JP4642006B2 - Subscriber authentication module, contactless IC chip, authentication vector generation device, mobile communication system, and authentication vector generation method - Google Patents
Subscriber authentication module, contactless IC chip, authentication vector generation device, mobile communication system, and authentication vector generation method Download PDFInfo
- Publication number
- JP4642006B2 JP4642006B2 JP2006318860A JP2006318860A JP4642006B2 JP 4642006 B2 JP4642006 B2 JP 4642006B2 JP 2006318860 A JP2006318860 A JP 2006318860A JP 2006318860 A JP2006318860 A JP 2006318860A JP 4642006 B2 JP4642006 B2 JP 4642006B2
- Authority
- JP
- Japan
- Prior art keywords
- subscriber
- authentication
- function
- authentication vector
- stop
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000010295 mobile communication Methods 0.000 title claims description 40
- 238000000034 method Methods 0.000 title claims description 23
- 230000008569 process Effects 0.000 claims description 16
- 239000000725 suspension Substances 0.000 claims description 15
- 230000010355 oscillation Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Images
Description
本発明は、加入者認証モジュール、非接触ICチップ、認証ベクトル生成装置、移動通信システム及び認証ベクトル生成方法に関する。 The present invention relates to a subscriber authentication module, a contactless IC chip, an authentication vector generation device, a mobile communication system, and an authentication vector generation method.
我が国の移動通信サービスは加入者数が数千万人に至り、日常生活において年齢、性別を問わずに大変身近な存在となっている。また、近年、非接触ICカード技術を使用した少額決済機能を有する携帯端末(移動無線装置全般が含まれる、以下同じ)が登場している。この少額決済機能を利用することにより、移動通信サービス以外に、商店等での代金決済サービスを含めて携帯端末の機能を幅広く利用できることとなり、携帯端末の利便性をさらに高めることとなる。 The mobile communication service in Japan has tens of millions of subscribers, and it is very familiar in daily life regardless of age or gender. In recent years, portable terminals (including mobile radio devices in general, the same applies hereinafter) having a small payment function using contactless IC card technology have appeared. By using this small amount payment function, in addition to the mobile communication service, the functions of the mobile terminal can be used widely including a payment service at a store or the like, and the convenience of the mobile terminal is further enhanced.
ところで、第三世代の移動通信方式であるIMT−2000(International Moblie Telecommunication 2000)では、加入者の契約する移動通信網(以下、「ホーム網」という)より発行された加入者認証モジュールを加入者の携帯端末に装着して、使用するようになっている(例えば、下記の特許文献1参照)。 By the way, in IMT-2000 (International Mobile Telecommunications 2000) which is a third generation mobile communication system, a subscriber authentication module issued by a mobile communication network (hereinafter referred to as “home network”) subscribed by a subscriber is used. Are used by being mounted on a portable terminal (see, for example, Patent Document 1 below).
また、前述の非接触ICカード機能と加入者認証モジュールとの連携については、非接触ICカード機能の一部を加入認証モジュール内部に構成することで実現可能とする技術が提案されており、これにより、よりユーザポータビリティの高い加入者認証モジュール及び携帯端末を提供可能となり、非接触ICカード機能の利用頻度が今後増加するものと考えられる。
上記のような加入者認証モジュールは、ISO(International Organization for Standardization)7816という標準規格準拠の接触ICカードとして、携帯端末への装着及び携帯端末からの取外しを行うことができる。また、ISO7816準拠の接触ICカードについては、同標準規格に準拠したICカードリーダライタの使用が可能であるため、携帯端末以外の装置(例えばパーソナルコンピュータなど)に接続し当該装置から簡単にアクセスすることが可能である。 The subscriber authentication module as described above can be attached to and removed from a portable terminal as a standard IC-compliant contact IC card called ISO (International Organization for Standardization) 7816. In addition, since an IC card reader / writer compliant with the ISO 7816 compliant contact IC card can be used, it can be easily accessed from a device other than a portable terminal (for example, a personal computer). It is possible.
しかしながら、上記標準規格で規定されているコマンドは汎用性の高いものであるため、加入者認証モジュールの多くは、携帯端末以外の装置に接続され当該装置からアクセスされている場合でも、当該アクセスを有効に検出できる機能を有していない。 However, since the commands stipulated in the standard are highly versatile, many of the subscriber authentication modules can perform the access even when connected to a device other than the mobile terminal and accessed from the device. It does not have a function that can be detected effectively.
このため、例えば、加入者認証モジュールをICカードリーダライタ経由で携帯端末以外の装置(パーソナルコンピュータなど)に接続し、移動通信網において使用が想定されていないコマンドを当該装置から加入者認証モジュールへ発行し実行することも可能となっている。 For this reason, for example, a subscriber authentication module is connected to a device other than a portable terminal (such as a personal computer) via an IC card reader / writer, and a command not supposed to be used in the mobile communication network is transferred from the device to the subscriber authentication module. It can also be issued and executed.
上記のコマンド実行が、加入者認証モジュールに搭載された加入者自身の電話帳情報を編集する程度であれば問題はないが、前述のごとく、加入者認証モジュールに非接触ICカード機能の一部を加入認証モジュール内部に実現するようになると、一部においては不正なアクセスを試みようとする可能性も想定されるため、不正なアクセスを有効に防止する必要性が出てくる。例えば、加入者認証モジュールの少なくとも一部の機能が停止された場合、当該機能停止に関する情報を非接触ICチップに伝達し、非接触ICカードについても機能停止するよう制御する対応策が考えられる。 There is no problem as long as the above command execution is only to edit the subscriber's own phone book information installed in the subscriber authentication module, but as described above, the subscriber authentication module has a part of the contactless IC card function. Is realized in the subscription authentication module, there is a possibility that some attempts to try unauthorized access. Therefore, it becomes necessary to effectively prevent unauthorized access. For example, when at least a part of the functions of the subscriber authentication module is stopped, a countermeasure can be considered in which information related to the function stop is transmitted to the non-contact IC chip and the non-contact IC card is controlled to stop functioning.
ただし、本当に不正なアクセスかどうかは、最終的に各コマンドに含まれる正当性の照合結果(例えば、暗号化された部分を復号化するなどの認証演算やPIN(Personal Identification Number)の値が同一であるなど)によることとしても、第一次的な防御策として、加入者認証モジュールが携帯端末に装着されているか否かを判定して、装着されていないと判定した場合には少なくとも一部の機能を停止し、その後、当該加入者認証モジュールが正当な携帯端末に装着されたときに機能停止を解除する、といったユーザ利便性に十分配慮した技術が待望されている。 However, whether the access is really unauthorized or not is the same as the result of collation of the legitimacy included in each command (for example, the authentication operation such as decrypting the encrypted part or the personal identification number (PIN) value). As a primary defensive measure, it is determined whether or not the subscriber authentication module is mounted on the mobile terminal, and if it is determined that it is not mounted, at least a part Therefore, there is a need for a technology that fully considers user convenience, such as stopping the function and then releasing the function stop when the subscriber authentication module is attached to a valid mobile terminal.
そこで、本発明は、加入者認証モジュールが携帯端末以外の装置に接続された場合に当該加入者認証モジュールの少なくとも一部の機能を停止し、当該加入者認証モジュールについての認証機構によって機能停止を解除することを目的とする。 Therefore, the present invention stops the function of at least a part of the subscriber authentication module when the subscriber authentication module is connected to a device other than the mobile terminal, and stops the function by the authentication mechanism for the subscriber authentication module. The purpose is to release.
上記目的を達成するため、本発明に係る加入者認証モジュールは、加入者側端末に装着される加入者認証モジュールであって、装着した前記加入者側端末の電源オン直後の所定の初期化処理終了後から、所定のコマンドを前記加入者側端末から受信するまでの作動時間を計時する計時手段と、前記計時手段により計時された作動時間が、予め設定された作動許容時間を超えているか否かを判定する判定手段と、前記判定手段により前記作動時間が前記作動許容時間を超えていると判定された場合に、前記加入者認証モジュールにおける少なくとも一部の機能を停止させる機能停止手段と、停止中の機能の停止解除を指示する停止解除情報が付加された、前記加入者認証モジュールの認証に用いられる認証ベクトルを、前記加入者側端末経由で移動通信網内の認証ベクトル生成装置から受信する受信手段と、前記受信手段により受信された認証ベクトルに基づいて前記加入者認証モジュールの認証を行い、認証に成功した場合、前記停止解除情報に基づいて前記停止中の機能について停止を解除する停止解除手段と、を備えることを特徴とする。 In order to achieve the above object, a subscriber authentication module according to the present invention is a subscriber authentication module attached to a subscriber-side terminal, and a predetermined initialization process immediately after powering on the attached subscriber-side terminal A time measuring means for measuring an operation time from the end to reception of a predetermined command from the subscriber side terminal, and whether the operation time measured by the time measuring means exceeds a preset allowable operation time Determination means for determining whether or not the determination means determines that the operation time exceeds the allowable operation time, and a function stop means for stopping at least a part of the functions in the subscriber authentication module; An authentication vector used for authentication of the subscriber authentication module, to which stop release information for instructing stop release of a function being stopped is added, is sent via the subscriber side terminal. A receiving unit that receives from an authentication vector generation device in a mobile communication network, and performs authentication of the subscriber authentication module based on the authentication vector received by the receiving unit, and when the authentication is successful, based on the stop cancellation information And a stop releasing means for releasing the stop of the function being stopped.
上記加入者認証モジュールによれば、装着した加入者側端末の電源オン直後の所定の初期化処理終了後から、所定のコマンドを加入者側端末から受信するまでの作動時間が、予め設定された作動許容時間を超えていると判定された場合には、加入者認証モジュールが加入者側端末以外の機器に接続されていると判定することができ、かかる場合に、加入者認証モジュールにおける少なくとも一部の機能を停止させ、加入者認証モジュールの機能を確実に保護することができる。 According to the above-mentioned subscriber authentication module, the operation time from the end of the predetermined initialization process immediately after power-on of the installed subscriber-side terminal to the reception of the predetermined command from the subscriber-side terminal is preset. If it is determined that the allowable operation time has been exceeded, it can be determined that the subscriber authentication module is connected to a device other than the terminal on the subscriber side. In such a case, at least one of the subscriber authentication modules can be determined. Therefore, the function of the subscriber authentication module can be reliably protected.
また、上記加入者認証モジュールは、停止中の機能の停止解除を指示する停止解除情報が付加された認証ベクトルを、移動通信網内の認証ベクトル生成装置から受信し、受信された認証ベクトルに基づく加入者認証モジュールの認証に成功した場合に、停止解除情報に基づいて停止中の機能について停止を解除することができるので、移動通信網内の認証ベクトル生成装置から、加入者認証モジュールの機能停止を速やかに解除することが可能となり、加入者認証モジュールの機能の保護に加えて、利便性を高めることができる。 Further, the subscriber authentication module receives an authentication vector to which stop release information for instructing stop release of a function being stopped is added from an authentication vector generation device in the mobile communication network, and based on the received authentication vector When the authentication of the subscriber authentication module is successful, the suspension of the function being suspended can be canceled based on the suspension cancellation information, so the function of the subscriber authentication module is stopped from the authentication vector generation device in the mobile communication network. Can be quickly released, and in addition to protecting the function of the subscriber authentication module, convenience can be improved.
なお、上記加入者認証モジュールは、前記機能停止手段による機能停止又は前記停止解除手段による停止解除を外部に対し通知する通知手段をさらに備える構成とすることが望ましく、この場合、外部に対して機能停止又は停止解除を通知することで、機能停止又は停止解除について外部と連携した制御が可能となり、利便性を高めることが可能となる。 The subscriber authentication module preferably further includes a notification means for notifying the outside of the function stop by the function stop means or the stop release by the stop release means. By notifying the stop or stop release, it becomes possible to control the function stop or stop release in cooperation with the outside, and the convenience can be improved.
本発明に係る非接触ICチップは、機能停止又は停止解除を外部に対し通知する通知手段を備えた加入者認証モジュールと通信可能な非接触ICチップであって、前記加入者認証モジュールの前記通知手段からの通知を受信し、受信した通知内容に基づいて、当該非接触ICチップにおける少なくとも一部の機能を停止又は停止解除する手段を備えることを特徴とする。このような非接触ICチップによれば、加入者認証モジュールの機能の停止又は停止解除に連動して、当該非接触ICチップの機能の停止又は停止解除の制御が可能となる。 A non-contact IC chip according to the present invention is a non-contact IC chip capable of communicating with a subscriber authentication module provided with a notification means for notifying the outside of a function stop or stop, and the notification of the subscriber authentication module It is characterized by comprising means for receiving a notification from the means and stopping or canceling at least a part of the functions of the non-contact IC chip based on the received notification content. According to such a non-contact IC chip, it is possible to control the stop or release of the function of the non-contact IC chip in conjunction with the stop or release of the function of the subscriber authentication module.
本発明に係る認証ベクトル生成装置は、移動通信網における加入者認証モジュールの認証に用いられる認証ベクトルを生成する認証ベクトル生成手段と、前記認証ベクトル生成手段により生成された認証ベクトルに、前記加入者認証モジュールにおける停止中の機能の停止解除を指示する停止解除情報を付加する付加手段と、前記付加手段により停止解除情報が付加された認証ベクトルを、前記加入者認証モジュールあてに送信する送信手段と、を備えることを特徴とする。このような認証ベクトル生成装置によれば、停止解除情報が付加された認証ベクトルを加入者認証モジュールあてに送信することで、加入者認証モジュールの機能の停止解除について当該加入者認証モジュールと連携した制御が可能となり、利便性を高めることが可能となる。 An authentication vector generation apparatus according to the present invention includes an authentication vector generation means for generating an authentication vector used for authentication of a subscriber authentication module in a mobile communication network, and the authentication vector generated by the authentication vector generation means includes the subscriber Addition means for adding stop release information for instructing stop release of the function being stopped in the authentication module; and transmission means for transmitting the authentication vector to which the stop release information is added by the addition means to the subscriber authentication module; It is characterized by providing. According to such an authentication vector generation device, the authentication vector with the suspension release information added is transmitted to the subscriber authentication module, so that the suspension of the function of the subscriber authentication module is cooperated with the subscriber authentication module. Control becomes possible and convenience can be improved.
本発明に係る移動通信システムは、認証ベクトル生成装置及び加入者認証モジュールを含んだ構成として、以下のように構成することができる。即ち、本発明に係る移動通信システムは、認証ベクトル生成装置、及び、加入者側端末に装着される加入者認証モジュールを含んで構成される移動通信システムであって、前記認証ベクトル生成装置は、移動通信網における加入者認証モジュールの認証に用いられる認証ベクトルを生成する認証ベクトル生成手段と、前記認証ベクトル生成手段により生成された認証ベクトルに、前記加入者認証モジュールにおける停止中の機能の停止解除を指示する停止解除情報を付加する付加手段と、前記付加手段により停止解除情報が付加された認証ベクトルを、前記加入者認証モジュールあてに送信する送信手段と、を備え、前記加入者認証モジュールは、装着した前記加入者側端末の電源オン直後の所定の初期化処理終了後から、所定のコマンドを前記加入者側端末から受信するまでの作動時間を計時する計時手段と、前記計時手段により計時された作動時間が、予め設定された作動許容時間を超えているか否かを判定する判定手段と、前記判定手段により前記作動時間が前記作動許容時間を超えていると判定された場合に、前記加入者認証モジュールにおける少なくとも一部の機能を停止させる機能停止手段と、前記認証ベクトル生成装置から送信された、前記停止解除情報が付加された認証ベクトルを、前記加入者側端末経由で受信する受信手段と、前記受信手段により受信された認証ベクトルに基づいて前記加入者認証モジュールの認証を行い、認証に成功した場合、前記停止解除情報に基づいて前記停止中の機能について停止を解除する停止解除手段とを備えることを特徴とする。 The mobile communication system according to the present invention can be configured as follows as a configuration including an authentication vector generation device and a subscriber authentication module. That is, the mobile communication system according to the present invention is a mobile communication system including an authentication vector generation device and a subscriber authentication module attached to a subscriber side terminal, wherein the authentication vector generation device includes: Authentication vector generation means for generating an authentication vector used for authentication of a subscriber authentication module in a mobile communication network, and cancellation of the function being stopped in the subscriber authentication module in the authentication vector generated by the authentication vector generation means Adding means for adding stop cancellation information for instructing, and transmitting means for transmitting the authentication vector to which the stop cancellation information is added by the adding means to the subscriber authentication module, wherein the subscriber authentication module comprises: After a predetermined initialization process immediately after turning on the power of the installed subscriber terminal, a predetermined command is issued. A time measuring means for measuring an operation time until reception from the subscriber side terminal, a determination means for determining whether the operation time measured by the time measuring means exceeds a preset allowable operation time, When it is determined by the determination means that the operation time exceeds the allowable operation time, the function stop means for stopping at least a part of the functions in the subscriber authentication module and transmitted from the authentication vector generation device A receiving means for receiving the authentication vector with the suspension release information added via the subscriber side terminal, and authenticating the subscriber authentication module based on the authentication vector received by the receiving means, And a stop release means for releasing the stop of the function being stopped based on the stop release information.
本発明に係る認証ベクトル生成方法は、以下のように構成することができ、本発明に係る認証ベクトル生成装置と同様の効果を奏する。即ち、本発明に係る認証ベクトル生成方法は、認証ベクトル生成装置における認証ベクトル生成方法であって、移動通信網における加入者認証モジュールの認証に用いられる認証ベクトルを生成する認証ベクトル生成ステップと、前記認証ベクトル生成ステップにて生成された認証ベクトルに、前記加入者認証モジュールにおける停止中の機能の停止解除を指示する停止解除情報を付加する付加ステップと、前記付加ステップにて停止解除情報が付加された認証ベクトルを、前記加入者認証モジュールあてに送信する送信ステップと、を有することを特徴とする。 The authentication vector generation method according to the present invention can be configured as follows, and has the same effect as the authentication vector generation apparatus according to the present invention. That is, an authentication vector generation method according to the present invention is an authentication vector generation method in an authentication vector generation device, the authentication vector generation step for generating an authentication vector used for authentication of a subscriber authentication module in a mobile communication network, An addition step of adding stop release information for instructing release of the function being stopped in the subscriber authentication module to the authentication vector generated in the authentication vector generation step, and stop release information is added in the addition step. And a transmitting step of transmitting the authentication vector to the subscriber authentication module.
本発明によれば、加入者認証モジュールが携帯端末以外の装置に接続された場合に当該加入者認証モジュールの少なくとも一部の機能を停止し、当該加入者認証モジュールについての認証機構によって機能停止を解除することができる。 According to the present invention, when the subscriber authentication module is connected to a device other than the portable terminal, at least a part of the function of the subscriber authentication module is stopped, and the function is stopped by the authentication mechanism for the subscriber authentication module. It can be canceled.
本発明の知見は、例示のみのために示された添付図面を参照して以下の詳細な記述を考慮することによって容易に理解することができる。引き続いて、添付図面を参照しながら本発明の実施の形態を説明する。可能な場合には、同一の部分には同一の符号を付して、重複する説明を省略する。 The knowledge of the present invention can be easily understood by considering the following detailed description with reference to the accompanying drawings shown for illustration only. Subsequently, embodiments of the present invention will be described with reference to the accompanying drawings. Where possible, the same parts are denoted by the same reference numerals, and redundant description is omitted.
[移動通信システムの構成]
図1は、本実施形態に係る移動通信システム1の構成を示しており、移動通信システム1は、加入者側端末10と、加入者認証モジュールとしてのUICC(Universal Integrated Circuit Card)20と、移動通信網30とを含んで構成される。
[Configuration of mobile communication system]
FIG. 1 shows a configuration of a mobile communication system 1 according to the present embodiment. The mobile communication system 1 includes a subscriber-
このうち加入者側端末10は、例えば携帯端末といった、移動通信網30の利用者が使用する移動通信網30への無線接続装置であり、無線部110、処理部120及びUICCインタフェース部130を含んで構成される。無線部110は、移動通信網30への無線接続をするための機能部である。UICCインタフェース部130は、UICC20とのインタフェース機能部である。処理部120は、加入者側端末10における無線部110及びUICCインタフェース部130以外の機能を実現する構成部であり、例えば演算処理部及び表示処理部などが含まれる。
Among these, the subscriber-
UICC20は、例えばUSIM(Universal Subscriber Identity Module)又はSIM(Subscriber Identity Module)といった物理形状の接触ICカードである。但し、このUICC20は、図1、図2に示すように、USIMの機能を実現するためのUSIM機能部210のみならず、非接触ICの機能を実現するための非接触IC機能部220をさらに含んで構成される。
The UICC 20 is a contact IC card having a physical shape such as a USIM (Universal Subscriber Identity Module) or SIM (Subscriber Identity Module). However, as shown in FIGS. 1 and 2, the UICC 20 further includes a non-contact
このうちUSIM機能部210は、移動通信網30に対する加入者認証モジュールとして機能し、主に加入者側端末10に接続され、移動通信網30によって利用者の識別及び認証のために使用される。USIM機能部210は、後述する端末装置インタフェース部2110、発振・計数部2120、処理部2130、機能停止・解除部2140及び非接触ICインタフェース部2150を含んで構成される。
Among these, the USIM
端末装置インタフェース部2110は、加入者側端末10のUICCインタフェース部130と連絡するための機能部であり、発振・計数部2120は、USIM機能部210における作動時間を計時するための機能部である。機能停止・解除部2140は、USIM機能部210における対象となる少なくとも一部の機能の停止を行うか否かを判定するための機能部であり、該判定結果は処理部2130及び非接触ICインタフェース部2150に伝達される。非接触ICインタフェース部2150は、非接触IC機能部220のUSIM機能インタフェース部2210と連絡するための機能部である。処理部2130は、USIM機能部210における上記の各機能部以外の機能、例えば、機能停止・解除部2140からの判定結果に基づく対象機能の停止処理などを実行するための機能部である。
The terminal
一方、非接触IC機能部220は、例えば電子マネー、交通乗車券又は入館証として機能し、加入者認証モジュールとしての付加価値よりもむしろ移動通信サービスに対する付加価値を提供するものである。非接触IC機能部220は、USIM機能インタフェース部2210、機能停止・解除部2220及び処理部2230を含んで構成される。
On the other hand, the non-contact
USIM機能インタフェース部2210は、USIM機能部210の非接触ICインタフェース部2150と連絡するための機能部であり、機能停止・解除部2220は、非接触IC機能部220の少なくとも一部の機能停止を行うか否かを判定し、該判定結果を処理部2230に伝達するための機能部である。処理部2230は、非接触IC機能部220における上記の各機能部以外の機能、例えば、機能停止・解除部2220からの判定結果に基づく対象機能の停止処理などを実行するための機能部である。
The USIM
ところで、図1、図2においては、UICC20がUSIM機能部210と非接触IC機能部220の両方を含んで構成されるとしているが、通常のUSIM又はSIMである場合は、USIM機能部210のみがUICC20に搭載されていて、加入者側端末10に接続され、移動通信網30によって利用者の識別及び認証のために使用される。
1 and 2, the
また、図1、図2においては、UICC20は、USIM機能部210と非接触IC機能部220の両方を含んだ構成としているが、USIM機能部210及び非接触IC機能部220がそれぞれ別のUICC上に構成され、非接触ICインタフェース部2150とUSIM機能インタフェース部2210とが相互に連絡し合う構成(不図示)を採用していても構わない。
1 and 2, the
図1に示す移動通信網30は、例えば携帯電話網が該当する。加入者側端末10は、ホーム網だけでなく、この移動通信網と相互接続して利用が可能な図示しないローミング網に接続されていることもある。ホーム網には、加入者識別及び認証を行うために、USIM機能部210に対応する認証ベクトル生成装置310が接続されている。
A
図3に示すように、認証ベクトル生成装置310は、認証ベクトルを生成する認証ベクトル生成部3120と、認証ベクトル生成部3120にて認証ベクトルを生成する際に認証ベクトルに解除情報を付加する停止・解除情報付加部3130と、加入者認証モジュールとしてのUICC20あてに認証ベクトルを送出する認証ベクトル送出部3110と、を含んで構成される。
As illustrated in FIG. 3, the authentication
[移動通信システムにより実行される処理]
以下、図4、図5のシーケンス図を用いて、移動通信システム1において実行される処理を説明する。
[Processes executed by the mobile communication system]
Hereinafter, processing executed in the mobile communication system 1 will be described with reference to the sequence diagrams of FIGS. 4 and 5.
図4に示すように、UICC20が装着された状態で加入者側端末10の電源がオンされると、UICC20内のUSIM機能部210の電源が投入され(ステップS1)、作動時間の初期化(ゼロリセット)が行われた(ステップS2)後、発振・計数部2120による作動時間の計時が始まる(ステップS3)。なお、「作動時間」とは、作動時間の初期化処理終了後から所定のコマンド(例えば、USIM機能部210における所定の少なくとも一部の機能を停止するコマンド)を受信するまでの経過時間を意味する。
As shown in FIG. 4, when the power of the
そして、端末装置インタフェース部2110が、加入者側端末10より所定のコマンドを受信すると(ステップS4)、該コマンドは処理部2130へ転送され、機能停止・解除部2140は、処理部2130より上記受信されたコマンド、発振・計数部2120により計時された作動時間、及び予め設定された作動許容時間を受信し、作動時間が作動許容時間を超えているか否かを判定する(ステップS5)。なお、ここでは、作動時間が作動許容時間を超えていることをもって、UICC20が加入者側端末以外の機器に接続されているものと判定することができる。
When the terminal
ステップS5にて、作動時間が作動許容時間を超えていなければ、処理を終了するが、作動時間が作動許容時間を超えていた場合は、UICC20が加入者側端末以外の機器に接続されているものと判定できるので、機能停止・解除部2140は処理部2130に対し、対象となる所定の機能の停止を通知する。処理部2130はこの通知に基づいて、対象となる所定の機能の停止を行う(ステップS6)。
In step S5, if the operation time does not exceed the allowable operation time, the process is terminated. If the operation time exceeds the allowable operation time, the
そして、処理部2130は、加入者側端末10に対し本コマンドの実行は不可能であることを示す応答をするよう、端末装置インタフェース部2110に指示する。これを受けて、端末装置インタフェース部2110は、加入者側端末10に対し、本コマンドの実行は不可能であることを示す応答を行う(ステップS7)。
Then, the
また、処理部2130は、非接触IC機能部220に対し対象となる機能の停止を行ったことを通知するよう、非接触ICインタフェース部2150に指示する。これを受けて、非接触ICインタフェース部2150は、非接触IC機能部220に対し、対象となる機能の停止を行ったことを通知する(ステップS8)。
In addition, the
非接触IC機能部220においては、USIM機能インタフェース部2210が、非接触ICインタフェース部2150からの、対象となる機能の停止を行った旨の通知を処理部2230に伝達し、処理部2230は、上記通知を機能停止・解除部2220に伝達する。そして、機能停止・解除部2220は、上記通知に基づいて、非接触IC機能部220において対象となる機能を停止するか否かを判定する(ステップS9)。
In the non-contact
ここで、対象となる機能を停止しないと判定した場合は、処理を終了するが、対象となる機能を停止すると判定した場合、機能停止・解除部2220は、該判定結果を処理部2230に通知する。この通知を受けた処理部2230は、当該通知に基づいて、対象となる機能の停止を行う(ステップS10)。
Here, when it is determined that the target function is not to be stopped, the process is terminated, but when it is determined that the target function is to be stopped, the function stop /
以上説明した図4の処理により、作動時間が作動許容時間を超えていることをもって、UICC20が加入者側端末以外の機器に接続されていると判定し、かかる場合に、UICC20内のUSIM機能部210及び非接触IC機能部220における所定の少なくとも一部の機能を速やかに停止させることができ、USIM機能部210及び非接触IC機能部220の機能を確実に保護することができる。
4 determines that the
次に、図5のシーケンスを用いて、UICC20において所定の少なくとも一部の機能が停止した状態から、機能停止を解除する処理を説明する。
Next, processing for canceling the function stop from a state in which at least a part of predetermined functions are stopped in the
認証ベクトル生成装置310において、認証ベクトルを生成する際、停止・解除情報付加部3130が、停止中の機能の停止解除を指示する停止解除情報を認証ベクトルのAUTN(Authentication Token)フィールド又はRAND(Random Number)フィールドに設定し、認証ベクトル生成部3120は、上記のように停止解除情報が設定された認証ベクトルを生成する(ステップS21)。
When generating an authentication vector in the authentication
そして、認証ベクトル送出部3110は、移動通信網30経由で加入者側端末10あてに、上記認証ベクトルを認証信号として送出し(ステップS22)、該認証信号は加入者側端末10に到達する。
The authentication
加入者側端末10の無線部110は、上記認証ベクトルを認証信号として受信し、該認証ベクトルは、処理部120経由でUICCインタフェース部130から、UICC20に対し認証コマンドとして送出される(ステップS23)。
The
そして、UICC20の端末装置インタフェース部2110は、上記認証コマンドを受信し、受信した認証コマンドを処理部2130に伝達する。処理部2130は、まず、認証コマンドを構成する認証ベクトルに基づく認証処理を行い(ステップS24)、認証に成功した場合(ステップS25で肯定判定の場合)、認証ベクトル内のAUTNフィールド又はRANDフィールドに設定された停止解除情報によって、該認証コマンドが停止中の機能の停止解除を指示するものと認識し、機能停止・解除部2140に対し当該停止解除情報を伝達する。
Then, the terminal
そして、機能停止・解除部2140は、当該停止解除情報に基づいて、停止中の機能の停止解除を行うか否かを判定し(ステップS26)、該判定結果を処理部2130に通知する。処理部2130は該判定結果に基づいて、対象となる機能の停止の解除を行う(ステップS27)。なお、データエラー等に起因して、仮にステップS24での認証に成功しなかった場合や、ステップS26で停止解除を行うと判定できなかった場合は、図5の処理を終了する。
Then, the function stop /
さらに、処理部2130は、対象となる機能の停止の解除を行ったことを非接触IC機能部220に対し通知するよう、非接触ICインタフェース部2150に指示する。これを受けて、非接触ICインタフェース部2150は、対象となる機能の停止の解除を行ったことを非接触IC機能部220に対し通知する(ステップS28)。
In addition, the
非接触IC機能部220においては、USIM機能インタフェース部2210が、非接触ICインタフェース部2150からの解除通知を受信し、受信した解除通知を処理部2230に伝達する。そして、処理部2230が、解除通知を機能停止・解除部2220に伝達すると、機能停止・解除部2220は、解除通知に基づいて、非接触IC機能部220において対象となる機能の停止を解除するか否かを判定する(ステップS29)。
In the non-contact
ここで、機能停止を解除しないと判定した場合は、処理を終了するが、機能停止を解除すると判定した場合、機能停止・解除部2220は、該判定結果を処理部2230に通知する。この通知を受けた処理部2230は、当該通知に基づいて、停止していた対象となる機能の停止を解除する(ステップS30)。
Here, if it is determined not to release the function stop, the process ends. If it is determined to cancel the function stop, the function stop /
以上説明した図5の処理により、認証ベクトル生成装置310から受信した認証ベクトルに基づく認証に成功した場合に、停止解除情報に基づいて停止中の機能について停止を解除することができるので、移動通信網30内の認証ベクトル生成装置310から、UICC20内のUSIM機能部210及び非接触IC機能部220における機能停止を速やかに解除することが可能となり、利便性を高めることができる。
When the authentication based on the authentication vector received from the authentication
以上のような発明の実施形態によれば、加入者認証モジュールが携帯端末以外の装置に接続された場合に当該加入者認証モジュールの少なくとも一部の機能を停止し、当該加入者認証モジュールについての認証機構によって機能停止を解除することができ、本発明の目的を達成することができる。 According to the embodiment of the invention as described above, when the subscriber authentication module is connected to a device other than the mobile terminal, at least a part of the functions of the subscriber authentication module is stopped, and the subscriber authentication module The function stop can be canceled by the authentication mechanism, and the object of the present invention can be achieved.
1…移動通信システム、10…加入者側端末、20…UICC、30…移動通信網、110…無線部、120…処理部、130…UICCインタフェース部、210…USIM機能部、220…非接触IC機能部、310…認証ベクトル生成装置、2110…端末装置インタフェース部、2120…発振・計数部、2130…処理部、2140…機能停止・解除部、2150…非接触ICインタフェース部、2210…USIM機能インタフェース部、2220…機能停止・解除部、2230…処理部、3110…認証ベクトル送出部、3120…認証ベクトル生成部、3130…停止・解除情報付加部。
DESCRIPTION OF SYMBOLS 1 ... Mobile communication system, 10 ... Subscriber side terminal, 20 ... UICC, 30 ... Mobile communication network, 110 ... Radio | wireless part, 120 ... Processing part, 130 ... UICC interface part, 210 ... USIM function part, 220 ... Non-contact
Claims (6)
装着した前記加入者側端末の電源オン直後の所定の初期化処理終了後から、所定のコマンドを前記加入者側端末から受信するまでの作動時間を計時する計時手段と、
前記計時手段により計時された作動時間が、予め設定された作動許容時間を超えているか否かを判定する判定手段と、
前記判定手段により前記作動時間が前記作動許容時間を超えていると判定された場合に、前記加入者認証モジュールにおける少なくとも一部の機能を停止させる機能停止手段と、
停止中の機能の停止解除を指示する停止解除情報が付加された、前記加入者認証モジュールの認証に用いられる認証ベクトルを、前記加入者側端末経由で移動通信網内の認証ベクトル生成装置から受信する受信手段と、
前記受信手段により受信された認証ベクトルに基づいて前記加入者認証モジュールの認証を行い、認証に成功した場合、前記停止解除情報に基づいて前記停止中の機能について停止を解除する停止解除手段と、
を備える加入者認証モジュール。 A subscriber authentication module attached to a subscriber side terminal,
A clocking means for timing an operation time until a predetermined command is received from the subscriber-side terminal after completion of a predetermined initialization process immediately after power-on of the installed subscriber-side terminal;
Determining means for determining whether or not the operation time measured by the time measuring means exceeds a preset allowable operation time;
A function stop means for stopping at least a part of functions in the subscriber authentication module when the determination means determines that the operation time exceeds the allowable operation time;
Received from the authentication vector generation device in the mobile communication network via the subscriber-side terminal, the authentication vector used for authentication of the subscriber authentication module, to which suspension cancellation information for instructing suspension cancellation of the function being stopped is added Receiving means for
The subscriber authentication module is authenticated based on the authentication vector received by the receiving means, and when the authentication is successful, stop cancellation means for canceling the stop for the stopped function based on the stop cancellation information;
A subscriber authentication module comprising:
前記加入者認証モジュールの前記通知手段からの通知を受信し、受信した通知内容に基づいて、当該非接触ICチップにおける少なくとも一部の機能を停止又は停止解除する手段を備える非接触ICチップ。 A non-contact IC chip capable of communicating with the subscriber authentication module according to claim 2,
A non-contact IC chip comprising a means for receiving a notification from the notification means of the subscriber authentication module and stopping or releasing at least a part of the functions of the non-contact IC chip based on the received notification content.
前記認証ベクトル生成手段により生成された認証ベクトルに、前記加入者認証モジュールにおける停止中の機能の停止解除を指示する停止解除情報を付加する付加手段と、
前記付加手段により停止解除情報が付加された認証ベクトルを、前記加入者認証モジュールあてに送信する送信手段と、
を備える認証ベクトル生成装置。 Authentication vector generation means for generating an authentication vector used for authentication of a subscriber authentication module in a mobile communication network;
Addition means for adding stop release information for instructing stop release of the function being stopped in the subscriber authentication module to the authentication vector generated by the authentication vector generation means;
Transmitting means for transmitting the authentication vector to which the suspension cancellation information is added by the adding means to the subscriber authentication module;
An authentication vector generation device comprising:
前記認証ベクトル生成装置は、
移動通信網における加入者認証モジュールの認証に用いられる認証ベクトルを生成する認証ベクトル生成手段と、
前記認証ベクトル生成手段により生成された認証ベクトルに、前記加入者認証モジュールにおける停止中の機能の停止解除を指示する停止解除情報を付加する付加手段と、
前記付加手段により停止解除情報が付加された認証ベクトルを、前記加入者認証モジュールあてに送信する送信手段と、
を備え、
前記加入者認証モジュールは、
装着した前記加入者側端末の電源オン直後の所定の初期化処理終了後から、所定のコマンドを前記加入者側端末から受信するまでの作動時間を計時する計時手段と、
前記計時手段により計時された作動時間が、予め設定された作動許容時間を超えているか否かを判定する判定手段と、
前記判定手段により前記作動時間が前記作動許容時間を超えていると判定された場合に、前記加入者認証モジュールにおける少なくとも一部の機能を停止させる機能停止手段と、
前記認証ベクトル生成装置から送信された、前記停止解除情報が付加された認証ベクトルを、前記加入者側端末経由で受信する受信手段と、
前記受信手段により受信された認証ベクトルに基づいて前記加入者認証モジュールの認証を行い、認証に成功した場合、前記停止解除情報に基づいて前記停止中の機能について停止を解除する停止解除手段と、
を備える、
ことを特徴とする移動通信システム。 A mobile communication system including an authentication vector generation device and a subscriber authentication module attached to a subscriber side terminal,
The authentication vector generation device includes:
Authentication vector generation means for generating an authentication vector used for authentication of a subscriber authentication module in a mobile communication network;
Addition means for adding stop release information for instructing stop release of the function being stopped in the subscriber authentication module to the authentication vector generated by the authentication vector generation means;
Transmitting means for transmitting the authentication vector to which the suspension cancellation information is added by the adding means to the subscriber authentication module;
With
The subscriber authentication module includes:
A clocking means for timing an operation time until a predetermined command is received from the subscriber-side terminal after completion of a predetermined initialization process immediately after power-on of the installed subscriber-side terminal;
Determining means for determining whether or not the operation time measured by the time measuring means exceeds a preset allowable operation time;
A function stop means for stopping at least a part of functions in the subscriber authentication module when the determination means determines that the operation time exceeds the allowable operation time;
Receiving means for receiving the authentication vector to which the suspension cancellation information is added, transmitted from the authentication vector generating device, via the subscriber side terminal;
The subscriber authentication module is authenticated based on the authentication vector received by the receiving means, and when the authentication is successful, stop cancellation means for canceling the stop for the stopped function based on the stop cancellation information;
Comprising
A mobile communication system.
移動通信網における加入者認証モジュールの認証に用いられる認証ベクトルを生成する認証ベクトル生成ステップと、
前記認証ベクトル生成ステップにて生成された認証ベクトルに、前記加入者認証モジュールにおける停止中の機能の停止解除を指示する停止解除情報を付加する付加ステップと、
前記付加ステップにて停止解除情報が付加された認証ベクトルを、前記加入者認証モジュールあてに送信する送信ステップと、
を有する認証ベクトル生成方法。
An authentication vector generation method in an authentication vector generation device,
An authentication vector generating step for generating an authentication vector used for authentication of a subscriber authentication module in a mobile communication network;
An addition step of adding stop release information for instructing stop release of the stopped function in the subscriber authentication module to the authentication vector generated in the authentication vector generation step;
A transmitting step of transmitting the authentication vector to which the stop cancellation information is added in the adding step to the subscriber authentication module;
An authentication vector generation method comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006318860A JP4642006B2 (en) | 2006-11-27 | 2006-11-27 | Subscriber authentication module, contactless IC chip, authentication vector generation device, mobile communication system, and authentication vector generation method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006318860A JP4642006B2 (en) | 2006-11-27 | 2006-11-27 | Subscriber authentication module, contactless IC chip, authentication vector generation device, mobile communication system, and authentication vector generation method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008135852A JP2008135852A (en) | 2008-06-12 |
JP4642006B2 true JP4642006B2 (en) | 2011-03-02 |
Family
ID=39560404
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006318860A Active JP4642006B2 (en) | 2006-11-27 | 2006-11-27 | Subscriber authentication module, contactless IC chip, authentication vector generation device, mobile communication system, and authentication vector generation method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4642006B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101671188B1 (en) * | 2009-06-16 | 2016-11-01 | 주식회사 케이티 | Method and system for certificating universal subscriber identity module |
EP2600319A1 (en) * | 2011-11-29 | 2013-06-05 | Gemalto SA | Pairing system between a terminal and an eGo-type element worn on the wrist or the hand of a user and corresponding method |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11177682A (en) * | 1997-12-11 | 1999-07-02 | Denso Corp | Radio communication equipment |
JP2002084276A (en) * | 2000-06-13 | 2002-03-22 | Lucent Technol Inc | Improved method for authentication of user subscription identity module |
JP2005354257A (en) * | 2004-06-09 | 2005-12-22 | Vodafone Kk | Authentication method, mobile communication terminal, and card type device |
JP2006050523A (en) * | 2004-07-01 | 2006-02-16 | Ntt Docomo Inc | Authentication vector generation device, subscriber authentication module, mobile communication system, authentication vector generation method, calculation method, and subscriber authentication method |
JP2007235237A (en) * | 2006-02-27 | 2007-09-13 | Ntt Docomo Inc | Authentication vector generating apparatus, subscriber identity module, mobile communication system and authentication vector generating method |
-
2006
- 2006-11-27 JP JP2006318860A patent/JP4642006B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11177682A (en) * | 1997-12-11 | 1999-07-02 | Denso Corp | Radio communication equipment |
JP2002084276A (en) * | 2000-06-13 | 2002-03-22 | Lucent Technol Inc | Improved method for authentication of user subscription identity module |
JP2005354257A (en) * | 2004-06-09 | 2005-12-22 | Vodafone Kk | Authentication method, mobile communication terminal, and card type device |
JP2006050523A (en) * | 2004-07-01 | 2006-02-16 | Ntt Docomo Inc | Authentication vector generation device, subscriber authentication module, mobile communication system, authentication vector generation method, calculation method, and subscriber authentication method |
JP2007235237A (en) * | 2006-02-27 | 2007-09-13 | Ntt Docomo Inc | Authentication vector generating apparatus, subscriber identity module, mobile communication system and authentication vector generating method |
Also Published As
Publication number | Publication date |
---|---|
JP2008135852A (en) | 2008-06-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10440575B2 (en) | Protection of a security element coupled to an NFC circuit | |
US11743721B2 (en) | Protection of a communication channel between a security module and an NFC circuit | |
US11963004B2 (en) | Detection of a rerouting of a communication channel of a telecommunication device connected to an NFC circuit | |
US10716007B2 (en) | Protection of a security module in a telecommunication device coupled to an NFC circuit | |
US9209866B2 (en) | Securing of a telecommunication device equipped with a near-field communication module | |
EP2600639B1 (en) | Apparatuses and method for providing secure NFC application support in battery on and battery off modes | |
EP3211567B1 (en) | Mobile radio communication apparatus | |
EP2034428B1 (en) | NFC capable mobile communication device | |
US9179301B2 (en) | Protection of a communication channel of a telecommunication device coupled to an NFC circuit against misrouting | |
US9185561B2 (en) | Protection against rerouting in an NFC circuit communication channel | |
BRPI0722327A2 (en) | RADIO FREQUENCY ELECTRONIC TICKET DISTRIBUTION | |
KR20080096722A (en) | A method for controlling the operation of e-transaction card in smartcard equipped with a mobile communication terminal | |
JP4642006B2 (en) | Subscriber authentication module, contactless IC chip, authentication vector generation device, mobile communication system, and authentication vector generation method | |
KR200401587Y1 (en) | Smart Card leader system for the one time password creation | |
JP2012141754A (en) | Ic chip, processing method in ic chip, processing program for ic chip, and portable terminal | |
KR20190017041A (en) | How to manage security elements | |
EP2393261A1 (en) | A portable device, system and a method for preventing a misuse of data originating from the portable device | |
KR101972972B1 (en) | Method for Operating Medium Division Style One Time Code by using Near Field Communication | |
JP4899585B2 (en) | Portable terminal device and program | |
JP2008040952A (en) | Device authentication control system and program thereof | |
EP3331212A1 (en) | Method, first device and system for authenticating to a second device | |
KR100727866B1 (en) | Smart Card leader system for the one time password creation | |
CN112954656A (en) | Access control for near field communication functions | |
JP2005354257A (en) | Authentication method, mobile communication terminal, and card type device | |
JP2005269116A (en) | Portable terminal mounting noncontact ic card function |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090910 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101102 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101109 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101130 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4642006 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131210 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |