JP4698323B2 - 情報処理装置および方法、並びにプログラム - Google Patents

情報処理装置および方法、並びにプログラム Download PDF

Info

Publication number
JP4698323B2
JP4698323B2 JP2005223738A JP2005223738A JP4698323B2 JP 4698323 B2 JP4698323 B2 JP 4698323B2 JP 2005223738 A JP2005223738 A JP 2005223738A JP 2005223738 A JP2005223738 A JP 2005223738A JP 4698323 B2 JP4698323 B2 JP 4698323B2
Authority
JP
Japan
Prior art keywords
encryption key
package
information
storage means
setting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005223738A
Other languages
English (en)
Other versions
JP2007043352A (ja
Inventor
直文 花木
秀樹 赤鹿
淳 荻嶋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Felica Networks Inc
Original Assignee
Felica Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Felica Networks Inc filed Critical Felica Networks Inc
Priority to JP2005223738A priority Critical patent/JP4698323B2/ja
Priority to SG200605169A priority patent/SG129431A1/en
Priority to US11/496,459 priority patent/US20070033406A1/en
Priority to CN200610103843XA priority patent/CN1946021B/zh
Publication of JP2007043352A publication Critical patent/JP2007043352A/ja
Application granted granted Critical
Publication of JP4698323B2 publication Critical patent/JP4698323B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Description

本発明は、情報処理装置および方法、記録媒体、並びにプログラムに関し、特に、ICチップに提供する暗号鍵またはパッケージの変更を容易にすることができるようにする情報処理装置および方法、記録媒体、並びにプログラムに関する。
近年、クレジットカードや携帯電話機に埋め込まれたFeliCa(登録商標)などの非接触ICチップに電子マネーをチャージ(入金)し、そのチャージされた電子マネーを用いて、商品購入時の代金の支払いをしたりすることが普及しつつある。特許文献1には、そのような電子マネーシステムを構築するためのサーバクライアントシステムが開示されている。
代金の支払い時には、自分のクレジットカードや携帯電話機を店舗に設置された端末(リーダライタ)にかざすだけであるから、ユーザは、代金の支払いを迅速に行うことができる。
非接触ICチップが埋め込まれているクレジットカードや携帯電話機が端末にかざされた場合、非接触ICチップは、端末、および、インターネットなどのネットワークを介して、非接触ICチップ(に記憶されているデータ)を管理するサーバ装置と、暗号化された情報をやりとりする。
図1は、暗号化された情報をやりとりするために、非接触ICチップが保持している暗号鍵の例を示している。
非接触ICチップ(のメモリ)に形成される領域には、例えば、システム、エリア、サービスの3つの概念の領域があり、それぞれの領域がその順番で階層的に形成される。すなわち、システムの中に1つまたは複数のエリアが形成され、それぞれのエリアの中に1つまたは複数のサービスが形成される。図1では、1つのシステムの下に1つのエリアであるエリア1が形成され、エリア1の下に1つのサービスであるサービス1が形成されている。
さらに、システム、エリア、およびサービスのそれぞれの領域に暗号鍵が設定される。図1の例では、システム、エリア1、またはサービス1のそれぞれに暗号鍵1,2、または3が設定されている。
このような暗号鍵を保持する非接触ICチップに対しては、非接触ICチップが保持している鍵と共通の鍵(対応する鍵)を有するサーバ装置だけが、非接触ICチップのそれぞれの領域にアクセスすることができる(コマンドを実行させて、それぞれの領域に情報を書き込んだりすることができる)。
図2は、サーバ装置の鍵格納DBの例を示している。
鍵格納DBは、図2に示すように、サーバ装置と情報をやりとりする非接触ICチップごとに、非接触ICチップが記憶しているのと同一の暗号鍵を記憶している。
例えば、鍵格納DBは、図1に示した非接触ICチップに対して、パッケージ種別としての発行パッケージ、システムの領域に記憶されているのと同一の暗号鍵1、エリア1の領域に記憶されているのと同一の暗号鍵2、サービス1の領域に記憶されているのと同一の暗号鍵3、および生成されたパッケージとしての発行パッケージAを記憶している。また、鍵格納DBは、図示しないその他の非接触ICチップに対して、パッケージ種別としての発行パッケージ、システムの領域に記憶されているのと同一の暗号鍵1、エリア2の領域に記憶されているのと同一の暗号鍵4、サービス2の領域に記憶されているのと同一の暗号鍵5、および生成されたパッケージとしての発行パッケージBを記憶している。
ここで、パッケージとは、例えば、暗号鍵自身を供給(非接触ICチップに暗号鍵を登録)する場合に、より高い秘匿性を担保するために暗号鍵登録のコマンドに付加される暗号鍵に関する情報(暗号情報)である。従って、暗号鍵が変更された場合、それに対応するパッケージも異なるものとなる。また、システム、エリア、サービスのどの領域の暗号鍵についてのパッケージかにより、複数のパッケージ種別が存在する。例えば、図2に示すように、パッケージ種別が「発行パッケージ」である場合、その種別で生成されたパッケージである発行パッケージAには、システムおよびエリア1の領域に対応する暗号鍵1および2に関する情報が含まれる。また、例えば、パッケージ種別が「サービス登録パッケージ」である場合、その種別で生成されるパッケージ(サービス登録パッケージ)には、サービスの領域の暗号鍵のみに関する情報が含まれる。
このように、従来のサーバ装置の鍵格納DBでは、情報をやりとりする非接触ICチップそれぞれに対して、システム、エリア、サービスのそれぞれの領域に対する暗号鍵、生成されたパッケージ、および、生成されたパッケージの種別を表すパッケージ種別が、セットで管理(記憶)されている。
特開2003−141063号公報
ところで、例えば、図1の非接触ICチップのサービス1に対する暗号鍵(暗号鍵3)に変更が生じた場合、従来の鍵格納DBでは、上述したように、図1の非接触ICチップに対して、システム、エリア1、サービス1のそれぞれの領域に対する暗号鍵としての「暗号鍵1,2,3」と、生成されたパッケージである「発行パッケージA」と、「発行パッケージA」のパッケージ種別を表す「発行パッケージ」とがセットで管理(記憶)されているため、暗号鍵3のみを削除することができなかった。
即ち、従来、サーバ装置の鍵格納DBにおいて、ある非接触ICチップのシステム、エリア、サービスそれぞれの領域の暗号鍵のいずれか1つに変更が生じた場合、その非接触ICチップに対して管理している全ての情報を一括で削除し、同一の情報も含めて再度登録(更新)し直す必要があった。
本発明はこのような状況に鑑みてなされたものであり、ICチップに提供する暗号鍵またはパッケージの変更を容易に行うことができるようにするものである。
本発明の一側面の情報処理装置には、IC(Integrated Circuit)チップと暗号化された情報をやり取りするための暗号鍵の種別を表す設定項目である暗号鍵設定情報とその設定値、前記暗号鍵を登録する際に用いられる暗号情報であるパッケージの種別を表す設定項目であるパッケージ設定情報とその設定値、および、前記暗号鍵または前記パッケージの少なくとも一方の利用の可否を表す設定項目である利用可能状態とその設定値を記憶する第1の記憶手段と、前記第1の記憶手段の前記暗号鍵設定情報の設定値を暗号鍵識別情報として有することで、前記第1の記憶手段の前記暗号鍵設定情報と紐付けられた前記暗号鍵を記憶する第2の記憶手段と、前記第1の記憶手段の前記パッケージ設定情報の設定値をパッケージ識別情報として有することで、前記第1の記憶手段の前記パッケージ設定情報と紐付けられた前記パッケージを記憶する第3の記憶手段とを備える記憶装置を制御する情報処理装置であって、前記第2の記憶手段において前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記暗号鍵が削除された場合、前記第1の記憶手段の前記パッケージ設定情報と紐付けられている削除された前記暗号鍵に対応する前記パッケージを、前記第3の記憶手段から削除する削除手段と、削除された前記暗号鍵に対応する前記パッケージが前記第3の記憶手段から削除され、削除された前記暗号鍵に代えて新たな暗号鍵が前記第2の記憶手段に記憶された場合、前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記新たな暗号鍵に対応する新たなパッケージを他の装置に生成させ、生成された前記新たなパッケージを前記第1の記憶手段の前記パッケージ設定情報と紐付けて前記第3の記憶手段に記憶させる生成手段と、前記第2の記憶手段において前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記暗号鍵が削除された場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用不可」に設定し、前記新たな暗号鍵に対応する前記新たなパッケージが前記第3の記憶手段に記憶された場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用停止」に設定し、前記利用可能状態の設定値を「利用可能」に変更する変更指示があった場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用可能」に変更する変更手段と、前記ICチップと暗号化された情報をやりとりするサーバからの前記暗号鍵の利用要求に対して、前記第1の記憶手段の前記利用可能状態の設定値が「利用可能」である場合、生成された前記新たなパッケージを前記サーバに供給し、前記第1の記憶手段の前記利用可能状態の設定値が「利用不可」または「利用停止」である場合、「利用不可」を前記サーバに返答する応答手段とが設けられている。
前記記憶装置をさらに設けることができる。
本発明の一側面の情報処理方法は、IC(Integrated Circuit)チップと暗号化された情報をやり取りするための暗号鍵の種別を表す設定項目である暗号鍵設定情報とその設定値、前記暗号鍵を登録する際に用いられる暗号情報であるパッケージの種別を表す設定項目であるパッケージ設定情報とその設定値、および、前記暗号鍵または前記パッケージの少なくとも一方の利用の可否を表す設定項目である利用可能状態とその設定値を記憶する第1の記憶手段と、前記第1の記憶手段の前記暗号鍵設定情報の設定値を暗号鍵識別情報として有することで、前記第1の記憶手段の前記暗号鍵設定情報と紐付けられた前記暗号鍵を記憶する第2の記憶手段と、前記第1の記憶手段の前記パッケージ設定情報の設定値をパッケージ識別情報として有することで、前記第1の記憶手段の前記パッケージ設定情報と紐付けられた前記パッケージを記憶する第3の記憶手段とを備える記憶装置を制御する情報処理を行う情報処理方法であって、前記第2の記憶手段において前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記暗号鍵が削除された場合、前記第1の記憶手段の前記パッケージ設定情報と紐付けられている削除された前記暗号鍵に対応する前記パッケージを、前記第3の記憶手段から削除する削除ステップと、削除された前記暗号鍵に対応する前記パッケージが前記第3の記憶手段から削除され、削除された前記暗号鍵に代えて新たな暗号鍵が前記第2の記憶手段に記憶された場合、前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記新たな暗号鍵に対応する新たなパッケージを他の装置に生成させ、生成された前記新たなパッケージを前記第1の記憶手段の前記パッケージ設定情報と紐付けて前記第3の記憶手段に記憶させる生成ステップと、前記第2の記憶手段において前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記暗号鍵が削除された場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用不可」に設定し、前記新たな暗号鍵に対応する前記新たなパッケージが前記第3の記憶手段に記憶された場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用停止」に設定し、前記利用可能状態の設定値を「利用可能」に変更する変更指示があった場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用可能」に変更する変更ステップと、前記ICチップと暗号化された情報をやりとりするサーバからの前記暗号鍵の利用要求に対して、前記第1の記憶手段の前記利用可能状態の設定値が「利用可能」である場合、生成された前記新たなパッケージを前記サーバに供給し、前記第1の記憶手段の前記利用可能状態の設定値が「利用不可」または「利用停止」である場合、「利用不可」を前記サーバに返答する応答ステップとを含む。
本発明の一側面のプログラムは、IC(Integrated Circuit)チップと暗号化された情報をやり取りするための暗号鍵の種別を表す設定項目である暗号鍵設定情報とその設定値、前記暗号鍵を登録する際に用いられる暗号情報であるパッケージの種別を表す設定項目であるパッケージ設定情報とその設定値、および、前記暗号鍵または前記パッケージの少なくとも一方の利用の可否を表す設定項目である利用可能状態とその設定値を記憶する第1の記憶手段と、前記第1の記憶手段の前記暗号鍵設定情報の設定値を暗号鍵識別情報として有することで、前記第1の記憶手段の前記暗号鍵設定情報と紐付けられた前記暗号鍵を記憶する第2の記憶手段と、前記第1の記憶手段の前記パッケージ設定情報の設定値をパッケージ識別情報として有することで、前記第1の記憶手段の前記パッケージ設定情報と紐付けられた前記パッケージを記憶する第3の記憶手段とを備える記憶装置を制御する情報処理を、コンピュータに実行させるためのプログラムであって、前記第2の記憶手段において前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記暗号鍵が削除された場合、前記第1の記憶手段の前記パッケージ設定情報と紐付けられている削除された前記暗号鍵に対応する前記パッケージを、前記第3の記憶手段から削除する削除ステップと、削除された前記暗号鍵に対応する前記パッケージが前記第3の記憶手段から削除され、削除された前記暗号鍵に代えて新たな暗号鍵が前記第2の記憶手段に記憶された場合、前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記新たな暗号鍵に対応する新たなパッケージを他の装置に生成させ、生成された前記新たなパッケージを前記第1の記憶手段の前記パッケージ設定情報と紐付けて前記第3の記憶手段に記憶させる生成ステップと、前記第2の記憶手段において前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記暗号鍵が削除された場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用不可」に設定し、前記新たな暗号鍵に対応する前記新たなパッケージが前記第3の記憶手段に記憶された場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用停止」に設定し、前記利用可能状態の設定値を「利用可能」に変更する変更指示があった場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用可能」に変更する変更ステップと、前記ICチップと暗号化された情報をやりとりするサーバからの前記暗号鍵の利用要求に対して、前記第1の記憶手段の前記利用可能状態の設定値が「利用可能」である場合、生成された前記新たなパッケージを前記サーバに供給し、前記第1の記憶手段の前記利用可能状態の設定値が「利用不可」または「利用停止」である場合、「利用不可」を前記サーバに返答する応答ステップとをコンピュータに実行させる。
本発明の一側面においては、IC(Integrated Circuit)チップと暗号化された情報をやり取りするための暗号鍵の種別を表す設定項目である暗号鍵設定情報とその設定値、前記暗号鍵を登録する際に用いられる暗号情報であるパッケージの種別を表す設定項目であるパッケージ設定情報とその設定値、および、前記暗号鍵または前記パッケージの少なくとも一方の利用の可否を表す設定項目である利用可能状態とその設定値を記憶する第1の記憶手段と、前記第1の記憶手段の前記暗号鍵設定情報の設定値を暗号鍵識別情報として有することで、前記第1の記憶手段の前記暗号鍵設定情報と紐付けられた前記暗号鍵を記憶する第2の記憶手段と、前記第1の記憶手段の前記パッケージ設定情報の設定値をパッケージ識別情報として有することで、前記第1の記憶手段の前記パッケージ設定情報と紐付けられた前記パッケージを記憶する第3の記憶手段とを備える記憶装置が制御される。即ち、前記第2の記憶手段において前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記暗号鍵が削除された場合、前記第1の記憶手段の前記パッケージ設定情報と紐付けられている削除された前記暗号鍵に対応する前記パッケージが、前記第3の記憶手段から削除される。さらに、削除された前記暗号鍵に対応する前記パッケージが前記第3の記憶手段から削除され、削除された前記暗号鍵に代えて新たな暗号鍵が前記第2の記憶手段に記憶された場合、前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記新たな暗号鍵に対応する新たなパッケージが他の装置により生成され、生成された前記新たなパッケージが、前記第1の記憶手段の前記パッケージ設定情報と紐付けられて前記第3の記憶手段に記憶される。また、前記第2の記憶手段において前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記暗号鍵が削除された場合、前記第1の記憶手段の前記利用可能状態の設定値が「利用不可」に設定され、前記新たな暗号鍵に対応する前記新たなパッケージが前記第3の記憶手段に記憶された場合、前記第1の記憶手段の前記利用可能状態の設定値が「利用停止」に設定され、前記利用可能状態の設定値を「利用可能」に変更する変更指示があった場合、前記第1の記憶手段の前記利用可能状態の設定値が「利用可能」に変更される。そして、前記ICチップと暗号化された情報をやりとりするサーバからの前記暗号鍵の利用要求に対して、前記第1の記憶手段の前記利用可能状態の設定値が「利用可能」である場合、生成された前記新たなパッケージが前記サーバに供給され、前記第1の記憶手段の前記利用可能状態の設定値が「利用不可」または「利用停止」である場合、「利用不可」が前記サーバに返答される。
本発明の一側面によれば、ICチップに提供する暗号鍵またはパッケージを記憶装置に記憶させることができる。
また、本発明の一側面によれば、ICチップに提供する暗号鍵またはパッケージの変更を容易に行うことができる。
以下に本発明の実施の形態を説明するが、本発明の構成要件と、発明の詳細な説明に記載の実施の形態との対応関係を例示すると、次のようになる。この記載は、本発明をサポートする実施の形態が、発明の詳細な説明に記載されていることを確認するためのものである。従って、発明の詳細な説明中には記載されているが、本発明の構成要件に対応する実施の形態として、ここには記載されていない実施の形態があったとしても、そのことは、その実施の形態が、その構成要件に対応するものではないことを意味するものではない。逆に、実施の形態が構成要件に対応するものとしてここに記載されていたとしても、そのことは、その実施の形態が、その構成要件以外の構成要件には対応しないものであることを意味するものでもない。
本発明の一側面は、
IC(Integrated Circuit)チップと暗号化された情報をやり取りするための暗号鍵の種別を表す設定項目である暗号鍵設定情報とその設定値、前記暗号鍵を登録する際に用いられる暗号情報であるパッケージの種別を表す設定項目であるパッケージ設定情報とその設定値、および、前記暗号鍵または前記パッケージの少なくとも一方の利用の可否を表す設定項目である利用可能状態とその設定値を記憶する第1の記憶手段(例えば、図5の暗号鍵パッケージ設定情報DB)と、前記第1の記憶手段の前記暗号鍵設定情報の設定値を暗号鍵識別情報として有することで、前記第1の記憶手段の前記暗号鍵設定情報と紐付けられた前記暗号鍵を記憶する第2の記憶手段(例えば、図5の暗号鍵情報DB)と、前記第1の記憶手段の前記パッケージ設定情報の設定値をパッケージ識別情報として有することで、前記第1の記憶手段の前記パッケージ設定情報と紐付けられた前記パッケージを記憶する第3の記憶手段(例えば、図5のパッケージ情報DB)とを備える記憶装置(例えば、図3の鍵格納DB7)を制御する情報処理装置(例えば、図3のサーバ装置1)を制御する情報処理装置であって、
前記第2の記憶手段において前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記暗号鍵が削除された場合、前記第1の記憶手段の前記パッケージ設定情報と紐付けられている削除された前記暗号鍵に対応する前記パッケージを、前記第3の記憶手段から削除する削除手段(例えば、図7の入力制御部61)と、
削除された前記暗号鍵に対応する前記パッケージが前記第3の記憶手段から削除され、削除された前記暗号鍵に代えて新たな暗号鍵が前記第2の記憶手段に記憶された場合、前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記新たな暗号鍵に対応する新たなパッケージを他の装置に生成させ、生成された前記新たなパッケージを前記第1の記憶手段の前記パッケージ設定情報と紐付けて前記第3の記憶手段に記憶させる生成手段(例えば、図7のパッケージ生成部62)と、
前記第2の記憶手段において前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記暗号鍵が削除された場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用不可」に設定し、前記新たな暗号鍵に対応する前記新たなパッケージが前記第3の記憶手段に記憶された場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用停止」に設定し、前記利用可能状態の設定値を「利用可能」に変更する変更指示があった場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用可能」に変更する変更手段(例えば、図3の状態変更アプリケーション52)と
前記ICチップと暗号化された情報をやりとりするサーバからの前記暗号鍵の利用要求に対して、前記第1の記憶手段の前記利用可能状態の設定値が「利用可能」である場合、生成された前記新たなパッケージを前記サーバに供給し、前記第1の記憶手段の前記利用可能状態の設定値が「利用不可」または「利用停止」である場合、「利用不可」を前記サーバに返答する応答手段(例えば、図7の要求応答部65)と
を備える情報処理装置である。
本発明の一側面の情報処理方法またはプログラムは、
IC(Integrated Circuit)チップと暗号化された情報をやり取りするための暗号鍵の種別を表す設定項目である暗号鍵設定情報とその設定値、前記暗号鍵を登録する際に用いられる暗号情報であるパッケージの種別を表す設定項目であるパッケージ設定情報とその設定値、および、前記暗号鍵または前記パッケージの少なくとも一方の利用の可否を表す設定項目である利用可能状態とその設定値を記憶する第1の記憶手段と、前記第1の記憶手段の前記暗号鍵設定情報の設定値を暗号鍵識別情報として有することで、前記第1の記憶手段の前記暗号鍵設定情報と紐付けられた前記暗号鍵を記憶する第2の記憶手段と、前記第1の記憶手段の前記パッケージ設定情報の設定値をパッケージ識別情報として有することで、前記第1の記憶手段の前記パッケージ設定情報と紐付けられた前記パッケージを記憶する第3の記憶手段とを備える記憶装置を制御する情報処理を行う情報処理方法または前記情報処理をコンピュータに実行させるプログラムであって、
前記第2の記憶手段において前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記暗号鍵が削除された場合、前記第1の記憶手段の前記パッケージ設定情報と紐付けられている削除された前記暗号鍵に対応する前記パッケージを、前記第3の記憶手段から削除する削除ステップ(例えば、図13のステップS14)と、
削除された前記暗号鍵に対応する前記パッケージが前記第3の記憶手段から削除され、削除された前記暗号鍵に代えて新たな暗号鍵が前記第2の記憶手段に記憶された場合、前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記新たな暗号鍵に対応する新たなパッケージを他の装置に生成させ、生成された前記新たなパッケージを前記第1の記憶手段の前記パッケージ設定情報と紐付けて前記第3の記憶手段に記憶させる生成ステップ(例えば、図13のステップS16)と、前記第2の記憶手段において前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記暗号鍵が削除された場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用不可」に設定し、前記新たな暗号鍵に対応する前記新たなパッケージが前記第3の記憶手段に記憶された場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用停止」に設定し、前記利用可能状態の設定値を「利用可能」に変更する変更指示があった場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用可能」に変更する変更ステップ(例えば、図13のステップS13、ステップS18、ステップS104)と
前記ICチップと暗号化された情報をやりとりするサーバからの前記暗号鍵の利用要求に対して、前記第1の記憶手段の前記利用可能状態の設定値が「利用可能」である場合、生成された前記新たなパッケージを前記サーバに供給し、前記第1の記憶手段の前記利用可能状態の設定値が「利用不可」または「利用停止」である場合、「利用不可」を前記サーバに返答する応答ステップ(例えば、図19のステップS114、ステップS113)とを含む。
以下、図を参照して、本発明の実施の形態について説明する。
図3は、本発明を適用したサーバクライアントシステムの一実施の形態の構成例を示している。
図3のサーバクライアントシステムにおいて、サーバ側は、サーバ装置1、HSM(Hardware Security Module)2、および鍵格納DB(Data Base)7からなり、クライアント側はクライアント装置3とR/W(リーダ/ライタ)4からなる。サーバ装置1とクライアント装置3は、ネットワーク5を介して接続されている。
クライアント側のR/W4には非接触IC(Integrated Circuit)チップ13−1が内蔵された携帯電話機6−1と、非接触ICチップ13−2が内蔵されたカード6−2(例えば、Suica(登録商標)などのカード)が近接されており、電磁誘導を用いた近距離通信を介してクライアント装置3に接続されている。なお、以下において、非接触ICチップ13−1または13−2を特に区別する必要がない場合、単に非接触ICチップ13と称する。
サーバ装置1には、サーバアプリケーション11、DB管理アプリケーション51、および状態変更アプリケーション52が実装されている。
サーバアプリケーション11は、クライアントアプリケーション12との間で、コマンドのやり取り(通信)を行う。ここで、サーバアプリケーション11とクライアントアプリケーション12との間でやりとりされるコマンドは、互いが共通に有するトランザクション鍵で暗号化される。即ち、サーバアプリケーション11は、クライアントアプリケーション12と通信する場合、非接触ICチップ13が有している暗号鍵と共通の鍵(または対応する鍵)を鍵格納DB7から取得し、HSM2に供給するとともに、クライアントアプリケーション12と通信するためのトランザクション鍵の生成をHSM2に依頼する。その結果得られるトランザクション鍵を用いて、サーバアプリケーション11は、非接触ICチップ13に送信するコマンドを暗号化したり、非接触ICチップ13から受信した暗号化されたコマンドを復号する。
HSM2から供給されたトランザクション鍵を用いて、非接触ICチップ13とやりとりするコマンドの暗号化および復号化をサーバアプリケーション11が行うことにより、HSM2にコマンドの暗号化や復号化を依頼する場合と比較して、HSM2の負荷を軽減させ、HSM2を有効に利用することができる。
DB管理アプリケーション51は、鍵格納DB7に記憶されている暗号鍵パッケージ設定情報DB、暗号鍵情報DB、およびパッケージ情報DB(図5で後述)を管理する。
状態変更アプリケーション52は、鍵格納DB7に記憶されている非接触ICチップ13のパッケージ(暗号鍵)の利用の可否を表す情報であるパッケージ状態を変更する。
例えば、DB管理アプリケーション51は、非接触ICチップ13−1の暗号鍵を鍵格納DB7に登録したり、更新したりする。また、状態変更アプリケーション52は、非接触ICチップ13−1のパッケージの利用の可否を表すパッケージ状態を変更する。サーバアプリケーション11は、非接触ICチップ13−1のパッケージ状態が利用可能な状態である場合に、非接触ICチップ13−1のパッケージ(または暗号鍵)を鍵格納DB7から取得することができる。
鍵格納DB7は、例えば、ハードディスクなどの記録媒体を有する記憶装置であり、図5を参照して後述する暗号鍵パッケージ設定情報DB、暗号鍵情報DB、およびパッケージ情報DBを記憶する。なお、鍵格納DB7に記憶されている情報は、HSM2と共通に有する鍵で暗号化されている。
HSM2は、耐タンパ性を有する装置であり、サーバアプリケーション11からのトランザクション鍵の生成依頼に基づき、非接触ICチップ13との間で相互認証を行い、その結果得られるトランザクション鍵をサーバアプリケーション11に供給する。また、HSM2は、非接触ICチップ13ごとのパッケージ(図2を参照して上述した発行パッケージやサービス登録パッケージ)を生成する。
クライアント装置3のクライアントアプリケーション12は、所定の要求をサーバ装置1のサーバアプリケーション11に送信するとともに、サーバアプリケーション11からコマンドが送信されてきたとき、それをR/W4を介して非接触ICチップ13に送信し、実行させる。
非接触ICチップ13は、R/W4を介してクライアントアプリケーション12から送信されてきたコマンドに施されている暗号化をHSM2との相互認証で得たトランザクション鍵で復号し、それを実行する。
このような構成を有する電子マネーシステムにおいて、例えば、非接触ICチップ13に記憶されている電子マネーを用いて携帯電話機6−1またはカード6−2の所有者であるユーザが購入した商品の代金を支払う場合、クライアント装置3のクライアントアプリケーション12により、サーバ装置1のサーバアプリケーション11に対して、商品の代金の支払い要求が送信され、その要求を受信したサーバアプリケーション11により、電子マネーの残高の読み出しを非接触ICチップ13に要求するコマンド(Readコマンド)が生成される。
サーバアプリケーション11により生成されたReadコマンドは、トランザクション鍵による暗号化が施された後、ネットワーク5、クライアント装置3のクライアントアプリケーション12、およびR/W4を介して非接触ICチップ13に送信され、非接触ICチップ13において復号され、実行される。Readコマンドが実行されることによって読み出された残高は、非接触ICチップ13によりトランザクション鍵で暗号化が施された後、サーバアプリケーション11に対するレスポンスとして、R/W4、クライアント装置3のクライアントアプリケーション12、ネットワーク5、およびサーバ装置1のサーバアプリケーション11に送信される。サーバアプリケーション11は、非接触ICチップ13から送信されてきた暗号化された残高を復号し、その結果得られる残高を取得する。
これにより、サーバアプリケーション11は、非接触ICチップ13に記憶されている現在の電子マネーの残高を確認することができる。
そして、残高の確認後、サーバアプリケーション11により、電子マネーの残高の書き換え(商品の代金の分だけ減額した残高への書き換え)を非接触ICチップ13に要求するコマンド(Writeコマンド)が生成される。
サーバアプリケーション11により生成されたWriteコマンドは、先に送信されたReadコマンドと同様に、トランザクション鍵による暗号化が施された後、ネットワーク5、クライアント装置3のクライアントアプリケーション12、およびR/W4を介して非接触ICチップ13に送信され、復号され、実行される。このWriteコマンドには、残高をいくらにするのかを表す情報なども含まれている。これにより、非接触ICチップ13に記憶されている電子マネーの残高が商品の代金の分だけ減額された状態になる。
例えば、残高の減額が完了したことを通知するメッセージが非接触ICチップ13からサーバアプリケーション11に送信されるなどの処理が行われた後、一連の処理が終了される。このような一連の処理により、商品の代金の支払いが実現される。
このような構成からなるサーバ−クライアントシステムにより、以上のような商品の代金の支払いの他に、例えば、店舗が発行するポイントの管理や、電車の駅の改札機としてクライアント装置3が設けられている場合の乗車料金の支払いなどが実現される。ポイントの管理や乗車料金の支払いの場合も、基本的には、上述した代金の支払いの場合と同様の処理が図3の各装置により行われる。
図4は、サーバ装置1のハードウエア構成例を示すブロック図である。
CPU(Central Processing Unit)101は、ROM(Read Only Memory)102、または記憶部108に記憶されているプログラムに従って各種の処理を実行する。RAM(Random Access Memory)103には、CPU101が実行するプログラムやデータなどが適宜記憶される。これらのCPU101、ROM102、およびRAM103は、バス104により相互に接続されている。
CPU101にはまた、バス104を介して入出力インタフェース105が接続されている。入出力インタフェース105には、キーボード、マウス、マイクロホンなどよりなる入力部106、ディスプレイ、スピーカなどよりなる出力部107が接続されている。CPU101は、入力部106から入力される指令に対応して各種の処理を実行する。そして、CPU101は、処理の結果を出力部107に出力する。
入出力インタフェース105に接続されている記憶部108は、例えばハードディスクからなり、CPU101が実行するプログラムや各種のデータを記憶する。通信部109は、インターネットやローカルエリアネットワークなどのネットワークを介して、または直接に接続された外部の装置と通信する。
なお、通信部109は、無線または有線による通信を行うものでもよいし、無線と有線の両方の通信が可能なものでもよい。さらに、その通信方式も特に限定されず、例えば、無線の場合、IEEE(The Institute of Electrical and Electronic Engineers)802.11a,802.11b、および802.11gなどの無線LAN(Local Area Network)、またはBluetooth等様々な無線通信方式が利用可能である。同様に、有線の場合も、IEEE1394,Ethernet(登録商標)やUSB(Universal Serial Bus)等様々な有線通信方式が利用可能である。
入出力インタフェース105に接続されているドライブ110は、磁気ディスク、光ディスク、光磁気ディスク、或いは半導体メモリなどのリムーバブルメディア121が装着されたとき、それらを駆動し、そこに記録されているプログラムやデータなどを取得する。取得されたプログラムやデータは、必要に応じて記憶部108に転送され、記憶される。また、プログラムやデータは、通信部109を介して取得され、記憶部108に記憶されてもよい。
以上のように構成されるサーバ装置1では、例えば、記憶部108に記憶されているサーバアプリケーション11、DB管理アプリケーション51、および状態変更アプリケーション52のプログラムが、RAM103に一旦ロード(記憶)され、CPU101により実行される。
なお、本実施の形態では、サーバアプリケーション11、DB管理アプリケーション51、および状態変更アプリケーション52のすべてが1台のサーバ装置1で実行されることとするが、サーバアプリケーション11、DB管理アプリケーション51、および状態変更アプリケーション52のそれぞれは、異なる装置(コンピュータなど)で別々に実行されてもよい。
図5は、鍵格納DB7が記憶する暗号鍵パッケージ設定情報DB、暗号鍵情報DB、およびパッケージ情報DBの例を示している。
暗号鍵パッケージ設定情報DBには、サーバアプリケーション11が通信する非接触ICチップ13ごとに、暗号鍵パッケージ設定情報が記憶される。即ち、暗号鍵パッケージ設定情報DBには、「パッケージ種別」、「関連エリア」、「関連サービス」、「パッケージ状態」、および「パッケージ」のそれぞれの設定項目と、それに対する設定値が、非接触ICチップ13ごとに記憶される。なお、設定項目「パッケージ種別」、「関連エリア」、および「関連サービス」は、パッケージを生成するために必要な情報であり、それらをパッケージ生成情報と称する。また、設定項目「関連エリア」および「関連サービス」は、非接触ICチップ13の暗号鍵を表す暗号鍵設定情報であり、設定項目「パッケージ」は、パッケージを表すパッケージ設定情報である。
設定項目「パッケージ種別」の設定値には、上述した「発行パッケージ」や「サービス登録パッケージ」などの、パッケージ生成情報により生成されるパッケージの種別を表す情報が入力される。
設定項目「関連エリア」の設定値には、非接触ICチップ13のエリアの領域に記憶される暗号鍵であって、暗号鍵情報DB内に記憶されている暗号鍵を示す情報が入力される。設定項目「関連サービス」の設定値には、非接触ICチップ13のサービスの領域に記憶される暗号鍵であって、暗号鍵情報DB内に記憶されている暗号鍵を示す情報が入力される。
設定項目「状態」の設定値には、非接触ICチップ13のパッケージの利用の可否を表す利用可能状態が入力される。なお、パッケージの利用可能状態としては、「利用停止」、「利用可能」、および「利用不可」(図6を参照して後述)がある。
設定項目「パッケージ」の設定値には、パッケージ生成情報に基づいて生成され、パッケージ情報DB内に記憶されているパッケージを示す情報が入力される。
図5の例では、暗号鍵パッケージ設定情報DBは、非接触ICチップ13−1に対する情報として、設定項目「パッケージ種別」、「関連エリア」、「関連サービス」、「状態」、および「パッケージ」のそれぞれに対して、設定値「発行パッケージ」、「エリア1」、「サービス1」、「利用停止」、および「パッケージ1」を記憶している。
また、暗号鍵パッケージ設定情報DBは、非接触ICチップ13−2に対する情報として、設定項目「パッケージ種別」、「関連エリア」、「関連サービス」、「状態」、および「パッケージ」のそれぞれに対して、設定値「発行パッケージ」、「エリア2」、「サービス2」、「利用停止」、および「パッケージ2」を記憶している。
暗号鍵情報DBには、非接触ICチップ13の暗号鍵情報が記憶される。即ち、暗号鍵情報DBには、非接触ICチップ13の暗号鍵と、それを識別する暗号鍵識別情報が対応付けて記憶される。
図5の例では、暗号鍵情報DBには、「システム」の暗号鍵識別情報に対応して「暗号鍵1」が記憶されている。また、「エリア1」の暗号鍵識別情報に対応して「暗号鍵2」が記憶され、「サービス1」の暗号鍵識別情報に対応して「暗号鍵3」が記憶されている。さらに「エリア2」の暗号鍵識別情報に対応して「暗号鍵4」が記憶され、「サービス2」の暗号鍵識別情報に対応して「暗号鍵5」が記憶されている。
また、暗号鍵情報DBに記憶されている暗号鍵は、その暗号鍵識別情報を暗号鍵パッケージ設定情報DBの設定項目「関連エリア」の設定値と同一名とすることにより、暗号鍵パッケージ設定情報DB内の所定の非接触ICチップ13の設定項目「関連エリア」と紐付けられている。
即ち、暗号鍵情報DBにおいて「エリア1」の暗号鍵識別情報を有する「暗号鍵2」は、暗号鍵パッケージ設定情報DBにおいて「エリア1」とされている非接触ICチップ13−1の設定項目「関連エリア」と紐付けられている。また、暗号鍵情報DBにおいて「サービス1」の暗号識別情報を有する「暗号鍵3」は、暗号鍵パッケージ設定情報DBにおいて「サービス1」とされている非接触ICチップ13−1の設定項目「関連サービス」と紐付けられている。同様に、暗号鍵情報DBにおいて「エリア2」の暗号鍵識別情報を有する「暗号鍵4」は、暗号鍵パッケージ設定情報DBにおいて「エリア2」とされている非接触ICチップ13−2の設定項目「関連エリア」と紐付けられ、暗号鍵情報DBにおいて「サービス2」の暗号識別情報を有する「暗号鍵5」は、暗号鍵パッケージ設定情報DBにおいて「サービス2」とされている非接触ICチップ13−2の設定項目「関連サービス」と紐付けられている。
これにより、暗号鍵パッケージ設定情報DBにおいて、非接触ICチップ13−1に対する設定項目「関連エリア」の設定値として、「暗号鍵2」が入力(設定)されていることと等しいことになる。また、非接触ICチップ13−1に対する設定項目「関連サービス」の設定値として、「暗号鍵3」が入力されていることと等しいことになる。非接触ICチップ13−2の「関連エリア」および「関連サービス」に対応する暗号鍵についても同様である。
一方、パッケージ情報DBには、非接触ICチップ13のパッケージ情報が記憶される。即ち、パッケージ情報DBには、非接触ICチップ13のパッケージと、それを識別するパッケージ識別情報が対応付けて記憶される。
図5の例では、パッケージ情報DBには、「パッケージ1」のパッケージ識別情報に対応して「発行パッケージA」が記憶されている。また、「パッケージ2」のパッケージ識別情報に対応して「発行パッケージB」が記憶されている。
また、パッケージ情報DBに記憶されているパッケージは、そのパッケージ識別情報を暗号鍵パッケージ設定情報DBの設定項目「パッケージ」の設定値と同一名とすることにより、暗号鍵パッケージ設定情報DB内の所定の非接触ICチップ13の設定項目「パッケージ」と紐付けられている。
即ち、パッケージ情報DBにおいて「パッケージ1」のパッケージ識別情報を有する「発行パッケージA」は、暗号鍵パッケージ設定情報DBにおいて「パッケージ1」とされている非接触ICチップ13−1の設定項目「パッケージ」と紐付けられている。また、パッケージ情報DBにおいて「パッケージ2」のパッケージ識別情報を有する「発行パッケージB」は、暗号鍵パッケージ設定情報DBにおいて「パッケージ2」とされている非接触ICチップ13−2の設定項目「パッケージ」と紐付けられている。
これにより、暗号鍵パッケージ設定情報DBにおいて、非接触ICチップ13−1に対する設定項目「パッケージ」の設定値として、「発行パッケージA」が入力されていることと等しいことになる。また、非接触ICチップ13−2に対する設定項目「パッケージ」の設定値として、「発行パッケージB」が入力されていることと等しいことになる。
なお、非接触ICチップ13−1の設定項目「パッケージ」と紐付けられている「発行パッケージA」は、DB管理アプリケーション51がパッケージ種別「発行パッケージ」、システムおよびエリアの領域の暗号鍵「暗号鍵1」および「暗号鍵2」をHSM2に供給して依頼することにより、生成されたパッケージ(以下、生成パッケージともいう)である。
以上のように、鍵格納DB7において、暗号鍵パッケージ設定情報DBは、サーバ装置1が通信する非接触ICチップ13ごとに、設定項目「パッケージ種別」、「関連エリア」、「関連サービス」、「状態」、および「パッケージ」と、その設定値を記憶する。
暗号鍵情報DBは、非接触ICチップ13の設定項目「関連エリア」および「関連サービス」と紐付けられた暗号鍵を記憶する。パッケージ情報DBは、非接触ICチップ13の設定項目「パッケージ」と紐付けられた生成パッケージを記憶する。
なお、本実施の形態では、システムの種類を1つに限定し、各非接触ICチップ13が同一の「システム」の「暗号鍵1」を使用するものとして、暗号鍵パッケージ設定情報DBにおいて非接触ICチップ13ごとに「システム」の暗号鍵を設定する設定項目を持たなくても、非接触ICチップ13のシステムの領域に記憶される暗号鍵として暗号情報DBの「暗号鍵1」が用いられるものとするが、複数のシステムが存在し、サーバアプリケーション11が複数の「システム」に対応する場合には、暗号鍵パッケージ設定情報DBにおいて、非接触ICチップ13の設定項目「関連エリア」や「関連システム」の他に、例えば、「関連システム」という設定項目を設け、その設定項目を、暗号鍵情報DBに記憶された「システム」の「暗号鍵1」と紐付けるようにすることができる。
また、本実施の形態では、暗号鍵情報DBに記憶されている暗号鍵は、その暗号鍵識別情報を暗号鍵パッケージ設定情報DBの設定値と同一名とすることにより、暗号鍵パッケージ設定情報DBの設定項目と紐付けられるようにしたが、暗号鍵パッケージ設定情報DBの設定値と暗号鍵情報DBの暗号鍵識別情報は必ずしも同一名である必要はなく、別々の名前であってもよい。その場合、暗号鍵パッケージ設定情報DBの設定項目と紐付けられる暗号鍵情報DBの暗号鍵識別情報を表す紐付け情報が新たに設けられる。
図6は、暗号鍵パッケージ設定情報DB内の非接触ICチップ13の設定項目「状態」の設定値として取り得るパッケージの利用可能状態(以下、パッケージ状態ともいう)を示している。
暗号鍵パッケージ設定情報DBの設定項目「状態」の設定値として取り得るパッケージ状態としては、図6に示すように、「利用停止」、「利用不可」、および「利用可能」の3種類がある。
ある非接触ICチップ13の暗号鍵パッケージ設定情報を、暗号鍵パッケージ設定情報DBに初めて登録したとき、DB管理アプリケーション51は、その非接触ICチップ13の設定項目「状態」の設定値を「利用停止」にする。「利用停止」のパッケージ状態は、非接触ICチップ13と通信するために必要な情報(システム、エリア、サービスの領域の暗号鍵、およびパッケージ)が鍵格納DB7には登録されているが非接触ICチップ13との通信を許可しない状態を表す。このパッケージ状態は、例えば、サーバアプリケーション11が実際に非接触ICチップ13と通信を行う前に、暗号鍵やパッケージの登録状態を確認する場合や、暗号鍵の利用開始後に、その暗号鍵の利用(サービスの利用)を一旦停止させたい場合などに設定される。
「利用停止」のパッケージ状態から、暗号鍵の利用(サービスの利用)を開始させる場合、即ち、非接触ICチップ13とサーバアプリケーション11との通信を許可する場合、状態変更アプリケーション52により、非接触ICチップ13の設定項目「状態」が「利用可能」に設定(変更)される。状態変更アプリケーション52は、非接触ICチップ13の設定項目「状態」を、「利用停止」から「利用可能」に変更することができ、また、「利用可能」から「利用停止」に変更することもできる。
非接触ICチップ13のパッケージ状態が「利用可能」または「利用停止」である場合に、非接触ICチップ13の設定項目「パッケージ」と紐付けられていたパッケージ情報DB内の生成パッケージが削除された場合、その非接触ICチップ13のパッケージ状態が「利用不可」に変更される。そして、非接触ICチップ13の生成パッケージがパッケージ情報DB内に登録(記憶)され、かつ、暗号鍵パッケージ設定情報DB内の非接触ICチップ13の設定項目「パッケージ」と紐付けられた場合、非接触ICチップ13のパッケージ状態が「利用不可」から「利用停止」に変更される。そして、必要に応じて上述の登録状態の確認などが行われた後、非接触ICチップ13のパッケージ状態が「利用停止」から「利用可能」に変更される。
図7は、DB管理アプリケーション51の機能的な構成例を示すブロック図である。
DB管理アプリケーション51は、入力制御部61、パッケージ生成部62、判定部63、要求応答部64、および状態設定部65により構成される。
入力制御部61は、ユーザの操作に基づいて、暗号鍵パッケージ設定情報DBまたは暗号鍵情報DBへの非接触ICチップ13の暗号鍵パッケージ設定情報または暗号鍵情報それぞれの登録(記憶)を行う。
即ち、入力制御部61は、ユーザの操作により入力された、新たな非接触ICチップ13に対するパッケージ生成情報を暗号鍵パッケージ設定情報DBに登録する。また、入力制御部71は、その新たな非接触ICチップ13のエリアの領域またはサービスの領域それぞれに記憶される暗号鍵を暗号鍵情報DBに登録し、登録した暗号鍵を識別する暗号鍵識別情報を、暗号鍵パッケージ設定情報DBの設定項目「関連エリア」または「関連サービス」の設定値と同一名とすることにより、暗号鍵パッケージ設定情報DBの設定項目「関連エリア」または「関連サービス」と紐付ける。なお、入力制御部61は、ユーザの操作に基づいて、暗号鍵情報DBに登録されている非接触ICチップ13の暗号鍵を更新することもできる。
パッケージ生成部62は、暗号鍵パッケージ設定情報DB内の各非接触ICチップ13の設定項目「パッケージ」と紐付けられる生成パッケージがパッケージ情報DBに登録されていない場合に、パッケージ(生成パッケージ)を生成し、パッケージ情報DBに登録する。なお、実際には、HSM2がパッケージ生成情報に基づいてパッケージを生成するので、パッケージ生成部62は、必要なパッケージ生成情報(それと紐付けられている暗号鍵を含む)を取得してHSM2にパッケージの生成を依頼し、HSM2で生成されたパッケージ(生成パッケージ)を受け取り、パッケージ情報DBに登録する。そして、パッケージ生成部62は、パッケージ情報DBに登録した生成パッケージを、暗号鍵パッケージ設定情報DB内の設定項目「パッケージ」と紐付ける。
判定部63は、暗号鍵情報DBに記憶されている暗号鍵が削除された場合、現在パッケージ情報DBに登録されている生成パッケージに影響があるか否かを判定する。即ち、生成パッケージは、上述したように、システム、エリア、またはサービスの領域に対応する暗号鍵に基づいて生成されるため、パッケージの生成に使用した暗号鍵が削除された場合、生成パッケージにも影響を及ぼす。従って、暗号鍵の削除が現在パッケージ情報DBに登録されている生成パッケージに影響を及ぼす場合には、判定部63は、生成パッケージに影響のある暗号鍵が削除された旨を入力制御部61および状態設定部64に供給する。
これにより、入力制御部61は、暗号鍵が削除された非接触ICチップ13の設定項目「パッケージ」と紐付けられている生成パッケージをパッケージ情報DBから削除し、状態設定部64は、非接触ICチップ13の設定項目「状態」の設定値を「利用不可」に設定する。
状態設定部64は、暗号鍵パッケージ設定情報DB内の各非接触ICチップ13の設定項目「状態」の設定値(パッケージ状態)を設定する。例えば、状態設定部64は、新たな非接触ICチップ13の暗号鍵パッケージ設定情報が登録された場合に、その新たな非接触ICチップ13の設定項目「状態」の設定値を「利用停止」に設定する。また例えば、状態設定部64は、非接触ICチップ13の生成パッケージに影響のある暗号鍵が削除された旨が判定部63から供給された場合、その非接触ICチップ13の設定項目「状態」の設定値を「利用不可」に設定する。
要求応答部65は、サーバアプリケーション11から所定の非接触ICチップ13のパッケージ(生成パッケージ)の利用要求が供給された場合、その非接触ICチップ13のパッケージ状態に応じて応答する。即ち、利用要求があった非接触ICチップ13の設定項目「状態」の設定値が「利用停止」または「利用不可」である場合には、要求応答部65は、サーバアプリケーション11からのパッケージの利用要求に対して「利用不可」(の返答)を供給する。一方、パッケージの利用要求があった非接触ICチップ13の設定項目「状態」の設定値が「利用可能」である場合には、要求応答部65は、サーバアプリケーション11からのパッケージの利用要求に対して、利用要求があった非接触ICチップ13のパッケージを供給する(返答する)。
次に、非接触ICチップ13の各種の情報を鍵格納DB7に登録する場合の動作を、図5の非接触ICチップ13−1のデータ例で説明する。
初めに、入力制御部61は、非接触ICチップ13−1の暗号鍵パッケージ設定情報を、暗号鍵パッケージ設定情報DBに登録する。即ち、入力制御部61は、非接触ICチップ13−1の設定項目「パッケージ種別」、「関連エリア」、および「関連サービス」の設定値を、それぞれ、「発行パッケージ」、「エリア1」、および「サービス1」に設定する。次に、入力制御部61は、非接触ICチップ13−1のエリアの領域およびサービスの領域それぞれに記憶される暗号鍵2および暗号鍵3を暗号鍵情報DBに登録し、暗号鍵2の暗号鍵識別情報を、非接触ICチップ13−1の設定項目「関連エリア」の設定値と同一名の「エリア1」に設定するとともに、暗号鍵3の暗号鍵識別情報を、非接触ICチップ13−1の設定項目「関連サービス」の設定値と同一名の「サービス1」に設定し、それぞれ紐付ける。
そして、パッケージ生成部62は、「システム」の「暗号鍵1」と、非接触ICチップ13−1のエリアの領域に対応する「暗号鍵2」とを取得し、パッケージ種別「発行パッケージ」のパッケージの生成をHSM2に依頼する。そして、パッケージ生成部62は、パッケージ生成の依頼に応じて、HSM2から供給された生成パッケージである「発行パッケージA」を、パッケージ情報DBに登録し、そのパッケージ識別情報を、非接触ICチップ13−1の設定項目「パッケージ」の設定値と同一名の「パッケージ1」に設定し、紐付ける。
そして、状態設定部64は、非接触ICチップ13−1の設定項目「状態」の設定値を「利用停止」に設定する。
以上のようにして、非接触ICチップ13−1と通信するために必要な情報が、鍵格納DB7の暗号鍵パッケージ設定情報DB、暗号鍵情報DB、およびパッケージ情報DBに登録(記憶)される。
次に、図8乃至図12を参照して、非接触ICチップ13−1のエリアおよびサービスの領域に記憶されている暗号鍵2および3が暗号鍵8および9にそれぞれ更新(変更)されるときに、DB管理アプリケーション51が生成パッケージを更新するパッケージ更新処理について説明する。
初めに、入力制御部61は、ユーザの操作に従い、非接触ICチップ13−1のエリアおよびサービスの領域に記憶されているのと共通の暗号鍵2および3を、暗号鍵情報DBから削除する(図8)。
判定部63は、暗号鍵情報DBにおける暗号鍵2および3の削除が、現在パッケージ情報DBに登録されている生成パッケージに影響があるか否かを判定する。暗号鍵2および3の削除により、暗号鍵2に基づいて生成された発行パッケージAも変更する必要があるので、判定部63は、生成パッケージに影響のある暗号鍵が削除された旨を入力制御部61および状態設定部64に供給する。
状態設定部64は、非接触ICチップ13−1の設定項目「状態」の設定値を「利用不可」(のパッケージ状態)に設定(変更)する(図9)。
入力制御部61は、パッケージ情報DBの「発行パッケージA」を削除する(図10)。
そして、入力制御部61は、新たに入力された暗号鍵8および9を、それぞれ、非接触ICチップ13−1のエリアおよびサービスの領域に記憶させる暗号鍵として、暗号鍵情報DBに登録する(図11)。
また、入力制御部61は、暗号鍵8の暗号鍵識別情報を、非接触ICチップ13−1の設定項目「関連エリア」の設定値と同一名の「エリア1」に設定するとともに、暗号鍵9の暗号鍵識別情報を、非接触ICチップ13−1の設定項目「関連サービス」の設定値と同一名の「サービス1」に設定し、それぞれ紐付ける(図11)。
パッケージ生成部62は、暗号鍵パッケージ設定情報DBにおいて非接触ICチップ13−1の設定項目「パッケージ」と紐付けられた生成パッケージがパッケージ情報DBにないことを検出し、パッケージを生成して、パッケージ情報DBに登録する。
即ち、パッケージ生成部62は、非接触ICチップ13−1のパッケージ種別「発行パッケージ」と、システムおよびエリアの領域の暗号鍵「暗号鍵1」および「暗号鍵8」とをHSM2に供給して依頼することにより生成されたパッケージである「発行パッケージY」を取得し、パッケージ情報DBに登録する。パッケージ生成部62は、パッケージ情報DBに登録した「発行パッケージY」のパッケージ識別情報を、暗号鍵パッケージ設定情報DB内の非接触ICチップ13−1の設定項目「パッケージ」の設定値「パッケージ1」と同一名に設定し、紐付ける(図12)。
以上のように、非接触ICチップ13−1の暗号鍵2および3が暗号鍵8および9に更新された場合、鍵格納DB7内の非接触ICチップ13−1の生成パッケージが発行パッケージAから発行パッケージYに更新される。
図13のフローチャートを参照して、DB管理アプリケーション51のパッケージ更新処理についてさらに説明する。なお、図13においても、非接触ICチップ13−1のエリアおよびサービスの領域に記憶されている暗号鍵2および3が暗号鍵8および9にそれぞれ更新(変更)される場合を例とする。
非接触ICチップ13−1のエリアおよびサービスの領域に記憶されているのと共通の暗号鍵2および3を暗号鍵情報DBから削除するユーザの操作(入力)が行われると、ステップS11において、入力制御部61は、非接触ICチップ13−1の暗号鍵情報を暗号鍵情報DBから削除する。即ち、入力制御部61は、暗号鍵パッケージ設定情報DBの非接触ICチップ13−1の暗号鍵2および3を暗号鍵情報DBから削除して、ステップS12に進む。
ステップS12において、判定部63は、暗号鍵情報DBにおける暗号鍵2および3の削除が、パッケージ情報DBに登録されている非接触ICチップ13の現在の生成パッケージに影響があるか否かを判定する。ステップS12で、現在の生成パッケージに影響がないと判定された場合、処理が終了される。
一方、ステップS12で、現在の生成パッケージに影響があると判定された場合、ステップS13に進み、判定部63は、生成パッケージに影響のある暗号鍵が削除された旨を入力制御部61および状態設定部64に供給する。また、ステップS13において、状態設定部64は、非接触ICチップ13−1の設定項目「状態」の設定値を「利用不可」(のパッケージ状態)に設定(変更)して、ステップS14に進む。
ステップS14において、入力制御部61は、パッケージ情報DB内の該当する生成パッケージを削除する。即ち、ステップS14において、入力制御部61は、非接触ICチップ13−1の設定項目「パッケージ」と紐付けられているパッケージ情報DBの「発行パッケージA」を削除して、ステップS15に進む。
ステップS15において、入力制御部61は、新たな暗号鍵情報を暗号鍵情報DBに登録して、ステップS16に進む。即ち、入力制御部61は、ユーザの操作により新たに入力された非接触ICチップ13−1のエリアおよびサービスの領域にそれぞれ記憶される暗号鍵8および暗号鍵9を暗号鍵情報DBに記憶させ、それらの暗号鍵識別情報を、暗号鍵パッケージ設定情報DBにおける非接触ICチップ13−1の設定項目「関連エリア」および「関連サービス」の設定値と同一名の「エリア1」および「サービス1」にそれぞれ設定し、紐付ける。
ステップS16において、パッケージ生成部62は、暗号鍵パッケージ設定情報DBにおいて非接触ICチップ13−1の設定項目「パッケージ」と紐付けられた生成パッケージがパッケージ情報DBにないことを検出し、パッケージ生成処理を実行する。このパッケージ生成処理の詳細は、図14を参照して説明するが、この処理により、非接触ICチップ13−1の新たな生成パッケージである「発行パッケージY」がパッケージ情報DBに登録される。
ステップS17において、パッケージ生成部62は、パッケージ情報DBに登録した「発行パッケージY」のパッケージ識別情報を、暗号鍵パッケージ設定情報DB内の非接触ICチップ13−1の設定項目「パッケージ」の設定値「パッケージ1」と同一名に設定することにより、パッケージ情報DBの「発行パッケージY」を、暗号鍵パッケージ設定情報DBの設定項目「パッケージ」と紐付けて、ステップS18に進む。
ステップS18において、状態設定部64は、非接触ICチップ13−1のパッケージ状態を「利用停止」に設定し、処理を終了する。即ち、状態設定部64は、暗号鍵パッケージ設定情報DBにおける非接触ICチップ13−1の設定項目「状態」の設定値を「利用停止」に設定して、処理を終了する。
次に、図14のフローチャートを参照して、図13のステップS15のパッケージ生成処理について説明する。
初めに、ステップS31において、パッケージ生成部62は、非接触ICチップ13−1のパッケージ生成情報、即ち、非接触ICチップ13−1の設定項目「パッケージ種別」、設定項目「関連エリア」、および設定項目「関連サービス」の設定値を取得して、ステップS32に進む。
ステップS32において、パッケージ生成部62は、非接触ICチップ13−1の設定項目「関連エリア」と紐付けられている暗号鍵8を暗号鍵情報DBから取得する。また、パッケージ生成部62は、非接触ICチップ13−1のシステムの領域に記憶されている暗号鍵1も暗号鍵情報DBから取得する。
ステップS32の処理後、ステップS33に進み、パッケージ生成部62は、パッケージ種別を表す「発行パッケージ」と、システムおよびエリアの領域それぞれの暗号鍵である「暗号鍵1」および「暗号鍵8」をHSM2に供給し、パッケージの生成をHSM2に依頼する。
ステップS34において、パッケージ生成部62は、生成された「発行パッケージY」をHSM2から受け取り、パッケージ情報DBに登録して、図13のステップS17に進む。
以上のように、暗号鍵情報DBにおいて非接触ICチップ13−1の設定項目「関連エリア」および「関連サービス」と紐付けられている暗号鍵2および3が削除された場合、判定部63は、暗号鍵2および3の削除が非接触ICチップ13−1の生成パッケージに影響があるか否かを判定する。
そして、非接触ICチップ13−1の生成パッケージに影響があると判定された場合、入力制御部61は、削除された暗号鍵2および暗号鍵3に対応する生成パッケージである発行パッケージAを、パッケージ情報DBから削除する。また、状態設定部64は、非接触ICチップ13−1の設定項目「状態」の設定値を「利用不可」(のパッケージ状態)に設定(変更)する。
削除された暗号鍵2および3に対応する発行パッケージAがパッケージ情報DBから削除され、削除された暗号鍵2および3に代わる新たな暗号鍵8および9が、非接触ICチップ13−1のエリアまたはサービスの暗号鍵として暗号鍵情報DBに記憶された場合、パッケージ生成部62は、非接触ICチップ13−1の新たな生成パッケージである発行パッケージYを生成し、暗号鍵パッケージ設定情報DBの設定項目「パッケージ」と紐付けて、パッケージ情報DBに登録する(記憶させる)。
従って、鍵格納DB7では、非接触ICチップ13−1の暗号鍵または生成パッケージ(の実体)を、非接触ICチップ13−1に対する設定情報を格納した暗号鍵パッケージ設定情報DBとは独立した暗号鍵情報DBまたはパッケージ情報DBに記憶させたので、暗号鍵が変更された場合でも、暗号鍵パッケージ設定情報DBに記憶させた情報は、そのまま残しておくことができ、暗号鍵の変更によって変更が生じる情報だけを更新し、変更が生じない情報を再登録する作業を省略することができる。
以上から、図3のサーバクライアントシステムによれば、非接触ICチップ13に提供する暗号鍵または生成パッケージを鍵格納DB7に記憶させることができる。また、鍵格納DB7に記憶された、非接触ICチップ13に提供する暗号鍵または生成パッケージの変更を容易に行うことができる。
なお、DB管理アプリケーション51は、生成パッケージに影響のある暗号鍵2および3が削除された旨を判定部63から受け取った場合、図15に示すように、暗号鍵2および3を有していた非接触ICチップ13−1の暗号鍵パッケージ設定情報を一旦全て削除するようにさせることもできる。この場合、パッケージ更新処理は、図16のフローチャートに従って実行される。
図16のステップS61乃至S64の処理は、図13のステップS11乃至S14の処理と同様であるので、その説明を省略する。
ステップS64の処理後、ステップS65において、入力制御部61は、暗号鍵パッケージ設定情報DB内の非接触ICチップ13−1の暗号鍵パッケージ設定情報を削除する。
ステップS66において、入力制御部61は、非接触ICチップ13−1の暗号鍵パッケージ設定情報を暗号鍵パッケージ設定情報DBに再度登録する。
ステップS67乃至S70の処理は、図13のステップS15乃至S18の処理と同様であるので、その説明を省略する。
図13のパッケージ更新処理と図16のパッケージ更新処理とは、例えば、モードを切り替えることなどによって選択可能とすることができる。図13のパッケージ更新処理と図16のパッケージ更新処理により鍵格納DB7に最終的に記憶される情報は同一であるが、図16のパッケージ更新処理では、削除した情報と同一の情報を生成し、暗号鍵パッケージ設定情報DBに再度登録する必要があり、図13のパッケージ更新処理に比べて処理量が多くなるため、より少ない処理で同一の情報を記憶することができる図13のパッケージ更新処理が望ましい。
ところで、図13や図16のパッケージ更新処理では、削除された暗号鍵2および3に代わる新たな暗号鍵8および9が暗号鍵情報DBに登録された場合、非接触ICチップ13−1の新たな発行パッケージYが即座に生成されるようになされていた。
しかしながら、非接触ICチップ13−1の新たな暗号鍵8および9が登録されたときに即座に、それに対応するパッケージを生成するのではなく、ユーザに指定されたタイミングで生成するようにすることもできる。
図17は、生成パッケージを、暗号鍵の変更に応じて即座に更新するのではなく、ユーザが指定(操作)したタイミングで更新するようにしたパッケージ更新処理のフローチャートを示している。
図17のパッケージ更新処理は、ステップS81乃至S89の処理のうち、ステップS86以外は、図13のステップS11乃至S18と同様である。即ち、図17のステップS81乃至S85の処理は、図13のステップS11乃至S15にそれぞれ対応し、図17のステップS87乃至S89の処理は、図13のステップS16乃至S18にそれぞれ対応する。
ステップS81乃至S85では、暗号鍵パッケージ設定情報DBの非接触ICチップ13−1の設定項目「関連エリア」および「関連サービス」と紐付けられている暗号鍵2および3が暗号鍵情報DBから削除され、それに伴い、非接触ICチップ13−1の削除された暗号鍵2および暗号鍵3に対応する生成パッケージである発行パッケージAも、パッケージ情報DBから削除される。そして、暗号鍵2および3に代わる暗号鍵8および9が暗号鍵情報DBに登録される。
ステップS86において、入力制御部61は、新たな暗号鍵8および9に対応するパッケージ生成の指示がユーザからあったか否かを、ユーザの操作に基づいて判定し、パッケージ生成の指示があったと判定されるまで待機する。
ステップS86で、新たな暗号鍵8および9に対応するパッケージ生成の指示があったと判定された場合、ステップS87に進む。
そして、ステップS87乃至S89では、非接触ICチップ13−1の暗号鍵8および9に対応する、新たな生成パッケージである「発行パッケージY」がパッケージ情報DBに登録され、暗号鍵パッケージ設定情報DBの設定項目「パッケージ」と紐付けられた後、非接触ICチップ13−1のパッケージ状態が「利用停止」に設定されて、処理が終了される。
図17のパッケージ更新処理によれば、非接触ICチップ13−1用の暗号鍵2および3が暗号鍵8および9にそれぞれ変更されても、ユーザから指示があったタイミングでパッケージを生成することができる。
鍵格納DB7において、以上のパッケージ更新処理により非接触ICチップ13の生成パッケージが更新された直後のパッケージ状態は、「利用停止」となっている。状態変更アプリケーション52は、非接触ICチップ13のパッケージ状態を、「利用可能」に変更することができる。
図18は、状態変更アプリケーション52によるパッケージ状態変更処理を示している。
即ち、ステップS101において、状態変更アプリケーション52は、ユーザの操作により、パッケージ状態を変更する指示があったか否かを判定し、変更の指示があったと判定されるまで待機する。
ステップS101で、変更の指示があったと判定された場合、ステップS102に進み、状態変更アプリケーション52は、その指示は、非接触ICチップ13のパッケージ状態を「利用可能」に変更する指示であるか否かを判定する。
ステップS102で、変更の指示が非接触ICチップ13のパッケージ状態を「利用可能」に変更する指示ではないと判定された場合、ステップS103に進み、状態変更アプリケーション52は、非接触ICチップ13のパッケージ状態を「利用停止」に設定(変更)する(非接触ICチップ13の設定項目「状態」の設定値を「利用停止」に設定する)。
一方、ステップS102で、変更の指示が非接触ICチップ13のパッケージ状態を「利用可能」に変更する指示であると判定された場合、ステップS104に進み、状態変更アプリケーション52は、非接触ICチップ13のパッケージ状態を「利用可能」に設定(変更)する(非接触ICチップ13の設定項目「状態」の設定値を「利用可能」に設定する)。
ステップS103またはS104の処理後は、ステップS101に戻り、状態変更アプリケーション52が終了されるまで、ステップS101以降の処理が繰り返される。
次に、要求応答部65が行う、サーバアプリケーション11からの生成パッケージの利用要求に応答する利用要求応答処理について、図19のフローチャートを参照して説明する。
初めに、ステップS111において、要求応答部65は、サーバアプリケーション11から、鍵格納DB7に登録されている非接触ICチップ13の生成パッケージの利用要求があったか否かが判定され、利用要求があったと判定されるまでステップS111の処理が繰り返される。
ステップS111で、非接触ICチップ13の生成パッケージの利用要求があったと判定された場合、ステップS112に進み、要求応答部65は、利用要求があった非接触ICチップ13のパッケージ状態が「利用可能」であるか否かを判定する。
ステップS112で、利用要求があった非接触ICチップ13のパッケージ状態が「利用可能」ではないと判定された場合、ステップS113に進み、要求応答部65は、サーバアプリケーション11からの非接触ICチップ13の生成パッケージの利用要求に対して、「利用不可」を返答する。
一方、ステップS112で、利用要求があった非接触ICチップ13のパッケージ状態が「利用可能」であると判定された場合、ステップS114に進み、要求応答部65は、サーバアプリケーション11からの非接触ICチップ13の生成パッケージの利用要求に対して、要求された生成パッケージを供給する。
ステップS113またはS114の処理後は、ステップS111に戻り、DB管理アプリケーション51が終了されるまで、ステップS111以降の処理が繰り返される。
以上のように、鍵格納DB7に新たに登録された非接触ICチップ13や、生成パッケージ(暗号鍵)が更新された非接触ICチップ13では、初期状態として、暗号鍵パッケージ設定情報DBのパッケージ状態が「利用停止」に設定されている。そして、図18のパッケージ状態変更処理により、そのパッケージ状態を「利用可能」に変更したり、「利用停止」に変更したりすることができる。これにより、例えば、鍵格納DB7に登録(更新)した直後などに、非接触ICチップ13の暗号鍵または生成パッケージの登録状態や動作の確認をしたりすることができる。また、開始されたサービスの利用(暗号鍵の利用)を一時停止させたりすることができる。
従来は、このような生成パッケージのパッケージ状態という設定項目がなかったため、非接触ICカード13の所有者に正式にサービスを提供する前の試験的な生成パッケージの登録時などにおいて、サービスが利用されるおそれがあった。また、サービスの利用を制限(一時停止)したい場合には、鍵格納DB7に登録してある非接触ICチップ13の暗号鍵や生成パッケージを一括削除するしか方法がなく、サービスの利用を制限するための処理が面倒であった。
これに対して、DB管理アプリケーション51は、非接触ICチップ13のパッケージ状態が「利用停止」である場合には、非接触ICチップ13の暗号鍵および生成パッケージが鍵格納DB7に登録されている状態であっても、その利用(サービスの利用)を制限することができるので、非接触ICカード13の所有者に正式にサービスを提供する前の試験的な生成パッケージの登録時などにおいて、サービスが不意に利用されることを防止することができる。また、サービスの利用を一時的に制限したいときにも、非接触ICチップ13のパッケージ状態を「利用可能」から「利用停止」に変更するだけでよいので、容易にサービスの利用を制限することができる。
即ち、図3のサーバクライアントシステムによれば、非接触ICチップ13に提供する暗号鍵または生成パッケージの変更を容易に行うことができる。
なお、上述した例では、暗号鍵パッケージ設定情報DBにおいて、非接触ICチップ13の設定項目「状態」を、非接触ICチップ13の生成パッケージの利用の可否を表す状態としたが、非接触ICチップ13の暗号鍵の利用の可否を表す状態としてもよい。この場合、個別の暗号鍵について利用の可否を制限することができる。また、暗号鍵と生成パッケージの両方の利用の可否を表す状態それぞれを設定するようにしてもよい。
また、暗号鍵情報DBに登録される暗号鍵、または、パッケージ情報DBに登録される生成パッケージのいずれかを、複数の暗号鍵を組み合わせて生成される縮退鍵とすることもできる。
暗号鍵パッケージ設定情報DB、暗号鍵情報DB、パッケージ情報DBは、サーバ装置1とは独立した鍵格納DB7に記憶されるようにしたが、サーバ装置1の記憶部108に記憶させてもよい。
以上においては、制御対象のICチップが非接触型のICチップである場合の例について説明したが、同様にして、接触型のICチップや、非接触型と接触型の両方の機能を備えたICチップを制御対象とすることができる。
なお、本明細書において、フローチャートに記述されたステップは、記載された順序に沿って時系列的に行われる処理はもちろん、必ずしも時系列的に処理されなくとも、並列的あるいは個別に実行される処理をも含むものである。
また、本明細書において、システムとは、複数の装置により構成される装置全体を表すものである。
なお、本発明の実施の形態は、上述した実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変更が可能である。
非接触ICチップに記憶されている暗号鍵の例を示す図である。 従来の鍵格納DBに記憶されている暗号鍵の例を示す図である。 本発明を適用したサーバクライアントシステムの一実施の形態の構成例を示すブロック図である。 サーバ装置1のハードウエア構成例を示すブロック図である。 鍵格納DB7のデータ例を示す図である。 パッケージ状態を説明する図である。 DB管理アプリケーション51の機能的な構成例を示すブロック図である。 パッケージ更新処理について説明する図である。 パッケージ更新処理について説明する図である。 パッケージ更新処理について説明する図である。 パッケージ更新処理について説明する図である。 パッケージ更新処理について説明する図である。 パッケージ更新処理について説明するフローチャートである。 パッケージ生成処理について説明するフローチャートである。 その他のパッケージ更新処理について説明する図である。 その他のパッケージ更新処理について説明するフローチャートである。 さらにその他のパッケージ更新処理について説明するフローチャートである。 パッケージ状態変更処理について説明するフローチャートである。 利用要求応答処理について説明するフローチャートである。
符号の説明
1 サーバ装置, 2 HSM, 7 鍵格納DB, 11 サーバアプリケーション, 51 DB管理アプリケーション, 52 状態変更アプリケーション, 101 CPU, 103 RAM, 108 記憶部, 109 通信部, 121 リムーバブルメディア, 61 入力制御部, 62 パッケージ生成部, 63 判定部, 64 状態設定部, 65 要求応答部

Claims (4)

  1. IC(Integrated Circuit)チップと暗号化された情報をやり取りするための暗号鍵の種別を表す設定項目である暗号鍵設定情報とその設定値、前記暗号鍵を登録する際に用いられる暗号情報であるパッケージの種別を表す設定項目であるパッケージ設定情報とその設定値、および、前記暗号鍵または前記パッケージの少なくとも一方の利用の可否を表す設定項目である利用可能状態とその設定値を記憶する第1の記憶手段と、前記第1の記憶手段の前記暗号鍵設定情報の設定値を暗号鍵識別情報として有することで、前記第1の記憶手段の前記暗号鍵設定情報と紐付けられた前記暗号鍵を記憶する第2の記憶手段と、前記第1の記憶手段の前記パッケージ設定情報の設定値をパッケージ識別情報として有することで、前記第1の記憶手段の前記パッケージ設定情報と紐付けられた前記パッケージを記憶する第3の記憶手段とを備える記憶装置を制御する情報処理装置であって、
    前記第2の記憶手段において前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記暗号鍵が削除された場合、前記第1の記憶手段の前記パッケージ設定情報と紐付けられている削除された前記暗号鍵に対応する前記パッケージを、前記第3の記憶手段から削除する削除手段と、
    削除された前記暗号鍵に対応する前記パッケージが前記第3の記憶手段から削除され、削除された前記暗号鍵に代えて新たな暗号鍵が前記第2の記憶手段に記憶された場合、前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記新たな暗号鍵に対応する新たなパッケージを他の装置に生成させ、生成された前記新たなパッケージを前記第1の記憶手段の前記パッケージ設定情報と紐付けて前記第3の記憶手段に記憶させる生成手段と、
    前記第2の記憶手段において前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記暗号鍵が削除された場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用不可」に設定し、前記新たな暗号鍵に対応する前記新たなパッケージが前記第3の記憶手段に記憶された場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用停止」に設定し、前記利用可能状態の設定値を「利用可能」に変更する変更指示があった場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用可能」に変更する変更手段と
    前記ICチップと暗号化された情報をやりとりするサーバからの前記暗号鍵の利用要求に対して、前記第1の記憶手段の前記利用可能状態の設定値が「利用可能」である場合、生成された前記新たなパッケージを前記サーバに供給し、前記第1の記憶手段の前記利用可能状態の設定値が「利用不可」または「利用停止」である場合、「利用不可」を前記サーバに返答する応答手段と
    を備える情報処理装置。
  2. 前記記憶装置をさらに備える
    請求項1に記載の情報処理装置。
  3. IC(Integrated Circuit)チップと暗号化された情報をやり取りするための暗号鍵の種別を表す設定項目である暗号鍵設定情報とその設定値、前記暗号鍵を登録する際に用いられる暗号情報であるパッケージの種別を表す設定項目であるパッケージ設定情報とその設定値、および、前記暗号鍵または前記パッケージの少なくとも一方の利用の可否を表す設定項目である利用可能状態とその設定値を記憶する第1の記憶手段と、前記第1の記憶手段の前記暗号鍵設定情報の設定値を暗号鍵識別情報として有することで、前記第1の記憶手段の前記暗号鍵設定情報と紐付けられた前記暗号鍵を記憶する第2の記憶手段と、前記第1の記憶手段の前記パッケージ設定情報の設定値をパッケージ識別情報として有することで、前記第1の記憶手段の前記パッケージ設定情報と紐付けられた前記パッケージを記憶する第3の記憶手段とを備える記憶装置を制御する情報処理を行う情報処理方法であって、
    前記第2の記憶手段において前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記暗号鍵が削除された場合、前記第1の記憶手段の前記パッケージ設定情報と紐付けられている削除された前記暗号鍵に対応する前記パッケージを、前記第3の記憶手段から削除する削除ステップと、
    削除された前記暗号鍵に対応する前記パッケージが前記第3の記憶手段から削除され、削除された前記暗号鍵に代えて新たな暗号鍵が前記第2の記憶手段に記憶された場合、前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記新たな暗号鍵に対応する新たなパッケージを他の装置に生成させ、生成された前記新たなパッケージを前記第1の記憶手段の前記パッケージ設定情報と紐付けて前記第3の記憶手段に記憶させる生成ステップと、
    前記第2の記憶手段において前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記暗号鍵が削除された場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用不可」に設定し、前記新たな暗号鍵に対応する前記新たなパッケージが前記第3の記憶手段に記憶された場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用停止」に設定し、前記利用可能状態の設定値を「利用可能」に変更する変更指示があった場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用可能」に変更する変更ステップと
    前記ICチップと暗号化された情報をやりとりするサーバからの前記暗号鍵の利用要求に対して、前記第1の記憶手段の前記利用可能状態の設定値が「利用可能」である場合、生成された前記新たなパッケージを前記サーバに供給し、前記第1の記憶手段の前記利用可能状態の設定値が「利用不可」または「利用停止」である場合、「利用不可」を前記サーバに返答する応答ステップと
    を含む情報処理方法。
  4. IC(Integrated Circuit)チップと暗号化された情報をやり取りするための暗号鍵の種別を表す設定項目である暗号鍵設定情報とその設定値、前記暗号鍵を登録する際に用いられる暗号情報であるパッケージの種別を表す設定項目であるパッケージ設定情報とその設定値、および、前記暗号鍵または前記パッケージの少なくとも一方の利用の可否を表す設定項目である利用可能状態とその設定値を記憶する第1の記憶手段と、前記第1の記憶手段の前記暗号鍵設定情報の設定値を暗号鍵識別情報として有することで、前記第1の記憶手段の前記暗号鍵設定情報と紐付けられた前記暗号鍵を記憶する第2の記憶手段と、前記第1の記憶手段の前記パッケージ設定情報の設定値をパッケージ識別情報として有することで、前記第1の記憶手段の前記パッケージ設定情報と紐付けられた前記パッケージを記憶する第3の記憶手段とを備える記憶装置を制御する情報処理を、コンピュータに実行させるためのプログラムであって、
    前記第2の記憶手段において前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記暗号鍵が削除された場合、前記第1の記憶手段の前記パッケージ設定情報と紐付けられている削除された前記暗号鍵に対応する前記パッケージを、前記第3の記憶手段から削除する削除ステップと、
    削除された前記暗号鍵に対応する前記パッケージが前記第3の記憶手段から削除され、削除された前記暗号鍵に代えて新たな暗号鍵が前記第2の記憶手段に記憶された場合、前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記新たな暗号鍵に対応する新たなパッケージを他の装置に生成させ、生成された前記新たなパッケージを前記第1の記憶手段の前記パッケージ設定情報と紐付けて前記第3の記憶手段に記憶させる生成ステップと、
    前記第2の記憶手段において前記第1の記憶手段の前記暗号鍵設定情報と紐付けられている前記暗号鍵が削除された場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用不可」に設定し、前記新たな暗号鍵に対応する前記新たなパッケージが前記第3の記憶手段に記憶された場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用停止」に設定し、前記利用可能状態の設定値を「利用可能」に変更する変更指示があった場合、前記第1の記憶手段の前記利用可能状態の設定値を「利用可能」に変更する変更ステップと、
    前記ICチップと暗号化された情報をやりとりするサーバからの前記暗号鍵の利用要求に対して、前記第1の記憶手段の前記利用可能状態の設定値が「利用可能」である場合、生成された前記新たなパッケージを前記サーバに供給し、前記第1の記憶手段の前記利用可能状態の設定値が「利用不可」または「利用停止」である場合、「利用不可」を前記サーバに返答する応答ステップと
    コンピュータに実行させるためのプログラム。
JP2005223738A 2005-08-02 2005-08-02 情報処理装置および方法、並びにプログラム Active JP4698323B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2005223738A JP4698323B2 (ja) 2005-08-02 2005-08-02 情報処理装置および方法、並びにプログラム
SG200605169A SG129431A1 (en) 2005-08-02 2006-08-01 Information processing apparatus and method, and program
US11/496,459 US20070033406A1 (en) 2005-08-02 2006-08-01 Information processing apparatus and method, and program
CN200610103843XA CN1946021B (zh) 2005-08-02 2006-08-02 信息处理装置及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005223738A JP4698323B2 (ja) 2005-08-02 2005-08-02 情報処理装置および方法、並びにプログラム

Publications (2)

Publication Number Publication Date
JP2007043352A JP2007043352A (ja) 2007-02-15
JP4698323B2 true JP4698323B2 (ja) 2011-06-08

Family

ID=37718901

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005223738A Active JP4698323B2 (ja) 2005-08-02 2005-08-02 情報処理装置および方法、並びにプログラム

Country Status (4)

Country Link
US (1) US20070033406A1 (ja)
JP (1) JP4698323B2 (ja)
CN (1) CN1946021B (ja)
SG (1) SG129431A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090086004A (ko) * 2008-02-05 2009-08-10 삼성전자주식회사 스마트카드와 연결된 이동통신 단말기가 암호화키를관리하는 방법 및 장치
JP4553041B2 (ja) * 2008-08-05 2010-09-29 ソニー株式会社 通信装置、リーダ/ライタ、通信システム、および通信方法
US9053480B1 (en) 2008-09-30 2015-06-09 Amazon Technologies, Inc. Secure validation using hardware security modules
US8892868B1 (en) * 2008-09-30 2014-11-18 Amazon Technologies, Inc. Hardening tokenization security and key rotation
DE102010027586B4 (de) * 2010-07-19 2012-07-05 Siemens Aktiengesellschaft Verfahren zum kryptographischen Schutz einer Applikation
JP6368531B2 (ja) * 2014-04-28 2018-08-01 達広 白井 暗号処理装置、暗号処理システム、および暗号処理方法
US10216963B2 (en) * 2016-12-12 2019-02-26 Anaglobe Technology, Inc. Method to protect an IC layout

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001320355A (ja) * 2000-05-08 2001-11-16 Nippon Telegr & Teleph Corp <Ntt> 暗号鍵管理方法及びその装置
JP2002207618A (ja) * 2001-01-10 2002-07-26 Dainippon Printing Co Ltd オフラインデータベース編集システム
JP2003076663A (ja) * 2001-08-30 2003-03-14 Sony Corp データ処理装置およびその方法
JP2003092565A (ja) * 2001-09-17 2003-03-28 Toshiba Corp 公開鍵基盤システム、方法、装置及びプログラム
JP2004274211A (ja) * 2003-03-06 2004-09-30 Sony Corp データ処理装置、その方法およびそのプログラム

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL120585A0 (en) * 1997-04-01 1997-08-14 Teicher Mordechai Countable electronic monetary system and method
JP4304734B2 (ja) * 1998-04-17 2009-07-29 ソニー株式会社 再生装置、データの再生方法及び記録媒体
JP3758554B2 (ja) * 2001-10-31 2006-03-22 ソニー株式会社 情報提供システム及び情報提供方法、記憶媒体、並びにコンピュータ・プログラム
TWI223204B (en) * 2001-11-08 2004-11-01 Toshiba Corp Memory card, content transmission system, and content transmission method
US7206936B2 (en) * 2001-12-19 2007-04-17 Northrop Grumman Corporation Revocation and updating of tokens in a public key infrastructure system
US7231516B1 (en) * 2002-04-11 2007-06-12 General Instrument Corporation Networked digital video recording system with copy protection and random access playback
US7559088B2 (en) * 2004-02-04 2009-07-07 Netapp, Inc. Method and apparatus for deleting data upon expiration

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001320355A (ja) * 2000-05-08 2001-11-16 Nippon Telegr & Teleph Corp <Ntt> 暗号鍵管理方法及びその装置
JP2002207618A (ja) * 2001-01-10 2002-07-26 Dainippon Printing Co Ltd オフラインデータベース編集システム
JP2003076663A (ja) * 2001-08-30 2003-03-14 Sony Corp データ処理装置およびその方法
JP2003092565A (ja) * 2001-09-17 2003-03-28 Toshiba Corp 公開鍵基盤システム、方法、装置及びプログラム
JP2004274211A (ja) * 2003-03-06 2004-09-30 Sony Corp データ処理装置、その方法およびそのプログラム

Also Published As

Publication number Publication date
JP2007043352A (ja) 2007-02-15
CN1946021A (zh) 2007-04-11
SG129431A1 (en) 2007-02-26
US20070033406A1 (en) 2007-02-08
CN1946021B (zh) 2010-06-02

Similar Documents

Publication Publication Date Title
US7882208B2 (en) Information management apparatus, information management method, and program for managing an integrated circuit
JP4698323B2 (ja) 情報処理装置および方法、並びにプログラム
CN101004795B (zh) 通信系统、读出器/写入器和验证方法
US7707225B2 (en) Information processing apparatus, information processing method, and program
CN105684482B (zh) 为代理设备建立受信任身份的方法
CN1892680B (zh) 数据发送-接收系统、非接触式集成芯片、移动终端、信息处理方法及程序
JP4360422B2 (ja) 認証情報管理システム、認証情報管理サーバ、認証情報管理方法及びプログラム
JP4326443B2 (ja) 情報処理装置および情報処理方法、並びにプログラム
CN103198030A (zh) 访问安全存储器的方法、安全存储器和包括安全存储器的系统
US10567959B2 (en) System and method for managing application data of contactless card applications
CN101965597A (zh) 用于安装和取回已链接的mifare应用的方法和设备
US8423771B2 (en) Information processing apparatus and method, setting apparatus and method, and program
JP2015011498A (ja) Simカード及び携帯端末装置用アプリケーションプログラムのアクセスシステム
WO2007119594A1 (ja) セキュアデバイス及び読み書き装置
JP4765608B2 (ja) データ処理装置、データ処理プログラム、およびデータ処理システム
JP2009130833A (ja) 権限委譲システム、携帯端末、id管理サーバ、権限委譲方法および権限委譲プログラム
CN112004978B (zh) 密钥信息生成系统及密钥信息生成方法
JP4642596B2 (ja) 情報処理装置および方法、並びにプログラム
JP4516394B2 (ja) 情報管理装置および方法、並びにプログラム
JP4704000B2 (ja) 通信システムおよび通信方法
JP4587021B2 (ja) 情報処理装置および方法、記録媒体、並びにプログラム
JP2007249544A (ja) 電子媒体およびそれを含む情報端末
KR20130128296A (ko) Nfc 태그 기반 선불 상품권 서비스 제공 방법 및 시스템

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091001

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091117

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100118

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20101111

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110207

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20110210

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110301

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110301

R150 Certificate of patent or registration of utility model

Ref document number: 4698323

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250