 1, 1-
Reference numerals 2, 1-3 denote four authentication units 21, 22, 23, 24 that perform personal authentication based on four different types of user identification information.
However, it may be provided with 1 to 3 or 5 or more authentication units that respectively perform personal authentication based on different types of user identification information. It can be set according to various conditions such as usage and performance of the IC cards 1, 1-2 and 1-3.
【0073】各実施形態において、管理アプリ51,5
1−3やICカード1,1−2,1−3に搭載されてい
る他のアプリケーションがファイルシステムを提供して
いる場合には、このファイルシステムに名義人識別情報
を格納してもよい。In each embodiment, the management applications 51, 5
When the file system is provided by another application mounted on the 1-3 or the IC cards 1, 1-2, 1-3, the holder identification information may be stored in this file system.
【0074】第1実施形態又は第3実施形態において、
ICカード1,1−3は、外部装置2から管理アプリ5
1,51−3へ認証選択要求があった場合に、この認証
選択要求に応じて認証アプリケーション52を選択し、
認証結果をレスポンスとして返してもよい。また、IC
カード1,1−3は、外部装置2から所定の認証結果を
要求する認証結果要求があった場合に、この認証結果要
求の内容によって、管理テーブル510の対応するフラ
グを返してもよい。In the first or third embodiment,
The IC cards 1 and 1-3 are managed by the external device 2 through the management application 5
When there is an authentication selection request to 1, 51-3, the authentication application 52 is selected according to this authentication selection request,
The authentication result may be returned as a response. Also, IC
When there is an authentication result request for requesting a predetermined authentication result from the external device 2, the cards 1, 1-3 may return the corresponding flag of the management table 510 depending on the content of the authentication result request.
【0075】第1実施形態又は第3実施形態において、
共有管理テーブル510に各認証アプリケーション52
が認証をしなかった回数である不許可回数をそれぞれの
認証アプリケーションの名前に結びつけて記憶し、不許
可回数が所定の回数に達した場合には、フラグを閉塞と
してもよい。ICカードの利便性を向上させることが可
能である。また、管理テーブル510のフラグに閉塞の
状況を示す「2」等、他の状況のフラグを設定してもよ
い。閉塞となった場合には、テーブル書換部26は、フ
ラグの「2」から「1」へ書き換えることができず、フ
ラグは、原則として認証済みの状況を示すことはない。
多様な認証の管理ができ、ICカード1の利便性を向上
させることが可能である。In the first or third embodiment,
Each authentication application 52 is added to the shared management table 510.
The number of times of disapproval, which is the number of times of authentication, is stored in association with the name of each authentication application, and when the number of times of disapproval reaches a predetermined number, the flag may be blocked. It is possible to improve the convenience of the IC card. Further, the flags of the management table 510 may be set with flags of other situations such as "2" indicating the situation of blockage. In the case of blockage, the table rewriting unit 26 cannot rewrite the flag from “2” to “1”, and the flag does not indicate the authenticated status in principle.
It is possible to manage various authentications and improve the convenience of the IC card 1.
【0076】[0076]
【発明の効果】以上詳しく説明したように、本発明によ
れば、以下のような効果を得ることが可能となった。
(1)認証アプリケーションは、使用者が名義人である
か否かの判定を行う認証機能を主機能とし、認証アプリ
ケーションの外部から呼び出された場合にのみ、この判
定を行う判定認証手順を備えることによって、他のアプ
リケーションとの整合を取ることの容易化を図り、利便
性及び汎用性の向上を図る。
(2)認証結果を一のアプリケーション内にまとめて記
憶することによって、処理の効率化を図るとともに、利
便性を高める。
(3)要認証アプリケーションと、認証アプリケーショ
ンを結びつける情報を一のアプリケーション内にまとめ
て記憶すること、また、認証要求に応じて認証アプリケ
ーションを選択することによって、処理の効率化を図る
とともに、利便性を高める。
(4)それぞれ異なる複数の種類の使用者識別情報に基
づいて認証を行うことによって、複数の認証を組み合わ
せてシステム全体の認証精度を高める。As described in detail above, according to the present invention, the following effects can be obtained. (1) The authentication application has a main function of an authentication function for determining whether or not the user is a holder, and has a determination authentication procedure for performing this determination only when called from outside the authentication application. This makes it easier to match with other applications, and improves convenience and versatility. (2) By collectively storing the authentication result in one application, the processing efficiency is improved and the convenience is improved. (3) The authentication-required application and the information linking the authentication application are collectively stored in one application, and the authentication application is selected in accordance with the authentication request, so that the processing efficiency is improved and the convenience is improved. Increase. (4) By performing authentication based on a plurality of different types of user identification information, the plurality of authentications are combined to improve the authentication accuracy of the entire system.
【図1】本発明によるICカードの第1実施形態を示す
ブロック図である。FIG. 1 is a block diagram showing a first embodiment of an IC card according to the present invention.
【図2】本発明による認証アプリケーション、管理アプ
リケーション、要認証アプリケーション及びICカード
の第1実施形態を説明する論理構造図である。FIG. 2 is a logical structure diagram illustrating a first embodiment of an authentication application, a management application, an authentication required application, and an IC card according to the present invention.
【図3】EEPROM50に格納されているアプリケー
ション間の共有関係を示す図である。FIG. 3 is a diagram showing a sharing relationship between applications stored in an EEPROM 50.
【図4】管理テーブルを説明する図である。FIG. 4 is a diagram illustrating a management table.
【図5】本発明による認証アプリケーション、管理アプ
リケーション及び要認証アプリケーションの第1実施形
態を示すフローチャートである。FIG. 5 is a flowchart showing a first embodiment of an authentication application, a management application, and an authentication required application according to the present invention.
【図6】本発明による認証アプリケーション、管理アプ
リケーション及び要認証アプリケーション間における共
有アクセスを説明する図である。FIG. 6 is a diagram illustrating shared access among an authentication application, a management application, and an authentication required application according to the present invention.
【図7】本発明によるICカードの第2実施形態を示す
ブロック図である。FIG. 7 is a block diagram showing a second embodiment of an IC card according to the present invention.
【図8】本発明による認証アプリケーション及び要認証
アプリケーション及びICカードの第2実施形態を説明
する論理構造図である。FIG. 8 is a logical structure diagram illustrating a second embodiment of an authentication application, an authentication required application, and an IC card according to the present invention.
【図9】本発明による認証アプリケーション及び要認証
アプリケーションの第2実施形態を示すフローチャート
である。FIG. 9 is a flowchart showing a second embodiment of an authentication application and an authentication required application according to the present invention.
【図10】本発明による認証アプリケーション、管理ア
プリケーション、要認証アプリケーション及びICカー
ドの第3実施形態を説明する図である。FIG. 10 is a diagram illustrating a third embodiment of an authentication application, a management application, an authentication required application, and an IC card according to the present invention.
【図11】従来のICカードの処理を説明するフローチ
ャートである。FIG. 11 is a flowchart illustrating processing of a conventional IC card.
【図12】ICカードのメモリを説明する概略図であ
る。FIG. 12 is a schematic diagram illustrating a memory of an IC card.
1,1−2,1−3 ICカード 2 外部装置 10 I/Oインターフェイス 20,20−2 CPU 21,22,23,24 認証部 25 認証選択部 26 テーブル書換部 30 RAM 40 ROM 50,50−2,50−3 EEPROM 51,51−3 管理アプリ 52,52−2 認証アプリケーション 53,53−2,53−3 要認証アプリケーション 210 使用者識別情報入力部 1,1-2,1-3 IC card 2 External device 10 I / O interface 20, 20-2 CPU 21,22,23,24 Authentication section 25 Authentication selection section 26 Table rewriting section 30 RAM 40 ROM 50, 50-2, 50-3 EEPROM 51,51-3 Management app 52,52-2 Authentication application 53,53-2,53-3 Required authentication application 210 User identification information input section
Claims (11)
Cカードに搭載され、本人認証を行うためにCPUを実
行させる認証アプリケーションであって、 他のアプリケーション等の外部からアクセスされた場合
にのみ、使用者識別情報に基づいて使用者が名義人であ
るか否かを判定し、肯の場合に本人認証を行う判定認証
手順を備えること、 を特徴とする認証アプリケーション。1. An I capable of mounting a plurality of applications
An authentication application that is mounted on a C card and that executes a CPU to perform personal authentication, and the user is the holder based on the user identification information only when accessed from outside such as another application. An authentication application characterized by comprising a judgment and authentication procedure for judging whether or not it is, and if it is affirmative, authenticating the person.
において、 前記判定認証手順における結果である認証結果を記憶す
る認証結果記憶手順を備えること、 を特徴とする認証アプリケーション。2. The authentication application according to claim 1, further comprising an authentication result storage procedure for storing an authentication result which is a result of the determination authentication procedure.
リケーションにおいて、 前記ICカードに搭載されている他の一のアプリケーシ
ョンへアクセスし、前記判定認証手順における結果であ
る認証結果を前記一のアプリケーション内で記憶するア
クセス認証結果記憶手順を備えること、 を特徴とする認証アプリケーション。3. The authentication application according to claim 1 or 2, wherein another application installed in the IC card is accessed and an authentication result which is a result of the determination authentication procedure is displayed in the one application. An authentication application characterized by having an access authentication result storage procedure stored in the application.
使用者識別情報に基づいて使用者が名義人であるか否か
を判定し、肯の場合に本人認証を行う判定認証手順を前
記CPUに実行させる複数の認証アプリケーションを記
憶する認証アプリケーション記憶手段とを備えるICカ
ードに搭載され、本人認証を管理するために前記CPU
を実行させる管理アプリケーションであって、 認証選択要求があった場合に、この認証選択要求に応じ
て前記CPUが実行すべき前記認証アプリケーションを
選択する認証選択手順を備えること、 を特徴とする管理アプリケーション。4. A determination authentication procedure for determining whether or not a user is a holder based on the CPU and a plurality of different types of user identification information, and if the result is affirmative, the CPU is provided with a determination authentication procedure. The CPU is mounted on an IC card including an authentication application storage unit that stores a plurality of authentication applications to be executed, and the CPU is used to manage personal authentication.
A management application for executing the authentication selection request, the management application having an authentication selection procedure for selecting the authentication application to be executed by the CPU in response to the authentication selection request. .
において、 前記判定認証手順における結果である認証結果を記憶す
る認証結果記憶手順を備えること、 を特徴とする管理アプリケーション。5. The management application according to claim 4, further comprising an authentication result storage procedure for storing an authentication result which is a result of the determination authentication procedure.
所定の本人認証が行われていることを主機能の実行要件
とする要認証アプリケーションであって、 前記ICカードに搭載されている一又は複数の他のアプ
リケーションにアクセスし、このアプリケーションが有
する前記所定の本人認証を行う機能を前記CPUに実行
させるアクセス認証手順を備えること、を特徴とする要
認証アプリケーション。6. An IC card equipped with a CPU,
An authentication-required application whose main function is that a predetermined identity authentication is performed, wherein one or a plurality of other applications installed in the IC card are accessed to access the predetermined application. An authentication-required application, comprising an access authentication procedure for causing the CPU to execute the function of authenticating the person.
が名義人であるか否かを判定し、肯の場合に本人認証す
る判定認証手順を前記CPUに実行させる請求項1又は
請求項2に記載の複数の認証アプリケーションを記憶す
る認証アプリケーション記憶手段と、 を備えるICカード。7. The CPU and the CPU are caused to execute a judgment authentication procedure for judging whether or not the user is a holder based on different types of user identification information, and authenticating the user if the user is affirmative. An IC card, comprising: an authentication application storage unit that stores the plurality of authentication applications according to claim 1 or 2.
基づいて使用者が名義人であるか否かを判定し、肯の場
合に本人認証する複数の認証手段と、 認証選択要求があった場合に、この要求に応じて前記判
定を行うべき認証手段を選択する認証選択手段と、 を備えるICカード。8. A plurality of authentication means for determining whether or not a user is a holder based on different types of user identification information, and if affirmative, a plurality of authentication means and an authentication selection request. And an authentication selection unit that selects an authentication unit that should make the determination in response to the request.
とし、前記認証選択要求を行う要認証アプリケーション
を記憶する要認証アプリ記憶手段と、 前記CPUに実行させることによって前記複数の認証手
段を実現する複数の認証アプリケーションを記憶する認
証アプリケーション記憶手段と、 前記要認証アプリケーションを識別する要認証アプリケ
ーション識別情報と、前記認証アプリケーションを識別
する認証アプリケーション識別情報とを関連づけた認証
選択情報を、前記要認証アプリケーションからアクセス
可能な管理アプリケーション内で記憶する認証選択情報
記憶手段とを備え、 前記認証選択手段は、前記認証選択情報に基づいて選択
を行うこと、 を特徴とするICカード。9. The IC card according to claim 8, wherein a CPU and a predetermined identity authentication are used as main function execution requirements, and an authentication required application for storing the authentication selection request is stored. Application storage means, authentication application storage means for storing a plurality of authentication applications for realizing the plurality of authentication means by causing the CPU to execute, authentication-required application identification information for identifying the authentication-required application, and the authentication application Authentication selection information associated with the authentication application identification information for identifying the authentication selection information storage means for storing in the management application accessible from the authentication-required application, the authentication selection means, in the authentication selection information Making a selection based on IC card.
て、 前記認証アプリケーション記憶手段は、請求項1又は請
求項2に記載の認証アプリケーションを記憶すること、 を特徴とするICカード。10. The IC card according to claim 9, wherein the authentication application storage unit stores the authentication application according to claim 1 or 2.
カードにおいて、 前記判定認証手順における結果である認証結果を一のア
プリケーション内で記憶する認証結果記憶手段とを備え
ること、 を特徴とするICカード。11. The IC according to claim 9 or 10.
An IC card, comprising: an authentication result storage unit that stores an authentication result, which is a result of the determination authentication procedure, in one application.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002009383A JP2003216585A (en) | 2002-01-18 | 2002-01-18 | Authentication application, management application, authentication request application and ic card |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002009383A JP2003216585A (en) | 2002-01-18 | 2002-01-18 | Authentication application, management application, authentication request application and ic card |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003216585A true JP2003216585A (en) | 2003-07-31 |
Family
ID=27647399
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002009383A Pending JP2003216585A (en) | 2002-01-18 | 2002-01-18 | Authentication application, management application, authentication request application and ic card |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003216585A (en) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006119811A (en) * | 2004-10-20 | 2006-05-11 | Seiko Epson Corp | Ic card |
| JP2006119810A (en) * | 2004-10-20 | 2006-05-11 | Seiko Epson Corp | Ic card |
| JP2007133528A (en) * | 2005-11-09 | 2007-05-31 | Hitachi Systems & Services Ltd | Transaction system |
| JP2008040744A (en) * | 2006-08-04 | 2008-02-21 | Toppan Printing Co Ltd | Information carrier with ic, and information management method |
| US7357313B2 (en) | 2005-09-15 | 2008-04-15 | Hitachi, Ltd. | Information processor-based service providing system and method |
| JP2008257492A (en) * | 2007-04-05 | 2008-10-23 | Fuji Xerox Co Ltd | Authentication processing program, information processing program, authentication processing device, authentication processing system, and information processing system |
| JP2008293216A (en) * | 2007-05-23 | 2008-12-04 | Softbank Bb Corp | Authentication system, authentication method, and authentication program |
| JP2009122833A (en) * | 2007-11-13 | 2009-06-04 | Toppan Printing Co Ltd | Application processor, application processing method, program thereof and embedded equipment |
| JP2009223502A (en) * | 2008-03-14 | 2009-10-01 | Ntt Communications Kk | Authentication system, authentication method, server device, authentication device and program |
| JP2009230215A (en) * | 2008-03-19 | 2009-10-08 | Toshiba Corp | Ic card, and control method for application program to be used for ic card |
| JP2010506292A (en) * | 2006-10-04 | 2010-02-25 | トレック・2000・インターナショナル・リミテッド | External storage device authentication method, apparatus and system |
| JP2011039581A (en) * | 2009-08-06 | 2011-02-24 | Dainippon Printing Co Ltd | Semiconductor device, control method for semiconductor device, and control program for semiconductor device |
| JP2013196296A (en) * | 2012-03-19 | 2013-09-30 | Toshiba Corp | Portable electronic apparatus and ic card |
| JP2021182394A (en) * | 2019-11-05 | 2021-11-25 | ブレイニー株式会社 | Integrated circuit |
-
2002
- 2002-01-18 JP JP2002009383A patent/JP2003216585A/en active Pending
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006119811A (en) * | 2004-10-20 | 2006-05-11 | Seiko Epson Corp | Ic card |
| JP2006119810A (en) * | 2004-10-20 | 2006-05-11 | Seiko Epson Corp | Ic card |
| US7357313B2 (en) | 2005-09-15 | 2008-04-15 | Hitachi, Ltd. | Information processor-based service providing system and method |
| JP2007133528A (en) * | 2005-11-09 | 2007-05-31 | Hitachi Systems & Services Ltd | Transaction system |
| JP2008040744A (en) * | 2006-08-04 | 2008-02-21 | Toppan Printing Co Ltd | Information carrier with ic, and information management method |
| US8412865B2 (en) | 2006-10-04 | 2013-04-02 | Trek 2000 International Ltd. | Method, apparatus and system for authentication of external storage devices |
| JP2010506292A (en) * | 2006-10-04 | 2010-02-25 | トレック・2000・インターナショナル・リミテッド | External storage device authentication method, apparatus and system |
| JP2008257492A (en) * | 2007-04-05 | 2008-10-23 | Fuji Xerox Co Ltd | Authentication processing program, information processing program, authentication processing device, authentication processing system, and information processing system |
| JP2008293216A (en) * | 2007-05-23 | 2008-12-04 | Softbank Bb Corp | Authentication system, authentication method, and authentication program |
| JP2009122833A (en) * | 2007-11-13 | 2009-06-04 | Toppan Printing Co Ltd | Application processor, application processing method, program thereof and embedded equipment |
| JP2009223502A (en) * | 2008-03-14 | 2009-10-01 | Ntt Communications Kk | Authentication system, authentication method, server device, authentication device and program |
| JP2009230215A (en) * | 2008-03-19 | 2009-10-08 | Toshiba Corp | Ic card, and control method for application program to be used for ic card |
| JP2011039581A (en) * | 2009-08-06 | 2011-02-24 | Dainippon Printing Co Ltd | Semiconductor device, control method for semiconductor device, and control program for semiconductor device |
| JP2013196296A (en) * | 2012-03-19 | 2013-09-30 | Toshiba Corp | Portable electronic apparatus and ic card |
| JP2021182394A (en) * | 2019-11-05 | 2021-11-25 | ブレイニー株式会社 | Integrated circuit |
| JP7160402B2 (en) | 2019-11-05 | 2022-10-25 | ブレイニー株式会社 | integrated circuit |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6324537B1 (en) | Device, system and method for data access control | |
| JPH11120300A (en) | Portable card medium, memory space managing method for portable card medium, issuing method for portable card medium, program data writing method for portable card medium, and medium on which memory space managing program is recorded | |
| AU681754B2 (en) | Data exchange system comprising portable data processing units | |
| US20040088562A1 (en) | Authentication framework for smart cards | |
| US7890425B2 (en) | Card-less financial transaction | |
| US20060047954A1 (en) | Data access security implementation using the public key mechanism | |
| US20070185875A1 (en) | Extensible role based authorization for manageable resources | |
| JP2003216585A (en) | Authentication application, management application, authentication request application and ic card | |
| EP1389759A2 (en) | Method of data caching from a smartcard | |
| US20070040021A1 (en) | User identification infrastructure system | |
| JP2003524252A (en) | Controlling access to resources by programs using digital signatures | |
| US20070283003A1 (en) | System and method for provisioning a computer system | |
| TWI259365B (en) | Microprocessor circuit for data carriers and method for organizing access to data stored in a memory | |
| US20060136741A1 (en) | Two factor token identification | |
| US10298566B1 (en) | Bank speech authentication | |
| EP1456759B1 (en) | Access control method and device in an embedded system | |
| JP2003203213A (en) | Authentication management application, authentication application and ic card | |
| US8161546B2 (en) | Partitioning data on a smartcard dependent on entered password | |
| KR100941743B1 (en) | Method and apparatus for multi-table accessing of input/output devices using target security | |
| JPH09259235A (en) | Portable information storage medium, applicant information input device, portable information storage medium system, and data access method for portable information storage medium | |
| JP6899478B1 (en) | Coordinator, program, and information processing method | |
| JP2003196625A (en) | Ic card program and ic card | |
| JPH10334197A (en) | Simple password input device | |
| JP4358830B2 (en) | Computer control method and computer control system using externally connected device | |
| JP4291068B2 (en) | IC card and IC card system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050114 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20061116 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080130 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080226 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080701 |