JPH0822517A - ハイブリッドカードの改ざん防止方式 - Google Patents
ハイブリッドカードの改ざん防止方式Info
- Publication number
- JPH0822517A JPH0822517A JP6176004A JP17600494A JPH0822517A JP H0822517 A JPH0822517 A JP H0822517A JP 6176004 A JP6176004 A JP 6176004A JP 17600494 A JP17600494 A JP 17600494A JP H0822517 A JPH0822517 A JP H0822517A
- Authority
- JP
- Japan
- Prior art keywords
- authenticator
- data
- mac
- recording medium
- card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【目的】 IC部と磁気又は光記録部とを有するハイブ
リッドカードにおいて、磁気又は光記録部に記録された
情報の改ざんやデッドコピーを有効に防止する。 【構成】 磁気記録部5及び光記録部7内の記録データ
に対して所定の一方向性関数を用いて計算した認証子
(MAC)を、IC部3内のEEPROMに格納してお
く。磁気記録部5及び光記録部7に新たなデータを書込
む度に、MACを計算し直しEEPROM内のMACを
更新する。このMACの更新は、所定の認証手続きをク
リアした場合に限って実行され、不法な書き換え装置等
を用いて不法に記録部5、7のデータを改ざんした場合
には、認証がクリアされないため、MACは更新されな
いようになっている。このカード1を取引処理システム
で利用しようとする時は、記録部5、7からデータを読
み出してMACを計算し、この計算したMACとEEP
ROM内のMACとを照合して、両者が一致した場合に
のみ、カードの利用が許可される。
リッドカードにおいて、磁気又は光記録部に記録された
情報の改ざんやデッドコピーを有効に防止する。 【構成】 磁気記録部5及び光記録部7内の記録データ
に対して所定の一方向性関数を用いて計算した認証子
(MAC)を、IC部3内のEEPROMに格納してお
く。磁気記録部5及び光記録部7に新たなデータを書込
む度に、MACを計算し直しEEPROM内のMACを
更新する。このMACの更新は、所定の認証手続きをク
リアした場合に限って実行され、不法な書き換え装置等
を用いて不法に記録部5、7のデータを改ざんした場合
には、認証がクリアされないため、MACは更新されな
いようになっている。このカード1を取引処理システム
で利用しようとする時は、記録部5、7からデータを読
み出してMACを計算し、この計算したMACとEEP
ROM内のMACとを照合して、両者が一致した場合に
のみ、カードの利用が許可される。
Description
【0001】
【産業上の利用分野】本発明は、集積回路(IC)とI
Cから独立した記録媒体(例えば、磁気的記録媒体、光
学的記録媒体等)とを有するハイブリッドカードにおい
て、書込が自由である独立記録媒体に記録されたデータ
の改ざんやデッドコピーを防止するための技術に関す
る。
Cから独立した記録媒体(例えば、磁気的記録媒体、光
学的記録媒体等)とを有するハイブリッドカードにおい
て、書込が自由である独立記録媒体に記録されたデータ
の改ざんやデッドコピーを防止するための技術に関す
る。
【0002】
【従来の技術】近年、IC部と独立の磁気的又は光学的
記録媒体を表面に配置してなるハイブリッドカードに、
金融取引や商品購買等の取引履歴を記録し、このハイブ
リッドカードを利用して取引に伴う種々の情報処理を簡
便且つ安全に行なえる取引処理システムが提案されてい
る。
記録媒体を表面に配置してなるハイブリッドカードに、
金融取引や商品購買等の取引履歴を記録し、このハイブ
リッドカードを利用して取引に伴う種々の情報処理を簡
便且つ安全に行なえる取引処理システムが提案されてい
る。
【0003】この種のシステムでは、取引履歴はハイブ
リッドカード内の独立記録媒体に記録されるが、独立記
録媒体はその記録原理上、情報書込及び読み出しが容易
であるため、そこに記録された取引履歴の改ざんや他の
カードへのデッドコピーを防止することが、カード犯罪
等を防止し取引の安全を確保するために必要である。
リッドカード内の独立記録媒体に記録されるが、独立記
録媒体はその記録原理上、情報書込及び読み出しが容易
であるため、そこに記録された取引履歴の改ざんや他の
カードへのデッドコピーを防止することが、カード犯罪
等を防止し取引の安全を確保するために必要である。
【0004】従来、ハイブリッドカードの独立記録媒体
に対する情報保護対策として知られている方法は、パリ
ティ等のエラー検出コードを記録情報に付加する方法で
ある。
に対する情報保護対策として知られている方法は、パリ
ティ等のエラー検出コードを記録情報に付加する方法で
ある。
【0005】
【発明が解決しようとする課題】しかし、エラー検出コ
ードは本来、事故的に発生する情報の部分的変形の検出
を目的とするものであるため、人為的に行われる情報の
改ざんやデッドコピーの防止には役立たない。
ードは本来、事故的に発生する情報の部分的変形の検出
を目的とするものであるため、人為的に行われる情報の
改ざんやデッドコピーの防止には役立たない。
【0006】特に、磁気的な記録媒体の場合、情報の書
換が可能であるから、記録情報をエラー検出コードと共
に自由に改ざんすることができ、エラー検出コードは全
く役に立たない。一方、光学的な記録媒体の場合は、レ
ーザビーム等で表面に微細な穴(ピット)を開けること
で情報を記録するため、記録情報の書換はできないが、
ピットを追加的に書込むことは可能である。そのため、
記録情報によっては、ピットを部分的に追加すること
で、情報の改ざんと共にエラー検出コードも適切に改ざ
んできる場合があり、やはり、改ざんを完全に防止する
ことはできない。また、デッドコピーにあっては、磁気
的な記録媒体も光学的な記録媒体も読み出しが自由であ
るため、これを防止することは全くできない。
換が可能であるから、記録情報をエラー検出コードと共
に自由に改ざんすることができ、エラー検出コードは全
く役に立たない。一方、光学的な記録媒体の場合は、レ
ーザビーム等で表面に微細な穴(ピット)を開けること
で情報を記録するため、記録情報の書換はできないが、
ピットを追加的に書込むことは可能である。そのため、
記録情報によっては、ピットを部分的に追加すること
で、情報の改ざんと共にエラー検出コードも適切に改ざ
んできる場合があり、やはり、改ざんを完全に防止する
ことはできない。また、デッドコピーにあっては、磁気
的な記録媒体も光学的な記録媒体も読み出しが自由であ
るため、これを防止することは全くできない。
【0007】従って、本発明の目的は、ハイブリッドカ
ードの独立記録媒体に記録された情報の改ざんやデッド
コピーを有効に防止できる技術を提供することにある。
ードの独立記録媒体に記録された情報の改ざんやデッド
コピーを有効に防止できる技術を提供することにある。
【0008】
【課題を解決するための手段】本発明に従うハイブリッ
ドカードの改ざん防止方式は、カードの独立記録媒体に
記録されているデータに関する認証子を記憶するため
の、カードのIC部内に設けられた不揮発性記憶手段
と、独立記録媒体に新たなデータを書込むとき、この新
たなデータに基づいて不揮発性記憶手段内の認証子を更
新する認証子更新手段と、独立記録媒体に新たなデータ
を書込んだ主体に対して所定の認証を行ない、認証に成
功した場合にのみ、認証子更新手段に対し認証子の更新
を許可する書込み主体認証手段と、独立記録媒体に記録
されているデータから認証子を計算し、この計算した認
証子と記憶された認証子とを照合して一致した場合にの
み、ハイブリッドカードの実際的利用を許可する利用許
可手段とを備えることを特徴とする。
ドカードの改ざん防止方式は、カードの独立記録媒体に
記録されているデータに関する認証子を記憶するため
の、カードのIC部内に設けられた不揮発性記憶手段
と、独立記録媒体に新たなデータを書込むとき、この新
たなデータに基づいて不揮発性記憶手段内の認証子を更
新する認証子更新手段と、独立記録媒体に新たなデータ
を書込んだ主体に対して所定の認証を行ない、認証に成
功した場合にのみ、認証子更新手段に対し認証子の更新
を許可する書込み主体認証手段と、独立記録媒体に記録
されているデータから認証子を計算し、この計算した認
証子と記憶された認証子とを照合して一致した場合にの
み、ハイブリッドカードの実際的利用を許可する利用許
可手段とを備えることを特徴とする。
【0009】また、上記改ざん防止方式に用いるための
本発明に従うハイブリッドカードは、独立記録媒体に記
録されているデータに関する認証子を記憶するための不
揮発性記憶手段と、外部装置からの指令に応答して、不
揮発性記憶手段内の認証子を書き換える認証子書き換え
手段と、上記外部装置に対して所定の認証を行ない、認
証に成功した場合にのみ、認証子書き換え手段に対し認
証子の書き換えを許可する書込み主体認証手段とを備え
ることを特徴とする。
本発明に従うハイブリッドカードは、独立記録媒体に記
録されているデータに関する認証子を記憶するための不
揮発性記憶手段と、外部装置からの指令に応答して、不
揮発性記憶手段内の認証子を書き換える認証子書き換え
手段と、上記外部装置に対して所定の認証を行ない、認
証に成功した場合にのみ、認証子書き換え手段に対し認
証子の書き換えを許可する書込み主体認証手段とを備え
ることを特徴とする。
【0010】また、上記方式に用いるための本発明に従
う取引処理装置は、独立記録媒体に記録されているデー
タを読み出し、この読み出したデータをIC部に送るこ
とにより、IC部をして、読み出したデータに関する認
証子を計算させるデータ読出し手段と、IC部に計算さ
せた認証子とIC部に記憶されている認証子とを照合
し、照合が一致した場合にのみ、当該ハイブリッドカー
ドの実際的利用を許可する利用許可手段とを備えること
を特徴とする。
う取引処理装置は、独立記録媒体に記録されているデー
タを読み出し、この読み出したデータをIC部に送るこ
とにより、IC部をして、読み出したデータに関する認
証子を計算させるデータ読出し手段と、IC部に計算さ
せた認証子とIC部に記憶されている認証子とを照合
し、照合が一致した場合にのみ、当該ハイブリッドカー
ドの実際的利用を許可する利用許可手段とを備えること
を特徴とする。
【0011】
【作用】本発明の方式によれば、ハイブリッドカードの
IC部内には、独立記録媒体内の記録データに関する認
証子が記憶されている。そして、このハイブリッドカー
ドの独立記録媒体に新たなデータを書込むときには、書
込んだデータに基づいて上記認証子が計算し直されて更
新される。但し、この認証子の更新は、データを書込ん
だ主体に対する所定の認証が成功した場合にのみ行なわ
れる。そのため、不法なデータ書き換え装置やデータコ
ピー装置を用いて記録データの改ざんや盗用を行なった
場合には、その不法な装置に対しては通常は認証が成立
しないため、認証子の更新が行なわれず、認証子は改ざ
ん前の記録データに対応した値のままで記憶されてい
る。そして、この改ざんしたカードを利用しようとした
場合、改ざんされた記録データから認証子が計算され、
この計算された認証子と記憶されている認証子とが照合
されるが、両者は一致しないので、このカードの利用が
拒否される。つまり、正当な主体が正当な記録データを
カードに書込んだ場合にのみ、カードが利用でき、不当
な改ざんやデッドコピーを行なったカードは利用できな
くなる。
IC部内には、独立記録媒体内の記録データに関する認
証子が記憶されている。そして、このハイブリッドカー
ドの独立記録媒体に新たなデータを書込むときには、書
込んだデータに基づいて上記認証子が計算し直されて更
新される。但し、この認証子の更新は、データを書込ん
だ主体に対する所定の認証が成功した場合にのみ行なわ
れる。そのため、不法なデータ書き換え装置やデータコ
ピー装置を用いて記録データの改ざんや盗用を行なった
場合には、その不法な装置に対しては通常は認証が成立
しないため、認証子の更新が行なわれず、認証子は改ざ
ん前の記録データに対応した値のままで記憶されてい
る。そして、この改ざんしたカードを利用しようとした
場合、改ざんされた記録データから認証子が計算され、
この計算された認証子と記憶されている認証子とが照合
されるが、両者は一致しないので、このカードの利用が
拒否される。つまり、正当な主体が正当な記録データを
カードに書込んだ場合にのみ、カードが利用でき、不当
な改ざんやデッドコピーを行なったカードは利用できな
くなる。
【0012】
【実施例】以下、本発明の一実施例を図面により詳細に
説明する。
説明する。
【0013】図1は、本発明の方式が適用されるIC・
磁気・光ハイブリッドカードの一実施例の外部構成を示
す。
磁気・光ハイブリッドカードの一実施例の外部構成を示
す。
【0014】図1に示すように、このハイブリッドカー
ド1の表面には、IC部3と、ストライプ形の磁気記録
媒体(以下、磁気記録部という)5と、方形の光学的記
録媒体(以下、光記録部という)7とが配置されてい
る。磁気記録部5は、そこに磁区を形成することにより
情報を記録するものであり、書換えが自由である。光記
録部7はピットを形成することにより情報を記録するも
ので、書換えはできないが追記が自由である。
ド1の表面には、IC部3と、ストライプ形の磁気記録
媒体(以下、磁気記録部という)5と、方形の光学的記
録媒体(以下、光記録部という)7とが配置されてい
る。磁気記録部5は、そこに磁区を形成することにより
情報を記録するものであり、書換えが自由である。光記
録部7はピットを形成することにより情報を記録するも
ので、書換えはできないが追記が自由である。
【0015】図2はこのハイブリッドカード1のIC部
3の内部構成を示す。
3の内部構成を示す。
【0016】図示のように、IC部3は、シリアルイン
タフェース11、CPU13、マスクROM15、ワー
クRAM17、EEPROM19、データバス21及び
アドレスバス23などから構成される。
タフェース11、CPU13、マスクROM15、ワー
クRAM17、EEPROM19、データバス21及び
アドレスバス23などから構成される。
【0017】シリアルインタフェース11は、当該カー
ドが利用される取引処理システムの端末装置(例えば、
後述する金銭自動出納装置)との通信のためのインタフ
ェースである。
ドが利用される取引処理システムの端末装置(例えば、
後述する金銭自動出納装置)との通信のためのインタフ
ェースである。
【0018】マスクROM15にはCPU13の動作プ
ログラムが格納される。この動作プログラムには、EE
PROM19にシステムの端末装置がアクセスする際の
アクセス制御を行なうためのプログラム、メモリ管理の
プログラム、認証手順のプログラム、後述する外部デー
タ認証子の作成手順のプログラム、データ暗号化手順の
プログラム、認証子作成やデータ暗号化に用いる一方向
性関数(例えば、FEAL関数)のプログラム等が含ま
れている。また、ワークRAM17はCPU13のワー
クエリアである。
ログラムが格納される。この動作プログラムには、EE
PROM19にシステムの端末装置がアクセスする際の
アクセス制御を行なうためのプログラム、メモリ管理の
プログラム、認証手順のプログラム、後述する外部デー
タ認証子の作成手順のプログラム、データ暗号化手順の
プログラム、認証子作成やデータ暗号化に用いる一方向
性関数(例えば、FEAL関数)のプログラム等が含ま
れている。また、ワークRAM17はCPU13のワー
クエリアである。
【0019】EEPROM19は、カード毎、カード所
持者毎、カードのアプリケーション毎又はカードの利用
履歴毎に設定された或程度固定的な情報が格納されてい
る。EEPROM19に格納される情報としては、例え
ば次のようなものがある。
持者毎、カードのアプリケーション毎又はカードの利用
履歴毎に設定された或程度固定的な情報が格納されてい
る。EEPROM19に格納される情報としては、例え
ば次のようなものがある。
【0020】(1) メモリ管理用アドレステーブル 磁気記録部5や光記録部7に記録されているデータのイ
ンデックスとアドレスポインタとを示すテーブル。
ンデックスとアドレスポインタとを示すテーブル。
【0021】(2) 相互認証キー 当該カードと取引処理システムとの間の相互認証で用い
るキー。
るキー。
【0022】(3) PIN(Personl Identification Co
de) 当該カードの利用者を認証するためのコード。カード発
行者に固有の発行者PINと、当該カード所持者に固有
の所持者PIN(暗証コード)と、当該カードの各アプ
リケーション毎のサービス提供者に固有のサービス提供
者PINとがある。
de) 当該カードの利用者を認証するためのコード。カード発
行者に固有の発行者PINと、当該カード所持者に固有
の所持者PIN(暗証コード)と、当該カードの各アプ
リケーション毎のサービス提供者に固有のサービス提供
者PINとがある。
【0023】(4) ノード認証コード 使用される端末装置を認証するためのコード。
【0024】(5) 暗号化キー 磁気記録部5や光記録部7に記録されるデータの暗号化
に用いるキー。
に用いるキー。
【0025】(6) MAC生成用キー 後述するメッセージ認証子(MAC)の作成に用いるキ
ー。
ー。
【0026】(7) MAC 磁気記録部5や光記録部7に記録されたデータ(以下、
外部データという)の改ざんをチェックするための認証
子。マスクROM15に組込まれた1方向性関数(例え
ば、FEAL関数)と上記MAC生成用キーとを用い
て、例えばCBCモード(Cipher Block Chaining mod
e)で外部データを暗号化することにより生成され、外
部データに固有の値である。本実施例の1つの特徴は、
このMACがEEPROM19内に保存され、後述する
ような種々の認証をクリアしない限りMACを書換える
ことができない点、及び、このMACを用いて外部デー
タの不法な改ざん等を検出する点にある。
外部データという)の改ざんをチェックするための認証
子。マスクROM15に組込まれた1方向性関数(例え
ば、FEAL関数)と上記MAC生成用キーとを用い
て、例えばCBCモード(Cipher Block Chaining mod
e)で外部データを暗号化することにより生成され、外
部データに固有の値である。本実施例の1つの特徴は、
このMACがEEPROM19内に保存され、後述する
ような種々の認証をクリアしない限りMACを書換える
ことができない点、及び、このMACを用いて外部デー
タの不法な改ざん等を検出する点にある。
【0027】このEEPROM19内には、共通情報フ
ァイル25とアプリケーションファイル27とが設けら
れている。共通情報ファイル25には当該カードの全ア
プリケーションに共通な情報が格納され、また、アプリ
ケーションファイル27にはアプリケーション毎の個別
の情報が格納される。共通情報ファイル25に何を格納
し、アプリケーションファイル27に何を格納するかは
カードの設計で自由に決めることができるが、本実施例
では、図3に示すように、共通情報ファイル25には、
上述したメモリ管理用アドレステーブル、発行者PI
N、所持者PIN等を格納し、アプリケーションファイ
ル27には、上述したサービス提供者PIN、ノード認
証コード、相互認証キー、暗号化キー、MAC生成用キ
ー、MAC、及びアプリケーション別のデータ等を格納
することとする。
ァイル25とアプリケーションファイル27とが設けら
れている。共通情報ファイル25には当該カードの全ア
プリケーションに共通な情報が格納され、また、アプリ
ケーションファイル27にはアプリケーション毎の個別
の情報が格納される。共通情報ファイル25に何を格納
し、アプリケーションファイル27に何を格納するかは
カードの設計で自由に決めることができるが、本実施例
では、図3に示すように、共通情報ファイル25には、
上述したメモリ管理用アドレステーブル、発行者PI
N、所持者PIN等を格納し、アプリケーションファイ
ル27には、上述したサービス提供者PIN、ノード認
証コード、相互認証キー、暗号化キー、MAC生成用キ
ー、MAC、及びアプリケーション別のデータ等を格納
することとする。
【0028】図3は、このハイブリッドカード1のセキ
ュリティー機能を示したものである。図示のように、こ
のカード1はハードウェア面でのセキュリティー機能
と、ソフトウェア面でのセキュリティー機能とを有して
いる。
ュリティー機能を示したものである。図示のように、こ
のカード1はハードウェア面でのセキュリティー機能
と、ソフトウェア面でのセキュリティー機能とを有して
いる。
【0029】ハード面でのセキュリティー機能は、IC
部3が1チップで構成され、EEPROM19やマスク
ROM15からの情報の読み出しが、CPU13が正常
に動作していない限り、不可能であることである。つま
り、CPU13を介さずにメモリ19、15から直接、
チップ内の情報を外部に読み出そうとしても、読み出す
ことはできない。
部3が1チップで構成され、EEPROM19やマスク
ROM15からの情報の読み出しが、CPU13が正常
に動作していない限り、不可能であることである。つま
り、CPU13を介さずにメモリ19、15から直接、
チップ内の情報を外部に読み出そうとしても、読み出す
ことはできない。
【0030】ソフト面でのセキュリティ機能は、EEP
ROM19やマスクROM15からの特定情報の読み出
し規制と、以下に述べる複数段の認証及びMACによる
外部データのチェック機能である。
ROM19やマスクROM15からの特定情報の読み出
し規制と、以下に述べる複数段の認証及びMACによる
外部データのチェック機能である。
【0031】読み出し規制としては、マスクROM15
内のプログラム、及びEEPROM19内の各種認証コ
ード(PIN、ノード認証コード)や各種キー(相互認
証キー、暗号化キー、MAC生成用キー)が、IC部3
外に読み出すことができない点である。つまり、これら
の情報はIC部3の内部だけで利用され、外部に知られ
ることはない。この機能と上記ハード面でのセキュリテ
ィ機能とが相俟って、以下に述べる認証やMAC処理の
有効性を背後から保証している。
内のプログラム、及びEEPROM19内の各種認証コ
ード(PIN、ノード認証コード)や各種キー(相互認
証キー、暗号化キー、MAC生成用キー)が、IC部3
外に読み出すことができない点である。つまり、これら
の情報はIC部3の内部だけで利用され、外部に知られ
ることはない。この機能と上記ハード面でのセキュリテ
ィ機能とが相俟って、以下に述べる認証やMAC処理の
有効性を背後から保証している。
【0032】認証としては、第1段階の相互認証を始め
として、共通情報ファイル25内の発行者PIN及び所
持者PINを用いた一連の認証、続いて、アプリケーシ
ョンファイル27内のサービス提供者PIN及びノード
認証コードを用いた一連の認証が設けられている。これ
ら複数段の認証を全てクリアしない限り、外部データに
対するアクセス規制の錠が開かれない(つまり、後述す
るように、外部データ自体にはアクセスできても、これ
をチェックするためのMACにアクセスすることができ
ない)。
として、共通情報ファイル25内の発行者PIN及び所
持者PINを用いた一連の認証、続いて、アプリケーシ
ョンファイル27内のサービス提供者PIN及びノード
認証コードを用いた一連の認証が設けられている。これ
ら複数段の認証を全てクリアしない限り、外部データに
対するアクセス規制の錠が開かれない(つまり、後述す
るように、外部データ自体にはアクセスできても、これ
をチェックするためのMACにアクセスすることができ
ない)。
【0033】MACとしては、磁気記録部5用のMAC
と光記録部7用のMACの2種類が少なくとも存在す
る。上記認証が全部クリアされると、初めて、MACを
利用した処理が実行できるようになる。MACを利用し
た処理は次の2つを含む。
と光記録部7用のMACの2種類が少なくとも存在す
る。上記認証が全部クリアされると、初めて、MACを
利用した処理が実行できるようになる。MACを利用し
た処理は次の2つを含む。
【0034】(1) データ書込時の処理 取引システムの端末装置から磁気記録部5又は光記録部
7にデータを書込む時、CPU13が、EEPROM1
9内の記録部5又は7用の現在のMACと、端末装置か
ら通知された書込みデータとに基づいて、書込後の外部
データ内容に適合した新たなMACを生成し、EEPR
OM19内のMACを更新する。
7にデータを書込む時、CPU13が、EEPROM1
9内の記録部5又は7用の現在のMACと、端末装置か
ら通知された書込みデータとに基づいて、書込後の外部
データ内容に適合した新たなMACを生成し、EEPR
OM19内のMACを更新する。
【0035】(2) データ読み出し時の処理 取引システムの端末装置が磁気記録部5又は光記録部7
からデータを読み出した時、CPU1が、端末装置から
通知された読み出しデータに基づいてMACを生成し、
また、EEPROM19からMACを読み込み、端末装
置に返送する。端末装置は、この2つのMACを照合す
る。照合の結果、両MACが一致していれば、外部デー
タは全て正当である旨を、一致してなければ、外部デー
タに不法な改ざんが行われた旨を、取引処理システムが
認識し、改ざんを認識した場合は、その外部データを利
用して取引処理を行うことを拒否する。
からデータを読み出した時、CPU1が、端末装置から
通知された読み出しデータに基づいてMACを生成し、
また、EEPROM19からMACを読み込み、端末装
置に返送する。端末装置は、この2つのMACを照合す
る。照合の結果、両MACが一致していれば、外部デー
タは全て正当である旨を、一致してなければ、外部デー
タに不法な改ざんが行われた旨を、取引処理システムが
認識し、改ざんを認識した場合は、その外部データを利
用して取引処理を行うことを拒否する。
【0036】図3に示すように、以上の複数段の認証と
最終段のMAC処理とによって、カードの不正使用はい
ずれかの段階で阻止されることになる。
最終段のMAC処理とによって、カードの不正使用はい
ずれかの段階で阻止されることになる。
【0037】例えば、他人のカードを不正使用した場合
には、そのカードが当該取引処理システムに適合してな
ければ、相互認証の段階で拒否されるであろうし、シス
テムに適合していても、例えば他人の暗証番号を知らな
ければ、所持者PINによる認証で拒否されることにな
る。
には、そのカードが当該取引処理システムに適合してな
ければ、相互認証の段階で拒否されるであろうし、シス
テムに適合していても、例えば他人の暗証番号を知らな
ければ、所持者PINによる認証で拒否されることにな
る。
【0038】一方、自己のカードを用いて、外部データ
を改ざんしたり他人のカードのデータを盗用して用いた
場合には、最終段のMACによる改ざんチェックで拒否
されることになる。即ち、不法なデータ書込装置やコピ
ー装置を使って外部データの改ざんや他人カードからの
データコピーなどを行った場合、上述したように、デー
タ書込時のMAC更新が全ての認証をクリアしない限り
実行されないという機能により、認証のいずれかの段階
で開錠が拒否され、最終段のMACの更新処理に到達す
ることができないことになる。その結果、外部データは
改ざんされてもMACは改ざんされないことになるた
め、このカードを取引処理システムの端末装置に挿入し
ても、上述したデータ読み出し時の改ざんチェックによ
て取引処理実行が拒否されることになる。
を改ざんしたり他人のカードのデータを盗用して用いた
場合には、最終段のMACによる改ざんチェックで拒否
されることになる。即ち、不法なデータ書込装置やコピ
ー装置を使って外部データの改ざんや他人カードからの
データコピーなどを行った場合、上述したように、デー
タ書込時のMAC更新が全ての認証をクリアしない限り
実行されないという機能により、認証のいずれかの段階
で開錠が拒否され、最終段のMACの更新処理に到達す
ることができないことになる。その結果、外部データは
改ざんされてもMACは改ざんされないことになるた
め、このカードを取引処理システムの端末装置に挿入し
ても、上述したデータ読み出し時の改ざんチェックによ
て取引処理実行が拒否されることになる。
【0039】図4は、このハイブリッドカードを用いた
取引処理システムの一実施例の概略構成を示す。
取引処理システムの一実施例の概略構成を示す。
【0040】図4において、このシステムは銀行等の金
融機関に設置されたシステムで、取引処理を実際に行う
電算機センタ31と、これに専用回線33で接続された
端末装置としての金銭自動出納装置(ATM)35とを
有する。このシステムでは、ハイブリッドカード1は従
来の預金通帳に代る電子通帳として機能し、顧客がAT
M35にカード1を挿入してATMの操作パネルから必
要な情報を入力することにより、現金の預け入れや引出
しや振込等の金融取引を実行することができ、そして、
実行された金融取引の履歴がカード1に外部データとし
て記録されるようになっている。
融機関に設置されたシステムで、取引処理を実際に行う
電算機センタ31と、これに専用回線33で接続された
端末装置としての金銭自動出納装置(ATM)35とを
有する。このシステムでは、ハイブリッドカード1は従
来の預金通帳に代る電子通帳として機能し、顧客がAT
M35にカード1を挿入してATMの操作パネルから必
要な情報を入力することにより、現金の預け入れや引出
しや振込等の金融取引を実行することができ、そして、
実行された金融取引の履歴がカード1に外部データとし
て記録されるようになっている。
【0041】図5は、ATM35の構成を示したもの
で、ATMとしての動作に必要な情報処理を行う処理装
置41、処理装置41のためのワークメモリ43、カー
ド1(電子通帳)にアクセスする電子通帳リード/ライ
ト機構45、顧客にグラフィカルインタフェースを提供
する顧客用ディスプレイ47、このディスプレイ47の
画面上に設けられたタッチセンサのような顧客用データ
入力機構49などを備えている。他に、図示してない
が、現金入出機構や、電算機センタ31との通信インタ
フェース装置なども設けられている。
で、ATMとしての動作に必要な情報処理を行う処理装
置41、処理装置41のためのワークメモリ43、カー
ド1(電子通帳)にアクセスする電子通帳リード/ライ
ト機構45、顧客にグラフィカルインタフェースを提供
する顧客用ディスプレイ47、このディスプレイ47の
画面上に設けられたタッチセンサのような顧客用データ
入力機構49などを備えている。他に、図示してない
が、現金入出機構や、電算機センタ31との通信インタ
フェース装置なども設けられている。
【0042】図6は、このATM35にカード1が挿入
された時、ATM35とカードのIC部3とが行なう処
理の流れを示す。
された時、ATM35とカードのIC部3とが行なう処
理の流れを示す。
【0043】まず、カードが挿入されると、ATM35
とカードIC部3との間で相互認証の手続きが行なわれ
る(S1、S21)。相互認証が成立すると次に、図3
に示したような各種認証コードを用いて顧客の本人確認
や端末確認等を行なうための一連の認証が行なわれる
(S2、S22)。この一連の認証では、ATM35は
認証の対象となるデータ(顧客のPIN、自装置の認証
コード等)をIC部3に送り(S2)、IC部3は受信
した認証データとEEPROM19に保持されている認
証コードとを照合して、一致/不一致の認証結果をAT
M35に返信する(S22)。
とカードIC部3との間で相互認証の手続きが行なわれ
る(S1、S21)。相互認証が成立すると次に、図3
に示したような各種認証コードを用いて顧客の本人確認
や端末確認等を行なうための一連の認証が行なわれる
(S2、S22)。この一連の認証では、ATM35は
認証の対象となるデータ(顧客のPIN、自装置の認証
コード等)をIC部3に送り(S2)、IC部3は受信
した認証データとEEPROM19に保持されている認
証コードとを照合して、一致/不一致の認証結果をAT
M35に返信する(S22)。
【0044】以上の過程のいずれかの段階で認証が失敗
すると、ATM35は所定の認証失敗の処理(例えば、
その旨のメッセージの表示やカードの排出等)を行なう
(S3)。
すると、ATM35は所定の認証失敗の処理(例えば、
その旨のメッセージの表示やカードの排出等)を行なう
(S3)。
【0045】一方、上記の認証が全て成功すれば、IC
部3は外部データのアクセス規制を開錠する(S2
3)。つまり、MACに関する上述した処理を実行可能
にしたり、外部データの書込みの際の暗号化処理を実行
可能にしたりする。
部3は外部データのアクセス規制を開錠する(S2
3)。つまり、MACに関する上述した処理を実行可能
にしたり、外部データの書込みの際の暗号化処理を実行
可能にしたりする。
【0046】また、認証が全て成功した場合、ATM3
5は次に、カード1の磁気記録部5及び光記録部7内の
特定のアプリケーション(例えば、顧客が今利用しよう
としているアプリケーション)のデータを全て読み込み
(S4)、この読み込んだデータをIC部3に送る(S
5)。
5は次に、カード1の磁気記録部5及び光記録部7内の
特定のアプリケーション(例えば、顧客が今利用しよう
としているアプリケーション)のデータを全て読み込み
(S4)、この読み込んだデータをIC部3に送る(S
5)。
【0047】IC部3では、ATM35から受信した磁
気記録部5及び光記録部7の外部データを用いて、磁気
記録部用のMAC及び光記録部用のMACを生成する
(S24)。既に述べたように、MACの生成は、マス
クROM15内の一方向性関数(例えば、FEAL関
数)をCBCモードで用い、アプリケーションファイル
27内のMAC生成用キーを用いて行なう。そして、生
成したMACをATM35に返送する(S25)。
気記録部5及び光記録部7の外部データを用いて、磁気
記録部用のMAC及び光記録部用のMACを生成する
(S24)。既に述べたように、MACの生成は、マス
クROM15内の一方向性関数(例えば、FEAL関
数)をCBCモードで用い、アプリケーションファイル
27内のMAC生成用キーを用いて行なう。そして、生
成したMACをATM35に返送する(S25)。
【0048】次に、ATM35は、IC部3に対し、E
EPROM19内のMACの読出しを指令し(S6)、
これに応答してIC部3はEEPROM19からMAC
を読み出しATM35に返送する(S26)。
EPROM19内のMACの読出しを指令し(S6)、
これに応答してIC部3はEEPROM19からMAC
を読み出しATM35に返送する(S26)。
【0049】次に、ATM35は、上記生成したMAC
とEEPROM19から読み出したMACとを照合し
(S7)、両者が不一致であれば、外部データが不法に
改ざんされていると判断し、所定の照合失敗の処理(例
えば、その旨の表示、カードの排出等)を行なう(S
8)。
とEEPROM19から読み出したMACとを照合し
(S7)、両者が不一致であれば、外部データが不法に
改ざんされていると判断し、所定の照合失敗の処理(例
えば、その旨の表示、カードの排出等)を行なう(S
8)。
【0050】一方、MACの照合結果が一致していた場
合は、ATM35は次に、新たなデータをカードの磁気
記録部5又は光記録部7に書込む必要があるか否かチェ
ックする(S9)。即ち、顧客が預け入れ、引出し、振
込等の金融取引をこのATM35を用いて新たに行なえ
ば、その取引の取引履歴を新たにカードに記録する必要
がある。
合は、ATM35は次に、新たなデータをカードの磁気
記録部5又は光記録部7に書込む必要があるか否かチェ
ックする(S9)。即ち、顧客が預け入れ、引出し、振
込等の金融取引をこのATM35を用いて新たに行なえ
ば、その取引の取引履歴を新たにカードに記録する必要
がある。
【0051】このように新たなデータを記録する必要が
ある場合は、ATM35はまず、その新データを磁気記
録部5又は光記録部7に書込み(S10)、次に、この
新データと先に読み出した記録済の旧データとをIC部
3に送信する(S11)。
ある場合は、ATM35はまず、その新データを磁気記
録部5又は光記録部7に書込み(S10)、次に、この
新データと先に読み出した記録済の旧データとをIC部
3に送信する(S11)。
【0052】IC部3は、ATM15から受信した新旧
全てのデータに基づいて、磁気記録部5又は光記録部7
用の新たなMACを計算し、これをATM35に返送す
る(S27)。次に、ATM35が、この新しいMAC
とMAC更新指令とをIC部3に送り(S12)、これ
に応答してIC部3が、EEPROM19内の旧いMA
Cを新たなMACに更新し、更新完了の旨をATM35
に報告する(S28)。
全てのデータに基づいて、磁気記録部5又は光記録部7
用の新たなMACを計算し、これをATM35に返送す
る(S27)。次に、ATM35が、この新しいMAC
とMAC更新指令とをIC部3に送り(S12)、これ
に応答してIC部3が、EEPROM19内の旧いMA
Cを新たなMACに更新し、更新完了の旨をATM35
に報告する(S28)。
【0053】ATM35は、MAC更新完了の報告を受
けると、一連の取引処理を終了し、カードを排出する。
けると、一連の取引処理を終了し、カードを排出する。
【0054】以上、本発明の好適な実施例を説明した
が、本発明はその要旨を逸脱しない範囲で他の種々の態
様でも実施することができる。例えば、上記実施例で
は、MACを磁気記録部と光記録部とで別に、且つアプ
リケーション毎に別に計算しているが、外部データをよ
り細かく又はより大雑把に分類してその分類毎にMAC
を計算するようにしてもよい。例えば、最も単純なケー
スでは、外部データの全部に対して1つのMACを計算
してもよいし、また、外部データの一定のデータ量毎に
1つのMACを計算するようにしてもよい。しかし、上
記実施例のようにアプリケーション毎にMACを計算す
る方法は、アプリケーションによって使用可能端末が異
なるケースを考慮すると、実用性の高い方法であると言
える。
が、本発明はその要旨を逸脱しない範囲で他の種々の態
様でも実施することができる。例えば、上記実施例で
は、MACを磁気記録部と光記録部とで別に、且つアプ
リケーション毎に別に計算しているが、外部データをよ
り細かく又はより大雑把に分類してその分類毎にMAC
を計算するようにしてもよい。例えば、最も単純なケー
スでは、外部データの全部に対して1つのMACを計算
してもよいし、また、外部データの一定のデータ量毎に
1つのMACを計算するようにしてもよい。しかし、上
記実施例のようにアプリケーション毎にMACを計算す
る方法は、アプリケーションによって使用可能端末が異
なるケースを考慮すると、実用性の高い方法であると言
える。
【0055】また、ハイブリッドカードのIC部内で、
MACの計算だけでなく、MACの照合や更新するか否
かの判断等のMACに関する処理の全てが自動的に行な
えるように、IC部をプログラムすることも可能であ
る。そのようにすれば、MACをカード外へ出力する必
要が全くなくなるため、セキュリティが一層向上する。
MACの計算だけでなく、MACの照合や更新するか否
かの判断等のMACに関する処理の全てが自動的に行な
えるように、IC部をプログラムすることも可能であ
る。そのようにすれば、MACをカード外へ出力する必
要が全くなくなるため、セキュリティが一層向上する。
【0056】
【発明の効果】以上説明したように、本発明によれば、
ハイブリッドカードの独立記録媒体に記録された情報の
改ざんやデッドコピーを有効に防止することができる。
ハイブリッドカードの独立記録媒体に記録された情報の
改ざんやデッドコピーを有効に防止することができる。
【図1】本発明の方式が適用されるIC・磁気・光ハイ
ブリッドカードの一実施例の外部構成を示す平面図。
ブリッドカードの一実施例の外部構成を示す平面図。
【図2】ハイブリッドカード1のIC部3の内部構成を
示すブロック図。
示すブロック図。
【図3】ハイブリッドカード1のセキュリティー機能を
示した説明図。
示した説明図。
【図4】ハイブリッドカードを用いた取引処理システム
の一実施例の概略構成を示すブロック図。
の一実施例の概略構成を示すブロック図。
【図5】ATM35の構成を示したブロック図。
【図6】ATM35にカード1が挿入された時、ATM
35とカードのIC部3とが行なう処理の流れを示すフ
ローチャート。
35とカードのIC部3とが行なう処理の流れを示すフ
ローチャート。
1 ハイブリッドカード 3 IC部 5 磁気記録部 7 光記録部 13 CPU 15 マスクROM 19 EEPROM 25 共通情報ファイル 27 アプリケーションファイル
Claims (3)
- 【請求項1】 IC部と独立記録媒体とを有するハイブ
リッドカードの前記独立記録媒体に記録されたデータの
改ざんを防止する方式において、 前記独立記録媒体に記録されているデータに関する認証
子を記憶するための、前記IC部内の不揮発性記憶手段
と、 前記独立記録媒体に新たなデータを書込むとき、前記新
たなデータに基づいて前記不揮発性記憶手段内の前記認
証子を更新する認証子更新手段と、 前記独立記録媒体に新たなデータを書込んだ主体に対し
て所定の認証を行ない、認証に成功した場合にのみ、前
記認証子更新手段に対し前記認証子の更新を許可する書
込み主体認証手段と、 前記独立記録媒体に記録されているデータから認証子を
計算し、この計算した認証子と前記記憶された認証子と
を照合して一致した場合にのみ、前記ハイブリッドカー
ドの実際的利用を許可する利用許可手段と、を備えるこ
とを特徴とするハイブリッドカードの改ざん防止方式。 - 【請求項2】 IC部と独立記録媒体とを有するハイブ
リッドカードにおいて、前記IC部が、 前記独立記録媒体に記録されているデータに関する認証
子を記憶するための不揮発性記憶手段と、 外部装置からの指令に応答して、前記不揮発性記憶手段
内の前記認証子を書き換える認証子書き換え手段と、 前記外部装置に対する所定の認証を行ない、認証に成功
した場合にのみ、前記認証子書き換え手段に対し前記認
証子の書き換えを許可する認証手段と、を備えることを
特徴とするハイブリッドカード。 - 【請求項3】 IC部と独立記録媒体とを有し、前記独
立記録媒体に記録されているデータに関する認証子を計
算し記憶する機能を前記IC部内に有するハイブリッド
カード、を利用して取引処理を行なう装置において、 前記独立記録媒体に記録されているデータを読み出し、
この読み出したデータを前記IC部に送ることにより、
前記IC部をして前記読み出したデータに関する認証子
を計算させるデータ読出し手段と、 前記IC部より前記計算した認証子と前記IC部に記憶
されている認証子とを受けて、両者を照合する認証子照
合手段と、 前記照合が一致した場合にのみ、前記ハイブリッドカー
ドの実際的利用を許可する利用許可手段と、を備えるこ
とを特徴とするハイブリッドカードを利用した取引処理
装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP6176004A JPH0822517A (ja) | 1994-07-05 | 1994-07-05 | ハイブリッドカードの改ざん防止方式 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP6176004A JPH0822517A (ja) | 1994-07-05 | 1994-07-05 | ハイブリッドカードの改ざん防止方式 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH0822517A true JPH0822517A (ja) | 1996-01-23 |
Family
ID=16006037
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP6176004A Pending JPH0822517A (ja) | 1994-07-05 | 1994-07-05 | ハイブリッドカードの改ざん防止方式 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH0822517A (ja) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10134154A (ja) * | 1996-10-31 | 1998-05-22 | N T T Data Tsushin Kk | 複合カード及び複合カードのアクセスシステム |
| KR19990046047A (ko) * | 1999-03-17 | 1999-06-25 | 최규용 | 자기카드부정엑세스방지방법 |
| WO1999043503A1 (fr) | 1998-02-25 | 1999-09-02 | Seiko Epson Corporation | Dispositif de coupe et imprimante dotee dudit dispositif |
| JP2001075868A (ja) * | 1999-03-26 | 2001-03-23 | Sony Corp | 再生装置および再生方法 |
| JP2006186484A (ja) * | 2004-12-27 | 2006-07-13 | Akira Taguchi | 照合システム |
| JP2006227900A (ja) * | 2005-02-17 | 2006-08-31 | Toshiba Tec Corp | 非接触通信装置及び通信方法 |
| WO2010021269A1 (ja) * | 2008-08-22 | 2010-02-25 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 記憶装置、情報処理装置およびプログラム |
| US8651002B2 (en) | 2006-09-12 | 2014-02-18 | Nippon Primex Inc. | Sheet cutter |
-
1994
- 1994-07-05 JP JP6176004A patent/JPH0822517A/ja active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10134154A (ja) * | 1996-10-31 | 1998-05-22 | N T T Data Tsushin Kk | 複合カード及び複合カードのアクセスシステム |
| WO1999043503A1 (fr) | 1998-02-25 | 1999-09-02 | Seiko Epson Corporation | Dispositif de coupe et imprimante dotee dudit dispositif |
| KR19990046047A (ko) * | 1999-03-17 | 1999-06-25 | 최규용 | 자기카드부정엑세스방지방법 |
| JP2001075868A (ja) * | 1999-03-26 | 2001-03-23 | Sony Corp | 再生装置および再生方法 |
| JP2006186484A (ja) * | 2004-12-27 | 2006-07-13 | Akira Taguchi | 照合システム |
| JP4672362B2 (ja) * | 2004-12-27 | 2011-04-20 | 亮 田口 | 照合システム |
| JP2006227900A (ja) * | 2005-02-17 | 2006-08-31 | Toshiba Tec Corp | 非接触通信装置及び通信方法 |
| JP4700367B2 (ja) * | 2005-02-17 | 2011-06-15 | 東芝テック株式会社 | 非接触通信装置及び通信方法 |
| US8651002B2 (en) | 2006-09-12 | 2014-02-18 | Nippon Primex Inc. | Sheet cutter |
| WO2010021269A1 (ja) * | 2008-08-22 | 2010-02-25 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 記憶装置、情報処理装置およびプログラム |
| JP5466645B2 (ja) * | 2008-08-22 | 2014-04-09 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 記憶装置、情報処理装置およびプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5379344A (en) | Smart card validation device and method | |
| EP0973125B1 (en) | Method for managing security for card-type storage medium, and a card-type storage medium and a transaction apparatus therefor | |
| US6615194B1 (en) | System for secure execution of credit based point of sale purchases | |
| US4357529A (en) | Multilevel security apparatus and method | |
| JPS6265168A (ja) | Icカ−ドシステムにおける認証方式 | |
| JPH0670818B2 (ja) | 照合カード及びその認証方法 | |
| JPS5932827B2 (ja) | カ−ドコ−ドの多段階保護方法 | |
| KR20010025234A (ko) | 지문정보를 이용한 카드거래 인증방법 및 그 시스템 | |
| JPH03241463A (ja) | 電子メモリを備えるマネーカードによる支払いまたは情報転送システム | |
| JPH0682405B2 (ja) | テストプログラム起動方式 | |
| US8571996B2 (en) | Apparatus and method for secured commercial transactions | |
| US6662151B1 (en) | System for secured reading and processing of data on intelligent data carriers | |
| JPH0822517A (ja) | ハイブリッドカードの改ざん防止方式 | |
| JPH02165290A (ja) | Icカード及びその動作方法 | |
| JPH0620117A (ja) | Icカード | |
| JPWO2002075676A1 (ja) | 自動取引装置及びそれにおける取引方法 | |
| US20180121924A9 (en) | Apparatus and method for secured commercial transactions | |
| KR100468154B1 (ko) | 스마트카드 기반의 전자금융거래시스템 및 그 방법 | |
| KR100542595B1 (ko) | 신용카드와 현금카드의 보안시스템 | |
| JP3652409B2 (ja) | 携帯可能情報記録媒体 | |
| JPH0997315A (ja) | 取引情報処理方法、取引情報処理装置および情報記録媒体 | |
| JPH06231161A (ja) | Icカードによる金銭取引の不正改ざん防止システム | |
| JP4008186B2 (ja) | Icカード、icカードシステム、icカード所持者の本人認証方法 | |
| JP2007065727A (ja) | Icカード利用システム | |
| AU651584B2 (en) | Smart card validation device and method |