JP4084507B2 - IC card security processing method and apparatus, and recording medium recording IC card security processing program - Google Patents
IC card security processing method and apparatus, and recording medium recording IC card security processing program Download PDFInfo
- Publication number
- JP4084507B2 JP4084507B2 JP22169999A JP22169999A JP4084507B2 JP 4084507 B2 JP4084507 B2 JP 4084507B2 JP 22169999 A JP22169999 A JP 22169999A JP 22169999 A JP22169999 A JP 22169999A JP 4084507 B2 JP4084507 B2 JP 4084507B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- authentication
- file
- information
- area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、ICカード端末からICカード内のファイルまたはファイル管理単位であるファイル管理領域にアクセスするための認証およびアクセス制御を行うICカードセキュリティ処理方法および装置とICカードセキュリティ処理プログラムを記録した記録媒体に関する。
【0002】
【従来の技術】
ICカードにおける鍵共有・認証アクセス制御技術については、ISO7816,JICSAP,Multos,JavaCardに規定がなされている。ISO7816については、外部認証方法として、Verify,External AuthenticateによってPINコードを用いた簡易認証と公開鍵を用いた厳密認証が規定されており、そのためのおおまかな鍵の管理方法やアクセス制御情報の管理方法について規定されている。ここでISOにおけるファイル管理構造をまず説明する。ISOではUNIXにおけるルートディレクトリに相当するファイルをMFと呼び、中間のディレクトリに相当するものをDFと呼んでいる。またDF内に管理される通常の要素ファイルはEFと呼ばれる。DFはDFおよびEFで構成される。
【0003】
ここで、まずISOにおける「鍵情報」共有方法としてはグローバルな鍵識別子を指定する方法としてMF(以下、カード管理領域と称する)に設定された鍵を共有する思想と、ローカルな鍵識別子を指定する方法としてDF(以下、ファイル管理領域と称する)に設定された鍵を共有する思想が開示されている。
【0004】
一方、JICSAPにおいては、この中で、ローカルな鍵識別子の指定方法のみ規定しており、DFと呼ばれるファイル管理領域単位で鍵用のファイルEFを複数生成し、この鍵の論理積あるいは論理和によってDF内のEFに対するコマンド実行の許可を制御するアクセス制御とその情報である「アクセス制御情報」管理の仕組みが規定している。
【0005】
また同時に、このファイルに対する認証結果の状態を「認証状態」(ISOおよびJICSAPにおいてはセキュリティステータスと称する)として管理する仕組み、更にはある鍵への認証が予め鍵に指定された最大試行回数を超過した場合に該鍵を管理する鍵ファイルを自動的に閉塞し、「鍵閉塞状態」を管理する(使用不可にする)自動閉塞の仕組み、強制的にDFを閉塞し、閉塞したDFを含むDF内のEFを閉塞し、「DF閉塞状態」を管理する強制閉塞の仕組みが開示されている。
【0006】
また、JavaCardについては、ファイルを共有する手段としてファイルに対するアクセス制御を実行する手段が規定されており、鍵管理手段は実装依存となっている。
【0007】
一方、Multosについてはオブジェクトが管理する物理領域を独立に確保するという手段で各オブジェクトが管理するデータやプログラム間の独立性を保証する仕組みが提供されており、プログラム管理領域間のファイアウォール性を高めるために揮発性メモリ上の共有エリア以外でのデータ共有方法は規定されていない。
【0008】
そこで、以下、具体的な例を用いて従来技術の説明を行う。図8は従来のICカード認証・アクセス制御に関するセキュリティ処理方法を実施するICカードシステムの機能構成を示すブロック図である。
【0009】
図8において、ICカード10は、ICカード端末20に接続され、ICカード端末20あるいはICカード10内のアプリケーションよりICカード10内のコマンド実行に関する情報が入力される。ICカード10内では通信制御部1−1が、該ICカード端末20より指定されたコマンドの処理のディスパッチを実行する。コマンド実行時にはまず最初にファイル選択コマンドを用いて、コマンド処理の対象となるファイルが選択される。このファイルをカレントファイル1−2と称し、またこのファイル選択コマンドを実行するのがファイル選択制御部1−3である。
【0010】
次に、コマンド実行対象となるファイルに対する鍵情報の設定とアクセス制御情報の設定方法および該ファイルに対するコマンド実行処理時の認証・アクセス制御方法について説明する。そこで、最初に前提となるファイル構成例と各ファイル毎に管理する認証・アクセス制御に関するセキュリティ情報(鍵情報、アクセス制御情報、認証状態、閉塞状態)について説明する。
【0011】
図9、図10はISO/JICSAPに基づくファイル構成とファイルに対するセキュリティ情報の管理方法を示す。
【0012】
図9は、図11のCASE1の鍵情報をDF単位で1つのEF内に管理する方法に関するものである。この場合においては、個々のDFは鍵情報、アクセス制御情報、認証状態(DF単位で管理される鍵に対する)、DF閉塞状態とも別々に管理される。EFはDFと同じ鍵情報と認証状態、DF閉塞状態を有する。
【0013】
図10は、JICSAPの鍵管理方式に基づくものであり、図11のCASE2の鍵情報をDF単位で複数のEFに1つずつ管理する方法に関するものである。この場合においても、個々のDFは鍵情報、アクセス制御情報、認証状態(DF単位で管理される鍵に対する)、DF閉塞状態、鍵閉塞状態が個別に管理される。
【0014】
このようにISO/JICSAPにおいては、MF/DF単位で鍵情報および認証状態、閉塞状態が管理され、MF/DF/EF単位でアクセス制御情報が設定可能である。
【0015】
そこで、鍵情報、アクセス制御情報、認証状態、、閉塞状態の管理方法例を詳細に説明する。図11は従来のセキュリティ処理方法の鍵情報管理ファイルの構造を示す図である。鍵情報はDF単位に鍵番号と鍵情報の対で鍵用のEF内に管理される(CASE1)かあるいは1つの鍵情報に対して1つの鍵用EFを用意する(CASE2:JICSAP方式)ことによって管理される。後者においては、管理上、鍵ファイルIDと鍵情報の他に鍵番号を管理してもよい。
【0016】
図12はコマンド実行対象となるファイルに対する従来のセキュリティ処理方法のアクセス制御情報管理ファイルのファイル構造を示す図である。
【0017】
ファイルに対しては、ファイル種別とそのファイルに対するコマンドの対に応じたアクセスレベルが複数設定可能である。本例はアクセスレベルAからDの4種類のアクセスレベルを示しており、アクセスレベル毎に、認証を必要とする複数の鍵番号を論理積・和で設定することが可能である。すなわち、各アクセスレベルについて、1ビット目は先頭2ビット目から8ビット目に対応する鍵番号1−7の鍵を論理積で指定するかあるいは論理和で指定するかを示し(1:論理積、0:論理和)、2ビット目から8ビット目まではそれぞれ鍵番号1−7を認証として要求するかどうかを指定し、9ビット目は先頭10ビット目から16ビット目に対応する鍵番号8−14の鍵を論理積で指定するかあるいは論理和で指定するかを示し(1:論理積、0:論理和)、上位8ビットと下位8ビットは論理積とする。なお、JICSAP仕様のように1つの鍵情報に対して1つの鍵用EFを用意する場合は、例えばEFのIDの値の順番にアクセス制御情報との対応を行うか(図11の鍵番号の順番をEFのIDの順番に対応させる)、あるいは図11で示したように鍵ファイル生成時に鍵ファイルに対して鍵番号を付与することによって、前者と同様の方式で対応を行うことが可能である。
【0018】
また、図14にアクセスレベルの設定例を示す。例えば、アクセスレベルAはMF/DFに対してLock系のコマンドが実行された場合に対するアクセスレベルを示している。アクセスレベルB−Dも同様である。
【0019】
図13は従来のセキュリティ処理方法における認証状態管理ファイルのファイル構造を示す図である。ある鍵に対して認証が実行され(例えばパスワードの照合)、認証が成功した場合に各鍵番号に対応するビットに1が立ち、認証が成功したことを示す。これはDF単位で管理される。
【0020】
上記では、セキュリティ情報の管理方式とファイル構造について説明したが、次にコマンド実行対象となるファイルに対する(1)鍵情報の設定、(2)アクセス制御情報の設定、(3)カレントファイルに対するコマンド実行処理時の認証制御、および(4)アクセス制御について順番に説明する。
【0021】
まず、第1に鍵情報の設定について説明する。図8に戻って、鍵情報の生成・設定は、鍵情報管理制御部1−4の鍵情報管理処理部1−5において実施され、図15のように、通信制御部1−1より鍵情報管理制御部1−4の鍵情報管理処理部1−5に対して鍵情報管理制御要求が渡され、カレントDFに対して、図11のCASE1のように鍵ファイルの生成と鍵ファイルへの複数の鍵情報の設定として実現されるかあるいは図11のCASE2のように複数の鍵ファイルの生成とそれぞれの鍵情報管理ファイル1−6に対する鍵情報の設定として実現される。
【0022】
第2に、アクセス制御情報の設定について説明する。再度、図8に戻って、アクセス制御情報の設定はアクセス制御情報管理制御部1−7のアクセス制御情報管理処理部1−8において実施され、図16のように通信制御部1−1よりアクセス制御情報管理制御部1−7のアクセス制御情報管理処理部1−8にアクセス制御情報管理制御要求が渡され、カレントファイルに対して、図11のようなアクセス制御情報管理ファイル1−9の設定が実施される。
【0023】
第3に、認証制御について説明する。図17は、あるファイルに対して鍵情報とアクセス制御情報が設定された後の認証制御フローについて示す図である。通信制御部1−1より鍵番号(CASE1の場合)あるいは鍵ファイルID(CASE2の場合)と鍵情報が入力されると、認証制御部1−23の中の認証処理部1−10では、まず指定された鍵番号あるいは鍵ファイルIDに対応する鍵情報と入力された鍵情報が対応するものかどうかの認証処理を実行する(Verifyの場合は照合、External Authenticate の場合は対応の検証)。
【0024】
もし、認証が成功した場合には、認証状態管理制御部1−11の認証状態管理処理部1−12に依頼をかけ、図13に示されるような認証状態管理ファイル1−13に対して認証が成功した鍵番号の認証状態をオンにする(ビットを立てる)。もし、認証の試行回数が予めカレントファイル(CASE1)あるいは鍵ファイル(CASE2)に設定された最大試行回数を超過した場合(試行回数をデクリメントし、0になった場合)には、閉塞処理部1−14に依頼し、閉塞状態管理制御部1−15の閉塞情報管理処理部1−16を介して、カレントDFの閉塞(CASE1)あるいは認証を実施した鍵ファイルの閉塞(CASE2)を対応する閉塞状態管理ファイル1−17に閉塞状態を示すビットを立てることで実施する(図は省略)。
【0025】
また、強制的に、閉塞処理部1−14を介してDFの閉塞を実施した場合には、CASE1,CASE2両方とも同様に、閉塞状態管理制御部1−15の閉塞情報管理処理部1−16によって、閉塞状態設定処理が実行され、カレントDFの閉塞状態が更新される。
【0026】
第4に、コマンド実行時のアクセス制御について説明する。図18は、認証後のコマンド実行時のアクセス制御フローを示している。通信制御部1−1より、コマンド処理要求がコマンド制御部1−24のコマンド処理部1−18に渡されると、閉塞状態検証制御部1−19の閉塞状態検証処理部1−20に対して閉塞状態検証処理要求を依頼する。閉塞状態検証処理部1−20では、カレントファイルに対する閉塞状態管理ファイル1−17を参照し、閉塞中であるかどうかの閉塞状態検証処理を実施し、結果をコマンド処理部1−18に返却する。もし閉塞している場合には、コマンド処理部1−18は通信制御部1−1にエラーを返却する。閉塞していない場合には、コマンド処理部1−18は認証状態検証制御部1−21の認証状態検証処理部1−22に対して、認証状態の検証の実施を依頼する。認証状態検証処理部1−22は、第1にアクセスレベル管理ファイル1−25を参照することによりカレントファイルの種別と要求されたコマンドの種別からアクセスレベルを判定する。例えば、図14のアクセスレベル管理ファイルではEFに対して書き込み系のコマンドが実行される場合はアクセスレベルはBである。第2にカレントファイルに設定されているアクセス制御情報管理ファイル1−9よりアクセス制御情報の取得を行い、判定により得たアクセスレベルとして設定されているアクセス制御情報の取得を行う。例えば図12においては、アクセスレベルBでは、鍵番号3が認証対象である。そこで、最後に認証状態管理ファイル1−13を参照し、該アクセス制御情報を満たしているかどうかの認証状態検証を行い、結果をコマンド処理部1−18に通知する。例えば図13では鍵番号3に対するビットが既に立っているため、アクセス・実行を許可する。コマンド処理部1−18では、結果を満たしている場合には、引き続きコマンドの実行を行い、満たしていない場合は、エラーを通信制御部1−1に返却する。
【0027】
【発明が解決しようとする課題】
上述したように、従来のICカードにおいては、複数のファイル管理領域、すなわちDF、あるいはJavaCard・Multosでは複数のプログラムにわたって同一の鍵やアクセス制御情報、認証状態情報、閉塞情報を共有するという技術は開示されていない。このために、複数の領域を同一の権限(以下、権限管理領域と称する)で利用するような場合でも、それぞれのファイル管理領域で独立なセキュリティ情報を設定しなければならない。しかしながら、この場合に権限管理領域を構成する複数のファイル管理領域に対して複数の鍵の設定・更新やアクセス制御情報の設定・更新を行わなければならないという問題の他、同一権限管理領域にもかかわらず認証もそれぞれのファイル管理領域で独立に実行しなければならないため、道路交通システムのような高速で処理を実行しなければならないような場合など処理工数がかかる他に処理性能の問題が生じる。更に詳しくは、以下に列挙するような問題がある。
【0028】
(1)上記のISO/JICSAP/EMVにおいてはMF−DFファイル管理領域間以外、すなわちDF−DF間で鍵を共有することができない。また、MultosやJavaCardにおいてはプログラム間で鍵の共有を実施する方式については規定がなされていない。従って、現状においてファイル管理領域(あるいはプログラム管理領域)が同一利用者のような場合にあるいは別利用者であっても同一の鍵を利用したいといった要求に対しては同一の鍵を再度設定・運用しなければならず、作業の冗長性を避けることができないという問題がある。
【0029】
(2)上記において鍵を共有した場合でも、現状のICカードにおいてはアクセス制御情報を共有する思想が開示されていないため、同一のアクセス制御情報を設定したいという要求に対しては同一の鍵を再度設定・運用しなければならず、作業の冗長性を避けることができないという問題がある。
【0030】
(3)上記において現状の技術では、鍵とアクセス制御情報を用いた認証結果・状態である認証状態を複数のファイル/プログラム管理領域間で共有する思想が開示されていないために、同一利用者の権限管理領域内の個々のファイル管理領域において同一の鍵情報が設定されているような場合であって、かつ一方の管理領域内が認証済みであっても、もう一方の管理領域に対する認証を再度実行しなければならないといった認証の冗長性を避けることができないという問題がある。
【0031】
(4)上記において仮に閉塞情報が共有されないならば、鍵を共有するファイル管理領域間で、例えば鍵共有指定先が閉塞されたような場合にも、もう一方のファイル管理領域は閉塞されない。これは、同一権限者の領域に対して一度認証が失敗した場合にでも、別の領域に対して認証を再度実行可能であるため、セキュリティが弱くなるという問題がある。
【0032】
本発明は、上記に鑑みてなされたもので、その目的とするところは、複数のファイルまたはファイル管理領域間で鍵情報、アクセス制御情報、認証状態、閉塞状態を共有可能とし、効率化を図り得るICカードセキュリティ処理方法および装置とICカードセキュリティ処理プログラムを記録した記録媒体を提供することにある。
【0033】
上記目的を達成するため、請求項1記載の本発明は、複数の権限管理領域をもつICカードにおいて、同一権限領域内にあるファイルまたはファイル管理領域間に設定された複数の、パスワード、共通鍵または秘密鍵などの鍵に基づいて、パスワード認証、共通鍵認証、公開鍵認証による認証や、ICカード端末により送付されたコマンド種別に応じて、該コマンドの実行可否を判断するために、前記複数の鍵の中でどのような鍵を用いた認証が必要であるかの指定を行うところのアクセル制御を行うICカードセキュリティ処理方法であって、同一権限領域内にある複数のファイルまたは複数の管理領域間で該複数の鍵情報を、同一利用者が複数のファイルまたはファイル管理領域間に同一の鍵を設定可能であるよう共有し、前記同一権限領域内にある複数のファイルまたはファイル管理領域間で、前記複数の鍵情報の中でどのような鍵を用いた認証が必要であるかの指定を行うところのアクセス制御情報を共有し、前記複数の鍵情報の中でどのような鍵を用いた認証が必要であるかの指定を行うところのアクセス制御情報に基づいて認証処理を行い、認証が成功したか否かに関する結果を保持管理し、当該認証に使用した鍵とアクセス制御情報を共有する同一権限領域内にあるファイルまたはファイル管理領域間にて該認証状態を共有し、認証およびアクセス制御に対する最大試行回数を登録し、試行回数が最大試行回数を超過した場合に、同一権限領域内にあるファイルまたはファイル管理領域へのアクセスを拒絶する、または管理者により強制的に該同一権限領域内にあるファイルまたはファイル管理領域へのアクセスを拒絶するためのファイルまたはファイル管理領域の開閉状態を管理するところの閉塞情報管理制御を行い、同閉塞情報を同一権限領域内にある複数のファイルまたはファイル管理領域間で共有することを特徴とするICカードセキュリティ処理方法。
【0034】
請求項1記載の本発明にあっては、請求項1記載の本発明にあっては、複数の権限管理領域をもつICカードにおいて、同一権限領域内にある複数のファイルまたはファイル管理領域間で鍵情報を共有するため、個々のファイル管理領域に同一鍵を設定し、更新も同時にでき、効率化を図ることができる。
【0035】
また、請求項2記載の本発明は、請求項1記載の発明において、前記複数の鍵情報の中でどのような鍵を用いた認証が必要であるかの指定を行うところのアクセス制御情報を管理するアクセス制御情報を前記複数のファイルまたはファイル管理領域間で共有することを要旨とする。
【0036】
請求項1記載の本発明にあっては、アクセス制御情報を前記同一権限領域内にある複数のファイルまたはファイル管理領域間で共有するため、鍵情報を共有した個々のファイル管理領域に同一アクセス権限でアクセスでき、効率化を図ることができる。
【0037】
更に、請求項3記載の本発明は、請求項1または2記載の発明において、前記複数の鍵情報の中でどのような鍵を用いた認証が必要であるかの指定を行うところのアクセス制御情報に基づいて認証処理を行い、認証が成功したか否かに関する結果を保持管理し、当該認証に使用した鍵とアクセス制御情報を共有するファイルまたはファイル管理領域間にて該認証状態を共有することを要旨とする。
【0038】
請求項1記載の本発明にあっては、認証状態を同一権限領域内にある複数のファイルまたはファイル管理領域間で共有するため、ファイル管理領域内で一度認証した鍵情報に対して再度認証する必要がなく、効率的である。
【0039】
請求項4記載の本発明は、請求項1乃至3記載の発明において、認証およびアクセス制御に対する最大試行回数を登録し、試行回数が最大試行回数を超過した場合に、ファイル管理領域へのアクセスを拒絶する、または管理者により強制的に該ファイル管理領域へのアクセスを拒絶するためのファイル管理領域の開閉状態を管理するところの閉塞情報管理制御を行い、同閉塞情報を複数のファイルまたはファイル管理領域間で共有することを要旨とする。
【0040】
請求項1記載の本発明にあっては、閉塞情報を同一権限領域内にある複数のファイルまたはファイル管理領域間で共有するため、どれかの領域が閉塞された場合、共有するすべての領域を閉塞することができる。
【0041】
また、請求項2の本発明は、複数の権限管理領域をもつICカードにおいて、同一権限領域内にあるファイルまたはファイル管理領域間に設定された複数の、パスワード、共通鍵または秘密鍵などの鍵に基づいて、パスワード認証、共通鍵認証、公開鍵認証による認証や、ICカード端末により送付されたコマンド種別に応じて、該コマンドの実行可否を判断するために、前記複数の鍵の中でどのような鍵を用いた認証が必要であるかの指定を行うところのアクセル制御を行うICカードセキュリティ処理装置であって、同一権限領域内にある複数のファイルまたは複数の管理領域間で該複数の鍵情報を、同一利用者が複数のファイルまたはファイル管理領域間に同一の鍵を設定可能であるよう共有する鍵情報共有手段と、
前記同一権限領域内にある複数のファイルまたはファイル管理領域間で、前記複数の鍵情報の中でどのような鍵を用いた認証が必要であるかの指定を行うところのアクセス制御情報共有処理手段と、前記複数の鍵情報の中でどのような鍵を用いた認証が必要であるかの指定を行うところのアクセス制御情報に基づいて認証処理を行い、認証が成功したか否かに関する結果を保持管理し、当該認証に使用した鍵とアクセス制御情報を共有する同一権限領域内にあるファイルまたはファイル管理領域間にて該認証状態を共有する認証状態共有処理手段と、認証およびアクセス制御に対する最大試行回数を登録し、試行回数が最大試行回数を超過した場合に、同一権限領域内にあるファイルまたはファイル管理領域へのアクセスを拒絶する、または管理者により強制的に該同一権限領域内にあるファイルまたはファイル管理領域へのアクセスを拒絶するためのファイルまたはファイル管理領域の開閉状態を管理するところの閉塞情報管理制御を行い、同閉塞情報を同一権限領域内にある複数のファイルまたはファイル管理領域間で共有する閉塞情報共有手段とを特徴とするICカードセキュリティ処理装置。
を有することを要旨とする。
【0042】
請求項2記載の本発明にあっては、同一権限領域内にある複数のファイルまたはファイル管理領域間で鍵情報、アクセス制御情報、認証状態、閉塞情報を共有することができるため、個々のファイル管理領域に同一鍵を設定し、更新を同時にでき、鍵情報を共有した個々のファイル管理領域に同一アクセス権限でアクセスでき、ファイル管理領域内で一度認証した鍵情報に対して再度認証する必要がなく、どれかの領域が閉塞された場合、共有するすべての領域を閉塞することができる。
【0043】
更に、請求項3記載の発明は、複数の権限管理領域をもつICカードにおいて、同一権限領域内にあるファイルまたはファイル管理領域間に設定された複数の、パスワード、共通鍵または秘密鍵などの鍵に基づいて、パスワード認証、共通鍵認証、公開鍵認証による認証や、ICカード端末により送付されたコマンド種別に応じて、該コマンドの実行可否を判断するために、前記複数の鍵の中でどのような鍵を用いた認証が必要であるかの指定を行うところのアクセル制御を行うICカードセキュリティ処理プログラムを記録した記録媒体であって、同一権限領域内にある複数のファイルまたは複数の管理領域間で該複数の鍵情報を、同一利用者が複数のファイルまたはファイル管理領域間に同一の鍵を設定可能であるよう共有し、前記同一権限領域内にある複数のファイルまたはファイル管理領域間で、前記複数の鍵情報の中でどのような鍵を用いた認証が必要であるかの指定を行うところのアクセス制御情報を共有し、前記複数の鍵情報の中でどのような鍵を用いた認証が必要であるかの指定を行うところのアクセス制御情報に基づいて認証処理を行い、認証が成功したか否かに関する結果を保持管理し、当該認証に使用した鍵とアクセス制御情報を共有する同一権限領域内にあるファイルまたはファイル管理領域間にて該認証状態を共有し、認証およびアクセス制御に対する最大試行回数を登録し、試行回数が最大試行回数を超過した場合に、同一権限領域内にあるファイルまたはファイル管理領域へのアクセスを拒絶する、または管理者により強制的に該同一権限領域内にあるファイルまたはファイル管理領域へのアクセスを拒絶するためのファイルまたはファイル管理領域の開閉状態を管理するところの閉塞情報管理制御を行い、同閉塞情報を同一権限領域内にある複数のファイルまたはファイル管理領域間で共有することを要旨とする。
【0044】
請求項3記載の本発明にあっては、同一権限領域内にある複数のファイルまたはファイル管理領域間で鍵情報、アクセス制御情報、認証状態、閉塞情報を共有するICカードセキュリティ処理プログラムを記録媒体に記録しているため、該記録媒体を用いて、その流通性を高めることができる。
【0045】
【発明の実施の形態】
以下、図面を用いて本発明の実施の形態を説明する。図1は、本発明の第1の実施形態に係るICカードセキュリティ処理方法を実施するICカードシステムの機能構成を示すブロック図である。同図に示す実施形態は、図8に示した従来のICカードセキュリティ処理方法を実施する機能構成に対して鍵情報管理制御部1−4、認証状態管理制御部1−11、閉塞状態管理制御部1−15にそれぞれ鍵情報、認証状態、閉塞状態を共有するための鍵情報共有処理部12−1、認証状態共有処理部12−2、閉塞状態共有処理部12−3を設けるとともに、またアクセス制御情報管理制御部1−7にアクセス制御情報共有処理部12−4を設けた点が異なるものであり、その他の構成は図8に示したものと同じである。
【0046】
このように構成される第1の実施形態において、まず最初に鍵情報の管理方法を図9に示したCASE1の場合であるとして説明する。
【0047】
図2は、本実施形態におけるセキュリティ情報管理方法(CASE1)を示す図である。本実施形態では、同一利用者(同一の権限を持つ人)の間では、上述した各処理部により同一権限管理領域内で、それぞれのDFやEFの鍵情報管理ファイルアドレス、認証状態管理ファイルアドレス、閉塞状態管理ファイルアドレス、およびアクセス制御情報管理ファイルアドレスを共有することが可能で、これにより権限管理領域内での鍵情報、認証状態、閉塞状態、アクセス制御情報の共有が可能となる。
【0048】
図3は、本実施形態のセキュリティ処理方法における鍵情報の管理制御フローを示す図である。本実施形態においては、鍵情報管理制御時、すなわちDFを生成後にDFに対して鍵情報管理ファイルを生成する際あるいは鍵ファイル生成後に鍵情報を設定する際あるいは鍵情報の一括更新を実施する際に、まず鍵情報の共有指定があるかどうかの判断を実施する。もし、共有指定ではない場合は従来どおりで鍵情報管理ファイルの生成や鍵情報の設定が実施される。共有指定があった場合、上位のDFのもつ鍵情報管理ファイルEFのアドレス(ファイルIDあるいは物理アドレス)を取得し、当該DFの鍵情報管理ファイルのアドレスとして設定する。なお、この時に、認証処理部1−10、閉塞処理部1−14を介して、認証状態共有処理部12−2、閉塞状態共有処理部12−3に共有処理を依頼し、それぞれ上位のDFの認証状態管理ファイル、DF閉塞状態管理ファイルのアドレスの取得とカレントDFに対する認証状態管理ファイル、DF閉塞状態管理ファイルのアドレスの設定を行う。
【0049】
ここで注意しなくてはならないのは、例えば仮想的な鍵ファイルを生成し、鍵ファイルのリンク先として、上位の鍵ファイルを参照するような実装をとった場合にでも(この場合はファイルのヘッダ情報の中の鍵ファイルの参照先はこの仮想鍵ファイルとなる)、該仮想鍵ファイルに対するアクセス制御情報は参照する鍵ファイルと同一でなければならない。これによって、共有した鍵情報管理ファイルと同一のアクセス権限が新規の鍵情報管理ファイルに設定され、セキュリティの強度が維持できるためである。
【0050】
この場合は、アクセス制御情報管理処理部に依頼し、鍵ファイルに対するアクセス制御情報の共有も実施する。これは、上位のDFの鍵情報管理ファイルの参照するアクセス制御情報ファイルのアドレスを取得し、新規に生成されたあるいは鍵が設定された鍵情報管理ファイルのヘッダ情報として、参照する鍵情報管理ファイルに対するアクセス制御情報管理ファイルのアドレスを設定するものである。
【0051】
また、図4は本実施形態のセキュリティ処理方法におけるアクセス制御情報の管理制御フローを示す図である。これはアクセス制御情報管理制御時、すなわち任意のファイル生成時にアクセス制御情報の一括設定がある場合、あるいはファイル生成後にアクセス制御情報を一括設定する場合、あるいはアクセス制御情報の設定後に一括更新を実施する場合の指定方法である。鍵情報が上位のDFと共有されている場合にはアクセス制御情報の共有指定が可能である。仮に通信制御部からの要求に上位のファイルとのアクセス制御の共有指定がある場合、アクセス制御情報管理制御部1−7のアクセス制御情報共有処理部12−4にアクセス制御情報共有を依頼し、当該ファイルのアクセス制御情報として、取得した上位のDFのアクセス制御情報を参照するように設定を行う。また、このとき要求に同一アクセス制御情報の指定があった場合には、上位のDFと同一のアクセス制御情報を当該ファイルに設定する。
【0052】
次に、本発明の第2の実施形態について説明する。この実施形態では、鍵情報の管理方法を図10のCASE2の場合について説明する。
【0053】
図5は、本実施形態のセキュリティ情報管理方法を示す図である。本実施形態も、第1の実施形態と同様に、複数のファイル管理領域で構成される同一権限管理領域で鍵情報、アクセス制御情報、認証状態、閉塞状態を管理可能であるが、更に鍵単位での安全な鍵共有が可能である。
【0054】
本実施形態におけるセキュリティ情報管理方法を示している図5において、それぞれのファイルはヘッダ情報として、アクセス制御情報管理ファイル(AAAA)、鍵番号と鍵情報管理ファイルアドレス(B011,B141)、認証状態管理ファイルアドレス(B012,B142)、鍵閉塞状態管理ファイルアドレス(B013,B143)の対、およびDF閉塞状態管理ファイルのアドレス(DDDD)を管理する。すなわち、認証状態管理ファイル構造は従来および第1の実施形態の方法と異なる。本実施形態においては、鍵情報管理ファイル毎(すなわち鍵毎)に認証状態管理ファイルを所有する。
【0055】
ここでまず、すべてのファイル(DF,EF)は上位のDFに設定された鍵ファイルの一部あるいはすべてを共有することが可能である。このとき、すべての鍵ファイル共有が実施された場合には自動的にDFの法則情報も共有される(EFは生成時に自動的にDFと鍵共有が実施されるためDFの閉塞情報の共有も実施される)。また、鍵情報がすべて共有された場合にはアクセス制御情報の共有も実施可能である。
【0056】
図6は、本実施形態のセキュリティ処理方法における情報の管理制御フローを示す図である。本実施形態においては、鍵情報管理制御時、すなわちDFを生成後にDFに対してある1つの鍵ファイルを生成する際あるいは鍵ファイル生成後に鍵情報を設定する際あるいは該鍵ファイルの鍵情報の更新を実施する際に、全部あるいは一部の鍵ファイルに対しても上位DFの鍵情報管理ファイルとの共有指定があった場合に、以下の処理を実行する。
【0057】
1)指定された鍵情報管理ファイルのアドレス、該鍵情報に対する認証状態管理ファイルアドレス、該鍵情報に対する閉塞状態管理ファイルアドレス取得処理、すべての鍵情報共有の場合はDF閉塞情報管理ファイルアドレス取得処理
2)カレントファイルヘッダ情報へのアドレス設定処理
なお、アクセス制御情報の共有方法については第1の実施形態とほぼ同様である。本第2の実施形態においては、第1の実施形態と異なり、個々の鍵ファイル単位での鍵共有が可能であるため、アクセス制御情報の共有が可能な条件は、第1の実施形態では上位DFと鍵を共有しているだけでよかったが、本第2の実施形態では、すべての鍵ファイルを共有している場合に限る。ただし、結果的には両方ともすべての鍵を共有している場合となる。
【0058】
なお、上記実施形態の処理をプログラムとして記録媒体に記録することにより該記録媒体を用いて、その流通性を高めることができる。
【0059】
【発明の効果】
以上説明したように、本発明によれば、同一利用者、すなわち同一権限管理領域内の複数のファイル管理領域に対して、同一の鍵が設定可能であり、かつ共有可能であるので、個々のファイル管理領域に同一の鍵を設定し、更新も同時に行いたいというような要求に答えることが可能である。
【0060】
また、本発明によれば、新規に鍵を共有したファイル管理領域内で同一のアクセス制御情報を簡単に設定・共有可能であるので、鍵共有を行っている個々のファイル管理領域に同一アクセス権限でアクセスし、かつアクセス権限の変更も一度に行いたいような要求に答えることが可能である。
【0061】
更に、本発明によれば、新規に鍵を共有したファイル管理領域内で同一の認証状態を共有することが可能であるので、他の鍵共有を行っているファイル管理領域内で一度認証した鍵情報に対しては再度認証を実行する必要がないという効果がある。また更に、鍵の他にアクセス制御情報をも共有したファイル管理領域を新規に作成した場合には、一度共有するファイル管理領域内で認証を実行すると、以降同一種類のファイルに同一コマンドでアクセスする場合には認証が必要なくなり、処理の冗長性を極力排除することが可能である。
【0062】
また、本発明によれば、新規に鍵・認証状態あるいは鍵・アクセス制御情報・認証状態を共有するファイル管理領域において、閉塞状態の共有が可能であるので、共有するファイル管理領域内において、どれかの領域が閉塞されたような場合には、共有するすべての領域に対して閉塞を実行できる(例えば、あるDFが強制閉塞された場合、DFと鍵を共有するすべてのDFが閉塞できる)。あるいは鍵が閉塞されたような場合に、この鍵を利用したすべてのファイルへのアクセスを実行不可能にすることが可能であるため、鍵・アクセス制御情報・認証状態をファイル管理領域間で共有しても、共有前と同一の安全性を保証することが可能である。
【図面の簡単な説明】
【図1】本発明の第1の実施形態に係るICカードセキュリティ処理方法を実施するICカードシステムの機能構成を示すブロック図である。
【図2】第1の実施形態におけるセキュリティ情報管理方法(CASE1)を示す図である。
【図3】第1の実施形態のセキュリティ処理方法における鍵情報の管理制御フローを示す図である。
【図4】第1の実施形態のセキュリティ処理方法におけるアクセス制御情報の管理制御フローを示す図である。
【図5】本発明の第2の実施形態におけるセキュリティ情報管理方法(CASE2)を示す図である。
【図6】第2の実施形態のセキュリティ処理方法における鍵情報の管理制御フローを示す図である。
【図7】第2の実施形態のセキュリティ処理方法におけるアクセス制御情報の管理制御フローを示す図である。
【図8】従来のセキュリティ処理方法を実施するICカードシステムの機能構成図である。
【図9】従来のセキュリティ情報管理方法のセキュリティ情報管理方法(CASE1)を示す図である。
【図10】従来のセキュリティ情報管理方法のセキュリティ情報管理方法(CASE1)を示す図である。
【図11】従来のセキュリティ処理方法における鍵情報管理ファイルの構造を示す図である。
【図12】従来のセキュリティ処理方法におけるアクセス制御情報管理ファイルの構造を示す図である。
【図13】従来のセキュリティ処理方法における認証状態管理ファイルの構造を示す図である。
【図14】従来のセキュリティ処理方法におけるアクセスレベル管理ファイルの構造を示す図である。
【図15】従来のセキュリティ処理方法における鍵情報管理制御フローを示す図である。
【図16】従来のセキュリティ処理方法におけるアクセス制御情報管理制御フローを示す図である。
【図17】従来のセキュリティ処理方法における認証制御フローを示す図である。
【図18】従来のセキュリティ処理方法におけるコマンドアクセス制御フローを示す図である。
【符号の説明】
1−3 ファイル選択制御部
1−4 鍵情報管理制御部
1−5 鍵情報管理処理部
1−6 鍵情報管理ファイル
1−7 アクセス制御情報管理制御部
1−8 アクセス制御情報管理処理部
1−9 アクセス制御情報管理ファイル
1−10 認証処理部
1−11 認証状態管理制御部
1−13 認証状態管理ファイル
1−15 閉塞状態管理制御部
1−17 閉塞状態管理ファイル
1−18 コマンド処理部
1−19 閉塞状態検証制御部
1−21 認証状態検証制御部
1−23 認証制御部
1−24 コマンドアクセス制御部
12−1 鍵情報共有処理部
12−2 認証状態共有処理部
12−3 閉塞状態共有処理部
12−4 アクセス制御情報共有処理部[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an IC card security processing method and apparatus for performing authentication and access control for accessing a file management area which is a file in the IC card or a file management unit from an IC card terminal, and a record in which an IC card security processing program is recorded. It relates to the medium.
[0002]
[Prior art]
The key sharing / authentication access control technology for IC cards is defined in ISO7816, JICSAP, Multos, and JavaCard. For ISO7816, Verify and External Authenticate specify simple authentication using a PIN code and strict authentication using a public key as external authentication methods, and a rough key management method and access control information management method for that purpose. Is stipulated. Here, the file management structure in ISO will be described first. In ISO, a file corresponding to a root directory in UNIX is called MF, and a file corresponding to an intermediate directory is called DF. A normal element file managed in the DF is called EF. DF is composed of DF and EF.
[0003]
Here, as the “key information” sharing method in ISO, the idea of sharing a key set in MF (hereinafter referred to as a card management area) and a local key identifier are specified as a method of specifying a global key identifier. The idea of sharing a key set in a DF (hereinafter referred to as a file management area) is disclosed as a method to do this.
[0004]
On the other hand, in JICSSAP, only the local key identifier designation method is defined, and a plurality of key files EF are generated for each file management area called DF, and the logical product or logical sum of these keys is used. The access control that controls the permission of command execution for the EF in the DF and the “access control information” management mechanism that defines the information are defined.
[0005]
At the same time, the status of the authentication result for this file is managed as an “authentication status” (referred to as security status in ISO and JICSAP), and the authentication to a key exceeds the maximum number of trials specified in advance for the key. In such a case, the key file that manages the key is automatically blocked, the “key blocked state” is managed (disabled), the automatic blocking mechanism, the DF is forcibly blocked, and the DF including the blocked DF Forcibly closing the EF and managing the “DF blocking state” is disclosed.
[0006]
In JavaCard, a means for executing access control to a file is defined as a means for sharing the file, and the key management means is implementation-dependent.
[0007]
On the other hand, for Multis, a mechanism for ensuring the independence between data and programs managed by each object by means of independently securing the physical areas managed by the objects is provided, and the firewall property between the program management areas is improved. For this reason, a data sharing method outside the shared area on the volatile memory is not defined.
[0008]
Therefore, the prior art will be described below using specific examples. FIG. 8 is a block diagram showing a functional configuration of an IC card system that implements a security processing method related to conventional IC card authentication / access control.
[0009]
In FIG. 8, the
[0010]
Next, a key information setting method and access control information setting method for a command execution target file and an authentication / access control method during command execution processing for the file will be described. Therefore, a description will be given first of a prerequisite file configuration example and security information (key information, access control information, authentication status, blocking status) relating to authentication / access control managed for each file.
[0011]
9 and 10 show a file configuration based on ISO / JICSAP and a security information management method for the file.
[0012]
FIG. 9 relates to a method for managing the key information of
[0013]
FIG. 10 is based on the JICSAP key management method and relates to a method of managing the CASE2 key information of FIG. 11 one by one in a plurality of EFs in DF units. Also in this case, each DF is individually managed for key information, access control information, authentication status (for keys managed in units of DF), DF blocked status, and key blocked status.
[0014]
As described above, in ISO / JICSAP, key information, authentication status, and blocking status are managed in units of MF / DF, and access control information can be set in units of MF / DF / EF.
[0015]
Thus, an example of a method for managing key information, access control information, authentication status, and blocking status will be described in detail. FIG. 11 is a diagram showing the structure of a key information management file in the conventional security processing method. Key information is managed in the EF for the key as a pair of key number and key information in DF units (CASE 1) or one key EF is prepared for one key information (CASE 2: JICSAP method) Managed by. In the latter case, a key number may be managed in addition to the key file ID and key information for management.
[0016]
FIG. 12 is a diagram showing a file structure of an access control information management file of a conventional security processing method for a file to be executed by a command.
[0017]
For a file, a plurality of access levels can be set according to a file type and a command pair for the file. This example shows four types of access levels A to D, and for each access level, a plurality of key numbers that require authentication can be set by logical product / sum. That is, for each access level, the first bit indicates whether the key of key number 1-7 corresponding to the second to eighth bits is designated by logical product or logical sum (1: logical product) , 0: logical sum) The second to eighth bits specify whether or not key number 1-7 is requested for authentication, and the ninth bit is the key number corresponding to the first 10th to 16th bits Indicates whether the key of 8-14 is designated by logical product or logical sum (1: logical product, 0: logical sum), and upper 8 bits and lower 8 bits are logical products. When one key EF is prepared for one key information as in the JICSAP specification, for example, whether correspondence with access control information is performed in the order of the ID value of the EF (the key number in FIG. 11). The order can be made to correspond to the order of the IDs of the EFs), or by assigning a key number to the key file when the key file is generated as shown in FIG. is there.
[0018]
FIG. 14 shows an example of setting the access level. For example, the access level A indicates an access level when a Lock-type command is executed for the MF / DF. The same applies to the access levels BD.
[0019]
FIG. 13 is a diagram showing a file structure of an authentication status management file in the conventional security processing method. When authentication is performed for a certain key (for example, password verification) and the authentication is successful, 1 is set in the bit corresponding to each key number to indicate that the authentication is successful. This is managed in DF units.
[0020]
The security information management method and file structure have been described above. Next, (1) key information setting for a command execution target file, (2) access control information setting, and (3) command execution for the current file The authentication control during processing and (4) access control will be described in order.
[0021]
First, setting of key information will be described. Returning to FIG. 8, the generation / setting of key information is performed in the key information management processing unit 1-5 of the key information management control unit 1-4, and the key information is transmitted from the communication control unit 1-1 as shown in FIG. A key information management control request is passed to the key information management processing unit 1-5 of the management control unit 1-4, and a key file is generated and a plurality of key files are generated for the current DF as in
[0022]
Secondly, the setting of access control information will be described. Referring back to FIG. 8, the access control information is set in the access control information management processing unit 1-8 of the access control information management control unit 1-7, and accessed from the communication control unit 1-1 as shown in FIG. An access control information management control request is passed to the access control information management processing unit 1-8 of the control information management control unit 1-7, and the access control information management file 1-9 as shown in FIG. 11 is set for the current file. Is implemented.
[0023]
Third, authentication control will be described. FIG. 17 is a diagram showing an authentication control flow after key information and access control information are set for a certain file. When a key number (in the case of CASE 1) or key file ID (in the case of CASE 2) and key information are input from the communication control unit 1-1, the authentication processing unit 1-10 in the authentication control unit 1-23 first starts. An authentication process is performed to determine whether the key information corresponding to the specified key number or key file ID and the input key information correspond to each other (verification in the case of Verify, verification in the case of External Authenticate).
[0024]
If the authentication is successful, the authentication state management processing unit 1-12 of the authentication state management control unit 1-11 is requested to authenticate the authentication state management file 1-13 as shown in FIG. Turns on the authentication status of the successful key number (sets a bit). If the number of authentication attempts exceeds the maximum number of attempts set in advance in the current file (CASE 1) or key file (CASE 2) (when the number of attempts is decremented and becomes 0), the block processing unit 1 -14, the corresponding blockage of the current DF block (CASE1) or the key file that has been authenticated (CASE2) is blocked via the blockage information management processing unit 1-16 of the blockage state management control unit 1-15. This is implemented by setting a bit indicating a blocked state in the state management file 1-17 (not shown).
[0025]
Further, when the DF is blocked through the blocking processing unit 1-14, the blocking information management processing unit 1-16 of the blocking state management control unit 1-15 is the same for both CASE1 and CASE2. Thus, the blocking state setting process is executed, and the blocking state of the current DF is updated.
[0026]
Fourth, access control during command execution will be described. FIG. 18 shows an access control flow during command execution after authentication. When the command processing request is passed from the communication control unit 1-1 to the command processing unit 1-18 of the command control unit 1-24, the block control state verification processing unit 1-20 of the blockage state verification control unit 1-19 is notified. Request a blocking status verification process request. The blocking state verification processing unit 1-20 refers to the blocking state management file 1-17 for the current file, performs blocking state verification processing to determine whether the file is blocked, and returns the result to the command processing unit 1-18. . If it is blocked, the command processing unit 1-18 returns an error to the communication control unit 1-1. If not closed, the command processing unit 1-18 requests the authentication status verification processing unit 1-22 of the authentication status verification control unit 1-21 to perform verification of the authentication status. The authentication status verification processing unit 1-22 first determines an access level from the type of the current file and the type of the requested command by referring to the access level management file 1-25. For example, in the access level management file of FIG. 14, the access level is B when a write command is executed for EF. Second, access control information is acquired from the access control information management file 1-9 set in the current file, and access control information set as the access level obtained by the determination is acquired. For example, in FIG. 12, at access level B,
[0027]
[Problems to be solved by the invention]
As described above, in the conventional IC card, the technique of sharing the same key, access control information, authentication status information, and blockage information across a plurality of programs in a plurality of file management areas, that is, DF or JavaCard / Multos, is Not disclosed. Therefore, even when a plurality of areas are used with the same authority (hereinafter referred to as an authority management area), independent security information must be set in each file management area. However, in this case, in addition to the problem of setting / updating a plurality of keys and setting / updating access control information for a plurality of file management areas constituting the authority management area, Regardless, authentication must be performed independently in each file management area, which requires processing man-hours such as when processing must be performed at high speed, such as in a road traffic system. . More specifically, there are problems as listed below.
[0028]
(1) In the above ISO / JICSSAP / EMV, keys cannot be shared except between MF-DF file management areas, that is, between DF-DF. In addition, in Multis and JavaCard, there is no provision for a method for sharing a key between programs. Therefore, when the file management area (or program management area) is currently the same user, or for a request to use the same key even for another user, the same key is set and operated again. There is a problem that work redundancy cannot be avoided.
[0029]
(2) Even when the key is shared in the above, since the idea of sharing the access control information is not disclosed in the current IC card, the same key is used for the request to set the same access control information. There is a problem that the redundancy of work cannot be avoided because it must be set and operated again.
[0030]
(3) Since the present technology does not disclose the idea of sharing the authentication status, which is the authentication result / status using the key and the access control information, among a plurality of file / program management areas, the same user Even if the same key information is set in each file management area in one authority management area, and even if one management area has already been authenticated, authentication for the other management area is performed. There is a problem that authentication redundancy that must be executed again cannot be avoided.
[0031]
(4) If the block information is not shared in the above, the other file management area is not blocked even when the key sharing designation destination is blocked between the file management areas sharing the key. This is problematic in that even if authentication fails once for the area of the same authority, security can be weakened because authentication can be performed again for another area.
[0032]
The present invention has been made in view of the above, and an object of the present invention is to make it possible to share key information, access control information, an authentication state, and a blocking state among a plurality of files or file management areas, thereby improving efficiency. An IC card security processing method and apparatus to be obtained and a recording medium on which an IC card security processing program is recorded are provided.
[0033]
In order to achieve the above object, the present invention according to
[0034]
In the present invention described in
[0035]
Further, in the present invention described in
[0036]
[0037]
Furthermore, the present invention described in
[0038]
[0039]
The present invention according to
[0040]
[0041]
Above Within the same authority area Access control information sharing processing means for specifying what key is required for authentication among a plurality of key information among a plurality of files or file management areas, and the plurality of key information The authentication process is performed based on the access control information that specifies what kind of key is required for authentication, and the result regarding whether or not the authentication is successful is held and managed. Sharing used keys and access control information Within the same authority area When the authentication status sharing processing means for sharing the authentication status between files or file management areas and the maximum number of trials for authentication and access control are registered, and the number of trials exceeds the maximum number of trials, A file in the same authority area or Deny access to the file management area or force the administrator to Within the same authority area To deny access to a file or file management area File or Performs block information management control, which manages the open / closed status of the file management area. Within the same authority area An IC card security processing apparatus, characterized in that it comprises block information sharing means for sharing between a plurality of files or file management areas.
It is summarized as having.
[0042]
[0043]
Further claims 3 The described invention IC cards with multiple authority management areas are in the same authority area Based on multiple keys such as password, common key or secret key set between files or file management areas, authentication by password authentication, common key authentication, public key authentication, or command type sent by IC card terminal In accordance with the IC card security processing program for performing accelerator control for designating which key is used for authentication among the plurality of keys in order to determine whether the command can be executed or not A recording medium on which Within the same authority area Sharing the plurality of key information among a plurality of files or a plurality of management areas so that the same user can set the same key between the plurality of files or the file management areas; Within the same authority area Sharing access control information for specifying what key is required for authentication among a plurality of key information among a plurality of files or file management areas, and The authentication process is performed based on the access control information that specifies what kind of key is required for authentication, and the result regarding whether or not the authentication is successful is retained and used for the authentication. Shared key and access control information Within the same authority area If the authentication status is shared between files or file management areas, the maximum number of attempts for authentication and access control is registered, and the number of attempts exceeds the maximum number of attempts, Files within the same authority area Refuses access to the file management area or is forced by the administrator A file in the same authority area or Perform blockage information management control to manage the open / close state of a file or file management area for refusing access to the file management area. Within the same authority area The gist is to share between multiple files or file management areas.
[0044]
[0045]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing a functional configuration of an IC card system that implements an IC card security processing method according to the first embodiment of the present invention. In the embodiment shown in the figure, a key information management control unit 1-4, an authentication state management control unit 1-11, and a blocking state management control are provided for the functional configuration for implementing the conventional IC card security processing method shown in FIG. The unit 1-15 is provided with a key information sharing processing unit 12-1, an authentication state sharing processing unit 12-2, and a blocking state sharing processing unit 12-3 for sharing key information, an authentication state, and a blocking state. The access control information management control unit 1-7 includes an access control information sharing processing unit 12-4, and the other configuration is the same as that shown in FIG.
[0046]
In the first embodiment configured as described above, first, the key information management method will be described assuming that it is the case of
[0047]
FIG. 2 is a diagram showing a security information management method (CASE 1) in the present embodiment. In the present embodiment, between the same users (persons having the same authority), the above-mentioned processing units within the same authority management area, each DF and EF key information management file address, authentication status management file address It is possible to share the blocking status management file address and the access control information management file address, thereby enabling sharing of key information, authentication status, blocking status, and access control information within the authority management area.
[0048]
FIG. 3 is a diagram showing a key information management control flow in the security processing method of the present embodiment. In the present embodiment, at the time of key information management control, that is, when generating a key information management file for a DF after generating the DF, setting key information after generating the key file, or performing batch update of key information First, it is determined whether there is a sharing specification of key information. If the sharing is not designated, the key information management file is generated and the key information is set as before. When sharing is specified, the address (file ID or physical address) of the key information management file EF of the upper DF is acquired and set as the address of the key information management file of the DF. At this time, the authentication state sharing processing unit 12-2 and the blocking state sharing processing unit 12-3 are requested to perform sharing processing via the authentication processing unit 1-10 and the blocking processing unit 1-14, respectively. The authentication status management file and DF blockage state management file address are acquired, and the authentication status management file and DF blockage state management file address for the current DF are set.
[0049]
Care must be taken here even when, for example, a virtual key file is generated and the key file is linked so that an upper key file is referenced (in this case, the file The reference destination of the key file in the header information is this virtual key file), and the access control information for the virtual key file must be the same as the key file to be referenced. This is because the same access authority as that of the shared key information management file is set in the new key information management file, and the strength of security can be maintained.
[0050]
In this case, the access control information management processing unit is requested to share access control information for the key file. This obtains the address of the access control information file referred to by the key information management file of the upper DF, and refers to the key information management file to be referred as header information of the key information management file newly generated or set with the key The address of the access control information management file for is set.
[0051]
FIG. 4 is a diagram showing a management control flow of access control information in the security processing method of the present embodiment. This is because when access control information management control is performed, that is, when access control information is collectively set when an arbitrary file is generated, or when access control information is collectively set after file generation, or batch update is performed after setting access control information This is the case specification method. When the key information is shared with the upper DF, it is possible to specify sharing of the access control information. If the request from the communication control unit is specified to share access control with an upper file, the access control information sharing processing unit 12-4 of the access control information management control unit 1-7 is requested to share access control information, The access control information of the file is set to refer to the acquired access control information of the upper DF. At this time, if the same access control information is specified in the request, the same access control information as that of the upper DF is set in the file.
[0052]
Next, a second embodiment of the present invention will be described. In this embodiment, a key information management method will be described in the case of
[0053]
FIG. 5 is a diagram showing the security information management method of the present embodiment. Similarly to the first embodiment, this embodiment can also manage key information, access control information, authentication status, and blocking status in the same authority management area composed of a plurality of file management areas. Secure key sharing is possible.
[0054]
In FIG. 5 showing the security information management method according to the present embodiment, each file includes, as header information, an access control information management file (AAA), a key number and key information management file address (B011, B141), and an authentication status management. A file address (B012, B142), a pair of key lock state management file addresses (B013, B143), and an address (DDDD) of a DF block state management file are managed. That is, the authentication state management file structure is different from the conventional method and the method of the first embodiment. In the present embodiment, an authentication status management file is owned for each key information management file (that is, for each key).
[0055]
Here, first, all the files (DF, EF) can share a part or all of the key file set in the upper DF. At this time, when all key file sharing is performed, DF rule information is also automatically shared (since EF automatically performs key sharing with DF at the time of generation, DF block information can also be shared). Implemented). Also, when all the key information is shared, access control information can be shared.
[0056]
FIG. 6 is a diagram showing an information management control flow in the security processing method of the present embodiment. In the present embodiment, at the time of key information management control, that is, when generating a key file for a DF after generating the DF, setting key information after generating the key file, or updating the key information of the key file When the sharing is designated with the key information management file of the upper DF for all or a part of the key files, the following processing is executed.
[0057]
1) Address of specified key information management file, authentication status management file address for the key information, blocking status management file address acquisition processing for the key information, and DF blockage information management file address acquisition processing for all key information sharing
2) Address setting processing for current file header information
Note that the access control information sharing method is substantially the same as in the first embodiment. In the second embodiment, unlike the first embodiment, key sharing can be performed in units of individual key files. Therefore, the conditions under which access control information can be shared are higher in the first embodiment. It is only necessary to share the key with the DF, but in the second embodiment, only when all the key files are shared. However, the result is that both share all keys.
[0058]
In addition, by recording the processing of the above-described embodiment as a program on a recording medium, it is possible to improve the circulation by using the recording medium.
[0059]
【The invention's effect】
As described above, according to the present invention, the same key can be set and shared for the same user, that is, a plurality of file management areas in the same authority management area. It is possible to answer the request that the same key is set in the file management area and the update is performed at the same time.
[0060]
Further, according to the present invention, since the same access control information can be easily set and shared in the file management area where the key is newly shared, the same access authority is assigned to each file management area where the key is shared. It is possible to answer the request that you want to access and change the access authority at once.
[0061]
Furthermore, according to the present invention, it is possible to share the same authentication state within a file management area where a key has been newly shared, so a key once authenticated within a file management area where another key is shared There is an effect that it is not necessary to perform authentication again on the information. Furthermore, when a new file management area that shares access control information in addition to the key is created, once authentication is executed within the shared file management area, the same type of file is subsequently accessed with the same command. In some cases, authentication is not necessary, and processing redundancy can be eliminated as much as possible.
[0062]
In addition, according to the present invention, in the file management area that newly shares the key / authentication state or the key / access control information / authentication state, it is possible to share the blocked state. If such an area is blocked, all shared areas can be blocked (for example, if a certain DF is forcibly blocked, all DFs sharing a key with the DF can be blocked) . Alternatively, if the key is blocked, access to all files using this key can be made infeasible, so the key, access control information, and authentication status are shared between file management areas. Even so, it is possible to guarantee the same security as before sharing.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a functional configuration of an IC card system that implements an IC card security processing method according to a first embodiment of the present invention.
FIG. 2 is a diagram showing a security information management method (CASE 1) in the first embodiment.
FIG. 3 is a diagram showing a key information management control flow in the security processing method according to the first embodiment;
FIG. 4 is a diagram showing a management control flow of access control information in the security processing method according to the first embodiment.
FIG. 5 is a diagram showing a security information management method (CASE 2) according to the second embodiment of the present invention.
FIG. 6 is a diagram showing a key information management control flow in the security processing method according to the second embodiment;
FIG. 7 is a diagram showing a management control flow of access control information in the security processing method according to the second embodiment.
FIG. 8 is a functional configuration diagram of an IC card system that implements a conventional security processing method.
FIG. 9 is a diagram showing a security information management method (CASE 1) of a conventional security information management method.
FIG. 10 is a diagram showing a security information management method (CASE 1) of a conventional security information management method.
FIG. 11 is a diagram showing the structure of a key information management file in a conventional security processing method.
FIG. 12 is a diagram showing the structure of an access control information management file in a conventional security processing method.
FIG. 13 is a diagram showing the structure of an authentication status management file in a conventional security processing method.
FIG. 14 is a diagram showing the structure of an access level management file in a conventional security processing method.
FIG. 15 is a diagram showing a key information management control flow in a conventional security processing method.
FIG. 16 is a diagram showing an access control information management control flow in a conventional security processing method.
FIG. 17 is a diagram showing an authentication control flow in a conventional security processing method.
FIG. 18 is a diagram showing a command access control flow in a conventional security processing method.
[Explanation of symbols]
1-3 File selection control unit
1-4 Key information management control unit
1-5 Key information management processing unit
1-6 Key information management file
1-7 Access control information management control unit
1-8 Access control information management processing unit
1-9 Access control information management file
1-10 Authentication processing section
1-11 Authentication status management control unit
1-13 Authentication status management file
1-15 Blocking state management control unit
1-17 Blocked state management file
1-18 Command processing section
1-19 Blocking state verification control unit
1-21 Authentication status verification control unit
1-23 Authentication control unit
1-24 Command Access Control Unit
12-1 Key information sharing processor
12-2 Authentication status sharing processor
12-3 Blocking state sharing processing unit
12-4 Access control information sharing processor
Claims (3)
同一権限領域内にあるファイルまたはファイル管理領域間に設定された複数の、パスワード、共通鍵または秘密鍵などの鍵に基づいて、パスワード認証、共通鍵認証、公開鍵認証による認証や、ICカード端末により送付されたコマンド種別に応じて、該コマンドの実行可否を判断するために、前記複数の鍵の中でどのような鍵を用いた認証が必要であるかの指定を行うところのアクセル制御を行うICカードセキュリティ処理方法であって、
同一権限領域内にある複数のファイルまたは複数の管理領域間で該複数の鍵情報を、同一利用者が複数のファイルまたはファイル管理領域間に同一の鍵を設定可能であるよう共有し、
前記同一権限領域内にある複数のファイルまたはファイル管理領域間で、前記複数の鍵情報の中でどのような鍵を用いた認証が必要であるかの指定を行うところのアクセス制御情報を共有し、
前記複数の鍵情報の中でどのような鍵を用いた認証が必要であるかの指定を行うところのアクセス制御情報に基づいて認証処理を行い、認証が成功したか否かに関する結果を保持管理し、当該認証に使用した鍵とアクセス制御情報を共有する同一権限領域内にあるファイルまたはファイル管理領域間にて該認証状態を共有し、
認証およびアクセス制御に対する最大試行回数を登録し、試行回数が最大試行回数を超過した場合に、同一権限領域内にあるファイルまたはファイル管理領域へのアクセスを拒絶する、または管理者により強制的に該同一権限領域内にあるファイルまたはファイル管理領域へのアクセスを拒絶するためのファイルまたはファイル管理領域の開閉状態を管理するところの閉塞情報管理制御を行い、同閉塞情報を同一権限領域内にある複数のファイルまたはファイル管理領域間で共有すること
を特徴とするICカードセキュリティ処理方法。 In an IC card with multiple authority management areas,
Based on multiple keys such as password, common key or secret key set between files in the same authority area or between file management areas, authentication by password authentication, common key authentication, public key authentication, IC card terminal In accordance with the command type sent by, the accelerator control for specifying what key is required to be authenticated among the plurality of keys in order to determine whether the command can be executed or not. An IC card security processing method to be performed,
Sharing the plurality of key information among a plurality of files or a plurality of management areas in the same authority area so that the same user can set the same key between the plurality of files or the file management areas ,
The access control information for specifying what key is required for authentication among the plurality of key information is shared between a plurality of files or file management areas in the same authority area. ,
Performs authentication processing based on access control information for specifying what key is required for authentication among the plurality of key information, and holds and manages the result regarding whether or not the authentication is successful And sharing the authentication status between files or file management areas in the same authority area that shares the access control information with the key used for the authentication,
The maximum number of attempts for authentication and access control is registered, and when the number of attempts exceeds the maximum number of attempts, access to a file or file management area within the same authority area is denied, or the administrator forcibly Perform block information management control that manages the open / closed state of a file or file management area for refusing access to a file or file management area in the same authority area. Sharing between other files or file management areas
An IC card security processing method .
同一権限領域内にあるファイルまたはファイル管理領域間に設定された複数の、パスワード、共通鍵または秘密鍵などの鍵に基づいて、パスワード認証、共通鍵認証、公開鍵認証による認証や、ICカード端末により送付されたコマンド種別に応じて、該コマンドの実行可否を判断するために、前記複数の鍵の中でどのような鍵を用いた認証が必要であるかの指定を行うところのアクセル制御を行うICカードセキュリティ処理装置であって、
同一権限領域内にある複数のファイルまたは複数の管理領域間で該複数の鍵情報を、同一利用者が複数のファイルまたはファイル管理領域間に同一の鍵を設定可能であるよう共有する鍵情報共有手段と、
前記同一権限領域内にある複数のファイルまたはファイル管理領域間で、前記複数の鍵情報の中でどのような鍵を用いた認証が必要であるかの指定を行うところのアクセス制御情報共有処理手段と、
前記複数の鍵情報の中でどのような鍵を用いた認証が必要であるかの指定を行うところのアクセス制御情報に基づいて認証処理を行い、認証が成功したか否かに関する結果を保持管理し、当該認証に使用した鍵とアクセス制御情報を共有する同一権限領域内にあるファイルまたはファイル管理領域間にて該認証状態を共有する認証状態共有処理手段と、
認証およびアクセス制御に対する最大試行回数を登録し、試行回数が最大試行回数を超過した場合に、同一権限領域内にあるファイルまたはファイル管理領域へのアクセスを拒絶する、または管理者により強制的に該同一権限領域内にあるファイルまたはファイル管理領域へのアクセスを拒絶するためのファイルまたはファイル管理領域の開閉状態を管理するところの閉塞情報管理制御を行い、同閉塞情報を同一権限領域内にある複数のファイルまたはファイル管理領域間で共有する閉塞情報共有手段と
を特徴とするICカードセキュリティ処理装置。 In an IC card with multiple authority management areas,
Based on multiple keys such as password, common key or secret key set between files in the same authority area or between file management areas, authentication by password authentication, common key authentication, public key authentication, IC card terminal In accordance with the command type sent by, the accelerator control for specifying what key is required to be authenticated among the plurality of keys in order to determine whether the command can be executed or not. An IC card security processing device to perform,
Key information sharing for sharing the plurality of key information among a plurality of files or a plurality of management areas in the same authority area so that the same user can set the same key between the plurality of files or the file management areas Means,
Access control information sharing processing means for designating what key is required for authentication among the plurality of key information among a plurality of files or file management areas in the same authority area When,
Performs authentication processing based on access control information for specifying what key is required for authentication among the plurality of key information, and holds and manages the result regarding whether or not the authentication is successful Authentication status sharing processing means for sharing the authentication status between files or file management areas in the same authority area that shares the access control information with the key used for the authentication,
The maximum number of attempts for authentication and access control is registered, and when the number of attempts exceeds the maximum number of attempts, access to a file or file management area within the same authority area is denied, or the administrator forcibly perform occlusion information management control where to manage the opening and closing state of the file or file management area to deny access to the file or file management area in the same rights within the region, a plurality in the same occlusion information in the same authority area IC card security processing device, characterized in that: a block information sharing means for sharing between files or file management areas.
同一権限領域内にあるファイルまたはファイル管理領域間に設定された複数の、パスワード、共通鍵または秘密鍵などの鍵に基づいて、パスワード認証、共通鍵認証、公開鍵認証による認証や、ICカード端末により送付されたコマンド種別に応じて、該コマンドの実行可否を判断するために、前記複数の鍵の中でどのような鍵を用いた認証が必要であるかの指定を行うところのアクセル制御を行うICカードセキュリティ処理プログラムを記録した記録媒体であって、
同一権限領域内にある複数のファイルまたは複数の管理領域間で該複数の鍵情報を、同一利用者が複数のファイルまたはファイル管理領域間に同一の鍵を設定可能であるよう共有し、
前記同一権限領域内にある複数のファイルまたはファイル管理領域間で、前記複数の鍵情報の中でどのような鍵を用いた認証が必要であるかの指定を行うところのアクセス制御情報を共有し、
前記複数の鍵情報の中でどのような鍵を用いた認証が必要であるかの指定を行うところのアクセス制御情報に基づいて認証処理を行い、認証が成功したか否かに関する結果を保持管理し、当該認証に使用した鍵とアクセス制御情報を共有する同一権限領域内にあるファイルまたはファイル管理領域間にて該認証状態を共有し、
認証およびアクセス制御に対する最大試行回数を登録し、試行回数が最大試行回数を超過した場合に、同一権限領域内にあるファイルまたはファイル管理領域へのアクセスを拒絶する、または管理者により強制的に該同一権限領域内にあるファイルまたはファイル管理領域へのアクセスを拒絶するためのファイルまたはファイル管理領域の開閉状態を管理するところの閉塞情報管理制御を行い、同閉塞情報を同一権限領域内にある複数のファイルまたはファイル管理領域間で共有すること
を特徴とするICカードセキュリティ処理プログラムを記録した記録媒体。 In an IC card with multiple authority management areas,
Based on multiple keys such as password, common key or secret key set between files in the same authority area or between file management areas, authentication by password authentication, common key authentication, public key authentication, IC card terminal In accordance with the command type sent by, the accelerator control for specifying what key is required to be authenticated among the plurality of keys in order to determine whether the command can be executed or not. A recording medium recording an IC card security processing program to be performed,
Sharing the plurality of key information among a plurality of files or a plurality of management areas in the same authority area so that the same user can set the same key between the plurality of files or the file management areas,
The access control information for specifying what key is required for authentication among the plurality of key information is shared between a plurality of files or file management areas in the same authority area. ,
Performs authentication processing based on access control information for specifying what key is required for authentication among the plurality of key information, and holds and manages the result regarding whether or not the authentication is successful And sharing the authentication status between files or file management areas in the same authority area that shares the access control information with the key used for the authentication,
Register the maximum number of attempts for authentication and access control, when the number of trials has exceeded the maximum number of attempts, the file or to deny access to the file management area located in the same rights within the region, or forcibly by the administrator perform occlusion information management control where to manage the opening and closing state of the file or file management area to deny access to the file or file management area located in the same rights within the region, certain the occlusion information in the same authority area A recording medium on which an IC card security processing program is recorded, which is shared among a plurality of files or file management areas.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP22169999A JP4084507B2 (en) | 1999-08-04 | 1999-08-04 | IC card security processing method and apparatus, and recording medium recording IC card security processing program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP22169999A JP4084507B2 (en) | 1999-08-04 | 1999-08-04 | IC card security processing method and apparatus, and recording medium recording IC card security processing program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2001052122A JP2001052122A (en) | 2001-02-23 |
| JP4084507B2 true JP4084507B2 (en) | 2008-04-30 |
Family
ID=16770901
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP22169999A Expired - Lifetime JP4084507B2 (en) | 1999-08-04 | 1999-08-04 | IC card security processing method and apparatus, and recording medium recording IC card security processing program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4084507B2 (en) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1973483B (en) | 2004-10-19 | 2011-01-12 | 松下电器产业株式会社 | Communication apparatus and authenticating method |
| JP5038918B2 (en) * | 2008-01-15 | 2012-10-03 | 株式会社東芝 | Portable electronic device and method for controlling portable electronic device |
| JP2019121214A (en) * | 2018-01-09 | 2019-07-22 | 凸版印刷株式会社 | Method for issuing ic card medium, ic card medium, and program thereof |
-
1999
- 1999-08-04 JP JP22169999A patent/JP4084507B2/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2001052122A (en) | 2001-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10178078B1 (en) | Secure digital credential sharing arrangement | |
| US5544246A (en) | Smartcard adapted for a plurality of service providers and for remote installation of same | |
| US8051052B2 (en) | Method for creating control structure for versatile content control | |
| US8504849B2 (en) | Method for versatile content control | |
| KR101213118B1 (en) | Memory System with versatile content control | |
| EP2442204B1 (en) | System and method for privilege delegation and control | |
| US8601283B2 (en) | Method for versatile content control with partitioning | |
| US8548923B2 (en) | Method and system for facilitating data access and management on a secure token | |
| US7874492B2 (en) | Method and system for facilitating memory and application management on a secured token | |
| JP3808297B2 (en) | IC card system and IC card | |
| EP2284758A2 (en) | Versatile content control with partitioning | |
| US20100077214A1 (en) | Host Device and Method for Protecting Data Stored in a Storage Device | |
| US7103784B1 (en) | Group types for administration of networks | |
| US20060242150A1 (en) | Method using control structure for versatile content control | |
| EP1524581A1 (en) | IC card system | |
| US20060242151A1 (en) | Control structure for versatile content control | |
| US20120198538A1 (en) | Multi-enclave token | |
| US20060242066A1 (en) | Versatile content control with partitioning | |
| KR20110097802A (en) | Managing access to an address range in a storage device | |
| US20060242067A1 (en) | System for creating control structure for versatile content control | |
| US20030050962A1 (en) | Method and apparatus for securing information access | |
| CN109643356A (en) | It prevents phishing or extorts the method and system of software attacks | |
| JP4084507B2 (en) | IC card security processing method and apparatus, and recording medium recording IC card security processing program | |
| CN116842573A (en) | Hierarchical encryption privacy protection method based on blockchain | |
| US20030097582A1 (en) | Method and system for reducing personal security device latency |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050208 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050222 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050422 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20050809 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051007 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20051014 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20051104 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20060731 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20070119 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080215 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 4084507 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110222 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110222 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120222 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130222 Year of fee payment: 5 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| EXPY | Cancellation because of completion of term |