JP2795435B2 - ポータブルデータキャリヤのためのシステム - Google Patents
ポータブルデータキャリヤのためのシステムInfo
- Publication number
- JP2795435B2 JP2795435B2 JP62502799A JP50279987A JP2795435B2 JP 2795435 B2 JP2795435 B2 JP 2795435B2 JP 62502799 A JP62502799 A JP 62502799A JP 50279987 A JP50279987 A JP 50279987A JP 2795435 B2 JP2795435 B2 JP 2795435B2
- Authority
- JP
- Japan
- Prior art keywords
- data carrier
- portable data
- file
- access
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/355—Personalisation of cards for use
- G06Q20/3555—Personalisation of two or more cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/357—Cards having a plurality of specified features
- G06Q20/3576—Multiple memory zones on card
- G06Q20/35765—Access rights to memory zones
Description
【発明の詳細な説明】
発明の背景
1.技術分野
本発明はポータブル データ キャリヤ、例えば、ス
マート カードの動作のためのシステム、より詳細に
は、キャリヤと関連するステーションとの間でデータを
伝送及び交換するためのシステムに関する。 2.先行技術の説明 買い物、バンキング及び他のトランザクションにクレ
ジット カードを使用することがますます盛んとなり、
今日の旅行者の多くは現金はあまり持ち歩かない。通
常、浮き彫りされた口座番号及び口座名をもつプラスチ
ック製のカードは単に銀行あるいはクレジット会社にあ
るトランザクションの請求先となるべき許可された口座
を同定する機能のみをもつ。幾つかのカードの裏面の磁
気ストリップはこれと同じ情報をもつが、トランザクシ
ョンをスピード化できるように機械的に読出しができる
ようになっている。全ての勘定情報は銀行あるいはクレ
ジット会社に格納される。 トランザクションが、通常、銀行あるいはクレジット
会社から離れたところで行なわれるため、不正カードが
使用されたり、あるいは正当な所有者でもうっかり限度
額を超えるような場合がある。殆んどの販売業者は、従
って、比較的高額、例えば、$50.00以上の買い物の場
合は、銀行あるいはクレジット会社に確認を行なうこと
が必要となる。自動ダイアルであってもこの手続きは手
間がかかる仕事である。さらに、個々の口座に別個のカ
ードが必要とされる。 しかし、マイクロエレクトロニクスの最近の進歩によ
って、今日では、多量の計算パワー及びメモリをカード
に直接に組み込んで“スマート カード(smart car
d)”あるいは“ポータブル データ キャリヤ(porta
ble data carrier)”を作成することが可能となってい
る。このカードは所有者の掛け売り勘定の全ての勘定番
号、全ての勘定のバランス、全ての勘定のクレジット限
度を含み、個々のトランザクションに伴って部分的に更
新することができる。このカードはまたその他の個人的
なデータ、例えば、洋服を買うときのための家族のサイ
ズ、電話番号などを含むこともできる。これら個人的な
データとしては想像できるあらゆるタイプのデータが考
えられる。 これら全てを標準サイズのカードに格納する技術は既
に存在する。ただし、カード上のデータの保安をいかに
確保するかという問題が残されている。この保安規則に
はカードの内側のファイル構造へのアクセスを制御する
一方で、許可されたユーザがカード内に含まれるデータ
に簡単にアクセスできることが要求される。 発明の要約 本発明によると、高保安度のポータブル データ キ
ャリヤ システムが顧客レパートリー ダイアリングか
ら個人的な医療及び/あるいはバンキング レコードの
記録に至るまでのさまざまな用途に使用される。このシ
ステムには通常のクレジット カードと同じような外観
をもつポータブル データ キャリヤ、つまり、スマー
ト カード(smart card)が含まれる。ただし、このカ
ードは、コンピュータ、電気的に消去が可能な読出し専
用メモリ(EEPROM)、及び関連するステーションととも
にオプション的に位置されるカード読出し/書込み装置
からのパワー及びタイミング信号の組合せを受信するた
めの回路を含む。これら回路要素及び回路はまたカード
と関連するステーションとの間で読出し/書込み装置を
介してデータ信号を送受信する。 カードはセットの通常の命令プリミティブを介してス
テーションからアクセスされる管理オペレーティングシ
ステムを実行する。これら命令プリミティブはカードの
保安を確保するために課せられた規則に従ってカードフ
ァイル システムを操作する。この管理オペレーティン
グ システムの使用によって侵入者によるカード内のデ
ータ ベースへのアクセスが阻止される。これに加え
て、特に高い機密の用途に対しては、データがカードに
加えられると同時に暗号化される。 顧客の個人的な情報がカード上のEEPROM内の複数のフ
ァイル内に存在する。ステーション内に常駐する適当な
アプリケーション ソフトウェアが適当なパスワードを
与えられると、これらファイルの検索及び修正を行な
う。カードに対する保安カードと関連するステーション
との間の相互作用の個々の指定レベルに対するアクセス
を得るために別個のパスワードを要求することによって
確保される。不正ログインの試みが個々の保安レベルに
対して所定の回数に制限される。これを超えた場合は、
この保安レベルでロックされるか、あるいはカード全部
のデータ ベースが消去されるかのいずれかにカードが
構成される。カードがロックされるように構成された場
合は、ロックされたレベル以上の任意のレベルでこれを
アンロックすることができる。これによって、カードの
保守をロックされたレベルより上位の最低レベルに任す
ことが可能である。また、幾つかの指定のファイルにア
クセスするためには、カードはユーザにオプションのパ
スワードを入力するように要求するため、カードの保安
がさらに向上される。 複数のファイルの個々はカード上にそれ自体のファイ
ル保安をもつため、これらファイル内に衝突あるいは混
乱を起こすことなく、複数のアプリケーションあるいは
別個の口座が存在できる。カード上に許されるファイル
の最大数はカード上で使用できるメモリ容量によっての
み制約される。 ある特定の保安レベルにてログオンしたユーザは、そ
のレベルあるいはそれ以下の任意のレベルでパスワード
を変更することを許される。従って、パスワードが損
失、あるいは忘れられた場合、これはより高い保安レベ
ルにてカードにログインし、パスワード命令にアクセス
することによって再書込みすることができる。このた
め、損失したパスワードを回復する必要はない。 高レベル ソフトウェア ライブラリがステーション
と読出し/書込み装置あるいはカードの間の全ての相互
作用を支援するために提供される。結果として、アプリ
ケーション プログラマはめんどうなカード内部あるい
は通信プロトコールの詳細にかかわる必要はない。プロ
グラマのコードはライブラリと直接にインタフェース
し、ライブラリがカードとインタフェースする。 ライブラリは4つのセクション、つまり、カード命令
の直接マッピングを提供するためのカード ライブラリ
セクション、読出し/書込み命令の直接マッピングを
提供するための読出し/書込みライブラリ セクショ
ン、カード及び/あるいは読出し/書込み命令を含む命
令ライブラリ セクション、及びステーション上に位置
する共通制御機能を含む制御セクションに分割される。
これら機能はポート及び論理デバイスの初期化、終端及
び制御の詳細を含む。従って、このライブラリはソフト
ウェア インタフェースとして機能し、典型的なコンピ
ュータ プロトコールと非常に類似するデバイス及びフ
ァイルにアクセスする方法を提供し、アプリケーション
プログラマの負担を軽減する。ファイルからのデータ
を受信及び翻訳するステーションのアプリケーション
ソフトウェアは、アクセスされているアプリケーション
に関連するバイトの一連の流れのみを見るため保安がさ
らに向上される。従って、特定のアプリケーションのユ
ーザにカード内の他のアプリケーションに関する、ある
いはカードの内部ファイル構造に関する情報が漏れるこ
とはない。 本発明及び本発明の動作モードは以下の詳細な説明を
付随の図面とともに読むことによって一層明白となるも
のである。 図面の簡単な説明 第1図はポータブル データ キャリヤ システムの
主な機能要素及びこれらの相互接続を示す機能ブロック
図であり; 第2図は第1図のシステム内に使用されるポータブル
データ キャリヤのアクセス可能な6つの保安レベル
を示すテーブルであり; 第3図はポータブル データ キャリヤ内に含まれる
データのための2つの領域、つまり、見出し領域及びデ
ータ領域にセグメント化されたファイル システムを示
し; 第4図はポータブル データ キャリヤ システムの
データ セグメント領域内に位置する個々のファイルの
3つのセクションを示し、; 第5図はオプションのファイルごとのパスワード及び
追加専用機能を採用する通常保安クラス レベル(Norm
al Security Class Levels)の階層構造を示し; 第6図はポータブル データ キャリヤ上のオペレー
ティング システムと通信するために使用される命令プ
リミティブを示すテーブルであり; 第7図はポータブル データ キャリヤへの許可され
ないアクセスの防止を助けるログイン シーケンスを図
解する流れ図であり; 第8図はこのシステムに使用されるプロトコールにて
動作するように設計されたポータブルデータ キャリヤ
システムのソフトウェア階層を示し; 第9図はポータブル キャリヤ システムの主なサブ
システム間の通信に使用するのに適するメッセージ フ
ォーマットを示し; 第10図はアプリケーション ステーションの半二重プ
ロトコールでの動作に対するリンク層意志決定プロセス
を図解する流れ図であり;そして 第11図は読出し/書込み装置及びポータブル データ
キャリヤの両方の半二重プロトコールでの動作に対す
るリンク層意志決定プロセスを図解する流れ図である。 全図面を通じて、同一要素は同一番号にて示される。 詳細な説明 第1図にはポータブル データ キャリヤ(Portable
data carrier,PDC)システムがわかり易くするために
3つのサブシステムに分割して示される。第1のサブシ
ステムはデータ キャリヤあるいはカード10であり、こ
れはユーザのために情報を格納及び更新する能力をもつ
メモリを含む。第2のサブシステムはカード読出し/書
込み装置15であり、これはカードを第3のサブシステム
であるステーション18にリンクする。この最後のサブシ
ステムは適当に構成されたアプリケーション ステーシ
ョンであり、これはカード内のメモリにアクセスするた
めに必要なアプリケーション ソフトウェアを実行する
コンピュータあるいは専用ワークステーションから成
る。アプリケーション ソフトウェアはこのステーショ
ン内に常駐し、カード10のメモリ内に格納された情報の
検索及び修正を遂行する。 カード10はセットのオペレーティング システム命令
プリミティブを介してアクセスされる監視オペレーティ
ング システムを実行する。これら命令プリミティブは
カード保全に要求される規則に従ってカード上のファイ
ル システムを操作する。 カード10内に位置する主要な要素には、マイクロコン
ピュータ110、電気的に消去可能なプログラマブルメモ
リ(electrical erasable programmable read−only me
mory EEPROM)115、アナログ インタフェース回路13
0、トランスフォーマ120の二次巻線121、及び容量性プ
レート125から128が含まれる。 マイクロコンピュータ110は中央処理ユニット及びラ
ンダム アクセス メモリ及び読出し専用メモリの形式
のメモリ ユニットを含む。その内部読出し専用メモリ
によって提供されるファームウェアの制御下にて動作
し、マイクロコンピュータ110はEEPROM115に直接に送ら
れ、また読出し/書込み装置115を介してステーション1
8に送られるデータをフォーマット化する。EEPROMの全
体あるいはこの一部はコンピュータの一部として結合す
ることも、あるいは別個の要素とすることもできる。マ
イクロコンピュータ110はまた読出し/書込みユニット1
5を通じてステーション18から受信される命令プリミテ
ィブを翻訳する。 カード10内にEEPROM115を使用することによって、許
可されたユーザは必要であればカードのメモリ セクシ
ョン内の幾つかのアプリケーション ファイルを新たな
異なるデータにて再プログラムする能力をもつ。データ
は動作パワーが加えられている間にEEPROMに書き込むあ
るいはこれら読出しないし消去することが可能である。
動作パワーが除去されると、EEPROM内のデータに加えら
れた全ての修正はそのままとなり、カード10に再びパワ
ーが加えられるたびに検索が可能である。 アナログ インタフェース回路130はメモリ カード1
0を読出し/書込み装置15にインタフェースするための
手段を提供する。このインタフェースは読出し/書込み
装置15から結合された磁気エネルギーからの動作パワー
のカード10への供給、及び読出し/書込み装置15とカー
ド10内のマイクロコンピュータ110の間のデータの結合
を含む複数の機能を遂行する。カード10を動作するため
のパワーはアナログ インタフェース回路130にトラン
スフォーマ120の二次巻線121によって提供される誘導性
インタフェースを介して提供される。このトランスフォ
ーマはカード10内のこの二次巻線が読出し/書込み装置
15内の一次巻線122にはめ込まれたとき形成される。ス
テーション18は読出し/書込み装置15及びカード10の両
方の動作のためのパワー源を提供する。 トランスフォーマ129はトランスンフォーマの一次巻
線122と二次巻線121の間の結合を増加させるために読出
し/書き込み装置内フェライト コア123を含む。さら
に結合効率を向上させるためにトランスフォーマ120内
に第2のフェライト コア120を含め、カード内の二次
巻線121と関連させることもできる。豊富なパワーがあ
り、効率も問題とならないようなケースでは、これらコ
アの片方あるいは両方を省くことができる。 カード10へのデータの受信あるいはこれからの伝送は
アナログ インタフェース130に接続された容量性イン
タフェースによって提供される。この容量性インタフェ
ースはカード10上の電極あるいはプレート125から128が
読出し/書込み装置15内の対応する電極あるいはプレー
ト155にはめ込まれたとき形成される4つのコンデンサ
から成る。これらコンデンサの中の2つは読出し/書込
み装置15からカード10にデータを伝送するために使用さ
れ、残りの2つはカード10から読出し/書込み装置15に
データを伝送するために使用される。誘導性インタフェ
ースと容量性インタフェースの組合せは読出し/書込み
装置15とメモリ カード10との間に完全な通信インタフ
ェースを提供する。 読出し/書込み装置15内の幾つかの要素の編成はカー
ド10内の要素と機能的にミラー関係にある。これら要素
には、例えば、アナログ インタフェース回路140とマ
イクロコンピュータ150がある。これに加えて、読出し
/書込み装置15はパワー源162及び入力/出力インタフ
ェース160を含む。パワー源162はカード10にパワーを提
供するため、及び読出し/書込み装置15からのクロック
信号をトランスフォーマ120を通じてカード10に結合す
るために使用される。入力/出力インタフェース160は
原理的には普遍非同期受信機送信機(universal asynch
ronous receiver transmitter,UART)であり、マイクロ
コンピュータ150内に含まれる。このUARTはアプリケー
ション ステーション18と通信する。このアプリケーシ
ョン ステーション18はオフィス編集ステーション、工
場編集ステーション、発行人編集ステーション、公衆電
話ステーション、あるいは他の適当に構成されたステー
ションであり得る。 PDCシステムに対する保安問題は2つの大きな領域に
分けられる。第1の領域は同定及び認証の問題であり、
ステーションが(1)認証されたカードと通信すること
及び(2)カード上の認証されたアプリケーション フ
ァイルと通信することの両方を保証することに関する。
第2の領域はカード上のファイルへのアクセスの制御及
びステーションの所のアプリケーションによるカード命
令の実行の制限に関する。ここで、アプリケーションと
は、カード上の特定のファイル内の特定のデータにアク
セスする勘定等である。 適当な認証手順なしには、システム詐欺の意図をもつ
者がステーションの所のプロトコールをシュミレート
し、PDCシステムに関する情報を得る恐れがある。 ステーションが認証カード上の認証ファイルと通信す
ることを保証することは、個々のカードに一意の番号を
割り当て、この番号あるいは番号のサブセットをステー
ション内に常駐する隠されたアリケーション パスワー
ドとともに使用することによって達成される。これら番
号がアルゴリズム的に操作され、認証コードが生成さ
れ、これが生成時にカード上のアプリケーション ファ
イル内に格納される。その後のトランザクションの際
に、このコードがステーションによって独自に生成され
た類似のコードと比較される。 カード ファイル システム及びカード命令に対する
保安を提供し、しかも異なるタイプのアプリケーション
を扱うためのフレキシビリティを確保するために、カー
ドは6つの異なる保安レベルを採用する。これら保安レ
ベルはカードが2つのタイプの資源、つまり、カード
ファイル システム及びカード命令を保護する。これら
資源へのアクセスは許可されたログイン レベル、要求
された命令、アクセスされるべきファイル、及びカード
のオーナによって課せられる追加の制約の関数である。 第2図にはこれら6つのログイン保安レベルが示され
る。最初の4つの低いレベルは通常保安クラス(Normal
Security Class)のカテゴリーにおかれ、公衆環境内
の使用に供せられる。この階層的保守レベル内の最初の
最も低いレベルは一般情報のためのPUBLIC(公衆)ログ
イン レベルであり、アクセスのためのパスワードを必
要としない。医療情報及び保険番号あるいは図書カード
情報などがこのレベルに含まれる公衆データの例であ
る。カードがパワーアップにおいて初期化あるいはステ
ーションの所でリセットされると、これはPUBLICログイ
ン レベルとなる。 第2のレベルはUSER(ユーザ)レベルであり、アクセ
スのためにユーザ パスワードを必要とする。ユーザは
このレベルに貸借勘定を含めることができる。第3のレ
ベルはSUB ISSUER(下位発行人)レベルである。このレ
ベルもアクセスに対するパスワードを必要とし、これは
通常、MASTER ISSUER(上位発行人)あるいはカードの
所有者によって許可されたアプリケーションで使用され
る。 保安の第4のレベルは、MASTER ISSUERによって維持
されるレベルである。カードはこのレベルでフォーマッ
ト化され、ここから発行される。これらレベルがいかに
使用されるかの例として、銀行は貸し方あるいは借り方
勘定を含むカードを発行する。この銀行はこのカードの
使用を小売り業者に許可し、小売り業者はこのカード上
に小売り業者自身の貸し方あるいは借り方勘定を作成す
る。この例では銀行がMASTER ISSUER(上位発行人)で
あり、小売り業者がSUB ISSUER(下位発行人)である。
カード保有者は、勿論、USER(ユーザ)である。この例
では、個々の勘定はカード上の別個のファイルによって
扱われ、特定のファイルに対して正規の資格をもつ者あ
るいはプログラムのみが適用なアプリケーション ステ
ーションにてそのファイルにアクセスすることができ
る。 2つの上層保安レベル、DEVELOPER(開発者)及びSUP
ER USER(スーパー ユーザ)は延長保安クラス(Exten
ded Security Class)カテゴリーにおかれるが、このカ
テゴリーは通常保安クラス(Normal Security Class)
カテゴリー内のレベルには供されない命令の使用を可能
とする。 第5のレベル、つまり、SUPER USER(スーパー ユー
ザ)レベルはブランク カードの製造、テスト、初期化
を行ない、この保安が確保され、不正カードが使用でき
ないようにするための製造レベルである。 最後に、第6番目の最も高いレベルは、カードの開発
者レベルである。SUPER USER及びDEVELOPER保安レベル
は両方とも後に詳細に説明されるカード システム見出
しを含むカード ファイル システムの全内容にアクセ
スする能力をもつレベルである。 個々が固有の資格をもつ複数のファイルがカード上に
存在するため、複数のアプリケーションがこれら別個の
ファイル内に衝突あるいは混乱することなく別個に存在
できる。全て同一カード上に10個あるいはそれ以上の別
個の貸し方あるいは借り方勘定、電子チェックブック、
及びユーザのアパートにアクセスするための保安パスを
もつユーザを容易に想像することができる。発行者並び
にユーザは、カードが公衆レベル以外で許される以外の
ファイルにアクセスするためにはパスワードによってユ
ーザ自身を同定することを必要とするため、カードが不
正に使用される不安をもつ心配はない。 第3図には2つの領域、つまり、管理部分である見出
し、及びアプリケーション ファイルを含むデータ部分
にセグメント化されたカード ファイル システムが示
される。 保安見出し35はカード番号、個々のログイン レベル
に対するパスワード、個々のレベルに対する不成功パス
ワイド試行の回数、ログイン レベルがブロックされて
いることを示すロック バイト、データベース内の固定
レコードのサイズ、EEPROM115のキロバイト単位のメモ
リ サイズ等の情報が含まれる。見出しセクションへの
直接アクセスは2つの最も高い保安レベルでのみ可能で
ある。 カードのデータ セグメント30は、MASTER ISSUERに
よってセットされるnバイトの長さの固定レコードに分
割される。個々の使用レコード31,32,33が特定のファイ
ルに割り当てられる。特定のファイルの同定はそのファ
イルの同定番号に割り当てられた個々のレコードの最初
のバイトによって行なわれる。 カードはファイル ダイレクトリー(Directory)を
持たず、同一ファイルの異なるレコード間にポインタは
存在しない。ファイル データの順番は一連(contiquo
us)のレコードによるのでなく、線形順序によって示さ
れる。カードのオペレーティング システムはEEPROM内
のアドレスを最低から最高アドレスに向けて走査する。
特定のファイル同定番号とともに位置された第1のレコ
ードがそのファイル内の第1のレコードであり、そのフ
ァイルの同定番号とともに位置される最後のレコードが
そのファイル内の最後のレコードである。カード オペ
レーティング システムはファイルのレコードを特定の
ファイル内の個々のレコードに出会ったとき読み出す。
カード上に許されるファイルの最大サイズ及び数はEEPR
OMのメモリのサイズによってのみ制限される。ファイル
を読むステーション アプリケーション ソフトウェア
はカードの内部ファイル構造とは独立した一連のバイト
流のみを見る。 第4図にはカード ファイル システムのデータ セ
グメント領域内の個々のファイルの3つのセクションが
より詳細に示される。個々のファイルの第1のレコード
内に位置する接頭セクション41は、ファイル同定番号42
及び保護バイト43,44及び45を含む。ファイル同定番号
は1と16進FEの間の番号である。16進番号00と16進番号
FFはそれぞれ未使用のレコード及びEEPROM内の使用可能
なメモリの終端を示すために予約される。 保護バイト43から45はファイル許可を指定する。第1
のバイト43は読出し許可を表わし、そのファイルの読み
出しができる最低レベルを指定する。第2のバイト44は
読出し/書込み許可を表わしそのファイルに読出し及び
書込みの両方が可能な最低レベルを指定する。 従って、あるファイルに対する読出し許可をあるファ
イルに対する読出し/書込み許可から分離することがで
きる。読出しアクセスに対して読出し/書込みアクセス
に異なる保安レベルを指定することもできる。例えば、
あるファイルに対する読出し許可をPUBLICレベルに指定
し公衆情報に対する公衆アクセスを許し、一方で、書込
み許容をUSERレベルに指定し、ユーザの同意なしには、
ファイルへの書き込みを禁止することができる。 第5図にはオプションのパスワード及び追加専用機能
を使用する通常保安クラス(Normal Security Class)
レベルの階層構造が示される。カード使用のフレキシビ
リティを増加させるために、カード上の個々のファイル
はその保護バイトの中に特定のファイルにアクセスが許
される前にオプションのパスワードを提供すべき要件を
含む。これはユーザがあるレベルに保護されたファイル
に対するアクセスを得るためにはカードのオペレーティ
ング システムによって要求される保安レベルでなくて
はならないという要件に追加する要件である。一例とし
て、ユーザに対するオプションの書込みパスワードを含
む書込み/読出し許可をもつファイルは、(1)ユーザ
レベルでカードにログインすること、及び(2)その
ファイルを読み出すためにファイルを開くことを要求す
る。ただし、このファイルに書き込むためには、ユーザ
は(1)ユーザ レベルにてカードにログインするこ
と、及び(2)オプションのパスワードを提供して“書
込み”のためにファイルを開くことを要求される。これ
はファイルのアクセス許可が要求するより高いレベルで
ログインする者には適用しない。この高いレベルにてロ
グインする者は指定の保安レベルにてオプションのパス
ワードが要求される場合でもそのファイルに対するアク
セスを得ることができる。 通常保安クラス(Normal Security Class)レベルの
階層構造は、MASTER ISSUERがそのレベル及びそのレベ
ル以下の全てでファイルを読出し及び書込みでき;SUB I
SSUERがそのレベル及びそのレベル以下の全てでファイ
ルを読出し及び書込みできるような構造をもつ。同様
に、カード保有者はそのレベルあるいは公衆レベルには
全てのファイルを読出し及び書込みできる。 それが適当であるアプリケーションにおいては、第4
図の保護バイト45をセットし、ユーザがファイルにデー
タを追加することのみを許し、現存するデータの消去は
許さない“追加専用(append−only)”モードを実現す
ることができる。適当なアプリケーション ファイルを
反映するレコードがこのデータが入力されしだい格納さ
れるように生成される。つまり、あるファイルを読出し
/追加許可として、あるいは読出し/書込み許可として
指定することができる。 ファイルの情報セクション46はそのファイルの個々の
レコード内に位置する実際のデータを含む。そして最後
のレコードNの最後のバイト48内の番号Mをもつ接頭セ
クション47はその最後のレコード内のアプリケーション
データ バイトの数を示す。 カード上の管理オペレーティング システムは第6図
に示される一般的に理解されている命令プリミティブの
使用を通じて通常保安クラス(Normal Security Clas
s)レベルによってアクセスされる。これら命令プリミ
ティブはカードに対する保安アクセス、ファイルの生成
及びアクセスを制御し、また、管理及びテスト動作を制
御する。SUPER USERあるいはDEVELOPERログイン レベ
ルに対して追加の命令プリミティブが使用できる。 これら命令プリミティブの動作は“ログイン”命令の
動作の説明を通じて解説できる。カードにログインする
ためには、ユーザはログイン レベル及びパスワードを
指定することが要求される。このパスワードは内部的に
カードによってそのカード見出し内の同一ログイン レ
ベルの対応するパスワードに対してアルゴリズム的にチ
ェックされる。カードユーザがそのファイルによって要
求されるよりも低いログイン レベルをもつファイルに
アクセスを得ることを試みている場合は、読出しあるい
は読出し/書込みのいずれかのためにファイルを開く許
可は拒否される。 個々の保安レベルに対するパスワードはカードが製造
されるときにカードの見出し内におかれる。パスワード
命令はロッグ オンされた保安レベルのユーザがそのレ
ベルあるいはそれ以下のレベルのパスワードを変更する
ことを許す。従って、パスワードが損失あるいは忘れた
場合は、これはより高い保安レベルにてカードにログイ
ンし、パスワード命令を使用して書き換えることができ
る。このため、失われたパスワードを回復する必要はな
い。 1つの保安レベルで許される連続の不成功の“ログイ
ン”試行回数は所定の回数に制限される。この回数を超
えると、カードそはの保安レベルをロックする、あるい
はカードの全てのデータベースを消去するように構成さ
れる。カードがロックするように構成された場合は、ロ
ックされたレベル以上のレベルはこれをアンロックする
ことができる。これによりカードの保守をロックされた
レベルより上の最低レベルに任すことが可能となる。失
敗の回数EEPROMの見出し部分内の適当な“パスワード失
敗カウンタ(password failure counter)”内に記録さ
れる。 オプションのパスワードを要求するファイルを保護す
ることも可能である。ファイルはカードと同一の方法で
必要であればそのファイルの保護バイト内にそのファイ
ルを消去するためのビットをセットすることによって個
別に保護することもできる。こうして、オプションのパ
スワードを要求するファイルを開くことを試みている者
は、所定の回数の試みのみが許され、これを超えた場合
は、カードのロックされたそのファイル内のデータの消
去が起こる。 第7図にはカード上のオペレーティング システムの
カードへの許可されないログインを防止するための部分
の流れ図が示される。ログイン命令がアクセスされるた
びに、パスワード失敗カウンタがパスワード失敗を反映
するように更新される。次に、与えられたパスワードが
カード見出し内のパスワードに対してチェックされる。
正しいパスワードが与えられた場合は、パスワード カ
ウンタが消去される。この機能は不成功のログイン試行
の後に失敗カウンタが失敗を反映するように更新される
前にカードからパワーを除去する装置を使用してのパス
ワードに対する巧妙な挑戦に対する保護を提供する。 アプリケーション ソフトウェアの開発を助けるため
に、高レベル ソフトウェア ライブラリがステーショ
ンと読出し/書込み装置並びにステーションとカードの
間の全ての相互作用を支援するために生成される。結果
として、アプリケーション プログラマはめんどうなカ
ード内部あるいは通信プロトコールの詳細にかかわる必
要はない。プログラマのコードはライブラリと直接にイ
ンタフェースし、ライブラリがカードとインタフェース
する。 ライブラリは4つのセクション、つまり、第6図に示
されるようなカード命令の直接マッピングを提供するた
めのカード ライブラリ セクション、読出し/書込み
命令の直接マッピングを提供するための読出し/書込み
ライブラリ セクション、カード及び/あるいは読出し
/書込み命令を含む命令ライブラリ セクション、及び
ステーション上に位置する共通制御機能を含む制御セク
ションに分割される。これら機能はポート及び論理デバ
イスの初期化、終端及び制御の詳細を含む。従って、こ
のライブラリはソフトウェア インタフェースとして機
能し、典型的なコンピュータ プロトコールと非常に類
似するデバイス及びファイルにアクセスする方法を提供
し、アプリケーション プログラマの負担を軽減する。 カードのオペレーティング システムは、レコードの
割り当て、レコードの解放及び不用部分の整理機能が提
供される。情報がファイルから削除されると、カードは
解放されたレコードを使用可能なレコードのプールに戻
し、不用部分の整理を遂行することによって使用レコー
ドを線形順次に並べる。この不用部分の整理を通じて、
カード上の全ての未使用のレコードがカード メモリの
終端に集められる。必要に応じて、追加レコードの割り
当てが、書込みがファイルの最後のレコードを越えたと
き自動的に遂行される。使用可能なレコードを常にカー
ドの端に維持することによって、ファイルに対する新た
なレコードが常にファイルの前に端を過ぎて割り当てら
れ、これにより個々のファイルのレコードの線形順序が
保持される。 レコードの割り当て及び解放に関する情報はステーシ
ョンの所のアプリケーションには提供されない。アプリ
ケーションは実現の詳細を認識することなく単に一連の
データをみるだけであるため保安が向上される。また、
原始フォーマットのアプリケーション ファイルへの直
接アクセスも通常保安クラス(Narmal Security Clas
s)レベル内に発見される命令へのアクセスをもつユー
ザに許されない。全カードへのアクセスは、延長保安ク
ラス(Extended Security Class)レベル内に発見され
る命令へのアクセスを持つユーザにのみ許され、これに
よりカードの製造及びテストの時の機密が保持される。 第8図にはPDCシステムの通信プロトコール内での動
作のために配列されたソフトウェア階層が示される。ス
テーション18内のアプリケーション層181はカード10と
インタフェースし、また端末187の所のユーザと端末イ
ンタフェース182を通じてインタフェースし、さらにデ
ータベース インタフェース184を通じてオプションの
データベースとインタフェースする。カード10へのアク
セスを簡素化するために、アプリケーション層180は上
に説明のライブラリ層185とインタフェースする。一
方、ライブラリ層は読出し/書込み装置15とカード10と
の実際のトランザクションを扱うリンク層186とインタ
フェースする。 ステーション18は直列ポートを通じて読出し/書込み
装置15に接続されるが、これはカード10並びに読出し/
書込み装置15と直接に通信する。カードに向けられた全
てのメッセージは、従って、透明的に読出し/書込み装
置15を通じてカード10に送られる。宛先アドレスはメッ
セージのプリアンブル セクション内に発見される。本
発明に使用が適当なメッセージ フォーマットが第9図
に示されるが、これに関しては後に詳細に説明される。 読出し/書込み装置15及びカード10は両方ともデータ
リンク層186のステーションとの交信に同一の半二重
通信プロトコールを用いる。カード10は完全で受動であ
り、ステーション18との間のトランザクションを先導す
ることはできない。読出し/書込み装置15は、ステーシ
ョンにこれらの間を直列ポート内のキャリヤ検出リード
を介して“アテンション”信号を送ることができる点で
のみカード10と異なる。ステーション18はそのとき処理
している現在のトランザクションが完了した後にこの
“アテンション”信号に応答する。ステーションは次に
読出し/書込み装置15を尋問して、“アテンション”信
号の理由を決定する。読出し/書込み装置15がこのアテ
ンション信号を送る状況の一例として、カード10が読出
し/書込み装置15上の収容スロット(図示なし)内に挿
入され、ステーション18と通信できる位置にあるときこ
の信号が送られる。第2の例としては、カード10が読出
し/書込み装置15内のスロットから外されたときこの信
号が送られる。 読出し/書込みは2つの層、つまり、リンク層151及
び命令層152をもつ。リンク層151はステーション18とカ
ード10との間の透明媒体であり、この間で命令あるいは
応答を運ぶ。読出し/書込み装置15内のリンク層151
は、必要であれば、緩衝動作及びボー速度変換を提供す
る。カード10と読出し/書込み装置15の間の伝送速度は
19200ボーに保持される。ステーション18と読出し/書
込み装置15の間のボー速度が読出し/書込み装置15とカ
ード10の間のボー速度より遅い場合は、読出し/書込み
装置15はボー速度変換を行ない、メッセージをブロック
の一連のデータとして送ることができるように緩衝す
る。読出し/書込み装置内の第2のの層は命令層であ
る。この層は読出し/書込み装置内にあり、ステーショ
ン18から読出し/書込み装置に特にアドレスされた命令
に応答する。 プロトコール内のデータは通信リンクを通じてシリア
ルに1文字ずつ送られる。文字が1つの開始ビット及び
1つの停止ビットにてフレーム化される。文字の一連の
ブロックのメッセージが半二重プロトコールの制約内で
任意の時間に送られる。ステーション18と読出し/書込
み装置15あるいはカード10は所定のメッセージ パケッ
トにて情報を交換する。パケットは、パケット内のどこ
でデータが開始及び終端するかに関する制御情報及びメ
ッセージ データの保全性をチェックする情報を含む。 第9図には、第8図との関連でより詳細に本発明の使
用に適当なメッセージ フォーマットが示される。ここ
で、ステーション18は読出し/書込み装置あるいはカー
ド10にアドレスする。メッセージ フォーマットは読出
し/書込み装置15あるいはカード10をアドレスするため
のプリアンブル91およびメッセージの開始をマークする
ためのフレーム開始制御シーケンス92(DLE STX)を含
む。メッセージ フォーマット内の次の欄はリンク状態
93であるが、これはメッセージの肯定応答(ACK)が送
信されたか否定応答(NAK)が送信されたかを示す情
報、伝送の際にエラーが発生したか否かを示す情報、及
び現在のメッセージの番号(タグ)を含む。個々のメッ
セージには番号が割り当てられる。メッセージ フォー
マットにはリンク状態バイト内の3つの最下位ビットを
使用するモジュラス8スキーム(modulus 8 scheme)が
使用される。 命令の次の欄はデータ欄94であり、これは伝送された
データ及びこれに続くメッセージの終端をマークするフ
レーム終端制御シーケンス95(DLE ETX)を含む。最後
に、2バイト チェックサム96がJ.G.フレッチャー(J.
G.Fletcher)によってIEEEトランザクション オン コ
ミュニケーション(IEEE Transactions on Communicati
ons)、Vol.Com−30、1982年1月、ページ247−252に掲
載の論文[シリアル伝送のための算術チェックサム(An
Arithmetic Checsum for Serial Transmissions)]に
おいて説明のアルゴリズムを使用して生成される。 読出し/書込み装置15あるいはカード10からステーシ
ョン18に戻されるメッセージ パケット応答はステーシ
ョンによって生成されるメッセージ パケットと同一で
ある。第9図に示されるメッセージ フォーマットは、
従って、全てのサブシステム間の通信に適用する。ステ
ーション18から送信されるメッセージのプリアンブルは
8バイトから成る。メッセージはこれら連続プリアンブ
ル文字の少なくとも3つがそれとの通信を試しているサ
ブシステムによって検出されたときステーション18によ
って正しく受信されたものとみなされる。 読出し/書込み装置15あるいはカード10との通信を実
現するためには、ステーション18は“リンク リセット
(link reset)”メッセージを送る。通信はステーショ
ンがNAKを受信したとき、あるいは応答が受信される前
に所定の時間が経過したとき失敗する。 読出し/書込み装置15との通信がいったん確立される
と、読出し/書込み装置はステーション18にカード10が
挿入されたこと、あるいは既に挿入されていることを通
知する。カード10が挿入されると、読出し/書込み装置
15はステーション18に“アテンション”信号を送る。ス
テーションが挿入されたカードが、例えば、磁気ストラ
イプのみをもつカードではなく、スマート カードであ
ることを決定すると、ステーションはカードを初期化す
るためにカードにリンク リセット メッセージを送
る。いったん初期化されると、カードはステーション18
内のアプリケーション層181からの命令をまつ。要求が
受信されると、これはカード10内の命令層101によって
処理され、応答がステーション18に戻される。この間、
カード10は次の命令を待つ。ステーション18はどのサブ
システムにアドレスし、どのメッセージを送るべきか、
つまり、リンク リセット メッセージを送るべきか、
命令を送るべきかを任意に選択できる。 第10図はステーション18に対するリンク層意志決定プ
ロセスを図解する流れ図である。通常のトランザクショ
ンの際の読出し/書込み装置15あるいはカード10との通
信において、ステーション18はメッセージを送信し、タ
イマをセットする。次に、ステーションがそれが通信を
試みているサブシステムからの応答を受信するか、所定
の時間がきれる。ステーションへのメッセージ応答内の
リンク状態バイトがACKを含む場合は、これはトランザ
クションが成功のうちに完了したことを示し、タグ値が
モジュラス8に増分される。この応答が次にステーショ
ン18内のアプリケーション層181に提供される。 否定応答、つまりNAKが受信された場合は、少なくと
ももう2回のリンク再試行が行なわれ、タグ値はそのま
まとされる。ステーションは再送信を要求せず、最後の
命令を送信する。肯定応答、つまりACKが3回の試行の
後に受信されない場合は、リンク レベル エラー回復
が始動される。 第11図は読出し/書込み装置15及びカード10の両方に
対するリンク層意志決定プロセスを図解する流れ図であ
る。第8図及び第10図の両方を参照することによって理
解できるように、通常のトランザクションの際のステー
ションへの通信において、読出し/書込み装置15あるい
はカード10は、個々のメッセージが受信されるたびに現
在の要求が新たなトランザクションであるか、あるいは
前のトランザクションに対する再送信要求であるかを決
定するためにタグを調べる。現在のタグ値が前のトラン
ザクションのタグ値と異なる場合は、その入りメッセー
ジは新たなトランザクションとして扱われる。現在のタ
グ値が前のタグ値に等しい場合は、ステーション18によ
って再送信が要求されていることを示す。読出し/書込
み装置15あるいはカード10は必ずそれが最後に処理した
妥当命令と関連するタグにて応答する。従って、現在の
送信が失敗すると、つまり、“不当メッセージ”の場合
は、リンク層は否定応答(NAK)及び最後の妥当タグに
て応答する。“零”命令は読出し/書込み装置15あるい
はカード10にその順番タグをそれが受信するタグにリセ
ットするよう命令する。リセット時に、読出し/書込み
装置15あるいはカード10は、入りメッセージが新たなメ
ッセージとして扱われることを保証するためにそのタグ
を不当値にする。 カード10とのセッションの終結は、ステーション18が
読出し/書込み装置15にカード10へのパワーを切るよう
に命令する、あるいはユーザがカード10を取り出すこと
によって行なわれる。後者の場合は、読出し/書込み装
置15が自動的に空のカード スロットへのパワーの供給
を中止し、ステーション18に“アテンション”信号を送
る。すると、ステーションは読出し/書込み装置15に
“状態要求”命令を送る。これに応答して、読出し/書
込み装置15はステーション18にカード10が取り出された
ことを報告し、リンク層はカード10との通信が3回失敗
した後にアプリケーション層に通信エラーを報告する。
これはアプリケーション層のみが読出し/書込み装置が
動作してないことを宣言できることから必要である。
マート カードの動作のためのシステム、より詳細に
は、キャリヤと関連するステーションとの間でデータを
伝送及び交換するためのシステムに関する。 2.先行技術の説明 買い物、バンキング及び他のトランザクションにクレ
ジット カードを使用することがますます盛んとなり、
今日の旅行者の多くは現金はあまり持ち歩かない。通
常、浮き彫りされた口座番号及び口座名をもつプラスチ
ック製のカードは単に銀行あるいはクレジット会社にあ
るトランザクションの請求先となるべき許可された口座
を同定する機能のみをもつ。幾つかのカードの裏面の磁
気ストリップはこれと同じ情報をもつが、トランザクシ
ョンをスピード化できるように機械的に読出しができる
ようになっている。全ての勘定情報は銀行あるいはクレ
ジット会社に格納される。 トランザクションが、通常、銀行あるいはクレジット
会社から離れたところで行なわれるため、不正カードが
使用されたり、あるいは正当な所有者でもうっかり限度
額を超えるような場合がある。殆んどの販売業者は、従
って、比較的高額、例えば、$50.00以上の買い物の場
合は、銀行あるいはクレジット会社に確認を行なうこと
が必要となる。自動ダイアルであってもこの手続きは手
間がかかる仕事である。さらに、個々の口座に別個のカ
ードが必要とされる。 しかし、マイクロエレクトロニクスの最近の進歩によ
って、今日では、多量の計算パワー及びメモリをカード
に直接に組み込んで“スマート カード(smart car
d)”あるいは“ポータブル データ キャリヤ(porta
ble data carrier)”を作成することが可能となってい
る。このカードは所有者の掛け売り勘定の全ての勘定番
号、全ての勘定のバランス、全ての勘定のクレジット限
度を含み、個々のトランザクションに伴って部分的に更
新することができる。このカードはまたその他の個人的
なデータ、例えば、洋服を買うときのための家族のサイ
ズ、電話番号などを含むこともできる。これら個人的な
データとしては想像できるあらゆるタイプのデータが考
えられる。 これら全てを標準サイズのカードに格納する技術は既
に存在する。ただし、カード上のデータの保安をいかに
確保するかという問題が残されている。この保安規則に
はカードの内側のファイル構造へのアクセスを制御する
一方で、許可されたユーザがカード内に含まれるデータ
に簡単にアクセスできることが要求される。 発明の要約 本発明によると、高保安度のポータブル データ キ
ャリヤ システムが顧客レパートリー ダイアリングか
ら個人的な医療及び/あるいはバンキング レコードの
記録に至るまでのさまざまな用途に使用される。このシ
ステムには通常のクレジット カードと同じような外観
をもつポータブル データ キャリヤ、つまり、スマー
ト カード(smart card)が含まれる。ただし、このカ
ードは、コンピュータ、電気的に消去が可能な読出し専
用メモリ(EEPROM)、及び関連するステーションととも
にオプション的に位置されるカード読出し/書込み装置
からのパワー及びタイミング信号の組合せを受信するた
めの回路を含む。これら回路要素及び回路はまたカード
と関連するステーションとの間で読出し/書込み装置を
介してデータ信号を送受信する。 カードはセットの通常の命令プリミティブを介してス
テーションからアクセスされる管理オペレーティングシ
ステムを実行する。これら命令プリミティブはカードの
保安を確保するために課せられた規則に従ってカードフ
ァイル システムを操作する。この管理オペレーティン
グ システムの使用によって侵入者によるカード内のデ
ータ ベースへのアクセスが阻止される。これに加え
て、特に高い機密の用途に対しては、データがカードに
加えられると同時に暗号化される。 顧客の個人的な情報がカード上のEEPROM内の複数のフ
ァイル内に存在する。ステーション内に常駐する適当な
アプリケーション ソフトウェアが適当なパスワードを
与えられると、これらファイルの検索及び修正を行な
う。カードに対する保安カードと関連するステーション
との間の相互作用の個々の指定レベルに対するアクセス
を得るために別個のパスワードを要求することによって
確保される。不正ログインの試みが個々の保安レベルに
対して所定の回数に制限される。これを超えた場合は、
この保安レベルでロックされるか、あるいはカード全部
のデータ ベースが消去されるかのいずれかにカードが
構成される。カードがロックされるように構成された場
合は、ロックされたレベル以上の任意のレベルでこれを
アンロックすることができる。これによって、カードの
保守をロックされたレベルより上位の最低レベルに任す
ことが可能である。また、幾つかの指定のファイルにア
クセスするためには、カードはユーザにオプションのパ
スワードを入力するように要求するため、カードの保安
がさらに向上される。 複数のファイルの個々はカード上にそれ自体のファイ
ル保安をもつため、これらファイル内に衝突あるいは混
乱を起こすことなく、複数のアプリケーションあるいは
別個の口座が存在できる。カード上に許されるファイル
の最大数はカード上で使用できるメモリ容量によっての
み制約される。 ある特定の保安レベルにてログオンしたユーザは、そ
のレベルあるいはそれ以下の任意のレベルでパスワード
を変更することを許される。従って、パスワードが損
失、あるいは忘れられた場合、これはより高い保安レベ
ルにてカードにログインし、パスワード命令にアクセス
することによって再書込みすることができる。このた
め、損失したパスワードを回復する必要はない。 高レベル ソフトウェア ライブラリがステーション
と読出し/書込み装置あるいはカードの間の全ての相互
作用を支援するために提供される。結果として、アプリ
ケーション プログラマはめんどうなカード内部あるい
は通信プロトコールの詳細にかかわる必要はない。プロ
グラマのコードはライブラリと直接にインタフェース
し、ライブラリがカードとインタフェースする。 ライブラリは4つのセクション、つまり、カード命令
の直接マッピングを提供するためのカード ライブラリ
セクション、読出し/書込み命令の直接マッピングを
提供するための読出し/書込みライブラリ セクショ
ン、カード及び/あるいは読出し/書込み命令を含む命
令ライブラリ セクション、及びステーション上に位置
する共通制御機能を含む制御セクションに分割される。
これら機能はポート及び論理デバイスの初期化、終端及
び制御の詳細を含む。従って、このライブラリはソフト
ウェア インタフェースとして機能し、典型的なコンピ
ュータ プロトコールと非常に類似するデバイス及びフ
ァイルにアクセスする方法を提供し、アプリケーション
プログラマの負担を軽減する。ファイルからのデータ
を受信及び翻訳するステーションのアプリケーション
ソフトウェアは、アクセスされているアプリケーション
に関連するバイトの一連の流れのみを見るため保安がさ
らに向上される。従って、特定のアプリケーションのユ
ーザにカード内の他のアプリケーションに関する、ある
いはカードの内部ファイル構造に関する情報が漏れるこ
とはない。 本発明及び本発明の動作モードは以下の詳細な説明を
付随の図面とともに読むことによって一層明白となるも
のである。 図面の簡単な説明 第1図はポータブル データ キャリヤ システムの
主な機能要素及びこれらの相互接続を示す機能ブロック
図であり; 第2図は第1図のシステム内に使用されるポータブル
データ キャリヤのアクセス可能な6つの保安レベル
を示すテーブルであり; 第3図はポータブル データ キャリヤ内に含まれる
データのための2つの領域、つまり、見出し領域及びデ
ータ領域にセグメント化されたファイル システムを示
し; 第4図はポータブル データ キャリヤ システムの
データ セグメント領域内に位置する個々のファイルの
3つのセクションを示し、; 第5図はオプションのファイルごとのパスワード及び
追加専用機能を採用する通常保安クラス レベル(Norm
al Security Class Levels)の階層構造を示し; 第6図はポータブル データ キャリヤ上のオペレー
ティング システムと通信するために使用される命令プ
リミティブを示すテーブルであり; 第7図はポータブル データ キャリヤへの許可され
ないアクセスの防止を助けるログイン シーケンスを図
解する流れ図であり; 第8図はこのシステムに使用されるプロトコールにて
動作するように設計されたポータブルデータ キャリヤ
システムのソフトウェア階層を示し; 第9図はポータブル キャリヤ システムの主なサブ
システム間の通信に使用するのに適するメッセージ フ
ォーマットを示し; 第10図はアプリケーション ステーションの半二重プ
ロトコールでの動作に対するリンク層意志決定プロセス
を図解する流れ図であり;そして 第11図は読出し/書込み装置及びポータブル データ
キャリヤの両方の半二重プロトコールでの動作に対す
るリンク層意志決定プロセスを図解する流れ図である。 全図面を通じて、同一要素は同一番号にて示される。 詳細な説明 第1図にはポータブル データ キャリヤ(Portable
data carrier,PDC)システムがわかり易くするために
3つのサブシステムに分割して示される。第1のサブシ
ステムはデータ キャリヤあるいはカード10であり、こ
れはユーザのために情報を格納及び更新する能力をもつ
メモリを含む。第2のサブシステムはカード読出し/書
込み装置15であり、これはカードを第3のサブシステム
であるステーション18にリンクする。この最後のサブシ
ステムは適当に構成されたアプリケーション ステーシ
ョンであり、これはカード内のメモリにアクセスするた
めに必要なアプリケーション ソフトウェアを実行する
コンピュータあるいは専用ワークステーションから成
る。アプリケーション ソフトウェアはこのステーショ
ン内に常駐し、カード10のメモリ内に格納された情報の
検索及び修正を遂行する。 カード10はセットのオペレーティング システム命令
プリミティブを介してアクセスされる監視オペレーティ
ング システムを実行する。これら命令プリミティブは
カード保全に要求される規則に従ってカード上のファイ
ル システムを操作する。 カード10内に位置する主要な要素には、マイクロコン
ピュータ110、電気的に消去可能なプログラマブルメモ
リ(electrical erasable programmable read−only me
mory EEPROM)115、アナログ インタフェース回路13
0、トランスフォーマ120の二次巻線121、及び容量性プ
レート125から128が含まれる。 マイクロコンピュータ110は中央処理ユニット及びラ
ンダム アクセス メモリ及び読出し専用メモリの形式
のメモリ ユニットを含む。その内部読出し専用メモリ
によって提供されるファームウェアの制御下にて動作
し、マイクロコンピュータ110はEEPROM115に直接に送ら
れ、また読出し/書込み装置115を介してステーション1
8に送られるデータをフォーマット化する。EEPROMの全
体あるいはこの一部はコンピュータの一部として結合す
ることも、あるいは別個の要素とすることもできる。マ
イクロコンピュータ110はまた読出し/書込みユニット1
5を通じてステーション18から受信される命令プリミテ
ィブを翻訳する。 カード10内にEEPROM115を使用することによって、許
可されたユーザは必要であればカードのメモリ セクシ
ョン内の幾つかのアプリケーション ファイルを新たな
異なるデータにて再プログラムする能力をもつ。データ
は動作パワーが加えられている間にEEPROMに書き込むあ
るいはこれら読出しないし消去することが可能である。
動作パワーが除去されると、EEPROM内のデータに加えら
れた全ての修正はそのままとなり、カード10に再びパワ
ーが加えられるたびに検索が可能である。 アナログ インタフェース回路130はメモリ カード1
0を読出し/書込み装置15にインタフェースするための
手段を提供する。このインタフェースは読出し/書込み
装置15から結合された磁気エネルギーからの動作パワー
のカード10への供給、及び読出し/書込み装置15とカー
ド10内のマイクロコンピュータ110の間のデータの結合
を含む複数の機能を遂行する。カード10を動作するため
のパワーはアナログ インタフェース回路130にトラン
スフォーマ120の二次巻線121によって提供される誘導性
インタフェースを介して提供される。このトランスフォ
ーマはカード10内のこの二次巻線が読出し/書込み装置
15内の一次巻線122にはめ込まれたとき形成される。ス
テーション18は読出し/書込み装置15及びカード10の両
方の動作のためのパワー源を提供する。 トランスフォーマ129はトランスンフォーマの一次巻
線122と二次巻線121の間の結合を増加させるために読出
し/書き込み装置内フェライト コア123を含む。さら
に結合効率を向上させるためにトランスフォーマ120内
に第2のフェライト コア120を含め、カード内の二次
巻線121と関連させることもできる。豊富なパワーがあ
り、効率も問題とならないようなケースでは、これらコ
アの片方あるいは両方を省くことができる。 カード10へのデータの受信あるいはこれからの伝送は
アナログ インタフェース130に接続された容量性イン
タフェースによって提供される。この容量性インタフェ
ースはカード10上の電極あるいはプレート125から128が
読出し/書込み装置15内の対応する電極あるいはプレー
ト155にはめ込まれたとき形成される4つのコンデンサ
から成る。これらコンデンサの中の2つは読出し/書込
み装置15からカード10にデータを伝送するために使用さ
れ、残りの2つはカード10から読出し/書込み装置15に
データを伝送するために使用される。誘導性インタフェ
ースと容量性インタフェースの組合せは読出し/書込み
装置15とメモリ カード10との間に完全な通信インタフ
ェースを提供する。 読出し/書込み装置15内の幾つかの要素の編成はカー
ド10内の要素と機能的にミラー関係にある。これら要素
には、例えば、アナログ インタフェース回路140とマ
イクロコンピュータ150がある。これに加えて、読出し
/書込み装置15はパワー源162及び入力/出力インタフ
ェース160を含む。パワー源162はカード10にパワーを提
供するため、及び読出し/書込み装置15からのクロック
信号をトランスフォーマ120を通じてカード10に結合す
るために使用される。入力/出力インタフェース160は
原理的には普遍非同期受信機送信機(universal asynch
ronous receiver transmitter,UART)であり、マイクロ
コンピュータ150内に含まれる。このUARTはアプリケー
ション ステーション18と通信する。このアプリケーシ
ョン ステーション18はオフィス編集ステーション、工
場編集ステーション、発行人編集ステーション、公衆電
話ステーション、あるいは他の適当に構成されたステー
ションであり得る。 PDCシステムに対する保安問題は2つの大きな領域に
分けられる。第1の領域は同定及び認証の問題であり、
ステーションが(1)認証されたカードと通信すること
及び(2)カード上の認証されたアプリケーション フ
ァイルと通信することの両方を保証することに関する。
第2の領域はカード上のファイルへのアクセスの制御及
びステーションの所のアプリケーションによるカード命
令の実行の制限に関する。ここで、アプリケーションと
は、カード上の特定のファイル内の特定のデータにアク
セスする勘定等である。 適当な認証手順なしには、システム詐欺の意図をもつ
者がステーションの所のプロトコールをシュミレート
し、PDCシステムに関する情報を得る恐れがある。 ステーションが認証カード上の認証ファイルと通信す
ることを保証することは、個々のカードに一意の番号を
割り当て、この番号あるいは番号のサブセットをステー
ション内に常駐する隠されたアリケーション パスワー
ドとともに使用することによって達成される。これら番
号がアルゴリズム的に操作され、認証コードが生成さ
れ、これが生成時にカード上のアプリケーション ファ
イル内に格納される。その後のトランザクションの際
に、このコードがステーションによって独自に生成され
た類似のコードと比較される。 カード ファイル システム及びカード命令に対する
保安を提供し、しかも異なるタイプのアプリケーション
を扱うためのフレキシビリティを確保するために、カー
ドは6つの異なる保安レベルを採用する。これら保安レ
ベルはカードが2つのタイプの資源、つまり、カード
ファイル システム及びカード命令を保護する。これら
資源へのアクセスは許可されたログイン レベル、要求
された命令、アクセスされるべきファイル、及びカード
のオーナによって課せられる追加の制約の関数である。 第2図にはこれら6つのログイン保安レベルが示され
る。最初の4つの低いレベルは通常保安クラス(Normal
Security Class)のカテゴリーにおかれ、公衆環境内
の使用に供せられる。この階層的保守レベル内の最初の
最も低いレベルは一般情報のためのPUBLIC(公衆)ログ
イン レベルであり、アクセスのためのパスワードを必
要としない。医療情報及び保険番号あるいは図書カード
情報などがこのレベルに含まれる公衆データの例であ
る。カードがパワーアップにおいて初期化あるいはステ
ーションの所でリセットされると、これはPUBLICログイ
ン レベルとなる。 第2のレベルはUSER(ユーザ)レベルであり、アクセ
スのためにユーザ パスワードを必要とする。ユーザは
このレベルに貸借勘定を含めることができる。第3のレ
ベルはSUB ISSUER(下位発行人)レベルである。このレ
ベルもアクセスに対するパスワードを必要とし、これは
通常、MASTER ISSUER(上位発行人)あるいはカードの
所有者によって許可されたアプリケーションで使用され
る。 保安の第4のレベルは、MASTER ISSUERによって維持
されるレベルである。カードはこのレベルでフォーマッ
ト化され、ここから発行される。これらレベルがいかに
使用されるかの例として、銀行は貸し方あるいは借り方
勘定を含むカードを発行する。この銀行はこのカードの
使用を小売り業者に許可し、小売り業者はこのカード上
に小売り業者自身の貸し方あるいは借り方勘定を作成す
る。この例では銀行がMASTER ISSUER(上位発行人)で
あり、小売り業者がSUB ISSUER(下位発行人)である。
カード保有者は、勿論、USER(ユーザ)である。この例
では、個々の勘定はカード上の別個のファイルによって
扱われ、特定のファイルに対して正規の資格をもつ者あ
るいはプログラムのみが適用なアプリケーション ステ
ーションにてそのファイルにアクセスすることができ
る。 2つの上層保安レベル、DEVELOPER(開発者)及びSUP
ER USER(スーパー ユーザ)は延長保安クラス(Exten
ded Security Class)カテゴリーにおかれるが、このカ
テゴリーは通常保安クラス(Normal Security Class)
カテゴリー内のレベルには供されない命令の使用を可能
とする。 第5のレベル、つまり、SUPER USER(スーパー ユー
ザ)レベルはブランク カードの製造、テスト、初期化
を行ない、この保安が確保され、不正カードが使用でき
ないようにするための製造レベルである。 最後に、第6番目の最も高いレベルは、カードの開発
者レベルである。SUPER USER及びDEVELOPER保安レベル
は両方とも後に詳細に説明されるカード システム見出
しを含むカード ファイル システムの全内容にアクセ
スする能力をもつレベルである。 個々が固有の資格をもつ複数のファイルがカード上に
存在するため、複数のアプリケーションがこれら別個の
ファイル内に衝突あるいは混乱することなく別個に存在
できる。全て同一カード上に10個あるいはそれ以上の別
個の貸し方あるいは借り方勘定、電子チェックブック、
及びユーザのアパートにアクセスするための保安パスを
もつユーザを容易に想像することができる。発行者並び
にユーザは、カードが公衆レベル以外で許される以外の
ファイルにアクセスするためにはパスワードによってユ
ーザ自身を同定することを必要とするため、カードが不
正に使用される不安をもつ心配はない。 第3図には2つの領域、つまり、管理部分である見出
し、及びアプリケーション ファイルを含むデータ部分
にセグメント化されたカード ファイル システムが示
される。 保安見出し35はカード番号、個々のログイン レベル
に対するパスワード、個々のレベルに対する不成功パス
ワイド試行の回数、ログイン レベルがブロックされて
いることを示すロック バイト、データベース内の固定
レコードのサイズ、EEPROM115のキロバイト単位のメモ
リ サイズ等の情報が含まれる。見出しセクションへの
直接アクセスは2つの最も高い保安レベルでのみ可能で
ある。 カードのデータ セグメント30は、MASTER ISSUERに
よってセットされるnバイトの長さの固定レコードに分
割される。個々の使用レコード31,32,33が特定のファイ
ルに割り当てられる。特定のファイルの同定はそのファ
イルの同定番号に割り当てられた個々のレコードの最初
のバイトによって行なわれる。 カードはファイル ダイレクトリー(Directory)を
持たず、同一ファイルの異なるレコード間にポインタは
存在しない。ファイル データの順番は一連(contiquo
us)のレコードによるのでなく、線形順序によって示さ
れる。カードのオペレーティング システムはEEPROM内
のアドレスを最低から最高アドレスに向けて走査する。
特定のファイル同定番号とともに位置された第1のレコ
ードがそのファイル内の第1のレコードであり、そのフ
ァイルの同定番号とともに位置される最後のレコードが
そのファイル内の最後のレコードである。カード オペ
レーティング システムはファイルのレコードを特定の
ファイル内の個々のレコードに出会ったとき読み出す。
カード上に許されるファイルの最大サイズ及び数はEEPR
OMのメモリのサイズによってのみ制限される。ファイル
を読むステーション アプリケーション ソフトウェア
はカードの内部ファイル構造とは独立した一連のバイト
流のみを見る。 第4図にはカード ファイル システムのデータ セ
グメント領域内の個々のファイルの3つのセクションが
より詳細に示される。個々のファイルの第1のレコード
内に位置する接頭セクション41は、ファイル同定番号42
及び保護バイト43,44及び45を含む。ファイル同定番号
は1と16進FEの間の番号である。16進番号00と16進番号
FFはそれぞれ未使用のレコード及びEEPROM内の使用可能
なメモリの終端を示すために予約される。 保護バイト43から45はファイル許可を指定する。第1
のバイト43は読出し許可を表わし、そのファイルの読み
出しができる最低レベルを指定する。第2のバイト44は
読出し/書込み許可を表わしそのファイルに読出し及び
書込みの両方が可能な最低レベルを指定する。 従って、あるファイルに対する読出し許可をあるファ
イルに対する読出し/書込み許可から分離することがで
きる。読出しアクセスに対して読出し/書込みアクセス
に異なる保安レベルを指定することもできる。例えば、
あるファイルに対する読出し許可をPUBLICレベルに指定
し公衆情報に対する公衆アクセスを許し、一方で、書込
み許容をUSERレベルに指定し、ユーザの同意なしには、
ファイルへの書き込みを禁止することができる。 第5図にはオプションのパスワード及び追加専用機能
を使用する通常保安クラス(Normal Security Class)
レベルの階層構造が示される。カード使用のフレキシビ
リティを増加させるために、カード上の個々のファイル
はその保護バイトの中に特定のファイルにアクセスが許
される前にオプションのパスワードを提供すべき要件を
含む。これはユーザがあるレベルに保護されたファイル
に対するアクセスを得るためにはカードのオペレーティ
ング システムによって要求される保安レベルでなくて
はならないという要件に追加する要件である。一例とし
て、ユーザに対するオプションの書込みパスワードを含
む書込み/読出し許可をもつファイルは、(1)ユーザ
レベルでカードにログインすること、及び(2)その
ファイルを読み出すためにファイルを開くことを要求す
る。ただし、このファイルに書き込むためには、ユーザ
は(1)ユーザ レベルにてカードにログインするこ
と、及び(2)オプションのパスワードを提供して“書
込み”のためにファイルを開くことを要求される。これ
はファイルのアクセス許可が要求するより高いレベルで
ログインする者には適用しない。この高いレベルにてロ
グインする者は指定の保安レベルにてオプションのパス
ワードが要求される場合でもそのファイルに対するアク
セスを得ることができる。 通常保安クラス(Normal Security Class)レベルの
階層構造は、MASTER ISSUERがそのレベル及びそのレベ
ル以下の全てでファイルを読出し及び書込みでき;SUB I
SSUERがそのレベル及びそのレベル以下の全てでファイ
ルを読出し及び書込みできるような構造をもつ。同様
に、カード保有者はそのレベルあるいは公衆レベルには
全てのファイルを読出し及び書込みできる。 それが適当であるアプリケーションにおいては、第4
図の保護バイト45をセットし、ユーザがファイルにデー
タを追加することのみを許し、現存するデータの消去は
許さない“追加専用(append−only)”モードを実現す
ることができる。適当なアプリケーション ファイルを
反映するレコードがこのデータが入力されしだい格納さ
れるように生成される。つまり、あるファイルを読出し
/追加許可として、あるいは読出し/書込み許可として
指定することができる。 ファイルの情報セクション46はそのファイルの個々の
レコード内に位置する実際のデータを含む。そして最後
のレコードNの最後のバイト48内の番号Mをもつ接頭セ
クション47はその最後のレコード内のアプリケーション
データ バイトの数を示す。 カード上の管理オペレーティング システムは第6図
に示される一般的に理解されている命令プリミティブの
使用を通じて通常保安クラス(Normal Security Clas
s)レベルによってアクセスされる。これら命令プリミ
ティブはカードに対する保安アクセス、ファイルの生成
及びアクセスを制御し、また、管理及びテスト動作を制
御する。SUPER USERあるいはDEVELOPERログイン レベ
ルに対して追加の命令プリミティブが使用できる。 これら命令プリミティブの動作は“ログイン”命令の
動作の説明を通じて解説できる。カードにログインする
ためには、ユーザはログイン レベル及びパスワードを
指定することが要求される。このパスワードは内部的に
カードによってそのカード見出し内の同一ログイン レ
ベルの対応するパスワードに対してアルゴリズム的にチ
ェックされる。カードユーザがそのファイルによって要
求されるよりも低いログイン レベルをもつファイルに
アクセスを得ることを試みている場合は、読出しあるい
は読出し/書込みのいずれかのためにファイルを開く許
可は拒否される。 個々の保安レベルに対するパスワードはカードが製造
されるときにカードの見出し内におかれる。パスワード
命令はロッグ オンされた保安レベルのユーザがそのレ
ベルあるいはそれ以下のレベルのパスワードを変更する
ことを許す。従って、パスワードが損失あるいは忘れた
場合は、これはより高い保安レベルにてカードにログイ
ンし、パスワード命令を使用して書き換えることができ
る。このため、失われたパスワードを回復する必要はな
い。 1つの保安レベルで許される連続の不成功の“ログイ
ン”試行回数は所定の回数に制限される。この回数を超
えると、カードそはの保安レベルをロックする、あるい
はカードの全てのデータベースを消去するように構成さ
れる。カードがロックするように構成された場合は、ロ
ックされたレベル以上のレベルはこれをアンロックする
ことができる。これによりカードの保守をロックされた
レベルより上の最低レベルに任すことが可能となる。失
敗の回数EEPROMの見出し部分内の適当な“パスワード失
敗カウンタ(password failure counter)”内に記録さ
れる。 オプションのパスワードを要求するファイルを保護す
ることも可能である。ファイルはカードと同一の方法で
必要であればそのファイルの保護バイト内にそのファイ
ルを消去するためのビットをセットすることによって個
別に保護することもできる。こうして、オプションのパ
スワードを要求するファイルを開くことを試みている者
は、所定の回数の試みのみが許され、これを超えた場合
は、カードのロックされたそのファイル内のデータの消
去が起こる。 第7図にはカード上のオペレーティング システムの
カードへの許可されないログインを防止するための部分
の流れ図が示される。ログイン命令がアクセスされるた
びに、パスワード失敗カウンタがパスワード失敗を反映
するように更新される。次に、与えられたパスワードが
カード見出し内のパスワードに対してチェックされる。
正しいパスワードが与えられた場合は、パスワード カ
ウンタが消去される。この機能は不成功のログイン試行
の後に失敗カウンタが失敗を反映するように更新される
前にカードからパワーを除去する装置を使用してのパス
ワードに対する巧妙な挑戦に対する保護を提供する。 アプリケーション ソフトウェアの開発を助けるため
に、高レベル ソフトウェア ライブラリがステーショ
ンと読出し/書込み装置並びにステーションとカードの
間の全ての相互作用を支援するために生成される。結果
として、アプリケーション プログラマはめんどうなカ
ード内部あるいは通信プロトコールの詳細にかかわる必
要はない。プログラマのコードはライブラリと直接にイ
ンタフェースし、ライブラリがカードとインタフェース
する。 ライブラリは4つのセクション、つまり、第6図に示
されるようなカード命令の直接マッピングを提供するた
めのカード ライブラリ セクション、読出し/書込み
命令の直接マッピングを提供するための読出し/書込み
ライブラリ セクション、カード及び/あるいは読出し
/書込み命令を含む命令ライブラリ セクション、及び
ステーション上に位置する共通制御機能を含む制御セク
ションに分割される。これら機能はポート及び論理デバ
イスの初期化、終端及び制御の詳細を含む。従って、こ
のライブラリはソフトウェア インタフェースとして機
能し、典型的なコンピュータ プロトコールと非常に類
似するデバイス及びファイルにアクセスする方法を提供
し、アプリケーション プログラマの負担を軽減する。 カードのオペレーティング システムは、レコードの
割り当て、レコードの解放及び不用部分の整理機能が提
供される。情報がファイルから削除されると、カードは
解放されたレコードを使用可能なレコードのプールに戻
し、不用部分の整理を遂行することによって使用レコー
ドを線形順次に並べる。この不用部分の整理を通じて、
カード上の全ての未使用のレコードがカード メモリの
終端に集められる。必要に応じて、追加レコードの割り
当てが、書込みがファイルの最後のレコードを越えたと
き自動的に遂行される。使用可能なレコードを常にカー
ドの端に維持することによって、ファイルに対する新た
なレコードが常にファイルの前に端を過ぎて割り当てら
れ、これにより個々のファイルのレコードの線形順序が
保持される。 レコードの割り当て及び解放に関する情報はステーシ
ョンの所のアプリケーションには提供されない。アプリ
ケーションは実現の詳細を認識することなく単に一連の
データをみるだけであるため保安が向上される。また、
原始フォーマットのアプリケーション ファイルへの直
接アクセスも通常保安クラス(Narmal Security Clas
s)レベル内に発見される命令へのアクセスをもつユー
ザに許されない。全カードへのアクセスは、延長保安ク
ラス(Extended Security Class)レベル内に発見され
る命令へのアクセスを持つユーザにのみ許され、これに
よりカードの製造及びテストの時の機密が保持される。 第8図にはPDCシステムの通信プロトコール内での動
作のために配列されたソフトウェア階層が示される。ス
テーション18内のアプリケーション層181はカード10と
インタフェースし、また端末187の所のユーザと端末イ
ンタフェース182を通じてインタフェースし、さらにデ
ータベース インタフェース184を通じてオプションの
データベースとインタフェースする。カード10へのアク
セスを簡素化するために、アプリケーション層180は上
に説明のライブラリ層185とインタフェースする。一
方、ライブラリ層は読出し/書込み装置15とカード10と
の実際のトランザクションを扱うリンク層186とインタ
フェースする。 ステーション18は直列ポートを通じて読出し/書込み
装置15に接続されるが、これはカード10並びに読出し/
書込み装置15と直接に通信する。カードに向けられた全
てのメッセージは、従って、透明的に読出し/書込み装
置15を通じてカード10に送られる。宛先アドレスはメッ
セージのプリアンブル セクション内に発見される。本
発明に使用が適当なメッセージ フォーマットが第9図
に示されるが、これに関しては後に詳細に説明される。 読出し/書込み装置15及びカード10は両方ともデータ
リンク層186のステーションとの交信に同一の半二重
通信プロトコールを用いる。カード10は完全で受動であ
り、ステーション18との間のトランザクションを先導す
ることはできない。読出し/書込み装置15は、ステーシ
ョンにこれらの間を直列ポート内のキャリヤ検出リード
を介して“アテンション”信号を送ることができる点で
のみカード10と異なる。ステーション18はそのとき処理
している現在のトランザクションが完了した後にこの
“アテンション”信号に応答する。ステーションは次に
読出し/書込み装置15を尋問して、“アテンション”信
号の理由を決定する。読出し/書込み装置15がこのアテ
ンション信号を送る状況の一例として、カード10が読出
し/書込み装置15上の収容スロット(図示なし)内に挿
入され、ステーション18と通信できる位置にあるときこ
の信号が送られる。第2の例としては、カード10が読出
し/書込み装置15内のスロットから外されたときこの信
号が送られる。 読出し/書込みは2つの層、つまり、リンク層151及
び命令層152をもつ。リンク層151はステーション18とカ
ード10との間の透明媒体であり、この間で命令あるいは
応答を運ぶ。読出し/書込み装置15内のリンク層151
は、必要であれば、緩衝動作及びボー速度変換を提供す
る。カード10と読出し/書込み装置15の間の伝送速度は
19200ボーに保持される。ステーション18と読出し/書
込み装置15の間のボー速度が読出し/書込み装置15とカ
ード10の間のボー速度より遅い場合は、読出し/書込み
装置15はボー速度変換を行ない、メッセージをブロック
の一連のデータとして送ることができるように緩衝す
る。読出し/書込み装置内の第2のの層は命令層であ
る。この層は読出し/書込み装置内にあり、ステーショ
ン18から読出し/書込み装置に特にアドレスされた命令
に応答する。 プロトコール内のデータは通信リンクを通じてシリア
ルに1文字ずつ送られる。文字が1つの開始ビット及び
1つの停止ビットにてフレーム化される。文字の一連の
ブロックのメッセージが半二重プロトコールの制約内で
任意の時間に送られる。ステーション18と読出し/書込
み装置15あるいはカード10は所定のメッセージ パケッ
トにて情報を交換する。パケットは、パケット内のどこ
でデータが開始及び終端するかに関する制御情報及びメ
ッセージ データの保全性をチェックする情報を含む。 第9図には、第8図との関連でより詳細に本発明の使
用に適当なメッセージ フォーマットが示される。ここ
で、ステーション18は読出し/書込み装置あるいはカー
ド10にアドレスする。メッセージ フォーマットは読出
し/書込み装置15あるいはカード10をアドレスするため
のプリアンブル91およびメッセージの開始をマークする
ためのフレーム開始制御シーケンス92(DLE STX)を含
む。メッセージ フォーマット内の次の欄はリンク状態
93であるが、これはメッセージの肯定応答(ACK)が送
信されたか否定応答(NAK)が送信されたかを示す情
報、伝送の際にエラーが発生したか否かを示す情報、及
び現在のメッセージの番号(タグ)を含む。個々のメッ
セージには番号が割り当てられる。メッセージ フォー
マットにはリンク状態バイト内の3つの最下位ビットを
使用するモジュラス8スキーム(modulus 8 scheme)が
使用される。 命令の次の欄はデータ欄94であり、これは伝送された
データ及びこれに続くメッセージの終端をマークするフ
レーム終端制御シーケンス95(DLE ETX)を含む。最後
に、2バイト チェックサム96がJ.G.フレッチャー(J.
G.Fletcher)によってIEEEトランザクション オン コ
ミュニケーション(IEEE Transactions on Communicati
ons)、Vol.Com−30、1982年1月、ページ247−252に掲
載の論文[シリアル伝送のための算術チェックサム(An
Arithmetic Checsum for Serial Transmissions)]に
おいて説明のアルゴリズムを使用して生成される。 読出し/書込み装置15あるいはカード10からステーシ
ョン18に戻されるメッセージ パケット応答はステーシ
ョンによって生成されるメッセージ パケットと同一で
ある。第9図に示されるメッセージ フォーマットは、
従って、全てのサブシステム間の通信に適用する。ステ
ーション18から送信されるメッセージのプリアンブルは
8バイトから成る。メッセージはこれら連続プリアンブ
ル文字の少なくとも3つがそれとの通信を試しているサ
ブシステムによって検出されたときステーション18によ
って正しく受信されたものとみなされる。 読出し/書込み装置15あるいはカード10との通信を実
現するためには、ステーション18は“リンク リセット
(link reset)”メッセージを送る。通信はステーショ
ンがNAKを受信したとき、あるいは応答が受信される前
に所定の時間が経過したとき失敗する。 読出し/書込み装置15との通信がいったん確立される
と、読出し/書込み装置はステーション18にカード10が
挿入されたこと、あるいは既に挿入されていることを通
知する。カード10が挿入されると、読出し/書込み装置
15はステーション18に“アテンション”信号を送る。ス
テーションが挿入されたカードが、例えば、磁気ストラ
イプのみをもつカードではなく、スマート カードであ
ることを決定すると、ステーションはカードを初期化す
るためにカードにリンク リセット メッセージを送
る。いったん初期化されると、カードはステーション18
内のアプリケーション層181からの命令をまつ。要求が
受信されると、これはカード10内の命令層101によって
処理され、応答がステーション18に戻される。この間、
カード10は次の命令を待つ。ステーション18はどのサブ
システムにアドレスし、どのメッセージを送るべきか、
つまり、リンク リセット メッセージを送るべきか、
命令を送るべきかを任意に選択できる。 第10図はステーション18に対するリンク層意志決定プ
ロセスを図解する流れ図である。通常のトランザクショ
ンの際の読出し/書込み装置15あるいはカード10との通
信において、ステーション18はメッセージを送信し、タ
イマをセットする。次に、ステーションがそれが通信を
試みているサブシステムからの応答を受信するか、所定
の時間がきれる。ステーションへのメッセージ応答内の
リンク状態バイトがACKを含む場合は、これはトランザ
クションが成功のうちに完了したことを示し、タグ値が
モジュラス8に増分される。この応答が次にステーショ
ン18内のアプリケーション層181に提供される。 否定応答、つまりNAKが受信された場合は、少なくと
ももう2回のリンク再試行が行なわれ、タグ値はそのま
まとされる。ステーションは再送信を要求せず、最後の
命令を送信する。肯定応答、つまりACKが3回の試行の
後に受信されない場合は、リンク レベル エラー回復
が始動される。 第11図は読出し/書込み装置15及びカード10の両方に
対するリンク層意志決定プロセスを図解する流れ図であ
る。第8図及び第10図の両方を参照することによって理
解できるように、通常のトランザクションの際のステー
ションへの通信において、読出し/書込み装置15あるい
はカード10は、個々のメッセージが受信されるたびに現
在の要求が新たなトランザクションであるか、あるいは
前のトランザクションに対する再送信要求であるかを決
定するためにタグを調べる。現在のタグ値が前のトラン
ザクションのタグ値と異なる場合は、その入りメッセー
ジは新たなトランザクションとして扱われる。現在のタ
グ値が前のタグ値に等しい場合は、ステーション18によ
って再送信が要求されていることを示す。読出し/書込
み装置15あるいはカード10は必ずそれが最後に処理した
妥当命令と関連するタグにて応答する。従って、現在の
送信が失敗すると、つまり、“不当メッセージ”の場合
は、リンク層は否定応答(NAK)及び最後の妥当タグに
て応答する。“零”命令は読出し/書込み装置15あるい
はカード10にその順番タグをそれが受信するタグにリセ
ットするよう命令する。リセット時に、読出し/書込み
装置15あるいはカード10は、入りメッセージが新たなメ
ッセージとして扱われることを保証するためにそのタグ
を不当値にする。 カード10とのセッションの終結は、ステーション18が
読出し/書込み装置15にカード10へのパワーを切るよう
に命令する、あるいはユーザがカード10を取り出すこと
によって行なわれる。後者の場合は、読出し/書込み装
置15が自動的に空のカード スロットへのパワーの供給
を中止し、ステーション18に“アテンション”信号を送
る。すると、ステーションは読出し/書込み装置15に
“状態要求”命令を送る。これに応答して、読出し/書
込み装置15はステーション18にカード10が取り出された
ことを報告し、リンク層はカード10との通信が3回失敗
した後にアプリケーション層に通信エラーを報告する。
これはアプリケーション層のみが読出し/書込み装置が
動作してないことを宣言できることから必要である。
フロントページの続き
(72)発明者 フランケル,オーレン
アメリカ合衆国 07712 ニュージャー
シイ,オーシャン タウンシップ,イー
スト,ラレイ コート 52エー
(72)発明者 ザヒヴ,アヴィ
アメリカ合衆国 08904 ニュージャー
シイ,ハイランド パーク,ドナルドソ
ン ストリート 120
(56)参考文献 特開 昭60−207939(JP,A)
特開 昭60−160491(JP,A)
特開 昭60−153582(JP,A)
Claims (1)
- (57)【特許請求の範囲】 1.ポータブル データ キャリヤ システムにおい
て、該システムが 可変データを格納及び処理するためのポータブル デー
タ キャリヤ(10)を含み、該ポータブル データ キ
ャリヤが該ポータブル データ キャリヤの管理オペレ
ーティング システムを提供するコンピュータ(110)
及び該管理オペレーティングにより管理される複数のフ
ァイルを記憶するメモリ(115)、該ポータブル デー
タ キャリヤからの可変データを処理するためのアプリ
ケーション ステーション(18)、及び該アプリケーシ
ョン ステーションと該ポータブル データ キャリヤ
との間の通信を提供するための通信手段(15、102、15
1、186)を含み、 該アプリケーション ステーションがポータブル デー
タ キャリヤ内の管理オペレーティングの制御下のログ
イン端末となって、該通信手段を通じて該ポータブル
データ キャリヤ内の管理オペレーティング システム
により解読される該命令プリミティブによって該ポータ
ブル データ キャリヤ内の該コンピュータと通信し、 該管理オペレーティング システムが該メモリ中の可変
データにアクセスして該ポータブル データ キャリヤ
からの可変データの読み出し及びこれへの可変データの
書き込みを行い、また該メモリ中の可変データを該通信
手段を介して該アプリケーション ステーションに送っ
ており 該ファイル各々は、該メモリに分散・配置された複数の
所定長のレコードからなり、各レコードはそのファイル
の識別情報を含み、該管理オペレーティング システム
は所与のファイルのアクセスのために該メモリを走査し
て該所与のファイルの識別情報を含むレコードを抽出
し、該抽出されたレコードの系列によって該所与のファ
イルを構成しており、 該管理オペレーティング システムは、アプリケーショ
ン ステーションからのファイル アクセス プリミテ
ィブに応答してファイルをアクセスする際、アクセスさ
れたファイルの可変データのファイル システム内部構
造とは独立した一連のバイト流として該アプリケーショ
ン ステーションへ該通信手段を介して提供しているこ
とを特徴とするポータブル データ キャリヤ システ
ム。 2.請求の範囲第1項に記載のポータブル データ キ
ャリヤ システムにおいて、 該管理オペレーティング システムは、アプリケーショ
ン ステーションからのログイン プリミティブとログ
イン レベルに関連のパスワードに応答する複数の階層
化ログイン レベルを有し、 該ファイル各々はそのファイルへのアクセスを許可する
ログイン レベルを指定するアクセス許可情報を可変デ
ータの他に含み、そして 該管理オペレーティング システムは、該アクセスされ
たファイルのアクセス許可情報を参照し、該アクセス許
可情報が該アプリケーション ステーションの現在のロ
グイン レベルを指定しているときのみ該アプリケーシ
ョン ステーションへ該アクセスされたファイルの可変
データを提供しているポータブル データ キャリヤ
システム。 3.請求の範囲第1項に記載のポータブル データ キ
ャリヤ システムにおいて、該通信手段がポータブル
データ キャリヤ読み出し/書き込み装置(15)を含
み、該読み出し/書き込み装置が該アプリケーション
ステーションと該ポータブル データ キャリヤとの間
でデータを結合するための通信インターフェース手段を
提供することを特徴とするポータブル データ キャリ
ヤ システム。 4.請求の範囲第1項に記載のポータブル データ キ
ャリヤ システムにおいて、該ポータブル データ キ
ャリヤ内の該可変データが該電気的に消去可能なプログ
ラマブル読み出し専用メモリ内の複数のファイル(31−
33)内に格納されることを特徴とするポータブル デー
タ キャリヤ システム。 5.請求の範囲第4項に記載のポータブル データ キ
ャリヤ システムにおいて、該ポータブル データ キ
ャリヤがさらに見出し領域(35)及びデータ セグメン
ト領域(30)の両方から成るファイル システムを含
み、該見出し領域が該ポータブル データ キャリヤ内
のデータにアクセスすることを試みている者の同定を検
証するための第1のパスワードを含み、該データ セグ
メント領域が複数のファイルを含むことを特徴とするポ
ータブル データ キャリヤ システム。 6.請求の範囲第5項に記載のポータブル データ キ
ャリヤ システムにおいて、所望のトランザクションの
ための個々のファイルへのアクセスが該ポータブル デ
ータ キャリヤ内でトランザクションを行うことを許可
された者に指定される第2のパスワードによって制御さ
れることを特徴とするポータブル データ キャリヤ
システム。 7.請求の範囲第6項に記載のポータブル データ キ
ャリヤ システムにおいて、該ポータブル データ キ
ャリヤ内の個々のファイル(41)が個人に許可されたア
クセスのタイプを定義するためのファイル許可情報を含
むことを特徴とするポータブル データ キャリヤ シ
ステム。 8.請求の範囲第7項に記載のポータブル データ キ
ャリヤ システムにおいて、該ポータブル データ キ
ャリヤ内の該ファイル許可情報が読み出し許可、書き込
み許可及び追加許可を含み、読み出し許可をもつ第1の
ファイル(43)がユーザがその中のデータを読み出すこ
とのみを許し、書き込み許可をもつ第2のファイル(4
4)がユーザがその中のデータを読み出すこと及びその
中にデータを書き込むことを許し、そして読み出し及び
追加許可をもつ第3のファイル(45)がユーザがその中
のデータを読み出すことのみ及びその中にデータを追加
することを許すことを特徴とするポータブル データ
キャリヤ システム。 9.請求の範囲第8項に記載のポータブル データ キ
ャリヤ システムにおいて、さらに最低保安レベル、最
高保安レベル及びこれらの間の複数の他の保安レベルか
ら成るように階層的に配列された複数の保安レベルが含
まれ、個々の保安レベルへのアクセスがその保安レベル
にてデータにアクセスすることを許可された個人にのみ
指定される対応するパスワードによって制御されること
を特徴とするポータブル データ キャリヤ システ
ム。 10.請求の範囲第9項に記載のポータブル データ
キャリヤ システムにおいて、該ファイル許可情報が保
安レベルに従って指定可能であり、第1の高い保安レベ
ルが該第2のファイル内のデータの読み出し及びこれへ
のデータの書き込みを許し、第2の低い保安レベルが該
第2のファイル内のデータの読み出しのみを許すことを
特徴とするポータブル データ キャリヤ システム。 11.請求の範囲第10項に記載のポータブル データ
キャリヤ システムにおいて、該ファイル許可情報が保
安レベルに従って指定可能であり、第1の高い保安レベ
ルが該第2のファイル内のデータの読み出し及びこれへ
のデータの書き込みを許し、第2の低い保安レベルが該
第2のファイル内のデータの読み出し及びこれへのデー
タの追加のみを許すことを特徴とするポータブル デー
タ キャリヤ システム。 12.請求の範囲第1項に記載のポータブル データ
キャリヤ システムにおいて、該ポータブル データ
キャリヤが、データ及び該ポータブル データ キャリ
ヤ内のデータにアクセスすることを試みている個人の同
定を検証するための一意のアクセス コードを格納して
おり、そして 該ポータブル データ キャリヤに外部からアクセス
コードが提供されるたびにカウントを進めて全てのアク
セス試行を記録するためのカウンタ手段、 該外部から提供されるアクセス コードが該ポータブル
データ キャリヤ内に格納されたアクセス コードと
一致したとき指示を提供するための検証手段、及び 該カウンタ手段によって進められたカウントを前のカウ
ントにリセットするためのカウンタ リセット手段とを
含み、該カウンタ リセット手段はアクセス コードが
一致しデータ アクセスが許されたことを該検証手段が
示したとき起動され、該カウンタ リセット手段が該検
証手段が一致を示さないときな起動されないままとなる
ことを特徴とするポータブル データ キャリヤ シス
テム。 13.請求の範囲第12項に記載のポータブル データ
キャリヤにおいて、該カウンタ手段が所定の数までカウ
ントし、この数に到達する該ポータブル データ キャ
リヤからの全てのデータを消去することを特徴とするポ
ータブル データ キャリヤ。 14.請求の範囲第12項に記載のポータブル データ
キャリヤにおいて、該カウンタ手段が所定の数までカウ
ントし、この数に到達するとロックし、これによってそ
れ以上のアクセス行為を阻止することを特徴とするポー
タブル データ キャリヤ。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US06/863,973 US4816654A (en) | 1986-05-16 | 1986-05-16 | Improved security system for a portable data carrier |
| US863,973 | 1986-05-16 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH01500379A JPH01500379A (ja) | 1989-02-09 |
| JP2795435B2 true JP2795435B2 (ja) | 1998-09-10 |
Family
ID=25342234
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP62502799A Expired - Lifetime JP2795435B2 (ja) | 1986-05-16 | 1987-04-20 | ポータブルデータキャリヤのためのシステム |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US4816654A (ja) |
| EP (1) | EP0268615B2 (ja) |
| JP (1) | JP2795435B2 (ja) |
| KR (1) | KR910009297B1 (ja) |
| AT (1) | ATE77706T1 (ja) |
| CA (1) | CA1293325C (ja) |
| DE (1) | DE3780002T3 (ja) |
| WO (1) | WO1987007062A1 (ja) |
Families Citing this family (110)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2589268B1 (fr) * | 1985-10-28 | 1991-04-19 | Toshiba Kk | Dispositif electronique portatif sous forme d'une carte |
| US4800520A (en) * | 1985-10-29 | 1989-01-24 | Kabushiki Kaisha Toshiba | Portable electronic device with garbage collection function |
| FR2591008B1 (fr) * | 1985-11-30 | 1991-05-17 | Toshiba Kk | Dispositif electronique portatif |
| ATE120021T1 (de) * | 1988-07-20 | 1995-04-15 | Syspatronic Ag Spa | Datenträger-gesteuertes endgerät in einem datenaustauschsystem. |
| US5200600A (en) * | 1988-08-29 | 1993-04-06 | Hitachi Maxell, Ltd. | IC card and method for writing information therein |
| JP2750704B2 (ja) * | 1988-08-29 | 1998-05-13 | 日立マクセル株式会社 | Icカードの情報書込み方式及びicカード |
| US5247164A (en) * | 1989-01-26 | 1993-09-21 | Hitachi Maxell, Ltd. | IC card and portable terminal |
| US5442645A (en) * | 1989-06-06 | 1995-08-15 | Bull Cp8 | Method for checking the integrity of a program or data, and apparatus for implementing this method |
| JPH0314083A (ja) * | 1989-06-12 | 1991-01-22 | Toshiba Corp | 携帯可能電子装置 |
| FR2654237B1 (fr) * | 1989-11-03 | 1992-01-17 | Europ Rech Electr Lab | Procede de protection contre l'inhibition non autorisee d'ecriture de certaines zones de memoire d'une carte a microprocesseur, et dispositif de mise en óoeuvre. |
| EP0449242A3 (en) * | 1990-03-28 | 1992-10-28 | National Semiconductor Corporation | Method and structure for providing computer security and virus prevention |
| JP2993158B2 (ja) * | 1990-04-05 | 1999-12-20 | 三菱電機株式会社 | 数値制御装置 |
| ES2047774T3 (es) * | 1990-07-20 | 1994-03-01 | Siemens Nixdorf Inf Syst | Procedimiento para impedir desviaciones inadmisibles del protocolo de desarrollo de una aplicacion en un sistema de intercambio de datos. |
| JPH04143881A (ja) * | 1990-10-05 | 1992-05-18 | Toshiba Corp | 相互認証方式 |
| US5326476A (en) | 1991-04-19 | 1994-07-05 | Althin Medical, Inc. | Method and apparatus for kidney dialysis using machine with programmable memory |
| WO1993007565A1 (en) * | 1991-10-01 | 1993-04-15 | Motorola, Inc. | Memory write protection method and apparatus |
| JP3329496B2 (ja) * | 1992-11-04 | 2002-09-30 | 富士通株式会社 | Icカード |
| US5493665A (en) * | 1992-12-21 | 1996-02-20 | Base 10 Systems, Inc. | Portable memory device and method of securing the integrity of stored data therein utilizing a starting address and a stored memory cycle number |
| EP0624851A1 (en) * | 1993-05-13 | 1994-11-17 | Angewandte Digital Elektronik GmbH | Coupler between the applications on the card level and the applications on the system level |
| BR9406850A (pt) | 1993-06-15 | 1997-05-27 | Celltrace Communications Ltd | Sistema de telecomunicaçoes |
| US5544246A (en) * | 1993-09-17 | 1996-08-06 | At&T Corp. | Smartcard adapted for a plurality of service providers and for remote installation of same |
| FR2713803B1 (fr) * | 1993-12-07 | 1996-01-12 | Gemplus Card Int | Carte à mémoire et procédé de fonctionnement. |
| US5578808A (en) * | 1993-12-22 | 1996-11-26 | Datamark Services, Inc. | Data card that can be used for transactions involving separate card issuers |
| ATE152539T1 (de) * | 1994-02-08 | 1997-05-15 | Belle Gate Invest Bv | Datenauswechselsystem mit tragbaren datenverarbeitungseinheiten |
| US5572441A (en) * | 1994-04-04 | 1996-11-05 | Lucent Technologies Inc. | Data connector for portable devices |
| US6019394A (en) * | 1994-04-28 | 2000-02-01 | Ncr Corporation | Multiple function interactive product label |
| JP3395863B2 (ja) * | 1994-08-10 | 2003-04-14 | 富士通株式会社 | ソフトウエア管理モジュール、ソフトウエア再生管理装置およびソフトウエア再生管理システム |
| JPH0855164A (ja) * | 1994-08-10 | 1996-02-27 | Fujitsu Ltd | ソフトウェア配送システム、中継装置およびユーザ端末装置 |
| JP3439838B2 (ja) * | 1994-08-10 | 2003-08-25 | 富士通株式会社 | ソフトウエア従量課金・再生装置 |
| JP3531978B2 (ja) * | 1994-08-10 | 2004-05-31 | 富士通株式会社 | ソフトウエアの課金方式 |
| JPH0855021A (ja) * | 1994-08-10 | 1996-02-27 | Fujitsu Ltd | 鍵認証方式 |
| JPH0856356A (ja) * | 1994-08-10 | 1996-02-27 | Fujitsu Ltd | 符号化装置および復号化装置 |
| JPH0854951A (ja) * | 1994-08-10 | 1996-02-27 | Fujitsu Ltd | ソフトウェア使用量管理装置 |
| JP3519134B2 (ja) * | 1994-08-10 | 2004-04-12 | 富士通株式会社 | ソフトウェア使用量測定装置およびマルチメディア情報出力装置 |
| MY125706A (en) | 1994-08-19 | 2006-08-30 | Thomson Consumer Electronics | High speed signal processing smart card |
| JPH0883232A (ja) * | 1994-09-09 | 1996-03-26 | Fujitsu Ltd | ファイルサーバシステム |
| JP3542088B2 (ja) * | 1994-09-09 | 2004-07-14 | 富士通株式会社 | データコンテンツ利用システム |
| JPH0877263A (ja) | 1994-09-09 | 1996-03-22 | Fujitsu Ltd | ソフトウェア処理装置 |
| JP3647907B2 (ja) * | 1994-09-09 | 2005-05-18 | 富士通株式会社 | 暗号化ソフトウェアの解凍システム |
| US5675627A (en) * | 1994-11-29 | 1997-10-07 | Lucent Technologies Inc. | Integrated pager and calling card |
| US6636970B2 (en) | 1995-02-14 | 2003-10-21 | Fujitsu Limited | Software encoding using a combination of two types of encoding and encoding type identification information |
| CA2211037A1 (en) | 1995-02-17 | 1996-08-22 | Europay International S.A. | Integrated circuit controlled transaction management system |
| JPH08272924A (ja) * | 1995-03-29 | 1996-10-18 | Mitsubishi Electric Corp | Icカード |
| JPH08287653A (ja) * | 1995-04-12 | 1996-11-01 | Fujitsu Ltd | 光記録媒体 |
| JPH08305662A (ja) * | 1995-05-02 | 1996-11-22 | Fujitsu Ltd | クライアント認証システムおよび方法 |
| DE19522527A1 (de) * | 1995-06-23 | 1997-01-02 | Ibm | Verfahren zur Vereinfachung der Kommunikation mit Chipkarten |
| JP3150575B2 (ja) * | 1995-07-18 | 2001-03-26 | 沖電気工業株式会社 | タグ装置及びその製造方法 |
| US6001211A (en) * | 1995-07-18 | 1999-12-14 | Oki Electric Industry Co., Ltd. | Method of producing a tag device with IC capacitively coupled to antenna |
| DK0757336T3 (da) * | 1995-08-04 | 2001-03-19 | Belle Gate Invest B V | Data-Udvekslings-System omfattende bærbare databehandlingsenheder |
| US6035037A (en) * | 1995-08-04 | 2000-03-07 | Thomson Electronic Consumers, Inc. | System for processing a video signal via series-connected high speed signal processing smart cards |
| US6385645B1 (en) | 1995-08-04 | 2002-05-07 | Belle Gate Investments B.V. | Data exchange system comprising portable data processing units |
| US5852290A (en) * | 1995-08-04 | 1998-12-22 | Thomson Consumer Electronics, Inc. | Smart-card based access control system with improved security |
| US5936542A (en) * | 1995-09-11 | 1999-08-10 | Nomadix, Llc | Convention ID badge system |
| JPH09106329A (ja) * | 1995-10-12 | 1997-04-22 | Mitsubishi Electric Corp | メモリカード |
| US6194992B1 (en) | 1997-04-24 | 2001-02-27 | Nomadix, Llc | Mobile web |
| DE19705301C1 (de) * | 1997-02-13 | 1998-10-01 | V W B Gmbh | Einrichtung zur berührungslosen Informations- und Energieübertragung |
| US6317832B1 (en) * | 1997-02-21 | 2001-11-13 | Mondex International Limited | Secure multiple application card system and process |
| US6575372B1 (en) | 1997-02-21 | 2003-06-10 | Mondex International Limited | Secure multi-application IC card system having selective loading and deleting capability |
| AU2204997A (en) * | 1997-03-12 | 1998-09-29 | Nomadix, Llc | Convention id badge system |
| US6488211B1 (en) * | 1997-05-15 | 2002-12-03 | Mondex International Limited | System and method for flexibly loading in IC card |
| US6385723B1 (en) | 1997-05-15 | 2002-05-07 | Mondex International Limited | Key transformation unit for an IC card |
| US6328217B1 (en) | 1997-05-15 | 2001-12-11 | Mondex International Limited | Integrated circuit card with application history list |
| US6220510B1 (en) | 1997-05-15 | 2001-04-24 | Mondex International Limited | Multi-application IC card with delegation feature |
| US6164549A (en) * | 1997-05-15 | 2000-12-26 | Mondex International Limited | IC card with shell feature |
| US6230267B1 (en) | 1997-05-15 | 2001-05-08 | Mondex International Limited | IC card transportation key set |
| US6736325B1 (en) | 1998-01-22 | 2004-05-18 | Mondex International Limited | Codelets |
| US6357665B1 (en) | 1998-01-22 | 2002-03-19 | Mondex International Limited | Configuration of IC card |
| FR2774195A1 (fr) * | 1998-01-27 | 1999-07-30 | Gemplus Card Int | Carte a microprocesseur comportant un circuit de communication cable |
| US6742120B1 (en) | 1998-02-03 | 2004-05-25 | Mondex International Limited | System and method for controlling access to computer code in an IC card |
| JP4798844B2 (ja) * | 1998-02-03 | 2011-10-19 | モンデックス インターナショナル リミテッド | Icカード内のコンピュータコードへのアクセスを制御するシステムおよび方法 |
| US6793143B2 (en) * | 1998-03-12 | 2004-09-21 | Giesecke & Devrient Gmbh | Data carrier |
| US6920468B1 (en) * | 1998-07-08 | 2005-07-19 | Ncr Corporation | Event occurrence detection method and apparatus |
| WO2000019699A1 (en) | 1998-09-29 | 2000-04-06 | Sun Microsystems, Inc. | Superposition of data over voice |
| US8266266B2 (en) | 1998-12-08 | 2012-09-11 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization, authentication and accounting |
| US7194554B1 (en) | 1998-12-08 | 2007-03-20 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization authentication and accounting |
| US8713641B1 (en) | 1998-12-08 | 2014-04-29 | Nomadix, Inc. | Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device |
| US6633984B2 (en) | 1999-01-22 | 2003-10-14 | Sun Microsystems, Inc. | Techniques for permitting access across a context barrier on a small footprint device using an entry point object |
| US6907608B1 (en) | 1999-01-22 | 2005-06-14 | Sun Microsystems, Inc. | Techniques for permitting access across a context barrier in a small footprint device using global data structures |
| US6922835B1 (en) | 1999-01-22 | 2005-07-26 | Sun Microsystems, Inc. | Techniques for permitting access across a context barrier on a small footprint device using run time environment privileges |
| US7093122B1 (en) | 1999-01-22 | 2006-08-15 | Sun Microsystems, Inc. | Techniques for permitting access across a context barrier in a small footprint device using shared object interfaces |
| US6823520B1 (en) | 1999-01-22 | 2004-11-23 | Sun Microsystems, Inc. | Techniques for implementing security on a small footprint device using a context barrier |
| US8068897B1 (en) | 1999-03-01 | 2011-11-29 | Gazdzinski Robert F | Endoscopic smart probe and method |
| US10973397B2 (en) | 1999-03-01 | 2021-04-13 | West View Research, Llc | Computerized information collection and processing apparatus |
| US7914442B1 (en) | 1999-03-01 | 2011-03-29 | Gazdzinski Robert F | Endoscopic smart probe and method |
| US8636648B2 (en) * | 1999-03-01 | 2014-01-28 | West View Research, Llc | Endoscopic smart probe |
| US6769053B1 (en) | 1999-06-10 | 2004-07-27 | Belle Gate Investment B.V. | Arrangement storing different versions of a set of data in separate memory areas and method for updating a set of data in a memory |
| JP2001056848A (ja) * | 1999-08-19 | 2001-02-27 | Nec Corp | Icコードのコマンド実行制御方法、icカード、icカードプログラムを記録した記録媒体 |
| US7178031B1 (en) * | 1999-11-08 | 2007-02-13 | International Business Machines Corporation | Wireless security access management for a portable data storage cartridge |
| WO2001040910A1 (en) | 1999-12-06 | 2001-06-07 | De Jong, Eduard, Karel | Computer arrangement using non-refreshed dram |
| ATE378679T1 (de) | 1999-12-07 | 2007-11-15 | Sun Microsystems Inc | Computerlesbares medium mit mikroprozessor zur lesesteuerung und computeranordnung zur kommunikation mit einem derartigen medium |
| KR100699236B1 (ko) | 1999-12-07 | 2007-03-27 | 선 마이크로시스템즈 인코포레이티드 | 안전 사진을 포함한 식별 장치, 이러한 식별 장치를인증하기 위한 수단 및 그 장치의 인증 방법 |
| AU764748B2 (en) * | 2000-02-25 | 2003-08-28 | Canon Kabushiki Kaisha | Customisable filter interface |
| AUPQ585100A0 (en) | 2000-02-25 | 2000-03-16 | Canon Kabushiki Kaisha | Customisable filter interface |
| US6612852B1 (en) | 2000-04-13 | 2003-09-02 | Molex Incorporated | Contactless interconnection system |
| US6362972B1 (en) | 2000-04-13 | 2002-03-26 | Molex Incorporated | Contactless interconnection system |
| JP2004510234A (ja) * | 2000-09-19 | 2004-04-02 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 選択手段を有するデータキャリア |
| US6700076B2 (en) * | 2000-09-28 | 2004-03-02 | Eic Corporation | Multi-layer interconnect module and method of interconnection |
| US7310734B2 (en) | 2001-02-01 | 2007-12-18 | 3M Innovative Properties Company | Method and system for securing a computer network and personal identification device used therein for controlling access to network components |
| US7079652B1 (en) * | 2001-05-01 | 2006-07-18 | Harris Scott C | Login renewal based on device surroundings |
| US6814285B1 (en) | 2001-07-13 | 2004-11-09 | Chip B. Stroup | Credit information storage and transferring device |
| US7822703B1 (en) * | 2001-12-31 | 2010-10-26 | Aol Llc | Automatic verification of a user |
| US7478248B2 (en) | 2002-11-27 | 2009-01-13 | M-Systems Flash Disk Pioneers, Ltd. | Apparatus and method for securing data on a portable storage device |
| EP1467565A1 (en) * | 2003-04-07 | 2004-10-13 | STMicroelectronics Limited | Integrated circuit for decryption of broadcast signals |
| JP4682498B2 (ja) * | 2003-04-09 | 2011-05-11 | ソニー株式会社 | 通信装置及び通信装置のメモリ管理方法 |
| JP4624732B2 (ja) * | 2003-07-16 | 2011-02-02 | パナソニック株式会社 | アクセス方法 |
| US20050261970A1 (en) * | 2004-05-21 | 2005-11-24 | Wayport, Inc. | Method for providing wireless services |
| US7523495B2 (en) * | 2006-04-19 | 2009-04-21 | Multos Limited | Methods and systems for IC card application loading |
| EP2026530A1 (en) | 2007-07-12 | 2009-02-18 | Wayport, Inc. | Device-specific authorization at distributed locations |
| US8695087B2 (en) * | 2008-04-04 | 2014-04-08 | Sandisk Il Ltd. | Access control for a memory device |
| US11610188B2 (en) | 2020-04-15 | 2023-03-21 | Capital One Services, Llc | Systems and methods for ATM integrated card fabricator |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3941977A (en) * | 1972-09-01 | 1976-03-02 | The Mosler Safe Company | Off-line cash dispenser and banking system |
| US3906460A (en) * | 1973-01-11 | 1975-09-16 | Halpern John Wolfgang | Proximity data transfer system with tamper proof portable data token |
| FR2304965A2 (fr) * | 1974-03-25 | 1976-10-15 | Innovation Ste Int | Procede et dispositif de commande electronique |
| DE2738113C2 (de) † | 1976-09-06 | 1998-07-16 | Gao Ges Automation Org | Vorrichtung zur Durchführung von Bearbeitungsvorgängen mit einem Identifikanden |
| FR2392447A1 (fr) * | 1977-05-26 | 1978-12-22 | Cii Honeywell Bull | Systeme de traitement d'informations protegeant le secret d'informations confidentielles |
| US4095739A (en) * | 1977-08-26 | 1978-06-20 | A-T-O Inc. | System for limiting access to security system program |
| FR2401459A1 (fr) † | 1977-08-26 | 1979-03-23 | Cii Honeywell Bull | Support d'information portatif muni d'un microprocesseur et d'une memoire morte programmable |
| CA1111567A (en) * | 1977-12-30 | 1981-10-27 | Paul E. Stuckert | Personal portable terminal for financial transactions |
| FR2471000B1 (fr) * | 1979-11-30 | 1985-06-28 | Dassault Electronique | Procede et dispositif de controle du nombre de tentatives d'acces a une memoire electronique, notamment celle d'un circuit integre d'un objet comme une carte de credit ou une carte d'achat |
| GB2092353B (en) * | 1981-01-30 | 1984-05-31 | Halpern John Wolfgang | Token |
| US4532507A (en) * | 1981-08-25 | 1985-07-30 | American District Telegraph Company | Security system with multiple levels of access |
| DE3318101A1 (de) † | 1983-05-18 | 1984-11-22 | Siemens AG, 1000 Berlin und 8000 München | Schaltungsanordung mit einem speicher und einer zugriffskontrolleinheit |
| JPS60160491A (ja) * | 1984-01-31 | 1985-08-22 | Toshiba Corp | Icカードとicカード発行装置 |
| JPS60176186A (ja) * | 1984-02-23 | 1985-09-10 | Omron Tateisi Electronics Co | Icカ−ドシステム |
| US4660168A (en) * | 1984-03-14 | 1987-04-21 | Grant Elwyn E | Apparatus for completing a customer initiated ATM transaction |
| JPH0614326B2 (ja) * | 1984-03-31 | 1994-02-23 | 株式会社東芝 | Icカ−ド |
| DE3412663A1 (de) * | 1984-04-04 | 1985-10-17 | Siemens AG, 1000 Berlin und 8000 München | Chipkartensystem |
| US4650975A (en) * | 1984-08-30 | 1987-03-17 | Casio Computer Co., Ltd. | IC card and an identification system thereof |
| US4692604A (en) * | 1984-10-25 | 1987-09-08 | American Telephone And Telegraph Company, At&T Bell Laboratories | Flexible inductor |
| JPS61177585A (ja) * | 1985-02-04 | 1986-08-09 | Toshiba Corp | 携帯用電子装置密封体 |
| US4795898A (en) † | 1986-04-28 | 1989-01-03 | American Telephone And Telegraph Company | Personal memory card having a contactless interface using differential data transfer |
-
1986
- 1986-05-16 US US06/863,973 patent/US4816654A/en not_active Expired - Lifetime
-
1987
- 1987-04-20 KR KR1019880700037A patent/KR910009297B1/ko not_active IP Right Cessation
- 1987-04-20 JP JP62502799A patent/JP2795435B2/ja not_active Expired - Lifetime
- 1987-04-20 EP EP87903155A patent/EP0268615B2/en not_active Expired - Lifetime
- 1987-04-20 WO PCT/US1987/000912 patent/WO1987007062A1/en active IP Right Grant
- 1987-04-20 DE DE3780002T patent/DE3780002T3/de not_active Expired - Lifetime
- 1987-04-20 AT AT87903155T patent/ATE77706T1/de not_active IP Right Cessation
- 1987-04-29 CA CA000535967A patent/CA1293325C/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| EP0268615A1 (en) | 1988-06-01 |
| JPH01500379A (ja) | 1989-02-09 |
| DE3780002T3 (de) | 2000-11-23 |
| EP0268615B2 (en) | 2000-07-26 |
| DE3780002D1 (de) | 1992-07-30 |
| CA1293325C (en) | 1991-12-17 |
| DE3780002T2 (de) | 1993-01-28 |
| KR910009297B1 (ko) | 1991-11-09 |
| KR880701422A (ko) | 1988-07-27 |
| EP0268615B1 (en) | 1992-06-24 |
| WO1987007062A1 (en) | 1987-11-19 |
| ATE77706T1 (de) | 1992-07-15 |
| US4816654A (en) | 1989-03-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2795435B2 (ja) | ポータブルデータキャリヤのためのシステム | |
| EP0267259B1 (en) | Security file system for a portable data carrier | |
| JP2661930B2 (ja) | 複数のアプリケーションファイルをもつポータブルデータキャリヤのための装置 | |
| AU681754B2 (en) | Data exchange system comprising portable data processing units | |
| US6041412A (en) | Apparatus and method for providing access to secured data or area | |
| JPH08506915A (ja) | 複数のマイクロプロセッサ間でアプリケーション・データおよび手続きを共用するための安全なアプリケーション・カード | |
| PT757336E (pt) | Sistema de intercambio de dados que inclui unidades portateis de processamento de dados | |
| JPS63788A (ja) | Icカード | |
| JP4240851B2 (ja) | 暗証コード識別装置及び暗証コード識別方法 | |
| JPH09265254A (ja) | 情報記憶媒体の相互認証システム | |
| JPH025158A (ja) | 拡張icカード及びそのアクセス法 | |
| JP2532063B2 (ja) | Icカ−ド | |
| EP1128342B1 (en) | System for providing access to secured data | |
| JP3231466B2 (ja) | キーを記憶した情報記録媒体 | |
| JPH06309531A (ja) | Icカードに与える命令フォーマットのチェック方法 | |
| JP2609645B2 (ja) | 携帯可能電子装置 | |
| JP2505003B2 (ja) | 補助記憶を持つicカ―ド | |
| KR100238416B1 (ko) | 스마트카드의 단계별 운용방법 | |
| JPS6376035A (ja) | Icカ−ド | |
| JPS63278188A (ja) | Icカ−ド装置 | |
| JPH01181181A (ja) | Icカード | |
| JPS6337468A (ja) | 親子カ−ド方式 | |
| JPS63244192A (ja) | Icカ−ド装置 | |
| JP2000163532A (ja) | 指紋登録装置及びicカード | |
| JPH01166280A (ja) | 携帯可能電子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |