JP5825079B2 - 非接触icカードの端末装置、情報処理システム - Google Patents
非接触icカードの端末装置、情報処理システム Download PDFInfo
- Publication number
- JP5825079B2 JP5825079B2 JP2011267146A JP2011267146A JP5825079B2 JP 5825079 B2 JP5825079 B2 JP 5825079B2 JP 2011267146 A JP2011267146 A JP 2011267146A JP 2011267146 A JP2011267146 A JP 2011267146A JP 5825079 B2 JP5825079 B2 JP 5825079B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal device
- key information
- holding
- card
- state monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Devices For Checking Fares Or Tickets At Control Points (AREA)
Description
れる耐タンパ性のあるデバイスに鍵情報を保管するという対策がとられている。
りの改札処理を約0.1〜0.2秒で完了することが要求されるが、この要求仕様を満足できない可能性もでてくる。また、自動改札機のようなインフラ設備は、何らかの異常事態が生じた場合でも必要最低限の業務は継続できること(これを可用性と呼ぶ)が望まれるところ、サーバ装置側に鍵情報を置く構成ではネットワーク異常等によりサーバ装置との通信が途絶すると、端末装置単独ではICカードへのアクセスを一切行えないという問題もある。
て「端末装置に対して物理的に加えられる不正な操作」とは、端末装置から鍵情報が不正取得されるリスクを伴う操作であって、例えば、盗難(持ち去り)、破壊、分解などが該当する。また、監視の対象とされる「端末装置の状態」とは、端末装置に対して不正な操作が行われた場合に変化し得るものであればよい。このような監視手段の監視結果に基づき、必要に応じて、端末装置側での鍵情報の保持・管理の仕方を制御することで、鍵情報の安全性をより高めることができる。
を高めることができる。
図1は、本発明の実施形態に係る情報処理システムの一構成例を示している。この情報処理システムは、非接触ICカード3を利用したサービスに関わる業務処理を行うシステムであり、リーダ/ライタ10を備える端末装置1と、複数台の端末装置1を統括するサーバ装置2とから構成されている。端末装置1とサーバ装置2の間は、LAN(ローカルエリアネットワーク)、又はインターネットや専用回線などのWAN(ワイドエリアネットワーク)により接続される。端末装置1及びサーバ装置2の台数やネットワーク上の配
置は、システムの規模、サービス内容、取り扱うデータなどに応じて適宜設計される。
図2は、図1の情報処理システムで用いられる端末装置1の一構成例を示している。この端末装置1は、非接触ICカード内のデータへアクセスする機能を有する装置であって、ハードウェア的には、リーダ/ライタ10、中央演算装置(CPU)11、揮発性メモリ12、LAN通信制御装置13、耐タンパデバイス14、2次記憶装置15を備えて構成される。また、図示しないが、端末装置1は後述する状態監視を行うための各種のセンサ(例えば、位置センサ、カメラ、振動センサ、照度センサなど)も備えている。
サーバ装置2は、ハードウェア的には、中央演算装置(CPU)、ワークメモリ、2次記憶装置、通信制御装置などを備える汎用のコンピュータシステムにより構成される。図示しないが、2次記憶装置には、デバイスドライバ及びオペレーティングシステムの他、ICカード処理に関する各種プログラム(サーバ装置側の業務プログラム及び鍵情報管理プログラム)が格納されていると共に、ICカード3へのアクセスに必要となる鍵情報が保管されている。これらのプログラムは必要に応じてワークメモリにロードされ、中央演算装置によって実行されることで、サーバ装置2に目的とする機能を発揮させるものである。
次に、本システムの動作について詳しく説明する。
端末装置1の電源がオフの状態にあるとき、端末装置1の内部には鍵情報は保持されていない。そのため、端末装置1は起動後に初期化処理を実行することで、サーバ装置2から鍵情報を取得する。
本実施形態の端末装置1は、鍵情報の保持方法として、次の3種類の保持モードを有している。
(1)揮発性メモリ12に鍵情報を保持するモード。
(2)揮発性メモリ12の鍵情報を消去し、耐タンパデバイス14にのみ鍵情報を保持
するモード。
(3)揮発性メモリ12と耐タンパデバイス14の鍵情報を消去し、端末装置1内に鍵情報を保持しないモード。この場合は、業務プログラムから鍵情報の要求がある毎にサーバ装置2から鍵情報を取得する。
端末装置1の業務処理が稼働している間、セキュリティ状態監視プログラムが端末装置1の状態を監視する。ここで、監視の対象となる「端末装置の状態」とは、盗難、破壊、分解などの不正な操作が行われた場合に変化し得るもの(状態の変化が不正な操作と因果関係を有するもの)であればよく、端末装置1自体の状態でも、端末装置1の周囲(環境)の状態でもよい。
端末装置1の内部にGPS(Global Positioning System)センサなどの位置センサを
組み込むと共に、端末装置1の設置位置の情報(つまり正しい位置)をセキュリティ状態監視プログラムに登録しておく。セキュリティ状態監視プログラムは、端末装置1の稼働中、定期的に位置センサから現在位置の情報を取り込み、現在位置と正しい設置位置とを比較する。現在位置と正しい設置位置との差が所定距離を超えたかどうかを評価することで、端末装置1の移動、すなわち「盗難」を検知することができる。
端末装置1の内部に加速度センサなどの振動センサを組み込む。セキュリティ状態監視プログラムは、振動センサの出力が所定値を超えたかどうかを評価することで、端末装置
1に加えられた強い衝撃、すなわち「破壊」を検知することができる。また、振動が所定時間以上続くかどうかを評価することで、端末装置1の搬送、すなわち「盗難」を検知することもできる。なお、誤検知を防止するため、近隣の道路や線路などから受ける振動や、地震による振動などを除外するためのフィルタを設けることが望ましい。
端末装置1の内部にカメラを組み込み、端末装置1の周囲のシーンの画像を取り込む。セキュリティ状態監視プログラムは、端末装置1の稼働中、定期的にカメラから画像を取り込み、端末装置1の周囲のシーンに変化がないか監視する。画像が著しく変化したかどうかを評価することで、端末装置1の位置又は向きの変化、すなわち「盗難」を検知することができる。なお、カメラの画角内を人や車などの移動物が通過する場合には、複数枚の画像を平均するなどして、人や車などの移動物をシーン画像から除去することが望ましい。
セキュリティ状態監視プログラムが、LANケーブルの通信ドライバから切断検知情報を取得する。これにより、端末装置1がネットワークから切り離されたこと、すなわち「盗難」を検知することができる。(ただし、ネットワークの障害の可能性も高いため、この事象を検知しただけでは「盗難」の可能性は低い。)
セキュリティ状態監視プログラムが、サーバ装置2との通信状態の情報を取得する。サーバ装置2との通信の失敗が発生した場合、端末装置1がネットワークから切り離されたこと、すなわち「盗難」を検知することができる。(ただし、サーバ装置あるいはネットワークの障害の可能性も高いため、この事象を検知しただけでは「盗難」の可能性は低い。)
端末装置1の筐体の内部に照度センサを組み込む。セキュリティ状態監視プログラムは、照度センサの出力が所定値を超えたかどうか、あるいは、照度センサの出力の時間変化などを評価することで、端末装置1の内部における異常な照度の変化、すなわち「破壊」や「分解」による装置内部の露出を検知することができる。
図4に、セキュリティ状態監視プログラムによる、セキュリティレベル及びセキュリティアクションの決定フローと、セキュリティアクションの通知を受けた鍵情報管理プログラムの処理フローを示す。
それぞれの事象の危険ポイントを合計する。例えば、表1において、(c)シーン画像の著しい変化と(d)LANとの切断が検知された場合には、危険ポイントは15ポイントと求まる。この危険ポイントは、端末装置1に対して盗難等の不正な操作が加えられた可能性(つまり、鍵情報の漏えいのリスク)を表しており、危険ポイントが大きいほど可能性(リスク)が高いことを表している。
図5に、業務プログラムから鍵情報の要求を受けた場合の鍵情報管理プログラムの処理フローを示す。
ップS30)、まず揮発性メモリ12に鍵情報が保持されているか否か調べる(ステップS31)。揮発性メモリ12に鍵情報が存在する場合、鍵情報管理プログラムは揮発性メモリ12から鍵情報を取得し(ステップS32)、その鍵情報を業務プログラムに渡す(ステップS33)。
端末装置1の電源がオフされる時、又は、端末装置1の業務終了時に、端末装置1の鍵情報管理プログラムが揮発性メモリ12及び耐タンパデバイス14に保持されている鍵情報をすべて消去する。業務の終了とは、ICカード3へアクセスする機能(業務プログラムの機能)が無効化されることをいう。このように鍵情報が不要となるタイミングで積極的に鍵情報を消去し、端末装置1内に鍵情報を残さないようにすることで、鍵情報の漏えいのリスクを一層低減することができる。
以上述べた本実施形態の情報処理システムは次のような利点を有する。すなわち、端末装置1の電源がオフの状態にあるときは端末装置1の内部に鍵情報が存在しないため、たとえ端末装置1が盗難されリバースエンジニアリングされたとしても、そこから鍵情報が漏えいすることはない。一方、端末装置1の稼働中は、サーバ装置2から取得した鍵情報が端末装置1内の記憶装置に一時的に保持されるため、端末装置1の側で鍵情報を用いた認証やデータアクセスの処理が実行可能となり、高速な処理を実現できる。また、ネットワーク又はサーバ装置2の異常により、サーバ装置2との通信が突然不調になったとしても、端末装置1内に一時的に保持されている鍵情報を利用できるために、端末装置1単独で必要最低限の業務を継続することが可能となる。
上記実施形態に係る情報処理システムを、鉄道の乗車カードの改札・精算を行う自動改札システムに適用した例について説明する。
は、処理速度がやや低下した状態で業務が継続される。セキュリティレベルが2の場合、障害検知状態となり、揮発性メモリ及び耐タンパデバイスの両方から鍵情報が消去される。ICカード3aのアクセスのために鍵情報が必要な場合には、サーバ装置2aから毎回鍵情報が取得される。障害検知状態においては、処理速度がさらに低下するが、業務は継続される。セキュリティレベルが3の場合、盗難検知状態となり、揮発性メモリ及び耐タンパデバイスの両方から鍵情報が消去されると共に、改札機1aの業務が停止される。
図7に、ネットワーク障害検知時の改札機1aの各プログラムの処理フローを示す。
ステップT1:セキュリティ状態監視プログラムは、サーバ装置2aとの接続の失敗を検知すると、監視用のタイマを起動する。
ステップT2:セキュリティ状態監視プログラムは、10分経過してもサーバ装置2aとの接続が失敗し続けていた場合、危険ポイントに10加算し、セキュリティレベルを更新する。ここでは危険ポイントが0から5になるため、セキュリティレベルが0(通常状態)から1(警戒状態)に遷移する。また、セキュリティ状態監視プログラムは、セキュリティレベルに対応したセキュリティアクションを決定する。
ステップT3:セキュリティ状態監視プログラムは、鍵情報管理プログラムに揮発性メモリからの鍵情報の消去を指示する。
ステップT4:鍵情報管理プログラムは、揮発性メモリ上に展開されている鍵情報を消去する。
以降、セキュリティレベルが0に回復するまでは、業務プログラムからの要求の度に、鍵情報管理プログラムは耐タンパデバイスから鍵情報を取得する。
ステップT5:セキュリティ状態監視プログラムは、60分経過してもサーバ装置2aとの接続が失敗し続けていた場合、危険ポイントに20加算し、セキュリティレベルを更新する。ここでは危険ポイントが5から25になるため、セキュリティレベルが1(警戒状態)から3(盗難検知状態)に遷移する。また、セキュリティ状態監視プログラムは、セキュリティレベルに対応したセキュリティアクションを決定する。
ステップT6:セキュリティ状態監視プログラムは、鍵情報管理プログラムに耐タインパデバイスからの鍵情報の消去を指示する。
ステップT7:鍵情報管理プログラムは、耐タンパデバイス上に保存してある鍵情報を消去する。
ステップT8:セキュリティ状態監視プログラムは、業務プログラムに業務停止を指示する。
ステップT9:業務プログラムは、即時に業務を停止する。
上記実施形態では、状態監視の結果(鍵情報の漏えいリスク)に応じて鍵情報の保持モードを切り替える構成としたが、本発明の構成はこれに限られない。
報の不正取得を未然に防止することができる。また、このように鍵情報を保持するか/消去するかという単純な制御の場合は、端末装置1内の記憶装置は1種類でよいため、耐タンパデバイスが不要となり、端末装置1のさらなる小型化及びコスト低減を図ることができる。ところで、盗難、破壊、分解といった不正な操作を100%間違いなく検知することは難しく、誤検知(不正な操作でないものを検知してしまうこと)又は検知漏れ(不正な操作を検知できないこと)の発生は避け得ない。鍵情報の安全性を重視すれば、検知漏れをゼロ又は可能な限り少なくなるような設計にすることが望ましいが、そうすると、誤検知の増加によって頻繁に端末装置内の鍵情報が消去されることとなり、システムの処理速度の低下又は可用性の低下を招くおそれがある。このような点に鑑みると、鍵情報を保持するか/消去するかという単純な制御よりも、上記実施形態のように端末装置1の状態の変化に応じて鍵情報の保持モードを切り替える構成とする方が、安全性、処理速度、可用性のバランスを制御できるという点で優れている。
1a:改札機(端末装置)
2、2a:サーバ装置
3、3a:非接触ICカード
4:鍵情報
10:リーダ/ライタ
11:中央演算装置
12:揮発性メモリ
13:LAN通信制御装置
14:耐タンパデバイス
15:2次記憶装置
Claims (10)
- 非接触ICカード内のデータへアクセスする機能を有する端末装置であって、
前記端末装置は、少なくとも電源がオフの状態にあるときには前記非接触ICカード内のデータへアクセスするために必要とされる鍵情報を内部に保持しておらず、
前記鍵情報を保持しているサーバ装置からネットワークを介して前記鍵情報を取得し、該鍵情報を一時的に記憶装置に保持する鍵情報管理手段と、
前記鍵情報管理手段から前記鍵情報を受け取り、該鍵情報を用いて前記非接触ICカード内のデータへアクセスする処理を実行する処理手段と、
前記端末装置に対して物理的に加えられる不正な操作を検知するために、前記端末装置の状態を監視し、前記端末装置の状態の変化から前記端末装置に対して前記不正な操作が加えられた可能性を推定する状態監視手段と、を有し、
前記鍵情報管理手段は、前記鍵情報の保持方法として、セキュリティレベルの異なる複数の保持モードを有しており、前記状態監視手段において推定された前記可能性が高くなるほどセキュリティレベルの高い保持モードに切り替える
ことを特徴とする端末装置。 - 前記記憶装置は、揮発性メモリと、耐タンパ性を有する記憶装置である耐タンパデバイスとを含み、
前記複数の保持モードは、前記揮発性メモリに前記鍵情報を保持するモードと、該モードよりもセキュリティレベルの高いモードとして、前記揮発性メモリに前記鍵情報を保持することなく、前記耐タンパデバイスに前記鍵情報を保持するモードを含む
ことを特徴とする請求項1に記載の端末装置。 - 前記複数の保持モードは、前記記憶装置に前記鍵情報を保持するモードと、該モードよりもセキュリティレベルの高いモードとして、前記記憶装置に前記鍵情報を保持することなく、前記処理手段から要求がある毎に前記サーバ装置から前記鍵情報を取得し前記処理手段に引き渡すモードを含む
ことを特徴とする請求項1又は2に記載の端末装置。 - 前記状態監視手段は、前記端末装置に組み込まれた位置センサから得られる位置情報に
基づいて、前記端末装置の位置の変化を検知する手段を含む
ことを特徴とする請求項1〜3のうちいずれか1項に記載の端末装置。 - 前記状態監視手段は、前記端末装置に組み込まれたカメラから得られる前記端末装置の周囲の画像の変化に基づいて、前記端末装置の位置の変化を検知する手段を含む
ことを特徴とする請求項1〜4のうちいずれか1項に記載の端末装置。 - 前記状態監視手段は、前記端末装置に組み込まれた振動センサの出力に基づいて、前記端末装置に加えられた衝撃又は前記端末装置の動きを検知する手段を含む
ことを特徴とする請求項1〜5のうちいずれか1項に記載の端末装置。 - 前記状態監視手段は、前記ネットワーク又は前記サーバ装置との通信の切断を検知する手段を含む
ことを特徴とする請求項1〜6のうちいずれか1項に記載の端末装置。 - 前記状態監視手段は、前記端末装置に組み込まれた照度センサの出力に基づいて、前記端末装置の内部の照度変化を検知する手段を含む
ことを特徴とする請求項1〜7のうちいずれか1項に記載の端末装置。 - 前記非接触ICカードは鉄道の乗車カードであり、前記端末装置は駅に設置される自動改札機である
ことを特徴とする請求項1〜8のうちいずれか1項に記載の端末装置。 - 非接触ICカード内のデータへアクセスするために必要とされる鍵情報を保持しているサーバ装置と、
前記サーバ装置とネットワークを介して接続された、請求項1〜9のうちいずれか1項に記載の端末装置と、を有する情報処理システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011267146A JP5825079B2 (ja) | 2011-12-06 | 2011-12-06 | 非接触icカードの端末装置、情報処理システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011267146A JP5825079B2 (ja) | 2011-12-06 | 2011-12-06 | 非接触icカードの端末装置、情報処理システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013120444A JP2013120444A (ja) | 2013-06-17 |
JP5825079B2 true JP5825079B2 (ja) | 2015-12-02 |
Family
ID=48773066
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011267146A Active JP5825079B2 (ja) | 2011-12-06 | 2011-12-06 | 非接触icカードの端末装置、情報処理システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5825079B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020173641A (ja) * | 2019-04-11 | 2020-10-22 | 株式会社東芝 | 情報処理装置 |
WO2022097523A1 (ja) * | 2020-11-05 | 2022-05-12 | フェリカネットワークス株式会社 | 情報処理装置、および情報処理方法、プログラム、携帯端末、並びに情報処理システム |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004295502A (ja) * | 2003-03-27 | 2004-10-21 | Jr East Mechatronics Co Ltd | Ic媒体を用いたセキュリティシステム |
JP4838349B2 (ja) * | 2007-03-27 | 2011-12-14 | 三菱電機株式会社 | 秘密情報記憶装置及び秘密情報の消去方法及び秘密情報の消去プログラム |
-
2011
- 2011-12-06 JP JP2011267146A patent/JP5825079B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2013120444A (ja) | 2013-06-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CA3027909C (en) | Authentication in ubiquitous environment | |
CN102597960B (zh) | 数据保护装置 | |
CN104094275B (zh) | 针对设备数据的安全策略 | |
CN101154251B (zh) | 基于射频识别的信息保密管理系统及其方法 | |
EP3941014B1 (en) | Digital key-based identity authentication method, terminal apparatus, and medium | |
US7735734B2 (en) | Portable terminal unit | |
US20170026802A1 (en) | Inferring device theft based on historical location data | |
CN103874986A (zh) | 用于在移动网络环境中提供有关特许资源使用的阈值级别的系统和方法 | |
TW201248409A (en) | Security architecture for using host memory in the design of a secure element | |
CN103370717A (zh) | 始终可用的嵌入式盗窃反应子系统 | |
CN104081409A (zh) | 用于保护计算设备的方法 | |
JP4492083B2 (ja) | Icカードを用いたサービスの認証方法およびシステム | |
CN103649964A (zh) | 安全寄存执行体系架构 | |
TW201028883A (en) | Secure platform management device | |
CN104584023A (zh) | 硬件强制访问保护 | |
US11416601B2 (en) | Method and system for improved data control and access | |
US20150094023A1 (en) | Retroactively Securing a Mobile Device From a Remote Source | |
WO2018045916A1 (zh) | 一种授权方法、系统及卡片 | |
WO2009094213A1 (en) | Secure platform management device | |
US20160283943A1 (en) | System and methods thereof for monitoring financial transactions from a credit clearing device | |
JP5825079B2 (ja) | 非接触icカードの端末装置、情報処理システム | |
CN106296926B (zh) | 一种基于限时授权的智能门禁控制系统和方法 | |
CN110313005B (zh) | 用于设备应用的安全性架构 | |
JP5528198B2 (ja) | 情報処理装置及びプログラム | |
BRPI0610977A2 (pt) | terminal móvel de transações eletrÈnicas seguras e sistema de transações eletrÈnicas seguras |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140905 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150520 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150526 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150727 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150915 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150928 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5825079 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |