JP2023082496A - Electronic information storage medium, processing method and program - Google Patents
Electronic information storage medium, processing method and program Download PDFInfo
- Publication number
- JP2023082496A JP2023082496A JP2021196317A JP2021196317A JP2023082496A JP 2023082496 A JP2023082496 A JP 2023082496A JP 2021196317 A JP2021196317 A JP 2021196317A JP 2021196317 A JP2021196317 A JP 2021196317A JP 2023082496 A JP2023082496 A JP 2023082496A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- identity verification
- application
- personal
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 5
- 238000012795 verification Methods 0.000 claims description 68
- 238000012545 processing Methods 0.000 claims description 32
- 230000004044 response Effects 0.000 claims description 26
- 238000012790 confirmation Methods 0.000 abstract description 7
- 230000006870 function Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 5
- 238000013475 authorization Methods 0.000 description 2
- 238000000034 method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
Images
Landscapes
- Collating Specific Patterns (AREA)
Abstract
Description
本発明は、複数のアプリケーションを搭載し、本人認証機能を有するICカード等の技術分野に関する。 TECHNICAL FIELD The present invention relates to a technical field such as an IC card having a plurality of applications and having a person authentication function.
近年、複数のアプリケーションを搭載可能なICカードが知られている。このようなICカードは、オペレーティングシステムにより論理的な通信路であるロジカルチャネルを管理する。チャネル管理機能は、例えば特許文献1に開示されるように、各チャネルに異なるアプリケーションを割り当てることができる。一方、例えば、特許文献2には、指紋センサを組み込んだICカードが開示されており、かかるICカードは、指紋センサにより読み取られた指紋データを用いて利用者の認証を行うようになっている。 In recent years, an IC card capable of loading multiple applications has been known. In such an IC card, an operating system manages a logical channel, which is a logical communication path. A channel management function can assign different applications to each channel, for example as disclosed in US Pat. On the other hand, for example, Patent Document 2 discloses an IC card incorporating a fingerprint sensor, and such an IC card performs user authentication using fingerprint data read by the fingerprint sensor. .
ところで、ICカードが複数種別の本人確認情報(例えば、人差し指の指紋データ、人差し指と中指の両方の指紋データ)それぞれを用いて異なる認証処理を行うことができる本人認証機能を有する場合に、従来の技術では、複数のアプリケーション毎に利用可能な本人確認情報を管理して本人認証機能を利用することが困難であった。 By the way, when an IC card has a personal authentication function capable of performing different authentication processes using a plurality of types of personal authentication information (for example, fingerprint data of the index finger, fingerprint data of both the index finger and the middle finger), the conventional With technology, it has been difficult to manage personal identification information that can be used for each of a plurality of applications and use the personal identification function.
そこで、本発明は、このような問題等に鑑みてなされたものであり、複数のアプリケーション毎に利用可能な本人確認情報を管理して本人認証機能を利用することが可能な電子情報記憶媒体、処理方法、及びプログラムを提供することを目的とする。 Therefore, the present invention has been made in view of such problems and the like. It aims at providing a processing method and a program.
上記課題を解決するために、請求項1に記載の発明は、外部端末から受信された選択コマンドに応じて選択されるアプリケーションを複数搭載可能な電子情報記憶媒体であって、複数種別の本人確認情報それぞれを用いて異なる本人認証を実行可能な認証処理手段と、前記アプリケーション毎に前記本人認証に利用可能な本人確認情報の種別を示す識別子を保持する保持手段と、選択中のアプリケーションからの本人確認情報の種別を示す識別子を含む判定要求に応じて、前記保持手段により保持されている前記識別子に基づいて前記判定要求に含まれる識別子により特定される本人確認情報が前記本人認証に利用可能であるか否かを判定する判定手段と、前記判定手段により本人確認情報が前記本人認証に利用可能であると判定された場合、当該本人確認情報を用いて前記認証処理手段により実行された本人認証の認証結果を前記アプリケーションに応答する応答手段と、を備えることを特徴とする。 In order to solve the above problems, the invention according to claim 1 is an electronic information storage medium capable of loading a plurality of applications selected according to a selection command received from an external terminal, wherein a plurality of types of personal identification authentication processing means capable of executing different personal authentication using each information; holding means holding an identifier indicating a type of personal identification information that can be used for personal authentication for each application; In response to a determination request containing an identifier indicating a type of confirmation information, the identity verification information specified by the identifier included in the determination request based on the identifier held by the holding means can be used for the identity verification. and a determination means for determining whether or not there is identity authentication performed by the authentication processing means using the identity verification information when the determination means determines that the identity verification information can be used for the identity authentication. and response means for responding to the application with the authentication result of.
請求項2に記載の発明は、請求項1に記載の電子情報記憶媒体において、前記電子情報記憶媒体には、前記判定手段及び前記応答手段を備える管理アプリケーションと、前記認証処理手段を備えるオペレーティングシステムが搭載されており、前記選択中のアプリケーションは、前記外部端末からのコマンドを前記オペレーティングシステムを介して受信した場合に、前記管理アプリケーションへ前記判定要求を行い、前記管理アプリケーションから応答された認証結果を含むレスポンスを前記オペレーティングシステムへ返信することを特徴とする。 The invention according to claim 2 is the electronic information storage medium according to claim 1, wherein the electronic information storage medium comprises a management application comprising the determination means and the response means, and an operating system comprising the authentication processing means. is installed, and the application being selected makes the judgment request to the management application when a command from the external terminal is received via the operating system, and the authentication result returned from the management application is returned to the operating system.
請求項3に記載の発明は、請求項2に記載の電子情報記憶媒体において、前記認証処理手段は、前記外部端末から前記コマンドが受信される前に前記本人認証を実行し、当該本人認証の認証結果を管理アプリケーションへ通知することを特徴とする。 The invention according to claim 3 is the electronic information storage medium according to claim 2, wherein the authentication processing means executes the personal authentication before the command is received from the external terminal, and performs the personal authentication. It is characterized by notifying the management application of the authentication result.
請求項4に記載の発明は、請求項1乃至3の何れか一項に記載の電子情報記憶媒体において、ユーザの身体から前記本人確認情報として生体データを取得する生体データ取得センサを更に備え、前記認証処理手段は、前記生体データ取得センサにより取得された生体データを用いて前記本人認証を実行することを特徴とする。 The invention according to claim 4 is the electronic information storage medium according to any one of claims 1 to 3, further comprising a biometric data acquisition sensor for acquiring biometric data from the user's body as the identity verification information, The authentication processing means is characterized in that the biometric data acquired by the biometric data acquisition sensor is used to perform the personal authentication.
請求項5に記載の発明は、外部端末から受信された選択コマンドに応じて選択されるアプリケーションを複数搭載し、複数種別の本人確認情報それぞれを用いて異なる本人認証を実行可能な認証処理手段と、前記アプリケーション毎に前記本人認証に利用可能な本人確認情報の種別を示す識別子を保持する保持手段とを備える電子情報記憶媒体により実行される処理方法であって、選択中のアプリケーションからの本人確認情報の種別を示す識別子を含む判定要求に応じて、前記保持手段により保持されている前記識別子に基づいて前記判定要求に含まれる識別子により特定される本人確認情報が前記本人認証に利用可能であるか否かを判定するステップと、前記本人確認情報が前記本人認証に利用可能であると判定された場合、当該本人確認情報を用いて前記認証処理手段により実行された本人認証の認証結果を前記アプリケーションに応答するステップと、を含むことを特徴とする。 The invention according to claim 5 is provided with authentication processing means capable of carrying out a plurality of applications selected according to a selection command received from an external terminal, and executing different identity authentication using each of a plurality of types of identity verification information. and holding means for holding an identifier indicating a type of personal identification information that can be used for personal identification for each application, wherein the personal identification from the selected application is executed by an electronic information storage medium. In response to a determination request containing an identifier indicating a type of information, identity verification information specified by the identifier included in the determination request based on the identifier held by the holding means can be used for the identity authentication. and if it is determined that the identity verification information can be used for the identity verification, the authentication result of the identity verification executed by the authentication processing means using the identity verification information is sent to the and responding to the application.
請求項6に記載の発明は、外部端末から受信された選択コマンドに応じて選択されるアプリケーションを複数搭載し、複数種別の本人確認情報それぞれを用いて異なる本人認証を実行可能な認証処理手段と、前記アプリケーション毎に前記本人認証に利用可能な本人確認情報の種別を示す識別子を保持する保持手段とを備える電子情報記憶媒体に含まれるコンピュータに、選択中のアプリケーションからの本人確認情報の種別を示す識別子を含む判定要求に応じて、前記保持手段により保持されている前記識別子に基づいて前記判定要求に含まれる識別子により特定される本人確認情報が前記本人認証に利用可能であるか否かを判定するステップと、前記本人確認情報が前記本人認証に利用可能であると判定された場合、当該本人確認情報を用いて前記認証処理手段により実行された本人認証の認証結果を前記アプリケーションに応答するステップと、を実行させることを特徴とする。 According to the sixth aspect of the invention, there is provided an authentication processing means that is capable of executing different identity authentications using multiple types of identity verification information, and that is equipped with a plurality of applications that are selected according to a selection command received from an external terminal. and holding means for holding an identifier indicating a type of personal identification information that can be used for personal authentication for each application, and a computer included in the electronic information storage medium, which stores the type of personal identification information from the selected application. in response to a determination request containing an identifier indicating whether or not the identity verification information specified by the identifier included in the determination request can be used for the identity authentication based on the identifier held by the holding means and, if it is determined that the identity verification information can be used for the identity verification, responding to the application an authentication result of the identity verification executed by the authentication processing means using the identity verification information. It is characterized by executing a step.
本発明によれば、複数のアプリケーション毎に利用可能な本人確認情報を管理して本人認証機能を利用することができる。 According to the present invention, the user authentication function can be used by managing user authentication information that can be used for each of a plurality of applications.
以下、図面を参照して本発明の実施形態について詳細に説明する。以下に説明する実施形態は、指紋認証機能付きICカードに対して本発明を適用した場合の実施の形態である。 BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. The embodiments described below are embodiments in which the present invention is applied to an IC card with a fingerprint authentication function.
[1.ICカードCの構成及び機能]
先ず、図1を参照して、本実施形態に係るICカードCの構成及び機能について説明する。図1は、ICカードCの概要構成例を示す図である。図1に示すように、ICカードCは、指紋センサ1、及びICチップ2等を含んで構成され、これらの構成要素はインターフェースを介して電気的に接続されている。ICカードCおよびICチップ2は、電子情報記憶媒体の一例である。ICカードCの例として、クレジットカード、キャッシュカード、電子マネーカード等が挙げられる。
[1. Configuration and function of IC card C]
First, referring to FIG. 1, the configuration and functions of an IC card C according to this embodiment will be described. FIG. 1 is a diagram showing a schematic configuration example of an IC card C. As shown in FIG. As shown in FIG. 1, the IC card C includes a fingerprint sensor 1, an IC chip 2, etc., and these components are electrically connected via an interface. The IC card C and IC chip 2 are examples of electronic information storage media. Examples of the IC card C include credit cards, cash cards, electronic money cards, and the like.
なお、ICカードCには、例えば、電波を送受信可能なアンテナ(図示せず)が備えられる。アンテナは、決済端末等の外部端末T(リーダライタを有する)から発信された電波(RF信号)を受信しその電気信号をICチップ2へ出力し、また、ICチップ2から出力された電気信号を電波として発信する。これにより、ICチップ2と外部端末Tとの間で非接触通信を行うことができる。また、ICチップ2には、PIN(Personal Identification Number)パッドが接続される場合もある。PINパッドとは、暗証番号を入力するための数字キーが配列されている小型端末であり、外部端末Tに接続される。かかる暗証番号は、ICカードCのユーザの本人確認情報の一例であり、ユーザの本人認証に用いられる。 The IC card C is provided with, for example, an antenna (not shown) capable of transmitting and receiving radio waves. The antenna receives radio waves (RF signals) transmitted from an external terminal T (having a reader/writer) such as a payment terminal, outputs the electrical signal to the IC chip 2, and also receives the electrical signal output from the IC chip 2. is transmitted as radio waves. Thereby, contactless communication can be performed between the IC chip 2 and the external terminal T. FIG. Also, the IC chip 2 may be connected to a PIN (Personal Identification Number) pad. A PIN pad is a small terminal on which numeric keys are arranged for inputting a personal identification number, and is connected to the external terminal T. FIG. Such a personal identification number is an example of the identification information of the user of the IC card C, and is used for the identification of the user.
指紋センサ1(生体データ取得センサの一例)は、ICカードCの表面に実装され、ICカードCを使用するユーザの指の腹から指紋を読み取り、その指紋データ(生体データの一例)を取得し、当該指紋データをICチップ2へ出力する。指紋データは、ICカードCのユーザの本人確認情報の一例であり、ユーザの本人認証に用いられる。例えば、指紋センサ1は、数万個の電極、及びユーザの指の腹が接触する接触面等を有し、この接触面にユーザの指の腹が接触することで、上記電極にはユーザの指の腹における凹凸(つまり、指紋を構成する凹凸)による当該接触面までの近さに応じた量の電荷がたまる。指紋センサ1は、それぞれの電極にたまった電荷の量を検出して数値(つまり、電荷の量に応じた数値)に変換することで指紋データを取得する。なお、指紋センサ1は、上記以外の方法で指紋データを取得してもよい。 A fingerprint sensor 1 (an example of a biometric data acquisition sensor) is mounted on the surface of the IC card C, reads the fingerprint from the pad of the finger of the user using the IC card C, and acquires the fingerprint data (an example of biometric data). , outputs the fingerprint data to the IC chip 2 . The fingerprint data is an example of identity verification information of the user of the IC card C, and is used for identity verification of the user. For example, the fingerprint sensor 1 has tens of thousands of electrodes and a contact surface with which a pad of a user's finger contacts. An amount of electric charge accumulates according to the proximity to the contact surface due to the unevenness of the pad of the finger (that is, the unevenness forming the fingerprint). The fingerprint sensor 1 acquires fingerprint data by detecting the amount of charge accumulated in each electrode and converting it into a numerical value (that is, a numerical value corresponding to the amount of charge). Note that the fingerprint sensor 1 may acquire fingerprint data by a method other than the above.
図2は、ICチップ2のハードウェア構成例を示す図である。ICチップ2は、図2に示すように、ハードウェアとして、I/O回路21、RAM(Random Access Memory)22、NVM(Nonvolatile Memory)23、ROM(Read Only Memory)24、及びCPU(Central Processing Unit)25等を備える。I/O回路21は、指紋センサ1、及び外部端末Tとの間のインターフェースを担う。I/O回路21には、PINパッドが接続される場合がある。I/O回路21は、例えばISO/IEC7816によって定められたC1~C8の8つの接触端子を含んで構成されてもよい。なお、ICチップ2と外部端末Tとの間の通信は、アンテナ及びI/O回路21を介した非接触通信であってもよし、I/O回路21を介した接触通信であってもよい。NVM23またはROM24には、オペレーティングシステム(以下、「OS」という)、管理アプリケーション、及び複数のアプリケーション等のプログラム(本発明のプログラムを含む)が記憶される。これらのプログラムは、CPU25により実行されることでICチップ2に搭載されるソフトウェア(ソフトウェアモジュール)として機能する。
FIG. 2 is a diagram showing a hardware configuration example of the IC chip 2. As shown in FIG. As shown in FIG. 2, the IC chip 2 includes, as hardware, an I/
図3は、ICチップ2のソフトウェア構成例を示す図である。ICチップ2においては、図3に示すように、OS、管理アプリケーションAP0、及び複数のアプリケーションAPn(nは1以上の自然数)が動作する。ここで、OSは、複数の論理チャネルの管理を担う機能に加えて、コマンド送受信部251、認証参照情報保持部252、及び認証(照合)処理部253(認証処理手段の一例)を備える。ここで、論理チャネルとは、アプリケーションAPnにアクセスするための論理的なチャネルである。例えば、論理チャネルCh0には、アプリケーションAP11が割り当てられ、論理チャネルCh1には、アプリケーションAP2が割り当てられる。
FIG. 3 is a diagram showing a software configuration example of the IC chip 2. As shown in FIG. As shown in FIG. 3, the IC chip 2 operates an OS, a management application AP0, and a plurality of applications APn (n is a natural number equal to or greater than 1). Here, the OS includes a command transmitting/receiving
コマンド送受信部251は、外部端末TからのコマンドをI/O回路21を介して受信し、受信されたコマンドを選択中のアプリケーションAPnへ送信する。また、コマンド送受信部251は、選択中のアプリケーションAPnからのレスポンスを受信すると、受信されたレスポンスをI/O回路21を介して外部端末Tへ送信する。なお、選択中のアプリケーションAPnとは、外部端末Tから受信された選択コマンド(SELECTコマンド)に応じてOSにより選択されているアプリケーションAPnである。認証参照情報保持部252は、指紋センサ1やPINパッドからの本人確認情報と照合するための認証参照情報を種別毎に予め記憶(保持)する。認証参照情報は、本人確認情報よりも前に取得された指紋データや暗証番号等である。認証参照情報には、認証参照情報の種別を示す識別子が対応付けられて保持される。
The command transmission/
認証処理部253は、本人確認情報と認証参照情報とを照合する本人認証(認証処理)を実行し、その認証結果を管理アプリケーションAP0へ通知する。かかる本人認証において本人確認情報と認証参照情報とが一致する場合には認証成功(本人認証が成功)となり、本人確認情報と認証参照情報とが一致しない場合には認証失敗(本人認証が失敗)となる。また、認証処理部253は、複数種別の本人確認情報それぞれを用いて異なる本人認証を実行可能になっている。例えば、ある本人認証においては、本人確認情報として人差し指の指紋データと、認証参照情報として人差し指の指紋データとが照合される。別の本人認証においては、本人確認情報として人差し指と中指の両方の指紋データと、認証参照情報として人差し指と中指の両方の指紋データとが照合される。さらに別の本人認証においては、本人確認情報として暗証番号と、認証参照情報として暗証番号とが照合される。なお、本人確認情報の種別は、当該種別を示す識別子により識別可能になっている。
The
管理アプリケーションAP0は、認証結果取得部254、認証結果保持部255、利用権限情報保持部256(保持手段の一例)、及びリクエスト制御部257(判定手段、及び応答手段の一例)を備える。なお、管理アプリケーションAP0の各部は、OSに実装されてもよい。或いは、管理アプリケーションAP0は、アプリケーションAPnから呼び出されるAPI(Application Programming Interface)としてICチップ2に実装されてもよい。認証結果取得部254は、認証処理部253により実行された本人認証の認証結果及び当該本人認証に用いられた本人確認情報の種別を示す識別子を認証処理部253から取得する。認証結果保持部255は、認証結果取得部254により取得された認証結果及び本人確認情報の種別を示す識別子を対応付けて保持する。
The management application AP0 includes an authentication
利用権限情報保持部256は、アプリケーションAPn毎に本人認証に利用可能な本人確認情報の種別を示す識別子を含む利用権限情報を保持する。利用権限情報より、アプリケーションAPn毎にどの種別の本人確認情報が本人認証に利用可能であるか(つまり、利用を許可する)かを判定することができる。例えば、選択中のアプリケーションAPnは、OSのコマンド送受信部251からコマンドを受信すると、管理アプリケーションAP0へ本人確認情報の種別を示す識別子を含む判定要求を行い、当該識別子により特定される本人確認情報が本人認証に利用可能であると判定された場合に、管理アプリケーションAP0から当該本人認証の認証結果を受信することになる。
The usage authority
図4は、利用権限情報の一例を示す図である。図4の例では、アプリケーションAP1のAID(Application Identifier)“A001”に対して、左手人差し指の指紋データの種別を示す識別子“03”と右手中指の指紋データの種別を示す識別子“09”との組が対応付けられている。これは、アプリケーションAP1は、左手人差し指の指紋データと右手中指の指紋データとの組(AND条件)を本人認証に利用可能であることを示している。また、アプリケーションAP2のAID“A002”には、暗証番号の種別を示す識別子“01”が対応付けられている。これは、アプリケーションAP2は、暗証番号を本人認証に利用可能であることを示している。また、アプリケーションAP3のAID“A003”には、左手薬指の指紋データの種別を示す識別子“05”が対応付けられている。これは、アプリケーションAP3は、左手薬指の指紋データを本人認証に利用可能であることを示している。 FIG. 4 is a diagram showing an example of usage authority information. In the example of FIG. 4, for AID (Application Identifier) "A001" of application AP1, identifier "03" indicating the type of fingerprint data of the index finger of the left hand and identifier "09" indicating the type of fingerprint data of the middle finger of the right hand are assigned. tuples are associated. This indicates that the application AP1 can use a set (AND condition) of fingerprint data of the index finger of the left hand and fingerprint data of the middle finger of the right hand for personal authentication. Also, the AID "A002" of the application AP2 is associated with the identifier "01" indicating the type of the personal identification number. This indicates that the application AP2 can use the personal identification number for personal authentication. AID "A003" of application AP3 is associated with identifier "05" indicating the type of fingerprint data of the ring finger of the left hand. This indicates that the application AP3 can use the fingerprint data of the ring finger of the left hand for personal authentication.
リクエスト制御部257は、選択中のアプリケーションAPnからの本人確認情報の種別を示す識別子を含む判定要求に応じて、利用権限情報保持部256により保持されている識別子を含む利用権限情報に基づいて、当該判定要求に含まれる識別子により特定される本人確認情報が本人認証に利用可能であるか否かを判定する。そして、リクエスト制御部257は、当該本人確認情報が本人認証に利用可能であると判定した場合、当該本人確認情報が用いられて先に実行された本人認証の認証結果を、認証結果保持部255から取得して選択中のアプリケーションAPnに応答(通知)する。これにより、選択中のアプリケーションAPnは、上述したように本人認証の認証結果を受信し、当該認証結果を含むレスポンスをOSのコマンド送受信部251へ返信することになる。
The
[2.ICカードCの動作]
次に、図5を参照して、ICカードCの動作について説明する。以下の動作例では、複数のアプリケーションAPnのうち、アプリケーションAP1が選択されているものとする。図5は、選択中のアプリケーションAP1、管理アプリケーションAP0、及びOSそれぞれの処理の一例を示すフローチャートである。例えば、ユーザはICカードCの指紋センサ1に指の腹を接触させながらICカードCを外部端末Tに翳すと、アンテナによる誘導電圧によりICカードCに電源が供給されることでICチップ2が起動し、外部端末TはICチップ2を認識する。そして、起動したICチップ2から指紋センサ1に電源が供給されると、指紋センサ1は、ユーザの指の腹から指紋を読み取り、その指紋データを本人確認情報としてICチップ2へ出力する。なお、ユーザがICカードCをPINパッドに挿入し暗証番号を入力することで、当該暗証番号が本人確認情報としてICチップ2へ出力されてもよい。
[2. Operation of IC card C]
Next, the operation of the IC card C will be described with reference to FIG. In the operation example below, it is assumed that the application AP1 is selected from among the plurality of applications APn. FIG. 5 is a flow chart showing an example of processing of the selected application AP1, management application AP0, and OS. For example, when the user holds up the IC card C to the external terminal T while touching the fingerprint sensor 1 of the IC card C with the pad of the finger, the voltage induced by the antenna supplies power to the IC card C, thereby supplying the IC chip 2 with power. is activated, and the external terminal T recognizes the IC chip 2 . When power is supplied from the activated IC chip 2 to the fingerprint sensor 1, the fingerprint sensor 1 reads the fingerprint from the pad of the user's finger and outputs the fingerprint data to the IC chip 2 as personal identification information. By inserting the IC card C into the PIN pad and inputting the personal identification number by the user, the personal identification number may be output to the IC chip 2 as the personal identification information.
次いで、ICチップ2のOSは、本人確認情報をI/O回路21を介して入力すると(ステップS1)、本人確認情報の種別を特定(例えば、本人確認情報のデータ形式から特定)し、特定した種別の識別子に対応付けられた認証参照情報を取得(認証参照情報保持部252から取得)する(ステップS2)。次いで、OSは、ステップS1で入力された本人確認情報と、ステップS2で取得された認証参照情報とを照合する本人認証を認証処理部253により実行し(ステップS3)、当該本人認証の認証結果及び当該本人認証に用いられた本人確認情報の種別を示す識別子を管理アプリケーションAP0へ通知する(ステップS4)。次いで、管理アプリケーションAP0は、OSからの認証結果及び本人確認情報の種別を示す識別子を認証結果取得部254により取得し(ステップS5)、当該認証結果及び本人確認情報の種別を示す識別子を認証結果保持部255に保持する(ステップS6)。 Next, when the OS of the IC chip 2 inputs identity verification information via the I/O circuit 21 (step S1), it identifies the type of identity verification information (for example, specifies from the data format of the identity verification information), and identifies the identity verification information. The authentication reference information associated with the identifier of the type obtained is acquired (acquired from the authentication reference information holding unit 252) (step S2). Next, the OS executes identity authentication by comparing the identity verification information input in step S1 with the authentication reference information acquired in step S2 by the authentication processing unit 253 (step S3), and the authentication result of the identity authentication And, the management application AP0 is notified of the identifier indicating the type of the personal identification information used for the personal identification (step S4). Next, the management application AP0 acquires the authentication result from the OS and an identifier indicating the type of identity verification information by the authentication result acquisition unit 254 (step S5), and receives the authentication result and the identifier indicating the type of identity verification information as the authentication result. It is held in the holding section 255 (step S6).
一方、外部端末Tは、ICチップ2を認識すると、認証要求を示すコマンド(例えば、verifyコマンド)をICチップ2へ送信する。ICチップ2のOSは、外部端末Tからの当該コマンドをI/O回路21を介してコマンド送受信部251により受信する(ステップS7)。なお、かかるコマンドが受信される前に、認証処理部253による本人認証が完了し、当該本人認証の認証結果が管理アプリケーションAP0へ通知されることが望ましい。これは、OSが当該コマンドを受信してから本人認証を開始すると本人認証の完了が間に合わない可能性があるためである。次いで、OSは、ステップS7で受信されたコマンドを、選択中のアプリケーションAP1へ送信する(ステップS8)。
On the other hand, when the external terminal T recognizes the IC chip 2 , the external terminal T transmits to the IC chip 2 a command indicating an authentication request (for example, verify command). The OS of the IC chip 2 receives the command from the external terminal T through the I/
次いで、選択中のアプリケーションAP1は、OSからコマンドを受信すると(ステップS9)、アプリケーションAP1へ判定要求を送信する(ステップS10)。ここで、判定要求には、アプリケーションAP1が利用したい本人確認情報の種別を示す識別子に加えて、選択中のアプリケーションAP1のAIDが含まれるとよい。また、本人確認情報の種別を示す識別子は判定要求に複数含まれてもよい。例えば、暗証番号の種別を示す識別子“01”と、左手薬指の指紋データの種別を示す識別子“05”とがOR条件として判定要求に含まれる。 Next, when the selected application AP1 receives a command from the OS (step S9), it transmits a determination request to the application AP1 (step S10). Here, the determination request preferably includes the AID of the currently selected application AP1 in addition to the identifier indicating the type of personal identification information that the application AP1 wishes to use. Also, a plurality of identifiers indicating the types of personal identification information may be included in the determination request. For example, an identifier “01” indicating the type of personal identification number and an identifier “05” indicating the type of fingerprint data of the ring finger of the left hand are included in the determination request as an OR condition.
なお、管理アプリケーションAP0がアプリケーションAP1から呼び出されるAPIとしてICチップ2に実装されている場合、かかる判定要求は、アプリケーションAP1から管理アプリケーションAP0に与えられる引数(本人確認情報の種別を示す識別子を含む)となる。この場合、管理アプリケーションAP0は、呼び出される際に呼び出し元のアプリケーションAP1のAIDを認識する。 Note that when the management application AP0 is implemented in the IC chip 2 as an API called from the application AP1, such a determination request is an argument (including an identifier indicating the type of personal identification information) given from the application AP1 to the management application AP0. becomes. In this case, the management application AP0 recognizes the AID of the caller application AP1 when called.
次いで、管理アプリケーションAP0は、選択中のアプリケーションAP1からの判定要求を受信すると(ステップS11)、利用権限情報保持部256に保持されている利用権限情報をチェックする(ステップS12)。次いで、管理アプリケーションAP0は、当該利用権限情報に基づいて、当該判定要求に含まれる識別子により特定される本人確認情報が本人認証に利用可能であるか否かをリクエスト制御部25により判定する(ステップS13)。例えば、当該利用権限情報において、当該判定要求に含まれる本人確認情報の種別を示す識別子がアプリケーションAP1のAIDに対応付けられている場合、当該本人確認情報が本人認証に利用可能であると判定される。なお、本人確認情報の種別を示す識別子が判定要求に複数含まれている場合、複数の識別子のうち何れか1つの識別子がアプリケーションAP1のAIDに対応付けられている場合、当該1つの識別子により特定される本人確認情報が本人認証に利用可能であると判定される。
Next, when the management application AP0 receives the determination request from the currently selected application AP1 (step S11), it checks the usage authority information held in the usage authority information holding unit 256 (step S12). Next, the management application AP0 determines whether or not the identity verification information specified by the identifier included in the determination request can be used for identity verification by the
そして、上記ステップS13において本人確認情報が本人認証に利用可能であると判定された場合(ステップS13:YES)、管理アプリケーションAP0は、ステップS6において当該本人確認情報の種別を示す識別子に対応付けられて保持された認証結果を認証結果保持部255から取得し(ステップS14)、取得した認証結果を、リクエスト制御部25により、選択中のアプリケーションAP1へ応答する(ステップS15)。例えば、認証結果は、応答コードとしてアプリケーションAP1へ返送される。かかる応答コードの例として、“0000”(認証未実施)、“0001”(認証実施中)、“0002”(認証成功)、“0003”(認証失敗)が挙げられる。なお、管理アプリケーションAP0がアプリケーションAP1から呼び出されるAPIとしてICチップ2に実装されている場合、応答コードは戻り値としてアプリケーションAP1に返される。
Then, if it is determined in step S13 that the identity verification information can be used for identity verification (step S13: YES), the management application AP0 associates the identity verification information with the identifier indicating the type of the identity verification information in step S6. The authentication result held by the
一方、上記ステップS13において本人確認情報が本人認証に利用可能でないと判定された場合(ステップS13:NO)、管理アプリケーションAP0は、リクエスト制御部25により、選択中のアプリケーションAP1へエラー応答を行う(ステップS16)。例えば、エラー応答として、エラーコード“FFFF”がアプリケーションAP1へ返送される。なお、管理アプリケーションAP0がアプリケーションAP1から呼び出されるAPIとしてICチップ2に実装されている場合、エラーコードは戻り値としてアプリケーションAP1に返される。
On the other hand, if it is determined in step S13 that the personal identification information cannot be used for personal authentication (step S13: NO), the management application AP0 causes the
次いで、選択中のアプリケーションAP1は、管理アプリケーションAP0からの認証結果またはエラー応答を受信する受信処理を行い(ステップS17)、当該認証結果を含むレスポンス、またはエラーコードを示すレスポンスをOSへ返信する(ステップS18)。次いで、OSは、選択中のアプリケーションAPnからのレスポンスを受信すると(ステップS19)、受信されたレスポンスを、コマンド送受信部251により、I/O回路21を介して外部端末Tへ送信する(ステップS20)。
Next, the selected application AP1 performs reception processing for receiving the authentication result or error response from the management application AP0 (step S17), and returns a response including the authentication result or a response indicating an error code to the OS ( step S18). Next, when the OS receives a response from the currently selected application APn (step S19), the command transmission/
以上説明したように、上記実施形態によれば、管理アプリケーションAP0は、アプリケーションAPn毎に本人認証に利用可能な本人確認情報の種別を示す識別子を保持しておき、アプリケーションAP1からの本人確認情報の種別を示す識別子を含む判定要求に応じて、上記保持されている識別子に基づいて当該判定要求に含まれる識別子により特定される本人確認情報が本人認証に利用可能であるか否かを判定し、本人確認情報が本人認証に利用可能であると判定された場合、当該本人確認情報を用いてOSにより実行された本人認証の認証結果をアプリケーションAP1に応答するように構成したので、ICチップ2に搭載される複数のアプリケーションAPn毎に利用可能な本人確認情報を管理して本人認証機能を利用することができる。そのため、ICカードCの本人確認情報を、より安全に利用することができ、ICカードCにおけるセキュリティを向上することができる。 As described above, according to the above-described embodiment, the management application AP0 holds an identifier indicating the type of identity verification information that can be used for identity verification for each application APn. In response to a determination request containing an identifier indicating a type, determining whether or not the identity verification information specified by the identifier included in the determination request can be used for identity authentication based on the held identifier, When it is determined that the identity verification information can be used for identity verification, the result of identity verification performed by the OS using the identity verification information is returned to the application AP1. The personal authentication function can be used by managing personal identification information that can be used for each of a plurality of installed applications APn. Therefore, the personal identification information of the IC card C can be used more safely, and the security of the IC card C can be improved.
なお、上記実施形態において、本発明を指紋認証機能付きICカードCに対して適用した場合について説明したが、本発明は、ユーザのモバイルデバイスに搭載されるICチップに対して適用することも可能である。かかるICチップは、モバイルデバイスに着脱可能に搭載されるものであってもよいし、モバイルデバイスから容易に取り外しや取り換えができないように基盤上に搭載(例えば半田付け)されるeUICC(Embedded Universal Integrated Circuit Card)であってもよい。また、上記実施形態において、生体データ取得センサの一例である指紋センサ1がICカードCに搭載される場合を例にとって説明したが、指紋センサ1はICカードCに搭載されない場合であっても本発明を適用可能である。この場合、指紋センサ1は、ユーザのモバイルデバイス、または店舗等の所定の場所に設置された機器内に実装され、上記実施形態におけるICチップ2に接続される。また、上記実施形態においては、ユーザの本人認証に用いられる生体データとして指紋データを例にとって説明したが、ユーザの顔、ユーザの掌の紋(掌紋)、ユーザの掌または指における血管(静脈)、またはユーザの眼の虹彩を生体データとして取得するように構成してもよく、かかる場合にも本発明を適用することができる。 In the above embodiment, the case where the present invention is applied to the IC card C with a fingerprint authentication function has been described, but the present invention can also be applied to an IC chip mounted on a user's mobile device. is. Such an IC chip may be detachably mounted on a mobile device, or an eUICC (Embedded Universal Integrated IC chip) mounted (for example, soldered) on a board so that it cannot be easily removed or replaced from a mobile device. Circuit Card). Further, in the above embodiment, the case where the fingerprint sensor 1, which is an example of the biometric data acquisition sensor, is mounted on the IC card C has been described as an example. Invention is applicable. In this case, the fingerprint sensor 1 is mounted in a user's mobile device or equipment installed in a predetermined place such as a store, and is connected to the IC chip 2 in the above embodiment. In the above embodiment, fingerprint data was used as biometric data for authenticating the identity of a user. Alternatively, the iris of the user's eye may be acquired as biometric data, and the present invention can be applied to such a case as well.
1 指紋センサ
2 ICチップ
21 I/O回路
22 RAM
23 NVM
24 ROM
25 CPU
251 コマンド送受信部
252 認証参照情報保持部
253 認証処理部
254 認証結果取得部
255 認証結果保持部
256 利用権限情報保持部
257 リクエスト制御部
C ICカード
T 外部端末
1 fingerprint sensor 2 IC chip 21 I/
23 NVM
24 ROMs
25 CPUs
251 Command transmission/
Claims (6)
複数種別の本人確認情報それぞれを用いて異なる本人認証を実行可能な認証処理手段と、
前記アプリケーション毎に前記本人認証に利用可能な本人確認情報の種別を示す識別子を保持する保持手段と、
選択中のアプリケーションからの本人確認情報の種別を示す識別子を含む判定要求に応じて、前記保持手段により保持されている前記識別子に基づいて前記判定要求に含まれる識別子により特定される本人確認情報が前記本人認証に利用可能であるか否かを判定する判定手段と、
前記判定手段により本人確認情報が前記本人認証に利用可能であると判定された場合、当該本人確認情報を用いて前記認証処理手段により実行された本人認証の認証結果を前記アプリケーションに応答する応答手段と、
を備えることを特徴とする電子情報記憶媒体。 An electronic information storage medium capable of loading a plurality of applications selected according to a selection command received from an external terminal,
authentication processing means capable of executing different identity authentication using multiple types of identity verification information;
holding means for holding an identifier indicating a type of identity verification information that can be used for identity authentication for each application;
In response to a determination request including an identifier indicating a type of the identity verification information from the selected application, the identity verification information specified by the identifier included in the determination request based on the identifier held by the holding means. Determination means for determining whether or not it can be used for personal authentication;
Responding means for responding to the application with an authentication result of personal authentication executed by the authentication processing means using the personal identification information when the judgment means determines that the personal identification information can be used for the personal authentication. and,
An electronic information storage medium comprising:
前記選択中のアプリケーションは、前記外部端末からのコマンドを前記オペレーティングシステムを介して受信した場合に、前記管理アプリケーションへ前記判定要求を行い、前記管理アプリケーションから応答された認証結果を含むレスポンスを前記オペレーティングシステムへ返信することを特徴とする請求項1に記載の電子情報記憶媒体。 The electronic information storage medium is equipped with a management application including the determination means and the response means, and an operating system including the authentication processing means,
The application being selected makes the determination request to the management application when a command from the external terminal is received via the operating system, and sends a response including the authentication result received from the management application to the operating system. 2. The electronic information storage medium according to claim 1, wherein the information is sent back to the system.
前記認証処理手段は、前記生体データ取得センサにより取得された生体データを用いて前記本人認証を実行することを特徴とする請求項1乃至3の何れか一項に記載の電子情報記憶媒体。 further comprising a biometric data acquisition sensor that acquires biometric data from the user's body as the identity verification information;
4. The electronic information storage medium according to any one of claims 1 to 3, wherein said authentication processing means executes said personal authentication using biometric data acquired by said biometric data acquisition sensor.
選択中のアプリケーションからの本人確認情報の種別を示す識別子を含む判定要求に応じて、前記保持手段により保持されている前記識別子に基づいて前記判定要求に含まれる識別子により特定される本人確認情報が前記本人認証に利用可能であるか否かを判定するステップと、
前記本人確認情報が前記本人認証に利用可能であると判定された場合、当該本人確認情報を用いて前記認証処理手段により実行された本人認証の認証結果を前記アプリケーションに応答するステップと、
を含むことを特徴とする処理方法。 authentication processing means having a plurality of applications selected according to a selection command received from an external terminal and capable of executing different identity authentication using multiple types of identity verification information, respectively; A processing method executed by an electronic information storage medium comprising holding means for holding an identifier indicating a type of usable personal identification information,
In response to a determination request including an identifier indicating a type of the identity verification information from the selected application, the identity verification information specified by the identifier included in the determination request based on the identifier held by the holding means. a step of determining whether or not it can be used for personal authentication;
a step of responding to the application an authentication result of the identity verification executed by the authentication processing means using the identity verification information when it is determined that the identity verification information can be used for the identity verification;
A processing method comprising:
選択中のアプリケーションからの本人確認情報の種別を示す識別子を含む判定要求に応じて、前記保持手段により保持されている前記識別子に基づいて前記判定要求に含まれる識別子により特定される本人確認情報が前記本人認証に利用可能であるか否かを判定するステップと、
前記本人確認情報が前記本人認証に利用可能であると判定された場合、当該本人確認情報を用いて前記認証処理手段により実行された本人認証の認証結果を前記アプリケーションに応答するステップと、
を実行させることを特徴とするプログラム。 authentication processing means having a plurality of applications selected according to a selection command received from an external terminal and capable of executing different identity authentication using multiple types of identity verification information, respectively; a computer included in an electronic information storage medium comprising holding means for holding identifiers indicating types of usable personal identification information,
In response to a determination request including an identifier indicating a type of the identity verification information from the selected application, the identity verification information specified by the identifier included in the determination request based on the identifier held by the holding means. a step of determining whether or not it can be used for personal authentication;
a step of responding to the application an authentication result of the identity verification executed by the authentication processing means using the identity verification information when it is determined that the identity verification information can be used for the identity verification;
A program characterized by causing the execution of
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021196317A JP7380667B2 (en) | 2021-12-02 | 2021-12-02 | Electronic information storage medium, processing method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021196317A JP7380667B2 (en) | 2021-12-02 | 2021-12-02 | Electronic information storage medium, processing method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2023082496A true JP2023082496A (en) | 2023-06-14 |
JP7380667B2 JP7380667B2 (en) | 2023-11-15 |
Family
ID=86728459
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021196317A Active JP7380667B2 (en) | 2021-12-02 | 2021-12-02 | Electronic information storage medium, processing method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7380667B2 (en) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5076820B2 (en) | 2007-11-13 | 2012-11-21 | 凸版印刷株式会社 | Application processing apparatus, application processing method, program thereof, and embedded device |
JP5986653B2 (en) | 2015-02-13 | 2016-09-06 | エヌ・ティ・ティ・インターネット株式会社 | Biometric authentication platform system, biometric authentication information management apparatus, biometric authentication information management method, and biometric authentication information management program |
JP7283345B2 (en) | 2019-10-16 | 2023-05-30 | 大日本印刷株式会社 | Fingerprint authentication IC card |
-
2021
- 2021-12-02 JP JP2021196317A patent/JP7380667B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP7380667B2 (en) | 2023-11-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8215547B2 (en) | Data communicating apparatus and method for managing memory of data communicating apparatus | |
US8606943B2 (en) | Method for processing application commands from physical channels using a portable electronic device and corresponding device and system | |
US10523669B2 (en) | Server, IC card processing apparatus, and IC card processing system | |
US11294994B2 (en) | IC card and method for controlling IC card | |
WO2018047949A1 (en) | Portable electronic device | |
JP7380667B2 (en) | Electronic information storage medium, processing method, and program | |
EP4270221A1 (en) | Portable electronic device and ic card | |
US10915616B2 (en) | IC module, IC card, and verification device | |
JP2020107101A (en) | IC card and portable electronic device | |
JP2019160191A (en) | Portable electronic device and IC card | |
CN112232467A (en) | Account switching method and multi-frequency Internet of things card | |
JP7420308B1 (en) | Electronic information storage medium, IC chip, IC card, detection interval control method, and program | |
JP2022164009A (en) | Electronic information storage medium, processing method, and program | |
JP7439843B2 (en) | Electronic information storage medium, IC card, processing method, and program | |
US11436374B2 (en) | Biometric-secured non-biometric applications on a card | |
JP2023082497A (en) | Electronic information storage media, ic chip, light emitting method, and program | |
JP7080768B2 (en) | IC card and IC card control method | |
JP6860352B2 (en) | IC cards and portable electronic devices | |
EP3611648A1 (en) | Ic card and method of controlling ic card | |
JP2023113292A (en) | Electronic information store medium, ic chip, transaction content approval determination method, and program | |
JPH03224047A (en) | Portable electronic device | |
JP2020035360A (en) | Portable electronic device | |
Scheuermann | The smartcard as a mobile security device | |
JP2019139438A (en) | IC card | |
JP2018185657A (en) | Authentication device and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230626 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20230626 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230718 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230914 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231003 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231016 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7380667 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |