JP2002503007A - Icカード内のコンピュータコードへのアクセスを制御するシステムおよび方法 - Google Patents

Icカード内のコンピュータコードへのアクセスを制御するシステムおよび方法

Info

Publication number
JP2002503007A
JP2002503007A JP2000530889A JP2000530889A JP2002503007A JP 2002503007 A JP2002503007 A JP 2002503007A JP 2000530889 A JP2000530889 A JP 2000530889A JP 2000530889 A JP2000530889 A JP 2000530889A JP 2002503007 A JP2002503007 A JP 2002503007A
Authority
JP
Japan
Prior art keywords
access
application
card
memory
programming instructions
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000530889A
Other languages
English (en)
Other versions
JP4798844B2 (ja
Inventor
ディミトリオス マーカキス,
バリー ハックフィールド,
デイブ ロバーツ,
ジョン ベリック,
Original Assignee
モンデックス インターナショナル リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by モンデックス インターナショナル リミテッド filed Critical モンデックス インターナショナル リミテッド
Publication of JP2002503007A publication Critical patent/JP2002503007A/ja
Application granted granted Critical
Publication of JP4798844B2 publication Critical patent/JP4798844B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/357Cards having a plurality of specified features
    • G06Q20/3576Multiple memory zones on card
    • G06Q20/35765Access rights to memory zones

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Credit Cards Or The Like (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 マイクロプロセッサ、読出し専用メモリ、ランダムアクセスメモリ、および電気的に消去可能なプログラマブル読出し専用メモリを含むICカードを含むマルチプルアプリケーションカードシステムにおいて、前記読出し専用メモリ内に埋め込まれたプログラミング命令の1つ以上のセットへのアクセスを制御するためのシステムであって、カードにロードされている少なくとも1つのアプリケーションに関して、この少なくとも1つのアプリケーションによる、プログラミング命令の少なくとも1つのセットへのアクセスが許可されるか否かを示す値を有する少なくとも1つのアクセスフラグをICカードに格納する手段と、上記値に応じてプログラミング命令の1つ以上のセットへのアクセスを可能にする手段と、を含むシステム。

Description

【発明の詳細な説明】
【0001】 (優先権主張の基礎となる出願) 本出願は、「Access/Crypto Flags」という名称の199
8年2月3日付けで出願された米国特許仮出願第60/073,566号に基づ
く優先権を主張する。
【0002】 (関連出願) 本出願は、「Codelets」という名称の1998年1月22日付けで出
願された米国特許仮出願第601072,561号および「Secure Mu
ltiple Application Card System and P
rocess」という名称の1998年5月12日付けで出願された米国特許出
願第09/076,551号に関連する。本明細書中、これらの出願を参考のた
め援用する。本明細書中、米国特許出願第09/076,551号が、Anne
x Aとして含まれている。
【0003】 (発明の背景) 集積回路カードは、多くの異なる目的のために、今日、世界でますます用いら
れるようになってきている。ICカードは典型的には、コンピュータチップが埋
め込まれた、従来のクレジットカードの大きさである。ICカードは、マイクロ
プロセッサ、読出し専用メモリ(ROM)、電気的に消去可能なプログラマブル
読出し専用メモリ(EEPROM)、入力/出力(I/O)機構およびマイクロ
プロセッサの動作をサポートする他の回路を含む。ICカードは、1以上のアプ
リケーションをメモリ内に含み得る。アプリケーションローダは、アプリケーシ
ョンをカードにロードするエンティティである。アプリケーションローダは、ア
プリケーションの実際の開発者または第三者であり得る。
【0004】 MULTOSTMとは、様々なプラットフォームのなかでもICカード上で動作
するマルチプルアプリケーションオペレーティングシステムであり、複数のアプ
リケーションがカード自体上で実行されることを可能にする。このことは、カー
ドが使用のために挿入される端末のタイプ(すなわち、ATM、電話および/ま
たはPOS)にかかわらず、カードユーザが、カード(例えば、クレジット/デ
ビット、電子マネー/財布および/またはロイヤリティーアプリケーション)内
に格納されている多くのプログラムを実行することを可能にする。このようなカ
ードを使用する際に最も重要なことはセキュリティであり、カードシステムのオ
ペレータが、カードが端末または他のカードとセキュアに通信することを可能に
する。オペレータはさらに、アプリケーションのカードへのローディングおよび
カードからの削除、ならびにシステムをセキュアにする暗号鍵を管理する。
【0005】 ICカードは典型的には、カード上にメモリを配置する際のサイズおよびコス
トに関する制限により、限られた格納容量を有する。マルチアプリケーションス
マートカード用のアプリケーションは、プログラミング言語で書かれ、典型的に
は、カードの寿命期間中にコンテンツが変更され得るEEPROM内に格納され
る。ICカードにおいて用いられるプログラミング言語の一例は、Multos
Executable Language MELTMである。MELプログラ
ム命令は、実行される際にEEPROMから読み出され、ROM内に格納されて
いるオペレーティングシステムにより解釈される。
【0006】 ICカード上のROMは、特定の集積回路構成用のアセンブラ言語コード(ネ
ィティブ言語タイプのコード)で書かれたオペレーティングシステムを含む。R
OM内に格納されているオペレーティングコードは、ROMが初めて書き込まれ
たときに固定され、ROM内に格納された情報は、カードの寿命期間中、変化し
ない。
【0007】 ROM内には、マイクロプロセッサ用のネィティブ言語で書かれた、プリミテ
ィブと呼ばれるサブルーチンもまた存在し得る。プリミティブは、実行される際
、オペレーティングシステム自体またはアプリケーションのいずれかから呼び出
され得る。プリミティブは、ネィティブ言語(すなわち、アセンブラ言語)で書
かれており、そのため、極めて高速で実行可能であり、実行に必要な命令の解釈
も最小限ですむ。これらのプリミティブは、典型的には、数学的機能または暗号
機能などの、所望の機能を果たす命令の集合体である。これらの命令は、カード
の寿命期間中、決して変更されることはない。プリミティブにより用いられる、
またはアクセスされるあらゆるデータは、EEPROM内に格納され、それによ
り、データ要素のコンテンツが、必要に応じて変更され得る。
【0008】 MULTOSTMシステムにおいて、アプリケーションは、カードに格納されて
いるプリミティブを呼び出し得、次いでプリミティブはオペレーティングシステ
ムにより実行される。例えば、アプリケーションが2つの数を分割する必要があ
る場合、アプリケーションは、「分割」プリミティブを呼び出して、その機能用
のオペランドを提供し得、プリミティブは計算を実行する。カード上のあらゆる
アプリケーションは、「アクセス分割プリミティブ」命令を実行することにより
分割プリミティブを呼び出す能力を有する。いくつかのプリミティブは、基本的
数学式または基本的なデータ検索などの、ほとんどすべてのアプリケーションに
必要である一方、いくつかのプリミティブは、オプションであり、いくつかのア
プリケーションのみにより用いられように意図されている。例えば、データを暗
号化/解読するセキュリティ関連プリミティブは、個々のアプリケーションの要
求事項のために、いくつかのアプリケーション(例えば、銀行アプリケーション
)によって用いられるが、他のアプリケーション(例えば、航空マイレージまた
は娯楽アプリケーション)によっては用いられないということがあり得る。
【0009】 さらに、外部の考慮すべき事項が、アプリケーションによるいくつかのプリミ
ティブの許可された使用に影響を与え得る。これらの事項は、カードシステムの
オペレータが、個々のアプリケーションによる、ある種のプリミティブへのアク
セスを制御(すなわち、阻止)することを必要とする。このような事項のひとつ
は、あるタイプのアプリケーション用の強力な暗号化アルゴリズムが国内で用い
られ、かつ国外に輸出されることに対する個々の国の懸念である。例えば、英国
は、アルゴリズムが銀行機能のために用いられている場合、プリミティブの一部
である暗号化アルゴリズムが国外に輸出されることを許可し得る。しかし、暗号
化アルゴリズムが健康情報などの一般的なデータに用いられる場合、英国の公序
良俗は、その暗号化アルゴリズムは英国外において使用することができないと指
示し得る。従って、国の法律がこのようなタイプのデータが暗号化され輸出され
ることを禁じている場合、そのアプリケーション用の暗号化プリミティブをディ
セーブルすることは好都合である。個々のアプリケーション用のプリミティブを
このように選択的にイネーブルすることは、カードシステムを制御する強力な機
構となる。
【0010】 異なるプリミティブに対して選択的なアクセスを提供することには、別の理由
がある。具体的には、カードシステム動作および/またはシステム上で動作する
アプリケーションのプロバイダの必要性に応じて、プリミティブを選択的にイネ
ーブルするために、異なるプリミティブ用のアクセスチェックを有することが望
ましい。例えば、選択されたプリミティブが呼び出されると、I/Oポートの「
アクセスフラグ」がチェックされ得る。ほとんどのICカードは現在、カード上
のI/Oポートと端末とを物理的に接続することにより、端末と情報を交換する
ことができる。カード上に配置されたコンタクトは、端末コンタクトに物理的に
押圧され、それにより、電気信号が、カードと端末との間を通過することが可能
となる。近年の開発により、カードと端末との間の物理的コンタクトを確立する
ことなく、ICカードが端末と通信することが可能となっている。この情報交換
は、無線周波数(RF)波、セルラー信号または他の伝送される信号により確立
される。非接触型カードの場合、アンテナがカード上に存在し、それにより、伝
送信号が送信または受信される。ICカードは、物理的コンタクトと無線通信用
のアンテナとの両方を含み得る。非接触または無線方式で情報を伝送することは
、処理時間全体を短縮することによりカード所有者にとって有利であるが、伝送
信号は、物理的接続がなされた場合よりも、第三者による妨害を受けやすい。そ
の結果、カードシステムのオペレータは、金銭関係取引などの特定のアプリケー
ションプログラムを物理的接続に限定することを欲し得る。
【0011】 従って、本発明の一実施形態の目的は、プリミティブへのアクセスを制御し、
かつ、カードシステムのオペレータが特定のアプリケーション用のプリミティブ
へのアクセスをイネーブルまたはディセーブルまたは阻止することを可能にする
能力を有するマルチアプリケーションカードを提供することである。
【0012】 (発明の要旨) 本出願人らはこのようにして、コンピュータコードと、マルチプルアプリケー
ションICカードに埋め込まれたプリミティブとに対するアクセスを制御するシ
ステムおよび方法を発明した。上記プリミティブは特定の例であり、本発明はこ
れに限られない。本出願人らは、この目的を達成する1つの方法は、「アクセス
フラグ」を使用することによると決定した。アクセスフラグは、以下により詳細
に説明するように、ビットで設定され、プリミティブ(例えば、暗号化プリミテ
ィブ)が特定のアプリケーションにアクセス可能であるか(例えば、ビットが1
に設定されている場合)、可能でないか(ビット=0の場合)を表示する。暗号
化関連のプリミティブの場合、「アクセスフラグ」は、「暗号フラグ」と呼ばれ
得る。
【0013】 I/Oに関連するアクセスフラグはまた、金融関係のアプリケーション用の非
接触型プリミティブへのアクセスを阻止するためにも用いられ得る。I/Oアク
セスフラグは、カードシステムオペレータにより制御および設定され、アプリケ
ーションがカードにロードされるときに、アプリケーションローダによりカード
にロードされる。このアクセスフラグは、カードシステムのオペレータが、金融
関係の、または他の選択されたアプリケーションが非接触型プリミティブを用い
ることを阻止することを可能にし、そのため、端末通信用に物理的接続が必要と
なる。
【0014】 カードに格納され、オペレーティングシステムによりチェックされるアクセス
フラグは、カードシステムのオペレータが、選択的プリミティブまたは他のサブ
ルーチンを実行する前にアクセスフラグの状態をチェックすることにより、これ
らの選択的プリミティブまたは他のサブルーチンへのアクセスを制御することを
可能にする。コードレット(MELなどの、アプリケーション言語で書かれたサ
ブルーチン)、オペレーティングシステム自体内のサブルーチン、または他のタ
イプのサブルーチンなどの他のサブーチンもまた、関連するアクセスフラグを有
し得る。アクセスフラグのチェックは好適には、アプリケーションまたは他の命
令により特定のサブルーチン呼び出し命令が実行されたときに、オペレーティン
グシステムにより行われる。アプリケーションは、このアクセスフラグチェック
の結果に応じて、該当するプリミティブまたはサブルーチンを実行するか、また
は、アクセスが拒否された場合には別の一連の命令を実行する。
【0015】 アクセスフラグは、アプリケーションがカードにロードされるときに、EEP
ROM内に格納されているアプリケーション制御データと共に格納される。好適
には、フラグのデフォルト設定は、ローディング前には「イネーブルされていな
い」に設定されているが、所望であれば、カードシステムのオペレータが、フラ
グを論理「1」に設定して「イネーブルされた」を表示し得る。例えば、アプリ
ケーションが、アルゴリズムが開発されたA国の国外にあるB国において強力な
暗号化サブルーチンを呼び出すようにプログラムされている場合、アプリケーシ
ョンプロバイダは、カードシステムオペレータによって、アプリケーションプロ
バイダがA国政府(輸出ライセンス)およびB国(使用ライセンス)から暗号化
プリミティブを使用する許可を受けたことを示す、カード使用予定国からの証明
書を提示するよう要求され得る。証明書が提示されると、カードオペレータは、
アクセスフラグビットをイネーブルする。この場合、「アクセスフラグ」は、暗
号化に関連するため、「暗号フラグ」と呼ばれ得る。 (好適な実施の形態の詳細な説明) 本発明のさらなる目的、特徴、および利点は、本発明の例示的実施形態を示す
添付の図面と共に考慮すると、以下の詳細な説明から明らかになる。
【0016】 図中、特に記載しない限り、説明されている実施形態の同様の特徴、要件、部
品、または部分を示すために、同一の参照符号および記号が用いられる。さらに
、本発明の実施形態をこれらの図面を参照しながら詳細に説明するが、この説明
は、例示的実施形態と関連して行われる。添付の請求の範囲に規定されている本
発明の真の範囲および精神を逸脱することなく、記載された実施形態に対する変
更および改変がなされ得ることが意図される。
【0017】 図1は、セキュアなシステムにおいて、動作可能マルチアプリケーションIC
カードを堤供することに関連する3つのステップを示す。第1のステップは、カ
ード製造ステップ101である。第2のステップは、カード個別化データ(エン
ティティ認証データとも呼ばれる)がカードにロードされる、個別化ステップ1
03である。第3のステップは、カードがアプリケーションを受け取る資格があ
るかどうかをチェックする、アプリケーションローディングステップ105であ
る。すなわち、ステップ105において、個別化データが、ロードされるべきア
プリケーションに関連するアプリケーション許可データに照らしてチェックされ
る。これらの3つのステップの各々は、参考のためAnnex Aとして援用す
る、同時係属中の出願第09/076,551号に詳細に記載されている。
【0018】 図2は、本出願により特許請求されている発明の実施形態で用いられ得る集積
回路技術を組み込んだカード106を示す。カード106は、従来のクレジット
カードと同様に見えるが、集積回路(IC)108をも含む。集積回路(IC)
108は、マイクロプロセッサ、およびIC108とカード106の外部のデバ
イスとの間の通信のための電気的コンタクト110を含む。カード106は、例
えば、クレジットカード、デビットカード、および/または電子キャッシュカー
ド、すなわちカード所有者が買い物をしたときに転送され得る金額を含むカード
、例えばMONDEXTMキャッシュカードとして用いられ得る。
【0019】 図3は、IC部108の機能ブロック図であり、少なくともプロセシングユニ
ット112およびメモリユニット114を含む。好適には、IC108はさらに
、制御論理116、タイマ118、および入力/出力ポート120を含む。IC
部108はさらに、コプロセッサ122を含み得る。制御論理116は、プロセ
シングユニット112と共に、メモリユニット114(ROM124,EEPR
OM126、RAM128および入力/出力ポート120を有する)間の通信を
処理するために必要な制御を堤供する。タイマ118は、プロセシングユニット
112および制御論理116にタイミング基準信号を堤供する。コプロセッサ1
22は、暗号アルゴリズムにより必要とされるような複雑な演算をリアルタイム
で行う能力を堤供する。
【0020】 図4は、ビットマップと呼ばれることもあるアプリケーション制御データ構造
401の一例である。ビットマップは好適には、EEPROM内に存在し、IC
カードにロードされた特定のアプリケーション用の複数のアクセスフラグを含む
。ビットマップは、データがROMに書き込まれる前にアクセスフラグが決定さ
れた場合はROM内に存在し得るが、好適にはアプリケーションと共にEEPR
OM内に存在する。データ401は、カードのメモリ内に格納された8ビット(
1バイト)のデータを示す。ビットマップの長さは、特定のアプリケーションお
よびアプリケーションが動作するシステムに応じて、使用可能なビット長により
可変である。本実施例中、ビット403が、上記した暗号化プリミティブに関連
する暗号フラグに対応する。この暗号フラグビットは、暗号化プリミティブが特
定のアプリケーション用にイネーブルされる場合、「1」に設定され、暗号化プ
リミティブがイネーブルされない場合、「0」に設定される。好適な実施形態に
おけるデフォルト状態は、イネーブルされないように常時「0」である。このこ
とは、選択されたプリミティブを実行する許可が、アプリケーションがロードさ
れたときにカードシステムのオペレータにより明示的に設定されない限り与えら
れないことを確実にする。しかし、他のシステムにおいては、デフォルトは、カ
ードシステムのオペレータがカードを明示的にディセーブルしない限り、「1」
であるか、またはイネーブルされ得る。
【0021】 これもまた上記に記載した非接触型I/Oアクセスフラグビットが、ビット4
05として示されている。このビットは、非接触型動作(例えばプリミティブ)
がアプリケーションにより引き出されたときにチェックされる。この非接触型動
作は、例えば、無線信号を送信および受信するために必要なすべての命令であり
得るし、またはこれらの命令の必要な部分であり得る。非接触型ビット405が
「1」に設定された場合、動作が実行され得、非接触型ビット405が「0」に
設定された場合、非接触型動作は実行され得ない。
【0022】 他の異なるI/Oポートもまた、アクセスフラグを有し得る。この非接触型ア
クセスフラグはさらに、より高度な制御のための追加のフラグ、RF信号アクセ
スフラグおよびセルラーアクセス信号を有し得る。例えば、図4に示す別のアク
セスフラグビットは、アプリケーションプログラムインターフェース(Appl
ication Program Interface、API)ビット407
である。このビットは、アプリケーションがカードに格納されている特定のAP
Iにより動作され得るかどうかを制御し得る。例えば、カードは、MEL AP
Iおよび第2のオペレーティングシステムAPIを含み得る。このAPIビット
は、アプリケーションをMEL APIを用いることに制限し得るし、または、
第2のオペレータシステムAPIを用いるようにカードをイネーブルし得る。特
定のアプリケーションにより第2のオペレーティングシステムAPIを用いるこ
とは、その第2のオペレーティングシステムの所有者からの発行されたライセン
スを必要とし得える。ライセンスが得られない限り、APIフラグは、カードが
第2のAPIを用いることを妨げることができる。他のアクセスフラグビット4
09は、システムオペレータにより規定され得る。
【0023】 図4は、複数のアクセスフラグを示しているが、少なくとも1つのアクセスフ
ラグの存在が有益であり、アクセスフラグの総数は、システムまたはユーザに合
わせて加減され得る。加えて、暗号フラグは、本発明の実施の形態であるICカ
ードにとって重要な特徴であるが、暗号フラグがアクセスフラグのうちの1つで
ある必要はない。各アクセスフラグが何を制御するかについての決定は、システ
ムオペレータにより指示される。図4は、各アクセスフラグ用の1ビットの好適
なビット表示を示すが、データ構成は、例えば、アクセスリストを指標レジスタ
として用いて正しいフラグデータを示すなど、異なるものでもあり得る。
【0024】 各アプリケーションは、図4に記載のように、独自の関連ビットマップリスト
データを有する。アクセスフラグを含むビットマップデータは、アプリケーショ
ンロードプロセス中に、他のアプリケーションロード情報と共にカードにロード
される。ビットマップの長さを特定するフィールドは、アクセスリストに先行し
得、それにより、可変長アクセスリストを簡素化する。ビットマップ上に値が一
旦設定されると、フラグデータのあらゆる不法な干渉を最小にするために、これ
らの値は変更されない。
【0025】 アプリケーションが関連アクセスフラグを用いてプリミティブを呼び出すこと
を試みたとき、オペレーティングシステムが、アクセスフラグビットが設定され
ているかどうかをいかにしてチェックするかを以下に述べる。本実施例において
、関連フラグが「0」に設定されてプリミティブが呼び出された場合、実行は異
常に終了する(異常終了)。本実施例は特に、暗号フラグの使用を説明する。
【0026】 ここで必要となるのが、MULTOSTMをアプリケーションに用いることによ
り提供される暗号プリミティブへのアクセスを許可または制限することを可能に
する、ビットマップ形式のメカニズムである。この「制限されたアクセス」MU
LTOSTM暗号プリミティブへのアクセスは、これらの暗号プリミティブにアク
セスすることに対する許可を適切な政府当局から得た旨の文書をを堤供する開発
者のみに与えられる。
【0027】 マルチプルアプリケーションカードシステムにおける、カードとカード発行機
関(典型的にはロードされるべきアプリケーションを求めるエンティティである
)との間の相互作用は、アプリケーションロード証明書(Applicatio
n Load Certificate、ALC;参考のため本明細書に援用す
るAnnex Aとして記載されている)による。ALCは、図1を参照して説
明した個別化プロセス期間中に、カードに供給される。このアプリケーションロ
ード証明書は、ビットマップ(またはフラグ)とアプリケーションとを統合性が
保護された状態で関連づける特定のアプリケーションのためのアクセスフラグデ
ータを含み得る。
【0028】 ALCにおいて、好適には「アクセスリスト」と標記されるデータ要素が、特
定のプリミティブへのアクセスが使用可能かどうかを表示するために用いられる
。より具体的には、ICカードに格納されている「アクセスリスト」を表示する
ためにはシングルビットが好適に用いられるが、他のデータ構成も使用され得る
。従って、アプリケーションが、制限されている(使用不可である)暗号プリミ
ティブにアクセスすることを試みた場合(例えば、実行アプリケーションに対す
る、上記プリミティブ用の「アクセスリスト」値が0に等しい)、プロセスは異
常終了する。プロセスが異常終了した場合、その時点で動作中のアプリケーショ
ンプログラムの実行は停止可能であり、ディスプレイ端末がICカードに接続さ
れている場合は、エラーメッセージがディスプレイ端末に送信され得る。そうで
ない場合は、アクセスは許可され、プリミティブのプログラミング命令のセット
は実行され、アプリケーションは命令の実行により続行する。
【0029】 図5は、ICカード内のコンピュータコードへのアクセスを制御する方法を実
行するためのステップのフローチャートを示す。ステップ501において、アプ
リケーションがICカードに格納される。アプリケーションは、製造時に、また
は、好適には図1に示すように個別化プロセスの際に、カードに格納され得る。
ICカードは、カード上のマイクロプロセッサがカードに格納されている複数の
アプリケーションを実行することを可能にする、マルチプルアプリケーションオ
ペレーティングシステムを含む。
【0030】 ステップ503において、ICカードに格納されている1以上のアプリケーシ
ョンのための、プリミティブ、またはいくつかの他のプログラミング命令のセッ
トに関連するアクセスフラグが格納される。アクセスフラグは、アプリケーショ
ンがロードされる前に、アプリケーションがロードされると同時に、またはアプ
リケーションがロードされた後に、格納することができる。セキュリティを最大
にするために、アクセスフラグは、製造の際に読出し専用メモリー内に格納され
、変更不可能となる。あるいは、アクセスフラグは、プログラマブルメモリ内に
格納され得る。プログラマブルメモリは、ICカードにロードされた個々のアプ
リケーションに対してカードを個別化するため、およびアプリケーションがカー
ドから削除されたときおよび削除された場合にアクセスフラグを除去する能力を
有するために、書き換えられ得る。例えば、暗号アクセスフラグに関して、アプ
リケーションプロバイダは、アプリケーションがカードにロードされた後、プリ
ミティブとして格納されている、ある種の暗号を輸出および輸入するための許可
を受け取り得る。この場合、アクセスフラグを格納しているメモリが書換え可能
である場合には、アクセスフラグは変更され得る。
【0031】 ステップ505において、カードに格納されているアプリケーションプログラ
ム(例えば、クレジット/デビットアプリケーション)のうちの1つが実行され
る。実行されたアプリケーション内のプログラム命令が、ステップ507におい
てプリミティブに対するアクセスが行われることを必要とする場合、ICカード
上に存在するオペレーティングシステムは、まず、特定のプリミティブまたは機
能に関連するアクセスフラグをチェックする。各プリミティブは、各アプリケー
ションまたはアプリケーション群用に異なるアクセスフラグを有し得、それによ
り、1つのアプリケーションにはアクセスが許可され第2のアプリケーションに
はアクセスが許可されないということになる。アクセスフラグは、マルチプルア
プリケーションカードシステムの管理者に、選択されたプリミティブへのアクセ
スに対する重要な制御を与える。
【0032】 ステップ509において、ステップ509における適切なアクセスフラグの状
態がチェックされる。アクセスフラグが、アクセスが拒否されたという表示をし
た(例えば、アクセスフラグの値がゼロである)場合、実行中のアプリケーショ
ンは、ステップ511において異常に終了する(異常終了)。カードユーザに対
して、異常終了の理由を示すエラーメッセージが表示され得る。あるいは、アプ
リケーションは、プログラミング命令によって、アクセスフラグチェックが正で
あるか負であるかをチェックするためにプログラムされ得、アクセスフラグの値
に応答してアプリケーションの選択された部分を実行し得る。
【0033】 アクセスフラグが正の値(例えば「1」)に設定されている場合、ステップ5
13において、アクセスされたプリミティブが実行される。プリミティブのプロ
グラム命令が実行された後、ステップ515までプロセスが続行する。次いでス
テップ515において、ICカード上のマイクロプロセッサにより実行中のアプ
リケーションの実行を続行する。
【0034】 上記は、単に本発明の原理を示しているにすぎない。従って、当業者であれば
、本明細書中に明示的に示されておらず記載もされていないが、本発明の原理を
具現化し、従って本発明の精神および範囲に含まれる多くのシステムおよび方法
を工夫することができることが理解される。
【0035】 本開示の範囲は、特許請求の範囲に記載されているか否かにかかわらず、およ
び本発明が取り組む問題点のいずれかまたはすべてを軽減するか否かにかかわら
ず、本明細書中に明示的もしくは暗示的に開示されているあらゆる新規な特徴も
しくは特徴の組合せ、またはそれらを普遍化したものすべてを含む。これにより
出願人は、本出願または本出願から派生する、全てのこのようなさらなる出願の
審査過程において、このような特徴に対して新しい請求項が作成され得ることを
通知する。特に、添付の請求の範囲に関して、従属請求項の特徴は、独立請求項
の特徴と組み合わされ得、各独立請求項の特徴は、それらの請求項中に列挙され
た特定の組合せだけでなく、あらゆる適切な様式で組み合わされ得る。
【図面の簡単な説明】
【図1】 図1は、セキュアなシステムにおけるマルチプルアプリケーションICカード
の寿命期間中の3つの状態を示すブロック図である。
【図2】 図2は、本発明の実施形態と関連して用いられ得る集積回路カードを示す。
【図3】 図3は、図2に示す集積回路の機能ブロック図である。
【図4】 図4は、本発明の実施形態によるアプリケーション制御データ構造のビットマ
ップである。
【図5】 図5は、コンピュータコードへのアクセスを制御する方法のフローチャートで
ある。
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE),OA(BF,BJ ,CF,CG,CI,CM,GA,GN,GW,ML, MR,NE,SN,TD,TG),AP(GH,GM,K E,LS,MW,SD,SZ,UG,ZW),EA(AM ,AZ,BY,KG,KZ,MD,RU,TJ,TM) ,AL,AM,AT,AU,AZ,BA,BB,BG, BR,BY,CA,CH,CN,CU,CZ,DE,D K,EE,ES,FI,GB,GD,GE,GH,GM ,HR,HU,ID,IL,IN,IS,JP,KE, KG,KP,KR,KZ,LC,LK,LR,LS,L T,LU,LV,MD,MG,MK,MN,MW,MX ,NO,NZ,PL,PT,RO,RU,SD,SE, SG,SI,SK,SL,TJ,TM,TR,TT,U A,UG,UZ,VN,YU,ZW (72)発明者 ハックフィールド, バリー イギリス国 ジー46 6アールビー グラ スゴー, ギブノック, ダルサーフ ク レセント 21 (72)発明者 ロバーツ, デイブ イギリス国 エヌダブリュー2 2エイピ ー ロンドン, ランバノーア ロード 50 (72)発明者 ベリック, ジョン イギリス国 ダブリューエイ4 5アール ディー ウォーリントン, アップルト ン, ウッドブリッジ クローズ 32 Fターム(参考) 5B035 AA13 BB09 CA29 5B076 BA10 FB01

Claims (15)

    【特許請求の範囲】
  1. 【請求項1】 マイクロプロセッサ、読出し専用メモリ、ランダムアクセス
    メモリ、電気的に消去可能なプログラマブル読出し専用メモリ、および該読出し
    専用メモリ中に格納されたプログラミング命令の1つ以上のセットを含む集積回
    路カードを含むマルチプルアプリケーションカードシステムであって、 該集積回路カードに、該プログラミング命令の少なくとも1つのセットにアク
    セスする少なくとも1つのアプリケーションを格納する手段と、 該アプリケーションによりアクセスされた該プログラミング命令の少なくとも
    1つのセットのためのアクセスフラグを格納する手段と、 ロードされた該アプリケーションに応じて該プログラミング命令のセットへの
    アクセスをイネーブルするように該アクセスフラグを設定する手段と、 該アクセスフラグに応じて、該アプリケーションによる該プログラミング命令
    のセットへのアクセスを可能にする手段と、 を包含する、マルチプルアプリケーションカードシステム。
  2. 【請求項2】 前記アクセスフラグを格納する手段は、前記電気的に消去可
    能なプログラマブル読出し専用メモリ内に存在する、請求項1に記載のシステム
  3. 【請求項3】 前記プログラミング命令の少なくとも1つのセットは、暗号
    プリミティブである、請求項1または2に記載のシステム。
  4. 【請求項4】 前記暗号プリミティブへのアクセスは、前記アクセスフラグ
    の値が0に設定されているときに拒否され、1に設定されているときに許可され
    る、請求項3に記載のシステム。
  5. 【請求項5】 マイクロプロセッサと、 プログラミング命令の1つ以上のセットにアクセスする少なくとも1つのアプ
    リケーションプログラムと、該プログラミング命令の1つ以上のセットのうちの
    少なくとも1つに関連する少なくとも1つのアクセスフラグとを格納する、前記
    マイクロプロセッサに接続されている、少なくとも1つのメモリと、 該集積回路カードに格納され、かつ、該マイクロプロセッサにより実行される
    マルチプルアプリケーションオペレーティングシステムであって、該関連するア
    クセスフラグの値に応答して該プログラミング命令の1つ以上のセットへのアク
    セスをイネーブルする、マルチプルアプリケーションオペレーティングシステム
    と、 を包含する、集積回路カード。
  6. 【請求項6】 前記少なくとも1つのアクセスフラグは、読出し専用メモリ
    内に格納される、請求項5に記載の集積回路カード。
  7. 【請求項7】 前記プログラミング命令の1つ以上のセットは、前記読出し
    専用メモリ内に格納される、請求項5または6に記載の集積回路カード。
  8. 【請求項8】 前記少なくとも1つのアプリケーションは、電気的に消去可
    能なプログラマブル読出し専用メモリ内に格納される、請求項5から7のいずれ
    かに記載の集積回路カード。
  9. 【請求項9】 前記アクセスフラグは、電気的に消去可能なプログラマブル
    読出し専用メモリ内に格納される、請求項5から8のいずれかに記載の集積回路
    カード。
  10. 【請求項10】 前記プログラミング命令の少なくとも1つのセットは、暗
    号プリミティブである、請求項5から9のいずれかに記載の集積回路カード。
  11. 【請求項11】 前記暗号プリミティブへのアクセスは、前記アクセスフラ
    グの値が0に設定されているときに拒否され、1に設定されているときに許可さ
    れる、請求項5から10のいずれかに記載の集積回路カード。
  12. 【請求項12】 マイクロプロセッサ、読出し専用メモリ、ランダムアクセ
    スメモリ、および電気的に消去可能なプログラマブル読出し専用メモリを含む集
    積回路カードを含むマルチプルアプリケーションカードシステムにおいて、該読
    出し専用メモリ内に格納されている該プログラミング命令の1つ以上のセットへ
    のアクセスを制御する方法であって、 少なくとも1つのアプリケーションを該ICカードに格納する工程であって、
    該アプリケーションは、該プログラミング命令の少なくとも1つのセットにアク
    セスする、工程と、 該ICカードに、該少なくとも1つのアプリケーションによる該プログラミン
    グ命令の少なくとも1つのセットへのアクセスが許可されるかどうかを示す値を
    有するアクセスフラグを格納する工程と、 該格納されたアプリケーションに応じて、該プログラミング命令の少なくとも
    1つのセットへのアクセスをイネーブルするように、該アクセスフラグを設定す
    る工程と、 該アクセスフラグに応じて、該プログラミング命令の1つ以上のセットへのア
    クセスを可能とする工程と、 を含む、方法。
  13. 【請求項13】 前記アプリケーションは、前記電気的に消去可能なプログ
    ラマブル読出し専用メモリ内に存在する、請求項12に記載の方法。
  14. 【請求項14】 前記プログラミング命令の少なくとも1つのセットは、暗
    号プリミティブである、請求項12または13に記載の方法。
  15. 【請求項15】 前記暗号プリミティブへのアクセスは、前記アクセスフラ
    グの値が0に設定されているときに拒否され、1に設定されているときに許可さ
    れる請求項12から14のいずれかに記載の方法。
JP2000530889A 1998-02-03 1999-02-02 Icカード内のコンピュータコードへのアクセスを制御するシステムおよび方法 Expired - Lifetime JP4798844B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US7356698P 1998-02-03 1998-02-03
US60/073,566 1998-02-03
PCT/GB1999/000350 WO1999040549A1 (en) 1998-02-03 1999-02-02 System and method for controlling access to computer code in an ic card

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2009175590A Division JP2009259274A (ja) 1998-02-03 2009-07-28 Icカード内のコンピュータコードへのアクセスを制御するシステムおよび方法

Publications (2)

Publication Number Publication Date
JP2002503007A true JP2002503007A (ja) 2002-01-29
JP4798844B2 JP4798844B2 (ja) 2011-10-19

Family

ID=22114476

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2000530889A Expired - Lifetime JP4798844B2 (ja) 1998-02-03 1999-02-02 Icカード内のコンピュータコードへのアクセスを制御するシステムおよび方法
JP2009175590A Withdrawn JP2009259274A (ja) 1998-02-03 2009-07-28 Icカード内のコンピュータコードへのアクセスを制御するシステムおよび方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2009175590A Withdrawn JP2009259274A (ja) 1998-02-03 2009-07-28 Icカード内のコンピュータコードへのアクセスを制御するシステムおよび方法

Country Status (6)

Country Link
EP (1) EP1053536B1 (ja)
JP (2) JP4798844B2 (ja)
AT (1) ATE249662T1 (ja)
AU (1) AU2433899A (ja)
DE (1) DE69911174T2 (ja)
WO (1) WO1999040549A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002073196A (ja) * 2000-09-05 2002-03-12 Dainippon Printing Co Ltd 共有アクセス管理機能を備えた携帯可能な情報処理装置
JP2004046907A (ja) * 2003-11-04 2004-02-12 Toshiba Corp 携帯可能電子装置
JP2005196409A (ja) * 2004-01-06 2005-07-21 Sony Corp データ通信装置及びデータ通信装置のメモリ管理方法
US7873166B2 (en) 2005-09-13 2011-01-18 Avaya Inc. Method for undetectably impeding key strength of encryption usage for products exported outside the U.S

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001056848A (ja) * 1999-08-19 2001-02-27 Nec Corp Icコードのコマンド実行制御方法、icカード、icカードプログラムを記録した記録媒体
FR2799021A1 (fr) * 1999-09-27 2001-03-30 Schlumberger Systems & Service Procede de gestion de commandes dans une carte
FR2805108B1 (fr) 2000-02-10 2002-04-05 Bull Cp8 Procede d'enregistrement d'un usager sur un serveur d'annuaire d'un reseau de type internet et/ou de localisation d'un usager sur ce reseau, et carte a puce pour la mise en oeuvre du procede
DE60115072T3 (de) 2000-09-21 2010-04-01 Research In Motion Ltd., Waterloo System und verfahren zum unterschreiben eines software-kodes
EP1433041B1 (en) * 2001-10-01 2011-11-09 Gemalto SA Access to data stored in an embedded database
TW200500887A (en) 2003-03-03 2005-01-01 Nagracard Sa Security modules deactivation and reactivation method
GB0416618D0 (en) * 2004-07-26 2004-08-25 Ecebs Ltd Remote smartcard application management
US8340289B2 (en) 2005-09-29 2012-12-25 Research In Motion Limited System and method for providing an indication of randomness quality of random number data generated by a random data service
US8117453B2 (en) 2005-11-23 2012-02-14 Proton World International N.V. Customization of an electronic circuit
FR2893797A1 (fr) * 2005-11-23 2007-05-25 Proton World Internatinal Nv Personnalisation d'une carte bancaire pour d'autres applications

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS60160491A (ja) * 1984-01-31 1985-08-22 Toshiba Corp Icカードとicカード発行装置
JPS61177585A (ja) * 1985-02-04 1986-08-09 Toshiba Corp 携帯用電子装置密封体
US4816654A (en) * 1986-05-16 1989-03-28 American Telephone And Telegraph Company Improved security system for a portable data carrier
US4868376A (en) * 1987-05-15 1989-09-19 Smartcard International Inc. Intelligent portable interactive personal data system
ATE100229T1 (de) * 1990-07-20 1994-01-15 Siemens Nixdorf Inf Syst Verfahren zur verhinderung unzulaessiger abweichungen vom ablaufprotokoll einer anwendung bei einem datenaustauschsystem.
FR2673476B1 (fr) * 1991-01-18 1996-04-12 Gemplus Card Int Procede securise de chargement de plusieurs applications dans une carte a memoire a microprocesseur.
FR2687816B1 (fr) * 1992-02-24 1994-04-08 Gemplus Card International Procede de personnalisation d'une carte a puce.
US5682027A (en) * 1992-10-26 1997-10-28 Intellect Australia Pty Ltd. System and method for performing transactions and a portable intelligent device therefore

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002073196A (ja) * 2000-09-05 2002-03-12 Dainippon Printing Co Ltd 共有アクセス管理機能を備えた携帯可能な情報処理装置
JP4548758B2 (ja) * 2000-09-05 2010-09-22 大日本印刷株式会社 共有アクセス管理機能を備えた携帯可能な情報処理装置
JP2004046907A (ja) * 2003-11-04 2004-02-12 Toshiba Corp 携帯可能電子装置
JP4542766B2 (ja) * 2003-11-04 2010-09-15 株式会社東芝 携帯可能電子装置
JP2005196409A (ja) * 2004-01-06 2005-07-21 Sony Corp データ通信装置及びデータ通信装置のメモリ管理方法
US7873166B2 (en) 2005-09-13 2011-01-18 Avaya Inc. Method for undetectably impeding key strength of encryption usage for products exported outside the U.S

Also Published As

Publication number Publication date
DE69911174T2 (de) 2004-07-01
ATE249662T1 (de) 2003-09-15
JP4798844B2 (ja) 2011-10-19
EP1053536B1 (en) 2003-09-10
AU2433899A (en) 1999-08-23
WO1999040549A1 (en) 1999-08-12
DE69911174D1 (de) 2003-10-16
JP2009259274A (ja) 2009-11-05
EP1053536A1 (en) 2000-11-22

Similar Documents

Publication Publication Date Title
US6742120B1 (en) System and method for controlling access to computer code in an IC card
JP2009259274A (ja) Icカード内のコンピュータコードへのアクセスを制御するシステムおよび方法
US7469339B2 (en) Secure multiple application card system and process
US6575372B1 (en) Secure multi-application IC card system having selective loading and deleting capability
US6145739A (en) System and method for performing transactions and an intelligent device therefor
AU746459B2 (en) A system and method for a multi-application smart card which can facilitate a post-issuance download of an application onto the smart card
EP1703406B1 (en) Data communicating apparatus and method for managing memory of data communicating apparatus
US5896507A (en) Device having automatic process for upgrading the performance of mobile systems
EP1004992A2 (en) A system and method for a multi-application smart card which can facilitate a post-issuance download of an application onto the smart card
US6357665B1 (en) Configuration of IC card
JPH11505355A (ja) ポータブルデータ処理ユニットを含むデータ交換システム
CN105391840A (zh) 自动创建目标应用程序
CA2147824A1 (en) Host and user transaction system
US8032663B2 (en) Information processing system, information processing apparatus and integrated circuit chip
JP2003508856A (ja) セキュア処理の変復調装置
JP2002511610A (ja) 安全化された端末の管理方法
US7353403B2 (en) Computer systems such as smart cards having memory architectures that can protect security information, and methods of using same
EP1053535B1 (en) Configuration of ic card
US8423797B2 (en) Initialization of a chip card
EP1163623B1 (en) Methods and apparatus for authenticating the download of information onto a smart card
JP3205998B2 (ja) シングルチップマイクロコンピュータ
JP2005122228A (ja) 情報記憶媒体
JP2004127052A (ja) データ管理システム、仮想メモリ装置及び仮想メモリの制御方法、並びにicモジュール・アクセス装置及びicモジュールへのアクセス制御方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20051018

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081023

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090130

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090331

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090728

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20090911

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20091127

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110228

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110303

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110331

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110405

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110428

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110511

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110802

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140812

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term