JP4220290B2 - Invalidation system - Google Patents

Invalidation system Download PDF

Info

Publication number
JP4220290B2
JP4220290B2 JP2003109458A JP2003109458A JP4220290B2 JP 4220290 B2 JP4220290 B2 JP 4220290B2 JP 2003109458 A JP2003109458 A JP 2003109458A JP 2003109458 A JP2003109458 A JP 2003109458A JP 4220290 B2 JP4220290 B2 JP 4220290B2
Authority
JP
Japan
Prior art keywords
secure device
communication terminal
communication
identification code
invalidation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2003109458A
Other languages
Japanese (ja)
Other versions
JP2004005580A (en
Inventor
誠 館林
なつめ 松崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Priority to JP2003109458A priority Critical patent/JP4220290B2/en
Publication of JP2004005580A publication Critical patent/JP2004005580A/en
Application granted granted Critical
Publication of JP4220290B2 publication Critical patent/JP4220290B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、コンテンツの不正な使用を防止するための技術、及び、電子商取引(モバイルEC)における不正を防止する技術を備えるセキュアデバイスに関する。
【0002】
【従来の技術】
近年、インターネット等のネットワークを介して、音楽コンテンツや動画像コンテンツの配信を受けるコンテンツ配信サービス、及び、モバイルECサービス等の様々な電子情報サービスが普及している。
これらの電子情報サービスにおいては、コンテンツの不正な使用を防止するコンテンツ保護技術、及び、モバイルECにおける認証技術や課金技術等のEC保護技術が不可欠であり、これら技術を備えるセキュアデバイスが開発され利用されている。
【0003】
例えば、ユーザはこのようなセキュアデバイスを自分の携帯電話に装着して、外出先からコンテンツ配信サービスやモバイルECサービス等を安全に行うことができる。
セキュアデバイスについては、「コンテンツ配信・モバイルコマース用のセキュアマルチメディアカード」日立評論2001年10月号、三宅順、石原晴次、常広隆司に、コンテンツ保護技術とEC保護技術とを備えるセキュアマルチメディアカード(以下「SMMC」)が記載されている。
【0004】
このように、セキュアデバイスは、電子商取引におけるユーザのサインや実印に匹敵する機能を備えており、また他人に知られたくない情報そのものや、暗号化された電子メール等を復号するための秘密鍵等を格納する。
よって、セキュアデバイスを紛失したり、盗難にあった場合には、悪意のある第三者によりセキュアデバイスが不正に使用されてユーザが経済的な損失を被ったり、他人に知られたくない情報が知られてしまうことになる。
【0005】
そこで第三者にセキュアデバイスを不正に使用されないように、指紋などの生体情報やパスワードによってユーザを認証する機能を備えたセキュアデバイスも登場している。
例えば、外部から入力したパスワード等の秘密データと内部メモリに格納されたデータとを比較し、これらが一致した場合にのみセキュアデバイスの使用を許可する方法が、特公平3−65589号公報に開示されている。
【0006】
しかしながら、ここで外部から入力する秘密データは、ユーザがパスフレーズとして自身の記憶の中に留めておかなければならないため、ユーザが覚え易い数字列等に設定される事が多く、第三者に類推され易い。
また、指紋などの生体情報を用いる場合には、生体情報を読み取るための装置が必要であり、コストアップが避けられない。
【0007】
従って、セキュアデバイスを紛失したり、盗難にあった場合には、セキュアデバイスを無効化することが望まれる。
例えば、ユーザの使用履歴を記録するメモリを持ち、所定数の不成功操作が行われると機能を停止する個人携帯カードが、特公平4−44314号公報に開示されている。
【0008】
また例えば、携帯電話のような無線通信機器に装着されるICカードにおいて、ICカードに電話番号等の固有の識別コードと無効化データとを記憶しておき、ICカードを紛失した場合にユーザが別の電話端末から識別コードを宛先として無効化データを送信し、ICカードは受信した無効化データと記憶しておいた無効化データとを比較し、これらが一致した場合に機能を停止する方法が、特開平11−177682号公報に開示されている。
【0009】
【特許文献1】
特公平3−65589号公報
【0010】
【特許文献2】
特公平4−44314号公報
【0011】
【特許文献3】
特開平11−177682号公報
【0012】
【発明が解決しようとする課題】
しかしながら、ここでICカードは、特定の通信事業者の発行する固有の識別コードを宛先として通信が可能とされる、いわゆる電話システムの加入者に対して提供されるSIM(Subscriber Identification Module)であることが前提となっているが、この方法だと、安全性を確保するためにはICカードの利用形態がこの識別コードを宛先として通信する場合に限られてしまう。
【0013】
ユーザの立場からすれば、セキュアデバイスの利用形態が特定の通信事業者の発行する識別コードを用いた場合だけに制限されることは好ましくない。例えば、あるときにはセキュアデバイスを携帯電話に装着して電子商取引を行い、またあるときには同じセキュアデバイスをインターネット端末に装着してメールの暗号処理に利用し、かつ異なる利用形態であってもセキュアデバイスを無効化できることが望まれる。
【0014】
本発明は、セキュアデバイスの利用形態が特定の通信事業者の発行する識別コードを用いた場合だけに制限されることがなく、また異なる利用形態であってもセキュアデバイスを無効化できる無効化方法、無効化システム、及びプログラムを提供することを目的とする。
【0015】
【課題を解決するための手段】
上記目的を達成するために、本発明に係る無効化方法は、通信端末毎に対応付けられた通信識別コードを記憶し当該通信識別コードに基づいて他の装置と通信可能である通信端末、セキュアデバイス毎に対応付けられた識別番号を記憶し当該通信端末に装着されて利用されるセキュアデバイス、及び、当該セキュアデバイスを無効化する指示が正当であることを示す無効化コードを記憶し当該セキュアデバイスを無効化するか否かについて管理する管理装置からなるシステムにおける当該セキュアデバイスの無効化方法であって、前記セキュアデバイスが前記通信端末に装着されている状態において当該セキュアデバイスに記憶されている識別番号と当該通信端末に記憶されている通信識別コードとを前記管理装置へ通知する通知ステップと、前記管理装置において通知ステップにより通知された識別番号と通信識別コードとを関連づけて保持する保持ステップと、前記管理装置において前記セキュアデバイスの正当権利者からの指示に基づいて無効化すべきセキュアデバイスの識別番号の入力を受け付ける受付ステップと、前記管理装置において受付ステップにより受け付けられた識別番号に基づいて保持ステップにより保持された通信識別コードを抽出し当該管理装置に記憶されている無効化コードを抽出した通信識別コードにより特定される通信端末に送信する無効化指示ステップと、前記セキュアデバイスが前記通信端末に装着されている状態において前記無効化指示ステップにより送信された無効化コードを受信した場合に当該セキュアデバイスを無効化する無効化ステップとを含むことを特徴とする。
【0016】
上記目的を達成するために、本発明に係る無効化システムは、他の装置と通信可能である通信端末、当該通信端末に装着されて利用されるセキュアデバイス、及び、当該セキュアデバイスを無効化するか否かについて管理する管理装置からなる無効化システムであって、前記セキュアデバイスは、セキュアデバイス毎に対応付けられた識別番号を記憶している識別番号記憶手段と、前記通信端末に装着されている状態において装着されている通信端末を介して識別番号記憶手段に記憶されている識別番号を前記管理装置へ通知する識別番号通知手段と、前記通信端末に装着されている状態において当該通信端末より当該セキュアデバイスに対する無効化指示が出された場合に当該セキュアデバイスを無効化する無効化手段とを備え、前記通信端末は、通信端末毎に対応付けられた通信識別コードを記憶している通信識別コード記憶手段と、前記セキュアデバイスを装着している状態において通信識別コード記憶手段に記憶されている通信識別コードを前記管理装置へ通知する通信識別コード通知手段と、前記セキュアデバイスを装着している状態において当該管理装置からセキュアデバイスを無効化する指示が正当であることを示す無効化コードを受信した場合に受信した無効化コードに基づいて前記セキュアデバイスへ無効化指示を出す無効化コード受信手段とを備え、前記管理装置は、前記無効化コードを記憶している無効化コード記憶手段と、識別番号通知手段により通知された識別番号と通信識別コード通知手段により通知された通信識別コードとを関連付けて保持する保持手段と、前記セキュアデバイスの正当権利者からの指示に基づいて無効化すべきセキュアデバイスの識別番号の入力を受け付ける受付手段と、受付手段により受け付けられた識別番号に基づいて保管手段により保管された通信識別コードを抽出し無効化コード記憶手段に記憶されている無効化コードを抽出した通信識別コードにより特定される通信端末に送信する無効化コード送信手段とを備えることを特徴とする。
【0017】
上記目的を達成するために、本発明に係る通信プログラムは、セキュアデバイスを装着して利用する通信端末における通信プログラムであって、ここで前記セキュアデバイスはセキュアデバイス毎に対応付けられた識別番号を記憶しており、ここで前記通信端末は通信端末毎に対応付けられた通信識別コードを記憶しており、前記セキュアデバイスが前記通信端末に装着されている状態において当該通信端末に記憶されている通信識別コードと当該セキュアデバイスの識別番号とを管理装置へ通知する通知ステップと、前記セキュアデバイスが前記通信端末に装着されている状態において前記管理装置から前記通信識別コードに基づいて当該通信端末宛に送信された当該セキュアデバイスを無効化する指示を受信した場合に当該セキュアデバイスを無効化する無効化ステップとを含むことを特徴とする。
【0018】
上記目的を達成するために、本発明に係る管理プログラムは、通信端末に装着されて利用されるセキュアデバイスを無効化するか否かについて管理する管理装置における管理プログラムであって、ここで前記管理装置は前記セキュアデバイスを無効化する指示が正当であることを示す無効化コードを記憶しており、前記セキュアデバイスが前記通信端末に装着されている状態において当該通信端末からセキュアデバイス毎に対応付けられた識別番号と通信端末毎に対応付けられた通信識別コードとを受信しこれらを関連付けて保持する通信識別コード保持ステップと、前記セキュアデバイスの正当権利者からの指示に基づいて無効化すべきセキュアデバイスの識別番号の入力を受け付ける受付ステップと、受付手段により受け付けられた識別番号に基づいて通信識別コード保持ステップにより保持された通信識別コードを抽出し前記管理装置に記憶されている無効化コードを抽出した通信識別コードにより特定される通信端末に送信する無効化コード送信ステップとを含むことを特徴とする。
【0019】
これによって、セキュアデバイスを、通信端末に装着されている状態で紛失した場合は、管理装置に保持している通信端末の通信識別コード宛に無効化コード等の無効化する指示を送付すれば、セキュアデバイスを無効化することができ、また、紛失したセキュアデバイスが別の通信端末に装着された場合は、装着時点でその通信端末の通信識別コードが管理装置に送付され、セキュアデバイスを確実に無効化できる。
【0020】
従って、セキュアデバイスの利用形態が特定の通信事業者の発行する識別コードを用いた場合だけに制限されることがなく、また異なる利用形態であってもセキュアデバイスを無効化できる。
また、管理センターから無効化する指示を送付するので、高度な暗号アルゴリズムを用いた認証プロトコルを実施でき、従来のユーザの記憶に頼るパスワード等による認証を用いた無効化方法に比べて、容易に安全性を高めることができる。
【0021】
【発明の実施の形態】
<実施の形態>
<構成>
図1は、本発明の実施の形態における無効化システムの概略構成を示す図である。
【0022】
図1に示すように、実施の形態の無効化システムは、セキュアデバイス1、通信端末2、通信路3、通信局4、通信端末5、インターネット6、ECサイト7、及び管理センター8から構成される。
セキュアデバイス1は、例えばJAVA(登録商標) Card等のセキュアマルチメディアカードであり、ユーザ等によって携帯電話やインターネット端末等の複数の通信端末のいずれかに装着され利用されるものである。
【0023】
ここでセキュアデバイス1の外形は、例えば従来のSMMCと同様に切手大程度のサイズや、従来のICカードのサイズであり、他の形状であってもよい。
通信端末2は、例えば携帯電話やインターネット端末であり、通信路3を介して他の装置と通信可能である。
通信路3は、通信局4の通信事業者が有する通信網の一部である。
【0024】
通信局4は、通信端末2、及び通信端末5に通信サービスを提供する。
インターネット6は、外部の他の装置と接続する際に用いられる通信網である。
ECサイト7は、インターネットに接続され、ユーザに対して電子商取引のサービスを提供するECサイトである。
【0025】
管理センター8は、セキュアデバイス1の正当権利者からの要求に基づいて、通信端末2に装着されたセキュアデバイス1を無効化するための電子メールを送信する。
ユーザは通信端末2にセキュアデバイス1を装着し、通信局4との間で通信を行い、通信局4を介してECサイト7にアクセスし、クレジットカード決済システムなどを用いて電子商取引などを行う。
【0026】
図2は、セキュアデバイス1の構成を示す図である。
図2に示すようにセキュアデバイス1は、記憶部11、ユーザ認証部12、乱数発生部13、暗号エンジン14、通知部15、更新部16、無効化部17、有効化部18、制限付き利用部19、及び制限変更部20を備える。
記憶部11は、例えばTRM(Tamper Resistant Module:耐タンパモジュール)内のPROMとRAM、及びTRM外の大容量のフラッシュメモリ(例えば8MBから256MB程度)からなり、ここでPROMは初期設定時にのみ一度だけデータの書き込みができるメモリーであって、データの書き込み後において外部から読み出しができる領域と外部からの読み出しができない領域に分かれており、外部から読み出しができる領域には、セキュアデバイス毎に対応付けられたセキュアデバイスを一意的に識別する固有の識別番号と、管理センターの通信識別コードである電子メールアドレスとが記録され、外部からの読み出しができない領域には暗号通信用の復号鍵と、デジタル署名用の署名鍵と、ユーザ認証用の認証鍵と、セキュアデバイスを無効化する指示の正当性を認証する為に用いる無効化用の認証鍵と、セキュアデバイスを有効化する指示の正当性を認証する為に用いる有効化用の認証鍵と、ユーザ認証用の記録パスワードとが記憶され、またRAMには、購入済みのチケット情報やプライバシ情報など、一般的又はユーザにとって価値が高いと思われる情報と、今までに装着された通信端末の通信識別コード、及び直近に装着された通信端末の通信識別コードである電子メールアドレスが記憶され、またフラッシュメモリには、一般的及びユーザにとって価値がさほど高くないと思われる情報が記憶される。
【0027】
ここでTRMとは、外部から本モジュール内に記録されているデータの不正な参照や改竄などを困難にする施策が施されたモジュールである。
また、セキュアデバイスがまだ使用されていないなど、今までに装着された通信端末の通信識別コード、及び直近に装着された通信端末が存在しない場合には、記憶部11には、電子メールアドレスの初期値としてオールゼロが記憶されている。
【0028】
ここでは、セキュアデバイス1の識別番号を「SDID」とし、直近に装着された通信端末の電子メールアドレスを「SD_MLADR」とし、管理センター8の電子メールアドレスを「CMLADR」とする。
具体的には、例えば、管理センター8の電子メールアドレスは「HYPERLINK "mailto:center@xxx.jp" 」であり、通信端末2の電子メールアドレスは、「HYPERLINK "mailto:abcd@xxx.jp"」である。
【0029】
ユーザ認証部12は、TRM内に配置され、セキュアデバイス1の利用に先だって、ユーザにより入力される入力パスワードと、初期設定状態で記憶部11に記憶されている記録パスワードとを比較し、これらが一致した場合にTRM内の他の構成要素を活性化状態にしてセキュアデバイス1を利用させ、これらが一致しない場合にTRM内の他の構成要素を不活性化状態にしてセキュアデバイス1を利用させない。
【0030】
乱数発生部13は、TRM内に配置され、装着されている通信端末からの要求に基づいて、64ビットの乱数を生成して通信端末へ渡す。
暗号エンジン14は、TRM内に配置され、暗号、復号、署名作成、署名検証を行うモジュールであり、電子商取引のためのデータやプライベートな電子メール等を暗号化、復号化したり、商取引のためのデジタル署名の作成や検証を行なう。ここで共通鍵暗号はDES、公開鍵暗号はRSA暗号、デジタル署名はRSA署名を用いる。なおこれらの技術は池野、小山著、「現代暗号理論」電子通信学会編、1985年に記載されている。
【0031】
通知部15は、装着されている通信端末へ記憶部11に記憶されている識別番号を通知し、装着されている通信端末に、記憶部11に記憶されている識別番号を、通信端末の通信識別コードと共に管理センター8へ通知させる。
更新部16は、装着されている通信端末から、記憶部11に記憶している直近に装着された通信端末の通信識別コードを更新するよう指示する更新指示を受けて、装着されている通信端末の通信識別コードを、直近に装着された通信端末の通信識別コードとして記憶する。
【0032】
無効化部17は、セキュアデバイス1に対する無効化指示を通信端末2から受け取った場合に、乱数発生部13および暗号エンジン14を用いてチャレンジレスポンス処理を行うことにより無効化指示の正当性を認証し、正当である場合にセキュアデバイス1を無効化し、無効化が成功した旨の信号を通信端末2に対して送出し、正当でない場合には無効化が失敗した旨の信号を通信端末2に対して送出する。
【0033】
ここでセキュアデバイスを無効化するとは、セキュアデバイスが備える主な機能を停止し、かつ、記憶されているデータを外部から読み出しができない状態にすることを指し、一旦無効化された後に正当な有効化指示を受け付けた場合には、無効化の状態を解除できるものとする。
なお、無効化の状態を解除できないものとする場合には、セキュアデバイスが備える機能を破壊し、記憶されているデータを消去してもよい。
【0034】
有効化部18は、セキュアデバイス1に対する有効化指示を通信端末2から受け取った場合に、乱数発生部13および暗号エンジン14を用いてチャレンジレスポンス処理を行うことにより有効化指示の正当性を認証し、正当である場合にセキュアデバイス1を有効化し、有効化が成功した旨の信号を通信端末2に対して送出し、正当でない場合には有効化が失敗した旨の信号を通信端末2に対して送出する。
【0035】
ここでセキュアデバイスを有効化するとは、一旦無効化された後に無効化の状態を解除することを指す。
制限付き利用部19は、限度額等の所定の制限内において、オフラインでセキュアデバイスの利用を許可する。例えば、限度額が5000円である場合には、オフライン残高データの初期値「5000」を保持し、オフラインで使用した金額分をオフライン残高データから減算し、オフラインでオフライン残高データ分を越える金額の使用は許さない。
【0036】
制限変更部20は、制限付き利用部19における制限を、オンラインで管理センター8から無効化可能な状態においてのみ、オフライン残高を初期値に戻したり、限度額を変更する。例えば、限度額が5000円で、オフライン残高データが「1000」の場合に、オンラインでオフライン残高データを初期値「5000」に戻したり、限度額を10000円に変更する。
【0037】
図3は、通信端末2の構成を示す図である。
図3に示すように通信端末2は、記憶部21、装着検出部22、通信識別コード取得部23、比較部24、更新指示部25、生成部26、通知部27、無効化指示部28、有効化指示部29、及びHTTPモジュール30を備える。
記憶部21は、通信端末毎に対応付けられた固有の通信識別コードを記憶している。ここでは、通信端末2の通信識別コードとして電子メールアドレス「MLADR」を記憶しているものとする。
【0038】
装着検出部22は、何らかのセキュアデバイスを装着した事を検出する。
通信識別コード取得部23は、装着検出部22により何らかのセキュアデバイスを装着した事が検出された場合に、装着されたセキュアデバイスから、直近に装着された通信端末の通信識別コードを取得する。ここでは、セキュアデバイス1が装着され、直近に装着された通信端末の通信識別コードとして電子メールアドレス「SD_MLADR」を取得するものとする。
【0039】
比較部24は、通信識別コード取得部23により取得された通信識別コード「SD_MLADR」と、記憶部21に記憶されている通信識別コード「MLADR」とを比較して、同じであるか否かを判定する。
更新指示部25は、比較部24により同じでないと判定された場合には、記憶部21に記憶されている通信識別コード「MLADR」を、直近に装着された通信端末の通信識別コードとすることを指示する更新指示をセキュアデバイス1に出して、セキュアデバイス1の記憶を更新させる。
【0040】
生成部26は、無効化用の認証鍵「DKEY」と、有効化用の認証鍵「AKEY」とを生成する。
ここで無効化用の認証鍵、及び有効化用の認証鍵は56ビットの二進乱数である。
通知部27は、更新指示部25によりセキュアデバイス1の記憶を更新させた場合に、記憶部11に記憶されている管理センター8の通信識別コード「CMLADR」とセキュアデバイス1の識別番号「SDID」とを読み出し、読み出した識別番号「SDID」と、記憶部21に記憶されている通信識別コード「MLADR」と、生成部26により生成された無効化用の認証鍵及び有効化用の認証鍵とを含む電子メールを、読み出した電子メールアドレス「CMLADR」宛に送信することにより、管理センター8にセキュアデバイス1を登録し、生成部26により生成された無効化用の認証鍵「DKEY」、及び有効化用の認証鍵「AKEY」を、装着されているセキュアデバイス1に記憶させる。
【0041】
ここで、通知部27等により送信される電子メールの書式はインターネット技術標準である、RFC822「ARPAインターネットテキストメッセージの書式のための標準」に従うものとし、バイナリデータであるDKEY、AKEYは別のインターネット技術標準RFC1521(MIME規格)で規定する印刷可能文字列に変換されて電子メール本体に埋め込まれるものとする。
【0042】
なお、本実施の形態では、セキュアデバイスが以前と同一の通信端末に装着される限り、通知部27は更新を指示する電子メールを送信しないが、以前と同一の通信端末に装着されるか否かにかかわらず、例えば、セキュアデバイスが装着される度、通信端末をONにする度、所定時間毎、又は利用する毎に更新を指示する電子メールを送信してもよい。このような場合にはセキュアデバイスが今までに装着された通信端末の通信識別コードを記憶する必要がなく、また管理センターは記憶している更新を指示する電子メールに含まれる内容に変更があればこれを更新する。
【0043】
無効化指示部28は、管理センター8から通信端末2の電子メールアドレス「MLADR」宛に、セキュアデバイス1の識別番号「SDID」と無効化用の認証鍵「DKEY」とを含むセキュアデバイスの無効化を指示する電子メールが送付された場合に、装着されているセキュアデバイスに要求して識別番号を受け取り、識別番号が一致した場合に、装着されているセキュアデバイスに要求して乱数を生成させて乱数R1を受け取り、乱数R1を無効化用の認証鍵「DKEY」を用いたDESアルゴリズムによって暗号化して暗号文C1を生成して、これを無効化指示としてセキュアデバイス1に渡す。
【0044】
ここで無効化指示として暗号文C1を受け取った無効化部17は、暗号文C1を記憶部11に記憶している無効化用の認証鍵を用いたDESアルゴリズムによって復号し、復号結果D1と乱数発生部13により生成した乱数R1とを比較し、これらが一致した場合に、無効化指示が正当であると認証する。
有効化指示部29は、管理センター8から通信端末2の電子メールアドレス「MLADR」宛に、セキュアデバイス1の識別番号「SDID」と有効化用の認証鍵「AKEY」とを含むセキュアデバイスの有効化を指示する電子メールが送付された場合に、装着されているセキュアデバイスに要求して識別番号を受け取り、識別番号が一致した場合に、装着されているセキュアデバイスに要求して乱数を生成させて乱数R2を受け取り、乱数R2を有効化用の認証鍵「AKEY」を用いたDESアルゴリズムによって暗号化して暗号文C2を生成して、これを有効化指示としてセキュアデバイス1に渡す。
【0045】
ここで有効化指示として暗号文C2を受け取った有効化部18は、暗号文C2を記憶部11に記憶している有効化用の認証鍵を用いたDESアルゴリズムによって復号し、復号結果D2と乱数発生部13により生成した乱数R2とを比較し、これらが一致した場合に、有効化指示が正当であると認証する。
また、通知部27は管理センター8へ、セキュアデバイス1から無効化が成功した旨の信号を受けた場合に、無効化が成功したことを示す電子メールを送信し、セキュアデバイス1から有効化が成功した旨の信号を受けた場合に、有効化が成功したことを示す電子メールを送信し、セキュアデバイス1から無効化が失敗した旨の信号を受けた場合、及び無効化指示部28において識別番号が一致しない場合に、無効化が失敗したことを示す電子メールを送信し、セキュアデバイス1から有効化が失敗した旨の信号を受けた場合、及び有効化指示部29において識別番号が一致しない場合に、有効化が失敗したことを示す電子メールを送信する。
【0046】
HTTPモジュール30は、HTTPなどの通信規約に従って提供される、ECサイト7の商品情報などを受信し、注文情報を送信するモジュールである。
図4は、管理センター8の構成を示す図である。
図4に示す管理センター8は、ユーザ情報記憶部31、通信識別コード保持部32、受付部33、指示送信部34、及び、結果受信部35を備える。
【0047】
ユーザ情報記憶部31は、ユーザに関するユーザ情報(住所、氏名、年齢、生年月日、連絡先電話番号、パスワードなど)を、セキュアデバイスの識別番号と関連付けて記憶する。例えば、ユーザがセキュアデバイス1を購入した場合に、ユーザ情報とセキュアデバイス1の識別番号「SDID」とが、直接又は業務委託されたセキュアデバイスの販売店等を介して管理センター8に通知され、ユーザ情報記憶部31に記憶される。
【0048】
通信識別コード保持部32は、通信端末から、セキュアデバイスの識別番号と、通信端末の通信識別コードと、無効化用の認証鍵と、有効化用の認証鍵とを含む電子メールを受け取り、これらの情報を関連付けてセキュアデバイスの識別番号毎に保持する。
なお、通信識別コード保持部32は、最新の情報のみを保持してもよいし、過去の情報を削除せずに、送信日時等と共に履歴情報として蓄積してもよい。
【0049】
受付部33は、セキュアデバイスの正当権利者からの指示に基づいて、無効化すべきセキュアデバイスの識別番号、及び、有効化すべきセキュアデバイスの識別番号の入力を受け付ける。
例えば、ユーザがセキュアデバイス1を紛失した場合、ユーザは速やかに管理センター8のオペレータに氏名等を通知し、セキュアデバイス1の無効化を依頼する。
【0050】
これを受けた管理センター8のオペレータは、例えば、ユーザの氏名をキーとしてユーザ情報記憶部31から該当するデータを検索し、住所や電話番号をもとに依頼者が正当権利者である事を確認し、関連付けて記憶されているセキュアデバイス1の識別番号「SDID」を、無効化すべきセキュアデバイスの識別番号として入力する。
【0051】
また例えば、ユーザがセキュアデバイス1を紛失して無効化した後で発見された場合、ユーザは管理センター8のオペレータに氏名等を通知し、セキュアデバイス1の有効化を依頼する。
これを受けた管理センター8のオペレータは、例えば、ユーザの氏名をキーとしてユーザ情報記憶部31から該当するデータを検索し、住所や電話番号をもとに依頼者が正当権利者である事を確認し、関連付けて記憶されているセキュアデバイス1の識別番号「SDID」を、有効化すべきセキュアデバイスの識別番号として入力する。
【0052】
指示送信部34は、受付部33により受け付けられた識別番号に基づいて、無効化すべき場合には、通信識別コードと無効化用の認証鍵を抽出して、抽出した通信識別コードにより特定される通信端末に、識別番号と無効化用の認証鍵とを含む無効化を指示する電子メールを送信し、有効化すべき場合には、通信識別コードと有効化用の認証鍵を抽出し、抽出した通信識別コードにより特定される通信端末に、識別番号と有効化用の認証鍵とを含む有効化を指示する電子メールを送信する。
【0053】
結果受信部35は、無効化、及び有効化の指示が、成功又は失敗したことを示す電子メールを通信端末2から受信して、この結果を指示送信部34に知らせ、通信識別コード保持部32に保持させる。
ここで無効化、及び有効化の指示が、成功又は失敗したことを示す結果を受っけ取った通信識別コード保持部32は、この結果に実施日時や順に番号等を付ける等により前後関係を明確にして保存する。
【0054】
<動作>
(通信識別コード等の設定時及び更新時の動作)
図5は、本発明の実施の形態における無効化システムによる通信識別コード等の設定時及び更新時の動作の手順を示す図である。
以下に、通信識別コード等の設定時及び更新時の動作の手順を説明する。
【0055】
(1)装着検出部22が、何らかのセキュアデバイスが装着された事を検出する(ステップS1)。
(2)通信識別コード取得部23が、装着されたセキュアデバイスから、直近に装着された通信端末の通信識別コードを取得する(ステップS2)。ここでは、セキュアデバイス1が装着され、直近に装着された通信端末の通信識別コードとして電子メールアドレス「SD_MLADR」を取得するものとする。
【0056】
(3)比較部24が、通信識別コード取得部23により取得された通信識別コードと、記憶部21に記憶されている通信識別コードとを比較して、同じであるか否かを判定する(ステップS3)。同じであると判定された場合は処理を終了する。
(4)同じでないと判定された場合は、更新指示部25が、記憶部21に記憶されている通信識別コードを、直近に装着された通信端末の通信識別コードとすることを指示する更新指示をセキュアデバイス1に出して、記憶部11の記憶を更新させる(ステップS4)。
【0057】
(5)生成部26が、無効化用の認証鍵と、有効化用の認証鍵とを生成する(ステップS5)。
(6)ステップS5により生成された無効化用の認証鍵及び有効化用の認証鍵を、記憶部11に記憶する(ステップS6)。
(7)通知部27が、記憶部11に記憶されている電子メールアドレス「CMLADR」と識別番号「SDID」とを読み出す(ステップS7)。
【0058】
(8)通知部27が、読み出した識別番号「SDID」と、記憶部21に記憶されている通信識別コードと、生成部26により生成された無効化用の認証鍵及び有効化用の認証鍵とを含む電子メールを作成する(ステップS8)。
(9)ステップS7で作成した電子メールを、ステップS6で読み出した電子メールアドレス「CMLADR」宛に送信する(ステップS9)。
【0059】
(10)通信識別コード保持部32が、ステップS8で送信された電子メールを受け取り、これらの情報を関連付けてセキュアデバイスの識別番号毎に保持することによりセキュアデバイス1を登録する(ステップS10)。
(無効化時の動作)
図6は、本発明の実施の形態における無効化システムによる無効化時の動作の手順を示す図である。
【0060】
以下に、無効化時の動作の手順を説明する。
(1)受付部33が、無効化すべきセキュアデバイスの識別番号の入力を受け付ける(ステップS11)。ここではセキュアデバイス1の識別番号の入力を受けるものとする。
(2)指示送信部34が、受付部33により受け付けられた識別番号に基づいて、通信識別コードと無効化用の認証鍵を抽出する(ステップS12)。
【0061】
(3)指示送信部34が、受付部33により受け付けられた識別番号と抽出した無効化用の認証鍵とを含む電子メールを生成する(ステップS13)。
(4)指示送信部34が、生成した電子メールを、抽出した通信識別コードにより特定される通信端末に送信する(ステップS14)。
(5)無効化指示部28が、ステップS14により送信された電子メールを受け取ると、装着されているセキュアデバイスに要求して識別番号を受け取る(ステップS15)。
【0062】
(6)無効化指示部28が、電子メールに含まれる識別番号と、セキュアデバイスから受け取った識別番号とが一致するか否かを判断する(ステップS16)。
(7)識別番号が一致しない場合には、通知部27が、無効化が失敗したことを示す電子メールを管理センター8へ送信する(ステップS17)。
【0063】
(8)結果受信部35は、無効化が失敗したことを示す電子メールを受信して、この結果を指示送信部34に知らせ、通信識別コード保持部32に保持させる(ステップS18)。
(9)識別番号が一致した場合には、無効化指示部28が、装着されているセキュアデバイスに要求して乱数を生成させて乱数R1を受け取り、乱数R1を無効化用の認証鍵を用いて暗号化して暗号文C1を生成して、これを無効化指示としてセキュアデバイスに渡す(ステップS19)。
【0064】
(10)無効化部17が、無効化指示として暗号文C1を受け取ると、暗号文C1を記憶部11に記憶している無効化用の認証鍵を用いて復号する(ステップS20)。
(11)無効化部17が、復号結果D1と乱数発生部13により生成した乱数R1とを比較する(ステップS21)。
【0065】
(12)一致しない場合には、無効化部17が、無効化指示が正当でないと判断して、無効化が失敗した旨の信号を通信端末2に対して送出する(ステップS22)。
(13)通信端末2が、無効化が失敗した旨の信号を受け取ると、通知部27が、無効化が失敗したことを示す電子メールを管理センター8へ送信する(ステップS23)。
【0066】
(14)結果受信部35は、無効化が失敗したことを示す電子メールを受信して、この結果を指示送信部34に知らせ、通信識別コード保持部32に保持させる(ステップS24)。
(15)一致した場合には、無効化部17が、無効化指示が正当であると判断して、セキュアデバイス1を無効化し、無効化が成功した旨の信号を通信端末2に対して送出する(ステップS25)。
【0067】
(16)通信端末2が、無効化が成功した旨の信号を受け取ると、通知部27が、無効化が成功したことを示す電子メールを管理センター8へ送信する(ステップS26)。
(17)結果受信部35は、無効化が成功したことを示す電子メールを受信して、この結果を指示送信部34に知らせ、通信識別コード保持部32に保持させる(ステップS27)。
(有効化時の動作)
図7は、本発明の実施の形態における有効化システムによる無効化時の動作の手順を示す図である。
【0068】
以下に、有効化時の動作の手順を説明する。
(1)受付部33が、有効化すべきセキュアデバイスの識別番号の入力を受け付ける(ステップS31)。ここではセキュアデバイス1の識別番号の入力を受けるものとする。
(2)指示送信部34が、受付部33により受け付けられた識別番号に基づいて、通信識別コードと有効化用の認証鍵を抽出する(ステップS32)。
【0069】
(3)指示送信部34が、受付部33により受け付けられた識別番号と抽出した有効化用の認証鍵とを含む電子メールを生成する(ステップS33)。
(4)指示送信部34が、生成した電子メールを、抽出した通信識別コードにより特定される通信端末に送信する(ステップS34)。
(5)有効化指示部29が、ステップS34により送信された電子メールを受け取ると、装着されているセキュアデバイスに要求して識別番号を受け取る(ステップS35)。
【0070】
(6)有効化指示部29が、電子メールに含まれる識別番号と、セキュアデバイスから受け取った識別番号とが一致するか否かを判断する(ステップS36)。
(7)識別番号が一致しない場合には、通知部27が、有効化が失敗したことを示す電子メールを管理センター8へ送信する(ステップS37)。
【0071】
(8)結果受信部35は、有効化が失敗したことを示す電子メールを受信して、この結果を指示送信部34に知らせ、通信識別コード保持部32に保持させる(ステップS38)。
(9)識別番号が一致した場合には、有効化指示部29が、装着されているセキュアデバイスに要求して乱数を生成させて乱数R2を受け取り、乱数R2を有効化用の認証鍵を用いて暗号化して暗号文C2を生成して、これを有効化指示としてセキュアデバイスに渡す(ステップS39)。
【0072】
(10)有効化部18が、有効化指示として暗号文C2を受け取ると、暗号文C2を記憶部11に記憶している有効化用の認証鍵を用いて復号する(ステップS40)。
(11)有効化部18が、復号結果D2と乱数発生部13により生成した乱数R2とを比較する(ステップS41)。
【0073】
(12)一致しない場合には、有効化部18が、有効化指示が正当でないと判断して、有効化が失敗した旨の信号を通信端末2に対して送出する(ステップS42)。
(13)通信端末2が、有効化が失敗した旨の信号を受け取ると、通知部27が、有効化が失敗したことを示す電子メールを管理センター8へ送信する(ステップS43)。
【0074】
(14)結果受信部35は、有効化が失敗したことを示す電子メールを受信して、この結果を指示送信部34に知らせ、通信識別コード保持部32に保持させる(ステップS44)。
(15)一致した場合には、有効化部18が、有効化指示が正当であると判断して、セキュアデバイス1を有効化し、有効化が成功した旨の信号を通信端末2に対して送出する(ステップS45)。
【0075】
(16)通信端末2が、有無効化が成功した旨の信号を受け取ると、通知部27が、有効化が成功したことを示す電子メールを管理センター8へ送信する(ステップS46)。
(17)結果受信部35は、有効化が成功したことを示す電子メールを受信して、この結果を指示送信部34に知らせ、通信識別コード保持部32に保持させる(ステップS47)。
【0076】
以上のように、本発明の実施の形態によれば、セキュアデバイスが装着された通信端末の電子メールアドレスが管理センターに通知されて保持され、セキュアデバイスを無効化したいときに管理センターが保持している電子メールアドレス宛に無効化を指示する電子メールを送信することができるので、セキュアデバイスを利用形態が異なる通信端末に装着して利用しつつ、いかなる通信端末に装着されていても無効化することもできる。
【0077】
なお、本発明の実施の形態によれば、無効化の対象として電子メールに含まれる識別番号と、セキュアデバイスから読み出したSDIDが一致しなければセキュアデバイスを無効化しないので、不正を行おうとする者が通信端末とセキュアデバイスとの間のデータを操作するman-in-the-middle攻撃により、SDIDを不正に改ざんして無効化を免れる可能性がある。このような不正を防止するため、セキュアデバイスから読み出すSDIDにデジタル署名などの認証データを付加し、通信端末はこの認証データを用いてSDIDデータの正当性を認証し、正当なSDIDデータでないと確認された場合には、そのセキュアデバイスを使用しない事とする。
【0078】
また、無効化、及び有効化を指示する電子メールが、送信の途中で記録され、再利用されるという不正行為を防止するために、無効化処理及び有効化処理の後に、上記図5と同様の方法で有効化用の認証鍵及び有効化用の認証鍵を更新してもよい。
また、本実施の形態によれば、通信端末が、通信識別コードの設定時及び更新時に、無効化用の認証鍵、及び有効化用の認証鍵を生成して、セキュアデバイスと管理センターへ渡すものとしたが、無効化用の認証鍵、及び有効化用の認証鍵は、安全にセキュアデバイスと管理センターとで共有できさえすれば、いかなる時にいかなる装置が生成してもよい。例えば、セキュアデバイスの製造時に無効化用の認証鍵、及び有効化用の認証鍵を記憶してこれらを記載した保証書を発行しておき、ユーザがこの保証書を管理センターに郵送又は持ち込んでもよい。 また、本実施の形態によれば、セキュアデバイスを無効化あるいは有効化する際に、認証鍵が漏洩しないように、通信端末とセキュアデバイスとの間でチャレンジレスポンス処理を行うものとしたが、安全性に問題がなければいかなる認証処理を行なってもよい。例えば、認証処理として、パスワードを用いるという簡便な方式をとることも可能である。
【0079】
また、本実施の形態によれば、管理センターと通信端末との間で電子メールをやり取りしたが、第3者による成りすましを防止する為に、電子メールの内容を暗号化したり、タイムスタンプを含んだデジタル署名を行い、通信路上の安全性を高めることもできる。
また、コンピュータに本発明の実施の形態のような動作を実行させることができるプログラムが、コンピュータ読み取り可能な記録媒体に記録されて流通したり、ネットワークで直接転送されたりして、取り引きの対象となりうる。
【0080】
ここでコンピュータ読み取り可能な記録媒体とは、例えば、フロッピー(登録商標)ディスク、CD、MO、DVD、メモリーカード等の着脱可能な記録媒体、ハードディスク、半導体メモリ等の固定記録媒体等であり、特に限定されるものではない。
【0081】
【発明の効果】
本発明に係る無効化方法は、通信端末毎に対応付けられた通信識別コードを記憶し当該通信識別コードに基づいて他の装置と通信可能である通信端末、セキュアデバイス毎に対応付けられた識別番号を記憶し当該通信端末に装着されて利用されるセキュアデバイス、及び、当該セキュアデバイスを無効化する指示が正当であることを示す無効化コードを記憶し当該セキュアデバイスを無効化するか否かについて管理する管理装置からなるシステムにおける当該セキュアデバイスの無効化方法であって、前記セキュアデバイスが前記通信端末に装着されている状態において当該セキュアデバイスに記憶されている識別番号と当該通信端末に記憶されている通信識別コードとを前記管理装置へ通知する通知ステップと、前記管理装置において通知ステップにより通知された識別番号と通信識別コードとを関連づけて保持する保持ステップと、前記管理装置において前記セキュアデバイスの正当権利者からの指示に基づいて無効化すべきセキュアデバイスの識別番号の入力を受け付ける受付ステップと、前記管理装置において受付ステップにより受け付けられた識別番号に基づいて保持ステップにより保持された通信識別コードを抽出し当該管理装置に記憶されている無効化コードを抽出した通信識別コードにより特定される通信端末に送信する無効化指示ステップと、前記セキュアデバイスが前記通信端末に装着されている状態において前記無効化指示ステップにより送信された無効化コードを受信した場合に当該セキュアデバイスを無効化する無効化ステップとを含むことを特徴とする。
【0082】
本発明に係る無効化システムは、他の装置と通信可能である通信端末、当該通信端末に装着されて利用されるセキュアデバイス、及び、当該セキュアデバイスを無効化するか否かについて管理する管理装置からなる無効化システムであって、前記セキュアデバイスは、セキュアデバイス毎に対応付けられた識別番号を記憶している識別番号記憶手段と、前記通信端末に装着されている状態において装着されている通信端末を介して識別番号記憶手段に記憶されている識別番号を前記管理装置へ通知する識別番号通知手段と、前記通信端末に装着されている状態において当該通信端末より当該セキュアデバイスに対する無効化指示が出された場合に当該セキュアデバイスを無効化する無効化手段とを備え、前記通信端末は、通信端末毎に対応付けられた通信識別コードを記憶している通信識別コード記憶手段と、前記セキュアデバイスを装着している状態において通信識別コード記憶手段に記憶されている通信識別コードを前記管理装置へ通知する通信識別コード通知手段と、前記セキュアデバイスを装着している状態において当該管理装置からセキュアデバイスを無効化する指示が正当であることを示す無効化コードを受信した場合に受信した無効化コードに基づいて前記セキュアデバイスへ無効化指示を出す無効化コード受信手段とを備え、前記管理装置は、前記無効化コードを記憶している無効化コード記憶手段と、識別番号通知手段により通知された識別番号と通信識別コード通知手段により通知された通信識別コードとを関連付けて保持する保持手段と、前記セキュアデバイスの正当権利者からの指示に基づいて無効化すべきセキュアデバイスの識別番号の入力を受け付ける受付手段と、受付手段により受け付けられた識別番号に基づいて保管手段により保管された通信識別コードを抽出し無効化コード記憶手段に記憶されている無効化コードを抽出した通信識別コードにより特定される通信端末に送信する無効化コード送信手段とを備えることを特徴とする。
【0083】
本発明に係るセキュアデバイスは、通信端末に装着されて利用されるセキュアデバイスであって、前記通信端末は通信端末毎に対応付けられた通信識別コードを予め記憶し当該通信識別コードに基づいて他の装置と通信可能であり、セキュアデバイス毎に対応付けられた識別番号を記憶している記憶手段と、前記通信端末に装着されている状態において装着されている通信端末を介して記憶手段に記憶されている識別番号を当該通信端末の通信識別コードと共に管理装置へ通知する通知手段と、前記通信端末に装着されている状態において前記管理装置から当該通信端末の通信識別コードに基づいて当該通信端末宛に送信された当該セキュアデバイスを無効化する指示を当該通信端末を介して受け取った場合に当該セキュアデバイスを無効化する無効化手段とを備えることを特徴とする。
【0084】
本発明に係る通信端末は、セキュアデバイスを装着して利用する通信端末であって、ここで前記セキュアデバイスはセキュアデバイス毎に対応付けられた識別番号を記憶しており、通信端末毎に対応付けられた通信識別コードを記憶している記憶手段と、前記セキュアデバイスを装着している状態において記憶手段に記憶されている通信識別コードと当該セキュアデバイスの識別番号とを管理装置へ通知する通知手段と、前記セキュアデバイスを装着している状態において前記管理装置から前記通信識別コードに基づいて当該通信端末宛に送信された当該セキュアデバイスを無効化する指示を受信した場合に当該セキュアデバイスを無効化する無効化手段とを備えることを特徴とする。
【0085】
本発明に係る管理装置は、通信端末に装着されて利用されるセキュアデバイスを無効化するか否かについて管理する管理装置であって、前記セキュアデバイスを無効化する指示が正当であることを示す無効化コードを記憶している無効化コード記憶手段と、前記セキュアデバイスが前記通信端末に装着されている状態において当該通信端末からセキュアデバイス毎に対応付けられた識別番号と通信端末毎に対応付けられた通信識別コードとを受信しこれらを関連付けて保持する通信識別コード保持手段と、前記セキュアデバイスの正当権利者からの指示に基づいて無効化すべきセキュアデバイスの識別番号の入力を受け付ける受付手段と、受付手段により受け付けられた識別番号に基づいて通信識別コード保持手段により保持された通信識別コードを抽出し無効化コード記憶手段に記憶されている無効化コードを抽出した通信識別コードにより特定される通信端末に送信する無効化コード送信手段とを備えることを特徴とする。
【0086】
本発明に係る通信プログラムは、セキュアデバイスを装着して利用する通信端末における通信プログラムであって、ここで前記セキュアデバイスはセキュアデバイス毎に対応付けられた識別番号を記憶しており、ここで前記通信端末は通信端末毎に対応付けられた通信識別コードを記憶しており、前記セキュアデバイスが前記通信端末に装着されている状態において当該通信端末に記憶されている通信識別コードと当該セキュアデバイスの識別番号とを管理装置へ通知する通知ステップと、前記セキュアデバイスが前記通信端末に装着されている状態において前記管理装置から前記通信識別コードに基づいて当該通信端末宛に送信された当該セキュアデバイスを無効化する指示を受信した場合に当該セキュアデバイスを無効化する無効化ステップとを含むことを特徴とする。
【0087】
本発明に係る管理プログラムは、通信端末に装着されて利用されるセキュアデバイスを無効化するか否かについて管理する管理装置における管理プログラムであって、ここで前記管理装置は前記セキュアデバイスを無効化する指示が正当であることを示す無効化コードを記憶しており、前記セキュアデバイスが前記通信端末に装着されている状態において当該通信端末からセキュアデバイス毎に対応付けられた識別番号と通信端末毎に対応付けられた通信識別コードとを受信しこれらを関連付けて保持する通信識別コード保持ステップと、前記セキュアデバイスの正当権利者からの指示に基づいて無効化すべきセキュアデバイスの識別番号の入力を受け付ける受付ステップと、受付手段により受け付けられた識別番号に基づいて通信識別コード保持ステップにより保持された通信識別コードを抽出し前記管理装置に記憶されている無効化コードを抽出した通信識別コードにより特定される通信端末に送信する無効化コード送信ステップとを含むことを特徴とする。
【0088】
これによって、セキュアデバイスを、通信端末に装着されている状態で紛失した場合は、管理装置に保持している通信端末の通信識別コード宛に無効化コード等の無効化する指示を送付すれば、セキュアデバイスを無効化することができ、また、紛失したセキュアデバイスが別の通信端末に装着された場合は、装着時点でその通信端末の通信識別コードが管理装置に送付され、セキュアデバイスを確実に無効化できる。
【0089】
従って、セキュアデバイスの利用形態が特定の通信事業者の発行する識別コードを用いた場合だけに制限されることがなく、また異なる利用形態であってもセキュアデバイスを無効化できる。
また、管理センターから無効化する指示を送付するので、高度な暗号アルゴリズムを用いた認証プロトコルを実施でき、従来のユーザの記憶に頼るパスワード等による認証を用いた無効化方法に比べて、容易に安全性を高めることができる。
【0090】
またセキュアデバイスにおいて、前記記憶手段は、さらに、今までに装着された通信端末の通信識別コードの履歴を記憶することを特徴とすることもできる。これによって、紛失したセキュアデバイスが発見された場合に、紛失中に装着された通信端末がわかるので、不正使用者を特定する手がかりになる。
またセキュアデバイスにおいて、前記記憶手段は、さらに、前記管理装置の電子メールアドレスを記憶しており、前記通信端末の通信識別コードは電子メールアドレスであり、前記通知手段は、装着されている通信端末に前記識別番号と前記通信識別コードとを含む電子メールを記憶手段に記憶された管理装置の電子メールアドレス宛に送付させ、前記無効化手段は、前記通信端末の電子メールアドレス宛に送信された当該セキュアデバイスを無効化する指示を含む電子メールに基づいて当該通信端末から当該セキュアデバイスを無効化する指示を受け取ることを特徴とすることもできる。
【0091】
これによって、電子メールにより情報のやり取りを行うことができるので、通信端末の電源がOFFである場合などのように、直接通信ができない時であっても、情報を発信する事ができる。
またセキュアデバイスは、さらに、前記無効化手段により当該セキュアデバイスが無効化された後で、前記管理装置から前記通信端末の通信識別コードに基づいて当該通信端末宛に送信された当該セキュアデバイスを有効化する指示を当該通信端末を介して受け取った場合に、当該セキュアデバイスを有効化する有効化手段を備えることを特徴とすることもできる。
【0092】
これによって、セキュアデバイスを無効化した後で発見された場合、管理装置に保持している通信端末の通信識別コード宛に有効化コード等の有効化する指示を送付すれば、セキュアデバイスを有効化することができ、また、別の通信端末に装着しても、装着時点でその通信端末の通信識別コードが管理装置に送付され、セキュアデバイスを有効化することができる。
【0093】
またセキュアデバイスは、さらに、所定の制限内においてオフラインで当該セキュアデバイスの利用を許可する制限付き利用手段と、制限付き利用手段における所定の制限をオンラインで変更する制限変更手段とを備えることを特徴とすることもできる。
これによって、所定の制限内においてオフラインでの利用ができ、オンラインで所定の制限の更新及び変更ができるので、安全性と利便性を両立できる。
【0094】
またセキュアデバイスにおいて、前記無効化手段は、さらに、前記通信端末とチャレンジレスポンス認証を行い、成功した場合にのみ当該セキュアデバイスを無効化することを特徴とすることもできる。
これによって、通信端末やセキュアデバイスを無効化する指示が不正なものでない場合にのみ無効化することができる。
【0095】
また通信端末において、当該通信端末は、さらに、前記セキュアデバイスを装着した事を検出する接続検出手段を備え、前記セキュアデバイスは、さらに、直近に装着された通信端末の通信識別コードを記憶し、前記通知手段は、接続検出手段によりセキュアデバイスを装着した事が検出された場合に前記セキュアデバイスから直近に装着された通信端末の通信識別コードを取得する通信識別コード取得手段と、通信識別コード取得手段により取得された通信識別コードと前記記憶手段に記憶されている通信識別コードとを比較して同じであるか否かを判定する比較手段と、比較手段により同じであると判定された場合には前記通知を実施せず、同じでないと判定された場合には前記記憶手段に記憶されている通信識別コードを直近に装着された通信端末の通信識別コードとするように前記セキュアデバイスの記憶を更新させ前記通知を実施する更新手段とを含むことを特徴とすることもできる。
【0096】
これによって、以前と同一の通信端末に装着される限り通知しないので、無駄な通信が発生せず、また管理装置の負担を減らすことができる。
【図面の簡単な説明】
【図1】本発明の実施の形態における無効化システムの概略構成を示す図である。
【図2】セキュアデバイス1の構成を示す図である。
【図3】通信端末2の構成を示す図である。
【図4】管理センター8の構成を示す図である。
【図5】本発明の実施の形態における無効化システムによる通信識別コード等の設定時及び更新時の動作の手順を示す図である。
【図6】本発明の実施の形態における無効化システムによる無効化時の動作の手順を示す図である。
【図7】本発明の実施の形態における有効化システムによる無効化時の動作の手順を示す図である。
【符号の説明】
1 セキュアデバイス
2 通信端末
3 通信路
4 通信局
5 通信端末
6 インターネット
7 ECサイト
8 管理センター
11 記憶部
12 ユーザ認証部
13 乱数発生部
14 暗号エンジン
15 通知部
16 更新部
17 無効化部
18 有効化部
19 制限付き利用部
20 制限変更部
21 記憶部
22 装着検出部
23 通信識別コード取得部
24 比較部
25 更新指示部
26 生成部
27 通知部
28 無効化指示部
29 有効化指示部
30 HTTPモジュール
31 ユーザ情報記憶部
32 通信識別コード保持部
33 受付部
34 指示送信部
35 結果受信部[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a secure device provided with a technique for preventing unauthorized use of content and a technique for preventing fraud in electronic commerce (mobile EC).
[0002]
[Prior art]
In recent years, various electronic information services such as a content distribution service for receiving distribution of music content and moving image content and a mobile EC service via a network such as the Internet have become widespread.
In these electronic information services, content protection technology to prevent unauthorized use of content and EC protection technology such as authentication technology and billing technology in mobile EC are indispensable, and secure devices equipped with these technologies are developed and used Has been.
[0003]
For example, a user can attach such a secure device to his / her mobile phone and safely perform a content distribution service, a mobile EC service, or the like from outside.
For secure devices, "Secure Multimedia Card for Content Distribution / Mobile Commerce" Hitachi Review October 2001 issue, Jun Miyake, Haruji Ishihara, Takashi Tsunehiro, Secure Multimedia with Content Protection Technology and EC Protection Technology A card (hereinafter referred to as “SMMC”) is described.
[0004]
In this way, the secure device has a function comparable to a user's signature or actual seal in electronic commerce, and also has a secret key for decrypting information itself that does not want to be known to others, encrypted emails, etc. Etc. are stored.
Therefore, if the secure device is lost or stolen, the secure device is illegally used by a malicious third party and the user suffers an economic loss, or there is information that the other user does not want to know. It will be known.
[0005]
In view of this, a secure device having a function of authenticating a user with a biometric information such as a fingerprint or a password has also appeared so that the secure device is not illegally used by a third party.
For example, a method for comparing secret data such as a password input from the outside with data stored in the internal memory and permitting the use of the secure device only when they match is disclosed in Japanese Patent Publication No. 3-65589 Has been.
[0006]
However, since the secret data input from the outside here must be kept in its own memory as a passphrase by the user, it is often set to a number string etc. that is easy for the user to remember. Easy to guess.
In addition, when using biological information such as fingerprints, a device for reading the biological information is necessary, and an increase in cost is inevitable.
[0007]
Therefore, when the secure device is lost or stolen, it is desired to invalidate the secure device.
For example, Japanese Patent Publication No. 4-44314 discloses a personal portable card that has a memory for recording a user's usage history and stops functioning when a predetermined number of unsuccessful operations are performed.
[0008]
Also, for example, in an IC card that is mounted on a wireless communication device such as a mobile phone, a unique identification code such as a telephone number and invalidation data are stored in the IC card, and the user loses the IC card when the IC card is lost. A method in which invalidation data is transmitted from another telephone terminal with the identification code as a destination, and the IC card compares the received invalidation data with the stored invalidation data, and stops the function when they match. Is disclosed in JP-A-11-177682.
[0009]
[Patent Document 1]
Japanese Patent Publication No. 3-65589
[0010]
[Patent Document 2]
Japanese Patent Publication No. 4-44314
[0011]
[Patent Document 3]
JP-A-11-177682
[0012]
[Problems to be solved by the invention]
However, here, the IC card is a SIM (Subscriber Identification Module) provided to a subscriber of a so-called telephone system in which communication is possible with a unique identification code issued by a specific communication carrier as a destination. However, with this method, in order to ensure safety, the usage form of the IC card is limited to the case where communication is performed using this identification code as the destination.
[0013]
From the user's point of view, it is not preferable that the use form of the secure device is limited only when an identification code issued by a specific communication carrier is used. For example, in some cases, a secure device is attached to a mobile phone for electronic commerce, and in other cases, the same secure device is attached to an Internet terminal and used for mail encryption processing. It is desirable that it can be invalidated.
[0014]
The present invention is not limited only when the use form of a secure device uses an identification code issued by a specific communication carrier, and the disabling method that can invalidate the secure device even in a different use form An object is to provide an invalidation system and a program.
[0015]
[Means for Solving the Problems]
In order to achieve the above object, the invalidation method according to the present invention stores a communication identification code associated with each communication terminal and can communicate with other devices based on the communication identification code, secure A secure device that stores an identification number associated with each device and is used by being attached to the communication terminal, and an invalidation code indicating that an instruction to invalidate the secure device is valid and stores the secure device A method for invalidating a secure device in a system including a management device that manages whether to invalidate a device, and stored in the secure device in a state where the secure device is attached to the communication terminal A notification step of notifying the management device of an identification number and a communication identification code stored in the communication terminal; A holding step of associating and holding the identification number and the communication identification code notified by the notification step in the management device; and identification of a secure device to be invalidated based on an instruction from a right holder of the secure device in the management device A receiving step for receiving an input of a number, and extracting a communication identification code held by the holding step based on the identification number received by the receiving step in the management device and extracting an invalidation code stored in the management device When the invalidation instruction step transmitted to the communication terminal specified by the communication identification code is received and the invalidation code transmitted by the invalidation instruction step in a state where the secure device is attached to the communication terminal Disable step to disable secure device Characterized in that it comprises a flop.
[0016]
In order to achieve the above object, an invalidation system according to the present invention invalidates a communication terminal that can communicate with another device, a secure device that is mounted on the communication terminal, and the secure device. An invalidation system comprising a management device for managing whether or not the secure device is attached to an identification number storage means for storing an identification number associated with each secure device and the communication terminal Identification number notifying means for notifying the management device of the identification number stored in the identification number storage means via the communication terminal that is attached in a state where the communication terminal is attached, and from the communication terminal that is attached to the communication terminal Invalidating means for invalidating the secure device when an invalidation instruction is issued to the secure device, and the communication The end includes a communication identification code storage means storing a communication identification code associated with each communication terminal, and a communication identification code stored in the communication identification code storage means when the secure device is mounted. Received when a communication identification code notification means for notifying the management device and an invalidation code indicating that the instruction to invalidate the secure device is valid from the management device in a state where the secure device is mounted An invalidation code receiving means for issuing an invalidation instruction to the secure device based on the invalidation code, and the management device includes an invalidation code storage means for storing the invalidation code, and an identification number notification means Is stored in association with the identification number notified by the communication identification code notified by the communication identification code notification means. Means for accepting input of an identification number of the secure device to be invalidated based on an instruction from the right holder of the secure device, and communication stored by the storage means based on the identification number accepted by the accepting means And an invalidation code transmitting means for extracting the identification code and transmitting it to the communication terminal specified by the communication identification code extracted from the invalidation code stored in the invalidation code storage means.
[0017]
In order to achieve the above object, a communication program according to the present invention is a communication program in a communication terminal that is used by mounting a secure device, wherein the secure device has an identification number associated with each secure device. Here, the communication terminal stores a communication identification code associated with each communication terminal, and is stored in the communication terminal in a state where the secure device is attached to the communication terminal. A notification step of notifying the management device of the communication identification code and the identification number of the secure device; and the management device addressed to the communication terminal based on the communication identification code when the secure device is attached to the communication terminal. When the instruction to invalidate the secure device sent to the Characterized in that it comprises an invalidation step of invalidating the scan.
[0018]
In order to achieve the above object, a management program according to the present invention is a management program in a management apparatus that manages whether or not to invalidate a secure device that is mounted on a communication terminal and used, wherein the management program The apparatus stores an invalidation code indicating that an instruction to invalidate the secure device is valid, and associates the secure device with each secure device in a state where the secure device is attached to the communication terminal. A communication identification code holding step for receiving and holding the communication identification code associated with each communication terminal in association with each other, and a secure to be invalidated based on an instruction from the right holder of the secure device Acceptance step for accepting input of device identification number and identification accepted by acceptance means The invalidation code transmission step of extracting the communication identification code held by the communication identification code holding step based on the number and transmitting the invalidation code stored in the management device to the communication terminal specified by the extracted communication identification code It is characterized by including.
[0019]
Thus, if the secure device is lost while attached to the communication terminal, if an instruction to invalidate the invalidation code or the like is sent to the communication identification code of the communication terminal held in the management device, The secure device can be invalidated, and if the lost secure device is attached to another communication terminal, the communication identification code of that communication terminal is sent to the management device at the time of attachment, ensuring the secure device Can be disabled.
[0020]
Therefore, the usage form of the secure device is not limited to the case where an identification code issued by a specific communication carrier is used, and the secure device can be invalidated even in a different usage form.
In addition, because an instruction to invalidate is sent from the management center, it is possible to implement an authentication protocol using a high-level encryption algorithm, which is easier than the invalidation method using authentication using a password or the like that relies on the memory of a conventional user. Safety can be increased.
[0021]
DETAILED DESCRIPTION OF THE INVENTION
<Embodiment>
<Configuration>
FIG. 1 is a diagram showing a schematic configuration of an invalidation system according to an embodiment of the present invention.
[0022]
As shown in FIG. 1, the invalidation system of the embodiment includes a secure device 1, a communication terminal 2, a communication path 3, a communication station 4, a communication terminal 5, the Internet 6, an EC site 7, and a management center 8. The
The secure device 1 is a secure multimedia card such as JAVA (registered trademark) Card, for example, and is used by being mounted on any of a plurality of communication terminals such as a mobile phone or an Internet terminal by a user or the like.
[0023]
Here, the outer shape of the secure device 1 is, for example, the size of a postage stamp similar to the conventional SMMC, the size of a conventional IC card, or other shapes.
The communication terminal 2 is, for example, a mobile phone or an Internet terminal, and can communicate with other devices via the communication path 3.
The communication path 3 is a part of a communication network owned by a communication carrier of the communication station 4.
[0024]
The communication station 4 provides a communication service to the communication terminal 2 and the communication terminal 5.
The Internet 6 is a communication network used when connecting to other external devices.
The EC site 7 is an EC site that is connected to the Internet and provides electronic commerce services to users.
[0025]
The management center 8 transmits an e-mail for invalidating the secure device 1 attached to the communication terminal 2 based on a request from the right holder of the secure device 1.
The user attaches the secure device 1 to the communication terminal 2, communicates with the communication station 4, accesses the EC site 7 through the communication station 4, and performs electronic commerce using a credit card payment system or the like. .
[0026]
FIG. 2 is a diagram illustrating a configuration of the secure device 1.
As shown in FIG. 2, the secure device 1 includes a storage unit 11, a user authentication unit 12, a random number generation unit 13, a cryptographic engine 14, a notification unit 15, an update unit 16, an invalidation unit 17, an activation unit 18, and restricted use. A unit 19 and a restriction changing unit 20 are provided.
The storage unit 11 includes, for example, a PROM and a RAM in a TRM (Tamper Resistant Module: Tamper Resistant Module), and a large-capacity flash memory (for example, about 8 MB to 256 MB) outside the TRM. This is a memory that can only write data, and is divided into an area that can be read from outside after data writing and an area that cannot be read from outside, and the areas that can be read from outside are associated with each secure device. A unique identification number that uniquely identifies a secure device and an e-mail address that is a communication identification code of the management center are recorded, and a decryption key for encrypted communication, digital Signing key for signing and user authentication Authentication key, invalidation authentication key used to authenticate the validity of the instruction to invalidate the secure device, and validation authentication key used to authenticate the validity of the instruction to validate the secure device And a record password for user authentication are stored in the RAM, and information that is considered to be generally or highly valuable to the user, such as purchased ticket information and privacy information, and a communication terminal that has been installed so far And an e-mail address that is the communication identification code of the communication terminal that is installed most recently, and information that seems to be of low value to the general and user is stored in the flash memory .
[0027]
Here, the TRM is a module in which measures are taken to make it difficult to illegally refer to or tamper with data recorded in the module from the outside.
In addition, when there is no communication identification code of the communication terminal that has been installed so far, and there is no communication terminal that has been installed most recently, such as when the secure device is not yet used, the storage unit 11 stores the e-mail address. All zero is stored as an initial value.
[0028]
Here, the identification number of the secure device 1 is “SDID”, the e-mail address of the most recently installed communication terminal is “SD_MLADR”, and the e-mail address of the management center 8 is “CMLADR”.
Specifically, for example, the e-mail address of the management center 8 is “HYPERLINK“ mailto: center@xxx.jp ””, and the e-mail address of the communication terminal 2 is “HYPERLINK“ mailto: abcd@xxx.jp ”. Is.
[0029]
The user authentication unit 12 is arranged in the TRM, and compares the input password input by the user with the recording password stored in the storage unit 11 in the initial setting state before using the secure device 1. If they match, the other components in the TRM are activated and the secure device 1 is used. If they do not match, the other components in the TRM are deactivated and the secure device 1 is not used. .
[0030]
The random number generation unit 13 is arranged in the TRM and generates a 64-bit random number based on a request from the attached communication terminal and passes it to the communication terminal.
The cryptographic engine 14 is a module that is arranged in the TRM and performs encryption, decryption, signature creation, and signature verification. The encryption engine 14 encrypts and decrypts data for electronic commerce, private emails, etc. Create and verify digital signatures. Here, the common key encryption uses DES, the public key encryption uses RSA encryption, and the digital signature uses RSA signature. These techniques are described in Ikeno and Koyama, “Modern Cryptography”, edited by the Institute of Electronic Communication, 1985.
[0031]
The notification unit 15 notifies the attached communication terminal of the identification number stored in the storage unit 11, and notifies the attached communication terminal of the identification number stored in the storage unit 11. The management center 8 is notified together with the identification code.
The update unit 16 receives an update instruction for instructing to update the communication identification code of the most recently installed communication terminal stored in the storage unit 11 from the installed communication terminal, and the installed communication terminal Is stored as the communication identification code of the communication terminal most recently attached.
[0032]
When the invalidation unit 17 receives an invalidation instruction for the secure device 1 from the communication terminal 2, the invalidation unit 17 authenticates the validity of the invalidation instruction by performing a challenge response process using the random number generation unit 13 and the cryptographic engine 14. If it is valid, the secure device 1 is invalidated and a signal indicating that the invalidation is successful is transmitted to the communication terminal 2, and if invalid, a signal indicating that the invalidation is failed is transmitted to the communication terminal 2. And send it out.
[0033]
“Disabling a secure device” here means stopping the main functions of the secure device and making the stored data unreadable from the outside. When the invalidation instruction is accepted, the invalidation state can be canceled.
If the invalidation state cannot be canceled, the function of the secure device may be destroyed and the stored data may be erased.
[0034]
The validation unit 18 authenticates the validity of the validation instruction by performing challenge response processing using the random number generation unit 13 and the cryptographic engine 14 when the validation instruction for the secure device 1 is received from the communication terminal 2. If it is valid, the secure device 1 is activated, a signal indicating that the activation is successful is transmitted to the communication terminal 2, and if it is not valid, a signal indicating that the activation has failed is transmitted to the communication terminal 2. And send it out.
[0035]
Here, enabling the secure device means releasing the invalidation state after being once invalidated.
The restricted use unit 19 permits the use of the secure device offline within a predetermined limit such as a limit amount. For example, when the limit is 5000 yen, the initial value “5000” of the offline balance data is retained, the amount used offline is subtracted from the offline balance data, and the amount exceeding the offline balance data is offline. Use is not allowed.
[0036]
The restriction changing unit 20 returns the offline balance to the initial value or changes the limit amount only in a state where the restriction in the restricted use unit 19 can be invalidated from the management center 8 online. For example, when the limit amount is 5000 yen and the offline balance data is “1000”, the offline balance data is returned to the initial value “5000” online or the limit amount is changed to 10,000 yen.
[0037]
FIG. 3 is a diagram illustrating a configuration of the communication terminal 2.
As shown in FIG. 3, the communication terminal 2 includes a storage unit 21, a mounting detection unit 22, a communication identification code acquisition unit 23, a comparison unit 24, an update instruction unit 25, a generation unit 26, a notification unit 27, an invalidation instruction unit 28, An activation instruction unit 29 and an HTTP module 30 are provided.
The storage unit 21 stores a unique communication identification code associated with each communication terminal. Here, it is assumed that the electronic mail address “MLADR” is stored as the communication identification code of the communication terminal 2.
[0038]
The attachment detection unit 22 detects that some secure device is attached.
The communication identification code acquisition unit 23 acquires the communication identification code of the communication terminal most recently mounted from the mounted secure device when the mounting detection unit 22 detects that a certain secure device is mounted. Here, it is assumed that the secure device 1 is attached, and the e-mail address “SD_MLADR” is acquired as the communication identification code of the communication terminal most recently attached.
[0039]
The comparison unit 24 compares the communication identification code “SD_MLADR” acquired by the communication identification code acquisition unit 23 with the communication identification code “MLADR” stored in the storage unit 21, and determines whether or not they are the same. judge.
When it is determined by the comparison unit 24 that the update instruction unit 25 is not the same, the update identification unit 25 uses the communication identification code “MLADR” stored in the storage unit 21 as the communication identification code of the most recently installed communication terminal. Is sent to the secure device 1 to update the storage of the secure device 1.
[0040]
The generation unit 26 generates an authentication key “DKEY” for invalidation and an authentication key “AKEY” for validation.
Here, the authentication key for invalidation and the authentication key for validation are 56-bit binary random numbers.
When the update instruction unit 25 updates the storage of the secure device 1, the notification unit 27 updates the communication identification code “CMLADR” of the management center 8 and the identification number “SDID” of the secure device 1 stored in the storage unit 11. And the read identification number “SDID”, the communication identification code “MLADR” stored in the storage unit 21, the invalidation authentication key and the validation authentication key generated by the generation unit 26, Is sent to the read e-mail address “CMLADR”, thereby registering the secure device 1 in the management center 8, and the invalidation authentication key “DKEY” generated by the generation unit 26, and The authentication key “AKEY” for validation is stored in the attached secure device 1.
[0041]
Here, the format of the e-mail transmitted by the notification unit 27 or the like conforms to RFC822 “Standard for Format of ARPA Internet Text Message” which is an Internet technical standard, and binary data DKEY and KEY are different Internet. It is assumed that the character string is converted into a printable character string defined by the technical standard RFC1521 (MIME standard) and embedded in the electronic mail body.
[0042]
In the present embodiment, as long as the secure device is attached to the same communication terminal as before, the notification unit 27 does not transmit an e-mail instructing update, but whether or not the secure device is attached to the same communication terminal as before. Regardless, for example, an e-mail instructing updating may be transmitted every time a secure device is attached, every time the communication terminal is turned on, every predetermined time, or every time it is used. In such a case, it is not necessary for the secure device to store the communication identification code of the communication terminal that has been installed so far, and the management center may change the content contained in the e-mail instructing the stored update. Update this.
[0043]
The invalidation instruction unit 28 invalidates the secure device including the identification number “SDID” of the secure device 1 and the invalidation authentication key “DKEY” from the management center 8 to the e-mail address “MLADR” of the communication terminal 2. When an e-mail instructing to be sent is sent, it requests the attached secure device to receive an identification number, and when the identification number matches, it requests the attached secure device to generate a random number. The random number R1 is received, the random number R1 is encrypted by the DES algorithm using the invalidation authentication key “DKEY” to generate the ciphertext C1, and this is sent to the secure device 1 as an invalidation instruction.
[0044]
Here, the invalidation unit 17 that has received the ciphertext C1 as an invalidation instruction decrypts the ciphertext C1 by the DES algorithm using the invalidation authentication key stored in the storage unit 11, and the decryption result D1 and the random number The random number R1 generated by the generation unit 13 is compared, and if they match, it is authenticated that the invalidation instruction is valid.
The activation instructing unit 29 validates the secure device including the identification number “SDID” of the secure device 1 and the authentication key “AKEY” for activation from the management center 8 to the e-mail address “MLADR” of the communication terminal 2. When an e-mail instructing to be sent is sent, it requests the attached secure device to receive an identification number, and when the identification number matches, it requests the attached secure device to generate a random number. Then, the random number R2 is received, the random number R2 is encrypted by the DES algorithm using the validation authentication key “KEY” to generate the ciphertext C2, and this is sent to the secure device 1 as an validation instruction.
[0045]
Here, the validation unit 18 that has received the ciphertext C2 as the validation instruction decrypts the ciphertext C2 by the DES algorithm using the validation authentication key stored in the storage unit 11, and the decryption result D2 and the random number The random number R2 generated by the generation unit 13 is compared, and if they match, the validation instruction is authenticated as valid.
Further, when the notification unit 27 receives a signal indicating that the invalidation is successful from the secure device 1 to the management center 8, the notification unit 27 transmits an e-mail indicating that the invalidation is successful. When a signal indicating success is received, an e-mail indicating that the activation is successful is transmitted, and when receiving a signal indicating that the invalidation has failed from the secure device 1, the invalidation instruction unit 28 identifies When the numbers do not match, an e-mail indicating that the invalidation has failed is transmitted, and when the signal indicating that the validation has failed from the secure device 1 is received, and the identification number does not match in the validation instruction unit 29 If so, send an email indicating that the activation failed.
[0046]
The HTTP module 30 is a module that receives product information of the EC site 7 provided according to a communication protocol such as HTTP, and transmits order information.
FIG. 4 is a diagram showing a configuration of the management center 8.
The management center 8 illustrated in FIG. 4 includes a user information storage unit 31, a communication identification code holding unit 32, a reception unit 33, an instruction transmission unit 34, and a result reception unit 35.
[0047]
The user information storage unit 31 stores user information related to the user (address, name, age, date of birth, contact telephone number, password, etc.) in association with the identification number of the secure device. For example, when the user purchases the secure device 1, the user information and the identification number “SDID” of the secure device 1 are notified to the management center 8 directly or through a secure device store entrusted to the business, It is stored in the user information storage unit 31.
[0048]
The communication identification code holding unit 32 receives an electronic mail including a secure device identification number, a communication identification code of the communication terminal, an invalidation authentication key, and an validation authentication key from the communication terminal. Is stored for each identification number of the secure device.
Note that the communication identification code holding unit 32 may hold only the latest information, or may store it as history information together with the transmission date and time without deleting past information.
[0049]
The accepting unit 33 accepts input of the identification number of the secure device to be invalidated and the identification number of the secure device to be validated based on an instruction from the right holder of the secure device.
For example, when the user loses the secure device 1, the user promptly notifies the operator of the management center 8 of the name and the like, and requests invalidation of the secure device 1.
[0050]
Upon receiving the request, the operator of the management center 8 searches the corresponding data from the user information storage unit 31 using the user's name as a key, and confirms that the requester is a right holder based on the address and telephone number. The identification number “SDID” of the secure device 1 confirmed and stored in association is input as the identification number of the secure device to be invalidated.
[0051]
Further, for example, when the user is discovered after losing and invalidating the secure device 1, the user notifies the operator of the management center 8 of his / her name and the like, and requests the activation of the secure device 1.
Upon receiving the request, the operator of the management center 8 searches the corresponding data from the user information storage unit 31 using the user's name as a key, and confirms that the requester is a right holder based on the address and telephone number. The identification number “SDID” of the secure device 1 confirmed and stored in association is input as the identification number of the secure device to be validated.
[0052]
The instruction transmitting unit 34 extracts the communication identification code and the authentication key for invalidation based on the identification number received by the receiving unit 33, and is specified by the extracted communication identification code. An e-mail instructing invalidation including an identification number and an invalidation authentication key is sent to the communication terminal, and if it should be validated, the communication identification code and the validation authentication key are extracted and extracted. An e-mail instructing activation including an identification number and an authentication key for activation is transmitted to the communication terminal specified by the communication identification code.
[0053]
The result receiving unit 35 receives an e-mail indicating that the invalidation and validation instruction has succeeded or failed from the communication terminal 2 and notifies the instruction transmitting unit 34 of the result, and the communication identification code holding unit 32. To hold.
Here, the communication identification code holding unit 32 that has received a result indicating that the invalidation and validation instruction has succeeded or failed has a context, for example, by adding an execution date and time or a number to the result. Clarify and save.
[0054]
<Operation>
(Operations when setting and updating communication identification codes, etc.)
FIG. 5 is a diagram showing a procedure of operations at the time of setting and updating the communication identification code and the like by the invalidation system in the embodiment of the present invention.
Hereinafter, an operation procedure at the time of setting and updating the communication identification code will be described.
[0055]
(1) The attachment detection unit 22 detects that any secure device is attached (step S1).
(2) The communication identification code acquisition unit 23 acquires the communication identification code of the communication terminal most recently attached from the attached secure device (step S2). Here, it is assumed that the secure device 1 is attached, and the e-mail address “SD_MLADR” is acquired as the communication identification code of the communication terminal most recently attached.
[0056]
(3) The comparison unit 24 compares the communication identification code acquired by the communication identification code acquisition unit 23 with the communication identification code stored in the storage unit 21 and determines whether or not they are the same ( Step S3). If it is determined that they are the same, the process ends.
(4) If it is determined that they are not the same, the update instruction unit 25 instructs the communication identification code stored in the storage unit 21 to be the communication identification code of the most recently installed communication terminal. To the secure device 1 to update the storage of the storage unit 11 (step S4).
[0057]
(5) The generation unit 26 generates an invalidation authentication key and an validation authentication key (step S5).
(6) The invalidation authentication key and the validation authentication key generated in step S5 are stored in the storage unit 11 (step S6).
(7) The notification unit 27 reads the e-mail address “CMLADR” and the identification number “SDID” stored in the storage unit 11 (step S7).
[0058]
(8) The notification unit 27 reads the identification number “SDID”, the communication identification code stored in the storage unit 21, the invalidation authentication key and the validation authentication key generated by the generation unit 26. Is created (step S8).
(9) The e-mail created in step S7 is transmitted to the e-mail address “CMLADR” read in step S6 (step S9).
[0059]
(10) The communication identification code holding unit 32 receives the electronic mail transmitted in step S8, registers the secure device 1 by associating these pieces of information with each other and holding the information for each identification number of the secure device (step S10).
(Operation when disabled)
FIG. 6 is a diagram showing an operation procedure at the time of invalidation by the invalidation system in the embodiment of the present invention.
[0060]
Below, the procedure of the operation at the time of invalidation will be described.
(1) The receiving unit 33 receives an input of an identification number of a secure device to be invalidated (step S11). Here, it is assumed that the identification number of the secure device 1 is input.
(2) The instruction transmission unit 34 extracts a communication identification code and an invalidation authentication key based on the identification number received by the reception unit 33 (step S12).
[0061]
(3) The instruction transmitting unit 34 generates an e-mail including the identification number received by the receiving unit 33 and the extracted authentication key for invalidation (step S13).
(4) The instruction transmission unit 34 transmits the generated electronic mail to the communication terminal specified by the extracted communication identification code (step S14).
(5) When the invalidation instruction unit 28 receives the electronic mail transmitted in step S14, it requests the attached secure device to receive the identification number (step S15).
[0062]
(6) The invalidation instruction unit 28 determines whether or not the identification number included in the e-mail matches the identification number received from the secure device (step S16).
(7) If the identification numbers do not match, the notification unit 27 transmits an e-mail indicating that the invalidation has failed to the management center 8 (step S17).
[0063]
(8) The result receiving unit 35 receives the e-mail indicating that the invalidation has failed, notifies the instruction transmitting unit 34 of the result, and causes the communication identification code holding unit 32 to hold the result (step S18).
(9) When the identification numbers match, the invalidation instruction unit 28 requests the attached secure device to generate a random number, receives the random number R1, and uses the random number R1 as an invalidation authentication key. The ciphertext C1 is generated by encryption and passed to the secure device as an invalidation instruction (step S19).
[0064]
(10) When the invalidation unit 17 receives the ciphertext C1 as the invalidation instruction, the invalidation unit 17 decrypts the ciphertext C1 using the invalidation authentication key stored in the storage unit 11 (step S20).
(11) The invalidation unit 17 compares the decryption result D1 with the random number R1 generated by the random number generation unit 13 (step S21).
[0065]
(12) If they do not match, the invalidation unit 17 determines that the invalidation instruction is not valid, and sends a signal indicating that the invalidation has failed to the communication terminal 2 (step S22).
(13) When the communication terminal 2 receives a signal indicating that the invalidation has failed, the notification unit 27 transmits an e-mail indicating that the invalidation has failed to the management center 8 (step S23).
[0066]
(14) The result receiving unit 35 receives an e-mail indicating that the invalidation has failed, notifies the instruction transmitting unit 34 of the result, and causes the communication identification code holding unit 32 to hold the result (step S24).
(15) If they match, the invalidation unit 17 determines that the invalidation instruction is valid, invalidates the secure device 1, and sends a signal indicating that the invalidation is successful to the communication terminal 2. (Step S25).
[0067]
(16) When the communication terminal 2 receives the signal indicating that the invalidation is successful, the notification unit 27 transmits an e-mail indicating that the invalidation is successful to the management center 8 (step S26).
(17) The result receiving unit 35 receives the e-mail indicating that the invalidation is successful, notifies the instruction transmitting unit 34 of the result, and causes the communication identification code holding unit 32 to hold the result (step S27).
(Operation when activated)
FIG. 7 is a diagram showing a procedure of an operation at the time of invalidation by the validation system in the embodiment of the present invention.
[0068]
Below, the procedure of the operation at the time of validation will be described.
(1) The accepting unit 33 accepts input of an identification number of a secure device to be activated (step S31). Here, it is assumed that the identification number of the secure device 1 is input.
(2) The instruction transmitting unit 34 extracts a communication identification code and an authentication key for validation based on the identification number received by the receiving unit 33 (step S32).
[0069]
(3) The instruction transmitting unit 34 generates an e-mail including the identification number received by the receiving unit 33 and the extracted authentication key for validation (step S33).
(4) The instruction transmission unit 34 transmits the generated electronic mail to the communication terminal specified by the extracted communication identification code (step S34).
(5) When the activation instruction unit 29 receives the e-mail transmitted in step S34, it requests the attached secure device to receive the identification number (step S35).
[0070]
(6) The activation instruction unit 29 determines whether or not the identification number included in the e-mail matches the identification number received from the secure device (step S36).
(7) If the identification numbers do not match, the notification unit 27 transmits an e-mail indicating that the activation has failed to the management center 8 (step S37).
[0071]
(8) The result receiving unit 35 receives an e-mail indicating that the validation has failed, notifies the instruction transmitting unit 34 of the result, and causes the communication identification code holding unit 32 to hold the result (step S38).
(9) If the identification numbers match, the activation instruction unit 29 requests the attached secure device to generate a random number, receives the random number R2, and uses the random number R2 as an authentication key for activation. The ciphertext C2 is generated by encryption and passed to the secure device as an activation instruction (step S39).
[0072]
(10) When the validation unit 18 receives the ciphertext C2 as the validation instruction, the validation unit 18 decrypts the ciphertext C2 using the validation authentication key stored in the storage unit 11 (step S40).
(11) The validation unit 18 compares the decryption result D2 with the random number R2 generated by the random number generation unit 13 (step S41).
[0073]
(12) If they do not match, the validation unit 18 determines that the validation instruction is not valid, and sends a signal indicating that validation has failed to the communication terminal 2 (step S42).
(13) When the communication terminal 2 receives a signal indicating that the activation has failed, the notification unit 27 transmits an e-mail indicating that the activation has failed to the management center 8 (step S43).
[0074]
(14) The result receiving unit 35 receives the e-mail indicating that the validation has failed, notifies the instruction transmitting unit 34 of the result, and causes the communication identification code holding unit 32 to hold the result (step S44).
(15) If they match, the validation unit 18 judges that the validation instruction is valid, validates the secure device 1, and sends a signal indicating that the validation is successful to the communication terminal 2. (Step S45).
[0075]
(16) When the communication terminal 2 receives the signal indicating that the invalidation is successful, the notification unit 27 transmits an e-mail indicating that the validation is successful to the management center 8 (step S46).
(17) The result receiving unit 35 receives an e-mail indicating that the validation has been successful, notifies the instruction transmitting unit 34 of the result, and causes the communication identification code holding unit 32 to hold the result (step S47).
[0076]
As described above, according to the embodiment of the present invention, the e-mail address of the communication terminal to which the secure device is attached is notified and held in the management center, and is held by the management center when it is desired to invalidate the secure device. Can be sent to the e-mail address that is instructed to be invalidated, so the secure device can be used while attached to a communication terminal with a different usage pattern, and invalidated regardless of the type of communication terminal. You can also
[0077]
According to the embodiment of the present invention, since the secure device is not invalidated unless the identification number included in the e-mail to be invalidated matches the SDID read from the secure device, an attempt is made to perform fraud. A man-in-the-middle attack in which a person manipulates data between a communication terminal and a secure device may illegally tamper with the SDID to avoid invalidation. In order to prevent such fraud, authentication data such as a digital signature is added to the SDID read from the secure device, and the communication terminal authenticates the validity of the SDID data using this authentication data and confirms that it is not valid SDID data. In such a case, the secure device is not used.
[0078]
In addition, in order to prevent fraudulent acts in which an e-mail instructing invalidation and validation is recorded and reused in the middle of transmission, after invalidation processing and validation processing, the same as in FIG. The authentication key for validation and the authentication key for validation may be updated by this method.
Further, according to the present embodiment, the communication terminal generates an invalidation authentication key and an activation authentication key at the time of setting and updating the communication identification code, and passes them to the secure device and the management center. It is assumed that any device may generate the invalidation authentication key and the validation authentication key at any time as long as it can be safely shared between the secure device and the management center. For example, an authentication key for invalidation and an authentication key for validation may be stored at the time of manufacture of the secure device, and a warranty written therein may be issued, and the user may mail or bring this warranty to the management center. Further, according to the present embodiment, the challenge response process is performed between the communication terminal and the secure device so that the authentication key is not leaked when the secure device is invalidated or validated. If there is no problem in performance, any authentication process may be performed. For example, a simple method of using a password can be used as the authentication process.
[0079]
Further, according to the present embodiment, an e-mail is exchanged between the management center and the communication terminal. However, in order to prevent spoofing by a third party, the content of the e-mail is encrypted or a time stamp is included. Digital signatures can also be added to increase the security on the communication path.
In addition, a program that can cause a computer to execute an operation as in the embodiment of the present invention is recorded on a computer-readable recording medium and distributed, or directly transferred over a network, so that it can be traded. sell.
[0080]
Here, the computer-readable recording medium is, for example, a floppy (registered trademark) disk, a removable recording medium such as a CD, an MO, a DVD, or a memory card, or a fixed recording medium such as a hard disk or a semiconductor memory. It is not limited.
[0081]
【The invention's effect】
The invalidation method according to the present invention stores a communication identification code associated with each communication terminal, and is associated with each communication terminal and secure device that can communicate with other devices based on the communication identification code. Whether or not to invalidate the secure device by storing a secure device that is stored in the communication terminal and used, and an invalidation code indicating that the instruction to invalidate the secure device is valid A method of disabling the secure device in a system comprising a management device that manages the identification number stored in the secure terminal and the secure terminal when the secure device is attached to the communication terminal A notification step of notifying the management device of the communication identification code being performed, and notification in the management device A holding step for associating and holding the identification number notified by the step and the communication identification code, and receiving an input of the identification number of the secure device to be invalidated based on an instruction from the right holder of the secure device in the management device The communication identification code held by the holding step is extracted based on the receiving step and the identification number received by the receiving step in the management device, and the invalidation code stored in the management device is extracted and specified by the communication identification code Invalidation instruction step to be transmitted to the communication terminal, and the secure device is invalidated when the invalidation code transmitted by the invalidation instruction step is received in a state where the secure device is attached to the communication terminal Including an invalidation step. .
[0082]
An invalidation system according to the present invention includes a communication terminal that can communicate with another device, a secure device that is used by being attached to the communication terminal, and a management device that manages whether to invalidate the secure device. The secure device includes an identification number storage unit that stores an identification number associated with each secure device, and a communication that is mounted in a state of being mounted on the communication terminal. An identification number notification means for notifying the management apparatus of the identification number stored in the identification number storage means via the terminal, and an invalidation instruction for the secure device from the communication terminal in a state of being attached to the communication terminal. Invalidating means for invalidating the secure device when issued, and the communication terminal is associated with each communication terminal. Communication identification code storage means for storing the received communication identification code, and communication identification code for notifying the management apparatus of the communication identification code stored in the communication identification code storage means in a state where the secure device is mounted The secure means based on the invalidation code received when receiving the invalidation code indicating that the instruction to invalidate the secure device is valid from the management apparatus in a state where the secure device is attached. An invalidation code receiving means for issuing an invalidation instruction to the device, wherein the management device stores the invalidation code storing means, the identification number notified by the identification number notification means, and the communication identification Holding means for associating and holding the communication identification code notified by the code notification means; and the secure device Accepting the input of the identification number of the secure device to be invalidated based on the instruction from the right holder of the service, and extracting the communication identification code stored by the storage means based on the identification number accepted by the accepting means And an invalidation code transmitting means for transmitting to the communication terminal specified by the communication identification code extracted from the invalidation code stored in the invalidation code storage means.
[0083]
A secure device according to the present invention is a secure device that is used by being attached to a communication terminal, and the communication terminal stores in advance a communication identification code associated with each communication terminal, and performs other operations based on the communication identification code. Storage means that is capable of communicating with each device and stores an identification number associated with each secure device, and stored in the storage means via the communication terminal that is attached to the communication terminal. A notification means for notifying the management device together with the communication identification code of the communication terminal, and the communication terminal based on the communication identification code of the communication terminal from the management device in a state of being attached to the communication terminal When the instruction to invalidate the secure device sent to the recipient is received via the communication terminal, the secure device is invalidated. Characterized in that it comprises a disabling means that.
[0084]
The communication terminal according to the present invention is a communication terminal that is used by mounting a secure device, wherein the secure device stores an identification number associated with each secure device, and is associated with each communication terminal. Storage means for storing the received communication identification code, and notification means for notifying the management apparatus of the communication identification code stored in the storage means and the identification number of the secure device when the secure device is mounted And invalidating the secure device when receiving an instruction to invalidate the secure device transmitted to the communication terminal based on the communication identification code from the management apparatus in a state where the secure device is mounted And invalidating means.
[0085]
The management apparatus according to the present invention is a management apparatus that manages whether to invalidate a secure device that is attached to a communication terminal and used, and indicates that the instruction to invalidate the secure device is valid An invalidation code storage unit storing an invalidation code, and an identification number associated with each secure device from the communication terminal in a state where the secure device is attached to the communication terminal A communication identification code holding means for receiving and holding the received communication identification code in association with each other, and a receiving means for receiving an input of an identification number of the secure device to be invalidated based on an instruction from the right holder of the secure device The communication identification held by the communication identification code holding means based on the identification number received by the receiving means Characterized in that it comprises an invalidation code transmitting means for transmitting to the communication terminal specified by the communication identification code extracted disabling code stored in the disabling code storage means extracts over de.
[0086]
A communication program according to the present invention is a communication program in a communication terminal that is used by mounting a secure device, wherein the secure device stores an identification number associated with each secure device, wherein The communication terminal stores a communication identification code associated with each communication terminal, and the communication identification code stored in the communication terminal and the secure device in a state where the secure device is attached to the communication terminal. A notification step of notifying the management device of the identification number, and the secure device transmitted from the management device to the communication terminal based on the communication identification code in a state where the secure device is attached to the communication terminal. An invalidation step for invalidating the secure device when an instruction to invalidate is received. Characterized in that it comprises a flop.
[0087]
The management program according to the present invention is a management program in a management apparatus that manages whether to invalidate a secure device that is mounted on a communication terminal and used, wherein the management apparatus invalidates the secure device An invalidation code indicating that the instruction to perform is valid, and an identification number associated with each secure device from the communication terminal and each communication terminal in a state where the secure device is attached to the communication terminal. A communication identification code holding step for receiving and holding the communication identification code associated with the ID, and receiving an input of the identification number of the secure device to be invalidated based on an instruction from the right holder of the secure device A communication identification code based on the reception step and the identification number received by the reception means. An invalidation code transmitting step of extracting the communication identification code held by the holding step and transmitting the invalidation code stored in the management device to the communication terminal specified by the extracted communication identification code, To do.
[0088]
Thus, if the secure device is lost while attached to the communication terminal, if an instruction to invalidate the invalidation code or the like is sent to the communication identification code of the communication terminal held in the management device, The secure device can be invalidated, and if the lost secure device is attached to another communication terminal, the communication identification code of that communication terminal is sent to the management device at the time of attachment, ensuring the secure device Can be disabled.
[0089]
Therefore, the usage form of the secure device is not limited to the case where an identification code issued by a specific communication carrier is used, and the secure device can be invalidated even in a different usage form.
In addition, because an instruction to invalidate is sent from the management center, it is possible to implement an authentication protocol using a high-level encryption algorithm, which is easier than the invalidation method using authentication using a password or the like that relies on the memory of a conventional user. Safety can be increased.
[0090]
In the secure device, the storage unit may further store a history of communication identification codes of communication terminals that have been installed so far. As a result, when a lost secure device is found, the communication terminal attached during the loss can be identified, which is a clue for identifying an unauthorized user.
In the secure device, the storage means further stores an e-mail address of the management apparatus, a communication identification code of the communication terminal is an e-mail address, and the notification means is an attached communication terminal To send an e-mail including the identification number and the communication identification code to the e-mail address of the management device stored in the storage means, and the invalidation means is sent to the e-mail address of the communication terminal An instruction for invalidating the secure device may be received from the communication terminal based on an electronic mail including an instruction for invalidating the secure device.
[0091]
As a result, information can be exchanged by e-mail, so that information can be transmitted even when direct communication is not possible, such as when the power of the communication terminal is OFF.
The secure device further validates the secure device transmitted from the management device to the communication terminal based on the communication identification code of the communication terminal after the secure device is invalidated by the invalidation means. It is also possible to provide an enabling means for enabling the secure device when an instruction for enabling is received via the communication terminal.
[0092]
As a result, if the secure device is discovered after being invalidated, the secure device is validated by sending an instruction to activate the communication identification code to the communication identification code held in the management device. In addition, even when attached to another communication terminal, the communication identification code of the communication terminal is sent to the management apparatus at the time of attachment, and the secure device can be validated.
[0093]
The secure device further includes a restricted use unit that permits the use of the secure device offline within a predetermined limit, and a restriction changing unit that changes the predetermined limit in the restricted use unit online. It can also be.
As a result, it can be used offline within a predetermined limit, and the predetermined limit can be updated and changed online, so that both safety and convenience can be achieved.
[0094]
In the secure device, the invalidation unit may further perform challenge response authentication with the communication terminal and invalidate the secure device only when it is successful.
As a result, it can be invalidated only when the instruction to invalidate the communication terminal or the secure device is not illegal.
[0095]
In the communication terminal, the communication terminal further includes connection detection means for detecting that the secure device is mounted, and the secure device further stores a communication identification code of the most recently mounted communication terminal, The notification means includes: a communication identification code acquisition means for acquiring a communication identification code of a communication terminal most recently attached from the secure device when the connection detection means detects that the secure device is attached; and a communication identification code acquisition When the communication identification code acquired by the means and the communication identification code stored in the storage means are compared to determine whether or not they are the same, and the comparison means determines that they are the same Does not carry out the notification, and if it is determined that they are not the same, the communication identification code stored in the storage means is attached most recently. Was also possible to store the secure device is updated to the communication identification code of the communication terminal characterized by comprising a updating means for performing the notification.
[0096]
As a result, notification is not performed as long as it is attached to the same communication terminal as before, so that useless communication does not occur and the burden on the management apparatus can be reduced.
[Brief description of the drawings]
FIG. 1 is a diagram showing a schematic configuration of an invalidation system in an embodiment of the present invention.
2 is a diagram showing a configuration of a secure device 1. FIG.
3 is a diagram showing a configuration of a communication terminal 2. FIG.
4 is a diagram showing a configuration of a management center 8. FIG.
FIG. 5 is a diagram showing a procedure of an operation at the time of setting and updating a communication identification code or the like by the invalidation system in the embodiment of the present invention.
FIG. 6 is a diagram showing a procedure of an operation at the time of invalidation by the invalidation system in the embodiment of the present invention.
FIG. 7 is a diagram showing a procedure of an operation at the time of invalidation by the validation system in the embodiment of the present invention.
[Explanation of symbols]
1 Secure device
2 Communication terminal
3 communication channels
4 communication stations
5 Communication terminal
6 Internet
7 EC site
8 management center
11 Memory unit
12 User authentication part
13 Random number generator
14 Cryptographic engine
15 Notification section
16 Update Department
17 Invalidation part
18 Activation part
19 Restricted use department
20 Limit change part
21 Memory unit
22 Wear detection unit
23 Communication identification code acquisition unit
24 comparison part
25 Update instruction section
26 Generator
27 Notification section
28 Invalidation instruction section
29 Activation instruction part
30 HTTP module
31 User information storage unit
32 Communication identification code holding unit
33 Reception Department
34 Instruction transmitter
35 Result receiver

Claims (13)

通信端末毎に対応付けられた通信識別コードを記憶し当該通信識別コードに基づいて他の装置と通信可能である通信端末、セキュアデバイス毎に対応付けられた識別番号を記憶し当該通信端末に装着されて利用されるセキュアデバイス、及び、当該セキュアデバイスを無効化する指示が正当であることを示す無効化コードを記憶し当該セキュアデバイスを無効化するか否かについて管理する管理装置からなるシステムにおける当該セキュアデバイスの無効化方法であって、
前記セキュアデバイスにおいて、直近に装着された通信端末の通信識別コードを取得する取得ステップと、
前記セキュアデバイスが前記通信端末に装着されている状態において、前記通信端末は前記セキュアデバイスから前記直近に装着された通信端末の通信識別コードを取得し、前記通信端末の通信識別コードと比較して一致しない場合に当該セキュアデバイスに記憶されている識別番号と、当該通信端末に記憶されている通信識別コードとを、前記管理装置へ通知する通知ステップと、
前記管理装置において、通知ステップにより通知された識別番号と通信識別コードとを、関連づけて保持する保持ステップと、
前記管理装置において、前記セキュアデバイスの正当権利者からの指示に基づいて、無効化すべきセキュアデバイスの識別番号の入力を受け付ける受付ステップと、
前記管理装置において、受付ステップにより受け付けられた識別番号に基づいて、保持ステップにより保持された通信識別コードを抽出し、当該管理装置に記憶されている無効化コードを、抽出した通信識別コードにより特定される通信端末に送信する無効化指示ステップと、
前記セキュアデバイスが前記通信端末に装着されている状態において、前記無効化指示ステップにより送信された無効化コードを受信した場合に、当該セキュアデバイスを無効化する無効化ステップと
を含むことを特徴とする無効化方法。A communication identification code associated with each communication terminal is stored, and a communication terminal capable of communicating with other devices based on the communication identification code. An identification number associated with each secure device is stored and attached to the communication terminal. In a system comprising a secure device that is used and a management device that stores an invalidation code indicating that an instruction to invalidate the secure device is valid and manages whether to invalidate the secure device A method for disabling the secure device,
In the secure device, an acquisition step of acquiring a communication identification code of a communication terminal that is installed most recently;
In a state where the secure device is attached to the communication terminal, the communication terminal obtains a communication identification code of the communication terminal most recently attached from the secure device, and compares it with the communication identification code of the communication terminal. A notification step of notifying the management device of the identification number stored in the secure device and the communication identification code stored in the communication terminal if they do not match ;
In the management device, a holding step of holding the identification number and the communication identification code notified in the notification step in association with each other;
In the management device, based on an instruction from the right holder of the secure device, accepting an input of an identification number of the secure device to be invalidated;
In the management device, based on the identification number received in the reception step, the communication identification code held in the holding step is extracted, and the invalidation code stored in the management device is specified by the extracted communication identification code Invalidation instruction step to be transmitted to the communication terminal to be
An invalidation step of invalidating the secure device when the invalidation code transmitted by the invalidation instruction step is received in a state where the secure device is attached to the communication terminal. How to disable. 他の装置と通信可能である通信端末、当該通信端末に装着されて利用されるセキュアデバイス、及び、当該セキュアデバイスを無効化するか否かについて管理する管理装置からなる無効化システムであって、
前記セキュアデバイスは、
セキュアデバイス毎に対応付けられた識別番号及び直近に装着された通信端末の通信識別コードを記憶している識別番号記憶手段と、
前記通信端末に装着されている状態において、前記識別番号記憶手段に記憶されている識別番号を、前記装着されている通信端末へ通知する識別番号通知手段と、
前記通信端末に装着されている状態において、当該通信端末より、当該セキュアデバイスに対する無効化指示が出された場合に、当該セキュアデバイスを無効化する無効化手段とを備え、
前記通信端末は、
通信端末毎に対応付けられた通信識別コードを記憶している通信識別コード記憶手段と、
前記セキュアデバイスを装着している状態において、前記通信端末は前記セキュアデバイスから前記直近に装着された通信端末の通信識別コードを取得し、前記通信識別コード記憶手段に記憶されている通信識別コードと比較して一致しない場合に当該セキュアデバイスから通知された識別番号と、前記通信識別コード記憶手段に記憶されている通信識別コードを、前記管理装置へ通知する通知手段と、
前記セキュアデバイスを装着している状態において、当該管理装置から、セキュアデバイスを無効化する指示が正当であることを示す無効化コードを受信した場合に、受信した無効化コードに基づいて、前記セキュアデバイスへ無効化指示を出す無効化コード受信手段とを備え、
前記管理装置は、
前記無効化コードを記憶している無効化コード記憶手段と、
前記通信識別コード通知手段により通知された識別番号及び通信識別コードとを、関連付けて保持する保持手段と、
前記セキュアデバイスの正当権利者からの指示に基づいて、無効化すべきセキュアデバイスの識別番号の入力を受け付ける受付手段と、
受付手段により受け付けられた識別番号に基づいて、保管手段により保管された通信識別コードを抽出し、無効化コード記憶手段に記憶されている無効化コードを、抽出した通信識別コードにより特定される通信端末に送信する無効化コード送信手段とを備えること
を特徴とする無効化システム。An invalidation system comprising a communication terminal capable of communicating with another device, a secure device mounted on the communication terminal and used, and a management device that manages whether to invalidate the secure device,
The secure device is
An identification number storage means for storing an identification number associated with each secure device and a communication identification code of a communication terminal installed most recently ;
In the state mounted on the communication terminal, the identification number notification means for notifying the identification number stored in the identification number memory means, to the communication terminal that is the mounting,
An invalidation means for invalidating the secure device when an invalidation instruction for the secure device is issued from the communication terminal in a state of being attached to the communication terminal;
The communication terminal is
A communication identification code storage means for storing a communication identification code associated with each communication terminal;
In a state where the secure device is mounted, the communication terminal acquires a communication identification code of the communication terminal mounted most recently from the secure device, and a communication identification code stored in the communication identification code storage means the identification number notified from the secure device if they do not match by comparing, a communication identification code stored in the communication identification code storage means, and notifying means for notifying the management apparatus,
When an invalidation code indicating that an instruction to invalidate the secure device is valid is received from the management apparatus while the secure device is mounted, the secure device is based on the received invalidation code. An invalidation code receiving means for issuing an invalidation instruction to the device,
The management device
Invalidation code storage means for storing the invalidation code;
Holding means for holding the identification number and the communication identification code notified by the communication identification code notification means in association with each other;
Receiving means for receiving an input of an identification number of a secure device to be invalidated based on an instruction from a right holder of the secure device;
The communication identification code stored by the storage unit is extracted based on the identification number received by the receiving unit, and the invalidation code stored in the invalidation code storage unit is identified by the extracted communication identification code. An invalidation system comprising invalidation code transmission means for transmitting to a terminal. 通信端末に装着されて利用されるセキュアデバイスであって、
前記通信端末は、通信端末毎に対応付けられた通信識別コードを予め記憶し、当該通信識別コードに基づいて、他の装置と通信可能であり、
セキュアデバイス毎に対応付けられた識別番号及び直近に装着された通信端末の通信識別コードを記憶している記憶手段と、
前記通信端末に装着されている状態において、前記記憶手段に記憶されている識別番号を、当該通信端末の通信識別コードと共に、前記装着されている通信端末へ通知する通知手段と、
前記通信端末に装着されている状態において、前記管理装置から、当該通信端末の通信識別コードに基づいて当該通信端末宛に送信された当該セキュアデバイスを無効化する指示を、当該通信端末を介して受け取った場合に、当該セキュアデバイスを無効化する無効化手段と
を備えることを特徴とするセキュアデバイス。A secure device that is attached to a communication terminal and used.
The communication terminal stores in advance a communication identification code associated with each communication terminal, and can communicate with other devices based on the communication identification code.
Storage means for storing an identification number associated with each secure device and a communication identification code of the communication terminal most recently attached ;
In the state mounted on the communication terminal, the identification number stored in the storage means, together with the communication identification code of the communication terminal, and notifying means for notifying the communication terminal the mounted,
An instruction to invalidate the secure device transmitted from the management device to the communication terminal based on the communication identification code of the communication terminal via the communication terminal while being attached to the communication terminal. A secure device comprising: an invalidating means for invalidating the secure device when received. 前記記憶手段は、さらに、
今までに装着された通信端末の通信識別コードの履歴を記憶すること
を特徴とする請求項3に記載のセキュアデバイス。The storage means further includes
The secure device according to claim 3, wherein a history of communication identification codes of communication terminals attached so far is stored. 前記記憶手段は、さらに、
前記管理装置の電子メールアドレスを記憶しており、
前記通信端末の通信識別コードは、電子メールアドレスであり、
前記通知手段は、
装着されている通信端末に、前記識別番号と前記通信識別コードとを含む電子メールを、記憶手段に記憶された管理装置の電子メールアドレス宛に送付させ、
前記無効化手段は、
前記通信端末の電子メールアドレス宛に送信された当該セキュアデバイスを無効化する指示を含む電子メールに基づいて、当該通信端末から当該セキュアデバイスを無効化する指示を受け取ること
を特徴とする請求項3に記載のセキュアデバイス。The storage means further includes
Storing the e-mail address of the management device;
The communication identification code of the communication terminal is an email address,
The notification means includes
To the attached communication terminal, let the e-mail containing the identification number and the communication identification code be sent to the e-mail address of the management device stored in the storage means,
The invalidation means includes
4. An instruction for invalidating the secure device is received from the communication terminal based on an email including an instruction for invalidating the secure device transmitted to the email address of the communication terminal. Secure device as described in. 当該セキュアデバイスは、さらに、
前記無効化手段により当該セキュアデバイスが無効化された後で、前記管理装置から、前記通信端末の通信識別コードに基づいて当該通信端末宛に送信された当該セキュアデバイスを有効化する指示を、当該通信端末を介して受け取った場合に、当該セキュアデバイスを有効化する有効化手段を備えること
を特徴とする請求項3に記載のセキュアデバイス。The secure device further includes
After the secure device is invalidated by the invalidation means, an instruction to validate the secure device transmitted from the management device to the communication terminal based on the communication identification code of the communication terminal, The secure device according to claim 3, further comprising an enabling unit that validates the secure device when received via a communication terminal. 当該セキュアデバイスは、さらに、
所定の制限内において、オフラインで、当該セキュアデバイスの利用を許可する制限付き利用手段と、
制限付き利用手段における所定の制限を、オンラインで変更する制限変更手段とを備えること
を特徴とする請求項3に記載のセキュアデバイス。The secure device further includes
Limited use means for permitting the use of the secure device offline within predetermined limits;
The secure device according to claim 3, further comprising: a restriction changing unit that changes the predetermined restriction in the restricted use unit online. 前記無効化手段は、さらに、
前記通信端末とチャレンジレスポンス認証を行い、成功した場合にのみ、当該セキュアデバイスを無効化すること
を特徴とする請求項3に記載のセキュアデバイス。The invalidation means further includes:
4. The secure device according to claim 3, wherein challenge response authentication is performed with the communication terminal, and the secure device is invalidated only when the communication terminal is successful. セキュアデバイスを装着して利用する通信端末であって、
ここで前記セキュアデバイスは、セキュアデバイス毎に対応付けられた識別番号及び直近に装着された通信端末の通信識別コードを記憶しており、
通信端末毎に対応付けられた通信識別コードを記憶している記憶手段と、
前記セキュアデバイスを装着している状態において、前記通信端末は前記セキュアデバイスから前記直近に装着された通信端末の通信識別コードを取得し、前記通信識別コード記憶手段に記憶されている通信識別コードと比較して一致しない場合に前記記憶手段に記憶されている通信識別コードと、当該セキュアデバイスの識別番号とを、管理装置へ通知する通知手段と、
前記セキュアデバイスを装着している状態において、前記管理装置から、前記通信識別コードに基づいて当該通信端末宛に送信された当該セキュアデバイスを無効化する指示を受信した場合に、当該セキュアデバイスを無効化する無効化手段と
を備えることを特徴とする通信端末。A communication terminal that uses a secure device.
Here, the secure device stores an identification number associated with each secure device and a communication identification code of the most recently installed communication terminal ,
Storage means for storing a communication identification code associated with each communication terminal;
In a state where the secure device is mounted, the communication terminal acquires a communication identification code of the communication terminal mounted most recently from the secure device, and a communication identification code stored in the communication identification code storage means A notification means for notifying the management device of the communication identification code stored in the storage means and the identification number of the secure device when they do not match in comparison ;
When the secure device is attached, the secure device is invalidated when receiving an instruction from the management device to invalidate the secure device transmitted to the communication terminal based on the communication identification code. A communication terminal comprising: an invalidating means for converting to a communication terminal. 当該通信端末は、さらに、
前記セキュアデバイスを装着した事を検出する接続検出手段を備え、
前記セキュアデバイスは、さらに、
直近に装着された通信端末の通信識別コードを記憶し、
前記通知手段は、
接続検出手段によりセキュアデバイスを装着した事が検出された場合に、前記セキュアデバイスから、直近に装着された通信端末の通信識別コードを取得する通信識別コード取得手段と、
通信識別コード取得手段により取得された通信識別コードと、前記記憶手段に記憶されている通信識別コードとを比較して、同じであるか否かを判定する比較手段と、
比較手段により同じであると判定された場合には、前記通知を実施せず、同じでないと判定された場合には、前記記憶手段に記憶されている通信識別コードを、直近に装着された通信端末の通信識別コードとするように、前記セキュアデバイスの記憶を更新させ、前記通知を実施する更新手段とを含むこと
を特徴とする請求項9に記載の通信端末。The communication terminal further includes
Comprising a connection detection means for detecting that the secure device is mounted;
The secure device further includes:
Stores the communication identification code of the most recently installed communication terminal,
The notification means includes
A communication identification code acquiring means for acquiring a communication identification code of a communication terminal most recently mounted from the secure device when it is detected by the connection detecting means that the secure device is mounted;
A comparison means for comparing the communication identification code acquired by the communication identification code acquisition means with the communication identification code stored in the storage means to determine whether they are the same;
If it is determined by the comparison means that they are the same, the notification is not performed, and if it is determined that they are not the same, the communication identification code stored in the storage means is the communication that was most recently installed. The communication terminal according to claim 9, further comprising update means for updating the storage of the secure device and performing the notification so as to obtain a communication identification code of the terminal. 通信端末に装着されて利用されるセキュアデバイスを、無効化するか否かについて管理する管理装置であって、
前記セキュアデバイスを無効化する指示が正当であることを示す無効化コードを記憶している無効化コード記憶手段と、
前記セキュアデバイスが前記通信端末に装着されている状態において、当該通信端末から、セキュアデバイス毎に対応付けられた識別番号と通信端末毎に対応付けられた通信識別コードとを受信し、これらを関連付けて保持する通信識別コード保持手段と、
前記セキュアデバイスの正当権利者からの指示に基づいて、無効化すべきセキュアデバイスの識別番号の入力を受け付ける受付手段と、
受付手段により受け付けられた識別番号に基づいて、通信識別コード保持手段により保持された通信識別コードを抽出し、無効化コード記憶手段に記憶されている無効化コードを、抽出した通信識別コードにより特定される通信端末に送信する無効化コード送信手段と
を備えることを特徴とする管理装置。A management device that manages whether or not to invalidate a secure device mounted on a communication terminal and used,
An invalidation code storage unit storing an invalidation code indicating that an instruction to invalidate the secure device is valid;
In a state where the secure device is attached to the communication terminal, an identification number associated with each secure device and a communication identification code associated with each communication terminal are received from the communication terminal and associated with each other. Communication identification code holding means for holding
Receiving means for receiving an input of an identification number of a secure device to be invalidated based on an instruction from a right holder of the secure device;
Based on the identification number received by the receiving means, the communication identification code held by the communication identification code holding means is extracted, and the invalidation code stored in the invalidation code storage means is specified by the extracted communication identification code. And an invalidation code transmitting means for transmitting to the communication terminal. セキュアデバイスを装着して利用する通信端末における通信プログラムであって、
ここで前記セキュアデバイスは、セキュアデバイス毎に対応付けられた識別番号及び直近に装着された通信端末の通信識別コードを記憶しており、
ここで前記通信端末は、通信端末毎に対応付けられた通信識別コードを記憶しており、
前記セキュアデバイスが前記通信端末に装着されている状態において、前記通信端末は前記セキュアデバイスから前記直近に装着された通信端末の通信識別コードを取得し、前記記憶されている通信識別コードと比較して一致しない場合に当該通信端末に記憶されている通信識別コードと、当該セキュアデバイスの識別番号とを、管理装置へ通知する通知ステップと、
前記セキュアデバイスが前記通信端末に装着されている状態において、前記管理装置から、前記通信識別コードに基づいて当該通信端末宛に送信された当該セキュアデバイスを無効化する指示を受信した場合に、当該セキュアデバイスを無効化する無効化ステップと
を含むことを特徴とする通信プログラム。A communication program in a communication terminal that is used by wearing a secure device,
Here, the secure device stores an identification number associated with each secure device and a communication identification code of the most recently installed communication terminal,
Here, the communication terminal stores a communication identification code associated with each communication terminal,
In a state where the secure device is attached to the communication terminal, the communication terminal acquires a communication identification code of the communication terminal most recently attached from the secure device and compares it with the stored communication identification code. A notification step of notifying the management device of the communication identification code stored in the communication terminal and the identification number of the secure device when they do not match ,
In a state where the secure device is attached to the communication terminal, when an instruction to invalidate the secure device transmitted to the communication terminal based on the communication identification code is received from the management device, An invalidation step for invalidating the secure device. 通信端末に装着されて利用されるセキュアデバイスを、無効化するか否かについて管理する管理装置における管理プログラムであって、
ここで前記管理装置は、前記セキュアデバイスを無効化する指示が正当であることを示す無効化コードを記憶しており、
前記セキュアデバイスが前記通信端末に装着されている状態において、当該通信端末から、セキュアデバイス毎に対応付けられた識別番号と通信端末毎に対応付けられた通信識別コードとを受信し、これらを関連付けて保持する通信識別コード保持ステップと、
前記セキュアデバイスの正当権利者からの指示に基づいて、無効化すべきセキュアデバイスの識別番号の入力を受け付ける受付ステップと、
受付手段により受け付けられた識別番号に基づいて、通信識別コード保持ステップにより保持された通信識別コードを抽出し、前記管理装置に記憶されている無効化コードを、抽出した通信識別コードにより特定される通信端末に送信する無効化コード送信ステップと
を含むことを特徴とする管理プログラム。A management program in a management device that manages whether to invalidate a secure device that is mounted on a communication terminal and used,
Here, the management device stores an invalidation code indicating that an instruction to invalidate the secure device is valid,
In a state where the secure device is attached to the communication terminal, an identification number associated with each secure device and a communication identification code associated with each communication terminal are received from the communication terminal and associated with each other. A communication identification code holding step to be held,
An accepting step for receiving an input of an identification number of a secure device to be invalidated based on an instruction from a right holder of the secure device;
Based on the identification number received by the receiving means, the communication identification code held by the communication identification code holding step is extracted, and the invalidation code stored in the management device is specified by the extracted communication identification code. An invalidation code transmission step for transmitting to a communication terminal.
JP2003109458A 2002-04-16 2003-04-14 Invalidation system Expired - Lifetime JP4220290B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003109458A JP4220290B2 (en) 2002-04-16 2003-04-14 Invalidation system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2002113002 2002-04-16
JP2003109458A JP4220290B2 (en) 2002-04-16 2003-04-14 Invalidation system

Publications (2)

Publication Number Publication Date
JP2004005580A JP2004005580A (en) 2004-01-08
JP4220290B2 true JP4220290B2 (en) 2009-02-04

Family

ID=30447048

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003109458A Expired - Lifetime JP4220290B2 (en) 2002-04-16 2003-04-14 Invalidation system

Country Status (1)

Country Link
JP (1) JP4220290B2 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4777713B2 (en) * 2005-07-28 2011-09-21 ルネサスエレクトロニクス株式会社 IC tag, IC tag control method, and IC tag system
JP4792868B2 (en) * 2005-08-12 2011-10-12 ソニー株式会社 Execution authority delegation system, execution authority delegation method
DE102006042358B4 (en) * 2006-09-08 2018-01-25 Continental Automotive Gmbh Method and service center for updating authorization data in an access arrangement
JP2008131157A (en) * 2006-11-17 2008-06-05 Nec Corp Telecommunication terminal, center, and management method of telecommunication terminal
JP4294069B2 (en) * 2006-12-28 2009-07-08 キヤノンマーケティングジャパン株式会社 Information processing system, information processing apparatus, authentication server, authentication method, authentication program, information processing method, information processing program
US8225375B2 (en) 2006-12-28 2012-07-17 Canon Kabushiki Kaisha Information processing system, information processing apparatus and method and program therefor

Also Published As

Publication number Publication date
JP2004005580A (en) 2004-01-08

Similar Documents

Publication Publication Date Title
US10142114B2 (en) ID system and program, and ID method
JP4638990B2 (en) Secure distribution and protection of cryptographic key information
US8332935B2 (en) System and method for encrypted smart card pin entry
KR100636111B1 (en) Method protecting data stored in lost mobile terminal and recording medium therefor
US9807065B2 (en) Wireless device and computer readable medium for storing a message in a wireless device
US8302176B2 (en) Validity checking system, validity checking method, information processing card, checking device, and authentication apparatus
US20020016913A1 (en) Modifying message data and generating random number digital signature within computer chip
US20070016781A1 (en) Secure data transfer
US20030177363A1 (en) Service providing system in which services are provided from service provider apparatus to service user apparatus via network
US7503066B2 (en) Deactivation system
US9165149B2 (en) Use of a mobile telecommunication device as an electronic health insurance card
JP2004518374A (en) Method of operating PKI function in smart card
KR20030095343A (en) Digital contents issuing system and digital contents issuing method
RU2323530C2 (en) Method for registration and activation of pki functions
US20030228886A1 (en) Electronic value data communication method, communication system, IC card, portable terminal, and communication
KR100315387B1 (en) Private Key, Certificate Administration System and Method Thereof
JP2001016655A (en) Portable terminal with security
TW200409522A (en) Password recovery system
EP2461297B1 (en) Personal identification number distribution device and method
JP4220290B2 (en) Invalidation system
JP2003046499A (en) Communication system, user terminal, ic card, authentication system, and control system and program for access and communication
JP4760124B2 (en) Authentication device, registration device, registration method, and authentication method
WO1999046881A1 (en) Transaction card security system
JP2005123996A (en) Information processing method for transferring authentication-use information between devices, and information processing system therefor
JP4578352B2 (en) Communication mediating apparatus, data providing apparatus, and data providing system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060131

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080813

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080826

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080924

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081021

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081113

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111121

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4220290

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111121

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121121

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121121

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131121

Year of fee payment: 5

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term