JP2004030055A - Icカード制御アプリケーション - Google Patents
Icカード制御アプリケーション Download PDFInfo
- Publication number
- JP2004030055A JP2004030055A JP2002183307A JP2002183307A JP2004030055A JP 2004030055 A JP2004030055 A JP 2004030055A JP 2002183307 A JP2002183307 A JP 2002183307A JP 2002183307 A JP2002183307 A JP 2002183307A JP 2004030055 A JP2004030055 A JP 2004030055A
- Authority
- JP
- Japan
- Prior art keywords
- card
- sequence
- execution unit
- command execution
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Credit Cards Or The Like (AREA)
Abstract
【課題】一旦設定された認証シーケンスが変更されてもプログラムを変更することなく対応できるICカード制御アプリケーションを提供する。
【解決手段】ICカード制御アプリケーションは、シーケンス処理の識別名、シーケンス処理の実行に必要な入力パラメータ情報、処理結果を表す出力パラメータ情報、及びシーケンス処理手順を格納した定義ファイルとデータの転送を制御するシーケンス制御部とを有し、認証シーケンスを更改する際、認証シーケンス定義ファイルの変更だけで対応する。
【選択図】 図2
【解決手段】ICカード制御アプリケーションは、シーケンス処理の識別名、シーケンス処理の実行に必要な入力パラメータ情報、処理結果を表す出力パラメータ情報、及びシーケンス処理手順を格納した定義ファイルとデータの転送を制御するシーケンス制御部とを有し、認証シーケンスを更改する際、認証シーケンス定義ファイルの変更だけで対応する。
【選択図】 図2
Description
【0001】
【発明の属する技術分野】
本発明は、ICカードと端末又はサーバとの間で各種シーケンス処理を行うICカード制御アプリケーション、特に多様なシーケンス処理に柔軟に対応することができるICカード制御アプリケーションに関するものである。さらに、本発明は、このようなICカード制御アプリケーションが搭載されているICカード端末及びICカードサーバに関するものである。
【0002】
【従来の技術】
ICカードシステムにおいては、ICカードサーバとICカードとの間のデータの交換である各種のシーケンス処理が実行される。例えば、ICカードとサーバとの間のデータ交換に先立って、相互認証シーケンスが実行される。この相互認証シーケンスとして、ICカードに格納されているICカードアプリケーションの正当性を確認するための内部認証並びにサーバ又は端末装置に搭載されているICカード制御アプリケーションの正当性を確認するための外部認証が実行される。そして、これら認証結果として正当である結果が確認された後、ICカード制御アプリケーションからの要求がICカードアプリケーションにより受け付けられ各種シーケンス処理が実行される。
【0003】
シーケンス処理の一例である相互認証方法として、共通鍵暗号方式及び公開鍵暗号方式等の種々の方法が用いられている。従来、暗号及び署名処理は、一般的には提供される暗号ライブラリが用いられ、プログラムとして直接記述されている。また、認証処理シーケンス全体はICカードアプリケーションの仕様やICカードシステム全体について規定されているセキュリティに基づいて個々のシステム毎に個別に実装されている。
【0004】
【発明が解決しようとする課題】
プロセッサの性能の向上に伴い、暗号解読のスピードも向上している。従って、暗号技術の向上に伴い、一旦設定されたチャレンジ長や暗号の種類を更改して一層高いセキュリティを確保する必要性も高くなっている。しかしながら、一旦設定されたチャレンジ長を変更したり或いは暗号の種類を変更することは、認証プロトコルのプログラムの更改につながり、極めて煩雑な変更手続を必要とする不都合があった。
【0005】
認証シーケンス処理は全てのICカードに必須の機能であり、高度のセキュリティの知識を要するためパッケージやライブラリとして提供されることが好ましい。しかし、ICカード及びICカードアプリケーションは限られたセキュリティ機能しか持たず、ICカード毎に或いはICカードアプリケーション毎に認証シーケンスが規定されているため、ICカード制御アプリケーション側において統一的に認証シーケンス処理を定義又はライブラリ化することは困難であった。従って、端末装置又はサーバに搭載されているICカード制御アプリケーションは、多様な認証シーケンスが搭載されているICカード或いはICカードアプリケーション毎に柔軟に対応でることが要請されている。
【0006】
このようなICカード制御アプリケーションの柔軟な対応は、認証シーケンス処理だけでなく、各種のシーケンス処理についても強く要請されている。すなわち、各種のシーケンス処理においても一旦設定された入力パラメータをその後修正又は変更する要求を多々あるため、このような要求に対して柔軟に対応できる必要がある。
【0007】
従って、本発明の目的は、一旦設定された認証シーケンスが変更されてもプログラムを変更することなく柔軟に対応できるICカード制御アプリケーションを提供することにある。
【0008】
さらに、本発明の別の目的は、ICカード毎に或いはICカードのアプリケーション毎に認証シーケンスが相違しても単一のICカード制御アプリケーションにより対応することができ、多様な認証シーケンスに柔軟に対応することができるICカード制御アプリケーションを提供することにある。
【0009】
【課題を解決するための手段】
本発明によるICカード制御アプリケーションは、ICカード端末又はサーバに搭載され、ICカードに格納されているICカードアプリケーションとの間でシーケンス処理を行うICカード制御アプリケーションであって、
シーケンス処理の識別名、シーケンス処理の実行に必要な入力パラメータ情報、処理結果を表す出力パラメータ情報、及びシーケンス処理手順を各シーケンス処理毎に格納した定義ファイルと、
指定されたシーケンス処理手順に基づいて所定の関数処理を実行する内部コマンド実行部と、
前記内部コマンド実行部の関数処理により生成されたパラメータから送信APDUコマンドを作成すると共に、ICカードアプリケーションから送信されてきた受信APDUコマンドをデコードするAPDUコマンド実行部と、
前記送信APDUコマンドをICカードアプリケーションに送信すると共にICカードアプリケーションから送信されてきたAPDUコマンドを受信するAPDU送受信部と、
前記定義ファイルから、指定されたシーケンス処理に対応する情報を読み出すと共に、当該シーケンス処理において規定されているシーケンス処理手順に基づき、定義ファイルと、内部コマンド実行部と、APDUコマンド実行部との間のデータの転送を制御するシーケンス制御部とを具えることを特徴とする。
【0010】
本発明では、各種シーケンス処理の実行に必要なプログラムと、シーケンス処理に用いられるデータとを分離する。そして、定義ファイルを設け、当該定義ファイルにはシーケンス処理の実行に必要な入力パラメータ情報及び出力パラメータ情報並びにシーケンス処理手順を格納する。さらに、本発明では、シーケンス制御部を設け、指定されたシーケンス処理の処理手順に基づいて定義ファイルと、内部コマンド実行部と、APDUコマンド実行部との間のデータの転送を制御する。この結果、一旦シーケンス処理に必要な各種のパラメータが設定された後に当該パラメータ又はその一部を修正或いは更改する必要性が生じても、プログラムを変更することなく定義ファイルの内容を修正するだけで対応することができる利点が達成される。
【0011】
さらに、本発明では、処理の対象となるICカードアプリケーション毎に規定された定義ファイルを有するので、ICカードアプリケーション毎にシーケンス処理に必要なパラメータやデータ或いは処理手順が相違しても、単一のICカード制御アプリケーションを用いて柔軟に対応することができる。さらに、実行すべきシーケンス処理毎に規定された定義ファイルを有することができるので、シーケンス処理の追加や変更の必要性が生じても定義ファイルを追加又は修正するだけ対応することができる。
【0012】
さらに、各種シーケンス処理において指定されたコマンドを実行するためのプログラムは内部コマンド実行部及びAPDUコマンド実行部がそれぞれ有するので、定義ファイルは、処理シーケンスの識別名、処理シーケンスに必要な入力パラメータ情報、処理シーケンスの実行後返却される出力パラメータ情報と、各種処理を実行する際順次読み出されるコマンド実行部の識別名、及び実行すべきコマンド識別を有するだけで対応することができ、定義ファイルに格納される情報量を少なくすることができる。
【0013】
【発明の実施の形態】
図1は本発明によるICカードシステムの全体構成の一例を示す線図である。ICカード1は、ICカード端末2を介してサーバ3とデータ通信を行う。本例のICカード1は、マルチアプリケーションシステムのICカードであり、同一の又は異なるサービスプロバイダのサーバからダウンロードしたN個のICカードアプリケーション1〜Nが格納されている。ICカード端末2はICカード端末アプリケーションを有し、サーバ3はICカード制御アプリケーションを有し、サーバ3とICカード1との間の認証シーケンス及びデータ通信はサーバ3に搭載されているICカード制御アプリケーションの制御のもとで行われる。尚、ICカード制御アプリケーションはサーバに搭載されている場合だけでなく、ICカード端末2に搭載されている場合にも本発明を適用することができる。
【0014】
図2は、本発明によるICカード制御アプリケーションの一例の構成を示す線図である。ICカード制御アプリケーションは、ICカードに格納されているICカードアプリケーションとの間において各種シーケンス処理を実行する際、実行すべきシーケンス処理の特定等の全体の制御を行うメイン処理部10を有する。また、各種のシーケンスについて処理を行うシーケンス処理部11を有する。このシーケンス処理部は、単一のシーケンス処理部により複数の各種シーケンスに対応することができ、或いはシーケンス毎にシーケンス処理部を設けることもできる。このシーケンス処理部11はシーケンス制御部12及び定義ファイル13を有する。シーケンス制御部12は、当該シーケンス処理における処理を制御し、例えば定義ファイル13に格納されている情報の読み出し及び転送を制御を制御する。定義ファイル13は、処理シーケンスの識別名、シーケンス処理の実行に必要な入力パラメータ情報、シーケンス処理手順、及び処理結果を表す出力パラメータ情報を各種シーケンス処理毎に並びに各種ICカードアプリケーション毎に有する。さらに、このICカード制御アプリケーションは、定義ファイル13に格納されている入力パラメータ情報やICカードアプリケーションから送られてきたデータについて定義ファイルに規定されたシーケンス出力手順に基づいて所定の内部関数処理を実行する内部コマンド実行部14、内部コマンド実行部14の関数処理により生成されたパラメータに基づいて送信APDUコマンドを作成すると共にICカードアプリケーションから送られたきた受信APDUコマンドをデコードするAPDUコマンド実行部15、及び送信APDUコマンドをICカードアプリケーションに送信すると共にICカードアプリケーションから送られてきたAPDUコマンドを受信するAPDU送受信部16を具える。
【0015】
次に、シーケンス処理部11に設けた定義ファイル13について説明する。一例として、ICカードに格納されているICカードアプリケーション1と制御アプリケーションとの間で内部認証シーケンスを実行する際に用いられる定義ファイルを図3に示す。定義ファイルは、実行すべきシーケンスの識別名(本例の場合、内部認証シーケンス)、シーケンス処理の実行に必要な入力パラメータ情報(本例の場合、[入力パラメータ定義])、処理結果を表す出力パラメータ情報(本例の場合、[出力パラメータ定義]、及びシーケンス処理手順(本例の場合、[シーケンス定義]、[処理1]、[処理2]、及び[処理3])を有する。シーケンス定義の[処理1〜3]における「コマンド種類」は読み出されるコマンドの種類を示し、本例では内部コマンド又はAPDUコマンドが読み出される。また、コマンド名は、実行すべきコマンドないし処理の内容を示す。従って、[処理1]においては、内部コマンドが読み出され、内部コマンド実行部13において入力パラメータ情報を用いてチャレンジの生成が行われる。また、[処理2]においては、APDUコマンドが読み出され、APDUコマンド実行部14において送信APDUの生成、APDU送受信部においてAPDU送受信、APDUコマンド実行部14にて受信APDUのデコードが行われる。さらに、[処理3]においては、内部コマンドが読み出され、内部コマンド実行部において検証が行われる。
【0016】
尚、入力パラメータ及び出力パラメータ等の各種パラメータを一旦設定した後、セキュリティのレベルを一層高くするが望まれる場合、定義ファイルに記述されている各種パラメータ又はコマンドの処理内容を追加又は変更するだけ対応することができる。
【0017】
図4は、認証シーケンス処理に用いられる定義ファイルの変形例を示す。
【0018】
次に、図5を参照しながら、内部認証シーケンスの処理手順について説明する。ICカード端末2にICカード1が装着されると、ICカード端末アプリケーションによりデータ処理すべきICカードアプリケーションが特定され、ICカード制御アプリケーションに送信される。メイン処理部10は、シーケンス処理部11に対して内部認証処理を実行すべきことを要求する。認証処理部11のシーケンス制御部12は、定義ファイル13を検索し、認証シーケンス処理の対象となるICカードアプリケーションの認証シーケンス定義ファイルを見出す。図3に示す定義ファイルの内容がシーケンス制御部12により読み出され、シーケンス制御部の制御のもとで内部認証シーケンスが実行される。初めに、入力パラメータ1=チャレンジ長が内部コマンド実行部14に転送され、チャレンジが生成され、シーケンス制御部12に転送される。(処理1)
【0019】
次に、生成されたチャレンジがAPDUコマンド実行部15に転送され、APDUバイト列に変換され、送信APDUが生成される。この送信APDUはシーケンス制御部に転送され、シーケンス制御部からAPDU送受信部16に転送される。この送信APDUは、ICカードアプリケーション1に転送され、ICカードアプリケーション1により署名データが作成される。この署名データはAPDU送受信部に返信され、APDUコマンド実行部15に転送される。APDUコマンド実行部は、受信したAPDUバイト列の署名データをデコードし、処理コードに変換してシーケンス制御部に転送される。(処理2)
【0020】
シーケンス制御部12は、ICカードから送られて来た署名データを、入力パラメータ=公開鍵と共に内部コマンド実行部14に転送する。内部コマンド実行部14は、受信した署名データを公開鍵を用いて検証する。そして、当該ICカードアプリケーションが正当なICカードアプリケーションの場合、処理結果として出力パラメータ=Resultをシーケンス制御12に転送する。(処理3)
【0021】
上述した一連の処理1〜3により内部認証シーケンスが終了し、次のシーケンス処理に移行する。
【0022】
図6は内部認証シーケンスの手順の変形例を示す。本例はシーケンス制御部がAPDU送受信部にアクセスすることが許されないシステムにおける適用例てある。本例では、メイン処理部が、内部認証処理を実行可能なシーケンス処理部十APDU送受信部にアクセス可能である。このようなシステム構成の場合、シーケンス処理部は、シーケンス処理の途中でAPDUを送信するために、一旦処理を終了し、メイン処理部に送信APDUを返却しなければならない。そのためには、シーケンス処理部の内部において、シーケンス処理がどこまで進んだかという状態を保持しておく必要が生ずる。
従って、本例では、メイン処理部がシーケンス処理部に対して内部認証処理を状態すべきことを要求する際に、必要なパラメータの他に、セッションIDを渡す。シーケンス処理部は、認証シーケンス定義ファイルの記述に従って処理を途中まで行い、セッションIDを状態と共に保存し、処理を終了してメイン処理部に送信APDUとセッションIDを返却する。メイン処理部はAPDU送受信部によりAPDUの送受信を行い、受信APDUをセッションIDと共にシーケンス処理部に送信する。シーケンス処理部は、以前保存した状態をセッションIDから検索し、シーケンスの続きの処理を行う。
【0023】
本発明によるICカード制御アプリケーションは、例えばCD−ROM等の記録媒体に格納して使用することができる。従って、本発明のICカード制御アプリケーションが格納された記録媒体をICカード端末やサーバに装着するだけ本発明によるICカード認証方式を実施することができる。
【0024】
本発明は上述した実施例だけに限定されず種々の変形や変更が可能である。例えば、上述した実施例では、内部認証シーケンスについて説明したが、ICカード制御アプリケーションの正当性を確認するための外部認証シーケンス等の種々の認証シーケンスについも適用することができる。
【0025】
【発明の効果】
以上説明したように、本発明によれば、認証シーケンスを更改する際、コマンド実行部へのライブラリの追加及び認証シーケンス定義ファイルの変更だけで対応することができ、プログラムの修正を必要としない利点が達成される。
また、認証シーケンス処理部を多様な認証シーケンス処理に対応可能なライブラリとして提供することができる。さらに、認証シーケンス定義ファイルにAPDU生成解読部のIFを定義することが可能であり、いかなるICカード制御アプリケーションにも対応することができる。さらに、認証シーケンス定義ファイルの内容を変更することで、ICカードの機能制限やICカードアプリケーションの多様なセキュリティプロトコルに対応した多様な認証シーケンスに対応することができる。
【図面の簡単な説明】
【図1】本発明によるICカードシステムの全体構成を示す線図である。
【図2】本発明によるICカード制御アプリケーションの一例を示す線図である。
【図3】本発明による定義ファイルの一例を示す線図である。
【図4】本発明による定義ファイルの変形例を示す線図である。
【図5】図2に示すICカード制御アプリケーションを用いた内部認証シーケンスの手順を示す線図である。
【図6】内部認証シーケンスの手順の変形例を示す線図である。
【符号の説明】
1 ICカード
2 ICカード端末
3 サーバ
10 メイン処理部
11 シーケンス処理部
12 シーケンス制御部
13 定義ファイル
14 内部コマンド実行部
15 APDUコマンド実行部
16 APDU送受信部
【発明の属する技術分野】
本発明は、ICカードと端末又はサーバとの間で各種シーケンス処理を行うICカード制御アプリケーション、特に多様なシーケンス処理に柔軟に対応することができるICカード制御アプリケーションに関するものである。さらに、本発明は、このようなICカード制御アプリケーションが搭載されているICカード端末及びICカードサーバに関するものである。
【0002】
【従来の技術】
ICカードシステムにおいては、ICカードサーバとICカードとの間のデータの交換である各種のシーケンス処理が実行される。例えば、ICカードとサーバとの間のデータ交換に先立って、相互認証シーケンスが実行される。この相互認証シーケンスとして、ICカードに格納されているICカードアプリケーションの正当性を確認するための内部認証並びにサーバ又は端末装置に搭載されているICカード制御アプリケーションの正当性を確認するための外部認証が実行される。そして、これら認証結果として正当である結果が確認された後、ICカード制御アプリケーションからの要求がICカードアプリケーションにより受け付けられ各種シーケンス処理が実行される。
【0003】
シーケンス処理の一例である相互認証方法として、共通鍵暗号方式及び公開鍵暗号方式等の種々の方法が用いられている。従来、暗号及び署名処理は、一般的には提供される暗号ライブラリが用いられ、プログラムとして直接記述されている。また、認証処理シーケンス全体はICカードアプリケーションの仕様やICカードシステム全体について規定されているセキュリティに基づいて個々のシステム毎に個別に実装されている。
【0004】
【発明が解決しようとする課題】
プロセッサの性能の向上に伴い、暗号解読のスピードも向上している。従って、暗号技術の向上に伴い、一旦設定されたチャレンジ長や暗号の種類を更改して一層高いセキュリティを確保する必要性も高くなっている。しかしながら、一旦設定されたチャレンジ長を変更したり或いは暗号の種類を変更することは、認証プロトコルのプログラムの更改につながり、極めて煩雑な変更手続を必要とする不都合があった。
【0005】
認証シーケンス処理は全てのICカードに必須の機能であり、高度のセキュリティの知識を要するためパッケージやライブラリとして提供されることが好ましい。しかし、ICカード及びICカードアプリケーションは限られたセキュリティ機能しか持たず、ICカード毎に或いはICカードアプリケーション毎に認証シーケンスが規定されているため、ICカード制御アプリケーション側において統一的に認証シーケンス処理を定義又はライブラリ化することは困難であった。従って、端末装置又はサーバに搭載されているICカード制御アプリケーションは、多様な認証シーケンスが搭載されているICカード或いはICカードアプリケーション毎に柔軟に対応でることが要請されている。
【0006】
このようなICカード制御アプリケーションの柔軟な対応は、認証シーケンス処理だけでなく、各種のシーケンス処理についても強く要請されている。すなわち、各種のシーケンス処理においても一旦設定された入力パラメータをその後修正又は変更する要求を多々あるため、このような要求に対して柔軟に対応できる必要がある。
【0007】
従って、本発明の目的は、一旦設定された認証シーケンスが変更されてもプログラムを変更することなく柔軟に対応できるICカード制御アプリケーションを提供することにある。
【0008】
さらに、本発明の別の目的は、ICカード毎に或いはICカードのアプリケーション毎に認証シーケンスが相違しても単一のICカード制御アプリケーションにより対応することができ、多様な認証シーケンスに柔軟に対応することができるICカード制御アプリケーションを提供することにある。
【0009】
【課題を解決するための手段】
本発明によるICカード制御アプリケーションは、ICカード端末又はサーバに搭載され、ICカードに格納されているICカードアプリケーションとの間でシーケンス処理を行うICカード制御アプリケーションであって、
シーケンス処理の識別名、シーケンス処理の実行に必要な入力パラメータ情報、処理結果を表す出力パラメータ情報、及びシーケンス処理手順を各シーケンス処理毎に格納した定義ファイルと、
指定されたシーケンス処理手順に基づいて所定の関数処理を実行する内部コマンド実行部と、
前記内部コマンド実行部の関数処理により生成されたパラメータから送信APDUコマンドを作成すると共に、ICカードアプリケーションから送信されてきた受信APDUコマンドをデコードするAPDUコマンド実行部と、
前記送信APDUコマンドをICカードアプリケーションに送信すると共にICカードアプリケーションから送信されてきたAPDUコマンドを受信するAPDU送受信部と、
前記定義ファイルから、指定されたシーケンス処理に対応する情報を読み出すと共に、当該シーケンス処理において規定されているシーケンス処理手順に基づき、定義ファイルと、内部コマンド実行部と、APDUコマンド実行部との間のデータの転送を制御するシーケンス制御部とを具えることを特徴とする。
【0010】
本発明では、各種シーケンス処理の実行に必要なプログラムと、シーケンス処理に用いられるデータとを分離する。そして、定義ファイルを設け、当該定義ファイルにはシーケンス処理の実行に必要な入力パラメータ情報及び出力パラメータ情報並びにシーケンス処理手順を格納する。さらに、本発明では、シーケンス制御部を設け、指定されたシーケンス処理の処理手順に基づいて定義ファイルと、内部コマンド実行部と、APDUコマンド実行部との間のデータの転送を制御する。この結果、一旦シーケンス処理に必要な各種のパラメータが設定された後に当該パラメータ又はその一部を修正或いは更改する必要性が生じても、プログラムを変更することなく定義ファイルの内容を修正するだけで対応することができる利点が達成される。
【0011】
さらに、本発明では、処理の対象となるICカードアプリケーション毎に規定された定義ファイルを有するので、ICカードアプリケーション毎にシーケンス処理に必要なパラメータやデータ或いは処理手順が相違しても、単一のICカード制御アプリケーションを用いて柔軟に対応することができる。さらに、実行すべきシーケンス処理毎に規定された定義ファイルを有することができるので、シーケンス処理の追加や変更の必要性が生じても定義ファイルを追加又は修正するだけ対応することができる。
【0012】
さらに、各種シーケンス処理において指定されたコマンドを実行するためのプログラムは内部コマンド実行部及びAPDUコマンド実行部がそれぞれ有するので、定義ファイルは、処理シーケンスの識別名、処理シーケンスに必要な入力パラメータ情報、処理シーケンスの実行後返却される出力パラメータ情報と、各種処理を実行する際順次読み出されるコマンド実行部の識別名、及び実行すべきコマンド識別を有するだけで対応することができ、定義ファイルに格納される情報量を少なくすることができる。
【0013】
【発明の実施の形態】
図1は本発明によるICカードシステムの全体構成の一例を示す線図である。ICカード1は、ICカード端末2を介してサーバ3とデータ通信を行う。本例のICカード1は、マルチアプリケーションシステムのICカードであり、同一の又は異なるサービスプロバイダのサーバからダウンロードしたN個のICカードアプリケーション1〜Nが格納されている。ICカード端末2はICカード端末アプリケーションを有し、サーバ3はICカード制御アプリケーションを有し、サーバ3とICカード1との間の認証シーケンス及びデータ通信はサーバ3に搭載されているICカード制御アプリケーションの制御のもとで行われる。尚、ICカード制御アプリケーションはサーバに搭載されている場合だけでなく、ICカード端末2に搭載されている場合にも本発明を適用することができる。
【0014】
図2は、本発明によるICカード制御アプリケーションの一例の構成を示す線図である。ICカード制御アプリケーションは、ICカードに格納されているICカードアプリケーションとの間において各種シーケンス処理を実行する際、実行すべきシーケンス処理の特定等の全体の制御を行うメイン処理部10を有する。また、各種のシーケンスについて処理を行うシーケンス処理部11を有する。このシーケンス処理部は、単一のシーケンス処理部により複数の各種シーケンスに対応することができ、或いはシーケンス毎にシーケンス処理部を設けることもできる。このシーケンス処理部11はシーケンス制御部12及び定義ファイル13を有する。シーケンス制御部12は、当該シーケンス処理における処理を制御し、例えば定義ファイル13に格納されている情報の読み出し及び転送を制御を制御する。定義ファイル13は、処理シーケンスの識別名、シーケンス処理の実行に必要な入力パラメータ情報、シーケンス処理手順、及び処理結果を表す出力パラメータ情報を各種シーケンス処理毎に並びに各種ICカードアプリケーション毎に有する。さらに、このICカード制御アプリケーションは、定義ファイル13に格納されている入力パラメータ情報やICカードアプリケーションから送られてきたデータについて定義ファイルに規定されたシーケンス出力手順に基づいて所定の内部関数処理を実行する内部コマンド実行部14、内部コマンド実行部14の関数処理により生成されたパラメータに基づいて送信APDUコマンドを作成すると共にICカードアプリケーションから送られたきた受信APDUコマンドをデコードするAPDUコマンド実行部15、及び送信APDUコマンドをICカードアプリケーションに送信すると共にICカードアプリケーションから送られてきたAPDUコマンドを受信するAPDU送受信部16を具える。
【0015】
次に、シーケンス処理部11に設けた定義ファイル13について説明する。一例として、ICカードに格納されているICカードアプリケーション1と制御アプリケーションとの間で内部認証シーケンスを実行する際に用いられる定義ファイルを図3に示す。定義ファイルは、実行すべきシーケンスの識別名(本例の場合、内部認証シーケンス)、シーケンス処理の実行に必要な入力パラメータ情報(本例の場合、[入力パラメータ定義])、処理結果を表す出力パラメータ情報(本例の場合、[出力パラメータ定義]、及びシーケンス処理手順(本例の場合、[シーケンス定義]、[処理1]、[処理2]、及び[処理3])を有する。シーケンス定義の[処理1〜3]における「コマンド種類」は読み出されるコマンドの種類を示し、本例では内部コマンド又はAPDUコマンドが読み出される。また、コマンド名は、実行すべきコマンドないし処理の内容を示す。従って、[処理1]においては、内部コマンドが読み出され、内部コマンド実行部13において入力パラメータ情報を用いてチャレンジの生成が行われる。また、[処理2]においては、APDUコマンドが読み出され、APDUコマンド実行部14において送信APDUの生成、APDU送受信部においてAPDU送受信、APDUコマンド実行部14にて受信APDUのデコードが行われる。さらに、[処理3]においては、内部コマンドが読み出され、内部コマンド実行部において検証が行われる。
【0016】
尚、入力パラメータ及び出力パラメータ等の各種パラメータを一旦設定した後、セキュリティのレベルを一層高くするが望まれる場合、定義ファイルに記述されている各種パラメータ又はコマンドの処理内容を追加又は変更するだけ対応することができる。
【0017】
図4は、認証シーケンス処理に用いられる定義ファイルの変形例を示す。
【0018】
次に、図5を参照しながら、内部認証シーケンスの処理手順について説明する。ICカード端末2にICカード1が装着されると、ICカード端末アプリケーションによりデータ処理すべきICカードアプリケーションが特定され、ICカード制御アプリケーションに送信される。メイン処理部10は、シーケンス処理部11に対して内部認証処理を実行すべきことを要求する。認証処理部11のシーケンス制御部12は、定義ファイル13を検索し、認証シーケンス処理の対象となるICカードアプリケーションの認証シーケンス定義ファイルを見出す。図3に示す定義ファイルの内容がシーケンス制御部12により読み出され、シーケンス制御部の制御のもとで内部認証シーケンスが実行される。初めに、入力パラメータ1=チャレンジ長が内部コマンド実行部14に転送され、チャレンジが生成され、シーケンス制御部12に転送される。(処理1)
【0019】
次に、生成されたチャレンジがAPDUコマンド実行部15に転送され、APDUバイト列に変換され、送信APDUが生成される。この送信APDUはシーケンス制御部に転送され、シーケンス制御部からAPDU送受信部16に転送される。この送信APDUは、ICカードアプリケーション1に転送され、ICカードアプリケーション1により署名データが作成される。この署名データはAPDU送受信部に返信され、APDUコマンド実行部15に転送される。APDUコマンド実行部は、受信したAPDUバイト列の署名データをデコードし、処理コードに変換してシーケンス制御部に転送される。(処理2)
【0020】
シーケンス制御部12は、ICカードから送られて来た署名データを、入力パラメータ=公開鍵と共に内部コマンド実行部14に転送する。内部コマンド実行部14は、受信した署名データを公開鍵を用いて検証する。そして、当該ICカードアプリケーションが正当なICカードアプリケーションの場合、処理結果として出力パラメータ=Resultをシーケンス制御12に転送する。(処理3)
【0021】
上述した一連の処理1〜3により内部認証シーケンスが終了し、次のシーケンス処理に移行する。
【0022】
図6は内部認証シーケンスの手順の変形例を示す。本例はシーケンス制御部がAPDU送受信部にアクセスすることが許されないシステムにおける適用例てある。本例では、メイン処理部が、内部認証処理を実行可能なシーケンス処理部十APDU送受信部にアクセス可能である。このようなシステム構成の場合、シーケンス処理部は、シーケンス処理の途中でAPDUを送信するために、一旦処理を終了し、メイン処理部に送信APDUを返却しなければならない。そのためには、シーケンス処理部の内部において、シーケンス処理がどこまで進んだかという状態を保持しておく必要が生ずる。
従って、本例では、メイン処理部がシーケンス処理部に対して内部認証処理を状態すべきことを要求する際に、必要なパラメータの他に、セッションIDを渡す。シーケンス処理部は、認証シーケンス定義ファイルの記述に従って処理を途中まで行い、セッションIDを状態と共に保存し、処理を終了してメイン処理部に送信APDUとセッションIDを返却する。メイン処理部はAPDU送受信部によりAPDUの送受信を行い、受信APDUをセッションIDと共にシーケンス処理部に送信する。シーケンス処理部は、以前保存した状態をセッションIDから検索し、シーケンスの続きの処理を行う。
【0023】
本発明によるICカード制御アプリケーションは、例えばCD−ROM等の記録媒体に格納して使用することができる。従って、本発明のICカード制御アプリケーションが格納された記録媒体をICカード端末やサーバに装着するだけ本発明によるICカード認証方式を実施することができる。
【0024】
本発明は上述した実施例だけに限定されず種々の変形や変更が可能である。例えば、上述した実施例では、内部認証シーケンスについて説明したが、ICカード制御アプリケーションの正当性を確認するための外部認証シーケンス等の種々の認証シーケンスについも適用することができる。
【0025】
【発明の効果】
以上説明したように、本発明によれば、認証シーケンスを更改する際、コマンド実行部へのライブラリの追加及び認証シーケンス定義ファイルの変更だけで対応することができ、プログラムの修正を必要としない利点が達成される。
また、認証シーケンス処理部を多様な認証シーケンス処理に対応可能なライブラリとして提供することができる。さらに、認証シーケンス定義ファイルにAPDU生成解読部のIFを定義することが可能であり、いかなるICカード制御アプリケーションにも対応することができる。さらに、認証シーケンス定義ファイルの内容を変更することで、ICカードの機能制限やICカードアプリケーションの多様なセキュリティプロトコルに対応した多様な認証シーケンスに対応することができる。
【図面の簡単な説明】
【図1】本発明によるICカードシステムの全体構成を示す線図である。
【図2】本発明によるICカード制御アプリケーションの一例を示す線図である。
【図3】本発明による定義ファイルの一例を示す線図である。
【図4】本発明による定義ファイルの変形例を示す線図である。
【図5】図2に示すICカード制御アプリケーションを用いた内部認証シーケンスの手順を示す線図である。
【図6】内部認証シーケンスの手順の変形例を示す線図である。
【符号の説明】
1 ICカード
2 ICカード端末
3 サーバ
10 メイン処理部
11 シーケンス処理部
12 シーケンス制御部
13 定義ファイル
14 内部コマンド実行部
15 APDUコマンド実行部
16 APDU送受信部
Claims (8)
- ICカード端末又はサーバに搭載され、ICカードに格納されているICカードアプリケーションとの間でシーケンス処理を行うICカード制御アプリケーションであって、
シーケンス処理の識別名、シーケンス処理の実行に必要な入力パラメータ情報、処理結果を表す出力パラメータ情報、及びシーケンス処理手順を各シーケンス処理毎に格納した定義ファイルと、
所定の関数処理を実行する内部コマンド実行部と、
パラメータから送信APDUコマンドを作成すると共に、ICカードアプリケーションから送信されてきた受信APDUコマンドをデコードするAPDUコマンド実行部と、
前記送信APDUコマンドをICカードアプリケーションに送信すると共にICカードアプリケーションから送信されてきたAPDUコマンドを受信するAPDU送受信部と、
前記定義ファイルから、指定されたシーケンス処理に対応する情報を読み出すと共に、当該シーケンス処理において規定されているシーケンス処理手順に基づき、定義ファイルと、内部コマンド実行部と、APDUコマンド実行部との間のデータの転送を制御するシーケンス制御部とを具えることを特徴とするICカード制御アプリケーション。 - 前記定義ファイルは、シーケンス処理手順として、処理を実行するコマンド実行部の識別名と、実行すべきコマンド名と、各処理においてコマンド実行部に供給される入力パラメータ情報とを含むことを特徴とする請求項1に記載のICカード制御アプリケーション。
- 前記ICカードを複数のICカードアプリケーションが格納されているマルチアプリケーションのICカードとし、前記定義ファイルは、ICカードアプリケーション毎に規定された定義ファイルを有することを特徴とする請求項1又は2に記載のICカード制御アプリケーション。
- 請求項1から3までのいずれか1項に記載のICカード制御アプリケーションにおいて、前記内部コマンド実行部及びAPDUコマンド実行部が実行する各処理のプログラムは、内部コマンド実行部及びAPDUコマンド実行部にそれぞれ実装されていることを特徴とするICカード制御アプリケーション。
- 前記シーケンス処理部を、当該ICカード制御アプリケーションとICカードアプリケーションと間において内部認証シーケンスを実行する認証シーケンス処理部とし、前記定義ファイルは、シーケンス処理手順として、内部コマンド実行部において実行されるチャレンジの生成処理と、APDUコマンド実行部において実行される、生成されたチャレンジのAPDUコマンドへの変換処理及びICカードアプリケーションから受信した受信APDUコマンドのデコード処理と、内部コマンド実行部におけるデコードされた署名データの検証処理とを含むことを特徴とする請求項1から4までのいずれか1項に記載のICカード制御アプリケーション。
- 請求項1から5までのいずれか1項に記載のICカード制御アプリケーションが格納されている記録媒体。
- 請求項1から5までのいずれか1項に記載のICカード制御アプリケーションが搭載されているICカード端末。
- 請求項1から5までのいずれか1項に記載のICカード制御アプリケーションが搭載されているICカードサーバ。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002183307A JP3857190B2 (ja) | 2002-06-24 | 2002-06-24 | Icカード制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002183307A JP3857190B2 (ja) | 2002-06-24 | 2002-06-24 | Icカード制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004030055A true JP2004030055A (ja) | 2004-01-29 |
| JP3857190B2 JP3857190B2 (ja) | 2006-12-13 |
Family
ID=31179566
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002183307A Expired - Lifetime JP3857190B2 (ja) | 2002-06-24 | 2002-06-24 | Icカード制御装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3857190B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007026118A (ja) * | 2005-07-15 | 2007-02-01 | Dainippon Printing Co Ltd | Icカード、icカード用プログラム |
| CN112068909A (zh) * | 2020-07-31 | 2020-12-11 | 中核核电运行管理有限公司 | 一种核电运行规程移动执行卡片生成系统及方法 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7321746B2 (ja) * | 2019-04-11 | 2023-08-07 | 株式会社Ihiアグリテック | 農作業機自動化用汎用システム |
-
2002
- 2002-06-24 JP JP2002183307A patent/JP3857190B2/ja not_active Expired - Lifetime
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007026118A (ja) * | 2005-07-15 | 2007-02-01 | Dainippon Printing Co Ltd | Icカード、icカード用プログラム |
| CN112068909A (zh) * | 2020-07-31 | 2020-12-11 | 中核核电运行管理有限公司 | 一种核电运行规程移动执行卡片生成系统及方法 |
| CN112068909B (zh) * | 2020-07-31 | 2023-10-20 | 中核核电运行管理有限公司 | 一种核电运行规程移动执行卡片生成系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3857190B2 (ja) | 2006-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8370643B2 (en) | Cryptographic module selecting device and program | |
| US8010781B2 (en) | Method and system to accelerate cryptographic functions for secure E-commerce applications | |
| US8417964B2 (en) | Software module management device and program | |
| EP1292082B1 (en) | Method and apparatus for establishing secure session | |
| WO2007014314A2 (en) | Secure software updates | |
| US8886121B2 (en) | Communication device, commnunication method, and program | |
| US8638932B2 (en) | Security method and system and computer-readable medium storing computer program for executing the security method | |
| US7610488B2 (en) | Data processing device and method and program of same | |
| EP2372592B1 (en) | integrated circuit and system for installing computer code thereon | |
| JP7443433B2 (ja) | 不揮発性メモリデバイス内部からの保護された通信 | |
| US20040247118A1 (en) | Data processing device, method of same, and program of same | |
| US9449453B2 (en) | Portable electronic entity and method for personalization of such an electronic entity | |
| JP5261525B2 (ja) | スマートカードと通信する装置においてメッセージのハッシュを計算する方法 | |
| WO2016157037A1 (en) | Embedding protected memory access into a rfid authentication process based on a challenge-response mechanism | |
| JP4236830B2 (ja) | アップロード機能付き記憶装置 | |
| US20080260163A1 (en) | Communication encryption processing apparatus | |
| JP2004030055A (ja) | Icカード制御アプリケーション | |
| JP7052616B2 (ja) | 通信デバイス、データ送信方法、及びプログラム | |
| JP3887263B2 (ja) | Icカードシステム及びicカードの通信制御アプリケーション | |
| JP3878090B2 (ja) | Icカード発行システム | |
| CN118070316A (en) | Offline authorization method, offline authorization system and storage medium based on security device | |
| JP2000339417A (ja) | Icカードセキュリティ管理方法及びicカードシステム及びicカードセキュリティ管理プログラムを格納した記憶媒体 | |
| CN112101048A (zh) | 身份识别信息的处理装置及方法 | |
| JP2008027116A (ja) | セキュリティ管理装置、icカード、およびセキュリティ管理方法 | |
| JP2012181755A (ja) | マルチカードシステム、メッセージテーブル更新方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040226 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20051013 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051206 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060203 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060620 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060818 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060912 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060913 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 3857190 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090922 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100922 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100922 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110922 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120922 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130922 Year of fee payment: 7 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| EXPY | Cancellation because of completion of term |