JP2017016428A - セキュリティシステム、端末装置、及びプログラム - Google Patents

セキュリティシステム、端末装置、及びプログラム Download PDF

Info

Publication number
JP2017016428A
JP2017016428A JP2015133022A JP2015133022A JP2017016428A JP 2017016428 A JP2017016428 A JP 2017016428A JP 2015133022 A JP2015133022 A JP 2015133022A JP 2015133022 A JP2015133022 A JP 2015133022A JP 2017016428 A JP2017016428 A JP 2017016428A
Authority
JP
Japan
Prior art keywords
information
token
confidential information
storage unit
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015133022A
Other languages
English (en)
Inventor
智孝 奥野
Tomotaka Okuno
智孝 奥野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2015133022A priority Critical patent/JP2017016428A/ja
Publication of JP2017016428A publication Critical patent/JP2017016428A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Telephone Function (AREA)

Abstract

【課題】セキュリティを確保しつつ、利便性を向上させることができるセキュリティシステム、端末装置、及びプログラムを提供する。
【解決手段】セキュリティシステム1aは、端末装置2aと、携帯可能電子装置(UIM3a)を持つ。端末装置2aは、機密情報記憶部(トークン記憶部41a)と、取得部61aと、第1の処理部とを持つ。機密情報記憶部は、機密情報を記憶する。取得部61aは、送信要求に応じて、機密情報を機密情報記憶部から取得するとともに、制限情報をUIM3aから取得する。第1の処理部は、取得した制限情報に基づいて、機密情報を有効にすると判定された場合に、機密情報を送信要求の要求元に送信する。UIM3aは、制限情報記憶部71aと、第2の処理部を持つ。制限情報記憶部71aは、制限情報を記憶する。第2の処理部は、制限情報記憶部71aが記憶する制限情報を端末装置2aに送信する。
【選択図】図15

Description

本発明の実施形態は、セキュリティシステム、端末装置、及びプログラムに関する。
スマートフォンを含む携帯電話などの端末装置では、UIM(User Identity Module)などのSE(Secure Element)を利用したサービスの提供が行われている。このようなサービスが提供される場合、セキュリティを確保するために、端末装置のオペレーティングシステム(OS)から独立した専用デバイス(例えば、NFCコントローラなど)を経由して、SEにアクセスがなされる。このように、SEへのアクセス手段が限定されるため、サービス提供者は、専用デバイスを経由して、例えば、SEにサービスの提供に必要な機密情報を記憶させるための専用システム(例えば、TSM(Trusted Service Manager))を構築する必要がある。
また、近年、HCE(Host-based Card Emulation)という技術を利用して、SEに記憶されていた機密情報を、専用デバイスを経由せずに、ネットワーク上のクラウド環境に記憶させることが行われている。HCEには、専用システムを構築する必要がなく、サービス提供者が機密情報を直接管理できるといった利点がある。さらに、端末装置がネットワークに接続できないオフライン環境では、クラウド環境にアクセスできないため、トークンと呼ばれる形式のデータをクラウド環境から端末装置に転送しておき、オフライン環境において当該トークンを利用してサービスを提供するトークナイゼーションという技術が知られている。ここで、トークンとは、機密情報を一時的にパッケージ化したデータである。しかしながら、トークンを利用する場合には、セキュリティを確保するために、利用回数や利用期限などを付加して、オフライン環境での利用を制限する必要があり、利便性が低下する場合があった。
特開2009−259133号公報
本発明が解決しようとする課題は、セキュリティを確保しつつ、利便性を向上させることができるセキュリティシステム、端末装置、及びプログラムを提供することである。
実施形態のセキュリティシステムは、端末装置と、携帯可能電子装置とを持つ。端末装置は、機密情報記憶部と、取得部と、第1の処理部とを持つ。機密情報記憶部は、提供されるサービスに関する機密情報を記憶する。取得部は、前記機密情報の送信を要求する送信要求に応じて、前記機密情報を前記機密情報記憶部から取得するとともに、前記機密情報の使用を制限する制限情報を、携帯可能電子装置から取得する。第1の処理部は、前記取得部が前記携帯可能電子装置から取得した前記制限情報に基づいて、前記機密情報を有効にするか否かを判定し、前記機密情報を有効にすると判定された場合に、当該機密情報を前記送信要求の要求元に送信する。前記携帯可能電子装置は、制限情報記憶部と、第2の処理部とを持つ。制限情報記憶部は、前記制限情報を記憶する。第2の処理部は、前記制限情報記憶部が記憶する前記制限情報を前記端末装置に送信する。
第1の実施形態のセキュリティシステムの一例を示す図。 第1の実施形態のセキュリティシステムのハードウェア構成例を示す図。 第1の実施形態のセキュリティシステムの機能構成例を示すブロック図。 第1の実施形態のトークン記憶部のデータ例を示す図。 第1の実施形態の拡張情報記憶部のデータ例を示す図。 第1の実施形態のトークンオプション設定コマンドのデータ形式例を示す図。 第1の実施形態のトークンオプション設定コマンドのモード・オプション設定の一例を示す図。 第1の実施形態のトークンオプション設定コマンドの動作の一例を示すフローチャート。 第1の実施形態のトークンオプション設定コマンドの初期登録処理の一例を示すフローチャート。 第1の実施形態のトークンオプション設定コマンドの確認処理の一例を示すフローチャート。 第1の実施形態のトークンオプション設定コマンドの変更処理の一例を示すフローチャート。 第1の実施形態のセキュリティシステムのオプション情報の登録動作の一例を示す図。 第1の実施形態のセキュリティシステムのトークンの確認動作の一例を示す図。 第1の実施形態のセキュリティシステムのオプション情報の変更動作の一例を示す図。 第2の実施形態のセキュリティシステムの機能構成例を示すブロック図。 第2の実施形態のトークン記憶部のデータ例を示す図。 第2の実施形態の制限情報記憶部のデータ例を示す図。 第2の実施形態のセキュリティシステムのトークンの確認動作の一例を示す図。 第3の実施形態のセキュリティシステムの機能構成例を示すブロック図。 第3の実施形態のトークンオプション設定コマンドの変更処理の一例を示すフローチャート。 第3の実施形態のセキュリティシステムのオプション情報の変更動作の一例を示す図。
以下、実施形態のセキュリティシステム、端末装置、及びプログラムを、図面を参照して説明する。
(第1の実施形態)
図1は、第1の実施形態のセキュリティシステム1の一例を示す図である。
図1に示すように、セキュリティシステム1は、携帯端末2と、UIM3と、端末4と、サーバ装置5とを備えている。
携帯端末2(端末装置の一例)は、例えば、スマートフォンなどの携帯電話である。携帯端末2は、例えば、NFC(Near field radio communication:近距離無線通信)インターフェースによって、端末4と通信し、使用者にサービスを提供する。また、携帯端末2は、ネットワークNWに接続された基地局装置など(図示せず)と例えば、移動体通信などの無線により通信することで、ネットワークNWと接続される。また、携帯端末2は、例えば、UIM3を内蔵している。なお、携帯端末2の構成の詳細については、後述する。
UIM3(携帯可能電子装置の一例)は、例えば、SIM(Subscriber Identity Module Card)カードなどのIC(Integrated Circuit)カードである。UIM3は、携帯端末2が提供するサービスに利用する機密情報を記憶する。UIM3は、例えば、プラスチックのカード基材PT(カード本体の一例)に、コンタクト部31に接続されたICチップ30(後述の図2参照)を実装して形成されている。
また、UIM3は、コンタクト部31を介して、外部装置(例えば、携帯端末2など)と通信可能である。UIM3は、例えば、外部装置が送信したコマンド(処理要求)を、コンタクト部31を介して受信し、受信したコマンドに応じた処理(コマンド処理)を実行する。そして、UIM3は、コマンド処理の実行結果であるレスポンス(処理応答)を外部装置にコンタクト部31を介して送信する。なお、UIM3の構成の詳細については、後述する。
端末4(外部装置の一例)は、例えば、NFCインターフェースによって携帯端末2と通信するリーダライタ(R/W)である。また、端末4は、ネットワークNWに接続されていてもよい。
サーバ装置5は、ネットワークNWに接続された(クラウド環境にある)コンピュータ装置であり、サービスを提供する提供元が所有する。サーバ装置5は、例えば、使用者にサービスを提供するための機密情報を記憶する。
なお、図1に示す例では、携帯端末2がネットワークNWに接続している状態におけるサービスを提供する処理を、オンライン処理と呼ぶ。このオンライン処理の場合には、携帯端末2は、ネットワークNWを介して、サーバ装置5から機密情報を取得し、取得した機密情報を端末4に送信する。これにより、セキュリティシステム1は、使用者にサービスを提供する。
また、携帯端末2がネットワークNWに接続していない状態におけるサービスを提供する処理を、オフライン処理と呼ぶ。このオフライン処理の場合には、携帯端末2は、端末装置に記憶されているトークン(機密情報の一例)を端末4に送信する。これにより、セキュリティシステム1は、使用者にサービスを提供する。
次に、図2を参照して、実施形態の携帯端末2、及びUIM3のハードウェア構成について説明する。
図2は、本実施形態のセキュリティシステム1のハードウェア構成例を示す図である。
図2に示すように、セキュリティシステム1は、携帯端末2と、UIM3とを備えている。
携帯端末2は、CPU(Central Processing Unit)21と、RAM22(Random Access Memory)と、不揮発性メモリ23と、入力部24と、表示部25と、カードI/F(インターフェース)部26と、NW(ネットワーク)通信部27と、NFCコントローラ28と、コイル29とを備えている。なお、CPU21と、RAM22と、不揮発性メモリ23と、入力部24と、表示部25と、カードI/F部26と、NW通信部27と、NFCコントローラ28とは、システムバスBS1を介して接続されている。
CPU21は、例えば、RAM22又は不揮発性メモリ23に記憶されているプログラムを実行して、携帯端末2の各種処理を行う。なお、本実施形態において、CPU21は、通常OS(Operating System:オペレーティングシステム)を動作させる通常モードと、各種セキュリティ機能を備え、セキュアOSを動作させるセキュアモードとを有している。なお、ここで、通常OSは、例えば、ANDROID(登録商標)のOSなどであり、サービスを提供するアプリケーションを実行するOSである。また、セキュアOSは、通常OSとは異なる独立したOSであり、通常OSから直接アクセスすることが不可能な記憶領域(例えば、セキュリティ領域)にアクセス可能である。また、本実施形態において、「アプリケーション」とは、携帯端末2の通常OSにおいて実行されるアプリケーションプログラムのことであり、UIM3において実行されるアプリケーションとは異なる。
RAM22は、例えば、DRAM(Dynamic RAM)やSRAM(Static RAM)などの揮発性メモリであり、携帯端末2の各種処理を行う際に利用されるデータ及びプログラムを一時記憶する。
不揮発性メモリ23は、例えば、マスクROM(Read Only Memory)やフラッシュROMなどのメモリであり、携帯端末2の各種処理を実行するためのプログラムなどを記憶する。
入力部24は、例えば、キースイッチやタッチパネルであり、使用者から入力された情報を受け付ける。入力部24は、例えば、使用者の正当性を確認する認証情報であるPIN(Personal Identification Number)を受け付ける。
表示部25は、例えば、液晶ディスプレイなどの表示装置であり、各種情報を表示する。表示部25は、例えば、サービスを提供する際の各種メッセージ(例えば、PINの入力を促すメッセージなど)を表示させる。
カードI/F部26は、UIM3用(例えば、ICカード用)のコンタクト部31を介した接触インターフェースである。カードI/F部26は、携帯端末2がUIM3と通信する際に使用される。
NW通信部27は、例えば、3G移動体通信(第3世代移動通信)などの無線通信により通信する通信モジュールである。NW通信部27は、無線通信によりネットワークNWと接続可能であり、当該ネットワークNWを介して、サーバ装置5と通信する。
NFCコントローラ28は、非接触インターフェースにより端末4と通信する非接触I/F部である。NFCコントローラ28は、コイル29を介して、端末4と通信する。
コイル29は、端末4との間のデータ通信に用いられるアンテナコイルである。
また、携帯端末2は、UIM3を内蔵しており、UIM3は、ICチップ30と、コンタクト部31とを備えている。そして、ICチップ30は、通信I/F部32と、CPU33と、ROM34と、RAM35と、EEPROM(Electrically Erasable Programmable ROM)36とを備えている。
通信I/F部32は、コンタクト部31を介した接触インターフェースであり、UIM3と携帯端末2との間の通信(コマンド/レスポンスの送受信)を、コンタクト部31を介して行う。
CPU33は、ROM34又はEEPROM36に記憶されているプログラムを実行して、UIM3の各種処理を行う。CPU33は、例えば、コンタクト部31を介して、通信I/F部32が受信したコマンドに応じたコマンド処理を実行する。
ROM34は、例えば、マスクROMなどの不揮発性メモリであり、UIM3の各種処理を実行するためのプログラム、及びコマンドテーブルなどのデータを記憶する。
RAM35は、例えば、SRAM(Static RAM)などの揮発性メモリであり、UIM3の各種処理を行う際に利用されるデータを一時記憶する。
EEPROM36は、例えば、電気的に書き換え可能な不揮発性メモリである。EEPROM36は、UIM3が利用する各種データを記憶する。EEPROM36は、例えば、UIM3の処理の制限が解除されているか否かを示す情報などを記憶する。
次に、図3を参照して、本実施形態によるセキュリティシステム1の機能構成例について説明する。
本実施形態によるセキュリティシステム1は、トークン本体(後述するトークン及び制限情報など)と、後述する拡張情報(例えば、トークンのオプション情報)とを分けて記憶する。すなわち、携帯端末2が、トークン本体を記憶し、UIM3が、拡張情報を記憶する。
図3は、本実施形態のセキュリティシステム1の機能構成例を示すブロック図である。ここでは、まず、携帯端末2の機能構成について説明する。
図3に示すように、携帯端末2は、カード通信部11と、NFC通信部12と、NW通信部27と、入力部24と、表示部25と、記憶部40と、制御部60とを備えている。
ここで、図3に示される携帯端末2の各部は、図2に示される携帯端末2のハードウェアを用いて実現される。また、図2に示す構成と同一の構成については同一の符号を付し、その説明を省略する。
カード通信部11(第2の通信部の一例)は、カードI/F部26を用いて実現され、接触インターフェースを利用して、UIM3の通信部14と通信する。
NFC通信部12(第1の通信部の一例)は、NFCコントローラ28及びコイル29を用いて実現され、非接触インターフェースを利用して、端末4と通信する。
記憶部40は、例えば、不揮発性メモリ23を用いて実現され、携帯端末2の各種処理に利用する情報を記憶する。記憶部40は、例えば、トークン記憶部41を備えている。
トークン記憶部41(機密情報記憶部の一例)は、トークン、及びトークンの利用を制限する制限情報を記憶する。ここで、トークンとは、セキュリティシステム1により提供されるサービスに関する機密情報の一例である。トークンは、NW通信部27がネットワークNWに接続不可能な場合(オフライン環境)において、例えば、クラウド環境のサーバ装置5が記憶する機密情報の代わりに利用される。また、制限情報は、例えば、トークンの有効期限や有効回数(利用可能回数)である。
なお、トークン記憶部41が記憶するトークン及び制限情報は、定期的(例えば、1日に1回など)に、サーバ装置5からネットワークNWを介して取得され、更新される。また、トークン記憶部41は、例えば、トークンを利用した回数情報をさらに記憶するようにしてもよい。
トークン記憶部41は、例えば、図4に示すように、「アプリケーションID」と、「トークンID」と、「トークン」と、「制限情報」とを対応付けて記憶する。
図4は、本実施形態のトークン記憶部41のデータ例を示す図である。
この図において、「アプリケーションID」は、アプリケーションを識別する識別情報を示し、「トークンID」は、トークンを識別する識別子(機密情報識別子の一例)を示している。また、「トークン」及び「制限情報」は、上述したトークン及び制限情報を示している。
図4に示す例では、「アプリケーションID」が“A1”に対応する「トークンID」が“01”であり、「トークン」が“XXXXXXXXXXX”であることを示している。また、この場合、「制限情報」が有効回数“1回”であることを示している。
また、「アプリケーションID」が“A2”に対応する「トークンID」が“02”であり、「トークン」が“YYYYYYYYYYYY”であることを示している。また、この場合、「制限情報」が有効期限“2015/04/13”であることを示している。
このように、本実施形態において、携帯端末2が、「トークン」及び「制限情報」を含むトークン本体を記憶する。
図3の説明に戻り、制御部60は、例えば、CPU21と、RAM22と、不揮発性メモリ23とにより実現され、携帯端末2を統括的に制御する。なお、制御部60は、上述した通常OS60Aと、セキュリティ領域50にアクセス可能なセキュアOS60Bとにより動作するものとする。また、制御部60は、取得部61と、サービス処理部62とを備えている。
ここで、上述したトークン記憶部41は、セキュリティ領域50に割り当てられているものとする。すなわち、セキュリティ領域50は、トークン記憶部41を備え、トークン記憶部41は、通常OS60Aとは異なるセキュアOS60Bによってアクセスが制限されている。セキュリティ領域50は、セキュアOS60Bによってセキュリティが担保された領域である。
取得部61は、機密情報(例えば、トークン)の送信を要求する送信要求に応じて、トークンをトークン記憶部41から取得する。そして、取得部61は、トークン記憶部41から取得したトークンが無効である場合に、トークンを使用する制限を拡張する拡張情報を、UIM3から取得する。
例えば、取得部61は、NFC通信部12を介して端末4から機密情報の送信要求を受信した場合に、当該送信要求に応じて、まず、NW通信部27によりネットワークNWに接続可能か否かを判定する。取得部61は、NW通信部27によりネットワークNWに接続可能である場合(オンライン環境である場合)に、サーバ装置5が記憶する機密情報を、NW通信部27を介して取得する。また、取得部61は、NW通信部27によりネットワークNWに接続不可能である場合(オフライン環境である場合)に、サーバ装置5が記憶する機密情報の代わりに、トークンをトークン記憶部41から取得する。また、取得部61は、取得したトークンに対応する制限情報をトークン記憶部41から取得し、制限情報に基づいて、当該トークンが有効(無効)か否かを判定する。取得部61は、当該トークンが無効である場合に、カード通信部11を介して、拡張情報(例えば、オプション情報)をUIM3から取得する。
なお、取得部61は、アプリケーションに対応する機密情報を取得するために、アプリケーションIDに対応するトークンID、トークン、及び制限情報をトークン記憶部41から取得する。そして、取得部61は、取得したトークンIDに対応する拡張情報を、UIM3から取得する。
また、上述したように、トークン記憶部41がセキュリティ領域50であるため、取得部61は、セキュアOS60Bを介して(セキュアOS60Bを起動して)、トークンID、トークン、及び制限情報をトークン記憶部41から取得する。また、取得部61は、トークン記憶部41から取得したトークンが無効である場合に、例えば、セキュアOS60Bを介して、拡張情報を、UIM3から取得する。
サービス処理部62(第1の処理部の一例)は、まず、オンライン環境である場合に、取得部61がサーバ装置5から取得した機密情報を、送信要求の応答として、NFC通信部12を介して、端末4(送信要求の要求元)に送信する。
また、サービス処理部62は、オフライン環境である場合に、次の処理を実行する。サービス処理部62は、取得部61がトークン記憶部41から取得したトークンが有効である場合に、取得したトークンを、NFC通信部12を介して、端末4に送信する。また、サービス処理部62は、取得部61がトークン記憶部41から取得したトークンが無効である場合に、取得部61がUIM3から取得した拡張情報に基づいて、トークンを有効にするか否かを判定する。なお、サービス処理部62は、例えば、セキュアOS60Bを介して、トークンを有効にするか否かを判定する。そして、サービス処理部62は、拡張情報に基づいてトークンを有効にすると判定された場合に、当該トークンを端末4(送信要求の要求元)に送信する。
次に、UIM3の機能構成について説明する。
図3に示すように、UIM3は、通信部14と、データ記憶部70と、カード制御部80とを備えている。ここで、図3に示されるUIM3の各部は、図2に示されるUIM3のハードウェアを用いて実現される。
通信部14(第3の通信部の一例)は、コンタクト部31及び通信I/F部32を用いて実現され、接触インターフェースを利用して、携帯端末2のカード通信部11と通信する。
データ記憶部70は、例えば、EEPROM36により構成される記憶部である。データ記憶部70は、例えば、拡張情報記憶部71と、PIN記憶部72とを備えている。
拡張情報記憶部71は、上述した拡張情報(例えば、オプション情報)を記憶する。なお、拡張情報には、例えば、トークンの有効期限を拡張する期限拡張情報と、トークンの有効回数を拡張する回数拡張情報とが含まれる。拡張情報記憶部71は、例えば、図5に示すように、「トークンID」と、「オプション情報」とを対応付けて記憶する。
図5は、本実施形態の拡張情報記憶部71のデータ例を示す図である。
図5において、「トークンID」は、図4と同様に、トークンを識別する識別子を示し、「オプション情報」は、期限拡張情報又は回数拡張情報を示す。
図5に示す例では、「トークンID」が“01”に対応する「オプション情報」は、“追加2回”であることを示している。すなわち、この場合、トークンの有効回数を2回拡張することを示している。また、「トークンID」が“02”に対応する「オプション情報」は、“追加1日”であることを示している。すなわち、この場合、トークンの有効期限を1日拡張することを示している。
なお、図5に示す例では、期限拡張情報は、拡張する期間(日数)を示す例を説明したが、例えば、“○月○日まで拡張”のように、有効期限日を指定するようにしてもよい。
また、図5に示す例では、1つのトークンに対して、「オプション情報」として、期限拡張情報又は回数拡張情報を記憶する例を説明したが、1つのトークンに対して、期限拡張情報と回数拡張情報との両方を記憶するようにしてもよい。この場合、トークンは、有効期限と、有効回数とを組み合わせて制限することになる。
このように、本実施形態において、UIM3が、トークンの「オプション情報」(拡張情報)を記憶する。
再び図3に戻り、PIN記憶部72は、UIM3の内部でPIN照合を行うための比較対象となるPINを記憶する。ここで、PINは、使用者を識別する使用者識別情報の一例である。
カード制御部80は、例えば、CPU33と、RAM35と、ROM34又はEEPROM36とにより実現され、UIM3を統括的に制御する。カード制御部80は、例えば、携帯端末2からUIM3に送信された各種コマンドの処理(コマンド処理)を実行する。また、カード制御部80は、例えば、認証処理部81と、拡張情報処理部82とを備えている。
認証処理部81は、通信部14を介して受信したPINをPIN記憶部72に記憶させる処理(例えば、“CHANGE REFERENCE DATA”コマンド処理)を実行する。また、認証処理部81は、通信部14を介して受信したPINと、PIN記憶部72が記憶するPINとを照合して、使用者の正当性を確認する処理(例えば、“VERIFY PIN”コマンド処理)を実行する。
拡張情報処理部82(第2の処理部の一例)は、オプション情報(拡張情報)に関する処理を実行する。拡張情報処理部82は、通信部14を介して受信したオプション情報を拡張情報記憶部71に記憶させる初期登録処理を実行する。また、拡張情報処理部82は、拡張情報記憶部71が記憶するオプション情報を読み出し、通信部14を介して携帯端末2に送信する確認処理を実行する。すなわち、拡張情報処理部82は、例えば、携帯端末2(取得部61)によって送信されたトークンIDに応じて、拡張情報記憶部71が記憶するオプション情報のうち、当該トークンIDに対応するオプション情報を携帯端末2に送信する。
また、拡張情報処理部82は、拡張情報記憶部71が記憶するオプション情報を変更する変更処理を実行する。すなわち、拡張情報処理部82は、認証処理部81によって、PINに基づいて使用者の正当性が確認された場合に、オプション情報の変更を要求する変更要求に応じて、拡張情報記憶部71が記憶する拡張情報を変更する。ここで、変更要求は、例えば、後述するトークンオプション設定コマンドである。なお、本実施形態において、拡張情報処理部82は、このトークンオプション設定コマンドに応じて、上述した初期登録処理、確認処理、及び変更処理を実行する。
次に、図6及び図7を参照して、UIM3のトークンオプション設定コマンドの詳細について説明する。
図6は、実施形態のトークンオプション設定コマンドのデータ形式例を示す図である。また、図7は、本実施形態のトークンオプション設定コマンドのモード・オプション設定の一例を示す図である。
図6に示すように、トークンオプション設定コマンドのAPDU(Application Protocol Data Unit)は、「CLA」及び「INS」が所定の値であり、「P1」がモード・オプション設定である。また、トークンオプション設定コマンドのAPDUは、「P2」がトークンIDを指定し、「Command Data」に有効期限又は有効回数を指定する形式である。なお、トークンオプション設定コマンドのAPDUにおいて、「CLA」は、クラスバイトを示し、「INS」は、命令バイトを示す。また、「P1」及び「P2」は、トークンオプション設定コマンドのパラメータを示す。また、「Lc」は、有効期限又は有効回数のデータサイズを示し、「Le」は、出力データ数を示し、「Le」は未使用となっている。
また、図7に示すように、「P1」(モード・オプション設定)の仕様は、最上位の3ビット(b8〜b6)により、モード(初期設定、変更、又は確認)が指定され、次の2ビット(b5、b4)により、オプション(有効期限、又は有効回数)が指定される。また、最下位の3ビット(b3〜b1)は、未使用となっている。
このように、トークンオプション設定コマンドでは、「P1」により、初期設定(初期登録処理)、変更(変更処理)、及び確認(確認処理)のいずれかのモードが指定されるとともに、オプション情報(有効期限又は有効回数)を指定する。これにより、1つのコマンドにより、上述した初期登録処理、確認処理、及び変更処理を実行するとともに、期限拡張情報及び回数拡張情報に対応する。
次に、図面を参照して、本実施形態のセキュリティシステム1の動作について説明する。ここでは、まず、図8〜図11を参照して、上述したUIM3によるトークンオプション設定コマンドの動作について説明する。
図8は、本実施形態のトークンオプション設定コマンドの動作の一例を示すフローチャートである。
この図に示すように、まず、UIM3は、トークンオプション設定コマンドを受信したか否かを判定する(ステップS101)。すなわち、UIM3のカード制御部80は、通信部14を介して、トークンオプション設定コマンド(「CLA」、「INS」が所定の値のコマンド)を受信したか否かを判定する。カード制御部80は、トークンオプション設定コマンドを受信した場合(ステップS101:YES)に、処理をステップS102に進める。また、カード制御部80は、トークンオプション設定コマンドを受信していない場合(ステップS101:NO)に、処理をステップS101に戻す。
ステップS102において、カード制御部80の拡張情報処理部82は、トークンオプション設定コマンドの「P1」に基づいて、各モードの処理に、モード分岐させる。すなわち、拡張情報処理部82は、「P1」の最上位の3ビット(b8〜b6)により、各モードの処理に、モード分岐させる。
拡張情報処理部82は、「P1」に“初期設定”が指定されている場合に、処理をステップS103に進めて、初期登録処理を実行する。
また、拡張情報処理部82は、「P1」に“確認”が指定されている場合に、処理をステップS104に進めて、確認処理を実行する。
また、拡張情報処理部82は、「P1」に“変更”が指定されている場合に、処理をステップS105に進めて、変更処理(更新処理)を実行する。
拡張情報処理部82は、各モードの処理(ステップS101からステップS103のいずれかの処理)を実行後に、処理をステップS101に戻す。
次に、図9を参照して、上述した図8のステップS103の初期登録処理について説明する。
図9は、本実施形態のトークンオプション設定コマンドの初期登録処理の一例を示すフローチャートである。
この図に示すように、拡張情報処理部82は、まず、トークンIDが未登録であるか否かを判定する(ステップS201)。すなわち、拡張情報処理部82は、トークンオプション設定コマンドの「P2」によって指定されたトークンIDが、拡張情報記憶部71に記憶されているかによって、トークンIDが未登録であるか否かを判定する。拡張情報処理部82は、トークンIDが未登録である場合(ステップS201:YES)に、処理をステップS202に進める。また、拡張情報処理部82は、トークンIDが未登録でない(登録済みである)場合(ステップS201:NO)に、処理をステップS205に進める。
ステップS202において、拡張情報処理部82は、トークンオプション設定コマンドの「P1」に基づいて、各オプションの登録処理に、オプション分岐させる。すなわち、拡張情報処理部82は、「P1」の2ビット(b5、b4)により、各オプションの登録処理に、オプション分岐させる。
拡張情報処理部82は、「P1」に“有効期限”が指定されている場合に、処理をステップS203に進めて、有効期限の登録処理を実行する。すなわち、拡張情報処理部82は、「P2」によって指定されたトークンIDと、「Command Data」として受信したオプション情報である有効期限とを対応付けて、拡張情報記憶部71に記憶させる。そして、拡張情報処理部82は、通信部14を介して、有効期限の登録処理を正常に実行した旨を示すレスポンスを、携帯端末2に送信する。拡張情報処理部82は、ステップS203の処理後に、処理を図8のステップS101に戻す。
また、拡張情報処理部82は、「P1」に“有効回数”が指定されている場合に、処理をステップS204に進めて、有効回数の登録処理を実行する。すなわち、拡張情報処理部82は、「P2」によって指定されたトークンIDと、「Command Data」として受信したオプション情報である有効回数とを対応付けて、拡張情報記憶部71に記憶させる。そして、拡張情報処理部82は、通信部14を介して、有効回数の登録処理を正常に実行した旨を示すレスポンスを、携帯端末2に送信する。拡張情報処理部82は、ステップS204の処理後に、処理を図8のステップS101に戻す。
また、拡張情報処理部82は、「P1」にその他(“有効期限”及び“有効回数”以外)が指定されている場合に、処理をステップS205に進めて、エラー処理を実行する。すなわち、ステップS205において、拡張情報処理部82は、通信部14を介して、初期登録処理がエラーである旨を示すレスポンスを、携帯端末2に送信する。拡張情報処理部82は、ステップS205の処理後に、処理を図8のステップS101に戻す。
次に、図10を参照して、上述した図8のステップS104の初期登録処理について説明する。
図10は、本実施形態のトークンオプション設定コマンドの確認処理の一例を示すフローチャートである。
この図に示すように、拡張情報処理部82は、まず、トークンIDが登録済であるか否かを判定する(ステップS301)。すなわち、拡張情報処理部82は、トークンオプション設定コマンドの「P2」によって指定されたトークンIDが、拡張情報記憶部71に記憶されているかによって、トークンIDが登録済であるか否かを判定する。拡張情報処理部82は、トークンIDが登録済である場合(ステップS301:YES)に、処理をステップS302に進める。また、拡張情報処理部82は、トークンIDが登録済でない(未登録である)場合(ステップS301:NO)に、処理をステップS305に進める。
ステップS302において、拡張情報処理部82は、トークンIDに対応するオプション情報を通知する。すなわち、拡張情報処理部82は、拡張情報記憶部71が記憶するオプション情報のうち、当該トークンIDに対応するオプション情報を読み出し、読み出したオプション情報を、通信部14を介して、携帯端末2に送信する。拡張情報処理部82は、ステップS302の処理後に、処理を図8のステップS101に戻す。
また、ステップs303において、拡張情報処理部82は、エラー処理を実行する。すなわち、拡張情報処理部82は、通信部14を介して、確認処理がエラーである旨(トークンIDが未登録である旨)を示すレスポンスを、携帯端末2に送信する。拡張情報処理部82は、ステップS303の処理後に、処理を図8のステップS101に戻す。
次に、図11を参照して、上述した図8のステップS105の変更処理について説明する。
図11は、本実施形態のトークンオプション設定コマンドの変更処理の一例を示すフローチャートである。
この図に示すように、拡張情報処理部82は、まず、正当なPINにより照合済であるか否かを判定する(ステップS401)。拡張情報処理部82は、例えば、上述した“VERIFY PIN”コマンド処理により、PIN記憶部72が記憶するPINにより、使用者の正当性が確認済であるか否かを判定する。拡張情報処理部82は、正当なPINにより照合済である場合(ステップS401:YES)に、処理をステップS402に進める。また、拡張情報処理部82は、正当なPINにより照合済でない場合(ステップS401:NO)に、処理をステップS406に進める。
ステップS402において、拡張情報処理部82は、トークンIDが登録済であるか否かを判定する。すなわち、拡張情報処理部82は、トークンオプション設定コマンドの「P2」によって指定されたトークンIDが、拡張情報記憶部71に記憶されているかによって、トークンIDが登録済であるか否かを判定する。拡張情報処理部82は、トークンIDが登録済である場合(ステップS402:YES)に、処理をステップS403に進める。また、拡張情報処理部82は、トークンIDが登録済でない(未登録である)場合(ステップS402:NO)に、処理をステップS406に進める。
ステップS403において、拡張情報処理部82は、トークンオプション設定コマンドの「P1」に基づいて、各オプションの変更処理に、オプション分岐させる。すなわち、拡張情報処理部82は、「P1」の2ビット(b5、b4)により、各オプションの変更処理に、オプション分岐させる。
拡張情報処理部82は、「P1」に“有効期限”が指定されている場合に、処理をステップS404に進めて、オプション情報である有効期限の変更処理を実行する。すなわち、拡張情報処理部82は、拡張情報記憶部71が記憶するオプション情報のうち、「P2」によって指定されたトークンIDに対応するオプション情報に、「Command Data」として受信したオプション情報である有効期限を記憶させる。そして、拡張情報処理部82は、通信部14を介して、有効期限の変更処理(更新処理)を正常に実行した旨を示すレスポンスを、携帯端末2に送信する。拡張情報処理部82は、ステップS404の処理後に、処理を図8のステップS101に戻す。
拡張情報処理部82は、「P1」に“有効回数”が指定されている場合に、処理をステップS405に進めて、オプション情報である有効回数の変更処理を実行する。すなわち、拡張情報処理部82は、拡張情報記憶部71が記憶するオプション情報のうち、「P2」によって指定されたトークンIDに対応するオプション情報に、「Command Data」として受信したオプション情報である有効回数を記憶させる。そして、拡張情報処理部82は、通信部14を介して、有効回数の変更処理(更新処理)を正常に実行した旨を示すレスポンスを、携帯端末2に送信する。拡張情報処理部82は、ステップS405の処理後に、処理を図8のステップS101に戻す。
また、拡張情報処理部82は、「P1」にその他(“有効期限”及び“有効回数”以外)が指定されている場合に、処理をステップS406に進めて、エラー処理を実行する。すなわち、ステップS406において、拡張情報処理部82は、通信部14を介して、変更処理がエラーである旨を示すレスポンスを、携帯端末2に送信する。拡張情報処理部82は、ステップS406の処理後に、処理を図8のステップS101に戻す。
次に、図12〜図14を参照して、本実施形態によるセキュリティシステム1の動作について説明する。
図12は、本実施形態のセキュリティシステム1のオプション情報の登録動作の一例を示す図である。この図に示す例は、サービスを提供するアプリケーションを登録する際に、UIM3に使用者のPINと、トークンのオプション情報を登録する場合の一例を示している。また、UIM3は、オプション情報を記憶させる領域(拡張情報記憶部71の領域)が、ADF(Application dedicated file)として設定されているものとし、当該DFがすでに選択されている状態における動作を説明する。
なお、この図において、制御部60は、上述したように通常OS60Aと、セキュアOS60Bとによって動作する。
図12において、制御部60のサービス処理部62は、通常OS60Aにおいて、PIN登録要求をセキュアOS60Bに行う(ステップS501)。
セキュアOS60Bは、通常OS60AからのPIN登録要求に応じて、PIN更新コマンド(例えば、“CHANGE REFERENCE DATA”コマンド)を、カード通信部11を介して、UIM3に送信する(ステップS502)。すなわち、サービス処理部62は、セキュアOS60Bを介して、例えば、PIN更新コマンドを、カード通信部11経由でUIM3に送信する。なお、以下の通常OS60A及びセキュアOS60Bによって実行される処理は、サービス処理部62によって実行される処理である。
UIM3は、PIN更新コマンド(例えば、“CHANGE REFERENCE DATA”コマンド)に応じて、PIN更新処理を実行する(ステップS503)。すなわち、カード制御部80が、新しいPINをPIN記憶部72に記憶させる処理を実行する。
次に、UIM3のカード制御部80は、PIN更新処理の実行結果であるレスポンスを、携帯端末2に送信する(ステップS504)。すなわち、カード制御部80は、通信部14及びカード通信部11を介して、セキュアOS60B(サービス処理部62)にレスポンスを送信する。
また、セキュアOS60B(サービス処理部62)は、受信したレスポンスを通常OS60Aに返答する(ステップS505)。
次に、通常OS60A(サービス処理部62)は、オプション情報の登録要求を、セキュアOS60Bに行う(ステップS506)。なお、オプション情報の登録要求には、少なくともトークンIDと、登録情報(オプション情報)とが含まれる。
セキュアOS60B(サービス処理部62)は、通常OS60Aからのオプション情報の登録要求に応じて、トークンオプション設定コマンド(モード=初期設定)を、UIM3に送信する(ステップS507)。ここで、セキュアOS60B(サービス処理部62)は、トークンID及び登録情報(オプション情報)を含むトークンオプション設定コマンド(モード=初期設定)を、カード通信部11を介して、UIM3に送信する。
UIM3の拡張情報処理部82は、トークンオプション設定コマンド(モード=初期設定)に応じて、初期登録処理を実行する(ステップS508)。すなわち、拡張情報処理部82は、上述した図8及び図9に示す初期登録処理を実行する。
次に、UIM3の拡張情報処理部82は、初期登録処理の実行結果であるレスポンスを、携帯端末2に送信する(ステップS509)。すなわち、拡張情報処理部82は、通信部14及びカード通信部11を介して、セキュアOS60B(サービス処理部62)にレスポンスを送信する。
また、セキュアOS60B(サービス処理部62)は、受信したレスポンスを通常OS60Aに返答する(ステップS510)。
図13は、本実施形態のセキュリティシステム1のトークンの確認動作の一例を示す図である。この図に示す例は、サービスを提供する際に、トークンを確認する場合の一例を示している。
なお、この図において、上述した図12と同様に、制御部60は、上述したように通常OS60Aと、セキュアOS60Bとによって動作する。
図13において、まず、携帯端末2が、端末4に近づけられて、端末4が、サービスの開始(機密情報の送信要求)を行う(ステップS601)。すなわち、端末4は、サービスの提供を開始するために、NFC通信部12を介して、携帯端末2に機密情報の送信要求を行う。
次に、携帯端末2の取得部61は、通常OS60Aにおいて、オフライン確認を行う(ステップS602)。通常OS60A(取得部61)は、NW通信部27がネットワークNWに接続可能であるか否かを判定する。なお、ここで示す例では、NW通信部27がネットワークNWに接続可能でないオフライン環境であるものとして説明する。
なお、NW通信部27がネットワークNWに接続可能である場合には、通常OS60A(取得部61)は、NW通信部27を介して、サーバ装置5から機密情報を取得し、取得した機密情報を、NFC通信部12を介して、端末4に送信する。
次に、通常OS60A(取得部61)は、トークン取得要求をセキュアOS60Bに行う(ステップS603)。なお、トークン取得要求には、少なくともアプリケーションIDが含まれる。
セキュアOS60B(取得部61)は、通常OS60Aからのトークン取得要求に応じて、まず、トークンIDと、トークンとを取得し、当該トークンが有効であるかを確認する(ステップS604)。すなわち、セキュアOS60B(取得部61)は、セキュリティ領域50であるトークン記憶部41から、アプリケーションIDに対応するトークンIDと、トークンと、制限情報を取得する。セキュアOS60B(取得部61)は、取得した制限情報に基づいて、当該トークンが有効であるかを確認する。なお、ここで示す例では、取得したトークンは、無効であるものとして説明する。
なお、取得したトークンが有効である場合には、セキュアOS60B(取得部61)は、トークンを通常OS60Aに返答し、通常OS60A(取得部61)は、取得したトークンを、NFC通信部12を介して、端末4に送信する。
次に、セキュアOS60B(取得部61)は、トークンオプション設定コマンド(モード=確認)を、UIM3に送信する(ステップS605)。ここで、セキュアOS60B(取得部61)は、トークンIDを含むトークンオプション設定コマンド(モード=確認)を、カード通信部11を介して、UIM3に送信する。
UIM3の拡張情報処理部82は、トークンオプション設定コマンド(モード=確認)に応じて、確認処理を実行し、レスポンス(オプション情報)をセキュアOS60Bに送信する(ステップS606)。すなわち、拡張情報処理部82は、上述した図8及び図10に示す確認処理を実行する。拡張情報処理部82は、通信部14及びカード通信部11を介して、セキュアOS60B(取得部61)にオプション情報を含むレスポンスを送信する。
次に、セキュアOS60B(サービス処理部62)は、オプション情報を確認する(ステップS607)。例えば、オプション情報が期限拡張情報である場合には、セキュアOS60B(サービス処理部62)は、オプション情報として取得した期限拡張情報に基づいて、トークンを有効にするか否かを判定する。また、例えば、オプション情報が回数拡張情報である場合には、セキュアOS60B(サービス処理部62)は、オプション情報として取得した回数拡張情報に基づいて、トークンを有効にするか否かを判定する。
次に、セキュアOS60B(サービス処理部62)は、トークンを有効にすると判定した場合に、通常OS60Aに、トークンをレスポンスとして返答する(ステップS608)。
次に、通常OS60A(サービス処理部62)は、NFC通信部12を介して、トークンを端末4に送信する(ステップS609)。
このように、本実施形態のセキュリティシステム1では、UIM3に記憶されているオプション情報(拡張情報)を利用して、トークンの利用(利用回数又は利用期限)を拡張する。
次に、図14を参照して、本実施形態のセキュリティシステム1において、さらにトークンの利用を拡張する場合の動作について説明する。
図14は、本実施形態のセキュリティシステム1のオプション情報の変更動作の一例を示す図である。この図に示す例は、トークンの利用を拡張する際に、UIM3に使用者のPINを照合して、トークンのオプション情報を変更する場合の一例を示している。また、UIM3は、該当するDFがすでに選択されている状態における動作を説明する。
なお、この図において、制御部60は、上述したように通常OS60Aと、セキュアOS60Bとによって動作する。
図14において、制御部60のサービス処理部62は、通常OS60Aにおいて、PIN照合要求をセキュアOS60Bに行う(ステップS701)。
セキュアOS60Bは、通常OS60AからのPIN照合要求に応じて、PIN照合コマンド(例えば、“VERIFY PIN”コマンド)を、カード通信部11を介して、UIM3に送信する(ステップS702)。すなわち、サービス処理部62は、セキュアOS60Bを介して、例えば、PIN照合コマンドを、カード通信部11経由でUIM3に送信する。なお、PIN照合コマンドに含まれるPINは、使用者によって、入力部24を介して、受付けられる。また、以下の通常OS60A及びセキュアOS60Bによって実行される処理は、サービス処理部62によって実行される処理である。
UIM3は、PIN照合コマンド(例えば、“VERIFY PIN”コマンド)に応じて、PIN照合処理を実行する(ステップS703)。すなわち、カード制御部80の認証処理部81が、PIN照合コマンドに含まれるPINと、PIN記憶部72が記憶するPINとを照合し、2つのPINが一致するか否かを判定する。なお、ここでは、2つのPINが一致するもの(使用者が正当であると確認されたもの)として説明する。
次に、UIM3の認証処理部81は、PIN照合処理の実行結果であるレスポンスを、携帯端末2に送信する(ステップS704)。すなわち、認証処理部81は、通信部14及びカード通信部11を介して、セキュアOS60B(サービス処理部62)にレスポンスを送信する。
また、セキュアOS60B(サービス処理部62)は、受信したレスポンスを通常OS60Aに返答する(ステップS705)。
次に、通常OS60A(サービス処理部62)は、オプション情報の変更要求を、セキュアOS60Bに行う(ステップS706)。なお、オプション情報の変更要求には、少なくともトークンIDと、変更情報(オプション情報)とが含まれる。
セキュアOS60B(サービス処理部62)は、通常OS60Aからのオプション情報の変更要求に応じて、トークンオプション設定コマンド(モード=変更)を、UIM3に送信する(ステップS707)。ここで、セキュアOS60B(サービス処理部62)は、トークンID及び変更情報(オプション情報)を含むトークンオプション設定コマンド(モード=変更)を、カード通信部11を介して、UIM3に送信する。
UIM3の拡張情報処理部82は、トークンオプション設定コマンド(モード=変更)に応じて、変更処理を実行する(ステップS708)。すなわち、拡張情報処理部82は、上述した図8及び図11に示す変更処理を実行する。
次に、UIM3の拡張情報処理部82は、変更処理の実行結果であるレスポンスを、携帯端末2に送信する(ステップS709)。すなわち、拡張情報処理部82は、通信部14及びカード通信部11を介して、セキュアOS60B(サービス処理部62)にレスポンスを送信する。
また、セキュアOS60B(サービス処理部62)は、受信したレスポンスを通常OS60Aに返答する(ステップS710)。
このように、本実施形態のセキュリティシステム1では、使用者の正当性が確認された場合に、UIM3に記憶されているオプション情報(拡張情報)を変更して、トークンの利用(利用回数又は利用期限)をさらに拡張する。
以上説明したように、本実施形態によるセキュリティシステム1は、携帯端末2(端末装置の一例)と、UIM3(携帯可能電子装置の一例)とを備えている。また、携帯端末2は、トークン記憶部41(機密情報記憶部の一例)と、取得部61と、サービス処理部62(第1の処理部の一例)とを備える。トークン記憶部41は、提供されるサービスに関する機密情報(例えば、トークン)を記憶する。取得部61は、トークンの送信を要求する送信要求に応じて、トークンをトークン記憶部41から取得するとともに、トークン記憶部41から取得したトークンが無効である場合に、トークンを使用する制限を拡張する拡張情報(例えば、オプション情報)を、UIM3から取得する。サービス処理部62は、取得部61がトークン記憶部41から取得したトークンが無効である場合に、取得部61がUIM3から取得した拡張情報に基づいて、トークンを有効にするか否かを判定する。そして、サービス処理部62は、トークンを有効にすると判定された場合に、当該トークンを送信要求の要求元に送信する。また、UIM3は、拡張情報記憶部71と、拡張情報処理部82(第2の処理部の一例)とを備えている。拡張情報記憶部71は、拡張情報(例えば、オプション情報)を記憶する。拡張情報処理部82は、トークンに対応する拡張情報であって、拡張情報記憶部71が記憶する拡張情報を携帯端末2に送信する。
これにより、本実施形態によるセキュリティシステム1は、UIM3が記憶する拡張情報(オプション情報)によって、トークンの利用制限を拡張することができるので、セキュリティを確保しつつ、利便性を向上させることができる。なお、本実施形態によるセキュリティシステム1は、有効期限又は有効回数というトークンの中で機密性の高い情報を耐タンパー性が高いUIM3に格納する。そのため、本実施形態によるセキュリティシステム1は、NFC通信にSEを使わないというHCEの利点を活かしたまま、従来のHCEとトークナイゼーションとを組み合わせた仕組みよりも高いセキュリティを確保することができる。
また、本実施形態では、拡張情報処理部82は、使用者を識別する使用者識別情報に基づいて使用者の正当性が確認された場合に、オプション情報の変更を要求する変更要求に応じて、拡張情報記憶部71が記憶するオプション情報を変更する。
これにより、本実施形態によるセキュリティシステム1は、さらに、トークンの利用制限を拡張することができる。よって、本実施形態によるセキュリティシステム1は、セキュリティを確保しつつ、さらに利便性を向上させることができる。
例えば、携帯端末2を車両の鍵とするようなアプリケーションがあった場合、山中などオフライン環境にしばらく車両が置かれる可能性がある。このような場合、本実施形態によるセキュリティシステム1は、トークンの有効期限又は有効回数が切れた場合であっても、PIN照合を行うことで、オプション情報を変更することができるので、車両の鍵を適切に解除することができる。また、携帯端末2を盗まれた場合には、オプション情報を変更することができないため、有効期限又は有効回数以上の不正に車両を利用されることができない。
また、本実施形態では、拡張情報には、トークンの有効期限を拡張する期限拡張情報が含まれる。サービス処理部62は、期限拡張情報に基づいて、トークンを有効にするか否かを判定する。
これにより、本実施形態によるセキュリティシステム1は、トークンに有効期限という制限を付加するとともに、有効期限を必要に応じて拡張することができる。
また、本実施形態では、拡張情報には、トークンの有効回数を拡張する回数拡張情報が含まれる。サービス処理部62は、回数拡張情報に基づいて、トークンを有効にするか否かを判定する。
これにより、本実施形態によるセキュリティシステム1は、トークンに有効回数という制限を付加するとともに、有効回数を必要に応じて拡張することができる。
また、本実施形態では、トークン記憶部41は、サービスを提供するアプリケーションを実行する通常OS(Operating System)60Aとは異なるセキュアOS60Bによってアクセスが制限される。取得部61は、セキュアOS60Bを介して、トークンをトークン記憶部41から取得するとともに、トークン記憶部41から取得したトークンが無効である場合に、拡張情報を、UIM3から取得する。また、サービス処理部62は、セキュアOSを介して、トークンを有効にするか否かを判定する。
これにより、セキュリティが担保されたセキュアOSを介して、トークン及び拡張情報を取得するとともに、トークンを有効にするか否かを判定するので、本実施形態によるセキュリティシステム1は、さらにセキュリティを向上させることができる。
なお、トークン記憶部41がセキュアOS60Bによってセキュリティが担保されたセキュリティ領域50であるので、本実施形態によるセキュリティシステム1は、セキュリティを向上させることができる。
また、本実施形態では、トークン記憶部41は、トークンと、当該トークンを識別するトークンID(機密情報識別子)とを少なくとも対応付けて記憶する。取得部61は、送信要求に応じて、トークンと、当該トークンに対応するトークンIDとをトークン記憶部41から取得するとともに、トークンが無効である場合に、取得したトークンIDをUIM3に送信して、トークンIDに対応する拡張情報を、UIM3から取得する。また、拡張情報記憶部71は、トークンIDと、拡張情報とを対応付けて記憶する。拡張情報処理部82は、取得部61によって送信されたトークンIDに応じて、拡張情報記憶部71が記憶する拡張情報のうち、当該トークンIDに対応する拡張情報を携帯端末2に送信する。
これにより、本実施形態によるセキュリティシステム1は、例えば、トークンIDによって、複数のトークンの利用制限を拡張することができるので、例えば、複数のアプリケーションに適切に対応させることができる。
また、本実施形態では、サービス処理部62は、取得部61がトークン記憶部41から取得したトークンが有効である場合に、当該トークンを送信要求の要求元に送信する。なお、サービス処理部62は、例えば、トークンの使用(利用)を制限する制限情報に基づいて、トークンが有効であるか否かを判定する。
これにより、本実施形態によるセキュリティシステム1は、例えば、携帯端末2がネットワークNWに接続できない状態であるオフライン環境において、トークンを利用してセキュリティを確保することができる。また、本実施形態によるセキュリティシステム1は、トークンの利用に制限を付加することで、携帯端末2が盗まれて盗難にあった場合に、不正に利用される可能性を低減させることができる。
また、本実施形態による携帯端末2は、トークン記憶部41と、取得部61と、サービス処理部62とを備える。トークン記憶部41は、提供されるサービスに関するトークンを記憶する。取得部61は、トークンの送信を要求する送信要求に応じて、トークンをトークン記憶部41から取得するとともに、トークン記憶部41から取得したトークンが無効である場合に、トークンを使用する制限を拡張する拡張情報を、自装置と通信可能なUIM3から取得する。サービス処理部62は、取得部61がトークン記憶部41から取得したトークンが無効である場合に、取得部61がUIM3から取得した拡張情報に基づいて、トークンを有効にするか否かを判定する。そして、サービス処理部62は、トークンを有効にすると判定された場合に、当該トークンを送信要求の要求元に送信する。
これにより、本実施形態による携帯端末2は、上述したセキュリティシステム1と同様に、セキュリティを確保しつつ、利便性を向上させることができる。
(第2の実施形態)
次に、図面を参照して、第2の実施形態によるセキュリティシステム1aについて説明する。
本実施形態では、上述した拡張情報の代わりに、トークンの使用を制限する制限情報をUIM3aに記憶させる場合の一例について説明する。
図15は、本実施形態のセキュリティシステム1aの機能構成例を示すブロック図である。
図15に示すように、本実施形態によるセキュリティシステム1aは、携帯端末2aと、UIM3aとを備えている。
なお、本実施形態によるセキュリティシステム1aは、トークン本体(例えば、トークン)と、トークンの使用を制限する制限情報(例えば、トークンのオプション情報)とを分けて記憶する。すなわち、携帯端末2aが、トークン本体を記憶し、UIM3aが、制限情報を記憶する。
なお、本実施形態によるセキュリティシステム1aの全体の構成は、図1に示す構成と基本的には同様であり、図15では、携帯端末2a及びUIM3aの機能構成例を示している。また、本実施形態のセキュリティシステム1aのハード構成は、図2に示す第1の実施形態と同様であるのでその説明を省略する。また、図15において、図3に示す構成と同一の構成については同一の符号を付し、その説明を省略する。
図15に示すように、携帯端末2aは、カード通信部11と、NFC通信部12と、NW通信部27と、入力部24と、表示部25と、記憶部40aと、制御部60aとを備えている。
ここで、図15に示される携帯端末2a及びUIM3aの各部は、図2に示されるハードウェアを用いて実現される。
記憶部40aは、例えば、不揮発性メモリ23を用いて実現され、携帯端末2aの各種処理に利用する情報を記憶する。記憶部40aは、例えば、トークン記憶部41aを備えている。
トークン記憶部41a(機密情報記憶部の一例)は、トークンを記憶する。
なお、トークン記憶部41aが記憶するトークンは、定期的(例えば、1日に1回など)に、サーバ装置5からネットワークNWを介して取得され、更新される。また、トークン記憶部41aは、例えば、トークンを利用した回数情報をさらに記憶するようにしてもよい。トークン記憶部41aは、例えば、図16に示すように、「アプリケーションID」と、「トークンID」と、「トークン」とを対応付けて記憶する。
図16は、本実施形態のトークン記憶部41aのデータ例を示す図である。
この図において、「アプリケーションID」、「トークンID」、及び「トークン」は、上述した図4と同様である。本実施形態では、制限情報は、トークン記憶部41aに記憶されずに、UIM3aに記憶される。
図16に示す例では、「アプリケーションID」が“A1”に対応する「トークンID」が“01”であり、「トークン」が“XXXXXXXXXXX”であることを示している。
図15の説明に戻り、制御部60aは、例えば、CPU21と、RAM22と、不揮発性メモリ23とにより実現され、携帯端末2aを統括的に制御する。なお、制御部60aは、上述した通常OS60Aと、セキュリティ領域50にアクセス可能なセキュアOS60Bとにより動作するものとする。また、制御部60aは、取得部61aと、サービス処理部62aとを備えている。
ここで、上述したトークン記憶部41aは、セキュリティ領域50に割り当てられているものとする。
取得部61aは、機密情報(例えば、トークン)の送信を要求する送信要求に応じて、トークンをトークン記憶部41aから取得するとともに、機密情報(例えば、トークン)の使用を制限する制限情報(例えば、オプション情報)を、UIM3aから取得する。
例えば、取得部61aは、NFC通信部12を介して端末4から機密情報の送信要求を受信した場合に、当該送信要求に応じて、まず、NW通信部27によりネットワークNWに接続可能か否かを判定する。取得部61aは、NW通信部27によりネットワークNWに接続可能である場合(オンライン環境である場合)に、サーバ装置5が記憶する機密情報を、NW通信部27を介して取得する。また、取得部61aは、NW通信部27によりネットワークNWに接続不可能である場合(オフライン環境である場合)に、サーバ装置5が記憶する機密情報の代わりに、トークンをトークン記憶部41aから取得する。そして、取得部61aは、カード通信部11を介して、制限情報(例えば、オプション情報)をUIM3aから取得する。
なお、取得部61aは、アプリケーションに対応する機密情報を取得するために、アプリケーションIDに対応するトークンID、及びトークンをトークン記憶部41aから取得する。そして、取得部61aは、取得したトークンIDに対応する制限情報を、UIM3aから取得する。
また、上述したように、トークン記憶部41aがセキュリティ領域50であるため、取得部61aは、セキュアOS60Bを介して(セキュアOS60Bを起動して)、トークンID、及びトークンをトークン記憶部41aから取得する。また、取得部61aは、例えば、セキュアOS60Bを介して、制限情報を、UIM3aから取得する。
サービス処理部62a(第1の処理部の一例)は、まず、オンライン環境である場合に、取得部61aがサーバ装置5から取得した機密情報を、送信要求の応答として、NFC通信部12を介して、端末4(送信要求の要求元)に送信する。
また、サービス処理部62aは、オフライン環境である場合に、次の処理を実行する。サービス処理部62aは、取得部61aがUIM3aから取得した制限情報に基づいて、トークンを有効にするか否かを判定する。なお、サービス処理部62aは、例えば、セキュアOS60Bを介して、トークンを有効にするか否かを判定する。そして、サービス処理部62aは、制限情報に基づいてトークンを有効にすると判定された場合に、当該トークンを端末4(送信要求の要求元)に送信する。
UIM3aは、通信部14と、データ記憶部70aと、カード制御部80aとを備えている。
データ記憶部70aは、例えば、EEPROM36により構成される記憶部である。データ記憶部70aは、例えば、制限情報記憶部71aと、PIN記憶部72とを備えている。
制限情報記憶部71aは、上述した制限情報(例えば、オプション情報)を記憶する。なお、制限情報には、例えば、トークンの有効期限を制限する期限制限情報と、トークンの有効回数を制限する回数制限情報とが含まれる。制限情報記憶部71aは、例えば、図17に示すように、「トークンID」と、「オプション情報」とを対応付けて記憶する。
なお、本実施形態において「オプション情報」は、上述した第1の実施形態の「制限情報」に対応する。
図17は、本実施形態の制限情報記憶部71aのデータ例を示す図である。
図17において、「トークンID」は、図16と同様に、トークンを識別する識別子を示し、「オプション情報」は、期限制限情報又は回数制限情報を示す。
図17に示す例では、「トークンID」が“01”に対応する「オプション情報」は、“1回”であることを示している。すなわち、この場合、トークンの有効回数を1回に制限されることを示している。また、「トークンID」が“02”に対応する「オプション情報」は、“2015/04/13”であることを示している。すなわち、この場合、トークンの有効期限を“2015/04/13”に制限することを示している。
なお、図17に示す例では、1つのトークンに対して、「オプション情報」として、期限制限情報又は回数制限情報を記憶する例を説明したが、1つのトークンに対して、期限制限情報と回数制限情報との両方を記憶するようにしてもよい。この場合、トークンは、有効期限と、有効回数とを組み合わせて制限することになる。
このように、本実施形態において、UIM3aが、トークンの「オプション情報」(制限情報)を記憶する。
再び図15に戻り、カード制御部80aは、例えば、CPU33と、RAM35と、ROM34又はEEPROM36とにより実現され、UIM3aを統括的に制御する。カード制御部80aは、例えば、携帯端末2aからUIM3aに送信された各種コマンドの処理(コマンド処理)を実行する。また、カード制御部80aは、例えば、認証処理部81と、制限情報処理部82aとを備えている。
制限情報処理部82a(第2の処理部の一例)は、オプション情報(制限情報)に関する処理を実行する。制限情報処理部82aは、通信部14を介して受信したオプション情報を制限情報記憶部71aに記憶させる初期登録処理を実行する。また、制限情報処理部82aは、制限情報記憶部71aが記憶するオプション情報を読み出し、通信部14を介して携帯端末2aに送信する確認処理を実行する。すなわち、制限情報処理部82aは、例えば、携帯端末2a(取得部61a)によって送信されたトークンIDに応じて、制限情報記憶部71aが記憶するオプション情報のうち、当該トークンIDに対応するオプション情報を携帯端末2aに送信する。
また、制限情報処理部82aは、制限情報記憶部71aが記憶するオプション情報を変更する変更処理を実行する。すなわち、制限情報処理部82aは、認証処理部81によって、PINに基づいて使用者の正当性が確認された場合に、オプション情報の変更を要求する変更要求に応じて、制限情報記憶部71aが記憶する制限情報を変更する。ここで、変更要求は、例えば、上述したトークンオプション設定コマンドである。なお、本実施形態において、制限情報処理部82aは、このトークンオプション設定コマンドに応じて、上述した初期登録処理、確認処理、及び変更処理を実行する。
次に、図面を参照して、本実施形態のセキュリティシステム1aの動作について説明する。
なお、本実施形態のUIM3aによるトークンオプション設定コマンドの動作は、制限情報処理部82aが、制限情報記憶部71aのオプション情報に対して実行する点を除いて、上述した図8〜図11に示す第1の実施形態と同様であるので、ここではその説明を省略する。
また、本実施形態のセキュリティシステム1aのオプション情報の登録動作、及びオプション情報の変更動作は、上述した図12、及び図14に示す第1の実施形態と同様であるので、ここではその説明を省略する。
図18は、本実施形態のセキュリティシステム1aのトークンの確認動作の一例を示す図である。この図に示す例は、サービスを提供する際に、トークンを確認する場合の一例を示している。
なお、この図において、制御部60aは、上述したように通常OS60Aと、セキュアOS60Bとによって動作する。
図18において、まず、携帯端末2aが、端末4に近づけられて、端末4が、サービスの開始(機密情報の送信要求)を行う(ステップS801)。なお、ステップS801からステップS803までの処理は、上述した図13に示すステップS601からステップS603までの処理と同様であるので、ここではその説明を省略する。
ステップS804において、セキュアOS60B(取得部61a)は、通常OS60Aからのトークン取得要求に応じて、セキュリティ領域50であるトークン記憶部41aから、アプリケーションIDに対応するトークンIDと、トークンとを取得する。
次に、セキュアOS60B(取得部61a)は、トークンオプション設定コマンド(モード=確認)を、UIM3aに送信する(ステップS805)。ここで、セキュアOS60B(取得部61a)は、トークンIDを含むトークンオプション設定コマンド(モード=確認)を、カード通信部11を介して、UIM3aに送信する。
UIM3aの制限情報処理部82aは、トークンオプション設定コマンド(モード=確認)に応じて、確認処理を実行し、レスポンス(オプション情報)をセキュアOS60Bに送信する(ステップS806)。すなわち、制限情報処理部82aは、上述した図8及び図10に示す確認処理を実行する。制限情報処理部82aは、通信部14及びカード通信部11を介して、セキュアOS60B(取得部61a)に、制限情報記憶部71aが記憶するオプション情報を含むレスポンスを送信する。
次に、セキュアOS60B(サービス処理部62a)は、オプション情報を確認する(ステップS807)。例えば、オプション情報が期限制限情報である場合には、セキュアOS60B(サービス処理部62a)は、オプション情報として取得した期限制限情報に基づいて、トークンを有効にするか否かを判定する。また、例えば、オプション情報が回数制限情報である場合には、セキュアOS60B(サービス処理部62a)は、オプション情報として取得した回数制限情報に基づいて、トークンを有効にするか否かを判定する。
次に、セキュアOS60B(サービス処理部62a)は、トークンを有効にすると判定した場合に、通常OS60Aに、トークンをレスポンスとして返答する(ステップS808)。
次に、通常OS60A(サービス処理部62a)は、NFC通信部12を介して、トークンを端末4に送信する(ステップS809)。
このように、本実施形態のセキュリティシステム1aでは、UIM3aに記憶されているオプション情報(制限情報)を利用して、トークンの利用(利用回数又は利用期限)を制限する。
以上説明したように、本実施形態によるセキュリティシステム1aは、携帯端末2a(端末装置の一例)と、UIM3a(携帯可能電子装置の一例)とを備えている。また、携帯端末2aは、トークン記憶部41a(機密情報記憶部の一例)と、取得部61aと、サービス処理部62a(第1の処理部の一例)とを備える。トークン記憶部41aは、提供されるサービスに関する機密情報(例えば、トークン)を記憶する。取得部61aは、トークンの送信を要求する送信要求に応じて、トークンをトークン記憶部41aから取得するとともに、トークンの使用を制限する制限情報(例えば、オプション情報)を、UIM3aから取得する。サービス処理部62aは、取得部61aがUIM3aから取得した制限情報に基づいて、トークンを有効にするか否かを判定する。そして、サービス処理部62aは、トークンを有効にすると判定された場合に、当該トークンを送信要求の要求元に送信する。また、UIM3aは、制限情報記憶部71aと、制限情報処理部82a(第2の処理部の一例)とを備えている。制限情報記憶部71aは、制限情報(例えば、オプション情報)を記憶する。制限情報処理部82aは、トークンに対応する制限情報であって、制限情報記憶部71aが記憶する制限情報を携帯端末2aに送信する。
これにより、本実施形態によるセキュリティシステム1aは、UIM3aが記憶する制限情報(オプション情報)によって、トークンの利用を制限することができるので、セキュリティを確保しつつ、利便性を向上させることができる。なお、本実施形態によるセキュリティシステム1aは、有効期限又は有効回数というトークンの中で機密性の高い情報を耐タンパー性が高いUIM3aに格納する。そのため、本実施形態によるセキュリティシステム1aは、NFC通信にSEを使わないというHCEの利点を活かしたまま、従来のHCEとトークナイゼーションとを組み合わせた仕組みよりも高いセキュリティを確保することができる。
また、本実施形態では、制限情報処理部82aは、使用者を識別する使用者識別情報に基づいて使用者の正当性が確認された場合に、オプション情報の変更を要求する変更要求に応じて、制限情報記憶部71aが記憶するオプション情報を変更する。
これにより、本実施形態によるセキュリティシステム1aは、トークンの利用制限を拡張することができる。よって、本実施形態によるセキュリティシステム1aは、セキュリティを確保しつつ、さらに利便性を向上させることができる。
また、本実施形態では、制限情報には、トークンの有効期限を制限する期限制限情報が含まれる。サービス処理部62aは、期限制限情報に基づいて、トークンを有効にするか否かを判定する。
これにより、本実施形態によるセキュリティシステム1aは、トークンに有効期限という制限を付加するとともに、有効期限を必要に応じて拡張することができる。
また、本実施形態では、制限情報には、トークンの有効回数を制限する回数制限情報が含まれる。サービス処理部62aは、回数制限情報に基づいて、トークンを有効にするか否かを判定する。
これにより、本実施形態によるセキュリティシステム1aは、トークンに有効回数という制限を付加するとともに、有効回数を必要に応じて拡張することができる。
また、本実施形態では、トークン記憶部41aは、サービスを提供するアプリケーションを実行する通常OS60Aとは異なるセキュアOS60Bによってアクセスが制限される。取得部61aは、セキュアOS60Bを介して、トークンをトークン記憶部41aから取得するとともに、制限情報をUIM3aから取得する。また、サービス処理部62aは、セキュアOSを介して、トークンを有効にするか否かを判定する。
これにより、セキュリティが担保されたセキュアOS60Bを介して、トークン及び制限情報を取得するとともに、トークンを有効にするか否かを判定するので、本実施形態によるセキュリティシステム1aは、さらにセキュリティを向上させることができる。
また、本実施形態では、トークン記憶部41aは、トークンと、当該トークンを識別するトークンID(機密情報識別子)とを少なくとも対応付けて記憶する。取得部61aは、送信要求に応じて、トークンと、当該トークンに対応するトークンIDとをトークン記憶部41aから取得するとともに、取得したトークンIDをUIM3aに送信して、トークンIDに対応する制限情報を、UIM3aから取得する。また、制限情報記憶部71aは、トークンIDと、制限情報とを対応付けて記憶する。制限情報処理部82aは、取得部61aによって送信されたトークンIDに応じて、制限情報記憶部71aが記憶する制限情報のうち、当該トークンIDに対応する制限情報を携帯端末2aに送信する。
これにより、本実施形態によるセキュリティシステム1aは、例えば、トークンIDによって、複数のトークンの利用制限を制限することができるので、例えば、複数のアプリケーションに適切に対応させることができる。
また、本実施形態による携帯端末2aは、トークン記憶部41aと、取得部61aと、サービス処理部62aとを備える。トークン記憶部41aは、提供されるサービスに関するトークンを記憶する。取得部61aは、トークンの送信を要求する送信要求に応じて、トークンをトークン記憶部41aから取得するとともに、トークンの使用を制限する制限情報を、自装置と通信可能なUIM3aから取得する。サービス処理部62aは、取得部61aがUIM3aから取得した制限情報に基づいて、トークンを有効にするか否かを判定する。そして、サービス処理部62aは、トークンを有効にすると判定された場合に、当該トークンを送信要求の要求元に送信する。
これにより、本実施形態による携帯端末2aは、上述したセキュリティシステム1aと同様に、セキュリティを確保しつつ、利便性を向上させることができる。
(第3の実施形態)
次に、図面を参照して、第3の実施形態によるセキュリティシステム1bについて説明する。
上述した第2の実施形態において、制限情報に期限制限情報を採用した場合に、例えば、1日に1回などトークンが更新された際に、UIM3aが記憶する期限制限情報が更新されないため、トークンが更新された時点で期限切れである可能性がある。このような場合には、使用者は、トークンを利用する前に、制限情報を変更する必要が生じる。そこで、本実施形態では、トークンの更新の際に、制限情報の更新を可能にする一例について説明する。
図19は、本実施形態のセキュリティシステム1bの機能構成例を示すブロック図である。
図19に示すように、本実施形態によるセキュリティシステム1bは、携帯端末2bと、UIM3bとを備えている。
なお、本実施形態によるセキュリティシステム1bの全体の構成は、図1に示す構成と基本的には同様であり、図19では、携帯端末2b及びUIM3bの機能構成例を示している。また、本実施形態のセキュリティシステム1bのハード構成は、図2に示す第1の実施形態と同様であるのでその説明を省略する。また、図19において、図15に示す構成と同一の構成については同一の符号を付し、その説明を省略する。
図19に示すように、携帯端末2bは、カード通信部11と、NFC通信部12と、NW通信部27と、入力部24と、表示部25と、記憶部40bと、制御部60bとを備えている。
記憶部40bは、例えば、不揮発性メモリ23を用いて実現され、携帯端末2bの各種処理に利用する情報を記憶する。記憶部40bは、例えば、トークン記憶部41aと、KEY(キー)記憶部42とを備えている。
KEY記憶部42は、トークンの更新の際に、制限情報の更新するための認証KEY(認証キー)を記憶する。なお、認証KEYは、例えば、上述したセキュアOS60B又はサービスを提供するサービス提供者によって予め定められて、KEY記憶部42に記憶されているものとする。また、KEY記憶部42は、セキュリティ領域50に割り当てられているものとする。
制御部60bは、例えば、CPU21と、RAM22と、不揮発性メモリ23とにより実現され、携帯端末2bを統括的に制御する。なお、制御部60bは、上述した通常OS60Aと、セキュリティ領域50にアクセス可能なセキュアOS60Bとにより動作するものとする。また、制御部60bは、取得部61aと、サービス処理部62bとを備えている。
サービス処理部62b(第1の処理部の一例)の基本的な機能は、上述した第2の実施形態のサービス処理部62aと同様である。なお、サービス処理部62bは、トークンが更新された際に、UIM3bのオプション情報(制限情報)を更新する。まず、サービス処理部62bは、例えば、KEY記憶部42が記憶する認証KEYをUIM3bに送信して、認証KEYによる認証を行う。そして、サービス処理部62bは、例えば、トークンオプション設定コマンドを送信して、オプション情報(例えば、期限制限情報)を変更させる。
UIM3bは、通信部14と、データ記憶部70bと、カード制御部80bとを備えている。
データ記憶部70bは、例えば、EEPROM36により構成される記憶部である。データ記憶部70bは、例えば、制限情報記憶部71aと、PIN記憶部72と、KEY記憶部73とを備えている。
KEY記憶部73は、UIM3bの内部でKEY照合を行うための比較対象となる認証KEYを記憶する。ここで、認証KEYは、セキュアOS60B又はサービス提供者によって予め定められたKEYである。
カード制御部80bは、例えば、CPU33と、RAM35と、ROM34又はEEPROM36とにより実現され、UIM3bを統括的に制御する。カード制御部80bは、例えば、携帯端末2bからUIM3bに送信された各種コマンドの処理(コマンド処理)を実行する。また、カード制御部80bは、例えば、認証処理部81aと、制限情報処理部82bとを備えている。
認証処理部81aの機能は、基本的には、上述した第1の実施形態の認証処理部81と同様であるが、認証KEYに対する照合処理を実行する点が異なる。認証処理部81aは、通信部14を介して受信した認証KEYと、KEY記憶部73が記憶する認証KEYとを照合して、例えば、携帯端末2bの正当性を確認する処理(例えば、“VERIFY PIN”コマンド処理)を実行する。
制限情報処理部82b(第2の処理部の一例)は、オプション情報(制限情報)に関する処理を実行する。制限情報処理部82bの機能は、基本的には、上述した第2の実施形態の制限情報処理部82aと同様である。制限情報処理部82bは、オプション情報の更新の際に、認証KEYの認証結果を利用する点が、上述した第2の実施形態の制限情報処理部82aと異なる。制限情報処理部82bは、認証KEYに基づいて携帯端末2bの正当性を確認された場合に、制限情報(オプション情報)の変更を要求する変更要求に応じて、制限情報記憶部71aが記憶する制限情報(オプション情報)を変更する。
次に、図面を参照して、本実施形態のセキュリティシステム1bの動作について説明する。
なお、本実施形態のUIM3bによるトークンオプション設定コマンドの動作は、基本的には、第2の実施形態と同様であるが、変更処理において認証KEYの照合結果を利用する点が異なる。
図20は、本実施形態のトークンオプション設定コマンドの変更処理の一例を示すフローチャートである。
この図に示すように、制限情報処理部82bは、まず、正当な認証KEYにより照合済であるか否かを判定する(ステップS901)。制限情報処理部82bは、例えば、上述した“VERIFY PIN”コマンド処理により、KEY記憶部73が記憶する認証KEYにより、携帯端末2bの正当性が確認済であるか否かを判定する。制限情報処理部82bは、正当な認証KEYにより照合済である場合(ステップS901:YES)に、処理をステップS903に進める。また、制限情報処理部82bは、正当な認証KEYにより照合済でない場合(ステップS901:NO)に、処理をステップS902に進める。
続く制限情報処理部82bによるステップS902からステップS907の処理は、上述した図11に示すステップS401からステップS406の処理と同様であるのでここではその説明を省略する。
また、本実施形態のセキュリティシステム1bのオプション情報の登録動作、及びトークンの確認動作は、上述した第2の実施形態と同様であるので、ここではその説明を省略する。
また、オプション情報(制限情報)を拡張する場合における本実施形態のセキュリティシステム1bのオプション情報の変更動作は、上述した第2の実施形態と同様であるので、ここではその説明を省略する。
図21は、本実施形態のセキュリティシステム1bのオプション情報の変更動作の一例を示す図である。この図に示す例は、オプション情報(制限情報)を更新する際に、オプション情報を変更する場合の一例を示している。
なお、この図において、制御部60bは、上述したように通常OS60Aと、セキュアOS60Bとによって動作する。
図21において、制御部60bのサービス処理部62bは、通常OS60Aにおいて、KEY照合要求をセキュアOS60Bに行う(ステップS1001)。
セキュアOS60Bは、通常OS60AからのKEY照合要求に応じて、KEY照合コマンド(例えば、“VERIFY PIN”コマンド)を、カード通信部11を介して、UIM3bに送信する(ステップS1002)。すなわち、サービス処理部62bは、セキュアOS60Bを介して、例えば、KEY照合コマンドを、カード通信部11経由でUIM3bに送信する。なお、KEY照合コマンドに含まれる認証KEYは、KEY記憶部42に予め記憶されている。また、以下の通常OS60A及びセキュアOS60Bによって実行される処理は、サービス処理部62bによって実行される処理である。
UIM3bは、KEY照合コマンド(例えば、“VERIFY PIN”コマンド)に応じて、KEY照合処理を実行する(ステップS1003)。すなわち、カード制御部80bの認証処理部81aが、KEY照合コマンドに含まれる認証KEYと、KEY記憶部73が記憶する認証KEYとを照合し、2つの認証KEYが一致するか否かを判定する。なお、ここでは、2つの認証KEYが一致するもの(携帯端末2bが正当であると確認されたもの)として説明する。
次に、UIM3bの認証処理部81aは、KEY照合処理の実行結果であるレスポンスを、携帯端末2bに送信する(ステップS1004)。すなわち、認証処理部81aは、通信部14及びカード通信部11を介して、セキュアOS60B(サービス処理部62b)にレスポンスを送信する。
また、セキュアOS60B(サービス処理部62b)は、受信したレスポンスを通常OS60Aに返答する(ステップS1005)。
続くステップS1006からステップS1010の処理は、上述した図14に示すステップS706からステップS710の処理と同様であるので、ここではその説明を省略する。
このように、本実施形態のセキュリティシステム1bでは、トークンを更新する際に、認証KEYによる正当性が確認された場合に、UIM3bに記憶されているオプション情報(制限情報)を変更して、トークンの利用(利用回数又は利用期限)を更新する。
以上説明したように、本実施形態によるセキュリティシステム1bでは、制限情報処理部82bは、認証KEYに基づいて、例えば、携帯端末2bの正当性が確認された場合に、オプション情報の変更を要求する変更要求に応じて、制限情報記憶部71aが記憶するオプション情報を変更する。
これにより、本実施形態によるセキュリティシステム1bは、トークンを更新する際に、使用者の確認なしにUIM3bが記憶する制限情報の更新を安全に行うことができる。よって、本実施形態によるセキュリティシステム1bは、セキュリティを確保しつつ、さらに利便性を向上させることができる。
なお、上記の各実施形態において、CPU21が、セキュアOS60Bを動作させるセキュアモードを有している例を説明したが、CPU21とは別に、セキュアOS60Bを動作させるコプロセッサを備えるようにしてもよい。
また、上記の各実施形態において、制御部60(60a、60b)が、通常OS60Aと、セキュリティ領域50にアクセス可能なセキュアOS60Bとにより動作する例を説明したが、セキュアOS60Bを有さずに通常OS60Aにより動作するようにしてもよい。また、この場合、トークン記憶部41(41a)は、セキュリティ領域50でなくてもよいし、取得部61(61a)及びサービス処理部62(62a、62b)による全ての処理は、通常OS60Aで実行されるようにしてもよい。
また、上記の各実施形態において、携帯端末2(2a、2b)が、携帯電話である例を説明したが、これに限定されるものではなく、例えば、PDA(Personal Digital Assistant)、タブレット端末などの携帯情報端末であってもよい。
また、上記の実施形態において、NW通信部27は、3G移動体通信(第3世代移動通信)などの無線通信によりネットワークNWに接続する例を説明したが、これに限定されるものではない。NW通信部27は、例えば、無線LAN(Local Area Network)、有線LANなどの他の通信方式によりネットワークNWに接続するようにしてもよい。
また、上記の各実施形態において、携帯端末2が、UIM3(3a、3b)を内蔵する例を説明したが、これに限定されるものではなく、セキュリティシステム1(1a、1b)は、UIM3(3a、3b)を携帯端末2(2a、2b)とは別体として備えるようにしてもよい。また、UIM3(3a、3b)は、SIMカードなどのICカードに限定されるものではなく、セキュリティ機能付きのSDカードなどの他の携帯可能電子装置であってもよい。
また、上記の各実施形態において、携帯端末2(2a、2b)が、オプション情報(拡張情報又は制限情報)の初期設定、確認、及び変更を1つのコマンド(トークンオプション設定コマンド)により実行する例を説明したが、これに限定されるものではない。携帯端末2(2a、2b)は、複数のコマンドを組み合わせて、オプション情報(拡張情報又は制限情報)の初期設定、確認、及び変更を実現するようにしてもよい。例えば、トークンオプション設定コマンドの代わりに、“SELECT”コマンド、“WRITE BINARY/RECORD”コマンド、及び“READ BINARY/RECORD”コマンドなどを組み合わせて実現してもよい。
また、上記の第2及び第3の実施形態において、UIM3a(3b)に制限情報を記憶させる例を説明したが、制限情報の他に第1の実施形態のように、制限情報を拡張する拡張情報をUIM3a(3b)に記憶するようにしてもよい。
また、上記の第3の実施形態において、携帯端末2bが、認証KEYをKEY記憶部42に記憶する例を説明したが、トークンの更新の際に、携帯端末2bが、サーバ装置5から認証キーを取得するようにしてもよい。
以上説明した少なくともひとつの実施形態によれば、携帯端末2aが、提供されるサービスに関するトークンを記憶するトークン記憶部41aと、トークンの送信を要求する送信要求に応じて、トークンをトークン記憶部41aから取得するとともに、トークンの使用を制限する制限情報を、自装置と通信可能なUIM3aから取得する取得部61aと、UIM3aから取得した制限情報に基づいて、トークンを有効にするか否かを判定し、トークンを有効にすると判定された場合に、当該トークンを送信要求の要求元に送信するサービス処理部62aとを持つことにより、セキュリティを確保しつつ、利便性を向上させることができる。
上記実施形態は、以下のように表現することができる。
外部装置と第1のインターフェースで通信する第1の通信部と、
携帯可能電子装置と第2のインターフェースで通信する第2の通信部と、
提供されるサービスに関する機密情報を記憶する機密情報記憶部と、
前記第1の通信部を介して前記外部装置から受信した、前記機密情報の送信を要求する送信要求に応じて、前記機密情報を前記機密情報記憶部から取得するとともに、前記機密情報の使用を制限する制限情報を、前記第2の通信部を介して携帯可能電子装置から取得する取得部と、
前記取得部が前記携帯可能電子装置から取得した前記制限情報に基づいて、前記機密情報を有効にするか否かを判定し、前記機密情報を有効にすると判定された場合に、当該機密情報を前記送信要求の要求元である前記外部装置に前記第1の通信部を介して送信する第1の処理部と
を備える端末装置と、
前記端末装置と前記第2のインターフェースで通信する第3の通信部と、
前記制限情報を記憶する制限情報記憶部と、
前記制限情報記憶部が記憶する前記制限情報を、前記第3の通信部を介して前記端末装置に送信する第2の処理部と
を備える前記携帯可能電子装置と
を備えるセキュリティシステム。
なお、上述したセキュリティシステム1(1a、1b)は、内部に、コンピュータシステムを有している。そして、上述したセキュリティシステム1(1a、1b)が備える各構成の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより上述したセキュリティシステム1(1a、1b)が備える各構成における処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、セキュリティシステム1(1a、1b)に内蔵されたコンピュータシステムであって、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含んでもよい。また上記プログラムは、前述した機能の一部を実現するためのものであってもよく、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであってもよい。
また、上述した機能の一部又は全部を、LSI(Large Scale Integration)等の集積回路として実現してもよい。上述した各機能は個別にプロセッサ化してもよいし、一部、又は全部を集積してプロセッサ化してもよい。また、集積回路化の手法はLSIに限らず専用回路、又は汎用プロセッサで実現してもよい。また、半導体技術の進歩によりLSIに代替する集積回路化の技術が出現した場合、当該技術による集積回路を用いてもよい。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
1,1a,1b…セキュリティシステム、2,2a,2b…携帯端末、3,3a,3b…UIM、4…端末、5…サーバ装置、11…カード通信部、12…NFC通信部、14…通信部、21,33…CPU、22,35…RAM、23…不揮発性メモリ、24…入力部、25…表示部、26…カードI/F部、27…NW通信部、28…NFCコントローラ、29…コイル、30…ICチップ、31…コンタクト部、32…通信I/F部、34…ROM、36…EEPROM、40,40a,40b…記憶部、41,41a…トークン記憶部、42,73…KEY記憶部、50…セキュリティ領域、60,60a,60b…制御部、60A…通常OS、60B…セキュアOS、61,61a…取得部、62,62a,62b…サービス処理部、70,70a,70b…データ記憶部、71…拡張情報記憶部、71a…制限情報記憶部、72…PIN記憶部、80,80a,80b…カード制御部、81,81a…認証処理部、82…拡張情報処理部、82a,82b…制限情報処理部、BS1…システムバス、NW…ネットワーク、PT…カード基材

Claims (8)

  1. 提供されるサービスに関する機密情報を記憶する機密情報記憶部と、
    前記機密情報の送信を要求する送信要求に応じて、前記機密情報を前記機密情報記憶部から取得するとともに、前記機密情報の使用を制限する制限情報を、携帯可能電子装置から取得する取得部と、
    前記取得部が前記携帯可能電子装置から取得した前記制限情報に基づいて、前記機密情報を有効にするか否かを判定し、前記機密情報を有効にすると判定された場合に、当該機密情報を前記送信要求の要求元に送信する第1の処理部と
    を備える端末装置と、
    前記制限情報を記憶する制限情報記憶部と、
    前記制限情報記憶部が記憶する前記制限情報を前記端末装置に送信する第2の処理部と
    を備える前記携帯可能電子装置と
    を備えるセキュリティシステム。
  2. 前記第2の処理部は、使用者を識別する使用者識別情報に基づいて前記使用者の正当性が確認された場合に、前記制限情報の変更を要求する変更要求に応じて、前記制限情報記憶部が記憶する前記制限情報を変更する
    請求項1に記載のセキュリティシステム。
  3. 前記制限情報には、前記機密情報の有効期限を制限する期限制限情報が含まれ、
    前記第1の処理部は、前記期限制限情報に基づいて、前記機密情報を有効にするか否かを判定する
    請求項1又は請求項2に記載のセキュリティシステム。
  4. 前記制限情報には、前記機密情報の有効回数を制限する回数制限情報が含まれ、
    前記第1の処理部は、前記回数制限情報に基づいて、前記機密情報を有効にするか否かを判定する
    請求項1から請求項3のいずれか一項に記載のセキュリティシステム。
  5. 前記機密情報記憶部は、前記サービスを提供するアプリケーションを実行する端末OS(Operating System)とは異なるセキュアOSによってアクセスが制限され、
    前記取得部は、前記セキュアOSを介して、前記機密情報を前記機密情報記憶部から取得するとともに、前記制限情報を前記携帯可能電子装置から取得し、
    前記第1の処理部は、前記セキュアOSを介して、前記機密情報を有効にするか否かを判定する
    請求項1から請求項4のいずれか一項に記載のセキュリティシステム。
  6. 前記機密情報記憶部は、前記機密情報と、当該機密情報を識別する機密情報識別子とを少なくとも対応付けて記憶し、
    前記取得部は、前記送信要求に応じて、前記機密情報と、当該機密情報に対応する前記機密情報識別子とを前記機密情報記憶部から取得するとともに、取得した前記機密情報識別子を前記携帯可能電子装置に送信して、前記機密情報識別子に対応する前記制限情報を、前記携帯可能電子装置から取得し、
    前記制限情報記憶部は、前記機密情報識別子と、前記制限情報とを対応付けて記憶し、
    前記第2の処理部は、前記取得部によって送信された前記機密情報識別子に応じて、前記制限情報記憶部が記憶する前記制限情報のうち、当該機密情報識別子に対応する前記制限情報を前記端末装置に送信する
    請求項1から請求項5のいずれか一項に記載のセキュリティシステム。
  7. 提供されるサービスに関する機密情報を記憶する機密情報記憶部と、
    前記機密情報の送信を要求する送信要求に応じて、前記機密情報を前記機密情報記憶部から取得するとともに、前記機密情報の使用を制限する制限情報を、自装置と通信可能な携帯可能電子装置から取得する取得部と、
    前記取得部が前記携帯可能電子装置から取得した前記制限情報に基づいて、前記機密情報を有効にするか否かを判定し、前記機密情報を有効にすると判定された場合に、当該機密情報を前記送信要求の要求元に送信する処理部と
    を備える端末装置。
  8. 提供されるサービスに関する機密情報を記憶する機密情報記憶部を備える端末装置としてのコンピュータに、
    前記機密情報の送信を要求する送信要求に応じて、前記機密情報を前記機密情報記憶部から取得するとともに、前記機密情報の使用を制限する制限情報を、前記端末装置と通信可能な携帯可能電子装置から取得する取得ステップと、
    前記取得ステップにより前記携帯可能電子装置から取得した前記制限情報に基づいて、前記機密情報を有効にするか否かを判定し、前記機密情報を有効にすると判定された場合に、当該機密情報を前記送信要求の要求元に送信する処理ステップと
    を実行させるためのプログラム。
JP2015133022A 2015-07-01 2015-07-01 セキュリティシステム、端末装置、及びプログラム Pending JP2017016428A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015133022A JP2017016428A (ja) 2015-07-01 2015-07-01 セキュリティシステム、端末装置、及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015133022A JP2017016428A (ja) 2015-07-01 2015-07-01 セキュリティシステム、端末装置、及びプログラム

Publications (1)

Publication Number Publication Date
JP2017016428A true JP2017016428A (ja) 2017-01-19

Family

ID=57830604

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015133022A Pending JP2017016428A (ja) 2015-07-01 2015-07-01 セキュリティシステム、端末装置、及びプログラム

Country Status (1)

Country Link
JP (1) JP2017016428A (ja)

Similar Documents

Publication Publication Date Title
JP5443659B2 (ja) 非接触型スマートカードのためのローカルのトラステッドサービスマネージャ
US8391837B2 (en) Method, system and trusted service manager for securely transmitting an application to a mobile phone
JP7030624B2 (ja) Icカードシステム、及び情報登録方法
KR20130099999A (ko) 보안 소자에 애플리케이션 데이터의 기입
KR20180132855A (ko) 업데이트된 프로파일을 다운로드하기 위한 방법, 서버들 및 시스템
EP3108673B1 (en) System and method for managing application data of contactless card applications
JP2010033193A (ja) 認証システム及び認証用サーバ装置
JP2008287335A (ja) 認証情報管理システム、認証情報管理サーバ、認証情報管理方法及びプログラム
JP6923582B2 (ja) 情報処理装置、情報処理方法、およびプログラム
JP6479514B2 (ja) Icカード、及びicカードシステム
CN109040169A (zh) 管理配置文件的通信装置和方法
JP2016045699A (ja) Icカード、icモジュール、及びicカードシステム
JP6382521B2 (ja) 携帯可能電子装置、および電子回路
JP2017016428A (ja) セキュリティシステム、端末装置、及びプログラム
JP2019057784A (ja) 電子装置、及び情報通信システム
JP6305284B2 (ja) 携帯可能電子装置
JP6801448B2 (ja) 電子情報記憶媒体、認証システム、認証方法、及び認証アプリケーションプログラム
JP6917835B2 (ja) 非接触通信システム、及び非接触通信方法
JP6505893B2 (ja) 携帯可能電子装置
JP6911303B2 (ja) 認証システム及び認証方法
JP6163364B2 (ja) 通信システム
JP6421648B2 (ja) セキュア化パケットのセキュリティ確認方法,uiccおよびコンピュータプログラム
JP6520090B2 (ja) Icカードシステム,icカードおよびicカード管理装置
KR101505734B1 (ko) 시간 검증 기반 엔에프씨카드 인증 방법
CN112512034A (zh) 终端快速加载用户识别卡文件方法、装置、计算机设备

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20170912

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20170912