JP2005010991A - 携帯可能電子媒体と携帯可能電子媒体処理システム - Google Patents
携帯可能電子媒体と携帯可能電子媒体処理システム Download PDFInfo
- Publication number
- JP2005010991A JP2005010991A JP2003173262A JP2003173262A JP2005010991A JP 2005010991 A JP2005010991 A JP 2005010991A JP 2003173262 A JP2003173262 A JP 2003173262A JP 2003173262 A JP2003173262 A JP 2003173262A JP 2005010991 A JP2005010991 A JP 2005010991A
- Authority
- JP
- Japan
- Prior art keywords
- portable electronic
- electronic medium
- card
- key
- expiration date
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Credit Cards Or The Like (AREA)
Abstract
【課題】この発明は、携帯可能電子媒体に内蔵する鍵に有効期限を持たせる事により、セキュリティ性を向上させることができる。
【解決手段】この発明は、電源供給の有無に拘わらず動作するタイマ機能を利用してICカードが内蔵する鍵に有効期限を持たせる事により、一定期間を経過したICカードは鍵を照合・解除することができなくするものである。
【選択図】 図1
【解決手段】この発明は、電源供給の有無に拘わらず動作するタイマ機能を利用してICカードが内蔵する鍵に有効期限を持たせる事により、一定期間を経過したICカードは鍵を照合・解除することができなくするものである。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
この発明は、一般にICカードと称される携帯可能な電子媒体のセキュリティ性能を高める方法、具体的には有効期限を経過すると照合不可能となる鍵を内部に有する携帯可能電子媒体と携帯可能電子媒体処理システムに関する。
【0002】
【従来の技術】
通常、携帯可能電子媒体としてのICカードは内部に電源を有しないため、時計機能を持つことが出来ない。(特許文献1参照)
従って通常、ICカードが内蔵する鍵には有効期限という概念が無く、例えば第三者がICカードを不正に入手して鍵を解析しようと試みた場合、十分な設備と時間が供されればそれは不可能であるとは言い切れないという欠点があった。
【0003】
また、最近、外部からの電源供給の有無に拘わらず、一定期間を経過すると切り換わるスイッチ(タイマ)機能をICチップ上に設ける方法が提案されている。
そこで、このタイマ機能をICカードに応用してセキュリティ性を向上させるものが要望されている。
【0004】
【特許文献1】
特開2000−105788号公報。
【0005】
【発明が解決しようとする課題】
この発明は、不揮発性メモリと制御素子とを有し、製造時、あるいは発行時に、内蔵鍵を上記不揮発性メモリに設定し、この内蔵鍵の照合・解除により、該携帯可能電子媒体の利用が可能となり、外部機器からの電源供給により作動する携帯可能電子媒体とこの携帯可能電子媒体を扱う携帯可能電子媒体処理システムにおいて、該携帯可能電子媒体に内蔵する鍵に有効期限を持たせる事により、セキュリティ性を向上させることができることを目的としている。
【0006】
【課題を解決するための手段】
この発明の携帯可能電子媒体は、不揮発性メモリと制御素子とを有し、製造時、あるいは発行時に、内蔵鍵を上記不揮発性メモリに設定し、この内蔵鍵の照合・解除により、該携帯可能電子媒体の利用が可能となり、外部機器からの電源供給により作動する携帯可能電子媒体において、電源供給に関係なく作動し、該携帯可能電子媒体の製造時、あるいは発行時からの所定の時間としての有効期限を計測する計測手段と、外部機器からの電源供給がなされた際に、上記計測手段により有効期限が計測されているか否かを判断する判断手段と、この判断手段により有効期限が計測されていると判断された際に、上記内蔵鍵の照合・解除が行われていなかった場合、該携帯可能電子媒体の利用を不能とする処理手段とを有する。
【0007】
この発明の携帯可能電子媒体は、不揮発性メモリと制御素子とを有し、製造時、あるいは発行時に、内蔵鍵を上記不揮発性メモリに設定し、この内蔵鍵の照合・解除により、該携帯可能電子媒体の利用が可能となり、外部機器からの電源供給により作動する携帯可能電子媒体と、この携帯可能電子媒体を扱う端末からなる携帯可能電子媒体処理システムにおいて、上記端末が、上記携帯可能電子媒体へ電源を供給する供給手段と、この供給手段による電源の供給時、上記携帯可能電子媒体からの鍵要求に基づいて、鍵を設定する設定手段と、この設定手段により設定された鍵を上記携帯可能電子媒体へ送信する送信手段と、この送信手段による鍵の送信に応答して、上記携帯可能電子媒体から認証が供給された際に、処理の実行を許可する許可手段とからなり、上記携帯可能電子媒体が、電源供給に関係なく作動し、該携帯可能電子媒体の製造時、あるいは発行時からの所定の時間としての有効期限を計測する計測手段と、外部機器からの電源供給がなされた際に、上記計測手段により有効期限が計測されているか否かを判断する判断手段と、この判断手段により有効期限が計測されていると判断された際に、上記内蔵鍵の照合・解除が行われていなかった場合、該携帯可能電子媒体の利用を不能とする処理手段とを有する。
【0008】
【発明の実施の形態】
以下、図面を参照してこの発明のICカード処理システム(携帯可能電子媒体処理システム)としてのICカード発行システムを説明する。
このICカード発行システムは、図1に示すように、パソコン(PC)1とこのPC1と通信ライン2を介して接続されているリーダライタ3とからなる。このリーダライタ3には、図示しないコネクタ等で接続される発行対象カードとしてのICカード4が装着されるようになっている。
【0009】
PC1としては、一次発行用のものと二次発行用のものとがあり、暗証番号等により使用者を特定している。この一次発行用のPC1と二次発行用のPC1とは、処理プログラムが異なっているとともに、後述するメモリ6に登録されているマスターキー(MS1、MS2)が異なっている。
【0010】
PC1は、PC1の全体を制御する制御部5、制御用のプログラムが記憶されていたり種々のデータが記憶されるメモリ6、操作指示を行うキーボード等の操作部7、操作案内等が表示される表示部8、リーダライタ3とのデータのやり取りを行うインターフェース9により構成されている。
【0011】
リーダライタ3は、リーダライタ3の全体を制御するCPU10、制御用のプログラムが記憶されていたり種々のデータが記憶されるメモリ11、PC1とのデータのやり取りを行うインターフェース12、ICカード4とのデータのやり取りを行うインターフェース13により構成されている。また、リーダライタ3には、ICカード4の挿入検知を行う検知器(図示しない)を有し、この検知結果をPC1へ出力するようになっている。また、リーダライタ3は、ICカード4の挿入検知時にICカード4の内容を読取り、アプリケーション等が未記録の発行用のカードか否かを示すデータをPC1へ出力するようにしても良い。
【0012】
ICカード4は、図2に示すように、ICカード4の全体を制御するCPU(制御素子)14、カード内部動作の制御用のプログラムが記憶されているROM(プログラムメモリ)15、外部(リーダライタ3)と交換する電文の送受信バッファとCPU14の処理中のデータの一時格納バッファとして利用されるRAM(ワーキングメモリ)16、アプリケーション運用でその内容をリードライトして使用される運用データが格納され、認証用の鍵(後述するマスターキー、ディフェンダーキー)等が格納されるEEPROM等で構成されるデータメモリ17、リーダライタ3とのデータのやり取りを行うインターフェース18、電源供給が無くても動作するタイマ(電源供給の有り無しに係らず一定期間の経過を計測するタイマ素子)であるバッテリーレスのタイマ回路31、コンタクト部19により構成されている。
アプリケーションプログラムとしては、一例として、銀行取引業務処理、クレジット取引業務処理、プリペイド取引業務処理となっている。
上記CPU14、ROM15、RAM16、データメモリ17、インターフェース18、タイマ回路31は、ICチップ20により構成され、コンタクト部19およびICチップ20は一体的にモジュール化され、ICカード本体に埋設されている。
【0013】
図3は、上記データメモリ17におけるファイル構造の一例を示すものである。
図3は、ICカード4のデータメモリ17におけるファイル構造を示しており、メインフォルダ(MF)を中心として、このメインフォルダ(MF)に対する一次発行用のマスターキー(セキュリティ用のキー)MS1、二次発行用のマスターキー(セキュリティ用のキー)MS2、データフォルダ(DF)がぶら下がり、このデータフォルダ(DF)にデータフォルダ(DF)用の複数のキーが(DFキー1、DFキー2)がぶら下っている階層構造となっている。
【0014】
上記各管理情報をICカード4に対してコマンド電文で送り込むことがICカード4の一次発行処理となる。
すなわち、コマンド電文の処理用データとして上記管理情報を与え、コマンドコードと実行パラメータを設定してICカード4に対して送信することで、ICカード4は管理情報に従ってEEPROM17内にメモリ空間を確保し各ファイルを設定していく。
【0015】
すなわち、図1に示す構成において、ICチップ20の製造時に同一の一次発行に対するマスターキー(MS1)、二次発行に対するマスターキー(MS2)を持たせ、このICチップ20を搭載したICカード4に対するコマンド電文を送信するPC1側にも、これらに対応したマスターキー(MS1あるいはMS2)を持たせる。
【0016】
すなわち、一次発行に対するマスターキーMS1と二次発行に対するマスターキーMS2は、ICチップ20の製造時にハードウェアモジュールにて登録されており、一次発行に対する処理の終了時にマスターキーMS1が消去され、二次発行に対する処理の終了時にマスターキーMS2が消去されるようになっている。上記ハードウェアモジュールは、上記ICチップ20内に搭載され、このICチップ20の取り外しとともに、登録されているマスターキーMS1、MS2が消去される。
【0017】
この発明は、上記セキュリティ用の鍵(MS1あるいはMS2)に有効期間という概念を持ち込み、電源供給の有り無しに係らず有効期間が経過すると使えなくなる鍵を有するものである。
【0018】
これにより、
(1)製造したICカード4を工場から発行先に出荷する際に、万一盗まれたとしても、ICカード4の内部で計測される有効期間内に鍵の照合、解除が行われないことにより、ICカード4を使用不能にできるものである。(第1の実施形態)
これにより、ICカード製造会社からICカード発行会社へICカード4(あるいはICチップ)を移送する際に、途中で事故がおきて第三者の手に渡ったとしても、たとえば何日かして有効期限が切れたら使えないようにできる。
通常は移送してICカード発行会社が受取った時点で有効期間内に鍵の照合、解除が行われ、ICカード4を使用可能にでき、発行処理に移行できるものである。
【0019】
(2)ICカード4をエンドユーザに発行した際、一定期間内に鍵の照合、解除が行われないことにより、ICカード4を使用不可能にできるものである。(第2の実施形態)
これにより、ICカード発行会社からエンドユーザへICカード4が送られた際に、たとえば、1ヶ月以内に鍵を解除してくださいという条件において、1ヶ月以内に鍵を解除しないと、それ以降に鍵を解除しようとしてもできず、ICカード4を使うことができないようになっている。
【0020】
(3)発行したICカード4の利用できる期間として2年の有効期間が設定され、ICカード4を利用するごとに鍵の照合、解除が行われることにより、ICカード4を使用可能にできるものにおいて、2年が経過した際に、ICカード4の内部の鍵の照合、解除が行われない(正しい鍵を設定(入力)していても解除できなくなる)ことにより、ICカード4を使用不能にできるものである。(第3の実施形態)
エンドユーザがICカード4をもってお店に行ったり、銀行に行ったりして正当な所有者であることを確認するために鍵を解除し、有効期限が経つと、正しい鍵を設定(入力)していても解除できなくなり、本当に使えなくなる。
【0021】
タイマ回路31は、EEPROMのように絶縁体に囲まれているゲートに電荷を注入して構成される不揮発性メモリのセルであり、何年でも電荷を保持するものであり、製造時にわざと電荷をリークして不純物を入れることにより、1ヶ月、数日とだんだんと電荷がリークしていき所定の期間がたつとスイッチが切換わるものである。リークの度合いによって、スイッチが切換わるまでの時間を変更することができる。たとえば、数日から何年かまでを設定できる。
【0022】
タイマ回路31は、EEPROMのセルと同等な構成のスイッチである。
このスイッチをICカードの鍵と連動して使用し、スイッチが切換わるとICカードの鍵を利用することができなくなる。
【0023】
タイマ回路31は、電源供給が無くても動作するタイマであり、任意の時間を設定することが可能である。設定した時間が経過すると、タイマ回路31のタイマ値は減少し、最終的に「0」となる。
上記タイマ回路31は、電源の供給に拘りなく、経時変化により出力信号の信号レベルが徐々に低下し、所定の信号レベルとなるまでの時間が計測されるものである。
【0024】
上記タイマ回路31は、電源が供給されている状態でリーク現象を伴う電荷蓄積層を有する電界効果デバイスである。
上記タイマ回路31は、浮遊ゲートと制御ゲートの2層ゲート構造のEEPROMである。
上記タイマ回路31は、不揮発性セルで構成され、この不揮発性セルの不純物濃度の違いにより計時時間が異なったものを設定できるものである。
なお、上記例では、タイマ回路31とデータメモリ17とが1つのEEPROMアレイにより設定されているものであっても良い。
【0025】
図4は、上記タイマ回路31としてのエージングデバイスの断面図である。このエージングデバイス31は、n型半導体基板41上に、ゲート絶縁膜42が形成され、この上にゲート電極43が形成されている。ゲート絶縁膜42を挟むようにp+ソース領域44及びp+ドレイン領域45が形成されている。このようなpMOSFETのゲート電極43にpn接合46のn層を接続し、p層を外部端子に接続してエージングデバイスが形成されている。
【0026】
エージングデバイス31のソース領域44、ドレイン領域45はCPU14に接続されている。
このようなエージングデバイス31に、図5に示すように、pn接合46のp層に電圧V1<0を印加する。
そうすると、図6に示すようにp型領域からn型領域にバンド間トンネリング(BBT)や雪崩降伏現象によって、電子が流れる。こうすることによってゲート電極43に電子を注入する。電子を注入後、pn接合46のp層に印加されていた電圧V1を切る。あるいは、端子そのものを物理的に剥ぎ取ってから、エージングチップをパッケージングする。
【0027】
こうすることで、図7に示すように、電圧V1が0ボルトでも、チャネルが開いた状態となる。こうしてエージングデバイス31のソース領域44及びドレイン領域45間が導通状態となる。
【0028】
次に、図8に示すように、ゲート電極43には余分な電子が蓄積しているため、拡散電流によって電子はpn接合46のn層からp層に向かって逃げ出し、時間の経過と供にチャネルに掛かる電界が弱くなる。また、このような蓄積電子の漏出は、ゲート絶縁膜42の厚さが十分薄ければ、ゲート電極43とチャネルの間、あるいは、ゲート電極43とソース領域44やドレイン領域45の拡散層との間の直接トンネリング(直接トンネルゲートリーク)でも発生しうる。こうしてチャネルが反転しなくなったとき、ソース領域44及びドレイン領域45の間に電流が流れなくなる。すなわちエージングデバイス31がオフ状態となる。CPU14によって判断される。
【0029】
エージングデバイスの有効期限は、すなわちエージングデバイス31がオフ状態となる時間は、ゲート電極43に蓄積する電子の量に比例し、拡散電流及び直接トンネルゲートリークに反比例するので、電子の注入時間、ゲート体積、接合面積、接合の濃度、絶縁膜厚、チャネル面積、エクステンション領域等を調節することによって、所定の範囲に収めることが出来る。
【0030】
[第1の実施形態]
上記(1)の場合の、カード製造会社により製造されたICカード4をカード製造会社(工場)から発行先のカード発行会社に移送(出荷)する際の処理について、図9に示すフローチャートを参照しつつ説明する。
【0031】
すなわち、カード製造会社によりICチップ20を搭載したICカード4が製造される(ST1)。この製造されたICカード4のICチップ20のデータメモリ17には、鍵Aとして一次発行に対するマスターキーMS1がハードウェアモジュールにて登録され、タイマ回路31はこの鍵Aの有効期限(たとえば数日)を決める不純物濃度に設定される(ST2)。
【0032】
このようにして製造されたICカード4が発行先のカード発行会社に移送される(ST3)。
まず、カード発行会社は移送されたICカード4をICカード発行システムとしてのPC1に挿入することにより、ICカード4に電源電圧が供給される。これにより、ICカード4のCPU14はタイマ回路31がオフしているか否かで、有効期限内か有効期限以降かを判断する。
【0033】
この判断結果が有効期限内の場合、ICカード4のCPU14はPC1に鍵Aを要求する。この要求に応じて、PC1にて設定された鍵AがICカード4のCPU14に返送される。これにより、ICカード4のCPU14はPC1からの鍵Aとデータメモリ17の鍵Aとが一致するか否かの照合を行い、一致した際、鍵Aを解除し(鍵Aをデータメモリ17から削除し)する(ST4)。これにより、ICカード4のCPU14は制御プログラムをダウンロードして、使用可能な状態でエンドユーザに発行する(ST5)。
【0034】
また、上記ステップ3による移送時に、移送事故が起きた際に、上記鍵Aの有効期限(たとえば数日)以降となった場合に、タイマ回路31がオフとなっている(ST6)。
これにより、タイマ回路31がオフとなってしまうと、ICカード4にPC1からの電源電圧が供給されたとしても、CPU14はカード使用不能となる(ST7)。
【0035】
[第2の実施形態]
上記(2)の場合の、カード製造会社により製造されたICカード4をエンドユーザとしてのカード所有者に送付した際の処理について、図10に示すフローチャートを参照しつつ説明する。
【0036】
すなわち、カード製造会社によりICチップ20を搭載したICカード4が製造される(ST11)。この製造されたICカード4のICチップ20のデータメモリ17には、鍵A’として2次発行に対するマスターキーMS2がハードウェアモジュールにて登録され、タイマ回路31はこの鍵A’の有効期限(たとえば1ヶ月)を決める不純物濃度に設定される(ST12)。
このようにして製造されたICカード4がカード所有者に送付される(ST13)。
【0037】
まず、カード所有者は送付されたICカード4をICカード処理システムとしてのPC1に挿入することにより、ICカード4に電源電圧が供給される。これにより、ICカード4のCPU14はタイマ回路31がオフしているか否かで、有効期限内か有効期限以降かを判断する。
【0038】
この判断結果が有効期限内の場合、ICカード4のCPU14はPC1に鍵A’を要求する。この要求に応じて、PC1にて設定された鍵A’がICカード4のCPU14に返送される。これにより、ICカード4のCPU14はPC1からの鍵A’とデータメモリ17の鍵A’とが一致するか否かの照合を行い、一致した際、鍵A’を解除し(鍵A’をデータメモリ17から削除し)する(ST14)。さらに、PC1にて設定されたユーザ暗証がICカード4のCPU14に送信される。これにより、ICカード4のCPU14はユーザ暗証をデータメモリ17に登録し、使用可能な状態とする(ST15)。
この状態において、カード所有者はICカード4を店舗等のICカード処理システムとしてのPC1に挿入し、暗証照合等により取引を行う(ST16)。上記照合結果が不一致の際、ICカード4での取引を禁止する。
また、CPU14は上記判断結果が有効期限以降の場合、ICカード4の使用を不能とする(ST17)。
この実施形態では、カード製造会社からICカード4が送付される場合について説明したが、これに限らず、第2の実施形態のカード発行会社により発行されたICカード4が送付される場合も、同様に実施できる。
【0039】
この実施形態では、カード製造会社からICカード4が送付される場合について説明したが、これに限らず、第1の実施形態のカード発行会社により発行されたICカード4が送付される場合も、同様に実施できる。
【0040】
[第3の実施形態]
上記(3)の場合の、カード製造会社により製造されたICカード4をエンドユーザとしてのカード所有者に送付した際の処理について、図11に示すフローチャートを参照しつつ説明する。
【0041】
すなわち、カード製造会社によりICチップ20を搭載したICカード4が製造される(ST21)。この製造されたICカード4のICチップ20のデータメモリ17には、鍵A”がハードウェアモジュールにて登録され、タイマ回路31はこの鍵A”の有効期限(たとえば2年)を決める不純物濃度に設定される(ST22)。
このようにして製造されたICカード4がカード所有者に送付される(ST23)。
【0042】
まず、カード所有者は商品の購入等により送付されたICカード4を店舗等のICカード処理システムとしてのPC1に挿入することにより、ICカード4に電源電圧が供給される。これにより、ICカード4のCPU14はタイマ回路31がオフしているか否かで、有効期限内か有効期限以降かを判断する(ST24)。
【0043】
この判断結果が有効期限内の場合、ICカード4のCPU14はPC1に鍵A”を要求する。この要求に応じて、PC1にて設定された鍵A”がICカード4のCPU14に返送される。これにより、ICカード4のCPU14はPC1からの鍵A”とデータメモリ17の鍵A”とが一致するか否かの照合を行い(ST24)、一致した際、ICカード4での取引を行う(ST25)。上記照合結果が不一致の際、ICカード4での取引を禁止する。
また、CPU14は上記判断結果が有効期限以降の場合、ICカード4の使用を不能とする(ST26)。
この実施形態では、カード製造会社からICカード4が送付される場合について説明したが、これに限らず、第1の実施形態のカード発行会社により発行されたICカード4が送付される場合も、同様に実施できる。
【0044】
[第4の実施形態]
上記第3の実施形態の変形例としての、カード製造会社により製造されたICカード4をエンドユーザとしてのカード所有者に送付した際の処理について、図11に示すフローチャートを参照しつつ説明する。
【0045】
すなわち、カード製造会社によりICチップ20を搭載したICカード4が製造される(ST31)。この製造されたICカード4のICチップ20のデータメモリ17には、鍵A”がハードウェアモジュールにて登録され、タイマ回路31はこの鍵A”の有効期限(たとえば2年)を決める不純物濃度に設定される(ST32)。
このようにして製造されたICカード4がカード所有者に送付される(ST33)。
【0046】
まず、カード所有者は送付されたICカード4をICカード処理システムとしてのPC1に挿入することにより、ICカード4に電源電圧が供給される。これにより、ICカード4のCPU14はタイマ回路31がオフしているか否かで、有効期限内か有効期限以降かを判断する(ST34)。
【0047】
この判断結果が有効期限内の場合、ICカード4のCPU14はPC1に鍵A”を要求する。この要求に応じて、PC1にて設定された鍵A”がICカード4のCPU14に返送される。これにより、ICカード4のCPU14はPC1からの鍵A”とデータメモリ17の鍵A”とが一致するか否かの照合を行い、一致した際、鍵A”を解除し(鍵A”をデータメモリ17から削除し)する(ST34)。さらに、PC1にて設定されたユーザ暗証がICカード4のCPU14に送信される。これにより、ICカード4のCPU14はユーザ暗証をデータメモリ17に登録し、使用可能な状態とする(ST35)。
【0048】
この状態において、カード所有者は商品の購入等によりICカード4を店舗等のICカード処理システムとしてのPC1に挿入することにより、ICカード4に電源電圧が供給される(ST36)。これにより、ICカード4のCPU14はタイマ回路31がオフしているか否かで、有効期限内か有効期限以降かを判断する(ST37)。
【0049】
この判断結果が有効期限内の場合、ICカード4のCPU14はPC1にユーザ暗証を要求する。この要求に応じて、PC1にて設定されたユーザ暗証がICカード4のCPU14に返送される。これにより、ICカード4のCPU14はPC1からのユーザ暗証とデータメモリ17のユーザ暗証とが一致するか否かの照合を行い(ST38)、一致した際、ICカード4での取引を行う(ST39)。上記照合結果が不一致の際、ICカード4での取引を禁止する(ST40)。
また、CPU14は上記ステップ34、37の判断結果が有効期限以降の場合、ICカード4の使用を不能とする(ST41)。
これにより、電源供給の有無に拘わらず動作するタイマ機能を利用してICカードが内蔵する鍵に有効期限を持たせる事により、一定期間を経過したICカードは鍵を照合・解除することができなくなり、そのためにICカードの一部または全部の機能が使用不可能となることでICカードのセキュリティ性を飛躍的に高めることができる。
【0050】
また、ICカードが使用可能状態になるまでの製造・発行過程で、(例えばある工場から別の工場にICカードを移送する場合などに)有効期限を有する鍵をカード内に設定し、有効期限以内に当該鍵を照合・解除しなければICカードが使用できなくなる。
【0051】
ICカードの使用者が、有効期限以内にICカード内の特定の鍵を照合・解除しなければ、ICカードが使用可能な状態にならない。
ICカードの使用者が、ICカードの一部または全部の機能を使用する場合にはICカード内部の有効期限を有する特定の鍵の照合・解除が必要であり、当該有効期限が経過した後は当該鍵が照合・解除できなくなり、結果としてICカードの一部または全部の可能が使用できなくなる。
【0052】
上記第1〜第4の実施形態では、有効期間が1種類の場合について説明したが、これに限らず、任意に複数の中から選択できるようにしても良い。
この場合、ICカード4には、図13に示すように、オフするまでの次官が異なる複数のタイマ回路31a、31b、31cと、利用するタイマ回路37a、37b、37cを選択する選択回路32とが追加されている。
【0053】
たとえば、タイマ回路31a、31b、31cの有効期間として、「数日」「1ヶ月」「2年」となるように予め作成されている。
第1の実施形態の有効期間としてタイマ回路31aを用い、第2の実施形態の有効期間としてタイマ回路31bを用い、第3、4の実施形態の有効期間としてタイマ回路31cを用いることにより、実施できる。
この際、CPU14の制御の基、選択回路32への選択信号によりタイマ回路31a、31b、31cの1つが選択されるようになっている。
【0054】
【発明の効果】
以上詳述したように、この発明によれば、不揮発性メモリと制御素子とを有し、製造時、あるいは発行時に、内蔵鍵を上記不揮発性メモリに設定し、この内蔵鍵の照合・解除により、該携帯可能電子媒体の利用が可能となり、外部機器からの電源供給により作動する携帯可能電子媒体とこの携帯可能電子媒体を取扱う携帯可能電子媒体処理システムにおいて、該携帯可能電子媒体に内蔵する鍵に有効期限を持たせる事により、セキュリティ性を向上させることができる。
【図面の簡単な説明】
【図1】この発明の実施形態を説明するためのICカード処理システムの概略構成を示すブロック図。
【図2】ICカードの内部構成を説明するためのブロック図。
【図3】データメモリにおけるファイル構造の一例を説明する図。
【図4】タイマ回路としてのエージングデバイスの断面図。
【図5】エージングデバイスの断面図。
【図6】エージングデバイスの動作原理を示す図。
【図7】エージングデバイスの断面図。
【図8】エージングデバイスの動作原理を示す図。
【図9】ICカードを製造しカード発行会社に移送して発行する際の処理を説明するためのフローチャート。
【図10】ICカードをエンドユーザに送付した際の処理を説明するためのフローチャート。
【図11】ICカードをエンドユーザに送付した際の処理を説明するためのフローチャート。
【図12】ICカードをエンドユーザに送付した際の処理を説明するためのフローチャート。
【図13】ICカードの内部構成を説明するためのブロック図。
【符号の説明】
1…PC、 2…通信ライン、 3…リーダライタ 4…ICカード 5…制御部 6…メモリ 7…操作部、 8…表示部、 9…インターフェース、 10…CPU、 11…メモリ、 14…CPU、 15…ROM、 16…RAM、 17…データメモリ、 18…インターフェース、 19…コンタクト部、 20…ICチップ、 31…タイマ回路、 41…型半導体基板、 42…ゲート絶縁膜、 43…ゲート電極、 44…ソース領域 45…ドレイン領域、 46…接合。
【発明の属する技術分野】
この発明は、一般にICカードと称される携帯可能な電子媒体のセキュリティ性能を高める方法、具体的には有効期限を経過すると照合不可能となる鍵を内部に有する携帯可能電子媒体と携帯可能電子媒体処理システムに関する。
【0002】
【従来の技術】
通常、携帯可能電子媒体としてのICカードは内部に電源を有しないため、時計機能を持つことが出来ない。(特許文献1参照)
従って通常、ICカードが内蔵する鍵には有効期限という概念が無く、例えば第三者がICカードを不正に入手して鍵を解析しようと試みた場合、十分な設備と時間が供されればそれは不可能であるとは言い切れないという欠点があった。
【0003】
また、最近、外部からの電源供給の有無に拘わらず、一定期間を経過すると切り換わるスイッチ(タイマ)機能をICチップ上に設ける方法が提案されている。
そこで、このタイマ機能をICカードに応用してセキュリティ性を向上させるものが要望されている。
【0004】
【特許文献1】
特開2000−105788号公報。
【0005】
【発明が解決しようとする課題】
この発明は、不揮発性メモリと制御素子とを有し、製造時、あるいは発行時に、内蔵鍵を上記不揮発性メモリに設定し、この内蔵鍵の照合・解除により、該携帯可能電子媒体の利用が可能となり、外部機器からの電源供給により作動する携帯可能電子媒体とこの携帯可能電子媒体を扱う携帯可能電子媒体処理システムにおいて、該携帯可能電子媒体に内蔵する鍵に有効期限を持たせる事により、セキュリティ性を向上させることができることを目的としている。
【0006】
【課題を解決するための手段】
この発明の携帯可能電子媒体は、不揮発性メモリと制御素子とを有し、製造時、あるいは発行時に、内蔵鍵を上記不揮発性メモリに設定し、この内蔵鍵の照合・解除により、該携帯可能電子媒体の利用が可能となり、外部機器からの電源供給により作動する携帯可能電子媒体において、電源供給に関係なく作動し、該携帯可能電子媒体の製造時、あるいは発行時からの所定の時間としての有効期限を計測する計測手段と、外部機器からの電源供給がなされた際に、上記計測手段により有効期限が計測されているか否かを判断する判断手段と、この判断手段により有効期限が計測されていると判断された際に、上記内蔵鍵の照合・解除が行われていなかった場合、該携帯可能電子媒体の利用を不能とする処理手段とを有する。
【0007】
この発明の携帯可能電子媒体は、不揮発性メモリと制御素子とを有し、製造時、あるいは発行時に、内蔵鍵を上記不揮発性メモリに設定し、この内蔵鍵の照合・解除により、該携帯可能電子媒体の利用が可能となり、外部機器からの電源供給により作動する携帯可能電子媒体と、この携帯可能電子媒体を扱う端末からなる携帯可能電子媒体処理システムにおいて、上記端末が、上記携帯可能電子媒体へ電源を供給する供給手段と、この供給手段による電源の供給時、上記携帯可能電子媒体からの鍵要求に基づいて、鍵を設定する設定手段と、この設定手段により設定された鍵を上記携帯可能電子媒体へ送信する送信手段と、この送信手段による鍵の送信に応答して、上記携帯可能電子媒体から認証が供給された際に、処理の実行を許可する許可手段とからなり、上記携帯可能電子媒体が、電源供給に関係なく作動し、該携帯可能電子媒体の製造時、あるいは発行時からの所定の時間としての有効期限を計測する計測手段と、外部機器からの電源供給がなされた際に、上記計測手段により有効期限が計測されているか否かを判断する判断手段と、この判断手段により有効期限が計測されていると判断された際に、上記内蔵鍵の照合・解除が行われていなかった場合、該携帯可能電子媒体の利用を不能とする処理手段とを有する。
【0008】
【発明の実施の形態】
以下、図面を参照してこの発明のICカード処理システム(携帯可能電子媒体処理システム)としてのICカード発行システムを説明する。
このICカード発行システムは、図1に示すように、パソコン(PC)1とこのPC1と通信ライン2を介して接続されているリーダライタ3とからなる。このリーダライタ3には、図示しないコネクタ等で接続される発行対象カードとしてのICカード4が装着されるようになっている。
【0009】
PC1としては、一次発行用のものと二次発行用のものとがあり、暗証番号等により使用者を特定している。この一次発行用のPC1と二次発行用のPC1とは、処理プログラムが異なっているとともに、後述するメモリ6に登録されているマスターキー(MS1、MS2)が異なっている。
【0010】
PC1は、PC1の全体を制御する制御部5、制御用のプログラムが記憶されていたり種々のデータが記憶されるメモリ6、操作指示を行うキーボード等の操作部7、操作案内等が表示される表示部8、リーダライタ3とのデータのやり取りを行うインターフェース9により構成されている。
【0011】
リーダライタ3は、リーダライタ3の全体を制御するCPU10、制御用のプログラムが記憶されていたり種々のデータが記憶されるメモリ11、PC1とのデータのやり取りを行うインターフェース12、ICカード4とのデータのやり取りを行うインターフェース13により構成されている。また、リーダライタ3には、ICカード4の挿入検知を行う検知器(図示しない)を有し、この検知結果をPC1へ出力するようになっている。また、リーダライタ3は、ICカード4の挿入検知時にICカード4の内容を読取り、アプリケーション等が未記録の発行用のカードか否かを示すデータをPC1へ出力するようにしても良い。
【0012】
ICカード4は、図2に示すように、ICカード4の全体を制御するCPU(制御素子)14、カード内部動作の制御用のプログラムが記憶されているROM(プログラムメモリ)15、外部(リーダライタ3)と交換する電文の送受信バッファとCPU14の処理中のデータの一時格納バッファとして利用されるRAM(ワーキングメモリ)16、アプリケーション運用でその内容をリードライトして使用される運用データが格納され、認証用の鍵(後述するマスターキー、ディフェンダーキー)等が格納されるEEPROM等で構成されるデータメモリ17、リーダライタ3とのデータのやり取りを行うインターフェース18、電源供給が無くても動作するタイマ(電源供給の有り無しに係らず一定期間の経過を計測するタイマ素子)であるバッテリーレスのタイマ回路31、コンタクト部19により構成されている。
アプリケーションプログラムとしては、一例として、銀行取引業務処理、クレジット取引業務処理、プリペイド取引業務処理となっている。
上記CPU14、ROM15、RAM16、データメモリ17、インターフェース18、タイマ回路31は、ICチップ20により構成され、コンタクト部19およびICチップ20は一体的にモジュール化され、ICカード本体に埋設されている。
【0013】
図3は、上記データメモリ17におけるファイル構造の一例を示すものである。
図3は、ICカード4のデータメモリ17におけるファイル構造を示しており、メインフォルダ(MF)を中心として、このメインフォルダ(MF)に対する一次発行用のマスターキー(セキュリティ用のキー)MS1、二次発行用のマスターキー(セキュリティ用のキー)MS2、データフォルダ(DF)がぶら下がり、このデータフォルダ(DF)にデータフォルダ(DF)用の複数のキーが(DFキー1、DFキー2)がぶら下っている階層構造となっている。
【0014】
上記各管理情報をICカード4に対してコマンド電文で送り込むことがICカード4の一次発行処理となる。
すなわち、コマンド電文の処理用データとして上記管理情報を与え、コマンドコードと実行パラメータを設定してICカード4に対して送信することで、ICカード4は管理情報に従ってEEPROM17内にメモリ空間を確保し各ファイルを設定していく。
【0015】
すなわち、図1に示す構成において、ICチップ20の製造時に同一の一次発行に対するマスターキー(MS1)、二次発行に対するマスターキー(MS2)を持たせ、このICチップ20を搭載したICカード4に対するコマンド電文を送信するPC1側にも、これらに対応したマスターキー(MS1あるいはMS2)を持たせる。
【0016】
すなわち、一次発行に対するマスターキーMS1と二次発行に対するマスターキーMS2は、ICチップ20の製造時にハードウェアモジュールにて登録されており、一次発行に対する処理の終了時にマスターキーMS1が消去され、二次発行に対する処理の終了時にマスターキーMS2が消去されるようになっている。上記ハードウェアモジュールは、上記ICチップ20内に搭載され、このICチップ20の取り外しとともに、登録されているマスターキーMS1、MS2が消去される。
【0017】
この発明は、上記セキュリティ用の鍵(MS1あるいはMS2)に有効期間という概念を持ち込み、電源供給の有り無しに係らず有効期間が経過すると使えなくなる鍵を有するものである。
【0018】
これにより、
(1)製造したICカード4を工場から発行先に出荷する際に、万一盗まれたとしても、ICカード4の内部で計測される有効期間内に鍵の照合、解除が行われないことにより、ICカード4を使用不能にできるものである。(第1の実施形態)
これにより、ICカード製造会社からICカード発行会社へICカード4(あるいはICチップ)を移送する際に、途中で事故がおきて第三者の手に渡ったとしても、たとえば何日かして有効期限が切れたら使えないようにできる。
通常は移送してICカード発行会社が受取った時点で有効期間内に鍵の照合、解除が行われ、ICカード4を使用可能にでき、発行処理に移行できるものである。
【0019】
(2)ICカード4をエンドユーザに発行した際、一定期間内に鍵の照合、解除が行われないことにより、ICカード4を使用不可能にできるものである。(第2の実施形態)
これにより、ICカード発行会社からエンドユーザへICカード4が送られた際に、たとえば、1ヶ月以内に鍵を解除してくださいという条件において、1ヶ月以内に鍵を解除しないと、それ以降に鍵を解除しようとしてもできず、ICカード4を使うことができないようになっている。
【0020】
(3)発行したICカード4の利用できる期間として2年の有効期間が設定され、ICカード4を利用するごとに鍵の照合、解除が行われることにより、ICカード4を使用可能にできるものにおいて、2年が経過した際に、ICカード4の内部の鍵の照合、解除が行われない(正しい鍵を設定(入力)していても解除できなくなる)ことにより、ICカード4を使用不能にできるものである。(第3の実施形態)
エンドユーザがICカード4をもってお店に行ったり、銀行に行ったりして正当な所有者であることを確認するために鍵を解除し、有効期限が経つと、正しい鍵を設定(入力)していても解除できなくなり、本当に使えなくなる。
【0021】
タイマ回路31は、EEPROMのように絶縁体に囲まれているゲートに電荷を注入して構成される不揮発性メモリのセルであり、何年でも電荷を保持するものであり、製造時にわざと電荷をリークして不純物を入れることにより、1ヶ月、数日とだんだんと電荷がリークしていき所定の期間がたつとスイッチが切換わるものである。リークの度合いによって、スイッチが切換わるまでの時間を変更することができる。たとえば、数日から何年かまでを設定できる。
【0022】
タイマ回路31は、EEPROMのセルと同等な構成のスイッチである。
このスイッチをICカードの鍵と連動して使用し、スイッチが切換わるとICカードの鍵を利用することができなくなる。
【0023】
タイマ回路31は、電源供給が無くても動作するタイマであり、任意の時間を設定することが可能である。設定した時間が経過すると、タイマ回路31のタイマ値は減少し、最終的に「0」となる。
上記タイマ回路31は、電源の供給に拘りなく、経時変化により出力信号の信号レベルが徐々に低下し、所定の信号レベルとなるまでの時間が計測されるものである。
【0024】
上記タイマ回路31は、電源が供給されている状態でリーク現象を伴う電荷蓄積層を有する電界効果デバイスである。
上記タイマ回路31は、浮遊ゲートと制御ゲートの2層ゲート構造のEEPROMである。
上記タイマ回路31は、不揮発性セルで構成され、この不揮発性セルの不純物濃度の違いにより計時時間が異なったものを設定できるものである。
なお、上記例では、タイマ回路31とデータメモリ17とが1つのEEPROMアレイにより設定されているものであっても良い。
【0025】
図4は、上記タイマ回路31としてのエージングデバイスの断面図である。このエージングデバイス31は、n型半導体基板41上に、ゲート絶縁膜42が形成され、この上にゲート電極43が形成されている。ゲート絶縁膜42を挟むようにp+ソース領域44及びp+ドレイン領域45が形成されている。このようなpMOSFETのゲート電極43にpn接合46のn層を接続し、p層を外部端子に接続してエージングデバイスが形成されている。
【0026】
エージングデバイス31のソース領域44、ドレイン領域45はCPU14に接続されている。
このようなエージングデバイス31に、図5に示すように、pn接合46のp層に電圧V1<0を印加する。
そうすると、図6に示すようにp型領域からn型領域にバンド間トンネリング(BBT)や雪崩降伏現象によって、電子が流れる。こうすることによってゲート電極43に電子を注入する。電子を注入後、pn接合46のp層に印加されていた電圧V1を切る。あるいは、端子そのものを物理的に剥ぎ取ってから、エージングチップをパッケージングする。
【0027】
こうすることで、図7に示すように、電圧V1が0ボルトでも、チャネルが開いた状態となる。こうしてエージングデバイス31のソース領域44及びドレイン領域45間が導通状態となる。
【0028】
次に、図8に示すように、ゲート電極43には余分な電子が蓄積しているため、拡散電流によって電子はpn接合46のn層からp層に向かって逃げ出し、時間の経過と供にチャネルに掛かる電界が弱くなる。また、このような蓄積電子の漏出は、ゲート絶縁膜42の厚さが十分薄ければ、ゲート電極43とチャネルの間、あるいは、ゲート電極43とソース領域44やドレイン領域45の拡散層との間の直接トンネリング(直接トンネルゲートリーク)でも発生しうる。こうしてチャネルが反転しなくなったとき、ソース領域44及びドレイン領域45の間に電流が流れなくなる。すなわちエージングデバイス31がオフ状態となる。CPU14によって判断される。
【0029】
エージングデバイスの有効期限は、すなわちエージングデバイス31がオフ状態となる時間は、ゲート電極43に蓄積する電子の量に比例し、拡散電流及び直接トンネルゲートリークに反比例するので、電子の注入時間、ゲート体積、接合面積、接合の濃度、絶縁膜厚、チャネル面積、エクステンション領域等を調節することによって、所定の範囲に収めることが出来る。
【0030】
[第1の実施形態]
上記(1)の場合の、カード製造会社により製造されたICカード4をカード製造会社(工場)から発行先のカード発行会社に移送(出荷)する際の処理について、図9に示すフローチャートを参照しつつ説明する。
【0031】
すなわち、カード製造会社によりICチップ20を搭載したICカード4が製造される(ST1)。この製造されたICカード4のICチップ20のデータメモリ17には、鍵Aとして一次発行に対するマスターキーMS1がハードウェアモジュールにて登録され、タイマ回路31はこの鍵Aの有効期限(たとえば数日)を決める不純物濃度に設定される(ST2)。
【0032】
このようにして製造されたICカード4が発行先のカード発行会社に移送される(ST3)。
まず、カード発行会社は移送されたICカード4をICカード発行システムとしてのPC1に挿入することにより、ICカード4に電源電圧が供給される。これにより、ICカード4のCPU14はタイマ回路31がオフしているか否かで、有効期限内か有効期限以降かを判断する。
【0033】
この判断結果が有効期限内の場合、ICカード4のCPU14はPC1に鍵Aを要求する。この要求に応じて、PC1にて設定された鍵AがICカード4のCPU14に返送される。これにより、ICカード4のCPU14はPC1からの鍵Aとデータメモリ17の鍵Aとが一致するか否かの照合を行い、一致した際、鍵Aを解除し(鍵Aをデータメモリ17から削除し)する(ST4)。これにより、ICカード4のCPU14は制御プログラムをダウンロードして、使用可能な状態でエンドユーザに発行する(ST5)。
【0034】
また、上記ステップ3による移送時に、移送事故が起きた際に、上記鍵Aの有効期限(たとえば数日)以降となった場合に、タイマ回路31がオフとなっている(ST6)。
これにより、タイマ回路31がオフとなってしまうと、ICカード4にPC1からの電源電圧が供給されたとしても、CPU14はカード使用不能となる(ST7)。
【0035】
[第2の実施形態]
上記(2)の場合の、カード製造会社により製造されたICカード4をエンドユーザとしてのカード所有者に送付した際の処理について、図10に示すフローチャートを参照しつつ説明する。
【0036】
すなわち、カード製造会社によりICチップ20を搭載したICカード4が製造される(ST11)。この製造されたICカード4のICチップ20のデータメモリ17には、鍵A’として2次発行に対するマスターキーMS2がハードウェアモジュールにて登録され、タイマ回路31はこの鍵A’の有効期限(たとえば1ヶ月)を決める不純物濃度に設定される(ST12)。
このようにして製造されたICカード4がカード所有者に送付される(ST13)。
【0037】
まず、カード所有者は送付されたICカード4をICカード処理システムとしてのPC1に挿入することにより、ICカード4に電源電圧が供給される。これにより、ICカード4のCPU14はタイマ回路31がオフしているか否かで、有効期限内か有効期限以降かを判断する。
【0038】
この判断結果が有効期限内の場合、ICカード4のCPU14はPC1に鍵A’を要求する。この要求に応じて、PC1にて設定された鍵A’がICカード4のCPU14に返送される。これにより、ICカード4のCPU14はPC1からの鍵A’とデータメモリ17の鍵A’とが一致するか否かの照合を行い、一致した際、鍵A’を解除し(鍵A’をデータメモリ17から削除し)する(ST14)。さらに、PC1にて設定されたユーザ暗証がICカード4のCPU14に送信される。これにより、ICカード4のCPU14はユーザ暗証をデータメモリ17に登録し、使用可能な状態とする(ST15)。
この状態において、カード所有者はICカード4を店舗等のICカード処理システムとしてのPC1に挿入し、暗証照合等により取引を行う(ST16)。上記照合結果が不一致の際、ICカード4での取引を禁止する。
また、CPU14は上記判断結果が有効期限以降の場合、ICカード4の使用を不能とする(ST17)。
この実施形態では、カード製造会社からICカード4が送付される場合について説明したが、これに限らず、第2の実施形態のカード発行会社により発行されたICカード4が送付される場合も、同様に実施できる。
【0039】
この実施形態では、カード製造会社からICカード4が送付される場合について説明したが、これに限らず、第1の実施形態のカード発行会社により発行されたICカード4が送付される場合も、同様に実施できる。
【0040】
[第3の実施形態]
上記(3)の場合の、カード製造会社により製造されたICカード4をエンドユーザとしてのカード所有者に送付した際の処理について、図11に示すフローチャートを参照しつつ説明する。
【0041】
すなわち、カード製造会社によりICチップ20を搭載したICカード4が製造される(ST21)。この製造されたICカード4のICチップ20のデータメモリ17には、鍵A”がハードウェアモジュールにて登録され、タイマ回路31はこの鍵A”の有効期限(たとえば2年)を決める不純物濃度に設定される(ST22)。
このようにして製造されたICカード4がカード所有者に送付される(ST23)。
【0042】
まず、カード所有者は商品の購入等により送付されたICカード4を店舗等のICカード処理システムとしてのPC1に挿入することにより、ICカード4に電源電圧が供給される。これにより、ICカード4のCPU14はタイマ回路31がオフしているか否かで、有効期限内か有効期限以降かを判断する(ST24)。
【0043】
この判断結果が有効期限内の場合、ICカード4のCPU14はPC1に鍵A”を要求する。この要求に応じて、PC1にて設定された鍵A”がICカード4のCPU14に返送される。これにより、ICカード4のCPU14はPC1からの鍵A”とデータメモリ17の鍵A”とが一致するか否かの照合を行い(ST24)、一致した際、ICカード4での取引を行う(ST25)。上記照合結果が不一致の際、ICカード4での取引を禁止する。
また、CPU14は上記判断結果が有効期限以降の場合、ICカード4の使用を不能とする(ST26)。
この実施形態では、カード製造会社からICカード4が送付される場合について説明したが、これに限らず、第1の実施形態のカード発行会社により発行されたICカード4が送付される場合も、同様に実施できる。
【0044】
[第4の実施形態]
上記第3の実施形態の変形例としての、カード製造会社により製造されたICカード4をエンドユーザとしてのカード所有者に送付した際の処理について、図11に示すフローチャートを参照しつつ説明する。
【0045】
すなわち、カード製造会社によりICチップ20を搭載したICカード4が製造される(ST31)。この製造されたICカード4のICチップ20のデータメモリ17には、鍵A”がハードウェアモジュールにて登録され、タイマ回路31はこの鍵A”の有効期限(たとえば2年)を決める不純物濃度に設定される(ST32)。
このようにして製造されたICカード4がカード所有者に送付される(ST33)。
【0046】
まず、カード所有者は送付されたICカード4をICカード処理システムとしてのPC1に挿入することにより、ICカード4に電源電圧が供給される。これにより、ICカード4のCPU14はタイマ回路31がオフしているか否かで、有効期限内か有効期限以降かを判断する(ST34)。
【0047】
この判断結果が有効期限内の場合、ICカード4のCPU14はPC1に鍵A”を要求する。この要求に応じて、PC1にて設定された鍵A”がICカード4のCPU14に返送される。これにより、ICカード4のCPU14はPC1からの鍵A”とデータメモリ17の鍵A”とが一致するか否かの照合を行い、一致した際、鍵A”を解除し(鍵A”をデータメモリ17から削除し)する(ST34)。さらに、PC1にて設定されたユーザ暗証がICカード4のCPU14に送信される。これにより、ICカード4のCPU14はユーザ暗証をデータメモリ17に登録し、使用可能な状態とする(ST35)。
【0048】
この状態において、カード所有者は商品の購入等によりICカード4を店舗等のICカード処理システムとしてのPC1に挿入することにより、ICカード4に電源電圧が供給される(ST36)。これにより、ICカード4のCPU14はタイマ回路31がオフしているか否かで、有効期限内か有効期限以降かを判断する(ST37)。
【0049】
この判断結果が有効期限内の場合、ICカード4のCPU14はPC1にユーザ暗証を要求する。この要求に応じて、PC1にて設定されたユーザ暗証がICカード4のCPU14に返送される。これにより、ICカード4のCPU14はPC1からのユーザ暗証とデータメモリ17のユーザ暗証とが一致するか否かの照合を行い(ST38)、一致した際、ICカード4での取引を行う(ST39)。上記照合結果が不一致の際、ICカード4での取引を禁止する(ST40)。
また、CPU14は上記ステップ34、37の判断結果が有効期限以降の場合、ICカード4の使用を不能とする(ST41)。
これにより、電源供給の有無に拘わらず動作するタイマ機能を利用してICカードが内蔵する鍵に有効期限を持たせる事により、一定期間を経過したICカードは鍵を照合・解除することができなくなり、そのためにICカードの一部または全部の機能が使用不可能となることでICカードのセキュリティ性を飛躍的に高めることができる。
【0050】
また、ICカードが使用可能状態になるまでの製造・発行過程で、(例えばある工場から別の工場にICカードを移送する場合などに)有効期限を有する鍵をカード内に設定し、有効期限以内に当該鍵を照合・解除しなければICカードが使用できなくなる。
【0051】
ICカードの使用者が、有効期限以内にICカード内の特定の鍵を照合・解除しなければ、ICカードが使用可能な状態にならない。
ICカードの使用者が、ICカードの一部または全部の機能を使用する場合にはICカード内部の有効期限を有する特定の鍵の照合・解除が必要であり、当該有効期限が経過した後は当該鍵が照合・解除できなくなり、結果としてICカードの一部または全部の可能が使用できなくなる。
【0052】
上記第1〜第4の実施形態では、有効期間が1種類の場合について説明したが、これに限らず、任意に複数の中から選択できるようにしても良い。
この場合、ICカード4には、図13に示すように、オフするまでの次官が異なる複数のタイマ回路31a、31b、31cと、利用するタイマ回路37a、37b、37cを選択する選択回路32とが追加されている。
【0053】
たとえば、タイマ回路31a、31b、31cの有効期間として、「数日」「1ヶ月」「2年」となるように予め作成されている。
第1の実施形態の有効期間としてタイマ回路31aを用い、第2の実施形態の有効期間としてタイマ回路31bを用い、第3、4の実施形態の有効期間としてタイマ回路31cを用いることにより、実施できる。
この際、CPU14の制御の基、選択回路32への選択信号によりタイマ回路31a、31b、31cの1つが選択されるようになっている。
【0054】
【発明の効果】
以上詳述したように、この発明によれば、不揮発性メモリと制御素子とを有し、製造時、あるいは発行時に、内蔵鍵を上記不揮発性メモリに設定し、この内蔵鍵の照合・解除により、該携帯可能電子媒体の利用が可能となり、外部機器からの電源供給により作動する携帯可能電子媒体とこの携帯可能電子媒体を取扱う携帯可能電子媒体処理システムにおいて、該携帯可能電子媒体に内蔵する鍵に有効期限を持たせる事により、セキュリティ性を向上させることができる。
【図面の簡単な説明】
【図1】この発明の実施形態を説明するためのICカード処理システムの概略構成を示すブロック図。
【図2】ICカードの内部構成を説明するためのブロック図。
【図3】データメモリにおけるファイル構造の一例を説明する図。
【図4】タイマ回路としてのエージングデバイスの断面図。
【図5】エージングデバイスの断面図。
【図6】エージングデバイスの動作原理を示す図。
【図7】エージングデバイスの断面図。
【図8】エージングデバイスの動作原理を示す図。
【図9】ICカードを製造しカード発行会社に移送して発行する際の処理を説明するためのフローチャート。
【図10】ICカードをエンドユーザに送付した際の処理を説明するためのフローチャート。
【図11】ICカードをエンドユーザに送付した際の処理を説明するためのフローチャート。
【図12】ICカードをエンドユーザに送付した際の処理を説明するためのフローチャート。
【図13】ICカードの内部構成を説明するためのブロック図。
【符号の説明】
1…PC、 2…通信ライン、 3…リーダライタ 4…ICカード 5…制御部 6…メモリ 7…操作部、 8…表示部、 9…インターフェース、 10…CPU、 11…メモリ、 14…CPU、 15…ROM、 16…RAM、 17…データメモリ、 18…インターフェース、 19…コンタクト部、 20…ICチップ、 31…タイマ回路、 41…型半導体基板、 42…ゲート絶縁膜、 43…ゲート電極、 44…ソース領域 45…ドレイン領域、 46…接合。
Claims (11)
- 不揮発性メモリと制御素子とを有し、製造時、あるいは発行時に、内蔵鍵を上記不揮発性メモリに設定し、この内蔵鍵の照合・解除により、該携帯可能電子媒体の利用が可能となり、外部機器からの電源供給により作動する携帯可能電子媒体において、
電源供給に関係なく作動し、該携帯可能電子媒体の製造時、あるいは発行時からの所定の時間としての有効期限を計測する計測手段と、
外部機器からの電源供給がなされた際に、上記計測手段により有効期限が計測されているか否かを判断する判断手段と、
この判断手段により有効期限が計測されていると判断された際に、上記内蔵鍵の照合・解除が行われていなかった場合、該携帯可能電子媒体の利用を不能とする処理手段と、
を具備したことを特徴とする携帯可能電子媒体。 - 上記計測手段が、経時変化により出力信号の信号レベルが徐々に低下し、所定の信号レベルとなるまでの時間が計測されるタイマ回路であることを特徴とする請求項1に記載の携帯可能電子媒体。
- 上記計測手段が、所定時間経過した際にオフとなる時限スイッチであることを特徴とする請求項1に記載の携帯可能電子媒体。
- 計測時間の異なるタイマ回路が複数用意され、選択的に利用できるものであることを特徴とする請求項2に記載の携帯可能電子媒体。
- 上記計測手段が、電源が供給されている状態でリーク現象を伴う電荷蓄積層を有する電界効果デバイスであることを特徴とする請求項1に記載の携帯可能電子媒体。
- 上記計測手段が、浮遊ゲートと制御ゲートの2層ゲート構造のEEPROMであることを特徴とする請求項1に記載の携帯可能電子媒体。
- 上記計測手段が、不揮発性セルで構成され、この不揮発性セルの不純物濃度の違いにより計時時間が異なったものであることを特徴とする請求項4に記載の携帯可能電子媒体。
- 不揮発性メモリと制御素子とを有し、製造時、あるいは発行時に、内蔵鍵を上記不揮発性メモリに設定し、この内蔵鍵の照合・解除により、該携帯可能電子媒体の利用が可能となり、外部機器からの電源供給により作動する携帯可能電子媒体と、この携帯可能電子媒体を扱う端末からなる携帯可能電子媒体処理システムにおいて、
上記端末が、
上記携帯可能電子媒体へ電源を供給する供給手段と、
この供給手段による電源の供給時、上記携帯可能電子媒体からの鍵要求に基づいて、鍵を設定する設定手段と、
この設定手段により設定された鍵を上記携帯可能電子媒体へ送信する送信手段と、
この送信手段による鍵の送信に応答して、上記携帯可能電子媒体から認証が供給された際に、処理の実行を許可する許可手段とからなり、
上記携帯可能電子媒体が、
電源供給に関係なく作動し、該携帯可能電子媒体の製造時、あるいは発行時からの所定の時間としての有効期限を計測する計測手段と、
外部機器からの電源供給がなされた際に、上記計測手段により有効期限が計測されているか否かを判断する判断手段と、
この判断手段により有効期限が計測されていると判断された際に、上記内蔵鍵の照合・解除が行われていなかった場合、該携帯可能電子媒体の利用を不能とする処理手段とからなる、
を具備したことを特徴とする携帯可能電子媒体処理システム。 - 少なくともCPU、不揮発性メモリ、プログラムメモリ、作業用メモリ、外部機器との通信手段を有し、
その製造・発行過程において、電源供給の有無に拘わらず動作するタイマによって制御されタイマに設定された期限以降は照合・解除が出来なくなる特徴を有する内蔵鍵の照合・解除を当該期限以内に実施しなければ当該鍵が照合・解除不可能となり、以降の工程に供することができなくなる機能を有することを特徴とする携帯可能電子媒体。
未完成のICカードが第三者の手に渡っても、一定時間が経過するとカードが使用できなくなるので、第三者にカードを解析・改造される危険性が格段に少なくなる。 - 少なくともCPU、不揮発性メモリ、プログラムメモリ、作業用メモリ、外部機器との通信手段を有し、
電源供給の有無に拘わらず動作するタイマによって制御されタイマに設定された期限以降は照合・解除が出来なくなる特徴を有する内蔵鍵を、カードの使用者が当該期限以内に照合・解除することにより当該カードが使用可能となる機能を有することを特徴とする携帯可能電子媒体。 - 少なくともCPU、不揮発性メモリ、プログラムメモリ、作業用メモリ、外部機器との通信手段を有し、
該携帯可能電子媒体の使用者がその一部または全部の機能を使用する際には、電源供給の有無に拘わらず動作するタイマによって制御されタイマに設定された期限以降は照合・解除が出来なくなる特徴を有する内蔵鍵を照合・解除することが必要であり、当該期限以降は当該鍵を照合・解除することができなくなるために該携帯可能電子媒体の一部または全部の機能が使用できなくなることを特徴とする携帯可能電子媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003173262A JP2005010991A (ja) | 2003-06-18 | 2003-06-18 | 携帯可能電子媒体と携帯可能電子媒体処理システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003173262A JP2005010991A (ja) | 2003-06-18 | 2003-06-18 | 携帯可能電子媒体と携帯可能電子媒体処理システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005010991A true JP2005010991A (ja) | 2005-01-13 |
Family
ID=34097139
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003173262A Pending JP2005010991A (ja) | 2003-06-18 | 2003-06-18 | 携帯可能電子媒体と携帯可能電子媒体処理システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005010991A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012190367A (ja) * | 2011-03-13 | 2012-10-04 | Sii Data Service Kk | 可搬媒体、アプリケーション制御方法 |
-
2003
- 2003-06-18 JP JP2003173262A patent/JP2005010991A/ja active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012190367A (ja) * | 2011-03-13 | 2012-10-04 | Sii Data Service Kk | 可搬媒体、アプリケーション制御方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
USRE47621E1 (en) | Secure transaction microcontroller with secure boot loader | |
US7182264B2 (en) | IC-card service period setting method, IC card, IC card case and battery charger | |
US7159153B2 (en) | Semiconductor integrated circuit with security function | |
US7821841B2 (en) | Method of detecting a light attack against a memory device and memory device employing a method of detecting a light attack | |
JPS6256556B2 (ja) | ||
US20140229745A1 (en) | System and method for updating read-only memory in smart card memory modules | |
US8254169B2 (en) | Smart card capable of sensing light | |
JP2002512715A (ja) | 安全なマルチアプリケーションカードシステムおよびプロセス | |
US7431211B2 (en) | Time-measurement secured transactional electronic entity | |
US6678823B1 (en) | Methods and apparatus for authenticating data stored in semiconductor memory cells | |
JP2010515188A (ja) | 電子回路の一時的なロック | |
JP2004206331A (ja) | Icカード、icカードの不正利用防止方法、および、プログラム | |
US10134217B2 (en) | Secure electronic entity integrating life span management of an object | |
JP2005010991A (ja) | 携帯可能電子媒体と携帯可能電子媒体処理システム | |
US8881974B2 (en) | Secure electronic entity for time certification | |
US8365309B2 (en) | Memory device | |
US10268944B2 (en) | Dual-interface payment device with display | |
KR100675247B1 (ko) | 테스트 단자 무효화 회로, 테스트 단자 무효화 방법, 불휘발성 반도체 기억 장치 및 ic 카드 | |
JP2007188216A (ja) | 秘匿情報入力システムおよび秘匿情報入力方法 | |
Handschuh et al. | Securing flash technology | |
JP2004348345A (ja) | Icカードとicカード処理システム | |
JP5533487B2 (ja) | カードアダプタ装置 | |
JPS60153581A (ja) | 不正使用防止機能を有するicカ−ド | |
JPH01248292A (ja) | Icカード | |
JP2004078838A (ja) | 携帯可能電子装置 |