JP4095680B2 - カード型記憶装置用セキュリティ管理方法およびカード型記憶装置 - Google Patents

カード型記憶装置用セキュリティ管理方法およびカード型記憶装置 Download PDF

Info

Publication number
JP4095680B2
JP4095680B2 JP18015694A JP18015694A JP4095680B2 JP 4095680 B2 JP4095680 B2 JP 4095680B2 JP 18015694 A JP18015694 A JP 18015694A JP 18015694 A JP18015694 A JP 18015694A JP 4095680 B2 JP4095680 B2 JP 4095680B2
Authority
JP
Japan
Prior art keywords
access
transaction
card
error
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP18015694A
Other languages
English (en)
Other versions
JPH0844805A (ja
Inventor
弘 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to JP18015694A priority Critical patent/JP4095680B2/ja
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to EP99203269A priority patent/EP0973125B1/en
Priority to EP95401126A priority patent/EP0696016B1/en
Priority to DE69525577T priority patent/DE69525577T2/de
Priority to DE69529103T priority patent/DE69529103T2/de
Publication of JPH0844805A publication Critical patent/JPH0844805A/ja
Priority to US08/740,554 priority patent/US6012143A/en
Priority to US09/010,994 priority patent/US5845069A/en
Application granted granted Critical
Publication of JP4095680B2 publication Critical patent/JP4095680B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • G06Q20/206Point-of-sale [POS] network systems comprising security or operator identification provisions, e.g. password entry
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/357Cards having a plurality of specified features
    • G06Q20/3576Multiple memory zones on card
    • G06Q20/35765Access rights to memory zones
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0813Specific details related to card security
    • G07F7/082Features insuring the integrity of the data on or in the card

Description

【0001】
(目次)
産業上の利用分野
従来の技術(図14〜図17)
発明が解決しようとする課題(図18)
課題を解決するための手段(図1〜図4)
作用(図1〜図4)
実施例
(a)第1実施例の説明(図5〜図10)
(b)第2実施例の説明(図11〜図13)
発明の効果
【0002】
【産業上の利用分野】
本発明は、キャッシュレスカード,IDカード,健康カード,自治体カード等として用いられる例えばICカードのようなカード型記憶装置に適用されるもので、特に、カード型記憶装置に対するファイルアクセス時のセキュリティを管理・強化する方法と、その方法を実現するためのカード型記憶装置とに関する。
【0003】
近年、テレフォンカード等のプリペイドカードの偽造に代表されるようにカードの偽造犯罪やカードデータの捏造犯罪は増加する傾向にあり、カード単体に対しても、また、そのカードを用いるシステムにおいても、より高度で、より複雑なセキュリティ機能が要求されている。
特に、今後、普及が見込まれるICカードなどのカード型記憶装置(以下、カード型記憶媒体と呼ぶ場合がある)では、その内部に磁気カードの100倍以上のデータを保持しているため、情報漏洩や偽造・捏造を防止すべく、カード型記憶媒体単体に対しても、そのカード型記憶媒体を用いるシステムにおいても、セキュリティについて配慮することは極めて重要になっている。
【0004】
【従来の技術】
一般に、図14,図15に示すように、ICカード(カード型記憶媒体)100は、マイクロプロセッサユニット(MPU)101とメモリ(ファイル領域;例えばEPROM/EEPROM)102とを内蔵され、端子部103を介して図示しない取引装置(外部装置)に接続されるようになっている。
【0005】
ここで、メモリ102には、データファイルを保持するデータ領域と、このデータ領域のデータファイルについての制御情報(ポインタ等)を保持するディレクトリ領域とがそなえられ、MPU101により、ディレクトリ領域における制御情報に基づいてメモリ102のデータ領域におけるデータファイルが管理される。
【0006】
例えば、MPU101は、外部の取引装置から端子部103を介してアクセスコマンドを受けると、そのアクセスコマンドに応じてメモリ102に対する読出処理(リードアクセス),書込処理(ライトアクセス),消去処理(イレーズアクセス),再書込処理(リライトアクセス)等を実行する。
なお、MPU101内には、制御動作を行なうためのプログラムを保持するROM101Aのほか、制御動作を行なう際のワークエリアとして用いられるRAM101Bがそなえられている。また、ISO型のICカード100の場合、その端子部103には、8個の接点(VCC,RST,CLS,RFU,GND,VPP,I/O,RFU)がそなえられている。
【0007】
ところで、このようなICカード100においては、メモリ102に磁気カードの100倍以上のデータが保持されており、そのデータの漏洩やそのデータに対する偽造・捏造を防止するために、一般に、アクセス資格(アプリケーションの資格)と、そのアクセス資格に対応したアクセス権とによりセキュリティチェックが行なわれている。
【0008】
例えば、ICカード100のメモリ102に、アクセス資格およびアクセス権がセキュリティ基本情報として予め保持されている。アクセス資格は、例えば、カード発行者,カード所持者,アプリケーション提供者,サービス実行者,サービス提供者等で、外部の取引装置(アプリケーション)からICカード100に対してアクセスコマンドを発する者の資格を確認するためのものである。また、アクセス権(リード権,ライト権等)は、メモリ102に保持されるデータファイル毎に前記アクセス資格に応じて設定されるもので、各アクセス資格を有する者が各データファイルに対して行なうことのできるアクセス処理を規定している。
【0009】
そして、図16に示すように、ICカード100のメモリ102に格納されるデータファイルに対して、外部の取引装置(アプリケーションA)110からアクセスする際には、まず、セレクトコマンド(Select)により、ICカード100のメモリ102のデータファイルのうちアクセス対象となるデータファイルの選択・確定を行なってから、ベリファイコマンド(Verify)により、このデータファイルにアクセスするためのアクセス資格の認証を行なう。この認証処理は、取引装置110から送られる認証コードに基づいて行なわれる。この後、取引装置110からアクセスコマンド(Read Record/Write Record)を受けると、そのアクセスコマンドが、認証されたアクセス資格に対しアクセス権として予め許可されているアクセス種(読出,書込等)であるか否かの確認を行なっている。
【0010】
上述のようなアクセス資格およびアクセス権によるセキュリティチェックについて、図17を参照しながら、より具体的に説明する。ここで、図17に示すように、ICカード100に、メモリ102内のあるデータファイルに対するリード権(アクセス権)として、サービス提供者,カード発行者,サービス実行者,カード所持者のそれぞれに“OK”,“OK”,“NG”,“NG”が設定されているものとする。つまり、サービス提供者,カード発行者については当該データファイルに対するリード処理を行なうことができる。
【0011】
このようなリード権の設定状態で、図17に示すように、サービス提供者のアクセス資格で動作するアプリケーションがリードコマンド(READ)を発行した場合、ICカード100において当該データファイルに対応するリードのアクセス権は、サービス提供者について“OK”と設定されているので、当該データファイルへのリードアクセスが許可されることになる。
【0012】
一方、図17に示すように、サービス実行者のアクセス資格で動作するアプリケーションがリードコマンドを発行した場合、当該データファイルに対応するリードのアクセス権は、サービス実行者について“NG”と設定されているので、当該データファイルへのリードアクセスはリジェクトされることになる。このような形で、ファイルアクセス時のセキュリティが確保されている。
【0013】
【発明が解決しようとする課題】
上述したように、従来のICカード(カード型記憶媒体)においては、その内部のデータファイルにアクセスする際のセキュリティを、アクセス資格とアクセス権との2点で確保しているが、これらのアクセス資格とアクセス権との関係の情報が外部に漏洩した場合、不正なアプリケーションは、容易にICカード内のデータに対してアクセスすることが可能である。このため、万一、アクセス資格とアクセス権との関係の情報が外部に漏洩した場合や、不当にアクセス資格およびアクセス権の情報を入手された場合にも、不正なアプリケーションからのアクセスを防止できるようにして、ICカードのファイルアクセス時のセキュリティ機能をより高めることが望まれている。
【0014】
ところで、通常のICカードシステムでは、ICカードとアプリケーションとの取引時の対応関係が1対1であるが、ユーザニーズが益々多様化し高度化していくに伴い、1枚のICカードを複数のアプリケーションが同時に使用するシステム形態も出現してきている。このようなシステムでは、現在のICカードが有しているセキュリティ機能では不充分であり、ICカード内でアプリケーションを管理し、複数アプリケーションの同時アクセスを考慮したセキュリティ機能が必要になってくる。
【0015】
つまり、図16により説明したように、従来のコマンド処理においては各コマンドが同一のアプリケーション(図16ではアプリケーションA)から発行されることを前提としているため、また、アクセス資格およびアクセス権によるセキュリティチェックしか行なっていないため、コマンドを発行したアプリケーションを特定することができない。
【0016】
従って、1枚のICカードに対して複数のアプリケーションが同時にアクセス可能なシステムにおいては、図18に示すように、アプリケーションAからのセレクトコマンドおよびベリファイコマンドによりアクセス対象のデータファイルの選択/確定およびアクセス資格の認証を行なった後に、他のアプリケーションBから当該データファイルに対してアクセスコマンドが発行されると、従来のICカード100内におけるコマンド処理では同一のアプリケーションからのアクセスコマンドと見なして当該アクセスコマンドを受け付けてしまうので、アプリケーションBが当該データファイルに対してアクセス可能になり、不正なアクセスが行なわれるおそれがある。
【0017】
上述した従来のICカードについてのセキュリティ機能上の課題は、以下の2点にまとめることができる。
(a)現状のセキュリティ機能では、不正なアプリケーションがセキュリティ情報(アクセス資格,アクセス権)を不当に入手した場合、データファイルへの不当なアクセスが可能になってしまう。
【0018】
(b)1枚のICカードに対して複数のアプリケーションが同時にアクセス可能なシステムでは、アクセス対象のデータファイルの確定処理後に、別のアプリケーションがそのデータファイルへの不当なアクセスを試みた場合、その不当なアクセスが可能になってしまう。
本発明は、このような課題に鑑み創案されたもので、1回の取引毎のセキュリティ管理を行ないファイルアクセス時のセキュリティ強度の向上をはかるとともに、コマンドを発行したアプリケーションを特定可能にして一つのデータファイルに対し別々のアプリケーションからアクセス処理が行なわれるのを防止した、カード型記憶装置用セキュリティ管理方法およびカード型記憶装置を提供することを目的とする。
【0019】
【課題を解決するための手段】
図1は本発明の原理ブロック図で、この図1に示すカード型記憶装置(以下の説明および図中では、カード型記憶媒体という)1Aは、記憶部2Aおよび制御部3Aをそなえて構成されている。記憶部2Aは、データファイルを保持するデータ領域と、このデータ領域のデータファイルについての制御情報を保持するディレクトリ領域とを有している。また、制御部3Aは、記憶部2Aのディレクトリ領域における制御情報に基づいて記憶部2Aのデータ領域におけるデータファイルを管理するものである。
【0020】
そして、本発明では、記憶部2Aのディレクトリ領域に、データファイルに対する1取引当たりのアクセス許容回数がデータファイルに対するアクセスの種類毎に予め設定されるほか、制御部3Aに、計数手段4A,比較手段5Aおよびエラー判断手段6Aがそなえられ、1回の取引毎のアクセス回数をチェックする構成になっている。
ここで、計数手段4Aは、図示しない外部装置(取引装置)との間で取引が開始されると、その取引開始後にその取引のために該取引装置から該データファイルに対して発行されたアクセスコマンドによるアクセス回数を各アクセスの種類毎に計数するものであり、比較手段(第1比較手段)5Aは、計数手段4Aにより計数されたアクセス回数と記憶部2Aのディレクトリ領域に予め設定されたアクセス許容回数とを比較するものであり、エラー判断手段6Aは、比較手段5Aによる比較の結果、アクセス回数がアクセス許容回数を超えた場合にエラーが発生したものと判断し、その取引を中断させるものである。
【0021】
図2は本発明の関連技術としての原理ブロック図で、この図2に示すカード型記憶媒体1Bも、図1に示したものと同様の機能をもつ記憶部2Bおよび制御部3Bをそなえて構成されているが、ここでは、記憶部2Bのディレクトリ領域に、データファイルに対する1取引当たりのアクセス許容時間が予め設定されるほか、制御部3Bに、計時手段4B,比較手段5Bおよびエラー判断手段6Bがそなえられ、アクセス回数に代えて1回の取引毎にアクセス時間をチェックする構成になっている。
【0022】
ここで、計時手段4Bは、図示しない外部装置(取引装置)との間で取引が開始されると、その取引開始後の経過時間をデータファイルに対するアクセス時間として計時するものであり、比較手段(第2比較手段)5Bは、計時手段4Bにより計時されたアクセス時間と記憶部2Bのディレクトリ領域に予め設定されたアクセス許容時間とを比較するものであり、エラー判断手段6Bは、比較手段5Bによる比較の結果、アクセス時間がアクセス許容時間を超えた場合にエラーが発生したものと判断し、その取引を中断させるものである。
【0023】
図3は本発明の原理ブロック図で、この図3に示すカード型記憶媒体1Cも、図1に示したものと同様の記憶部2Cおよび制御部3Cをそなえて構成されているが、記憶部2Cのディレクトリ領域に、データファイルに対する1取引当たりのアクセス許容回数がデータファイルに対するアクセスの種類毎に予め設定されるとともに、1取引当たりのアクセス許容時間が予め設定されるほか、制御部3Cには、前述したものと同様の機能をもつ計数手段4A,計時手段4B,第1比較手段5Aおよび第2比較手段5Bがそなえられるとともに、エラー判定手段6Cがそなえられ、1回の取引毎にアクセス回数およびアクセス時間の両方をチェックする構成になっている。
【0024】
ここで、エラー判定手段6Cは、第1比較手段5Aによる比較の結果、アクセス回数がアクセス許容回数を超えた場合、もしくは、第2比較手段5Bによる比較の結果、アクセス時間がアクセス許容時間を超えた場合にエラーが発生したものと判断し、その取引を中断させるものである。
なお、データファイルが記憶部2A,2Cに複数保持されている場合、アクセス許容回数を各データファイル毎に記憶部2A,2Cのディレクトリ領域に予め設定しておき、計数手段4Aが、各データファイル毎にアクセス回数を計数するように構成してもよい。
【0025】
また、各制御部3A〜3Cに、エラー判断手段6A〜6Cによりエラーが発生したものと判断した場合に外部装置へエラー通知を行なうエラー通知手段をそなえてもよい。
さらに、各制御部3A〜3Cに、エラーの発生回数を累積する累積手段と、この累積手段によるエラー発生回数の累積結果と記憶部2A〜2Cのディレクトリ領域に予め設定したエラー発生許容回数とを比較するエラー発生回数比較手段と、このエラー発生回数比較手段による比較の結果、エラー発生回数がエラー発生許容回数を超えた場合に非活性化状態に切り換える非活性化手段とをそなえてもよい。このとき、エラー発生回数比較手段による比較の結果、エラー発生回数がエラー発生許容回数を超えた場合に、前記エラー通知手段が外部装置へエラー通知を行なうように構成してもよい。
【0026】
図4は本発明の関連技術としての原理ブロック図で、この図4において、11はカード型記憶媒体で、このカード型記憶媒体11も、図1により前述したものと同様の機能をもつ記憶部12および制御部13をそなえて構成されている。また、21は取引装置で、カード型記憶媒体11に対してアクセスし、カード型記憶媒体11との取引を実行するものである。
【0027】
そして、本発明において、カード型記憶媒体11の制御部13には、固有識別子生成手段14,固有識別子通知手段15,第1比較手段16および第1判断手段17がそなえられている。
ここで、固有識別子生成手段14は、取引装置(外部装置)21との間で取引が開始され、取引装置21のアクセス対象のデータファイルが確定すると、カード型記憶媒体11にアクセスを行なった取引装置21を特定可能にするための固有識別子を生成するものであり、固有識別子通知手段15は、固有識別子生成手段14により生成された固有識別子を取引装置21に通知するものである。
【0028】
また、第1比較手段16は、取引装置21からのアクセスコマンドに付与された固有識別子と、その取引のために固有識別子生成手段14により生成した固有識別子とを比較するものであり、第1判断手段17は、第1比較手段16による比較の結果、これらの固有識別子が一致した場合に取引装置21からのアクセスコマンドがその取引についてのものであると判断し、取引装置21からのアクセスコマンドに応じた処理を実行するものである。
【0029】
一方、本発明の取引装置21には、通知手段22がそなえられている。この通知手段22は、カード型記憶媒体11におけるアクセス対象のデータファイルが確定しカード型記憶媒体11にアクセスを行なった取引装置21を特定可能にするための固有識別子をカード型記憶媒体11から通知されると、その取引の終了時まで、固有識別子を付与したアクセスコマンドをカード型記憶媒体11に通知するものである。
【0030】
なお、カード型記憶媒体11の制御部13に、固有識別子生成手段14によりその取引のために生成した固有識別子を第1暗号キーにより暗号化する暗号化手段をそなえ、固有識別子通知手段15が、暗号化手段により暗号化して得られた暗号文固有識別子を取引装置21に通知するように構成してもよい。この場合、取引装置21に、暗号文固有識別子を第1暗号キーにより復号化する復号化手段をそなえる。
【0031】
また、固有識別子通知手段15が、暗号化手段により暗号化して得られた暗号文固有識別子とともに、暗号化前の平文固有識別子を取引装置21に通知するように構成してもよい。この場合、取引装置21に、復号化手段により復号化して得られた復号文固有識別子とカード型記憶媒体11からの平文固有識別子とを比較する比較手段と、この比較手段による比較の結果、これらの固有識別子が一致する場合にカード型記憶媒体11が正当なものであると判断し、カード型記憶媒体に対するアクセス処理を続行する判断手段とをそなえることができる。
【0032】
さらに、取引装置21に、カード型記憶媒体11からの固有識別子を第2暗号キーにより暗号化する暗号化手段をそなえ、通知手段22が、暗号化手段により暗号化して得られた暗号文固有識別子をアクセスコマンドに付与してカード型記憶媒体11に通知するように構成してもよい。この場合、カード型記憶媒体11の制御部13に、暗号文固有識別子を第2暗号キーにより復号化する復号化手段をそなえ、第1比較手段16が、復号化手段により復号化して得られた復号文固有識別子と、固有識別子生成手段14によりその取引のために生成した固有識別子との比較を行なうように構成する。
【0033】
そして、取引装置21の通知手段22は、暗号化手段により暗号化して得られた暗号文固有識別子とともに、暗号化前の平文固有識別子をカード型記憶媒体11に通知してもよく、この場合、カード型記憶媒体11の制御部13に、復号化手段により復号化して得られた復号文固有識別子と外部装置からの平文固有識別子とを比較する第2比較手段と、この第2比較手段による比較の結果、これらの固有識別子が一致した場合に取引装置21からのアクセスコマンドが正当なものであると判断し処理を続行する第2判断手段とをそなえることができる。
【0034】
またさらに、カード型記憶媒体11の制御部13に、第1比較手段15もしくは第2比較手段による固有識別子の比較結果が不一致である場合に取引装置21からのアクセスコマンドに対する応答としてエラー通知を行なうエラー通知手段をそなえてもよい。
【0035】
【作用】
図1により上述した本発明のカード型記憶媒体1Aでは、取引装置(外部装置)との間で取引が開始されると、その取引開始以降、計数手段4Aにより、取引装置からデータファイルに対するアクセス回数が各アクセスの種類毎に計数され、比較手段5Aにより、そのアクセス回数とデータファイルに対するアクセスの種類毎に予め設定されているアクセス許容回数とが比較される。
【0036】
そして、比較手段5Aによる比較の結果、アクセス回数がアクセス許容回数を超えた場合、エラー判断手段6Aにより、エラーが発生したものと判断され、その取引が中断される。つまり、1回の取引毎のアクセス回数をチェックすることにより、カード型記憶媒体1Aに対して必要回数以上のアクセスが行なわれたと判断した場合にその取引を中断させることができる。また、アクセスの種類毎にアクセス回数を計数することにより、アクセスの種類毎にアクセス回数のチェックを行なうことができる。
【0037】
また、図2により上述した本発明の関連技術としてのカード型記憶媒体1Bでは、前記アクセス回数に代えてアクセス時間をチェックするもので、取引装置(外部装置)との間で取引が開始されると、その取引開始以降、計時手段4Bにより、取引装置からデータファイルに対するアクセス時間が計時され、比較手段5Bにより、そのアクセス時間と予め設定されているアクセス許容時間とが比較される。
【0038】
そして、比較手段5Bによる比較の結果、アクセス時間がアクセス許容時間を超えた場合、エラー判断手段6Bにより、エラーが発生したものと判断され、その取引が中断される。つまり、1回の取引毎のアクセス時間をチェックすることにより、カード型記憶媒体1Bに対して必要時間以上に亘って取引が行なわれていると判断した場合にその取引を中断させることができる。
【0039】
さらに、図3により上述した本発明のカード型記憶媒体1Cでは、アクセス回数およびアクセス時間の両方をチェックするもので、取引装置(外部装置)との間で取引が開始されると、その取引開始以降、計数手段4Aにより取引装置からデータファイルに対するアクセス回数が各アクセスの種類毎に計数されるとともに、計時手段4Bにより取引装置からデータファイルに対するアクセス時間が計時される。
【0040】
そして、第1比較手段5Aによりアクセス回数とデータファイルに対するアクセスの種類毎に予め設定されたアクセス許容回数とが比較されるとともに、第2比較手段5Bによりアクセス時間と予め設定されたアクセス許容時間とが比較され、第1比較手段5Aによる比較の結果、アクセス回数がアクセス許容回数を超えた場合、もしくは、第2比較手段5Bによる比較の結果、アクセス時間がアクセス許容回数を超えた場合に、エラー判断手段6Cにより、エラーが発生したものと判断され、その取引が中断される。
【0041】
つまり、1回の取引毎のアクセス回数およびアクセス時間をチェックすることにより、カード型記憶媒体1Cに対して必要回数以上のアクセスが行なわれたと判断した場合、および、カード型記憶媒体1Cに対して必要時間以上に亘って取引が行なわれていると判断した場合のいずれの場合にも、その取引を中断させることができる。
【0042】
なお、データファイルが記憶部2A,2Cに複数保持されている場合には、アクセス許容回数を各データファイル毎に予め設定し、データファイル毎にアクセス回数を計数することにより、データファイル毎にアクセス回数のチェックを行なうことができる。
【0043】
また、エラーが発生したと判断した場合に、取引装置(外部装置)へエラー通知を行なうことにより、カード型記憶媒体1A〜1Cに対してアクセスを行なった取引装置(外部装置)に、エラーが発生した旨を通知でき、取引装置側でエラー表示等やそれに準じた処理を行なうことができる。
さらに、累積したエラー発生回数と予め設定したエラー発生許容回数とを比較し、エラー発生回数がエラー発生許容回数を超えた場合にカード型記憶媒体を非活性化状態(ロック状態)にすることにより、エラー発生回数によるチェックを行なうことができ、エラー発生回数が多いカード型記憶媒体については、そのカード型記憶媒体自体を非活性化に切り換え、以降、外部からのアクセスを一切受け付けないようにすることができる。
【0044】
このとき、エラー発生回数がエラー発生許容回数を超えた場合に取引装置(外部装置)へエラー通知を行なうことにより、カード型記憶媒体1A〜1Cに対してアクセスを行なった取引装置(外部装置)に、当該カード型記憶媒体1A〜1Cが非活性化状態になった旨を通知でき、取引装置側でエラー表示等やそれに準じた処理を行なうことができる。
【0045】
図4により上述した本発明の関連技術としてのカード型記憶媒体11および取引装置21では、カード型記憶媒体11と取引装置21との間で取引が開始され、取引装置21のアクセス対象のデータファイルが確定すると、カード型記憶媒体11の固有識別子生成手段14により、その取引のための固有識別子が生成され、その固有識別子が、固有識別子通知手段15により取引装置21に通知される。
【0046】
固有識別子を通知された取引装置21では、その取引を終了するまで、通知手段22により、アクセスコマンドがその固有識別子を付与した状態でカード型記憶媒体11に通知される。
そして、カード型記憶媒体11では、第1比較手段16により、取引装置21からのアクセスコマンドに付与された固有識別子と、その取引のために生成した固有識別子とが比較され、第1比較手段16による比較の結果、これらの固有識別子が一致する場合、第1判定手段17により、取引装置21からのアクセスコマンドがその取引についてのものであると判断され、取引装置21からのアクセスコマンドに応じた処理が実行される。
【0047】
つまり、データファイル確定時に生成された固有識別子は、データファイル確定処理を行なった取引装置のみが知り得るものであり、また、1回の取引の間、取引装置21からのアクセスコマンドにその固有識別子が常に付与されることになるので、その固有識別子を参照することにより、カード型記憶媒体11にアクセスを行なった取引装置21を特定することができる。
【0048】
なお、固有識別子を第1暗号キーにより暗号化してから、その暗号文固有識別子を固有識別子通知手段15により取引装置21に通知し、取引装置21側で、カード型記憶媒体11からの暗号文固有識別子を第1暗号キーにより復号化することにより、カード型記憶媒体11から取引装置21へ固有識別子を通知する間にその固有識別子がそのまま漏洩するのを防止できるほか、取引を終了するまでは、カード型記憶媒体11と同じ第1暗号キーをもつ取引装置21以外からのカード型記憶媒体11に対するアクセスを禁止することができる。
【0049】
また、第1暗号キーによる暗号文固有識別子とともに暗号化前の平文固有識別子をカード型記憶媒体11から取引装置21に通知し、取引装置21側で、第1暗号キーによりカード型記憶媒体11からの暗号文固有識別子を復号化し、復号化して得られた復号文固有識別子とカード型記憶媒体11からの平文固有識別子とを比較することにより、取引装置21に対して固有識別子を通知したカード型記憶媒体11が正当なものであるか否かを判断でき、これらの固有識別子が一致する場合にのみ、取引装置21からカード型記憶媒体11に対するアクセス処理を続行して行なうことができる。
【0050】
さらに、取引装置21側で、カード型記憶媒体11からの固有識別子を第2暗号キーにより暗号化してから、その暗号文固有識別子を、取引装置21のカード型記憶媒体11に対するアクセスコマンドに付与し、カード型記憶媒体11側で、取引装置21からの暗号文固有識別子を第2暗号キーにより復号化してから、その復号文固有識別子とその取引のために生成した固有識別子との比較を行なうことにより、取引装置21からカード型記憶媒体11へ固有識別子を通知する間にその固有識別子がそのまま漏洩するのを防止できるほか、取引を終了するまでは、カード型記憶媒体11と同じ第2暗号キーをもつ取引装置21以外からのカード型記憶媒体11に対するアクセスを禁止することができる。
【0051】
そして、第2暗号キーによる暗号文固有識別子とともに暗号化前の平文固有識別子を取引装置21からカード型記憶媒体11に通知し、カード型記憶媒体11側で、第2暗号キーによりカード型記憶媒体11からの暗号文固有識別子を復号化し、復号化して得られた復号文固有識別子と取引装置21からの平文固有識別子とを比較することにより、カード型記憶媒体11に対して固有識別子を通知した取引装置21からのアクセスコマンドが正当なものであるか否かを判断でき、これらの固有識別子が一致する場合にのみ、取引装置21からのアクセスコマンドによるアクセス処理を続行して行なうことができる。
【0052】
このとき、カード型記憶媒体11における固有識別子の比較結果が不一致である場合に、取引装置21からのアクセスコマンドに対する応答としてエラー通知を行なうことにより、カード型記憶媒体11に対してアクセスを行なった取引装置21に、エラーが発生した旨を通知でき、取引装置21側でエラー表示等やそれに準じた処理を行なうことができる。
【0053】
【実施例】
以下、図面を参照して本発明の実施例を説明する。
(a)第1実施例の説明
図5は本発明の第1実施例(関連技術)としてのカード型記憶媒体(カード型記憶装置)の構成を示すブロック図であり、この図5において、30はICカード(カード型記憶装置)で、このICカード30には、制御部としてのマイクロプロセッサユニット(MPU)31と、記憶部としてのメモリ(ファイル領域;例えばEPROM/EEPROM)32とが内蔵されており、このICカード30は、図14,図15により前述した端子部(図5には図示せず)を介して図示しない外部装置(上位装置,取引装置,端末装置)に接続されるようになっている。
【0054】
ここで、メモリ32には、複数のデータファイル32Cを保持するデータ領域32Aと、このデータ領域32Aの各データファイル32Cについての制御情報(ポインタや後述するセキュリティ基本情報やセキュリティ付加情報等)を保持するディレクトリ領域32Bとがそなえられている。
また、MPU31は、ディレクトリ領域32Bにおける制御情報に基づいてメモリ32のデータ領域32Aにおける各データファイル32Cを管理するもので、外部装置からアクセスコマンドを受けると、そのアクセスコマンドに応じてメモリ32のデータファイル32Cに対する読出処理(リードアクセス),書込処理(ライトアクセス),消去処理(イレーズアクセス),再書込処理(リライトアクセス)等を実行するものである。
【0055】
そして、本実施例のMPU31は、制御動作を行なうためのプログラムを保持するROM33や、制御動作を行なう際のワークエリアとして用いられるRAM34を有するほか、図5に示すような機能構成を有している。即ち、MPU31には、通信制御部35,コマンド受付・振分部36,コマンド処理部37およびファイル管理部38がそなえられている。
【0056】
通信制御部35は、外部装置からのコマンドの受信処理(伝送ブロックの受信処理)を行なうとともに、ICカード30からコマンドを受けた外部装置へのレスポンスの送信処理(伝送ブロックの作成処理)を行なうものである。
コマンド受付・振分部36は、通信制御部35により外部装置からのコマンドを受信すると、そのコマンドを受け付け、コマンドに応じた振分を行なうものである。
【0057】
コマンド処理部37は、コマンド受付・振分部36によって振り分けられたコマンドを受け、そのコマンドに応じた処理を行なうもので、その構成および動作については後で詳述する。
ファイル管理部38は、コマンド処理部37とメモリ32との間に配置され、物理アドレス変換を行なって、コマンド処理部37とメモリ32との間のインターフェイス部として機能するものである。
【0058】
また、コマンド処理部37は、パラメータチェック部41,セキュリティ基本チェック部42,セキュリティ付加チェック部43およびファイルアクセス部44として機能する部分を有して構成されている。
ここで、パラメータチェック部41は、外部装置からのアクセスコマンドにおける各種パラメータについてのチェックを行なうものであり、セキュリティ基本チェック部42は、パラメータチェック部41によるチェックの結果、問題がなかった場合に、後述するように、従来と同様の手順によりセキュリティ基本情報に基づいてセキュリティ基本チェックを行なうものである。
【0059】
セキュリティ付加チェック部43は、セキュリティ基本チェック部42によるチェックの結果、問題がなかった場合に、後述するように、セキュリティ付加情報に基づいてセキュリティ付加チェックを行なうものである。そして、ファイルアクセス部44は、セキュリティ付加チェック部43によるチェックの結果、問題がなかった場合に、外部装置からのアクセスコマンドに応じてメモリ32に対するアクセス(ファイルアクセスブロック/チェイニングブロックの作成)を行なうものである。
【0060】
ところで、本実施例のメモリ32における論理構造は、図7に示すようになっている。即ち、ディレクトリ領域32Bは、さらに、全てのデータファイル32Cを管理するマスタディレクトリ領域32Dと、各データファイル32C毎にそなえられ各データファイル32Cにおける複数のファイル32Fを管理するサブディレクトリ領域32Eとから構成されている。
【0061】
マスタディレクトリ領域32Dには、このマスタディレクトリ領域32Dを管理する管理部と、各データファイル32Cのアドレスを示すポインタとが格納されるほか、各ポインタとともに各データファイル32Cについてのセキュリティ基本情報(アクセス資格毎のアクセス権)が格納されるほか、エラー発生許容回数がセキュリティ付加情報として格納されている。
【0062】
また、各データファイル32Cにおけるサブディレクトリ領域32Eには、各データファイル32Cにおけるファイル32Fのアドレスを示すポインタが格納されるほか、各ポインタとともに各ファイル32Fについてのセキュリティ付加情報が格納されている。
ここで、サブディレクトリ領域32Eに格納されるセキュリティ付加情報としては、アクセス許容回数およびトランザクション許容時間が設定されており、例えば図6,図7に示すように、1回の正当なトランザクション(取引)で発生すると考えられるアクセスの回数が、当該ファイル32Fに対するアクセス種別毎(例えばREAD,WRITE,ERASE,REWRITE等)に且つ各認証コード(アクセス資格)毎にアクセス許容回数として設定されるとともに、1回の正当なトランザクション処理に要する時間が、トランザクション許容時間(アクセス許容時間)として設定されている。
【0063】
一方、マスタディレクトリ領域32Dのセキュリティ基本情報は、前述したアクセス資格およびアクセス権であり、アクセス資格は、例えば、カード発行者,カード所持者,アプリケーション提供者,サービス実行者,サービス提供者等で、外部装置(アプリケーション)からICカード30に対してアクセスコマンドを発する者の資格を確認するためのものである。また、アクセス権(リード権,ライト権等)は、メモリ32に保持されるデータファイル32C毎に前記アクセス資格に応じて設定されるもので、各アクセス資格を有する者が各データファイル32Cに対して行なうことのできるアクセス処理を規定している。なお、リード権,ライト権の他に、イレーズ権,リライト権などもある。
【0064】
そして、セキュリティ基本チェック部42は、従来と同様に、外部装置のアクセス対象のデータファイル32C(ファイル32F)が選択・確定された後にベリファイコマンド(図16参照)を受けると、このデータファイル32Cにアクセスするためのアクセス資格の認証を行なうものである。
さらに、このセキュリティ基本チェック部42は、アクセス資格の認証後にアクセスコマンド(Read Record/Write Record等)を受けると、マスタディレクトリ領域32Dにおける当該データファイル32Cについてのセキュリティ基本情報に基づいて、そのアクセスコマンドが、認証されたアクセス資格に対しアクセス権として予め許可されているアクセス種(読出,書込等)であるか否かの確認を行なうものである。
【0065】
また、セキュリティ付加チェック部43は、セキュリティ基本チェック部42により当該アクセスコマンドが認証されたアクセス資格に対しアクセス権として許可されているものであると確認された場合に、マスタディレクトリ領域32Dおよびサブディレクトリ領域32Eにおける当該データファイル32C(ファイル32E)についてのセキュリティ付加情報に基づいてセキュリティ付加チェックを行なうものである。
【0066】
そして、本実施例のセキュリティ付加チェック部43は、アクセス回数カウンタ(計数手段)51,タイマ(計時手段)52,第1比較部53,第2比較部54,エラー判断部55,エラー通知部56,エラー発生回数累積カウンタ(累積手段)57,エラー発生回数比較部58および非活性化指示部(非活性化手段)59から構成されている。
【0067】
ここで、アクセス回数カウンタ51は、外部装置との間で取引が開始されると、当該取引開始後のアクセス回数を、アクセス対象のファイル32F毎に且つアクセスの種類毎に計数するもので、そのカウント値の格納領域はRAM34(ワークエリア)に確保されている。また、タイマ52は、当該取引開始後のデータファイル32C(ファイル32F)に対するアクセス時間を計時するものである。
【0068】
そして、第1比較部53は、アクセス回数カウンタ51により計数されたアクセス回数(RAM34のカウント値格納領域から読み出したもの)と、サブディレクトリ領域32Eに予め設定されたアクセス許容回数(ファイル32F,アクセス資格およびアクセス種別に対応するもの)とを比較するものである。また、第2比較部54は、タイマ52により計時されたアクセス時間と、サブディレクトリ領域32Eに予め設定されたアクセス許容時間(データファイル32Cに対応するもの)とを比較するものである。
【0069】
エラー判断部55は、第1比較部53による比較の結果、アクセス回数がアクセス許容回数を超えた場合、もしくは、第2比較部54による比較の結果、アクセス時間がアクセス許容時間を超えた場合にエラーが発生したものと判断して、当該取引を中断させるものであり、エラー通知部56は、エラー判断部55によりエラーが発生したものと判断した場合に外部装置へエラー通知を行なうものである。
【0070】
さらに、エラー発生回数累積カウンタ57は、エラー判断部55によりエラーが発生したものと判断した場合に、そのエラー発生回数をカウントアップするもので、そのカウント値の格納領域はRAM34(ワークエリア)に確保されている。また、エラー発生回数比較部58は、エラー発生回数累積カウンタ57により計数されたエラー発生回数(RAM34のカウント値格納領域から読み出したもの)と、マスタディレクトリ領域32Dに予め設定されたエラー発生許容回数とを比較するものである。
【0071】
そして、非活性化指示部59は、エラー発生回数比較部58による比較の結果、エラー発生回数がエラー発生許容回数を超えた場合に、このICカード30自体を非活性化状態(ロック状態)に切り換えるべく非活性化指示信号を出力するものである。
なお、非活性化状態になったICカード30を、再度、活性化状態にするためには、正規の手続きを踏まなければず、その正規の手続きを行なうまで、ICカード30は、外部からのアクセスを一切受け付けないようになっている。また、エラー通知部56は、エラー発生回数比較部58による比較の結果、エラー発生回数がエラー発生許容回数を超えた場合に、外部装置へエラー通知を行なうようになっている。
【0072】
上述のように、本実施例では、各データファイル32C(ファイル32F)に対するセキュリティ基本情報(アクセス資格,アクセス権)に加え、セキュリティ付加情報が併せてメモリ32のディレクトリ領域32Bに格納されているが、そのセキュリティ付加情報は、ICカード30を用いたシステムの設計段階で、データファイル32C(ファイル32F)毎で且つアクセス種別毎のアクセス許容回数およびトランザクション処理許容時間として算出され、ICカード30の発行時にディレクトリ領域32Bに設定される。セキュリティ付加情報は、正当なアプリケーション(取引装置)のみが満たすことができる条件である。
【0073】
そして、セキュリティ付加情報のICカード30内への設定には、創成系コマンド(Createコマンド)が使用される。通常、創成系コマンドでは、パラメータ指定により、ICカード30内のメモリ32に、データ領域32Aとこのデータ領域32Aを管理するディレクトリ領域32Bとが確保されるとともに、ディレクトリ領域32Bに、各データファイル32C(ファイル32F)へアクセスするためのポインタと、セキュリティ基本情報(アクセス資格,アクセス権)とが設定される。
【0074】
本実施例では、さらに、セキュリティ付加情報の項目(パラメータ)として、エラー発生許容回数と、トランザクション処理許容時間と、認証コード(アクセス資格)毎のアクセスコマンド(Read,Write等)の許容回数とを追加し、ディレクトリ領域32Bに、これらのセキュリティ付加情報を追加・設定する。
また、本実施例の創成系コマンドでは、アクセス回数カウンタ51およびエラー発生回数累積カウンタ57によるカウント値の格納領域をRAM34に確保して初期値‘00’hを設定する。なお、このRAM34におけるカウント値の格納領域は、ICカード30を外部装置(取引装置)におけるリーダ/ライタに挿入した際に行なわれるハードウエアリセットにより、初期値‘00’hにクリアされるようになっている。
【0075】
なお、本実施例のICカード30においては、セキュリティ付加情報を設定しないことにより、トランザクション毎のファイルアクセス回数チェックやトランザクション処理時間チェックがNOP(No Operation)になり、従来と同様のセキュリティ基本情報のみによるセキュリティレベルにすることができる。
次に、上述のごとく構成された本実施例のICカード30について、ファイルアクセス時のセキュリティ概念を図8により説明する。なお、ここでは、図8に示すように、ICカード30に、メモリ32内のあるファイル32Fに対するリード権(アクセス権)として、サービス提供者,カード発行者,サービス実行者,カード所持者のそれぞれに“OK”,“OK”,“NG”,“NG”が設定されているものとする。つまり、サービス提供者,カード発行者については当該ファイル32Fに対するリード処理を行なうことができる。
【0076】
このようなリード権の設定状態で、図8に示すように、サービス実行者のアクセス資格で動作するアプリケーションがリードコマンドを発行した場合、当該ファイル32Fに対応するリードのアクセス権は、サービス実行者について“NG”と設定されているので、セキュリティ基本チェック部42の機能により、当該ファイル32Fへのリードアクセスはリジェクトされることになる。
【0077】
これに対し、図8に示すように、サービス提供者のアクセス資格で動作するアプリケーションがリードコマンド(READ)を発行した場合、ICカード100において当該データファイルに対応するリードのアクセス権は、サービス提供者について“OK”と設定されているので、セキュリティ基本チェック部42の機能により、当該ファイル32Fへのリードアクセスが可能であると判断される。
【0078】
そして、従来の技術では上述のようにセキュリティ基本チェック部42により“OK”であると判断されると、直ちに当該ファイル32Fへのリードアクセスを許可していたが、本実施例では、次の段階として、セキュリティ付加チェック部43により、アクセス回数およびトランザクション処理時間のチェックを行なっている。
【0079】
図8において、矢印A1は、セキュリティ付加チェック部43によりセキュリティ付加情報に基づく条件が満たされたものと判断して当該ファイル32Fへのリードアクセスを許可した例を示し、矢印A2は、セキュリティ付加チェック部43によりセキュリティ付加情報に基づく条件が満たされなかったものと判断して当該ファイル32Fへのリードアクセスを許可しない例を示している。
【0080】
本実施例では、セキュリティ付加チェック部43のエラー判断部55により、今回のリードコマンドが、第1比較部53による比較結果(アクセス回数カウンタ51によるカウント値とアクセス許容回数との比較結果)に基づいて、取引を開始してからリードアクセスの許容回数範囲内に到来したものであると判断された場合、当該ファイル32Fへのリードアクセスが許可される。
【0081】
一方、今回のリードコマンドが、取引を開始してからリードアクセスの許容回数範囲を超えて到来したものである場合には、エラー判断部55によりエラーが発生したものと判断され、取引を中断し、エラー発生累積カウンタ57によるカウント値をカウントアップし、以下の処理を行なう。
まず、エラー発生回数比較部58により、エラー発生累積カウンタ57のカウント値とエラー発生許容回数とを比較し、〔カウント値〕<〔エラー発生許容回数〕であった場合には、エラー通知部56により、外部からのコマンドに対するレスポンスとしてエラー通知のみを行なう。一方、〔カウント値〕≧〔エラー発生許容回数〕であった場合には、非活性化指示部59により非活性化指示信号を出力して、このICカード30自体を非活性化状態(カードロック状態)にするとともに、エラー通知部56により、外部からのコマンドに対するレスポンスとしてエラー通知を行なう。ICカード30を非活性化状態に切り換えることにより、このICカード30は正規の手続きにより非活性化状態を解除しない限り、以降、使用不能となる。
【0082】
ところで、本実施例のICカード30において、セキュリティ付加情報としてトランザクション処理許容時間がサブディレクトリ領域32Eに設定されている場合には、ICカード30がリーダ/ライタ(図示せず)に挿入されてハードウエアリセットが掛かった時点で、タイマ52がクリアされて起動される。
そして、常時、セキュリティ付加チェック部43の第2比較部54によりタイマ52による計時値とトランザクション処理許容時間とが比較され、トランザクション処理許容時間の範囲でトランザクションが終了すれば、ICカード30を排出して取引を正常に終了する。
【0083】
しかし、タイマ52による計時値がトランザクション処理許容時間を超えた場合には、その時点でエラー判断部55によりエラーが発生したものと判断され、取引を中断し、エラー発生累積カウンタ57によるカウント値をカウントアップし、アクセス回数がアクセス許容回数を超えた場合と同様の処理を行なう。
つまり、エラー発生回数比較部58による比較の結果、〔カウント値〕<〔エラー発生許容回数〕であった場合には、エラー通知部56により、コマンドレスポンスとしてエラー通知のみを行なう一方、〔カウント値〕≧〔エラー発生許容回数〕であった場合には、非活性化指示部59により、ICカード30自体を非活性化状態(カードロック状態)にするとともに、エラー通知部56によりエラー通知を行なう。やはり、この場合も、ICカード30は正規の手続きにより非活性化状態を解除しない限り、以降、使用不能となる。
【0084】
このように、本実施例では、セキュリティ基本情報に基づいてセキュリティ基本チェック部42によるチェックが行なわれた後に、さらに、セキュリティ付加情報としてディレクトリ領域32Bに設定された条件のチェックをセキュリティ付加チェック部43により行なうことで、セキュリティを強化している。
ただし、ディレクトリ領域32Bにセキュリティ付加情報が設定されていない場合には、従来と同様に、セキュリティ基本情報に基づいてセキュリティ基本チェック部42によってチェックを行なうだけになる。
【0085】
さて、次に、本実施例のICカード30におけるファイルアクセス時の処理動作(アクセス回数チェック動作)を、図9に示すフローチャート(ステップS1〜S14)に従って説明する。
ICカード30が上位装置(リーダ/ライタ)に挿入されると、上位装置側からファイルオープン指令がICカード30へ送られ、まず、このICカード30がロック状態(非活性化状態)であるか否かを判断する(ステップS1)。
【0086】
ロック状態であれば(YES判定)、上位装置へエラー通知を行なって取引を開始しない一方、ロック状態でなければ(NO判定)、上位装置からのアクセス対象であるファイルについてファイルオープン処理を行なう(ステップS2)。そして、セキュリティ付加情報としてトランザクション処理許容時間が設定されている場合には、ハードウエアリセットによりタイマ52を起動させてから、正常に取引を開始する旨を上位装置へ通知する。
【0087】
このようにしてファイルオープンが行なわれると、上位装置から認証コードがICカード30に通知され、メモリ32からセキュリティ基本情報〔当該ファイルの認証コード(アクセス資格)〕を参照して(ステップS3)、セキュリティ基本チェック部42により、その認証コードのチェック、つまり、上位装置が当該ファイルに対してアクセスする資格のある者であるか否かのチェックを行なう(ステップS4)。認証コードが当該ファイルに適したものであれば(YES判定)、その旨を上位装置に通知して次の処理(ファイルアクセス処理)へ移行する一方、認証コードが当該ファイルに適したものでなければ(NO判定)、上位装置へエラー通知を行なって取引を終了する。
【0088】
認証コードチェック(アクセス資格チェック)の結果、認証コードが当該ファイルに適したものであれば、上位装置からファイルアクセスコマンドがICカード30に通知される。アクセスコマンドを受け付けると、ディレクトリ領域32Bからアクセス対象のファイル32Fをポインタに基づいてポイントするとともに、当該ファイル32Fに対応するセキュリティ基本情報を参照し(ステップS5)、セキュリティ基本チェック部42により、そのアクセス権のチェック、つまり、上位装置からのアクセスコマンドがその上位装置のアクセス資格について許可されているアクセス種であるか否かのチェックを行なう(ステップS6)。
【0089】
そのアクセスコマンドの種類が当該ファイルについて許可されていなければ(NO判定)、上位装置へエラー通知を行なって取引を終了する一方、そのアクセスコマンドの種類が当該ファイルについて許可されていれば(YES判定)、アクセス回数カウンタ51によるカウント値をカウントアップする(ステップS7)。
【0090】
そして、メモリ32からセキュリティ付加情報(当該ファイルについて設定されているアクセス資格,アクセス権に応じたアクセス許容回数)を参照するとともに、RAM34からアクセス回数カウンタ51のカウント値を参照して(ステップS8)、第1比較部53により、アクセス回数カウンタ51のカウント値とアクセス許容回数とを比較する(ステップS9)。その比較の結果、〔カウント値〕≦〔アクセス許容回数〕であった場合(YES判定の場合)、そのアクセスコマンドによるファイルアクセスが、ファイルアクセス部44により実行される(ステップS14)。
【0091】
第1比較部53による比較の結果、〔カウント値〕>〔アクセス許容回数〕であった場合(NO判定の場合)には、エラー判断部55によりエラーが発生したものと判断され、そのアクセスコマンドによる取引を中断するとともに、エラー発生累積カウンタ57によるカウント値をカウントアップする(ステップS10)。
【0092】
この後、メモリ32からセキュリティ付加情報(エラー発生許容回数)を参照するとともに、RAM34からエラー発生累積カウンタ57のカウント値を参照して(ステップS11)、エラー発生回数比較部58により、エラー発生累積カウンタ57のカウント値とエラー発生許容回数とを比較する(ステップS12)。その比較の結果、〔カウント値〕<〔エラー発生許容回数〕であった場合(YES判定の場合)には、エラー通知部56により、外部からのコマンドに対するレスポンスとしてエラー通知のみを行なう。
【0093】
一方、エラー発生回数比較部58による比較の結果、〔カウント値〕≧〔エラー発生許容回数〕であった場合(NO判定の場合)には、非活性化指示部59により非活性化指示信号を出力して、このICカード30自体を非活性化状態(カードロック状態)にしてから(ステップS12)、エラー通知部56により、外部からのコマンドに対するレスポンスとしてエラー通知を行なう。
【0094】
なお、図9中には記載していないが、セキュリティ付加情報としてトランザクション処理許容時間がサブディレクトリ領域32Eに設定されている場合には、前述したように、常時、セキュリティ付加チェック部43の第2比較部54によるタイマ52の計時値とトランザクション処理許容時間との比較を並行して行なう。そして、トランザクション処理許容時間の範囲でトランザクションが終了すれば、取引を正常に終了する一方、タイマ52の計時値がトランザクション処理許容時間を超えた時点で、エラー判断部55によりエラーが発生したものと判断し、取引を中断して、前述したステップS7〜S13の処理を行なう。
【0095】
以下に、より具体的な例について、図10(a),(b)を用いて説明する。なお、図10(a)は、本実施例を適用した場合の正当なアプリケーションの動作を説明するためのコマンドシーケンス図であり、図10(b)は、本実施例を適用した場合の不当なアプリケーションの動作を説明するためのコマンドシーケンス図である。また、ここでは、セキュリティ付加情報として、トランザクション毎のアクセス回数チェックについて説明する。
【0096】
そして、図10(a),(b)に示すように、ICカード30内のファイル32Fに残高およびその残高の有効期限がセットされているものとし、その有効期限内に残高分を使用しないと、その残高は無効になるというアプリケーションを考える。また、セキュリティ付加情報として、リードアクセス許容回数が1回、ライトアクセス許容回数が1回、エラー発生許容回数が1回と設定されているものとする。
【0097】
ここで、正当なアプリケーションAで動作する上位装置による処理は、図10(a)に示すように、リードアクセスコマンドによりICカード30から残高を読み込み、残高を更新してから、その残高を、ライトアクセスコマンドによりICカード30に書き込むという処理を行なっている。この場合、リードアクセス,ライトアクセスの各回数は1回であるので、正常に処理されることになる。
【0098】
一方、残高更新後に残高有効期限を不当に更新しようとする不当なアプリケーションA’で動作する上位装置による処理では、図10(b)に示すように、1回のトランザクションでリードアクセス,ライトアクセスをそれぞれ2回行なっており、セキュリティ付加情報として設定されているアクセス許容回数を超えてしまう。従って、残高有効期限に対する、リード/ライトの各アクセスはエラーとなり、取引は中断されてリジェクトされることになる。
【0099】
また、図10(b)に示す2回目の不正な書込み処理(残高有効期限の更新)により、エラー発生累積カウンタが2回となり、エラー発生許容回数をオーバすることになるため、この時点でICカード30が非活性化状態(カードロック状態)になり、以降の処理が全てリジェクトされることになる。例えば、このような非活性化状態で、再度、正常なアプリケーションを起動したとしても、処理が不可となる。
【0100】
このように、本発明の第1実施例によれば、ICカード30内のデータ領域32Aを管理しているディレクトリ領域32Bに、従来のセキュリティ基本情報に加えて、アクセス資格,アクセス権,ファイル毎に設定されるアクセス許容回数をセキュリティ付加情報としてもつことにより、トランザクション毎に、そのセキュリティ付加情報を使用してファイルへのアクセス回数チェックをICカード30内で行なうことにより、セキュリティ管理が行なわれる。
【0101】
従って、万一、アクセス資格とアクセス権との関係の情報が外部に漏洩した場合や、不当にアクセス資格およびアクセス権の情報を入手された場合にも、不正なアプリケーションからのアクセスを確実に防止でき、ファイルアクセス時のセキュリティチェックが大幅に強化される。
また、アクセス許容回数とトランザクション処理許容時間の両方を監視することにより、1回のトランザクションで、ICカード30に対して必要回数以上のアクセスが行なわれた場合、および、ICカード30に対して必要時間以上に亘って取引が行なわれた場合に、その取引を中断させることができるので、さらにセキュリティを強化することができる。
【0102】
さらに、ICカード30における1回のトランザクション中のエラー発生回数がエラー発生許容回数を超えた場合に、ICカード30が非活性化状態にされるので、外部からのアクセスを一切受け付けないようにすることができ、セキュリティ機能がさらに強化される。
そして、上述した各種チェックによりエラーが発生した場合や、カード型記憶媒体が非活性化された場合には、上位装置(リーダ/ライタ,取引装置,端末装置)へエラーレスポンスによるエラー通知が行なわれ、ICカード30に対してアクセスを行なった上位装置側では、エラー表示等やそれに準じた処理を行ない、そのエラーに対して直ちに対処することができる。
【0103】
上述したような本実施例のICカード30を、ICカード用リーダ/ライタを内蔵した端末装置、あるいは、独立したICカード用リーダ/ライタに接続された端末装置や、このような端末装置の上位装置(ホスト)などを含んで構成されるシステムに用いることにより、そのシステム全体のセキュリティを強化することができる。
【0104】
以上のように、本実施例によれば、セキュリティ基本情報、即ち、アクセス資格とその資格に対応するアクセス権とのセキュリティ基本情報にアクセス許容回数等の付加情報を絡めることにより、ICカード30を用いたシステムのセキュリティの強度を高めることができ、高度なセキュリティが要求されるシステム(キャッシュカード,クレジットカード等)のセキュリティ強度向上に寄与するところが大きい。
【0105】
なお、上述した第1実施例では、アクセス許容回数とトランザクション処理許容時間の両方をセキュリティ付加情報として設定し、アクセス回数チェックとトランザクション処理時間チェックとを並行して行なう場合について説明したが、これらのアクセス回数チェックまたはトランザクション処理時間チェックのいずれか一方のみを行なうようにしてもよい。
【0106】
(b)第2実施例の説明
図11は本発明の第2実施例としてのカード型記憶媒体(カード型記憶装置)および取引装置の構成を示すブロック図であり、この図11において、60はICカード(カード型記憶装置)で、このICカード60には、第1実施例のICカード30と同様に、制御部としてのマイクロプロセッサユニット(MPU)61と、記憶部としてのメモリ(ファイル領域;例えばEPROM/EEPROM)62とが内蔵されており、このICカード60は、図14,図15により前述した端子部(図11には図示せず)を介して、取引装置80に接続されるようになっている。
【0107】
ここで、メモリ62には、複数のデータファイル62Cを保持するデータ領域62Aと、このデータ領域62Aの各データファイル62Cについての制御情報を保持するディレクトリ領域62Bとがそなえられている。
また、MPU61は、ディレクトリ領域62Bにおける制御情報に基づいてメモリ62のデータ領域62Aにおける各データファイル32Cを管理するもので、外部装置からアクセスコマンドを受けると、そのアクセスコマンドに応じた処理を実行する機能を有している。
【0108】
そして、本実施例のMPU61は、制御動作を行なうためのプログラムを保持するROM63や、制御動作を行なう際のワークエリアとして用いられるRAM64を有するほか、図11に示すような機能構成を有している。即ち、MPU61には、ノードID生成部(固有識別子生成手段)65,暗号化部66,ノードID通知部(固有識別子通知手段)67,復号化部68,第1比較部69,第1判断部70,第2比較部71,第2判断部72およびエラー通知部73がそなえられている。
【0109】
ここで、ノードID生成部65は、後述する取引装置(外部装置)80との間で取引(トランザクション)が開始され、取引装置80のアクセス対象のファイルが確定すると、今回のトランザクションのためのノードID(node identifier;固有識別子)を生成するものである。このノードID生成部65によるノードIDの生成処理は特に規定しないが、例えば、疑似乱数等を発生させる関数(数を動的,ランダムに発生するもの)を用い、その疑似乱数等をノードIDとして使用する。
【0110】
暗号化部66は、ノードID生成部65により今回のトランザクションのために生成したノードIDを第1暗号キーにより暗号関数を用いて暗号化するものである。以後、暗号文をE(平文)として記述し、復号文をD(平文)として記述する場合がある。ここで、“E”は暗号化するという意味のエンサイファ(encipher)の頭文字であり、“D”は復号化するという意味のディサイファ(decipher)の頭文字である。
【0111】
ノードID通知部67は、暗号化部66により暗号化して得られた暗号文ノードIDを、暗号化前の平文ノードIDとともにファイル確定時のレスポンス情報として取引装置80に通知するものである。つまり、本実施例では、ICカード60から取引装置80に通知されるノードIDは、“平文+E(平文)”の形式になっている。
【0112】
また、復号化部68は、取引装置80から、“平文+E(平文)”の形式のノードIDをパラメータとして付与されたファイルアクセスコマンドを通知されると、第2暗号キーにより暗号関数を用いて、暗号文ノードID〔E(平文)〕を復号化して、ノードIDについての復号文D(平文)を得るためのものである。なお、この復号化部68で用いられる第2暗号キーおよび暗号関数は、当該ICカード60もしくは後述の取引装置80が正当なものであれば、その取引装置80の暗号化部84での暗号化に用いられる第2暗号キーおよび暗号関数と同一のものになる。
【0113】
第2比較部71は、復号化部68により復号化して得られた復号文ノードID〔D(平文)〕と取引装置80からの平文ノードIDとを比較するものである。そして、第2判断部72は、第2比較部71による比較の結果、これらの復号文ノードIDと平文ノードIDとが一致した場合に取引装置80からのアクセスコマンドが正当なものであると判断するもので、この第2判断部72により取引装置80からのアクセスコマンドが正当なものであると判断された場合には、第1比較部69による次の処理へ移行するようになっている。
【0114】
第1比較部69は、取引装置80からのアクセスコマンドに付与されたノードID(平文ノードIDまたは復号文ノードIDのいずれか一方)と、今回のトランザクションのためにノードID生成部65により生成したノードIDとを比較するものである。そして、第1判断部70は、第1比較部69による比較の結果、これらのノードIDが一致した場合に取引装置80からのアクセスコマンドが当該トランザクションについてのものであると判断するもので、この第1判断部70により取引装置80からのアクセスコマンドが当該トランザクションについてのものであると判断された場合には、取引装置80からのアクセスコマンドに応じた処理を実行するようになっている。
【0115】
さらに、エラー通知部73は、第1比較部69もしくは第2比較部71によるノードIDの比較結果が不一致である場合、即ち、第1判断部70により取引装置80からのアクセスコマンドが当該トランザクションについてのものでないと判断された場合、もしくは、第2判断部72により取引装置80からのアクセスコマンドが不当なものであると判断された場合に、取引装置80からのアクセスコマンドに対する応答としてエラー通知(エラーレスポンス通知)を行なうものである。
【0116】
一方、本実施例の取引装置80は、ICカード60に対してアクセスし取引を実行するもので、この取引装置80には、復号化部81,比較部82,判断部83,暗号化部84,通知部85がそなえられている。
ここで、復号化部81は、ICカード60とのトランザクションの開始時に、このICカード60から“平文+E(平文)”の形式でノードIDを通知されると、第1暗号キーにより暗号関数を用いて、暗号文ノードID〔E(平文)〕を復号化して、ノードIDについての復号文D(平文)を得るためのものである。なお、この復号化部81で用いられる第1暗号キーおよび暗号関数は、当該取引装置80もしくは前述のICカード60が正当なものであれば、そのICカード60の暗号化部67での暗号化に用いられる第1暗号キーおよび暗号関数と同一のものになる。
【0117】
また、比較部82は、復号化部81により復号化して得られた復号文ノードID〔D(平文)〕とICカード60からの平文ノードIDとを比較するものである。
そして、判断部83は、比較部82による比較の結果、これらの復号文ノードIDと平文ノードIDとが一致した場合にICカード60が当該取引装置80にとって正当なものであると判断するもので、この判断部83によりICカード60がが正当なものであると判断された場合には、暗号化部84による次の処理へ移行するようになっている。
【0118】
暗号化部84は、ICカード60からのノードID(平文ノードIDまたは復号文ノードIDのいずれか一方)を第2暗号キーにより暗号関数を用いて暗号化するものである。なお、この暗号化部84で用いられる第2暗号キーおよび暗号関数は、前述した通り、当該取引装置80もしくは前述のICカード60が正当なものであれば、そのICカード60の復号化部68での復号化に用いられる第2暗号キーおよび暗号関数と同一のものになる。
【0119】
さらに、通知部85は、今回のICカード60とのトランザクションを終了するまで、“平文+E(平文)”の形式のノードIDを、パラメータとして付与したアクセスコマンドをICカード60に通知するものである。なお、通知部85でアクセスコマンドに付与される暗号文ノードID〔E(平文)〕は、暗号化部84によって暗号化されたものである。
【0120】
次に、上述のごとく構成された本実施例のICカード60および取引装置80について、ファイルアクセス時の処理動作を、図12に示すフローチャート(ステップS21〜S30)に従って説明する。
ICカード60が取引装置80(リーダ/ライタ)に挿入されると、取引装置80側からICカード60にファイルオープン指令等が通知され、例えば第1実施例で説明したようなセキュリティチェックを行なわれる。そのセキュリティチェックの結果がOKであれば、取引装置80側からICカード60にファイル確定コマンドが通知され、ICカード60において、ファイル確定処理が行なわれる(ステップS21)。
【0121】
そして、取引装置80からICカード60へのファイル確定処理依頼を契機として、アクセス対象のファイルが確定されると、ICカード60のノードID生成部65により、今回のトランザクションについてなノードIDが生成される(ステップS22)。
ここで生成されたノードIDは、次にICカード60を取引装置等に挿入した際にハードウエアリセットが掛かるまでICカード60のメモリ62内で保持される。そして、ハードウエアリセット時に、前回のノードIDをメモリ32から消去することにより、トランザクション毎に固有(ユニーク)なノードIDとなる。
【0122】
ノードID生成部65により生成されたノードIDは、ノードID通知部67により取引装置80に通知されるが、このとき、そのノードIDを平文のまま通知する平文形式をとってもよいし、また、そのノードIDを暗号化し暗号文として通知する暗号文形式をとってもよい。さらには、平文ノードIDと暗号文ノードIDとを両方とも通知する平文+暗号文〔平文+E(平文)〕の形式をとってもよい。
【0123】
図12や、具体例について後述する図13では、最もセキュリティレベルの高い最後の形式、つまり、“平文+E(平文)”の形式のノードIDを、ICカード60と取引装置80との間でやり取りする場合について説明する。
さて、第2本実施例では、図12に示すように、ノードID生成部65により生成されたノードIDは、暗号化部66で、第1暗号キーにより暗号関数を用いて暗号化された後(ステップS23)、ノードID通知部67により、暗号化部66により得られた暗号文ノードID〔E(平文)〕と、暗号化前の平文ノードIDとが取引装置80へ通知される。
【0124】
そして、ノードIDを通知された取引装置80では、まず、復号化部81で、暗号文ノードID〔E(平文)〕が第1暗号キーにより暗号関数を用いて復号化され(ステップS24)、比較部82において、復号化部81により得られた復号文ノードID〔D(平文)〕と、ICカード60から通知された平文ノードIDとが比較・照合される(ステップS25)。
【0125】
その比較の結果、復号文ノードIDと平文ノードIDとが一致した場合、判断部83により、ICカード60が取引装置80にとって正当なものであると判断し、次の処理へ移行する。
一方、復号文ノードIDと平文ノードIDとが不一致であった場合には、判断部83により、ICカード60から取引装置80へノードIDを通知する際に何らかのデータ改ざんがあったか、あるいは、ICカード60における暗号キー,暗号関数と取引装置80における暗号キー,暗号関数とが異なりICカード60がこの取引装置80のアプリケーションの対象ではないと判断し、トランザクションを中断してから、ICカード60を排出する。
【0126】
そして、復号文ノードIDと平文ノードIDとが一致した場合、それ以降、取引装置80からICカード60に対してファイルアクセスコマンドを発行する際には、ノードIDが、暗号化部84で、第2暗号キーにより暗号関数を用いて暗号化され(ステップS26)、暗号化部84より得られた暗号文ノードID〔E(平文)〕と、暗号化前の平文ノードIDとが、ファイルアクセスコマンドにパラメータとして付与された状態で、通知部85によりICカード60へ通知される。
【0127】
ファイルアクセスコマンドのパラメータとして、“平文+E(平文)”の形式のノードIDを通知されたICカード60では、まず、復号化部68で、暗号文ノードID〔E(平文)〕が第2暗号キーにより暗号関数を用いて復号化され(ステップS27)、第2比較部71において、復号化部68により得られた復号文ノードID〔D(平文)〕と、取引装置80から通知された平文ノードIDとが比較・照合される(ステップS28)。
【0128】
その比較の結果、復号文ノードIDと平文ノードIDとが一致した場合、第2判断部72により、取引装置80からのアクセスコマンドが正当なものであると判断し、次に、第1比較部69により、ノードID(復号文ノードIDもしくは平文ノードID)と、今回のトランザクションのためにノードID生成部65により生成されメモリ62に保持されているノードIDとが比較・照合される(ステップS29)。
【0129】
その比較の結果、これらのノードIDが一致した場合には、第1判断部70により、取引装置80からのファイルアクセスコマンドが当該トランザクションについてのものである、つまり、ファイルアクセスコマンドを発行したアプリケーション(取引装置80)はファイル確定処理を行なったアプリケーションと同一のものであるとしてアプリケーションを確定し、実際のファイルアクセス処理を行ない(ステップS30)、その結果をレスポンスとして取引装置80へ通知する。
【0130】
ここで、ファイルアクセスコマンドのパラメータで指定されたノードID(平文)と、ICカード60内で保持しているノードIDとが等しいということは、ICカード60内で生成したノードIDをアプリケーションが知っていることになり、そのノードIDは、ファイル確定処理を行なったアプリケーションだけが知り得るノードIDであるため、ファイルアクセスを行なうアプリケーションは正当であると判断することができる。
【0131】
一方、ステップS28(第2比較部71)による比較の結果、ノードIDが不一致であった場合には、第2判断部72により、ICカード60から取引装置80へノードIDを通知する際に何らかのデータ改ざんがあったか、あるいは、ICカード60における暗号キー,暗号関数と取引装置80における暗号キー,暗号関数とが異なりICカード60が取引装置80のアプリケーションの対象ではないと判断し、エラー通知部73により、そのアクセスコマンドに対する応答としてエラー通知がなされる。
【0132】
また、ステップS29(第1比較部69)による比較の結果、ノードIDが不一致であった場合には、第1判断部70により、アクセスコマンドを通知してきた取引装置80(アプリケーション)はファイル確定処理を行なったものではないと判断し、エラー通知部73により、そのアクセスコマンドに対する応答としてエラー通知がなされる。
【0133】
これにより、取引装置(上位装置)へエラーレスポンスによるエラー通知が行なわれ、ICカード60に対してアクセスを行なった取引装置80側では、そのトランザクションを中断してから、エラー表示,ICカード60の排出等やそれに準じた処理を行ない、そのエラーに対して直ちに対処することができる。
以下に、より具体的な例について図13を用いて説明する。ここでは、例えば医療機関において、診断情報の書込を行なうアプリケーションAと、診断結果を決済するアプリケーションBとが同一のICカード60に対して同時にアクセスを行なう場合を想定している。即ち、複数のアプリケーションが同一のICカード60に対して同時にアクセスできるシステム構成になっている。
【0134】
ここで、診断情報書込アプリケーションAA はファイル診断情報ファイルFA にアクセスし、医療費決済アプリケーションAB は金額情報ファイルFB にアクセスするものとする。このとき、ICカード60は複数のアプリケーションからのコマンドを受け付けるため、あるファイルに対するアクセスは、そのファイルに対して確定処理を行なったアプリケーションからのアクセスのみを受け付ける必要が出てくる。
【0135】
このため、本実施例のICカード60では、前述した通り、診断情報書込アプリケーションAA から診断情報ファイルFA に対してファイル確定コマンドを受け付けると(図13の▲1▼参照)、そのコマンドに対して、ノードID=“01”を生成し、このノードIDはランダムに生成されるため、特に“01”には限らない)、アプリケーションAA に通知する。このノードID=“01”は、アプリケーションAA のみが知ることができるIDである。
【0136】
また、このとき、アプリケーションAA と共通の暗号キーAでノードIDを暗号化し(図13の▲2▼参照)、“平文+EA (ノードID=“01”)”の形式で通知すると(図13の▲3▼参照)、アプリケーションAA のみがそのノードIDを復号化することができ、さらにセキュリティ強度を向上させることができる。
即ち、“平文+EA (ノードID=“01”)”の形式のノードIDをICカード60から通知されたアプリケーションAA では、暗号キーAにより暗号文ノードID〔EA (ノードID=“01”)〕を復号化して得られた復号化ノードID〔DA (ノードID=“01”)〕が、平文ノードIDと一致するか否かを判定する(図13の▲4▼参照)。
【0137】
その判定の結果が一致した場合には、以降、アプリケーションAA のアクセスコマンドは、このノードID=“01”を指定することにより、ICカード60ではファイルFA に対するアクセスがファイル確定を行なったアプリケーションと同一であると見なすことができ、アクセスコマンドを受け付けることになる。アプリケーションAB に対しても、ファイルFB で同様の処理(図13の▲1▼〜▲5▼参照)を行なうことにより、ファイルFB に対してアクセス可能となる。ただし、アプリケーションAB とファイルFB との間の処理では、ノードIDとしてランダムに生成された例えば“02”が用いられている。
【0138】
このような形で、ノードIDにより、アプリケーションの管理を行なうことにより、同一のアプリケーションに対して、複数のアプリケーションからのアクセス管理を行なうことが可能になる。
例えば、診断情報アプリケーションAA が金額情報ファイルFB に不正にアクセスを試みた場合、アプリケーションAA では、アプリケーションFB に通知されたノードIDが不明であるため、ファイルFB にはアクセスが不可能になり、金額情報ファイルFB の残高情報等が不正に操作されるのを確実に防止することができる。
【0139】
このように、本発明の第2実施例によれば、ICカード60内でノードIDを動的に生成しアプリケーション(取引装置80)に通知することにより、トランザクション毎に固有なノードIDを実現している。さらに、ノードIDを暗号化し、暗号キーをICカード60とその上位装置(取引装置80)とで共通にもつことにより、ノードIDを通知するときのデータタッピング(tap:盗聴)を防止することが可能となる。
【0140】
また、このノードIDは正当なアプリケーションのみが知り得るIDであり、正当なアプリケーションのみが暗号化または復号化できることになる。不正なアプリケーションでは、暗号キー等の情報を知ることができないため、ノードIDの復号化や、ノードIDの暗号化を行なえないからである。
このようにして、コマンドを発行するアプリケーションを管理することにより、ICカード60にアクセスするアプリケーションを特定してセキュリティを強化することが可能になり、複数のアプリケーションが並行して動作するシステムにおいても、同一のICカード60の所定ファイルに対しあるアプリケーションがアクセスし取引を行なっている際に、異なる不当なアプリケーションが同時にアクセスしその所定ファイルに対して不正行為を行なうことを確実に防止できる。
【0141】
そして、上述した各種チェックによりエラーが発生した場合には、取引装置80へエラーレスポンスによるエラー通知が行なわれ、ICカード60に対してアクセスを行なった取引装置80側では、エラー表示等やそれに準じた処理を行ない、そのエラーに対して直ちに対処することができる。
また、上述したような本実施例のICカード60および取引装置80を、ICカード用リーダ/ライタを内蔵した端末装置、あるいは、独立したICカード用リーダ/ライタに接続された端末装置や、このような端末装置の上位装置(ホスト)などを含んで構成されるシステムに用いることにより、そのシステム全体のセキュリティを強化することができる。
【0142】
以上のように、本実施例によれば、1枚のICカード60に対して、複数のアプリケーションがアクセスできるための充分なセキュリティを確保することができ、今後、想定されるユーザニーズの多様化等の要望に対応することができる。さらに、従来のセキュリティ方式に比べて、セキュリティの強度を極めて高度化することができるため、単独のアプリケーションでアクセスする場合でも、充分なセキュリティが確保でき、高度なセキュリティが要求されるシステム(キャッシュカード,クレジットカード等)のセキュリティ強度向上に寄与するところが大きい。
【0143】
なお、上述した第2実施例では、ICカード60と取引装置80との間で“平文+E(平文)”の形式のノードIDを通知する場合について説明したが、平文形式のノードIDや、暗号文〔E(平文)のみ〕形式のノードIDを通知するようにしてもよい。
平文形式のノードIDを通知する場合、図11において、暗号化部66,復号化部68,第2比較部71,第2判断部72,復号化部81,比較部82,判断部83,暗号化部84は不要になり、図12において、ステップS23,S24,S25,S26,S27,S28の処理は省略されることになる。
【0144】
暗号文〔E(平文)のみ〕形式のノードIDを通知する場合、図11において、第2比較部71,第2判断部72,比較部82,判断部83は不要になり、図12において、ステップS25,S28の処理は省略される。ただし、取引装置80側で、ICカード60から通知された暗号文ノードIDをそのままアクセスコマンドに付与する場合には、図11において、復号化部81,暗号化部84も不要になり、図12において、ステップS24,S26の処理も省略される。このとき、ICカード60側における復号化部68は、第1暗号キーにより暗号関数を用いて暗号文ノードIDを復号化することになる。
【0145】
また、上述した第2実施例において、第1暗号キーと第2暗号キーとは同一のキーでもよく、また、ICカード60内の第1比較部70によるノードIDの比較・照合は、ICカード60内に保持してあるノードIDを第2暗号キーで暗号化して行なってもよい。
さらに、上述した第1実施例により説明したセキュリティ基本情報およびセキュリティ付加情報に基づくセキュリティチェックを行なって、ファイル確定処理を行なった後に、第2実施例を行なうようにしてもよく、この場合、ICカードに対するセキュリティ機能をさらに高めることができる。
【0146】
また、上述した第1および第2実施例では、カード型記憶装置がICカードである場合について説明したが、本発明は、これに限定されるものではなく、光カードなどの他種のカード型記憶装置にも同様に適用され、上記実施例と同様の作用効果を得ることができる。
【0147】
【発明の効果】
以上詳述したように、本発明のカード型記憶媒体用セキュリティ管理方法およびカード型記憶媒体によれば、1取引毎のアクセス回数もしくはアクセス時間の少なくとも一方をチェックすることにより、カード型記憶装置に対して必要回数以上のアクセスが行なわれた場合、もしくは、カード型記憶装置に対して必要時間以上に亘って取引が行なわれた場合に、その取引を中断させることができるので、外部からカード型記憶装置に対する不正なアクセスを確実に防止することができ、ファイルアクセス時のセキュリティ強度が大幅に向上するという効果がある。
【0148】
また、データファイル毎あるいはアクセスの種類毎にアクセス回数のチェックを行なうことにより、データファイル毎あるいはアクセスの種類毎にセキュリティ管理が行なわれる。
さらに、エラー発生回数がエラー発生許容回数を超えた場合にカード型記憶装置を非活性化状態にすることにより、エラー発生回数が多いカード型記憶装置については、外部からのアクセスを一切受け付けないようにすることができ、セキュリティ機能がさらに強化される。
【0149】
そして、アクセス回数やアクセス時間のチェックによりエラーが発生した場合や、カード型記憶装置が非活性化された場合に、取引装置へエラー通知を行なうことにより、カード型記憶装置に対してアクセスを行なった取引装置側では、エラー表示等やそれに準じた処理を行なって、エラーに対して直ちに対処することができる。
【0150】
また、本発明の関連技術としてのカード型記憶装置用セキュリティ管理方法,カード型記憶装置およびカード型記憶装置用取引装置によれば、1回の取引の間、取引装置からのアクセスコマンドにはその取引について固有の識別子が常に付与されるので、その識別子を参照することにより、カード型記憶装置にアクセスを行なった取引装置を特定でき、一つのデータファイルに対し別々のアプリケーションからアクセス処理が行なわれるのを確実に防止することができ、セキュリティ強度が大幅に向上するという効果がある。
【0151】
このとき、固有識別子を第1暗号キーにより暗号化してから、その暗号文固有識別子を取引装置に通知することにより、固有識別子がそのまま漏洩するのを防止できるほか、取引を終了するまで、第1暗号キーをもつ取引装置以外からのカード型記憶装置に対するアクセスを禁止でき、セキュリティ機能がさらに強化される。
【0152】
また、第1暗号キーによる暗号文固有識別子とともに暗号化前の平文固有識別子をカード型記憶装置から取引装置に通知し、取引装置側で、復号化して得られた平文固有識別子とカード型記憶装置からの平文固有識別子とを比較することにより、取引装置に対して固有識別子を通知したカード型記憶装置が正当なものであるか否かを判断でき、セキュリティ機能がさらに強化される。
【0153】
さらに、取引装置側で第2暗号キーにより暗号化した固有識別子をアクセスコマンドに付与してカード型記憶装置に通知することにより、固有識別子がそのまま漏洩するのを防止できるほか、取引を終了するまで、第2暗号キーをもつ取引装置以外からのカード型記憶装置に対するアクセスを禁止でき、セキュリティ機能がさらに強化される。
【0154】
そして、第2暗号キーによる暗号文固有識別子とともに暗号化前の平文固有識別子を取引装置からカード型記憶装置に通知し、カード型記憶装置側で、復号化して得られた平文固有識別子と取引装置からの平文固有識別子とを比較することにより、取引装置からのアクセスコマンドが正当なものであるか否かを判断でき、セキュリティ機能がさらに強化される。
【0155】
このとき、カード型記憶装置における固有識別子の比較結果が不一致である場合に、取引装置へエラー通知を行なうことにより、カード型記憶装置に対してアクセスを行なった取引装置側では、エラー表示等やそれに準じた処理を行なって、エラーに対して直ちに対処することができる。
【図面の簡単な説明】
【図1】本発明の原理ブロック図である。
【図2】 本発明の関連技術としての原理ブロック図である。
【図3】本発明の原理ブロック図である。
【図4】 本発明の関連技術としての原理ブロック図である。
【図5】本発明の第1実施例としてのカード型記憶媒体の構成を示すブロック図である。
【図6】第1実施例におけるセキュリティ付加情報について説明するための図である。
【図7】第1実施例における記憶部の論理構造およびセキュリティ情報について説明するための図である。
【図8】第1実施例の動作を説明するための図である。
【図9】第1実施例の動作を説明するためのフローチャートである。
【図10】(a),(b)はいずれも第1実施例の動作を具体的に説明すべくカード型記憶媒体と上位装置との間でのコマンドシーケンスを示す図である。
【図11】本発明の第2実施例としてのカード型記憶媒体および取引装置の構成を示すブロック図である。
【図12】第2実施例の動作を説明するためのフローチャートである。
【図13】第2実施例の動作を具体的に説明すべく、カード型記憶媒体と取引装置との間での信号シーケンスを示す図である。
【図14】一般的なICカードの外観を示す平面図である。
【図15】一般的なICカードのハードウエア構成を示すブロック図である。
【図16】従来のICカードに対するファイルアクセス手順を説明するための図である。
【図17】従来のICカードに対するファイルアクセス時のセキュリティ概念を説明するための図である。
【図18】従来のICカードに対するファイルアクセス時に生じうる不正なアクセス状態を説明するための図である。
【符号の説明】
1A,1B,1C カード型記憶媒体(カード型記憶装置)
2A,2B,2C 記憶部
3A,3B,3C 制御部
4A 計数手段
4B 計時手段
5A 第1比較手段
5B 第2比較手段
6A,6B,6C エラー判断手段
11 カード型記憶媒体
12 記憶部
13 制御部
14 固有識別子生成手段
15 固有識別子通知手段
16 第1比較手段
17 第1判断手段
21 取引装置(外部装置)
22 通知手段
30 ICカード(カード型記憶装置
31 MPU(制御部)
32 メモリ(記憶部,ファイル領域)
32A データ領域
32B ディレクトリ領域
32C データファイル
32D マスタディレクトリ領域
32E サブディレクトリ領域
32F ファイル
33 ROM
34 RAM
35 通信制御部
36 コマンド受付・振分部
37 コマンド処理部
38 ファイル管理部
41 パラメータチェック部
42 セキュリティ基本チェック部
43 セキュリティ付加チェック部
44 ファイルアクセス部
51 アクセス回数カウンタ(計数手段)
52 タイマ(計時手段)
53 第1比較部
54 第2比較部
55 エラー判断部
56 エラー通知部
57 エラー発生回数累積カウンタ(累積手段)
58 エラー発生回数比較部
59 非活性化指示部(非活性化手段)
60 ICカード(カード型記憶媒体)
61 MPU(制御部)
62 メモリ(記憶部,ファイル領域)
62A データ領域
62B ディレクトリ領域
62C データファイル
63 ROM
64 RAM
65 ノードID生成部(固有識別子生成手段)
66 暗号化部
67 ノードID通知部(固有識別子通知部)
68 復号化部
69 第1比較部
70 第1判断部
71 第2比較部
72 第2判断部
73 エラー通知部
80 取引装置
81 復号化部
82 比較部
83 判断部
84 暗号化部
85 通知部

Claims (12)

  1. データファイルを保持する記憶部をそなえてなるカード型記憶装置のためのセキュリティを管理する方法であって、
    該データファイルに対する1取引当たりのアクセス許容回数を該データファイルに対するアクセスの種類毎に予め設定しておき、
    該カード型記憶装置と該カード型記憶装置に対してアクセスし取引を実行する取引装置との間で取引が開始されると、当該取引開始後にその取引のために該取引装置から該データファイルに対して発行されたアクセスコマンドによるアクセス回数を各アクセスの種類毎に計数し、計数されたアクセス回数と予め設定された該アクセス許容回数とを比較し、該アクセス回数が該アクセス許容回数を超えた場合にエラーが発生したものと判断し、当該取引を中断することを
    特徴とする、カード型記憶装置用セキュリティ管理方法。
  2. データファイルを保持する記憶部をそなえてなるカード型記憶装置のためのセキュリティを管理する方法であって、
    該データファイルに対する1取引当たりのアクセス許容回数を該データファイルに対するアクセスの種類毎に予め設定するとともに、1取引当たりのアクセス許容時間を予め設定しておき、
    該カード型記憶装置と該カード型記憶装置に対してアクセスし取引を実行する取引装置との間で取引が開始されると、当該取引開始後にその取引のために該取引装置から該データファイルに対して発行されたアクセスコマンドによるアクセス回数を各アクセスの種類毎に計数するとともに当該取引開始後の経過時間を該データファイルに対するアクセス時間として計時し、計数されたアクセス回数と予め設定された該アクセス許容回数とを比較するとともに計時されたアクセス時間と予め設定された該アクセス許容時間とを比較し、該アクセス回数が該アクセス許容回数を超えた場合もしくは該アクセス時間が該アクセス許容時間を超えた場合にエラーが発生したものと判断し、当該取引を中断することを
    特徴とする、カード型記憶装置用セキュリティ管理方法。
  3. 該データファイルが該記憶部に複数保持されている場合、前記アクセス許容回数を各データファイル毎に予め設定しておき、各データファイル毎にアクセス回数を計数することを特徴とする、請求項1または請求項2に記載のカード型記憶装置用セキュリティ管理方法。
  4. 前記エラーが発生したと判断した場合に、該取引装置へエラー通知を行なうことを特徴とする、請求項1〜3のいずれか一項に記載のカード型記憶装置用セキュリティ管理方法。
  5. 前記エラーの発生回数を累積し、累積されたエラー発生回数と予め設定したエラー発生許容回数とを比較し、該エラー発生回数が該エラー発生許容回数を超えた場合に該カード型記憶装置を非活性化状態に切り換えることを特徴とする、請求項1〜4のいずれか一項に記載のカード型記憶装置用セキュリティ管理方法。
  6. 該エラー発生回数が該エラー発生許容回数を超えた場合に該取引装置へエラー通知を行なうことを特徴とする、請求項5記載のカード型記憶装置用セキュリティ管理方法。
  7. データファイルを保持するデータ領域と、該データ領域のデータファイルについての制御情報を保持するディレクトリ領域とを有する記憶部と、
    該記憶部のディレクトリ領域における制御情報に基づいて該記憶部のデータ領域におけるデータファイルを管理する制御部とをそなえてなるカード型記憶装置において、
    該記憶部のディレクトリ領域に、該データファイルに対する1取引当たりのアクセス許容回数を該データファイルに対するアクセスの種類毎に予め設定しておき、
    該制御部に、
    外部装置との間で取引が開始されると、当該取引開始後にその取引のために該取引装置から該データファイルに対して発行されたアクセスコマンドによるアクセス回数を各アクセスの種類毎に計数する計数手段と、
    該計数手段により計数されたアクセス回数と該記憶部のディレクトリ領域に予め設定された該アクセス許容回数とを比較する比較手段と、
    該比較手段による比較の結果、該アクセス回数が該アクセス許容回数を超えた場合にエラーが発生したものと判断し、当該取引を中断させるエラー判断手段とをそなえたことを
    特徴とする、カード型記憶装置。
  8. データファイルを保持するデータ領域と、該データ領域のデータファイルについての制御情報を保持するディレクトリ領域とを有する記憶部と、
    該記憶部のディレクトリ領域における制御情報に基づいて該記憶部のデータ領域におけるデータファイルを管理する制御部とをそなえてなるカード型記憶装置において、
    該記憶部のディレクトリ領域に、該データファイルに対する1取引当たりのアクセス許容回数を該データファイルに対するアクセスの種類毎に予め設定するとともに、1取引当たりのアクセス許容時間を予め設定しておき、
    該制御部に、
    外部装置との間で取引が開始されると、当該取引開始後にその取引のために該取引装置から該データファイルに対して発行されたアクセスコマンドによるアクセス回数を各アクセスの種類毎に計数する計数手段と、
    当該取引開始後の経過時間を該データファイルに対するアクセス時間として計時する計時手段と、
    該計数手段により計数されたアクセス回数と該記憶部のディレクトリ領域に予め設定された該アクセス許容回数とを比較する第1比較手段と、
    該計時手段により計時されたアクセス時間と該記憶部のディレクトリ領域に予め設定された該アクセス許容時間とを比較する第2比較手段と、
    該第1比較手段による比較の結果、該アクセス回数が該アクセス許容回数を超えた場合、もしくは、該第2比較手段による比較の結果、該アクセス時間が該アクセス許容時間を超えた場合にエラーが発生したものと判断し、当該取引を中断させるエラー判断手段とをそなえたことを
    特徴とする、カード型記憶装置。
  9. 該データファイルが該記憶部に複数保持されている場合、前記アクセス許容回数を各データファイル毎に該記憶部のディレクトリ領域に予め設定しておき、該計数手段が、各データファイル毎にアクセス回数を計数することを特徴とする、請求項7または請求項8に記載のカード型記憶装置。
  10. 該制御部に、該エラー判断手段によりエラーが発生したものと判断した場合に該外部装置へエラー通知を行なうエラー通知手段をそなえたことを特徴とする、請求項7〜9のいずれか一項に記載のカード型記憶装置。
  11. 該制御部に、
    前記エラーの発生回数を累積する累積手段と、
    該累積手段により累積されたエラー発生回数と、該記憶部のディレクトリ領域に予め設定したエラー発生許容回数とを比較するエラー発生回数比較手段と、
    該エラー発生回数比較手段による比較の結果、該エラー発生回数が該エラー発生許容回数を超えた場合に非活性化状態に切り換える非活性化手段とをそなえたことを特徴とする、請求項7〜10のいずれか一項に記載のカード型記憶装置。
  12. 該エラー発生回数比較手段による比較の結果、該エラー発生回数が該エラー発生許容回数を超えた場合に、該エラー通知手段が該外部装置へエラー通知を行なうことを特徴とする、請求項11記載のカード型記憶装置。
JP18015694A 1994-08-01 1994-08-01 カード型記憶装置用セキュリティ管理方法およびカード型記憶装置 Expired - Lifetime JP4095680B2 (ja)

Priority Applications (7)

Application Number Priority Date Filing Date Title
JP18015694A JP4095680B2 (ja) 1994-08-01 1994-08-01 カード型記憶装置用セキュリティ管理方法およびカード型記憶装置
EP95401126A EP0696016B1 (en) 1994-08-01 1995-05-16 Method for managing security for card type storage medium and a card type storage medium
DE69525577T DE69525577T2 (de) 1994-08-01 1995-05-16 Verfahren zum Handhaben der Sicherheit einer Speicherkarte und Speicherkarte
DE69529103T DE69529103T2 (de) 1994-08-01 1995-05-16 Verfahren zum Handhaben der Sicherheit einer Speicherkarte, und Speicherkarte und geeignete Transaktionsvorrichtung
EP99203269A EP0973125B1 (en) 1994-08-01 1995-05-16 Method for managing security for card-type storage medium, and a card-type storage medium and a transaction apparatus therefor
US08/740,554 US6012143A (en) 1994-08-01 1996-10-30 Method for managing security for card-type storage medium and a transaction apparatus therefor
US09/010,994 US5845069A (en) 1994-08-01 1998-01-22 Card-type storage medium protecting data stored in its memory by interrupting an existing transaction after a predetermined permissible number of accesses

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP18015694A JP4095680B2 (ja) 1994-08-01 1994-08-01 カード型記憶装置用セキュリティ管理方法およびカード型記憶装置

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2007339871A Division JP4303768B2 (ja) 2007-12-28 2007-12-28 カード型記憶装置用セキュリティ管理方法,カード型記憶装置およびカード型記憶装置用取引装置

Publications (2)

Publication Number Publication Date
JPH0844805A JPH0844805A (ja) 1996-02-16
JP4095680B2 true JP4095680B2 (ja) 2008-06-04

Family

ID=16078382

Family Applications (1)

Application Number Title Priority Date Filing Date
JP18015694A Expired - Lifetime JP4095680B2 (ja) 1994-08-01 1994-08-01 カード型記憶装置用セキュリティ管理方法およびカード型記憶装置

Country Status (4)

Country Link
US (2) US6012143A (ja)
EP (2) EP0973125B1 (ja)
JP (1) JP4095680B2 (ja)
DE (2) DE69525577T2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11496462B2 (en) * 2017-11-29 2022-11-08 Jpmorgan Chase Bank, N.A. Secure multifactor authentication with push authentication

Families Citing this family (96)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3853387B2 (ja) * 1994-11-15 2006-12-06 富士通株式会社 データ独立型コンピュータシステムにおけるデータアクセス権管理方式
US6658568B1 (en) 1995-02-13 2003-12-02 Intertrust Technologies Corporation Trusted infrastructure support system, methods and techniques for secure electronic commerce transaction and rights management
US7133846B1 (en) * 1995-02-13 2006-11-07 Intertrust Technologies Corp. Digital certificate support system, methods and techniques for secure electronic commerce transaction and rights management
US6275911B1 (en) * 1996-09-20 2001-08-14 Denso Corporation Memory writing device for an electronic device
AT405466B (de) * 1996-09-24 1999-08-25 Ericsson Austria Ag Vorrichtung zum schutz eines elektronischen geräts
JPH1127746A (ja) * 1997-07-03 1999-01-29 Sony Corp 携帯端末機
FR2765985B1 (fr) * 1997-07-10 1999-09-17 Gemplus Card Int Procede de gestion d'un terminal securise
JPH11203205A (ja) 1998-01-08 1999-07-30 Fujitsu Ltd 情報記憶システム
JP3454700B2 (ja) * 1998-01-20 2003-10-06 富士通株式会社 情報記憶装置及びその制御方法
EP1211681B1 (en) * 1998-01-20 2007-02-14 Fujitsu Limited Data storage device and control method therefor
JPH11212774A (ja) * 1998-01-23 1999-08-06 Fujitsu Ltd アプリケーション管理方法、及び、それを用いた情報処理装置
JP3239842B2 (ja) * 1998-05-08 2001-12-17 日本電気株式会社 ソフトウェアの不正利用防止システム
US6282653B1 (en) * 1998-05-15 2001-08-28 International Business Machines Corporation Royalty collection method and system for use of copyrighted digital materials on the internet
DE19830526A1 (de) * 1998-07-08 2000-01-13 Orga Kartensysteme Gmbh Verfahren und Vorrichtung zur Steuerung einer Kommunikation zwischen einem Terminal und einer Anzahl von Chipkarten
US6570880B1 (en) 1998-08-21 2003-05-27 Adc Telecommunications, Inc. Control data over a ring network
US6389030B1 (en) 1998-08-21 2002-05-14 Adc Telecommunications, Inc. Internet access over a ring network
US6567915B1 (en) * 1998-10-23 2003-05-20 Microsoft Corporation Integrated circuit card with identity authentication table and authorization tables defining access rights based on Boolean expressions of authenticated identities
US6366965B1 (en) * 1998-12-31 2002-04-02 Lsi Logic Corporation System for updating an identity of a device in response to determining that a neighbor device has an identity different from one stored therein
JP2000231608A (ja) * 1999-02-10 2000-08-22 Hitachi Ltd 移動体識別装置及びicカード
JP3739585B2 (ja) * 1999-03-04 2006-01-25 日本電信電話株式会社 Icカードアクセス装置、およびicカードアクセスプログラムを記録した記録媒体
JP3758886B2 (ja) * 1999-03-30 2006-03-22 富士通株式会社 データ処理装置及びそのアクセス制御方法
JP2000353225A (ja) * 1999-06-11 2000-12-19 Dainippon Printing Co Ltd Icカード
US6377675B1 (en) * 1999-08-02 2002-04-23 Lucent Technologies Inc. Method and apparatus for even distribution of signaling link selection codes
DE19937529A1 (de) * 1999-08-09 2001-03-01 Giesecke & Devrient Gmbh Tragbarer Datenträger und Verfahren zur Nutzung in einer Mehrzahl von Anwendungen
WO2001016821A2 (en) 1999-09-01 2001-03-08 Matsushita Electric Industrial Co., Ltd. Distribution system, semiconductor memory card, receiving apparatus, computer-readable recording medium and receiving method
US7889052B2 (en) 2001-07-10 2011-02-15 Xatra Fund Mx, Llc Authorizing payment subsequent to RF transactions
US6324537B1 (en) * 1999-09-30 2001-11-27 M-Systems Flash Disk Pioneers Ltd. Device, system and method for data access control
WO2001039140A1 (fr) 1999-11-25 2001-05-31 Fujitsu Limited Dispositif de securite et programme de securite de stockage sur support lisible par ordinateur
FR2802319B1 (fr) * 1999-12-10 2004-10-01 Gemplus Card Int Controle d'acces par capacites pour des applications notamment cooperantes dans une carte a puce
FR2803933B1 (fr) * 2000-01-14 2002-11-29 Gemplus Card Int Procede de protection contre le vol du code dans les cartes a puces(s) multi-applications et cartes a puce(s) mettant en oeuvre le procede
US8429041B2 (en) * 2003-05-09 2013-04-23 American Express Travel Related Services Company, Inc. Systems and methods for managing account information lifecycles
US8543423B2 (en) * 2002-07-16 2013-09-24 American Express Travel Related Services Company, Inc. Method and apparatus for enrolling with multiple transaction environments
US8121941B2 (en) 2000-03-07 2012-02-21 American Express Travel Related Services Company, Inc. System and method for automatic reconciliation of transaction account spend
US7627531B2 (en) * 2000-03-07 2009-12-01 American Express Travel Related Services Company, Inc. System for facilitating a transaction
AUPQ866000A0 (en) * 2000-07-07 2000-08-03 Activesky, Inc. A secure data storage device
US8069116B2 (en) * 2001-01-17 2011-11-29 Contentguard Holdings, Inc. System and method for supplying and managing usage rights associated with an item repository
US7310734B2 (en) 2001-02-01 2007-12-18 3M Innovative Properties Company Method and system for securing a computer network and personal identification device used therein for controlling access to network components
US7526112B2 (en) * 2001-04-30 2009-04-28 Chase Medical, L.P. System and method for facilitating cardiac intervention
US7542942B2 (en) * 2001-07-10 2009-06-02 American Express Travel Related Services Company, Inc. System and method for securing sensitive information during completion of a transaction
US7725427B2 (en) 2001-05-25 2010-05-25 Fred Bishop Recurrent billing maintenance with radio frequency payment devices
DE10210173B4 (de) * 2001-07-05 2012-12-06 Adp Gauselmann Gmbh Verfahren zur Verschlüsselung von Daten, die von einer peripheren Baugruppe an eine Steuereinheit eines münzbetätigten Automaten gesandt werden
US20040172563A1 (en) * 2001-07-06 2004-09-02 Brondijk Robert Albertus Method for protecting content stored on an information carrier
US8284025B2 (en) 2001-07-10 2012-10-09 Xatra Fund Mx, Llc Method and system for auditory recognition biometrics on a FOB
US8960535B2 (en) * 2001-07-10 2015-02-24 Iii Holdings 1, Llc Method and system for resource management and evaluation
US8548927B2 (en) * 2001-07-10 2013-10-01 Xatra Fund Mx, Llc Biometric registration for facilitating an RF transaction
US9454752B2 (en) * 2001-07-10 2016-09-27 Chartoleaux Kg Limited Liability Company Reload protocol at a transaction processing entity
US7762457B2 (en) 2001-07-10 2010-07-27 American Express Travel Related Services Company, Inc. System and method for dynamic fob synchronization and personalization
US7503480B2 (en) * 2001-07-10 2009-03-17 American Express Travel Related Services Company, Inc. Method and system for tracking user performance
US8001054B1 (en) 2001-07-10 2011-08-16 American Express Travel Related Services Company, Inc. System and method for generating an unpredictable number using a seeded algorithm
US7705732B2 (en) 2001-07-10 2010-04-27 Fred Bishop Authenticating an RF transaction using a transaction counter
US7668750B2 (en) 2001-07-10 2010-02-23 David S Bonalle Securing RF transactions using a transactions counter
US7996324B2 (en) * 2001-07-10 2011-08-09 American Express Travel Related Services Company, Inc. Systems and methods for managing multiple accounts on a RF transaction device using secondary identification indicia
US7805378B2 (en) 2001-07-10 2010-09-28 American Express Travel Related Servicex Company, Inc. System and method for encoding information in magnetic stripe format for use in radio frequency identification transactions
US7360689B2 (en) * 2001-07-10 2008-04-22 American Express Travel Related Services Company, Inc. Method and system for proffering multiple biometrics for use with a FOB
US7925535B2 (en) 2001-07-10 2011-04-12 American Express Travel Related Services Company, Inc. System and method for securing RF transactions using a radio frequency identification device including a random number generator
US20090008441A1 (en) * 2001-07-10 2009-01-08 Xatra Fund Mx, Llc Tracking rf transaction activity using a transaction device identifier
US9024719B1 (en) 2001-07-10 2015-05-05 Xatra Fund Mx, Llc RF transaction system and method for storing user personal data
US7735725B1 (en) 2001-07-10 2010-06-15 Fred Bishop Processing an RF transaction using a routing number
US9031880B2 (en) 2001-07-10 2015-05-12 Iii Holdings 1, Llc Systems and methods for non-traditional payment using biometric data
US20040236699A1 (en) 2001-07-10 2004-11-25 American Express Travel Related Services Company, Inc. Method and system for hand geometry recognition biometrics on a fob
US8635131B1 (en) 2001-07-10 2014-01-21 American Express Travel Related Services Company, Inc. System and method for managing a transaction protocol
US20030035233A1 (en) * 2001-08-17 2003-02-20 Reza Jalili Disk drive odometer
JP2003085314A (ja) * 2001-09-11 2003-03-20 Ge Medical Systems Global Technology Co Llc 遠隔サイト管理システム
NZ533176A (en) * 2001-12-25 2005-10-28 Ntt Docomo Inc Device and method for restricting content access and storage
US7343325B2 (en) * 2002-02-15 2008-03-11 Teranet Enterprises Ltd. Method and system for constructing price structures for complex products and services
JP2003345641A (ja) * 2002-05-29 2003-12-05 Ricoh Co Ltd 記憶媒体及びプログラム
US6805287B2 (en) 2002-09-12 2004-10-19 American Express Travel Related Services Company, Inc. System and method for converting a stored value card to a credit card
GB2397677A (en) * 2003-01-23 2004-07-28 Sema Uk Ltd Customer identification using an identification key that is unique to a customer and an organization
US7044517B2 (en) * 2003-03-14 2006-05-16 Toyoda Gosei Co., Ltd. Front grille for a vehicle
JP4818590B2 (ja) * 2003-05-28 2011-11-16 シャープ株式会社 サービス利用端末、携帯電話端末、テレビジョン受像端末、コネクタ提供サーバ、およびコネクタデータのデータ構造
US6926199B2 (en) * 2003-11-25 2005-08-09 Segwave, Inc. Method and apparatus for storing personalized computing device setting information and user session information to enable a user to transport such settings between computing devices
JP2005165750A (ja) * 2003-12-03 2005-06-23 Ricoh Co Ltd Webサーバ機能を有する組み込み機器
JP4828809B2 (ja) * 2003-12-10 2011-11-30 株式会社東芝 Icカードおよびicカードにおける処理方法
US7472827B2 (en) * 2004-05-17 2009-01-06 American Express Travel Related Services Company, Inc. Limited use PIN system and method
US7318550B2 (en) 2004-07-01 2008-01-15 American Express Travel Related Services Company, Inc. Biometric safeguard method for use with a smartcard
US7715565B2 (en) * 2004-07-29 2010-05-11 Infoassure, Inc. Information-centric security
US7716386B1 (en) * 2004-10-15 2010-05-11 Broadcom Corporation Component identification and transmission system
JP2006262393A (ja) * 2005-03-18 2006-09-28 Ntt Docomo Inc 耐タンパ装置およびファイル生成方法
JP5148098B2 (ja) * 2005-11-02 2013-02-20 株式会社東芝 携帯可能電子装置、icカード、データ処理装置及びデータ処理システム
TW200745957A (en) * 2005-11-02 2007-12-16 Toshiba Kk Portable electronic apparatus, IC card, data processing apparatus and data processing system
CN100362528C (zh) * 2005-11-25 2008-01-16 上海复旦微电子股份有限公司 兼容逻辑加密卡的非接触cpu卡
DE102005058878B4 (de) * 2005-12-09 2007-08-09 Infineon Technologies Ag Datentransfervorrichtung und Verfahren zum Senden von Daten
JP4855063B2 (ja) * 2005-12-20 2012-01-18 株式会社リコー 画像処理装置及びネットワーク端末装置
EP1821230B1 (en) * 2006-02-15 2008-08-13 NTT DoCoMo, Inc. External storage medium
JP2007257542A (ja) * 2006-03-24 2007-10-04 Toshiba Corp 複合携帯可能電子装置および複合icカード
JP4904957B2 (ja) * 2006-07-13 2012-03-28 大日本印刷株式会社 Icカードを利用した課金システム、方法、icカード、および、icカードプログラム
EP2079017A4 (en) * 2006-10-26 2009-11-18 Panasonic Corp METHOD AND DEVICE FOR MANAGING APPLICATIONS
US20090055346A1 (en) * 2007-08-23 2009-02-26 Yahoo! Inc. Scalable Ticket Generation in a Database System
JP2009223827A (ja) * 2008-03-18 2009-10-01 Toshiba Corp 情報記憶媒体及び情報記憶媒体処理装置
DE102008051575A1 (de) * 2008-10-14 2010-04-15 Giesecke & Devrient Gmbh Verfahren und Vorrichtung zur Verwaltung eines Datenspeichers
EP2270758B1 (en) * 2009-06-30 2013-11-27 Kabushiki Kaisha Toshiba Portable electronic apparatus, processing apparatus for portable electronic apparatus, and data processing method in portable electronic apparatus
WO2013126547A1 (en) * 2012-02-21 2013-08-29 Zih Corp. Electrically configurable option board interface
US9561646B2 (en) 2015-03-27 2017-02-07 Zih Corp. High speed adaptive thermal printhead interface
US9571513B2 (en) * 2015-04-23 2017-02-14 International Business Machines Corporation Monitoring device monitoring network
IT201700050153A1 (it) * 2017-05-09 2018-11-09 St Microelectronics Srl Modulo hardware di sicurezza, relativo sistema di elaborazione, circuito integrato e dispositivo
JP7020969B2 (ja) * 2018-03-16 2022-02-16 株式会社東芝 携帯可能電子装置、及びicカード

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4055746A (en) * 1969-11-07 1977-10-25 Glen Peterson Method of and apparatus for securing and storing personal information
US4114027A (en) * 1976-09-13 1978-09-12 The Mosler Safe Company On-line/off-line automated banking system
JPS5854426B2 (ja) * 1981-04-08 1983-12-05 株式会社日立製作所 携帯形端末装置
US4578530A (en) * 1981-06-26 1986-03-25 Visa U.S.A., Inc. End-to-end encryption system and method of operation
GB2146814A (en) * 1983-09-17 1985-04-24 Ibm Electronic fund transfer systems
US4630201A (en) * 1984-02-14 1986-12-16 International Security Note & Computer Corporation On-line and off-line transaction security system using a code generated from a transaction parameter and a random number
US4839640A (en) * 1984-09-24 1989-06-13 Adt Inc. Access control system having centralized/distributed control
US4727243A (en) * 1984-10-24 1988-02-23 Telenet Communications Corporation Financial transaction system
US4816653A (en) * 1986-05-16 1989-03-28 American Telephone And Telegraph Company Security file system for a portable data carrier
JPH087720B2 (ja) * 1986-09-16 1996-01-29 富士通株式会社 複数サービス用icカードの領域アクセス方法
DE3731736A1 (de) * 1986-09-27 1988-04-07 Toshiba Kawasaki Kk Verarbeitungssystem fuer tragbare elektronische vorrichtung
DE3732615A1 (de) * 1986-11-19 1988-06-01 Toshiba Kawasaki Kk Verarbeitungssystem fuer eine tragbare, elektronische vorrichtung
US4900904A (en) * 1986-11-26 1990-02-13 Wright Technologies, L.P. Automated transaction system with insertable cards for downloading rate or program data
EP0281058B1 (de) * 1987-03-04 1993-02-03 Siemens Nixdorf Informationssysteme Aktiengesellschaft Datenaustauschsystem
EP0330404B1 (en) * 1988-02-20 1994-11-30 Fujitsu Limited Integrated circuit cards
US4983816A (en) * 1988-02-24 1991-01-08 Kabushiki Kaisha Toshiba Portable electronic device
FR2651347A1 (fr) * 1989-08-22 1991-03-01 Trt Telecom Radio Electr Procede de generation de nombre unique pour carte a microcircuit et application a la cooperation de la carte avec un systeme hote.
GB8920346D0 (en) * 1989-09-08 1989-10-25 Fortronic Ltd Ic card processing system
GB2242769B (en) * 1990-04-02 1994-02-09 Brandsystem Ltd Card security systems
US5204663A (en) * 1990-05-21 1993-04-20 Applied Systems Institute, Inc. Smart card access control system
JPH04213242A (ja) * 1990-12-07 1992-08-04 Hitachi Ltd 限定同報通信システム
US5200999A (en) * 1991-09-27 1993-04-06 International Business Machines Corporation Public key cryptosystem key management based on control vectors
EP0566811A1 (en) * 1992-04-23 1993-10-27 International Business Machines Corporation Authentication method and system with a smartcard
US5715448A (en) * 1992-04-30 1998-02-03 Olympus Optical Co., Ltd. Open database system wherein access by subscribers to a network is limited
JP3329496B2 (ja) * 1992-11-04 2002-09-30 富士通株式会社 Icカード
US5317636A (en) * 1992-12-09 1994-05-31 Arris, Inc. Method and apparatus for securing credit card transactions
US5324922A (en) * 1993-02-25 1994-06-28 Verifone, Inc. Apparatus and method for managing transactions
JPH06274397A (ja) * 1993-03-24 1994-09-30 Toshiba Corp ファイル管理方式
US5343529A (en) * 1993-09-28 1994-08-30 Milton Goldfine Transaction authentication using a centrally generated transaction identifier
CA2137505C (en) * 1993-12-09 1999-05-04 Young W. Lee Multi-memory access limiting circuit for multi-memory device
US5557742A (en) * 1994-03-07 1996-09-17 Haystack Labs, Inc. Method and system for detecting intrusion into and misuse of a data processing system
US5563946A (en) * 1994-04-25 1996-10-08 International Business Machines Corporation Method and apparatus for enabling trial period use of software products: method and apparatus for passing encrypted files between data processing systems
US5548721A (en) * 1994-04-28 1996-08-20 Harris Corporation Method of conducting secure operations on an uncontrolled network
US5629980A (en) * 1994-11-23 1997-05-13 Xerox Corporation System for controlling the distribution and use of digital works

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11496462B2 (en) * 2017-11-29 2022-11-08 Jpmorgan Chase Bank, N.A. Secure multifactor authentication with push authentication

Also Published As

Publication number Publication date
DE69529103T2 (de) 2003-05-08
JPH0844805A (ja) 1996-02-16
DE69525577T2 (de) 2002-08-22
EP0973125A3 (en) 2000-02-23
EP0973125A2 (en) 2000-01-19
DE69525577D1 (de) 2002-04-04
US6012143A (en) 2000-01-04
EP0973125B1 (en) 2002-12-04
EP0696016A2 (en) 1996-02-07
DE69529103D1 (de) 2003-01-16
EP0696016B1 (en) 2002-02-27
EP0696016A3 (en) 1996-05-15
US5845069A (en) 1998-12-01

Similar Documents

Publication Publication Date Title
JP4095680B2 (ja) カード型記憶装置用セキュリティ管理方法およびカード型記憶装置
US7177835B1 (en) Method and device for generating a single-use financial account number
US8315948B2 (en) Method and device for generating a single-use financial account number
CA2417901C (en) Entity authentication in electronic communications by providing verification status of device
EP2143028B1 (en) Secure pin management
US5721781A (en) Authentication system and method for smart card transactions
RU2224288C2 (ru) Защищенное запоминающее устройство, имеющее защиту от перехвата
JP5050066B2 (ja) 携帯型電子的課金/認証デバイスとその方法
US7526652B2 (en) Secure PIN management
US20040255131A1 (en) Integrated circuit devices with steganographic authentication and steganographic authentication methods
US20080048024A1 (en) Accommodating multiple users of a secure credit card
CA2617901A1 (en) System and method for selective encryption of input data during a retail transaction
WO1994007219A1 (en) Combination pin pad and terminal
JP4303768B2 (ja) カード型記憶装置用セキュリティ管理方法,カード型記憶装置およびカード型記憶装置用取引装置
JP2003123032A (ja) Icカード端末および本人認証方法
KR100408890B1 (ko) 다중 인증경로를 이용한 신용거래 인증방법 및 이를이용한 시스템
JP3792808B2 (ja) 認証方法及び認証システム
KR100423506B1 (ko) 아이씨칩내장카드를 이용한 온라인상에서의 소프트웨어불법복제방지방법
KR100187518B1 (ko) 듀얼카드를 이용한 ic카드 단말기의 상호 인증 장치
JPH08255232A (ja) 個人認証システムおよび個人認証システムにおける暗証番号の管理方法
Parsovs Security improvements for the Estonian ID card
EP1269284A2 (en) System and method for the protection of electronic communications and data using multiple, single-use key codes

Legal Events

Date Code Title Description
A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20020604

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071228

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080125

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080310

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110314

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110314

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120314

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130314

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130314

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140314

Year of fee payment: 6

EXPY Cancellation because of completion of term