JP2001034729A - Ic card - Google Patents
Ic cardInfo
- Publication number
- JP2001034729A JP2001034729A JP11202378A JP20237899A JP2001034729A JP 2001034729 A JP2001034729 A JP 2001034729A JP 11202378 A JP11202378 A JP 11202378A JP 20237899 A JP20237899 A JP 20237899A JP 2001034729 A JP2001034729 A JP 2001034729A
- Authority
- JP
- Japan
- Prior art keywords
- file
- card
- attribute
- security
- folder
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、EEPROM(El
ectrically Erasable and Programable Read Only Memo
ry)等の不揮発性メモリを有する携帯可能な情報記録媒
体、いわゆるICカードについて、データファイルのア
クセス権を不正に変更することを防止するセキュリティ
機構に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an EEPROM (El
ectrically Erasable and Programable Read Only Memo
The present invention relates to a security mechanism for preventing a data file access right from being illegally changed for a portable information recording medium having a nonvolatile memory such as ry) or a so-called IC card.
【0002】[0002]
【従来技術】ICカードは、磁気カードに代わる携帯可
能情報記録媒体として近年利用が広がっている。特に、
CPUを内蔵したICカードは、単なる情報記録媒体と
しての機能だけではなく、情報処理機能を組み込むこと
ができるため、高度なセキュリティを必要とする情報処
理システムへの利用が期待されている。このようなIC
カードでは、通常、カードが使用可能な状態となった後
でも、所定の認証条件が満たされファイル属性の変更権
が認められると、ICカード内のファイルのアクセス権
属性を変更できるようになっている。2. Description of the Related Art Recently, IC cards have been widely used as portable information recording media instead of magnetic cards. In particular,
Since an IC card with a built-in CPU can incorporate not only a function as an information recording medium but also an information processing function, it is expected to be used for an information processing system requiring high security. Such an IC
Normally, even if the card becomes usable, if the predetermined authentication condition is satisfied and the right to change the file attribute is recognized, the access right attribute of the file in the IC card can be changed. I have.
【0003】[0003]
【発明が解決しようとする課題】従来のカードでは、カ
ードが使用可能な状態となった後でも、必要な認証条件
が満たされさえすれば、どんなに重要なファイルでもそ
のアクセス属性を変更できるようになっていたため、カ
ード発行後に、書き込み禁止と属性設定されているファ
イルのアクセス属性を変更して、重要なデータの改竄を
行う余地が残されていた。With the conventional card, even if the card becomes usable, it is possible to change the access attribute of any important file as long as necessary authentication conditions are satisfied. Therefore, after the card is issued, there is room for altering the access attribute of the file for which the attribute is set to write-protected, and falsifying important data.
【0004】例えば、ICカードに適した利用形態とし
て、第1の発行主体(通常のカード発行者)がカードを
利用するために必要な基本データをカードに記録した後
で、第2、第3の発行主体(第1の発行主体と業務提携
しているサービス業者等)が、それぞれのサービスに必
要なデータを書き込んで、多目的なカードとして利用者
に発行する場合がある。このような場合に、従来のカー
ドでは、第2、第3の発行者が既に記録されたデータの
改竄をする余地が残されていた。For example, as a use mode suitable for an IC card, after a first issuer (usual card issuer) records basic data necessary for using the card on the card, the second issuer or the third issuer can use the card. May issue data necessary for each service and issue it to the user as a versatile card. In such a case, the conventional card leaves room for the second and third issuers to falsify already recorded data.
【0005】本発明はこのような問題点を考慮してなさ
れたものであり、利用フェーズ、すなわち、第1の発行
主体が必要な基本データをカードに設定して、カードの
制御プログラムが正しく機能できる状態、になった後
で、いかなることがあっても、ファイルのアクセス権属
性を変更させないセキュリティ機構を実現することを課
題とする。The present invention has been made in view of such problems, and the use phase, that is, the first issuer sets the necessary basic data in the card, and the control program of the card functions correctly. It is an object of the present invention to realize a security mechanism that does not change the access right attribute of a file at any time after the state becomes possible.
【0006】尚、以下の説明では、単にファイルと言う
ときにはISO7816−4で規定しているDF(Dedi
cated File)およびEF(Elementary File)の両方を
指し、フォルダまたはフォルダファイルというときはD
Fだけを意味するものとする。In the following description, when a file is simply referred to as a file, the DF (Dedi
cated File) and EF (Elementary File).
It means only F.
【0007】[0007]
【課題を解決するための手段】上記課題を解決するため
に、本発明では、ICカードの不揮発性記憶部の各ファ
イルの管理領域に、当該ファイルのアクセス権属性を変
更可能か否かを表すフラグビットを設けるとともに、セ
キュリティ属性変更禁止コマンドを定義し、外部からセ
キュリティ属性変更禁止コマンドを受け付けると、前記
フラグビットを変更不可として、以後の当該データファ
イルのアクセス権属性変更を、いかなる場合も恒久的に
受け付けないようにセキュリティ機構を実現することを
要旨とする。In order to solve the above-mentioned problems, according to the present invention, the management area of each file in a nonvolatile storage unit of an IC card indicates whether or not the access right attribute of the file can be changed. A flag bit is provided and a security attribute change prohibition command is defined. When an external security attribute change prohibition command is received, the flag bit is disabled and the access right attribute change of the data file is permanently made in any case. The gist is to realize a security mechanism so that it is not accepted.
【0008】従来は、認証条件さえ満たせば、利用フェ
ーズにおいてもファイルのアクセス属性を変更できた
が、前記フラグビットを設けることにより、認証条件を
満たしてもアクセス権を変更させないようにできる。Conventionally, the file access attribute could be changed even in the use phase as long as the authentication condition was satisfied. By providing the flag bit, it is possible to prevent the access right from being changed even if the authentication condition is satisfied.
【0009】カード発行時にフラグビットを適切に設定
することにより、ICカードの用途により、カード発行
後にファイルのアクセス属性を変更する必要がある場合
にも対応可能である。その場合でも、ある時点で、セキ
ュリティ属性変更禁止コマンドを一度受け付けると、そ
れ以降のアクセス属性変更は不可能となる。このフラグ
ビットはファイル毎に設定されるので柔軟に利用でき
る。By appropriately setting the flag bit at the time of issuing the card, it is possible to cope with a case where the access attribute of the file needs to be changed after the card is issued, depending on the use of the IC card. Even in such a case, once a security attribute change prohibition command is received at a certain point in time, subsequent access attribute changes cannot be made. Since this flag bit is set for each file, it can be used flexibly.
【0010】また、前記フラグビットが設けられるファ
イルの管理領域は、ICカードの制御部のみがアクセス
可能な領域であり、外部からアクセスすることはできな
い。カード発行者が、セキュリティ属性変更禁止コマン
ド以外の方法で、カード発行後に前記フラグビットを操
作することは不可能である。前記フラグビットを、変更
禁止から変更可能に変えることは全く不可能である。The file management area provided with the flag bit is an area that can be accessed only by the control unit of the IC card, and cannot be accessed from outside. It is impossible for the card issuer to manipulate the flag bit after issuing the card by a method other than the security attribute change prohibition command. It is impossible at all to change the flag bit from change prohibition to changeable.
【0011】また、本発明の第2の態様は、セキュリテ
ィ属性変更禁止コマンドを受け付けたフォルダファイル
の下位に位置するファイルはすべて、前記フォルダファ
イルとともに、以後の当該ファイルへのアクセス権属性
変更を、いかなる場合も恒久的に受け付けないようにセ
キュリティ機構を実現することを要旨とする。[0011] In a second aspect of the present invention, all of the files located under the folder file that has received the security attribute change prohibition command, together with the folder file, change the access right attribute to the file. The gist is to realize a security mechanism so that it is not permanently accepted in any case.
【0012】複数のサービスや複雑な機能を提供するた
めに、ICカードの中に、複数のファイルをまとめて格
納する入れ物としてフォルダを定義し、階層構造を持つ
ファイルシステムを実現して情報を記憶管理する場合が
ある。このような場合には、入れ物であるフォルダのア
クセス権属性変更を不可能にした場合に、下位に位置す
るファイルのアクセス権属性変更も同時に不可能となる
ように構成した方が都合の良い場合がある。尚、フォル
ダはファイルの一種である。In order to provide a plurality of services and complicated functions, a folder is defined as a container for collectively storing a plurality of files in an IC card, and a file system having a hierarchical structure is realized to store information. May be managed. In such a case, when it is more convenient to configure so that the access right attribute of the lower folder cannot be changed at the same time when the access right attribute of the folder is disabled. There is. Note that a folder is a type of file.
【0013】さらに、本発明の第3の態様は、セキュリ
ティ属性変更禁止コマンドを受け付けたフォルダファイ
ルに含まれる、フォルダでないファイルはすべて、前記
フォルダファイルとともに、以後の当該ファイルへのア
クセス権属性変更を、いかなる場合も恒久的に受け付け
ないようにセキュリティ機構を実現することを要旨とす
る。Further, according to a third aspect of the present invention, all the non-folder files included in the folder file that has received the security attribute change prohibition command are used together with the folder file to change the access right attribute to the file in the future. The gist of the present invention is to realize a security mechanism so as not to be permanently accepted in any case.
【0014】第3の態様では、セキュリティ属性変更禁
止コマンドの影響をそのフォルダに直接含まれる、フォ
ルダでないファイル(ISO7816−4で規定してい
るEF)だけに限定することができる。ICカードにの
せるサービスアプリケーションによっては、このような
態様が適したものもある。According to the third aspect, the effect of the security attribute change prohibition command can be limited to only non-folder files (EF defined in ISO7816-4) directly included in the folder. Such a mode is suitable for some service applications mounted on the IC card.
【0015】[0015]
【発明の実施の形態】以下に本発明に係る実施形態につ
いて詳しく説明する。図1は、本実施形態に係るICカ
ード10がリーダー・ライター装置20に接続されてい
る様子を示すブロック図である。ICカード10には、
I/Oインターフェイス11、CPU12、ROM1
3、RAM14、EEPROM15が内蔵されている。
I/Oインターフェイス11は、I/Oライン30を介
してデータを送受するための入出力回路であり、CPU
12はこのI/Oインターフェイス11を通して、リー
ダ・ライタ装置20とデータのやりとりを行う。ROM
13内には、CPU12によって実行されるべきプログ
ラムが記憶されており、CPU12はこのプログラムに
基づいてICカード10を統括制御する。RAM14は
一時的な作業用領域であり、EEPROMの内容をこの
作業領域に読み出す。CPUはこの作業領域に対してデ
ータ参照やデータ書き込みを行う。EEPROM15
は、このICカード10に記録すべき本来のデータが格
納されるメモリである。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS The embodiments according to the present invention will be described below in detail. FIG. 1 is a block diagram illustrating a state in which an IC card 10 according to the present embodiment is connected to a reader / writer device 20. In the IC card 10,
I / O interface 11, CPU 12, ROM1
3, a RAM 14, and an EEPROM 15 are built in.
The I / O interface 11 is an input / output circuit for transmitting and receiving data via the I / O line 30.
Numeral 12 exchanges data with the reader / writer device 20 through the I / O interface 11. ROM
A program to be executed by the CPU 12 is stored in the CPU 13, and the CPU 12 controls the IC card 10 based on the program. The RAM 14 is a temporary work area, and reads the contents of the EEPROM into this work area. The CPU performs data reference and data writing to this work area. EEPROM15
Is a memory in which original data to be recorded on the IC card 10 is stored.
【0016】ICカード10内のメモリ13、14、1
5へのアクセスは、すべてCPU12を介して行われ、
外部からこれらのメモリを直接アクセスすることはでき
ない。そのかわりに、リーダ・ライタ装置20からIC
カード10に対してあらかじめ決められたフォーマット
の「コマンド」を与えると、CPU12がこの「コマン
ド」を解釈実行することでICカード10内のデータメ
モリ15にアクセスする。その結果をリーダ・ライタ装
置20に対して「レスポンス」として返送する。The memories 13, 14, 1 in the IC card 10
5 are all performed via the CPU 12,
These memories cannot be directly accessed from outside. Instead, the reader / writer device 20 sends an IC
When a “command” having a predetermined format is given to the card 10, the CPU 12 interprets and executes the “command” to access the data memory 15 in the IC card 10. The result is returned to the reader / writer device 20 as a “response”.
【0017】図6は、ICカードの制御プログラムの働
きを示すフローチャートである。カードがカード端末に
挿入されると、ICカードはカード端末から電源を供給
され、まず必要な初期化動作を行い(S1)、その後は
カード端末からのコマンドを待ち(S3)、もしコマン
ドが来れば、そのコマンドに対応したコマンド処理を行
う(S5)。そしてステップS3に戻り、再び次のコマ
ンドが来るのを待つ。FIG. 6 is a flowchart showing the operation of the control program for the IC card. When the card is inserted into the card terminal, the IC card is supplied with power from the card terminal, first performs a necessary initialization operation (S1), and then waits for a command from the card terminal (S3). If it is, command processing corresponding to the command is performed (S5). Then, the process returns to step S3 and waits for the next command again.
【0018】図3はEEPROM領域15を更に詳しく
説明する図である。EEPROM領域15は論理的にデ
ータ領域と管理領域に分けられる。データ領域は、定め
られたICカードコマンドを利用して、外部からアクセ
ス可能な領域である。データはファイルという論理的な
単位にまとめられて記憶され、制御プログラムによって
管理される。一方管理領域は、ICカードのCPU12
のみが制御プログラムの制御によってアクセスする領域
である。管理領域は、ディレクトリと呼ばれるファイル
の管理情報を保持している。図3では前記データ領域の
ファイル1、2、3のそれぞれに対応したディレクトリ
が管理領域に存在している。このように、データ領域に
1つのファイルが生成されると、そのファイルの管理情
報を記憶する1つのディレクトリが管理領域に形成され
る。FIG. 3 is a diagram for explaining the EEPROM area 15 in more detail. The EEPROM area 15 is logically divided into a data area and a management area. The data area is an area that can be accessed from outside using a predetermined IC card command. Data is stored in a logical unit called a file and managed by a control program. On the other hand, the management area is the CPU 12 of the IC card.
Only the area accessed under the control of the control program. The management area holds management information of a file called a directory. In FIG. 3, directories corresponding to the respective files 1, 2, and 3 in the data area exist in the management area. As described above, when one file is generated in the data area, one directory for storing the management information of the file is formed in the management area.
【0019】図4は、管理領域の中のディレクトリのフ
ォーマットを説明する図である。ディレクトリは当該フ
ァイルの先頭アドレス、当該ファイルのサイズ、セキュ
リティ属性、ファイル種類、チェックコードなどの属性
値の他に、変更禁止フラグを含んでいる。セキュリティ
属性は、当該ファイルに対するアクセスが可能かどうか
を決める鍵の開錠状態を表すビットパターンが格納され
る。これについての詳細は後述する。ファイルの種類は
通常のデータファイルか、パスワード(鍵情報)を記録
したファイルかなどの区別を示す。チェックコードはデ
ィレクトリ情報が誤りなく記録されたか、読み出された
かをチェックするためのチェックコードである。FIG. 4 is a view for explaining the format of a directory in the management area. The directory includes attribute values such as the head address of the file, the size of the file, security attributes, file type, and check code, as well as a change prohibition flag. The security attribute stores a bit pattern indicating an unlocked state of a key that determines whether the file can be accessed. Details of this will be described later. The file type indicates whether the file is a normal data file or a file in which a password (key information) is recorded. The check code is a check code for checking whether directory information has been recorded or read without error.
【0020】図5はICカードのセキュリティ管理の仕
組みを表す図である。以下図5により、本発明に係る実
施形態におけるICカードのセキュリティ管理の仕組み
を説明する。FIG. 5 is a diagram showing a security management mechanism of the IC card. Hereinafter, the security management mechanism of the IC card according to the embodiment of the present invention will be described with reference to FIG.
【0021】図5(A)はICカードのある時点の鍵の
開錠状態を示している。図では8ビットのビットパター
ンが示されているが、この各ビットは1つの特定の鍵の
開錠状態を示す。1であればそのビットに対応する鍵は
閉じられている。0であれば開錠されていることを示
す。ここでいう鍵とは論理的な鍵の意味であり、カード
に対して特定の鍵の要求するパスワードを与えることが
できれば、その鍵を開けることができる。この例では8
ビットなので、8つの鍵を使用していることとなる。鍵
を開くことは、当該カードがカード端末に挿入されカー
ドの認証チェックが行われる際に、制御プログラムの処
理によりあらかじめ定められた幾つかのパスワードファ
イルを調べることにより、または、カード端末のアプリ
ケーションプログラムに応じて利用者がその場で打ち込
んだパスワードを制御プログラムがチェックすることな
どにより行われる。その結果が図5(A)のビットパタ
ーンとしてRAM領域14の特定のアドレスに保持され
る。図5では第1鍵、第2鍵、第3鍵は開錠されたが、
第4〜第8の鍵は閉じられたままであることが分かる。FIG. 5A shows the unlocked state of the key at a certain point in the IC card. Although the figure shows an 8-bit bit pattern, each bit indicates the unlocked state of one specific key. If 1, the key corresponding to that bit is closed. If it is 0, it indicates that it is unlocked. Here, the key means a logical key, and if a password required by a specific key can be given to the card, the key can be opened. In this example, 8
Since it is a bit, eight keys are used. To open the key, the card is inserted into the card terminal and the card is checked for authentication, by checking some password files predetermined by the processing of the control program, or by using the application program of the card terminal. The control program checks the password entered by the user on the spot in response to the request. The result is held at a specific address in the RAM area 14 as the bit pattern of FIG. In FIG. 5, the first key, the second key, and the third key are unlocked,
It can be seen that the fourth to eighth keys remain closed.
【0022】図5(B)はディレクトリの中のセキュリ
ティ属性の詳細を示している。セキュリティ属性は、当
該ファイルに対して、読み込み、書き込み、更新の各動
作が可能であることを認める鍵の開錠状態を示す3つの
ビットパターンの集合で表される。尚、アクセスを認め
る開錠状態を示すビットパターンを認証条件情報ともい
うことにする。図5の場合では、読み込みアクセスは第
1の鍵が開けられていれば認められる。書き込みアクセ
スは、第1と第3の鍵が開かれていれば認められる。FIG. 5B shows details of security attributes in the directory. The security attribute is represented by a set of three bit patterns indicating the unlocked state of the key that permits the read, write, and update operations on the file. Note that a bit pattern indicating an unlocked state that permits access is also referred to as authentication condition information. In the case of FIG. 5, read access is granted if the first key is unlocked. Write access is granted if the first and third keys are open.
【0023】そして制御プログラムは、あるファイルへ
のアクセス要求が来たときに、先ず現在の鍵の開錠状態
ビットパターンと、そのアクセス要求を認める鍵の開錠
状態ビットパターンを比較して、そのアクセス要求の可
否を決定する。図5の場合では読み込み、書き込みアク
セスは認められるが更新アクセスは認められないことと
なる。When a request to access a certain file is received, the control program first compares the current unlocked bit pattern of the key with the unlocked bit pattern of the key that permits the access request. Determines whether an access request is allowed. In the case of FIG. 5, read and write access are permitted, but update access is not permitted.
【0024】以上がセキュリティ管理の仕組みの基本で
あるが、更新アクセス可能な開錠状態を一度作れば、カ
ード発行後においても、書き込み・更新アクセスの認証
条件情報を書き換えることにより以後の当該ファイルへ
の書き込み・更新がどこでも容易に可能となるように設
定してしまうことができる。これを防ぐために、ディレ
クトリの中に属性変更禁止フラグを設定する。もし属性
変更禁止フラグが1にセットされていると、更新アクセ
スの認証条件が満たされても当該ファイルのセキュリテ
ィ属性を変更することはできない。The basics of the security management mechanism have been described above. Once the unlocked state that allows update access is created once, even after the card is issued, the authentication condition information for write / update access is rewritten to allow access to the file in the future. Can be set so that writing / updating can be easily performed anywhere. To prevent this, an attribute change prohibition flag is set in the directory. If the attribute change prohibition flag is set to 1, the security attribute of the file cannot be changed even if the update access authentication condition is satisfied.
【0025】図2は、属性変更禁止フラグの働きを説明
するために、属性変更コマンドを受けたときのコマンド
処理フローを示したフローチャートである。属性変更コ
マンドを受けると、まず当該ファイルのディレクトリを
読み出す(S13)。次にディレクトリの中のセキュリ
ティ属性をチェックし、現在の開錠状態が当該ファイル
の更新アクセスの認証条件を満たしているか判定する
(S17)。もし更新アクセスの認証条件を満たしてい
る場合は、ステップS19で、属性変更禁止フラグがセ
ットされているかどうかを調べる。同フラグが0なら
ば、変更可能と言うことなのでセキュリティ属性の変更
を行う(S23)。その結果、属性変更がリクエスト通
り正常に行われた旨のレスポンスをカード端末に返して
コマンド処理を終了する(S29)。属性変更禁止フラ
グがセットされていた場合、または更新アクセスの認証
条件が満たされていない場合はステップ23を行わず
に、ステップ29にジャンプして、属性変更はしかるべ
き理由により拒否された旨のレスポンスをカード端末に
返してコマンド処理を終了する。FIG. 2 is a flowchart showing a command processing flow when an attribute change command is received in order to explain the function of the attribute change prohibition flag. When the attribute change command is received, the directory of the file is read out (S13). Next, the security attribute in the directory is checked, and it is determined whether or not the current unlocked state satisfies the authentication condition for update access of the file (S17). If the authentication condition for the update access is satisfied, it is checked in step S19 whether the attribute change prohibition flag is set. If the flag is 0, it means that the security attribute can be changed, and the security attribute is changed (S23). As a result, a response indicating that the attribute change has been normally performed as requested is returned to the card terminal, and the command processing is terminated (S29). If the attribute change prohibition flag is set, or if the authentication condition for update access is not satisfied, the process jumps to step 29 without performing step 23, and indicates that the attribute change has been rejected for an appropriate reason. A response is returned to the card terminal, and the command processing ends.
【0026】この属性禁止フラグを適切に使用すれば、
多目的カードとして発行する場合に、第1の発行者は金
銭情報を記憶したファイルのアクセス権属性変更禁止フ
ラグを1にセットしておけば、その後いかなることがあ
ってもその金銭情報ファイルのアクセス属性を変えるこ
とができないので高い安全性が維持できる。しかも、他
のファイルについては当該ファイルのアクセス権属性変
更禁止フラグを0としておくことにより、従来技術によ
り発行する場合の利便性が損なわれることはない。If this attribute prohibition flag is used properly,
In the case of issuing as a multipurpose card, the first issuer sets the access right attribute change prohibition flag of the file storing the monetary information to 1, and the access attribute of the monetary information file is changed in any case thereafter. Because it cannot be changed, high security can be maintained. In addition, by setting the access right attribute change prohibition flag of another file to 0, the convenience in issuing the file by the conventional technique is not impaired.
【0027】図7は、ICカードがセキュリティ属性変
更禁止コマンドを受けたときの動作を示すフローチャー
トである。ICカードがセキュリティ属性変更禁止コマ
ンドを受けると、まず当該ファイルのディレクトリを読
み出す(S31)。次にディレクトリの中のセキュリテ
ィ属性をチェックし、現在の開錠状態が当該ファイルへ
の更新アクセスの認証条件を満たしているか判定する
(S37)。もし更新アクセスの認証条件を満たしてい
る場合は、ステップS43で、属性変更禁止フラグを1
にセットする。その結果、禁止コマンドがリクエスト通
り正常に行われた旨のレスポンスをカード端末に返して
コマンド処理を終了する(S53)。ステップS37で
更新アクセスの認証条件を満たしていない場合は、ステ
ップS53にジャンプして属性変更禁止設定はしかるべ
き理由により拒否された旨のレスポンスをカード端末に
返してコマンド処理を終了する。FIG. 7 is a flowchart showing the operation when the IC card receives the security attribute change prohibition command. When the IC card receives the security attribute change prohibition command, it first reads the directory of the file (S31). Next, the security attribute in the directory is checked to determine whether the current unlocked state satisfies the authentication condition for update access to the file (S37). If the authentication condition for update access is satisfied, the attribute change prohibition flag is set to 1 in step S43.
Set to. As a result, a response to the effect that the prohibited command has been normally performed as requested is returned to the card terminal, and the command processing is terminated (S53). If the authentication condition for update access is not satisfied in step S37, the process jumps to step S53, returns a response to the effect that the attribute change prohibition setting has been rejected for an appropriate reason to the card terminal, and ends the command processing.
【0028】図7は、ファイル毎に全く独立にセキュリ
ティ属性変更禁止コマンドを制御するICカードの場合
のフローであるが、フォルダファイルを設けて、ファイ
ルを階層的に管理できるタイプのICカードの場合は、
図8のように、フォルダファイルがセキュリティ属性変
更禁止コマンドにより設定されると、そのフォルダの下
位に位置するファイルがすべて影響されるようにセキュ
リティ属性変更禁止コマンドを受けたときの動作を定め
ることもできる。両者はS47のステップ、すなわち、
「当該フォルダに含まれるファイルのディレクトリの変
更禁止フラグを1にセットする、それらの中にフォルダ
ファイルがある場合には、その中に含まれるファイルの
ディレクトリの変更禁止フラグも1にセットする」、が
あるかないかが異なるだけで他は同じである。FIG. 7 shows a flow in the case of an IC card in which the security attribute change prohibition command is controlled completely independently for each file. In the case of an IC card of a type in which a folder file is provided and files can be managed hierarchically. Is
As shown in FIG. 8, when a folder file is set by the security attribute change prohibition command, the operation when the security attribute change prohibition command is received may be determined so that all files located under the folder are affected. it can. Both are the steps of S47, that is,
"Set the change prohibition flag of the directory of the file included in the folder to 1; if there is a folder file in them, also set the change prohibition flag of the directory of the file included therein to 1." Others are the same except for the difference.
【0029】図8のフローでは、セキュリティ属性変更
禁止コマンドを受けるファイルがフォルダファイルの場
合には、そのコマンドを受けたことの影響が、下位のフ
ォルダファイルを中継して、下位のファイルすべてに影
響する。これとは別に、セキュリティ属性変更禁止コマ
ンドを受けたことの影響が、下位のフォルダファイルに
は及ばない(従ってその下位に位置するファイルに及ば
ない)ようにICカードのセキュリティ機構を実現する
ことが可能である。図9はそのようなICカードのセキ
ュリティ属性変更禁止コマンド受信時の動作フローであ
る。図9では、図8のステップS47がステップS48
に差し替わっている。S48では、セキュリティ属性変
更禁止コマンドを受けるファイルがフォルダファイルの
場合には、その中に直接含まれるファイルでフォルダで
ないものだけについて、変更禁止フラグを1にセットす
る。フォルダファイルかそうでないファイルかはそのフ
ァイルのディレクトリ情報を参照して識別できる。In the flow of FIG. 8, when the file that receives the security attribute change prohibition command is a folder file, the effect of receiving the command affects all lower-level files by relaying the lower-level folder files. I do. Apart from this, it is possible to realize the security mechanism of the IC card so that the effect of receiving the security attribute change prohibition command does not affect the lower folder files (and therefore does not affect the files located therebelow). It is possible. FIG. 9 shows an operation flow when such a security attribute change prohibition command of the IC card is received. In FIG. 9, step S47 of FIG.
Has been replaced by In S48, if the file that receives the security attribute change prohibition command is a folder file, the change prohibition flag is set to 1 only for files that are directly included in the file and are not folders. Whether a file is a folder file or not is identified by referring to the directory information of the file.
【0030】以上、セキュリティ属性変更禁止コマンド
を受けた時の動作フローの相違により、3通りの実現形
態があることを述べた。また、これまでの説明では、図
3および図4によって、すべてのファイルに等しくディ
レクトリ情報が設けられる構成を前提にして説明した。
これらとは異なる実施形態として、図4で示した構成の
ディレクトリ情報はフォルダファイルだけが持ち、フォ
ルダでないファイルは、変更禁止フラグ、または変更禁
止フラグとセキュリティ属性の両方、を持たずに、自分
を含むフォルダ(親フォルダ)のディレクトリにある属
性値で代用するという形態も実現可能である。すなわ
ち、この場合には、セキュリティ属性変更禁止コマンド
はフォルダファイルに対して発行されることになる。そ
して図7と図9の区別はなくなる。図8のS47は「下
位に位置するすべてのフォルダファイルのディレクトリ
の変更禁止フラグを1にセットする」と読み替える。ま
た、フォルダでないファイルがセキュリティ属性変更コ
マンドを受けた時(この場合は当該ファイルは固有のセ
キュリティ属性情報を持っている)は、図2のS19の
ステップは「親フォルダの属性変更禁止フラグをチェッ
クする」に読み替える。As described above, there are three types of implementation modes due to the difference in operation flow when a security attribute change prohibition command is received. In the above description, the description has been made with reference to FIGS. 3 and 4 on the assumption that the directory information is provided equally to all the files.
As an embodiment different from the above, only the folder file has the directory information having the configuration shown in FIG. 4, and the non-folder file has its own information without the change prohibition flag or both the change prohibition flag and the security attribute. It is also possible to realize a form in which the attribute value in the directory of the folder (parent folder) is used instead. That is, in this case, the security attribute change prohibition command is issued for the folder file. Then, the distinction between FIG. 7 and FIG. 9 disappears. S47 in FIG. 8 should be read as "set the change prohibition flags of the directories of all the lower-level folder files to 1". When a file that is not a folder receives a security attribute change command (in this case, the file has unique security attribute information), the step of S19 in FIG. 2 is to check the attribute change prohibition flag of the parent folder. Yes ".
【0031】[0031]
【発明の効果】以上詳述したように、本発明によるセキ
ュリティ管理の仕組みにより、利用フェーズになった後
で、いかなることがあっても、ファイルのアクセス権属
性を変更させないセキュリティ機構が実現できる。As described above, according to the security management mechanism of the present invention, it is possible to realize a security mechanism that does not change the access right attribute of the file at any time after the utilization phase.
【0032】このセキュリティ機構によれば、例えば、
多目的ICカードとして、第1のカード発行者以外のサ
ービス事業者がサービスに関する設定を行うような場合
に懸念されるカードデータの改竄を防ぐことができる。
また、鍵データ(パスワード等)が漏洩しても、不正に
セキュリティ属性を変更されて不正使用されることは万
が一にもなくなり、非常にセキュリティの高いICカー
ドを実現することができる。According to this security mechanism, for example,
As a multi-purpose IC card, it is possible to prevent tampering of card data, which is a concern when a service provider other than the first card issuer makes settings related to services.
Also, even if key data (such as a password) is leaked, it is unlikely that the security attributes will be illegally changed and used illegally, and an IC card with extremely high security can be realized.
【図1】本実施形態に係るICカード10がリーダー・
ライター装置20に接続されている様子を示すブロック
図である。FIG. 1 is a block diagram showing an IC card 10 according to an embodiment;
FIG. 2 is a block diagram showing a state where the writer device 20 is connected.
【図2】属性変更禁止フラグの働きを説明するために、
属性変更コマンドを受けたときのコマンド処理フローを
示したフローチャートである。FIG. 2 illustrates the function of an attribute change prohibition flag.
It is the flowchart which showed the command processing flow at the time of receiving an attribute change command.
【図3】EEPROM領域15を更に詳しく説明する図
である。FIG. 3 is a diagram for explaining an EEPROM area 15 in more detail;
【図4】管理領域の中のディレクトリのフォーマットを
説明する図である。FIG. 4 is a diagram illustrating a format of a directory in a management area.
【図5】ICカードのセキュリティ管理の仕組みを表す
図である。FIG. 5 is a diagram showing a security management mechanism of an IC card.
【図6】ICカードの制御プログラムの働きを示すフロ
ーチャートである。FIG. 6 is a flowchart showing the operation of a control program for an IC card.
【図7】、FIG.
【図8】、FIG.
【図9】セキュリティ属性変更禁止コマンドを受けたと
きのICカードの動作を示すフローチャートである。FIG. 9 is a flowchart showing an operation of the IC card when a security attribute change prohibition command is received.
10 ICカード 11 I/0インターフェイス 12 CPU 13 ROM 14 RAM 15 EEPROM 20 リーダ・ライタ装置 30 IOライン Reference Signs List 10 IC card 11 I / O interface 12 CPU 13 ROM 14 RAM 15 EEPROM 20 Reader / writer device 30 IO line
Claims (3)
対して情報の書き込み又は読み出しを行う制御部とを有
し、定められたプロトコルにより外部接続装置との間で
情報の授受を行うICカードであって、前記記憶部の各
ファイルの管理領域に、当該ファイルのアクセス権属性
を変更可能か否かを表すフラグビットを設け、外部から
セキュリティ属性変更禁止コマンドを受け付けると、前
記フラグビットを変更不可として、以後の当該ファイル
のアクセス権属性変更を、いかなる場合も恒久的に受け
付けないようにできることを特徴としたICカード。An IC that has a nonvolatile data storage unit and a control unit that writes or reads information to or from the storage unit, and that exchanges information with an externally connected device according to a predetermined protocol. In the card, a flag bit indicating whether or not the access right attribute of the file can be changed is provided in a management area of each file in the storage unit, and when a security attribute change prohibition command is externally received, the flag bit is changed. An IC card characterized in that it cannot be changed and that any subsequent change in the access right attribute of the file can not be accepted permanently in any case.
セキュリティ属性変更禁止コマンドを受け付けたフォル
ダファイルの下位に位置するファイルはすべて、前記フ
ォルダファイルとともに、以後の当該ファイルへのアク
セス権属性変更を、いかなる場合も恒久的に受け付けな
いようにできることを特徴としたICカード。2. The IC card according to claim 1, wherein
All files located under the folder file that has received the security attribute change prohibition command, together with the folder file, can be permanently prevented from permanently changing any subsequent access right attribute change to the file. IC card.
セキュリティ属性変更禁止コマンドを受け付けたフォル
ダファイルに含まれる、フォルダでないファイルはすべ
て、前記フォルダファイルとともに、以後の当該ファイ
ルへのアクセス権属性変更を、いかなる場合も恒久的に
受け付けないようにできることを特徴としたICカー
ド。3. The IC card according to claim 1, wherein
All non-folder files included in the folder file that has received the security attribute change prohibition command, together with the folder file, can be permanently prevented from permanently accepting subsequent access right attribute changes to the file. IC card.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11202378A JP2001034729A (en) | 1999-07-16 | 1999-07-16 | Ic card |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11202378A JP2001034729A (en) | 1999-07-16 | 1999-07-16 | Ic card |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001034729A true JP2001034729A (en) | 2001-02-09 |
Family
ID=16456514
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP11202378A Pending JP2001034729A (en) | 1999-07-16 | 1999-07-16 | Ic card |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001034729A (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006075485A1 (en) * | 2005-01-11 | 2006-07-20 | Sharp Kabushiki Kaisha | Non-contact type semiconductor device, mobile terminal device, and communication system |
| JP2007227759A (en) * | 2006-02-24 | 2007-09-06 | Tokyo Electron Ltd | Substrate processing apparatus, parameter management system therefor, parameter management method therefor, program, and storage medium |
| JP2009075959A (en) * | 2007-09-21 | 2009-04-09 | Chugoku Electric Power Co Inc:The | Storage medium control device and storage medium control method |
-
1999
- 1999-07-16 JP JP11202378A patent/JP2001034729A/en active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006075485A1 (en) * | 2005-01-11 | 2006-07-20 | Sharp Kabushiki Kaisha | Non-contact type semiconductor device, mobile terminal device, and communication system |
| US8112795B2 (en) | 2005-01-11 | 2012-02-07 | Sharp Kabushiki Kaisha | Non-contact type semiconductor device, mobile terminal device, and communication system |
| JP2007227759A (en) * | 2006-02-24 | 2007-09-06 | Tokyo Electron Ltd | Substrate processing apparatus, parameter management system therefor, parameter management method therefor, program, and storage medium |
| JP2009075959A (en) * | 2007-09-21 | 2009-04-09 | Chugoku Electric Power Co Inc:The | Storage medium control device and storage medium control method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5408082A (en) | IC card with hierarchical file structure | |
| KR920007410B1 (en) | Safe file system for a portable data carrier | |
| US5225664A (en) | Mutual authentication system | |
| US6296191B1 (en) | Storing data objects in a smart card memory | |
| US6575372B1 (en) | Secure multi-application IC card system having selective loading and deleting capability | |
| US6371377B2 (en) | Card type recording medium and access control method for card type recording medium and computer-readable recording medium having access control program for card type recording medium recorded | |
| JP3568970B2 (en) | IC card issuing device | |
| JP3662946B2 (en) | File management system and portable electronic device | |
| JPH01500379A (en) | System for portable data carriers | |
| US7577854B2 (en) | Information storage device having a divided area in memory area | |
| KR970006646B1 (en) | Portable electronic apparatus | |
| EP1733305A1 (en) | Semiconductor memory | |
| KR100349033B1 (en) | Storage medium having electronic circuit and method of managing the storage medium | |
| JP3445304B2 (en) | File management device | |
| KR920008755B1 (en) | Multipurpose portable data carrier apparatus | |
| JP2502894B2 (en) | IC card | |
| US5828053A (en) | Portable storage medium and portable storage medium issuing system | |
| JP4090350B2 (en) | IC card | |
| US6286757B1 (en) | Portable electronic apparatus | |
| JP3478968B2 (en) | Password processing apparatus and method | |
| JP2001034729A (en) | Ic card | |
| JP4445718B2 (en) | IC card and IC card program | |
| JP4443699B2 (en) | Portable electronic device and method for controlling portable electronic device | |
| US7296289B2 (en) | Setting or changing an access condition for an access management apparatus and method of a portable electronic device | |
| CN108376227B (en) | File access method and system of security chip |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060621 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090615 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090623 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20091118 |