JP2007148680A - 集積回路搭載カード、携帯通信端末装置、取引システム及びその不正利用防止方法 - Google Patents

集積回路搭載カード、携帯通信端末装置、取引システム及びその不正利用防止方法 Download PDF

Info

Publication number
JP2007148680A
JP2007148680A JP2005340930A JP2005340930A JP2007148680A JP 2007148680 A JP2007148680 A JP 2007148680A JP 2005340930 A JP2005340930 A JP 2005340930A JP 2005340930 A JP2005340930 A JP 2005340930A JP 2007148680 A JP2007148680 A JP 2007148680A
Authority
JP
Japan
Prior art keywords
card
user
transaction
authentication information
integrated circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2005340930A
Other languages
English (en)
Inventor
Tadahito Tomikawa
忠人 富川
Kiyotaka Sawanaga
清隆 澤永
Shinichi Matsutani
紳一 松谷
Chu Watanabe
宙 渡邊
Yoshimitsu Kikuchi
義光 菊地
Yoshikatsu Kimura
祥勝 木村
Osamu Miyauchi
理 宮内
Atsushi Shibayama
敦史 柴山
Takahisa Ishikawa
貴久 石川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2005340930A priority Critical patent/JP2007148680A/ja
Priority to US11/363,211 priority patent/US20070119917A1/en
Publication of JP2007148680A publication Critical patent/JP2007148680A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/353Payments by cards read by M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Telephone Function (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】集積回路搭載カード及びその暗証番号が第三者に漏洩してしまった場合であっても、この第三者による不正なカード利用を抑制し、もって正当なカード所有者の不測の不利益の発生を未然に防止することを課題とする。
【解決手段】本発明のICカード200は、ATM300へのカード識別情報の受け渡しに先立って、ICカード200の利用者が所持する携帯電話機100から認証情報を取得する認証情報取得手段と、認証情報取得手段により取得された認証情報に基づいて、利用者がICカード200の正当な利用者であるか否かを認証する認証処理部213と、認証処理部213により利用者が正当であると認証された場合にはATM300による取引を許可し、利用者が正当でないと認証された場合にはATM300による取引を不許可とするよう制御する制御部216とを備えた。
【選択図】 図4

Description

本発明は、少なくともカード識別情報を記憶するとともに、該カード識別情報を取引端末に受け渡して該取引端末に取引処理を実行させる集積回路搭載カード、携帯通信端末装置、取引システム及びその不正利用防止方法に関し、特に、集積回路搭載カード及びその暗証番号が第三者に漏洩してしまった場合であっても、この第三者による不正なカード利用を抑制し、もって正当なカード所有者の不測の不利益の発生を未然に防止することができる集積回路搭載カード、携帯通信端末装置、取引システム及びその不正利用防止方法に関する。
従来、クレジットカードやキャッシュカード等の金融取引用のカードには、カード番号が記録されており、クレジット決済や銀行取引処理を行う場合には、決済端末装置やATM(Automatic Teller Machine)がこのカードに記録したカード番号を読み取るとともに、顧客により入力された暗証番号の認証処理を行っていた。最近では、この種の金融取引用のカードとしてICチップを搭載したIC(Integrated Circuit)カードが利用されつつあり、このICチップに記録したカード番号を読取可能な決済端末装置やATMが配設されている。
このように、金融取引用のカードをICカード化すると、このカードがリーダライタ以外の他の装置と通信可能になるため、最近では、このICカードを携帯電話機と関連させるよう構成した従来技術が提案されている。例えば、特許文献1には、携帯電話機にクレジットカード(非接触ICカード)が近接されたとき、そのクレジットカードに記憶されていたカードIDを携帯電話機が読み出してカード管理システムに送信し、カード管理システム側で該カードIDが有効か否かを確認する通信システムが開示されている。
また、特許文献2には、携帯電話機がICカードに記憶されたカードIDを読み取るとともに、暗証番号を携帯電話機上で入力させ、入力された暗証番号とカードIDを携帯電話機から決済端末に送信することで、通常決済システムに設けるべきピンパッドの代わりに携帯電話機を利用可能とした決済システムが開示されている。
特開2004−287593号公報 特開2003−157239号公報
しかしながら、上記特許文献1及び2に代表される従来技術では、顧客により入力される暗証番号のみでセキュリティを確保しているため、この暗証番号がICカードとともに第三者に盗用されると、この第三者によって不正な決済処理又は銀行取引がなされてしまうという問題があった。
具体的には、上記特許文献1によれば、確かにICカードのカードIDが正しいものであるか否かをカード管理システム側で確認することはできるが、このICカードを使用する使用者が正当な持ち主であるか否かは検証することができない。かかる検証は、あくまでも暗証番号によって行われるので、この暗証番号が第三者に盗用されると、この第三者が本人になりすましてICカードを使うことができる。
また、上記特許文献2のものは、決済システムのピンパッドの代わりに携帯電話機を用いているため、暗証番号を盗用した第三者が携帯電話機上で暗証番号を入力すると、やはりこの第三者が本人になりすましてICカードを使うことができる。
これらのことから、金融取引用のICカードの暗証番号がICカードとともに第三者に漏洩してしまった場合に、この第三者によるICカードの利用をいかにして抑制するかが極めて重要な課題となっている。なお、かかる課題は、金融取引用のICカードについてのみ生ずる課題ではなく、ICカードに記憶したカードIDとともに暗証番号を入力して各種処理を行うカードシステムについても同様に生ずる課題である。
本発明は、上記問題点(課題)を解消するためになされたものであって、ICカードすなわち集積回路搭載カード及びその暗証番号が第三者に漏洩してしまった場合であっても、この第三者による不正なカード利用を抑制し、もって正当なカード所有者の不測の不利益の発生を未然に防止することができる集積回路搭載カード、取引システム及びその不正利用防止方法を提供することを目的とする。
上述した問題を解決し、目的を達成するため、本発明は、少なくともカード識別情報を記憶するとともに、該カード識別情報を取引端末に受け渡して該取引端末に取引処理を実行させる集積回路搭載カードであって、前記取引端末へのカード識別情報の受け渡しに先立って、当該集積回路搭載カードの利用者が所持する携帯通信端末から認証情報を取得する認証情報取得手段と、前記認証情報取得手段により取得された認証情報に基づいて、前記利用者が当該集積回路搭載カードの正当な利用者であるか否かを認証する認証処理手段と、前記認証処理手段により前記利用者が正当であると認証された場合には前記取引端末による取引を許可し、前記利用者が正当でないと認証された場合には前記取引端末による取引を不許可とするよう制御する制御手段とを備えたことを特徴とする。
また、本発明は、上記発明において、少なくとも前記携帯通信端末の装置識別情報を記憶する記憶手段をさらに備え、前記認証情報取得手段は、前記携帯通信端末の装置識別情報を含む認証情報を前記携帯通信端末から取得し、前記認証処理手段は、前記認証情報取得手段により取得された認証情報と前記記憶手段に記憶された前記携帯通信端末の装置識別情報に基づいて前記利用者が当該集積回路搭載カードの正当な利用者であるか否かを認証することを特徴とする。
また、本発明は、少なくともカード識別情報を記憶するとともに該カード識別情報を取引端末に受け渡して該取引端末に取引処理を実行させる集積回路搭載カードを有する携帯通信端末装置であって、前記取引端末へのカード識別情報の受け渡しに先立って当該集積回路搭載カードへ受け渡す認証情報を記憶しておく認証情報記憶手段と、前記認証情報記憶手段から前記認証情報を取得する認証情報取得手段と、前記認証情報取得手段により取得された認証情報に基づいて、前記集積回路搭載カードの利用者が当該集積回路搭載カードの正当な利用者であるか否かを認証する認証処理手段と、前記認証処理手段により前記利用者が正当であると認証された場合には前記取引端末による取引を許可し、前記利用者が正当でないと認証された場合には前記取引端末による取引を不許可とするよう制御する制御手段とを備えたことを特徴とする。
また、本発明は、少なくともカード識別情報を記憶した集積回路搭載カードを用いて取引端末上で取引処理を行う取引システムであって、前記集積回路搭載カードと通信する通信手段と、該装置にユニークな装置識別情報を記憶する記憶手段と、前記記憶手段に記憶した装置識別情報に基づいて認証情報を生成する認証情報生成手段とを有する携帯通信端末と、前記取引端末へのカード識別情報の受け渡しに先立って、前記携帯通信端末に認証情報を要求する認証情報要求手段と、前記携帯通信端末から受信した認証情報に基づいて、前記利用者が当該集積回路搭載カードの正当な利用者であるか否かを認証する認証処理手段と、前記認証処理手段により前記利用者が正当であると認証された場合には前記取引端末による取引を許可し、前記利用者が正当でないと認証された場合には前記取引端末による取引を不許可とするよう制御する制御手段とを有する集積回路搭載カードとを備えたことを特徴とする。
また、本発明は、少なくともカード識別情報を記憶した集積回路搭載カードを用いて取引端末上で取引処理を行う取引システムの不正利用防止方法であって、前記取引端末へのカード識別情報の受け渡しに先立って、当該集積回路搭載カードの利用者が所持する携帯通信端末から認証情報を取得する認証情報取得工程と、前記認証情報取得工程により取得された認証情報に基づいて、前記利用者が当該集積回路搭載カードの正当な利用者であるか否かを認証する認証処理工程と、前記認証処理工程により前記利用者が正当であると認証された場合には前記取引端末による取引を許可し、前記利用者が正当でないと認証された場合には前記取引端末による取引を不許可とするよう制御する制御工程とを含んだことを特徴とする。
本発明によれば、集積回路搭載カードは、この利用者が所持する携帯通信端末から認証情報を取得する認証情報取得手段と、認証情報取得手段により取得された認証情報に基づいて、利用者が集積回路搭載カードの正当な利用者であるか否かを認証する認証処理手段と、認証処理手段により利用者が正当であると認証された場合には取引端末による取引を許可し、利用者が正当でないと認証された場合には取引端末による取引を不許可とするよう制御する制御手段とを備えたので、たとえ暗証番号が漏洩してしまっていたとしても、不正な第三者による集積回路搭載カードの不正使用を防止するという効果を奏する。
また、本発明によれば、携帯通信端末の装置識別情報を記憶する記憶手段をさらに備え、認証情報取得手段は、携帯通信端末の装置識別情報を含む認証情報を携帯通信端末から取得し、認証処理手段は、認証情報取得手段により取得された認証情報と記憶手段に記憶された携帯通信端末の装置識別情報に基づいて利用者が集積回路搭載カードの正当な利用者であるか否かを認証するので、装置識別情報により唯一性のある携帯通信端末の所持に基づき、集積回路搭載カードを使用しようとする者が正当な利用者であると正確に認証することができる。特に、携帯通信端末は、集積回路搭載カードとともに利用者に所持されており、両方揃って初めて利用者の認証を行うことができるので、認証の精度を向上させることができるという効果を奏する。
また、本発明によれば、集積回路搭載カードを有する携帯通信端末装置が、取引端末へのカード識別情報の受け渡しに先立って当該集積回路搭載カードへ受け渡す認証情報を記憶しておく認証情報記憶手段、認証情報記憶手段から認証情報を取得する認証情報取得手段、認証情報取得手段により取得された認証情報に基づいて、集積回路搭載カードの利用者が当該集積回路搭載カードの正当な利用者であるか否かを認証する認証処理手段、認証処理手段により利用者が正当であると認証された場合には取引端末による取引を許可し、利用者が正当でないと認証された場合には取引端末による取引を不許可とするよう制御する制御手段を備えたので、携帯通信端末装置による集積回路搭載カードの利用者の認証ができ、利便性の向上・認証精度の向上を図ることができるという効果を奏する。
また、本発明によれば、集積回路搭載カードと通信する通信手段と、携帯通信装置にユニークな装置識別情報を記憶する記憶手段と、記憶手段に記憶した装置識別情報に基づいて認証情報を生成する認証情報生成手段とを有する携帯通信端末と、取引端末へのカード識別情報の受け渡しに先立って、携帯通信端末に認証情報を要求する認証情報要求手段と、携帯通信端末から受信した認証情報に基づいて、利用者が当該集積回路搭載カードの正当な利用者であるか否かを認証する認証処理手段と、認証処理手段により利用者が正当であると認証された場合には取引端末による取引を許可し、利用者が正当でないと認証された場合には取引端末による取引を不許可とするよう制御する制御手段とを有する集積回路搭載カードとを備えたので、唯一性のある携帯通信端末と、集積回路搭載カードとの組合せによって初めて集積回路搭載カードの利用者の認証が可能となり、この認証を正確に行うことができるという効果を奏する。
また、本発明によれば、取引端末へのカード識別情報の受け渡しに先立って、集積回路搭載カードの利用者が所持する携帯通信端末から認証情報を取得する認証情報取得工程と、認証情報取得工程により取得された認証情報に基づいて、利用者が集積回路搭載カードの正当な利用者であるか否かを認証する認証処理工程と、認証処理工程により利用者が正当であると認証された場合には取引端末による取引を許可し、利用者が正当でないと認証された場合には取引端末による取引を不許可とするよう制御する制御工程とを含んだので、唯一性のある携帯通信端末における処理と、集積回路搭載カードにおける処理との組合せによって初めて集積回路搭載カードの利用者の認証が可能となり、この認証を正確に行うことができるという効果を奏する。
以下に添付図面を参照して、本発明に係る集積回路搭載カード、取引システム及びその不正利用防止方法の好適な実施の形態を詳細に説明する。なお、以下に示す実施例では、本発明を銀行取引用のICカード(キャッシュカード)に適用した場合を示すこととする。
図1は、本実施例に係るICカード不正利用防止システムの概念を説明するための説明図である。同図に示すように、本システムでは、(1)ICカード200に使用に先立って該ICカード200と携帯電話機100の間で通信を行って本人認証を行い、(2)利用者が正当であると認証された後にこのICカード200を用いた銀行取引を可能にした点にその特徴がある。
従来、顧客が銀行取引を行う場合には、銀行に配設されたATM300にICカード200を挿入するとともに、このATM300に暗証番号を入力することにより本人認証を行っていた。しかしながら、通常4桁程度しかない暗証番号に依存することとしたのでは、十分なセキュリティが確保することができず、特に暗証番号が漏洩した場合には、不正な第三者であっても正当な使用権限者と同等に銀行取引を行うことが可能となってしまう。そこで、本実施例では、顧客が保有する携帯電話機100の唯一性(ユニーク性)に着目し、携帯電話機100に記憶したユニークな情報を基に利用者が本人であるか認証を行い、本人であると認証された場合にのみ銀行取引が可能となるよう構成している。
同図に示すICカード200は、内部に配設されたアンテナから受信する電波を電力として動作する非接触型のICカードであり、ATM300に近接して動作可能状態になると、携帯電話機100から認証情報を取得して本人確認を行い、本人確認完了後にATM300との間の取引処理を行うものである。
携帯電話機100は、その内部にユニークな製造番号及び契約者情報を記憶しており、この製造番号及び契約者情報に基づいて認証情報を生成してICカード200に提供する処理を行う。このため、この携帯電話機100は、本来の無線通信機能とは別に非接触ICカード200との間で非接触でデータ授受を行う機能を有する。なお、この携帯電話機100とICカード200の間の通信方式はいかなるものであっても構わない。
次に、図1に示した携帯電話機100の構成について説明する。図2は、図1に示した携帯電話機100の構成を示す機能ブロック図である。同図に示すように、この携帯電話機100は、入力部101と、マイク102と、LCD103と、スピーカ104と、UI(User Interface)制御部105と、無線制御部106と、アンテナ107と、メモリ108と、UIM(User Identify Module)109と、認証情報提供部110と、通信部111とを有する。
入力部101は、数字、文字及び記号等の入力を受け付ける入力デバイスであり、マイク102は、通話音声を入力するための入力デバイスである。LCD103は、通信関連の各種データを表示する表示デバイスであり、スピーカ104は、受話音声を出力する出力デバイスである。UI制御部105は、ユーザインターフェース関連の各種入出力デバイス(入力部101、マイク102、LCD103及びスピーカ104)を制御する制御部である。
無線制御部106は、無線通信に係る発呼制御及び着呼制御等の各種通信制御を行う制御部であり、アンテナ107は、携帯電話基地局向けの電波の送出及び該携帯電話基地局からの電波の受信を行うためのものである。
メモリ109は、携帯電話機100の製造番号などの装置識別情報を記憶した書き換え不可能なメモリであり、UIM110は、携帯電話会社により発行された契約者情報を記憶する装置本体から着脱可能な不揮発性の記憶デバイスである。
認証情報提供部108は、ICカード200による本人認証を行う際に必要となる認証情報を生成して該ICカード200に提供する処理部であり、データ取得部110a、認証情報生成部110b、通信制御部110c及び制御部110dからなる。
データ取得部110aは、制御部110dからの指示に応答してメモリ108及びUIM109からそれぞれ装置識別情報及び契約者情報を読み出し、制御部110dに対して出力する処理部である。なお、制御部110dは、ICカード200から認証情報を要求された場合に、このデータ取得部110aにデータ読み出し指示を行うことになる。
認証情報生成部110bは、データ取得部110aにより取得された装置識別情報及び契約者情報を入力としつつ所定のアルゴリズムを実行して認証情報を生成する処理部である。このアルゴリズムとしては、いわゆるハッシュ関数と呼ばれる一方向性関数を利用することができる。なお、本実施例では、装置識別情報及び契約者情報から認証情報を生成することとしたが、携帯電話機100を一意に特定する情報である装置識別情報(製造番号)そのものを認証情報とすることもできる。
通信制御部110cは、通信部111を用いてICカード200との非接触の通信制御を行う制御部である。例えば、ICカード200がISO15693に規定される近接型(〜70cm)の非接触ICカードである場合には、かかる非接触ICカードと通信可能な通信部111が設けられるとともに、通信制御部110cは、この非接触通信方式に適合するプロトコルで通信制御を行うことになる。なお、ICカード200に赤外線通信機能等が搭載されている場合には、この通信部111には赤外線通信機能等が付与されることになる。
制御部110dは、認証情報提供部110の全体制御を行う制御部であり、具体的には、ICカード200から認証情報の要求を受け付けた場合には、データ取得部110aにデータ取得指示を行うとともに、取得したデータを認証情報生成部110bに出力して認証情報の生成指示を行う。また、認証情報を受け付けたならば、通信制御部110cに受け渡してICカード200に送信するよう制御する。
上記構成を有する携帯電話機100を用いることにより、本来行われる携帯電話基地局との通信だけではなく、ICカード200からの要求に応答して装置識別情報に基づく認証情報を生成し、この認証情報をICカード200に提供することができる。
次に、図1に示したICカード200の構成について説明する。図3は、図1に示したICカード200の概略構成を示す図であり、図4は、図3に示したICチップ210の構成を示す機能ブロック図である。
図3に示すように、このICカード200は、カード型のプラスチック上にICチップ210及びアンテナコイル220を配設したカードであり、ATM300からの電磁波を電力として自己給電しつつ動作を行う。なお、ここでは説明の便宜上、ICチップ210及びアンテナコイル220を顕在化させたが、実際にはその表面を樹脂板等で覆われることになる。
図4に示すように、このICチップ210は、通信I/F部211と、登録情報記憶部212と、認証処理部213と、ICカード使用可否情報記憶部214と、有効期間計時部215と、制御部216とを有する。
通信I/F部211は、非接触ICカードの通信方式で携帯電話機100又はATM300とデータ通信を行うためのインターフェースである。なお、携帯電話機100との間の通信を赤外線通信方式等で行う場合には、この通信I/F部211が、非接触ICカードの通信方式と赤外線通信方式の両方に対応する必要がある。
登録情報記憶部212は、正当な利用者の利用者情報及び該利用者が所有する携帯電話機100の装置識別情報を登録情報として記憶する記憶デバイスである。認証処理部213は、携帯電話機100から受信した認証情報に含まれる装置識別情報及び利用者情報と、登録情報記憶部212に記憶した装置識別情報及び利用者情報とを比較して、利用者が正当であるか否かを認証処理する処理部である。
ICカード使用可否情報記憶部214は、ICカードのATM300向けの使用が可能であるか否かを示す使用可否フラグを記憶する記憶デバイスであり、認証処理部213により利用者が正当であると判定された場合には、使用可否フラグが「利用可能」を示す「1(オン)」に設定され、利用者が不正であると判定された場合には、使用可否フラグが「利用不可」を示す「0(オフ)」に設定される。
有効期間計時部215は、ICカード使用可否情報記憶部214に記憶する使用可否フラグの有効期間を計時するタイマであり、使用可否フラグが「1」に更新された時点で計時を開始する。そして、この有効期間計時部215が所定の時間(例えば5分)を計時したならば、制御部216により使用可否フラグが「0」に更新される。一旦、正当であると認証された場合であっても、過度に長期間正当とみなすべきではないため、かかる使用可否フラグを所定時間後にクリアすることにしたものである。
制御部216は、ICカード200の全体制御を行う制御部であり、具体的には、通信I/F部211を介した携帯電話機100及びATM300との通信制御、登録情報記憶部212及びICカード使用可否情報記憶部214へのデータの読み書き制御、認証処理部213への認証指示、有効期間計時部215への計時開始、計時終了指示、初期化指示等を行う。
次に、図1に示したICカード200を用いた取引処理手順について説明する。図5は、図1に示したICカード200を用いた取引処理手順を示すフローチャートである。同図に示すように、ICカード200は、ATM300との間で取引処理を行う前に、携帯電話機100からの認証情報に基づいて認証処理を行う。具体的には、携帯電話機100がICカード200に対して認証情報を送信し(ステップS101)、この認証情報に基づいてICカード200が認証処理を行うことになる(ステップS102)。なお、かかる認証処理の詳細については、図6を用いて後ほど詳細に説明する。
その結果、利用者が不正であると認証された場合には(ステップS103否定)、ATM300との銀行取引を行うことができず、引き続き認証処理を継続し、認証が成功しない場合にはエラー処理を行う。
これに対して、利用者が正当であると認証された場合には(ステップS103肯定)、ATM300との取引処理が可能となる。具体的には、ATM300上で所定の取引操作(口座引落の選択操作)がなされると(ステップS104肯定)、ATM300は、ICカード200に対してカードIDを要求し(ステップS105)、この要求に応答してICカード200はカードIDを返信する(ステップS106)。
その後、ATM300が暗証番号の入力を受け付け(ステップS107肯定)、この暗証番号が正しい場合には(ステップS108)、取引処理を実行することになる(ステップS109)。
このように、このシステムでは、ICカード200が正当なものであっても、このICカード200の正当な利用者が所有する携帯電話機100を持参していないと、ATM300を介した銀行取引を行えないこととしている。このようにした理由は、ICカード200と暗証番号が第三者に盗用されたとしても、この第三者による不正な銀行取引を行えないようにするためである。
なお、ここではATM300上で暗証番号を受け付けることとしたが、携帯電話機100を用いて本人認証を行っているので、かかる暗証番号入力を行わないようにすることもできる。
次に、図5のステップS102で示した認証処理についてさらに詳細に説明する。図6は、図5のステップS102で示した認証処理手順を示すフローチャートである。同図に示すように、利用者がATM300に近接すると、この利用者が保持するICカード200がATM300の電磁波を電力として起動し(ステップS201)、携帯電話機100に対して認証情報を要求する(ステップS202)。
この認証情報要求を受信した携帯電話機100は、メモリ108から装置識別情報を読み出すとともにUIM109から利用者情報を読み出し(ステップS203)、この装置識別情報及び利用者情報に基づいて認証情報を生成し(ステップS204)、生成した認証情報をICカード200に返送する(ステップS205)。
この認証情報を受信したICカード200は、登録情報記憶部212に記憶した登録情報(装置識別情報及び利用者情報)を読み出し(ステップS206)、この登録情報と認証情報を比較して認証処理を行う(ステップS207)。具体的には、登録情報である装置識別情報及び利用者情報から比較対象となる認証情報を生成し、この認証情報を携帯電話機100から受信した認証情報を比較して認証処理を行う。
その結果、利用者が正当であると認証された場合には(ステップS208)、ICカード使用可否情報記憶部214に記憶した使用可否フラグを「1」にする(ステップS209)。なお、この使用可否フラグが「1」である場合には、ATM300との間で銀行取引を行うことができる。ただし、利用者が不正であると認証された場合には(ステップS208否定)、使用可否フラグは「0」のままとなる。
また、この使用可否フラグを「1」とした時点で、有効期間計時部215による計時を開始する(ステップS210)。そして、この計時値が所定時間経過を示した場合には(ステップS211肯定)、使用可否フラグを「0」にする。ICカード200が有効であると認証される期間を必要最小限にし、取引終了後には使用不能とするためである。
上述してきたように、本実施例では、ICカード200を用いた銀行取引に先立って携帯電話機100を用いた認証処理を行い、利用者が正当であると認証された場合にのみこのICカード200を用いてATM300により銀行取引を行えるよう構成したので、ICカード200及びその暗証番号が第三者に漏洩してしまった場合であっても、この第三者による不正なカード利用を抑制し、もって正当なカード所有者の不測の不利益の発生を未然に防止することができる。
なお、本実施例では、本発明を銀行取引用のICカード(キャッシュカード)に適用した場合を示したが、本発明はこれに限定されるものではなく、クレジットカード決済に用いられるクレジットカード等の暗証番号にセキュリティを依存する各種ICカードに適用することもできる。
また、本実施例では、ICカード200から携帯電話機100に対して認証情報を要求することとしたが、本発明はこれに限定されるものではなく、携帯電話機100上の入力操作を受け付けた差異にICカード200に認証情報を送信するよう構成することもできる。
さらに、本実施例では、携帯電話機100の装置識別情報及び利用者情報に基づいて認証情報を生成する場合を示したが、本発明はこれに限定されるものではなく、装置識別情報自体を認証情報として送信することもできる。また、装置識別情報及び時刻情報に基づいて認証情報を生成し、この認証情報を常にユニークな値としてより一層の不正防止を図ることもできる。
(付記1)少なくともカード識別情報を記憶するとともに、該カード識別情報を取引端末に受け渡して該取引端末に取引処理を実行させる集積回路搭載カードであって、
前記取引端末へのカード識別情報の受け渡しに先立って、当該集積回路搭載カードの利用者が所持する携帯通信端末から認証情報を取得する認証情報取得手段と、
前記認証情報取得手段により取得された認証情報に基づいて、前記利用者が当該集積回路搭載カードの正当な利用者であるか否かを認証する認証処理手段と、
前記認証処理手段により前記利用者が正当であると認証された場合には前記取引端末による取引を許可し、前記利用者が正当でないと認証された場合には前記取引端末による取引を不許可とするよう制御する制御手段と
を備えたことを特徴とする集積回路搭載カード。
(付記2)少なくとも前記携帯通信端末の装置識別情報を記憶する記憶手段をさらに備え、前記認証情報取得手段は、前記携帯通信端末の装置識別情報を含む認証情報を前記携帯通信端末から取得し、前記認証処理手段は、前記認証情報取得手段により取得された認証情報と前記記憶手段に記憶された前記携帯通信端末の装置識別情報に基づいて前記利用者が当該集積回路搭載カードの正当な利用者であるか否かを認証することを特徴とする付記1に記載の集積回路搭載カード。
(付記3)前記認証処理手段は、前記利用者が正当であると認証された場合にのみ所定の利用可否フラグを有効化し、前記制御手段は、前記利用可否フラグが有効である場合にのみ前記取引端末による取引を許可するよう制御することを特徴とする付記1又は2に記載の集積回路搭載カード。
(付記4)前記利用可否フラグが有効化された時点で初期値からの計時を開始する計時手段をさらに備え、前記制御手段は、前記計時手段による計時時間が所定の時間に達した時点で前記利用可否フラグを無効化するよう制御することを特徴とする付記3に記載の集積回路搭載カード。
(付記5)前記認証情報取得手段は、前記取引端末からの電磁波を電力として起動した時点で前記携帯通信端末に認証情報を要求することを特徴とする付記1〜4のいずれか一つに記載の集積回路搭載カード。
(付記6)前記認証情報取得手段は、前記取引端末との間の通信方式と同一の通信方式により携帯通信端末から認証情報を取得することを特徴とする付記1〜5のいずれか一つに記載の集積回路搭載カード。
(付記7)少なくともカード識別情報を記憶するとともに該カード識別情報を取引端末に受け渡して該取引端末に取引処理を実行させる集積回路搭載カードを有する携帯通信端末装置であって、
前記取引端末へのカード識別情報の受け渡しに先立って当該集積回路搭載カードへ受け渡す認証情報を記憶しておく認証情報記憶手段と、
前記認証情報記憶手段から前記認証情報を取得する認証情報取得手段と、
前記認証情報取得手段により取得された認証情報に基づいて、当該集積回路搭載カードの利用者が正当な利用者であるか否かを認証する認証処理手段と、
前記認証処理手段により前記利用者が正当であると認証された場合には当該集積回路搭載カードを用いた前記取引端末による取引を許可し、前記利用者が正当でないと認証された場合には当該集積回路搭載カードを用いた前記取引端末による取引を不許可とするよう制御する制御手段と
を備えたことを特徴とする携帯通信端末装置。
(付記8)少なくともカード識別情報を記憶した集積回路搭載カードを用いて取引端末上で取引処理を行う取引システムであって、
前記集積回路搭載カードと通信する通信手段と、該装置にユニークな装置識別情報を記憶する記憶手段と、前記記憶手段に記憶した装置識別情報に基づいて認証情報を生成する認証情報生成手段とを有する携帯通信端末と、
前記取引端末へのカード識別情報の受け渡しに先立って、前記携帯通信端末に認証情報を要求する認証情報要求手段と、前記携帯通信端末から受信した認証情報に基づいて、前記利用者が当該集積回路搭載カードの正当な利用者であるか否かを認証する認証処理手段と、前記認証処理手段により前記利用者が正当であると認証された場合には前記取引端末による取引を許可し、前記利用者が正当でないと認証された場合には前記取引端末による取引を不許可とするよう制御する制御手段とを有する集積回路搭載カードと
を備えたことを特徴とする取引システム。
(付記9)少なくともカード識別情報を記憶した集積回路搭載カードを用いて取引端末上で取引処理を行う取引システムの不正利用防止方法であって、
前記取引端末へのカード識別情報の受け渡しに先立って、当該集積回路搭載カードの利用者が所持する携帯通信端末から認証情報を取得する認証情報取得工程と、
前記認証情報取得工程により取得された認証情報に基づいて、前記利用者が当該集積回路搭載カードの正当な利用者であるか否かを認証する認証処理工程と、
前記認証処理工程により前記利用者が正当であると認証された場合には前記取引端末による取引を許可し、前記利用者が正当でないと認証された場合には前記取引端末による取引を不許可とするよう制御する制御工程と
を含んだことを特徴とする取引システムの不正利用防止方法。
実施例に係るICカード不正利用防止システムの概念を説明するための説明図である。 実施例の携帯電話機100の構成を示す機能ブロック図である。 実施例のICカード200の概略構成を示す図である。 実施例のICチップ210の構成を示す機能ブロック図である。 実施例のICカード200を用いた取引処理手順を示すフローチャートである。 実施例の認証処理手順を示すフローチャートである。
符号の説明
100 携帯電話機
108 メモリ
109 UIM
110 認証情報提供部
110a データ取得部
110b 認証情報生成部
110c 通信制御部
110d 制御部
111 通信部
200 ICカード
210 ICチップ
220 アンテナコイル
211 通信I/F
212 登録情報記憶部
213 認証処理部
214 ICカード使用可否情報記憶部
215 有効期間計時部
300 ATM

Claims (5)

  1. 少なくともカード識別情報を記憶するとともに、該カード識別情報を取引端末に受け渡して該取引端末に取引処理を実行させる集積回路搭載カードであって、
    前記取引端末へのカード識別情報の受け渡しに先立って、当該集積回路搭載カードの利用者が所持する携帯通信端末から認証情報を取得する認証情報取得手段と、
    前記認証情報取得手段により取得された認証情報に基づいて、前記利用者が当該集積回路搭載カードの正当な利用者であるか否かを認証する認証処理手段と、
    前記認証処理手段により前記利用者が正当であると認証された場合には前記取引端末による取引を許可し、前記利用者が正当でないと認証された場合には前記取引端末による取引を不許可とするよう制御する制御手段と
    を備えたことを特徴とする集積回路搭載カード。
  2. 少なくとも前記携帯通信端末の装置識別情報を記憶する記憶手段をさらに備え、前記認証情報取得手段は、前記携帯通信端末の装置識別情報を含む認証情報を前記携帯通信端末から取得し、前記認証処理手段は、前記認証情報取得手段により取得された認証情報と前記記憶手段に記憶された前記携帯通信端末の装置識別情報に基づいて前記利用者が当該集積回路搭載カードの正当な利用者であるか否かを認証することを特徴とする請求項1に記載の集積回路搭載カード。
  3. 少なくともカード識別情報を記憶するとともに該カード識別情報を取引端末に受け渡して該取引端末に取引処理を実行させる集積回路搭載カードを有する携帯通信端末装置であって、
    前記取引端末へのカード識別情報の受け渡しに先立って当該集積回路搭載カードへ受け渡す認証情報を記憶しておく認証情報記憶手段と、
    前記認証情報記憶手段から前記認証情報を取得する認証情報取得手段と、
    前記認証情報取得手段により取得された認証情報に基づいて、当該集積回路搭載カードの利用者が正当な利用者であるか否かを認証する認証処理手段と、
    前記認証処理手段により前記利用者が正当であると認証された場合には当該集積回路搭載カードを用いた前記取引端末による取引を許可し、前記利用者が正当でないと認証された場合には当該集積回路搭載カードを用いた前記取引端末による取引を不許可とするよう制御する制御手段と
    を備えたことを特徴とする携帯通信端末装置。
  4. 少なくともカード識別情報を記憶した集積回路搭載カードを用いて取引端末上で取引処理を行う取引システムであって、
    前記集積回路搭載カードと通信する通信手段と、該装置にユニークな装置識別情報を記憶する記憶手段と、前記記憶手段に記憶した装置識別情報に基づいて認証情報を生成する認証情報生成手段とを有する携帯通信端末と、
    前記取引端末へのカード識別情報の受け渡しに先立って、前記携帯通信端末に認証情報を要求する認証情報要求手段と、前記携帯通信端末から受信した認証情報に基づいて、前記利用者が当該集積回路搭載カードの正当な利用者であるか否かを認証する認証処理手段と、前記認証処理手段により前記利用者が正当であると認証された場合には前記取引端末による取引を許可し、前記利用者が正当でないと認証された場合には前記取引端末による取引を不許可とするよう制御する制御手段とを有する集積回路搭載カードと
    を備えたことを特徴とする取引システム。
  5. 少なくともカード識別情報を記憶した集積回路搭載カードを用いて取引端末上で取引処理を行う取引システムの不正利用防止方法であって、
    前記取引端末へのカード識別情報の受け渡しに先立って、当該集積回路搭載カードの利用者が所持する携帯通信端末から認証情報を取得する認証情報取得工程と、
    前記認証情報取得工程により取得された認証情報に基づいて、前記利用者が当該集積回路搭載カードの正当な利用者であるか否かを認証する認証処理工程と、
    前記認証処理工程により前記利用者が正当であると認証された場合には前記取引端末による取引を許可し、前記利用者が正当でないと認証された場合には前記取引端末による取引を不許可とするよう制御する制御工程と
    を含んだことを特徴とする取引システムの不正利用防止方法。
JP2005340930A 2005-11-25 2005-11-25 集積回路搭載カード、携帯通信端末装置、取引システム及びその不正利用防止方法 Withdrawn JP2007148680A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005340930A JP2007148680A (ja) 2005-11-25 2005-11-25 集積回路搭載カード、携帯通信端末装置、取引システム及びその不正利用防止方法
US11/363,211 US20070119917A1 (en) 2005-11-25 2006-02-28 Integrated circuit card, mobile communication terminal device, transaction system, and unauthorized use preventing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005340930A JP2007148680A (ja) 2005-11-25 2005-11-25 集積回路搭載カード、携帯通信端末装置、取引システム及びその不正利用防止方法

Publications (1)

Publication Number Publication Date
JP2007148680A true JP2007148680A (ja) 2007-06-14

Family

ID=38086472

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005340930A Withdrawn JP2007148680A (ja) 2005-11-25 2005-11-25 集積回路搭載カード、携帯通信端末装置、取引システム及びその不正利用防止方法

Country Status (2)

Country Link
US (1) US20070119917A1 (ja)
JP (1) JP2007148680A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009028018A1 (ja) * 2007-08-24 2009-03-05 Fujitsu Limited 認証情報管理装置、認証情報管理プログラム及びその方法、認証装置、認証プログラム及びその方法
JP2009059065A (ja) * 2007-08-30 2009-03-19 Casio Comput Co Ltd 電子機器、決済システム及びプログラム
WO2012049832A1 (ja) * 2010-10-12 2012-04-19 パナソニック株式会社 情報処理システム

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7949605B2 (en) * 2001-02-23 2011-05-24 Mark Itwaru Secure electronic commerce
WO2007105525A1 (ja) * 2006-03-10 2007-09-20 Nec Corporation 携帯端末、icカードモジュール、情報処理方法およびプログラム
EP2095345A4 (en) * 2006-10-23 2011-04-27 Behruz Nader Daroga DIGITAL TRANSMISSION SYSTEM (DTS) FOR THE SECURITY OF BANK ATMOSPHERES (ATM)
US20090143104A1 (en) * 2007-09-21 2009-06-04 Michael Loh Wireless smart card and integrated personal area network, near field communication and contactless payment system
US20100319058A1 (en) * 2009-06-16 2010-12-16 Chia-Hong Chen Method using electronic chip for authentication and configuring one time password
US9715704B2 (en) 2011-05-11 2017-07-25 Riavera Corp Merchant ordering system using optical machine readable image representation of invoice information
CA2835733A1 (en) 2011-05-11 2012-11-15 Mark Itwaru Mobile image payment system using short codes
US9547861B2 (en) * 2011-05-11 2017-01-17 Mark Itwaru System and method for wireless communication with an IC chip for submission of pin data
US10223674B2 (en) 2011-05-11 2019-03-05 Riavera Corp. Customized transaction flow for multiple transaction types using encoded image representation of transaction information
US9734498B2 (en) 2011-05-11 2017-08-15 Riavera Corp Mobile image payment system using short codes
US9721243B2 (en) 2011-05-11 2017-08-01 Riavera Corp. Mobile payment system using subaccounts of account holder
US8616453B2 (en) 2012-02-15 2013-12-31 Mark Itwaru System and method for processing funds transfer between entities based on received optical machine readable image information
US9785935B2 (en) 2011-05-11 2017-10-10 Riavera Corp. Split mobile payment system
TWI447653B (zh) * 2011-05-20 2014-08-01 Abancast Ltd 應用具有雙晶片的智能卡之行動通訊裝置與資料驗證系統
US8690054B1 (en) 2013-05-29 2014-04-08 The Toronto-Dominion Bank System and method for chip-enabled card transaction processing and alert communication

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001061657A1 (en) * 2000-02-18 2001-08-23 Cypak Ab Method and device for identification and authentication
US20030152231A1 (en) * 2002-02-07 2003-08-14 Minolta Co., Ltd. Verification system, server, and electronic instrument
JP4117550B2 (ja) * 2003-03-19 2008-07-16 ソニー株式会社 通信システム、決済管理装置および方法、携帯情報端末および情報処理方法、並びにプログラム
US7494067B1 (en) * 2005-09-07 2009-02-24 Sprint Communications Company L.P. Alternate authorization for proximity card

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009028018A1 (ja) * 2007-08-24 2009-03-05 Fujitsu Limited 認証情報管理装置、認証情報管理プログラム及びその方法、認証装置、認証プログラム及びその方法
CN101785014A (zh) * 2007-08-24 2010-07-21 富士通株式会社 认证信息管理装置、认证信息管理程序及其方法、认证装置、认证程序及其方法
JP2009059065A (ja) * 2007-08-30 2009-03-19 Casio Comput Co Ltd 電子機器、決済システム及びプログラム
WO2012049832A1 (ja) * 2010-10-12 2012-04-19 パナソニック株式会社 情報処理システム
US9135423B2 (en) 2010-10-12 2015-09-15 Panasonic Intellectual Property Management Co., Ltd. Information processing system
JP5923727B2 (ja) * 2010-10-12 2016-05-25 パナソニックIpマネジメント株式会社 情報処理システム

Also Published As

Publication number Publication date
US20070119917A1 (en) 2007-05-31

Similar Documents

Publication Publication Date Title
JP2007148680A (ja) 集積回路搭載カード、携帯通信端末装置、取引システム及びその不正利用防止方法
US9208634B2 (en) Enhanced smart card usage
KR100510388B1 (ko) Ic 카드, 휴대 단말 및 액세스 제어 방법
CN100414528C (zh) 生物特征认证设备及生物特征信息认证方法
JP4277229B2 (ja) 携帯端末、決済方法、およびプログラム
US20150127553A1 (en) Intelligent payment card and a method for performing secure transactions using the payment card
JP6467559B2 (ja) 情報処理システム、情報処理方法、及び情報処理プログラム
US20080028230A1 (en) Biometric authentication proximity card
US11170372B2 (en) Method for validating an electronic transaction, and system thereof
WO2003007125A2 (en) Secure network and networked devices using biometrics
RU2002124615A (ru) Электронная кредитная карточка
JP2003242428A (ja) カード機能付携帯電話機及び決済機能付携帯電話機
JP6479514B2 (ja) Icカード、及びicカードシステム
CN101714216A (zh) 半导体元件、生物体认证方法和系统、便携式终端
KR20090015557A (ko) 사용자 인증용 토큰 키를 구비한 아이씨카드, 아이씨카드결제시스템 및 이를 이용한 결제방법
JP4207404B2 (ja) 携帯端末及びその制御方法、並びに、icカード
JP5923727B2 (ja) 情報処理システム
JP2009015500A (ja) 本人認証装置
KR101606540B1 (ko) 오티피 스마트 카드 장치
JP2003187170A (ja) 携帯電話利用の認証処理システムおよび認証処理方法
JP4032358B2 (ja) Rfid認証システムおよびrfid認証方法およびそのためのプログラム
JP4503341B2 (ja) 電子マネー入金機及びその認証方法
KR20190007196A (ko) 카드 소유자의 신원 확인을 이용하여 카드 동작 및 디지털 지갑 교환 제어를 위한 장치 및 방법
JPS63263848A (ja) 認証方式
JP2007257059A (ja) 認証システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080526

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20091109