JPH05290224A - Icカード用プログラム処理装置 - Google Patents
Icカード用プログラム処理装置Info
- Publication number
- JPH05290224A JPH05290224A JP4085653A JP8565392A JPH05290224A JP H05290224 A JPH05290224 A JP H05290224A JP 4085653 A JP4085653 A JP 4085653A JP 8565392 A JP8565392 A JP 8565392A JP H05290224 A JPH05290224 A JP H05290224A
- Authority
- JP
- Japan
- Prior art keywords
- program
- card
- translation
- storage area
- processing device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
(57)【要約】
【目的】ICカードのアプリケーションプログラムを導
入するに当って、秘密情報を書き替え、読み出しする不
正プログラムが作動させるのを防止する。 【構成】高級言語もしくは中間言語より機械語に翻訳す
るに際して秘密情報を書き替え、読み出しされた場合を
検知する。もし、その様なことをしている場合は、翻訳
等の処理を中止する。このようにすると、秘密情報を書
き替え読み出しする不正プログラムが作動させるのを防
止でき、セキュリティの向上が図れる。
入するに当って、秘密情報を書き替え、読み出しする不
正プログラムが作動させるのを防止する。 【構成】高級言語もしくは中間言語より機械語に翻訳す
るに際して秘密情報を書き替え、読み出しされた場合を
検知する。もし、その様なことをしている場合は、翻訳
等の処理を中止する。このようにすると、秘密情報を書
き替え読み出しする不正プログラムが作動させるのを防
止でき、セキュリティの向上が図れる。
Description
【0001】
【産業上の利用分野】本発明は、ICカード内のプログ
ラム可能な不揮発性メモリに格納される機械語形式に翻
訳することが可能な、ICカードもしくはICカード用
プログラム開発機器等のプログラム処理装置に関する。
ラム可能な不揮発性メモリに格納される機械語形式に翻
訳することが可能な、ICカードもしくはICカード用
プログラム開発機器等のプログラム処理装置に関する。
【0002】
【従来の技術】近年、ICカードを利用したアプリケー
ションが徐々に運用されはじめているが、それらのシス
テムに共通した問題として、「全体の処理に時間がかか
り過ぎる」という問題点が挙げられる。本問題点の原因
を、ここでは電話カード等のプリペイドアプリケーショ
ンを構築する場合を例として、以下に図を参照しつつ説
明する。なお、以降の説明ではICカードのMPU(マ
イクロプロセッサ)として、日立製作所製のH8/31
0(EEPROMを内蔵した8ビットMPU)を想定し
ている。
ションが徐々に運用されはじめているが、それらのシス
テムに共通した問題として、「全体の処理に時間がかか
り過ぎる」という問題点が挙げられる。本問題点の原因
を、ここでは電話カード等のプリペイドアプリケーショ
ンを構築する場合を例として、以下に図を参照しつつ説
明する。なお、以降の説明ではICカードのMPU(マ
イクロプロセッサ)として、日立製作所製のH8/31
0(EEPROMを内蔵した8ビットMPU)を想定し
ている。
【0003】但しそのメモリ空間は、ROMが$000
0〜27FF($は16進数を示す。以下同じ。)のア
ドレスに割当てられ、EEPROMが$6000〜7F
FFのアドレスに割当てられ、RAMが$FEC0〜F
FBFのアドレスに割当てられている。
0〜27FF($は16進数を示す。以下同じ。)のア
ドレスに割当てられ、EEPROMが$6000〜7F
FFのアドレスに割当てられ、RAMが$FEC0〜F
FBFのアドレスに割当てられている。
【0004】また、前記アプリケーションを実現する場
合のメモリ番地と対応格納データを示すメモリレイアウ
ト例として、(表1)に示す。
合のメモリ番地と対応格納データを示すメモリレイアウ
ト例として、(表1)に示す。
【0005】
【表1】
【0006】なお、ここでシステムプログラムは、IC
カードの動作プログラムを表す。リザーブセクション
は、未使用領域を表す。アプリケーションIDは、カー
ドの正当性確認に使用される20バイトのデータを表
す。
カードの動作プログラムを表す。リザーブセクション
は、未使用領域を表す。アプリケーションIDは、カー
ドの正当性確認に使用される20バイトのデータを表
す。
【0007】残高は0〜65535の値を示す符号無の
2進で表現された2バイトの残高データを表す。作業領
域は、バッファあるいはスタック等の、システムで使用
する作用領域を表す。
2進で表現された2バイトの残高データを表す。作業領
域は、バッファあるいはスタック等の、システムで使用
する作用領域を表す。
【0008】(表2)は、前記アプリケーションを実現
するための端末側の処理シーケンスをステップ順に処理
概要を示した例であるシーケンス1である。
するための端末側の処理シーケンスをステップ順に処理
概要を示した例であるシーケンス1である。
【0009】
【表2】
【0010】なお、ここではカードの具備しているコマ
ンドとして、COMPARE、READおよびWRIT
Eという汎用・単機能コマンドを想定している。
ンドとして、COMPARE、READおよびWRIT
Eという汎用・単機能コマンドを想定している。
【0011】ここでCOMPAREとは、カード内のア
ドレスA1から格納されているL1バイトのデータと、
本コマンドによって搬送されるL1バイトのデータD1
とを比較し、結果をステータスT1によって出力するコ
マンドである。なお、ステータス=$00は処理が正常
に終了したことを、また$FFは処理が異常終了したこ
とを示す。
ドレスA1から格納されているL1バイトのデータと、
本コマンドによって搬送されるL1バイトのデータD1
とを比較し、結果をステータスT1によって出力するコ
マンドである。なお、ステータス=$00は処理が正常
に終了したことを、また$FFは処理が異常終了したこ
とを示す。
【0012】READは、カード内のアドレスA2から
格納されているL2バイトのデータD2を出力するコマ
ンドである。WRITEは、本コマンドによって搬送さ
れるL3バイトのデータD3をカード内のアドレスA3
より格納するコマンドである。
格納されているL2バイトのデータD2を出力するコマ
ンドである。WRITEは、本コマンドによって搬送さ
れるL3バイトのデータD3をカード内のアドレスA3
より格納するコマンドである。
【0013】全2重方式の通信機能を有している機器で
は、通信処理とコマンド処理とがある程度並列して実行
可能であるため、通信処理は総処理時間にはあまり影響
しないことが一般的に知られているが、ICカードでは
リソースの問題から単一処理方式を採用せざるを得ない
ため、処理全体に要する時間Tはコマンド処理に要する
時間Tprc と通信に要する時間Tcom の和で規定され
る。
は、通信処理とコマンド処理とがある程度並列して実行
可能であるため、通信処理は総処理時間にはあまり影響
しないことが一般的に知られているが、ICカードでは
リソースの問題から単一処理方式を採用せざるを得ない
ため、処理全体に要する時間Tはコマンド処理に要する
時間Tprc と通信に要する時間Tcom の和で規定され
る。
【0014】また、本例ではTprc は、COMPARE
処理に要する時間TC とREAD処理に要する時間Tr
とWRITE処理に要する時間TW の和で示される。
処理に要する時間TC とREAD処理に要する時間Tr
とWRITE処理に要する時間TW の和で示される。
【0015】従って、コマンドの処理時間Tprc は、基
本的に分周比あるいは命令体系等のMPUの性能、内蔵
される不揮発性メモリのアクセス時間、および端末の供
給する駆動周波数fS に依存する性格を有するものであ
り、基本的な改善はカード側では施せない。このため、
コマンドの処理時間Tprc をカード側から見れば一定と
なる。
本的に分周比あるいは命令体系等のMPUの性能、内蔵
される不揮発性メモリのアクセス時間、および端末の供
給する駆動周波数fS に依存する性格を有するものであ
り、基本的な改善はカード側では施せない。このため、
コマンドの処理時間Tprc をカード側から見れば一定と
なる。
【0016】一方、Tcom は、Tcom =T1+nT
Z (但しT1は、後述のヘッダおよびトレーラを除いた
全キャラクタの伝送に要する時間を示し、nは通信電文
数(=〔コマンド数〕+〔レスポンス数〕)を示し、T
Z は、ICカードの国際規格(IS 7816−3)で
定められた、各コマンド/レスポンスに付される最低4
バイトの伝送制御用ヘッダ、トレーラの伝送に要する時
間を示す。以下同じ。)で示される。
Z (但しT1は、後述のヘッダおよびトレーラを除いた
全キャラクタの伝送に要する時間を示し、nは通信電文
数(=〔コマンド数〕+〔レスポンス数〕)を示し、T
Z は、ICカードの国際規格(IS 7816−3)で
定められた、各コマンド/レスポンスに付される最低4
バイトの伝送制御用ヘッダ、トレーラの伝送に要する時
間を示す。以下同じ。)で示される。
【0017】T1は基本的に削除不可能なデータ、本実
施例ではアプリケーションIDおよび金額の伝送に要す
る時間であり、その伝送速度と伝送情報量に依存する。
しかし、ICカードではもともとその伝送する情報量が
さほど多くないため、伝送量の圧縮による効果は極めて
低い。
施例ではアプリケーションIDおよび金額の伝送に要す
る時間であり、その伝送速度と伝送情報量に依存する。
しかし、ICカードではもともとその伝送する情報量が
さほど多くないため、伝送量の圧縮による効果は極めて
低い。
【0018】また、伝送キャラクタがスタート1ビッ
ト、データ8ビット、垂直パリティ1ビット、およびス
トップ1ビットから構成されるものとした場合、T
Z は、TZ=44(F/(fs・D))(但しFは伝送
制御パラメータ(1)を示し、Dは伝送制御パラメータ
(2)を示し、fS は駆動周波数を示す。以下同じ。)
しなる。 従って、Tcom は近似的には、Tcom =T1
+n(44(F/(fS ・D)))である。
ト、データ8ビット、垂直パリティ1ビット、およびス
トップ1ビットから構成されるものとした場合、T
Z は、TZ=44(F/(fs・D))(但しFは伝送
制御パラメータ(1)を示し、Dは伝送制御パラメータ
(2)を示し、fS は駆動周波数を示す。以下同じ。)
しなる。 従って、Tcom は近似的には、Tcom =T1
+n(44(F/(fS ・D)))である。
【0019】この場合に処理時間Tを減少させるには、
通信時間Tcom を減少させれば良い。しかし、ここでは
伝送速度を規定するF、D、およびfS を一定としたた
め、その値は伝送情報量のみに依存することとなる。
通信時間Tcom を減少させれば良い。しかし、ここでは
伝送速度を規定するF、D、およびfS を一定としたた
め、その値は伝送情報量のみに依存することとなる。
【0020】しかし、T1と同様にICカードでは、も
ともと伝送する情報量が多くないため伝送量の圧縮によ
る効果は極めて低い。従って、Tcom は近似的にはコマ
ンド/レスポンス交換回数nのみに依存することとな
る。
ともと伝送する情報量が多くないため伝送量の圧縮によ
る効果は極めて低い。従って、Tcom は近似的にはコマ
ンド/レスポンス交換回数nのみに依存することとな
る。
【0021】次にコマンド/レスポンス交換回数nに関
して検討してみることとする。シーケンス1から明らか
なように、単機能コマンドのみのカードでは、本実施例
の実現にn=6回(S21、22、41、42、61、
62)のコマンド/レスポンス・ブロックの交換を行っ
ているため、その通信時間Tcom 1は、Tcom1=T1
+264(F/(fS ・D))と規定される。
して検討してみることとする。シーケンス1から明らか
なように、単機能コマンドのみのカードでは、本実施例
の実現にn=6回(S21、22、41、42、61、
62)のコマンド/レスポンス・ブロックの交換を行っ
ているため、その通信時間Tcom 1は、Tcom1=T1
+264(F/(fS ・D))と規定される。
【0022】しかし、COM_ALLのような高機能コ
マンドをカードに搭載することにより、シーケンス1を
(表3)のシーケンス2のように簡略化できる。
マンドをカードに搭載することにより、シーケンス1を
(表3)のシーケンス2のように簡略化できる。
【0023】ただしCOM_ALLは、カード内のアド
レスA1から格納されているL1バイトのデータと、本
コマンドによって搬送されるL1バイトのデータD1と
を比較し、同一であった場合には、カード内のアドレス
A2から格納されているL2バイトのデータD2と、本
コマンドによって搬送されるL2バイトのデータD3を
比較し、D2≧D3である場合に限り、L2バイトのデ
ータ〔D2−D3〕をカード内のアドレスA2より格納
する。なお、処理結果(T1)と〔D2−D3〕をレス
ポンスとして出力するコマンドである。
レスA1から格納されているL1バイトのデータと、本
コマンドによって搬送されるL1バイトのデータD1と
を比較し、同一であった場合には、カード内のアドレス
A2から格納されているL2バイトのデータD2と、本
コマンドによって搬送されるL2バイトのデータD3を
比較し、D2≧D3である場合に限り、L2バイトのデ
ータ〔D2−D3〕をカード内のアドレスA2より格納
する。なお、処理結果(T1)と〔D2−D3〕をレス
ポンスとして出力するコマンドである。
【0024】
【表3】
【0025】このように、単一のコマンド/レスポンス
交換で一連の処理が実行可能であるならば、通信ブロッ
クがS31とS32になり、通信ブロック数nを2にす
ることが可能となるため、その通信時間Tcom をTcom
2=T1+88(F/(fS・D))まで低減すること
が可能となる。
交換で一連の処理が実行可能であるならば、通信ブロッ
クがS31とS32になり、通信ブロック数nを2にす
ることが可能となるため、その通信時間Tcom をTcom
2=T1+88(F/(fS・D))まで低減すること
が可能となる。
【0026】しかし、このような高機能コマンドは実際
のアプリケーションが明確化しない限り、その設計が極
めて困難であり、実際にはアプリケーション確定時点で
ICカード自体のソフトウェアであるシステムプログラ
ムを製造者側で変更することが必要であったため、納期
面、あるいはコスト面で市場の要求にそぐわないことが
問題点として挙げられていた。
のアプリケーションが明確化しない限り、その設計が極
めて困難であり、実際にはアプリケーション確定時点で
ICカード自体のソフトウェアであるシステムプログラ
ムを製造者側で変更することが必要であったため、納期
面、あるいはコスト面で市場の要求にそぐわないことが
問題点として挙げられていた。
【0027】このような問題点を解決するため、「ユー
ザプログラムをプログラム可能な不揮発性メモリ上に格
納し、カードは同プログラムの起動コマンド(使用デー
タを含む)を受信することにより、同プログラム内で記
述された一連の処理を実行し、処理ステータス(場合に
よりデータを含む)よりなる結果をレスポンスとして返
す」方式が検討されていた。
ザプログラムをプログラム可能な不揮発性メモリ上に格
納し、カードは同プログラムの起動コマンド(使用デー
タを含む)を受信することにより、同プログラム内で記
述された一連の処理を実行し、処理ステータス(場合に
よりデータを含む)よりなる結果をレスポンスとして返
す」方式が検討されていた。
【0028】
【発明が解決しようとする課題】前記方式は、先に記し
た問題点を「各ユーザ毎に、それぞれのアプリケーショ
ンを最も効率良く行うプログラムを作成、登録する」こ
とによって解決するものであり、その具体的な方式とし
て次の2方式が検討されている。
た問題点を「各ユーザ毎に、それぞれのアプリケーショ
ンを最も効率良く行うプログラムを作成、登録する」こ
とによって解決するものであり、その具体的な方式とし
て次の2方式が検討されている。
【0029】方式1は、特公昭63−25393号「デ
ータを記憶し処理するための携帯可能なデータ担体」に
見られる、ユーザプログラムを機械語形式で不揮発性メ
モリ内に格納する方式である。方式2は、本出願人の特
願昭59−176329号「ICカード」に見られる、
ユーザプログラムを中間言語形式で不揮発性メモリ内に
格納し、カード内のMPUで逐次これを翻訳、実行する
方式である。
ータを記憶し処理するための携帯可能なデータ担体」に
見られる、ユーザプログラムを機械語形式で不揮発性メ
モリ内に格納する方式である。方式2は、本出願人の特
願昭59−176329号「ICカード」に見られる、
ユーザプログラムを中間言語形式で不揮発性メモリ内に
格納し、カード内のMPUで逐次これを翻訳、実行する
方式である。
【0030】しかし、それらの方式にはそれぞれ以下の
欠点があったため、未だ実用には至っていない。方式1
は、ユーザプログラムが機械語形式で記述されるため、
処理速度およびプログラム自体の容量の面で優れている
が、その反面ユーザプログラムがオブジェクト形式であ
るため、その内部に「カード内データを不正に偽造・改
竄するルーチン」が組み込まれる危険性があった。ここ
では、先のアプリケーションにおける不正ルーチン例を
説明することで、その危険性を説明することとする。な
お、ここでは説明の都合上、シーケンス1のリザーブセ
クション4を機械語形式のユーザプログラムの格納領域
としている。
欠点があったため、未だ実用には至っていない。方式1
は、ユーザプログラムが機械語形式で記述されるため、
処理速度およびプログラム自体の容量の面で優れている
が、その反面ユーザプログラムがオブジェクト形式であ
るため、その内部に「カード内データを不正に偽造・改
竄するルーチン」が組み込まれる危険性があった。ここ
では、先のアプリケーションにおける不正ルーチン例を
説明することで、その危険性を説明することとする。な
お、ここでは説明の都合上、シーケンス1のリザーブセ
クション4を機械語形式のユーザプログラムの格納領域
としている。
【0031】以下「アプリケーションIDの一部を不正
に変更する」ウィルスプログラム例である。
に変更する」ウィルスプログラム例である。
【0032】
【表4】
【0033】ただし、S100は16ビットのレジスタ
R0に$FFFFをセットし、S110は、16ビット
のレジスタR5にRAMアドレス$FEC0をセット
し、S120は、R0の内容をR5の示すRAM内の作
業領域のアドレスへ複写し、S130は、16ビットの
レジスタR6にEEPROMアドレス$6000をセッ
トし、S140は、8ビットのレジスタR4Lに書込み
データ長2をセットし、S150は、R5で示したメモ
リに格納されているR4LバイトのデータをEEPRO
MのR6番地に書込む(データ$FFFFが、$600
0番地から書込まれる)という意味である。
R0に$FFFFをセットし、S110は、16ビット
のレジスタR5にRAMアドレス$FEC0をセット
し、S120は、R0の内容をR5の示すRAM内の作
業領域のアドレスへ複写し、S130は、16ビットの
レジスタR6にEEPROMアドレス$6000をセッ
トし、S140は、8ビットのレジスタR4Lに書込み
データ長2をセットし、S150は、R5で示したメモ
リに格納されているR4LバイトのデータをEEPRO
MのR6番地に書込む(データ$FFFFが、$600
0番地から書込まれる)という意味である。
【0034】不正者の手によって、本プログラムがカー
ド内に格納された場合、同プログラムの実行コマンド
(以降EXECUTEと略す)が発行される度に、以上
のウィルスプログラムが実行され、不正者の目的は達成
される。なお、実際のウィルスプログラムでは、レスポ
ンス等を正当なプログラムで実行されたものと同一にす
る処理があるが、ここでは省略した。
ド内に格納された場合、同プログラムの実行コマンド
(以降EXECUTEと略す)が発行される度に、以上
のウィルスプログラムが実行され、不正者の目的は達成
される。なお、実際のウィルスプログラムでは、レスポ
ンス等を正当なプログラムで実行されたものと同一にす
る処理があるが、ここでは省略した。
【0035】このようなセキュリティ上の問題を解決す
べく考案されたのが、前記方式2である。同方式では、
ユーザプログラムは中間言語形式で格納されており、ラ
ンタイムでこれを翻訳、実行することが可能であるた
め、不正処理を含むユーザプログラムを検出した場合、
その処理を中断あるいは中止することが理論上可能であ
るという利点を備えている。しかし、同方式を実現し得
る能力を有するMPUが現段階ではリリースされていな
いため、その実現が困難であるという問題点があった。
べく考案されたのが、前記方式2である。同方式では、
ユーザプログラムは中間言語形式で格納されており、ラ
ンタイムでこれを翻訳、実行することが可能であるた
め、不正処理を含むユーザプログラムを検出した場合、
その処理を中断あるいは中止することが理論上可能であ
るという利点を備えている。しかし、同方式を実現し得
る能力を有するMPUが現段階ではリリースされていな
いため、その実現が困難であるという問題点があった。
【0036】本発明は、前記方式1に関するセキュリテ
ィ脅威の要因である「ウィルスプログラム」を、翻訳時
点で検出し除去する手段、および不正装置により開発さ
れたウィルスプログラムを検出するための情報を生成す
る手段とを提供することによって、先の問題点を解決す
るものである。
ィ脅威の要因である「ウィルスプログラム」を、翻訳時
点で検出し除去する手段、および不正装置により開発さ
れたウィルスプログラムを検出するための情報を生成す
る手段とを提供することによって、先の問題点を解決す
るものである。
【0037】
【課題を解決するための手段】請求項1では、少なくと
も一部プログラム可能な不揮発性メモリと、同不揮発性
メモリ内に格納されたプログラム命令を実行する処理装
置とを備えたICカード用プログラム処理装置であっ
て、同装置は、少なくとも、機械語以外の言語のプログ
ラムを機械語のプログラムに翻訳する第1の手段、およ
び前記ICカード内の秘密情報の位置特定情報を記憶す
る第2の手段を含み、前記第1の手段は、前記第2の手
段と共同して上記翻訳する作業と共に、前記秘密情報に
対する参照・変更命令を翻訳内容に発見した場合、その
翻訳を中断あるいは中止するようにしたプログラム処理
装置である。
も一部プログラム可能な不揮発性メモリと、同不揮発性
メモリ内に格納されたプログラム命令を実行する処理装
置とを備えたICカード用プログラム処理装置であっ
て、同装置は、少なくとも、機械語以外の言語のプログ
ラムを機械語のプログラムに翻訳する第1の手段、およ
び前記ICカード内の秘密情報の位置特定情報を記憶す
る第2の手段を含み、前記第1の手段は、前記第2の手
段と共同して上記翻訳する作業と共に、前記秘密情報に
対する参照・変更命令を翻訳内容に発見した場合、その
翻訳を中断あるいは中止するようにしたプログラム処理
装置である。
【0038】ここで一部プログラム可能な不揮発性メモ
リとは、バックアップ電源のあるROMでもEPROM
でもよい。
リとは、バックアップ電源のあるROMでもEPROM
でもよい。
【0039】請求項2では、前記第2の手段が、ICカ
ードから構成されていることを特徴とする第1項記載の
プログラム処理装置である。この場合、ICカード内の
秘密情報の位置特定情報がICカード内にあるため、セ
キュリティが向上する意味がある。但し、ICカード内
のメモリーは容量が制限されているため、外部に持たせ
る場合もある。
ードから構成されていることを特徴とする第1項記載の
プログラム処理装置である。この場合、ICカード内の
秘密情報の位置特定情報がICカード内にあるため、セ
キュリティが向上する意味がある。但し、ICカード内
のメモリーは容量が制限されているため、外部に持たせ
る場合もある。
【0040】請求項3では、少なくとも一部プログラム
可能な不揮発性メモリと、同メモリ内に格納されたプロ
グラム命令を実行する処理装置とを備えたICカード用
プログラム処理装置であって、同装置は、少なくとも、
機械語以外の言語を機械語に翻訳する第1の手段、前記
ICカード内の秘密情報の位置特定情報を記憶する第2
の手段、および出力される翻訳前のプログラムの一部も
しくは全部に対して、少なくとも1つの秘密パラメータ
を考慮に入れた演算処理を行い、その演算結果を翻訳内
容に付した形式の機械語に変更する第3の手段とを含
み、前記第1の手段は、前記第2、第3の手段と共同し
て翻訳、変更作業を行い、前記演算結果により、プログ
ラム内に前記秘密情報に対する参照・変更命令を発見し
たかどうか判定し、その翻訳および変更作業を中断ある
いは中止するようにしたプログラム処理装置である。
可能な不揮発性メモリと、同メモリ内に格納されたプロ
グラム命令を実行する処理装置とを備えたICカード用
プログラム処理装置であって、同装置は、少なくとも、
機械語以外の言語を機械語に翻訳する第1の手段、前記
ICカード内の秘密情報の位置特定情報を記憶する第2
の手段、および出力される翻訳前のプログラムの一部も
しくは全部に対して、少なくとも1つの秘密パラメータ
を考慮に入れた演算処理を行い、その演算結果を翻訳内
容に付した形式の機械語に変更する第3の手段とを含
み、前記第1の手段は、前記第2、第3の手段と共同し
て翻訳、変更作業を行い、前記演算結果により、プログ
ラム内に前記秘密情報に対する参照・変更命令を発見し
たかどうか判定し、その翻訳および変更作業を中断ある
いは中止するようにしたプログラム処理装置である。
【0041】機械語以外の言語とは、アセンブラ等の中
間言語に限らず、C等の高級言語も含む。少なくとも1
つの秘密パラメータを考慮に入れた演算処理とは、秘密
情報に対する参照・変更命令に限らず、そのアドレス等
の間接情報を含んでもよい。
間言語に限らず、C等の高級言語も含む。少なくとも1
つの秘密パラメータを考慮に入れた演算処理とは、秘密
情報に対する参照・変更命令に限らず、そのアドレス等
の間接情報を含んでもよい。
【0042】請求項4では、前記第2の手段が、ICカ
ードから構成されていることを特徴とする第3項記載の
プログラム処理装置である。
ードから構成されていることを特徴とする第3項記載の
プログラム処理装置である。
【0043】請求項5では、前記第3の手段が、ICカ
ードから構成されていることを特徴とする第3項もしく
は第4項記載のプログラム処理装置である。
ードから構成されていることを特徴とする第3項もしく
は第4項記載のプログラム処理装置である。
【0044】
【作用】以上の様に翻訳時点でアプリケーションがウイ
ルスプログラムであるか否かを自動的に検知し、排除す
ることが可能になったため、機械語でそのまま安全にア
プリケーションを処理することが可能となる。
ルスプログラムであるか否かを自動的に検知し、排除す
ることが可能になったため、機械語でそのまま安全にア
プリケーションを処理することが可能となる。
【0045】
【実施例】既に述べてあるプリペイドアプリケーション
を例として、以下に図を参照しつつその構成要素、処理
の説明を行う。
を例として、以下に図を参照しつつその構成要素、処理
の説明を行う。
【0046】図1は、プログラム処理装置の一種である
プログラム開発装置の一例であり、半導体メモリ等から
構成される記憶装置1000と、同装置に連結されたC
PU2000から構成される。なお、記憶装置1000
内部は、プログラム格納領域1100と、データ記憶領
域1200とに分割されており、CPUは記憶媒体中に
格納されたプログラムにしたがって処理を行う。
プログラム開発装置の一例であり、半導体メモリ等から
構成される記憶装置1000と、同装置に連結されたC
PU2000から構成される。なお、記憶装置1000
内部は、プログラム格納領域1100と、データ記憶領
域1200とに分割されており、CPUは記憶媒体中に
格納されたプログラムにしたがって処理を行う。
【0047】プログラム格納領域1100の内部には、
機械語ではないアセンブラ等のソースプログラムを機械
語に翻訳する翻訳プログラム1110、および前記機械
語プログラムをダウンロード形式に変換する変更プログ
ラム1120とが格納されている。また、データ記憶領
域1200は、ソースプログラム格納領域1210、オ
ブジェクトプログラム格納領域1220、ダウンロード
・プログラム格納領域1230、および秘密情報格納領
域1240とから構成され、秘密情報格納領域1240
内には、カード内の秘密情報位置1241、および秘密
コード1242が格納されている。
機械語ではないアセンブラ等のソースプログラムを機械
語に翻訳する翻訳プログラム1110、および前記機械
語プログラムをダウンロード形式に変換する変更プログ
ラム1120とが格納されている。また、データ記憶領
域1200は、ソースプログラム格納領域1210、オ
ブジェクトプログラム格納領域1220、ダウンロード
・プログラム格納領域1230、および秘密情報格納領
域1240とから構成され、秘密情報格納領域1240
内には、カード内の秘密情報位置1241、および秘密
コード1242が格納されている。
【0048】図2は、上記プログラムおよびデータの機
能的な関係を示すものである。翻訳プログラム1110
は、秘密情報位置1241を参照しつつ、ソースプログ
ラム格納領域1210内に格納されたソースプログラム
の翻訳を行い、結果をオブジェクトプログラム格納領域
1220に出力する。
能的な関係を示すものである。翻訳プログラム1110
は、秘密情報位置1241を参照しつつ、ソースプログ
ラム格納領域1210内に格納されたソースプログラム
の翻訳を行い、結果をオブジェクトプログラム格納領域
1220に出力する。
【0049】変更プログラム1120は、前記オブジェ
クトプログラムに対して、秘密コード1242を考慮に
入れた演算処理を行い、その結果(CER)を前記オブ
ジェクトプログラムに付した形式でダウンロードプログ
ラム格納領域1230に出力する。
クトプログラムに対して、秘密コード1242を考慮に
入れた演算処理を行い、その結果(CER)を前記オブ
ジェクトプログラムに付した形式でダウンロードプログ
ラム格納領域1230に出力する。
【0050】図3は、本実施例におけるソース、オブジ
ェクトおよびダウンロードプログラムの格納形式例であ
る。ソースプログラムは、ファイル形式でソースプログ
ラム格納領域1210に格納される。なお、CR(キャ
リッジリターン)等のSp(セパレータ)論理的に区切
られた各命令は、レコード(S(n))として格納さ
れ、その番号(n=0,1,2...)によって参照さ
れる。また、最終レコードにはエンド検出のためのコー
ドEOF(エンドオブファイル)が付される。
ェクトおよびダウンロードプログラムの格納形式例であ
る。ソースプログラムは、ファイル形式でソースプログ
ラム格納領域1210に格納される。なお、CR(キャ
リッジリターン)等のSp(セパレータ)論理的に区切
られた各命令は、レコード(S(n))として格納さ
れ、その番号(n=0,1,2...)によって参照さ
れる。また、最終レコードにはエンド検出のためのコー
ドEOF(エンドオブファイル)が付される。
【0051】オブジェクトプログラムは、ファイル形式
でオブジェクトプログラム格納領域1220に格納され
る。Spで論理的に区切られたレコード(T(n))
は、その番号(n=0,1,2...)によって参照さ
れる。なお、同ファイルの先頭にはレコード数iが、ま
た末尾には翻訳処理の結果を示すSTSが、それぞれ付
される。
でオブジェクトプログラム格納領域1220に格納され
る。Spで論理的に区切られたレコード(T(n))
は、その番号(n=0,1,2...)によって参照さ
れる。なお、同ファイルの先頭にはレコード数iが、ま
た末尾には翻訳処理の結果を示すSTSが、それぞれ付
される。
【0052】ダウンロードプログラムは、オブジェクト
プログラムと類似した形式でダウンロードプログラム格
納領域1230に格納される。ただし、その末尾にはS
TSではなく、正当性コードCERが付される。
プログラムと類似した形式でダウンロードプログラム格
納領域1230に格納される。ただし、その末尾にはS
TSではなく、正当性コードCERが付される。
【0053】次に図4を参照しつつ、翻訳プログラムの
動作について説明する。なお、ここでは説明を簡略化す
るため、「秘密情報位置をイミディエート値として取り
扱い、不揮発性メモリに対して不正な書込みを行う」ウ
ィルスプログラムを検出するための処理についてのみ解
説する。また、ここでは1パス型の翻訳プログラムを想
定している。
動作について説明する。なお、ここでは説明を簡略化す
るため、「秘密情報位置をイミディエート値として取り
扱い、不揮発性メモリに対して不正な書込みを行う」ウ
ィルスプログラムを検出するための処理についてのみ解
説する。また、ここでは1パス型の翻訳プログラムを想
定している。
【0054】
【表5】
【0055】上記処理終了後、CPU2000はSTS
を読み出し、STS=$00であった場合には変更プロ
グラムを起動、そうでなければ処理を中断あるいは中止
することによってウィルス・プログラムの混入を防止す
る。
を読み出し、STS=$00であった場合には変更プロ
グラムを起動、そうでなければ処理を中断あるいは中止
することによってウィルス・プログラムの混入を防止す
る。
【0056】次に不正者が、本装置以外のプログラム開
発装置によってウィルスプログラムを作成、カードに注
入することを防御する方式に関して説明する。
発装置によってウィルスプログラムを作成、カードに注
入することを防御する方式に関して説明する。
【0057】図5は、そのような不正をカード側で検知
可能とする正当性確認コード(CER)の生成例を示し
たものである。
可能とする正当性確認コード(CER)の生成例を示し
たものである。
【0058】
【表6】
【0059】以上の処理によって生成されたダウンロー
ドプログラムをICカードに転送、カードではCERを
チェックし、正常であった場合に限りT(n)を格納す
ることにより、本発明は構成される。
ドプログラムをICカードに転送、カードではCERを
チェックし、正常であった場合に限りT(n)を格納す
ることにより、本発明は構成される。
【0060】本装置を利用することにより、機械語で記
述された(表7)のようなEXECUTEによって起動
されるユーザプログラムを使用することが可能となるた
め、先に記した方式1が実現可能となる。
述された(表7)のようなEXECUTEによって起動
されるユーザプログラムを使用することが可能となるた
め、先に記した方式1が実現可能となる。
【0061】
【表7】
【0062】このユーザプログラムの概要は、S100
〜200は、カード内に格納されたアプリケーションI
DとデータD1とを比較し、同一であった場合にはS2
00へ、またそうでない場合にはR4Lに$FE(照合
エラーとした)をセットした後S330へ、それぞれ分
岐する処理で、S210〜280は、D2とD3を比較
し、D2≧D3であった場合にはD2−D3をR3にセ
ットした後S280へ、またそうでない場合にはR4L
に$FF(残高不足とした)をセットした後S330
へ、それぞれ分岐する処理で、S290〜340は、R
3の内容を$6100に書込み、またその結果を$FE
C2、$FEC3に登録。その後、R4Hに3を、R4
Lに$00をセットした後S340へ分岐する処理で、
S350は、R4Hに1をセットする処理で、S360
は、R4Hの内容(出力カレングス)を$FEC0に、
R4Lの内容(処理ステータス)を$FEC1に、R3
の内容(更新された残高)を$FEC2および$FEC
3に、それぞれ格納する処理となっている。
〜200は、カード内に格納されたアプリケーションI
DとデータD1とを比較し、同一であった場合にはS2
00へ、またそうでない場合にはR4Lに$FE(照合
エラーとした)をセットした後S330へ、それぞれ分
岐する処理で、S210〜280は、D2とD3を比較
し、D2≧D3であった場合にはD2−D3をR3にセ
ットした後S280へ、またそうでない場合にはR4L
に$FF(残高不足とした)をセットした後S330
へ、それぞれ分岐する処理で、S290〜340は、R
3の内容を$6100に書込み、またその結果を$FE
C2、$FEC3に登録。その後、R4Hに3を、R4
Lに$00をセットした後S340へ分岐する処理で、
S350は、R4Hに1をセットする処理で、S360
は、R4Hの内容(出力カレングス)を$FEC0に、
R4Lの内容(処理ステータス)を$FEC1に、R3
の内容(更新された残高)を$FEC2および$FEC
3に、それぞれ格納する処理となっている。
【0063】このような環境下では、先のプリペイドア
プリケーションを(表8)のシーケンス3のように簡単
に処理することが可能となる。
プリケーションを(表8)のシーケンス3のように簡単
に処理することが可能となる。
【0064】
【表8】
【0065】それは、カード内のアドレス$6000か
ら格納されている20バイトのデータと、本コマンドに
よって搬送される20バイトのデータD1とを比較し、
同一であった場合には、カード内のアドレス$6100
から格納されている2バイトのデータD2と、本コマン
ドによって搬送される2バイトのデータD3を比較し、
D2≧D3である場合に限り、2バイトのデータ〔D2
−D3〕をカード内のアドレス$6100より格納す
る。なお、処理結果(T1)と〔D2−D3〕をレスポ
ンスとして出力する。
ら格納されている20バイトのデータと、本コマンドに
よって搬送される20バイトのデータD1とを比較し、
同一であった場合には、カード内のアドレス$6100
から格納されている2バイトのデータD2と、本コマン
ドによって搬送される2バイトのデータD3を比較し、
D2≧D3である場合に限り、2バイトのデータ〔D2
−D3〕をカード内のアドレス$6100より格納す
る。なお、処理結果(T1)と〔D2−D3〕をレスポ
ンスとして出力する。
【0066】また、受信データD1はアドレス$FEC
0〜に、データD3は$FED4〜に、それぞれ格納さ
れる。送信データは、$FEC0内に出力レングスが、
$FEC1〜に実際の送信データが、それぞれ格納され
るというものである。
0〜に、データD3は$FED4〜に、それぞれ格納さ
れる。送信データは、$FEC0内に出力レングスが、
$FEC1〜に実際の送信データが、それぞれ格納され
るというものである。
【0067】シーケンス3では、その通信時間Tcom を
Tcom 2=T1+88(F/(fS・D))まで低減す
ることが可能となる。また、ように送信情報量自体も低
減しているため、その効果を大きい。
Tcom 2=T1+88(F/(fS・D))まで低減す
ることが可能となる。また、ように送信情報量自体も低
減しているため、その効果を大きい。
【0068】以上の結果、先のウイルスプログラム例を
処理した場合の不正プログラム翻訳例を記す。
処理した場合の不正プログラム翻訳例を記す。
【0069】
【表9】
【0070】以上明らかなように、先に記した不正プロ
グラムはS(5)翻訳時点にて、ASがD(0)に、ま
たAEがD(1)に一致するため、不正プログラムとし
て判断される。
グラムはS(5)翻訳時点にて、ASがD(0)に、ま
たAEがD(1)に一致するため、不正プログラムとし
て判断される。
【0071】また、通信時間Tcom は送信情報量自体も
低減しているため、その効果を大きい。
低減しているため、その効果を大きい。
【0072】なお、正当性確認コードの生成関数として
は対称鍵形式の公開型暗号化関数であるDES、FEA
Lあるいは、対称鍵形式の公開型暗号化関数であるRS
A等のセキュリティ強度の高い暗号関数を使用すること
が望ましい。
は対称鍵形式の公開型暗号化関数であるDES、FEA
Lあるいは、対称鍵形式の公開型暗号化関数であるRS
A等のセキュリティ強度の高い暗号関数を使用すること
が望ましい。
【0073】
【発明の効果】本例では、秘密情報および変更処理が開
発装置側にある例を記したが、それらを物理的に安全で
あるICカード内に機械語形式で格納することにより、
更にシステムとしてのセキュリティを高めることが可能
であると同時に、オブジェクト形式であるため、処理速
度が高くなった。
発装置側にある例を記したが、それらを物理的に安全で
あるICカード内に機械語形式で格納することにより、
更にシステムとしてのセキュリティを高めることが可能
であると同時に、オブジェクト形式であるため、処理速
度が高くなった。
【0074】
【図1】本発明の一実施例の開発装置の構成例である。
【図2】本発明の一実施例の開発装置のシステムフロー
である。
である。
【図3】本発明の一実施例の使用ファイルのフォーマッ
トである。
トである。
【図4】本発明の一実施例の翻訳プログラムのフローで
ある。
ある。
【図5】本発明の一実施例の変更プログラムのフローで
ある。
ある。
1000 記憶装置 1100 プログラム格納領域 1110 翻訳プログラム 1120 変更プログラム 1200 データ記憶領域 1210 ソースプログラム格納領域 1220 オブジェクトプログラム格納領域 1230 ダウンロードプログラム格納領域 1240 秘密情報格納領域 1241 秘密情報位置 1242 秘密コード 2000 CPU
Claims (5)
- 【請求項1】少なくとも一部プログラム可能な不揮発性
メモリと、同不揮発性メモリ内に格納されたプログラム
命令を実行する処理装置とを備えたICカード用プログ
ラム処理装置であって、 同装置は、少なくとも、機械語以外の言語のプログラム
を機械語のプログラムに翻訳する第1の手段、および前
記ICカード内の秘密情報の位置特定情報を記憶する第
2の手段を含み、前記第1の手段は、前記第2の手段と
共同して上記翻訳する作業と共に、前記秘密情報に対す
る参照・変更命令を翻訳内容に発見した場合、その翻訳
を中断あるいは中止するようにしたICカード用プログ
ラム処理装置。 - 【請求項2】前記第2の手段が、ICカードから構成さ
れていることを特徴とする第1項記載のICカード用プ
ログラム処理装置。 - 【請求項3】少なくとも一部プログラム可能な不揮発性
メモリと、同メモリ内に格納されたプログラム命令を実
行する処理装置とを備えたICカード用プログラム処理
装置であって、 同装置は、少なくとも、機械語以外の言語を機械語に翻
訳する第1の手段、前記ICカード内の秘密情報の位置
特定情報を記憶する第2の手段、および出力される翻訳
前のプログラムの一部もしくは全部に対して、少なくと
も1つの秘密パラメータを考慮に入れた演算処理を行
い、その演算結果を翻訳内容に付した形式の機械語に変
更する第3の手段とを含み、前記第1の手段は、前記第
2、第3の手段と共同して翻訳、変更作業を行い、前記
演算結果により、プログラム内に前記秘密情報に対する
参照・変更命令を発見したかどうか判定し、その翻訳お
よび変更作業を中断あるいは中止するようにしたICカ
ード用プログラム処理装置。 - 【請求項4】前記第2の手段が、ICカードから構成さ
れていることを特徴とする第3項記載のICカード用プ
ログラム処理装置。 - 【請求項5】前記第3の手段が、ICカードから構成さ
れていることを特徴とする第3項もしくは第4項記載の
ICカード用プログラム処理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP08565392A JP3173522B2 (ja) | 1992-04-07 | 1992-04-07 | Icカード用プログラム処理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP08565392A JP3173522B2 (ja) | 1992-04-07 | 1992-04-07 | Icカード用プログラム処理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH05290224A true JPH05290224A (ja) | 1993-11-05 |
| JP3173522B2 JP3173522B2 (ja) | 2001-06-04 |
Family
ID=13864791
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP08565392A Expired - Fee Related JP3173522B2 (ja) | 1992-04-07 | 1992-04-07 | Icカード用プログラム処理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3173522B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0831435A2 (en) * | 1996-09-03 | 1998-03-25 | Hitachi, Ltd. | Program writable IC card and method thereof |
| WO2002008896A1 (fr) * | 2000-07-26 | 2002-01-31 | Fujitsu Limited | Procede pour telecharger sur un support d'enregistrement de type carte, dispositif terminal et support d'enregistrement de type carte presentant une fonction de traitement |
| JP2007094885A (ja) * | 2005-09-29 | 2007-04-12 | Keyence Corp | 無線タグリーダ/ライタ及び無線タグリード/ライト方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH021090A (ja) * | 1988-02-03 | 1990-01-05 | Hitachi Maxell Ltd | Icカード及びその動作プログラム書込み方法 |
| JPH03206536A (ja) * | 1990-01-09 | 1991-09-09 | Nec Software Ltd | データ保護方式 |
-
1992
- 1992-04-07 JP JP08565392A patent/JP3173522B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH021090A (ja) * | 1988-02-03 | 1990-01-05 | Hitachi Maxell Ltd | Icカード及びその動作プログラム書込み方法 |
| JPH03206536A (ja) * | 1990-01-09 | 1991-09-09 | Nec Software Ltd | データ保護方式 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0831435A2 (en) * | 1996-09-03 | 1998-03-25 | Hitachi, Ltd. | Program writable IC card and method thereof |
| EP0831435A3 (en) * | 1996-09-03 | 2000-06-21 | Hitachi, Ltd. | Program writable IC card and method thereof |
| US6732272B1 (en) | 1996-09-03 | 2004-05-04 | Hitachi, Ltd. | Program writable integrated circuit card and method therefore |
| US7278029B2 (en) | 1996-09-03 | 2007-10-02 | Hitachi, Ltd. | Program writable IC card and method thereof |
| WO2002008896A1 (fr) * | 2000-07-26 | 2002-01-31 | Fujitsu Limited | Procede pour telecharger sur un support d'enregistrement de type carte, dispositif terminal et support d'enregistrement de type carte presentant une fonction de traitement |
| JP2007094885A (ja) * | 2005-09-29 | 2007-04-12 | Keyence Corp | 無線タグリーダ/ライタ及び無線タグリード/ライト方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3173522B2 (ja) | 2001-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU771623B2 (en) | Techniques for permitting access across a context barrier on a small footprint device using an entry point object | |
| US5856659A (en) | Method of securely modifying data on a smart card | |
| EP1190316B1 (en) | Techniques for permitting access across a context barrier in a small footprint device using global data structures | |
| RU2182726C2 (ru) | Восстановление операции в системе переноса денежных средств | |
| JP3880384B2 (ja) | Icカード | |
| EP0985202B1 (en) | Multi-application ic card with delegation feature | |
| EP0798673A1 (en) | Method of securely loading commands in a smart card | |
| JP2003067700A (ja) | データ構造を記憶するメモリ及び方法 | |
| JP2006518499A (ja) | 装置にロードするためのプログラムデータの順序付け | |
| AU772045B2 (en) | Techniques for implementing security on a small footprint device using a context barrier | |
| KR100716699B1 (ko) | 런타임 환경 특권을 사용해서 소형 풋프린트 장치의콘텍스트 배리어를 넘어선 액세스를 허용하기 위한 기술 | |
| WO2000043877A1 (en) | Techniques for permitting access across a context barrier in a small footprint device using shared object interfaces | |
| JP3615707B2 (ja) | マルチアプリケーションの携帯用物品におけるアプリケーション間の内部データ交換プロトコルと、対応するマルチアプリケーションの携帯用物品 | |
| JP3173522B2 (ja) | Icカード用プログラム処理装置 | |
| EP0825739A1 (en) | Method of loading commands in the security module of a terminal | |
| JPH11282991A (ja) | Icカード | |
| US6435405B1 (en) | Method and system for identifying and handling critical chip card commands | |
| JPS61151793A (ja) | Icカ−ド機密保持方式 | |
| Markantonakis et al. | Implementing a Secure Log File Download Manager for the Java Card | |
| Jang | Secure Object Sharing on Java Card | |
| JPH04195371A (ja) | Atmのダウンロード方式 | |
| JP2000182087A (ja) | データ集計機 | |
| JPH03139717A (ja) | Icカードコマンド識別方式 | |
| JP2002207974A (ja) | カードデータ処理装置 | |
| MXPA98007968A (en) | Method of safe loading of commands on an intelligent card |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080330 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090330 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100330 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100330 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110330 Year of fee payment: 10 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120330 Year of fee payment: 11 |
|
| LAPS | Cancellation because of no payment of annual fees |