JPH09265516A - プリペイド用icカード処理装置 - Google Patents

プリペイド用icカード処理装置

Info

Publication number
JPH09265516A
JPH09265516A JP8076201A JP7620196A JPH09265516A JP H09265516 A JPH09265516 A JP H09265516A JP 8076201 A JP8076201 A JP 8076201A JP 7620196 A JP7620196 A JP 7620196A JP H09265516 A JPH09265516 A JP H09265516A
Authority
JP
Japan
Prior art keywords
card
data
handling means
processing system
registered
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP8076201A
Other languages
English (en)
Inventor
Mitsuru Nishioka
満 西岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP8076201A priority Critical patent/JPH09265516A/ja
Publication of JPH09265516A publication Critical patent/JPH09265516A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Pinball Game Machines (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】 ICカードをプリペイドカード等として使用
する場合の秘密鍵等の漏洩、盗難・不正使用等に関する
問題を解決するICカード処理システムを提供する。 【解決手段】 ICカードに記録されたデータに基づい
て動作するICカード取扱い装置と、前記取扱い装置の
通常動作を可能とする動作データ、及び前記取扱い装置
との間で相互に認証するための第1の相互認証プログラ
ムを有する第1のICカードと、前記取扱い装置が前記
第1のICカードとの間で相互に認証するための第2相
互認証プログラムを有する第2のICカードを具備す
る。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明はICカードを扱う装
置に関し、特にプリペイドカード等の一部金額情報を書
き換えて繰り返し使用できるICカードを扱う機器にお
ける方式及び構造等に関する。
【0002】
【従来の技術】現在多くのプリベイドカードは、ある金
額の価値付けがされたカードを購入し、その額面だけ使
い切ったらカード自体廃棄する使い切りタイプだが、一
部金額情報を書き換えて繰り返し使用できるものもあ
る。
【0003】ICカードをプリペイドカードとして使用
する場合、機器におけるカード内の金額操作には増額
(加算)と減額(減算)があり、加算を実行する機器は
入金機として特別の扱いを受ける。即ち、自動式の場
合、投入された現金に応じた金額をカードに書き込み内
部に現金が蓄積される。又、係員等が現金を受け取り手
操作により、支払われた現金に応じた金額をカードに書
き込むため、厳格な操作資格管理が必要となる。従来、
このような機器は次に示すような動作を行っている。
【0004】(1.1) 秘密鍵等はメーカでプログラ
ムメモリに記録 ICカードを扱う機器では、相互認証やデータの暗号化
等に使用する暗号・復号化論理をプログラム化して機器
内のROM等のプログラムメモリに記録している。この
様なデータはメーカでの機器製造時に記録されることに
なる。又ICカードを扱う機器では、相互認証やデータ
の暗号化等に使用する秘密鍵をカードと相互に持ち合う
場合が多い。この秘密鍵も、機器側のプログラムで扱わ
れるため、機器内のROM等のプログラムメモリに記録
されている。
【0005】(1.2) カード販売機は電源とカード
があれば動作する プリペイドカードの販売機としては、価値付け済みのカ
ードを内部に蓄えておき「もの」として額面金額で販売
するものと、価値付けしていないカードを内部に蓄えて
おき、投入金額に応じて都度価値付けして販売するもの
がある。又再度価値付け(増額)して再利用する運用形
態の場合、単なる販売機ではなくカードへの入金機とな
るが、いずれも動作に必要な条件は「電源が供給される
こと」と「カードが供給されること」である。
【0006】(1.3) プリペイド残額の減算=金額
情報の書き換え プリペイドカードにより物品を購入したりサービスを受
けた際、物品の価額やサービスに応じた代価の支払いに
あたる残額の減算は、カードに記録された金額情報をそ
れまでの値から、より小さい値(又は少ない金額、量を
表す情報)への「書き換え」である。
【0007】(1.4) 形状チェックと記録データ内
容の照合により不適合カードを検出 機器に差し込まれたカードに対して、形状・電気特性等
の物理的事項とカードに記録されているデータの照合に
より適合するカードがどうかが確認される。尚、実際に
は形状が違えば搬送・保持機構が正常に動作できないた
め、そのカードは受け付けられない。又、照合用の(キ
ー)データに限らず、読出したデータの形式や値の範囲
が規定外であった場合、処理を継続できないため、結果
的に不整合カードを検出したことになる。このように、
従来は積極的に不適合条件を検査するわけではない。
【0008】(1.5) 不適合カードは排出する 差し込まれたカードに対して上記のような、物理的、論
理的不適合が検出された場合、機器は単純に「使用でき
ない」としてカードを受け付けずに排出する。
【0009】
【発明が解決しようとする課題】ICカードをプリペイ
ドカードとして扱う従来の機器は次に示すような課題を
有している。 (2.1) 秘密鍵等の漏洩 ICカードを扱う機器では、相互認証やデータの暗号化
等に使用する暗号・復号化プログラムやICカードと相
互に持ち合う秘密鍵は、機器内のROM等のプログラム
メモリに記録されているため、機器の筐体を開いてプロ
グラムメモリの内容を読出すことでこれらを入手するこ
とができる。又、これらの暗号・復号化プログラムや秘
密鍵はメーカでの機器製造時にプログラムメモリに書き
込まれるか、又はメーカでは機器ハードのみ製造しプリ
ペイドシステムの管理会杜において別に作成したプログ
ラムROMを機器へ実装する等の手順があるが、基本的
にエンドユーザの手に渡る前に動作可能な状態となるた
め、輸送途中で盗難されたり、倉庫等に保管している間
に、次のような手段でプログラムメモリの内容を読出す
ことができる。
【0010】具体的読出し方法として、プログラムや秘
密鍵情報がROMに格納されているならば、このROM
を取り外して市販のROMライタでダンプすることがで
きる。又、制御回路にICE(In Circuit Emulator) を
接続すれば、上記のROMの内容は勿論、その他のメモ
リ素子等に記録されている内容でも自由に読出すことが
できる。
【0011】これらの情報が入手できれば、同機能の機
器やカードを偽造することができる。尚、秘密鍵につい
ては生データではなく、暗号化等が施された状態で機器
のメモリに格納することが考えられるが、その機器の処
理動作のーつとして秘密鍵を生データに戻す復号化が必
ず存在するため、前述のICEを接続してプログラムを
動作させればカードとのやりとりの経過処理において秘
密鍵の値を得ることができる。この様な問題は、通信路
を媒介として遠隔で相互に認証したりデータを秘匿化し
て交換するようなシステムで使用する機器においても内
在している。
【0012】(2.2)盗難・不正使用 プリベイドカードの販売機として、価値付け済みのカー
ドを「もの」として額面金額で販売するものについて
は、販売機ごと盗まれても被害は内部に蓄えているカー
ド(及び販売時投入された現金)だけだが、価値付けさ
れていないカードを投入金額に応じて都度価値付けして
販売するものや、カードを再利用する運用形態で入金機
として機能するものの場合、カードが手に入ればその販
売機を使用することで正当な代価を支払うことなく自由
な金額で価値付けされたカードを作成することができ
る。
【0013】(2.3)減算機の改造による不正使用 プリペイドカードによる物品の価額やサービスに応じた
代価の支払いにあたる残額の減算は、カードに記録され
た金額情報の「書き換え」であるため、減算機能を持っ
た機器(以下減算器)を改造することで前述の価値付け
されていないカードが手に入れば前述同様に正当な代価
を支払うことなく、自由な金額で価値付けされたカード
を作成することができる。
【0014】減算機は例えば無人稼動するものとしては
カード式電話機や飲料の自動販売機等があり、有人で人
手で操作するものとしてはPOSレジ等に接続する汎用
のプリペイドカード処理機等があるが、前者の場合やや
大型ではあるが無人であり、後者の場合有人ではあるが
小型なのでいずれも盗難の危険性は高いといえる。
【0015】なお、上記の価値付けされていないカード
を投入金額に応じて都度価値付けして販売するカード販
機売機は、上記の様な不正使用方法が明確なため一般的
に強固な盗難防止策がとられる。もちろん減算について
も上記のような危険を内在していることが明確だが、市
中での運用上販売機と同寺の盗難対策は困難といえる。
【0016】(2.4) 不適合カードめ検査方法 従来は、差し込まれたカードに対して積極的に不適合条
件を検査するわけではなく、形状・電気特性等の物理的
事項とカードに記録されているデータの照合により適合
するカートかどうかを確認しているに過ぎないため、た
とえ高セキュリティのICカードを使用したとしても偽
造の危険性はまだ高いレベルにあるといえる。
【0017】(2.5) 不正カード使用対策 従来、差し込まれたカードが不適合の場合、機器は単純
に「使用できない」として受け付けずにカードを排出す
るだけなので、実際に偽造カード使用等の不正があつた
場合にも、その使用者の特定やカードの回収はできな
い。
【0018】従って本発明の目的は、ICカードをプリ
ペイドカード等として使用する場合の前述した秘密鍵等
の漏洩、盗難・不正使用、減算機の改造による不正使
用、不適合カードめ検査方法、不正カード使用対策に関
する課題を解決するICカード処理システムを提供する
ことである。
【0019】
【課題を解決するための手段】上記課題を解決するため
に本発明による第1のICカード処理システムは、IC
カードに記録されたデータに基づいて動作するICカー
ド取扱い手段と、前記取扱い手段の通常動作を可能とす
る動作データを有する第1のICカードと、前記取扱い
手段が前記第1のICカードを照合するための照合デー
タを有する第2のICカードを具備し、前記第2のIC
カードから前記照合データが前記取扱い手段に登録さ
れ、登録された照合データを基に前記第1のICカード
の正当性が判断される。
【0020】更に、本発明による第2のICカード処理
システムは、ICカードに記録されたデータに基づいて
動作するICカード取扱い手段と、前記取扱い手段の通
常動作を可能とする動作データ、及び前記取扱い手段と
の間で相互に認証するための第1の相互認証プログラム
を有する第1のICカードと、前記取扱い手段が前記第
1のICカードとの間で相互に認証するための第2相互
認証プログラムを有する第2のICカードを具備し、前
記第2のICカードから前記第2の相互認証プログラム
が前記取扱い手段に登録され、登録された前記第2の相
互認証プログラム及び前記第1のICカードが有する前
記第1の相互認証プログラムを基に、前記第1のICカ
ード及び前記取扱い手段は互いに認証を確認しあう。
【0021】これにより上記(2.1)項で述べた秘密
鍵等の漏洩に関する課題を解決することができる。又、
本発明による第1又は第2のICカード処理システムの
前記取扱い手段は、前記第1のICカードにより登録さ
れたデータを、登録から一定時間後に自動的に消去する
手段を更に有する。
【0022】更に、本発明による第1又は第2のICカ
ード処理システムの前記取扱い手段は、前記第1のIC
カードにより登録されたたデータを、毎日一定時刻に自
動的に消去する手段を有する。
【0023】これにより上記(2.1)項で述べた秘密
鍵等の漏洩に関する課題、及び(2.2)項で述べた盗
難・不正使用に関する課題を解決することができる。
又、本発明による第1又は第2のICカード処理システ
ムの前記取扱い手段は、前記第1のICカードが有する
前記動作データを格納する格納手段と、前記取扱い手段
の筐体の蓋が開かれたことを検出して前記格納手段に格
納された前記動作データを消去する手段を有する。
【0024】又、本発明による第1又は第2のICカー
ド処理システムの前記取扱い手段は、前記第1のICカ
ードが有する前記動作データを格納する格納手段と、前
記取扱い手段の筐体の蓋が開かれたことを検出して前記
筐体内部の時間・時刻データを無効化する手段を有す
る。
【0025】又、本発明による第1又は第2のICカー
ド処理システムの前記取扱い手段は、前記第1のICカ
ードが有する前記動作データを格納する格納手段と、前
記取扱い手段の筐体が破壊されたことを検出して前記格
納手段に格納された前記動作データを消去する手段を有
する。
【0026】更に、本発明による第1又は第2のICカ
ード処理システムの前記取扱い手段は、前記第1のIC
カードが有する前記動作データを格納する格納手段と、
前記取扱い手段の筐体の蓋が破壊されたことを検出して
前記筐体内部の時間・時刻データを無効化する手段を有
する。
【0027】これにより上記(2.1)項で述べた秘密
鍵等の漏洩に関する課題、及び(2.3)項で述べた減
算機の改造による不正使用に関する課題を解決すること
ができる。
【0028】又、本発明によるICカード処理システム
の前記取扱い手段は、プリペイドカード等として使用さ
れるICカードとの間で正当性確認情報を付加した電文
を送受信することにより、前記ICカードの正当性を確
認する手段を有するこれにより上記(2.4)項で述べ
た不適合カードめ検査方法に関する課題、及び(2.
5)項で述べた不正カード使用対策に関する課題を解決
することができる。
【0029】又、本発明によるICカード処理システム
の前記取扱い手段は、複数の要因でICカードの正当性
を判断し、その判断結果により単なる不適合カードか偽
造された不正カードかを判断する手段を有する。
【0030】更に、本発明によるICカード処理システ
ムの前記取扱い手段は、不適合カードは排出し、不正カ
ードは内部に取り込むかそのまま保持したまま他の機器
へ発報する手段を有する。これにより上記(2.5)項
で述べた不正カード使用対策に関する課題を解決するこ
とができる。
【0031】
【発明の実施の形態】以下、この発明によるプリペイド
カード用ICカード処理装置の実施の形態を図面を参照
して説明する。先ず始めに、機器の外観と機能構成ブロ
ックの例をそれぞれ図1及び図2に示す。これは再度価
値付け(増額)して再利用する運用形態のカード入金機
40である。この他に都度価値付けするカード販売機
や、減算機能のみ持つ商品の販売機等があるが、本考案
に関連する部分の最大構成を有するものとしてこれを示
す。
【0032】図1において、表示部41はカード入金機
40を利用するための案内を表示する。カード差し込み
口43からカードは差し込まれ、金額選択ボタン42に
より増額金額が入力され、金額投入・返却口44から現
金が投入又は返却される。テンキー45は後述のキー登
録カードのカードID等の値を管理者により入力すると
きに使用される。
【0033】図2において、主制御部2は基本機能機能
プログラムメモリ(ROM)9に格納されたプログラム
に従って、表示部4、入力部5、カード取扱い機構6、
現金取扱い部7を制御する。主電源部3はAC電源から
DC電源を発生し、主制御部2、ROM9、表示部4、
入力部5、カード取扱い機構6、現金取扱い部7に電源
を供給する。バックアップ電源部8は主電源部3が動作
していない時でも、常にメモリ10a、10b、10c
に電源を供給する。
【0034】本発明では従来の問題点を解決するための
方策として次の5項目を説明する。 (3.1)登録カードによる主要データの登録 暗号・復号化プログラムや秘密鍵をプログラムメモリの
内容を読み出すことにより入手することができないよう
にするため、機器への主要データ(主に機器動作用のデ
ータ)のローディングは次のような項目を有する登録用
ICカードを使用する。
【0035】(a)登録カード専用のフォーマット (b)登録カード専用のアクセス条件とキー値 (c)登録カードごとに異なる所有者(使用者)暗証番
号 このデータ登録カードの記録内容を表1に示す。
【0036】
【表1】
【0037】このICカードによるデータ登録は、機器
をエンドユーザの元へ設置した後に実施することで、輸
送中に盗難にあっても情報は漏洩しない。又、動作上の
重要データを有するカード、いわゆるキーカードの内容
は機器のみが読出すことができるだけとし、それを使用
するエンドユーザ自身に対しても知らせることなく運用
が可能である。尚、キーカードにより機器へ登録した各
種の値を読出せない様にするための方法については後述
する。
【0038】この登録カードによる機器へのデータ登録
操作と機器内処理の内容の例を図3に示す。先ず、操作
者(管理者)により登録カードが機器に差し込まれる。
機器側ではカードから得られる情報により、差し込まれ
たカードが登録カードかどうかを判定する。登録カード
以外のカードが差し込まれた場合は適宜そのカードごと
の処理へ移る。
【0039】差し込まれたカードが登録カードであった
ならば、機器はそのカードで登録されるデータが既に登
録済みであるかどうかを判定する。登録済みだった場合
は差し込まれたカードのデータを新たに適用することで
「書き換え」となるので、機器の設定として「書き換
え」が許可されているかどうかを確認する。
【0040】この機器の設定については製造時にシステ
ムにあわせて固定値として設定しておいたり、製造後に
登録カードによる本方法と同様の方法を含む種々の方法
により設定することが考えられる。設定値としては、
「書き換え不可」、「条件付き書き換え可能」、「無条
件書き換え可能」等がある。「条件付き書き換え可能」
の例として、金庫のダイヤルのように、カード挿入の回
数及び時間間隔を設定することもできる。
【0041】この設定で「書き換え」が許可された場
合、及びデータが未登録の場合は次のステップヘ移り、
機器としてはカードの正当性を確認するべく相互認証を
する。これがOKならば次は使用者の正当性確認のた
め、機器は操作表示部にメッセージを表示して操作者に
対して暗証番号の入力を督促する。
【0042】操作者によりその登録カードの暗証番号が
入力されると機器はカードに対してその番号を照合し、
OKになってはじめて登録データの読出しに移る。この
暗証照合がNGの場合、機器側の処理として登録データ
を読出しに行かないことは勿論だが、仮にこの状態でカ
ードからデータを読出そうとしてもカードは暗証照合が
OKとなっていないのでデータを出力しない。又、上記
相互認証において、カード側が機器を正当な相手と判定
していない場合は、例え暗証照合がOKとなってもカー
ドはデータを出力しない。これらにより偽造された機器
では登録データを読出すことはできない。
【0043】このようにして読出された登録データは機
器内のメモリに記憶されて、以降の機器動作に使用され
る。又、機器内のメモリに正常に記録されたことが確認
された後、機器はカードを排出し操作者がこれを抜き取
って保管する。
【0044】次にこの様な機器の製造から運用に至るサ
イクルの例を、プリペイドシステム管理会社から機器供
給を受けて運用するパチンコ店、ゲームセンタ等の遊技
場での使用を例に図4に示す。
【0045】先の登録操作と機器内処理の実施例では単
純に一種類のカードでデータ登録する例を示したが、こ
の実施例では実際のデータ(機器動作用データ)を登録
するためのカードを「データ登録カード」として、この
「データ登録カード」の使用を可能とするための各種の
キーの値を設定する「キー登録カード」の2種類を使用
している。
【0046】「キー登録カード」で登録するキーとして
は、上記登録操作と機器内処理の実施例で示した相互認
証で使用するキーの他、登録カードであることを示すた
めの照合用データであるカードID(キー)等がある。
この2種類のカードの記録内容をそれぞれ表2及び表3
に示す。
【0047】
【表2】
【0048】
【表3】
【0049】キー登録カードは次のような運用が考えら
れる。 (a)例えば一店舗を一つのシステムと見なし、1シス
テム(各店)ごとに1枚作成し管理会社が保管・使用す
る。
【0050】(b)基本的に機器の設置時、その店のシ
ステムの初期設定として管理会社がこのカードを使用し
て、そのシステム(店舗)で使用するデータ登録カード
のアクセスキーを機器へ登録する際に使用する。
【0051】(c)事故等でその店舗の機器のキーデー
タが消えてしまった場合や、データ登録カードのアクセ
スキーの値にに変更が生じた場合には、管理会社が出向
いてそのキーを機器ヘ再登録する。
【0052】(d)キー登録カード自体の暗証番号の
他、データ登録カード使用に先だって暗証番号を入力し
ないとデータ登録カードが使用できないようにすること
もできる。
【0053】又、データ登録カードは次のような運用が
考えられる。 (a)例えば一店舗をーつのシステムと見なし、1シス
テム(各店).ごとに1枚〜数枚作成し、店舗のシステ
ム管理者が保管・使用する。
【0054】(b)基本的に毎朝、昨夜(昨営業日)の
深夜0時で自動消去されてしまった機器の動作用データ
を再登録する際に使用する。これにより機器は当日の深
夜0時まで使用可能となる。
【0055】(c)データ登録カード自体のID番号の
他、データ登録カード使用に先だって暗証番号を入力し
ないと登録カードが使用できないようにすることもでき
る。図4に示すこれらのカードを使った機器の使用例の
流れは次のようになる。
【0056】機器はメーカにて、カードのハンドリン
グ、表示、通信制御と、カードを使った各種処理の基本
部分を搭載した機器として製造される。機器はメーカか
ら管理会社へ納入されるか、管理会社からの指示により
設置場所へ直接納入され、管理会社の担当者立ち会いの
もとユーザの遊技場(店舗)に設置される。このとき、
管理会社の担当者がキー登録カードを使用して、データ
登録カードのアクセスキーデータを機器へ登録する。こ
のキー登録カードを使用するには、機器側にキー登録カ
ードのカードIDが登録されている必要があり、これに
ついては固定値として製造時に機器に登録してしまう
か、機器のテンキーから管理会社の担当者が入力する等
が考えられる。又、このとき店舗ごとに記録データの異
なるデータ登録カードをユーザ側へ引き渡し、機器の運
用管理は遊技場に任される。
【0057】店側ではデータ登録カードを使って、この
カードを管理する責任者(システム管理者)により、機
器動作用のデータを機器へ登録する。このデータ登録が
完了した後、機器は実際に使用可能となる。
【0058】ここで、本実施例では3.2項として以下
に示される「キーカードによる使用時間延長」の機能も
盛り込んでいる。即ち、店のシステム管理者がデータ登
録カードで登録したデータが機器内部の時計により、登
録後の一定時間か、時刻としての一定時刻に自動消去す
るようにしておき、データ登録カードを使用して再度登
録しなくては使用不可能となるように設定できる。4図
では後者の一定時刻として深夜0時でデータが消去さ
れ、翌朝又は翌営業日開店前に再登録するものとしてい
る。このような運用により、店舗が無人となる深夜や休
日まで使用できない状態となり、盗難されてもデータ登
録カードがなければ不正使用されることはありえない (3.2)データ登録カードによる使用時間延長(カー
ド販売機について) 価値付けされていないカードを投入金額に応じて都度価
値付けして販売するものや、カードを再利用する運用形
態で入金機として機能する機器において、価値付けされ
ていないカードが手に入っても、その販売機を使用して
正当な代価を支払うことなく自由な金額でカードに価値
付けできないようにするために、一定時間に一回、使用
許可キーカードを差し込まないと自動的に使用不能とす
る。
【0059】この方式の実施例は、データ登録カードを
使用許可を与えるキーカードとして利用し、玉貸金額書
込機内のカレンダの日付が変わると書込機内の各種キー
の値が自動消去される例を「3.1登録カードによる主
要データの登録」の運用例として記載している。
【0060】(3.3) 開蓋・破壊時データ消去 以下の手法により、機器のケースを開く等すると動作に
必要な機器内の主要データが消云される。
【0061】動作に必要なデータの主要部分はROMに
は載せずにハードウェアの完成後外部からRAM等の揮
発性のメモリ部分へローディングするものとし、ケース
を開いたり破壊したりするとこのメモリの内容の保持動
作(回路)が中断(切断)しメモリ内のデータを消すこ
とで、それ以降は動作不能とする。
【0062】この方式の実施例は運用例として「データ
登録カード」とそのカードのアクセス用キーを登録する
「キー登録カード」により、機器へ動作に必要なデータ
を登録する部分を「3.1 登録カードによる主要デー
タの登録」の運用例の中に記載している。
【0063】以下に構造案の実施例を示す。 (a)蓋開センサ/スイッチ方式 この筐体構造の断面図を図5に示す。筐体の蓋20が開
かれると解放する光センサスイッチSW1又は機械スイ
ッチSW2、SW3を介して、バックアップ電池8によ
る電源が供給されることで静的(Static)に内容
が保持されている揮発性メモリ(SRAM等)10にデ
ータを記録することで、蓋20が解放されスイッチが解
放された瞬間にバックアップ電源が断たれメモリ内容は
揮発する。
【0064】(b)入射光センサ方式 この筐体構造の断面図を図6に示す。光が入射すると回
路を解放する光センサスイッチSW4、SW5を介して
バックアップ電池8による電源が供給されることで静的
に内容が保持されている揮発性メモリ10にデータを記
録することで、蓋20が解放され光センサスイッチに光
が入射した瞬間にバックアップ電源が断たれメモリ内容
は揮発する。
【0065】(c)筐体回路パターン方式 この筐体構造の断面図を図7に示す。図7(b)に示す
ように、筐体の素材内に巡らされた回路網を通してバッ
クアップ電池8による電源が供給されることで静的に内
容が保持されている揮発性メモリ10にデータを記録す
ることで、筐体の一部が破壊され回路網が途絶した瞬間
にバックアップ電源が断たれメモリ内容は揮発する。筐
体全体に回路網を通す構造が理想だが、ここでは蓋部材
に回路網を通し基板上のコネクタで接続する方式例の筐
体構造を示す。
【0066】以上の実施例は全て、筐体を開こうとした
際に揮発性メモリ10のバックアップ電源を断つ方式だ
が、これらの蓋・筐体を開いたことを検出する手法を利
用し、次のようにメモリのデータを消すことも可能であ
る。尚、これらを複合して使用することも十分考えられ
る。
【0067】(d)DRAM保持動作中断方式 この方式の動作の流れを第8図に示す。データを動的
(Dynamic)にメモリ保持動作をする形式のメモ
リ(DRAM等)に記録し、蓋・筐体が開かれたことを
きっかけにこのメモリ保持動作を中断する。具体的には
DRAM10のメモリ保持動作(リフレッシュ)に不可
欠なクロック信号の供給を主制御部2から制御できる回
路構成としておき、蓋・筐体が開かれたことをスイッ
チ、センサ等で検出したらこのクロック信号を止める割
り込み処理を起動することで実現できる。
【0068】(e)消去プログラム起動方式 この方式の動作の流れを図8に示す。上記の様なバック
アップ電源に関する処置をしていない、常にバックアッ
プされ続けるメモリにデータを記録し、蓋・筐体が開か
れたことをきっかけにこのデータを消去するプログラム
を強制起動する。具体的には、消去すべきデータが格納
されているメモリに対してスペースやNULL等意味の
ないダミーデータを書き込む割り込み処理を用意してお
き、蓋・筐体が開かれたことをスイッチ、センサ等で検
出したらこの割り込み処理を起動することで実現でき
る。
【0069】以上は登録データを消去することを主旨に
説明したが、この手法は(3.2)に示した「使用時間
延長」の処理で使用する機器内の時計が進まないように
改造することの防止にも応用できる。即ち機器内の時計
が進まないように改造することでキーカードによる時間
延長を不要とし、永続的に使用できるようにすることが
できるため、蓋が開かれたり筐体が破壊された場合、時
間・時刻データを無効化することで不正使用を防ぐこと
になる。
【0070】(3.4)電文正当性確認 秘密鍵をカードと機器で持ち合い、相互に共有する何ら
かのデータを秘密鍵を用いて暗号化し、暗号化されたデ
ータを正当性確認情報として電文の一部として含め、そ
の電文が正当な相手から送られてきたものであることを
正当性確認情報の内容により、カードと機器双方が確認
する。
【0071】機器から送られてきた電文のカード側での
確認は、主として偽造された機器による正当なカードに
対する金額の書込(増額)を防止し、カードから送られ
てきた電文の機器側での確認は、主として偽造されたカ
ードによる正当な機器での買い物(購入)を防止する。
又、機器側がカードを不正と判定した場合、そのままカ
ードを保持し警報を発したり、機器内部に回収すること
も可能である。
【0072】以下にカードと機器双方における正当性確
認手順の例を示す。又、これらを複合して各々で電文の
正当性を確認するやりとりの例を図10に示す。図10
はカードの残高を減額し商品を販売するような運用形態
を示す。このような処理の使用例としては、カード側で
の機器からのコマンド電文の正当性確認は偽造された入
金機による正規カードへの入金を防止し、機器側でのカ
ードからの実行結果通知電文の正当性確認は偽造カード
による商品等購入を防止する効果が狙いとなる。従って
図10のように相互に正当性確認を実行することは少な
いと考えられる。即ち、偽造カードに正規の入金機で現
金を支払って入金することも、商品販売に使用する減額
機器を偽造することも、いずれも(不正な)利益は生み
出さないためである。しかし、使用者が偽造カードと知
らない場合等に後述の3.5に示す様な不正カードを回
収し、出所を探るためには有効でる。尚、金額書き換え
コマンドの使用に至る前に、カードと機器相互に正当な
相手であることを確認するための「相互認証」を実行す
る後述の3.5に示す様な運用形態も考えられ、本実施
例と併用することも可能である。
【0073】次に図10の動作によるカード側での正当
性確認を説明する。以下の手順で機器からの金額書き換
えコマンド自体の正当性を確認し、正当と判定されたと
きのみカードは金額書き換えを実行する。
【0074】(stA) 金額書き換えに先立ち機器が
カードに対して乱数出力を要求しカードがこれに応え
る。 (stB) 機器側では取得した乱数を基にこれから書
き込もうとする書込日、書き込み金額を秘密鍵で暗号化
する(この暗号化されたデータが正当性確認情報であ
る)。
【0075】(stC) 機器からカードへステップs
tBで生成したデータを金額書き換えコマンド電文の一
部として送信する(書込日、更新金額も電文に含めて送
る)。
【0076】(stD) 金額書き換えコマンド電文を
受けたカードは先に送出した乱数を基に、内部で同様の
暗号化により正当性確認情報を生成し、電文内の同デー
タと比較することで機器からの電文の正当性を確認し、
照合0Kのときにのみカードは金額書き換えを実行す
る。
【0077】(stE) 照合がOKでなかった場合、
カードは機器に対して処理実行否定通知を送る。この例
は減額機器の場合を示しているが、カード側での機器か
らの電文の正当性確認情報の照合(stD)は、偽造さ
れた入金機(増額機器)による正規カードへの入金を防
止することができる。
【0078】次に図10の動作による機器側での正当性
確認を説明する。上記カード側での正当性確認のステッ
プstDにおいて、カード側で電文を正当と判定し金額
書き換えが実行されると、処理結果の如何に関わらずカ
ードは機器に対して実行結果通知レスポンス電文を返
す。このとき次の手順によりカードからの結果通知電文
自体が正当なものであるかどうかを確認し、正当と判定
されその内容が金額書き換え処理が正常終了を示すとき
のみ機器はカードに対する処理を実行する。
【0079】(stF) 金額書き換えを実行したカー
ドは、金額書き換えコマンド電文の一部として機器から
受け取つた現在時刻、引き去り金額等を、暗号化用秘密
鍵を用いてカード内で暗号化する(この暗号化されたデ
ータが正当性確認情報)。
【0080】(stG) カードから機器へステップs
tFで生成したデータを、書き込みコマンド電文の実行
結果通知(応答)電文の一部として送信する。 (stH) 実行結果通知(応答)電文を受けた機器
は、内部で同様に正当性確認情報を生成する。
【0081】(stI) 生成した正当性確認情報と電
文内同データと比較することで機器かの電文の正当性を
確認し、照合OKのときにのみ機器はそのカードを使用
して所望される動作の最終段階(例えばプリペイド自販
機による商品購入時の商品の送出)を実行する。
【0082】(3.5) 不正カード使用発報 「相互認証」や「実行結果(応答)電文正当性確認」に
より、使用されたカードが不正カードであると判定され
た際、機器はそのカードを内部に保持したまま機器の管
理者側(ホスト)へ通知(即時発報)する。これにより
使用された不正カードを回収したり、使用者を特定する
ことができる。具体的動作の流れを図11に示す。又、
図12に複数の機器30とそれにオンライン接続された
ホスト31構成されるシステムを示す。
【0083】機器はカードが差し込まれるとカードを活
性化する。活性化時に機器が受け取るカードの初期応答
(アンサトゥリセット)については、別種の用途のカー
ドでは機器側で所望の値ではない場合も多く、単なる不
適合カードとして排出すればよい。この初期応答が所望
の値だった際、機器はカードIDの照合に移る。カード
IDについては用途・システムにより様々な値とするこ
とが当然であり、照合NGの場合やはり単なる不適合カ
ードとして排出すればよい。
【0084】カードIDの照合がOKだった場合、引き
続き相互認証の処理に移る。相互認証についてはカード
IDが一致した場合、基本的に(カードやデータが壊れ
ていない限り)不成立となることはなく、不成立の場合
それはほぽ不正カードであると判断して間違いない。こ
の不成立の内容には、相互認証機能がない、相互認証に
使用される乱数生成ロジックが異なる、同一のロジック
でも使用するキー値が異なる、等が考えられる。このと
き機器はそのカードを内部に保持したまま使用者には判
らないように不正カードが使用されたことをオンライン
でホストヘ即時に発報する。
【0085】相互認証が正常に終了した場合、引き続き
金額書き換え処理に移る。この金額書き換えでは、電文
の正当性確認を行なうが、相互認証までもが正常に終了
した場合、カードIDが一致しただけより更に正当性確
認情報が不整合となることはなく、不整合の場合それは
ほぽ不正カードであると判断して間違いない。このとき
機器はそのカードを内部に保持したまま使用者には判ら
ないように不正カードが使用されたことをオンラインで
ホストヘ即時に発報する。尚、この不整合の原因には、
上記相互認証が不成立となる要因と同様、不正カード
に、機能がない、ロジックが異なる、キー値が異なる等
がある。
【0086】3.1に示したプリペイドシステム管理会
社から機器供給を受けて運用するパチンコ店、ゲームセ
ンタ等の遊技場の例においては、発報を受けたホストは
該当する機器を特定する情報を表示するので、係員は発
報した機器へ出向きそのカードを回収するとともに、使
用者に事情を聞くといった運用が可能である。又、不正
カードを機器の内部に回収してしまうことは3.1の例
に限らず適用可能である。
【0087】
【発明の効果】本発明により、プリペイド用ICカード
と処理装置を偽造・変造されにくくできる。即ち、プリ
ペイド用ICカード等の高セキュリティ化されたカード
のセキュリティレベルを機器やデータ管理面で低下すこ
とがないだけでなく、システム全体をより高セキュリテ
ィ化することができる。
【図面の簡単な説明】
【図1】ICカード入金機の外観を示す。
【図2】ICカード入金機の機能構成を示すブロック
図。
【図3】本発明の登録カードによる機器へのデータ登録
操作と機器内処理を示すフローチャート。
【図4】プリペイド用ICカード取扱い機器の製造から
運用に至るサイクルの例を示すフローチャート。
【図5】蓋開センサ/スイッチ方式の筐体断面図。
【図6】入射光センサ方式の筐体断面図。
【図7】筐体回路パターン方式の筐体断面図。
【図8】DRAM保持動作中断方式の動作を示すフロー
チャート。
【図9】消去プログラム機動方式の動作を示すフローチ
ャート。
【図10】ICカードと機器双方で電文の正当性を確認
するやりとりの例を示す図。
【図11】不正カード使用時の発報処理動作を示すフロ
ーチャート。
【図12】機器とホストをオンライン接続した構成を示
す図。
【符号の説明】
2…主制御部 3…主電源部 4…表示部 5…入力部 6…カード取扱い機構 7…現金取扱い部 8…バックアップ電源部 9…プログラムメモリ 10a…ワーキングメモリ 10b…暗号機能プログラムメモリ 10c…キーデータメモリ 40…カード入金機
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 庁内整理番号 FI 技術表示箇所 G07F 7/12 G07F 7/08 S C

Claims (13)

    【特許請求の範囲】
  1. 【請求項1】 ICカードに記録されたデータに基づい
    て動作するICカード取扱い手段と、 前記取扱い手段の通常動作を可能とする動作データを有
    する第1のICカードと、 前記取扱い手段が前記第1のICカードを照合するため
    の照合データを有する第2のICカードを具備し、 前記第2のICカードから前記照合データが前記取扱い
    手段に登録され、登録された照合データを基に前記第1
    のICカードの正当性が判断されることを特徴とするI
    Cカード処理システム。
  2. 【請求項2】 ICカードに記録されたデータに基づい
    て動作するICカード取扱い手段と、 前記取扱い手段の通常動作を可能とする動作データ、及
    び前記取扱い手段との間で相互に認証するための第1の
    相互認証プログラムを有する第1のICカードと、 前記取扱い手段が前記第1のICカードとの間で相互に
    認証するための第2相互認証プログラムを有する第2の
    ICカードを具備し、 前記第2のICカードから前記第2の相互認証プログラ
    ムが前記取扱い手段に登録され、登録された前記第2の
    相互認証プログラム及び前記第1のICカードが有する
    前記第1の相互認証プログラムを基に、前記第1のIC
    カード及び前記取扱い手段は互いに認証を確認しあうこ
    とを特徴とするICカード処理システム。
  3. 【請求項3】 前記取扱い手段は、前記第1のICカー
    ドにより登録されたデータを、登録から一定時間後に自
    動的に消去する手段を更に有することを特徴とする請求
    項1又は2記載のICカード処理システム。
  4. 【請求項4】 前記取扱い手段は、前記第1のICカー
    ドにより登録されたたデータを、毎日一定時刻に自動的
    に消去する手段を更に有することを特徴とする請求項1
    又は2記載のICカード処理システム。
  5. 【請求項5】 前記取扱い手段は、前記第1のICカー
    ドが有する前記動作データを格納する格納手段と、前記
    取扱い手段の筐体の蓋が開かれたことを検出して前記格
    納手段に格納された前記動作データを消去する手段を有
    することを特徴とする請求項1又は2記載のICカード
    処理システム。
  6. 【請求項6】 前記取扱い手段は、前記第1のICカー
    ドが有する前記動作データを格納する格納手段と、前記
    取扱い手段の筐体の蓋が開かれたことを検出して前記筐
    体内部の時間・時刻データを無効化する手段を有するこ
    とを特徴とする請求項1又は2記載のICカード処理シ
    ステム。
  7. 【請求項7】 前記取扱い手段は、光センサにより前記
    蓋が開いたことを検出する手段を有することを特徴とす
    る請求項5又は6記載のICカード処理システム。
  8. 【請求項8】 前記取扱い手段は、前記第1のICカー
    ドが有する前記動作データを格納する格納手段と、前記
    取扱い手段の筐体が破壊されたことを検出して前記格納
    手段に格納された前記動作データを消去する手段を有す
    ることを特徴とする請求項1又は2記載のICカード処
    理システム。
  9. 【請求項9】 前記取扱い手段は、前記第1のICカー
    ドが有する前記動作データを格納する格納手段と、前記
    取扱い手段の筐体の蓋が破壊されたことを検出して前記
    筐体内部の時間・時刻データを無効化する手段を有する
    ことを特徴とする請求項1又は2記載のICカード処理
    システム。
  10. 【請求項10】 前記取扱い手段は、前記筐体部材内に
    張り巡らせた回路網が断たれることにより筐体の破壊を
    検出する手段を有することを特徴とする請求項8又は9
    記載のICカード処理システム。
  11. 【請求項11】 前記取扱い手段は、ICカードとの間
    で正当性確認情報を付加した電文を送受信することによ
    り、前記ICカードの正当性を確認する手段を有するこ
    とを特徴とする請求項1〜10のいずれか一項に記載の
    ICカード処理システム。
  12. 【請求項12】 前記取扱い手段は、複数の要因でIC
    カードの正当性を判断し、その判断結果により単なる不
    適合カードか偽造された不正カードかを判断する手段を
    有することを特徴とする請求項1〜11のいずれか一項
    に記載のICカード処理システム。
  13. 【請求項13】 前記取扱い手段は、不適合カードは排
    出し、不正カードは内部に取り込むかそのまま保持した
    まま他の機器へ発報する手段を有することを特徴とする
    請求項12記載のICカード処理システム。
JP8076201A 1996-03-29 1996-03-29 プリペイド用icカード処理装置 Pending JPH09265516A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP8076201A JPH09265516A (ja) 1996-03-29 1996-03-29 プリペイド用icカード処理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP8076201A JPH09265516A (ja) 1996-03-29 1996-03-29 プリペイド用icカード処理装置

Publications (1)

Publication Number Publication Date
JPH09265516A true JPH09265516A (ja) 1997-10-07

Family

ID=13598555

Family Applications (1)

Application Number Title Priority Date Filing Date
JP8076201A Pending JPH09265516A (ja) 1996-03-29 1996-03-29 プリペイド用icカード処理装置

Country Status (1)

Country Link
JP (1) JPH09265516A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002007215A (ja) * 2000-06-16 2002-01-11 Fujitsu Kiden Ltd 電子機器の改ざん防止装置
JP2002516444A (ja) * 1998-05-18 2002-06-04 ギーゼッケ ウント デフリエント ゲーエムベーハー アクセス防護型データ記憶媒体
US6925560B1 (en) * 1999-06-03 2005-08-02 Gemplus Pre-control of a program in an additional chip card of a terminal

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002516444A (ja) * 1998-05-18 2002-06-04 ギーゼッケ ウント デフリエント ゲーエムベーハー アクセス防護型データ記憶媒体
US6925560B1 (en) * 1999-06-03 2005-08-02 Gemplus Pre-control of a program in an additional chip card of a terminal
JP2002007215A (ja) * 2000-06-16 2002-01-11 Fujitsu Kiden Ltd 電子機器の改ざん防止装置

Similar Documents

Publication Publication Date Title
KR100389229B1 (ko) 거래처리시스템 및 거래처리방법
CA2315656C (en) Card activation at point of distribution
EP0810564B1 (en) Electronic money storing apparatus and IC card control method
JP2015104601A (ja) 遊技システム、各台装置及び遊技管理方法
JPH1094673A (ja) 遊技用装置
JP2003236219A (ja) 遊技用システム
JP6572029B2 (ja) 管理システム
JP4339994B2 (ja) 遊技設備用記憶媒体認証装置
JPH09265516A (ja) プリペイド用icカード処理装置
JP4444761B2 (ja) カード取引装置
JP4863359B2 (ja) 景品交換システムおよび景品交換方法
JP3523038B2 (ja) プリペイドカードシステム、制御装置、中継装置、センタ及び読書装置
WO2002075676A1 (fr) Dispositif de transaction automatique et son procede
JP2002166019A (ja) 遊技情報管理システムおよび情報記録媒体処理装置
JP3739129B2 (ja) 情報媒体を使用した遊技システム
JP4020939B2 (ja) 電子マネー取扱装置及びその制御方法
JPH11102468A (ja) プリペイドカードシステム、カード読書装置及びカード不正防止方法
JP2000231662A (ja) プリペイドカードシステム、中継装置及び読書装置
JP2000268141A (ja) プリペイドカード用読書装置
JP3891363B2 (ja) 遊技情報媒体
JP2003144737A (ja) 遊技媒体貸出システム
JP3921470B2 (ja) 電子マネー取扱装置及びその制御方法
JP4889509B2 (ja) プリペイドカード装置
JP3052923U (ja) 景品メダル払出し機
JP6544924B2 (ja) 管理システム