JP4573350B2 - Icカード、icカードセキュリティ用システム、icカード輸送安全性確保方法、制御プログラムおよび可読記録媒体 - Google Patents

Icカード、icカードセキュリティ用システム、icカード輸送安全性確保方法、制御プログラムおよび可読記録媒体 Download PDF

Info

Publication number
JP4573350B2
JP4573350B2 JP2004315707A JP2004315707A JP4573350B2 JP 4573350 B2 JP4573350 B2 JP 4573350B2 JP 2004315707 A JP2004315707 A JP 2004315707A JP 2004315707 A JP2004315707 A JP 2004315707A JP 4573350 B2 JP4573350 B2 JP 4573350B2
Authority
JP
Japan
Prior art keywords
card
secret information
production
issuer
secret
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004315707A
Other languages
English (en)
Other versions
JP2006127209A (ja
Inventor
英紀 宮田
直樹 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sharp Corp
Original Assignee
Sharp Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sharp Corp filed Critical Sharp Corp
Priority to JP2004315707A priority Critical patent/JP4573350B2/ja
Publication of JP2006127209A publication Critical patent/JP2006127209A/ja
Application granted granted Critical
Publication of JP4573350B2 publication Critical patent/JP4573350B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、一または複数の生産工場を経由して製造され、カード輸送時などのセキュリティを確保可能としたICカード、このICカードに対してロック解除用のカード照合処理を行うICカードセキュリティ用システム、ICカードの輸送の安全性を確保可能とするICカード輸送安全性確保方法、これをコンピュータに実行させるための制御プログラムおよびこれを格納可能とするコンピュータ読み出し可能な不揮発性メモリなどの可読記録媒体に関する。
従来、外部から電源供給しなくても記憶が消えないメモリである不揮発性メモリが搭載されたICカードを製造する場合には、そのICカードをICカード製造者から最終送付先であるICカード発行者に輸送するまでの間に、ICカード内の不揮発性メモリに格納された情報の盗聴・改竄などの不正行為から守る必要がある。
このための従来技術として、輸送鍵を用いてICカード製造者とICカード発行者間の輸送時の安全性を確保する方法が挙げられる。この方法では、輸送時にはICカードが輸送鍵によりロックされ、ICカードへの処理を行うことができなくなり、輸送鍵による照合後、ICカードへの処理を行うことが可能になる。
以下に、輸送鍵を用いてICカードの輸送時の安全性を確保する従来技術について、図10を用いて具体的に説明する。
図10は、ICカードの照合に秘密鍵暗号方式を使用した従来技術の一例を示すブロック図である。
図10に示すように、まず、(1)ICカード発行者にて輸送鍵を生成し、(2)輸送鍵を記録媒体に記録してICカード製造者へ送付する。この間の盗難を防止するために、輸送鍵が記録された記録媒体をICカード発行者からICカード製造者へ手渡しする手段などが講じられている。
次に、(3)ICカード製造者は、ICカード発行者から受け取った輸送鍵をICカードに設定し、(4)ICカード発行者へICカードを送付する。ここで、ICカードは、設定された輸送鍵にて照合しない限りICカードの発行処理を行うことができないように設定されている。
さらに、(5)ICカード発行者は、ICカード製造者から受け取ったICカードを輸送鍵にて照合し、ICカードの発行処理を行う。
以上のような一連の処理を行うことにより、ICカード製造者とICカード発行者間の輸送時におけるICカードへの不正行為を防止することができる。
しかしながら、上記従来技術では、ICカード発行者とICカード製造者が用いる鍵が同一の輸送鍵であり、製造者内部犯行などによる輸送鍵の漏洩によってICカード製造者とICカード発行者間の輸送時に、ICカードへの不正行為が可能となる場合がある。
そこで、例えば特許文献1には、輸送鍵を対称鍵ではなく、非対称鍵を用いることにより、輸送鍵の秘密性を高めて上記問題を解決する技術が開示されている。なお、対称鍵とは、暗号化と復号化に同じ鍵を用いる秘密鍵暗号方式(秘密鍵暗号化アルゴリズム)に使用される鍵であり、非対称鍵とは、暗号化と復号化に異なる鍵を用いる公開鍵暗号方式(公開鍵暗号化アルゴリズム)に使用される鍵である。
以下に、非対称鍵を用いてICカードの輸送時の安全性を確保する従来技術について、図11を用いて具体的に説明する。
図11は、ICカードの照合に公開鍵暗号方式を使用した従来技術の一例を示すブロック図である。
図11に示すように、まず、(1)ICカード発行者は、輸送鍵として、秘密鍵および公開鍵をペアで生成し、(2)公開鍵を記録媒体に記録してICカード製造者へ送付する。
次に、(3)ICカード製造者は、ICカード発行者から受け取った公開鍵をICカードに設定し、(4)ICカード発行者へICカードを送付する。ここで、ICカードは、ICカード発行者が生成した公開鍵に対応した秘密鍵にて照合しない限りICカードの発行処理を行うことができないように設定されている。
さらに、(5)ICカード発行者は、保持している秘密鍵を用いてICカード製造者から受け取ったICカードを照合し、ICカードの発行処理を行う。
以上のような公開鍵暗号方式を利用することにより、照合に必要な秘密鍵は、生成源であるICカード発行者より外部へ出ることがない。これによって、公開鍵のICカード製造者への送付時やICカード製造者内での漏洩によるICカードへの不正行為を防ぐことができる。
特開2000−11113号公報
しかしながら、上記従来技術は、いずれも、ICカード製造者とICカード発行者間の1対1での輸送時に安全を確保するための方法であり、ICカード製造者による生産工程において、複数の中間処理工場を経由することは想定されていない。
従来技術において、ICカード製造者である複数の中間処理工場間での輸送時に不正防止を図るためには、ICカード発行者から送付された輸送鍵を全ての中間処理工場で使用することになり、輸送鍵が製造者外へ漏洩する虞は増加する。
ここで、輸送鍵として、対称鍵ではなく、非対称鍵を使用した場合であっても、各中間処理工場においてICカードへの処理を行うために、ICカード発行者から公開鍵だけではなく秘密鍵まで各中間処理工場へ提供することになる。よって、本来はICカード発行者のみによって使用される秘密鍵が、中間処理工場でも必要になる。
また、従来技術では、ICカードの輸送時に不正行為が行われた場合、または、不正行為が行われようとした場合に、これらを検出することができない。さらに、ICカードの生産工程において、複数の中間処理工場を経由する場合、従来技術では同じ輸送鍵を各中間処理工場にて使用するため、どの中間処理工場まで不正行為が行われずに正しく処理されたかということを把握することもできない。特に、ICカードの生産工程において、複数の中間処理工場を経由する場合には、不正行為が行われた場所を特定するために、不正行為を検出することが重要になる。
さらに、従来技術では、輸送鍵がICカードの不揮発性メモリに書き込まれ、ICカード発行者によるICカードの照合後、輸送鍵をICカード上から消去することは行われているが、輸送鍵の設定・照合などを行う輸送鍵管理プログラムは、ICカードのROM(読み出し専用メモリ)上に搭載されているため、消去することができない。このため、ICカードが発行された後も、輸送鍵管理プログラムが無駄にICカード内に存在することになる。
本発明は、上記従来の問題を解決するもので、不揮発性メモリが搭載されたICカードの生産工程において、全ての工程が一つの工場で行われず、複数の生産工場を経てICカードが製造される場合にも、各生産工場間をロック解除に対して安全に輸送することができ、もし不正行為が行われた場合であっても、それを検出することができるICカード、このICカードに対してロック解除用のカード照合処理を行うICカードセキュリティ用システム、ICカードの輸送時のロック解除に対する安全性を確保可能とするICカード輸送安全性確保方法、これをコンピュータに実行させるための制御プログラムおよびこれを格納可能とするコンピュータ読み出し可能な不揮発性メモリなどの可読記録媒体を提供することを目的とする。
本発明のICカードは、不揮発性メモリが設けられ、一または複数の生産工場を順次経由して製造される場合に、情報の読み出しも書き込みも不可能にする輸送時のロックの解除に対するセキュリティを確保可能とするセキュリティ確保手段を備えたICカードであって、該一または複数の生産工場および最終送付先であるカード発行者のそれぞれに対応する秘密情報が該不揮発性メモリを用いて保存されており、該セキュリティ確保手段は、 該ICカード外部の通信手段が、該一または複数の生産工場およびカード発行者のいずれかに対応する、該不揮発性メモリ内の秘密情報と、該通信手段が有する秘密情報とを用いて、該ICカードに対してロック解除用のカード照合を行った後に、該カード照合が行われた該不揮発性メモリ内の秘密情報を無効処理する秘密情報無効化手段と、該秘密情報の無効処理後に、該秘密情報を、後続する生産工場またはカード発行者に対応する秘密情報に切り替える秘密情報切替手段とを有し、該一または複数の生産工場およびカード発行者のいずれかに対応する秘密情報により、誤った秘密情報が使用されて正しく照合が行われなかった場合、または不正行為(Unexpected Attackor Illegal Actions)により正しい照合が行われなかった場合、次に後続する生産工場またはカード発行者に対応する秘密情報を無効処理する後続秘密情報無効化手段と、該秘密情報の無効処理後に、該秘密情報を、該不正の検出のために、次に後続するさらに次の生産工場またはカード発行者に対応する秘密情報に切り替える後続秘密情報切替手段とを更に有し、そのことにより上記目的が達成される。
さらに、好ましくは、本発明のICカードにおける一または複数の生産工場およびカード発行者に対応する各秘密情報および前記セキュリティ確保手段に関する情報の少なくともいずれかを前記不揮発性メモリ上から削除可能とする情報削除手段を更に有する。
本発明のICカードセキュリティ用システムは、請求項1〜3のいずれかに記載の上記ICカードの固有値と前記一または複数の生産工場およびカード発行者のそれぞれとに対応する各秘密情報を管理し、かつ入力された該固有値と、前記一または複数の生産工場およびカード発行者のいずれかとに対応する秘密情報を出力する秘密情報管理手段と、該ICカードとの間および秘密情報管理手段との間で情報通信処理を行って該ICカードに対してロック解除用のカード照合処理を行う通信手段とを備え、該通信手段は、該ICカードの固有値を取得するカード固有値取得手段と、取得した該固有値を該秘密情報管理手段に出力することにより、該固有値と、該一または複数の生産工場およびカード発行者のいずれかとに対応する秘密情報を該秘密情報管理手段から取得する秘密情報取得手段と、該取得した秘密情報を用いて、該ICカードとの間で通信処理をすることにより、該ICカードのカード照合処理を行うカード照合処理手段とを有し、そのことにより上記目的が達成される。
また、好ましくは、本発明のICカードセキュリティ用システムにおける秘密情報は、識別用暗証番号PINと対称鍵DivKである。
さらに、好ましくは、本発明のICカードセキュリティ用システムにおける秘密情報は、前記識別用暗証番号を乱数でマスクし、マスクされたメッセージを前記対称鍵で暗号化して前記カード照合処理に用いる。
さらに、好ましくは、本発明のICカードセキュリティ用システムにおける識別用暗証番号の前記乱数によるマスクは、該識別用暗証番号と乱数の排他的論理和により行う。
さらに、好ましくは、本発明のICカードセキュリティ用システムにおいて、マスクされたメッセージの暗号化を秘密鍵暗号化方式により行う。
本発明のICカード輸送安全性確保方法は、前記一または複数の生産工場およびカード発行者側にそれぞれ設けられた請求項4〜8のいずれかに記載のICカードセキュリティ用システムを用いて、該一または複数の生産工場およびカード発行者のそれぞれにおいて、前記カード固有値取得手段が、該ICカードの固有値を該ICカードから取得するカード固有値取得ステップと、前記通信手段から該固有値を前記秘密情報管理手段に入力して、該固有値と、該一または複数の生産工場およびカード発行者のいずれかとに対応する秘密情報を前記秘密情報取得手段が前記秘密情報管理手段から取得する秘密情報取得ステップと、前記カード照合処理手段が、秘密情報取得手段によって取得された秘密情報を用いて該ICカードとの間で通信処理を行って該ICカードとのロック解除用のカード照合処理を行うカード照合処理ステップとを有し、そのことにより上記目的が達成される。
また、好ましくは、本発明のICカード輸送安全性確保方法における秘密情報無効化手段が、前記カード照合処理の後に、照合された該一または複数の生産工場およびカード発行者のいずれかに対応した秘密情報を無効処理する秘密情報無効化ステップと、前記秘密情報切替手段が、該秘密情報の無効処理後に、該秘密情報を、後続する生産工場またはカード発行者に対応する秘密情報に切り替える秘密情報切替ステップとを更に有する。
さらに、好ましくは、本発明のICカード輸送安全性確保方法における後続秘密情報無効化手段が、前記一または複数の生産工場およびカード発行者のそれぞれに対応する秘密情報により不正にカード照合が行われた場合、後続する生産工場またはカード発行者に対応する秘密情報を無効処理する後続秘密情報無効化ステップと、前記後続秘密情報切替手段が、該秘密情報の無効処理後に、該秘密情報を、更に後続する生産工場またはカード発行者に対応する秘密情報に切り替える後続秘密情報切替ステップとを更に有する。
さらに、好ましくは、本発明のICカード輸送安全性確保方法では、最初の生産工場側において、前記ICカードが、該ICカードの輸送鍵である輸送セキュリティ用アプリケーションプログラムおよびそのデータを前記不揮発性メモリにダウンロードして搭載するプログラム搭載ステップと、該ICカードの固有値を前記秘密情報管理手段に前記通信手段から送信して入力して、該秘密情報管理手段から前記通信手段を介して該ICカードが、該固有値と、前記一または複数の生産工場およびカード発行者のそれぞれとに対応する秘密情報を取得する秘密情報取得ステップと、該ICカードが、該通信手段によって取得された秘密情報を該ICカードの不揮発性メモリに登録する秘密情報登録ステップと、該ICカードが、該秘密情報登録後に、情報の読み出しも書き込みも不可能にする該ICカードのロック処理を行うロック処理ステップとを有する。
さらに、好ましくは、本発明のICカード輸送安全性確保方法では、カード発行者側において、前記ICカードに搭載されたセキュリティ用アプリケーションプログラムによって、前記情報削除手段が、前記一または複数の生産工場およびカード発行者のそれぞれに対応する各秘密情報を該ICカードの不揮発性メモリから削除する秘密情報削除ステップと、オペレーションシステムによって該輸送セキュリティ用アプリケーションプログラムおよびそのデータを該ICカードが該ICカードの不揮発性メモリから削除するプログラム削除ステップとを有する。
本発明の制御プログラムは、本発明の上記ICカード輸送安全性確保方法の各ステップをコンピュータに実行させるための処理手順が記述されたものであり、そのことにより上記目的が達成される。
本発明の可読記録媒体は、本発明の上記制御プログラムが記録されたコンピュータ読み取り可能な記録媒体であり、そのことにより上記目的が達成される。
上記構成により、以下に、本発明の作用について説明する。
不揮発性メモリが設けられたICカードにおいて、ICカードを最終送付先であるICカード発行者に輸送するまでの間に、不正にロックが解除されてICカード内の情報の盗聴・改竄などの不正行為から守る必要がある。特に、ICカードの全ての生産工程が一つの工場で行われない場合、(1)各生産工場間をロック解除に対して安全に輸送できること、および(2)不正行為が行われた場合に、それを検出することが必要になる。
従来技術では、ICカードのハードウェア構成の違いや出荷形態等により、生産工場−ICカード発行者間で利用可能な方法であり、生産工程において複数の中間工場を経由することは想定されていない。
本発明では、不揮発性メモリが搭載されたICカードの製造工程において、各生産工場(中間処理工場)および最終送付先であるICカード発行者に対応する各秘密情報として、例えば識別用暗証番号PIN(PersonalIdentification Number)および対称鍵DivKをICカードの不揮発性メモリを用いて管理して、各生産工場およびICカード発行者のいずれかに対応する秘密情報によりICカードのロック解除用のカード照合処理を行った後、このカード照合が行われた生産工場またはICカード発行者に対応した秘密情報を無効にし、ICカードの秘密情報が無効にされた後、ICカードの秘密情報を後続する生産工場またはICカード発行者に対応する秘密情報に切り替える。
各生産工場およびICカード発行者側に、ICカードとの間で通信処理を行う通信手段と、各ICカードの固有値と、各中間処理工場およびICカード発行者に対応する秘密情報とを管理する秘密情報管理手段SAM(Secure Access Module:秘密情報などを管理するハードウェアモジュールまたはソフトウェアモジュール)とを設けて、各生産工場およびICカード発行者側において、通信手段からICカードの固有値(各ICカードに固有に割り当てられる値、シリアルNo等)を秘密情報管理手段に入力することにより、その固有値と、各中間処理工場およびICカード発行者のいずれかとに対応する秘密情報を取得し、通信手段によって、取得された秘密情報を用いてICカードとの間で通信処理を行って、ICカードのロック解除用のカード照合を行う。
これにより、対応する生産工場およびICカード発行者によってのみ、ICカードに対する処理を行うことが可能になり、生産工程において複数の生産工場を経由した場合でも、ICカード輸送時のロック解除に対する安全性を確保することができる。さらに、ICカードの各生産工場およびICカード発行者のそれぞれに対応する秘密情報(識別用暗証番号PIN、対称鍵DivK)がカード照合後に無効とされ、後続する生産工場またはICカード発行者に対応する秘密情報に切り替えられるため、ICカードの製造工程を正しく順序通りに処理し、最終送付先であるICカード発行者に、ロック解除に対するセキュリティを確保した状態で届けることが可能になる。
さらに、本発明によれば、各生産工場またはICカード発行者に対応する秘密情報により正しくカード照合が行われなかった場合(ロック解除に対して不正行為があった場合)でも、後続する生産工場またはICカード発行者に対応する秘密情報を無効にし、ICカードの秘密情報が無効にされた後、ICカードの秘密情報をさらに後続する生産工場またはICカード発行者に対応する秘密情報に切り替える。
これにより、ICカードに対して不正行為が行われた場合に、後続する生産工場またはICカード発行者に対応する秘密情報(識別用暗証番号PIN、対称鍵DivK)が無効とされ、後続する生産工場またはICカード発行者にて正しく照合することができなくなる。これによって、不正行為が行われたことを検出することが可能となる。
さらに、本発明では、ICカードの輸送セキュリティ用アプリケーションプログラムにおいて、各生産工場およびICカード発行者に対応する各秘密情報をICカードの不揮発性メモリから削除可能とする。このように、各生産工場およびICカード発行者に対応する各秘密情報(識別用暗証番号PIN、対称鍵DivK)を削除することにより、生産工程における秘密情報の漏洩を防止することが可能になる。
また、従来技術では、必要なアプリケーションプログラムは、ROMとしてICカードに搭載されているため、ICカードが発行された後も無駄にICカード内に存在することになる。ユーザに最大限のメモリ容量を提供するためには、ICカード発行後に必要のないアプリケーションプログラムを削除できることが必要になる。
本発明では、ICカードにおいて、ICカードの輸送セキュリティ用アプリケーションプログラムを不揮発性メモリから削除する手段はOSに設けられている。これにより、ICカードがICカード発行者に届いた後に、アプリケーションプログラムおよびそのデータを削除すれば、最大限のメモリ容量をユーザに提供することが可能になる。
このように、本発明として、ユーザに最大限のメモリ容量を提供するために、ICカード発行後に必要がなくなるICカードの輸送セキュリティ用アプリケーションプログラムおよびそのデータを削除する手段を有するICカードを得ることが可能となる。
以上により、本発明によれば、対応する生産工場およびICカード発行者によってのみ、ICカードに対する処理を行うことが可能になり、各生産工場間またはICカード発行者へのICカードの輸送時にICカードへのロック解除に対する不正行為が行われたり、各生産工場の秘密情報管理手段への不正行為が行われることを防止して、生産工程において複数の生産工場を経由した場合でも、ICカード輸送時のロック解除に対する安全性を確保することができる。
また、ICカードの製造工程を正しく順序通りに処理し、最終送付先であるICカード発行者に、ロック解除に対するセキュリティを確保した状態で届けることができる。
さらに、各生産工場間またはICカード発行者へのICカードの輸送時にICカードへの不正行為が行われたり、各生産工場のSAMへの不正行為が行われることを防止すると共に、ロック解除に対して不正行為が行われたことを検出することもできる。
さらに、ICカードがICカード発行者に届いた後に、アプリケーションプログラムおよびそのデータを削除して、最大限のメモリ容量をユーザに提供することができる。
以下に、本発明のICカードの輸送セキュリティ用システムにおける実施形態について、図面を参照しながら説明する。
図1は、本発明のICカードセキュリティ用システムの一実施形態における構成例を示すブロック図である。
図1に示すように、ICカードセキュリティ用システム10は、各ICカード生産工場およびICカード発行者のそれぞれに対して、ICカード11の固有値に対応した秘密情報を管理する秘密情報管理手段12(SAM;SecureAccess Module)と、ICカード11との間および、秘密情報管理手段2との間で通信処理を行ってICカード11に対してロック解除用のカード照合処理を行う通信手段としての通信端末13(ControlTerminal;操作端末)とを備えている。
秘密情報管理手段12は、秘密情報などを管理するハードウェアモジュールまたはソフトウェアモジュールで構成されており、図1の事例では、ICカード11に固有に割当てられる固有値としてのシリアルNo(ICカード番号;ICCardNo、例えば1001)と、各ICカード生産工場番号(IC Card Production Plant No)と、これらのシリアルNoおよびICカード生産工場番号に対応する秘密情報としての識別用暗証番号PINおよび対称鍵DivKとが管理されている。
通信端末13は、ICカード11の固有値を取得するカード固有値取得手段13Aと、この取得した固有値を秘密情報管理手段12に出力することにより、この固有値と、一または複数の生産工場およびカード発行者のいずれかとに対応する秘密情報を秘密情報管理手段12から取得する秘密情報取得手段13Bと、この取得した秘密情報を用いて、ICカード11との間で通信処理をすることにより、ICカード11のカード照合処理を行うカード照合処理手段13Cとを有している。
秘密情報取得手段13Bは、ICカード11の固有値のシリアルNoを秘密情報管理手段3に入力することにより、その固有値のシリアルNoと、ICカード生産工場(ICカード生産工場番号)またはICカード発行者(ICカード発行者番号)とに対応する秘密情報(識別用暗証番号PINおよび対称鍵DivK)を取得するようになっている。
カード照合処理手段13Cは、取得した秘密情報(識別用暗証番号PIN、対称鍵DivK)を用いて、内部の不揮発性メモリにICカード生産工場またはICカード発行者に対応する秘密情報(識別用暗証番号PIN、対称鍵DivK)が格納されたICカード11との間で通信処理を行ってICカード11とのロック解除用のカード照合を行う。
このICカードセキュリティ用システム10は、各ICカード生産工場およびICカード発行者側にそれぞれ設けられており、各ICカード生産工場およびICカード発行者毎の秘密情報を用いてICカード1とのロック解除用のカード照合処理が行われ、そのカード照合結果が一致すれば、ロックが解除されてICカード11内の情報を読み出したりICカード11に情報を書き込んだりできる。
これらのカード固有値取得手段13A、秘密情報取得手段13Bおよびカード照合処理手段13Cをソフトウェアで構成する場合には、CPU(中央演算処理装置)が制御プログラムに基づいて、制御プログラムはこれらの手段の機能を実行するが、この制御プログラムは通信端末13内の可読記録媒体としてのメモリ(例えばハードディスク)にホストコンピュータなどの可読記録媒体としてのハードディスクなどからダウンロードされている。また、制御プログラムは、インターネットや通信ケーブルを介して、または可読記録媒体としての光ディスクおよび磁気ディスクなどから通信端末13のメモリにダウンロードされていてもよい。
図2は、図1のICカード1の生産工程の一例を示す流れ図である。図2の各ICカード生産工場およびICカード発行者側にそれぞれ、本実施形態のICカードセキュリティ用システム10がそれぞれ設置されている。
図2に示すように、ICカード11の生産工程は、一つまたは複数の生産工場(ここでは1〜3;ICCard Production Plant No.)によって行われる。生産されるICカード1は、これらのICカード生産工場1〜3を経由して、最終的に、ICカード発行者に輸送されてICカードが発行される。
図3は、図1のICカード1内の構成例を示すブロック図である。
図3に示すように、ICカード11は、ハードウェア111上に不揮発性メモリ112を備えており、不揮発性メモリ112上に、ICカード11を読み書き制御するOS(オペレーションシステム)がダウンロードされて搭載されている。
この不揮発性メモリ112上のOSの管理下において、一または複数のアプリケーションプログラム(アプリケーションプログラムA、B、・・・)と、ICカード輸送セキュリティ用アプリケーションプログラムとして輸送鍵AP(TransportAP)とがダウンロードされて搭載されている。
このICカード11において、アプリケーションプログラムの追加(搭載)または削除や、自動的に起動されるアプリケーションプログラムはOSによって管理されている。
ここで、輸送鍵APは、不揮発性メモリ112が搭載されたICカード11を複数の生産工場間を経由して製造する場合に、ICカード輸送時の安全性を確保するために用いられるアプリケーションプログラムである。
ICカード11は、一または複数の生産工場を順次経由して製造される場合に、輸送鍵APに基づいて、輸送時のロック解除に対するセキュリティを確保可能とする例えばCPU(中央演算処理装置)などのセキュリティ確保手段11Fを有している。
セキュリティ確保手段11Fは、各ICカード生産工場および最終送付先であるICカード発行者に対応する秘密情報をICカード11の不揮発性メモリ112を用いて管理しており、各ICカード生産工場またはICカード発行者に対応する秘密情報によりICカード11とのカード照合を行った後に、カード照合が行われたICカード生産工場またはICカード発行者に対応した秘密情報を無効にする秘密情報無効化手段11Aと、ICカード11内の秘密情報が無効にされた後、ICカード11内の他の秘密情報を、次に後続する次のICカード生産工場またはICカード発行者に対応する秘密情報に切り替える秘密情報切替手段11Bとを有している。
また、セキュリティ確保手段11Fは、各ICカード生産工場またはICカード発行者に対応する秘密情報により正しくカード照合が行われなかった場合(ロック解除に対して不正行為があった場合)であっても、これを検出して、後続する生産工場またはカード発行者に対応する秘密情報を無効処理する後続秘密情報無効化手段11Cと、ICカード11の秘密情報が無効にされた後、ICカード11の秘密情報をさらに次に後続するICカード生産工場またはICカード発行者に対応する秘密情報に切り替える後続秘密情報切替手段11Dとを有する。なお、ICカードへのアクセス回収を順次記憶して行けば、不正行為によるICカードへのアクセスも1回のアクセスとしてカウントされて、秘密情報の無効処理と切替処理が為されるため、更に後続する生産工場の秘密情報に切替処理されてずれるため、後続する生産工場でのカード照合処理ができなくなることから、何らかの不正行為が為されたと判る。この場合には、後続秘密情報無効化手段11Cおよび後続秘密情報切替手段11Dと、秘密情報無効化手段11Aおよび秘密情報切替手段11Bとは共用できる。不正行為自体を検出する場合には、後続秘密情報無効化手段11Cおよび後続秘密情報切替手段11Dと、秘密情報無効化手段11Aおよび秘密情報切替手段11Bとは共用できない。
さらに、セキュリティ確保手段11Fは、輸送鍵APによって、生産工程における秘密情報の漏洩を防止するため、ICカード11がICカード発行者に各ICカード生産工場およびICカード発行者に対応する秘密情報をICカード11の不揮発性メモリ112から削除する情報削除手段11Eを有している。情報削除手段11Eは、後述するが、OSにより、最大限のメモリ容量をユーザに提供するために、セキュリティ確保手段11Fに関する情報、例えば輸送鍵APを不揮発性メモリ112上から削除することができる。これらの輸送鍵APおよびOSにより制御プログラムが構成される。
図4は、本発明のICカード輸送セキュリティ用アプリケーションプログラム(輸送鍵AP)による、各ICカード生産工場および各ICカード発行者に対応する秘密情報(識別用暗証番号PIN、対称鍵DivK)を用いたICカード11の運用方法について説明するためのブロック図である。
図4に示すように、各ICカード11には、全てのICカード生産工場およびICカード発行者に対応する秘密情報(暗証用識別番号PIN、対称鍵DivK)が格納されており、各ICカード生産工場での処理後、処理が完了したICカード生産工場に対応する秘密情報は無効とされて、次のICカード生産工場に対応する秘密情報に切り替えられる。秘密情報の切り替えは、一方向に進むことが可能であり、戻すことはできない。
例えば、図4(a)に示す中間処理工場であるICカード生産工場3(ICCard Production Plant 3)では、そのICカード生産工場3(IC Card Production Plant 3)に対応する秘密情報(PIN3、DivK3)に切り替えられて(Enabled)おり、そのICカード生産工場3(ICCard Production Plant 3)による処理完了後、図4(b)に示すように、その秘密情報(PIN3、DivK3)が無効(Expired)とされて、次のICカード生産工場4(ICCard Production Plant 4)に対応する秘密情報(PIN4、DivK4)に切り替え(Disabled→Enabled)られる。このICカード生産工場4(ICCard Production Plant 4)による処理完了後、図4(c)に示すように、その秘密情報(PIN4、DivK4)が無効(Expired)とされて、次のICカード生産工場5(ICCard Production Plant 5)に対応する秘密情報(PIN5、DivK5)に切り替え(Disabled→Enabled)られる。
以下に、本実施形態のICカード11の輸送安全性確保方法について説明する。
まず、図2に示す最初のICカード生産工場1における照合処理について説明する。
最初のICカード生産工場1では、ICカード11を安全に輸送するために、ICカード11の輸送セキュリティ用アプリケーションプログラムとして輸送鍵AP(TransportAP)がICカード11にダウンロードされて搭載される。
次に、図1の通信端末13は、ICカード11の固有値をICカード11から入手して秘密情報管理手段12に出力することにより、その出力した固有値と、各ICカード生産工場およびICカード発行者とに対応する秘密情報を秘密情報管理手段12から取得し、その取得した秘密情報をICカード11の不揮発性メモリ112に登録する。その後、ICカード11がロックされて輸送時の安全が確保される。
最初のICカード生産工場1における具体的な処理について、図5を用いて説明する。
図5は、図1のICカードセキュリティ用システム10を用いた最初の生産工場における処理例について説明するためのフロー図である。
図5に示すように、ステップS1では、「輸送鍵APをICカード11へダウンロードして搭載するためのコマンド(DownloadTransport AP)」が通信端末13からICカード11へ送信される。輸送鍵APは、図3に示すICカード11のOSによって通信端末13から不揮発性メモリ112上にホストコンピュータなどの可読記録媒体としてのハードディスクなどからダウンロードされて搭載される。このハードディスク内の輸送鍵APは、インターネットや通信ケーブルを介して、または可読記録媒体としての光ディスクおよび磁気ディスクなどからダウンロードされていてもよい。
このように、通信端末13からICカード11に輸送鍵APが正常にダウンロードされて搭載されると、ステップS2において、ICカード11から通信端末13へ「正常応答(Success)」が送信される。
通信端末13にICカード11からの「正常応答(Success)」が受信されると、ステップS3において、通信端末13からICカード11へ「輸送鍵APに対してICカード制御用コマンドの全てを使用可能な状態にするコマンド(SetCommand Permission to Transport AP」が送信される。
処理が正常に行われると、ステップS4において、ICカード11から通信端末13へ「正常応答(Success)」が送信される。
通信端末13にICカード11からの「正常応答(Success)」が受信されると、ステップS5において、通信端末13からICカード11へ「輸送鍵APを自動的に起動するアプリケーションプログラムに設定するコマンド(SetDefault to Transport AP」が送信される。
処理が正常に行われると、ステップS6において、ICカード11から通信端末13へ「正常応答(Success)」が送信される。
ステップS7では、図1に示す通信端末13から秘密情報管理手段12へ、ICカード11の固有値が送信され、秘密情報管理手段12から通信端末13へその固有値、各中間処理工場であるICカード生産工場またはICカード発行者に対応する秘密情報(識別用暗証番号PIN、対称鍵DivK)が送信され、通信端末13はこれらを取得する。
ステップS8では、通信端末13からICカード11へ、ICカード11の固有値(SerialNo)、および秘密情報管理手段12から取得された秘密情報(識別用暗証番号PIN、対称鍵DivK)が送信コマンド(Send Serial No、PIN、DivK)」によって送信される。
ICカード11に受信されたICカード11の固有値、秘密情報(識別用暗証番号PIN、対称鍵DivK)は、ICカード11内に保存され(不揮発性メモリ内に保存)、ステップS9において、ICカード11から通信端末13へ「正常応答(Success)」が送信される。
通信端末13にICカード11からの「正常応答(Success)」が受信されると、ステップS10において、通信端末13からICカード11へ「ICカードの固有値、秘密情報(識別用暗証番号PIN、対称鍵DivK)をICカード11へ登録する登録コマンド(RegisterSerial No、PIN、DivK )」が送信される。
ICカード11では、送信コマンドによって受信されたICカード11の固有値、秘密情報(識別用暗証番号PIN、対称鍵DivK)と、登録コマンドによって受信された内容とが比較され、その比較結果がICカード11の不揮発性メモリ112へ保存される。
処理が正常に行われると、ステップS11において、ICカード11から通信端末13へ「正常応答(Success)」が送信される。
通信端末13にICカード11からの「正常応答(Success)」が受信されると、ステップS12で通信端末13からICカード11へ「ICカード11をロックするロックコマンド(LockCard)」が送信される。
ICカード11が正常にロックされると、ステップS13でICカード11から通信端末13へ「正常応答(Success)」が送信される。
次に、図2に示す中間処理工場であるICカード生産工場2および3における照合処理について説明する。
ICカード11は、輸送時にロックされており、生産処理を行うためには、ICカード11のロックを解除する必要がある。ICカード生産工場2および3では、認証工程(後述する図7のステップS27、ステップS33、ステップS39およびステップS47)を経てICカード11の照合を行うことにより、ICカード11のロックが解除されて、ICカード11に対する情報の読み出しまたは書き込み可能となる。
認証工程には、ICカード11の固有値と、対象のICカード生産工場などに対応する秘密情報(識別用暗証番号PIN、対称鍵DivK)が必要であり、各ICカード生産工場では、図1に示す通信端末13からICカード11の固有値を秘密情報管理手段12に入力することにより、その固有値およびICカード生産工場に対応する秘密情報が通信端末13に取得される。
ここで、ICカード生産工場において、通信端末13とICカード11との間で通信を行う際には、秘密情報である識別暗証番号PINを乱数によってマスクし、マスクされたメッセージを対称鍵DivKで暗号化することにより、通信端末13とICカード11との間の通信によって秘密情報である識別暗証番号PINが盗聴されることを二重に防ぐことができる。このマスクは、平文(数値列)と乱数とをビット演算することなどによって行われ、これによって元の平文の読解が困難とされる。識別暗証番号PINのマスクは、例えば、乱数とのXOR演算(Exclusive OR;排他的論理和)により行われ、暗号化は秘密鍵暗号方式で行われる。
各ICカード生産工場に対応する秘密情報により、正常にICカード11の照合が行われた場合には、図4に示すように、そのICカード生産工場に対応するICカード11の秘密情報が無効にされた後、ICカード11の秘密情報が次のICカード生産工場に対応する秘密情報に切り替えられる。
また、誤った秘密情報が使用されて正しく照合が行われなかった場合には、図6に示すように、次のICカード生産工場4に対応するICカード11の秘密情報が無効にされた後、ICカード11の秘密情報がさらに次のICカード生産工場5に対応する秘密情報に切り替えられるため、次のICカード生産工場4により処理を行うことができなくなり、不正行為を発見することが可能になる。
例えば、図6(a)に示す中間処理工場であるICカード生産工場3(ICCard Production Plant 3)では、そのICカード生産工場3に対応する秘密情報(PIN3、DivK3)に切り替えられて(Enabled)、そのICカード生産工場3による処理完了後、図6(b)に示すように、その秘密情報(PIN3、DivK3)が無効(Expired)とされて、次のICカード生産工場4(ICCard Production Plant 4)に対応する秘密情報(PIN4、DivK4)に切り替え(Disabled→Enabled)られる。
ここで、不正行為(Unexpected Attackor Illegal Actions)により正しい照合が行われなかった場合には、図6(c)に示すように、その秘密情報(PIN4、DivK4)が無効(Expired)とされて、さらに次のICカード生産工場5(ICCard Production Plant 5)に対応する秘密情報(PIN5、DivK5)に切り替え(Disabled→Enabled)られる。
ICカード生産工場4では、ICカード11の秘密情報がさらに次のICカード生産工場5に対応する秘密情報(PIN5、DivK5)に切り替えられているため、ICカード11のロックを解除して照合処理を行うことができない。
各ICカード生産工場における具体的な処理について、図7および図8を用いて説明する。
図7に示すように、ステップS21では、通信端末13からICカード11へ、「チャレンジ要求コマンド(ChallengeRequest)」が送信される。
ICカード11に「チャレンジ要求コマンド(ChallengeRequest)」が受信されると、ステップS22において、ICカード11から通信端末13へ「ICカードの固有値(Serial No)」が送信される。
通信端末13にICカード11の固有値が受信された後、ステップS23で受信されたICカード11の固有値が通信端末13から図1の秘密情報管理手段12に入力され、秘密情報管理手段12からICカード11の固有値およびそのICカード生産工場に対応する秘密情報(識別用暗証番号PIN、対称鍵DivK(PIN,DivK=SAM(SerialNo;シリアル番号))が出力されて通信端末13に取得される。
通信端末13に秘密情報(識別用暗証番号PIN、対称鍵DivK)が取得された後、ステップS24で通信端末13によって乱数Rpc0が生成(CreateRpc0)される。
ステップS25では、通信端末13によって、秘密情報管理手段12から取得された秘密情報の識別用暗証番号PINがステップS24で生成された乱数Rpc0とXOR演算(排他的論理和)され、乱数Rpc0でマスクされた識別用暗証番号PINのメッセージM1(M1=Rpc0PIN)が生成される。
ステップS26では、通信端末13によって、メッセージM1が秘密情報の対称鍵DivKを用いて暗号化され、暗号文C1(C1=E(DivK,M1))が生成される。
ステップS27では、生成された暗号文C1が通信端末13からICカード11へ送信される。
ICカード11に暗号文C1が受信されると、ステップS28でICカード11によって、対称鍵DivKを用いて暗号文C1が復号化され、メッセージM1(M1=D(DivK,C1))が取得される。
次に、ステップS29では、ICカード11によって、取得されたメッセージM1とICカード11に登録されている識別用暗証番号PINがXOR演算され、乱数Rpc(Rpc=M1PIN)が取得される。
ICカード11に乱数Rpcが取得された後、ステップS30において、ICカード11によって、乱数Rcard0が生成(CreateRcard0)される。
次に、ステップS31では、ICカード11によって、ステップS29で取得された乱数RpcとステップS30で生成されたRcard0とがXOR演算され、乱数RpcでマスクされたRcard0のメッセージM2(M2=RpcRcard0)が生成される。
ステップS32では、ICカード11によって、メッセージM1がICカード11に登録されている対称鍵DivKを用いて暗号化され、暗号文C2(C2=E(DivK,M2))が生成される。
ステップS33では、生成された暗号文C2がICカード11から通信端末13へ送信される。
通信端末13に暗号文C2が受信されると、ステップS34で、通信端末13によって、対称鍵DivKを用いて暗号文C2が復号化され、メッセージM2(M2=D(DivK,C2))が取得される。
ステップS35では、通信端末13によって、取得されたメッセージM2と乱数Rpc0とがXOR演算され、乱数Rcard(Rcard=M2Rpc0)が取得される。
ステップS36では、通信端末13によって、ステップS24で生成された乱数Rpc0とステップS35で取得された乱数Rcardを引数として、鍵ExK(ExK=f(Rpc0,Rcard))が生成される。ここで、鍵ExKは、二つの引数を使用する一般的な一方向性の関数である。
ステップS37では、通信端末13によって、ステップS35で取得された乱数Rcardが秘密情報管理手段12から取得された秘密情報の識別用暗証番号PINとXOR演算され、乱数Rcadでマスクされた識別用暗証番号PINのメッセージM3(M3=RcardPIN)が生成される。
ステップS38では、通信端末13によって、ステップS37で生成されたメッセージM3が、ステップS36で生成された鍵ExKを用いて暗号化され、暗号文C3(C3=E(ExK,M3))が生成される。
ステップS39では、生成された暗号文C3が通信端末13からICカード11へ送信される。
ICカード11に暗号文C3が受信されると、ステップS40で、ICカード11によって、ステップS29で取得された乱数RpcとステップS30で生成された乱数Rcard0を引数として、鍵ExK(ExK=f(Rpc,Rcard0))が生成される。このときの鍵ExKの生成方法は、通信端末13側と同一である。
ステップS41では、ICカード11によって、生成された鍵ExKを用いて暗号文C3が復号化され、メッセージM3(M3=D(ExK,C3))が取得される。
ステップS42では、ICカード11によって、取得されたメッセージM3とICカード11に登録されている識別用暗証番号PINがXOR演算され、乱数Rcard1(Rcard1=M3PIN)が取得される。
ステップS43では、ICカード11によって、ステップS42で取得された乱数Rcard1とステップS30で生成された乱数Rcard0とが比較され、異なる場合(Rcard1!=Rcard0)には、処理が停止(Stop)される。これにより、通信端末13より不正行為が行われている場合には、ICカード11のロックが解除されず、ICカード11の盗聴・改竄を防ぐことができる。
ICカード11では、ステップS43における乱数Rcard1と乱数Rcard0との比較後、その比較結果によらず、ICカード11の秘密情報(識別用暗証番号PIN、対称鍵DivK)が無効とされ、次のICカード生産工場に対応する秘密情報(識別用暗証番号PIN、対称鍵DivK)に更新される。
図6(b)に示すように、ICカード生産工場3(ICCard Production Plant3)からICカード生産工場4(IC Card Production Plant4)の間で、ICカード11に不正行為が行われた場合には、図6(c)に示すICカード生産工場4(ICCard Production Plant4)にICカード11が到着した時点で、ICカード11内の秘密情報(識別用暗証番号PIN、対称鍵DivK)が、ICカード生産工場4に対応する秘密情報(PIN4、DivK4)ではなく、ICカード生産工場5(ICCard Production Plant5)に対応する秘密情報(PIN5、DivK5)に切り替えられているため、ICカード生産工場4では処理を行うができなくなり、不正行為を検出することができる。
ICカード11では、ステップS43における乱数Rcard1と乱数Rcard0との比較結果が一致する場合には、ステップS44でセッション鍵SKが生成(CreateSK)される。
ステップS45では、ICカード11によって、ステップS43で取得されたRpcとステップS41で取得されたメッセージM3とがXOR演算され、その結果にステップS44で生成されたセッション鍵SKが連結されて、メッセージM4(M4={(RpcM3)‖SK)が生成される。
ステップS46では、ICカード11によって、ステップS45で生成されたメッセージM4が、ステップS40で生成された鍵ExKを用いて暗号化され、暗号文C4(C4=E(ExK,M4))が生成される。
ステップS47では、生成された暗号文C4がICカード11から通信端末13に送信される。
通信端末13に暗号文C4が受信されると、ステップS48で、通信端末13によって、ステップS36で生成された対称鍵ExKを用いて暗号文C4が復号化され、メッセージM4(M2=D(ExK,C4))が取得される。
ステップS49では、通信端末13によって、ステップS48で取得されたメッセージM4と、図1に示す秘密情報管理手段12から取得された識別用暗証番号PINと、ステップS35で取得された乱数RCardとがXOR演算され、乱数Rpc1(Rpc1=M4PINRcard)が取得される。
ステップS50では、通信端末13によって、ステップS49で取得された乱数Rpc1とステップS24で生成された乱数Rpc0とが比較され、異なる場合(Rpc1!=Rpc0)には、処理が停止(Stop)される。これにより、ICカード11より不正行為が行われている場合には、通信端末13から正しいICカード11のロック解除コマンドULMや生産工程に必要なコマンドが盗聴・改竄されることを防ぐことができる。
通信端末13では、ステップS50における乱数Rpc1と乱数Rpc0との比較結果が一致する場合には、ステップS51でロック解除コマンドULMがセッション鍵SKを用いて暗号化され、暗号文C5=(C5=E(SK,ULM))が生成される。
ステップS52では、生成された暗号文C5が通信端末13からICカード11へ送信される。
ICカード11に暗号文C5が受信されると、ステップS53において、ICカード11によって、ステップS40で生成された対称鍵ExKを用いて暗号文C5が復号化され、ICカード11側でロック解除コマンドULM(ULM=D(ExK,C5))が取得される。
図8に示すように、ステップS54において、ロック解除コマンドULM(ULM=D(ExK,C5))によりICカード11のロックが解除され、ICカード11から通信端末13に「正常応答(Success)が送信される。
ステップS55で、通信端末13とICカード11との間で「生産工程に必要な処理を行うためのコマンド(ProductionCommand)」が送受信されてICカード11に対して生産工程に必要な処理が行われた後、ステップS56で、通信端末13からICカード11へ、「ロックコマンド(LockCommand)」が送信される。
ICカード11が正常にロックされると、ステップS57において、ICカード11から通信端末13に「正常応答(Success)が送信される。
次に、図2に示すICカード発行者による照合処理について説明する。
中間処理工場であるICカード生産工場から輸送されたICカード11がロックされており、カード発行業務を行うためには、ICカード11のロックを解除する必要がある。ICカード発行者側では、ICカード生産工場と同様に、認証工程(図7のステップS27、ステップS33、ステップS39およびステップS47)を経てICカード11の照合を行うことにより、ICカード11のロックが解除される。
さらに、ICカード発行者側の処理によってICカード11の生産工程が完了するため、ICカード11の輸送セキュリティ用アプリケーションプログラムである輸送鍵APは、図3に示すICカード11の不揮発性メモリ112から削除される。
認証工程は、ICカード生産工場での処理と全く同様であり、以下では、ICカード11のロック解除後の具体的な処理について、図9を用いて説明する。
図9に示すように、ステップS61では、「輸送鍵APの削除許可コマンド(IssueTransport AP Delete Command)」がICカード11から通信端末13へ送信される。
通信端末13に「輸送鍵AP削除許可のコマンド(IssueTransport AP Delete Command)」が受信されると、ステップS62で、通信端末13からカード制御コマンドとして「輸送鍵APを削除するためのコマンド(TransportAP Delete Command)」が通信端末13からICカード11に送信される。輸送鍵APは、図3に示すように、ICカード11のOSによって不揮発性メモリ112から削除される。
輸送鍵APが正常に削除されると、ステップS63において、ICカード11から通信端末13へ「正常応答(Success)」が送信される。
通信端末13にICカード11からの「正常応答(Success)」が受信されると、ステップS64において、通信端末13とICカード11との間で「カード発行業務に必要な処理を行うためのコマンド(CardProductionCommand)」が送受信されてICカード11の発行業務に必要な処理が行われる。
以上のように、本実施形態によれば、不揮発性メモリ112が搭載されたICカード11の製造工程において、各ICカード生産工場および最終送付先であるICカード発行者に対応する秘密情報として、識別用暗証番号PINおよび対称鍵DivKをICカード11の不揮発性メモリ112を用いて管理して、各ICカード生産工場またはICカード発行者に対応する秘密情報によりICカード11の照合を行った後、照合が行われたICカード生産工場またはICカード発行者に対応した秘密情報を無効にする秘密情報無効化手段と、ICカード11の秘密情報が無効にされた後、ICカード11の秘密情報を後続するICカード生産工場またはICカード発行者に対応する秘密情報に切り替える秘密情報切替手段とを有するICカード11の輸送セキュリティ用アプリケーションプログラム(輸送鍵AP)がICカード11の不揮発性メモリ12にダウンロードされて搭載されている。
各ICカード生産工場およびICカード発行者側に、ICカード11との間で通信処理を行う通信端末13と、各ICカード11の固有値と、その固有値に応じた各ICカード生産工場およびICカード発行者に対応する秘密情報とを管理する秘密情報管理手段12(SAM)とが設けられて、各ICカード生産工場およびICカード発行者において、通信端末13からICカード11の固有値を秘密情報管理手段12に入力することにより、その固有値に応じた各ICカード生産工場およびICカード発行者に対応する秘密情報を取得でき、通信端末13によって、この取得された秘密情報を用いてICカード11との間で通信処理を行うことにより、ICカード11との照合が行われる。
これによって、対応するICカード生産工場およびICカード発行者によってのみ、ICカード11に対する処理を行うことが可能になり、生産工程において複数のICカード生産工場を経由した場合でも、ICカード輸送時の安全性を確保することができる。さらに、ICカード11の各ICカード生産工場およびICカード発行者に対応する秘密情報(識別用暗証番号PIN、対称鍵DivK)を照合後に無効とされ、後続するICカード生産工場またはICカード発行者に対応する秘密情報に切り替えられるため、ICカード11の製造工程を正しく順序通りに処理し、最終送付先であるICカード発行者に届けることができる。
また、各ICカード生産工場またはICカード発行者に対応する秘密情報により正しく照合が行われなかった場合であっても、後続するICカード生産工場またはICカード発行者に対応する秘密情報を無効にする秘密情報無効化手段と、ICカード11の秘密情報が無効にされた後、ICカード11の秘密情報をさらに後続するICカード生産工場またはICカード発行者に対応する秘密情報に切り替える秘密情報切替手段とを有するICカード11の輸送セキュリティ用アプリケーションプログラム(輸送鍵AP)がICカード11の不揮発性メモリ112にダウンロードされて搭載されている。
これにより、ICカード11に対して不正行為が行われた場合に、後続するICカード生産工場またはICカード発行者に対応する秘密情報(識別用暗証番号PIN、対称鍵DivK)が無効とされ、後続するICカード生産工場またはICカード発行者にて正しく照合することができなくなるため、不正行為が行われたことを検出することができる。
さらに、ICカードの輸送セキュリティ用アプリケーションプログラム(輸送鍵AP16)において、各中間処理工場およびICカード発行者に対応する秘密情報をICカードの不揮発性メモリから削除する手段が設けられている。これにより、各中間処理工場およびICカード発行者に対応する秘密情報(識別用暗証番号PIN、対称鍵DivK)を削除して、生産工程における秘密情報の漏洩を防止することが可能になる。
さらに、ICカード11に、ICカード11の輸送セキュリティ用アプリケーションプログラム(輸送鍵AP)を不揮発性メモリ112に搭載・削除する手段を有するOSが設けられている。これにより、ICカード11がICカード発行者に届いた後に、そのアプリケーションプログラムを削除して、最大限のメモリ容量をユーザに提供することができる。
なお、以上のように、本発明の好ましい実施形態を用いて本発明を例示してきたが、本発明は、この実施形態に限定して解釈されるべきものではない。本発明は、特許請求の範囲によってのみその範囲が解釈されるべきであることが理解される。当業者は、本発明の具体的な好ましい実施形態の記載から、本発明の記載および技術常識に基づいて等価な範囲を実施することができることが理解される。本明細書において引用した特許、特許出願および文献は、その内容自体が具体的に本明細書に記載されているのと同様にその内容が本明細書に対する参考として援用されるべきであることが理解される。
一または複数の生産工場を経由して製造され、カード輸送時などのセキュリティを確保可能としたICカード、このICカードに対してロック解除用の照合処理を行うICカードセキュリティ用システム、ICカードの輸送の安全性を確保可能とするICカード輸送安全性確保方法、これをコンピュータに実行させるための制御プログラムおよびこれを格納可能とする不揮発性メモリなどの可読記録媒体の分野において、対応するICカード生産工場およびICカード発行者によってのみ、ICカードに対する処理を行うことが可能になり、各生産工場間またはICカード発行者へのICカードの輸送時にICカードへの不正行為が行われたり、各生産工場のSAMへの不正行為が行われることを防止して、ICカード輸送時の安全性を確保することができる。また、不正行為が行われたことを検出することもできる。
また、ICカードがICカード発行者に届いた後に、所定のアプリケーションプログラムを削除することにより、最大限のメモリ容量をユーザに提供することもできる。
本発明のICカードセキュリティ用システムの一実施形態における構成例を示すブロック図である。 図1のICカードの生産工程の一例を示す流れ図である。 図1のICカード内の構成例を示すブロック図である。 本発明のICカード輸送セキュリティ用アプリケーションプログラムによる、各ICカード生産工場および各ICカード発行者に対応する秘密情報を用いたICカードの運用方法について説明するためのブロック図である。 図1のICカードセキュリティ用システムを用いた、最初のICカード生産工場における処理例について説明するためのフロー図である。 本発明のICカードの輸送セキュリティ用アプリケーションプログラムによる、各ICカード生産工場および各ICカード発行者に対応する秘密情報を用いたICカードの運用方法について説明するための図であって、各ICカード生産工場間でICカードに対して不正高位が行われた場合の一例を説明するための図である。 図1のICカードセキュリティ用システムを用いた、ICカード生産工場におけるICカードロック解除のための認証処理例について説明するためのフロー図である。 図1のICカードセキュリティ用システムを用いた、ICカード生産工場におけるICカードロック解除後の処理例について説明するためのフロー図である。 図1のICカードセキュリティ用システムを用いた、ICカード発行者におけるICカードロック解除後の処理例について説明するためのフロー図である。 ICカードの照合に秘密鍵暗号方式を使用した従来技術の一例を示すブロック図である。 ICカードの照合に公開鍵暗号方式を使用した従来技術の一例を示すブロック図である。
符号の説明
1〜3 ICカード生産工場
10 ICカードセキュリティ用システム
11 ICカード
11A 秘密情報無効化手段
11B 秘密情報切替手段
11C 後続秘密情報無効化手段
11D 後続秘密情報切替手段
11E 情報削除手段
11F セキュリティ確保手段
111 ハードウェア
112 不揮発性メモリ(可読記録媒体)
12 秘密情報管理手段(SAM)
13 通信端末
13A カード固有値取得手段
13B 秘密情報取得手段
13C カード照合処理手段
AP ICカードの輸送セキュリティ用アプリケーションプログラム(輸送鍵)

Claims (14)

  1. 不揮発性メモリが設けられ、一または複数の生産工場を順次経由して製造される場合に、情報の読み出しも書き込みも不可能にする輸送時のロックの解除に対するセキュリティを確保可能とするセキュリティ確保手段を備えたICカードであって、該一または複数の生産工場および最終送付先であるカード発行者のそれぞれに対応する秘密情報が該不揮発性メモリを用いて保存されており、
    該セキュリティ確保手段は、
    該ICカード外部の通信手段が、該一または複数の生産工場およびカード発行者のいずれかに対応する、該不揮発性メモリ内の秘密情報と、該通信手段が有する秘密情報とを用いて、該ICカードに対してロック解除用のカード照合を行った後に、該カード照合が行われた該不揮発性メモリ内の秘密情報を無効処理する秘密情報無効化手段と、
    該秘密情報の無効処理後に、該秘密情報を、後続する生産工場またはカード発行者に対応する秘密情報に切り替える秘密情報切替手段とを有し、
    該一または複数の生産工場およびカード発行者のいずれかに対応する秘密情報により、誤った秘密情報が使用されて正しく照合が行われなかった場合、または不正行為(Unexpected Attackor Illegal Actions)により正しい照合が行われなかった場合、次に後続する生産工場またはカード発行者に対応する秘密情報を無効処理する後続秘密情報無効化手段と、
    該秘密情報の無効処理後に、該秘密情報を、該不正の検出のために、次に後続するさらに次の生産工場またはカード発行者に対応する秘密情報に切り替える後続秘密情報切替手段とを更に有するICカード。
  2. 前記一または複数の生産工場およびカード発行者に対応する各秘密情報および前記セキュリティ確保手段に関する情報の少なくともいずれかを前記不揮発性メモリ上から削除可能とする情報削除手段を更に有する請求項1に記載のICカード。
  3. 請求項1または2に記載のICカードの固有値と前記一または複数の生産工場およびカード発行者のそれぞれとに対応する各秘密情報を管理している秘密情報管理手段と、
    該ICカードとの間および秘密情報管理手段との間で情報通信処理を行って該ICカードに対してロック解除用のカード照合処理を行う通信手段とを備え、該秘密情報管理手段は、該通信手段から入力された該固有値と、前記一または複数の生産工場およびカード発行者のいずれかとに対応する秘密情報を該通信手段に出力するものであり、
    該通信手段は、
    該ICカードの固有値を該ICカードから取得するカード固有値取得手段と、
    取得した該固有値を該秘密情報管理手段に出力することにより、該固有値と、該一または複数の生産工場およびカード発行者のいずれかとに対応する秘密情報を該秘密情報管理手段から取得する秘密情報取得手段と、
    該取得した秘密情報を用いて、該ICカードとの間で通信処理をすることにより、該ICカードのカード照合処理を行うカード照合処理手段とを有するICカードセキュリティ用システム。
  4. 前記秘密情報は、識別用暗証番号PINと対称鍵DivKである請求項3に記載のICカードセキュリティ用システム。
  5. 前記秘密情報は、前記識別用暗証番号を乱数でマスクし、マスクされたメッセージを前記対称鍵で暗号化して前記カード照合処理に用いる請求項4に記載のICカードセキュリティ用システム。
  6. 前記識別用暗証番号の前記乱数によるマスクは、該識別用暗証番号と乱数の排他的論理和により行う請求項5に記載のICカードセキュリティ用システム。
  7. 前記マスクされたメッセージの暗号化を秘密鍵暗号化方式により行う請求項5または6に記載のICカードセキュリティ用システム。
  8. 前記一または複数の生産工場およびカード発行者側にそれぞれ設けられた請求項4〜8のいずれかに記載のICカードセキュリティ用システムを用いて、
    該一または複数の生産工場およびカード発行者のそれぞれにおいて、前記カード固有値取得手段が、該ICカードの固有値を該ICカードから取得するカード固有値取得ステップと、
    前記通信手段から該固有値を前記秘密情報管理手段に入力して、該固有値と、該一または複数の生産工場およびカード発行者のいずれかとに対応する秘密情報を前記秘密情報取得手段が前記秘密情報管理手段から取得する秘密情報取得ステップと、
    前記カード照合処理手段が、該秘密情報取得手段によって取得された秘密情報を用いて該ICカードとの間で通信処理を行って該ICカードとのロック解除用のカード照合処理を行うカード照合処理ステップとを有するICカード輸送安全性確保方法。
  9. 前記秘密情報無効化手段が、前記カード照合処理の後に、照合された該一または複数の生産工場およびカード発行者のいずれかに対応した秘密情報を無効処理する秘密情報無効化ステップと、
    前記秘密情報切替手段が、該秘密情報の無効処理後に、該秘密情報を、後続する生産工場またはカード発行者に対応する秘密情報に切り替える秘密情報切替ステップとを更に有する請求項8に記載のICカード輸送安全性確保方法。
  10. 前記後続秘密情報無効化手段が、前記一または複数の生産工場およびカード発行者のそれぞれに対応する秘密情報により不正にカード照合が行われた場合、後続する生産工場またはカード発行者に対応する秘密情報を無効処理する後続秘密情報無効化ステップと、
    前記後続秘密情報切替手段が、該秘密情報の無効処理後に、該秘密情報を、更に後続する生産工場またはカード発行者に対応する秘密情報に切り替える後続秘密情報切替ステップとを更に有する請求項9に記載のICカード輸送安全性確保方法。
  11. 最初の生産工場側において、
    前記ICカードが、該ICカードの輸送鍵である輸送セキュリティ用アプリケーションプログラムおよびそのデータを前記不揮発性メモリにダウンロードして搭載するプログラム搭載ステップと、
    該ICカードの固有値を前記秘密情報管理手段に前記通信手段から送信して入力して、該秘密情報管理手段から前記通信手段を介して該ICカードが、該固有値と、前記一または複数の生産工場およびカード発行者のそれぞれとに対応する秘密情報を取得する秘密情報取得ステップと、
    該ICカードが、該通信手段によって取得された秘密情報を該ICカードの不揮発性メモリに登録する秘密情報登録ステップと、
    該ICカードが、該秘密情報登録後に、情報の読み出しも書き込みも不可能にする該ICカードのロック処理を行うロック処理ステップとを有する請求項8〜10のいずれかに記載のICカード輸送安全性確保方法。
  12. 前記カード発行者側において、
    前記ICカードに搭載されたセキュリティ用アプリケーションプログラムによって、前記情報削除手段が、前記一または複数の生産工場およびカード発行者のそれぞれに対応する各秘密情報を該ICカードの不揮発性メモリから削除する秘密情報削除ステップと、
    オペレーションシステムによって該輸送セキュリティ用アプリケーションプログラムおよびそのデータを該ICカードが該ICカードの不揮発性メモリから削除するプログラム削除ステップとを有する請求項11に記載のICカード輸送安全性確保方法。
  13. 請求項8〜12のいずれかに記載のICカード輸送安全性確保方法の各ステップをコンピュータに実行させるための処理手順が記述された制御プログラム。
  14. 請求項13に記載の制御プログラムが記録されたコンピュータ読み取り可能な可読記録媒体。
JP2004315707A 2004-10-29 2004-10-29 Icカード、icカードセキュリティ用システム、icカード輸送安全性確保方法、制御プログラムおよび可読記録媒体 Expired - Fee Related JP4573350B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004315707A JP4573350B2 (ja) 2004-10-29 2004-10-29 Icカード、icカードセキュリティ用システム、icカード輸送安全性確保方法、制御プログラムおよび可読記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004315707A JP4573350B2 (ja) 2004-10-29 2004-10-29 Icカード、icカードセキュリティ用システム、icカード輸送安全性確保方法、制御プログラムおよび可読記録媒体

Publications (2)

Publication Number Publication Date
JP2006127209A JP2006127209A (ja) 2006-05-18
JP4573350B2 true JP4573350B2 (ja) 2010-11-04

Family

ID=36721905

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004315707A Expired - Fee Related JP4573350B2 (ja) 2004-10-29 2004-10-29 Icカード、icカードセキュリティ用システム、icカード輸送安全性確保方法、制御プログラムおよび可読記録媒体

Country Status (1)

Country Link
JP (1) JP4573350B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4912910B2 (ja) * 2007-02-13 2012-04-11 株式会社エヌ・ティ・ティ・データ アクセス制御システム、及び、記憶装置
JP2016129072A (ja) * 2016-03-11 2016-07-14 株式会社東芝 Icカード、携帯可能電子装置、及びicカード処理装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002512715A (ja) * 1997-05-15 2002-04-23 モンデックス インターナショナル リミテッド 安全なマルチアプリケーションカードシステムおよびプロセス
JP2003006582A (ja) * 2001-06-25 2003-01-10 Toshiba Corp Icカード処理システムとicカード処理方法
JP2004139242A (ja) * 2002-10-16 2004-05-13 Dainippon Printing Co Ltd Icカード、icカード発行システム及びicカード発行方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2651426B2 (ja) * 1988-07-27 1997-09-10 日立マクセル株式会社 Icカード
JP3195122B2 (ja) * 1993-04-26 2001-08-06 大日本印刷株式会社 Icカードに与える命令フォーマットのチェック方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002512715A (ja) * 1997-05-15 2002-04-23 モンデックス インターナショナル リミテッド 安全なマルチアプリケーションカードシステムおよびプロセス
JP2003006582A (ja) * 2001-06-25 2003-01-10 Toshiba Corp Icカード処理システムとicカード処理方法
JP2004139242A (ja) * 2002-10-16 2004-05-13 Dainippon Printing Co Ltd Icカード、icカード発行システム及びicカード発行方法

Also Published As

Publication number Publication date
JP2006127209A (ja) 2006-05-18

Similar Documents

Publication Publication Date Title
JP5423088B2 (ja) 集積回路、暗号通信装置、暗号通信システム、情報処理方法、及び暗号通信方法
US6339828B1 (en) System for supporting secured log-in of multiple users into a plurality of computers using combined presentation of memorized password and transportable passport record
US10460314B2 (en) Pre-generation of session keys for electronic transactions and devices that pre-generate session keys for electronic transactions
US8230230B2 (en) Secure data cartridge
CN102084313B (zh) 用于数据安全的系统和方法
JP4495295B2 (ja) 有価証券類の不正利用防止方法および有価証券類の不正利用防止システム
US7043636B2 (en) Data integrity mechanisms for static and dynamic data
US20200366472A1 (en) Cryptographic key management based on identity information
US8499147B2 (en) Account management system, root-account management apparatus, derived-account management apparatus, and program
US20080297326A1 (en) Low Cost RFID Tag Security And Privacy System And Method
WO2005096158A1 (ja) 利用認証方法、利用認証プログラム、情報処理装置および記録媒体
CN101589398A (zh) 升级存储卡使其具有防止拷贝安全内容和应用程序的安全性机制
JPH11306088A (ja) Icカードおよびicカードシステム
WO2005117336A1 (ja) 親子カード認証システム
JP4833745B2 (ja) センサノードのデータ保護方法、センサノードを配布するための計算機システム及びセンサノード
JP2009151528A (ja) 生体情報が格納されたicカードおよびそのアクセス制御方法
JP3597704B2 (ja) Icカードおよび記録媒体
JP6479723B2 (ja) 秘密鍵管理システムおよび秘密鍵管理方法
JP3913363B2 (ja) 記録媒体の受け渡し方法、発行システム及びその構成部品
JP4573350B2 (ja) Icカード、icカードセキュリティ用システム、icカード輸送安全性確保方法、制御プログラムおよび可読記録媒体
US20170330177A1 (en) Payment terminal authentication
JP5283432B2 (ja) 認証装置、移動端末、電気鍵システムおよび認証制御方法
TWI729236B (zh) 用於驗證資料的方法、系統及電腦程式、電子裝置、能與伺服器通訊之設備及電腦可讀取記錄媒體
JP4885168B2 (ja) 外部メディア制御方法、システム及び装置
JP4760124B2 (ja) 認証装置、登録装置、登録方法及び認証方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070302

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091019

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091110

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100329

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100525

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100816

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100816

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130827

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: R3D04