JP3698693B2 - アクセス制御装置及びそのコンピュータプログラム - Google Patents

アクセス制御装置及びそのコンピュータプログラム Download PDF

Info

Publication number
JP3698693B2
JP3698693B2 JP2002236185A JP2002236185A JP3698693B2 JP 3698693 B2 JP3698693 B2 JP 3698693B2 JP 2002236185 A JP2002236185 A JP 2002236185A JP 2002236185 A JP2002236185 A JP 2002236185A JP 3698693 B2 JP3698693 B2 JP 3698693B2
Authority
JP
Japan
Prior art keywords
data
contact
access control
storage area
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002236185A
Other languages
English (en)
Other versions
JP2004078444A (ja
Inventor
高宏 水野
武 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2002236185A priority Critical patent/JP3698693B2/ja
Publication of JP2004078444A publication Critical patent/JP2004078444A/ja
Application granted granted Critical
Publication of JP3698693B2 publication Critical patent/JP3698693B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、外部からのアクセスを制御するための技術に関し、例えば、外部装置からのアクセスを制御する手段を備えたICカードに関する。
【0002】
【従来の技術】
本発明のアクセス制御装置は、ICカード、パーソナルコンピュータ、及びその他の種々の装置に採用し得るが、以下、本発明のアクセス制御装置がICカードに適用された場合を例に採り、本発明について説明する。
【0003】
従来、接触式と非接触式の両方のインターフェースを備えたICカードが知られている。そのようなICカードとして、例えば、両方のインターフェース間でメモリが共有されるコンビネーションICカードがある。コンビネーションICカードの共有のメモリには、接触式のインターフェース(以下、「接触式IF」と表記)に対応したファイル格納領域(以下、「接触用データ格納領域」と言う)と、非接触式のインターフェース(以下、「非接触式IF」と表記)に対応したファイル格納領域(以下、「非接触用データ格納領域」と言う)とが用意されているものがある。各データ格納領域は、通常、アクセス制御されている。
【0004】
【発明が解決しようとする課題】
接触用データ格納領域と非接触用データ格納領域とでは、認証方法等のアクセス制御方式や、ファイル管理方式や、コマンド体系が異なる場合がある。このため、両方のデータ格納領域のアクセス制御方式を統一させることは困難であり、それ故、例えば、接触用IFを介して非接触用データ格納領域へ不正にアクセスしようとする処理が行われた場合に、各データ格納領域用のアクセス制御が正常に行なわれず、接触用IFを介して非接触用データ格納領域に不正にアクセスするといったセキュリティ侵害が起こる可能性がある。
【0005】
また、ICカードの用途によっては、接触用IFを介して非接触用データ格納領域へアクセスする、或いは反対に、非接触用IFを介して接触用データ格納領域へアクセスするといったことを行ないたい場合があるであろう。しかし、上述したように、接触用データ格納領域と非接触用データ格納領域とでは、認証方法等のアクセス制御方式や、ファイル管理方式や、コマンド体系が異なる場合があるので、接触用IFを介して非接触用データ格納領域へアクセスする等の処理が正常に行なわれない可能性もある。
【0006】
このような問題点は、上述のようなコンビネーションICカードに限らず、2以上のデータ格納領域と、2以上の格納領域にそれぞれ対応している2種以上のアクセス制御手段(対応しているデータ格納領域内のファイルへアクセスすることを制御する手段)とを有する種々の装置にも存在し得る。
【0007】
従って、本発明の目的は、2以上のデータ格納領域と、2以上の格納領域にそれぞれ対応している2種以上のアクセス制御手段とを有する装置において、外部から一方のアクセス制御手段を介して他方のアクセス制御手段に対応するデータ格納領域内へ正常にアクセスできるようにすることにある。
【0008】
【課題を解決するための手段】
本発明は、第1のデータ格納領域と、データアクセス要求に応答して前記第1のデータ格納領域内のデータへのアクセスを制御する第1のアクセス制御手段と、第2のデータ格納領域と、データアクセス要求に応答して前記第2のデータ格納領域内のデータへのアクセスを制御する第2のアクセス制御手段と、前記第2のデータ格納領域内に格納され、前記第2のデータ格納領域内のデータにアクセスすることを許可するために用いられる認証鍵と、前記第1のデータ格納領域内に格納され、前記第2のデータ格納領域内のデータのファイルID及び当該データに対応する前記認証鍵のファイルIDが記録されるリンクデータと、前記第2のデータ格納領域内に格納され、前記第2のデータ格納領域のデータへのアクセスを許可するか否かを示すアクセス制御ビットが記録されるアクセス制御管理用メモリと、を備え、前記第1のアクセス制御手段が、外部装置から認証要求を受けた場合、その認証要求に応答して、前記リンクデータに記録されている前記認証鍵のファイルIDと前記外部装置から受信した第1の乱数と共に認証要求を前記第2のアクセス制御手段に送信し、外部装置からデータアクセス要求を受けたとき、そのデータアクセス要求が、前記第2のデータ格納領域内のデータにアクセスすることの要求である場合、前記リンクデータに記録されている前記データのファイルIDと共にデータアクセス要求を前記第2のアクセス制御手段に送信し、前記第2のアクセス制御手段が、前記第1のアクセス制御手段から前記認証鍵のファイルIDと前記第1の乱数と共に認証要求を受けた場合、前記認証鍵のファイルIDに基づいて前記第2のデータ格納領域内の認証鍵を取得し、当該認証鍵を用いて、前記第1の乱数を暗号化し、暗号化した第1の乱数を前記第1のアクセス制御手段を介して前記外部装置に送信し、第2の乱数を生成し、生成した前記第2の乱数を前記第1のアクセス制御手段を介して前記外部装置に送信し、前記第1のアクセス制御手段から前記外部装置によって暗号化された情報を受信した場合、前記認証鍵を用いて前記情報を復号し、復号した前記情報が前記第2の乱数に一致するときには前記第2のデータ格納領域内のデータに対応する前記アクセス制御ビットにアクセス許可を示すビット値を記録し、前記第1のアクセス制御手段から前記データのファイルIDと共にデータアクセス要求を受けた場合、前記アクセス制御ビットにアクセス許可を示すビット値が記録されているときは、前記データのファイルIDに基づいて前記第2のデータ格納領域内のデータを読み出し、前記第1のアクセス制御手段を介して前記外部装置に送信することを特徴とするアクセス制御装置である。
【0009】
また、本発明は、第1のデータ格納領域と、データアクセス要求に応答して前記第1のデータ格納領域内のデータへのアクセスを制御する第1のアクセス制御手段と、第2のデータ格納領域と、データアクセス要求に応答して前記第2のデータ格納領域内のデータへのアクセスを制御する第2のアクセス制御手段と、前記第2のデータ格納領域内のデータにアクセスすることを許可するために用いられる認証鍵と、前記第1のデータ格納領域内に格納され、前記第2のデータ格納領域内のデータのファイルID及び当該データに対応する前記認証鍵のファイルIDが記録されるリンクデータと、前記第2のデータ格納領域内に格納され、前記第2のデータ格納領域のデータへのアクセスを許可するか否かを示すアクセス制御ビットが記録されるアクセス制御管理用メモリと、を備えたアクセス制御装置のコンピュータに、前記第1のアクセス制御手段が、外部装置から認証要求を受け、その認証要求に応答して、前記リンクデータに記録されている前記認証鍵のファイルIDと前記外部装置から受信した第1の乱数と共に認証要求を前記第2のアクセス制御手段に送信するステップと、前記第2のアクセス制御手段が、前記第1のアクセス制御手段から前記認証鍵のファイルIDと前記第1の乱数と共に認証要求を受けた場合、前記認証鍵のファイルIDに基づいて前記第2のデータ格納領域内の認証鍵を取得するステップと、前記第2のアクセス制御手段が、当該認証鍵を用いて、前記第1の乱数を暗号化し、暗号化した第1の乱数を前記第1のアクセス制御手段を介して前記外部装置に送信するステップと、前記第2のアクセス制御手段が、第2の乱数を生成し、生成した前記第2の乱数を前記第1のアクセス制御手段を介して前記外部装置に送信するステップと、前記第2のアクセス制御手段が、前記第1のアクセス制御手段から前記外部装置によって暗号化された情報を受信した場合、前記認証鍵を用いて前記情報を復号し、復号した前記情報が前記第2の乱数に一致するときには前記第2のデータ格納領域内のデータに対応する前記アクセス制御ビットにアクセス許可を示すビット値を記録するステップと、前記第1のアクセス制御手段が、外部装置からデータアクセス要求を受けるステップと、前記第1のアクセス制御手段が、前記リンクデータに記録されている前記データのファイルIDと共にデータアクセス要求を前記第2のアクセス制御手段に送信するステップと、前記第2のアクセス制御手段が、前記第1のアクセス制御手段から前記データのファイルIDと共にデータアクセス要求を受けた場合、前記アクセス制御ビットにアクセス許可を示すビット値が記録されているときは、前記データのファイルIDに基づいて前記第2のデータ格納領域内のデータを読み出し、前記第1のアクセス制御手段を介して前記外部装置に送信するステップと、を実行させるためのコンピュータプログラムである。
【0012】
【発明の実施の形態】
以下、図面を用いて、本発明に係るアクセス制御装置が適用されたICカードの一実施形態を説明する。
【0013】
図1は、本発明の一実施形態に係るICカードのブロック図である。
【0014】
このICカード1は、コンビネーションICカードであり、接触式と非接触式の両方のインターフェース(図示せず)を有している。ICカード1は、ICカード1と接触式IFを介してデータを送受信することができる外部機器(以下、「接触用上位装置」と言う)7と接触式IFを介して通信することができ、且つ、ICカード1と非接触式IFを介してデータを送受信することができる外部機器(以下、「非接触用上位装置」と言う)9と非接触式IFを介して通信することができる。
【0015】
ICカード1は、各インターフェースを介して送受信されるデータが格納されるメモリ11と、接触用OS3と、非接触用OS5とを備えている。
【0016】
メモリ11は、両方のインターフェースに共有のものである。このメモリ11には、接触式のインターフェース(以下、「接触式IF」と表記)に対応したデータ格納領域(以下、「接触用データ格納領域」と言う)13と、非接触式のインターフェース(以下、「非接触式IF」と表記)に対応したデータ格納領域(以下、「非接触用データ格納領域」と言う)15とが用意されている。接触用データ格納領域13は、接触式IFを介して送受信されるデータが格納されるデータ格納領域であり、非接触用データ格納領域15は、非接触式IFを介して送受信されるデータが格納されるデータ格納領域である。
【0017】
接触用OS3は、接触式IFを介してICカード1と接触用上位装置7(例えば、ICカード1のカードリーダライタやそれを備えたパーソナルコンピュータ等)との間で行なわれる通信の制御等を行なうオペレーティングシステムである。接触用OS3は、接触用上位装置7から、接触用OS3が解釈できる形式のコマンドを受信し、そのコマンドの内容に基づいて、ICカード1の正当性を認証するための処理や、接触用上位装置7の正当性を認証するための処理や、非接触用OS5に特定の処理の実行を命じる処理等を実行する。
【0018】
非接触用OS5は、接触用OS3には依存しない独自のオペレーティングシステムであり、非接触式IFを介してICカード1と非接触用上位装置9(例えば、ICカード1のカードリーダライタやそれを備えた端末装置等)との間で行なわれる通信の制御等を行なうものである。非接触用OS5は、非接触用上位装置9から、非接触用OS5が解釈できる形式のコマンドを受信し、そのコマンドの内容に基づいて、ICカード1の正当性を認証するための処理や、非接触用上位装置9の正当性を認証するための処理や、接触用OS3に特定の処理の実行を命じる処理等を実行する。
【0019】
接触用データ格納領域13内と非接触用データ格納領域15内の構成は異なっている。以下、接触用データ格納領域13内と非接触用データ格納領域15内の構成について説明する。
【0020】
図2は、接触用データ格納領域13内の構成を示す。
【0021】
接触用データ格納領域13内には、複数のファイル、すなわち、1以上の接触用認証鍵ファイル21A、21B、・・・(この実施形態では2つであるが2つに限定する必要はない)と、1以上の接触用データファイル23A、23B、…と、アクセス制御管理用メモリ25と、1以上の(例えば1つの)非接触認証用リンクファイル27と、1以上の(例えば1つの)非接触データファイル用リンクファイル29とが設定されている。各ファイルには、そのファイルを識別するためのコード(以下、「ファイルID」と言う)が用意されている。各種リンクファイル27、29は、ICカード1の発行の際に生成される。
【0022】
接触用認証鍵ファイル21A、21B、・・・の各々には、接触用データ格納領域13にアクセスすることの正当性の認証(以下、「接触用認証」と言う)の際に使用される所定の認証鍵のコード(以下、「接触用認証鍵」と言う)が格納されている。具体的には、例えば、接触用認証鍵ファイル21Aには、接触用認証鍵P1が格納されており、接触用認証鍵ファイル21Bには、接触用認証鍵P1とは別のデータ構成となっている接触用認証鍵P2が格納されている。
【0023】
接触用データファイル23A、23B、…の各々は、1以上のサブデータ格納領域(以下、これを「レコード」と言う)に区分けされており、各レコードには、所定ビット数のデータが格納される。また、接触用データファイル23A、23B、…の各々には、接触用データ格納領域13内のどの接触用認証鍵によって接触用認証が成功したときにそのデータファイルにアクセス可能とするかを示すアクセス制御コードが用意されている。具体的には、接触用データファイル23Aには、アクセス制御コードとして、接触用認証鍵P1が設定されている(すなわち、接触用接触鍵P1を用いて接触用認証が行われた場合には、接触用上位装置7(又は非接触用上位装置9)が接触用データファイル23Aにアクセスすることが許可される)。
【0024】
アクセス制御管理用メモリ25には、接触用データ格納領域13内に存在する接触用認証鍵毎に領域が用意されており、その領域には、その領域に対応している接触用認証鍵を用いて接触用認証が行われた否かを示すアクセス制御ビットが記述されている。具体的には、例えば、接触用認証鍵P1を用いて接触用認証が行われた場合には、図2に示すように、接触用認証鍵P1に対応したアクセス制御ビット(以下、「P1制御ビット」と言う)は「1」となり、そうでない場合には、P1制御ビットは「0」になる。
【0025】
非接触認証用リンクファイル27には、非接触用データ格納領域15内にアクセスすることの正当性の認証(以下、「非接触用認証」と言う)の際に使用される認証鍵のコード(以下、「非接触用認証鍵」と言う)が格納されている、非接触用データ格納領域15内に存在のファイルのファイルIDが1つ以上記録されている。接触用上位装置7からこのファイル27が指定された場合は、このファイル27に記録されているファイルIDを持つ、非接触用データ格納領域15内のファイルの非接触用認証鍵が認証で使用される。
【0026】
非接触データファイル用リンクファイル29は、1以上のレコードを有しており、各レコードには、そのレコードを識別するための番号(以下、「レコード番号」と言う)が割当てられており、非接触用データ格納領域15内のデータファイル(以下、「非接触用データファイル」と言う)のファイルIDと、その非接触用データファイル中のレコードのレコード番号とが記録されている。接触用上位装置7から、このファイル29及びこのファイル29のレコード番号が指定された場合は、このファイル29の指定されたレコード番号のレコード(以下、この段落において「指定レコード」と言う)に記録されているファイルIDを持つ非接触用データファイルの、指定レコードに記録されているレコード番号を持つレコードに、接触用上位装置7が接触式IFを介してアクセスすることが可能である。
【0027】
以上のような接触用データ格納領域13において、例えば外部機器(この実施形態では接触用上位装置7又は非接触用上位装置9)から接触用データファイル23Aへのアクセスは以下のように行なわれる。すなわち、接触用OS3が、外部機器から接触用データファイル23AのファイルID「0001」を受けたら、アクセス制御管理用メモリ25内のP1制御ビット(すなわち、接触用データファイル23Aのアクセス制御コードP1に対応したアクセス制御ビット)を参照する。接触用OS3は、P1制御ビットが「1」ならば、外部機器から接触用データファイル23Aへのアクセスを許可し、そうでないならば、そのアクセスを許可しない。
【0028】
図3は、非接触用データ格納領域15内の構成を示す。
【0029】
非接触用データ格納領域15内にも、接触用データ格納領域13と同様に、複数のファイル、すなわち、1以上の非接触用データファイル31A、31B、…と、接触認証用リンクファイル37と、接触データファイル用リンクファイル39とが設定されている。各ファイルには、そのファイルを識別するためのファイルIDが用意されている。また、各種リンクファイル37、39は、ICカード1の発行の際に生成される。
【0030】
非接触用データファイル31A、31B、…の各々は、以下のようになっている。すなわち、例えば非接触用データファイル31Aは、1以上のレコードと、非接触用認証鍵Q1と、アクセス制御ビット35とを有している(これは、他の非接触用データファイル31B、…も同様である)。そのファイル31Aの各レコードには、所定ビット数のデータが格納される。そのファイル31Aのアクセス制御ビット35は、非接触用認証鍵Q1を用いて非接触用認証が行われた場合に、図3に示すように「1」というコードになり、そうでない場合には、「0」というコードになる。
【0031】
接触認証用リンクファイル37には、接触用認証鍵が格納されている、接触用データ格納領域13内でのファイルIDが1つ以上記録されている。非接触用上位装置9からこのファイル37が指定された場合は、このファイル37に記録されているファイルIDを持つ、接触用データ格納領域13内の接触用認証鍵ファイルの接触用認証鍵が認証で使用される。
【0032】
接触データファイル用リンクファイル39は、1以上のレコードを有しており、各レコードには、レコード番号が割当てられており、接触用データファイルのファイルIDと、その接触用データファイル中のレコードのレコード番号とが記録されている。非接触用上位装置9から、このファイル39及びこのファイル39のレコード番号が指定された場合は、このファイル39の指定されたレコード番号のレコード(以下、この段落において「指定レコード」と言う)に記録されているファイルIDを持つ接触用データファイルの、指定レコードに記録されているレコード番号を持つレコードに、非接触用上位装置9が非接触式IFを介してアクセスすることが可能である。
【0033】
以上のような非接触用データ格納領域15において、例えば外部機器から非接触用データファイル31Aへのアクセスは以下のように行なわれる。すなわち、非接触用OS5が、外部機器から非接触用データファイル31AのファイルID「AAA」を受けたら、そのデータファイル31が有するアクセス制御ビットを参照する。非接触用OS5は、そのアクセス制御ビットが「1」ならば、外部機器から非接触用データファイル31Aへのアクセスを許可し、そうでないならば、そのアクセスを許可しない。
【0034】
以上のようなICカード1に対して、接触用上位装置7は、接触式IFを介して、接触用認証の処理実行のみならず、非接触用認証の処理実行をも命令することができる。非接触用認証の処理実行は、接触用認証の処理実行と同様の形式で命令することができるので、この実施形態に係るICカード1を実施した場合、従来からある接触用上位装置7を大きく設計変更する必要がない。このため、低コストでICカード1を実施可能である。
【0035】
以下、図4を参照して、接触用上位装置7から接触式IFを介して非接触用認証の処理実行が命令された場合に、接触用上位装置7とICカード1との間で行われる処理流れについて説明する。
【0036】
この処理流れでは、接触用上位装置7が接触式IFを介してICカード1内に命令を出すため、接触用上位装置7が接触用OS3と通信し、接触用OS3が非接触用OS5と通信することで、接触用上位装置7とICカード1との間で非接触用認証の処理が行われる。
【0037】
また、この処理流れでは、ステップ1(以下、ステップを「S」と略記する)〜S7の第1フェーズと、S8〜S17の第2フェーズとがある。
【0038】
第1フェーズでは、まず、接触用上位装置7が、乱数Rを生成し、その乱数Rと、接触用OS3に参照されるべきファイル(ここでは非接触認証用リンクファイル27)のファイルIDとが含まれたコマンドであって、ICカード1の正当性を認証する処理の実行を命じるための接触用OS3が解釈可能なコマンド(以下、「接触用カード認証コマンド」と言う)を、接触式IFを介してICカード1内に送信する(S1)。
【0039】
接触用OS3は、接触用上位装置7から接触用カード認証コマンドを受信したら、そのコマンドを解釈し、そのコマンドに含まれているファイルIDを持つ非接触認証用リンクファイル27を参照して、そのファイル27に記録されている、非接触用データ格納領域15内のファイルのファイルID(以下、「非接触ファイルID」と言う)を取得する。そして、接触用OS3は、受信した接触用カード認証コマンドを、非接触用OS5が解釈可能なコマンドに変換し(換言すれば、非接触用OS5に対する、ICカード1の正当性を認証する処理の実行を命じるためのコマンドの形式に変換し)(S2)、変換後のコマンド(以下、「非接触用カード認証コマンド」と言う)を非接触用OS5に送信する(S3)。その非接触用カード認証コマンドには、接触用OS3が接触用上位装置7から受信した接触用カード認証コマンドに含まれている乱数Rと、取得された1以上の非接触ファイルIDとが含まれている。
【0040】
非接触用OS5は、接触用OS3から非接触用カード認証コマンドを受信したら、そのコマンドを解釈し、そのコマンドに含まれている各非接触ファイルIDを持つ、非接触用データ格納領域13内の各データファイルを参照して、そのデータファイルに付加されている非接触用認証鍵を取得する。そして、非接触用OS5は、取得した非接触用認証鍵それ自体又はその鍵から生成された鍵(例えば、非接触用認証鍵に1以上の別の鍵(例えば、システムキーやエリアキー)が加えられて圧縮されたもの)を、接触用OS3から受信した非接触用カード認証コマンドに含まれている乱数Rを暗号化して、暗号化された乱数E(R)を得て(E1())、その乱数E(R)を接触用OS3に送信する(S5)。なお、この処理において、非接触用カード認証コマンドから取得された非接触用認証鍵が複数個ある場合には、例えば、複数個の非接触用認証鍵を個々に用いて暗号化が行なわれても良いし(つまり複数回の暗号化処理が行われても良いし)、複数個の非接触用認証鍵を1つの鍵に圧縮し圧縮された1つの鍵を用いて暗号化が行われても良い。また、「システムキー」とは、ICカード毎に設定されている鍵で、ICカード毎に異なるものであり、「エリアキー」とは、ファイルが属しているエリアに対応する鍵で、エリア毎に設定されるものである。
【0041】
接触用OS3は、非接触用OS5から暗号化された乱数E(R)を受信したら、その乱数E(R)を接触用上位装置7に送信する(S6)。
【0042】
接触用上位装置7は、E1()の暗号化の際に使用された鍵と同一の鍵又はそれに対応した鍵(以下、「上位装置用復号化鍵」と言う)を予め有する、所定のタイミングで(例えば、接触用OS3から暗号化された乱数E(R)を受信したときに)、所定の場所(例えば通信ネットワーク上の所定のサーバ)から取得する。接触用上位装置7は、接触用OS3からの暗号化された乱数E(R)を、上位装置用復号化鍵を用いて復号化する(S7)。その復号化の結果、接触用上位装置7がS1で送信した乱数Rと同一の乱数が得られた場合には、接触用上位装置7においてICカード1は正当であると判断され(つまりICカード1の正当性が認証され)、そうでない場合には、ICカード1は不当なものと判断される(つまりICカード1の正当性は認証されない)。
【0043】
以上が、非接触用認証の処理における第1フェーズである。この第1フェーズの最中又は終了後の所定のタイミングで、非接触用OS5が、乱数Rを生成して接触用OS3に送信し(S8)、接触用OS3が、非接触用OS5からの乱数Rを所定の場所(例えば、接触用データ格納領域13内の所定場所)に記録しておく。
【0044】
第2フェーズでは、まず、接触用上位装置7が、接触式IFを介してICカード1内に乱数を要求する(S9)。
【0045】
ICカード1内の接触用OS3が、接触用上位装置7から乱数の要求を受け、その要求に応答して、所定の場所に格納されている上記乱数Rを接触用上位装置7に送信する(S10)。
【0046】
接触用上位装置7は、接触用OS3からの乱数Rを、予め所有している鍵又は所定のタイミングで所定の場所(例えば通信ネットワーク上の所定のサーバ)から取得した鍵で暗号化し(E2())、暗号化された乱数E(R)を得る。そして、接触用上位装置7は、得られた乱数E(R)と、接触用OS3に参照されるべきファイルのファイルIDとが含まれたコマンドであって、接触用上位装置7の正当性を認証する処理の実行を命じるための接触用OS3が解釈可能なコマンド(以下、「接触用上位装置認証コマンド」と言う)を、接触式IFを介してICカード1内に送信する(S12)。接触用上位装置認証コマンドに含まれているファイルIDは、非接触認証用リンクファイル27のファイルIDである。
【0047】
接触用OS3は、接触用上位装置7から接触用上位装置認証コマンドを受信したら、そのコマンドを解釈し、そのコマンドに含まれているファイルIDを持つ非接触認証用リンクファイル27を参照して、そのファイル27に記録されている1つ以上の非接触ファイルIDを取得する。そして、接触用OS3は、受信した接触用上位装置認証コマンドを、非接触用OS5が解釈可能なコマンドに変換し(換言すれば、非接触用OS5に対する、接触用上位装置7の正当性を認証する処理の実行を命じるためのコマンドの形式に変換し)(S13)、変換後のコマンド(以下、「非接触用上位装置認証コマンド」と言う)を非接触用OS5に送信する(S14)。その非接触用上位装置認証コマンドには、接触用OS3が接触用上位装置7から受信した接触用上位装置認証コマンドに含まれている暗号化された乱数E(R)と、取得された1以上の非接触ファイルIDとが含まれている。
【0048】
非接触用OS5は、接触用OS3から非接触用上位装置認証コマンドを受信したら、そのコマンドを解釈し、そのコマンドに含まれている各非接触ファイルIDを持つ、非接触用データ格納領域13内の各データファイルを参照して、そのデータファイルに付加されている非接触用認証鍵を取得する。そして、非接触用OS5は、取得した非接触用認証鍵それ自体又はその鍵から生成された鍵(例えば、非接触用認証鍵に1以上の別の鍵(例えば、システムキーやエリアキー)が加えられて圧縮されたもの)で、接触用OS3から受信した非接触用上位装置認証コマンドに含まれている暗号化された乱数E(R)を復号化する。その復号化の結果、非接触用OS5がS8で送信した乱数Rと同一の乱数が得られた場合には、非接触用OS5は、接触用上位装置7は正当であると判断し(つまり接触用上位装置7の正当性が認証され)、そうでない場合には、接触用上位装置7は不当なものと判断する(つまり接触用上位装置7の正当性は認証されない)。非接触用OS5は、接触用上位装置7が正当であるか不当であるかの判断の結果(以下、上位装置正当性判断結果)を接触用OS3に送信する(S16)。その上位装置正当性判断結果は、接触用OS3から接触式IFを介して接触用上位装置7に送信される(S17)。なお、S16では、必ずしも判断の結果を送信しなければならないわけではなく、例えば、無応答が、正当あるいは不当を意味しても良い。
【0049】
以上の流れにおいて、接触用上位装置7及びICカード1が正当であると判断された場合には、使用された非接触用認証鍵を有する非接触用データファイルの非接触用アクセス制御ビット35は「1」というコードになる。すなわち、非接触用認証の処理において使用された非接触用認証鍵を有する非接触用データファイルへ、接触用上位装置7が接触式IFを介してアクセスすることが可能になる。
【0050】
以上のような流れで、非接触用認証の処理が行われる。なお、上述した非接触用認証の処理の内容は、一例であって、他の方法でも非接触用認証の処理が可能である。例えば、第1フェーズでは、接触用上位装置7は、送出した乱数Rを上位装置用復号化鍵で暗号化し、非接触用OS5から接触用OS3を介して暗号化された乱数E(R)を受けたときは、と、上位装置用復号化鍵で暗号化した乱数Rと、接触用OS3を介して受けた乱数E(R)とを比較照合することにより、ICカード1の正当性を判断しても良い(第2フェーズにおける非接触用OS5についても同様)。また、例えば、接触用OS3は、S9で接触用上位装置7から乱数の要求を受けたときは、その要求を非接触用OS5が解釈可能な形式に変換して非接触用OS5に転送し、非接触用OS5は、接触用OS3から転送されて来た乱数の要求に応答して、乱数Rを生成して接触用OS3に送信しても良い。また、例えば、S1で、乱数Rは、E1()と同一の又は別の方式で暗号化しても良く(E3())、その暗号化された乱数Rは、ICカード1で復号化されても良く、復号化に成功しない場合は接触用上位装置7は不正なものであると判断されてエラー処理が実行されても良い。また、同様に、例えば、S10では、乱数Rは、E2()と同一又は別の方式で暗号化されても良く(E4())、その暗号化された乱数Rは、接触用上位装置7において復号化されても良く、復号化に成功しない場合は不正なICカード1であると判断されてエラー処理が実行されても良い。
【0051】
ところで、上述した非接触用認証の処理流れは、接触用上位装置7から接触式IFを介して非接触用認証の処理実行が命令された場合(以下、「接触式IFを介する非接触用認証の場合」と言う)の流れであるが、反対に、非接触用上位装置9から非接触式IFを介して接触用認証の処理実行が命令された場合(以下、「非接触式IFを介する接触用認証の場合」と言う)にも実質的に同様の処理が行なわれる。すなわち、上述した非接触用認証の処理流れの説明により、非接触式IFを介する接触用認証の場合について説明したこととなる。従って、その場合についての具体的な説明は割愛するが、上記理由から、非接触式IFを介する接触用認証の場合について何ら不明瞭な点はない。
【0052】
次に、図5を参照して、接触用上位装置7が接触式IFを介して非接触用データファイルからデータを読み出す場合に行なわれる処理流れについて説明する。
【0053】
ここでは、上述した認証の場合と同様に、接触用上位装置7が接触式IFを介してICカード1内に命令を出すため、接触用上位装置7が接触用OS3と通信し、接触用OS3が非接触用OS5と通信することで、非接触用データファイル内のデータが非接触用OS5、接触用OS3を介して接触用上位装置7に読み出される。
【0054】
まず、接触用上位装置7が、接触式IFを介して、接触用OS3に参照されるべきファイル(ここでは非接触データファイル用リンクファイル29)のファイルID「0100」と、そのファイルのレコード番号「02」とが含まれたコマンド(以下、接触用読み出し実行コマンド)51を、ICカード1内に送信する。
【0055】
接触用OS3は、接触用上位装置7から接触用読み出し実行コマンド51を受信したら、そのコマンド51を解釈し、そのコマンド51に含まれているファイルID「0100」を持つ非接触データファイル用リンクファイル29の、そのコマンド51に含まれているレコード番号「02」に記録されている非接触ファイルID「AAA」とレコード番号「5〜7」を取得する。そして、接触用OS3は、受信したコマンド51を、非接触用OS5が解釈可能なコマンドに変換し、変換後のコマンド(以下、「非接触用読み出し実行コマンド」と言う)53を非接触用OS5に送信する。その非接触用読み出し実行コマンド53には、上記取得された非接触ファイルID「AAA」とレコード番号「5〜7」とが含まれている。
【0056】
非接触用OS5は、接触用OS3から非接触用読み出し実行コマンド53を受信したら、そのコマンド53を解釈し、そのコマンド53に含まれている非接触ファイルID「AAA」を持つ非接触用データファイル31Aのアクセス制御ビットを参照する。そのアクセス制御ビットが図示のように「1」であれば、非接触用認証鍵Q1によるロックが解除されている証拠なので、非接触用OS5は、そのデータファイル31Aの、コマンド53にレコード番号「5〜7」に記録されているデータ(以下、読み出し対象データ)を取得し、接触用OS3に送信する。接触用OS3は、非接触用OS5からの読み出し対象データを接触式IFを介して接触用上位装置7に送信する。
【0057】
以上が、接触用上位装置7が接触式IFを介して非接触用データファイルからデータを読み出す場合の処理流れである。なお、これと実質的に同様の処理流れが、接触用上位装置7が接触式IFを介して非接触用データファイルにデータを書き込む場合や、非接触用上位装置9が非接触式IFを介して接触用データファイルにデータを読み書きする(つまりアクセスする)場合(以下、この段落において「その他の場合」と言う)に行われる。すなわち、接触用上位装置7が接触式IFを介して非接触用データファイルからデータを読み出す場合の上記説明により、上述のその他の場合についても説明したこととなる。従って、上記その他の場合についての具体的な説明は割愛するが、上記理由から、上述のその他の場合について何ら不明瞭な点はない。
【0058】
以上、上述した実施形態によれば、各インターフェースに対応した各データ格納領域13、15内に、他のデータ格納領域内の認証鍵を有するデータファイルのファイルIDが記録されている認証用リンクファイル27又は37が用意されている。そして、一方のインターフェース(例えば接触式IF)を介して他方のデータ格納領域(例えば非接触用データ格納領域15)内のファイルにアクセスすることの許可を得るための認証の際には、各認証用リンクファイル27、37に基づいて、一方のインターフェースを介して一方のOS(例えば接触用OS3)が受信したコマンドやパラメータ(上記実施形態ではファイルID)が内部的に変換され、変換されたコマンドやパラメータが他方のOS(例えば非接触用OS5)に送信される。すなわち、一方のインターフェースを介しても、きちんと、外部機器と他方のOSとの間で認証処理が行なわれる。このため、外部から一方のインターフェースを介して不正に他方のデータ格納領域内にアクセスされることを防ぐことができる。
【0059】
また、上述した実施形態によれば、各インターフェースに対応した各データ格納領域13、15内に、他のデータ格納領域内のデータファイルのファイルIDが記録されているデータファイル用リンクファイル29又は39も用意されている。そして、一方のインターフェース(例えば接触式IF)を介して他方のデータ格納領域(例えば非接触用データ格納領域15)内のファイルにアクセスする場合には、各データファイル用リンクファイル29、39に基づいて、一方のインターフェースを介して一方のOS(例えば接触用OS3)が受信したコマンドやパラメータが内部的に変換され、変換されたコマンドやパラメータが他方のOS(例えば非接触用OS5)に送信される。この場合、他方のOSは、一方のOSからのコマンド又はパラメータが表すファイル(以下、この段落において「ターゲットファイル」と言う)のアクセス制御ビットを参照し、そのビットが「1」か「0」かに応じて、外部機器からそのターゲットファイルにアクセスすることを許可したり禁止したりする。このため、外部から一方のインターフェースを介して不正に他方のデータ格納領域内にアクセスされることを防ぐことができる。
【0060】
また、上述した実施形態によれば、各インターフェースに対応した各データ格納領域に各種リンクファイル27、29、37、39が用意されている。このため、例えば接触用上位装置7は、接触用データ格納領域13内のファイルにアクセスする方法と同様の方法で、非接触用データ格納領域15内のファイルにアクセスすることができる(これは非接触用上位装置9についても同様である)。これにより、上位装置のアプリケーションの変更を最小限に抑えることが可能になり、開発効率性が向上する。
【0061】
以上、本発明の好適な幾つかの実施形態を説明したが、これらは本発明の説明のための例示であって、本発明の範囲をこれらの実施形態にのみ限定する趣旨ではない。本発明は、他の種々の形態でも実施することが可能である。すなわち、本発明のアクセス制御装置は、ICカード、パーソナルコンピュータ、及びその他の種々の装置に採用し得る。例えば、パーソナルコンピュータに2種類のOSが搭載されている場合、本発明の原理を適用すれば、外部から一方のOSを介して他方のOSが管理しているファイルにアクセスすることが可能である(具体的には、例えば、他方のOSが管理しているファイルの中身を一方のOSを介して表示することができる)。また、その場合、各OSが所有するファイル管理テーブルを利用して、一方のOSから他方のOSが管理している各ファイルにアクセスするためのファイルアクセス情報が記録されているリンクファイルを自動的に作成するようにすることもできるし、そのリンクファイルに記録されている内容を、ユーザが任意に書き換えることができるようにすることもできる。
【図面の簡単な説明】
【図1】本発明の一実施形態に係るICカードのブロック図。
【図2】接触用データ格納領域13内の構成を示す図。
【図3】非接触用データ格納領域15内の構成を示す図。
【図4】接触用上位装置7から接触式IFを介して非接触用認証の処理実行が命令された場合に、接触用上位装置7とICカード1との間で行われる処理流れを示す図。
【図5】接触用上位装置7から接触式IFを介して非接触用データファイルにアクセスする場合に行なわれる処理流れを説明するための図。
【符号の説明】
1 ICカード
3 接触用OS
5 非接触用OS
7 接触用上位装置
9 非接触用上位装置
11 メモリ
13 接触用データ格納領域
15 非接触用データ格納領域
27 非接触認証用リンクファイル
29 非接触データファイル用リンクファイル

Claims (2)

  1. 第1のデータ格納領域と、
    データアクセス要求に応答して前記第1のデータ格納領域内のデータへのアクセスを制御する第1のアクセス制御手段と、
    第2のデータ格納領域と、
    データアクセス要求に応答して前記第2のデータ格納領域内のデータへのアクセスを制御する第2のアクセス制御手段と、
    前記第2のデータ格納領域内に格納され、前記第2のデータ格納領域のデータにアクセスすることを許可するために用いられる認証鍵と、
    前記第1のデータ格納領域内に格納され、前記第2のデータ格納領域内のデータのファイルID及び当該データに対応する前記認証鍵のファイルIDが記録されるリンクデータと、
    前記第2のデータ格納領域内に格納され、前記第2のデータ格納領域のデータへのアクセスを許可するか否かを示すアクセス制御ビットが記録されるアクセス制御管理用メモリと、を備え、
    前記第1のアクセス制御手段が、
    外部装置から認証要求を受けた場合、その認証要求に応答して、前記リンクデータに記録されている前記認証鍵のファイルIDと前記外部装置から受信した第1の乱数と共に認証要求を前記第2のアクセス制御手段に送信し、外部装置からデータアクセス要求を受けたとき、そのデータアクセス要求が、前記第2のデータ格納領域内のデータにアクセスすることの要求である場合、前記リンクデータに記録されている前記データのファイルIDと共にデータアクセス要求を前記第2のアクセス制御手段に送信し、
    前記第2のアクセス制御手段が、
    前記第1のアクセス制御手段から前記認証鍵のファイルIDと前記第1の乱数と共に認証要求を受けた場合、前記認証鍵のファイルIDに基づいて前記第2のデータ格納領域内の認証鍵を取得し、当該認証鍵を用いて、前記第1の乱数を暗号化し、暗号化した第1の乱数を前記第1のアクセス制御手段を介して前記外部装置に送信し、第2の乱数を生成し、生成した前記第2の乱数を前記第1のアクセス制御手段を介して前記外部装置に送信し、前記第1のアクセス制御手段から前記外部装置によって暗号化された情報を受信した場合、前記認証鍵を用いて前記情報を復号し、復号した前記情報が前記第2の乱数に一致するときには前記第2のデータ格納領域内のデータに対応する前記アクセス制御ビットにアクセス許可を示すビット値を記録し、前記第1のアクセス制御手段から前記データのファイルIDと共にデータアクセス要求を受けた場合、前記アクセス制御ビットにアクセス許可を示すビット値が記録されているときは、前記データのファイルIDに基づいて前記第2のデータ格納領域内のデータを読み出し、前記第1のアクセス制御手段を介して前記外部装置に送信することを特徴とするアクセス制御装置。
  2. 第1のデータ格納領域と、データアクセス要求に応答して前記第1のデータ格納領域内のデータへのアクセスを制御する第1のアクセス制御手段と、第2のデータ格納領域と、データアクセス要求に応答して前記第2のデータ格納領域内のデータへのアクセスを制御する第2のアクセス制御手段と、前記第2のデータ格納領域内に格納され、前記第2のデータ格納領域内のデータにアクセスすることを許可するために用いられる認証鍵と、前記第1のデータ格納領域内に格納され、前記第2のデータ格納領域内のデータのファイルID及び当該データに対応する前記認証鍵のファイルIDが記録されるリンクデータと、前記第2のデータ格納領域内に格納され、前記第2のデータ格納領域のデータへのアクセスを許可するか否かを示すアクセス制御ビットが記録されるアクセス制御管理用メモリと、を備えたアクセス制御装置のコンピュータに、
    前記第1のアクセス制御手段が、外部装置から認証要求を受け、その認証要求に応答して、前記リンクデータに記録されている前記認証鍵のファイルIDと前記外部装置から受信した第1の乱数と共に認証要求を前記第2のアクセス制御手段に送信するステップと、
    前記第2のアクセス制御手段が、前記第1のアクセス制御手段から前記認証鍵のファイ ルIDと前記第1の乱数と共に認証要求を受けた場合、前記認証鍵のファイルIDに基づいて前記第2のデータ格納領域内の認証鍵を取得するステップと、
    前記第2のアクセス制御手段が、当該認証鍵を用いて、前記第1の乱数を暗号化し、暗号化した第1の乱数を前記第1のアクセス制御手段を介して前記外部装置に送信するステップと、
    前記第2のアクセス制御手段が、第2の乱数を生成し、生成した前記第2の乱数を前記第1のアクセス制御手段を介して前記外部装置に送信するステップと、
    前記第2のアクセス制御手段が、前記第1のアクセス制御手段から前記外部装置によって暗号化された情報を受信した場合、前記認証鍵を用いて前記情報を復号し、復号した前記情報が前記第2の乱数に一致するときには前記第2のデータ格納領域内のデータに対応する前記アクセス制御ビットにアクセス許可を示すビット値を記録するステップと、
    前記第1のアクセス制御手段が、外部装置からデータアクセス要求を受けるステップと、
    前記第1のアクセス制御手段が、前記リンクデータに記録されている前記データのファイルIDと共にデータアクセス要求を前記第2のアクセス制御手段に送信するステップと、
    前記第2のアクセス制御手段が、前記第1のアクセス制御手段から前記データのファイルIDと共にデータアクセス要求を受けた場合、前記アクセス制御ビットにアクセス許可を示すビット値が記録されているときは、前記データのファイルIDに基づいて前記第2のデータ格納領域内のデータを読み出し、前記第1のアクセス制御手段を介して前記外部装置に送信するステップと、
    を実行させるためのコンピュータプログラム。
JP2002236185A 2002-08-14 2002-08-14 アクセス制御装置及びそのコンピュータプログラム Expired - Fee Related JP3698693B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002236185A JP3698693B2 (ja) 2002-08-14 2002-08-14 アクセス制御装置及びそのコンピュータプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002236185A JP3698693B2 (ja) 2002-08-14 2002-08-14 アクセス制御装置及びそのコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2004078444A JP2004078444A (ja) 2004-03-11
JP3698693B2 true JP3698693B2 (ja) 2005-09-21

Family

ID=32020435

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002236185A Expired - Fee Related JP3698693B2 (ja) 2002-08-14 2002-08-14 アクセス制御装置及びそのコンピュータプログラム

Country Status (1)

Country Link
JP (1) JP3698693B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4529508B2 (ja) * 2004-03-25 2010-08-25 凸版印刷株式会社 情報記憶媒体システム、情報記憶媒体、命令形式変換方法及び命令形式変換プログラム
JP4811560B2 (ja) * 2005-04-15 2011-11-09 大日本印刷株式会社 Icカードおよびicカードプログラム
JP4960034B2 (ja) 2006-07-27 2012-06-27 株式会社東芝 情報記憶媒体及び情報記憶媒体処理装置
JP2010108424A (ja) * 2008-10-31 2010-05-13 Dainippon Printing Co Ltd 情報処理装置、情報処理方法、情報処理システム、リードライト装置、icチップ

Also Published As

Publication number Publication date
JP2004078444A (ja) 2004-03-11

Similar Documents

Publication Publication Date Title
CN100407174C (zh) 数据保护设备及数据保护方法
JP4526574B2 (ja) 暗号データ管理システム、および暗号データ管理方法
US7360057B2 (en) Encryption of data in a range of logical block addresses
CN100421102C (zh) 便携式存储装置和使用该便携式存储装置的内容管理方法
US8572392B2 (en) Access authentication method, information processing unit, and computer product
EP0752635B1 (en) System and method to transparently integrate private key operations from a smart card with host-based encryption services
US8205083B2 (en) System and method for providing program information, and recording medium used therefor
US8745409B2 (en) System and method for securing portable data
US8918633B2 (en) Information processing device, information processing system, and program
US7350084B2 (en) Data management system, data processing system, and computer-readable medium having on which data management program is recorded
KR100723762B1 (ko) 접근 방법
KR100861822B1 (ko) 데이터 관리 방법
US8839359B2 (en) Data processing device and data processing method
EP3525127B1 (en) System for blocking phishing or ransomware attack
US7716477B2 (en) Data processing method, program of the same, and device of the same
JP4338989B2 (ja) メモリデバイス
US20040193874A1 (en) Device which executes authentication processing by using offline information, and device authentication method
CA2473122A1 (en) Method and device for protecting information against unauthorised use
JP3698693B2 (ja) アクセス制御装置及びそのコンピュータプログラム
TWM540328U (zh) 內建智慧安全行動裝置
JPH10105470A (ja) ファイルアクセス認証方法
WO2018045918A1 (zh) 一种授权方法及系统
KR101410488B1 (ko) 외장 메모리용 보안 젠더 및 이를 이용한 외장 메모리 관리 방법
WO2022186367A1 (ja) データ管理装置、データ管理システム、データ管理方法及びコンピュータ読み取り可能な記録媒体
JP2000267995A (ja) セキュリティ統合管理装置、セキュリティ統合管理方法およびセキュリティ統合管理用プログラムを記録した記録媒体

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20040521

RD05 Notification of revocation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7425

Effective date: 20040526

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20041116

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20041221

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050210

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050419

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050510

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050628

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050705

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080715

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090715

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090715

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100715

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110715

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110715

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120715

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120715

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130715

Year of fee payment: 8

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees