JP2002055961A - Icカード装置及びプロキシ装置、並びにカード端末装置 - Google Patents
Icカード装置及びプロキシ装置、並びにカード端末装置Info
- Publication number
- JP2002055961A JP2002055961A JP2000245818A JP2000245818A JP2002055961A JP 2002055961 A JP2002055961 A JP 2002055961A JP 2000245818 A JP2000245818 A JP 2000245818A JP 2000245818 A JP2000245818 A JP 2000245818A JP 2002055961 A JP2002055961 A JP 2002055961A
- Authority
- JP
- Japan
- Prior art keywords
- card
- information
- data
- terminal device
- proxy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Credit Cards Or The Like (AREA)
Abstract
(57)【要約】
【課題】 ICカードシステムにおいて、利用機のセキ
ュリティが充分強固でない場合にアクセス先情報等を利
用機に対して秘匿したり利用機からの機密情報漏洩を防
止する。 【解決手段】 ICカードシステムは、ICカード10
1と、計算機ネットワーク105で接続された利用機1
02、プロキシ装置103、リモートホスト104とを
備える。ICカード101を用いてリモートホスト10
4にアクセスしてネットワークサービスを受ける際、I
Cカード101とプロキシ装置103とで通信を行う。
このとき、予めICカード101内のアプリケーション
プログラムとプロキシ装置103のデータ変換手段11
1との間でデータ変換の規則と方法についての取り決め
を行い、利用機102において未知の変換アルゴリズム
でデータ変換を行ってデータをやり取りする。これによ
り、利用機102に対して情報の秘匿や開示制限を行
う。
ュリティが充分強固でない場合にアクセス先情報等を利
用機に対して秘匿したり利用機からの機密情報漏洩を防
止する。 【解決手段】 ICカードシステムは、ICカード10
1と、計算機ネットワーク105で接続された利用機1
02、プロキシ装置103、リモートホスト104とを
備える。ICカード101を用いてリモートホスト10
4にアクセスしてネットワークサービスを受ける際、I
Cカード101とプロキシ装置103とで通信を行う。
このとき、予めICカード101内のアプリケーション
プログラムとプロキシ装置103のデータ変換手段11
1との間でデータ変換の規則と方法についての取り決め
を行い、利用機102において未知の変換アルゴリズム
でデータ変換を行ってデータをやり取りする。これによ
り、利用機102に対して情報の秘匿や開示制限を行
う。
Description
【0001】
【発明の属する技術分野】本発明は、ICカードシステ
ムを構成するのに好適なカード本体を含むICカード装
置、及びこのICカードと接触又は非接触でデータ通信
を行うカード端末装置、並びにこのカード端末装置とネ
ットワークを介して接続されるリモートホストとの間に
設けてICカード装置とリモートホストの両者に対して
データ通信を行うプロキシ装置に関する。
ムを構成するのに好適なカード本体を含むICカード装
置、及びこのICカードと接触又は非接触でデータ通信
を行うカード端末装置、並びにこのカード端末装置とネ
ットワークを介して接続されるリモートホストとの間に
設けてICカード装置とリモートホストの両者に対して
データ通信を行うプロキシ装置に関する。
【0002】
【従来の技術】一般に知られるICカードシステムは、
図35に示すように、半導体記憶媒体を含むカード本体
であるICカード51、カード端末装置である利用機
(ICカード利用機)52、利用機52に対して情報の
提供等を行うリモートホスト(ホストコンピュータ)5
3から構成される。利用機52は、リーダライタ55と
端末56からなり、端末56はリーダライタ55を介し
てICカード51とデータ送受信を行う。さらに、端末
56はネットワーク54を介してリモートホスト53と
もデータ送受信を行う。リーダライタ55は、ICカー
ド51に対し電源、クロックを提供するが、その際、接
触端子を用いて電気的に伝達する方法と、電磁波を用い
て伝達する方法とがあり、それぞれ接触型、非接触型と
呼ばれる。ICカード51それ自体は通常はユーザイン
タフェースを持たず、暗証入力、処理選択、表示等の機
能は利用機52が担う。
図35に示すように、半導体記憶媒体を含むカード本体
であるICカード51、カード端末装置である利用機
(ICカード利用機)52、利用機52に対して情報の
提供等を行うリモートホスト(ホストコンピュータ)5
3から構成される。利用機52は、リーダライタ55と
端末56からなり、端末56はリーダライタ55を介し
てICカード51とデータ送受信を行う。さらに、端末
56はネットワーク54を介してリモートホスト53と
もデータ送受信を行う。リーダライタ55は、ICカー
ド51に対し電源、クロックを提供するが、その際、接
触端子を用いて電気的に伝達する方法と、電磁波を用い
て伝達する方法とがあり、それぞれ接触型、非接触型と
呼ばれる。ICカード51それ自体は通常はユーザイン
タフェースを持たず、暗証入力、処理選択、表示等の機
能は利用機52が担う。
【0003】ICカードの利点は、ICカードに内蔵さ
れるICチップの対タンパ性(物理的、化学的、電気的
手段等によりICチップ内部状態の解析や改竄を試みる
不正行為からICチップ内部の情報を保護する能力)に
優れることである。さらに、ICカードの中でマイコン
カードに分類されるものの多くは、ICチップ内で暗号
処理(データを暗号アルゴリズムと鍵を用いて解読困難
な状態に変換する処理)が可能となっており、電子商取
引等の高いセキュリティが求められる分野での利用に適
する。
れるICチップの対タンパ性(物理的、化学的、電気的
手段等によりICチップ内部状態の解析や改竄を試みる
不正行為からICチップ内部の情報を保護する能力)に
優れることである。さらに、ICカードの中でマイコン
カードに分類されるものの多くは、ICチップ内で暗号
処理(データを暗号アルゴリズムと鍵を用いて解読困難
な状態に変換する処理)が可能となっており、電子商取
引等の高いセキュリティが求められる分野での利用に適
する。
【0004】計算機ネットワークにおいて暗号処理機能
を有するICカードを利用する技術は、特開平4−35
538号公報(暗号化通信方式、以下従来例1とす
る)、特開平4−326442号公報(メッセージ認証
システム、従来例2)、特開平5−110873号公報
(暗号機能通信システム、従来例3)に示されている。
これらはいずれも計算機ネットワークに接続された利用
機にICカードを接続し、ICカードが内部にもつ暗号
処理機能を用いてネットワーク上で送受するデータの秘
匿及び認証を行うものである。
を有するICカードを利用する技術は、特開平4−35
538号公報(暗号化通信方式、以下従来例1とす
る)、特開平4−326442号公報(メッセージ認証
システム、従来例2)、特開平5−110873号公報
(暗号機能通信システム、従来例3)に示されている。
これらはいずれも計算機ネットワークに接続された利用
機にICカードを接続し、ICカードが内部にもつ暗号
処理機能を用いてネットワーク上で送受するデータの秘
匿及び認証を行うものである。
【0005】ICカードのもう一つ利点は可搬性の高さ
である。この性質を利用し、ユーザ自身の固有情報を格
納したICカードを訪問先の端末で使用する技術は、特
開平7−306831号公報(コンピュータネットワー
クシステム、従来例4)、特開平10−21301号公
報(地域保険医療情報システム及びこれに用いる可搬型
記憶媒体、従来例5)、特開平11−15927号公報
(ICカードシステム、従来例6)に示されている。こ
れらの技術によれば、計算機ネットワーク上の複数の場
所から共通のユーザ環境を得たり、一貫したサービスを
受けたりすることができる。
である。この性質を利用し、ユーザ自身の固有情報を格
納したICカードを訪問先の端末で使用する技術は、特
開平7−306831号公報(コンピュータネットワー
クシステム、従来例4)、特開平10−21301号公
報(地域保険医療情報システム及びこれに用いる可搬型
記憶媒体、従来例5)、特開平11−15927号公報
(ICカードシステム、従来例6)に示されている。こ
れらの技術によれば、計算機ネットワーク上の複数の場
所から共通のユーザ環境を得たり、一貫したサービスを
受けたりすることができる。
【0006】また近年では、ICカードに内蔵されるI
Cチップの性能の向上(処理速度、記憶容量の向上)と
ソフトウェア技術の向上(マルチアプリケーション環境
の実現、仮想マシンによるソフトウェア不正動作の防
止、カード発行後のアプリケーションダウンロード等)
に伴い、より高機能、多用途、複雑なアプリケーション
プログラムをICカード上で動作させることが可能にな
っている。
Cチップの性能の向上(処理速度、記憶容量の向上)と
ソフトウェア技術の向上(マルチアプリケーション環境
の実現、仮想マシンによるソフトウェア不正動作の防
止、カード発行後のアプリケーションダウンロード等)
に伴い、より高機能、多用途、複雑なアプリケーション
プログラムをICカード上で動作させることが可能にな
っている。
【0007】
【発明が解決しようとする課題】従来の多くのICカー
ドシステムは、基本的に利用機が主、ICカードが従の
関係にあり、ICカードは情報記憶媒体的な使われ方を
されることがほとんどであったが、今後はICカード内
に記憶されたアプリケーションプログラムが主体となっ
てネットワーク上のサービスを受けるシステムが普及す
ることが予想される。
ドシステムは、基本的に利用機が主、ICカードが従の
関係にあり、ICカードは情報記憶媒体的な使われ方を
されることがほとんどであったが、今後はICカード内
に記憶されたアプリケーションプログラムが主体となっ
てネットワーク上のサービスを受けるシステムが普及す
ることが予想される。
【0008】例えば、ICカード内のアプリケーション
プログラムが、ICカード内に格納されたアクセス情報
から計算機ネットワーク上のどのリモートホストに、ど
のような手順でアクセスするかを判断し、同じくICカ
ード内に格納されたデータ情報をリモートホストに送信
する、もしくはリモートホストからデータ情報を取得し
てICカード内に格納する、といったシステムである。
プログラムが、ICカード内に格納されたアクセス情報
から計算機ネットワーク上のどのリモートホストに、ど
のような手順でアクセスするかを判断し、同じくICカ
ード内に格納されたデータ情報をリモートホストに送信
する、もしくはリモートホストからデータ情報を取得し
てICカード内に格納する、といったシステムである。
【0009】より具体的な例として次のようなICカー
ドシステムを考える。インターネットに代表される大規
模計算機ネットワーク空間で、WWW(World Wide We
b)に代表される仕組みを用いて多種のサービスが、そ
れぞれ別個のリモートホスト(サーバサイト)によって
運営されている。さらに、駅、店舗、公共施設等の、不
特定多数の人間が訪れる場所に利用機を設置する。利用
機の適例はキオスク端末である。キオスク端末は、不特
定多数のユーザに情報提示や各種のサービスを行うこと
を目的とした計算機であり、ここではディスプレイ、プ
リンタ、タッチパネル、キーパッド等のユーザインタフ
ェース、ネットワークインタフェース、ICカードリー
ダライタを持つものを想定する。
ドシステムを考える。インターネットに代表される大規
模計算機ネットワーク空間で、WWW(World Wide We
b)に代表される仕組みを用いて多種のサービスが、そ
れぞれ別個のリモートホスト(サーバサイト)によって
運営されている。さらに、駅、店舗、公共施設等の、不
特定多数の人間が訪れる場所に利用機を設置する。利用
機の適例はキオスク端末である。キオスク端末は、不特
定多数のユーザに情報提示や各種のサービスを行うこと
を目的とした計算機であり、ここではディスプレイ、プ
リンタ、タッチパネル、キーパッド等のユーザインタフ
ェース、ネットワークインタフェース、ICカードリー
ダライタを持つものを想定する。
【0010】ユーザは、上記の利用機を用いてネットワ
ーク上のサービスを利用するためのICカードを個々に
所持し、行く先々に設置された任意の利用機にICカー
ドを接続することで、それらのサービスを受けることが
できる。
ーク上のサービスを利用するためのICカードを個々に
所持し、行く先々に設置された任意の利用機にICカー
ドを接続することで、それらのサービスを受けることが
できる。
【0011】サービスを受けるためのクライアントソフ
トウェアは、ICカード内にアプリケーションとして格
納される。即ち、どのようなアプリケーションをICカ
ード内に持たせるかによって、ユーザが受けられるサー
ビス内容が変わる。これはパーソナルコンピュータやワ
ークステーションを用いてインターネット上のサービス
を受ける場合と類似しており、原理的にはICカード内
にWWWブラウザや電子メールクライアントを持たせる
ことも可能である。
トウェアは、ICカード内にアプリケーションとして格
納される。即ち、どのようなアプリケーションをICカ
ード内に持たせるかによって、ユーザが受けられるサー
ビス内容が変わる。これはパーソナルコンピュータやワ
ークステーションを用いてインターネット上のサービス
を受ける場合と類似しており、原理的にはICカード内
にWWWブラウザや電子メールクライアントを持たせる
ことも可能である。
【0012】ICカード内にWWWブラウザを持たせた
場合、ユーザはそのICカードを用いてインターネット
上のウェブコンテンツ(WWWによって公開されるマル
チメディア情報)を閲覧できる他、ウェブメール(WW
Wの仕組みを利用した個人向け電子メールサービス)、
電子掲示板、オンラインショッピング等のサービスを受
けられる。これにより、ユーザは携帯型コンピュータ等
を持ち運ばなくとも、上記のICカードを1枚持ち歩く
だけで、訪問先にある利用機からこれらのサービスを受
けることが可能となる。これは、例えば携帯電話機のよ
うな小型通信情報機器を利用する場合と比較しても、画
面解像度を始めとしたユーザインタフェースの品質、通
信品質、ユーザ負担コスト等の面で優位性があるものと
考えられる。
場合、ユーザはそのICカードを用いてインターネット
上のウェブコンテンツ(WWWによって公開されるマル
チメディア情報)を閲覧できる他、ウェブメール(WW
Wの仕組みを利用した個人向け電子メールサービス)、
電子掲示板、オンラインショッピング等のサービスを受
けられる。これにより、ユーザは携帯型コンピュータ等
を持ち運ばなくとも、上記のICカードを1枚持ち歩く
だけで、訪問先にある利用機からこれらのサービスを受
けることが可能となる。これは、例えば携帯電話機のよ
うな小型通信情報機器を利用する場合と比較しても、画
面解像度を始めとしたユーザインタフェースの品質、通
信品質、ユーザ負担コスト等の面で優位性があるものと
考えられる。
【0013】しかしながら、このようなICカードシス
テムを従来技術で実現しようとした場合、次のような問
題が生じる。
テムを従来技術で実現しようとした場合、次のような問
題が生じる。
【0014】第1に、ICカード内のアプリケーション
によってユーザがアクセスしたネットワーク上のリモー
トホストの位置(インターネットであればホスト名、ド
メイン名及びIPアドレス)が、利用機に掌握されてし
まう。これは、ICカードそれ自体が利用機のICカー
ドリーダライタとの間の低レベルな通信(一般的にはシ
リアル通信)機能しか持たず、ネットワーク通信の全て
を利用機に依存していることに起因する。前記の従来例
1〜3に示される暗号応用技術によって、ICカードと
リモートホストの間で交された通信内容は利用機に対し
秘匿することが可能であるが、利用機からリモートホス
トへ直接ネットワーク通信のコネクションを張っている
限り、アクセス先がどのホストであったのかを隠すこと
はできない。アクセス先が特定できると、そのユーザが
受けたサービスの種類や性質を推定されることも有り得
る(例:コンピュータゲームの通信販売サイトへアクセ
スしたユーザは、少なくともコンピュータゲームに興味
があり、もしかしたらそのサイトで何か商品を購入した
可能性もある、等)。ユーザのプライバシ保護の観点か
らはアクセス先情報の漏洩は好ましいことではない。
によってユーザがアクセスしたネットワーク上のリモー
トホストの位置(インターネットであればホスト名、ド
メイン名及びIPアドレス)が、利用機に掌握されてし
まう。これは、ICカードそれ自体が利用機のICカー
ドリーダライタとの間の低レベルな通信(一般的にはシ
リアル通信)機能しか持たず、ネットワーク通信の全て
を利用機に依存していることに起因する。前記の従来例
1〜3に示される暗号応用技術によって、ICカードと
リモートホストの間で交された通信内容は利用機に対し
秘匿することが可能であるが、利用機からリモートホス
トへ直接ネットワーク通信のコネクションを張っている
限り、アクセス先がどのホストであったのかを隠すこと
はできない。アクセス先が特定できると、そのユーザが
受けたサービスの種類や性質を推定されることも有り得
る(例:コンピュータゲームの通信販売サイトへアクセ
スしたユーザは、少なくともコンピュータゲームに興味
があり、もしかしたらそのサイトで何か商品を購入した
可能性もある、等)。ユーザのプライバシ保護の観点か
らはアクセス先情報の漏洩は好ましいことではない。
【0015】第2に、ICカード内のアプリケーション
がユーザに提示した出力の内容、及びICカード内のア
プリケーションに対してユーザが行った入力の内容が、
全て利用機に掌握されてしまう。これは上記と同様、一
般にICカードそれ自体がユーザインタフェースを持た
ず、全て利用機を介してユーザとのインタラクションを
行うことに起因する。具体的には、利用機の画面に表示
あるいはプリンタにて印刷した出力内容は、それが文字
であっても画像であっても、原理的に全て利用機がコピ
ーを取得し、保存したり他に転用したりすることが可能
である。また、ユーザからの入力についても同様であ
り、例えばアカウント情報やパスワード情報、クレジッ
トカード番号等を利用機から直接入力した場合、それら
の内容を利用機に対して秘匿することは不可能である。
前記の従来例1〜5に示した技術において、このような
問題は考慮されていない。
がユーザに提示した出力の内容、及びICカード内のア
プリケーションに対してユーザが行った入力の内容が、
全て利用機に掌握されてしまう。これは上記と同様、一
般にICカードそれ自体がユーザインタフェースを持た
ず、全て利用機を介してユーザとのインタラクションを
行うことに起因する。具体的には、利用機の画面に表示
あるいはプリンタにて印刷した出力内容は、それが文字
であっても画像であっても、原理的に全て利用機がコピ
ーを取得し、保存したり他に転用したりすることが可能
である。また、ユーザからの入力についても同様であ
り、例えばアカウント情報やパスワード情報、クレジッ
トカード番号等を利用機から直接入力した場合、それら
の内容を利用機に対して秘匿することは不可能である。
前記の従来例1〜5に示した技術において、このような
問題は考慮されていない。
【0016】ICカードのユーザが、利用機の運用者、
運用ポリシ、悪意のある第三者に対するセキュリティ強
度について充分納得し、利用機を信用できる場合には、
上記のようなことは問題にならないが、そうでない場合
ICカードユーザは利用機を安心して使うことができな
い。
運用ポリシ、悪意のある第三者に対するセキュリティ強
度について充分納得し、利用機を信用できる場合には、
上記のようなことは問題にならないが、そうでない場合
ICカードユーザは利用機を安心して使うことができな
い。
【0017】逆の見方をすると、従来は利用機を設置す
る場合、ICカードユーザ、及びリモートホスト運用者
に対してセキュリティ上の保証をする必要があり、その
ためにハードウェアの不正使用の防止対策、ネットワー
クからの不正行為対策に加え、運用母体と運用ポリシを
明確にし、設置した利用機が不正なもの、危険なもので
ないことを証明してオーソライズされる必要があった。
これはハードウェア価格や運営コスト高騰の問題として
顕在化する可能性が極めて高く、利用機普及の阻害要因
となり、結果的にICカードユーザが得るメリットも小
さくなってしまう。
る場合、ICカードユーザ、及びリモートホスト運用者
に対してセキュリティ上の保証をする必要があり、その
ためにハードウェアの不正使用の防止対策、ネットワー
クからの不正行為対策に加え、運用母体と運用ポリシを
明確にし、設置した利用機が不正なもの、危険なもので
ないことを証明してオーソライズされる必要があった。
これはハードウェア価格や運営コスト高騰の問題として
顕在化する可能性が極めて高く、利用機普及の阻害要因
となり、結果的にICカードユーザが得るメリットも小
さくなってしまう。
【0018】本発明は上記のような問題点を解決するも
のであり、オーソライズ不要の安価なカード端末設置を
可能とし、またICカードユーザにとっては信頼度の低
い、もしくは信頼度のはっきりしないカード端末装置を
用いた場合でも、プライバシや財産に関わる個人の機密
情報を漏らすことなく、安全が保証できる範囲でのネッ
トワーク利用が可能になる、セキュアかつ利便性の高い
ICカードシステムを構築可能なICカード装置及びプ
ロキシ装置、並びにカード端末装置を提供することを目
的とする。
のであり、オーソライズ不要の安価なカード端末設置を
可能とし、またICカードユーザにとっては信頼度の低
い、もしくは信頼度のはっきりしないカード端末装置を
用いた場合でも、プライバシや財産に関わる個人の機密
情報を漏らすことなく、安全が保証できる範囲でのネッ
トワーク利用が可能になる、セキュアかつ利便性の高い
ICカードシステムを構築可能なICカード装置及びプ
ロキシ装置、並びにカード端末装置を提供することを目
的とする。
【0019】
【課題を解決するための手段】上記の課題を解決するた
め本発明は、第1に、ICカード装置(ICカード)や
通信相手先のリモートホストの代理として計算機ネット
ワーク上で代理装置などとして機能するプロキシ装置を
設ける。プロキシ装置はネットワーク通信手段を持ち、
カード端末装置(利用機)とリモートホストの両者と通
信を行う。さらに、プロキシ装置にデータ変換手段を設
け、ICカード装置からカード端末装置経由で受信した
データを、ICカード装置が既知かつカード端末装置が
未知の変換アルゴリズムもしくはパラメータを用いてデ
ータ変換を行う。ICカード装置には、送信用データ保
持手段と、これに保持されているデータをカード端末装
置に送信するデータ送信手段とを設ける。カード端末装
置には、ICカード装置からデータを受信するデータ受
信手段と、データ受信手段が得たデータをプロキシ装置
に送信するデータ転送手段とを設ける。これにより、I
Cカード装置がプロキシ装置に渡したデータは、ICカ
ードユーザの意図通りに、かつカード端末装置のユーザ
にその内容を知られることなく、プロキシ装置内部にお
いて異なるデータに変化させることが可能となる。
め本発明は、第1に、ICカード装置(ICカード)や
通信相手先のリモートホストの代理として計算機ネット
ワーク上で代理装置などとして機能するプロキシ装置を
設ける。プロキシ装置はネットワーク通信手段を持ち、
カード端末装置(利用機)とリモートホストの両者と通
信を行う。さらに、プロキシ装置にデータ変換手段を設
け、ICカード装置からカード端末装置経由で受信した
データを、ICカード装置が既知かつカード端末装置が
未知の変換アルゴリズムもしくはパラメータを用いてデ
ータ変換を行う。ICカード装置には、送信用データ保
持手段と、これに保持されているデータをカード端末装
置に送信するデータ送信手段とを設ける。カード端末装
置には、ICカード装置からデータを受信するデータ受
信手段と、データ受信手段が得たデータをプロキシ装置
に送信するデータ転送手段とを設ける。これにより、I
Cカード装置がプロキシ装置に渡したデータは、ICカ
ードユーザの意図通りに、かつカード端末装置のユーザ
にその内容を知られることなく、プロキシ装置内部にお
いて異なるデータに変化させることが可能となる。
【0020】第2に、上記の送信用データとして、IC
カード装置内のアプリケーションがアクセスしようとす
るホストのネットワーク上の位置及び通信方法を得るた
めの情報を準備する通信キーデータ生成手段を設ける。
通信キーデータは、ICカード装置内のメモリに書かれ
たデータと同一のものを用いても構わないし、ICカー
ド装置内部で変換処理を行った結果を用いても構わな
い。ただし、通信キーデータそのものからカード端末装
置が容易にアクセス先を特定できないこと、さらに、プ
ロキシ装置は受け取った通信キーデータ及び予めプロキ
シ装置内部に持つプログラムとデータにより、アクセス
先を特定できることの2点が条件となる。予めICカー
ド装置とプロキシ装置の二者で取り決めた、通信キーデ
ータからアクセス先特定情報を得るための演算アルゴリ
ズムと演算パラメータを利用することによりこの条件は
満たされる。そして、プロキシ装置はアクセス先特定情
報を用いてネットワーク上のリモートホストと通信を行
う。これにより、ICカード装置はカード端末装置にア
クセス先を知られることなく、リモートホストと通信を
行うことが可能となる。
カード装置内のアプリケーションがアクセスしようとす
るホストのネットワーク上の位置及び通信方法を得るた
めの情報を準備する通信キーデータ生成手段を設ける。
通信キーデータは、ICカード装置内のメモリに書かれ
たデータと同一のものを用いても構わないし、ICカー
ド装置内部で変換処理を行った結果を用いても構わな
い。ただし、通信キーデータそのものからカード端末装
置が容易にアクセス先を特定できないこと、さらに、プ
ロキシ装置は受け取った通信キーデータ及び予めプロキ
シ装置内部に持つプログラムとデータにより、アクセス
先を特定できることの2点が条件となる。予めICカー
ド装置とプロキシ装置の二者で取り決めた、通信キーデ
ータからアクセス先特定情報を得るための演算アルゴリ
ズムと演算パラメータを利用することによりこの条件は
満たされる。そして、プロキシ装置はアクセス先特定情
報を用いてネットワーク上のリモートホストと通信を行
う。これにより、ICカード装置はカード端末装置にア
クセス先を知られることなく、リモートホストと通信を
行うことが可能となる。
【0021】第3に、ICカード装置とプロキシ装置の
二者間で暗号化に関するアルゴリズムと鍵情報を予め取
り決め、この取り決めに基づいてカード端末装置に内容
を知られることなく任意の情報をやりとりするための、
セキュアパスを設ける。セキュアパスはICカード装置
とプロキシ装置間の両者が、この二者以外に情報を漏洩
させることなく通信を行う、秘匿性を有する仮想的な通
信経路である。これにより、ICカード装置とプロキシ
装置は、中間に位置するカード端末装置に内容を知られ
ることなく、任意の情報を片方向もしくは双方向にて送
受可能となる。上記第2に示したアクセス先情報の引き
渡しは、このセキュアパスを用いて行うことができる。
その場合、ICカード装置内にてアクセス先情報を暗号
化し(もしくは予め暗号化されたアクセス先情報を保持
し)、この暗号化アクセス先情報をカード端末装置に引
き渡し、カード端末装置はこれをそのままプロキシ装置
に引き渡し、プロキシ装置は暗号化アクセス先情報を復
号化して元のアクセス先情報を得る、という手順を踏む
ことにより行う。
二者間で暗号化に関するアルゴリズムと鍵情報を予め取
り決め、この取り決めに基づいてカード端末装置に内容
を知られることなく任意の情報をやりとりするための、
セキュアパスを設ける。セキュアパスはICカード装置
とプロキシ装置間の両者が、この二者以外に情報を漏洩
させることなく通信を行う、秘匿性を有する仮想的な通
信経路である。これにより、ICカード装置とプロキシ
装置は、中間に位置するカード端末装置に内容を知られ
ることなく、任意の情報を片方向もしくは双方向にて送
受可能となる。上記第2に示したアクセス先情報の引き
渡しは、このセキュアパスを用いて行うことができる。
その場合、ICカード装置内にてアクセス先情報を暗号
化し(もしくは予め暗号化されたアクセス先情報を保持
し)、この暗号化アクセス先情報をカード端末装置に引
き渡し、カード端末装置はこれをそのままプロキシ装置
に引き渡し、プロキシ装置は暗号化アクセス先情報を復
号化して元のアクセス先情報を得る、という手順を踏む
ことにより行う。
【0022】暗号化及び復号化の方法は、ICカード装
置とプロキシ装置の両者が予め保持する共通の鍵によっ
て暗号化も復号化も行う対称鍵暗号方式、もしくはIC
カード装置が公開鍵で暗号化を行い、プロキシ装置が対
となる秘密鍵で復号化を行う非対称鍵暗号方式などの従
来技術を適用すれば良い。また、カード端末装置から引
き渡された暗号化アクセス先情報がカード端末装置によ
って捏造されたものではないことをプロキシ装置が確認
するために、同じく非対称鍵暗号方式を応用した従来技
術である署名を暗号化アクセス先情報に付与することも
できる。また、アクセス先情報に限らず、セキュアパス
を用いてICカード装置とプロキシ装置の二者間で任意
のデータを秘匿的にやりとりすることが可能である。
置とプロキシ装置の両者が予め保持する共通の鍵によっ
て暗号化も復号化も行う対称鍵暗号方式、もしくはIC
カード装置が公開鍵で暗号化を行い、プロキシ装置が対
となる秘密鍵で復号化を行う非対称鍵暗号方式などの従
来技術を適用すれば良い。また、カード端末装置から引
き渡された暗号化アクセス先情報がカード端末装置によ
って捏造されたものではないことをプロキシ装置が確認
するために、同じく非対称鍵暗号方式を応用した従来技
術である署名を暗号化アクセス先情報に付与することも
できる。また、アクセス先情報に限らず、セキュアパス
を用いてICカード装置とプロキシ装置の二者間で任意
のデータを秘匿的にやりとりすることが可能である。
【0023】第4に、上記セキュアパスを介してICカ
ード装置内におけるデータの暗号化手段を、アクセス先
情報と、転送データ情報について個別に設ける。転送デ
ータ情報はプロキシ装置がさらにアクセス先のリモート
ホストに引き渡すデータ情報である。このとき、転送デ
ータの復号化については予めICカード装置とリモート
ホストの二者間で取り決めておき、カード端末装置はも
ちろんプロキシ装置も転送データ復号用の鍵を持たない
ようにする。これにより、ICカード装置がリモートホ
ストに引き渡す転送データの内容を、カード端末装置だ
けでなくプロキシ装置にも隠蔽することが可能となる。
同様に、リモートホストからICカード装置に引き渡す
転送データについても、ICカードとリモートホストの
二者間で取り決めた暗号化・復号化手段を用いること
で、カード端末装置及びプロキシ装置に対して秘匿性を
有する通信が可能となる。
ード装置内におけるデータの暗号化手段を、アクセス先
情報と、転送データ情報について個別に設ける。転送デ
ータ情報はプロキシ装置がさらにアクセス先のリモート
ホストに引き渡すデータ情報である。このとき、転送デ
ータの復号化については予めICカード装置とリモート
ホストの二者間で取り決めておき、カード端末装置はも
ちろんプロキシ装置も転送データ復号用の鍵を持たない
ようにする。これにより、ICカード装置がリモートホ
ストに引き渡す転送データの内容を、カード端末装置だ
けでなくプロキシ装置にも隠蔽することが可能となる。
同様に、リモートホストからICカード装置に引き渡す
転送データについても、ICカードとリモートホストの
二者間で取り決めた暗号化・復号化手段を用いること
で、カード端末装置及びプロキシ装置に対して秘匿性を
有する通信が可能となる。
【0024】第5に、ICカード装置にはUIリクエス
ト情報送信手段を設け、プロキシ装置にUIリクエスト
情報受信手段を設ける。UIリクエスト情報はICカー
ド装置がどのようなユーザインタフェース(UI)をカ
ード端末装置上に実現するかを示す情報であり、これは
セキュアパスを介してICカード装置からプロキシ装置
に引き渡される。もしくは、UIリクエスト情報そのも
のにセキュリティを求める必要がない場合は、暗号化し
ない生データの状態でUIリクエスト情報を送受しても
良い。また、プロキシ装置にUI情報送信手段を設け、
カード端末装置にUI情報受信手段とUI実行手段を設
ける。プロキシ装置はICカードから受け取ったUIリ
クエスト情報に基づき、カード端末装置がUIを実現す
るのに必要な情報をUI情報送信手段から発し、カード
端末装置はUI情報受信手段にてそれを受け取る。UI
情報としては、ユーザに対する画面表示に用いる文字フ
ォント、文字フォントからレンダリングした文字列画像
データ等を用いる。これにより、ICカード装置が想定
するUI実現に必要な文字フォントがカード端末装置上
に存在しない場合でも、ICカード装置の想定通りの文
字列情報をカード端末装置の表示画面上もしくは印刷結
果としてユーザに提示することが可能となる。
ト情報送信手段を設け、プロキシ装置にUIリクエスト
情報受信手段を設ける。UIリクエスト情報はICカー
ド装置がどのようなユーザインタフェース(UI)をカ
ード端末装置上に実現するかを示す情報であり、これは
セキュアパスを介してICカード装置からプロキシ装置
に引き渡される。もしくは、UIリクエスト情報そのも
のにセキュリティを求める必要がない場合は、暗号化し
ない生データの状態でUIリクエスト情報を送受しても
良い。また、プロキシ装置にUI情報送信手段を設け、
カード端末装置にUI情報受信手段とUI実行手段を設
ける。プロキシ装置はICカードから受け取ったUIリ
クエスト情報に基づき、カード端末装置がUIを実現す
るのに必要な情報をUI情報送信手段から発し、カード
端末装置はUI情報受信手段にてそれを受け取る。UI
情報としては、ユーザに対する画面表示に用いる文字フ
ォント、文字フォントからレンダリングした文字列画像
データ等を用いる。これにより、ICカード装置が想定
するUI実現に必要な文字フォントがカード端末装置上
に存在しない場合でも、ICカード装置の想定通りの文
字列情報をカード端末装置の表示画面上もしくは印刷結
果としてユーザに提示することが可能となる。
【0025】第6に、上記第5に示すUI情報として、
カード端末装置上に予め設けられた動作環境に適合する
プログラム(実行手順と必要なデータを組にしたデータ
列)を適用する。これにより、ICカード装置が想定す
るUIが、カード端末装置に強く依存することなく独自
のものとして実現可能となる。
カード端末装置上に予め設けられた動作環境に適合する
プログラム(実行手順と必要なデータを組にしたデータ
列)を適用する。これにより、ICカード装置が想定す
るUIが、カード端末装置に強く依存することなく独自
のものとして実現可能となる。
【0026】第7に、ICカード装置とプロキシ装置の
どちらか片方もしくは両方に、端末認証手段(利用機認
証手段)と端末信頼度評価手段(利用機評価手段)を設
ける。カード端末装置の認証は、予め定められた認証デ
ータもしくは定められた規則に基づく認証データ生成手
段と、認証データをプロキシ装置もしくはICカード装
置に引き渡す認証データ送信手段をカード端末装置に設
けることによって行う。プロキシ装置もしくはICカー
ド装置の端末認証手段は、カード端末装置の認証データ
送信手段から受け取った認証データを読み取り、この認
証データが予め定めた条件に合致するか否かを調べる。
端末信頼度評価手段はこの認証結果を読み取り、条件に
合致する場合はそのカード端末装置は信頼できる、合致
しない場合は信頼できないとして信頼度の評価を行う。
ここで、認証データの内容、生成方法、評価のための条
件等は秘密のものとして扱い、信頼できないカード端末
装置に漏洩しないようにする。また、認証データを複数
種類とすることにより、評価結果をより細かく分類する
ことも可能である。
どちらか片方もしくは両方に、端末認証手段(利用機認
証手段)と端末信頼度評価手段(利用機評価手段)を設
ける。カード端末装置の認証は、予め定められた認証デ
ータもしくは定められた規則に基づく認証データ生成手
段と、認証データをプロキシ装置もしくはICカード装
置に引き渡す認証データ送信手段をカード端末装置に設
けることによって行う。プロキシ装置もしくはICカー
ド装置の端末認証手段は、カード端末装置の認証データ
送信手段から受け取った認証データを読み取り、この認
証データが予め定めた条件に合致するか否かを調べる。
端末信頼度評価手段はこの認証結果を読み取り、条件に
合致する場合はそのカード端末装置は信頼できる、合致
しない場合は信頼できないとして信頼度の評価を行う。
ここで、認証データの内容、生成方法、評価のための条
件等は秘密のものとして扱い、信頼できないカード端末
装置に漏洩しないようにする。また、認証データを複数
種類とすることにより、評価結果をより細かく分類する
ことも可能である。
【0027】プロキシ装置がカード端末装置を認証、評
価する場合は、ネットワーク上のアドレス情報等、偽証
が困難なカード端末装置の固有情報を基にして行うこと
ができる。その際、ネットワークアドレス情報と信頼度
を対応付ける表を参照する等の方法を用いることによ
り、カード端末装置の信頼度に複数の段階を設けること
もできる。これらにより、ICカード装置もしくはプロ
キシ装置が、カード端末装置の信頼度を獲得することが
できる。
価する場合は、ネットワーク上のアドレス情報等、偽証
が困難なカード端末装置の固有情報を基にして行うこと
ができる。その際、ネットワークアドレス情報と信頼度
を対応付ける表を参照する等の方法を用いることによ
り、カード端末装置の信頼度に複数の段階を設けること
もできる。これらにより、ICカード装置もしくはプロ
キシ装置が、カード端末装置の信頼度を獲得することが
できる。
【0028】第8に、ICカード装置とプロキシ装置の
両方に、端末信頼度評価手段を設けてカード端末装置の
信頼度情報を共有する。この場合、片方の端末信頼度評
価手段が得たカード端末装置の評価結果を、セキュアパ
スを通じて他方に渡すようにする。これにより、ICカ
ード装置もしくはプロキシ装置のいずれか片方がカード
端末装置の信頼度を獲得できた場合、もう一方にその情
報を渡すことが可能となる。また、両方が個別にカード
端末装置の信頼度を獲得した場合は、それぞれの評価結
果を互いに確認し合うことが可能となる。
両方に、端末信頼度評価手段を設けてカード端末装置の
信頼度情報を共有する。この場合、片方の端末信頼度評
価手段が得たカード端末装置の評価結果を、セキュアパ
スを通じて他方に渡すようにする。これにより、ICカ
ード装置もしくはプロキシ装置のいずれか片方がカード
端末装置の信頼度を獲得できた場合、もう一方にその情
報を渡すことが可能となる。また、両方が個別にカード
端末装置の信頼度を獲得した場合は、それぞれの評価結
果を互いに確認し合うことが可能となる。
【0029】第9に、ICカード装置に送信情報制御手
段を設ける。送信情報制御手段は、上記第7もしくは第
8でICカード装置が得たカード端末装置の信頼度評価
結果を読み取り、信頼度に応じてICカード装置からカ
ード端末装置に送信する情報の内容に対して変更、削
除、追加等の処理を行う。これにより、ICカード装置
からカード端末装置に送信する情報内容をカード端末装
置の信頼度に従って異なるものにすることができる。ま
た、ICカード装置が機密情報として保持する情報をカ
ード端末装置に送信しないよう上記送信情報制御手段を
作用させる。機密情報の一つとして、ICカード装置が
保持するユーザの個人情報などがある。これにより、信
頼度の低いカード端末装置には個人情報を送らないな
ど、カード端末装置毎に異なるセキュリティレベルを用
いた情報管理が可能となる。
段を設ける。送信情報制御手段は、上記第7もしくは第
8でICカード装置が得たカード端末装置の信頼度評価
結果を読み取り、信頼度に応じてICカード装置からカ
ード端末装置に送信する情報の内容に対して変更、削
除、追加等の処理を行う。これにより、ICカード装置
からカード端末装置に送信する情報内容をカード端末装
置の信頼度に従って異なるものにすることができる。ま
た、ICカード装置が機密情報として保持する情報をカ
ード端末装置に送信しないよう上記送信情報制御手段を
作用させる。機密情報の一つとして、ICカード装置が
保持するユーザの個人情報などがある。これにより、信
頼度の低いカード端末装置には個人情報を送らないな
ど、カード端末装置毎に異なるセキュリティレベルを用
いた情報管理が可能となる。
【0030】第10に、プロキシ装置に送信情報制御手
段を設ける。これは上記第9に示したICカード装置に
おける送信情報制御手段と同様に、カード端末装置の信
頼度評価結果に従ってプロキシ装置からカード端末装置
に送信する情報の内容に対して変更、削除、追加等の処
理を行う。また、ICカード装置と同様に、プロキシ装
置が保持する機密情報をカード端末装置に送信しないよ
う上記送信情報制御手段を作用させる。これらにより、
プロキシ装置からカード端末装置に送信する情報内容
を、上記のICカード装置と同様にカード端末装置の信
頼度に応じて異なるものにすることができ、信頼度の低
いカード端末装置に機密情報を渡さないといったセキュ
リティ管理が可能となる。
段を設ける。これは上記第9に示したICカード装置に
おける送信情報制御手段と同様に、カード端末装置の信
頼度評価結果に従ってプロキシ装置からカード端末装置
に送信する情報の内容に対して変更、削除、追加等の処
理を行う。また、ICカード装置と同様に、プロキシ装
置が保持する機密情報をカード端末装置に送信しないよ
う上記送信情報制御手段を作用させる。これらにより、
プロキシ装置からカード端末装置に送信する情報内容
を、上記のICカード装置と同様にカード端末装置の信
頼度に応じて異なるものにすることができ、信頼度の低
いカード端末装置に機密情報を渡さないといったセキュ
リティ管理が可能となる。
【0031】第11に、プロキシ装置上において、上記
第5に示したUI情報送信手段に、上記第10に示した
送信情報制御手段を連動させ、カード端末装置の信頼度
評価結果に従ってプロキシ装置からカード端末装置に送
信するUI情報に対して変更、削除、追加等の処理を行
うようにする。カード端末装置の信頼度が低いと端末信
頼度評価手段が判断した場合、送信情報制御手段が作用
して、プロキシ装置からカード端末装置に送信するUI
情報のうち、ICカード装置が持つ機密情報をカード端
末装置上の表示画面装置に出力してしまうようなUI部
品を削除し、またICカードのユーザがカード端末装置
の入力装置を通じて機密情報を入力してしまうようなU
I部品を削除する。機密情報の一つとして、暗証番号、
パスワード等がある。これらにより、信頼度の低いカー
ド端末装置を使用する場合、機密情報をカード端末装置
の画面上に表示し、それを取得されて漏洩してしまった
り、また暗証番号等を不用意に入力して取得されてしま
うようなトラブルの防止が可能となる。
第5に示したUI情報送信手段に、上記第10に示した
送信情報制御手段を連動させ、カード端末装置の信頼度
評価結果に従ってプロキシ装置からカード端末装置に送
信するUI情報に対して変更、削除、追加等の処理を行
うようにする。カード端末装置の信頼度が低いと端末信
頼度評価手段が判断した場合、送信情報制御手段が作用
して、プロキシ装置からカード端末装置に送信するUI
情報のうち、ICカード装置が持つ機密情報をカード端
末装置上の表示画面装置に出力してしまうようなUI部
品を削除し、またICカードのユーザがカード端末装置
の入力装置を通じて機密情報を入力してしまうようなU
I部品を削除する。機密情報の一つとして、暗証番号、
パスワード等がある。これらにより、信頼度の低いカー
ド端末装置を使用する場合、機密情報をカード端末装置
の画面上に表示し、それを取得されて漏洩してしまった
り、また暗証番号等を不用意に入力して取得されてしま
うようなトラブルの防止が可能となる。
【0032】第12に、ICカード装置もしくはプロキ
シ装置に、機密情報変換手段を設ける。上記のカード端
末装置によるUI実行手段によって暗証番号、パスワー
ド等の機密情報をユーザが直接入力する代わりに、機密
情報を得るための第1の機密情報(仮の機密情報)を入
力する。機密情報変換手段はこの第1の機密情報を読み
取り、演算処理もしくは演算処理とデータ参照の組み合
わせにより、第2の機密情報(真の機密情報)を生成す
る。機密情報変換手段をICカード装置が備える場合
は、生成した真の機密情報をセキュアパスを通じてプロ
キシ装置に渡す。その後、プロキシ装置は、真の機密情
報を用いてリモートホストと通信を行う。これにより、
カード端末装置のUIを通じて機密情報が漏洩する危険
性を回避しつつ、機密情報を用いたネットワーク利用が
可能となる。
シ装置に、機密情報変換手段を設ける。上記のカード端
末装置によるUI実行手段によって暗証番号、パスワー
ド等の機密情報をユーザが直接入力する代わりに、機密
情報を得るための第1の機密情報(仮の機密情報)を入
力する。機密情報変換手段はこの第1の機密情報を読み
取り、演算処理もしくは演算処理とデータ参照の組み合
わせにより、第2の機密情報(真の機密情報)を生成す
る。機密情報変換手段をICカード装置が備える場合
は、生成した真の機密情報をセキュアパスを通じてプロ
キシ装置に渡す。その後、プロキシ装置は、真の機密情
報を用いてリモートホストと通信を行う。これにより、
カード端末装置のUIを通じて機密情報が漏洩する危険
性を回避しつつ、機密情報を用いたネットワーク利用が
可能となる。
【0033】機密情報変換手段が機密情報生成のための
演算を行う際のデータの一つとして、ランダムなデータ
(無作為に選択されたデータ)を用い、UI実行手段が
このランダムデータをユーザに提示し、提示されたラン
ダムデータに従って異なる仮の機密情報をユーザに入力
するよう促すことで、真の機密情報の生成アルゴリズム
等を推測されにくくなり、より安全性を増すことが可能
となる。さらに、誤って真の機密情報を入力しないよう
ユーザに促す表示をUI実行手段が行うことで、ユーザ
の操作ミスによる機密情報漏洩を防止することが可能と
なる。
演算を行う際のデータの一つとして、ランダムなデータ
(無作為に選択されたデータ)を用い、UI実行手段が
このランダムデータをユーザに提示し、提示されたラン
ダムデータに従って異なる仮の機密情報をユーザに入力
するよう促すことで、真の機密情報の生成アルゴリズム
等を推測されにくくなり、より安全性を増すことが可能
となる。さらに、誤って真の機密情報を入力しないよう
ユーザに促す表示をUI実行手段が行うことで、ユーザ
の操作ミスによる機密情報漏洩を防止することが可能と
なる。
【0034】第13に、ICカード装置にプロキシ選択
手段を設ける。プロキシ選択手段は、予め定めたルール
に従ってネットワーク上に存在する複数のプロキシ装置
候補から、使用するプロキシ装置を決定する。ルールと
しては、ICカード装置が保持するプロキシ装置のリス
トから使用に適したプロキシ装置を逐次探す方法、ラン
ダムで探す方法、またカード端末装置に問い合わせて最
適候補を得る方法等がある。これらにより、ICカード
装置毎、カード端末装置毎などの条件に従って異なるプ
ロキシ装置が利用可能となり、ネットワーク負荷及びプ
ロキシの処理負荷の集中が緩和できる。また、プロキシ
情報操作手段をICカード装置に設ける。プロキシ情報
操作手段は、ICカード装置のユーザがカード端末装置
等を通じて個々のプロキシ装置へのアクセス方法と使用
ルールなどのプロキシ情報を登録・変更・削除するもの
である。これによりICカード装置のユーザが使用する
プロキシ装置を複数登録・変更することが可能となる。
手段を設ける。プロキシ選択手段は、予め定めたルール
に従ってネットワーク上に存在する複数のプロキシ装置
候補から、使用するプロキシ装置を決定する。ルールと
しては、ICカード装置が保持するプロキシ装置のリス
トから使用に適したプロキシ装置を逐次探す方法、ラン
ダムで探す方法、またカード端末装置に問い合わせて最
適候補を得る方法等がある。これらにより、ICカード
装置毎、カード端末装置毎などの条件に従って異なるプ
ロキシ装置が利用可能となり、ネットワーク負荷及びプ
ロキシの処理負荷の集中が緩和できる。また、プロキシ
情報操作手段をICカード装置に設ける。プロキシ情報
操作手段は、ICカード装置のユーザがカード端末装置
等を通じて個々のプロキシ装置へのアクセス方法と使用
ルールなどのプロキシ情報を登録・変更・削除するもの
である。これによりICカード装置のユーザが使用する
プロキシ装置を複数登録・変更することが可能となる。
【0035】第14に、ICカード装置にインセンティ
ブ発行手段を設け、カード端末装置にインセンティブ獲
得手段を設ける。インセンティブ発行手段はインセンテ
ィブ獲得手段との間で電子情報の授受を行うことによ
り、カード端末装置及びカード端末装置の所有者や運用
者に対して金銭的、事業的なメリットを直接的もしくは
間接的に与える。インセンティブの例として広告情報を
考えた場合、カード端末装置はICカードユーザに対し
て商業広告等の情報を渡すことが可能となり、それが利
用機運営のインセンティブとなる。また、インセンティ
ブとして金銭もしくは何らかの有価物に関連した有価値
情報を授受することにより、カード端末装置は、ICカ
ード装置から利用機使用の報酬としてより明確なインセ
ンティブを得ることが可能となる。
ブ発行手段を設け、カード端末装置にインセンティブ獲
得手段を設ける。インセンティブ発行手段はインセンテ
ィブ獲得手段との間で電子情報の授受を行うことによ
り、カード端末装置及びカード端末装置の所有者や運用
者に対して金銭的、事業的なメリットを直接的もしくは
間接的に与える。インセンティブの例として広告情報を
考えた場合、カード端末装置はICカードユーザに対し
て商業広告等の情報を渡すことが可能となり、それが利
用機運営のインセンティブとなる。また、インセンティ
ブとして金銭もしくは何らかの有価物に関連した有価値
情報を授受することにより、カード端末装置は、ICカ
ード装置から利用機使用の報酬としてより明確なインセ
ンティブを得ることが可能となる。
【0036】上記第1から第14に関して、ICカード
装置としては、ICカードに内蔵されるICチップと同
等もしくは類似した機能構成をもつ他の装置においても
適用できる。装置の例として、ICタグ、携帯電話機、
携帯型情報端末、マイコン内蔵メモリカードなどが挙げ
られる。
装置としては、ICカードに内蔵されるICチップと同
等もしくは類似した機能構成をもつ他の装置においても
適用できる。装置の例として、ICタグ、携帯電話機、
携帯型情報端末、マイコン内蔵メモリカードなどが挙げ
られる。
【0037】また、上記第1から第14に関して、カー
ド端末装置としては、不特定多数の人間が訪れる場所に
設置する公共端末、不特定多数の人間が訪れる場所でレ
ンタル品として貸し出される携帯電話機もしくは携帯型
情報端末、不特定多数の人間にレンタル品として貸し出
されるカーナビゲーション装置などを用いることができ
る。
ド端末装置としては、不特定多数の人間が訪れる場所に
設置する公共端末、不特定多数の人間が訪れる場所でレ
ンタル品として貸し出される携帯電話機もしくは携帯型
情報端末、不特定多数の人間にレンタル品として貸し出
されるカーナビゲーション装置などを用いることができ
る。
【0038】また、上記第1から第14を構成する各装
置を実現するためにコンピュータ上で動作するソフトウ
ェアとして、磁気ディスク、光ディスク、半導体メディ
ア等の情報記憶媒体に処理手順及びデータ等を格納して
おき、コンピュータハードウェアがこれを読み取って所
定の動作を行うようにしても、上記と同じ効果が得られ
る。
置を実現するためにコンピュータ上で動作するソフトウ
ェアとして、磁気ディスク、光ディスク、半導体メディ
ア等の情報記憶媒体に処理手順及びデータ等を格納して
おき、コンピュータハードウェアがこれを読み取って所
定の動作を行うようにしても、上記と同じ効果が得られ
る。
【0039】したがって、本発明にかかるICカードシ
ステムにおいては、以下のような特徴的な構成を有す
る。
ステムにおいては、以下のような特徴的な構成を有す
る。
【0040】(1)半導体記憶手段を有してなり、カー
ド端末装置とデータのやり取りを行うICカードシステ
ム用のICカード装置であって、送信用のデータを保持
する送信用データ保持手段と、前記送信用データ保持手
段からデータを読み出して前記カード端末装置へ送信す
るデータ送信手段とを備え、前記カード端末装置と計算
機ネットワークを介して接続されたリモートホストとデ
ータ通信を行う際に、このリモートホストと前記カード
端末装置との間に設けられるプロキシ装置と当該ICカ
ード装置との間で予め定めたものであって、かつ、前記
カード端末装置には未知のものである変換アルゴリズム
もしくは変換パラメータを用いてデータ変換処理を実行
するためのデータを前記プロキシ装置へ送信するもの。
ド端末装置とデータのやり取りを行うICカードシステ
ム用のICカード装置であって、送信用のデータを保持
する送信用データ保持手段と、前記送信用データ保持手
段からデータを読み出して前記カード端末装置へ送信す
るデータ送信手段とを備え、前記カード端末装置と計算
機ネットワークを介して接続されたリモートホストとデ
ータ通信を行う際に、このリモートホストと前記カード
端末装置との間に設けられるプロキシ装置と当該ICカ
ード装置との間で予め定めたものであって、かつ、前記
カード端末装置には未知のものである変換アルゴリズム
もしくは変換パラメータを用いてデータ変換処理を実行
するためのデータを前記プロキシ装置へ送信するもの。
【0041】(2)前記リモートホストと通信を行う際
に必要となるアクセス先を特定するためのアクセス先情
報を、前記カード端末装置が解釈困難なキーデータとし
て生成する通信キーデータ生成手段を備え、前記変換ア
ルゴリズムもしくは変換パラメータとして、当該ICカ
ード装置と前記プロキシ装置の二者間で予め取り決めた
ものであって、かつ、前記カード端末装置において未知
の演算アルゴリズムもしくは演算パラメータを用いてデ
ータ変換処理を実行する際に、前記通信キーデータを前
記プロキシ装置へ送信するもの。
に必要となるアクセス先を特定するためのアクセス先情
報を、前記カード端末装置が解釈困難なキーデータとし
て生成する通信キーデータ生成手段を備え、前記変換ア
ルゴリズムもしくは変換パラメータとして、当該ICカ
ード装置と前記プロキシ装置の二者間で予め取り決めた
ものであって、かつ、前記カード端末装置において未知
の演算アルゴリズムもしくは演算パラメータを用いてデ
ータ変換処理を実行する際に、前記通信キーデータを前
記プロキシ装置へ送信するもの。
【0042】(3)通信するデータの暗号化と復号化の
少なくとも一方を行う暗号処理手段を備え、前記プロキ
シ装置または前記リモートホストとの間で暗号化された
データを受け渡すための秘匿性を持った通信路であるセ
キュアパスを形成するもの。 (4)前記暗号処理手段によって前記リモートホストの
アクセス先情報を暗号化し、この暗号化データを前記プ
ロキシ装置との間で形成したセキュアパスを経由して該
プロキシ装置へ送るもの。
少なくとも一方を行う暗号処理手段を備え、前記プロキ
シ装置または前記リモートホストとの間で暗号化された
データを受け渡すための秘匿性を持った通信路であるセ
キュアパスを形成するもの。 (4)前記暗号処理手段によって前記リモートホストの
アクセス先情報を暗号化し、この暗号化データを前記プ
ロキシ装置との間で形成したセキュアパスを経由して該
プロキシ装置へ送るもの。
【0043】(5)前記リモートホストのアクセス先情
報の暗号化とは異なる暗号化手順もしくは同一の暗号化
手順を異なる鍵情報を用いることによりデータの暗号化
を行う第2の暗号処理手段を備え、前記第2の暗号処理
手段により当該ICカード装置が保持する任意のデータ
を暗号化し、この第2の暗号化データは前記プロキシ装
置において復号不能で前記リモートホストにおいて復号
可能となっており、前記第2の暗号化データを前記リモ
ートホストとの間で形成したセキュアパスを経由して前
記プロキシ装置へ送るもの。
報の暗号化とは異なる暗号化手順もしくは同一の暗号化
手順を異なる鍵情報を用いることによりデータの暗号化
を行う第2の暗号処理手段を備え、前記第2の暗号処理
手段により当該ICカード装置が保持する任意のデータ
を暗号化し、この第2の暗号化データは前記プロキシ装
置において復号不能で前記リモートホストにおいて復号
可能となっており、前記第2の暗号化データを前記リモ
ートホストとの間で形成したセキュアパスを経由して前
記プロキシ装置へ送るもの。
【0044】(6)前記リモートホストのアクセス先情
報の暗号化とは異なる暗号化手順もしくは同一の暗号化
手順を異なる鍵情報を用いることによりデータの暗号化
を行う第2の暗号処理手段を備え、前記第2の暗号処理
手段により当該ICカード装置が保持する任意のデータ
を暗号化し、この第2の暗号化データは前記プロキシ装
置において復号不能で前記リモートホストにおいて復号
可能となっており、前記第2の暗号化データを前記リモ
ートホストのアクセス先情報の暗号化データと共に前記
リモートホストとの間で形成したセキュアパスを経由し
て前記プロキシ装置へ送るもの。
報の暗号化とは異なる暗号化手順もしくは同一の暗号化
手順を異なる鍵情報を用いることによりデータの暗号化
を行う第2の暗号処理手段を備え、前記第2の暗号処理
手段により当該ICカード装置が保持する任意のデータ
を暗号化し、この第2の暗号化データは前記プロキシ装
置において復号不能で前記リモートホストにおいて復号
可能となっており、前記第2の暗号化データを前記リモ
ートホストのアクセス先情報の暗号化データと共に前記
リモートホストとの間で形成したセキュアパスを経由し
て前記プロキシ装置へ送るもの。
【0045】(7)当該ICカード装置と前記プロキシ
装置が同一の鍵情報を用いて暗号化及び復号化を行う対
称鍵暗号方式を用いてセキュアパスを形成するもの。 (8)当該ICカード装置と前記プロキシ装置が互いに
関連をもつ非同一の鍵情報を用いて暗号化及び復号化を
行う非対称鍵暗号方式を用いてセキュアパスを形成する
もの。
装置が同一の鍵情報を用いて暗号化及び復号化を行う対
称鍵暗号方式を用いてセキュアパスを形成するもの。 (8)当該ICカード装置と前記プロキシ装置が互いに
関連をもつ非同一の鍵情報を用いて暗号化及び復号化を
行う非対称鍵暗号方式を用いてセキュアパスを形成する
もの。
【0046】(9)半導体記憶手段を有してなり、カー
ド端末装置とデータのやり取りを行うICカードシステ
ム用のICカード装置であって、送信用のデータを保持
する送信用データ保持手段と、前記送信用データ保持手
段からデータを読み出して前記カード端末装置へ送信す
るデータ送信手段と、前記カード端末装置において実現
するユーザインタフェースに関わるUIリクエスト情報
を、このカード端末装置が接続された計算機ネットワー
ク上において設けられるプロキシ装置に送信するUIリ
クエスト情報送信手段とを備えたもの。
ド端末装置とデータのやり取りを行うICカードシステ
ム用のICカード装置であって、送信用のデータを保持
する送信用データ保持手段と、前記送信用データ保持手
段からデータを読み出して前記カード端末装置へ送信す
るデータ送信手段と、前記カード端末装置において実現
するユーザインタフェースに関わるUIリクエスト情報
を、このカード端末装置が接続された計算機ネットワー
ク上において設けられるプロキシ装置に送信するUIリ
クエスト情報送信手段とを備えたもの。
【0047】(10)前記UIリクエスト情報として、
文字コードに関わる文字列情報を用いるもの。 (11)前記UIリクエスト情報として、前記カード端
末装置のユーザインタフェースに関わるハードウェアを
動作させるためのプログラム情報による動作結果に影響
を与えるパラメータ情報を用いるもの。
文字コードに関わる文字列情報を用いるもの。 (11)前記UIリクエスト情報として、前記カード端
末装置のユーザインタフェースに関わるハードウェアを
動作させるためのプログラム情報による動作結果に影響
を与えるパラメータ情報を用いるもの。
【0048】(12)半導体記憶手段を有してなり、カ
ード端末装置とデータのやり取りを行うICカードシス
テム用のICカード装置であって、送信用のデータを保
持する送信用データ保持手段と、前記送信用データ保持
手段からデータを読み出して前記カード端末装置へ送信
するデータ送信手段と、前記カード端末装置の認証を行
う端末認証手段と、前記認証結果を基に前記カード端末
装置の信頼度を評価する端末信頼度評価手段と、データ
の暗号化と復号化の少なくとも一方を行う暗号処理手段
とを備え、前記カード端末装置が接続された計算機ネッ
トワーク上において設けられるプロキシ装置との間で暗
号化されたデータを受け渡すための秘匿性を持った通信
路であるセキュアパスを形成し、このセキュアパスを介
して前記カード端末装置の信頼度評価結果を前記プロキ
シ装置へ送るもの。
ード端末装置とデータのやり取りを行うICカードシス
テム用のICカード装置であって、送信用のデータを保
持する送信用データ保持手段と、前記送信用データ保持
手段からデータを読み出して前記カード端末装置へ送信
するデータ送信手段と、前記カード端末装置の認証を行
う端末認証手段と、前記認証結果を基に前記カード端末
装置の信頼度を評価する端末信頼度評価手段と、データ
の暗号化と復号化の少なくとも一方を行う暗号処理手段
とを備え、前記カード端末装置が接続された計算機ネッ
トワーク上において設けられるプロキシ装置との間で暗
号化されたデータを受け渡すための秘匿性を持った通信
路であるセキュアパスを形成し、このセキュアパスを介
して前記カード端末装置の信頼度評価結果を前記プロキ
シ装置へ送るもの。
【0049】(13)半導体記憶手段を有してなり、カ
ード端末装置とデータのやり取りを行うICカードシス
テム用のICカード装置であって、送信用のデータを保
持する送信用データ保持手段と、前記送信用データ保持
手段からデータを読み出して前記カード端末装置へ送信
するデータ送信手段と、データの暗号化と復号化の少な
くとも一方を行う暗号処理手段とを備え、前記カード端
末装置が接続された計算機ネットワーク上において設け
られるプロキシ装置との間で暗号化されたデータを受け
渡すための秘匿性を持った通信路であるセキュアパスを
形成し、このセキュアパスを介して前記プロキシ装置か
ら前記カード端末装置の信頼度評価結果を受け取るも
の。
ード端末装置とデータのやり取りを行うICカードシス
テム用のICカード装置であって、送信用のデータを保
持する送信用データ保持手段と、前記送信用データ保持
手段からデータを読み出して前記カード端末装置へ送信
するデータ送信手段と、データの暗号化と復号化の少な
くとも一方を行う暗号処理手段とを備え、前記カード端
末装置が接続された計算機ネットワーク上において設け
られるプロキシ装置との間で暗号化されたデータを受け
渡すための秘匿性を持った通信路であるセキュアパスを
形成し、このセキュアパスを介して前記プロキシ装置か
ら前記カード端末装置の信頼度評価結果を受け取るも
の。
【0050】(14)前記カード端末装置に送信する任
意のデータについて送信前に情報内容の制御処理を行う
送信情報制御手段を備え、この送信情報制御手段は、前
記カード端末装置の信頼度評価結果に基づいて前記カー
ド端末装置へ送る情報の一部もしくは全部に対して変更
を加えるもの。 (15)前記送信情報制御手段は、前記信頼度評価結果
としてカード端末装置の信頼度が低く送信した情報が不
正に利用される可能性があると認識された場合に、当該
カード端末装置に対してICカード装置から送信する情
報の一部もしくは全てを削除もしくは変更するもの。
意のデータについて送信前に情報内容の制御処理を行う
送信情報制御手段を備え、この送信情報制御手段は、前
記カード端末装置の信頼度評価結果に基づいて前記カー
ド端末装置へ送る情報の一部もしくは全部に対して変更
を加えるもの。 (15)前記送信情報制御手段は、前記信頼度評価結果
としてカード端末装置の信頼度が低く送信した情報が不
正に利用される可能性があると認識された場合に、当該
カード端末装置に対してICカード装置から送信する情
報の一部もしくは全てを削除もしくは変更するもの。
【0051】(16)前記送信情報制御手段は、前記カ
ード端末装置に送信する情報のうち、当該ICカード装
置が保持する機密情報に関わる情報を削除もしくは変更
するもの。 (17)前記送信情報制御手段は、前記カード端末装置
に送信する情報のうち、当該ICカード装置が保持する
ICカードユーザのプライバシに関わる情報を削除もし
くは変更するもの。
ード端末装置に送信する情報のうち、当該ICカード装
置が保持する機密情報に関わる情報を削除もしくは変更
するもの。 (17)前記送信情報制御手段は、前記カード端末装置
に送信する情報のうち、当該ICカード装置が保持する
ICカードユーザのプライバシに関わる情報を削除もし
くは変更するもの。
【0052】(18)半導体記憶手段を有してなり、カ
ード端末装置とデータのやり取りを行うICカードシス
テム用のICカード装置であって、送信用のデータを保
持する送信用データ保持手段と、前記送信用データ保持
手段からデータを読み出して前記カード端末装置へ送信
するデータ送信手段と、前記カード端末装置と計算機ネ
ットワークを介して接続されたリモートホストからの要
求に応じて前記カード端末装置を用いて入力する機密情
報の変換を行う機密情報変換手段とを備え、前記機密情
報変換手段は前記カード端末装置より入力された第1の
機密情報データを当該カード端末装置に対して秘匿性を
持った第2の機密情報データに変換し、この第2の機密
情報データを前記カード端末装置と前記リモートホスト
との間に設けられるプロキシ装置へ送るもの。
ード端末装置とデータのやり取りを行うICカードシス
テム用のICカード装置であって、送信用のデータを保
持する送信用データ保持手段と、前記送信用データ保持
手段からデータを読み出して前記カード端末装置へ送信
するデータ送信手段と、前記カード端末装置と計算機ネ
ットワークを介して接続されたリモートホストからの要
求に応じて前記カード端末装置を用いて入力する機密情
報の変換を行う機密情報変換手段とを備え、前記機密情
報変換手段は前記カード端末装置より入力された第1の
機密情報データを当該カード端末装置に対して秘匿性を
持った第2の機密情報データに変換し、この第2の機密
情報データを前記カード端末装置と前記リモートホスト
との間に設けられるプロキシ装置へ送るもの。
【0053】(19)前記機密情報変換手段は変換用の
変換キーデータを生成してこれを前記カード端末装置を
通じてICカードユーザに提示し、前記カード端末装置
より入力された第1の機密情報データから前記変換キー
データを用いて前記第2の機密情報データを生成するも
の。 (20)前記変換キーデータと前記第1の機密情報デー
タとを一対一に対応させて同一の第2の機密情報データ
を生成するための異なるデータの組を複数設けたもの。
変換キーデータを生成してこれを前記カード端末装置を
通じてICカードユーザに提示し、前記カード端末装置
より入力された第1の機密情報データから前記変換キー
データを用いて前記第2の機密情報データを生成するも
の。 (20)前記変換キーデータと前記第1の機密情報デー
タとを一対一に対応させて同一の第2の機密情報データ
を生成するための異なるデータの組を複数設けたもの。
【0054】(21)前記カード端末装置において実現
するユーザインタフェースに関わるUIリクエスト情報
を前記プロキシ装置に送信するUIリクエスト情報送信
手段を備え、前記UIリクエスト情報として、前記リモ
ートホストから要求される機密情報として前記第2の機
密情報データの代わりに前記第1の機密情報データを入
力すべきことをICカードユーザに指示するためのUI
部品情報を用いるもの。
するユーザインタフェースに関わるUIリクエスト情報
を前記プロキシ装置に送信するUIリクエスト情報送信
手段を備え、前記UIリクエスト情報として、前記リモ
ートホストから要求される機密情報として前記第2の機
密情報データの代わりに前記第1の機密情報データを入
力すべきことをICカードユーザに指示するためのUI
部品情報を用いるもの。
【0055】(22)予め定めた規則に従って計算機ネ
ットワーク上の複数のプロキシ装置の中から一つを選択
するプロキシ選択手段を備えたもの。 (23)前記プロキシ選択手段は、予め登録されたプロ
キシ装置のリストから使用に適するプロキシ装置を逐次
的に検索して選択するもの。 (24)前記プロキシ選択手段は、予め登録されたプロ
キシ装置のリストから使用に適するプロキシ装置をラン
ダムに検索して選択するもの。 (25)前記プロキシ選択手段は、前記カード端末装置
に問い合わせて使用に適するプロキシ装置を選択するも
の。 (26)使用に適するプロキシ装置を選択するためのプ
ロキシ装置のリストを有し、このリスト内容の追加、変
更、削除の少なくともいずれか一つを行うプロキシ情報
操作手段を備えたもの。
ットワーク上の複数のプロキシ装置の中から一つを選択
するプロキシ選択手段を備えたもの。 (23)前記プロキシ選択手段は、予め登録されたプロ
キシ装置のリストから使用に適するプロキシ装置を逐次
的に検索して選択するもの。 (24)前記プロキシ選択手段は、予め登録されたプロ
キシ装置のリストから使用に適するプロキシ装置をラン
ダムに検索して選択するもの。 (25)前記プロキシ選択手段は、前記カード端末装置
に問い合わせて使用に適するプロキシ装置を選択するも
の。 (26)使用に適するプロキシ装置を選択するためのプ
ロキシ装置のリストを有し、このリスト内容の追加、変
更、削除の少なくともいずれか一つを行うプロキシ情報
操作手段を備えたもの。
【0056】(27)前記カード端末装置の所有者もし
くは運用者に対して金銭的もしくは事業的に有利となる
状態を電子情報のやりとりによって生じさせるインセン
ティブを発行するインセンティブ発行手段を備え、この
インセンティブに関する情報を前記カード端末装置との
間で通信するもの。 (28)前記インセンティブとして広告情報を用い、前
記インセンティブ発行手段は前記カード端末装置からこ
の広告情報を受信するもの。 (29)前記インセンティブとして金銭あるいは有価値
物に関連した有価値電子情報を用い、前記インセンティ
ブ発行手段はこの有価値電子情報を前記カード端末装置
に送信するもの。
くは運用者に対して金銭的もしくは事業的に有利となる
状態を電子情報のやりとりによって生じさせるインセン
ティブを発行するインセンティブ発行手段を備え、この
インセンティブに関する情報を前記カード端末装置との
間で通信するもの。 (28)前記インセンティブとして広告情報を用い、前
記インセンティブ発行手段は前記カード端末装置からこ
の広告情報を受信するもの。 (29)前記インセンティブとして金銭あるいは有価値
物に関連した有価値電子情報を用い、前記インセンティ
ブ発行手段はこの有価値電子情報を前記カード端末装置
に送信するもの。
【0057】(30)ICカード装置とデータのやり取
りを行うカード端末装置とこれに計算機ネットワークを
介して接続されたリモートホストとの間に設けられるI
Cカードシステム用のプロキシ装置であって、前記IC
カード装置と当該プロキシ装置との間で予め定めたもの
であって、かつ、前記カード端末装置には未知のもので
ある変換アルゴリズムもしくは変換パラメータを用いて
データ変換処理を実行するデータ変換手段を備えたも
の。
りを行うカード端末装置とこれに計算機ネットワークを
介して接続されたリモートホストとの間に設けられるI
Cカードシステム用のプロキシ装置であって、前記IC
カード装置と当該プロキシ装置との間で予め定めたもの
であって、かつ、前記カード端末装置には未知のもので
ある変換アルゴリズムもしくは変換パラメータを用いて
データ変換処理を実行するデータ変換手段を備えたも
の。
【0058】(31)前記データ変換手段は、前記リモ
ートホストと通信を行う際に必要となるアクセス先を特
定するためのアクセス先情報を前記カード端末装置が解
釈困難なキーデータとして生成した通信キーデータを変
換するもので、前記変換アルゴリズムもしくは変換パラ
メータとして、当該プロキシ装置と前記ICカード装置
の二者間で予め取り決めたものであって、かつ、前記カ
ード端末装置において未知の演算アルゴリズムもしくは
演算パラメータを用いて変換処理を行うもの。
ートホストと通信を行う際に必要となるアクセス先を特
定するためのアクセス先情報を前記カード端末装置が解
釈困難なキーデータとして生成した通信キーデータを変
換するもので、前記変換アルゴリズムもしくは変換パラ
メータとして、当該プロキシ装置と前記ICカード装置
の二者間で予め取り決めたものであって、かつ、前記カ
ード端末装置において未知の演算アルゴリズムもしくは
演算パラメータを用いて変換処理を行うもの。
【0059】(32)通信するデータの暗号化と復号化
の少なくとも一方を行う暗号処理手段を備え、前記IC
カード装置との間で暗号化されたデータを受け渡すため
の秘匿性を持った通信路であるセキュアパスを形成する
もの。 (33)前記暗号処理手段によって前記リモートホスト
のアクセス先情報を暗号化し、この暗号化データを前記
ICカード装置との間で形成したセキュアパスを経由し
て該ICカード装置から受け取るもの。
の少なくとも一方を行う暗号処理手段を備え、前記IC
カード装置との間で暗号化されたデータを受け渡すため
の秘匿性を持った通信路であるセキュアパスを形成する
もの。 (33)前記暗号処理手段によって前記リモートホスト
のアクセス先情報を暗号化し、この暗号化データを前記
ICカード装置との間で形成したセキュアパスを経由し
て該ICカード装置から受け取るもの。
【0060】(34)当該プロキシ装置と前記ICカー
ド装置が同一の鍵情報を用いて暗号化及び復号化を行う
対称鍵暗号方式を用いてセキュアパスを形成するもの。 (35)当該プロキシ装置と前記ICカード装置が互い
に関連をもつ非同一の鍵情報を用いて暗号化及び復号化
を行う非対称鍵暗号方式を用いてセキュアパスを形成す
るもの。
ド装置が同一の鍵情報を用いて暗号化及び復号化を行う
対称鍵暗号方式を用いてセキュアパスを形成するもの。 (35)当該プロキシ装置と前記ICカード装置が互い
に関連をもつ非同一の鍵情報を用いて暗号化及び復号化
を行う非対称鍵暗号方式を用いてセキュアパスを形成す
るもの。
【0061】(36)ICカード装置とデータのやり取
りを行うカード端末装置とこれに計算機ネットワークを
介して接続されたリモートホストとの間に設けられるI
Cカードシステム用のプロキシ装置であって、前記カー
ド端末装置において実現するユーザインタフェースに関
わるUIリクエスト情報を受信するUIリクエスト情報
受信手段と、前記受信したUIリクエスト情報の内容に
基づいて前記カード端末装置におけるユーザインタフェ
ース部品に関わるUI情報を前記カード端末装置に送信
するUI情報送信手段とを備えたもの。
りを行うカード端末装置とこれに計算機ネットワークを
介して接続されたリモートホストとの間に設けられるI
Cカードシステム用のプロキシ装置であって、前記カー
ド端末装置において実現するユーザインタフェースに関
わるUIリクエスト情報を受信するUIリクエスト情報
受信手段と、前記受信したUIリクエスト情報の内容に
基づいて前記カード端末装置におけるユーザインタフェ
ース部品に関わるUI情報を前記カード端末装置に送信
するUI情報送信手段とを備えたもの。
【0062】(37)前記UI情報として、文字フォン
トに関わる文字画像情報を用いるもの。 (38)前記UI情報として、前記カード端末装置のユ
ーザインタフェースに関わるハードウェアを動作させる
手順及びデータのまとまりであるプログラム情報を用い
るもの。 (39)前記UI情報として、前記カード端末装置の種
類または構成もしくは動作状態によって異なるプログラ
ム情報を用いるもの。
トに関わる文字画像情報を用いるもの。 (38)前記UI情報として、前記カード端末装置のユ
ーザインタフェースに関わるハードウェアを動作させる
手順及びデータのまとまりであるプログラム情報を用い
るもの。 (39)前記UI情報として、前記カード端末装置の種
類または構成もしくは動作状態によって異なるプログラ
ム情報を用いるもの。
【0063】(40)ICカード装置とデータのやり取
りを行うカード端末装置とこれに計算機ネットワークを
介して接続されたリモートホストとの間に設けられるI
Cカードシステム用のプロキシ装置であって、前記カー
ド端末装置の認証を行う端末認証手段と、前記認証結果
を基に前記カード端末装置の信頼度を評価する端末信頼
度評価手段と、データの暗号化と復号化の少なくとも一
方を行う暗号処理手段とを備え、前記ICカード装置と
の間で暗号化されたデータを受け渡すための秘匿性を持
った通信路であるセキュアパスを形成し、このセキュア
パスを介して前記カード端末装置の信頼度評価結果を前
記ICカード装置へ送るもの。
りを行うカード端末装置とこれに計算機ネットワークを
介して接続されたリモートホストとの間に設けられるI
Cカードシステム用のプロキシ装置であって、前記カー
ド端末装置の認証を行う端末認証手段と、前記認証結果
を基に前記カード端末装置の信頼度を評価する端末信頼
度評価手段と、データの暗号化と復号化の少なくとも一
方を行う暗号処理手段とを備え、前記ICカード装置と
の間で暗号化されたデータを受け渡すための秘匿性を持
った通信路であるセキュアパスを形成し、このセキュア
パスを介して前記カード端末装置の信頼度評価結果を前
記ICカード装置へ送るもの。
【0064】(41)ICカード装置とデータのやり取
りを行うカード端末装置とこれに計算機ネットワークを
介して接続されたリモートホストとの間に設けられるI
Cカードシステム用のプロキシ装置であって、データの
暗号化と復号化の少なくとも一方を行う暗号処理手段と
を備え、前記ICカード装置との間で暗号化されたデー
タを受け渡すための秘匿性を持った通信路であるセキュ
アパスを形成し、このセキュアパスを介して前記ICカ
ード装置から前記カード端末装置の信頼度評価結果を受
け取るもの。 (42)前記端末認証手段と前記端末信頼度評価手段の
少なくとも一方が、前記カード端末装置の計算機ネット
ワークへの接続に関わる固有かつ一意の情報を用いて動
作するもの。
りを行うカード端末装置とこれに計算機ネットワークを
介して接続されたリモートホストとの間に設けられるI
Cカードシステム用のプロキシ装置であって、データの
暗号化と復号化の少なくとも一方を行う暗号処理手段と
を備え、前記ICカード装置との間で暗号化されたデー
タを受け渡すための秘匿性を持った通信路であるセキュ
アパスを形成し、このセキュアパスを介して前記ICカ
ード装置から前記カード端末装置の信頼度評価結果を受
け取るもの。 (42)前記端末認証手段と前記端末信頼度評価手段の
少なくとも一方が、前記カード端末装置の計算機ネット
ワークへの接続に関わる固有かつ一意の情報を用いて動
作するもの。
【0065】(43)前記カード端末装置に送信する任
意のデータについて送信前に情報内容の制御処理を行う
送信情報制御手段を備え、この送信情報制御手段は、前
記カード端末装置の信頼度評価結果に基づいて前記カー
ド端末装置へ送る情報の一部もしくは全部に対して変更
を加えるもの。 (44)前記送信情報制御手段は、前記信頼度評価結果
としてカード端末装置の信頼度が低く送信した情報が不
正に利用される可能性があると認識された場合に、当該
カード端末装置に対してプロキシ装置から送信する情報
の一部もしくは全てを削除もしくは変更するもの。 (45)前記送信情報制御手段は、前記カード端末装置
に送信する情報のうち、当該プロキシ装置が保持する機
密情報に関わる情報を削除もしくは変更するもの。 (46)前記送信情報制御手段は、前記カード端末装置
に送信する情報のうち、当該プロキシ装置が保持するI
Cカードユーザまたはプロキシユーザのプライバシに関
わる情報を削除もしくは変更するもの。
意のデータについて送信前に情報内容の制御処理を行う
送信情報制御手段を備え、この送信情報制御手段は、前
記カード端末装置の信頼度評価結果に基づいて前記カー
ド端末装置へ送る情報の一部もしくは全部に対して変更
を加えるもの。 (44)前記送信情報制御手段は、前記信頼度評価結果
としてカード端末装置の信頼度が低く送信した情報が不
正に利用される可能性があると認識された場合に、当該
カード端末装置に対してプロキシ装置から送信する情報
の一部もしくは全てを削除もしくは変更するもの。 (45)前記送信情報制御手段は、前記カード端末装置
に送信する情報のうち、当該プロキシ装置が保持する機
密情報に関わる情報を削除もしくは変更するもの。 (46)前記送信情報制御手段は、前記カード端末装置
に送信する情報のうち、当該プロキシ装置が保持するI
Cカードユーザまたはプロキシユーザのプライバシに関
わる情報を削除もしくは変更するもの。
【0066】(47)前記カード端末装置において実現
するユーザインタフェース部品に関わるUI情報を前記
カード端末装置に送信するUI情報送信手段を備え、前
記送信情報制御手段は、前記信頼度評価結果としてカー
ド端末装置の信頼度が低く送信した情報が不正に利用さ
れる可能性があると認識された場合に、当該カード端末
装置に対してプロキシ装置からUI情報を送信する前
に、前記UI情報の中から機密情報表示に関わる部分を
削除もしくは機密を保護する状態に変更し、その処理後
のUI情報を前記カード端末装置へ送るもの。
するユーザインタフェース部品に関わるUI情報を前記
カード端末装置に送信するUI情報送信手段を備え、前
記送信情報制御手段は、前記信頼度評価結果としてカー
ド端末装置の信頼度が低く送信した情報が不正に利用さ
れる可能性があると認識された場合に、当該カード端末
装置に対してプロキシ装置からUI情報を送信する前
に、前記UI情報の中から機密情報表示に関わる部分を
削除もしくは機密を保護する状態に変更し、その処理後
のUI情報を前記カード端末装置へ送るもの。
【0067】(48)前記カード端末装置において実現
するユーザインタフェース部品に関わるUI情報を前記
カード端末装置に送信するUI情報送信手段を備え、前
記送信情報制御手段は、前記信頼度評価結果としてカー
ド端末装置の信頼度が低く送信した情報が不正に利用さ
れる可能性があると認識された場合に、当該カード端末
装置に対してプロキシ装置からUI情報を送信する前
に、前記UI情報の中から機密情報入力に関わる部分を
削除もしくは機密を保護する状態に変更し、その処理後
のUI情報を前記カード端末装置へ送るもの。
するユーザインタフェース部品に関わるUI情報を前記
カード端末装置に送信するUI情報送信手段を備え、前
記送信情報制御手段は、前記信頼度評価結果としてカー
ド端末装置の信頼度が低く送信した情報が不正に利用さ
れる可能性があると認識された場合に、当該カード端末
装置に対してプロキシ装置からUI情報を送信する前
に、前記UI情報の中から機密情報入力に関わる部分を
削除もしくは機密を保護する状態に変更し、その処理後
のUI情報を前記カード端末装置へ送るもの。
【0068】(49)ICカード装置とデータのやり取
りを行うカード端末装置とこれに計算機ネットワークを
介して接続されたリモートホストとの間に設けられるI
Cカードシステム用のプロキシ装置であって、前記リモ
ートホストからの要求に応じて前記カード端末装置を用
いて入力する機密情報の変換を行う機密情報変換手段を
備え、前記機密情報変換手段は前記カード端末装置より
入力された第1の機密情報データを当該カード端末装置
に対して秘匿性を持った第2の機密情報データに変換
し、この第2の機密情報データを前記リモートホストへ
送るもの。
りを行うカード端末装置とこれに計算機ネットワークを
介して接続されたリモートホストとの間に設けられるI
Cカードシステム用のプロキシ装置であって、前記リモ
ートホストからの要求に応じて前記カード端末装置を用
いて入力する機密情報の変換を行う機密情報変換手段を
備え、前記機密情報変換手段は前記カード端末装置より
入力された第1の機密情報データを当該カード端末装置
に対して秘匿性を持った第2の機密情報データに変換
し、この第2の機密情報データを前記リモートホストへ
送るもの。
【0069】(50)ICカード装置とデータのやり取
りを行うカード端末装置とこれに計算機ネットワークを
介して接続されたリモートホストとの間に設けられるI
Cカードシステム用のプロキシ装置であって、前記リモ
ートホストからの要求に応じて前記カード端末装置を用
いて入力する機密情報に関して、前記カード端末装置よ
り入力された第1の機密情報データが当該カード端末装
置に対して秘匿性を持った状態に変換された第2の機密
情報データを、前記ICカード装置から受け取って前記
リモートホストへ送る機密情報獲得手段を備えたもの。
りを行うカード端末装置とこれに計算機ネットワークを
介して接続されたリモートホストとの間に設けられるI
Cカードシステム用のプロキシ装置であって、前記リモ
ートホストからの要求に応じて前記カード端末装置を用
いて入力する機密情報に関して、前記カード端末装置よ
り入力された第1の機密情報データが当該カード端末装
置に対して秘匿性を持った状態に変換された第2の機密
情報データを、前記ICカード装置から受け取って前記
リモートホストへ送る機密情報獲得手段を備えたもの。
【0070】(51)前記機密情報変換手段は変換用の
変換キーデータを生成してこれを前記カード端末装置を
通じてICカードユーザに提示し、前記カード端末装置
より入力された第1の機密情報データから前記変換キー
データを用いて前記第2の機密情報データを生成するも
の。 (52)前記変換キーデータと前記第1の機密情報デー
タとを一対一に対応させて同一の第2の機密情報データ
を生成するための異なるデータの組を複数設けたもの。
変換キーデータを生成してこれを前記カード端末装置を
通じてICカードユーザに提示し、前記カード端末装置
より入力された第1の機密情報データから前記変換キー
データを用いて前記第2の機密情報データを生成するも
の。 (52)前記変換キーデータと前記第1の機密情報デー
タとを一対一に対応させて同一の第2の機密情報データ
を生成するための異なるデータの組を複数設けたもの。
【0071】(53)前記カード端末装置において実現
するユーザインタフェース部品に関わるUI情報を前記
カード端末装置に送信するUI情報送信手段を備え、前
記UI情報として、前記リモートホストから要求される
機密情報として前記第2の機密情報データの代わりに前
記第1の機密情報データを入力すべきことをICカード
ユーザに指示するためのUI部品情報を用いるもの。
するユーザインタフェース部品に関わるUI情報を前記
カード端末装置に送信するUI情報送信手段を備え、前
記UI情報として、前記リモートホストから要求される
機密情報として前記第2の機密情報データの代わりに前
記第1の機密情報データを入力すべきことをICカード
ユーザに指示するためのUI部品情報を用いるもの。
【0072】(54)ICカード装置とデータのやり取
りを行うICカードシステム用のカード端末装置であっ
て、当該カード端末装置は計算機ネットワーク上におい
て設けられるプロキシ装置と接続され、前記プロキシ装
置から送られた当該カード端末装置におけるユーザイン
タフェース部品に関わるUI情報を受信するUI情報受
信手段と、前記受信したUI情報の内容に基づいて前記
ICカード装置とのデータ通信に関するユーザインタフ
ェースを実行するUI実行手段とを備えたもの。
りを行うICカードシステム用のカード端末装置であっ
て、当該カード端末装置は計算機ネットワーク上におい
て設けられるプロキシ装置と接続され、前記プロキシ装
置から送られた当該カード端末装置におけるユーザイン
タフェース部品に関わるUI情報を受信するUI情報受
信手段と、前記受信したUI情報の内容に基づいて前記
ICカード装置とのデータ通信に関するユーザインタフ
ェースを実行するUI実行手段とを備えたもの。
【0073】(55)前記UI情報として、文字フォン
トに関わる文字画像情報を用いるもの。 (56)前記UI情報として、当該カード端末装置のユ
ーザインタフェースに関わるハードウェアを動作させる
手順及びデータのまとまりであるプログラム情報を用い
るもの。 (57)前記UI情報として、当該カード端末装置の種
類または構成もしくは動作状態によって異なるプログラ
ム情報を用いるもの。
トに関わる文字画像情報を用いるもの。 (56)前記UI情報として、当該カード端末装置のユ
ーザインタフェースに関わるハードウェアを動作させる
手順及びデータのまとまりであるプログラム情報を用い
るもの。 (57)前記UI情報として、当該カード端末装置の種
類または構成もしくは動作状態によって異なるプログラ
ム情報を用いるもの。
【0074】(58)ICカード装置とデータのやり取
りを行うICカードシステム用のカード端末装置であっ
て、当該カード端末装置は計算機ネットワーク上におい
て設けられる複数のプロキシ装置と接続され、前記IC
カード装置からの問い合わせに応じて、予め定めた規則
に従って使用に適するプロキシ装置を選択するための処
理を行うプロキシ選択処理手段を備えたもの。
りを行うICカードシステム用のカード端末装置であっ
て、当該カード端末装置は計算機ネットワーク上におい
て設けられる複数のプロキシ装置と接続され、前記IC
カード装置からの問い合わせに応じて、予め定めた規則
に従って使用に適するプロキシ装置を選択するための処
理を行うプロキシ選択処理手段を備えたもの。
【0075】(59)当該カード端末装置の所有者もし
くは運用者に対して金銭的もしくは事業的に有利となる
状態を電子情報のやりとりによって生じさせるインセン
ティブを受けるインセンティブ獲得手段を備え、このイ
ンセンティブに関する情報を前記ICカード装置との間
で通信するもの。 (60)前記インセンティブとして広告情報を用い、前
記インセンティブ獲得手段はこの広告情報を前記ICカ
ード装置に送信するもの。 (61)前記インセンティブとして金銭あるいは有価値
物に関連した有価値電子情報を用い、前記インセンティ
ブ獲得手段は前記ICカード装置からこの有価値電子情
報を受信するもの。
くは運用者に対して金銭的もしくは事業的に有利となる
状態を電子情報のやりとりによって生じさせるインセン
ティブを受けるインセンティブ獲得手段を備え、このイ
ンセンティブに関する情報を前記ICカード装置との間
で通信するもの。 (60)前記インセンティブとして広告情報を用い、前
記インセンティブ獲得手段はこの広告情報を前記ICカ
ード装置に送信するもの。 (61)前記インセンティブとして金銭あるいは有価値
物に関連した有価値電子情報を用い、前記インセンティ
ブ獲得手段は前記ICカード装置からこの有価値電子情
報を受信するもの。
【0076】(62)上記(1)〜(29)のいずれか
に記載のICカードシステム用のICカード装置を実現
するための処理手順及びデータを記録したコンピュータ
読取可能な情報記録媒体。 (63)上記(30)〜(53)のいずれかに記載のI
Cカードシステム用のプロキシ装置を実現するための処
理手順及びデータを記録したコンピュータ読取可能な情
報記録媒体。 (64)上記(54)〜(61)のいずれかに記載のI
Cカードシステム用のカード端末装置を実現するための
処理手順及びデータを記録したコンピュータ読取可能な
情報記録媒体。
に記載のICカードシステム用のICカード装置を実現
するための処理手順及びデータを記録したコンピュータ
読取可能な情報記録媒体。 (63)上記(30)〜(53)のいずれかに記載のI
Cカードシステム用のプロキシ装置を実現するための処
理手順及びデータを記録したコンピュータ読取可能な情
報記録媒体。 (64)上記(54)〜(61)のいずれかに記載のI
Cカードシステム用のカード端末装置を実現するための
処理手順及びデータを記録したコンピュータ読取可能な
情報記録媒体。
【0077】
【発明の実施の形態】以下、図面を参照して本発明の実
施の形態を説明する。
施の形態を説明する。
【0078】[第1実施形態]図1は本発明の第1実施
形態に係るICカードシステムの構成を示すブロック図
である。
形態に係るICカードシステムの構成を示すブロック図
である。
【0079】本実施形態のICカードシステムは、半導
体記憶手段を搭載したカード本体を含むICカード装置
に相当するICカード101、ICカード101とデー
タ通信を行うカード端末装置に相当する利用機102、
ICカード101に対して情報の提供等を行うホストコ
ンピュータであるリモートホスト104、利用機102
とリモートホスト104との間に設けられICカード1
01とリモートホスト104の両者に対してデータ通信
を行うプロキシ装置103を備えて構成される。利用機
102とプロキシ装置103の間、及びプロキシ装置1
03とリモートホスト104の間は、インターネット等
の計算機ネットワーク105によって接続されている。
なお、利用機102とリモートホスト104は、共通の
計算機ネットワークに接続されていても、また異なる計
算機ネットワークに接続されていても良いが、プロキシ
装置103は、利用機102及びリモートホスト104
の両者とそれぞれ共通の計算機ネットワークに接続さ
れ、両者と通信が可能なように構成されている。
体記憶手段を搭載したカード本体を含むICカード装置
に相当するICカード101、ICカード101とデー
タ通信を行うカード端末装置に相当する利用機102、
ICカード101に対して情報の提供等を行うホストコ
ンピュータであるリモートホスト104、利用機102
とリモートホスト104との間に設けられICカード1
01とリモートホスト104の両者に対してデータ通信
を行うプロキシ装置103を備えて構成される。利用機
102とプロキシ装置103の間、及びプロキシ装置1
03とリモートホスト104の間は、インターネット等
の計算機ネットワーク105によって接続されている。
なお、利用機102とリモートホスト104は、共通の
計算機ネットワークに接続されていても、また異なる計
算機ネットワークに接続されていても良いが、プロキシ
装置103は、利用機102及びリモートホスト104
の両者とそれぞれ共通の計算機ネットワークに接続さ
れ、両者と通信が可能なように構成されている。
【0080】利用機102にはICカードリーダライタ
108が設けられている。ICカード101として接触
型ICカードを適用した場合、ICカード101はIC
カードリーダライタ108に挿入もしくは接続され、電
気信号を用いて利用機102と通信を行う。また、IC
カード101に非接触型ICカードを適用した場合に
は、ICカード101はICカードリーダライタ108
との間で電波信号をやりとりすることにより、利用機1
02と通信を行う。
108が設けられている。ICカード101として接触
型ICカードを適用した場合、ICカード101はIC
カードリーダライタ108に挿入もしくは接続され、電
気信号を用いて利用機102と通信を行う。また、IC
カード101に非接触型ICカードを適用した場合に
は、ICカード101はICカードリーダライタ108
との間で電波信号をやりとりすることにより、利用機1
02と通信を行う。
【0081】ICカード101は、内部に送信用データ
保持手段106とデータ送信手段107とを備えてい
る。送信用データ保持手段106は、ICカード101
に内蔵されるICチップのメモリ等を用いて実現され
る。データ送信手段107は、送信用データ保持手段1
06が保持するデータを読み取ってICカードリーダラ
イタ108に送信するもので、ICカード101に内蔵
される通信ハードウェア及びそれを駆動するための処理
装置とソフトウェアプログラムによって実現される。
保持手段106とデータ送信手段107とを備えてい
る。送信用データ保持手段106は、ICカード101
に内蔵されるICチップのメモリ等を用いて実現され
る。データ送信手段107は、送信用データ保持手段1
06が保持するデータを読み取ってICカードリーダラ
イタ108に送信するもので、ICカード101に内蔵
される通信ハードウェア及びそれを駆動するための処理
装置とソフトウェアプログラムによって実現される。
【0082】なお、以下の実施形態において示す機能的
構成による各手段は、前記データ送信手段107と同様
に、各構成装置がもつハードウェアと、それを駆動する
ための処理装置及びソフトウェアプログラムにより実現
されるものである。
構成による各手段は、前記データ送信手段107と同様
に、各構成装置がもつハードウェアと、それを駆動する
ための処理装置及びソフトウェアプログラムにより実現
されるものである。
【0083】利用機102は、内部にICカードリーダ
ライタ108からデータを受け取るデータ受信手段10
9と、データ受信手段109が受信したデータを計算機
ネットワーク105を介してプロキシ装置103に送信
するデータ転送手段110とを備えている。
ライタ108からデータを受け取るデータ受信手段10
9と、データ受信手段109が受信したデータを計算機
ネットワーク105を介してプロキシ装置103に送信
するデータ転送手段110とを備えている。
【0084】プロキシ装置103は、内部に計算機ネッ
トワーク105を介して利用機102から受信したデー
タを別のデータに変換するデータ変換手段111を備え
ている。このプロキシ装置103は、データ変換手段1
11が作成した変換後のデータを、計算機ネットワーク
105を介してリモートホスト104に送信し、リモー
トホスト104はこれを受信する。
トワーク105を介して利用機102から受信したデー
タを別のデータに変換するデータ変換手段111を備え
ている。このプロキシ装置103は、データ変換手段1
11が作成した変換後のデータを、計算機ネットワーク
105を介してリモートホスト104に送信し、リモー
トホスト104はこれを受信する。
【0085】ICカード101が利用機102を介して
プロキシ装置103と通信を開始するに先立って、予め
ICカード101内のアプリケーションプログラムとプ
ロキシ装置103のデータ変換手段111との間で、デ
ータ変換の規則と方法についての取り決めを作ってお
く。
プロキシ装置103と通信を開始するに先立って、予め
ICカード101内のアプリケーションプログラムとプ
ロキシ装置103のデータ変換手段111との間で、デ
ータ変換の規則と方法についての取り決めを作ってお
く。
【0086】例えば、xというデータを与えた場合はf
(x)というデータに変換される規則とし、変換方法f
についてICカード101とプロキシ装置103のみが
知っている状態を作る。この取り決めはICカード10
1の発行以前に行っても良いし、ICカード101の発
行後も、ICカード101とプロキシ装置103との間
で充分にセキュアな通信が可能な条件下であれば行うこ
とができる。
(x)というデータに変換される規則とし、変換方法f
についてICカード101とプロキシ装置103のみが
知っている状態を作る。この取り決めはICカード10
1の発行以前に行っても良いし、ICカード101の発
行後も、ICカード101とプロキシ装置103との間
で充分にセキュアな通信が可能な条件下であれば行うこ
とができる。
【0087】ICカード101のユーザがリモートホス
ト104にデータを送信する場合、ICカード101の
送信用データ保持手段106にデータxを格納し、デー
タ送信手段107はこのデータxを利用機102のIC
カードリーダライタ108を介してデータ受信手段10
9に送る。次に、データ受信手段109はデータ転送手
段110にデータxを渡し、データ転送手段110はデ
ータxを計算機ネットワーク105を介してプロキシ装
置103のデータ変換手段111に送る。
ト104にデータを送信する場合、ICカード101の
送信用データ保持手段106にデータxを格納し、デー
タ送信手段107はこのデータxを利用機102のIC
カードリーダライタ108を介してデータ受信手段10
9に送る。次に、データ受信手段109はデータ転送手
段110にデータxを渡し、データ転送手段110はデ
ータxを計算機ネットワーク105を介してプロキシ装
置103のデータ変換手段111に送る。
【0088】ここで、利用機102は変換方法fを知ら
ないため、プロキシ装置103の内部でデータ変換手段
111が出力するデータf(x)を知ることはできな
い。よって、プロキシ装置103がf(x)を用いてリ
モートホスト104と通信を行えば、結果としてICカ
ード101のユーザは利用機102に知られることなく
データf(x)を用いた通信をリモートホスト104と
の間で行うことが可能となる。
ないため、プロキシ装置103の内部でデータ変換手段
111が出力するデータf(x)を知ることはできな
い。よって、プロキシ装置103がf(x)を用いてリ
モートホスト104と通信を行えば、結果としてICカ
ード101のユーザは利用機102に知られることなく
データf(x)を用いた通信をリモートホスト104と
の間で行うことが可能となる。
【0089】特に、f(x)を逆変換可能なものに定
め、fの逆変換をg(y)としたとき、ICカード10
1はg(y)を送信用データ保持手段106に置くこと
により、データyを利用機102に知られることなくリ
モートホスト104に送ることが可能となる。その際、
リモートホスト104にはf(x)を得るためのデータ
変換手段は不要である。さらに、プロキシ装置103は
それ自身がネットワークを利用してリモートホスト10
4と通信を行えるため、従来は利用機102に依存して
いたネットワーク通信、ユーザインタフェース形成等に
関わる情報を全て利用機102に秘匿しつつ、プロキシ
装置103が得ることが可能となる。
め、fの逆変換をg(y)としたとき、ICカード10
1はg(y)を送信用データ保持手段106に置くこと
により、データyを利用機102に知られることなくリ
モートホスト104に送ることが可能となる。その際、
リモートホスト104にはf(x)を得るためのデータ
変換手段は不要である。さらに、プロキシ装置103は
それ自身がネットワークを利用してリモートホスト10
4と通信を行えるため、従来は利用機102に依存して
いたネットワーク通信、ユーザインタフェース形成等に
関わる情報を全て利用機102に秘匿しつつ、プロキシ
装置103が得ることが可能となる。
【0090】上記のようなプロキシ装置は不正侵入が困
難な安全な建物内等に設置することが容易であり、これ
は街頭等の不特定多数の人間が出入りする場所に置かれ
る利用機と比較してセキュリティ強度を容易に高めるこ
とが可能である。通常、キオスク端末用として専用に作
られた計算機は特に強固なセキュリティを確保したハー
ドウェアを使用するが、本実施形態によれば、そのよう
なハードウェアを使用しなくともICカードユーザに被
害を及ぼし難い利用機を設置できる。また、ICカード
ユーザもセキュリティ強度の弱い利用機を安全に利用で
きることになり、その実用的効果は大きい。
難な安全な建物内等に設置することが容易であり、これ
は街頭等の不特定多数の人間が出入りする場所に置かれ
る利用機と比較してセキュリティ強度を容易に高めるこ
とが可能である。通常、キオスク端末用として専用に作
られた計算機は特に強固なセキュリティを確保したハー
ドウェアを使用するが、本実施形態によれば、そのよう
なハードウェアを使用しなくともICカードユーザに被
害を及ぼし難い利用機を設置できる。また、ICカード
ユーザもセキュリティ強度の弱い利用機を安全に利用で
きることになり、その実用的効果は大きい。
【0091】このように、本実施形態の構成では、IC
カードユーザは利用機に通信内容を知られることなくI
Cカードとプロキシ装置との間で通信を行うことができ
るため、アクセス先や通信内容を秘匿してセキュリティ
を確保した状態で利用機を使用することが可能となる。
よって、利用機において必ずしも強固なセキュリティ上
の保証をする必要がなく、利用機設置に関するハードウ
ェア価格や運営コストを低減することも可能である。I
Cカードユーザは、街頭等の不特定多数の人間が訪れる
場所に設置ている場合など、利用機の信頼度が不明確な
場合であっても十分なセキュリティを確保でき、安心し
て使用することができる。
カードユーザは利用機に通信内容を知られることなくI
Cカードとプロキシ装置との間で通信を行うことができ
るため、アクセス先や通信内容を秘匿してセキュリティ
を確保した状態で利用機を使用することが可能となる。
よって、利用機において必ずしも強固なセキュリティ上
の保証をする必要がなく、利用機設置に関するハードウ
ェア価格や運営コストを低減することも可能である。I
Cカードユーザは、街頭等の不特定多数の人間が訪れる
場所に設置ている場合など、利用機の信頼度が不明確な
場合であっても十分なセキュリティを確保でき、安心し
て使用することができる。
【0092】[第2実施形態]図2は本発明の第2実施
形態に係るICカードシステムの構成を示すブロック図
である。第2実施形態は、第1実施形態と同様に、イン
ターネット上のサービスを受けるアプリケーションを搭
載したICカード201、リモートホスト204を備え
て構成される。これらは、図2で模式的に示すインター
ネット空間205に設けられる。利用機202とプロキ
シ装置203、及びプロキシ装置203とリモートホス
ト204は、それぞれインターネット空間205におい
て形成されるネットワークコネクション(仮想的なデー
タ通信経路を持つ関係)206、207により接続され
る。なお、個々の装置が具備する手段は図1の第1実施
形態と同様である。
形態に係るICカードシステムの構成を示すブロック図
である。第2実施形態は、第1実施形態と同様に、イン
ターネット上のサービスを受けるアプリケーションを搭
載したICカード201、リモートホスト204を備え
て構成される。これらは、図2で模式的に示すインター
ネット空間205に設けられる。利用機202とプロキ
シ装置203、及びプロキシ装置203とリモートホス
ト204は、それぞれインターネット空間205におい
て形成されるネットワークコネクション(仮想的なデー
タ通信経路を持つ関係)206、207により接続され
る。なお、個々の装置が具備する手段は図1の第1実施
形態と同様である。
【0093】ICカード201に載せるアプリケーショ
ンとしては、インターネット上のリモートホスト204
(World Wide Webサービスを提供するウェブサイト)へ
アクセスし、リモートホスト204からの情報をICカ
ード201内のメモリに取得、もしくはICカード20
1内のメモリに保持している情報をリモートホスト20
4に登録するソフトウェアを想定する。
ンとしては、インターネット上のリモートホスト204
(World Wide Webサービスを提供するウェブサイト)へ
アクセスし、リモートホスト204からの情報をICカ
ード201内のメモリに取得、もしくはICカード20
1内のメモリに保持している情報をリモートホスト20
4に登録するソフトウェアを想定する。
【0094】図3は、本実施形態におけるアクセス先情
報及び通信キーデータの関係を例示したものである。こ
こで、符号301はICカード201のアプリケーショ
ンがアクセスしようとするリモートホスト204のイン
ターネットにおける存在場所(URL)を記したアクセ
ス先情報であり、符号302はアクセス先情報301か
ら第1実施形態に示した変換gによって得た通信キーデ
ータである。なお、アクセス先情報301と変換gは省
略し、初めから変換済みの通信キーデータ302を保持
していても良い。また、符号303及び304は通信キ
ーデータ302がそれぞれ利用機202とプロキシ装置
203に渡った状態を示すもので、通信キーデータ30
2と同一のものである。符号305は通信キーデータ3
04から変換fによって得られるアクセス先情報であ
り、アクセス先情報301と同一のものとなる。
報及び通信キーデータの関係を例示したものである。こ
こで、符号301はICカード201のアプリケーショ
ンがアクセスしようとするリモートホスト204のイン
ターネットにおける存在場所(URL)を記したアクセ
ス先情報であり、符号302はアクセス先情報301か
ら第1実施形態に示した変換gによって得た通信キーデ
ータである。なお、アクセス先情報301と変換gは省
略し、初めから変換済みの通信キーデータ302を保持
していても良い。また、符号303及び304は通信キ
ーデータ302がそれぞれ利用機202とプロキシ装置
203に渡った状態を示すもので、通信キーデータ30
2と同一のものである。符号305は通信キーデータ3
04から変換fによって得られるアクセス先情報であ
り、アクセス先情報301と同一のものとなる。
【0095】図4は本実施形態におけるアクセス先秘匿
処理の流れを示したフローチャートであり、図1〜3と
合わせて以下その動作を説明する。ICカード201の
ユーザは、ICカード201を利用機202に挿入する
ことにより上記のインターネットサービスを受けられ
る。ここで利用機202は、例えば街頭、駅、公共施
設、店舗等に置かれた共用端末で、不特定多数のユーザ
が利用することを前提に設置され、ICカード201の
ユーザは利用機202の運用、管理のポリシー等につい
て知らされていない状況を想定する。
処理の流れを示したフローチャートであり、図1〜3と
合わせて以下その動作を説明する。ICカード201の
ユーザは、ICカード201を利用機202に挿入する
ことにより上記のインターネットサービスを受けられ
る。ここで利用機202は、例えば街頭、駅、公共施
設、店舗等に置かれた共用端末で、不特定多数のユーザ
が利用することを前提に設置され、ICカード201の
ユーザは利用機202の運用、管理のポリシー等につい
て知らされていない状況を想定する。
【0096】ICカード201は、まずアクセス先のU
RL(Uniform Resource Locator;サービス提供ホスト
のインターネット空間におけるホスト特定情報(ドメイ
ン名及びサーバ名など)と基本的な通信プロトコルとを
含んだ文字情報)を示すアクセス先情報301をgで変
換し(ステップ401)、通信キーデータ302を生成
して送信用データ保持手段106に格納する(ステップ
402)。次いで、データ送信手段107を用いて通信
キーデータ302をICカードリーダライタ108を介
して利用機202に送信する(ステップ403)。
RL(Uniform Resource Locator;サービス提供ホスト
のインターネット空間におけるホスト特定情報(ドメイ
ン名及びサーバ名など)と基本的な通信プロトコルとを
含んだ文字情報)を示すアクセス先情報301をgで変
換し(ステップ401)、通信キーデータ302を生成
して送信用データ保持手段106に格納する(ステップ
402)。次いで、データ送信手段107を用いて通信
キーデータ302をICカードリーダライタ108を介
して利用機202に送信する(ステップ403)。
【0097】次に、利用機202はデータ受信手段10
9を用いて通信キーデータ303を受信する。(ステッ
プ404)。続いて、利用機202はプロキシ装置20
3と通信するためのネットワークコネクション206を
インターネット空間205内に形成する(ステップ40
5)。なお、コネクション形成の際に用いるプロキシ装
置202のURLは、利用機202が予め保持しておい
ても良いし、既知のICカード・利用機間通信技術を用
いてICカード201から利用機202に伝達しても良
い。
9を用いて通信キーデータ303を受信する。(ステッ
プ404)。続いて、利用機202はプロキシ装置20
3と通信するためのネットワークコネクション206を
インターネット空間205内に形成する(ステップ40
5)。なお、コネクション形成の際に用いるプロキシ装
置202のURLは、利用機202が予め保持しておい
ても良いし、既知のICカード・利用機間通信技術を用
いてICカード201から利用機202に伝達しても良
い。
【0098】ネットワークコネクション206を形成し
た後、利用機202はデータ転送手段110を用いて通
信キーデータ303を内容を改変せずにプロキシ装置2
03に送信し(ステップ406)、プロキシ装置203
はこれを通信キーデータ304として受信する(ステッ
プ407)。利用機202が通信キーデータ303を改
変せずに転送したことは、既知のデータ照合技術を用い
て確認できる。
た後、利用機202はデータ転送手段110を用いて通
信キーデータ303を内容を改変せずにプロキシ装置2
03に送信し(ステップ406)、プロキシ装置203
はこれを通信キーデータ304として受信する(ステッ
プ407)。利用機202が通信キーデータ303を改
変せずに転送したことは、既知のデータ照合技術を用い
て確認できる。
【0099】次に、プロキシ装置203はデータ変換手
段111を用いて通信キーデータ304に対し変換fを
行い(ステップ408)、ICカード201が意図した
通りのアクセス先情報305を獲得する(ステップ40
9)。最後に、プロキシ装置203は獲得したアクセス
先情報305から得たリモートホスト204の情報(U
RL等)を用いて、インターネット空間205内にネッ
トワークコネクション207を形成する(ステップ41
0)。
段111を用いて通信キーデータ304に対し変換fを
行い(ステップ408)、ICカード201が意図した
通りのアクセス先情報305を獲得する(ステップ40
9)。最後に、プロキシ装置203は獲得したアクセス
先情報305から得たリモートホスト204の情報(U
RL等)を用いて、インターネット空間205内にネッ
トワークコネクション207を形成する(ステップ41
0)。
【0100】なお、本実施形態ではアクセス先情報30
1及び305をURLとした構成例を示したが、その他
のホスト特定情報及び通信方法特定情報によって構成す
ることもできる。また、本実施形態では計算機ネットワ
ークとしてインターネットを適用した構成例を示した
が、無線ネットワークを含めたその他の計算機ネットワ
ークによって構成することもできる。
1及び305をURLとした構成例を示したが、その他
のホスト特定情報及び通信方法特定情報によって構成す
ることもできる。また、本実施形態では計算機ネットワ
ークとしてインターネットを適用した構成例を示した
が、無線ネットワークを含めたその他の計算機ネットワ
ークによって構成することもできる。
【0101】また、本実施形態に示した処理フローに先
立ち、従来の認証技術を用いてICカード201とプロ
キシ装置203の両者間で認証を行うことにより、利用
機202とプロキシ装置203が示し合わせてICカー
ド201を騙すことによる不正行為を防止することがで
きる。この不正行為の例としては、プロキシ装置203
が獲得したアクセス先情報305を、プロキシ装置20
3自身が利用機202に教えてしまうことが考えられ
る。なお、このような不正行為を防止するために、IC
カード201はプロキシ装置203に情報を渡す処理に
先立ち、プロキシ装置203が正当でかつ安全であるこ
とを確認すべきである。これは本発明における他の実施
形態においても同様である。
立ち、従来の認証技術を用いてICカード201とプロ
キシ装置203の両者間で認証を行うことにより、利用
機202とプロキシ装置203が示し合わせてICカー
ド201を騙すことによる不正行為を防止することがで
きる。この不正行為の例としては、プロキシ装置203
が獲得したアクセス先情報305を、プロキシ装置20
3自身が利用機202に教えてしまうことが考えられ
る。なお、このような不正行為を防止するために、IC
カード201はプロキシ装置203に情報を渡す処理に
先立ち、プロキシ装置203が正当でかつ安全であるこ
とを確認すべきである。これは本発明における他の実施
形態においても同様である。
【0102】以上のように、ICカードが発する通信キ
ーデータを図3のようにプロキシ装置がアクセス先情報
に変換することによって、利用機がリモートホストに対
して直接ネットワークコネクションを形成することなく
なるため、ICカード上のアプリケーションが計算機ネ
ットワーク上のどのホストに、どのような方法でアクセ
スしたかの情報が利用機を通じて漏洩する問題が回避さ
れ、その実用的効果は大きい。この本実施形態の手段に
よって、[発明が解決しようとする課題]の欄に示した
第1の問題点を明確に解決することができる。
ーデータを図3のようにプロキシ装置がアクセス先情報
に変換することによって、利用機がリモートホストに対
して直接ネットワークコネクションを形成することなく
なるため、ICカード上のアプリケーションが計算機ネ
ットワーク上のどのホストに、どのような方法でアクセ
スしたかの情報が利用機を通じて漏洩する問題が回避さ
れ、その実用的効果は大きい。この本実施形態の手段に
よって、[発明が解決しようとする課題]の欄に示した
第1の問題点を明確に解決することができる。
【0103】[第3実施形態]図5は本発明の第3実施
形態に係るICカードシステムの構成を示すブロック図
である。第3実施形態は、第1実施形態と同様に、IC
カード501、利用機502、プロキシ装置503、リ
モートホスト504を有して構成され、利用機502と
プロキシ装置503、及びプロキシ装置503とリモー
トホスト504はそれぞれ計算機ネットワーク505を
介して接続される。利用機502はICカードリーダラ
イタ506を具備している。これらは図1の第1実施形
態における各装置と同様な構成要素を持っている。
形態に係るICカードシステムの構成を示すブロック図
である。第3実施形態は、第1実施形態と同様に、IC
カード501、利用機502、プロキシ装置503、リ
モートホスト504を有して構成され、利用機502と
プロキシ装置503、及びプロキシ装置503とリモー
トホスト504はそれぞれ計算機ネットワーク505を
介して接続される。利用機502はICカードリーダラ
イタ506を具備している。これらは図1の第1実施形
態における各装置と同様な構成要素を持っている。
【0104】ICカード501は、内部に既知の暗号技
術を用いて情報の暗号化及び復号化を行う暗号処理手段
507を備えている。プロキシ装置503は、内部に暗
号処理手段507と対になって一方が暗号化した情報を
他方が復号化する暗号処理手段の機能を併せ持ったデー
タ変換手段508を備えている。これらの暗号処理手段
507とデータ変換手段(暗号処理手段)508との間
には、セキュアパス509が形成される。
術を用いて情報の暗号化及び復号化を行う暗号処理手段
507を備えている。プロキシ装置503は、内部に暗
号処理手段507と対になって一方が暗号化した情報を
他方が復号化する暗号処理手段の機能を併せ持ったデー
タ変換手段508を備えている。これらの暗号処理手段
507とデータ変換手段(暗号処理手段)508との間
には、セキュアパス509が形成される。
【0105】このセキュアパス509は、ICカード5
01の暗号処理手段507が暗号化したデータを第1実
施形態と同様の方法でプロキシ装置503のデータ変換
手段508に渡すことによって、利用機502に内容を
秘匿しながら情報を伝達することにより形成されるセキ
ュアな(所望のセキュリティを確保した)仮想的データ
通信経路である。また、プロキシ装置503のデータ変
換手段508が情報の暗号化を行い、第1実施形態と逆
方向にデータを送信し、さらにICカード501の暗号
処理手段507が情報を復号化することにより、セキュ
アパス509は双方向のデータ通信経路となる。プロキ
シ装置503は、セキュアパス509を通じてICカー
ド501から得た情報を用いてリモートホスト504と
通信を行い、またリモートホスト504から得た情報を
セキュアパス509を通じてICカード501に渡す。
01の暗号処理手段507が暗号化したデータを第1実
施形態と同様の方法でプロキシ装置503のデータ変換
手段508に渡すことによって、利用機502に内容を
秘匿しながら情報を伝達することにより形成されるセキ
ュアな(所望のセキュリティを確保した)仮想的データ
通信経路である。また、プロキシ装置503のデータ変
換手段508が情報の暗号化を行い、第1実施形態と逆
方向にデータを送信し、さらにICカード501の暗号
処理手段507が情報を復号化することにより、セキュ
アパス509は双方向のデータ通信経路となる。プロキ
シ装置503は、セキュアパス509を通じてICカー
ド501から得た情報を用いてリモートホスト504と
通信を行い、またリモートホスト504から得た情報を
セキュアパス509を通じてICカード501に渡す。
【0106】以上のように、本実施形態ではICカード
501とプロキシ装置502の間にセキュアパス509
を設けることにより、利用機502に内容を秘匿しなが
らICカード501とリモートホスト504との間の通
信が可能となる。その際、リモートホスト504にはI
Cカード501の暗号処理手段507と対になる暗号処
理手段を付加する必要がない。このため、リモートホス
ト504として既存のインターネットサービスホストを
適用した場合、ホストの構成を変更せずにICカード5
01との間でセキュアなデータ送受が可能となる。
501とプロキシ装置502の間にセキュアパス509
を設けることにより、利用機502に内容を秘匿しなが
らICカード501とリモートホスト504との間の通
信が可能となる。その際、リモートホスト504にはI
Cカード501の暗号処理手段507と対になる暗号処
理手段を付加する必要がない。このため、リモートホス
ト504として既存のインターネットサービスホストを
適用した場合、ホストの構成を変更せずにICカード5
01との間でセキュアなデータ送受が可能となる。
【0107】また、サービスの性格によってプロキシ装
置503とリモートホスト504の間で独自のセキュリ
ティ処理を施すことも容易であり、あるいはプロキシ装
置503とリモートホスト504の間ではセキュリティ
手段を設けず、課金等に関するセキュアな処理は全てプ
ロキシ装置503が行うというような適用も可能であ
り、その実用的効果は大きい。
置503とリモートホスト504の間で独自のセキュリ
ティ処理を施すことも容易であり、あるいはプロキシ装
置503とリモートホスト504の間ではセキュリティ
手段を設けず、課金等に関するセキュアな処理は全てプ
ロキシ装置503が行うというような適用も可能であ
り、その実用的効果は大きい。
【0108】[第4実施形態]第4実施形態として、図
2に示したICカードシステムの構成、図3に示したデ
ータフロー及び図4に示した処理フローと同様の処理
を、図5に示したセキュアパスを用いて実現したシステ
ムも例示できる。すなわち、ICカード201が保持す
るアクセス先情報301を、暗号処理手段507を用い
て暗号化し、セキュアパス509を通じてプロキシ装置
203のデータ変換手段508に渡し、アクセス先情報
305を得るものである。
2に示したICカードシステムの構成、図3に示したデ
ータフロー及び図4に示した処理フローと同様の処理
を、図5に示したセキュアパスを用いて実現したシステ
ムも例示できる。すなわち、ICカード201が保持す
るアクセス先情報301を、暗号処理手段507を用い
て暗号化し、セキュアパス509を通じてプロキシ装置
203のデータ変換手段508に渡し、アクセス先情報
305を得るものである。
【0109】この実施形態では、第2実施形態と同等の
効果が得られるが、さらにセキュアパスを使うことによ
り、アクセス先のみでなくネットワークコネクション形
成後の通信内容も全て利用機に対して秘匿できる効果が
ある。第4実施形態によって、第2実施形態と同様に
[発明が解決しようとする課題]の欄に示した第1の問
題点を明確に解決することができる。
効果が得られるが、さらにセキュアパスを使うことによ
り、アクセス先のみでなくネットワークコネクション形
成後の通信内容も全て利用機に対して秘匿できる効果が
ある。第4実施形態によって、第2実施形態と同様に
[発明が解決しようとする課題]の欄に示した第1の問
題点を明確に解決することができる。
【0110】[第5実施形態]図6は本発明の第5実施
形態に係るICカードシステムの構成を示すブロック図
である。第5実施形態は、第1実施形態と同様に、IC
カード601、利用機602、プロキシ装置603、リ
モートホスト604を有して構成され、利用機602と
プロキシ装置603、及びプロキシ装置603とリモー
トホスト604はそれぞれ計算機ネットワーク605を
介して接続される。利用機602はICカードリーダラ
イタ606を具備している。これら各構成装置の基本的
な構成と関係は図1の第1実施形態と同様である。
形態に係るICカードシステムの構成を示すブロック図
である。第5実施形態は、第1実施形態と同様に、IC
カード601、利用機602、プロキシ装置603、リ
モートホスト604を有して構成され、利用機602と
プロキシ装置603、及びプロキシ装置603とリモー
トホスト604はそれぞれ計算機ネットワーク605を
介して接続される。利用機602はICカードリーダラ
イタ606を具備している。これら各構成装置の基本的
な構成と関係は図1の第1実施形態と同様である。
【0111】ICカード601は、内部に既知の暗号技
術を用いて情報の暗号化及び復号化を行う第1の暗号処
理手段607及び第2の暗号化手段610を備えてい
る。第1の暗号処理手段607と第2の暗号化手段61
0とは、互いに異なる暗号処理の仕組を用いるか、もし
くは同一の暗号処理の仕組を異なる鍵を用いて利用する
構成をとる。プロキシ装置603は、内部に第1の暗号
化手段607と対になってセキュアパス609を形成す
る第1の復号化手段608を備えている。また、リモー
トホスト604は、内部に第2の暗号化手段610と対
になってセキュアパス612を形成する第2の復号化手
段611を備えている。
術を用いて情報の暗号化及び復号化を行う第1の暗号処
理手段607及び第2の暗号化手段610を備えてい
る。第1の暗号処理手段607と第2の暗号化手段61
0とは、互いに異なる暗号処理の仕組を用いるか、もし
くは同一の暗号処理の仕組を異なる鍵を用いて利用する
構成をとる。プロキシ装置603は、内部に第1の暗号
化手段607と対になってセキュアパス609を形成す
る第1の復号化手段608を備えている。また、リモー
トホスト604は、内部に第2の暗号化手段610と対
になってセキュアパス612を形成する第2の復号化手
段611を備えている。
【0112】この場合、初めは第2の暗号化手段610
が生成した暗号化データはセキュアパス609を介して
プロキシ装置603に渡す。もしくは、利用機602に
よる復号が困難であるという条件を満足すれば、セキュ
アパス609を介さずにプロキシ装置603に渡しても
良い。いずれの場合もプロキシ装置603は第2の暗号
化手段610が生成したデータをそのままリモートホス
ト604に転送する。これにより、ICカード601と
リモートホスト604を直接結ぶ新たなセキュアパス6
12が形成される。
が生成した暗号化データはセキュアパス609を介して
プロキシ装置603に渡す。もしくは、利用機602に
よる復号が困難であるという条件を満足すれば、セキュ
アパス609を介さずにプロキシ装置603に渡しても
良い。いずれの場合もプロキシ装置603は第2の暗号
化手段610が生成したデータをそのままリモートホス
ト604に転送する。これにより、ICカード601と
リモートホスト604を直接結ぶ新たなセキュアパス6
12が形成される。
【0113】なお、本実施形態では各暗号化手段と各復
号化手段の働きで各セキュアパスを単一方向の通信に用
いる例で説明したが、暗号化と復号化を逆に用いる構成
を採ることにより、各セキュアパスを双方向通信に用い
ることも可能である。
号化手段の働きで各セキュアパスを単一方向の通信に用
いる例で説明したが、暗号化と復号化を逆に用いる構成
を採ることにより、各セキュアパスを双方向通信に用い
ることも可能である。
【0114】上記のように、本実施形態によれば、IC
カード601のユーザ及びICカード601内に設けた
アプリケーションは、セキュアパス609を用いて利用
機602に情報を秘匿しながらプロキシ装置603とセ
キュアな通信を行うことができ、さらにセキュアパス6
12を用いて利用機602に情報を秘匿しながらリモー
トホスト611とセキュアな通信を行うことができる。
さらに、各暗号化手段及び復号化手段の暗号強度を充分
に確保すれば、利用機及びプロキシ装置以外にも、デー
タ通信経路上の様々な装置もしくは手段による情報の漏
洩を防ぐことが可能となり、その実用的効果は大きい。
カード601のユーザ及びICカード601内に設けた
アプリケーションは、セキュアパス609を用いて利用
機602に情報を秘匿しながらプロキシ装置603とセ
キュアな通信を行うことができ、さらにセキュアパス6
12を用いて利用機602に情報を秘匿しながらリモー
トホスト611とセキュアな通信を行うことができる。
さらに、各暗号化手段及び復号化手段の暗号強度を充分
に確保すれば、利用機及びプロキシ装置以外にも、デー
タ通信経路上の様々な装置もしくは手段による情報の漏
洩を防ぐことが可能となり、その実用的効果は大きい。
【0115】[第6実施形態]第6実施形態として、図
6の構成において、ICカード601からプロキシ装置
603へ、セキュアパス609を用いてリモートホスト
604のアクセス先情報を渡し、さらにICカード60
1からリモートホスト604へ、セキュアパス612を
用いてアクセス先情報以外の任意の情報を渡すようなシ
ステムも例示できる。この場合、第5実施形態の効果に
加えて、ICカード601とリモートホスト604の間
において、利用機602だけでなくプロキシ装置603
に対しても情報を秘匿した通信を可能にする効果があ
る。
6の構成において、ICカード601からプロキシ装置
603へ、セキュアパス609を用いてリモートホスト
604のアクセス先情報を渡し、さらにICカード60
1からリモートホスト604へ、セキュアパス612を
用いてアクセス先情報以外の任意の情報を渡すようなシ
ステムも例示できる。この場合、第5実施形態の効果に
加えて、ICカード601とリモートホスト604の間
において、利用機602だけでなくプロキシ装置603
に対しても情報を秘匿した通信を可能にする効果があ
る。
【0116】[第7実施形態]第7実施形態として、図
5における暗号処理手段507、データ変換手段50
8、あるいは図6における第1の暗号化手段607、第
1の復号化手段608、第2の暗号化手段610、第2
の復号化手段611を、それぞれ相互に対応関係を持つ
手段間において共通の鍵を用いる対称鍵暗号方式を用い
て実現したシステムも例示できる。この実施形態によれ
ば、第3〜第6実施形態と同等の効果が得られる。
5における暗号処理手段507、データ変換手段50
8、あるいは図6における第1の暗号化手段607、第
1の復号化手段608、第2の暗号化手段610、第2
の復号化手段611を、それぞれ相互に対応関係を持つ
手段間において共通の鍵を用いる対称鍵暗号方式を用い
て実現したシステムも例示できる。この実施形態によれ
ば、第3〜第6実施形態と同等の効果が得られる。
【0117】[第8実施形態]第8実施形態として、図
5における暗号処理手段507、データ変換手段50
8、あるいは図6における第1の暗号化手段607、第
1の復号化手段608、第2の暗号化手段610、第2
の復号化手段611を、それぞれ相互に対応関係を持つ
手段間において互いに対応付けられた異なる鍵を用いる
非対称鍵暗号方式を用いて実現したシステムも例示でき
る。非対称暗号方式としては既知の公開鍵暗号方式が適
用できる。
5における暗号処理手段507、データ変換手段50
8、あるいは図6における第1の暗号化手段607、第
1の復号化手段608、第2の暗号化手段610、第2
の復号化手段611を、それぞれ相互に対応関係を持つ
手段間において互いに対応付けられた異なる鍵を用いる
非対称鍵暗号方式を用いて実現したシステムも例示でき
る。非対称暗号方式としては既知の公開鍵暗号方式が適
用できる。
【0118】また、第7実施形態に示した構成と組み合
わせて、非対称暗号によって対称鍵暗号を渡し、セキュ
アパスを流れる情報の一部を対称鍵暗号を用いて秘匿化
することもできる。この場合、第3〜第6実施形態と同
等の効果が得られる他、鍵交換の簡便性と暗号処理の高
速性を得ることができる効果がある。
わせて、非対称暗号によって対称鍵暗号を渡し、セキュ
アパスを流れる情報の一部を対称鍵暗号を用いて秘匿化
することもできる。この場合、第3〜第6実施形態と同
等の効果が得られる他、鍵交換の簡便性と暗号処理の高
速性を得ることができる効果がある。
【0119】[第9実施形態]図7は本発明の第9実施
形態に係るICカードシステムの構成を示すブロック図
である。第9実施形態は、第1実施形態と同様に、IC
カード701、利用機702、プロキシ装置703、リ
モートホスト704を有して構成され、利用機702と
プロキシ装置703、及びプロキシ装置703とリモー
トホスト704はそれぞれ計算機ネットワーク705を
介して接続される。利用機702はICカードリーダラ
イタ706を具備している。これら各構成装置の基本的
な構成と関係は図1の第1実施形態と同様である。
形態に係るICカードシステムの構成を示すブロック図
である。第9実施形態は、第1実施形態と同様に、IC
カード701、利用機702、プロキシ装置703、リ
モートホスト704を有して構成され、利用機702と
プロキシ装置703、及びプロキシ装置703とリモー
トホスト704はそれぞれ計算機ネットワーク705を
介して接続される。利用機702はICカードリーダラ
イタ706を具備している。これら各構成装置の基本的
な構成と関係は図1の第1実施形態と同様である。
【0120】ICカード701は、ICカード701の
ユーザもしくはアプリケーションが求めるユーザインタ
フェース(以下、適宜UIと略記する)に関わる情報
(以下、UIリクエスト情報と記する)を送信するUI
リクエスト情報送信手段707を備えている。プロキシ
装置703は、前記UIリクエスト情報を受けるUIリ
クエスト情報受信手段708と、利用機702における
ユーザインタフェースの形成と動作に関わる情報(以
下、UI情報と記する)を送信するUI情報送信手段7
09とを備えている。また、利用機702は、前記UI
情報を受けるUI情報受信手段710と、ユーザインタ
フェースの形成及び動作の処理を行うUI実行手段71
1とを備えている。
ユーザもしくはアプリケーションが求めるユーザインタ
フェース(以下、適宜UIと略記する)に関わる情報
(以下、UIリクエスト情報と記する)を送信するUI
リクエスト情報送信手段707を備えている。プロキシ
装置703は、前記UIリクエスト情報を受けるUIリ
クエスト情報受信手段708と、利用機702における
ユーザインタフェースの形成と動作に関わる情報(以
下、UI情報と記する)を送信するUI情報送信手段7
09とを備えている。また、利用機702は、前記UI
情報を受けるUI情報受信手段710と、ユーザインタ
フェースの形成及び動作の処理を行うUI実行手段71
1とを備えている。
【0121】ICカード701は、UIリクエスト情報
送信手段707を用いてUIリクエスト情報をICカー
ドリーダライタ706を介して利用機702に渡し、さ
らに利用機702により計算機ネットワーク705を介
してプロキシ装置703のUIリクエスト情報受信手段
708に渡す。プロキシ装置703は、UI情報送信手
段709を用いて、受信したUIリクエスト情報に基づ
いて生成したUI情報を計算機ネットワーク705を介
して利用機702のUI情報受信手段710に渡す。
送信手段707を用いてUIリクエスト情報をICカー
ドリーダライタ706を介して利用機702に渡し、さ
らに利用機702により計算機ネットワーク705を介
してプロキシ装置703のUIリクエスト情報受信手段
708に渡す。プロキシ装置703は、UI情報送信手
段709を用いて、受信したUIリクエスト情報に基づ
いて生成したUI情報を計算機ネットワーク705を介
して利用機702のUI情報受信手段710に渡す。
【0122】図8は本実施形態におけるUI制御処理の
流れを示したフローチャートであり、図7と合わせて以
下その動作を説明する。ICカード702に搭載したア
プリケーションが利用機702を通じてユーザとインタ
ラクション(入出力の受け答え)を取る場合、まずIC
カード702はどのようなUIを必要とするのかを情報
化したUIリクエスト情報を生成する(ステップ80
1)。次いで、UIリクエスト情報送信手段707が前
記のUIリクエスト情報を、利用機702を介してプロ
キシ装置703に送信する(ステップ802)。
流れを示したフローチャートであり、図7と合わせて以
下その動作を説明する。ICカード702に搭載したア
プリケーションが利用機702を通じてユーザとインタ
ラクション(入出力の受け答え)を取る場合、まずIC
カード702はどのようなUIを必要とするのかを情報
化したUIリクエスト情報を生成する(ステップ80
1)。次いで、UIリクエスト情報送信手段707が前
記のUIリクエスト情報を、利用機702を介してプロ
キシ装置703に送信する(ステップ802)。
【0123】そして、プロキシ装置703のUIリクエ
スト情報受信手段708がUIリクエスト情報を受け取
り(ステップ803)、このUIリクエスト情報を用い
て利用機におけるUI形成と動作に関わるUI情報を生
成し(ステップ804)、UI情報送信手段709が利
用機702に送信する(ステップ805)。
スト情報受信手段708がUIリクエスト情報を受け取
り(ステップ803)、このUIリクエスト情報を用い
て利用機におけるUI形成と動作に関わるUI情報を生
成し(ステップ804)、UI情報送信手段709が利
用機702に送信する(ステップ805)。
【0124】次に、利用機702のUI情報受信手段7
10がプロキシ装置703からUI情報を受信し(ステ
ップ806)、このUI情報を用いてUI実行のための
詳細な情報を生成する(ステップ807)。そして、利
用機702が持つ画面装置、キー入力装置、ポインティ
ング装置等のハードウェアを駆動してUIを実行する
(ステップ808)。
10がプロキシ装置703からUI情報を受信し(ステ
ップ806)、このUI情報を用いてUI実行のための
詳細な情報を生成する(ステップ807)。そして、利
用機702が持つ画面装置、キー入力装置、ポインティ
ング装置等のハードウェアを駆動してUIを実行する
(ステップ808)。
【0125】その後、利用機702上のUIによる入出
力を反映させながら、ICカード701のアプリケーシ
ョンはリモートホスト704からサービスを受ける。そ
の際、リモートホスト704との通信はプロキシ装置7
03を介しても良いし、利用機702が直接行っても良
い。また、ICカード701のアプリケーションが使用
するサービスがプロキシ装置703までで閉じている場
合は、リモートホスト704は構成要素に含める必要は
ない。
力を反映させながら、ICカード701のアプリケーシ
ョンはリモートホスト704からサービスを受ける。そ
の際、リモートホスト704との通信はプロキシ装置7
03を介しても良いし、利用機702が直接行っても良
い。また、ICカード701のアプリケーションが使用
するサービスがプロキシ装置703までで閉じている場
合は、リモートホスト704は構成要素に含める必要は
ない。
【0126】このように、本実施形態では、ICカード
701が発するUIリクエスト情報から、プロキシ装置
703内でUI情報を生成して利用機702に送り、利
用機702では受信したUI情報からUIを形成し実行
することにより、ICカードユーザは適切なUIを利用
機上で使用できる。その際、UIリクエスト情報を送る
ことでICカード701に収めることのできない大容量
の情報をUI情報に含むことが可能となり、その実用的
効果は大きい。
701が発するUIリクエスト情報から、プロキシ装置
703内でUI情報を生成して利用機702に送り、利
用機702では受信したUI情報からUIを形成し実行
することにより、ICカードユーザは適切なUIを利用
機上で使用できる。その際、UIリクエスト情報を送る
ことでICカード701に収めることのできない大容量
の情報をUI情報に含むことが可能となり、その実用的
効果は大きい。
【0127】[第10実施形態]第10実施形態とし
て、前述した第9実施形態におけるUI制御処理の具体
例を示す。ICカードシステムの構成と処理の流れは第
9実施形態と同様である。図9はICカードシステムに
おけるUIリクエスト情報及びUI情報のデータ構造、
並びにUI実行結果の一例を示す動作説明図である。
て、前述した第9実施形態におけるUI制御処理の具体
例を示す。ICカードシステムの構成と処理の流れは第
9実施形態と同様である。図9はICカードシステムに
おけるUIリクエスト情報及びUI情報のデータ構造、
並びにUI実行結果の一例を示す動作説明図である。
【0128】図9(A)に示すように、ICカード70
1のUIリクエスト情報送信手段707が発するUIリ
クエスト情報901は、表示位置情報902、文字属性
情報903及び文字列情報904からなり、文字列情報
904は文字列を構成する文字コードの配列を有し、最
後の配列要素に終端記号を格納する。なお、文字列情報
904は終端記号の代わりに文字列配列の先頭もしくは
それ以前に文字数を格納したデータ構造を採っても良
い。
1のUIリクエスト情報送信手段707が発するUIリ
クエスト情報901は、表示位置情報902、文字属性
情報903及び文字列情報904からなり、文字列情報
904は文字列を構成する文字コードの配列を有し、最
後の配列要素に終端記号を格納する。なお、文字列情報
904は終端記号の代わりに文字列配列の先頭もしくは
それ以前に文字数を格納したデータ構造を採っても良
い。
【0129】図9(B)に示すように、プロキシ装置7
03のUI情報送信手段709が発するUI情報905
は、表示位置情報906及び画像イメージ情報907か
らなる。また、図9(C)はUI情報905に基づいて
利用機702において実行されるUI実行結果908を
示したものである。液晶表示パネル(LCD)等からな
る表示画面装置909内に表示されるウィンドウ領域9
10において、文字列画像911が表示されている。こ
こで、符号912及び913は文字列画像911の表示
位置であり、それぞれウィンドウ領域910の左端及び
上端からの距離を用いて表される。なお、表示位置の取
り方は他にも様々な方法があり、どの方法を用いても良
い。
03のUI情報送信手段709が発するUI情報905
は、表示位置情報906及び画像イメージ情報907か
らなる。また、図9(C)はUI情報905に基づいて
利用機702において実行されるUI実行結果908を
示したものである。液晶表示パネル(LCD)等からな
る表示画面装置909内に表示されるウィンドウ領域9
10において、文字列画像911が表示されている。こ
こで、符号912及び913は文字列画像911の表示
位置であり、それぞれウィンドウ領域910の左端及び
上端からの距離を用いて表される。なお、表示位置の取
り方は他にも様々な方法があり、どの方法を用いても良
い。
【0130】次に、本実施形態における処理の流れを説
明する。図8で示した処理のステップ801で、ICカ
ード701はUIリクエスト情報901を生成する。文
字列情報904には、ICカード701のアプリケーシ
ョンが利用機702を通じてユーザに見せようとする文
字列の個々の文字コードを格納する。また、表示位置情
報902には文字列を表示させようとする位置を示した
データを格納し、文字属性情報903には文字のフォン
ト、色、大きさ、装飾等、表示内容を決定する際に必要
な情報を格納する。
明する。図8で示した処理のステップ801で、ICカ
ード701はUIリクエスト情報901を生成する。文
字列情報904には、ICカード701のアプリケーシ
ョンが利用機702を通じてユーザに見せようとする文
字列の個々の文字コードを格納する。また、表示位置情
報902には文字列を表示させようとする位置を示した
データを格納し、文字属性情報903には文字のフォン
ト、色、大きさ、装飾等、表示内容を決定する際に必要
な情報を格納する。
【0131】そして、ステップ803でUIリクエスト
情報901を受け取ったプロキシ装置703は、続くス
テップ804で、文字属性情報903と文字列情報90
4及びプロキシ装置が持つ文字フォントデータを用いて
文字列を視覚的に表現した画像イメージ情報907を生
成する。さらに、表示位置情報902を加工もしくはそ
のままのデータ内容で表示位置情報906を生成し、こ
れらの画像イメージ情報907と表示位置情報906と
をまとめてUI情報905を生成する。
情報901を受け取ったプロキシ装置703は、続くス
テップ804で、文字属性情報903と文字列情報90
4及びプロキシ装置が持つ文字フォントデータを用いて
文字列を視覚的に表現した画像イメージ情報907を生
成する。さらに、表示位置情報902を加工もしくはそ
のままのデータ内容で表示位置情報906を生成し、こ
れらの画像イメージ情報907と表示位置情報906と
をまとめてUI情報905を生成する。
【0132】次に、ステップ806でUI情報905を
受け取った利用機702は、続くステップ807で、表
示位置情報906及び画像イメージ情報907を取り出
し、必要であれば利用機702自身のハードウェア及び
ソフトウェアの条件に適合したデータ内容に変換する。
その後、ステップ807で利用機702の表示画面装置
909内のウィンドウ領域910に、表示位置912、
913にて文字列画像911を表示する。
受け取った利用機702は、続くステップ807で、表
示位置情報906及び画像イメージ情報907を取り出
し、必要であれば利用機702自身のハードウェア及び
ソフトウェアの条件に適合したデータ内容に変換する。
その後、ステップ807で利用機702の表示画面装置
909内のウィンドウ領域910に、表示位置912、
913にて文字列画像911を表示する。
【0133】なお、本実施形態では、UI情報905に
含まれる画像イメージ情報907を、文字列全体を表現
した単一の画像データで構成する例を示したが、画像イ
メージ情報907を細分化して個々の文字に対応した画
像データを複数格納する方法においても同様に実施可能
である。また、UIリクエスト情報901に含まれる文
字列情報904には、終端記号だけでなく改行等の文字
列制御情報を含むこともでき、その場合UI情報生成時
もしくはUI実行時に制御情報に対応した処理を行うこ
とで各種文字列制御が実施可能である。
含まれる画像イメージ情報907を、文字列全体を表現
した単一の画像データで構成する例を示したが、画像イ
メージ情報907を細分化して個々の文字に対応した画
像データを複数格納する方法においても同様に実施可能
である。また、UIリクエスト情報901に含まれる文
字列情報904には、終端記号だけでなく改行等の文字
列制御情報を含むこともでき、その場合UI情報生成時
もしくはUI実行時に制御情報に対応した処理を行うこ
とで各種文字列制御が実施可能である。
【0134】また、UI情報905の生成及び受け渡し
以前に、プロキシ装置703が利用機702に対して、
使用しようとするフォントデータを持っているかどうか
を問い合わせ、持っていない場合は上記のように画像デ
ータとして送り、既に持っている場合は文字コードを送
る、という方法も実施可能である。また、本実施形態で
は利用機702のUI実行手段711として表示画面装
置909を適用した例で説明したが、その他プリンタな
どの印刷装置等についても同様に実施可能である。
以前に、プロキシ装置703が利用機702に対して、
使用しようとするフォントデータを持っているかどうか
を問い合わせ、持っていない場合は上記のように画像デ
ータとして送り、既に持っている場合は文字コードを送
る、という方法も実施可能である。また、本実施形態で
は利用機702のUI実行手段711として表示画面装
置909を適用した例で説明したが、その他プリンタな
どの印刷装置等についても同様に実施可能である。
【0135】このように、本実施形態では、UIリクエ
スト情報901に文字コードを含め、UI情報905に
文字コードに対応した画像イメージを含めることによ
り、利用機702が持っていない文字フォントによる文
字情報であっても、ICカード701からのリクエスト
により使用可能となる。さらにICカード701にフォ
ントデータを置くことなく実現することができるので、
ICカード701において大量の文字情報を格納してお
く必要がなく、データ記憶容量を削減でき、その実用的
効果は大きい。
スト情報901に文字コードを含め、UI情報905に
文字コードに対応した画像イメージを含めることによ
り、利用機702が持っていない文字フォントによる文
字情報であっても、ICカード701からのリクエスト
により使用可能となる。さらにICカード701にフォ
ントデータを置くことなく実現することができるので、
ICカード701において大量の文字情報を格納してお
く必要がなく、データ記憶容量を削減でき、その実用的
効果は大きい。
【0136】[第11実施形態]第11実施形態とし
て、前述した第9実施形態におけるUI制御処理の第1
の変形例を示す。ICカードシステムの構成と処理の流
れは第9実施形態と同様である。第11実施形態では、
UI情報には、利用機702のハードウェアを利用して
ユーザインタフェースとして動作させるためのプログラ
ム情報を適用し、UIリクエスト情報には前記のプログ
ラムが実行時に使用するパラメータ情報を適用する。U
I情報にはプログラム情報の他に任意のデータ情報を含
むこともでき、また、UIリクエスト情報によって前記
データ情報もしくはプログラム情報自体を動的に生成し
ても良い。
て、前述した第9実施形態におけるUI制御処理の第1
の変形例を示す。ICカードシステムの構成と処理の流
れは第9実施形態と同様である。第11実施形態では、
UI情報には、利用機702のハードウェアを利用して
ユーザインタフェースとして動作させるためのプログラ
ム情報を適用し、UIリクエスト情報には前記のプログ
ラムが実行時に使用するパラメータ情報を適用する。U
I情報にはプログラム情報の他に任意のデータ情報を含
むこともでき、また、UIリクエスト情報によって前記
データ情報もしくはプログラム情報自体を動的に生成し
ても良い。
【0137】本実施形態の場合、図8のフローチャート
においては、ステップ806で利用機702に渡された
UI情報は、ステップ808でUI実行手段711によ
ってプログラムとして解釈され、実行される。
においては、ステップ806で利用機702に渡された
UI情報は、ステップ808でUI実行手段711によ
ってプログラムとして解釈され、実行される。
【0138】ここで、UIリクエスト情報を、利用機7
01の表示画面装置上に表示する文字、ボタン、入力領
域等のユーザインタフェース部品の情報から構成し、U
I情報をこれらのユーザインタフェース部品を配置し駆
動するプログラムとすることにより、ICカード701
のアプリケーションが意図する様々なユーザインタフェ
ースを利用機702上で実行することができる。プログ
ラムの構成は、利用機702のハードウェアに依存した
機械語コードを用いるか、もしくは利用機702に特定
の言語のインタプリタもしくはプログラムを実行する仮
想マシンを搭載し、それらの上で動作するプログラムコ
ードを適用する。
01の表示画面装置上に表示する文字、ボタン、入力領
域等のユーザインタフェース部品の情報から構成し、U
I情報をこれらのユーザインタフェース部品を配置し駆
動するプログラムとすることにより、ICカード701
のアプリケーションが意図する様々なユーザインタフェ
ースを利用機702上で実行することができる。プログ
ラムの構成は、利用機702のハードウェアに依存した
機械語コードを用いるか、もしくは利用機702に特定
の言語のインタプリタもしくはプログラムを実行する仮
想マシンを搭載し、それらの上で動作するプログラムコ
ードを適用する。
【0139】このように、第11実施形態によれば、U
I情報としてプログラム情報を適用することにより、利
用機702上で柔軟なユーザインタフェースを実行する
ことができ、その実用的効果は大きい。
I情報としてプログラム情報を適用することにより、利
用機702上で柔軟なユーザインタフェースを実行する
ことができ、その実用的効果は大きい。
【0140】[第12実施形態]第12実施形態とし
て、前述した第9実施形態におけるUI制御処理の第2
の変形例を示す。ICカードシステムの構成と処理の流
れは第9実施形態と同様である。また、UI情報として
プログラム情報を適用する点において第11実施形態と
同様である。
て、前述した第9実施形態におけるUI制御処理の第2
の変形例を示す。ICカードシステムの構成と処理の流
れは第9実施形態と同様である。また、UI情報として
プログラム情報を適用する点において第11実施形態と
同様である。
【0141】第12実施形態では、図8のフローチャー
トにおけるステップ804でUI情報を生成する前に、
プロキシ装置703が保持する利用機702に関する情
報を用いるか、もしくはプロキシ装置703が利用機7
02に問い合わせを行うことによって利用機702の構
成等の情報を獲得し、それに基づいてUI情報に含まれ
るプログラムの内容を異なるものにする。
トにおけるステップ804でUI情報を生成する前に、
プロキシ装置703が保持する利用機702に関する情
報を用いるか、もしくはプロキシ装置703が利用機7
02に問い合わせを行うことによって利用機702の構
成等の情報を獲得し、それに基づいてUI情報に含まれ
るプログラムの内容を異なるものにする。
【0142】例えば、利用機702が持つ表示画面装置
の大きさや解像度に応じて、ユーザインタフェース部品
の配置や大きさを変更したり、入力装置の種類によって
異なるユーザインタフェース部品を配置したりすること
ができる。
の大きさや解像度に応じて、ユーザインタフェース部品
の配置や大きさを変更したり、入力装置の種類によって
異なるユーザインタフェース部品を配置したりすること
ができる。
【0143】このように、第12実施形態によれば、U
I情報として用いるプログラム情報を利用機702の条
件に基づいて異なるものにすることにより、利用機70
2が様々な種類の構成要素からの選択により構成される
場合でも適切なユーザインタフェースを得ることが可能
となり、その実用的効果は大きい。
I情報として用いるプログラム情報を利用機702の条
件に基づいて異なるものにすることにより、利用機70
2が様々な種類の構成要素からの選択により構成される
場合でも適切なユーザインタフェースを得ることが可能
となり、その実用的効果は大きい。
【0144】[第13実施形態]図10は本発明の第1
3実施形態に係るICカードシステムの構成を示すブロ
ック図である。第13実施形態は、第1実施形態と同様
に、ICカード1001、利用機1002、プロキシ装
置1003、リモートホスト1004を有して構成さ
れ、利用機1002とプロキシ装置1003、及びプロ
キシ装置1003とリモートホスト1004はそれぞれ
計算機ネットワーク1005を介して接続される。利用
機1002はICカードリーダライタ1006を具備し
ている。これら各構成装置の基本的な構成と関係は図1
の第1実施形態と同様である。
3実施形態に係るICカードシステムの構成を示すブロ
ック図である。第13実施形態は、第1実施形態と同様
に、ICカード1001、利用機1002、プロキシ装
置1003、リモートホスト1004を有して構成さ
れ、利用機1002とプロキシ装置1003、及びプロ
キシ装置1003とリモートホスト1004はそれぞれ
計算機ネットワーク1005を介して接続される。利用
機1002はICカードリーダライタ1006を具備し
ている。これら各構成装置の基本的な構成と関係は図1
の第1実施形態と同様である。
【0145】ICカード1001は、利用機1002と
通信を行って利用機1002の認証と識別を行う利用機
認証手段1007と、利用機認証手段1007の動作結
果を基に利用機1002の信頼度がいかなるものである
かの評価を行う利用機評価手段1008と、暗号化処理
を行う暗号処理手段1009とを備えている。
通信を行って利用機1002の認証と識別を行う利用機
認証手段1007と、利用機認証手段1007の動作結
果を基に利用機1002の信頼度がいかなるものである
かの評価を行う利用機評価手段1008と、暗号化処理
を行う暗号処理手段1009とを備えている。
【0146】また、プロキシ装置1003は、ICカー
ド1001に対応して、暗号化処理を行う暗号処理手段
1010と、利用機1002の信頼度評価を行う利用機
評価手段1011とを備えている。ICカード1001
の暗号処理手段1009とプロキシ装置1003の暗号
処理手段1010は対になって情報秘匿を行い、両者間
にセキュアパス1012を形成する。セキュアパス10
12形成についての処理手順は第5実施形態と同様であ
り、詳細説明は省略する。
ド1001に対応して、暗号化処理を行う暗号処理手段
1010と、利用機1002の信頼度評価を行う利用機
評価手段1011とを備えている。ICカード1001
の暗号処理手段1009とプロキシ装置1003の暗号
処理手段1010は対になって情報秘匿を行い、両者間
にセキュアパス1012を形成する。セキュアパス10
12形成についての処理手順は第5実施形態と同様であ
り、詳細説明は省略する。
【0147】図11は本実施形態における利用機の信頼
度評価処理の流れを示したフローチャートであり、図1
0と合わせて以下その動作を説明する。ここでは、IC
カード1001とプロキシ装置1003が利用機100
2の信頼度評価結果を共有する場合の処理を例示する。
度評価処理の流れを示したフローチャートであり、図1
0と合わせて以下その動作を説明する。ここでは、IC
カード1001とプロキシ装置1003が利用機100
2の信頼度評価結果を共有する場合の処理を例示する。
【0148】まず、ICカード1001の利用機認証手
段1007が利用機1002の認証もしくは識別を行
い、利用機1002が何者であるかを特定する(ステッ
プ1101)。その際、利用機1002の固有情報を得
てICカード1001が保持する情報と照らし合わせて
認証を行う方法、またはICカード1001と利用機1
002の間で通信を行い、パスワード情報等をやり取り
して認証を行う方法等が挙げられるが、基本的に識別及
び認証の方法には依存するものではない。既知の技術を
もって利用機の識別及び認証を実施可能である。
段1007が利用機1002の認証もしくは識別を行
い、利用機1002が何者であるかを特定する(ステッ
プ1101)。その際、利用機1002の固有情報を得
てICカード1001が保持する情報と照らし合わせて
認証を行う方法、またはICカード1001と利用機1
002の間で通信を行い、パスワード情報等をやり取り
して認証を行う方法等が挙げられるが、基本的に識別及
び認証の方法には依存するものではない。既知の技術を
もって利用機の識別及び認証を実施可能である。
【0149】そして、利用機認証結果を基に、利用機評
価手段1008が利用機の信頼度を評価し、利用機10
02が予め定めたセキュリティポリシ上の分類に基づい
てどの程度の信頼度であるのかを算出する(ステップ1
003)。例えば、利用機の信頼度のカテゴリを3段階
に分け、「完全に安全」「ほぼ安全」「安全でない」と
評価する例で考えると、利用機評価手段1008はこの
3つの状態を数値等の識別可能なデータをもって利用機
評価結果とする。さらに具体的な細分化の例として、
「利用機運用者による不正行為の可能性」「通りがかり
の人間による不正行為の可能性」「ネットワーク経由の
不正行為の可能性」をそれぞれ予測して、各項目の有無
のマトリクスにより利用機を細かいカテゴリに分類する
方法が挙げられる。この場合、それぞれの不正行為の可
能性有無によって、いかなる脅威が存在するかを想定す
ることが可能であり、その想定を基にセキュリティポリ
シを立てれば良い。
価手段1008が利用機の信頼度を評価し、利用機10
02が予め定めたセキュリティポリシ上の分類に基づい
てどの程度の信頼度であるのかを算出する(ステップ1
003)。例えば、利用機の信頼度のカテゴリを3段階
に分け、「完全に安全」「ほぼ安全」「安全でない」と
評価する例で考えると、利用機評価手段1008はこの
3つの状態を数値等の識別可能なデータをもって利用機
評価結果とする。さらに具体的な細分化の例として、
「利用機運用者による不正行為の可能性」「通りがかり
の人間による不正行為の可能性」「ネットワーク経由の
不正行為の可能性」をそれぞれ予測して、各項目の有無
のマトリクスにより利用機を細かいカテゴリに分類する
方法が挙げられる。この場合、それぞれの不正行為の可
能性有無によって、いかなる脅威が存在するかを想定す
ることが可能であり、その想定を基にセキュリティポリ
シを立てれば良い。
【0150】次に、セキュアパス1012を用いて、I
Cカード1001はプロキシ装置1003に利用機評価
結果を渡し(ステップ1104)、プロキシ装置100
3が持つ利用機評価手段1011がこれを受けて、IC
カード1001が持つ利用機評価手段1008と利用機
1002の信頼度評価結果を共有する。その後、プロキ
シ装置1003は信頼度評価結果に基づいて予め定めた
規則に従って通信内容等を設定し、利用機1002との
通信を行う。同様にリモートホスト1004との通信も
行うが、本実施形態においては必ずしもリモートホスト
1004は必要としない。なお、利用機評価手段100
8が獲得する利用機評価結果のデータは、上記の例に限
らず様々な形態で実施しうる。
Cカード1001はプロキシ装置1003に利用機評価
結果を渡し(ステップ1104)、プロキシ装置100
3が持つ利用機評価手段1011がこれを受けて、IC
カード1001が持つ利用機評価手段1008と利用機
1002の信頼度評価結果を共有する。その後、プロキ
シ装置1003は信頼度評価結果に基づいて予め定めた
規則に従って通信内容等を設定し、利用機1002との
通信を行う。同様にリモートホスト1004との通信も
行うが、本実施形態においては必ずしもリモートホスト
1004は必要としない。なお、利用機評価手段100
8が獲得する利用機評価結果のデータは、上記の例に限
らず様々な形態で実施しうる。
【0151】このように、第13実施形態では、利用機
1002を認証もしくは識別した結果から利用機100
2の信頼度を評価し、その結果をICカード1001か
らプロキシ装置1003にセキュアパス1012を介し
て渡すことにより、利用機1002の信頼度をICカー
ド1001とプロキシ装置1003の両者が共有するこ
とができ、利用機1002やリモートホスト1004に
対するその後の通信に反映させることができる。これは
主に、ICカード1001もしくはプロキシ装置100
3が、不用意に渡してはならない情報を利用機1002
に漏らしてしまうことを防止する作用に反映させること
ができ、信頼度に応じたセキュリティを確保した適切な
情報の送受信が可能となり、その実用的効果は大きい。
1002を認証もしくは識別した結果から利用機100
2の信頼度を評価し、その結果をICカード1001か
らプロキシ装置1003にセキュアパス1012を介し
て渡すことにより、利用機1002の信頼度をICカー
ド1001とプロキシ装置1003の両者が共有するこ
とができ、利用機1002やリモートホスト1004に
対するその後の通信に反映させることができる。これは
主に、ICカード1001もしくはプロキシ装置100
3が、不用意に渡してはならない情報を利用機1002
に漏らしてしまうことを防止する作用に反映させること
ができ、信頼度に応じたセキュリティを確保した適切な
情報の送受信が可能となり、その実用的効果は大きい。
【0152】[第14実施形態]図12は本発明の第1
4実施形態に係るICカードシステムの構成を示すブロ
ック図である。第14実施形態は第13実施形態の変形
例であり、プロキシ装置側に利用機認証手段等を設けた
ものである。図12の各構成要素において、符号120
1〜1206は図10における1001〜1006に、
符号1209〜1211は図10における1009〜1
011にそれぞれ対応している。
4実施形態に係るICカードシステムの構成を示すブロ
ック図である。第14実施形態は第13実施形態の変形
例であり、プロキシ装置側に利用機認証手段等を設けた
ものである。図12の各構成要素において、符号120
1〜1206は図10における1001〜1006に、
符号1209〜1211は図10における1009〜1
011にそれぞれ対応している。
【0153】第13実施形態と異なるのは、プロキシ装
置1203に利用機認証手段1207と利用機評価手段
1208が設けられることであり、利用機認証結果共有
時のデータの流れが第13実施形態と逆方向になる。図
13は本実施形態における利用機の信頼度評価処理の流
れを示したフローチャートである。この図13のステッ
プ1301〜1304において、ICカードと利用機の
役割が入れ替わる他は、図11のステップ1101〜1
104と処理手順は同様である。
置1203に利用機認証手段1207と利用機評価手段
1208が設けられることであり、利用機認証結果共有
時のデータの流れが第13実施形態と逆方向になる。図
13は本実施形態における利用機の信頼度評価処理の流
れを示したフローチャートである。この図13のステッ
プ1301〜1304において、ICカードと利用機の
役割が入れ替わる他は、図11のステップ1101〜1
104と処理手順は同様である。
【0154】このように、プロキシ装置1203が利用
機1202を認証、識別し、信頼度の評価結果をICカ
ード1201に渡すことにより、第13実施形態と同様
に、信頼度の情報をプロキシ装置とICカードで共有す
ることが可能となる。ただし、第14実施形態において
はプロキシ装置1203が利用機1202を認証するこ
とができ、ICカード1201が認証する場合と比較し
て強力かつ綿密な認証、識別及び信頼度評価が可能とな
るため、より一層セキュリティの強化を図ることがで
き、その実用的効果は大きい。
機1202を認証、識別し、信頼度の評価結果をICカ
ード1201に渡すことにより、第13実施形態と同様
に、信頼度の情報をプロキシ装置とICカードで共有す
ることが可能となる。ただし、第14実施形態において
はプロキシ装置1203が利用機1202を認証するこ
とができ、ICカード1201が認証する場合と比較し
て強力かつ綿密な認証、識別及び信頼度評価が可能とな
るため、より一層セキュリティの強化を図ることがで
き、その実用的効果は大きい。
【0155】[第15実施形態]第15実施形態は、第
14実施形態のさらなる変形例を示したものである。I
Cカードシステムの構成及び処理の流れはそれぞれ図1
2及び図13と同様である。第15実施形態では、プロ
キシ装置1203の利用機認証手段1207がステップ
1301で利用機1202を認証する際に、計算機ネッ
トワーク1205における利用機1202の固有情報を
用いる。例えば、計算機ネットワーク1205がインタ
ーネット等のTCP/IPを通信プロトコルとして用い
るネットワークの場合、前記固有情報としてIPアドレ
スが利用できる。利用機認証手段1207は、利用機1
202のIPアドレスを元に認証、識別を行う。
14実施形態のさらなる変形例を示したものである。I
Cカードシステムの構成及び処理の流れはそれぞれ図1
2及び図13と同様である。第15実施形態では、プロ
キシ装置1203の利用機認証手段1207がステップ
1301で利用機1202を認証する際に、計算機ネッ
トワーク1205における利用機1202の固有情報を
用いる。例えば、計算機ネットワーク1205がインタ
ーネット等のTCP/IPを通信プロトコルとして用い
るネットワークの場合、前記固有情報としてIPアドレ
スが利用できる。利用機認証手段1207は、利用機1
202のIPアドレスを元に認証、識別を行う。
【0156】このように、第15実施形態では、計算機
ネットワーク1205に関連する利用機1202の固有
情報を用いることにより、利用機の認証や識別が容易に
かつ確実にでき、所望のセキュリティを確保したICカ
ードシステムの運用が簡便に実現可能であるため、その
実用的効果は大きい。
ネットワーク1205に関連する利用機1202の固有
情報を用いることにより、利用機の認証や識別が容易に
かつ確実にでき、所望のセキュリティを確保したICカ
ードシステムの運用が簡便に実現可能であるため、その
実用的効果は大きい。
【0157】[第16実施形態]図14は本発明の第1
6実施形態に係るICカードシステムの構成を示すブロ
ック図である。第16実施形態は、前述した第13実施
形態に要素を追加した形で構成される。
6実施形態に係るICカードシステムの構成を示すブロ
ック図である。第16実施形態は、前述した第13実施
形態に要素を追加した形で構成される。
【0158】すなわち、第13実施形態と同様に、IC
カード1401、利用機1402、プロキシ装置140
3、リモートホスト1404を有して構成され、利用機
1402とプロキシ装置1403、及びプロキシ装置1
403とリモートホスト1404はそれぞれ計算機ネッ
トワーク1405を介して接続される。そして、ICカ
ード1401は利用機認証手段1407、利用機評価手
段1408及び暗号処理手段1409を備え、プロキシ
装置1403は利用機認証手段1412、利用機評価手
段1413及び暗号処理手段1410を備えており、暗
号処理手段1409と1410との間でセキュアパス1
411を形成する。なお、図に示した例では利用機認証
手段は1407と1412の2つが存在するが、これら
は少なくとも片方が備えられていれば良い。
カード1401、利用機1402、プロキシ装置140
3、リモートホスト1404を有して構成され、利用機
1402とプロキシ装置1403、及びプロキシ装置1
403とリモートホスト1404はそれぞれ計算機ネッ
トワーク1405を介して接続される。そして、ICカ
ード1401は利用機認証手段1407、利用機評価手
段1408及び暗号処理手段1409を備え、プロキシ
装置1403は利用機認証手段1412、利用機評価手
段1413及び暗号処理手段1410を備えており、暗
号処理手段1409と1410との間でセキュアパス1
411を形成する。なお、図に示した例では利用機認証
手段は1407と1412の2つが存在するが、これら
は少なくとも片方が備えられていれば良い。
【0159】また、ICカード1401は送信情報制御
手段1414を備え、この送信情報制御手段1414に
より、利用機評価手段1408の動作結果を基にしてI
Cカード1401から利用機1402に送信するデータ
内容を制御する。すなわち、利用機1402の信頼度の
高低に応じて、もしくは第13実施形態で示したように
信頼度の要素がマトリクス上に細分化されている場合は
個々のセキュリティポリシに照らして、適切なデータを
送信する。その最も単純な例は、利用機評価結果を「信
頼できる」「信頼できない」の2値とし、「信頼できな
い」場合には「機密」に分類されたデータを一切送信し
ないことである。
手段1414を備え、この送信情報制御手段1414に
より、利用機評価手段1408の動作結果を基にしてI
Cカード1401から利用機1402に送信するデータ
内容を制御する。すなわち、利用機1402の信頼度の
高低に応じて、もしくは第13実施形態で示したように
信頼度の要素がマトリクス上に細分化されている場合は
個々のセキュリティポリシに照らして、適切なデータを
送信する。その最も単純な例は、利用機評価結果を「信
頼できる」「信頼できない」の2値とし、「信頼できな
い」場合には「機密」に分類されたデータを一切送信し
ないことである。
【0160】このように、第16実施形態では、ICカ
ード1401の利用機評価手段1408の動作結果を用
いて送信情報制御手段1414が利用機1402の信頼
度に応じたデータを送信することにより、柔軟かつ強力
なセキュリティを得ることができ、その実用的効果は大
きい。この場合、ICカード側で信頼度を判断して送信
データの内容を制御することが可能である。
ード1401の利用機評価手段1408の動作結果を用
いて送信情報制御手段1414が利用機1402の信頼
度に応じたデータを送信することにより、柔軟かつ強力
なセキュリティを得ることができ、その実用的効果は大
きい。この場合、ICカード側で信頼度を判断して送信
データの内容を制御することが可能である。
【0161】[第17実施形態]第17実施形態は前述
した第16実施形態の送信情報制御に関する第1の例で
あり、ICカードシステムの構成は図14と同様であ
る。第17実施形態では、利用機評価手段1408の動
作結果を基に利用機1402の信頼度の高低を評価した
結果が「信頼できない」と判断される場合に、ICカー
ド1401のアプリケーションが利用機1402に送信
しようとしていたデータについて、送信前に送信情報制
御手段1414が処理し、セキュリティポリシ上利用機
1402に対して漏らすべきでない情報を削除する。こ
れにより、利用機1402毎の信頼度に応じた情報秘匿
が可能となる。なお、信頼度評価結果を多値とし、各々
の信頼度の値に従って異なる方法でデータから情報の一
部もしくは全部を削除する方法でも同様に実施可能であ
る。
した第16実施形態の送信情報制御に関する第1の例で
あり、ICカードシステムの構成は図14と同様であ
る。第17実施形態では、利用機評価手段1408の動
作結果を基に利用機1402の信頼度の高低を評価した
結果が「信頼できない」と判断される場合に、ICカー
ド1401のアプリケーションが利用機1402に送信
しようとしていたデータについて、送信前に送信情報制
御手段1414が処理し、セキュリティポリシ上利用機
1402に対して漏らすべきでない情報を削除する。こ
れにより、利用機1402毎の信頼度に応じた情報秘匿
が可能となる。なお、信頼度評価結果を多値とし、各々
の信頼度の値に従って異なる方法でデータから情報の一
部もしくは全部を削除する方法でも同様に実施可能であ
る。
【0162】[第18実施形態]第18実施形態は前述
した第16実施形態の送信情報制御に関する第2の例で
あり、ICカードシステムの構成は図14と同様であ
る。第18実施形態では、送信情報制御手段1414
は、ICカード1401が保持する機密情報を送信前に
チェックし、利用機評価手段1408が利用機1402
を「信頼できない」と判断した場合には、機密情報を送
信データから削除もしくは他のデータに変更する。これ
により、ICカード1401が保持する機密情報の秘匿
を利用機1402毎の信頼度に応じて行うことが可能と
なる。
した第16実施形態の送信情報制御に関する第2の例で
あり、ICカードシステムの構成は図14と同様であ
る。第18実施形態では、送信情報制御手段1414
は、ICカード1401が保持する機密情報を送信前に
チェックし、利用機評価手段1408が利用機1402
を「信頼できない」と判断した場合には、機密情報を送
信データから削除もしくは他のデータに変更する。これ
により、ICカード1401が保持する機密情報の秘匿
を利用機1402毎の信頼度に応じて行うことが可能と
なる。
【0163】[第19実施形態]第19実施形態は前述
した第16実施形態の送信情報制御に関する第3の例で
あり、ICカードシステムの構成は図14と同様であ
る。第19実施形態では、送信情報制御手段1414
は、ICカード1401が保持するICカード1401
のユーザのプライバシに関わる情報を送信前にチェック
し、利用機評価手段1408が利用機1402を「信頼
できない」と判断した場合には、プライバシ情報を送信
データから削除もしくは他のデータに変更する。これに
より、ICカード1401が保持するプライバシ情報の
秘匿を利用機1402毎の信頼度に応じて行うことが可
能となる。
した第16実施形態の送信情報制御に関する第3の例で
あり、ICカードシステムの構成は図14と同様であ
る。第19実施形態では、送信情報制御手段1414
は、ICカード1401が保持するICカード1401
のユーザのプライバシに関わる情報を送信前にチェック
し、利用機評価手段1408が利用機1402を「信頼
できない」と判断した場合には、プライバシ情報を送信
データから削除もしくは他のデータに変更する。これに
より、ICカード1401が保持するプライバシ情報の
秘匿を利用機1402毎の信頼度に応じて行うことが可
能となる。
【0164】[第20実施形態]図15は本発明の第2
0実施形態に係るICカードシステムの構成を示すブロ
ック図である。第20実施形態は、前述した第14実施
形態に要素を追加した形で構成される。
0実施形態に係るICカードシステムの構成を示すブロ
ック図である。第20実施形態は、前述した第14実施
形態に要素を追加した形で構成される。
【0165】すなわち、第14実施形態と同様に、IC
カード1501、利用機1502、プロキシ装置150
3、リモートホスト1504を有して構成され、利用機
1502とプロキシ装置1503、及びプロキシ装置1
503とリモートホスト1504はそれぞれ計算機ネッ
トワーク1505を介して接続される。そして、ICカ
ード1501は利用機認証手段1507、利用機評価手
段1508及び暗号処理手段1509を備え、プロキシ
装置1503は利用機認証手段1512、利用機評価手
段1513及び暗号処理手段1510を備えており、暗
号処理手段1509と1510との間でセキュアパス1
511を形成する。なお、図に示した例では利用機認証
手段は1507と1512の2つが存在するが、これら
は少なくとも片方が備えられていれば良い。
カード1501、利用機1502、プロキシ装置150
3、リモートホスト1504を有して構成され、利用機
1502とプロキシ装置1503、及びプロキシ装置1
503とリモートホスト1504はそれぞれ計算機ネッ
トワーク1505を介して接続される。そして、ICカ
ード1501は利用機認証手段1507、利用機評価手
段1508及び暗号処理手段1509を備え、プロキシ
装置1503は利用機認証手段1512、利用機評価手
段1513及び暗号処理手段1510を備えており、暗
号処理手段1509と1510との間でセキュアパス1
511を形成する。なお、図に示した例では利用機認証
手段は1507と1512の2つが存在するが、これら
は少なくとも片方が備えられていれば良い。
【0166】この第20実施形態は、第16実施形態と
比較した場合、送信情報制御手段1514をICカード
1501ではなくプロキシ装置1503側に設けた点が
構成上異なる。この送信情報制御手段1514により、
利用機評価手段1513の動作結果を基にしてプロキシ
装置1503から利用機1502に送信するデータ内容
を制御する。すなわち、利用機1502の信頼度の高低
に応じて、セキュリティポリシ上好ましい状態のデータ
を送信する。
比較した場合、送信情報制御手段1514をICカード
1501ではなくプロキシ装置1503側に設けた点が
構成上異なる。この送信情報制御手段1514により、
利用機評価手段1513の動作結果を基にしてプロキシ
装置1503から利用機1502に送信するデータ内容
を制御する。すなわち、利用機1502の信頼度の高低
に応じて、セキュリティポリシ上好ましい状態のデータ
を送信する。
【0167】このように、第20実施形態では、第16
実施形態と同様に、プロキシ装置1503の利用機評価
手段1513の動作結果を用いて送信情報制御手段15
14が利用機1502の信頼度に応じたデータを送信す
ることにより、柔軟かつ強力なセキュリティを得ること
ができ、その実用的効果は大きい。この場合、ICカー
ド側で利用機の信頼度がわからなくても、プロキシ装置
側で信頼度を判断して送信データの内容を制御すること
が可能である。
実施形態と同様に、プロキシ装置1503の利用機評価
手段1513の動作結果を用いて送信情報制御手段15
14が利用機1502の信頼度に応じたデータを送信す
ることにより、柔軟かつ強力なセキュリティを得ること
ができ、その実用的効果は大きい。この場合、ICカー
ド側で利用機の信頼度がわからなくても、プロキシ装置
側で信頼度を判断して送信データの内容を制御すること
が可能である。
【0168】[第21実施形態]第21実施形態は前述
した第20実施形態の送信情報制御に関する第1の例で
あり、ICカードシステムの構成は図15と同様であ
る。第21実施形態では、利用機評価手段1513の動
作結果を基に利用機1502の信頼度の高低を評価した
結果が「信頼できない」と判断される場合に、プロキシ
装置1503のアプリケーションが利用機1502に送
信しようとしていたデータについて、送信前に送信情報
制御手段1514が処理し、セキュリティポリシ上利用
機1502に対して漏らすべきでない情報を削除する。
これにより、利用機1502毎の信頼度に応じた情報秘
匿が可能となる。なお、信頼度評価結果を多値とし、各
々の信頼度の値に従って異なる方法でデータから情報の
一部もしくは全部を削除する方法でも同様に実施可能で
ある。
した第20実施形態の送信情報制御に関する第1の例で
あり、ICカードシステムの構成は図15と同様であ
る。第21実施形態では、利用機評価手段1513の動
作結果を基に利用機1502の信頼度の高低を評価した
結果が「信頼できない」と判断される場合に、プロキシ
装置1503のアプリケーションが利用機1502に送
信しようとしていたデータについて、送信前に送信情報
制御手段1514が処理し、セキュリティポリシ上利用
機1502に対して漏らすべきでない情報を削除する。
これにより、利用機1502毎の信頼度に応じた情報秘
匿が可能となる。なお、信頼度評価結果を多値とし、各
々の信頼度の値に従って異なる方法でデータから情報の
一部もしくは全部を削除する方法でも同様に実施可能で
ある。
【0169】[第22実施形態]第22実施形態は前述
した第20実施形態の送信情報制御に関する第2の例で
あり、ICカードシステムの構成は図15と同様であ
る。第22実施形態では、送信情報制御手段1514
は、プロキシ装置1503が保持する機密情報を送信前
にチェックし、利用機評価手段1513が利用機150
2を「信頼できない」と判断した場合には、機密情報を
送信データから削除もしくは他のデータに変更する。こ
れにより、プロキシ装置1503が保持する機密情報の
秘匿を利用機1502毎の信頼度に応じて行うことが可
能となる。
した第20実施形態の送信情報制御に関する第2の例で
あり、ICカードシステムの構成は図15と同様であ
る。第22実施形態では、送信情報制御手段1514
は、プロキシ装置1503が保持する機密情報を送信前
にチェックし、利用機評価手段1513が利用機150
2を「信頼できない」と判断した場合には、機密情報を
送信データから削除もしくは他のデータに変更する。こ
れにより、プロキシ装置1503が保持する機密情報の
秘匿を利用機1502毎の信頼度に応じて行うことが可
能となる。
【0170】[第23実施形態]第23実施形態は前述
した第20実施形態の送信情報制御に関する第3の例で
あり、ICカードシステムの構成は図15と同様であ
る。第23実施形態では、送信情報制御手段1514
は、プロキシ装置1503が保持するICカード150
1のユーザのプライバシに関わる情報を送信前にチェッ
クし、利用機評価手段1513が利用機1502を「信
頼できない」と判断した場合には、プライバシ情報を送
信データから削除もしくは他のデータに変更する。これ
により、プロキシ装置1503が保持するICカードユ
ーザのプライバシ情報の秘匿を利用機1502毎の信頼
度に応じて行うことが可能となる。
した第20実施形態の送信情報制御に関する第3の例で
あり、ICカードシステムの構成は図15と同様であ
る。第23実施形態では、送信情報制御手段1514
は、プロキシ装置1503が保持するICカード150
1のユーザのプライバシに関わる情報を送信前にチェッ
クし、利用機評価手段1513が利用機1502を「信
頼できない」と判断した場合には、プライバシ情報を送
信データから削除もしくは他のデータに変更する。これ
により、プロキシ装置1503が保持するICカードユ
ーザのプライバシ情報の秘匿を利用機1502毎の信頼
度に応じて行うことが可能となる。
【0171】[第24実施形態]図16は本発明の第2
4実施形態に係るICカードシステムの構成を示すブロ
ック図である。第24実施形態は、第1実施形態と同様
に、ICカード1601、利用機1602、プロキシ装
置1603、リモートホスト1604を有して構成さ
れ、利用機1602とプロキシ装置1603、及びプロ
キシ装置1603とリモートホスト1604はそれぞれ
計算機ネットワーク1605を介して接続される。利用
機1602はICカードリーダライタ1606を具備し
ている。これら各構成装置の基本的な構成と関係は図1
の第1実施形態と同様である。
4実施形態に係るICカードシステムの構成を示すブロ
ック図である。第24実施形態は、第1実施形態と同様
に、ICカード1601、利用機1602、プロキシ装
置1603、リモートホスト1604を有して構成さ
れ、利用機1602とプロキシ装置1603、及びプロ
キシ装置1603とリモートホスト1604はそれぞれ
計算機ネットワーク1605を介して接続される。利用
機1602はICカードリーダライタ1606を具備し
ている。これら各構成装置の基本的な構成と関係は図1
の第1実施形態と同様である。
【0172】ICカード1601は利用機認証手段16
07、利用機評価手段1608、暗号処理手段1609
を、プロキシ装置1603は利用機認証手段1612、
利用機評価手段1613、暗号処理手段1610をそれ
ぞれ備えており、暗号処理手段1609と1610との
間でセキュアパス1611を形成する。これらの手段の
基本的構成は前述した第13、第14、第16、及び第
20実施形態と同様である。
07、利用機評価手段1608、暗号処理手段1609
を、プロキシ装置1603は利用機認証手段1612、
利用機評価手段1613、暗号処理手段1610をそれ
ぞれ備えており、暗号処理手段1609と1610との
間でセキュアパス1611を形成する。これらの手段の
基本的構成は前述した第13、第14、第16、及び第
20実施形態と同様である。
【0173】また、ICカード1601はUIリクエス
ト情報送信手段1615を備え、プロキシ装置1603
はUIリクエスト情報受信手段1616とUI情報送信
手段1617を備え、利用機1602はUI情報受信手
段1618とUI実行手段1619を備えている。これ
らの手段の基本的構成は前述した第9及び第10実施形
態と同様である。
ト情報送信手段1615を備え、プロキシ装置1603
はUIリクエスト情報受信手段1616とUI情報送信
手段1617を備え、利用機1602はUI情報受信手
段1618とUI実行手段1619を備えている。これ
らの手段の基本的構成は前述した第9及び第10実施形
態と同様である。
【0174】さらに、本実施形態では、プロキシ装置1
603は送信情報制御手段1614を備えている。利用
機評価手段1613により得られる利用機1602の信
頼度に応じて、UI情報送信手段1617が利用機16
02のUI情報受信手段1618にデータを送る前に、
信頼度が低い場合は送信情報制御手段1614が作用し
てデータの変更、制限を行う。
603は送信情報制御手段1614を備えている。利用
機評価手段1613により得られる利用機1602の信
頼度に応じて、UI情報送信手段1617が利用機16
02のUI情報受信手段1618にデータを送る前に、
信頼度が低い場合は送信情報制御手段1614が作用し
てデータの変更、制限を行う。
【0175】図17は本実施形態におけるUI実行処理
の流れを示したフローチャートであり、図16と合わせ
て以下その動作を説明する。まず、ICカード1601
とプロキシ装置1603が利用機1602の信頼度情報
を共有する(ステップ1701、ステップ1702)。
この信頼度情報共有のための処理手順は第13及び第1
4実施形態に示した通りである。そして、ICカード1
601に搭載したアプリケーションが生成したUIリク
エスト情報を送信し、これをプロキシ装置1603が受
け取り、それを基にUI情報を生成する(ステップ17
03〜1706)。この間の処理手順は第9実施形態に
示した通りである。
の流れを示したフローチャートであり、図16と合わせ
て以下その動作を説明する。まず、ICカード1601
とプロキシ装置1603が利用機1602の信頼度情報
を共有する(ステップ1701、ステップ1702)。
この信頼度情報共有のための処理手順は第13及び第1
4実施形態に示した通りである。そして、ICカード1
601に搭載したアプリケーションが生成したUIリク
エスト情報を送信し、これをプロキシ装置1603が受
け取り、それを基にUI情報を生成する(ステップ17
03〜1706)。この間の処理手順は第9実施形態に
示した通りである。
【0176】次に、プロキシ装置1603の利用機評価
手段1613が、利用機1602の信頼度を評価する
(ステップ1707)。ここでは、信頼度評価結果の例
として「信頼できる」「信頼できない」の2値評価を適
用する。「信頼できる」と評価した場合は、生成された
UI情報をそのまま利用機1602に送信する(ステッ
プ1709)。一方、「信頼できない」と評価した場合
は、ステップ1709に進む前に、送信情報制御手段1
604がUI情報に変更を加え、ユーザインタフェース
に制限を掛け(ステップ1708)、その後ステップ1
709に進む。
手段1613が、利用機1602の信頼度を評価する
(ステップ1707)。ここでは、信頼度評価結果の例
として「信頼できる」「信頼できない」の2値評価を適
用する。「信頼できる」と評価した場合は、生成された
UI情報をそのまま利用機1602に送信する(ステッ
プ1709)。一方、「信頼できない」と評価した場合
は、ステップ1709に進む前に、送信情報制御手段1
604がUI情報に変更を加え、ユーザインタフェース
に制限を掛け(ステップ1708)、その後ステップ1
709に進む。
【0177】そして、利用機1602は受信したUI情
報を基にUI実行のための情報を形成し、具備している
ハードウェアを駆動してUIを実行する(ステップ17
10〜1712)。このステップ1709〜1712に
至る処理手順は第9実施形態に示した通りである。
報を基にUI実行のための情報を形成し、具備している
ハードウェアを駆動してUIを実行する(ステップ17
10〜1712)。このステップ1709〜1712に
至る処理手順は第9実施形態に示した通りである。
【0178】図18はUIリクエスト情報の一例を示す
動作説明図である。この例では、UIリクエスト情報1
800は、表示コマンド1801と表示属性1802及
び表示対象配列1803の3種類のデータの複合情報か
ら成る。表示コマンド1801はUIリクエスト情報1
801の求めるUI動作を識別するためのデータであ
り、表示属性1802は表示位置、文字指定、文字属性
その他の表示に関わる情報を含んだデータである。表示
対象配列1803は表示する対象となるデータを特定す
るための情報を複数収めた配列データである。
動作説明図である。この例では、UIリクエスト情報1
800は、表示コマンド1801と表示属性1802及
び表示対象配列1803の3種類のデータの複合情報か
ら成る。表示コマンド1801はUIリクエスト情報1
801の求めるUI動作を識別するためのデータであ
り、表示属性1802は表示位置、文字指定、文字属性
その他の表示に関わる情報を含んだデータである。表示
対象配列1803は表示する対象となるデータを特定す
るための情報を複数収めた配列データである。
【0179】表示対象配列1803の各要素として、こ
の例ではユーザ氏名情報1804、住所情報1805、
電話番号情報1806、勤務先情報1807、口座番号
情報1808、口座残高情報1809、取引履歴情報1
810を格納する。これらの各要素情報1804〜18
10には、例えば氏名であれば氏名を表現した文字列デ
ータそのものを入れても良いし、またはプロキシ装置1
603が氏名の文字列を得ることができるような識別情
報を入れても良い。ただし、この情報が氏名に関わるも
のであることを、プロキシ装置1603が認識できるた
めの情報が含められている必要がある。
の例ではユーザ氏名情報1804、住所情報1805、
電話番号情報1806、勤務先情報1807、口座番号
情報1808、口座残高情報1809、取引履歴情報1
810を格納する。これらの各要素情報1804〜18
10には、例えば氏名であれば氏名を表現した文字列デ
ータそのものを入れても良いし、またはプロキシ装置1
603が氏名の文字列を得ることができるような識別情
報を入れても良い。ただし、この情報が氏名に関わるも
のであることを、プロキシ装置1603が認識できるた
めの情報が含められている必要がある。
【0180】なお、これらのUIリクエスト情報のデー
タ構造はあくまで一例であり、他の様々な方法によって
類似する情報内容を構成し得る。
タ構造はあくまで一例であり、他の様々な方法によって
類似する情報内容を構成し得る。
【0181】上記のUIリクエスト情報1800を、図
17に示したステップ1704〜1705でICカード
1601からプロキシ装置1603に伝送する際、原則
としてセキュアパス1611を介するのが好ましい。た
だし、UIリクエスト情報に含まれる情報から機密に関
わる情報を直接もしくは間接的に利用機1602が得る
ことができないことが分かっている場合は、セキュアパ
ス1611以外の手段を用いて伝送しても良い。
17に示したステップ1704〜1705でICカード
1601からプロキシ装置1603に伝送する際、原則
としてセキュアパス1611を介するのが好ましい。た
だし、UIリクエスト情報に含まれる情報から機密に関
わる情報を直接もしくは間接的に利用機1602が得る
ことができないことが分かっている場合は、セキュアパ
ス1611以外の手段を用いて伝送しても良い。
【0182】図19は、UI情報及びUI実行結果の第
1の例として、利用機が「信頼できる」と評価された場
合を示す動作説明図である。これは、プロキシ装置16
03の利用機評価手段1613が、図17のステップ1
707において利用機1602を「信頼できる」と評価
した場合である。
1の例として、利用機が「信頼できる」と評価された場
合を示す動作説明図である。これは、プロキシ装置16
03の利用機評価手段1613が、図17のステップ1
707において利用機1602を「信頼できる」と評価
した場合である。
【0183】図19(A)に示すUI情報1901は、
上述したように図17のステップ1706にて生成され
る。UI情報1901の内容は、個々の表示対象に対し
て、それが文字表示であることを表すコマンド情報19
02、表示時の詳細な制御内容(表示属性)を表す属性
情報1903を、それぞれ表示対象データ1904〜1
910と組にして一まとめにしたものである。表示対象
データ1904〜1910には、例えば氏名であれば氏
名を表す文字列情報が直接含まれ、それらは文字コード
もしくは文字を表現する画像データから構成される。
上述したように図17のステップ1706にて生成され
る。UI情報1901の内容は、個々の表示対象に対し
て、それが文字表示であることを表すコマンド情報19
02、表示時の詳細な制御内容(表示属性)を表す属性
情報1903を、それぞれ表示対象データ1904〜1
910と組にして一まとめにしたものである。表示対象
データ1904〜1910には、例えば氏名であれば氏
名を表す文字列情報が直接含まれ、それらは文字コード
もしくは文字を表現する画像データから構成される。
【0184】このUI情報1901は、利用機1602
のUI実行手段1619によって解釈されるデータもし
くはプログラムとして扱うことができる。なお、UI情
報に関してもUIリクエスト情報と同じく、本実施形態
で挙げた例の他に様々な方法によって構成し得る。
のUI実行手段1619によって解釈されるデータもし
くはプログラムとして扱うことができる。なお、UI情
報に関してもUIリクエスト情報と同じく、本実施形態
で挙げた例の他に様々な方法によって構成し得る。
【0185】この第1の例のように、利用機1602が
「信頼できる」場合、UI実行結果は図19(B)に示
すようになる。すなわち、表示対象データ1904〜1
910に対応する全てのデータ内容が、UI実行結果1
911として利用機1602の表示画面装置等に表示出
力される。
「信頼できる」場合、UI実行結果は図19(B)に示
すようになる。すなわち、表示対象データ1904〜1
910に対応する全てのデータ内容が、UI実行結果1
911として利用機1602の表示画面装置等に表示出
力される。
【0186】図20は、UI情報及びUI実行結果の第
2の例として、利用機が「信頼できない」と評価された
場合を示す動作説明図である。これは、プロキシ装置1
603の利用機評価手段1613が、図17のステップ
1707において利用機1602を「信頼できない」と
評価した場合である。
2の例として、利用機が「信頼できない」と評価された
場合を示す動作説明図である。これは、プロキシ装置1
603の利用機評価手段1613が、図17のステップ
1707において利用機1602を「信頼できない」と
評価した場合である。
【0187】この場合、ステップ1708で送信情報制
御手段1614が作用し、図20(A)に示すUI情報
2001のように、機密に関わる表示対象データである
口座番号データ1908、口座残高データ1909、取
引履歴データ1910を、それぞれダミーデータ200
2〜2004に書き換える。
御手段1614が作用し、図20(A)に示すUI情報
2001のように、機密に関わる表示対象データである
口座番号データ1908、口座残高データ1909、取
引履歴データ1910を、それぞれダミーデータ200
2〜2004に書き換える。
【0188】この第2の例では、図20(B)に示すよ
うに、UI実行結果2005は機密に関わる個々のデー
タはダミーデータとして「X」などに置き換えられ、隠
匿された状態で利用機1602の表示画面装置等に表現
されるので、画面表示内容を搾取されたり印刷内容を盗
用されたりした場合でも、機密が漏洩することを防げ
る。また、UI情報2001そのものにもこれらの機密
情報が含まれていないため、不正な手段を用いてUI情
報を解析したとしても、機密の漏洩を防止できる。
うに、UI実行結果2005は機密に関わる個々のデー
タはダミーデータとして「X」などに置き換えられ、隠
匿された状態で利用機1602の表示画面装置等に表現
されるので、画面表示内容を搾取されたり印刷内容を盗
用されたりした場合でも、機密が漏洩することを防げ
る。また、UI情報2001そのものにもこれらの機密
情報が含まれていないため、不正な手段を用いてUI情
報を解析したとしても、機密の漏洩を防止できる。
【0189】なお、本実施形態では、利用機評価手段1
613による信頼度評価を2値評価とした例で説明した
が、評価結果を細分化して多値評価を行い、それに応じ
てステップ1708における処理を多岐に分ける方法を
採っても実施可能である。これをUI情報及びUI実行
結果の第3の例として、上記第2の例とは異なる条件で
の機密管理の実行例を図21に示す。
613による信頼度評価を2値評価とした例で説明した
が、評価結果を細分化して多値評価を行い、それに応じ
てステップ1708における処理を多岐に分ける方法を
採っても実施可能である。これをUI情報及びUI実行
結果の第3の例として、上記第2の例とは異なる条件で
の機密管理の実行例を図21に示す。
【0190】図21は、UI情報及びUI実行結果の第
3の例として、利用機が「さらに信頼できない」と評価
された場合を示す動作説明図である。この第3の例で
は、図20の場合よりも「さらに信頼できない」利用機
を想定しており、UI情報2101は、口座に関する情
報はもとより、ユーザの住所、電話番号、勤務先情報ま
で機密としてダミーデータに書き換え、利用機1602
に漏洩しないようにしている。この場合のUI実行結果
2102は、ユーザの氏名情報以外は全てダミーデータ
として「X」などに置き換えられて利用機1602の表
示画面装置等に表示される。
3の例として、利用機が「さらに信頼できない」と評価
された場合を示す動作説明図である。この第3の例で
は、図20の場合よりも「さらに信頼できない」利用機
を想定しており、UI情報2101は、口座に関する情
報はもとより、ユーザの住所、電話番号、勤務先情報ま
で機密としてダミーデータに書き換え、利用機1602
に漏洩しないようにしている。この場合のUI実行結果
2102は、ユーザの氏名情報以外は全てダミーデータ
として「X」などに置き換えられて利用機1602の表
示画面装置等に表示される。
【0191】このように、利用機評価手段1613の評
価結果に基づいて利用機1602上で実行されるUIに
変更を掛けて表示する情報を制限することにより、利用
機1602の信頼度が低い場合に、表示画面装置等に表
現された情報が搾取されたりしても機密情報を盗み取ら
れるおそれがなくなり、その実用的効果は極めて高い。
この第24実施形態によって、[発明が解決しようとす
る課題]の欄に示した第2の問題点のうち、画面出力、
印刷出力等のユーザへの出力内容から機密が漏洩する問
題を明確に解決することができる。
価結果に基づいて利用機1602上で実行されるUIに
変更を掛けて表示する情報を制限することにより、利用
機1602の信頼度が低い場合に、表示画面装置等に表
現された情報が搾取されたりしても機密情報を盗み取ら
れるおそれがなくなり、その実用的効果は極めて高い。
この第24実施形態によって、[発明が解決しようとす
る課題]の欄に示した第2の問題点のうち、画面出力、
印刷出力等のユーザへの出力内容から機密が漏洩する問
題を明確に解決することができる。
【0192】[第25実施形態]第25実施形態はUI
制御処理の他の例を示したものである。ICカードシス
テムの構成と処理の流れは第24実施形態と同様であ
る。この実施形態は、UI実行の内容が表示ではなく、
入力に関わる点が第24実施形態と異なる。
制御処理の他の例を示したものである。ICカードシス
テムの構成と処理の流れは第24実施形態と同様であ
る。この実施形態は、UI実行の内容が表示ではなく、
入力に関わる点が第24実施形態と異なる。
【0193】図22はUIリクエスト情報及びUI実行
結果の例を示す動作説明図である。図22(A)に示す
ように、UIリクエスト情報2201は、文字入力を促
すUIを得るための入力コマンド情報2202、文字入
力に関する属性情報2203、入力対象要素であるユー
ザ名2205及びパスワード2206からなる入力対象
配列2204、入力ボタンのUIを得るためのボタンコ
マンド情報2207、ボタンに関する属性情報220
8、ボタン要素である公開情報2210及び秘密情報2
211からなるボタン配列2209を含んでいる。この
UIリクエスト情報2201は、ユーザ名、パスワード
を入力する2つの文字入力フィールドと、公開情報、秘
密情報を得るための2つのボタンを入力部品としたUI
を利用機1602上で実行することを要求するものであ
る。
結果の例を示す動作説明図である。図22(A)に示す
ように、UIリクエスト情報2201は、文字入力を促
すUIを得るための入力コマンド情報2202、文字入
力に関する属性情報2203、入力対象要素であるユー
ザ名2205及びパスワード2206からなる入力対象
配列2204、入力ボタンのUIを得るためのボタンコ
マンド情報2207、ボタンに関する属性情報220
8、ボタン要素である公開情報2210及び秘密情報2
211からなるボタン配列2209を含んでいる。この
UIリクエスト情報2201は、ユーザ名、パスワード
を入力する2つの文字入力フィールドと、公開情報、秘
密情報を得るための2つのボタンを入力部品としたUI
を利用機1602上で実行することを要求するものであ
る。
【0194】このUIリクエスト情報2201に対して
第24実施形態と同様の処理を行い、利用機1602の
信頼度評価結果に応じて異なるUI情報を用意する。こ
こで、利用機1602が「信頼できる」場合は図22
(B)に示すようなUI実行結果2212が、「信頼で
きない」場合は図22(C)に示すようなUI実行結果
2213がそれぞれ得られる。すなわち、「信頼でき
る」場合は要求された全ての入力部品が利用機1602
上で実行されて表示され、「信頼できない」場合はパス
ワード入力フィールド及び秘密情報ボタンがUIの表示
から削除される。
第24実施形態と同様の処理を行い、利用機1602の
信頼度評価結果に応じて異なるUI情報を用意する。こ
こで、利用機1602が「信頼できる」場合は図22
(B)に示すようなUI実行結果2212が、「信頼で
きない」場合は図22(C)に示すようなUI実行結果
2213がそれぞれ得られる。すなわち、「信頼でき
る」場合は要求された全ての入力部品が利用機1602
上で実行されて表示され、「信頼できない」場合はパス
ワード入力フィールド及び秘密情報ボタンがUIの表示
から削除される。
【0195】これにより、利用機1602の信頼度が低
い場合は機密情報入力用のUIが表示されないため、ユ
ーザは機密に関わる情報を利用機1602上の機器を用
いて入力することができなくなり、機密情報の漏洩が防
止できる。特に、パスワード入力についてはキー入力の
状態を搾取することによるパスワード盗用を防ぐことが
可能であり、その実用的効果は極めて大きい。
い場合は機密情報入力用のUIが表示されないため、ユ
ーザは機密に関わる情報を利用機1602上の機器を用
いて入力することができなくなり、機密情報の漏洩が防
止できる。特に、パスワード入力についてはキー入力の
状態を搾取することによるパスワード盗用を防ぐことが
可能であり、その実用的効果は極めて大きい。
【0196】次に、第24実施形態と第25実施形態を
複合的に適用したウェブメール、即ちWWWの仕組みを
利用した個人向け電子メールサービスの具体例を示す。
ウェブメールを読むためのWWWブラウザに相当するア
プリケーションをICカードが持ち、このアプリケーシ
ョンは利用機を通じてウェブメールサーバ(ウェブメー
ルサービスを行うリモートホスト)にアクセスする。こ
の時、第2実施形態及び第4実施形態に示したアクセス
先情報秘匿を適用すれば、利用機に対してウェブメール
サーバの所在を隠すこともできる。
複合的に適用したウェブメール、即ちWWWの仕組みを
利用した個人向け電子メールサービスの具体例を示す。
ウェブメールを読むためのWWWブラウザに相当するア
プリケーションをICカードが持ち、このアプリケーシ
ョンは利用機を通じてウェブメールサーバ(ウェブメー
ルサービスを行うリモートホスト)にアクセスする。こ
の時、第2実施形態及び第4実施形態に示したアクセス
先情報秘匿を適用すれば、利用機に対してウェブメール
サーバの所在を隠すこともできる。
【0197】ICカードのアプリケーションは、ウェブ
メールサーバからICカードユーザの受信メール一覧を
取得し、UIリクエスト情報をプロキシ装置に送る。プ
ロキシ装置はUIリクエスト情報に基づいてUI情報を
構築するが、その際利用機評価手段の作用によって利用
機を「信頼できる」と判断した場合はUI情報には全て
の受信メールの見出し情報と、メール本文を読むための
ボタン(WWWのリンク)を含んだままとする。一方、
利用機を「信頼できない」と判断した場合には、受信メ
ールのうち機密と分類されるものについての見出し情報
を隠し(あるいは他の非機密情報に変更し)、さらにメ
ール本文を読むためのボタンも含まないようにする。
メールサーバからICカードユーザの受信メール一覧を
取得し、UIリクエスト情報をプロキシ装置に送る。プ
ロキシ装置はUIリクエスト情報に基づいてUI情報を
構築するが、その際利用機評価手段の作用によって利用
機を「信頼できる」と判断した場合はUI情報には全て
の受信メールの見出し情報と、メール本文を読むための
ボタン(WWWのリンク)を含んだままとする。一方、
利用機を「信頼できない」と判断した場合には、受信メ
ールのうち機密と分類されるものについての見出し情報
を隠し(あるいは他の非機密情報に変更し)、さらにメ
ール本文を読むためのボタンも含まないようにする。
【0198】図23は「信頼できる」利用機を使用した
場合のUI実行結果の一例を、図24は「信頼できな
い」利用機を使用した場合のUI実行結果の一例をそれ
ぞれ示したものである。
場合のUI実行結果の一例を、図24は「信頼できな
い」利用機を使用した場合のUI実行結果の一例をそれ
ぞれ示したものである。
【0199】図23に示すように、信頼できる利用機の
場合は、全ての受信メールの差出人、送信日時及びサブ
ジェクト(メールのタイトル)が表示され、さらにそれ
らがWWWのリンクとなり、ユーザはそのリンクを指定
する(タッチパネルでクリックもしくはポインティング
デバイスでリンクの場所にポインタを合わせてボタン等
で指定する)ことで、それらのメールの本文を読むこと
ができる。しかし、図24に示すように、信頼できない
利用機の場合は、例えばサブジェクトに「機密」もしく
は「SECRET」という文字列が含まれるメールを全て機密
文書とみなし、そのメールに関する一切の情報を表示さ
せないようにしている。もちろん本文も読むことはでき
ない。
場合は、全ての受信メールの差出人、送信日時及びサブ
ジェクト(メールのタイトル)が表示され、さらにそれ
らがWWWのリンクとなり、ユーザはそのリンクを指定
する(タッチパネルでクリックもしくはポインティング
デバイスでリンクの場所にポインタを合わせてボタン等
で指定する)ことで、それらのメールの本文を読むこと
ができる。しかし、図24に示すように、信頼できない
利用機の場合は、例えばサブジェクトに「機密」もしく
は「SECRET」という文字列が含まれるメールを全て機密
文書とみなし、そのメールに関する一切の情報を表示さ
せないようにしている。もちろん本文も読むことはでき
ない。
【0200】上記の例では、機密文書の判断基準として
単純にサブジェクトに含まれる文字列のみを用いたが、
他に、差出人による判断、メールのヘッダよる判断、も
しくはメール本文を先に(利用機に表示することなく)
解析して機密にあたる情報が含まれるか否かを判断する
等の方法が考えられる。また、上記の例ではWWWブラ
ウザに相当するアプリケーションをICカードに搭載す
るようにしたが、これを利用機に持たせ、ICカードは
プロキシ装置と連携してウェブメールサーバから得る情
報に制限を加える方法でも実施可能である。
単純にサブジェクトに含まれる文字列のみを用いたが、
他に、差出人による判断、メールのヘッダよる判断、も
しくはメール本文を先に(利用機に表示することなく)
解析して機密にあたる情報が含まれるか否かを判断する
等の方法が考えられる。また、上記の例ではWWWブラ
ウザに相当するアプリケーションをICカードに搭載す
るようにしたが、これを利用機に持たせ、ICカードは
プロキシ装置と連携してウェブメールサーバから得る情
報に制限を加える方法でも実施可能である。
【0201】いずれにしても、本実施形態によって、
[発明が解決しようとする課題]の欄に示した第2の問
題点を明確に解決することができる。本実施形態では機
密情報の入力そのものを不可とするため、暗証番号やパ
スワードを要求するリモートホストのサービスは受ける
ことができないが、機密情報漏洩に対しては強力な効果
を発揮するものである。
[発明が解決しようとする課題]の欄に示した第2の問
題点を明確に解決することができる。本実施形態では機
密情報の入力そのものを不可とするため、暗証番号やパ
スワードを要求するリモートホストのサービスは受ける
ことができないが、機密情報漏洩に対しては強力な効果
を発揮するものである。
【0202】[第26実施形態]図25は本発明の第2
6実施形態に係るICカードシステムの構成を示すブロ
ック図である。第26実施形態は、第1実施形態と同様
に、ICカード2501、利用機2502、プロキシ装
置2503、リモートホスト2504を有して構成さ
れ、利用機2502とプロキシ装置2503、及びプロ
キシ装置2503とリモートホスト2504はそれぞれ
計算機ネットワーク2505を介して接続される。利用
機2502はICカードリーダライタ2506を具備し
ている。これら各構成装置の基本的な構成と関係は図1
の第1実施形態と同様である。
6実施形態に係るICカードシステムの構成を示すブロ
ック図である。第26実施形態は、第1実施形態と同様
に、ICカード2501、利用機2502、プロキシ装
置2503、リモートホスト2504を有して構成さ
れ、利用機2502とプロキシ装置2503、及びプロ
キシ装置2503とリモートホスト2504はそれぞれ
計算機ネットワーク2505を介して接続される。利用
機2502はICカードリーダライタ2506を具備し
ている。これら各構成装置の基本的な構成と関係は図1
の第1実施形態と同様である。
【0203】ICカード2501は、利用機を通じてユ
ーザが入力したデータ(仮の機密情報)を基に、別のデ
ータ(真の機密情報)を生成する機密情報変換手段25
07を備える。また、図示しないが、ICカード250
1およびプロキシ装置2503はそれぞれ暗号処理手段
を備えており、これらの暗号処理手段と利用機2503
が持つデータ転送手段との組み合わせでセキュリティを
確保したデータ通信経路としてセキュアパス2508が
形成される。このセキュアパス2508は前述した実施
形態と同様であり、ここでは説明を省略する。なお、機
密情報変換手段2507は、ICカード2501ではな
くプロキシ装置2503が備える構成としても良い。そ
の場合にはセキュアパス2508は不要である。
ーザが入力したデータ(仮の機密情報)を基に、別のデ
ータ(真の機密情報)を生成する機密情報変換手段25
07を備える。また、図示しないが、ICカード250
1およびプロキシ装置2503はそれぞれ暗号処理手段
を備えており、これらの暗号処理手段と利用機2503
が持つデータ転送手段との組み合わせでセキュリティを
確保したデータ通信経路としてセキュアパス2508が
形成される。このセキュアパス2508は前述した実施
形態と同様であり、ここでは説明を省略する。なお、機
密情報変換手段2507は、ICカード2501ではな
くプロキシ装置2503が備える構成としても良い。そ
の場合にはセキュアパス2508は不要である。
【0204】利用機2502はUI実行手段2509を
備えている。このUI実行手段2509は、前述の第9
〜第25実施形態で示したものの他、利用機2502自
身の処理作用による一般的なUIも含むことができる。
プロキシ装置2503は、ICカード2501の機密情
報変換手段2507から機密情報を受け取る機密情報獲
得手段2510を備えている。なお、この機密情報獲得
手段2507をプロキシ装置2503が備える場合に
は、機密情報変換手段2507と一体化しても良い。
備えている。このUI実行手段2509は、前述の第9
〜第25実施形態で示したものの他、利用機2502自
身の処理作用による一般的なUIも含むことができる。
プロキシ装置2503は、ICカード2501の機密情
報変換手段2507から機密情報を受け取る機密情報獲
得手段2510を備えている。なお、この機密情報獲得
手段2507をプロキシ装置2503が備える場合に
は、機密情報変換手段2507と一体化しても良い。
【0205】リモートホスト2504は機密情報要求手
段2511を備えている。この機密情報要求手段251
1は、リモートホスト2504が提供するサービスにお
いて暗証番号やパスワードの入力を要求する一般的な事
物を表す。ここで、機密情報要求手段2511が求める
情報を、真の機密情報と呼ぶことにする。即ち、リモー
トホスト2504のサービスを利用しようとする者は、
真の機密情報を機密情報要求手段2511に渡すこと
で、初めて利用のための権限が与えられる。
段2511を備えている。この機密情報要求手段251
1は、リモートホスト2504が提供するサービスにお
いて暗証番号やパスワードの入力を要求する一般的な事
物を表す。ここで、機密情報要求手段2511が求める
情報を、真の機密情報と呼ぶことにする。即ち、リモー
トホスト2504のサービスを利用しようとする者は、
真の機密情報を機密情報要求手段2511に渡すこと
で、初めて利用のための権限が与えられる。
【0206】図26は本実施形態における機密情報保護
処理の流れを示したフローチャートであり、図25と合
わせて以下その動作を説明する。まず、ICカード25
01のユーザは、利用機2502のUI実行手段250
9を用いて真の機密情報を得るためのキーとなる情報を
入力する(ステップ2601)。以下、この情報を仮の
機密情報と呼ぶことにする。なお、仮の機密情報そのも
のには機密性はなく、これを搾取してリモートホスト2
504のサービスを受けることはできないようになって
いる。次に、利用機2502は仮の機密情報をICカー
ド2501に送信し、ICカード2501はこれを受信
する(ステップ2602、ステップ2603)。ICカ
ード2501の機密情報変換手段2507は、受信した
仮の機密情報を元に演算を行い、真の機密情報を生成す
る(ステップ2604)。
処理の流れを示したフローチャートであり、図25と合
わせて以下その動作を説明する。まず、ICカード25
01のユーザは、利用機2502のUI実行手段250
9を用いて真の機密情報を得るためのキーとなる情報を
入力する(ステップ2601)。以下、この情報を仮の
機密情報と呼ぶことにする。なお、仮の機密情報そのも
のには機密性はなく、これを搾取してリモートホスト2
504のサービスを受けることはできないようになって
いる。次に、利用機2502は仮の機密情報をICカー
ド2501に送信し、ICカード2501はこれを受信
する(ステップ2602、ステップ2603)。ICカ
ード2501の機密情報変換手段2507は、受信した
仮の機密情報を元に演算を行い、真の機密情報を生成す
る(ステップ2604)。
【0207】仮の機密情報から真の機密情報を生成する
方法の例としては、予め定めたキーワード(合い言葉)
を仮の機密情報とし、ユーザが入力したキーワードか
ら、それに対応する情報を登録済みの情報から検索して
真の機密情報とする方法、あるいは予め定めた変換方法
に従って真の機密情報を変換したものを仮の機密情報と
して、ユーザが入力したデータに逆変換を掛けて真の機
密情報を得る方法、等が挙げられる。前者はユーザが覚
えやすいキーワードを用いることで使用が簡単になる反
面、予め登録しておかなかった真の機密情報は扱えない
という特徴がある。後者は任意の情報を生成することが
容易であり、特に文字列による機密情報の入力を行う際
に適するが、その反面、変換規則をユーザが把握し、自
ら何らかの手段を用いて変換データを用意する必要があ
り、難解になり易い特徴がある。また、いずれの場合に
も仮の機密情報から真の機密情報を容易に類推されない
ことが重要である。
方法の例としては、予め定めたキーワード(合い言葉)
を仮の機密情報とし、ユーザが入力したキーワードか
ら、それに対応する情報を登録済みの情報から検索して
真の機密情報とする方法、あるいは予め定めた変換方法
に従って真の機密情報を変換したものを仮の機密情報と
して、ユーザが入力したデータに逆変換を掛けて真の機
密情報を得る方法、等が挙げられる。前者はユーザが覚
えやすいキーワードを用いることで使用が簡単になる反
面、予め登録しておかなかった真の機密情報は扱えない
という特徴がある。後者は任意の情報を生成することが
容易であり、特に文字列による機密情報の入力を行う際
に適するが、その反面、変換規則をユーザが把握し、自
ら何らかの手段を用いて変換データを用意する必要があ
り、難解になり易い特徴がある。また、いずれの場合に
も仮の機密情報から真の機密情報を容易に類推されない
ことが重要である。
【0208】機密情報変換手段2507で真の機密情報
を生成した後、ICカード2501はセキュアパス25
08を通じて真の機密情報をプロキシ装置2503の機
密情報獲得手段2510に渡す(ステップ2605、ス
テップ2606)。最後に、プロキシ装置2503は真
の機密情報をリモートホスト2504の機密情報要求手
段2511に渡す(ステップ2607)。
を生成した後、ICカード2501はセキュアパス25
08を通じて真の機密情報をプロキシ装置2503の機
密情報獲得手段2510に渡す(ステップ2605、ス
テップ2606)。最後に、プロキシ装置2503は真
の機密情報をリモートホスト2504の機密情報要求手
段2511に渡す(ステップ2607)。
【0209】なお、機密情報変換手段2507をプロキ
シ装置2503が備える場合には、上記のステップ26
02において仮の機密情報は利用機2502からプロキ
シ装置2503に渡され、ステップ2603及びステッ
プ2604の機密情報変換はプロキシ装置2503内で
処理される。またこの場合、ステップ2605とステッ
プ2606は不要となり、プロキシ装置2503はステ
ップ2604にて生成した真の機密情報をそのままステ
ップ2607にてリモートホスト2504に渡せば良
い。
シ装置2503が備える場合には、上記のステップ26
02において仮の機密情報は利用機2502からプロキ
シ装置2503に渡され、ステップ2603及びステッ
プ2604の機密情報変換はプロキシ装置2503内で
処理される。またこの場合、ステップ2605とステッ
プ2606は不要となり、プロキシ装置2503はステ
ップ2604にて生成した真の機密情報をそのままステ
ップ2607にてリモートホスト2504に渡せば良
い。
【0210】図27は、本実施形態を適用したUI実行
結果であるパスワード入力UIの画面例と、パスワード
情報としてリモートホストに渡されるデータの具体例を
示した動作説明図である。図27において、(A)は利
用機上に表示されるUI画面表示例、(B)は仮の機密
情報をパスワードとして入力した状態のUI画面表示
例、(C)は真の機密情報と仮の機密情報の一例をそれ
ぞれ示す。この場合、ユーザからは真の機密情報(正パ
スワード)である文字列“mYReALpassWORd"の代わり
に、仮の機密情報(仮パスワード)である文字列“temp
passwd1"が利用機2502に与えられる。そして、文字
列“temppasswd1"は機密情報変換手段2507によって
文字列“mYReALpassWORd"に変換され、パスワードとし
てリモートホスト2504に渡される。
結果であるパスワード入力UIの画面例と、パスワード
情報としてリモートホストに渡されるデータの具体例を
示した動作説明図である。図27において、(A)は利
用機上に表示されるUI画面表示例、(B)は仮の機密
情報をパスワードとして入力した状態のUI画面表示
例、(C)は真の機密情報と仮の機密情報の一例をそれ
ぞれ示す。この場合、ユーザからは真の機密情報(正パ
スワード)である文字列“mYReALpassWORd"の代わり
に、仮の機密情報(仮パスワード)である文字列“temp
passwd1"が利用機2502に与えられる。そして、文字
列“temppasswd1"は機密情報変換手段2507によって
文字列“mYReALpassWORd"に変換され、パスワードとし
てリモートホスト2504に渡される。
【0211】このように、第26実施形態では、機密情
報をユーザが直接に利用機2502に与える代わりに仮
の機密情報を入力し、それをICカード2501の機密
情報変換手段2507で真の機密情報に変換してセキュ
アパス2508を通じてプロキシ装置2503に渡すこ
とで、機密方法を利用機2502に秘匿した状態でリモ
ートホスト2504へ渡すことができる。即ち、ウェブ
メール、オンラインショッピング等、アクセスパスワー
ドの入力が必要なサービスを、ICカードのユーザが利
用機にパスワードを漏洩させることなく利用することが
可能となり、その実用的効果は極めて大きい。この実施
形態によって、[発明が解決しようとする課題]の欄に
示した第2の問題点のうち、キーボード、タッチパネル
等の入力手段によるユーザからの入力内容から機密が漏
洩する問題を明確に解決することができる。また、第2
6実施形態では、第25実施形態のように機密情報を秘
匿するものとは異なり、機密情報を変換して受け渡すこ
とで暗証番号やパスワードを要求するリモートホストの
サービスを受けることが可能である。
報をユーザが直接に利用機2502に与える代わりに仮
の機密情報を入力し、それをICカード2501の機密
情報変換手段2507で真の機密情報に変換してセキュ
アパス2508を通じてプロキシ装置2503に渡すこ
とで、機密方法を利用機2502に秘匿した状態でリモ
ートホスト2504へ渡すことができる。即ち、ウェブ
メール、オンラインショッピング等、アクセスパスワー
ドの入力が必要なサービスを、ICカードのユーザが利
用機にパスワードを漏洩させることなく利用することが
可能となり、その実用的効果は極めて大きい。この実施
形態によって、[発明が解決しようとする課題]の欄に
示した第2の問題点のうち、キーボード、タッチパネル
等の入力手段によるユーザからの入力内容から機密が漏
洩する問題を明確に解決することができる。また、第2
6実施形態では、第25実施形態のように機密情報を秘
匿するものとは異なり、機密情報を変換して受け渡すこ
とで暗証番号やパスワードを要求するリモートホストの
サービスを受けることが可能である。
【0212】[第27実施形態]第27実施形態は前述
した第26実施形態の機密情報保護に関する第1の変形
例であり、ICカードシステムの構成及び処理の流れは
第26実施形態と基本的に同様である。この例は、機密
情報変換手段2507が行う変換処理のためのデータ
を、ユーザによる仮の機密情報入力に先立って装置から
ユーザに提示する点が異なる。
した第26実施形態の機密情報保護に関する第1の変形
例であり、ICカードシステムの構成及び処理の流れは
第26実施形態と基本的に同様である。この例は、機密
情報変換手段2507が行う変換処理のためのデータ
を、ユーザによる仮の機密情報入力に先立って装置から
ユーザに提示する点が異なる。
【0213】図28はUI実行結果として利用機上に表
示されるUI画面とそこに情報を入力した状態の具体例
を示す動作説明図である。この場合、利用機2502の
UI実行手段2509によってパスワード入力に関する
情報がユーザに提示され、それを受けてユーザが仮の機
密情報である仮パスワードを入力する。パスワードを入
力するUI部品には、パスワード入力領域に付随して、
変換キーを表示する領域を設ける。変換キーは機密情報
変換手段2507が変換処理に使用するパラメータであ
り、変換キーが違えば真の機密情報として同一の結果を
得るための仮の機密情報は異なるように、変換キー毎に
仮の機密情報を設定する必要がある。ここでは変換キー
として“12”という数字を用いているが、この数字は
ユーザが利用機を使用する毎に異なる値にすることが必
要で、乱数を用いることが望ましい。
示されるUI画面とそこに情報を入力した状態の具体例
を示す動作説明図である。この場合、利用機2502の
UI実行手段2509によってパスワード入力に関する
情報がユーザに提示され、それを受けてユーザが仮の機
密情報である仮パスワードを入力する。パスワードを入
力するUI部品には、パスワード入力領域に付随して、
変換キーを表示する領域を設ける。変換キーは機密情報
変換手段2507が変換処理に使用するパラメータであ
り、変換キーが違えば真の機密情報として同一の結果を
得るための仮の機密情報は異なるように、変換キー毎に
仮の機密情報を設定する必要がある。ここでは変換キー
として“12”という数字を用いているが、この数字は
ユーザが利用機を使用する毎に異なる値にすることが必
要で、乱数を用いることが望ましい。
【0214】ユーザは、図26に示したステップ260
1において、変換キーの内容を考慮して、真の機密情報
に正しく変換される文字列を仮の機密情報として入力す
る。それ以降の処理は第26実施形態と同様である。た
だし、この場合、ステップ2604において機密情報変
換手段2507が真の機密情報を生成する際に、ユーザ
に提示した変換キーと同一のデータを用いて変換処理を
行うことが必須である。このようなランダムデータを用
いた機密情報の入力は、動的認証(ダイナミックオーセ
ンティケーション)技術として一般に知られているが、
本実施形態は、機密情報を要求するリモートホスト25
04が動的認証を行わない場合においても適用可能であ
る点と、ランダムデータの提示を含むUIを、第9〜第
25実施形態で示したUI情報の形成方法を用いてプロ
キシ装置2503が行うことによって、ユーザにランダ
ムデータを提示するための特別な仕組を利用機2502
に持たせることなく実現可能である点に特徴がある。
1において、変換キーの内容を考慮して、真の機密情報
に正しく変換される文字列を仮の機密情報として入力す
る。それ以降の処理は第26実施形態と同様である。た
だし、この場合、ステップ2604において機密情報変
換手段2507が真の機密情報を生成する際に、ユーザ
に提示した変換キーと同一のデータを用いて変換処理を
行うことが必須である。このようなランダムデータを用
いた機密情報の入力は、動的認証(ダイナミックオーセ
ンティケーション)技術として一般に知られているが、
本実施形態は、機密情報を要求するリモートホスト25
04が動的認証を行わない場合においても適用可能であ
る点と、ランダムデータの提示を含むUIを、第9〜第
25実施形態で示したUI情報の形成方法を用いてプロ
キシ装置2503が行うことによって、ユーザにランダ
ムデータを提示するための特別な仕組を利用機2502
に持たせることなく実現可能である点に特徴がある。
【0215】このように第27実施形態では、機密情報
変換手段2507が都度生成するランダムデータを、U
I実行手段2509を通じて変換キーとしてユーザに提
示し、ユーザから入力された仮の機密情報を同一の変換
キーを用いて変換処理を行うことにより、ユーザからの
直接入力される内容を毎回異なるものにすることが可能
となる。仮の機密情報から真の機密情報が類推されるこ
とを防ぐ場合、毎回同じデータを与えるよりも乱数によ
る異なるデータを与えた方がより機密性が高まるため、
本実施形態がもたらすセキュリティ向上の実用的効果は
大きい。
変換手段2507が都度生成するランダムデータを、U
I実行手段2509を通じて変換キーとしてユーザに提
示し、ユーザから入力された仮の機密情報を同一の変換
キーを用いて変換処理を行うことにより、ユーザからの
直接入力される内容を毎回異なるものにすることが可能
となる。仮の機密情報から真の機密情報が類推されるこ
とを防ぐ場合、毎回同じデータを与えるよりも乱数によ
る異なるデータを与えた方がより機密性が高まるため、
本実施形態がもたらすセキュリティ向上の実用的効果は
大きい。
【0216】[第28実施形態]第28実施形態は前述
した第26実施形態の機密情報保護に関する第2の変形
例であり、ICカードシステムの構成及び処理の流れは
第26および第27実施形態と基本的に同様である。こ
の例は、図26に示したステップ2601において、も
しくはステップ2601に先立って、ユーザが真の機密
情報を誤って入力しないための注意メッセージをUI実
行手段2509がユーザに提示する点が異なる。この注
意メッセージの提示も、第27実施形態と同様に、第9
〜第25実施形態で示したUI情報の形成方法を用いて
プロキシ装置2503が行うことができる。
した第26実施形態の機密情報保護に関する第2の変形
例であり、ICカードシステムの構成及び処理の流れは
第26および第27実施形態と基本的に同様である。こ
の例は、図26に示したステップ2601において、も
しくはステップ2601に先立って、ユーザが真の機密
情報を誤って入力しないための注意メッセージをUI実
行手段2509がユーザに提示する点が異なる。この注
意メッセージの提示も、第27実施形態と同様に、第9
〜第25実施形態で示したUI情報の形成方法を用いて
プロキシ装置2503が行うことができる。
【0217】図29はUI実行結果として利用機上に表
示されるUI画面とそこに情報を入力した状態の具体例
を示す動作説明図である。この場合、利用機2502の
UI実行手段2509によってパスワード入力に関する
情報がユーザに提示され、それを受けてユーザが仮の機
密情報である仮パスワードを入力する。パスワードを入
力するUI部品には、パスワード入力領域、変換キー表
示領域に付随して、誤って真の機密情報即ちリモートホ
スト2504の機密情報要求手段2511が要求する本
当のアクセスパスワード(正パスワード)を入力しない
よう、ユーザに注意を促すメッセージを追加している。
なお、本実施形態では第27実施形態に倣う形で変換キ
ーを表示しているが、第26実施形態に倣う形として変
換キーを表示せず、注意メッセージのみを付加しても良
い。
示されるUI画面とそこに情報を入力した状態の具体例
を示す動作説明図である。この場合、利用機2502の
UI実行手段2509によってパスワード入力に関する
情報がユーザに提示され、それを受けてユーザが仮の機
密情報である仮パスワードを入力する。パスワードを入
力するUI部品には、パスワード入力領域、変換キー表
示領域に付随して、誤って真の機密情報即ちリモートホ
スト2504の機密情報要求手段2511が要求する本
当のアクセスパスワード(正パスワード)を入力しない
よう、ユーザに注意を促すメッセージを追加している。
なお、本実施形態では第27実施形態に倣う形で変換キ
ーを表示しているが、第26実施形態に倣う形として変
換キーを表示せず、注意メッセージのみを付加しても良
い。
【0218】このように第28実施形態では、UI実行
手段2509がユーザに注意メッセージを示すことによ
り、誤って真の機密情報を入力してしまい、機密を漏洩
させてしまうトラブルを防ぐ効果を得ることができる。
手段2509がユーザに注意メッセージを示すことによ
り、誤って真の機密情報を入力してしまい、機密を漏洩
させてしまうトラブルを防ぐ効果を得ることができる。
【0219】[第29実施形態]図30は本発明の第2
9実施形態に係るICカードシステムの構成を示すブロ
ック図である。第29実施形態は、ICカード300
1、利用機3002、リモートホスト3006と共に、
計算機ネットワーク3007上に複数のプロキシ装置3
003〜3005を備えた例である。また、本実施形態
では、ICカード3001はプロキシ選択手段3008
を備える。プロキシ選択手段3008は、計算機ネット
ワーク3007上にある複数のプロキシ装置3003、
3004、及び3005の中から、予め定めた規則に従
って一つを選択する。選択されたプロキシ装置は前述し
た第1〜第28実施形態のいずれかに示すプロキシ装置
として動作する。
9実施形態に係るICカードシステムの構成を示すブロ
ック図である。第29実施形態は、ICカード300
1、利用機3002、リモートホスト3006と共に、
計算機ネットワーク3007上に複数のプロキシ装置3
003〜3005を備えた例である。また、本実施形態
では、ICカード3001はプロキシ選択手段3008
を備える。プロキシ選択手段3008は、計算機ネット
ワーク3007上にある複数のプロキシ装置3003、
3004、及び3005の中から、予め定めた規則に従
って一つを選択する。選択されたプロキシ装置は前述し
た第1〜第28実施形態のいずれかに示すプロキシ装置
として動作する。
【0220】なお、本実施形態ではプロキシ装置の数を
3つとしたが、この数は限定的ではなく、実施可能な範
囲において制限はない。また、リモートホストも1つと
したが、複数のリモートホストが計算機ネットワーク上
に存在しても良い。これは他の実施形態においても同様
である。
3つとしたが、この数は限定的ではなく、実施可能な範
囲において制限はない。また、リモートホストも1つと
したが、複数のリモートホストが計算機ネットワーク上
に存在しても良い。これは他の実施形態においても同様
である。
【0221】この第29実施形態では、計算機ネットワ
ーク3007上に複数のプロキシ装置を設置し、ICカ
ード3001にプロキシ選択手段3008を備えること
により、複数のプロキシ装置を選択的に使用することが
可能となり、負荷分散、パフォーマンス最適化及びフォ
ールトトレランス(障害に対する寛容性)の面でその実
用的効果は大きい。
ーク3007上に複数のプロキシ装置を設置し、ICカ
ード3001にプロキシ選択手段3008を備えること
により、複数のプロキシ装置を選択的に使用することが
可能となり、負荷分散、パフォーマンス最適化及びフォ
ールトトレランス(障害に対する寛容性)の面でその実
用的効果は大きい。
【0222】[第30実施形態]第30実施形態は前述
した第29実施形態のプロキシ装置選択に関する第1の
例であり、ICカードシステムの構成は図30と同様で
ある。第30実施形態では、ICカード3001におい
て、プロキシ選択手段3008はプロキシデータのリス
トから逐次的にプロキシ装置の情報を読み取り、使用に
適するものが発見でき次第それを選択する。図31にプ
ロキシ選択手段の動作の概念図を例示する。プロキシ装
置選択の際に、使用に適するか否かを判断する方法は様
々考えられるが、例えば実際に利用機を通じて通信がで
きるかどうかを調べる方法、通信できた場合に、予め定
めたレスポンスタイムを下回ることをさらに条件とする
方法等が挙げられる。これにより、比較的単純なアルゴ
リズムでプロキシ装置を選択することができる。
した第29実施形態のプロキシ装置選択に関する第1の
例であり、ICカードシステムの構成は図30と同様で
ある。第30実施形態では、ICカード3001におい
て、プロキシ選択手段3008はプロキシデータのリス
トから逐次的にプロキシ装置の情報を読み取り、使用に
適するものが発見でき次第それを選択する。図31にプ
ロキシ選択手段の動作の概念図を例示する。プロキシ装
置選択の際に、使用に適するか否かを判断する方法は様
々考えられるが、例えば実際に利用機を通じて通信がで
きるかどうかを調べる方法、通信できた場合に、予め定
めたレスポンスタイムを下回ることをさらに条件とする
方法等が挙げられる。これにより、比較的単純なアルゴ
リズムでプロキシ装置を選択することができる。
【0223】[第31実施形態]第31実施形態は前述
した第29実施形態のプロキシ装置選択に関する第2の
例であり、ICカードシステムの構成は図30と同様で
ある。第31実施形態では、ICカード3001におい
て、プロキシ選択手段3008はプロキシデータのリス
トからランダムにプロキシ装置の情報を読み取り、第3
0実施形態と同様に、使用に適するものが発見でき次第
それを選択する。図32にプロキシ選択手段の動作の概
念図を例示する。これにより、より負荷分散性を高めた
プロキシ装置選択が可能となる。
した第29実施形態のプロキシ装置選択に関する第2の
例であり、ICカードシステムの構成は図30と同様で
ある。第31実施形態では、ICカード3001におい
て、プロキシ選択手段3008はプロキシデータのリス
トからランダムにプロキシ装置の情報を読み取り、第3
0実施形態と同様に、使用に適するものが発見でき次第
それを選択する。図32にプロキシ選択手段の動作の概
念図を例示する。これにより、より負荷分散性を高めた
プロキシ装置選択が可能となる。
【0224】[第32実施形態]第32実施形態は前述
した第29実施形態のプロキシ装置選択に関する第3の
例であり、ICカードシステムの構成は図30と同様で
ある。第32実施形態では、ICカード3001におい
て、プロキシ選択手段3008は利用機3002と通信
を行って問い合わせをし、最適なプロキシ装置を選択す
る。この場合、ICカード3001よりも高い計算能力
を持つ利用機3002のプロキシ選択処理手段を利用し
て処理を行うことにより、プロキシ装置選択に関してよ
りきめ細かく柔軟な最適解を得ることが可能となる。た
だし、利用機3002の信頼度が低い場合、最適なプロ
キシ装置を偽って選択されたり、不正なプロキシ装置を
故意に選択される可能性もあるため、ICカード300
1と選択されたプロキシ装置との間で適切な相互認証が
求められる。少なくとも、ICカード3001によるプ
ロキシ装置の厳格な認証は必要不可欠である。なお、他
の実施形態においても、ICカードとプロキシ装置間で
相互認証を行うことが望ましい。
した第29実施形態のプロキシ装置選択に関する第3の
例であり、ICカードシステムの構成は図30と同様で
ある。第32実施形態では、ICカード3001におい
て、プロキシ選択手段3008は利用機3002と通信
を行って問い合わせをし、最適なプロキシ装置を選択す
る。この場合、ICカード3001よりも高い計算能力
を持つ利用機3002のプロキシ選択処理手段を利用し
て処理を行うことにより、プロキシ装置選択に関してよ
りきめ細かく柔軟な最適解を得ることが可能となる。た
だし、利用機3002の信頼度が低い場合、最適なプロ
キシ装置を偽って選択されたり、不正なプロキシ装置を
故意に選択される可能性もあるため、ICカード300
1と選択されたプロキシ装置との間で適切な相互認証が
求められる。少なくとも、ICカード3001によるプ
ロキシ装置の厳格な認証は必要不可欠である。なお、他
の実施形態においても、ICカードとプロキシ装置間で
相互認証を行うことが望ましい。
【0225】[第33実施形態]第33実施形態は前述
した第29実施形態のプロキシ装置選択に関する第4の
例であり、ICカードシステムの構成は図30と同様で
ある。第33実施形態では、第29実施形態を基本とし
て、図33に示すようにさらにICカード3001のプ
ロキシ選択手段3008が持つプロキシ装置のリスト
を、ICカードのユーザが追加、変更、削除することが
できるプロキシ情報操作手段3009を備える。プロキ
シ情報操作手段3009を用いた操作方法の例として
は、利用機を通じてプロキシ情報の追加、変更、削除等
を行う方法が挙げられるが、その際信頼度の高い利用機
を用いることが望ましい。
した第29実施形態のプロキシ装置選択に関する第4の
例であり、ICカードシステムの構成は図30と同様で
ある。第33実施形態では、第29実施形態を基本とし
て、図33に示すようにさらにICカード3001のプ
ロキシ選択手段3008が持つプロキシ装置のリスト
を、ICカードのユーザが追加、変更、削除することが
できるプロキシ情報操作手段3009を備える。プロキ
シ情報操作手段3009を用いた操作方法の例として
は、利用機を通じてプロキシ情報の追加、変更、削除等
を行う方法が挙げられるが、その際信頼度の高い利用機
を用いることが望ましい。
【0226】これにより、ICカードのユーザはプロキ
シ装置のリストを柔軟に操作することができ、新規のプ
ロキシ装置の追加、プロキシ装置の変更や撤廃等に対し
て適切な対応を取ることが可能となり、その実用的効果
は大きい。
シ装置のリストを柔軟に操作することができ、新規のプ
ロキシ装置の追加、プロキシ装置の変更や撤廃等に対し
て適切な対応を取ることが可能となり、その実用的効果
は大きい。
【0227】[第34実施形態]図34は本発明の第3
4実施形態に係るICカードシステムの構成を示すブロ
ック図である。第34実施形態は、第1実施形態と同様
に、ICカード3401、利用機3402、プロキシ装
置3403、リモートホスト3404を有して構成さ
れ、利用機3402とプロキシ装置3403、及びプロ
キシ装置3403とリモートホスト3404はそれぞれ
計算機ネットワーク3405を介して接続される。利用
機3402はICカードリーダライタ3406を具備し
ている。これら各構成装置の基本的な構成と関係は図1
の第1実施形態と同様である。
4実施形態に係るICカードシステムの構成を示すブロ
ック図である。第34実施形態は、第1実施形態と同様
に、ICカード3401、利用機3402、プロキシ装
置3403、リモートホスト3404を有して構成さ
れ、利用機3402とプロキシ装置3403、及びプロ
キシ装置3403とリモートホスト3404はそれぞれ
計算機ネットワーク3405を介して接続される。利用
機3402はICカードリーダライタ3406を具備し
ている。これら各構成装置の基本的な構成と関係は図1
の第1実施形態と同様である。
【0228】本実施形態では、ICカード3401はイ
ンセンティブ発行手段3407を、利用機3402はイ
ンセンティブ獲得手段3408をそれぞれ備える。イン
センティブ発行手段3407は、インセンティブ獲得手
段3408と通信を行い、利用機及び利用機の所有者や
運用者が金銭的、事業的に有利となる状態をもたらすも
のである。インセンティブを授受する方法の例として、
ICカード3401が持っている有価値情報(例えば金
銭と同等または類似の情報、ユーザの個人情報や利用度
数情報など)を利用機3402に渡す、あるいは利用機
3402が持っている情報(例えば広告情報、優待情報
など)をICカード3401に渡し、それをICカード
3401のユーザが閲覧したり取得することで利用機3
402の所有者、運用者が直接的、間接的な意義を得る
ことが考えられる。なお、ICカードのユーザ側におい
ても何らかの利益を得るような仕組についても適宜利用
可能である。これにより、利用機3302を設置、運用
する人間あるいは組織に対してその見返りを与えること
が可能となり、その実用的効果は大きい。
ンセンティブ発行手段3407を、利用機3402はイ
ンセンティブ獲得手段3408をそれぞれ備える。イン
センティブ発行手段3407は、インセンティブ獲得手
段3408と通信を行い、利用機及び利用機の所有者や
運用者が金銭的、事業的に有利となる状態をもたらすも
のである。インセンティブを授受する方法の例として、
ICカード3401が持っている有価値情報(例えば金
銭と同等または類似の情報、ユーザの個人情報や利用度
数情報など)を利用機3402に渡す、あるいは利用機
3402が持っている情報(例えば広告情報、優待情報
など)をICカード3401に渡し、それをICカード
3401のユーザが閲覧したり取得することで利用機3
402の所有者、運用者が直接的、間接的な意義を得る
ことが考えられる。なお、ICカードのユーザ側におい
ても何らかの利益を得るような仕組についても適宜利用
可能である。これにより、利用機3302を設置、運用
する人間あるいは組織に対してその見返りを与えること
が可能となり、その実用的効果は大きい。
【0229】[第35実施形態]第35実施形態は前述
した第34実施形態のインセンティブ授受に関する第1
の例であり、ICカードシステムの構成は図34と同様
である。第35実施形態では、インセンティブとして商
業広告を用いる。即ち、ICカード3401のインセン
ティブ発行手段3407は、利用機3402のインセン
ティブ獲得手段3408から、商業広告に関わる情報を
受け取る。そして、ICカード3401のユーザがこの
情報を見ることにより商業広告効果が生じ、利用機34
02の所有者もしくは運用者が、直接的もしくは間接的
に商業広告収入を得ることが可能となる。
した第34実施形態のインセンティブ授受に関する第1
の例であり、ICカードシステムの構成は図34と同様
である。第35実施形態では、インセンティブとして商
業広告を用いる。即ち、ICカード3401のインセン
ティブ発行手段3407は、利用機3402のインセン
ティブ獲得手段3408から、商業広告に関わる情報を
受け取る。そして、ICカード3401のユーザがこの
情報を見ることにより商業広告効果が生じ、利用機34
02の所有者もしくは運用者が、直接的もしくは間接的
に商業広告収入を得ることが可能となる。
【0230】[第36実施形態]第36実施形態は前述
した第34実施形態のインセンティブ授受に関する第2
の例であり、ICカードシステムの構成は図34と同様
である。第36実施形態では、インセンティブとして金
銭もしくはその他の有価値情報を用いる。例えば金銭を
用いた場合は、ICカード3401のインセンティブ発
行手段3407は、利用機3402のインセンティブ獲
得手段3408に対し電子化された情報の授受により金
銭支払いを行う。金銭以外の有価値物についても同様で
ある。これにより、利用機3402の所有者もしくは運
用者は、より直接的な利益を得ることが可能となる。
した第34実施形態のインセンティブ授受に関する第2
の例であり、ICカードシステムの構成は図34と同様
である。第36実施形態では、インセンティブとして金
銭もしくはその他の有価値情報を用いる。例えば金銭を
用いた場合は、ICカード3401のインセンティブ発
行手段3407は、利用機3402のインセンティブ獲
得手段3408に対し電子化された情報の授受により金
銭支払いを行う。金銭以外の有価値物についても同様で
ある。これにより、利用機3402の所有者もしくは運
用者は、より直接的な利益を得ることが可能となる。
【0231】[その他の実施形態]本発明に係るICカ
ードシステムは、上述した実施形態に限定されるもので
はなく、構成や手順に関して種々の追加、変更が可能で
ある。以下にその他の実施形態としていくつかの例を示
す。
ードシステムは、上述した実施形態に限定されるもので
はなく、構成や手順に関して種々の追加、変更が可能で
ある。以下にその他の実施形態としていくつかの例を示
す。
【0232】上述の第1〜第36実施形態において、構
成装置であるICカードを、ICカードに類似したアー
キテクチャを持つICタグに置き換えた構成とすること
も可能である。ICタグは演算処理及び利用機との通信
を行うことができる点においてICカードに類似する
が、その外形特徴はボタン型、札型、シール型、もしく
は装身具に埋め込んだもの等、様々な形態にて実施し得
る。
成装置であるICカードを、ICカードに類似したアー
キテクチャを持つICタグに置き換えた構成とすること
も可能である。ICタグは演算処理及び利用機との通信
を行うことができる点においてICカードに類似する
が、その外形特徴はボタン型、札型、シール型、もしく
は装身具に埋め込んだもの等、様々な形態にて実施し得
る。
【0233】また、上述の実施形態において、構成装置
であるICカードを、携帯電話を含む携帯型情報端末に
置き換えた構成とすることも可能である。ただし、携帯
型情報端末は電波、赤外線、接触端子等の手段を用いて
利用機と直接通信を行うことが可能であることが条件で
ある。
であるICカードを、携帯電話を含む携帯型情報端末に
置き換えた構成とすることも可能である。ただし、携帯
型情報端末は電波、赤外線、接触端子等の手段を用いて
利用機と直接通信を行うことが可能であることが条件で
ある。
【0234】また、上述の実施形態において、構成装置
であるICカードを、マイコン内蔵メモリカードに置き
換えた構成とすることも可能である。マイコン内蔵メモ
リカードは、比較的大容量の半導体メモリを持つカード
型記憶媒体に、ICカードと同様の処理能力と、利用機
との通信機能とを付加した装置である。なお、大容量メ
モリカードとICカードとを、他の機器で接続したもの
を用いた場合でも同様に実施可能である。
であるICカードを、マイコン内蔵メモリカードに置き
換えた構成とすることも可能である。マイコン内蔵メモ
リカードは、比較的大容量の半導体メモリを持つカード
型記憶媒体に、ICカードと同様の処理能力と、利用機
との通信機能とを付加した装置である。なお、大容量メ
モリカードとICカードとを、他の機器で接続したもの
を用いた場合でも同様に実施可能である。
【0235】さらに、上述の実施形態において、構成装
置である利用機を、街頭、店舗、駅、公共施設、学校、
図書館等の不特定多数の人間が訪れる場所に設置する公
共端末を用いた構成とすることも可能である。このよう
な利用機が設置された施設を訪れる人間は、これに対応
するICカードを持参することで本発明が示す種々のサ
ービスを享受できる。
置である利用機を、街頭、店舗、駅、公共施設、学校、
図書館等の不特定多数の人間が訪れる場所に設置する公
共端末を用いた構成とすることも可能である。このよう
な利用機が設置された施設を訪れる人間は、これに対応
するICカードを持参することで本発明が示す種々のサ
ービスを享受できる。
【0236】また、上述の実施形態において、構成装置
である利用機を、遊園地、博物館、イベント施設等の不
特定多数の人間が訪れる場所で、レンタル品として貸し
出される携帯電話機もしくは携帯型情報通信端末を用い
た構成とすることも可能である。これにより、このよう
な利用機を貸し出す施設を訪れる人間は、これに対応す
るICカードを持参することで本発明が示す種々のサー
ビスを享受できる。
である利用機を、遊園地、博物館、イベント施設等の不
特定多数の人間が訪れる場所で、レンタル品として貸し
出される携帯電話機もしくは携帯型情報通信端末を用い
た構成とすることも可能である。これにより、このよう
な利用機を貸し出す施設を訪れる人間は、これに対応す
るICカードを持参することで本発明が示す種々のサー
ビスを享受できる。
【0237】また、上述の実施形態において、構成装置
である利用機を、レンタカーに備え付けられるカーナビ
ゲーション装置(自車の現在位置を地図上に表示した
り、目的地までの道案内をする装置)を用いた構成とす
ることも可能である。なお、レンタカーに備え付けのも
のではなく、カーナビゲーション装置単体のレンタルで
も良い。このようなカーナビゲーション装置の貸し出し
を利用する人間は、これに対応するICカードを持参す
ることで本発明が示す種々のサービスを享受できる。
である利用機を、レンタカーに備え付けられるカーナビ
ゲーション装置(自車の現在位置を地図上に表示した
り、目的地までの道案内をする装置)を用いた構成とす
ることも可能である。なお、レンタカーに備え付けのも
のではなく、カーナビゲーション装置単体のレンタルで
も良い。このようなカーナビゲーション装置の貸し出し
を利用する人間は、これに対応するICカードを持参す
ることで本発明が示す種々のサービスを享受できる。
【0238】
【発明の効果】以上説明したように本発明によれば、第
1に、ICカード装置(ICカード)とリモートホスト
との間に設けられて両者とデータ通信を行い、ICカー
ド装置の代理として計算機ネットワーク上で機能するプ
ロキシ装置(代理装置)を備え、さらにカード端末装置
(利用機)が未知の変換アルゴリズムもしくは変換パラ
メータを用いてデータ変換を行うデータ変換手段を備え
たことにより、ICカードがプロキシ装置に渡したデー
タを、ICカードユーザの意図通りに、かつ利用機ユー
ザにその結果を知られることなく、プロキシ装置内部に
おいて異なるデータに変化させることができる効果が得
られる。
1に、ICカード装置(ICカード)とリモートホスト
との間に設けられて両者とデータ通信を行い、ICカー
ド装置の代理として計算機ネットワーク上で機能するプ
ロキシ装置(代理装置)を備え、さらにカード端末装置
(利用機)が未知の変換アルゴリズムもしくは変換パラ
メータを用いてデータ変換を行うデータ変換手段を備え
たことにより、ICカードがプロキシ装置に渡したデー
タを、ICカードユーザの意図通りに、かつ利用機ユー
ザにその結果を知られることなく、プロキシ装置内部に
おいて異なるデータに変化させることができる効果が得
られる。
【0239】第2に、ICカード装置内のアプリケーシ
ョンがアクセスしようとするリモートホストのネットワ
ーク上の位置及び通信方法に関わる情報を、プロキシ装
置のデータ変換手段で生成したことにより、カード端末
装置に対してアクセス先を隠蔽することができる効果が
得られる。
ョンがアクセスしようとするリモートホストのネットワ
ーク上の位置及び通信方法に関わる情報を、プロキシ装
置のデータ変換手段で生成したことにより、カード端末
装置に対してアクセス先を隠蔽することができる効果が
得られる。
【0240】第3に、ICカード装置とプロキシ装置の
二者間で暗号化に関するアルゴリズムと鍵情報を予め取
り決め、この取り決めに基づいてカード端末装置に内容
を知られることなく任意の情報をやりとりするセキュア
パスを設けたことにより、ICカード装置とプロキシ装
置が通信する際に、中間に位置するカード端末装置に通
信内容を隠蔽することができる効果が得られる。
二者間で暗号化に関するアルゴリズムと鍵情報を予め取
り決め、この取り決めに基づいてカード端末装置に内容
を知られることなく任意の情報をやりとりするセキュア
パスを設けたことにより、ICカード装置とプロキシ装
置が通信する際に、中間に位置するカード端末装置に通
信内容を隠蔽することができる効果が得られる。
【0241】第4に、上記セキュアパスを介してICカ
ード装置内におけるデータの暗号化手段を、アクセス先
情報と転送データ情報について個別に備えたことによ
り、ICカード装置がリモートホストに引き渡す転送デ
ータの内容を、カード端末装置だけでなくプロキシ装置
にも隠蔽することができる効果が得られる。
ード装置内におけるデータの暗号化手段を、アクセス先
情報と転送データ情報について個別に備えたことによ
り、ICカード装置がリモートホストに引き渡す転送デ
ータの内容を、カード端末装置だけでなくプロキシ装置
にも隠蔽することができる効果が得られる。
【0242】第5に、ICカード装置にはUIリクエス
ト情報送信手段を備え、プロキシ装置にUIリクエスト
情報受信手段とUI情報送信手段を備え、カード端末装
置にUI情報受信手段とUI実行手段を備えたことによ
り、カード端末装置が持たないフォントの文字列情報等
を表示することができる効果が得られる。
ト情報送信手段を備え、プロキシ装置にUIリクエスト
情報受信手段とUI情報送信手段を備え、カード端末装
置にUI情報受信手段とUI実行手段を備えたことによ
り、カード端末装置が持たないフォントの文字列情報等
を表示することができる効果が得られる。
【0243】第6に、UI情報としてカード端末装置上
に予め設けられた動作環境に適合するプログラムを用い
たことにより、ICカード装置が想定するUIが、カー
ド端末装置の構成や仕様に強く依存せず独自のものとし
て実現可能となる効果が得られる。
に予め設けられた動作環境に適合するプログラムを用い
たことにより、ICカード装置が想定するUIが、カー
ド端末装置の構成や仕様に強く依存せず独自のものとし
て実現可能となる効果が得られる。
【0244】第7に、ICカード装置とプロキシ装置の
どちらか片方もしくは両方に、カード端末装置の認証手
段と評価手段を備えたことにより、ICカード装置もし
くはプロキシ装置が、カード端末装置の信頼度情報を獲
得することができる効果が得られる。
どちらか片方もしくは両方に、カード端末装置の認証手
段と評価手段を備えたことにより、ICカード装置もし
くはプロキシ装置が、カード端末装置の信頼度情報を獲
得することができる効果が得られる。
【0245】第8に、ICカード装置とプロキシ装置の
両方にカード端末装置の評価手段を備え、片方が得た評
価結果をセキュアパスを通じて他方に渡すようにしたこ
とにより、ICカード装置もしくはプロキシ装置のいず
れか片方がカード端末装置の信頼度を獲得できた場合、
もう一方にその情報を渡すことができる効果が得られ
る。また、両方が個別にカード端末装置の信頼度を獲得
した場合は、それぞれの評価結果を違いに確認し合うこ
とにより信頼度評価をより確実にすることができる効果
が得られる。
両方にカード端末装置の評価手段を備え、片方が得た評
価結果をセキュアパスを通じて他方に渡すようにしたこ
とにより、ICカード装置もしくはプロキシ装置のいず
れか片方がカード端末装置の信頼度を獲得できた場合、
もう一方にその情報を渡すことができる効果が得られ
る。また、両方が個別にカード端末装置の信頼度を獲得
した場合は、それぞれの評価結果を違いに確認し合うこ
とにより信頼度評価をより確実にすることができる効果
が得られる。
【0246】第9に、ICカード装置に送信情報制御手
段を備えたことにより、ICカード装置からカード端末
装置に送信する情報内容をカード端末装置の信頼度に従
って異なるものにすることができる効果が得られる。さ
らに、ICカード装置が機密情報として保持する情報を
カード端末装置に送信しないよう送信情報制御手段を作
用させることにより、個人情報等をカード端末装置毎の
信頼度に応じて管理することができる効果が得られる。
段を備えたことにより、ICカード装置からカード端末
装置に送信する情報内容をカード端末装置の信頼度に従
って異なるものにすることができる効果が得られる。さ
らに、ICカード装置が機密情報として保持する情報を
カード端末装置に送信しないよう送信情報制御手段を作
用させることにより、個人情報等をカード端末装置毎の
信頼度に応じて管理することができる効果が得られる。
【0247】第10に、プロキシ装置に送信情報制御手
段を備えたことにより、プロキシ装置からカード端末装
置に送信する情報内容を、上記のICカード装置の場合
と同様にカード端末装置の信頼度によって異なるものに
でき、信頼度の低いカード端末装置には機密情報を渡さ
ないといったセキュリティ管理を行うことができる効果
が得られる。
段を備えたことにより、プロキシ装置からカード端末装
置に送信する情報内容を、上記のICカード装置の場合
と同様にカード端末装置の信頼度によって異なるものに
でき、信頼度の低いカード端末装置には機密情報を渡さ
ないといったセキュリティ管理を行うことができる効果
が得られる。
【0248】第11に、プロキシ装置上において、上記
のUI情報送信手段に、上記の送信情報制御手段を連動
させ、カード端末装置の評価結果に従ってプロキシ装置
からカード端末装置に送信するUI情報に対して変更、
削除、追加等の処理を行うようにしたことにより、信頼
度の低いカード端末装置を使用する場合、機密情報をカ
ード端末装置の画面上に表示してそれを取得されて漏洩
してしまったり、また暗証番号等を不用意に入力して取
得されてしまうなどのトラブルを防止することができる
効果が得られる。
のUI情報送信手段に、上記の送信情報制御手段を連動
させ、カード端末装置の評価結果に従ってプロキシ装置
からカード端末装置に送信するUI情報に対して変更、
削除、追加等の処理を行うようにしたことにより、信頼
度の低いカード端末装置を使用する場合、機密情報をカ
ード端末装置の画面上に表示してそれを取得されて漏洩
してしまったり、また暗証番号等を不用意に入力して取
得されてしまうなどのトラブルを防止することができる
効果が得られる。
【0249】第12に、ICカード装置もしくはプロキ
シ装置に機密情報変換手段を設け、ユーザがカード端末
装置に入力した仮の機密情報を、機密情報変換手段が真
の機密情報に変換することで、暗証番号、パスワード等
の機密情報をカード端末装置に秘匿した状態でリモート
ホストに渡し、リモートホストのサービスを受けられる
ようになる効果が得られる。
シ装置に機密情報変換手段を設け、ユーザがカード端末
装置に入力した仮の機密情報を、機密情報変換手段が真
の機密情報に変換することで、暗証番号、パスワード等
の機密情報をカード端末装置に秘匿した状態でリモート
ホストに渡し、リモートホストのサービスを受けられる
ようになる効果が得られる。
【0250】第13に、ICカード装置にプロキシ選択
手段を備えたことにより、ICカード装置毎、カード端
末装置毎等に持つ条件に従って異なるプロキシ装置が利
用可能となり、ネットワーク負荷及びプロキシの処理負
荷の集中緩和を図ることができる効果が得られる。
手段を備えたことにより、ICカード装置毎、カード端
末装置毎等に持つ条件に従って異なるプロキシ装置が利
用可能となり、ネットワーク負荷及びプロキシの処理負
荷の集中緩和を図ることができる効果が得られる。
【0251】第14に、ICカード装置にインセンティ
ブ発行手段を備え、カード端末装置にインセンティブ獲
得手段を備えたことにより、カード端末装置の所有者、
運営者が直接的もしくは間接的利益を獲得することがで
きる効果が得られる。
ブ発行手段を備え、カード端末装置にインセンティブ獲
得手段を備えたことにより、カード端末装置の所有者、
運営者が直接的もしくは間接的利益を獲得することがで
きる効果が得られる。
【図1】本発明の第1実施形態に係るICカードシステ
ムの構成を示すブロック図。
ムの構成を示すブロック図。
【図2】本発明の第2実施形態に係るICカードシステ
ムの構成を示すブロック図。
ムの構成を示すブロック図。
【図3】第2実施形態におけるアクセス先情報及び通信
キーデータの関係を例示した動作説明図。
キーデータの関係を例示した動作説明図。
【図4】第2実施形態におけるアクセス先秘匿処理の流
れを示したフローチャート。
れを示したフローチャート。
【図5】本発明の第3実施形態に係るICカードシステ
ムの構成を示すブロック図。
ムの構成を示すブロック図。
【図6】本発明の第5実施形態に係るICカードシステ
ムの構成を示すブロック図。
ムの構成を示すブロック図。
【図7】本発明の第9実施形態に係るICカードシステ
ムの構成を示すブロック図。
ムの構成を示すブロック図。
【図8】第9実施形態におけるUI制御処理の流れを示
したフローチャート。
したフローチャート。
【図9】第9実施形態のICカードシステムにおけるU
Iリクエスト情報及びUI情報のデータ構造、並びにU
I実行結果の一例を示す動作説明図。
Iリクエスト情報及びUI情報のデータ構造、並びにU
I実行結果の一例を示す動作説明図。
【図10】本発明の第13実施形態に係るICカードシ
ステムの構成を示すブロック図。
ステムの構成を示すブロック図。
【図11】第13実施形態における利用機の信頼度評価
処理の流れを示したフローチャート。
処理の流れを示したフローチャート。
【図12】本発明の第14実施形態に係るICカードシ
ステムの構成を示すブロック図。
ステムの構成を示すブロック図。
【図13】第14実施形態における利用機の信頼度評価
処理の流れを示したフローチャート。
処理の流れを示したフローチャート。
【図14】本発明の第16実施形態に係るICカードシ
ステムの構成を示すブロック図。
ステムの構成を示すブロック図。
【図15】本発明の第20実施形態に係るICカードシ
ステムの構成を示すブロック図。
ステムの構成を示すブロック図。
【図16】本発明の第24実施形態に係るICカードシ
ステムの構成を示すブロック図。
ステムの構成を示すブロック図。
【図17】第24実施形態におけるUI実行処理の流れ
を示したフローチャート。
を示したフローチャート。
【図18】第24実施形態におけるUIリクエスト情報
の一例を示す動作説明図。
の一例を示す動作説明図。
【図19】第24実施形態におけるUI情報及びUI実
行結果の第1の例を示す動作説明図。
行結果の第1の例を示す動作説明図。
【図20】第24実施形態におけるUI情報及びUI実
行結果の第2の例を示す動作説明図。
行結果の第2の例を示す動作説明図。
【図21】第24実施形態におけるUI情報及びUI実
行結果の第3の例を示す動作説明図。
行結果の第3の例を示す動作説明図。
【図22】本発明の第25実施形態にUIリクエスト情
報及びUI実行結果の例を示す動作説明図。
報及びUI実行結果の例を示す動作説明図。
【図23】第25実施形態におけるUI実行結果の具体
例を示す動作説明図。
例を示す動作説明図。
【図24】第25実施形態におけるUI実行結果の具体
例を示す動作説明図。
例を示す動作説明図。
【図25】本発明の第26実施形態に係るICカードシ
ステムの構成を示すブロック図。
ステムの構成を示すブロック図。
【図26】第26実施形態における機密情報保護処理の
流れを示したフローチャート。
流れを示したフローチャート。
【図27】第26実施形態におけるUI実行結果とリモ
ートホストに渡されるデータの具体例を示した動作説明
図。
ートホストに渡されるデータの具体例を示した動作説明
図。
【図28】第27実施形態におけるUI実行結果の具体
例を示す動作説明図。
例を示す動作説明図。
【図29】第28実施形態におけるUI実行結果の具体
例を示す動作説明図。
例を示す動作説明図。
【図30】本発明の第29実施形態に係るICカードシ
ステムの構成を示すブロック図。
ステムの構成を示すブロック図。
【図31】本発明の第30実施形態に係るプロキシ選択
動作の概念を示す説明図。
動作の概念を示す説明図。
【図32】本発明の第31実施形態に係るプロキシ選択
動作の概念を示す説明図。
動作の概念を示す説明図。
【図33】本発明の第33実施形態に係るプロキシ情報
操作機能を有するICカードを示す説明図。
操作機能を有するICカードを示す説明図。
【図34】本発明の第34実施形態に係るICカードシ
ステムの構成を示すブロック図。
ステムの構成を示すブロック図。
【図35】従来のICカードシステムの構成例を示すブ
ロック図。
ロック図。
101 ICカード 102 利用機 103 プロキシ装置 104 リモートホスト 105 計算機ネットワーク 106 送信用データ保持手段 107 データ送信手段 108 ICカードリーダライタ 109 データ受信手段 110 データ転送手段 111 データ変換手段
フロントページの続き (72)発明者 田靡 雅基 大阪府門真市大字門真1006番地 松下電器 産業株式会社内 (72)発明者 菊地 隆文 大阪府門真市大字門真1006番地 松下電器 産業株式会社内 Fターム(参考) 2C005 MB03 MB05 MB10 SA02 SA12 SA25 TA27 TA28 5B035 AA13 BB09 BC00 CA29 5B058 CA23 KA02 KA04 YA20 5B085 AE12 AE29 5J104 AA01 NA02 NA35 NA37 NA40 PA07
Claims (64)
- 【請求項1】 半導体記憶手段を有してなり、カード端
末装置とデータのやり取りを行うICカードシステム用
のICカード装置であって、 送信用のデータを保持する送信用データ保持手段と、 前記送信用データ保持手段からデータを読み出して前記
カード端末装置へ送信するデータ送信手段とを備え、 前記カード端末装置と計算機ネットワークを介して接続
されたリモートホストとデータ通信を行う際に、このリ
モートホストと前記カード端末装置との間に設けられる
プロキシ装置と当該ICカード装置との間で予め定めた
ものであって、かつ、前記カード端末装置には未知のも
のである変換アルゴリズムもしくは変換パラメータを用
いてデータ変換処理を実行するためのデータを前記プロ
キシ装置へ送信することを特徴とするICカード装置。 - 【請求項2】 前記リモートホストと通信を行う際に必
要となるアクセス先を特定するためのアクセス先情報
を、前記カード端末装置が解釈困難なキーデータとして
生成する通信キーデータ生成手段を備え、 前記変換アルゴリズムもしくは変換パラメータとして、
当該ICカード装置と前記プロキシ装置の二者間で予め
取り決めたものであって、かつ、前記カード端末装置に
おいて未知の演算アルゴリズムもしくは演算パラメータ
を用いてデータ変換処理を実行する際に、前記通信キー
データを前記プロキシ装置へ送信することを特徴とする
請求項1記載のICカード装置。 - 【請求項3】 通信するデータの暗号化と復号化の少な
くとも一方を行う暗号処理手段を備え、前記プロキシ装
置または前記リモートホストとの間で暗号化されたデー
タを受け渡すための秘匿性を持った通信路であるセキュ
アパスを形成することを特徴とする請求項1記載のIC
カード装置。 - 【請求項4】 前記暗号処理手段によって前記リモート
ホストのアクセス先情報を暗号化し、この暗号化データ
を前記プロキシ装置との間で形成したセキュアパスを経
由して該プロキシ装置へ送ることを特徴とする請求項3
記載のICカード装置。 - 【請求項5】 前記リモートホストのアクセス先情報の
暗号化とは異なる暗号化手順もしくは同一の暗号化手順
を異なる鍵情報を用いることによりデータの暗号化を行
う第2の暗号処理手段を備え、 前記第2の暗号処理手段により当該ICカード装置が保
持する任意のデータを暗号化し、この第2の暗号化デー
タは前記プロキシ装置において復号不能で前記リモート
ホストにおいて復号可能となっており、前記第2の暗号
化データを前記リモートホストとの間で形成したセキュ
アパスを経由して前記プロキシ装置へ送ることを特徴と
する請求項4記載のICカード装置。 - 【請求項6】 前記リモートホストのアクセス先情報の
暗号化とは異なる暗号化手順もしくは同一の暗号化手順
を異なる鍵情報を用いることによりデータの暗号化を行
う第2の暗号処理手段を備え、 前記第2の暗号処理手段により当該ICカード装置が保
持する任意のデータを暗号化し、この第2の暗号化デー
タは前記プロキシ装置において復号不能で前記リモート
ホストにおいて復号可能となっており、前記第2の暗号
化データを前記リモートホストのアクセス先情報の暗号
化データと共に前記リモートホストとの間で形成したセ
キュアパスを経由して前記プロキシ装置へ送ることを特
徴とする請求項4記載のICカード装置。 - 【請求項7】 当該ICカード装置と前記プロキシ装置
が同一の鍵情報を用いて暗号化及び復号化を行う対称鍵
暗号方式を用いてセキュアパスを形成することを特徴と
する請求項3〜6のいずれかに記載のICカード装置。 - 【請求項8】 当該ICカード装置と前記プロキシ装置
が互いに関連をもつ非同一の鍵情報を用いて暗号化及び
復号化を行う非対称鍵暗号方式を用いてセキュアパスを
形成することを特徴とする請求項3〜6のいずれかに記
載のICカード装置。 - 【請求項9】 半導体記憶手段を有してなり、カード端
末装置とデータのやり取りを行うICカードシステム用
のICカード装置であって、 送信用のデータを保持する送信用データ保持手段と、 前記送信用データ保持手段からデータを読み出して前記
カード端末装置へ送信するデータ送信手段と、 前記カード端末装置において実現するユーザインタフェ
ースに関わるUIリクエスト情報を、このカード端末装
置が接続された計算機ネットワーク上において設けられ
るプロキシ装置に送信するUIリクエスト情報送信手段
とを備えたことを特徴とするICカード装置。 - 【請求項10】 前記UIリクエスト情報として、文字
コードに関わる文字列情報を用いることを特徴とする請
求項9記載のICカード装置。 - 【請求項11】 前記UIリクエスト情報として、前記
カード端末装置のユーザインタフェースに関わるハード
ウェアを動作させるためのプログラム情報による動作結
果に影響を与えるパラメータ情報を用いることを特徴と
する請求項9記載のICカード装置。 - 【請求項12】 半導体記憶手段を有してなり、カード
端末装置とデータのやり取りを行うICカードシステム
用のICカード装置であって、 送信用のデータを保持する送信用データ保持手段と、 前記送信用データ保持手段からデータを読み出して前記
カード端末装置へ送信するデータ送信手段と、 前記カード端末装置の認証を行う端末認証手段と、 前記認証結果を基に前記カード端末装置の信頼度を評価
する端末信頼度評価手段と、 データの暗号化と復号化の少なくとも一方を行う暗号処
理手段とを備え、 前記カード端末装置が接続された計算機ネットワーク上
において設けられるプロキシ装置との間で暗号化された
データを受け渡すための秘匿性を持った通信路であるセ
キュアパスを形成し、このセキュアパスを介して前記カ
ード端末装置の信頼度評価結果を前記プロキシ装置へ送
ることを特徴とするICカード装置。 - 【請求項13】 半導体記憶手段を有してなり、カード
端末装置とデータのやり取りを行うICカードシステム
用のICカード装置であって、 送信用のデータを保持する送信用データ保持手段と、 前記送信用データ保持手段からデータを読み出して前記
カード端末装置へ送信するデータ送信手段と、 データの暗号化と復号化の少なくとも一方を行う暗号処
理手段とを備え、 前記カード端末装置が接続された計算機ネットワーク上
において設けられるプロキシ装置との間で暗号化された
データを受け渡すための秘匿性を持った通信路であるセ
キュアパスを形成し、このセキュアパスを介して前記プ
ロキシ装置から前記カード端末装置の信頼度評価結果を
受け取ることを特徴とするICカード装置。 - 【請求項14】 前記カード端末装置に送信する任意の
データについて送信前に情報内容の制御処理を行う送信
情報制御手段を備え、この送信情報制御手段は、前記カ
ード端末装置の信頼度評価結果に基づいて前記カード端
末装置へ送る情報の一部もしくは全部に対して変更を加
えることを特徴とする請求項12または13に記載のI
Cカード装置。 - 【請求項15】 前記送信情報制御手段は、前記信頼度
評価結果としてカード端末装置の信頼度が低く送信した
情報が不正に利用される可能性があると認識された場合
に、当該カード端末装置に対してICカード装置から送
信する情報の一部もしくは全てを削除もしくは変更する
ことを特徴とする請求項14記載のICカード装置。 - 【請求項16】 前記送信情報制御手段は、前記カード
端末装置に送信する情報のうち、当該ICカード装置が
保持する機密情報に関わる情報を削除もしくは変更する
ことを特徴とする請求項15記載のICカード装置。 - 【請求項17】 前記送信情報制御手段は、前記カード
端末装置に送信する情報のうち、当該ICカード装置が
保持するICカードユーザのプライバシに関わる情報を
削除もしくは変更することを特徴とする請求項15記載
のICカード装置。 - 【請求項18】 半導体記憶手段を有してなり、カード
端末装置とデータのやり取りを行うICカードシステム
用のICカード装置であって、 送信用のデータを保持する送信用データ保持手段と、 前記送信用データ保持手段からデータを読み出して前記
カード端末装置へ送信するデータ送信手段と、 前記カード端末装置と計算機ネットワークを介して接続
されたリモートホストからの要求に応じて前記カード端
末装置を用いて入力する機密情報の変換を行う機密情報
変換手段とを備え、 前記機密情報変換手段は前記カード端末装置より入力さ
れた第1の機密情報データを当該カード端末装置に対し
て秘匿性を持った第2の機密情報データに変換し、この
第2の機密情報データを前記カード端末装置と前記リモ
ートホストとの間に設けられるプロキシ装置へ送ること
を特徴とするICカード装置。 - 【請求項19】 前記機密情報変換手段は変換用の変換
キーデータを生成してこれを前記カード端末装置を通じ
てICカードユーザに提示し、前記カード端末装置より
入力された第1の機密情報データから前記変換キーデー
タを用いて前記第2の機密情報データを生成することを
特徴とする請求項18記載のICカード装置。 - 【請求項20】 前記変換キーデータと前記第1の機密
情報データとを一対一に対応させて同一の第2の機密情
報データを生成するための異なるデータの組を複数設け
たことを特徴とする請求項19記載のICカード装置。 - 【請求項21】 前記カード端末装置において実現する
ユーザインタフェースに関わるUIリクエスト情報を前
記プロキシ装置に送信するUIリクエスト情報送信手段
を備え、 前記UIリクエスト情報として、前記リモートホストか
ら要求される機密情報として前記第2の機密情報データ
の代わりに前記第1の機密情報データを入力すべきこと
をICカードユーザに指示するためのUI部品情報を用
いることを特徴とする請求項18〜20のいずれかに記
載のICカード装置。 - 【請求項22】 予め定めた規則に従って計算機ネット
ワーク上の複数のプロキシ装置の中から一つを選択する
プロキシ選択手段を備えたことを特徴とする請求項1〜
21のいずれかに記載のICカード装置。 - 【請求項23】 前記プロキシ選択手段は、予め登録さ
れたプロキシ装置のリストから使用に適するプロキシ装
置を逐次的に検索して選択することを特徴とする請求項
22記載のICカード装置。 - 【請求項24】 前記プロキシ選択手段は、予め登録さ
れたプロキシ装置のリストから使用に適するプロキシ装
置をランダムに検索して選択することを特徴とする請求
項22記載のICカード装置。 - 【請求項25】 前記プロキシ選択手段は、前記カード
端末装置に問い合わせて使用に適するプロキシ装置を選
択することを特徴とする請求項22記載のICカード装
置。 - 【請求項26】 使用に適するプロキシ装置を選択する
ためのプロキシ装置のリストを有し、このリスト内容の
追加、変更、削除の少なくともいずれか一つを行うプロ
キシ情報操作手段を備えたことを特徴とする請求項22
記載のICカード装置。 - 【請求項27】 前記カード端末装置の所有者もしくは
運用者に対して金銭的もしくは事業的に有利となる状態
を電子情報のやりとりによって生じさせるインセンティ
ブを発行するインセンティブ発行手段を備え、このイン
センティブに関する情報を前記カード端末装置との間で
通信することを特徴とする請求項1〜26のいずれかに
記載のICカード装置。 - 【請求項28】 前記インセンティブとして広告情報を
用い、前記インセンティブ発行手段は前記カード端末装
置からこの広告情報を受信することを特徴とする請求項
27記載のICカード装置。 - 【請求項29】 前記インセンティブとして金銭あるい
は有価値物に関連した有価値電子情報を用い、前記イン
センティブ発行手段はこの有価値電子情報を前記カード
端末装置に送信することを特徴とする請求項27記載の
ICカード装置。 - 【請求項30】 ICカード装置とデータのやり取りを
行うカード端末装置とこれに計算機ネットワークを介し
て接続されたリモートホストとの間に設けられるICカ
ードシステム用のプロキシ装置であって、 前記ICカード装置と当該プロキシ装置との間で予め定
めたものであって、かつ、前記カード端末装置には未知
のものである変換アルゴリズムもしくは変換パラメータ
を用いてデータ変換処理を実行するデータ変換手段を備
えたことを特徴とするプロキシ装置。 - 【請求項31】 前記データ変換手段は、前記リモート
ホストと通信を行う際に必要となるアクセス先を特定す
るためのアクセス先情報を前記カード端末装置が解釈困
難なキーデータとして生成した通信キーデータを変換す
るもので、前記変換アルゴリズムもしくは変換パラメー
タとして、当該プロキシ装置と前記ICカード装置の二
者間で予め取り決めたものであって、かつ、前記カード
端末装置において未知の演算アルゴリズムもしくは演算
パラメータを用いて変換処理を行うことを特徴とする請
求項30記載のプロキシ装置。 - 【請求項32】 通信するデータの暗号化と復号化の少
なくとも一方を行う暗号処理手段を備え、前記ICカー
ド装置との間で暗号化されたデータを受け渡すための秘
匿性を持った通信路であるセキュアパスを形成すること
を特徴とする請求項30記載のプロキシ装置。 - 【請求項33】 前記暗号処理手段によって前記リモー
トホストのアクセス先情報を暗号化し、この暗号化デー
タを前記ICカード装置との間で形成したセキュアパス
を経由して該ICカード装置から受け取ることを特徴と
する請求項32記載のプロキシ装置。 - 【請求項34】 当該プロキシ装置と前記ICカード装
置が同一の鍵情報を用いて暗号化及び復号化を行う対称
鍵暗号方式を用いてセキュアパスを形成することを特徴
とする請求項32または33に記載のプロキシ装置。 - 【請求項35】 当該プロキシ装置と前記ICカード装
置が互いに関連をもつ非同一の鍵情報を用いて暗号化及
び復号化を行う非対称鍵暗号方式を用いてセキュアパス
を形成することを特徴とする請求項32または33に記
載のプロキシ装置。 - 【請求項36】 ICカード装置とデータのやり取りを
行うカード端末装置とこれに計算機ネットワークを介し
て接続されたリモートホストとの間に設けられるICカ
ードシステム用のプロキシ装置であって、 前記カード端末装置において実現するユーザインタフェ
ースに関わるUIリクエスト情報を受信するUIリクエ
スト情報受信手段と、 前記受信したUIリクエスト情報の内容に基づいて前記
カード端末装置におけるユーザインタフェース部品に関
わるUI情報を前記カード端末装置に送信するUI情報
送信手段とを備えたことを特徴とするプロキシ装置。 - 【請求項37】 前記UI情報として、文字フォントに
関わる文字画像情報を用いることを特徴とする請求項3
6記載のプロキシ装置。 - 【請求項38】 前記UI情報として、前記カード端末
装置のユーザインタフェースに関わるハードウェアを動
作させる手順及びデータのまとまりであるプログラム情
報を用いることを特徴とする請求項36記載のプロキシ
装置。 - 【請求項39】 前記UI情報として、前記カード端末
装置の種類または構成もしくは動作状態によって異なる
プログラム情報を用いることを特徴とする請求項38記
載のプロキシ装置。 - 【請求項40】 ICカード装置とデータのやり取りを
行うカード端末装置とこれに計算機ネットワークを介し
て接続されたリモートホストとの間に設けられるICカ
ードシステム用のプロキシ装置であって、 前記カード端末装置の認証を行う端末認証手段と、 前記認証結果を基に前記カード端末装置の信頼度を評価
する端末信頼度評価手段と、 データの暗号化と復号化の少なくとも一方を行う暗号処
理手段とを備え、 前記ICカード装置との間で暗号化されたデータを受け
渡すための秘匿性を持った通信路であるセキュアパスを
形成し、このセキュアパスを介して前記カード端末装置
の信頼度評価結果を前記ICカード装置へ送ることを特
徴とするプロキシ装置。 - 【請求項41】 ICカード装置とデータのやり取りを
行うカード端末装置とこれに計算機ネットワークを介し
て接続されたリモートホストとの間に設けられるICカ
ードシステム用のプロキシ装置であって、 データの暗号化と復号化の少なくとも一方を行う暗号処
理手段とを備え、 前記ICカード装置との間で暗号化されたデータを受け
渡すための秘匿性を持った通信路であるセキュアパスを
形成し、このセキュアパスを介して前記ICカード装置
から前記カード端末装置の信頼度評価結果を受け取るこ
とを特徴とするプロキシ装置。 - 【請求項42】 前記端末認証手段と前記端末信頼度評
価手段の少なくとも一方が、前記カード端末装置の計算
機ネットワークへの接続に関わる固有かつ一意の情報を
用いて動作することを特徴とする請求項40記載のプロ
キシ装置。 - 【請求項43】 前記カード端末装置に送信する任意の
データについて送信前に情報内容の制御処理を行う送信
情報制御手段を備え、この送信情報制御手段は、前記カ
ード端末装置の信頼度評価結果に基づいて前記カード端
末装置へ送る情報の一部もしくは全部に対して変更を加
えることを特徴とする請求項40または41に記載のプ
ロキシ装置。 - 【請求項44】 前記送信情報制御手段は、前記信頼度
評価結果としてカード端末装置の信頼度が低く送信した
情報が不正に利用される可能性があると認識された場合
に、当該カード端末装置に対してプロキシ装置から送信
する情報の一部もしくは全てを削除もしくは変更するこ
とを特徴とする請求項43記載のプロキシ装置。 - 【請求項45】 前記送信情報制御手段は、前記カード
端末装置に送信する情報のうち、当該プロキシ装置が保
持する機密情報に関わる情報を削除もしくは変更するこ
とを特徴とする請求項44記載のプロキシ装置。 - 【請求項46】 前記送信情報制御手段は、前記カード
端末装置に送信する情報のうち、当該プロキシ装置が保
持するICカードユーザまたはプロキシユーザのプライ
バシに関わる情報を削除もしくは変更することを特徴と
する請求項44記載のプロキシ装置。 - 【請求項47】 前記カード端末装置において実現する
ユーザインタフェース部品に関わるUI情報を前記カー
ド端末装置に送信するUI情報送信手段を備え、 前記送信情報制御手段は、前記信頼度評価結果としてカ
ード端末装置の信頼度が低く送信した情報が不正に利用
される可能性があると認識された場合に、当該カード端
末装置に対してプロキシ装置からUI情報を送信する前
に、前記UI情報の中から機密情報表示に関わる部分を
削除もしくは機密を保護する状態に変更し、その処理後
のUI情報を前記カード端末装置へ送ることを特徴とす
る請求項44記載のプロキシ装置。 - 【請求項48】 前記カード端末装置において実現する
ユーザインタフェース部品に関わるUI情報を前記カー
ド端末装置に送信するUI情報送信手段を備え、 前記送信情報制御手段は、前記信頼度評価結果としてカ
ード端末装置の信頼度が低く送信した情報が不正に利用
される可能性があると認識された場合に、当該カード端
末装置に対してプロキシ装置からUI情報を送信する前
に、前記UI情報の中から機密情報入力に関わる部分を
削除もしくは機密を保護する状態に変更し、その処理後
のUI情報を前記カード端末装置へ送ることを特徴とす
る請求項44記載のプロキシ装置。 - 【請求項49】 ICカード装置とデータのやり取りを
行うカード端末装置とこれに計算機ネットワークを介し
て接続されたリモートホストとの間に設けられるICカ
ードシステム用のプロキシ装置であって、 前記リモートホストからの要求に応じて前記カード端末
装置を用いて入力する機密情報の変換を行う機密情報変
換手段を備え、 前記機密情報変換手段は前記カード端末装置より入力さ
れた第1の機密情報データを当該カード端末装置に対し
て秘匿性を持った第2の機密情報データに変換し、この
第2の機密情報データを前記リモートホストへ送ること
を特徴とするプロキシ装置。 - 【請求項50】 ICカード装置とデータのやり取りを
行うカード端末装置とこれに計算機ネットワークを介し
て接続されたリモートホストとの間に設けられるICカ
ードシステム用のプロキシ装置であって、 前記リモートホストからの要求に応じて前記カード端末
装置を用いて入力する機密情報に関して、前記カード端
末装置より入力された第1の機密情報データが当該カー
ド端末装置に対して秘匿性を持った状態に変換された第
2の機密情報データを、前記ICカード装置から受け取
って前記リモートホストへ送る機密情報獲得手段を備え
たことを特徴とするプロキシ装置。 - 【請求項51】 前記機密情報変換手段は変換用の変換
キーデータを生成してこれを前記カード端末装置を通じ
てICカードユーザに提示し、前記カード端末装置より
入力された第1の機密情報データから前記変換キーデー
タを用いて前記第2の機密情報データを生成することを
特徴とする請求項49記載のプロキシ装置。 - 【請求項52】 前記変換キーデータと前記第1の機密
情報データとを一対一に対応させて同一の第2の機密情
報データを生成するための異なるデータの組を複数設け
たことを特徴とする請求項51記載のプロキシ装置。 - 【請求項53】 前記カード端末装置において実現する
ユーザインタフェース部品に関わるUI情報を前記カー
ド端末装置に送信するUI情報送信手段を備え、 前記UI情報として、前記リモートホストから要求され
る機密情報として前記第2の機密情報データの代わりに
前記第1の機密情報データを入力すべきことをICカー
ドユーザに指示するためのUI部品情報を用いることを
特徴とする請求項49〜52のいずれかに記載のプロキ
シ装置。 - 【請求項54】 ICカード装置とデータのやり取りを
行うICカードシステム用のカード端末装置であって、 当該カード端末装置は計算機ネットワーク上において設
けられるプロキシ装置と接続され、 前記プロキシ装置から送られた当該カード端末装置にお
けるユーザインタフェース部品に関わるUI情報を受信
するUI情報受信手段と、 前記受信したUI情報の内容に基づいて前記ICカード
装置とのデータ通信に関するユーザインタフェースを実
行するUI実行手段とを備えたことを特徴とするカード
端末装置。 - 【請求項55】 前記UI情報として、文字フォントに
関わる文字画像情報を用いることを特徴とする請求項5
4記載のカード端末装置。 - 【請求項56】 前記UI情報として、当該カード端末
装置のユーザインタフェースに関わるハードウェアを動
作させる手順及びデータのまとまりであるプログラム情
報を用いることを特徴とする請求項54記載のカード端
末装置。 - 【請求項57】 前記UI情報として、当該カード端末
装置の種類または構成もしくは動作状態によって異なる
プログラム情報を用いることを特徴とする請求項56記
載のカード端末装置。 - 【請求項58】 ICカード装置とデータのやり取りを
行うICカードシステム用のカード端末装置であって、 当該カード端末装置は計算機ネットワーク上において設
けられる複数のプロキシ装置と接続され、 前記ICカード装置からの問い合わせに応じて、予め定
めた規則に従って使用に適するプロキシ装置を選択する
ための処理を行うプロキシ選択処理手段を備えたことを
特徴とするカード端末装置。 - 【請求項59】 当該カード端末装置の所有者もしくは
運用者に対して金銭的もしくは事業的に有利となる状態
を電子情報のやりとりによって生じさせるインセンティ
ブを受けるインセンティブ獲得手段を備え、このインセ
ンティブに関する情報を前記ICカード装置との間で通
信することを特徴とする請求項54〜58のいずれかに
記載のカード端末装置。 - 【請求項60】 前記インセンティブとして広告情報を
用い、前記インセンティブ獲得手段はこの広告情報を前
記ICカード装置に送信することを特徴とする請求項5
9記載のカード端末装置。 - 【請求項61】 前記インセンティブとして金銭あるい
は有価値物に関連した有価値電子情報を用い、前記イン
センティブ獲得手段は前記ICカード装置からこの有価
値電子情報を受信することを特徴とする請求項59記載
のカード端末装置。 - 【請求項62】 請求項1〜29のいずれかに記載のI
Cカードシステム用のICカード装置を実現するための
処理手順及びデータを記録したコンピュータ読取可能な
情報記録媒体。 - 【請求項63】 請求項30〜53のいずれかに記載の
ICカードシステム用のプロキシ装置を実現するための
処理手順及びデータを記録したコンピュータ読取可能な
情報記録媒体。 - 【請求項64】 請求項54〜61のいずれかに記載の
ICカードシステム用のカード端末装置を実現するため
の処理手順及びデータを記録したコンピュータ読取可能
な情報記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000245818A JP2002055961A (ja) | 2000-08-14 | 2000-08-14 | Icカード装置及びプロキシ装置、並びにカード端末装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000245818A JP2002055961A (ja) | 2000-08-14 | 2000-08-14 | Icカード装置及びプロキシ装置、並びにカード端末装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002055961A true JP2002055961A (ja) | 2002-02-20 |
Family
ID=18736268
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000245818A Pending JP2002055961A (ja) | 2000-08-14 | 2000-08-14 | Icカード装置及びプロキシ装置、並びにカード端末装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002055961A (ja) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002164884A (ja) * | 2000-11-02 | 2002-06-07 | Internatl Business Mach Corp <Ibm> | プロキシサーバ、電子署名システム、電子署名検証システム、ネットワークシステム、電子署名方法、電子署名検証方法、記憶媒体及びプログラム伝送装置 |
| WO2004027631A1 (ja) * | 2002-09-19 | 2004-04-01 | Konami Corporation | 認証処理ハードウェア、認証処理システム、及び、利用管理ハードウェア |
| JP2005198205A (ja) * | 2004-01-09 | 2005-07-21 | Sony Corp | 情報処理システム |
| JP2006301782A (ja) * | 2005-04-18 | 2006-11-02 | Fujitsu Component Ltd | 切替装置 |
| JP2008129639A (ja) * | 2006-11-16 | 2008-06-05 | Konica Minolta Business Technologies Inc | データ中継装置、データ中継方法、およびコンピュータプログラム |
| US7827417B2 (en) | 2004-11-15 | 2010-11-02 | Ikuo Yamaguchi | Storage device |
| WO2017010154A1 (ja) * | 2015-07-13 | 2017-01-19 | ソニー株式会社 | 情報処理装置、情報処理方法及びコンピュータプログラム |
| JP2017507389A (ja) * | 2013-12-27 | 2017-03-16 | 北京金山▲辧▼公▲軟▼件有限公司 | 文書暗号化プロンプト方法および文書暗号化プロンプト・システム |
-
2000
- 2000-08-14 JP JP2000245818A patent/JP2002055961A/ja active Pending
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002164884A (ja) * | 2000-11-02 | 2002-06-07 | Internatl Business Mach Corp <Ibm> | プロキシサーバ、電子署名システム、電子署名検証システム、ネットワークシステム、電子署名方法、電子署名検証方法、記憶媒体及びプログラム伝送装置 |
| WO2004027631A1 (ja) * | 2002-09-19 | 2004-04-01 | Konami Corporation | 認証処理ハードウェア、認証処理システム、及び、利用管理ハードウェア |
| US7409560B2 (en) | 2002-09-19 | 2008-08-05 | Konami Digital Entertainment Co., Ltd. | Certification processing hardware, certification processing system and use management hardware |
| JP2005198205A (ja) * | 2004-01-09 | 2005-07-21 | Sony Corp | 情報処理システム |
| US7827417B2 (en) | 2004-11-15 | 2010-11-02 | Ikuo Yamaguchi | Storage device |
| JP2006301782A (ja) * | 2005-04-18 | 2006-11-02 | Fujitsu Component Ltd | 切替装置 |
| JP4694877B2 (ja) * | 2005-04-18 | 2011-06-08 | 富士通コンポーネント株式会社 | 切替装置、切替システム |
| JP2008129639A (ja) * | 2006-11-16 | 2008-06-05 | Konica Minolta Business Technologies Inc | データ中継装置、データ中継方法、およびコンピュータプログラム |
| JP2017507389A (ja) * | 2013-12-27 | 2017-03-16 | 北京金山▲辧▼公▲軟▼件有限公司 | 文書暗号化プロンプト方法および文書暗号化プロンプト・システム |
| US10587417B2 (en) | 2013-12-27 | 2020-03-10 | Beijing Kingsoft Office Software, Inc. | Document encryption prompt method and system |
| WO2017010154A1 (ja) * | 2015-07-13 | 2017-01-19 | ソニー株式会社 | 情報処理装置、情報処理方法及びコンピュータプログラム |
| EP3324297A4 (en) * | 2015-07-13 | 2019-01-23 | Sony Corporation | INFORMATION PROCESSING APPARATUS, INFORMATION PROCESSING METHOD, AND COMPUTER PROGRAM |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2645593C2 (ru) | Верификация портативных потребительских устройств | |
| KR100768754B1 (ko) | 휴대용 전자식 청구 및 인증 장치와 이를 위한 방법 | |
| KR100806993B1 (ko) | 전자 거래를 수행하기 위한 방법 및 장치 | |
| JP5802137B2 (ja) | 安全なプライベート・データ記憶装置を有する集中型の認証システム、および方法 | |
| US6829711B1 (en) | Personal website for electronic commerce on a smart java card with multiple security check points | |
| EP2143028B1 (en) | Secure pin management | |
| US8938402B2 (en) | Methods and apparatus for conducting electronic transactions | |
| US7089214B2 (en) | Method for utilizing a portable electronic authorization device to approve transactions between a user and an electronic transaction system | |
| US7526652B2 (en) | Secure PIN management | |
| US20140351596A1 (en) | Method, system and apparatus for authenticating user identity | |
| US20120066517A1 (en) | Dispersed secure data storage and retrieval | |
| RU2252451C2 (ru) | Способ проведения трансакций, компьютеризованный способ защиты сетевого сервера, трансакционная система, сервер электронного бумажника, компьютеризованный способ выполнения онлайновых покупок (варианты) и компьютеризованный способ контроля доступа | |
| JP2014529964A (ja) | モバイル機器経由の安全なトランザクション処理のシステムおよび方法 | |
| CN106688004A (zh) | 一种交易认证方法、装置、移动终端、pos终端及服务器 | |
| JP2005508040A (ja) | データ通信ネットワークにおける本人確認の品質向上 | |
| CA2403332A1 (en) | Electronic transaction systems and methods therefor | |
| KR101125088B1 (ko) | 고객 인증방법 및 시스템과 이를 위한 서버와 기록매체 | |
| CN1910531B (zh) | 数据资源的密钥控制使用的方法和系统以及相关网络 | |
| US20050138429A1 (en) | Data communication intermediation program and apparatus for promoting authentication processing in cooperation with purchaser portable terminal having personal identification information and communication function | |
| JP2002055961A (ja) | Icカード装置及びプロキシ装置、並びにカード端末装置 | |
| WO2011058629A1 (ja) | 情報管理システム | |
| KR101171235B1 (ko) | 인증서 운영 방법 | |
| WO2001092982A2 (en) | System and method for secure transactions via a communications network | |
| CN1360265B (zh) | 便携式电子特许装置 | |
| KR101608529B1 (ko) | 온라인 거래 보안시스템 및 이를 이용한 보안방법 |