本発明は、ICカードなどのセキュアモジュールに対するリーダ・ライタ(以下、「RW」と略記する)のアクセス制御方法を実現するプログラムと、その方法の実施に用いる装置及びセキュアモジュールに関し、セキュアモジュールの情報が不正に読み出されることを防止するものである。
近年、ICカードは、電子決済用カードや定期乗車券、イベント用チケット、クレジットカード等として広く利用されている。最近では、微細化技術の向上とも相俟って、比較的大容量の記憶空間を持つICカードが作られており、このようなICカードは、カードサービスを実行する複数のカードアプリケーション(以下、アプリケーションを「アプリ」と略称する)を格納することにより、一枚で複数の用途に対応するマルチアプリカードとして使用することができる。
ICカードの通信方式には、ICカードの電気的接点にRWを接触して記録情報の読み書きを行う接触通信と、無線通信で情報をやり取りし、RWとの物理的な接触を必要としない非接触通信との二通りがある。最近は、接触通信及び非接触通信の両方が可能なICカードを携帯端末装置に搭載し、この携帯端末を電子財布や定期券の替わりに使用することも行われている。
図1は、非接触通信を行うICカード等のセキュアモジュール20とRW10との構成を模式的に示している。セキュアモジュール(SM)20は、非接触通信を行うためのSMローカル無線通信手段21と、複数のカードアプリ23と、セキュアモジュール20の動作を制御する制御部22とを備えており、また、RW10は、SMローカル無線通信手段21との間で非接触通信を行うRWローカル無線通信手段11を備えている。
待機中のRW20は、通信領域へのセキュアモジュール20の進入を検知するため、RWローカル無線通信手段11から周期的にリクエスト信号を送出する。ユーザがセキュアモジュール20をRW10に翳すと、RW10の通信領域に進入したセキュアモジュール20は、SMローカル無線通信手段21を通じてリクエスト信号に応答し、RWローカル無線通信手段11とSMローカル無線通信手段21との非接触通信が開始される。次いでRW10は、カードアプリ23を選択し、選択されたカードアプリ23とRW10との間でサービス実行の処理が進められる。
ところで、非接触通信では、接触通信と違って、RW10の通信領域に複数のセキュアモジュール20が入り込む可能性があり、RW10に対して複数のセキュアモジュール20が同時に通信した場合には、カードを識別して通信しなくてはならない。そのため、非接触型で近接型のICカードの国際規格を定めるISO14443−3では、複数のセキュアモジュール20が同時に存在する場合の処理手順として、衝突防止(アンチコリジョン)手順が規定されている。(下記非特許文献1参照)。
図2は、B型カードにおける衝突防止手順と、ISO7816−4で規定されたカードアプリ選択手順とを示している。RWは、通信領域へのICカードの進入を検知するためにリクエストコマンド(REQB)を周期的に送信する。RWの通信領域に進入したICカードは、リクエストコマンド(REQB)を受信すると、このREQBに対して、自分の識別番号(PUPI)を含むレスポンス(ATQB)をRWに返す。RW側の装置は、応答したICカードにカード識別子(CID)を設定し、CIDの情報を含むATTRIBコマンドにPUPIを付して送信する。ICカードは、ATTRIBコマンドに自分の識別番号(PUPI)が含まれている場合にアクティブ(活性状態)になってレスポンス(ATQB)をRWに返す。以後、ICカードは、自分に設定されたCIDが付されているコマンドのみに応答する。
RWは、カードアプリを識別番号(AID)で指定するSELECTfileをICカードに送信し、ICカードは、選択されたカードアプリを起動してレスポンス(ATQB)をRWに返す。
「セキュリティICカードの基礎と応用 −eビジネスへのパスポート−」著者:織田博靖・鮎川幸司・苅部浩、編者:カードマーケティング研究会、発行日:2000年4月27日、発行:(株)シーメディア
しかし、この衝突防止やカードアプリ選択の手順によると、ICカードに格納されているカードアプリが、未だ認証していないRWに知られることになり、ICカードのユーザのプライバシーが侵され、思わぬ被害に遭う虞がある。
また、近い将来には、電子財布として機能するホルダーにチップ形状のセキュアモジュールを複数枚挿入し、このホルダーを各種のRWに翳して、セキュアモジュールを電子財布に挿入したまま、各種サービスを利用する形態が考えられるが、この場合にも、衝突防止手順やカードアプリ選択手順を通じて、電子財布に挿入されたセキュアモジュールの数や、各セキュアモジュールに格納されているカードアプリが、未だ認証していないRWに知られることになり、プライバシーの侵害が懸念される。
本発明は、こうした従来の問題点を解決するものであり、セキュアモジュールに関する情報の不正読み出しを防ぐ方法を実現するプログラムと、その方法の実施に用いる装置(ホルダー)及びセキュアモジュールを提供することを目的としている。
そこで、本発明では、少なくとも1つのカードアプリを格納し、且つ、非接触通信手段を有するセキュアモジュールを1または複数個保持し、このセキュアモジュールのRWとの非接触通信を制御するセキュアモジュールホルダーの制御部の動作を規定するプログラムが、この制御部に、リーダ・ライタからセキュアモジュールに格納されたカードアプリへのアクセスが要求される前に、セキュアモジュールの非接触通信手段を無効化する手順と、リーダ・ライタのカードアプリ選択要求に応じて認証用のアプリを選択し、リーダ・ライタとの認証処理を実行する手順と、この認証処理が成功した場合に限り、RWがセキュアモジュールに格納されたカードアプリにアクセスすることを許可する手順とを実行させるように構成している。
また、認証処理が成功した場合の手順として、セキュアモジュールの無効化されている非接触通信手段を有効化し、RWが、この非接触通信手段を介してセキュアモジュールに格納されたカードアプリにアクセスすることを許可するようにしている。
また、認証処理が成功した場合の手順として、RWが、セキュアモジュールホルダーの非接触通信手段を介して、セキュアモジュールに格納されたカードアプリにアクセスすることを許可するようにしている。
そのため、認証処理が済んでいないRWは、このセキュアモジュールホルダーで保持されたセキュアモジュールの数や、セキュアモジュールに格納されたカードアプリを知ることができない。
また、本発明では、少なくとも1つのカードアプリを格納し、且つ、RWとの非接触通信手段を有するセキュアモジュールの制御部の動作を規定するプログラムが、この制御部に、RWのカードアプリ選択要求に応じて認証用のアプリを選択し、RWとの認証処理を実行する手順と、この認証処理が成功した場合に限り、RWがセキュアモジュールに格納されたカードアプリにアクセスすることを許可する手順とを実行させるように構成している。
そのため、認証処理が済んでいないRWは、このセキュアモジュールに格納されたカードアプリを知ることができない。
また、本発明では、少なくとも1つのカードアプリを格納し、且つ、非接触通信手段を有するセキュアモジュールを1または複数個保持し、このセキュアモジュールのRWとの非接触通信を制御するセキュアモジュールホルダーに、RWと非接触通信を行う非接触通信手段と、セキュアモジュールと接触通信を行う接触通信手段と、RWと認証処理を行うアクセス制御手段と、セキュアモジュールホルダーの動作を制御する制御手段とを設け、この制御手段が、RWからセキュアモジュールに格納されたカードアプリへのアクセスが要求される前にセキュアモジュールの非接触通信手段を無効化する手順と、RWのカードアプリ選択要求に応じて、アクセス制御手段にRWとの認証処理を行わせる手順と、この認証処理が成功した場合に限り、RWがセキュアモジュールに格納されたカードアプリにアクセスすることを許可する手順とを行うように構成している。
また、この制御手段が、RWからセキュアモジュールに格納されたカードアプリへのアクセスが要求される前に、セキュアモジュールの非接触通信手段を無効化する手順と、RWのカードアプリ選択要求に応じて、アクセス制御手段にRWとの認証処理を行わせる手順と、この認証処理が成功した場合に限り、セキュアモジュールの無効化されている非接触通信手段を有効化し、RWが、セキュアモジュールの非接触通信手段を介してセキュアモジュールに格納されたカードアプリにアクセスすることを許可する手順とを行うように構成している。
また、この制御手段が、RWからセキュアモジュールに格納されたカードアプリへのアクセスが要求される前に、セキュアモジュールの非接触通信手段を無効化する手順と、RWのカードアプリ選択要求に応じて、アクセス制御手段にRWとの認証処理を行わせる手順と、この認証処理が成功した場合に限り、RWが、セキュアモジュールホルダーの非接触通信手段及び接触通信手段を介して、セキュアモジュールに格納されたカードアプリにアクセスすることを許可する手順とを行うように構成している。
また、RWと認証処理を行うアクセス制御手段の認証アプリに、カードアプリとは別のアプリIDを設定し、または、カードアプリと同一のアプリIDを設定している。
このセキュアモジュールホルダーで保持されたセキュアモジュールの数や、セキュアモジュールに格納されたカードアプリについて、認証処理が済んでいないRWは知ることができない。
また、本発明では、少なくとも1つのカードアプリを格納したセキュアモジュールに、RWと非接触通信を行う非接触通信手段と、RWと認証処理を行うアクセス制御手段と、セキュアモジュールの動作を制御する制御手段とを設け、この制御手段が、RWのカードアプリ選択要求に応じてアクセス制御手段にRWとの認証処理を行わせる手順と、この認証処理が成功した場合に限り、RWがセキュアモジュールに格納されたカードアプリにアクセスすることを許可する手順とを行うように構成している。
また、RWと認証処理を行うアクセス制御手段の認証アプリに、カードアプリとは別のアプリIDを設定し、または、カードアプリと同一のアプリIDを設定している。
このセキュアモジュールに格納されたカードアプリについて、認証処理が済んでいないRWは知ることができない。
本発明のプログラムは、セキュアモジュールホルダーで保持されたセキュアモジュールの数や、セキュアモジュールに格納されたカードアプリが、認証していないRWによって知られることを防止でき、ユーザのプライバシーを守ることができる。
また、本発明のセキュアモジュールホルダーは、保持しているセキュアモジュールの数や、そのセキュアモジュールに格納されたカードアプリについて、認証していないRWに知られることを防ぐことができる。
また、本発明のセキュアモジュールは、格納しているカードアプリについて、認証していないRWに知られることを防ぐことができる。
[図1]従来のセキュアモジュールとRWとの構成を示すブロック図
[図2]衝突防止手順とアプリの選択手順とを示すフロー図
[図3]本発明の第1の実施形態におけるセキュアモジュールホルダーの構成を示すブロック図
[図4]本発明の第1の実施形態におけるセキュアモジュールホルダーのセキュアモジュールに対するRWのアクセス制限手順を示すフロー図
[図5]本発明の第2の実施形態におけるセキュアモジュールホルダーのセキュアモジュールに対するRWのアクセス制限手順を示すフロー図
[図6]本発明の第3の実施形態におけるセキュアモジュールホルダーのセキュアモジュールに対するRWのアクセス制限手順を示すフロー図
[図7]本発明の第4の実施形態におけるセキュアモジュールホルダーのセキュアモジュールに対するRWのアクセス制限手順を示すフロー図
[図8]本発明の第5の実施形態におけるセキュアモジュールホルダーのセキュアモジュールに対するRWのアクセス制限手順を示すフロー図
[図9]本発明の第6の実施形態におけるセキュアモジュールホルダー及びセキュアモジュールの構成を示すブロック図
[図10]本発明の第6の実施形態におけるアクセス制御情報のデータ構造を示す図
[図11]本発明の第6の実施形態におけるアクセス制御情報の設定手順を示すフロー図
[図12]本発明の第6の実施形態におけるアクセス制御情報の第2の設定手順を示すフロー図
[図13]本発明の第6の実施形態におけるアクセス制御情報を利用してセキュアモジュールホルダーのセキュアモジュールに対するRWのアクセス制限を行う手順を示すフロー図
[図14]本発明の第7の実施形態におけるセキュアモジュールの構成を示すブロック図
[図15]本発明の第7の実施形態におけるセキュアモジュールに対するRWのアクセス制限手順を示すフロー図
[図16]本発明の第7の実施形態におけるセキュアモジュールに対するRWの第2のアクセス制限手順を示すフロー図
以下の実施形態では、セキュアモジュールに設けられているローカル無線機能の無効化について記載するが、それ以外にBluetooh、WirelessLAN、LAN、無線公衆網など他の通信機能が設けられていた場合でも同様に適用することができる。
(第1の実施形態)
本発明の第1の実施形態では、電子財布(セキュアモジュールホルダー)に格納されたセキュアモジュールの情報が、認証の済んでいないRWに知られないようにする方法について説明する。
図3は、この方法を実施するセキュアモジュールホルダー(SH)30と、RW10との構成を示している。セキュアモジュールホルダー30は、RW10との非接触通信手段であるSHローカル無線通信手段31と、挿入されたセキュアモジュール20との接触通信手段であるSH通信手段33と、セキュアモジュール20のカードアプリ23にアクセスするRW10を認証するための認証用カードアプリが格納されたアクセス制御セキュアモジュール34と、セキュアモジュールホルダー30の動作を制御する制御部32とを備えている。また、セキュアモジュールホルダー30に挿入された1または複数のセキュアモジュール20は、非接触通信手段であるSMローカル無線通信手段21と、複数のカードアプリ(サービスアプリ)23と、セキュアモジュールホルダー30との接触通信手段であるSM通信手段24と、セキュアモジュール20の動作を制御する制御部22とを備えている。
また、RW10は、非接触通信手段であるRWローカル無線通信手段11と、セキュアモジュール20のサービスアプリ23を指定してサービスを実行するサービス実行部12とを備えている。
このRW10は、セキュアモジュールホルダー30のアクセス制御セキュアモジュール34に格納された認証用カードアプリと相互認証処理を行い、認証に成功した場合にのみセキュアモジュール20へのアクセスが可能になる。
アクセス制御セキュアモジュール34は、セキュアモジュールホルダー30に直接内蔵されていても、セキュアモジュールホルダー30に物理的に取り外し可能なモジュール(図3のセキュアモジュール20とは別のモジュールを想定)に格納されていてもよい。
また、セキュアモジュール20内に実装され、他のセキュアモジュールに格納されているカードアプリに対するアクセス制御を行うことも可能である。
さらに、アクセス制御セキュアモジュール34が取り外し可能な場合、ユーザが所有するセキュアモジュール20の種類に応じて異なるパターンのアクセス制御を行うことができる。つまり、アクセス制御セキュアモジュール34がセキュアモジュールホルダー30に予め内蔵されている場合は、セキュアモジュールホルダー30の出荷時に予めセキュアモジュールホルダー30のメーカーに依存して設定されたカードアプリしかアクセス制御をすることができないが、アクセス制御モジュール34が取り外し可能であれば、使用するカードアプリに合わせてセキュアモジュールホルダー30に装着するアクセス制御セキュアモジュール34を差し替えることが可能になる。
別のユースケースとしては、カードアプリが入った複数のモジュールをセキュアモジュールホルダー30に挿入したまま常に持ち歩いている場合に、アクセス制御セキュアモジュール34を2つ持っていて、例えば一方のアクセス制御モジュール34には、平日会社用(例えば、自宅の鍵、定期券、社員証、企業用クレジットカードの認証情報)のアクセス制御情報のみ入っていてその他のカードアプリは使えないようにし、他のアクセス制御モジュール34には、休日用(例えば、自宅の鍵(共通)、個人のクレジットカード、ビデオ会員証、別荘の鍵など、プライベートなカードアプリ)のアクセス制御情報のみ入っていて、その他のカードアプリは使えないようにし、ユーザの使用する環境に応じて両アクセス制御モジュール34を差し替えることが想定される。なお、セキュアモジュールホルダー30内にカレンダ機能を持っておき、自動的に、平日モードとか夜間・休日モードに切り替えても良い。
また、セキュアモジュールホルダー30に現在のモードをユーザに通知するための通知手段(具体的な部材の一例としては、LED,スピーカ、液晶画面が想定される)を設けても良い。例えばこの通知手段を用いて、モードの切り替えを光、音、色で通知したり、現在のモードを表示したりする。また、現在利用可能なカードアプリを表示しても良い。
セキュアモジュールホルダー30のアクセス制御セキュアモジュール34には、図10に示すように、各セキュアモジュール20のカードアプリ23のAIDに対応付けて、RW10の認証に用いるRW認証情報と認証方法とが設定されたアクセス制御情報が保持されており、認証用アプリは、アクセス制御情報のRW認証情報を用いてRW10を認証する。なお、アクセス制御情報のアクセス制御セキュアモジュール34への設定の仕方については、第6の実施形態で詳述する。
また、セキュアモジュールホルダー30に挿入されたセキュアモジュール20のSMローカル無線通信手段21は、セキュアモジュールホルダー30に挿入されている間、無効にされ(SHローカル無線通信手段31が優先する)、認証に成功したRW10がセキュアモジュール20と通信する場合には、RWローカル無線通信手段11、SHローカル無線通信手段31、SH通信手段33及びSM通信手段24を介して行われる。
こうした一連の動作は、セキュアモジュールホルダー30のCPUで構成される制御部32によって制御され、制御部32は、プログラムに従って、この制御動作を実行する。
図4は、この場合の処理手順を示している。図4では、処理の順序を括弧内の数字で示している(その他のフロー図でも同様である)。なお、ここでは、サービスアプリ23のAIDと、そのサービスアプリのために認証処理を行う認証用アプリのAIDとが別々に設定されている場合について説明する。
セキュアモジュール20がセキュアモジュールホルダー30に挿入されると(a1)、セキュアモジュールホルダー30の制御部32は、セキュアモジュール20のローカル無線通信機能を無効化する(SHローカル無線通信手段31を優先する)ローカル無線無効化命令をセキュアモジュール20に送り(a2)、セキュアモジュール20の制御部22は、SMローカル無線通信手段21を無効化する。
なお、ここではセキュアモジュール20の制御22が、ローカル無線無効化命令を受けた後に、SMローカル無線通信手段21を無効化する例を述べたが、それ以外に、セキュアモジュール20がセキュアモジュールホルダー30に接続されて、セキュアモジュールホルダー30から電源供給を受けた時点で、制御部22がSMローカル無線通信手段21を無効化することにしても良い。このようにすることで、セキュアモジュール20がセキュアモジュールホルダー30に接続されて電源供給を受けた後、ローカル無線無効化命令を受ける前に、何らかの原因で電源供給が途絶えてしまった場合でも、外部の未認証のRW10にセキュアモジュール20が格納するサービスアプリ23を知られることを防ぐことができる。
一方、無効化が完了した後に、電源供給が途絶えてしまった場合、今度は、セキュアモジュール20を単体で使用しようとしても、SMローカル無線通信手段21は無効化されたままなので、そのままでは利用できない状態となっている。そこで、制御部22がセキュアモジュールホルダー30からの電源断を検知した時は、SMローカル無線通信手段21を有効化することにより、電源断後もセキュアモジュール20単体で使用することを可能にすることもできる。
なお、電源供給の開始、電源断の検知は、セキュアモジュール20に設けられているセキュアモジュールホルダー30と接続するための特定のピン端子から検知することができる。
また、セキュアモジュール20に圧力センサを設け、所定の閾値以上の圧力が加わった場合は、無効化処理を実行する、としても良い。
RW10は、通信領域へのセキュアモジュールの進入を検知するために、リクエストコマンド(REQB)を周期的に送信する(1)。ユーザがセキュアモジュールホルダー30をRW10に翳し、SHローカル無線通信手段31がREQBを受信すると、セキュアモジュールホルダー30の制御部32は、衝突防止手順に従って、SHローカル無線通信手段31を通じて応答する(2)。
RW10がサービスアプリのAIDを指定してカードアプリの選択を要求した場合には(3)、セキュアモジュールホルダー30の制御部32は、RW10に対する認証処理が済んでいないので、エラーを返す(4)。
RW10は、サービスアプリに対応する認証用アプリのAIDを指定してカードアプリ選択要求を送り(5)、制御部32は、アクセス制御セキュアモジュール34に格納されている認証用アプリを起動した後、RW10に応答を返す(6)。起動した認証用アプリは、アクセス制御情報を参照し、対応するサービスアプリに対して指定されているRW認証情報を用いて、RW10との間で相互認証処理を実行する(7)。認証処理が成功すると、RW10は、サービスアプリ23のAIDを指定してカードアプリ選択を要求する(8)。セキュアモジュールホルダー30の制御部32は、認証処理が成功しているため、このカードアプリ選択要求を、指定されたサービスアプリ23が格納されているセキュアモジュール20に送信する。このように、SHローカル無線通信手段31から受信したデータをSH通信手段33を通じてセキュアモジュール20に送る場合に、セキュアモジュールホルダー30の制御部32は、データのデータフォーマットを非接触通信のデータフォーマット(ISO14443−3Block Format)から接触通信のデータフォーマット(ISO7816−3−3Block Format)に変換し、反対に、セキュアモジュール20からRW10に送るデータに対しては、逆のデータフォーマット変換を行う。
サービスアプリ23に対するカードアプリ選択要求を受信したセキュアモジュール20の制御部22は、指定されたサービスアプリ23を起動した後、RW10に応答を返す(9)。
次いで、RW10のサービス実行部12と、指定されたサービスアプリ23との間でサービスを実行するための処理が行われる(10)。
なお、ここでは、サービスアプリに対応する認証用カードアプリのAIDが個々に異なっているものとして説明したが、全てのサービスアプリに対して同一のRW認証情報や認証方法を用いる場合には、認証用カードアプリのAIDは、各サービスアプリに対して共通であっても良い。
また、セキュアモジュール20をセキュアモジュールホルダー30から抜くと、セキュアモジュール20のローカル無線通信機能は有効になる。
このように、この方式では、サービスアプリのAIDと認証用アプリのAIDとを違えており、RW10から認証用アプリの選択要求が行われ、認証処理が成功した後でなければ、RW10からのサービスアプリの選択要求には応じない。
また、認証処理が成功した後のRW10とセキュアモジュール20との通信は、セキュアモジュールホルダー30を介して実行される。
セキュアモジュールホルダー30のプログラムは、制御部32が、セキュアモジュール20の非接触通信手段を無効化する手順と、認証用アプリにRW10との認証処理を行わせる手順と、この認証処理に成功した場合に限り、RW10のサービスアプリ23へのアクセスを許可する手順とを実行することを規定している。
この方式の特色として、セキュアモジュールホルダー30でコマンドの書き換えを行うため、セキュアモジュールホルダー30に掛かる負担は大きいが、RW10には、RW認証処理及びサービス処理のどこまでが終わったのかがはっきりして分かり易いというメリットがある。
なお、セキュアモジュール20に電池が搭載されている場合、ローカル通信機能化無効化されるタイミングに合わせて、セキュアモジュールホルダー30から前記電池の充電を開始するようにしても良い。
(第2の実施形態)
本発明の第2の実施形態では、認証処理に成功した後のRWとセキュアモジュールとの通信が、セキュアモジュールの非接触通信手段を通じて行われる方式について説明する。
この場合のセキュアモジュールホルダー及びRWの構成は、第1の実施形態(図3)と変わりがない。また、RW10のサービスアプリ23へのアクセスが、アクセス制御セキュアモジュール34に格納された認証用アプリとの認証に成功した場合に限り、許可される点でも第1の実施形態と同じである。ただ、第1の実施形態と違って、RW10が認証用アプリとの認証に成功すると、セキュアモジュール20のSMローカル無線通信手段21が有効化され、セキュアモジュール20とRW10との通信は、SMローカル無線通信手段21とRWローカル無線通信手段11との非接触通信によって行われる。
図5は、この場合の処理手順を示している。なお、ここでは、サービスアプリ23のAIDと、そのサービスアプリのために認証処理を行う認証用カードアプリのAIDとが異なっている場合について説明する。
セキュアモジュールホルダー30に挿入されたセキュアモジュール20のローカル通信機能を無効化する手順(a1)(a2)、及び、RW10がアクセス制御セキュアモジュール34に格納された認証用アプリと認証処理を行うまでの(1)(2)(5)(6)(7)の手順は、第1の実施形態(図4)と同じである。
セキュアモジュールホルダー30の制御部32は、認証処理に成功すると、その認証用アプリに対応するサービスアプリ23が格納されているセキュアモジュール20のローカル通信機能を有効化する(8)。
このとき、上述したセキュアモジュールホルダー30に設けた通知手段によって、ローカル通信機能が有効化された旨をユーザに通知するようにしても良い。
RW10は、再度、リクエストコマンド(REQB)を送信し(9)。セキュアモジュール20は、SMローカル無線通信手段21を通じて応答する(10)。RW10は、サービスアプリ23のAIDを指定してカードアプリ選択要求を送り(11)、このカードアプリ選択要求を、SMローカル無線通信手段21を通じて受信したセキュアモジュール20の制御部22は、指定されたサービスアプリ23を起動した後、RW10に対して、SMローカル無線通信手段21を通じて応答を返す(12)。
次いで、RW10のサービス実行部12と、指定されたサービスアプリ23との間で、RWローカル無線通信手段11及びSMローカル無線通信手段21を介して、サービスを実行するための処理が行われる(13)。
なお、セキュアモジュールホルダー30の制御部32は、ローカル通信機能を有効化したセキュアモジュール20で、非接触通信が一定時間以上行われない場合に、そのローカル通信機能を再度無効化する(タイムアウト)。
それ以外の再無効化の方法として、制御部32が、サービスアプリ23から処理終了通知を受けたときに、無効化することもできる。
また、セキュアモジュールホルダー30から定期的にセキュアモジュール20に対してポーリングを行い、サービスアプリ23の処理が終了したことを制御部32が検知したときに、無効化することもできる。
なお、上述のセキュアモジュールホルダー30に設けられた通知手段によって、無効化された旨をユーザに通知することも可能である。
このように、この方式では、サービスアプリのAIDと認証用アプリのAIDとを違えており、RW10から認証用アプリの選択要求が行われ、認証処理が成功した後でなければ、RW10からのサービスアプリの選択要求ができないように構成している。
また、認証処理が成功した後のRW10とサービスアプリ23との通信は、セキュアモジュール20のローカル通信機能を用いて行われる。
セキュアモジュールホルダー30のプログラムは、制御部32が、セキュアモジュール20の非接触通信手段を無効化する手順と、認証用アプリにRW10との認証処理を行わせる手順と、この認証処理に成功した場合に限り、セキュアモジュール20の非接触通信手段を有効化する手順とを実行することを規定している。
この方式の特色として、セキュアモジュールホルダー30は、コマンドの書き換えが不要であるため、セキュアモジュールホルダー30に掛かる負担が小さく、また、RW10は、RW認証及びサービス処理のどこまでが終わったのかがはっきりして分かり易いというメリットがある。反面、RW10は、カード検知要求を二度行わなければならない。
ただ、セキュアモジュールホルダー30の制御部32が、セキュアモジュール20のローカル通信機能を有効化する際(8)に、セキュアモジュールホルダー30とRW10との間で行ったカード検知処理(1)(2)の結果をセキュアモジュール20に送り、RW10によって割り振られたCIDをセキュアモジュール20に伝えることによって、二度目のカード検知要求(9)(10)の手順は、省略することができる。
(第3の実施形態)
本発明の第3の実施形態では、サービスアプリのAIDと、そのサービスアプリのために認証処理を行う認証用アプリのAIDとを同一に設定する場合について説明する。ここでは、認証処理が成功した後のRWとセキュアモジュールとの通信を、セキュアモジュールホルダーを介して行う場合について説明する。
このセキュアモジュールホルダー及びRWの構成は、第1の実施形態(図3)と変わりがない。
図6は、この場合の処理手順を示している。
セキュアモジュールホルダー30に挿入されたセキュアモジュール20のローカル通信機能を無効化する手順(a1)(a2)、及び、RW10のカード検知要求に対してセキュアモジュールホルダー30の制御部32が応答するまでの(1)(2)の手順は、第1の実施形態(図4)と同じである。
RW10がサービスアプリのAIDを指定してカードアプリの選択を要求する(3)と、セキュアモジュールホルダー30の制御部32は、指定されたサービスアプリを格納するセキュアモジュール20にカードアプリ選択要求を伝える(4)。なお、RW10から受信したデータをセキュアモジュール20に送信したり、セキュアモジュール20から受信したデータをRW10に送信したりする場合に、セキュアモジュールホルダー30の制御部32がデータのデータフォーマット変換を行う点は、第1の実施形態と同じである。
カードアプリ選択要求を受信したセキュアモジュール20の制御部22は、指定されたサービスアプリ23を起動した後、セキュアモジュールホルダー30の制御部32に応答を返す(5)。セキュアモジュールホルダー30の制御部32は、この応答を保存し、アクセス制御セキュアモジュール34から、RW10が指定したAIDの認証用アプリを起動して(該当する認証用アプリが無い場合には、ダミーの認証用アプリを起動して)、RW10に対して応答を返す(6)。
起動した認証用アプリは、アクセス制御情報のRW認証情報を用いて、RW10との間で認証処理を行う(7)。なお、ダミーの認証用アプリが認証処理を行う場合には、認証に失敗し、その時点で処理は停止する。
RW10との認証に成功すると、RW10からサービス処理のコマンドが送信される(8)。セキュアモジュールホルダー30の制御部32は、このコマンドを(5)で応答したセキュアモジュール20に送信する(9)。起動済みのサービスアプリ23は、このコマンドに応答し(10)、RW10のサービス実行部12と、指定されたサービスアプリ23とは、セキュアモジュールホルダー30を介して通信し、サービスを実行するための処理が行われる(11)。
このセキュアモジュールホルダー30の制御部32は、カードアプリ選択要求を行った時点でセキュアモジュール20から応答があっても、RW10の認証が済むまでは、RW10とセキュアモジュール20との通信を中継しない。また、選択要求されたカードアプリが全てのセキュアモジュール20に存在しない場合でも、それが認証前のRW10に知られないように振舞う。
なお、カードアプリの選択要求をセキュアモジュール20に伝える(4)(5)の手順は、認証処理に成功し(7)、RW10からサービス処理コマンドを受信した(8)後に行うようにしても良い。
このように、この方式では、サービスアプリのAIDと認証用アプリのAIDとを同一に設定しており、RW10からサービスアプリの選択要求が行われたときに、同一AIDの認証用アプリを起動し、認証処理が成功した後でなければ、サービスアプリ23とRW10との通信ができないように構成している。
また、認証処理が成功した後のRW10とセキュアモジュール20との通信は、セキュアモジュールホルダー30を介して行われる。
セキュアモジュールホルダー30のプログラムは、制御部32が、セキュアモジュール20の非接触通信手段を無効化する手順と、RW10のカードアプリ選択要求に対して同一AIDの認証用アプリを起動してRW10との認証処理を行わせる手順と、この認証処理に成功した場合に限り、RW10とサービスアプリ23との通信をサポートする手順とを実行することを規定している。
この方式の特色として、コマンドの書き換えを行うセキュアモジュールホルダー30の負担は大きいが、RW10に関しては、セキュアモジュールホルダー30及びセキュアモジュール20を意識する必要が無く、従来のRW10のプログラムを変更すること無く使用できる利点がある。
(第4の実施形態)
本発明の第4の実施形態では、サービスアプリのAIDと、そのサービスアプリのために認証処理を行う認証用カードアプリのAIDとを同一に設定するとともに、認証処理に成功した後のRWとセキュアモジュールとの通信を、セキュアモジュールの非接触通信手段を通じて行う場合について説明する。
このセキュアモジュールホルダー及びRWの構成は、第1の実施形態(図3)と変わりがない。
図7は、この場合の処理手順を示している。
セキュアモジュールホルダー30に挿入されたセキュアモジュール20のローカル通信機能を無効化する手順(a1)(a2)、及び、RW10のカード検知要求から認証処理を行うまでの(1)(2)(3)(6)(7)の手順は、第3の実施形態(図6)の同一順番の手順と同じである。
セキュアモジュールホルダー30の制御部32は、認証処理に成功すると、その認証用アプリと同一AIDのサービスアプリ23が格納されているセキュアモジュール20のローカル通信機能を有効化(優先化)する(8)。
RW10は、再度、リクエストコマンド(REQB)を送信し(9)、セキュアモジュール20は、SMローカル無線通信手段21を通じて応答する(10)。RW10は、サービスアプリ23のAIDを指定してカードアプリ選択を要求し(11)、このカードアプリ選択要求を、SMローカル無線通信手段21を通じて受信したセキュアモジュール20の制御部22は、指定されたサービスアプリ23を起動した後、SMローカル無線通信手段21を通じてRW10に応答を返す(12)。
次いで、RW10のサービス実行部12と、指定されたサービスアプリ23との間で、RWローカル無線通信手段11及びSMローカル無線通信手段21を介して、サービスを実行するための処理が行われる(13)。
このように、この方式では、サービスアプリのAIDと認証用アプリのAIDとを同一に設定しており、RW10からサービスアプリの選択要求が行われたときに、同一AIDの認証用アプリを起動し、認証処理が成功した後でなければ、サービスアプリ23とRW10との通信ができないように構成している。
また、認証処理が成功した後のRW10とセキュアモジュール20との通信は、セキュアモジュール20の非接触通信手段を介して行われる。
セキュアモジュールホルダー30のプログラムは、制御部32が、セキュアモジュール20の非接触通信手段を無効化する手順と、RW10のカードアプリ選択要求に対して同一AIDの認証用アプリを起動してRW10との認証処理を行わせる手順と、この認証処理に成功した場合に限り、セキュアモジュール20の非接触通信手段を有効化する手順とを実行させる。
この方式の特色として、セキュアモジュールホルダー30は、コマンドの書き換えが不要であるため、セキュアモジュールホルダー30に掛かる負担が小さい。また、セキュアモジュールホルダー30に挿入するセキュアモジュール20は、従来のものがそのまま使用できる。反面、RW10は、カード検知要求を二度行わなければならない。
(第5の実施形態)
本発明の第5の実施形態では、第4の実施形態と同様に、サービスアプリのAIDと、そのサービスアプリのために認証処理を行う認証用カードアプリのAIDとを同一に設定するとともに、認証処理に成功した後のRWとセキュアモジュールとの通信を、セキュアモジュールの非接触通信手段を通じて行う場合であって、RWに従来のRWがそのまま使用できる方式について説明する。
このセキュアモジュールホルダー及びRWの構成は、第1の実施形態(図3)と変わりがない。
図8は、この場合の処理手順を示している。
セキュアモジュールホルダー30に挿入されたセキュアモジュール20のローカル通信機能を無効化する手順(a1)(a2)、及び、RW10のカード検知要求から認証処理を行うまでの(1)(2)(3)(6)(7)の手順は、第3の実施形態(図6)の同一順番の手順と同じである。
セキュアモジュールホルダー30の制御部32は、認証処理に成功すると、その認証用アプリと同一AIDのサービスアプリ23が格納されているセキュアモジュール20に対して、ローカル通信機能の有効化命令を送信する(8)。このとき、セキュアモジュールホルダー30の制御部32は、RW10との「カード検知」処理(1)(2)で取得したCID情報や、「カードアプリ選択」処理(3)(6)で指定されたAID情報を、有効化処理と同時にセキュアモジュール20に送信する。
この有効化処理命令を受信したセキュアモジュール20の制御部22は、SMローカル無線通信手段21を有効化するとともに、指定されたAIDのサービスアプリ23を起動し、指定されたCID情報をヘッダに含むサービスコマンドを受信した場合に応答するモードに移る。
RW10からサービス処理のコマンドが送信されると(9)、セキュアモジュール20の制御部22は、これをSMローカル無線通信手段21で受信して、起動済みのサービスアプリ23に送り、サービスアプリ23は、このコマンドに応答し(10)、RW10のサービス実行部12と、指定されたサービスアプリ23とが、サービスを実行するための処理を行う(11)。
この場合、セキュアモジュールホルダー30のプログラムは、制御部32が、セキュアモジュール20の非接触通信手段を無効化する手順と、RW10のカードアプリ選択要求に対して同一AIDの認証用アプリを起動してRW10との認証処理を行わせる手順と、この認証処理に成功した場合に限り、セキュアモジュール20の非接触通信手段を有効化し、且つ、RW10から取得したCIDやAIDの情報をセキュアモジュール20に提供する手順とを実行することを規定する。
この方式の特色として、RW10で使われている従来のプログラムを変える必要がないという利点がある。
(第6の実施形態)
本発明の第6の実施形態では、RWの認証に使用する認証情報等をセキュアモジュールホルダーのアクセス制御セキュアモジュールに設定する方法について説明する。
広く普及している周知サービスの場合は、RWの認証に使用する認証情報(この認証情報で認証できたRWには、対応するAIDが有るとレスポンスを返しても良い情報)がセキュアモジュールホルダーのアクセス制御セキュアモジュールに予め設定されている。
しかし、認証情報がアクセス制御セキュアモジュールに設定されていないサービスの場合は、その認証情報をアクセス制御セキュアモジュールに設定することが必要であり、そのため、サービスアプリと認証情報とが格納されたセキュアモジュールをセキュアモジュールホルダーに挿入し、このセキュアモジュールに格納された認証情報をアクセス制御セキュアモジュールに書き込む処理が行われる。
この際、各認証情報についてのモードを登録(例えば、平日用と休日用)しておき、使用時にユーザがモード切替を行うことも想定できる。また、セキュアモジュールホルダー30内にカレンダ機能を持っている場合は、例えば、平日モードとか夜間・休日モードに自動的にモード切替をすることも可能になる。
図9は、この処理を行うセキュアモジュールホルダー30とセキュアモジュール20との構成を示している。セキュアモジュール20は、SMローカル無線通信手段21、複数のカードアプリ(サービスアプリ)23、SM通信手段24及び制御部22の他に、図10に示すように、各カードアプリ23に対してRW認証情報、及び、このRW認証情報を用いて行う認証方法が規定されたアクセス制御情報26と、このアクセス制御情報26のセキュアモジュールホルダー30への書き込み時の処理を行うアクセス制限情報アプリ25とを備えている。
アクセス制御セキュアモジュール34は、セキュアモジュールホルダー30に直接内蔵されていても、セキュアモジュールホルダー30に物理的に取り外し可能なモジュール(図9のセキュアモジュール20とは別のモジュールを想定)に格納されていてもよい。
また、セキュアモジュール20内に実装され、他のセキュアモジュールに格納されているカードアプリに対するアクセス制御を行うことも可能となる。
また、本人認証部情報入力部36とアクセス制御セキュアモジュール34とが、物理的に同一のモジュール上に実装されていて、取り外し可能になっていてもよい。この場合、ユーザは、好みの本人認証部情報入力手段(PIN、虹彩、指紋、など)を選択して、セキュアモジュールホルダー30に装着することが出来る。
また、セキュアモジュールホルダー30は、SHローカル無線通信手段31、SH通信手段33及び制御部32の他に、アクセス制御情報26の書き込み時の処理を行うアクセス制限情報アプリ35を保持したアクセス制御セキュアモジュール34と、ユーザ本人を認証する情報が入力される本人認証情報入力部36とを備えている。
図11は、セキュアモジュール20をセキュアモジュールホルダー30に挿入したときに、セキュアモジュール20で保持されているアクセス制御情報26が、セキュアモジュールホルダー30のアクセス制御セキュアモジュール34に書き込まれる手順を示している。
セキュアモジュール20がセキュアモジュールホルダー30に挿入されると(1)、制御部32は、セキュアモジュールホルダー30の電源をオンにし、セキュアモジュールホルダー30における本人認証のためのPIN入力を求める。ユーザが本人認証情報入力部36からPINを入力すると(2)、制御部32は、アクセス制御セキュアモジュール34のアクセス制限情報アプリ35にPINの検証を要求する(3)。アクセス制限情報アプリ35は、入力されたPINとアクセス制御セキュアモジュール34に予め登録されているPINとを照合して、PINの検証結果を制御部32に伝える(4)。この検証に成功すると、制御部32は、セキュアモジュール20における本人認証のためのPIN入力を求める。ユーザが本人認証情報入力部36からPINを入力すると(5)、制御部32は、セキュアモジュール20のアクセス制限情報アプリ25にPINの検証を要求する(6)。アクセス制限情報アプリ25は、入力されたPINとセキュアモジュール20に予め登録されているPINとを照合して、PINの検証結果を制御部32に伝える(7)。この検証にも成功すると、制御部32は、セキュアモジュール20のアクセス制限情報アプリ25とアクセス制御セキュアモジュール34のアクセス制限情報アプリ35との通信を仲介する。双方のアクセス制限情報アプリ35、25は、PKI(公開鍵基盤)を用いて相互認証し(8)、互いの公開鍵で、検証に用いたPIN情報(あるいは、登録されている指紋等の個人情報)を交換して、セキュアモジュールホルダー30が検証した本人とセキュアモジュール20が検証した本人とが同一人物で有ることを確認する(9)。次に、セキュアモジュール20のアクセス制限情報アプリ25は、アクセス制御セキュアモジュール34のアクセス制限情報アプリ35にアクセス制御情報26を通知し(10)、アクセス制限情報アプリ35は、このアクセス制御情報26をアクセス制御セキュアモジュール34に格納する。
また、図12には、セキュアモジュール20で保持されているアクセス制御情報26をセキュアモジュールホルダー30のアクセス制御セキュアモジュール34に簡易に書き込むための手順を示している。
セキュアモジュール20がセキュアモジュールホルダー30に挿入されると(1)、制御部32は、セキュアモジュールホルダー30の電源をオンにし、本人認証のためのPIN入力を求める。ユーザが本人認証情報入力部36からPINを入力すると(2)、制御部32は、アクセス制御セキュアモジュール34のアクセス制限情報アプリ35にPINの検証を要求する(3)とともに、セキュアモジュール20のアクセス制限情報アプリ25にも、入力されたPINの検証を要求する(5)。制御部32は、アクセス制限情報アプリ35及びアクセス制限情報アプリ25から検証結果を得て(4)(6)、それらの検証が共に成功した場合には、セキュアモジュール20のアクセス制限情報アプリ25にアクセス制御情報26を要求し(7)、アクセス制限情報アプリ25からアクセス制御情報を得て(8)、これをアクセス制御セキュアモジュール34に格納する(9)。
なお、本人認証のためには、指紋や掌紋等の生体情報を入力するようにしても良い。
このように、セキュアモジュールホルダー30及びセキュアモジュール20の双方で本人認証を行うことにより、他人のセキュアモジュールホルダー30に本人のセキュアモジュール20を挿入して使用したり、本人のセキュアモジュールホルダー30に他人のセキュアモジュール20を挿入して使用したりする行為を防ぐことができる。
図13は、セキュアモジュール20のカードアプリ(サービスアプリ)23のアクセス制御情報26がセキュアモジュールホルダー30のアクセス制御セキュアモジュール34に書き込まれている場合に、このセキュアモジュール20が挿入されたセキュアモジュールホルダー30をRWに翳してサービスアプリ23のサービスを利用するときの処理手順の一例を示している。
この手順は、第3の実施形態(図6)と同様に、サービスアプリのAIDと認証用アプリのAIDとが同一に設定され、また、RW10とセキュアモジュール20との通信が、セキュアモジュールホルダー30を介して行われるパターンの例である。
セキュアモジュールホルダー30に挿入されたセキュアモジュール20のローカル通信機能は無効化される(a1)(a2)。セキュアモジュールホルダー30の制御部32は、RW10のカード検知要求に対して応答し(1)(2)、RW10がサービスアプリのAIDを指定してカードアプリ選択を要求すると(3)、そのAIDの認証用アプリを起動した後、RW10に応答を返す(4)。認証用アプリは、アクセス制御セキュアモジュール34に格納されているアクセス制御情報を参照し、AIDに対応して指定されたRW認証情報を用いて、指定された認証方法でRWを認証する(5)。
この認証に成功すると、RW10からサービス処理のコマンドが送信される(8)。セキュアモジュールホルダー30の制御部32は、指定されたAIDのサービスアプリが格納されたセキュアモジュール20にカードアプリ選択要求を伝える(7)。セキュアモジュール20の制御部22は、サービスアプリ23を起動した後、セキュアモジュールホルダー30の制御部32に応答を返す(8)。セキュアモジュールホルダー30の制御部32は、サービス処理コマンドを(8)で応答したセキュアモジュール20に送信する(9)。起動済みのサービスアプリ23は、このコマンドに応答し(10)、RW10のサービス実行部12と、指定されたサービスアプリ23とは、セキュアモジュールホルダー30を介して通信し、サービスを実行するための処理が行われる(11)。
このように、セキュアモジュール20に、カードアプリ23とともにアクセス制御情報26を格納すると、このセキュアモジュール20をセキュアモジュールホルダー30に挿入したときに、アクセス制御情報26がセキュアモジュールホルダー30に書き込まれ、セキュアモジュール20は、セキュアモジュールホルダー30に挿入したままで利用することが可能になる。
そのため、例えば小規模の商店であっても、店舗に設置したRWでのサービスを提供するカードアプリ23と、そのアクセス制御情報26とをセキュアモジュール20に格納することにより、セキュアモジュールホルダー30で利用可能なセキュアモジュール20を簡単に発行することができる。
(第7の実施形態)
本発明の第7の実施形態では、単独で使用するカード形状のセキュアモジュールに格納されたカードアプリの情報が、認証の済んでいないRWに知られないようにする方法について説明する。
図14は、この方法を実施するセキュアモジュール20の構成を示している。
このセキュアモジュール20は、非接触通信手段であるSMローカル無線通信手段21と、複数のカードアプリ(サービスアプリ)23と、カードアプリ23にアクセスするRW10を認証するアクセス制御手段27と、セキュアモジュール20の動作を制御する制御部22とを備えている。制御部22はCPUで構成され、その動作がプログラムで規定される。
アクセス制御手段27は、図3に示すセキュアモジュールホルダー30のアクセス制御セキュアモジュール34に格納されている認証用アプリと同様のアプリを有しており、また、図10に示すような、各カードアプリ23についてのアクセス制御情報を保持している。認証用アプリは、RW10を認証する際、このアクセス制御情報を参照し、カードアプリ23に応じたRW認証情報を用いて、指定された認証方法により認証処理を行う。
この認証用アプリのAIDは、第1及び第2の実施形態と同様に、カードアプリとは別に設定しても良く、また、第3及び第4の実施形態と同様に、カードアプリと同一に設定しても良い。
図15は、認証用アプリのAIDとカードアプリのAIDとが異なる場合の処理手順を示している。
RW10は、通信領域へのセキュアモジュールの進入を検知するために、リクエストコマンド(REQB)を周期的に送信する(1)。ユーザがセキュアモジュール20をRW10に翳し、SMローカル無線通信手段27がREQBを受信すると、制御部22は、衝突防止手順に従って、SMローカル無線通信手段21を通じて応答する(2)。
RW10は、サービスアプリに対応する認証用アプリのAIDを指定してカードアプリ選択要求を送り(3)、制御部22は、アクセス制御手段27に格納されている、指定された認証用アプリを起動した後、RW10に応答を返す(4)。起動した認証用アプリは、アクセス制御情報を参照し、対応するサービスアプリに対して指定されているRW認証情報を用いて、RW10との間で相互認証処理を実行する(5)。認証処理が成功すると、RW10は、目的のサービスアプリ23のAIDを指定してカードアプリ選択を要求する(6)。セキュアモジュール20の制御部22は、認証処理が成功しているため、このカードアプリ選択要求で指定されているサービスアプリを起動し(7)、起動したサービスアプリからの応答があると(8)、RW10に対してカードアプリ選択の応答を返す(9)。
次いで、RW10のサービス実行部12と、指定されたサービスアプリ23との間でサービスを実行するための処理が行われる(10)。
また、図16は、認証用アプリのAIDとカードアプリのAIDとが同一である場合の処理手順を示している。
RW10は、通信領域へのセキュアモジュールの進入を検知するために、リクエストコマンド(REQB)を周期的に送信する(1)。ユーザがセキュアモジュール20をRW10に翳し、SMローカル無線通信手段27がREQBを受信すると、制御部22は、衝突防止手順に従って、SMローカル無線通信手段21を通じて応答する(2)。
RW10は、サービスアプリのAIDを指定してカードアプリ選択要求を送り(3)、制御部22は、アクセス制御手段27に格納されている、同一AIDの認証用アプリを起動した後、RW10に応答を返す(4)。起動した認証用アプリは、アクセス制御情報を参照し、指定されているRW認証情報を用いて、RW10との間で相互認証処理を実行する(5)。認証処理が成功すると、RW10は、セキュアモジュール20にサービス処理コマンドを送信する(6)。セキュアモジュール20の制御部22は、認証処理が成功しているため、カードアプリ選択要求で指定されているサービスアプリを起動し(7)、起動したサービスアプリからの応答があると(8)、そのサービスアプリにサービスコマンドを送り(9)、サービスアプリは、RW10に応答を返す(10)。
次いで、RW10のサービス実行部12と、指定されたサービスアプリ23との間でサービスを実行するための処理が行われる(11)。
このセキュアモジュール20のプログラムは、制御部22が、RW10との認証処理を行う手順と、この認証処理に成功した場合に限り、RW10のサービスアプリ23へのアクセスを許可する手順とを実行することを規定している。
このように、RW10は、アクセス制御手段27との認証に成功すれば、カードアプリ23へのアクセスが可能になる。従って、正しいRW10だけがセキュアモジュール20に格納されているカードアプリ23を知ることができる。
本明細書は、2004年5月24日出願の特願2004−152943に基づくものである。この内容はすべてここに含めておく。
本発明のセキュアモジュールは、サービス産業、販売業、流通業、生産業、製造業などの多くの分野で使用されている非接触ICカードとして利用することができ、また、カード形状だけで無く、チップ状、スティック状など、各種の形状での利用が可能である。
また、本発明のセキュアモジュールホルダーは、1または複数のセキュアモジュールを保持する電子財布として使用することができ、また、セキュアモジュールの搭載が可能な携帯電話やPDF等、他の機能を併せ持つ機器に適用することも可能である。
本発明のプログラムは、こうしたセキュアモジュールホルダーやセキュアモジュールの動作を規定するために使用することができる。
本発明は、ICカードなどのセキュアモジュールに対するリーダ・ライタ(以下、「RW」と略記する)のアクセス制御方法を実現するプログラムと、その方法の実施に用いる装置及びセキュアモジュールに関し、セキュアモジュールの情報が不正に読み出されることを防止するものである。
近年、ICカードは、電子決済用カードや定期乗車券、イベント用チケット、クレジットカード等として広く利用されている。最近では、微細化技術の向上とも相俟って、比較的大容量の記憶空間を持つICカードが作られており、このようなICカードは、カードサービスを実行する複数のカードアプリケーション(以下、アプリケーションを「アプリ」と略称する)を格納することにより、一枚で複数の用途に対応するマルチアプリカードとして使用することができる。
ICカードの通信方式には、ICカードの電気的接点にRWを接触して記録情報の読み書きを行う接触通信と、無線通信で情報をやり取りし、RWとの物理的な接触を必要としない非接触通信との二通りがある。最近は、接触通信及び非接触通信の両方が可能なICカードを携帯端末装置に搭載し、この携帯端末を電子財布や定期券の替わりに使用することも行われている。
図1は、非接触通信を行うICカード等のセキュアモジュール20とRW10との構成を模式的に示している。セキュアモジュール(SM)20は、非接触通信を行うためのSMローカル無線通信手段21と、複数のカードアプリ23と、セキュアモジュール20の動作を制御する制御部22とを備えており、また、RW10は、SMローカル無線通信手段21との間で非接触通信を行うRWローカル無線通信手段11を備えている。
待機中のRW20は、通信領域へのセキュアモジュール20の進入を検知するため、RWローカル無線通信手段11から周期的にリクエスト信号を送出する。ユーザがセキュアモジュール20をRW10に翳すと、RW10の通信領域に進入したセキュアモジュール20は、SMローカル無線通信手段21を通じてリクエスト信号に応答し、RWローカル無線通信手段11とSMローカル無線通信手段21との非接触通信が開始される。次いでRW10は、カードアプリ23を選択し、選択されたカードアプリ23とRW10との間でサービス実行の処理が進められる。
ところで、非接触通信では、接触通信と違って、RW10の通信領域に複数のセキュアモジュール20が入り込む可能性があり、RW10に対して複数のセキュアモジュール20が同時に通信した場合には、カードを識別して通信しなくてはならない。そのため、非接触型で近接型のICカードの国際規格を定めるISO14443−3では、複数のセキュアモジュール20が同時に存在する場合の処理手順として、衝突防止(アンチコリジョン)手順が規定されている。(下記非特許文献1参照)。
図2は、B型カードにおける衝突防止手順と、ISO7816−4で規定されたカードアプリ選択手順とを示している。RWは、通信領域へのICカードの進入を検知するためにリクエストコマンド(REQB)を周期的に送信する。RWの通信領域に進入したICカードは、リクエストコマンド(REQB)を受信すると、このREQBに対して、自分の識別番号(PUPI)を含むレスポンス(ATQB)をRWに返す。RW側の装置は、応答したICカードにカード識別子(CID)を設定し、CIDの情報を含むATTRI
BコマンドにPUPIを付して送信する。ICカードは、ATTRIBコマンドに自分の識別番号(PUPI)が含まれている場合にアクティブ(活性状態)になってレスポンス(ATQB)をRWに返す。以後、ICカードは、自分に設定されたCIDが付されているコマンドのみに応答する。
RWは、カードアプリを識別番号(AID)で指定するSELECTfileをICカードに送信し、ICカードは、選択されたカードアプリを起動してレスポンス(ATQB)をRWに返す。
「セキュリティICカードの基礎と応用 −eビジネスへのパスポート−」著者:織田博靖・鮎川幸司・苅部浩、編者:カードマーケティング研究会、発行日:2000年4月27日、発行:(株)シーメディア
しかし、この衝突防止やカードアプリ選択の手順によると、ICカードに格納されているカードアプリが、未だ認証していないRWに知られることになり、ICカードのユーザのプライバシーが侵され、思わぬ被害に遭う虞がある。
また、近い将来には、電子財布として機能するホルダーにチップ形状のセキュアモジュールを複数枚挿入し、このホルダーを各種のRWに翳して、セキュアモジュールを電子財布に挿入したまま、各種サービスを利用する形態が考えられるが、この場合にも、衝突防止手順やカードアプリ選択手順を通じて、電子財布に挿入されたセキュアモジュールの数や、各セキュアモジュールに格納されているカードアプリが、未だ認証していないRWに知られることになり、プライバシーの侵害が懸念される。
本発明は、こうした従来の問題点を解決するものであり、セキュアモジュールに関する情報の不正読み出しを防ぐ方法を実現するプログラムと、その方法の実施に用いる装置(ホルダー)及びセキュアモジュールを提供することを目的としている。
そこで、本発明では、少なくとも1つのカードアプリを格納し、且つ、非接触通信手段を有するセキュアモジュールを1または複数個保持し、このセキュアモジュールのRWとの非接触通信を制御するセキュアモジュールホルダーの制御部の動作を規定するプログラムが、この制御部に、リーダ・ライタからセキュアモジュールに格納されたカードアプリへのアクセスが要求される前に、セキュアモジュールの非接触通信手段を無効化する手順と、リーダ・ライタのカードアプリ選択要求に応じて認証用のアプリを選択し、リーダ・ライタとの認証処理を実行する手順と、この認証処理が成功した場合に限り、RWがセキュアモジュールに格納されたカードアプリにアクセスすることを許可する手順とを実行させるように構成している。
また、認証処理が成功した場合の手順として、セキュアモジュールの無効化されている非接触通信手段を有効化し、RWが、この非接触通信手段を介してセキュアモジュールに格納されたカードアプリにアクセスすることを許可するようにしている。
また、認証処理が成功した場合の手順として、RWが、セキュアモジュールホルダーの非接触通信手段を介して、セキュアモジュールに格納されたカードアプリにアクセスすることを許可するようにしている。
そのため、認証処理が済んでいないRWは、このセキュアモジュールホルダーで保持されたセキュアモジュールの数や、セキュアモジュールに格納されたカードアプリを知るこ
とができない。
また、本発明では、少なくとも1つのカードアプリを格納し、且つ、RWとの非接触通信手段を有するセキュアモジュールの制御部の動作を規定するプログラムが、この制御部に、RWのカードアプリ選択要求に応じて認証用のアプリを選択し、RWとの認証処理を実行する手順と、この認証処理が成功した場合に限り、RWがセキュアモジュールに格納されたカードアプリにアクセスすることを許可する手順とを実行させるように構成している。
そのため、認証処理が済んでいないRWは、このセキュアモジュールに格納されたカードアプリを知ることができない。
また、本発明では、少なくとも1つのカードアプリを格納し、且つ、非接触通信手段を有するセキュアモジュールを1または複数個保持し、このセキュアモジュールのRWとの非接触通信を制御するセキュアモジュールホルダーに、RWと非接触通信を行う非接触通信手段と、セキュアモジュールと接触通信を行う接触通信手段と、RWと認証処理を行うアクセス制御手段と、セキュアモジュールホルダーの動作を制御する制御手段とを設け、この制御手段が、RWからセキュアモジュールに格納されたカードアプリへのアクセスが要求される前にセキュアモジュールの非接触通信手段を無効化する手順と、RWのカードアプリ選択要求に応じて、アクセス制御手段にRWとの認証処理を行わせる手順と、この認証処理が成功した場合に限り、RWがセキュアモジュールに格納されたカードアプリにアクセスすることを許可する手順とを行うように構成している。
また、この制御手段が、RWからセキュアモジュールに格納されたカードアプリへのアクセスが要求される前に、セキュアモジュールの非接触通信手段を無効化する手順と、RWのカードアプリ選択要求に応じて、アクセス制御手段にRWとの認証処理を行わせる手順と、この認証処理が成功した場合に限り、セキュアモジュールの無効化されている非接触通信手段を有効化し、RWが、セキュアモジュールの非接触通信手段を介してセキュアモジュールに格納されたカードアプリにアクセスすることを許可する手順とを行うように構成している。
また、この制御手段が、RWからセキュアモジュールに格納されたカードアプリへのアクセスが要求される前に、セキュアモジュールの非接触通信手段を無効化する手順と、RWのカードアプリ選択要求に応じて、アクセス制御手段にRWとの認証処理を行わせる手順と、この認証処理が成功した場合に限り、RWが、セキュアモジュールホルダーの非接触通信手段及び接触通信手段を介して、セキュアモジュールに格納されたカードアプリにアクセスすることを許可する手順とを行うように構成している。
また、RWと認証処理を行うアクセス制御手段の認証アプリに、カードアプリとは別のアプリIDを設定し、または、カードアプリと同一のアプリIDを設定している。
このセキュアモジュールホルダーで保持されたセキュアモジュールの数や、セキュアモジュールに格納されたカードアプリについて、認証処理が済んでいないRWは知ることができない。
また、本発明では、少なくとも1つのカードアプリを格納したセキュアモジュールに、RWと非接触通信を行う非接触通信手段と、RWと認証処理を行うアクセス制御手段と、セキュアモジュールの動作を制御する制御手段とを設け、この制御手段が、RWのカードアプリ選択要求に応じてアクセス制御手段にRWとの認証処理を行わせる手順と、この認証処理が成功した場合に限り、RWがセキュアモジュールに格納されたカードアプリにア
クセスすることを許可する手順とを行うように構成している。
また、RWと認証処理を行うアクセス制御手段の認証アプリに、カードアプリとは別のアプリIDを設定し、または、カードアプリと同一のアプリIDを設定している。
このセキュアモジュールに格納されたカードアプリについて、認証処理が済んでいないRWは知ることができない。
本発明のプログラムは、セキュアモジュールホルダーで保持されたセキュアモジュールの数や、セキュアモジュールに格納されたカードアプリが、認証していないRWによって知られることを防止でき、ユーザのプライバシーを守ることができる。
また、本発明のセキュアモジュールホルダーは、保持しているセキュアモジュールの数や、そのセキュアモジュールに格納されたカードアプリについて、認証していないRWに知られることを防ぐことができる。
また、本発明のセキュアモジュールは、格納しているカードアプリについて、認証していないRWに知られることを防ぐことができる。
以下の実施形態では、セキュアモジュールに設けられているローカル無線機能の無効化について記載するが、それ以外にBluetooh、WirelessLAN、LAN、無線公衆網など他の通信機能が設けられていた場合でも同様に適用することができる。
(第1の実施形態)
本発明の第1の実施形態では、電子財布(セキュアモジュールホルダー)に格納されたセキュアモジュールの情報が、認証の済んでいないRWに知られないようにする方法について説明する。
図3は、この方法を実施するセキュアモジュールホルダー(SH)30と、RW10との構成を示している。セキュアモジュールホルダー30は、RW10との非接触通信手段であるSHローカル無線通信手段31と、挿入されたセキュアモジュール20との接触通信手段であるSH通信手段33と、セキュアモジュール20のカードアプリ23にアクセスするRW10を認証するための認証用カードアプリが格納されたアクセス制御セキュアモジュール34と、セキュアモジュールホルダー30の動作を制御する制御部32とを備えている。また、セキュアモジュールホルダー30に挿入された1または複数のセキュアモジュール20は、非接触通信手段であるSMローカル無線通信手段21と、複数のカードアプリ(サービスアプリ)23と、セキュアモジュールホルダー30との接触通信手段であるSM通信手段24と、セキュアモジュール20の動作を制御する制御部22とを備えている。
また、RW10は、非接触通信手段であるRWローカル無線通信手段11と、セキュアモジュール20のサービスアプリ23を指定してサービスを実行するサービス実行部12とを備えている。
このRW10は、セキュアモジュールホルダー30のアクセス制御セキュアモジュール34に格納された認証用カードアプリと相互認証処理を行い、認証に成功した場合にのみセキュアモジュール20へのアクセスが可能になる。
アクセス制御セキュアモジュール34は、セキュアモジュールホルダー30に直接内蔵されていても、セキュアモジュールホルダー30に物理的に取り外し可能なモジュール(図3のセキュアモジュール20とは別のモジュールを想定)に格納されていてもよい。
また、セキュアモジュール20内に実装され、他のセキュアモジュールに格納されているカードアプリに対するアクセス制御を行うことも可能である。
さらに、アクセス制御セキュアモジュール34が取り外し可能な場合、ユーザが所有するセキュアモジュール20の種類に応じて異なるパターンのアクセス制御を行うことができる。つまり、アクセス制御セキュアモジュール34がセキュアモジュールホルダー30に予め内蔵されている場合は、セキュアモジュールホルダー30の出荷時に予めセキュアモジュールホルダー30のメーカーに依存して設定されたカードアプリしかアクセス制御をすることができないが、アクセス制御モジュール34が取り外し可能であれば、使用するカードアプリに合わせてセキュアモジュールホルダー30に装着するアクセス制御セキュアモジュール34を差し替えることが可能になる。
別のユースケースとしては、カードアプリが入った複数のモジュールをセキュアモジュールホルダー30に挿入したまま常に持ち歩いている場合に、アクセス制御セキュアモジュール34を2つ持っていて、例えば一方のアクセス制御モジュール34には、平日会社用(例えば、自宅の鍵、定期券、社員証、企業用クレジットカードの認証情報)のアクセ
ス制御情報のみ入っていてその他のカードアプリは使えないようにし、他のアクセス制御モジュール34には、休日用(例えば、自宅の鍵(共通)、個人のクレジットカード、ビデオ会員証、別荘の鍵など、プライベートなカードアプリ)のアクセス制御情報のみ入っていて、その他のカードアプリは使えないようにし、ユーザの使用する環境に応じて両アクセス制御モジュール34を差し替えることが想定される。なお、セキュアモジュールホルダー30内にカレンダ機能を持っておき、自動的に、平日モードとか夜間・休日モードに切り替えても良い。
また、セキュアモジュールホルダー30に現在のモードをユーザに通知するための通知手段(具体的な部材の一例としては、LED,スピーカ、液晶画面が想定される)を設けても良い。例えばこの通知手段を用いて、モードの切り替えを光、音、色で通知したり、現在のモードを表示したりする。また、現在利用可能なカードアプリを表示しても良い。
セキュアモジュールホルダー30のアクセス制御セキュアモジュール34には、図10に示すように、各セキュアモジュール20のカードアプリ23のAIDに対応付けて、RW10の認証に用いるRW認証情報と認証方法とが設定されたアクセス制御情報が保持されており、認証用アプリは、アクセス制御情報のRW認証情報を用いてRW10を認証する。なお、アクセス制御情報のアクセス制御セキュアモジュール34への設定の仕方については、第6の実施形態で詳述する。
また、セキュアモジュールホルダー30に挿入されたセキュアモジュール20のSMローカル無線通信手段21は、セキュアモジュールホルダー30に挿入されている間、無効にされ(SHローカル無線通信手段31が優先する)、認証に成功したRW10がセキュアモジュール20と通信する場合には、RWローカル無線通信手段11、SHローカル無線通信手段31、SH通信手段33及びSM通信手段24を介して行われる。
こうした一連の動作は、セキュアモジュールホルダー30のCPUで構成される制御部32によって制御され、制御部32は、プログラムに従って、この制御動作を実行する。
図4は、この場合の処理手順を示している。図4では、処理の順序を括弧内の数字で示している(その他のフロー図でも同様である)。なお、ここでは、サービスアプリ23のAIDと、そのサービスアプリのために認証処理を行う認証用アプリのAIDとが別々に設定されている場合について説明する。
セキュアモジュール20がセキュアモジュールホルダー30に挿入されると(a1)、セキュアモジュールホルダー30の制御部32は、セキュアモジュール20のローカル無線通信機能を無効化する(SHローカル無線通信手段31を優先する)ローカル無線無効化命令をセキュアモジュール20に送り(a2)、セキュアモジュール20の制御部22は、SMローカル無線通信手段21を無効化する。
なお、ここではセキュアモジュール20の制御22が、ローカル無線無効化命令を受けた後に、SMローカル無線通信手段21を無効化する例を述べたが、それ以外に、セキュアモジュール20がセキュアモジュールホルダー30に接続されて、セキュアモジュールホルダー30から電源供給を受けた時点で、制御部22がSMローカル無線通信手段21を無効化することにしても良い。このようにすることで、セキュアモジュール20がセキュアモジュールホルダー30に接続されて電源供給を受けた後、ローカル無線無効化命令を受ける前に、何らかの原因で電源供給が途絶えてしまった場合でも、外部の未認証のRW10にセキュアモジュール20が格納するサービスアプリ23を知られることを防ぐことができる。
一方、無効化が完了した後に、電源供給が途絶えてしまった場合、今度は、セキュアモジュール20を単体で使用しようとしても、SMローカル無線通信手段21は無効化されたままなので、そのままでは利用できない状態となっている。そこで、制御部22がセキュアモジュールホルダー30からの電源断を検知した時は、SMローカル無線通信手段21を有効化することにより、電源断後もセキュアモジュール20単体で使用することを可能にすることもできる。
なお、電源供給の開始、電源断の検知は、セキュアモジュール20に設けられているセキュアモジュールホルダー30と接続するための特定のピン端子から検知することができる。
また、セキュアモジュール20に圧力センサを設け、所定の閾値以上の圧力が加わった場合は、無効化処理を実行する、としても良い。
RW10は、通信領域へのセキュアモジュールの進入を検知するために、リクエストコマンド(REQB)を周期的に送信する(1)。ユーザがセキュアモジュールホルダー30をRW10に翳し、SHローカル無線通信手段31がREQBを受信すると、セキュアモジュールホルダー30の制御部32は、衝突防止手順に従って、SHローカル無線通信手段31を通じて応答する(2)。
RW10がサービスアプリのAIDを指定してカードアプリの選択を要求した場合には(3)、セキュアモジュールホルダー30の制御部32は、RW10に対する認証処理が済んでいないので、エラーを返す(4)。
RW10は、サービスアプリに対応する認証用アプリのAIDを指定してカードアプリ選択要求を送り(5)、制御部32は、アクセス制御セキュアモジュール34に格納されている認証用アプリを起動した後、RW10に応答を返す(6)。起動した認証用アプリは、アクセス制御情報を参照し、対応するサービスアプリに対して指定されているRW認証情報を用いて、RW10との間で相互認証処理を実行する(7)。認証処理が成功すると、RW10は、サービスアプリ23のAIDを指定してカードアプリ選択を要求する(8)。セキュアモジュールホルダー30の制御部32は、認証処理が成功しているため、このカードアプリ選択要求を、指定されたサービスアプリ23が格納されているセキュアモジュール20に送信する。このように、SHローカル無線通信手段31から受信したデータをSH通信手段33を通じてセキュアモジュール20に送る場合に、セキュアモジュールホルダー30の制御部32は、データのデータフォーマットを非接触通信のデータフォーマット(ISO14443−3Block Format)から接触通信のデータフォーマット(ISO7816−3−3Block Format)に変換し、反対に、セキュアモジュール20からRW10に送るデータに対しては、逆のデータフォーマット変換を行う。
サービスアプリ23に対するカードアプリ選択要求を受信したセキュアモジュール20の制御部22は、指定されたサービスアプリ23を起動した後、RW10に応答を返す(9)。
次いで、RW10のサービス実行部12と、指定されたサービスアプリ23との間でサービスを実行するための処理が行われる(10)。
なお、ここでは、サービスアプリに対応する認証用カードアプリのAIDが個々に異なっているものとして説明したが、全てのサービスアプリに対して同一のRW認証情報や認証方法を用いる場合には、認証用カードアプリのAIDは、各サービスアプリに対して共
通であっても良い。
また、セキュアモジュール20をセキュアモジュールホルダー30から抜くと、セキュアモジュール20のローカル無線通信機能は有効になる。
このように、この方式では、サービスアプリのAIDと認証用アプリのAIDとを違えており、RW10から認証用アプリの選択要求が行われ、認証処理が成功した後でなければ、RW10からのサービスアプリの選択要求には応じない。
また、認証処理が成功した後のRW10とセキュアモジュール20との通信は、セキュアモジュールホルダー30を介して実行される。
セキュアモジュールホルダー30のプログラムは、制御部32が、セキュアモジュール20の非接触通信手段を無効化する手順と、認証用アプリにRW10との認証処理を行わせる手順と、この認証処理に成功した場合に限り、RW10のサービスアプリ23へのアクセスを許可する手順とを実行することを規定している。
この方式の特色として、セキュアモジュールホルダー30でコマンドの書き換えを行うため、セキュアモジュールホルダー30に掛かる負担は大きいが、RW10には、RW認証処理及びサービス処理のどこまでが終わったのかがはっきりして分かり易いというメリットがある。
なお、セキュアモジュール20に電池が搭載されている場合、ローカル通信機能化無効化されるタイミングに合わせて、セキュアモジュールホルダー30から前記電池の充電を開始するようにしても良い。
(第2の実施形態)
本発明の第2の実施形態では、認証処理に成功した後のRWとセキュアモジュールとの通信が、セキュアモジュールの非接触通信手段を通じて行われる方式について説明する。
この場合のセキュアモジュールホルダー及びRWの構成は、第1の実施形態(図3)と変わりがない。また、RW10のサービスアプリ23へのアクセスが、アクセス制御セキュアモジュール34に格納された認証用アプリとの認証に成功した場合に限り、許可される点でも第1の実施形態と同じである。ただ、第1の実施形態と違って、RW10が認証用アプリとの認証に成功すると、セキュアモジュール20のSMローカル無線通信手段21が有効化され、セキュアモジュール20とRW10との通信は、SMローカル無線通信手段21とRWローカル無線通信手段11との非接触通信によって行われる。
図5は、この場合の処理手順を示している。なお、ここでは、サービスアプリ23のAIDと、そのサービスアプリのために認証処理を行う認証用カードアプリのAIDとが異なっている場合について説明する。
セキュアモジュールホルダー30に挿入されたセキュアモジュール20のローカル通信機能を無効化する手順(a1)(a2)、及び、RW10がアクセス制御セキュアモジュール34に格納された認証用アプリと認証処理を行うまでの(1)(2)(5)(6)(7)の手順は、第1の実施形態(図4)と同じである。
セキュアモジュールホルダー30の制御部32は、認証処理に成功すると、その認証用アプリに対応するサービスアプリ23が格納されているセキュアモジュール20のローカル通信機能を有効化する(8)。
このとき、上述したセキュアモジュールホルダー30に設けた通知手段によって、ローカル通信機能が有効化された旨をユーザに通知するようにしても良い。
RW10は、再度、リクエストコマンド(REQB)を送信し(9)。セキュアモジュール20は、SMローカル無線通信手段21を通じて応答する(10)。RW10は、サービスアプリ23のAIDを指定してカードアプリ選択要求を送り(11)、このカードアプリ選択要求を、SMローカル無線通信手段21を通じて受信したセキュアモジュール20の制御部22は、指定されたサービスアプリ23を起動した後、RW10に対して、SMローカル無線通信手段21を通じて応答を返す(12)。
次いで、RW10のサービス実行部12と、指定されたサービスアプリ23との間で、RWローカル無線通信手段11及びSMローカル無線通信手段21を介して、サービスを実行するための処理が行われる(13)。
なお、セキュアモジュールホルダー30の制御部32は、ローカル通信機能を有効化したセキュアモジュール20で、非接触通信が一定時間以上行われない場合に、そのローカル通信機能を再度無効化する(タイムアウト)。
それ以外の再無効化の方法として、制御部32が、サービスアプリ23から処理終了通知を受けたときに、無効化することもできる。
また、セキュアモジュールホルダー30から定期的にセキュアモジュール20に対してポーリングを行い、サービスアプリ23の処理が終了したことを制御部32が検知したときに、無効化することもできる。
なお、上述のセキュアモジュールホルダー30に設けられた通知手段によって、無効化された旨をユーザに通知することも可能である。
このように、この方式では、サービスアプリのAIDと認証用アプリのAIDとを違えており、RW10から認証用アプリの選択要求が行われ、認証処理が成功した後でなければ、RW10からのサービスアプリの選択要求ができないように構成している。
また、認証処理が成功した後のRW10とサービスアプリ23との通信は、セキュアモジュール20のローカル通信機能を用いて行われる。
セキュアモジュールホルダー30のプログラムは、制御部32が、セキュアモジュール20の非接触通信手段を無効化する手順と、認証用アプリにRW10との認証処理を行わせる手順と、この認証処理に成功した場合に限り、セキュアモジュール20の非接触通信手段を有効化する手順とを実行することを規定している。
この方式の特色として、セキュアモジュールホルダー30は、コマンドの書き換えが不要であるため、セキュアモジュールホルダー30に掛かる負担が小さく、また、RW10は、RW認証及びサービス処理のどこまでが終わったのかがはっきりして分かり易いというメリットがある。反面、RW10は、カード検知要求を二度行わなければならない。
ただ、セキュアモジュールホルダー30の制御部32が、セキュアモジュール20のローカル通信機能を有効化する際(8)に、セキュアモジュールホルダー30とRW10との間で行ったカード検知処理(1)(2)の結果をセキュアモジュール20に送り、RW10によって割り振られたCIDをセキュアモジュール20に伝えることによって、二度
目のカード検知要求(9)(10)の手順は、省略することができる。
(第3の実施形態)
本発明の第3の実施形態では、サービスアプリのAIDと、そのサービスアプリのために認証処理を行う認証用アプリのAIDとを同一に設定する場合について説明する。ここでは、認証処理が成功した後のRWとセキュアモジュールとの通信を、セキュアモジュールホルダーを介して行う場合について説明する。
このセキュアモジュールホルダー及びRWの構成は、第1の実施形態(図3)と変わりがない。
図6は、この場合の処理手順を示している。
セキュアモジュールホルダー30に挿入されたセキュアモジュール20のローカル通信機能を無効化する手順(a1)(a2)、及び、RW10のカード検知要求に対してセキュアモジュールホルダー30の制御部32が応答するまでの(1)(2)の手順は、第1の実施形態(図4)と同じである。
RW10がサービスアプリのAIDを指定してカードアプリの選択を要求する(3)と、セキュアモジュールホルダー30の制御部32は、指定されたサービスアプリを格納するセキュアモジュール20にカードアプリ選択要求を伝える(4)。なお、RW10から受信したデータをセキュアモジュール20に送信したり、セキュアモジュール20から受信したデータをRW10に送信したりする場合に、セキュアモジュールホルダー30の制御部32がデータのデータフォーマット変換を行う点は、第1の実施形態と同じである。
カードアプリ選択要求を受信したセキュアモジュール20の制御部22は、指定されたサービスアプリ23を起動した後、セキュアモジュールホルダー30の制御部32に応答を返す(5)。セキュアモジュールホルダー30の制御部32は、この応答を保存し、アクセス制御セキュアモジュール34から、RW10が指定したAIDの認証用アプリを起動して(該当する認証用アプリが無い場合には、ダミーの認証用アプリを起動して)、RW10に対して応答を返す(6)。
起動した認証用アプリは、アクセス制御情報のRW認証情報を用いて、RW10との間で認証処理を行う(7)。なお、ダミーの認証用アプリが認証処理を行う場合には、認証に失敗し、その時点で処理は停止する。
RW10との認証に成功すると、RW10からサービス処理のコマンドが送信される(8)。セキュアモジュールホルダー30の制御部32は、このコマンドを(5)で応答したセキュアモジュール20に送信する(9)。起動済みのサービスアプリ23は、このコマンドに応答し(10)、RW10のサービス実行部12と、指定されたサービスアプリ23とは、セキュアモジュールホルダー30を介して通信し、サービスを実行するための処理が行われる(11)。
このセキュアモジュールホルダー30の制御部32は、カードアプリ選択要求を行った時点でセキュアモジュール20から応答があっても、RW10の認証が済むまでは、RW10とセキュアモジュール20との通信を中継しない。また、選択要求されたカードアプリが全てのセキュアモジュール20に存在しない場合でも、それが認証前のRW10に知られないように振舞う。
なお、カードアプリの選択要求をセキュアモジュール20に伝える(4)(5)の手順
は、認証処理に成功し(7)、RW10からサービス処理コマンドを受信した(8)後に行うようにしても良い。
このように、この方式では、サービスアプリのAIDと認証用アプリのAIDとを同一に設定しており、RW10からサービスアプリの選択要求が行われたときに、同一AIDの認証用アプリを起動し、認証処理が成功した後でなければ、サービスアプリ23とRW10との通信ができないように構成している。
また、認証処理が成功した後のRW10とセキュアモジュール20との通信は、セキュアモジュールホルダー30を介して行われる。
セキュアモジュールホルダー30のプログラムは、制御部32が、セキュアモジュール20の非接触通信手段を無効化する手順と、RW10のカードアプリ選択要求に対して同一AIDの認証用アプリを起動してRW10との認証処理を行わせる手順と、この認証処理に成功した場合に限り、RW10とサービスアプリ23との通信をサポートする手順とを実行することを規定している。
この方式の特色として、コマンドの書き換えを行うセキュアモジュールホルダー30の負担は大きいが、RW10に関しては、セキュアモジュールホルダー30及びセキュアモジュール20を意識する必要が無く、従来のRW10のプログラムを変更すること無く使用できる利点がある。
(第4の実施形態)
本発明の第4の実施形態では、サービスアプリのAIDと、そのサービスアプリのために認証処理を行う認証用カードアプリのAIDとを同一に設定するとともに、認証処理に成功した後のRWとセキュアモジュールとの通信を、セキュアモジュールの非接触通信手段を通じて行う場合について説明する。
このセキュアモジュールホルダー及びRWの構成は、第1の実施形態(図3)と変わりがない。
図7は、この場合の処理手順を示している。
セキュアモジュールホルダー30に挿入されたセキュアモジュール20のローカル通信機能を無効化する手順(a1)(a2)、及び、RW10のカード検知要求から認証処理を行うまでの(1)(2)(3)(6)(7)の手順は、第3の実施形態(図6)の同一順番の手順と同じである。
セキュアモジュールホルダー30の制御部32は、認証処理に成功すると、その認証用アプリと同一AIDのサービスアプリ23が格納されているセキュアモジュール20のローカル通信機能を有効化(優先化)する(8)。
RW10は、再度、リクエストコマンド(REQB)を送信し(9)、セキュアモジュール20は、SMローカル無線通信手段21を通じて応答する(10)。RW10は、サービスアプリ23のAIDを指定してカードアプリ選択を要求し(11)、このカードアプリ選択要求を、SMローカル無線通信手段21を通じて受信したセキュアモジュール20の制御部22は、指定されたサービスアプリ23を起動した後、SMローカル無線通信手段21を通じてRW10に応答を返す(12)。
次いで、RW10のサービス実行部12と、指定されたサービスアプリ23との間で、
RWローカル無線通信手段11及びSMローカル無線通信手段21を介して、サービスを実行するための処理が行われる(13)。
このように、この方式では、サービスアプリのAIDと認証用アプリのAIDとを同一に設定しており、RW10からサービスアプリの選択要求が行われたときに、同一AIDの認証用アプリを起動し、認証処理が成功した後でなければ、サービスアプリ23とRW10との通信ができないように構成している。
また、認証処理が成功した後のRW10とセキュアモジュール20との通信は、セキュアモジュール20の非接触通信手段を介して行われる。
セキュアモジュールホルダー30のプログラムは、制御部32が、セキュアモジュール20の非接触通信手段を無効化する手順と、RW10のカードアプリ選択要求に対して同一AIDの認証用アプリを起動してRW10との認証処理を行わせる手順と、この認証処理に成功した場合に限り、セキュアモジュール20の非接触通信手段を有効化する手順とを実行させる。
この方式の特色として、セキュアモジュールホルダー30は、コマンドの書き換えが不要であるため、セキュアモジュールホルダー30に掛かる負担が小さい。また、セキュアモジュールホルダー30に挿入するセキュアモジュール20は、従来のものがそのまま使用できる。反面、RW10は、カード検知要求を二度行わなければならない。
(第5の実施形態)
本発明の第5の実施形態では、第4の実施形態と同様に、サービスアプリのAIDと、そのサービスアプリのために認証処理を行う認証用カードアプリのAIDとを同一に設定するとともに、認証処理に成功した後のRWとセキュアモジュールとの通信を、セキュアモジュールの非接触通信手段を通じて行う場合であって、RWに従来のRWがそのまま使用できる方式について説明する。
このセキュアモジュールホルダー及びRWの構成は、第1の実施形態(図3)と変わりがない。
図8は、この場合の処理手順を示している。
セキュアモジュールホルダー30に挿入されたセキュアモジュール20のローカル通信機能を無効化する手順(a1)(a2)、及び、RW10のカード検知要求から認証処理を行うまでの(1)(2)(3)(6)(7)の手順は、第3の実施形態(図6)の同一順番の手順と同じである。
セキュアモジュールホルダー30の制御部32は、認証処理に成功すると、その認証用アプリと同一AIDのサービスアプリ23が格納されているセキュアモジュール20に対して、ローカル通信機能の有効化命令を送信する(8)。このとき、セキュアモジュールホルダー30の制御部32は、RW10との「カード検知」処理(1)(2)で取得したCID情報や、「カードアプリ選択」処理(3)(6)で指定されたAID情報を、有効化処理と同時にセキュアモジュール20に送信する。
この有効化処理命令を受信したセキュアモジュール20の制御部22は、SMローカル無線通信手段21を有効化するとともに、指定されたAIDのサービスアプリ23を起動し、指定されたCID情報をヘッダに含むサービスコマンドを受信した場合に応答するモードに移る。
RW10からサービス処理のコマンドが送信されると(9)、セキュアモジュール20の制御部22は、これをSMローカル無線通信手段21で受信して、起動済みのサービスアプリ23に送り、サービスアプリ23は、このコマンドに応答し(10)、RW10のサービス実行部12と、指定されたサービスアプリ23とが、サービスを実行するための処理を行う(11)。
この場合、セキュアモジュールホルダー30のプログラムは、制御部32が、セキュアモジュール20の非接触通信手段を無効化する手順と、RW10のカードアプリ選択要求に対して同一AIDの認証用アプリを起動してRW10との認証処理を行わせる手順と、この認証処理に成功した場合に限り、セキュアモジュール20の非接触通信手段を有効化し、且つ、RW10から取得したCIDやAIDの情報をセキュアモジュール20に提供する手順とを実行することを規定する。
この方式の特色として、RW10で使われている従来のプログラムを変える必要がないという利点がある。
(第6の実施形態)
本発明の第6の実施形態では、RWの認証に使用する認証情報等をセキュアモジュールホルダーのアクセス制御セキュアモジュールに設定する方法について説明する。
広く普及している周知サービスの場合は、RWの認証に使用する認証情報(この認証情報で認証できたRWには、対応するAIDが有るとレスポンスを返しても良い情報)がセキュアモジュールホルダーのアクセス制御セキュアモジュールに予め設定されている。
しかし、認証情報がアクセス制御セキュアモジュールに設定されていないサービスの場合は、その認証情報をアクセス制御セキュアモジュールに設定することが必要であり、そのため、サービスアプリと認証情報とが格納されたセキュアモジュールをセキュアモジュールホルダーに挿入し、このセキュアモジュールに格納された認証情報をアクセス制御セキュアモジュールに書き込む処理が行われる。
この際、各認証情報についてのモードを登録(例えば、平日用と休日用)しておき、使用時にユーザがモード切替を行うことも想定できる。また、セキュアモジュールホルダー30内にカレンダ機能を持っている場合は、例えば、平日モードとか夜間・休日モードに自動的にモード切替をすることも可能になる。
図9は、この処理を行うセキュアモジュールホルダー30とセキュアモジュール20との構成を示している。セキュアモジュール20は、SMローカル無線通信手段21、複数のカードアプリ(サービスアプリ)23、SM通信手段24及び制御部22の他に、図10に示すように、各カードアプリ23に対してRW認証情報、及び、このRW認証情報を用いて行う認証方法が規定されたアクセス制御情報26と、このアクセス制御情報26のセキュアモジュールホルダー30への書き込み時の処理を行うアクセス制限情報アプリ25とを備えている。
アクセス制御セキュアモジュール34は、セキュアモジュールホルダー30に直接内蔵されていても、セキュアモジュールホルダー30に物理的に取り外し可能なモジュール(図9のセキュアモジュール20とは別のモジュールを想定)に格納されていてもよい。
また、セキュアモジュール20内に実装され、他のセキュアモジュールに格納されているカードアプリに対するアクセス制御を行うことも可能となる。
また、本人認証部情報入力部36とアクセス制御セキュアモジュール34とが、物理的に同一のモジュール上に実装されていて、取り外し可能になっていてもよい。この場合、ユーザは、好みの本人認証部情報入力手段(PIN、虹彩、指紋、など)を選択して、セキュアモジュールホルダー30に装着することが出来る。
また、セキュアモジュールホルダー30は、SHローカル無線通信手段31、SH通信手段33及び制御部32の他に、アクセス制御情報26の書き込み時の処理を行うアクセス制限情報アプリ35を保持したアクセス制御セキュアモジュール34と、ユーザ本人を認証する情報が入力される本人認証情報入力部36とを備えている。
図11は、セキュアモジュール20をセキュアモジュールホルダー30に挿入したときに、セキュアモジュール20で保持されているアクセス制御情報26が、セキュアモジュールホルダー30のアクセス制御セキュアモジュール34に書き込まれる手順を示している。
セキュアモジュール20がセキュアモジュールホルダー30に挿入されると(1)、制御部32は、セキュアモジュールホルダー30の電源をオンにし、セキュアモジュールホルダー30における本人認証のためのPIN入力を求める。ユーザが本人認証情報入力部36からPINを入力すると(2)、制御部32は、アクセス制御セキュアモジュール34のアクセス制限情報アプリ35にPINの検証を要求する(3)。アクセス制限情報アプリ35は、入力されたPINとアクセス制御セキュアモジュール34に予め登録されているPINとを照合して、PINの検証結果を制御部32に伝える(4)。この検証に成功すると、制御部32は、セキュアモジュール20における本人認証のためのPIN入力を求める。ユーザが本人認証情報入力部36からPINを入力すると(5)、制御部32は、セキュアモジュール20のアクセス制限情報アプリ25にPINの検証を要求する(6)。アクセス制限情報アプリ25は、入力されたPINとセキュアモジュール20に予め登録されているPINとを照合して、PINの検証結果を制御部32に伝える(7)。この検証にも成功すると、制御部32は、セキュアモジュール20のアクセス制限情報アプリ25とアクセス制御セキュアモジュール34のアクセス制限情報アプリ35との通信を仲介する。双方のアクセス制限情報アプリ35、25は、PKI(公開鍵基盤)を用いて相互認証し(8)、互いの公開鍵で、検証に用いたPIN情報(あるいは、登録されている指紋等の個人情報)を交換して、セキュアモジュールホルダー30が検証した本人とセキュアモジュール20が検証した本人とが同一人物で有ることを確認する(9)。次に、セキュアモジュール20のアクセス制限情報アプリ25は、アクセス制御セキュアモジュール34のアクセス制限情報アプリ35にアクセス制御情報26を通知し(10)、アクセス制限情報アプリ35は、このアクセス制御情報26をアクセス制御セキュアモジュール34に格納する。
また、図12には、セキュアモジュール20で保持されているアクセス制御情報26をセキュアモジュールホルダー30のアクセス制御セキュアモジュール34に簡易に書き込むための手順を示している。
セキュアモジュール20がセキュアモジュールホルダー30に挿入されると(1)、制御部32は、セキュアモジュールホルダー30の電源をオンにし、本人認証のためのPIN入力を求める。ユーザが本人認証情報入力部36からPINを入力すると(2)、制御部32は、アクセス制御セキュアモジュール34のアクセス制限情報アプリ35にPINの検証を要求する(3)とともに、セキュアモジュール20のアクセス制限情報アプリ25にも、入力されたPINの検証を要求する(5)。制御部32は、アクセス制限情報アプリ35及びアクセス制限情報アプリ25から検証結果を得て(4)(6)、それらの検
証が共に成功した場合には、セキュアモジュール20のアクセス制限情報アプリ25にアクセス制御情報26を要求し(7)、アクセス制限情報アプリ25からアクセス制御情報を得て(8)、これをアクセス制御セキュアモジュール34に格納する(9)。
なお、本人認証のためには、指紋や掌紋等の生体情報を入力するようにしても良い。
このように、セキュアモジュールホルダー30及びセキュアモジュール20の双方で本人認証を行うことにより、他人のセキュアモジュールホルダー30に本人のセキュアモジュール20を挿入して使用したり、本人のセキュアモジュールホルダー30に他人のセキュアモジュール20を挿入して使用したりする行為を防ぐことができる。
図13は、セキュアモジュール20のカードアプリ(サービスアプリ)23のアクセス制御情報26がセキュアモジュールホルダー30のアクセス制御セキュアモジュール34に書き込まれている場合に、このセキュアモジュール20が挿入されたセキュアモジュールホルダー30をRWに翳してサービスアプリ23のサービスを利用するときの処理手順の一例を示している。
この手順は、第3の実施形態(図6)と同様に、サービスアプリのAIDと認証用アプリのAIDとが同一に設定され、また、RW10とセキュアモジュール20との通信が、セキュアモジュールホルダー30を介して行われるパターンの例である。
セキュアモジュールホルダー30に挿入されたセキュアモジュール20のローカル通信機能は無効化される(a1)(a2)。セキュアモジュールホルダー30の制御部32は、RW10のカード検知要求に対して応答し(1)(2)、RW10がサービスアプリのAIDを指定してカードアプリ選択を要求すると(3)、そのAIDの認証用アプリを起動した後、RW10に応答を返す(4)。認証用アプリは、アクセス制御セキュアモジュール34に格納されているアクセス制御情報を参照し、AIDに対応して指定されたRW認証情報を用いて、指定された認証方法でRWを認証する(5)。
この認証に成功すると、RW10からサービス処理のコマンドが送信される(8)。セキュアモジュールホルダー30の制御部32は、指定されたAIDのサービスアプリが格納されたセキュアモジュール20にカードアプリ選択要求を伝える(7)。セキュアモジュール20の制御部22は、サービスアプリ23を起動した後、セキュアモジュールホルダー30の制御部32に応答を返す(8)。セキュアモジュールホルダー30の制御部32は、サービス処理コマンドを(8)で応答したセキュアモジュール20に送信する(9)。起動済みのサービスアプリ23は、このコマンドに応答し(10)、RW10のサービス実行部12と、指定されたサービスアプリ23とは、セキュアモジュールホルダー30を介して通信し、サービスを実行するための処理が行われる(11)。
このように、セキュアモジュール20に、カードアプリ23とともにアクセス制御情報26を格納すると、このセキュアモジュール20をセキュアモジュールホルダー30に挿入したときに、アクセス制御情報26がセキュアモジュールホルダー30に書き込まれ、セキュアモジュール20は、セキュアモジュールホルダー30に挿入したままで利用することが可能になる。
そのため、例えば小規模の商店であっても、店舗に設置したRWでのサービスを提供するカードアプリ23と、そのアクセス制御情報26とをセキュアモジュール20に格納することにより、セキュアモジュールホルダー30で利用可能なセキュアモジュール20を簡単に発行することができる。
(第7の実施形態)
本発明の第7の実施形態では、単独で使用するカード形状のセキュアモジュールに格納されたカードアプリの情報が、認証の済んでいないRWに知られないようにする方法について説明する。
図14は、この方法を実施するセキュアモジュール20の構成を示している。
このセキュアモジュール20は、非接触通信手段であるSMローカル無線通信手段21と、複数のカードアプリ(サービスアプリ)23と、カードアプリ23にアクセスするRW10を認証するアクセス制御手段27と、セキュアモジュール20の動作を制御する制御部22とを備えている。制御部22はCPUで構成され、その動作がプログラムで規定される。
アクセス制御手段27は、図3に示すセキュアモジュールホルダー30のアクセス制御セキュアモジュール34に格納されている認証用アプリと同様のアプリを有しており、また、図10に示すような、各カードアプリ23についてのアクセス制御情報を保持している。認証用アプリは、RW10を認証する際、このアクセス制御情報を参照し、カードアプリ23に応じたRW認証情報を用いて、指定された認証方法により認証処理を行う。
この認証用アプリのAIDは、第1及び第2の実施形態と同様に、カードアプリとは別に設定しても良く、また、第3及び第4の実施形態と同様に、カードアプリと同一に設定しても良い。
図15は、認証用アプリのAIDとカードアプリのAIDとが異なる場合の処理手順を示している。
RW10は、通信領域へのセキュアモジュールの進入を検知するために、リクエストコマンド(REQB)を周期的に送信する(1)。ユーザがセキュアモジュール20をRW10に翳し、SMローカル無線通信手段27がREQBを受信すると、制御部22は、衝突防止手順に従って、SMローカル無線通信手段21を通じて応答する(2)。
RW10は、サービスアプリに対応する認証用アプリのAIDを指定してカードアプリ選択要求を送り(3)、制御部22は、アクセス制御手段27に格納されている、指定された認証用アプリを起動した後、RW10に応答を返す(4)。起動した認証用アプリは、アクセス制御情報を参照し、対応するサービスアプリに対して指定されているRW認証情報を用いて、RW10との間で相互認証処理を実行する(5)。認証処理が成功すると、RW10は、目的のサービスアプリ23のAIDを指定してカードアプリ選択を要求する(6)。セキュアモジュール20の制御部22は、認証処理が成功しているため、このカードアプリ選択要求で指定されているサービスアプリを起動し(7)、起動したサービスアプリからの応答があると(8)、RW10に対してカードアプリ選択の応答を返す(9)。
次いで、RW10のサービス実行部12と、指定されたサービスアプリ23との間でサービスを実行するための処理が行われる(10)。
また、図16は、認証用アプリのAIDとカードアプリのAIDとが同一である場合の処理手順を示している。
RW10は、通信領域へのセキュアモジュールの進入を検知するために、リクエストコマンド(REQB)を周期的に送信する(1)。ユーザがセキュアモジュール20をRW
10に翳し、SMローカル無線通信手段27がREQBを受信すると、制御部22は、衝突防止手順に従って、SMローカル無線通信手段21を通じて応答する(2)。
RW10は、サービスアプリのAIDを指定してカードアプリ選択要求を送り(3)、制御部22は、アクセス制御手段27に格納されている、同一AIDの認証用アプリを起動した後、RW10に応答を返す(4)。起動した認証用アプリは、アクセス制御情報を参照し、指定されているRW認証情報を用いて、RW10との間で相互認証処理を実行する(5)。認証処理が成功すると、RW10は、セキュアモジュール20にサービス処理コマンドを送信する(6)。セキュアモジュール20の制御部22は、認証処理が成功しているため、カードアプリ選択要求で指定されているサービスアプリを起動し(7)、起動したサービスアプリからの応答があると(8)、そのサービスアプリにサービスコマンドを送り(9)、サービスアプリは、RW10に応答を返す(10)。
次いで、RW10のサービス実行部12と、指定されたサービスアプリ23との間でサービスを実行するための処理が行われる(11)。
このセキュアモジュール20のプログラムは、制御部22が、RW10との認証処理を行う手順と、この認証処理に成功した場合に限り、RW10のサービスアプリ23へのアクセスを許可する手順とを実行することを規定している。
このように、RW10は、アクセス制御手段27との認証に成功すれば、カードアプリ23へのアクセスが可能になる。従って、正しいRW10だけがセキュアモジュール20に格納されているカードアプリ23を知ることができる。
本明細書は、2004年5月24日出願の特願2004−152943に基づくものである。この内容はすべてここに含めておく。
本発明のセキュアモジュールは、サービス産業、販売業、流通業、生産業、製造業などの多くの分野で使用されている非接触ICカードとして利用することができ、また、カード形状だけで無く、チップ状、スティック状など、各種の形状での利用が可能である。
また、本発明のセキュアモジュールホルダーは、1または複数のセキュアモジュールを保持する電子財布として使用することができ、また、セキュアモジュールの搭載が可能な携帯電話やPDF等、他の機能を併せ持つ機器に適用することも可能である。
本発明のプログラムは、こうしたセキュアモジュールホルダーやセキュアモジュールの動作を規定するために使用することができる。
従来のセキュアモジュールとRWとの構成を示すブロック図
衝突防止手順とアプリの選択手順とを示すフロー図
本発明の第1の実施形態におけるセキュアモジュールホルダーの構成を示すブロック図
本発明の第1の実施形態におけるセキュアモジュールホルダーのセキュアモジュールに対するRWのアクセス制限手順を示すフロー図
本発明の第2の実施形態におけるセキュアモジュールホルダーのセキュアモジュールに対するRWのアクセス制限手順を示すフロー図
本発明の第3の実施形態におけるセキュアモジュールホルダーのセキュアモジュールに対するRWのアクセス制限手順を示すフロー図
本発明の第4の実施形態におけるセキュアモジュールホルダーのセキュアモジュールに対するRWのアクセス制限手順を示すフロー図
本発明の第5の実施形態におけるセキュアモジュールホルダーのセキュアモジュールに対するRWのアクセス制限手順を示すフロー図
本発明の第6の実施形態におけるセキュアモジュールホルダー及びセキュアモジュールの構成を示すブロック図
本発明の第6の実施形態におけるアクセス制御情報のデータ構造を示す図
本発明の第6の実施形態におけるアクセス制御情報の設定手順を示すフロー図
本発明の第6の実施形態におけるアクセス制御情報の第2の設定手順を示すフロー図
本発明の第6の実施形態におけるアクセス制御情報を利用してセキュアモジュールホルダーのセキュアモジュールに対するRWのアクセス制限を行う手順を示すフロー図
本発明の第7の実施形態におけるセキュアモジュールの構成を示すブロック図
本発明の第7の実施形態におけるセキュアモジュールに対するRWのアクセス制限手順を示すフロー図
本発明の第7の実施形態におけるセキュアモジュールに対するRWの第2のアクセス制限手順を示すフロー図