JPH11506240A - スマートカードのデータを安全に変更する方法 - Google Patents

スマートカードのデータを安全に変更する方法

Info

Publication number
JPH11506240A
JPH11506240A JP9532267A JP53226797A JPH11506240A JP H11506240 A JPH11506240 A JP H11506240A JP 9532267 A JP9532267 A JP 9532267A JP 53226797 A JP53226797 A JP 53226797A JP H11506240 A JPH11506240 A JP H11506240A
Authority
JP
Japan
Prior art keywords
card
command
data
commands
confirmation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP9532267A
Other languages
English (en)
Inventor
マルコ ポール ドルフステーン,マイケル
ミュラー,フランク
Original Assignee
コニンクリジケ ピーティーティー ネーダーランド エヌ ブィー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by コニンクリジケ ピーティーティー ネーダーランド エヌ ブィー filed Critical コニンクリジケ ピーティーティー ネーダーランド エヌ ブィー
Publication of JPH11506240A publication Critical patent/JPH11506240A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/0723Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips the record carrier comprising an arrangement for non-contact communication, e.g. wireless communication circuits on transponder cards, non-contact smart cards or RFIDs
    • G06K19/0725Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips the record carrier comprising an arrangement for non-contact communication, e.g. wireless communication circuits on transponder cards, non-contact smart cards or RFIDs the arrangement being a circuit for emulating a plurality of record carriers, e.g. a single RFID tag capable of representing itself to a reader as a cloud of RFID tags
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3552Downloading or loading of personalisation data
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0813Specific details related to card security
    • G07F7/082Features insuring the integrity of the data on or in the card
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Theoretical Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Credit Cards Or The Like (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

(57)【要約】 本発明はプログラムデータのようなデータを安全にスマートカード(1)に移す方法に関するものである。安全でない環境下で適用可能にするため、本発明の方法は一連の相関する確認値(R0、R1、R2、・・・)を使うことからなる、一方通行の確認機構を含んでいる。さらに、それぞれ確認コード(MAC0、MAC1、・・・)を有するコマンド(INIT、TRAN)を使って、安全が達成される。データを選択されたカードにのみ移すために、カードはカード・プロフィール(CP)が配置プロフィール(DP)と合致したときのみ、移動コマンドを受け入れる。

Description

【発明の詳細な説明】 スマートカードのデータを安全に変更する方法 〔産業上の利用分野〕 本発明はスマートカードのデータを安全に変更する方法に関するものである。 さらに詳しくは、本発明はスマートカードにデータを安全に入れたり消したり、 データ構造を安全に作って消す方法に関するもので、この方法はまた、いわゆる 忌避署名(challenge−signed)応答証明が可能でない環境下に も適用できる。ここでいうデータは、実行可能な(プログラム)データ、すなわ ちコマンド、あるいは静的な(非プログラム)データ、あるいはこれら双方から なっている。この、いわゆる静的なデータはファイル構造やデータ構造からなっ ている。 現代の支払いシステムでは、電子支払い媒体の使用がますます重要になってき ている。メモリーカードやスマートカード(一般にICカードと呼ばれている) のような電子支払い媒体は、その応用が拡張しているという評価を得ている。多 くの国々で電子カードは公衆電話等に用いられている。最新のカードは他の機能 に加え、電子「財布」の機能を含むことができる。そのような最新の支払い媒体 はメモリーに加え、適切なプログラムを行うことのできるプロセッサを含んでい る。 ここで、スマートカードあるいはカードという用語は、プロセッサおよびメモ リーからなる集積回路を少なくとも1つ持っている電子支払い媒体を表すために 用いられることに留意すべきである。いわゆるスマートカードの実際の形状がど んなであるかは重要でない。 スマートカードのプロセッサ上で行われるプログラムは、カードから提供され るサービス、すなわち、カードにあるソフトに依存してスマートカードの機能お よび関連するデータ構造(たとえば、財布・ユーザID・ロイヤルティプログラ ム)を決定する。時が経つにつれ、新機能を加えたり既存機能を改良したりする ために、カードのプログラムを更新する必要がしばしば生ずる。このため、カー ドは他のプログラムを置き換える新しいプログラムを受け入れる必要がある。し かし、その際、新たに入れたプログラムが有効に働くということを確認しなけれ ばならない。プログラムの確認は、安全なデータ交換プロトコルを使って比較的 簡単に達成できる。そのデータ交換プロトコルにおいて、カードと安全な端末( たとえば、キーと他のデータが安全に貯えられているいわゆる安全モジュールを 持っている)との間で、データが交換される。そのような安全なプロトコルは、 忌避署名応答プロトコルからなり得る。スマートカードと端末との間でデータを 交換するためのプロトコルの例が、たとえば米国特許第5,161,231号や 欧州特許出願第0,559,205号(米国特許第5,369,760号に対応 する)に開示されている。 しかし、安全な端末がない場合には、そのようなプロトコルの安全性は端末の 信頼性に依存しているので、そのようなプロトコルは使用できない。 〔本発明の構成〕 本発明の目的は上記および他の従来技術の問題点を克服し、安全の保証されて いない(non−secure)環境下でさえ、安全にスマートカードにデータ を入れさせる方法を提供することにある。さらに本発明の目的は、一方通行(o ne−way)確認機構からなる、データをスマートカードに安全に移す方法を 提供することにある。さらにまた本発明の目的は、貯えて前進させる(stor e and foward)プロトコルからなる、データをスマートカードに安 全に移す方法を提供することにある。 これらおよび他の目的を達成するため、本発明のデータをスマートカードに安 全に変更する方法は、初期確認値からなりコマンドと初期値に基づく初期確認コ ードを生ずる開始コマンドを発生させ、移されるデータからなりコマンドおよび 初期値から引き出される次の確認値の双方に基づく次の確認コードを生ずる少な くとも1つの移動コマンドを発生させ、このようにして生じたコマンドとその確 認コードをスマートカードに写し、確認コードをチェックし初期値から引き出さ れる次の確認値をチェックすることによりスマートカード内のコマンドを確認し 、および移されたデータをカード内に貯えるステップからなっている。 すなわち、開始コマンドはカードに初期確認値を与え、この値が移動コマンド における次の確認値を生じるためにも使われる。その次の値を引き出し、これら の値を移動コマンド内の値と比較することにより、カードは受け取ったコマンド の確実性を有効にチェックすることができる。さらに、「ハッシュ」(hash )、パリティ・ビットあるいは一般にメッセージ確認コード(MAC)のような 確認コードは、受け取ったコマンドの確実性を検証するために使われる。こうし て付加的な保護がなされ、これは移されたデータが組み込まれた(built− in)保護機構をもたないカード・コマンド、すなわち保護されていないコマン ドからなるとき、特に有利である。上に説明した確認値と確認コードを組み合わ せて使うことにより、移されたデータの不正操作に対して有効に保護される。 一層のチェック機構を達成するため、開始コマンドはさらに移動コマンドの数 からもなっていることが好ましい。これにより、すべての移動コマンドが受け取 られたかどうかをカードがチェックでき、かつ、移されたデータを気が付かない で失うことを防げる。 好都合なことに、開始コマンドは移動コマンド以外のコマンドをカードが受け 入れることを禁ずるように作られている。このようにして、データをカードに移 すことは他のコマンドの実行によっては阻止され得ない。また、一部分移された データが操作されることも防がれる。 各移動コマンドはさらに連続番号をもつことが好ましい。これにより、移動コ マンドの正しい順序において連続した受け取りをチェックできるばかりでなく、 送信エラー(たとえば確認コードによって検出される)が起きてもある限られた 数の移動コマンドを再送信する可能性も与えられる。さらに、幾つかの移動コマ ンドを取り消す可能性も与える。 移動コマンドは原則的にどんな種類のデータも移すために使われる。移動デー タはたとえば金銭残高や電話番号簿(静的なデータ)からなるばかりでなく、1 以上のカード・コマンド(実行できるデータ)からもなる。このようなコマンド はたとえば、1以上のメモリー位置を更新するUPDATEコマンドや、メモリ ー位置を割り当てるCREATEコマンドからなり得る。既存コマンド以外に、 新しいカード・コマンドも移動データ内に含まれ得る。カード・コマンドはメモ リー内に貯えられ得るが、カードへ移される際直ちに実行もされ得る。このよう にして、カードのメモリー内容を効果的に変調する方法が成し遂げられる。 〔実施例〕 図1にスマートカードあるいはICカード1を概略的に例示する。スマートカ ード1は基板2と、その中に埋め込まれた集積回路からなる。集積回路はカード リーダ等と接触するための端子3を有している。本発明はいわゆる非接触スマー トカードの場合にも適用できることを留意すべきである。 図2に集積回路10を概略的に例示する。集積回路10はプロセッサ11、メ モリ12および入出力回路13からなっている。メモリは一時的にデータを貯え るための揮発性メモリ(RAM)部分と、永久にあるいは半永久的にデータを貯 えるための不揮発性メモリ(ROM)部分とからなる。後者はEEPROMタイ プのメモリーが好ましい。不揮発性部に貯えられたデータは、プログラミング・ データ(インストラクション、プログラム)および支払いデータ、すなわち金銭 に関するデータの双方を含む。図示しない他のメモリがプロセッサ11のインス トラクションを貯えるために設けられている。 本発明の方法を図4、5に概略的に例示する。図4、5は外部ソース(たとえ ばアプリケーション・プロバイダ)から図1のカード1のようなカードへのデー タの移動を意味している。本発明によるデータの移動は図3に示すような一組の コマンドを生じることを伴う。開始コマンド(INIT)の次に1以上の移動コ マンド(TRAN)がくる。すべてのコマンドはパラメータ(R0,R1,・, N,・・・)からなり、すべての移動コマンドはデータ(DATA1,DATA 2,・・・)からなっている。パラメータは確認値(R0,R1,・・・)から なっている。各コマンドに伴って確認コード(MAC0,MAC1,・・・)が ある。このコマンド(「スクリプト」)の組が生じる様を、図4を用いて説明す る。 手続はステップ100から始まる。ステップ101で移動コマンド(TRAN )の数が決定される。スマートカードに入れられるデータ項目は予め表にまとめ られていることが好ましい。データ項目の数(N)がカードに入れるのに必要な コマンド(TRAN)の数を決定する。移動コマンドの数(N)は次に、たとえ ば表(図示せず)の項目の数を数えることによって決定される。 ステップ102で、初期確認値R0が持ってこられる。値R0は予め決めても よいが、たとえばランダム数発生器によって発生させることが好ましい。値R0 は後で使うために一時的に貯えられる。 ステップ103で、開始コマンド(INIT)が固有のコマンドコード、値R 0および数Nを集めることにより発生する。確認コードMAC0がステップ10 4で計算される。コードMAC0はたとえば、三重符号化を使ってANSI × 9.19規格に従って計算される。ステップ104で開始コマンドINITとそ れに伴う確認コードMAC0が(一時的に)貯えられる。 ステップ106で、移動コマンド、その確認コードおよび確認値が決定される ループが開始される。移動コマンドは好ましくは連続数(S)を与えられ、ステ ップ106でSは1にセットされる。 ステップ107で、確認値R1,R2,・・・がたとえば乱数発生器を使って 初期確認値R0から引き出される。あるいは、(例えばANSI ×9.19規 格によって)メッセージ確認コード・プロセスが確認値を発生させるために採用 され、その結果の“MAC”は確認値として使われる。このプロセスで、秘密キ ーKのような1以上のキーが使われる。 図4の手続(処理)において、確認値(R)を引き出すことは少なくともN回 行なわれなければならない。 より一層の安全性は、たとえば引き出した値を1つ置きに、すなわち値をスキ ップして使うことによって達成される。この場合、N回以上の引き出しが行われ る。確認値R1,R2,・・・は相関があるが、引き出しプロセスで連続する結 果にならなくてもよい。たとえば、R0,R2,R4,・・・だけが使われるこ ともある。 ステップ108で、移されるべきデータがたとえば前記データ表から持ってこ られる。これらのデータはステップ109で移動コマンド(TRAN)を生じさ せるために使われる。移動コマンドはコマンド・プロパー(インストラクション ・コード)、確認値(R〔N〕)、連続数(S)およびデータ(DATA〔N〕 )からなっている。ステップ110で、確認コード(MAC〔N〕)がステップ 104と同様に計算される。移動コマンドとその確認コードがステップ111 で貯えられる。 ステップ112で連続数Sを1増した後、ステップ113でSとデータ項目の 数Nの大きさを比較する。すべてのデータ項目が処理されていれば、本発明の方 法のこの部分はステップ114で終了する。そうでなければ、ステップ107に もどる。 図5に、図4の方法に従って生じたコマンドの組がスマートカードによってど のように処理されるかを示す。ステップ200でカードを作動させた後、ステッ プ201で開始コマンド(INIT)が受け取られる。まず、その確認コード( MAC0)がステップ202で検証される。これは好ましくは確認コードの再計 算と、その再計算されたコード(MAC0’)を受け取られたコード(MAC0 )を比較することを含んでいる。コードが有効なら、ステップ203に進む。そ うでなければ、手続はExitになる。Exitの後、再送信の要求のような格 別の措置が取られる。簡単にするため、これは図5に示していない。 ステップ203で、開始コマンドに含まれていないNとR0の値を後から使う ため貯える。好ましくは、カードは移動コマンドだけが受け取られ得るモードに 置かれる。こうすることにより、手続の中断を防げる。好ましくは、すべての移 動コマンドが受け取られてしまうまで、移動のみの状態にカードが「ロック」さ れたままになる。前に述べたように、移動コマンドの総数(N)はINITコマ ンドに含まれている。 ステップ204で、移動コマンドを処理するループの準備をする。図4の連続 数Sに対応するカウンターTを1にセットする。 ステップ205で、移動コマンド(TRAN)が受け取られる。初めてステッ プ205が行われると、第1移動コマンドTRAN1が受け取られる。すべての コマンドは事実上同時に受け取られ、ステップ205で個々の移動コマンドの処 理が実際に始まることが理解されるであろう。図3に示した第1移動コマンドは TRAN(R1,1,DATA1,・・・),MAC1 という構造を有している。ここでTRANはコマンド・プロパーを表し、R1は 第1後続(すなわち、R0に続く2番目の)確認値、1は連続数(S)、DAT A1はコマンドに含まれているデータ、およびMAC1はコマンドの確認コード である。 図5のステップ206で、二重テストが行なわれる。まず、移動コマンドの確 認コードMAC〔T〕がたとえばコードを再び生じさせることによって有効性を チェックされ、その結果(たとえばMAC1’)を受け取ったコード(たとえば MAC1)と比較される。この2つのコードが等しくなければ、ルーチンがEx itに出された後、そのコマンドは拒絶され、再送信要求が出される。カードは 確認コードを生じさせるのに必要なキーを含んでいる。コードを再び生じさせる 代りに、何か他の有効性チェックを採用してもよい。 さらに、すべての移動コマンドが正しい順序で受け取られることを確認するた め、カードは受け取った連続数Sをチェックする。もし、この連続数Sがカウン ターTと等しくなければ、上記のようにルーチンはExitに出される。 確認コードと連続数の双方が有効とわかれば、ルーチンはステップ207に進 み、確認値Rが前の値から引き出される。第1移動コマンドが処理されている場 合(T=1)には、キーKを使ってR0からR1が引き出される。このステップ 207での引き出しは、図4のステップ107のそれに対応している。 Rが正しいかどうか、ステップ208でチェックされる。引き出された確認値 (R’)が受け取られた値(R)と同一でなければ、ルーチンはExitに出さ れる。これにより、すべての移動コマンドが確認される。すなわち、図4のルー チンで引き出されたように、相関をもった確認値を与えられる。 確認値Rが正しいことがわかると、移動コマンドに含まれるデータが貯えられ る。一般に、これらのデータはカードのメモリーに貯えられる。しかし、もしデ ータがカード・コマンドすなわちスマートカードのプロセッサに対するインスト ラクションを有しているなら、これらのカード・コマンドは直接実行される。こ の場合、移動コマンドは関係するスマートカード・コマンドを直接、スマートカ ード・プロセッサのインストラクシヨン・レジスタに入れ、プロセッサにそのコ マンドを実行させる。移動コマンドは移されたデータの性質とそれらの行先を示 すフラグを有している。移されたカード・コマンドを直接実行することにより、 データをカードに入れたり、カード上でデータ構造を変えたり作ったりするため の有効な方法を与えられる。 ステップ209でDATA〔T〕を貯えた後、ステップ210でカウンターT は1を加えられる。続いてステップ211で、Tの値が移動コマンドの(予期さ れる)数と比較される。すべての移動コマンドが処理されてしまっていれば、ル ーチンはステップ212で終了し、移動コマンドが受け入れられる状態が打ち切 られる。そうでない場合には、次の移動コマンドはステップ205で受け取られ る。 移動コマンドに含まれている連続数Sはいろいろな目的に役立つ。まず、移動 コマンドが受け取られ処理される正しい順序をチェックするための機構を与える 。次に、移動コマンドの中断されたシーケンスを再開させる機構を与える。たと えば、送信エラーが起こり、10回のシリーズのうち5回、移動コマンドが処理 された後、図5のルーチンがExitに出たなら、一連のコマンドが再送信され るとき、最後の連続数SやカウンターTが正しいコマンドで処理を再開するのに 使われ得る。また、最後の連続数SやカウンターTは、処理された移動コマンド の効果を取り消すためにも使われ得る。失敗したシリーズの移動コマンドを取り 消すため、第1シリーズの結果を取り消す効果をもつ新しいシリーズのコマンド が与えられる。上に説明した例では、カードが確認値R1、R2、・・・を再び 生じさせることを前提としている。これはある量の処理能力と処理時間を要する ので、各先行コマンドの確認コードを確認値として使うことにより、手続を簡単 にすることができる。図3を参照すると、これはR1の値をMAC0に等しく選 び、R2をMAC1に著しく選び・・・ということを意味している。初期確認値 R0は、その場合、省かれる。このような機構により、安全性を犠牲にして時間 を短縮し、簡略化することができる。この簡略化された手続で安全性のレベルを 上げるために、(先行)確認コード・プロパーは使わずに、そのコードから引き 出した値を確認値R2=F(MAC1)として使うことができる。ここでFは、 たとえばハッシュ(hash)関数あるいはパリティ関数である。 たとえば図3に示されているような一連のコマンドが、1以上のカードに供給 され得る。特定の一連のコマンドの配置を制御するため、開始コマンド(INI T)はカードに貯えられるカード・プロフィール(CP)と比較される配置プロ フィール(DP)をもつことが好ましい。開始コマンドはこの配置プロフィール (DP)とカード・プロフィール(CP)が「合致する」ときのみ、実行される 。これらのプロフィールはユーザーやカード関連情報を、たとえば16バイト含 んでいる。配置プロフィールは一組のカードに対する特定情報を含むので、DP とCPが比較される前にカード・プロフィールの情報を通信することにより置き 換えられるワイルドカード(wild cards)を含んでいる可能性がある 。それゆえ、前記「合致する」(match)という用語は、ワイルドカードの 通信を含むと理解されなければならない。これらのプロフィールは、カードが移 動コマンド受け入れモードに入れられるべきでないことを示すフラグをサービス ・プロフィール内に含むことにより、カードの公認をチェックすることにのみ使 われ得る。例示すると、各プロフィールは16ビットからなると仮定してみよう 。 プロフィール は、(最後の)4つの最も意味の小さなビットがワイルドカードと考えられるな ら、すなわち、考慮に入れられないなら、合致する。つまり、配置プロフィール カード・プロフィールと「合致する」。他のカード・プロフィール(CP)をも つカードは、開始コマンドを実行しないので、データを変更させない。 本発明の方法は、上記説明から明らかなように、基本的に3つのステージを含 んている。 (1)一組のコマンド、すなわち、1つの開始コマンドと、問題になっているデ ータを移すのに必要な多くの移動コマンドを発生させること。これは、一組の相 関する確認値を発生させることを含んでいる。各コマンドはさらに確認コード( MAC)を有している。 (2)上記一組のコマンドをカードに送信すること。 (3)各コマンドの確認コードをチェックした後、カード上でコマンドを実行す ること。移動コマンドの場合、この実行は確認値のチェックと関係あるデータを メモリーに入れることを含み、あるいは(カード・コマンドの場合には)カード のプロセッサのインストラクション・レジスタに関係あるデータを入れることを 含んている。 本発明の方法はこのようにして、関係する確認値が一連の受け取りデータが変 更されていないことを保証し、各コマンドに伴う確認コードが移されたデータの 保護を与えるという二重保護機構を与えることにより、データ(たとえばカード ・コマンド)をスマートカードへ安全に移させる。移されたデータがスマートカ ード・コマンドの場合、本発明の方法は保護されていないコマンドの保護を与え る。 図6に、スマートカード上にデータを変更するためのシステムを概略例示する 。該システムは、データリンク6によってコンピュータ7に接続されたカード・ リーダ/ライタ5からなる。スマートカード1はカード・リーダ/ライタ5に挿 入される。たとえば図3の表に示したような一組のコマンドが、コンピュータ7 に用意されている。そのコマンドがデータリンク6を通じてカードリーダ/ライ タ5に送られ、そこからスマートカード1に移される。スマートカードは上記の ようにしてそのコマンドを実行し、関係ある適切なデータをメモリーに貯える。 上記実施例は例示のためのみであり、本発明の範囲から逸脱することなく多く の変更や追加が可能であることは、当業者には理解されるであろう。 〔図面の簡単な説明〕 (図1)スマートカードの概略構成図。 (図2)図1のスマートカードの集積回路のブロック図。 (図3)本発明の方法に使われるコマンドの構成図。 (図4)一組のコマンドを発生させるためのフローチャート。 (図5)カードで一組のコマンドを処理するためのフローチャート。 (図6)スマートカード上でデータを変更するためのシステムの概略構成図。 〔主な符号の説明〕 1:スマートカード 2:基板 3:端子 5:カード・リーダ/ライタ 6:データリンク 7:コンピュータ 10:集積回路 INIT:開始コマンド TRAN:移動コマンド R〔N〕:確認値 DATA〔N〕:データ MAC〔N〕:確認コード
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 FI G07F 7/10 G06F 15/30 350 (81)指定国 EP(AT,BE,CH,DE, DK,ES,FI,FR,GB,GR,IE,IT,L U,MC,NL,PT,SE),UA(AM,AZ,BY ,KG,KZ,MD,RU,TJ,TM),AU,BR ,CA,CN,CZ,EE,HU,IL,JP,KR, LT,LV,MX,NO,NZ,PL,SG (72)発明者 ミュラー,フランク オランダ国 エヌエル―2623 エヌジェイ デルフト メールコートラーン 24

Claims (1)

  1. 【特許請求の範囲】 1.初期確認値(R0)からなる開始コマンド(INIT)を発生させ、該コマ ンドおよび初期値(R0)に基づいて初期確認コード(MAC0)を発生させ、 移されるべきデータ(DATA)からなる少なくとも一つの移動コマンド(T RAN)を発生させ、該コマンド(TRAN)および初期値(R0)から引き出 される後続確認値(R1、R2、・・・)の双方に基づいて、後続確認コード( MAC1、MAC2、・・・)を発生させ、 このようにして発生させられたコマンドとその確認コードをスマートカード( 1)に移し、 確認コード(MAC0、MAC1、・・・)をチェックし、初期値(R0)か ら引き出される後続確認値(RL ・・・)をチェックすることにより、スマー トカード(1)内のコマンドを確認し、および、 移されたデータ(DATA)をカード内に貯える ステップからなる、スマートカード(1)内でデータを安全に変更する方法。 2.前記開始コマンド(INIT)がさらに、移動コマンドの数(N)を有する 請求項1の方法。 3.開始コマンド(INIT)が移動コマンド(TRAN)以外のコマンドをカ ード(1)が受け入れることを禁ずるようにアレンジされている請求項1又は2 の方法。 4.各移動コマンド(TRAN)がさらに連続数(SN)を有する請求項1〜3 のいずれか1項の方法。 5.移動データ(DATA)がカード・コマンド(たとえば、UPDATE)か らなる請求項1〜4のいずれか1項の方法。 6.カード・コマンド(たとえば、UPDATE)がカードへの移動の際、直接 実行される請求項5の方法。 7.カード・コマンドがETSI TE−9推奨に従って保護されたコマンドで あり、該コマンドを保護するために必要な値が確認値に相当する請求項5又は6 の方法。 8.確認コード(MAC1、MAC2、・・・)がANSI ×9.19規格に 従って発生させられる請求項1〜7のいずれか1項の方法。 9.後続値(R1、R2、・・・)を引き出すことが、秘密キー(K)の使用を 含む請求項1〜8のいずれか1項の方法。 10.開始コマンド(INIT)が配置プロフィール(DP)を有し、カードが カード・プロフィール(CP)を有し、開始コマンドは配置プロフィール(DP )とカード・プロフィール(CP)が合致したときのみ実行される請求項1〜9 のいずれか1項の方法。 11.開始コマンド(INIT)がカード(1)を、移動コマンド(TRAN) のみが実行される移動状態に置く請求項1〜10のいずれか1項の方法。 12.開始コマンド(INIT)に含まれている移動コマンドの数(N)によっ て示されるように、カード(1)がすべての移動コマンド(TRAN)を受け取 ってしまうまで、カード(1)が移動状態のままでいる請求項11の方法。
JP9532267A 1996-03-11 1997-03-07 スマートカードのデータを安全に変更する方法 Pending JPH11506240A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP96200658A EP0795844A1 (en) 1996-03-11 1996-03-11 Method of securely modifying data on a smart card
EP96200658.1 1996-03-11
PCT/EP1997/001175 WO1997034266A1 (en) 1996-03-11 1997-03-07 Method of securely modifying data on a smart card

Publications (1)

Publication Number Publication Date
JPH11506240A true JPH11506240A (ja) 1999-06-02

Family

ID=8223767

Family Applications (1)

Application Number Title Priority Date Filing Date
JP9532267A Pending JPH11506240A (ja) 1996-03-11 1997-03-07 スマートカードのデータを安全に変更する方法

Country Status (11)

Country Link
US (1) US5856659A (ja)
EP (2) EP0795844A1 (ja)
JP (1) JPH11506240A (ja)
KR (1) KR19990087701A (ja)
AT (1) ATE227453T1 (ja)
AU (1) AU711427B2 (ja)
BR (1) BR9708017A (ja)
CA (1) CA2245944A1 (ja)
DE (1) DE69716955D1 (ja)
NZ (1) NZ331257A (ja)
WO (1) WO1997034266A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006065503A (ja) * 2004-08-25 2006-03-09 Matsushita Electric Ind Co Ltd 権利情報を格納した記録媒体、情報処理装置及び権利情報の管理方法
JP2007199890A (ja) * 2006-01-25 2007-08-09 Sony Corp コンテンツ伝送システム、コンテンツ伝送装置及びコンテンツ伝送方法、並びにコンピュータ・プログラム

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0825739A1 (en) * 1996-08-15 1998-02-25 Koninklijke KPN N.V. Method of loading commands in the security module of a terminal
CA2288824A1 (en) 1997-03-24 1998-10-01 Marc B. Kekicheff A system and method for a multi-application smart card which can facilitate a post-issuance download of an application onto the smart card
JP3895830B2 (ja) * 1997-06-18 2007-03-22 インテリジェントディスク株式会社 電子回路を有する記憶媒体
JPH117296A (ja) 1997-06-18 1999-01-12 Oputoromu:Kk 電子回路を有する記憶媒体と該記憶媒体を有する音声合成装置
US20010044864A1 (en) * 1997-06-18 2001-11-22 Kabushiki Kaisha Optrom Disk storage system having an electronic circuit mounted on the surface of the disk and control method thereof
JP3798888B2 (ja) * 1997-06-19 2006-07-19 孝士 重富 コンピュータシステム
TW389894B (en) 1997-06-19 2000-05-11 Optrom Kk Device for exchanging information with storage medium having electronic circuit and the electronic circuit, and system including the same
FR2765985B1 (fr) * 1997-07-10 1999-09-17 Gemplus Card Int Procede de gestion d'un terminal securise
FR2775375A1 (fr) 1998-02-23 1999-08-27 Solaic Sa Chargement de programmes informatiques en blocs
FR2777371B1 (fr) * 1998-04-09 2001-10-26 Innovatron Electronique Procede pour modifier de maniere indivisible une pluralite d'emplacements de la memoire non volatile d'une carte a microcircuit
FR2781592B1 (fr) * 1998-07-27 2000-09-08 Gemplus Card Int Procede de controle de l'execution d'une demande d'actions transmise par un serveur vers une carte a puce via un terminal
EP1125262A1 (en) * 1998-10-27 2001-08-22 Visa International Service Association Delegated management of smart card applications
FR2787221B1 (fr) * 1998-12-09 2003-12-05 Inside Technologies Circuit integre a acces securise
JP3545627B2 (ja) 1999-02-08 2004-07-21 株式会社東芝 携帯可能電子装置
DE19921232B4 (de) * 1999-05-07 2007-06-21 Giesecke & Devrient Gmbh Verfahren zum gesicherten Schreiben eines Zeigers für einen Ringspeicher, zugehöriger Ringspeicher, Verwendung des Ringspeichers und Chipkarte mit Ringspeicher
US6615191B1 (en) 1999-05-11 2003-09-02 E. Addison Seeley Software licensing and distribution systems and methods employing biometric sample authentication
FR2795835B1 (fr) * 1999-07-01 2001-10-05 Bull Cp8 Procede de verification de transformateurs de codes pour un systeme embarque, notamment sur une carte a puce
JP2001056848A (ja) * 1999-08-19 2001-02-27 Nec Corp Icコードのコマンド実行制御方法、icカード、icカードプログラムを記録した記録媒体
GB9925227D0 (en) 1999-10-25 1999-12-22 Internet Limited Data storage retrieval and access system
JP3590338B2 (ja) * 1999-12-13 2004-11-17 株式会社東芝 携帯可能電子装置
JP4501197B2 (ja) * 2000-01-07 2010-07-14 ソニー株式会社 情報携帯処理システム、情報携帯装置のアクセス装置及び情報携帯装置
US7588180B1 (en) 2000-01-28 2009-09-15 International Apparel Group, Llc Multi-application smart card with currency exchange, location tracking, and personal identification capabilities
US6453301B1 (en) * 2000-02-23 2002-09-17 Sony Corporation Method of using personal device with internal biometric in conducting transactions over a network
US7043642B1 (en) * 2000-05-22 2006-05-09 Gemplus Process to manage data in a chip card
US7251633B2 (en) * 2000-12-11 2007-07-31 Sony Corporation Method or system for executing deferred transactions
US20020123971A1 (en) * 2000-12-11 2002-09-05 Maritzen L. Michael Method and system of conducting network-based transactions
US7765163B2 (en) * 2000-12-12 2010-07-27 Sony Corporation System and method for conducting secure transactions over a network
US20020124190A1 (en) * 2001-03-01 2002-09-05 Brian Siegel Method and system for restricted biometric access to content of packaged media
US7032047B2 (en) * 2001-03-12 2006-04-18 Motorola, Inc. Method of regulating usage and/or concession eligibility via distributed list management in a smart card system
SE520489C2 (sv) * 2001-03-16 2003-07-15 Smarttrust Systems Oy Förfarande och arrangemang i en databas
US6655587B2 (en) * 2001-03-21 2003-12-02 Cubic Corporation Customer administered autoload
DE60217370T2 (de) 2001-08-24 2007-10-11 Cubic Corp., San Diego Universelle ticket-transportvorrichtung
JP2004013744A (ja) * 2002-06-10 2004-01-15 Takeshi Sakamura デジタルコンテンツの発行システム及び発行方法
ATE350872T1 (de) * 2002-10-07 2007-01-15 Ericsson Telefon Ab L M Sicherheits- und privatsphärenverbesserungen für sicherheitseinrichtungen
US7097107B1 (en) * 2003-04-09 2006-08-29 Mobile-Mind, Inc. Pseudo-random number sequence file for an integrated circuit card
DE10340411B4 (de) * 2003-09-02 2005-10-13 Infineon Technologies Ag Vorrichtung und Verfahren zur sicheren Ausführung eines Programms
US20060206910A1 (en) * 2005-03-10 2006-09-14 Aladdin Knowledge Systems Ltd. Extended CD
EP3048776B2 (en) * 2015-01-22 2021-03-17 Nxp B.V. Methods for managing content, computer program products and secure element
CN105592440A (zh) * 2015-12-25 2016-05-18 中国银联股份有限公司 智能卡内容管理系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3682476D1 (de) * 1985-10-07 1991-12-19 Toshiba Kawasaki Kk Tragbares elektronisches geraet.
DE3731736A1 (de) * 1986-09-27 1988-04-07 Toshiba Kawasaki Kk Verarbeitungssystem fuer tragbare elektronische vorrichtung
DE69022424T2 (de) * 1990-11-09 1996-03-28 Ibm Nichtablehnung in Rechnernetzwerken.
DE4119924C3 (de) * 1991-06-17 1996-06-20 Siemens Ag Verfahren zur Sicherung von ladbaren Guthaben in Chipkarten
JPH05250523A (ja) * 1992-03-06 1993-09-28 Toshiba Corp 処理方式

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006065503A (ja) * 2004-08-25 2006-03-09 Matsushita Electric Ind Co Ltd 権利情報を格納した記録媒体、情報処理装置及び権利情報の管理方法
JP2007199890A (ja) * 2006-01-25 2007-08-09 Sony Corp コンテンツ伝送システム、コンテンツ伝送装置及びコンテンツ伝送方法、並びにコンピュータ・プログラム

Also Published As

Publication number Publication date
EP0960403A1 (en) 1999-12-01
AU711427B2 (en) 1999-10-14
EP0795844A1 (en) 1997-09-17
US5856659A (en) 1999-01-05
DE69716955D1 (de) 2002-12-12
KR19990087701A (ko) 1999-12-27
BR9708017A (pt) 1999-07-27
WO1997034266A1 (en) 1997-09-18
EP0960403B1 (en) 2002-11-06
CA2245944A1 (en) 1997-09-18
AU2154097A (en) 1997-10-01
ATE227453T1 (de) 2002-11-15
NZ331257A (en) 1999-10-28

Similar Documents

Publication Publication Date Title
JPH11506240A (ja) スマートカードのデータを安全に変更する方法
AU712353B2 (en) Method of securely loading commands in a smart card
EP0851396A1 (en) System for increasing a value of an electronic payment card
EP1860620A2 (en) Terminal device, secure device and application authentication method
US7039808B1 (en) Method for verifying a message signature
EP1223565A1 (en) Transaction system, portable device, terminal and methods of transaction
US20050050366A1 (en) Personal website for electronic commerce on a smart Java card with multiple security check points
US7500605B2 (en) Tamper resistant device and file generation method
JP2005529547A (ja) 電子署名のチェック方法およびシステムと、該方法で使用する超小型回路付カード
WO1999064996A1 (en) Preloaded ic-card and method for authenticating the same
JP2003510684A (ja) プログラム実行を保護するための方法
US5889266A (en) Data transfer system having a terminal and a portable data carrier configuration and method for recharging the portable data carrier configuration using the terminal
US7725942B2 (en) Method for loading and customizing data and programmes loaded in a smart card
US8020773B2 (en) Method for personalizing chip cards
EP0825739A1 (en) Method of loading commands in the security module of a terminal
JP2853549B2 (ja) 可搬型データ担体処理システム
JP3173522B2 (ja) Icカード用プログラム処理装置
KR100562090B1 (ko) 마이크로회로 카드, 특히 비접촉형 카드에서 다수의 비휘발성 메모리 위치를 불가분적으로 수정하는 방법
WO2000028493A1 (en) A method of encryption and apparatus therefor
AU749396B2 (en) Method of loading commands in the security module of a terminal
BRPI0409234B1 (pt) entidade eletrônica tornada segura que compreende meios para memorizar um número máximo permitido de utilizações de um dado secreto e processo de modificação de um número máximo permitido de utilizações de um dado secreto memorizado por uma entidade eletrônica tornada segura
JP2005038220A (ja) カード不正使用発見方法及びシステム
NZ501677A (en) Verification of loading of commands in the security module of a terminal