JP3967155B2 - IC card - Google Patents

IC card Download PDF

Info

Publication number
JP3967155B2
JP3967155B2 JP2002062632A JP2002062632A JP3967155B2 JP 3967155 B2 JP3967155 B2 JP 3967155B2 JP 2002062632 A JP2002062632 A JP 2002062632A JP 2002062632 A JP2002062632 A JP 2002062632A JP 3967155 B2 JP3967155 B2 JP 3967155B2
Authority
JP
Japan
Prior art keywords
card
log
communication
processing
host system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2002062632A
Other languages
Japanese (ja)
Other versions
JP2003263615A (en
Inventor
大輔 高井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2002062632A priority Critical patent/JP3967155B2/en
Publication of JP2003263615A publication Critical patent/JP2003263615A/en
Application granted granted Critical
Publication of JP3967155B2 publication Critical patent/JP3967155B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Credit Cards Or The Like (AREA)
  • Storage Device Security (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、ICカードに関し、特に、ICカードとインターフェースデバイス間の通信ログの記録および記録した通信ログに基づく不正処理の検知および通知に関するものである。
【0002】
【従来の技術】
近年、キャッシュカードやクレジットカードなどの金融機関向けカード、定期券やプリペイド乗車券などの交通機関向けカード、社員証や学生証などのIDカードなど、生活の様々な場面でICカードを利用する機会が増えている。
【0003】
係るICカードは、1)カード自体が物理的に複製することが非常に困難である、2)カード外部とデータをやり取りする際には、データを暗号化する、3)アクセス権が設定できる、4)カードとインターフェースデバイス間で相互に正当か確認する認証機能を備えるなど、磁気カードよりも格段に安全性は高いが、万全ではなく、悪意を持つ人間が暗号化の鍵や暗証番号を入手してICカード内のデータを改竄する可能性はゼロではない。
【0004】
したがって、実際のICカードの利用においては、ICカードとインターフェースデバイス間の通信ログを、インターフェースデバイスまたはホストシステムに記録することが一般的である。
【0005】
しかしながら、従来においては、以下の問題がある。すなわち、ICカードが改竄された場合、インターフェースデバイスに記録した通信ログだけでは、改竄の有無は判断できるが、どのようなプロセス(コマンド)により改竄を受けたかを解析することは難しい。
【0006】
また、安全性を更に高めるために、より複雑な暗号処理、指紋や声紋、虹彩などのバイオメトリクスによる認証などを組み込むことも可能であるが、高速のCPUや通信回線が必要になり、ICカードやリーダライタも含めたシステムのコストが高くなる。
【0007】
【発明が解決しようとする課題】
本発明は上述の問題点に鑑みてなされたものであり、コストアップにつながる特別な装置や部品を導入することなく、ICカードに改竄を加えるような不正処理があったことを検知し、どのように改竄がなされたかを解析可能なICカードを提供することを目的とする。
【0008】
【課題を解決するための手段】
上記目的を達成するために、本発明の第1の態様に係るICカードは、インターフェースデバイスを介してホストシステムと通信を行うICカードであって、インターフェースデバイスとICカードの間の通信内容を通信ログとして記録するログ記録領域と、
一つの通信セッションの開始より当該セッションの終了までの通信ログを、前記ログ記録領域に記録するログ記録手段と、
前回の通信が通常の処理であるか、不正な処理であるかの何れかの状態を記録する不正検知フラグと、
予め当該ICカード内にプログラムした不正処理検知パターンと、
前記通信セッションにおいて正当な使用か否かを前記不正処理検知パターンと対照することにより常に監視する監視手段と、
前記監視手段により不正な処理を検知した場合、前記不正検知フラグに不正な処理を示すキャラクタをセットし、更に当該ICカードの使用を禁止する、ロック手段と、
前記不正検知フラグに不正な処理を示すキャラクタがセットされている場合、次回の当該ICカード使用時に、ホストシステムに不正な処理が行われたことを通知する通知手段と、
前記通知が行われた後の最初のホストシステムからのコマンドが当該ICカードの使用を解禁するアンロックコマンドであるときに限り、ホストシステムからのログ読み出しコマンドにより、前記ログ記録領域に記録した通信ログをホストシステムに送信するログ送信手段と、
前回当該ICカードに通常の処理が行われたか、または前回当該ICカードに不正な処理が行われた通信ログを前記ログ送信手段が送信した場合に、前回の通信ログを消去するログ消去手段と、
を備えたものである。
【0009】
本発明の第2の態様に係るICカードは、上述の第1の態様に係るICカードにおいて、前記通知手段が、スペシフィックバイトに不正処理警告キャラクタをセットしたアンサートゥーリセット信号で構成するようにしたものである。
【0010】
本発明の第3の態様に係るICカードは、上述の第1または2の態様に係るICカードにおいて、カードアンロック用およびログ記録領域読み出し用の暗証番号、を備えたものである。
【0019】
【発明の実施の形態】
以下、本発明を図示する実施形態に基づいて説明する。
図1は、本発明のICカードの一実施例の概要構成図である。
【0020】
ICカード1は、通信を制御するI/O制御部2、CPU3、不揮発メモリであるEEPROM4、処理プログラムを記録しているROM7、一時的なデータを記録するRAM15を備えており、インターフェースデバイス16を介してホストシステム17と通信を行う。
【0021】
不揮発メモリであるEEPROM4には、ICカード1とインターフェースデバイス16の間の通信内容を記録するログ記録領域5、通常の処理であるか、不正な処理であるかの何れかの状態を記録する不正検知フラグ6を設けている。
【0022】
また、ROM7には、不正処理検知パターン8、ログ記録手段9、監視手段10、通知手段11、ログ消去手段12、ロック手段13、ログ送信手段14などの処理プログラムを記録する。
【0023】
不正処理検知パターン8は、例えば、1)指定回数以上誤って暗証番号を入力する、2)禁止されている処理の要求があるなど、一つあるいは複数の検知すべき不正な処理のパターンを予めROM7にプログラムしたものである。図1のように、監視手段10とは別にプログラムすることも、監視手段10の中にプログラムすることも可能である。
【0024】
ログ記録手段9は、一つの通信セッションの開始より当該セクションの終了まで、ICカード1とインターフェースデバイス16の通信内容(コマンドおよびその返信)をログ記録領域5へ記録する。
【0025】
監視手段10は、上述の通信セッションにおいて、コマンドを不正処理検知パターン8と対照することにより、不正な処理が行われないかどうかを常に監視する。
【0026】
通知手段11は、実際には、ホストシステム17からのリセットコマンドに対して、ICカード1が基本情報を通知するためのアンサートゥリセット信号(以下、ATRと略す)である。ATRは、ISO7816により規定されており、ICカード1は、ATRの中のスペシフィックバイトの一つを利用して、ホストシステム17に不正処理を通知する。
【0027】
ログ消去手段12は、前回ICカード1に通常の処理が行われた場合、または前回ICカード1に不正な処理が行われたことを検知して、当該の通信ログを入手した場合に、前回の通信ログを消去する。
【0028】
したがって、何らかの理由で前回ICカード1に不正な処理が行われたことが検知できない場合などは、ログ消去手段12を動作させないことにより、当該の通信ログを保持する。
【0029】
ロック手段13は、監視手段10が不正な処理を検知した場合、不正検知フラグに不正な処理を示すキャラクタをセットし、正当なアンロックコマンドおよびアンロック用暗証番号が確認できるまでICカード1を使用が禁止されたロック状態にする。
【0030】
ログ送信手段14は、ホストシステム17からのログ読み出しコマンドおよびログ読み出し用暗証番号を受信した場合、ログ記録領域5に記録した通信ログをホストシステム17に送信する。
【0031】
CPU3は、EEPROM4内のログ記録領域5と不正検知フラグ6を参照しながら、ROM7に記録している様々な処理プログラムを実行する。この時、必要に応じてRAM15を使用する。
【0032】
まず、一般的なICカードにおける通信開始処理について説明する。ICカードとホストシステムが通信を開始する際は、ICカードは最初に、インターフェースデバイスを介して、ホストシステムからリセットコマンドを受信する。
【0033】
リセットコマンドを受信したICカードは、カードの基本情報をホストシステムに通知するために、ISO7816により規定されているアンサートゥリセット信号を返送する。
【0034】
次に、図2を用いて、本発明のICカード1の通信開始処理について、詳細に説明する。ICカード1は、一般のICカードと同様に、インターフェースデバイス16を介してホストシステム17からリセットコマンドを受信する(ステップS1)。
【0035】
ICカード1とホストシステム17の間の通信は、常に、I/O制御部2およびインターフェースデバイス16を介して行うので、以降の説明においては、I/O制御部2およびインターフェースデバイス16の記述は省略する。
【0036】
ICカード1は、ホストシステム17からのリセットコマンドに対してATRを返送するが、この時不正検知フラグ6を参照し、不正検知フラグ6が不正処理が行われた旨を示す「ON」の場合は、不正通知ATRとして、例えば16進数表記で「FF」などの不正処理警告キャラクタをシステムの独自利用のためにATRの中に予約されているスペシフィックバイトにセットし、返信する(ステップS2)。
【0037】
不正処理警告キャラクタを返信した後、ホストシステム17からロック解除のアンロックコマンドおよびアンロック用の暗証番号を受信した場合、受信した暗証番号が正しことを確認した後、ログ送信手段14は、前回の通信ログをログ記録領域5からホストシステム17へ送信する(ステップS3)。
【0038】
アンロックコマンドを受信しなかった場合、およびアンロック用の暗証番号が不正な場合は、異常終了処理を行い、通信を終了する(ステップS4)。
【0039】
不正検知フラグ6を参照し、不正検知フラグ6が通常の処理が行われた旨を示す「OFF」ならば、通常ATRとして、例えば16進数表記で「00」などの通常のキャラクタをATRのスペシフィックバイトにセットし、返信する(ステップS5)。
【0040】
前回の通信において、通常の処理が行われた場合、およびロックを解除して前回の通信ログをホストシステム17へ送信した場合は、ログ消去手段12は、EEPROM4の使用可能領域を増やすために、前回の通信ログを消去する(ステップS6)。
【0041】
図3は、ICカード1が使用するATRの概略構成を示す図である。例えば、図3において矢印で示すATRのスペシフィックバイトTA2に、不正検知フラグ6が「ON」の場合は「FF」を、「OFF」の場合は「00」をセットするのである。
【0042】
通信開始時に必ず返信を行うATRのスペシフィックバイトに、以前の通信における不正処理の有無により異なるキャラクタをセットすることにより、ATRを受信したホストシステム17は、当該ICカード1が不正処理されたカードか否かを知ることが可能になる。
【0043】
次に、通常の通信中の動作を、図4に示す。通信開始処理のあと、ログ記録手段9は、今回の通信セッションの通信ログ記録を開始する(ステップS11)。
【0044】
ログ記録手段9は、通信セッションの開始から終了するまでの間、ICカード1とインターフェースデバイス16の間で行われる全ての通信内容を、ログ記録領域5に記録する(ステップS12)。
【0045】
また、通信セッション中は、監視手段10も常に稼動しており、不正処理検知パターン8を参照しながら、不正処理がないかどうか監視する(ステップS13からS15)。
【0046】
監視手段10が不正処理検知パターン8に該当する処理を検知した場合、ロック手段13は、不正検知フラグ6を「ON」にし、同時に、通信セッションを異常終了させ、ICカード1をロックする(ステップS16およびS17)。
【0047】
以降では、図5から図7を用いて、1)前回の通信セッションが正常に終了した場合、2)前回の通信セッションが異常終了し、今回の通信においてアンロックが失敗した場合、3)前回の通信セッションが異常終了し、今回の通信においてアンロックが成功した場合、の各々について、より具体的に説明する。
【0048】
前回の通信セッションが正常に終了した場合の動作を図5に示す。まず、ホストシステム17は、リセットコマンドを送信する。
【0049】
リセットコマンドを受信したICカード1は、不正検知フラグ6を参照する。不正検知フラグ6が「OFF」であるから、通知手段11は通常ATRを返信する。ログ消去手段12は、ログ記録領域5の前回の通信ログを消去する。
【0050】
通常ATRを受信したホストシステム17は、前回の通信セッションにおいてICカード1に対する不正な処理がないことを確認できるので、通常の通信、すなわち通常のコマンドの送信およびその返信のやり取りを開始する。
【0051】
ログ記録手段9は、通常の通信の開始において、今回の通信ログの記録を開始し、同時に、監視手段10は、ICカード1に対して不正な処理が行われないかどうかの監視を開始する。通信セッションが終了するまで、通信ログの記録と通信の監視を繰り返す。
【0052】
次に、前回の通信セッションが異常終了し、今回の通信においてアンロックが失敗した場合の動作を図6に示す。まず、ホストシステム17は、リセットコマンドを送信する。
【0053】
リセットコマンドを受信したICカード1は、不正検知フラグ6を参照する。不正検知フラグが「ON」であるから、通知手段11は、不正通知ATRを返信する。ログ消去手段12を起動せずに前回の通信ログを保持して、監視手段10だけを稼動させる。
【0054】
不正通知ATRを受信したホストシステム17が、何らかの理由で、前回の通信セッションにおいてICカード1に対する不正な処理が行われたことを確認できない場合、通常のコマンドの送信を開始する。ホストシステム17自体がハッキングされている場合、不正な意図を持つ者が作成したICカードの解析や変造のためのシステムなどの不正検知フラグに対応していないホストシステム17にICカード1がセットされた場合も、通常のコマンド送信を開始する。
【0055】
不正通知ATR返信後、ホストシステム17からの最初のコマンドが通常のコマンドであり、ロックを解除するアンロックコマンドではないため、エラー信号を送信し、通信を異常終了させる。
【0056】
ICカード1は、ロックしたままであるため、これ以上処理を行うことができない。更に、前回の通信ログを残してあるので、ICカード1を回収し、不正処理の内容をコマンドレベルで解析することが可能になる。
【0057】
次に、前回の通信セッションが異常終了し、今回の通信においてアンロックが成功した場合の動作を図7に示す。まず、ホストシステム17は、リセットコマンドを送信する。
【0058】
リセットコマンドを受信したICカード1は、不正検知フラグ6を参照する。不正検知フラグが「ON」であるから、通知手段11は、不正通知ATRを返信する。ログ消去手段12を起動せずに前回の通信ログを保持して、監視手段10だけを稼動させる。
【0059】
不正通知ATRを受信したホストシステム17が、前回の通信セッションにおいてICカード1に対する不正な処理が行われたことを確認した場合、ロックを解除するためのアンロックコマンドおよびアンロック用暗証番号を送信する。
【0060】
ホストシステム17からアンロックコマンドおよびアンロック用暗証番号を受信したICカード1は、暗証番号が正しいことを確認した上で、ICカード1のロックを解除し、アンロックしたことをホストシステム17に通知する。
【0061】
次に、ホストシステム17は、通信ログの読み出しコマンドおよびログ読み出し用暗証番号を送信する。
【0062】
通信ログ読み出しコマンドおよびログ読み出し用暗証番号を受信したログ送信手段14は、暗証番号が正しいことを確認した上で、前回の通信ログ、すなわち不正処理が行われた際の通信ログをホストシステム17へ送信する。
【0063】
ログ送信手段14が前回の通信ログを送信した後、ログ消去手段12は、ログ記録領域5から前回の通信ログを消去し、ログ記録手段9が今回の通信ログの記録を開始する。以降、通常の通信を継続し、通信セッションが終了した段階で通信ログの記録を終了する。
【0064】
以上、本発明を実施の形態に基づいて詳細に説明してきたが、本発明によるICカードは、上述の実施の形態に何ら限定されるものではなく、本発明の趣旨を逸脱しない範囲において種々の変更が可能なことは当然のことである。
【0065】
【発明の効果】
以上のとおり、本発明に係るICカードによれば、ICカードとインターフェースデバイス間の通信内容は、全てログとして記録するため、不正処理におけるコマンドのやり取りも通信ログとして記録することができる。
【0066】
また、通信、すなわちコマンドを、常時監視手段により不正処理検知パターンと対照することにより、不正処理の実行段階で、ICカードをロックすることができる。
【0067】
更に、適切な暗証番号を知る管理者は、ICカードのロックを解除し、ICカード自体に記録した通信ログを参照できるため、不正処理に使用したコマンドなどを解析することが可能である。
【0068】
更に、ATRという通信開始時点で必ず返信するデータにより、ホストシステムに不正処理の有無を通知することにより、ホストシステムは、不正な改竄が加えられた可能性のあるICカードがアクセスしようとしていることを認識することが可能になる。
【0069】
更に、通信開始時に不正な改竄が行われた可能性があるICカードを認識し、通信ログを取得することも可能であるため、当該カードが何時、どこの端末で使用されたかを把握して、不正処理の追跡が可能となる。
【図面の簡単な説明】
【図1】 本発明のICカードの概要構造図である。
【図2】 本発明のICカードの通信開始処理の動作を示すフローチャートである。
【図3】 本発明のアンサートゥリセット信号の概略の構成図である。
【図4】 本発明の通常の通信中の動作を示す図である。
【図5】 本発明のICカードにおいて、前回の通信セッションが正常に終了した場合の動作を示す図である。
【図6】 本発明のICカードにおいて、前回の通信セッションが異常終了し、今回の通信においてアンロックが失敗した場合の動作を示す図である。
【図7】 本発明のICカードにおいて、前回の通信セッションが異常終了し、今回の通信においてアンロックが成功した場合の動作を示す図である。
【符号の説明】
1 ICカード
2 I/O制御部
3 CPU
4 EEPROM
5 ログ記録領域
6 不正検知フラグ
7 ROM
8 不正処理検知パターン
9 ログ記録手段
10 監視手段
11 通知手段
12 ログ消去手段
13 ロック手段
14 ログ送信手段
15 RAM
16 インターフェースデバイス
17 ホストシステム[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an IC card, and more particularly to recording a communication log between an IC card and an interface device and detecting and notifying unauthorized processing based on the recorded communication log.
[0002]
[Prior art]
Opportunities to use IC cards in various situations in daily life, such as cards for financial institutions such as cash cards and credit cards, cards for transportation such as commuter passes and prepaid tickets, ID cards such as employee ID cards and student ID cards Is increasing.
[0003]
Such an IC card is 1) it is very difficult for the card itself to physically duplicate, 2) when data is exchanged with the outside of the card, 3) the access right can be set, 4) Although it is much safer than a magnetic card, such as having an authentication function that confirms whether the card and interface device are mutually valid, it is not perfect, and a malicious person obtains an encryption key or PIN Thus, the possibility of falsifying the data in the IC card is not zero.
[0004]
Therefore, in actual use of the IC card, it is common to record a communication log between the IC card and the interface device in the interface device or the host system.
[0005]
However, in the past, there are the following problems. That is, when an IC card is tampered with, it can be determined whether or not tampering has occurred only with the communication log recorded in the interface device, but it is difficult to analyze what process (command) has been tampered with.
[0006]
In order to further enhance security, it is possible to incorporate more complicated encryption processing, authentication using biometrics such as fingerprints, voiceprints, and irises, but a high-speed CPU or communication line is required, and an IC card And the cost of the system including the reader / writer increases.
[0007]
[Problems to be solved by the invention]
The present invention has been made in view of the above-described problems, and detects that there has been an unauthorized process such as tampering with an IC card without introducing a special device or component that leads to an increase in cost. An object of the present invention is to provide an IC card that can analyze whether falsification has been made.
[0008]
[Means for Solving the Problems]
To achieve the above object, an IC card according to the first aspect of the present invention is an IC card that communicates with a host system via the interface device, the communication contents of communication between the interface device and the IC card A log recording area to record as a log;
Log recording means for recording a communication log from the start of one communication session to the end of the session in the log recording area;
A fraud detection flag that records the status of whether the previous communication is a normal process or an illegal process;
A fraud detection pattern programmed in advance in the IC card;
Monitoring means for constantly monitoring whether or not it is legitimate use in the communication session by comparing with the fraudulent processing detection pattern ;
A lock means for setting an improper processing flag in the fraud detection flag when the monitoring means detects unauthorized processing, and further prohibiting the use of the IC card;
A notification means for notifying the host system that unauthorized processing has been performed the next time the IC card is used when a character indicating unauthorized processing is set in the unauthorized detection flag;
The communication recorded in the log recording area by the log read command from the host system only when the command from the first host system after the notification is made is an unlock command that prohibits the use of the IC card. Log sending means for sending logs to the host system;
A log erasing unit for erasing the previous communication log when the log transmission unit has transmitted a communication log for which the normal processing has been performed on the IC card last time or for which the unauthorized processing has been performed on the IC card last time; ,
It is equipped with.
[0009]
In the IC card according to the second aspect of the present invention, in the IC card according to the first aspect described above, the notification means is configured with an answer-to-reset signal in which an illegal processing warning character is set in a specific byte. Is.
[0010]
The IC card according to the third aspect of the present invention is the IC card according to the first or second aspect described above, provided with a password for unlocking the card and reading the log recording area.
[0019]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, the present invention will be described based on the illustrated embodiments.
FIG. 1 is a schematic configuration diagram of an embodiment of an IC card according to the present invention.
[0020]
The IC card 1 includes an I / O control unit 2 that controls communication, a CPU 3, an EEPROM 4 that is a nonvolatile memory, a ROM 7 that records a processing program, and a RAM 15 that records temporary data. Via the host system 17.
[0021]
The EEPROM 4 which is a non-volatile memory is a log recording area 5 for recording communication contents between the IC card 1 and the interface device 16, and an unauthorized state for recording either normal processing or unauthorized processing. A detection flag 6 is provided.
[0022]
The ROM 7 records processing programs such as an illegal processing detection pattern 8, a log recording unit 9, a monitoring unit 10, a notification unit 11, a log erasing unit 12, a lock unit 13, and a log transmission unit 14.
[0023]
The illegal process detection pattern 8 includes, for example, one or a plurality of illegal process patterns to be detected in advance, such as 1) erroneously inputting a password more than a specified number of times, and 2) there is a request for prohibited processing. This is programmed in the ROM 7. As shown in FIG. 1, it can be programmed separately from the monitoring unit 10 or can be programmed in the monitoring unit 10.
[0024]
The log recording means 9 records the communication contents (command and its reply) between the IC card 1 and the interface device 16 in the log recording area 5 from the start of one communication session to the end of the section.
[0025]
The monitoring means 10 always monitors whether unauthorized processing is performed by comparing the command with the unauthorized processing detection pattern 8 in the communication session described above.
[0026]
The notification means 11 is actually an answer-to-reset signal (hereinafter abbreviated as ATR) for the IC card 1 to notify basic information in response to a reset command from the host system 17. The ATR is defined by ISO7816, and the IC card 1 notifies the host system 17 of unauthorized processing using one of the specific bytes in the ATR.
[0027]
The log erasing means 12 detects the previous time when the normal processing was performed on the IC card 1 or when the previous IC card 1 was detected to have performed unauthorized processing and the communication log was obtained. Clear communication log of.
[0028]
Therefore, when it is not possible to detect that illegal processing was previously performed on the IC card 1 for some reason, the communication log is retained by not operating the log erasing unit 12.
[0029]
When the monitoring means 10 detects an unauthorized process, the lock means 13 sets a character indicating the unauthorized process in the unauthorized detection flag and holds the IC card 1 until a valid unlock command and unlock code can be confirmed. Set the lock to the prohibited state.
[0030]
When the log transmission unit 14 receives the log read command and the log read password from the host system 17, the log transmission unit 14 transmits the communication log recorded in the log recording area 5 to the host system 17.
[0031]
The CPU 3 executes various processing programs recorded in the ROM 7 while referring to the log recording area 5 and the fraud detection flag 6 in the EEPROM 4. At this time, the RAM 15 is used as necessary.
[0032]
First, communication start processing in a general IC card will be described. When the IC card and the host system start communication, the IC card first receives a reset command from the host system via the interface device.
[0033]
The IC card that has received the reset command returns an answer-to-reset signal defined by ISO7816 in order to notify the host system of the basic information of the card.
[0034]
Next, the communication start process of the IC card 1 of the present invention will be described in detail with reference to FIG. The IC card 1 receives a reset command from the host system 17 via the interface device 16 in the same manner as a general IC card (step S1).
[0035]
Since the communication between the IC card 1 and the host system 17 is always performed via the I / O control unit 2 and the interface device 16, in the following description, the description of the I / O control unit 2 and the interface device 16 will be described. Omitted.
[0036]
The IC card 1 returns an ATR in response to the reset command from the host system 17. At this time, referring to the fraud detection flag 6, the fraud detection flag 6 is “ON” indicating that fraud processing has been performed. As the fraud notification ATR, for example, an illegal processing warning character such as “FF” in hexadecimal notation is set in a specific byte reserved in the ATR for unique use of the system and returned (step S2).
[0037]
After receiving the unauthorized processing warning character, when receiving an unlock command for unlocking and a password for unlocking from the host system 17, after confirming that the received password is correct, the log transmission means 14 The previous communication log is transmitted from the log recording area 5 to the host system 17 (step S3).
[0038]
If the unlock command has not been received, and if the unlock code number is invalid, an abnormal termination process is performed and the communication is terminated (step S4).
[0039]
If the fraud detection flag 6 is “OFF” indicating that normal processing has been performed with reference to the fraud detection flag 6, a normal character such as “00” in hexadecimal notation, for example, is designated as the normal ATR. Set in a byte and return (step S5).
[0040]
When normal processing is performed in the previous communication and when the lock is released and the previous communication log is transmitted to the host system 17, the log erasing unit 12 increases the usable area of the EEPROM 4. The previous communication log is erased (step S6).
[0041]
FIG. 3 is a diagram showing a schematic configuration of the ATR used by the IC card 1. For example, “FF” is set when the fraud detection flag 6 is “ON”, and “00” is set when the fraud detection flag 6 is “OFF”, in the specific byte TA2 of the ATR indicated by an arrow in FIG.
[0042]
By setting different characters depending on the presence or absence of unauthorized processing in the previous communication in the specific byte of the ATR to which a reply is always sent at the start of communication, the host system 17 that has received the ATR determines whether the IC card 1 has been illegally processed. It becomes possible to know whether or not.
[0043]
Next, an operation during normal communication is shown in FIG. After the communication start process, the log recording unit 9 starts recording the communication log of the current communication session (step S11).
[0044]
The log recording unit 9 records all communication contents performed between the IC card 1 and the interface device 16 in the log recording area 5 from the start to the end of the communication session (step S12).
[0045]
In addition, during the communication session, the monitoring unit 10 is always in operation, and it is monitored whether there is an unauthorized process while referring to the unauthorized process detection pattern 8 (steps S13 to S15).
[0046]
If the monitoring unit 10 detects a process corresponding to the fraud detection pattern 8, the lock unit 13 sets the fraud detection flag 6 to “ON”, and at the same time ends the communication session abnormally and locks the IC card 1 (step S1). S16 and S17).
[0047]
In the following, referring to FIGS. 5 to 7, 1) when the previous communication session ends normally, 2) when the previous communication session ends abnormally, and unlocking fails in this communication, 3) the previous time Each of the cases where the communication session ends abnormally and unlocking succeeds in the current communication will be described more specifically.
[0048]
FIG. 5 shows the operation when the previous communication session ends normally. First, the host system 17 transmits a reset command.
[0049]
The IC card 1 that has received the reset command refers to the fraud detection flag 6. Since the fraud detection flag 6 is “OFF”, the notification means 11 returns a normal ATR. The log erasing unit 12 erases the previous communication log in the log recording area 5.
[0050]
The host system 17 that has received the normal ATR can confirm that there is no unauthorized processing for the IC card 1 in the previous communication session, and thus starts normal communication, that is, transmission of a normal command and exchange of its reply.
[0051]
The log recording unit 9 starts recording the current communication log at the start of normal communication, and at the same time, the monitoring unit 10 starts monitoring whether or not unauthorized processing is performed on the IC card 1. . The communication log recording and communication monitoring are repeated until the communication session ends.
[0052]
Next, FIG. 6 shows an operation in the case where the previous communication session ended abnormally and unlocking failed in the current communication. First, the host system 17 transmits a reset command.
[0053]
The IC card 1 that has received the reset command refers to the fraud detection flag 6. Since the fraud detection flag is “ON”, the notification unit 11 returns a fraud notification ATR. Only the monitoring unit 10 is operated by holding the previous communication log without starting the log erasing unit 12.
[0054]
If the host system 17 that has received the fraud notification ATR cannot confirm that the fraudulent processing has been performed on the IC card 1 in the previous communication session for some reason, it starts normal command transmission. When the host system 17 itself is hacked, the IC card 1 is set in the host system 17 that does not support the fraud detection flag, such as a system for analyzing or altering an IC card created by an unauthorized person. In this case, normal command transmission is started.
[0055]
After returning the fraud notification ATR, the first command from the host system 17 is a normal command, not an unlock command for releasing the lock, so an error signal is transmitted and the communication is terminated abnormally.
[0056]
Since the IC card 1 remains locked, no further processing can be performed. Furthermore, since the previous communication log is left, it is possible to collect the IC card 1 and analyze the contents of illegal processing at the command level.
[0057]
Next, FIG. 7 shows an operation in the case where the previous communication session ended abnormally and unlocking succeeded in the current communication. First, the host system 17 transmits a reset command.
[0058]
The IC card 1 that has received the reset command refers to the fraud detection flag 6. Since the fraud detection flag is “ON”, the notification unit 11 returns a fraud notification ATR. Only the monitoring unit 10 is operated by holding the previous communication log without starting the log erasing unit 12.
[0059]
When the host system 17 that has received the fraud notification ATR confirms that fraudulent processing has been performed on the IC card 1 in the previous communication session, it transmits an unlock command and unlock code for unlocking. To do.
[0060]
The IC card 1 that has received the unlock command and the unlock code number from the host system 17 confirms that the code number is correct, and then unlocks the IC card 1 and informs the host system 17 that the lock has been unlocked. Notice.
[0061]
Next, the host system 17 transmits a communication log read command and a log read password.
[0062]
Upon receiving the communication log read command and the log reading password, the log transmission means 14 confirms that the password is correct, and then sends the previous communication log, that is, the communication log when unauthorized processing is performed, to the host system 17. Send to.
[0063]
After the log transmission unit 14 transmits the previous communication log, the log deletion unit 12 deletes the previous communication log from the log recording area 5 and the log recording unit 9 starts recording the current communication log. Thereafter, normal communication is continued, and the recording of the communication log is terminated when the communication session is completed.
[0064]
As described above, the present invention has been described in detail on the basis of the embodiment. However, the IC card according to the present invention is not limited to the above-described embodiment, and various types of the IC card can be used without departing from the spirit of the present invention. Of course, changes are possible.
[0065]
【The invention's effect】
As described above, according to the IC card according to the present invention, all communication contents between the IC card and the interface device are recorded as a log, so that the exchange of commands in unauthorized processing can also be recorded as a communication log.
[0066]
Further, by comparing the communication, that is, the command with the unauthorized process detection pattern by the constant monitoring means, the IC card can be locked in the unauthorized process execution stage.
[0067]
Furthermore, since an administrator who knows an appropriate personal identification number can unlock the IC card and refer to the communication log recorded on the IC card itself, it is possible to analyze a command used for illegal processing.
[0068]
Furthermore, the host system is trying to access an IC card that may have been tampered with by notifying the host system of the presence or absence of unauthorized processing by means of data that is always returned at the start of communication called ATR. Can be recognized.
[0069]
Furthermore, since it is possible to recognize IC cards that may have been tampered with at the start of communication and obtain communication logs, it is possible to know when and where the card was used. It is possible to track illegal processing.
[Brief description of the drawings]
FIG. 1 is a schematic structural diagram of an IC card of the present invention.
FIG. 2 is a flowchart showing the operation of an IC card communication start process of the present invention.
FIG. 3 is a schematic configuration diagram of an answer-to-reset signal according to the present invention.
FIG. 4 is a diagram illustrating an operation during normal communication according to the present invention.
FIG. 5 is a diagram showing an operation when the previous communication session is normally terminated in the IC card of the present invention.
FIG. 6 is a diagram showing an operation in the IC card of the present invention when a previous communication session ends abnormally and unlocking fails in the current communication.
FIG. 7 is a diagram showing an operation when the previous communication session ends abnormally and unlocking succeeds in the current communication in the IC card of the present invention.
[Explanation of symbols]
1 IC card 2 I / O control unit 3 CPU
4 EEPROM
5 Log recording area 6 Fraud detection flag 7 ROM
8 Unauthorized processing detection pattern 9 Log recording means 10 Monitoring means 11 Notification means 12 Log erasing means 13 Locking means 14 Log sending means 15 RAM
16 Interface device 17 Host system

Claims (3)

インターフェースデバイスを介してホストシステムと通信を行うICカードであって、インターフェースデバイスとICカードの間の通信内容を通信ログとして記録するログ記録領域と、
一つの通信セッションの開始より当該セッションの終了までの通信ログを、前記ログ記録領域に記録するログ記録手段と、
前回の通信が通常の処理であるか、不正な処理であるかの何れかの状態を記録する不正検知フラグと、
予め当該ICカード内にプログラムした不正処理検知パターンと、
前記通信セッションにおいて正当な使用か否かを前記不正処理検知パターンと対照することにより常に監視する監視手段と、
前記監視手段により不正な処理を検知した場合、前記不正検知フラグに不正な処理を示すキャラクタをセットし、更に当該ICカードの使用を禁止する、ロック手段と、
前記不正検知フラグに不正な処理を示すキャラクタがセットされている場合、次回の当該ICカード使用時に、ホストシステムに不正な処理が行われたことを通知する通知手段と、
前記通知が行われた後の最初のホストシステムからのコマンドが当該ICカードの使用を解禁するアンロックコマンドであるときに限り、ホストシステムからのログ読み出しコマンドにより、前記ログ記録領域に記録した通信ログをホストシステムに送信するログ送信手段と、
前回当該ICカードに通常の処理が行われたか、または前回当該ICカードに不正な処理が行われた通信ログを前記ログ送信手段が送信した場合に、前回の通信ログを消去するログ消去手段と、
を備えることを特徴とするICカード。An IC card that communicates with a host system via an interface device, a log recording area for recording communication contents between the interface device and the IC card as a communication log ;
Log recording means for recording a communication log from the start of one communication session to the end of the session in the log recording area;
A fraud detection flag that records the status of whether the previous communication is a normal process or an illegal process;
A fraud detection pattern programmed in advance in the IC card;
Monitoring means for constantly monitoring whether or not it is legitimate use in the communication session by comparing with the fraudulent processing detection pattern ;
A lock means for setting an improper processing flag in the fraud detection flag when the monitoring means detects unauthorized processing, and further prohibiting the use of the IC card;
A notification means for notifying the host system that unauthorized processing has been performed the next time the IC card is used when a character indicating unauthorized processing is set in the unauthorized detection flag;
The communication recorded in the log recording area by the log read command from the host system only when the command from the first host system after the notification is made is an unlock command that prohibits the use of the IC card. Log sending means for sending logs to the host system;
A log erasing unit for erasing the previous communication log when the log transmission unit has transmitted a communication log for which the normal processing has been performed on the IC card last time or for which the unauthorized processing has been performed on the IC card last time; ,
An IC card comprising: 請求項1記載のICカードであって、前記通知手段が、スペシフィックバイトに不正処理警告キャラクタをセットしたアンサートゥーリセット信号である、ことを特徴とするICカード。  2. The IC card according to claim 1, wherein the notifying means is an answer-to-reset signal in which an illegal processing warning character is set in a specific byte. 請求項1または2に記載のICカードであって、カードアンロック用およびログ記録領域読み出し用の暗証番号、を備えることを特徴とするICカード。  3. The IC card according to claim 1, further comprising a password for unlocking the card and reading the log recording area.
JP2002062632A 2002-03-07 2002-03-07 IC card Expired - Lifetime JP3967155B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002062632A JP3967155B2 (en) 2002-03-07 2002-03-07 IC card

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002062632A JP3967155B2 (en) 2002-03-07 2002-03-07 IC card

Publications (2)

Publication Number Publication Date
JP2003263615A JP2003263615A (en) 2003-09-19
JP3967155B2 true JP3967155B2 (en) 2007-08-29

Family

ID=29196311

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002062632A Expired - Lifetime JP3967155B2 (en) 2002-03-07 2002-03-07 IC card

Country Status (1)

Country Link
JP (1) JP3967155B2 (en)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4799058B2 (en) * 2005-06-24 2011-10-19 フェリカネットワークス株式会社 IC card and computer program
JP4857749B2 (en) * 2005-12-08 2012-01-18 大日本印刷株式会社 IC card management system
JP2009540395A (en) * 2006-06-15 2009-11-19 株式会社東芝 Portable electronic device and control method thereof
US8855563B2 (en) 2010-07-07 2014-10-07 Panasonic Intellectual Property Corporation Of America Communication apparatus and communication method
US8436638B2 (en) * 2010-12-10 2013-05-07 International Business Machines Corporation Switch to perform non-destructive and secure disablement of IC functionality utilizing MEMS and method thereof
JP6226373B2 (en) * 2013-11-21 2017-11-08 株式会社東芝 IC card
JP7559492B2 (en) 2020-10-21 2024-10-02 Toppanホールディングス株式会社 IC card, IC card logging information processing method, and program

Also Published As

Publication number Publication date
JP2003263615A (en) 2003-09-19

Similar Documents

Publication Publication Date Title
US8322608B2 (en) Using promiscuous and non-promiscuous data to verify card and reader identity
EP1755061B1 (en) Protection of non-promiscuous data in an RFID transponder
US9047727B2 (en) Portable electronic device and method for securing such device
JPS6265168A (en) Certification system for integrated card system
KR100654857B1 (en) Authentication smart card system and controlling method thereof using multi - biometric informations
JP4999193B2 (en) Portable device with fingerprint authentication function
JP3967155B2 (en) IC card
JP4984838B2 (en) IC card, IC card control program
JP2001092787A (en) Card authentication system, card medium and card authenticating method
JP4104801B2 (en) IC card reader and IC card system
JP4915169B2 (en) Authentication system and authentication method
EP0982687A1 (en) Method for preventing or detecting fraud in an identification system
JPH0822517A (en) Forgery preventing system for hybrid card
JP5075675B2 (en) Biometric authentication system and biometric authentication device
JP4008626B2 (en) Integrated management system for entry / exit and equipment use
US9659425B2 (en) Electronic key for authentication
JP2003308302A (en) Biometrics system
JPS62251945A (en) System for preventing illegal access of ic card
US20180218147A1 (en) Method for the security of an electronic operation
WO2006134674A1 (en) Credit card using counterfeit preventive code, or cash card counterfeit preventive system, and counterfeit preventive method
JPH10326334A (en) Ic card and authenticating device therefor
JP4523110B2 (en) AUTHORIZATION PROVIDING METHOD, ITS EXECUTION DEVICE, AND RECORDING MEDIUM RECORDING THE PROCESSING PROGRAM
JP3652409B2 (en) Portable information recording medium
KR100238416B1 (en) Multi-layer operation method of smart card
JPH1063742A (en) Financial organ system with accident dealing function

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050228

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20061212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061221

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070516

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070530

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 3967155

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110608

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110608

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120608

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120608

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130608

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140608

Year of fee payment: 7

EXPY Cancellation because of completion of term