JP3808297B2 - Icカードシステム及びicカード - Google Patents
Icカードシステム及びicカード Download PDFInfo
- Publication number
- JP3808297B2 JP3808297B2 JP2000249182A JP2000249182A JP3808297B2 JP 3808297 B2 JP3808297 B2 JP 3808297B2 JP 2000249182 A JP2000249182 A JP 2000249182A JP 2000249182 A JP2000249182 A JP 2000249182A JP 3808297 B2 JP3808297 B2 JP 3808297B2
- Authority
- JP
- Japan
- Prior art keywords
- card
- application
- agent
- service provider
- security domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/355—Personalisation of cards for use
- G06Q20/3552—Downloading or loading of personalisation data
Description
【0001】
【発明の属する技術分野】
本願発明は、ICカードの発行者以外の第三者による動的認証及びICカードへのアプリケーション搭載方法及びその利用に関する諸技術に関するものである。
【0002】
【従来の技術】
ICカードは、大量の情報が記録可能であり、かつ高度なセキュリティを有するため、磁気カードに代わる新しい情報記録媒体として近年普及しつつある。また、最近ではICカードに複数のアプリケーションを搭載できるマルチアプリケーション機能や、カード発行後にアプリケーションを搭載可能なダイナミックローディング機能を備えたICカード及びカードOSが主流となってきている。
【0003】
従来、これらのICカードへのアプリケーション搭載方式では、該カードを発行した発行者による何らかの署名が付与されたアプリケーションのみを搭載可能としていた。カード発行後に当該カードにアプリケーションを搭載するいわゆる動的搭載も前提としているため、誰にでもアプリケーションが搭載可能であるシステムはセキュリティ上問題があるからである。
【0004】
図1にICカード(11)内に搭載されているIC内部の基本的な領域の論理的な構成を示す。当該ICは、ハードウェア層(101)とOSが搭載される領域、即ちOS層(102)とアプリケーションが搭載される領域、即ちアプリケーション層(107)とを有する。ここで、マルチアプリケーションの搭載が可能とは、アプリケーション層(107)に複数のアプリケーション(106)が搭載できることである。又、ダイナミックローディングが可能であるとは、このアプリケーション(106)をカード発行後にアプリケーションが搭載あるいは削除が可能であることを示す。OS層(102)は通信処理部(103)、インタープリタ(104)、セキュリティ機構(105)などを有し、外部端末からのコマンドの受信やアプリケーションのコマンドの転送などを行っている。当然、アプリケーション層(107)とOS層(102)との間にはアプリケーション・インターフェイス、OS層(102)とハードウェア層(101)との間にはハードウエア・インターフェイスが設けられる。
【0005】
図2はICカードの発行やサービスの提供に関する従来のシステム構成図である。カード発行者(302)とは、ICカードの発行と管理の業務を行う事業主体者であり、カードの責任を負う主体者である。また、サービス提供者(303)はICカード上に搭載するアプリケーションの発行と管理の業務を行う事業主体者である。カード発行後に、アプリケーションをダイナミックに搭載する場合は、サービス提供者の端末からICカードへ搭載することが多い。クライアント側(301)にはICカードとコマンドのやり取りを行う外部端末(304)がある。カード発行者は発行者データベース(305)に発行管理データを保持しており、そのデータに従いカードを発行し利用者に配布する。発行管理データには、利用者からの申請情報や、カードの発行に必要な基本情報が記載されている。ICカード搭載用アプリケーションは、サービス提供者が作成もしくは取得し、ICカードへのアプリケーション搭載を行う。
【0006】
サービス提供者データベース(306)にはアプリケーション関連(以下、AP関連と称する)データが格納されている。前記のように、ICカード上の全ての責任はカード発行者に帰属するため、アプリケーションの正当性をカード発行者が確認する手順が必要である。サービス提供者はカード発行者のAPの搭載を許可する処理部にAP搭載の許可の要求を行う。カード発行者のデータベースには事前に登録されているAPに関するデータが格納されている。そして、要求のあったアプリケーションが不正なものではないか、要求をしているサービス提供者が不正ではないかなどをチェックした上で、APの搭載許可を発行する。サービス提供者はこのAP搭載許可とアプリケーションを合わせてカードに送信し設定するのである。そのため、サービス提供者はあらかじめカード発行者と契約し、自身が正当な事業主であることや、搭載予定のアプリケーションが不正なものではないことを登録する必要がある。
【0007】
カード発行者とサービス提供者のサーバ間は、ネットワークでつながれている場合が多いと想定されるが、書類形式でやり取りすることも可能である。
【0008】
またこれに加え、アプリケーション搭載の際に、カード内でアプリケーション搭載を専用に行うアプリケーションもしくはデータを用いる場合がある。この方式は“セキュリティドメイン”というアプリケーションをサービス提供者毎に用意し、アプリケーション搭載・削除・管理の役割を担わせている。図3にセキュリティドメイン機構を持つICカードのIC内部の基本的な領域の論理的な構成を示す。セキュリティドメイン(108)はアプリケーション層に存在し自らが責任を持つアプリケーション(106)を管理する。アプリケーションはカードに搭載や削除される場合、このセキュリティドメインを通じて行われる。また鍵データなどのセキュリティ情報やID番号などのデータ管理をセキュリティドメインに委託する場合もある。
【0009】
【発明が解決しようとする課題】
上記のようなこれまでのICカードへのアプリケーション搭載方式は、高セキュリティを保ちながらアプリケーションの動的な搭載や削除を可能としている。しかし、複数カード発行者やそのサービス提供者間での運用に際してはいくつかの難点がある。
【0010】
前述のように、サービス提供者は、アプリケーションの搭載を希望するカードのカード発行者に対して、あらかじめ契約を結ぶ必要がある。つまり、カード発行者は、発行するカードにアプリケーションの搭載を希望する全てのサービス提供者と契約関係にあり、そのサービス提供者からの要求を受け、アプリケーション搭載や削除を行う場合は上記アプリケーション搭載方法で良い。図5のように発行者(302)と契約関係にあるサービス提供者(303)がカードA(11)にアプリケーションを搭載する場合は従来方法でいい。しかし、サービス提供者(803)のように、カード発行者とあらかじめ複雑な事前契約やアプリケーションの登録をいちいち行わずにアプリケーションを搭載する要求がでてくるだろう。そもそも、ICカードは複数アプリケーションを搭載可能なことが大きな利点であり、多数のサービスが提供可能であることはカード運用側のカード発行者にとっても利用側のユーザにとっても多大なメリットであるため、このような要求は年々増加するものと予想される。しかし、現在のアプリケーション搭載方式に従い、事前契約などせずにサービスを供給することは不可能である。図5に示すように、サービス提供者(803)と発行者(302)の間には何らかの情報交換が必要である。つまり、従来のアプリケーション搭載方式に従うならば、サービス提供者はアプリケーション搭載を希望するカードの発行者全てと事前に契約を結ぶ必要があり、アプリケーション搭載時には全てのカード発行者にアプリケーション搭載許可証を発行してもらわなければならない。この実現方法には以下のような難点がある。
【0011】
(1)カード発行者―サービス提供者間の契約関係及び運用時の通信の増大と複雑化
N個のカード発行者とM個のサービス提供者の間で相互にサービスを運用する場合、N*Mの契約関係が結ばれることになり膨大な量の契約と運用時の通信が発生することになる。それに伴うコストや時間が増大し最終的にはICカード単価の増加の原因となる。
【0012】
(2)現実的に契約関係を結べない事業者同士の問題
例えば、インターナショナルカードに国内企業のアプリケーションを搭載する場合、この国内企業がカード発行者と直接コンタクトをとることは現実的にはあまりなく、国内向け窓口業務を行う事業者が間に入ることが考えられる。このようにカード発行者やサービス提供者が属する事業主体により直接契約を結んだり通信を確立することが難しい。
【0013】
【課題を解決するための手段】
本願発明の次の主な二つの形態を有する。これら形態の基本思想を、その要点をごく簡潔に要約すると次ぎの通りである。
【0014】
本願発明の第1の形態は、ICカードの発行者以外の第三者による認証書を用いることである。尚、以下ICカードの発行者以外の第三者による認証書を簡便に代理署名と称する。
【0015】
本願発明の第2の形態は、ICカードが限定機能付きのセキュリティドメインを有することである。この第2の形態は、前記第1の形態の機能を補足し、より有用なICカード・システムを提供することを可能ならしめるものである。
【0016】
そして、本願発明の第3の形態は、前記第1と第2の発明思想を合わせて使用することである。こうして、カード発行者が認めた代理者が、カード発行者が認めた条件でアプリケーション搭載を代行することが可能である。
【0017】
以下に、これらの本願発明の基本思想を軸に、本願発明を説明する。
【0018】
先ず、本願発明の第1の形態についてである。
【0019】
第1の形態は、例えば、第2の機関が、少なくとも、ICカード発行に係わる第1の機関を特徴づけ且つサービス提供の為に持ちいる第1の特徴情報、及び当該第2の機関の第2の特殊情報とを、サービス情報提供に係わる第3の機関に提供が可能であり、前記サービス情報提供に係わる第3の機関は、少なくとも、所望のアプリケーション用プログラムと、前記ICカード発行に係わる第1の機関を特徴づけ且つサービス提供の為に持ちいる第1の特徴情報と、当該第2の機関を特徴づけるところの第2の特殊情報と、をICカードに提供が可能なICカード・システムであると言うことが出来る。
【0020】
この観点は、第1に、わけても、カード発行者―サービス提供者間の契約関係及び運用時の通信の増大と言う前述の難点を解決するためのものである。
【0021】
このためには、発行者とサービス提供者の間に代理者という概念を作り、カード発行者とサービス提供者が直接通信を確立せずともアプリケーション搭載可能な方式が必要となってくる。具体的には、カード発行者が代理者と事前提携をすることで代理者業務を行うことを認証することで、サービス提供者が直接カード発行者と通信をすることなくアプリケーション搭載が実現可能であり、かつ通常のアプリケーション搭載方式と同程度のセキュリティを保つことが可能な方式が必要である。
【0022】
本願発明は、以上の要求を満たすICカードのアプリケーションの搭載方式を提供する。
【0023】
図6は本願発明の方式の骨子を説明する図である。ICカード(11)はカード発行者(302)により発行されている。サービス提供者A(303)はカード発行者(302)と契約を結んでおり通常のアプリケーション搭載方法によりカードにアプリケーション801を発行する。
【0024】
サービス提供者B(803)は代理者(901)と契約を結んでいる。
【0025】
本願発明の前提は、前述の難点からして、サービス提供者B(803)とカード発行者(302)との間の通信を行わないことである。従って、本願発明は、代理者を通して間接的に発行者と通信を確立する手法である。つまり、カード発行者が行っているアプリケーションの許可を代理者に代行させ、サービス提供者Bがカードにアプリケーションを搭載するためには代理者とのみ通信を行えば良いという方法である。しかし、代理者によるアプリケーションへの署名(以降、代理署名と呼ぶ)のみでは、次ぎのような難点を有する。即ち、その第1はカードAが正当性を検証できない点である。第2は、カード発行者の意志に関わらず不特定者がアプリケーションの搭載が可能であるとの難点である。尚、ここで、署名とは、暗号理論における署名であることは言うまでもない。その代表例はデジタル署名である。例えば、こうしたディジタル署名は、署名アルゴリズムと、確認アルゴリズムの2つの要素から成っている。例えば、秘密の署名アルゴリズムを利用して、文書に署名をすることが出来る。その結果の署名は、その後公開されている確認アルゴリズムを用いて確認できる。確認アルゴリズムは、文書と署名とによって、確認アルゴリズムは署名が本物かどうかを判断し、真もしくは偽という答えを返すことが出来る。こうした署名に関する一般的な理論は、例えば、ダグラス・スチンソン著、桜井幸一訳の「暗号理論の基礎」(共立出版、1996)の第6章、わけても第217頁より第220頁、あるいは「ハンドブック オブ アプライド クリスタルグラフィ(Handbook of Applied Crystalgraphy)」(CRC Press、1996)、第433頁より第434頁に見られる。
【0026】
こうした難点を回避する為の本願発明の第1の形態の骨子は、次の諸点に要約される。第1は、カード発行者と代理者との間で提携契約を結ぶ際に、カード発行者が代理者に対して代理業務を行うことを認める代理者認定証を渡しておくことである。第2は、代理者がアプリケーション認証する際に、代理署名と代理者認証書を合わせてサービス提供者に渡すことである。こうして本願発明によれば、カードA内で代理者認証書がカード発行者による正当なものかを検証することで、不特定者によるアプリケーションの搭載を防ぐことができる。
【0027】
本願発明の主な第2の形態は、前記第1の形態の機能を補足し、より有用なICカード・システムを提供することを可能ならしめるものである。その形態を要約すると、ICカードが、いわゆる限定機能付きのセキュリティドメインを有することである。
【0028】
本願発明の第2の形態は、例えば、第2の機関が、少なくとも、ICカード発行に係わる第1の機関を特徴づけ且つサービス提供の為に持ちいる第1の特徴情報、及び当該第2の機関の第2の特殊情報と、アプリケーション用プログラムのICカードへの格納に関する条件を有するプログラムとを、サービス情報提供に係わる第3の機関に提供が可能であり、前記サービス情報提供に係わる第3の機関は、少なくとも、アプリケーション用プログラムと、前記第1の特徴情報と、前記第2の機関を特徴づけるところの第2の特徴情報と、前記アプリケーション用プログラムのICカードへの格納に関する条件を有するプログラムと、前記格納条件を有するプログラムに係わる第3の特徴情報と、をICカードに提供が可能なICカード・システムであると言うことが出来る。
【0029】
本願発明に係る第1の形態のみでは一度代理者認証書を発行したら、代理者は、それ以降無制限にアプリケーションを搭載できる権限を有する。勿論、提携の契約条件にもよるのだが、カード発行者にとっては、「アプリケーション1個分の搭載許可権限を与えたい」あるいは「有効期限を設定した上での搭載許可権限を与えたい」などの要求は当然発生する。本願発明の第2の形態は、この要求を満たすものである。
【0030】
セキュリティドメインは、前述のようにカード内でアプリケーションの搭載、削除あるいは管理機能などを実現するアプリケーションもしくはデータを有する領域である。従って、本来、セキュリティドメインは、サービス提供者によって作成される。しかし、本願発明では、カード発行者がこのセキュリティドメインを作成し、これを代理者を通してサービス提供者に渡し、サービス提供者のセキュリティドメインとして機能させる。カード発行者は作成の際、アプリケーション搭載回数や有効期限など提携契約に対応する諸条件をセキュリティドメイン内部に設定し、提携先に送信する。もちろん、このセキュリティドメインは改竄防止策を取っている必要がある。
【0031】
図6を参酌すれば、限定機能付きセキュリティドメイン(805)は、カード発行者(302)により作成され、サービス提供者B(803)のセキュリティドメインとしてカードA11内に格納される。サービス提供者B(803)がアプリケーション(802)を搭載する場合、サービス提供者B(803)は代理者(901)にアプリケーションの搭載の許可を依頼する。代理者(901)は、サービス提供者B(803)に代理者認証書と代理署名を合わせて送信する。サービス提供者B(803)はアプリケーション(37)と代理者認証書と代理署名を合わせてカードA(11)内に送る。カードAは、限定機能付きセキュリティドメイン内に設定された限定条件に照らし合わせながら、代理者認証書が正しくカード発行者によることを検証する。その結果、カードAが、代理署名によりアプリケーションの正当性を確認した場合、当該カードAはアプリケーションを搭載を可能とする。
【0032】
【発明の実施の形態】
図7は、本発明のICカード(11)及びICカードアプリケーションの発行システムの構成図である。図7で、符号302はカード発行者のサーバであり、符号305はカード発行者のデータベースでカード発行者が運用する全てのICカードに関する運用情報である発行管理データを管理する為のものである。同様に符号901は代理者のサーバであり、符号902は代理者のデータベースで、代理者の搭載の許可を出すAPに関する運用管理情報であるAP関連データを管理する。符号303はサービス提供者のサーバであり、符号306はサービス提供者で自身のアプリケーションの運用情報であるAP関連データを管理する。ICカード(11)はカード発行者システム内のカード発行処理部(308)により発行され、クライアントである利用者(301)のもとに配布される。尚、ここでのカードの発行及び配布は、オンライン動作ではなく、通例の意味における発行及び配布である。
【0033】
また、カード発行処理部(308)は代理者システムのAP搭載許可処理部(310)と事前提携(315)を行い、代理者であることを認める代理認定証のやり取りなどを行う。サービス提供者(303)がアプリケーションをカードに搭載する場合、サービス提供者システム内のAP搭載処理部(312)が代理者のAP搭載許可処理部(310)にAP搭載要求(319)を行う。代理者は事業者ポリシーに従い、APの正当性を確認の上AP搭載許可を発行する(316)。サービス提供者は、受け取ったAP搭載許可とアプリケーションを合わせて外部端末(304)を通してICカードへ送信する(314)。カード発行者サーバ(302)と代理者サーバ(901)、代理者サーバ(901)とサービス提供者サーバ(303)は、各々基本的にネットワーク(318、319)を通して接続されている。しかし、運用事業者のポリシーによりフロッピーディスクなど情報記録媒体の郵送や、書面の郵送などにより情報のやり取りを実現することもある。このように、本願発明のシステムは、カード発行者と代理者は提携契約を結び、代理者がサービス提供者へのサービス提供許可を代行し、サービス提供者サーバからユーザのICカードへアプリケーションが搭載される仕組みとなっている。
【0034】
ここで、以下の説明の理解を容易にする為、本願明細書での特徴的な主要用語について説明する。
【0035】
「代理署名」は、カードの発行者を代理して署名を行うことである。その具体例は署名の対象となる情報に、当該情報を代理者の秘密鍵で暗号化した情報を付与した情報のことである。尚、ここで、前記署名の対象となる情報に代えて、この情報を特徴付ける情報、例えば、そのハッシュ値を用いることも出来る。従って、前記「代理署名」の用語は、この意味をも含むものである。
【0036】
「署名付**」は、「**」に、「**」を署名者の鍵、例えば秘密鍵で暗号化した情報を付与した情報のことである。尚、ここで、前記署名者の鍵に代えて、この鍵情報を特徴付ける情報、例えば、そのハッシュ値を用いることも出来る。従って、前記「署名付**」の用語は、この意味をも含むものである。
【0037】
「代理認定書」は、代理者が発行者によって、その代理であることを認定されたことを示す情報である。その具体例は、代理者の公開鍵に、代理者の公開鍵を発行者の秘密鍵で暗号化した情報を付与した情報である。
【0038】
「アプリケーション認定書」は、アプリケーションをICカードに搭載することを許可する情報である。その具体例は、アプリケーションを特徴付ける特徴情報に、その特徴情報を代理者の秘密鍵で暗号化した情報を付与した情報である。
【0039】
「セキュリティドメイン」はアプリケーションの搭載、削除、あるいはその他の諸管理を行うプログラムのことである。
【0040】
「限定機能付きセキュリティドメイン」は、前記のアプリケーションの搭載、削除、あるいはその他の諸管理にある制限を与える条件を付与したプログラムのことである。
【0041】
尚、本願発明は非対称暗号化機能を有するデータ・システムに関する。
【0042】
非対称暗号化機能とは、例えば、暗号鍵として公開鍵、秘密鍵を使用し、且つこうした非対称暗号鍵により暗号化されたデータの復号化が可能である機能のことである。
【0043】
次に、本願発明の係わる代理署名及びアプリケーションの搭載の具体的方法を説明する。
【0044】
ICカードに対する端末機などは、通例のもので良い。本願発明に係わる各機関は、サーバ、リーダライタなど端末機を有する。本願に係わる各種情報は、このサーバに一旦保持される場合、リーダライタを通してICカードに情報が搭載される場合など各種形態が考えられる。本願発明はこうした動作形態に直接関係するものではない。本願発明はこれらのいずれの場合も適用可能である。
【0045】
図29は簡単にカード・システム例の概要を示す図である。ICカード52の中にはチップ51があって、リーダライタ53とデータのやりとりを行う例を示している。リーダライタの中にはコントロールプロッセサ54やデータベースとなる磁気ディスク55などが存在する。ICカード52には、例えば、Vcc(供給電源)、GND(グランド)、RST(リセット)、I/O(入出力)、及びCLK(クロック)などの諸端子が示されている。又、図中、(1)はリーダライタ53からICカード52に対しての、例えば、ID(IDENTIFICATION)などの各種問い合わせを示す。(2)はICカードが前述の問い合わせに対する返答を示す。こうした、諸情報の伝達は通例のシステムで十分である。従って、その詳細の説明は省略する。
【0046】
尚、ICカード内のICチップにおいて、具体的には、前述のアプリケーション、セキュリティドメインなどは、OS部、メモリ領域に搭載される。一般に、メモリとしては、RAM(Randum Access Memory)、フラッシュ・メモリ(Flash Memory)、FRAM(Terromagnetic Randum Access Memory)、EEPRON(Electrical Erasable Programmable Read Only Memory)あるいはROM(Read Only Memory)などが用いられる。従って、本願明細書において、「セキュリティドメインを用いて」あるいは「セキュリティドメインを経由して」とは、OS部が、そのセキュリティドメインなるプログラムを取り出し、このプログラムによって、所定の情報たるデ−タの諸管理状態を確認し、必要があれば、所定の処理を行うことを意味している。ここで、デ−タの諸管理の項目とは、例えば、サービス情報の搭載容量、搭載回数、搭載するサービス情報の個数、サービス情報の搭載可能な有効期間などである。
【0047】
OS部などは通例のもので十分である。ICチップ内の信号処理は、通例のICカードのそれをもちいて十分である。
【0048】
又、ICカードには、接触型ICカード、非接触型ICカードなどがあるが、本願発明はこうしたICカードの構成自体によらず適用することが出来る。
【0049】
図8を参酌して、代理署名について説明する。カードA(11)はマルチアプリケーションのダイナミックローディングに対応するOSが搭載されたICカードであり、カード発行者(302)により発行済みである。また、サービス提供者B(803)はICカードにアプリケーションを搭載しサービスを運用する事業主体者であり、代理者(901)とサービス提供に関する契約を結んでいる。通常であれば、サービス提供者B(803)がカードA(11)にアプリケーションを搭載するためには、カード発行者(302)とサービス提供に関する契約を直接結び、通信を確立した上で許可を受けなければならない。しかし、本願発明のシステムは、カード発行者(302)と代理者(901)の間で提携契約を結び、代理者(901)がカード発行者(302)の代理としてアプリケーション搭載許可を行う方法である。提携契約時に、カード発行者(302)は代理者(901)に代行業務を行うことを認める代理認定証を渡し、以降アプリケーション搭載許可は代理者(901)が行う。サービス提供者B(803)はアプリケーション搭載時に、代理者からアプリケーション搭載許可を受け、カードAにアプリケーションを搭載する。
【0050】
上述した本願発明の第1の形態のシステムが、具体的にどのように行われるか、図9を参酌して説明する。即ち、代理署名を行う際の処理シーケンスを説明する。
【0051】
<代理署名を行う際の代表的な基本処理シーケンスの例>
カード発行者(302)と代理者(901)の間では、お互いの運用ポリシーに基づき提携契約を結ばれている。提携契約に合意した場合、代理者はカード発行者に自らの非対称鍵公開鍵を送付し、代理者認証書を要求する(ステップ12001)。
【0052】
カード発行者は受け取った公開鍵に対して、自らの非対称鍵秘密鍵で署名を行った代理認定証を代理者に送付する(ステップ12002)。
【0053】
次に、カードA(11)へのサービス提供者B(803)によるアプリケーション搭載する際は、まず、サービス提供者Bが代理者にカードAに対するアプリケーション搭載許可要求を行う(ステップ12003)。尚、アプリケーション搭載許可要求の具体例は、例えば、搭載するアプリケーションのハッシュ値を送付することである。ハッシュ値とは、当該アプリケーションに対応した固有のデータ値である。アプリケーション搭載許可要求を行う場合、必ずしもハッシュ値でなくとも良いが、ハッシュ値が最も便利であり、多く用いられる。
【0054】
代理者は、サービス提供者Bから事前に申請されているアプリケーションの内容を照会し、その正当性を確認する。前述のハッシュ値を用いる場合、この正当性の確認は、例えば、サービス提供者Bより送付されたハッシュ値と、当該ICカードの内部で発生させた当該アプリケーションに対応したハッシュ値とを比較することによって行われる。こうしたステップの詳細は後述される。また、カード発行者よりホットリスト(不正カード情報あるいはブラックリスト)などカードに関する情報が提供されていれば、それをも合わせて確認される。
【0055】
代理者は受け取ったアプリケーションのハッシュ値に非対称鍵秘密鍵で代理署名し、代理認定証と合わせてサービス提供者Bに送付する(ステップ12004)。なお、この秘密鍵は提携契約時にカード発行者に送付した非対称公開鍵に対応するものである。
【0056】
サービス提供者は受け取った代理署名付きアプリケーションハッシュ値、代理認定証、アプリケーション本体を合わせてカードに送信する(ステップ12005)。
【0057】
カード内には、カード発行時に、カード発行者の公開鍵が格納されているので、それを用いて代理認定証の署名検証を行い正当性を確認する。
【0058】
これは、代理者の公開鍵に署名を付与したものなので、署名が正しいことを確認した上で、この公開鍵を用いてアプリケーションのハッシュ値を復号化する。それと受け取ったアプリケーションから作成したハッシュ値を比較し同一であれば、アプリケーションをロード・インストールし、アプリケーション搭載完了となる。
【0059】
このように本願発明の第1の形態の手順は、アプリケーションの正当性を代理者が保証し、代理者の正当性をカード発行者が保証することで、間接的にカード発行者の保証のもとにアプリケーションを搭載する仕組みとなっている。図6に例示したように、カード発行者とその他プレーヤの間は、提携契約時、代理認定証の送付のステップがあるが、以降オフラインとなっており、通信を確立する必要がない。ただし、提携契約内容によっては、不正カード情報であるホットリストや各種運用に必要な情報をカード発行者間でやり取りする場合もあるが、その場合でも、カード発行者とサービス提供者との間に通信を直接確立する必要はない。
【0060】
以上説明した代理署名を行う際の基本処理シーケンスに基づく動作の更なる動作例の詳細を、図10から図14を用いて説明する。即ち、各図は、各々カード、カード発行者、代理者、サービス提供者の各プレーヤ毎の動作フローチャートである。
【0061】
<ICカード:ICカードでのアプリケーション搭載処理の例>
図10は、代理署名を用いたアプリケーション搭載処理を行うICカード側での動作のフローチャートである。
【0062】
カードがアプリケーション搭載処理を開始する(ステップ13001)。
【0063】
ICカードは、サービス提供者より、代理認定証と代理者が署名したアプリケーション認証書とアプリケーションを受信する(ステップ13002)。このステップは図9のステップ12005に対応する。
【0064】
代理認定証はカード発行者により署名されている。一方、この代理認定証に対応する鍵がICカード内に格納されており、ICカードは、それを使用して前記の代理認定証を検証し、代理者の鍵を復号化する(ステップ13003)。
【0065】
復号化した代理者の鍵を用いて、代理者が署名したアプリケーション認証書の検証を行い、アプリケーションのハッシュ値を取り出す(ステップ13004)。
【0066】
また、ICカードは、送信されたアプリケーションのハッシュ値をカード内で計算し、さきほど復号化したハッシュ値と同一かどうかを確認する(ステップ13005)。
【0067】
これらが同一であれば、ICカードは、カード発行者が認証した正当なアプリケーションだと認め、これをインストールする(ステップ13006)。
【0068】
一方、これらが同一でない場合は、不正なアプリケーションである可能性があるのでインストール処理を中止し、その旨をカード外にエラーメッセージで伝える(ステップ13007)。
【0069】
<カード発行者:カード発行者が代理署名を用いた事前提携処理を行う処理例>図11は、カード発行者が代理署名を用いた事前提携処理を行う場合のフローチャートである。このステップは図9における、ステップ12001及び12002に対応する。
【0070】
カード発行者は、代理者を認める事前提携処理をはじめる。
【0071】
カード発行者は、代理認定証を作成するため、代理者から公開鍵を受け取る(ステップ14002)。
【0072】
カード発行者は、ICカード内に格納してある鍵と、これに対応する鍵でこの公開鍵に署名を行い、代理者に戻す(ステップ14003)。 以上が、カード発行者―代理者間の事前提携フローである。
【0073】
図12は代理署名を用いた、代理者の事前提携処理手順を示すフローチャートである。代理者はカード発行者の代行業務を行うために事前提携処理を行う。まずカード発行者に代理者の公開鍵を送信し(ステップ15002)、カード発行者の署名が付与された代理認定証を受け取る(ステップ15003)。
【0074】
<代理者:代理署名を用いた、アプリケーション搭載処理の例>
図13は代理署名を用いた、アプリケーション搭載処理手順を示すフローチャートである。
【0075】
代理者は、サービス提供者からのアプリケーション搭載要求を受領する(ステップ16002)。
【0076】
代理者は、事前に登録されていたアプリケーションの内容やサービス提供者の正当性を確認し、アプリケーション搭載を許可できるかどうかを判断する(ステップ16003)。
【0077】
搭載を許可する場合、代理者は、アプリケーション認証書をサービス提供者に送り返す(ステップ16004)。このアプリケーション認証書は、サービス提供者から送られてきたアプリケーションの特徴を示すデータを、代理者が鍵で暗号化したデータとカード発行者から事前提携時に受け取っている代理認定証を合わせたものである。尚、前記アプリケーションの特徴を示すデータは、例えば、前述のアプリケーションのハッシュ値などである。
【0078】
搭載不可の場合は、代理者は、その旨をサービス提供者に伝える(ステップ16005)。
【0079】
<サービス提供者:サービス提供者のアプリケーション搭載処理の例>
図14は代理署名を用いた、サービス提供者のアプリケーション搭載処理手順を示すフローチャートである。
【0080】
サービス提供者は、代理者に対して、アプリケーションの特徴を示すデータ、例えばハッシュ値などを送付して搭載許可を要求する(ステップ17002)。
【0081】
サービス提供者は、代理者からアプリケーション認証書を受け取り(ステップ17003)、アプリケーションと合わせてICカードに送信する(ステップ17004)。
【0082】
以上が、代理署名方式を利用してICカードにアプリケーションを搭載する場合の処理手順の例である。
【0083】
次に、前記本願発明の第1の形態の機能を補足する第2の形態の具体例を説明する。前述したように、その形態を要約すると、ICカードが、いわゆる限定機能付きのセキュリティドメインを有することである。
【0084】
上述のように、代理認定証を渡すことで問題点は解決したが新たに起こる問題として、一度代理認定証を発行したら、代理者はそれ以降無制限にアプリケーションを搭載できる権限を持つということがある。ICカード上のアプリケーション搭載領域は無限にあるわけではなく、また提携契約などは期限を設定して結ばれることが通常であるため、カード発行者にとって「アプリケーション1個分の搭載許可権限を与えたい」あるいは「有効期限を設定した上での搭載許可権限を与えたい」などの要求を満たす仕組みが望まれる。
【0085】
そこで、本願の第2の形態が提案された。図15は「限定機能付きセキュリティドメイン」を用いる場合の全体構成図である。
【0086】
図15において、ICカード(11)、カード発行者(302)、代理者(901)、サービス提供者B(803)のプレーヤの役割と関係は図11と同様である。カード発行者(302)と代理者(901)の間で提携契約を結び、代理者(901)がカード発行者(302)の代理としてアプリケーション搭載許可を行う方式であることは図11と同じであるが、異なる点としてアプリケーションを搭載する前に、セキュリティドメインを搭載する必要がある点である。以下の説明では、図9の例と異なる点を主に説明し、同じ諸点は説明を省略する。
【0087】
セキュリティドメインとはカード内で、アプリケーション搭載、削除、あるいは管理を行うものである。こうした管理を可能ならしめる前提条件としては、(1)セキュリティドメイン内部に非対称鍵暗号鍵を格納することが可能であることと、(2)アプリケーションはセキュリティドメインを通してカードに格納されることが挙げられる。セキュリティドメインの具体的な形態はアプリケーションの場合もあり、ライブラリの場合もあり、データの場合もある。また、従来はアプリケーション搭載を行う事業者が、セキュリティドメインを作成していた。しかし、本願発明では、カード発行者が作成する。提携契約時にカード発行者(302)は代理者(901)に代理者として認める代理者認証書の他に限定機能付きセキュリティドメインを渡す。カードAにアプリケーションを搭載希望するサービス提供者BはまずカードAにセキュリティドメインを搭載するため代理者のもとにある限定機能付きセキュリティドメインを受け取りカード内に設定する。その後アプリケーション搭載許可を代理者から受け取りアプリケーションを前記セキュリティドメインを通してカード内に格納する。
【0088】
図16は、代理署名と限定付きセキュリティドメインの機能を合わせて用い、提携を実現する際の処理シーケンスを示す図である。
【0089】
カード発行者(302)と代理者(901)の間でお互いの運用ポリシーに基づき提携契約を結ばれている。提携契約に合意した場合、代理者はカード発行者に自らの非対称鍵公開鍵を送付し代理者認証書を要求する(ステップ19001)。
【0090】
カード発行者(302)は受け取った公開鍵に対して、自らの非対称鍵秘密鍵で署名を行い、代理者認証書を代理者(901)に送付する(ステップ19002)。
【0091】
次にセキュリティドメインに格納する鍵に関連するやり取りを行う。セキュリティドメインには、運用時にはカード発行者の鍵と代理者の鍵が格納される。まず、代理者(901)はセキュリティドメイン用の非対称鍵のペアを作成し、その秘密鍵をカード発行者(302)に送付する(ステップ19003)。
【0092】
但し、秘密鍵の内容はカード発行者を含め他者には知られてはセキュリティ上問題があるので、秘密鍵をブラインド化し送付する。カード発行者も同様にセキュリティドメイン用の非対称鍵のペアを作成し、この秘密鍵を用いて、受け取った代理者のブラインド化した秘密鍵に署名を行い、代理者に戻す(ステップ19004)。
【0093】
これを受け取った代理者はブラインドを解除する。非対称鍵におけるブラインド署名の方式は既に知られている技術である。この方式自体は、例えばRSAブラインド署名などが知られている。それは、例えば、岡本龍明、山本博資著『シリーズ/情報科学の数学 現代暗号』(産業図書株式会社発行、1997)に見られる。
【0094】
その後、カード発行者(302)は、提携契約に応じた内容の限定条件を設定したセキュリティドメインを作成し、自らのセキュリティドメイン用公開鍵をその内部に格納する。もしくは、あらかじめ提携契約の内容に応じて作成してあったセキュリティドメインにセキュリティドメイン用公開鍵をセットする。このセキュリティドメインにカード発行者の秘密鍵で署名を行い、代理者に限定機能付きセキュリティドメインとして送付する(ステップ19005)。こうして、事前提携時のやり取りは完了する。
【0095】
ここで一つ注意すべき点としては、「カード発行者の鍵」と「代理者の鍵」というそれぞれの非対称鍵の他に、「カード発行者のセキュリティドメイン用の鍵」と「代理者のセキュリティドメイン用の鍵」が存在することが挙げられる。
【0096】
次にアプリケーション搭載時のやり取りに関して説明する。アプリケーションはセキュリティドメインがカード内に設定されていることが前提なので、最初にセキュリティドメインの搭載方法を説明する。
【0097】
<セキュリティドメインの搭載方法の例>
カードA(11)へサービス提供者B(803)のセキュリティドメインを搭載する場合、サービス提供者Bのセキュリティドメインとは、事前提携時にカード発行者(302)から代理者(901)へと送付された限定機能付きセキュリティドメインのことである。代理者(901)は、サービス提供者からのセキュリティドメイン搭載許可要求を受ける(ステップ19006)。
【0098】
限定機能付きセキュリティドメインをサービス提供者Bに送付する(ステップ19007)。ただし、あらかじめセキュリティドメインを配布しておくことも可能なので、ステップ19006とステップ19007に関しては、順序が逆の場合もあり得る。代理者はステップ19004において受け取りブラインド解除してあった署名付き秘密鍵とそれに対応する公開鍵をセキュリティドメイン用鍵ペアとしてサービス提供者Bに送付する(ステップ19008)。
【0099】
このセキュリティドメイン用公開鍵は暗号化や署名はされておらず、サービス提供者Bが該セキュリティドメインと通信する上での署名検証や、セキュアな通信確保などに使用する。次にサービス提供者Bは限定機能付きセキュリティドメインをカードに格納する(ステップ19009)。こうして、ICカードは、このセキュリティドメインの正当性を検証する。限定付きセキュリティドメインは、ステップ19005についての記述にもあるように、カード発行者の鍵の署名が付与されており、カード内にはカード発行時にカード発行者の公開鍵が搭載されている。従って、ICカードは、この鍵を用いて当該セキュリティドメインの正当性検証が可能である。
【0100】
正当性が確認できた場合、サービス提供者Bよりセキュリティドメイン用秘密鍵を受け取り(ステップ19010)、この鍵の正当性を検証する。ステップ19004についての記述にもあるように、このセキュリティドメイン用鍵とは、代理者のセキュリティドメイン用秘密鍵にカード発行者のセキュリティドメイン用秘密鍵で署名を行っているものである。カード内に設定された限定機能付きセキュリティドメインにはカード発行者のセキュリティドメイン用公開鍵が設定されているので、内部で署名の正当性を検証可能である。セキュリティドメイン用鍵の正当性が確認できた場合、鍵は復号化され代理者のセキュリティドメイン用秘密鍵が限定機能付きセキュリティドメイン内部に設定される。
【0101】
ここまでで、限定付きセキュリティドメインは、ICカードに格納され、鍵も設定されたので機能し始める。当該セキュリティドメイン内部には
(a)カード発行者が該セキュリティドメイン用に作成した公開鍵と
(b)代理者が該セキュリティドメイン用に作成した秘密鍵
とが格納されている。前記(a)の項目に対応する秘密鍵はカード発行者が保持している。また、前記(b)の項目に対応する公開鍵はサービス提供者Bに送付されている。つまり、カード発行者によって作成された限定機能付きセキュリティドメインは2つの主体者の鍵を保持し、カードA内で機能するのである。
【0102】
次にカードA(11)へサービス提供者B(803)によるアプリケーション搭載時の説明を行う。
【0103】
まず、サービス提供者Bが代理者にカードAに対するアプリケーション搭載許可要求を行う(ステップ19011)。アプリケーション搭載許可要求は、具体的には、搭載するアプリケーションのハッシュ値を送付することである。
【0104】
代理者(901)は、サービス提供者(803)と事前に申請されているアプリケーションの内容を照会しその正当性を確認する。また、カード発行者よりホットリスト(不正カード情報・ブラックリスト)などカードAに関する情報が提供されていればそれを確認する。代理者は受け取ったアプリケーションのハッシュ値に自らの秘密鍵で代理署名し、ステップ19002で受け取った代理者認証書と合わせてサービス提供者Bに送付する(ステップ19012)。なお、この秘密鍵は提携契約時にカード発行者に送付した非対称公開鍵に対応するものである。
【0105】
サービス提供者Bはステップ19008で取得しているセキュリティドメイン用公開鍵でアプリケーションを暗号化しておき、アプリケーション搭載許可要求の回答として送付されてくる代理署名付きアプリケーションハッシュ値、代理者認証書を、この暗号化したアプリケーション本体を合わせてカードに送信する(ステップ19012)。
【0106】
カードAは、以上の情報を限定機能付きセキュリティドメインが受け取り、まず代理者認証書の署名検証を行う。代理者認証書は代理者の公開鍵に対して、カード発行者のセキュリティドメイン用秘密鍵で署名されたもので、限定機能付きセキュリティドメイン内部には対応する公開鍵が保持されているので、これを用いて署名検証し、即ち、復号化する。
【0107】
ここで、復合化が可能ということは、署名が正しいことを示している。アプリケーションのハッシュ値に代理署名した鍵は、代理者の秘密鍵なので、復号化した代理者の公開鍵を用いてハッシュ値を復号化して取り出す。また一方アプリケーションには代理者のセキュリティドメイン用公開鍵で暗号化されているが、限定機能付きセキュリティドメイン内部にはこれに対応する秘密鍵が格納されているため、これを用いてアプリケーションを復号化し、ハッシュ値をとる。これが先程のハッシュ値と同一であるかを照会し、同一であれば正当なアプリケーションとしてカードA内にロード・インストールし、アプリケーション搭載完了となる(19013)。
【0108】
以上の手順は、アプリケーションの正当性を代理者(901)が保証し、代理者の正当性をカード発行者(302)が保証することで、間接的にカード発行者(302)の保証のもとにアプリケーションを搭載する仕組みとなっている。先に、セキュリティドメインに格納されている2つの鍵を、(a)カード発行者作成鍵、(b)代理者作成鍵と記した。
【0109】
(a)の鍵は代理者認証書の検証を行い、一方(b)の鍵はアプリケーションの検証を行っている。
【0110】
代理署名のみを使用した仕組みとの違いとしては、次ぎの事項が挙げられる。(1)第1は、カード内で正当性を検証する鍵はセキュリティドメイン内部に保持されていることである。
【0111】
(2)第2は、上記の鍵はあらかじめ該セキュリティドメイン用にカード発行者と代理者がそれぞれ作成したものであることである。
【0112】
(3)第3は、アプリケーション搭載・削除・管理や上記鍵の使用は該セキュリティドメイン、もしくはセキュリティドメイン情報を用いたカードOSが行うことである。
【0113】
前述したように、アプリケーション搭載、削除及び管理は、本願発明における限定機能付きセキュリティドメインによりコントロールされている。そして、それをカード発行者が、提携契約条件に従って作成していることから、無制限なアプリケーション搭載は避けることが可能である。代理者が不正に代理署名を行ったとしても、本願発明によれば、次ぎの方策が可能である。即ち、提携契約時に、「アプリケーション1つのみ搭載可能」、「ある日時にまで搭載期限」、「ある容量を超えて搭載不可能」などの適当な条件を付け、その限定機能を付けてセキュリティドメインを、作成すれば良い。カード発行者とその他プレーヤとの間は、提携契約時以降オフラインとなっていて、カード発行者の意志に反してカードにアプリケーションが送信されてきても、カード内の当該セキュリティドメインが搭載を拒否することになる。
【0114】
以上説明した限定機能付きセキュリティドメインを用いる際の基本処理シーケンスに基づく動作の更なる動作例の詳細を、図17から図24を用いて説明する。即ち、各図は、各々ICカード、カード発行者、代理者、サービス提供者の各プレーヤ毎の動作フローチャートである。本図面で“SD”記載されているのは本願発明で提案する限定機能付きセキュリティドメインのことであり図面の説明においてもSDと表す。
【0115】
<ICカード:SD搭載処理の例>
図17は、本発明方式を利用したSD搭載処理を行うカードのフローチャートである。この処理は、図19の19009及び19010の両ステップに対応する。
【0116】
ICカードはサービス提供者からSDを受信する(ステップ20002)。
【0117】
SDは発行者の鍵により署名されているので、カード内の対応する鍵を用いて復号化する(ステップ20003)。
【0118】
このSDの署名が正しければ、SDをカード内にインストールし(ステップ2005)、正しくない場合はSDのインストールを中止しカード外にその旨を伝える(ステップ20010)。
【0119】
SDをインストールした後は、SD内に設定する鍵を受信する(ステップ20006)。これはカード発行者のSD用鍵で署名されているが、対応する鍵がSD作成時に内部に設定されているので、これを用いて署名を復号化する(ステップ20007)。
【0120】
正しい鍵かどうかを検証し(ステップ20008)、正しければSD内に鍵を設定し(ステップ20009)、不正であれば、SDへの設定を中止しカード外にその旨を伝える(ステップ20011)。
【0121】
<ICカード:アプリケーション搭載処理の例>
図18は、本願発明方式を利用したアプリケーション搭載処理を行うカードのフローチャートである。この処理は、図16の19013のステップに対応する。
【0122】
カードはアプリケーション搭載処理を開始すると(ステップ21001)、代理認定証と代理者が署名したアプリケーション認証書とサービス提供者が持つSD用鍵で暗号化したアプリケーションをサービス提供者より受信する(ステップ21002)。
【0123】
代理認定証はカード発行者により署名されており対応する鍵がSD内に格納されているので、それを使用して代理認定証を検証し、代理者の鍵を復号化する(ステップ21003)。
【0124】
復号化した代理者の鍵を用いて、代理者が署名したアプリケーション認証書の検証を行い、アプリケーションのハッシュ値を取り出す(ステップ21004)。
【0125】
アプリケーションはサービス提供者により暗号化されているが、対応する鍵がSD内にあるのでそれを用いてアプリケーションを復号化し取り出し(ステップ21005)、そのハッシュ値をカード内で計算し、さきほど復号化したハッシュ値と同一かどうかを確認する(ステップ21006)。
【0126】
もし、同一であればカード発行者が認証した正当なアプリケーションだと認めインストールする(ステップ21007)。
【0127】
同一でない場合は、不正なアプリケーションである可能性があるのでインストール処理を中止し、その旨をカード外にエラーメッセージで伝える(ステップ21008)。
【0128】
<カード発行者:事前提携処理の例>
図19は、カード発行者が、本発明を利用した事前提携処理を行う場合のフローチャートである。この処理は、図16のステップ19001より19005にかけてのステップである。
【0129】
カード発行者は、代理者を認める事前提携処理をはじめると、代理認定証を作成するため代理者から公開鍵を受け取る(ステップ22002)。
【0130】
発行者は、カード内に格納してある鍵と対応する鍵で、この公開鍵に署名を行い、代理者に戻す(ステップ22003)。
【0131】
また、SD格納用の鍵を代理者から受け取り(ステップ22004)、SD作成時に内部に設定してある鍵と対応する鍵で暗号化し代理者に送信する(ステップ22005)。SDを発行者の鍵で署名し代理者に送信する(ステップ22006)。
【0132】
<代理者:事前提携処理の例>
図20は本発明を利用した代理者の事前提携処理手順を示すフローチャートである。
【0133】
まずカード発行者に代理者の公開鍵を送信し(ステップ23002)、カード発行者の署名が付与された代理認定証を受け取る(ステップ23003)。
【0134】
SD搭載用の鍵を生成し、秘密鍵にブラインド化処理を行いカード発行者に送信する(ステップ23004)。
【0135】
発行者の署名が付与された上記鍵を受け取りブラインド化解除処理を行う(ステップ23005)。
【0136】
発行者の鍵を内部に含むSDを発行者より受け取る(ステップ23006)。このSDはカード発行者の鍵により署名が付与されている。
【0137】
<代理者:SD搭載要求受付け処理の例>
図21は本発明を利用した代理者のSD搭載要求受付け処理手順を示すフローチャートである。この処理は、図19のステップ19006より19008のステップに対応する。
【0138】
サービス提供者からのSD搭載要求を受信すると(ステップ24002)、発行者から受け取ってある署名付きSDをそのままサービス提供者に送信する(ステップ24003)。
【0139】
また次に、あらかじめ作成してあったSD用鍵ペアをサービス提供者に送信する(ステップ24004)。このSD用秘密鍵は事前提携処理において発行者に署名を付与されているものである。
【0140】
<代理者:アプリケーション搭載要求受付け処理の例>
図22は本発明を利用した代理者のアプリケーション搭載要求受付け処理手順を示すフローチャートである。
【0141】
サービス提供者からのアプリケーション搭載要求を受領すると(ステップ25002)、事前に登録されていたアプリケーションの内容やサービス提供者の正当性を確認し、アプリケーション搭載を許可できるかどうかを判断する(ステップ25003)。
【0142】
搭載を許可する場合、サービス提供者から送られてきたアプリケーションのハッシュ値などアプリケーションの特徴を示すデータを代理者が鍵で暗号化したデータとカード発行者から事前提携時に受け取っている代理認定証を合わせてアプリケーション認証書として、サービス提供者に送り返す(ステップ25004)。搭載不可の場合は、その旨をサービス提供者に伝える(ステップ25005)。
【0143】
<サービス提供者:SD搭載処理の例>
図23は本発明を利用したサービス提供者のSD搭載処理手順を示すフローチャートである。
【0144】
サービス提供者は、SD搭載を代理者に要求し(ステップ26002)、発行者の署名が付与されているSDを受け取り(ステップ26003)、カードに送信する(ステップ26004)。
【0145】
カードへのSD設定ができたら、代理者からSD用鍵ペアを受け取る(ステップ26005)。
【0146】
カード発行者の署名が付与されているSD用秘密鍵をカード内のSDに送信し設定する(ステップ26006)。
【0147】
<サービス提供者:アプリケーション搭載処理の例>
図24は、本発明を利用したサービス提供者のアプリケーション搭載処理手順を示すフローチャートである。
【0148】
サービス提供者は、代理者に対してアプリケーションのハッシュ値などを送付して搭載許可を要求し(ステップ27002)、代理者からアプリケーション認証書を受け取る(ステップ27003)。
【0149】
アプリケーションをSDに設定した鍵と対応する鍵で暗号化し、アプリケーション認証書と合わせてカードに送信する(ステップ27004)。
【0150】
以上が、本願発明のアプリケーション搭載方式に従いICカードにアプリケーションを搭載する場合の処理手順である。
【0151】
次に、本願発明を用いて実現可能なICカードの各種利用形態や運用の諸形態について説明する。
【0152】
図9において、本発明における提案方式では901の代理者が発行者(302)の代行業務を行うが、この代行業務を302とは別の発行者が行えば、カードA(11)には発行者A(302)が契約したサービス提供者だけでなく、発行者(901)が契約したサービス提供者のアプリケーションをも搭載することが可能となる。つまり既存の発行者―サービス提供者の仕組みを組み合わせることで本願発明を利用することが可能である。
【0153】
また、発行者間でお互いがお互いの代理者であれば、双方のカードにどちらのサービス提供者のアプリケーションが搭載可能となる。本発明方式を利用することで、既存カード運用管理システム間の相互運用が可能となる。
【0154】
次に本願発明のカードシステムのいくつかの具体的な応用例について説明する。
【0155】
第1の例はテナント業務である。図25を用いて、このテナント業務と言う本願発明の応用について説明する。本願明細書におけるテナント業務とは、ICカード上の部分領域を、カード発行者以外のテナントビジネス事業者に貸与する、即ち、テナント運用する業務のことを言う。
【0156】
図25は、ICカード上の部分領域を運用する概念を示した図である。
【0157】
この例では、本願発明に係る代理署名及び限定機能付セキュリティドメインとを用いて、ICカードに提携業務の関するアプリケーション搭載を行う。
【0158】
図25を参酌して本例を説明する。カード発行者(2801)は、ICカード(11)を発行し、ICカードに係わる責任を全て負う事業者である。カード発行者(2801)は、サービス提供者(2802)やサービス提供者(2803)と契約を結び、ICカード(11)上へ、各々のアプリケーション搭載を許可する。更に、本例では、テナントビジネス事業者(2804)がテナントを希望する事業者(2805)に、
そのアプリケーションの搭載について認証を与える。こうして、テナントを希望する事業者(2805)は、前記ICカード(11)の提携に係わるアプリケーション領域にアプリケーションを搭載する。ここで、テナントを希望する事業者は、これまでの説明におけるサービス提供者である。又、テナントをビジネスとして行おうとする事業者は、これまでの説明における代理者である。
【0159】
ICカード(11)には、マルチアプリケーション搭載を可能とし、且つ、ダイナミックローディング可能であるカードOS(2810)が搭載されており、カード上の機能を実行する。セキュリティドメインはカードOS上に設定されており、2811はサービス提供者(2802)の、2812はサービス提供者(2803)のそれぞれセキュリティドメインである。
【0160】
サービス提供者(2802)はセキュリティドメイン(2811)を通して自らのアプリケーション(2814、2815)を搭載する。同様にサービス提供者(2803)はセキュリティドメイン(2812)を通して自らのアプリケーション(2816、2817)を搭載する。ここで、代理者(2804)と提携契約を結んでいるサービス提供者(2805)がアプリケーションをICカード(11)に搭載する場合は、限定機能付きセキュリティドメイン(2813)を通してアプリケーション(2818、2819)を搭載する構成となっている。このセキュリティドメイン(2813)はある限定機能を付与されており、自らが搭載したアプリケーションを管理しているので、図中斜線部分の領域を考えると、セキュリティドメインにより管理されている領域であるといえる。
【0161】
搭載許可は代理者(2804)が行うので、この搭載領域は、カード発行者(2801)より借りうけて、サービス提供者(2805)などにサービス提供の場を貸し出している構図となっている。これをビルの所有者からフロアを借り受けて店子を募集するテナントビジネス事業者に対応させると、新しくICカード上の領域を、テナントして運用するICカードの運用形態が考えられる。その場合、代理者(2804)は、
ICカードを所有するカード発行者(2801)からICカード上のある領域を借り受け、その領域上に、サービスを提供するサービス提供者(2805)と契約する業務を行う仲介事業者としての機能があれば良い。
【0162】
以上、本例はICカードの一部の所定領域を、テナントビジネス事業者にその利用を貸与する利用形態である。その具体的なアプリケーションの搭載に関する代理者、サービス提供者の動作については、これまで説明してきた本願発明の一般的な運用と同様である。
【0163】
また、図26ではカード発行者(2901)が契約関係にあるサービス提供者に限定機能付きセキュリティドメインを対応させた場合の利用形態について説明する。図25の例との違いは、カード発行者とサービス提供者(2905)との間に代理者(2804)をおかず、カード発行者(2901)が、直接契約しているサービス提供者(2905)であることである。その他の点は前述の例と同様である。
【0164】
この利用形態の利点は、アプリケーション搭載のオフライン認証におけるセキュリティを高くする点である。サービス提供者がアプリケーションを搭載する際に、カード発行者へ認証を要求するのが従来一般的であることは、既に述べた。この場合、要求方法として、ネットワークなどを使用して通信を確立しオンラインで認証してもらう場合と、あらかじめ許可証を大量に発行してもらうオフライン認証がある。オフライン認証の場合、カード発行者のICカードへのコントロールが弱くなる点が問題となっている。しかし、カード上の限定機能付きセキュリティドメインに制限を設定しておくことで、この問題は、コントロール可能となる。また、契約しているサービス提供者間で差異をつけることが可能となり、事業者の信頼度に応じた契約締結ができる。
【0165】
次に、ICカードにおけるバーチャルカードという本願発明のICカードの応用を提案する。
【0166】
図27は、バーチャルカードの概念を説明する図である。バーチャルカ−ドとは、このカードを統括する第3者の認証の下に、複数のカード発行者によるカードの機能に応ずる各々のアプリケションを、一つのカードの所定のアプリケーション領域に搭載したカードの用い方である。従って、一つのカードによって、あたかも複数のカードを持っているかのようにカードを運用することが出来る。
【0167】
図27において、カードA(3005)、カードB(3006)、カードC(3007)は、個別のICカードであり、それぞれのカード発行者は、第3者(3001)と提携契約を結んでいる。以下、この第3者(3001)を、便宜上バーチャルカード発行者と呼ぶ。バーチャルカード発行者(3001)は、カードA上にアプリケーション搭載領域を借り受けているため、バーチャルカード発行者(3001)と契約の有るサービス提供者(3002、3003、3004)は搭載条件さえクリアすれば、カードA上にアプリケーション搭載可能である。バーチャルカード発行者(3001)は契約さえ有れば、同様に、カードBにもカードCにもアプリケーション搭載可能である。つまり、バーチャルカード発行者(3001)は、実際のカード発行業務を行っていないにも関わらず、バーチャルカード(3008)のような概念上のカードを発行しており、バーチャルカード発行者(3001)と契約すればアプリケーション搭載可能なカードと見なすことができる。サービス提供者側から見ると、複数のカードにアプリケーションを搭載するために、1つのカード発行者のみと契約を結び通信を確立すれば良いので大幅手間が省けコスト削減につながる。
【0168】
以上、本願諸発明を説明したが、その要点をまとめると次ぎの通りである。
【0169】
本願発明は、ICカードのカード発行者の許可を直接得ることなく、しかしながら同程度の高セキュリティを保持しながらアプリケーションを搭載することを可能とする。将来、ICカードが普及し、利用数が増加することに伴い発生するであろう下記の諸難点に関しては、カード発行者同士の提携契約とそれに伴う情報のやり取りにより、提携先サービス提供者とカード発行者が直接通信を確立する必要がなくなったため解決される。こうして、本願発明によって、ICカードへの柔軟なサービス提供が可能となった。尚、上記難点とは、第1がカード発行者―サービス提供者間に起こる膨大な量の契約と通信の問題であり、第2が現実的に契約関係を結べない事業者同士の問題である。
【0170】
また、解決方法の一つである代理署名を用いることにより付随して起こる難点として、第1に一度代理者認証書を発行してしまうと無制限に使用される危険性、第2に搭載回数、搭載領域など条件を付けた提携契約を結ぶ必要性を挙げることが出来る。この難点は、限定機能付きのセキュリティドメインを用いることで回避することが出来る。
【0171】
さらに、本願発明のアプリケーションの搭載方式を利用することで、
各種の新しいICカードの利用形態を可能とした。
【0172】
こうした新しいICカードの利用形態の例を列挙すれ、下記の通りである。(1)既存システムへの応用方式、(2)発行者間で相互に代行業務を行うことによる相互運用方式、(3)ICカード上の領域を借り受け運用するテナント事業、(4)カード発行者によるサービス提供者間のアプリケーション搭載における差異の設定、(5)バーチャルカード発行事業。
【0173】
本願は、その形態が多岐に渡るので、以下に主な形態、あるいは概念を整理し、列挙する。
【0174】
その第1は、非対称暗号化機能を有するICカードを利用した署名生成及び検証方式において、
ICカード発行者がICカードにみずからの公開鍵を格納し利用者に配布するステップと、
ICカード発行者が第3者(以降代理者と呼ぶ)の公開鍵を受け取り、
カード発行者の秘密鍵で署名を付与し代理者に戻すステップと、
代理者が自らの秘密鍵でデータに署名を付与するステップと、
代理者が前記カード発行者より受け取ったカード発行者署名付き代理者公開鍵とそのデータを合わせてカードに送信するステップと、
カード内のカード発行者公開鍵で前記付与したカード発行者署名付き代理者公開鍵を検証するステップと、
この代理者公開鍵でデータの署名を検証し正当性を確認するステップを
有することを特徴とする署名生成及び検証方式である。
【0175】
第2は、ICカード発行者がICカードに自らの公開鍵を格納し利用者に配布するステップと、
発行者が代理者の公開鍵を受け取り、自らの秘密鍵で署名し代理認定証として渡すというステップと、
アプリケーションをカードに発行する業務を行う事業主体者(以降サービス提供者と呼ぶ)がアプリケーションのハッシュ値などアプリケーションの特徴を示すデータを代理者に渡すというステップと、
代理者は渡されたアプリケーションのハッシュ値などに代理者の秘密鍵で署名を行うステップと、
上記署名付きハッシュ値と発行者より渡されている代理認定証を合わせてアプリケーション認証書としてサービス提供者に戻すというステップと、
サービス提供者がアプリケーションとアプリケーション認証書を合わせてカードに搭載するというステップと、
カード内の発行者公開鍵により代理認定証を検証するステップと、
上記検証された代理者の公開鍵によりカード内でアプリケーションのハッシュ値を検証するステップと、
カード内でアプリケーションのハッシュ値を計算するステップと、
検証されたハッシュ値と計算されたハッシュ値を比較することでアプリケーションの正当性を確認するステップを
有することを特徴とするアプリケーション搭載方式である。
【0176】
第3は、ICカード内でアプリケーションの搭載・削除・管理機能を行うアプリケーションもしくはデータ(以降セキュリティドメインと呼ぶ)であって、
カード発行者により作成され、
アプリケーション搭載に関する所定の制限がカード発行者により設定可能であり、
内部に発行者の公開鍵が格納されている状態で代理者に渡され、
代理者によりサービス提供者に渡され、
サービス提供者によりカード内に搭載され、
その後サービス提供者により当該セキュリティドメイン内に代理者の秘密鍵を設定され、
アプリケーション搭載時に当該セキュリティドメイン内のカード発行者の公開鍵により代理者の公開鍵の署名を検証し、
上記代理者の公開鍵を用いてアプリケーションのハッシュ値の署名を検証しアプリケーションの正当性を確認する
ことを特徴とするICカード内でアプリケーションの搭載・削除・管理機能を行うセキュリティドメインである。
【0177】
第4は、前記署名生成及び検証方式と、前記セキュリティドメインを利用したICカードへのアプリケーション搭載方式である。即ち、
発行者が代理者に代理認定証と所定の制限を設定したセキュリティドメインを代理者に渡すステップと、
代理者がサービス提供者に、上記セキュリティドメインとセキュリティドメイン用の鍵を渡すステップと、
サービス提供者が、該セキュリティドメインをカードに格納し、鍵を設定するステップと、
サービス提供者が、代理者にアプリケーション認証書を要求し受け取るステップと、
サービス提供者が上記アプリケーション認証書をアプリケーションを合わせてカードに搭載するステップと、
カード内でアプリケーション認証書を検証しアプリケーションの正当性を確認するステップを
有することを特徴とするアプリケーション搭載方式である。
【0178】
第5は、セキュリティドメインをサービス提供者から受け取り格納する手段と、
サービス提供者により該セキュリティドメイン内に鍵を設定する手段と、
アプリケーション搭載時にアプリケーションに付与されたアプリケーション認証書を検証する手段と、
アプリケーションをインストールする手段を
有することを特徴とするアプリケーション搭載可能のICカードである。
【0179】
第6は、自ら以外の第3者である代理者から渡された公開鍵を受け取り、
自らの秘密鍵で署名を付与し代理認定証として代理者に戻し、
セキュリティドメインを作成・条件設定した上で代理者に渡すことを特徴とするICカード発行者である。
【0180】
第7は、ICカードの発行管理業務の一部を代行する事業者(代理者)であり、
自らの公開鍵を発行者に渡し、
発行者の秘密鍵により署名をされた代理認定証を受け取り、
発行者からセキュリティドメインを受け取り、
サービス提供者に該セキュリティドメインとセキュリティドメイン用鍵を渡し、
サービス提供者からアプリケーションのハッシュ値などアプリケーションの特徴を示すデータを受け取り、
それに自らの秘密鍵で署名を付与しそれと代理認定証を合わせてアプリケーション認証書としてサービス提供者に戻すことを特徴とする事業主体者である。
【0181】
第8は、代理者からセキュリティドメインとセキュリティドメイン用鍵を受け取り、
カード内にセキュリティドメインを格納し、鍵を設定し、
カードに搭載するアプリケーションのハッシュ値などアプリケーションの特徴を示すデータを、該カードの発行者の代行業務を行う代理者に送信し、
代理者からの代理認定証と代理者の秘密鍵で署名を付与されたアプリケーションのハッシュ値などをアプリケーション認証書として受け取り、
アプリケーション認証書とアプリケーションを合わせてカードに送信することを特徴とするサービス提供者である。
【0182】
第9は、前記事業主体者が同時にカード発行管理業務も行い、
自らが発行するカードへのアプリケーション認証書の他に、代理認定証を渡されている発行者の発行したカードへのアプリケーション認証書を発行することが可能であることを特徴とするカード発行者間のカード相互運用方式である。
【0183】
第10は、カードを発行管理する発行者同士が双方とも前記代理者であることにより、
発行者は双方の発行するカードに搭載するアプリケーションの認証書を発行することが可能であることを特徴とするカード発行者間のカード相互運用方式である。
【0184】
第11は、ICカード上の部分領域の運用を行い、
カード発行者に対してはICカード上の部分領域を借り受けていることへの対価を支払い、
サービス提供者に対してはアプリケーション搭載に対する課金や問い合わせなどへのサポート業務を行うことの対価を要求することを特徴とする業務である。
【0185】
第12は、セキュリティドメインの機能を使用したICカードへのアプリケーション搭載方式であって、
サービス提供者は該セキュリティドメインを通してのみアプリケーション搭載可能であり、
該セキュリティドメインに設定される条件はカード発行者がサービス提供者との契約内に応じて設定し、
同一カード上で、サービス提供者毎の条件よりアプリケーション搭載条件が異なることを特徴とするアプリケーション搭載方式である。
【0186】
第13は、代理者が複数のICカード発行者の代理者であり、
サービス提供者からのアプリケーション搭載要求を代理者が受け取り、
上記複数カード発行者からの代理認定証を複数付与したアプリケーション認証書を発行し、
サービス提供者が該アプリケーション認証書を受け取ることで複数カードへのアプリケーション搭載が可能となることを特徴としているICカード発行管理代行業務である。
【0187】
第14は、当該ICカ−ドを発行したICカ−ド発行者が署名した代理者の公開鍵と、代理者が署名したアプリケ−ションとを受け取る手段と、代理者の公開鍵に付与されたICカ−ド発行者の署名を検証する手段と、上記代理者の公開鍵によりアプリケ−ションの署名を検証する手段と、を有するアプリケ−ション搭載可能なICカ−ドである。
【0188】
第15は、ICカ−ドの発行管理業務を行うICカ−ド発行者であり、
自ら以外の第3者である代理者から渡された公開鍵を受け取り、自らの秘密鍵で署名を付与し、これを代理認定証として代理者に戻すICカ−ド発行者である。
【0189】
第16は、ICカ−ドの発行管理業務の一部を代行する事業者(代理者)であり、自らの公開鍵を発行者に渡し、
発行者の秘密鍵により署名をされた代理認定証を受け取り、
サ−ビス提供者からアプリケ−ションの、例えば、ハッシュ値などのアプリケ−ションの特徴を示すデ−タを受け取り、
それに自らの秘密鍵で署名を付与し、それと代理認定証を合わせてアプリケ−ション認定証としてサ−ビス提供者に戻すことを特徴とするアプリケ−ション搭載を実施する事業主体者である。
【0190】
第17は、アプリケ−ションをカ−ドに発行する業務を行う事業主体者(サ−ビス提供者)であり、
ICカ−ドに搭載するアプリケ−ションのハッシュ値などアプリケ−ションの特徴を示すデ−タを、前記ICカ−ドの発行者の代行業務を行う代理者に送付し、代理者からの代理認定証と代理者の秘密鍵で署名を付与されたアプリケ−ションのハッシュ値などをアプリケ−ション認定書として受け取り、
アプリケ−ション認定書とアプリケ−ションを合わせてカ−ドに送信するアプリケ−ション搭載を実施するサ−ビス提供者である。
【0191】
【発明の効果】
本願発明の第1の形態は、ICカードのカード発行者の許可を直接得ることなく、カード発行者の許可を得る場合と同程度の高セキュリティを保持しながら、当該ICカードにアプリケーションを搭載することを可能とする。加えて、本願発明の第1の形態は膨大なの契約と通信の量の増大に基づく、現実的各種処理の煩雑さを解消する。
【0192】
本願発明の第2の形態は、ICカードのカード発行者の許可を直接得ることなく、ICカードにアプリケーションを搭載する場合に付随して生ずるアプリケーションの搭載の無制限性の難点を回避する。
【図面の簡単な説明】
【図1】図1はICカードの基本構成を示す図である。
【図2】図2はICカードの発行、サービス提供に関するこれまでのシステム構成の例である。
【図3】図3はセキュリティドメイン機構を持つICカードの基本構成を示す図である。
【図4】図4は従来のアプリケーション搭載の為のシーケンスの例を示す図である。
【図5】図5は従来方式における難点を説明する為の図である。
【図6】図6は本願発明におけるICカード、発行者、代理者、及びサービス提供者の関係を示す図である。
【図7】図7は本願発明のシステムの基本的な構成を示す図である。
【図8】図8は代理署名を行う場合のICカード、発行者、代理者、及びサービス提供者の関係を示す図である。
【図9】図9は代理署名による提携を実現するシーケンスを示す図である。
【図10】図10は、ICカードにアプリケーションを搭載する為の本願発明に係わるシーケンスを示す図である。
【図11】図11は、カード発行者が事前提携を行う為の本願発明に係わるシーケンスを示す図である。
【図12】図12は代理者が事前提携を行う為の本願発明に係わるシーケンスを示す図である。
【図13】図13は代理者がアプリケーションの搭載を行う為の本願発明に係わるシーケンスを示す図である。
【図14】図14はサービス提供者がアプリケーションの搭載を行う為の本願発明に係わるシーケンスを示す図である。
【図15】図15はセキュリティドメインを有するICカードの基本構成を示す図である。
【図16】図16は代理署名及びセキュリティドメインを用いた提携を実現する為の本願発明のシーケンスを示す図である。
【図17】図17はICカードにSDを搭載する為の本願発明のシーケンスを示す図である。
【図18】図18はICカードにアプリケーションを搭載する為の本願発明のシーケンスを示す図である。
【図19】図19はカード発行者が事前提携を行う為の本願発明に係わるシーケンスを示す図である。
【図20】図20は代理者が事前提携を行う為の本願発明に係わるシーケンスを示す図である。
【図21】図21は代理者がSDを搭載する為のシーケンスを示す図である。
【図22】図22は代理者がアプリケーションの搭載を行う為の本願発明に係わるシーケンスを示す図である。
【図23】図23はサービス提供者がSDの搭載を行う為の本願発明に係わるシーケンスを示す図である。
【図24】図24はサービス提供者がアプリケーションの搭載を行う為の本願発明に係わるシーケンスを示す図である。
【図25】図25は本願発明を用いたテナント例を示す図である。
【図26】図26は本願発明を用いた制限付きサービスの提供契約を行う例を説明する図である。
【図27】図27は本願発明を用いたバーチャルカードの例を説明する図である。
【図28】図28はカード・システムの概要を示す図である。
【符号の説明】
11:ICカード、101:ICカード内ハードウェア層
102:ICカード内OS層、106:ICカード内アプリケーション
107:ICカード内アプリケーション層、108:セキュリティドメイン、302:カード発行者サーバ、303:サービス提供者サーバ
304:クライアント側用外部端末、305:カード発行者データベース、306:サービス提供者データベース、801、802:アプリケーション、804、805:セキュリティドメイン、803:サービス提供者、901:代理者、902:代理者のデータベース、2801:カード発行者、2802、2803:サービス提供者、2804:代理者=テナントビジネス事業者、2805:サービス提供者=テナント希望事業者、2810:カードOS、2811、2812:セキュリティドメイン、2813:限定機能付きセキュリティドメイン
2814〜2819:アプリケーション、2901:カード発行者
2902、2903、2905:サービス提供者
2904、2910:カードOS
2911、2912:セキュリティドメイン
2913:限定機能付きセキュリティドメイン
2914〜2919:アプリケーション
3001:バーチャルカード発行者
3002〜3004:サービス提供者、3005〜3007:ICカード、3009〜3011:提携先の搭載領域。
【発明の属する技術分野】
本願発明は、ICカードの発行者以外の第三者による動的認証及びICカードへのアプリケーション搭載方法及びその利用に関する諸技術に関するものである。
【0002】
【従来の技術】
ICカードは、大量の情報が記録可能であり、かつ高度なセキュリティを有するため、磁気カードに代わる新しい情報記録媒体として近年普及しつつある。また、最近ではICカードに複数のアプリケーションを搭載できるマルチアプリケーション機能や、カード発行後にアプリケーションを搭載可能なダイナミックローディング機能を備えたICカード及びカードOSが主流となってきている。
【0003】
従来、これらのICカードへのアプリケーション搭載方式では、該カードを発行した発行者による何らかの署名が付与されたアプリケーションのみを搭載可能としていた。カード発行後に当該カードにアプリケーションを搭載するいわゆる動的搭載も前提としているため、誰にでもアプリケーションが搭載可能であるシステムはセキュリティ上問題があるからである。
【0004】
図1にICカード(11)内に搭載されているIC内部の基本的な領域の論理的な構成を示す。当該ICは、ハードウェア層(101)とOSが搭載される領域、即ちOS層(102)とアプリケーションが搭載される領域、即ちアプリケーション層(107)とを有する。ここで、マルチアプリケーションの搭載が可能とは、アプリケーション層(107)に複数のアプリケーション(106)が搭載できることである。又、ダイナミックローディングが可能であるとは、このアプリケーション(106)をカード発行後にアプリケーションが搭載あるいは削除が可能であることを示す。OS層(102)は通信処理部(103)、インタープリタ(104)、セキュリティ機構(105)などを有し、外部端末からのコマンドの受信やアプリケーションのコマンドの転送などを行っている。当然、アプリケーション層(107)とOS層(102)との間にはアプリケーション・インターフェイス、OS層(102)とハードウェア層(101)との間にはハードウエア・インターフェイスが設けられる。
【0005】
図2はICカードの発行やサービスの提供に関する従来のシステム構成図である。カード発行者(302)とは、ICカードの発行と管理の業務を行う事業主体者であり、カードの責任を負う主体者である。また、サービス提供者(303)はICカード上に搭載するアプリケーションの発行と管理の業務を行う事業主体者である。カード発行後に、アプリケーションをダイナミックに搭載する場合は、サービス提供者の端末からICカードへ搭載することが多い。クライアント側(301)にはICカードとコマンドのやり取りを行う外部端末(304)がある。カード発行者は発行者データベース(305)に発行管理データを保持しており、そのデータに従いカードを発行し利用者に配布する。発行管理データには、利用者からの申請情報や、カードの発行に必要な基本情報が記載されている。ICカード搭載用アプリケーションは、サービス提供者が作成もしくは取得し、ICカードへのアプリケーション搭載を行う。
【0006】
サービス提供者データベース(306)にはアプリケーション関連(以下、AP関連と称する)データが格納されている。前記のように、ICカード上の全ての責任はカード発行者に帰属するため、アプリケーションの正当性をカード発行者が確認する手順が必要である。サービス提供者はカード発行者のAPの搭載を許可する処理部にAP搭載の許可の要求を行う。カード発行者のデータベースには事前に登録されているAPに関するデータが格納されている。そして、要求のあったアプリケーションが不正なものではないか、要求をしているサービス提供者が不正ではないかなどをチェックした上で、APの搭載許可を発行する。サービス提供者はこのAP搭載許可とアプリケーションを合わせてカードに送信し設定するのである。そのため、サービス提供者はあらかじめカード発行者と契約し、自身が正当な事業主であることや、搭載予定のアプリケーションが不正なものではないことを登録する必要がある。
【0007】
カード発行者とサービス提供者のサーバ間は、ネットワークでつながれている場合が多いと想定されるが、書類形式でやり取りすることも可能である。
【0008】
またこれに加え、アプリケーション搭載の際に、カード内でアプリケーション搭載を専用に行うアプリケーションもしくはデータを用いる場合がある。この方式は“セキュリティドメイン”というアプリケーションをサービス提供者毎に用意し、アプリケーション搭載・削除・管理の役割を担わせている。図3にセキュリティドメイン機構を持つICカードのIC内部の基本的な領域の論理的な構成を示す。セキュリティドメイン(108)はアプリケーション層に存在し自らが責任を持つアプリケーション(106)を管理する。アプリケーションはカードに搭載や削除される場合、このセキュリティドメインを通じて行われる。また鍵データなどのセキュリティ情報やID番号などのデータ管理をセキュリティドメインに委託する場合もある。
【0009】
【発明が解決しようとする課題】
上記のようなこれまでのICカードへのアプリケーション搭載方式は、高セキュリティを保ちながらアプリケーションの動的な搭載や削除を可能としている。しかし、複数カード発行者やそのサービス提供者間での運用に際してはいくつかの難点がある。
【0010】
前述のように、サービス提供者は、アプリケーションの搭載を希望するカードのカード発行者に対して、あらかじめ契約を結ぶ必要がある。つまり、カード発行者は、発行するカードにアプリケーションの搭載を希望する全てのサービス提供者と契約関係にあり、そのサービス提供者からの要求を受け、アプリケーション搭載や削除を行う場合は上記アプリケーション搭載方法で良い。図5のように発行者(302)と契約関係にあるサービス提供者(303)がカードA(11)にアプリケーションを搭載する場合は従来方法でいい。しかし、サービス提供者(803)のように、カード発行者とあらかじめ複雑な事前契約やアプリケーションの登録をいちいち行わずにアプリケーションを搭載する要求がでてくるだろう。そもそも、ICカードは複数アプリケーションを搭載可能なことが大きな利点であり、多数のサービスが提供可能であることはカード運用側のカード発行者にとっても利用側のユーザにとっても多大なメリットであるため、このような要求は年々増加するものと予想される。しかし、現在のアプリケーション搭載方式に従い、事前契約などせずにサービスを供給することは不可能である。図5に示すように、サービス提供者(803)と発行者(302)の間には何らかの情報交換が必要である。つまり、従来のアプリケーション搭載方式に従うならば、サービス提供者はアプリケーション搭載を希望するカードの発行者全てと事前に契約を結ぶ必要があり、アプリケーション搭載時には全てのカード発行者にアプリケーション搭載許可証を発行してもらわなければならない。この実現方法には以下のような難点がある。
【0011】
(1)カード発行者―サービス提供者間の契約関係及び運用時の通信の増大と複雑化
N個のカード発行者とM個のサービス提供者の間で相互にサービスを運用する場合、N*Mの契約関係が結ばれることになり膨大な量の契約と運用時の通信が発生することになる。それに伴うコストや時間が増大し最終的にはICカード単価の増加の原因となる。
【0012】
(2)現実的に契約関係を結べない事業者同士の問題
例えば、インターナショナルカードに国内企業のアプリケーションを搭載する場合、この国内企業がカード発行者と直接コンタクトをとることは現実的にはあまりなく、国内向け窓口業務を行う事業者が間に入ることが考えられる。このようにカード発行者やサービス提供者が属する事業主体により直接契約を結んだり通信を確立することが難しい。
【0013】
【課題を解決するための手段】
本願発明の次の主な二つの形態を有する。これら形態の基本思想を、その要点をごく簡潔に要約すると次ぎの通りである。
【0014】
本願発明の第1の形態は、ICカードの発行者以外の第三者による認証書を用いることである。尚、以下ICカードの発行者以外の第三者による認証書を簡便に代理署名と称する。
【0015】
本願発明の第2の形態は、ICカードが限定機能付きのセキュリティドメインを有することである。この第2の形態は、前記第1の形態の機能を補足し、より有用なICカード・システムを提供することを可能ならしめるものである。
【0016】
そして、本願発明の第3の形態は、前記第1と第2の発明思想を合わせて使用することである。こうして、カード発行者が認めた代理者が、カード発行者が認めた条件でアプリケーション搭載を代行することが可能である。
【0017】
以下に、これらの本願発明の基本思想を軸に、本願発明を説明する。
【0018】
先ず、本願発明の第1の形態についてである。
【0019】
第1の形態は、例えば、第2の機関が、少なくとも、ICカード発行に係わる第1の機関を特徴づけ且つサービス提供の為に持ちいる第1の特徴情報、及び当該第2の機関の第2の特殊情報とを、サービス情報提供に係わる第3の機関に提供が可能であり、前記サービス情報提供に係わる第3の機関は、少なくとも、所望のアプリケーション用プログラムと、前記ICカード発行に係わる第1の機関を特徴づけ且つサービス提供の為に持ちいる第1の特徴情報と、当該第2の機関を特徴づけるところの第2の特殊情報と、をICカードに提供が可能なICカード・システムであると言うことが出来る。
【0020】
この観点は、第1に、わけても、カード発行者―サービス提供者間の契約関係及び運用時の通信の増大と言う前述の難点を解決するためのものである。
【0021】
このためには、発行者とサービス提供者の間に代理者という概念を作り、カード発行者とサービス提供者が直接通信を確立せずともアプリケーション搭載可能な方式が必要となってくる。具体的には、カード発行者が代理者と事前提携をすることで代理者業務を行うことを認証することで、サービス提供者が直接カード発行者と通信をすることなくアプリケーション搭載が実現可能であり、かつ通常のアプリケーション搭載方式と同程度のセキュリティを保つことが可能な方式が必要である。
【0022】
本願発明は、以上の要求を満たすICカードのアプリケーションの搭載方式を提供する。
【0023】
図6は本願発明の方式の骨子を説明する図である。ICカード(11)はカード発行者(302)により発行されている。サービス提供者A(303)はカード発行者(302)と契約を結んでおり通常のアプリケーション搭載方法によりカードにアプリケーション801を発行する。
【0024】
サービス提供者B(803)は代理者(901)と契約を結んでいる。
【0025】
本願発明の前提は、前述の難点からして、サービス提供者B(803)とカード発行者(302)との間の通信を行わないことである。従って、本願発明は、代理者を通して間接的に発行者と通信を確立する手法である。つまり、カード発行者が行っているアプリケーションの許可を代理者に代行させ、サービス提供者Bがカードにアプリケーションを搭載するためには代理者とのみ通信を行えば良いという方法である。しかし、代理者によるアプリケーションへの署名(以降、代理署名と呼ぶ)のみでは、次ぎのような難点を有する。即ち、その第1はカードAが正当性を検証できない点である。第2は、カード発行者の意志に関わらず不特定者がアプリケーションの搭載が可能であるとの難点である。尚、ここで、署名とは、暗号理論における署名であることは言うまでもない。その代表例はデジタル署名である。例えば、こうしたディジタル署名は、署名アルゴリズムと、確認アルゴリズムの2つの要素から成っている。例えば、秘密の署名アルゴリズムを利用して、文書に署名をすることが出来る。その結果の署名は、その後公開されている確認アルゴリズムを用いて確認できる。確認アルゴリズムは、文書と署名とによって、確認アルゴリズムは署名が本物かどうかを判断し、真もしくは偽という答えを返すことが出来る。こうした署名に関する一般的な理論は、例えば、ダグラス・スチンソン著、桜井幸一訳の「暗号理論の基礎」(共立出版、1996)の第6章、わけても第217頁より第220頁、あるいは「ハンドブック オブ アプライド クリスタルグラフィ(Handbook of Applied Crystalgraphy)」(CRC Press、1996)、第433頁より第434頁に見られる。
【0026】
こうした難点を回避する為の本願発明の第1の形態の骨子は、次の諸点に要約される。第1は、カード発行者と代理者との間で提携契約を結ぶ際に、カード発行者が代理者に対して代理業務を行うことを認める代理者認定証を渡しておくことである。第2は、代理者がアプリケーション認証する際に、代理署名と代理者認証書を合わせてサービス提供者に渡すことである。こうして本願発明によれば、カードA内で代理者認証書がカード発行者による正当なものかを検証することで、不特定者によるアプリケーションの搭載を防ぐことができる。
【0027】
本願発明の主な第2の形態は、前記第1の形態の機能を補足し、より有用なICカード・システムを提供することを可能ならしめるものである。その形態を要約すると、ICカードが、いわゆる限定機能付きのセキュリティドメインを有することである。
【0028】
本願発明の第2の形態は、例えば、第2の機関が、少なくとも、ICカード発行に係わる第1の機関を特徴づけ且つサービス提供の為に持ちいる第1の特徴情報、及び当該第2の機関の第2の特殊情報と、アプリケーション用プログラムのICカードへの格納に関する条件を有するプログラムとを、サービス情報提供に係わる第3の機関に提供が可能であり、前記サービス情報提供に係わる第3の機関は、少なくとも、アプリケーション用プログラムと、前記第1の特徴情報と、前記第2の機関を特徴づけるところの第2の特徴情報と、前記アプリケーション用プログラムのICカードへの格納に関する条件を有するプログラムと、前記格納条件を有するプログラムに係わる第3の特徴情報と、をICカードに提供が可能なICカード・システムであると言うことが出来る。
【0029】
本願発明に係る第1の形態のみでは一度代理者認証書を発行したら、代理者は、それ以降無制限にアプリケーションを搭載できる権限を有する。勿論、提携の契約条件にもよるのだが、カード発行者にとっては、「アプリケーション1個分の搭載許可権限を与えたい」あるいは「有効期限を設定した上での搭載許可権限を与えたい」などの要求は当然発生する。本願発明の第2の形態は、この要求を満たすものである。
【0030】
セキュリティドメインは、前述のようにカード内でアプリケーションの搭載、削除あるいは管理機能などを実現するアプリケーションもしくはデータを有する領域である。従って、本来、セキュリティドメインは、サービス提供者によって作成される。しかし、本願発明では、カード発行者がこのセキュリティドメインを作成し、これを代理者を通してサービス提供者に渡し、サービス提供者のセキュリティドメインとして機能させる。カード発行者は作成の際、アプリケーション搭載回数や有効期限など提携契約に対応する諸条件をセキュリティドメイン内部に設定し、提携先に送信する。もちろん、このセキュリティドメインは改竄防止策を取っている必要がある。
【0031】
図6を参酌すれば、限定機能付きセキュリティドメイン(805)は、カード発行者(302)により作成され、サービス提供者B(803)のセキュリティドメインとしてカードA11内に格納される。サービス提供者B(803)がアプリケーション(802)を搭載する場合、サービス提供者B(803)は代理者(901)にアプリケーションの搭載の許可を依頼する。代理者(901)は、サービス提供者B(803)に代理者認証書と代理署名を合わせて送信する。サービス提供者B(803)はアプリケーション(37)と代理者認証書と代理署名を合わせてカードA(11)内に送る。カードAは、限定機能付きセキュリティドメイン内に設定された限定条件に照らし合わせながら、代理者認証書が正しくカード発行者によることを検証する。その結果、カードAが、代理署名によりアプリケーションの正当性を確認した場合、当該カードAはアプリケーションを搭載を可能とする。
【0032】
【発明の実施の形態】
図7は、本発明のICカード(11)及びICカードアプリケーションの発行システムの構成図である。図7で、符号302はカード発行者のサーバであり、符号305はカード発行者のデータベースでカード発行者が運用する全てのICカードに関する運用情報である発行管理データを管理する為のものである。同様に符号901は代理者のサーバであり、符号902は代理者のデータベースで、代理者の搭載の許可を出すAPに関する運用管理情報であるAP関連データを管理する。符号303はサービス提供者のサーバであり、符号306はサービス提供者で自身のアプリケーションの運用情報であるAP関連データを管理する。ICカード(11)はカード発行者システム内のカード発行処理部(308)により発行され、クライアントである利用者(301)のもとに配布される。尚、ここでのカードの発行及び配布は、オンライン動作ではなく、通例の意味における発行及び配布である。
【0033】
また、カード発行処理部(308)は代理者システムのAP搭載許可処理部(310)と事前提携(315)を行い、代理者であることを認める代理認定証のやり取りなどを行う。サービス提供者(303)がアプリケーションをカードに搭載する場合、サービス提供者システム内のAP搭載処理部(312)が代理者のAP搭載許可処理部(310)にAP搭載要求(319)を行う。代理者は事業者ポリシーに従い、APの正当性を確認の上AP搭載許可を発行する(316)。サービス提供者は、受け取ったAP搭載許可とアプリケーションを合わせて外部端末(304)を通してICカードへ送信する(314)。カード発行者サーバ(302)と代理者サーバ(901)、代理者サーバ(901)とサービス提供者サーバ(303)は、各々基本的にネットワーク(318、319)を通して接続されている。しかし、運用事業者のポリシーによりフロッピーディスクなど情報記録媒体の郵送や、書面の郵送などにより情報のやり取りを実現することもある。このように、本願発明のシステムは、カード発行者と代理者は提携契約を結び、代理者がサービス提供者へのサービス提供許可を代行し、サービス提供者サーバからユーザのICカードへアプリケーションが搭載される仕組みとなっている。
【0034】
ここで、以下の説明の理解を容易にする為、本願明細書での特徴的な主要用語について説明する。
【0035】
「代理署名」は、カードの発行者を代理して署名を行うことである。その具体例は署名の対象となる情報に、当該情報を代理者の秘密鍵で暗号化した情報を付与した情報のことである。尚、ここで、前記署名の対象となる情報に代えて、この情報を特徴付ける情報、例えば、そのハッシュ値を用いることも出来る。従って、前記「代理署名」の用語は、この意味をも含むものである。
【0036】
「署名付**」は、「**」に、「**」を署名者の鍵、例えば秘密鍵で暗号化した情報を付与した情報のことである。尚、ここで、前記署名者の鍵に代えて、この鍵情報を特徴付ける情報、例えば、そのハッシュ値を用いることも出来る。従って、前記「署名付**」の用語は、この意味をも含むものである。
【0037】
「代理認定書」は、代理者が発行者によって、その代理であることを認定されたことを示す情報である。その具体例は、代理者の公開鍵に、代理者の公開鍵を発行者の秘密鍵で暗号化した情報を付与した情報である。
【0038】
「アプリケーション認定書」は、アプリケーションをICカードに搭載することを許可する情報である。その具体例は、アプリケーションを特徴付ける特徴情報に、その特徴情報を代理者の秘密鍵で暗号化した情報を付与した情報である。
【0039】
「セキュリティドメイン」はアプリケーションの搭載、削除、あるいはその他の諸管理を行うプログラムのことである。
【0040】
「限定機能付きセキュリティドメイン」は、前記のアプリケーションの搭載、削除、あるいはその他の諸管理にある制限を与える条件を付与したプログラムのことである。
【0041】
尚、本願発明は非対称暗号化機能を有するデータ・システムに関する。
【0042】
非対称暗号化機能とは、例えば、暗号鍵として公開鍵、秘密鍵を使用し、且つこうした非対称暗号鍵により暗号化されたデータの復号化が可能である機能のことである。
【0043】
次に、本願発明の係わる代理署名及びアプリケーションの搭載の具体的方法を説明する。
【0044】
ICカードに対する端末機などは、通例のもので良い。本願発明に係わる各機関は、サーバ、リーダライタなど端末機を有する。本願に係わる各種情報は、このサーバに一旦保持される場合、リーダライタを通してICカードに情報が搭載される場合など各種形態が考えられる。本願発明はこうした動作形態に直接関係するものではない。本願発明はこれらのいずれの場合も適用可能である。
【0045】
図29は簡単にカード・システム例の概要を示す図である。ICカード52の中にはチップ51があって、リーダライタ53とデータのやりとりを行う例を示している。リーダライタの中にはコントロールプロッセサ54やデータベースとなる磁気ディスク55などが存在する。ICカード52には、例えば、Vcc(供給電源)、GND(グランド)、RST(リセット)、I/O(入出力)、及びCLK(クロック)などの諸端子が示されている。又、図中、(1)はリーダライタ53からICカード52に対しての、例えば、ID(IDENTIFICATION)などの各種問い合わせを示す。(2)はICカードが前述の問い合わせに対する返答を示す。こうした、諸情報の伝達は通例のシステムで十分である。従って、その詳細の説明は省略する。
【0046】
尚、ICカード内のICチップにおいて、具体的には、前述のアプリケーション、セキュリティドメインなどは、OS部、メモリ領域に搭載される。一般に、メモリとしては、RAM(Randum Access Memory)、フラッシュ・メモリ(Flash Memory)、FRAM(Terromagnetic Randum Access Memory)、EEPRON(Electrical Erasable Programmable Read Only Memory)あるいはROM(Read Only Memory)などが用いられる。従って、本願明細書において、「セキュリティドメインを用いて」あるいは「セキュリティドメインを経由して」とは、OS部が、そのセキュリティドメインなるプログラムを取り出し、このプログラムによって、所定の情報たるデ−タの諸管理状態を確認し、必要があれば、所定の処理を行うことを意味している。ここで、デ−タの諸管理の項目とは、例えば、サービス情報の搭載容量、搭載回数、搭載するサービス情報の個数、サービス情報の搭載可能な有効期間などである。
【0047】
OS部などは通例のもので十分である。ICチップ内の信号処理は、通例のICカードのそれをもちいて十分である。
【0048】
又、ICカードには、接触型ICカード、非接触型ICカードなどがあるが、本願発明はこうしたICカードの構成自体によらず適用することが出来る。
【0049】
図8を参酌して、代理署名について説明する。カードA(11)はマルチアプリケーションのダイナミックローディングに対応するOSが搭載されたICカードであり、カード発行者(302)により発行済みである。また、サービス提供者B(803)はICカードにアプリケーションを搭載しサービスを運用する事業主体者であり、代理者(901)とサービス提供に関する契約を結んでいる。通常であれば、サービス提供者B(803)がカードA(11)にアプリケーションを搭載するためには、カード発行者(302)とサービス提供に関する契約を直接結び、通信を確立した上で許可を受けなければならない。しかし、本願発明のシステムは、カード発行者(302)と代理者(901)の間で提携契約を結び、代理者(901)がカード発行者(302)の代理としてアプリケーション搭載許可を行う方法である。提携契約時に、カード発行者(302)は代理者(901)に代行業務を行うことを認める代理認定証を渡し、以降アプリケーション搭載許可は代理者(901)が行う。サービス提供者B(803)はアプリケーション搭載時に、代理者からアプリケーション搭載許可を受け、カードAにアプリケーションを搭載する。
【0050】
上述した本願発明の第1の形態のシステムが、具体的にどのように行われるか、図9を参酌して説明する。即ち、代理署名を行う際の処理シーケンスを説明する。
【0051】
<代理署名を行う際の代表的な基本処理シーケンスの例>
カード発行者(302)と代理者(901)の間では、お互いの運用ポリシーに基づき提携契約を結ばれている。提携契約に合意した場合、代理者はカード発行者に自らの非対称鍵公開鍵を送付し、代理者認証書を要求する(ステップ12001)。
【0052】
カード発行者は受け取った公開鍵に対して、自らの非対称鍵秘密鍵で署名を行った代理認定証を代理者に送付する(ステップ12002)。
【0053】
次に、カードA(11)へのサービス提供者B(803)によるアプリケーション搭載する際は、まず、サービス提供者Bが代理者にカードAに対するアプリケーション搭載許可要求を行う(ステップ12003)。尚、アプリケーション搭載許可要求の具体例は、例えば、搭載するアプリケーションのハッシュ値を送付することである。ハッシュ値とは、当該アプリケーションに対応した固有のデータ値である。アプリケーション搭載許可要求を行う場合、必ずしもハッシュ値でなくとも良いが、ハッシュ値が最も便利であり、多く用いられる。
【0054】
代理者は、サービス提供者Bから事前に申請されているアプリケーションの内容を照会し、その正当性を確認する。前述のハッシュ値を用いる場合、この正当性の確認は、例えば、サービス提供者Bより送付されたハッシュ値と、当該ICカードの内部で発生させた当該アプリケーションに対応したハッシュ値とを比較することによって行われる。こうしたステップの詳細は後述される。また、カード発行者よりホットリスト(不正カード情報あるいはブラックリスト)などカードに関する情報が提供されていれば、それをも合わせて確認される。
【0055】
代理者は受け取ったアプリケーションのハッシュ値に非対称鍵秘密鍵で代理署名し、代理認定証と合わせてサービス提供者Bに送付する(ステップ12004)。なお、この秘密鍵は提携契約時にカード発行者に送付した非対称公開鍵に対応するものである。
【0056】
サービス提供者は受け取った代理署名付きアプリケーションハッシュ値、代理認定証、アプリケーション本体を合わせてカードに送信する(ステップ12005)。
【0057】
カード内には、カード発行時に、カード発行者の公開鍵が格納されているので、それを用いて代理認定証の署名検証を行い正当性を確認する。
【0058】
これは、代理者の公開鍵に署名を付与したものなので、署名が正しいことを確認した上で、この公開鍵を用いてアプリケーションのハッシュ値を復号化する。それと受け取ったアプリケーションから作成したハッシュ値を比較し同一であれば、アプリケーションをロード・インストールし、アプリケーション搭載完了となる。
【0059】
このように本願発明の第1の形態の手順は、アプリケーションの正当性を代理者が保証し、代理者の正当性をカード発行者が保証することで、間接的にカード発行者の保証のもとにアプリケーションを搭載する仕組みとなっている。図6に例示したように、カード発行者とその他プレーヤの間は、提携契約時、代理認定証の送付のステップがあるが、以降オフラインとなっており、通信を確立する必要がない。ただし、提携契約内容によっては、不正カード情報であるホットリストや各種運用に必要な情報をカード発行者間でやり取りする場合もあるが、その場合でも、カード発行者とサービス提供者との間に通信を直接確立する必要はない。
【0060】
以上説明した代理署名を行う際の基本処理シーケンスに基づく動作の更なる動作例の詳細を、図10から図14を用いて説明する。即ち、各図は、各々カード、カード発行者、代理者、サービス提供者の各プレーヤ毎の動作フローチャートである。
【0061】
<ICカード:ICカードでのアプリケーション搭載処理の例>
図10は、代理署名を用いたアプリケーション搭載処理を行うICカード側での動作のフローチャートである。
【0062】
カードがアプリケーション搭載処理を開始する(ステップ13001)。
【0063】
ICカードは、サービス提供者より、代理認定証と代理者が署名したアプリケーション認証書とアプリケーションを受信する(ステップ13002)。このステップは図9のステップ12005に対応する。
【0064】
代理認定証はカード発行者により署名されている。一方、この代理認定証に対応する鍵がICカード内に格納されており、ICカードは、それを使用して前記の代理認定証を検証し、代理者の鍵を復号化する(ステップ13003)。
【0065】
復号化した代理者の鍵を用いて、代理者が署名したアプリケーション認証書の検証を行い、アプリケーションのハッシュ値を取り出す(ステップ13004)。
【0066】
また、ICカードは、送信されたアプリケーションのハッシュ値をカード内で計算し、さきほど復号化したハッシュ値と同一かどうかを確認する(ステップ13005)。
【0067】
これらが同一であれば、ICカードは、カード発行者が認証した正当なアプリケーションだと認め、これをインストールする(ステップ13006)。
【0068】
一方、これらが同一でない場合は、不正なアプリケーションである可能性があるのでインストール処理を中止し、その旨をカード外にエラーメッセージで伝える(ステップ13007)。
【0069】
<カード発行者:カード発行者が代理署名を用いた事前提携処理を行う処理例>図11は、カード発行者が代理署名を用いた事前提携処理を行う場合のフローチャートである。このステップは図9における、ステップ12001及び12002に対応する。
【0070】
カード発行者は、代理者を認める事前提携処理をはじめる。
【0071】
カード発行者は、代理認定証を作成するため、代理者から公開鍵を受け取る(ステップ14002)。
【0072】
カード発行者は、ICカード内に格納してある鍵と、これに対応する鍵でこの公開鍵に署名を行い、代理者に戻す(ステップ14003)。 以上が、カード発行者―代理者間の事前提携フローである。
【0073】
図12は代理署名を用いた、代理者の事前提携処理手順を示すフローチャートである。代理者はカード発行者の代行業務を行うために事前提携処理を行う。まずカード発行者に代理者の公開鍵を送信し(ステップ15002)、カード発行者の署名が付与された代理認定証を受け取る(ステップ15003)。
【0074】
<代理者:代理署名を用いた、アプリケーション搭載処理の例>
図13は代理署名を用いた、アプリケーション搭載処理手順を示すフローチャートである。
【0075】
代理者は、サービス提供者からのアプリケーション搭載要求を受領する(ステップ16002)。
【0076】
代理者は、事前に登録されていたアプリケーションの内容やサービス提供者の正当性を確認し、アプリケーション搭載を許可できるかどうかを判断する(ステップ16003)。
【0077】
搭載を許可する場合、代理者は、アプリケーション認証書をサービス提供者に送り返す(ステップ16004)。このアプリケーション認証書は、サービス提供者から送られてきたアプリケーションの特徴を示すデータを、代理者が鍵で暗号化したデータとカード発行者から事前提携時に受け取っている代理認定証を合わせたものである。尚、前記アプリケーションの特徴を示すデータは、例えば、前述のアプリケーションのハッシュ値などである。
【0078】
搭載不可の場合は、代理者は、その旨をサービス提供者に伝える(ステップ16005)。
【0079】
<サービス提供者:サービス提供者のアプリケーション搭載処理の例>
図14は代理署名を用いた、サービス提供者のアプリケーション搭載処理手順を示すフローチャートである。
【0080】
サービス提供者は、代理者に対して、アプリケーションの特徴を示すデータ、例えばハッシュ値などを送付して搭載許可を要求する(ステップ17002)。
【0081】
サービス提供者は、代理者からアプリケーション認証書を受け取り(ステップ17003)、アプリケーションと合わせてICカードに送信する(ステップ17004)。
【0082】
以上が、代理署名方式を利用してICカードにアプリケーションを搭載する場合の処理手順の例である。
【0083】
次に、前記本願発明の第1の形態の機能を補足する第2の形態の具体例を説明する。前述したように、その形態を要約すると、ICカードが、いわゆる限定機能付きのセキュリティドメインを有することである。
【0084】
上述のように、代理認定証を渡すことで問題点は解決したが新たに起こる問題として、一度代理認定証を発行したら、代理者はそれ以降無制限にアプリケーションを搭載できる権限を持つということがある。ICカード上のアプリケーション搭載領域は無限にあるわけではなく、また提携契約などは期限を設定して結ばれることが通常であるため、カード発行者にとって「アプリケーション1個分の搭載許可権限を与えたい」あるいは「有効期限を設定した上での搭載許可権限を与えたい」などの要求を満たす仕組みが望まれる。
【0085】
そこで、本願の第2の形態が提案された。図15は「限定機能付きセキュリティドメイン」を用いる場合の全体構成図である。
【0086】
図15において、ICカード(11)、カード発行者(302)、代理者(901)、サービス提供者B(803)のプレーヤの役割と関係は図11と同様である。カード発行者(302)と代理者(901)の間で提携契約を結び、代理者(901)がカード発行者(302)の代理としてアプリケーション搭載許可を行う方式であることは図11と同じであるが、異なる点としてアプリケーションを搭載する前に、セキュリティドメインを搭載する必要がある点である。以下の説明では、図9の例と異なる点を主に説明し、同じ諸点は説明を省略する。
【0087】
セキュリティドメインとはカード内で、アプリケーション搭載、削除、あるいは管理を行うものである。こうした管理を可能ならしめる前提条件としては、(1)セキュリティドメイン内部に非対称鍵暗号鍵を格納することが可能であることと、(2)アプリケーションはセキュリティドメインを通してカードに格納されることが挙げられる。セキュリティドメインの具体的な形態はアプリケーションの場合もあり、ライブラリの場合もあり、データの場合もある。また、従来はアプリケーション搭載を行う事業者が、セキュリティドメインを作成していた。しかし、本願発明では、カード発行者が作成する。提携契約時にカード発行者(302)は代理者(901)に代理者として認める代理者認証書の他に限定機能付きセキュリティドメインを渡す。カードAにアプリケーションを搭載希望するサービス提供者BはまずカードAにセキュリティドメインを搭載するため代理者のもとにある限定機能付きセキュリティドメインを受け取りカード内に設定する。その後アプリケーション搭載許可を代理者から受け取りアプリケーションを前記セキュリティドメインを通してカード内に格納する。
【0088】
図16は、代理署名と限定付きセキュリティドメインの機能を合わせて用い、提携を実現する際の処理シーケンスを示す図である。
【0089】
カード発行者(302)と代理者(901)の間でお互いの運用ポリシーに基づき提携契約を結ばれている。提携契約に合意した場合、代理者はカード発行者に自らの非対称鍵公開鍵を送付し代理者認証書を要求する(ステップ19001)。
【0090】
カード発行者(302)は受け取った公開鍵に対して、自らの非対称鍵秘密鍵で署名を行い、代理者認証書を代理者(901)に送付する(ステップ19002)。
【0091】
次にセキュリティドメインに格納する鍵に関連するやり取りを行う。セキュリティドメインには、運用時にはカード発行者の鍵と代理者の鍵が格納される。まず、代理者(901)はセキュリティドメイン用の非対称鍵のペアを作成し、その秘密鍵をカード発行者(302)に送付する(ステップ19003)。
【0092】
但し、秘密鍵の内容はカード発行者を含め他者には知られてはセキュリティ上問題があるので、秘密鍵をブラインド化し送付する。カード発行者も同様にセキュリティドメイン用の非対称鍵のペアを作成し、この秘密鍵を用いて、受け取った代理者のブラインド化した秘密鍵に署名を行い、代理者に戻す(ステップ19004)。
【0093】
これを受け取った代理者はブラインドを解除する。非対称鍵におけるブラインド署名の方式は既に知られている技術である。この方式自体は、例えばRSAブラインド署名などが知られている。それは、例えば、岡本龍明、山本博資著『シリーズ/情報科学の数学 現代暗号』(産業図書株式会社発行、1997)に見られる。
【0094】
その後、カード発行者(302)は、提携契約に応じた内容の限定条件を設定したセキュリティドメインを作成し、自らのセキュリティドメイン用公開鍵をその内部に格納する。もしくは、あらかじめ提携契約の内容に応じて作成してあったセキュリティドメインにセキュリティドメイン用公開鍵をセットする。このセキュリティドメインにカード発行者の秘密鍵で署名を行い、代理者に限定機能付きセキュリティドメインとして送付する(ステップ19005)。こうして、事前提携時のやり取りは完了する。
【0095】
ここで一つ注意すべき点としては、「カード発行者の鍵」と「代理者の鍵」というそれぞれの非対称鍵の他に、「カード発行者のセキュリティドメイン用の鍵」と「代理者のセキュリティドメイン用の鍵」が存在することが挙げられる。
【0096】
次にアプリケーション搭載時のやり取りに関して説明する。アプリケーションはセキュリティドメインがカード内に設定されていることが前提なので、最初にセキュリティドメインの搭載方法を説明する。
【0097】
<セキュリティドメインの搭載方法の例>
カードA(11)へサービス提供者B(803)のセキュリティドメインを搭載する場合、サービス提供者Bのセキュリティドメインとは、事前提携時にカード発行者(302)から代理者(901)へと送付された限定機能付きセキュリティドメインのことである。代理者(901)は、サービス提供者からのセキュリティドメイン搭載許可要求を受ける(ステップ19006)。
【0098】
限定機能付きセキュリティドメインをサービス提供者Bに送付する(ステップ19007)。ただし、あらかじめセキュリティドメインを配布しておくことも可能なので、ステップ19006とステップ19007に関しては、順序が逆の場合もあり得る。代理者はステップ19004において受け取りブラインド解除してあった署名付き秘密鍵とそれに対応する公開鍵をセキュリティドメイン用鍵ペアとしてサービス提供者Bに送付する(ステップ19008)。
【0099】
このセキュリティドメイン用公開鍵は暗号化や署名はされておらず、サービス提供者Bが該セキュリティドメインと通信する上での署名検証や、セキュアな通信確保などに使用する。次にサービス提供者Bは限定機能付きセキュリティドメインをカードに格納する(ステップ19009)。こうして、ICカードは、このセキュリティドメインの正当性を検証する。限定付きセキュリティドメインは、ステップ19005についての記述にもあるように、カード発行者の鍵の署名が付与されており、カード内にはカード発行時にカード発行者の公開鍵が搭載されている。従って、ICカードは、この鍵を用いて当該セキュリティドメインの正当性検証が可能である。
【0100】
正当性が確認できた場合、サービス提供者Bよりセキュリティドメイン用秘密鍵を受け取り(ステップ19010)、この鍵の正当性を検証する。ステップ19004についての記述にもあるように、このセキュリティドメイン用鍵とは、代理者のセキュリティドメイン用秘密鍵にカード発行者のセキュリティドメイン用秘密鍵で署名を行っているものである。カード内に設定された限定機能付きセキュリティドメインにはカード発行者のセキュリティドメイン用公開鍵が設定されているので、内部で署名の正当性を検証可能である。セキュリティドメイン用鍵の正当性が確認できた場合、鍵は復号化され代理者のセキュリティドメイン用秘密鍵が限定機能付きセキュリティドメイン内部に設定される。
【0101】
ここまでで、限定付きセキュリティドメインは、ICカードに格納され、鍵も設定されたので機能し始める。当該セキュリティドメイン内部には
(a)カード発行者が該セキュリティドメイン用に作成した公開鍵と
(b)代理者が該セキュリティドメイン用に作成した秘密鍵
とが格納されている。前記(a)の項目に対応する秘密鍵はカード発行者が保持している。また、前記(b)の項目に対応する公開鍵はサービス提供者Bに送付されている。つまり、カード発行者によって作成された限定機能付きセキュリティドメインは2つの主体者の鍵を保持し、カードA内で機能するのである。
【0102】
次にカードA(11)へサービス提供者B(803)によるアプリケーション搭載時の説明を行う。
【0103】
まず、サービス提供者Bが代理者にカードAに対するアプリケーション搭載許可要求を行う(ステップ19011)。アプリケーション搭載許可要求は、具体的には、搭載するアプリケーションのハッシュ値を送付することである。
【0104】
代理者(901)は、サービス提供者(803)と事前に申請されているアプリケーションの内容を照会しその正当性を確認する。また、カード発行者よりホットリスト(不正カード情報・ブラックリスト)などカードAに関する情報が提供されていればそれを確認する。代理者は受け取ったアプリケーションのハッシュ値に自らの秘密鍵で代理署名し、ステップ19002で受け取った代理者認証書と合わせてサービス提供者Bに送付する(ステップ19012)。なお、この秘密鍵は提携契約時にカード発行者に送付した非対称公開鍵に対応するものである。
【0105】
サービス提供者Bはステップ19008で取得しているセキュリティドメイン用公開鍵でアプリケーションを暗号化しておき、アプリケーション搭載許可要求の回答として送付されてくる代理署名付きアプリケーションハッシュ値、代理者認証書を、この暗号化したアプリケーション本体を合わせてカードに送信する(ステップ19012)。
【0106】
カードAは、以上の情報を限定機能付きセキュリティドメインが受け取り、まず代理者認証書の署名検証を行う。代理者認証書は代理者の公開鍵に対して、カード発行者のセキュリティドメイン用秘密鍵で署名されたもので、限定機能付きセキュリティドメイン内部には対応する公開鍵が保持されているので、これを用いて署名検証し、即ち、復号化する。
【0107】
ここで、復合化が可能ということは、署名が正しいことを示している。アプリケーションのハッシュ値に代理署名した鍵は、代理者の秘密鍵なので、復号化した代理者の公開鍵を用いてハッシュ値を復号化して取り出す。また一方アプリケーションには代理者のセキュリティドメイン用公開鍵で暗号化されているが、限定機能付きセキュリティドメイン内部にはこれに対応する秘密鍵が格納されているため、これを用いてアプリケーションを復号化し、ハッシュ値をとる。これが先程のハッシュ値と同一であるかを照会し、同一であれば正当なアプリケーションとしてカードA内にロード・インストールし、アプリケーション搭載完了となる(19013)。
【0108】
以上の手順は、アプリケーションの正当性を代理者(901)が保証し、代理者の正当性をカード発行者(302)が保証することで、間接的にカード発行者(302)の保証のもとにアプリケーションを搭載する仕組みとなっている。先に、セキュリティドメインに格納されている2つの鍵を、(a)カード発行者作成鍵、(b)代理者作成鍵と記した。
【0109】
(a)の鍵は代理者認証書の検証を行い、一方(b)の鍵はアプリケーションの検証を行っている。
【0110】
代理署名のみを使用した仕組みとの違いとしては、次ぎの事項が挙げられる。(1)第1は、カード内で正当性を検証する鍵はセキュリティドメイン内部に保持されていることである。
【0111】
(2)第2は、上記の鍵はあらかじめ該セキュリティドメイン用にカード発行者と代理者がそれぞれ作成したものであることである。
【0112】
(3)第3は、アプリケーション搭載・削除・管理や上記鍵の使用は該セキュリティドメイン、もしくはセキュリティドメイン情報を用いたカードOSが行うことである。
【0113】
前述したように、アプリケーション搭載、削除及び管理は、本願発明における限定機能付きセキュリティドメインによりコントロールされている。そして、それをカード発行者が、提携契約条件に従って作成していることから、無制限なアプリケーション搭載は避けることが可能である。代理者が不正に代理署名を行ったとしても、本願発明によれば、次ぎの方策が可能である。即ち、提携契約時に、「アプリケーション1つのみ搭載可能」、「ある日時にまで搭載期限」、「ある容量を超えて搭載不可能」などの適当な条件を付け、その限定機能を付けてセキュリティドメインを、作成すれば良い。カード発行者とその他プレーヤとの間は、提携契約時以降オフラインとなっていて、カード発行者の意志に反してカードにアプリケーションが送信されてきても、カード内の当該セキュリティドメインが搭載を拒否することになる。
【0114】
以上説明した限定機能付きセキュリティドメインを用いる際の基本処理シーケンスに基づく動作の更なる動作例の詳細を、図17から図24を用いて説明する。即ち、各図は、各々ICカード、カード発行者、代理者、サービス提供者の各プレーヤ毎の動作フローチャートである。本図面で“SD”記載されているのは本願発明で提案する限定機能付きセキュリティドメインのことであり図面の説明においてもSDと表す。
【0115】
<ICカード:SD搭載処理の例>
図17は、本発明方式を利用したSD搭載処理を行うカードのフローチャートである。この処理は、図19の19009及び19010の両ステップに対応する。
【0116】
ICカードはサービス提供者からSDを受信する(ステップ20002)。
【0117】
SDは発行者の鍵により署名されているので、カード内の対応する鍵を用いて復号化する(ステップ20003)。
【0118】
このSDの署名が正しければ、SDをカード内にインストールし(ステップ2005)、正しくない場合はSDのインストールを中止しカード外にその旨を伝える(ステップ20010)。
【0119】
SDをインストールした後は、SD内に設定する鍵を受信する(ステップ20006)。これはカード発行者のSD用鍵で署名されているが、対応する鍵がSD作成時に内部に設定されているので、これを用いて署名を復号化する(ステップ20007)。
【0120】
正しい鍵かどうかを検証し(ステップ20008)、正しければSD内に鍵を設定し(ステップ20009)、不正であれば、SDへの設定を中止しカード外にその旨を伝える(ステップ20011)。
【0121】
<ICカード:アプリケーション搭載処理の例>
図18は、本願発明方式を利用したアプリケーション搭載処理を行うカードのフローチャートである。この処理は、図16の19013のステップに対応する。
【0122】
カードはアプリケーション搭載処理を開始すると(ステップ21001)、代理認定証と代理者が署名したアプリケーション認証書とサービス提供者が持つSD用鍵で暗号化したアプリケーションをサービス提供者より受信する(ステップ21002)。
【0123】
代理認定証はカード発行者により署名されており対応する鍵がSD内に格納されているので、それを使用して代理認定証を検証し、代理者の鍵を復号化する(ステップ21003)。
【0124】
復号化した代理者の鍵を用いて、代理者が署名したアプリケーション認証書の検証を行い、アプリケーションのハッシュ値を取り出す(ステップ21004)。
【0125】
アプリケーションはサービス提供者により暗号化されているが、対応する鍵がSD内にあるのでそれを用いてアプリケーションを復号化し取り出し(ステップ21005)、そのハッシュ値をカード内で計算し、さきほど復号化したハッシュ値と同一かどうかを確認する(ステップ21006)。
【0126】
もし、同一であればカード発行者が認証した正当なアプリケーションだと認めインストールする(ステップ21007)。
【0127】
同一でない場合は、不正なアプリケーションである可能性があるのでインストール処理を中止し、その旨をカード外にエラーメッセージで伝える(ステップ21008)。
【0128】
<カード発行者:事前提携処理の例>
図19は、カード発行者が、本発明を利用した事前提携処理を行う場合のフローチャートである。この処理は、図16のステップ19001より19005にかけてのステップである。
【0129】
カード発行者は、代理者を認める事前提携処理をはじめると、代理認定証を作成するため代理者から公開鍵を受け取る(ステップ22002)。
【0130】
発行者は、カード内に格納してある鍵と対応する鍵で、この公開鍵に署名を行い、代理者に戻す(ステップ22003)。
【0131】
また、SD格納用の鍵を代理者から受け取り(ステップ22004)、SD作成時に内部に設定してある鍵と対応する鍵で暗号化し代理者に送信する(ステップ22005)。SDを発行者の鍵で署名し代理者に送信する(ステップ22006)。
【0132】
<代理者:事前提携処理の例>
図20は本発明を利用した代理者の事前提携処理手順を示すフローチャートである。
【0133】
まずカード発行者に代理者の公開鍵を送信し(ステップ23002)、カード発行者の署名が付与された代理認定証を受け取る(ステップ23003)。
【0134】
SD搭載用の鍵を生成し、秘密鍵にブラインド化処理を行いカード発行者に送信する(ステップ23004)。
【0135】
発行者の署名が付与された上記鍵を受け取りブラインド化解除処理を行う(ステップ23005)。
【0136】
発行者の鍵を内部に含むSDを発行者より受け取る(ステップ23006)。このSDはカード発行者の鍵により署名が付与されている。
【0137】
<代理者:SD搭載要求受付け処理の例>
図21は本発明を利用した代理者のSD搭載要求受付け処理手順を示すフローチャートである。この処理は、図19のステップ19006より19008のステップに対応する。
【0138】
サービス提供者からのSD搭載要求を受信すると(ステップ24002)、発行者から受け取ってある署名付きSDをそのままサービス提供者に送信する(ステップ24003)。
【0139】
また次に、あらかじめ作成してあったSD用鍵ペアをサービス提供者に送信する(ステップ24004)。このSD用秘密鍵は事前提携処理において発行者に署名を付与されているものである。
【0140】
<代理者:アプリケーション搭載要求受付け処理の例>
図22は本発明を利用した代理者のアプリケーション搭載要求受付け処理手順を示すフローチャートである。
【0141】
サービス提供者からのアプリケーション搭載要求を受領すると(ステップ25002)、事前に登録されていたアプリケーションの内容やサービス提供者の正当性を確認し、アプリケーション搭載を許可できるかどうかを判断する(ステップ25003)。
【0142】
搭載を許可する場合、サービス提供者から送られてきたアプリケーションのハッシュ値などアプリケーションの特徴を示すデータを代理者が鍵で暗号化したデータとカード発行者から事前提携時に受け取っている代理認定証を合わせてアプリケーション認証書として、サービス提供者に送り返す(ステップ25004)。搭載不可の場合は、その旨をサービス提供者に伝える(ステップ25005)。
【0143】
<サービス提供者:SD搭載処理の例>
図23は本発明を利用したサービス提供者のSD搭載処理手順を示すフローチャートである。
【0144】
サービス提供者は、SD搭載を代理者に要求し(ステップ26002)、発行者の署名が付与されているSDを受け取り(ステップ26003)、カードに送信する(ステップ26004)。
【0145】
カードへのSD設定ができたら、代理者からSD用鍵ペアを受け取る(ステップ26005)。
【0146】
カード発行者の署名が付与されているSD用秘密鍵をカード内のSDに送信し設定する(ステップ26006)。
【0147】
<サービス提供者:アプリケーション搭載処理の例>
図24は、本発明を利用したサービス提供者のアプリケーション搭載処理手順を示すフローチャートである。
【0148】
サービス提供者は、代理者に対してアプリケーションのハッシュ値などを送付して搭載許可を要求し(ステップ27002)、代理者からアプリケーション認証書を受け取る(ステップ27003)。
【0149】
アプリケーションをSDに設定した鍵と対応する鍵で暗号化し、アプリケーション認証書と合わせてカードに送信する(ステップ27004)。
【0150】
以上が、本願発明のアプリケーション搭載方式に従いICカードにアプリケーションを搭載する場合の処理手順である。
【0151】
次に、本願発明を用いて実現可能なICカードの各種利用形態や運用の諸形態について説明する。
【0152】
図9において、本発明における提案方式では901の代理者が発行者(302)の代行業務を行うが、この代行業務を302とは別の発行者が行えば、カードA(11)には発行者A(302)が契約したサービス提供者だけでなく、発行者(901)が契約したサービス提供者のアプリケーションをも搭載することが可能となる。つまり既存の発行者―サービス提供者の仕組みを組み合わせることで本願発明を利用することが可能である。
【0153】
また、発行者間でお互いがお互いの代理者であれば、双方のカードにどちらのサービス提供者のアプリケーションが搭載可能となる。本発明方式を利用することで、既存カード運用管理システム間の相互運用が可能となる。
【0154】
次に本願発明のカードシステムのいくつかの具体的な応用例について説明する。
【0155】
第1の例はテナント業務である。図25を用いて、このテナント業務と言う本願発明の応用について説明する。本願明細書におけるテナント業務とは、ICカード上の部分領域を、カード発行者以外のテナントビジネス事業者に貸与する、即ち、テナント運用する業務のことを言う。
【0156】
図25は、ICカード上の部分領域を運用する概念を示した図である。
【0157】
この例では、本願発明に係る代理署名及び限定機能付セキュリティドメインとを用いて、ICカードに提携業務の関するアプリケーション搭載を行う。
【0158】
図25を参酌して本例を説明する。カード発行者(2801)は、ICカード(11)を発行し、ICカードに係わる責任を全て負う事業者である。カード発行者(2801)は、サービス提供者(2802)やサービス提供者(2803)と契約を結び、ICカード(11)上へ、各々のアプリケーション搭載を許可する。更に、本例では、テナントビジネス事業者(2804)がテナントを希望する事業者(2805)に、
そのアプリケーションの搭載について認証を与える。こうして、テナントを希望する事業者(2805)は、前記ICカード(11)の提携に係わるアプリケーション領域にアプリケーションを搭載する。ここで、テナントを希望する事業者は、これまでの説明におけるサービス提供者である。又、テナントをビジネスとして行おうとする事業者は、これまでの説明における代理者である。
【0159】
ICカード(11)には、マルチアプリケーション搭載を可能とし、且つ、ダイナミックローディング可能であるカードOS(2810)が搭載されており、カード上の機能を実行する。セキュリティドメインはカードOS上に設定されており、2811はサービス提供者(2802)の、2812はサービス提供者(2803)のそれぞれセキュリティドメインである。
【0160】
サービス提供者(2802)はセキュリティドメイン(2811)を通して自らのアプリケーション(2814、2815)を搭載する。同様にサービス提供者(2803)はセキュリティドメイン(2812)を通して自らのアプリケーション(2816、2817)を搭載する。ここで、代理者(2804)と提携契約を結んでいるサービス提供者(2805)がアプリケーションをICカード(11)に搭載する場合は、限定機能付きセキュリティドメイン(2813)を通してアプリケーション(2818、2819)を搭載する構成となっている。このセキュリティドメイン(2813)はある限定機能を付与されており、自らが搭載したアプリケーションを管理しているので、図中斜線部分の領域を考えると、セキュリティドメインにより管理されている領域であるといえる。
【0161】
搭載許可は代理者(2804)が行うので、この搭載領域は、カード発行者(2801)より借りうけて、サービス提供者(2805)などにサービス提供の場を貸し出している構図となっている。これをビルの所有者からフロアを借り受けて店子を募集するテナントビジネス事業者に対応させると、新しくICカード上の領域を、テナントして運用するICカードの運用形態が考えられる。その場合、代理者(2804)は、
ICカードを所有するカード発行者(2801)からICカード上のある領域を借り受け、その領域上に、サービスを提供するサービス提供者(2805)と契約する業務を行う仲介事業者としての機能があれば良い。
【0162】
以上、本例はICカードの一部の所定領域を、テナントビジネス事業者にその利用を貸与する利用形態である。その具体的なアプリケーションの搭載に関する代理者、サービス提供者の動作については、これまで説明してきた本願発明の一般的な運用と同様である。
【0163】
また、図26ではカード発行者(2901)が契約関係にあるサービス提供者に限定機能付きセキュリティドメインを対応させた場合の利用形態について説明する。図25の例との違いは、カード発行者とサービス提供者(2905)との間に代理者(2804)をおかず、カード発行者(2901)が、直接契約しているサービス提供者(2905)であることである。その他の点は前述の例と同様である。
【0164】
この利用形態の利点は、アプリケーション搭載のオフライン認証におけるセキュリティを高くする点である。サービス提供者がアプリケーションを搭載する際に、カード発行者へ認証を要求するのが従来一般的であることは、既に述べた。この場合、要求方法として、ネットワークなどを使用して通信を確立しオンラインで認証してもらう場合と、あらかじめ許可証を大量に発行してもらうオフライン認証がある。オフライン認証の場合、カード発行者のICカードへのコントロールが弱くなる点が問題となっている。しかし、カード上の限定機能付きセキュリティドメインに制限を設定しておくことで、この問題は、コントロール可能となる。また、契約しているサービス提供者間で差異をつけることが可能となり、事業者の信頼度に応じた契約締結ができる。
【0165】
次に、ICカードにおけるバーチャルカードという本願発明のICカードの応用を提案する。
【0166】
図27は、バーチャルカードの概念を説明する図である。バーチャルカ−ドとは、このカードを統括する第3者の認証の下に、複数のカード発行者によるカードの機能に応ずる各々のアプリケションを、一つのカードの所定のアプリケーション領域に搭載したカードの用い方である。従って、一つのカードによって、あたかも複数のカードを持っているかのようにカードを運用することが出来る。
【0167】
図27において、カードA(3005)、カードB(3006)、カードC(3007)は、個別のICカードであり、それぞれのカード発行者は、第3者(3001)と提携契約を結んでいる。以下、この第3者(3001)を、便宜上バーチャルカード発行者と呼ぶ。バーチャルカード発行者(3001)は、カードA上にアプリケーション搭載領域を借り受けているため、バーチャルカード発行者(3001)と契約の有るサービス提供者(3002、3003、3004)は搭載条件さえクリアすれば、カードA上にアプリケーション搭載可能である。バーチャルカード発行者(3001)は契約さえ有れば、同様に、カードBにもカードCにもアプリケーション搭載可能である。つまり、バーチャルカード発行者(3001)は、実際のカード発行業務を行っていないにも関わらず、バーチャルカード(3008)のような概念上のカードを発行しており、バーチャルカード発行者(3001)と契約すればアプリケーション搭載可能なカードと見なすことができる。サービス提供者側から見ると、複数のカードにアプリケーションを搭載するために、1つのカード発行者のみと契約を結び通信を確立すれば良いので大幅手間が省けコスト削減につながる。
【0168】
以上、本願諸発明を説明したが、その要点をまとめると次ぎの通りである。
【0169】
本願発明は、ICカードのカード発行者の許可を直接得ることなく、しかしながら同程度の高セキュリティを保持しながらアプリケーションを搭載することを可能とする。将来、ICカードが普及し、利用数が増加することに伴い発生するであろう下記の諸難点に関しては、カード発行者同士の提携契約とそれに伴う情報のやり取りにより、提携先サービス提供者とカード発行者が直接通信を確立する必要がなくなったため解決される。こうして、本願発明によって、ICカードへの柔軟なサービス提供が可能となった。尚、上記難点とは、第1がカード発行者―サービス提供者間に起こる膨大な量の契約と通信の問題であり、第2が現実的に契約関係を結べない事業者同士の問題である。
【0170】
また、解決方法の一つである代理署名を用いることにより付随して起こる難点として、第1に一度代理者認証書を発行してしまうと無制限に使用される危険性、第2に搭載回数、搭載領域など条件を付けた提携契約を結ぶ必要性を挙げることが出来る。この難点は、限定機能付きのセキュリティドメインを用いることで回避することが出来る。
【0171】
さらに、本願発明のアプリケーションの搭載方式を利用することで、
各種の新しいICカードの利用形態を可能とした。
【0172】
こうした新しいICカードの利用形態の例を列挙すれ、下記の通りである。(1)既存システムへの応用方式、(2)発行者間で相互に代行業務を行うことによる相互運用方式、(3)ICカード上の領域を借り受け運用するテナント事業、(4)カード発行者によるサービス提供者間のアプリケーション搭載における差異の設定、(5)バーチャルカード発行事業。
【0173】
本願は、その形態が多岐に渡るので、以下に主な形態、あるいは概念を整理し、列挙する。
【0174】
その第1は、非対称暗号化機能を有するICカードを利用した署名生成及び検証方式において、
ICカード発行者がICカードにみずからの公開鍵を格納し利用者に配布するステップと、
ICカード発行者が第3者(以降代理者と呼ぶ)の公開鍵を受け取り、
カード発行者の秘密鍵で署名を付与し代理者に戻すステップと、
代理者が自らの秘密鍵でデータに署名を付与するステップと、
代理者が前記カード発行者より受け取ったカード発行者署名付き代理者公開鍵とそのデータを合わせてカードに送信するステップと、
カード内のカード発行者公開鍵で前記付与したカード発行者署名付き代理者公開鍵を検証するステップと、
この代理者公開鍵でデータの署名を検証し正当性を確認するステップを
有することを特徴とする署名生成及び検証方式である。
【0175】
第2は、ICカード発行者がICカードに自らの公開鍵を格納し利用者に配布するステップと、
発行者が代理者の公開鍵を受け取り、自らの秘密鍵で署名し代理認定証として渡すというステップと、
アプリケーションをカードに発行する業務を行う事業主体者(以降サービス提供者と呼ぶ)がアプリケーションのハッシュ値などアプリケーションの特徴を示すデータを代理者に渡すというステップと、
代理者は渡されたアプリケーションのハッシュ値などに代理者の秘密鍵で署名を行うステップと、
上記署名付きハッシュ値と発行者より渡されている代理認定証を合わせてアプリケーション認証書としてサービス提供者に戻すというステップと、
サービス提供者がアプリケーションとアプリケーション認証書を合わせてカードに搭載するというステップと、
カード内の発行者公開鍵により代理認定証を検証するステップと、
上記検証された代理者の公開鍵によりカード内でアプリケーションのハッシュ値を検証するステップと、
カード内でアプリケーションのハッシュ値を計算するステップと、
検証されたハッシュ値と計算されたハッシュ値を比較することでアプリケーションの正当性を確認するステップを
有することを特徴とするアプリケーション搭載方式である。
【0176】
第3は、ICカード内でアプリケーションの搭載・削除・管理機能を行うアプリケーションもしくはデータ(以降セキュリティドメインと呼ぶ)であって、
カード発行者により作成され、
アプリケーション搭載に関する所定の制限がカード発行者により設定可能であり、
内部に発行者の公開鍵が格納されている状態で代理者に渡され、
代理者によりサービス提供者に渡され、
サービス提供者によりカード内に搭載され、
その後サービス提供者により当該セキュリティドメイン内に代理者の秘密鍵を設定され、
アプリケーション搭載時に当該セキュリティドメイン内のカード発行者の公開鍵により代理者の公開鍵の署名を検証し、
上記代理者の公開鍵を用いてアプリケーションのハッシュ値の署名を検証しアプリケーションの正当性を確認する
ことを特徴とするICカード内でアプリケーションの搭載・削除・管理機能を行うセキュリティドメインである。
【0177】
第4は、前記署名生成及び検証方式と、前記セキュリティドメインを利用したICカードへのアプリケーション搭載方式である。即ち、
発行者が代理者に代理認定証と所定の制限を設定したセキュリティドメインを代理者に渡すステップと、
代理者がサービス提供者に、上記セキュリティドメインとセキュリティドメイン用の鍵を渡すステップと、
サービス提供者が、該セキュリティドメインをカードに格納し、鍵を設定するステップと、
サービス提供者が、代理者にアプリケーション認証書を要求し受け取るステップと、
サービス提供者が上記アプリケーション認証書をアプリケーションを合わせてカードに搭載するステップと、
カード内でアプリケーション認証書を検証しアプリケーションの正当性を確認するステップを
有することを特徴とするアプリケーション搭載方式である。
【0178】
第5は、セキュリティドメインをサービス提供者から受け取り格納する手段と、
サービス提供者により該セキュリティドメイン内に鍵を設定する手段と、
アプリケーション搭載時にアプリケーションに付与されたアプリケーション認証書を検証する手段と、
アプリケーションをインストールする手段を
有することを特徴とするアプリケーション搭載可能のICカードである。
【0179】
第6は、自ら以外の第3者である代理者から渡された公開鍵を受け取り、
自らの秘密鍵で署名を付与し代理認定証として代理者に戻し、
セキュリティドメインを作成・条件設定した上で代理者に渡すことを特徴とするICカード発行者である。
【0180】
第7は、ICカードの発行管理業務の一部を代行する事業者(代理者)であり、
自らの公開鍵を発行者に渡し、
発行者の秘密鍵により署名をされた代理認定証を受け取り、
発行者からセキュリティドメインを受け取り、
サービス提供者に該セキュリティドメインとセキュリティドメイン用鍵を渡し、
サービス提供者からアプリケーションのハッシュ値などアプリケーションの特徴を示すデータを受け取り、
それに自らの秘密鍵で署名を付与しそれと代理認定証を合わせてアプリケーション認証書としてサービス提供者に戻すことを特徴とする事業主体者である。
【0181】
第8は、代理者からセキュリティドメインとセキュリティドメイン用鍵を受け取り、
カード内にセキュリティドメインを格納し、鍵を設定し、
カードに搭載するアプリケーションのハッシュ値などアプリケーションの特徴を示すデータを、該カードの発行者の代行業務を行う代理者に送信し、
代理者からの代理認定証と代理者の秘密鍵で署名を付与されたアプリケーションのハッシュ値などをアプリケーション認証書として受け取り、
アプリケーション認証書とアプリケーションを合わせてカードに送信することを特徴とするサービス提供者である。
【0182】
第9は、前記事業主体者が同時にカード発行管理業務も行い、
自らが発行するカードへのアプリケーション認証書の他に、代理認定証を渡されている発行者の発行したカードへのアプリケーション認証書を発行することが可能であることを特徴とするカード発行者間のカード相互運用方式である。
【0183】
第10は、カードを発行管理する発行者同士が双方とも前記代理者であることにより、
発行者は双方の発行するカードに搭載するアプリケーションの認証書を発行することが可能であることを特徴とするカード発行者間のカード相互運用方式である。
【0184】
第11は、ICカード上の部分領域の運用を行い、
カード発行者に対してはICカード上の部分領域を借り受けていることへの対価を支払い、
サービス提供者に対してはアプリケーション搭載に対する課金や問い合わせなどへのサポート業務を行うことの対価を要求することを特徴とする業務である。
【0185】
第12は、セキュリティドメインの機能を使用したICカードへのアプリケーション搭載方式であって、
サービス提供者は該セキュリティドメインを通してのみアプリケーション搭載可能であり、
該セキュリティドメインに設定される条件はカード発行者がサービス提供者との契約内に応じて設定し、
同一カード上で、サービス提供者毎の条件よりアプリケーション搭載条件が異なることを特徴とするアプリケーション搭載方式である。
【0186】
第13は、代理者が複数のICカード発行者の代理者であり、
サービス提供者からのアプリケーション搭載要求を代理者が受け取り、
上記複数カード発行者からの代理認定証を複数付与したアプリケーション認証書を発行し、
サービス提供者が該アプリケーション認証書を受け取ることで複数カードへのアプリケーション搭載が可能となることを特徴としているICカード発行管理代行業務である。
【0187】
第14は、当該ICカ−ドを発行したICカ−ド発行者が署名した代理者の公開鍵と、代理者が署名したアプリケ−ションとを受け取る手段と、代理者の公開鍵に付与されたICカ−ド発行者の署名を検証する手段と、上記代理者の公開鍵によりアプリケ−ションの署名を検証する手段と、を有するアプリケ−ション搭載可能なICカ−ドである。
【0188】
第15は、ICカ−ドの発行管理業務を行うICカ−ド発行者であり、
自ら以外の第3者である代理者から渡された公開鍵を受け取り、自らの秘密鍵で署名を付与し、これを代理認定証として代理者に戻すICカ−ド発行者である。
【0189】
第16は、ICカ−ドの発行管理業務の一部を代行する事業者(代理者)であり、自らの公開鍵を発行者に渡し、
発行者の秘密鍵により署名をされた代理認定証を受け取り、
サ−ビス提供者からアプリケ−ションの、例えば、ハッシュ値などのアプリケ−ションの特徴を示すデ−タを受け取り、
それに自らの秘密鍵で署名を付与し、それと代理認定証を合わせてアプリケ−ション認定証としてサ−ビス提供者に戻すことを特徴とするアプリケ−ション搭載を実施する事業主体者である。
【0190】
第17は、アプリケ−ションをカ−ドに発行する業務を行う事業主体者(サ−ビス提供者)であり、
ICカ−ドに搭載するアプリケ−ションのハッシュ値などアプリケ−ションの特徴を示すデ−タを、前記ICカ−ドの発行者の代行業務を行う代理者に送付し、代理者からの代理認定証と代理者の秘密鍵で署名を付与されたアプリケ−ションのハッシュ値などをアプリケ−ション認定書として受け取り、
アプリケ−ション認定書とアプリケ−ションを合わせてカ−ドに送信するアプリケ−ション搭載を実施するサ−ビス提供者である。
【0191】
【発明の効果】
本願発明の第1の形態は、ICカードのカード発行者の許可を直接得ることなく、カード発行者の許可を得る場合と同程度の高セキュリティを保持しながら、当該ICカードにアプリケーションを搭載することを可能とする。加えて、本願発明の第1の形態は膨大なの契約と通信の量の増大に基づく、現実的各種処理の煩雑さを解消する。
【0192】
本願発明の第2の形態は、ICカードのカード発行者の許可を直接得ることなく、ICカードにアプリケーションを搭載する場合に付随して生ずるアプリケーションの搭載の無制限性の難点を回避する。
【図面の簡単な説明】
【図1】図1はICカードの基本構成を示す図である。
【図2】図2はICカードの発行、サービス提供に関するこれまでのシステム構成の例である。
【図3】図3はセキュリティドメイン機構を持つICカードの基本構成を示す図である。
【図4】図4は従来のアプリケーション搭載の為のシーケンスの例を示す図である。
【図5】図5は従来方式における難点を説明する為の図である。
【図6】図6は本願発明におけるICカード、発行者、代理者、及びサービス提供者の関係を示す図である。
【図7】図7は本願発明のシステムの基本的な構成を示す図である。
【図8】図8は代理署名を行う場合のICカード、発行者、代理者、及びサービス提供者の関係を示す図である。
【図9】図9は代理署名による提携を実現するシーケンスを示す図である。
【図10】図10は、ICカードにアプリケーションを搭載する為の本願発明に係わるシーケンスを示す図である。
【図11】図11は、カード発行者が事前提携を行う為の本願発明に係わるシーケンスを示す図である。
【図12】図12は代理者が事前提携を行う為の本願発明に係わるシーケンスを示す図である。
【図13】図13は代理者がアプリケーションの搭載を行う為の本願発明に係わるシーケンスを示す図である。
【図14】図14はサービス提供者がアプリケーションの搭載を行う為の本願発明に係わるシーケンスを示す図である。
【図15】図15はセキュリティドメインを有するICカードの基本構成を示す図である。
【図16】図16は代理署名及びセキュリティドメインを用いた提携を実現する為の本願発明のシーケンスを示す図である。
【図17】図17はICカードにSDを搭載する為の本願発明のシーケンスを示す図である。
【図18】図18はICカードにアプリケーションを搭載する為の本願発明のシーケンスを示す図である。
【図19】図19はカード発行者が事前提携を行う為の本願発明に係わるシーケンスを示す図である。
【図20】図20は代理者が事前提携を行う為の本願発明に係わるシーケンスを示す図である。
【図21】図21は代理者がSDを搭載する為のシーケンスを示す図である。
【図22】図22は代理者がアプリケーションの搭載を行う為の本願発明に係わるシーケンスを示す図である。
【図23】図23はサービス提供者がSDの搭載を行う為の本願発明に係わるシーケンスを示す図である。
【図24】図24はサービス提供者がアプリケーションの搭載を行う為の本願発明に係わるシーケンスを示す図である。
【図25】図25は本願発明を用いたテナント例を示す図である。
【図26】図26は本願発明を用いた制限付きサービスの提供契約を行う例を説明する図である。
【図27】図27は本願発明を用いたバーチャルカードの例を説明する図である。
【図28】図28はカード・システムの概要を示す図である。
【符号の説明】
11:ICカード、101:ICカード内ハードウェア層
102:ICカード内OS層、106:ICカード内アプリケーション
107:ICカード内アプリケーション層、108:セキュリティドメイン、302:カード発行者サーバ、303:サービス提供者サーバ
304:クライアント側用外部端末、305:カード発行者データベース、306:サービス提供者データベース、801、802:アプリケーション、804、805:セキュリティドメイン、803:サービス提供者、901:代理者、902:代理者のデータベース、2801:カード発行者、2802、2803:サービス提供者、2804:代理者=テナントビジネス事業者、2805:サービス提供者=テナント希望事業者、2810:カードOS、2811、2812:セキュリティドメイン、2813:限定機能付きセキュリティドメイン
2814〜2819:アプリケーション、2901:カード発行者
2902、2903、2905:サービス提供者
2904、2910:カードOS
2911、2912:セキュリティドメイン
2913:限定機能付きセキュリティドメイン
2914〜2919:アプリケーション
3001:バーチャルカード発行者
3002〜3004:サービス提供者、3005〜3007:ICカード、3009〜3011:提携先の搭載領域。
Claims (6)
- ICカードの発行に必要なデータを管理するカード発行者サーバであって、
前記カード発行者サーバは、秘密鍵を有し、前記秘密鍵による署名をしたセキュリティドメインをネットワークを介し代理者サーバに送付するものであって、
前記セキュリティドメインは、前記代理者サーバに続き前記サービス提供者に送付された後、前記ICカードに格納されるものであり、
前記ICカードは、前記秘密鍵に対応する公開鍵を有し、前記セキュリティドメインの署名を前記公開鍵により復号し正当性を確認した後、前記セキュリティドメインを格納するものであって、
前記セキュリティドメインは、ICカードに格納された後、前記発行者が定める条件に従いサービス提供者サーバから送付される前記アプリケーションを管理することを特徴とするカード発行者サーバ。 - 請求項1に記載のカード発行者サーバにおいて、
前記カード発行者サーバからの前記代理者サーバへのセキュリティドメインの送付後は、前記カード発行者サーバと前記代理者サーバとはオフラインとなることを特徴とするカード発行者サーバ。 - 請求項1から2のいずれかに記載のカード発行者サーバにおいて、
前記署名は、前記秘密鍵で暗号化した情報の付与であることを特徴とするカード発行者サーバ。 - 請求項1から3のいずれかに記載のカード発行者サーバにおいて、
前記条件は、少なくとも前記アプリケーションの容量、搭載回数、個数、搭載可能な有効期間のいずれか一つであることを特徴とするカード発行者サーバ。 - ICカードの発行に必要なデータを管理するカード発行者サーバから、代理認定証と前記カード発行者サーバの秘密鍵による署名をしたセキュリティドメインをネットワークを介し受信する代理者サーバであって、
前記代理者サーバは前記セキュリティドメインを前記サービス提供者に送付後、前記代理認定証を前記サービス提供者サーバに送付することにより前記ICカードにアプリケーションの搭載を許可するものであって、
前記代理認定証と前記セキュリティドメインが前記サービス提供者に送付された後は、前記カード発行者サーバと前記代理者サーバとはオフラインとなることを特徴とする代理者サーバ。 - 請求項5に記載のカード発行者サーバにおいて
前記代理認定証は、代理者の公開鍵を前記カード発行者サーバの第2の秘密鍵で暗号化した情報であることを特徴とする代理者サーバ。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000249182A JP3808297B2 (ja) | 2000-08-11 | 2000-08-11 | Icカードシステム及びicカード |
| US09/639,751 US6931379B1 (en) | 2000-08-11 | 2000-08-15 | IC card system and IC card |
| EP00117662A EP1189157A3 (en) | 2000-08-11 | 2000-08-16 | IC card system and IC card |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000249182A JP3808297B2 (ja) | 2000-08-11 | 2000-08-11 | Icカードシステム及びicカード |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2002056360A JP2002056360A (ja) | 2002-02-20 |
| JP2002056360A5 JP2002056360A5 (ja) | 2005-02-24 |
| JP3808297B2 true JP3808297B2 (ja) | 2006-08-09 |
Family
ID=18738961
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000249182A Expired - Fee Related JP3808297B2 (ja) | 2000-08-11 | 2000-08-11 | Icカードシステム及びicカード |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US6931379B1 (ja) |
| EP (1) | EP1189157A3 (ja) |
| JP (1) | JP3808297B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8752159B2 (en) | 2010-07-12 | 2014-06-10 | Ricoh Company, Ltd. | Information processing apparatus, verification system, control method of verification system, program of control method of verification system, and storage medium |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2816731B1 (fr) * | 2000-11-14 | 2003-01-03 | Gemplus Card Int | Procede de chargement et de personnalisation des informations et programmes charges dans une carte a puce |
| US7783568B1 (en) * | 2001-05-01 | 2010-08-24 | Visa International Service Association | Payment services for multi-national corporations |
| JP4743374B2 (ja) * | 2001-08-23 | 2011-08-10 | 大日本印刷株式会社 | インターネットを利用したicカードへのアプリケーションプログラム追加システム |
| JP2003168093A (ja) * | 2001-11-30 | 2003-06-13 | Hitachi Ltd | カードシステム、カードへのアプリケーション搭載方法及びアプリケーション実行確認方法 |
| US7793355B2 (en) | 2002-12-12 | 2010-09-07 | Reasearch In Motion Limited | System and method of owner control of electronic devices |
| AU2004213886A1 (en) | 2003-02-21 | 2004-09-02 | Research In Motion Limited | System and method of multiple-level control of electronic devices |
| JP4067985B2 (ja) | 2003-02-28 | 2008-03-26 | 松下電器産業株式会社 | アプリケーション認証システムと装置 |
| JP2004334542A (ja) * | 2003-05-08 | 2004-11-25 | Dainippon Printing Co Ltd | Icカード、icカードプログラム及びicカードのメモリ領域の割当方法 |
| EP1492061A1 (fr) * | 2003-06-25 | 2004-12-29 | Nagracard S.A. | Méthode d'allocation de ressources sécurisées dans un module de sécurité |
| EP3023899B1 (en) * | 2003-09-30 | 2020-09-16 | Nxp B.V. | Proximity authentication system |
| US7557433B2 (en) | 2004-10-25 | 2009-07-07 | Mccain Joseph H | Microelectronic device with integrated energy source |
| EP1763744B1 (en) * | 2004-04-30 | 2017-07-19 | BlackBerry Limited | System and method of owner application control of electronic devices |
| FR2872309A1 (fr) * | 2004-06-23 | 2005-12-30 | Gemplus Sa | Procede de gestion d'une carte a puce multi-applicative |
| JP4484617B2 (ja) * | 2004-07-29 | 2010-06-16 | 富士通株式会社 | 記録媒体の保証方法およびその保証管理プログラムならびに保証処理プログラム |
| JP2006119901A (ja) * | 2004-10-21 | 2006-05-11 | Toshiba Corp | 携帯可能電子装置および携帯可能電子装置のアプリケーション更新方法 |
| US20060136717A1 (en) | 2004-12-20 | 2006-06-22 | Mark Buer | System and method for authentication via a proximate device |
| WO2006107777A2 (en) * | 2005-04-01 | 2006-10-12 | Mastercard International Incorporated | Dynamic encryption of payment card numbers in electronic payment transactions |
| US20070039041A1 (en) * | 2005-08-15 | 2007-02-15 | Davis Michael L | Unified reference id mechanism in a multi-application machine readable credential |
| US7865737B2 (en) * | 2005-09-05 | 2011-01-04 | Yamaha Corporation | Digital mixer |
| US8045958B2 (en) | 2005-11-21 | 2011-10-25 | Research In Motion Limited | System and method for application program operation on a wireless device |
| EP1826944B1 (en) | 2006-02-27 | 2009-05-13 | Research In Motion Limited | Method of customizing a standardized IT policy |
| EP1873963A1 (en) * | 2006-06-29 | 2008-01-02 | Incard SA | Authentication method for IC cards |
| JP4702628B2 (ja) | 2006-07-27 | 2011-06-15 | ソニー株式会社 | 電子機器、情報処理方法、およびプログラム |
| JP4948271B2 (ja) * | 2007-06-04 | 2012-06-06 | 日本電信電話株式会社 | Icカードアプリケーション格納方法及びシステム及びicカード発行者サーバ及びプログラム |
| EP2043016A1 (en) * | 2007-09-27 | 2009-04-01 | Nxp B.V. | Method, system, trusted service manager, service provider and memory element for managing access rights for trusted applications |
| HU230695B1 (hu) * | 2007-10-20 | 2017-09-28 | Andrá Vilmos | Eljárás egyedi hozzáférésű információtartalom kommunikációs eszköz biztonságos tároló részegységében történő elhelyezésének előkészítésére, valamint elhelyezésére |
| ITMI20080536A1 (it) * | 2008-03-28 | 2009-09-29 | Incard Sa | Metodo per proteggere un file cap per una carta a circuito integrato. |
| EP2128830A1 (en) * | 2008-05-30 | 2009-12-02 | Gemplus | A method and an electronic device for transferring application data from a source electronic device to a destination electronic device |
| JP5476086B2 (ja) * | 2009-10-16 | 2014-04-23 | フェリカネットワークス株式会社 | Icチップ、情報処理装置およびプログラム |
| JP6119856B2 (ja) * | 2013-07-01 | 2017-04-26 | 日本電気株式会社 | 有効性制御システム、端末装置、サーバ装置、記録媒体、方法、および、プログラム |
| CN105659270B (zh) * | 2013-09-13 | 2020-02-21 | 日本电气株式会社 | 用于有效性控制的终端设备和服务器设备 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5825880A (en) * | 1994-01-13 | 1998-10-20 | Sudia; Frank W. | Multi-step digital signature method and system |
| JPH10133869A (ja) * | 1996-10-30 | 1998-05-22 | Shinichiro Ogawa | ソフトウエア製品の流通方法 |
| US6317832B1 (en) | 1997-02-21 | 2001-11-13 | Mondex International Limited | Secure multiple application card system and process |
| AU7484898A (en) | 1997-05-09 | 1998-11-27 | Gte Government Systems Corporation | Biometric certificates |
| US6422459B1 (en) * | 1997-10-15 | 2002-07-23 | Citicorp Development Center, Inc. | Method and system for off-line loading of stored value cards using a batch-load terminal |
| US6402028B1 (en) * | 1999-04-06 | 2002-06-11 | Visa International Service Association | Integrated production of smart cards |
-
2000
- 2000-08-11 JP JP2000249182A patent/JP3808297B2/ja not_active Expired - Fee Related
- 2000-08-15 US US09/639,751 patent/US6931379B1/en not_active Expired - Fee Related
- 2000-08-16 EP EP00117662A patent/EP1189157A3/en not_active Withdrawn
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8752159B2 (en) | 2010-07-12 | 2014-06-10 | Ricoh Company, Ltd. | Information processing apparatus, verification system, control method of verification system, program of control method of verification system, and storage medium |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2002056360A (ja) | 2002-02-20 |
| EP1189157A3 (en) | 2003-09-17 |
| US6931379B1 (en) | 2005-08-16 |
| EP1189157A2 (en) | 2002-03-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3808297B2 (ja) | Icカードシステム及びicカード | |
| US7539861B2 (en) | Creating and storing one or more digital certificates assigned to subscriber for efficient access using a chip card | |
| US7925878B2 (en) | System and method for creating a trusted network capable of facilitating secure open network transactions using batch credentials | |
| US7904722B2 (en) | Method for securely using digital signatures in a commercial cryptographic system | |
| Neuman | Proxy-based authorization and accounting for distributed systems | |
| AU698454B2 (en) | Method for securely using digital signatures in a commercial cryptographic system | |
| US8302171B2 (en) | System and method for privilege delegation and control | |
| US6490367B1 (en) | Arrangement and method for a system for administering certificates | |
| US7526649B2 (en) | Session key exchange | |
| KR100411448B1 (ko) | 공개키 기반구조의 개인키와 인증서를 저장하는 광학기록매체의 발급방법 및 발급시스템 | |
| US20030105965A1 (en) | Business method for secure installation of a credit authorization key on a remote tcpa compliant system | |
| US20070179906A1 (en) | Methods for operating infrastructure and applications for cryptographically-supported services | |
| US20030035548A1 (en) | Client controlled data recovery management | |
| US20100088236A1 (en) | Secure software service systems and methods | |
| WO1996002993A9 (en) | Method for securely using digital signatures in a commercial cryptographic system | |
| JP2003234736A (ja) | 公開鍵インフラストラクチャ・トークン発行及びバインディング処理 | |
| JP2008533547A (ja) | 多機能スマートカード上のアプリケーションを管理するシステムおよび方法 | |
| Wang et al. | Achieving secure and flexible m-services through tickets | |
| Deng et al. | Integrating security in CORBA based object architectures | |
| JP3996022B2 (ja) | 複数サービス利用者に対するicカードサービス利用許可方法及びシステム | |
| Low et al. | Self authenticating proxies | |
| JP4201107B2 (ja) | 埋め込み型権限委譲方法 | |
| Van Herreweghen et al. | Risks and Potentials of Using EMV for Internet Payments. | |
| Navarro et al. | Role-based access control for e-commerce sea-of-data applications | |
| JP4201106B2 (ja) | コマンド実行権限譲渡方法及びシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040325 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040325 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060127 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060207 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060329 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20060329 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060509 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060517 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100526 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110526 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110526 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120526 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120526 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130526 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130526 Year of fee payment: 7 |
|
| LAPS | Cancellation because of no payment of annual fees |