-
Technisches
Gebiet
-
Die
vorliegende Erfindung betrifft eine tragbare Karte mit einer integrierten
Einrichtung wie etwa eine IC-Karte, die eine Funkkommunikation mit
einer Terminalvorrichtung durchführt,
sowie ein entsprechendes Verfahren.
-
Stand der
Technik
-
Behörden, Verkehrsunternehmen,
Finanzinstitute, Krankenhäuser
oder ähnliche
Einrichtungen sind an der Verwaltung von persönlichen Informationen unter
Verwendung von IC-Karten
interessiert. IC-Karten sind Karten, die eine integrierte Einrichtung
mit einem nichtflüchtigen
Speicher, einem Prozessor, einer Authentifizierungsschaltung oder ähnlichem
umfassen (auch als One-Chip-IC bezeichnet). Eine IC-Karte mit einem
One-Chip-IC zum Aufzeichnen von persönlichen Informationen kann
stets durch einen Eigentümer
mit sich getragen werden. Auf die auf der IC-Karte aufgezeichneten
persönlichen
Informationen kann dann bei Bedarf zugegriffen werden. Weiterhin
verhindert die in der IC-Karte enthaltene Authentifizierungsschaltung,
dass persönliche
Informationen unautorisiert gelesen werden. Im Vergleich zu Magnetkarten
schützen
IC-Karten die persönlichen
Informationen gut vor unerwünschten
Zugriffen. Derartige IC-Karten entsprechen den bestehenden und zukünftigen
ISO-Standards. IC-Karten des Entfernt-Typs sind in ISO14443 definiert.
IC-Karten des Nahe-Typs sind in ISO10536 definiert.
-
IC-Karten
des Entfernt-Typs erhalten elektrische Leistung von Terminalvorrichtungen über Funkwellen,
wobei dann integrierte Einrichtungen in den IC-Karten aktiviert
werden. IC-Karten des Entfernt-Typs sind für das Prüfen von Fahrgastzugängen oder
die Verhaltung des Ein- uns Austritts aus Gebäuden geeignet. Wenn zum Beispiel
ein Eigentümer einer
IC-Karte die IC-Karte über
eine Terminalvorrichtung an einer Fahrscheinsperre hält, um durch
die Sperre hindurch zu einem Zug zu gelangen, wird die integrierte
Einrichtung in der IC-Karte aktiviert und erhält Leistung über Funkwellen
von der Terminalvorrichtung. Wenn die IC-Karte eine Authentifizierungsschaltung
und eine Speicherschaltung enthält,
die Informationen zu der Verwendung der IC-Karte als Fahrgastausweis,
Informationen zu der Reisestrecke des Karteneigentümers und
Informationen zu einer Gültigkeitsdauer
des Fahrgastausweises enthält, dann
wirkt die Terminalvorrichtung an der Fahrscheinsperre mit der Authentifizierungsschaltung
und der Speicherschaltung zusammen, um die Gültigkeit der IC-Karte zu prüfen. Wenn
kein Problem mit dem Reisebereich und der Gültigkeitsdauer besteht, gestattet die
Terminalvorrichtung dem Karteneigentümer den Zugang zum Bahnsteig;
und wenn ein Problem besteht, verweigert die Terminalvorrichtung
dem Karteneigentümer
den Zugang zum Bahnsteig.
-
Wenn
Magnetkarten als Fahrgastausweise verwendet werden, müssen die
Karteneigentümer die
Karte herausnehmen und durch eine Fahrscheinsperre führen. Wenn
sich das oben genannte Fahrgastausweis-Prüfsystem durchsetzt, müssen die
Eigentümer
von IC-Karten dies
nicht mehr tun. Dadurch wird das Passieren von Fahrscheinspenen
unter Verwendung von Fahrgastausweisen beschleunigt, wodurch Schlangen
an Fahrscheinspenen verhindert werden, wie sie häufig an Bahnhöfen in Großstädten anzutreffen
sind.
-
Eine
IC-Karte des Entfernt-Typs wirkt mit einer Terminalvorrichtung zusammen,
um persönliche Informationen
an einer Fahrscheinsperre zu übertragen,
obwohl die IC-Karte und die Terminalvorrichtung durch einen gewissen
Abstand voneinander getrennt sind. Die IC-Karten des Entfernt-Typs
sind wie oben beschrieben sehr nützlich,
wobei die Spezifikationen für
IC-Karten zur Verwaltung von persönlichen Informationen zu einem
einzigen Entfernt-Typ vereint werden könnten. Herkömmliche IC-Karten sind jedoch
nicht für
die Koordination mit Terminalvorrichtungen zur Handhabung von vertraulichen
persönlichen
Informationen geeignet. Es besteht also ein Bedarf für eine etwas
anders aufgebaute IC-Karte, die für die Handhabung von geheimen
persönlichen
Informationen geeignet ist.
-
IC-Karten
des Entfernt-Typs sind aus den folgenden Gründen nicht für die Handhabung
von persönlichen
Informationen geeignet. Wenn eine böswillige dritte Partei eine
IC-Karte über
eine Terminalvorrichtung hält,
während
die Terminalvorrichtung persönliche
Informationen zu/von einer anderen IC-Karte sendet bzw. empfängt, kann
die dritte Partei die persönlichen
Informationen auf ihrer IC-Karte speichern.
-
Weiterhin
kann eine Kommunikationsvorrichtung, die sich in der Nähe der Terminalvorrichtung
befindet, die zwischen der Terminalvorrichtung und einer IC-Karte übertragenen
persönlichen
Informationen empfangen. Die Kommunikationsvorrichtung kann durch
eine böswillige
dritte Partei betrieben werden. Das heißt, es ist für die dritte
Partei möglich, persönliche Informationen
abzufangen oder die abgefangenen Informationen zu verändern und
dann an die Terminalvorrichtung zu senden. Auf diese Weise besteht
bei jedem Zusammenwirken zwischen einer IC-Karte des Entfernt-Typs
mit einer Terminalvorrichtung die Gefahr, dass persönliche Informationen
in fremde Hände
gelangen.
-
Angesichts
dieser Tatsache ist es nicht vorteilhaft, wichtige persönliche Informationen
auf einer IC-Karte des Entfernt-Typs für die Verwendung zu speichern.
-
Es
gibt ein Verfahren zum Speichern von wichtigen persönlichen
Informationen auf IC-Karten, bei dem die Nützlichkeit von IC-Karten des
Entfernt-Typs beibehalten wird. Dabei handelt es sich um eine IC-Karte
des Kombinationstyps, die durch eine Kombination der Spezifikationen
von IC-Karten des Entfernt-Typs mit denjenigen von IC-Karten des Kontakt-Typs gebildet wird.
Jede IC-Karte des Kontakttyps weist Kontaktflächen auf. Die integrierte Einrichtung
auf einer IC-Karte des Kontakt-Typs wird aktiviert, wenn die IC-Karte über die
Kontaktflächen
mit einer Terminalvorrichtung verbunden wird. Nachdem die IC-Karte
mit einer Terminalvorrichtung verbunden wurde, kann eine Kommunikationsvorrichtung,
die durch eine böswillige
dritte Partei in der Nähe
der Terminalvorrichtung positioniert wurde, die persönlichen Informationen
nicht abfangen. Außerdem
kann in diesem Fall die Terminalvorrichtung die Glaubwürdigkeit des
Karteneigentümers
prüfen,
indem sie einen Eingabecode oder ähnliches prüft. IC-Karten des Kontakttyps
sind also hinsichtlich der Sicherheit überlegen und sind deshalb für Zahlungen
oder ähnliches geeignet.
-
Die
Kontaktflächen
an einer IC-Karte können jedoch
verschmiert oder nass sein. Dadurch wird die Leitfähigkeit
der Kontaktflächen
reduziert. Deshalb muss der Eigentümer der IC-Karte des Kombinationstyps
die Karte sorgfältig
behandeln, aufbewahren oder mit sich tragen, um die Kontaktflächen vor
derartigen Problemen zu schützen.
Dies stellt eine konstante Belastung für den Karteneigentümer dar.
Außerdem
muss der Karteneigentümer
die IC-Karte sorgfältig
ein- und ausführen,
damit die Karte nicht beschädigt
wird. Dies kann den Karteneigentümer
jedoch nervös
machen, wenn er die IC-Karte handhabt. Wenn ein Karteneigentümer beim
Ein- und Ausführen
einer IC-Karte des Kombinationstyps an einem Kartenleser in einem
Finanzinstitut nervös
ist, kann das Leisten einer Transaktion lange dauern. Wenn dies
der Fall ist, kann an Tagen mit einer großen Kundenzahl eine lange Schlange
entstehen.
-
Wenn
eine IC-Karte des Kombinationstyps wiederholt in Kontakt mit Terminalvorrichtungen
gebracht wird, verschleißen
die Enden der Kontaktflächen,
sodass ein fehlerhafter Kontakt hergestellt wird. Wenn die Karten
und die Terminalvorrichtungen aufgrund derartiger fehlerhafter Kontakte
häufig
gewartet werden müssen,
werden sich Finanzinstitute gegen die Einführung von IC-Karten des Kombinationstyps
entscheiden.
-
Eine
IC-Karte des Entfernt-Typs ist in EP-A-0 955 602 angegeben, wobei
die Karte eine Datenkommunikation auf der Basis eines extern zugeführten Funkwellensignals
durchführt.
Die IC-Karte umfasst eine Feststellungsschaltung, die eine Auswahlschaltung
feststellt, die in Abhängigkeit
davon, ob das Funksignal eine erste oder eine zweite Frequenz aufweist,
bestimmt, ob die Daten in eine erste Speicherschaltung oder in eine
zweite Speicherschaltung geschrieben werden (vgl. den Oberbegriff
von Anspruch 1).
-
Beschreibung
der Erfindung
-
Es
ist daher eine erste Aufgabe der vorliegenden Erfindung, eine zweifach
verwendbare tragbare Karte für
das Tätigen
von Bezahlungen oder für Passieren
einer Fahrscheinsperre anzugeben, die nicht elektrisch unter Verwendung
von Kontaktflächen
verbunden zu werden braucht.
-
Es
ist eine zweite Aufgabe der vorliegenden Erfindung, eine tragbare
Karte anzugeben, die es dem Eigentümer der Karte gestattet, zwischen
zwei Verwendungszwecken der Karte wie etwa dem Tätigen von Bezahlungen und dem
Passieren einer Fahrscheinsperre zu wechseln.
-
Es
ist eine dritte Aufgabe der vorliegenden Erfindung, eine tragbare
Karte anzugeben, bei der zwischen einem Verwendungszweck, der einen
Prozess mit schwerer Last erfordert, und einem Verwendungszweck,
der einen Prozess mit leichter Last erfordert, gewechselt werden
kann.
-
Gemäß einem
ersten Aspekt gibt die vorliegende Erfindung eine zweifach verwendbare
tragbare Karte an, wobei die tragbare Karte eine integrierte Einrichtung
umfasst, die enthält:
eine
Identifizierungseinheit, die bei einer Annäherung der tragbaren Karte
an eine Terminalvorrichtung betrieben werden kann, um auf der Basis
einer von der Terminalvorrichtung empfangenen Funkwelle entweder
einen ersten Verwendungszweck oder einen zweiten Verwendungszweck
zu identifizieren, für
den die Karte verwendet wird,
eine Verarbeitungseinheit, die
bei einer Verwendung für
den ersten Verwendungszweck betrieben werden kann, um einen ersten
Prozess durchzuführen,
und die bei einer Verwendung für
den zweiten Verwendungszweck betrieben werden kann, um einen zweiten
Prozess durchzuführen,
und
eine Kommunikationseinheit, die betrieben werden kann,
um eine Daten-Ein-/Ausgabe des kontaktlosen Typs zwischen der Terminalvorrichtung
und der Verarbeitungseinheit durchzuführen, indem eine Funkkommunikation
mit der Terminalvorrichtung durchgeführt wird, wenn die tragbare
Karte für
den ersten Verwendungszweck oder den zweiten Verwendungszweck verwendet
wird, dadurch gekennzeichnet, dass
die Identifizierungseinheit
umfasst:
eine Bestimmungseinheit, die betrieben werden kann,
um zu bestimmen, dass die tragbare Karte für den zweiten Verwendungszweck
verwendet wird, wenn die tragbare Karte mit einem ersten Abstand oder
kürzer
zu der Terminalvorrichtung positioniert ist und wenn die empfangene
Funkwelle eine elektrische Leistung aufweist, die höher als
ein vorbestimmter Pegel ist, und um zu bestimmen, dass die tragbare
Karte für
den ersten Verwendungszweck verwendet wird, wenn der Abstand zwischen
der tragbaren Karte und der Terminalvorrichtung in einem Bereich
zwischen einem zweiten Abstand und einem dritten Abstand liegt und
die empfangene Funkwelle eine elektrische Leistung aufweist, die niedriger
als der vorbestimmte Pegel ist.
-
Gemäß einem
zweiten Aspekt gibt die vorliegende Erfindung ein System an, das
eine zweifach verwendbare tragbare Karte und eine Terminalvorrichtung
umfasst,
wobei die Terminalvorrichtung umfasst:
eine Kommunikationseinheit,
die betrieben werden kann, um eine Funkwelle zu senden, die veranlasst, dass
die integrierte Einrichtung in einen ersten Modus, in dem ein vorbestimmter
Prozess durchgeführt wird,
oder in einen zweiten Modus eintritt, in dem ein Prozess durchgeführt wird,
der eine höhere
Sicherheit als der erste Modus erfordert, wobei dann Daten zu/von
der integrierten Einrichtung ein- bzw. ausgegeben werden, indem
eine Funkwelle zu/von der integrierten Einrichtung gesendet oder
empfangen wird, ohne dass die integrierte Einrichtung kontaktiert wird.
-
Gemäß einem
dritten Aspekt gibt die vorliegende Erfindung ein Kommunikationsverfahren
an, das zwischen einer tragbaren Karte und einer Terminalvorrichtung
verwendet wird, wobei
die tragbare Karte eine integrierte Einrichtung
enthält,
die entweder in einen ersten Modus oder in einen zweiten Modus versetzt
wird, wobei in dem ersten Modus ein vorbestimmter Prozess durchgeführt wird
und wobei in dem zweiten Modus ein Prozess durchgeführt wird,
der eine höhere
Sicherheit als der erste Modus erfordert, und
wenn die Terminalvorrichtung
mit einem Abstand zu der tragbaren Karte positioniert ist, der im
Bereich zwischen einem zweiten Abstand und einem dritten Abstand
liegt, wird die integrierte Einrichtung in den ersten Modus versetzt,
wobei die Terminalvorrichtung dann Daten zu/von der integrierten
Einrichtung ein- bzw. ausgibt, indem sie eine Funkwelle zu/von der
integrierten Einrichtung sendet bzw. empfängt, ohne die integrierte Einrichtung
zu kontaktieren, und
wenn die Terminalvorrichtung mit einem
Abstand zu der tragbaren Karte positioniert ist, der gleich einem ersten
Abstand oder kürzer
ist, wird die integrierte Einrichtung in den zweiten Modus versetzt,
wobei die Terminalvorrichtung dann Daten zu/von der integrierten
Einrichtung ein- bzw. ausgibt, indem sie eine Funkwelle zu/von der
integrierten Einrichtung sendet bzw. empfängt, ohne die integrierte Einrichtung
zu kontaktieren.
-
Wenn
bei dem oben beschriebenen Aufbau die zweifach verwendbare tragbare
Karte eine IC-Karte des Kombinationstyps ist, die zum Beispiel zum
Tätigen
von Bezahlungen und das Passieren einer Fahrscheinsperre verwendet
wird, können
das Wechseln zwischen den zwei Verwendungszwecken und die Erkennung
durch die Terminalvorrichtung in Übereinstimmung mit der Funkwelle
vorgenommen werden, die von der Terminalvorrichtung gesendet wird.
Dabei muss der Karteneigentümer
zum Beispiel keine Kontaktflächen
ein- oder ausführen.
Die tragbare Karte der vorliegenden Erfindung ist also sehr nützlich.
-
Auch
wenn der erste Verwendungszweck und der zweite Verwendungszweck
die Durchführung von
unterschiedlichen Prozessen erfordern, wird die Eingabe/Ausgabe
von Daten zwischen der tragbaren Karte der vorliegenden Erfindung
und der Terminalvorrichtung für
beide Verwendungszwecke über
eine Funkkommunikation durchgeführt.
Es muss kein Kontakt mit der Karte hergestellt werden. Deshalb stellen
der Abrieb von Kontaktflächen
oder fehlerhaft hergestellte Verbindungen keine Probleme für die tragbare
Karte der Erfindung dar, weil keine Verbindung über Kontaktflächen erforderlich
ist, um zwischen den zwei Verwendungszwecken zu wechseln oder um
Daten ein- bzw. auszugeben. Es ist keine Wartung für die tragbare
Karte und die Terminalvorrichtung erforderlich. Dadurch wird das
Tätigen
von Bezahlungen oder das Passieren einer Fahrscheinsperre vereinfacht.
-
Außerdem kann
die tragbare Karte der vorliegenden Erfindung mit der Terminalvorrichtung auch
dann kommunizieren, wenn sie verschmiert oder nass ist. Die tragbare
Karte kann also auch dann normal betrieben werden, wenn sie etwas
unsanft behandelt wird, sodass sich der Karteneigentümer keine
Sorgen darüber
machen muss, wie er die tragbare Karte behandeln soll.
-
Bei
dem vorstehend beschriebenen Aufbau kann der Eigentümer der
tragbaren Karte dieselbe für den
zweiten Verwendungszweck verwenden, indem er diese nahe an die Terminalvorrichtung
hält, während er
sie für
den ersten Verwendungszweck verwenden kann, indem er sie mit einem
Abstand zu der Terminalvorrichtung hält. Auf diese Weise kann der Karteneigentümer einfach
zwischen den zwei Verwendungszwecken wechseln, indem er den Abstand zwischen
der tragbaren Karte und der Terminalvorrichtung ändert.
-
Bei
dem vorstehend beschriebenen Aufbau kann der Verwendungszweck der
tragbaren Karte in Übereinstimmung
mit der durch die integrierte Einrichtung empfangenen Leistung gewechselt
werden. Das heißt,
es wird in Übereinstimmung
mit der Last und dem Leistungsverbrauch eines ersten und eines zweiten
Prozesses entweder der erste Prozess oder der zweite Prozess gewählt. Insbesondere
weist das Tätigen
einer Bezahlung, für
das eine höhere
Vertraulichkeit erforderlich ist als für die Prüfung an einer Fahrscheinsperre,
wegen der wechselseitigen Authentifizierung oder Verschlüsselung
zum Vorsehen einer höheren
Sicherheit eine höhere
Last auf, sodass es durchgeführt
werden kann, wenn die tragbare Karte mit dem ersten Abstand oder
näher zu
der Terminalvorrichtung positioniert ist und eine höhere Leistung
von der Terminalvorrichtung empfängt.
-
Weiterhin
muss die tragbare Karte mit keiner Batterie versehen sein, weil
die integrierte Einrichtung ihre Stromversorgung von der Terminalvorrichtung
erhält.
Deshalb ist die tragbare Karte leichter und einfacher als herkömmliche
Karten.
-
In
Verbindung mit der oben beschriebenen tragbaren Karte kann die Terminalvorrichtung
entweder eine erste Terminalvorrichtung, die eine Funkwelle mit
einer Leistung unter einem ersten Leistungspegel an die tragbare
Karte ausgibt, oder eine zweite Terminalvorrichtung sein, die eine
Antenne in einem elektromagnetisch abgeschirmten Kasten aufweist und
eine Funkwelle mit einem zweiten Leistungspegel, der zwei Mal so
hoch oder höher
als der erste Leistungspegel ist, an die tragbare Karte in dem Kasten
ausgibt, wobei der vorbestimmte Schwellwert auf der Basis von (1)
der empfangenen Leistung einer Funkwelle bestimmt wird, die die
Leistung des ersten Leistungspegels aufweist und empfangen wird,
wenn der Abstand zwischen der tragbaren Karte und der Terminalvorrichtung
im Bereich zwischen dem zweiten Abstand und dem dritte Abstand ist,
und (2) der empfangenen Leistung einer Funkwelle bestimmt wird,
die die Leistung des zweiten Leistungspegels aufweist und empfangen
wird, wenn der Abstand zwischen der tragbaren Karte und der Terminalvorrichtung
gleich dem ersten Abstand oder kürzer
ist.
-
Da
bei dem oben beschriebenen Aufbau die zweite Terminalvorrichtung
eine Einrichtung aufweist, die angeordnet (d.h. elektromagnetisch
abgeschirmt) ist, um ein Lecken einer Funkwelle zu verhindern, und
da die tragbare Karte in die elektromagnetisch abgeschirmte Einrichtung
eingeführt
wird, können
die zwischen der Terminalvorrichtung und der integrierten Einrichtung übertragenen
persönlichen
Informationen nicht durch eine böswillige
dritte Partei abgefangen werden. Der in dem geschlossenen Modus durchgeführte zweite
Prozess kann persönliche
Informationen handhaben, die eine hohe Sicherheit erfordern. Dementsprechend
kann die integrierte Einrichtung mit der Terminalvorrichtung zusammenwirken,
um die persönlichen
Informationen zu verarbeiten, ohne die interne Schaltung der Terminalvorrichtung
zu kontaktieren. Dementsprechend wirkt die tragbare Karte der vorliegenden
Erfindung nicht nur wie herkömmliche
tragbare Karten über
eine Kommunikation im Entfernt-Modus mit der Terminalvorrichtung
zusammen, sondern führt
auch einen Prozess für
das Tätigen
einer Zahlung durch, der aus Sicherheitsgründen bisher für nicht
angebracht erachtet wurde. Das heißt, die eine tragbare Karte
der vorliegenden Erfindung enthält
alle persönlichen
Informationen, die für
beide Verwendungszwecke erforderlich sind.
-
Weiterhin
kann die von der ersten Terminalvorrichtung zugeführte Leistung
entsprechend niedrig sein, um die entsprechenden gesetzlichen Bestimmungen
zu erfüllen.
Dementsprechend kann die tragbare Karte konform zu den Bestimmungen
mit der Terminalvorrichtung zusammenwirken, wobei ein erforderlicher
Abstand zwischen denselben eingehalten wird.
-
Bei
der oben beschriebenen tragbaren Karte kann der zweite Verwendungszweck
vertraulichere Daten handhaben als der erste Verwendungszweck, wobei
der erste Prozess wenigstens einen Verschlüsselungsprozess zum Verschlüsseln von
Daten unter Verwendung eines ersten Verschlüsselungsschlüssels, einen
Entschlüsselungsprozess
zum Entschlüsseln
von Daten unter Verwendung des ersten Verschlüsselungsschlüssels, einen
Zertifizierungsprozess zum Zertifizieren der Authentizität der tragbaren
Karte unter Verwendung des ersten Verschlüsselungsschlüssels in
Reaktion auf einen durch die Terminalvorrichtung durchgeführten Authentifizierungsprozess
und einen Authentifizierungsprozess zum Authentifizieren der Terminalvorrichtung
unter Verwendung des ersten Verschlüsselungsschlüssels umfasst,
und wobei der zweite Prozess wenigstens einen Verschlüsselungsprozess
zum Verschlüsseln von
Daten unter Verwendung eines zweiten Verschlüsselungsschlüssels, einen
Entschlüsselungsprozess
zum Entschlüsseln
von Daten unter Ver wendung des zweiten Verschlüsselungsschlüssels, einen Zertifizierungsprozess
zum Zertifizieren der Authentizität der tragbaren Karte unter
Verwendung des zweiten Verschlüsselungsschlüssels in
Reaktion auf einen durch die Terminalvorrichtung durchgeführten Authentifizierungsprozess
und einen Authentifizierungsprozess zum Authentifizieren der Terminalvorrichtung
unter Verwendung des zweiten Verschlüsselungsschlüssels umfasst,
wobei der zweite Prozess eine größere Verarbeitungslast
als der erste Prozess zu tragen hat und wobei der zweite Leistungspegel auf
der Basis des Stromverbrauchs bei der Durchführung des zweiten Prozesses
durch die Verarbeitungseinheit bestimmt wird.
-
Bei
dem oben beschriebenen Aufbau wird ein Verschlüsselungsschlüssel mit
einer höheren
Sicherheit für
den zweiten Verwendungszweck verwendet, weil hier eine höhere Sicherheit
erforderlich ist. Die tragbare Karte der vorliegenden Erfindung
wirkt also nicht nur über
eine Kommunikation im Entfernt-Modus wie herkömmliche Karten mit der Terminalvorrichtung
zusammen, sondern führt
auch einen Prozess zum Tätigen
einer Zahlung durch, der bisher aus Sicherheitsgründen als
für eine
derartige Karte nicht geeignet erachtet wurde. Die eine tragbare
Karte der vorliegenden Erfindung enthält also alle persönlichen
Informationen, die für
die beiden Verwendungszwecke erforderlich sind.
-
Bei
der oben beschriebenen tragbaren Karte kann die integrierte Einrichtung
eine Speichereinheit enthalten, die (1) einen ersten Bereich zum
Speichern von Daten, die nur für
den ersten Verwendungszweck verwendet werden, und (2) einen zweiten
Bereich zum Speichern von Daten umfasst, die nur für den zweiten
Verwendungszweck verwendet werden, wobei die Kommunikationseinheit
eine Sende-/Empfangseinheit umfasst, die betrieben werden kann,
um einen durch die Terminalvorrichtung ausgegeben Befehl zu empfangen
und Daten über
eine drahtlose Kommunikation zu der Terminalvorrichtung zu senden,
wobei die Verarbeitungseinheit eine Zugriffsverwaltungseinheit,
die betrieben werden kann, um nach der Identifikation des ersten
oder zweiten Verwendungszwecks den Zugriff auf den ersten oder zweiten
Bereich in Übereinstimmung
mit dem identifizierten Verwendungszweck zu gestatten und den Zugriff
auf die anderen Bereiche zu verhindern, eine Decodiereinheit, die
betrieben werden kann, um den von der Sende-/Empfangseinheit empfangenen
Befehl zu decodieren, und eine Speicherzugriffseinheit umfasst,
die wenn die Decodiereinheit beim Decodieren feststellt, dass der
Befehl eine Lesebefehl ist, betrieben werden kann, um ein durch
den Lesebefehl spezifiziertes Datenelement aus dem ersten oder dem
zweiten Speicher zu lesen und die Sende-/Empfangseinheit zum Senden
des Datenelements anzuweisen, und die wenn die Decodiereinheit beim
Decodieren feststellt, dass der Befehl ein Schreibbefehl ist, betrieben
werden kann, um ein in dem Schreibbefehl spezifiziertes Datenelement
in den ersten oder zweiten Bereich zu schreiben.
-
Bei
dem oben beschriebenen Aufbau gestattet die tragbare Karte den Zugriff
nur auf einen bestimmten Bereich für einen vorbestimmten Verwendungszweck
und verhindert den Zugriff auf die anderen Bereiche. Also auch wenn
persönliche
Informationen, die eine hohe Sicherheit erfordern, in dem zweiten
Bereich gespeichert sind, kann eine böswillige dritte Parte die Funkkommunikation
mit der tragbaren Karte nicht abfangen, während die tragbare Karte durch
den Eigentümer
getragen wird.
-
Bei
der oben beschriebenen tragbaren Karte kann die integrierte Einrichtung
eine Synchronisationstaktsignal-Erzeugungseinheit umfassen, die wenn
die erste Terminalvorrichtung Leistung mit einem ersten Leistungspegel
zu der tragbaren Karte zuführt,
betrieben werden kann, um an die Verarbeitungseinheit ein Synchronisationstaktsignal
mit einer ersten Frequenz zu senden, die in Übereinstimmung mit einer Frequenz
eines Trägers
eines empfangenen Signals erzeugt wird, und die wenn die zweite Terminalvorrichtung
Leistung mit einem zweiten Leistungspegel zu der tragbaren Karte
zuführt,
betrieben werden kann, um an die Verarbeitungseinheit ein Synchronisationstaktsignal
mit einer zweiten Frequenz zu senden, die höher als die erste Frequenz ist.
-
Wenn
bei dem oben beschriebenen Aufbau die Leistungsversorgung ansteigt,
erhöht
sich die Frequenz des Synchronisationstaktsignals. Dadurch kann
die integrierte Einrichtung mit einer höheren Geschwindigkeit betrieben
werden. Weil die zweite Schaltung durch das Synchronisationstaktsignal
mit einer hohen Frequenz betrieben wird, kann ein Multi-OS-Softwareprogramm
wie etwa Java Card ausgeführt
werden.
-
Die
vorstehend genannten Aufgaben werden auch durch eine Terminalvorrichtung
gelöst,
die mit einer tragbaren Karte kommuniziert, die eine integrierte
Einrichtung umfasst, die in einen ersten Modus oder in einen zweiten
Modus versetzt werden kann, wobei in dem ersten Modus ein vorbestimmter Prozess
ausgeführt
wird und wobei in dem zweiten Modus ein Prozess ausgeführt wird,
der eine höhere Sicherheit
als in dem ersten Modus erfordert, wobei die Terminalvorrichtung
umfasst: einen Kasten, der eine Antenne enthält und elektromagnetisch abgeschirmt
ist, sodass eine Funkwelle über
einem vorbestimmten Leistungspegel nicht aus der Terminalvorrichtung
leckt, und eine Kommunikationseinheit, die betrieben werden kann,
um nach dem Einführen
der tragbaren Karte in den Kasten die integrierte Einrichtung in
den zweiten Modus zu versetzen und dann mit der integrierten Einrichtung
zu kommunizieren, indem der Antenne das Emittieren einer Funkwelle gestattet
wird.
-
Weil
bei dem oben beschriebenen Aufbau die Terminalvorrichtung eine Vorrichtung
ist, die angeordnet (z.B. elektromagnetisch abgeschirmt) ist, um
das Lecken einer Funkwelle zu verhindern, wobei die tragbare Karte
in die elektromagnetisch abgeschirmte Einrichtung eingeführt wird,
können
die zwischen der Terminalvorrichtung und der integrierten Einrichtung übertragenen
persönlichen
Informationen nicht durch eine böswillige
dritte Partei abgefangen werden. Der in dem Nahe-Modus ausgeführte zweite
Modus kann persönliche
Informationen handhaben, die eine hohe Sicherheit erfordern. Dementsprechend
kann die integrierte Einrichtung mit der Terminalvorrichtung zusammenwirken,
um die persönlichen
Informationen zu verarbeiten, ohne die interne Schaltung der Terminalvorrichtung
zu kontaktieren. Dementsprechend wirkt die tragbare Karte der vorliegenden
Erfindung nicht nur wie herkömmliche tragbare
Karten über
eine Kommunikation im Entfernt-Modus mit der Terminalvorrichtung
zusammen, sondern führt
einen Prozess zum Tätigen
einer Bezahlung durch, was aus Sicherheitsgründen bisher als für eine derartige
Karte ungeeignet betrachtet wurde. Das heißt, die eine tragbare Karte
der vorliegenden Erfindung enthält
alle persönlichen
Informationen, die für
die beiden Verwendungszwecke erforderlich sind.
-
Die
oben beschriebene Terminalvorrichtung kann weiterhin eine der folgenden
Einheiten umfassen: eine erste Leseeinheit, die nach dem Einführen der
tragbaren Karte in den Kasten betrieben werden kann, um physikalisch
aufgezeichnete Informationen zu der Authentizität der tragbaren Karte von der
tragbaren Karte zu lesen; eine Empfangseinheit, die nach dem Einführen der
tragbaren Karte in den Kasten betrieben werden kann, um Eigentümerinformationen zu
empfangen, die durch einen Eigentümer eingegeben werden und die
Authentizität
des Eigentümers angeben;
und eine zweite Leseeinheit, die nach dem Einführen der tragbaren Karte in
den Kasten betrieben werden kann, um Bioinformationen von dem Eigentümer zu lesen,
die physikalische Eigenschaften des Eigentümers angeben; wobei die Kommunikationseinheit
die integrierte Einrichtung in den zweiten Modus versetzt, nachdem
die Authentizität
des Eigentümers
oder der tragbaren Karte unter Verwendung der physikalisch aufgezeichneten
Informationen, der Eigentümerinformationen
und der Bioinformationen bestätigt
wurde.
-
Mit
dem oben beschriebenen Aufbau kann die Terminalvorrichtung die Authentizität der tragbaren
Karte und des Karteneigentümers
unter Verwendung einer Kombination aus (a) physikalisch auf der tragbaren
Karte aufgezeichneten Informationen, (b) Eigentümerinformationen und (c) Bioinformationen zu
dem Eigentümer
der tragbaren Karte geprüft
werden. Dadurch wird eine zuverlässige
Authentifizierung ermöglicht
und ein Missbrauch der tragbaren Karte verhindert.
-
Kurzbeschreibung
der Zeichnungen
-
1A zeigt
das Aussehen der IC-Karte 1 in der Ausführungsform.
-
1B zeigt
die Größe und den
internen Aufbau der IC-Karte 1 in der Ausführungsform.
-
1C zeigt
vergrößerte Seiten
der IC-Karte.
-
2 zeigt
den internen Aufbau des One-Chip-IC 3.
-
3 zeigt
eine ASK-modulierte Welle.
-
4 zeigt
den internen Aufbau der Leistungsreproduktionsschaltung 7.
-
5 zeigt
den internen Aufbau der Synchronisationstaktsignal-Erzeugungsschaltung 14.
-
6 ist
ein Venn-Diagramm, das zur Erläuterung
des Konzepts zum Speichern von persönlichen Informationen in den
nicht-flüchtigen
Speichern 12 und 13 verwendet wird.
-
7 zeigt
den internen Aufbau der Steuereinrichtung 5.
-
8A zeigt
den internen Aufbau der Aktivierungssignal-Erzeugungseinheit 29.
-
8B zeigt
die Ausgabe der Aktivierungssignal-Erzeugungseinheit 29 in
einem Tabellenformat.
-
9A zeigt
den internen Aufbau der Auswahlsignal-Erzeugungseinheit 34.
-
9B zeigt
die Ausgaben der Auswahlsignal-Erzeugungseinheit 34 in
einem Tabellenformat.
-
10 zeigt
den internen Aufbau des Geldautomaten 60.
-
11A zeigt den internen Aufbau der Auswahlsignal-Erzeugungseinheit 42a.
-
11B zeigt die Ausgaben der Auswahlsignal-Erzeugungseinheit 42a in
einem Tabellenformat.
-
12A zeigt den internen Aufbau der Aktivierungssignal-Erzeugungseinheit 42b.
-
12B zeigt die Ausgaben der Aktivierungssignal-Erzeugungseinheit 42b in
einem Tabellenformat.
-
13 zeigt
die automatische Fahrscheinsperre 48 mit der ersten Terminalvorrichtung.
-
14 zeigt
den internen Aufbau der ersten Terminalvorrichtung.
-
15 zeigt,
wie ein Eigentümer
der IC-Karte 1 die IC-Karte 1 aus einer Tasche
nimmt und die IC-Karte 1 über eine Antenne der ersten
Terminalvorrichtung hält.
-
16 zeigt
ein durch die Steuereinrichtung 55 der ersten Terminalvorrichtung
und die Steuereinrichtung 5 der IC-Karte 1 ausgeführtes Kommunikationsprotokoll.
-
17 ist
ein Abfolgediagramm, das die gegenseitige Authentifizierung zwischen
der ersten Terminalvorrichtung und der IC-Karte zeigt.
-
18 zeigt
ein Beispiel der zweiten Terminalvorrichtung, die als Geldautomat
verwendet wird.
-
19 zeigt
einen dedizierten Kasten 65 mit einer Antenne.
-
20 zeigt,
wie die IC-Karte 1 durch die zweite Terminalvorrichtung
unter die Rahmenantenne eingeführt
wird.
-
21A zeigt, dass die IC-Karte nahe an der Rahmenantenne 66 der
zweiten Terminalvorrichtung positioniert ist.
-
21B zeigt, dass Funkwellen wie durch die Pfeile
y2 und y3 angegeben erzeugt werden, während die IC-Karte nach an
der Rahmenantenne 66 der zweiten Terminalvorrichtung positioniert
ist.
-
21C zeigt, dass die IC-Karte 1 in die zweite
Terminalvorrichtung eingeführt
wurde, sodass die IC-Karte 1 in Kontakt mit der Rahmenantenne 66 ist.
-
22 zeigt
den internen Aufbau der zweiten Terminalvorrichtung.
-
23 ist
ein Flussdiagramm, das die Prozedur der Steuereinrichtung 73 der
zweiten Terminalvorrichtung zeigt.
-
24 zeigt,
wie die Steuereinrichtung 73 der zweiten Terminalvorrichtung
mit der Steuereinrichtung 7 der IC-Karte 1 zusammenwirkt.
-
25 zeigt
eine gegenseitige Authentifizierung, die zwischen der ersten Terminalvorrichtung und
der IC-Karte durchgeführt
wird.
-
Bevorzugte
Ausführungsform
der Erfindung
-
Im
Folgenden wird eine Ausführungsform der
vorliegenden Erfindung beschrieben, nämlich eine IC-Karte 1,
die eine tragbare Karte mit einer integrierten Einrichtung ist. 1A zeigt
das Aussehen der IC-Karte 1. 1B zeigt
die Größe und den internen
Aufbau der IC-Karte 1. Wie in 1A gezeigt,
wirkt die IC-Karte 1 mit einer dedizierten Karten-Lese-/Schreibeinrichtung 100 (nachfolgend
als RAN 100 bezeichnet) zusammen, wobei zwischen der IC-Karte 1 und
der R/W 100 ein Abstand von einigen cm bis zu 10 cm vorhanden
ist. Wie in 1B gezeigt, ist die IC-Karte 1 53,98
mm breit, 85,60 mm lang und 0,76 mm dick (diese Dimensionen entsprechend
der in ISO/IEC 7810 definierten ISO-Kartengröße). Der Eigentümer der
IC-Karte 1 kann wie in 1A gezeigt
die Karte mit den Fingern halten. Auf der Oberfläche der IC-Karte 1 ist
eine Zeichensequenz mit einer Identifikationsnummer eingeprägt („Nr.181319
AAABBB" in 1A).
Wie in 1B gezeigt, umfasst das Innere
der IC-Karte 1: eine Rahmenantenne 2 mit 4 bis
5 Wicklungen und einen One-Chip-IC 3 als integrierte Einrichtung.
Es ist hier zu beachten, dass die IC-Karte 1 nur 0,76 mm
dick ist und keine Batterie oder Leistungsschaltung enthalten kann. 1C zeigt
die vergrößerten Seiten
der IC-Karte. Wie aus 1C deutlich wird, sind keine Kontaktflächen, Stifte
oder ähnliches
für die
Verbindung mit der Rahmenantenne 2 oder dem One-Chip-IC 3 auf
den Seiten der IC-Karte ausgebildet, wobei die Seiten gedichtet
sind, um zu verhindern das Metalle oder ähnliches nach außen frei
liegen. Weil die IC-Karte keine Kontaktflächen, Stifte oder ähnliches
aufweist, wird der One-Chip-IC 3 mit einer Leistung betrieben,
die durch Funkwellen von einer Terminalvorrichtung über die
Rahmenantenne 2 empfangen wird.
-
Im
Folgenden wird der interne Aufbau des One-Chip-IC 3 beschrieben. 2 zeigt
den internen Aufbau des One-Chip-IC 3. Wie in 2 gezeigt,
umfasst der One-Chip-IC 3 eine ASK-Demodulationsschaltung 4,
eine Steuereinrichtung 5, eine BPSK-Modulationsschaltung 6,
eine Leistungsreproduktionsschaltung 7, einen Schalter 8,
einen Schalter 9, eine Verschlüsselungsschaltung 10,
eine Verschlüsselungsschaltung 11,
einen nicht-flüchtigen Speicher 12,
einen nicht-flüchtigen
Speicher 13 und eine Synchronisationstaktsignal-Erzeugungsschaltung 14.
-
Die
ASK (Amplitude Shift Keying: Amplitudenumtastung)-Demodulationsschaltung 4 demoduliert mittels
einer Hüllkurvendemodulation
eine in der Rahmenantenne 2 modulierte Welle (Funkwelle)
und gibt auf die Hüllkurve
der modulierten Welle gelagerte NRZ (Non-Return-to-Zero: Ohne-Rückkehr-zu-Null)-Daten
zu der Steuereinrichtung 5 aus. 3 zeigt
eine modulierte Welle, die durch die ASK-Demodulationsschaltung 4 moduliert
wurde. Wie in 3 gezeigt, gibt die Hüllkurvenform
des Trägers
der ASK-modulierten Welle die Datensequenz „01011101" aus. Die in 3 gezeigte
Welle wurde mit dem „ASK10%"-Verfahren moduliert,
das eine Welle erzeugt, in der das Verhältnis zwischen der maximalen
Amplitude und der minimalen Amplitude ungefähr 10:9 beträgt. Bei
ASK10% ist die Spitzendifferenz zwischen der Mittenfrequenz und
der Datenfrequenz relativ groß,
sodass die durch die Terminalvorrichtung vorgesehene elektrische
Leistung hoch ist. Weiterhin wird die Datensequenz in der modulierten
Welle mit einer Übertragungsrate
von 10-424 kBit/s zu der IC-Karte 1 übertragen. Die Datenübertragung
bei dieser Rate ist viel schneller als die Übertragungsrate bei IC-Karten
des Kontakt-Typs (9600 Bits gemäß der Definition
in ISO7816 und ISO10536). Deshalb kann die IC-Karte 1 Daten
mit hoher Geschwindigkeit ein- und ausgeben und eine große Datenmenge
pro Zeiteinheit verarbeiten.
-
Die
Steuereinrichtung 5 (1) verwaltet die Modi der IC-Karte 1 und
(2) greift auf die nichtflüchtigen
Speicher 12 und 13 zu. Es werden folgende Modi durch
die Steuereinrichtung 5 verwaltet: ein Entfernt-Modus,
der aktiviert wird, wenn die tragbare Karte mit einem Abstand von
einigen cm bis 10 cm von der Terminalvorrichtung entfernt positioniert
ist; und ein Nahe-Modus,
der nur dann aktiviert wird, wenn die tragbare Karte mit einem Abstand
von 0–5 mm
zu der Terminalvorrichtung positioniert ist, wobei die integrierte
Einrichtung die interne Schaltung der Terminalvorrichtung nicht
kontaktiert. In dem Entfernt-Modus setzt die Steuereinrichtung 5 das
zu dem nicht-flüchtigen
Speicher 12 ausgegebene Signal CE1 auf einen hohen Pegel
und das an die Verschlüsselungsschaltung 10 ausgegebene
Signal SE1 auf einen hohen Pegel. In dem Nahe-Modus setzt die Steuereinrichtung 5 das
an die nichtflüchtigen
Speicher 12 und 13 ausgegebene Signal CE2 auf
einen hohen Pegel und das an die Verschlüsselungsschaltungen 10 und 11 ausgegebene
Signal SE2 auf einen hohen Pegel.
-
Bei
dem Speicherzugriff durch die Steuereinrichtung 5 schreibt
die Steuereinrichtung Daten in den nicht-flüchtigen Speicher 12 oder 13 in Übereinstimmung
mit einem von der Terminalvorrichtung über die Rahmenantenne 2 und
die ASK-Demodulationsschaltung 4 empfangenen Befehl, liest
Daten aus dem nicht-flüchtigen
Speicher 12 und 13 in Übereinstimmung mit einem von
der Terminalvorrichtung über
die Rahmenantenne 2 und die BPSK-Modulationsschaltung 6 empfangenen
Befehl und gibt die gelesenen Daten über die BSPK-Modulationsschaltung 6 und
die Schleifenantenne 2 aus. In dem Nahe-Modus werden wichtige
persönliche
Informationen ein- bzw. ausgegeben. Die von der Terminalvorrichtung empfangenen
Daten werden deshalb verschlüsselt, und
die verschlüsselten
Daten werden durch die Verschlüsselungsschaltung 10 entschlüsselt oder
erneut verschlüsselt.
Die entschlüsselten
oder erneut verschlüsselten
Daten werden in den nicht-flüchtigen Speicher 12 oder 13 geschrieben.
-
Die
BPSK (Binary Phase Shift Keying: Binärphasenumtastung)-Modulationsschaltung 6 moduliert
die aus der Steuereinrichtung 5 ausgegebene Datensequenz
mit dem Lastwechselverfahren, submoduliert die Datensequenz mit
dem BPSK-Verfahren unter Verwendung eines Subträgers von 847,5 kHz und gibt
das Ergebnis an die Terminalvorrichtung aus. Weil die BPSK-Modulationsschaltung 6 eine
Modulation mit einem anderen Verfahren als die ASK-Demodulationsschaltung 4 durchführt, kann
die BPSK-Modulationsschaltung 6 funken, indem sie Leistung
von den ASK-modulierten Wellen empfängt.
-
Die
Leistungsreproduktionsschaltung 7 erhält eine konstante Spannung,
indem sie die ASK-modulierten
Wellen gleichrichtet, und führt
Leistung zu der ASK-Demodulationsschaltung 4, der Steuereinrichtung 5,
der BPSK-Modulationsschaltung 6, der Verschlüsselungsschaltung 10,
der Verschlüsselungsschaltung 11,
dem nicht-flüchtigen Speicher 12,
dem nichtflüchtigen
Speicher 13 und der Synchronisationstakt-Erzeugungsschaltung 14 zu. 4 zeigt
den internen Aufbau der Leistungsreproduktionsschaltung 7.
Wie in 4 gezeigt, umfasst die Leistungsreproduktionsschaltung 7 vier
Dioden und einen Kondensator und setzt sich aus einer Diodenbrückenschaltung 15 und
einem Regler 16 mit drei Anschlüssen zusammen, wobei die Diodenbrückenschaltung 15 eine
in der Rahmenantenne 2 induzierte ASK-modulierte Welle
gleichrichtet und der Regler 16 mit drei Anschlüssen ein
von der Diodenbrückenschaltung 15 ausgegebenes
Signal zu einer konstanten Spannung von zum Beispiel 3 V wandelt. Die
von der Terminalvorrichtung über
die ASK-modulierte Welle zugeführte
Leistung erhöht
oder vermindert sich in Abhängigkeit
von dem Abstand zu der Terminalvorrichtung. Das heißt, je kürzer der
Abstand zu der Terminalvorrichtung ist, desto höher ist die Spannungsausgabe
aus der Diodenbrückenschaltung 15.
Mit anderen Worten ändert
sich die zu der Steuereinrichtung 5 ausgegebene Spannung
(durch Vdd wiedergegeben), wenn sich die Amplitude ändert. Wenn
die IC-Karte 1 in Japan verwendet wird, sollte die zu der
Leistungsreproduktionsschaltung 7 über eine Funkwelle zugeführte Leistung
niedriger als 10 mW sein. Der Grund hierfür ist, dass das Senden von
Funkwellen von 10 mW oder höher
gemäß Gesetz
nicht ohne Genehmigung zulässig
ist. Die im Nahe-Modus über
Funkwellen übertragene
Leistung kann dagegen 10 mW oder höher sein. Der Grund hierfür ist, dass
in dem Nahe-Modus die Rahmenantenne 2 der IC-Schaltung 1 nahe
zu der Antenne der Terminalvorrichtung in einem elektromagnetisch
abgeschirmten Kasten positioniert ist.
-
Der
Schalter 8 ist in dem Entfernt-Modus offen und wird nur
dann geschlossen, wenn die Steuereinrichtung 5 das Signal
SE2 auf einen hohen Pegel setzt. Wenn der Schalter 8 geschlossen
ist, werden die durch die Leistungsreproduktionsschaltung 7 erzeugte
konstante Spannung und das durch die Synchronisationstaktsignal-Erzeugungsschaltung 14 erzeugte
Synchronisationstaktsignal zu dem nicht-flüchtigen Speicher 13 geführt.
-
Der
Schalter 9 ist im Entfernt-Modus offen und wird nur dann
geschlossen, wenn die Steuereinrichtung 5 das Signal SE2
auf einen hohen Pegel setzt. Wenn der Schalter 9 geschlossen
ist, werden die durch die Leistungsreproduktionsschaltung 7 erzeugte
konstante Spannung und die durch die Synchronisationstaktsignal-Erzeugungsschaltung 14 erzeugte
Synchronisationstaktsignal zu dem nicht-flüchtigen Speicher 11 geführt.
-
Die
Verschlüsselungsschaltung 10 wird
für die
gegenseitige Authentifizierung zwischen der IC-Karte 1 und
der Terminalvorrichtung verwendet, nachdem die IC-Karte an die Terminalvorrichtung
herangeführt
wurde und der One-Chip-IC 3 in dem Entfernt-Modus aktiviert
wurde. Die Verschlüsselungsschaltung 10 wird
auch zum Verschlüsseln
von für
die Sicherheit erforderlichen Daten verwendet, wenn Daten zwischen
der IC-Karte 1 und der Terminalvorrichtung gesendet oder
empfangen werden, nachdem der One-Chip-IC 3 in dem Nahe-Modus aktiviert wurde.
Das heißt,
wenn eine durch das Demodulieren einer Funkwelle erhaltene Datensequenz
verschlüsselt wurde,
verschlüsselt
die Verschlüsselungsschaltung 10 die
verschlüsselte
Datensequenz und gibt sie an die Steuereinrichtung 5 aus.
Wenn erforderlich, verschlüsselt
die Verschlüsselungsschaltung 10 außerdem ein
Element der verschlüsselten
Daten unter Verwendung eines anderen Schlüssels und gibt diesen an die
Steuereinrichtung 5 aus. Die Verschlüsselungsschaltung 10 führt eine
Verschlüsselung
unter Verwendung einer Verschlüsselung
mit geheimem Schlüssel,
einer DES (Data Encryption Standard)-Verschlüsselung, einer Tr-DES-Verschlüsselung
oder ähnlichem
durch.
-
Die
Verschlüsselungsschaltung 11 wird
für die
gegenseitige Authentifizierung zwischen der IC-Karte 1 und
der Terminalvorrichtung verwendet, nachdem die IC-Karte 1 nahe
an die Terminalvorrichtung herangeführt wurde und die integrierte
Einrichtung in dem Nahe-Modus aktiviert wurde. Die Verschlüsselungsschaltung 11 führt eine
Verschlüsselung
unter Verwendung einer Verschlüsselung
mit öffentlichem
Schlüssel
(Ellipsenkurven-Verschlüsselung
oder RSA (Rivest, Shamir, Adleman)-Verschlüsselung) durch.
-
Der
nicht-flüchtige
Speicher 12 wird durch einen wiederbeschreibbaren ferro-elektrischen
Speicher (FeRAM) oder einen EEPROM mit einer Kapazität von 16
Byte gebildet und speichert persönliche Informationen,
die in dem Entfernt- oder Nahe-Modus verwendet werden. Derartige
Informationen werden von/zu dem nicht-flüchtigen Speicher 12 gelesen bzw.
geschrieben, wenn das Signal CE1 oder CE2 ausgegeben wird.
-
Der
nicht-flüchtige
Speicher 13 wird durch einen wiederbeschreibbaren ferro-elektrischen
Speicher (FeRAM) oder einen EEPROM mit einer Kapazität von 16
Byte gebildet und speichert persönliche Informationen,
die nur in dem Nahe-Modus verwendet werden. Derartige Informationen
werden von/zu dem nicht-flüchtigen
Speicher 13 gelesen bzw. geschrieben, wenn das Signal CE2
ausgegeben wird.
-
Die
persönlichen
Informationen werden wie folgt in de nicht-flüchtigen Speichern 12 und 13 gespeichert. 6 ist
ein Venn-Diagramm, das zur Erläuterung
des Konzepts zum Speichern der persönlichen Informationen in den
nicht-flüchtigen
Speichern 12 und 13 verwendet wird. In 6 ist
ein Teilsatz A ein Satz von persönlichen
Informationen, die nur in dem Enffernt-Modus verwendet werden, ist
der Teilsatz B ein Satz von persönlichen
Informationen ist, die nur in dem Nahe-Modus verwendet werden, und ist
der Teilsatz C ein Satz von persönlichen
Informationen, die sowohl im Enffernt- als auch im Nahe-Modus verwendet
werden. Der nicht-flüchtige
Speicher 12 speichert die Teilsätze A, B und C. Der nicht-flüchtige Speicher 13 speichert
die Teilsätze
B.
-
Wenn
die IC-Karte 1 eine Bankkarte ist, wird der Kontostand
dem Teilsatz C zugeordnet, eine hohe Zahlungssumme, die eine sehr
vertrauliche Information darstellt, wird dem Teilsatz B zugeordnet, und
eine kleine Zahlungssumme, die einfach zu handhaben ist, wird dem
Teilsatz A zugeordnet. Wenn die Bankkarte 1 eine Ausweiskarte
ist, die durch eine Behörde
ausgestellt wird, sind der Name und die Adresse dem Teilsatz C zugeordnet,
sind persön liche
Informationen wie etwa Melde- und Steuerdaten, die sehr vertrauliche
Informationen darstellen, dem Teilsatz B zugeordnet, und sind Informationen zu
für den
Eigentümer
reservierten Tennisplätzen oder
Besprechungsräumen,
die einfach zu handhaben sind, dem Teilsatz C zugeordnet.
-
Die
Synchronisationstaktsignal-Erzeugungsschaltung 14 erhält ein Synchronisationstaktsignal aus
der ASK-modulierten Welle und gibt die ASK-modulierte Welle zu der
Steuereinrichtung 5, der Verschlüsselungsschaltung 10,
der Verschlüsselungsschaltung 11,
dem nichtflüchtigen
Speicher 12 und dem nicht-flüchtigen Speicher 13. 5 zeigt
den internen Aufbau der Synchronisationstaktsignal-Erzeugungsschaltung 14.
Wie in der Zeichnung gezeigt, umfasst die Synchronisationstaktsignal-Erzeugungsschaltung 14 einen
Komparator 17 und einen Frequenzteiler 18, wobei
der Komparator 17 die Amplitudenspannung der ASK-modulierten
Welle mit einer bestimmten Schwellspannung vergleicht, um ein Impulssignal
mit der Frequenz f1 des Trägers
zu erhalten, und wobei der Frequenzteiler 18 die Frequenz
f1 des Impulssignals in N/M Teile unterteilt und die Teile als ein
Synchronisationstaktsignal ausgibt, wobei N eine Ganzzahl von 1
oder höher
ist, M eine Ganzzahl von 2 oder höher ist und die Beziehung N < M erfüllt wird.
Das durch den Frequenzteiler 18 verwendete Frequenzteilungsverhältnis wird
auf P1 gesetzt, wenn das aus der Steuereinrichtung 5 ausgegebene Signal
einen niedrigen Pegel aufweist; und das Frequenzteilungsverhältnis wird
auf P2 (P2 > P1) gesetzt,
wenn das aus der Steuereinrichtung 5 ausgegebene Signal
SE2 einen hohen Pegel aufweist. Wenn die Frequenz des Trägers gleich
13,56 MHz ist, sollte das Frequenzteilungsverhältnis des Synchronisationstaktsignals
(P1 × 13,56
MHz) gleich 1 MHz oder niedriger sein, während das Frequenzteilungsverhältnis P2
einen Wert aufweisen sollte, der die Bedingung erfüllt, dass
die Frequenz des Synchronisationstaktsignals (P2 × 13,56
MHz) größer als 2
MHz ist.
-
Die
Taktsignalfrequenz wird wie oben beschrieben gesetzt, weil die Taktsignalfrequenz
den Stromverbrauch der integrierten Einrichtung beeinflusst. Das
heißt,
weil in Japan die im Entfernt-Modus über Funkwellen zugeführte Leistung
niedriger als 10 mW sein sollte, sollte die Frequenz des Synchronisationstaktsignals,
das durch die Synchronisationstaktsignal-Erzeugungsschaltung 14 durch
das Teilen der Frequenz f1 des Impulssignals erhalten wird, die
Bedingung erfüllen,
dass der Stromverbrauch der integrierten Einrichtung niedriger als
10 mW ist. Die oben genannte Frequenz von 1 MHz erfüllt diese
Bedingung. Weil im Gegensatz dazu in Japan die in dem Nahe-Modus über Funkwellen
zugeführte
Leistung gleich 10 mW oder höher
sein sollte, sollte die Frequenz des Synchronisationstaktsignals,
das durch die Synchronisationstaktsignal-Erzeugungsschaltung 14 durch
das Teilen der Frequenz f1 des Impulssignals erhalten wird, die
Bedingung erfüllen,
dass der Stromverbrauch der integrier ten Einrichtung gleich 10 mW
oder höher
ist. Die oben genannte Frequenz von 2 MHz erfüllt diese Bedingung. Aus dem vorstehenden
geht hervor, dass in dem Nahe-Modus ein Synchronisationssignal mit
der doppelten Frequenz wie in dem Entfernt-Modus zugeführt wird. Deshalb
kann die integrierte Einrichtung in dem Nahe-Modus mit einer doppelt
so hohen Geschwindigkeit wie in dem Entfernt-Modus betrieben werden.
-
Im
Folgenden wird der interne Aufbau der Steuereinrichtung 5 beschrieben. 7 zeigt
den internen Aufbau der Steuereinrichtung 5. Wie in der
Figur gezeigt, umfasst die Steuereinrichtung 5 eine Spannungsvergleichsschaltung 19,
eine Speichersteuereinheit 20, eine Verschlüsselungssteuereinheit 21,
eine MPU 22 und ODER-Schaltungen 23 bis 26.
-
Die
Spannungsvergleichsschaltung 19 vergleicht die aus der
Diodenbrückenschaltung 15 ausgegebene
Spannung Vdd mit dem Schwellwert von 4V, um zu bestimmen, welche
Spannung höher
ist, und versetzt den Betriebsmodus der IC-Karte 1 entweder
in den Nahe-Modus
oder in den Entfernt-Modus. Das heißt, wenn die Spannung Vdd höher als der
Schwellwert ist, versetzt die Spannungsvergleichsschaltung 19 den
Betriebsmodus in den Nahe-Modus und setzt das SEL-Signal auf den
hohen Pegel; und wenn die Spannung Vdd niedriger als der Schwellwert
ist, versetzt die Spannungsvergleichsschaltung 19 den Betriebsmodus
in den Entfernt-Modus und hält
das SEL-Signal auf dem niedrigen Pegel.
-
Die
Speichersteuerschaltung 20 umfasst eine Adresserzeugungseinheit 27,
eine Datensteuereinheit 28 und eine Aktivierungssignal-Erzeugungseinheit 29,
wobei die Adresserzeugungseinheit 27 die Adressen der nicht-flüchtigen
Speicher 12 und 13 in Übereinstimmung mit einem Befehl
aus der MPU 22 steuert und die Datensteuereinheit 28 das
Lesen oder Schreiben von Daten von/in den nicht-flüchtigen Speichern 12 und 13 steuert. 8A zeigt
den internen Aufbau der Aktivierungssignal-Erzeugungseinheit 29.
In 8A wird das Schaltsignal CE (1) auf den hohen
Pegel gesetzt, wenn die MPU 22 das Wechseln zwischen dem
Entfernt-Modus und dem Nahe-Modus an die Spannungsvergleichsschaltung 19 überträgt, und
(2) auf den niedrigen Pegel gesetzt, wenn die MPU 22 das
Wechseln zwischen dem Entfernt-Modus und dem Nahe-Modus selbst vornimmt.
-
Die
MPU 22 führt
das Wechseln zwischen dem Entfernt-Modus und dem Nahe-Modus in den folgenden
Fällen
selbst durch. Während
die Spannungsvergleichsschaltung 19 das Wechseln durchführt, empfängt die
IC-Karte andere Funkwellen als diejenigen von der Terminalvorrichtung.
Wenn in diesem Fall die Spannung Vdd an der Diodenbrückenschaltung 15 gelegentlich
hoch wird, kann der Betriebsmodus versehentlich zu dem Nahe-Modus wechseln. Die
MPU 22 führt
das Schalten selbst durch, wenn von einem versehentlichen Wechseln ausgegangen
werden kann. 8A zeigt in einem Tabellenformat,
wie die Signale CE1 und CE2 in Übereinstimmung
mit der Kombination aus dem Schaltsignal CE, der Spannung Vdd und
dem Schwellwert gesetzt werden. Die Aktivierungssignal-Erzeugungseinheit 29 umfasst
eine UND-Schaltung 30 und eine UND-Schaltung 31.
Die UND-Schaltung 30 führt
eine UND-Operation unter Verwendung des Schaltsignals SE und des
SEL-Signals aus der Spannungsvergleichsschaltung 19 durch
und setzt das Signal CE2 auf den hohen Pegel, wenn das SEL-Signal
und das Schaltsignal CE den hohen Pegel aufweisen, sodass die nicht-flüchtigen
Speicher 12 und 13 gewählt werden (siehe die Reihe
des Nahe-Modus in 8B). Die UND-Schaltung 31 führt eine
UND-Operation unter Verwendung des Schaltsignals DE und eines invertierten
Werts des SEL-Signal durch und setzt das Signal CE1 auf den hohen Pegel,
wenn das Signal SEL den niedrigen Pegel aufweist und das Schaltsignal
CE den hohen Pegel aufweist, sodass nur der nicht-flüchtige Speicher 12 ausgewählt wird
(siehe die Reihe des Entfernt-Modus in 8B).
-
Die
Verschlüsselungssteuereinheit 21 umfasst
eine Datensteuereinheit 33 und eine Auswahlsignal-Erzeugungseinheit 34.
Die Datensteuereinheit 33 steuert das Eingeben/Ausgeben
von Daten zu/von den Verschlüsselungsschaltungen 10 und 11 in Übereinstimmung
mit einem Befehl aus der Speichersteuerschaltung 20. 9A zeigt
den interne Aufbau der Auswahlsignal-Erzeugungseinheit 34. 9B zeigt
in einem Tabellenformat, wie die Signale SE1 und SE2 in Übereinstimung
mit der Kombination aus dem Schaltsignal DE, der Spannung Vdd und
dem Schwellwert von 4V gesetzt werden. Aus diesen Zeichnungen geht
hervor, dass die Auswahlsignal-Erzeugungseinheit 34 der
Aktivierungssignal-Erzeugungseinheit 29 ähnlich ist.
Die Auswahlsignal-Erzeugungseinheit 34 umfasst eine UND-Schaltung 35 und
eine UND-Schaltung 36. Die UND-Schaltung 35 setzt
das Signal SE2 auf den hohen Pegel, wenn das SEL-Signal und das
Schaltsignal CE beide einen hohen Pegel aufweisen, sodass die Verschlüsselungsschaltungen 10 und 11 gewählt werden
(siehe die Reihe des Nahe-Modus in 9B). Die UND-Schaltung 36 führt eine
UND-Operation unter Verwendung des Schaltsignals CE und des invertierten
Werts des SEL-Signals durch und setzt das Signal SE1 auf den hohen
Pegel, wenn das Signal SEL den niedrigen Pegel aufweist und das
Schaltsignal CE den hohen Pegel aufweist, sodass nur die Verschlüsselungsschaltung 10 ausgewählt wird
(siehe die Reihe des Entfernt-Modus in 9B).
-
Die
MPU 22 weist den in 10 gezeigten internen
Aufbau auf und umfasst: eine Flag-Speichereinheit 37, die ein
Flag speichert, das angibt, ob die MPU 22 den Moduswechsel
an die Spannungsvergleichsschaltung 19 überträgt oder selbst vornimmt; eine
Schaltsignal-Ausgabeeinheit 38,
die das Schaltsignal CE (1) auf den hohen Pegel setzt, wenn die MPU 22 das
Wechseln an die Spannungsvergleichsschaltung 19 überträgt, und
(2) auf den niedrigen Pegel setzt, wenn die MPU 22 das
Wechseln selbst vornimmt; einen Befehlspuffer 39, der wenn
die BPSK-Modulationsschaltung 6 eine NRZ-Datensequenz ausgibt,
die NRZ-Datensequenz
als Befehl annimmt; eine Befehlsanalyseeinheit 40 zum Analysieren
der als Befehl angenommenen Datensequenz; eine Speicherzugriffseinheit 41 zum
Zugreifen auf den Speicher in Übereinstimmung
mit dem Ergebnis der Analyse durch die Befehlsanalyseeinheit 40;
eine Auswahlsignal-Erzeugungseinheit 42a zum Ausgeben von
Signalen SE1 und SE2, wenn das Flag angibt, dass die MPU 22 das
Wechseln selbst vornimmt; und eine Aktivierungssignal-Erzeugungseinheit 42b zum
Ausgeben der Signale CE1 und CE2, wenn der Befehl angibt, dass die
MPU 22 das Wechseln selbst vornimmt. Der Hersteller der
IC-Karte 1 bestimmt beim Versand, ob der Moduswechsel unter Verwendung
eines Befehls oder der elektrischen Leistung erfolgen soll. Der
für den
Moduswechsel verwendete Befehl ist ein Abfragebefehl, der zum Abfragen
einer ersten Terminalvorrichtung oder einer zweiten weiter unten
beschriebenen Terminalvorrichtung ausgegeben wird.
-
Im
Folgenden werden die Auswahlsignal-Erzeugungseinheit 42a und
die Aktivierungssignal-Erzeugungseinheit 42b beschrieben.
-
Die
Auswahlsignal-Erzeugungseinheit 42a steuert die Ausgabe
der Signale SE1 und SE2 auf der Basis eines 4-Bit-Zugriffs-Spezifikationsfelds
und eines 4-Bit-Verschlüsselungs-Spezifikationsfelds
in dem Befehl. 11A zeigt den internen Aufbau
der Auswahlsignal-Erzeugungseinheit 42a. Der obere Teil
von 11A zeigt ein 4-Bit-Zugriffs-Spezifikationsfeld
und ein 4-Bit-Verschlüsselungs-Spezifikationsfeld
in dem Abfragebefehl. 11B zeigt,
ob Daten gelesen oder geschrieben werden und ob das Signal SE1 oder
SE2 auf den hohen Pegel gesetzt ist, was aus der entsprechenden
Kombination der in dem 4-Bit-Zugriffs-Spezifikationsfeld und in
dem 4-Bit-Verschlüsselungs-Spezifikationsfeld
spezifizierten Werte erkannt werden kann.
-
Eine
UND-Schaltung 43 gibt „1" zu den UND-Schaltungen 46 und 47 aus,
wenn die unteren zwei Bits des Verschlüsselungs-Spezifikationsfelds „00" sind und die oberen
zwei Bits „11" sind.
-
Eine
UND-Schaltung 44 gibt „1" an die UND-Schaltung 46 aus,
wenn die unteren drei Bits des Zugriffs-Spezifikationsfelds „000" und das obere Bit „1" ist.
-
Eine
UND-Schaltung 45 gibt „1" an die UND-Schaltung 47 aus,
wenn die oberen zwei Bits des Zugriffsspezifikationsfelds „0" und die unteren zwei
Bits „00" sind.
-
Eine
UND-Schaltung 46 setzt das Signal SE1 auf „1", d.h. den hohen
Pegel, wenn die UND-Schaltung 43 und
die UND-Schaltung 44 beide „1" ausgeben.
-
Eine
UND-Schaltung 47 setzt SE2 auf „1", d.h. den hohen Pegel, wenn die UND-Schaltung 43 und
die UND-Schaltung 45 beide „1" ausgeben.
-
Mit
den vorstehen beschriebenen Ausgaben werden die Verschlüsselungsschaltung 10 und 11 auf der
Basis der in 11B gezeigten Definition ausgewählt.
-
Insbesondere
wird das Signal SE1 auf den hohen Pegel gesetzt und wird die Verschlüsselungsschaltung 10 ausgewählt, wenn
das Verschlüsselungs-Spezifikationsfeld 12h (=1100)
enthält
und das Zugriffs-Spezifikationsfeld 8h (=1000) enthält. Weiterhin
wird das Signal SE2 auf den hohen Pegel gesetzt und werden die Verschlüsselungsschaltungen 10 und 11 ausgewählt, wenn
das Spezifikationsfeld 12h (=1100) enthält und das Zugriffsspezifikationsfeld 4h (=
0100) enthält.
-
Die
Aktivierungssignal-Erzeugungseinheit 42b steuert die Ausgabe
der Signale CE1 und CE2 auf der Basis eines 4-Bit-Zugriffs-Spezifikationsfelds und
eines 4-Bit-Verschlüsselungs-Spezifikationsfelds
in dem Abfragebefehl. Die Aktivierungssignal-Erzeugungseinheit 42b weist
wie in 12A gezeigt denselben Schaltungsaufbau
auf wie die Auswahlsignal-Erzeugungseinheit 42a.
Der obere Teil von 12A zeigt ein 4-Bit-Zugriffs-Spezifikationsfeld
und ein 4-Bit-Verschlüsselungs-Spezifikationsfeld
in dem Abfragebefehl. 12B zeigt,
ob die Daten gelesen oder geschrieben werden und ob das Signal SE1
oder SE2 auf den hohen Pegel gesetzt ist, was aus der entsprechenden
Kombination der in dem 4-Bit-Zugriffs-Spezifikationsfeld und in dem 4-Bit-Verschlüsselungs-Spezifikationsfeld
spezifizierten Werte erkannt werden kann. Insbesondere wird das
Signal SE1 auf den hohen Pegel gesetzt und werden die nicht-flüchtigen
Speicher 12 und 13 ausgewählt, wenn das Zugriffs-Spezifikationsfeld 8h (=
1000) enthält.
Weiterhin wird das Signal CE2 auf den hohen Pegel gesetzt und wird
nur der nicht-flüchtige
Speicher 12 ausgewählt,
wenn das Zugriffs-Spezifikationsfeld 4h (= 0100) enthält.
-
Bis
jetzt wurde die MPU 22 beschrieben. Im Folgenden werden
die restlichen Komponenten der Steuereinrichtung 5 beschrieben.
Die ODER-Schaltung 23 von 7 gibt entweder
das aus der MPU 22 ausgegebene Signal CE1 oder das aus
der Aktivierungssignal-Erzeugungseinheit 29 ausgegebene
Signal CE1 zu dem nicht-flüchtigen
Speicher 12 aus.
-
Die
ODER-Schaltung 24 gibt entweder das aus der MPU 22 ausgegebene
Signal CE2 oder das aus der Aktivierungssignal-Erzeugungseinheit 29 ausgegebene
Signal CE2 zu dem nicht-flüchtigen Speicher 13 aus.
-
Die
ODER-Schaltung 25 gibt entweder das aus der MPU 22 ausgegebene
Signal SE1 oder das aus der Auswahlsignal-Erzeugungseinheit 34 ausgegebene
Signal SE1 zu dem nichtflüchtigen
Speicher 12 aus.
-
Die
ODER-Schaltung 26 gibt entweder das aus der MPU 22 ausgegebene
Signal SE2 oder das aus der Auswahlsignal-Erzeugungseinheit 34 ausgegebene
Signal SE2 zu dem nichtflüchtigen
Speicher 13 aus.
-
Bis
jetzt wurde die IC-Karte 1 beschrieben. Im Folgenden wird
die erste Terminalvorrichtung beschrieben. 13 zeigt
eine automatische Fahrscheinsperre 48 mit der ersten Terminalvorrichtung. Die
automatische Fahrscheinsperre 48 umfasst eine Schranke 49 und
eine R/W 100. Das Öffnen
und Schließen
der Schranke 49 wird durch die erste Terminalvorrichtung
gesteuert.
-
14 zeigt
den internen Aufbau der R/W 100 (nachfolgend werden die
R/W 100 und die erste Terminalvorrichtung als eine Vorrichtung
behandelt). Wie in 14 gezeigt, umfasst die erste
Terminalvorrichtung eine Leistungsschaltung 50, eine Schnittstellenschaltung 51,
eine ASK-Modulationsschaltung 52, eine BPSK-Demodulationsschaltung 53,
eine Steuereinrichtung 55 und eine Verschlüsselungsschaltung 56.
-
Wie
in 14 gezeigt, umfasst die IC-Karte 1 keine
Leistungsschaltung, während
die erste Terminalvorrichtung die Leistungsschaltung 50 umfast.
Die integrierte Einrichtung der IC-Karte 1 wird nicht aktiviert,
bis Leistung von einer Terminalvorrichtung zugeführt wird, während die internen Schaltungen
der ersten Terminalvorrichtung stets durch die eingebettete Leistungsschaltung 50 betrieben
werden. Die IC-Karte 1 umfasst keine Schnittstelle für die Verbindung
mit anderen Vorrichtungen, während
die erste Terminalvorrichtung die Schnittstellenschaltung 51 für das Zusammenwirken
mit einer Host-Vorrichtung eines Verwaltungssystems im Bahnhof umfasst.
-
Während die
IC-Karte 1 eine ASK-Demodulationsschaltung und eine BPSK-Modulationsschaltung
enthält,
enthält
die erste Terminalvorrichtung die ASK-Modulationsschaltung 52 und
die BPSK-Demodulationsschaltung 53. Die ASK-modulierte
Welle kann wie weiter unten beschrieben eine hohe elektrische Leistung
vorsehen. Aus diesem Grund ASK-moduliert die erste Terminalvorrichtung
die durch die Leistungsschaltung 50 zugeführte Leistung und
führt die
modulierte Leistung zu der IC-Karte 1 zu, wenn sich diese
der ersten Terminalvorrichtung nähert.
Die IC-Karte 1 umfasst Verschlüsselungsschaltungen 10 und 11,
wobei die Verschlüsselungsschaltung 10 unter
Verwendung eines geheimen Schlüssels
verschlüsselt,
während
die Verschlüsselungsschaltung 11 unter
Verwendung eines öffentlichen
Schlüssels
verschlüsselt.
Im Gegensatz dazu enthält
die erste Terminalvorrichtung nur die Verschlüsselungsschaltung 56,
die unter Verwendung eines geheimen Schlüssels verschlüsselt, und
enthält
keine Verschlüsselungsschaltung
zum Verschlüsseln
unter Verwendung eines öffentlichen Schlüssels.
-
16 zeigt
ein durch die Steuereinrichtung 55 der ersten Terminalvorrichtung
und die Steuereinrichtung 5 der IC-Karte 1 ausgeführtes Kommunikationsprotokoll.
Das Kommunikationsprotokoll wird im Folgenden mit Bezug auf 16 erläutert. Die
Steuereinrichtung 55 der ersten Terminalvorrichtung gibt in
Schritt S1 den Abfragebefehl aus und wartet in Schritt S2 darauf,
dass die IC-Karte 1 eine ID-Nummer ausgibt. Die Steuereinrichtung 55 der
ersten Terminalvorrichtung wartet auf eine Annäherung der IC-Karte 1,
indem sie die Schritte S1 und S2 wiederholt. Dabei soll angenommen
werden, dass wie in 15 gezeigt ein Eigentümer der
IC-Karte 1 diese aus einer Tasche nimmt, sich der ersten
Terminalvorrichtung nähert
und die IC-Karte 1 über
die R/W 100 (die erste Terminalvorrichtung) hält. Die IC-Karte 1 wird
dann aktiviert, indem sie Leistung von der ersten Terminalvorrichtung
empfängt,
wobei in Schritt S3 die Steuereinrichtung 5 der IC-Karte 1 darauf
wartet, dass die erste Terminalvorrichtung einen Abfragebefehl ausgibt.
Nachdem die erste Terminalvorrichtung während dieses Wartezustands
in Schritt S3 einen Abfragebefehl ausgegeben hat, überträgt die Steuereinrichtung 5 der
IC-Karte 1 in Schritt S4 eine ID-Nummer. Nach dem Empfang
der ID-Nummer während
des Wartezustands in Schritt S2 geht die Steuereinrichtung 55 der
ersten Terminalvorrichtung, die auf die ID-Nummer gewartet hat,
zu Schritt S6 über.
-
Nach
der Übertragung
der ID-Nummer bestimmt die Steuereinrichtung 5 der IC-Karte 1,
ob sie im Nahe-Modus oder im Entfernt-Modus aktiviert werden soll.
In diesem Beispiel bestimmt die Steuereinrichtung 5, dass
sie im Entfernt-Modus aktiviert werden soll, und geht zu Schritt
S7.
-
Die
Schritte S6 und S7 werden für
einen gegenseitigen Authentifizierungsprozess unter Verwendung eines
geheimen Schlüssels
ausgeführt.
Wenn dieser gegenseitige Authentifizierungsprozess anormal beendet
wird, schließt
die Steuereinrichtung 55 der ersten Terminalvorrichtung
in Schritt S8 die Schranke 49 und benachrichtigt den Systemadministrator
darüber,
dass es sich um eine nicht korrekte IC-Karte handelt.
-
Die
gegenseitige Authentifizierung zwischen der ersten Terminalvorrichtung
und der IC-Karte 1 wird im Folgenden mit Bezug auf 17 beschrieben. 17 ist
ein Abfolgediagramm, das die gegenseitige Authentifizierung zwischen
der ersten Terminalvorrichtung und der IC-Karte zeigt.
-
Der
erste Prozess der gegenseitigen Authentifizierung wird hauptsächlich durch
die erste Terminalvorrichtung bewerkstelligt. In Schritt S51 bestimmt
die Steuereinrichtung 55 der ersten Terminalvorrichtung,
ob die ID-Nummer normal ist. Wenn bestimmt wird, dass die ID-Nummer
normal ist, erzeugt die Steuereinrichtung 55 der ersten
Terminalvorrichtung eine Zufallszahl, verschlüsselt die erhaltene Zahl A
unter Verwendung eines vorbestimmten geheimen Schlüsseln La
in Schritt S52 und sendet eine Zahl VA (= verschlüsselte Zahl
A) in Schritt S53 zu der IC-Karte.
-
In
Schritt S54 wartet die Steuereinrichtung 5 der IC-Karte
darauf, dass die erste Terminalvorrichtung die Zahl VA sendet. Nachdem
Empfangen der Zahl VA geht die Steuereinrichtung 5 zu Schritt
S55, um die Zahl VA unter Verwendung eines geheimen Schlüssels Lb
zu entschlüsseln,
den sie zuvor von der ersten Terminalvorrichtung erhalten hat. Die Steuereinrichtung 5 sendet
dann in Schritt S56 eine Zahl B, die aus der Entschlüsselung
resultiert, zu der ersten Terminalvorrichtung.
-
Die
erste Terminalvorrichtung wartet darauf, dass die IC-Karte in Schritt
S57 die Zahl B sendet. Nach dem Empfang der Zahl B in Schritt S57,
geht die erste Terminalvorrichtung zu Schritt S59. In Schritt S59
bestimmt die erste Terminalvorrichtung, ob die Zahl B mit der Zahl
A übereinstimmt.
Wenn die Zahl B mit der Zahl B übereinstimmt,
bestimmt die erste Terminalvorrichtung, dass die Beziehung La = Lb
erfüllt
wird, und schließt
die gegenseitige Authentifizierung mittels des geheimen Schlüssels ab.
Dadurch wird der Prozess der gegenseitigen Authentifizierung, der
hauptsächlich
in der ersten Terminalvorrichtung bewerkstelligt wird, beendet.
-
Danach
wird ein Prozess der gegenseitigen Authentifizierung hauptsächlich durch
die IC-Karte auf ähnliche
Weise in den Schritten S60 und S61 bewerkstelligt. Die IC-Karte
erzeugt eine Zufallszahl J, verschlüsselt diese, sendet die verschlüsselte Zahl VJ
zu der ersten Terminalvorrichtung, empfängt von der ersten Terminalvorrichtung
eine Zahl K, die durch das Entschlüsseln der Zahl VJ erhalten
wird, und bestimmt, ob die Zahl K mit der Zahl J übereinstimmt. Wenn
die beiden Zahlen nicht übereinstimmen,
beendet die Karte den hauptsächlich
in der IC-Karte bewerkstelligten gegenseitigen Authentifizierungsprozess anormal.
Wenn die beiden Zahlen übereinstimmen,
sendet die IC-Karte in Schritt S62 einen Bestätigungsbefehl zu der ersten
Terminalvorrichtung und beendet den gegenseitigen Authentifizierungsprozess.
-
Die
Steuereinrichtung 55 der ersten Terminalvorrichtung wartet
in Schritt S63 darauf, dass die IC-Karte den Bestätigungsbefehl
sendet. Wenn die Steuereinrichtung 55 den Bestätigungsbefehl
in Schritt S63 empfängt,
wird die gegenseitige Authentifizierung abgeschlossen.
-
Wenn
die gegenseitige Authentifizierung normal beendet wird, wartet die
Steuereinrichtung 5 der IC-Karte 1 in Schritt
S9 von 16 darauf, dass die erste Terminalvorrichtung
den Lesebefehl ausgibt. In Schritt S10 gibt die Steuereinrichtung 55 der ersten
Terminalvorrichtung den Lesebefehl zum Lesen von Informationen aus
dem nicht-flüchtigen
Speicher 12 aus, wobei die Informationen einen Streckenabschnitt,
in dem der Eigentümer
der IC-Karte reisen kann, sowie eine Gültigkeitsperiode der als Fahrgastausweis
dienenden IC-Karte
angeben. Die Steuereinrichtung 55 wartet dann in Schritt
S11 darauf, dass die IC-Karte die gelesenen Daten sendet. Wenn die Steuereinrichtung 5 der
IC-Karte 1 in Schritt S9 den Lesebefehl empfängt, geht
sie zu Schritt S12. In Schritt S12 analysiert und führt die
Steuereinrichtung 5 der IC-Karte 1 den Lesebefehl
aus, um Informationen zu dem Streckenabschnitt und der Gültigkeitsdauer
aus den nicht-flüchtigen
Speichern 12 und 13 zu lesen. Die Steuereinrichtung 5 sendet
dann die gelesenen Informationen in Schritt S13 zu der ersten Terminalvorrichtung
und wartet in Schritt S14 darauf, dass die Steuereinrichtung 55 der
ersten Terminalvorrichtung den Schreibbefehl ausgibt. Nach dem Empfangen
der Informationen bestimmt die Steuereinrichtung 55 der
ersten Terminalvorrichtung auf der Basis der Informationen zu dem
Streckenabschnitt und der Gültigkeitsdauer,
ob sie dem Eigentümer
der IC-Karte das Passieren durch die Schranke und damit den Zugang
zu dem Zug gestatten soll. Die Steuereinrichtung 55 der
ersten Terminalvorrichtung schließt die Schranke 49 und
verweigert dem Eigentümer
der IC-Karte den Zugang, wenn der Bahnhof nicht in dem Streckenabschnitt
enthalten ist oder wenn die Gültigkeitsdauer
abgelaufen ist. Wenn die Steuereinrichtung 55 dem Eigentümer das
Passieren durch die Schranke gestattet, gibt die Steuereinrichtung 55 in
Schritt S15 den Schreibbefehl aus und wartet in Schritt S16 darauf,
dass die IC-Karte eine Datenschreib-Abschlussbenachrichtigung ausgibt.
-
Wenn
die Steuereinrichtung 5 der IC-Karte 1 in Schritt
S14 den Schreibbefehl empfängt,
geht die Steuereinrichtung 5 zu Schritt S17, um den Schreibbefehl
zu analysieren und auszuführen,
und schreibt Informationen in den nicht-flüchtigen Speicher 12, wobei
die Informationen angeben, dass der Eigentümer der IC-Karte von dem aktuellen
Bahnhof aus mit dem Zug gefahren ist. Die Steuereinrichtung 5 sendet dann
in Schritt S18 die Datenschreib-Abschlussbenachrichtigung zu der
ersten Terminalvorrichtung. Bei Empfang der Datenschreib-Abschlussbenachrichtigung
geht die Steuereinrichtung 55 der ersten Terminalvorrichtung
zu einer Schleife aus den Schritten S1 und S2, um auf die Annäherung eines
folgenden Eigentümers
einer IC-Karte zu warten.
-
Im
Folgenden wird die zweite Terminalvorrichtung beschrieben. Die zweite
Terminalvorrichtung wird in einer Maschine zum Tätigen einer Zahlung wie etwa
in einem Geldautomaten verwendet. 18 zeigt
ein Beispiel für
die zweite Terminalvorrichtung, die in einem Geldautomaten verwendet wird.
Wie in 18 gezeigt, umfasst der Geldautomat 60:
einen Schlitz 61, durch den die IC-Karte 1 eingeführt wird;
einen Berührungsbildschirm
62 zum Empfangen der Eingabe einer Identifikationsnummer eines IC-Karten-Eigentümers bzw.
einer PIN (Personal Identification Number: Persönliche Identifikationsnummer);
einen Biosensor 63 zum Lesen von Bioinformationen zu dem
IC-Karten-Eigentümer
wie etwa der Gesichtskontur, dem Irismuster in den Augen oder Fingerabdrücken; und
einen Geldschein-Ausgabekasten 64,
in den Geldscheine von innerhalb des Geldautomaten 60 geführt werden, wenn
der IC-Karten-Eigentümer
durch eine gegenseitige Authentifizierung unter Verwendung der Karteninformationen
und der Bioinformationen authentifiziert wurde. Ein wichtiger Unterschied
zwischen der ersten und der zweite Terminalvorrichtung besteht in der
Anordnung der Antenne. Bei der ersten Terminalvorrichtung werden
Funkwellen über
die Antenne aus der Vorrichtung hinaus emittiert, während bei
der zweiten Terminalvorrichtung Funkwellen innerhalb der Vorrichtung
emittiert werden. Die Antenne der zweiten Terminalvorrichtung ist
in einem dedizierten Kasten untergebracht, der elektromagnetisch
abgeschirmt ist.
-
19 zeigt
einen dedizierten Kasten 65 mit einer Antenne. Der dedizierte
Kasten 65 weist einen Schlitz 61 auf, durch den
die IC-Karte 1 in den Kasten 65 eingeführt wird.
Der dedizierte Kasten 65 umfasst weiterhin: eine Rahmenantenne 66;
ein Kartentablett 67, das unter der Rahmenantenne 66 angeordnet
ist und die IC-Karte 1 hält; einen Kartensensor 68 zum Lesen
eines magnetischen Codes oder von physikalisch etwa durch eine Prägung aufgezeichneten
Informationen oder von optisch oder magnetooptisch aufgezeichneten
Informationen (nachfolgend werden diese Typen von auf der Karte
aufgezeichneten Informationen einfach als Karteninformationen bezeichnet)
von der IC-Karte 1; und einen Lademechanismus (nicht gezeigt)
zum Empfangen der IC-Karte 1 durch den Schlitz 61 und
zum Laden der Karte auf das Kartentablett 67. 10 zeigt,
wie die IC-Karte 1 unter der Rahmenantenne der zweiten
Terminalvorrichtung eingeführt
wird. Wie durch den Pfeil y1 in der Zeichnung angegeben, wird die
IC-Karte 1 direkt unter der Rahmenantenne eingeführt.
-
Wie
in 21A gezeigt, ist der Abstand zwischen der Rahmenantenne 66 und
der eingeführten IC-Karte
nur 0–5
mm groß.
-
Wenn
Leistung zu der Hochleistungs-Rahmenantenne 66 zugeführt wird,
während
sich die IC-Karte 1 wie oben beschrieben mit einem kurzen Abstand
unter der Antenne befindet, werden Funkwellen wie durch die Pfeile
y2 und y3 in 21B angegeben erzeugt. Die erzeugten
Funkwellen lecken auch dann nicht aus dem dedizierten Kasten, wenn die
Rahmenantenne 66 eine Funkwelle mit einer Leistung von
mehr als 10 mW sendet, weil der dedizierte Kasten elektromagnetisch
abgeschirmt ist. Obwohl in Japan das Aussenden von Funkwellen mit
einer Leistung von 10 mW oder mehr ohne Genehmigung nicht zulässig ist,
kann die in der zweiten Terminalvorrichtung vorgesehene Rahmenantenne
eine Leistung unter Verwendung von Funkwellen mit 10 mW oder mehr
wie etwa 20 mW oder 30 mW zuführen.
Die Zuführung
einer derartig hohen Leistung ermöglicht, dass die IC-Karte 1 in
dem Nahe-Modus betrieben wird. Wenn die hohe Leistung zugeführt wird,
kann die integrierte Einrichtung in der IC-Karte 1 mit
einem Hochfrequenz-Synchronisationstaktsignal betrieben werden und
kann die Steuereinrichtung 5 ein Anwendungsprogramm einer
höheren
Ebene ausführen.
Das Anwendungsprogramm einer höheren
Ebene kann zum Beispiel JICSAP (Japan IC Card System Application),
das eine für
JAVA Card entwickelte Multi-OS-Software
(JAVA Card ist ein von Sun Microsystems Inc. vorgeschlagener Kartenstandard)
ist, oder eine von EMV vorgeschlagene Software sein.
-
Im
Folgenden wird der interne Aufbau der zweiten Terminalvorrichtung
beschrieben. 22 zeigt den internen Aufbau
der zweiten Terminalvorrichtung. Wie in 22 gezeigt,
umfasst die zweite Terminalvorrichtung eine Leistungsschaltung 69, eine
Schnittstellenschaltung 70, eine ASK-Modulationsschaltung 71,
eine BPSK-Demodulationsschaltung 72, eine Steuereinrichtung 73 und
eine Verschlüsselungsschaltung 74.
Die ASK-Modulationsschaltung 71 und die BPSK-Demodulationsschaltung 72 sind
mit der Hochleistungs-Rahmenantenne 66 verbunden. Der Kartensensor 68 ist
mit der Steuereinrichtung 73 verbunden. Die zweite Terminalvorrichtung
unterscheidet sich von der ersten Terminalvorrichtung dadurch, dass
die ASK-Modulationsschaltung 71 und die BPSK-Demodulationsschaltung 72 im
Nahe-Modus eine höhere
Leistung zu der IC-Karte 1 zuführen als in der ersten Terminalvorrichtung,
sowie weiterhin dadurch, dass die Verschlüsselungsschaltung 74 Daten
unter Verwendung eines geheimen Schlüssels verschlüsselt und
entschlüsselt und
eine gegenseitige Authentifizierung unter Verwendung einer Verschlüsselung
mit einem öffentlichen
Schlüssel
vornimmt, was eine höhere
Sicherheit vorsieht.
-
Die
oben beschriebenen Prozesse der zweiten Terminalvorrichtung werden
durch die Steuereinrichtung 73 gesteuert. 23 ist
ein Flussdiagramm, das die Prozedur der Steuereinrichtung 73 der
zweiten Terminalvorrichtung zeigt. Das Kommunikationsprotokoll wird
mit Bezug auf 23 beschrieben. Die Steuereinrichtung 73 der
zweiten Terminalvorrichtung wartet immer darauf, dass eine IC-Karte 1 eingeführt und
auf das Kartentablett 67 geladen wird. Wenn ein Eigentümer einer
IC-Karte 1 die IC-Karte 1 in den Schlitz einführt, wird
die IC-Karte 1 in die zweite Terminalvorrichtung gezogen
und geladen. Wenn die IC-Karte 1 in die zweite Terminalvorrichtung
eingeführt
wurde, befindet sich die IC-Karte wie in 21A gezeigt
nahe bei der Rahmenantenne 66 der zweiten Terminalvorrichtung.
Die IC-Karte 1 ist unterhalb des Zentrums der Rahmenantenne
positioniert. Wenn in diesem Zustand eine Funkwelle in der Rahmenantenne 66 induziert
wird, wird eine hohe Leitung zu der IC-Karte 1 zugeführt. Während 21A zeigt, dass der Abstand zwischen der Rahmenantenne 66 und
der IC-Karte 0–5
mm beträgt, kann
die IC-Karte wie in 21C gezeigt auch in Kontakt
mit der Rahmenantenne 66 gebracht werden, solange dieselben
keinen elektrischen Kontakt zueinander aufweisen.
-
Nachdem
die IC-Karte 1 eingeführt
wurde, weist die Steuereinrichtung 73 der zweiten Terminalvorrichtung
in Schritt S22 den Kartensensor 68 an, die Karteninformationen
zu lesen, und bestimmt in Schritt S23, ob die Karteninformationen
normal sind. Wenn die Steuereinrichtung 73 bestimmt, dass
die Karteninformationen anormal sind, weil kein Magnetcode oder
keine Prägung
vorhanden ist oder weil ein Herstellungsfehler gegeben ist, warnt
die Steuereinrichtung 73 den Karteneigentümer entsprechend, wirft
die IC-Karte 1 aus, geht zu Schritt 29 über und benachrichtigt
den Systemadministrator darüber, dass
es sich um eine nicht korrekte IC-Karte handelt. Wenn die Steuereinrichtung 73 in
Schritt S23 bestimmt, dass die Karteninformationen normal sind, geht
die Steuereinrichtung 73 zu Schritt S24 über und fordert
den Karteneigentümer
zur Eingabe einer Codenummer auf. Die Steuereinrichtung 73 wartet
dann in Schritt S25 auf die Eingabe der Codenummer. Nachdem die
Codenummer eingegeben wurde, vergleicht die Steuereinrichtung 73 in
Schritt S26 die in den Karteninformationen enthaltene Codenummer mit
der eingegebenen Codenummer. Wenn die beiden Codenummern nicht übereinstimmen,
geht die Steuereinrichtung 73 zu Schritt S29 über, um
den Systemadministrator darüber
zu benachrichtigen, dass die IC-Karte dem Karteneigentümer nicht
rechtmäßig gehört. Wenn
die zwei Codenummern in Schritt S26 übereinstimmen, geht die Steuereinrichtung 73 zu
Schritt S27 über,
um den Biosensor 63 zu aktivieren, wobei sie den Biosensor 63 anweist,
die Bioinformationen zu dem Karteneigentümer wie etwa die Gesichtskontur,
das Irismuter in den Augen oder Fingerabdrücke zu lesen. In Schritt S28
erkundigt sich die Host-Vorrichtung, ob der Karteneigentümer auf
der Basis der Bioinformationen der rechtmäßige Besitzer der IC-Karte 1 ist.
Die Host-Vorrichtung umfasst eine Datenbank, die eine Vielzahl von
Einträgen von
IC-Karten-Codenummern in Entsprechung zu einer Vielzahl von Elementen
von Bioinformationen umfasst, sodass die Host-Vorrichtung entscheiden kann,
ob es sich um den rechtmäßigen Besitzer
handelt. Wenn keine Kombination aus den durch den Biosensor 63 gelesenen
Bioinformationen und aus der eingegebenen Codenummer in der Datenbank
gefunden wird, weil der Karteneigentümer die IC-Karte 1 unrechtmäßig erworben
hat, geht die Steuereinrichtung 73 zu Schritt S29, um den
Systemadministrator zu benachrichtigen. Wenn eine Kombination aus
den durch den Biosensor 63 gelesenen Bioinformationen und
aus der eingegebenen Codenummer in der Datenbank gefunden wird,
geht die Steuereinrichtung zu dem in dem Flussdiagramm von 24 gezeigten
Prozess.
-
Danach
wirken die Steuereinrichtung 73 der zweiten Terminalvorrichtung
und die Steuereinrichtung 7 der IC-Karte 1 wie
in dem Flussdiagramm von 24 gezeigt
zusammen. Es ist zu beachten, dass in 16 und 24 mit
gleichen Bezugszeichen angegebene Schritte dieselben Operationen
durchführen.
Das in 24 gezeigte Flussdiagramm unterscheidet
sich von dem in 16 gezeigten dadurch, dass in
Schritt S31 Leistung von der Hochleistungs-Rahmenantenne 66 zugeführt wird,
bevor in Schritt S1 der Abfragebefehl ausgegeben wird, dass der
Moduswechsel in Schritt S5 vorgenommen wird, dass die IC-Karte im
Nahe-Modus aktiviert wird, dass die gegenseitige Authentifizierung
in den Schritten S32-S33 unter Verwendung eines öffentlichen Schlüssels durchgeführt wird,
während
die gegenseitige Authentifizierung in 16 in
den Schritten S6–S7
unter Verwendung eines geheimen Schlüssels durchgeführt wird,
dass die Daten verschlüsselt werden,
wenn sie unter Verwendung des Lesebefehls oder des Schreibbefehls
gesendet oder empfangen werden, und dass die verschlüsselten
Daten durch die Verschlüsselungsschaltung
entschlüsselt werden.
Weiterhin unterscheidet sich der durch die zweite Terminalvorrichtung
ausgegebene Abfragebefehl von dem durch die erste Terminalvorrichtung ausgegebenen.
Bei diesem Aufbau kann die IC-Karte unmittelbar erkennen, ob die
Terminalvorrichtung, der sich die IC-Karte nähert, die erste Terminalvorrichtung
oder die zweite Terminalvorrichtung ist.
-
Die
zwischen der zweiten Terminalvorrichtung und der IC-Karte in den
Schritten S32 und S33 in 24 durchgeführte gegenseitige
Authentifizierung wird im Folgenden mit Bezug auf 25 beschrieben. 25 ist
ein Abfolgediagramm, das die gegenseitige Authentifizierung zwischen
der zweiten Terminalvorrichtung und der IC-Karte zeigt.
-
In
Schritt S71 bestimmt die Steuereinrichtung 73 der zweiten
Terminalvorrichtung, ob die ID-Nummer korrekt ist. Wenn bestimmt
wird, dass die ID-Nummer korrekt ist, erzeugt die Steuereinrichtung 73 der
zweiten Terminalvorrichtung in Schritt S72 eine Zufallszahl, verschlüsselt die
erhaltene Zahl D unter Verwendung eines vorbestimmten öffentlichen Schlüssels Ma
und sendet dann die Zahl (= verschlüsselte Zahl WD) an die IC-Karte,
wobei der öffentliche
Schlüssel
Ma und ein geheimer Schlüssel Ha
zuvor vorbereitet wurden.
-
In
Schritt S74 wartet die Steuereinrichtung 5 der IC-Karte
darauf, dass die zweite Terminalvorrichtung die Zahl WD sendet.
Nach dem Empfang der Zahl WD geht die Steuereinrichtung 5 zu
Schritt S75 über,
um die Verschlüsselungsschaltung
10 zum Entschlüsseln
der Zahl WD unter Verwendung eines geheimen Schlüssels Hb anzuweisen, sodass
eine Zahl E erhalten wird, wobei die Zahl E unter Verwendung eines öffentlichen
Schlüssels
Mb verschlüsselt
wird, sodass eine Zahl WE erhalten wird, wobei der geheime Schlüssel Hb
und der öffentliche
Schlüssel
Mb zuvor vorbereitet wurden. Die Steuereinrichtung 5 geht
dann zu Schritt S76 über,
um die Zahl WE zu der zweiten Terminalvorrichtung zu senden.
-
Die
Steuereinrichtung 73 der zweiten Terminalvorrichtung wartet
in Schritt S77 darauf, dass die IC-Karte die Zahl WE sendet. Nach
dem Empfang der Zahl WE in Schritt S77, geht die zweite Terminalvorrichtung
zu Schritt S78. In Schritt S78 entschlüsselt die Steuereinrichtung 73 der
zweiten Terminalvorrichtung die Zahl WE unter Verwendung des geheimen
Schlüssels
Ha. Die Steuereinrichtung 73 bestimmt dann in Schritt S79,
ob die durch das Entschlüsseln
der Zahl WE erhaltene Zahl F mit der Zahl D übereinstimmt. Wenn die beiden
Zahlen übereinstimmen,
schließt
die zweite Terminalvorrichtung den Prozess der gegenseitigen Authentifizierung
ab, was hauptsächlich
durch die zweite Terminalvorrichtung bewerkstelligt wird.
-
Danach
wird ein Prozess in der gegenseitigen Authentifizierung hauptsächlich durch
die IC-Karte auf ähnliche
Weise in den Schritten S80 und S81 ausgeführt. Die IC-Karte erzeugt eine
Zufallszahl M, verschlüsselt
diese unter Verwendung des öffentlichen
Schlüssels
Mb und sendet die verschlüsselte
Zahl WM an die zweite Terminalvorrichtung. Die zweite Terminalvorrichtung
entschlüsselt
die Zahl WM unter Verwendung eines geheimen Schlüssels, verschlüsselt diese
unter Verwendung eines öffentlichen
Schlüssels,
um eine Zahl WN zu erhalten, und sendet die Zahl WN zu der IC-Karte.
Die IC-Karte empfängt
die Zahl WN von der zweiten Terminalvorrichtung, erhält eine
Zahl N, indem sie die Zahl WN entschlüsselt, und bestimmt, ob die
Zahl n mit der Zahl N übereinstimmt.
Wenn die beiden Zahlen nicht übereinstimmen,
beendet die IC-Karte den gegenseitigen Authentifizierungsprozess
anormal. Wenn die beiden Zahlen übereinstimmen,
sendet die IC-Karte in Schritt S83 einen Bestätigungsbefehl an die zweite Terminalvorrichtung
und beendet die gegenseitige Authentifizierung.
-
Die
Steuereinrichtung 73 der zweiten Terminalvorrichtung wartet
in Schritt S83 darauf, dass die IC-Karte den Bestätigungsbefehl
sendet. Wenn die Steuereinrichtung 73 den Bestätigungsbefehl
in Schritt S83 empfängt,
ist die gegenseitige Authentifizierung abgeschlossen.
-
Aus
den vorstehenden Erläuterungen
geht hervor, dass die Sicherheit im Nahe-Modus höher ist als im Entfernt-Modus.
-
Wie
oben beschrieben, umfasst die zweite Terminalvorrichtung einen Mechanismus
wie etwa einen elektromagnetisch abgeschirmten Kasten, der das Lecken
von Funkwellen verhindert. Wenn bei diesem Aufbau eine tragbare
Karte in den elektromagnetisch abgeschirmten Kasten eingeführt wird,
können
die persönlichen
Informationen nicht durch eine böswillige
dritte Partei abgefangen werden, während sie zwischen der zweiten
Terminalvorrichtung und der integrierten Einrichtung übertragen
werden. Weil der nicht-flüchtige
Speicher 13 in der IC-Karte 1 wie oben beschrieben
nur in dem Nahe-Modus aktiviert wird, ist der nicht-flüchtige Speicher 13 nützlich,
um persönliche
Informationen zu speichern, für
die eine hohe Sicherheit erforderlich ist. Wenn die persönlichen
Informationen in dem nicht-flüchtigen
Speicher 13 gespeichert werden, kann der One-Chip-IC der IC-Karte 1 mit
der zweiten Terminalvorrichtung in Bezug auf die persönlichen
Informationen zusammenwirken, ohne einen elektrischen Kontakt mit
der internen Schaltung der Terminalvorrichtung herzustellen. Auf
diese Weise erfolgt das Zusammenwirken zwischen der IC-Karte 1 und
der zweiten Terminalvorrichtung, während die integrierte Einrichtung
nicht in Kontakt mit der internen Schaltung der Terminalvorrichtung
ist. Es ist deshalb keine Wartung für die IC-Karte 1 und
die zweite Terminalvorrichtung erforderlich. Weil weiterhin der
nicht-flüchtige
Speicher 13 aktiviert wird, wenn sich die IC-Karte 1 der
Terminalvorrichtung nähert,
muss der Karteneigentümer
keinen Kontakt zwischen der Terminalvorrichtung und der IC-Karte
herstellen, was für
den Eigentümer
der IC-Karte 1 praktisch ist. Wie bei dem Entfernt-Modus der
herkömmlichen
IC-Karte 1 kann die IC-Karte 1 der vorliegenden
Erfindung im Entfernt-Modus
mit der ersten Terminalvorrichtung zusammenwirken. Außerdem kann
die IC-Karte 1 der vorliegenden Erfindung für das Tätigen einer
Zahlung verwendet werden, was für
die herkömmliche
IC-Karte 1 aus Sicherheitsgründen als nicht für den Entfernt-Modus
geeignet betrachtet wurde. Mit anderen Worten kann eine einzige
IC-Karte 1 viele verschiedene Arten von persönlichen
Informationen verwalten.
-
Es
ist zu beachten, dass verschiedene Änderungen vorgenommen werden
können,
ohne dass dadurch der Erfindungsumfang verlassen wird. Im Folgenden
werden einige derartige Änderungen
beschrieben.
- (a) In der vorliegenden Ausführungsform
ist die erste Terminalvorrichtung mit einer automatischen Fahrscheinsperre
in einem Bahnhof verbunden. Die erste Terminalvorrichtung kann aber auch
mit einem Geldautomaten verbunden sein. In diesem Falls speichert
der nicht-flüchtige
Speicher 12 Namen und Code-Nummern von Karteneigentümern. Wenn
sich die IC-Karte 1 der ersten Terminalvorrichtung nähert, gibt
die erste Terminalvorrichtung einen Lesebefehl zum Lesen des Namens
und der PIN von der IC-Karte 1 aus. Die erste Terminalvorrichtung
gibt dann einen Schreibbefehl an die IC-Karte 1 aus, sodass
die IC-Karte 1 eine Geldsumme in den nicht-flüchtigen
Speicher 12 schreibt. Die erste Terminalvorrichtung weist
dann den Geldautomaten an, die Geldsumme auszuzahlen.
- (b) In der vorliegenden Ausführungsform
ist die erste Terminalvorrichtung mit einer automatischen Fahrscheinsperre
verbunden, während
die zweite Terminalvorrichtung mit einem Geldautomaten verbunden
ist. Es kann jedoch auch eine einzige Terminalvorrichtung die Funktionen
der ersten und der zweiten Terminalvorrichtung aufweisen. Wenn sich
in diesem Fall eine IC-Karte der Terminalvorrichtung zu einem Abstand
von einigen cm bis 10 cm nähert,
versetzt die Terminalvorrichtung den One-Chip-IC in den Entfernt-Modus
und sendet und empfängt
dann Funkwellen von/zu der IC-Karte, um Daten zu/von dem One-Chip-IC aus- und
einzugeben, ohne dass die Terminalvorrichtung und die IC-Karte einander kontaktieren.
Und wenn sich die IC-Karte der Terminalvorrichtung zu einem Abstand
von 0 bis 5 mm nähert,
versetzt die Terminalvorrichtung den One-Chip-IC in den Nahe-Modus
und sendet und empfängt
dann Funkwellen zu/von der IC-Karte, um Daten zu/von dem One-Chip-IC aus- und
einzugeben, ohne dass die Terminalvorrichtung und die IC-Karte einander
kontaktieren. Weiterhin kann ein Programm auf einem Computer-lesbaren
Aufzeichnungsmedium aufgezeichnet sein, mit dem ein Universalcomputer
derartige Funktionen ausführen
kann. In diesem Fall sollte der Universalcomputer eine ASK-Modulationsschaltung und
eine BPSK-Demodulationsschaltung umfassen. Wenn sich eine IC-Karte
dem Universalcomputer auf einen Abstand zwischen einigen cm und 10
nähert,
versetzt der Universalcomputer den One-Chip-IC in den Entfernt-Modus
und sendet und empfängt
dann Funkwellen von/zu der IC-Karte, um Daten von/zu dem One-Chip-IC
ein- uns auszugeben, ohne dass der Universalcomputer und die IC-Karte
einander kontaktieren. Und wenn sich eine IC-Karte dem Universalcomputer auf
einen Abstand von 0 bis 5 mm nähert,
versetzt der Universalcomputer den One-Chip-IC in den Nahe-Modus
und sendet und empfängt
dann Funkwellen von/zu der IC-Karte, um Daten von/zu dem One-Chip-IC
ein- uns auszugeben, ohne dass der Universalcomputer und die IC-Karte
einander kontaktieren.
- (c) In der vorliegenden Ausführungsform
erfolgt das Wechseln zu dem Nahe-Modus unter Verwendung einer durch
die Antenne empfangenen Spannung und des Abfragebefehls. Das Wechseln
des Modus kann jedoch auch unter Verwendung von (1) einem aus einer
Vielzahl von Informationstypen wie etwa physikalisch auf der IC-Karte
aufgezeichneten Informationen, optisch oder magnetooptisch auf der
IC-Karte aufgezeichneten Informationen, einer Code-Nummer des IC-Karteneigentümers oder
Bioinformationen zu dem IC-Karteneigentümer erfolgen, oder unter Verwendung
von (2) in einem Speicher gespeicherten persönlichen Informationen. Die
durch die Antenne empfangene Spannung und der Abfragebefehl können auch
in Kombination mit den vorstehend genannten Informationen verwendet
werden.
- (d) In der vorliegenden Ausführungsform
werden entweder die Signale CE1 und CE2 aus der MPU 22 oder
die Signale CE1 oder CE2 aus der Aktivierungssignal-Erzeugungseinheit 29 zu
den nicht-flüchtigen
Speichern 12 und 13 ausgegeben. Ein Zugriff auf
den nichtflüchtigen
Speicher 12 oder 13 kann jedoch auch nur dann
gestattet werden, wenn die Signale CE1 und CE2 sowohl aus der MPU 22 als
auch aus der Aktivierungssignal-Erzeugungseinheit 29 ausgegeben
werden. Bei diesem Aufbau erfolgt das Wechseln zu dem Nahe-Modus
strikter, was falsche Zugriffe auf die IC-Karte schwieriger macht.
-
In
der vorliegenden Ausführungsform
werden entweder die Signale SE1 und SE2 aus der MPU 22 oder
die Signale SE1 oder SE2 aus der Auswahlsignal-Erzeugungseinheit 34 zu
den Verschlüsselungsschaltungen 10 und 11 ausgegeben.
Die Verschlüsselungsschaltungen 10 und 11 können jedoch auch
nur dann aktiviert werden, wenn die Signale SE1 und SE2 sowohl aus
der MPU 22 als auch aus der Auswahlsignal-Erzeugungseinheit 34 ausgegeben
werden.
-
Industrielle
Anwendbarkeit
-
Die
vorliegende Erfindung kann an einer automatischen Sperre für das automatische
Prüfen
der Zugangsberechtigung und an einem Geldautomaten für das Tätigen einer
Zahlung in einer Behörde,
einem Verkehrsunternehmen, einem Finanzinstitut, Krankenhaus oder
einer ähnlichen
Einrichtung angewendet werden, wo viele Bürger, Kunden oder Angestellte
vorhanden sind.