JP4228567B2 - Data transfer system, data transfer method, value information transfer service device, value information transfer service method, and computer program - Google Patents

Data transfer system, data transfer method, value information transfer service device, value information transfer service method, and computer program Download PDF

Info

Publication number
JP4228567B2
JP4228567B2 JP2001334967A JP2001334967A JP4228567B2 JP 4228567 B2 JP4228567 B2 JP 4228567B2 JP 2001334967 A JP2001334967 A JP 2001334967A JP 2001334967 A JP2001334967 A JP 2001334967A JP 4228567 B2 JP4228567 B2 JP 4228567B2
Authority
JP
Japan
Prior art keywords
value information
chip
transfer
sam
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2001334967A
Other languages
Japanese (ja)
Other versions
JP2003141429A (en
Inventor
顕 深田
拓哉 大嶋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp filed Critical Sony Corp
Priority to JP2001334967A priority Critical patent/JP4228567B2/en
Publication of JP2003141429A publication Critical patent/JP2003141429A/en
Application granted granted Critical
Publication of JP4228567B2 publication Critical patent/JP4228567B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、データを保持するメモリ機能を備えるとともに非接触によりメモリへの読み書きが可能な非接触(又は接触型)ICカード又はICチップに係り、特に、無線データにより外部のリーダ/ライタからメモリ機能へのアクセスを行うための無線インターフェースを備えるとともに、外部機器と接続するための有線インターフェースを備えた非接触ICカード又はICチップ、並びに、有線インターフェースを介してこの種のICカード又はICチップを搭載して用いられる携帯電話機やPDAなどの情報処理端末に関する。
【0002】
更に詳しくは、本発明は、電子マネーや電子チケット、その他の価値情報を電子的に格納した非接触ICカード又はICチップ、並びに、有線インターフェースを介してこの種のICカード又はICチップを搭載して用いられる情報処理端末に係り、特に、情報処理端末間での価値情報のセキュアな移動に関する。
【0003】
【従来の技術】
従来から、本人確認や認証処理のために暗証番号やパスワードを用いたさまざまな装置が考案され、実用に供されている。例えば、銀行やその他の金融機関において、キャッシュ・カードやクレジット・カードを使用する際には、キャッシュ・ディスペンサやその他の金融端末上で、本人認証の手段として、暗証番号やパスワードの入力を使用者に対して促し、使用者から正しい暗証番号やパスワードが入力されたことを確認してから、入出金動作を行なうようになっている。
【0004】
1枚のキャッシュ・カード上に配設されている磁気ストライプなどの記憶媒体の中には、その銀行に対してのみ使用可能な記憶領域しか設けられていない。したがって、上述したような暗証番号あるいはパスワードの入力は、この単一の記憶領域へのアクセスに過ぎないので、偽造や盗用に対する保護は充分とは言い難い。
【0005】
このため、偽造防止などの観点から、キャッシュ・カードやクレジット・カードなどに電気的な接点を持った接触式ICカードや、無線データを介して非接触でデータの読み書きを行う非接触ICカードがよく使われるようになってきている。例えば、キャッシュ・ディスペンサやコンサート会場の出入口、駅の改札口などに設置されたICカード・リーダ/ライタは、利用者がかざしたICカードに非接触でアクセスすることができる。
【0006】
利用者が暗証番号をICカード・リーダ側に入力して、入力された暗証番号をICカード上に格納された暗証番号と照合することで、ICカードとICカード・リーダ/ライタ間で本人確認又は認証処理が行なわれる。そして、本人確認又は認証処理に成功した場合には、例えば、ICカード内に保存されているアプリケーションの利用が可能となる。ここで、ICカードが保持するアプリケーションとしては、例えば、電子マネーや電子チケットなどの価値情報を挙げることができる。また、前払式証票を電子的に格納することによって、ICカードやこれに接続される携帯端末をプリペイド・カードとして使用することも可能である。(ICカード・アクセス時に使用する暗証番号のことを、特にPIN(Personal Identification Number)と呼ぶ。)
【0007】
最近では、微細化技術の向上とも相俟って、比較的大容量の記憶空間を持つICカードが出現し、普及してきている。従来のキャッシュ・カードなどにおいては単一の記憶領域すなわち単一のアプリケーションしか担持しないので、各用途又は目的毎に応じた複数のカードを持ち歩く必要がある。これに対して、このような大容量メモリ付きのICカードによれば、複数のアプリケーションを同時に格納しておくことができるので、1枚のICカードを複数の用途に利用することができる。例えば、1枚のICカード上に、電子決済を行なうための電子マネーや、特定のコンサート会場に入場するための電子チケット、デジタル化された前払式証票など、2以上のアプリケーションを格納しておき、1枚のICカードをさまざまな用途に適用させることができる。
【0008】
さらに、ICカードがカード用リーダ/ライタ(カード読み書き装置)との非接触(又は接触型)インターフェースの他に、外部機器と接続するための有線インターフェースを備えることにより、ICカードを携帯電話機、PDA(Personal Digital Assistant)に接続したり内蔵して用いることができる(但し、端末に内蔵される多くの場合、ICカードはワンチップ化して構成される)。
【0009】
このような場合、ICカードを利用したさまざまなアプリケーション・サービスを、情報処理端末上で実行することができる。例えば、情報処理端末上のキーボードやディスプレイなどのユーザ・インターフェースを用いてICカードに対するユーザ・インタラクションを情報処理端末上で行うことができる。また、ICカードが携帯電話機と接続されていることにより、ICカード上に記憶されている内容を電話網を介してやり取りすることもできる。
【0010】
勿論、ICカード上に電子マネーや電子チケット、前払式証票などの価値情報を格納している場合には、情報処理端末は、電子決済、プリペイド・カード様式の決済などの価値情報の処理や、その他のさまざまなサービスを実現することができる。さらに、ICカードとカード読み書き装置間のデータ転送のフェーズに応じた処理や、ICカードの内部状態に応じた処理を提供することができる。
【0011】
ところで、価値情報を格納したICチップが携帯電話機に内蔵される場合などは、機種変更などの理由により、価値情報をICチップ間、すなわち携帯端末間で移動させる必要がある。
【0012】
携帯電話機の機種変更手続は、一般に、電話会社の店舗などで行われ、旧機種内のアドレス帳などの個人情報を新機種に移動してくれる。しかしながら、ICチップ内の価値情報を移動する場合には、移動途中における通信障害やマシン障害などによる価値情報の消失や、価値情報の不法な複製や改竄が行われる可能性があり、電話会社にとっては責任が過大である。
【0013】
そもそも、電話会社は、電子マネーや電子チケットのサービス・プロバイダとは一体ではなく、価値情報にアクセスするために必要な鍵やそのロジックを持たないので、価値情報を処理するには不都合が多い。また、価値情報の移動を請け負うことにより、電話会社には価値情報とその鍵についての責任が必然的に発生する。また、電子マネーや電子チケットのサービス・プロバイダにとっては、サービスの信用の根幹となるアクセス鍵やそのロジックを、電話会社とはいえ、外部に渡すことは好ましくない。
【0014】
価値情報のサービス・プロバイダは、通常、耐タンパ性を持つハードウェア・モジュールSAM(Secure Application Module)を用いて、価値情報自体と価値情報にアクセスするための鍵、並びにそのロジックを閉じ込めている。電話会社などの1箇所の移動用サーバにより複数の価値情報を移動させるには、一時的であれ価値情報を保存する必要があるが、SAMのようなものを利用しない限り、この移動用サーバにより独自に暗号化したとしても、価値情報やその鍵をサーバ上で解読されてしまう可能性が高くなる。
【0015】
これに対し、携帯端末本体の機種変更手続とは別に、ICチップ内の価値情報の移動をその価値情報のサービス・プロバイダによって行うという方法も考えられる。この方法は責任分離という観点からは有効であろう。
【0016】
しかしながら、ユーザは携帯端末の機種変更に伴い、複数の手続を取らなければならない。特に、ICカードやICチップのメモリ容量の増大に伴い、1つのICチップ内に多種類の価値情報が格納されているような場合には、それぞれのサービス・プロバイダに対して価値情報の移動手続を取らなければならず、極めて煩わしい。また、ICチップから価値情報を読み出すリーダ/ライタは、複数のサービス・プロバイダへセッションを切り換える必要があるが、この切り換え操作を手動で行うには手間がかかる。また、ICチップ側の通信の仕組みも複雑になるので障害が発生する可能性が高くなる。
【0017】
【発明が解決しようとする課題】
本発明の目的は、電子マネーや電子チケットなどの価値情報をセキュアに移動させることができる、優れたデータ転送システム及びデータ転送方法、価値情報移動サービス装置及び価値情報移動サービス方法、並びに記憶媒体を提供することにある。
【0018】
本発明の更なる目的は、ICカードやICチップ内に保持されている電子マネーや電子チケットなどの価値情報をセキュアに移動させることができる、優れたデータ転送システム及びデータ転送方法、価値情報移動サービス装置及び価値情報移動サービス方法、並びに記憶媒体を提供することにある。
【0019】
本発明の更なる目的は、ICカードやICチップ内に保持されている複数の価値情報を、1箇所のサーバに接続するだけでセキュアに移動させることができる、優れたデータ転送システム及びデータ転送方法、価値情報移動サービス装置及び価値情報移動サービス方法、並びに記憶媒体を提供することにある。
【0020】
【課題を解決するための手段及び作用】
本発明は、上記課題を参酌してなされたものであり、その第1の側面は、価値情報を移動させるためのデータ転送システムであって、
移動対象となる価値情報自体と価値情報にアクセスするための鍵とそのロジックを安全に保持する価値情報サービス装置と、
移動元の情報記録媒体に格納された価値情報の前記価値情報サービス装置へのアップロード並びに前記価値情報サービス装置から移動先の情報記録媒体への価値情報のダウンロードを中継する価値情報移動サービス装置と、
を具備することを特徴とするデータ転送システムである。
【0021】
但し、ここで言う「システム」とは、複数の装置(又は特定の機能を実現する機能モジュール)が論理的に集合した物のことを言い、各装置や機能モジュールが単一の筐体内にあるか否かは特に問わない。
【0022】
また、本発明の第2の側面は、価値情報を移動させるためのデータ転送方法であって、
移動元の情報記録媒体から価値情報自体と価値情報にアクセスするための鍵とそのロジックを安全に保持する価値情報サービス装置への価値情報のアップロードを中継するステップと、
価値情報サービス装置が移動中の価値情報を一時的に格納するステップと、
前記価値情報サービス装置から移動先の情報記録媒体への価値情報のダウンロードを中継するステップと、
を具備することを特徴とするデータ転送方法である。
【0023】
本発明の第1又は第2の側面に係るデータ転送システム又はデータ転送方法によれば、ICチップなどの情報記録媒体に保持されている価値情報を、価値情報自体との価値情報にアクセスするために必要な鍵とそのロジックを閉じ込めた、耐タンパ性を持つハードウェア・モジュールSAMなどの価値情報サービス装置を制御して、権限を持つ装置以外には価値情報自体と価値情報にアクセスするために必要な鍵とそのロジックを見せることなく、且つ価値情報の複製や改竄を防止しながら、他の情報記録媒体上にセキュアに移動させることができる。例えば、携帯端末を新機種に交換する際、一箇所に接続するだけで端末内に保持されているすべての価値情報をセキュアに移動させることができる。したがって、価値情報の移動事業者と、価値情報サービスを運用する各サービス・プロバイダの責任範囲を明確に分離することができる。
【0024】
ここで、前記価値情報移動サービス装置は、移動元の情報記録媒体上の価値情報にアクセスするための鍵を通常使用時の本鍵から仮鍵に変更してから前記価値情報サービス装置への価値情報のアップロードを行うようにしてもよい。このような場合、移動の途中で価値情報が不正に複製や改竄されて使用されることを防ぐことができる。また、価値情報の移動に失敗した場合であっても、移動元の鍵を本鍵に戻すことによりバックアップとして用いることができ、価値情報の消失を防ぐことができる。
【0025】
また、前記価値情報移動サービス装置は、前記価値情報サービス装置から移動先に情報記録媒体上に価値情報をダウンロードした後に仮鍵から本鍵に変更するようにしてもよい。このような場合、移動元の情報記録媒体に残されている価値情報を仮鍵のままとすることにより通常使用を不能のままとなるので、不正使用を防ぐことができる。
【0026】
また、移動元の情報記録媒体上に複数の価値情報が保持され且つ各価値情報自体と価値情報にアクセスするための鍵とそのロジックを安全に保持する価値情報サービス装置が複数ある場合には、前記価値情報移動サービス装置は、移動元の情報記録媒体からの価値情報のアップロード並びに移動先の情報記録媒体へのダウンロードを各価値情報サービス装置毎に行うようにしてもよい。このような場合、1箇所の価値情報移動サービス装置に接続すればよく、手動又は自動で価値情報サービス毎に通信を逐次切り換える必要がない。このため、手間が減り、通信障害が起こる可能性を減少させることができる。移動元の情報記録媒体側から考えると、中継先となる個々の価値情報サービス装置を意識する必要がなく、手続が簡素化される。
【0027】
前記価値情報移動サービス装置は、価値情報を価値情報サービス装置からダウンロードする前に移動先の情報記録媒体の初期化処理を行うようにしてもよい。
【0028】
また、前記価値情報移動サービス装置は、移動元の情報記録媒体及び/又は移動先の情報記録媒体を認証処理するようにしてもよい。
【0029】
また、本発明の第3の側面は、情報記録媒体間での価値情報の移動をサービスする価値情報移動サービス装置又は価値情報移動サービス方法であって、
移動元の情報記録媒体から価値情報自体と価値情報にアクセスするための鍵とそのロジックを安全に保持する価値情報サービス装置への価値情報のアップロードを中継する手段又はステップと、
前記価値情報サービス装置から移動先の情報記録媒体への価値情報のダウンロードを中継する手段又はステップと、
を具備することを特徴とする価値情報移動サービス装置又は価値情報移動サービス方法である。
【0030】
本発明の第3の側面に係る価値情報移動サービス装置又は価値情報移動サービス方法によれば、ICチップなどの情報記録媒体に保持されている価値情報を、価値情報自体との価値情報にアクセスするために必要な鍵とそのロジックを閉じ込めた、耐タンパ性を持つハードウェア・モジュールSAMなどの価値情報サービス装置を制御して、権限を持つ装置以外には価値情報自体と価値情報にアクセスするために必要な鍵とそのロジックを見せることなく、且つ価値情報の複製や改竄を防止しながら、他の情報記録媒体上にセキュアに移動させることができる。例えば、携帯端末を新機種に交換する際、一箇所に接続するだけで端末内に保持されているすべての価値情報をセキュアに移動させることができる。したがって、携帯端末の機種切り換えを行う事業者は、価値情報サービスを運用する各サービス・プロバイダの責任範囲を明確に分離しながら価値情報の移動を行うことができる。
【0031】
ここで、本発明の第3の側面に係る価値情報移動サービス装置は、移動元の情報記録媒体上の価値情報にアクセスするための鍵を通常使用時の本鍵から仮鍵に変更してから前記価値情報サービス装置への価値情報のアップロードを行うようにしてもよい。このような場合、移動の途中で価値情報が不正に複製や改竄されて使用されることを防ぐことができる。また、価値情報の移動に失敗した場合であっても、移動元の鍵を本鍵に戻すことによりバックアップとして用いることができ、価値情報の消失を防ぐことができる。
【0032】
また、前記価値情報サービス装置から移動先に情報記録媒体上に価値情報をダウンロードした後に仮鍵から本鍵に変更するようにしてもよい。このような場合、移動元の情報記録媒体に残されている価値情報を仮鍵のままとすることにより通常使用を不能のままとなるので、不正使用を防ぐことができる。
【0033】
また、移動元の情報記録媒体上に複数の価値情報が保持され且つ各価値情報自体と価値情報にアクセスするための鍵とそのロジックを安全に保持する価値情報サービス装置が複数ある場合には、移動元の情報記録媒体からの価値情報のアップロード並びに移動先の情報記録媒体へのダウンロードを各価値情報サービス装置毎に行うようにしてもよい。このような場合、1箇所の価値情報移動サービス装置に接続すればよく、手動又は自動で価値情報サービス毎に通信を逐次切り換える必要がない。このため、手間が減り、通信障害が起こる可能性を減少させることができる。移動元の情報記録媒体側から考えると、中継先となる個々の価値情報サービス装置を意識する必要がなく、手続が簡素化される。
【0034】
本発明の第3の側面に係る価値情報移動サービス装置又は価値情報移動サービス方法は、価値情報を価値情報サービス装置からダウンロードする前に移動先の情報記録媒体の初期化処理を行うようにしてもよい。
【0035】
また、本発明の第3の側面に係る価値情報移動サービス装置又は価値情報移動サービス方法は、移動元の情報記録媒体及び/又は移動先の情報記録媒体を認証処理するようにしてもよい。
【0036】
また、本発明の第4の側面は、情報記録媒体間での価値情報の移動をサービスする価値情報移動サービスをコンピュータ・システム上で実行するように記述されたコンピュータ・ソフトウェアをコンピュータ可読形式で物理的に格納した記憶媒体であって、前記コンピュータ・ソフトウェアは、
移動元の情報記録媒体から価値情報自体と価値情報にアクセスするための鍵とそのロジックを安全に保持する価値情報サービス装置への価値情報のアップロードを中継するステップと、
前記価値情報サービス装置から移動先の情報記録媒体への価値情報のダウンロードを中継するステップと、
を具備することを特徴とする記憶媒体である。
【0037】
本発明の第4の側面に係る記憶媒体は、例えば、様々なプログラム・コードを実行可能な汎用コンピュータ・システムに対して、コンピュータ・ソフトウェアをコンピュータ可読な形式で提供する媒体である。このような媒体は、例えば、DVD(Digital Versatile Disc)やCD(Compact Disc)、FD(Floppy Disk)、MO(Magneto-Optical disc)などの着脱自在で可搬性の記憶媒体である。あるいは、ネットワーク(ネットワークは無線、有線の区別を問わない)などの伝送媒体などを経由してコンピュータ・ソフトウェアを特定のコンピュータ・システムに提供することも技術的に可能である。
【0038】
本発明の第4の側面に係る記憶媒体は、コンピュータ・システム上で所定のコンピュータ・ソフトウェアの機能を実現するための、コンピュータ・ソフトウェアと記憶媒体との構造上又は機能上の協働的関係を定義したものである。換言すれば、本発明の第4の側面に係る記憶媒体を介して所定のコンピュータ・ソフトウェアをコンピュータ・システムにインストールすることによって、コンピュータ・システム上では協働的作用が発揮され、本発明の第3の側面に係る価値情報移動サービス装置又は価値情報移動サービス方法と同様の作用効果を得ることができる。
【0039】
本発明のさらに他の目的、特徴や利点は、後述する本発明の実施形態や添付する図面に基づくより詳細な説明によって明らかになるであろう。
【0040】
【発明の実施の形態】
以下、図面を参照しながら本発明の実施形態について詳解する。
【0041】
本発明は、ICカードやICチップ内に保持されている複数の価値情報を、1箇所のサーバに接続するだけでセキュアに移動させるものである。価値情報の移動を行うサーバのことを、以下では「バリュー移動サーバ」と呼ぶことにする。例えば、携帯電話機の機種変更の際に、内蔵されたICチップ上の価値情報を移動するような場合、機種変更サービスを行う電話会社などがバリュー移動サーバを運営すればよい。バリュー移動サーバは、個々の価値情報サービスのプロバイダとは一体化されている訳ではないが、本発明によれば、価値情報の移動をセキュアに行うことができるので、責任の分離が明確となり、バリュー移動サーバを運営する事業者の責任が過大となることはない。
【0042】
図1には、価値情報のセキュアな移動を実現するネットワーク・システムの構成を模式的に示している。
【0043】
同図に示すように、VPN(Virtual Private Network)あるいは専用線などのネットワーク上には、電子マネーや電子チケットなどの価値情報サービスを行うプロバイダが設置するアプリケーション・サーバ(APS)10A,10B…と、ICカードやICチップに内蔵された価値情報をICチップ間でセキュアに移動させるためのバリュー移動サーバ20が存在する。
【0044】
各アプリケーション・サーバ(APS)10A,10B…、並びに、バリュー移動用サーバ20は、それぞれ耐タンパ性を持つハードウェア・モジュールSAM(Secure Application Module)を備えている。SAMは、価値情報自体と価値情報にアクセスするための鍵、並びにそのロジックを閉じ込めている。
【0045】
本実施形態では、バリュー移動用サーバ20は、各ICチップ内の情報をセキュアに管理するために管理用SAM21を備えている。管理用SAM21は、ICチップの初期化処理など、価値情報を保持している各ICチップの管理を行う。また、管理用SAM21は、ICチップ内の価値情報を移動する際に、通常使用時の「本鍵」から移動時のみ使用する一時的な「仮鍵」に変更するためのロジックを備えている。
【0046】
また、各アプリケーション・サーバ10A…は、価値情報を通常使用する際に用いる本鍵で動作する通常SAM11と、バリュー移動用サーバ20の管理用SAM21が発行する仮鍵によって移動時に動作する移動用SAM12を備えている。
【0047】
通常SAM11は、各サービス・プロバイダが設置するアプリケーション・サーバ10上で個別に管理され、価値情報のサービスを行う。通常SAM11は、価値情報にアクセスする鍵とそのロジックを知る各サービス・プロバイダがそれぞれの他者は権限を持たない限り、通常SAM11の中を知ることができない。バリュー移動用サーバ20も、通常SAM11の中身を知ることができない。
【0048】
通常SAM11と移動用SAM12は、物理的には、同じハードウェア・モジュール内で一体化されていても、個々に独立したハードウェア・モジュールであってもよい。また、契約などにより、サービス・プロバイダは、自身が運営するアプリケーション・サーバではなくバリュー移動用サーバ20など別の場所にSAMを配置していてもよい。
【0049】
各アプリケーション・サーバ10やバリュー移動用サーバ20は、専用のハードウェアによりサーバ装置として構成することも可能であるが、ワークステーション(WS)やパーソナル・コンピュータ(PC)と呼ばれる一般的な計算機システム上で所定のサーバ・アプリケーションを起動するという形態でも実現することができる。計算機システムの一例は、米IBM社のPC/AT互換機又はその後継機である。
【0050】
また、ICカードは、ICチップとして携帯電話機やPDA(Personal Digital Assistant)などの携帯端末30Aに内蔵して用いられているか、あるいは、リーダ/ライタ付きの携帯端末30Bに非接触(又は接触)アクセスして用いられる。携帯端末の機種変更やICカード自体の交換のために、ICチップ又はICカード間で価値情報を移動する場合には、携帯端末30は、無線又は有線の通信媒体を介してVPNに接続して、バリュー移動サーバ20に価値情報の移動を依頼する。本実施形態では、ICチップに保持された複数の価値情報を移動する場合であっても、携帯端末30は、一箇所のバリュー移動サーバ20に接続するだけでよい、という点に充分留意されたい。
【0051】
バリュー移動用サーバ20は、価値情報の移動に際し、管理用SAM21を使用して、ICチップを通信路経由で制御する。
【0052】
本実施形態では、バリュー移動用サーバ20は、管理用SAM21を用いて、価値情報の移動のために各サービス・プロバイダの移動用SAM12とICチップ間で暗号化通信が行われる際、それを中継する役割を担う。また、ICチップ側のリーダ/ライタ機能を持つ携帯端末30BやICチップ内蔵型の携帯端末30Aは、SAMとICチップ間で暗号化通信が行われる際、ICチップとバリュー移動サーバ20との接続を行なう役割を担う。
【0053】
バリュー移動用サーバ20と各移動用SAM12との間は、バリュー移動用サーバ20がある移動用SAM12を制御する権限についてそれぞれ個別に設定可能とする。また、バリュー移動用サーバ20と各移動用SAM12との間は、PKI(Public Key Infrastructure:公開鍵暗号基盤)若しくは共通鍵による暗号化が可能である。また、バリュー移動用サーバ20と遠隔の移動用SAM12との間には、VPN又は専用線で接続されている。
【0054】
図1に示したネットワーク・システムにおいて、ICカード又は携帯端末に内蔵されたICチップ内の価値情報を移動するためには、移動元並びに移動先となるICチップの接続先は、単一のバリュー移動用サーバ20となる。
【0055】
バリュー移動用サーバ20の管理用SAM21は、価値情報を移動する前に、価値情報の鍵を通常使用時の「本鍵」から移動のための一時的な「仮鍵」に変更する。また、ICチップ内に保持されているすべての価値情報の移動が完了しないうちは、元のICチップの価値情報をまだ削除せず、バックアップ用として保持しておく。
【0056】
移動が完了したときには、管理用SAM21は移動先のICチップにおいて仮鍵を本鍵に戻すことにより、価値情報の通常使用が可能となる。また、バックアップ用に残しておいた移動元のICチップ側に関しては仮鍵のままとすることにより通常使用を不能のままとなるので、不正使用を防ぐことができる。
【0057】
バリュー移動用サーバ20は、ICチップ内の個々の価値情報を、該当するサービス・プロバイダの移動用SAM12を用いて移動を行う。この際、サービス・プロバイダ(APS)側の移動用SAM12では、事前にバリュー移動用サーバ20からのアクセス制限を設定する。
【0058】
サービス・プロバイダのアプリケーション・サーバ10側では、通常使用時に価値情報にアクセスするための鍵と、そのロジックを通常SAM11に格納するとともに、価値情報移動用の鍵やそのロジックを移動用SAM12に格納している。また、移動時に、ICチップ内の価値情報は、アプリケーション・サーバ10の移動用SAM12内に一時的に保存される。
【0059】
価値情報の移動先となるICチップ側では、そのメモリ領域のフォーマッティングなどの所定の前処理を行った後、バリュー移動用サーバ20経由で、サービス・プロバイダすなわちアプリケーション・サーバ10の移動用SAM12から価値情報をダウンロードすることで、その移動が完了する。
【0060】
移動後は、管理用SAM21が正しい鍵に変えることによって、以後同じ移動用の鍵で価値情報を移動することを不能にする。この結果、移動元のICチップ上に残っているバックアップ用の価値情報は使用できなくなる。
【0061】
そして、ICチップ内のすべての価値情報の移動が完了すると、サービス・プロバイダの移動用SAM12内に一時的に保存されていた価値情報を削除する。
【0062】
図2には、本実施形態に係るネットワーク・システム上で、ICチップ間で価値情報をセキュアに移動させるための処理手順をフローチャートの形式で示している。この処理手順は、携帯端末を介してネットワーク接続されるICチップと、バリュー移動用サーバ20と、該当する各アプリケーション・サーバ(プロバイダ)10の移動用SAM12間での協働的な動作により実現される。以下、このフローチャートを参照しながら、価値情報のセキュアな移動処理について説明する。
【0063】
まず、価値情報の移動元となるICチップは、リーダ/ライタ機能を持つ通信装置(例えばリーダ/ライタ付きの携帯電話機、又はICチップ内蔵の携帯電話機)30と接続する。さらに、移動元のICチップは、この通信装置30経由でバリュー移動用サーバ20と接続して、通信装置30から送られるユーザID、パスワードでバリュー移動用サーバ20と認証する(ステップS1)。
【0064】
バリュー移動用サーバ20は、価値情報の移動元ICチップ内を検索して、そのICチップ内に登録されているすべての価値情報の種類を検知するとともに、それらの情報をサーバ20ローカルの移動情報データベース(図示しない)に保存する。あるいは、バリュー移動用サーバ20側が事前に用意したICチップのシリアル・ナンバーとその登録している価値情報の種類の対照テーブルを事前に移動情報データベース内に用意しておき、価値情報の移動元ICチップのシリアル・ナンバーを得ることにより、この対照テーブルを利用して、ICチップ内に登録されている価値情報の種類をつきとめる(ステップS2)。価値情報の種類毎に、対応するサービス・プロバイダすなわちSAMを用意するアプリケーション・サーバが異なるものとする。
【0065】
次いで、バリュー移動用サーバ20の管理用SAM21は、価値情報の移動元ICチップ内の価値情報自体にアクセスするために必要な鍵を、通常使用時の「本鍵」から、移動時に一時的に使用する「仮鍵」に変更する(ステップS3)。この結果、価値情報の移動中に移動元ICチップ上では、通常の価値情報の利用が不可能な状態となる。すなわち、仮鍵に切り換わることにより、該当するサービス・プロバイダの通常SAM11はICチップ内の価値情報にアクセスできなくなる代わりに、移動用SAM12がICチップ内の価値情報へのアクセスが可能になる。
【0066】
次いで、バリュー移動用サーバ20は、ICチップ内から検索されたサービス・プロバイダを1つ取り出す(ステップS4)。そして、バリュー移動用サーバ20の管理用SAM21は、価値情報の種類単位(アプリケーション単位)で価値情報の移動を開始する。
【0067】
まず、最初に移動させる価値情報を管理するサービス・プロバイダすなわちアプリケーション・サーバ10の移動用SAM12を特定して、価値情報の移動元のICチップをその移動用SAM12と通信させる(ステップS5)。
【0068】
バリュー移動元のICチップは、当該チップ内のある価値情報に関して、チップ内にある鍵で移動用SAM12と相互認証を行い、暗号化通信を始める(ステップS6)。
【0069】
次いで、価値情報の移動元ICチップ内の価値情報を、アプリケーション・サーバ10側の移動用SAM12内のメモリ・エリアにコピー(すなわち、価値情報のアップロード)する(ステップS7)。
【0070】
価値情報の移動用SAM12内のメモリ・エリアへのコピーが終了すると、次の移動対象価値情報を管理するサービス・プロバイダの移動用SAM12を特定して、上述と同様の手順により、移動元ICチップをその移動用SAM12と通信させる。引き続き、移動元ICチップ内のすべての価値情報のコピーすなわちアップロードが終わるまで、ステップS4、S5、S6、及びS7を繰り返す(ステップS8)。
【0071】
言い換えれば、価値情報の移動元ICチップが接続するバリュー移動用サーバ20は1箇所であり、このバリュー移動用サーバ20は、移動元のICチップとサービス・プロバイダの各移動用SAM12との通信を言わば中継する。
【0072】
移動元ICチップ内のすべての価値情報をそれぞれのサービス・プロバイダの移動用SAM12へのコピーが完了した後、すなわち価値情報のアップロードが完了した後、今度は、価値情報の移動先ICチップが接続されたリーダ/ライタ機能を持つ通信装置(例えばリーダ/ライタ機能を持つ携帯電話機や、ICチップを内蔵する携帯電話機)30は、バリュー移動用サーバ20と接続して、通信装置から送られるユーザID、パスワードでバリュー移動用サーバ20と認証する(ステップS9)。
【0073】
バリュー移動用サーバ20の管理用SAM21は、価値情報の移動先ICチップとの認証情報により、移動情報データベースを検索して、この移動先ICチップの初期化(フォーマット)情報を得る。そして、バリュー移動用サーバ10の管理用SAM21は、この初期化情報に基づき、移動先ICチップのメモリ・エリアを初期化する(ステップS10)。この初期化に際して、価値情報の使用時に使う本鍵ではなく、価値情報移動用の仮鍵を用いる。
【0074】
次いで、バリュー移動用サーバ20は、移動情報データベースからサービス・プロバイダを1つ取り出す(ステップS11)。そして、バリュー移動用サーバ20は、価値情報の種類単位(アプリケーション単位)で価値情報の移動すなわちICチップへのダウンロードを開始する。
【0075】
まず、最初に移動させる価値情報を管理するサービス・プロバイダすなわちアプリケーション・サーバの移動用SAM12を特定して、価値情報の移動先のICチップをその移動用SAM12と通信させる(ステップS12)。
【0076】
そして、価値情報の移動先のICチップはある価値情報に関して、初期化時にセットされたチップ内の鍵すなわち仮鍵を使用して、移動用SAM12と相互認証を行い、暗号化通信を始める(ステップS13)。
【0077】
次いで、移動用SAM12内のメモリ・エリアに価値情報の移動元ICチップ内からコピーすなわちアップロードされた価値情報を、価値情報の移動先ICチップ内にコピーすなわちダウンロードする(ステップS14)。
【0078】
ある価値情報についての移動先ICチップ内へのコピーが終了すると、次に移動対象となる価値情報を管理するサービス・プロバイダの移動用SAM12を特定して、上述と同様の手順により、移動先ICチップをその移動用SAM12と通信させる。引き続き、移動先ICチップ内へのすべての価値情報のコピーが終わるまで、ステップS11、S12、S13、及びS14を繰り返す(ステップS15)。
【0079】
言い換えれば、価値情報の移動先ICチップが接続するバリュー移動用サーバ20は1箇所であり、このバリュー移動用サーバ20は、移動先のICチップと各サービス・プロバイダの移動用SAM12との通信を言わば中継する。
【0080】
すべての価値情報の移動が完了すると、バリュー移動用サーバ20は、バリュー移動先ICチップの価値情報移動用の仮鍵を、通常使用時の本鍵に変更する(ステップS16)。この結果、移動先のICチップ側では、価値情報の通常使用が可能となる。また、バックアップ用に残しておいたICチップに関しては仮鍵のままとすることにより通常使用を不能のままとなるので、不正使用を防ぐことができる。また、必要に応じて、移動元のICチップ内に残されたままの価値情報を削除する。
【0081】
さらに、バリュー移動用サーバ20は、価値情報の移動に関係したそれぞれのアプリケーション・サーバ10の移動用SAM21内のメモリ・エリアに保存しておいた移動用価値情報をクリアする(ステップS17)。
【0082】
図3には、移動元ICチップに保持されている価値情報を個々のサービス・プロバイダの移動用SAM12にアップロードするための処理手続きを示している。以下、同図を参照しながら、価値情報を移動元ICチップから移動用SAM12にアップロードするための各者間の協働的動作について説明する。
【0083】
まず、価値情報の移動元となるICチップは、リーダ/ライタ機能を持つ通信装置(例えばリーダ/ライタ付きの携帯電話機、又はICチップ内蔵の携帯電話機)30と接続して、通信装置はICチップのシリアル・ナンバーなどを取得する。
【0084】
次いで、リーダ/ライタ機能を持つ通信装置は、バリュー移動用サーバ20との間でユーザ認証を行い、認証に成功した後、この通信装置にICチップ・コントロール用の通信路の確保を要求し、通信路が確保される。
【0085】
次いで、バリュー移動用サーバ20は、管理用SAM21に対して移動元ICチップ内の価値情報自体にアクセスするために必要な鍵を、通常使用時の「本鍵」から、移動時に一時的に使用する「仮鍵」に変更するよう、鍵変更を依頼し、管理用SAM21はこの鍵変更処理を行う。本鍵から仮鍵に変更されたことにより、該当するサービス・プロバイダ10側では通常SAM11ではなく移動用SAM12が移動元ICチップの価値情報にアクセスできるようになる。
【0086】
次いで、バリュー移動用サーバ20は、価値情報を管理するサービス・プロバイダ10に対して、価値情報の移動(アップロード)処理を依頼する。
【0087】
サービス・プロバイダ10側では、この価値情報移動処理の依頼に応答して、移動用SAM12が、移動元ICチップに対して価値情報のアップロード依頼を発行する。これに対して、移動元ICチップは、価値情報を移動用SAM12にコピーすなわちアップロードを行う。
【0088】
価値情報移動処理依頼、価値情報アップロード依頼、並びに価値情報のアップロードは、必要なサービス・プロバイダの分だけ繰り返し実行する。
【0089】
また、図4には、サービス・プロバイダの移動用SAM12にアップロードされている価値情報を移動先のICチップにダウンロードするための処理手続きを示している。以下、同図を参照しながら、価値情報を移動用SAM12から移動先ICチップにダウンロードするための各者間の協働的動作について説明する。
【0090】
まず、価値情報の移動元となるICチップは、リーダ/ライタ機能を持つ通信装置(例えばリーダ/ライタ付きの携帯電話機、又はICチップ内蔵の携帯電話機)30と接続して、通信装置はICチップのシリアル・ナンバーなどを取得する。
【0091】
次いで、リーダ/ライタ機能を持つ通信装置は、バリュー移動用サーバ20との間でユーザ認証を行い、認証に成功した後、この通信装置にICチップ・コントロール用の通信路の確保を要求し、通信路が確保される。
【0092】
通信路が確保されると、バリュー移動用サーバ20の管理用SAM21は、移動先ICチップのシリアル・ナンバーにより移動情報データベースを検索して、この移動先ICチップの初期化(フォーマット)情報を得る。そして、バリュー移動用サーバ10の管理用SAM21は、この初期化情報に基づき、移動先ICチップのメモリ・エリアを初期化する。移動先ICチップは、初期化が終了するとこれを管理用SAM21に通知する。
【0093】
次いで、バリュー移動用サーバ20は、価値情報を管理するサービス・プロバイダ10に対して、価値情報の移動(ダウンロード)処理を依頼する。
【0094】
サービス・プロバイダ10側では、この価値情報移動処理の依頼に応答して、移動用SAM12が、自身のメモリ・エリアにアップロードされている価値情報を移動先のICチップにダウンロードする。これに対して、移動先のICチップは、ダウンロードが完了するとこれを通知する。
【0095】
価値情報移動処理依頼、価値情報ダウンロード依頼、並びに価値情報のダウンロード終了通知は、必要なサービス・プロバイダの分だけ繰り返し実行する。
【0096】
そして、すべての価値情報のダウンロードが完了すると、バリュー移動用サーバ20は、管理用SAM21に対して移動先ICチップ内の価値情報自体にアクセスするために必要な鍵を、通常使用時の「仮鍵」から、移動時に一時的に使用する「本鍵」に変更するよう、鍵変更を依頼し、管理用SAM21はこの鍵変更処理を行う。仮鍵から本鍵に戻されたことにより、該当するサービス・プロバイダ10側では移動用SAM12ではなく通常SAM11が移動元ICチップの価値情報にアクセスできるようになる。
【0097】
この結果、移動先のICチップでは、価値情報の通常使用(例えば、電子マネーによる電子決済や電子チケットの使用など)が可能となる。一方、バックアップ用に残しておいた移動元のICチップ側に関しては仮鍵のままとすることにより通常使用を不能のままとなるので、不正使用を防ぐことができる。また、必要に応じて、移動元のICチップ内に残されたままの価値情報を削除する。
【0098】
図5及び図5には、ICカードとカード・リーダ/ライタ間における非接触データ通信の仕組みを図解している。
【0099】
リーダ/ライタとICカード間の無線通信は、例えば電磁誘導の原理に基づいて実現される。図5には、電磁誘導に基づくリーダ/ライタとICカードとの無線通信の仕組みを概念的に図解している。リーダ/ライタは、ループ・コイルで構成されたアンテナLRWを備え、このアンテナLRWに電流IRWを流すことでその周辺に磁界を発生させる。一方、ICカード側では、電気的にはICカードの周辺にループ・コイルLcが形設されている。ICカード側のループ・コイルLc端にはリーダ/ライタ側のループ・アンテナLcが発する磁界による誘導電圧が生じ、ループ・コイルLc端に接続されたICカードの端子に入力される。
【0100】
リーダ/ライタ側のアンテナLRWとICカード側のループ・コイルLcは、その結合度は互いの位置関係によって変わるが、系としては1個のトランスを形成していると捉えることができ、図6に示すようにモデル化することができる。
【0101】
リーダ/ライタ側では、アンテナLRWに流す電流IRWを変調することで、ICチップ上のループ・コイルLcに誘起される電圧VOは変調を受け、そのことを利用してリーダ/ライタはICカードへのデータ送信を行うことができる。
【0102】
また、ICカードは、リーダ/ライタへ返送するためのデータに応じてループ・コイルLcの端子間の負荷を変動させる機能(Load Switching)を持つ。ループ・コイルLcの端子間の負荷が変動すると、リーダ/ライタ側ではアンテナ端子間のインピーダンスが変化して、アンテナLRWの通過電流IRWや電圧VRWの変動となって現れる。この変動分を復調することで、リーダ/ライタはICカードの返送データを受信することができる。
【0103】
すなわち、ICカードは、リーダ/ライタからの質問信号に対する応答信号に応じて自身のアンテナ間の負荷を変化させることによって、リーダ/ライタ側の受信回路に現れる信号に振幅変調をかけて通信を行うことができる。
【0104】
また、図7には、ICチップ100を内蔵したタイプの携帯端末110の内部ハードウェア構成を模式的に示している。ここで言う携帯端末110には、携帯電話機やPDA(Personal Digital Assistant)などの情報処理端末に相当する。携帯電話機であれば、無線電話網経由でVPN又は専用線に接続される。また、携帯端末であれば、他の携帯電話機を介して無線電話網経由でVPN又は専用線に接続される。
【0105】
同図に示すように、ICチップ100は、アンテナ部101と、アナログ部102と、ディジタル制御部103と、メモリ104と、外部インターフェース105とで構成されている。
【0106】
アンテナ部101は、リーダ/ライタ200との間で非接触データの送受信を行う。アナログ部102は、検波、変復調、クロック抽出など、アンテナ部101から送受信されるアナログ信号の処理を行う。ICチップ100は、リーダ/ライタ200からの質問信号に対する応答信号に応じて自身のアンテナ間の負荷を変化させることによって、リーダ/ライタ側の受信回路に現れる信号に振幅変調をかけて通信を行うことができる。
【0107】
ディジタル制御部103は、送受信データの処理やその他ICカード内の動作を統括的にコントロールする。ディジタル制御部103は、アドレス可能なメモリ104をローカルに接続しており、電子マネーや電子チケットなどのアプリケーションを格納したり、ディジタル制御部103が実行するプログラム・コードをロードしたり、実行中の作業データを保存するために使用することができる。
【0108】
ICチップ100のメモリ104には、さまざまなアプリケーションが格納されている。アプリケーションとしては、例えば、電子マネーや電子チケットなどの価値情報を挙げることができる。
【0109】
外部インターフェース105は、リーダ/ライタ200とを結ぶ非接触インターフェースとは相違するインターフェース・プロトコルにより、ディジタル制御部103が携帯端末110本体と接続するための機能モジュールである。メモリ104に書き込まれたデータは、外部インターフェース105を経由して、携帯端末110本体側に転送することができる。
【0110】
本実施形態では、携帯端末110と内蔵ICチップ100を接続する外部インターフェース105には、UARTやI2Cのような有線インターフェースを使用する。但し、外部インターフェース105のインターフェース仕様は特に限定されず、他の有線インターフェースであっても、あるいはBluetoothやIEEE.802.11bなどの無線インターフェースであってもよい。
【0111】
ICチップ100は、例えば、アンテナ部101経由で受信されるカード読み書き装置からの受信電波によって駆動することができる。勿論、携帯端末110側からの供給電力によって、一部又は全部が動作するように構成されていてもよい。
【0112】
一方、携帯端末110本体側は、プログラム制御部111と、表示部112と、ユーザ入力部113とで構成される。
【0113】
プログラム制御部111は、例えばマイクロプロセッサと、RAMと、ROMで構成され(いずれも図示しない)、マイクロプロセッサは、ROMに格納されたプログラム・コードに従って、RAMを作業領域に用いてさまざまな処理サービスを実行する。処理サービスには、携帯電話機やPDAなどの携帯端末110本来の機能の他に、ICチップ100に対する処理も含まれる。
【0114】
プログラム制御部111は、外部インターフェース105経由で、ICカード100にアクセスすることができる。
【0115】
また、プログラム制御部111には、情報格納部114が設けられている。情報格納部114は、例えばEEPROM(Electrically Erasable and Programmable ROM)のような書き込み可能なメモリ装置や、ハード・ディスクなどの外部記憶装置などで構成されている。
【0116】
表示部112は、例えば液晶表示ディスプレイ(LCD:liquid Crystal Display)で構成される。表示部112は、例えば、プログラム制御部111における処理結果などを画面出力してユーザに通知することができる。
【0117】
ユーザ入力部113は、キーボードやジョグダイヤル、あるいは表示部112の表示画面に重畳されたタッチパネルなどで構成され、ユーザが携帯端末110にコマンドやデータを入力するために使用される。
【0118】
携帯端末110内のプログラム制御部111は、バッテリなど図示しない主電源からの給電により駆動する。
【0119】
ICチップ100を内蔵した携帯端末110をリーダ/ライタ(R/W)200にかざすことによって、内蔵ICチップ100とリーダ/ライタ200間で非接触データ通信が開始される。そして、PINなどの暗証番号の照合を経て、ICチップ100内の電子チケットや電子マネーなどの価値情報へのアクセスが許可される。
【0120】
[追補]
以上、特定の実施形態を参照しながら、本発明について詳解してきた。しかしながら、本発明の要旨を逸脱しない範囲で当業者が該実施形態の修正や代用を成し得ることは自明である。すなわち、例示という形態で本発明を開示してきたのであり、本明細書の記載内容を限定的に解釈するべきではない。本発明の要旨を判断するためには、冒頭に記載した特許請求の範囲の欄を参酌すべきである。
【0121】
【発明の効果】
以上詳記したように、本発明によれば、電子マネーや電子チケットなどの価値情報をセキュアに移動させることができる、優れたデータ転送システム及びデータ転送方法、価値情報移動サービス装置及び価値情報移動サービス方法、並びに記憶媒体を提供することができる。
【0122】
また、本発明によれば、ICカードやICチップ内に保持されている電子マネーや電子チケットなどの価値情報をセキュアに移動させることができる、優れたデータ転送システム及びデータ転送方法、価値情報移動サービス装置及び価値情報移動サービス方法、並びに記憶媒体を提供することができる。
【0123】
また、本発明によれば、ICカードやICチップ内に保持されている複数の価値情報を、1箇所のサーバに接続するだけでセキュアに移動させることができる、優れたデータ転送システム及びデータ転送方法、価値情報移動サービス装置及び価値情報移動サービス方法、並びに記憶媒体を提供することができる。
【0124】
本発明によれば、移動用の価値情報のアクセス鍵と価値情報自体は、バリュー移動用サーバに保存する必要はなく、価値情報を運用するサービス・プロバイダのSAM内に保存される。したがって、価値情報の移動事業者と、価値情報サービスを運用する各サービス・プロバイダの責任範囲を明確に分離することができる。
【0125】
また、本発明によれば、ICチップ内の複数の価値情報を移動しなければならないような場合、価値情報の移動元ICチップ、並びに、価値情報の移動先ICチップのための各通信装置は、1箇所のバリュー移動用サーバのみと接続するだけで充分である。したがって、通信装置は手動又は自動で価値情報サービス毎に通信を逐次切り換える必要がない。このため、手間が減り、通信障害が起こる可能性を減少させることができる。この場合、ICチップ側から考えると、1箇所のバリュー移動用サーバに接続すれば、中継先となる各サービス・プロバイダのSAMの存在を意識する必要がない。
【0126】
また、本発明によれば、移動前に価値情報へアクセスするための鍵を「仮鍵」に変更して、移動完了後に本鍵に戻すようにしているので、移動の途中で価値情報が不正に複製や改竄されて使用されることを防ぐことができる。また、価値情報の移動に失敗した場合であっても、移動元の鍵を本鍵に戻すことにより、価値情報の消失を防ぐことができる。
【図面の簡単な説明】
【図1】価値情報のセキュアな移動を実現するネットワーク・システムの構成を模式的に示した図である。
【図2】本実施形態に係るネットワーク・システム上におけるICチップ間で価値情報をセキュアに移動させるための処理手順を示したフローチャートである。
【図3】移動元ICチップに保持されている価値情報を個々のサービス・プロバイダの移動用SAM12にアップロードするための処理手続きを示したシーケンス図である。
【図4】個々のサービス・プロバイダの移動用SAM12にアップロードされている価値情報を移動元ICチップにダウンロードするための処理手続きを示したシーケンス図である。
【図5】電磁誘導に基づくリーダ/ライタとICカードとの無線通信の仕組みを概念的に示した図である。
【図6】リーダ/ライタとICカードからなる系を1個のトランスとして捉えてモデル化した図である。
【図7】ICチップ100を内蔵したタイプの携帯端末110の内部ハードウェア構成を模式的に示した図である。
【符号の説明】
10…アプリケーション・サーバ(サービス・プロバイダ)
11…通常SAM
12…移動用SAM
20…バリュー移動用サーバ
21…管理用SAM
100…ICチップ
101…アンテナ部
102…アナログ部
103…ディジタル制御部
104…メモリ
105…外部インターフェース
110…携帯端末
112…表示部
113…ユーザ入力部
114…情報格納部
200…リーダ/ライタ[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a non-contact (or contact type) IC card or IC chip having a memory function for holding data and capable of reading and writing to the memory by non-contact, and in particular, a memory from an external reader / writer by wireless data. A wireless interface for accessing functions and a non-contact IC card or IC chip with a wired interface for connecting to an external device, and this type of IC card or IC chip via a wired interface The present invention relates to an information processing terminal such as a mobile phone or a PDA that is installed and used.
[0002]
More specifically, the present invention includes a contactless IC card or IC chip that electronically stores electronic money, electronic tickets, or other value information, and such an IC card or IC chip via a wired interface. In particular, the present invention relates to secure movement of value information between information processing terminals.
[0003]
[Prior art]
Conventionally, various devices using a personal identification number and password for identity verification and authentication processing have been devised and put into practical use. For example, when using a cash card or credit card at a bank or other financial institution, the user must enter a PIN or password as a means of personal authentication on the cash dispenser or other financial terminal. After confirming that the correct password and password have been entered by the user, the deposit / withdrawal operation is performed.
[0004]
In a storage medium such as a magnetic stripe arranged on one cash card, only a storage area usable only for the bank is provided. Therefore, since the input of a password or password as described above is only an access to this single storage area, it cannot be said that protection against forgery or theft is sufficient.
[0005]
For this reason, from the standpoint of preventing counterfeiting, there are contact IC cards that have electrical contacts with cash cards and credit cards, and non-contact IC cards that read and write data wirelessly via wireless data. It is becoming popular. For example, an IC card reader / writer installed at a cash dispenser, an entrance / exit of a concert hall, a ticket gate of a station, etc. can access the IC card held by the user in a non-contact manner.
[0006]
The user inputs the password to the IC card reader and verifies the identity between the IC card and the IC card reader / writer by comparing the input password with the password stored on the IC card. Alternatively, authentication processing is performed. When the identity verification or authentication process is successful, for example, an application stored in the IC card can be used. Here, examples of applications held by the IC card include value information such as electronic money and electronic tickets. Further, by storing the prepaid voucher electronically, it is possible to use an IC card or a portable terminal connected thereto as a prepaid card. (The personal identification number used when accessing the IC card is particularly called a PIN (Personal Identification Number).)
[0007]
Recently, along with the improvement in miniaturization technology, IC cards having a relatively large storage space have emerged and become popular. Since a conventional cash card or the like carries only a single storage area, that is, a single application, it is necessary to carry a plurality of cards according to each use or purpose. On the other hand, according to such an IC card with a large-capacity memory, a plurality of applications can be stored simultaneously, so that one IC card can be used for a plurality of purposes. For example, two or more applications such as electronic money for electronic payment, electronic ticket for entering a specific concert venue, digitized prepaid voucher are stored on one IC card. One IC card can be applied to various uses.
[0008]
Furthermore, in addition to the non-contact (or contact type) interface with the card reader / writer (card reader / writer), the IC card includes a wired interface for connecting to an external device, so that the IC card can be connected to a mobile phone, PDA. It can be used by being connected to (personal digital assistant) or built in (however, in most cases, the IC card is configured as one chip).
[0009]
In such a case, various application services using the IC card can be executed on the information processing terminal. For example, user interaction with the IC card can be performed on the information processing terminal using a user interface such as a keyboard or display on the information processing terminal. In addition, since the IC card is connected to the mobile phone, the contents stored on the IC card can be exchanged via the telephone network.
[0010]
Of course, in the case where value information such as electronic money, electronic ticket, and prepaid voucher is stored on the IC card, the information processing terminal processes value information such as electronic payment and payment in a prepaid card format, Various other services can be realized. Furthermore, it is possible to provide processing according to the phase of data transfer between the IC card and the card read / write device and processing according to the internal state of the IC card.
[0011]
By the way, when the IC chip storing the value information is built in the mobile phone, it is necessary to move the value information between the IC chips, that is, between the mobile terminals for reasons such as model change.
[0012]
The mobile phone model change procedure is generally performed at a telephone company store or the like, and personal information such as an address book in the old model is moved to the new model. However, when moving the value information in the IC chip, there is a possibility that the value information may be lost due to a communication failure or a machine failure during the movement, and the value information may be illegally copied or falsified. Is overly responsible.
[0013]
In the first place, telephone companies are not integrated with electronic money or electronic ticket service providers, and do not have the keys and logic necessary to access value information, so there are many inconveniences in processing value information. In addition, by contracting the transfer of value information, the telephone company inevitably takes responsibility for the value information and its key. Also, it is not preferable for electronic money or electronic ticket service providers to pass outside access keys and logics that form the basis of service trust, even though they are telephone companies.
[0014]
A value information service provider usually uses a tamper-resistant hardware module SAM (Secure Application Module) to confine the value information itself, a key for accessing the value information, and its logic. In order to move a plurality of pieces of value information using a single mobile server such as a telephone company, it is necessary to store the value information even if it is temporary. However, unless a SAM or the like is used, Even if it is encrypted independently, there is a high possibility that the value information and its key will be decrypted on the server.
[0015]
On the other hand, apart from the procedure for changing the model of the mobile terminal body, a method in which the value information in the IC chip is moved by the service provider of the value information is also conceivable. This method may be effective from the viewpoint of separation of responsibilities.
[0016]
However, the user has to take a plurality of procedures as the model of the portable terminal is changed. In particular, when various types of value information are stored in one IC chip as the memory capacity of the IC card or IC chip increases, the procedure for transferring the value information to each service provider Has to be taken and is extremely annoying. Further, a reader / writer that reads value information from an IC chip needs to switch sessions to a plurality of service providers. However, it takes time to manually perform this switching operation. In addition, since the communication mechanism on the IC chip side is complicated, there is a high possibility that a failure will occur.
[0017]
[Problems to be solved by the invention]
An object of the present invention is to provide an excellent data transfer system, data transfer method, value information transfer service device, value information transfer service method, and storage medium capable of securely transferring value information such as electronic money and electronic tickets. It is to provide.
[0018]
A further object of the present invention is to provide an excellent data transfer system, data transfer method, and value information transfer capable of securely transferring value information such as electronic money and electronic tickets held in an IC card or IC chip. To provide a service device, a value information transfer service method, and a storage medium.
[0019]
A further object of the present invention is to provide an excellent data transfer system and data transfer capable of securely moving a plurality of value information held in an IC card or IC chip by simply connecting to one server. To provide a method, a value information transfer service device, a value information transfer service method, and a storage medium.
[0020]
[Means and Actions for Solving the Problems]
The present invention has been made in consideration of the above problems, and a first aspect thereof is a data transfer system for transferring value information,
A value information service device that securely holds the value information itself to be transferred, the key for accessing the value information, and its logic;
A value information transfer service device that relays upload of value information stored in a source information recording medium to the value information service device and download of value information from the value information service device to a destination information recording medium;
A data transfer system comprising:
[0021]
However, “system” here refers to a logical collection of a plurality of devices (or functional modules that realize specific functions), and each device or functional module is in a single housing. It does not matter whether or not.
[0022]
The second aspect of the present invention is a data transfer method for transferring value information,
Relaying the upload of the value information to the value information service device that securely holds the key and its logic for accessing the value information itself and the value information from the information recording medium of the transfer source;
The value information service device temporarily storing the value information in transit;
Relaying download of value information from the value information service device to a destination information recording medium;
A data transfer method characterized by comprising:
[0023]
According to the data transfer system or the data transfer method according to the first or second aspect of the present invention, the value information held in the information recording medium such as the IC chip is accessed to the value information with the value information itself. To control value information service devices such as tamper-resistant hardware modules SAM that contain the necessary keys and logic, and to access value information and value information other than authorized devices It can be securely transferred onto another information recording medium without showing a necessary key and its logic and while preventing duplication or falsification of value information. For example, when exchanging a portable terminal for a new model, all the value information held in the terminal can be securely moved by connecting to a single location. Therefore, it is possible to clearly separate the responsibility range of the value information mobile operator and each service provider operating the value information service.
[0024]
Here, the value information transfer service device changes the key for accessing the value information on the transfer source information recording medium from the real key during normal use to the temporary key, and then the value to the value information service device. Information may be uploaded. In such a case, it is possible to prevent the value information from being illegally duplicated or altered during use and used. Even if the transfer of the value information fails, it can be used as a backup by returning the key of the transfer source to the real key, and the loss of the value information can be prevented.
[0025]
The value information transfer service device may change the temporary key to the real key after downloading the value information from the value information service device to the transfer destination on the information recording medium. In such a case, since the value information remaining in the information recording medium of the transfer source remains as a temporary key, the normal use remains unusable, so that unauthorized use can be prevented.
[0026]
In addition, when there are a plurality of value information service devices that hold a plurality of value information on the information recording medium of the transfer source and securely hold each value information itself and a key for accessing the value information and its logic, The value information transfer service device may perform the upload of the value information from the transfer source information recording medium and the download to the transfer destination information recording medium for each value information service device. In such a case, it is only necessary to connect to one value information mobile service device, and there is no need to switch communication for each value information service manually or automatically. For this reason, labor can be reduced and the possibility of communication failure can be reduced. Considering from the information recording medium side of the movement source, it is not necessary to be conscious of each value information service device as a relay destination, and the procedure is simplified.
[0027]
The value information transfer service device may perform initialization processing of a transfer destination information recording medium before downloading value information from the value information service device.
[0028]
Further, the value information transfer service device may perform an authentication process on a transfer source information recording medium and / or a transfer destination information recording medium.
[0029]
The third aspect of the present invention is a value information transfer service device or a value information transfer service method that services transfer of value information between information recording media,
Means or step for relaying the upload of the value information to the value information service device that securely holds the value information itself and the key for accessing the value information and the logic from the information recording medium of the transfer source; and
Means or step for relaying download of value information from the value information service device to a destination information recording medium;
A value information transfer service device or a value information transfer service method.
[0030]
According to the value information transfer service device or the value information transfer service method according to the third aspect of the present invention, the value information held in the information recording medium such as an IC chip is accessed to the value information with the value information itself. To control value information service devices such as tamper-resistant hardware modules SAM that contain the necessary keys and their logic, and to access value information itself and value information other than authorized devices Can be securely transferred onto another information recording medium without showing the necessary key and its logic and preventing duplication or falsification of value information. For example, when exchanging a portable terminal for a new model, all the value information held in the terminal can be securely moved by connecting to a single location. Therefore, the business operator who switches the model of the portable terminal can move the value information while clearly separating the responsibilities of each service provider operating the value information service.
[0031]
Here, the value information transfer service device according to the third aspect of the present invention changes the key for accessing the value information on the transfer source information recording medium from the real key during normal use to the temporary key. You may make it upload the value information to the said value information service apparatus. In such a case, it is possible to prevent the value information from being illegally duplicated or altered during use and used. Even if the transfer of the value information fails, it can be used as a backup by returning the key of the transfer source to the real key, and the loss of the value information can be prevented.
[0032]
Further, after the value information is downloaded onto the information recording medium from the value information service device to the destination, the temporary key may be changed to the real key. In such a case, since the value information remaining in the information recording medium of the transfer source remains as a temporary key, the normal use remains unusable, so that unauthorized use can be prevented.
[0033]
In addition, when there are a plurality of value information service devices that hold a plurality of value information on the information recording medium of the transfer source and securely hold each value information itself and a key for accessing the value information and its logic, You may make it perform the upload of the value information from the information recording medium of a movement origin, and the download to the information recording medium of a movement destination for every value information service apparatus. In such a case, it is only necessary to connect to one value information mobile service device, and there is no need to switch communication for each value information service manually or automatically. For this reason, labor can be reduced and the possibility of communication failure can be reduced. Considering from the information recording medium side of the movement source, it is not necessary to be conscious of each value information service device as a relay destination, and the procedure is simplified.
[0034]
The value information transfer service device or the value information transfer service method according to the third aspect of the present invention may perform the initialization process of the information recording medium of the transfer destination before downloading the value information from the value information service device. Good.
[0035]
Further, the value information movement service device or the value information movement service method according to the third aspect of the present invention may perform authentication processing on the information recording medium of the movement source and / or the information recording medium of the movement destination.
[0036]
According to a fourth aspect of the present invention, there is provided a computer readable form of computer software written to execute a value information transfer service for transferring value information between information recording media on a computer system. A storage medium stored on the computer, wherein the computer software comprises:
Relaying the upload of the value information to the value information service device that securely holds the key and its logic for accessing the value information itself and the value information from the information recording medium of the transfer source;
Relaying download of value information from the value information service device to a destination information recording medium;
It is a storage medium characterized by comprising.
[0037]
The storage medium according to the fourth aspect of the present invention is a medium that provides computer software in a computer-readable format to, for example, a general-purpose computer system that can execute various program codes. Such a medium is a removable and portable storage medium such as a DVD (Digital Versatile Disc), a CD (Compact Disc), an FD (Floppy Disk), and an MO (Magneto-Optical disc). Alternatively, it is technically possible to provide computer software to a specific computer system via a transmission medium such as a network (whether the network is wireless or wired).
[0038]
The storage medium according to the fourth aspect of the present invention has a structural or functional cooperative relationship between the computer software and the storage medium for realizing the function of predetermined computer software on the computer system. Defined. In other words, by installing predetermined computer software in the computer system via the storage medium according to the fourth aspect of the present invention, a cooperative action is exhibited on the computer system, and the The same effect as the value information movement service apparatus or the value information movement service method according to the third aspect can be obtained.
[0039]
Other objects, features, and advantages of the present invention will become apparent from more detailed description based on embodiments of the present invention described later and the accompanying drawings.
[0040]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
[0041]
According to the present invention, a plurality of pieces of value information held in an IC card or an IC chip can be securely moved simply by connecting to one server. The server that moves the value information is hereinafter referred to as a “value transfer server”. For example, when changing the value information on a built-in IC chip when changing the model of a mobile phone, a telephone company that provides a model change service may operate a value transfer server. Although the value transfer server is not integrated with each provider of value information services, according to the present invention, value information can be transferred securely, so that the separation of responsibilities becomes clear. The responsibility of the operator operating the value transfer server will not be excessive.
[0042]
FIG. 1 schematically shows the configuration of a network system that realizes secure movement of value information.
[0043]
As shown in the figure, on a network such as a VPN (Virtual Private Network) or a dedicated line, application servers (APS) 10A, 10B,. There is a value transfer server 20 for securely transferring value information built in an IC card or IC chip between IC chips.
[0044]
Each of the application servers (APS) 10A, 10B,... And the value transfer server 20 includes a tamper-resistant hardware module SAM (Secure Application Module). The SAM contains the value information itself, the key for accessing the value information, and its logic.
[0045]
In the present embodiment, the value transfer server 20 includes a management SAM 21 for securely managing information in each IC chip. The management SAM 21 manages each IC chip holding value information, such as an IC chip initialization process. In addition, the management SAM 21 includes logic for changing the value information in the IC chip from a “real key” during normal use to a temporary “temporary key” used only during movement. .
[0046]
Further, each application server 10A... Operates as a normal SAM 11 that operates with the real key used when value information is normally used, and a transfer SAM 12 that operates during transfer with a temporary key issued by the management SAM 21 of the value transfer server 20. It has.
[0047]
SAM11 is usually a service provider Set up Managed individually on the application server 10 to provide value information services. Usually, the SAM 11 cannot know the contents of the SAM 11 unless each service provider who knows the key for accessing the value information and its logic has authority for each other. The value transfer server 20 is also unable to know the contents of the normal SAM 11.
[0048]
Normally, the SAM 11 and the mobile SAM 12 may be physically integrated in the same hardware module or may be independent hardware modules. Further, depending on the contract, the service provider may arrange the SAM in another place such as the value transfer server 20 instead of the application server operated by the service provider.
[0049]
Each application server 10 and value transfer server 20 can be configured as a server device with dedicated hardware, but on a general computer system called a workstation (WS) or a personal computer (PC). This can also be realized by starting a predetermined server application. An example of the computer system is IBM's PC / AT compatible machine or its successor.
[0050]
In addition, the IC card is used as an IC chip incorporated in a mobile terminal 30A such as a mobile phone or a PDA (Personal Digital Assistant), or non-contact (or contact) access to a mobile terminal 30B with a reader / writer. Used. When transferring value information between IC chips or IC cards for changing the model of the mobile terminal or replacing the IC card itself, the mobile terminal 30 is connected to the VPN via a wireless or wired communication medium. The value transfer server 20 is requested to transfer value information. It should be noted that in the present embodiment, even when a plurality of value information held in the IC chip is moved, the mobile terminal 30 only needs to be connected to one value transfer server 20. .
[0051]
When the value information is transferred, the value transfer server 20 uses the management SAM 21 to control the IC chip via the communication path.
[0052]
In the present embodiment, the value transfer server 20 uses the management SAM 21 to relay encrypted communication between the transfer SAM 12 of each service provider and the IC chip for the transfer of value information. To play a role. In addition, the portable terminal 30B having a reader / writer function on the IC chip side and the portable terminal 30A having a built-in IC chip connect the IC chip and the value transfer server 20 when encrypted communication is performed between the SAM and the IC chip. Take the role of doing.
[0053]
Between the value transfer server 20 and each transfer SAM 12, the authority to control the transfer SAM 12 with the value transfer server 20 can be set individually. Further, the value transfer server 20 and each transfer SAM 12 can be encrypted with a PKI (Public Key Infrastructure) or a common key. The value transfer server 20 and the remote transfer SAM 12 are connected by a VPN or a dedicated line.
[0054]
In the network system shown in FIG. 1, in order to move value information in an IC chip built in an IC card or a portable terminal, the connection destination of the IC chip that is the movement source and the movement destination is a single value. It becomes the movement server 20.
[0055]
Before the value information is transferred, the management SAM 21 of the value transfer server 20 changes the key of the value information from a “real key” during normal use to a temporary “temporary key” for transfer. Also, as long as the transfer of all value information held in the IC chip is not completed, the original IC chip value Keep the information for backup without deleting it yet.
[0056]
When the transfer is completed, the management SAM 21 returns the temporary key to the real key in the transfer destination IC chip, so that the value information can be used normally. Further, since the original IC chip side that has been left for backup remains in a temporary key, it cannot be used normally, so that unauthorized use can be prevented.
[0057]
The value transfer server 20 moves individual value information in the IC chip using the transfer SAM 12 of the corresponding service provider. At this time, the transfer SAM 12 on the service provider (APS) side sets an access restriction from the value transfer server 20 in advance.
[0058]
On the application server 10 side of the service provider, a key for accessing value information during normal use and its logic are stored in the normal SAM 11, and a key for transferring value information and its logic are stored in the movement SAM 12. ing. Further, during movement, the value information in the IC chip is temporarily stored in the movement SAM 12 of the application server 10.
[0059]
On the IC chip side to which the value information is transferred, after performing predetermined preprocessing such as formatting of the memory area, the value is transferred from the service provider, that is, the transfer SAM 12 of the application server 10 via the value transfer server 20. The transfer is completed by downloading the information.
[0060]
After the movement, the management SAM 21 changes to the correct key, thereby making it impossible to move the value information with the same movement key thereafter. As a result, the backup value information remaining on the source IC chip cannot be used.
[0061]
When the transfer of all the value information in the IC chip is completed, the value information temporarily stored in the service provider transfer SAM 12 is deleted.
[0062]
FIG. 2 shows a processing procedure for securely transferring the value information between the IC chips on the network system according to the present embodiment in the form of a flowchart. This processing procedure is realized by a cooperative operation among the IC chip connected to the network via the portable terminal, the value transfer server 20, and the transfer SAM 12 of each corresponding application server (provider) 10. The Hereinafter, the secure transfer process of value information will be described with reference to this flowchart.
[0063]
First, the IC chip that is the source of the value information is connected to a communication device 30 having a reader / writer function (for example, a mobile phone with a reader / writer, or a mobile phone with a built-in IC chip) 30. Further, the source IC chip is connected to the value transfer server 20 via the communication device 30 and authenticates with the value transfer server 20 using the user ID and password sent from the communication device 30 (step S1).
[0064]
The value transfer server 20 searches the value information transfer source IC chip, detects all types of value information registered in the IC chip, and uses the information to transfer the information to the server 20 local transfer information. Save in a database (not shown). Alternatively, a serial table of IC chips prepared in advance by the value transfer server 20 side and a comparison table of registered value information types are prepared in advance in the transfer information database, and the transfer source IC of the value information is stored. By obtaining the serial number of the chip, the type of value information registered in the IC chip is determined using this comparison table (step S2). Assume that for each type of value information, a corresponding service provider, that is, an application server that prepares a SAM, is different.
[0065]
Next, the management SAM 21 of the value transfer server 20 temporarily changes the key necessary for accessing the value information itself in the transfer source IC chip of the value information from the “real key” during normal use during the transfer. The “temporary key” to be used is changed (step S3). As a result, during the movement of the value information, the normal value information cannot be used on the movement source IC chip. That is, by switching to the temporary key, the normal SAM 11 of the corresponding service provider cannot access the value information in the IC chip, but the mobile SAM 12 can access the value information in the IC chip.
[0066]
Next, the value transfer server 20 takes out one service provider retrieved from the IC chip (step S4). Then, the management SAM 21 of the value transfer server 20 starts to transfer value information in units of value information types (application units).
[0067]
First, the service provider that manages the value information to be moved first, that is, the migration SAM 12 of the application server 10 is specified, and the IC chip that is the source of the value information is communicated with the migration SAM 12 (step S5).
[0068]
The value transfer source IC chip performs mutual authentication with the transfer SAM 12 with respect to certain value information in the chip, and starts encrypted communication (step S6).
[0069]
Next, the value information in the transfer source IC chip of the value information is copied (that is, the value information is uploaded) to the memory area in the transfer SAM 12 on the application server 10 side (step S7).
[0070]
When copying of the value information to the memory area in the transfer SAM 12 is completed, the transfer SAM 12 of the service provider that manages the next transfer target value information is specified, and the transfer source IC chip is executed in the same procedure as described above. Communicate with the mobile SAM 12. Subsequently, steps S4, S5, S6, and S7 are repeated until all value information in the source IC chip is copied, that is, uploaded (step S8).
[0071]
In other words, the value transfer server 20 to which the value information transfer source IC chip is connected is one place, and this value transfer server 20 communicates with the transfer source SAM chip 12 and the transfer SAM 12 of the service provider. In short, relay.
[0072]
After copying all the value information in the source IC chip to the SAM 12 for transfer of each service provider, that is, after the upload of the value information is completed, the destination IC chip of the value information is now connected. The communication device 30 having a reader / writer function (for example, a mobile phone having a reader / writer function or a mobile phone incorporating an IC chip) is connected to the value transfer server 20 and sent from the communication device. Then, the value transfer server 20 is authenticated with the password (step S9).
[0073]
The management SAM 21 of the value transfer server 20 searches the transfer information database based on the authentication information of the value information with the transfer destination IC chip, and obtains initialization (format) information of the transfer destination IC chip. Then, the management SAM 21 of the value transfer server 10 initializes the memory area of the transfer destination IC chip based on the initialization information (step S10). In this initialization, a temporary key for transferring value information is used instead of the main key used when using the value information.
[0074]
Next, the value transfer server 20 extracts one service provider from the transfer information database (step S11). Then, the value transfer server 20 starts transferring value information in units of value information types (application units), that is, downloading to the IC chip.
[0075]
First, the service provider that manages the value information to be moved first, that is, the migration SAM 12 of the application server is specified, and the IC chip to which the value information is moved is communicated with the migration SAM 12 (step S12).
[0076]
Then, the IC chip to which the value information is transferred performs mutual authentication with the transfer SAM 12 using a key in the chip set at the time of initialization, that is, a temporary key, with respect to certain value information, and starts encrypted communication (step) S13).
[0077]
Next, the value information copied or uploaded from within the transfer source IC chip of the value information to the memory area in the transfer SAM 12 is copied or downloaded into the transfer destination IC chip of the value information (step S14).
[0078]
When copying of certain value information into the destination IC chip is completed, the migration SAM 12 of the service provider that manages the value information to be moved next is specified, and the destination IC is identified by the same procedure as described above. The chip communicates with the mobile SAM 12. Subsequently, steps S11, S12, S13, and S14 are repeated until all value information is copied into the destination IC chip (step S15).
[0079]
In other words, the value transfer server 20 to which the value information transfer destination IC chip is connected is one location, and this value transfer server 20 communicates with the transfer destination SAM chip of each service provider. In short, relay.
[0080]
When the transfer of all value information is completed, the value transfer server 20 changes the temporary key for transferring the value information of the value transfer destination IC chip to the real key for normal use (step S16). As a result, the value information can be normally used on the destination IC chip side. Further, since the IC chip that is left for backup remains in a temporary key by being left as a temporary key, unauthorized use can be prevented. Further, as needed, the value information remaining in the source IC chip is deleted.
[0081]
Further, the value transfer server 20 clears the transfer value information stored in the memory area in the transfer SAM 21 of each application server 10 related to the transfer of the value information (step S17).
[0082]
FIG. 3 shows a processing procedure for uploading the value information held in the movement source IC chip to the movement SAM 12 of each service provider. Hereinafter, a collaborative operation between each person for uploading the value information from the movement source IC chip to the movement SAM 12 will be described with reference to FIG.
[0083]
First, an IC chip that is a source of value information is connected to a communication device 30 having a reader / writer function (for example, a mobile phone with a reader / writer or a mobile phone with a built-in IC chip), and the communication device is an IC chip. Get serial number etc.
[0084]
Next, the communication device having the reader / writer function performs user authentication with the value transfer server 20 and, after successful authentication, requests the communication device to secure a communication path for IC chip control, A communication path is secured.
[0085]
Next, the value transfer server 20 temporarily uses the key necessary for accessing the management SAM 21 to access the value information itself in the transfer source IC chip from the “real key” for normal use during transfer. The management SAM 21 performs the key change process by requesting the key change so as to change to the “temporary key”. By changing from the real key to the temporary key, the moving SAM 12 can access the value information of the source IC chip instead of the normal SAM 11 on the corresponding service provider 10 side.
[0086]
Next, the value transfer server 20 requests the service provider 10 that manages the value information to transfer (upload) the value information.
[0087]
On the service provider 10 side, in response to this request for value information transfer processing, the transfer SAM 12 issues a request for uploading value information to the source IC chip. On the other hand, the transfer source IC chip copies, that is, uploads the value information to the transfer SAM 12.
[0088]
The value information transfer processing request, the value information upload request, and the value information upload are repeatedly executed for the necessary service providers.
[0089]
FIG. 4 shows a processing procedure for downloading the value information uploaded to the transfer SAM 12 of the service provider to the transfer destination IC chip. Hereinafter, with reference to the figure, a collaborative operation between each person for downloading the value information from the movement SAM 12 to the movement destination IC chip will be described.
[0090]
First, an IC chip that is a source of value information is connected to a communication device 30 having a reader / writer function (for example, a mobile phone with a reader / writer or a mobile phone with a built-in IC chip), and the communication device is an IC chip. Get serial number etc.
[0091]
Next, the communication device having the reader / writer function performs user authentication with the value transfer server 20 and, after successful authentication, requests the communication device to secure a communication path for IC chip control, A communication path is secured.
[0092]
When the communication path is secured, the management SAM 21 of the value transfer server 20 searches the transfer information database by the serial number of the transfer destination IC chip, and obtains initialization (format) information of the transfer destination IC chip. . Then, the management SAM 21 of the value transfer server 10 initializes the memory area of the transfer destination IC chip based on the initialization information. The destination IC chip notifies the management SAM 21 when the initialization is completed.
[0093]
Next, the value transfer server 20 requests the service provider 10 that manages the value information to transfer (download) the value information.
[0094]
On the service provider 10 side, in response to the request for value information transfer processing, the transfer SAM 12 downloads the value information uploaded to its own memory area to the transfer destination IC chip. On the other hand, the destination IC chip notifies when the download is completed.
[0095]
The value information transfer processing request, the value information download request, and the value information download end notification are repeatedly executed for the necessary service providers.
[0096]
When the download of all the value information is completed, the value transfer server 20 obtains the key necessary for accessing the value information itself in the transfer destination IC chip with respect to the management SAM 21 as “temporary use”. The management SAM 21 performs a key change process by requesting a key change so that the key is changed to a “real key” that is temporarily used at the time of movement. By returning from the temporary key to the real key, the normal service SAM 11 instead of the transfer SAM 12 can access the value information of the transfer source IC chip on the corresponding service provider 10 side.
[0097]
As a result, the destination IC chip can normally use the value information (for example, electronic payment using electronic money or use of an electronic ticket). On the other hand, since the original IC chip side that has been left for backup remains in a temporary key by leaving it as a temporary key, unauthorized use can be prevented. Further, as needed, the value information remaining in the source IC chip is deleted.
[0098]
5 and 5 illustrate the mechanism of contactless data communication between an IC card and a card reader / writer.
[0099]
Wireless communication between the reader / writer and the IC card is realized based on the principle of electromagnetic induction, for example. FIG. 5 conceptually illustrates a wireless communication mechanism between a reader / writer and an IC card based on electromagnetic induction. The reader / writer is an antenna L composed of a loop coil. RW This antenna L RW Current I RW To generate a magnetic field around it. On the other hand, on the IC card side, a loop coil L is electrically disposed around the IC card. c Is formed. IC card loop coil L c Loop antenna L on the reader / writer side at the end c An induced voltage is generated by the magnetic field generated by the loop coil L c It is input to the terminal of the IC card connected to the end.
[0100]
Reader / writer side antenna L RW And IC card loop coil L c Although the degree of coupling varies depending on the positional relationship with each other, the system can be regarded as forming one transformer, and can be modeled as shown in FIG.
[0101]
On the reader / writer side, the antenna L RW Current I RW By modulating the loop coil L on the IC chip c Induced voltage V O Receives the modulation, and using this, the reader / writer can transmit data to the IC card.
[0102]
In addition, the IC card has a loop coil L according to data to be returned to the reader / writer. c It has a function to change the load between the terminals (Load Switching). Loop coil L c When the load between the two terminals fluctuates, the impedance between the antenna terminals changes on the reader / writer side, and the antenna L RW Passing current I RW And voltage V RW Appears as fluctuations. By demodulating this fluctuation, the reader / writer can receive the return data of the IC card.
[0103]
That is, the IC card performs communication by applying amplitude modulation to the signal appearing in the receiving circuit on the reader / writer side by changing the load between its antennas according to the response signal to the interrogation signal from the reader / writer. be able to.
[0104]
FIG. 7 schematically shows an internal hardware configuration of a portable terminal 110 of a type incorporating the IC chip 100. Here, the portable terminal 110 corresponds to an information processing terminal such as a cellular phone or a PDA (Personal Digital Assistant). If it is a mobile phone, it is connected to a VPN or a dedicated line via a wireless telephone network. In the case of a mobile terminal, it is connected to a VPN or a dedicated line via a wireless telephone network via another mobile phone.
[0105]
As shown in FIG. 1, the IC chip 100 includes an antenna unit 101, an analog unit 102, a digital control unit 103, a memory 104, and an external interface 105.
[0106]
The antenna unit 101 transmits and receives contactless data to and from the reader / writer 200. The analog unit 102 processes analog signals transmitted and received from the antenna unit 101, such as detection, modulation / demodulation, and clock extraction. The IC chip 100 performs communication by applying amplitude modulation to the signal appearing in the receiving circuit on the reader / writer side by changing the load between its antennas in accordance with the response signal to the interrogation signal from the reader / writer 200. be able to.
[0107]
The digital control unit 103 comprehensively controls processing of transmission / reception data and other operations in the IC card. The digital control unit 103 is connected locally to the addressable memory 104, stores applications such as electronic money and electronic tickets, loads program codes executed by the digital control unit 103, Can be used to save work data.
[0108]
Various applications are stored in the memory 104 of the IC chip 100. Examples of the application include value information such as electronic money and electronic tickets.
[0109]
The external interface 105 is a functional module for the digital control unit 103 to connect to the mobile terminal 110 main body using an interface protocol different from the non-contact interface connecting the reader / writer 200. Data written in the memory 104 can be transferred to the main body of the mobile terminal 110 via the external interface 105.
[0110]
In the present embodiment, the external interface 105 that connects the portable terminal 110 and the built-in IC chip 100 has UART and I 2 A wired interface such as C is used. However, the interface specifications of the external interface 105 are not particularly limited, and may be other wired interfaces, or Bluetooth or IEEE. A wireless interface such as 802.11b may be used.
[0111]
The IC chip 100 can be driven by, for example, a received radio wave from a card read / write device that is received via the antenna unit 101. Of course, part or all may be configured to operate by the power supplied from the mobile terminal 110 side.
[0112]
On the other hand, the mobile terminal 110 main body side includes a program control unit 111, a display unit 112, and a user input unit 113.
[0113]
The program control unit 111 includes, for example, a microprocessor, a RAM, and a ROM (all not shown), and the microprocessor uses various processing services using the RAM as a work area according to the program code stored in the ROM. Execute. The processing service includes processing for the IC chip 100 in addition to the original functions of the mobile terminal 110 such as a mobile phone or a PDA.
[0114]
The program control unit 111 can access the IC card 100 via the external interface 105.
[0115]
The program control unit 111 is provided with an information storage unit 114. The information storage unit 114 includes a writable memory device such as an EEPROM (Electrically Erasable and Programmable ROM), an external storage device such as a hard disk, and the like.
[0116]
The display unit 112 is configured by, for example, a liquid crystal display (LCD). For example, the display unit 112 can output the processing result in the program control unit 111 to the user and notify the user.
[0117]
The user input unit 113 includes a keyboard, a jog dial, or a touch panel superimposed on the display screen of the display unit 112, and is used by the user to input commands and data to the mobile terminal 110.
[0118]
The program control unit 111 in the portable terminal 110 is driven by power supply from a main power source (not shown) such as a battery.
[0119]
By holding the portable terminal 110 incorporating the IC chip 100 over the reader / writer (R / W) 200, contactless data communication is started between the built-in IC chip 100 and the reader / writer 200. Then, access to value information such as an electronic ticket or electronic money in the IC chip 100 is permitted through verification of a PIN such as a PIN.
[0120]
[Supplement]
The present invention has been described in detail above with reference to specific embodiments. However, it is obvious that those skilled in the art can make modifications and substitutions of the embodiment without departing from the gist of the present invention. That is, the present invention has been disclosed in the form of exemplification, and the contents described in the present specification should not be interpreted in a limited manner. In order to determine the gist of the present invention, the claims section described at the beginning should be considered.
[0121]
【The invention's effect】
As described in detail above, according to the present invention, an excellent data transfer system and data transfer method, value information transfer service device, and value information transfer, which can securely transfer value information such as electronic money and electronic tickets, etc. A service method and a storage medium can be provided.
[0122]
In addition, according to the present invention, it is possible to securely move value information such as electronic money and electronic tickets held in an IC card or IC chip, an excellent data transfer system, data transfer method, and value information transfer. A service device, a value information transfer service method, and a storage medium can be provided.
[0123]
Further, according to the present invention, an excellent data transfer system and data transfer capable of securely moving a plurality of value information held in an IC card or an IC chip only by connecting to one server. A method, a value information transfer service device, a value information transfer service method, and a storage medium can be provided.
[0124]
According to the present invention, the access key of the value information for movement and the value information itself need not be stored in the value transfer server, but are stored in the SAM of the service provider that operates the value information. Therefore, it is possible to clearly separate the responsibility range of the value information mobile operator and each service provider operating the value information service.
[0125]
Further, according to the present invention, when a plurality of value information in the IC chip must be moved, each communication device for the value information transfer source IC chip and the value information transfer destination IC chip is It is sufficient to connect to only one value transfer server. Therefore, it is not necessary for the communication apparatus to sequentially switch communication for each value information service manually or automatically. For this reason, labor can be reduced and the possibility of communication failure can be reduced. In this case, considering from the IC chip side, if it is connected to one value transfer server, there is no need to be aware of the existence of the SAM of each service provider as a relay destination.
[0126]
In addition, according to the present invention, the key for accessing the value information is changed to the “temporary key” before the movement, and the key is returned to the real key after the movement is completed. Can be prevented from being duplicated or tampered with. Even if the transfer of the value information fails, the loss of the value information can be prevented by returning the source key to the real key.
[Brief description of the drawings]
FIG. 1 is a diagram schematically showing a configuration of a network system that realizes secure movement of value information.
FIG. 2 is a flowchart showing a processing procedure for securely transferring value information between IC chips on the network system according to the present embodiment.
FIG. 3 is a sequence diagram showing a processing procedure for uploading value information held in a movement source IC chip to a movement SAM 12 of each service provider.
FIG. 4 is a sequence diagram showing a processing procedure for downloading value information uploaded to a migration SAM 12 of each service provider to a migration source IC chip.
FIG. 5 is a diagram conceptually showing a mechanism of wireless communication between a reader / writer based on electromagnetic induction and an IC card.
FIG. 6 is a diagram modeling a system composed of a reader / writer and an IC card as a single transformer.
7 is a diagram schematically showing an internal hardware configuration of a portable terminal 110 of a type incorporating an IC chip 100. FIG.
[Explanation of symbols]
10 ... Application server (service provider)
11 ... Normal SAM
12 ... SAM for movement
20 ... Value transfer server
21 ... SAM for management
100 ... IC chip
101. Antenna part
102 ... Analog part
103 ... Digital control unit
104 ... Memory
105 ... External interface
110: Mobile terminal
112 ... display section
113 ... User input section
114: Information storage unit
200: Reader / Writer

Claims (9)

ICチップ間で価値情報を移動させるためのデータ転送システムであって、
ICチップ内の価値情報を移動する際に、ICチップの鍵を通常使用時の本鍵から一時的な仮鍵に変更するための鍵変更ロジックを格納した管理用SAMを備えた価値情報移動用サーバと、
価値情報サービスを行なうプロバイダが設置するアプリケーション・サーバに設けられた、ICチップ内の価値情報を通常使用する際に用いる本鍵と価値情報を通常使用するための通常使用ロジックを格納した通常SAM、及び、前記価値情報移動用サーバの管理用SAMが発行する仮鍵と価値情報を移動するための移動ロジックを格納した移動用SAMと、
ICチップと前記価値情報移動用サーバ間、前記価値情報移動用サーバと前記移動用SAM間、ICチップと前記移動用SAM間を接続する接続手段と、
前記価値情報移動用サーバの管理用SAMが、前記接続手段を介して移動元のICチップと通信し、移動元のICチップ内の価値情報にアクセスするための鍵を前記鍵変更ロジックに従って本鍵から仮鍵に変更して、前記プロバイダ内の通常SAMが前記通常使用ロジックを用いて移動元のICチップ内の価値情報にアクセスできなくなるとともに、前記移動用SAMが前記移動ロジックを用いて移動元のICチップ内の価値情報へのアクセス可能にする本鍵変更手段と、
前記移動用SAMが、前記価値情報移動用サーバからの要求に応じて、前記接続手段を介して移動元のICチップと通信して、移動元のICチップ内にある仮鍵を用いて相互認証を行い、前記移動ロジックに従って移動元のICチップから前記移動用SAMへ価値情報をアップロードするアップロード手段と、
前記価値情報移動用サーバの管理用SAMが、前記接続手段を介して移動先のICチップと通信し、仮鍵を用いて移動先のICチップを初期化する初期化手段と、
前記移動用SAMが、前記価値情報移動用サーバからの要求に応じて、前記接続手段を介して移動先のICチップと通信して、移動先のICチップ内にある仮鍵を用いて相互認証を行い、前記移動ロジックに従って移動元のICチップからアップロードしておいた価値情報を移動先のICチップへダウンロードするダウンロード手段と、
前記移動用SAMが移動先のICチップへの価値情報の移動を完了したときに、前記価値情報移動用サーバの管理用SAMが、前記鍵変更ロジックに従って移動先のICチップにおいて仮鍵を本鍵に変更して、前記プロバイダ内の通常SAMが前記通常使用ロジックを用いて移動先のICチップ内の価値情報にアクセス可能にする本鍵復元手段と、
を具備し、
SAM(Secure Application Module)は耐タンパ性を持つハードウェアモジュールであり、各SAMとICチップは互いが格納する鍵で相互認証し、SAMに格納されたロジックに従ってICチップ内の価値情報へのアクセスを行なう、
ことを特徴とするデータ転送システム。A data transfer system for transferring value information between IC chips,
When moving the value information in the IC chip, the value information is provided with a management SAM storing a key change logic for changing the key of the IC chip from a normal key during normal use to a temporary temporary key. Server,
A normal SAM storing a normal key and a normal use logic for normal use of the value information, which are provided in an application server installed by a provider who provides the value information service, and which is used when the value information in the IC chip is normally used; And a transfer SAM storing a temporary key issued by the management SAM of the value information transfer server and a transfer logic for transferring the value information,
A connection means for connecting between the IC chip and the value information transfer server, between the value information transfer server and the transfer SAM, and between the IC chip and the transfer SAM;
The management SAM of the value information transfer server communicates with the transfer source IC chip via the connection means, and a key for accessing the value information in the transfer source IC chip is obtained according to the key change logic. To the temporary key, the normal SAM in the provider cannot access the value information in the source IC chip using the normal use logic, and the transfer SAM uses the transfer logic to move to the source A key changing means for making it possible to access value information in the IC chip of
In response to a request from the value information transfer server, the transfer SAM communicates with the transfer source IC chip via the connection means, and performs mutual authentication using the temporary key in the transfer source IC chip. Uploading means for uploading value information from the source IC chip to the transfer SAM according to the transfer logic;
An initialization unit that communicates with the destination IC chip via the connection unit, and initializes the destination IC chip using a temporary key;
In response to a request from the value information transfer server, the transfer SAM communicates with the transfer destination IC chip via the connection means, and performs mutual authentication using a temporary key in the transfer destination IC chip. Download means for downloading the value information uploaded from the movement source IC chip to the movement destination IC chip according to the movement logic;
When the transfer SAM has completed the transfer of the value information to the destination IC chip, the management SAM of the value information transfer server uses the temporary key in the transfer destination IC chip according to the key change logic. The normal key SAM in the provider can access the value information in the destination IC chip using the normal use logic;
Comprising
SAM (Secure Application Module) is a tamper-resistant hardware module. Each SAM and IC chip mutually authenticate with a key stored in each other, and access to value information in the IC chip according to the logic stored in the SAM. Do,
A data transfer system characterized by that. ICチップ内には複数種類の価値情報を格納することができ、
前記プロバイダは、価値情報の種類毎に通常SAM及び移動用SAMを用意するアプリケーション・サーバを設置しており、
前記価値情報移動用サーバは、移動元のICチップ内に格納されているすべての価値情報の種類を検知し、各価値情報を管理するプロバイダが設置するアプリケーション・サーバの移動用SAMを特定し、
移動元のICチップ内のすべての価値情報について、前記アップロード手段による移動元のICチップから前記移動用SAMへの価値情報のアップロードを繰り返し、
前記移動用SAMへアップロードされたすべての価値情報について、前記ダウンロード手段による前記移動用SAMから移動先のICチップへの価値情報のダウンロードを繰り返す、
ことを特徴とする請求項1に記載のデータ転送システム。Multiple types of value information can be stored in the IC chip,
The provider installs an application server that prepares a normal SAM and a mobile SAM for each type of value information,
The value information moving server detects all types of value information stored in the source IC chip, identifies the application server moving SAM installed by the provider managing each value information,
For all value information in the transfer source IC chip, the upload means repeatedly uploads the value information from the transfer source IC chip to the transfer SAM,
For all value information uploaded to the transfer SAM, the download means repeatedly downloads the value information from the transfer SAM to the transfer destination IC chip.
The data transfer system according to claim 1. ICチップの鍵を通常使用時の本鍵から一時的な仮鍵に変更するための鍵変更ロジックを格納した管理用SAMを備えた価値情報移動用サーバと、価値情報サービスを行なうプロバイダが設置する、ICチップに格納された価値情報を通常使用する際に用いる本鍵と価値情報を通常使用するための通常使用ロジックを格納した通常SAM及び前記価値情報移動用サーバの管理用SAMが発行する仮鍵と価値情報を移動するための移動ロジックを格納した移動用SAMを備えたアプリケーション・サーバで構成されるデータ転送システムにおいて、ICチップ間で価値情報を移動させるためのデータ転送方法であって、ICチップと前記価値情報移動用サーバ間、前記価値情報移動用サーバと前記移動用SAM間、ICチップと前記移動用SAM間は所定の接続手段を介して接続されており、
前記価値情報移動用サーバの管理用SAMが、前記接続手段を介して移動元のICチップと通信し、移動元のICチップ内の価値情報にアクセスするための鍵を前記鍵変更ロジックに従って本鍵から仮鍵に変更する本鍵変更ステップと、
前記移動用SAMが、前記価値情報移動用サーバからの移動要求に応じて、前記接続手段を介して移動元のICチップと通信して、移動元のICチップ内にある仮鍵を用いて相互認証を行い、前記移動ロジックに従って移動元のICチップから前記移動用SAMへ価値情報をアップロードするアップロード・ステップと、
前記価値情報移動用サーバの管理用SAMが、前記接続手段を介して移動先のICチップと通信し、仮鍵を用いて移動先のICチップを初期化する初期化ステップと、
前記移動用SAMが、前記価値情報移動用サーバからの要求に応じて、前記接続手段を介して移動先のICチップと通信して、移動先のICチップ内にある仮鍵を用いて相互認証を行い、前記移動ロジックに従って移動元のICチップからアップロードしておいた価値情報を移動先のICチップへダウンロードするダウンロード・ステップと、
前記移動用SAMが移動先のICチップへの価値情報の移動を完了したときに、前記管理用SAMが、前記鍵変更ロジックに従って移動先のICチップにおいて仮鍵を本鍵に変更する本鍵復元ステップと、
を具備し、
SAM(Secure Application Module)は耐タンパ性を持つハードウェアモジュールであり、各SAMとICチップは互いが格納する鍵で相互認証し、SAMに格納されたロジックに従ってICチップ内の価値情報へのアクセスを行なう、
ことを特徴とするデータ転送方法。A value information transfer server having a management SAM storing key change logic for changing a key of an IC chip from a normal key during normal use to a temporary key, and a provider that provides a value information service are installed. A temporary SAM storing a normal key used for normal use of the real key and value information normally used when the value information stored in the IC chip is used, and a temporary SAM issued by the management SAM of the value information transfer server. A data transfer method for transferring value information between IC chips in a data transfer system including an application server having a transfer SAM storing transfer logic for transferring a key and value information, Between the IC chip and the value information transfer server, Between the value information transfer server and the transfer SAM, IC chip and the transfer SA During are connected via a predetermined connection means,
The management SAM of the value information transfer server communicates with the transfer source IC chip via the connection means, and a key for accessing the value information in the transfer source IC chip is obtained according to the key change logic. A key change step for changing from a temporary key to a temporary key;
In response to a transfer request from the value information transfer server, the transfer SAM communicates with the transfer source IC chip via the connection means, and uses the temporary key in the transfer source IC chip. An upload step of authenticating and uploading value information from the source IC chip to the transfer SAM according to the transfer logic;
An initialization step in which the management SAM of the value information transfer server communicates with the destination IC chip via the connection means, and initializes the destination IC chip using a temporary key;
In response to a request from the value information transfer server, the transfer SAM communicates with the transfer destination IC chip via the connection means, and performs mutual authentication using a temporary key in the transfer destination IC chip. Download step of downloading the value information uploaded from the source IC chip according to the transfer logic to the destination IC chip;
When the transfer SAM completes the transfer of the value information to the destination IC chip, the management SAM changes the temporary key to the real key in the destination IC chip according to the key change logic. Steps,
Comprising
SAM (Secure Application Module) is a tamper-resistant hardware module. Each SAM and IC chip mutually authenticate with a key stored in each other, and access to value information in the IC chip according to the logic stored in the SAM. Do,
A data transfer method characterized by the above. ICチップ内には複数種類の価値情報を格納することができ、
前記プロバイダは、価値情報の種類毎に通常SAM及び移動用SAMを用意するアプリケーション・サーバを設置しており、
前記価値情報移動用サーバが、移動元のICチップ内に格納されているすべての価値情報の種類を検知し、各価値情報を管理するプロバイダが設置するアプリケーション・サーバの移動用SAMを特定するステップをさらに備え、
移動元のICチップ内のすべての価値情報について、前記アップロード・ステップによる移動元のICチップから前記移動用SAMへの価値情報のアップロードを繰り返し、
前記移動用SAMへアップロードされたすべての価値情報について、前記ダウンロード・ステップによる前記移動用SAMから移動先のICチップへの価値情報のダウンロードを繰り返す、
ことを特徴とする請求項3に記載のデータ転送方法。Multiple types of value information can be stored in the IC chip,
The provider installs an application server that prepares a normal SAM and a mobile SAM for each type of value information,
The value information transfer server detects all types of value information stored in the source IC chip, and specifies a transfer SAM of an application server installed by a provider managing each value information Further comprising
For all value information in the transfer source IC chip, the upload of the value information from the transfer source IC chip to the transfer SAM in the upload step is repeated,
For all value information uploaded to the transfer SAM, the download of the value information from the transfer SAM to the transfer destination IC chip in the download step is repeated.
The data transfer method according to claim 3, wherein: ICチップに格納された価値情報を通常使用する際に用いる本鍵と通常使用ロジックを格納した通常SAM、及び、仮鍵によって価値情報の移動時に動作し価値情報を移動するための移動ロジックを格納した移動用SAMを備えたアプリケーション・サーバを設置するプロバイダによって価値情報サービスが提供される請求項1に記載のデータ転送システ ムにおいて、前記価値情報移動用サーバとしてICチップ間での価値情報の移動を管理する価値情報移動サービス装置であって、
ICチップの鍵を通常使用時の本鍵から一時的な仮鍵に変更するための鍵変更ロジックを格納した管理用SAMを備えるとともに、ICチップとの間、前記移動用SAMとの間、ICチップと前記移動用SAM間は所定の接続手段を介して接続されており、
前記管理用SAMは、移動元のICチップから前記移動用SAMへ価値情報のアップロードする前に前記接続手段を介して移動元のICチップと通信して移動元のICチップ内の価値情報にアクセスするための鍵を前記鍵変更ロジックに従って本鍵から仮鍵に変更し、前記接続手段を介して移動先のICチップと通信して仮鍵を用いて移動先のICチップを初期化し、前記移動用SAMから初期化後の移動先のICチップへの価値情報をダウンロードした後に前記鍵変更ロジックに従って移動先のICチップにおいて仮鍵を本鍵に変更して、前記プロバイダ内の通常SAMが前記通常使用ロジックを用いて移動先のICチップ内の価値情報にアクセス可能にし、
SAM(Secure Application Module)は耐タンパ性を持つハードウェアモジュールであり、各SAMとICチップは互いが格納する鍵で相互認証し、SAMに格納されたロジックに従ってICチップ内の価値情報へのアクセスを行なう、
ことを特徴とする価値情報移動サービス装置。 Stores a normal SAM storing normal key and normal use logic used when the value information stored in the IC chip is normally used, and a transfer logic for moving the value information by moving the value information using the temporary key. in the data transfer system of claim 1, value information service is provided by a provider to install the application server with moving SAM that, the movement of the value information between IC chip as said value information moved server A value information transfer service device for managing
Rutotomoni a management for SAM storing the key change logic to change the key of the IC chip to the temporary temporary key from the key at the time of normal use, between the IC chip, between the moving SAM, The IC chip and the moving SAM are connected via a predetermined connection means,
The management SAM communicates with the movement source IC chip via the connection means to access the value information in the movement source IC chip before uploading the value information from the movement source IC chip to the movement SAM. A key to be changed from a real key to a temporary key according to the key change logic, communicate with the destination IC chip via the connection means, initialize the destination IC chip using the temporary key, and After downloading the value information from the SAM to the destination IC chip after initialization, the temporary key is changed to the real key in the destination IC chip according to the key change logic, and the normal SAM in the provider Use value logic to make it possible to access value information in the destination IC chip,
SAM (Secure Application Module) is a tamper-resistant hardware module. Each SAM and IC chip mutually authenticate with a key stored in each other, and access to value information in the IC chip according to the logic stored in the SAM. Do,
A value information transfer service device characterized by that. ICチップ内には複数種類の価値情報を格納することができ、
前記プロバイダは、価値情報の種類毎に通常SAM及び移動用SAMを用意するアプリケーション・サーバを設置しており、
移動元のICチップ内に格納されているすべての価値情報の種類を検知し、各価値情報を管理するプロバイダが設置するアプリケーション・サーバの移動用SAMを特定する手段をさらに備え、
移動元のICチップ内のすべての価値情報について、前記アップロード要求手段による移動元のICチップから前記移動用SAMへの価値情報のアップロード要求を繰り返し、
前記移動用SAMへアップロードされたすべての価値情報について、前記ダウンロード要求手段による前記移動用SAMから移動先のICチップへの価値情報のダウンロード要求を繰り返す、
ことを特徴とする請求項5に記載の価値情報移動サービス装置。Multiple types of value information can be stored in the IC chip,
The provider installs an application server that prepares a normal SAM and a mobile SAM for each type of value information,
A means for detecting all types of value information stored in the source IC chip, and for specifying a SAM for movement of an application server installed by a provider managing each value information;
For all value information in the source IC chip, repeat the upload request of the value information from the source IC chip to the transfer SAM by the upload request means,
Repeating the download request of the value information from the transfer SAM to the transfer destination IC chip by the download request means for all the value information uploaded to the transfer SAM.
The value information transfer service device according to claim 5, wherein: ICチップに格納された価値情報を通常使用する際に用いる本鍵と通常使用ロジックを格納した通常SAM、及び、仮鍵によって価値情報の移動時に動作し価値情報を移動するための移動ロジックを格納した移動用SAMを備えたアプリケーション・サーバを設置するプロバイダによって価値情報サービスが提供される請求項1に記載のデータ転送システムにおいて、コンピュータを用いて構築される価値情報移動用サーバ、ICチップの鍵を通常使用時の本鍵から一時的な仮鍵に変更するための鍵変更ロジックを格納した管理用SAMを用いて、ICチップ間での価値情報の移動を管理する価値情報移動サービス方法であって、
前記管理用SAMが、移動元のICチップから前記移動用SAMへ価値情報のアップロードする前に、前記接続手段を介して移動元のICチップと通信して、移動元のICチップ内の価値情報にアクセスするための鍵を前記鍵変更ロジックに従って本鍵から仮鍵に変更するステップと、
前記管理用SAMが、前記接続手段を介して移動先のICチップと通信して、仮鍵を用いて移動先のICチップを初期化するステップと、
前記移動用SAMから初期化後の移動先のICチップへの価値情報をダウンロードした後に、前記管理用SAMが、前記鍵変更ロジックに従って移動先のICチップにおいて仮鍵を本鍵に変更して、前記プロバイダ内の通常SAMが前記通常使用ロジックを用いて移動先のICチップ内の価値情報にアクセス可能にするステップと、
を具備し、
SAM(Secure Application Module)は耐タンパ性を持つハードウェアモジュールであり、各SAMとICチップは互いが格納する鍵で相互認証し、SAMに格納されたロジックに従ってICチップ内の価値情報へのアクセスを行なう、
ことを特徴とする価値情報移動サービス方法。 Stores a normal SAM storing normal key and normal use logic used when the value information stored in the IC chip is normally used, and a transfer logic for moving the value information by moving the value information using the temporary key. 2. The data transfer system according to claim 1, wherein a value information service is provided by a provider that installs an application server having a mobile SAM, wherein the value information transfer server constructed using a computer is an IC chip. A value information transfer service method for managing the transfer of value information between IC chips using a management SAM storing a key change logic for changing a key from a normal key during normal use to a temporary temporary key. There,
Before the management SAM uploads the value information from the movement source IC chip to the movement SAM, the management SAM communicates with the movement source IC chip via the connection means, and the value information in the movement source IC chip. Changing a key for accessing the key from a real key to a temporary key according to the key change logic;
The management SAM communicates with the destination IC chip via the connection means, and initializes the destination IC chip using a temporary key;
After downloading the value information from the transfer SAM to the destination IC chip after initialization, the management SAM changes the temporary key to the real key in the destination IC chip according to the key change logic, Allowing the normal SAM in the provider to access the value information in the destination IC chip using the normal use logic;
Comprising
SAM (Secure Application Module) is a tamper-resistant hardware module. Each SAM and IC chip mutually authenticate with a key stored in each other, and access to value information in the IC chip according to the logic stored in the SAM. Do,
A value information transfer service method characterized by the above. ICチップ内には複数種類の価値情報を格納することができ、
前記プロバイダは、価値情報の種類毎に通常SAM及び移動用SAMを用意するアプリケーション・サーバを設置しており、
移動元のICチップ内に格納されているすべての価値情報の種類を検知し、各価値情報を管理するプロバイダが設置するアプリケーション・サーバの移動用SAMを特定するステップをさらに備え、
移動元のICチップ内のすべての価値情報について、前記アップロード要求ステップによる移動元のICチップから前記移動用SAMへの価値情報のアップロード要求を繰り返し、
前記移動用SAMへアップロードされたすべての価値情報について、前記ダウンロード要求ステップによる前記移動用SAMから移動先のICチップへの価値情報のダウンロード要求を繰り返す、
ことを特徴とする請求項7に記載の価値情報移動サービス方法。Multiple types of value information can be stored in the IC chip,
The provider installs an application server that prepares a normal SAM and a mobile SAM for each type of value information,
A step of detecting all types of value information stored in the source IC chip and identifying a SAM for movement of an application server installed by a provider managing each value information;
For all value information in the transfer source IC chip, repeat the upload request of value information from the transfer source IC chip to the transfer SAM in the upload request step,
Repeating the download request of the value information from the transfer SAM to the transfer destination IC chip in the download request step for all the value information uploaded to the transfer SAM.
8. The value information transfer service method according to claim 7. ICチップに格納された価値情報を通常使用する際に用いる本鍵と通常使用ロジックを格納した通常SAM、及び、仮鍵によって価値情報の移動時に動作し価値情報を移動するための移動ロジックを格納した移動用SAMを備えたアプリケーション・サーバを設置するプロバイダによって価値情報サービスが提供される請求項1に記載のデータ転送システムにおいて、コンピュータICチップの鍵を通常使用時の本鍵から一時的な仮鍵に変更するための鍵変更ロジックを格納した管理用SAMを用いて、ICチップ間での価値情報の移動を管理する価値情報移動用サーバとしての処理を実行するようにコンピュータ可読形式で記述されたコンピュータ・プログラムであって、前記コンピュータに対し、
移動元のICチップから前記移動用SAMへ価値情報のアップロードする前に、前記接続手段を介して移動元のICチップと通信して、移動元のICチップ内の価値情報にアクセスするための鍵を前記管理用SAMの鍵変更ロジックに従って本鍵から仮鍵に変更する手順と、
前記管理用SAMが、前記接続手段を介して移動先のICチップと通信して、仮鍵を用いて移動先のICチップを初期化する手順と、
前記移動用SAMから初期化後の移動先のICチップへの価値情報をダウンロードした後に、前記管理用SAMが、前記鍵変更ロジックに従って移動先のICチップにおいて仮鍵を本鍵に変更して、前記プロバイダ内の通常SAMが前記通常使用ロジックを用いて移動先のICチップ内の価値情報にアクセス可能にする手順と、
を実行させ、
SAM(Secure Application Module)は耐タンパ性を持つハードウェアモジュールであり、各SAMとICチップは互いが格納する鍵で相互認証し、SAMに格納されたロジックに従ってICチップ内の価値情報へのアクセスを行なう、
ことを特徴とするコンピュータ・プログラム。 Stores a normal SAM storing normal key and normal use logic used when the value information stored in the IC chip is normally used, and a transfer logic for moving the value information by moving the value information using the temporary key. in the data transfer system of claim 1, value information service is provided by a provider to install the application server with moving SAM that, computer, temporarily key IC chip from the key at the time of normal use In a computer-readable format, the management SAM storing key change logic for changing to a temporary key is used to execute processing as a value information transfer server that manages the transfer of value information between IC chips. A written computer program for the computer
Before uploading value information from the source IC chip to the transfer SAM, a key for communicating with the source IC chip via the connection means to access the value information in the source IC chip To change from a real key to a temporary key according to the key change logic of the management SAM;
A procedure in which the management SAM communicates with a destination IC chip via the connection means to initialize the destination IC chip using a temporary key;
After downloading the value information from the transfer SAM to the destination IC chip after initialization, the management SAM changes the temporary key to the real key in the destination IC chip according to the key change logic, A procedure for allowing a normal SAM in the provider to access value information in a destination IC chip using the normal use logic;
And execute
SAM (Secure Application Module) is a tamper-resistant hardware module. Each SAM and IC chip mutually authenticate with a key stored in each other, and access to value information in the IC chip according to the logic stored in the SAM. Do,
A computer program characterized by the above.
JP2001334967A 2001-10-31 2001-10-31 Data transfer system, data transfer method, value information transfer service device, value information transfer service method, and computer program Expired - Lifetime JP4228567B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001334967A JP4228567B2 (en) 2001-10-31 2001-10-31 Data transfer system, data transfer method, value information transfer service device, value information transfer service method, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001334967A JP4228567B2 (en) 2001-10-31 2001-10-31 Data transfer system, data transfer method, value information transfer service device, value information transfer service method, and computer program

Publications (2)

Publication Number Publication Date
JP2003141429A JP2003141429A (en) 2003-05-16
JP4228567B2 true JP4228567B2 (en) 2009-02-25

Family

ID=19150016

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001334967A Expired - Lifetime JP4228567B2 (en) 2001-10-31 2001-10-31 Data transfer system, data transfer method, value information transfer service device, value information transfer service method, and computer program

Country Status (1)

Country Link
JP (1) JP4228567B2 (en)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004272717A (en) * 2003-03-10 2004-09-30 Bitwallet Inc Currency information processing server device, currency information processing method, and currency information processing program
JP4539071B2 (en) 2003-10-23 2010-09-08 ソニー株式会社 Portable wireless communication device.
JP2006033199A (en) * 2004-07-13 2006-02-02 Fuji Xerox Co Ltd Data management system, data management method, and program thereof
JP4523814B2 (en) * 2004-08-25 2010-08-11 大日本印刷株式会社 An electronic module for presenting member information used on a mobile phone
JP2006155045A (en) 2004-11-26 2006-06-15 Sony Corp Electronic value information transmission system, and electronic value information transmission method
JP2007058475A (en) * 2005-08-24 2007-03-08 Hitachi Omron Terminal Solutions Corp Settlement file management system and settlement file management method
US7895450B2 (en) 2006-01-09 2011-02-22 Fuji Xerox Co., Ltd. Data management system, data management method and storage medium storing program for data management
JP4942022B2 (en) * 2006-06-14 2012-05-30 フェリカネットワークス株式会社 Information processing system and method, information processing terminal device, information processing device, and program
JP4786450B2 (en) * 2006-07-27 2011-10-05 東芝テック株式会社 Document management method and document management apparatus using wireless tag
JP2013125444A (en) * 2011-12-15 2013-06-24 Nec Corp Registration procedure work reducing system, mediation provider server, and method and program thereof
JP5953259B2 (en) * 2013-04-24 2016-07-20 株式会社 ゆうちょ銀行 Information processing system, information processing method, and program
WO2018134910A1 (en) * 2017-01-18 2018-07-26 Quadrac株式会社 Server and system
JP2018116682A (en) * 2017-10-11 2018-07-26 Quadrac株式会社 Server and system
WO2020202311A1 (en) * 2019-03-29 2020-10-08 楽天株式会社 Electron money management system, management method, and information recording medium
WO2020218051A1 (en) 2019-04-26 2020-10-29 フェリカネットワークス株式会社 Information processing device, server device, information processing system, information processing method, and computer program

Also Published As

Publication number Publication date
JP2003141429A (en) 2003-05-16

Similar Documents

Publication Publication Date Title
JP4228567B2 (en) Data transfer system, data transfer method, value information transfer service device, value information transfer service method, and computer program
JP4501241B2 (en) IC card and IC card data communication method
US8909144B2 (en) Communications devices comprising NFC communicators
JP4682498B2 (en) Communication device and memory management method for communication device
JP4428055B2 (en) Data communication apparatus and memory management method for data communication apparatus
JP3617491B2 (en) IC chip and information processing terminal
CN101855887B (en) Sharing or reselling NFC applications among mobile communication devices
US8291085B2 (en) Value information transfer system and value information transfer method
JPH11345266A (en) Method and system for managing application for multi-function smart card
JP2006155045A (en) Electronic value information transmission system, and electronic value information transmission method
US20060218196A1 (en) Information management device and information management method
JP2004502211A (en) Parameter distribution method in off-line chip card terminal, chip card terminal and user chip card suitable for the method
WO2004032039A1 (en) Data management system, data management method, virtual memory device, virtual memory control method, reader/writer device, ic module access device, and ic module access control method
JP3797195B2 (en) Information processing terminal or control method thereof
WO2005066803A1 (en) Data communicating apparatus and method for managing memory of data communicating apparatus
CN104899496A (en) Data reading method and terminal for same
JP4799058B2 (en) IC card and computer program
JP4349130B2 (en) Data communication apparatus and memory management method for data communication apparatus
CN107925579A (en) Communication equipment, communication means and communication system
JP2005018270A (en) Portable terminal and ic card
JP2004127052A (en) Data management system, virtual memory device, method of controlling virtual memory, ic module access device, and method of controlling access to ic module
JP2008217836A (en) Value information control system
JP2004127054A (en) Data management system
KR20070017072A (en) Value information transfer system and value information transfer method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041027

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20061019

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061024

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061222

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070522

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070620

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080212

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080414

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080805

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081002

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20081014

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081111

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081124

R151 Written notification of patent or utility model registration

Ref document number: 4228567

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111212

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121212

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131212

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term