JP2006309475A - Icカードのデータ移行システムおよびその方法 - Google Patents

Icカードのデータ移行システムおよびその方法 Download PDF

Info

Publication number
JP2006309475A
JP2006309475A JP2005130731A JP2005130731A JP2006309475A JP 2006309475 A JP2006309475 A JP 2006309475A JP 2005130731 A JP2005130731 A JP 2005130731A JP 2005130731 A JP2005130731 A JP 2005130731A JP 2006309475 A JP2006309475 A JP 2006309475A
Authority
JP
Japan
Prior art keywords
data
migration
card
unit
data migration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005130731A
Other languages
English (en)
Other versions
JP4735024B2 (ja
Inventor
Hiroki Uchiyama
宏樹 内山
Katsuyuki Umezawa
克之 梅澤
Seiichi Suzaki
誠一 洲崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2005130731A priority Critical patent/JP4735024B2/ja
Publication of JP2006309475A publication Critical patent/JP2006309475A/ja
Application granted granted Critical
Publication of JP4735024B2 publication Critical patent/JP4735024B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

【課題】
ICカード更新時に、安全でない端末を利用して、旧ICカードから新ICカードへのデータ移行を行う場合には、ICカードの管理者が行うことが前提となっており、ユーザが自由にICカードのデータを移行することができなかった。また、マルチアプリケーション部が搭載されたICカードの場合には、複数のサービス提供者がデータの移行作業を行う必要があり、データの移行作業を煩雑にしていた。
【解決手段】
ICカード内にデータ移行時に利用する、データ移行部を予め搭載しておき、データ移行時には、旧ICカードと新ICカードに搭載されているデータ移行部を利用してデータの移行を行う。この方法を用いることにより、旧カードと新カードの間の端末が安全である必要がなく、複数のアプリケーション部のデータを移行可能で、ICカード管理者ではないユーザでも自由に実施可能となる。
【選択図】 図1

Description

本発明は、ICカード等のデータの移行方法に関し、さらに詳しくは、ICカード等のデータの不正な移行を防ぎ、複数のアプリケーションのデータを移行可能なシステムおよびその方法に関する。
古いICカードを新しいICカードに切り替える際に、旧ICカード内のアプリケーションプログラム(以下、アプリケーションという)が使用するデータを新ICカードに移行したいという要求は大きい。
上記要求は、単一のサービス提供者の場合にはICカード内のデータを、サービス提供者が移行することで実現される。
また、ICカードに、サービス提供者ごとに領域を分けて、サービス提供者がアプリケーションおよびデータを搭載する技術が知られている(例えば、非特許文献1参照)。このような複数のアプリケーションを搭載可能なマルチアプリケーションICカードの場合、複数のサービス提供者が、ICカード内のアプリケーションのデータをそれぞれ移行することで、上記要求を満たすことができる。
これらの移行作業は、作業を行う人が認証されており、作業を行う装置が不正な端末でないと検証されている安全な環境で行うことが前提とされているが、安全でない端末を利用してデータを移行する方法として、ICカード内にデータ送受信ログを保存し、安全でない端末には一時データを保存しない技術が知られている(例えば、特許文献1参照)。
また、ICカードを新旧二枚のカードを同時に同一機器に挿入せずにデータの移行を行う方法として、メールサーバを利用して行う技術もある(例えば、特許文献2参照)。
さらに、ICカード間のデータ移行時に利用する秘密鍵を容易に更新可能にし、データ移行時の安全性を高める技術もある(例えば、特許文献3参照)。
特開2002−140664号公報 GlobalPlatform Inc.,"GlobalPlatform Card Specification Version2.1.1",[online], 2003年3月, GlobalPlatform Inc.,p.28, [2005年4月6日検索],インターネット<URL:http://www.globalplatform.org/specificationview.asp?id=card> 特開2003−44769号公報 米国特許出願公開第2004/0025021A1号明細書
従来技術では、安全とは言えない端末を利用して、旧カードから新カードへのデータ移行を行う場合には、カードの管理者が行うことが前提となっており、ユーザの利便性を損ねていた。また、複数のサービス提供者により複数のアプリケーションが搭載されたICカードの場合には,それぞれのサービス提供者がデータの移行作業を行う必要があり、データの移行作業を煩雑にしていた。
本発明は、上記事情に鑑みてなされたものであり、ユーザが,安全とは言えない端末を利用する場合であっても、旧カードから新カードへのデータ移行を行えるシステムを提供する。
具体的には,ICカード内に,データ移行処理を行うアプリケーションプログラム(以下、データ移行アプリケーションという)を予め搭載しておき、データ移行時には、旧ICカードと新ICカードに搭載されているデータ移行アプリケーションを実行して,データ移行部を具現化し,当該データ移行部がデータの移行を行うICカードのデータ移行方法およびその方法が適用されるシステムを提供する。
本システムによれば、旧ICカードから新ICカードへのデータ移行に用いる端末が安全である必要がなく、ICカードの管理者ではないユーザでも自由にデータ移行を実施可能となる。
より具体的には、データ移行時に、旧ICカードのデータ移行部が,対象アプリケーション(複数でもよい)にかかわるデータ(以下、移行データという)を、一旦、自データ移行部が管理するメモリ領域にコピーし(バックアップするという)、対象アプリケーションが管理するメモリ領域から移行するデータを削除することにより移動し、旧ICカード内のデータの不正使用を防ぐ。
また、旧ICカードと新ICカードのデータ移行部間で相互認証を行い、旧ICカード内にバックアップされた移行データを新ICカードのデータ移行部が管理するメモリ領域へ送信し、新ICカードのデータ移行部が、対象アプリケーションが管理するメモリ領域へデータを移動する。その際に署名の付加と暗号化を行うことにより、通信路上の改竄や盗み見を防ぐ。
さらに、データの移行に失敗した場合には、旧ICカードのデータ移行部が、内部に保存したバックアップデータを、旧ICカード内のアプリケーションに復元してもよい。
本発明によれば、ICカードの管理者やユーザが、ICカード内の複数アプリケーションのデータを,旧ICカードから新ICカードへ,安全にかつ容易に移行できるようになる。また,データ移行失敗時にもデータの復元が可能になる。
本発明の一実施形態について説明する。なお、これにより本発明が限定されるものではない。
図1は、本発明の一実施形態が適用されたICカードのデータ移行システムの構成図である。
本実施形態のICカードのデータ移行システムは、図1に例示するように、データの移行元であるICカード10と、データの移行先であるICカード20と、それぞれの間でデータの送受信を行う通信路30とが互いに接続されて構成されている。
ICカード10とICカード20は、それぞれ,外部からコマンドを受信し、受信したコマンドの内容により処理を行い、処理結果を返信する。該ICカード10,20は、それぞれ,コマンドを受信し,処理結果を送信するデータ送受信部101,201と、コマンドを解析するコマンド解析部102,202と、コマンドを解析するために使う鍵を保管しておく鍵保管部104〜104(以降、104と示すこともある),204〜204(以降、204と示すこともある)と、コマンドに従い処理を実行するアプリケーション部103〜103(以降、103と示すこともある),203〜203(以降、203と示すこともある)と、各々の該アプリケーション部103〜103,203〜203で利用するデータを保管しておくデータ保管部105〜105(以降、105と示すこともある),205〜205(以降、205と示すこともある)と、データを移行する際に、データ送信部、データ受信部として動作するデータ移行部106,206と、該データ移行部106,206が署名や暗号化を行うための鍵を保管しておく鍵保管部107,207と、前記データ移行部が利用するデータを保管しておくデータ保管部108,208と、前記データ移行部が管理するデータ移行処理の状態を保持する処理経過フラグ保持部109,209と、を含む。
通信路30上には、前記ICカード10および前記ICカード20とコマンドの受信と,処理結果の送信を行う端末40を設ける。端末40は、前記ICカード10および前記ICカード20とコマンドの受信と,処理結果の送信を行うICカードアクセス部402と、データの移行指示コマンドを生成するコマンド生成部401と、を含む。
図2はICカード10のハードウェア構成を例示する図である。ICカード10は、入出力装置11と、CPU12と、耐タンパ記憶装置13と、耐タンパメモリ14と、がバスなどの内部通信線15で接続されて構成されている。ICカード20のハードウェア構成はICカード10のハードウェア構成と同様である。ここで、ICカードの形状はテレホンカードのような名刺形状に限定するものではなく、前記の構成要素を含むハードウェアであれば、たとえば、SDメモリーカードの形状であってもよい。
図3は端末40のハードウェア構成を例示する図である。端末40は、記憶装置41と、少なくとも一つのICカード入出力装置42と、CPU43と、メモリ44と、がバスなどの内部通信線45で連結され、構成されている。
図1に示すデータ送受信部101,201、コマンド解析部102,202、アプリケーション部103,203、データ移行部106,206は、各装置の記憶装置13,41に格納されたプログラムがメモリ14,44にロードされ、CPU12,43により実行されることにより、ICカードのデータ移行システムを構成する端末40、ICカード10,20上に具現化される。より具体的には、アプリケーション部はアプリケーションプログラムが実行されることにより、データ移行部はデータ移行アプリケーションプログラムが実行されることにより、それぞれ具現化される。
また、各プログラムは予め記憶装置13,41に格納されていても良いし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬するデジタル信号または搬送波)を介して、必要な時に導入されても良い。
本実施形態のICカードのデータ移行システムにおける処理フローについて説明する。
図4は、端末40で生成されたデータ移行依頼に従って、ICカード10からICカード20にデータを移行する際の概略フロー図である。
まず、アプリケーション部103とデータ移行部106と端末40とデータ移行部206の間で、データ読み出し処理を行う(ステップ401(S401と表現する。以下同様))。
次に、データ移行部106と端末40とデータ移行部206の間で、移行データ送受信処理を行う(S402)。
次に、データ移行部206とアプリケーション部203の間で、データ書き込み処理を行う(S403)。
次に、データ移行部106と端末40とデータ移行部206の間で、移行結果送受信処理を行う(S404)。
最後に、必要であれば、アプリケーション部103とデータ移行部106と端末30の間で、データ復元処理を行う(S405)。
図5は、図4の処理フローのうち、データ読み出し処理(S401)を詳細化した図である。
まず、端末40のICカードアクセス部402は、データ移行先ICカード20がICカード入出力装置42に挿入された時に,データ移行依頼を実行する(S501)。つぎに、データ移行先ICカード20のデータ移行部206に対して、ID取得コマンド(A501)を送信する。なお、端末40に,使用者によるデータ移行指示を受け付ける入力装置が備わっている場合には、入力装置から指示が入力された時にデータ移行依頼を実行してもよい。
次に、データ移行部206は、データ移行先ICカード20のIDを取得する(S502)。つぎに、端末40に対し、ID(A502)を送信する。
端末40のコマンド生成部401は、取得したIDを用いて、データ移行コマンドを生成する(S503)。つぎに、生成したデータ移行コマンド(A503)を、ICカードアクセス部402を介して、ICカード10内のデータ移行部106へ送信する。
次に、データ移行部106は、データ移行元ICカード10内のアプリケーション部103のIDを取得する(S504)。つぎに、データ移行部106は、データの移行元であるアプリケーション部103のデータ保管部105にアクセスするために、アプリケーション部103との間で認証処理を実施する(S505)。認証が成功したら、アプリケーション部103に対し、データ読み出しコマンド(A504)を送信する。取得した二種類のIDは移行データに組み込まれ、移行データの取り出し元を特定するために利用される。
次に、アプリケーション部103は、データ保管部105に格納されたデータを読み出す(S506)。つぎに、S506で取得したデータ(A505)をデータ移行部106に送信する。なお、移行データは電子マネーなどのデータ保管部に格納されたデータでもよいし、アプリケーション部103のプログラム本体でもよい。
次に、データ移行部106は、受信したデータを前記データ移行部106のデータ保管部108に書き込む(S507)。つぎに、アプリケーション部103のデータ保管部105のデータを消去するために、アプリケーション部103に対し、データ消去コマンド(A506)を送信する。
次に、アプリケーション部103は、受信したコマンドを解析し、データ保管部105のデータを消去する(S508)。なお、データを消去する方法については、一般的に利用されるメモリの管理テーブルからの参照情報を削除する方法でも良いし、空データを書き込むことによって、データを消去する方法でもよい。
つぎに、データの消去完了を示すレスポンス(A507)をデータ移行部106に送信する。
A504コマンドの送信からA507コマンドの受信までのフローにより、アプリケーション部103のデータ保管部105の移行データは、他のICカードへ移す前にデータ移行部106のデータ保管部108に移動しており、データの移行を開始するとアプリケーション部103のデータを不正に使用することはできない。
なお、複数のアプリケーション部のデータを移行する場合には、S505〜S508までのフローを、アプリケーション部毎に繰り返し行う。
また、アプリケーション部103のデータ保管部105のデータを消去する代わりに、アプリケーション部103をロックしてもよい。具体的には、アプリケーション部103をロックコマンドを受信すると外部からのコマンドを受け付けなくなるように構成しておき、データ移行アプリケーション106からアプリケーション部103に対してロックコマンドを送信する。
次に、データ移行部106は、前記S507でデータ保管部108に書き込んだデータを、図13に示す移行データの形式に変換する(S509)。
図6は、図4の処理フローのうち、移行データ送受信処理(S402)を詳細化した図である。
まず、データ移行元ICカード10内のデータ移行部106と、データ移行先ICカード20内のデータ移行部206との間で、端末40を介し、相互認証処理を実施し、以降の署名や暗号化に利用するセッション鍵を共有する(S601)。該認証処理で用いる暗号は、認証処理中にセッション鍵を共有できるものであれば、共通鍵暗号でもよいし、公開鍵暗号でもよい。その際、端末40はデータ移行元ICカード10とデータ移行先ICカード20の間のデータ送受信を行う。
つぎに、データ移行部106は、S601で共有したセッション鍵を用いて、移行データの署名を生成する(S602)。つぎに、移行データ自身をセッション鍵で暗号化する(S603)。その後、暗号化された移行データと署名(A601)を端末40に送信する。
次に、端末40は、受信したデータ(A601)をICカード20内のデータ移行部206に送信する(S604)。
次に、データ移行部206は、S601で共有したセッション鍵を用いて、暗号化された移行データの復号を行う(S605)。つぎに、移行データの署名の検証と移行データに記載された、移行先ICカードのIDが、データ移行先ICカード20のIDと一致するか検証する(S606)。この検証により、移行データを異なるICカードに複数回移行することを避けることができる。署名もしくはIDの検証に失敗した場合には、その旨を示すレスポンスを端末40に送信し、データ移行処理を中止する(S607)。署名およびIDの検証に成功した場合には、移行データをデータ移行部206のデータ保管部208に書き込む(S608)。
図7は、図4の処理フローのうち、データ書き込み処理(S403)を詳細化した図である。
データ移行部206は、データの移行先であるアプリケーション部203のデータ保管部205にアクセスするために、アプリケーション部203との間で認証処理を実施し読み出し権限が有ることを確認する(S701)。
つぎに、S607でデータ移行部206のデータ保管部208に書き込んだ移行データを、アプリケーション部203のデータ保管部205に書き込むために、アプリケーション部203に対し、データ書き込みコマンド(A701)を送信する。
次に、アプリケーション部203は、受信したコマンド(移行データを含む)を解析し、データ保管部205に移行データを書き込む(S702)。この移行データはアプリケーション毎に纏めたデータである。
その後、レスポンス(A702)をデータ移行部206に送信する。
次に、データ移行部206は、アプリケーション部203に対し、データ読み出しコマンド(A703)を送信する。このコマンドはA504のコマンドと同じである。
なお、データ移行部206は、アプリケーション部203のデータ読み出し、書き込みに関するインターフェイス(アドレスなど)を知っているものとする。
次に、アプリケーション部203は、受信したコマンドを解析し、データ保管部205からデータの読み出しを行う(S703)。その後、読み出したデータ(A704)をデータ移行部206に送信する。
次に、データ移行部206は、受信したデータ(A704)と、S607でデータ保管部208に書き込んだデータを比較し、書き込みの成否を確認する(S704)。このベリファイ処理により、データの書き込み時に格納可能なデータ量を超えてしまい、書き込めなかった場合などの対応が可能になる。つぎに、S704の結果を元に、データ移行処理結果を生成する(S705)。
なお、複数のアプリケーション部のデータを移行する場合には、データ移行部206が,S701〜S705までのフローを、アプリケーション部毎に繰り返し行うように制御する。
図8は、図4の処理フローのうち、移行結果送受信処理(S404)を詳細化した図である。
まず、データ移行部206は、S601で共有したセッション鍵を用いて、データ移行処理結果の署名を生成する(S801)。
その後、処理結果と署名(A801)を端末40に送信する。
次に、端末40は、受信した処理結果と署名(A801)をデータ移行部106に送信する。
次に、データ移行部106は、受信した処理結果と署名のうち、署名の検証を行う(S802)。署名が不正であると判断した場合には、その旨を端末40に送信し、データ移行処理を中止する(S803)。署名が正当であると判断した場合には、受信した処理結果を検証する(S804)。データの移行に成功したと判断した場合には、データ移行部106のデータ保管部108に格納された移行データを消去し(S805)、端末40に対して、処理が終了した旨のレスポンス(A802)を送信し、データ移行処理を終了する(S806)。S804で、データの移行に失敗したと判断した場合には、データの復元処理を開始する(S807)。
なお、ICカードでは一般的に、電子マネーなどのセキュリティが要求されるデータを扱うことが多いため、データ書き込み失敗時の復旧処理が備わっている。したがって、S807において、この機能を用いることにより、データ書き込み失敗時にICカード内部に何らかの中途半端なデータが残ることを防ぐことができる。
図9は、図4の処理フローのうち、データ復元処理(S405)を詳細化した図である。
まず、データ移行部106は、アプリケーション103のデータ保管部105にアクセスするために、アプリケーション部103と認証処理を実施する(S901)。つぎに、データ移行部106のデータ保管部108に書き込まれている移行データを、アプリケーション部103のデータ保管部105に書き込むために、アプリケーション部103に対し、データ書き込みコマンド(A901)を送信する。該コマンドには復元対象データを含む。
次に、アプリケーション部103は、受信したコマンドを解析し、データ保管部105にデータを書き込む(S902)。書き込み後に、S704と同様のベリファイ処理を行っても良いが、データの復元処理なので、必須ではない。
その後、処理が完了した旨のレスポンス(A902)をデータ移行部106に送信する。
次に、データ移行部106は、データ保管部108に格納された移行データを消去する(S903)。その後、処理が完了した旨のレスポンス(A903)を端末40に送信し、データ移行処理を中止する(S904)。
なお、S508においてアプリケーション部103をロックした場合には、S902の代わりに、アプリケーション部103のロック解除を行う。
図5〜図9のフローは、操作エラーや突然の電源断などが発生した場合には、処理途中で打ち切られる可能性がある。そのような場合であっても対処可能なように、本実施形態では、データの書き込みなど、アプリケーション部やデータ移行部の内部状態が変化した際に、データ移行部106の処理経過フラグ保持部109やデータ移行部206の処理経過フラグ保持部209に処理経過フラグを書き込む。これらのフラグを参照することによって、データ移行処理を途中の段階から再開することが可能となる。なお、この処理経過フラグはデータ移行部106とデータ移行部206が書き込むように構成する。
なお、本実施例において、処理経過フラグを書き込むタイミングは、S507完了時、A507受信時、S509完了時、S607完了時、A702受信時、S705完了時、S805完了時、A902受信時、S903完了時、の計9箇所である。
図10は、図5のS505や図7のS701で実施している、アプリケーション部がデータ移行部を認証する際に行う認証フローである。該認証は、ICカード内部で行うものである。以下ではICカード10内で行う認証を示しているが、ICカード20内で行う認証も同様である。
まず、データ移行部106は、認証処理を開始し(S1001)、乱数生成コマンドを生成する(S1002)。その後、アプリケーション部103に対し、乱数生成コマンド(A1001)を送信する。
次に、アプリケーション部103は、受信したコマンドを解析し、乱数生成を行う(S1003)。その後、生成した乱数(A1002)をデータ移行部106に送信する。
次に、データ移行部106は、受信した乱数(A1002)と、鍵保管部107に格納された鍵データを用いて、認証データを作成する(S1004)。その後、生成した認証データ(A1003)をアプリケーション部103に送信する。
次に、アプリケーション部103は、受信した認証データ(A1003)と、アプリケーション部103内で生成した認証データを比較し、認証処理を行う(S1005)。その後、認証結果(A1004)をデータ移行部106に送信する。
次に、データ移行部106は、認証結果(A1004)を検証し(S1006)、認証に成功したか失敗したかを判断する。
なお、図10で示した認証フローは共通鍵暗号を用いた認証フローの一例である。本実施形態で利用する認証フローは、チャレンジレスポンスを用いた本方法に限定するものではなく、例えばワンタイムパスワードやゼロ知識証明などを用いた認証方法であってもよい
図11は、図6のS601で実施している、ICカード10内のデータ移行部106と、ICカード20内のデータ移行部206との間で行う相互認証を、共通鍵暗号を用いて行う場合のフローである。
まず、データ移行部106は、認証処理を開始し(S1101)、乱数を生成する(S1102)。その後、生成した乱数(A1101)を端末30に送信する。
次に、端末40は、受信した乱数(A1101)を、データ移行部206に送信する。
次に、データ移行部206は、受信した乱数(A1101)を書き込む(S1103)。つぎに、内部で乱数を生成する(S1104)。つぎに、受信した乱数(A1101)と内部で生成した乱数と鍵保管部207の鍵を用いて、セッション鍵を生成する(S1105)。つぎに、生成したセッション鍵を用いて、受信した乱数と内部で生成した乱数を組み合わせたデータを暗号化し、認証データ1を生成する(S1106)。その後、生成した乱数データと認証データ1(A1102)を端末40に送信する。
次に、端末40は、受信したデータ(A1102)を、データ移行部106に送信する。
次に、データ移行部106は、受信した乱数を書き込む(S1107)。つぎに、S1102で生成した乱数と受信した乱数と鍵保管部107の鍵を用いて、セッション鍵を生成する(S1108)。つぎに、生成したセッション鍵を用いて、データ移行部206から受信した認証データ1が正当であるか検証する(S1109)。不正な認証データであると判断した場合には、その旨を端末40に送信し、端末40は例えばエラーを表示して、使用者に通知する。正当な認証データであると判断した場合には、つぎに、生成したセッション鍵を用いて、受信した乱数と内部で生成した乱数を組み合わせたデータを暗号化し、認証データ2を生成する(S1110)。つぎに、セッション鍵を用いて、生成した認証データ2の署名を生成する(S1111)。その後、認証データ2と署名(A1103)を端末40に送信する。
次に、端末40は、受信したデータ(A1103)をデータ移行部206に送信する。
次に、データ移行部206は、受信したデータ(A1103)の署名を検証する(S1112)。つぎに、認証データ2の検証を行う(S1113)。その後、認証結果をレスポンス(A1104)として端末40に送信する。
次に、端末40は、受信したレスポンス(A1104)をデータ移行部106に送信する。
データ移行部106は、受信したレスポンスを検証し(S1114)、認証に成功したか失敗したかを判断する。
なお、図11で示した相互認証フローは共通鍵暗号を用いた相互認証フローの一例である。本実施形態で利用する認証フローは、チャレンジレスポンスを用いた本方法に限定するものではなく、例えばワンタイムパスワードやゼロ知識証明などの認証方法を用いてもよい。
図12は図11で示した相互認証フローを,公開鍵暗号を用いて行う場合のフローである。
まず、データ移行部106は、認証処理を開始し(S1201)、乱数を生成する(S1202)。つぎに、データ移行部106の公開鍵と、データ移行元ICカード10のIDと、該鍵と該IDが改竄されていないことを証明する認証機関の署名と、生成した乱数(A1201)を端末40に送信する。
次に、端末40は、受信したデータ(A1201)をデータ移行部206に送信する。
次に、データ移行部206は、受信したデータの署名をデータ移行部内に予め格納されている、認証機関の公開鍵で検証し、受信した公開鍵とデータ移行元ICカード10のIDが改竄されていないか検証する(S1203)。不正な公開鍵であると判断した場合には、その旨を端末40に送信する。正当な公開鍵であると判断した場合には、つぎに、受信した公開鍵と乱数を書き込む(S1204)。つぎに、内部で乱数を生成する(S1205)。受信した乱数と生成した乱数を組み合わせたデータを、鍵保管庫207に格納されている秘密鍵を用いて暗号化し、認証データ1を生成する(S1206)。その後、データ移行部206の公開鍵と、データ移行先ICカード20のIDと、該鍵と該IDが改竄されていないことを証明する認証機関の署名と、生成した認証データ1と、乱数(A1202)を端末40に送信する。
次に、端末40は、受信したデータ(A1202)をデータ移行部106に送信する。
次に、データ移行部106は、受信したデータ(A1202)の署名をデータ移行部内に格納されている、認証機関の公開鍵で検証し、受信データのうち公開鍵とデータ移行先ICカード20のIDが改竄されていないか検証する(S1207)。不正な公開鍵であると判断した場合には、その旨を端末40に送信する。正当な公開鍵であると判断した場合には、つぎに、受信した公開鍵と乱数を書き込む(S1208)。つぎに、受信した認証データ1をデータ移行部206の公開鍵で検証する(S1209)。不正な認証データであると判断した場合には、その旨を端末40に送信する。正当な認証データであると判断した場合には、つぎに、S1202で生成した乱数と受信した乱数を組み合わせたデータを、鍵保管庫107に格納されている秘密鍵を用いて暗号化し、認証データ2を生成する(S1210)。その後、生成した認証データ2(A1203)を端末40に送信する。
次に、端末40は受信したデータ(A1203)をデータ移行部206に送信する。
次に、データ移行部206は、受信した認証データ2(A1203)をデータ移行部106の公開鍵を用いて検証する(S1211)。不正な認証データであると判断した場合には、その旨を端末40に送信する。正当な認証データであると判断した場合には、つぎに、セッション鍵を生成する(S1212)。つぎに、データ移行部206の秘密鍵を用いて、作成したセッション鍵の署名を生成する(S1213)。つぎに、セッション鍵を、データ移行部106の公開鍵を用いて暗号化する(S1214)。その後、生成した暗号化鍵データと署名(A1204)を端末40に送信する。
次に、端末40は、受信したデータ(A1204)をデータ移行部106に送信する。
次に、データ移行部106は、受信した署名をデータ移行部206の公開鍵を用いて、検証する(S1215)。不正な署名であると判断した場合には、その旨を端末40に送信する。正当な署名であると判断した場合には、つぎに、データ移行部106の秘密鍵で暗号化鍵データを復号し、セッション鍵を取得する(S1216)。
なお、図12で示した相互認証フローは公開鍵暗号を用いた相互認証フローの一例である。本実施形態で利用する認証フローを本方法に限定するものではない。
図13は、図5のS509において作成する移行データの形式を示した図である。
データテーブル(A1301)は、A501のID取得コマンドで取得した、移行先ICカード20のID(A1302)を先頭に配置する。その後に、データを移行するアプリケーション部103のID(A1303)と、該アプリケーション部から取得したデータ(A1304)を組にして配置する。なお、複数のアプリケーション部のデータを移行する場合には、(A1303、A1304)・・・(A1303、A1304)の組み合わせで関連付けて、データ移行先ICカードID(A1302)に続いて配置する。
なお、本発明は、上記の実施形態に限定されるものではなく、その要旨の範囲内で様々な変形が可能である。
たとえば、端末40と同様のICカードアクセス部を備える端末二つが、それぞれICカード10,20に接続され、かつ互いの端末とネットワークにより接続される構成であってもよい。
そのような構成において、それぞれの端末は、図1に示す端末40が持つ機能に加え、ネットワークで送受信可能なデータ形式とICカードと送受信可能なコマンド形式とを変換する機能を持てばよい。当該構成においてもデータ移行部106やデータ移行部206において行う処理に変化はない。
本発明の一実施形態が適用されたICカードのデータ移行システムの構成を説明するための図である。 図1に示すICカードのハードウェア構成を示す図である。 図1に示す端末のハードウェア構成を示す図である。 一実施形態が適用されたICのデータ移行システムのデータ移行処理フローを示す図である。 上記データ移行処理フローのうち、データ読み出し処理に関するフローを例示する図である。 上記データ移行処理フローのうち、移行データ送受信に関するフローを例示する図である。 上記データ移行処理フローのうち、データ書き込みに関するフローを例示する図である。 上記データ移行処理フローのうち、移行結果送受信に関するフローを例示する図である。 上記データ移行処理フローのうち、データ復元に関するフローを例示する図である。 ICカード内部で行う認証処理を詳細フローを例示する図である。 ICカード間で行う認証処理を詳しく説明するフローを例示する図である。 図11の認証処理を公開鍵認証に置き換えた場合の認証処理を詳しく説明するフローを例示する図である。 図5〜図9で使用する移行データのデータ構造を例示する図である。
符号の説明
10:ICカード、11:入出力装置、12:CPU、13:耐タンパ記憶装置、14:耐タンパメモリ、15:内部通信線、20:ICカード、30:通信路、4041:記憶装置、42:ICカード入出力装置、43:CPU、44:メモリ、45:内部通信線、50:端末、60:端末、70:ネットワーク、101:データ送受信部、102:コマンド解析部、103〜103:アプリケーション部、104〜104:鍵保管部、105〜105:データ保管部、106:データ移行部、107:鍵保管部、108:データ保管部、109:処理経過フラグ保持部、201:データ送受信部、202:コマンド解析部、203〜203:アプリケーション部、204〜204:鍵保管部、205〜205:データ保管部、206:データ移行部、207:鍵保管部、208:データ保管部、209:処理経過フラグ保持部、401:コマンド生成部、402:ICカードアクセス部、501:コマンド生成部、502:ICカードアクセス部、503:データ送受信部、601:コマンド生成部、602:ICカードアクセス部、603:データ送受信部、A501:ID取得コマンド、A502:ID、A503:データ移行コマンド、A504:データ読み出しコマンド、A505:データ、A506:データ消去コマンド、A507:レスポンス、A601:暗号化データと署名、A701:データ書き込みコマンド、A702:レスポンス、A703:データ読み出しコマンド、A704:データ、A801:処理結果と署名、A802:レスポンス、A901:データ書き込みコマンド、A902:レスポンス、A903:レスポンス、A1001:乱数生成コマンド、A1002:乱数、A1003:認証データ、A1004:認証結果、A1101:乱数、A1102:乱数データと認証データ1、A1103:認証データ2と署名、A1104:レスポンス、A1201:乱数と公開鍵とIDと署名、A1202:乱数と認証データ1と公開鍵とIDと署名、A1203:認証データ2、A1204:暗号化鍵データと署名、A1301:データテーブル、A1302:データ移行先ICカードID、A1303〜A1303:アプリケーション部ID、A1304〜A1304:データ。

Claims (12)

  1. データ移行元ICカードと、データ移行先ICカードと、からなるICカードのデータ移行システムであって、
    前記データ移行元ICカードは、一つ以上の移行元アプリケーション部と、データ送信部と、を備え、
    前記データ移行先ICカードは、前記データ移行元ICカードが備える前記移行元アプリケーション部に対応する移行先アプリケーション部と、データ受信部と、を備え、
    前記データ移行元ICカードの前記データ送信部は、
    前記移行元アプリケーション部から当該データ送信部へ移行データを移動し、
    移動した前記移行データを送信し、
    前記データ移行先ICカードの前記データ受信部は、
    送信された前記移行データを受信し、
    受信した前記移行データを前記移行先アプリケーション部に移動する
    ことを特徴とするデータ移行システム。
  2. 請求項1記載のICカードのデータ移行システムであって、
    さらに、端末を備え、
    前記端末は、
    前記データ移行元ICカードの前記データ送信部に対して、データ移行コマンドを生成するコマンド生成部と、
    前記データ送信部から前記移行データを受信し、前記データ移行先ICカードのデータ受信部に送信するICカードアクセス部と、を備える
    ことを特徴とするICカードのデータ移行システム。
  3. 請求項2記載のICカードのデータ移行システムであって、
    前記端末の前記コマンド生成部は、
    前記データ移行先ICカードのIDを取得し、
    取得した前記IDに基づき、前記コマンド生成部でデータ移行コマンドを生成し、
    前記データ移行コマンドを、前記ICカードアクセス部を介して、前記データ移行元ICカード内の前記データ送信部に送信し、
    前記データ移行元ICカードの前記データ送信部は、
    前記移行元アプリケーション部のデータ保管部から、前記移行データを読み出し、前記データ送信部のデータ保管部に格納し、
    前記移行元アプリケーション部の前記データ保管部から、前記移行データを削除し、
    前記データ送信部の前記データ保管部に格納した前記移行データを、前記端末の前記ICカードアクセス部へ送信し、
    前記端末の前記ICカードアクセス部は、前記移行データを受信し、前記データ移行先ICカードのデータ受信部へ送信し、
    前記データ受信部は、受信した前記移行データを、前記移行先アプリケーション部のデータ保管部に書き込み、
    前記移行データの移行処理結果を、前記データ移行元ICカードの前記データ送信部に送信する
    ことを特徴とするICカードのデータ移行システム。
  4. 請求項3記載のICカードのデータ移行システムであって、
    前記データ送信部は、前記移行データを、前記移行元アプリケーション部の前記データ保管部から移動した後に、前記移行元アプリケーション部をロックする
    ことを特徴とするICカードのデータ移行システム。
  5. 請求項3記載のICカードのデータ移行システムであって、
    前記データ送信部は、前記データ保管部に格納した前記移行データに、前記データ移行先ICカードのIDと、前記移行先アプリケーション部のIDを付加し、
    前記データ受信部は、前記移行データに付加された二つの前記IDを検証する
    ことを特徴とするICカードのデータ移行システム。
  6. 請求項5記載のICカードのデータ移行システムであって、
    前記データ移行元ICカードと前記データ移行先ICカードとは、複数の前記アプリケーション部を備え、
    前記データ送信部は、前記データ保管部に保存した前記移行データに、前記複数の移行元アプリケーションのいずれかを特定するIDを付加し、
    前記データ受信部は、前記移行データに付加された複数の前記移行先アプリケーション部のいずれかを特定するIDに基づいて、前記移行データの移動先となる前記移行先アプリケーション部を決定する
    ことを特徴とするICのデータ移行システム。
  7. 請求項3記載のICカードのデータ移行システムであって、
    前記データ移行元ICカード内の前記データ送信部と前記データ移行先ICカード内の前記データ受信部は、
    相互に認証処理を行い、
    セッション鍵を共有し、
    該セッション鍵を用いて、互いに送信または受信するデータに対して署名を付加する
    ことを特徴とするICカードのデータ移行システム。
  8. 請求項7記載のICカードのデータ移行システムであって、
    前記データ移行元ICカード内の前記データ送信部と前記データ移行先ICカード内の前記データ受信部は、
    さらに、前記互いに送信または受信するデータを、前記セッション鍵で暗号化する
    ことを特徴とするICカードのデータ移行システム。
  9. 請求項3記載のICカードのデータ移行システムであって、
    前記データ受信部は、
    受信した前記移行データを、前記移行先アプリケーション部の前記データ保管部への書き込み処理の後に、
    前記データ保管部に格納されているデータと、当該データ受信部が受信した前記移行データとを比較し、
    前記移行データの書き込み処理の成否を検証する
    ことを特徴とするICカードのデータ移行システム。
  10. 請求項3記載のICカードのデータ移行システムであって、
    前記データ送信部は、
    前記移行処理結果を受信し、前記移行処理が成功したと判断した場合には、前記データ送信部の前記データ保管部に移動した前記移行データを削除する
    ことを特徴とするICカードのデータ移行システム。
  11. 請求項3記載のICカードのデータ移行システムであって、
    前記データ送信部は、
    前記移行処理結果を受信し、前記移行処理が失敗したと判断した場合には、前記データ送信部の前記データ保管部に移動した前記移行データを復元する
    ことを特徴とするICカードのデータ移行システム。
  12. 請求項4記載のICカードのデータ移行システムであって、
    前記データ送信部は、
    前記移行処理結果を受信し、前記移行処理が失敗したと判断した場合には、前記移行元アプリケーション部の前記ロックを解除する
    ことを特徴とするICカードのデータ移行システム。

JP2005130731A 2005-04-28 2005-04-28 Icカードのデータ移行システムおよびその方法 Expired - Fee Related JP4735024B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005130731A JP4735024B2 (ja) 2005-04-28 2005-04-28 Icカードのデータ移行システムおよびその方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005130731A JP4735024B2 (ja) 2005-04-28 2005-04-28 Icカードのデータ移行システムおよびその方法

Publications (2)

Publication Number Publication Date
JP2006309475A true JP2006309475A (ja) 2006-11-09
JP4735024B2 JP4735024B2 (ja) 2011-07-27

Family

ID=37476294

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005130731A Expired - Fee Related JP4735024B2 (ja) 2005-04-28 2005-04-28 Icカードのデータ移行システムおよびその方法

Country Status (1)

Country Link
JP (1) JP4735024B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009141936A1 (ja) 2008-05-19 2009-11-26 株式会社日立製作所 Icカード、icカードシステムおよびその方法
JP2011227713A (ja) * 2010-04-20 2011-11-10 Nippon Telegr & Teleph Corp <Ntt> データ投入方法及びデータ投入システム
EP2775439A1 (fr) * 2013-03-05 2014-09-10 Gemalto SA Procédé de transfert d'unités de valeur entre deux cartes à puce

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0315936A (ja) * 1989-03-29 1991-01-24 Hitachi Ltd カードデータ処理システム及びカードデータの処理方法
JPH10255002A (ja) * 1998-01-16 1998-09-25 Hitachi Ltd カードデータ処理システム
JP2000187688A (ja) * 1998-12-22 2000-07-04 Oki Electric Ind Co Ltd 価値転送システム
JP2002140664A (ja) * 2000-10-31 2002-05-17 Hitachi Ltd Icカード内データ移行方法、およびicカード
JP2002312725A (ja) * 2001-04-13 2002-10-25 Nippon Telegr & Teleph Corp <Ntt> Icカードの更新方法及びシステム
JP2003196620A (ja) * 2001-12-28 2003-07-11 Toppan Printing Co Ltd 記録媒体、記録媒体の読み書き装置、及び記録媒体の読み書き方法
WO2005020134A1 (ja) * 2003-08-22 2005-03-03 Fujitsu Limited Icカード運用管理システム
JP2005084963A (ja) * 2003-09-09 2005-03-31 Hitachi Ltd ファイル共有装置及びファイル共有装置間のデータ移行方法
JP2005085126A (ja) * 2003-09-10 2005-03-31 Bank Of Tokyo-Mitsubishi Ltd カードリーダライタ装置

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0315936A (ja) * 1989-03-29 1991-01-24 Hitachi Ltd カードデータ処理システム及びカードデータの処理方法
JPH10255002A (ja) * 1998-01-16 1998-09-25 Hitachi Ltd カードデータ処理システム
JP2000187688A (ja) * 1998-12-22 2000-07-04 Oki Electric Ind Co Ltd 価値転送システム
JP2002140664A (ja) * 2000-10-31 2002-05-17 Hitachi Ltd Icカード内データ移行方法、およびicカード
JP2002312725A (ja) * 2001-04-13 2002-10-25 Nippon Telegr & Teleph Corp <Ntt> Icカードの更新方法及びシステム
JP2003196620A (ja) * 2001-12-28 2003-07-11 Toppan Printing Co Ltd 記録媒体、記録媒体の読み書き装置、及び記録媒体の読み書き方法
WO2005020134A1 (ja) * 2003-08-22 2005-03-03 Fujitsu Limited Icカード運用管理システム
JP2005084963A (ja) * 2003-09-09 2005-03-31 Hitachi Ltd ファイル共有装置及びファイル共有装置間のデータ移行方法
JP2005085126A (ja) * 2003-09-10 2005-03-31 Bank Of Tokyo-Mitsubishi Ltd カードリーダライタ装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009141936A1 (ja) 2008-05-19 2009-11-26 株式会社日立製作所 Icカード、icカードシステムおよびその方法
JP2011227713A (ja) * 2010-04-20 2011-11-10 Nippon Telegr & Teleph Corp <Ntt> データ投入方法及びデータ投入システム
EP2775439A1 (fr) * 2013-03-05 2014-09-10 Gemalto SA Procédé de transfert d'unités de valeur entre deux cartes à puce

Also Published As

Publication number Publication date
JP4735024B2 (ja) 2011-07-27

Similar Documents

Publication Publication Date Title
US20220191012A1 (en) Methods For Splitting and Recovering Key, Program Product, Storage Medium, and System
KR100731242B1 (ko) 암호화 백업 방법 및 복호화 복원 방법
US8918633B2 (en) Information processing device, information processing system, and program
CN1717893B (zh) 设备密钥
CN100504819C (zh) 访问认证方法、信息处理单元以及可拆卸记录装置
US20080260156A1 (en) Management Service Device, Backup Service Device, Communication Terminal Device, and Storage Medium
EP2057819B1 (en) Method for synchronising between a server and a mobile device
JP5006817B2 (ja) 認証情報生成システム、認証情報生成方法、クライアント装置及びプログラム
CN101971182B (zh) 颁发证书的手指感测设备及相关方法
JP2005295570A (ja) プライベートデータを露出せずに通信ネットワークを介してパスワードで保護されたプライベートデータを回復する方法およびシステム
CN101939754A (zh) 使用混合匹配的手指感测设备及相关方法
CN111401901A (zh) 生物支付设备的认证方法、装置、计算机设备和存储介质
JP2007249507A (ja) 情報漏洩防止方法、情報漏洩防止システム及び情報端末
JP4794970B2 (ja) 秘密情報の保護方法及び通信装置
JP4735024B2 (ja) Icカードのデータ移行システムおよびその方法
JP4657706B2 (ja) 権限管理システム、認証サーバ、権限管理方法および権限管理プログラム
KR20210036700A (ko) 트랜잭션에 포함된 평문 데이터의 변경을 지원하는 블록체인 시스템
JP2004295761A (ja) 端末装置及び情報処理装置
JP4058035B2 (ja) 公開鍵基盤システム及び公開鍵基盤方法
JP3671188B2 (ja) 認証システムおよび認証方法
JP2002215462A (ja) 計算機システム
JP2007135113A (ja) Icカードを用いたセキュア端末システムおよびその方法
JPH11212850A (ja) 暗号化共有ファイル送受信システム
JP7086163B1 (ja) データ処理システム
JP2006072664A (ja) ファイル管理システム、およびファイル管理プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071214

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101111

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101116

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110111

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110329

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110411

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140513

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees