JP3819345B2 - Icチップおよびアプリケーション提供システム - Google Patents
Icチップおよびアプリケーション提供システム Download PDFInfo
- Publication number
- JP3819345B2 JP3819345B2 JP2002256114A JP2002256114A JP3819345B2 JP 3819345 B2 JP3819345 B2 JP 3819345B2 JP 2002256114 A JP2002256114 A JP 2002256114A JP 2002256114 A JP2002256114 A JP 2002256114A JP 3819345 B2 JP3819345 B2 JP 3819345B2
- Authority
- JP
- Japan
- Prior art keywords
- signature data
- server
- application
- chip
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、ICチップおよびアプリケーション提供システムに関する。
【0002】
【従来の技術】
従来、マルチアプリケーションICカード(ICチップ)では、カード内のアプリケーション(AP)を登録・更新・削除・状態の変更を行なった際に、当該行為を証明するために、ICカード内に登録されている鍵を用いて、署名データや認証データを出力することができる。出力データは、オンラインまたは端末側で保持した後にバッチでサーバに送られる。サーバでは、当該取引の行為を管理している。これらの仕組みは、ICカードの発行設備や店舗端末など、比較的信頼性の高い環境で行なうことを前提としている。
【0003】
【発明が解決しようとする課題】
しかしながら、利用者が管理する携帯端末に付随したICチップに同様の処理を実施することを想定した場合には、従来技術では、次のような問題が生じる。すなわち、アプリケーションの登録・更新・削除・状態の変更などを行なった直後に、利用者が携帯端末の電源を故意に切る、携帯端末の電源が不足する、携帯端末の電波が届かない状況になる、電話が着信するなど、ICカードで生成した署名データや認証データをサーバに確実に返すことができないという問題があった。
【0004】
この発明は上述した事情に鑑みてなされたもので、アプリケーションの登録・更新・削除・状態変更などの行為に対する署名データを生成するだけでなく、適切な時期にサーバへ返すことができ、また、ICチップの機能を制限することができるICチップおよびアプリケーション提供システムを提供することを目的とする。
【0005】
【課題を解決するための手段】
上述した問題点を解決するために、請求項1記載の発明では、携帯端末に装着可能であって、自身に格納されているアプリケーションを実行するICチップにおいて、前記携帯端末の通信機能を利用してネットワーク上のサーバからアプリケーションをダウンロードするダウンロード手段と、前記ダウンロード手段によりダウンロードしたアプリケーションに対する署名データを生成する署名データ生成手段と、前記署名データ生成手段により生成された署名データを一時保持する保持手段と、前記サーバとの接続が可能になった時点で、前記一時保持していた署名データを前記サーバに送信する署名データ送信手段と、前記署名データ送信手段により送信した署名データに対して前記サーバから送信されてくる署名クリアコマンドを受信する署名データ受信手段と、前記署名データ受信手段により受信した署名クリアコマンドに基づいて対応する署名データを消去する消去手段とを具備することを特徴とする。
【0006】
また、請求項2記載の発明では、請求項1記載のICチップにおいて、前記署名データ生成手段は、少なくとも、アプリケーションの登録・更新・削除・状態変更を含む行為を示す情報に基づいて、署名データを生成することを特徴とする。
【0007】
また、請求項3記載の発明では、請求項1記載のICチップにおいて、さらに、前記署名データがクリアされずに保持されている場合、前記ダウンロード手段によりダウンロードしたアプリケーションの機能を制限する機能制限手段を具備することを特徴とする。
【0008】
また、上述した問題点を解決するために、請求項4記載の発明では、携帯端末に装着されたICチップにより、前記携帯端末の通信機能を利用してネットワーク上のサーバからアプリケーションをダウンロードし、該アプリケーションに対する署名データを生成して一時保持し、前記サーバとの接続が可能になった時点で、前記一時保持していた署名データを前記サーバに送信し、これに対して前記サーバから送信されてくる署名クリアコマンドを受信し、該署名クリアコマンドに基づいて対応する署名データを消去することを特徴とする。
【0009】
また、請求項5記載の発明では、請求項4記載のアプリケーション提供システムにおいて、前記ICチップは、少なくとも、アプリケーションの登録・更新・削除・状態変更を含む行為を示す情報に基づいて、署名データを生成することを特徴とする。
【0010】
この発明では、ダウンロード手段により、携帯端末の通信機能を利用してネットワーク上のサーバからアプリケーションをダウンロードし、署名データ生成手段により、該アプリケーションに対する署名データを生成し、該署名データを保持手段に一時保持し、前記サーバとの接続が可能になった時点で、署名データ送信手段により、前記一時保持していた署名データを前記サーバに送信し、該署名データに対して前記サーバから送信されてくる署名クリアコマンドを署名データ受信手段により受信し、消去手段により、受信した署名クリアコマンドに基づいて対応する署名データを消去する。したがって、アプリケーションの登録・更新・削除・状態変更などの行為に対する署名データを生成するだけでなく、適切な時期にサーバへ返すことが可能となり、ICチップの機能を制限することが可能となる。
【0011】
【発明の実施の形態】
以下、図面を用いて本発明の実施の形態を説明する。
【0012】
A.実施形態の構成
図1は、本発明の実施形態によるシステムの構成を示すブロック図である。図1において、携帯端末1は、携帯電話やPDAなどの携帯可能な情報処理端末であり、ICチップ2が装着可能となっている。携帯端末1では、本体内蔵または携帯端末1の通信機能を利用してダウンロードされたアプリケーション(携帯AP)が実行される。ICチップ2は、携帯端末1の通信機能を利用し、インターネットや通信回線などのネットワーク3を介して、後述するAPダウンロードサーバ4(以下、単にサーバという)から各種アプリケーションをダウンロードする。また、ダウンロードしたアプリケーションに対して更新・削除・状態変更も行なう。このとき、ICチップ2では、アプリケーションをダウンロードする度に、アプリケーションID、ICチップのID,日付、行為の種類(登録、削除、更新など)の情報に基づいて、署名用鍵で暗号化した署名データを生成する。該署名データは、サーバ4に送信される。サーバ4では、署名データにより、アプリケーションに関する情報を管理する。
【0013】
次に、図2は、上記携帯端末1の構成を示すブロック図である。図2において、携帯端末1は、CPU11、メモリ12、表示部13、入力部14および通信部15を備えている。CPU11は、携帯端末1の各部を制御する。メモリ12は、プログラムやデータを格納する。表示部13は、例えば液晶表示器からなり、各種情報を表示する。入力部14は、テンキーやファンクションキーなどからなる。通信部15は、無線により通話やデータ通信を行なう。
なお、ここでは、携帯端末のCPUは一つになっているが、例えば通信部制御用と携帯端末の端末APを実行するものをそれぞれ別のCPUに制御させるものでもよい。
【0014】
ICチップ2は、CPU21およびメモリ22を備えている。該ICチップ2と携帯端末1とのインターフェースは、接触型でも非接触型でもよい。ICチップ2は、自身のCPU21により、携帯端末1の通信機能を用いて、後述するAPダウンロードサーバ4(以下、単にサーバという)から各種アプリケーションをダウンロードして実行する。メモリ22は、図3に示すデータを格納する。図3は、ICチップ2のメモリ22のデータ構成を示す概念図である。メモリ22には、ダウンロードしたアプリケーションAP1,AP2,…,APNが格納される。
【0015】
署名用鍵は、暗号化された署名データを生成する際に用いられる。AP機能制限パラメータは、アプリケーションのダウンロードを行なった際の署名データがICチップ2に保持されている場合には、当該アプリケーションの起動を不可にする、起動できる回数の上限を決める、一定期間に起動できる回数を制限する、アプリケーションの実行速度を遅くするなどの制御を行なうためのパラメータである。また、削除したアプリケーションの署名データが保持されている場合には、新たなアプリケーションのダウンロードができないなどの制限をかけたり、署名データを保持した数が一定のレベルを超えた場合には、ICチップを自動的にロックするような制御を行なったりすることも可能である。
【0016】
ICチップIDは、ICチップ毎に割り当てられたユニークな識別情報である。現在のセッションIDは、サーバ4にアクセスする際の識別情報である。相互認証用鍵は、サーバ4との間で認証する際に用いられる暗号化用の鍵である。
【0017】
次に、図4は、サーバ4で管理されるデータベースのデータ構成を示す概念図である。サーバ4では、ICチップID毎に、アプリケーションがダウンロード済みであるか、ダウンロード要求があったものかを管理する。
【0018】
B.実施形態の動作
次に、本実施形態の動作について詳細に説明する。ここで、図5は、本実施形態の動作を説明するためのシーケンス図である。まず、ICチップ2は、携帯端末1の通信機能を利用して、サーバ4にアクセスし、相互認証&セッションIDを交換する(Sa1)。相互認証後、ICチップ2は、サーバ4からアプリケーションをダウンロードする(Sa2)。
尚、ダウンロード時にアプリケーションが暗号化されている場合や、アプリケーションがどのサーバからダウンロードされているかを確認するための署名データが添付されている場合には、カード内で復号化や署名検証を行ないダウンロードしても良い。
【0019】
ICチップ2では、アプリケーションID、ICチップのID,日付、行為の種類(登録、削除、更新など)の情報に基づいて、署名用鍵で暗号化した署名データを生成し、メモリ22に保持する(Sa3)。次に、ICチップ2は、上記署名データのサーバ4への送信を試みる。このとき、サーバ4との接続が確立されれば、ステップSa10へ進む。
【0020】
一方、利用者が携帯端末1の電源を故意に切る、携帯端末1の電源が不足する、携帯端末1の電波が届かない状況になる、電話が着信するなど、ICチップ2で生成した署名データをサーバ4に送信することができない場合には、携帯端末1の常時起動アプリケーションを起動させるためのコマンドを送信する(Sa5)。署名データが送信できたか否かは、ICチップ2内に署名データが保持されたままになっているか否かで判断する。
【0021】
なお、携帯端末1の電源が切られたような場合には、ICチップ2から携帯端末1のアプリケーションを起動させることはできない。そこで、実際には、ICチップ2に何らかのコマンドなどがアクセスするタイミング(ICチップ2への電源を供給する、ICチップ2上のアプリケーションの起動や終了、ICチップ2のリセット行為など)で、ICチップ2から携帯端末1上で常時動作するアプリケーション(エージェントを含む)を起動するコマンドを携帯端末1に返す。
【0022】
携帯端末1では、上記コマンドに従って常時起動アプリケーションを起動する(Sa6)。該常時起動アプリケーションは、所定の時間間隔(例えば、1時間間隔)で、サーバ4に接続可能であるかチェックする(Sa7)。
尚、常時起動アプリケーションは、所定の時間間隔だけでなく、ICチップ内で生成した乱数から可変のタイミングでサーバ4に接続可能であるかをチェックしてもよい。
そして、サーバ4との接続が可能となると、ICチップ2は、携帯端末1の通信機能を利用して、サーバ4との間で、再度、相互認証&セッションIDを交換する(Sa8)。
【0023】
ICチップ2では、前回のセッションIDと今回のセッションIDに対して署名データを生成し(Sa9)、サーバ4へ送信する(Sa10)。サーバ4では、署名データを受信すると、該署名データのクリアコマンドを送信する(Sa11)。これに対して、ICチップ2では、メモリ22に保持していた該当署名データをクリアし(Sa12)、常時起動APを終了させるためのコマンドを送信する(Sa13)。携帯端末1では、常時起動APを終了する(Sa14)。以後、ICチップ2にダウンロードされたアプリケーションは起動可能となる。
【0024】
次に、図6および図7は、ICチップ2の動作を詳細に説明するためのフローチャートである。ICチップ2は、まず、サーバ4との相互認証を行ない(S1)、相互認証が成功したか否かを判断する(S2)。そして、相互認証が成功しなければ、エラーを返却する(S3)。
【0025】
一方、サーバ4との相互認証が成功すると、サーバ4とセッションIDを交換する(S4)。次に、サーバ4からアプリケーションをダウンロードし(S5)、ダウンロードが成功したか否かを判断する(S6)。ここで、ダウロードに失敗した場合には、エラーを返却する(S7)。
【0026】
一方、アプリケーションのダウンロードが成功した場合には、署名データを生成し(S8)、同一セッションで署名クリアコマンド(暗号コマンド)をサーバ4から受信したか否かを判断する(S9)。そして、同一セッションで署名クリアコマンドを受信した場合には、ダウンロードしたアプリケーションの起動制限を解除し(S10)、当該処理を終了する。これにより、ダウンロードしたアプリケーションが起動可能となる。
【0027】
一方、署名クリアコマンドを受信しない場合、すなわち、携帯端末1の電源が不足する、携帯端末1の電波が届かない状況になる、電話が着信するなど、ICチップ2で生成した署名データをサーバ4に送信することができなかった場合には、ダウンロードしたアプリケーションの起動制限を行ない(S11)、署名データが所定数以上であるか否かを判断する(S12)。ここで、メモリ22に所定数以上の署名データが保持されている場合には、カードロックする(S13)。これにより、ICチップ内のアプリケーションの起動、ダウンロードなどを行なうことができなくなる。
【0028】
一方、署名データが所定数以下であれば、携帯端末1の常時起動アプリケーションに対して起動要求レスポンスを返却する(S14)。これにより、携帯端末1において、常時起動アプリケーションが起動し、所定時間間隔でサーバ4との接続が試みられる。ICチップ2では、サーバ4と接続可能になったか否かを判断する(S15)。
【0029】
そして、サーバ4と接続可能になると、サーバ4と相互認証を行ない(S16)、相互認証が成功したか否かを判断する(S17)。そして、相互認証が成功しなければ、エラーを返却する(S3)。
【0030】
一方、サーバ4との相互認証が成功すると、サーバ4とセッションIDを交換する(S19)。なお、以前の署名データがICチップ2にある場合には、以前のセッションIDと今回のセッションIDの両方に対して署名データを生成し、サーバ4に対して送信する。次に、ダウンロードしたアプリケーションの起動制限を解除し(S10)、当該処理を終了する。これにより、ダウンロードしたアプリケーションが起動可能となる。
【0031】
なお、上述した実施形態において、署名データを検証するサーバが、アプリケーション毎に応じて異なる場合には、サーバ側でリダイレクトなどの処理を行ない、当該サーバとICチップとの間のコネクションを確立させるようにしてもよい。また、ICチップへの単一の行為だけでなく、複数の行為に対して、まとめて署名データを生成し、保持するようにしてもよい。この場合、署名データを分割してそれぞれの行為に応じて、分割したものをクリアする。また、複数の行為それぞれの署名データを生成させ、それぞれをクリアしてもよい。
【0032】
上述した実施形態によれば、ICチップ2またはICチップ上のアプリケーションに対する行為を、リモートでより確実に管理することができるため、例えば、それらの行為に対する課金システムなどを構築することができる。
【0033】
また、ICチップ2へのアプリケーションのダウンロードなどの行為を不正に失敗させてサービスを妨害するという行為を低減することができる。また、ICチップ2の状態を、ICチップ自身が判断してサーバ4に通知できるため、サーバ4での管理負担が軽減できる。
また、携帯APが、ICチップにダウンロードしたAPを起動して利用するようにすることで、携帯端末自身で携帯APの起動を管理するよりもセキュリティを向上させることができる。
また、ICチップ内のAPは、ICチップ自身を管理するAPでもよく、その場合は個別のダウンロードAPアプリケーションの起動管理だけでなく、それらの複数のAPの起動を管理することもできる。
【0034】
【発明の効果】
以上説明したように、本発明によれば、ダウンロード手段により、携帯端末の通信機能を利用してネットワーク上のサーバからアプリケーションをダウンロードし、署名データ生成手段により、該アプリケーションに対する署名データを生成し、該署名データを保持手段に一時保持し、前記サーバとの接続が可能になった時点で、署名データ送信手段により、前記一時保持していた署名データを前記サーバに送信し、該署名データに対して前記サーバから送信されてくる署名クリアコマンドを署名データ受信手段により受信し、消去手段により、受信した署名クリアコマンドに基づいて対応する署名データを消去するようにしたので、アプリケーションの登録・更新・削除・状態変更などの行為に対する署名データを生成するだけでなく、適切な時期にサーバへ返すことができ、ICチップの機能を制限することができるという利点が得られる。
【図面の簡単な説明】
【図1】 本発明の実施形態によるシステムの構成を示すブロック図である。
【図2】 携帯端末1の構成を示すブロック図である。
【図3】 ICチップ2のメモリ22のデータ構成を示す概念図である。
【図4】 サーバ4で管理されるデータベースのデータ構成を示す概念図である。
【図5】 本実施形態の動作を説明するためのシーケンス図である。
【図6】 ICチップ2の動作を詳細に説明するためのフローチャートである。
【図7】 ICチップ2の動作を詳細に説明するためのフローチャートである。
【符号の説明】
1 携帯端末
2 ICチップ
3 ネットワーク
4 サーバ
11 CPU
12 メモリ
13 表示部
14 入力部
15 通信部(携帯端末の通信機能)
21 CPU(ダウンロード手段、署名データ生成手段、署名データ送信手段、署名データ受信手段、消去手段、機能制限手段)
22 メモリ(保持手段)
【発明の属する技術分野】
本発明は、ICチップおよびアプリケーション提供システムに関する。
【0002】
【従来の技術】
従来、マルチアプリケーションICカード(ICチップ)では、カード内のアプリケーション(AP)を登録・更新・削除・状態の変更を行なった際に、当該行為を証明するために、ICカード内に登録されている鍵を用いて、署名データや認証データを出力することができる。出力データは、オンラインまたは端末側で保持した後にバッチでサーバに送られる。サーバでは、当該取引の行為を管理している。これらの仕組みは、ICカードの発行設備や店舗端末など、比較的信頼性の高い環境で行なうことを前提としている。
【0003】
【発明が解決しようとする課題】
しかしながら、利用者が管理する携帯端末に付随したICチップに同様の処理を実施することを想定した場合には、従来技術では、次のような問題が生じる。すなわち、アプリケーションの登録・更新・削除・状態の変更などを行なった直後に、利用者が携帯端末の電源を故意に切る、携帯端末の電源が不足する、携帯端末の電波が届かない状況になる、電話が着信するなど、ICカードで生成した署名データや認証データをサーバに確実に返すことができないという問題があった。
【0004】
この発明は上述した事情に鑑みてなされたもので、アプリケーションの登録・更新・削除・状態変更などの行為に対する署名データを生成するだけでなく、適切な時期にサーバへ返すことができ、また、ICチップの機能を制限することができるICチップおよびアプリケーション提供システムを提供することを目的とする。
【0005】
【課題を解決するための手段】
上述した問題点を解決するために、請求項1記載の発明では、携帯端末に装着可能であって、自身に格納されているアプリケーションを実行するICチップにおいて、前記携帯端末の通信機能を利用してネットワーク上のサーバからアプリケーションをダウンロードするダウンロード手段と、前記ダウンロード手段によりダウンロードしたアプリケーションに対する署名データを生成する署名データ生成手段と、前記署名データ生成手段により生成された署名データを一時保持する保持手段と、前記サーバとの接続が可能になった時点で、前記一時保持していた署名データを前記サーバに送信する署名データ送信手段と、前記署名データ送信手段により送信した署名データに対して前記サーバから送信されてくる署名クリアコマンドを受信する署名データ受信手段と、前記署名データ受信手段により受信した署名クリアコマンドに基づいて対応する署名データを消去する消去手段とを具備することを特徴とする。
【0006】
また、請求項2記載の発明では、請求項1記載のICチップにおいて、前記署名データ生成手段は、少なくとも、アプリケーションの登録・更新・削除・状態変更を含む行為を示す情報に基づいて、署名データを生成することを特徴とする。
【0007】
また、請求項3記載の発明では、請求項1記載のICチップにおいて、さらに、前記署名データがクリアされずに保持されている場合、前記ダウンロード手段によりダウンロードしたアプリケーションの機能を制限する機能制限手段を具備することを特徴とする。
【0008】
また、上述した問題点を解決するために、請求項4記載の発明では、携帯端末に装着されたICチップにより、前記携帯端末の通信機能を利用してネットワーク上のサーバからアプリケーションをダウンロードし、該アプリケーションに対する署名データを生成して一時保持し、前記サーバとの接続が可能になった時点で、前記一時保持していた署名データを前記サーバに送信し、これに対して前記サーバから送信されてくる署名クリアコマンドを受信し、該署名クリアコマンドに基づいて対応する署名データを消去することを特徴とする。
【0009】
また、請求項5記載の発明では、請求項4記載のアプリケーション提供システムにおいて、前記ICチップは、少なくとも、アプリケーションの登録・更新・削除・状態変更を含む行為を示す情報に基づいて、署名データを生成することを特徴とする。
【0010】
この発明では、ダウンロード手段により、携帯端末の通信機能を利用してネットワーク上のサーバからアプリケーションをダウンロードし、署名データ生成手段により、該アプリケーションに対する署名データを生成し、該署名データを保持手段に一時保持し、前記サーバとの接続が可能になった時点で、署名データ送信手段により、前記一時保持していた署名データを前記サーバに送信し、該署名データに対して前記サーバから送信されてくる署名クリアコマンドを署名データ受信手段により受信し、消去手段により、受信した署名クリアコマンドに基づいて対応する署名データを消去する。したがって、アプリケーションの登録・更新・削除・状態変更などの行為に対する署名データを生成するだけでなく、適切な時期にサーバへ返すことが可能となり、ICチップの機能を制限することが可能となる。
【0011】
【発明の実施の形態】
以下、図面を用いて本発明の実施の形態を説明する。
【0012】
A.実施形態の構成
図1は、本発明の実施形態によるシステムの構成を示すブロック図である。図1において、携帯端末1は、携帯電話やPDAなどの携帯可能な情報処理端末であり、ICチップ2が装着可能となっている。携帯端末1では、本体内蔵または携帯端末1の通信機能を利用してダウンロードされたアプリケーション(携帯AP)が実行される。ICチップ2は、携帯端末1の通信機能を利用し、インターネットや通信回線などのネットワーク3を介して、後述するAPダウンロードサーバ4(以下、単にサーバという)から各種アプリケーションをダウンロードする。また、ダウンロードしたアプリケーションに対して更新・削除・状態変更も行なう。このとき、ICチップ2では、アプリケーションをダウンロードする度に、アプリケーションID、ICチップのID,日付、行為の種類(登録、削除、更新など)の情報に基づいて、署名用鍵で暗号化した署名データを生成する。該署名データは、サーバ4に送信される。サーバ4では、署名データにより、アプリケーションに関する情報を管理する。
【0013】
次に、図2は、上記携帯端末1の構成を示すブロック図である。図2において、携帯端末1は、CPU11、メモリ12、表示部13、入力部14および通信部15を備えている。CPU11は、携帯端末1の各部を制御する。メモリ12は、プログラムやデータを格納する。表示部13は、例えば液晶表示器からなり、各種情報を表示する。入力部14は、テンキーやファンクションキーなどからなる。通信部15は、無線により通話やデータ通信を行なう。
なお、ここでは、携帯端末のCPUは一つになっているが、例えば通信部制御用と携帯端末の端末APを実行するものをそれぞれ別のCPUに制御させるものでもよい。
【0014】
ICチップ2は、CPU21およびメモリ22を備えている。該ICチップ2と携帯端末1とのインターフェースは、接触型でも非接触型でもよい。ICチップ2は、自身のCPU21により、携帯端末1の通信機能を用いて、後述するAPダウンロードサーバ4(以下、単にサーバという)から各種アプリケーションをダウンロードして実行する。メモリ22は、図3に示すデータを格納する。図3は、ICチップ2のメモリ22のデータ構成を示す概念図である。メモリ22には、ダウンロードしたアプリケーションAP1,AP2,…,APNが格納される。
【0015】
署名用鍵は、暗号化された署名データを生成する際に用いられる。AP機能制限パラメータは、アプリケーションのダウンロードを行なった際の署名データがICチップ2に保持されている場合には、当該アプリケーションの起動を不可にする、起動できる回数の上限を決める、一定期間に起動できる回数を制限する、アプリケーションの実行速度を遅くするなどの制御を行なうためのパラメータである。また、削除したアプリケーションの署名データが保持されている場合には、新たなアプリケーションのダウンロードができないなどの制限をかけたり、署名データを保持した数が一定のレベルを超えた場合には、ICチップを自動的にロックするような制御を行なったりすることも可能である。
【0016】
ICチップIDは、ICチップ毎に割り当てられたユニークな識別情報である。現在のセッションIDは、サーバ4にアクセスする際の識別情報である。相互認証用鍵は、サーバ4との間で認証する際に用いられる暗号化用の鍵である。
【0017】
次に、図4は、サーバ4で管理されるデータベースのデータ構成を示す概念図である。サーバ4では、ICチップID毎に、アプリケーションがダウンロード済みであるか、ダウンロード要求があったものかを管理する。
【0018】
B.実施形態の動作
次に、本実施形態の動作について詳細に説明する。ここで、図5は、本実施形態の動作を説明するためのシーケンス図である。まず、ICチップ2は、携帯端末1の通信機能を利用して、サーバ4にアクセスし、相互認証&セッションIDを交換する(Sa1)。相互認証後、ICチップ2は、サーバ4からアプリケーションをダウンロードする(Sa2)。
尚、ダウンロード時にアプリケーションが暗号化されている場合や、アプリケーションがどのサーバからダウンロードされているかを確認するための署名データが添付されている場合には、カード内で復号化や署名検証を行ないダウンロードしても良い。
【0019】
ICチップ2では、アプリケーションID、ICチップのID,日付、行為の種類(登録、削除、更新など)の情報に基づいて、署名用鍵で暗号化した署名データを生成し、メモリ22に保持する(Sa3)。次に、ICチップ2は、上記署名データのサーバ4への送信を試みる。このとき、サーバ4との接続が確立されれば、ステップSa10へ進む。
【0020】
一方、利用者が携帯端末1の電源を故意に切る、携帯端末1の電源が不足する、携帯端末1の電波が届かない状況になる、電話が着信するなど、ICチップ2で生成した署名データをサーバ4に送信することができない場合には、携帯端末1の常時起動アプリケーションを起動させるためのコマンドを送信する(Sa5)。署名データが送信できたか否かは、ICチップ2内に署名データが保持されたままになっているか否かで判断する。
【0021】
なお、携帯端末1の電源が切られたような場合には、ICチップ2から携帯端末1のアプリケーションを起動させることはできない。そこで、実際には、ICチップ2に何らかのコマンドなどがアクセスするタイミング(ICチップ2への電源を供給する、ICチップ2上のアプリケーションの起動や終了、ICチップ2のリセット行為など)で、ICチップ2から携帯端末1上で常時動作するアプリケーション(エージェントを含む)を起動するコマンドを携帯端末1に返す。
【0022】
携帯端末1では、上記コマンドに従って常時起動アプリケーションを起動する(Sa6)。該常時起動アプリケーションは、所定の時間間隔(例えば、1時間間隔)で、サーバ4に接続可能であるかチェックする(Sa7)。
尚、常時起動アプリケーションは、所定の時間間隔だけでなく、ICチップ内で生成した乱数から可変のタイミングでサーバ4に接続可能であるかをチェックしてもよい。
そして、サーバ4との接続が可能となると、ICチップ2は、携帯端末1の通信機能を利用して、サーバ4との間で、再度、相互認証&セッションIDを交換する(Sa8)。
【0023】
ICチップ2では、前回のセッションIDと今回のセッションIDに対して署名データを生成し(Sa9)、サーバ4へ送信する(Sa10)。サーバ4では、署名データを受信すると、該署名データのクリアコマンドを送信する(Sa11)。これに対して、ICチップ2では、メモリ22に保持していた該当署名データをクリアし(Sa12)、常時起動APを終了させるためのコマンドを送信する(Sa13)。携帯端末1では、常時起動APを終了する(Sa14)。以後、ICチップ2にダウンロードされたアプリケーションは起動可能となる。
【0024】
次に、図6および図7は、ICチップ2の動作を詳細に説明するためのフローチャートである。ICチップ2は、まず、サーバ4との相互認証を行ない(S1)、相互認証が成功したか否かを判断する(S2)。そして、相互認証が成功しなければ、エラーを返却する(S3)。
【0025】
一方、サーバ4との相互認証が成功すると、サーバ4とセッションIDを交換する(S4)。次に、サーバ4からアプリケーションをダウンロードし(S5)、ダウンロードが成功したか否かを判断する(S6)。ここで、ダウロードに失敗した場合には、エラーを返却する(S7)。
【0026】
一方、アプリケーションのダウンロードが成功した場合には、署名データを生成し(S8)、同一セッションで署名クリアコマンド(暗号コマンド)をサーバ4から受信したか否かを判断する(S9)。そして、同一セッションで署名クリアコマンドを受信した場合には、ダウンロードしたアプリケーションの起動制限を解除し(S10)、当該処理を終了する。これにより、ダウンロードしたアプリケーションが起動可能となる。
【0027】
一方、署名クリアコマンドを受信しない場合、すなわち、携帯端末1の電源が不足する、携帯端末1の電波が届かない状況になる、電話が着信するなど、ICチップ2で生成した署名データをサーバ4に送信することができなかった場合には、ダウンロードしたアプリケーションの起動制限を行ない(S11)、署名データが所定数以上であるか否かを判断する(S12)。ここで、メモリ22に所定数以上の署名データが保持されている場合には、カードロックする(S13)。これにより、ICチップ内のアプリケーションの起動、ダウンロードなどを行なうことができなくなる。
【0028】
一方、署名データが所定数以下であれば、携帯端末1の常時起動アプリケーションに対して起動要求レスポンスを返却する(S14)。これにより、携帯端末1において、常時起動アプリケーションが起動し、所定時間間隔でサーバ4との接続が試みられる。ICチップ2では、サーバ4と接続可能になったか否かを判断する(S15)。
【0029】
そして、サーバ4と接続可能になると、サーバ4と相互認証を行ない(S16)、相互認証が成功したか否かを判断する(S17)。そして、相互認証が成功しなければ、エラーを返却する(S3)。
【0030】
一方、サーバ4との相互認証が成功すると、サーバ4とセッションIDを交換する(S19)。なお、以前の署名データがICチップ2にある場合には、以前のセッションIDと今回のセッションIDの両方に対して署名データを生成し、サーバ4に対して送信する。次に、ダウンロードしたアプリケーションの起動制限を解除し(S10)、当該処理を終了する。これにより、ダウンロードしたアプリケーションが起動可能となる。
【0031】
なお、上述した実施形態において、署名データを検証するサーバが、アプリケーション毎に応じて異なる場合には、サーバ側でリダイレクトなどの処理を行ない、当該サーバとICチップとの間のコネクションを確立させるようにしてもよい。また、ICチップへの単一の行為だけでなく、複数の行為に対して、まとめて署名データを生成し、保持するようにしてもよい。この場合、署名データを分割してそれぞれの行為に応じて、分割したものをクリアする。また、複数の行為それぞれの署名データを生成させ、それぞれをクリアしてもよい。
【0032】
上述した実施形態によれば、ICチップ2またはICチップ上のアプリケーションに対する行為を、リモートでより確実に管理することができるため、例えば、それらの行為に対する課金システムなどを構築することができる。
【0033】
また、ICチップ2へのアプリケーションのダウンロードなどの行為を不正に失敗させてサービスを妨害するという行為を低減することができる。また、ICチップ2の状態を、ICチップ自身が判断してサーバ4に通知できるため、サーバ4での管理負担が軽減できる。
また、携帯APが、ICチップにダウンロードしたAPを起動して利用するようにすることで、携帯端末自身で携帯APの起動を管理するよりもセキュリティを向上させることができる。
また、ICチップ内のAPは、ICチップ自身を管理するAPでもよく、その場合は個別のダウンロードAPアプリケーションの起動管理だけでなく、それらの複数のAPの起動を管理することもできる。
【0034】
【発明の効果】
以上説明したように、本発明によれば、ダウンロード手段により、携帯端末の通信機能を利用してネットワーク上のサーバからアプリケーションをダウンロードし、署名データ生成手段により、該アプリケーションに対する署名データを生成し、該署名データを保持手段に一時保持し、前記サーバとの接続が可能になった時点で、署名データ送信手段により、前記一時保持していた署名データを前記サーバに送信し、該署名データに対して前記サーバから送信されてくる署名クリアコマンドを署名データ受信手段により受信し、消去手段により、受信した署名クリアコマンドに基づいて対応する署名データを消去するようにしたので、アプリケーションの登録・更新・削除・状態変更などの行為に対する署名データを生成するだけでなく、適切な時期にサーバへ返すことができ、ICチップの機能を制限することができるという利点が得られる。
【図面の簡単な説明】
【図1】 本発明の実施形態によるシステムの構成を示すブロック図である。
【図2】 携帯端末1の構成を示すブロック図である。
【図3】 ICチップ2のメモリ22のデータ構成を示す概念図である。
【図4】 サーバ4で管理されるデータベースのデータ構成を示す概念図である。
【図5】 本実施形態の動作を説明するためのシーケンス図である。
【図6】 ICチップ2の動作を詳細に説明するためのフローチャートである。
【図7】 ICチップ2の動作を詳細に説明するためのフローチャートである。
【符号の説明】
1 携帯端末
2 ICチップ
3 ネットワーク
4 サーバ
11 CPU
12 メモリ
13 表示部
14 入力部
15 通信部(携帯端末の通信機能)
21 CPU(ダウンロード手段、署名データ生成手段、署名データ送信手段、署名データ受信手段、消去手段、機能制限手段)
22 メモリ(保持手段)
Claims (5)
- 携帯端末に装着可能であって、自身に格納されているアプリケーションを実行するICチップにおいて、
前記携帯端末の通信機能を利用してネットワーク上のサーバからアプリケーションをダウンロードするダウンロード手段と、
前記ダウンロード手段によりダウンロードしたアプリケーションに対する署名データを生成する署名データ生成手段と、
前記署名データ生成手段により生成された署名データを一時保持する保持手段と、
前記サーバとの接続が可能になった時点で、前記一時保持していた署名データを前記サーバに送信する署名データ送信手段と、
前記署名データ送信手段により送信した署名データに対して前記サーバから送信されてくる署名クリアコマンドを受信する署名データ受信手段と、
前記署名データ受信手段により受信した署名クリアコマンドに基づいて対応する署名データを消去する消去手段と
を具備することを特徴とするICチップ。 - 前記署名データ生成手段は、少なくとも、アプリケーションの登録・更新・削除・状態変更を含む行為を示す情報に基づいて、署名データを生成することを特徴とする請求項1記載のICチップ。
- さらに、前記署名データがクリアされずに保持されている場合、前記ダウンロード手段によりダウンロードしたアプリケーションの機能を制限する機能制限手段を具備することを特徴とする請求項1記載のICチップ。
- 携帯端末に装着されたICチップにより、前記携帯端末の通信機能を利用してネットワーク上のサーバからアプリケーションをダウンロードし、該アプリケーションに対する署名データを生成して一時保持し、前記サーバとの接続が可能になった時点で、前記一時保持していた署名データを前記サーバに送信し、これに対して前記サーバから送信されてくる署名クリアコマンドを受信し、該署名クリアコマンドに基づいて対応する署名データを消去することを特徴とするアプリケーション提供システム。
- 前記ICチップは、少なくとも、アプリケーションの登録・更新・削除・状態変更を含む行為を示す情報に基づいて、署名データを生成することを特徴とする請求項4記載のアプリケーション提供システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002256114A JP3819345B2 (ja) | 2002-08-30 | 2002-08-30 | Icチップおよびアプリケーション提供システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002256114A JP3819345B2 (ja) | 2002-08-30 | 2002-08-30 | Icチップおよびアプリケーション提供システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004094691A JP2004094691A (ja) | 2004-03-25 |
| JP3819345B2 true JP3819345B2 (ja) | 2006-09-06 |
Family
ID=32061420
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002256114A Expired - Fee Related JP3819345B2 (ja) | 2002-08-30 | 2002-08-30 | Icチップおよびアプリケーション提供システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3819345B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4701883B2 (ja) | 2004-07-13 | 2011-06-15 | パナソニック株式会社 | コンピュータシステムおよびその制御方法 |
| US20060107327A1 (en) * | 2004-11-16 | 2006-05-18 | Sprigg Stephen A | Methods and apparatus for enforcing application level restrictions on local and remote content |
| JP4852721B2 (ja) * | 2007-01-25 | 2012-01-11 | 日本電産サンキョー株式会社 | カードリーダ及びその制御方法 |
-
2002
- 2002-08-30 JP JP2002256114A patent/JP3819345B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004094691A (ja) | 2004-03-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101091156B (zh) | 提供多证书验证协议的系统及方法 | |
| EP1193986B1 (en) | Method and system of remotely controlling a portable terminal and a computer product | |
| JP3910915B2 (ja) | 移動体端末の記憶モジュールにプログラムを配信するシステム | |
| KR100447292B1 (ko) | 이동 기기가 법적 요구 사항에 부합되도록 하는 방법 | |
| EP2197167B1 (en) | Device and method for short range communication | |
| JP5496652B2 (ja) | 移動端末の近接通信モジュールへのセキュアなアクセスを保障する方法 | |
| US20210168602A1 (en) | Vehicle digital key sharing service method and system | |
| KR100698563B1 (ko) | Ic 카드, 단말 장치, 및 데이터 통신 방법 | |
| JP3921057B2 (ja) | アクセス方法および通信端末 | |
| JP5454864B2 (ja) | Icカードおよび携帯端末システム | |
| EP1383351A2 (en) | Device authentication system | |
| CN102741778A (zh) | 安全可拆卸卡和移动无线通信设备 | |
| JP2010033193A (ja) | 認証システム及び認証用サーバ装置 | |
| JP2003198718A (ja) | 通信端末、コンテンツの使用制限方法およびプログラムの実行制限方法 | |
| EP1338938A1 (en) | Protection against unauthorised execution of a program on an IC card | |
| JP2002342290A (ja) | 通信端末、通信装置、通信制御方法、通信制御プログラムおよび通信制御プログラムを記録した記録媒体 | |
| JP3350012B2 (ja) | 移動端末認証方式 | |
| JP4768802B2 (ja) | 端末、鍵配信システム、及び鍵配信方法 | |
| CN107332817A (zh) | 支持多个访问控制客户端的移动装置和对应的方法 | |
| JP3819345B2 (ja) | Icチップおよびアプリケーション提供システム | |
| WO2019202929A1 (ja) | シェアリングシステム | |
| JP2002261916A (ja) | 携帯通信端末及び暗証番号認証システム | |
| JP2003179598A (ja) | 認証システム | |
| US7861284B2 (en) | Control method and system of customer premises apparatus and gateway | |
| JP2004094499A (ja) | アプリケーション連携管理システム、icカード及び携帯端末 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20051007 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060221 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060328 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060606 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060614 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100623 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100623 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110623 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120623 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120623 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130623 Year of fee payment: 7 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |