JP2006190222A - 情報媒体、及びセキュリティーシステム - Google Patents
情報媒体、及びセキュリティーシステム Download PDFInfo
- Publication number
- JP2006190222A JP2006190222A JP2005003213A JP2005003213A JP2006190222A JP 2006190222 A JP2006190222 A JP 2006190222A JP 2005003213 A JP2005003213 A JP 2005003213A JP 2005003213 A JP2005003213 A JP 2005003213A JP 2006190222 A JP2006190222 A JP 2006190222A
- Authority
- JP
- Japan
- Prior art keywords
- information
- secure
- communication path
- medium
- information medium
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】 少なくとも2つの装置間で通信可能な通信路を、セキュリティを確保して確立すると共に、セキュリティに関わる異常発生を検出して速やかにシステム復旧ができるようにする。
【解決手段】 全体を制御すると共にタンパ処理を実行するCPU11と、異なる4つのセキュア情報(鍵情報、価値情報等のデータ、及びセキュアプロトコルを含むプログラム)の各々に対応して暗号処理を行う暗号処理部12と、前記異なる4つのセキュア情報をそれぞれ記憶する記憶部13と、耐タンパ機能により重点的に保護すべき領域14と、外部機器とのインターフェースを備えて通信を行う通信部15と、保護すべき状態の成立を検出するタンパ検出部16と、を備えて構成される。
【選択図】図1
【解決手段】 全体を制御すると共にタンパ処理を実行するCPU11と、異なる4つのセキュア情報(鍵情報、価値情報等のデータ、及びセキュアプロトコルを含むプログラム)の各々に対応して暗号処理を行う暗号処理部12と、前記異なる4つのセキュア情報をそれぞれ記憶する記憶部13と、耐タンパ機能により重点的に保護すべき領域14と、外部機器とのインターフェースを備えて通信を行う通信部15と、保護すべき状態の成立を検出するタンパ検出部16と、を備えて構成される。
【選択図】図1
Description
本発明はネットワークシステムのセキュリティを高めるためのセキュア情報を有する情報媒体、及び該情報媒体を利用したセキュリティーシステムに関する。
今日、クレジット情報や電子マネー、電子チケット販売等のサービスが、ネットワークを介して行われている。この際、クレジット番号や電子バリュー等の電子的価値のセキュリティを確保するために、暗号処理や認証処理が行われている。しかし、上記暗号処理や認証処理以外に、電子的価値を保護するセキュアな環境を、物理的手段や、電子的手段によって確保することも必要である。
例えば、特許文献1にはセキュリティ機能付きのカードリーダ装置が開示され、装置の筐体に対して開梱が行われた場合、装置の動作を不能にすると共に、開梱後に修復がなされた場合でも、この不能状態を継続することで、カードを偽造するためのデータを取り出せなくする耐タンパ機能が開示されている。
また、ICカードとリーダライタ装置間で認証を行う暗号鍵を安全な手法で端末装置に格納するシステムが提案されている(例えば、特許文献2参照。)。
この特許文献2に開示されたシステムは、周期的にマスター装置からデータの暗号化、解読方法を端末装置に送り、端末装置側において送信される都度、暗号化、解読方法を記憶手段に格納する認証システムである。
この特許文献2に開示されたシステムは、周期的にマスター装置からデータの暗号化、解読方法を端末装置に送り、端末装置側において送信される都度、暗号化、解読方法を記憶手段に格納する認証システムである。
一方、特許文献3には、1つの端末上で複数のアプリケーションを実現する際に、ICカードにアプリケーションを配信するサーバを共通に構築し、それぞれのアプリケーションに関する情報を一元管理する発明が開示されている。
さらに、近年インターネット等のオープンな環境を利用し、セキュアな環境を実現する方式が提案され、例えば特許文献4には、ICカードを利用し、価値情報を安全に流通させるための広域分散型のセキュリティアーキテクチャとして、自律型ICカードの発明が提案されている。この発明は、ICカードに、ICカード端末を介して接続される他の通信装置を自ら認識し、かつ当該他の通信装置と直接的に通信を行う機能を付与し、ICカード端末等の装置を見掛け上介在させることなく、当該他の通信装置と直接に通信を行えるようにし、これにより、通信の信頼性を保証することを意図している。
特開2001−291050号公報
特開平10−63800号公報
特開2001−236232号公報
特開2004−13748号公報
しかしながら、上記従来技術の場合、以下の問題点がある。例えば、特許文献2に開示された発明の場合、少なくとも端末装置には鍵配信サーバと初回に認証を行うための暗号鍵が格納されている必要がある。これらの暗号鍵は、一般的にサービスを提供する事業者によって定義、管理されるものであり、端末装置のメーカに対してこの暗号鍵を公開する場合の安全確保の工夫や、公開しない場合の実装上の工夫等を検討する必要があり、鍵管理が複雑になる。
また、特許文献3に開示された発明の場合、セキュリティーポリシーが異なる事業者が、共通のサーバを使用して情報を共有化することは実際上は困難である。
さらに、特許文献4に開示された発明の場合、セキュアプロトコルは、通信対象によって変更することが可能ではあるが、異なるセキュリティーポリシーによる複数のアプリケーション(マルチアプリケーション)の実現、及びセキュリティを担保するための鍵の管理に関するメカニズムについては言及されていない。
さらに、特許文献4に開示された発明の場合、セキュアプロトコルは、通信対象によって変更することが可能ではあるが、異なるセキュリティーポリシーによる複数のアプリケーション(マルチアプリケーション)の実現、及びセキュリティを担保するための鍵の管理に関するメカニズムについては言及されていない。
一般に、予め強固なセキュリティシステムとして提案されているシステムにあっても、不正な第三者(攻撃者)により、セキュアプロトコルに異常が発生する可能性を想定し、このような場合にも速やかにシステムの復旧がなされるようにシステム設計しておくことは重要な課題である。
そこで、本発明に際しては、何らかの不正手段を利用する不正な第三者が、セキュアプロトコルを盗み見た場合、特に、鍵情報が盗まれるなどの異常事態が発生した場合には、このようなトラブルを、ネットワーク全体でカバーすることにより、システムを維持運用させることが可能なセキュリティシステムを構築することが課題とされた。
また、このような場合に、一般的には異常を示す端末装置を、事業者または事業者の代理者が回収して、鍵情報を書き換えるなどのシステム復旧対策が行われることになるが、この際、従来のように、煩雑な作業が必要となってシステムを長期に渡って停止させるような事態は回避し、素早い復旧を可能にすることも課題とされた。
本発明は、上記従来の問題点に鑑みてなされたものであって、少なくとも2つの装置間で通信可能な通信路を、セキュリティを確保して確立すると共に、セキュリティに関わる異常発生を検出して速やかにシステム復旧ができるようにする情報媒体を提供することを目的としている。
本発明の他の目的は、複数の業者が提供する複数のアプリケーションサービスを、複数地点の各々に設置された1台のサービス提供端末装置で提供できるように構成されたネットワークシステムを、セキュリティを確保して構築すると共に、該ネットワークシステムのセキュリティに関わる異常発生を検出して速やかにシステム復旧ができるようにするセキュリティ管理用の情報媒体を提供することにある。
本発明の他の目的は、ネットワークシステムのセキュリティを確保すると共に、該ネットワークシステムのセキュリティに関わる異常発生を検出して速やかにシステム復旧ができるようにするセキュリティーシステムを提供することにある。
本発明の他の目的は、複数の業者が提供する複数のアプリケーションサービスを、複数地点の各々に設置された1台のサービス提供端末装置で提供できるように構成されたネットワークシステムのセキュリティを確保すると共に、該ネットワークシステムのセキュリティに関わる異常発生を検出して速やかにシステム復旧ができるようにするセキュリティーシステムを提供することにある。
本発明は、上記した従来の情報媒体の課題に鑑みてなされたものであり、耐タンパ手段と、異なるn個(nは3以上の自然数)のセキュア情報をそれぞれ記憶するn個の記憶手段と、前記記憶手段に記憶されたセキュア情報を使用し、前記セキュア情報と対応するセキュア情報を有する他の情報媒体との間で通信経路を確立して情報の伝達を可能にする、前記セキュア情報にそれぞれ対応したn個の制御手段とを備えたことを特徴とする情報媒体を提供するものである。
このように構成することで、本発明に係る情報媒体は、ネットワークの構成要素とされることで安全な通信路を構築することを可能にし、これにより、電子価値及び鍵情報を安全に配信することが可能となる。より具体的には、本発明に係る情報媒体は、耐タンパ機能によって保護されたn個の異なるセキュア情報を有し、これらのいずれか1つと同じセキュア情報を有する他の情報媒体との間に通信可能な通信路を確立することにより、セキュアな通信を可能にする。つまり、本発明に係る情報媒体は、あたかも3本以上の手を有していて、ペアとなる相手の情報媒体(他の情報媒体)とハンドシェイクを行うようなイメージで、安全な通信路を構築することができる。また、これらのセキュア情報が実装される部分は、耐タンパ機能により、物理的にも論理的にも強固に保護することができる。
ここで、前記記憶媒体は、前記セキュア情報の1つを記憶する前記1つの記憶手段と、前記セキュア情報に対応する前記1つの制御手段とから成る組を、前記セキュア情報に対応してn組備えると共に、前記n組の各々を、媒体領域の異なる場所に配設したものとしてよい。
このように構成することで、セキュア情報に対応した領域単位で、設計やメンテナンスを行うことができるので、設計やメンテナンスの際の労力負担が軽減される。
また、前記記憶媒体において、前記セキュア情報には、認証処理用または暗号処理用の鍵情報及び/またはセキュアプロトコルが含まれていることを特徴とする。
さらに、前記情報媒体は、ICカードのリーダライタと、情報処理手段とを有する装置に配設されて使用されることを特徴とする。
また、前記記憶媒体において、前記セキュア情報には、認証処理用または暗号処理用の鍵情報及び/またはセキュアプロトコルが含まれていることを特徴とする。
さらに、前記情報媒体は、ICカードのリーダライタと、情報処理手段とを有する装置に配設されて使用されることを特徴とする。
また、本発明に係るセキュリティーシステムは、上記した従来のセキュリティーシステムの課題に鑑みてなされたものであり、耐タンパ手段と、異なるn個(nは3以上の自然数)のセキュア情報をそれぞれ記憶するn個の記憶手段と、前記記憶手段に記憶されたセキュア情報を使用し、前記セキュア情報と対応するセキュア情報を有する他の情報媒体との間で通信経路を確立して情報の伝達を可能にする、前記セキュア情報にそれぞれ対応したn個の制御手段とを有する情報媒体を、ネットワークの構成要素として備え、前記セキュア情報に基づいて、前記ネットワーク上に、前記情報媒体を配設した少なくとも2つの装置間を通信可能にする通信経路を確立すると共に、前記通信経路を介した情報伝送を行うことを特徴とするセキュリティーシステムを提供するものである。
このように構成することで、本発明に係るセキュリティーシステムは、耐タンパ機能によって保護されたn個の異なるセキュア情報を有する情報媒体を備え、これらn個の異なるセキュア情報のいずれか1つと同じセキュア情報を有する他の情報媒体との間に通信可能な通信路を確立し、セキュアな通信を行うことができる。また、この情報媒体を利用することで、ネットワーク構成を、従来のような縦列型によるポイントツーポイント型の接続とする構成以外にも、スター型またはメッシュ型の構成とし、しかも、ネットワーク内の通信路を、安全な通信路として構築することが可能となる。
ここで、前記セキュリティーシステムにおいて、前記情報媒体は、前記セキュア情報の1つを記憶する前記1つの記憶手段と、前記セキュア情報に対応する前記1つの制御手段とから成る組を、前記セキュア情報に対応してn組備えると共に、前記n組を、それぞれ媒体領域の異なる場所に配設することができる。
また、前記セキュリティーシステムにおいて、前記セキュア情報には、認証処理用または暗号処理用の鍵情報及び/またはセキュアプロトコルが含まれていることを特徴とする。
また、前記セキュリティーシステムにおいて、前記情報媒体を配設した前記装置の各々は、ICカードのリーダライタと、情報処理手段とを、さらに備えていることを特徴とする。
また、前記セキュリティーシステムにおいて、前記耐タンパ手段により、前記情報媒体に記憶された少なくとも1つの前記セキュア情報の漏洩が検出されて、前記セキュア情報に対応する前記通信経路が使用不可となった時に、前記情報媒体に記憶された前記セキュア情報とは異なる他のセキュア情報に基づいて、前記通信路とは異なる新たな通信経路を確立すると共に、前記新たに確立された通信経路を介した情報伝送を行うことを特徴とする。
このように構成することで、セキュア情報の漏洩が検出され、このセキュア情報を用いて確立された通信路の使用が不可能となった時にも、前記セキュア情報を記憶する情報媒体に記憶されている他のセキュア情報を用いて新たな通信路を確立し、この新たな通信路を介して情報伝送を行うことで、システムの迅速な復旧を可能にしている。
また、前記セキュリティーシステムにおいて、前記耐タンパ手段により、前記情報媒体に記憶された少なくとも1つの前記セキュア情報の漏洩が検出されて、前記セキュア情報に対応する前記通信経路が使用不可となった時に、前記情報媒体に記憶された前記セキュア情報とは異なる他のセキュア情報に基づいて、前記通信路とは異なる新たな通信経路を確立すると共に、前記新たに確立された通信経路を介して前記漏洩されたセキュア情報に代わる新たなセキュア情報を受信し、前記新たなセキュア情報に基づいて、前記使用不可となった通信経路を再確立すると共に、前記再確立された通信経路を使用して情報伝送を再開することを特徴とする。
このように構成することで、セキュア情報の漏洩が検出され、このセキュア情報を用いて確立された通信路の使用が不可能となった時にも、前記セキュア情報を記憶する情報媒体に記憶されている他のセキュア情報を用いて新たな通信路を確立し、この新たな通信路を介して前記使用不可となった通信路の確立に使用されたセキュア情報に代わる新たなセキュア情報を用いて前記使用不可となった通信路を再確立することで、システムの迅速な復旧を可能にしている。
また、前記セキュリティーシステムにおいて、前記他のセキュア情報に基づいて確立される新たな通信経路は、1以上の候補ルートから選ばれた最適ルートであることを特徴とする。
このように構成することで、異常から復帰したシステムを、復帰後も最適な構成とすることができる。
さらに、前記セキュリティーシステムは、複数のアプリケーションを備え、前記複数のアプリケーションの各々に対応した処理を実行することを特徴とする。
さらに、前記セキュリティーシステムは、複数のアプリケーションを備え、前記複数のアプリケーションの各々に対応した処理を実行することを特徴とする。
このように構成することで、例えば、セキュリティーポリシーが異なる複数のアプリケーションサービスを同時に提供する1つのセキュリティーシステムを、いずれのアプリケーションについてもセキュリティを確保しながら容易に構築することができる。
以上説明したように、本発明の情報媒体によれば、情報媒体に記憶されたセキュア情報を用いて、異なる情報媒体間を通信可能にする通信路を確立していくことで、複数のセキュリティプロトコルペアがセキュリティを確保してスター型やメッシュ型に接続されることか可能となり、これにより、仮に1つのセキュリティペアにおいて悪意の第三者への漏洩等のトラブルが生じても、代わりのセキュリティペアを確保できるので、システムを迅速に復旧させることが可能となり、かつシステム全体のセキュリティ性を維持することができる。
また、メッシュ型に接続されたセキュリティープロトコルペアの下位にセキュア情報の漏洩等が生じた場合には、新たなセキュリティープロトコルペアを確保して、システムを迅速に復旧させることができる。さらに、前記新たに確保されたセキュリティープロトコルペアを用いて、新たなセキュア情報を送信し、当該下位のセキュア情報のみを新たなセキュア情報に置き換えさせることでシステムを迅速に復旧させることができる。
また、本発明のセキュリティーシステムによれば、上記情報媒体の配置をネットワーク化させてセキュリティを確保し、これにより、電子価値の伝達、及び鍵情報の配信を安全に行うことが可能となる。
また、セキュリティーポリシーが異なる複数のアプリケーションサービスを同時に提供する1つのセキュリティーシステムを、いずれのアプリケーションについてもセキュリティを確保しながら容易に構築することができる。
以下、本発明の最良の実施形態について、図面を参照しながら説明する。
〔第1の実施形態〕
図1は、本発明の第1の実施形態に係る情報媒体の構成を示す構成図である。
〔第1の実施形態〕
図1は、本発明の第1の実施形態に係る情報媒体の構成を示す構成図である。
同図において、本実施形態に係る情報媒体1は、本媒体の構成要素全体を制御すると共にタンパ処理を実行するCPU11と、異なる4つのセキュア情報(鍵情報、価値情報等のデータ、及びセキュアプロトコルを含むプログラム)の各々に対応して暗号処理を行う暗号処理部12と、前記異なる4つのセキュア情報をそれぞれ記憶する記憶部13と、耐タンパ機能により重点的に保護すべき領域14と、外部機器とのインターフェースを備えて通信を行う通信部15と、不正なタンパ手段の行使を検出するタンパ検出部16と、を備えて構成される。
タンパ検出部16は、例えば、光センサや温度センサで構成することができる。また、内部配線(信号線)の周波数や電源異常を検出する等の公知の機能を備えるものであってもよい。
以下、本実施形態に係る情報媒体1の機能を説明する。
CPU11は、本情報媒体の構成要素全体を制御すると共に、タンパ検出部16からの通知を受けて耐タンパ処理を実行する。より具体的には、この耐タンパ処理の実行により、例えば、記憶部13に記憶されている情報を消去する。
CPU11は、本情報媒体の構成要素全体を制御すると共に、タンパ検出部16からの通知を受けて耐タンパ処理を実行する。より具体的には、この耐タンパ処理の実行により、例えば、記憶部13に記憶されている情報を消去する。
暗号処理部12は、CPU11の制御に従って、記憶部13から読み出したセキュアプロトコル(セキュリティープログラム)に基づいた暗号処理を行う。
この暗号処理としては、各種の暗号処理アルゴリズムを使用することができ、例えば、DES(Data Encryption Standard)や、トリプルDES、ハッシュ関数等を使用するアルゴリズム等の、公知のアルゴリズムを使用してもよい。
この暗号処理としては、各種の暗号処理アルゴリズムを使用することができ、例えば、DES(Data Encryption Standard)や、トリプルDES、ハッシュ関数等を使用するアルゴリズム等の、公知のアルゴリズムを使用してもよい。
暗号処理部12における第1〜第4の処理は、それぞれ異なるセキュア情報を使用し、また、それぞれ異なる暗号処理アルゴリズムを実行することができる。
記憶部13は、鍵情報、価値情報等のデータ、及びセキュアプロトコルを含むプログラム等のセキュア情報を記憶する。
記憶部13は、鍵情報、価値情報等のデータ、及びセキュアプロトコルを含むプログラム等のセキュア情報を記憶する。
記憶部13における第1〜第4の記憶部は、それぞれ異なるセキュア情報(鍵情報、価値情報等のデータ、及びセキュアプロトコルを含むプログラム等)を記憶することができる。これらの各記憶部は、後述するセキュリティペアに対応し、それぞれ対応するセキュリティペアの確立に必要なセキュア情報を記憶している。
領域14は、情報媒体1の主要部が形成された物理的な領域であり、耐タンパ機能により重点的に保護すべき領域である。
通信部15は、本情報媒体(情報媒体1)を装填または配設する端末装置内のリーダライタや、実質的な情報処理部及びCPUとの通信インターフェイスを備える。
通信部15は、本情報媒体(情報媒体1)を装填または配設する端末装置内のリーダライタや、実質的な情報処理部及びCPUとの通信インターフェイスを備える。
タンパ検出部16は、外部からの攻撃等を検出してCPU11に通知する。例えば、光センサや温度センサで構成される場合は、情報媒体1のカバーやシールが剥がされたことを検出することができる。
なお、前述の外部からの攻撃の範疇には、例えば、カバーやシールを剥がすなどの物理的なものや、周波数や電源異常の検出により不安定領域における信号出力などの変動からデータ解析を行うものなどを含むものとする。
前述のとおり、タンパ検出部16からの通知を受けたCPU11によって、情報媒体単体の耐タンパ機能が発揮されるが、とりわけ、本情報媒体(情報媒体1)内の物理的な領域14(点線内の領域)については、高いレベルのタンパ検出がなされることにより、強固な耐タンパ機能が発揮され、厳重に保護される。
暗号処理部12は、後述する4つのセキュリティペアに関する暗号処理方法を実行し、記憶部13には、そのためのプロトコルや鍵情報などを記憶する。
なお、暗号処理部12における暗号処理方法などは、例えば、後述するセキュリティペアの各々で、同じ処理方法が採用されてもよいが、少なくとも鍵情報だけは異なるものが使用されるものとする。
なお、暗号処理部12における暗号処理方法などは、例えば、後述するセキュリティペアの各々で、同じ処理方法が採用されてもよいが、少なくとも鍵情報だけは異なるものが使用されるものとする。
図2は、本発明の第1の実施形態に係る情報媒体の他の構成を示す構成図である。
同図に示す情報媒体2は、本媒体の構成要素全体を制御すると共にタンパ処理を実行するCPU21と、第4のセキュアプロトコル部22と、第3のセキュアプロトコル部23と、第2のセキュアプロトコル部24と、第1のセキュアプロトコル部25と、保護すべき状態の成立を検出するタンパ検出部26と、耐タンパ機能により重点的に保護すべき領域28と、外部機器とのインターフェースを備えて通信を行う通信部27と、を備える。
同図に示す情報媒体2は、本媒体の構成要素全体を制御すると共にタンパ処理を実行するCPU21と、第4のセキュアプロトコル部22と、第3のセキュアプロトコル部23と、第2のセキュアプロトコル部24と、第1のセキュアプロトコル部25と、保護すべき状態の成立を検出するタンパ検出部26と、耐タンパ機能により重点的に保護すべき領域28と、外部機器とのインターフェースを備えて通信を行う通信部27と、を備える。
第4のセキュアプロトコル部22、第3のセキュアプロトコル部23、第2のセキュアプロトコル部24、及び第1のセキュアプロトコル部25は、それぞれ1つの暗号処理部と1つの記憶部とを含む。
情報媒体2と、前述の情報媒体1とを比較すると、構成上の違いだけであり、情報媒体2の機能は、前述の情報媒体1の機能と同じである。
よって、例えば、第1のセキュアプロトコル部25の暗号処理部を情報媒体1の暗号処理部12の第1の処理に、第2のセキュアプロトコル部24の暗号処理部を情報媒体1の暗号処理部12の第2の処理に、第1のセキュアプロトコル部23の暗号処理部を情報媒体1の暗号処理部12の第3の処理に、第1のセキュアプロトコル部22の暗号処理部を、情報媒体1の記憶部12の第4の処理に、それぞれ対応させることができる。
よって、例えば、第1のセキュアプロトコル部25の暗号処理部を情報媒体1の暗号処理部12の第1の処理に、第2のセキュアプロトコル部24の暗号処理部を情報媒体1の暗号処理部12の第2の処理に、第1のセキュアプロトコル部23の暗号処理部を情報媒体1の暗号処理部12の第3の処理に、第1のセキュアプロトコル部22の暗号処理部を、情報媒体1の記憶部12の第4の処理に、それぞれ対応させることができる。
また、例えば、第1のセキュアプロトコル部25の記憶部を、情報媒体1の暗号処理部13の第1記憶部に、第2のセキュアプロトコル部24の記憶部を、情報媒体1の暗号処理部13の第2記憶部に、第1のセキュアプロトコル部23の記憶部を、情報媒体1の記憶部13の第3記憶部に、第1のセキュアプロトコル部22の記憶部を、情報媒体1の記憶部13の第4記憶部に、それぞれ対応させることができる。
図2に示す情報媒体は、セキュア情報を記憶する1つの記憶部と、このセキュア情報を使用する1つの暗号処理部とを1組に纏めた構成としているので、図1に示す情報媒体に比べて、設計やメンテナンスを系統的に実施して労力負担を軽減できる利点が有り、よって、より実用性を有する構成となっている。
なお、この実施形態に係る情報媒体1(及び情報媒体2)では、セキュリティペアを確立するためのセキュア情報を記憶するために、セキュア情報に対応した記憶部を4つ備える構成としたが、一般に、本発明では、セキュリティペアを確立するためのセキュア情報をセキュア情報に対応して記憶する記憶部を、任意の複数備えることができる。
さらに、セキュリティペアを確立するためのセキュア情報をセキュア情報に対応して記憶する前記記憶部は、2つではなく、3つ以上備える構成とすることが好ましい。
その理由は、セキュア情報をセキュア情報に対応して記憶する記憶部が2つだけであると、情報媒体1(または情報媒体2)のリーダーを備えた端末装置をノードとするネットワークを構成する場合、多くの端末装置は、このネットワークの端点に位置するノードとはならず、少なくとも他の2つのノードとの接続を有するノードとなるからである。より具体的には、殆ど大部分の端末は、他の端末からデータを受け取って参照や加工等の処理を行った後、他の端末にデータを出力するか、他の若しくは複数の端末からのデータの授受を行うといった形態の端末となり、よって、これだけで2つの異なったセキュア情報が使用されてしまうので、セキュア情報をセキュア情報に対応して記憶する記憶部が2つだけの場合は、異常発生時の復旧に必要な冗長性(ここでは予備のセキュア情報)が確保されないからである。
その理由は、セキュア情報をセキュア情報に対応して記憶する記憶部が2つだけであると、情報媒体1(または情報媒体2)のリーダーを備えた端末装置をノードとするネットワークを構成する場合、多くの端末装置は、このネットワークの端点に位置するノードとはならず、少なくとも他の2つのノードとの接続を有するノードとなるからである。より具体的には、殆ど大部分の端末は、他の端末からデータを受け取って参照や加工等の処理を行った後、他の端末にデータを出力するか、他の若しくは複数の端末からのデータの授受を行うといった形態の端末となり、よって、これだけで2つの異なったセキュア情報が使用されてしまうので、セキュア情報をセキュア情報に対応して記憶する記憶部が2つだけの場合は、異常発生時の復旧に必要な冗長性(ここでは予備のセキュア情報)が確保されないからである。
〔第2の実施形態〕
図3は、本発明の第2の実施形態に係るセキュリティーシステムの情報媒体を主体とするネットワーク概念を示す構成図である。
図3は、本発明の第2の実施形態に係るセキュリティーシステムの情報媒体を主体とするネットワーク概念を示す構成図である。
同図に示すセキュリティーシステムは、本発明の第1の実施形態に係る情報媒体(情報媒体1または情報媒体2)を利用したセキュリティーネットワークを構成するものである。
符号1a,1b,1c,1dは、情報媒体を示し、この情報媒体は、本発明の第1の実施形態に係る情報媒体(情報媒体1または情報媒体2)を使用するものとする。また、符号A,B,C,Dは、それぞれ情報媒体1a,1b,1c,1dの設置地点を示す(但し、図3では、情報媒体を主体とする構成を示しているので、前記の各設置地点では、情報媒体リーダーを備えた端末装置等の図示については省略している)。
また、符号R1は地点A(情報媒体1a)と地点B(情報媒体1b)とを結ぶセキュア通信区間(電気的な通信路施設)、符号R2は地点B(情報媒体1b)と地点D(情報媒体1d)とを結ぶセキュア通信区間、符号R3は地点A(情報媒体1a)と地点C(情報媒体1b)とを結ぶセキュア通信区間、符号R4は地点C(情報媒体1c)と地点D(情報媒体1d)とを結ぶセキュア通信区間を、それぞれ示す。
さらに、符号C1はセキュア通信区間R1に確立されるシステム通信路、符号C2はセキュア通信区間R2に確立されるシステム通信路を、それぞれ示す。
なお、セキュア通信区間R3,R4,R5には、後述するように、システム通信路が確立されていない。
なお、セキュア通信区間R3,R4,R5には、後述するように、システム通信路が確立されていない。
一般に、このようなシステム通信路が確立されたセキュア通信区間では、電子的な価値情報(電子マネーやポイント数等)の伝送(双方向通信)を、安全に行うことができる。
図3に示すセキュリティーシステムの場合、情報媒体1a,1b,1c,1dの各々は、それぞれ異なる論理的な4つの鍵情報及びセキュアプロトコル(暗号処理方法、認証処理方法等)を備える。図3では、これらを、それぞれKab、Kbc、Kef、Kgh(ab、bc、ef、ghは、それぞれ数字)として表現している。この4つの鍵情報及びセキュアプロトコルを用いて、4つのセキュリティペア(セキュアプロトコルを使用したシステム通信路)を確立することができる。
図3に示すセキュリティーシステムの場合、情報媒体1a,1b,1c,1dの各々は、それぞれ異なる論理的な4つの鍵情報及びセキュアプロトコル(暗号処理方法、認証処理方法等)を備える。図3では、これらを、それぞれKab、Kbc、Kef、Kgh(ab、bc、ef、ghは、それぞれ数字)として表現している。この4つの鍵情報及びセキュアプロトコルを用いて、4つのセキュリティペア(セキュアプロトコルを使用したシステム通信路)を確立することができる。
なお、情報媒体1a,1b,1c,1dの各々は、備えている前記4つの鍵情報及びセキュアプロトコルの内、セキュア通信区間で結ばれた他の情報媒体と同じ鍵情報及びセキュアプロトコルを、セキュア通信区間の1区間につき、1つだけ備えている。
同図に示す例では、地点A(情報媒体1a)と地点B(情報媒体1b)とを結ぶセキュア通信区間R1に確立されるシステム通信路C1の確立に際しては、鍵情報及びセキュアプロトコルK11が使用され、また、地点B(情報媒体1b)と地点D(情報媒体1d)とを結ぶセキュア通信区間R2に確立されるシステム通信路C2の確立に際しては、鍵情報及びセキュアプロトコルK31が使用される。地点A(情報媒体1a)と地点C(情報媒体1c)とを結ぶセキュア通信区間R3、地点C(情報媒体1c)と地点D(情報媒体1d)とを結ぶセキュア通信区間R4、及び地点C(情報媒体1c)と地点B(情報媒体1b)とを結ぶセキュア通信区間R5については、それぞれシステム通信路を確立することが可能であっても、未だ確立されていない。
図4は、図3に示すセキュリティーシステムのシステム通信路に異常が発生した時に、この異常から復旧させるためのシステムの構成を示す構成図である。
同図に示すように、図3に示すセキュリティーシステムにおいて、例えば、地点B(情報媒体1b)と地点D(情報媒体1d)とを結ぶセキュア通信区間R2に確立されるシステム通信路C2に異常が発生した場合、セキュア通信区間R2における通信は不可能となる(システム通信路C2は利用できなくなる)。
同図に示すように、図3に示すセキュリティーシステムにおいて、例えば、地点B(情報媒体1b)と地点D(情報媒体1d)とを結ぶセキュア通信区間R2に確立されるシステム通信路C2に異常が発生した場合、セキュア通信区間R2における通信は不可能となる(システム通信路C2は利用できなくなる)。
このような異常発生の具体的な場合としては、例えば、前記情報媒体に記憶されている前記鍵情報またはセキュアプロトコルが、悪意の第三者によって露見されてしまったような場合が該当する。
なお、本発明の目的からは外れるが、例えば、電気的な通信施設であるセキュア通信区間R2に異常が発生する場合についても、同様にセキュア通信区間R2における通信は不可能となる(システム通信路C2は利用できなくなる)。
このような場合、本システムでは、鍵情報及びセキュアプロトコルK12を利用して、地点A(情報媒体1a)と地点C(情報媒体1b)とを結ぶセキュア通信区間R3にシステム通信路C2を確立する。同時に、鍵情報及びセキュアプロトコルK32を利用して、地点C(情報媒体1c)と地点D(情報媒体1d)とを結ぶセキュア通信区間R4にシステム通信路C4を確立する。さらに、必要に応じて、鍵情報及びセキュアプロトコルk21を利用し、地点C(情報媒体1c)と地点B(情報媒体1b)とを結ぶセキュア通信区間R5にシステム通信路C5を確立することができる(図4では確立した状態を示している)。
これにより、地点A(情報媒体1a)と地点D(情報媒体1d)との間に、システム通信路が確保され、双方向通信が可能となるので、本システムは、セキュリティシステムとして継続して利用できる状態に復旧する。
図5は、本発明の第2の実施形態に係るセキュリティーシステムの1構成例を示す構成図である。
同図に例示するセキュリティーシステムは、マルチアプリケーションサービスを実現するためのネットワークシステムであり、最上位のノード(管理センタMC)は、アプリケーションA1を実行するサーバAと、アプリケーションB1を実行するサーバBとを備えた管理センタMCである。
同図に例示するセキュリティーシステムは、マルチアプリケーションサービスを実現するためのネットワークシステムであり、最上位のノード(管理センタMC)は、アプリケーションA1を実行するサーバAと、アプリケーションB1を実行するサーバBとを備えた管理センタMCである。
この管理センタMCは、媒体情報1akに接続される端末装置(図示は省略)を備える。
管理センタMCは、別の事業主体が異なるセキュリティーポリシに基づく2つのサービス(アプリケーションA1によるサービスと、アプリケーションB1によるサービス)を、顧客が、最下位ノード(SPM1及びSPM2)にそれぞれ設置された1台の端末を使用して同時に受けられるマルチアプリケーションを構築している。
管理センタMCは、別の事業主体が異なるセキュリティーポリシに基づく2つのサービス(アプリケーションA1によるサービスと、アプリケーションB1によるサービス)を、顧客が、最下位ノード(SPM1及びSPM2)にそれぞれ設置された1台の端末を使用して同時に受けられるマルチアプリケーションを構築している。
なお、この管理センタMCは、情報媒体ではなく、一般的なSAMモジュールなどを複数利用してセキュア情報を守る形態であってもよいものとする。
また、管理センタMCが提供するサービスは、この実施形態では2つのアプリケーションによるサービスとしたが、一般に、本発明では、2つのアプリケーションとは限らず、任意の数のアプリケーションによるサービスが可能である。
また、管理センタMCが提供するサービスは、この実施形態では2つのアプリケーションによるサービスとしたが、一般に、本発明では、2つのアプリケーションとは限らず、任意の数のアプリケーションによるサービスが可能である。
このセキュリティーネットワークの具体的な通信網としては、インターネット網50を使用しているが、この他に、電話回線網などの公衆回線や、イントラネット網などを使用してもよい。また、インターネット網50と、電話回線網などの公衆回線や、イントラネット網などを併用してもよい。
アプリケーションA1を提供するために利用されるサービス提供管理装置SPME1(サービス提供端末管理装置)と、サービス提供端末装置SPM1(サービス提供端末)には、それぞれ、情報媒体1bkと、情報媒体1dkが接続される。
また、アプリケーションB1を提供するために利用されるサービス提供管理装置SPME2と、サービス提供端末装置SPM2には、それぞれ、情報媒体1ckと、情報媒体1ekが接続される。
さらに、管理センタMC、前記の各サービス提供管理装置、及び前記の各サービス提供装置には、それぞれ複数の情報媒体を配設することが可能である。
なお、各情報媒体が接続している装置(符号SPME1,SPM1,SPME2,SPM2の装置)は、セキュア通信区間として、物理的には電気回線網(ここではインターネット網50)を介して互いに接続されている。しかし、前記セキュア通信区間に対して、必ずしもシステム通信路(即ち、通信可能な環境が確立された通信路)が常に確立されているとは限らない。
なお、各情報媒体が接続している装置(符号SPME1,SPM1,SPME2,SPM2の装置)は、セキュア通信区間として、物理的には電気回線網(ここではインターネット網50)を介して互いに接続されている。しかし、前記セキュア通信区間に対して、必ずしもシステム通信路(即ち、通信可能な環境が確立された通信路)が常に確立されているとは限らない。
ここで、情報媒体1akは、少なくとも2つの異なるセキュアプロトコルK11及びK12によって規定される第1の認証用鍵Key_11及び第2の認証用鍵Key_12を記憶する。また、情報媒体1bkは、少なくとも3つの異なるセキュアプロトコルK11、K21、K31によって規定される認証用鍵Key_11、Key_21、Key_31を記憶する。また、情報媒体1dkは、少なくとも3つの異なるセキュアプロトコルK31、K32、K42によって規定される認証用鍵Key_31、Key_32、Key_42を記憶する。さらに、カード51はKey_42とペアとなる認証用鍵を記憶する。
また、情報媒体1ckは、少なくとも3つの異なるセキュアプロトコルK12、K32、K22によって規定される認証用鍵Key_12、Key_32、Key_22を記憶し、情報媒体1ekは、少なくとも3つの異なるセキュアプロトコルK22、K33、K43によって規定される認証用鍵Key_22、Key_33、Key_43を記憶し、さらに、カード52は認証用鍵Key_43とペアとなる認証用鍵を記憶する。
なお、ここで、これらの認証用鍵には認証用だけではなく暗号用途の鍵なども含まれるものとする。
以下、このセキュリティーネットワークのシステム通信路の構築について説明する。
以下、このセキュリティーネットワークのシステム通信路の構築について説明する。
例えば、管理センタMCと、サービス提供端末管理装置SPME1との間のセキュア通信区間では、これらの装置間で同じ認証用鍵Key_11を利用したセキュアプロトコルK11により、セキュアな通信路(即ち、システム通信路)を構築する。同様に、サービス提供端末管理装置SPME1と、サービス提供端末装置SPE1との間のセキュア通信区間では、これらの装置間で同じ認証用鍵Key_31を利用したセキュアプロトコルK31により、セキュアな通信路(即ち、システム通信路)を構築する。
このようにして、カード51を使用する顧客に対して、アプリケーションA1を提供するサービスとしては、セキュアな通信路としてシステム通信路C6と、システム通信路C7とを構築して、このマルチアプリケーションサービスを提供するシステムを運用する。
図6は、図5に例示するセキュリティーシステムのシステム通信路に異常が発生した時に、この異常から復旧させるためのシステムの構成を示す構成図である。
同図に示すように、サービス提供端末管理装置SPME1及びサービス提供端末装置SPM1が備える同一の認証用鍵Key_31または同一の認証用鍵Key_31を利用したセキュアプロトコルK31に、悪意の第三者への露見が生じ、このため、サービス提供端末管理装置SPME1と、サービス提供端末装置SPM1との間のシステム通信路C7が使用できなくなる事態が生じた時に、この状態において本システムを復旧させるために、管理センタMCとサービス提供端末管理装置SPME2との間にセキュアプロトコルK12を使用してシステム通信路C8を確立し、同時に、サービス提供端末管理装置SPME2とサービス提供端末装置SPM1との間にセキュアプロトコルK22を使用してシステム通信路C9を確立する。これにより、サービス提供端末装置SPM1では、アプリケーションA1によるサービス業務を再開することができる。
同図に示すように、サービス提供端末管理装置SPME1及びサービス提供端末装置SPM1が備える同一の認証用鍵Key_31または同一の認証用鍵Key_31を利用したセキュアプロトコルK31に、悪意の第三者への露見が生じ、このため、サービス提供端末管理装置SPME1と、サービス提供端末装置SPM1との間のシステム通信路C7が使用できなくなる事態が生じた時に、この状態において本システムを復旧させるために、管理センタMCとサービス提供端末管理装置SPME2との間にセキュアプロトコルK12を使用してシステム通信路C8を確立し、同時に、サービス提供端末管理装置SPME2とサービス提供端末装置SPM1との間にセキュアプロトコルK22を使用してシステム通信路C9を確立する。これにより、サービス提供端末装置SPM1では、アプリケーションA1によるサービス業務を再開することができる。
なお、ここでは、セキュアプロトコルを露見するための手段や、この露見を検出する手段に関しては、本発明の本質とは関係しないため、特に例示しない。
認証用鍵Key_31が露見したことを検出した管理センタ及びサービス提供端末管理装置、サービス提供端末装置は、後述の図8に示す手順によりシステムを復旧させる。
認証用鍵Key_31が露見したことを検出した管理センタ及びサービス提供端末管理装置、サービス提供端末装置は、後述の図8に示す手順によりシステムを復旧させる。
図7は、図5に例示するセキュリティーシステムの情報媒体に接続される端末装置の1構成例を示す構成図である。
同図に例示する端末装置3は、全体を制御するCPU31と、プログラム及びデータを記憶するメモリであるMemory32と、実質的な情報処理部である決済部33と、ICカード等と情報のやり取りをするRW部34と、通信インタフェース部35と、CPU31に接続される情報媒体(1akまたは1bkまたは1ckまたは1dkまたは1ek)と、を備えて構成される。
同図に例示する端末装置3は、全体を制御するCPU31と、プログラム及びデータを記憶するメモリであるMemory32と、実質的な情報処理部である決済部33と、ICカード等と情報のやり取りをするRW部34と、通信インタフェース部35と、CPU31に接続される情報媒体(1akまたは1bkまたは1ckまたは1dkまたは1ek)と、を備えて構成される。
なお、この他に、操作者の指令やデータを入力するための操作部(図示は省略)を備えることができる。
端末装置3は、管理センタMCとし使用される場合は情報媒体(1ak)を、サービス提供端末管理装置SPME1として使用される場合は情報媒体(1bk)を、サービス提供端末管理装置SPME2として使用される場合は情報媒体(1ck)を、それぞれ備え、また、サービス提供端末装置SPM1として使用される場合は情報媒体(1dk)を、サービス提供端末装置SPM2として使用される場合は情報媒体(1de)を、をそれぞれ備える。
端末装置3は、管理センタMCとし使用される場合は情報媒体(1ak)を、サービス提供端末管理装置SPME1として使用される場合は情報媒体(1bk)を、サービス提供端末管理装置SPME2として使用される場合は情報媒体(1ck)を、それぞれ備え、また、サービス提供端末装置SPM1として使用される場合は情報媒体(1dk)を、サービス提供端末装置SPM2として使用される場合は情報媒体(1de)を、をそれぞれ備える。
CPU31は、Memory32に記憶されたプログラムに基づいて端末装置3の各構成要素を制御する。
決済部33は、実質的な情報処理部であり、例えば、ポイントの集計や、チケット購入時の処理等を行い、決済情報等をMemory32に記憶させる。
決済部33は、実質的な情報処理部であり、例えば、ポイントの集計や、チケット購入時の処理等を行い、決済情報等をMemory32に記憶させる。
RW部34は、ICカード等からのデータの読み出し、及びICカード等へのデータの書き込みを行う。
通信インターフェース部は、インターネット網等の通信施設との通信インターフェースを備え、ネットワーク通信を行う。
通信インターフェース部は、インターネット網等の通信施設との通信インターフェースを備え、ネットワーク通信を行う。
なお、決済部33及びRW部34はオプショナルであり、取り外された構成であってもよいものとする。
以下、図5に例示するセキュリティーシステムのシステム通信路に異常が発生した時の復旧手続きについて、フローチャートを使用して説明する。
以下、図5に例示するセキュリティーシステムのシステム通信路に異常が発生した時の復旧手続きについて、フローチャートを使用して説明する。
図8は、図5に例示するセキュリティーシステムのシステム通信路に異常が発生した時の復旧手続きを示すフローチャートである。
以下、図5〜7を参照しながら、図8に示すフローチャートを使用して、図5に例示するセキュリティーシステムのシステム通信路に異常が発生した時のCPU31における復旧手続きを説明する。
以下、図5〜7を参照しながら、図8に示すフローチャートを使用して、図5に例示するセキュリティーシステムのシステム通信路に異常が発生した時のCPU31における復旧手続きを説明する。
なお、以下に示す復旧手続きは、このセキュリティーシステムに属する各端末装置(のCPU31)が、通信処理を介して協調し、実行する復旧手続きであるものとする。
まず、耐タンパ機能を備えた情報媒体(1bkまたは1dk)を介して、認証用鍵Key_31または同一の認証用鍵Key_31を利用したセキュアプロトコルK31が露見したことを検出する(ステップS1)。
まず、耐タンパ機能を備えた情報媒体(1bkまたは1dk)を介して、認証用鍵Key_31または同一の認証用鍵Key_31を利用したセキュアプロトコルK31が露見したことを検出する(ステップS1)。
これにより、一旦システムの運用を停止させる(ステップS2)。
次に、アプリケーションA1に関するシステムの運用が継続できるか否かを判断し、システムの運用が継続困難であると判断した場合は、システム運用を停止したままで処理を終了する。また、システムの運用が可能と判断した場合は、ステップS4に進む。
次に、アプリケーションA1に関するシステムの運用が継続できるか否かを判断し、システムの運用が継続困難であると判断した場合は、システム運用を停止したままで処理を終了する。また、システムの運用が可能と判断した場合は、ステップS4に進む。
ステップS4では、システムルート(以下、前述の「システム通信路」の別称とする)を変更するためのサブルーチンの処理を実行する。
次に、ステップS4の処理によってシステムルートの変更が可能であったか否かを検証し、新たなシステムルートが設立されず、システムルートの変更が不可能である場合は、直ちに処理を終了する。また、新たなシステムルートが設立されてシステムルートの変更が可能である場合は、ステップS6に進む(ステップS5)。
次に、ステップS4の処理によってシステムルートの変更が可能であったか否かを検証し、新たなシステムルートが設立されず、システムルートの変更が不可能である場合は、直ちに処理を終了する。また、新たなシステムルートが設立されてシステムルートの変更が可能である場合は、ステップS6に進む(ステップS5)。
ステップS6では、このシステムルートの変更を確定する。
次に、新たに確立されたシステムルートに基づいて、アプリケーションA1に関するシステムの運用が継続できるようにシステムを復旧させ、その後、処理を終了する(ステップS6)。
次に、新たに確立されたシステムルートに基づいて、アプリケーションA1に関するシステムの運用が継続できるようにシステムを復旧させ、その後、処理を終了する(ステップS6)。
次に、前述のステップS4で実行されるサブルーチンの処理、即ち、システムルートの変更処理について説明する。
図9は、システムルートの変更処理手順を示すフローチャートである。
図9は、システムルートの変更処理手順を示すフローチャートである。
まず、確立可能なn番目の最適システムルートの選択処理として、管理センタMCからサービス提供端末装置SPM1に至る確立可能なシステムルートRn’の候補を選択する(この数nの初期値は1とする)。ここでは、n=1の場合、Key_31が露見しているので、まず、Key_12を利用したセキュアプロトコルK12により確立されるシステムルート(即ち、システム通信路C8)が、最適システムルートの候補として選択される(ステップS10)。
次に、管理センタMCが備える情報媒体1akと、サービス提供端末管理装置SPME2が備える情報媒体1ckとの間で、実際にKey_12を利用したセキュアプロトコルK12セキュアプロトコルに従って認証処理を試み、この認証処理により認証が得られない場合は、その旨をメインルーチンに引き渡すパラメータとして処理を終了する(メインルーチンに復帰する)。また、この認証処理により認証が得られた場合は、ステップS12に進む(ステップS11)。
ステップS12では、Key_12を利用したセキュアプロトコルK12に従って通信処理を試みる。
次に、この通信処理が成功したか否か、即ち、前記の新たなシステムルートが確立されたか否かを検証し、前記の新たなシステムルートが確立されていない場合はステップS15に移り、新たなシステムルートが確立された場合はステップS14に進む(ステップS13)。
次に、この通信処理が成功したか否か、即ち、前記の新たなシステムルートが確立されたか否かを検証し、前記の新たなシステムルートが確立されていない場合はステップS15に移り、新たなシステムルートが確立された場合はステップS14に進む(ステップS13)。
ステップS14では、新たなシステムルートが確立されたことと、この新たなシステムルート(システム通信路C8)とをメインルーチンに引き渡すパラメータとして処理を終了する(図8に示すメインルーチンに復帰する)。
ステップS15では、n=n+1とし、その後、ステップS10に戻る。
この一連の処理は、ルート変更処理が適切に完了するまで、つまりnは、安全な通信路が形成されるまで、ステップS15において1が加算され続ける。
この一連の処理は、ルート変更処理が適切に完了するまで、つまりnは、安全な通信路が形成されるまで、ステップS15において1が加算され続ける。
これにより、サービス提供端末装置SPM1は、新たな通信先を、サービス提供端末管理装置SPME2とすることができる。
なお、サービス提供端末管理装置SPME2と、サービス提供端末装置SPM1との間の最適システムルートの選択に際しても、図9に示すフローチャートと同様の処理手順を使用することができる。
なお、サービス提供端末管理装置SPME2と、サービス提供端末装置SPM1との間の最適システムルートの選択に際しても、図9に示すフローチャートと同様の処理手順を使用することができる。
より具体的には、サービス提供端末管理装置SPME1及びサービス提供端末装置SPM1のシステムルートも変更する際の処理手順として、まず、図9に示すフローチャートのステップS10からステップS12と同様の処理を行う。
つまり、サービス提供端末管理装置SPME2からサービス提供端末端末SPME1に至る最適なシステムルートを確立するために、情報媒体1ck及び情報媒体1dk間でKey_32を利用したセキュアプロトコルK32に従って認証処理を試み、この認証が得られれば、ステップS12の通信処理を試み、この通信に成功したことでもって、安全なシステム通信路C9が確立されたものとして、ステップS14の処理により、新たなシステムルートが確立されたことと、この新たなシステムルート(システム通信路C9)とをメインルーチンへ引き渡すパラメータとして処理を終了する(図8に示すメインルーチンに復帰する)。
新たなシステムルートの確立に成功した上で図8に示すメインルーチンへ復帰した後は、図8に示すフローチャートのステップS6では、アプリケーションAを提供するシステムとして、異常発生時のシステム通信路C6,C7の利用から、新たに確立された安全なシステム通信路C8,C9の利用へとシステム通信路の変更を確定するので、これにより、本システムの継続運用を行うことができる。
次に、認証用鍵の変更を行うことで、本システムを復旧する場合の処理手順をフローチャートを使用して説明する。
図10は、図5に例示するセキュリティーシステムのシステム通信路に異常が発生した時に認証用鍵の変更を行って復旧させる場合の復旧手続きを示すフローチャートである。
図10は、図5に例示するセキュリティーシステムのシステム通信路に異常が発生した時に認証用鍵の変更を行って復旧させる場合の復旧手続きを示すフローチャートである。
以下、図5〜7を参照しながら、図10に示すフローチャートを使用して、図5に例示するセキュリティーシステムのシステム通信路に異常が発生した時に鍵の変更を行って復旧させる場合の復旧手続きを説明する。
なお、以下に示す復旧手続きも、このセキュリティーシステムに属する各端末装置(のCPU31)が、通信処理を介して協調し、実行する復旧手続きであるものとする。
まず、耐タンパ機能を備えた情報媒体(1bkまたは1dk)を介して、認証用鍵Key_31が露見されたことを検出する(ステップS20)。
まず、耐タンパ機能を備えた情報媒体(1bkまたは1dk)を介して、認証用鍵Key_31が露見されたことを検出する(ステップS20)。
これにより、一旦システムの運用を停止させる(ステップS21)。
次に、盗まれた認証用鍵Key_31に代わる新たな認証用鍵Key_31(ver2)を生成する。なお、この例では、この認証用鍵Key_31(ver2)の配送先が、情報媒体1bkと、情報媒体1dkとの2箇所であるため、システムルートの変更回数を示すN(初期値は1)の上限値Nmは、Nm=2としておく(ステップS22)。
次に、盗まれた認証用鍵Key_31に代わる新たな認証用鍵Key_31(ver2)を生成する。なお、この例では、この認証用鍵Key_31(ver2)の配送先が、情報媒体1bkと、情報媒体1dkとの2箇所であるため、システムルートの変更回数を示すN(初期値は1)の上限値Nmは、Nm=2としておく(ステップS22)。
次に、認証用鍵Key_31(ver2)を情報媒体1bkへ配送するための最適な認証用鍵配送ルートを選択して、N回目の認証用鍵配送ルートの変更処理を行う。Nの初期値である1回目では、セキュアプロトコルK11を利用するシステム通信路C6を認証用鍵配送ルートの候補とする(ステップS23)。
次に、このN回目の認証用鍵配送ルートの候補でもって、実際に鍵配送のルート変更が可能であるか否かを検証し、認証用鍵配送のルート変更が可能でなければ、ステップS26に移る。また、認証用鍵配送のルート変更が可能であれば、ステップS25に進む。
ステップS25では、この認証用鍵配送ルートの変更を確定する。
次に、変更された認証用鍵配送ルートを介して認証用鍵Key31_(ver2)を、Nに対応する配送先の情報媒体に配信する(ステップS27)。
次に、変更された認証用鍵配送ルートを介して認証用鍵Key31_(ver2)を、Nに対応する配送先の情報媒体に配信する(ステップS27)。
次に、露見した情報媒体の認証用鍵の変更処理は全て完了したか否か、即ち、N=Nmに達したか否かを検証し、N<Nmの場合はステップS29に移り、N=Nmの場合はステップS30に進む。
ステップS30では、変更されたN個の情報媒体の各々を使用して確立されるシステムルートの各々の変更を確定する。
次に、この変更されたシステムルートを使用して、本システムの運用を継続させ、その後、処理を終了する(ステップS31)。
次に、この変更されたシステムルートを使用して、本システムの運用を継続させ、その後、処理を終了する(ステップS31)。
ステップS29では、Nに1を加算する。
ステップS26では、システムの運用を停止し、その後、処理を終了する。
なお、ステップS23におけるルート変更処理の処理手順は、基本的に図9のフローチャートで示した処理手順と同じである。
ステップS26では、システムの運用を停止し、その後、処理を終了する。
なお、ステップS23におけるルート変更処理の処理手順は、基本的に図9のフローチャートで示した処理手順と同じである。
図10のフローチャートに示す処理手順では、ステップS23のルート変更処理から、ステップS27の認証用鍵配信処理に至るまでの一連の処理をN回繰り返すことにより、前述の図8のフローチャートで示す処理と同様、システム通信路C8及びシステム通信路C9を、認証用鍵鍵配送ルートとして確定し、情報媒体1bk及び情報媒体1dkへ認証用鍵の配信を行って、システムを復旧させている。
上記の処理手順により、異常発生時の情報媒体1bk及び情報媒体1dkにおける認証用鍵Key_31は、露見されていない新たなKey_31(ver2)へと変更されるので、この新たなセキュアプロトコルK31(ver2) により、情報媒体1bkと情報媒体1dkとの間を、安全なシステム通信路として確立し、再利用することができる。
本発明によれば、ICカードまたはICカードと同等の機能を有するチップを内蔵する、携帯型情報端末、携帯電話装置等の装置間における電子的価値の授受を、オンラインまたはオフラインで、セキュアに実施することができる情報媒体、及びセキュリティーシステムを提供することができる。
1 情報媒体(第1の実施形態に係る情報媒体)
2 情報媒体(他の構成)
3 端末装置
11,21,31 CPU
12 暗号処理部
13 記憶部
14,28 重点的に保護すべき領域
15,27 通信部
16,26 タンパ検出部
22 第4のセキュアプロトコル部
23 第3のセキュアプロトコル部
24 第1のセキュアプロトコル部
25 第1のセキュアプロトコル部
32 メモリ
33 決済部
35 通信インタフェース部
2 情報媒体(他の構成)
3 端末装置
11,21,31 CPU
12 暗号処理部
13 記憶部
14,28 重点的に保護すべき領域
15,27 通信部
16,26 タンパ検出部
22 第4のセキュアプロトコル部
23 第3のセキュアプロトコル部
24 第1のセキュアプロトコル部
25 第1のセキュアプロトコル部
32 メモリ
33 決済部
35 通信インタフェース部
Claims (12)
- 耐タンパ手段と、
異なるn個(nは3以上の自然数)のセキュア情報をそれぞれ記憶するn個の記憶手段と、
前記記憶手段に記憶されたセキュア情報を使用し、前記セキュア情報と対応するセキュア情報を有する他の情報媒体との間で通信経路を確立して情報の伝達を可能にする、前記セキュア情報にそれぞれ対応したn個の制御手段と、
を備えたことを特徴とする情報媒体。 - 前記セキュア情報の1つを記憶する前記1つの記憶手段と、前記セキュア情報に対応する前記1つの制御手段とから成る組を、前記セキュア情報に対応してn組備えると共に、前記n組の各々を、媒体領域の異なる場所に配設したことを特徴とする請求項1記載の情報媒体。
- 前記セキュア情報には、認証処理用または暗号処理用の鍵情報及び/またはセキュアプロトコルが含まれていることを特徴とする請求項1または請求項2記載の情報媒体。
- ICカードのリーダライタと、情報処理手段とを有する装置に配設されて使用されることを特徴とする請求項1乃至3のいずれか1項に記載の情報媒体。
- 耐タンパ手段と、
異なるn個(nは3以上の自然数)のセキュア情報をそれぞれ記憶するn個の記憶手段と、
前記記憶手段に記憶されたセキュア情報を使用し、前記セキュア情報と対応するセキュア情報を有する他の情報媒体との間で通信経路を確立して情報の伝達を可能にする、前記セキュア情報にそれぞれ対応したn個の制御手段とを有する情報媒体を、ネットワークの構成要素として備え、
前記セキュア情報に基づいて、前記ネットワーク上に、前記情報媒体を配設した少なくとも2つの装置間を通信可能にする通信経路を確立すると共に、前記通信経路を介した情報伝送を行うことを特徴とするセキュリティーシステム。 - 前記情報媒体は、前記セキュア情報の1つを記憶する前記1つの記憶手段と、前記セキュア情報に対応する前記1つの制御手段とから成る組を、前記セキュア情報に対応してn組備えると共に、前記n組を、それぞれ媒体領域の異なる場所に配設したことを特徴とする請求項5記載のセキュリティーシステム。
- 前記セキュア情報には、認証処理用または暗号処理用の鍵情報及び/またはセキュアプロトコルが含まれていることを特徴とする請求項5または請求項6記載のセキュリティーシステム。
- 前記情報媒体を配設した前記装置の各々は、ICカードのリーダライタと、情報処理手段とを、さらに備えていることを特徴とする請求項5乃至7のいずれか1項に記載のセキュリティーシステム。
- 前記耐タンパ手段により、前記情報媒体に記憶された少なくとも1つの前記セキュア情報の漏洩が検出されて、前記セキュア情報に対応する前記通信経路が使用不可となった時に、前記情報媒体に記憶された前記セキュア情報とは異なる他のセキュア情報に基づいて、前記通信路とは異なる新たな通信経路を確立すると共に、前記新たに確立された通信経路を介した情報伝送を行うことを特徴とする請求項5乃至8のいずれか1項に記載のセキュリティーシステム。
- 前記耐タンパ手段により、前記情報媒体に記憶された少なくとも1つの前記セキュア情報の漏洩が検出されて、前記セキュア情報に対応する前記通信経路が使用不可となった時に、前記情報媒体に記憶された前記セキュア情報とは異なる他のセキュア情報に基づいて、前記通信路とは異なる新たな通信経路を確立すると共に、前記新たに確立された通信経路を介して前記漏洩されたセキュア情報に代わる新たなセキュア情報を受信し、前記新たなセキュア情報に基づいて、前記使用不可となった通信経路を再確立すると共に、前記再確立された通信経路を使用して情報伝送を再開することを特徴とする請求項5乃至8のいずれか1項に記載のセキュリティーシステム。
- 前記他のセキュア情報に基づいて確立される新たな通信経路は、1以上の候補ルートから選ばれた最適ルートであることを特徴とする請求項5乃至10のいずれか1項に記載のセキュリティーシステム。
- 複数のアプリケーションを備え、前記複数のアプリケーションの各々に対応した処理を実行することを特徴とする請求項5乃至11のいずれか1項に記載のセキュリティーシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005003213A JP2006190222A (ja) | 2005-01-07 | 2005-01-07 | 情報媒体、及びセキュリティーシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005003213A JP2006190222A (ja) | 2005-01-07 | 2005-01-07 | 情報媒体、及びセキュリティーシステム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006190222A true JP2006190222A (ja) | 2006-07-20 |
Family
ID=36797353
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005003213A Pending JP2006190222A (ja) | 2005-01-07 | 2005-01-07 | 情報媒体、及びセキュリティーシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006190222A (ja) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008117467A1 (ja) | 2007-03-27 | 2008-10-02 | Mitsubishi Electric Corporation | 秘密情報記憶装置及び秘密情報の消去方法及び秘密情報の消去プログラム |
JP2012114019A (ja) * | 2010-11-26 | 2012-06-14 | Sony Corp | 二次電池セル、電池パック及び電力消費機器 |
JP2012169751A (ja) * | 2011-02-10 | 2012-09-06 | Toshiba Tec Corp | 情報処理システム、読取端末および処理端末 |
JP2012222636A (ja) * | 2011-04-11 | 2012-11-12 | Nec Fielding Ltd | データ消去機能付きディスク装置およびサービス提供方式 |
JP5656303B1 (ja) * | 2014-03-28 | 2015-01-21 | パナソニック株式会社 | 情報処理装置 |
JP5703453B1 (ja) * | 2014-03-28 | 2015-04-22 | パナソニックIpマネジメント株式会社 | 情報処理装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11110510A (ja) * | 1997-10-07 | 1999-04-23 | Hitachi Ltd | Icカード |
JP2001357373A (ja) * | 2000-06-15 | 2001-12-26 | Sony Corp | データ記憶装置およびデータ記憶方法、情報処理装置および情報処理方法、並びに記録媒体 |
JP2003281476A (ja) * | 2002-03-22 | 2003-10-03 | Hisashi Tone | Cpu付きicカードの通信システム、cpu付きicカード、管理センター及び読書装置 |
JP2004062556A (ja) * | 2002-07-30 | 2004-02-26 | Hitachi Ltd | Icカードおよび決済端末 |
JP2005141529A (ja) * | 2003-11-07 | 2005-06-02 | Hitachi Ltd | 情報通信システム及び情報記憶媒体 |
-
2005
- 2005-01-07 JP JP2005003213A patent/JP2006190222A/ja active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11110510A (ja) * | 1997-10-07 | 1999-04-23 | Hitachi Ltd | Icカード |
JP2001357373A (ja) * | 2000-06-15 | 2001-12-26 | Sony Corp | データ記憶装置およびデータ記憶方法、情報処理装置および情報処理方法、並びに記録媒体 |
JP2003281476A (ja) * | 2002-03-22 | 2003-10-03 | Hisashi Tone | Cpu付きicカードの通信システム、cpu付きicカード、管理センター及び読書装置 |
JP2004062556A (ja) * | 2002-07-30 | 2004-02-26 | Hitachi Ltd | Icカードおよび決済端末 |
JP2005141529A (ja) * | 2003-11-07 | 2005-06-02 | Hitachi Ltd | 情報通信システム及び情報記憶媒体 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008117467A1 (ja) | 2007-03-27 | 2008-10-02 | Mitsubishi Electric Corporation | 秘密情報記憶装置及び秘密情報の消去方法及び秘密情報の消去プログラム |
US8286005B2 (en) | 2007-03-27 | 2012-10-09 | Mitsubishi Electric Corporation | Confidential information memory apparatus, erasing method of confidential information, and erasing program of confidential information |
JP2012114019A (ja) * | 2010-11-26 | 2012-06-14 | Sony Corp | 二次電池セル、電池パック及び電力消費機器 |
JP2012169751A (ja) * | 2011-02-10 | 2012-09-06 | Toshiba Tec Corp | 情報処理システム、読取端末および処理端末 |
JP2012222636A (ja) * | 2011-04-11 | 2012-11-12 | Nec Fielding Ltd | データ消去機能付きディスク装置およびサービス提供方式 |
JP5656303B1 (ja) * | 2014-03-28 | 2015-01-21 | パナソニック株式会社 | 情報処理装置 |
JP5703453B1 (ja) * | 2014-03-28 | 2015-04-22 | パナソニックIpマネジメント株式会社 | 情報処理装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10146528B2 (en) | Over-the-air-provisioning of application library | |
US10120993B2 (en) | Secure identity binding (SIB) | |
CN100458809C (zh) | 用于建立虚拟认证凭证的方法与装置 | |
CN101258505B (zh) | 安全的软件更新 | |
US20090265776A1 (en) | Authentication of data communications | |
CN102292732A (zh) | 具有物理可分离的密钥存储设备的硬件加密存储设备 | |
CN109191131B (zh) | 一种基于可信环境和双安全芯片的安全人脸识别装置 | |
US20070286373A1 (en) | Method For Securing A Telecommunications Terminal Which Is Connected To A Terminal User Identification Module | |
CN101351807A (zh) | 用于把嵌入式安全芯片与计算机相关联的方法和*** | |
CN105830107A (zh) | 基于云的交易方法和*** | |
JP2006190222A (ja) | 情報媒体、及びセキュリティーシステム | |
JP2005235159A (ja) | セキュアリモートアクセスシステム | |
CN103080946A (zh) | 用于安全地管理文件的方法、安全设备、***和计算机程序产品 | |
CN102722676A (zh) | 具有安全模块和多个电子设备的*** | |
EP3238415A1 (en) | Software tampering detection and reporting process | |
US6993654B2 (en) | Secure encryption processor with tamper protection | |
CN111008400A (zh) | 数据处理方法、装置及*** | |
US20160043928A1 (en) | System and method for remote management of sale transaction data | |
JP5391743B2 (ja) | 決済処理セキュリティ情報配信方法、決済処理セキュリティ情報配信システム、そのセンタ装置、サーバ装置、決済端末、及びプログラム | |
EP2136311B1 (en) | Data keeping method, client apparatus, storage device and program | |
EP1998279A1 (en) | Secure payment transaction in multi-host environment | |
CN105357670B (zh) | 一种路由器 | |
CN111858114A (zh) | 设备启动异常处理,设备启动控制方法、装置及*** | |
JP4503341B2 (ja) | 電子マネー入金機及びその認証方法 | |
JP2008242922A (ja) | 認証装置、認証システム及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071213 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100928 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110208 |