JPH09193577A - Icカード、情報処理端末、および情報通信システム - Google Patents
Icカード、情報処理端末、および情報通信システムInfo
- Publication number
- JPH09193577A JPH09193577A JP8004371A JP437196A JPH09193577A JP H09193577 A JPH09193577 A JP H09193577A JP 8004371 A JP8004371 A JP 8004371A JP 437196 A JP437196 A JP 437196A JP H09193577 A JPH09193577 A JP H09193577A
- Authority
- JP
- Japan
- Prior art keywords
- card
- information
- terminal
- fraud
- telegram
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Credit Cards Or The Like (AREA)
Abstract
(57)【要約】
【課題】 ICカードを通じて不正が行われた場合に、
不正を検知して、速やかに対策制御処理をとって被害を
抑える情報通信システムを提供する。 【解決手段】 通信回線21を通じてセンタ側のホスト
11と端末41が接続され、端末41でICカード51
を利用する情報通信システムにおいて、端末41に内蔵
された危機管理表113aに基づき、異常現象の出現率
や接続状況等に応じて処理を変更することで不正を防止
し、不正であると確定できない現象が起こった場合や、
センタとの接続が切れた場合についても対策をとり、不
正による被害を抑える。また、端末41およびICカー
ド51で検知した異常現象の発生状況を記録し、センタ
側のホスト11で収集することで、システム全体におけ
る異常現象の状況を把握する。また、その対策を危機管
理表433aに反映することで、新たに検知した不正に
対して速やかに対策制御処理を施す。
不正を検知して、速やかに対策制御処理をとって被害を
抑える情報通信システムを提供する。 【解決手段】 通信回線21を通じてセンタ側のホスト
11と端末41が接続され、端末41でICカード51
を利用する情報通信システムにおいて、端末41に内蔵
された危機管理表113aに基づき、異常現象の出現率
や接続状況等に応じて処理を変更することで不正を防止
し、不正であると確定できない現象が起こった場合や、
センタとの接続が切れた場合についても対策をとり、不
正による被害を抑える。また、端末41およびICカー
ド51で検知した異常現象の発生状況を記録し、センタ
側のホスト11で収集することで、システム全体におけ
る異常現象の状況を把握する。また、その対策を危機管
理表433aに反映することで、新たに検知した不正に
対して速やかに対策制御処理を施す。
Description
【0001】
【発明の属する技術分野】本発明は、ICカードを利用
した情報通信システムに係り、特にICカードを通じて
行われる不正操作への対策制御技術に関する。
した情報通信システムに係り、特にICカードを通じて
行われる不正操作への対策制御技術に関する。
【0002】
【従来の技術】従来より、ネットワークにより上位情報
処理端末(上位装置、以下、センタと称する)と下位情
報処理端末(下位装置、以下、単に端末と称する)とを
接続して情報の授受を行う情報通信システムが、種々の
産業界において開発され、利用されている。一般に、こ
の種の情報通信システムでは、センタから多数の端末の
動作を常時監視あるいは制御するオンライン方式と、セ
ンタと端末との間で、監視項目のデータ,監視結果,評
価データ等の監視情報、あるいは監視プログラムを定期
的に授受することで、基本的に端末側だけで動作の監視
あるいは制御するオフライン方式とが採用されている。
このような情報通信システムにおいては、運用上のセキ
ュリティの確保や、不正操作に対する管理体制の強化が
重要な課題となっている。この対応策として、従来より
ICカードの利用が有効であると考えられている。すな
わち、ICカードにユーザID情報や暗号鍵等の送受信
機能を持たせ、このICカードを端末に装着したときに
ユーザID情報等の認証を行い、正当であることが確認
できたときにのみシステムの利用を可能とする。
処理端末(上位装置、以下、センタと称する)と下位情
報処理端末(下位装置、以下、単に端末と称する)とを
接続して情報の授受を行う情報通信システムが、種々の
産業界において開発され、利用されている。一般に、こ
の種の情報通信システムでは、センタから多数の端末の
動作を常時監視あるいは制御するオンライン方式と、セ
ンタと端末との間で、監視項目のデータ,監視結果,評
価データ等の監視情報、あるいは監視プログラムを定期
的に授受することで、基本的に端末側だけで動作の監視
あるいは制御するオフライン方式とが採用されている。
このような情報通信システムにおいては、運用上のセキ
ュリティの確保や、不正操作に対する管理体制の強化が
重要な課題となっている。この対応策として、従来より
ICカードの利用が有効であると考えられている。すな
わち、ICカードにユーザID情報や暗号鍵等の送受信
機能を持たせ、このICカードを端末に装着したときに
ユーザID情報等の認証を行い、正当であることが確認
できたときにのみシステムの利用を可能とする。
【0003】
【発明が解決しようとする課題】上記のようにICカー
ドを利用する情報通信システムにおいては、暗号化/復
号化、認証手段などのセキュリティが施されているが、
暗号鍵や認証手順などが知られてしまうと、容易に不正
操作が行われてしまう。特に、オフラインの状態でIC
カードに対して種々の不正操作の試みがなされ、ICカ
ード自身に改ざんが施された場合、ICカードの認証を
行う端末、あるいはこの端末に接続されたセンタ側で
は、不正操作の状況やICカードのセキュリティがどこ
まで破られたかを知ることができない問題があった。
ドを利用する情報通信システムにおいては、暗号化/復
号化、認証手段などのセキュリティが施されているが、
暗号鍵や認証手順などが知られてしまうと、容易に不正
操作が行われてしまう。特に、オフラインの状態でIC
カードに対して種々の不正操作の試みがなされ、ICカ
ード自身に改ざんが施された場合、ICカードの認証を
行う端末、あるいはこの端末に接続されたセンタ側で
は、不正操作の状況やICカードのセキュリティがどこ
まで破られたかを知ることができない問題があった。
【0004】また、センタ側で端末の監視を常時オンラ
インで行うか、時間や処理回数等を基準に定期的に監視
情報を交換するようにして端末側でオフラインの状態で
監視するかは、システム構築時にしか選択することがで
きない。そのため、この種の情報通信システムでは、セ
ンタに設けられるホストコンピュータ(以下、ホスト)
と端末との間の通信を減らして効率的に端末の動作監視
を行ったり、ホストでのリアルタイムな動作監視を行っ
たりすることなどを、運用中に変更することができなか
った。
インで行うか、時間や処理回数等を基準に定期的に監視
情報を交換するようにして端末側でオフラインの状態で
監視するかは、システム構築時にしか選択することがで
きない。そのため、この種の情報通信システムでは、セ
ンタに設けられるホストコンピュータ(以下、ホスト)
と端末との間の通信を減らして効率的に端末の動作監視
を行ったり、ホストでのリアルタイムな動作監視を行っ
たりすることなどを、運用中に変更することができなか
った。
【0005】本発明の主たる課題は、ICカードを用い
た情報通信システムにおいて、オフラインで行われた不
正操作の状況やICカードのセキュリティが破られた過
程を検知することができ、不正操作を検知したときは速
やかに対策制御処理を行って、不正操作に起因する被害
を最小限に抑える技術を提供することにある。本発明の
他の課題は、ICカードを利用する端末とホストとを結
んで構成される情報通信システムにおいて、稼働状況に
応じて端末の運用形態をリアルタイムに変更できるよう
にすることにある。
た情報通信システムにおいて、オフラインで行われた不
正操作の状況やICカードのセキュリティが破られた過
程を検知することができ、不正操作を検知したときは速
やかに対策制御処理を行って、不正操作に起因する被害
を最小限に抑える技術を提供することにある。本発明の
他の課題は、ICカードを利用する端末とホストとを結
んで構成される情報通信システムにおいて、稼働状況に
応じて端末の運用形態をリアルタイムに変更できるよう
にすることにある。
【0006】
【課題を解決するための手段】上記の主たる課題を解決
するため、本発明は、まず、不正操作ないし不正操作の
可能性を検知し得る機能を備えたICカードを提供す
る。第1構成のICカードは、情報処理端末から送られ
る電文が正常か否かを判定する手段と、前記電文が異常
で且つ該異常が不正操作に基づくと判定した場合に、操
作者が判らないような見せかけの偽電文を前記判定の度
に生成して前記情報処理端末に返信する手段と、前記生
成した偽電文の返信情報を蓄積する手段と、を有するこ
とを特徴とする。
するため、本発明は、まず、不正操作ないし不正操作の
可能性を検知し得る機能を備えたICカードを提供す
る。第1構成のICカードは、情報処理端末から送られ
る電文が正常か否かを判定する手段と、前記電文が異常
で且つ該異常が不正操作に基づくと判定した場合に、操
作者が判らないような見せかけの偽電文を前記判定の度
に生成して前記情報処理端末に返信する手段と、前記生
成した偽電文の返信情報を蓄積する手段と、を有するこ
とを特徴とする。
【0007】また、第2構成のICカードは、情報処理
端末から送られる電文が正常か否かを判定する手段と、
前記電文が異常で且つ該異常が不明の場合に、その旨を
表す対応電文を生成して前記情報処理端末に返信する手
段と、前記生成した対応電文の返信情報を蓄積する手段
と、を有することを特徴とする。上記偽電文または対応
電文を返信する場合、受信した情報処理端末側では直ち
に必要な対策制御処理を行ってもよく、そのまま自端末
の運用を継続させておいて、必要な時点で対策制御処理
を行うようにしてもよい。
端末から送られる電文が正常か否かを判定する手段と、
前記電文が異常で且つ該異常が不明の場合に、その旨を
表す対応電文を生成して前記情報処理端末に返信する手
段と、前記生成した対応電文の返信情報を蓄積する手段
と、を有することを特徴とする。上記偽電文または対応
電文を返信する場合、受信した情報処理端末側では直ち
に必要な対策制御処理を行ってもよく、そのまま自端末
の運用を継続させておいて、必要な時点で対策制御処理
を行うようにしてもよい。
【0008】本発明は、また、前述の情報通信システム
の下位装置としての利用に適した情報処理端末を提供す
る。この情報処理端末は、装着されるICカードとの間
で電文の送受を行う手段と、前記ICカードから送られ
る電文が正常か否かを判定する手段と、前記電文が異常
で且つ前記ICカードに対する不正操作ないし不正操作
の可能性があると判定した場合に、前記ICカードに正
常時と異なる電文を生成して返信する手段と、前記生成
した電文の返信情報を蓄積する手段と、を有することを
特徴とする。
の下位装置としての利用に適した情報処理端末を提供す
る。この情報処理端末は、装着されるICカードとの間
で電文の送受を行う手段と、前記ICカードから送られ
る電文が正常か否かを判定する手段と、前記電文が異常
で且つ前記ICカードに対する不正操作ないし不正操作
の可能性があると判定した場合に、前記ICカードに正
常時と異なる電文を生成して返信する手段と、前記生成
した電文の返信情報を蓄積する手段と、を有することを
特徴とする。
【0009】他の形態の情報処理端末として、前記自端
末に蓄積した返信情報または上記本発明のICカードよ
り取得した返信情報から前記ICカードを通じて行われ
た不正操作ないし不正操作の可能性を検知する不正検知
手段と、この不正検知手段が不正操作ないし不正操作の
可能性を検知したときに予め検知内容毎に定めた対策制
御処理を実行する不正対策処理手段と、を備える構成も
可能である。このような構成において、不正対策処理手
段は、前記不正検知手段で検知した不正の状況に応じて
対策制御処理の内容を動的に更新することができるよう
に構成することが好ましい。
末に蓄積した返信情報または上記本発明のICカードよ
り取得した返信情報から前記ICカードを通じて行われ
た不正操作ないし不正操作の可能性を検知する不正検知
手段と、この不正検知手段が不正操作ないし不正操作の
可能性を検知したときに予め検知内容毎に定めた対策制
御処理を実行する不正対策処理手段と、を備える構成も
可能である。このような構成において、不正対策処理手
段は、前記不正検知手段で検知した不正の状況に応じて
対策制御処理の内容を動的に更新することができるよう
に構成することが好ましい。
【0010】本発明は、さらに、ICカードと情報処理
端末とを利用した、改良された情報通信システムを提供
する。この情報通信システムは、上位情報処理端末(上
位装置)と、オンラインまたはオフラインで上位装置に
接続される下位情報処理端末(下位装置)と、下位装置
との間で電文の送受を行うICカードとから成る。下位
装置には、前記ICカードのアクセスに起因する異常現
象の出現率と該ICカードのアクセス状況とを含む監視
情報を蓄積する手段を備える。また、上位装置には、前
記下位装置から前記監視情報を取得する手段と、前記取
得した監視情報に基づき前記ICカードまたは下位装置
に対する不正操作ないし不正操作の可能性を検知する不
正検知手段と、前記不正検出手段が不正操作ないし不正
操作の可能性を検知したときに予め不正内容毎に定めた
対策制御処理を実行する不正対策処理手段と、を備え
る。ここにいう監視情報とは、ICカードのアクセスに
起因して生じる、システムの安全性の程度を表す情報を
いう。必要に応じて上述の各返信情報を含ませることが
できる。このような情報通信システムにおいて、前記不
正検知手段は、前記ICカードのアクセス時における異
常現象の出現率と接続状況とを計測することで前記不正
を検知し、前記不正対策処理手段は、前記不正検知手段
で検知した不正の状況に応じて前記対策制御処理の内容
を動的に更新するように構成することが好ましい。
端末とを利用した、改良された情報通信システムを提供
する。この情報通信システムは、上位情報処理端末(上
位装置)と、オンラインまたはオフラインで上位装置に
接続される下位情報処理端末(下位装置)と、下位装置
との間で電文の送受を行うICカードとから成る。下位
装置には、前記ICカードのアクセスに起因する異常現
象の出現率と該ICカードのアクセス状況とを含む監視
情報を蓄積する手段を備える。また、上位装置には、前
記下位装置から前記監視情報を取得する手段と、前記取
得した監視情報に基づき前記ICカードまたは下位装置
に対する不正操作ないし不正操作の可能性を検知する不
正検知手段と、前記不正検出手段が不正操作ないし不正
操作の可能性を検知したときに予め不正内容毎に定めた
対策制御処理を実行する不正対策処理手段と、を備え
る。ここにいう監視情報とは、ICカードのアクセスに
起因して生じる、システムの安全性の程度を表す情報を
いう。必要に応じて上述の各返信情報を含ませることが
できる。このような情報通信システムにおいて、前記不
正検知手段は、前記ICカードのアクセス時における異
常現象の出現率と接続状況とを計測することで前記不正
を検知し、前記不正対策処理手段は、前記不正検知手段
で検知した不正の状況に応じて前記対策制御処理の内容
を動的に更新するように構成することが好ましい。
【0011】
【発明の実施の形態】以下、図面を参照して本発明の実
施の形態を詳細に説明する。本発明の一実施形態による
情報通信システムの全体構成例を図1に示す。図1を参
照すると、上位装置として機能するセンタは、ホストコ
ンピュータ(以下、単にホストと称する)11を備えて
いる。ホスト11には、通信回線21を通じて、複数の
サイト(ビル、店舗などの単位の総称、以下同じ)内の
サイト内制御装置31が接続されている。各サイト内制
御装置31には、LAN(ローカルエリアネットワー
ク)等を通じて、多数の下位装置である端末(図1では
端末Aを代表して示す)41が接続されている。端末4
1は、ICカード51によってアクセス(データその他
の情報の書込/読出、以下同じ)可能となっている。
施の形態を詳細に説明する。本発明の一実施形態による
情報通信システムの全体構成例を図1に示す。図1を参
照すると、上位装置として機能するセンタは、ホストコ
ンピュータ(以下、単にホストと称する)11を備えて
いる。ホスト11には、通信回線21を通じて、複数の
サイト(ビル、店舗などの単位の総称、以下同じ)内の
サイト内制御装置31が接続されている。各サイト内制
御装置31には、LAN(ローカルエリアネットワー
ク)等を通じて、多数の下位装置である端末(図1では
端末Aを代表して示す)41が接続されている。端末4
1は、ICカード51によってアクセス(データその他
の情報の書込/読出、以下同じ)可能となっている。
【0012】ホスト11は、サイト内制御装置31や各
端末41の動作、不正発生状況等を収集して管理者に知
らせ、管理者からの指示により必要な対策、管理限界値
等の変更等の処理を行う端末監視処理装置111と、ブ
ラックリストの作成/参照、詳細なチェック機能、ホス
トキー照合等を行うオンライン処理装置112と、端末
毎の動作,不正発生の内容や回数,それぞれの不正内容
への対策制御処理,管理限界値をまとめた危機管理表1
13aを格納する危機管理表格納部113と、サイト内
制御装置31や端末41との通信を行うための通信装置
114とを備えている。危機管理表113aには、後述
の端末41の危機管理表433aと対応した設定情報が
格納されている。
端末41の動作、不正発生状況等を収集して管理者に知
らせ、管理者からの指示により必要な対策、管理限界値
等の変更等の処理を行う端末監視処理装置111と、ブ
ラックリストの作成/参照、詳細なチェック機能、ホス
トキー照合等を行うオンライン処理装置112と、端末
毎の動作,不正発生の内容や回数,それぞれの不正内容
への対策制御処理,管理限界値をまとめた危機管理表1
13aを格納する危機管理表格納部113と、サイト内
制御装置31や端末41との通信を行うための通信装置
114とを備えている。危機管理表113aには、後述
の端末41の危機管理表433aと対応した設定情報が
格納されている。
【0013】サイト内制御装置31は、例えば電子現金
情報を扱う場合のカードマスタ情報(ID、利用残高、
その他の管理情報)を格納するカードマスタ情報格納部
311や、カードマスタ情報の読み出し、あるいは書き
込みを制御する手段(図示省略)が備えられている。
情報を扱う場合のカードマスタ情報(ID、利用残高、
その他の管理情報)を格納するカードマスタ情報格納部
311や、カードマスタ情報の読み出し、あるいは書き
込みを制御する手段(図示省略)が備えられている。
【0014】端末41は、サイト内制御装置31やホス
ト11と通信を行うための通信装置42と、データの正
当性確認、データ照合、取引傾向の集計、不正発生状況
の集計、動作時間の測定のほか、ICカード51を通じ
て行われる不正操作その他の異常処理状態を検出して必
要な対策制御処理を実行する主制御装置43と、操作者
が入力するデータを入力するとともに主制御装置43の
処理結果を出力する入出力装置44と、ICカード51
を離脱自在に装着するとともに、カード情報の読み書き
を行うカードリーダライタ45と、警報ブザー46とを
備えて構成される。
ト11と通信を行うための通信装置42と、データの正
当性確認、データ照合、取引傾向の集計、不正発生状況
の集計、動作時間の測定のほか、ICカード51を通じ
て行われる不正操作その他の異常処理状態を検出して必
要な対策制御処理を実行する主制御装置43と、操作者
が入力するデータを入力するとともに主制御装置43の
処理結果を出力する入出力装置44と、ICカード51
を離脱自在に装着するとともに、カード情報の読み書き
を行うカードリーダライタ45と、警報ブザー46とを
備えて構成される。
【0015】図2に、主制御装置43の詳細なブロック
構成例を示す。主制御装置43は、装置全体の制御を統
括する主制御部431と、危機管理表格納部433に格
納された危機管理表433aに基づいて必要な対策制御
処理を行う対策制御処理部432とを備えて、不正対策
処理手段を実現している。危機管理表433aは、対策
制御処理部432が認識可能なテーブル形式の構造を有
し、自端末についての不正発生の内容やその回数,各不
正内容への対策制御処理,管理限界値とその統計値の情
報が格納されている。
構成例を示す。主制御装置43は、装置全体の制御を統
括する主制御部431と、危機管理表格納部433に格
納された危機管理表433aに基づいて必要な対策制御
処理を行う対策制御処理部432とを備えて、不正対策
処理手段を実現している。危機管理表433aは、対策
制御処理部432が認識可能なテーブル形式の構造を有
し、自端末についての不正発生の内容やその回数,各不
正内容への対策制御処理,管理限界値とその統計値の情
報が格納されている。
【0016】主制御部431は、サイト内制御装置31
のカードマスタ情報格納部311との間で所要の情報を
交換し合い、あるいはICカード51からのメモリ情報
を読み取り、それにより得た情報を危機管理表433a
に書き込む。また、ホスト11からの要求に応じて危機
管理表433aを更新する。この更新は、オンライン
中、あるいはオフラインのいずれの場合も可能になって
いる。つまり、実行中の対策制御処理の部分の更新が動
的に可能になっている。対策制御処理の内容としては、
例えばICカード51とホスト11とを直接結ぶ完全オ
ンライン処理の要求、統計値の報告要求、カードを排出
しない、警告を鳴らす、データを受けない等の処理があ
る。対策制御処理部432は、統計値の報告要求の際に
は、各項目の統計値をホスト11の端末監視処理装置1
11に送る。また、オンライン処理要求の際には、カー
ドリーダライタ45とホスト11のオンライン処理装置
112とを接続し、ICカード51との情報の授受がホ
スト11により直接に制御されるようにする。
のカードマスタ情報格納部311との間で所要の情報を
交換し合い、あるいはICカード51からのメモリ情報
を読み取り、それにより得た情報を危機管理表433a
に書き込む。また、ホスト11からの要求に応じて危機
管理表433aを更新する。この更新は、オンライン
中、あるいはオフラインのいずれの場合も可能になって
いる。つまり、実行中の対策制御処理の部分の更新が動
的に可能になっている。対策制御処理の内容としては、
例えばICカード51とホスト11とを直接結ぶ完全オ
ンライン処理の要求、統計値の報告要求、カードを排出
しない、警告を鳴らす、データを受けない等の処理があ
る。対策制御処理部432は、統計値の報告要求の際に
は、各項目の統計値をホスト11の端末監視処理装置1
11に送る。また、オンライン処理要求の際には、カー
ドリーダライタ45とホスト11のオンライン処理装置
112とを接続し、ICカード51との情報の授受がホ
スト11により直接に制御されるようにする。
【0017】主制御部431と対策制御処理部432に
は、デバイス管理部434を介して通信制御部435,
カード制御部436,および警報制御部437が接続さ
れている。デバイス管理部434は、対策制御処理部4
32が必要な処理を実行する際に、デバイスのアドレス
割当等を行うものである。このアドレス割当等を受け
て、通信制御部435は通信装置42を制御し、カード
制御部436はカードリーダライタ45のカード装着/
離脱機構やカード情報のアクセスを制御し、警報制御部
437はカードリーダライタ45,警報ブザー46の制
御を行う。
は、デバイス管理部434を介して通信制御部435,
カード制御部436,および警報制御部437が接続さ
れている。デバイス管理部434は、対策制御処理部4
32が必要な処理を実行する際に、デバイスのアドレス
割当等を行うものである。このアドレス割当等を受け
て、通信制御部435は通信装置42を制御し、カード
制御部436はカードリーダライタ45のカード装着/
離脱機構やカード情報のアクセスを制御し、警報制御部
437はカードリーダライタ45,警報ブザー46の制
御を行う。
【0018】主制御装置43は、また、カウンタ処理部
438、カウンタ格納部439、不正検知部440、お
よび動作時間間隔等を計測するための時間計測部(タイ
マおよびその附属装置)441を備えている。カウンタ
処理部438は、不正発生回数を集計する第1カウンタ
Aと,不正操作の可能性のある回数を集計する第2カウ
ンタBを備えており、それぞれのカウンタ値をカウンタ
格納部439のテーブル439bに格納する。カウンタ
格納部439は、例えばEEPROM(書換可能なRO
M)で構成され、取引データがあるときはそれを格納す
る取引データ格納部439aが形成される。なお、カウ
ンタ格納部439は、ホスト11が任意の時点でその内
容を参照可能なように構成されている。
438、カウンタ格納部439、不正検知部440、お
よび動作時間間隔等を計測するための時間計測部(タイ
マおよびその附属装置)441を備えている。カウンタ
処理部438は、不正発生回数を集計する第1カウンタ
Aと,不正操作の可能性のある回数を集計する第2カウ
ンタBを備えており、それぞれのカウンタ値をカウンタ
格納部439のテーブル439bに格納する。カウンタ
格納部439は、例えばEEPROM(書換可能なRO
M)で構成され、取引データがあるときはそれを格納す
る取引データ格納部439aが形成される。なお、カウ
ンタ格納部439は、ホスト11が任意の時点でその内
容を参照可能なように構成されている。
【0019】不正検知部440は、ICカード51の正
当性を確認するための認証処理部440aと、不正検知
に必要な演算処理を行う演算処理部440bとから構成
されている。不正検知処理については後述する。
当性を確認するための認証処理部440aと、不正検知
に必要な演算処理を行う演算処理部440bとから構成
されている。不正検知処理については後述する。
【0020】以上の構成の端末41において利用される
ICカード51の詳細ブロック構成を図3に示す。この
種のICカードは、一般にCPU、ROM、RAM、E
EPROMを備えている。そこで、本実施形態は、図3
に示すように、CPU512に、通信制御部512a、
実行制御部512b、数値演算処理部512cを形成
し、ROM513に、処理プログラム格納部513a、
カウンタ処理部513b、認証処理部513cを形成す
る。カウンタ処理部513bは、不正発生回数を計測す
る第1カウンタA、および不正操作の可能性のある回数
を計測する第2カウンタBの機能を備えている。EEP
ROM514には、端末41が備えるものと同一内容の
カウンタ格納部514を形成しておく。RAM515は
ワークエリア515aとして用いる。なお、CPU51
2には、外部インタフェース511が接続される。
ICカード51の詳細ブロック構成を図3に示す。この
種のICカードは、一般にCPU、ROM、RAM、E
EPROMを備えている。そこで、本実施形態は、図3
に示すように、CPU512に、通信制御部512a、
実行制御部512b、数値演算処理部512cを形成
し、ROM513に、処理プログラム格納部513a、
カウンタ処理部513b、認証処理部513cを形成す
る。カウンタ処理部513bは、不正発生回数を計測す
る第1カウンタA、および不正操作の可能性のある回数
を計測する第2カウンタBの機能を備えている。EEP
ROM514には、端末41が備えるものと同一内容の
カウンタ格納部514を形成しておく。RAM515は
ワークエリア515aとして用いる。なお、CPU51
2には、外部インタフェース511が接続される。
【0021】本実施形態では、上記構成のICカード5
1を通じて端末41の不正操作ないし不正操作の可能性
があることを検知する不正検知機能をICカード51自
体にも持たせる。この不正検知機能の概要を、端末41
との間で電文を送受信する場合の実行制御部512bで
の処理手順例を示す図4、および電文の流れを示した図
5にしたがって説明する。
1を通じて端末41の不正操作ないし不正操作の可能性
があることを検知する不正検知機能をICカード51自
体にも持たせる。この不正検知機能の概要を、端末41
との間で電文を送受信する場合の実行制御部512bで
の処理手順例を示す図4、および電文の流れを示した図
5にしたがって説明する。
【0022】図4を参照すると、まず、電文番号である
n=1を設定して(ステップ(以下、S)1)、電文n
の受信待ちとする(S2)。電文nが受信されたか否か
を判断し(S3)、受信された場合には(S3:Ye
s)、第2カウンタB−(nー1) をカウントダウンして
(S4)、誤り訂正符号をチェックする(S5)。誤り
訂正符号が正しければ(S5:OK)、電文の正当性をチ
ェックする(S6)。正当ならば(S6:OK)、正しい
レスポンス電文nを作成し(S7)、そのレスポンス電
文nを相手方に送信する(S8)。図5(a)はこの様
子を示すものである。その後、その電文nについての通
信が終了したか否かを判断し(S9)、通信終了ならば
(S9:Yes)、そのまま処理を終了する。
n=1を設定して(ステップ(以下、S)1)、電文n
の受信待ちとする(S2)。電文nが受信されたか否か
を判断し(S3)、受信された場合には(S3:Ye
s)、第2カウンタB−(nー1) をカウントダウンして
(S4)、誤り訂正符号をチェックする(S5)。誤り
訂正符号が正しければ(S5:OK)、電文の正当性をチ
ェックする(S6)。正当ならば(S6:OK)、正しい
レスポンス電文nを作成し(S7)、そのレスポンス電
文nを相手方に送信する(S8)。図5(a)はこの様
子を示すものである。その後、その電文nについての通
信が終了したか否かを判断し(S9)、通信終了ならば
(S9:Yes)、そのまま処理を終了する。
【0023】上記S3の処理において、電文nが受信さ
れない場合には(S3:No)、電文nの受信待ちがタイ
ムアウトか否かを判断し(S10)、タイムアウトでな
ければ(S10:No)、S2の処理に戻り、タイムアウ
トであれば(S10:Yes)タイムアウトに対応した電
文nを作成し(S11)、S8の処理に移行する。ま
た、上記S5において、誤り訂正符号に誤りがあった場
合には(S5:NG)、伝送エラーに対応した電文nを作
成して(S12)、S8に移行する。図5(b),
(d)は、この様子を示すものである。
れない場合には(S3:No)、電文nの受信待ちがタイ
ムアウトか否かを判断し(S10)、タイムアウトでな
ければ(S10:No)、S2の処理に戻り、タイムアウ
トであれば(S10:Yes)タイムアウトに対応した電
文nを作成し(S11)、S8の処理に移行する。ま
た、上記S5において、誤り訂正符号に誤りがあった場
合には(S5:NG)、伝送エラーに対応した電文nを作
成して(S12)、S8に移行する。図5(b),
(d)は、この様子を示すものである。
【0024】一方、上記S6の処理において、電文nが
正当でない場合には、第1カウンタA−nをカウントア
ップするとともに(S13)、操作者が判らないような
見せかけの偽電文を作成して(S14)、S8に移行す
る。この偽電文は電文毎に異なるものとする。図5
(c)は、この様子を示すものである。また、上記S9
において、通信終了でない場合には(S9:No)、図5
(d)に示すように第2カウンタB−nをカウントアッ
プするとともに(S15)、電文番号をn=n+1とし
て(S16)、S2の処理に戻る。
正当でない場合には、第1カウンタA−nをカウントア
ップするとともに(S13)、操作者が判らないような
見せかけの偽電文を作成して(S14)、S8に移行す
る。この偽電文は電文毎に異なるものとする。図5
(c)は、この様子を示すものである。また、上記S9
において、通信終了でない場合には(S9:No)、図5
(d)に示すように第2カウンタB−nをカウントアッ
プするとともに(S15)、電文番号をn=n+1とし
て(S16)、S2の処理に戻る。
【0025】以上のように、上記S6の処理では、暗号
化・復号化・電子署名を用いた認証技術、コマンド/レ
スポンスのフォーマットチェックなどにより電文の正当
性をチェックする。そして、正当でないと判断した場合
には第1カウンタAをカウントアップし、見せかけの偽
電文を作成して送信する。正当な場合は正当なレスポン
ス電文を作成し、送信する。後続電文を受信する予定が
ある場合は、第2カウンタBをカウントアップしておい
て、受信待ちする。次の電文を受信した場合は、カウン
タBがカウントダウンして元に戻るが、不正や伝送エラ
ーにより次の電文が待ち時間内に受信できなかった場合
は、第2カウンタBはカウントアップされたままの状態
となり、決められた伝送手順に従って、電文を送信す
る。不正操作を検知した場合にも正常な場合と同じ回数
だけ電文のやりとりを続けて行う。また、偽電文は毎回
異なるものにする。これにより、操作者に気づかれず
に、不正操作による伝送エラーの場合には第1カウンタ
A、不正操作でも伝送エラーでも起こり得るエラー(不
正操作の可能性がある)の場合には第2カウンタBをカ
ウントアップしてカウンタ格納部514に蓄積すること
ができる。
化・復号化・電子署名を用いた認証技術、コマンド/レ
スポンスのフォーマットチェックなどにより電文の正当
性をチェックする。そして、正当でないと判断した場合
には第1カウンタAをカウントアップし、見せかけの偽
電文を作成して送信する。正当な場合は正当なレスポン
ス電文を作成し、送信する。後続電文を受信する予定が
ある場合は、第2カウンタBをカウントアップしておい
て、受信待ちする。次の電文を受信した場合は、カウン
タBがカウントダウンして元に戻るが、不正や伝送エラ
ーにより次の電文が待ち時間内に受信できなかった場合
は、第2カウンタBはカウントアップされたままの状態
となり、決められた伝送手順に従って、電文を送信す
る。不正操作を検知した場合にも正常な場合と同じ回数
だけ電文のやりとりを続けて行う。また、偽電文は毎回
異なるものにする。これにより、操作者に気づかれず
に、不正操作による伝送エラーの場合には第1カウンタ
A、不正操作でも伝送エラーでも起こり得るエラー(不
正操作の可能性がある)の場合には第2カウンタBをカ
ウントアップしてカウンタ格納部514に蓄積すること
ができる。
【0026】ICカード51の実行制御部512bは、
また、端末41と通信を行うときに、カウンタ格納部5
14の蓄積情報を端末41のカウンタ格納部439に送
信する機能を有する。これにより端末41では、図6に
示すように、ICカード51側の電文番号に対応するカ
ウンタ値Aーn,B-nと同一のカウンタ値A'ーn,B'-nを
カウンタ格納部439に蓄積することができる。これに
より、端末41において、ICカード51に対して行わ
れた不正操作、ないし異常が発生した状況を知ることが
でき、必要な対策制御処理を行うことができる。これ
は、ICカード51を通じて端末41に不正アクセスを
行おうとする者(以下、攻撃者)がどこまでアクセスに
成功したかという情報を知ることができないうちに、端
末41側で必要な対策を採り得ることを意味する。ま
た、攻撃者にとって完全に不正アクセスを成功させるこ
とが著しく困難になることを意味する。
また、端末41と通信を行うときに、カウンタ格納部5
14の蓄積情報を端末41のカウンタ格納部439に送
信する機能を有する。これにより端末41では、図6に
示すように、ICカード51側の電文番号に対応するカ
ウンタ値Aーn,B-nと同一のカウンタ値A'ーn,B'-nを
カウンタ格納部439に蓄積することができる。これに
より、端末41において、ICカード51に対して行わ
れた不正操作、ないし異常が発生した状況を知ることが
でき、必要な対策制御処理を行うことができる。これ
は、ICカード51を通じて端末41に不正アクセスを
行おうとする者(以下、攻撃者)がどこまでアクセスに
成功したかという情報を知ることができないうちに、端
末41側で必要な対策を採り得ることを意味する。ま
た、攻撃者にとって完全に不正アクセスを成功させるこ
とが著しく困難になることを意味する。
【0027】次に、上記ICカード51、端末41、サ
イト内制御装置31、およびホスト11を接続した場合
のシステム運用例を具体的に説明する。
イト内制御装置31、およびホスト11を接続した場合
のシステム運用例を具体的に説明する。
【0028】通常、端末41は、ICカード51が利用
されたとき、上述のように、端末41のカウンタ格納部
439内に、不正発生(不正操作)ないし不正発生の可
能性がある状況を蓄積し、所定の時間帯や不正回数のう
ちはホスト11と通信し、情報交換を行う「集計処理モ
ード」、すなわちオフラインで動作する。しかし、「不
正の発生状況が異常」と判断した場合には、ホスト11
とカードリーダライタ45とを接続して、ホスト11が
直接ICカード51のチェックを行う「オンラインモー
ド」に切り換える。また、利用されたカード51が不正
(不正操作がある)、または利用状況が不正と判断され
た場合には利用の制限を行う。これらの制御処理は、端
末41内の危機管理表433aに基づいて対策制御処理
部432が自動実行する。
されたとき、上述のように、端末41のカウンタ格納部
439内に、不正発生(不正操作)ないし不正発生の可
能性がある状況を蓄積し、所定の時間帯や不正回数のう
ちはホスト11と通信し、情報交換を行う「集計処理モ
ード」、すなわちオフラインで動作する。しかし、「不
正の発生状況が異常」と判断した場合には、ホスト11
とカードリーダライタ45とを接続して、ホスト11が
直接ICカード51のチェックを行う「オンラインモー
ド」に切り換える。また、利用されたカード51が不正
(不正操作がある)、または利用状況が不正と判断され
た場合には利用の制限を行う。これらの制御処理は、端
末41内の危機管理表433aに基づいて対策制御処理
部432が自動実行する。
【0029】ここで用いる端末41の危機管理表433
aの一例を図7に示す。この危機管理表433aは、電
子現金、プリペイド、電子小切手等の額面をデータとし
て、これらのデータを扱う情報通信システムを想定した
場合の例である。ここでは、管理項目毎に管理限界値を
持ち、管理限界値に対応して対策制御処理の内容が設定
される。管理項目としては以下のようなものを設定す
る。
aの一例を図7に示す。この危機管理表433aは、電
子現金、プリペイド、電子小切手等の額面をデータとし
て、これらのデータを扱う情報通信システムを想定した
場合の例である。ここでは、管理項目毎に管理限界値を
持ち、管理限界値に対応して対策制御処理の内容が設定
される。管理項目としては以下のようなものを設定す
る。
【0030】(データ利用間隔)データ利用間隔tを管
理項目とする。システムの性質上、ある時間間隔を超え
るように利用が考えられない場合、その時間間隔を管理
限界値とする。この場合の対策制御処理部432が実行
する内容としては、管理限界値を超える利用間隔である
ことを検知したとき、次のデータ利用を不可能にしてサ
ービスを行わない、あるいは利用データ量に制限を加え
るようにする。これにより、暗号化/復号化、認証など
によって検知できなかった不正操作による損害を格段に
低減させることができる。
理項目とする。システムの性質上、ある時間間隔を超え
るように利用が考えられない場合、その時間間隔を管理
限界値とする。この場合の対策制御処理部432が実行
する内容としては、管理限界値を超える利用間隔である
ことを検知したとき、次のデータ利用を不可能にしてサ
ービスを行わない、あるいは利用データ量に制限を加え
るようにする。これにより、暗号化/復号化、認証など
によって検知できなかった不正操作による損害を格段に
低減させることができる。
【0031】(データID、カードID)データ毎にI
D情報が付されている場合、またはICカード51毎に
ID情報が付されている場合に、これらID情報を管理
項目として設定する。対策制御処理部432は、特定の
ID情報が付されたデータやICカード51に正当なも
のと不正なものがあることが判っている場合、カードリ
ーダライタ45に装着されたICカードを排出しないよ
うにする。あるいは、不正なデータやICカード、取
引、年月日に対する処理を再現しないようにする。これ
により、システム運用の安全性が低下することを防ぐこ
とができる。
D情報が付されている場合、またはICカード51毎に
ID情報が付されている場合に、これらID情報を管理
項目として設定する。対策制御処理部432は、特定の
ID情報が付されたデータやICカード51に正当なも
のと不正なものがあることが判っている場合、カードリ
ーダライタ45に装着されたICカードを排出しないよ
うにする。あるいは、不正なデータやICカード、取
引、年月日に対する処理を再現しないようにする。これ
により、システム運用の安全性が低下することを防ぐこ
とができる。
【0032】(センタと通信不可(オフライン)時のデ
ータ利用量)センタ(ホスト11)との通信不可時に利
用されるデータ量cを管理項目とする。センタでのみ検
出できる不正や移動動作がある場合に設定する。通常は
無条件で利用可能とする。対策制御処理部432は、こ
の値が、ある値(c=1,000)以上では当日に同じ
サイトで発行・提供されたデータのように、信頼性の高
いデータのみ利用できるようし、より厳しい値(c=1
0,000)以上になった場合にはデータ利用動作を停
止させる。これにより、オフライン時に検出できない不
正操作による損害を低減することができる。
ータ利用量)センタ(ホスト11)との通信不可時に利
用されるデータ量cを管理項目とする。センタでのみ検
出できる不正や移動動作がある場合に設定する。通常は
無条件で利用可能とする。対策制御処理部432は、こ
の値が、ある値(c=1,000)以上では当日に同じ
サイトで発行・提供されたデータのように、信頼性の高
いデータのみ利用できるようし、より厳しい値(c=1
0,000)以上になった場合にはデータ利用動作を停
止させる。これにより、オフライン時に検出できない不
正操作による損害を低減することができる。
【0033】(不正検知カウンタ、不正らしさ検知カウ
ンタ)ICカード51や端末41の不正検知カウンタ
(第1カウンタA)、不正らしさカウンタ(第2カウン
タB)をそれぞれ管理項目とする。通常は無条件で利用
可能とする。対策制御処理部432は、カウンタ値が各
管理限界値以上の場合、管理限界値の大きさに対応した
対策制御処理を行う。つまり、管理限界値が厳しくなる
に応じて、使用履歴管理と利用制限を厳しくする。この
場合の対策制御処理の具体例として以下のようなものが
挙げられる。 (1)端末41内にIDとカウンタ値を蓄積するととも
に、蓄積情報を一定のタイミングでサイト内制御装置3
1に送信する。 (2)ICカード51の利用時にサイト内制御装置31
に所要データを送信する。 (3)操作者が利用できるサービスを制限する。 (4)ICカード51をロックし、ホスト11にカード
IDを送信する。 これにより不正状況の情報を上位装置に必要最低限だけ
送ることができ、通信量の節減を図ることができる。
ンタ)ICカード51や端末41の不正検知カウンタ
(第1カウンタA)、不正らしさカウンタ(第2カウン
タB)をそれぞれ管理項目とする。通常は無条件で利用
可能とする。対策制御処理部432は、カウンタ値が各
管理限界値以上の場合、管理限界値の大きさに対応した
対策制御処理を行う。つまり、管理限界値が厳しくなる
に応じて、使用履歴管理と利用制限を厳しくする。この
場合の対策制御処理の具体例として以下のようなものが
挙げられる。 (1)端末41内にIDとカウンタ値を蓄積するととも
に、蓄積情報を一定のタイミングでサイト内制御装置3
1に送信する。 (2)ICカード51の利用時にサイト内制御装置31
に所要データを送信する。 (3)操作者が利用できるサービスを制限する。 (4)ICカード51をロックし、ホスト11にカード
IDを送信する。 これにより不正状況の情報を上位装置に必要最低限だけ
送ることができ、通信量の節減を図ることができる。
【0034】(カードマスタ検索時のデータ利用量)I
Cカード51を電子財布として使用し、その利用残高や
管理情報を含むカードマスタ情報を同サイトや他サイト
のサイト内制御装置から検索する場合、検索を行ってい
る時間内のデータ利用量を管理項目とする。対策制御処
理部432は、データ利用量が管理限界値以上の場合、
そのカードアクセスを停止させる。これにより、カード
マスタ情報を参照する時間が長い場合でも、不正による
損害を一定に抑えて、サービスを停止せずに運用するこ
とができる。
Cカード51を電子財布として使用し、その利用残高や
管理情報を含むカードマスタ情報を同サイトや他サイト
のサイト内制御装置から検索する場合、検索を行ってい
る時間内のデータ利用量を管理項目とする。対策制御処
理部432は、データ利用量が管理限界値以上の場合、
そのカードアクセスを停止させる。これにより、カード
マスタ情報を参照する時間が長い場合でも、不正による
損害を一定に抑えて、サービスを停止せずに運用するこ
とができる。
【0035】対策制御処理部432が行う上記処理の概
略的な流れを図8に示す。動作間隔を管理項目としてい
る場合は、動作を行う前に時間計測部441で計測した
時刻を読み出し(S21)、前の処理との動作間隔を算
出する(S22)。続いて、通信ないしカードアクセス
を行った後(S23)、集計処理モード(オフライン)
か否かを判断する(S24)。集計処理モードの場合
(S24:Yes)は、装置内の危機管理表433aに従
って処理を行う。集計処理モードでない場合(S24:
No)にはオンラインモードで動作し、ホスト11の指示
に従って処理を行う。
略的な流れを図8に示す。動作間隔を管理項目としてい
る場合は、動作を行う前に時間計測部441で計測した
時刻を読み出し(S21)、前の処理との動作間隔を算
出する(S22)。続いて、通信ないしカードアクセス
を行った後(S23)、集計処理モード(オフライン)
か否かを判断する(S24)。集計処理モードの場合
(S24:Yes)は、装置内の危機管理表433aに従
って処理を行う。集計処理モードでない場合(S24:
No)にはオンラインモードで動作し、ホスト11の指示
に従って処理を行う。
【0036】集計処理モードの場合は、管理項目kに1
を代入し(S25)、計測値・統計値Ckの収集・算出
を行う(S26)。次に、限界値の数iを設定し(S2
7)、上記Ckの値と管理限界値Lkiとを比較する(S
28)。Ck <Lkiならば、iが1か否かを判断し(S
29)、i=1ならば、kの値が管理項目数kに等しい
か否かを判断する(S30)。等しければそのモードの
処理を終了する。一方、S28の処理において、Ck ≧
Lkiならば、対策(ki)を実行し(S31)、S29
の処理において、i=1でなければi=i−1として
(S32)、S28の処理に戻る。S30において、k
が管理項目数kに達していない場合は、k=k+1とし
て(S33)、S26の処理に戻る。
を代入し(S25)、計測値・統計値Ckの収集・算出
を行う(S26)。次に、限界値の数iを設定し(S2
7)、上記Ckの値と管理限界値Lkiとを比較する(S
28)。Ck <Lkiならば、iが1か否かを判断し(S
29)、i=1ならば、kの値が管理項目数kに等しい
か否かを判断する(S30)。等しければそのモードの
処理を終了する。一方、S28の処理において、Ck ≧
Lkiならば、対策(ki)を実行し(S31)、S29
の処理において、i=1でなければi=i−1として
(S32)、S28の処理に戻る。S30において、k
が管理項目数kに達していない場合は、k=k+1とし
て(S33)、S26の処理に戻る。
【0037】すなわち、集計処理モードでは、通信動作
あるいはカードアクセスによって得られた情報や前の処
理との時間間隔等から、各管理項目に従って「統計値・
計測値」を算出する。次に「統計値・計測値」を管理限
界値と比較し、「管理限界値」以上の場合には対応する
「対策制御処理」を行う。複数の管理限界値がある場合
には、条件を満たす最も厳しい管理限界値に対応する
「対策制御処理」を行う。全ての管理項目に対し管理限
界値との比較を行い、そのモードを終了する。
あるいはカードアクセスによって得られた情報や前の処
理との時間間隔等から、各管理項目に従って「統計値・
計測値」を算出する。次に「統計値・計測値」を管理限
界値と比較し、「管理限界値」以上の場合には対応する
「対策制御処理」を行う。複数の管理限界値がある場合
には、条件を満たす最も厳しい管理限界値に対応する
「対策制御処理」を行う。全ての管理項目に対し管理限
界値との比較を行い、そのモードを終了する。
【0038】一方、オンラインモードの場合は、ホスト
11にカードアクセスにより得た情報を送信する(S3
4)。そして、ホスト11からの返信情報を受信し(S
35)、その返信情報に含まれる指示に従ってサービス
実施や動作停止等の処理を実行して(S36)、そのモ
ードを終了する。
11にカードアクセスにより得た情報を送信する(S3
4)。そして、ホスト11からの返信情報を受信し(S
35)、その返信情報に含まれる指示に従ってサービス
実施や動作停止等の処理を実行して(S36)、そのモ
ードを終了する。
【0039】このように、端末41に危機管理表433
aを備えることで不正操作ないし不正操作の可能性があ
る場合に、端末41が、主導的に、あるいはホスト11
からの指示を受けて直ちに必要な対策制御処理を施すこ
とが可能になる。また、端末41における現在の監視情
報、例えばカウンタ格納部439に蓄積されている情報
等をホスト11が随時収集することで、システム全体の
安全性がどこまで低下したかを知ることができ、システ
ム更新の時期や次の対策の指標を得ることができる。ま
た、収集した監視情報に基づき危機管理表433aの内
容を随時更新することで、不正操作に基づくサービス実
施その他の処理を未然に防止することができ、安全にシ
ステムを維持することができる。
aを備えることで不正操作ないし不正操作の可能性があ
る場合に、端末41が、主導的に、あるいはホスト11
からの指示を受けて直ちに必要な対策制御処理を施すこ
とが可能になる。また、端末41における現在の監視情
報、例えばカウンタ格納部439に蓄積されている情報
等をホスト11が随時収集することで、システム全体の
安全性がどこまで低下したかを知ることができ、システ
ム更新の時期や次の対策の指標を得ることができる。ま
た、収集した監視情報に基づき危機管理表433aの内
容を随時更新することで、不正操作に基づくサービス実
施その他の処理を未然に防止することができ、安全にシ
ステムを維持することができる。
【0040】なお、以上は、危機管理表を端末41に備
えた場合の例であるが、ホスト11、サイト内制御装置
31、端末41に各々自端末固有の危機管理表を持たせ
ることが好ましい。特に、システムが階層構造の場合、
各階層毎に危機管理表を備えることが好ましい。
えた場合の例であるが、ホスト11、サイト内制御装置
31、端末41に各々自端末固有の危機管理表を持たせ
ることが好ましい。特に、システムが階層構造の場合、
各階層毎に危機管理表を備えることが好ましい。
【0041】図9に、ホスト11−サイト内制御装置3
1−端末41の3階層に、各目的に応じた危機管理表を
備える例を示す。この場合、ホスト11およびサイト内
制御装置31は、端末41における対策制御処理部43
2と同様のデータ処理手段を備えている。
1−端末41の3階層に、各目的に応じた危機管理表を
備える例を示す。この場合、ホスト11およびサイト内
制御装置31は、端末41における対策制御処理部43
2と同様のデータ処理手段を備えている。
【0042】ホスト用危機管理表は、例えば、通信不可
時の処理・対策、サイト間の使用データの管理、システ
ム全体のデータ量の把握・管理(出力−入力)、システ
ム全体の不正状況の管理、管理者への通知管理を目的と
する。サイト内制御装置用危機管理表は、例えば、通信
不可時の処理・対策、サイト内でのデータ量の管理・把
握(出力−入力)、入出力の傾向管理、サイト内の不正
状況の管理、センタへの通知管理を目的とする。端末用
危機管理表は、図7に示したような管理項目、対策・処
理を設定する。
時の処理・対策、サイト間の使用データの管理、システ
ム全体のデータ量の把握・管理(出力−入力)、システ
ム全体の不正状況の管理、管理者への通知管理を目的と
する。サイト内制御装置用危機管理表は、例えば、通信
不可時の処理・対策、サイト内でのデータ量の管理・把
握(出力−入力)、入出力の傾向管理、サイト内の不正
状況の管理、センタへの通知管理を目的とする。端末用
危機管理表は、図7に示したような管理項目、対策・処
理を設定する。
【0043】このような目的で備えられるサイト内制御
装置31内の危機管理表では、ホスト11との通信不可
時に利用されたデータの量や、通常時のサイト内のデー
タ量、不正の傾向が管理項目となる。通常時のサイト内
のデータ量としては、下記計算式に示される、発行・提
供したデータ(出力データ)と利用されたデータ(入力
データ)の差・割合や、利用されたデータにおける「他
サイトで発行・提供したデータ」の量・割合が管理され
る。この場合の対策制御処理としては、ホスト11への
通知や、利用データの制限、利用可能な装置の制限が挙
げられる。 (計算式) <出力データと入力データの差>=(出力データ)−
(入力データ) <出力データと入力データの割合>=(出力データ)/
(入力データ) <他サイト発行・提供データの割合>=(他サイト出力
データ)/(入力データ)
装置31内の危機管理表では、ホスト11との通信不可
時に利用されたデータの量や、通常時のサイト内のデー
タ量、不正の傾向が管理項目となる。通常時のサイト内
のデータ量としては、下記計算式に示される、発行・提
供したデータ(出力データ)と利用されたデータ(入力
データ)の差・割合や、利用されたデータにおける「他
サイトで発行・提供したデータ」の量・割合が管理され
る。この場合の対策制御処理としては、ホスト11への
通知や、利用データの制限、利用可能な装置の制限が挙
げられる。 (計算式) <出力データと入力データの差>=(出力データ)−
(入力データ) <出力データと入力データの割合>=(出力データ)/
(入力データ) <他サイト発行・提供データの割合>=(他サイト出力
データ)/(入力データ)
【0044】ホスト11内の危機管理表では、サイト間
のデータの移動量や、システム全体における出力データ
と入力データの差・割合、不正発生回数、サイト内制御
装置31との通信不可時の不正発生回数、通信不正時間
が管理項目となる。この場合の対策制御処理としては、
管理者への通知、利用データの制限、サイト内制御装置
31や端末41内の危機管理表の更新等が挙げられる。
のデータの移動量や、システム全体における出力データ
と入力データの差・割合、不正発生回数、サイト内制御
装置31との通信不可時の不正発生回数、通信不正時間
が管理項目となる。この場合の対策制御処理としては、
管理者への通知、利用データの制限、サイト内制御装置
31や端末41内の危機管理表の更新等が挙げられる。
【0045】このように、本実施形態の情報通信システ
ムでは、暗号方法の変更等のシステム更新時期の指標を
容易且つ少ない負荷で得ることができる。しかも、高い
セキュリティを維持できることから、電子現金等の財貨
を扱うシステムを安全に構築することができる。また、
大規模なシステムで細かな危機管理を行いたい場合に、
該危機管理に必要な負荷を分散させ、利用に要する時間
を短縮できる点で有効となる。
ムでは、暗号方法の変更等のシステム更新時期の指標を
容易且つ少ない負荷で得ることができる。しかも、高い
セキュリティを維持できることから、電子現金等の財貨
を扱うシステムを安全に構築することができる。また、
大規模なシステムで細かな危機管理を行いたい場合に、
該危機管理に必要な負荷を分散させ、利用に要する時間
を短縮できる点で有効となる。
【0046】
【発明の効果】以上詳述したように、本発明によれば、
オフラインでICカードに不正操作がなされた場合であ
っても、それを利用する情報処理端末あるいは上位装置
で不正操作の状況を確実に収集することができる効果が
ある。また、不正操作を検知した場合には、ICカード
が攻撃者が判らないような偽電文を送るため、複数の電
文をやりとりする処理では、攻撃者に対して必要な情報
を与えることがない。よって、全ての暗号鍵や認証処理
の手順を完全に知られない限り、セキュリティを破られ
にくく、高いセキュリティを確保できる効果がある。
オフラインでICカードに不正操作がなされた場合であ
っても、それを利用する情報処理端末あるいは上位装置
で不正操作の状況を確実に収集することができる効果が
ある。また、不正操作を検知した場合には、ICカード
が攻撃者が判らないような偽電文を送るため、複数の電
文をやりとりする処理では、攻撃者に対して必要な情報
を与えることがない。よって、全ての暗号鍵や認証処理
の手順を完全に知られない限り、セキュリティを破られ
にくく、高いセキュリティを確保できる効果がある。
【0047】さらに、不正操作と断定できない異常動作
については、監視情報に基づいて詳細な状況を得ること
ができ、不正操作や不正操作らしい動作の検知・対策制
御処理によるセンタの負荷も少なく、不正操作と断定で
きない不正操作が発生した場合にも、損害を抑えること
ができる効果がある。
については、監視情報に基づいて詳細な状況を得ること
ができ、不正操作や不正操作らしい動作の検知・対策制
御処理によるセンタの負荷も少なく、不正操作と断定で
きない不正操作が発生した場合にも、損害を抑えること
ができる効果がある。
【0048】加えて、必要時だけオンラインチェックに
切り換わるようにすることができるため、安全性を高め
た場合にも回線使用のコストを削減できる効果がある。
また、回線の不具合でホスト等と通信できなくなった場
合に、情報処理端末を動作させ続けても、不正に基づく
損害を抑えることができる。
切り換わるようにすることができるため、安全性を高め
た場合にも回線使用のコストを削減できる効果がある。
また、回線の不具合でホスト等と通信できなくなった場
合に、情報処理端末を動作させ続けても、不正に基づく
損害を抑えることができる。
【0049】さらに、危機管理表の内容を運用中に動的
に更新することにより、システム設計時に予測されなか
った不正状況が発生しても、それに起因する損害を削減
できるという効果がある。
に更新することにより、システム設計時に予測されなか
った不正状況が発生しても、それに起因する損害を削減
できるという効果がある。
【図1】本発明の一実施形態に係る情報通信システムの
全体構成を示すブロック図。
全体構成を示すブロック図。
【図2】この実施形態による端末の詳細ブロック構成
図。
図。
【図3】この実施形態によるICカードの内部ブロック
構成図。
構成図。
【図4】ICカードにおける、不正ないし不正らしき電
文の検知・対策・発生状況の収集の手順を示すフローチ
ャート。
文の検知・対策・発生状況の収集の手順を示すフローチ
ャート。
【図5】ICカードに不正検知機能をもたせる場合の、
端末間の電文の流れを示す図。
端末間の電文の流れを示す図。
【図6】端末とICカードに備えられるカウンタ格納部
の関係説明図。
の関係説明図。
【図7】この実施形態における危機管理表の一例を示す
説明図。
説明図。
【図8】危機管理表を用いた端末装置での対策制御処理
の手順説明図。
の手順説明図。
【図9】ホスト−サイト内制御装置−端末の3階層に危
機管理表を備えた情報通信システムの接続状態説明図。
機管理表を備えた情報通信システムの接続状態説明図。
11 ホストコンピュータ 111 端末監視処理装置 112 オンライン処理装置 113 危機管理表格納部 113a ホストの危機管理表 21 通信回線 31 サイト内制御装置 41 端末(情報処理端末) 43 主制御装置 431 主制御部 432 対策制御処理部 433 危機管理表格納部 433a 危機管理表 434 デバイス管理部 435 通信制御部 436 カード制御部 437 警報制御部 438 カウンタ処理部 439 カウンタ格納部 440 不正検知部 441 時間計測部 51 ICカード 512 ICカードのCPU 512b 実行制御部 513 ICカードのROM 513b カウンタ処理部 514 ICカードのEEPROM内に構成されるカ
ウンタ格納部 515 ICカードのRAM
ウンタ格納部 515 ICカードのRAM
───────────────────────────────────────────────────── フロントページの続き (72)発明者 加藤 公博 東京都江東区豊洲三丁目3番3号 エヌ・ ティ・ティ・データ通信株式会社内
Claims (7)
- 【請求項1】 情報処理端末との間で電文の送受を行う
ICカードであって、 前記情報処理端末から送られる電文が正常か否かを判定
する手段と、 前記電文が異常で且つ該異常原因が不正操作によると判
定した場合に、操作者が判らないような見せかけの偽電
文を前記判定の度に生成して前記情報処理端末に返信す
る手段と、 前記生成した偽電文の返信情報を蓄積する手段と、 を有することを特徴とするICカード。 - 【請求項2】 情報処理端末との間で電文の送受を行う
ICカードであって、 前記情報処理端末から送られる電文が正常か否かを判定
する手段と、 前記電文が異常で且つ該異常原因が不明な場合に、その
旨を表す対応電文を生成して前記情報処理端末に返信す
る手段と、 前記生成した対応電文の返信情報を蓄積する手段と、 を有することを特徴とするICカード。 - 【請求項3】 装着されるICカードとの間で電文の送
受を行う手段と、 前記ICカードから送られる電文が正常か否かを判定す
る手段と、 前記電文が異常で且つ前記ICカードに対する不正操作
ないし不正操作の可能性があると判定した場合に、前記
ICカードに正常時と異なる電文を生成して返信する手
段と、 前記生成した電文の返信情報を蓄積する手段と、 を有することを特徴とする情報処理端末。 - 【請求項4】 請求項1記載のICカードに蓄積された
偽電文の返信情報と請求項2記載のICカードに蓄積さ
れた対応電文の返信情報の少なくとも一方を取得する手
段と、 前記自端末に蓄積した返信情報または前記ICカードよ
り取得した返信情報から前記ICカードを通じて行われ
た不正操作ないし不正操作の可能性を検知する不正検知
手段と、 この不正検知手段が不正操作ないし不正操作の可能性を
検知したときに予め検知内容毎に定めた対策制御処理を
実行する不正対策処理手段と、 を有することを特徴とする請求項3記載の情報処理端
末。 - 【請求項5】 前記不正対策処理手段は、前記不正検知
手段の検知状況に応じて前記対策制御処理の内容を動的
に更新することを特徴とする請求項4記載の情報処理端
末。 - 【請求項6】 上位情報処理端末(以下、上位装置)
と、オンラインまたはオフラインで前記上位装置に接続
される下位情報処理端末(以下、下位装置)と、前記下
位装置との間で電文の送受を行うICカードとから成る
情報通信システムにおいて、 前記下位装置に、 前記ICカードのアクセスに起因する異常現象の出現率
と該ICカードのアクセス状況とを含む監視情報を蓄積
する手段を備えるとともに、 前記上位装置に、 前記下位装置から前記監視情報を取得する手段と、 前記取得した監視情報に基づき前記ICカードまたは下
位装置に対する不正操作ないし不正操作の可能性を検知
する不正検知手段と、 前記不正検出手段が不正操作ないし不正操作の可能性を
検知したときに予め不正内容毎に定めた対策制御処理を
実行する不正対策処理手段と、 を備えたことを特徴とする情報通信システム。 - 【請求項7】 前記不正対策処理手段は、前記不正検知
手段で検知した検知状況に応じて前記対策制御処理の内
容を動的に更新することを特徴とする請求項6記載の情
報通信システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP00437196A JP3555796B2 (ja) | 1996-01-12 | 1996-01-12 | Icカード、情報処理端末、および情報通信システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP00437196A JP3555796B2 (ja) | 1996-01-12 | 1996-01-12 | Icカード、情報処理端末、および情報通信システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH09193577A true JPH09193577A (ja) | 1997-07-29 |
| JP3555796B2 JP3555796B2 (ja) | 2004-08-18 |
Family
ID=11582518
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP00437196A Expired - Lifetime JP3555796B2 (ja) | 1996-01-12 | 1996-01-12 | Icカード、情報処理端末、および情報通信システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3555796B2 (ja) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001118042A (ja) * | 1999-10-19 | 2001-04-27 | Hitachi Ltd | カード監視方法 |
| JP2002524808A (ja) * | 1998-09-04 | 2002-08-06 | ソネラ スマートトラスト オサケユキチュア | セキュリティモジュール、セキュリティシステム、および移動局 |
| WO2004086244A1 (ja) * | 2003-03-26 | 2004-10-07 | Renesas Technology Corp. | メモリデバイス及びパスコード生成器 |
| JP2009187559A (ja) * | 2006-12-28 | 2009-08-20 | Canon Marketing Japan Inc | 情報処理システム、情報処理装置、認証サーバ、認証方法、認証プログラム、情報処理方法、情報処理プログラム |
| JP2010044749A (ja) * | 2008-07-16 | 2010-02-25 | Denso Wave Inc | セキュリティ機能を有する携帯端末 |
| US7783572B2 (en) * | 2001-11-27 | 2010-08-24 | Heartland Payment Systems, Inc. | Apparatus and method for downloading configuration data to card terminals and for viewing activity at card terminals |
| JP2011076272A (ja) * | 2009-09-30 | 2011-04-14 | Dainippon Printing Co Ltd | 不正使用管理システム |
| US8225375B2 (en) | 2006-12-28 | 2012-07-17 | Canon Kabushiki Kaisha | Information processing system, information processing apparatus and method and program therefor |
| JP2015102902A (ja) * | 2013-11-21 | 2015-06-04 | 株式会社東芝 | Icカード |
-
1996
- 1996-01-12 JP JP00437196A patent/JP3555796B2/ja not_active Expired - Lifetime
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002524808A (ja) * | 1998-09-04 | 2002-08-06 | ソネラ スマートトラスト オサケユキチュア | セキュリティモジュール、セキュリティシステム、および移動局 |
| JP2001118042A (ja) * | 1999-10-19 | 2001-04-27 | Hitachi Ltd | カード監視方法 |
| US7783572B2 (en) * | 2001-11-27 | 2010-08-24 | Heartland Payment Systems, Inc. | Apparatus and method for downloading configuration data to card terminals and for viewing activity at card terminals |
| WO2004086244A1 (ja) * | 2003-03-26 | 2004-10-07 | Renesas Technology Corp. | メモリデバイス及びパスコード生成器 |
| JP2009187559A (ja) * | 2006-12-28 | 2009-08-20 | Canon Marketing Japan Inc | 情報処理システム、情報処理装置、認証サーバ、認証方法、認証プログラム、情報処理方法、情報処理プログラム |
| JP4518287B2 (ja) * | 2006-12-28 | 2010-08-04 | キヤノンマーケティングジャパン株式会社 | 情報処理システム、情報処理装置、第1の認証サーバ、制御方法、プログラム、情報処理方法、情報処理プログラム |
| US8225375B2 (en) | 2006-12-28 | 2012-07-17 | Canon Kabushiki Kaisha | Information processing system, information processing apparatus and method and program therefor |
| JP2010044749A (ja) * | 2008-07-16 | 2010-02-25 | Denso Wave Inc | セキュリティ機能を有する携帯端末 |
| JP2011076272A (ja) * | 2009-09-30 | 2011-04-14 | Dainippon Printing Co Ltd | 不正使用管理システム |
| JP2015102902A (ja) * | 2013-11-21 | 2015-06-04 | 株式会社東芝 | Icカード |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3555796B2 (ja) | 2004-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3941014B1 (en) | Digital key-based identity authentication method, terminal apparatus, and medium | |
| US9224146B2 (en) | Apparatus and method for point of sale terminal fraud detection | |
| CN100386740C (zh) | 用于检测计算机系统中的安全漏洞的系统和方法 | |
| KR101153968B1 (ko) | 금융사기 방지 시스템 및 방법 | |
| AU2006203517B2 (en) | Using Promiscuous and Non-Promiscuous Data to Verify Card and Reader Identity | |
| EP3136273B1 (en) | Intrusion security device with sms based notification and control | |
| CN105191257A (zh) | 用于检测多阶段事件的方法和装置 | |
| CN110427785A (zh) | 设备指纹的获取方法和装置、存储介质及电子装置 | |
| CN102257536A (zh) | 人员输送机控制系统的访问控制系统和访问控制方法 | |
| AU2020104272A4 (en) | Blockchain-based industrial internet data security monitoring method and system | |
| CN107122685A (zh) | 一种大数据安全存储方法和设备 | |
| JP3555796B2 (ja) | Icカード、情報処理端末、および情報通信システム | |
| WO2009094213A1 (en) | Secure platform management device | |
| CN116453247B (zh) | 基于物联网技术的智能锁控制系统 | |
| KR20190016289A (ko) | 지폐계수기 원격제어 방법 | |
| KR20220072541A (ko) | 핵심기술 정보 유출 차단을 위한 통합 보안시스템 | |
| CN113226858A (zh) | 信息处理装置 | |
| CN101122988B (zh) | 一种网络税控系统中的安全处理方法 | |
| CN111615064B (zh) | 基于车联网的终端保障方法、系统、车辆及存储介质 | |
| CN101022335B (zh) | 用于安全传送工作数据的方法 | |
| CN110310108A (zh) | 一种带拆机自毁的新型硬件钱包 | |
| RU2688264C1 (ru) | СПОСОБ РАБОТЫ КОНТРОЛЬНО-КАССОВОЙ ТЕХНИКИ С ФУНКЦИЕЙ ПЕРЕДАЧИ ИНФОРМАЦИИ В НАЛОГОВЫЕ ОРГАНЫ ЧЕРЕЗ ОПЕРАТОРА ФИСКАЛЬНЫХ ДАННЫХ ПРИ ОТСУТСТВИИ СТАБИЛЬНОГО КАНАЛА СВЯЗИ СЕТИ ИНТЕРНЕТ И НАЛИЧИИ УГРОЗЫ DDoS-АТАКИ | |
| CN118138313A (zh) | 设备激活方法、装置、设备以及存储介质 | |
| JP2004318436A (ja) | 自動取引装置、自動取引システム | |
| US20180336539A1 (en) | Processing event data provided by components of payment networks to determine issues |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20040506 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20040507 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090521 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090521 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100521 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110521 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110521 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120521 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130521 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140521 Year of fee payment: 10 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |