-
Hintergrund der Erfindung
-
1. Gebiet der Erfindung
-
Die
vorliegende Erfindung bezieht sich auf ein Informationsverarbeitungssystem,
ein tragbares elektronisches Gerät,
ein Zugriffsverfahren für
das tragbare elektronische Gerät
sowie auf ein Verfahren zur Nutzung eines Speicherplatzes. Die vorliegende Erfindung
kann beispielsweise bei einem System angewandt werden, welches kontaktlose
IC-Karten verwendet. Die vorliegende Erfindung zielt insbesondere
darauf ab, die gemeinsame Nutzung einer IC-Karte für eine Vielzahl
von Geschäfts-
bzw. Unternehmensorganisationen zu ermöglichen, indem jeder Geschäftsorganisation
sowohl eine Herausgeber-Schlüsselinformation,
die von einem Managementsektor verwaltet wird, als auch ein Zugriffsschlüssel zugewiesen
werden, der auf der Grundlage einer Datei-Schlüsselinformation erzeugt wird,
welche für
die Geschäftsorganisation
spezifisch ist, so dass die Geschäftsorganisation auf das tragbare elektronische
Gerät unter
Heranziehung des zugewiesenen Zugriffsschlüssels zugreifen kann.
-
2. Beschreibung der verwandten
Technik
-
In
einem früheren
entwicklungsgemäßen IC-Kartensystem
sind verschiedene Informationen, wie persönliche Daten in einer IC-Karte
aufgezeichnet, die von einer Person getragen wird, und die IC-Karte
wird beispielsweise benutzt, wenn die Person durch Karten-Tore an
Stationen hindurchtritt oder einen Raum betritt, der unter der Disposition
steht, dass lediglich qualifizierten Personen erlaubt ist, ihn zu
betreten und zu verlassen.
-
Unterdessen
gibt es andere kartenförmige Medien ähnlich IC-Karten.
So sind in zunehmendem Maße
beispielsweise vorab bezahlte Karten, sogenannte Prepaid-Karten, Service-Karten,
die von einzelnen Geschäften
ausgegeben werden, Benutzerkarten, die von einzelnen Software-Herstellern,
etc., herausgegeben werden, verwendet worden.
-
Jene
Karten, einschließlich
IC-Karten werden an Benutzer durch Geschäftsorganisationen gesondert
abgegeben, die entsprechende Dienste auf der Grundlage der spezifischen
Karten bereitstellen.
-
Eine
IC-Karte schließt
jedoch einen internen Speicher mit einer genügenden Kapazität ein, um
darin persönliche
Informationen und andere Daten aufzuzeichnen, die für die Entgegennahme
von verschiedenen Diensten mittels der Karte notwendig sind. Unter
diesem Gesichtspunkt ist es vorstellbar, eine IC-Karte herzustellen,
die für
eine Vielzahl von Geschäftsorganisationen
gemeinsam nutzbar ist.
-
Durch
Herstellen einer derart gemeinsam nutzbaren IC-Karte sind die Geschäftsorganisationen,
die bis heute individuelle IC-Karten herausgegeben haben, von der
Last der eigenen Herausgabe der Karten befreit, während sie
eine größere Anzahl
von Nutzern bekommen können,
die nicht gewonnen werden, wenn die jeweilige Geschäftsorganisation, wie
konventionell, eine Karte gesondert herausgibt. Da andererseits
die Anzahl der Karten, die ein Benutzer mit sich führt und
verwaltet, verringert ist, ist auch der Benutzer von einer Unannehmlichkeit
befreit, viele Karten mit sich zu führen und zu verwalten.
-
Wenn
eine IC-Karte für
eine Vielzahl von Geschäftsorganisationen
gemeinsam genutzt wird, müssen
jedoch die persönlichen
Informationen eines Benutzers für
jede der Geschäftsorganisationen
vertraulich gehalten werden. Es ist außerdem erforderlich, einen
Speicherplatz, der von der jeweiligen Geschäftsorganisation verwendet wird,
hinsichtlich Zeit und Bereich zu verwalten.
-
Ein
Informationsverarbeitungssystem, in welchem sämtliche Merkmale des Oberbegriffs
des Anspruchs 1 offenbart sind, ist in US-A-4 849.614 beschrieben.
-
Ferner
ist aus EP-A-0 798 673 ein Verfahren zum sicheren Laden und Validieren
von Befehlen in einer Smart-Karte mittels zweier Authentifizierungscodes
bekannt, wobei die Authentizität
von Befehlen somit dadurch gesichert wird, dass man über zwei verschiedene
unabhängige
Gesellschaften verfügt, die
jeweils einen Authentifizierungscode für die Überprüfung durch die Smart-Karte
erzeugen.
-
Zusammenfassung
der Erfindung
-
Eine
Aufgabe der vorliegenden Erfindung besteht darin, ein Informationsverarbeitungssystem, ein
tragbare elektronisches Gerät,
eine Zugriffsvorrichtung für
ein tragbares elektronisches Gerät
sowie ein Verfahren zur Nutzung eines Speicherplatzes bereitzustellen,
wobei damit eine IC-Karte oder dergleichen für eine Vielzahl von Geschäfts- bzw.
Unternehmensorganisationen gemeinsam benutzt werden kann.
-
Diese
Aufgabe wird durch ein Informationsverarbeitungssystem, ein tragbares
elektronisches Gerät,
eine Zugriffsvorrichtung für
das tragbare elektronische Gerät
und durch ein Verfahren zur Nutzung eines Speicherplatzes gemäß den beigefügten unabhängigen Ansprüchen gelöst. Vorteilhafte
Merkmale der vorliegenden Erfindung sind in den entsprechenden Unteransprüchen festgelegt.
-
Durch
die vorliegende Erfindung kann die Verarbeitung einer Authentifizierung
unter Heranziehung der Zugriffs-Schlüsselinformation ausgeführt werden,
die durch den bestimmten Managementsektor erzeugt wird, und zwar
auf der Grundlage sowohl der Datei-Schlüsselinformation, die spezifisch
ist für die
jeweilige Geschäftsorganisation,
als auch der Herausgeber-Schlüsselinformation,
die für
den Verwaltungs- bzw. Managementsektor spezifisch ist. Als Ergebnis
der Authentifizierung ist der Zugriffsvorrichtung ermöglicht,
auf den Speicherplatz in dem tragbaren elektronischen Gerät zuzugreifen,
der der Geschäftsorganisation
zugeordnet ist. Daher kann sogar in dem Fall, dass Speicherplätze einer
Vielzahl von Geschäftsorganisationen
zugeordnet sind und dass ein tragbares elektronisches Gerät für jene Geschäftsorganisationen gemeinsam
benutzt wird, jede Geschäftsorganisation
einen Zugriff auf das tragbare elektronische Gerät unter Heranziehung der Dateischlüsselinformation
so vornehmen, als ob das tragbare elektronische Gerät für die betreffende
Geschäftsorganisation
reserviert ist. Außerdem
kann verhindert werden, dass auf den Speicherplatz, der einer bestimmten
Geschäftsorganisation
zugeordnet bzw. zugewiesen ist, von irgendeiner anderen Geschäftsorganisation
zugegriffen wird. Da die Herausgeber-Schlüsselinformation
durch den Managementsektor verwaltet wird, ist es ferner möglich, das
tragbare elektronische Gerät
durch den Managementsektor zu verwalten.
-
Durch
die vorliegende Erfindung wird die Verarbeitung einer Authentifizierung,
die erforderlich ist, um einen Zugriff auf das tragbare elektronische Gerät zu bewirken,
unter Heranziehung der Zugriffsschlüsselinformation ausgeführt, die
durch den bestimmten Managementsektor erzeugt wird, und zwar zwischen
der Zugriffsvorrichtung und dem tragbaren elektronischen Gerät auf der
Grundlage sowohl der Dateischlüsselinformation,
die für
die jeweilige Geschäftsorganisation
spezifisch ist, als auch der Herausgeber-Schlüsselinformation, die für den Managementsektor
spezifisch ist. Daher kann lediglich eine Geschäftsorganisation, die auf der
Grundlage des Herausgeberschlüssels
durch den Managementsektor autorisiert ist, auf das tragbare elektronische
Gerät zugreifen.
Außerdem
kann der Speicherplatz, der der Geschäftsorganisation zugeordnet
ist, durch die Dateischlüsselinformation
spezifiziert werden. Infolgedessen kann jede Geschäftsorganisation
einen Zugriff auf das tragbare elektronische Gerät so vornehmen, als ob es für die Geschäftsorganisation
reserviert ist. Außerdem
kann verhindert werden, dass auf den Speicherplatze, der einer bestimmten
Geschäftsorganisation
zugeordnet ist, von irgendeiner anderen Geschäftsorganisation zugegriffen
wird. Da die Herausgeber-Schlüsselinformation
durch den Managementsektor verwaltet wird, ist es ferner möglich, das
tragbare elektronische Gerät
durch den Managementsektor zu verwalten.
-
Durch
die vorliegende Erfindung sind in dem tragbaren elektronischen Gerät sowohl
die Dateischlüsselinformation,
die für
die jeweilige Geschäftsorganisation
spezifisch ist, als auch die Herausgeber-Schlüsselinformation enthalten,
die für
den bestimmten Managementsektor spezifisch ist. Sodann verarbeitet
das tragbare elektronische Gerät
Informationen, die von einer bestimmten Zugriffsvorrichtung übertragen
werden, indem die Datei-Schlüsselinformation
und die Herausgeber-Schlüsselinformation herangezogen
werden, und sodann bestimmt das betreffende Gerät ein Ergebnis der Verarbeitung. In
Abhängigkeit
von einem bestimmten Ergebnis ist der Zugriffsvorrichtung ermöglicht,
auf den der Datei-Schlüsselinformation
entsprechenden Speicherplatz zuzugreifen. Daher kann sogar in dem
Fall, dass auf Speicherplätze
in einem tragbaren elektronischen Gerät von einer Vielzahl von Geschäftsorganisationen
zugegriffen wird, der Speicherplatz, welcher der jeweiligen Geschäftsorganisation
zugeordnet ist, mit der Datei-Schlüsselinformation spezifiziert werden.
Infolgedessen kann jede Geschäftsorganisation
einen Zugriff auf das tragbare elektronische Gerät vornehmen, als ob es für die Geschäftsorganisation
reserviert ist. Außerdem
kann verhindert werden, dass auf den Speicherplatz, der einer bestimmten
Geschäftsorganisation
zugeordnet ist, von irgendeiner anderen Geschäftsorganisation zugegriffen
wird. Da die Herausgeber-Schlüsselinformation durch
den Managementsektor verwaltet wird, ist es ferner möglich, das
tragbare elektronische Gerät durch
den Managementsektor zu verwalten.
-
Kurze Beschreibung
der Zeichnungen
-
1 zeigt
ein Blockdiagramm eines IC-Kartensystems gemäß einer ersten Ausführungsform der
vorliegenden Erfindung.
-
2 veranschaulicht
in einem Blockdiagramm eine Geschäftsorganisation und einen Herausgeber
in dem IC-Kartensystem gemäß 1.
-
3 zeigt
ein Blockdiagramm zur Erläuterung
der Ausgabe einer IC-Karte.
-
4 zeigt
ein Blockdiagramm zur Erläuterung
der Ausgabe einer Datei-Registrierungsinformation.
-
5 zeigt
ein Blockdiagramm zur Erläuterung
der Erzeugung einer Datei-Registrierungsinformation.
-
6 zeigt
in Blockdiagramm zur Erläuterung
der Erzeugung eines Zugriffsschlüssels.
-
7 zeigt
ein Blockdiagramm zur Erläuterung
der Ausgabe einer Herausgeber-Schlüsseländerungsinformation.
-
8 zeigt
ein Blockdiagramm zur Erläuterung
der Erzeugung einer Herausgeber-Schlüsseländerungsinformation.
-
9 zeigt
ein Blockdiagramm zur Erläuterung
einer Verarbeitung, die ausgeführt
wird, wenn ein Zugriff vorgenommen wird.
-
10 zeigt
ein Blockdiagramm zur Erläuterung
einer Verarbeitung einer Datei-Registrierungsinformation.
-
11 zeigt
ein Ablaufdiagramm zur Erläuterung
einer Folge der Verarbeitung entsprechend der Datei-Registrierungsinformation.
-
12 zeigt
ein Blockdiagramm zur Erläuterung
einer Verarbeitung entsprechend der Datei-Registrierungsinformation.
-
13 zeigt
ein Blockdiagramm zur Erläuterung
einer Verarbeitung entsprechend einer Herausgeber-Schlüsseländerungsinformation.
-
14 zeigt
ein Blockdiagramm zur Erläuterung
einer Verarbeitung einer Herausgeber-Schlüsseländerungsinformation.
-
15 zeigt
ein Blockdiagramm zur Erläuterung
einer Verarbeitung entsprechend der Herausgeber-Schlüsseländerungsinformation.
-
16 zeigt
ein Blockdiagramm zur Erläuterung
der Erzeugung eines Zugriffsschlüssels
in einem IC-Kartensystem gemäß einer
zweiten Ausführungsform.
-
17 zeigt
ein Blockdiagramm zur Erläuterung
einer Verarbeitung eines Zugriffsschlüssels bei dem Aufbau gemäß 16.
-
Beschreibung
der bevorzugten Ausführungsformen
-
Unter
Bezugnahme auf die Zeichnungen werden nachstehend Ausführungsformen
der vorliegenden Erfindung im Einzelnen beschrieben.
-
(1) Erste Ausführungsform
-
(1-1) Aufbau der ersten
Ausführungsform
-
2 veranschaulicht
in einem Blockdiagramm ein IC-Kartensystem gemäß einer ersten Ausführungsform
der vorliegenden Erfindung. In einem IC-Kartensystem 1 gemäß 2 gibt
ein Herausgeber 5, der als Managementsektor für eine IC-Karte 3 dient,
die IC-Karte 3 aus, so dass ein Benutzer 2, der
die IC-Karte 3 trägt,
diese gemeinsam für
Dienste nutzen kann, die von einer Vielzahl von Geschäftsorganisationen 4A, 4B,
etc. bereitgestellt werden.
-
Genauer
gesagt gibt der Herausgeber 5, wie in 3 veranschaulicht,
die IC-Karte 3 an einen Benutzer auf direkte Bezahlung
der Gebühr
durch den Benutzer oder durch indirekte Bezahlung der Gebühr durch
den Benutzer über
irgendeine der Geschäftsorganisationen 4A, 4B,
etc. oder durch Bezahlung durch irgendeine der Geschäftsorganisationen 4A, 4B,
etc. anstelle des Benutzers aus. Der Herausgeber 5 kann
die IC-Karte 3 an einen Benutzer direkt oder über irgendeine
der Geschäftsorganisationen 4A, 4B,
etc. ausgeben.
-
Wenn
die IC-Karte 3 ausgegeben ist, zeichnet der Herausgeber 5 einen
Herausgeberschlüssel auf
bzw. in der IC-Karte 3 auf. Der Herausgeberschlüssel stellt
eine Schlüsselinformation
zur Verschlüsselung
und Entschlüsselung
dar, die für
den Herausgeber 5 spezifisch ist und die vom Herausgeber 5 verwaltet
wird. In dem IC-Kartensystem 1 wird ein
Zugriff auf die IC-Karte 3 unter Heranziehung sowohl des
Herausgeber-Schlüssels
als auch der Dateischlüssel-Information
bewirkt, bei der es sich um eine Schlüsselinformation handelt, die
für jede Organisation
der Vielzahl von Geschäftsorganisationen 4A, 4B,
etc. spezifisch ist. Somit kann die IC-Karte 3 unter der
Verwaltung durch den Herausgeber für die Geschäftsorganisationen 4A, 4B,
etc. gemeinsam benutzt werden.
-
Der
Herausgeber 5 zeichnet den Herausgeberschlüssel in
der IC-Karte 3 durch Nutzung eines Management-Terminals 6 auf,
welches beispielsweise durch einen Computer gebildet ist. Wenn die IC-Karte 3 für Dienste
zu nutzen ist, die durch die Geschäftsorganisationen 4A, 4B,
etc. unter Verträgen zwischen
dem Herausgeber 5 und den Geschäftsorganisationen 4A, 4B,
etc. bereitgestellt werden, dann erzeugt der Herausgeber 5 außerdem eine
Dateiregistrierungsinformation und einen Zugriffsschlüssel durch
eine Dateiregistrierungsinformations-Erzeugungseinheit 7 bzw.
eine Zugriffsschlüssel-Synthetisiereinheit 8 in
dem Terminal 6. Die Dateiregistrierungsinformation und
der Zugriffsschlüssel
werden zur entsprechenden Organisation der Geschäftsorganisationen 4A, 4B,
etc. hingeleitet.
-
Die
Dateiregistrierungsinformation stellt eine Information dar, die
zur Sicherung eines Speicherplatzes in der IC-Karte 3 verwendet
wird, so dass jede Geschäftsorganisation 4A, 4B,
etc. die IC-Karte 3 für
den von ihr selbst bereitgestellten Dienst handhaben bzw. bearbeiten
kann. Auf die Aufnahme der Dateiregistrierungsinformation hin teilt die
IC-Karte 3 einen Speicherplatz in ihr entsprechend der
Dateiregistrierungsinformation zu. Der Zugriffsschlüssel stellt
eine Information dar, die zur Authentifizierung benutzt wird, wenn
ein Zugriff auf den zugeteilten Speicherplatz erfolgt. Schließlich stellt
der Zugriffsschlüssel
eine Information dar, die zur Ausführung einer Authentifizierungsverarbeitung
unter Heranziehung sowohl der Dateischlüsselinformation als auch des
Herausgeberschlüssels
herangezogen wird, die der jeweiligen Geschäftsorganisation zugeordnet sind.
-
Wie
in 5 veranschaulicht, verschlüsselt die Dateiregistrierungsinformations-Erzeugungseinheit 7 die
Information sowohl des Dateinamens als auch der Dateigröße mit dem
Herausgeberschlüssel in
einer ersten Verschlüsselungseinheit 7A und
berechnet sodann die exklusive logische Summe eines verschlüsselten
Ergebnisses und der Dateischlüsselinformation
in einer eine ausschließlich
logische Summenberechnung vornehmenden Berechnungseinheit 7B.
Ferner erzeugt die Dateiregistrierungsinformations-Erzeugungseinheit 7 in
einer zweiten Verschlüsselungseinheit 7C einen
Prüfcode
durch Verschlüsseln
eines berechneten Ergebnisses der exklusiven logischen Summe mit
dem Herausgeberschlüssel.
-
Der
Dateiname, der hier benutzt wird, ist ein Name, der der jeweiligen
Geschäftsorganisation 4A, 4B,
etc. zugewiesen worden ist. Ein Speicherplatz ist in der IC-Karte 3 unter
dem Dateinamen gesichert, und jede Geschäftsorganisation 4A, 4B,
etc. kann den für
den Service vorgesehenen Speicherplatz benutzen. Wenn somit jede
Geschäftsorganisation 4A, 4B,
etc. einen Zugriff auf den Speicherplatz für den von ihr selbst bereit
gestellten Service vornimmt, wird auf die IC-Karte 3 auf
der Grundlage des Dateinamens zugegriffen.
-
Die
Dateigröße gibt
die Größe einer
Datei an, die unter dem Dateinamen erzeugt ist, und sie stellt die
Größe eines
Speicherplatzes in der IC-Karte 3 dar, der der jeweiligen
Geschäftsorganisation 4A, 4B,
etc. zugewiesen ist. Die Dateischlüsselinformation stellt eine
Schlüsselinformation
dar, die für
einen Zugriff auf einen Speicherbereich unter dem Dateinamen erforderlich
ist. Der Prüfcode
stellt einen Code dar, der zur Überprüfung der
Gültigkeit
der Dateiregistrierungsinformation verwendet wird.
-
Die
Dateigröße wird
durch den Herausgeber in Abhängigkeit
von der Größe des Speicherbereichs in
der IC-Karte 3 festgelegt, dessen Benutzung für die jeweilige
Geschäftsorganisation 4A, 4B,
etc. zugelassen ist. Andererseits sind der Dateiname und die Dateischlüsselinformation
beispielsweise durch Konsultation zwischen der jeweiligen Geschäftsorganisation
(4A, 4B, etc.) und dem Herausgeber 5 auf eine
Meldung von der jeweiligen Geschäftsorganisation 4A, 4B,
etc. an den Herausgeber 5 derart festgelegt, dass der Dateiname
und die Dateischlüsselinformation
für die
jeweilige Geschäftsorganisation 4A, 4B,
etc. spezifisch und lediglich der jeweiligen Geschäftsorganisation 4A, 4B,
etc. bekannt sind, der der Dateiname und die Dateischlüsselinformation
als Dateiregistrierungsinformation zugewiesen worden sind.
-
Die
die Dateiregistrierungsinformation erzeugende Informationserzeugungseinheit 7 erzeugt
die Dateiregistrierungsinformation dadurch, dass die Information
des Dateinamens, die Information der Dateigröße, die Datei-Schlüsselinformation
und der Prüfcode
in einer bestimmten Sequenz angeordnet werden.
-
Wie
in 6 veranschaulicht, erzeugt die Zugriffsschlüssel-Synthetisiereinheit 8 den
Zugriffsschlüssel
durch Verschlüsseln
des Dateischlüssels mit
dem Herausgeberschlüssel
in einer Verschlüsselungseinheit 8A.
-
Wie
in 7 veranschaulicht, erzeugt der Herausgeber 5 in
dem Fall, dass die Verträge
zwischen dem Herausgeber 5 und den Geschäftsorganisationen 4A, 4B,
etc. für
eine weitere Fortsetzung erneuert werden, eine Herausgeberschlüssel-Änderungsinformation
durch eine Herausgeberschlüssel-Änderungsinformations-Erzeugungseinheit 9 und leitet
die Herausgeberschlüssel-Änderungsinformation
an die Geschäftsorganisationen 4A, 4B,
etc. weiter. Durch eine solche Verarbeitung aktualisiert der Herausgeber 5 den
in der IC-Karte 3 aufgezeichneten Herausgeberschlüssel in
gewissen Zeitspannen, und zwar in Einheiten einer Vertragserneuerungsperiode.
Außerdem
erzeugt der Herausgeber 5 einen neuen Zugriffsschlüssel durch
eine Verarbeitung, die in der Zugriffsschlüssel-Synthetisiereinheit 8 ausgeführt wird,
indem der Herausgeberschlüssel
für eine neue
Aufzeichnung in der IC-Karte 3 herangezogen wird und indem
sodann der neue Zugriffsschlüssel
an die Geschäftsorganisationen 4A, 4B,
etc. weitergeleitet wird.
-
Die
Herausgeberschlüssel-Änderungsinformation,
die hier verwendet wird, stellt eine Information zur Änderung
des in der IC-Karte 3 aufgezeichneten Herausgeberschlüssels dar.
-
Wie
in 8 veranschaulicht, erzeugt die Herausgeberschlüssel-Änderungsinformations-Erzeugungseinheit 9 zuerst
eine Schlüsseländerungsinformation
K1 in einer ersten Verschlüsselungseinheit 9A durch
Verschlüsseln
eines Herausgeberschlüssels,
der in der IC-Karte 3 neu aufzuzeichnen ist (nachstehend
wird dieser Herausgeberschlüssel als „neuer
Herausgeberschlüssel" bezeichnet, und im
Unterschied dazu wird der Herausgeberschlüssel, der in der IC-Karte 3 aufgezeichnet
worden ist, als „alter
Herausgeberschlüssel" bezeichnet, mit
dem alten Herausgeberschlüssel.
Ferner verschlüsselt
die Herausgeberschlüssel-Änderungsinformations-Erzeugungseinheit 9 eine
bestimmte Konstante mit dem neuen Herausgeberschlüssel in
einer zweiten Verschlüsselungseinheit 9B,
und sie erzeugt sodann eine zweite Schlüsseländerungsinformation K2 in einer
dritten Verschlüsselungseinheit 9C durch
Verschlüsselung
eines verschlüsselten
Ergebnisses von der zweiten Verschlüsselungseinheit 9B mit
dem alten Herausgeberschlüssel.
Danach erzeugt die Herausgeberschlüssel-Änderungsinformations-Erzeugungseinheit 9 eine
Herausgeberschlüssel-Änderungsinformation
durch Anordnen der ersten und zweiten Schlüsseländerungsinformationen K1, K2
in einer bestimmten Folge.
-
Jede
Geschäftsorganisation 4A, 4B,
etc. steuert, wie in 2 veranschaulicht, den Betrieb
einer Lese-/Schreibeinrichtung 11 durch ein Terminal 12,
welches beispielsweise durch einen Computer gebildet ist, und zwar
nicht nur für
einen Zugriff auf die IC-Karte 3 auf der Grundlage der
Dateiregistrierungsinformation, der Zugriffsschlüsselinformation und der Herausgeberschlüssel-Änderungsinformation,
die alle vom Herausgeber 5 herausgegeben sind, sondern
auch zur Verarbeitung eines Zugriffsergebnisses.
-
Die
Lese-/Schreibeinrichtung 11, die hier verwendet wird, moduliert
eine zu übertragende
Information mit einer bestimmten Trägerwelle und steuert eine eingebaute
Antenne zum Aussenden eines Rufes an die IC-Karte 3 in
einer bestimmten Zeitspanne wiederholt an. Wenn die IC-Karte 3 in
der Nähe
der Antenne platziert ist und eine Antwort auf den Empfang des Rufes
hin überträgt, fordert
die Lese- /Schreibeinrichtung 11 die
IC-Karte 3 auf, eine gegenseitige Authentifizierung auszuführen. Durch
die gegenseitige Authentifizierung bestimmt die Lese-/Schreibeinrichtung 11,
ob die IC-Karte 3 ein für eine
Datenkommunikation zwischen ihnen qualifiziertes Ziel ist.
-
Wenn
die IC-Karte 3 durch die gegenseitige Authentifizierung
als Ziel bestimmt ist, mit dem Daten austauschbar sind, meldet die
Lese-/Schreibeinrichtung 11 dem Terminal 12 die
Situation, dass ein Datenaustausch zu beginnen berechtigt ist und
tauscht verschiedene Daten mit der IC-Karte 3 unter der Steuerung
des Terminals 12 aus.
-
Wenn
das Terminal 12 eine Meldung von der Lese-/Schreibeinrichtung 11 erhält, die
angibt, dass ein Datenaustausch zwischen dem Terminal 12 und der
IC-Karte 3 erlaubt ist, überträgt es einen Zugriffsbefehl über die
Lese-/Schreibeinrichtung 11 zu der IC-Karte 3, wodurch ein Zugriff
auf den Speicherplatz, der in der IC-Karte 3 der jeweiligen
Geschäftsorganisation 4A, 4B,
etc. zugewiesen ist, und eine Aktualisierung des Speicherplatzes
entsprechend einem Zugriffsergebnis erfolgen. Wenn beispielsweise die
Geschäftsorganisation
beispielsweise ein Vorausbezahlungs-Kartensystem oder einen elektronischen
Bargelddienst unter Heranziehung der IC-Karte 3 bereitstellt, führt das
Terminal 12 eine solche Verarbeitung aus, dass ein in der
IC-Karte 3 aufgezeichneter Geldbetrag ermittelt wird, dass
ein von dem Benutzer zu bezahlender Geldbetrag von dem ermittelten
Restgeldbetrag subtrahiert wird und dass ein aus der Subtraktion
resultierender Geldbetrag in der IC-Karte 3 aufgezeichnet
wird. Wenn die Geschäftsorganisation
Punkte entsprechend einem vom Benutzer bezahlten Geldbetrag ausgibt
und verschiedene Dienste in Abhängigkeit
von den gesammelten Punkten bereitstellt, dann führt das Terminal 12 außerdem eine
solche Verarbeitung durch, dass die in der IC-Karte 3 aufgezeichneten
Punkte in Abhängigkeit von
dem durch den Benutzer bezahlten Geldbetrag aktualisiert werden.
-
Bei
der oben beschriebenen Zugriffsverarbeitung führt das Terminal 12 auf
eine Anforderung von der Lese-/Schreibeinrichtung 11 hin
eine Verarbeitung einer weiteren gegenseitigen Authentifizierung
zwischen sich selbst und der IC-Karte 3 unter Heranziehung
des von dem Herausgeber 5 herausgegebenen Zugriffsschlüssels durch.
Durch die Verarbeitung in der IC-Karte für die weitere gegenseitige Authentifizierung wird
ferner dem Terminal 12 ermöglicht, lediglich auf den Speicherplatz
zuzugreifen, der für
die relevante Geschäftsorganisation
festgelegt ist.
-
Genauer
gesagt empfängt
das Terminal 12, wie in 9 veranschaulicht,
nach Abgabe eines Zugriffsbefehls an die IC-Karte 3 durch
die Lese-/Schreibeinrichtung 11 eine Zufallszahl R von
der IC-Karte 3. Sodann verschlüsselt das Terminal 12 die empfangene
Zufallszahl R mit dem Zugriffsschlüssel in einer Verschlüsselungseinheit 12A und überträgt ein verschlüsseltes
Ergebnis durch die Lese-/Schreibeinrichtung 11 zu der IC-Karte 3.
Wenn die IC-Karte 3 das verschlüsselte Ergebnis analysiert
und mit einer erfolgreichen Antwort antwortet, ist dem Terminal 12 ermöglicht,
die Verarbeitung entsprechend dem zuvor abgegebenen Zugriffsbefehl
fortzusetzen, da die erfolgreiche Antwort bedeutet, dass, wie später beschrieben,
der Speicherplatz für
die relevante Geschäftsorganisation
in der IC-Karte 3 gesichert ist.
-
Falls
andererseits eine Fehlerantwort, die eine erfolglose Authentifizierung
angibt, von der IC-Karte 3 als Ergebnis der oben beschriebenen
gegenseitigen Authentifizierung erhalten wird, bedeutet dies, dass
der Speicherplatz für
die relevante Geschäftsorganisation
in der IC-Karte 3 noch nicht gesichert ist.
-
In
einem solchen Fall überträgt das Terminal 12 die
Dateiregistrierungsinformation, die von dem Herausgeber 5 erhalten
worden ist, durch die Lese-/Schreibeinrichtung 11 zu der
IC-Karte 3, um den Speicherplatz für die relevante Geschäftsorganisation
in der IC-Karte 3 zu sichern. Nach Sichern des Speicherplatzes
in der IC-Karte 3 führt
das Terminal 12 die oben in Verbindung mit 9 beschriebene gegenseitige
Authentifizierung erneut durch und nimmt dann einen Zugriff auf
den gesicherten Speicherplatz vor.
-
Wenn
das Terminal 12 eine Meldung bezüglich der Herausgeberschlüssel-Änderungsinformation und der
neuen Zugriffsinformation von dem Herausgeber 5 empfängt und
angewiesen ist, die IC-Karte 3 auf der Grundlage jener
Informationen zu aktualisieren, dann meldet das Terminal 12 die
Herausgeberschlüssel-Änderungsinformation, etc. an
die IC-Karte 3 über
die Lese-/Schreibeinrichtung 11 vor oder nach einer Reihe
der oben beschriebenen Verarbeitungen. Während beispielsweise einer
bestimmten Übergangszeitspanne
bestimmt das Terminal 12 sowohl von dem Ergebnis der gegenseitigen
Authentifizierung unter Heranziehung eines neuen Zugriffsschlüssels als
auch von dem Ergebnis der gegenseitigen Authentifizierung unter
Heranziehung eines alten Zugriffsschlüssels, ob der in der IC-Karte 3 aufgezeichnete
Herausgeberschlüssel
bereits in den neuen Herausgeberschlüssel aktualisiert ist. Falls
er noch nicht aktualisiert ist, meldet das Terminal 12 die Herausgeberschlüssel-Änderungsinformation
an die IC-Karte 3.
-
Wie
in 1 veranschaulicht, ist die IC-Karte 3 eine
Speicherkarte, die so aufgebaut ist, dass dann, wenn die betreffende
Karte in die Nähe
der Lese-/Schreibeinrichtung 11 gebracht ist, auf sie durch die
Lese-/Schreibeinrichtung 11 in einer berührungslosen
Weise zugegriffen werden kann. Die IC-Karte 3 kann vom
Benutzer für
die Verwendung an verschiedenen Plätzen mitgeführt werden.
-
Genauer
gesagt umfasst die IC-Karte 3 eine Signalverarbeitungsschaltung
für den
Empfang von Daten, die von der Lese-/Schreibeinrichtung 11 übertragen
werden, und zur Übertragung
von gewünschten
Daten zu der Lese-/Schreibeinrichtung 11, eine Datenverarbeitungsschaltung
zur Verarbeitung der von der Signalverarbeitungsschaltung empfangenen Daten
und zur Erzeugung von Daten, die über die Signalverarbeitungsschaltung
zu der Lese-/Schreibeinrichtung 11 zu übertragen sind, sowie einen
Speicher zum Festhalten von Daten, die für die durch die Datenverarbeitungsschaltung
ausgeführte
Verarbeitung notwendig sind.
-
In
der IC-Karte 3 bilden die Signalverarbeitungsschaltung
und die Datenverarbeitungsschaltung eine Kommunikationsbefehl-Analysiereinheit 13.
Ferner bildet die Datenverarbeitungsschaltung eine Zugriffsschlüssel-Synthetisiereinheit 14,
eine Dateiregistrierungseinheit 15 und eine Herausgeberschlüssel-Änderungsinformationseinheit 16.
Die IC-Karte 3 umfasst ferner einen Speicher zum Festhalten
eines Herausgeberschlüssels 17.
Der Speicher stellt einen Dateispeicher 18 dar.
-
Der
Dateispeicher 18 enthält
Speicherplätze, die
den Geschäftsorganisationen 4A, 4B,
etc. zugewiesen sind, sowie Speicherplätze zur Aufzeichnung von Dateischlüsseln 20A-20C. In
dem Dateispeicher 18 werden bzw. sind Leer- bzw. Dummydaten
auf der Grundlage des Dateinamens und der Dateigröße aufgezeichnet,
die als Dateiregistrierungsinformation zugeordnet sind, wodurch
ein Speicherplatz der relevanten Geschäftsorganisation entsprechend
der Dateiregistrierungsinformation zugeordnet ist. Außerdem kann
jede Geschäftsorganisation
die Datei aktualisieren, welche die Dummydaten umfasst, so dass der
zugehörige
Speicherplatz von der Geschäftsorganisation
frei nutzbar ist. Ferner sind in dem Dateispeicher 18 die
Dateischlüssel 20A, 20B und 20C in Zuordnung
zu den Speicherplätzen
gespeichert, die, wie oben beschrieben, zugeordnet worden sind.
-
Wenn
die IC-Karte 3 in die Nähe
der Lese-/Schreibeinrichtung 11 gebracht ist und ein Hochfrequenzsignal
in der Antenne induziert wird, verarbeitet die Kommunikationsbefehl-Analysiereinheit 13 das
Hochfrequenzsignal und empfängt
Daten, die von der Lese-/Schreibeinrichtung 11 übertragen
sind. Da die Lese-/Schreibeinrichtung 11 einen Ruf an die IC-Karte 3 wiederholt
sendet, antwortet die Kommunikationsbefehl-Analysiereinheit 13 auf
den Empfang des Rufes hin mit einer Antwort an die Lese-/Schreibeinrichtung 11.
Anschließend
führt die
Kommunikationsbefehl-Analysiereinheit 13 die Verarbeitung
der gegenseitigen Authentifizierung zwischen der IC-Karte 3 und
der Lese-/Schreibeinrichtung 11 aus. Falls die gegenseitige
Authentifizierung erfolgreich abgeschlossen wird, werden gewünschte Daten
zwischen der Kommunikationsbefehl-Analysiereinheit 13 und
der Lese-/Schreibeinrichtung 11 ausgetauscht.
-
Um
einen derartigen Datenaustausch vorzunehmen, bezieht sich die Kommunikationsbefehl-Analysiereinheit 13 auf
den Empfang einer Zugriffsanforderung von der Lese-/Schreibeinrichtung 11 hin
auf den Dateinamen, der an die Zugriffsanforderung angefügt ist,
und führt
dann die Verarbeitung der gegenseitigen Authentifizierung zwischen
der IC-Karte 3 und der Lese-/Schreibeinrichtung 11 unter Heranziehung
des Dateischlüssels 20A, 20B oder 20C entsprechend
der Datei 19A, 19B oder 19C aus.
-
Genauer
gesagt erzeugt die Kommunikationsbefehl-Analysiereinheit 13,
wie in 9 veranschaulicht, auf den Empfang des Zugriffsbefehls
von der Lese-/Schreibeinrichtung 11 hin
eine Zufallszahl R und überträgt diese
zu der Lese-/Schreibeinrichtung 11,
und sodann empfängt
sie Daten, die von der Lese-/Schreibeinrichtung 11 darauf
reagierend übertragen
werden. Danach weist die Kommunikationsbefehl-Analysiereinheit 13 die
Zugriffsschlüssel-Synthetisiereinheit 14 an,
einen Zugriffsschlüssel
aus dem entsprechenden Dateischlüssel
für die
Datei zu erzeugen, die durch den Zugriffsbefehl angefordert ist,
und sie erhält
den durch die Zugriffsschlüssel-Synthetisiereinheit 14 erzeugten
Zugriffsschlüssel
auf die betreffende Anweisung hin.
-
Zu
diesem Zweck erzeugt die Zugriffsschlüssel-Synthetisiereinheit 14 auf
den Befehl von der Kommunikationsbefehl-Analysiereinheit 13 hin
den Zugriffsschlüssel
in Übereinstimmung
mit derselben Weise, wie sie durch die Zugriffsschlüssel-Synthetisiereinheit 8 beim
Herausgeber 5 (6) ausgeführt wird bzw. worden ist, und
gibt den betreffenden Zugriffsschlüssel ab. Die Kommunikationsbefehl-Analysiereinheit 13 entschlüsselt die
verschlüsselten
Daten (Zufallszahl), die von der Lese-/Schreibeinrichtung 11 abgegeben
werden, in einer Entschlüsselungseinheit 13A unter
Heranziehung des durch die Zugriffsschlüssel-Synthetisiereinheit 14 erzeugten Zugriffsschlüssels und
bestimmt sodann in einer Bestimmungseinheit 13B, ob die
entschlüsselte
Zufallszahl identisch ist mit der ursprünglichen Zufallszahl R. Auf
diese Weise führt
die Kommunikationsbefehl-Analysiereinheit 13 die Verarbeitung
der gegenseitigen Authentifizierung beispielsweise für die Geschäftsorganisation 4A aus.
Lediglich dann, wenn die Geschäftsorganisation 4A autorisiert
ist für
einen Zugriff auf die durch den Zugriffsbefehl spezifizierte Datei,
führt die
Kommunikationsbefehl-Analysiereinheit 13 die
nachfolgende Verarbeitung aus, die durch den Zugriffsbefehl angefordert
ist. Wenn beispielsweise der Zugriffsbefehl das Laden des Inhalts
der entsprechenden Datei fordert, wird der Dateiinhalt zu der Lese-/Schreibeinrichtung 11 übertragen.
Wenn der Zugriffsbefehl eine Aktualisierung des Inhalts der entsprechenden
Datei fordert, wird außerdem
der Dateiinhalt entsprechend den Daten aktualisiert, die anschließend von
der Lese-/Schreibeinrichtung 11 übertragen werden.
-
Wenn
andererseits der Speicherplatz beispielsweise noch nicht der Geschäftsorganisation 4A zugewiesen
ist, das heißt
dann, wenn die durch den Zugriffsbefehl spezifizierte Datei noch
nicht in dem Dateispeicher 18 registriert ist, meldet die
Kommunikationsbefehl-Analysiereinheit 13 eine Fehlerantwort an
die Lese-/Schreibeinrichtung 11. Wenn die Geschäftsorganisation,
die den Zugriffsbefehl übertragen
hat, die Geschäftsorganisation 4A ist,
die sich unter Vertrag mit dem Herausgeber 5 für die Nutzung der
IC-Karte 3 befindet, dann überträgt die Lese- /Schreibeinrichtung 11 die
Dateiregistrierungsinformation, und die Kommunikationsbefehl-Analysiereinheit 13 empfängt die übertragene
Dateiregistrierungsinformation. Zusätzlich empfängt die Kommunikationsbefehl-Analysiereinheit 13 im
Falle der vorherigen Zuweisung eines Speicherplatzes zu einer bestimmten
Geschäftsorganisation
dann, wenn die IC-Karte 3 beispielsweise beim bzw. vom
Herausgeber 3 ausgegeben wird, anstatt zum Zeitpunkt der Herstellung
eines Zugriffs in entsprechender Weise die Dateiregistrierungsinformation.
-
Auf
die so erfolgende Aufnahme der Dateiregistrierungsinformation hin,
wie dies in 10 veranschaulicht ist, verschlüsselt die
Kommunikationsbefehl-Analysiereinheit 13 die Informationen
sowohl des Dateinamens als auch der Dateigröße, die der Dateiregistrierungsinformation
zugewiesen sind, und zwar mit dem Herausgeberschlüssel 17 in
einer ersten Verschlüsselungseinheit 13C und
durch sodann erfolgende Berechnung der exklusiven logischen Summe
eines verschlüsselten
Ergebnisses und der Datei-Schlüsselinformation,
die ebenfalls als Dateiregistrierungsinformation zugewiesen wird,
und zwar in einer eine exklusive logische Summe berechnenden Berechnungseinheit 13D in
einer nachfolgenden Stufe. Ferner erzeugt die Kommunikationsbefehl-Analysiereinheit 13 in
einer zweiten Verschlüsselungseinheit 13E einen
Prüfcode
durch Verschlüsseln
eines berechneten Ergebnisses der exklusiven logischen Summe mit
dem Herausgeberschlüssel.
-
Die
Kommunikationsbefehl-Analysiereinheit 13 vergleicht den
so erzeugten Prüfcode
mit dem Prüfcode,
der ebenfalls als Dateiregistrierungsinformation zugewiesen ist,
und zwar in einem Komparator 13F, und sie weist in Abhängigkeit
von einem Vergleichsergebnis einen Speicherplatz für die relevante Geschäftsorganisation
in dem Dateispeicher 18 zu.
-
Zur
detaillierteren Erläuterung
geht, wie in 11 veranschaulicht, die Kommunikationsbefehl-Analysiereinheit 13 vom
Schritt SP1 zum Schritt SP2 weiter, um die Dateiregistrierungsinformation
zu empfangen, und sodann bestätigt
sie den Prüfcode beim
nächsten
Schritt SP3, wie dies oben in Verbindung mit 10 beschrieben
worden ist. Falls ein Bestätigungsergebnis
beim Schritt SP3 nicht erfolgreich vorliegt, wird zum Schritt SP4
weitergegangen, um eine Fehlerantwort zu der Lese-/Schreibeinrichtung 11 zu übertragen,
und dann wird zum Schritt SP5 weitergegangen, um dadurch diese Verarbeitungsfolge
zu beenden.
-
Falls
der Prüfcode
zu dem zugeordneten einen Code passend bestätigt wird, geht die Kommunikationsbefehl-Analysiereinheit 13 vom
Schritt SP3 weiter zum Schritt SP6 zur Aufzeichnung einer Datei in
dem Dateispeicher 18 entsprechend der empfangenen Dateiregistrierungsinformation.
Bei diesem Schritt aktiviert die Kommunikationsbefehl-Analysiereinheit 13 die
Datei-Registrierungseinheit 15, um Dummydaten auf der Grundlage
des Dateinamens und der Dateigröße, die
als Dateiregistrierungsinformation zugewiesen sind, in dem Dateispeicher 18 aufzuzeichnen,
wodurch ein Speicherplatz gesichert ist. Ferner zeichnet die Kommunikationsbefehl-Analysiereinheit 13 den
Dateischlüssel,
der ebenfalls als Dateiregistrierungsinformation zugewiesen ist,
in dem Dateispeicher 18 in Zuordnung zu der Datei auf. Bei
dieser Gelegenheit führt
die Datei-Registrierungseinheit 15 die Verarbeitung zur
Aufzeichnung der Datei in dem Dateispeicher 18 entsprechend
der Dateiregistrierungsinformation aus.
-
Somit
wird in der IC-Karte 3 die Datei, auf die lediglich von
einer bestimmten Geschäftsorganisation
zugegriffen werden kann, in dem Speicher zusammen mit der Dateiregistrierungsinformation
aufgezeichnet, wie dies in 12 veranschaulicht
ist.
-
Außerdem leitet
die Kommunikationsbefehl-Analysiereinheit 13, wie in 13 veranschaulicht,
in dem Fall, dass die Herausgeberschlüssel-Änderungsinformation von der
Lese-/Schreibeinrichtung 11 eingegeben wird, die Herausgeberschlüssel-Änderungsinformation an die
Herausgeberschlüssel-Änderungseinheit 16 weiter,
und sodann meldet sie ein Verarbeitungsergebnis von der Herausgeberschlüssel-Änderungseinheit 16 an
die Lese-/Schreibeinrichtung 11.
-
Genauer
gesagt nimmt die Herausgeberschlüssel-Änderungseinheit,
wie in 14 veranschaulicht, eine Aufteilung
der Herausgeberschlüssel-Änderungsinformation
in erste und zweite Schlüsseländerungsinformationen
K1, K2 vor und stellt dann wieder einen neuen Herausgeberschlüssel in
einer Entschlüsselungseinheit 16A durch
Verarbeitung der ersten Schlüsseländerungsinformation K1
mit dem Herausgeberschlüssel
(das heißt
mit dem alten Herausgeberschlüssel)
her, der in der Einheit 16 enthalten ist. Ferner verarbeitet
die Herausgeberschlüssel-Änderungseinheit 16 die
zweite Schlüsseländerungsinformation
K2 mit dem alten Herausgeberschlüssel
in einer Entschlüsselungseinheit 16B und
verarbeitet dann ein Ergebnis von der Entschlüsselungseinheit 16B mit
dem neuen Herausgeberschlüssel
in einer nachfolgenden Entschlüsselungseinheit 16C,
um dadurch eine Konstante wiederzugeben, die bei der Bildung der
Herausgeberschlüssel-Änderungsinformation
(siehe 8) verwendet worden ist. In einer nächsten Bestimmungseinheit 16D bestimmt
die Herausgeberschlüssel-Änderungseinheit 16,
ob die so wiedergegebene Konstante dieselbe ist wie die eine richtige
Konstante, die zur Zeit der Bildung der Herausgeberschlüssel-Änderungsinformation
festgelegt worden ist.
-
Falls
die Prüfcodes
als nicht zueinander passend bestimmt werden, meldet die Herausgeberschlüssel-Änderungseinheit 16 ein
derartiges Bestimmungsergebnis an die Kommunikationsbefehl-Analysiereinheit 13,
woraufhin die IC-Karte 3 eine die erfolglose Bestätigung angebende
Antwort an die Lese-/Schreibeinrichtung 11 überträgt. Wenn demgegenüber die
Prüfcodes
als zueinander passend bestimmt sind, meldet die Herausgeberschlüssel-Änderungseinheit 16 ein
derartiges Bestimmungsergebnis an die Kommunikationsbefehl-Analysiereinheit 13,
woraufhin die IC-Karte 3 eine Erfolgsantwort an die Lese-/Schreibeinrichtung 11 überträgt.
-
Falls
die Prüfcodes
als zueinander passend bestimmt sind, nimmt die Herausgeberschlüssel-Änderungseinheit 16 ferner
eine Aktualisierung des in dem Speicher enthaltenen Herausgeberschlüssels 17 durch
den neuen Herausgeberschlüssel
vor, der durch Verarbeitung der Herausgeberschlüssel-Änderungsinformation ermittelt
worden ist. Infolgedessen erlaubt die IC-Karte 3, wie dies
in 15 veranschaulicht ist, nach erfolgter Ausgabe
der Herausgeberschlüssel-Änderungsinformation
und nach erfolgter Änderung
des Herausgeberschlüssels
einen Zugriff auf den entsprechenden Speicherplatz mit dem neuen
Zugriffsschlüssel.
-
(1-2) Arbeitsweise der
ersten Ausführungsform
-
In
dem IC-Kartensystem 1 (1 bis 3) mit
dem oben beschriebenen Aufbau dient der Herausgeber 5 als
Systemmanagementsektor, der die IC-Karten 3 ausgibt, in
denen jeweils der für
den Managementsektor spezifische Herausgeberschlüssel aufgezeichnet ist.
-
Außerdem weist
der Herausgeberschlüssel 5 jeder
der Geschäftsorganisationen 4A, 4B,
etc., die den Wunsch haben, ihre Dienste unter Heranziehung der
IC-Karten 3 zur Verfügung
zu stellen, einen Zugriffsschlüssel
zu, der durch Verschlüsseln
einer Dateischlüsselinformation,
die für
die jeweilige Geschäftsorganisation 4A, 4B,
etc. spezifisch ist, mit dem Herausgeberschlüssel (6) gebildet
worden ist. Damit der Speicherplatz, der der jeweiligen Geschäftsorganisation 4A, 4B,
etc. zugewiesen ist, durch eine Datei spezifiziert werden kann,
werden ferner die Informationen sowohl des Dateinamens als auch
der Dateigröße bezüglich der
betreffenden Datei durch den Herausgeberschlüssel verschlüsselt, um
einen Prüfcode
(5) zu bilden. Die den Prüfcode enthaltende Dateiregistrierungsinformation,
die Informationen sowohl des Dateinamens als auch der Dateigröße sowie
die Dateischlüsselinformation
können
sodann der jeweiligen Geschäftsorganisation 4A, 4B,
etc. bereitgestellt werden.
-
Wenn
in dem IC-Kartensystem 1 irgendeine Dateiregistrierungsinformation
zu der IC-Karte 3 übertragen
wird, wird in der IC-Karte 3 ein Prüfcode auf der Grundlage des
Herausgeberschlüssels
in derselben Weise wie bei der Bildung der Dateiregistrierungsinformation
erzeugt, und es wird bestimmt, ob der erzeugte Prüfcode zu
dem Prüfcode
passt, welcher der Dateiregistrierungsinformation zugewiesen worden
ist (10 bis 12). Durch
jene Schritte wird bestimmt, ob die übertragene Dateiregistrierungsinformation
vom Herausgeber 5 richtig ausgegeben worden ist. Falls
bestimmt wird, dass die übertragene
Dateiregistrierungsinformation vom Herausgeber 5 richtig
ausgegeben worden ist, werden ferner Dummydaten in der IC-Karte 3 auf
der Grundlage des Dateinamens und der Dateigröße aufgezeichnet, die als Dateiregistrierungsinformation
zugeordnet sind, und ein Speicherplatz ist in der IC-Karte 3 für die Geschäftsorganisation
entsprechend der Dateiregistrierungsinformation gesichert, so dass
auf den Speicherplatz mit dem genauen Namen zugegriffen werden kann.
Gleichzeitig wird die Dateischlüsselinformation
in Zuordnung zu dem Dateinamen aufgezeichnet, so dass ein Zugriff
auf den Speicherplatz erlaubt ist.
-
Mit
anderen Worten ausgedrückt
heißt
dies, dass es in dem IC-Kartensystem 1 mit Rücksicht
darauf, dass unter Heranziehung des Prüfcodes bestimmt wird, ob die übertragene
Dateiregistrierungsinformation vom Herausgeber 5 richtig
ausgegeben worden ist, möglich
ist, eine betrügerische
Aktion zu verhindern, beispielsweise dass eine bestimmte Geschäftsorganisation
eine Dateiregistrierungsinformation erzeugt und das IC-Kartensystem
ohne Autorisierung benutzt oder dass irgendeine Person den Inhalt
der IC-Karte 3 verfälscht.
-
Nachdem
der Speicherplatz für
die Geschäftsorganisation
in der IC-Karte 3 gesichert worden ist, wie dies oben beschrieben
worden ist, überträgt die IC-Karte 3 die
Zufallszahl R (9), wenn ein Zugriffsbefehl
an die IC-Karte 3 von der Seite der Geschäftsorganisation
her eingegeben wird. Die Geschäftsorganisationsseite
verschlüsselt
die Zufallszahl R mit dem Zugriffsschlüssel und überträgt verschlüsselte Daten zu der IC-Karte 3.
Auf der Seite der IC-Karte 3 werden die empfangenen Daten
mit der Zugriffsschlüsselinformation,
die dem Dateinamen entspricht, der an den Zugriffsbefehl angehängt ist, entschlüsselt, und
sodann wird bestimmt, ob die wiederhergestellte Zufallszahl identisch
ist mit der übertragenen
Zufallszahl R. Es wird dadurch bestimmt, ob die relevante Geschäftsorganisation
eine richtige Organisation ist, die für den Zugriff auf die Datei
autorisiert worden ist. Wenn die relevante Geschäftsorganisation als richtige
Geschäftsorganisation
bestimmt ist, wird der Inhalt der Datei an die Geschäftsorganisation übertragen
oder entsprechend dem Zugriffsbefehl aktualisiert.
-
Wie
aus der obigen Beschreibung ersichtlich ist, können die Geschäftsorganisationen,
die die IC-Karte 3 gemeinsam nutzen, jeweils die Verarbeitung
der gegenseitigen Authentifizierung einfach dadurch abschließen, dass
ein Zugriff auf die IC-Karte mit dem Dateinamen erfolgt, der ihr
selbst zugewiesen und in der IC-Karte 3 aufgezeichnet ist,
dass die von der IC-Karte übertragenen
Daten mit der Dateischlüsselinformation
verschlüsselt
werden und dass die verschlüsselten
Daten zur IC-Karte 3 entsprechend einer Anforderung von
der IC-Karte 3 zurückgeleitet
werden. Somit kann die Geschäftsorganisation
die IC-Karte 3 so handhaben, als wenn es eine Speicherkarte
ist, die für
die betreffende Geschäftsorganisation
reserviert ist. Da die Zugriffsverarbeitung lediglich nach Authentifizierung
der Geschäftsorganisation
erlaubt ist, welche die Dateischlüsselinformation verwendet,
ist es außerdem
möglich
zu verhindern, dass irgendeine andere Geschäftsorganisation heimlich auf
eine Datei schaut, die in der IC-Karte 3 für die relevante
Geschäftsorganisation
aufgezeichnet ist, und den Inhalt der Datei verfälscht. Demgemäß ermöglicht das IC-Kartensystem 1,
die IC-Karte 3 für
eine Vielzahl von Geschäftsorganisationen
gemeinsam zu benutzen.
-
Da
die Zufallszahl R nach Verschlüsselung mit
der Zugriffs-Schlüsselinformation übertragen
und empfangen wird, ist es außerdem
möglich
zu verhindern, dass die Zugriffs-Schlüsselinformation selbst auf
der Seite der Geschäftsorganisation
zur Außenseite
hin abfließt.
Dieses Merkmal trägt
zur weiteren Verbesserung der Sicherheit des IC-Kartensystems bei.
-
Überdies
wird die Dateischlüsselinformation, die
in der IC-Karte 3 entsprechend der jeweiligen Datei aufgezeichnet
ist, verarbeitet, während
sie in der IC-Karte 3 enthalten ist, und die Zugriffsschlüsselinformation
wird auf der Grundlage der Dateischlüsselinformation erzeugt und
dann zu der Geschäftsorganisation
weitergeleitet. Daher kann die Schlüsselinformation selbst sogar
gegenüber
der Geschäftsorganisation
vertraulich gehalten werden, und die Systemsicherheit kann unter
diesem Gesichtspunkt weiter gesteigert bzw. verbessert werden.
-
Der
Herausgeberschlüssel,
der eine Grundvoraussetzung für
die Ausführung
der oben beschriebenen Verarbeitung darstellt, kann dem Herausgeber 5 bekannt
sein und allein von diesem verwaltet werden, der als Management-
bzw. Verwaltungssektor dient, und die Zugriffs-Schlüsselinformation
wird in einer solchen Weise erzeugt und an die Geschäftsorganisation
abgegeben, dass sogar die Geschäftsorganisation
eine Schwierigkeit hat, den Herausgeberschlüssel zu kennen. Demgemäß ist es
möglich,
eine betrügerische
Aktion zu verhindern, beispielsweise dass eine bestimmte Geschäftsorganisation
einen Speicherplatz in der IC-Karte 3 in einer größeren Größe, als
durch Vertrag festgelegt ist, ohne Autorisierung benutzt oder dass
irgendeine Person die Inhalte der IC-Karte 3 verfälscht.
-
Zur
Steigerung der Sicherheit des Systems in einem Zustand der Anwendung
der IC-Karten 3 in einer
Routineweise ist es außerdem
erforderlich, dass der Herausgeberschlüssel periodisch geändert wird.
Ferner ist es wahrscheinlich, dass einige Geschäftsorganisationen nicht den
Wunsch besitzen, den Vertrag zu erneuern. In diesem Fall muss das System
derart modifiziert werden, dass die relevante Geschäftsorganisation
die IC-Karten 3 nicht länger nutzen
kann.
-
Um
mit derartigen Situationen fertig zu werden, wird in dem IC-Kartensystem 1 die
Herausgeberschlüssel-Änderungsinformation
beim Herausgeber 5 periodisch erzeugt, indem ein neuer
Herausgeberschlüssel
und eine bestimmte Konstante mit dem alten Herausgeberschlüssel (8)
verschlüsselt werden
und indem die erzeugte Herausgeberschlüssel-Änderungsinformation der jeweiligen
Geschäftsorganisation
(7) bereitgestellt wird. Darüber hinaus wird die der Herausgeberschlüssel-Änderungsinformation entsprechende
Dateischlüsselinformation ebenfalls
der jeweiligen Geschäftsorganisation
bereitgestellt. Sodann wird die Herausgeberschlüssel-Änderungsinformation von der
Geschäftsorganisation
(13) zu der IC-Karte 3 übertragen.
In der IC-Karte 3 wird die Herausgeberschlüssel-Änderungsinformation in der
verschlüsselten
Form mit dem alten Herausgeberschlüssel entschlüsselt, um den
neuen Herausgeberschlüssel
und die bestimmte Konstante wiederherzustellen. Aus der entschlüsselten
Konstanten wird bestimmt, ob die Herausgeberschlüssel-Änderungsinformation vom Herausgeber 5 (14)
richtig ausgegeben worden ist. Wenn bestimmt wird, dass die Herausgeberschlüssel-Änderungsinformation
vom Herausgeber 5 richtig ausgegeben worden ist, wird der
alte Herausgeberschlüssel,
der soweit benutzt worden ist, in den neuen Herausgeberschlüssel aktualisiert.
-
In
dem IC-Kartensystem 1, in welchem der Herausgeberschlüssel aktualisiert
worden ist, ist sogar in dem Fall, dass die Geschäftsorganisation,
die autorisiert worden ist für
einen Zugriff auf die IC-Karte 3 vor der Aktualisierung,
lediglich imstande, auf die IC-Karte 3 unter
Verwendung der dem neuen Herausgeberschlüssel entsprechenden Dateischlüsselinformation
zuzugreifen.
-
Wenn
der Herausgeberschlüssel
in dem IC-Kartensystem 1, wie oben beschrieben, aktualisiert
ist, werden der neue Herausgeberschlüssel und die bestimmte Konstante
mit dem alten Herausgeberschlüssel
verschlüsselt,
um die Herausgeberschlüssel-Änderungsinformation K1 bzw.
K2 zu erzeugen. Auf der Grundlage der von der Herausgeberschlüssel-Änderungsinformation
K1, K2 abgeleiteten bestimmten Konstanten wird bestimmt, ob die
Herausgeberschlüssel-Änderungsinformation
vom Herausgeber 5 richtig herausgeben worden ist. Somit kann
eine betrügerische Veränderung
des Herausgeberschlüssels
verhindert werden, und die Zuverlässigkeit des IC-Kartensystems 1 kann
gewährleistet werden.
-
(1-3) Vorteile der ersten
Ausführungsform
-
Bei
dem oben beschriebenen Aufbau wird der Zugriffsschlüssel, der
auf der Grundlage sowohl der Herausgeber-Schlüsselinformation als auch der Datei-Schlüsselinformation
erzeugt wird, der jeweiligen Geschäftsorganisation zugewiesen,
und die betreffende Geschäftsorganisation
ist imstande, auf die IC-Karte 3 nach einer Authentifizierung
unter Heranziehung des zugewiesenen Zugriffsschlüssels zuzugreifen. Eine Vielzahl
von Geschäftsorganisationen kann
daher eine IC-Karte gemeinsam nutzen.
-
Außerdem wird
die Information bezüglich des
Namens der Datei, die von der jeweiligen Geschäftsorganisation verwendet wird,
und die Information bezüglich
der Dateigröße zur Spezifizierung
der Größe eines
Speicherplatzes für
die Zuweisung zur jeweiligen Geschäftsorganisation mit dem Herausgeberschlüssel verschlüsselt, um
die Dateiregistrierungsinformation zu erzeugen, und der Speicherplatz wird
entsprechend der Dateiregistrierungsinformation zugewiesen. Daher
kann der Speicherplatz für
die jeweilige Geschäftsorganisation
in einer Größe bereitgestellt
werden, die von einer Forderung seitens der jeweiligen Geschäftsorganisation
abhängt.
Da ein Zugriff auf der Grundlage des Dateinamens erfolgt, kann die
jeweilige Geschäftsorganisation
ferner auf den ihr selbst zugewiesenen Speicherplatz durch eine
einfache Zugriffsverarbeitung zugreifen.
-
Darüber hinaus
wird der Prüfcode
durch Verschlüsselung
der Informationen sowohl bezüglich des
Dateinamens als auch bezüglich
der Dateigröße mit dem
Herausgeberschlüssel
erzeugt, und die Dateiregistrierungsinformation wird durch Hinzufügen der
Informationen sowohl bezüglich
des Dateinamens als auch bezüglich
der Dateigröße zu dem Prüfcode erzeugt.
Demgemäß ist es
möglich,
eine betrügerische
Aktion zu verhindern, dass beispielsweise eine bestimmte Geschäftsorganisation
den Speicherplatz in der IC-Karte ohne eine Autorisierung in einer
Größe verwendet,
die größer ist
als die unter Vertrag festgelegte Dateigröße, oder dass irgendeine Person
den Inhalt bzw. die Inhalte der IC-Karte 3 verfälscht.
-
Darüber hinaus
wird die Schlüsseländerungsinformation
durch Verschlüsseln
des neuen Herausgeberschlüssels
mit dem alten Herausgeberschlüssel
erzeugt, und der in der IC-Karte 3 enthaltene Herausgeberschlüssel wird
entsprechend der Herausgeberschlüssel-Änderungsinformation
aktualisiert. Es ist daher möglich,
die Systemsicherheit zu verbessern und einer Geschäftsorganisation,
die den Vertrag nicht zu erneuern wünscht, die weitere Benutzung
des IC-Kartensystems zu sperren.
-
(2) Zweite Ausführungsform
-
16 veranschaulicht
in einem Blockdiagramm den Aufbau einer Zugriffsschlüssel-Synthetisiereinheit
in einem IC-Kartensystem gemäß einer zweiten
Ausführungsform
der vorliegenden Erfindung im Vergleich zur 8. Das IC-Kartensystem gemäß dieser
zweiten Ausführungsform
weist denselben Aufbau auf wie jenes der ersten Ausführungsform,
allerdings mit der Ausnahme, dass der Aufbau sich auf eine Zugriffsschlüssel-Synthetisiereinheit 28 bezieht.
-
In
dem IC-Kartensystem gemäß dieser
Ausführungsform
erzeugt der Herausgeber zwei Zugriffsschlüssel A und B unter Heranziehung
der beiden Herausgeberschlüssel
A und B. Genauer gesagt erzeugt die Zugriffsschlüssel-Synthetisiereinheit 28 den
Zugriffsschlüssel
A durch Verschlüsseln
des Herausgeberschlüssels
A mit dem Herausgeberschlüssel
B in einer Verschlüsselungseinheit 28A,
und sodann durch eine Verschlüsselung
eines verschlüsselten
Ergebnisses von der Verschlüsselungseinheit 28A mit
einem Geschäftsorganisationsschlüssel in einer
nachfolgenden Verschlüsselungseinheit 28B. Der
Geschäftsorganisationsschlüssel stellt
die für
die jeweilige Geschäftsorganisation
spezifische Schlüsselinformation
dar.
-
Ferner
erzeugt die Zugriffsschlüssel-Synthetisiereinheit 28 den
Zugriffsschlüssel
B durch Verschlüsseln
des Zugriffsschlüssels
A mit einem Dateischlüssel
in einer nachfolgenden Verschlüsselungseinheit 28C.
Der Herausgeber leitet beide Zugriffsschlüssel A und B zu der Geschäftsorganisation weiter.
-
Entsprechend
der Benutzung der beiden Zugriffsschlüssel A und B, wie dies in 17 veranschaulicht
ist, erzeugt ein Terminal in der Geschäftsorganisation zunächst eine
Zugriffszahl R1 und verschlüsselt
die Zugriffszahl R mit dem Zugriffsschlüssel A in einer Verschlüsselungseinheit 31A.
Sodann überträgt das Terminal
in der Geschäftsorganisation zum
Zeitpunkt des Zugriffs auf eine IC-Karte ein verschlüsseltes
Ergebnis von der Verschlüsselungseinheit 31A zu
der IC-Karte zusammen beispielsweise mit einem Zugriffsbefehl.
-
Auf
der Seite der IC-Karte stellt die Kommunikationsbefehl-Analysiereinheit
die Zufallszahl R dadurch wieder her, dass das verschlüsselte Ergebnis, welches
von der Geschäftsorganisation übertragen worden
ist, in einer Entschlüsselungseinheit 32A mit demselben
Zugriffsschlüssel
A entschlüsselt
wird, der auf der Seite der Geschäftsorganisation verwendet worden
ist. Ferner erzeugt die Kommunikationsbefehl-Analysiereinheit den
zweiten Zugriffsschlüssel B
von dem Zugriffsschlüssel
A und dem Dateischlüssel
für eine
Datei, auf die zuzugreifen ist, und sie nimmt eine Verschlüsselung
eines verschlüsselten Ergebnisses
von der Entschlüsselungseinheit 32A mit
dem zweiten Zugriffsschlüssel
B in einer nachfolgenden Verschlüsselungseinheit 32B vor.
Ein verschlüsseltes
Ergebnis von der Verschlüsselungseinheit 32B wird
zu der Geschäftsorganisation übertragen.
-
Demgemäß wird auf
der Seite der Geschäftsorganisation
die so von der IC-Karte übertragene
Information mit dem zweiten Zugriffsschlüssel B in einer Entschlüsselungseinheit 31B entschlüsselt. Eine
Bestimmungseinheit 31C bestimmt sodann, ob die wiederhergestellte
Zufallszahl mit der ursprünglichen
Zufallszahl R1 identisch ist.
-
Ferner
wird auf der Seite der IC-Karte eine Zufallszahl R2 erzeugt und
mit dem zweiten Zugriffsschlüssel
B in einer Verschlüsselungseinheit 32D verschlüsselt. Ein
verschlüsseltes
Ergebnis wird zu der Geschäftsorganisation übertragen.
In entsprechender Weise wird auf der Seite der Geschäftsorganisation
die übertragene
Information mit dem zweiten Zugriffsschlüssel B in einer Entschlüsselungseinheit 31D entschlüsselt, um
die Zufallszahl R2 wiederherzustellen. Sodann wird die wiederhergestellte
Zufallszahl R2 mit dem ersten Zugriffsschlüssel A in einer nachfolgenden
Verschlüsselungseinheit 31E verschlüsselt, und
ein verschlüsseltes
Ergebnis wird zu der IC-Karte übertragen.
-
Auf
der Seite der IC-Karte wird die übertragene
Zufallszahl R2 in einer Entschlüsselungseinheit 32E unter
Heranziehung des ersten Zugriffsschlüssels A wiederhergestellt.
Eine nachfolgende Bestimmungseinheit 32F bestimmt dann,
ob das wiederhergestellte Ergebnis mit der ursprünglichen Zufallszahl R2 identisch
ist.
-
Wenn
bei der Bestimmung auf beiden Seiten der IC-Karte und des Terminals
in der Geschäftsorganisation
ein Übereinstimmungsergebnis
erzielt wird, ist die gegenseitige Authentifizierung abgeschlossen, und
die weitere Verarbeitung zur Vornahme eines Zugriffs auf den Speicherplatz
wird begonnen.
-
Da,
wie in 16 und 17 veranschaulicht,
eine Zufallszahl mit dem Zugriffsschlüssel verschlüsselt wird,
wenn sie jeweils übertragen
wird, wird somit vermieden, dass die für die Authentifizierung verwendete
Zufallszahl in der Form, wie sie ist, übertragen wird, und zwar im
Unterschied zu der oben beschriebenen ersten Ausführungsform.
Daher ist die Systemsicherheit entsprechend verbessert. Da eine
Zufallszahl auf jeder der beiden Seiten erzeugt und auf bzw. von
der anderen Seite bestätigt wird,
kann außerdem
die Systemsicherheit weiter verbessert werden.
-
(3) Weitere Ausführungsformen
-
Während die
obigen Ausführungsformen
in Verbindung mit dem Fall einer Verschlüsselung der Dateischlüsselinformation
mit dem Herausgeberschlüssel
zur Erzeugung des Zugriffsschlüssels
beschrieben worden sind, ist die vorliegende Erfindung auf diesen
Fall nicht beschränkt.
So kann der Zugriffsschlüssel
beispielsweise in mehreren Stufen unter Heranziehung einer Vielzahl
von Herausgeberschlüsseln
erzeugt werden. Somit ist es wesentlich, dass die Zugriffsschlüsselinformation
in einem bestimmten Management- bzw. Verwaltungssektor von der für die jeweilige
Geschäftsorganisation
spezifischen Dateischlüsselinformation
und der für
den Managementsektor spezifischen Herausgeberschlüsselinformation
erzeugt wird, während
sie vor dem Dritten bewahrt wird, und die Verarbeitung zur Authentifizierung
wird zwischen einem Terminal in der Geschäftsorganisation und der IC-Karte
auf der Grundlage der Zugriffsschlüsselinformation ausgeführt. Infolgedessen
können
entsprechende Vorteile erzielt werden wie jene bei der oben beschriebenen Ausführungsform.
-
Außerdem sind
die obigen Ausführungsformen
in Verbindung mit dem Fall der Ausführung der Verarbeitung der
Authentifizierung und der Zuweisung eines Speicherplatzes durch Übertragen
und Empfangen der Dateiregistrierungsinformation beschrieben worden,
die aus Informationen sowohl des Dateinamens als auch der Dateigröße sowie
eines Prüfcodes
besteht. Die vorliegende Erfindung ist indessen auf diesen Fall
nicht beschränkt.
So kann das System beispielsweise derart modifiziert werden, dass
die Verarbeitung der Authentifizierung für jede Geschäftsorganisation
ausgeführt
wird und dass sodann eine Registrierung eines Speicherplatzes empfangen
wird. Eine vorstellbare Weise zur Realisierung eines solchen Falles
besteht darin, die Verarbeitung der Authentifizierung durch Übertragen
und Empfangen einer bestimmten Information auszuführen, die
unter Heranziehung sowohl der für
die Geschäftsorganisation
spezifischen Schlüsselinformation
als auch des Herausgeberschlüssels
verschlüsselt
worden ist, und sodann die Information gesondert zu übertragen
und zu empfangen, die durch Verschlüsseln der Informationen sowohl
des Dateinamens als auch der Dateigröße beispielsweise sowohl mit
der für
die Geschäftsorganisation
spezifischen Schlüsselinformation
als auch mit dem Herausgeberschlüssel
erzeugt worden sind, um dadurch den Speicherplatz zu schützen.
-
Obwohl
die obigen Ausführungsformen
in Verbindung mit dem Fall der Verarbeitung der Dateiregistrierungsinformation,
der Zugriffsschlüsselinformation
und der Herausgeberschlüssel-Änderungsinformation
mit demselben Herausgeberschlüssel
beschrieben worden ist, ist die vorliegende Erfindung überdies
auf diesen Fall nicht beschränkt.
So können beispielsweise
jene Informationsposten unter Heranziehung einer für den Herausgeber
spezifischen individuellen Schlüsselinformation
separat verarbeitet werden.
-
Überdies
sind die obigen Ausführungsformen
in Verbindung mit dem Fall beschrieben worden, bei dem die vorliegende
Erfindung bei einem IC-Kartensystem angewandt ist, welches IC-Karten
vom kontakt- bzw. berührungslosen
Typ verwendet. Die vorliegende Erfindung ist indessen auf diesen
Fall nicht beschränkt,
sondern sie ist auch auf bzw. bei Systemen anwendbar, die verschiedene
tragbare elektronische Geräte
verwenden, wie bei einem IC-Kartensystem, welches IC-Karten vom Kontakttyp verwendet,
und bei einem System, welches andere Geräte, beispielsweise Mobiltelefone,
im Unterschied zu IC-Karten verwendet.
-
Gemäß der vorliegenden
Erfindung, wie sie oben beschrieben worden ist, werden ein Zugriffsschlüssel auf
der Grundlage einer Herausgeberschlüsselinformation, die durch
einen Managementsektor verwaltet wird, und eine für die jeweilige
Geschäftsorganisation
spezifischen Dateischlüsselinformation
erzeugt, und der erzeugte Zugriffsschlüssel wird der Geschäftsorganisation
zugewiesen. Auf ein tragbares elektronisches Gerät wird sodann unter Heranziehung
des Zugriffsschlüssels
zugegriffen. Daher kann eine IC-Karte für eine Vielzahl von Geschäftsorganisationen
gemeinsam benutzt werden.