JP2005174185A - セキュアデバイスと情報処理装置 - Google Patents

セキュアデバイスと情報処理装置 Download PDF

Info

Publication number
JP2005174185A
JP2005174185A JP2003416381A JP2003416381A JP2005174185A JP 2005174185 A JP2005174185 A JP 2005174185A JP 2003416381 A JP2003416381 A JP 2003416381A JP 2003416381 A JP2003416381 A JP 2003416381A JP 2005174185 A JP2005174185 A JP 2005174185A
Authority
JP
Japan
Prior art keywords
means
communication
secure device
pin
writer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2003416381A
Other languages
English (en)
Inventor
Masahiko Koizumi
Atsushi Minemura
正彦 小泉
淳 峰村
Original Assignee
Matsushita Electric Ind Co Ltd
松下電器産業株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Ind Co Ltd, 松下電器産業株式会社 filed Critical Matsushita Electric Ind Co Ltd
Priority to JP2003416381A priority Critical patent/JP2005174185A/ja
Priority claimed from US11/011,894 external-priority patent/US20050167512A1/en
Publication of JP2005174185A publication Critical patent/JP2005174185A/ja
Application status is Withdrawn legal-status Critical

Links

Images

Abstract

【課題】 携帯電話に搭載するICカードであり、書込まれたPINの悪用を防止できるものを提供する。
【解決手段】第1通信手段と第2通信手段とカードアプリ21とを備えるICカード20に、カードアプリ21からアクセス可能な受渡情報管理手段22を設ける。受渡情報管理手段22は、第1通信手段を通じて外部R/W30から送られた処理識別子と第2通信手段を通じて携帯電話10から送られたPINとを対応付けて保持し、カードアプリ21は、外部R/W30から処理識別子とデータ要求とを受信したとき、受渡し情報管理手段22から、処理識別子が、受信した処理識別子に合致するPINを読出して外部R/W30に送る。ICカードにPINが書込まれたまま携帯電話が悪意を持つ他人に渡った場合でも、外部R/W30から送られる処理識別子が、PINに対応する処理識別子と合致しなければ、PINをICカードから読出すことはできない。
【選択図】図1

Description

本発明は、ICカード等のセキュアデバイスと、それを搭載する携帯電話等の情報処理装置に関し、セキュアデバイスに書き込まれたPIN等のデータが悪用される事故を防止するものである。

近年、ICカードは、電子決済用カードや定期券、入金機能付きプリペイド乗車券等に広く利用されている。最近では、微細化技術の向上とも相俟って、比較的大容量の記憶空間を持つICカードが作られており、このようなICカードは、カードサービスを実行する複数のカードアプリケーション(以下、アプリケーションを「アプリ」と略称する)を格納して、複数の用途に対応するマルチアプリカードとして使用することができる。
ICカードの通信方式には、ICカードの電気的接点にリーダ・ライタを接触して記録情報の読み書きを行う接触通信と、無線通信で情報をやり取りし、リーダ・ライタとの物理的な接触を必要としない非接触通信との二通りがある。

ICカードの国際標準規格には、接触通信に関するISO7816と、非接触通信に関するISO14443とが存在している。この国際標準規格では、ICカードのカードアプリとリーダ・ライタ側の端末アプリとのデータのやり取りは、端末アプリからカードアプリに送られる「コマンド」と、カードアプリから端末アプリに送られる「レスポンス」とが基本になると規定しており、コマンド及びレスポンスの形式を指定するAPDU(Application Protocol Data Unit)が決められている。そのため、ICカードは受動的な動作しかできない。

また、最近は、接触通信及び非接触通信の両方が可能なチップ状のICカードを携帯電話機に装着し、この携帯電話機を電子財布や定期券の替わりに使用することも行われている。例えばICカードにプリペイド乗車券の情報が記録されている場合では、ユーザが携帯電話機のキーを操作して残金表示を指示すると、携帯電話機から接触通信でICカードにその指示が入力し、ICカードの残金情報が読み出されて携帯電話機の画面に表示される。また、この携帯電話機を駅の自動改札機に翳すと、改札機から、非接触通信で、ICカードに情報データの読み出しや書き換えの指示が入力し、この指示に従ってICカードに記録された残金データが更新される。

また、下記特許文献1には、この携帯電話機のICカードによる非接触通信処理が正常に行われたとき、携帯電話機の表示手段を使って、カード機能が正常に動作したことを表示する装置が記載されている。このICカードは、複数のカードアプリの中から外部リーダ・ライタが指定したカードアプリを起動して、外部リーダ・ライタとの間で、利用するサービスに応じたカード利用通信(非接触通信)を行い、そのカード利用通信が正常に終了すると、その旨を示す通知信号とアプリIDとを携帯電話機の制御部に送信する。これを受信した制御部は、アプリIDに応じてあらかじめ定められた報知情報を携帯電話機の表示手段から出力する。
特開2003−60748号公報

ICカードが搭載される携帯電話機は、キーパッドや、ディスプレー、通信機能、アプリ実行機能等を有しているから、ICカードの非接触通信でのカード処理に連動して、これらの携帯電話機能を使用することにより、より利便性、操作性及び機能性の高いサービスが実現できる。前記特許文献1に記載されている装置も、携帯電話機の表示手段を使ってICカードの非接触通信処理に連動する表示を行うことを指向している。
しかし、国際標準規格に合致するICカードは、外部リーダ・ライタから非接触通信で送信されたコマンドに対して、レスポンスを返すだけの受動的な動作のみが可能であって、前記特許文献1に記載されたICカードのように、携帯電話機の制御部に自ら通知信号やアプリIDを送信することはできない。

そこで、発明者等は、外部リーダ・ライタからの指示で行ったカード処理の情報を、国際標準規格に則って、効率的に携帯電話機に伝えることができるICカードを新たに開発した。図7には、このICカード200と、ICカード200を装着した携帯電話機100との構成を示し、また、携帯電話機100、ICカード200、及び、外部リーダ・ライタ300の三者が連携して行う処理の順序を丸で囲んだ数字で示している。
このICカード200は、サービスプロバイダーが作成した各種サービスを実行する複数のカードアプリ210と、携帯電話機100との情報の受け渡しを一元的に行う情報受け渡し用カードアプリ220と、受け渡す情報を一時的に格納する情報格納部230と、通信処理やファイル管理を実行するカードOS240とを備えている。また、携帯電話機100は、カードアプリ210の処理に連動した動作を実行する端末アプリ110と、端末アプリ110に対して情報受け渡しのサービスを行うミドルウェア120と、携帯電話機100の動作を制御するデバイスドライバ130とを備えている。

ICカード200の全てのカードアプリ210は、情報受け渡し用カードアプリ220にアクセスすることができ、外部リーダ・ライタ300からカードアプリ210に送られた情報を情報受け渡し用カードアプリ220の情報格納部230に書き込むことができる。
また、携帯電話機100のミドルウェア120も、情報受け渡し用カードアプリ220と相互認証を行えば、その後は、情報受け渡し用カードアプリ220に自由にアクセスすることができる。
この携帯電話機100のミドルウェア120は、デバイスドライバ130を通じて、ポーリングによりICカード200の状態を監視する(1)。ユーザが携帯電話機100を外部リーダ・ライタ300に翳すと、外部リーダ・ライタ300の非接触通信圏内に入ったICカード200は起動し、外部リーダ・ライタ300から指定されたカードアプリ210が、外部リーダ・ライタ300から指示された処理を実行する(2)。カードアプリ210は、この処理に伴って携帯電話機100に送ることが必要になった情報を、情報受け渡し用カードアプリ220に書き込む(3)。
この情報は、起動すべき端末アプリ(ミドルウェアを含む)の名前、この端末アプリに引き渡す情報、依頼したカードアプリのID等を内容としている。

携帯電話機100のデバイスドライバ130は、ICカード200の非接触通信の終了を検知すると、それをミドルウェア120に伝え(4)、ミドルウェア120は、情報受け渡し用カードアプリ220との相互認証を行った後、情報受け渡し用カードアプリ220にアクセスして、そこで保持されている情報を取得する(5)。ミドルウェア120は、情報受け渡し用カードアプリ220から取得した情報に基づいて、指定された端末アプリ110を起動し、端末アプリ110は、指定された処理を行う。また、ミドルウェア120が指定されているときは、ミドルウェア120自身がその処理を行う(6)。

例えば、決済端末の外部リーダ・ライタ300からクレジット決済処理に必要な本人認証用暗証番号(PIN)の入力が求められている場合では、取得した情報を解釈したミドルウェア120が、携帯電話機100のディスプレーにPIN入力ウィンドウを表示し、ユーザがPINを入力すると、ミドルウェア120は、情報受け渡し用カードアプリ220にPINを書き込む。
このPIN情報は、ユーザが再び携帯電話機100を外部リーダ・ライタ300の前に翳したときに、起動したカードアプリ210によって読み出され、外部リーダ・ライタ300の指示に従って外部リーダ・ライタ300に送信される。このPINの照合は、外部リーダ・ライタ300と接続するセンター等で行われ、照合に成功すると決済処理が実行される。
しかし、この装置では、情報受け渡し用カードアプリ220の情報格納部230にPINが書き込まれた状態(即ち、決済処理が完了する前の状態)で携帯電話機100が盗られたり紛失したりして他人の手に渡ると、無断で購入した商品の決済に悪用される可能性がある。

本発明は、こうした問題点を解決するものであり、セキュアデバイスに書き込まれたPIN等のデータの悪用を防止できるセキュアデバイス及び情報処理装置を提供することを目的としている。

そこで、本発明では、第1の通信手段と、第2の通信手段と、1または複数のカード機能手段(カードアプリ)とを備えるセキュアデバイスに、全てのカード機能手段からアクセスが可能な受け渡し情報管理手段を設け、この受け渡し情報管理手段は、第1の通信手段を通じて外部リーダ・ライタから送られた処理識別子と第2の通信手段を通じて情報処理装置から送られたデータとを対応付けて保持し、カード機能手段は、第1の通信手段を通じて外部リーダ・ライタから処理識別子とデータ要求とを受信したとき、受け渡し情報管理手段から、対応する処理識別子が受信した処理識別子に合致するデータを読み出して外部リーダ・ライタに送るようにしている。
そのため、セキュアデバイスにPIN等のデータが書き込まれた状態で情報処理装置が悪意を持つ他人の手に渡った場合でも、処理端末から送られる処理識別子が、データに対応する処理識別子と合致しなければ、データをセキュアデバイスから読み出すことはできない。したがって、このデータを利用した不正な処理を防ぐことができる。

また、本発明では、受け渡し情報管理手段が、保持しているデータの中から、カード機能手段で受信された処理識別子と合致する処理識別子に対応するデータを選択し、カード機能手段が、選択されたデータを取得するようにしている。
この受け渡し情報管理手段は、保持しているデータの中から、該当するデータを主体的に選択する。
また、本発明では、外部リーダ・ライタから送られる処理識別子が、時間的に更新されるようにしている。
そのため、所定時間が経過すると、処理端末から送られる処理識別子は、データに対応する処理識別子と異なるものとなり、データは、セキュアデバイスから読み出すことができなくなる。

また、本発明では、外部リーダ・ライタから処理識別子を受信したカード機能手段が、受け渡し情報管理手段からデータを取得できずに、外部リーダ・ライタへのデータの送信に失敗したとき、一定時間内に行われた第1の通信手段による次回の通信において、外部リーダ・ライタからカード機能手段に、先の処理識別子と同一の処理識別子が再送されるようにしている。
そのため、外部リーダ・ライタに情報処理装置を翳して決済処理を行う場合、最初に情報処理装置を翳した時点で、受け渡し情報管理手段にPIN等のデータが保持されておらず、決済処理に失敗したとしても、情報処理装置から受け渡し情報管理手段にPINを書き込んで、一定時間内に再び情報処理装置を翳せば、外部リーダ・ライタは、決済処理に失敗した処理識別子を一定時間保持して次のカード処理時にも再利用するため、受け渡し情報管理手段から、その処理識別子に対応するデータを読み出すことができ、決済処理は成功する。

また、本発明では、第1の通信手段と、第2の通信手段と、1または複数のカード機能手段とを備えるセキュアデバイスに、全てのカード機能手段からアクセスが可能な受け渡し情報管理手段を設け、カード機能手段は、第1の通信手段を通じて外部リーダ・ライタからデータ要求を受信したとき、この受け渡し情報管理手段で保持されている情報処理装置から送られたデータを読み出して外部リーダ・ライタに送信し、受け渡し情報管理手段は、そのデータの読み出しが所定時間内に行われないとき、第2の通信手段を通じて情報処理装置から送られた指示に基づいて前記データを消去するようにしている。
そのため、セキュアデバイスにPIN等のデータが書き込まれた状態で情報処理装置が悪意を持つ他人の手に渡った場合でも、所定時間(例えば30秒)が経過するとデータは消去するため、このデータを利用した不正な処理を防ぐことができる。
本発明のセキュアデバイスでは、第1の通信手段が非接触通信を行い、第2の通信手段が接触通信を行う。

また、本発明では、このセキュアデバイスを保持する情報処理装置に、セキュアデバイスの第1の通信手段による通信の終了を監視する状態監視手段と、状態監視手段が通信の終了を検知したとき、セキュアデバイスの第2の通信手段を通じてセキュアデバイスの受け渡し情報管理手段にアクセスし、受け渡し情報管理手段で保持されている処理識別子とデータ要求とを取得するミドルウェアとを設け、ミドルウェアは、データ要求に応じて入力されたデータと処理識別子とを受け渡し情報管理手段に送信するようにしている。
そのため、セキュアデバイスでは、ユーザが入力したPIN等のデータと処理識別子とを対応付けて管理することができ、処理端末から送られる処理識別子が、データに対応する処理識別子と合致しないときに、データのセキュアデバイスからの読み出しを止めることができる。

また、本発明では、このセキュアデバイスを保持する情報処理装置に、セキュアデバイスの第1の通信手段による通信の終了を監視する状態監視手段と、入力されたデータをセキュアデバイスの第2の通信手段を通じてセキュアデバイスの受け渡し情報管理手段に書き込むミドルウェアとを設け、ミドルウェアは、所定時間内にセキュアデバイスの第1の通信手段による通信処理が行われないとき、受け渡し情報管理手段に書き込んだデータを消去するようにしている。
この情報処理装置では、セキュアデバイスの状態を一定時間監視し、その間にセキュアデバイスと外部リーダ・ライタとの処理が行われないときは、セキュアデバイスに書き込んだデータを消去する。
また、本発明の情報処理装置には、セキュアデバイスが、着脱可能な状態で装着され、あるいは、一体的に埋め込まれる。

本発明のセキュアデバイス及び情報処理装置では、PIN等のデータをセキュアデバイスに書き込んだ状態で情報処理装置が盗られたり紛失したりし、他人の手に渡った場合でも、セキュアデバイスからのデータの読み出しを防ぎ、そのデータの悪用を防止することができる。

(第1の実施形態)
本発明の第1の実施形態では、セキュアデバイスが接触通信及び非接触通信の両機能を持つICカードであり、情報処理装置が携帯電話機であり、クレジット決済端末等に提示するため、携帯電話機からICカードにPINが書き込まれる場合について説明する。携帯電話機、ICカード、及び、決済端末の外部リーダ・ライタは、このPINが悪用されないように、連携してその保護を図る。
携帯電話機に装着されたICカードは、接触通信により携帯電話機と情報をやり取りする。また、ユーザが携帯電話機を外部リーダ・ライタの前に翳し、それによってICカードが外部リーダ・ライタの非接触通信圏内に入ると、ICカードは、非接触通信により外部リーダ・ライタと情報をやり取りする。

図1に示すように、ICカード20は、サービスプロバイダーが作成した複数の決済用カードアプリ21と、携帯電話機10との情報の受け渡しを一元的に行い、携帯電話機10から渡されたPIN情報を識別情報と対応付けて管理する受け渡し情報管理アプリ22と、受け渡す情報を保持する情報格納部23と、通信処理やファイル管理を実行するカードOS24とを備えている。また、携帯電話機10は、受け渡し情報管理アプリ22から情報を取得し、ユーザが入力したPIN情報を受け渡し情報管理アプリ22に送る端末ミドルウェア12と、携帯電話機10の動作を制御するデバイスドライバ13とを備えている。
ICカード20の全ての決済用カードアプリ21は、受け渡し情報管理アプリ22にアクセスすることができ、外部リーダ・ライタ30から決済用カードアプリ21に送られた情報や携帯電話機10に送る必要がある情報を、受け渡し情報管理アプリ22を通じて情報格納部23に書き込むことができる。

この受け渡し情報管理アプリ22は、例えばJava(登録商標)言語でカードアプリが作成されるJava(登録商標)カードでは、Shareable Interfaceを利用して実現できる。ICカードでは、複数のカードアプリが安全に共存できるようにファイアーウォールでカードアプリ間を隔離しているが、Shareable Interfaceは、ファイアーウォールに妨げられずにカードアプリにアクセスできるインタフェースである。
また、携帯電話機10の端末ミドルウェア12も、受け渡し情報管理アプリ22と相互認証を行えば、その後は、受け渡し情報管理アプリ22に自由にアクセスすることができる。

図1では、携帯電話機10、ICカード20、及び、外部リーダ・ライタ30の三者が連携して行う処理の順序を丸で囲んだ数字で示している。
携帯電話機10の端末ミドルウェア12は、デバイスドライバ13を通じて、ICカード20の非接触通信の状態を監視するため、ICカード20にポーリング信号を送り続ける(1)。ICカード20は、この処理状態監視のポーリング信号に対して、非接触通信をしていれば「実施中」と応答し、非接触通信をしていなければ「未実施」と応答するため、デバイスドライバ13は、ICカード20における非接触通信の終了を検出することができる。
ユーザが携帯電話機10を外部リーダ・ライタ30に翳すと、外部リーダ・ライタ30の非接触通信圏内に入ったICカード20は非接触通信を開始し、外部リーダ・ライタ30から指定された決済用カードアプリ21が起動する(2)。外部リーダ・ライタ30は、起動した決済用カードアプリ21に対して、クレジット決済処理に必要な本人認証用暗証番号(PIN)を要求する。
このとき、外部リーダ・ライタ30は、PIN要求と共に、ユニークな処理識別子を決済用カードアプリ21に送る。
外部リーダ・ライタ30は、この処理識別子を一定時間(例えば30秒)ごとに更新する。あるいは、この処理識別子として、例えば、「店名+店番号+レジ番号+日付+時刻」を用い、後述するように、決済用カードアプリ21からPIN要求に対するNGがレスポンスされたとき、上記処理識別子を一定時間保持し、次のカード処理時に再利用するようにして良い。

PIN要求を受けた決済用カードアプリ21は、受け渡し情報管理アプリ22にアクセスし、情報格納部23で保持されているPIN情報を読み出す。
情報格納部23では、図2に示すように、PIN要求時に外部リーダ・ライタ30から送られた処理識別子と、このPIN要求に基づいて携帯電話機10から書き込まれたPIN情報とを関連付けて保持している。また、PIN要求に対して携帯電話機10からのPIN入力が未だ行われていない段階では、図2(a)に示すように、処理識別子のみが記入されている。
PIN要求を受けた決済用カードアプリ21は、そのPIN要求時に外部リーダ・ライタ30から受信した処理識別子に対応するPIN情報を情報格納部23から読み出す。
決済用カードアプリ21は、該当するPIN情報が情報格納部23に記録されていない場合、受け渡し情報管理アプリ22に対して、今回外部リーダ・ライタ30から受信した処理識別子とPIN要求とを情報格納部23に上書きするように求め(3)、また、外部リーダ・ライタ30には、PIN要求に応じられない旨(NG)応答する。そのため、この場合、決済処理が失敗した状態で、決済用カードアプリ21と外部リーダ・ライタ30との非接触通信は終了する。

ICカード20の状態監視を続けている携帯電話機10のデバイスドライバ13は、ICカード20の非接触通信の終了を検知すると、それを端末ミドルウェア12に伝える(4)。端末ミドルウェア12は、受け渡し情報管理アプリ22にアクセスして、情報格納部23で保持されている処理識別子及びPIN要求の情報を取得する(5)。端末ミドルウェア12は、取得した情報を解釈し、携帯電話機10のディスプレーにPIN入力ウィンドウを表示する。ユーザが携帯電話機10のキーを操作してPINを入力すると、端末ミドルウェア12は、入力されたPINと処理識別子とを受け渡し情報管理アプリ22に送る(6)。受け渡し情報管理アプリ22は、図2(b)に示すように、このPINを処理識別子と関連付けて情報格納部23に書き込む。

ユーザが再び携帯電話機10を外部リーダ・ライタ30の前に翳すと、外部リーダ・ライタ30は、決済用カードアプリ21を起動して、PIN要求と処理識別子とを決済用カードアプリ21に送る。決済用カードアプリ21は、受け渡し情報管理アプリ22にアクセスして、情報格納部23から、その処理識別子に対応するPIN情報を読み出す。外部リーダ・ライタ30の前回のPIN要求から今回のPIN要求までに30秒が経過していなければ、処理識別子が変更されていないため、決済用カードアプリ21は、処理識別子に対応するPIN情報を情報格納部23から読み出すことができる(7)。
決済用カードアプリ21は、処理識別子に対応するPIN情報を情報格納部23から読み出すことができた場合、そのPIN情報を外部リーダ・ライタ30に送信し(8)、情報格納部23のPIN情報を消去する。また、処理識別子に対応するPIN情報が得られなかった場合は、情報格納部23の処理識別子を上書きし、PINを破棄した上で、PIN要求を情報格納部23に書き込む。

外部リーダ・ライタ30に送られたPINの照合は、外部リーダ・ライタ30と接続するセンター等で行われ、照合に成功すると決済処理が実行され、決済処理が終了する。
このように、このICカード20では、決済端末から与えられる、時間的に更新される処理識別子と、ユーザが入力したPINとを対応付けて管理しており、PIN情報をICカード20の外に出す場合は、決済端末から新たに入力した処理識別子が、そのPINに対応する処理識別子と一致するときだけに限っている。
そのため、携帯電話機に搭載したICカードにPINが書き込まれた状態で、携帯電話機が悪意を持つ他人の手に渡った場合でも、正規の所有者が決済しようとしていた決済端末を使って、処理識別子が更新される以前に決済を実行するのでなければ、決済処理は失敗する。したがって、実質的に不正な決済を防ぐことができる。
なお、決済端末での処理識別子の更新は、無人POSの場合、POSで保持している処理識別子を一定時間が経過するごとに破棄して、新しい処理識別子に変えるようにしても良い。また、有人POSの場合では、POSで保持している処理識別子をレジ係の指示で破棄して、新しい処理識別子に変えるようにしても良い。

図3、図4は、この携帯電話機10とICカード20と決済端末の外部リーダ・ライタ30との処理フローを示している。携帯電話機10の端末ミドルウェア12は、ICカード10の非接触通信状態を監視する(1)。携帯電話機10を外部リーダ・ライタ30の前に翳すと、外部リーダ・ライタ30は、決済用カードアプリ21を指定して、その起動を指示する(2)。決済用カードアプリ21から起動OKの応答があると、外部リーダ・ライタ30は、その決済用カードアプリ21と相互認証を行った後(3)、携帯電話機10に提示する決済額の情報と、処理識別子と、PIN要求とを決済用カードアプリ21に送る(4)。
決済用カードアプリ21は、受け渡し情報管理アプリ22に対して情報格納部23で保持されている情報を要求し(5)、取得した情報から処理識別子に合致するPIN情報を探す。該当するPIN情報が得られないので、決済用カードアプリ21は、受け渡し情報管理アプリ22にアクセスして、決済額情報と処理識別子とPIN要求とを書き込む(6)。
外部リーダ・ライタ30にNGを応答し、決済処理1は失敗して終了する。

携帯電話機10の端末ミドルウェア12は、ICカード10の処理終了を検知すると(7)、受け渡し情報管理アプリ22の起動を指示する(8)。受け渡し情報管理アプリ22から起動OKの応答があると、端末ミドルウェア12は、受け渡し情報管理アプリ22と相互認証を行った後(9)、情報取得のコマンドを受け渡し情報管理アプリ22に送る(10)。これを受けた受け渡し情報管理アプリ22は、決済額情報と処理識別子とPIN要求とをレスポンスデータとする応答を端末ミドルウェア12に返す(11)。端末ミドルウェア12は、取得した情報を解釈し(12)、携帯電話機10のディスプレーに決済額とPIN入力ウィンドウとを表示する(13)。ユーザが携帯電話機10のキーパッドを操作してPINを入力すると、端末ミドルウェア12は、受け渡し情報管理アプリ22にアクセスしてPINを書き込む(14)。

ユーザが再び携帯電話機10を外部リーダ・ライタ30の前に翳すと、外部リーダ・ライタ30は、決済用カードアプリ21を起動し(15)、相互認証を行った後(16)、決済額情報と処理識別子とPIN要求とを決済用カードアプリ21に送る(17)。
決済用カードアプリ21は、受け渡し情報管理アプリ22に対して情報格納部23で保持されている情報を要求し(18)、情報を取得すると(19)、そこから処理識別子に合致するPIN情報を探し、得られたPIN情報を外部リーダ・ライタ30に送信する(20)。
なお、受け渡し情報管理アプリ22は、PINを探す主体として動作しても良い。この場合、受け渡し情報管理アプリ22は、決済用カードアプリ21から処理識別子を貰い、情報格納部23で保持しているデータの中に該当するPIN情報があれば、決済用カードアプリ21にそのPIN情報を出力する。

このPINの照合が、外部リーダ・ライタ30と接続するセンター等で行われ、照合に成功すると決済処理が実行され、処理終了通知が外部リーダ・ライタ30から決済用カードアプリ21に送られる(21)。こうして、決済処理2は成功して終了する。
このICカード20は、コマンドを受信してレスポンスを返す受動的な動作だけを行っており、国際標準規格に適合している。また、PINが書き込まれていても、不正な決済が行われる場面では、そのPINをICカードの外に出力することがないため、不正決済を防止できる。

(第2の実施形態)
本発明の第2の実施形態では、ICカードを搭載した携帯電話機を操作して、先にPINをICカードに書き込み、次いで、携帯電話機を外部リーダ・ライタに翳して決済処理を行う場合について説明する。この携帯電話機は、ICカードの状態を監視し、一定時間が経過してもICカードと外部リーダ・ライタとの処理が行われないときには、ICカードに書き込んだPINを消去することによって、他人によるPINの悪用を防止する。
図5に示すように、この携帯電話機10は、ユーザが入力したPINをICカード20の受け渡し情報管理アプリ22に書き込み、一定時間が経過したときに、このPINを消去する端末ミドルウェア12と、入力されたPINの有効時間が経過したかどうかを表示するユーザ通知手段14とを備えている。その他の携帯電話機10の構成、及び、ICカード20の構成は、第1の実施形態(図1)と変わりがない。

この携帯電話機10の端末ミドルウェア12は、携帯電話機10のディスプレーにPIN入力ウィンドウを表示し、ユーザは、決済サービスに使用される決済用カードアプリを予想して、その決済サービスで用いている本人認証用暗証番号(PIN)を入力する。端末ミドルウェア12は、現在時刻を取得してPIN有効時間の開始時刻に設定した後、ICカード20の受け渡し情報管理アプリ22にアクセスして、そのPINを情報格納部23に書き込み(1)、ポーリングでICカード20の状態を監視する(2)。また、端末ミドルウェア12は、ユーザ通知手段14にPIN有効時間内であることを通知し、ユーザ通知手段14は、その旨を表示する(3)。

端末ミドルウェア12は、現在時刻を逐次取得して最新時刻として記憶し、開始時刻から一定時間(例えば30秒)が経過していないかをチェックする。規定時間が経過したとき、あるいは、取得した現在時刻が、記憶している最新時刻よりも後になった(時刻が戻された)り、時刻修正モードになったときには、端末ミドルウェア12は、ユーザ通知手段14にPIN有効時間外になったことを通知し(4)、ICカード20の受け渡し情報管理アプリ22にアクセスして、情報格納部23に書き込んだPINを消去する(5)。ユーザ通知手段14は、PIN有効時間外であることを表示する。
また、端末ミドルウェア12が情報格納部23のPINを消去する前に、ICカード20と外部リーダ・ライタ30との間で決済処理が開始された場合は、外部リーダ・ライタ30が、ICカード20の決済用カードアプリ21にPINを要求し(6)、これを受けて、決済用カードアプリ21が、受け渡し情報管理アプリ22にアクセスして、端末ミドルウェア12が書き込んだPIN情報を読み出し(7)、外部リーダ・ライタ30に送信する(8)。受け渡し情報管理アプリ22は、PINが一度でも読み出されると、情報格納部23からPINを消去する。

こうしてICカード20と外部リーダ・ライタ30との間の決済処理が終了すると、この終了を検知した携帯電話機10の端末ミドルウェア12は、受け渡し情報管理アプリ22にアクセスしてPINの消去を確認し、PINが消去されているときは、PIN有効時間のチェックを停止する。また、PINが消去されていなければ、PIN有効時間のチェックを継続し、PIN有効時間外となったときに、受け渡し情報管理アプリ22にアクセスしてPINを消去する。
このように、このICカード20では、入力されたPINが、入力から一定時間が経過した時点、または、その前に確実に消去される。そのため、このICカードを搭載した携帯電話機が悪意を持つ他人の手に渡った場合でも、不正な決済を防ぐことができる。

また、ユーザの入力したPINが、外部リーダ・ライタ30により起動された決済用カードアプリの決済サービスで用いているPINと異なる場合でも、情報格納部23から読み出された時点でPINは消去されるので、決済処理が成功しなかった時点で、ユーザはPIN入力をやり直すことができる。そのため、ユーザは、入力するPINが決済サービスに対応しているか否かについて、多くの注意を払う必要は無い。
なお、ICカードに搭載されている決済用カードアプリは正規のものであるから、この決済用カードアプリは、受け渡し情報管理アプリ22から取得したPINが自分用のもので無かった場合でも、このPINを、悪意を持って保存・記憶し続けることは無い。

また、情報格納部23のPINの参照が可能な決済用カードアプリを、例えば次のような方法で限定すれば、PINのセキュリティをより向上させることができる。
即ち、ICカードに、サービス名とカードアプリIDとの対の情報を外部に提示する機能を持たせる。携帯電話機の端末ミドルウェアは、これを利用して、ユーザにサービス名と決済用カードアプリIDとの対の情報を提示し、どのアプリに対してPINを入力するかを指示させる。端末ミドルウェアは、ユーザが入力したPINを受け渡し情報管理アプリに格納する際、ユーザが指示した決済用カードアプリのみを、このPINの参照が可能な決済用カードアプリとして指定する。

図6は、この携帯電話機10、ICカード20及び外部リーダ・ライタ30の処理フローを示している。
携帯電話機10の端末ミドルウェア12は、携帯電話機10のディスプレーにPIN入力ウィンドウを表示する(1)。ユーザがPINを入力すると、端末ミドルウェア12は、そのPINをICカード20の受け渡し情報管理アプリ22に書き込み(2)、ポーリングでICカード20の状態を監視する(3)。ユーザが携帯電話機10を外部リーダ・ライタ30の前に翳すと、外部リーダ・ライタ30は、決済用カードアプリ21を指定して、その起動を指示する(4)。決済用カードアプリ21から起動OKの応答があると、外部リーダ・ライタ30は、その決済用カードアプリ21と相互認証を行った後(5)、決済額情報とPIN要求とを決済用カードアプリ21に送る(6)。
決済用カードアプリ21は、受け渡し情報管理アプリ22に対して情報格納部23で保持されているPIN情報を要求し(7)、端末ミドルウェア12から書き込まれたPIN情報を取得し(8)、このPIN情報を外部リーダ・ライタ30に送信する(9)。
こうして決済処理が終了すると、端末ミドルウェア12は、決済処理終了を検知し(10)、受け渡し情報管理アプリ22にアクセスして、書き込んだPINの消去を確認する(11)。
また、端末ミドルウェア12は、一定時間の状態監視中にICカード20と外部リーダ・ライタ30との処理が無かった場合、受け渡し情報管理アプリ22にアクセスして、書き込んだPINを消去する(12)。

このICカード20は、コマンドを受信してレスポンスを返す受動的な動作だけを行っており、国際標準規格に適合している。また、PINが書き込まれていても、一定時間後には消去されているため、不正決済を防止できる。
なお、ここでは、決済処理を承認するPINの不正利用防止について説明したが、この発明は、アプリを起動する際の認証用のPINやパスワードの不正利用防止などにも適用することができる。

また、ここではICカードを携帯電話機に装着する場合について説明したが、本発明はこれに限定されるものではない。携帯電話機に代えて、PDA(Personal Digital Assistant)、メール端末、小型パーソナルコンピュータ、ゲーム機など、各種の情報処理装置を用いることができる。また、ICカードは、APDU形式のコマンドに応じてカードアプリを動作させることができるセキュアデバイスであれば、どのようなものでも使用可能である。セキュアデバイスの形状は、カード状でもチップ状でも良く、情報処理装置に埋め込む形態であっても良い。

本発明のセキュアデバイス及び情報処理装置は、他人の悪用を防ぐ必要ある決済カード、交通機関の定期券や乗車券、劇場等の入場券、医療カード、行政機関発行カード等の各種のカード機能を使用する分野において利用することができる。

本発明の第1の実施形態における携帯電話機及びICカードの構成を示すブロック図 本発明の第1の実施形態におけるICカードのPIN情報管理形態を示す図 本発明の第1の実施形態における携帯電話機、ICカード及び外部リーダ・ライタの動作を示すシーケンス図 本発明の第1の実施形態における携帯電話機、ICカード及び外部リーダ・ライタの動作の続きを示すシーケンス図 本発明の第2の実施形態における携帯電話機及びICカードの構成を示すブロック図 本発明の第2の実施形態における携帯電話機、ICカード及び外部リーダ・ライタの動作を示すシーケンス図 携帯電話機と、国際標準規格に適合する動作を行うICカードとの構成を示すブロック図

符号の説明

10 携帯電話機
12 端末ミドルウェア
13 デバイスドライバ
14 ユーザ通知手段
20 ICカード
21 決済用カードアプリ
22 受け渡し情報管理アプリ
23 情報格納部
24 カードOS
30 外部リーダ・ライタ
100 携帯電話機
110 端末アプリ
120 ミドルウェア
130 デバイスドライバ
200 ICカード
210 カードアプリ
220 受け渡し情報管理アプリ
230 情報格納部
240 カードOS
300 外部リーダ・ライタ

Claims (10)

  1. 第1の通信手段と、第2の通信手段と、1または複数のカード機能手段とを備えるセキュアデバイスであって、
    全てのカード機能手段からアクセスが可能な受け渡し情報管理手段を具備し、前記受け渡し情報管理手段は、前記第1の通信手段を通じて外部リーダ・ライタから送られた処理識別子と前記第2の通信手段を通じて情報処理装置から送られたデータとを対応付けて保持し、カード機能手段は、前記第1の通信手段を通じて外部リーダ・ライタから処理識別子とデータ要求とを受信したとき、前記受け渡し情報管理手段から、対応する処理識別子が受信した処理識別子に合致するデータを取得して外部リーダ・ライタに送ることを特徴とするセキュアデバイス。
  2. 前記受け渡し情報管理手段は、保持しているデータの中から、カード機能手段が受信した処理識別子と合致する処理識別子に対応するデータを選択し、前記カード機能手段が、選択された前記データを取得することを特徴とする請求項1に記載のセキュアデバイス。
  3. 前記外部リーダ・ライタから送られる処理識別子が、時間的に更新されることを特徴とする請求項1に記載のセキュアデバイス。
  4. 外部リーダ・ライタから処理識別子を受信した前記カード機能手段が、前記受け渡し情報管理手段からデータを取得できずに、外部リーダ・ライタへのデータの送信に失敗したとき、一定時間内に行われた前記第1の通信手段による次回の通信において、前記外部リーダ・ライタから前記カード機能手段に、先の処理識別子と同一の処理識別子が再送されることを特徴とする請求項1に記載のセキュアデバイス。
  5. 第1の通信手段と、第2の通信手段と、1または複数のカード機能手段とを備えるセキュアデバイスであって、
    全てのカード機能手段からアクセスが可能な受け渡し情報管理手段を具備し、カード機能手段は、前記第1の通信手段を通じて外部リーダ・ライタからデータ要求を受信したとき、前記受け渡し情報管理手段で保持されている情報処理装置から送られたデータを読み出して外部リーダ・ライタに送信し、前記受け渡し情報管理手段は、前記データの読み出しが所定時間内に行われないとき、前記第2の通信手段を通じて前記情報処理装置から送られた指示に基づいて前記データを消去することを特徴とするセキュアデバイス。
  6. 前記第1の通信手段が非接触通信を行い、前記第2の通信手段が接触通信を行うことを特徴とする請求項1または請求項5に記載のセキュアデバイス。
  7. 請求項1に記載のセキュアデバイスを保持する情報処理装置であって、
    前記セキュアデバイスの第1の通信手段による通信の終了を監視する状態監視手段と、
    前記状態監視手段が前記通信の終了を検知したとき、前記セキュアデバイスの第2の通信手段を通じて前記セキュアデバイスの受け渡し情報管理手段にアクセスし、前記受け渡し情報管理手段で保持されている処理識別子とデータ要求とを取得するミドルウェアと
    を備え、前記ミドルウェアは、データ要求に応じて入力されたデータと前記処理識別子とを前記受け渡し情報管理手段に送信することを特徴とする情報処理装置。
  8. 請求項5に記載のセキュアデバイスを保持する情報処理装置であって、
    前記セキュアデバイスの第1の通信手段による通信の終了を監視する状態監視手段と、
    入力されたデータを前記セキュアデバイスの第2の通信手段を通じて前記セキュアデバイスの受け渡し情報管理手段に書き込むミドルウェアと
    を備え、前記ミドルウェアは、所定時間内にセキュアデバイスの前記第1の通信手段による通信処理が行われないとき、前記受け渡し情報管理手段に書き込んだ前記データを消去することを特徴とする情報処理装置。
  9. 前記セキュアデバイスが、着脱可能な状態で装着されていることを特徴とする請求項7または請求項8に記載の情報処理装置。
  10. 前記セキュアデバイスが、一体的に埋め込まれていることを特徴とする請求項7または請求項8に記載の情報処理装置。
JP2003416381A 2003-12-15 2003-12-15 セキュアデバイスと情報処理装置 Withdrawn JP2005174185A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003416381A JP2005174185A (ja) 2003-12-15 2003-12-15 セキュアデバイスと情報処理装置

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2003416381A JP2005174185A (ja) 2003-12-15 2003-12-15 セキュアデバイスと情報処理装置
US11/011,894 US20050167512A1 (en) 2003-12-15 2004-12-14 Secure device and information processing apparatus
EP20040029717 EP1553530A1 (en) 2003-12-15 2004-12-15 A secure device and information processing apparatus
CN 200410075599 CN1655172A (zh) 2003-12-15 2004-12-15 安全设备和信息处理系统

Publications (1)

Publication Number Publication Date
JP2005174185A true JP2005174185A (ja) 2005-06-30

Family

ID=34735591

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003416381A Withdrawn JP2005174185A (ja) 2003-12-15 2003-12-15 セキュアデバイスと情報処理装置

Country Status (1)

Country Link
JP (1) JP2005174185A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100777345B1 (ko) 2006-02-21 2007-11-20 주식회사 신한은행 아이씨 카드와 아이씨 카드 정보 제공방법 및 시스템과이를 위한 프로그램 기록매체
KR100833507B1 (ko) 2006-12-06 2008-05-29 한국전자통신연구원 Rfid 태그에 통신매체를 통하여 키를 설정하고변경하는 방법
JP2009512086A (ja) * 2005-10-17 2009-03-19 コニンクレイケ フィリップス エレクトロニクス ナームロゼ フェンノートシャップ 移動体端末におけるアプリケーションを管理するための方法及びシステム
WO2011065509A1 (ja) * 2009-11-27 2011-06-03 京セラ株式会社 携帯電子機器、認証システム及び携帯電子機器の制御方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009512086A (ja) * 2005-10-17 2009-03-19 コニンクレイケ フィリップス エレクトロニクス ナームロゼ フェンノートシャップ 移動体端末におけるアプリケーションを管理するための方法及びシステム
KR100777345B1 (ko) 2006-02-21 2007-11-20 주식회사 신한은행 아이씨 카드와 아이씨 카드 정보 제공방법 및 시스템과이를 위한 프로그램 기록매체
KR100833507B1 (ko) 2006-12-06 2008-05-29 한국전자통신연구원 Rfid 태그에 통신매체를 통하여 키를 설정하고변경하는 방법
WO2011065509A1 (ja) * 2009-11-27 2011-06-03 京セラ株式会社 携帯電子機器、認証システム及び携帯電子機器の制御方法
JP2011111835A (ja) * 2009-11-27 2011-06-09 Kyocera Corp 携帯電子機器、認証システム及び携帯電子機器の制御方法
US8682296B2 (en) 2009-11-27 2014-03-25 Kyocera Corporation Portable electronic device, authentication system and method for controlling portable electronic device

Similar Documents

Publication Publication Date Title
US7089214B2 (en) Method for utilizing a portable electronic authorization device to approve transactions between a user and an electronic transaction system
DE10224209B4 (de) Autorisierungseinrichtung-Sicherheitsmodul-Terminal-System
EP3291156B1 (en) Method and mobile terminal device including smartcard module and near field communications means
JP3851071B2 (ja) 携帯端末遠隔制御方法
US7562813B2 (en) System and method for activating telephone-based payment instrument
KR101033758B1 (ko) 서비스 제공 시스템, 단말 장치 및 컴퓨터 판독가능한 기록매체
JP2004506258A (ja) 個人データを格納し且つ保護する個人データ装置及び保護システム及び方法
US7357309B2 (en) EMV transactions in mobile terminals
JP4711039B2 (ja) 複数の機能を有する多目的携帯端末の安全性確保の方法
US20080126260A1 (en) Point Of Sale Transaction Device With Magnetic Stripe Emulator And Biometric Authentication
JP2005122687A (ja) 移動通信端末機を利用した金融取引サービス方法
US7810146B2 (en) Security device, terminal device, gate device, and device
KR101699897B1 (ko) 데이터 교환의 개별화된 형태의 인증 및 제어를 소유하는 개인화된 다기능 액세스 디바이스
EP1357525B1 (en) IC card, portable terminal, and access control method
EP2028627A1 (en) Electronic wallet device and method of using electronic value
JP4187451B2 (ja) 個人認証用デバイスと携帯端末装置
CN1252640C (zh) 电子信用卡
EP2189924A1 (en) Terminal device authentication method, terminal device, and program
US6669100B1 (en) Serviceable tamper resistant PIN entry apparatus
CN100534090C (zh) 安全元件命令方法和移动终端
US20070131759A1 (en) Smartcard and magnetic stripe emulator with biometric authentication
JP2005354529A (ja) 移動機、及び、アクセス制御方法
CN100349165C (zh) 使用便携终端的电子结算方法
CA2667306A1 (en) Point 0f sale transaction device with magnetic stripe emulator and biometric authentication
WO2001017296A1 (en) Arrangement for effecting secure transactions in a communication device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061017

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20070730