JP3555796B2 - Icカード、情報処理端末、および情報通信システム - Google Patents

Icカード、情報処理端末、および情報通信システム Download PDF

Info

Publication number
JP3555796B2
JP3555796B2 JP00437196A JP437196A JP3555796B2 JP 3555796 B2 JP3555796 B2 JP 3555796B2 JP 00437196 A JP00437196 A JP 00437196A JP 437196 A JP437196 A JP 437196A JP 3555796 B2 JP3555796 B2 JP 3555796B2
Authority
JP
Japan
Prior art keywords
card
message
information
fraud
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP00437196A
Other languages
English (en)
Other versions
JPH09193577A (ja
Inventor
知之 星川
俊温 家木
俊彦 森本
公博 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP00437196A priority Critical patent/JP3555796B2/ja
Publication of JPH09193577A publication Critical patent/JPH09193577A/ja
Application granted granted Critical
Publication of JP3555796B2 publication Critical patent/JP3555796B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Credit Cards Or The Like (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、ICカードを利用した情報通信システムに係り、特にICカードを通じて行われる不正操作への対策制御技術に関する。
【0002】
【従来の技術】
従来より、ネットワークにより上位情報処理端末(上位装置、以下、センタと称する)と下位情報処理端末(下位装置、以下、単に端末と称する)とを接続して情報の授受を行う情報通信システムが、種々の産業界において開発され、利用されている。一般に、この種の情報通信システムでは、センタから多数の端末の動作を常時監視あるいは制御するオンライン方式と、センタと端末との間で、監視項目のデータ,監視結果,評価データ等の監視情報、あるいは監視プログラムを定期的に授受することで、基本的に端末側だけで動作の監視あるいは制御するオフライン方式とが採用されている。
このような情報通信システムにおいては、運用上のセキュリティの確保や、不正操作に対する管理体制の強化が重要な課題となっている。この対応策として、従来よりICカードの利用が有効であると考えられている。すなわち、ICカードにユーザID情報や暗号鍵等の送受信機能を持たせ、このICカードを端末に装着したときにユーザID情報等の認証を行い、正当であることが確認できたときにのみシステムの利用を可能とする。
【0003】
【発明が解決しようとする課題】
上記のようにICカードを利用する情報通信システムにおいては、暗号化/復号化、認証手段などのセキュリティが施されているが、暗号鍵や認証手順などが知られてしまうと、容易に不正操作が行われてしまう。特に、オフラインの状態でICカードに対して種々の不正操作の試みがなされ、ICカード自身に改ざんが施された場合、ICカードの認証を行う端末、あるいはこの端末に接続されたセンタ側では、不正操作の状況やICカードのセキュリティがどこまで破られたかを知ることができない問題があった。
【0004】
また、センタ側で端末の監視を常時オンラインで行うか、時間や処理回数等を基準に定期的に監視情報を交換するようにして端末側でオフラインの状態で監視するかは、システム構築時にしか選択することができない。そのため、この種の情報通信システムでは、センタに設けられるホストコンピュータ(以下、ホスト)と端末との間の通信を減らして効率的に端末の動作監視を行ったり、ホストでのリアルタイムな動作監視を行ったりすることなどを、運用中に変更することができなかった。
【0005】
本発明の主たる課題は、ICカードを用いた情報通信システムにおいて、オフラインで行われた不正操作の状況やICカードのセキュリティが破られた過程を検知することができ、不正操作を検知したときは速やかに対策制御処理を行って、不正操作に起因する被害を最小限に抑える技術を提供することにある。
本発明の他の課題は、ICカードを利用する端末とホストとを結んで構成される情報通信システムにおいて、稼働状況に応じて端末の運用形態をリアルタイムに変更できるようにすることにある。
【0006】
【課題を解決するための手段】
上記の主たる課題を解決するため、本発明は、まず、不正操作ないし不正操作の可能性を検知し得る機能を備えたICカードを提供する。
第1構成のICカードは、情報処理端末から送られる電文が正常か否かを判定する手段と、前記電文が異常で且つ該異常が不正操作に基づくと判定した場合に、操作者が判らないような見せかけの偽電文を前記判定の度に生成して前記情報処理端末に返信する手段と、前記生成した偽電文の返信情報を蓄積する手段と、を有することを特徴とする。
【0007】
また、第2構成のICカードは、情報処理端末から送られる電文が正常か否かを判定する手段と、前記電文が異常で且つ該異常が不明の場合に、その旨を表す対応電文を生成して前記情報処理端末に返信する手段と、前記生成した対応電文の返信情報を蓄積する手段と、を有することを特徴とする。
上記偽電文または対応電文を返信する場合、受信した情報処理端末側では直ちに必要な対策制御処理を行ってもよく、そのまま自端末の運用を継続させておいて、必要な時点で対策制御処理を行うようにしてもよい。
【0008】
本発明は、また、前述の情報通信システムの下位装置としての利用に適した情報処理端末を提供する。この情報処理端末は、装着されるICカードとの間で電文の送受を行う手段と、前記ICカードから送られる電文が正常か否かを判定する手段と、前記電文が異常で且つ前記ICカードに対する不正操作ないし不正操作の可能性があると判定した場合に、前記ICカードに正常時と異なる電文を生成して返信する手段と、前記生成した電文の返信情報を蓄積する手段と、を有することを特徴とする。
【0009】
他の形態の情報処理端末として、前記自端末に蓄積した返信情報または上記本発明のICカードより取得した返信情報から前記ICカードを通じて行われた不正操作ないし不正操作の可能性を検知する不正検知手段と、この不正検知手段が不正操作ないし不正操作の可能性を検知したときに予め検知内容毎に定めた対策制御処理を実行する不正対策処理手段と、を備える構成も可能である。
このような構成において、不正対策処理手段は、前記不正検知手段で検知した不正の状況に応じて対策制御処理の内容を動的に更新することができるように構成することが好ましい。
【0010】
本発明は、さらに、ICカードと情報処理端末とを利用した、改良された情報通信システムを提供する。この情報通信システムは、上位情報処理端末(上位装置)と、オンラインまたはオフラインで上位装置に接続される下位情報処理端末(下位装置)と、下位装置との間で電文の送受を行うICカードとから成る。
下位装置には、前記ICカードのアクセスに起因する異常現象の出現率と該ICカードのアクセス状況とを含む監視情報を蓄積する手段を備える。
また、上位装置には、前記下位装置から前記監視情報を取得する手段と、前記取得した監視情報に基づき前記ICカードまたは下位装置に対する不正操作ないし不正操作の可能性を検知する不正検知手段と、前記不正検出手段が不正操作ないし不正操作の可能性を検知したときに予め不正内容毎に定めた対策制御処理を実行する不正対策処理手段と、を備える。ここにいう監視情報とは、ICカードのアクセスに起因して生じる、システムの安全性の程度を表す情報をいう。必要に応じて上述の各返信情報を含ませることができる。
このような情報通信システムにおいて、前記不正検知手段は、前記ICカードのアクセス時における異常現象の出現率と接続状況とを計測することで前記不正を検知し、前記不正対策処理手段は、前記不正検知手段で検知した不正の状況に応じて前記対策制御処理の内容を動的に更新するように構成することが好ましい。
【0011】
【発明の実施の形態】
以下、図面を参照して本発明の実施の形態を詳細に説明する。
本発明の一実施形態による情報通信システムの全体構成例を図1に示す。
図1を参照すると、上位装置として機能するセンタは、ホストコンピュータ(以下、単にホストと称する)11を備えている。ホスト11には、通信回線21を通じて、複数のサイト(ビル、店舗などの単位の総称、以下同じ)内のサイト内制御装置31が接続されている。各サイト内制御装置31には、LAN(ローカルエリアネットワーク)等を通じて、多数の下位装置である端末(図1では端末Aを代表して示す)41が接続されている。端末41は、ICカード51によってアクセス(データその他の情報の書込/読出、以下同じ)可能となっている。
【0012】
ホスト11は、サイト内制御装置31や各端末41の動作、不正発生状況等を収集して管理者に知らせ、管理者からの指示により必要な対策、管理限界値等の変更等の処理を行う端末監視処理装置111と、ブラックリストの作成/参照、詳細なチェック機能、ホストキー照合等を行うオンライン処理装置112と、端末毎の動作,不正発生の内容や回数,それぞれの不正内容への対策制御処理,管理限界値をまとめた危機管理表113aを格納する危機管理表格納部113と、サイト内制御装置31や端末41との通信を行うための通信装置114とを備えている。危機管理表113aには、後述の端末41の危機管理表433aと対応した設定情報が格納されている。
【0013】
サイト内制御装置31は、例えば電子現金情報を扱う場合のカードマスタ情報(ID、利用残高、その他の管理情報)を格納するカードマスタ情報格納部311や、カードマスタ情報の読み出し、あるいは書き込みを制御する手段(図示省略)が備えられている。
【0014】
端末41は、サイト内制御装置31やホスト11と通信を行うための通信装置42と、データの正当性確認、データ照合、取引傾向の集計、不正発生状況の集計、動作時間の測定のほか、ICカード51を通じて行われる不正操作その他の異常処理状態を検出して必要な対策制御処理を実行する主制御装置43と、操作者が入力するデータを入力するとともに主制御装置43の処理結果を出力する入出力装置44と、ICカード51を離脱自在に装着するとともに、カード情報の読み書きを行うカードリーダライタ45と、警報ブザー46とを備えて構成される。
【0015】
図2に、主制御装置43の詳細なブロック構成例を示す。
主制御装置43は、装置全体の制御を統括する主制御部431と、危機管理表格納部433に格納された危機管理表433aに基づいて必要な対策制御処理を行う対策制御処理部432とを備えて、不正対策処理手段を実現している。
危機管理表433aは、対策制御処理部432が認識可能なテーブル形式の構造を有し、自端末についての不正発生の内容やその回数,各不正内容への対策制御処理,管理限界値とその統計値の情報が格納されている。
【0016】
主制御部431は、サイト内制御装置31のカードマスタ情報格納部311との間で所要の情報を交換し合い、あるいはICカード51からのメモリ情報を読み取り、それにより得た情報を危機管理表433aに書き込む。また、ホスト11からの要求に応じて危機管理表433aを更新する。この更新は、オンライン中、あるいはオフラインのいずれの場合も可能になっている。つまり、実行中の対策制御処理の部分の更新が動的に可能になっている。
対策制御処理の内容としては、例えばICカード51とホスト11とを直接結ぶ完全オンライン処理の要求、統計値の報告要求、カードを排出しない、警告を鳴らす、データを受けない等の処理がある。
対策制御処理部432は、統計値の報告要求の際には、各項目の統計値をホスト11の端末監視処理装置111に送る。また、オンライン処理要求の際には、カードリーダライタ45とホスト11のオンライン処理装置112とを接続し、ICカード51との情報の授受がホスト11により直接に制御されるようにする。
【0017】
主制御部431と対策制御処理部432には、デバイス管理部434を介して通信制御部435,カード制御部436,および警報制御部437が接続されている。デバイス管理部434は、対策制御処理部432が必要な処理を実行する際に、デバイスのアドレス割当等を行うものである。このアドレス割当等を受けて、通信制御部435は通信装置42を制御し、カード制御部436はカードリーダライタ45のカード装着/離脱機構やカード情報のアクセスを制御し、警報制御部437はカードリーダライタ45,警報ブザー46の制御を行う。
【0018】
主制御装置43は、また、カウンタ処理部438、カウンタ格納部439、不正検知部440、および動作時間間隔等を計測するための時間計測部(タイマおよびその附属装置)441を備えている。
カウンタ処理部438は、不正発生回数を集計する第1カウンタAと,不正操作の可能性のある回数を集計する第2カウンタBを備えており、それぞれのカウンタ値をカウンタ格納部439のテーブル439bに格納する。カウンタ格納部439は、例えばEEPROM(書換可能なROM)で構成され、取引データがあるときはそれを格納する取引データ格納部439aが形成される。なお、カウンタ格納部439は、ホスト11が任意の時点でその内容を参照可能なように構成されている。
【0019】
不正検知部440は、ICカード51の正当性を確認するための認証処理部440aと、不正検知に必要な演算処理を行う演算処理部440bとから構成されている。不正検知処理については後述する。
【0020】
以上の構成の端末41において利用されるICカード51の詳細ブロック構成を図3に示す。
この種のICカードは、一般にCPU、ROM、RAM、EEPROMを備えている。そこで、本実施形態は、図3に示すように、CPU512に、通信制御部512a、実行制御部512b、数値演算処理部512cを形成し、ROM513に、処理プログラム格納部513a、カウンタ処理部513b、認証処理部513cを形成する。
カウンタ処理部513bは、不正発生回数を計測する第1カウンタA、および不正操作の可能性のある回数を計測する第2カウンタBの機能を備えている。EEPROM514には、端末41が備えるものと同一内容のカウンタ格納部514を形成しておく。RAM515はワークエリア515aとして用いる。なお、CPU512には、外部インタフェース511が接続される。
【0021】
本実施形態では、上記構成のICカード51を通じて端末41の不正操作ないし不正操作の可能性があることを検知する不正検知機能をICカード51自体にも持たせる。この不正検知機能の概要を、端末41との間で電文を送受信する場合の実行制御部512bでの処理手順例を示す図4、および電文の流れを示した図5にしたがって説明する。
【0022】
図4を参照すると、まず、電文番号であるn=1を設定して(ステップ(以下、S)1)、電文nの受信待ちとする(S2)。電文nが受信されたか否かを判断し(S3)、受信された場合には(S3:Yes)、第2カウンタB−(nー1) をカウントダウンして(S4)、誤り訂正符号をチェックする(S5)。誤り訂正符号が正しければ(S5:OK)、電文の正当性をチェックする(S6)。正当ならば(S6:OK)、正しいレスポンス電文nを作成し(S7)、そのレスポンス電文nを相手方に送信する(S8)。図5(a)はこの様子を示すものである。その後、その電文nについての通信が終了したか否かを判断し(S9)、通信終了ならば(S9:Yes)、そのまま処理を終了する。
【0023】
上記S3の処理において、電文nが受信されない場合には(S3:No)、電文nの受信待ちがタイムアウトか否かを判断し(S10)、タイムアウトでなければ(S10:No)、S2の処理に戻り、タイムアウトであれば(S10:Yes)タイムアウトに対応した電文nを作成し(S11)、S8の処理に移行する。また、上記S5において、誤り訂正符号に誤りがあった場合には(S5:NG)、伝送エラーに対応した電文nを作成して(S12)、S8に移行する。図5(b),(d)は、この様子を示すものである。
【0024】
一方、上記S6の処理において、電文nが正当でない場合には、第1カウンタA−nをカウントアップするとともに(S13)、操作者が判らないような見せかけの偽電文を作成して(S14)、S8に移行する。この偽電文は電文毎に異なるものとする。図5(c)は、この様子を示すものである。
また、上記S9において、通信終了でない場合には(S9:No)、図5(d)に示すように第2カウンタB−nをカウントアップするとともに(S15)、電文番号をn=n+1として(S16)、S2の処理に戻る。
【0025】
以上のように、上記S6の処理では、暗号化・復号化・電子署名を用いた認証技術、コマンド/レスポンスのフォーマットチェックなどにより電文の正当性をチェックする。そして、正当でないと判断した場合には第1カウンタAをカウントアップし、見せかけの偽電文を作成して送信する。正当な場合は正当なレスポンス電文を作成し、送信する。後続電文を受信する予定がある場合は、第2カウンタBをカウントアップしておいて、受信待ちする。次の電文を受信した場合は、カウンタBがカウントダウンして元に戻るが、不正や伝送エラーにより次の電文が待ち時間内に受信できなかった場合は、第2カウンタBはカウントアップされたままの状態となり、決められた伝送手順に従って、電文を送信する。不正操作を検知した場合にも正常な場合と同じ回数だけ電文のやりとりを続けて行う。また、偽電文は毎回異なるものにする。これにより、操作者に気づかれずに、不正操作による伝送エラーの場合には第1カウンタA、不正操作でも伝送エラーでも起こり得るエラー(不正操作の可能性がある)の場合には第2カウンタBをカウントアップしてカウンタ格納部514に蓄積することができる。
【0026】
ICカード51の実行制御部512bは、また、端末41と通信を行うときに、カウンタ格納部514の蓄積情報を端末41のカウンタ格納部439に送信する機能を有する。これにより端末41では、図6に示すように、ICカード51側の電文番号に対応するカウンタ値Aーn,B−nと同一のカウンタ値A’ーn,B’−nをカウンタ格納部439に蓄積することができる。これにより、端末41において、ICカード51に対して行われた不正操作、ないし異常が発生した状況を知ることができ、必要な対策制御処理を行うことができる。これは、ICカード51を通じて端末41に不正アクセスを行おうとする者(以下、攻撃者)がどこまでアクセスに成功したかという情報を知ることができないうちに、端末41側で必要な対策を採り得ることを意味する。また、攻撃者にとって完全に不正アクセスを成功させることが著しく困難になることを意味する。
【0027】
次に、上記ICカード51、端末41、サイト内制御装置31、およびホスト11を接続した場合のシステム運用例を具体的に説明する。
【0028】
通常、端末41は、ICカード51が利用されたとき、上述のように、端末41のカウンタ格納部439内に、不正発生(不正操作)ないし不正発生の可能性がある状況を蓄積し、所定の時間帯や不正回数のうちはホスト11と通信し、情報交換を行う「集計処理モード」、すなわちオフラインで動作する。しかし、「不正の発生状況が異常」と判断した場合には、ホスト11とカードリーダライタ45とを接続して、ホスト11が直接ICカード51のチェックを行う「オンラインモード」に切り換える。また、利用されたカード51が不正(不正操作がある)、または利用状況が不正と判断された場合には利用の制限を行う。これらの制御処理は、端末41内の危機管理表433aに基づいて対策制御処理部432が自動実行する。
【0029】
ここで用いる端末41の危機管理表433aの一例を図7に示す。
この危機管理表433aは、電子現金、プリペイド、電子小切手等の額面をデータとして、これらのデータを扱う情報通信システムを想定した場合の例である。ここでは、管理項目毎に管理限界値を持ち、管理限界値に対応して対策制御処理の内容が設定される。管理項目としては以下のようなものを設定する。
【0030】
(データ利用間隔)
データ利用間隔tを管理項目とする。システムの性質上、ある時間間隔を超えるように利用が考えられない場合、その時間間隔を管理限界値とする。この場合の対策制御処理部432が実行する内容としては、管理限界値を超える利用間隔であることを検知したとき、次のデータ利用を不可能にしてサービスを行わない、あるいは利用データ量に制限を加えるようにする。これにより、暗号化/復号化、認証などによって検知できなかった不正操作による損害を格段に低減させることができる。
【0031】
(データID、カードID)
データ毎にID情報が付されている場合、またはICカード51毎にID情報が付されている場合に、これらID情報を管理項目として設定する。対策制御処理部432は、特定のID情報が付されたデータやICカード51に正当なものと不正なものがあることが判っている場合、カードリーダライタ45に装着されたICカードを排出しないようにする。あるいは、不正なデータやICカード、取引、年月日に対する処理を再現しないようにする。これにより、システム運用の安全性が低下することを防ぐことができる。
【0032】
(センタと通信不可(オフライン)時のデータ利用量)
センタ(ホスト11)との通信不可時に利用されるデータ量cを管理項目とする。センタでのみ検出できる不正や移動動作がある場合に設定する。通常は無条件で利用可能とする。対策制御処理部432は、この値が、ある値(c=1,000)以上では当日に同じサイトで発行・提供されたデータのように、信頼性の高いデータのみ利用できるようし、より厳しい値(c=10,000)以上になった場合にはデータ利用動作を停止させる。これにより、オフライン時に検出できない不正操作による損害を低減することができる。
【0033】
(不正検知カウンタ、不正らしさ検知カウンタ)
ICカード51や端末41の不正検知カウンタ(第1カウンタA)、不正らしさカウンタ(第2カウンタB)をそれぞれ管理項目とする。通常は無条件で利用可能とする。対策制御処理部432は、カウンタ値が各管理限界値以上の場合、管理限界値の大きさに対応した対策制御処理を行う。つまり、管理限界値が厳しくなるに応じて、使用履歴管理と利用制限を厳しくする。この場合の対策制御処理の具体例として以下のようなものが挙げられる。
(1)端末41内にIDとカウンタ値を蓄積するとともに、蓄積情報を一定のタイミングでサイト内制御装置31に送信する。
(2)ICカード51の利用時にサイト内制御装置31に所要データを送信する。
(3)操作者が利用できるサービスを制限する。
(4)ICカード51をロックし、ホスト11にカードIDを送信する。
これにより不正状況の情報を上位装置に必要最低限だけ送ることができ、通信量の節減を図ることができる。
【0034】
(カードマスタ検索時のデータ利用量)
ICカード51を電子財布として使用し、その利用残高や管理情報を含むカードマスタ情報を同サイトや他サイトのサイト内制御装置から検索する場合、検索を行っている時間内のデータ利用量を管理項目とする。
対策制御処理部432は、データ利用量が管理限界値以上の場合、そのカードアクセスを停止させる。これにより、カードマスタ情報を参照する時間が長い場合でも、不正による損害を一定に抑えて、サービスを停止せずに運用することができる。
【0035】
対策制御処理部432が行う上記処理の概略的な流れを図8に示す。
動作間隔を管理項目としている場合は、動作を行う前に時間計測部441で計測した時刻を読み出し(S21)、前の処理との動作間隔を算出する(S22)。続いて、通信ないしカードアクセスを行った後(S23)、集計処理モード(オフライン)か否かを判断する(S24)。
集計処理モードの場合(S24:Yes)は、装置内の危機管理表433aに従って処理を行う。集計処理モードでない場合(S24:No)にはオンラインモードで動作し、ホスト11の指示に従って処理を行う。
【0036】
集計処理モードの場合は、管理項目kに1を代入し(S25)、計測値・統計値Ckの収集・算出を行う(S26)。次に、限界値の数iを設定し(S27)、上記Ckの値と管理限界値Lkiとを比較する(S28)。Ck <Lkiならば、iが1か否かを判断し(S29)、i=1ならば、kの値が管理項目数kに等しいか否かを判断する(S30)。等しければそのモードの処理を終了する。
一方、S28の処理において、Ck ≧Lkiならば、対策(ki)を実行し(S31)、S29の処理において、i=1でなければi=i−1として(S32)、S28の処理に戻る。S30において、kが管理項目数kに達していない場合は、k=k+1として(S33)、S26の処理に戻る。
【0037】
すなわち、集計処理モードでは、通信動作あるいはカードアクセスによって得られた情報や前の処理との時間間隔等から、各管理項目に従って「統計値・計測値」を算出する。次に「統計値・計測値」を管理限界値と比較し、「管理限界値」以上の場合には対応する「対策制御処理」を行う。複数の管理限界値がある場合には、条件を満たす最も厳しい管理限界値に対応する「対策制御処理」を行う。全ての管理項目に対し管理限界値との比較を行い、そのモードを終了する。
【0038】
一方、オンラインモードの場合は、ホスト11にカードアクセスにより得た情報を送信する(S34)。そして、ホスト11からの返信情報を受信し(S35)、その返信情報に含まれる指示に従ってサービス実施や動作停止等の処理を実行して(S36)、そのモードを終了する。
【0039】
このように、端末41に危機管理表433aを備えることで不正操作ないし不正操作の可能性がある場合に、端末41が、主導的に、あるいはホスト11からの指示を受けて直ちに必要な対策制御処理を施すことが可能になる。また、端末41における現在の監視情報、例えばカウンタ格納部439に蓄積されている情報等をホスト11が随時収集することで、システム全体の安全性がどこまで低下したかを知ることができ、システム更新の時期や次の対策の指標を得ることができる。また、収集した監視情報に基づき危機管理表433aの内容を随時更新することで、不正操作に基づくサービス実施その他の処理を未然に防止することができ、安全にシステムを維持することができる。
【0040】
なお、以上は、危機管理表を端末41に備えた場合の例であるが、ホスト11、サイト内制御装置31、端末41に各々自端末固有の危機管理表を持たせることが好ましい。特に、システムが階層構造の場合、各階層毎に危機管理表を備えることが好ましい。
【0041】
図9に、ホスト11−サイト内制御装置31−端末41の3階層に、各目的に応じた危機管理表を備える例を示す。この場合、ホスト11およびサイト内制御装置31は、端末41における対策制御処理部432と同様のデータ処理手段を備えている。
【0042】
ホスト用危機管理表は、例えば、通信不可時の処理・対策、サイト間の使用データの管理、システム全体のデータ量の把握・管理(出力−入力)、システム全体の不正状況の管理、管理者への通知管理を目的とする。
サイト内制御装置用危機管理表は、例えば、通信不可時の処理・対策、サイト内でのデータ量の管理・把握(出力−入力)、入出力の傾向管理、サイト内の不正状況の管理、センタへの通知管理を目的とする。
端末用危機管理表は、図7に示したような管理項目、対策・処理を設定する。
【0043】
このような目的で備えられるサイト内制御装置31内の危機管理表では、ホスト11との通信不可時に利用されたデータの量や、通常時のサイト内のデータ量、不正の傾向が管理項目となる。通常時のサイト内のデータ量としては、下記計算式に示される、発行・提供したデータ(出力データ)と利用されたデータ(入力データ)の差・割合や、利用されたデータにおける「他サイトで発行・提供したデータ」の量・割合が管理される。この場合の対策制御処理としては、ホスト11への通知や、利用データの制限、利用可能な装置の制限が挙げられる。
(計算式)
<出力データと入力データの差>=(出力データ)−(入力データ)
<出力データと入力データの割合>=(出力データ)/(入力データ)
<他サイト発行・提供データの割合>=(他サイト出力データ)/(入力データ)
【0044】
ホスト11内の危機管理表では、サイト間のデータの移動量や、システム全体における出力データと入力データの差・割合、不正発生回数、サイト内制御装置31との通信不可時の不正発生回数、通信不正時間が管理項目となる。この場合の対策制御処理としては、管理者への通知、利用データの制限、サイト内制御装置31や端末41内の危機管理表の更新等が挙げられる。
【0045】
このように、本実施形態の情報通信システムでは、暗号方法の変更等のシステム更新時期の指標を容易且つ少ない負荷で得ることができる。しかも、高いセキュリティを維持できることから、電子現金等の財貨を扱うシステムを安全に構築することができる。また、大規模なシステムで細かな危機管理を行いたい場合に、該危機管理に必要な負荷を分散させ、利用に要する時間を短縮できる点で有効となる。
【0046】
【発明の効果】
以上詳述したように、本発明によれば、オフラインでICカードに不正操作がなされた場合であっても、それを利用する情報処理端末あるいは上位装置で不正操作の状況を確実に収集することができる効果がある。また、不正操作を検知した場合には、ICカードが攻撃者が判らないような偽電文を送るため、複数の電文をやりとりする処理では、攻撃者に対して必要な情報を与えることがない。よって、全ての暗号鍵や認証処理の手順を完全に知られない限り、セキュリティを破られにくく、高いセキュリティを確保できる効果がある。
【0047】
さらに、不正操作と断定できない異常動作については、監視情報に基づいて詳細な状況を得ることができ、不正操作や不正操作らしい動作の検知・対策制御処理によるセンタの負荷も少なく、不正操作と断定できない不正操作が発生した場合にも、損害を抑えることができる効果がある。
【0048】
加えて、必要時だけオンラインチェックに切り換わるようにすることができるため、安全性を高めた場合にも回線使用のコストを削減できる効果がある。また、回線の不具合でホスト等と通信できなくなった場合に、情報処理端末を動作させ続けても、不正に基づく損害を抑えることができる。
【0049】
さらに、危機管理表の内容を運用中に動的に更新することにより、システム設計時に予測されなかった不正状況が発生しても、それに起因する損害を削減できるという効果がある。
【図面の簡単な説明】
【図1】本発明の一実施形態に係る情報通信システムの全体構成を示すブロック図。
【図2】この実施形態による端末の詳細ブロック構成図。
【図3】この実施形態によるICカードの内部ブロック構成図。
【図4】ICカードにおける、不正ないし不正らしき電文の検知・対策・発生状況の収集の手順を示すフローチャート。
【図5】ICカードに不正検知機能をもたせる場合の、端末間の電文の流れを示す図。
【図6】端末とICカードに備えられるカウンタ格納部の関係説明図。
【図7】この実施形態における危機管理表の一例を示す説明図。
【図8】危機管理表を用いた端末装置での対策制御処理の手順説明図。
【図9】ホスト−サイト内制御装置−端末の3階層に危機管理表を備えた情報通信システムの接続状態説明図。
【符号の説明】
11 ホストコンピュータ
111 端末監視処理装置
112 オンライン処理装置
113 危機管理表格納部
113a ホストの危機管理表
21 通信回線
31 サイト内制御装置
41 端末(情報処理端末)
43 主制御装置
431 主制御部
432 対策制御処理部
433 危機管理表格納部
433a 危機管理表
434 デバイス管理部
435 通信制御部
436 カード制御部
437 警報制御部
438 カウンタ処理部
439 カウンタ格納部
440 不正検知部
441 時間計測部
51 ICカード
512 ICカードのCPU
512b 実行制御部
513 ICカードのROM
513b カウンタ処理部
514 ICカードのEEPROM内に構成されるカウンタ格納部
515 ICカードのRAM

Claims (7)

  1. 情報処理端末との間で電文の送受を行うICカードであって、前記情報処理端末から送られる電文が正常か否かを判定する手段と、
    前記電文が不正であると判断された場合に、操作者が判らないような見せかけの偽電文を前記判定の度に生成して前記情報処理端末に返信する手段と、
    前記不正の発生回数を計測して蓄積する手段と、を有することを特徴とするICカード。
  2. 情報処理端末との間で電文の送受を行うICカードであって、不正操作でも伝送エラーでも起こりえるエラーが生じた場合に、その旨を表す対応電文を生成して前記情報処理端末に返信する手段と、
    前記不正操作でも伝送エラーでも起こりえるエラーの発生回数を蓄積する手段と、
    を有することを特徴とするICカード。
  3. 装着されるICカードとの間で電文の送受を行う手段と、
    前記ICカードから送られる電文が正常か否かを判定する手段と、
    前記電文が不正であると判断された場合、ないし不正操作でも伝送エラーでも起こりえるエラーが生じた場合に、それぞれ電文を生成して返信する手段と、
    前記不正の発生回数と不正操作でも伝送エラーでも起こりえるエラーの発生回数とを蓄積する手段と、
    を有することを特徴とする情報処理端末。
  4. 請求項1記載のICカードに蓄積された偽電文の返信情報と請求項2記載のICカードに蓄積された対応電文の返信情報の少なくとも一方を取得する手段と、
    前記自端末に蓄積した返信情報または前記ICカードより取得した返信情報から、前記電文が正常でないことを検知するかまたは不正操作でも伝送エラーでも起こりえるエラーを検知する不正検知手段と、
    この不正検知手段で電文が正常でないことを検知したときまたは不正操作でも伝送エラーでも起こりえるエラーを検知したときに予め検知内容毎に定めた対策制御処理を実行する不正対策処理手段と、
    を有することを特徴とする請求項3記載の情報処理端末。
  5. 前記不正対策処理手段は、前記対策制御処理の内容をオンライン中、あるいはオフラインのいずれの場合でも更新可能であり、動的に更新可能となっていることを特徴とする請求項4記載の情報処理端末。
  6. 上位情報処理端末(以下、上位装置)と、オンラインまたはオフラインで前記上位装置に接続される下位情報処理端末(以下、下位装置)と、前記下位装置との間で電文の送受を行うICカードとから成る情報通信システムにおいて、
    前記下位装置は、装着されるICカードとの間で電文の送受を行う手段と、
    前記ICカードから送られる電文が正常か否かを判定する手段と、
    前記電文が不正であると判断された場合、ないし不正操作でも伝送エラーでも起こりえるエラーが生じた場合に、それぞれ電文を生成して返信する手段と、
    前記不正の発生回数、ないし前記不正操作でも伝送エラーでも起こりえるエラーの発生回数を蓄積する手段と、を有するとともに、
    前記上位装置に、前記下位装置から送信される不正の発生回数、ないし前記不正操作でも伝送エラーでも起こりえるエラーの発生回数の検知手段と、
    の検知手段で前記不正の発生回数、ないし前記不正操作でも伝送エラーでも起こりえるエラーの発生回数を検知したときに予め検知内容毎に定めた対策制御処理を実行する不正対策処理手段と、
    を備えたことを特徴とする情報通信システム。
  7. 前記不正対策処理手段は、前記対策制御処理の内容をオンライン中、あるいはオフラインのいずれの場合でも更新可能であり、動的に更新可能となっていることを特徴とする請求項6記載の情報通信システム。
JP00437196A 1996-01-12 1996-01-12 Icカード、情報処理端末、および情報通信システム Expired - Lifetime JP3555796B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP00437196A JP3555796B2 (ja) 1996-01-12 1996-01-12 Icカード、情報処理端末、および情報通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP00437196A JP3555796B2 (ja) 1996-01-12 1996-01-12 Icカード、情報処理端末、および情報通信システム

Publications (2)

Publication Number Publication Date
JPH09193577A JPH09193577A (ja) 1997-07-29
JP3555796B2 true JP3555796B2 (ja) 2004-08-18

Family

ID=11582518

Family Applications (1)

Application Number Title Priority Date Filing Date
JP00437196A Expired - Lifetime JP3555796B2 (ja) 1996-01-12 1996-01-12 Icカード、情報処理端末、および情報通信システム

Country Status (1)

Country Link
JP (1) JP3555796B2 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI981902A (fi) * 1998-09-04 2000-03-05 Sonera Oyj Turvamoduuli, turvajärjestelmä ja matkaviestin
JP2001118042A (ja) * 1999-10-19 2001-04-27 Hitachi Ltd カード監視方法
US7783572B2 (en) * 2001-11-27 2010-08-24 Heartland Payment Systems, Inc. Apparatus and method for downloading configuration data to card terminals and for viewing activity at card terminals
JP2004295271A (ja) * 2003-03-26 2004-10-21 Renesas Technology Corp カード及びパスコード生成器
US8225375B2 (en) 2006-12-28 2012-07-17 Canon Kabushiki Kaisha Information processing system, information processing apparatus and method and program therefor
JP4294069B2 (ja) * 2006-12-28 2009-07-08 キヤノンマーケティングジャパン株式会社 情報処理システム、情報処理装置、認証サーバ、認証方法、認証プログラム、情報処理方法、情報処理プログラム
JP5051188B2 (ja) * 2008-07-16 2012-10-17 株式会社デンソーウェーブ セキュリティ機能を有する携帯端末
JP2011076272A (ja) * 2009-09-30 2011-04-14 Dainippon Printing Co Ltd 不正使用管理システム
JP6226373B2 (ja) * 2013-11-21 2017-11-08 株式会社東芝 Icカード

Also Published As

Publication number Publication date
JPH09193577A (ja) 1997-07-29

Similar Documents

Publication Publication Date Title
CN102257536B (zh) 人员输送机控制系统的访问控制系统和访问控制方法
US4890323A (en) Data communication systems and methods
EP3941014B1 (en) Digital key-based identity authentication method, terminal apparatus, and medium
US5612884A (en) Remote meter operation
US20120005297A1 (en) System and method for controlling devices
US20070034691A1 (en) Using promiscuous and non-promiscuous data to verify card and reader identity
CN107705206A (zh) 一种交易风险评估方法和装置
US7357329B2 (en) IC card, terminal device, and data communication method
CN110427785A (zh) 设备指纹的获取方法和装置、存储介质及电子装置
JP3555796B2 (ja) Icカード、情報処理端末、および情報通信システム
EP3866082A1 (en) Method and apparatus for leasing measurement device based on blockchain
US6246967B1 (en) Weight verification device
CN101246538A (zh) 射频识别系统和方法
CN109660529B (zh) 用于售卖机的安全风控方法、装置、售卖机和系统
ZA200500721B (en) System and method to provide supply chain integrity
EP3136356A1 (en) Automatic transaction device and automatic transaction system
AU2020104272A4 (en) Blockchain-based industrial internet data security monitoring method and system
US6810355B1 (en) Balance and a method for operating a balance
CN101122988B (zh) 一种网络税控系统中的安全处理方法
CN110310108A (zh) 一种带拆机自毁的新型硬件钱包
JP4810098B2 (ja) 紙葉類処理装置における処理データ転送方法および紙葉類処理装置
KR100785356B1 (ko) 게임매장 통합관리 시스템
JP2000242749A (ja) Id管理方法
EP1286314B1 (en) Bank note evaluation apparatus and bank note evaluation result data processing method
JPH11169547A (ja) 遊技装置の監視装置

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040506

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040507

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090521

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090521

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100521

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110521

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110521

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120521

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130521

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140521

Year of fee payment: 10

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term