JP2004348526A - Icカード、icカードプログラム及びコード部の入れ替え方法 - Google Patents
Icカード、icカードプログラム及びコード部の入れ替え方法 Download PDFInfo
- Publication number
- JP2004348526A JP2004348526A JP2003145948A JP2003145948A JP2004348526A JP 2004348526 A JP2004348526 A JP 2004348526A JP 2003145948 A JP2003145948 A JP 2003145948A JP 2003145948 A JP2003145948 A JP 2003145948A JP 2004348526 A JP2004348526 A JP 2004348526A
- Authority
- JP
- Japan
- Prior art keywords
- card
- application
- data
- unit
- new
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】セキュリティを維持しつつ、ICカードに搭載されているアプリケーションのコード部の入れ替えを可能とする実現性の高いICカード、ICカードプログラム及びコード部の入れ替え方法を提供する。
【解決手段】ICカード10の不揮発性メモリに記憶されているアプリケーションA2のコード部C2を新コード部C2’に入れ替えるコード部の入れ替え方法であって、アプリケーションA2のデータ部D2をカード発行者のみが復号可能なように暗号鍵K2で暗号化させ、ICカード10から外部へ出力させ、アプリケーションA2を不揮発性メモリから削除し、新コード部C2’と、データ部D2とを含む新アプリケーションA2’をICカード10へ入力し、不揮発性メモリに書き込む。
【選択図】 図2
【解決手段】ICカード10の不揮発性メモリに記憶されているアプリケーションA2のコード部C2を新コード部C2’に入れ替えるコード部の入れ替え方法であって、アプリケーションA2のデータ部D2をカード発行者のみが復号可能なように暗号鍵K2で暗号化させ、ICカード10から外部へ出力させ、アプリケーションA2を不揮発性メモリから削除し、新コード部C2’と、データ部D2とを含む新アプリケーションA2’をICカード10へ入力し、不揮発性メモリに書き込む。
【選択図】 図2
Description
【0001】
【発明の属する技術分野】
本発明は、記憶しているアプリケーションのコード部を入れ替えるICカード及びICカードプログラム、コード部の入れ替え方法に関するものである。
【0002】
【従来の技術】
近年、セキュリティの高さからICカードが様々な態様で使用されている。特に、クレジットやポイント、入退出管理などの複数の機能を実現するために複数のアプリケーションを1枚に収め、発行後にアプリの搭載及び削除が可能なマルチアプリケーションICカードが徐々に浸透しつつある。
アプリケーションは、コード部(プログラム)、コード部の実行によって書き換えられる個人情報などのカード毎に異なるデータであるデータ部などから構成され、ICチップのEEPROMなどの書き換え可能な不揮発性メモリに搭載されている。
ICカードに搭載されているアプリケーションの使用中にバグが見付かった場合には、カード配布後に、そのコード部(プログラム)を修正する必要が生じる。また、暗号アルゴリズムを初めとするプログラムロジックの発展は急であり、暗号アルゴリズムの寿命がICカードの寿命よりも短い現状においては、最初に搭載した暗号アルゴリズムを新しいものとするなど、同様にカード発行後にアプリケーションのコード部をバージョンアップする必要が生じる。
【0003】
しかし、コード部のみ修正(入れ替え)を可能とした場合には、不当なカード発行者やハッカーなどの不正者によって、アプリケーションのデータ部を覗き見るプログラムなどの不正なコード部が搭載され、データ部にある暗号鍵や使用者の個人情報などの機密情報が不正者に漏洩する可能性がある。また、入れ替えるコード部の正当性を証明する差し替え証明書などに基づいて入れ替えを行う場合であっても、差し替え証明書が漏洩した場合に別なコード部を搭載される危険性がある。
つまり、図4に示すように、コード部C’1、データ部D’1からなるアプリケーションA’1(図4(a))のコード部C’1のバージョンアップのため、正当なカード発行者がコード部C’1’に変更してアプリケーションA’1’(図4(b))とした場合には問題ないが、不正なコード部C’2を搭載してアプリケーションA’1”(図4(c))とした場合には、このコード部C’2を利用してデータ部D’1を読みだすことで機密情報が不正者に漏洩する可能性がある。
一方、マルチアプリケーションICカードでは、アプリケーションのコード部及びデータ部は対であり、同時に搭載/削除することで、ICカードに既に搭載されている他のアプリケーションから独立させ、機密情報の漏洩を防止している。
【0004】
しかし、このような方法でセキュリティを向上させることはできるが、コード部の修正や改良を容易に行うことが難しくなり、コード部のみ修正したい場合であっても、データ部と共に削除し、改めて再搭載することになってしまう。この場合、個人の情報や電子マネーなどのデータ部が使用により変更されているにもかかわらず、結果として、アプリケーションの削除と共にデータ部を削除するか、アプリケーションの変更を諦めるかのどちらかとなってしまう。
更に、アプリケーションのコード部及びデータ部を同時に入れ換える場合には、データ部をICカードから読み出し、コード部と共に再搭載することになり、データ部を外に読みだすことでセキュリティが保たれなくなってしまうという問題があった。
そこで、新たなコード部とともに再登録証明書をICカードへ送信し、ICカードが保持していた登録証明書と、再登録証明書を照合した後に新たなコード部を再登録し、再登録証明書を保持することによって、上記問題を解決するマルチアプリケーションICカードがある(例えば、特許文献1参照。)。
【0005】
【特許文献1】
特開2003−36419号公報(図1、[0008])
【0006】
【発明が解決しようとする課題】
しかし、このマルチアプリケーションICカードにおいては、KMA(KeyManagement Authority)などの認証局が元のアプリケーションの登録証明書に基づいて再登録証明書を発行するなど、新たなシステムを構築する負担がかかり、実現性が低くなるおそれがあった。
【0007】
本発明の課題は、セキュリティを維持しつつ、ICカードに搭載されているアプリケーションのコード部の入れ替えを可能とする実現性の高いICカード、ICカードプログラム及びコード部の入れ替え方法を提供することである。
【0008】
【課題を解決するための手段】
本発明は、以下のような解決手段により、前記課題を解決する。なお、理解を容易にするために、本発明の実施形態に対応する符号を付して説明するが、これに限定されるものではない。すなわち、請求項1の発明は、入れ替えの対象となるコード部(C2)を含むアプリケーション(A2)を記憶する記憶手段(17)と、前記記憶手段に記憶されているアプリケーションに含まれるデータ部(D2)を所定の者のみが復号可能なように暗号化する暗号化手段(141)と、前記暗号化手段によって暗号化されたデータ部を外部へ出力する出力手段(11,12)とを備えるICカード(10)である。
【0009】
請求項2の発明は、請求項1に記載のICカードにおいて、前記所定の者の秘密鍵と対となる公開鍵又は前記所定の者のみが知りうる共通鍵(K2)を記憶する暗号鍵記憶手段(17)を備え、前記暗号化手段は、前記暗号鍵記憶手段によって記憶されている公開鍵又は共通鍵を用いて暗号化を行うこと、
を特徴とするICカード(10)である。
【0010】
請求項3の発明は、請求項1又は請求項2に記載のICカードにおいて、前記出力手段によってデータ部が出力された後に、前記記憶手段によって記憶されているアプリケーションを削除する削除手段(144)を備えること、を特徴とするICカード(10)である。
【0011】
請求項4の発明は、請求項3に記載のICカードにおいて、前記削除手段は、外部から入力した前記アプリケーションについての削除証明書の正当性を確認した後に前記アプリケーションを削除すること、を特徴とするICカード(10)である。
【0012】
請求項5の発明は、請求項1から請求項4に記載のICカードにおいて、外部から新コード部(C2’)と、前記出力手段によって出力されたデータ部(D2)又は前記データ部に基づいて更新された新データ部とを含む新アプリケーション(A2’)を入力する入力手段(11,12)と、前記入力手段によって入力された新アプリケーションを前記記憶手段に書き込む書込手段(145)とを備えること、を特徴とするICカード(10)である。
【0013】
請求項6の発明は、請求項5に記載のICカードにおいて、前記入力手段によって入力された新アプリケーションの正当性を前記新アプリケーションについての搭載証明書に基づいて判定する搭載正当性判定手段(142,143)と、前記搭載正当性判定手段の判定結果に応じて、前記新アプリケーションの有効化又は無効化を行う判定対応処理手段(144、145)とを備えること、を特徴とするICカード(10)である。
【0014】
請求項7の発明は、入れ替えの対象となるコード部(C2)を含むアプリケーション(A2)を記憶する記憶手段(17)を備えるICカード(10)に、前記コード部を入れ替えるために実行させるICカードプログラムであって、外部から所定の指示を受信した場合に、所定の者のみが復号可能なように前記アプリケーションに含まれるデータ部(D2)を暗号化する暗号化手順(S110)と、前記暗号化手順おいて暗号化したデータ部を外部へ出力する出力手順(S120)と、前記出力手順においてデータ部を出力した後に、前記記憶手段に記憶されているアプリケーションを削除する削除手順(S130)とを備えること、を特徴とするICカードプログラムである。
【0015】
請求項8の発明は、請求項7に記載のICカードプログラムにおいて、新コード部(C2’)と、前記出力手順において出力したデータ部又は前記データ部に基づいて更新された新データ部とを含む新アプリケーション(A2’)を入力する入力手順(S140)と、前記入力手順において入力した新アプリケーションを前記記憶手段に書き込む書込手順(S140)とを備えること、を特徴とするICカードプログラムである。
【0016】
請求項9の発明は、ICカード(10)の記憶手段(17)に記憶されているアプリケーション(A2)について、前記アプリケーションのコード部(C2)を入れ替えるコード部の入れ替え方法であって、前記記憶手段に記憶されているアプリケーションのデータ部(D2)を所定の者のみが復号可能なように暗号化させ、前記ICカードから外部へ出力させる暗号化データ部出力ステップ(S110,S120)と、前記暗号化データ部出力ステップにおいて出力が行われた後に、前記記憶手段に記憶されているアプリケーションを削除するアプリケーション削除ステップ(S130)とを備えること、を特徴とするコード部の入れ替え方法である。
【0017】
請求項10の発明は、請求項9に記載のコード部の入れ替え方法において、新コード部(C2’)と、前記暗号化データ部出力ステップにおいて出力させたデータ部又は前記データ部に基づいて更新された新データ部とを含む新アプリケーション(A2’)を前記ICカードへ入力し、前記記憶手段に書き込む新アプリケーション書き込みステップ(S140)を備えること、を特徴とするコード部の入れ替え方法である。
【0018】
【発明の実施の形態】
以下、図面などを参照しながら、本発明の実施の形態について、更に詳しく説明する。
(実施形態)
図1は、本発明によるICカードの実施形態を示すブロック図である。
図1に示すように、ICカード10は、通信部11、ICチップ12などを備え、カード発行者によって発行され、管理されているマルチアプリケーションICカードである。ICカード10は、リーダライタを備える情報処理端末であるATMなどの外部装置と非接触式又は接触式での通信を行い、外部装置から受信した指示(コマンド)に応じた処理を行い、結果を応答(レスポンス)として返信する。
【0019】
通信部11は、例えば、アンテナ又は接触端子などであって、外部装置及びCPU14の通信を媒介する。ICチップ12は、CPU14と、CPU14に接続されたI/Oインターフェイス13、RAM15、ROM16及び不揮発性メモリ17などを備えている。
I/Oインターフェイス13は、通信部11及びCPU14間の入出力を媒介する入出力インターフェイスである。
CPU14は、種々の演算及び制御を行う、ICカード10を統括制御する中央処理装置であって、ROM16、不揮発性メモリ17などのメモリに格納されているプログラムを実行することによって、暗号化部141、復号部142、判定部143、削除部144、書き込み部145などを実現する。
【0020】
暗号化部141は、不揮発性メモリ17に記憶されている暗号鍵K2(後述する図2参照)を用い、DESなどの共通鍵暗号方式に基づいて、アプリケーションなどの情報を暗号化する。復号部142は、ROM16に記憶されている公開鍵PKk(後述する図2参照)を用い、RSAなどの公開鍵暗号方式に基づいて搭載証明書、削除証明書などの暗号文を復号する。判定部143は、復号部142によって搭載証明書の復号が行われた場合に、その結果に基づいて搭載証明書が付されたアプリケーションが正当なものであるか否かを判定する。また、判定部143は、復号部142によって削除証明書の復号が行われた場合に、その結果に基づいて削除証明書が正当なものであるか否か、つまり、削除証明書をICカード10に提供し、削除を指示する者が指定されたアプリケーションを削除する正当な権限を有するか否かを判定する。削除部144は、不揮発性メモリ17からのデータの削除、書き込み部145は、不揮発性メモリ17へのデータの書き込み又は書き換えを行う。
【0021】
搭載証明書とは、搭載証明書が付されている、つまり、搭載が指示されているアプリケーションなどの情報が正当なものであること(改竄されていないこと、提供者が正当であること)を証明する情報であって、その具体例は、アプリケーションを特徴づける特徴情報を認証局が自己の秘密鍵SKkで暗号化し、認証局の公開鍵PKkを用いて復号を行う者に対して、アプリケーションが正当であることを認証局(暗号化で用いた秘密鍵の所有者)が証明するデジタル証明書である。
削除証明書とは、例えば、削除する対象のアプリケーションを識別するアプリケーションIDなどを含む情報を秘密鍵SKkで暗号化した情報であって、このアプリケーションの削除を指示する者が正当な者であることを認証局(暗号化で用いた秘密鍵の所有者)が証明するデジタル証明書である。なお、アプリケーションの削除とは、物理的にアプリケーションをICカード10から削除する、無効化するなど、ICカード10において使用できない状態とすることである。
従って、アプリケーションの搭載又は削除の正当な権限を有する所定の者のみがICカード10に対してアプリケーションの搭載又は削除を実行することが可能であり、本実施形態においては、カード発行者のみが実行することが可能である。
【0022】
RAM15、ROM16及び不揮発性メモリ17は、プログラムなどのCPU14の処理に必要な情報を記憶するための記憶手段である。
RAM15は、揮発性メモリであり、CPU14が処理を行うための作業領域として使用される。ROM16は、不揮発性の読み出し専用メモリであって、アプリケーションを実行させるためのオペレーティングシステム(以下、「OS」という。)、実行環境などの基本ソフトウェアなどを記憶している。また、ROM16は、認証局によって提供された、認証局の秘密鍵SKkと対になる公開鍵PKkを記憶している(後述する図2参照)。不揮発性メモリ17は、EEPROM、フラッシュメモリ、FRAMなどの随時書き換え可能な不揮発性のメモリであり、通常ユーザのワークエリア、プログラムエリアなどとして使用される。不揮発性メモリ17には、複数のアプリケーションA1,A2が記憶されている(後述する図2参照。)。
【0023】
図2は、本発明によるICカードの構造を通信機能の観点から三層に分割して示した概略模式図であって、各図は、データ部D2の入れ替えにおける3態様を示している。ICカード10は、下層からハードウェア(H/W)であるICチップ12の層、アプリケーションをハードウェア上で動作させるためのソフトウェア(S/W)であるOSの層及びアプリケーションA1,A2の層から構成されている。
図2(a)に示すICカード10は、発行後に使用者(カード保持者)に送付され、カード保持者によって使用されている状態にある。図2(a)に示すように、不揮発性メモリ17に記憶されている各アプリケーションA1,A2は、ファイアウォールF1により個別に保護され、アプリケーションA1,A2ごとにセキュリティが確保されている。アプリケーションA1,A2は、コード部C1,C2及びデータ部D1,D2と、コード部C1,C2及びデータ部D1,D2のサイズ、アプリケーションIDなどのアプリケーション全体にかかる情報である属性情報とを含んでいる(属性情報は、図示しない。)。アプリケーションの搭載(アプリケーションを使用できる有効なものとして記憶すること。)又は削除は、所定の指示が外部からあった場合に、外部から入力した搭載証明書又は削除証明書に基づいて指示の正当性を確認した上で行われる。
【0024】
アプリケーションA2のコード部C2は、バージョンアップ、バグなどによって修正する必要があるため、新コード部C2’へ入れ替えられる対象となる。また、アプリケーションA2のデータ部D2は、ICカード10の使用によって書き換えられた個人情報やポイント、電子マネーといったカード保持者の何らかの情報を含み、コード部C2の入れ替えにおいても維持される必要がある。また、データ部D2は、暗号鍵K2を含んでいる。
暗号鍵K2は、外部から読み出しができない機密保持状態で記憶されている。暗号鍵K2は、共通鍵暗号方式で用いられる暗号鍵であり、カード発行者のみがその内容を知り、暗号化されるなどの機密保持状態でアプリケーションA2とともにICカード10へ搭載される。アプリケーションA1,A2をカード発行者に提供したアプリケーションプロバイダがコード部C1,C2についての著作権などの権利を有するため、漏洩防止の観点より、コード部C1,C2のみをICカード10から読み出すことはできない。
【0025】
ここで、図2(a)に示すICカード10の製造及び発行について説明する。
ICチップ12の製造段階において、ROM16にOS、公開鍵PKkなどが書き込まれる。
1次発行段階において、搭載証明書を用いて、アプリケーションA1及びアプリケーションA2を順にICカード10に搭載する。
2次発行段階において、各アプリケーションA1,A2のデータ部D1,D2に個人情報や初期データなどを書き込む。
1次及び2次発行は、外部装置であるICカード発行機によりコマンドがICカード10へ送信され、そのコマンドに応じてICカード10が処理を行うことによって実行される。発行処理が行われたICカード10は、所定のカード保持者に配布され、図2(a)に示す状態となる。
【0026】
図3は、本発明によるICカードの動作、本発明によるICカードプログラム及びコード部の入れ替え方法を示すフローチャートである。以下、図2を適宜参照しながらコード部C2の入れ替えについてICカード10の処理を中心に説明する。
ステップ100(以下、「ステップ」を「S」という。)においてICカード10は、図2(a)の状態であって、カード発行者の管理する外部装置に接続され、コマンドの受信待ちの状態にある。
S110において、ICカード10は、外部装置からデータ部の読み出しを指示する所定のコマンドを受信し、暗号化部141は、アプリケーションA2に含まれる暗号鍵K2を用いて、アプリケーションA2のデータ部D2を暗号化し、コマンドの応答として暗号化されたデータ部D2を外部装置へ送信する(S120、図2(b))。
【0027】
S130において、ICカード10は、外部装置からアプリケーションA2の削除を指示するコマンド及び削除証明書を受信し、復号部142は、削除証明書を公開鍵PKkで復号し、判定部143がその結果に基づいて削除証明書の正当性を確認し、削除部144は、不揮発性メモリ17に記憶されているアプリケーションA2を削除する。正当性が確認できない場合には、ICカード10は、削除せずにその旨を示すレスポンスを外部装置へ送信する。
外部装置は、記憶している暗号鍵K2を用いて、ICカード10から読み出した暗号化されたデータ部D2を復号する。外部装置は、このデータ部D2と、アプリケーションプロバイダから供給された修正済みの新たなコード部C2’とを含む新たなアプリケーションA2’を所定のコマンド及び搭載証明書とともにICカード10へ送信する。
【0028】
ICカード10の復号部142は、受信した搭載証明書を公開鍵PKkで復号し、判定部143がその結果に基づいてアプリケーションA2’の正当性を確認し、書き込み部145は、アプリケーションA2’を有効なものとして(使用可能な状態で)不揮発性メモリ17に書き込み(S140、図2(c))、処理を終了する(S150)。判定部143が正当性を確認できない場合には、削除部144は、受信したアプリケーションA2’を削除し、ICカード10は、その旨を示すレスポンスを外部装置へ送信する。
なお、外部装置は、ICカード10から読み出した暗号化されたデータ部D2を復号せず、そのまま新たなコード部C2’と合わせてICカード10へ送信し、ICカード10内で暗号鍵K2を用いて復号してもよい。また、カード発行者(外部装置)は、取り出したデータ部D2を変更する必要があれば復号して書き換え、新たなデータ部D2’とすることも可能である。データ部D2の復号は、漏洩を避ける環境において行われる必要がある。
【0029】
このように、本実施形態によれば、データ部D2を読み出す場合には、暗号鍵K2を用いてアプリケーションA2のデータ部D2をカード発行者のみが復号可能なように暗号化するため、第三者が不正に読み出しコマンドを利用して取り出したデータ部D2を利用することを防止するなど、セキュリティを維持し、ICカード10の使用により書き換えられたデータ部D2の内容をそのままの状態で又は更新して、コード部C2を入れ替え、バージョンアップ、バグ修正などを行うことが可能となった。
また、搭載証明書を利用して新たなアプリケーションA2’の搭載を行うため、コード部C2’だけを分けて搭載する場合に起こりうる不正なコード部へのすり替えを防止し、セキュリティを維持することが可能となった。
【0030】
なお、カード発行者のホストコンピュータ、外部装置及びICカード間の通信において搭載証明書が不正者に漏洩した場合であっても、アプリケーションA2’のコード部C2’及びデータ部D2を同時に搭載しなければならず、ICカード10に搭載済みのアプリケーションA2’のデータ部D2を覗き見ることは不可能である。
更に、ICカード10は、削除証明書によって正当性を確認した後にコード部C2及びデータ部D2を共に削除するため、セキュリティを維持することが可能となった。
更にまた、ICカード10は、従来から利用されている搭載証明書及び削除証明書を利用してアプリケーションの搭載及び削除を行うなど、容易な仕組みによってコード部C2の入れ替えを行うため、システム構築などの負担をかけず、上記各効果を容易に実現することが可能となった。
【0031】
(変形形態)
以上説明した実施形態に限定されることなく、種々の変形や変更が可能であって、それらも本発明の均等の範囲内である。例えば、ICカード10は、アプリケーションA2のデータ部D2に、読み出す場合に暗号化するための暗号鍵K2を含めて不揮発性メモリ17に記憶しているが、ICチップ12の製造時にROM16に記憶させてもよく、カード発行者のみが知りうるようにICカード10内に格納できればよい。
【0032】
また、暗号鍵K2は、共通鍵暗号化方式における共通鍵のみに限られず、例えば、公開鍵暗号方式における公開鍵などの暗号鍵であってもよい。復号できる者を発行者のみに限定するように暗号化できる暗号鍵であればよい。
更に、暗号鍵K2をICカード10内で生成し、復号できる者をこのICカード10のみに限定してもよい。ICカード10外部では、データ部D2の復号を行うことができなくなり、セキュリティを向上することが可能となる。なお、外部で復号を行う必要がある場合には、所定の条件の下、暗号鍵K2をICカード10から読み出すことができるようにしてもよい。
更にまた、機密性が保持できれば、暗号鍵K2をホストコンピュータや端末などの外部装置からICカード10へ送信し、格納してもよい。
【0033】
ICカード10は、外部装置と通信を行うことによってデータ部D2の入れ替えを一連の処理として実行するが、例えば、先ず、暗号化されたデータ部D2を出力し、アプリケーションA2を削除して一旦処理を終了し、改めて、新たなアプリケーションA2’の搭載を行ってもよい。このような場合には、各処理における外部装置が同一である必要はない。
また、ICカード10から暗号化されたデータ部D2を読み出し、このデータ部D2を含む新たなアプリケーションA2’をこのICカード10へ戻しているが、新たなアプリケーションA2’を他のICカードへ搭載してもよい。
更に、ICカード10は、外部装置から受信した所定のコマンドに応じて、暗号化されたデータ部D2を出力し、同様に、他の所定のコマンドに応じて、アプリケーションA2’の搭載を行っているが、これらの処理をICカード10に実行させるために外部装置からICカード10へ送信するコマンドの数は、これに限られず、例えば、外部装置からデータ部D2の暗号化を指示する所定のコマンド、暗号化したデータ部D2の出力を指示する所定のコマンドなどを送信してもよい。
【0034】
ICカード10は、搭載証明書に基づいて正当性を確認したアプリケーションA2’を有効なものとして不揮発性メモリ17に書き込むが、搭載証明書に基づいた判定の処理と、その判定結果に応じた処理は、これに限定されず、受信したアプリケーションA2’を先ず不揮発性メモリ17に書き込み、正当性が確認できない場合に削除してもよい。
【0035】
ICカード10は、搭載証明書、削除証明書に基づいて、アプリケーションの搭載指示、削除指示の正当性を確認するための公開鍵PKkをROM16に記憶しているが、不揮発性メモリ17に記憶していてもよい。アプリケーションA1,A2をICカード10に搭載する前に予めICカード10内に記憶されていればよい。
【0036】
ICカード10に搭載するアプリケーションの正当性を確認するためのアプリケーション搭載証明書は、特徴情報を秘密鍵で暗号化したものとしたが、これに限定されず、ICカード10内に記憶されている公開鍵PKkを用いて復号を行い、対象となるアプリケーションの正当性を確認することができればよい。削除証明書についても同様である。
【0037】
【発明の効果】
以上詳しく説明したように、本発明によるICカード、ICカードプログラム及びコード部の入れ替え方法によれば、以下の効果を得ることが可能となった。
(1)共通鍵、公開鍵などでデータ部を所定の者のみが復号可能なように暗号化し、外部へ出力することによって、データ部の漏洩を防止し、セキュリティを維持するとともに、カード発行後に変更されたデータ部を活用できる状態とする。
(2)データ部毎、コード部毎でなく、対象アプリケーション単位で搭載又は削除することによって、セキュリティを維持する。
(3)従来と同様に、削除証明書の正当性を確認した後に対象アプリケーションを削除することによって、セキュリティを維持するとともにコード部の入れ替えを容易化し、実現性を向上する。
(4)新コード部と、データ部又は新データ部とを含む新アプリケーションを入力し、書き込むことによって、セキュリティを維持しつつ、コード部の入れ替え、又は、コード部の入れ替え及びデータ部の更新を可能とする。
(5)従来と同様に、搭載証明書に基づいて新アプリケーションの正当性を判定し、判定結果に応じた処理を行うことによって、セキュリティを維持するとともにコード部の入れ替えを容易化し、実現性を向上する。
【図面の簡単な説明】
【図1】本発明によるICカードの実施形態を示すブロック図である。
【図2】本発明によるICカードの構造を通信機能の観点から三層に分割して示した概略模式図である。
【図3】本発明によるICカードの動作、本発明によるICカードプログラム及びコード部の入れ替え方法を示すフローチャートである。
【図4】従来のコード部の入れ替えにおける問題を説明する図である。
【符号の説明】
10 ICカード
11 通信部
12 ICチップ
13 I/Oインターフェイス
14 CPU
15 RAM
16 ROM
17 不揮発性メモリ
141 暗号化部
142 復号部
143 判定部
144 削除部
145 書き込み部
【発明の属する技術分野】
本発明は、記憶しているアプリケーションのコード部を入れ替えるICカード及びICカードプログラム、コード部の入れ替え方法に関するものである。
【0002】
【従来の技術】
近年、セキュリティの高さからICカードが様々な態様で使用されている。特に、クレジットやポイント、入退出管理などの複数の機能を実現するために複数のアプリケーションを1枚に収め、発行後にアプリの搭載及び削除が可能なマルチアプリケーションICカードが徐々に浸透しつつある。
アプリケーションは、コード部(プログラム)、コード部の実行によって書き換えられる個人情報などのカード毎に異なるデータであるデータ部などから構成され、ICチップのEEPROMなどの書き換え可能な不揮発性メモリに搭載されている。
ICカードに搭載されているアプリケーションの使用中にバグが見付かった場合には、カード配布後に、そのコード部(プログラム)を修正する必要が生じる。また、暗号アルゴリズムを初めとするプログラムロジックの発展は急であり、暗号アルゴリズムの寿命がICカードの寿命よりも短い現状においては、最初に搭載した暗号アルゴリズムを新しいものとするなど、同様にカード発行後にアプリケーションのコード部をバージョンアップする必要が生じる。
【0003】
しかし、コード部のみ修正(入れ替え)を可能とした場合には、不当なカード発行者やハッカーなどの不正者によって、アプリケーションのデータ部を覗き見るプログラムなどの不正なコード部が搭載され、データ部にある暗号鍵や使用者の個人情報などの機密情報が不正者に漏洩する可能性がある。また、入れ替えるコード部の正当性を証明する差し替え証明書などに基づいて入れ替えを行う場合であっても、差し替え証明書が漏洩した場合に別なコード部を搭載される危険性がある。
つまり、図4に示すように、コード部C’1、データ部D’1からなるアプリケーションA’1(図4(a))のコード部C’1のバージョンアップのため、正当なカード発行者がコード部C’1’に変更してアプリケーションA’1’(図4(b))とした場合には問題ないが、不正なコード部C’2を搭載してアプリケーションA’1”(図4(c))とした場合には、このコード部C’2を利用してデータ部D’1を読みだすことで機密情報が不正者に漏洩する可能性がある。
一方、マルチアプリケーションICカードでは、アプリケーションのコード部及びデータ部は対であり、同時に搭載/削除することで、ICカードに既に搭載されている他のアプリケーションから独立させ、機密情報の漏洩を防止している。
【0004】
しかし、このような方法でセキュリティを向上させることはできるが、コード部の修正や改良を容易に行うことが難しくなり、コード部のみ修正したい場合であっても、データ部と共に削除し、改めて再搭載することになってしまう。この場合、個人の情報や電子マネーなどのデータ部が使用により変更されているにもかかわらず、結果として、アプリケーションの削除と共にデータ部を削除するか、アプリケーションの変更を諦めるかのどちらかとなってしまう。
更に、アプリケーションのコード部及びデータ部を同時に入れ換える場合には、データ部をICカードから読み出し、コード部と共に再搭載することになり、データ部を外に読みだすことでセキュリティが保たれなくなってしまうという問題があった。
そこで、新たなコード部とともに再登録証明書をICカードへ送信し、ICカードが保持していた登録証明書と、再登録証明書を照合した後に新たなコード部を再登録し、再登録証明書を保持することによって、上記問題を解決するマルチアプリケーションICカードがある(例えば、特許文献1参照。)。
【0005】
【特許文献1】
特開2003−36419号公報(図1、[0008])
【0006】
【発明が解決しようとする課題】
しかし、このマルチアプリケーションICカードにおいては、KMA(KeyManagement Authority)などの認証局が元のアプリケーションの登録証明書に基づいて再登録証明書を発行するなど、新たなシステムを構築する負担がかかり、実現性が低くなるおそれがあった。
【0007】
本発明の課題は、セキュリティを維持しつつ、ICカードに搭載されているアプリケーションのコード部の入れ替えを可能とする実現性の高いICカード、ICカードプログラム及びコード部の入れ替え方法を提供することである。
【0008】
【課題を解決するための手段】
本発明は、以下のような解決手段により、前記課題を解決する。なお、理解を容易にするために、本発明の実施形態に対応する符号を付して説明するが、これに限定されるものではない。すなわち、請求項1の発明は、入れ替えの対象となるコード部(C2)を含むアプリケーション(A2)を記憶する記憶手段(17)と、前記記憶手段に記憶されているアプリケーションに含まれるデータ部(D2)を所定の者のみが復号可能なように暗号化する暗号化手段(141)と、前記暗号化手段によって暗号化されたデータ部を外部へ出力する出力手段(11,12)とを備えるICカード(10)である。
【0009】
請求項2の発明は、請求項1に記載のICカードにおいて、前記所定の者の秘密鍵と対となる公開鍵又は前記所定の者のみが知りうる共通鍵(K2)を記憶する暗号鍵記憶手段(17)を備え、前記暗号化手段は、前記暗号鍵記憶手段によって記憶されている公開鍵又は共通鍵を用いて暗号化を行うこと、
を特徴とするICカード(10)である。
【0010】
請求項3の発明は、請求項1又は請求項2に記載のICカードにおいて、前記出力手段によってデータ部が出力された後に、前記記憶手段によって記憶されているアプリケーションを削除する削除手段(144)を備えること、を特徴とするICカード(10)である。
【0011】
請求項4の発明は、請求項3に記載のICカードにおいて、前記削除手段は、外部から入力した前記アプリケーションについての削除証明書の正当性を確認した後に前記アプリケーションを削除すること、を特徴とするICカード(10)である。
【0012】
請求項5の発明は、請求項1から請求項4に記載のICカードにおいて、外部から新コード部(C2’)と、前記出力手段によって出力されたデータ部(D2)又は前記データ部に基づいて更新された新データ部とを含む新アプリケーション(A2’)を入力する入力手段(11,12)と、前記入力手段によって入力された新アプリケーションを前記記憶手段に書き込む書込手段(145)とを備えること、を特徴とするICカード(10)である。
【0013】
請求項6の発明は、請求項5に記載のICカードにおいて、前記入力手段によって入力された新アプリケーションの正当性を前記新アプリケーションについての搭載証明書に基づいて判定する搭載正当性判定手段(142,143)と、前記搭載正当性判定手段の判定結果に応じて、前記新アプリケーションの有効化又は無効化を行う判定対応処理手段(144、145)とを備えること、を特徴とするICカード(10)である。
【0014】
請求項7の発明は、入れ替えの対象となるコード部(C2)を含むアプリケーション(A2)を記憶する記憶手段(17)を備えるICカード(10)に、前記コード部を入れ替えるために実行させるICカードプログラムであって、外部から所定の指示を受信した場合に、所定の者のみが復号可能なように前記アプリケーションに含まれるデータ部(D2)を暗号化する暗号化手順(S110)と、前記暗号化手順おいて暗号化したデータ部を外部へ出力する出力手順(S120)と、前記出力手順においてデータ部を出力した後に、前記記憶手段に記憶されているアプリケーションを削除する削除手順(S130)とを備えること、を特徴とするICカードプログラムである。
【0015】
請求項8の発明は、請求項7に記載のICカードプログラムにおいて、新コード部(C2’)と、前記出力手順において出力したデータ部又は前記データ部に基づいて更新された新データ部とを含む新アプリケーション(A2’)を入力する入力手順(S140)と、前記入力手順において入力した新アプリケーションを前記記憶手段に書き込む書込手順(S140)とを備えること、を特徴とするICカードプログラムである。
【0016】
請求項9の発明は、ICカード(10)の記憶手段(17)に記憶されているアプリケーション(A2)について、前記アプリケーションのコード部(C2)を入れ替えるコード部の入れ替え方法であって、前記記憶手段に記憶されているアプリケーションのデータ部(D2)を所定の者のみが復号可能なように暗号化させ、前記ICカードから外部へ出力させる暗号化データ部出力ステップ(S110,S120)と、前記暗号化データ部出力ステップにおいて出力が行われた後に、前記記憶手段に記憶されているアプリケーションを削除するアプリケーション削除ステップ(S130)とを備えること、を特徴とするコード部の入れ替え方法である。
【0017】
請求項10の発明は、請求項9に記載のコード部の入れ替え方法において、新コード部(C2’)と、前記暗号化データ部出力ステップにおいて出力させたデータ部又は前記データ部に基づいて更新された新データ部とを含む新アプリケーション(A2’)を前記ICカードへ入力し、前記記憶手段に書き込む新アプリケーション書き込みステップ(S140)を備えること、を特徴とするコード部の入れ替え方法である。
【0018】
【発明の実施の形態】
以下、図面などを参照しながら、本発明の実施の形態について、更に詳しく説明する。
(実施形態)
図1は、本発明によるICカードの実施形態を示すブロック図である。
図1に示すように、ICカード10は、通信部11、ICチップ12などを備え、カード発行者によって発行され、管理されているマルチアプリケーションICカードである。ICカード10は、リーダライタを備える情報処理端末であるATMなどの外部装置と非接触式又は接触式での通信を行い、外部装置から受信した指示(コマンド)に応じた処理を行い、結果を応答(レスポンス)として返信する。
【0019】
通信部11は、例えば、アンテナ又は接触端子などであって、外部装置及びCPU14の通信を媒介する。ICチップ12は、CPU14と、CPU14に接続されたI/Oインターフェイス13、RAM15、ROM16及び不揮発性メモリ17などを備えている。
I/Oインターフェイス13は、通信部11及びCPU14間の入出力を媒介する入出力インターフェイスである。
CPU14は、種々の演算及び制御を行う、ICカード10を統括制御する中央処理装置であって、ROM16、不揮発性メモリ17などのメモリに格納されているプログラムを実行することによって、暗号化部141、復号部142、判定部143、削除部144、書き込み部145などを実現する。
【0020】
暗号化部141は、不揮発性メモリ17に記憶されている暗号鍵K2(後述する図2参照)を用い、DESなどの共通鍵暗号方式に基づいて、アプリケーションなどの情報を暗号化する。復号部142は、ROM16に記憶されている公開鍵PKk(後述する図2参照)を用い、RSAなどの公開鍵暗号方式に基づいて搭載証明書、削除証明書などの暗号文を復号する。判定部143は、復号部142によって搭載証明書の復号が行われた場合に、その結果に基づいて搭載証明書が付されたアプリケーションが正当なものであるか否かを判定する。また、判定部143は、復号部142によって削除証明書の復号が行われた場合に、その結果に基づいて削除証明書が正当なものであるか否か、つまり、削除証明書をICカード10に提供し、削除を指示する者が指定されたアプリケーションを削除する正当な権限を有するか否かを判定する。削除部144は、不揮発性メモリ17からのデータの削除、書き込み部145は、不揮発性メモリ17へのデータの書き込み又は書き換えを行う。
【0021】
搭載証明書とは、搭載証明書が付されている、つまり、搭載が指示されているアプリケーションなどの情報が正当なものであること(改竄されていないこと、提供者が正当であること)を証明する情報であって、その具体例は、アプリケーションを特徴づける特徴情報を認証局が自己の秘密鍵SKkで暗号化し、認証局の公開鍵PKkを用いて復号を行う者に対して、アプリケーションが正当であることを認証局(暗号化で用いた秘密鍵の所有者)が証明するデジタル証明書である。
削除証明書とは、例えば、削除する対象のアプリケーションを識別するアプリケーションIDなどを含む情報を秘密鍵SKkで暗号化した情報であって、このアプリケーションの削除を指示する者が正当な者であることを認証局(暗号化で用いた秘密鍵の所有者)が証明するデジタル証明書である。なお、アプリケーションの削除とは、物理的にアプリケーションをICカード10から削除する、無効化するなど、ICカード10において使用できない状態とすることである。
従って、アプリケーションの搭載又は削除の正当な権限を有する所定の者のみがICカード10に対してアプリケーションの搭載又は削除を実行することが可能であり、本実施形態においては、カード発行者のみが実行することが可能である。
【0022】
RAM15、ROM16及び不揮発性メモリ17は、プログラムなどのCPU14の処理に必要な情報を記憶するための記憶手段である。
RAM15は、揮発性メモリであり、CPU14が処理を行うための作業領域として使用される。ROM16は、不揮発性の読み出し専用メモリであって、アプリケーションを実行させるためのオペレーティングシステム(以下、「OS」という。)、実行環境などの基本ソフトウェアなどを記憶している。また、ROM16は、認証局によって提供された、認証局の秘密鍵SKkと対になる公開鍵PKkを記憶している(後述する図2参照)。不揮発性メモリ17は、EEPROM、フラッシュメモリ、FRAMなどの随時書き換え可能な不揮発性のメモリであり、通常ユーザのワークエリア、プログラムエリアなどとして使用される。不揮発性メモリ17には、複数のアプリケーションA1,A2が記憶されている(後述する図2参照。)。
【0023】
図2は、本発明によるICカードの構造を通信機能の観点から三層に分割して示した概略模式図であって、各図は、データ部D2の入れ替えにおける3態様を示している。ICカード10は、下層からハードウェア(H/W)であるICチップ12の層、アプリケーションをハードウェア上で動作させるためのソフトウェア(S/W)であるOSの層及びアプリケーションA1,A2の層から構成されている。
図2(a)に示すICカード10は、発行後に使用者(カード保持者)に送付され、カード保持者によって使用されている状態にある。図2(a)に示すように、不揮発性メモリ17に記憶されている各アプリケーションA1,A2は、ファイアウォールF1により個別に保護され、アプリケーションA1,A2ごとにセキュリティが確保されている。アプリケーションA1,A2は、コード部C1,C2及びデータ部D1,D2と、コード部C1,C2及びデータ部D1,D2のサイズ、アプリケーションIDなどのアプリケーション全体にかかる情報である属性情報とを含んでいる(属性情報は、図示しない。)。アプリケーションの搭載(アプリケーションを使用できる有効なものとして記憶すること。)又は削除は、所定の指示が外部からあった場合に、外部から入力した搭載証明書又は削除証明書に基づいて指示の正当性を確認した上で行われる。
【0024】
アプリケーションA2のコード部C2は、バージョンアップ、バグなどによって修正する必要があるため、新コード部C2’へ入れ替えられる対象となる。また、アプリケーションA2のデータ部D2は、ICカード10の使用によって書き換えられた個人情報やポイント、電子マネーといったカード保持者の何らかの情報を含み、コード部C2の入れ替えにおいても維持される必要がある。また、データ部D2は、暗号鍵K2を含んでいる。
暗号鍵K2は、外部から読み出しができない機密保持状態で記憶されている。暗号鍵K2は、共通鍵暗号方式で用いられる暗号鍵であり、カード発行者のみがその内容を知り、暗号化されるなどの機密保持状態でアプリケーションA2とともにICカード10へ搭載される。アプリケーションA1,A2をカード発行者に提供したアプリケーションプロバイダがコード部C1,C2についての著作権などの権利を有するため、漏洩防止の観点より、コード部C1,C2のみをICカード10から読み出すことはできない。
【0025】
ここで、図2(a)に示すICカード10の製造及び発行について説明する。
ICチップ12の製造段階において、ROM16にOS、公開鍵PKkなどが書き込まれる。
1次発行段階において、搭載証明書を用いて、アプリケーションA1及びアプリケーションA2を順にICカード10に搭載する。
2次発行段階において、各アプリケーションA1,A2のデータ部D1,D2に個人情報や初期データなどを書き込む。
1次及び2次発行は、外部装置であるICカード発行機によりコマンドがICカード10へ送信され、そのコマンドに応じてICカード10が処理を行うことによって実行される。発行処理が行われたICカード10は、所定のカード保持者に配布され、図2(a)に示す状態となる。
【0026】
図3は、本発明によるICカードの動作、本発明によるICカードプログラム及びコード部の入れ替え方法を示すフローチャートである。以下、図2を適宜参照しながらコード部C2の入れ替えについてICカード10の処理を中心に説明する。
ステップ100(以下、「ステップ」を「S」という。)においてICカード10は、図2(a)の状態であって、カード発行者の管理する外部装置に接続され、コマンドの受信待ちの状態にある。
S110において、ICカード10は、外部装置からデータ部の読み出しを指示する所定のコマンドを受信し、暗号化部141は、アプリケーションA2に含まれる暗号鍵K2を用いて、アプリケーションA2のデータ部D2を暗号化し、コマンドの応答として暗号化されたデータ部D2を外部装置へ送信する(S120、図2(b))。
【0027】
S130において、ICカード10は、外部装置からアプリケーションA2の削除を指示するコマンド及び削除証明書を受信し、復号部142は、削除証明書を公開鍵PKkで復号し、判定部143がその結果に基づいて削除証明書の正当性を確認し、削除部144は、不揮発性メモリ17に記憶されているアプリケーションA2を削除する。正当性が確認できない場合には、ICカード10は、削除せずにその旨を示すレスポンスを外部装置へ送信する。
外部装置は、記憶している暗号鍵K2を用いて、ICカード10から読み出した暗号化されたデータ部D2を復号する。外部装置は、このデータ部D2と、アプリケーションプロバイダから供給された修正済みの新たなコード部C2’とを含む新たなアプリケーションA2’を所定のコマンド及び搭載証明書とともにICカード10へ送信する。
【0028】
ICカード10の復号部142は、受信した搭載証明書を公開鍵PKkで復号し、判定部143がその結果に基づいてアプリケーションA2’の正当性を確認し、書き込み部145は、アプリケーションA2’を有効なものとして(使用可能な状態で)不揮発性メモリ17に書き込み(S140、図2(c))、処理を終了する(S150)。判定部143が正当性を確認できない場合には、削除部144は、受信したアプリケーションA2’を削除し、ICカード10は、その旨を示すレスポンスを外部装置へ送信する。
なお、外部装置は、ICカード10から読み出した暗号化されたデータ部D2を復号せず、そのまま新たなコード部C2’と合わせてICカード10へ送信し、ICカード10内で暗号鍵K2を用いて復号してもよい。また、カード発行者(外部装置)は、取り出したデータ部D2を変更する必要があれば復号して書き換え、新たなデータ部D2’とすることも可能である。データ部D2の復号は、漏洩を避ける環境において行われる必要がある。
【0029】
このように、本実施形態によれば、データ部D2を読み出す場合には、暗号鍵K2を用いてアプリケーションA2のデータ部D2をカード発行者のみが復号可能なように暗号化するため、第三者が不正に読み出しコマンドを利用して取り出したデータ部D2を利用することを防止するなど、セキュリティを維持し、ICカード10の使用により書き換えられたデータ部D2の内容をそのままの状態で又は更新して、コード部C2を入れ替え、バージョンアップ、バグ修正などを行うことが可能となった。
また、搭載証明書を利用して新たなアプリケーションA2’の搭載を行うため、コード部C2’だけを分けて搭載する場合に起こりうる不正なコード部へのすり替えを防止し、セキュリティを維持することが可能となった。
【0030】
なお、カード発行者のホストコンピュータ、外部装置及びICカード間の通信において搭載証明書が不正者に漏洩した場合であっても、アプリケーションA2’のコード部C2’及びデータ部D2を同時に搭載しなければならず、ICカード10に搭載済みのアプリケーションA2’のデータ部D2を覗き見ることは不可能である。
更に、ICカード10は、削除証明書によって正当性を確認した後にコード部C2及びデータ部D2を共に削除するため、セキュリティを維持することが可能となった。
更にまた、ICカード10は、従来から利用されている搭載証明書及び削除証明書を利用してアプリケーションの搭載及び削除を行うなど、容易な仕組みによってコード部C2の入れ替えを行うため、システム構築などの負担をかけず、上記各効果を容易に実現することが可能となった。
【0031】
(変形形態)
以上説明した実施形態に限定されることなく、種々の変形や変更が可能であって、それらも本発明の均等の範囲内である。例えば、ICカード10は、アプリケーションA2のデータ部D2に、読み出す場合に暗号化するための暗号鍵K2を含めて不揮発性メモリ17に記憶しているが、ICチップ12の製造時にROM16に記憶させてもよく、カード発行者のみが知りうるようにICカード10内に格納できればよい。
【0032】
また、暗号鍵K2は、共通鍵暗号化方式における共通鍵のみに限られず、例えば、公開鍵暗号方式における公開鍵などの暗号鍵であってもよい。復号できる者を発行者のみに限定するように暗号化できる暗号鍵であればよい。
更に、暗号鍵K2をICカード10内で生成し、復号できる者をこのICカード10のみに限定してもよい。ICカード10外部では、データ部D2の復号を行うことができなくなり、セキュリティを向上することが可能となる。なお、外部で復号を行う必要がある場合には、所定の条件の下、暗号鍵K2をICカード10から読み出すことができるようにしてもよい。
更にまた、機密性が保持できれば、暗号鍵K2をホストコンピュータや端末などの外部装置からICカード10へ送信し、格納してもよい。
【0033】
ICカード10は、外部装置と通信を行うことによってデータ部D2の入れ替えを一連の処理として実行するが、例えば、先ず、暗号化されたデータ部D2を出力し、アプリケーションA2を削除して一旦処理を終了し、改めて、新たなアプリケーションA2’の搭載を行ってもよい。このような場合には、各処理における外部装置が同一である必要はない。
また、ICカード10から暗号化されたデータ部D2を読み出し、このデータ部D2を含む新たなアプリケーションA2’をこのICカード10へ戻しているが、新たなアプリケーションA2’を他のICカードへ搭載してもよい。
更に、ICカード10は、外部装置から受信した所定のコマンドに応じて、暗号化されたデータ部D2を出力し、同様に、他の所定のコマンドに応じて、アプリケーションA2’の搭載を行っているが、これらの処理をICカード10に実行させるために外部装置からICカード10へ送信するコマンドの数は、これに限られず、例えば、外部装置からデータ部D2の暗号化を指示する所定のコマンド、暗号化したデータ部D2の出力を指示する所定のコマンドなどを送信してもよい。
【0034】
ICカード10は、搭載証明書に基づいて正当性を確認したアプリケーションA2’を有効なものとして不揮発性メモリ17に書き込むが、搭載証明書に基づいた判定の処理と、その判定結果に応じた処理は、これに限定されず、受信したアプリケーションA2’を先ず不揮発性メモリ17に書き込み、正当性が確認できない場合に削除してもよい。
【0035】
ICカード10は、搭載証明書、削除証明書に基づいて、アプリケーションの搭載指示、削除指示の正当性を確認するための公開鍵PKkをROM16に記憶しているが、不揮発性メモリ17に記憶していてもよい。アプリケーションA1,A2をICカード10に搭載する前に予めICカード10内に記憶されていればよい。
【0036】
ICカード10に搭載するアプリケーションの正当性を確認するためのアプリケーション搭載証明書は、特徴情報を秘密鍵で暗号化したものとしたが、これに限定されず、ICカード10内に記憶されている公開鍵PKkを用いて復号を行い、対象となるアプリケーションの正当性を確認することができればよい。削除証明書についても同様である。
【0037】
【発明の効果】
以上詳しく説明したように、本発明によるICカード、ICカードプログラム及びコード部の入れ替え方法によれば、以下の効果を得ることが可能となった。
(1)共通鍵、公開鍵などでデータ部を所定の者のみが復号可能なように暗号化し、外部へ出力することによって、データ部の漏洩を防止し、セキュリティを維持するとともに、カード発行後に変更されたデータ部を活用できる状態とする。
(2)データ部毎、コード部毎でなく、対象アプリケーション単位で搭載又は削除することによって、セキュリティを維持する。
(3)従来と同様に、削除証明書の正当性を確認した後に対象アプリケーションを削除することによって、セキュリティを維持するとともにコード部の入れ替えを容易化し、実現性を向上する。
(4)新コード部と、データ部又は新データ部とを含む新アプリケーションを入力し、書き込むことによって、セキュリティを維持しつつ、コード部の入れ替え、又は、コード部の入れ替え及びデータ部の更新を可能とする。
(5)従来と同様に、搭載証明書に基づいて新アプリケーションの正当性を判定し、判定結果に応じた処理を行うことによって、セキュリティを維持するとともにコード部の入れ替えを容易化し、実現性を向上する。
【図面の簡単な説明】
【図1】本発明によるICカードの実施形態を示すブロック図である。
【図2】本発明によるICカードの構造を通信機能の観点から三層に分割して示した概略模式図である。
【図3】本発明によるICカードの動作、本発明によるICカードプログラム及びコード部の入れ替え方法を示すフローチャートである。
【図4】従来のコード部の入れ替えにおける問題を説明する図である。
【符号の説明】
10 ICカード
11 通信部
12 ICチップ
13 I/Oインターフェイス
14 CPU
15 RAM
16 ROM
17 不揮発性メモリ
141 暗号化部
142 復号部
143 判定部
144 削除部
145 書き込み部
Claims (10)
- 入れ替えの対象となるコード部を含むアプリケーションを記憶する記憶手段と、
前記記憶手段に記憶されているアプリケーションに含まれるデータ部を所定の者のみが復号可能なように暗号化する暗号化手段と、
前記暗号化手段によって暗号化されたデータ部を外部へ出力する出力手段と
を備えるICカード。 - 請求項1に記載のICカードにおいて、
前記所定の者の秘密鍵と対となる公開鍵又は前記所定の者のみが知りうる共通鍵を記憶する暗号鍵記憶手段を備え、
前記暗号化手段は、前記暗号鍵記憶手段によって記憶されている公開鍵又は共通鍵を用いて暗号化を行うこと、
を特徴とするICカード。 - 請求項1又は請求項2に記載のICカードにおいて、
前記出力手段によってデータ部が出力された後に、前記記憶手段によって記憶されているアプリケーションを削除する削除手段を備えること、
を特徴とするICカード。 - 請求項3に記載のICカードにおいて、
前記削除手段は、外部から入力した前記アプリケーションについての削除証明書の正当性を確認した後に前記アプリケーションを削除すること、
を特徴とするICカード。 - 請求項1から請求項4に記載のICカードにおいて、
外部から新コード部と、前記出力手段によって出力されたデータ部又は前記データ部に基づいて更新された新データ部とを含む新アプリケーションを入力する入力手段と、
前記入力手段によって入力された新アプリケーションを前記記憶手段に書き込む書込手段とを備えること、
を特徴とするICカード。 - 請求項5に記載のICカードにおいて、
前記入力手段によって入力された新アプリケーションの正当性を前記新アプリケーションについての搭載証明書に基づいて判定する搭載正当性判定手段と、
前記搭載正当性判定手段の判定結果に応じて、前記新アプリケーションの有効化又は無効化を行う判定対応処理手段とを備えること、
を特徴とするICカード。 - 入れ替えの対象となるコード部を含むアプリケーションを記憶する記憶手段を備えるICカードに、前記コード部を入れ替えるために実行させるICカードプログラムであって、
外部から所定の指示を受信した場合に、所定の者のみが復号可能なように前記アプリケーションに含まれるデータ部を暗号化する暗号化手順と、
前記暗号化手順おいて暗号化したデータ部を外部へ出力する出力手順と、
前記出力手順においてデータ部を出力した後に、前記記憶手段に記憶されているアプリケーションを削除する削除手順とを備えること、
を特徴とするICカードプログラム。 - 請求項7に記載のICカードプログラムにおいて、
新コード部と、前記出力手順において出力したデータ部又は前記データ部に基づいて更新された新データ部とを含む新アプリケーションを入力する入力手順と、
前記入力手順において入力した新アプリケーションを前記記憶手段に書き込む書込手順とを備えること、
を特徴とするICカードプログラム。 - ICカードの記憶手段に記憶されているアプリケーションについて、前記アプリケーションのコード部を入れ替えるコード部の入れ替え方法であって、
前記記憶手段に記憶されているアプリケーションのデータ部を所定の者のみが復号可能なように暗号化させ、前記ICカードから外部へ出力させる暗号化データ部出力ステップと、
前記暗号化データ部出力ステップにおいて出力が行われた後に、前記記憶手段に記憶されているアプリケーションを削除するアプリケーション削除ステップとを備えること、
を特徴とするコード部の入れ替え方法。 - 請求項9に記載のコード部の入れ替え方法において、
新コード部と、前記暗号化データ部出力ステップにおいて出力させたデータ部又は前記データ部に基づいて更新された新データ部とを含む新アプリケーションを前記ICカードへ入力し、前記記憶手段に書き込む新アプリケーション書き込みステップを備えること、
を特徴とするコード部の入れ替え方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003145948A JP2004348526A (ja) | 2003-05-23 | 2003-05-23 | Icカード、icカードプログラム及びコード部の入れ替え方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003145948A JP2004348526A (ja) | 2003-05-23 | 2003-05-23 | Icカード、icカードプログラム及びコード部の入れ替え方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004348526A true JP2004348526A (ja) | 2004-12-09 |
Family
ID=33532952
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003145948A Pending JP2004348526A (ja) | 2003-05-23 | 2003-05-23 | Icカード、icカードプログラム及びコード部の入れ替え方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004348526A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100648540B1 (ko) * | 2005-09-29 | 2006-11-27 | 주식회사 유비닉스 | 스마트 카드, 카드 관리 시스템 및 그 키 관리 방법 |
| JP2007148644A (ja) * | 2005-11-25 | 2007-06-14 | Sharp Corp | データ記憶装置、icカード及びデータ記憶方法 |
| JP2007310517A (ja) * | 2006-05-17 | 2007-11-29 | Sony Corp | 情報処理装置および情報処理方法、並びにプログラム |
| JP2012533101A (ja) * | 2009-07-09 | 2012-12-20 | ジェムアルト エスアー | 保全された電子トークン中に埋込まれたアプリケーションを管理する方法 |
| JP6103169B1 (ja) * | 2015-11-05 | 2017-03-29 | 三菱電機株式会社 | セキュリティ装置、及びセキュリティ方法 |
-
2003
- 2003-05-23 JP JP2003145948A patent/JP2004348526A/ja active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100648540B1 (ko) * | 2005-09-29 | 2006-11-27 | 주식회사 유비닉스 | 스마트 카드, 카드 관리 시스템 및 그 키 관리 방법 |
| JP2007148644A (ja) * | 2005-11-25 | 2007-06-14 | Sharp Corp | データ記憶装置、icカード及びデータ記憶方法 |
| JP2007310517A (ja) * | 2006-05-17 | 2007-11-29 | Sony Corp | 情報処理装置および情報処理方法、並びにプログラム |
| JP2012533101A (ja) * | 2009-07-09 | 2012-12-20 | ジェムアルト エスアー | 保全された電子トークン中に埋込まれたアプリケーションを管理する方法 |
| JP6103169B1 (ja) * | 2015-11-05 | 2017-03-29 | 三菱電機株式会社 | セキュリティ装置、及びセキュリティ方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4763368B2 (ja) | 通信カード、機密情報処理システム、機密情報転送方法およびプログラム | |
| JP5272637B2 (ja) | 情報処理装置、暗号切替方法、及びプログラム | |
| JP4435084B2 (ja) | 通信システム,リーダライタ,認証方法,およびコンピュータプログラム | |
| JP5521803B2 (ja) | 通信装置、通信方法、及び、通信システム | |
| US20130145455A1 (en) | Method for accessing a secure storage, secure storage and system comprising the secure storage | |
| US7725740B2 (en) | Generating a root key for decryption of a transmission key allowing secure communications | |
| JP2009100394A (ja) | 情報処理装置および方法、記録媒体、プログラム、並びに情報処理システム | |
| CN102105883A (zh) | 电子装置以及电子装置的软件或固件更新的方法 | |
| JP2004104539A (ja) | メモリカード | |
| KR20070048960A (ko) | 코드 이미지를 안전하게 갱신하고 부팅하는 방법 및 장치 | |
| JP3597704B2 (ja) | Icカードおよび記録媒体 | |
| JP4338989B2 (ja) | メモリデバイス | |
| JP2016146618A (ja) | 情報処理装置 | |
| KR102519828B1 (ko) | 회로 칩 및 그 동작 방법 | |
| JP2004348526A (ja) | Icカード、icカードプログラム及びコード部の入れ替え方法 | |
| JP2004139242A (ja) | Icカード、icカード発行システム及びicカード発行方法 | |
| JP4394413B2 (ja) | 情報記憶装置及び情報処理システム | |
| JP2004334542A (ja) | Icカード、icカードプログラム及びicカードのメモリ領域の割当方法 | |
| CN114491682A (zh) | 虚拟订户识别模块和虚拟智能卡 | |
| JP4368130B2 (ja) | Icカード及びicカードプログラム | |
| JP2011171946A (ja) | 携帯可能電子装置、携帯可能電子装置の制御方法及びicカード | |
| JP2007323133A (ja) | Icカード発行方法およびicカード | |
| JP5692441B2 (ja) | 情報処理装置、情報処理方法、及び、プログラム | |
| JP4793673B2 (ja) | マルチアプリケーションicカード | |
| EP4254855A1 (en) | A device and a method for controlling use of a cryptographic key |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060426 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20061117 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081203 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081216 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090213 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090623 |