DE69923463T2

DE69923463T2 - Eine zweifach verwendbare kontaktlose Chipkarte, ein System bestehend aus Endgerät und Karte, und Kommunikationsverfahren

Info

Publication number: DE69923463T2
Application number: DE69923463T
Authority: DE
Inventors: Masamichi Otsu-shi Azuma
Original assignee: Matsushita Electric Industrial Co Ltd
Current assignee: Panasonic Corp
Priority date: 1998-07-31
Filing date: 1999-07-30
Publication date: 2005-06-23
Anticipated expiration: 2019-07-31
Also published as: CN1321281A; US6886753B2; EP1117064A8; US20040169081A1; EP1117064B1; US6704608B1; TW513673B; US20040169080A1; DE69923463D1; KR100734692B1; WO2000007143A1; EP1117064A1; CN1326085C; KR20010072139A; US6840443B2

Description

Technisches Gebiet
Die vorliegende Erfindung betrifft eine tragbare Karte mit einer integrierten Einrichtung wie etwa eine IC-Karte, die eine Funkkommunikation mit einer Terminalvorrichtung durchführt, sowie ein entsprechendes Verfahren.
Stand der Technik
Behörden, Verkehrsunternehmen, Finanzinstitute, Krankenhäuser oder ähnliche Einrichtungen sind an der Verwaltung von persönlichen Informationen unter Verwendung von IC-Karten interessiert. IC-Karten sind Karten, die eine integrierte Einrichtung mit einem nichtflüchtigen Speicher, einem Prozessor, einer Authentifizierungsschaltung oder ähnlichem umfassen (auch als One-Chip-IC bezeichnet). Eine IC-Karte mit einem One-Chip-IC zum Aufzeichnen von persönlichen Informationen kann stets durch einen Eigentümer mit sich getragen werden. Auf die auf der IC-Karte aufgezeichneten persönlichen Informationen kann dann bei Bedarf zugegriffen werden. Weiterhin verhindert die in der IC-Karte enthaltene Authentifizierungsschaltung, dass persönliche Informationen unautorisiert gelesen werden. Im Vergleich zu Magnetkarten schützen IC-Karten die persönlichen Informationen gut vor unerwünschten Zugriffen. Derartige IC-Karten entsprechen den bestehenden und zukünftigen ISO-Standards. IC-Karten des Entfernt-Typs sind in ISO14443 definiert. IC-Karten des Nahe-Typs sind in ISO10536 definiert.
IC-Karten des Entfernt-Typs erhalten elektrische Leistung von Terminalvorrichtungen über Funkwellen, wobei dann integrierte Einrichtungen in den IC-Karten aktiviert werden. IC-Karten des Entfernt-Typs sind für das Prüfen von Fahrgastzugängen oder die Verhaltung des Ein- uns Austritts aus Gebäuden geeignet. Wenn zum Beispiel ein Eigentümer einer IC-Karte die IC-Karte über eine Terminalvorrichtung an einer Fahrscheinsperre hält, um durch die Sperre hindurch zu einem Zug zu gelangen, wird die integrierte Einrichtung in der IC-Karte aktiviert und erhält Leistung über Funkwellen von der Terminalvorrichtung. Wenn die IC-Karte eine Authentifizierungsschaltung und eine Speicherschaltung enthält, die Informationen zu der Verwendung der IC-Karte als Fahrgastausweis, Informationen zu der Reisestrecke des Karteneigentümers und Informationen zu einer Gültigkeitsdauer des Fahrgastausweises enthält, dann wirkt die Terminalvorrichtung an der Fahrscheinsperre mit der Authentifizierungsschaltung und der Speicherschaltung zusammen, um die Gültigkeit der IC-Karte zu prüfen. Wenn kein Problem mit dem Reisebereich und der Gültigkeitsdauer besteht, gestattet die Terminalvorrichtung dem Karteneigentümer den Zugang zum Bahnsteig; und wenn ein Problem besteht, verweigert die Terminalvorrichtung dem Karteneigentümer den Zugang zum Bahnsteig.
Wenn Magnetkarten als Fahrgastausweise verwendet werden, müssen die Karteneigentümer die Karte herausnehmen und durch eine Fahrscheinsperre führen. Wenn sich das oben genannte Fahrgastausweis-Prüfsystem durchsetzt, müssen die Eigentümer von IC-Karten dies nicht mehr tun. Dadurch wird das Passieren von Fahrscheinspenen unter Verwendung von Fahrgastausweisen beschleunigt, wodurch Schlangen an Fahrscheinspenen verhindert werden, wie sie häufig an Bahnhöfen in Großstädten anzutreffen sind.
Eine IC-Karte des Entfernt-Typs wirkt mit einer Terminalvorrichtung zusammen, um persönliche Informationen an einer Fahrscheinsperre zu übertragen, obwohl die IC-Karte und die Terminalvorrichtung durch einen gewissen Abstand voneinander getrennt sind. Die IC-Karten des Entfernt-Typs sind wie oben beschrieben sehr nützlich, wobei die Spezifikationen für IC-Karten zur Verwaltung von persönlichen Informationen zu einem einzigen Entfernt-Typ vereint werden könnten. Herkömmliche IC-Karten sind jedoch nicht für die Koordination mit Terminalvorrichtungen zur Handhabung von vertraulichen persönlichen Informationen geeignet. Es besteht also ein Bedarf für eine etwas anders aufgebaute IC-Karte, die für die Handhabung von geheimen persönlichen Informationen geeignet ist.
IC-Karten des Entfernt-Typs sind aus den folgenden Gründen nicht für die Handhabung von persönlichen Informationen geeignet. Wenn eine böswillige dritte Partei eine IC-Karte über eine Terminalvorrichtung hält, während die Terminalvorrichtung persönliche Informationen zu/von einer anderen IC-Karte sendet bzw. empfängt, kann die dritte Partei die persönlichen Informationen auf ihrer IC-Karte speichern.
Weiterhin kann eine Kommunikationsvorrichtung, die sich in der Nähe der Terminalvorrichtung befindet, die zwischen der Terminalvorrichtung und einer IC-Karte übertragenen persönlichen Informationen empfangen. Die Kommunikationsvorrichtung kann durch eine böswillige dritte Partei betrieben werden. Das heißt, es ist für die dritte Partei möglich, persönliche Informationen abzufangen oder die abgefangenen Informationen zu verändern und dann an die Terminalvorrichtung zu senden. Auf diese Weise besteht bei jedem Zusammenwirken zwischen einer IC-Karte des Entfernt-Typs mit einer Terminalvorrichtung die Gefahr, dass persönliche Informationen in fremde Hände gelangen.
Angesichts dieser Tatsache ist es nicht vorteilhaft, wichtige persönliche Informationen auf einer IC-Karte des Entfernt-Typs für die Verwendung zu speichern.
Es gibt ein Verfahren zum Speichern von wichtigen persönlichen Informationen auf IC-Karten, bei dem die Nützlichkeit von IC-Karten des Entfernt-Typs beibehalten wird. Dabei handelt es sich um eine IC-Karte des Kombinationstyps, die durch eine Kombination der Spezifikationen von IC-Karten des Entfernt-Typs mit denjenigen von IC-Karten des Kontakt-Typs gebildet wird. Jede IC-Karte des Kontakttyps weist Kontaktflächen auf. Die integrierte Einrichtung auf einer IC-Karte des Kontakt-Typs wird aktiviert, wenn die IC-Karte über die Kontaktflächen mit einer Terminalvorrichtung verbunden wird. Nachdem die IC-Karte mit einer Terminalvorrichtung verbunden wurde, kann eine Kommunikationsvorrichtung, die durch eine böswillige dritte Partei in der Nähe der Terminalvorrichtung positioniert wurde, die persönlichen Informationen nicht abfangen. Außerdem kann in diesem Fall die Terminalvorrichtung die Glaubwürdigkeit des Karteneigentümers prüfen, indem sie einen Eingabecode oder ähnliches prüft. IC-Karten des Kontakttyps sind also hinsichtlich der Sicherheit überlegen und sind deshalb für Zahlungen oder ähnliches geeignet.
Die Kontaktflächen an einer IC-Karte können jedoch verschmiert oder nass sein. Dadurch wird die Leitfähigkeit der Kontaktflächen reduziert. Deshalb muss der Eigentümer der IC-Karte des Kombinationstyps die Karte sorgfältig behandeln, aufbewahren oder mit sich tragen, um die Kontaktflächen vor derartigen Problemen zu schützen. Dies stellt eine konstante Belastung für den Karteneigentümer dar. Außerdem muss der Karteneigentümer die IC-Karte sorgfältig ein- und ausführen, damit die Karte nicht beschädigt wird. Dies kann den Karteneigentümer jedoch nervös machen, wenn er die IC-Karte handhabt. Wenn ein Karteneigentümer beim Ein- und Ausführen einer IC-Karte des Kombinationstyps an einem Kartenleser in einem Finanzinstitut nervös ist, kann das Leisten einer Transaktion lange dauern. Wenn dies der Fall ist, kann an Tagen mit einer großen Kundenzahl eine lange Schlange entstehen.
Wenn eine IC-Karte des Kombinationstyps wiederholt in Kontakt mit Terminalvorrichtungen gebracht wird, verschleißen die Enden der Kontaktflächen, sodass ein fehlerhafter Kontakt hergestellt wird. Wenn die Karten und die Terminalvorrichtungen aufgrund derartiger fehlerhafter Kontakte häufig gewartet werden müssen, werden sich Finanzinstitute gegen die Einführung von IC-Karten des Kombinationstyps entscheiden.
Eine IC-Karte des Entfernt-Typs ist in EP-A-0 955 602 angegeben, wobei die Karte eine Datenkommunikation auf der Basis eines extern zugeführten Funkwellensignals durchführt. Die IC-Karte umfasst eine Feststellungsschaltung, die eine Auswahlschaltung feststellt, die in Abhängigkeit davon, ob das Funksignal eine erste oder eine zweite Frequenz aufweist, bestimmt, ob die Daten in eine erste Speicherschaltung oder in eine zweite Speicherschaltung geschrieben werden (vgl. den Oberbegriff von Anspruch 1).
Beschreibung der Erfindung
Es ist daher eine erste Aufgabe der vorliegenden Erfindung, eine zweifach verwendbare tragbare Karte für das Tätigen von Bezahlungen oder für Passieren einer Fahrscheinsperre anzugeben, die nicht elektrisch unter Verwendung von Kontaktflächen verbunden zu werden braucht.
Es ist eine zweite Aufgabe der vorliegenden Erfindung, eine tragbare Karte anzugeben, die es dem Eigentümer der Karte gestattet, zwischen zwei Verwendungszwecken der Karte wie etwa dem Tätigen von Bezahlungen und dem Passieren einer Fahrscheinsperre zu wechseln.
Es ist eine dritte Aufgabe der vorliegenden Erfindung, eine tragbare Karte anzugeben, bei der zwischen einem Verwendungszweck, der einen Prozess mit schwerer Last erfordert, und einem Verwendungszweck, der einen Prozess mit leichter Last erfordert, gewechselt werden kann.
Gemäß einem ersten Aspekt gibt die vorliegende Erfindung eine zweifach verwendbare tragbare Karte an, wobei die tragbare Karte eine integrierte Einrichtung umfasst, die enthält:
eine Identifizierungseinheit, die bei einer Annäherung der tragbaren Karte an eine Terminalvorrichtung betrieben werden kann, um auf der Basis einer von der Terminalvorrichtung empfangenen Funkwelle entweder einen ersten Verwendungszweck oder einen zweiten Verwendungszweck zu identifizieren, für den die Karte verwendet wird,
eine Verarbeitungseinheit, die bei einer Verwendung für den ersten Verwendungszweck betrieben werden kann, um einen ersten Prozess durchzuführen, und die bei einer Verwendung für den zweiten Verwendungszweck betrieben werden kann, um einen zweiten Prozess durchzuführen, und
eine Kommunikationseinheit, die betrieben werden kann, um eine Daten-Ein-/Ausgabe des kontaktlosen Typs zwischen der Terminalvorrichtung und der Verarbeitungseinheit durchzuführen, indem eine Funkkommunikation mit der Terminalvorrichtung durchgeführt wird, wenn die tragbare Karte für den ersten Verwendungszweck oder den zweiten Verwendungszweck verwendet wird, dadurch gekennzeichnet, dass
die Identifizierungseinheit umfasst:
eine Bestimmungseinheit, die betrieben werden kann, um zu bestimmen, dass die tragbare Karte für den zweiten Verwendungszweck verwendet wird, wenn die tragbare Karte mit einem ersten Abstand oder kürzer zu der Terminalvorrichtung positioniert ist und wenn die empfangene Funkwelle eine elektrische Leistung aufweist, die höher als ein vorbestimmter Pegel ist, und um zu bestimmen, dass die tragbare Karte für den ersten Verwendungszweck verwendet wird, wenn der Abstand zwischen der tragbaren Karte und der Terminalvorrichtung in einem Bereich zwischen einem zweiten Abstand und einem dritten Abstand liegt und die empfangene Funkwelle eine elektrische Leistung aufweist, die niedriger als der vorbestimmte Pegel ist.
Gemäß einem zweiten Aspekt gibt die vorliegende Erfindung ein System an, das eine zweifach verwendbare tragbare Karte und eine Terminalvorrichtung umfasst,
wobei die Terminalvorrichtung umfasst:
eine Kommunikationseinheit, die betrieben werden kann, um eine Funkwelle zu senden, die veranlasst, dass die integrierte Einrichtung in einen ersten Modus, in dem ein vorbestimmter Prozess durchgeführt wird, oder in einen zweiten Modus eintritt, in dem ein Prozess durchgeführt wird, der eine höhere Sicherheit als der erste Modus erfordert, wobei dann Daten zu/von der integrierten Einrichtung ein- bzw. ausgegeben werden, indem eine Funkwelle zu/von der integrierten Einrichtung gesendet oder empfangen wird, ohne dass die integrierte Einrichtung kontaktiert wird.
Gemäß einem dritten Aspekt gibt die vorliegende Erfindung ein Kommunikationsverfahren an, das zwischen einer tragbaren Karte und einer Terminalvorrichtung verwendet wird, wobei
die tragbare Karte eine integrierte Einrichtung enthält, die entweder in einen ersten Modus oder in einen zweiten Modus versetzt wird, wobei in dem ersten Modus ein vorbestimmter Prozess durchgeführt wird und wobei in dem zweiten Modus ein Prozess durchgeführt wird, der eine höhere Sicherheit als der erste Modus erfordert, und
wenn die Terminalvorrichtung mit einem Abstand zu der tragbaren Karte positioniert ist, der im Bereich zwischen einem zweiten Abstand und einem dritten Abstand liegt, wird die integrierte Einrichtung in den ersten Modus versetzt, wobei die Terminalvorrichtung dann Daten zu/von der integrierten Einrichtung ein- bzw. ausgibt, indem sie eine Funkwelle zu/von der integrierten Einrichtung sendet bzw. empfängt, ohne die integrierte Einrichtung zu kontaktieren, und
wenn die Terminalvorrichtung mit einem Abstand zu der tragbaren Karte positioniert ist, der gleich einem ersten Abstand oder kürzer ist, wird die integrierte Einrichtung in den zweiten Modus versetzt, wobei die Terminalvorrichtung dann Daten zu/von der integrierten Einrichtung ein- bzw. ausgibt, indem sie eine Funkwelle zu/von der integrierten Einrichtung sendet bzw. empfängt, ohne die integrierte Einrichtung zu kontaktieren.
Wenn bei dem oben beschriebenen Aufbau die zweifach verwendbare tragbare Karte eine IC-Karte des Kombinationstyps ist, die zum Beispiel zum Tätigen von Bezahlungen und das Passieren einer Fahrscheinsperre verwendet wird, können das Wechseln zwischen den zwei Verwendungszwecken und die Erkennung durch die Terminalvorrichtung in Übereinstimmung mit der Funkwelle vorgenommen werden, die von der Terminalvorrichtung gesendet wird. Dabei muss der Karteneigentümer zum Beispiel keine Kontaktflächen ein- oder ausführen. Die tragbare Karte der vorliegenden Erfindung ist also sehr nützlich.
Auch wenn der erste Verwendungszweck und der zweite Verwendungszweck die Durchführung von unterschiedlichen Prozessen erfordern, wird die Eingabe/Ausgabe von Daten zwischen der tragbaren Karte der vorliegenden Erfindung und der Terminalvorrichtung für beide Verwendungszwecke über eine Funkkommunikation durchgeführt. Es muss kein Kontakt mit der Karte hergestellt werden. Deshalb stellen der Abrieb von Kontaktflächen oder fehlerhaft hergestellte Verbindungen keine Probleme für die tragbare Karte der Erfindung dar, weil keine Verbindung über Kontaktflächen erforderlich ist, um zwischen den zwei Verwendungszwecken zu wechseln oder um Daten ein- bzw. auszugeben. Es ist keine Wartung für die tragbare Karte und die Terminalvorrichtung erforderlich. Dadurch wird das Tätigen von Bezahlungen oder das Passieren einer Fahrscheinsperre vereinfacht.
Außerdem kann die tragbare Karte der vorliegenden Erfindung mit der Terminalvorrichtung auch dann kommunizieren, wenn sie verschmiert oder nass ist. Die tragbare Karte kann also auch dann normal betrieben werden, wenn sie etwas unsanft behandelt wird, sodass sich der Karteneigentümer keine Sorgen darüber machen muss, wie er die tragbare Karte behandeln soll.
Bei dem vorstehend beschriebenen Aufbau kann der Eigentümer der tragbaren Karte dieselbe für den zweiten Verwendungszweck verwenden, indem er diese nahe an die Terminalvorrichtung hält, während er sie für den ersten Verwendungszweck verwenden kann, indem er sie mit einem Abstand zu der Terminalvorrichtung hält. Auf diese Weise kann der Karteneigentümer einfach zwischen den zwei Verwendungszwecken wechseln, indem er den Abstand zwischen der tragbaren Karte und der Terminalvorrichtung ändert.
Bei dem vorstehend beschriebenen Aufbau kann der Verwendungszweck der tragbaren Karte in Übereinstimmung mit der durch die integrierte Einrichtung empfangenen Leistung gewechselt werden. Das heißt, es wird in Übereinstimmung mit der Last und dem Leistungsverbrauch eines ersten und eines zweiten Prozesses entweder der erste Prozess oder der zweite Prozess gewählt. Insbesondere weist das Tätigen einer Bezahlung, für das eine höhere Vertraulichkeit erforderlich ist als für die Prüfung an einer Fahrscheinsperre, wegen der wechselseitigen Authentifizierung oder Verschlüsselung zum Vorsehen einer höheren Sicherheit eine höhere Last auf, sodass es durchgeführt werden kann, wenn die tragbare Karte mit dem ersten Abstand oder näher zu der Terminalvorrichtung positioniert ist und eine höhere Leistung von der Terminalvorrichtung empfängt.
Weiterhin muss die tragbare Karte mit keiner Batterie versehen sein, weil die integrierte Einrichtung ihre Stromversorgung von der Terminalvorrichtung erhält. Deshalb ist die tragbare Karte leichter und einfacher als herkömmliche Karten.
In Verbindung mit der oben beschriebenen tragbaren Karte kann die Terminalvorrichtung entweder eine erste Terminalvorrichtung, die eine Funkwelle mit einer Leistung unter einem ersten Leistungspegel an die tragbare Karte ausgibt, oder eine zweite Terminalvorrichtung sein, die eine Antenne in einem elektromagnetisch abgeschirmten Kasten aufweist und eine Funkwelle mit einem zweiten Leistungspegel, der zwei Mal so hoch oder höher als der erste Leistungspegel ist, an die tragbare Karte in dem Kasten ausgibt, wobei der vorbestimmte Schwellwert auf der Basis von (1) der empfangenen Leistung einer Funkwelle bestimmt wird, die die Leistung des ersten Leistungspegels aufweist und empfangen wird, wenn der Abstand zwischen der tragbaren Karte und der Terminalvorrichtung im Bereich zwischen dem zweiten Abstand und dem dritte Abstand ist, und (2) der empfangenen Leistung einer Funkwelle bestimmt wird, die die Leistung des zweiten Leistungspegels aufweist und empfangen wird, wenn der Abstand zwischen der tragbaren Karte und der Terminalvorrichtung gleich dem ersten Abstand oder kürzer ist.
Da bei dem oben beschriebenen Aufbau die zweite Terminalvorrichtung eine Einrichtung aufweist, die angeordnet (d.h. elektromagnetisch abgeschirmt) ist, um ein Lecken einer Funkwelle zu verhindern, und da die tragbare Karte in die elektromagnetisch abgeschirmte Einrichtung eingeführt wird, können die zwischen der Terminalvorrichtung und der integrierten Einrichtung übertragenen persönlichen Informationen nicht durch eine böswillige dritte Partei abgefangen werden. Der in dem geschlossenen Modus durchgeführte zweite Prozess kann persönliche Informationen handhaben, die eine hohe Sicherheit erfordern. Dementsprechend kann die integrierte Einrichtung mit der Terminalvorrichtung zusammenwirken, um die persönlichen Informationen zu verarbeiten, ohne die interne Schaltung der Terminalvorrichtung zu kontaktieren. Dementsprechend wirkt die tragbare Karte der vorliegenden Erfindung nicht nur wie herkömmliche tragbare Karten über eine Kommunikation im Entfernt-Modus mit der Terminalvorrichtung zusammen, sondern führt auch einen Prozess für das Tätigen einer Zahlung durch, der aus Sicherheitsgründen bisher für nicht angebracht erachtet wurde. Das heißt, die eine tragbare Karte der vorliegenden Erfindung enthält alle persönlichen Informationen, die für beide Verwendungszwecke erforderlich sind.
Weiterhin kann die von der ersten Terminalvorrichtung zugeführte Leistung entsprechend niedrig sein, um die entsprechenden gesetzlichen Bestimmungen zu erfüllen. Dementsprechend kann die tragbare Karte konform zu den Bestimmungen mit der Terminalvorrichtung zusammenwirken, wobei ein erforderlicher Abstand zwischen denselben eingehalten wird.
Bei der oben beschriebenen tragbaren Karte kann der zweite Verwendungszweck vertraulichere Daten handhaben als der erste Verwendungszweck, wobei der erste Prozess wenigstens einen Verschlüsselungsprozess zum Verschlüsseln von Daten unter Verwendung eines ersten Verschlüsselungsschlüssels, einen Entschlüsselungsprozess zum Entschlüsseln von Daten unter Verwendung des ersten Verschlüsselungsschlüssels, einen Zertifizierungsprozess zum Zertifizieren der Authentizität der tragbaren Karte unter Verwendung des ersten Verschlüsselungsschlüssels in Reaktion auf einen durch die Terminalvorrichtung durchgeführten Authentifizierungsprozess und einen Authentifizierungsprozess zum Authentifizieren der Terminalvorrichtung unter Verwendung des ersten Verschlüsselungsschlüssels umfasst, und wobei der zweite Prozess wenigstens einen Verschlüsselungsprozess zum Verschlüsseln von Daten unter Verwendung eines zweiten Verschlüsselungsschlüssels, einen Entschlüsselungsprozess zum Entschlüsseln von Daten unter Ver wendung des zweiten Verschlüsselungsschlüssels, einen Zertifizierungsprozess zum Zertifizieren der Authentizität der tragbaren Karte unter Verwendung des zweiten Verschlüsselungsschlüssels in Reaktion auf einen durch die Terminalvorrichtung durchgeführten Authentifizierungsprozess und einen Authentifizierungsprozess zum Authentifizieren der Terminalvorrichtung unter Verwendung des zweiten Verschlüsselungsschlüssels umfasst, wobei der zweite Prozess eine größere Verarbeitungslast als der erste Prozess zu tragen hat und wobei der zweite Leistungspegel auf der Basis des Stromverbrauchs bei der Durchführung des zweiten Prozesses durch die Verarbeitungseinheit bestimmt wird.
Bei dem oben beschriebenen Aufbau wird ein Verschlüsselungsschlüssel mit einer höheren Sicherheit für den zweiten Verwendungszweck verwendet, weil hier eine höhere Sicherheit erforderlich ist. Die tragbare Karte der vorliegenden Erfindung wirkt also nicht nur über eine Kommunikation im Entfernt-Modus wie herkömmliche Karten mit der Terminalvorrichtung zusammen, sondern führt auch einen Prozess zum Tätigen einer Zahlung durch, der bisher aus Sicherheitsgründen als für eine derartige Karte nicht geeignet erachtet wurde. Die eine tragbare Karte der vorliegenden Erfindung enthält also alle persönlichen Informationen, die für die beiden Verwendungszwecke erforderlich sind.
Bei der oben beschriebenen tragbaren Karte kann die integrierte Einrichtung eine Speichereinheit enthalten, die (1) einen ersten Bereich zum Speichern von Daten, die nur für den ersten Verwendungszweck verwendet werden, und (2) einen zweiten Bereich zum Speichern von Daten umfasst, die nur für den zweiten Verwendungszweck verwendet werden, wobei die Kommunikationseinheit eine Sende-/Empfangseinheit umfasst, die betrieben werden kann, um einen durch die Terminalvorrichtung ausgegeben Befehl zu empfangen und Daten über eine drahtlose Kommunikation zu der Terminalvorrichtung zu senden, wobei die Verarbeitungseinheit eine Zugriffsverwaltungseinheit, die betrieben werden kann, um nach der Identifikation des ersten oder zweiten Verwendungszwecks den Zugriff auf den ersten oder zweiten Bereich in Übereinstimmung mit dem identifizierten Verwendungszweck zu gestatten und den Zugriff auf die anderen Bereiche zu verhindern, eine Decodiereinheit, die betrieben werden kann, um den von der Sende-/Empfangseinheit empfangenen Befehl zu decodieren, und eine Speicherzugriffseinheit umfasst, die wenn die Decodiereinheit beim Decodieren feststellt, dass der Befehl eine Lesebefehl ist, betrieben werden kann, um ein durch den Lesebefehl spezifiziertes Datenelement aus dem ersten oder dem zweiten Speicher zu lesen und die Sende-/Empfangseinheit zum Senden des Datenelements anzuweisen, und die wenn die Decodiereinheit beim Decodieren feststellt, dass der Befehl ein Schreibbefehl ist, betrieben werden kann, um ein in dem Schreibbefehl spezifiziertes Datenelement in den ersten oder zweiten Bereich zu schreiben.
Bei dem oben beschriebenen Aufbau gestattet die tragbare Karte den Zugriff nur auf einen bestimmten Bereich für einen vorbestimmten Verwendungszweck und verhindert den Zugriff auf die anderen Bereiche. Also auch wenn persönliche Informationen, die eine hohe Sicherheit erfordern, in dem zweiten Bereich gespeichert sind, kann eine böswillige dritte Parte die Funkkommunikation mit der tragbaren Karte nicht abfangen, während die tragbare Karte durch den Eigentümer getragen wird.
Bei der oben beschriebenen tragbaren Karte kann die integrierte Einrichtung eine Synchronisationstaktsignal-Erzeugungseinheit umfassen, die wenn die erste Terminalvorrichtung Leistung mit einem ersten Leistungspegel zu der tragbaren Karte zuführt, betrieben werden kann, um an die Verarbeitungseinheit ein Synchronisationstaktsignal mit einer ersten Frequenz zu senden, die in Übereinstimmung mit einer Frequenz eines Trägers eines empfangenen Signals erzeugt wird, und die wenn die zweite Terminalvorrichtung Leistung mit einem zweiten Leistungspegel zu der tragbaren Karte zuführt, betrieben werden kann, um an die Verarbeitungseinheit ein Synchronisationstaktsignal mit einer zweiten Frequenz zu senden, die höher als die erste Frequenz ist.
Wenn bei dem oben beschriebenen Aufbau die Leistungsversorgung ansteigt, erhöht sich die Frequenz des Synchronisationstaktsignals. Dadurch kann die integrierte Einrichtung mit einer höheren Geschwindigkeit betrieben werden. Weil die zweite Schaltung durch das Synchronisationstaktsignal mit einer hohen Frequenz betrieben wird, kann ein Multi-OS-Softwareprogramm wie etwa Java Card ausgeführt werden.
Die vorstehend genannten Aufgaben werden auch durch eine Terminalvorrichtung gelöst, die mit einer tragbaren Karte kommuniziert, die eine integrierte Einrichtung umfasst, die in einen ersten Modus oder in einen zweiten Modus versetzt werden kann, wobei in dem ersten Modus ein vorbestimmter Prozess ausgeführt wird und wobei in dem zweiten Modus ein Prozess ausgeführt wird, der eine höhere Sicherheit als in dem ersten Modus erfordert, wobei die Terminalvorrichtung umfasst: einen Kasten, der eine Antenne enthält und elektromagnetisch abgeschirmt ist, sodass eine Funkwelle über einem vorbestimmten Leistungspegel nicht aus der Terminalvorrichtung leckt, und eine Kommunikationseinheit, die betrieben werden kann, um nach dem Einführen der tragbaren Karte in den Kasten die integrierte Einrichtung in den zweiten Modus zu versetzen und dann mit der integrierten Einrichtung zu kommunizieren, indem der Antenne das Emittieren einer Funkwelle gestattet wird.
Weil bei dem oben beschriebenen Aufbau die Terminalvorrichtung eine Vorrichtung ist, die angeordnet (z.B. elektromagnetisch abgeschirmt) ist, um das Lecken einer Funkwelle zu verhindern, wobei die tragbare Karte in die elektromagnetisch abgeschirmte Einrichtung eingeführt wird, können die zwischen der Terminalvorrichtung und der integrierten Einrichtung übertragenen persönlichen Informationen nicht durch eine böswillige dritte Partei abgefangen werden. Der in dem Nahe-Modus ausgeführte zweite Modus kann persönliche Informationen handhaben, die eine hohe Sicherheit erfordern. Dementsprechend kann die integrierte Einrichtung mit der Terminalvorrichtung zusammenwirken, um die persönlichen Informationen zu verarbeiten, ohne die interne Schaltung der Terminalvorrichtung zu kontaktieren. Dementsprechend wirkt die tragbare Karte der vorliegenden Erfindung nicht nur wie herkömmliche tragbare Karten über eine Kommunikation im Entfernt-Modus mit der Terminalvorrichtung zusammen, sondern führt einen Prozess zum Tätigen einer Bezahlung durch, was aus Sicherheitsgründen bisher als für eine derartige Karte ungeeignet betrachtet wurde. Das heißt, die eine tragbare Karte der vorliegenden Erfindung enthält alle persönlichen Informationen, die für die beiden Verwendungszwecke erforderlich sind.
Die oben beschriebene Terminalvorrichtung kann weiterhin eine der folgenden Einheiten umfassen: eine erste Leseeinheit, die nach dem Einführen der tragbaren Karte in den Kasten betrieben werden kann, um physikalisch aufgezeichnete Informationen zu der Authentizität der tragbaren Karte von der tragbaren Karte zu lesen; eine Empfangseinheit, die nach dem Einführen der tragbaren Karte in den Kasten betrieben werden kann, um Eigentümerinformationen zu empfangen, die durch einen Eigentümer eingegeben werden und die Authentizität des Eigentümers angeben; und eine zweite Leseeinheit, die nach dem Einführen der tragbaren Karte in den Kasten betrieben werden kann, um Bioinformationen von dem Eigentümer zu lesen, die physikalische Eigenschaften des Eigentümers angeben; wobei die Kommunikationseinheit die integrierte Einrichtung in den zweiten Modus versetzt, nachdem die Authentizität des Eigentümers oder der tragbaren Karte unter Verwendung der physikalisch aufgezeichneten Informationen, der Eigentümerinformationen und der Bioinformationen bestätigt wurde.
Mit dem oben beschriebenen Aufbau kann die Terminalvorrichtung die Authentizität der tragbaren Karte und des Karteneigentümers unter Verwendung einer Kombination aus (a) physikalisch auf der tragbaren Karte aufgezeichneten Informationen, (b) Eigentümerinformationen und (c) Bioinformationen zu dem Eigentümer der tragbaren Karte geprüft werden. Dadurch wird eine zuverlässige Authentifizierung ermöglicht und ein Missbrauch der tragbaren Karte verhindert.
Kurzbeschreibung der Zeichnungen
1A zeigt das Aussehen der IC-Karte 1 in der Ausführungsform.
1B zeigt die Größe und den internen Aufbau der IC-Karte 1 in der Ausführungsform.
1C zeigt vergrößerte Seiten der IC-Karte.
2 zeigt den internen Aufbau des One-Chip-IC 3.
3 zeigt eine ASK-modulierte Welle.
4 zeigt den internen Aufbau der Leistungsreproduktionsschaltung 7.
5 zeigt den internen Aufbau der Synchronisationstaktsignal-Erzeugungsschaltung 14.
6 ist ein Venn-Diagramm, das zur Erläuterung des Konzepts zum Speichern von persönlichen Informationen in den nicht-flüchtigen Speichern 12 und 13 verwendet wird.
7 zeigt den internen Aufbau der Steuereinrichtung 5.
8A zeigt den internen Aufbau der Aktivierungssignal-Erzeugungseinheit 29.
8B zeigt die Ausgabe der Aktivierungssignal-Erzeugungseinheit 29 in einem Tabellenformat.
9A zeigt den internen Aufbau der Auswahlsignal-Erzeugungseinheit 34.
9B zeigt die Ausgaben der Auswahlsignal-Erzeugungseinheit 34 in einem Tabellenformat.
10 zeigt den internen Aufbau des Geldautomaten 60.
11A zeigt den internen Aufbau der Auswahlsignal-Erzeugungseinheit 42a.
11B zeigt die Ausgaben der Auswahlsignal-Erzeugungseinheit 42a in einem Tabellenformat.
12A zeigt den internen Aufbau der Aktivierungssignal-Erzeugungseinheit 42b.
12B zeigt die Ausgaben der Aktivierungssignal-Erzeugungseinheit 42b in einem Tabellenformat.
13 zeigt die automatische Fahrscheinsperre 48 mit der ersten Terminalvorrichtung.
14 zeigt den internen Aufbau der ersten Terminalvorrichtung.
15 zeigt, wie ein Eigentümer der IC-Karte 1 die IC-Karte 1 aus einer Tasche nimmt und die IC-Karte 1 über eine Antenne der ersten Terminalvorrichtung hält.
16 zeigt ein durch die Steuereinrichtung 55 der ersten Terminalvorrichtung und die Steuereinrichtung 5 der IC-Karte 1 ausgeführtes Kommunikationsprotokoll.
17 ist ein Abfolgediagramm, das die gegenseitige Authentifizierung zwischen der ersten Terminalvorrichtung und der IC-Karte zeigt.
18 zeigt ein Beispiel der zweiten Terminalvorrichtung, die als Geldautomat verwendet wird.
19 zeigt einen dedizierten Kasten 65 mit einer Antenne.
20 zeigt, wie die IC-Karte 1 durch die zweite Terminalvorrichtung unter die Rahmenantenne eingeführt wird.
21A zeigt, dass die IC-Karte nahe an der Rahmenantenne 66 der zweiten Terminalvorrichtung positioniert ist.
21B zeigt, dass Funkwellen wie durch die Pfeile y2 und y3 angegeben erzeugt werden, während die IC-Karte nach an der Rahmenantenne 66 der zweiten Terminalvorrichtung positioniert ist.
21C zeigt, dass die IC-Karte 1 in die zweite Terminalvorrichtung eingeführt wurde, sodass die IC-Karte 1 in Kontakt mit der Rahmenantenne 66 ist.
22 zeigt den internen Aufbau der zweiten Terminalvorrichtung.
23 ist ein Flussdiagramm, das die Prozedur der Steuereinrichtung 73 der zweiten Terminalvorrichtung zeigt.
24 zeigt, wie die Steuereinrichtung 73 der zweiten Terminalvorrichtung mit der Steuereinrichtung 7 der IC-Karte 1 zusammenwirkt.
25 zeigt eine gegenseitige Authentifizierung, die zwischen der ersten Terminalvorrichtung und der IC-Karte durchgeführt wird.
Bevorzugte Ausführungsform der Erfindung
Im Folgenden wird eine Ausführungsform der vorliegenden Erfindung beschrieben, nämlich eine IC-Karte 1, die eine tragbare Karte mit einer integrierten Einrichtung ist. 1A zeigt das Aussehen der IC-Karte 1. 1B zeigt die Größe und den internen Aufbau der IC-Karte 1. Wie in 1A gezeigt, wirkt die IC-Karte 1 mit einer dedizierten Karten-Lese-/Schreibeinrichtung 100 (nachfolgend als RAN 100 bezeichnet) zusammen, wobei zwischen der IC-Karte 1 und der R/W 100 ein Abstand von einigen cm bis zu 10 cm vorhanden ist. Wie in 1B gezeigt, ist die IC-Karte 1 53,98 mm breit, 85,60 mm lang und 0,76 mm dick (diese Dimensionen entsprechend der in ISO/IEC 7810 definierten ISO-Kartengröße). Der Eigentümer der IC-Karte 1 kann wie in 1A gezeigt die Karte mit den Fingern halten. Auf der Oberfläche der IC-Karte 1 ist eine Zeichensequenz mit einer Identifikationsnummer eingeprägt („Nr.181319 AAABBB" in 1A). Wie in 1B gezeigt, umfasst das Innere der IC-Karte 1: eine Rahmenantenne 2 mit 4 bis 5 Wicklungen und einen One-Chip-IC 3 als integrierte Einrichtung. Es ist hier zu beachten, dass die IC-Karte 1 nur 0,76 mm dick ist und keine Batterie oder Leistungsschaltung enthalten kann. 1C zeigt die vergrößerten Seiten der IC-Karte. Wie aus 1C deutlich wird, sind keine Kontaktflächen, Stifte oder ähnliches für die Verbindung mit der Rahmenantenne 2 oder dem One-Chip-IC 3 auf den Seiten der IC-Karte ausgebildet, wobei die Seiten gedichtet sind, um zu verhindern das Metalle oder ähnliches nach außen frei liegen. Weil die IC-Karte keine Kontaktflächen, Stifte oder ähnliches aufweist, wird der One-Chip-IC 3 mit einer Leistung betrieben, die durch Funkwellen von einer Terminalvorrichtung über die Rahmenantenne 2 empfangen wird.
Im Folgenden wird der interne Aufbau des One-Chip-IC 3 beschrieben. 2 zeigt den internen Aufbau des One-Chip-IC 3. Wie in 2 gezeigt, umfasst der One-Chip-IC 3 eine ASK-Demodulationsschaltung 4, eine Steuereinrichtung 5, eine BPSK-Modulationsschaltung 6, eine Leistungsreproduktionsschaltung 7, einen Schalter 8, einen Schalter 9, eine Verschlüsselungsschaltung 10, eine Verschlüsselungsschaltung 11, einen nicht-flüchtigen Speicher 12, einen nicht-flüchtigen Speicher 13 und eine Synchronisationstaktsignal-Erzeugungsschaltung 14.
Die ASK (Amplitude Shift Keying: Amplitudenumtastung)-Demodulationsschaltung 4 demoduliert mittels einer Hüllkurvendemodulation eine in der Rahmenantenne 2 modulierte Welle (Funkwelle) und gibt auf die Hüllkurve der modulierten Welle gelagerte NRZ (Non-Return-to-Zero: Ohne-Rückkehr-zu-Null)-Daten zu der Steuereinrichtung 5 aus. 3 zeigt eine modulierte Welle, die durch die ASK-Demodulationsschaltung 4 moduliert wurde. Wie in 3 gezeigt, gibt die Hüllkurvenform des Trägers der ASK-modulierten Welle die Datensequenz „01011101" aus. Die in 3 gezeigte Welle wurde mit dem „ASK10%"-Verfahren moduliert, das eine Welle erzeugt, in der das Verhältnis zwischen der maximalen Amplitude und der minimalen Amplitude ungefähr 10:9 beträgt. Bei ASK10% ist die Spitzendifferenz zwischen der Mittenfrequenz und der Datenfrequenz relativ groß, sodass die durch die Terminalvorrichtung vorgesehene elektrische Leistung hoch ist. Weiterhin wird die Datensequenz in der modulierten Welle mit einer Übertragungsrate von 10-424 kBit/s zu der IC-Karte 1 übertragen. Die Datenübertragung bei dieser Rate ist viel schneller als die Übertragungsrate bei IC-Karten des Kontakt-Typs (9600 Bits gemäß der Definition in ISO7816 und ISO10536). Deshalb kann die IC-Karte 1 Daten mit hoher Geschwindigkeit ein- und ausgeben und eine große Datenmenge pro Zeiteinheit verarbeiten.
Die Steuereinrichtung 5 (1) verwaltet die Modi der IC-Karte 1 und (2) greift auf die nichtflüchtigen Speicher 12 und 13 zu. Es werden folgende Modi durch die Steuereinrichtung 5 verwaltet: ein Entfernt-Modus, der aktiviert wird, wenn die tragbare Karte mit einem Abstand von einigen cm bis 10 cm von der Terminalvorrichtung entfernt positioniert ist; und ein Nahe-Modus, der nur dann aktiviert wird, wenn die tragbare Karte mit einem Abstand von 0–5 mm zu der Terminalvorrichtung positioniert ist, wobei die integrierte Einrichtung die interne Schaltung der Terminalvorrichtung nicht kontaktiert. In dem Entfernt-Modus setzt die Steuereinrichtung 5 das zu dem nicht-flüchtigen Speicher 12 ausgegebene Signal CE1 auf einen hohen Pegel und das an die Verschlüsselungsschaltung 10 ausgegebene Signal SE1 auf einen hohen Pegel. In dem Nahe-Modus setzt die Steuereinrichtung 5 das an die nichtflüchtigen Speicher 12 und 13 ausgegebene Signal CE2 auf einen hohen Pegel und das an die Verschlüsselungsschaltungen 10 und 11 ausgegebene Signal SE2 auf einen hohen Pegel.
Bei dem Speicherzugriff durch die Steuereinrichtung 5 schreibt die Steuereinrichtung Daten in den nicht-flüchtigen Speicher 12 oder 13 in Übereinstimmung mit einem von der Terminalvorrichtung über die Rahmenantenne 2 und die ASK-Demodulationsschaltung 4 empfangenen Befehl, liest Daten aus dem nicht-flüchtigen Speicher 12 und 13 in Übereinstimmung mit einem von der Terminalvorrichtung über die Rahmenantenne 2 und die BPSK-Modulationsschaltung 6 empfangenen Befehl und gibt die gelesenen Daten über die BSPK-Modulationsschaltung 6 und die Schleifenantenne 2 aus. In dem Nahe-Modus werden wichtige persönliche Informationen ein- bzw. ausgegeben. Die von der Terminalvorrichtung empfangenen Daten werden deshalb verschlüsselt, und die verschlüsselten Daten werden durch die Verschlüsselungsschaltung 10 entschlüsselt oder erneut verschlüsselt. Die entschlüsselten oder erneut verschlüsselten Daten werden in den nicht-flüchtigen Speicher 12 oder 13 geschrieben.
Die BPSK (Binary Phase Shift Keying: Binärphasenumtastung)-Modulationsschaltung 6 moduliert die aus der Steuereinrichtung 5 ausgegebene Datensequenz mit dem Lastwechselverfahren, submoduliert die Datensequenz mit dem BPSK-Verfahren unter Verwendung eines Subträgers von 847,5 kHz und gibt das Ergebnis an die Terminalvorrichtung aus. Weil die BPSK-Modulationsschaltung 6 eine Modulation mit einem anderen Verfahren als die ASK-Demodulationsschaltung 4 durchführt, kann die BPSK-Modulationsschaltung 6 funken, indem sie Leistung von den ASK-modulierten Wellen empfängt.
Die Leistungsreproduktionsschaltung 7 erhält eine konstante Spannung, indem sie die ASK-modulierten Wellen gleichrichtet, und führt Leistung zu der ASK-Demodulationsschaltung 4, der Steuereinrichtung 5, der BPSK-Modulationsschaltung 6, der Verschlüsselungsschaltung 10, der Verschlüsselungsschaltung 11, dem nicht-flüchtigen Speicher 12, dem nichtflüchtigen Speicher 13 und der Synchronisationstakt-Erzeugungsschaltung 14 zu. 4 zeigt den internen Aufbau der Leistungsreproduktionsschaltung 7. Wie in 4 gezeigt, umfasst die Leistungsreproduktionsschaltung 7 vier Dioden und einen Kondensator und setzt sich aus einer Diodenbrückenschaltung 15 und einem Regler 16 mit drei Anschlüssen zusammen, wobei die Diodenbrückenschaltung 15 eine in der Rahmenantenne 2 induzierte ASK-modulierte Welle gleichrichtet und der Regler 16 mit drei Anschlüssen ein von der Diodenbrückenschaltung 15 ausgegebenes Signal zu einer konstanten Spannung von zum Beispiel 3 V wandelt. Die von der Terminalvorrichtung über die ASK-modulierte Welle zugeführte Leistung erhöht oder vermindert sich in Abhängigkeit von dem Abstand zu der Terminalvorrichtung. Das heißt, je kürzer der Abstand zu der Terminalvorrichtung ist, desto höher ist die Spannungsausgabe aus der Diodenbrückenschaltung 15. Mit anderen Worten ändert sich die zu der Steuereinrichtung 5 ausgegebene Spannung (durch Vdd wiedergegeben), wenn sich die Amplitude ändert. Wenn die IC-Karte 1 in Japan verwendet wird, sollte die zu der Leistungsreproduktionsschaltung 7 über eine Funkwelle zugeführte Leistung niedriger als 10 mW sein. Der Grund hierfür ist, dass das Senden von Funkwellen von 10 mW oder höher gemäß Gesetz nicht ohne Genehmigung zulässig ist. Die im Nahe-Modus über Funkwellen übertragene Leistung kann dagegen 10 mW oder höher sein. Der Grund hierfür ist, dass in dem Nahe-Modus die Rahmenantenne 2 der IC-Schaltung 1 nahe zu der Antenne der Terminalvorrichtung in einem elektromagnetisch abgeschirmten Kasten positioniert ist.
Der Schalter 8 ist in dem Entfernt-Modus offen und wird nur dann geschlossen, wenn die Steuereinrichtung 5 das Signal SE2 auf einen hohen Pegel setzt. Wenn der Schalter 8 geschlossen ist, werden die durch die Leistungsreproduktionsschaltung 7 erzeugte konstante Spannung und das durch die Synchronisationstaktsignal-Erzeugungsschaltung 14 erzeugte Synchronisationstaktsignal zu dem nicht-flüchtigen Speicher 13 geführt.
Der Schalter 9 ist im Entfernt-Modus offen und wird nur dann geschlossen, wenn die Steuereinrichtung 5 das Signal SE2 auf einen hohen Pegel setzt. Wenn der Schalter 9 geschlossen ist, werden die durch die Leistungsreproduktionsschaltung 7 erzeugte konstante Spannung und die durch die Synchronisationstaktsignal-Erzeugungsschaltung 14 erzeugte Synchronisationstaktsignal zu dem nicht-flüchtigen Speicher 11 geführt.
Die Verschlüsselungsschaltung 10 wird für die gegenseitige Authentifizierung zwischen der IC-Karte 1 und der Terminalvorrichtung verwendet, nachdem die IC-Karte an die Terminalvorrichtung herangeführt wurde und der One-Chip-IC 3 in dem Entfernt-Modus aktiviert wurde. Die Verschlüsselungsschaltung 10 wird auch zum Verschlüsseln von für die Sicherheit erforderlichen Daten verwendet, wenn Daten zwischen der IC-Karte 1 und der Terminalvorrichtung gesendet oder empfangen werden, nachdem der One-Chip-IC 3 in dem Nahe-Modus aktiviert wurde. Das heißt, wenn eine durch das Demodulieren einer Funkwelle erhaltene Datensequenz verschlüsselt wurde, verschlüsselt die Verschlüsselungsschaltung 10 die verschlüsselte Datensequenz und gibt sie an die Steuereinrichtung 5 aus. Wenn erforderlich, verschlüsselt die Verschlüsselungsschaltung 10 außerdem ein Element der verschlüsselten Daten unter Verwendung eines anderen Schlüssels und gibt diesen an die Steuereinrichtung 5 aus. Die Verschlüsselungsschaltung 10 führt eine Verschlüsselung unter Verwendung einer Verschlüsselung mit geheimem Schlüssel, einer DES (Data Encryption Standard)-Verschlüsselung, einer Tr-DES-Verschlüsselung oder ähnlichem durch.
Die Verschlüsselungsschaltung 11 wird für die gegenseitige Authentifizierung zwischen der IC-Karte 1 und der Terminalvorrichtung verwendet, nachdem die IC-Karte 1 nahe an die Terminalvorrichtung herangeführt wurde und die integrierte Einrichtung in dem Nahe-Modus aktiviert wurde. Die Verschlüsselungsschaltung 11 führt eine Verschlüsselung unter Verwendung einer Verschlüsselung mit öffentlichem Schlüssel (Ellipsenkurven-Verschlüsselung oder RSA (Rivest, Shamir, Adleman)-Verschlüsselung) durch.
Der nicht-flüchtige Speicher 12 wird durch einen wiederbeschreibbaren ferro-elektrischen Speicher (FeRAM) oder einen EEPROM mit einer Kapazität von 16 Byte gebildet und speichert persönliche Informationen, die in dem Entfernt- oder Nahe-Modus verwendet werden. Derartige Informationen werden von/zu dem nicht-flüchtigen Speicher 12 gelesen bzw. geschrieben, wenn das Signal CE1 oder CE2 ausgegeben wird.
Der nicht-flüchtige Speicher 13 wird durch einen wiederbeschreibbaren ferro-elektrischen Speicher (FeRAM) oder einen EEPROM mit einer Kapazität von 16 Byte gebildet und speichert persönliche Informationen, die nur in dem Nahe-Modus verwendet werden. Derartige Informationen werden von/zu dem nicht-flüchtigen Speicher 13 gelesen bzw. geschrieben, wenn das Signal CE2 ausgegeben wird.
Die persönlichen Informationen werden wie folgt in de nicht-flüchtigen Speichern 12 und 13 gespeichert. 6 ist ein Venn-Diagramm, das zur Erläuterung des Konzepts zum Speichern der persönlichen Informationen in den nicht-flüchtigen Speichern 12 und 13 verwendet wird. In 6 ist ein Teilsatz A ein Satz von persönlichen Informationen, die nur in dem Enffernt-Modus verwendet werden, ist der Teilsatz B ein Satz von persönlichen Informationen ist, die nur in dem Nahe-Modus verwendet werden, und ist der Teilsatz C ein Satz von persönlichen Informationen, die sowohl im Enffernt- als auch im Nahe-Modus verwendet werden. Der nicht-flüchtige Speicher 12 speichert die Teilsätze A, B und C. Der nicht-flüchtige Speicher 13 speichert die Teilsätze B.
Wenn die IC-Karte 1 eine Bankkarte ist, wird der Kontostand dem Teilsatz C zugeordnet, eine hohe Zahlungssumme, die eine sehr vertrauliche Information darstellt, wird dem Teilsatz B zugeordnet, und eine kleine Zahlungssumme, die einfach zu handhaben ist, wird dem Teilsatz A zugeordnet. Wenn die Bankkarte 1 eine Ausweiskarte ist, die durch eine Behörde ausgestellt wird, sind der Name und die Adresse dem Teilsatz C zugeordnet, sind persön liche Informationen wie etwa Melde- und Steuerdaten, die sehr vertrauliche Informationen darstellen, dem Teilsatz B zugeordnet, und sind Informationen zu für den Eigentümer reservierten Tennisplätzen oder Besprechungsräumen, die einfach zu handhaben sind, dem Teilsatz C zugeordnet.
Die Synchronisationstaktsignal-Erzeugungsschaltung 14 erhält ein Synchronisationstaktsignal aus der ASK-modulierten Welle und gibt die ASK-modulierte Welle zu der Steuereinrichtung 5, der Verschlüsselungsschaltung 10, der Verschlüsselungsschaltung 11, dem nichtflüchtigen Speicher 12 und dem nicht-flüchtigen Speicher 13. 5 zeigt den internen Aufbau der Synchronisationstaktsignal-Erzeugungsschaltung 14. Wie in der Zeichnung gezeigt, umfasst die Synchronisationstaktsignal-Erzeugungsschaltung 14 einen Komparator 17 und einen Frequenzteiler 18, wobei der Komparator 17 die Amplitudenspannung der ASK-modulierten Welle mit einer bestimmten Schwellspannung vergleicht, um ein Impulssignal mit der Frequenz f1 des Trägers zu erhalten, und wobei der Frequenzteiler 18 die Frequenz f1 des Impulssignals in N/M Teile unterteilt und die Teile als ein Synchronisationstaktsignal ausgibt, wobei N eine Ganzzahl von 1 oder höher ist, M eine Ganzzahl von 2 oder höher ist und die Beziehung N < M erfüllt wird. Das durch den Frequenzteiler 18 verwendete Frequenzteilungsverhältnis wird auf P1 gesetzt, wenn das aus der Steuereinrichtung 5 ausgegebene Signal einen niedrigen Pegel aufweist; und das Frequenzteilungsverhältnis wird auf P2 (P2 > P1) gesetzt, wenn das aus der Steuereinrichtung 5 ausgegebene Signal SE2 einen hohen Pegel aufweist. Wenn die Frequenz des Trägers gleich 13,56 MHz ist, sollte das Frequenzteilungsverhältnis des Synchronisationstaktsignals (P1 × 13,56 MHz) gleich 1 MHz oder niedriger sein, während das Frequenzteilungsverhältnis P2 einen Wert aufweisen sollte, der die Bedingung erfüllt, dass die Frequenz des Synchronisationstaktsignals (P2 × 13,56 MHz) größer als 2 MHz ist.
Die Taktsignalfrequenz wird wie oben beschrieben gesetzt, weil die Taktsignalfrequenz den Stromverbrauch der integrierten Einrichtung beeinflusst. Das heißt, weil in Japan die im Entfernt-Modus über Funkwellen zugeführte Leistung niedriger als 10 mW sein sollte, sollte die Frequenz des Synchronisationstaktsignals, das durch die Synchronisationstaktsignal-Erzeugungsschaltung 14 durch das Teilen der Frequenz f1 des Impulssignals erhalten wird, die Bedingung erfüllen, dass der Stromverbrauch der integrierten Einrichtung niedriger als 10 mW ist. Die oben genannte Frequenz von 1 MHz erfüllt diese Bedingung. Weil im Gegensatz dazu in Japan die in dem Nahe-Modus über Funkwellen zugeführte Leistung gleich 10 mW oder höher sein sollte, sollte die Frequenz des Synchronisationstaktsignals, das durch die Synchronisationstaktsignal-Erzeugungsschaltung 14 durch das Teilen der Frequenz f1 des Impulssignals erhalten wird, die Bedingung erfüllen, dass der Stromverbrauch der integrier ten Einrichtung gleich 10 mW oder höher ist. Die oben genannte Frequenz von 2 MHz erfüllt diese Bedingung. Aus dem vorstehenden geht hervor, dass in dem Nahe-Modus ein Synchronisationssignal mit der doppelten Frequenz wie in dem Entfernt-Modus zugeführt wird. Deshalb kann die integrierte Einrichtung in dem Nahe-Modus mit einer doppelt so hohen Geschwindigkeit wie in dem Entfernt-Modus betrieben werden.
Im Folgenden wird der interne Aufbau der Steuereinrichtung 5 beschrieben. 7 zeigt den internen Aufbau der Steuereinrichtung 5. Wie in der Figur gezeigt, umfasst die Steuereinrichtung 5 eine Spannungsvergleichsschaltung 19, eine Speichersteuereinheit 20, eine Verschlüsselungssteuereinheit 21, eine MPU 22 und ODER-Schaltungen 23 bis 26.
Die Spannungsvergleichsschaltung 19 vergleicht die aus der Diodenbrückenschaltung 15 ausgegebene Spannung Vdd mit dem Schwellwert von 4V, um zu bestimmen, welche Spannung höher ist, und versetzt den Betriebsmodus der IC-Karte 1 entweder in den Nahe-Modus oder in den Entfernt-Modus. Das heißt, wenn die Spannung Vdd höher als der Schwellwert ist, versetzt die Spannungsvergleichsschaltung 19 den Betriebsmodus in den Nahe-Modus und setzt das SEL-Signal auf den hohen Pegel; und wenn die Spannung Vdd niedriger als der Schwellwert ist, versetzt die Spannungsvergleichsschaltung 19 den Betriebsmodus in den Entfernt-Modus und hält das SEL-Signal auf dem niedrigen Pegel.
Die Speichersteuerschaltung 20 umfasst eine Adresserzeugungseinheit 27, eine Datensteuereinheit 28 und eine Aktivierungssignal-Erzeugungseinheit 29, wobei die Adresserzeugungseinheit 27 die Adressen der nicht-flüchtigen Speicher 12 und 13 in Übereinstimmung mit einem Befehl aus der MPU 22 steuert und die Datensteuereinheit 28 das Lesen oder Schreiben von Daten von/in den nicht-flüchtigen Speichern 12 und 13 steuert. 8A zeigt den internen Aufbau der Aktivierungssignal-Erzeugungseinheit 29. In 8A wird das Schaltsignal CE (1) auf den hohen Pegel gesetzt, wenn die MPU 22 das Wechseln zwischen dem Entfernt-Modus und dem Nahe-Modus an die Spannungsvergleichsschaltung 19 überträgt, und (2) auf den niedrigen Pegel gesetzt, wenn die MPU 22 das Wechseln zwischen dem Entfernt-Modus und dem Nahe-Modus selbst vornimmt.
Die MPU 22 führt das Wechseln zwischen dem Entfernt-Modus und dem Nahe-Modus in den folgenden Fällen selbst durch. Während die Spannungsvergleichsschaltung 19 das Wechseln durchführt, empfängt die IC-Karte andere Funkwellen als diejenigen von der Terminalvorrichtung. Wenn in diesem Fall die Spannung Vdd an der Diodenbrückenschaltung 15 gelegentlich hoch wird, kann der Betriebsmodus versehentlich zu dem Nahe-Modus wechseln. Die MPU 22 führt das Schalten selbst durch, wenn von einem versehentlichen Wechseln ausgegangen werden kann. 8A zeigt in einem Tabellenformat, wie die Signale CE1 und CE2 in Übereinstimmung mit der Kombination aus dem Schaltsignal CE, der Spannung Vdd und dem Schwellwert gesetzt werden. Die Aktivierungssignal-Erzeugungseinheit 29 umfasst eine UND-Schaltung 30 und eine UND-Schaltung 31. Die UND-Schaltung 30 führt eine UND-Operation unter Verwendung des Schaltsignals SE und des SEL-Signals aus der Spannungsvergleichsschaltung 19 durch und setzt das Signal CE2 auf den hohen Pegel, wenn das SEL-Signal und das Schaltsignal CE den hohen Pegel aufweisen, sodass die nicht-flüchtigen Speicher 12 und 13 gewählt werden (siehe die Reihe des Nahe-Modus in 8B). Die UND-Schaltung 31 führt eine UND-Operation unter Verwendung des Schaltsignals DE und eines invertierten Werts des SEL-Signal durch und setzt das Signal CE1 auf den hohen Pegel, wenn das Signal SEL den niedrigen Pegel aufweist und das Schaltsignal CE den hohen Pegel aufweist, sodass nur der nicht-flüchtige Speicher 12 ausgewählt wird (siehe die Reihe des Entfernt-Modus in 8B).
Die Verschlüsselungssteuereinheit 21 umfasst eine Datensteuereinheit 33 und eine Auswahlsignal-Erzeugungseinheit 34. Die Datensteuereinheit 33 steuert das Eingeben/Ausgeben von Daten zu/von den Verschlüsselungsschaltungen 10 und 11 in Übereinstimmung mit einem Befehl aus der Speichersteuerschaltung 20. 9A zeigt den interne Aufbau der Auswahlsignal-Erzeugungseinheit 34. 9B zeigt in einem Tabellenformat, wie die Signale SE1 und SE2 in Übereinstimung mit der Kombination aus dem Schaltsignal DE, der Spannung Vdd und dem Schwellwert von 4V gesetzt werden. Aus diesen Zeichnungen geht hervor, dass die Auswahlsignal-Erzeugungseinheit 34 der Aktivierungssignal-Erzeugungseinheit 29 ähnlich ist. Die Auswahlsignal-Erzeugungseinheit 34 umfasst eine UND-Schaltung 35 und eine UND-Schaltung 36. Die UND-Schaltung 35 setzt das Signal SE2 auf den hohen Pegel, wenn das SEL-Signal und das Schaltsignal CE beide einen hohen Pegel aufweisen, sodass die Verschlüsselungsschaltungen 10 und 11 gewählt werden (siehe die Reihe des Nahe-Modus in 9B). Die UND-Schaltung 36 führt eine UND-Operation unter Verwendung des Schaltsignals CE und des invertierten Werts des SEL-Signals durch und setzt das Signal SE1 auf den hohen Pegel, wenn das Signal SEL den niedrigen Pegel aufweist und das Schaltsignal CE den hohen Pegel aufweist, sodass nur die Verschlüsselungsschaltung 10 ausgewählt wird (siehe die Reihe des Entfernt-Modus in 9B).
Die MPU 22 weist den in 10 gezeigten internen Aufbau auf und umfasst: eine Flag-Speichereinheit 37, die ein Flag speichert, das angibt, ob die MPU 22 den Moduswechsel an die Spannungsvergleichsschaltung 19 überträgt oder selbst vornimmt; eine Schaltsignal-Ausgabeeinheit 38, die das Schaltsignal CE (1) auf den hohen Pegel setzt, wenn die MPU 22 das Wechseln an die Spannungsvergleichsschaltung 19 überträgt, und (2) auf den niedrigen Pegel setzt, wenn die MPU 22 das Wechseln selbst vornimmt; einen Befehlspuffer 39, der wenn die BPSK-Modulationsschaltung 6 eine NRZ-Datensequenz ausgibt, die NRZ-Datensequenz als Befehl annimmt; eine Befehlsanalyseeinheit 40 zum Analysieren der als Befehl angenommenen Datensequenz; eine Speicherzugriffseinheit 41 zum Zugreifen auf den Speicher in Übereinstimmung mit dem Ergebnis der Analyse durch die Befehlsanalyseeinheit 40; eine Auswahlsignal-Erzeugungseinheit 42a zum Ausgeben von Signalen SE1 und SE2, wenn das Flag angibt, dass die MPU 22 das Wechseln selbst vornimmt; und eine Aktivierungssignal-Erzeugungseinheit 42b zum Ausgeben der Signale CE1 und CE2, wenn der Befehl angibt, dass die MPU 22 das Wechseln selbst vornimmt. Der Hersteller der IC-Karte 1 bestimmt beim Versand, ob der Moduswechsel unter Verwendung eines Befehls oder der elektrischen Leistung erfolgen soll. Der für den Moduswechsel verwendete Befehl ist ein Abfragebefehl, der zum Abfragen einer ersten Terminalvorrichtung oder einer zweiten weiter unten beschriebenen Terminalvorrichtung ausgegeben wird.
Im Folgenden werden die Auswahlsignal-Erzeugungseinheit 42a und die Aktivierungssignal-Erzeugungseinheit 42b beschrieben.
Die Auswahlsignal-Erzeugungseinheit 42a steuert die Ausgabe der Signale SE1 und SE2 auf der Basis eines 4-Bit-Zugriffs-Spezifikationsfelds und eines 4-Bit-Verschlüsselungs-Spezifikationsfelds in dem Befehl. 11A zeigt den internen Aufbau der Auswahlsignal-Erzeugungseinheit 42a. Der obere Teil von 11A zeigt ein 4-Bit-Zugriffs-Spezifikationsfeld und ein 4-Bit-Verschlüsselungs-Spezifikationsfeld in dem Abfragebefehl. 11B zeigt, ob Daten gelesen oder geschrieben werden und ob das Signal SE1 oder SE2 auf den hohen Pegel gesetzt ist, was aus der entsprechenden Kombination der in dem 4-Bit-Zugriffs-Spezifikationsfeld und in dem 4-Bit-Verschlüsselungs-Spezifikationsfeld spezifizierten Werte erkannt werden kann.
Eine UND-Schaltung 43 gibt „1" zu den UND-Schaltungen 46 und 47 aus, wenn die unteren zwei Bits des Verschlüsselungs-Spezifikationsfelds „00" sind und die oberen zwei Bits „11" sind.
Eine UND-Schaltung 44 gibt „1" an die UND-Schaltung 46 aus, wenn die unteren drei Bits des Zugriffs-Spezifikationsfelds „000" und das obere Bit „1" ist.
Eine UND-Schaltung 45 gibt „1" an die UND-Schaltung 47 aus, wenn die oberen zwei Bits des Zugriffsspezifikationsfelds „0" und die unteren zwei Bits „00" sind.
Eine UND-Schaltung 46 setzt das Signal SE1 auf „1", d.h. den hohen Pegel, wenn die UND-Schaltung 43 und die UND-Schaltung 44 beide „1" ausgeben.
Eine UND-Schaltung 47 setzt SE2 auf „1", d.h. den hohen Pegel, wenn die UND-Schaltung 43 und die UND-Schaltung 45 beide „1" ausgeben.
Mit den vorstehen beschriebenen Ausgaben werden die Verschlüsselungsschaltung 10 und 11 auf der Basis der in 11B gezeigten Definition ausgewählt.
Insbesondere wird das Signal SE1 auf den hohen Pegel gesetzt und wird die Verschlüsselungsschaltung 10 ausgewählt, wenn das Verschlüsselungs-Spezifikationsfeld 12h (=1100) enthält und das Zugriffs-Spezifikationsfeld 8h (=1000) enthält. Weiterhin wird das Signal SE2 auf den hohen Pegel gesetzt und werden die Verschlüsselungsschaltungen 10 und 11 ausgewählt, wenn das Spezifikationsfeld 12h (=1100) enthält und das Zugriffsspezifikationsfeld 4h (= 0100) enthält.
Die Aktivierungssignal-Erzeugungseinheit 42b steuert die Ausgabe der Signale CE1 und CE2 auf der Basis eines 4-Bit-Zugriffs-Spezifikationsfelds und eines 4-Bit-Verschlüsselungs-Spezifikationsfelds in dem Abfragebefehl. Die Aktivierungssignal-Erzeugungseinheit 42b weist wie in 12A gezeigt denselben Schaltungsaufbau auf wie die Auswahlsignal-Erzeugungseinheit 42a. Der obere Teil von 12A zeigt ein 4-Bit-Zugriffs-Spezifikationsfeld und ein 4-Bit-Verschlüsselungs-Spezifikationsfeld in dem Abfragebefehl. 12B zeigt, ob die Daten gelesen oder geschrieben werden und ob das Signal SE1 oder SE2 auf den hohen Pegel gesetzt ist, was aus der entsprechenden Kombination der in dem 4-Bit-Zugriffs-Spezifikationsfeld und in dem 4-Bit-Verschlüsselungs-Spezifikationsfeld spezifizierten Werte erkannt werden kann. Insbesondere wird das Signal SE1 auf den hohen Pegel gesetzt und werden die nicht-flüchtigen Speicher 12 und 13 ausgewählt, wenn das Zugriffs-Spezifikationsfeld 8h (= 1000) enthält. Weiterhin wird das Signal CE2 auf den hohen Pegel gesetzt und wird nur der nicht-flüchtige Speicher 12 ausgewählt, wenn das Zugriffs-Spezifikationsfeld 4h (= 0100) enthält.
Bis jetzt wurde die MPU 22 beschrieben. Im Folgenden werden die restlichen Komponenten der Steuereinrichtung 5 beschrieben. Die ODER-Schaltung 23 von 7 gibt entweder das aus der MPU 22 ausgegebene Signal CE1 oder das aus der Aktivierungssignal-Erzeugungseinheit 29 ausgegebene Signal CE1 zu dem nicht-flüchtigen Speicher 12 aus.
Die ODER-Schaltung 24 gibt entweder das aus der MPU 22 ausgegebene Signal CE2 oder das aus der Aktivierungssignal-Erzeugungseinheit 29 ausgegebene Signal CE2 zu dem nicht-flüchtigen Speicher 13 aus.
Die ODER-Schaltung 25 gibt entweder das aus der MPU 22 ausgegebene Signal SE1 oder das aus der Auswahlsignal-Erzeugungseinheit 34 ausgegebene Signal SE1 zu dem nichtflüchtigen Speicher 12 aus.
Die ODER-Schaltung 26 gibt entweder das aus der MPU 22 ausgegebene Signal SE2 oder das aus der Auswahlsignal-Erzeugungseinheit 34 ausgegebene Signal SE2 zu dem nichtflüchtigen Speicher 13 aus.
Bis jetzt wurde die IC-Karte 1 beschrieben. Im Folgenden wird die erste Terminalvorrichtung beschrieben. 13 zeigt eine automatische Fahrscheinsperre 48 mit der ersten Terminalvorrichtung. Die automatische Fahrscheinsperre 48 umfasst eine Schranke 49 und eine R/W 100. Das Öffnen und Schließen der Schranke 49 wird durch die erste Terminalvorrichtung gesteuert.
14 zeigt den internen Aufbau der R/W 100 (nachfolgend werden die R/W 100 und die erste Terminalvorrichtung als eine Vorrichtung behandelt). Wie in 14 gezeigt, umfasst die erste Terminalvorrichtung eine Leistungsschaltung 50, eine Schnittstellenschaltung 51, eine ASK-Modulationsschaltung 52, eine BPSK-Demodulationsschaltung 53, eine Steuereinrichtung 55 und eine Verschlüsselungsschaltung 56.
Wie in 14 gezeigt, umfasst die IC-Karte 1 keine Leistungsschaltung, während die erste Terminalvorrichtung die Leistungsschaltung 50 umfast. Die integrierte Einrichtung der IC-Karte 1 wird nicht aktiviert, bis Leistung von einer Terminalvorrichtung zugeführt wird, während die internen Schaltungen der ersten Terminalvorrichtung stets durch die eingebettete Leistungsschaltung 50 betrieben werden. Die IC-Karte 1 umfasst keine Schnittstelle für die Verbindung mit anderen Vorrichtungen, während die erste Terminalvorrichtung die Schnittstellenschaltung 51 für das Zusammenwirken mit einer Host-Vorrichtung eines Verwaltungssystems im Bahnhof umfasst.
Während die IC-Karte 1 eine ASK-Demodulationsschaltung und eine BPSK-Modulationsschaltung enthält, enthält die erste Terminalvorrichtung die ASK-Modulationsschaltung 52 und die BPSK-Demodulationsschaltung 53. Die ASK-modulierte Welle kann wie weiter unten beschrieben eine hohe elektrische Leistung vorsehen. Aus diesem Grund ASK-moduliert die erste Terminalvorrichtung die durch die Leistungsschaltung 50 zugeführte Leistung und führt die modulierte Leistung zu der IC-Karte 1 zu, wenn sich diese der ersten Terminalvorrichtung nähert. Die IC-Karte 1 umfasst Verschlüsselungsschaltungen 10 und 11, wobei die Verschlüsselungsschaltung 10 unter Verwendung eines geheimen Schlüssels verschlüsselt, während die Verschlüsselungsschaltung 11 unter Verwendung eines öffentlichen Schlüssels verschlüsselt. Im Gegensatz dazu enthält die erste Terminalvorrichtung nur die Verschlüsselungsschaltung 56, die unter Verwendung eines geheimen Schlüssels verschlüsselt, und enthält keine Verschlüsselungsschaltung zum Verschlüsseln unter Verwendung eines öffentlichen Schlüssels.
16 zeigt ein durch die Steuereinrichtung 55 der ersten Terminalvorrichtung und die Steuereinrichtung 5 der IC-Karte 1 ausgeführtes Kommunikationsprotokoll. Das Kommunikationsprotokoll wird im Folgenden mit Bezug auf 16 erläutert. Die Steuereinrichtung 55 der ersten Terminalvorrichtung gibt in Schritt S1 den Abfragebefehl aus und wartet in Schritt S2 darauf, dass die IC-Karte 1 eine ID-Nummer ausgibt. Die Steuereinrichtung 55 der ersten Terminalvorrichtung wartet auf eine Annäherung der IC-Karte 1, indem sie die Schritte S1 und S2 wiederholt. Dabei soll angenommen werden, dass wie in 15 gezeigt ein Eigentümer der IC-Karte 1 diese aus einer Tasche nimmt, sich der ersten Terminalvorrichtung nähert und die IC-Karte 1 über die R/W 100 (die erste Terminalvorrichtung) hält. Die IC-Karte 1 wird dann aktiviert, indem sie Leistung von der ersten Terminalvorrichtung empfängt, wobei in Schritt S3 die Steuereinrichtung 5 der IC-Karte 1 darauf wartet, dass die erste Terminalvorrichtung einen Abfragebefehl ausgibt. Nachdem die erste Terminalvorrichtung während dieses Wartezustands in Schritt S3 einen Abfragebefehl ausgegeben hat, überträgt die Steuereinrichtung 5 der IC-Karte 1 in Schritt S4 eine ID-Nummer. Nach dem Empfang der ID-Nummer während des Wartezustands in Schritt S2 geht die Steuereinrichtung 55 der ersten Terminalvorrichtung, die auf die ID-Nummer gewartet hat, zu Schritt S6 über.
Nach der Übertragung der ID-Nummer bestimmt die Steuereinrichtung 5 der IC-Karte 1, ob sie im Nahe-Modus oder im Entfernt-Modus aktiviert werden soll. In diesem Beispiel bestimmt die Steuereinrichtung 5, dass sie im Entfernt-Modus aktiviert werden soll, und geht zu Schritt S7.
Die Schritte S6 und S7 werden für einen gegenseitigen Authentifizierungsprozess unter Verwendung eines geheimen Schlüssels ausgeführt. Wenn dieser gegenseitige Authentifizierungsprozess anormal beendet wird, schließt die Steuereinrichtung 55 der ersten Terminalvorrichtung in Schritt S8 die Schranke 49 und benachrichtigt den Systemadministrator darüber, dass es sich um eine nicht korrekte IC-Karte handelt.
Die gegenseitige Authentifizierung zwischen der ersten Terminalvorrichtung und der IC-Karte 1 wird im Folgenden mit Bezug auf 17 beschrieben. 17 ist ein Abfolgediagramm, das die gegenseitige Authentifizierung zwischen der ersten Terminalvorrichtung und der IC-Karte zeigt.
Der erste Prozess der gegenseitigen Authentifizierung wird hauptsächlich durch die erste Terminalvorrichtung bewerkstelligt. In Schritt S51 bestimmt die Steuereinrichtung 55 der ersten Terminalvorrichtung, ob die ID-Nummer normal ist. Wenn bestimmt wird, dass die ID-Nummer normal ist, erzeugt die Steuereinrichtung 55 der ersten Terminalvorrichtung eine Zufallszahl, verschlüsselt die erhaltene Zahl A unter Verwendung eines vorbestimmten geheimen Schlüsseln La in Schritt S52 und sendet eine Zahl VA (= verschlüsselte Zahl A) in Schritt S53 zu der IC-Karte.
In Schritt S54 wartet die Steuereinrichtung 5 der IC-Karte darauf, dass die erste Terminalvorrichtung die Zahl VA sendet. Nachdem Empfangen der Zahl VA geht die Steuereinrichtung 5 zu Schritt S55, um die Zahl VA unter Verwendung eines geheimen Schlüssels Lb zu entschlüsseln, den sie zuvor von der ersten Terminalvorrichtung erhalten hat. Die Steuereinrichtung 5 sendet dann in Schritt S56 eine Zahl B, die aus der Entschlüsselung resultiert, zu der ersten Terminalvorrichtung.
Die erste Terminalvorrichtung wartet darauf, dass die IC-Karte in Schritt S57 die Zahl B sendet. Nach dem Empfang der Zahl B in Schritt S57, geht die erste Terminalvorrichtung zu Schritt S59. In Schritt S59 bestimmt die erste Terminalvorrichtung, ob die Zahl B mit der Zahl A übereinstimmt. Wenn die Zahl B mit der Zahl B übereinstimmt, bestimmt die erste Terminalvorrichtung, dass die Beziehung La = Lb erfüllt wird, und schließt die gegenseitige Authentifizierung mittels des geheimen Schlüssels ab. Dadurch wird der Prozess der gegenseitigen Authentifizierung, der hauptsächlich in der ersten Terminalvorrichtung bewerkstelligt wird, beendet.
Danach wird ein Prozess der gegenseitigen Authentifizierung hauptsächlich durch die IC-Karte auf ähnliche Weise in den Schritten S60 und S61 bewerkstelligt. Die IC-Karte erzeugt eine Zufallszahl J, verschlüsselt diese, sendet die verschlüsselte Zahl VJ zu der ersten Terminalvorrichtung, empfängt von der ersten Terminalvorrichtung eine Zahl K, die durch das Entschlüsseln der Zahl VJ erhalten wird, und bestimmt, ob die Zahl K mit der Zahl J übereinstimmt. Wenn die beiden Zahlen nicht übereinstimmen, beendet die Karte den hauptsächlich in der IC-Karte bewerkstelligten gegenseitigen Authentifizierungsprozess anormal. Wenn die beiden Zahlen übereinstimmen, sendet die IC-Karte in Schritt S62 einen Bestätigungsbefehl zu der ersten Terminalvorrichtung und beendet den gegenseitigen Authentifizierungsprozess.
Die Steuereinrichtung 55 der ersten Terminalvorrichtung wartet in Schritt S63 darauf, dass die IC-Karte den Bestätigungsbefehl sendet. Wenn die Steuereinrichtung 55 den Bestätigungsbefehl in Schritt S63 empfängt, wird die gegenseitige Authentifizierung abgeschlossen.
Wenn die gegenseitige Authentifizierung normal beendet wird, wartet die Steuereinrichtung 5 der IC-Karte 1 in Schritt S9 von 16 darauf, dass die erste Terminalvorrichtung den Lesebefehl ausgibt. In Schritt S10 gibt die Steuereinrichtung 55 der ersten Terminalvorrichtung den Lesebefehl zum Lesen von Informationen aus dem nicht-flüchtigen Speicher 12 aus, wobei die Informationen einen Streckenabschnitt, in dem der Eigentümer der IC-Karte reisen kann, sowie eine Gültigkeitsperiode der als Fahrgastausweis dienenden IC-Karte angeben. Die Steuereinrichtung 55 wartet dann in Schritt S11 darauf, dass die IC-Karte die gelesenen Daten sendet. Wenn die Steuereinrichtung 5 der IC-Karte 1 in Schritt S9 den Lesebefehl empfängt, geht sie zu Schritt S12. In Schritt S12 analysiert und führt die Steuereinrichtung 5 der IC-Karte 1 den Lesebefehl aus, um Informationen zu dem Streckenabschnitt und der Gültigkeitsdauer aus den nicht-flüchtigen Speichern 12 und 13 zu lesen. Die Steuereinrichtung 5 sendet dann die gelesenen Informationen in Schritt S13 zu der ersten Terminalvorrichtung und wartet in Schritt S14 darauf, dass die Steuereinrichtung 55 der ersten Terminalvorrichtung den Schreibbefehl ausgibt. Nach dem Empfangen der Informationen bestimmt die Steuereinrichtung 55 der ersten Terminalvorrichtung auf der Basis der Informationen zu dem Streckenabschnitt und der Gültigkeitsdauer, ob sie dem Eigentümer der IC-Karte das Passieren durch die Schranke und damit den Zugang zu dem Zug gestatten soll. Die Steuereinrichtung 55 der ersten Terminalvorrichtung schließt die Schranke 49 und verweigert dem Eigentümer der IC-Karte den Zugang, wenn der Bahnhof nicht in dem Streckenabschnitt enthalten ist oder wenn die Gültigkeitsdauer abgelaufen ist. Wenn die Steuereinrichtung 55 dem Eigentümer das Passieren durch die Schranke gestattet, gibt die Steuereinrichtung 55 in Schritt S15 den Schreibbefehl aus und wartet in Schritt S16 darauf, dass die IC-Karte eine Datenschreib-Abschlussbenachrichtigung ausgibt.
Wenn die Steuereinrichtung 5 der IC-Karte 1 in Schritt S14 den Schreibbefehl empfängt, geht die Steuereinrichtung 5 zu Schritt S17, um den Schreibbefehl zu analysieren und auszuführen, und schreibt Informationen in den nicht-flüchtigen Speicher 12, wobei die Informationen angeben, dass der Eigentümer der IC-Karte von dem aktuellen Bahnhof aus mit dem Zug gefahren ist. Die Steuereinrichtung 5 sendet dann in Schritt S18 die Datenschreib-Abschlussbenachrichtigung zu der ersten Terminalvorrichtung. Bei Empfang der Datenschreib-Abschlussbenachrichtigung geht die Steuereinrichtung 55 der ersten Terminalvorrichtung zu einer Schleife aus den Schritten S1 und S2, um auf die Annäherung eines folgenden Eigentümers einer IC-Karte zu warten.
Im Folgenden wird die zweite Terminalvorrichtung beschrieben. Die zweite Terminalvorrichtung wird in einer Maschine zum Tätigen einer Zahlung wie etwa in einem Geldautomaten verwendet. 18 zeigt ein Beispiel für die zweite Terminalvorrichtung, die in einem Geldautomaten verwendet wird. Wie in 18 gezeigt, umfasst der Geldautomat 60: einen Schlitz 61, durch den die IC-Karte 1 eingeführt wird; einen Berührungsbildschirm 62 zum Empfangen der Eingabe einer Identifikationsnummer eines IC-Karten-Eigentümers bzw. einer PIN (Personal Identification Number: Persönliche Identifikationsnummer); einen Biosensor 63 zum Lesen von Bioinformationen zu dem IC-Karten-Eigentümer wie etwa der Gesichtskontur, dem Irismuster in den Augen oder Fingerabdrücken; und einen Geldschein-Ausgabekasten 64, in den Geldscheine von innerhalb des Geldautomaten 60 geführt werden, wenn der IC-Karten-Eigentümer durch eine gegenseitige Authentifizierung unter Verwendung der Karteninformationen und der Bioinformationen authentifiziert wurde. Ein wichtiger Unterschied zwischen der ersten und der zweite Terminalvorrichtung besteht in der Anordnung der Antenne. Bei der ersten Terminalvorrichtung werden Funkwellen über die Antenne aus der Vorrichtung hinaus emittiert, während bei der zweiten Terminalvorrichtung Funkwellen innerhalb der Vorrichtung emittiert werden. Die Antenne der zweiten Terminalvorrichtung ist in einem dedizierten Kasten untergebracht, der elektromagnetisch abgeschirmt ist.
19 zeigt einen dedizierten Kasten 65 mit einer Antenne. Der dedizierte Kasten 65 weist einen Schlitz 61 auf, durch den die IC-Karte 1 in den Kasten 65 eingeführt wird. Der dedizierte Kasten 65 umfasst weiterhin: eine Rahmenantenne 66; ein Kartentablett 67, das unter der Rahmenantenne 66 angeordnet ist und die IC-Karte 1 hält; einen Kartensensor 68 zum Lesen eines magnetischen Codes oder von physikalisch etwa durch eine Prägung aufgezeichneten Informationen oder von optisch oder magnetooptisch aufgezeichneten Informationen (nachfolgend werden diese Typen von auf der Karte aufgezeichneten Informationen einfach als Karteninformationen bezeichnet) von der IC-Karte 1; und einen Lademechanismus (nicht gezeigt) zum Empfangen der IC-Karte 1 durch den Schlitz 61 und zum Laden der Karte auf das Kartentablett 67. 10 zeigt, wie die IC-Karte 1 unter der Rahmenantenne der zweiten Terminalvorrichtung eingeführt wird. Wie durch den Pfeil y1 in der Zeichnung angegeben, wird die IC-Karte 1 direkt unter der Rahmenantenne eingeführt.
Wie in 21A gezeigt, ist der Abstand zwischen der Rahmenantenne 66 und der eingeführten IC-Karte nur 0–5 mm groß.
Wenn Leistung zu der Hochleistungs-Rahmenantenne 66 zugeführt wird, während sich die IC-Karte 1 wie oben beschrieben mit einem kurzen Abstand unter der Antenne befindet, werden Funkwellen wie durch die Pfeile y2 und y3 in 21B angegeben erzeugt. Die erzeugten Funkwellen lecken auch dann nicht aus dem dedizierten Kasten, wenn die Rahmenantenne 66 eine Funkwelle mit einer Leistung von mehr als 10 mW sendet, weil der dedizierte Kasten elektromagnetisch abgeschirmt ist. Obwohl in Japan das Aussenden von Funkwellen mit einer Leistung von 10 mW oder mehr ohne Genehmigung nicht zulässig ist, kann die in der zweiten Terminalvorrichtung vorgesehene Rahmenantenne eine Leistung unter Verwendung von Funkwellen mit 10 mW oder mehr wie etwa 20 mW oder 30 mW zuführen. Die Zuführung einer derartig hohen Leistung ermöglicht, dass die IC-Karte 1 in dem Nahe-Modus betrieben wird. Wenn die hohe Leistung zugeführt wird, kann die integrierte Einrichtung in der IC-Karte 1 mit einem Hochfrequenz-Synchronisationstaktsignal betrieben werden und kann die Steuereinrichtung 5 ein Anwendungsprogramm einer höheren Ebene ausführen. Das Anwendungsprogramm einer höheren Ebene kann zum Beispiel JICSAP (Japan IC Card System Application), das eine für JAVA Card entwickelte Multi-OS-Software (JAVA Card ist ein von Sun Microsystems Inc. vorgeschlagener Kartenstandard) ist, oder eine von EMV vorgeschlagene Software sein.
Im Folgenden wird der interne Aufbau der zweiten Terminalvorrichtung beschrieben. 22 zeigt den internen Aufbau der zweiten Terminalvorrichtung. Wie in 22 gezeigt, umfasst die zweite Terminalvorrichtung eine Leistungsschaltung 69, eine Schnittstellenschaltung 70, eine ASK-Modulationsschaltung 71, eine BPSK-Demodulationsschaltung 72, eine Steuereinrichtung 73 und eine Verschlüsselungsschaltung 74. Die ASK-Modulationsschaltung 71 und die BPSK-Demodulationsschaltung 72 sind mit der Hochleistungs-Rahmenantenne 66 verbunden. Der Kartensensor 68 ist mit der Steuereinrichtung 73 verbunden. Die zweite Terminalvorrichtung unterscheidet sich von der ersten Terminalvorrichtung dadurch, dass die ASK-Modulationsschaltung 71 und die BPSK-Demodulationsschaltung 72 im Nahe-Modus eine höhere Leistung zu der IC-Karte 1 zuführen als in der ersten Terminalvorrichtung, sowie weiterhin dadurch, dass die Verschlüsselungsschaltung 74 Daten unter Verwendung eines geheimen Schlüssels verschlüsselt und entschlüsselt und eine gegenseitige Authentifizierung unter Verwendung einer Verschlüsselung mit einem öffentlichen Schlüssel vornimmt, was eine höhere Sicherheit vorsieht.
Die oben beschriebenen Prozesse der zweiten Terminalvorrichtung werden durch die Steuereinrichtung 73 gesteuert. 23 ist ein Flussdiagramm, das die Prozedur der Steuereinrichtung 73 der zweiten Terminalvorrichtung zeigt. Das Kommunikationsprotokoll wird mit Bezug auf 23 beschrieben. Die Steuereinrichtung 73 der zweiten Terminalvorrichtung wartet immer darauf, dass eine IC-Karte 1 eingeführt und auf das Kartentablett 67 geladen wird. Wenn ein Eigentümer einer IC-Karte 1 die IC-Karte 1 in den Schlitz einführt, wird die IC-Karte 1 in die zweite Terminalvorrichtung gezogen und geladen. Wenn die IC-Karte 1 in die zweite Terminalvorrichtung eingeführt wurde, befindet sich die IC-Karte wie in 21A gezeigt nahe bei der Rahmenantenne 66 der zweiten Terminalvorrichtung. Die IC-Karte 1 ist unterhalb des Zentrums der Rahmenantenne positioniert. Wenn in diesem Zustand eine Funkwelle in der Rahmenantenne 66 induziert wird, wird eine hohe Leitung zu der IC-Karte 1 zugeführt. Während 21A zeigt, dass der Abstand zwischen der Rahmenantenne 66 und der IC-Karte 0–5 mm beträgt, kann die IC-Karte wie in 21C gezeigt auch in Kontakt mit der Rahmenantenne 66 gebracht werden, solange dieselben keinen elektrischen Kontakt zueinander aufweisen.
Nachdem die IC-Karte 1 eingeführt wurde, weist die Steuereinrichtung 73 der zweiten Terminalvorrichtung in Schritt S22 den Kartensensor 68 an, die Karteninformationen zu lesen, und bestimmt in Schritt S23, ob die Karteninformationen normal sind. Wenn die Steuereinrichtung 73 bestimmt, dass die Karteninformationen anormal sind, weil kein Magnetcode oder keine Prägung vorhanden ist oder weil ein Herstellungsfehler gegeben ist, warnt die Steuereinrichtung 73 den Karteneigentümer entsprechend, wirft die IC-Karte 1 aus, geht zu Schritt 29 über und benachrichtigt den Systemadministrator darüber, dass es sich um eine nicht korrekte IC-Karte handelt. Wenn die Steuereinrichtung 73 in Schritt S23 bestimmt, dass die Karteninformationen normal sind, geht die Steuereinrichtung 73 zu Schritt S24 über und fordert den Karteneigentümer zur Eingabe einer Codenummer auf. Die Steuereinrichtung 73 wartet dann in Schritt S25 auf die Eingabe der Codenummer. Nachdem die Codenummer eingegeben wurde, vergleicht die Steuereinrichtung 73 in Schritt S26 die in den Karteninformationen enthaltene Codenummer mit der eingegebenen Codenummer. Wenn die beiden Codenummern nicht übereinstimmen, geht die Steuereinrichtung 73 zu Schritt S29 über, um den Systemadministrator darüber zu benachrichtigen, dass die IC-Karte dem Karteneigentümer nicht rechtmäßig gehört. Wenn die zwei Codenummern in Schritt S26 übereinstimmen, geht die Steuereinrichtung 73 zu Schritt S27 über, um den Biosensor 63 zu aktivieren, wobei sie den Biosensor 63 anweist, die Bioinformationen zu dem Karteneigentümer wie etwa die Gesichtskontur, das Irismuter in den Augen oder Fingerabdrücke zu lesen. In Schritt S28 erkundigt sich die Host-Vorrichtung, ob der Karteneigentümer auf der Basis der Bioinformationen der rechtmäßige Besitzer der IC-Karte 1 ist. Die Host-Vorrichtung umfasst eine Datenbank, die eine Vielzahl von Einträgen von IC-Karten-Codenummern in Entsprechung zu einer Vielzahl von Elementen von Bioinformationen umfasst, sodass die Host-Vorrichtung entscheiden kann, ob es sich um den rechtmäßigen Besitzer handelt. Wenn keine Kombination aus den durch den Biosensor 63 gelesenen Bioinformationen und aus der eingegebenen Codenummer in der Datenbank gefunden wird, weil der Karteneigentümer die IC-Karte 1 unrechtmäßig erworben hat, geht die Steuereinrichtung 73 zu Schritt S29, um den Systemadministrator zu benachrichtigen. Wenn eine Kombination aus den durch den Biosensor 63 gelesenen Bioinformationen und aus der eingegebenen Codenummer in der Datenbank gefunden wird, geht die Steuereinrichtung zu dem in dem Flussdiagramm von 24 gezeigten Prozess.
Danach wirken die Steuereinrichtung 73 der zweiten Terminalvorrichtung und die Steuereinrichtung 7 der IC-Karte 1 wie in dem Flussdiagramm von 24 gezeigt zusammen. Es ist zu beachten, dass in 16 und 24 mit gleichen Bezugszeichen angegebene Schritte dieselben Operationen durchführen. Das in 24 gezeigte Flussdiagramm unterscheidet sich von dem in 16 gezeigten dadurch, dass in Schritt S31 Leistung von der Hochleistungs-Rahmenantenne 66 zugeführt wird, bevor in Schritt S1 der Abfragebefehl ausgegeben wird, dass der Moduswechsel in Schritt S5 vorgenommen wird, dass die IC-Karte im Nahe-Modus aktiviert wird, dass die gegenseitige Authentifizierung in den Schritten S32-S33 unter Verwendung eines öffentlichen Schlüssels durchgeführt wird, während die gegenseitige Authentifizierung in 16 in den Schritten S6–S7 unter Verwendung eines geheimen Schlüssels durchgeführt wird, dass die Daten verschlüsselt werden, wenn sie unter Verwendung des Lesebefehls oder des Schreibbefehls gesendet oder empfangen werden, und dass die verschlüsselten Daten durch die Verschlüsselungsschaltung entschlüsselt werden. Weiterhin unterscheidet sich der durch die zweite Terminalvorrichtung ausgegebene Abfragebefehl von dem durch die erste Terminalvorrichtung ausgegebenen. Bei diesem Aufbau kann die IC-Karte unmittelbar erkennen, ob die Terminalvorrichtung, der sich die IC-Karte nähert, die erste Terminalvorrichtung oder die zweite Terminalvorrichtung ist.
Die zwischen der zweiten Terminalvorrichtung und der IC-Karte in den Schritten S32 und S33 in 24 durchgeführte gegenseitige Authentifizierung wird im Folgenden mit Bezug auf 25 beschrieben. 25 ist ein Abfolgediagramm, das die gegenseitige Authentifizierung zwischen der zweiten Terminalvorrichtung und der IC-Karte zeigt.
In Schritt S71 bestimmt die Steuereinrichtung 73 der zweiten Terminalvorrichtung, ob die ID-Nummer korrekt ist. Wenn bestimmt wird, dass die ID-Nummer korrekt ist, erzeugt die Steuereinrichtung 73 der zweiten Terminalvorrichtung in Schritt S72 eine Zufallszahl, verschlüsselt die erhaltene Zahl D unter Verwendung eines vorbestimmten öffentlichen Schlüssels Ma und sendet dann die Zahl (= verschlüsselte Zahl WD) an die IC-Karte, wobei der öffentliche Schlüssel Ma und ein geheimer Schlüssel Ha zuvor vorbereitet wurden.
In Schritt S74 wartet die Steuereinrichtung 5 der IC-Karte darauf, dass die zweite Terminalvorrichtung die Zahl WD sendet. Nach dem Empfang der Zahl WD geht die Steuereinrichtung 5 zu Schritt S75 über, um die Verschlüsselungsschaltung 10 zum Entschlüsseln der Zahl WD unter Verwendung eines geheimen Schlüssels Hb anzuweisen, sodass eine Zahl E erhalten wird, wobei die Zahl E unter Verwendung eines öffentlichen Schlüssels Mb verschlüsselt wird, sodass eine Zahl WE erhalten wird, wobei der geheime Schlüssel Hb und der öffentliche Schlüssel Mb zuvor vorbereitet wurden. Die Steuereinrichtung 5 geht dann zu Schritt S76 über, um die Zahl WE zu der zweiten Terminalvorrichtung zu senden.
Die Steuereinrichtung 73 der zweiten Terminalvorrichtung wartet in Schritt S77 darauf, dass die IC-Karte die Zahl WE sendet. Nach dem Empfang der Zahl WE in Schritt S77, geht die zweite Terminalvorrichtung zu Schritt S78. In Schritt S78 entschlüsselt die Steuereinrichtung 73 der zweiten Terminalvorrichtung die Zahl WE unter Verwendung des geheimen Schlüssels Ha. Die Steuereinrichtung 73 bestimmt dann in Schritt S79, ob die durch das Entschlüsseln der Zahl WE erhaltene Zahl F mit der Zahl D übereinstimmt. Wenn die beiden Zahlen übereinstimmen, schließt die zweite Terminalvorrichtung den Prozess der gegenseitigen Authentifizierung ab, was hauptsächlich durch die zweite Terminalvorrichtung bewerkstelligt wird.
Danach wird ein Prozess in der gegenseitigen Authentifizierung hauptsächlich durch die IC-Karte auf ähnliche Weise in den Schritten S80 und S81 ausgeführt. Die IC-Karte erzeugt eine Zufallszahl M, verschlüsselt diese unter Verwendung des öffentlichen Schlüssels Mb und sendet die verschlüsselte Zahl WM an die zweite Terminalvorrichtung. Die zweite Terminalvorrichtung entschlüsselt die Zahl WM unter Verwendung eines geheimen Schlüssels, verschlüsselt diese unter Verwendung eines öffentlichen Schlüssels, um eine Zahl WN zu erhalten, und sendet die Zahl WN zu der IC-Karte. Die IC-Karte empfängt die Zahl WN von der zweiten Terminalvorrichtung, erhält eine Zahl N, indem sie die Zahl WN entschlüsselt, und bestimmt, ob die Zahl n mit der Zahl N übereinstimmt. Wenn die beiden Zahlen nicht übereinstimmen, beendet die IC-Karte den gegenseitigen Authentifizierungsprozess anormal. Wenn die beiden Zahlen übereinstimmen, sendet die IC-Karte in Schritt S83 einen Bestätigungsbefehl an die zweite Terminalvorrichtung und beendet die gegenseitige Authentifizierung.
Die Steuereinrichtung 73 der zweiten Terminalvorrichtung wartet in Schritt S83 darauf, dass die IC-Karte den Bestätigungsbefehl sendet. Wenn die Steuereinrichtung 73 den Bestätigungsbefehl in Schritt S83 empfängt, ist die gegenseitige Authentifizierung abgeschlossen.
Aus den vorstehenden Erläuterungen geht hervor, dass die Sicherheit im Nahe-Modus höher ist als im Entfernt-Modus.
Wie oben beschrieben, umfasst die zweite Terminalvorrichtung einen Mechanismus wie etwa einen elektromagnetisch abgeschirmten Kasten, der das Lecken von Funkwellen verhindert. Wenn bei diesem Aufbau eine tragbare Karte in den elektromagnetisch abgeschirmten Kasten eingeführt wird, können die persönlichen Informationen nicht durch eine böswillige dritte Partei abgefangen werden, während sie zwischen der zweiten Terminalvorrichtung und der integrierten Einrichtung übertragen werden. Weil der nicht-flüchtige Speicher 13 in der IC-Karte 1 wie oben beschrieben nur in dem Nahe-Modus aktiviert wird, ist der nicht-flüchtige Speicher 13 nützlich, um persönliche Informationen zu speichern, für die eine hohe Sicherheit erforderlich ist. Wenn die persönlichen Informationen in dem nicht-flüchtigen Speicher 13 gespeichert werden, kann der One-Chip-IC der IC-Karte 1 mit der zweiten Terminalvorrichtung in Bezug auf die persönlichen Informationen zusammenwirken, ohne einen elektrischen Kontakt mit der internen Schaltung der Terminalvorrichtung herzustellen. Auf diese Weise erfolgt das Zusammenwirken zwischen der IC-Karte 1 und der zweiten Terminalvorrichtung, während die integrierte Einrichtung nicht in Kontakt mit der internen Schaltung der Terminalvorrichtung ist. Es ist deshalb keine Wartung für die IC-Karte 1 und die zweite Terminalvorrichtung erforderlich. Weil weiterhin der nicht-flüchtige Speicher 13 aktiviert wird, wenn sich die IC-Karte 1 der Terminalvorrichtung nähert, muss der Karteneigentümer keinen Kontakt zwischen der Terminalvorrichtung und der IC-Karte herstellen, was für den Eigentümer der IC-Karte 1 praktisch ist. Wie bei dem Entfernt-Modus der herkömmlichen IC-Karte 1 kann die IC-Karte 1 der vorliegenden Erfindung im Entfernt-Modus mit der ersten Terminalvorrichtung zusammenwirken. Außerdem kann die IC-Karte 1 der vorliegenden Erfindung für das Tätigen einer Zahlung verwendet werden, was für die herkömmliche IC-Karte 1 aus Sicherheitsgründen als nicht für den Entfernt-Modus geeignet betrachtet wurde. Mit anderen Worten kann eine einzige IC-Karte 1 viele verschiedene Arten von persönlichen Informationen verwalten.
Es ist zu beachten, dass verschiedene Änderungen vorgenommen werden können, ohne dass dadurch der Erfindungsumfang verlassen wird. Im Folgenden werden einige derartige Änderungen beschrieben.

(a) In der vorliegenden Ausführungsform ist die erste Terminalvorrichtung mit einer automatischen Fahrscheinsperre in einem Bahnhof verbunden. Die erste Terminalvorrichtung kann aber auch mit einem Geldautomaten verbunden sein. In diesem Falls speichert der nicht-flüchtige Speicher 12 Namen und Code-Nummern von Karteneigentümern. Wenn sich die IC-Karte 1 der ersten Terminalvorrichtung nähert, gibt die erste Terminalvorrichtung einen Lesebefehl zum Lesen des Namens und der PIN von der IC-Karte 1 aus. Die erste Terminalvorrichtung gibt dann einen Schreibbefehl an die IC-Karte 1 aus, sodass die IC-Karte 1 eine Geldsumme in den nicht-flüchtigen Speicher 12 schreibt. Die erste Terminalvorrichtung weist dann den Geldautomaten an, die Geldsumme auszuzahlen.
(b) In der vorliegenden Ausführungsform ist die erste Terminalvorrichtung mit einer automatischen Fahrscheinsperre verbunden, während die zweite Terminalvorrichtung mit einem Geldautomaten verbunden ist. Es kann jedoch auch eine einzige Terminalvorrichtung die Funktionen der ersten und der zweiten Terminalvorrichtung aufweisen. Wenn sich in diesem Fall eine IC-Karte der Terminalvorrichtung zu einem Abstand von einigen cm bis 10 cm nähert, versetzt die Terminalvorrichtung den One-Chip-IC in den Entfernt-Modus und sendet und empfängt dann Funkwellen von/zu der IC-Karte, um Daten zu/von dem One-Chip-IC aus- und einzugeben, ohne dass die Terminalvorrichtung und die IC-Karte einander kontaktieren. Und wenn sich die IC-Karte der Terminalvorrichtung zu einem Abstand von 0 bis 5 mm nähert, versetzt die Terminalvorrichtung den One-Chip-IC in den Nahe-Modus und sendet und empfängt dann Funkwellen zu/von der IC-Karte, um Daten zu/von dem One-Chip-IC aus- und einzugeben, ohne dass die Terminalvorrichtung und die IC-Karte einander kontaktieren. Weiterhin kann ein Programm auf einem Computer-lesbaren Aufzeichnungsmedium aufgezeichnet sein, mit dem ein Universalcomputer derartige Funktionen ausführen kann. In diesem Fall sollte der Universalcomputer eine ASK-Modulationsschaltung und eine BPSK-Demodulationsschaltung umfassen. Wenn sich eine IC-Karte dem Universalcomputer auf einen Abstand zwischen einigen cm und 10 nähert, versetzt der Universalcomputer den One-Chip-IC in den Entfernt-Modus und sendet und empfängt dann Funkwellen von/zu der IC-Karte, um Daten von/zu dem One-Chip-IC ein- uns auszugeben, ohne dass der Universalcomputer und die IC-Karte einander kontaktieren. Und wenn sich eine IC-Karte dem Universalcomputer auf einen Abstand von 0 bis 5 mm nähert, versetzt der Universalcomputer den One-Chip-IC in den Nahe-Modus und sendet und empfängt dann Funkwellen von/zu der IC-Karte, um Daten von/zu dem One-Chip-IC ein- uns auszugeben, ohne dass der Universalcomputer und die IC-Karte einander kontaktieren.
(c) In der vorliegenden Ausführungsform erfolgt das Wechseln zu dem Nahe-Modus unter Verwendung einer durch die Antenne empfangenen Spannung und des Abfragebefehls. Das Wechseln des Modus kann jedoch auch unter Verwendung von (1) einem aus einer Vielzahl von Informationstypen wie etwa physikalisch auf der IC-Karte aufgezeichneten Informationen, optisch oder magnetooptisch auf der IC-Karte aufgezeichneten Informationen, einer Code-Nummer des IC-Karteneigentümers oder Bioinformationen zu dem IC-Karteneigentümer erfolgen, oder unter Verwendung von (2) in einem Speicher gespeicherten persönlichen Informationen. Die durch die Antenne empfangene Spannung und der Abfragebefehl können auch in Kombination mit den vorstehend genannten Informationen verwendet werden.
(d) In der vorliegenden Ausführungsform werden entweder die Signale CE1 und CE2 aus der MPU 22 oder die Signale CE1 oder CE2 aus der Aktivierungssignal-Erzeugungseinheit 29 zu den nicht-flüchtigen Speichern 12 und 13 ausgegeben. Ein Zugriff auf den nichtflüchtigen Speicher 12 oder 13 kann jedoch auch nur dann gestattet werden, wenn die Signale CE1 und CE2 sowohl aus der MPU 22 als auch aus der Aktivierungssignal-Erzeugungseinheit 29 ausgegeben werden. Bei diesem Aufbau erfolgt das Wechseln zu dem Nahe-Modus strikter, was falsche Zugriffe auf die IC-Karte schwieriger macht.

In der vorliegenden Ausführungsform werden entweder die Signale SE1 und SE2 aus der MPU 22 oder die Signale SE1 oder SE2 aus der Auswahlsignal-Erzeugungseinheit 34 zu den Verschlüsselungsschaltungen 10 und 11 ausgegeben. Die Verschlüsselungsschaltungen 10 und 11 können jedoch auch nur dann aktiviert werden, wenn die Signale SE1 und SE2 sowohl aus der MPU 22 als auch aus der Auswahlsignal-Erzeugungseinheit 34 ausgegeben werden.
Industrielle Anwendbarkeit
Die vorliegende Erfindung kann an einer automatischen Sperre für das automatische Prüfen der Zugangsberechtigung und an einem Geldautomaten für das Tätigen einer Zahlung in einer Behörde, einem Verkehrsunternehmen, einem Finanzinstitut, Krankenhaus oder einer ähnlichen Einrichtung angewendet werden, wo viele Bürger, Kunden oder Angestellte vorhanden sind.

Claims

Zweifach verwendbare tragbare Karte (1), wobei die tragbare Karte eine integrierte Einrichtung umfasst, die enthält: eine Identifizierungseinheit, die bei einer Annäherung der tragbaren Karte an eine Terminalvorrichtung betrieben werden kann, um auf der Basis einer von der Terminalvorrichtung empfangenen Funkwelle entweder einen ersten Verwendungszweck oder einen zweiten Verwendungszweck zu identifizieren, für den die Karte verwendet wird, eine Verarbeitungseinheit (5), die bei einer Verwendung für den ersten Verwendungszweck betrieben werden kann, um einen ersten Prozess durchzuführen, und die bei einer Verwendung für den zweiten Verwendungszweck betrieben werden kann, um einen zweiten Prozess durchzuführen, und eine Kommunikationseinheit (46), die betrieben werden kann, um eine Daten-Ein-/Ausgabe des kontaktlosen Typs zwischen der Terminalvorrichtung und der Verarbeitungseinheit durchzuführen, indem eine Funkkommunikation mit der Terminalvorrichtung durchgeführt wird, wenn die tragbare Karte für den ersten Verwendungszweck oder den zweiten Verwendungszweck verwendet wird, dadurch gekennzeichnet, dass die Identifizierungseinheit umfasst: eine Bestimmungseinheit, die betrieben werden kann, um zu bestimmen, dass die tragbare Karte für den zweiten Verwendungszweck verwendet wird, wenn die tragbare Karte mit einem ersten Abstand oder kürzer zu der Terminalvorrichtung positioniert ist und die empfangene Funkwelle eine elektrische Leistung aufweist, die höher als ein vorbestimmter Pegel ist, und um zu bestimmen, dass die tragbare Karte für den ersten Verwendungszweck verwendet wird, wenn der Abstand zwischen der tragbaren Karte und der Terminalvorrichtung in einem Bereich zwischen einem zweiten Abstand und einem dritten Abstand liegt und die empfangene Funkwelle eine elektrische Leistung aufweist, die niedriger als der vorbestimmte Pegel ist.
Tragbare Karte nach Anspruch 1, wobei die Identifizierungseinheit umfast: eine Vergleichseinheit (17), die betrieben werden kann, um eine empfangene Spannung einer durch eine Antenne empfangenen Funkwelle mit einem vorbestimmten Schwellwert zu vergleichen, und wobei die Bestimmungseinheit bestimmt, dass die tragbare Karte mit dem ersten Abstand oder kürzer von der Terminalvorrichtung entfernt ist, wenn die empfangene Spannung höher als der vorbestimmte Schwellwert ist, und bestimmt, dass der Abstand zwischen der tragbaren Karte und der Terminalvorrichtung in dem Bereich zwischen dem zweiten Abstand und dem dritten Abstand liegt, wenn die empfangene Spannung niedriger als der vorbestimmte Schwellwert ist.
Tragbare Karte nach Anspruch 2, wobei der vorbestimmte Schwellwert auf der Basis von (1) der empfangenen Leistung einer Funkwelle bestimmt wird, die die Leistung des ersten Leistungspegels aufweist und empfangen wird, wenn der Abstand zwischen der tragbaren Karte und der Terminalvorrichtung im Bereich zwischen dem zweiten Abstand und dem dritten Abstand ist, und (2) der empfangenen Leistung einer Funkwelle bestimmt wird, die die Leistung des zweiten Leistungspegels aufweist und empfangen wird, wenn der Abstand zwischen der tragbaren Karte und der Terminalvorrichtung gleich dem ersten Abstand oder kürzer ist.
Tragbare Karte nach Anspruch 3, wobei der zweite Verwendungszweck vertraulichere Daten handhabt als der erste Verwendungszweck, der erste Prozess wenigstens einen Verschlüsselungsprozess zum Verschlüsseln von Daten unter Verwendung eines ersten Verschlüsselungsschlüssels, einen Entschlüsselungsprozess zum Entschlüsseln von Daten unter Verwendung des ersten Verschlüsselungsschlüssels, einen Zertifizierungsprozess zur Zertifizierung der Authentizität der tragbaren Karte unter Verwendung des ersten Verschlüsselungsschlüssels und einen Authentifizierungsprozess zum Authentifizieren der Terminalvorrichtung unter Verwendung des ersten Verschlüsselungsschlüssels umfasst, der zweite Prozess wenigstens einen Verschlüsselungsprozess zum Verschlüsseln von Daten unter Verwendung eines zweiten Verschlüsselungsschlüssels, der eine höhere Sicherheit als der erste Verschlüsselungsschlüssel vorsieht, einen Entschlüsselungsprozess zum Entschlüsseln von Daten unter Verwendung des zweiten Verschlüsselungsschlüssels, einen Zertifizierungsprozess zur Zertifizierung der Authentizität der tragbaren Karte unter Verwendung des zweiten Verschlüsselungsschlüssels und einen Authentifizierungsprozess zum Authentifizieren der Terminalvorrichtung unter Verwendung des zweiten Verschlüsselungsschlüssels umfasst, der zweite Prozess eine größere Verarbeitungslast als der erste Prozess aufweist, und der zweite Leistungspegel auf der Basis der verbrauchten Leistung bestimmt wird, wenn die Verarbeitungseinheit den zweiten Prozess ausführt.
Tragbare Karte nach Anspruch 4, wobei die integrierte Einrichtung umfasst: eine Speichereinheit, die umfasst (1) einen ersten Bereich (12) zum Speichern von Daten, die nur für den ersten Verwendungszweck verwendet werden, und (2) einen zweiten Bereich (13) zum Speichern von Daten, die nur für den zweiten Verwendungszweck verwendet werden, wobei die Kommunikationseinheit umfasst: eine Sende-/Empfangseinheit (2), die betrieben werden kann, um einen durch die Terminalvorrichtung ausgegeben Befehl zu empfangen und Daten über eine drahtlose Kommunikation zu der Terminalvorrichtung zu senden, wobei die Verarbeitungseinheit umfasst: eine Zugriffsverwaltungseinheit (22), die betrieben werden kann, um nach der Identifikation des ersten oder zweiten Verwendungszwecks durch die Identifikationseinheit den Zugriff auf den ersten oder zweiten Bereich in Übereinstimmung mit dem identifizierten Verwendungszweck zu gestatten und den Zugriff auf die anderen Bereiche zu verhindern, eine Decodiereinheit (21), die betrieben werden kann, um den von der Sende-/Empfangseinheit empfangenen Befehl zu decodieren, und eine Speicherzugriffseinheit (20), die wenn die Decodiereinheit beim Decodieren feststellt, dass der Befehl eine Lesebefehl ist, betrieben werden kann, um ein durch den Lesebefehl spezifiziertes Datenelement aus dem ersten oder dem zweiten Speicher zu lesen und die Sende-/Empfangseinheit zum Senden des Datenelements anzuweisen, und die wenn die Decodiereinheit beim Decodieren feststellt, dass der Befehl ein Schreibbefehl ist, betrieben werden kann, um ein in dem Schreibbefehl spezifiziertes Datenelement in den ersten oder zweiten Bereich zu schreiben.
Tragbare Karte nach Anspruch 3, wobei die integrierte Einrichtung umfasst: eine Synchronisationstaktsignal-Erzeugungseinheit (14), die wenn die tragbare Karte eine Leistung mit dem ersten Leistungspegel erhält, betrieben werden kann, um an die Verarbeitungseinheit ein Synchronisationstaktsignal mit einer ersten Frequenz zu senden, die in Übereinstimmung mit einer Frequenz eines Trägers eines empfangenen Signals erzeugt wird, und die wenn die tragbare Karte Leistung mit dem zweiten Leistungspegel erhält, betrieben werden kann, um an die Verarbeitungseinheit ein Synchronisationstaktsignal mit einer zweiten Frequenz zu senden, die höher als die erste Frequenz ist.
Tragbare Karte nach Anspruch 1, wobei die Bestimmungseinheit bestimmt, dass die tragbare Karte für den zweiten Verwendungszweck verwendet wird, wenn die tragbare Karte mit dem ersten Abstand oder kürzer zu der Terminalvorrichtung positioniert ist und wenn die empfangene Funkwelle eine ersten Abfragebefehl enthält, und die Bestimmungseinheit bestimmt, dass die tragbare Karte für den ersten Verwendungszweck verwendet wird, wenn der Abstand zwischen der tragbaren Karte und der Terminalvorrichtung im Bereich zwischen dem zweiten Abstand und dem dritten Abstand liegt und wenn die empfangene Funkwelle einen zweiten Abfragebefehl enthält.
Tragbare Karte nach Anspruch 1, wobei der erste Abstand 5 mm ist, der dritte Abstand 10 cm ist und der zweite Abstand nicht kleiner als 5 mm und nicht größer als 10 cm ist.
System mit einer tragbaren Karte nach einem der Ansprüche 1 bis 8 und einer Terminalvorrichtung, die Daten zu/von der tragbaren Karte (1) ein- bzw. ausgibt, wobei die Terminalvorrichtung umfasst: eine Kommunikationseinheit, die betrieben werden kann, um eine Funkwelle zu senden, die veranlasst, dass die integrierte Einrichtung in einen ersten Modus, in dem ein vorbestimmter Prozess durchgeführt wird, oder in einen zweiten Modus eintritt, in dem ein Prozess durchgeführt wird, der eine höhere Sicherheit als der erste Modus erfordert, wobei dann Daten zu/von der integrierten Einrichtung ein- bzw. ausgegeben werden, indem eine Funkwelle zu/von der integrierten Einrichtung gesendet oder empfangen wird, ohne dass die integrierte Einrichtung kontaktiert wird.
System nach Anspruch 9, wobei die Terminalvorrichtung entweder eine erste oder eine zweite Terminalvorrichtung ist und eine Funkwelle mit einer Leistung, die niedriger als ein erster Leistungspegel ist, von der ersten Terminalvorrichtung gesendet wird oder eine Funkwelle mit einer Leistung eines zweiten Leitungspegels, der doppelt so hoch wie der erste Leistungspegel oder höher ist, von der zweiten Terminalvorrichtung gesendet wird, die eine Antenne in einem elektromagnetisch abgeschirmten Kasten aufweist.
System nach Anspruch 9, wobei die Terminalvorrichtung eine erste oder eine zweite Terminalvorrichtung ist, die erste Terminalvorrichtung eine Abfrage durch das Ausgeben einer Funkwelle durchführt, die einen ersten Abfragebefehl enthält, und die zweite Terminalvorrichtung eine Abfrage durch das Ausgeben einer Funkwelle durchführt, die einen zweiten Abfragebefehl enthält.
System nach Anspruch 9, wobei der erste Abstand 5 mm ist, der dritte Abstand 10 cm ist und der zweite Abstand nicht kleiner als 5 mm und nicht größer als 10 cm ist.
Kommunikationsverfahren, das zwischen einer tragbaren Karte und einer Terminalvorrichtung verwendet wird, wobei die tragbare Karte (1) eine integrierte Einrichtung (3) enthält, die in entweder einen ersten Modus oder einen zweiten Modus versetzt ist, wobei in dem ersten Modus ein vorbestimmter Prozess durchgeführt wird und wobei in dem zweiten Modus ein Prozess durchgeführt wird, der eine höhere Sicherheit erfordert als der erste Modus, und wenn der Abstand zwischen der tragbaren Karte und der Terminalvorrichtung in einem Bereich zwischen einem zweiten Abstand und einem dritten Abstand liegt, wird die integrierte Einrichtung in den ersten Modus versetzt, wobei die Terminalvorrichtung dann Daten zu/von der integrierten Einrichtung durch das Senden oder Empfangen einer Funkwelle von/zu der integrierten Einrichtung ein- bzw. ausgibt, ohne die integrierte Einrichtung zu kontaktieren, und wenn der Abstand zwischen der tragbaren Karte und der Terminalvorrichtung gleich einem ersten Abstand oder kürzer ist, wird die integrierte Einrichtung in den zweiten Modus versetzt, wobei die Terminalvorrichtung dann Daten zu/von der integrierten Einrichtung durch das Senden oder Empfangen einer Funkwelle von/zu der integrierten Einrichtung ein- bzw. ausgibt, ohne die integrierte Einrichtung zu kontaktieren.
Kommunikationsverfahren nach Anspruch 13, wobei der erste Abstand 5 mm ist, der dritte Abstand 10 cm ist und der zweite Abstand nicht kleiner als 5 mm und nicht größer als 10 cm ist.