JPWO2005121976A1 - 情報管理装置及び情報管理方法 - Google Patents

情報管理装置及び情報管理方法 Download PDF

Info

Publication number
JPWO2005121976A1
JPWO2005121976A1 JP2006519592A JP2006519592A JPWO2005121976A1 JP WO2005121976 A1 JPWO2005121976 A1 JP WO2005121976A1 JP 2006519592 A JP2006519592 A JP 2006519592A JP 2006519592 A JP2006519592 A JP 2006519592A JP WO2005121976 A1 JPWO2005121976 A1 JP WO2005121976A1
Authority
JP
Japan
Prior art keywords
file
card
information
access management
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006519592A
Other languages
English (en)
Inventor
太郎 栗田
太郎 栗田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp filed Critical Sony Corp
Publication of JPWO2005121976A1 publication Critical patent/JPWO2005121976A1/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0866Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means by active credit-cards adapted therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K17/00Methods or arrangements for effecting co-operative working between equipments covered by two or more of main groups G06K1/00 - G06K15/00, e.g. automatic card files incorporating conveying and reading operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/357Cards having a plurality of specified features
    • G06Q20/3576Multiple memory zones on card
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/363Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes with the personal data of a user
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system

Abstract

メモリ領域上に電子的に格納されている価値情報のコピー若しくはバックアップを行ない、端末間での価値情報の移動を円滑に行なう。 ICカード内のデータから移動先の端末IDを含めたアーカイブ・ファイルを作成し、所定の保管場所に保管し、価値情報を安全にバックアップする。また、アーカイブ・ファイルは、端末IDで指定された機器でしか展開できないようにする。また、ICカード内のファイルやディレクトリへのアクセスをカウンタで管理する仕組みを導入し、アーカイブ・ファイルを保管場所にアーカイブした後は元のファイルのカウンタ値を消滅させる。

Description

本発明は、比較的大容量のメモリ領域に格納された情報へのアクセスを管理する情報管理装置及び情報管理方法に係り、特に、メモリ領域上に電子的な価値情報を格納して電子決済を始めとするセキュアな情報のやり取りを行なう情報管理装置及び情報管理方法に関する。
さらに詳しくは、本発明は、メモリ領域上にさまざまなファイルを割り当てて、サービス運用のための情報を管理する情報管理装置及び情報管理方法に係り、特に、メモリ領域上に電子的に格納されている価値情報のコピー若しくはバックアップを行ない、端末間での価値情報の移動を円滑に行なう情報管理装置及び情報管理方法に関する。
ICカードに代表される非接触・近接通信システムは、操作上の手軽さから、広範に普及している。ICカードの一般的な使用方法は、利用者がICカードをカード・リーダ/ライタをかざすことによって行なわれる。カード・リーダ/ライタ側では常にICカードをポーリングしており外部のICカードを発見することにより、両者間の通信動作が開始する。例えば、暗証コードやその他の個人認証情報、電子チケットなどの価値情報などをICカードに格納しておくことにより、キャッシュ・ディスペンサやコンサート会場の出入口、駅の改札口などにおいて、入場者や乗車者の認証処理を行なうことができる。
最近では、微細化技術の向上とも相俟って、比較的大容量のメモリを持つICカードが出現している。大容量メモリ付きのICカードによれば、メモリ空間上にファイル・システムを展開し、複数のアプリケーションを同時に格納しておくことにより、1枚のICカードを複数の用途に利用することができる。例えば、1枚のICカード上に、電子決済を行なうための電子マネーや、特定のコンサート会場に入場するための電子チケットなど、複数のアプリケーションを格納しておくことにより、1枚のICカードをさまざまな用途に適用させることができる。ここで言う電子マネーや電子チケットは、利用者が提供する資金に応じて発行される電子データを通じて決済(電子決済)される仕組み、又はこのような電子データ自体を指す。
また、ICカードやカード用リーダ/ライタ(カード読み書き装置)が無線・非接触インターフェースの他に、外部機器と接続するための有線インターフェースを備え、携帯電話機、PDA(Personal Digital Assistance)やCE(Consumer Electronics)機器、パーソナル・コンピュータなどの各機器に内蔵して用いることにより,これらの機器にICカード及びカード・リーダ/ライタのいずれか一方又は双方の機能を装備することができる。このような場合、ICカード技術を汎用性のある双方向の近接通信インターフェースとして利用することができる。
例えば、コンピュータや情報家電機器のような機器同士で近接通信システムが構成される場合には、ICカードを利用した非接触通信は一対一で行なわれる。また、ある機器が非接触ICカードのような機器以外の相手デバイスと通信することも可能であり、この場合においては、1つの機器と複数のカードにおける一対多の通信を行なうアプリケーションも考えられる。
また、電子決済を始めとする外部との電子的な価値情報のやり取りなど、ICカードを利用したさまざまなアプリケーションを、情報処理端末上で実行することができる。例えば、情報処理端末上のキーボードやディスプレイなどのユーザ・インターフェースを用いてICカードに対するユーザ・インタラクションを情報処理端末上で行なうことができる。また、ICカードが携帯電話機と接続されていることにより、ICカード内に記憶された内容を電話網経由でやり取りすることもできる。さらに、携帯電話機からインターネット接続して利用代金をICカードで支払うことができる。
あるサービス提供元事業者用のファイル・システムをICカードの内蔵メモリに割り当てて、このファイル・システム内で当該事業者によるサービス運用のための情報(例えば、ユーザの識別・認証情報や残りの価値情報、使用履歴(ログ)など)を管理することにより、従来のプリペイド・カードや店舗毎のサービス・カードに置き換わる、非接触・近接通信を基調とした有用なサービスを実現することができる。
従来、サービス提供元事業者毎にICカードが個別に発行され、ユーザの利用に供されていた。このため、ユーザは、利用したいサーヒス毎にICカードを取り揃え、携帯しなければならなかった。これに対し、比較的大容量のメモリ空間を持つICカードによれば、単一のICカードの内蔵メモリに複数のサービスに関する情報を記録するだけの十分な容量を確保することができる(例えば、非特許文献1を参照のこと)。
ICカード内のメモリ領域は、初期状態ではICカード発行者がメモリ領域全体を管理しているが、ICカード発行者以外のサービス提供元事業者がメモリ領域から新たなファイル・システムを分割し、それぞれのサービス運用を実現するためのアプリケーションに割り当てる。ファイル・システムの分割は、仮想的なICカードの発行である。また、メモリ領域の分割操作を繰り返すことにより、ICカード内のメモリ領域は複数のファイル・システムが共存する構造となり、1枚のICカードでマルチアプリケーションすなわち多種多様なアプリケーションを提供することができる。
ICカード若しくはICチップ上には、電子マネーや電子チケットといったさまざまな価値情報を安全に格納することができる。利用者の利便性を考慮すると、ICカードに担持されているデータのバックアップをとることが必要となってくる。価値情報を格納したICチップを内蔵した携帯電話機を機種変更する場合や、ICチップを搭載したカードや機器に障害が発生した場合などである。
ところが、ICカード内のデータのコピー若しくはバックアップをとる際には、2重化を防止しなければならない。現金の移動であれば、財布から財布へ移動することはあっても、増えることはない。これに対し、電子マネーや電子チケットなどの価値情報は、現金相当の価値を有するものの、その実体はデジタル・データなので、データ移動元のICカードとデータ移動先のICカードの双方に元の価値情報が2重化して存在してしまい、双方で価値情報が利用可能になる可能性がある。
また、ICカード内のデータのコピー若しくはバックアップをとる際、正しい相手に移動しなければならない。この際、ICカードがマルチアプリケーション、すなわち複数のサービス提供元事業者の管理下にまたがっている場合には、手続が煩雑となる。
例えば、携帯電話機の機種変更手続に併せて、ICチップ内の価値情報を移動することも考えられる。しかしながら、移動途中における通信障害やマシン障害などによる価値情報の消失や、価値情報の不法な複製や改竄が行なわれる可能性があり、電話会社にとっては責任が過大である。
一方、ICチップ内の各価値情報の移動をそれぞれのサービス提供元事業者によって行なうという方法も考えられる。この方法は責任分離という観点からは有効であるが、ユーザは携帯端末の機種変更に伴い、複数の手続を取らなければならなくなる。
「無線ICタグのすべて ゴマ粒チップでビジネスが変わる」(106〜107頁、RFIDテクノロジ編集部、日経BP社、2004年4月20日発行)
本発明の主な目的は、メモリ領域上にさまざまなファイルを割り当てて、サービス運用のための情報を管理することができる、優れた情報管理装置及び情報管理方法を提供することにある。
本発明のさらなる目的は、メモリ領域上に電子的に格納されている価値情報のコピー若しくはバックアップを行ない、端末間での価値情報の移動を円滑に行なうことができる、優れた情報管理装置及び情報管理方法を提供することにある。
本発明は、上記課題を参酌してなされたものであり、
無線又は有線伝送路を介してデータを送受信する通信部と、
前記通信部で送受信するデータを処理するデータ処理部と、
前記データ処理部により処理されたファイルを配置するメモリ空間と、
バックアップする1以上のファイルについてのアーカイブ・ファイルを、該アーカイブ・ファイルの展開先の識別情報を付して作成するアーカイブ・ファイル作成手段と、
を具備することを特徴とする情報管理装置である。
ここで言う情報管理装置は、無線通信部及び、データ送受信機能とデータ処理部を有するICチップを内蔵する非接触ICカード、表面に端子を有する接触ICカード、接触/非接触ICカードと同様の機能を有するICチップを携帯電話機、PHS(Personal Handyphone System)、PDA(Personal Digital Assistance)などの情報通信端末装置に内蔵した装置である。また、非接触ICカード機能を搭載したICチップは、RFアナログ・フロントエンドとロジック回路(プロトコル制御、RF変復調、コマンド処理、暗号処理、メモリ管理)を1チップで構成してもよいし、あるいはこれらを分離した2チップ以上のICで構成するようにしてもよい。以下では、これらを総称して、単に「ICカード」と呼ぶこともある。
本発明に係る情報管理装置は、EEPROMなどのデータ蓄積メモリを含むメモリ領域とデータ処理部を有するとともに、データ通信機能を有するものである。携帯電話機などの場合は、ICチップを内蔵するICカードなどの外部記憶媒体を着脱可能に構成してもよい。また、携帯電話会社が発行する契約者情報を記録したSIM(Subscriber Identity Module)機能をICチップに搭載してもよい。情報管理装置は、インターネットなどの情報通信ネットワークを介してデータ通信を行なってもよいし、外部端末装置と有線又は無線で直接データ通信を行なってもよい。
本発明は、ICカードが持つ耐タンパ性と認証機能を利用した、価値情報のやり取りなどを含んだセキュリティが要求されるサービスの提供に関するするものである。ICカード内のメモリは、一般に、複数のエリアに分割され、エリア毎に異なる暗号鍵を設けてアクセスの制御が行なわれる。ここで言うエリアは、メモリ空間を分割して得られるファイル・システム、若しくはファイル・システム内のディレクトリや個別のファイルに相当する。
ここで、利用者の利便性を考慮すると、ICカードに担持されているデータのバックアップをとることが必要となってくるが、特にマルチアプリケーション用途のICカードでは、その処理が煩雑になるという問題がある。
これに対し、本発明では、ICカード内のデータから移動先の端末IDを含めたアーカイブ・ファイルを作成し、所定の保管場所に保管するので、価値情報を安全にバックアップすることができる。また、アーカイブ・ファイルは、端末IDで指定された機器でしか展開できないようにする。
また、ICカード内のファイルやディレクトリへのアクセスをカウンタで管理する仕組みを導入し、アーカイブ・ファイルを保管場所にアーカイブした後は元のファイルのカウンタ値を消滅させてアクセスできないようにすることで、ファイルの移動を実現することができる。
本発明に係る情報管理装置は、同時にオープンすべきファイルを連携指定するファイル連携指定手段をさらに備え、アーカイブ・ファイルを作成したファイルと、該ファイルへのアクセス管理情報を記述したアクセス管理情報ファイルとを前記ファイル連携指定手段により連携指定する。そして、前記アクセス管理手段は、アーカイブ・ファイルを作成したファイルへのアクセスが行なわれた際に、アクセス管理情報ファイルを同時にオープンし、アクセス管理情報に基づいてアクセス管理を行なうとともに、アクセス管理情報の内容を更新するようにする。ここで、前記アクセス管理情報ファイルは、アクセス管理情報としてアーカイブ・ファイルを作成したファイルへのカウンタ値を記述しており、前記アクセス管理手段は、アクセス管理情報ファイルをオープンする度にカウンタ値をデクリメントする。
本発明によれば、メモリ領域上にさまざまなファイルを割り当てて、サービス運用のための情報を管理することができる、優れた情報管理装置及び情報管理方法を提供することができる。
また、本発明によれば、メモリ領域上に電子的に格納されている価値情報のコピー若しくはバックアップを行ない、端末間での価値情報の移動を円滑に行なうことができる、優れた情報管理装置及び情報管理方法を提供することができる。
本発明のさらに他の目的、特徴や利点は、後述する本発明の実施形態や添付する図面に基づくより詳細な説明によって明らかになるであろう。
[図1]図1は、本発明を適用可能な非接触ICカード通信システムの構成を模式的に示した図である。
[図2]図2は、ICカードを用いて実現される、電子マネーや電子チケット、その他の価値情報を運用するサービス提供システムの全体的構成を模式的に示した図である。
[図3]図3は、元のカード発行者が自らのファイル・システムのみを管理しているメモリ領域の状態を示した図である。
[図4]図4は、カード発行者が自らのファイル・システムの空き領域の内で、ある範囲のメモリを領域管理者に貸与(又は譲渡)することが許可できることを示した図である。
[図5]図5は、他のサービス提供元事業者が、カード発行者から許可された領域においてメモリ領域を分割し、新たなファイル・システムを生成した状態を示した図である。
[図6]図6は、共通領域管理者が、カード発行者から許可された領域において、共通領域のシステム・コードSC0でメモリを分割した状態を示した図である。
[図7]図7は、ICカードのメモリ領域内に複数のファイル・システムが共存する構造を示した図である。
[図8]図8は、ファイル・システム内のデータ構造例を模式的に示した図である。
[図9]図9は、ファイル・システムの基本構成を示した図である。
[図10]図10は、ICカードのメモリ空間においてエリアが階層化されている様子を示した図である。
[図11]図11は、ICカード内のファームウェアの機能構成を模式的に示した図である。
[図12]図12は、ICカード内のファイルやディレクトリをアーカイブするための仕組みを示した図である。
[図13]図13は、ファイルの連携指定したファイル・システム内の基本構成を模式的に示し
[図14]図14は、ディレクトリ内のファイル、あるいはディレクトリとカウンタ・ファイルを連携させているファイル・システム内の構成を模式的に示した図である。
[図15]図15は、本発明の一実施形態に係るICカードのハードウェア構成を模式的に示した図である。
[図16]図16は、ファイル・システム内でファイルの連携関係を設定するための処理手順を示したフローチャートである。
[図17]図17は、ファイル・システム内でファイル連携関係が指定されたファイルに対してアクセスするための処理手順を示したフローチャートである。
 符号の説明
1…カード・リーダ/ライタ
2…ICカード
3…コントローラ
111…発行者用通信装置
112…運用者用通信装置
113…製造者用通信装置
11…記憶領域分割登録装置
115…運用ファイル登録装置
116…ICカード
117…ネットワーク
121…カード発行者
122…カード記憶領域運用者
123…装置製造者
124…カード記憶領域使用者
1001…アンテナ部
1002…アナログ部
1003…ディジタル制御部
1004…メモリ
1005…外部インターフェース
1006…搬送波検出器
1100…携帯端末
1110…プログラム制御部
1120…表示部
1130…ユーザ入力部
1140…電源制御部
以下、図面を参照しながら本発明の実施形態について詳解する。
A.ICカードによる非接触データ通信システム
図1には、本発明を適用可能な非接触ICカード通信システムの構成を模式的に示している。
この非接触カードシステムは、カード・リーダ/ライタ1と、ICカード2と、コントローラ3で構成され、カード・リーダ/ライタ1とICカード2との間では、電磁波を利用して非接触で、データの送受信が行なわれる。すなわち、カード・リーダ/ライタ1がICカード2に所定のコマンドを送信し、ICカード2は受信したコマンドに対応する処理を行なう。そして、ICカード2は、その処理結果に対応する応答データをカード・リーダ/ライタ1に送信する。
カード・リーダ/ライタ1は、所定のインターフェース(例えば、RS−485Aの規格などに準拠したもの)を介してコントローラ3に接続されている。コントローラ3は、カード・リーダ/ライタ1に対し制御信号を供給することで、所定の処理を行なわせる。
B.ICカードの運用
図2には、ICカードを用いて実現される、電子マネーや電子チケット、その他の価値情報を運用するサービス提供システムの全体的構成を模式的に示している。
図示のシステム100は、例えば、ICカード発行者121が使用する発行者用通信装置111と、カード記憶領域運用者122が使用する運用者用通信装置112と、装置製造者123が使用する製造者用通信装置113と、カード記憶領域使用者124が使用する記憶領域分割装置114及び運用ファイル登録装置115とで構成される。
ICカード発行者121がカード所有者126にICカード116を発行した場合に、所定の条件に基づいて、カード記憶領域使用者124によって提供されるサービスに係わるファイル・データをICカード16に登録し、カード所有者126が単体のICカード116を用いて、ICカード発行者121及びカード記憶領域使用者124の双方のサービスを受けることを可能にするものである。
図2に示すように、システム100では、発行者用通信装置111、運用者用通信装置112、製造者用通信装置113、記憶領域分割装置114及び運用ファイル登録装置115が、ネットワーク117を介して接続される。
ICカード発行者121は、ICカード116の発行を行なう者であり、ICカード116を用いて自らのサービスを提供する。
カード記憶領域運用者122は、ICカード発行者121からの依頼を受けて、ICカード発行者121が発行したICカード116内の記憶部(半導体メモリ)に構成される記憶領域のうち、ICカード発行者121が使用しない記憶領域をカード記憶領域使用者124に貸し出すサービスを行なう者である。
装置製造者123は、カード記憶領域運用者122から依頼を受けて、記憶領域分割装置114を製造し、カード記憶領域使用者124に納品する者である。
カード記憶領域使用者124は、カード記憶領域運用者122に依頼を行ない、ICカード116の記憶領域を使用して自らの独自のサービスを提供する者であり、メモリ領域を分割して新たなファイル・システムを作成するサービス提供元事業者に相当し、自己のファイル・システムを利用して自身のサービス提供を行なう。
カード所有者126は、ICカード発行者121からICカード116の発行を受け、ICカード発行者121が提供するサービスを受ける者すなわちエンドユーザである。カード所有者126は、ICカード116の発行後に、カード記憶領域使用者124が提供するサービスを受けることを希望する場合には、記憶領域分割装置114及び運用ファイル登録装置115を用いて、カード記憶領域使用者124のサービスに係わるファイル・データをICカード116に記憶し、その後、カード記憶領域使用者124のサービスを受けることができるようになる。
システム100は、ICカード発行者121のサービスと、カード記憶領域使用者124のサービスとを単体のICカード116を用いて提供するに当たって、ICカード発行者121及びカード記憶領域使用者124のサービスに係わるファイル・データが記憶される記憶領域に、権限を有しない他人によって不正にデータの書き込み及び書き換えなどが行なわれることを困難にする構成を有している。
なお、図2では、それぞれ単数のICカード発行者121、カード記憶領域使用者124及びカード所有者126がある場合を例示したが、これらは、それぞれ複数であってもよい。
ICカード116は、その字義通り、カード型のデータ通信装置であってもよいし、いわゆるICカード機能が実装された半導体チップを内蔵した携帯電話機(あるいはその他の携帯端末やCE機器)として具現化されることもある。また、非接触IC力ード機能を搭載したICチップは、RFアナログ・フロントエンドとロジック回路(プロトコル制御、RF変復調、コマンド処理、暗号処理、メモリ管理)を1チップで構成してもよいし、あるいはこれらを分離した2チップ以上のICで構成するようにしてもよい。
図15には、本発明の一実施形態に係るICカード部のハードウェア構成を模式的に示している。同図に示すように、ICカード部は、アンテナ部1001に接続されたアナログ部1002と、ディジタル制御部1003と、メモリ1004と、外部インターフェース1005とで構成され、携帯端末1100に内蔵されている。このICカード部は、1チップの半導体集積回路で構成してもよいし、RFアナログ・フロントエンドとロジック回路部を分離して2チップの半導体集積回路で構成してもよい。
アンテナ部1001は、図示しないカード読み書き装置との間で非接触データの送受信を行なう。アナログ部1002は、検波、変復調、クロック抽出など、アンテナ部1001から送受信されるアナログ信号の処理を行なう。これらは、ICカード部とカード読み書き装置間の非接触インターフェースを構成する。
ディジタル制御部1003は、送受信データの処理やその他ICカード内の動作を統括的にコントロールする。ディジタル制御部1003は、アドレス可能なメモリ1004をローカルに接続している。メモリ1004は、EEPROM(Electrically Erasable Programmable Read Only Memory)などの不揮発性記憶装置で構成され、電子マネーや電子チケットなどの利用者データを格納したり、ディジタル制御部1003が実行するプログラム・コードを書き込んだり、実行中の作業データを保存するために使用することができる。
外部インターフェース1005は、カード読み書き装置(図示しない)と結ぶ非接触インターフェースとは相違するインターフェース・プロトコルにより、ディジタル制御部1003が携帯端末1100などの装置と接続するための機能モジュールである。メモリ1004に書き込まれたデータは、外部インターフェース1005を経由して、携帯端末1100に転送することができる。
ここで、カード読み書き装置と通信を行なう際に、カード読み書き装置からの受信データをそのまま、あるいは適当な変換規則で変換し、あるいは別のパケット構造に変換して、外部インターフェース1005を介して携帯端末1100に送信する。また逆に、外部インターフェースを介して携帯端末1100から受信したデータをそのまま、あるいは適当な変換規則で変換し、あるいは別のパケット構造に変換して、非接触インターフェースを介してカード読み書き装置に送信する。
本実施形態では、ICカード部は、携帯端末1100に内蔵して用いられることを想定しており、外部インターフェース1005には、UART(Universal Asynchronous Receiver Transmitter)のような有線インターフェースを使用する。但し、外部インターフェース1005のインターフェース仕様は特に限定されず、有線インターフェースであっても、あるいはBluetooth通信やIEEE.802.11などの無線インターフェースであってもよい。
ICカード部は、例えば、アンテナ部1001経由で受信されるカード読み書き装置からの受信信号から得られるエネルギによって駆動することができる。勿論、携帯端末1100側からの供給電力によって、一部又は全部が動作するように構成されていてもよい。
携帯端末1100は、例えば携帯電話機やPDA、パーソナル・コンピュータ(PC)などの情報処理端末に相当する。携帯端末1100は、プログラム制御部1101と、表示部1102と、ユーザ入力部1103とで構成される。
プログラム制御部1101は、例えばマイクロプロセッサと、RAMと、ROMで構成され(いずれも図15には図示しない)、マイクロプロセッサは、ROMに格納されたプログラム・コードに従って、RAMを作業領域に用いてさまざまな処理サービスを実行する。処理サービスには、携帯電話機など携帯端末1100本来の機能の他に、ICカード部に対する処理も含まれる。勿論、プログラム制御部1101は、ハード・ディスクなどの外部記憶装置や、その他の周辺装置を備えていてもよい。
プログラム制御部1101は、外部インターフェース1005経由で、ICカード部にアクセスすることができる。
表示部1102は、例えば液晶表示ディスプレイで構成され、プログラム制御部1101における処理結果などを画面出力してユーザに通知することができる。
ユーザ入力部1103は、キーボードやジョグダイヤル、あるいは表示部1102の表示画面に重畳されたタッチパネルなどで構成され、ユーザが携帯端末1100にコマンドやデータを入力するために使用される。
携帯端末1100内のプログラム制御部1101は、バッテリなど図示しない主電源からの給電により駆動する。
ICカード部が内蔵された携帯端末1100のユーザが携帯端末110を所定のカード読み書き装置にかざすことにより、ICカード部とカード読み書き装置間の無線通信が開始され、無線インターフェースとしてのアンテナ部1001及びアナログ部1002を介して、ディジタル部1003とカード読み書き装置の間でデータ交換が行なわれる。
C.ファイル・システム
ICカードが持つ耐タンパ性と認証機能を利用して、価値情報のやり取りなどを含んだセキュリティが要求されるサービスを提供することができる。さらに本実施形態では、単一のメモリ領域上にサービス提供元事業者毎のファイル・システムを割り当て、単一のICカードを複数の事業者で共有し、単一のICカードにより複数のサービスを提供するようにした。
ICカード内のメモリ領域は、初期状態では、ICカード発行者がメモリ領域全体を管理している。ICカード発行者以外のサービス提供元事業者がメモリ領域から新たなファイル・システムを分割するに際しては、メモリ領域の分割権限と、ICカード発行者に対する認証の双方が要求される。
メモリ領域が一旦分割されると、ファイル・システムへのアクセスは、元のICカードの発行者ではなく、ファイル・システム自体のサービス提供元事業者への認証が要求される。したがって、ファイル・システム間の境界がファイヤ・ウォールとして機能し、他のファイル・システムからの不正なアクセスを好適に排除することができる。また、ユーザにとっては、各サービス利用時において事業者自らが発行したICカードであるかのような使い勝手を確保することができる。そして、メモリ領域の分割操作を繰り返すことにより、ICカード内のメモリ領域は複数のファイル・システムが共存する構造となる。ファイル・システムの分割は、仮想的なICカードの発行である。
ここで、図3〜図6を参照しながら、ICカード内のメモリ領域の運用形態について説明する。
図3には、元のカード発行者が自らのファイル・システムのみを管理しているメモリ領域の状態を示している。元のカード発行者のシステム・コードSC1は、システム・コードの管理機構が付与する。外部機器又はプログラムがカード発行者のファイル・システムにアクセスする場合は、SC1を識別コード(すなわち、要求コマンドの引数)とする。
図4には、カード発行者が自らのファイル・システムの空き領域の内で、ある範囲のメモリを領域管理者に貸与(又は譲渡)することが許可できることを示している。この段階では,まだメモリ領域上のファイル・システムに対して分割が行なわれている訳ではない。カード発行者は、自らのファイル・システムに空き領域はあるうちは、複数の領域管理者に対して、メモリを貸与することを許可できる。例えば、4ビットのシステム・コードでファイル・システムを識別するという実装では、最大16分割(15回まで分割)することができる。
図5には、他のサービス提供元事業者が、カード発行者から許可された領域においてメモリ領域を分割し、新たなファイル・システムを生成した状態を示している。この新規ファイル・システムには、システム・コードの管理機構からシステム・コードSC2が付与されている。外部機器又はプログラムが、当該メモリ領域管理者(サービス提供元事業者)の運用するファイル・システムにアクセスする場合は、SC2を識別コード(要求コマンドの引数)とする。
図6には、共通領域管理者が、カード発行者から許可された領域において、共通領域のシステム・コードSC0でメモリを分割した状態を示している。外部機器又はプログラムがこの共通領域管理者の運用領域であるファイル・システムにアクセスする場合には、そのシステム・コードSC0を識別コード(要求コマンドの引数)とする。
ICカードのメモリ領域は、分割操作を繰り返すことにより、図7に示すように複数のファイル・システムが共存する構造となる。元のカード発行者、並びにカード発行者の許可によりICカード上で自己のファイル・システムを取得したサービス提供元事業者は、それぞれ自己のファイル・システムを利用して、エリアやサービスを配設し、自身の事業展開に利用することができる。
ここで、1つのファイル・システム内での運用形態について説明する。基本的には、どのファイル・システムにおいても同様の動作が実現されるものとする。
ファイル・システム内には、電子決済を始めとする外部との電子的な価値情報のやり取りなどのアプリケーションを実現するための、1以上のファイルが配置されている。アプリケーションに割り当てられているメモリ領域を「サービス・メモリ領域」と呼ぶ。また、アプリケーションの利用、すなわち該当するサービス・メモリ領域へアクセスする処理動作のことを「サービス」と呼ぶ。サービスには、メモリへの読み出しアクセス、書き込みアクセス、あるいは電子マネーなどの価値情報に対する価値の加算や減算などが挙げられる。
ユーザがアクセス権を持つかどうかに応じてアプリケーションの利用すなわちサービスの起動を制限するために、アプリケーションに対して暗証コードすなわちPINを割り当て、サービス実行時にPINの照合処理を行なうようになっている。また、サービス・メモリ領域へのアクセスは、アプリケーションのセキュリティ・レベルなどに応じて、適宜暗号化通信が行なわれる。
本実施形態では、ICカード内のメモリ領域に設定されているそれぞれのファイル・システムに対して、「ディレクトリ」に類似する階層構造を導入する。そして、メモリ領域に割り当てられた各アプリケーションを、所望の階層の「エリア」に登録することができる。
例えば、一連のトランザクションに使用される複数のアプリケーション、あるいは関連性の深いアプリケーション同士を同じエリア内のサービス・メモリ領域として登録する(さらには、関連性の深いエリア同士を同じ親エリアに登録する)ことによって、メモリ領域のアプリケーションやエリアの配置が整然とし、ユーザにとってはアプリケーションの分類・整理が効率化する。
また、ファイル・システムへのアクセス権を階層的に制御するために、アプリケーション毎にPINを設定できる以外に、各エリアに対してもPINを設定することができるようにしている。例えば、あるエリアに該当するPINを入力することにより、照合処理並びに相互認証処理を経て、エリア内のすべてのアプリケーション(並びにサブエリア)へのアクセス権を与えるようにすることもできる。したがって、該当するエリアに対するPINの入力を1回行なうだけで、一連のトランザクションで使用されるすべてのアプリケーションのアクセス権を得ることができるので、アクセス制御が効率化するとともに、機器の使い勝手が向上する。
さらに、あるサービス・メモリ領域に対するアクセス権限が単一でないことを許容し、それぞれのアクセス権限毎、すなわちサービス・メモリ領域において実行するサービスの内容毎に、暗証コードを設定することができる。例えば、同じサービス・メモリ領域に対して起動するサービスが「読み出し」と「読み出し及び書き込み」とでは、別々のPINが設定される。また、電子マネーやその他の価値情報に対する「増額」と「減額」とでは、別々のPINが設定される。また、あるメモリ領域に対する読み出しについてはPINの入力が必要でないが、書き込む場合にはPINの入力を必須とさせることが可能である。
図8には、ファイル・システム内のデータ構造例を模式的に示している。図示の例では、ファイル・システムが持つ記憶空間には、「ディレクトリ」に類似する階層構造が導入されている。すなわち、メモリ領域に割り当てられた各アプリケーションを、所望の階層エリアにサービス・メモリ領域として登録することができる。例えば、一連のトランザクションに使用されるアプリケーションなど、関連性の深いアプリケーション同士を同じエリアに登録する(さらには、関連性の深いエリア同士を同じ親エリアに登録する)ことができる。
また、ファイル・システム内に割り当てられたアプリケーション(すなわちサービス・メモリ領域)並びにエリアは暗証コード定義ブロックを備えている。したがって、アプリケーション毎に、あるいはエリア毎にPINを設定することができる。また、ファイル・システムに対するアクセス権は、アプリケーション単位で行なうとともに、並びにエリア単位で行なうことができる。
さらに、あるサービス・メモリ領域に対するアクセス権限が単一でなく、実行するサービスの内容毎に、PINを設定することができる。例えば、同じサービス・メモリ領域に対して起動するサービスが「読み出し」と「読み出し及び書き込み」とでは、別々のPINが設定され、また、電子マネーやその他の価値情報に対する「増額」と「減額」とでは、別々のPINが設定される。
照合部は、例えばICカードを利用した非接触データ通信などのプロトコル・インターフェースを介して送られてくるPINを、各アプリケーション又はディレクトリに割り当てられたエリア又はサービス・メモリ領域に設定されている暗証コードと照合して、一致するメモリ領域に対するアクセスを許可する。アクセスが許可されたメモリ領域は、プロトコル・インターフェースを介して読み書きが可能となる。
図9には、ファイル・システムの基本構成を示している。図8を参照しながら既に説明したように、ファイル・システムに対して、「ディレクトリ」に類似する階層構造が導入され、所望の階層のエリアに、アプリケーションに割り当てられたサービス・メモリ領域を登録することができる。図9に示す例では、エリア0000定義ブロックで定義されるエリア0000内に、1つのサービス・メモリ領域が登録されている。
図示のサービス・メモリ領域は、1以上のユーザ・ブロックで構成される。ユーザ・ブロックはアクセス動作が保証されているデータ最小単位のことである。このサービス・メモリ領域に対しては、サービス0108定義ブロックで定義されている1つのサービスすなわちサービス0108が適用可能である。
エリア単位、並びにアプリケーション単位でアクセス制限を行なう以外に、サービスの種類毎に暗証コードを設定して、サービス単位でアクセス制限を行なうことができる。アクセス制限の対象となるサービスに関する暗証コード設定情報は、暗証コード専用のサービス(すなわち「暗証コード・サービス」)として定義される。図9に示す例では、サービス0108に関する暗証コードが暗証コード・サービス0128定義ブロックとして定義されている。その暗証コード・サービスの内容は暗証コード・サービス・データ・ブロックに格納されている。
サービス0108に対する暗証コード・サービスが有効になっている場合、サービス0108を起動してそのユーザ・ブロックに読み出し又は書き込み動作を行なう前に、暗証コード・サービス0128を使用した暗証コードの照合が必要となる。具体的には、暗号化あり読み書き(Read/Write)コマンドを使用する場合は、相互認証前にサービス0108に対する暗証コードすなわちPINの照合を行なう。
また、アプリケーションに割り当てられたサービス・メモリ領域を所望の階層のエリアに登録するとともに、エリアを階層化する(関連性の深いエリア同士を同じ親エリアに登録する)ことができる。この場合、エリア毎にPINを設定することにより、エリアをアクセス制限の単位とすることができる。図10には、ICカードのメモリ空間においてエリアが階層化されている様子を示している。同図に示す例では、エリア0000定義ブロックで定義されているエリア0000内に、エリア1000定義ブロックで定義されている別のエリア1000が登録されている。
図10に示す例では、さらにエリア1000内には、2つのサービス・メモリ領域が登録されている。一方のサービス・メモリ領域に対しては、サービス1108定義ブロックで定義されているサービス1108と、サービス110B定義ブロックで定義されているサービス110Bが適用可能である。このように、1つのサービス・メモリ領域に対してサービス内容の異なる複数のサービスを定義することを、本明細書中では「オーバーラップ・サービス」と呼ぶ。オーバーラップ・サービスにおいては、同じサービス・エリアに対して、入力したPINに応じて異なるサービスが適用されることになる。また、他方のサービス・メモリ領域に対しては、サービス110C定義ブロックで定義されているサービス110Cが適用可能である。
各サービス・メモリ領域に設定されているサービスを起動してそのユーザ・ブロックに読み出し又は書き込み動作を行なうことができる。勿論、図9を参照しながら説明したように、サービス毎に暗証コード・サービスを定義することができる。この場合、サービスに対する暗証コード・サービスが有効になっているときには、暗証コード・サービスを使用したPINの照合を行なってからサービスの起動が許可される。
また、複数のサービスに対して共通のPINを設定したい場合には、これらサービスを含むエリアを作成し、このエリアに対して共通の暗証コード・サービスを適用することができる。
図10に示す例では、エリア1000に関する暗証コードが、暗証コード・サービス1020定義ブロックとして定義されている。その暗証コード・サービスの内容は暗証コード・サービス・データ・ブロックに格納されている。
エリア1000に対する暗証コード・サービスが有効(後述)になっている場合、暗証コード・サービス1020を使用した暗証コードの照合を行なった後に、エリア1000内の各サービスを起動してそのユーザ・ブロックに読み出し又は書き込み動作を行なうことが可能となる。
図11には、内部メモリに複数のファイル・システムを設けることができるICカード内のファームウェアの機能構成を模式的に示している。
インターフェース制御部は、非接触ICカード・インターフェースによるカード・リーダ/ライタとの通信、カード・リーダ/ライタとしての通信、有線インターフェースを介した通信、その他のI/Oインターフェースを介した通信などのプロトコル制御を行なう。
コマンド制御部は、インターフェース制御部を介して外部から受け取ったコマンドの処理や、外部に対するコマンド発行、コマンドの検査などを行なう。
セキュリティ制御部は、メモリ領域若しくはメモリ領域内の各ファイル・システムへアクセスする際の認証処理や、ファイル・システム内のディレクトリやサービスを利用する際のPIN照合などのセキュリティ処理を実現する。
ファイル・システム制御部は、上述したようなメモリ領域からファイル・システムへの分割(並びに分割の解消)などファイル・システム管理や、ファイル・システム内のディレクトリ構造の管理などを行なう。
モード管理部は、全ファイル・システム並びに個別のファイル・システムのモードの管理を行なう。ここで言うモードには、ファイル・システムの利用停止や利用再開などの状態が含まれる。
この他、起動制御やROM管理、パラメータ管理、不揮発性メモリ管理、パッチ制御など、ICカード内の各ハードウェア制御用のファームウェアも含まれている。
D.ファイルのアーカイブ
ICカードに担持されているデータのバックアップをとることが必要となってくる。図12には、ICカード内のファイルやディレクトリをアーカイブするための仕組みを図解している。
上述したようにICカード内のメモリ空間には、ディレクトリに類似する階層構造が導入されている。アーカイブ・ファイル作成部は、バックアップを取ることが指定されたファイル又はディレクトリをアーカイブするためのアーカイブ・ファイルを作成する。アーカイブ・ファイルの形式は特に限定されない。そして、アーカイブ・ファイルの展開先となる端末を識別する端末IDを指定して、アーカイブ・ファイルを保管装置に格納する。これによって、ICカード内のデータのバックアップが実現する。
保管装置は、耐タンパ性があり、格納しているアーカイブ・ファイルが外部に不正に漏洩することはない。そして、保管装置は、アーカイブ・ファイルを端末IDで指定されている端末へ転送する。
指定された端末では、アーカイブ・ファイルを展開して元のファイルやディレクトリを復元し、利用が再開される。これによって、ICカード内のデータを正しい相手に移動することができる。
一方、ICカード内のファイルやディレクトリへのアクセスをカウンタで管理する仕組みを導入し、アーカイブ・ファイルを保管場所にアーカイブした後は元のファイルのカウンタ値を消滅させてアクセスできないようにすることで、移動後のデータの2重化を防止している。
本実施形態では、各ファイルへのアクセス回数を管理する特殊ファイルであるカウンタ・ファイルをメモリ内若しくはディレクトリ内に配置するようにした。カウンタ・ファイルには、メモリ内若しくはディレクトリ内の各ファイルについてのアクセス回数の上限値が記載されている。
また、ファイル連携指定子を導入して、2以上のファイルの連携関係を設定できるようにした。ファイル連携指定子で指定されている2以上のファイルには、双方同時にオープンしなければならない、すなわち同時に認証を経なければいずれのファイルもオープンできないという制限が課される。アーカイブ・ファイルが作成されたファイルは、ファイル連携指定ファイルにより、カウンタ・ファイルと連携指定される。
図13には、ファイルの連携指定したファイル・システム内の基本構成を模式的に示している。図示の例では、2以上のファイルの同時認証を指定するファイル連携指定子は、ファイル・システム内の他のファイルと同様、ファイル形式で構成されている。但し、別の形態でファイル連携指定子を定義するようにしても構わない。
図示の例では、ファイル・システム内には、ファイル1〜3と、カウンタ・ファイルが配置されている。ファイル1〜3には、ICカード発行者が全カードに共通する対称鍵がそれぞれ設定されている。また、カウンタ・ファイルには個別鍵が設定されている。
また、図示の例では、ファイル連携指定ファイルが配置されているが、これは同時に認証できるファイルの組み合わせを指定する特殊ファイルである。ファイル連携指定ファイル自体は、他のファイルと同様に、ICカード発行者がすべてのICカードに共通の対称鍵で認証を行なうように設定されている。
ファイル連携指定ファイルは、アーカイブを行なうファイル2とカウンタ・ファイルとの連携、すなわちファイル2はカウンタ・ファイルと同時にオープンしなければならないことを規定している。
以下では、ファイルをオープンするときに必要な認証鍵は、ファイルに対して指定されている鍵の組合せを所定の関数fで演算することによって得られるものとする。
ファイル1は、いずれのファイル連携指定子によっても規定されていない。したがって、ファイル1自体に設定された対称鍵Ks1だけで相互認証を行なえば、ファイルを開くことができる。この場合の認証鍵は以下の通りとなる。
認証鍵KAUTH1=f(ファイル1の対称鍵Ks1
また、ファイル2は、ファイル2に設定された対称鍵で相互認証することはできず、ファイル連携指定ファイルの設定に従い、カウンタ・ファイルと同時に相互認証しなければならない。このときに利用する相互認証鍵は、ファイル2の対称鍵Ks2とカウンタ・ファイルの個別鍵Kを組み合わせた結果を利用するので、個別鍵となる。
認証鍵KAUTH2=f(ファイル2の対称鍵Ks2,カウンタ・ファイルの個別鍵K
認証鍵KAUTH2を以ってファイル2にアクセスした場合、カウンタ・ファイルが同時にオープンされ、カウンタ値がデクリメントされる。カウンタ値が0xffffであれば、カウンタ・ファイルはいつでも開くことができる。これに対し、カウンタ値が0であれば、カウンタ・ファイルを開くことができないため、連携指定されているファイル2もオープンすることはできない。
図16には、ファイル・システム内でファイルの連携関係を設定するための処理手順をフローチャートの形式で示している。ここでは、アーカイブの対象となるファイルと、そのファイルへのアクセス回数を制限するカウンタ・ファイルの連携関係を形成することを想定している。
まず、アーカイブの対象となるファイルへのアクセス回数を記述したカウンタ・ファイルを作成し(ステップS1)、続いてこのカウンタ・ファイルをオープンするための個別鍵を設定する(ステップS2)。
そして、アーカイブの対象となるファイルとカウンタ・ファイルとの連携関係を記述したファイル連携指定ファイルを作成し(ステップS3)、このファイル連携指定ファイルにアクセスするための鍵を設定する(ステップS4)。この鍵には、全ICカード共通で使用する対称鍵を利用する(前述)。
また、図17には、ファイル・システム内でファイル連携関係が指定されたファイルに対してアクセスするための処理手順をフローチャートの形式で示している。ここでは、アーカイブの対象となるファイルと、そのファイルへのアクセス回数を制限するカウンタ・ファイルの連携関係を形成することを想定している。
ファイル・システムにアクセスすると、まず、当該ファイル・システム内でファイル連携指定ファイルの有無をチェックする(ステップS11)。ここで、ファイル連携指定ファイルが存在しない場合には、ファイル・システム内の各ファイルに対して単独の認証処理でアクセスすることが可能であり、ファイル毎に設定されている鍵を用いた認証処理を経て行なわれる(ステップS19)。本実施形態では、ファイル連携指定ファイルの鍵はすべてのICカードで共通の対称鍵としている。
一方、ファイル連携指定ファイルが存在する場合には、さらにファイル連携指定ファイル内の記述を確認して(ステップS12)、アクセスしようとしているファイルに対しファイル連携関係が設定されているかどうかをチェックする(ステップS13)。
ここで、アクセスしようとしているファイルに関してファイル連携関係が設定されていなければ、当該ファイルに対して単独の認証処理でアクセスすることが可能である。すなわち、当該ファイルに設定されている個別鍵を用いた認証処理を経てアクセスすることができる(ステップS20)。本実施形態では、同じファイルについてはすべてのICカードで共通の対称鍵を使用している。
また、アクセスしようとしているファイルに関してファイル連携関係が設定されている場合には(ステップS13)、アクセスしようとしているファイルと、これと連携関係にあるファイルそれぞれの鍵を用いて認証鍵を生成して、同時認証処理を行なう(ステップS14)。本実施形態では、連携関係にあるファイルは、アクセス対象となるファイルへのアクセス回数を記述したカウンタ・ファイルであり、個別鍵が設定されている。したがって、アクセス対象となるファイル自体には全ICカードに共通の対称鍵を使用していても、カウンタ・ファイルの個別鍵を知らなければ同時認証できないので、アーカイブ・ファイルを勝手に操作できない。
そして、同時認証に成功すると、続いてカウンタ・ファイルをオープンして、カウンタ値を確認する(ステップS15)。カウンタ値がまだ残っていれば(ステップS16)、アクセス対象となるファイルへのアクセスが可能であり、ファイルのオープンを許可するとともに(ステップS17)、カウンタ値を1だけデクリメントする(ステップS18)。これに対し、カウンタ値が既に消滅している場合には、ファイルのオープンが許可されない(ステップS21)。
上述したようなファイル連携関係を指定するという仕組みを利用することによって、すべてのICカードに共通の対称鍵が割り当てられるファイルであっても、記憶先のファイル・システム内において個別鍵が与えられたファイルとの連携関係を設定することで、同時認証しなければならなくなる。したがって、他のICカードを所持して知り得た共通鍵を用いて、別のICカードの同じファイルにアクセスするという不正行為を制限することができる。
また、ファイル・システム内にファイルを記憶する際に、カウンタ・ファイルとファイル連携を指定することによって、当該ファイル・システム内におけるファイルへの回数を自在に設定することができる。例えば、アーカイブしようとするファイルに関し、アーカイブする直前にカウンタ値を1にしたカウンタ・ファイルとファイル連携の指定を行なっておく。この場合、アーカイブした時点でカウンタ値が消滅するので、アーカイブ後は、カウンタ・ファイルに認証してカウンタ値を書き換えない限りは、ファイルにアクセスすることはできない。これにより、セキュアなファイルの移動が実現する。
ICカード内のメモリ領域に展開されるファイル・システムにディレクトリ構造を導入できる点は既に述べた通りである。この場合、ディレクトリに対しても、ファイル連携指定の仕組みを適用することができる。図14には、ディレクトリ内のファイル、あるいはディレクトリとカウンタ・ファイルを連携させているファイル・システム内の構成を模式的に示している。
ディレクトリ1以下では、ファイル1−1、ファイル1−2、ファイル1−3、カウンタ・ファイル1、並びにファイル連携指定ファイル1が配置されている。
ファイル1−1、ファイル1−2、ファイル1−3には、ICカード発行者が全カードに共通する対称鍵がそれぞれ設定されている。また、カウンタ・ファイル1には個別鍵が設定されている。また、ファイル連携指定ファイル1は、ICカード発行者がすべてのICカードに共通の対称鍵で認証を行なうように設定されている。
ファイル連携指定ファイル1は、同時に認証できるファイルの組み合わせを指定する特殊ファイルであるが、ここでは、ファイル1−1とカウンタ・ファイル1との連携、すなわちファイル1−1はカウンタ・ファイル1と同時にオープンしなければならないことを規定している。
したがって、ファイル1−2及びファイル1−3はそれぞれの対称鍵のみを用いた単独認証が可能であるのに対し、ファイル1−1は、単独認証することはできず、カウンタ・ファイル1と同時に相互認証しなければならない。このときに利用する相互認証鍵は、ファイル1−1の対称鍵Ks1−1と個別鍵ファイル1の個別鍵Kp1を組み合わせた結果を利用するので、個別鍵となる。
認証鍵KAUTH=f(ファイル1−1の対称鍵Ks1−1,カウンタ・ファイル1の個別鍵Kp1
ファイル1−1をオープンした場合、カウンタ・ファイル1が同時にオープンされ、カウンタ値がデクリメントされる。カウンタ値が0xffffであれば、カウンタ・ファイルはいつでも開くことができる。これに対し、カウンタ値が0であれば、カウンタ・ファイルを開くことができないため、連携指定されているファイル1−1もオープンすることはできない。
一方、ディレクトリ2以下では、ファイル2−1、ファイル2−2、ファイル2−3、カウンタ・ファイル2、並びにファイル連携指定ファイル2が配置されている。
ファイル2−1、ファイル2−2、ファイル2−3には、ICカード発行者が全カードに共通する対称鍵がそれぞれ設定されている。また、カウンタ・ファイル2には個別鍵が設定されている。また、ファイル連携指定ファイル2は、一般ファイルと同様に、ICカード発行者がすべてのICカードに共通の対称鍵で認証を行なうように設定されている。
ファイル連携指定ファイル2は、同時に認証できるファイルの組み合わせを指定する特殊ファイルであるが、ここでは、ディレクトリ2とカウンタ・ファイル2との連携、すなわちディレクトリ2はカウンタ・ファイル2と同時にオープンしなければならないことを規定している。
したがって、ディレクトリ2以下のすべての一般ファイルは単独認証することができず、ディレクトリ2はカウンタ・ファイル2と同時に相互認証しなければならない。
ディレクトリ2をオープンした場合、カウンタ・ファイル2が同時にオープンされ、カウンタ値がデクリメントされる。カウンタ値が0xffffであれば、カウンタ・ファイルはいつでも開くことができる。これに対し、カウンタ値が0であれば、カウンタ・ファイルを開くことができないため、連携指定されているディレクトリ2もオープンすることはできない。
ディレクトリに関してカウンタ・ファイルと連携させる場合、そのファイル連携関係を設定する処理手順は、図16に示したフローチャート中のステップS3において、ファイル連携指定ファイルでディレクトリとカウンタ・ファイルの連携関係を記述する、と読み換えればよい。また、ファイル連携関係が指定されたディレクトリに対してアクセスするための処理手順は、図17に示したフローチャート中のステップS11において、アクセス先となるディレクトリ内でファイル連携指定ファイルの有無をチェックすると読み換え、以降の認証及びアクセスの対象を特定のファイルではなくディレクトリ全体として読み換えればよい。
このようにして、1以上のディレクトリ、又は1以上のファイルをアーカイブする機能を実現することができる。アーカイブするときには、以下の2つのオプションがある。これにより、ファイルのバックアップ又はコピーを実現することができる。
(1)アーカイブしたデータは、アーカイブ時に指定されたIDを持つ端末(ファイル・システム)でしか展開することができない。
(2)アーカイブしたデータは、任意のファイル・システムにて展開することができる。
例えば、ディレクトリにカウンタ・ファイルを連携させる。ディレクトリをオープンすると、カウンタ・ファイルのカウンタがデクリメントされる。ディレクトリをアーカイブする前のカウンタ値が1の場合、アーカイブ後にはカウンタが0になる。このため、認証手続を経てカウンタ・ファイルにアクセスしてカウンタ値を書き換えない限りは、ディレクトリにアクセスすることはきない。これにより、ディレクトリやファイルの移動が実現する。
ディレクトリがルート・ディレクトリの場合、ファイル・システム全体をバックアップ又はコピー又は移動することができる。
以上、特定の実施形態を参照しながら、本発明について詳解してきた。しかしながら、本発明の要旨を逸脱しない範囲で当業者が該実施形態の修正や代用を成し得ることは自明である。
本明細書では、ICカード若しくはICチップに内蔵されるメモリ上に展開されたファイル空間を例にとり、ファイルを安全にアーカイブしバックアップをとる実施形態について説明してきたが、本発明の要旨はこれに限定されるものではない。例えば、ICカードやICチップ以外のメモリ装置上で同種のファイル・システムのアーカイブやアーカイブしたファイル・システムのアクセス管理を行なう場合に、本発明を適用し同様の作用効果を得ることができる。
要するに、例示という形態で本発明を開示してきたのであり、本明細書の記載内容を限定的に解釈するべきではない。本発明の要旨を判断するためには、請求の範囲の記載を参酌すべきである。

Claims (10)

  1. 無線又は有線伝送路を介してデータを送受信する通信部と、
    前記通信部で送受信するデータを処理するデータ処理部と、
    前記データ処理部により処理されたファイルを配置するメモリ空間と、
    バックアップする1以上のファイルについてのアーカイブ・ファイルを、該アーカイブ・ファイルの展開先の識別情報を付して作成するアーカイブ・ファイル作成手段と、
    を具備することを特徴とする情報管理装置。
  2. アーカイブ・ファイルを作成したファイルへのアクセスを管理するアクセス管理手段をさらに備える、
    ことを特徴とする請求項1に記載の情報管理装置。
  3. 同時にオープンすべきファイルを連携指定するファイル連携指定手段をさらに備え、
    アーカイブ・ファイルを作成したファイルと、該ファイルへのアクセス管理情報を記述したアクセス管理情報ファイルとを前記ファイル連携指定手段により連携指定し、
    前記アクセス管理手段は、アーカイブ・ファイルを作成したファイルへのアクセスが行なわれた際に、アクセス管理情報ファイルを同時にオープンし、アクセス管理情報に基づいてアクセス管理を行なうとともに、アクセス管理情報の内容を更新する、
    ことを特徴とする請求項2に記載の情報管理装置。
  4. 前記アクセス管理情報ファイルは、アクセス管理情報としてアーカイブ・ファイルを作成したファイルへのカウンタ値を記述し、
    前記アクセス管理手段は、アクセス管理情報ファイルをオープンする度にカウンタ値をデクリメントする、
    ことを特徴とする請求項3に記載の情報管理装置。
  5. 前記メモリ空間ではディレクトリ構造が採用され、
    前記アーカイブ・ファイル作成手段は、バックアップするディレクトリについてのアーカイブ・ファイルを、該アーカイブ・ファイルの展開先の識別情報を付して作成する、
    ことを特徴とする請求項1に記載の情報管理装置。
  6. メモリ空間に配置されたファイルを管理する情報管理方法であって、
    無線又は有線伝送路を介してデータを送受信する通信ステップと、
    前記通信ステップにより送受信するデータを処理するデータ処理ステップと、
    前記データ処理ステップにより処理されたファイルを前記メモリ空間に配置するステップと、
    バックアップする1以上のファイルについてのアーカイブ・ファイルを、該アーカイブ・ファイルの展開先の識別情報を付して作成するアーカイブ・ファイル作成ステップと、
    を具備することを特徴とする情報管理方法。
  7. アーカイブ・ファイルを作成したファイルへのアクセスを管理するアクセス管理ステップをさらに備える、
    ことを特徴とする請求項6に記載の情報管理方法。
  8. 同時にオープンすべきファイルを連携指定するファイル連携指定ステップをさらに備え、
    アーカイブ・ファイルを作成したファイルと、該ファイルへのアクセス管理情報を記述したアクセス管理情報ファイルとを前記ファイル連携指定ステップにより連携指定し、
    前記アクセス管理ステップでは、アーカイブ・ファイルを作成したファイルへのアクセスが行なわれた際に、アクセス管理情報ファイルを同時にオープンし、アクセス管理情報に基づいてアクセス管理を行なうとともに、アクセス管理情報の内容を更新する、
    ことを特徴とする請求項7に記載の情報管理方法。
  9. 前記アクセス管理情報ファイルは、アクセス管理情報としてアーカイブ・ファイルを作成したファイルへのカウンタ値を記述し、
    前記アクセス管理ステップでは、アクセス管理情報ファイルをオープンする度にカウンダ値をデクリメントする、
    ことを特徴とする請求項8に記載の情報管理方法。
  10. 前記メモリ空間ではディレクトリ構造が採用され、
    前記アーカイブ・ファイル作成ステップでは、バックアップするディレクトリについてのアーカイブ・ファイルを、該アーカイブ・ファイルの展開先の識別情報を付して作成する、
    ことを特徴とする請求項6に記載の情報管理方法。
JP2006519592A 2004-06-14 2005-06-09 情報管理装置及び情報管理方法 Pending JPWO2005121976A1 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2004175524 2004-06-14
JP2004175524 2004-06-14
PCT/JP2005/010599 WO2005121976A1 (ja) 2004-06-14 2005-06-09 情報管理装置及び情報管理方法

Publications (1)

Publication Number Publication Date
JPWO2005121976A1 true JPWO2005121976A1 (ja) 2008-04-10

Family

ID=35503251

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006519592A Pending JPWO2005121976A1 (ja) 2004-06-14 2005-06-09 情報管理装置及び情報管理方法

Country Status (8)

Country Link
US (1) US20060218196A1 (ja)
EP (1) EP1764699A4 (ja)
JP (1) JPWO2005121976A1 (ja)
KR (1) KR20070030157A (ja)
CN (1) CN1820260B (ja)
HK (1) HK1089833A1 (ja)
SG (1) SG133613A1 (ja)
WO (1) WO2005121976A1 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4175386B2 (ja) * 2006-03-27 2008-11-05 ソニー株式会社 情報処理システム、情報処理装置、および集積回路チップ
CN100535935C (zh) * 2006-12-26 2009-09-02 北京握奇数据系统有限公司 Cpu与逻辑加密双用智能卡及其数据同步方法
JP4631935B2 (ja) * 2008-06-06 2011-02-16 ソニー株式会社 情報処理装置、情報処理方法、プログラム及び通信システム
US9406186B2 (en) * 2010-05-12 2016-08-02 Capital One Financial Corporation System and method for providing limited access to data
JP5772316B2 (ja) 2011-07-08 2015-09-02 ソニー株式会社 情報処理装置、情報処理方法及びコンピュータプログラム
EP2808821A1 (en) 2012-01-25 2014-12-03 Sony Corporation Information processing apparatus, information processing method, and computer program
WO2013150872A1 (ja) 2012-04-06 2013-10-10 ソニー株式会社 情報処理装置、情報処理方法およびコンピュータプログラム
CN103345647B (zh) * 2013-05-09 2017-08-22 马钢控制技术有限责任公司 一种数据在rfid电子标签的备份存取方法
JP6330279B2 (ja) * 2013-09-18 2018-05-30 ソニー株式会社 情報処理装置、情報処理システム、情報処理方法、及びプログラム
KR101421666B1 (ko) 2013-12-12 2014-07-22 이경아 파일 에이징 서비스 제공 방법
US11055258B2 (en) * 2014-04-02 2021-07-06 International Business Machines Corporation Directly accessing archived data and executable files
US20190042808A1 (en) * 2016-03-23 2019-02-07 Sony Corporation Information processing device and information processing method
WO2021014324A1 (en) * 2019-07-19 2021-01-28 JFrog Ltd. Data archive release in context of data object
US11182786B2 (en) 2020-01-29 2021-11-23 Capital One Services, Llc System and method for processing secure transactions using account-transferable transaction cards

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001066986A (ja) * 1999-08-26 2001-03-16 Sony Corp 送信装置および方法、受信装置および方法、通信システム、並びにプログラム格納媒体
JP2004102465A (ja) * 2002-09-06 2004-04-02 Toshiba Corp 携帯情報端末、情報記録制御方法、及び、情報記録制御プログラム

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2730833B1 (fr) * 1995-02-16 1997-03-28 Gemplus Card Int Procede de mise a jour securisee de memoire eeprom
DE19600081C2 (de) * 1996-01-03 1999-11-18 Ibm Sicherung der Datenintegrität bei Datenträgerkarten
FR2765362B1 (fr) * 1997-06-26 2001-08-17 Bull Cp8 Module de securite comportant des moyens de creation de liens entre des fichiers principaux et des fichiers auxiliaires
CH693808A5 (de) * 1997-12-11 2004-02-13 Swisscom Mobile Ag Verfahren zur Sperrung eines Mobilfunkteilnehmers mittels einer Identifikationskarte sowie eine entsprechende Identifikationskarte.
AU8734698A (en) * 1998-07-10 2000-02-01 Gemplus Chip card provided with a counting device
JP4051510B2 (ja) * 1998-07-16 2008-02-27 ソニー株式会社 データ記憶装置およびデータ記憶方法
US6952823B2 (en) * 1998-09-01 2005-10-04 Pkware, Inc. Software patch generator using compression techniques
US6836651B2 (en) * 1999-06-21 2004-12-28 Telespree Communications Portable cellular phone system having remote voice recognition
US6367696B1 (en) * 1999-02-05 2002-04-09 Hitachi, Ltd. IC card processing device, automatic vending device, and selling method
JP3782261B2 (ja) * 1999-07-23 2006-06-07 株式会社東芝 携帯可能電子装置
US6317755B1 (en) * 1999-07-26 2001-11-13 Motorola, Inc. Method and apparatus for data backup and restoration in a portable data device
WO2002003271A1 (fr) * 2000-07-04 2002-01-10 Hitachi, Ltd. Carte a circuit integre, procede de duplication d'une carte a circuit integre et procede de restitution
CN1197006C (zh) * 2001-02-20 2005-04-13 英业达股份有限公司 一种生成具有自检测和自修复功能的应用程序的方法
US20030004802A1 (en) * 2001-03-19 2003-01-02 Jeff Callegari Methods for providing a virtual coupon
US8402005B2 (en) * 2001-03-27 2013-03-19 Intel Corporation Systems and methods for creating self-extracting files
JP2003067257A (ja) * 2001-08-27 2003-03-07 Sayaka Ando ソフトウェアの使用端末固定化システム
DE10247794B4 (de) * 2002-10-14 2008-05-08 Giesecke & Devrient Gmbh Verwalten eines Fehlversuchszählers in einem tragbaren Datenträger

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001066986A (ja) * 1999-08-26 2001-03-16 Sony Corp 送信装置および方法、受信装置および方法、通信システム、並びにプログラム格納媒体
JP2004102465A (ja) * 2002-09-06 2004-04-02 Toshiba Corp 携帯情報端末、情報記録制御方法、及び、情報記録制御プログラム

Also Published As

Publication number Publication date
EP1764699A1 (en) 2007-03-21
HK1089833A1 (en) 2006-12-08
CN1820260B (zh) 2010-09-29
EP1764699A4 (en) 2010-07-28
KR20070030157A (ko) 2007-03-15
SG133613A1 (en) 2007-07-30
CN1820260A (zh) 2006-08-16
US20060218196A1 (en) 2006-09-28
WO2005121976A1 (ja) 2005-12-22

Similar Documents

Publication Publication Date Title
JPWO2005121976A1 (ja) 情報管理装置及び情報管理方法
JP4428055B2 (ja) データ通信装置及びデータ通信装置のメモリ管理方法
EP1770533A1 (en) Information management device and information management method
US7516479B2 (en) Data communicating apparatus and method for managing memory of data communicating apparatus
JPH11345266A (ja) 多重機能スマ―トカ―ド用アプリケ―ションを管理する方法およびシステム
JP2003141477A (ja) Icチップ及び情報処理端末
JP3797195B2 (ja) 情報処理端末又はその制御方法
JP4228567B2 (ja) データ転送システム及びデータ転送方法、価値情報移動サービス装置及び価値情報移動サービス方法、並びにコンピュータ・プログラム
JP4576894B2 (ja) 情報管理装置及び情報管理方法
JP2002304602A (ja) カード情報更新システム
JP2005134953A (ja) 未設定icカード、icカード発行システム及びicカードアプリケーションの発行方法
JP4599899B2 (ja) 情報管理装置及び情報管理方法
JP2005352963A (ja) 情報管理装置及びその制御方法
JP4349130B2 (ja) データ通信装置及びデータ通信装置のメモリ管理方法
WO2005103917A1 (ja) データ通信システム及びデータ通信方法、並びにデータ通信装置
JP4638135B2 (ja) 情報記憶媒体
JP2005196409A (ja) データ通信装置及びデータ通信装置のメモリ管理方法
KR20070022737A (ko) 정보 관리 장치 및 정보 관리 방법
JP2005196410A (ja) データ通信装置及びデータ通信装置のメモリ管理方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080520

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110419

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110615

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110615

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110712