JP2005196412A - データ通信装置及びデータ通信装置のメモリ管理方法 - Google Patents

データ通信装置及びデータ通信装置のメモリ管理方法 Download PDF

Info

Publication number
JP2005196412A
JP2005196412A JP2004001360A JP2004001360A JP2005196412A JP 2005196412 A JP2005196412 A JP 2005196412A JP 2004001360 A JP2004001360 A JP 2004001360A JP 2004001360 A JP2004001360 A JP 2004001360A JP 2005196412 A JP2005196412 A JP 2005196412A
Authority
JP
Japan
Prior art keywords
file system
card
area
package
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004001360A
Other languages
English (en)
Inventor
Taro Kurita
太郎 栗田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp filed Critical Sony Corp
Priority to JP2004001360A priority Critical patent/JP2005196412A/ja
Priority to CNB2004800400009A priority patent/CN100422961C/zh
Priority to EP04807559.2A priority patent/EP1703408B1/en
Priority to PCT/JP2004/019202 priority patent/WO2005066803A1/ja
Priority to US10/585,256 priority patent/US7516479B2/en
Publication of JP2005196412A publication Critical patent/JP2005196412A/ja
Priority to HK07102548.6A priority patent/HK1097612A1/xx
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/357Cards having a plurality of specified features
    • G06Q20/3576Multiple memory zones on card

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】 単一のメモリ領域上にサービス提供元事業者毎のファイル・システムを割り当て、単一の情報記憶媒体を複数の事業者で共有する。
【解決手段】 初期状態ではICカード発行者がメモリ領域全体を管理している。他のサービス提供元事業者がメモリ領域から新たなファイル・システムを分割するとき、メモリ領域の分割権限とICカード発行者に対する認証の双方が要求される。ファイル分割後は、ファイル・システムへのアクセスは、分割したサービス提供元事業者への認証が要求される。ユーザにとっては、各サービス利用時において事業者自らが発行したICカードであるかのような使い勝手が確保される。
【選択図】 図10

Description

本発明は、比較的大容量のメモリ領域を備えたデータ通信装置及びデータ通信装置のメモリ管理方法に係り、特に、メモリ領域上に電子的な価値情報を格納して電子決済を始めとするセキュアな情報のやり取りを行なうデータ通信装置及びデータ通信装置のメモリ管理方法に関する。
さらに詳しくは、本発明は、メモリ領域上にサービス提供元事業者用のファイル・システムを割り当てて、ファイル・システム内で当該事業者によるサービス運用のための情報を管理するデータ通信装置及びデータ通信装置のメモリ管理方法に係り、特に、単一のメモリ領域上にサービス提供元事業者毎のファイル・システムを割り当て、単一のデータ通信装置を複数の事業者で共有し、単一のデータ通信装置により複数のサービスを提供するデータ通信装置及びデータ通信装置のメモリ管理方法に関する。
局所でのみ適用可能な無線通信手段の一例として、非接触ICカードを挙げることができる。
この種の無線通信には、一般に、電磁誘導の原理に基づいて実現される。すなわち、メモリ機能を有するICカードと、ICカードのメモリに対して読み書きアクセスをするカード・リーダ/ライタで構成され、1次コイルとしてのICカード側のループ・コイルと2次コイルとしてのカード・リーダ/ライタ側のアンテナが系として1個のトランスを形成している。そして、カード・リーダ/ライタ側からICカードに対して、電力と情報を同じく電磁誘導作用により伝送し、ICカード側では供給された電力によって駆動してカード・リーダ/ライタ側からの質問信号に対して応答することができる。
カード・リーダ/ライタ側では、アンテナに流す電流を変調することで、ICカード上のループ・コイルの誘起電圧が変調を受けるという作用により、カード・リーダ/ライタからICカードへのデータ送信を行なうことができる。また、ICカードは、ループ・コイルの端子間の負荷変動により、ICカード・リーダ/ライタ側のアンテナ端子間のインピーダンスが変化してアンテナの通過電流や電圧が変動するという作用により、カード・リーダ/ライタへの返信を行なう。
ICカードに代表される非接触・近接通信システムは、操作上の手軽さから、広範に普及している。例えば、暗証コードやその他の個人認証情報、電子チケットなどの価値情報などをICカードに格納しておく一方、キャッシュ・ディスペンサやコンサート会場の出入口、駅の改札口などにカード・リーダ/ライタを設置しておく。そして、利用者がICカードをカード・リーダ/ライタにかざすことで、非接触でアクセスし、認証処理を行なうことができる。
最近では、微細化技術の向上とも相俟って、比較的大容量のメモリ空間を持つICカードが出現している。大容量メモリ付きのICカードによれば、複数のアプリケーションを同時に格納しておくことができるので、1枚のICカードを複数の用途に利用することができる。例えば、1枚のICカード上に、電子決済を行なうための電子マネーや、特定のコンサート会場に入場するための電子チケットなど、多数のアプリケーションを格納しておくことにより、1枚のICカードをさまざまな用途に適用させることができる。ここで言う電子マネーや電子チケットは、利用者が提供する資金に応じて発行される電子データを通じて決済(電子決済)される仕組み、又はこのような電子データ自体を指す。
ICカードの一般的な使用方法は、利用者がICカードをカード・リーダ/ライタをかざすことによって行なわれる。カード・リーダ/ライタ側では常にICカードをポーリングしており外部のICカードを発見することにより、両者間の通信動作が開始する。
このとき、利用者が暗証番号をICカード・リーダ側に入力して、入力された暗証番号をICカード上に格納された暗証番号と照合することで、ICカードとICカード・リーダ/ライタ間で本人確認又は認証処理が行なわれる。ICカード・アクセス時に使用する暗証番号のことを、特にPIN(Personal Identification Number)と呼ぶ。そして、本人確認又は認証処理に成功した場合には、例えば、ICカード内に保存されているアプリケーションの利用、すなわち、アプリケーションに割り当てられているサービス・メモリ領域へのアクセスが可能となる(本明細書中では、アプリケーションに割り当てられているメモリ領域を「サービス・メモリ領域」と呼ぶ)。サービス・メモリ領域へのアクセスは、アプリケーションのセキュリティ・レベルなどに応じて、適宜暗号化通信が行なわれる。
さらに、ICカードやカード用リーダ/ライタ(カード読み書き装置)が無線・非接触インターフェースの他に、外部機器と接続するための有線インターフェース(図示しない)を備えることにより、ICカードやリーダ/ライタの機能を携帯電話機、PDA(Personal Digital Assistance)やCE(Consumer Electronics)機器、パーソナル・コンピュータなどの各デバイスにICカード及びカード・リーダ/ライタのいずれか一方又は双方の機能を装備することができる。このような場合、ICカード技術を汎用性のある双方向の近接通信インターフェースとして利用することができる。
例えば、コンピュータや情報家電機器のような機器同士で近接通信システムが構成される場合には、ICカードを利用した通信が一対一で行なわれる。また、ある機器が非接触ICカードのような機器以外の相手デバイスと通信することも可能であり、この場合においては、1つの機器と複数のカードにおける一対多の通信を行なうアプリケーションも考えられる。
また、電子決済を始めとする外部との電子的な価値情報のやり取りなど、ICカードを利用したさまざまなアプリケーションを、情報処理端末上で実行することができる。例えば、情報処理端末上のキーボードやディスプレイなどのユーザ・インターフェースを用いてICカードに対するユーザ・インタラクションを情報処理端末上で行なうことができる。また、ICカードが携帯電話機と接続されていることにより、ICカード内に記憶された内容を電話網経由でやり取りすることもできる。さらに、携帯電話機からインターネット接続して利用代金をICカードで支払うことができる。
あるサービス提供元事業者用のファイル・システムをICカードの内蔵メモリに割り当てて、このファイル・システム内で当該事業者によるサービス運用のための情報(例えば、ユーザの識別・認証情報や残りの価値情報、使用履歴(ログ)など)を管理することにより、従来のプリペイド・カードや店舗毎のサービス・カードに置き換わる、非接触・近接通信を基調とした有用なサービスを実現することができる。
従来、サービス提供元事業者毎にICカードが個別に発行され、ユーザの利用に供されていた。このため、ユーザは、享受するサーヒス毎にICカードを取り揃え、携帯しなければならなかった。これに対し、比較的大容量のメモリ空間を持つICカードによれば、単一のICカードの内蔵メモリに複数のサービスに関する情報を記録するだけの十分な容量を確保することができる。
ここで、プリペイド・カードなどの前払式証票に関しては、その発行などの業務の適正な運営を確保して、前払式証票の購入者らの利益保護と前払式証票の信用維持を図ることを主な目的として、前払式証票の発行者に対して登録やその他の必要な規制を行なうための「前払式証票の規制等に関する法律」(通称、「プリカ法」)が制定されており、利用者の便宜や流通秩序維持などの目的で、ロゴや問い合わせ先などの所定事項をプリペイド・カード上(券面)に表示することが義務付けられている(同法第12条を参照のこと)。
ICカードのメモリ機能に前払情報を格納することによってプリペイド・カードを実現する場合、法で規制される必要な情報を媒体上に印刷しておくことにより、単一のサービスしか提供できなくなる。これに対し、ICカード機能を携帯電話機のような表示機能を持つ携帯端末上で利用する場合には、希望する価値情報に関連する情報を画面表示させることにより(例えば、特許文献1を参照のこと)、上記の法規制を満たすことができ、複数のサービス提供元事業者による共有が可能となる。したがって、サービス提供元事業者においてはカード発行の負担が軽減するとともに、ユーザにとっては携帯して管理するICカードの枚数を削減することができる。
ところが、複数のサービス提供元事業者間で単一のメモリ領域を共有した場合、あるサービス提供元事業者が使用するメモリ領域を、メモリを共用する別の事業者から自由にアクセスできるようにすると、事業者毎に設定される価値情報が他の事業者によって不正利用を許してしまうことになりかねない。この結果、事業者側では健全なサービス提供を行なえなくなり、また、ユーザにとっては換金性の高い価値情報が流出の危機にさらされ、経済的な損害を被る。
したがって、ICカードを複数のサービス提供元事業者間で共用する場合には、ユーザにとっては各サービス利用時において事業者自らが発行したICカードであるかのような使い勝手を確保する一方、メモリ領域上の事業者毎の情報をセキュアに管理する機構を備えている必要がある。
特開2003−141434号公報
本発明の目的は、メモリ領域上に電子的な価値情報を格納して電子決済を始めとするセキュアな情報のやり取りを好適に行なうことができる、優れたデータ通信装置及びデータ通信装置のメモリ管理方法を提供することにある。
本発明のさらなる目的は、ユーザにとっては各サービス利用時において事業者自らが発行したICカードであるかのような使い勝手を確保する一方、メモリ領域上の事業者毎の情報をセキュアに管理する機構を備え、単一のICカードを複数のサービス提供元事業者間で共用することができる、優れたデータ通信装置及びデータ通信装置のメモリ管理方法を提供することにある。
本発明は、上記課題を参酌してなされたものであり、メモリ空間を備え、1以上のファイル・システムに分割して管理するデータ通信装置であって、
分割権限鍵を保持し、前記メモリ空間のファイル・システムへのアクセスを管理する制御手段と、
第1のサービス提供元の発行者鍵を保持し、メモリ空間上に割り当てられた第1のファイル・システムとを備え、
第2のサービス提供元の発行者鍵を前記分割権限鍵で暗号化した分割素パッケージと新規のファイル・システムに関する情報を含んだデータ・ブロックを第1のサービス提供元の発行者鍵で暗号化した分割パッケージを受信すると、
前記第1のファイル・システムにおいて分割パッケージを解読して分割素パッケージを取り出し、
前記制御手段において分割素パッケージを解読し、前記メモリ空間の空き領域から、新規のファイル・システムに関する情報に従って、第2のサービス提供元の発行者鍵を保持した第2のファイル・システムを分割する、
ことを特徴とするデータ通信装置である。ここで言うデータ通信装置は、無線通信部および、データ送受信機能とデータ処理部を有するICチップを内蔵する非接触ICカード、表面に端子を有する接触ICカード、接触/非接触ICカードと同様の機能を有するICチップを携帯電話機、PHS(Personal Handyphone System)、PDA(Personal Digital Assistance)などの情報通信端末装置に内蔵した装置である。このデータ通信装置は、EEPROMなどのデータ蓄積メモリを含むメモリ領域とデータ処理部を有するとともに、データ通信機能を有するものである。携帯電話機などの場合は、ICチップを内蔵するICカードなどの外部記憶媒体を着脱可能に構成してもよい。また、携帯電話会社が発行する契約者情報を記録したSIM(Subscriber Identity Module)機能をICチップに搭載してもよい。データ通信装置は、インターネット等の情報通信ネットワークを介してデータ通信を行なっても、外部端末装置と有線あるいは無線で直接データ通信を行なってもよい。
本発明は、ICカードが持つ耐タンパ性と認証機能を利用して、価値情報のやり取りなどを含んだセキュリティが要求されるサービスを提供するものである。より具体的には、ICカード内の単一のメモリ領域を複数のサービス提供元事業者間で共有し、サービス提供元事業者においてはカード発行の負担が軽減するとともに、ユーザにとっては携帯して管理するICカードの枚数を削減するものである。
ここで、複数のサービス提供元事業者間で単一のメモリ領域を共有した場合、あるサービス提供元事業者が使用するメモリ領域を、メモリを共用する別の事業者から自由にアクセスできるようにすると、事業者毎に設定される価値情報が他の事業者によって不正利用を許してしまう、という問題がある。
本発明では、単一のメモリ領域上にサービス提供元事業者毎のファイル・システムを割り当て、単一のデータ通信装置を複数の事業者で共有し、単一のデータ通信装置により複数のサービスを提供するようにした。メモリ領域をファイル・システムに分割することにより、ファイル・システム間の境界がファイヤ・ウォールとして機能し、他のファイル・システム(すなわち他のサービス提供元事業者)からのアクセス(不正侵入)を好適に排除することができる。
ICカード内のメモリ領域は、初期状態では、元のICカード発行者がメモリ領域全体を管理している。ICカード発行者以外のサービス提供元事業者がメモリ領域から新たなファイル・システムを分割するに際しては、メモリ領域の分割権限と、元のICカード発行者に対する認証の双方が要求される。
例えば、新たなサービス提供元事業者としての第2のサービス提供元がICカードのメモリ領域上でファイル・システムを分割したい場合には、その事前処理として、第1のサービス提供元としての元のカード発行者に対して、メモリ領域の使用に関する許可を求める。そして、元のカード発行者はメモリ領域の使用、すなわちメモリの空き領域からファイル・システムの分割をすることを許可する場合には、分割技術管理者から、ファイル・システムの分割に必要となる「分割素パッケージ」を取得する。
ここで、分割技術管理者は、新たに分割して作成されるファイル・システムの領域鍵KIi、システム・コードSCiを割り振り、これらで構成されるデータ・ブロックを分割権限鍵Kdで暗号化して分割素パッケージを作成し、これをカード発行者に渡す。カード発行者自身は、分割権限鍵Kdを保持していないので渡された分割素パッケージを解読したりこれを改竄したりすることはできない。
そして、カード発行者は、取得した分割素パッケージと、新たなサービス提供元事業者に使用を許可する分割領域の大きさ(ブロック数)とからなるデータ・ブロックをさらに自己の発行者鍵KIで暗号化して、分割パッケージを作成する。分割パッケージは、カード発行者鍵KIで暗号化されているので、第3者が分割パッケージを解読したり分割領域の大きさなどを改竄したりすることはできない。
カード発行者は、分割パッケージを用いてファイル・システムの分割要求を行なう。分割要求がICカードのオペレーティング・システムに届くと、引数に含まれるエリアIDに基づいて、分割パッケージがカード発行者のファイル・システムへ渡され、カード発行者鍵KIで解読され、分割素パッケージと分割領域の大きさが取り出される。
ICカードのオペレーティング・システムは、カード発行者のファイル・システムから分割素パッケージと分割領域の大きさを受け取ると、分割素パッケージを分割権限鍵Kdで解読して、分割直後の領域鍵(第2のサービス提供元のデフォルト発行者鍵)KIiと、システム・コードSCiを取り出す。そして、要求されている分割領域の大きさ分の領域を分割し、この領域に発行者鍵KIiとシステム・コードSCiを設定して、新たなファイル・システムとする。
そして、一旦分割されると、ファイル・システムへのアクセスは、元のICカードの発行者ではなく、ファイル・システム自体のサービス提供元事業者への認証が要求される。したがって、ユーザにとっては、各サービス利用時において事業者自らが発行したICカードであるかのような使い勝手を確保することができる。
このような分割操作を繰り返すことにより、ICカード内のメモリ領域は複数のファイル・システムが共存する構造となる。ファイル・システムの分割は、仮想的なICカードの発行である。
メモリ空間上の各ファイル・システムにはエリア識別情報が割り振られている。そして、外部からのアクセスは、アクセス先となるファイル・システムの発行者鍵で暗号化されたパッケージで構成されている。このような場合、前記制御手段は、エリア識別情報とパッケージを引数とする外部からのアクセス要求に対し、エリア識別情報を基に該当するファイル・システムへパッケージを渡すようになっている。そして、ファイル・システムは自身の発行者鍵でパッケージを解読する。
したがって、ファイル・システムを所有するサービス提供元事業者は、自己の発行者鍵を用いることで、ICカードの制御システムや元のカード発行者からも秘密を保持した状態でファイル・システムと通信することができる。すなわち、元のICカード発行者とは独立してセキュリティに関する脅威を分析、管理、並びに運用することができるようになる。
また、前記制御手段は、新規のファイル・システムを分割する際に、発行者鍵、エリア識別情報とともに、システム・コードを該ファイル・システムに設定する。
このような場合、各サービス提供元は自己のシステム・コードを引数にしたエリア識別情報の取得要求を行なう。また、前記制御手段は、該要求に応答して、各ファイル・システムをポーリングし、該当するファイル・システムからエリア識別情報を取得し、これを要求元へ返すようにする。サービス提供元は、自己のシステム・コードを管理するだけでよく、ファイル・システムへアクセスする際に逐次的にエリア識別情報を取得し、これを引数としてアクセス要求することができる。
また、サービス提供元は、前記メモリ空間上に自己のファイル・システムを取得した後、分割時にデフォルトの発行者鍵やシステム・コードが設定される場合、これらを書き換えるようにしてもよい。この結果、サービス提供元は、ファイル・システムの分割を管理する分割技術管理者とは独立して、自己のファイル・システムのセキュリティに関する脅威を分析、管理、並びに運用することができるようになる。
本発明によれば、メモリ領域上に電子的な価値情報を格納して電子決済を始めとするセキュアな情報のやり取りを好適に行なうことができる、優れたデータ通信装置及びデータ通信装置のメモリ管理方法を提供することができる。
また、本発明によれば、ユーザにとっては各サービス利用時において事業者自らが発行したICカードであるかのような使い勝手を確保する一方、メモリ領域上の事業者毎の情報をセキュアに管理する機構を備え、単一のICカードを複数のサービス提供元事業者間で共用することができる、優れたデータ通信装置及びデータ通信装置のメモリ管理方法を提供することができる。
また、本発明によれば、単一のメモリ領域上にサービス提供元事業者毎のファイル・システムを割り当て、単一のデータ通信装置を複数の事業者で共有し、単一のデータ通信装置により複数のサービスを提供することができる、優れたデータ通信装置及びデータ通信装置のメモリ管理方法を提供することができる。
本発明のさらに他の目的、特徴や利点は、後述する本発明の実施形態や添付する図面に基づくより詳細な説明によって明らかになるであろう。
以下、図面を参照しながら本発明の実施形態について詳解する。
本発明は、ICカードが持つ耐タンパ性と認証機能を利用して、価値情報のやり取りなどを含んだセキュリティが要求されるサービスを提供するものであり、より具体的には、ICカード内の単一のメモリ領域を複数のサービス提供元事業者間で共有し、サービス提供元事業者においてはカード発行の負担が軽減するとともに、ユーザにとっては携帯して管理するICカードの枚数を削減するものである。
ここで、複数のサービス提供元事業者間で単一のメモリ領域を共有した場合、あるサービス提供元事業者が使用するメモリ領域を、メモリを共用する別の事業者から自由にアクセスできるようにすると、事業者毎に設定される価値情報が他の事業者によって不正利用を許してしまう、という問題がある。
本発明では、単一のメモリ領域上にサービス提供元事業者毎のファイル・システムを割り当て、単一のデータ通信装置を複数の事業者で共有し、単一のデータ通信装置により複数のサービスを提供するようにした。メモリ領域をファイル・システムに分割することにより、ファイル・システム間の境界がファイヤ・ウォールとして機能し、他のファイル・システム(すなわち他のサービス提供元事業者)からのアクセス(不正侵入)を好適に排除することができる。
ICカード内のメモリ領域は、初期状態では、元のICカード発行者がメモリ領域全体を管理している。ICカード発行者以外のサービス提供元事業者がメモリ領域から新たなファイル・システムを分割するに際しては、メモリ領域の分割権限と、元のICカード発行者に対する認証の双方が要求される。
そして、一旦分割されると、ファイル・システムへのアクセスは、元のICカードの発行者ではなく、ファイル・システム自体のサービス提供元事業者への認証が要求される。したがって、ユーザにとっては、各サービス利用時において事業者自らが発行したICカードであるかのような使い勝手を確保することができる。
ここで、まず、ICカード及びカード読み書き装置間の非接触データ通信の仕組みについて、図1及び図2を参照しながら説明する。
カード読み書き装置とICカード間の無線通信は、例えば電磁誘導の原理に基づいて実現される。図1には、電磁誘導に基づくカード読み書き装置とICカードとの無線通信の仕組みを概念的に図解している。カード読み書き装置は、ループ・コイルで構成されたアンテナLRWを備え、このアンテナLRWに電流IRWを流すことでその周辺に磁界を発生させる。一方、ICカード側では、電気的にはICカードの周辺にループ・コイルLcが形設されている。ICカード側のループ・コイルLc端にはカード読み書き装置側のループ・アンテナLcが発する磁界による誘導電圧が生じて、ループ・コイルLc端に接続されたICカードの端子に入力される。
カード読み書き装置側のアンテナLRWとICカード側のループ・コイルLcは、その結合度は互いの位置関係によって変わるが、系としては1個のトランスを形成していると捉えることができ、ICカードの読み書き動作を図2に示すようにモデル化することができる。
カード読み書き装置側では、アンテナLRWに流す電流IRWを変調することによって、ICチップ上のループ・コイルLcに誘起される電圧VOは変調を受け、そのことを利用してカード読み書き装置はICカードへのデータ送信を行うことができる。
また、ICカードは、カード読み書き装置へ返送するためのデータに応じてループ・コイルLcの端子間の負荷を変動させる機能(Load Switching)を持つ。ループ・コイルLcの端子間の負荷が変動すると、カード読み書き装置側ではアンテナ端子間のインピーダンスが変化して、アンテナLRWの通過電流IRWや電圧VRWの変動となって現れる。この変動分を復調することで、カード読み書き装置はICカードの返送データを受信することができる。
すなわち、ICカードは、カード読み書き装置からの質問信号に対する応答信号に応じて自身のアンテナ間の負荷を変化させることによって、カード読み書き装置側の受信回路に現れる信号に振幅変調をかけて通信を行なうことができる訳である。
ICカードは、カード型のデータ通信装置であってもよいし、いわゆるICカード機能を有する集積回路チップを携帯電話機等の情報通信端末機器に内蔵してもよい(ICカードが機器に内蔵される場合であっても、機器に着脱可能に構成される場合であっても、本明細書中では便宜上「ICカード」と呼ぶ場合がある。)また、ICカード機能を有する集積回路チップは、例えば携帯電話機やPDAなどの携帯端末、あるいはパーソナルコンピュータ(PC)などの情報処理端末に搭載されて外部機器とデータ通信を行なう。この場合、リーダ/ライタ装置と有線あるいは無線で接続するためのインターフェース以外に、外部機器接続用のインターフェースを備えている。
図3には、本発明の実施形態にかかるデータ通信装置のハードウェア構成を示している。このデータ通信装置は、通信用のアンテナを追加して内部の不揮発性メモリにアクセスすることができるICカード機能と、ICカード機能を有する外部装置に電力を供給するとともにデータ交換を実現するリーダ/ライタ機能を有し、カード機能アナログ回路部30、データ処理部40と、リーダ/ライタ機能アナログ回路部50を有するICチップを内蔵している。同図に示した例では、ICカードはカード読み書き機能も併せて備えているが、カード読み書き機能は本発明の必須の構成要素ではない。
カード機能アナログ回路部30では、アンテナ32で受信された搬送波は、整流器31で整流された後、データ処理部40内の信号処理部44に供給されるとともに、シリアル・レギュレータ33を介して論理回路38に供給されている。
論理回路38は、シリアル・レギュレータ33からの電圧を制御して、ICカードで使用するための適正な電源電圧VDDを供給するようになっている。
シリアル・レギュレータ33は、入力電圧の如何に拘わらず、出力電圧をほぼ一定に保つようになっている。すなわち、入力電圧が高いときには、内部インピーダンスを高くして、逆に入力電圧が低いときには内部インピーダンスを低くすることによって、電圧を保つ動作を可能とする。
電圧検出器39は、論理回路38に接続された外部電源(バッテリなど)の出力端子電圧を監視して、外部電源の電圧が所定電圧を下回った場合には外部電源の使用を禁止する信号を論理回路38に出力するようになっている。
また、カード機能アナログ回路部30において、アンテナ32から入力された電波は、搬送波検出器34で受信電波中に搬送波が含まれているか否かが判断され、含まれている場合には、搬送波検出信号VRが論理回路38に出力される。論理回路38は、さらに、データ処理部40に対して搬送波が検出された旨の信号を出力することができる。
クロック抽出器35は、アンテナ32から入力された電波からクロックを抽出して、これをクロック選択器36に供給する。また、クロック発振器37は、例えばICカード外に配設された水晶振動子で構成され、ICカード上で使用される駆動周波数のクロックを発生して、クロック選択器36に供給する。クロック選択器36は、クロック抽出器35から供給されたクロック、又は、クロック発振器37から供給されたクロックのいずれか一方を選択して、ICカード内の各部に供給する。
リーダ/ライタ機能アナログ回路部50は、送信アンプ51と、受信信号検出器53と、受信アンプ・フィルタ54と、送受信用のアンテナ52及び55で構成される。
データを送信するときは、データ処理部40の信号処理部44によって変調並びにD/A変換されて、アナログ・ベースバンドにアップコンバートされた送信信号が送信アンプを介してアンテナ51から送出される。また、アンテナ52から受信された信号は、受信信号検出器53によって検出され、受信アンプ54で増幅されてから、信号処理部44に供給される。信号処理部44は、アナログ・ベースバンド信号にダウンコンバートし、D/A変換並びに復調処理して、ディジタル・データを再現する。
なお、ICカードとカード読み書き装置の間のカード読み書き動作は、図1及び図2を参照しながら既に説明した通りである。
データ処理部40は、先述の信号処理部44の他、CPU(Central Processing Unit)45と、DES(Data Encryption Standard)などを利用したデータ暗号化エンジン46と、CRC(Cyclic Redundancy Check)などを利用したエラー訂正部47と、RAM(Random Access Memory)41と、ROM(Read Only Memory)42と、EEPROM(Electrically Erasable and Programmable ROM)43と、UARTインターフェース48と、I2Cインターフェース49とを備えており、各部は内部バスによって相互接続されている。
CPU45は、ICカード内の動作を統括的に制御するメイン・コントローラであり、ICカード用オペレーティング・システム(OS)によって提供される実行環境(後述)下で、例えばROM42(あるいはEEPROM43)に格納されたプログラム・コードを実行するようになっている。例えば、CPU45は、カード機能アナログ回路部30やリーダ/ライタ機能アナログ回路部40を介して送受信されるデータに関するアプリケーションを実行するようになっている。
信号処理部44は、カード機能アナログ回路部30やリーダ/ライタ機能アナログ回路部40を介して送信されるデータの変調、D/A変換、アップコンバートなどの処理や、受信したデータのダウンコンバート、A/D変換、復調などの処理を行なう。
DESエンジン46は、カード機能アナログ回路部30やリーダ/ライタ機能アナログ回路部40を介して送受信されるデータを手順公開型の秘密鍵暗号により暗号化及び復号化処理する。
CRC47は、カード機能アナログ回路部30やリーダ/ライタ機能アナログ回路部40を介して受信したデータの巡回冗長検査を行なう。
UART48並びにI2Cインターフェースは、ICカードを携帯電話器やPDA、パーソナル・コンピュータなどの外部機器(図3には図示しない)に接続するための外部有線インターフェースを構成する。このうちUART(Universal asynchronous receiver transmitter)48は、コンピュータ内のパラレル信号をシリアル信号に変換したり、シリアル信号をパラレル信号に変換したりする機能を持つ。
RAM41は書き込み可能なメモリ装置であり、CPU41はRAM41を作業領域としてプログラムを実行する。RAM41が提供するメモリ空間はアドレス可能であり、CPU41や内部バス上の各装置はこのメモリ空間にアクセスすることができる。
EEPROM43は、消去動作とともに新規のデータの書き込みを行なう不揮発性のメモリ装置である。本明細書で言うICカード内蔵のメモリ領域は、基本的にはEEPROM43内の書き込み可能領域を指すものとする。
このメモリ領域は、1以上のファイル・システムで構成される。初期状態では、元のICカード発行者が管理する単一のファイル・システムによってメモリ領域が管理され、その後、ICカード発行者以外のサービス提供元事業者がメモリ領域から新たなファイル・システムを分割する。EEPROM43上のメモリ領域のファイル分割や、分割後のアクセス動作の詳細については、後に詳解する。
図4には、本実施形態に係るICカードにおけるメモリ領域の制御システム構成を模式的に示している。同図に示すように、この制御システムは、基本的には、オペレーティング・システム内のサブシステムとして実装され、プロトコル・インターフェース部と、OS中枢部と、ファイル・システムで構成される。
プロトコル・インターフェース部は、UART48などの外部機器インターフェースを介した外部機器からのファイル・システムへのアクセス要求、あるいは非接触ICカード・インターフェースを介したカード読み書き装置からファイル・システムへのアクセス要求のハンドリングを行なう。
OS中枢部では、ファイル・システムとやり取りするデータのデコード/エンコード、CRCなどによるエラー訂正、EEPROM43のブロック毎の書き換え回数管理、PIN照合、相互認証などを行なう。
さらに、OS中枢部は、ファイル・アクセス時におけるPIN照合や相互認証、ファイルのリード/ライトなどのファイル・システムへの幾つかのAPI(Application Programming Interface)を備えている。
ファイル・システム・エンティティとしてのEEPROM43へ物理アクセスを行なう。EEPROMなどのメモリ・デバイスへの物理アクセス動作自体は当業界において周知なので、ここでは説明を省略する。
EEPROM43上に展開されるメモリ領域は、1以上のファイル・システムで構成される。初期状態では、元のICカード発行者が管理する単一のファイル・システムによってメモリ領域が管理されている。ICカード発行者以外のサービス提供元事業者がメモリ領域から新たなファイル・システムを分割する際には、メモリ領域の分割権限と、元のICカード発行者に対する認証の双方が要求される。そして、一旦分割されると、ファイル・システムへのアクセスは、元のICカードの発行者ではなく、ファイル・システム自体のサービス提供元事業者への認証が要求される。ファイル・システムの分割は、仮想的なICカードの発行である。
OSは、分割を許可するための分割権限鍵Kdを管理している。また、ファイル・システム毎に、発行者(元のICカード発行者、又はファイル分割した事業者)の発行者鍵KIと、システム・コードと、ファイル領域を識別するエリアIDが管理されている。
ファイル・システムへのアクセスは、ポーリングによるエリアIDの要求と、相互認証という手続きを経て行なわれる。ファイル・システムの発行者(元のファイル・システムの場合はカード発行者、分割後のファイル・システムを使用するサービス提供元事業者)は、まず、自身が判っているシステム・コードを引数にしてファイル・システムに対するポーリングを行なうことによって、該当するファイル・システムのメモリ領域上でのエリアIDを取得することができる。次いで、このエリアIDと発行者鍵KIを用いて相互認証を行なう。そして、相互認証が成功裏に終わると、ファイル・システムへのアクセスが許可される。ファイル・システムへのアクセスは、発行者と該当するファイル・システムに固有の発行者鍵KIを用いた暗号化通信により行なわれるので、他のファイル・システムが無関係のデータを取り込んだり、発行者以外がファイル・システムへ無断で読み書きしたりすることはできない。
図5には、比較的大容量のICカードを用いて実現される、電子マネーや電子チケット、その他の価値情報を運用するサービス提供システムの全体的構成を模式的に示している。
図示のシステム1は、例えば、ICカード発行者21が使用する発行者用通信装置11と、カード記憶領域運用者22が使用する運用者用通信装置12と、装置製造者23が使用する製造者用通信装置13と、カード記憶領域使用者24が使用する記憶領域分割装置14及び運用ファイル登録装置15とで構成される。
システム1では、ICカード発行者21がカード所有者26にICカード16を発行した場合に、所定の条件に基づいて、カード記憶領域使用者24によって提供されるサービスに係わるファイル・データをICカード16に登録し、カード所有者26が単体のICカード16を用いて、ICカード発行者21及びカード記憶領域使用者24の双方のサービスを受けることを可能にするものである。
図5に示すように、システム1では、発行者用通信装置11、運用者用通信装置12、製造者用通信装置13、記憶領域分割装置14及び運用ファイル登録装置15が、ネットワーク17を介して接続される。
ICカード発行者21は、ICカード16の発行を行なう者であり、ICカード16を用いて自らのサービスを提供する。
カード記憶領域運用者22は、ICカード発行者21からの依頼を受けて、ICカード発行者21が発行したICカード16内の記憶部(半導体メモリ)に構成される記憶領域のうち、ICカード発行者21が使用しない記憶領域をカード記憶領域使用者24に貸し出すサービスを行なう者である。
装置製造者23は、カード記憶領域運用者22から依頼を受けて、記憶領域分割装置14を製造し、カード記憶領域使用者24に納品する者である。
カード記憶領域使用者24は、カード記憶領域運用者22に依頼を行ない、ICカード16の記憶領域を使用して自らの独自のサービスを提供する者であり、メモリ領域を分割して新たなファイル・システムを作成するサービス提供元事業者(前述)に相当し、自己のファイル・システムを利用して自身のサービス提供を行なう。
カード所有者26は、ICカード発行者21からICカード16の発行を受け、ICカード発行者21が提供するサービスを受ける者である。カード所有者26は、ICカード16の発行後に、カード記憶領域使用者24が提供するサービスを受けることを希望する場合には、記憶領域分割装置14及び運用ファイル登録装置15を用いて、カード記憶領域使用者24のサービスに係わるファイル・データをICカード16に記憶し、その後、カード記憶領域使用者24のサービスを受けることができるようになる。
システム1は、ICカード発行者21のサービスと、カード記憶領域使用者24のサービスとを単体のICカード16を用いて提供するに当たって、ICカード発行者21及びカード記憶領域使用者24のサービスに係わるファイル・データが記憶される記憶領域に、権限を有しない他人によって不正にデータの書き込み及び書き換えなどが行なわれることを困難にする構成を有している。
ICカード16は、その字義通り、カード型のデータ通信装置であってもよいし、いわゆるICカード機能が実装された半導体チップを内蔵した携帯電話機(あるいはその他の携帯端末やCE機器)として具現化されることもある。
なお、図5では、それぞれ単数のICカード発行者21、カード記憶領域使用者24及びカード所有者26がある場合を例示したが、これらは、それぞれ複数であってもよい。
本実施形態では、ICカードの単一のメモリ領域上にサービス提供元事業者毎のファイル・システムを割り当て、単一のデータ通信装置を複数の事業者で共有し、単一のデータ通信装置により複数のサービスを提供する。このような分割ファイル・システム構成により、元のカード発行者が利用するメモリ領域の他に、元のカード発行者の許可を得て特定のサービス提供元事業者が利用可能となるメモリ領域と、元のカード発行者の許可を得て複数の事業者間で共通に利用可能となるメモリ領域を運用することができる。
特に、元のカード発行者が利用するファイル・システム以外に、各サービス提供元事業者が個別に利用可能となる1以上のファイル・システムを運用する場合、ファイル・システム間の境界がファイヤ・ウォールとして機能し、他のファイル・システム(すなわち他のサービス提供元事業者)からのアクセス(不正侵入)を好適に排除することができる。
ここで、図6〜図9を参照しながら、ICカード内のメモリ領域の運用形態について説明する。
図6には、元のカード発行者が自らのファイル・システムのみを管理しているメモリ領域の状態を示している。元のカード発行者のシステム・コードSC1は、システム・コードの管理機構が付与する。外部機器又はプログラムがカード発行者のファイル・システムにアクセスする場合は、SC1を識別コード(すなわち、要求コマンドの引数)とする。
図7には、カード発行者が自らのファイル・システムの空き領域の内で、ある範囲のメモリを領域管理者に貸与(又は譲渡)することが許可できることを示している。この段階では,まだメモリ領域上のファイル・システムに対して分割が行なわれている訳ではない。カード発行者は、自らのファイル・システムに空き領域はあるうちは、複数の領域管理者に対して、メモリを貸与することを許可できる。例えば、4ビットのシステム・コードでファイル・システムを識別するという実装では、最大16分割(15回まで分割)することができる。
図8には、他のサービス提供元事業者が、カード発行者から許可された領域においてメモリ領域を分割し、新たなファイル・システムを生成した状態を示している。この新規ファイル・システムには、システム・コードの管理機構からシステム・コードSC2が付与されている。外部機器又はプログラムが、当該メモリ領域管理者(サービス提供元事業者)の運用するファイル・システムにアクセスする場合は、SC2を識別コード(要求コマンドの引数)とする。
図9には、共通領域管理者が、カード発行者から許可された領域において、共通領域のシステム・コードSC0でメモリを分割した状態を示している。外部機器又はプログラムがこの共通領域管理者の運用領域であるファイル・システムにアクセスする場合には、そのシステム・コードSC0を識別コード(要求コマンドの引数)とする。
続いて、メモリ領域を分割して新たなファイル・システムを作成するための手続きについて詳解する。
図10には、ファイル・システムを分割する際の事前処理について図解している。新たなサービス提供元事業者がICカードのメモリ領域上でファイル・システムを分割したい場合には、その事前処理として、当該事業者は、カード発行者に対してメモリ領域の使用に関する許可を求める。そして、カード発行者はメモリ領域の使用、すなわちファイル・システムの分割を許可する場合には、分割技術管理者から、ファイル・システムの分割に必要となる「分割素パッケージ」を取得する。
分割技術管理者は、ICカードを製造又は製造出荷した後にICカード内のメモリ領域の管理を担うカード記憶領域運用者22に相当し、新たなサービス提供元事業者は、カード記憶領域使用者14に相当する(図5を参照のこと)。
分割技術管理者は、ICカード内のメモリ領域上の各ファイル・システムのシステム・コードを採番する権限を持つとともに、ICカードの実行環境を提供するオペレーティング・システム内に格納されている分割権限鍵Kdを管理している。そして、分割技術管理者は、新たに分割して作成されるファイル・システムの領域鍵(当該領域を使用する新たなサービス提供元事業者(すなわち仮想的なICカードの発行者)の発行者鍵)KIi、システム・コードSCiを割り振り(但し、iはi番目に分割されたファイル・システムであることを識別する添え字である)、これらで構成されるデータ・ブロックを分割権限鍵Kdで暗号化して分割素パッケージを作成し、これをカード発行者に渡す。
カード発行者自身は、分割権限鍵Kdを保持していないので、渡された分割素パッケージを解読したりこれを改竄したりすることはできない。
カード発行者は、取得した分割素パッケージと、新たなサービス提供元事業者に使用を許可する分割領域の大きさ(ブロック数)とからなるデータ・ブロックをさらに自己の発行者鍵KIで暗号化して、分割パッケージを作成する。
分割パッケージは、カード発行者並びにカード発行者のファイル・システムにおいて管理されているカード発行者鍵KIで暗号化されているので、第3者が分割パッケージを解読したり分割領域の大きさなどを改竄したりすることはできない。
このような事前手続きを経て、カード発行者は、分割パッケージを取得し、これを用いてICカード内のメモリ領域のファイル・システムの分割要求を行なう。ここで、ファイル・システムへのアクセスは、ファイル・システムのエリアIDを引数にして行なわれるが、カード発行者はシステム・コードしか分からないので、ICカードに対してポーリングを行なうことによって、自己のファイル・システムのエリアIDを取得することができる。
図11には、カード発行者がICカードに対してポーリングを行なう手続きを図解している。但し、カード発行者(あるいはその他の外部機器)とICカード間の通信は、図1及び図2を参照しながら説明した電磁誘導作用に基づく非接触近距離通信インターフェースを利用しても、あるいはUART48やI2C49などの有線インターフェースを利用して行なうようにしてもよい(以下、同様)。
カード発行者は、ICカードの実行環境であるオペレーティング・システムに対しポーリングして、自己のシステム・コードSCを引数にしたファイル・システムのエリアID要求を行なう。
この要求メッセージをトリガにして、要求元であるカード発行者と、ICカードの実行環境であるオペレーティング・システムの間で、複数往復にまたがる通信動作で構成される相互認証手続きを経て、要求に対する戻り値としてエリアIDがカード発行者へ返される。なお、相互認証手続きの構成についてはICカードの仕様毎に相違し、本発明の要旨には直接関連しないので、ここでは詳細な説明を省略する。
なお、分割により新たにファイル・システムを取得した新規のサービス提供元事業者(すなわち仮想的なカード発行者)の場合も、同様のポーリング手続きを経て自己のエリアIDを取得することになる。
カード発行者は、ICカードのオペレーティング・システムに対してファイル・システムの分割要求を行なう。この分割要求は、カード発行者のエリアIDと、分割パッケージを引数として行なわれる。分割パッケージはカード発行者鍵KIで暗号化されているので、第3者からは改竄されない。図12には、カード発行者がICカードに対して分割要求を行なう手続きを示している。また、図13には、ICカード上のメモリ領域が分割され、新たなファイル・システムが生成される様子を示している。カード発行者とICカード間の通信は、電磁誘導作用に基づく非接触近距離通信インターフェースを利用しても、あるいはUART48やI2C49などの有線インターフェースを利用して行なわれる。
分割要求がICカードのオペレーティング・システムに届くと、引数に含まれるエリアIDに基づいて、分割パッケージがカード発行者のファイル・システムへ渡され、カード発行者鍵KIで解読され、分割素パッケージと分割領域の大きさ(ブロック数)が取り出される。
ICカードのオペレーティング・システムは、カード発行者のファイル・システムから分割素パッケージと分割領域の大きさを受け取ると、分割素パッケージを分割権限鍵Kdで解読して、分割直後の領域鍵(当該領域を使用する新たなサービス提供元事業者(すなわち仮想的なICカードの発行者)の発行者鍵)KIiと、システム・コードSCiを取り出す。そして、カード発行者が所有する領域のみ使用領域のうち、要求されている分割領域の大きさ分の領域を分割し、さらにこの領域に発行者鍵KIiとシステム・コードSCiを設定して、新たなファイル・システムとする。
このようなファイル・システムの分割処理が終わると、そのステータスが要求元であるカード発行者に返される。
このようにして、新たなサービス提供元事業者は、他のカード発行者が発行したICカードのメモリ領域上に自分専用のファイル・システムを確保することができ、あたかも自らICカードを発行した、すなわち仮想的なICカード発行者としてサービス提供事業を展開することが可能となる。
但し、分割直後のファイル・システムの初期状態では、設定されている発行者鍵KIiやシステム・コードSCiは分割技術管理者が設定したままの状態である。言い換えれば、新規のサービス提供元事業者は、自己のファイル・システムのセキュリティは、分割技術管理者に委ねられている部分があり、セキュリティに関する脅威を独立して分析、管理、運用することはできない。
そこで、新規のサービス提供元事業者は、ICカードのメモリ領域上に自己のファイル・システムを取得した後は、発行者鍵KIiとシステム・コードSCiの再設定手続きを行なう必要がある。また、この再設定手続きに併せて、分割領域の大きさを調整するようにしてもよい。
図14には、新規のサービス提供元事業者がICカードのメモリ領域上に自己のファイル・システムを取得した後に行なう、発行者鍵KIiとシステム・コードSCiの再設定手続きを示している。但し、サービス提供元事業者とICカード間の通信は、電磁誘導作用に基づく非接触近距離通信インターフェースを利用しても、あるいはUART48やI2C49などの有線インターフェースを利用して行なう。
サービス提供元事業者は、ICカードの実行環境であるオペレーティング・システムに対しポーリングして、分割直後のシステム・コードSCiを引数にしたファイル・システムのエリアID要求を行なう。
この要求メッセージをトリガにして、サービス提供元事業者と、ICカードの実行環境であるオペレーティング・システムの間で、複数往復にまたがる通信動作で構成される相互認証手続きを経て、要求に対する戻り値として、分割時に分割技術管理者によって付与されたデフォルトのエリアIDが、サービス提供元事業者へ返される。なお、相互認証手続きの構成についてはICカードの仕様毎に相違し、本発明の要旨には直接関連しないので、ここでは詳細な説明を省略する。
この認証手続きに続いて、サービス提供元事業者は、ICカードのオペレーティング・システムに対して、デフォルトの発行者鍵KIiの変更要求を行なう。この鍵変更要求は、デフォルトのエリアIDと、鍵変更パッケージを引数として行なわれる。鍵変更パッケージはデフォルト発行者鍵KIiで暗号化されているので、第3者からは改竄されない。
鍵変更要求がICカードのオペレーティング・システムに届くと、引数に含まれるエリアIDに基づいて、鍵変更パッケージが当該サービス提供元事業者のファイル・システムへ渡され、そのカード発行者鍵KIiで解読され、鍵変更パッケージが取り出される。そして、ファイル・システムのカード発行者鍵がKIiからKIi'に変更されると、そのステータスが要求元であるサービス提供元事業者に返される。
続いて、サービス提供元事業者は、ICカードのオペレーティング・システムに対して、デフォルトのシステム・コードSCiの変更要求を行なう。このシステム・コード変更要求は、デフォルトのエリアIDと、システム・コード変更パッケージを引数として行なわれる。システム・コード変更パッケージは新規の発行者鍵KIi'で暗号化されているので、第3者からは改竄されない。
システム・コード変更要求がICカードのオペレーティング・システムに届くと、引数に含まれるエリアIDに基づいて、鍵変更パッケージが当該サービス提供元事業者のファイル・システムへ渡され、そのカード発行者鍵KIi'で解読され、システム・コード変更パッケージが取り出される。そして、ファイル・システムのデフォルトのシステム・コードSCiがSCi'に変更されると、そのステータスが要求元であるサービス提供元事業者に返される。
続いて、サービス提供元事業者は、ICカードのオペレーティング・システムに対して、デフォルトのエリアIDiの変更要求を行なう。このシステム・コード変更要求は、デフォルトのエリアIDと、エリアID変更パッケージを引数として行なわれる。エリアID変更パッケージは新規の発行者鍵KIi'で暗号化されているので、第3者からは改竄されない。
エリアID変更要求がICカードのオペレーティング・システムに届くと、引数に含まれるエリアIDに基づいて、エリアID変更パッケージが当該サービス提供元事業者のファイル・システムへ渡され、そのカード発行者鍵KIi'で解読され、エリアID変更パッケージが取り出される。そして、ファイル・システムのデフォルトのエリアIDiがエリアIDi'に変更されると、そのステータスが要求元であるサービス提供元事業者に返される。
このように新規のサービス提供元事業者は、自己のファイル・システムに対しセキュアな発行者鍵KIi'とシステム・コードSCi'を設定することにより、元のICカード発行者とは独立してセキュリティに関する脅威を分析、管理、並びに運用することができるようになる。
上述したように、本実施形態では、ICカード上のメモリ領域は、複数のファイル・システムに分割されている(図15を参照のこと)。そして、ファイル・システム毎にシステム・コードSCとエリアIDが設定されるとともに、当該領域を使用するサービス提供元事業者(元のカード発行者を含む)の発行者鍵KIiで相互認証を行なうことができる。これによって、ファイル・システムが割り振られたサービス提供元事業者は、元のカード発行者や分割技術者とは独立して、自己のファイル・システムのセキュリティに関する脅威を分析、管理、並びに運用することができる。
また、サービス提供元事業者が自己のファイル・システムへアクセスする際には、基本的には、エリアIDの要求と、相互認証という手続きを経て行なわれる。まず、自身が判っているシステム・コードを引数にしてファイル・システムに対するポーリングを行なうことによって、該当するファイル・システムのメモリ領域上でのエリアIDを取得することができる。次いで、このエリアIDと発行者鍵KIを用いて相互認証を行なう。そして、相互認証が成功裏に終わると、ファイル・システムへのアクセスが許可される。
また、各サービス提供元事業者(元のカード発行者を含む)は、要求コマンド(例えばリード要求やライト要求、データ消去要求、エリア/サービス登録(後述)など)を、事業者自身と該当するファイル・システムに固有の発行者鍵KIを用いてパッケージ化して暗号化通信により行なわれるので(図16を参照のこと)、他のファイル・システムが無関係のデータを取り込んだり、第3者がファイル・システムへ無断で読み書きしたりすることはできない。
ICカードのメモリ領域は、分割操作を繰り返すことにより、図15に示すように複数のファイル・システムが共存する構造となる。元のカード発行者、並びにカード発行者の許可によりICカード上で自己のファイル・システムを取得したサービス提供元事業者は、それぞれ自己のファイル・システムを利用して、エリアやサービスを配設し(後述)、自身の事業展開に利用することができる。
以下では、1つのファイル・システム内での運用形態について説明する。基本的には、どのファイル・システムにおいても同様の動作が実現されるものとする。また、ファイル・システムの操作を行なうためには、ポーリングによるエリアIDの要求と、相互認証という手続き(前述)を経ていることを前提とする。
ファイル・システム内には、電子決済を始めとする外部との電子的な価値情報のやり取りなど、1以上のアプリケーションが割り当てられている。アプリケーションに割り当てられているメモリ領域を「サービス・メモリ領域」と呼ぶ。また、アプリケーションの利用、すなわち該当するサービス・メモリ領域へアクセスする処理動作のことを「サービス」と呼ぶ。サービスには、メモリへの読み出しアクセス、書き込みアクセス、あるいは電子マネーなどの価値情報に対する価値の加算や減算などが挙げられる。
ユーザがアクセス権を持つかどうかに応じてアプリケーションの利用すなわちサービスの起動を制限するために、アプリケーションに対して暗証コードすなわちPINを割り当て、サービス実行時にPINの照合処理を行なうようになっている。また、サービス・メモリ領域へのアクセスは、アプリケーションのセキュリティ・レベルなどに応じて、適宜暗号化通信が行なわれる。
本実施形態では、ICカード内のメモリ領域に設定されているそれぞれのファイル・システムに対して、「ディレクトリ」に類似する階層構造を導入する。そして、メモリ領域に割り当てられた各アプリケーションを、所望の階層の「エリア」に登録することができる。
例えば、一連のトランザクションに使用される複数のアプリケーション、あるいは関連性の深いアプリケーション同士を同じエリア内のサービス・メモリ領域として登録する(さらには、関連性の深いエリア同士を同じ親エリアに登録する)ことによって、メモリ領域のアプリケーションやエリアの配置が整然とし、ユーザにとってはアプリケーションの分類・整理が効率化する。
また、ファイル・システムへのアクセス権を階層的に制御するために、アプリケーション毎にPINを設定できる以外に、各エリアに対してもPINを設定することができるようにしている。例えば、あるエリアに該当するPINを入力することにより、照合処理並びに相互認証処理を経て、エリア内のすべてのアプリケーション(並びにサブエリア)へのアクセス権を与えるようにすることもできる。したがって、該当するエリアに対するPINの入力を1回行なうだけで、一連のトランザクションで使用されるすべてのアプリケーションのアクセス権を得ることができるので、アクセス制御が効率化するとともに、機器の使い勝手が向上する。
さらに、あるサービス・メモリ領域に対するアクセス権限が単一でないことを許容し、それぞれのアクセス権限毎、すなわちサービス・メモリ領域において実行するサービスの内容毎に、暗証コードを設定することができる。例えば、同じサービス・メモリ領域に対して起動するサービスが「読み出し」と「読み出し及び書き込み」とでは、別々のPINが設定される。また、電子マネーやその他の価値情報に対する「増額」と「減額」とでは、別々のPINが設定される。また、あるメモリ領域に対する読み出しについてはPINの入力が必要でないが、書き込む場合にはPINの入力を必須とさせることが可能である。
図17には、ファイル・システム内のデータ構造例を模式的に示している。図示の例では、ファイル・システムが持つ記憶空間には、「ディレクトリ」に類似する階層構造が導入されている。すなわち、メモリ領域に割り当てられた各アプリケーションを、所望の階層エリアにサービス・メモリ領域として登録することができる。例えば、一連のトランザクションに使用されるアプリケーションなど、関連性の深いアプリケーション同士を同じエリアに登録する(さらには、関連性の深いエリア同士を同じ親エリアに登録する)ことができる。
また、ファイル・システム内に割り当てられたアプリケーション(すなわちサービス・メモリ領域)並びにエリアは暗証コード定義ブロックを備えている。したがって、アプリケーション毎に、あるいはエリア毎にPINを設定することができる。また、ファイル・システムに対するアクセス権は、アプリケーション単位で行なうとともに、並びにエリア単位で行なうことができる。
さらに、あるサービス・メモリ領域に対するアクセス権限が単一でなく、実行するサービスの内容毎に、PINを設定することができる。例えば、同じサービス・メモリ領域に対して起動するサービスが「読み出し」と「読み出し及び書き込み」とでは、別々のPINが設定され、また、電子マネーやその他の価値情報に対する「増額」と「減額」とでは、別々のPINが設定される。
照合部は、例えば電磁誘導作用に基づく非接触近距離通信又はUART48やI2C49などのプロトコル・インターフェースを介して送られてくるPINを、各アプリケーション又はディレクトリに割り当てられたエリア又はサービス・メモリ領域に設定されている暗証コードと照合して、一致するメモリ領域に対するアクセスを許可する。アクセスが許可されたメモリ領域は、プロトコル・インターフェースを介して読み書きが可能となる。
このようにファイル・システム内には、アプリケーションに割り当てられたさまざまなサービス・メモリ領域が割り当てられており、各サービス・メモリ領域に対して適用可能な1以上のサービスが設けられている。本実施形態では、エリア単位、並びにアプリケーション単位でアクセス制限を行なう以外に、アプリケーションに適用されるサービスの種類毎にPINを設定して、サービス単位でアクセス制限を行なうことができる。
図18には、ファイル・システムの基本構成を示している。図17を参照しながら既に説明したように、ファイル・システムに対して、「ディレクトリ」に類似する階層構造が導入され、所望の階層のエリアに、アプリケーションに割り当てられたサービス・メモリ領域を登録することができる。図18に示す例では、エリア0000定義ブロックで定義されるエリア0000内に、1つのサービス・メモリ領域が登録されている。
図示のサービス・メモリ領域は、1以上のユーザ・ブロックで構成される。ユーザ・ブロックはアクセス動作が保証されているデータ最小単位のことである。このサービス・メモリ領域に対しては、サービス0108定義ブロックで定義されている1つのサービスすなわちサービス0108が適用可能である。
エリア単位、並びにアプリケーション単位でアクセス制限を行なう以外に、サービスの種類毎に暗証コードを設定して、サービス単位でアクセス制限を行なうことができる。アクセス制限の対象となるサービスに関する暗証コード設定情報は、暗証コード専用のサービス(すなわち「暗証コード・サービス」)として定義される。図18に示す例では、サービス0108に関する暗証コードが暗証コード・サービス0128定義ブロックとして定義されている。その暗証コード・サービスの内容は暗証コード・サービス・データ・ブロックに格納されている。
サービス0108に対する暗証コード・サービスが有効になっている場合、サービス0108を起動してそのユーザ・ブロックに読み出し又は書き込み動作を行なう前に、暗証コード・サービス0128を使用した暗証コードの照合が必要となる。具体的には、暗号化あり読み書き(Read/Write)コマンドを使用する場合は、相互認証前にサービス0108に対する暗証コードすなわちPINの照合を行なう。
また、アプリケーションに割り当てられたサービス・メモリ領域を所望の階層のエリアに登録するとともに、エリアを階層化する(関連性の深いエリア同士を同じ親エリアに登録する)ことができる。この場合、エリア毎にPINを設定することにより、エリアをアクセス制限の単位とすることができる。図19には、ICカード50のメモリ空間においてエリアが階層化されている様子を示している。同図に示す例では、エリア0000定義ブロックで定義されているエリア0000内に、エリア1000定義ブロックで定義されている別のエリア1000が登録されている。
図19に示す例では、さらにエリア1000内には、2つのサービス・メモリ領域が登録されている。一方のサービス・メモリ領域に対しては、サービス1108定義ブロックで定義されているサービス1108と、サービス110B定義ブロックで定義されているサービス110Bが適用可能である。このように、1つのサービス・メモリ領域に対してサービス内容の異なる複数のサービスを定義することを、本明細書中では「オーバーラップ・サービス」と呼ぶ。オーバーラップ・サービスにおいては、同じサービス・エリアに対して、入力したPINに応じて異なるサービスが適用されることになる。また、他方のサービス・メモリ領域に対しては、サービス110C定義ブロックで定義されているサービス110Cが適用可能である。
各サービス・メモリ領域に設定されているサービスを起動してそのユーザ・ブロックに読み出し又は書き込み動作を行なうことができる。勿論、図18を参照しながら説明したように、サービス毎に暗証コード・サービスを定義することができる。この場合、サービスに対する暗証コード・サービスが有効になっているときには、暗証コード・サービスを使用したPINの照合を行なってからサービスの起動が許可される。
また、複数のサービスに対して共通のPINを設定したい場合には、これらサービスを含むエリアを作成し、このエリアに対して共通の暗証コード・サービスを適用することができる。
図19に示す例では、エリア1000に関する暗証コードが、暗証コード・サービス1020定義ブロックとして定義されている。その暗証コード・サービスの内容は暗証コード・サービス・データ・ブロックに格納されている。
エリア1000に対する暗証コード・サービスが有効(後述)になっている場合、暗証コード・サービス1020を使用した暗証コードの照合を行なった後に、エリア1000内の各サービスを起動してそのユーザ・ブロックに読み出し又は書き込み動作を行なうことが可能となる。
ここで、エリア1000内のサービスに暗証コード・サービスが適用されており且つこれが有効となっている場合には、さらにその暗証コード・サービスを使用した暗証コードの照合を経てからでないと、そのユーザ・ブロックに読み出し又は書き込み動作を行なうことはできない。
図18及び図19に例示したように、暗証コード照合の対象となるエリアやサービスに対応する暗証コード・サービスは一意に与えられる。
図20には、ファイル・システム内にエリアやサービスを登録するための手順をフローチャートの形式で示している。
まず、メモリ空間にエリアが定義される(ステップS1)。
次いで、サービスの登録サービス・コマンドを使用して、エリア内にアプリケーションに対してサービス・メモリ領域を割り当てるとともに、このサービス・メモリ領域に適用されるサービスを定義する(ステップS2)。登録サービス・コマンドでは、サービス・メモリ領域のユーザ・ブロック数を指定する。エリア内で複数のアプリケーションを割り当てたい場合には、当該処理ステップを繰り返し実行する。
エリア内で定義したサービスに対して暗証コードを適用したい場合には、サービスの登録サービス・コマンドを使用して、暗証コード・サービスの登録を行なう(ステップS3)。
暗証コード・サービスの登録は、通常のサービスと同様の登録サービス・コマンドを使用して行なう。但し、暗証コード・サービスの登録は、暗証コード照合の対象となるエリアやサービスが既にファイル・システムに登録済みであることが条件となる。すなわち、PIN照合の対象となるエリアやサービスがない場合は、暗証コード・サービスの登録サービス実行時にエラーとなる。また、暗証コード・サービスは、通常のサービスのユーザ・ブロックに相当する暗証コード・サービス・データ・ブロックが1ブロックしか存在しないので、サービス登録時に登録サービス・コマンドで指定ユーザ・ブロック数を1以外の値に設定するとエラーとなる。
さらに、エリア内で定義されたすべてのサービスに対して共通の暗証コードを設定したい場合には、サービスの登録サービス・コマンドを使用して、このエリアに対して共通の暗証コード・サービスの登録を行なう(ステップS4)。
なお、ステップS3とステップS4の実行順序は逆であってもよい。
さらに、1つのサービス・メモリ領域に対してサービス内容の異なる複数のサービスを定義したい場合には、サービスの登録サービス・コマンドを使用して、オーバーラップ・サービス(図19を参照のこと)を登録する(ステップS5)。
そして、オーバーラップ・サービスに対して暗証コードを適用したい場合には、サービスの登録サービス・コマンドを使用して、暗証コード・サービスの登録を行なう(ステップS6)。
図18に示した例では、ルートのエリア0000内にサービス・メモリ領域の割り当て並びにこれに適用するサービス0108が登録された後、サービス0108に適用される暗証コード・サービスが登録される。
また、図19に示した例では、ルートのエリア0000下のエリア1000内で、2つのサービス・メモリ領域が割り当てられるとともに、それぞれに適用されるサービス1108、サービス110Cが登録される。また、一方のサービス・メモリには、他のサービス110Bがオーバーラップ・サービスとして登録される。図示しないが、これらに暗証コードを適用したい場合には、別途、暗証コード・サービスの登録が行なわれる。そして、登録されたサービス1108,110B,110Cに対して共通の暗証コードを設定したい場合には、エリア1000に対して共通の暗証コード・サービスを登録する。
サービス提供元事業者(元のカード発行者を含む)は、自分に割り振られたファイル・システム内にエリアやサービスを登録したい場合には、ICカードの実行環境を提供するオペレーティング・システムに対してエリア登録要求やサービス登録要求をおこなう。これらの登録要求コマンドは事業者自身と該当するファイル・システムに固有の発行者鍵KIを用いてパッケージ化して暗号化通信により行なわれるので(図16を参照のこと)、他のファイル・システムが無関係のデータを取り込んだり、第3者がファイル・システムへ無断で読み書きしたりすることはできない。
図21には、図20に示した処理手順のステップS1において実行される、サービス提供元事業者(元のカード発行者を含む)が自己のファイル・システム内にエリア登録を行なう手続きを示している。但し、サービス提供元事業者とICカード間の通信は、電磁誘導作用に基づく非接触近距離通信インターフェースを利用しても、あるいはUART48やI2C49などの有線インターフェースを利用して行なう。
サービス提供元事業者は、ICカードの実行環境であるオペレーティング・システムに対しポーリングして、ファイル・システムのシステム・コードSCを引数にしたファイル・システムのエリアID要求を行なう。
この要求メッセージをトリガにして、サービス提供元事業者と、ICカードの実行環境であるオペレーティング・システムの間で、複数往復にまたがる通信動作で構成される相互認証手続きを経て、要求に対する戻り値として、エリアIDがサービス提供元事業者へ返される。なお、相互認証手続きの構成についてはICカードの仕様毎に相違し、本発明の要旨には直接関連しないので、ここでは詳細な説明を省略する。
この認証手続きに続いて、サービス提供元事業者は、ICカードのオペレーティング・システムに対して、ファイル・システム内へのエリア登録要求を行なう。このエリア登録要求は、エリアIDと、エリア登録要求パッケージを引数として行なわれる。エリア登録要求パッケージは当該サービス提供元事業者の発行者鍵KIで暗号化されているので、第3者からは改竄されない。
エリア登録要求がICカードのオペレーティング・システムに届くと、引数に含まれるエリアIDに基づいて、エリア登録要求パッケージが当該サービス提供元事業者のファイル・システムへ渡され、その発行者鍵KIで解読され、エリア登録要求パッケージが取り出される。そして、パッケージ内で要求されているエリアがファイル・システム内に登録されると、そのステータスが要求元であるサービス提供元事業者に返される。
また、図22には、図20に示した処理手順のステップS2において実行される、サービス提供元事業者(元のカード発行者を含む)が自己のファイル・システム内(若しくはファイル・システムに登録されている特定のエリア)にサービス登録を行なう手続きを示している。但し、サービス提供元事業者とICカード間の通信は、電磁誘導作用に基づく非接触近距離通信インターフェースを利用しても、あるいはUART48やI2C49などの有線インターフェースを利用して行なう。
サービス提供元事業者は、ICカードの実行環境であるオペレーティング・システムに対しポーリングして、ファイル・システムのシステム・コードSCを引数にしたファイル・システムのエリアID要求を行なう。
この要求メッセージをトリガにして、サービス提供元事業者と、ICカードの実行環境であるオペレーティング・システムの間で、複数往復にまたがる通信動作で構成される相互認証手続きを経て、要求に対する戻り値として、エリアIDがサービス提供元事業者へ返される。なお、相互認証手続きの構成についてはICカードの仕様毎に相違し、本発明の要旨には直接関連しないので、ここでは詳細な説明を省略する。
この認証手続きに続いて、サービス提供元事業者は、ICカードのオペレーティング・システムに対して、ファイル・システム内(若しくはファイル・システムに登録されている特定のエリア)へのサービス登録要求を行なう。このサービス登録要求は、エリアIDと、サービス登録要求パッケージを引数として行なわれる。サービス登録要求パッケージは当該サービス提供元事業者の発行者鍵KIで暗号化されているので、第3者からは改竄されない。
サービス登録要求がICカードのオペレーティング・システムに届くと、引数に含まれるエリアIDに基づいて、サービス登録要求パッケージが当該サービス提供元事業者のファイル・システムへ渡され、その発行者鍵KIで解読され、サービス登録要求パッケージが取り出される。そして、パッケージ内で要求されているサービスがファイル・システム内(若しくはファイル・システムに登録されている特定のエリア)に登録されると、そのステータスが要求元であるサービス提供元事業者に返される。
図18及び図19に例示したように、ファイル・システム内に登録されたエリアやサービスに対してPINを適用して、エリア単位、あるいはサービス単位でアクセス制御を行なうことができる。また、1つのサービス・メモリ領域に対して複数のサービス(オーバーラップ・サービス)を登録することができるが、サービス毎にPINを適用することで、同じサービス・メモリ領域に対して複数のアクセス方法を定義することができる。
但し、本実施形態では、ファイル・アクセスへアクセスする際、発行者鍵を用いた相互認証処理(前述)は必須であるが、PIN照合処理は任意である。すなわち、サービス又はエリアに対する暗証コード・サービスが有効になっている場合にのみ、サービスの起動又はエリアへのアクセスを行なう前に、暗証コードの照合が要求され、暗証コード・サービスが無効にされている場合には、PINの照合は要求されない。
PINの適用内容は、暗証コード・サービス定義ブロックの暗証コード・サービス・データ・ブロックに記述されている。図23には、暗証コード・サービス・データ・ブロックのデータ構造を模式的に示している。同図に示すように、暗証コード定義領域は、暗証番号領域と、入力失敗回数記憶領域と、最大許容入力失敗回数設定領域と、暗証番号使用選択領域と、アクセス許可フラグとで構成されている。
ユーザが入力したPINが一致した場合にのみ、該当するサービス又はエリアの暗証コード・サービス・データ・ブロック内のアクセス許可フラグを立てて、其処へのアクセスを許可する。
アクセス許可フラグは、該当するアプリケーション又はディレクトリのアクセス可否状態を示すためのフラグであり、アクセス許可フラグが設定されたサービス又はエリアはアクセス許可状態である。PINが設定されたサービスやエリアのアクセス許可フラグは、デフォルトではアクセス不可状態であり、PIN照合処理及びファイル・システムの発行者鍵を用いた相互認証処理に成功した後、アクセス許可フラグが設定されて、アクセス許可状態に転じる。また、アクセス許可フラグを設定し続けると、ICカードが紛失した場合や盗難に遭った場合にサービスやエリアの無断使用・不正使用によりユーザが損害を被るおそれがある。このため、ICカードは、例えば電磁波が途絶えたことに応答してアクセス許可状態を自動的にアクセス不可にする機構を備えていてもよい。
また、誤ったPINが入力された場合には、その都度、入力失敗回数記憶領域の記録を更新する。そして、入力失敗回数が最大許容入力失敗回数設定領域に設定された最大許容入力失敗回数に到達した場合には、該当するサービスの起動又はエリアに対するアクセスを禁止する。
一般には、この入力失敗回数は、一度入力に成功したらクリアするべきものである。このようにして悪意あるユーザがしらみつぶしに暗証コードを調べることを防止する。また、ユーザが誤って最大許容入力失敗回数に達して暗証コード入力に失敗してしまった場合は、ICカードを管理する管理者(例えば分割技術管理者や元のカード発行者)のみが入力失敗回数記憶領域をクリアできるようにしてもよい。この管理者の認証には、例えば後述するような秘密鍵による認証を使用することもできる。
図24には、ユーザから入力された暗証コードに従って、サービスの起動又はエリアへのアクセス権を制御するための処理手順をフローチャートの形式で示している。
ユーザから暗証コードを入力すると(ステップS11)、各暗証コード・サービス定義ブロックの暗証コード・サービス・データ・ブロックにアクセスして、暗証コードが一致するか否かを判別する(ステップS12)。
暗証コード・サービス・データ・ブロックのPINがユーザ入力されたPINと一致する場合には、その暗証コード・サービス・データ・ブロック内のアクセス許可フラグを設定して、対応するサービス又はエリアをアクセス可能状態にする(ステップS13)。
例えば、ICチップをリーダ/ライタにかざして、リーダ/ライタに接続されている外部機器(図示しない)のユーザ・インターフェースを用いて入力されたPINを、電磁誘導作用に基づく非接触近距離通信インターフェースでICカードに送信することができる。
図24に示すようにPINを用いてアプリケーションやディレクトリへのアクセス権を制御する場合、悪意のあるユーザはしらみつぶしにPINを調べることにより、セキュリティの壁が破られる可能性がある(特に桁数の少ない暗証コードを用いる場合)。このため、本実施形態では、暗証コード定義領域において、最大許容入力回数を設定して、入力失敗回数が最大許容入力回数に到達したアプリケーション又はディレクトリをアクセス不可状態に設定することで、アクセス制御を行なうようにしている。
図25には、PINの入力失敗回数によりサービスやエリアへのアクセス権制御を行なうための処理手順をフローチャートの形式で示している。
ユーザからPINを入力すると(ステップS21)、各暗証コード・サービス定義ブロックにアクセスして、PINが一致するか否かを判別する(ステップS22)。
ユーザ入力されたPINが暗証コード・サービス定義ブロックのPINと一致する場合には、その暗証コード・サービス・データ・ブロック内のアクセス許可フラグを設定して、該当するサービス又はエリアをアクセス可能状態にする(ステップS23)。
他方、ユーザ入力されたPINがいずれの暗証コード・サービス定義ブロックのPINとも一致しない場合には、暗証コード定義領域内の入力失敗回数を更新する(ステップS24)。また、ユーザ入力されたPINがいずれの暗証コード・サービス定義ブロックのPINと一致し、照合に成功した場合には、入力失敗回数を0にクリアする。
そして、ステップS25では、更新された入力失敗回数が、暗証コード定義領域内で設定されている最大許容入力回数に到達したか否かを判断する(ステップS25)。
もし、入力失敗回数が最大許容入力回数に到達してしまったならば、その暗証コード定義領域内のアクセス許可フラグの設定を解除して、該当するサービス又はエリアをアクセス不可状態にする(ステップS26)。この結果、悪意のあるユーザがしらみつぶしにPINを調べる行為を取り締まることができる。
また、ユーザが誤って最大許容入力失敗回数に達して暗証コード入力に失敗してしまった場合は、ICカードを管理する管理者(例えば、分割技術管理者、または元のカード発行者)のみが入力失敗回数記憶領域をクリアできるようにしてもよい。この管理者の認証には、例えば秘密鍵による認証を使用することもできる。
以上、特定の実施形態を参照しながら、本発明について詳解してきた。しかしながら、本発明の要旨を逸脱しない範囲で当業者が該実施形態の修正や代用を成し得ることは自明である。
本明細書では、ICカードに内蔵されているメモリ領域についての情報管理方法を例にとって本発明の一実施形態について説明してきたが、本発明の要旨はこれに限定されるものではなく、ICカード以外の機器に内蔵されているメモリの管理にも同様に適用することができる。
要するに、例示という形態で本発明を開示してきたのであり、本明細書の記載内容を限定的に解釈するべきではない。本発明の要旨を判断するためには、冒頭に記載した特許請求の範囲の欄を参酌すべきである。
図1は、電磁誘導に基づくカード読み書き装置とICカードとの無線通信の仕組みを概念的に示した図である。 図2は、カード読み書き装置とICカードからなる系を1個のトランスとして捉えてモデル化した図である。 図3は、本発明の実施形態に係るデータ通信装置のハードウェア構成を示した図である。 本発明の一実施形態に係るICカードにおけるメモリ領域の制御システム構成を模式的に示した図である。 図5は、ICカードを用いたサービス提供システムの全体的構成を模式的に示した図である。 図6は、元のカード発行者が自らのファイル・システムのみを管理しているメモリ領域の状態を示した図である。 図7は、カード発行者が自らのファイル・システムの空き領域の内で、ある範囲のメモリを領域管理者に貸与(又は譲渡)することが許可できることを示した図である。 図8は、他のサービス提供元事業者が、カード発行者から許可された領域においてメモリ領域を分割し、新たなファイル・システムを生成した状態を示した図である。 図9は、共通領域管理者が、カード発行者から許可された領域において、共通領域のシステム・コードSC0でメモリを分割した状態を示した図である。 図10は、ファイル・システムを分割する際の事前処理を説明するための図である。 図11は、カード発行者がICカードに対してポーリングを行なう手続きを示したシーケンス図である。 図12は、カード発行者がICカードに対して分割要求を行なう手続きを示したシーケンス図である。 図13は、ICカード上のメモリ領域が分割され、新たなファイル・システムが生成される様子を示した図である。 図14は、新規のサービス提供元事業者がICカードのメモリ領域上に自己のファイル・システムを取得した後に行なう、発行者鍵KIiとシステム・コードSCiの再設定手続きを示したシーケンス図である 図15は、分割操作の繰り返しにより、ICカードのメモリ領域上に複数のファイル・システムが共存するメモリ空間の構造を模式的に示した図である。 図16は、発行者鍵でパッケージ化された要求コマンドの構成を模式的に示した図である。 図17は、ファイル・システム内のディレクトリ構造例を模式的に示した図である。 図18は、ファイル・システムの基本構成を示した図である。 図19は、ICカード50のメモリ空間においてエリアが階層化されている様子を示した図である。 図20は、ファイル・システム内にエリアやサービスを登録するための手順を示したフローチャートである。 図21は、サービス提供元事業者(元のカード発行者を含む)が自己のファイル・システム内にエリア登録を行なう手続きを示した図である。 図22は、サービス提供元事業者(元のカード発行者を含む)が自己のファイル・システム内にサービス登録を行なう手続きを示した図である。 図23は、暗証コード・サービス・データ・ブロックのデータ構造を模式的に示した図である。 図24は、ユーザから入力された暗証コードに従って、サービスの起動又はエリアへのアクセス権を制御するための処理手順を示したフローチャートである。 図25は、PINの入力失敗回数によりサービスやエリアへのアクセス権制御を行なうための処理手順を示したフローチャートである。
符号の説明
11…発行者用通信装置
12…運用者要通信装置
13…製造者用通信装置
14…記憶領域分割装置
15…運用ファイル登録装置
16…ICカード
17…ネットワーク
21…カード発行者
22…カード記憶領域運用者
23…装置製造者
24…カード記憶領域使用者
26…カード所有者
30…カード機能アナログ回路部
31…整流器
32…アンテナ
33…シリアル・レギュレータ
34…搬送波検出器
35…クロック抽出器
36…クロック選択器
37…クロック発振器
38…論理回路
39…電圧検出器
40…データ処理部
41…RAM
42…ROM
43…EEPROM
44…信号処理部
45…CPU
46…データ暗号化エンジン
47…エラー訂正部
48…UARTインターフェース
49…I2Cインターフェース
50…リーダ/ライタ機能アナログ回路部
51…送信アンプ
52…送信アンテナ
53…受信信号検出器
54…受信アンプ・フィルタ
55…受信アンテナ
100…データ通信装置

Claims (12)

  1. メモリ空間を備え、1以上のファイル・システムに分割して管理するデータ通信装置であって、
    分割権限鍵を保持し、前記メモリ空間のファイル・システムへのアクセスを管理する制御手段と、
    第1のサービス提供元の発行者鍵を保持し、メモリ空間上に割り当てられた第1のファイル・システムとを備え、
    第2のサービス提供元の発行者鍵を前記分割権限鍵で暗号化した分割素パッケージと新規のファイル・システムに関する情報を含んだデータ・ブロックを第1のサービス提供元の発行者鍵で暗号化した分割パッケージを受信すると、
    前記第1のファイル・システムにおいて分割パッケージを解読して分割素パッケージを取り出し、
    前記制御手段において分割素パッケージを解読し、前記メモリ空間の空き領域から、新規のファイル・システムに関する情報に従って、第2のサービス提供元の発行者鍵を保持した第2のファイル・システムを分割する、
    ことを特徴とするデータ通信装置。
  2. メモリ空間上の各ファイル・システムはエリア識別情報を持ち、
    外部からのアクセスは、アクセス先となるファイル・システムの発行者鍵で暗号化されたパッケージで構成され、
    前記制御手段は、エリア識別情報とパッケージを引数とする外部からのアクセス要求に対し、エリア識別情報を基に該当するファイル・システムへパッケージを渡し、
    ファイル・システムは自身の発行者鍵でパッケージを解読する、
    ことを特徴とする請求項1に記載のデータ通信装置。
  3. メモリ空間上の各ファイル・システムはシステム・コードを持ち、
    前記制御手段は、新規のファイル・システムを分割する際に、発行者鍵、エリア識別情報とともにシステム・コードを該ファイル・システムに設定する、
    ことを特徴とする請求項2に記載のデータ通信装置。
  4. サービス提供元は自己のシステム・コードを引数にしたエリア識別情報の取得要求を行ない、
    前記制御手段は、該要求に応答して、各ファイル・システムをポーリングして該当するファイル・システムからエリア識別情報を取得し、要求元へ返す、
    ことを特徴とする請求項3に記載のデータ通信装置。
  5. 第2のサービス提供元は、前記メモリ空間上に自己のファイル・システムを取得した後、分割時に設定された発行者鍵又はシステム・コードを書き換える、
    ことを特徴とする請求項1に記載のデータ通信装置。
  6. 各サービス提供元は、自己のファイル・システムに対するアクセス要求を自己の発行者鍵で暗号化するとともに、エリア識別情報を引数とし、
    前記制御手段は、エリア識別情報とパッケージを引数とする外部からのアクセス要求に対し、エリア識別情報を基に該当するファイル・システムへパッケージを渡す、
    ことを特徴とする請求項1に記載のデータ通信装置。
  7. メモリ空間を備え、1以上のファイル・システムに分割して管理するデータ通信装置におけるメモリ管理方法であって、前記メモリ空間上では、ファイル・システムの分割に関する権限を認証する分割権限鍵と、第1のサービス提供元の発行者鍵によりアクセス権限を認証する第1のファイル・システムが設けられており、
    第2のサービス提供元の発行者鍵を前記分割権限鍵で暗号化した分割素パッケージを生成するステップと、
    分割素パッケージと新規のファイル・システムに関する情報を含んだデータ・ブロックを第1のサービス提供元の発行者鍵で暗号化して分割パッケージを生成するステップと、
    分割パッケージを引数に含む分割要求を発行するステップと、
    前記第1のファイル・システムにおいて分割パッケージを解読して分割素パッケージを取り出すステップと、
    分割素パッケージを解読し、前記メモリ空間の空き領域から、新規のファイル・システムに関する情報に従って、第2のサービス提供元の発行者鍵を保持した第2のファイル・システムを分割するステップと、
    を具備することを特徴とするデータ通信装置のメモリ管理方法。
  8. メモリ空間上の各ファイル・システムはエリア識別情報を持ち、外部からのアクセスはアクセス先となるファイル・システムの発行者鍵で暗号化されたパッケージで構成され、
    エリア識別情報とパッケージを引数とするファイル・システムへのアクセス要求を発行するステップと、
    エリア識別情報を基に該当するファイル・システムへパッケージを渡すステップと、
    ファイル・システムが自身の発行者鍵でパッケージを解読するステップと、
    をさらに備えることを特徴とする請求項7に記載のデータ通信装置のメモリ管理方法。
  9. メモリ空間上の各ファイル・システムはシステム・コードを持ち、
    新規のファイル・システムを分割する際に、発行者鍵、エリア識別情報とともにシステム・コードを該ファイル・システムに設定するステップをさらに備える、
    ことを特徴とする請求項8に記載のデータ通信装置のメモリ管理方法。
  10. サービス提供元は自己のシステム・コードを引数にしたエリア識別情報の取得要求を行なうステップと、
    該要求に応答して、各ファイル・システムをポーリングして該当するファイル・システムからエリア識別情報を取得し、要求元へ返すステップと、
    をさらに備えることを特徴とする請求項9に記載のデータ通信装置のメモリ管理方法。
  11. 第2のサービス提供元が、前記メモリ空間上に自己のファイル・システムを取得した後、分割時に設定された発行者鍵又はシステム・コードを書き換えるステップをさらに備える、
    ことを特徴とする請求項7に記載のデータ通信装置のメモリ管理方法。
  12. サービス提供元が自己のファイル・システムに対する要求内容を自己の発行者鍵で暗号化したパッケージと、エリア識別情報を引数としたアクセス要求を発行するステップと、
    エリア識別情報とパッケージを引数とするアクセス要求に対し、エリア識別情報を基に該当するファイル・システムへパッケージを渡すステップと、
    をさらに備えることを特徴とする請求項7に記載のデータ通信装置のメモリ管理方法。
JP2004001360A 2004-01-06 2004-01-06 データ通信装置及びデータ通信装置のメモリ管理方法 Pending JP2005196412A (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
JP2004001360A JP2005196412A (ja) 2004-01-06 2004-01-06 データ通信装置及びデータ通信装置のメモリ管理方法
CNB2004800400009A CN100422961C (zh) 2004-01-06 2004-12-22 数据通信设备以及数据通信设备的存储器的管理方法
EP04807559.2A EP1703408B1 (en) 2004-01-06 2004-12-22 Data communicating apparatus and method for managing memory of data communicating apparatus
PCT/JP2004/019202 WO2005066803A1 (ja) 2004-01-06 2004-12-22 データ通信装置及びデータ通信装置のメモリ管理方法
US10/585,256 US7516479B2 (en) 2004-01-06 2004-12-22 Data communicating apparatus and method for managing memory of data communicating apparatus
HK07102548.6A HK1097612A1 (en) 2004-01-06 2007-03-08 Data communicating apparatus and method for managing memory of data communicating apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004001360A JP2005196412A (ja) 2004-01-06 2004-01-06 データ通信装置及びデータ通信装置のメモリ管理方法

Publications (1)

Publication Number Publication Date
JP2005196412A true JP2005196412A (ja) 2005-07-21

Family

ID=34746984

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004001360A Pending JP2005196412A (ja) 2004-01-06 2004-01-06 データ通信装置及びデータ通信装置のメモリ管理方法

Country Status (6)

Country Link
US (1) US7516479B2 (ja)
EP (1) EP1703408B1 (ja)
JP (1) JP2005196412A (ja)
CN (1) CN100422961C (ja)
HK (1) HK1097612A1 (ja)
WO (1) WO2005066803A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007052492A (ja) * 2005-08-15 2007-03-01 Felica Networks Inc 情報処理装置および方法、並びにプログラム
JP2014164565A (ja) * 2013-02-26 2014-09-08 Nippon Telegr & Teleph Corp <Ntt> Simカード、通信端末、及びセキュア情報保護方法

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1403761B1 (en) * 2001-06-27 2008-06-04 Sony Corporation Integrated circuit device, information processing device, information recording device memory management method, mobile terminal device, semiconductor integrated circuit device, and communication method using mobile terminal device
JP4706220B2 (ja) * 2004-09-29 2011-06-22 ソニー株式会社 情報処理装置および方法、記録媒体、並びにプログラム
US7729660B2 (en) * 2005-04-15 2010-06-01 Sony Corporation Communication device, non-contact type IC card mounting same, and information apparatus
US20070218837A1 (en) * 2006-03-14 2007-09-20 Sony Ericsson Mobile Communications Ab Data communication in an electronic device
JP5082695B2 (ja) * 2007-09-06 2012-11-28 ソニー株式会社 受信装置および受信方法、配信装置および配信方法並びにプログラム
CN101656583B (zh) * 2008-08-21 2012-07-04 中兴通讯股份有限公司 密钥管理***和方法
CN101714904B (zh) * 2008-10-08 2012-05-09 中兴通讯股份有限公司 密钥管理***和方法
US8689013B2 (en) * 2008-10-21 2014-04-01 G. Wouter Habraken Dual-interface key management
US8150314B2 (en) * 2008-12-09 2012-04-03 Keng Kuei Su Remote antijamming transmission device and method for the same
US8369894B1 (en) * 2009-01-05 2013-02-05 Sprint Communications Company L.P. Confirming certification of combinations of secure elements and mobile devices
US8539254B1 (en) * 2010-06-01 2013-09-17 Xilinx, Inc. Method and integrated circuit for protecting against differential power analysis attacks
US20110314561A1 (en) * 2010-06-21 2011-12-22 Roland Brill Server implemented method and system for securing data
US8490167B2 (en) * 2011-05-27 2013-07-16 International Business Machines Corporation Preventing password presentation by a computer system
KR101316377B1 (ko) * 2012-12-26 2013-10-08 신한카드 주식회사 결제 디바이스의 금융 칩 제어방법
DE102013104142B4 (de) * 2013-04-24 2023-06-15 Infineon Technologies Ag Chipkarte
US20150081490A1 (en) * 2013-09-13 2015-03-19 Synchology Llc Systems and methods for convertible prepaid account
JP6353693B2 (ja) * 2014-05-08 2018-07-04 任天堂株式会社 決済システム、ユーザ端末装置、販売サーバ装置、決済方法及びコンピュータプログラム
US10262254B2 (en) 2014-10-22 2019-04-16 Sony Corporation Information processing apparatus, information processing method, and program
US10552831B2 (en) * 2015-11-05 2020-02-04 The Toronto-Dominion Bank Securing data via multi-layer tokens

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06222980A (ja) * 1993-01-27 1994-08-12 Dainippon Printing Co Ltd メモリ領域の管理方法
JPH06222979A (ja) * 1993-01-27 1994-08-12 Dainippon Printing Co Ltd メモリ領域の管理方法
JPH08171517A (ja) * 1994-12-19 1996-07-02 Dainippon Printing Co Ltd 情報記憶媒体
JP2000036021A (ja) * 1998-07-16 2000-02-02 Sony Corp データ記憶装置およびデータ記憶方法
JP2000172808A (ja) * 1998-12-01 2000-06-23 Toshiba Corp Icカードとアプリケーション管理方法
WO2001077920A1 (fr) * 2000-04-06 2001-10-18 Sony Corporation Procede de division de zone de stockage pour dispositif portable
JP2002278838A (ja) * 2001-03-15 2002-09-27 Sony Corp メモリアクセス制御システム、デバイス管理装置、パーティション管理装置、メモリ搭載デバイス、およびメモリアクセス制御方法、並びにプログラム記憶媒体
JP2002312723A (ja) * 2001-04-10 2002-10-25 Nippon Telegr & Teleph Corp <Ntt> Icカード運用管理方式及びシステム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
HU216231B (hu) * 1994-01-13 1999-05-28 Certco, Llc Eljárás titkosított kommunikáció létrehozására
JPH10105472A (ja) 1996-09-30 1998-04-24 Toshiba Corp メモリのアクセス管理方法
US6317832B1 (en) * 1997-02-21 2001-11-13 Mondex International Limited Secure multiple application card system and process
JP4029234B2 (ja) * 1998-07-16 2008-01-09 ソニー株式会社 情報処理装置および情報処理方法
DE19839847A1 (de) * 1998-09-02 2000-03-09 Ibm Speichern von Datenobjekten im Speicher einer Chipkarte
CA2347684A1 (en) * 1998-10-27 2000-05-04 Visa International Service Association Delegated management of smart card applications
US6389537B1 (en) 1999-04-23 2002-05-14 Intel Corporation Platform and method for assuring integrity of trusted agent communications
JP3389186B2 (ja) * 1999-04-27 2003-03-24 松下電器産業株式会社 半導体メモリカード及び読み出し装置
US20020040438A1 (en) * 2000-05-05 2002-04-04 Fisher David Landis Method to securely load and manage multiple applications on a conventional file system smart card
US6824064B2 (en) * 2000-12-06 2004-11-30 Mobile-Mind, Inc. Concurrent communication with multiple applications on a smart card
JP4178785B2 (ja) 2001-10-31 2008-11-12 ソニー株式会社 情報処理端末及びその制御方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06222980A (ja) * 1993-01-27 1994-08-12 Dainippon Printing Co Ltd メモリ領域の管理方法
JPH06222979A (ja) * 1993-01-27 1994-08-12 Dainippon Printing Co Ltd メモリ領域の管理方法
JPH08171517A (ja) * 1994-12-19 1996-07-02 Dainippon Printing Co Ltd 情報記憶媒体
JP2000036021A (ja) * 1998-07-16 2000-02-02 Sony Corp データ記憶装置およびデータ記憶方法
JP2000172808A (ja) * 1998-12-01 2000-06-23 Toshiba Corp Icカードとアプリケーション管理方法
WO2001077920A1 (fr) * 2000-04-06 2001-10-18 Sony Corporation Procede de division de zone de stockage pour dispositif portable
JP2002278838A (ja) * 2001-03-15 2002-09-27 Sony Corp メモリアクセス制御システム、デバイス管理装置、パーティション管理装置、メモリ搭載デバイス、およびメモリアクセス制御方法、並びにプログラム記憶媒体
JP2002312723A (ja) * 2001-04-10 2002-10-25 Nippon Telegr & Teleph Corp <Ntt> Icカード運用管理方式及びシステム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007052492A (ja) * 2005-08-15 2007-03-01 Felica Networks Inc 情報処理装置および方法、並びにプログラム
JP4642596B2 (ja) * 2005-08-15 2011-03-02 フェリカネットワークス株式会社 情報処理装置および方法、並びにプログラム
JP2014164565A (ja) * 2013-02-26 2014-09-08 Nippon Telegr & Teleph Corp <Ntt> Simカード、通信端末、及びセキュア情報保護方法

Also Published As

Publication number Publication date
US20070283415A1 (en) 2007-12-06
CN100422961C (zh) 2008-10-01
CN1902605A (zh) 2007-01-24
EP1703408A4 (en) 2007-06-13
HK1097612A1 (en) 2007-06-29
US7516479B2 (en) 2009-04-07
EP1703408A1 (en) 2006-09-20
WO2005066803A1 (ja) 2005-07-21
EP1703408B1 (en) 2018-03-21

Similar Documents

Publication Publication Date Title
JP4428055B2 (ja) データ通信装置及びデータ通信装置のメモリ管理方法
KR100668996B1 (ko) 데이터 기억 장치 및 데이터 기억 방법
JP2005196412A (ja) データ通信装置及びデータ通信装置のメモリ管理方法
JP4029234B2 (ja) 情報処理装置および情報処理方法
JP4360422B2 (ja) 認証情報管理システム、認証情報管理サーバ、認証情報管理方法及びプログラム
US20090307491A1 (en) Information processing device, information processing method, program and communication system
JPWO2005124560A1 (ja) 情報管理装置及び情報管理方法
KR20130099999A (ko) 보안 소자에 애플리케이션 데이터의 기입
EP2183728A2 (en) Method, system and trusted service manager for securely transmitting an application to a mobile phone
JP4576894B2 (ja) 情報管理装置及び情報管理方法
JP2002298105A (ja) データ記憶装置および方法、情報処理装置および方法、記録媒体、並びにプログラム
JP4599899B2 (ja) 情報管理装置及び情報管理方法
JP4642596B2 (ja) 情報処理装置および方法、並びにプログラム
JP2005196409A (ja) データ通信装置及びデータ通信装置のメモリ管理方法
JP4349130B2 (ja) データ通信装置及びデータ通信装置のメモリ管理方法
JP2005196410A (ja) データ通信装置及びデータ通信装置のメモリ管理方法
CN107925579A (zh) 通信设备、通信方法、以及通信***
KR20200007988A (ko) 비접촉 ic칩 기반 보안 처리 방법
KR20200086251A (ko) 비접촉 ic칩 기반 보안 처리 방법
CN113379412A (zh) 可读写电子标签、基于该标签的支付方法和装置
KR20180127297A (ko) 비보안 단말을 이용한 비접촉 ic칩 기반 보안 처리 방법
JP2019185162A (ja) Icカード発行システム及びicカード
KR20070022737A (ko) 정보 관리 장치 및 정보 관리 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061027

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100223

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100426

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100914