JP2779092B2 - Icカードとそのデータ記憶用メモリの消去方法 - Google Patents

Icカードとそのデータ記憶用メモリの消去方法

Info

Publication number
JP2779092B2
JP2779092B2 JP6714592A JP6714592A JP2779092B2 JP 2779092 B2 JP2779092 B2 JP 2779092B2 JP 6714592 A JP6714592 A JP 6714592A JP 6714592 A JP6714592 A JP 6714592A JP 2779092 B2 JP2779092 B2 JP 2779092B2
Authority
JP
Japan
Prior art keywords
mode
card
command
change mode
flag
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP6714592A
Other languages
English (en)
Other versions
JPH05274498A (ja
Inventor
武史 木村
誠一 難波
高志 久保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Maxell Holdings Ltd
Japan Broadcasting Corp
Original Assignee
Nippon Hoso Kyokai NHK
Hitachi Maxell Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Hoso Kyokai NHK, Hitachi Maxell Ltd filed Critical Nippon Hoso Kyokai NHK
Priority to JP6714592A priority Critical patent/JP2779092B2/ja
Publication of JPH05274498A publication Critical patent/JPH05274498A/ja
Application granted granted Critical
Publication of JP2779092B2 publication Critical patent/JP2779092B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Read Only Memory (AREA)

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は、アプリケーションプロ
グラムを実行可能とし、特に、有料放送システム等特定
のユーザを対象とした、システムに用いて好適なICカ
ードとそのデータ記憶用メモリの消去方法に関する。
【0002】
【従来の技術】近年、ICカードとリーダライタとから
なるICカードシステムの種々の分野への応用が注目さ
れている。従来のICカードでは、E2PROM などの
記憶容量が大きいデータ記憶用メモリやデータ処理機能
を有するCPUが内蔵されており、データの保存や処理
が可能であったが、さらに、データ記憶メモリに所望の
アプリケーションプログラムを格納し、これを実行可能
とすることにより、応用範囲がさらに拡張できる。
【0003】かかるアプリケーションプログラムを用い
てICカードシステムを応用する分野の1つとして、有
料放送システムが考えられる。かかるシステムでは、送
信側からスクランブルがかけられた放送信号が送信さ
れ、受信側でこのスクランブルを解いて放送信号を受信
可能とするものであるが、ICカードシステムを受信側
に設け、スクランブルされた受信信号をディスクランブ
ル可能とする装置として用いるものである。
【0004】この場合、送信側からはスクランブルされ
た放送信号とともに、これをディスクランブルするため
のキー情報が送られるが、このディスクランブルキー情
報も暗号化されている。ICカードには、この受信した
ディスクランブルキー情報を復号化するためのキー情報
と、復号化処理のためのアプリケーションプログラムが
格納されており、これらによって復号化されたディスク
ランブルキー情報により、受信装置が受信信号をディス
クランブルすることができる。このようにしてかかるI
Cカードシステムを具備した受信装置のみが、有料放送
を聴取できることになる。
【0005】なお、かかるICカードには、課金情報も
格納することができ、これによってプリペイドシステム
またはアフターペイドシステムを実現できる。
【0006】ところで、ICカードシステムをこのよう
に所定システムに応用する場合、応用するシステム等に
応じてアプリケーションプログラムが異なる。上記の有
料放送システムの場合、放送形態によって復号化や課金
のためのアプリケーションプログラムが異なる。このた
め、ICカードに格納されるアプリケーションプログラ
ムはダウンロード(書込み)可能としている。
【0007】そこで、ICカードシステムでは、アプリ
ケーションプログラムを実行可能とする「通常AP(ア
プリケーションプログラム)実行モード」とアプリケー
ションプログラムのダウンロードや読出し、消去を可能
とする「ROMコマンド実行モード」とを設け、通常は
「通常AP実行モード」にしておき、アプリケーション
プログラムのダウンロードや読出し、消去を防止するた
めに、「ROMコマンド実行モード」への移行は、チェ
ンジモードキーを含むチェンジモードコマンドを与える
ことにより、行なうことができる。
【0008】即ち、図14に示すように、ICカードに
も、例えばE2PROMにリーダライタもしくはホスト
(以下、端末/ホストという)と同じチェンジモードキ
ーが格納されており、端末/ホストからチェンジモード
キーを含むチェンジモードコマンドが送られてくると、
ICカードでは、このチェンジモードコマンド中のチェ
ンジモードキーと自己のチェンジモードキーと比較し、
これらが一致したときのみ「通常AP実行モード」から
「ROMコマンド実行モード」へ移行して、その結果を
端末/ホストに知らせる。
【0009】
【発明が解決しようとする課題】ところで、上記のよう
なICカードシステムによると、チェンジモードキーが
分かると、少なくとも発行元が同じICカードでは、全
てチェンジモードキーが同じであるから、これを用いて
ICカードのモードを「ROMコマンド実行モード」に
移行させることができて、上記の有料放送システムの場
合、ICカード内の復号化するためのキー情報やアプリ
ケーションプログラムを読み取ることができ、ディスク
ランブルの方法や課金方法を知得されるおそれがある。
また、ICカード内に記憶されている課金情報が改ざん
されるおそれもある。
【0010】例えば、ICカードにアプリケーションプ
ログラムをダウンロードする場合、ICカードシステム
をホストに接続し、ホストからICカードシステムにチ
ェンジモードキーを送ってICカードを「ROMコマン
ド実行モード」とし、しかる後、アプリケーションプロ
グラムのダウンロード等を行なうが、図14で説明した
ように、端末/ホスト、ICカード間の回線を通してチ
ェンジモードキーを含むチェンジモードコマンドが送ら
れるから、端末/ホスト、ICカード間の回線をモニタ
することにより、チェンジモードキーを知ることも不可
能ではない。また、チェンジモードキーを知っている例
えばICカード発行元関係のものが不正使用することも
考えられる。
【0011】本発明の目的は、かかる問題を解消し、チ
ェンジモードキーが知られても、それに応答しないよう
にしたICカードとそのデータ記憶用メモリの消去方法
を提供することにある。
【0012】
【課題を解決するための手段】上記目的を達成するため
に、本発明によるICカードは、アプリケーションプロ
グラムを実行可能とする第1のモード、データ記憶用メ
モリでの書込み、読出し、消去を可能とする第2のモー
ド、該データ記憶用メモリでの消去のみを実行可能とす
る第3のモードとを有し、チェンジモードキーによって
該第3のモードに移行すると「イレーズのみフラグ」が
立ち、該「イレーズのみフラグ」が立っているときに
は、チェンジモードキーによって該第1のモードから移
行するモードを該第3モードとする。
【0013】また、本発明によるデータ記憶用メモリの
消去方法は、該データ記憶用メモリにはアプリケーショ
ンプログラム、該アプリケーションプログラムを管理す
るテーブル、該テーブルを有効とし該アプリケーション
プログラムを実行可能とするテーブル有効フラグ、チェ
ンジモードキー及び「イレーズのみフラグ」が格納さ
れ、最初に該テーブル有効フラグを消去し、最後に該チ
ェンジモードと該「イレーズのみフラグ」を消去するよ
うにする。
【0014】
【作用】本発明によるICカードでは、これにアプリケ
ーションプログラムが格納されていて使用可能であると
きには、「イレーズのみフラグ」が立っており、このた
め、チェンジモードキーを知ってこれを使用しても、第
3のモードが設定されてしまい、アプリケーションプロ
グラム等の消去以外の操作はできなくなってしまう。
【0015】また、本発明によるデータ記憶用メモリの
消去方法では、まず、テーブル有効フラグが消去される
から、テーブルが無効となり、アプリケーションプログ
ラムは実行不能となって消去されたのと同等となる。ア
プリケーションプログラムの消去が電源のオフ等によっ
て途中で終ってしまう場合もあるが、このようなばあい
でも、途中からのアプリケーションプログラムが実行し
て暴走するようなことはない。また、チェンジモードキ
ーや「イレーズのみフラグ」が最後に消去されるから、
消去が完了するまでこれらのセキュリティ強度が変化す
ることはない。
【0016】
【実施例】以下、本発明の実施例を図面により説明す
る。図1は本発明によるICカードシステムの一実施例
を示すブロック構成図であって、1はICカード、2は
MPU(マイクロプロセサユニット)、3はRAM(ラ
ンダムアクセスメモリ)、4はE2PROM (電気的に
消去可能なプログラマブルROM)、5はROM(リー
ドオンリメモリ)、6はI/Oインターフェースであ
る。
【0017】同図において、ICカード1内には、MP
U2、RAM3、E2PROM4 、ROM5及びI/O
インターフェース6が内蔵されている。ROM5には、
MPU2を制御動作させるための制御プログラムが格納
されている。E2PROM4は、通常、データを格納す
るものであるが、アプリケーションプログラムやアプリ
ケーションプログラムによって処理されるデータも、通
常のデータと同様に、格納可能である。また、このE2
PROM4 には、その機能を後述する「イレーズのみ
フラグ」も格納されている。MPU2のデータ処理のた
めのRAM3には「モードフラグ」が格納されている。
この「モードフラグ」は、その機能を後述するが、IC
カード1のモードを設定するものであって、これによっ
て設定される特定のモードのとき、MPU2はE2PR
OM4 に格納されているアプリケーションプログラム
を実行可能である。さらに、E2PROM4 やROM5
には、端末/ホストと同一のチェンジモードキーが格納
されるようにする。
【0018】図2は図1に示したICカード1でのモー
ドとその移行を示す図である。同図において、ICカー
ド1では、アプリケーションプログラムの実行を可能と
する「通常AP実行モード」とアプリケーションプログ
ラムのダウンロード、読出し、消去、チェンジモードキ
ーの書替え等を可能とする「ROMコマンド実行モー
ド」とデータ記憶用メモリとしてのE2PROM4 (図
1)の消去(チップイレーズ)のみを実行可能とする
「イレーズのみ実行可能なモード」の3つのモードが設
定可能であり、これらモードは図1に示したICカード
1のRAM3に格納されている「モードフラグ」によっ
て管理される。
【0019】「モードフラグ」の値は、ここでは、「通
常AP実行モード」のとき“0”、「ROMコマンド実
行モード」のとき“1”、「イレーズのみ実行可能なモ
ード」のとき“2”とする。なお、この「モードフラ
グ」はMPU2(図1)がリセットされると“0”にリ
セットされる。従って、「モードフラグ」はリセットさ
れると、ICカード1は「通常AP実行モード」にあ
る。
【0020】端末/ホストからチェンジモードキーとモ
ード情報とを含むチェンジモードコマンドが送られてく
ると、ICカード1においては、このチェンジモードコ
マンドがI/Oインターフェース6(図1)を介してM
PU2に供給され、制御プログラム(図1)によって動
作するこのMPU2がこのチェンジモードコマンドに応
答して「モードフラグ」をこのモード情報に応じて変更
し、これによってICカード1のモードが上記のいずれ
かのモードに変更される。
【0021】ここで、ICカード1のモードを「通常A
P実行モード」から「ROMコマンド実行モード」に移
行させるためには、チェンジモードキーとモード情報
“01”が必要であり、「ROMコマンド実行モード」
から「イレーズのみ実行可能モード」に移行させるため
には、チェンジモードキーとモード情報“02”が必要
である。なお、図1、図2における「イレーズのみフラ
グ」は「イレーズのみ実行可能モード」への移行を制御
するためのフラグであり、ICカード1が未発行の場合
には、未セット状態“0”にあって、モード情報“0
2”のチェンジモードコマンドによって“1”にセット
される。
【0022】図3は端末/ホストからのチェンジモード
コマンドによる制御プログラムのモード設定動作を示す
フローチャートである。
【0023】同図において、端末/ホストからチェンジ
モードコマンドが送られてきて、このチェンジモードコ
マンドに含まれるモード情報が“01”のときには(ス
テップ300)、「イレーズのみフラグ」が“1”にセ
ットされているか否かが判定される(ステップ30
1)。「イレーズのみフラグ」が“1”にセットされて
いなければ、「モードフラグ」は“1”にセットされ、
ICカード1のモードは「ROMコマンド実行モード」
になる(ステップ302)が、「イレーズのみフラグ」
が“1”にセットされているときには(ステップ30
1)、「モードフラグ」は“2”にセットされ、ICカ
ード1のモードは「イレーズのみ実行可能モード」にな
る(ステップ303)。また、端末/ホストから送られ
てきたチェンジモードコマンドに含まれるモード情報が
“02”であるときには(ステップ300)、「モード
フラグ」は“2”にセットされてICカード1のモード
は「イレーズのみ実行可能モード」になり(ステップ3
04)、これとともに、「イレーズのみフラグ」が
“1”にセットされる(ステップ305)。
【0024】次に、この実施例の実際の使用形態につい
て説明する。先ず、ICカード発行者がICカードを発
行する場合には、端末/ホストからチェンジモードキー
とモード情報“01”を含むチェンジモードコマンドを
ICカード1に送出する。すると、図1におけるE2
ROM4内の「イレーズのみフラグ」が初期状態ではセ
ットされていないため、図1におけるRAM3内の「モ
ードフラグ」が“1”となり、ICカード1のモードは
「ROMコマンド実行モード」に移行する。これによ
り、端末/ホストから所望のアプリケーションプログラ
ムを送ってICカード1のE2PROM4 にダウンロー
ドすることができる。
【0025】ダウンロードが終ってICカード1をエン
ドユーザに引き渡す場合、端末/ホストからICカード
1にチェンジモードキーとモード情報“02”を含むチ
ェンジモードコマンドを送る。これにより、ICカード
1のモードは「イレーズのみ実行可能モード」に移り、
「イレーズのみフラグ」が“1”にセツトされる。しか
る後、ICカード1をリセットすると、「モードフラ
グ」が“0”となってICカード1のモードは「通常A
P実行モード」となり、ICカード1内のE2PROM
4に格納されているアプリケーションプログラムの実行
が可能となる。
【0026】このような状態でエンドユーザに引き渡さ
れるICカード1は、「イレーズのみフラグ」が“1”
にセットされている。従って、その後、チェンジモード
キーとモード情報“01”をICカード1に送っても、
ICカード1のモードは「ROMコマンド実行モード」
とはならず、「イレーズのみ実行可能モード」に移行し
てしまい、チップイレーズしか行なえない状態となる。
【0027】従って、一旦アプリケーションプログラム
やチェンジモードキー等がダウンロードされたICカー
ド1に対しては、第三者がこのチェンジモードキーを知
ってこれを使用したとしても、このICカード1のチッ
プイレーズのみが可能であり、E2PROM4 に格納さ
れているアプリケーションプログラムを読み出すことが
できない。このようにして、アプリケーションプログラ
ムの秘密保持が確実なものとなる。
【0028】なお、ICカード1のモードが「ROMコ
マンド実行モード」にあるときにリセットをかけると、
2PROM4 の記憶状態をそのままとして「通常AP
実行モード」に移る。この際、「イレーズのみフラグ」
は未セットの状態のままであるから、再度「通常AP実
行モード」から「ROMコマンド実行モード」に移すこ
とができ、再び書込み、読出し等の動作を行なうことが
できる。
【0029】以上のようにしてチェンジモードキーがI
Cカード1の発行者以外の第三者にわかっても、ICカ
ード1に格納されたアプリケーションプログラムの秘密
保持が可能であり、また、カード発行後は発行者による
データ改ざん等の不正行為も防止できるが、さらに、チ
ェンジモードキーの秘密保持を確実にするための方策が
講じられており、以下、これについて説明する。
【0030】この方法は、ICカード1で擬似乱数を発
生させ、端末/ホストはこの擬似乱数をモードチェンジ
キーで暗号化してICカード1に送るものであり、図4
において、ICカード1のモードをチェンジする場合、
まず、端末/ホストは、擬似乱数発生を要求するG.
R.N(Get Random Number)コマン
ドをICカード1に送出する。これにより、ICカード
1は例えば7バイトの擬似乱数を発生し、端末/ホスト
に送る。端末/ホストに送出される擬似乱数はICカー
ド1内にも保持される。端末/ホストでは、暗号化関数
にもとづいて擬似乱数をチェンジモードキーで暗号化
し、暗号文としてのチェンジモードコマンドを生成して
ICカード1に送る。このチェンジモードコマンドは、
モード情報とデータとしての7バイトの擬似乱数とを含
み、これらモード情報と擬似乱数とがチェンジモードキ
ーによって暗号化されている。
【0031】ICカード1では、E2PROM4 に上記
のチェンジモードキーと等しいチェンジモードキーが格
納可能であり、また、CPUの制御プログラムを格納し
たROMにも同じチェンジモードキーが格納されてい
る。
【0032】そこで、ICカード1は、端末/ホストか
らチェンジモードコマンドを受けると、E2PROM4
のチェンジモードキー、これがなければ、ROM中のチ
ェンジモードキーを使用し、復号化関数にもとづいてチ
ェンジモードコマンドを復号化し、7バイトの擬似乱数
を含むコマンドを得る。このコマンドの擬似乱数は先に
説明したように保持されている擬似乱数と比較され、こ
れらが一致したとき、モード情報によってモードを切り
換える。これとともに、モードチェンジしたか否かの結
果を端末/ホストに送る。
【0033】このようにして、チェンジモードキーは確
実にICカード1に送られたと判定でき、しかも、チェ
ンジモードキーの伝送途中で不当にモニタされても、伝
送情報はチェンジモードキーで擬似乱数が暗号化された
ものであるから、チェンジモードキーを解読することが
できないし、また、繰り返しモニタしても、その都度伝
送される暗号文は異なり、順次モニタされる暗号文間に
は何らの関連性がないから、チェンジモードキーを解読
することは不可能である。
【0034】このようにして、チェンジモードキーの秘
密保持も確実なものとなる。従って、ICカード1のモ
ードを上記の「ROMコマンド実行モード」にも設定す
ることはできず、図1で説明したようなICカード1に
格納された情報を破壊するような事態にも至らない。ま
た、何らかの方法でチェンジモードキーが不当に知られ
たとしても、この実施例では、図1で説明したように、
アプリケーションプログラムの秘密が保持される。
【0035】なお、以上の方法はチェンジモードコマン
ドにモード情報を含むものであったが、モード情報を含
まない場合には、図5に示す方法により、処理速度を速
めることができる。
【0036】即ち、図5において、端末/ホストでは、
ICカード1から送られた擬似乱数のみをチェンジモー
ドキーで暗号化し、チェンジモードコマンドを生成して
ICカード1に送る。この間、ICカード1では、端末
/ホストに送った同じ擬似乱数をE2PROM4 もしく
はROMのチェンジモードキーで暗号化し、暗号文とし
て保持しておく。
【0037】端末/ホストからチェンジモードコマンド
が送られてくると、ICカード1は、このチェンジモー
ドコマンドのデータ(即ち、チェンジモードキーで暗号
化された擬似乱数)と保持しておいた上記の暗号文とを
比較し、これらが一致すればチェンジモードキーが送ら
れてきたと判定する。
【0038】この方法によると、チェンジモードコマン
ドが送られてくると、直ちに比較判定処理を行なうこと
ができるから、その分処理速度が速くなる。
【0039】なお、図4のようにチェンジモードコマン
ドにモード情報が含まれる場合には、「ROMコマンド
実行モード」に移ると、直ちにこのモード情報で指定さ
れるモードが実行可能となるが、図5のようにチェンジ
モードコマンドにモード情報が含まれない場合には、チ
ェンジモードキーで「ROMコマンド実行モード」に移
ると、端末/ホストからICカード1にモード情報が送
られる。但し、モードの移行順序が決められている場合
には、(例えば、「通常AP実行モード」→「ROMコ
マンド実行モード」→「イレーズのみ実行可能モード」
→「通常AP実行モード」)、チェンジモードキーが送
られる毎に順次モードが切り換えられるようにすること
もできる。あるいはまた、実行モードが「通常AP実行
モード」と「ROMコマンド実行モード」のみからなる
従来のICカード1においても、かかる実施例を適用し
て、チェンジモードキーが送られてくる毎に「通常AP
実行モード」と「ROMコマンド実行モード」とを交互
に切り替えるようにすることもできる。
【0040】図6は図1に示したICカード1のE2
ROM4 におけるアプリケーションに関する領域を示
すものであって、ここでは、この領域は16進数でアド
レス“6000”からアドレス“7FFF”までの領域
としている。
【0041】この領域では、アドレス順にアプリケーシ
ョンプログラム(AP)、「AP管理テーブル有効フラ
グ」、AP管理テーブル、チェンジモードキー、「イレ
ーズのみフラグ」の各エリア及び擬似乱数エリアが設け
られている。擬似乱数エリアには擬似乱数の初期値が記
憶されており、ICカード1を起動させたときの擬似乱
数発生器を初期化するために用いられる。
【0042】かかる領域には、予めチェンジモードキー
として擬似乱数の初期値が記憶されており、また、「A
P管理テーブル有効フラグ」と「イレーズのみフラグ」
は“0”となっている。そして、ICカード1をユーザ
に発行するに際しては、この領域にアプリケーションプ
ログラム及びAP管理テーブルが書き込まれ、これらの
書込みが終ると、「AP管理テーブル有効フラグ」が
“1”に立てられる。アプリケーションプログラムは、
矢印で示すように、アドレス順にダウンロードされる。
このとき、「イレーズのみフラグ」は“0”のままであ
る。「イレーズのみフラグ」が“0”の場合には、E2
PROM4 のチップイレーズは行なわない。このフラ
グはE2PROM4 に格納されているので、電源のオ
ン,オフに影響されない。かかる動作は図2の「ROM
コマンド実行モード」が設定されて行なわれる。
【0043】次に、この実施例の具体的な動作をフロー
チャートで説明する。図7はICカード1のメイン処理
を示すフローチャートである。
【0044】まず、ICカード1は図2の「通常AP実
行モード」にあり、端末/ホストからのコマンドの待ち
状態にある(ステップ700)。コマンドを受けると、
その種類を判定して(ステップ701)、ROMに登録
されているROMコマンドであるか否かを判定する(ス
テップ702,703)。ここで、ROMコマンドとし
ては、上記のG.R.Nコマンド、チェンジモードコマ
ンドやデータを書き込んだり、読み出すためのコマン
ド、チップイレーズのコマンド、チェンジモードキーを
書き替えるためのコマンド等がある。
【0045】受信したコマンドがこれらのいずれかのコ
マンドであると、このコマンドを起動して実行する(ス
テップ708)。
【0046】受信コマンドが登録されているROMコマ
ンドでないときには、APコマンドテーブルをチェック
し(ステップ704)、このテーブルが有効であれば
(ステップ705)、受信コマンドがAPコマンドであ
るか否か判定する(ステップ706,707)。APコ
マンドでなければ、コマンドなしのエラーレスポンスを
端末/ホストに送るが(ステップ709)、APコマン
ドであれば、このコマンドを起動して実行する(ステッ
プ708)。これにより、E2PROM4 のアプリケー
ションプログラムが実行される。
【0047】ROMコマンドが起動したときには(ステ
ップ708)、このコマンドに応じた動作が行なわれる
が、このためには、まず、図2で説明したように、「R
OMコマンド実行モード」に設定されなければならな
い。従って、所望のROMコマンドを実行させる前に、
端末/ホストから、まず、チェンジモードキーとモード
情報“01”が送られて来なければならない。
【0048】次に、チェンジモードについて説明する。
図8は端末/ホストの図4に示したチェンジモードのた
めの動作を示すものである。
【0049】同図において、G.R.Nコマンドを生成
して(ステップ800)ICカード1に送ると(ステッ
プ801)、ICカード1からは、7バイトの擬似乱数
とともに、G.R.Nコマンドを正常に受信したか否か
を示す情報をレスポンスとして送られてくる(ステップ
802)。この情報から正常に受信したことが判明する
と(ステップ803)、7バイトの擬似乱数を抽出して
(ステップ804)その擬似乱数の先端にモード情報を
付加し、チェンジモードキーによって暗号化して(ステ
ップ805)チェンジモードコマンドを生成する(ステ
ップ806)。このチェンジモードコマンドをICカー
ド1に送り(ステップ807)、その後、ICカード1
からレスポンスがあると(ステップ808)、これによ
ってICカード1が正常に応答してモードをチェンジし
たか否かを判定する(ステップ809)。そして、正常
に応答したことが判定すると、動作を終了する。
【0050】ICカード1からのレスポンスでICカー
ド1が正常にモードチェンジしなかったことが判明する
と(ステップ809)、所定のエラー処理を行なって
(ステップ810)動作を終了する。なお、図5の場合
には、擬似乱数にモード情報を付加しないで暗号化す
る。
【0051】図9はICカード1の図4に示したチェン
ジモードのための動作を示すものである。同図におい
て、端末/ホストからのコマンドが図7のステップ70
3でG.R.Nコマンドと判明すると、このフォーマッ
トが正しいか否かを判定し(ステップ901)、“N
O”と判定された場合には、エラーレスポンスを設定し
て(ステップ915)端末/ホストに送出する(ステッ
プ916)。
【0052】ステップ901の判定が“YES”の場合
には、端末/ホストに擬似乱数を送出して(ステップ9
02)待機する。次に、図7のステップ703によって
端末/ホストからのコマンドがチェンジモードコマンド
と判明すると(ステップ903)、E2PROM4 にチ
ェンジモードキーが格納されていればこれを選択し(ス
テップ904,906)、これに格納されていなけれれ
ば、ROMのチェンジモードキーを選択する(ステップ
904,905)。そして、このチェンジモードキーで
チェンジモードコマンドを復号化し(ステップ90
7)、復号化された擬似乱数を自己に保持している擬似
乱数とを比較する(ステップ908)。これらが一致し
なければ(ステップ909)、エラーレスポンスを設定
して端末/ホストに送出するが(ステップ915,91
6)、一致していれば、復号化されたモード情報を抽出
する(ステップ910)。
【0053】ところで、「通常AP実行モード」(図
2)にあるときに送られてきるモード情報は“01”で
あり(ステップ911)、これにより、RAM3(図
1)内の「モードフラグ」が“1”となって「ROMコ
マンド実行モード」(図2)が設定される(ステップ9
12)。また、「ROMコマンド実行モード」にあると
きに送られるモード情報は“02”であり(ステップ9
11)、これにより、「イレーズのみフラグ」が“1”
となる(ステップ913)。そして、「モードフラグ」
が“2”となって「イレーズのみ実行可能モード」(図
2)が設定されると(ステップ917)、レスポンスが
設定され(ステップ914)、端末/ホストに送出され
る(ステップ916)。
【0054】なお、図9に対する以上の説明は、図2の
実線矢印で示す「通常AP実行モード」→「ROMコマ
ンド実行モード」→「イレーズのみ実行可能モード」の
移行についてのものである。しかし、図9には図示しな
いが、ステップ909,910間に「イレーズのみフラ
グ」が“1”か否かの判定ステップと、これが“1”で
あるとき「イレーズのみ実行モード」を設定し、E2
ROM4 をチップイレーズするステップが設けられ、
これにより、図1で説明したICカード1の記憶情報の
秘密確保を可能としている。
【0055】図9の処理動作によって「ROMコマンド
実行モード」が設定されると、データの書込み、読出
し、チップのイレーズ、チェンジモードキーの書換え等
が可能となる。
【0056】図7で受信されたコマンドがチップイレー
ズコマンドであるときには、同様にステップ708に移
って図10の動作が行なわれる。
【0057】この動作では、E2PROM4 の図6に示
した各データが消去されるのであるが、この消去は次の
ような順序で行なわれる。即ち、まず、「AP管理テー
ブル有効フラグ」が最初に消去され、チェンジモードキ
ーと「イレーズのみフラグ」が最後に消去される。擬似
乱数の初期値は消去されない。アプリケーションプログ
ラム(AP)とAP管理テーブルとはアドレス順に消去
される。
【0058】アプリケーションプログラムの消去動作中
に電源オフ等によって動作が停止すると、アプリケーシ
ョンプログラムの一部がE2PROM4 中に残ってしま
う。そこで、「AP管理テーブル有効フラグ」がそのま
ま残っていると、電源オン後APコマンドを受けると、
この残った分のアプリケーションプログラムが実行さ
れ、CPUが暴走してしまう。このために、上記のよう
に、まず、AP管理プログラム有効フラグを消去し、A
P管理テーブルを無効としてアプリケーションプログラ
ムを消去したのと同等の状態とする。
【0059】チェンジモードキーや「イレーズのみフラ
グ」を最後に消去するのは、これらのセキュリティ(機
密性)強度を消去動作が終るまで変えないようにするた
めである。即ち、チェンジモードキーが残っても、この
チェンジキーを使用しない限り、第三者はこのICカー
ド1を自由に使用することができない。また、チップイ
レーズが誤って中断しても、チェンジモードキーが残っ
ているので、チップイレーズを再開できる。また、「イ
レーズのみフラグ」が“1”の状態でチップイレーズが
中断した場合、この「イレーズのみフラグ」が消去され
て“0”になってしまうと、第三者がチェンジモードキ
ーを使用可能な場合、ICカード1を自由に使用するこ
とができるようになる。「イレーズのみフラグ」が
“1”のままであれば、チェンジモードキーが知られて
いても、これを使用すれば、チップイレーズが行なわれ
るだけである。
【0060】図7のステップ708に移ると、図10に
おいて、上記各動作と同様に「ROMコマンド実行モー
ド」にあるか否か(ステップ1300)、チップイレー
ズコマンドのフォーマットが正しいか否か(ステップ1
301)が判定され、いずれもYESである場合、前回
実行したコマンドがチップイレーズコマンドであったか
否か判定する(ステップ1302)。
【0061】前回実行のコマンドがチップイレーズコマ
ンドでないときには、まず、E2PROM4 中の「AP
管理テーブル有効フラグ」(図6)を“0”とし(ステ
ップ1303)、アプリケーションプログラムを消去し
たのと同等な状態とする。しかる後、先頭のアドレスか
ら消去を開始する(ステップ1304)。この消去は所
定時間行なわれ、これによって全エリアの消去が行なわ
れなかったときには(ステップ1306)、消し残りエ
リアの最初のアドレスを記憶しておき(ステップ130
8)、レスポンスを設定して(ステップ1308)、端
末/ホストに送る(ステップ1310)。
【0062】このようにE2PROM4 に消し残りがあ
る場合には、端末/ホストは再びチップイレーズコマン
ドをICカード1に送る。これにより、ICカード1で
は、再びステップ1300〜1302の処理が行なわれ
るが、このとき前回実行したコマンドはチップイレーズ
コマンドであるから、前の消し残りエリアの最初のアド
レスから上記所定時間消去を行なう。
【0063】このようにして、E2PROM4 の全エリ
アが消去されるまで上記の動作が繰り返えされ、全エリ
アが消去されると(ステップ1306)、レスポンスを
設定して(ステップ1308)端末/ホストに送り(ス
テップ1310)、「チップイレーズ」動作が完了す
る。
【0064】なお、この場合も、「ROMコマンド実行
モード」が設定されないとき(ステップ1300)、チ
ップイレーズコマンドのフォーマットが正しくない(ス
テップ1301)のときには、エラーレスポンスが設定
されて(ステップ1309)端末/ホストに送られる
(ステップ1310)。
【0065】かかる「チップイレーズ」動作は図2にお
ける「ROMコマンド実行モード」が設定されていると
きの動作であった。これに対し、上記のように、「イレ
ーズのみフラグ」が“1”のとき、チェンジモードキー
が送られてくると、この場合でも、「チップイレーズ」
動作が行なわれる。この「チップイレーズ」動作は、図
9のステップ909でYESとの判定があると、「イレ
ーズのみフラグ」が“1”か否かの判定が行なわれ、こ
れが“1”のとき、その旨のレスポンスを設定して端末
/ホストに送る。これに応答して端末/ホストはICカ
ード1に「チップイレーズ」コマンドを送る。
【0066】そこで、ICカード1では、図10の動作
を行なうが、この場合、「ROMコマンド実行モード」
にないが(ステップ1300)、「イレーズのみフラ
グ」が“1”であるから(ステップ1311)、ステッ
プ1301から処理が行なわれてE2PROM4 がチッ
プイレーズされる。
【0067】
【発明の効果】以上説明したように、本発明によれば、
チェンジモードキーを用いてデータ記憶用メモリでの書
込み、読出し、消去を可能とする「ROMコマンド実行
モード」を設定しようとしても、自動的に「イレーズの
み実行可能モード」が設定されてしまい、データ記憶用
メモリ内はチップイレーズのみしか実行できないので、
データ記憶用メモリ内の情報を不当に読み出したり、細
工してしまうなどの処理を防止することができるし、ま
た、このような不正なチェンジモードキーの再度の使用
も不可能とすることができる。
【0068】また、本発明によれば、アプリケーション
プログラムの消去前に、該アプリケーションプログラム
の管理テーブルを有効にするフラグが消去されるので、
消去動作が中断して該アプリケーションプログラムの消
し残りが生じても、この消し残り部分は動作することが
なく、処理装置の暴走を防止することができる。
【図面の簡単な説明】
【図1】本発明によるICカードの一実施例を示すブロ
ック構成図である。
【図2】図1に示したICカードでのモードとモード移
行とを示す図である。
【図3】図1に示したICカードでのチェンジモードコ
マンドによる制御動作を示す図である。
【図4】図2でのチェンジモードキーの伝送の一具体例
を示す図である。
【図5】図2でのチェンジモードキーの伝送の他の具体
例を示す図である。
【図6】本発明によるICカードの一実施例でのE2
ROM のメモリ領域を示す図である。
【図7】本発明によるICカードの一実施例でのメイン
処理を示すフローチャートである。
【図8】本発明によるICカードの一実施例に対する端
末/ホストのチェンジモードコマンド生成動作を示すフ
ローチャートである。
【図9】本発明によるICカードの一実施例でのチェン
ジモード処理を示すフローチャートである。
【図10】本発明によるICカードのデータ記憶用メモ
リの消去方法の一実施例を示すフローチャートである。
【図11】従来のICカードシステムの一例を示す図で
ある。
【符号の説明】
1 ICカード 2 MPU 3 RAM 4 E2PROM 5 ROM
───────────────────────────────────────────────────── フロントページの続き (72)発明者 久保 高志 大阪府茨木市丑寅一丁目1番88号 日立 マクセル株式会社内 (56)参考文献 特開 昭62−103742(JP,A) 特開 昭61−235994(JP,A) 特開 平2−59937(JP,A) 特開 平2−157988(JP,A) (58)調査した分野(Int.Cl.6,DB名) G06K 19/07 G06K 17/00 G06F 12/14

Claims (2)

    (57)【特許請求の範囲】
  1. 【請求項1】 データ記憶用メモリにアプリケーション
    プログラムを記憶可能としたICカードにおいて、 該アプリケーションプログラムを実行可能とする第1の
    モードと、該データ記憶用メモリでの書込み、読出し及
    び消去の各動作を実行可能とする第2のモードと、該デ
    ータ記憶用メモリでの消去のみを実行する第3のモード
    とを有し、 該第1のモードからチェンジモードキーにもとづいて第
    2のモードに移行して該第2のモードが終了すると、イ
    レーズのみフラグを立たせ該第1のモードに移行し、 該イレーズのみフラグが立っているときには、該チェン
    ジモードキーによって該第1のモードから移行するモー
    ドは該第3のモードのみであることを特徴とするICカ
    ード。
  2. 【請求項2】 請求項1記載の前記データ記憶用メモリ
    には、アプリケーションプログラム、該アプリケーショ
    ンプログラムを管理するテーブル、該テーブルを有効に
    し該アプリケーションプログラムを実行可能とするテー
    ブル有効フラグ、前記チェンジモードキー、前記イレー
    ズのみフラグが記憶され、 前記第2のモードもしくは前記第3のモードの消去動作
    では、該テーブル有効フラグを最初に消去し、前記チェ
    ンジモードキー及び前記イレーズのみフラグを最後に消
    去することを特徴とするICカードのデータ記憶用メモ
    リの消去方法。
JP6714592A 1992-03-25 1992-03-25 Icカードとそのデータ記憶用メモリの消去方法 Expired - Fee Related JP2779092B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP6714592A JP2779092B2 (ja) 1992-03-25 1992-03-25 Icカードとそのデータ記憶用メモリの消去方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP6714592A JP2779092B2 (ja) 1992-03-25 1992-03-25 Icカードとそのデータ記憶用メモリの消去方法

Publications (2)

Publication Number Publication Date
JPH05274498A JPH05274498A (ja) 1993-10-22
JP2779092B2 true JP2779092B2 (ja) 1998-07-23

Family

ID=13336452

Family Applications (1)

Application Number Title Priority Date Filing Date
JP6714592A Expired - Fee Related JP2779092B2 (ja) 1992-03-25 1992-03-25 Icカードとそのデータ記憶用メモリの消去方法

Country Status (1)

Country Link
JP (1) JP2779092B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005011151A (ja) 2003-06-20 2005-01-13 Renesas Technology Corp メモリカード
JP5730034B2 (ja) * 2011-01-21 2015-06-03 スパンション エルエルシー 半導体装置
JP5998452B2 (ja) * 2011-10-31 2016-09-28 大日本印刷株式会社 Icチップ、icカード、情報処理方法、情報処理プログラム及び情報処理プログラムを記録したコンピュータ読み取り可能な記録媒体

Also Published As

Publication number Publication date
JPH05274498A (ja) 1993-10-22

Similar Documents

Publication Publication Date Title
US5625690A (en) Software pay per use system
US7389536B2 (en) System and apparatus for limiting access to secure data through a portable computer to a time set with the portable computer connected to a base computer
JP4118092B2 (ja) 記憶装置および情報処理装置
JPH08305558A (ja) 暗号化プログラム演算装置
US7650503B2 (en) Memory card
US6449720B1 (en) Public cryptographic control unit and system therefor
JP2003044363A (ja) プロセッサ中のデータセキュリティを有するメモリ装置
US20040215909A1 (en) Nonvolatile memory device and data processing system
US5875248A (en) Method of counterfeit detection of electronic data stored on a device
US7076667B1 (en) Storage device having secure test process
JPH08504067A (ja) 暗号化通信装置内の改善された機密性に関する方法および装置
EP0865695A1 (en) An apparatus and method for cryptographic companion imprinting
JP2005316284A (ja) 携帯端末とデータ保護システム
TWI598764B (zh) 透過線上伺服器與在安全作業系統中執行程式碼的內容保護
WO2006054380A1 (ja) メモリ情報保護システム、半導体メモリおよびメモリ情報の保護方法
CN114785503B (zh) 密码卡及其根密钥保护方法、计算机可读存储介质
JP2009253783A (ja) 携帯端末、データ保護方法およびデータ保護用プログラム
JP2003516578A (ja) 保護情報の使用を権限付与する携帯用権限付与デバイスおよび関連方法
EP1146685A2 (en) Decryption device
KR101229637B1 (ko) 보안 모듈에서 로드된 프로그램 블록을 안전하게업데이트하는 방법
JP2779092B2 (ja) Icカードとそのデータ記憶用メモリの消去方法
JP3034118B2 (ja) Icカードシステム及びicカード
US7299366B2 (en) Secure software customization for smartcard
JPH10228374A (ja) 複製防止を施した計算機カード
JP4120765B2 (ja) 遊技機用cpuの内蔵rom書き換え方法

Legal Events

Date Code Title Description
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 19980421

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees