JP4576894B2 - Information management apparatus and information management method - Google Patents

Information management apparatus and information management method Download PDF

Info

Publication number
JP4576894B2
JP4576894B2 JP2004175523A JP2004175523A JP4576894B2 JP 4576894 B2 JP4576894 B2 JP 4576894B2 JP 2004175523 A JP2004175523 A JP 2004175523A JP 2004175523 A JP2004175523 A JP 2004175523A JP 4576894 B2 JP4576894 B2 JP 4576894B2
Authority
JP
Japan
Prior art keywords
key
file system
card
collective
individual
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004175523A
Other languages
Japanese (ja)
Other versions
JP2005352962A (en
Inventor
太郎 栗田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp filed Critical Sony Corp
Priority to JP2004175523A priority Critical patent/JP4576894B2/en
Publication of JP2005352962A publication Critical patent/JP2005352962A/en
Application granted granted Critical
Publication of JP4576894B2 publication Critical patent/JP4576894B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、比較的大容量のメモリ領域に格納された情報へのアクセスを管理する情報管理装置及び情報管理方法に係り、特に、メモリ領域上に電子的な価値情報を格納して電子決済を始めとするセキュアな情報のやり取りを行なう情報管理装置及び情報管理方法に関する。   The present invention relates to an information management apparatus and an information management method for managing access to information stored in a relatively large memory area, and more particularly, to store electronic value information in a memory area for electronic settlement. The present invention relates to an information management apparatus and an information management method for exchanging secure information at the beginning.

さらに詳しくは、本発明は、メモリ領域上に個別のサービス提供元事業者用のファイル・システムを割り当てて、ファイル・システム内で当該事業者によるサービス運用のための情報を管理する情報管理装置及び情報管理方法に係り、特に、単一のメモリ領域上にサービス提供元事業者毎のファイル・システムを割り当て、単一の記憶媒体を複数の事業者で共有し、単一の記憶媒体により複数のサービスを提供する情報管理装置及び情報管理方法に関する。   More specifically, the present invention relates to an information management device that allocates a file system for an individual service provider company on a memory area and manages information for service operation by the company in the file system, and The present invention relates to an information management method, and in particular, allocates a file system for each service provider on a single memory area, shares a single storage medium with multiple providers, and uses a single storage medium to The present invention relates to an information management apparatus and an information management method for providing a service.

ICカードに代表される非接触・近接通信システムは、操作上の手軽さから、広範に普及している。例えば、暗証コードやその他の個人認証情報、電子チケットなどの価値情報などをICカードに格納しておくことにより、キャッシュ・ディスペンサやコンサート会場の出入口、駅の改札口などにおいて、入場者や乗車者の認証処理を行なうことができる。   Non-contact / proximity communication systems represented by IC cards are widely used because of their ease of operation. For example, by storing PIN code, other personal authentication information, value information such as electronic tickets in an IC card, visitors and passengers at cash dispensers, entrances to concert venues, ticket gates at stations, etc. Authentication processing can be performed.

この種の無線通信には、一般に、電磁誘導の原理に基づいて実現される。すなわち、メモリ機能を有するICカードと、ICカードのメモリに対して読み書きアクセスをするカード・リーダ/ライタで構成され、1次コイルとしてのICカード側のループ・コイルと2次コイルとしてのカード・リーダ/ライタ側のアンテナが系として1個のトランスを形成している。そして、カード・リーダ/ライタ側からICカードに対して、電力と情報を同じく電磁誘導作用により伝送し、ICカード側では供給された電力によって駆動してカード・リーダ/ライタ側からの質問信号に対して応答することができる。したがって、ICカード自体は、バッテリなどの駆動電源を持つ必要がない。   This type of wireless communication is generally realized based on the principle of electromagnetic induction. That is, an IC card having a memory function and a card reader / writer that performs read / write access to the memory of the IC card, a loop coil on the IC card side as a primary coil and a card as a secondary coil The antenna on the reader / writer side forms one transformer as a system. Then, power and information are similarly transmitted from the card reader / writer side to the IC card by electromagnetic induction, and the IC card side is driven by the supplied power to generate an inquiry signal from the card reader / writer side. You can respond to it. Therefore, the IC card itself does not need to have a driving power source such as a battery.

ICカードの一般的な使用方法は、利用者がICカードをカード・リーダ/ライタをかざすことによって行なわれる。カード・リーダ/ライタ側では常にICカードをポーリングしており外部のICカードを発見することにより、両者間の通信動作が開始する。   A general method of using an IC card is performed by a user holding the IC card over a card reader / writer. The card reader / writer side always polls the IC card, and when an external IC card is found, the communication operation between the two starts.

最近では、微細化技術の向上とも相俟って、比較的大容量のメモリを持つICカードが出現している。大容量メモリ付きのICカードによれば、メモリ空間上にファイル・システムを展開し、複数のアプリケーションを同時に格納しておくことにより、1枚のICカードを複数の用途に利用することができる。例えば、1枚のICカード上に、電子決済を行なうための電子マネーや、特定のコンサート会場に入場するための電子チケットなど、複数のアプリケーションを格納しておくことにより、1枚のICカードをさまざまな用途に適用させることができる。ここで言う電子マネーや電子チケットは、利用者が提供する資金に応じて発行される電子データを通じて決済(電子決済)される仕組み、又はこのような電子データ自体を指す。   Recently, IC cards having a relatively large capacity memory have appeared along with improvements in miniaturization technology. According to an IC card with a large-capacity memory, a single IC card can be used for a plurality of purposes by developing a file system in the memory space and storing a plurality of applications simultaneously. For example, by storing a plurality of applications such as electronic money for electronic payment and electronic ticket for entering a specific concert venue on a single IC card, It can be applied to various uses. The electronic money and electronic ticket mentioned here refer to a mechanism in which payment (electronic payment) is made through electronic data issued according to funds provided by a user, or such electronic data itself.

ICカードの一般的な使用方法は、利用者がICカードをカード・リーダ/ライタをかざすことによって行なわれる。カード・リーダ/ライタ側では常にICカードをポーリングしており外部のICカードを発見することにより、両者間の通信動作が開始する。   A general method of using an IC card is performed by a user holding the IC card over a card reader / writer. The card reader / writer side always polls the IC card, and when an external IC card is found, the communication operation between the two starts.

このとき、利用者が暗証番号をICカード・リーダ側に入力して、入力された暗証番号をICカード上に格納された暗証番号と照合することで、ICカードとICカード・リーダ/ライタ間で本人確認又は認証処理が行なわれる。(ICカード・アクセス時に使用する暗証番号のことを、特にPIN(Personal Identification Number)と呼ぶ。)そして、本人確認又は認証処理に成功した場合には、例えば、ICカード内に保存されているアプリケーションの利用、すなわち、アプリケーションに割り当てられているサービス・メモリ領域へのアクセスが可能となる(本明細書中では、アプリケーションに割り当てられているメモリ領域を「サービス・メモリ領域」と呼ぶ)。サービス・メモリ領域へのアクセスは、アプリケーションのセキュリティ・レベルなどに応じて、適宜暗号化通信が行なわれる。   At this time, the user inputs the personal identification number to the IC card reader side and collates the input personal identification number with the personal identification number stored on the IC card, so that the IC card and the IC card reader / writer can be compared. The identity verification or authentication process is performed. (The personal identification number used when accessing the IC card is called a PIN (Personal Identification Number) in particular.) And, when the identity verification or authentication process is successful, for example, an application stored in the IC card. Use, that is, access to a service memory area allocated to an application is possible (in this specification, a memory area allocated to an application is referred to as a “service memory area”). Access to the service memory area is appropriately encrypted according to the security level of the application.

さらに、ICカードやカード用リーダ/ライタ(カード読み書き装置)が無線・非接触インターフェースの他に、外部機器と接続するための有線インターフェース(図示しない)を備え、携帯電話機、PDA(Personal Digital Assistance)やCE(Consumer Electronics)機器、パーソナル・コンピュータなどの各機器に内蔵して用いることにより,これらの機器にICカード及びカード・リーダ/ライタのいずれか一方又は双方の機能を装備することができる。このような場合、ICカード技術を汎用性のある双方向の近接通信インターフェースとして利用することができる。   Furthermore, the IC card and the card reader / writer (card read / write device) include a wired interface (not shown) for connecting to an external device in addition to a wireless / contactless interface, and a mobile phone, PDA (Personal Digital Assistance) By using it in each device such as a CE (Consumer Electronics) device or a personal computer, these devices can be equipped with either or both of an IC card and a card reader / writer. In such a case, the IC card technology can be used as a versatile bidirectional proximity communication interface.

例えば、コンピュータや情報家電機器のような機器同士で近接通信システムが構成される場合には、ICカードを利用した非接触通信は一対一で行なわれる。また、ある機器が非接触ICカードのような機器以外の相手デバイスと通信することも可能であり、この場合においては、1つの機器と複数のカードにおける一対多の通信を行なうアプリケーションも考えられる。   For example, when a proximity communication system is configured between devices such as computers and information home appliances, non-contact communication using an IC card is performed one-to-one. In addition, it is possible for a certain device to communicate with a partner device other than a device such as a non-contact IC card. In this case, an application that performs one-to-many communication between one device and a plurality of cards is also conceivable.

また、電子決済を始めとする外部との電子的な価値情報のやり取りなど、ICカードを利用したさまざまなアプリケーションを、情報処理端末上で実行することができる。例えば、情報処理端末上のキーボードやディスプレイなどのユーザ・インターフェースを用いてICカードに対するユーザ・インタラクションを情報処理端末上で行なうことができる。また、ICカードが携帯電話機と接続されていることにより、ICカード内に記憶された内容を電話網経由でやり取りすることもできる。さらに、携帯電話機からインターネット接続して利用代金をICカードで支払うことができる。   In addition, various applications using an IC card, such as electronic value information exchange with the outside such as electronic payment, can be executed on the information processing terminal. For example, user interaction with an IC card can be performed on the information processing terminal using a user interface such as a keyboard or display on the information processing terminal. Further, since the IC card is connected to the mobile phone, the contents stored in the IC card can be exchanged via the telephone network. Furthermore, it is possible to pay the usage fee with an IC card by connecting to the Internet from a mobile phone.

このように、あるサービス提供元事業者用のファイル・システムをICカードの内蔵メモリに割り当てて、このファイル・システム内で当該事業者によるサービス運用のための情報(例えば、ユーザの識別・認証情報や残りの価値情報、使用履歴(ログ)など)を管理することにより、従来のプリペイド・カードや店舗毎のサービス・カードに置き換わる、非接触・近接通信を基調とした有用なサービスを実現することができる。   In this way, a file system for a certain service provider company is allocated to the built-in memory of the IC card, and information (for example, user identification / authentication information of the user) for service operation by the company in this file system is allocated. And the remaining value information, usage history (log), etc.) to realize useful services based on contactless / proximity communication that replace conventional prepaid cards and service cards for each store. Can do.

従来、サービス提供元事業者毎にICカードが個別に発行され、ユーザの利用に供されていた。このため、ユーザは、利用したいサーヒス毎にICカードを取り揃え、携帯しなければならなかった。これに対し、比較的大容量のメモリ空間を持つICカードによれば、単一のICカードの内蔵メモリに複数のサービスに関する情報を記録するだけの十分な容量を確保することができる(例えば、非特許文献1を参照のこと)。   Conventionally, an IC card is issued for each service provider, and is used for the user. For this reason, the user has to prepare and carry IC cards for each service he / she wants to use. On the other hand, according to the IC card having a relatively large memory space, it is possible to ensure a sufficient capacity for recording information related to a plurality of services in the built-in memory of a single IC card (for example, (See Non-Patent Document 1).

ところが、複数のサービス提供元事業者間で単一のメモリ領域を共有した場合、あるサービス提供元事業者が使用するメモリ領域を、メモリを共用する別の事業者から自由にアクセスできるようにすると、事業者毎に設定される価値情報が他の事業者によって不正利用を許してしまうことになりかねない。この結果、事業者側では健全なサービス提供を行なえなくなり、また、ユーザにとっては換金性の高い価値情報が流出の危機にさらされ、経済的な損害を被る。   However, if a single memory area is shared among multiple service providers, the memory area used by one service provider can be freely accessed by another provider sharing the memory. The value information set for each company may allow unauthorized use by other companies. As a result, the service provider cannot provide a sound service, and value information that is highly convertible for the user is exposed to a risk of leakage and suffers economic damage.

したがって、ICカードを複数のサービス提供元事業者間で共用する場合には、ユーザにとっては各サービス利用時において事業者自らが発行したICカードであるかのような使い勝手を確保する一方、メモリ領域上の事業者毎の情報をセキュアに管理する機構を備えている必要がある。   Therefore, when the IC card is shared among a plurality of service provider companies, the user can ensure the usability as if the IC card was issued by the service provider when using each service, while the memory area It is necessary to have a mechanism for securely managing the information for each provider.

また、ICカードの柔軟な運用を図るためには、サービス提供元事業者毎に自分のメモリ領域の利用を停止することができるような仕組みを取り入れる必要がある。   In addition, in order to operate the IC card flexibly, it is necessary to adopt a mechanism capable of stopping the use of its own memory area for each service provider.

ところが、各サービス提供元事業者が、ICカード発行者の承認・承諾とは無関係に、一旦利用を停止したメモリ領域を、サービス提供元事業者が勝手に利用を再開できるようにした場合には、ICカード発行者にとってかえって柔軟な運用が妨げられることになりかねない。   However, if each service provider allows the service provider to resume using the memory area that has been temporarily stopped, regardless of the approval / approval of the IC card issuer. However, flexible operation may be hindered for IC card issuers.

「無線ICタグのすべて ゴマ粒チップでビジネスが変わる」(106〜107頁、RFIDテクノロジ編集部、日経BP社、2004年4月20日発行)“Business changes with sesame seed chips for all wireless IC tags” (pages 106-107, RFID Technology Editorial Department, Nikkei Business Publications, April 20, 2004)

本発明の目的は、メモリ領域上に電子的な価値情報を格納して電子決済を始めとするセキュアな情報のやり取りを好適に行なうことができる、優れた情報管理装置及び情報管理方法を提供することにある。   An object of the present invention is to provide an excellent information management apparatus and information management method capable of suitably storing secure information such as electronic payment by storing electronic value information in a memory area. There is.

本発明のさらなる目的は、メモリ領域上にサービス提供元事業者用のファイル・システムを割り当てて、ファイル・システム内で当該事業者によるサービス運用のための情報を好適に管理することができる、優れた情報管理装置及び情報管理方法を提供することにある。   A further object of the present invention is to allocate a file system for a service provider company on a memory area and to suitably manage information for service operation by the company in the file system. Another object is to provide an information management apparatus and an information management method.

本発明のさらなる目的は、単一のメモリ領域上にサービス提供元事業者毎のファイル・システムを割り当て、単一の記憶媒体を複数の事業者で共有し、単一の記憶媒体により複数のサービスを提供することができる、優れた情報管理装置及び情報管理方法を提供することにある。   A further object of the present invention is to allocate a file system for each service provider on a single memory area, share a single storage medium with a plurality of providers, and use a single storage medium for a plurality of services. It is an object to provide an excellent information management apparatus and information management method.

本発明のさらなる目的は、ICカード若しくはICチップ内のメモリ領域を複数のサービス提供元事業者間で共用する場合において、ICカード発行者と個々のメモリ領域が割り当てられたサービス提供元事業者が、それぞれ個別に各領域の利用を停止できるようにすることで、メモリ領域を柔軟に運用することができる、優れた情報管理装置及び情報管理方法を提供することにある。   It is a further object of the present invention to provide an IC card issuer and a service provider company to which individual memory areas are allocated when a memory area in an IC card or IC chip is shared among a plurality of service provider companies. It is an object of the present invention to provide an excellent information management apparatus and information management method capable of flexibly operating a memory area by allowing the use of each area to be stopped individually.

本発明は、上記課題を参酌してなされたものであり、メモリ空間を備え、前記メモリ空間を1以上のファイル・システムに分割して管理する情報管理装置であって、
全ファイル・システムについての集合鍵の登録及び変更と、ファイル・システム毎の個別鍵の登録及び変更を行なうとともに、集合鍵及び各個別鍵の変更履歴を管理する鍵管理部と、
集合鍵とファイル・システムの個別鍵の組み合わせに基づいてファイル・システムについての認証鍵を生成する認証鍵生成部と、
ファイル・システムの認証鍵による認証と、集合鍵及びファイル・システムの個別鍵の変更履歴に基づいて、該当するファイル・システムへのアクセスを制御するアクセス制御部と、
を具備することを特徴とする情報管理装置である。 The present invention has been made in view of the above problems, and is an information management apparatus that includes a memory space and manages the memory space by dividing it into one or more file systems,
A key management unit for registering and changing the collective key for all file systems, registering and changing the individual key for each file system, and managing the change history of the collective key and each individual key;
An authentication key generator for generating an authentication key for the file system based on a combination of the collective key and the individual key of the file system;
An access control unit that controls access to the corresponding file system based on authentication by the authentication key of the file system and the change history of the collective key and the individual key of the file system;
It is an information management device characterized by comprising.

ここで言う情報管理装置は、無線通信部及び、データ送受信機能とデータ処理部を有するICチップを内蔵する非接触ICカード、表面に端子を有する接触ICカード、接触/非接触ICカードと同様の機能を有するICチップを携帯電話機、PHS(Personal Handyphone System)、PDA(Personal Digital Assistance)などの情報通信端末装置に内蔵した装置である。以下では、これらを総称して、単に「ICカード」と呼ぶこともある。   The information management device mentioned here is the same as a wireless communication unit, a non-contact IC card containing an IC chip having a data transmission / reception function and a data processing unit, a contact IC card having a terminal on the surface, and a contact / non-contact IC card. It is a device in which an IC chip having a function is incorporated in an information communication terminal device such as a mobile phone, a PHS (Personal Handyphone System), or a PDA (Personal Digital Assistance). Hereinafter, these may be collectively referred to simply as an “IC card”.

この情報管理装置は、EEPROMなどのデータ蓄積メモリを含むメモリ領域とデータ処理部を有するとともに、データ通信機能を有するものである。携帯電話機などの場合は、ICチップを内蔵するICカードなどの外部記憶媒体を着脱可能に構成してもよい。また、携帯電話会社が発行する契約者情報を記録したSIM(Subscriber Identity Module)機能をICチップに搭載してもよい。情報管理装置は、インターネットなどの情報通信ネットワークを介してデータ通信を行なってもよいし、外部端末装置と有線又は無線で直接データ通信を行なってもよい。   This information management apparatus has a memory area including a data storage memory such as an EEPROM and a data processing unit, and also has a data communication function. In the case of a mobile phone or the like, an external storage medium such as an IC card incorporating an IC chip may be detachable. Further, a SIM (Subscriber Identity Module) function that records subscriber information issued by a mobile phone company may be mounted on the IC chip. The information management device may perform data communication via an information communication network such as the Internet, or may directly perform data communication with an external terminal device in a wired or wireless manner.

本発明は、ICカードが持つ耐タンパ性と認証機能を利用した、価値情報のやり取りなどを含んだセキュリティが要求されるサービスの提供に関するするものである。具体的には、単一のメモリ領域上にサービス提供元事業者毎のファイル・システムを割り当て、単一の情報管理装置を複数の事業者で共有し、単一のデータ通信装置により複数のサービスを提供するようにした。メモリ領域をファイル・システムに分割することにより、ファイル・システム間の境界がファイヤ・ウォールとして機能し、他のファイル・システム(すなわち他のサービス提供元事業者)からのアクセスを好適に排除する。   The present invention relates to the provision of a service that requires security including exchange of value information using tamper resistance and an authentication function of an IC card. Specifically, a file system for each service provider is allocated on a single memory area, a single information management device is shared by multiple operators, and multiple services are provided by a single data communication device. To offer. By dividing the memory area into file systems, the boundary between the file systems functions as a firewall, and access from other file systems (that is, other service providers) is preferably excluded.

メモリ領域が一旦分割されると、ファイル・システムへのアクセスは、元のICカードの発行者ではなく、ファイル・システム自体のサービス提供元事業者への認証が要求される。したがって、ユーザにとっては、各サービス利用時において事業者自らが発行したICカードであるかのような使い勝手を確保することができる。   Once the memory area is divided, access to the file system requires authentication not to the original IC card issuer but to the service provider of the file system itself. Therefore, it is possible for the user to ensure usability as if the IC card was issued by the operator when using each service.

ここで、ICカードの柔軟な運用を実現するためには、サービス提供元事業者毎にファイル・システムの利用を停止することができるような仕組みを取り入れる必要がある。一方、サービス提供元事業者が自分に割り当てられたメモリ領域の利用の停止及び再開を勝手に行なえるようにすると、ICカード発行者にとっては、全ファイル・システムの柔軟な運用の妨げになる。   Here, in order to realize the flexible operation of the IC card, it is necessary to adopt a mechanism capable of stopping the use of the file system for each service provider. On the other hand, if the service provider can arbitrarily stop and restart the use of the memory area allocated to itself, it prevents the IC card issuer from operating the entire file system flexibly.

本発明では、ICカード発行者は、集合鍵を変更することにより、自分自身のメモリ領域、並びにメモリ領域の分割により一旦は他のサービス提供元事業者に利用を認めた領域を停止することができるとともに、変更した集合鍵を元に戻すことにより、ICカード発行者自身のメモリ領域並びに各サービス提供元事業者に割り当てられた領域の利用が再開されるようにした。   In the present invention, the IC card issuer can stop the memory area once allocated to other service provider companies by dividing the memory area by changing the collective key. In addition, by restoring the changed aggregate key, the use of the memory area of the IC card issuer itself and the area allocated to each service provider is resumed.

一方、個々のサービス提供元事業者も、個別鍵を変更することにより、メモリ領域の分割により自分自身の領域の利用を停止することができる。ここで、個別鍵を元に戻しただけでは、該当するメモリ領域の利用を再開することはできず、ICカード発行者の承認若しくは承諾を得て、集合鍵とともに更新し、新たな認証キーを得なければ利用を再開することはできないようにした。   On the other hand, each service provider can also stop using its own area by dividing the memory area by changing the individual key. Here, simply reverting the individual key cannot resume the use of the corresponding memory area, and with the approval or consent of the IC card issuer, update it with the collective key, and update the new authentication key. It was made impossible to resume use without obtaining it.

したがって、サービス提供元事業者毎に区々にメモリ領域の利用停止及び再開をコントロールするという事態を回避しながら、全ファイル・システムのより柔軟なICカードの運用を図ることができる。   Accordingly, it is possible to operate the IC card more flexibly for all file systems while avoiding the situation of controlling the suspension and restart of the memory area for each service provider.

本発明によれば、単一のメモリ領域上にサービス提供元事業者毎のファイル・システムを割り当て、単一の記憶媒体を複数の事業者で共有し、単一の記憶媒体により複数のサービスを提供することができる、優れた情報管理装置及び情報管理方法を提供することができる。   According to the present invention, a file system for each service provider is allocated on a single memory area, a single storage medium is shared by a plurality of providers, and a plurality of services are provided by a single storage medium. An excellent information management apparatus and information management method that can be provided can be provided.

また、本発明によれば、ICカード若しくはICチップ内のメモリ領域を複数のサービス提供元事業者間で共用する場合において、ICカード発行者と個々のメモリ領域が割り当てられたサービス提供元事業者が、それぞれ個別に各領域の利用を停止できるようにすることで、メモリ領域を柔軟に運用することができる、優れた情報管理装置及び情報管理方法を提供することができる。   According to the present invention, when a memory area in an IC card or an IC chip is shared among a plurality of service provider companies, the service provider company to which the IC card issuer and the individual memory areas are allocated is provided. However, it is possible to provide an excellent information management apparatus and information management method capable of flexibly operating the memory area by individually enabling the use of each area.

本発明によれば、元のICカードの発行者と、ICカード内のメモリ領域を分割して利用する各サービス提供元事業者は、それぞれ個別にメモリ領域の利用を停止することにより、ICカードの柔軟な運用を実現することができる。   According to the present invention, the issuer of the original IC card and each service provider that uses the memory area in the IC card separately use the IC card by stopping the use of the memory area individually. Flexible operation can be realized.

ここで、ICカード発行者は、集合鍵を変更することにより、自分自身のメモリ領域、並びにメモリ領域の分割により一旦は他のサービス提供元事業者に利用を認めた領域を停止することができるとともに、変更した集合鍵を元に戻すことにより、ICカード発行者自身のメモリ領域並びに各サービス提供元事業者に割り当てられた領域の利用が再開される。   Here, the IC card issuer can stop its own memory area and the area once approved for use by another service provider by dividing the memory area by changing the aggregate key. At the same time, by returning the changed collective key, the use of the memory area of the IC card issuer itself and the area allocated to each service provider is resumed.

また、個々のサービス提供元事業者も、個別鍵を変更することにより、メモリ領域の分割により自分自身の領域の利用を停止することができる。一方、個別鍵を元に戻しただけでは、該当するメモリ領域の利用を再開することはできず、ICカード発行者の承認若しくは承諾を得て、集合鍵とともに更新し、新たな認証キーを得なければ利用を再開することはできない。したがって、サービス提供元事業者毎に区々にメモリ領域の利用停止及び再開するという事態を回避しながら、より柔軟なICカードの運用を図ることができる。   Also, each service provider can also stop using its own area by dividing the memory area by changing the individual key. On the other hand, the use of the corresponding memory area cannot be resumed simply by returning the individual key to the original one, and with the approval or consent of the IC card issuer, it is updated together with the collective key to obtain a new authentication key. You can't resume using it without it. Therefore, it is possible to operate the IC card more flexibly while avoiding the situation of stopping and restarting the use of the memory area for each service provider.

本発明のさらに他の目的、特徴や利点は、後述する本発明の実施形態や添付する図面に基づくより詳細な説明によって明らかになるであろう。   Other objects, features, and advantages of the present invention will become apparent from more detailed description based on embodiments of the present invention described later and the accompanying drawings.

以下、図面を参照しながら本発明の実施形態について詳解する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

A.ICカードによる非接触データ通信システム
図1には、本発明を適用可能な非接触ICカード通信システムの構成を模式的に示している。 A. Non-contact data communication system 1 by the IC card, and the applicable non-contact IC card communication system constituting the present invention is schematically shown.

この非接触カードシステムは、カード・リーダ/ライタ1と、ICカード2と、コントローラ3で構成され、カード・リーダ/ライタ1とICカード2との間では、電磁波を利用して非接触で、データの送受信が行なわれる。すなわち、カード・リーダ/ライタ1がICカード2に所定のコマンドを送信し、ICカード2は受信したコマンドに対応する処理を行なう。そして、ICカード2は、その処理結果に対応する応答データをカード・リーダ/ライタ1に送信する。   This contactless card system is composed of a card reader / writer 1, an IC card 2, and a controller 3. The card reader / writer 1 and the IC card 2 are contactless using electromagnetic waves, Data is transmitted and received. That is, the card reader / writer 1 transmits a predetermined command to the IC card 2, and the IC card 2 performs processing corresponding to the received command. Then, the IC card 2 transmits response data corresponding to the processing result to the card reader / writer 1.

カード・リーダ/ライタ1は、所定のインターフェース(例えば、RS−485Aの規格などに準拠したもの)を介してコントローラ3に接続されている。コントローラ3は、カード・リーダ/ライタ1に対し制御信号を供給することで、所定の処理を行なわせる。   The card reader / writer 1 is connected to the controller 3 via a predetermined interface (for example, one that conforms to the RS-485A standard or the like). The controller 3 supplies a control signal to the card reader / writer 1 to perform a predetermined process.

図2には、図1に示したカード・リーダ/ライタ1の構成例を示している。   FIG. 2 shows a configuration example of the card reader / writer 1 shown in FIG.

ICチップ・モジュール21は、データの処理を行なうDPU(Data Processing Unit)31と、ICカード2への送信信号及びICカード2からの受信信号の処理を行なうSPU(Signal Processing Unit)32と、コントローラ3との通信を行なうSCC(Serial Communication Controller)33と、データの処理に必要な情報をあらかじめ記憶しているROM部41並びに処理中の作業データを一時的に記憶するRAM部42を含んだメモリ部34で構成され、これらの機能モジュールがバスを介して相互接続されている。また、このバスには、所定のデータを記憶するフラッシュ・メモリ22も接続されている。   The IC chip module 21 includes a data processing unit (DPU) 31 that processes data, a signal processing unit (SPU) 32 that processes transmission signals to the IC card 2 and reception signals from the IC card 2, and a controller. A memory including an SCC (Serial Communication Controller) 33 that communicates with the CPU 3, a ROM unit 41 that stores information necessary for data processing in advance, and a RAM unit 42 that temporarily stores work data being processed These functional modules are interconnected via a bus. A flash memory 22 for storing predetermined data is also connected to this bus.

DPU31は、ICカード2への送信コマンドをSPU32に出力するとともに、ICカード2から受信した応答データをSPU32から受け取り、所定のデータ処理を行なう。   The DPU 31 outputs a transmission command to the IC card 2 to the SPU 32, receives response data received from the IC card 2 from the SPU 32, and performs predetermined data processing.

SPU32は、ICカード2への送信コマンドに対し、例えばBPSK(BiPhase Shift Keying)などの変調処理を行なった後、変調回路23に出力するとともに、ICカード2からの応答データを復調回路25から受け取り、そのデータに対し、BPSKなどの所定の復調処理を行なう。   The SPU 32 performs a modulation process such as BPSK (BiPhase Shift Keying) on the transmission command to the IC card 2, and then outputs it to the modulation circuit 23 and receives response data from the IC card 2 from the demodulation circuit 25. Then, predetermined demodulation processing such as BPSK is performed on the data.

変調回路23は、発振器26より供給された所定の周波数(例えば13.56MHz)の搬送波を、SPU32より供給されたデータでASK(Amplitude Shift Keying)変調し、生成された変調波をアンテナ27から電磁波としてICカード2に出力する。このとき、変調回路23は、変調度を1未満にして、ASK変調を行なう。すなわち、データがロー・レベルのときにおいても、変調波の最大振幅がゼロにならないようにする。   The modulation circuit 23 performs ASK (Amplitude Shift Keying) modulation of a carrier wave having a predetermined frequency (for example, 13.56 MHz) supplied from the oscillator 26 with data supplied from the SPU 32, and generates a modulated wave from the antenna 27 as an electromagnetic wave. Is output to the IC card 2 as follows. At this time, the modulation circuit 23 performs ASK modulation with the degree of modulation less than 1. That is, the maximum amplitude of the modulated wave is prevented from becoming zero even when the data is at a low level.

復調回路25は、アンテナ27を介して受信した変調波(ASK変調波)を復調し、復調されたデータをSPU32に出力するようになされている。   The demodulation circuit 25 demodulates the modulated wave (ASK modulated wave) received via the antenna 27 and outputs the demodulated data to the SPU 32.

図3には、図1に示したICカード2の構成例を示している。このICカードは、ICチップ・モジュール51と、ループ上のアンテナ53とで構成される。   FIG. 3 shows a configuration example of the IC card 2 shown in FIG. This IC card includes an IC chip module 51 and an antenna 53 on a loop.

ICチップ・モジュール51は、カード・リーダ/ライタ1から送信された変調波を、アンテナ53を介して受信する。なお、コンデンサ52は、アンテナ53とともにLC回路を構成し、所定の周波数(キャリア周波数)の電磁波に同調(共振)するようになされている。   The IC chip module 51 receives the modulated wave transmitted from the card reader / writer 1 via the antenna 53. The capacitor 52 constitutes an LC circuit together with the antenna 53, and is tuned (resonated) with an electromagnetic wave having a predetermined frequency (carrier frequency).

ICチップ・モジュール51は、RFインターフェース部61や演算部64などで構成される。RFインターフェース部61で、ASK復調部81と、電圧レギュレータ82と、発振回路83と、ASK変調部84で構成される。ASK復調部81は、アンテナ53を介して受信した変調波(ASK変調波)を検波して復調し、復調後のデータをBPSK復調回路62及びPLL(Phase Locked Loop)部63に出力する。電圧レギュレータ82は、ASK復調部81が検波した信号を安定化し、各回路に直流電力として供給する。   The IC chip module 51 includes an RF interface unit 61, a calculation unit 64, and the like. The RF interface unit 61 includes an ASK demodulation unit 81, a voltage regulator 82, an oscillation circuit 83, and an ASK modulation unit 84. The ASK demodulator 81 detects and demodulates the modulated wave (ASK modulated wave) received via the antenna 53, and outputs the demodulated data to a BPSK demodulator circuit 62 and a PLL (Phase Locked Loop) 63. The voltage regulator 82 stabilizes the signal detected by the ASK demodulator 81 and supplies it to each circuit as DC power.

また、RFインターフェース部61は、発振回路83でデータのクロック周波数と同一の周波数の信号を発振し、その信号をPLL部63に出力する。そして、ASK変調部84は、演算部64より供給されたデータに対応し、ICカード2の電源としてのアンテナ53の負荷を変動させる(例えば、データに対応して所定のスイッチング素子をオン/オフさせ、スイッチング素子がオン状態であるときだけ所定の負荷をアンテナ53に並列に接続する)ことにより、アンテナ53を介して受信している変調波をASK変調し、その変調成分をアンテナ53を介してカード・リーダ/ライタ1に送信する。ICカード2からデータを送信するときは、カード・リーダ/ライタ1は、その出力する変調波の最大振幅を一定にしており、この変調波が、アンテナ53の負荷の変動により、ASK変調される。また、このデータ送信に伴い、カード・リーダ/ライタ1のアンテナ27の端子電圧が変動する。   Further, the RF interface unit 61 oscillates a signal having the same frequency as the data clock frequency by the oscillation circuit 83 and outputs the signal to the PLL unit 63. Then, the ASK modulation unit 84 changes the load of the antenna 53 as the power source of the IC card 2 corresponding to the data supplied from the calculation unit 64 (for example, turns on / off a predetermined switching element corresponding to the data) And a predetermined load is connected in parallel to the antenna 53 only when the switching element is in an ON state), whereby the modulated wave received through the antenna 53 is ASK-modulated, and the modulation component is transmitted through the antenna 53. To the card reader / writer 1. When transmitting data from the IC card 2, the card reader / writer 1 keeps the maximum amplitude of the modulated wave output from the card reader / writer 1, and this modulated wave is ASK-modulated by fluctuations in the load of the antenna 53. . Further, the terminal voltage of the antenna 27 of the card reader / writer 1 varies with the data transmission.

PLL部63は、ASK復調部81より供給されたデータより、そのデータに同期したクロック信号を生成し、そのクロック信号をBPSK復調回路62及びBPSK変調回路68に出力する。   The PLL unit 63 generates a clock signal synchronized with the data from the data supplied from the ASK demodulation unit 81 and outputs the clock signal to the BPSK demodulation circuit 62 and the BPSK modulation circuit 68.

BPSK復調回路62は、ASK復調部81で復調されたデータがBPSK変調されている場合、PLL部63より供給されたクロック信号に従って、そのデータの復調を行ない、復調したデータを演算部64に出力する。   When the data demodulated by the ASK demodulator 81 is BPSK modulated, the BPSK demodulator circuit 62 demodulates the data according to the clock signal supplied from the PLL unit 63 and outputs the demodulated data to the arithmetic unit 64. To do.

演算部64は、BPSK復調回路62より供給されたデータが暗号化されている場合、そのデータを暗号/復号部92で復号化した後、そのデータをシーケンサ91で処理する。また、データが暗号化されていない場合、BPSK復調回路62より供給されたデータは、暗号/復号部92を介さず、シーケンサ91に直接供給される。   When the data supplied from the BPSK demodulation circuit 62 is encrypted, the arithmetic unit 64 decrypts the data with the encryption / decryption unit 92 and then processes the data with the sequencer 91. If the data is not encrypted, the data supplied from the BPSK demodulation circuit 62 is directly supplied to the sequencer 91 without going through the encryption / decryption unit 92.

シーケンサ91は、そこに供給されるコマンドとしてのデータに対応する処理を行なう。例えば、シーケンサ91は、EEPROM(Electrically Erasable&Programmable ROM)66に対するデータの書き込みや読み出しなどの処理を行なう。   The sequencer 91 performs processing corresponding to data as a command supplied thereto. For example, the sequencer 91 performs processing such as writing and reading of data with respect to an EEPROM (Electrically Erasable & Programmable ROM) 66.

演算部64のパリティ演算部93は、EEPROM66に記憶されるデータや、EEPROM66に記憶されているデータから、パリティとしてリードソロモン符号を算出する。さらに、演算部64は、シーケンサ91で所定の処理を行なった後、その処理に対応する応答データ(カード・リーダ/ライタ1に送信するデータ)をBPSK変調回路68に出力する。   The parity calculation unit 93 of the calculation unit 64 calculates a Reed-Solomon code as parity from the data stored in the EEPROM 66 or the data stored in the EEPROM 66. Further, the arithmetic unit 64 performs predetermined processing by the sequencer 91 and then outputs response data (data to be transmitted to the card reader / writer 1) corresponding to the processing to the BPSK modulation circuit 68.

BPSK変調回路68は、演算部64より供給されたデータをBPSK変調し、変調後のデータをRFインターフェース部61のASK変調部84に出力する。   The BPSK modulation circuit 68 performs BPSK modulation on the data supplied from the calculation unit 64, and outputs the modulated data to the ASK modulation unit 84 of the RF interface unit 61.

ROM65は、シーケンサ91が行なうべき処理プログラムやその他の必要なデータを恒久的に記憶している。RAM67は、シーケンサ91が処理を行なうときの作業データなどを一時的に記憶する。   The ROM 65 permanently stores a processing program to be executed by the sequencer 91 and other necessary data. The RAM 67 temporarily stores work data when the sequencer 91 performs processing.

EEPROM66は、不揮発性のメモリであり、例えば、ICカード2上に電子決済を行なうための電子マネーや、特定のコンサート会場に入場するための電子チケットなど、多数のアプリケーションを格納しておくために利用される。ICカード2自体は基本的にはバッテリなど駆動電源を持たないため、ICカード2がカード・リーダ/ライタ1との通信を終了し、電力供給が停止した後も無電源状態でもデータを保持し続けることができるEEPROM66のような不揮発性メモリが使用される。   The EEPROM 66 is a non-volatile memory for storing a large number of applications such as electronic money for making an electronic payment on the IC card 2 and an electronic ticket for entering a specific concert venue. Used. Since the IC card 2 itself does not basically have a driving power source such as a battery, the IC card 2 retains data even after the communication with the card reader / writer 1 is terminated and the power supply is stopped or no power is supplied. A non-volatile memory such as EEPROM 66 that can continue is used.

次に、カード・リーダ/ライタ1とICカード2間におけるデータの送受信処理について説明する。   Next, data transmission / reception processing between the card reader / writer 1 and the IC card 2 will be described.

カード・リーダ/ライタ1は、アンテナ27から所定の電磁波を放射して、アンテナ27の負荷状態を監視し、ICカード2が接近することによる負荷状態の変化が検出されるまで待機する。なお、カード・リーダ/ライタ1は、所定の短いパターンのデータでASK変調した電磁波を放射して、ICカード2への呼びかけを、ICカード2からの応答が一定時間内において得られるまで繰り返す処理(ポーリング)を行なうようにしてもよい。   The card reader / writer 1 emits a predetermined electromagnetic wave from the antenna 27, monitors the load state of the antenna 27, and waits until a change in the load state due to the approach of the IC card 2 is detected. Note that the card reader / writer 1 emits an ASK-modulated electromagnetic wave with a predetermined short pattern of data, and repeats a call to the IC card 2 until a response from the IC card 2 is obtained within a predetermined time. (Polling) may be performed.

カード・リーダ/ライタ1においてICカード2の接近が検出されると、R/W1のSPU32は、所定の周波数(例えば、データのクロック周波数の2倍の周波数)の矩形波を搬送波として、ICカード2に送信するデータ(ICカード2に実行させる処理に対応するコマンドやICカード2に書き込むデータなど)でBPSK変調を行ない、生成した変調波(BPSK変調信号)を変調回路23に出力する。   When the approach of the IC card 2 is detected in the card reader / writer 1, the SPU 32 of the R / W 1 uses the rectangular wave of a predetermined frequency (for example, a frequency twice as high as the data clock frequency) as a carrier wave. BPSK modulation is performed using data to be transmitted to 2 (commands corresponding to processing to be executed by the IC card 2 or data to be written to the IC card 2), and the generated modulated wave (BPSK modulation signal) is output to the modulation circuit 23.

なお、BPSK変調時においては、差動変換を利用して、変調波の位相の変化に、データを対応させることができる。このようにした場合、BPSK変調信号が反転しても、元のデータに復調されるので、復調するとき変調波の極性を配慮する必要が無くなる。   In BPSK modulation, data can be made to correspond to a change in the phase of the modulated wave by using differential conversion. In this case, even if the BPSK modulation signal is inverted, it is demodulated to the original data, so that it is not necessary to consider the polarity of the modulated wave when demodulating.

変調回路23は、入力されたBPSK変調信号で、所定の搬送波を1未満(例えば0.1)の変調度(=データ信号の最大振幅/搬送波の最大振幅)でASK変調し、生成された変調波(ASK変調波)を、アンテナ27を介してICカード2に送信する。   The modulation circuit 23 performs ASK modulation on a predetermined carrier wave with an input BPSK modulation signal with a modulation factor of less than 1 (for example, 0.1) (= maximum amplitude of data signal / maximum amplitude of carrier wave), and generated modulation A wave (ASK modulated wave) is transmitted to the IC card 2 via the antenna 27.

なお、送信を行なわないとき、変調回路23は、ディジタル信号の2つのレベル(ハイレベルとローレベル)のうちの、例えばハイレベルで変調波を生成する。   When transmission is not performed, the modulation circuit 23 generates a modulated wave at a high level, for example, of two levels (high level and low level) of the digital signal.

ICカード2では、アンテナ53及びコンデンサ52で構成されるLC回路において、カード・リーダ/ライタ1のアンテナ27が放射した電磁波の一部が電気信号に変換され、その電気信号(変調波)がICチップ・モジュール51のRFインターフェース61に出力される。そして、RFインターフェース61のASK復調部81は、その変調波を整流平滑化することで包絡線検波を行ない、これにより生成される信号を電圧レギュレータ82に供給するとともに、その信号の直流成分を抑制してデータ信号を抽出し、そのデータ信号をBPSK復調回路62及びPLL部63に出力する。   In the IC card 2, in the LC circuit composed of the antenna 53 and the capacitor 52, a part of the electromagnetic wave radiated by the antenna 27 of the card reader / writer 1 is converted into an electric signal, and the electric signal (modulated wave) is converted into an IC. It is output to the RF interface 61 of the chip module 51. Then, the ASK demodulator 81 of the RF interface 61 performs envelope detection by rectifying and smoothing the modulated wave, and supplies the generated signal to the voltage regulator 82 and suppresses the DC component of the signal. The data signal is extracted, and the data signal is output to the BPSK demodulation circuit 62 and the PLL unit 63.

電圧レギュレータ82は、ASK復調部81より供給された信号を安定化し、直流電力を生成し、各回路に供給する。   The voltage regulator 82 stabilizes the signal supplied from the ASK demodulator 81, generates DC power, and supplies it to each circuit.

なお、このとき、アンテナ53の端子電圧V0 は、例えば次のようになる。 At this time, the terminal voltage V 0 of the antenna 53 is, for example, as follows.

0=V10(1+k×Vs(t))cos(ωt) V 0 = V 10 (1 + k × V s (t)) cos (ωt)

但し、V10cos(ωt)は搬送波を、kは変調度を、Vs(t)はSPU32が出力するデータを、それぞれ表す。 However, V 10 cos (ωt) represents a carrier wave, k represents a modulation degree, and V s (t) represents data output from the SPU 32.

また、ASK復調部81による整流後の電圧V1におけるローレベルの値VLRは、例えば次のようになる。 The low level value V LR of the voltage V 1 after rectification by the ASK demodulator 81 is, for example, as follows.

LR=V10(1+k×(−1))−Vf V LR = V 10 (1 + k × (−1)) − V f

ここで、Vfは、ASK復調部81において、整流平滑化を行なうための整流回路を構成するダイオードにおける電圧降下を示しており、一般に0.7ボルト程度である。 Here, V f indicates a voltage drop in a diode constituting a rectifier circuit for performing rectification and smoothing in the ASK demodulator 81, and is generally about 0.7 volts.

電圧レギュレータ82は、ASK復調部81により整流平滑化された信号を受信すると、その信号を安定化し、直流電力として、演算部64を始めとする各回路に供給する。なお、変調波の変調度kは1未満なので、整流後の電圧変動(ハイレベルとローレベルの差)が小さい。したがって、電圧レギュレータ82において、直流電力を容易に生成することができる。   When the voltage regulator 82 receives the signal rectified and smoothed by the ASK demodulator 81, the voltage regulator 82 stabilizes the signal and supplies it as DC power to each circuit including the arithmetic unit 64. Since the modulation degree k of the modulated wave is less than 1, the voltage fluctuation after rectification (difference between high level and low level) is small. Therefore, DC power can be easily generated in the voltage regulator 82.

例えば、変調度kが5%の変調波を、V10が3ボルト以上になるように受信した場合、整流後のローレベル電圧VLRは2.15(=3×(1−0.05)−0.7)ボルト以上となり、電圧レギュレータ82は電源として充分な電圧を各回路に供給することができる。この場合、整流後における電圧V1 の交流成分(データ成分)の振幅2×k×V10(Peak−to−Peak値)は0.3(=20.05×3)ボルト以上になり、ASK復調部81は十分高いS/N比でデータの復調を行なうことができる。 For example, when a modulated wave having a modulation degree k of 5% is received so that V 10 is 3 volts or more, the low level voltage V LR after rectification is 2.15 (= 3 × (1-0.05) −0.7) volts or more, and the voltage regulator 82 can supply each circuit with a voltage sufficient as a power source. In this case, the amplitude 2 × k × V 10 (Peak-to-Peak value) of the AC component (data component) of the voltage V 1 after rectification becomes 0.3 (= 20.05 × 3) volts or more, and ASK The demodulator 81 can demodulate data with a sufficiently high S / N ratio.

このように、変調度kが1未満のASK変調波を利用することにより、エラーレートの低い(S/N比の高い状態で)通信を行なうとともに、電源として十分な直流電圧がICカード2に供給される。   In this way, by using an ASK modulated wave having a modulation degree k of less than 1, communication is performed with a low error rate (in a high S / N ratio), and a sufficient DC voltage as a power source is applied to the IC card 2. Supplied.

BPSK復調回路62は、ASK復調部81からデータ信号(BPSK変調信号)を受信すると、そのデータ信号を、PLL部63より供給されるクロック信号に従って復調し、復調したデータを演算部64に出力する。   When receiving the data signal (BPSK modulated signal) from the ASK demodulator 81, the BPSK demodulator 62 demodulates the data signal in accordance with the clock signal supplied from the PLL unit 63, and outputs the demodulated data to the calculator 64. .

演算部64は、BPSK復調回路62より供給されたデータが暗号化されている場合は、暗号/復号部92で復号化した後、そのデータ(コマンド)をシーケンサ91に供給して処理する。なお、ICカード2にデータを送信後、それに対する返答を受信するまでの間、カード・リーダ/ライタ1は、値が1のデータを送信したまま待機している。したがって、この期間においては、ICカード2は最大振幅が一定である変調波を受信している。   When the data supplied from the BPSK demodulation circuit 62 is encrypted, the arithmetic unit 64 decrypts the data with the encryption / decryption unit 92 and then supplies the data (command) to the sequencer 91 for processing. It should be noted that the card reader / writer 1 is on standby while transmitting data having a value of 1 after the data is transmitted to the IC card 2 until a response is received. Therefore, during this period, the IC card 2 receives a modulated wave having a constant maximum amplitude.

シーケンサ91は、処理が終了すると、カード・リーダ/ライタ1に送信するデータをBPSK変調回路68に出力する。BPSK変調回路68は、カード・リーダ/ライタ1側のSPU32と同様に、そのデータをBPSK変調した後、RFインターフェース部61のASK変調部84に出力する。   When the processing is completed, the sequencer 91 outputs data to be transmitted to the card reader / writer 1 to the BPSK modulation circuit 68. The BPSK modulation circuit 68 BPSK-modulates the data, like the SPU 32 on the card reader / writer 1 side, and then outputs the data to the ASK modulation unit 84 of the RF interface unit 61.

ASK変調部84は、アンテナ53の両端に接続される負荷を、スイッチング素子を利用して変動させることができる。すなわち、BPSK変調回路68からのデータに応じて負荷変動させることにより、受信している変調波を送信するデータに応じてASK変調し、これによりカード・リーダ/ライタ1のアンテナ27の端子電圧を変動させて、そのデータをカード・リーダ/ライタ1に送信する。   The ASK modulation unit 84 can vary the load connected to both ends of the antenna 53 using a switching element. That is, by changing the load in accordance with the data from the BPSK modulation circuit 68, the received modulated wave is ASK modulated in accordance with the data to be transmitted, whereby the terminal voltage of the antenna 27 of the card reader / writer 1 is changed. The data is changed and transmitted to the card reader / writer 1.

一方、カード・リーダ/ライタ1側の変調回路23は、ICカード2からのデータの受信時においては、値が1(ハイレベル)のデータの送信を継続している。そして、復調回路25において、ICカード2のアンテナ53と電磁気的に結合しているアンテナ27の端子電圧の微小な変動(例えば、数十マイクロボルト)から、ICカード2により送信されてきたデータが検出される。   On the other hand, the modulation circuit 23 on the card reader / writer 1 side continues to transmit data having a value of 1 (high level) when receiving data from the IC card 2. Then, in the demodulation circuit 25, the data transmitted by the IC card 2 from the minute fluctuation (for example, several tens of microvolts) of the terminal voltage of the antenna 27 electromagnetically coupled to the antenna 53 of the IC card 2 is obtained. Detected.

さらに、復調回路25では、検出した信号(ASK変調波)が高利得の増幅器で増幅されて復調され、その結果得られるデジタル・データがSPU32に出力される。SPU32は、そのデータ(BPSK変調信号)を復調し、DPU31に出力する。DPU31は、SPU32からのデータを処理し、その処理結果に応じて、通信を終了するか否かを判断する。   Further, in the demodulation circuit 25, the detected signal (ASK modulated wave) is amplified and demodulated by a high gain amplifier, and the resulting digital data is output to the SPU 32. The SPU 32 demodulates the data (BPSK modulation signal) and outputs it to the DPU 31. The DPU 31 processes the data from the SPU 32 and determines whether or not to end the communication according to the processing result.

そして、再度、通信を行なうと判断した場合、上述した場合と同様にして、カード・リーダ/ライタ1とICカード2との間で通信が行なわれる。一方、通信を終了すると判断した場合、カード・リーダ/ライタ1は、ICカード2との通信処理を終了する。   If it is determined that communication is to be performed again, communication is performed between the card reader / writer 1 and the IC card 2 in the same manner as described above. On the other hand, if it is determined that the communication is to be terminated, the card reader / writer 1 terminates the communication process with the IC card 2.

以上のように、カード・リーダ/ライタ1は、変調度kが1未満であるASK変調を利用してICカード2にデータを送信する。そして、ICカード2は、そのデータを受け取り、そのデータに対応する処理を行ない、その処理結果に対応するデータをカード・リーダ/ライタ1に返送する。   As described above, the card reader / writer 1 transmits data to the IC card 2 by using the ASK modulation whose modulation degree k is less than 1. The IC card 2 receives the data, performs processing corresponding to the data, and returns data corresponding to the processing result to the card reader / writer 1.

B.ファイル・システムの共有
図4には、ICカードを用いて実現される、電子マネーや電子チケット、その他の価値情報を運用するサービス提供システムの全体的構成を模式的に示している。 B. File System Sharing FIG. 4 schematically shows the overall configuration of a service providing system that uses electronic money, electronic tickets, and other value information realized using an IC card.

図示のシステム100は、例えば、ICカード発行者121が使用する発行者用通信装置111と、カード記憶領域運用者122が使用する運用者用通信装置112と、装置製造者123が使用する製造者用通信装置113と、カード記憶領域使用者124が使用する記憶領域分割装置114及び運用ファイル登録装置115とで構成される。   The illustrated system 100 includes, for example, an issuer communication device 111 used by the IC card issuer 121, an operator communication device 112 used by the card storage area operator 122, and a manufacturer used by the device manufacturer 123. Communication device 113, storage area dividing device 114 used by card storage area user 124, and operation file registration device 115.

ICカード発行者121がカード所有者126にICカード116を発行した場合に、所定の条件に基づいて、カード記憶領域使用者124によって提供されるサービスに係わるファイル・データをICカード16に登録し、カード所有者126が単体のICカード116を用いて、ICカード発行者121及びカード記憶領域使用者124の双方のサービスを受けることを可能にするものである。   When the IC card issuer 121 issues the IC card 116 to the card holder 126, the file data related to the service provided by the card storage area user 124 is registered in the IC card 16 based on a predetermined condition. The card holder 126 can receive services of both the IC card issuer 121 and the card storage area user 124 by using a single IC card 116.

図4に示すように、システム100では、発行者用通信装置111、運用者用通信装置112、製造者用通信装置113、記憶領域分割装置114及び運用ファイル登録装置115が、ネットワーク117を介して接続される。   As shown in FIG. 4, in the system 100, an issuer communication device 111, an operator communication device 112, a manufacturer communication device 113, a storage area dividing device 114, and an operation file registration device 115 are connected via a network 117. Connected.

ICカード発行者121は、ICカード116の発行を行なう者であり、ICカード116を用いて自らのサービスを提供する。   The IC card issuer 121 is a person who issues the IC card 116 and provides its own service using the IC card 116.

カード記憶領域運用者122は、ICカード発行者121からの依頼を受けて、ICカード発行者121が発行したICカード116内の記憶部(半導体メモリ)に構成される記憶領域のうち、ICカード発行者121が使用しない記憶領域をカード記憶領域使用者124に貸し出すサービスを行なう者である。   In response to a request from the IC card issuer 121, the card storage area operator 122, among the storage areas configured in the storage unit (semiconductor memory) in the IC card 116 issued by the IC card issuer 121, is an IC card. A person who provides a service for lending a storage area not used by the issuer 121 to the card storage area user 124.

装置製造者123は、カード記憶領域運用者122から依頼を受けて、記憶領域分割装置114を製造し、カード記憶領域使用者124に納品する者である。   The device manufacturer 123 is a person who receives a request from the card storage area operator 122, manufactures the storage area dividing device 114, and delivers it to the card storage area user 124.

カード記憶領域使用者124は、カード記憶領域運用者122に依頼を行ない、ICカード116の記憶領域を使用して自らの独自のサービスを提供する者であり、メモリ領域を分割して新たなファイル・システムを作成するサービス提供元事業者(前述)に相当し、自己のファイル・システムを利用して自身のサービス提供を行なう。   The card storage area user 124 makes a request to the card storage area operator 122 and provides his / her own service using the storage area of the IC card 116, and divides the memory area into a new file. -Corresponds to a service provider that creates a system (described above), and provides its own service using its own file system.

カード所有者126は、ICカード発行者121からICカード116の発行を受け、ICカード発行者121が提供するサービスを受ける者である。カード所有者126は、ICカード116の発行後に、カード記憶領域使用者124が提供するサービスを受けることを希望する場合には、記憶領域分割装置114及び運用ファイル登録装置115を用いて、カード記憶領域使用者124のサービスに係わるファイル・データをICカード116に記憶し、その後、カード記憶領域使用者124のサービスを受けることができるようになる。   The card holder 126 is a person who receives an IC card 116 issued from the IC card issuer 121 and receives a service provided by the IC card issuer 121. When the card holder 126 wishes to receive the service provided by the card storage area user 124 after the IC card 116 is issued, the card owner 126 uses the storage area dividing device 114 and the operation file registration device 115 to store the card. The file data related to the service of the area user 124 is stored in the IC card 116, and thereafter, the service of the card storage area user 124 can be received.

システム100は、ICカード発行者121のサービスと、カード記憶領域使用者124のサービスとを単体のICカード116を用いて提供するに当たって、ICカード発行者121及びカード記憶領域使用者124のサービスに係わるファイル・データが記憶される記憶領域に、権限を有しない他人によって不正にデータの書き込み及び書き換えなどが行なわれることを困難にする構成を有している。   The system 100 provides the services of the IC card issuer 121 and the card storage area user 124 when providing the service of the IC card issuer 121 and the service of the card storage area user 124 using the single IC card 116. It has a configuration that makes it difficult for an unauthorized person to write or rewrite data in a storage area for storing such file data.

ICカード116は、その字義通り、カード型のデータ通信装置であってもよいし、いわゆる1ICカード機能が実装された半導体チップを内蔵した携帯電話機(あるいはその他の携帯端末やCE機器)として具現化されることもある。   The IC card 116 may be a card-type data communication device as its meaning, or embodied as a mobile phone (or other mobile terminal or CE device) incorporating a semiconductor chip on which a so-called 1 IC card function is mounted. Sometimes it is done.

なお、図4では、それぞれ単数のICカード発行者121、カード記憶領域使用者24及びカード所有者26がある場合を例示したが、これらは、それぞれ複数であってもよい。   4 illustrates the case where there is a single IC card issuer 121, a card storage area user 24, and a card holder 26, respectively, these may be plural.

ICカードが持つ耐タンパ性と認証機能を利用して、価値情報のやり取りなどを含んだセキュリティが要求されるサービスを提供することができる。具体的には、ICカード内の単一のメモリ領域を複数のサービス提供元事業者間で共有し、サービス提供元事業者においてはカード発行の負担が軽減するとともに、ユーザにとっては携帯して管理するICカードの枚数を削減するものである。   By utilizing the tamper resistance and authentication function of the IC card, it is possible to provide a service requiring security including exchange of value information. Specifically, a single memory area in an IC card is shared among a plurality of service provider companies, which reduces the burden of card issuance at the service provider operators and manages them for the user to carry. The number of IC cards to be reduced is reduced.

ここで、複数のサービス提供元事業者間で単一のメモリ領域を共有した場合、あるサービス提供元事業者が使用するメモリ領域を、メモリを共用する別の事業者から自由にアクセスできるようにすると、事業者毎に設定される価値情報が他の事業者によって不正利用を許してしまう、という問題がある。   Here, when a single memory area is shared among multiple service providers, the memory area used by one service provider can be freely accessed by another provider sharing the memory. Then, there is a problem that value information set for each business operator allows unauthorized use by other business operators.

そこで、本実施形態では、単一のメモリ領域上にサービス提供元事業者毎のファイル・システムを割り当て、単一のICカードを複数の事業者で共有し、単一のICカードにより複数のサービスを提供するようにした。メモリ領域をファイル・システムに分割することにより、ファイル・システム間の境界がファイヤ・ウォールとして機能し、他のファイル・システムからの不正なアクセスを好適に排除することができる。   Thus, in this embodiment, a file system for each service provider is allocated on a single memory area, a single IC card is shared by a plurality of providers, and a plurality of services are provided by a single IC card. To offer. By dividing the memory area into file systems, the boundary between the file systems functions as a firewall, and unauthorized access from other file systems can be suitably eliminated.

ICカード内のメモリ領域は、初期状態では、ICカード発行者がメモリ領域全体を管理している。ICカード発行者以外のサービス提供元事業者がメモリ領域から新たなファイル・システムを分割するに際しては、メモリ領域の分割権限と、ICカード発行者に対する認証の双方が要求される。   In the initial state of the memory area in the IC card, the IC card issuer manages the entire memory area. When a service provider other than the IC card issuer divides a new file system from the memory area, both authority to divide the memory area and authentication to the IC card issuer are required.

そして、一旦分割されると、ファイル・システムへのアクセスは、元のICカードの発行者ではなく、ファイル・システム自体のサービス提供元事業者への認証が要求される。したがって、ユーザにとっては、各サービス利用時において事業者自らが発行したICカードであるかのような使い勝手を確保することができる。分割操作を繰り返すことにより、ICカード内のメモリ領域は複数のファイル・システムが共存する構造となる。ファイル・システムの分割は、仮想的なICカードの発行である。   Once divided, access to the file system requires authentication not to the original IC card issuer but to the service provider of the file system itself. Therefore, it is possible for the user to ensure usability as if the IC card was issued by the operator when using each service. By repeating the division operation, the memory area in the IC card has a structure in which a plurality of file systems coexist. The division of the file system is the issue of a virtual IC card.

ここで、図5〜図6を参照しながら、ICカード内のメモリ領域の運用形態について説明する。   Here, an operation mode of the memory area in the IC card will be described with reference to FIGS.

図5には、元のカード発行者が自らのファイル・システムのみを管理しているメモリ領域の状態を示している。元のカード発行者のシステム・コードSC1は、システム・コードの管理機構が付与する。外部機器又はプログラムがカード発行者のファイル・システムにアクセスする場合は、SC1を識別コード(すなわち、要求コマンドの引数)とする。   FIG. 5 shows the state of the memory area where the original card issuer manages only its own file system. The system code SC1 of the original card issuer is given by the system code management mechanism. When the external device or program accesses the file system of the card issuer, SC1 is set as an identification code (that is, an argument of the request command).

図6には、カード発行者が自らのファイル・システムの空き領域の内で、ある範囲のメモリを領域管理者に貸与(又は譲渡)することが許可できることを示している。この段階では,まだメモリ領域上のファイル・システムに対して分割が行なわれている訳ではない。カード発行者は、自らのファイル・システムに空き領域はあるうちは、複数の領域管理者に対して、メモリを貸与することを許可できる。例えば、4ビットのシステム・コードでファイル・システムを識別するという実装では、最大16分割(15回まで分割)することができる。   FIG. 6 shows that the card issuer can permit a certain range of memory to be lent (or transferred) to the area manager within the free area of his file system. At this stage, the file system in the memory area is not yet divided. The card issuer can permit a plurality of area managers to lend memory as long as there is a free area in his file system. For example, in an implementation in which a file system is identified by a 4-bit system code, a maximum of 16 divisions (up to 15 divisions) can be performed.

図7には、他のサービス提供元事業者が、カード発行者から許可された領域においてメモリ領域を分割し、新たなファイル・システムを生成した状態を示している。この新規ファイル・システムには、システム・コードの管理機構からシステム・コードSC2が付与されている。外部機器又はプログラムが、当該メモリ領域管理者(サービス提供元事業者)の運用するファイル・システムにアクセスする場合は、SC2を識別コード(要求コマンドの引数)とする。   FIG. 7 shows a state where another service provider has divided the memory area in the area permitted by the card issuer and created a new file system. The new file system is assigned the system code SC2 from the system code management mechanism. When the external device or program accesses the file system operated by the memory area manager (service provider), SC2 is used as an identification code (request command argument).

図8には、共通領域管理者が、カード発行者から許可された領域において、共通領域のシステム・コードSC0でメモリを分割した状態を示している。外部機器又はプログラムがこの共通領域管理者の運用領域であるファイル・システムにアクセスする場合には、そのシステム・コードSC0を識別コード(要求コマンドの引数)とする。   FIG. 8 shows a state where the common area manager divides the memory with the system code SC0 of the common area in the area permitted by the card issuer. When an external device or program accesses the file system which is the operation area of the common area manager, the system code SC0 is used as an identification code (request command argument).

ICカードのメモリ領域は、分割操作を繰り返すことにより、図9に示すように複数のファイル・システムが共存する構造となる。元のカード発行者、並びにカード発行者の許可によりICカード上で自己のファイル・システムを取得したサービス提供元事業者は、それぞれ自己のファイル・システムを利用して、エリアやサービスを配設し(後述)、自身の事業展開に利用することができる。   The memory area of the IC card has a structure in which a plurality of file systems coexist as shown in FIG. 9 by repeating the dividing operation. The original card issuer and the service provider that has acquired its own file system on the IC card with the permission of the card issuer, use their own file system to arrange areas and services. (Described later), can be used for own business development.

ここで、1つのファイル・システム内での運用形態について説明する。基本的には、どのファイル・システムにおいても同様の動作が実現されるものとする。また、ファイル・システムの操作を行なうためには、ポーリングによるエリアIDの要求と、相互認証という手続き(前述)を経ていることを前提とする。   Here, an operation mode in one file system will be described. Basically, the same operation is realized in any file system. In order to operate the file system, it is assumed that an area ID request by polling and a procedure of mutual authentication (described above) have been performed.

ファイル・システム内には、電子決済を始めとする外部との電子的な価値情報のやり取りなど、1以上のアプリケーションが割り当てられている。アプリケーションに割り当てられているメモリ領域を「サービス・メモリ領域」と呼ぶ。また、アプリケーションの利用、すなわち該当するサービス・メモリ領域へアクセスする処理動作のことを「サービス」と呼ぶ。サービスには、メモリへの読み出しアクセス、書き込みアクセス、あるいは電子マネーなどの価値情報に対する価値の加算や減算などが挙げられる。   In the file system, one or more applications such as electronic value information exchange with the outside such as electronic payment are allocated. A memory area allocated to an application is called a “service memory area”. The use of an application, that is, a processing operation for accessing a corresponding service / memory area is referred to as a “service”. Services include read access to memory, write access, value addition and subtraction for value information such as electronic money.

ユーザがアクセス権を持つかどうかに応じてアプリケーションの利用すなわちサービスの起動を制限するために、アプリケーションに対して暗証コードすなわちPINを割り当て、サービス実行時にPINの照合処理を行なうようになっている。また、サービス・メモリ領域へのアクセスは、アプリケーションのセキュリティ・レベルなどに応じて、適宜暗号化通信が行なわれる。   In order to limit the use of the application, that is, the activation of the service depending on whether the user has the access right or not, a password or PIN is assigned to the application, and a PIN verification process is performed when the service is executed. Access to the service memory area is appropriately encrypted according to the security level of the application.

本実施形態では、ICカード内のメモリ領域に設定されているそれぞれのファイル・システムに対して、「ディレクトリ」に類似する階層構造を導入する。そして、メモリ領域に割り当てられた各アプリケーションを、所望の階層の「エリア」に登録することができる。   In this embodiment, a hierarchical structure similar to a “directory” is introduced for each file system set in the memory area in the IC card. Each application assigned to the memory area can be registered in an “area” of a desired hierarchy.

例えば、一連のトランザクションに使用される複数のアプリケーション、あるいは関連性の深いアプリケーション同士を同じエリア内のサービス・メモリ領域として登録する(さらには、関連性の深いエリア同士を同じ親エリアに登録する)ことによって、メモリ領域のアプリケーションやエリアの配置が整然とし、ユーザにとってはアプリケーションの分類・整理が効率化する。   For example, multiple applications used for a series of transactions or applications that are closely related are registered as service memory areas in the same area (and areas that are closely related are registered in the same parent area). As a result, the applications of the memory area and the arrangement of the areas are orderly, and the classification and organization of the applications is efficient for the user.

また、ファイル・システムへのアクセス権を階層的に制御するために、アプリケーション毎にPINを設定できる以外に、各エリアに対してもPINを設定することができるようにしている。例えば、あるエリアに該当するPINを入力することにより、照合処理並びに相互認証処理を経て、エリア内のすべてのアプリケーション(並びにサブエリア)へのアクセス権を与えるようにすることもできる。したがって、該当するエリアに対するPINの入力を1回行なうだけで、一連のトランザクションで使用されるすべてのアプリケーションのアクセス権を得ることができるので、アクセス制御が効率化するとともに、機器の使い勝手が向上する。   In addition, in order to hierarchically control access rights to the file system, in addition to setting a PIN for each application, a PIN can be set for each area. For example, by inputting a PIN corresponding to a certain area, it is possible to give access rights to all applications (and subareas) in the area through verification processing and mutual authentication processing. Therefore, since the access right of all applications used in a series of transactions can be obtained by performing only one PIN input for the corresponding area, access control is made efficient and the usability of the device is improved. .

さらに、あるサービス・メモリ領域に対するアクセス権限が単一でないことを許容し、それぞれのアクセス権限毎、すなわちサービス・メモリ領域において実行するサービスの内容毎に、暗証コードを設定することができる。例えば、同じサービス・メモリ領域に対して起動するサービスが「読み出し」と「読み出し及び書き込み」とでは、別々のPINが設定される。また、電子マネーやその他の価値情報に対する「増額」と「減額」とでは、別々のPINが設定される。また、あるメモリ領域に対する読み出しについてはPINの入力が必要でないが、書き込む場合にはPINの入力を必須とさせることが可能である。   Further, it is allowed that the access authority for a certain service memory area is not single, and a password can be set for each access authority, that is, for each service content to be executed in the service memory area. For example, different PINs are set for services “read” and “read and write” to be activated for the same service memory area. Separate PINs are set for “increase” and “decrease” for electronic money and other value information. In addition, PIN input is not required for reading from a certain memory area, but PIN input can be required for writing.

図10には、ファイル・システム内のデータ構造例を模式的に示している。図示の例では、ファイル・システムが持つ記憶空間には、「ディレクトリ」に類似する階層構造が導入されている。すなわち、メモリ領域に割り当てられた各アプリケーションを、所望の階層エリアにサービス・メモリ領域として登録することができる。例えば、一連のトランザクションに使用されるアプリケーションなど、関連性の深いアプリケーション同士を同じエリアに登録する(さらには、関連性の深いエリア同士を同じ親エリアに登録する)ことができる。   FIG. 10 schematically shows an example of the data structure in the file system. In the illustrated example, a hierarchical structure similar to a “directory” is introduced into the storage space of the file system. That is, each application assigned to the memory area can be registered as a service memory area in a desired hierarchical area. For example, applications that are closely related such as applications used in a series of transactions can be registered in the same area (and areas that are closely related are registered in the same parent area).

また、ファイル・システム内に割り当てられたアプリケーション(すなわちサービス・メモリ領域)並びにエリアは暗証コード定義ブロックを備えている。したがって、アプリケーション毎に、あるいはエリア毎にPINを設定することができる。また、ファイル・システムに対するアクセス権は、アプリケーション単位で行なうとともに、並びにエリア単位で行なうことができる。   In addition, an application (that is, a service memory area) and an area allocated in the file system include a code definition block. Therefore, a PIN can be set for each application or for each area. Further, the access right to the file system can be performed in units of applications and in units of areas.

さらに、あるサービス・メモリ領域に対するアクセス権限が単一でなく、実行するサービスの内容毎に、PINを設定することができる。例えば、同じサービス・メモリ領域に対して起動するサービスが「読み出し」と「読み出し及び書き込み」とでは、別々のPINが設定され、また、電子マネーやその他の価値情報に対する「増額」と「減額」とでは、別々のPINが設定される。   Further, the access authority for a certain service memory area is not single, and a PIN can be set for each service content to be executed. For example, when the services activated for the same service memory area are “read” and “read and write”, different PINs are set, and “increase” and “decrease” for electronic money and other value information , Different PINs are set.

照合部は、例えばICカードを利用した非接触データ通信などのプロトコル・インターフェースを介して送られてくるPINを、各アプリケーション又はディレクトリに割り当てられたエリア又はサービス・メモリ領域に設定されている暗証コードと照合して、一致するメモリ領域に対するアクセスを許可する。アクセスが許可されたメモリ領域は、プロトコル・インターフェースを介して読み書きが可能となる。   The verification unit, for example, a PIN code sent via a protocol interface such as non-contact data communication using an IC card in the area assigned to each application or directory or the service memory area. And access to the matching memory area is permitted. The memory area to which access is permitted can be read and written via the protocol interface.

このようにファイル・システム内には、アプリケーションに割り当てられたさまざまなサービス・メモリ領域が割り当てられており、各サービス・メモリ領域に対して適用可能な1以上のサービスが設けられている。本実施形態では、エリア単位、並びにアプリケーション単位でアクセス制限を行なう以外に、アプリケーションに適用されるサービスの種類毎にPINを設定して、サービス単位でアクセス制限を行なうことができる。   As described above, various service memory areas allocated to applications are allocated in the file system, and one or more services applicable to each service memory area are provided. In the present embodiment, in addition to restricting access in area units and application units, it is possible to set a PIN for each type of service applied to an application and perform access restriction in service units.

図11には、ファイル・システムの基本構成を示している。図10を参照しながら既に説明したように、ファイル・システムに対して、「ディレクトリ」に類似する階層構造が導入され、所望の階層のエリアに、アプリケーションに割り当てられたサービス・メモリ領域を登録することができる。図11に示す例では、エリア0000定義ブロックで定義されるエリア0000内に、1つのサービス・メモリ領域が登録されている。   FIG. 11 shows the basic configuration of the file system. As already described with reference to FIG. 10, a hierarchical structure similar to “directory” is introduced to the file system, and a service memory area allocated to the application is registered in an area of a desired hierarchy. be able to. In the example shown in FIG. 11, one service memory area is registered in the area 0000 defined by the area 0000 definition block.

図示のサービス・メモリ領域は、1以上のユーザ・ブロックで構成される。ユーザ・ブロックはアクセス動作が保証されているデータ最小単位のことである。このサービス・メモリ領域に対しては、サービス0108定義ブロックで定義されている1つのサービスすなわちサービス0108が適用可能である。   The illustrated service memory area is composed of one or more user blocks. A user block is a minimum data unit for which an access operation is guaranteed. For this service memory area, one service defined in the service 0108 definition block, that is, the service 0108 can be applied.

エリア単位、並びにアプリケーション単位でアクセス制限を行なう以外に、サービスの種類毎に暗証コードを設定して、サービス単位でアクセス制限を行なうことができる。アクセス制限の対象となるサービスに関する暗証コード設定情報は、暗証コード専用のサービス(すなわち「暗証コード・サービス」)として定義される。図11に示す例では、サービス0108に関する暗証コードが暗証コード・サービス0128定義ブロックとして定義されている。その暗証コード・サービスの内容は暗証コード・サービス・データ・ブロックに格納されている。   In addition to restricting access in area units and application units, a security code can be set for each service type to restrict access in service units. The code setting information regarding the service subject to the access restriction is defined as a service dedicated to the code (that is, “code service”). In the example shown in FIG. 11, the code related to the service 0108 is defined as a code code service 0128 definition block. The contents of the password service are stored in the password service data block.

サービス0108に対する暗証コード・サービスが有効になっている場合、サービス0108を起動してそのユーザ・ブロックに読み出し又は書き込み動作を行なう前に、暗証コード・サービス0128を使用した暗証コードの照合が必要となる。具体的には、暗号化あり読み書き(Read/Write)コマンドを使用する場合は、相互認証前にサービス0108に対する暗証コードすなわちPINの照合を行なう。   If the security code service for service 0108 is enabled, the security code must be verified using security code service 0128 before activating service 0108 and performing a read or write operation on that user block. Become. Specifically, when a read / write command with encryption is used, a password, that is, a PIN is checked against the service 0108 before mutual authentication.

また、アプリケーションに割り当てられたサービス・メモリ領域を所望の階層のエリアに登録するとともに、エリアを階層化する(関連性の深いエリア同士を同じ親エリアに登録する)ことができる。この場合、エリア毎にPINを設定することにより、エリアをアクセス制限の単位とすることができる。図12には、ICカードのメモリ空間においてエリアが階層化されている様子を示している。同図に示す例では、エリア0000定義ブロックで定義されているエリア0000内に、エリア1000定義ブロックで定義されている別のエリア1000が登録されている。   In addition, the service memory area allocated to the application can be registered in an area of a desired hierarchy, and the areas can be hierarchized (areas that are closely related are registered in the same parent area). In this case, by setting a PIN for each area, the area can be used as an access restriction unit. FIG. 12 shows a state in which areas are hierarchized in the memory space of the IC card. In the example shown in the figure, another area 1000 defined by the area 1000 definition block is registered in the area 0000 defined by the area 0000 definition block.

図12に示す例では、さらにエリア1000内には、2つのサービス・メモリ領域が登録されている。一方のサービス・メモリ領域に対しては、サービス1108定義ブロックで定義されているサービス1108と、サービス110B定義ブロックで定義されているサービス110Bが適用可能である。このように、1つのサービス・メモリ領域に対してサービス内容の異なる複数のサービスを定義することを、本明細書中では「オーバーラップ・サービス」と呼ぶ。オーバーラップ・サービスにおいては、同じサービス・エリアに対して、入力したPINに応じて異なるサービスが適用されることになる。また、他方のサービス・メモリ領域に対しては、サービス110C定義ブロックで定義されているサービス110Cが適用可能である。   In the example shown in FIG. 12, two service memory areas are registered in the area 1000. The service 1108 defined in the service 1108 definition block and the service 110B defined in the service 110B definition block can be applied to one service memory area. In this specification, defining a plurality of services having different service contents for one service memory area is referred to as “overlap service” in this specification. In the overlap service, different services are applied to the same service area according to the entered PIN. The service 110C defined in the service 110C definition block can be applied to the other service memory area.

各サービス・メモリ領域に設定されているサービスを起動してそのユーザ・ブロックに読み出し又は書き込み動作を行なうことができる。勿論、図11を参照しながら説明したように、サービス毎に暗証コード・サービスを定義することができる。この場合、サービスに対する暗証コード・サービスが有効になっているときには、暗証コード・サービスを使用したPINの照合を行なってからサービスの起動が許可される。   A service set in each service memory area can be activated to perform a read or write operation on the user block. Of course, as described with reference to FIG. 11, a code code service can be defined for each service. In this case, when the personal identification code service for the service is valid, the service is permitted to be activated after collating the PIN using the personal identification code service.

また、複数のサービスに対して共通のPINを設定したい場合には、これらサービスを含むエリアを作成し、このエリアに対して共通の暗証コード・サービスを適用することができる。   When a common PIN is set for a plurality of services, an area including these services can be created, and a common password service can be applied to this area.

図12に示す例では、エリア1000に関する暗証コードが、暗証コード・サービス1020定義ブロックとして定義されている。その暗証コード・サービスの内容は暗証コード・サービス・データ・ブロックに格納されている。   In the example shown in FIG. 12, the personal identification code for the area 1000 is defined as a personal identification code service 1020 definition block. The contents of the password service are stored in the password service data block.

エリア1000に対する暗証コード・サービスが有効(後述)になっている場合、暗証コード・サービス1020を使用した暗証コードの照合を行なった後に、エリア1000内の各サービスを起動してそのユーザ・ブロックに読み出し又は書き込み動作を行なうことが可能となる。   If the password service for the area 1000 is valid (described later), after verifying the password using the password service 1020, each service in the area 1000 is activated and the user block is activated. A read or write operation can be performed.

図13には、内部メモリに複数のファイル・システムを設けることができるICカード内のファームウェアの機能構成を模式的に示している。   FIG. 13 schematically shows a functional configuration of firmware in an IC card in which a plurality of file systems can be provided in the internal memory.

インターフェース制御部は、非接触ICカード・インターフェースによるカード・リーダ/ライタとの通信、カード・リーダ/ライタとしての通信、有線インターフェースを介した通信、その他のI/Oインターフェースを介した通信などのプロトコル制御を行なう。   The interface control unit is a protocol such as communication with a card reader / writer via a contactless IC card interface, communication as a card reader / writer, communication via a wired interface, communication via other I / O interfaces, etc. Take control.

コマンド制御部は、インターフェース制御部を介して外部から受け取ったコマンドの処理や、外部に対するコマンド発行、コマンドの検査などを行なう。   The command control unit performs processing of commands received from the outside via the interface control unit, issuance of commands to the outside, inspection of commands, and the like.

セキュリティ制御部は、メモリ領域若しくはメモリ領域内の各ファイル・システムへアクセスする際の認証処理や、ファイル・システム内のディレクトリやサービスを利用する際のPIN照合などのセキュリティ処理を実現する。   The security control unit realizes security processing such as authentication processing when accessing a memory area or each file system in the memory area, and PIN verification when using a directory or service in the file system.

ファイル・システム制御部は、上述したようなメモリ領域からファイル・システムへの分割(並びに分割の解消)などファイル・システム管理や、ファイル・システム内のディレクトリ構造の管理などを行なう。   The file system control unit performs file system management such as division (and cancellation of division) from the memory area to the file system as described above, and management of the directory structure in the file system.

モード管理部は、全ファイル・システム並びに個別のファイル・システムのモードの管理を行なう。ここで言うモードには、ファイル・システムの利用停止や利用再開などの状態が含まれる。   The mode management unit manages the modes of all file systems and individual file systems. The mode mentioned here includes states such as suspension of use and resumption of use of the file system.

この他、起動制御やROM管理、パラメータ管理、不揮発性メモリ管理、パッチ制御など、ICカード内の各ハードウェア制御用のファームウェアも含まれている。   In addition, firmware for hardware control in the IC card such as start control, ROM management, parameter management, nonvolatile memory management, patch control, and the like is also included.

C.ファイル・システムの利用停止と利用再開
上述したように、ICカードに内蔵される単一のメモリ領域上にサービス提供元事業者毎のファイル・システムを割り当て、単一のICカードを複数の事業者で共有し、単一のICカードにより複数のサービスを提供することができる。ファイル・システム毎に異なる認証鍵を用いてアクセス制御を行なうことで、ファイル・システム間の境界がファイヤ・ウォールとして機能し、他のファイル・システムからの不正なアクセスを好適に排除することができる。 C. Suspension and resumption of use of file system As described above, a file system for each service provider is allocated on a single memory area built in the IC card, and a single IC card is assigned to a plurality of companies. And a plurality of services can be provided by a single IC card. By performing access control using a different authentication key for each file system, the boundary between file systems functions as a firewall, and unauthorized access from other file systems can be suitably eliminated. .

ここで、ICカードの柔軟な運用を実現するためには、サービス提供元事業者毎にファイル・システムの利用を停止することができるような仕組みを取り入れる必要がある。   Here, in order to realize the flexible operation of the IC card, it is necessary to adopt a mechanism capable of stopping the use of the file system for each service provider.

ファイル・システムへアクセスするための認証鍵をICカード発行者が管理した場合、分割によりファイル・システムが割り当てられた各サービス提供元事業者は、自らの事業展開に応じてファイル・システムの利用の停止を行なうことができないので、柔軟性に欠ける。一方、各サービス提供元事業者が自分のファイル・システムへのアクセスを制御する認証鍵を個別に生成できるようにした場合、ICカード発行者は、個々のファイル・システムの利用の停止並びに再開を全く把握することができなくなるので、全ファイル・システムの運用という観点からは柔軟性に欠けることになる。   When the IC card issuer manages the authentication key for accessing the file system, each service provider that has been assigned a file system by splitting uses the file system according to their business development. Since it cannot be stopped, it lacks flexibility. On the other hand, if each service provider can individually generate an authentication key that controls access to its own file system, the IC card issuer stops and restarts the use of each file system. Since it becomes impossible to grasp at all, it is inflexible from the viewpoint of the operation of all file systems.

そこで、本実施形態では、ICカード発行者が全ファイル・システムの運用を管理するための集合鍵を保持するとともに、メモリ分割によりファイル・システムを割り当てられたサービス提供元事業者毎にファイル・システムを個別に管理するための個別鍵を保持するという仕組みを導入している。   Therefore, in this embodiment, the IC card issuer holds a collective key for managing the operation of all file systems, and at the same time a file system for each service provider that is assigned a file system by memory division. Introduces a mechanism to hold individual keys for managing individual items.

図14には、ファイル・システムへアクセスするための認証鍵を生成するための仕組みを図解している。   FIG. 14 illustrates a mechanism for generating an authentication key for accessing the file system.

図示の通り、認証鍵生成部は、ICカード発行者が保持する集合鍵と、当該ファイル・システムを割り当てられたサービス提供元事業者が保持する個別鍵を入力し、これら2つの鍵に所定の演算処理(例えば乗算)を施して、認証鍵を生成し、これをファイル・システムへのアクセス鍵とする。   As shown in the figure, the authentication key generation unit inputs the collective key held by the IC card issuer and the individual key held by the service provider that is assigned the file system, and a predetermined key is assigned to these two keys. An arithmetic process (for example, multiplication) is performed to generate an authentication key, which is used as an access key to the file system.

図15には、ICカードにおける個別のファイル・システムへのアクセスを制御する仕組みを図解している。   FIG. 15 illustrates a mechanism for controlling access to individual file systems in an IC card.

ファイル・システムを割り当てられたサービス提供元事業者には、ICカード発行者が保持する集合鍵、若しくは集合鍵と個別鍵を演算して得られる認証鍵が与えられる。したがって、自分のファイル・システムへアクセスするときには、集合鍵と自身が持つ個別鍵の組み合わせ、又はこれらから得られた認証鍵を用いて認証を行なうことができる。   A service provider assigned with a file system is given an aggregate key held by the IC card issuer or an authentication key obtained by computing the aggregate key and the individual key. Therefore, when accessing the user's file system, authentication can be performed using a combination of the collective key and the individual key held by the user, or an authentication key obtained therefrom.

ICカード内のアクセス制御部は、ICカード発行者が保持する集合鍵と、当該ファイル・システムを割り当てられたサービス提供元事業者が保持する個別鍵を入力し、これら2つの鍵に所定の演算処理(例えば乗算)を施して、認証鍵を生成し、これをアクセス時に入力された認証鍵と照合してアクセスの可否を判断する。あるいは、アクセス時に集合鍵と個別鍵の組み合わせが入力された場合には、これらに同様の演算を施して認証鍵を生成してみて、内部に持つ認証鍵との照合を行なう。   The access control unit in the IC card inputs an aggregate key held by the IC card issuer and an individual key held by the service provider assigned to the file system, and performs a predetermined operation on these two keys. Processing (for example, multiplication) is performed to generate an authentication key, and this is compared with the authentication key input at the time of access to determine whether access is possible. Alternatively, when a combination of an aggregate key and an individual key is input at the time of access, an authentication key is generated by performing the same operation on these keys, and collation with the authentication key held inside is performed.

このような認証鍵のメカニズムによれば、ICカード発行者は、集合鍵を変更することにより、全ファイル・システムの利用を停止することができる。また、サービス提供元事業者は、個別鍵を変更することでファイル・システムを個別に利用停止することができ、他のファイル・システムの利用に影響を与えることはない。   According to such an authentication key mechanism, the IC card issuer can stop using the entire file system by changing the aggregate key. Also, the service provider can individually stop using the file system by changing the individual key, and does not affect the use of other file systems.

例えば、ICカード発行者が持つ集合鍵をKU1とし、i番目のファイル・システムを分割して得たサービス提供元事業者が持つ個別鍵をKP(i)1とし、認証鍵生成部が関数fを用いて認証鍵KAUTH(i)1=f(KU1,KP(i)1)を生成するものとする。 For example, the collective key held by the IC card issuer is KU1 , the individual key held by the service provider obtained by dividing the i-th file system is KP (i) 1 , and the authentication key generation unit It is assumed that an authentication key K AUTH (i) 1 = f (K U1 , K P (i) 1 ) is generated using the function f.

この場合、ICカード発行者が集合鍵をKU2に変更した場合、すべてのファイル・システムの認証鍵が変わってしまうため、全ファイル・システムの利用を停止することになる。これに対し、j番目のファイル・システムが割り当てられたサービス提供元事業者が個別鍵をKP(j)1からKP(j)2に変更した場合には、このファイル・システムのみ認証鍵が変更になることから、ファイル・システム毎に個別に利用を停止することができる。 In this case, when the IC card issuer changes the collective key to KU2 , the authentication keys of all the file systems are changed, so that the use of all the file systems is stopped. On the other hand, when the service provider to which the j-th file system is assigned changes the individual key from K P (j) 1 to K P (j) 2 , only this file system is authenticated. Therefore, the usage can be stopped individually for each file system.

図15に示す仕組みによれば、ICカード発行者は、集合鍵を変更して自分自身のファイル・システム、並びに分割により一旦は他のサービス提供元事業者に利用を認めたファイル・システムの利用を停止した後、変更した集合鍵を元に戻すことにより、ICカード発行者自身のメモリ領域並びに各サービス提供元事業者に割り当てられた領域の利用が再開される。すなわち、ICカード発行者が集合鍵をKU2に変更した後、元の集合鍵KU1に戻した場合には、すべてのファイル・システムについての認証鍵が元通りとなるため、システム全体として利用が再開される。 According to the mechanism shown in FIG. 15, the IC card issuer changes his collective key to use his own file system, and the use of a file system that has been once approved for use by another service provider by division. Then, the use of the memory area of the IC card issuer itself and the area allocated to each service provider is resumed by returning the changed aggregate key. That is, after the IC card issuer has changed the set key to K U2, in the case of back to the original set key K U1 is, because the authentication key for all of the file system becomes restored, use the system as a whole Is resumed.

また、図15に示した仕組みでは、サービス提供元事業者が個別のファイル・システムの利用の停止及び再開を勝手に行なえることになる。すなわち、j番目のファイル・システムが割り当てられたサービス提供元事業者が個別鍵をKP(j)1からKP(j)2に変更した後、元の個別鍵KP(j)1に戻すと、当該ファイル・システムの利用が再開される。 Further, in the mechanism shown in FIG. 15, the service provider can stop and restart the use of individual file systems without permission. That is, after the service provider to which the j-th file system is assigned changes the individual key from K P (j) 1 to K P (j) 2 , the original individual key K P (j) 1 is changed. When it returns, the use of the file system is resumed.

しかしながら、このようにサービス提供元事業者が自由に、ファイル・システム毎の利用の停止及び再開を行なうと、ICカード発行者にとっては、全ファイル・システムを柔軟に運用する際の妨げになる。   However, if the service provider is free to stop and restart the use for each file system in this way, it becomes an obstacle for the IC card issuer to operate the entire file system flexibly.

そこで、個々のサービス提供元事業者も、個別鍵の変更により自分自身のファイル・システムの利用を停止することができるが、個別鍵を元に戻しただけでは、該当するメモリ領域の利用を再開することはできず、ICカード発行者の承認若しくは承諾を得て、集合鍵とともに更新し、新たな認証鍵を得なければ利用を再開することはできないようにした。   Therefore, each service provider can also stop using its own file system by changing the individual key. However, if the individual key is restored, the corresponding memory area is resumed. It is not possible to do so, and with the approval or consent of the IC card issuer, it is updated together with the collective key so that the use cannot be resumed without obtaining a new authentication key.

これによって、事業者毎に区々にアクセス権限をコントロールするという事態を回避しながら、全ファイル・システムをより柔軟なICカードの運用を図ることができる。   As a result, it is possible to more flexibly operate the IC card for all file systems while avoiding the situation where access authority is controlled for each business operator.

図16には、ICカードにおける個別のファイル・システムへのアクセスを制御する仕組みを図解している。図示の構成によれば、図15に示した場合とは相違し、鍵管理部を備えている。鍵管理部は、ICカード発行者の集合鍵の登録及び変更と、ファイル・システム毎の個別鍵の登録及び変更を行なう。さらに鍵管理部は、個別鍵の変更と集合鍵の変更履歴を管理しており、個別のサービス提供元事業者は、ICカード発行者から認められた場合のみ、一旦利用を停止したファイル・システムの利用を再開することができるようになっている。   FIG. 16 illustrates a mechanism for controlling access to individual file systems in an IC card. According to the illustrated configuration, unlike the case shown in FIG. 15, the key management unit is provided. The key management unit registers and changes the collective key of the IC card issuer and registers and changes individual keys for each file system. In addition, the key management unit manages the change of individual keys and the change history of aggregate keys, and the individual service provider is a file system that has been suspended once it has been approved by the IC card issuer. Can be resumed.

認証鍵生成部は、ICカード発行者の集合鍵KUと、ファイル・システムが割り当てられた各サービス提供元事業者iの個別鍵KP(i)を入力し、所定の関数fを用いてこれら2つの鍵に所定の演算処理を施して認証鍵KAUTH(i)=f(KU,KP(i))を生成し、これをファイル・システムへの個別のアクセス鍵とする。 Authentication key generation unit, a set key K U of the IC card issuer, type the individual key K P (i) of each service provider company i the file system assigned using a predetermined function f These two keys are subjected to predetermined arithmetic processing to generate an authentication key K AUTH (i) = f (K U , K P (i) ), which is used as an individual access key to the file system.

アクセス制御部は、外部からICカード内のファイル・システムへアクセスが行なわれたときに、自身が管理する認証鍵KAUTHとアクセス要求元から入力された認証鍵KAUTH’を照合する。あるいは、アクセス要求元から集合鍵KU’と個別鍵KP(i) ’が入力された場合には、関数fを用いて実際に認証鍵KAUTH’を生成してみて照合を行なう。 When an access to the file system in the IC card is performed from the outside, the access control unit collates the authentication key K AUTH managed by itself with the authentication key K AUTH ′ input from the access request source. Alternatively, when the collective key K U ′ and the individual key K P (i) ′ are input from the access request source, verification is performed by actually generating the authentication key K AUTH ′ using the function f.

ここで、ICカード発行者が集合鍵をKU1からKU2に変更した場合、すべてのファイル・システムの認証鍵が変わってしまうため、全ファイル・システムの利用を停止することになる。また、元の集合鍵KU1に戻した場合には、すべてのファイル・システムについての認証鍵が元通りとなるため、システム全体として利用が再開される。利用停止や利用再開などのモードはモード管理部(前述)により管理される。 Here, when the IC card issuer changes the collective key from KU1 to KU2 , the authentication keys of all the file systems are changed, and the use of all the file systems is stopped. Further, when the original aggregate key KU1 is restored, the authentication keys for all the file systems are restored, and the use of the entire system is resumed. Modes such as use suspension and use resumption are managed by the mode management unit (described above).

一方、j番目のファイル・システムが割り当てられたサービス提供元事業者が個別鍵をKP(j)1からKP(j)2に変更した場合には、このファイル・システムのみ認証鍵が変更になることから、ファイル・システム毎に個別に利用を停止することができる。利用停止や利用再開などのモードはモード管理部(前述)により管理される。 On the other hand, if the service provider to whom the jth file system is assigned changes the individual key from K P (j) 1 to K P (j) 2 , the authentication key is changed only for this file system. Therefore, the use can be stopped individually for each file system. Modes such as use suspension and use resumption are managed by the mode management unit (described above).

鍵管理部は、集合鍵とそれぞれの個別鍵の管理を行なっているが、j番目の個別鍵が変更されたという状態を保持する。この状態は、例えばメモリ領域の実体である不揮発性メモリ(フラッシュ・メモリ22)に記録される。   The key management unit manages the aggregate key and each individual key, but retains the state that the jth individual key has been changed. This state is recorded in, for example, a nonvolatile memory (flash memory 22) that is the substance of the memory area.

アクセス制御部は、認証鍵を以ってアクセス要求が行なわれた場合に、集合鍵及び個別鍵の変更履歴を参照する。そして、個別鍵のみが変更したという状態では、ファイル・システムの利用再開がICカード発行者の承認なしに行なわれたことを検出することができる。そこで、アクセス制御部は、該当するファイル・システムへのアクセスを許可しない。すなわち、サービス提供元事業者が個別鍵をKP(j)1からKP(j)2に変更した後、ICカード発行者の承認なしに元の個別鍵KP(j)1に戻しても、個別鍵のみが変更した状態に変わりないので、ファイル・システムの利用は再開されない。 The access control unit refers to the change history of the aggregate key and the individual key when an access request is made using the authentication key. When only the individual key is changed, it can be detected that the resumption of use of the file system has been performed without the approval of the IC card issuer. Therefore, the access control unit does not permit access to the corresponding file system. In other words, after the service provider changes the individual key from K P (j) 1 to K P (j) 2 , it returns to the original individual key K P (j) 1 without the approval of the IC card issuer. However, since only the individual key is changed, the use of the file system is not resumed.

ここで、サービス提供元事業者がICカード発行者に対し、個別鍵をKP(j)1からKP(j)2に変更してファイル・システムの利用を停止したが、利用を再開したい旨の届出を行なう。ICカード発行者は、この届出を承認すると、自らも集合鍵をKU1からKU2に変更する。 Here, the service provider changed the individual key from K P (j) 1 to K P (j) 2 for the IC card issuer and stopped using the file system. Report to that effect. When the IC card issuer approves the notification, the IC card issuer changes the collective key from KU1 to KU2 .

鍵管理部は、新規の集合鍵KU2並びに個別鍵KP(j)2を受容するとともに、集合鍵も変更されたという履歴を保持する(あるいは、個別鍵のみが変更されたという状態をリセットする)。 The key management unit accepts the new aggregate key KU2 and individual key K P (j) 2 and holds a history that the aggregate key has also been changed (or resets the state that only the individual key has been changed) To do).

これらの鍵の変更により、ファイル・システムへの新たな認証鍵KAUTH(j)2=f(KU2,KP(j)2)が生成される。 By changing these keys, a new authentication key K AUTH (j) 2 = f (K U2 , K P (j) 2 ) for the file system is generated.

アクセス制御部は、認証鍵を以ってアクセス要求が行なわれた場合には、集合鍵及び個別鍵の変更履歴を参照し、集合鍵と個別鍵の双方が変更された(若しくは個別鍵のみが変更されたという状態がキャンセルされた)ことを以って、ファイル・システムの利用再開がICカード発行者から承認されたことを検出することができる。そして、ファイル・システムへの新たな認証鍵KAUTH(j)2=f(KU2,KP(j)2)を以って、ファイル・システムへのアクセスに対し、上述と同様の認証処理を実行する。 When an access request is made with an authentication key, the access control unit refers to the change history of the aggregate key and the individual key, and both the aggregate key and the individual key are changed (or only the individual key is It is possible to detect that the resumption of the use of the file system has been approved by the IC card issuer. Then, with the new authentication key K AUTH (j) 2 = f (K U2 , K P (j) 2 ) for the file system, the same authentication process as described above for the access to the file system Execute.

なお、上述したような鍵の変更処理は、セキュリティの観点から有線インターフェース経由でのみ実行するように制限してもよい。但し、この場合であっても、個別鍵を変更すると、有線インターフェースだけでなく、無線、非接触ICカードなどいずれのインターフェースからも認証できなくなる。   Note that the key change processing as described above may be limited to be executed only via a wired interface from the viewpoint of security. However, even in this case, if the individual key is changed, authentication cannot be performed from any interface such as a wireless or non-contact IC card as well as a wired interface.

図17には、上述したような鍵管理に基づくICカードのファイル・システムの運用手順を示している。図示の例では、サービス提供元事業者がメモリ領域からファイル・システムを分割して得た直後の場面を想定している。   FIG. 17 shows the operation procedure of the IC card file system based on the key management as described above. In the illustrated example, it is assumed that the service provider has just obtained a file system divided from the memory area.

初期状態では、ICカード内のいずれのファイル・システムも利用できない。   In the initial state, any file system in the IC card cannot be used.

サービス提供元事業者はICカードに対し、例えば有線インターフェースを介してアクセスし、鍵管理部に、自己のファイル・システムの個別鍵KP1を変更(設定)する。 The service provider, for example, accesses the IC card via a wired interface, for example, and changes (sets) the individual key K P1 of its own file system in the key management unit.

ICカード発行者は、サービス提供元事業者によるファイル・システムの利用を認証すると、自らも集合鍵KU1を変更(設定)する。この結果、ファイル・システムの利用が可能となり、アクセス制御部は当該ファイル・システムに対するアクセスの認証を開始する。 When the IC card issuer authenticates the use of the file system by the service provider, the IC card issuer changes (sets) the collective key KU1 . As a result, the file system can be used, and the access control unit starts authenticating access to the file system.

また、図18には、ICカード発行者が全ファイル・システムの利用を停止する運用手順を示している。   FIG. 18 shows an operation procedure in which the IC card issuer stops using the entire file system.

この運用手順の前提として、ICカード内のすべてのファイル・システムは通常利用可能で、アクセス制御部は各ファイル・システムへのアクセスに対し認証を行なう。   As a premise of this operation procedure, all the file systems in the IC card can be normally used, and the access control unit authenticates the access to each file system.

ここで、ICカード発行者が集合鍵KU1をKU2に変更する。この結果、すべてのファイル・システムの認証鍵が変更されてしまうことになるので、すべてのファイル・システムが通常利用することができない状態、すなわちICカード自体の利用が停止された状態となる。 Here, the IC card issuer changes the collective key KU1 to KU2 . As a result, the authentication keys of all the file systems are changed, so that all the file systems cannot be normally used, that is, the use of the IC card itself is stopped.

その後、ICカード発行者が集合鍵を元のKU1に戻す。この結果、すべてのファイル・システムの認証鍵が元通りとなるので、すべてのファイル・システムが通常利用することができる状態、すなわちICカード自体の利用が再開されたことになる。 Then, IC card issuer returns the set key to the original K U1. As a result, since the authentication keys of all the file systems are restored, the state where all the file systems can be normally used, that is, the use of the IC card itself is resumed.

また、図19には、サービス提供元事業者が個別にファイル・システムの利用を停止する運用手順を示している。   FIG. 19 shows an operation procedure for the service provider to individually stop using the file system.

この運用手順の前提として、ICカード内のすべてのファイル・システムは通常利用可能で、アクセス制御部は各ファイル・システムへのアクセスに対し認証を行なう。   As a premise of this operation procedure, all the file systems in the IC card can be normally used, and the access control unit authenticates the access to each file system.

j番目のファイル・システムが割り当てられたサービス提供元事業者が個別鍵をKP(j)1からKP(j)2に変更した場合には、このファイル・システムのみ認証鍵が変更になり、個別にファイル・システムの利用が停止される。個別鍵を変更しない他のファイル・システムは通常の利用が可能なままである。 When the service provider to which the jth file system is assigned changes the individual key from K P (j) 1 to K P (j) 2 , the authentication key is changed only for this file system. Individually, the use of the file system is stopped. Other file systems that do not change the individual key remain available for normal use.

このとき、鍵管理部は、j番目の個別鍵が変更されたという状態を保持する。そして、アクセス制御部は、認証鍵を以ってアクセス要求が行なわれた場合に、集合鍵及び個別鍵の変更履歴を参照し、個別鍵のみが変更したという状態では、認証動作を行なわない。このため、ICカード発行者の承認なしに元の個別鍵KP(j)1に戻しても、個別鍵のみが変更した状態に変わりないので、ファイル・システムの利用は再開されない。 At this time, the key management unit holds a state that the j-th individual key has been changed. Then, when an access request is made with an authentication key, the access control unit refers to the change history of the collective key and the individual key, and does not perform the authentication operation when only the individual key has been changed. For this reason, even if it is returned to the original individual key K P (j) 1 without the approval of the IC card issuer, the use of the file system is not resumed because only the individual key is not changed.

ここで、サービス提供元事業者がICカード発行者に対し、個別鍵をKP(j)1からKP(j)2に変更してファイル・システムの利用を停止したが、利用を際司会したい旨の届出を行なう。ICカード発行者は、この届出を承認すると、自らも集合鍵をKU1からKU2に変更する。 Here, the service provider changed the individual key from K P (j) 1 to K P (j) 2 for the IC card issuer and stopped using the file system. Make a notification to the effect. When the IC card issuer approves the notification, the IC card issuer changes the collective key from KU1 to KU2 .

鍵管理部は、新規の集合鍵KU2並びに個別鍵KP(j)2を受容するとともに、集合鍵も変更されたという履歴を保持する。そして、アクセス管理部は、集合鍵と個別鍵の双方が変更されたことを以って、ファイル・システムの利用再開がICカード発行者から承認されたことを検出し、ファイル・システムに対する認証動作を行なうようになる。この結果、各ファイル・システムが通常利用できることになり、利用が再開される。 The key management unit accepts the new aggregate key KU2 and the individual key K P (j) 2 and holds a history that the aggregate key has also been changed. Then, the access management unit detects that the resumption of use of the file system has been approved by the IC card issuer by changing both the collective key and the individual key, and performs an authentication operation for the file system. Will come to do. As a result, each file system can be normally used, and the use is resumed.

以上、特定の実施形態を参照しながら、本発明について詳解してきた。しかしながら、本発明の要旨を逸脱しない範囲で当業者が該実施形態の修正や代用を成し得ることは自明である。   The present invention has been described in detail above with reference to specific embodiments. However, it is obvious that those skilled in the art can make modifications and substitutions of the embodiment without departing from the gist of the present invention.

本明細書では、ICカード若しくはICチップに内蔵されるメモリ上に複数のファイル・システムが展開されているというファイル空間を例にとり、ファイル・システム毎に権限者が異なる場合において、全ファイル・システムの利用停止及び利用再開と、個別のファイル・システムの利用停止及び利用再開を好適に管理する実施形態について説明してきたが、本発明の要旨はこれに限定されるものではない。例えば、ICカードやICチップ以外のメモリ装置上で同種のファイル・システムへのアクセス管理を行なう場合に、本発明を適用し同様の作用効果を得ることができる。   In this specification, a file space in which a plurality of file systems are developed on a memory built in an IC card or an IC chip is taken as an example, and in the case where the authority is different for each file system, the entire file system Although the embodiment for suitably managing the suspension and resumption of use and the suspension and resumption of use of individual file systems has been described, the gist of the present invention is not limited to this. For example, when performing access management to the same type of file system on a memory device other than an IC card or IC chip, the present invention can be applied to obtain the same operation and effect.

要するに、例示という形態で本発明を開示してきたのであり、本明細書の記載内容を限定的に解釈するべきではない。本発明の要旨を判断するためには、冒頭に記載した特許請求の範囲の欄を参酌すべきである。   In short, the present invention has been disclosed in the form of exemplification, and the description of the present specification should not be interpreted in a limited manner. In order to determine the gist of the present invention, the claims section described at the beginning should be considered.

図1は、本発明を適用可能な非接触ICカード通信システムの構成を模式的に示した図である。FIG. 1 is a diagram schematically showing a configuration of a contactless IC card communication system to which the present invention can be applied. 図2は、カード・リーダ/ライタ1の構成例を示した図である。FIG. 2 is a diagram showing a configuration example of the card reader / writer 1. 図3は、ICカード2の構成例を示した図である。FIG. 3 is a diagram illustrating a configuration example of the IC card 2. 図4は、ICカードを用いて実現される、電子マネーや電子チケット、その他の価値情報を運用するサービス提供システムの全体的構成を模式的に示した図である。FIG. 4 is a diagram schematically showing the overall configuration of a service providing system that uses electronic money, electronic tickets, and other value information realized using an IC card. 図5は、元のカード発行者が自らのファイル・システムのみを管理しているメモリ領域の状態を示した図である。FIG. 5 is a diagram showing the state of the memory area in which the original card issuer manages only its own file system. 図6は、カード発行者が自らのファイル・システムの空き領域の内で、ある範囲のメモリを領域管理者に貸与(又は譲渡)することが許可できることを示した図である。FIG. 6 is a diagram showing that the card issuer can permit a certain range of memory to be lent (or transferred) to the area manager within the free area of his file system. 図7は、他のサービス提供元事業者が、カード発行者から許可された領域においてメモリ領域を分割し、新たなファイル・システムを生成した状態を示した図である。FIG. 7 is a diagram showing a state in which another service provider company divides the memory area in the area permitted by the card issuer and generates a new file system. 図8は、共通領域管理者が、カード発行者から許可された領域において、共通領域のシステム・コードSC0でメモリを分割した状態を示した図である。FIG. 8 is a diagram illustrating a state where the memory is divided by the common area system code SC0 in the area permitted by the card issuer by the common area manager. 図9は、ICカードのメモリ領域の分割操作を繰り返すことにより複数のファイル・システムが共存する構造を示した図である。FIG. 9 is a diagram showing a structure in which a plurality of file systems coexist by repeating the division operation of the memory area of the IC card. 図10は、ファイル・システム内のデータ構造例を模式的に示した図である。FIG. 10 is a diagram schematically showing an example of the data structure in the file system. 図11は、ファイル・システムの基本構成を示した図である。FIG. 11 is a diagram showing the basic configuration of the file system. 図12は、ICカードのメモリ空間においてエリアが階層化されている様子を示した図である。FIG. 12 is a diagram showing a state in which areas are hierarchized in the memory space of the IC card. 図13は、内部メモリに複数のファイル・システムを設けることができるICカード内のファームウェアの機能構成を模式的に示した図である。FIG. 13 is a diagram schematically illustrating a functional configuration of firmware in an IC card in which a plurality of file systems can be provided in the internal memory. 図14は、ファイル・システムへのアクセスを制御する認証鍵を生成するための仕組みを説明するための図である。FIG. 14 is a diagram for explaining a mechanism for generating an authentication key for controlling access to the file system. 図15は、ICカードにおける個別のファイル・システムへのアクセスを制御する仕組みを説明するための図である。FIG. 15 is a diagram for explaining a mechanism for controlling access to individual file systems in an IC card. 図16は、ICカードにおける個別のファイル・システムへのアクセスを制御する仕組みを説明するための図である。FIG. 16 is a diagram for explaining a mechanism for controlling access to individual file systems in an IC card. 図17は、ICカードのファイル・システムの運用手順を示したシーケンス図である。FIG. 17 is a sequence diagram showing the operation procedure of the IC card file system. 図18は、ICカードのファイル・システムの運用手順を示したシーケンス図である。FIG. 18 is a sequence diagram showing the operation procedure of the IC card file system. 図19は、ICカードのファイル・システムの運用手順を示したシーケンス図である。FIG. 19 is a sequence diagram showing the operation procedure of the IC card file system.

符号の説明Explanation of symbols

1…カード・リーダ/ライタ
2…ICカード
3…コントローラ
21…ICチップ・モジュール
23…変調回路
25…復調回路
27…アンテナ
51…ICチップ・モジュール
52…コンデンサ
53…アンテナ
61…RFインターフェース部
62…BPSK復調回路
63…PLL部
64…演算部
65…ROM
66…EEPROM
67…RAM
68…BPSK変調回路
81…ASK復調部
82…電圧レギュレータ
83…発振回路
84…ASK変調部
91…シーケンサ
92…暗号/復号部
93…パリティ演算部
111…発行者用通信装置
112…運用者用通信装置
113…製造者用通信装置
114…記憶領域分割登録装置
115…運用ファイル登録装置
116…ICカード
117…ネットワーク
121…カード発行者
122…カード記憶領域運用者
123…装置製造者
124…カード記憶領域使用者 DESCRIPTION OF SYMBOLS 1 ... Card reader / writer 2 ... IC card 3 ... Controller 21 ... IC chip module 23 ... Modulation circuit 25 ... Demodulation circuit 27 ... Antenna 51 ... IC chip module 52 ... Capacitor 53 ... Antenna 61 ... RF interface part 62 ... BPSK demodulating circuit 63 ... PLL section 64 ... computing section 65 ... ROM
66… EEPROM
67 ... RAM
68 ... BPSK modulation circuit 81 ... ASK demodulation unit 82 ... Voltage regulator 83 ... oscillation circuit 84 ... ASK modulation unit 91 ... sequencer 92 ... encryption / decryption unit 93 ... parity calculation unit 111 ... issuer communication device 112 ... operator communication Device 113 ... Manufacturer communication device 114 ... Storage area division registration device 115 ... Operation file registration device 116 ... IC card 117 ... Network 121 ... Card issuer 122 ... Card storage area operator 123 ... Device manufacturer 124 ... Card storage area User

Claims (6)

メモリ空間を備え、前記メモリ空間を1以上のファイル・システムに分割して管理する情報管理装置であって、
全ファイル・システムについての集合鍵の登録及び変更と、ファイル・システム毎の個別鍵の登録及び変更を行なうとともに、集合鍵及び各個別鍵の変更履歴を管理する鍵管理部と、
集合鍵とファイル・システムの個別鍵の組み合わせに基づいてファイル・システムについての認証鍵を生成する認証鍵生成部と、
ファイル・システムへの認証要求に応答して、集合鍵及び当該ファイル・システムの個別鍵の変更履歴を参照し、集合鍵のみが変更された場合には認証処理を行ない、ファイル・システムを通常利用可能な状態にするアクセス制御部と、
を具備することを特徴とする情報管理装置。 An information management device comprising a memory space and managing the memory space by dividing it into one or more file systems,
A key management unit for registering and changing the collective key for all file systems, registering and changing the individual key for each file system, and managing the change history of the collective key and each individual key;
An authentication key generator for generating an authentication key for the file system based on a combination of the collective key and the individual key of the file system;
In response to an authentication request to the file system, refer to the change history of the collective key and the individual key of the file system. If only the collective key is changed, authentication processing is performed and the file system is normally used. An access control unit to enable it;
An information management apparatus comprising: メモリ空間を備え、前記メモリ空間を1以上のファイル・システムに分割して管理する情報管理装置であって、
全ファイル・システムについての集合鍵の登録及び変更と、ファイル・システム毎の個別鍵の登録及び変更を行なうとともに、集合鍵及び各個別鍵の変更履歴を管理する鍵管理部と、
集合鍵とファイル・システムの個別鍵の組み合わせに基づいてファイル・システムについての認証鍵を生成する認証鍵生成部と、
ファイル・システムへの認証要求に応答して、集合鍵及び当該ファイル・システムの個別鍵の変更履歴を参照し、個別鍵のみが変更された場合には認証処理を停止し、当該ファイル・システムを通常利用不可能な状態にするアクセス制御部と、
を具備することを特徴とする情報管理装置。 An information management device comprising a memory space and managing the memory space by dividing it into one or more file systems,
A key management unit for registering and changing the collective key for all file systems, registering and changing the individual key for each file system, and managing the change history of the collective key and each individual key;
An authentication key generator for generating an authentication key for the file system based on a combination of the collective key and the individual key of the file system;
In response to the authentication request to the file system, the change history of the collective key and the individual key of the file system is referred to. When only the individual key is changed, the authentication process is stopped and the file system is An access control unit that is normally unavailable,
An information management apparatus comprising: 前記アクセス制御部は、個別鍵及び集合鍵がともに変更された場合には認証処理を再開し、該ファイル・システムを通常利用可能な状態にする、
ことを特徴とする請求項2に記載の情報管理装置。 The access control unit resumes the authentication process when both the individual key and the collective key are changed, and makes the file system normally available.
The information management apparatus according to claim 2. メモリ空間を備えたコンピュータ上で、前記メモリ空間を1以上のファイル・システムに分割して管理する情報管理方法であって、An information management method for dividing and managing the memory space into one or more file systems on a computer having a memory space,
前記コンピュータが備える鍵管理手段が、全ファイル・システムについての集合鍵の登録及び変更と、ファイル・システム毎の個別鍵の登録及び変更を行なうとともに、集合鍵及び各個別鍵の変更履歴を管理する鍵管理ステップと、The key management means provided in the computer registers and changes the collective key for all file systems, registers and changes the individual keys for each file system, and manages the collective key and the change history of each individual key. Key management steps;
前記コンピュータが備える認証鍵生成手段が、集合鍵とファイル・システムの個別鍵の組み合わせに基づいてファイル・システムについての認証鍵を生成する認証鍵生成ステップと、An authentication key generation means for generating an authentication key for the file system based on a combination of the collective key and the individual key of the file system;
前記コンピュータが備えるアクセス制御手段が、ファイル・システムへの認証要求に応答して、集合鍵及び当該ファイル・システムの個別鍵の変更履歴を参照し、集合鍵のみが変更された場合には認証処理を行ない、ファイル・システムを通常利用可能な状態にするアクセス制御ステップと、In response to the authentication request to the file system, the access control means provided in the computer refers to the change history of the collective key and the individual key of the file system, and if only the collective key is changed, an authentication process is performed. An access control step to make the file system normally available;
を有することを特徴とする情報管理方法。An information management method characterized by comprising: メモリ空間を備えたコンピュータ上で、前記メモリ空間を1以上のファイル・システムに分割して管理する情報管理方法であって、
前記コンピュータが備える鍵管理手段が、全ファイル・システムについての集合鍵の登録及び変更と、ファイル・システム毎の個別鍵の登録及び変更を行なうとともに、集合鍵及び各個別鍵の変更履歴を管理する鍵管理ステップと、
前記コンピュータが備える認証鍵生成手段が、集合鍵とファイル・システムの個別鍵の組み合わせに基づいてファイル・システムについての認証鍵を生成する認証鍵生成ステップと、
前記コンピュータが備えるアクセス制御手段が、ファイル・システムへの認証要求に応答して、集合鍵及び当該ファイル・システムの個別鍵の変更履歴を参照し、個別鍵のみが変更された場合には認証処理を停止し、当該ファイル・システムを通常利用不可能な状態にするアクセス制御ステップと、
有することを特徴とする情報管理方法。 An information management method for dividing and managing the memory space into one or more file systems on a computer having a memory space,
The key management means provided in the computer registers and changes the collective key for all file systems, registers and changes the individual keys for each file system, and manages the collective key and the change history of each individual key. Key management steps;
An authentication key generation means for generating an authentication key for the file system based on a combination of the collective key and the individual key of the file system;
In response to an authentication request to the file system, the access control means provided in the computer refers to the collective key and the change history of the individual key of the file system, and if only the individual key is changed, an authentication process is performed. And an access control step that makes the file system normally unavailable ,
An information management method characterized by comprising: 前記アクセス制御ステップでは、個別鍵及び集合鍵がともに変更された場合には認証処理を再開し、該ファイル・システムを通常利用可能な状態にする、
ことを特徴とする請求項5に記載の情報管理方法。
In the access control step, when both the individual key and the collective key are changed, the authentication process is resumed, and the file system is brought into a normally usable state.
The information management method according to claim 5, wherein:
JP2004175523A 2004-06-14 2004-06-14 Information management apparatus and information management method Expired - Fee Related JP4576894B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004175523A JP4576894B2 (en) 2004-06-14 2004-06-14 Information management apparatus and information management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004175523A JP4576894B2 (en) 2004-06-14 2004-06-14 Information management apparatus and information management method

Publications (2)

Publication Number Publication Date
JP2005352962A JP2005352962A (en) 2005-12-22
JP4576894B2 true JP4576894B2 (en) 2010-11-10

Family

ID=35587374

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004175523A Expired - Fee Related JP4576894B2 (en) 2004-06-14 2004-06-14 Information management apparatus and information management method

Country Status (1)

Country Link
JP (1) JP4576894B2 (en)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8601283B2 (en) 2004-12-21 2013-12-03 Sandisk Technologies Inc. Method for versatile content control with partitioning
JP2007206959A (en) * 2006-02-01 2007-08-16 Sony Corp Ic card, information processing system, integrated circuit chip, and data processor
US8613103B2 (en) 2006-07-07 2013-12-17 Sandisk Technologies Inc. Content control method using versatile control structure
US8639939B2 (en) 2006-07-07 2014-01-28 Sandisk Technologies Inc. Control method using identity objects
JP2009543211A (en) * 2006-07-07 2009-12-03 サンディスク コーポレイション Content management system and method using a generic management structure
FR2906960B1 (en) * 2006-10-05 2009-04-17 Radiotelephone Sfr METHOD FOR THE CLOSED DISPOSAL OF AN ELECTRONIC SERVICE.
US9104618B2 (en) 2008-12-18 2015-08-11 Sandisk Technologies Inc. Managing access to an address range in a storage device
JP5541275B2 (en) * 2011-12-28 2014-07-09 富士通株式会社 Information processing apparatus and unauthorized access prevention method
JP6023689B2 (en) * 2013-11-12 2016-11-09 日本電信電話株式会社 Electronic device, authentication method, program
JP6789906B2 (en) * 2017-09-20 2020-11-25 キオクシア株式会社 Data storage device

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0744671A (en) * 1993-07-28 1995-02-14 Tec Corp Ic card
JP2001298159A (en) * 2000-04-14 2001-10-26 Matsushita Electric Ind Co Ltd Semiconductor device and means for selecting circuit function
JP2005196409A (en) * 2004-01-06 2005-07-21 Sony Corp Data communication device and memory management method for data communication device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0744671A (en) * 1993-07-28 1995-02-14 Tec Corp Ic card
JP2001298159A (en) * 2000-04-14 2001-10-26 Matsushita Electric Ind Co Ltd Semiconductor device and means for selecting circuit function
JP2005196409A (en) * 2004-01-06 2005-07-21 Sony Corp Data communication device and memory management method for data communication device

Also Published As

Publication number Publication date
JP2005352962A (en) 2005-12-22

Similar Documents

Publication Publication Date Title
JP4428055B2 (en) Data communication apparatus and memory management method for data communication apparatus
JP4051510B2 (en) Data storage device and data storage method
US7240846B2 (en) IC chip and information processing terminal
US20070271433A1 (en) Information Management Device and Information Management Method
JP4029234B2 (en) Information processing apparatus and information processing method
US7516479B2 (en) Data communicating apparatus and method for managing memory of data communicating apparatus
US20060218196A1 (en) Information management device and information management method
JP4576894B2 (en) Information management apparatus and information management method
EP1376371A1 (en) Data storage apparatus
JP2005134953A (en) Unset ic card, ic card issue system, and method for issuing ic card application
WO2005103917A1 (en) Data communication system, data communication method, and data communication apparatus
JP4599899B2 (en) Information management apparatus and information management method
JP2005196409A (en) Data communication device and memory management method for data communication device
JP4349130B2 (en) Data communication apparatus and memory management method for data communication apparatus
JP4618259B2 (en) Data storage device and data storage method
JP2005311877A (en) Data communication system, data communication method and data communication unit
JP2005196410A (en) Data communication device and memory management method for data communication device
JP2005352963A (en) Information managing apparatus and control method therefor
KR20070022737A (en) Information management device and information management method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070330

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100420

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100517

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100727

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100809

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130903

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130903

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees