WO2005066802A1

WO2005066802A1 - データ通信装置及びデータ通信装置のメモリ管理方法

Info

Publication number: WO2005066802A1
Application number: PCT/JP2004/019119
Authority: WO
Inventors: Taro Kurita
Original assignee: Sony Corporation
Priority date: 2004-01-06
Filing date: 2004-12-21
Publication date: 2005-07-21
Also published as: CN1902604A; EP1703406A4; CN100449508C; US20070152068A1; US20110105086A1; HK1097613A1; US8215547B2; EP1703406A1; US20120265952A1; EP1703406B1; JP4428055B2; JP2005196411A; US7886970B2

Abstract

　メモリ領域上の事業者毎の情報をセキュアに管理する機構を備え、単一のＩＣカードを複数のサービス提供元事業者間で共用する。　単一のメモリ領域上にサービス提供元事業者毎のファイル・システムを割り当て、単一の情報記憶媒体を複数の事業者で共有する。メモリ領域をファイル・システムに分割する。ファイル・システム間の境界がファイヤ・ウォールとして機能し、不正侵入を好適に排除する。さらに、ファイル・システムの分割機能と、各ファイル・システムに対する暗証コードの照合機能を連携させ、ファイル・システム毎に独立してセキュリティ管理を実現する。

Description

明細書

データ通信装置及びデータ通信装置のメモリ管理方法

技術分野

[0001] 本発明は、比較的大容量のメモリ領域を備えたデータ通信装置及びデータ通信装置のメモリ管理方法に係り、特に、メモリ領域上に電子的な価値情報を格納して電子決済を始めとするセキュアな情報のやり取りを行なうデータ通信装置及びデータ通信装置のメモリ管理方法に関する。

[0002] さらに詳しくは、本発明は、単一のメモリ領域上にサービス提供元事業者毎のフアイル'システムを割り当て、単一のデータ通信装置を複数の事業者で共有し、単一のデータ通信装置により複数のサービスを提供するデータ通信装置及びデータ通信装置のメモリ管理方法に係り、特に、外部機器との間のセッションをファイル 'システム毎に管理し、ファイル 'システム毎に独立してセキュリティに関する脅威を分析、管理、並びに運用するデータ通信装置及びデータ通信装置のメモリ管理方法に関する。背景技術

[0003] 局所でのみ適用可能な無線通信手段の一例として、非接触 ICカードを挙げることができる。

[0004] この種の無線通信には、一般に、電磁誘導の原理に基づ!、て実現される。すなわち、メモリ機能を有する ICカードと、 ICカードのメモリに対して読み書きアクセスをするカード ·リーダ Zライタで構成され、 1次コイルとしての ICカード側のループ'コイルと 2 次コイルとしてのカード'リーダ Zライタ側のアンテナが系として 1個のトランスを形成している。そして、カード'リーダ Zライタ側力も icカードに対して、電力と情報を同じく電磁誘導作用により伝送し、 ICカード側では供給された電力によって駆動してカード

'リーダ Zライタ側力もの質問信号に対して応答することができる。

[0005] カード'リーダ Zライタ側では、アンテナに流す電流を変調することで、 ICカード上のループ ·コイルの誘起電圧が変調を受けるという作用により、カード ·リーダ zライタ力も ICカードへのデータ送信を行なうことができる。また、 ICカードは、ループ'コイルの端子間の負荷変動により、 icカード'リーダ Zライタ側のアンテナ端子間のインピ一ダンスが変化してアンテナの通過電流や電圧が変動するという作用により、カード' リーダ Zライタへの返信を行なう。

[0006] ICカードに代表される非接触 ·近接通信システムは、操作上の手軽さから、広範に普及している。例えば、暗証コードやその他の個人認証情報、電子チケットなどの価値情報などを ICカードに格納しておく一方、キャッシュ 'ディスペンサゃコンサート会場の出入口、駅の改札口などにカード'リーダ zライタを設置しておく。そして、利用者が icカードをカード'リーダ Zライタにかざすことで、非接触でアクセスし、認証処理を行なうことができる。

[0007] 最近では、微細化技術の向上とも相俟って、比較的大容量のメモリ空間を持つ IC カードが出現している。大容量メモリ付きの ICカードによれば、複数のアプリケーションを同時に格納しておくことができるので、 1枚の ICカードを複数の用途に利用することができる。例えば、 1枚の ICカード上に、電子決済を行なうための電子マネーや、特定のコンサート会場に入場するための電子チケットなど、多数のアプリケーションを格納しておくことにより、 1枚の ICカードをさまざまな用途に適用させることができる。ここで言う電子マネーや電子チケットは、利用者が提供する資金に応じて発行される電子データを通じて決済 (電子決済）される仕組み、又はこのような電子データ自体を指す。

[0008] ICカードの一般的な使用方法は、利用者が ICカードをカード'リーダ Zライタをかざすことによって行なわれる。カード'リーダ Zライタ側では常に icカードをポーリングしており外部の ICカードを発見することにより、両者間の通信動作が開始する。

[0009] このとき、利用者が暗証番号を ICカード'リーダ側に入力して、入力された暗証番号を ICカード上に格納された暗証番号と照合することで、 ICカードと ICカード'リーダ

Zライタ間で本人確認又は認証処理が行なわれる。（icカード'アクセス時に使用する暗証番号のことを、特に PIN (Personal Identification Number)と呼ぶ。）そして、本人確認又は認証処理に成功した場合には、例えば、 ICカード内に保存されているアプリケーションの利用、すなわち、アプリケーションに割り当てられているサービス 'メモリ領域へのアクセスが可能となる（本明細書中では、アプリケーションに割り当てられて!/、るメモリ領域を「サービス 'メモリ領域」と呼ぶ)。サービス 'メモリ領域へのァクセスは、アプリケーションのセキュリティ 'レベルなどに応じて、適宜暗号化通信が行なわれる。

[0010] さらに、 ICカードやカード用リーダ Zライタ (カード読み書き装置）が無線 ·非接触ィンターフェースの他に、外部機器と接続するための有線インターフェース（図示しない）を備えることにより、 ICカードやリーダ Zライタの機能を携帯電話機、 PDA(Pers onal Digital Assistance)やパーソナル 'コンピュータなどの各デバイスに ICカード及びカード ·リーダ zライタの、ずれか一方又は双方の機能を装備することができる。このような場合、 icカード技術を汎用性のある双方向の近接通信インターフェースとして利用することができる。

[0011] 例えば、コンピュータや情報家電機器のような機器同士で近接通信システムが構成される場合には、 ICカードによる非接触通信通信は一対一で行なわれる。また、ある機器が非接触 ICカードのような機器以外の相手デバイスと通信することも可能であり、この場合においては、 1つの機器と複数のカードにおける一対多の通信を行なうァプリケーシヨンも考えられる。

[0012] また、電子決済を始めとする外部との電子的な価値情報のやり取りなど、 ICカードを利用したさまざまなアプリケーションを、情報処理端末上で実行することができる。例えば、情報処理端末上のキーボードやディスプレイなどのユーザ'インターフエ一スを用いて ICカードに対するユーザ'インタラクションを情報処理端末上で行なうことができる。また、 ICカードが携帯電話機と接続されていることにより、 ICカード内に記憶された内容を電話網経由でやり取りすることもできる。さらに、携帯電話機からインターネット接続して利用代金を ICカードで支払うことができる。

[0013] このように、あるサービス提供元事業者用のファイル 'システムを ICカードの内蔵メモリに割り当てて、このファイル 'システム内で当該事業者によるサービス運用のための情報 (例えば、ユーザの識別'認証情報や残りの価値情報、使用履歴 (ログ)など）を管理することにより、従来のプリペイド'カードや店舗毎のサービス 'カードに置き換わる、非接触 ·近接通信を基調とした有用なサービスを実現することができる。

[0014] 従来、サービス提供元事業者毎に ICカードが個別に発行され、ユーザの利用に供されていた。このため、ユーザは、享受するサーヒス毎に ICカードを取り揃え、携帯しなければならな力つた。これに対し、比較的大容量のメモリ空間を持つ ICカードによれば、単一の ICカードの内蔵メモリに複数のサービスに関する情報を記録するだけの十分な容量を確保することができる。

[0015] ここで、プリペイド'カードなどの前払式証票に関しては、その発行などの業務の適正な運営を確保して、前払式証票の購入者らの利益保護と前払式証票の信用維持を図ることを主な目的として、前払式証票の発行者に対して登録やその他の必要な規制を行うための「前払式証票の規制等に関する法律」（通称、「プリカ法」）が制定されており、利用者の便宜や流通秩序維持などの目的で、ロゴや問い合わせ先などの所定事項をプリペイド'カード上 (券面）に表示することが義務付けられている（同法第 12条を参照のこと)。

[0016] ICカードのメモリ機能に前払情報を格納することによってプリペイド'カードを実現する場合、法で規制される必要な情報を媒体上に印刷しておくことにより、単一のサ一ビスしか提供できなくなる。これに対し、 ICカード機能を携帯電話機のような表示機能を持つ携帯端末上で利用する場合には、希望する価値情報に関連する情報を画面表示させることにより（例えば、特許文献 1を参照のこと）、上記の法規制を満たすことができ、複数のサービス提供元事業者による共有が可能となる。したがって、サ一ビス提供元事業者においてはカード発行の負担が軽減するとともに、ユーザにとつては携帯して管理する ICカードの枚数を削減することができる。

[0017] ところが、複数のサービス提供元事業者間で単一のメモリ領域を共有した場合、あるサービス提供元事業者が使用するメモリ領域を、メモリを共用する別の事業者から自由にアクセスできるようにすると、事業者毎に設定される価値情報が他の事業者によって不正利用を許してしまうことになりかねない。この結果、事業者側では健全なサ一ビス提供を行なえなくなり、ユーザにとっては換金性の高い価値情報が流出の危機〖こさらされ、経済的な損害を被る。

[0018] したがって、 ICカードを複数のサービス提供元事業者間で共用する場合には、ュ一ザにとっては各サービス利用時において事業者自らが発行した ICカードであるかのような使い勝手を確保する一方、メモリ領域上の事業者毎の情報をセキュアに管理する機構を備えて、る必要がある。 [0019] 特許文献 1：特開 2003— 141434号公報

発明の開示

発明が解決しょうとする課題

[0020] 本発明の目的は、メモリ領域上に電子的な価値情報を格納して電子決済を始めとするセキュアな情報のやり取りを好適に行なうことができる、優れたデータ通信装置及びデータ通信装置のメモリ管理方法を提供することにある。

[0021] 本発明のさらなる目的は、ユーザにとっては各サービス利用時において事業者自らが発行した ICカードであるかのような使、勝手を確保する一方、メモリ領域上の事業者毎の情報をセキュアに管理する機構を備え、単一の ICカードを複数のサービス提供元事業者間で共用することができる、優れたデータ通信装置及びデータ通信装置のメモリ管理方法を提供することにある。

[0022] 本発明のさらなる目的は、単一のメモリ領域上にサービス提供元事業者毎のフアイル 'システムを割り当て、単一のデータ通信装置を複数の事業者で共有した際に、外部機器との間のセッションをファイル 'システム毎に管理し、ファイル 'システム毎に独立してセキュリティに関する脅威を分析、管理、並びに運用することができる、優れたデータ通信装置及びデータ通信装置のメモリ管理方法を提供することにある。

課題を解決するための手段

[0023] 本発明は、上記課題を参酌してなされたものであり、メモリ空間を備え、 1以上のフアイル'システムに分割して管理するデータ通信装置であって、

外部機器又はプログラムからのアクセスに対し、ファイル 'システム毎に相互認証又は暗証コードの照合手続きを要求する認証手段と、

アクセスに対し、相互認証又は暗証コードの照合手続きが要求されて、る認証状態、又は相互認証手続き又は暗証コードの照合手続きを経てアクセスが許可されている解除状態のいずれである力をファイル ·システム毎に管理する認証情報管理手段と、

所定の事象の発生に応じてファイル 'システムの解除状態を認証状態に戻す状態管理手段と、

を具備することを特徴とするデータ通信装置である。ここで言うデータ通信装置は、無線通信部、及びデータ送受信機能とデータ処理部を有する ICチップを内蔵する非接触 ICカード、表面に端子を有する接触 ICカード、接触 Z非接触 ICカードと同様の機能を有する ICチップを携帯電話機、 PHS (Personal Handyphone System) 、 PDA (Personal Digital Assistance)などの情報通信端末装置に内蔵した装置である。このデータ通信装置は、 EEPROMなどのデータ蓄積メモリを含むメモリ領域とデータ処理部を有するとともに、データ通信機能を有するものである。携帯電話機などの場合は、 ICチップを内蔵する ICカードなどの外部記憶媒体を着脱可能に構成してもよい。また、携帯電話会社が発行する契約者情報を記録した SIM (Subscribe r Identity Module)機能を ICチップに搭載してもよい。データ通信装置は、インタ一ネット等の情報通信ネットワークを介してデータ通信を行なっても、外部端末装置と有線あるいは無線で直接データ通信を行なってもよヽ。

[0024] 本発明は、 ICカードが持つ耐タンパ性と認証機能を利用して、価値情報のやり取りなどを含んだセキュリティが要求されるサービスを提供するものである。より具体的には、 ICカード内の単一のメモリ領域を複数のサービス提供元事業者間で共有し、サ一ビス提供元事業者においてはカード発行の負担が軽減するとともに、ユーザにとつては携帯して管理する ICカードの枚数を削減するものである。

[0025] 複数のサービス提供元事業者間で単一のメモリ領域を共有した場合、あるサービス提供元事業者が使用するメモリ領域を、メモリを共用する別の事業者から自由にァクセスできるようにすると、事業者毎に設定される価値情報が他の事業者によって不正利用を許してしまう、という問題がある。

[0026] これに対し、本発明では、単一のメモリ領域上にサービス提供元事業者毎のフアイル'システムを割り当て、単一のデータ通信装置を複数の事業者で共有し、単一のデータ通信装置により複数のサービスを提供するようにした。メモリ領域をファイル 'システムに分割することにより、ファイル 'システム間の境界がフアイャ 'ウォールとして機能し、他のファイル ·システム (すなわち他のサービス提供元事業者)からのアクセス（不正侵入)を好適に排除することができる。

[0027] ICカード内のメモリ領域は、初期状態では、元の ICカード発行者力メモリ領域全体を管理して、る。 ICカード発行者以外のサービス提供元事業者力 Sメモリ領域力新たなファイル 'システムを分割するに際しては、メモリ領域の分割権限と、元の ICカード発行者に対する認証の双方を要求するようになって!/、る。

[0028] このような分割操作を繰り返すことにより、 ICカード内のメモリ領域は複数のファイル

'システムが共存する構造となる。ファイル 'システムの分割は、仮想的な ICカードの発行である。

[0029] ー且分割されると、ファイル 'システムへのアクセスは、元の ICカードの発行者ではなぐファイル ·システム自体のサービス提供元事業者への認証が要求される。すなわち、ファイル 'システムへアクセスするときには、当該ファイル 'システムの発行者鍵を用いた相互認証が課される。さらに秘密保持の強度などの状況に応じて、ファイル 'システム又はファイル 'システム内のディレクトリやファイル毎に暗証コードすなわち P INを割り当て、サービス実行時に PINの照合処理を行なうようにすることもできる。

[0030] ここで、 ICカードのメモリ領域がサービス提供元事業者毎の複数のファイル 'システムに分割され、共用されるシステムにおいては、あるファイル 'システムへのアクセスを試み、相互認証処理並びに PIN照合処理を経て、解除状態となりセッションが確立した際、この解除状態における他のファイル ·システムのセキュリティへの影響が問題となる。何故ならば、セッションの状態が保たれると、その間、他のファイル 'システムへのクラッキングの脅威がある力もである。

[0031] そこで、本発明では、 ICカードのメモリ領域に複数のファイル 'システムを分割する機能と、各ファイル 'システム上のディレクトリやファイルに対する暗証コードの照合機能を連携させることにより、ファイル 'システム毎に独立してセキュリティに関する脅威を分析、管理、並びに運用するようにした。

[0032] すなわち、 ICカードのメモリ領域上に、論理的に複数のファイル ·システムが配置されている状態で、外部機器又はプログラムがアクセス先のファイル 'システムを変更したとき、各メモリ領域が保持しているシステム管理情報（相互認証情報を含む)や PI Nの解除情報などをリセットする。さらに、 ICカードへの電源投入後、一定時間（例えば、利用時期のクラッキング技術やコンピュータの処理速度から、利用しているセッシヨン暗号スキームを絶対に解読することができない時間）が経過した後、電源をリセットすることで、同様の相互認証 · PIN照合情報をリセットする。 [0033] このように、システムが認証状態と解除状態を適宜切り替えることにより、セッションの状態が保たれることによるクラッキングの脅威を排除することができる。

発明の効果

[0034] 本発明によれば、メモリ領域上に電子的な価値情報を格納して電子決済を始めとするセキュアな情報のやり取りを好適に行なうことができる、優れたデータ通信装置及びデータ通信装置のメモリ管理方法を提供することができる。

[0035] また、本発明によれば、ユーザにとっては各サービス利用時において事業者自らが発行した ICカードであるかのような使、勝手を確保する一方、メモリ領域上の事業者毎の情報をセキュアに管理する機構を備え、単一の ICカードを複数のサービス提供元事業者間で共用することができる、優れたデータ通信装置及びデータ通信装置のメモリ管理方法を提供することができる。

[0036] また、本発明によれば、単一のメモリ領域上にサービス提供元事業者毎のファイル •システムを割り当て、単一のデータ通信装置を複数の事業者で共有した際に、外部機器との間のセッションをファイル 'システム毎に管理し、各ファイル 'システムのセキユリティに関する脅威を分析、管理、並びに運用することができる、優れたデータ通信装置及びデータ通信装置のメモリ管理方法を提供することができる。

[0037] 本発明によれば、 ICカードのメモリ領域に複数のファイル ·システムを分割する機能と、各ファイル 'システム上のディレクトリやファイルに対する暗証コードの照合機能を連携させることにより、ファイル 'システム毎に独立してセキュリティに関する脅威を分析、管理、並びに運用することができる。

[0038] 本発明のさらに他の目的、特徴や利点は、後述する本発明の実施形態や添付する図面に基づくより詳細な説明によって明らかになるであろう。

発明を実施するための最良の形態

[0039] 以下、図面を参照しながら本発明の実施形態について詳解する。

[0040] 本発明は、 ICカードが持つ耐タンパ性と認証機能を利用して、価値情報のやり取りなどを含んだセキュリティが要求されるサービスを提供するものであり、より具体的には、 ICカード内の単一のメモリ領域を複数のサービス提供元事業者間で共有し、サ一ビス提供元事業者においてはカード発行の負担が軽減するとともに、ユーザにとつては携帯して管理する ICカードの枚数を削減するものである。

[0041] ここで、複数のサービス提供元事業者間で単一のメモリ領域を共有した場合、あるサービス提供元事業者が使用するメモリ領域を、メモリを共用する別の事業者から自由にアクセスできるようにすると、事業者毎に設定される価値情報が他の事業者によつて不正利用を許してしまう、という問題がある。

[0042] 本発明では、単一のメモリ領域上にサービス提供元事業者毎のファイル 'システムを割り当て、単一のデータ通信装置を複数の事業者で共有し、単一のデータ通信装置により複数のサービスを提供するようにした。メモリ領域をファイル ·システムに分割することにより、ファイル 'システム間の境界がフアイャ 'ウォールとして機能し、他のフアイル ·システム (すなわち他のサービス提供元事業者)からのアクセス (不正侵入)を好適に排除することができる。

[0043] ICカード内のメモリ領域は、初期状態では、元の ICカード発行者力メモリ領域全体を管理して、る。 ICカード発行者以外のサービス提供元事業者力 Sメモリ領域力新たなファイル 'システムを分割するに際しては、メモリ領域の分割権限と、元の ICカード発行者に対する認証の双方が要求される。

[0044] そして、ー且分割されると、ファイル 'システムへのアクセスは、元の ICカードの発行者ではなぐファイル 'システム自体のサービス提供元事業者への認証が要求される。したがって、ユーザにとっては、各サービス利用時において事業者自らが発行した I Cカードであるかのような使い勝手を確保することができる。

[0045] さらに、 ICカードのメモリ領域に複数のファイル ·システムを分割する機能と、各ファィル'システム上のディレクトリやファイルに対する暗証コードの照合機能を連携させることにより、ファイル 'システム毎に独立してセキュリティに関する脅威を分析、管理、並びに運用することができる。

[0046] ここで、まず、 ICカード及びカード読み書き装置間の非接触データ通信の仕組みについて、図 1及び図 2を参照しながら説明する。

[0047] カード読み書き装置と ICカード間の無線通信は、例えば電磁誘導の原理に基づいて実現される。図 1には、電磁誘導に基づくカード読み書き装置と ICカードとの無線通信の仕組みを概念的に図解している。カード読み書き装置は、ループ'コイルで構成されたアンテナ L を備え、このアンテナ L に電流 I を流すことでその周辺に磁

RW RW RW

界を発生させる。一方、 ICカード側では、電気的には ICカードの周辺にループ'コィル Lが形設されている。 ICカード側のループ'コイル L端にはカード読み書き装置側のループ'アンテナ Lが発する磁界による誘導電圧が生じて、ループ'コイル L端に接続された ICカードの端子に入力される。

[0048] カード読み書き装置側のアンテナ L と ICカード側のループ'コイル Lは、その結合

RW c

度は互いの位置関係によって変わる力系としては 1個のトランスを形成していると捉えることができ、 ICカードの読み書き動作を図 2に示すようにモデルィ匕することができる。

[0049] カード読み書き装置側では、アンテナ L に流す電流 I を変調することによって、 I

RW RW

Cチップ上のループ'コイル Lに誘起される電圧 Vは変調を受け、そのことを利用し

O

てカード読み書き装置は ICカードへのデータ送信を行なうことができる。

[0050] また、 ICカードは、カード読み書き装置へ返送するためのデータに応じてループ' コイル Lの端子間の負荷を変動させる機能（Load Switching)を持つ。ループ'コィル Lの端子間の負荷が変動すると、カード読み書き装置側ではアンテナ端子間のィンピーダンスが変化して、アンテナ L の通過電流 I や電圧 V の変動となって現れ

RW RW RW

る。この変動分を復調することで、カード読み書き装置は ICカードの返送データを受信することができる。

[0051] すなわち、 ICカードは、カード読み書き装置からの質問信号に対する応答信号に応じて自身のアンテナ間の負荷を変化させることによって、カード読み書き装置側の受信回路に現れる信号に振幅変調をかけて通信を行なうことができる訳である。

[0052] ICカードは、カード型のデータ通信装置であってもよ、し、 V、わゆる ICカード機能を有する集積回路チップを携帯電話機等の情報通信端末機器に内蔵してもよい (IC カードが機器に内蔵される場合であっても、機器に着脱可能に構成される場合であつても、本明細書中では便宜上「ICカード」と呼ぶ場合がある。）また、 ICカード機能を有する集積回路チップは、例えば携帯電話機や PDAなどの携帯端末、あるいはパーソナルコンピュータ (PC)などの情報処理端末に搭載されて外部機器とデータ通信を行なう。この場合、リーダ Zライタ装置と有線あるいは無線で接続するためのィンターフェース以外に、外部機器接続用のインターフェースを備えている。

[0053] 図 3には、本発明の実施形態に力かるデータ通信装置のハードウェア構成を示している。このデータ通信装置は、通信用のアンテナを追加して内部の不揮発性メモリにアクセスすることができる ICカード機能と、 ICカード機能を有する外部装置に電力を供給するとともにデータ交換を実現するリーダ Zライタ機能を有し、カード機能アナ口グ回路部 30、データ処理部 40と、リーダ Zライタ機能アナログ回路部 50を有する IC チップを内蔵している。同図に示した例では、 ICカードはカード読み書き機能も併せて備えているが、カード読み書き機能は本発明の必須の構成要素ではない。

[0054] カード機能アナログ回路部 30では、アンテナ 32で受信された搬送波は、整流器 31 で整流された後、データ処理部 40内の信号処理部 44に供給されるとともに、シリアル 'レギユレータ 33を介して論理回路 38に供給されている。

[0055] 論理回路 38は、起動信号入力端子 P 力の起動信号の入力に応答して起動し、 on

シリアル ·レギユレータ 33からの電圧、並びに電源端子 V からの入力電圧を制御し

DD

て、 ICカードで使用するための適正な電源電圧を供給するようになっている。

[0056] シリアル ·レギユレータ 33は、入力電圧の如何に拘わらず、出力電圧をほぼ一定に保つようになつている。すなわち、入力電圧が高いときには、内部インピーダンスを高くして、逆に入力電圧が低いときには内部インピーダンスを低くすることによって、電圧を保つ動作を可能とする。

[0057] 電圧検出器 39は、論理回路 38に接続された電源電圧監視回路接続用端子 V か

BT

らの入力端子電圧を監視して、外部電源の電圧が所定電圧を下回った場合には外部電源の使用を禁止する信号を論理回路 38に出力するようになっている。

[0058] また、カード機能アナログ回路部 30において、アンテナ 32から入力された電波は、搬送波検出器 34で受信電波中に搬送波が含まれて!/、るか否かが判断され、含まれている場合には、搬送波検出信号 VRが論理回路 38に出力される。論理回路 38は、さらに、データ処理部 40に対して搬送波が検出された旨の信号を出力することができる。

[0059] クロック抽出器 35は、アンテナ 32から入力された電波からクロックを抽出して、これをクロック選択器 36に供給する。また、クロック発振器 37は、例えば ICカード外に配設された水晶振動子で構成され、 ICカード上で使用される駆動周波数のクロックを発生して、クロック選択器 36〖こ供給する。クロック選択器 36は、クロック抽出器 35力供給されたクロック、又は、クロック発振器 37から供給されたクロックのいずれか一方を選択して、 ICカード内の各部に供給する。

[0060] リーダ Zライタ機能アナログ回路部 50は、送信アンプ 51と、受信信号検出器 53と、受信アンプ'フィルタ 54と、送受信用のアンテナ 52及び 55で構成される。

[0061] データを送信するときは、データ処理部 40の信号処理部 44によって変調並びに D ZA変換されて、アナログ 'ベースバンドにアップコンバートされた送信信号が送信ァンプを介してアンテナ 51から送出される。また、アンテナ 52から受信された信号は、受信信号検出器 53によって検出され、受信アンプ 54で増幅されてから、信号処理部 44に供給される。信号処理部 44は、アナログ 'ベースバンド信号にダウンコンパ一トし、 DZA変換並びに復調処理して、ディジタル 'データを再現する。

[0062] なお、 ICカードとカード読み書き装置の間のカード読み書き動作は、図 1及び図 2 を参照しながら既に説明した通りである。

[0063] データ処理部 40は、先述の信号処理部 44の他、 CPU (Central Processing Un it) 45と、 DES (Data Encryption Standard)などを利用したデータ暗号化ェンジン 46と、 CRC (Cyclic Redundancy Check)などを利用したエラー訂正部 47と、 R AM (Random Access Memory) 41と、 ROM (Read Only Memory) 42と、 EEP ROM (Electrically Erasable and Programmable ROM) 43と、 UARTインターフェース 48と、 I²Cインターフェース 49とを備えており、各部は内部バスによって相互接続されている。

[0064] CPU45は、 ICカード内の動作を統括的に制御するメイン'コントローラであり、 IC力ード用オペレーティング 'システム (OS)によって提供される実行環境 (後述）下で、例えば ROM42 (あるいは EEPROM43)に格納されたプログラム 'コードを実行するようになつている。例えば、 CPU45は、カード機能アナログ回路部 30やリーダ Zライタ機能アナログ回路部 50を介して送受信されるデータに関するアプリケーションを実行するようになっている。

[0065] 信号処理部 44は、カード機能アナログ回路部 30やリーダ Zライタ機能アナログ回路部 50を介して送信されるデータの変調、 DZA変換、アップコンバートなどの処理や、受信したデータのダウンコンバート、 AZD変換、復調などの処理を行なう。

[0066] DESエンジン 46は、カード機能アナログ回路部 30やリーダ Zライタ機能アナログ回路部 50を介して送受信されるデータを手順公開型の秘密鍵暗号により暗号ィ匕及び復号化処理する。

[0067] CRC47は、カード機能アナログ回路部 30やリーダ Zライタ機能アナログ回路部 50 を介して受信したデータの巡回冗長検査を行なう。

[0068] UART48並びに I²Cインターフェースは、 ICカードを携帯電話器や PDA、パーソナル 'コンピュータなどの外部機器（図 11には図示しな、）に接続するための外部有線インターフェースを構成する。このうち UART (Universal asynchronous receiv er transmitter) 48は、コンピュータ内のパラレル信号をシリアル信号に変換したり、シリアル信号をパラレル信号に変換したりする機能を持つ。

[0069] RAM41は書き込み可能なメモリ装置であり、 CPU41は RAM41を作業領域としてプログラムを実行する。 RAM41が提供するメモリ空間はアドレス可能であり、 CPU 41や内部ノス上の各装置はこのメモリ空間にアクセスすることができる。

[0070] EEPROM43は、消去動作とともに新規のデータの書き込みを行なう不揮発性のメモリ装置である。本明細書で言う ICカード内蔵のメモリ領域は、基本的には EEPRO M43内の書き込み可能領域を指すものとする。

[0071] このメモリ領域は、 1以上のファイル 'システムで構成される。初期状態では、元の IC カード発行者が管理する単一のファイル ·システムによってメモリ領域が管理され、その後、 ICカード発行者以外のサービス提供元事業者カモリ領域力も新たなファイル •システムを分割する。 EEPROM43上のメモリ領域のファイル分割や、分割後のァクセス動作の詳細については、後に詳解する。

[0072] 図 4には、本実施形態に係る ICカードにおけるメモリ領域の制御システム構成を模式的に示している。同図に示すように、この制御システムは、基本的には、オペレーティング 'システム内のサブシステムとして実装され、プロトコル 'インターフェース部と、 OS中枢部と、ファイル 'システムで構成される。

[0073] プロトコル 'インターフェース部は、 UART48などの外部機器インターフェースを介した外部機器力ものファイル 'システムへのアクセス要求、あるいは非接触 ICカード' インターフェースを介したカード読み書き装置からファイル 'システムへのアクセス要求のハンドリングを行なう。

[0074] OS中枢部では、ファイル 'システムとやり取りするデータのデコード Zエンコード、 C RCなどによるエラー訂正、 EEPROM43のブロック毎の書き換え回数管理、 PIN照合、相互認証などを行なう。

[0075] さらに、 OS中枢部は、ファイル ·アクセス時における PIN照合や相互認証、ファイルのリード Zライトなどのファイル 'システムへの幾つかの API (Application Program mmg Interlace)を備、る。

[0076] ファイル 'システム 'エンティティとしての EEPROM43へ物理アクセスを行なう。 EE PROMなどのメモリ'デバイスへの物理アクセス動作自体は当業界において周知なので、ここでは説明を省略する。

[0077] EEPROM43上に展開されるメモリ領域は、 1以上のファイル 'システムで構成される。初期状態では、元の ICカード発行者が管理する単一のファイル 'システムによつてメモリ領域が管理されてヽる。 ICカード発行者以外のサービス提供元事業者がメモリ領域力新たなファイル ·システムを分割する際には、メモリ領域の分割権限と、元の ICカード発行者に対する認証の双方が要求される。そして、一旦分割されると、ファイル 'システムへのアクセスは、元の ICカードの発行者ではなぐファイル 'システム自体のサービス提供元事業者への認証が要求される。ファイル 'システムの分割は、仮想的な ICカードの発行である。

[0078] OSは、分割を許可するための分割権限鍵 Kを管理している。また、ファイル 'シス

d

テム毎に、発行者 (元の ICカード発行者、又はファイル分割した事業者)の発行者鍵 Kと、システム 'コードと、ファイル領域を識別するエリア IDが管理されている。

[0079] ファイル 'システムへのアクセスは、ポーリングによるエリア IDの要求と、相互認証と V、う手続きを経て行なわれる。ファイル ·システムの発行者（元のファイル ·システムの場合はカード発行者、分割後のファイル 'システムを使用するサービス提供元事業者 )は、まず、自身が判っているシステム 'コードを引数にしてファイル ·システムに対するポーリングを行なうことによって、該当するファイル 'システムのメモリ領域上でのエリァ IDを取得することができる。次いで、このエリア IDと発行者鍵 ^を用いて相互認証を行なう。そして、相互認証が成功裏に終わると、ファイル ·システムへのアクセスが許可される。ファイル 'システムへのアクセスは、発行者と該当するファイル 'システムに固有の発行者鍵 Kを用いた暗号ィ匕通信により行なわれるので、他のファイル ·システムが無関係のデータを取り込んだり、発行者以外がファイル ·システムへ無断で読み書きしたりすることはできな、。

[0080] 図 5には、比較的大容量の ICカードを用いて実現される、電子マネーや電子チケット、その他の価値情報を運用するサービス提供システムの全体的構成を模式的に示している。

[0081] 図示のシステム 1は、例えば、 ICカード発行者 21が使用する発行者用通信装置 11 と、カード記憶領域運用者 22が使用する運用者用通信装置 12と、装置製造者 23が使用する製造者用通信装置 13と、カード記憶領域使用者 24が使用する記憶領域分割装置 14及び運用ファイル登録装置 15とで構成される。

[0082] システム 1では、 ICカード発行者 21がカード所有者 26に ICカード 16を発行した場合に、所定の条件に基づいて、カード記憶領域使用者 24によって提供されるサービスに係わるファイル ·データを ICカード 16に登録し、カード所有者 26が単体の IC力ード 16を用いて、 ICカード発行者 21及びカード記憶領域使用者 24の双方のサービスを受けることを可能にするものである。

[0083] 図 1に示すように、システム 1では、発行者用通信装置 11、運用者用通信装置 12、製造者用通信装置 13、記憶領域分割装置 14及び運用ファイル登録装置 15が、ネットワーク 17を介して接続される。

[0084] ICカード発行者 21は、 ICカード 16の発行を行なう者であり、 ICカード 16を用いて自らのサービスを提供する。

[0085] カード記憶領域運用者 22は、 ICカード発行者 21からの依頼を受けて、 ICカード発行者 21が発行した ICカード 16内の記憶部（半導体メモリ）に構成される記憶領域のうち、 ICカード発行者 21が使用しない記憶領域をカード記憶領域使用者 24に貸し出すサービスを行なう者である。

[0086] 装置製造者 23は、カード記憶領域運用者 22から依頼を受けて、記憶領域分割装置 14を製造し、カード記憶領域使用者 24に納品する者である。

[0087] カード記憶領域使用者 24は、カード記憶領域運用者 22に依頼を行な、、 ICカード 16の記憶領域を使用して自らの独自のサービスを提供する者であり、メモリ領域を分割して新たなファイル ·システムを作成するサービス提供元事業者 (前述）に相当し、自己のファイル ·システムを利用して自身のサービス提供を行なう。

[0088] カード所有者 26は、 ICカード発行者 21から ICカード 16の発行を受け、 ICカード発行者 21が提供するサービスを受ける者である。カード所有者 26は、 ICカード 16の発行後に、カード記憶領域使用者 24が提供するサービスを受けることを希望する場合には、記憶領域分割装置 14及び運用ファイル登録装置 15を用いて、カード記憶領域使用者 24のサービスに係わるファイル 'データを ICカード 16に記憶し、その後、力ード記憶領域使用者 24のサービスを受けることができるようになる。

[0089] システム 1は、 ICカード発行者 21のサービスと、カード記憶領域使用者 24のサービスとを単体の ICカード 16を用いて提供するに当たって、 ICカード発行者 21及びカード記憶領域使用者 24のサービスに係わるファイル ·データが記憶される記憶領域に、権限を有しない他人によって不正にデータの書き込み及び書き換えなどが行なわれることを困難にする構成を有して、る。

[0090] ICカード 16は、その字義通り、カード型のデータ通信装置であってもよいし、いわゆる ICカード機能が実装された半導体チップを内蔵した携帯電話機 (ある、はその他の携帯端末)として具現化されることもある。

[0091] なお、図 5では、それぞれ単数の ICカード発行者 21、カード記憶領域使用者 24及びカード所有者 26がある場合を例示したが、これらは、それぞれ複数であってもよい

[0092] 本実施形態では、 ICカードの単一のメモリ領域上にサービス提供元事業者毎のフアイル'システムを割り当て、単一のデータ通信装置を複数の事業者で共有し、単一のデータ通信装置により複数のサービスを提供する。このような分割ファイル 'システム構成により、元のカード発行者が利用するメモリ領域の他に、元のカード発行者の許可を得て特定のサービス提供元事業者が利用可能となるメモリ領域と、元のカード発行者の許可を得て複数の事業者間で共通に利用可能となるメモリ領域を運用することができる。

[0093] 特に、元のカード発行者が利用するファイル ·システム以外に、各サービス提供元事業者が個別に利用可能となる 1以上のファイル ·システムを運用する場合、ファイル •システム間の境界がフアイャ ·ウォールとして機能し、他のファイル ·システム（すなわち他のサービス提供元事業者)からのアクセス (不正侵入)を好適に排除することができる。

[0094] ここで、図 6—図 9を参照しながら、 ICカード内のメモリ領域の運用形態について説明する。

[0095] 図 6には、元のカード発行者が自らのファイル 'システムのみを管理しているメモリ領域の状態を示している。元のカード発行者のシステム 'コード SC1は、システム'コードの管理機構が付与する。外部機器又はプログラムがカード発行者のファイル 'システムにアクセスする場合は、 SC1を識別コード (すなわち、要求コマンドの引数）とする。

[0096] 図 7には、カード発行者が自らのファイル ·システムの空き領域の内で、ある範囲のメモリを領域管理者に貸与 (又は譲渡)することが許可できることを示して、る。この段階では，まだメモリ領域上のファイル 'システムに対して分割が行なわれている訳ではない。カード発行者は、自らのファイル ·システムに空き領域はあるうちは、複数の領域管理者に対して、メモリを貸与することを許可できる。例えば、 4ビットのシステム'コードでファイル 'システムを識別するという実装では、最大 16分割（15回まで分割)することがでさる。

[0097] 図 8には、他のサービス提供元事業者が、カード発行者から許可された領域においてメモリ領域を分割し、新たなファイル 'システムを生成した状態を示している。この新規ファイル ·システムには、システム 'コードの管理機構カゝらシステム 'コード SC2が付与されている。外部機器又はプログラムが、当該メモリ領域管理者 (サービス提供元事業者)の運用するファイル 'システムにアクセスする場合は、 SC2を識別コード (要求コマンドの引数）とする。

[0098] 図 9には、共通領域管理者が、カード発行者力許可された領域において、共通領域のシステム 'コード SCOでメモリを分割した状態を示してヽる。外部機器又はプログラムがこの共通領域管理者の運用領域であるファイル 'システムにアクセスする場合には、そのシステム 'コード SCOを識別コード（要求コマンドの引数）とする。

[0099] 図 6に示した初期のメモリ領域の状態から、他のサービス提供元事業者用のフアイル 'システムを分割するためには、当該事業者は、カード発行者に対してメモリ領域の使用に関する許可を求める。そして、カード発行者はメモリ領域の使用、すなわちファイル 'システムの分割を許可する場合には、分割技術管理者から、ファイル 'システムの分割に必要となる「分割素パッケージ」を取得する。カード発行者は、取得した分割素パッケージと、新たなサービス提供元事業者に使用を許可する分割領域の大きさ（ブロック数）とからなるデータ'ブロックをさらに自己の発行者鍵 Kで暗号ィ匕して、分割パッケージを作成し、これを用いてファイル 'システムの分割要求を行なう。

[0100] 但し、メモリ領域を分割して新たなファイル ·システムを作成する手順自体は本発明の要旨ではな、ので、ここではこれ以上説明しな、。

[0101] 図 10には、分割操作の繰り返しにより、 ICカードのメモリ領域上に複数のファイル' システムが共存するメモリ空間の構造を模式的に示している。

[0102] 図示の通り、ファイル ·システム毎にシステム 'コード SCとエリア IDが設定されるとともに、当該領域を使用するサービス提供元事業者 (元のカード発行者を含む)の発行者鍵 Kで相互認証を行なうことができる。これによつて、ファイル 'システムが割り振られたサービス提供元事業者は、元のカード発行者や分割技術者とは独立して、自己のファイル 'システムのセキュリティに関する脅威を分析、管理、並びに運用することがでさる。

[0103] また、サービス提供元事業者が自己のファイル 'システムへアクセスする際には、基本的には、エリア IDの要求と、相互認証という手続きを経て行なわれる。まず、自身が判っているシステム 'コードを引数にしてファイル.システムに対するポーリングを行なうことによって、該当するファイル 'システムのメモリ領域上でのエリア IDを取得することができる。次いで、このエリア IDと発行者鍵 Kを用いて相互認証を行なう。そして、相互認証が成功裏に終わると、ファイル ·システムへのアクセスが許可される。

[0104] 図 11には、外部機器と ICカードの間で交換される要求コマンドの構造を模式的に示している。図示の通り、各サービス提供元事業者 (元のカード発行者を含む）は、要求コマンド (例えばリード要求やライト要求、データ消去要求、エリア Zサービス登録 (後述)など）は、事業者自身と該当するファイル ·システムに固有の発行者鍵 κを用いてパッケージィ匕して暗号ィ匕通信により行なわれる。したがって、他のファイル'システムが要求コマンド力も無関係のデータを取り込んだり、第 3者がファイル 'システムへ無断で読み書きしたりすることはできな、。

[0105] ICカードのメモリ領域は、分割操作を繰り返すことにより、図 10に示すように複数のファイル ·システムが共存する構造となる。元のカード発行者の許可により ICカード上で自己のファイル 'システムを取得したサービス提供元事業者は、それぞれ自己のフアイル'システムを利用してエリアやサービスを配設し (後述）、自ら ICカードの発行者であるかのように、自身の事業展開に利用することができる。

[0106] 以下では、 1つのファイル ·システム内での運用形態について説明する。基本的には、どのファイル ·システムにおいても同様の動作が実現されるものとする。また、ファィル 'システムの操作を行なうためには、ポーリングによるエリア IDの要求と、相互認証と、う手続き (前述)を経て、ることを前提とする。

[0107] ファイル ·システム内には、電子決済を始めとする外部との電子的な価値情報のやり取りなど、 1以上のアプリケーションが割り当てられている。アプリケーションに割り当てられているメモリ領域を「サービス 'メモリ領域」と呼ぶ。また、アプリケーションの利用、すなわち該当するサービス 'メモリ領域へアクセスする処理動作のことを「サービス」と呼ぶ。サービスには、メモリへの読み出しアクセス、書き込みアクセス、あるいは電子マネーなどの価値情報に対する価値の加算や減算などが挙げられる。

[0108] ユーザがアクセス権を持つかどうかに応じてアプリケーションの利用すなわちサービスの起動を制限するために、アプリケーションに対して暗証コードを割り当て、サービス実行時に暗証コードの照合処理を行なうようになっている。また、サービス 'メモリ領域へのアクセスは、アプリケーションのセキュリティ 'レベルなどに応じて、適宜暗号化通信が行なわれる。

[0109] ユーザがアクセス権を持つかどうかに応じてアプリケーションの利用すなわちサービスの起動を制限するために、アプリケーションに対して暗証コードすなわち PINを割り当て、サービス実行時に PINの照合処理を行なうようになっている。また、サービス'メモリ領域へのアクセスは、アプリケーションのセキュリティ 'レベルなどに応じて、適宜暗号ィ匕通信が行なわれる。

[0110] 本実施形態では、 ICカード内のメモリ領域に設定されているそれぞれのファイル' システムに対して、「ディレクトリ」に類似する階層構造を導入する。そして、メモリ領域に割り当てられた各アプリケーションを、所望の階層の「エリア」に登録することができる。例えば、一連のトランザクションに使用される複数のアプリケーション、あるいは関連性の深いアプリケーション同士を同じエリア内のサービス 'メモリ領域として登録する（さらには、関連性の深いエリア同士を同じ親エリアに登録する）ことによって、メモリ領域のアプリケーションやエリアの配置が整然とし、ユーザにとってはアプリケーションの分類'整理が効率化する。

[0111] また、ファイル ·システムへのアクセス権を階層的に制御するために、アプリケーション毎に PINを設定できる以外に、各エリアに対しても PINを設定することができるようにしている。例えば、あるエリアに該当する PINを入力することにより、照合処理並びに相互認証処理を経て、エリア内のすべてのアプリケーション（並びにサブエリア）へのアクセス権を与えるようにすることもできる。したがって、例えば、該当するエリアに対する PINの入力を 1回行なうだけで、一連のトランザクションで使用されるすべてのアプリケーションのアクセス権を得ることができるので、アクセス制御が効率化するとともに、機器の使い勝手が向上する。

[0112] さらに、あるサービス 'メモリ領域に対するアクセス権限が単一でないことを許容し、それぞれのアクセス権限毎、すなわちサービス 'メモリ領域において実行するサービスの内容毎に、暗証コードを設定することができる。例えば、同じサービス 'メモリ領域に対して起動するサービスが「読み出し」と「読み出し及び書き込み」とでは、別々の P INが設定される。また、電子マネーやその他の価値情報に対する「増額」と「減額」とでは、別々の PINが設定される。また、あるメモリ領域に対する読み出しについては P INの入力が必要でないが、書き込む場合には PINの入力を必須とさせることが可能である。

[0113] 図 12には、ファイル ·システム内のデータ構造例を模式的に示している。図示の例では、ファイル 'システムが持つ記憶空間には、「ディレクトリ」に類似する階層構造が導入されている。すなわち、メモリ領域に割り当てられた各アプリケーションを、所望の階層エリアにサービス ·メモリ領域として登録することができる。例えば、一連のトランザクシヨンに使用されるアプリケーションなど、関連性の深いアプリケーション同士を同じエリアに登録する（さらには、関連性の深いエリア同士を同じ親エリアに登録する )ことができる。

[0114] また、ファイル ·システム内に割り当てられたアプリケーション (すなわちサービス'メモリ領域)並びにエリアは暗証コード定義ブロックを備えている。したがって、アプリケーシヨン毎に、あるいはエリア毎に PINを設定することができる。また、ファイル 'システムに対するアクセス権は、アプリケーション単位で行なうとともに、並びにエリア単位で行なうことができる。

[0115] さらに、あるサービス 'メモリ領域に対するアクセス権限が単一でなぐ実行するサービスの内容毎に、 PINを設定することができる。例えば、同じサービス 'メモリ領域に対して起動するサービスが「読み出し」と「読み出し及び書き込み」とでは、別々の PI Nが設定され、また、電子マネーやその他の価値情報に対する「増額」と「減額」とでは、別々の PINが設定される。

[0116] 照合部は、例えば電磁誘導作用に基づく非接触近距離通信又は UART48や I²C 49などのプロトコル 'インターフェースを介して送られてくる PINを、各アプリケーション又はディレクトリに割り当てられたエリア又はサービス 'メモリ領域に設定されている暗証コードと照合して、一致するメモリ領域に対するアクセスを許可する。アクセスが許可されたメモリ領域は、プロトコル 'インターフェースを介して読み書きが可能となる

[0117] このようにファイル ·システム内には、アプリケーションに割り当てられたさまざまなサ一ビス'メモリ領域が割り当てられており、各サービス 'メモリ領域に対して適用可能な 1以上のサービスが設けられている。本実施形態では、エリア単位、並びにアプリケーシヨン単位でアクセス制限を行なう以外に、アプリケーションに適用されるサービスの種類毎に PINを設定して、サービス単位でアクセス制限を行なうことができる。

[0118] 図 13には、ファイル.システムの基本構成を示している。図 12を参照しながら既に説明したように、ファイル 'システムに対して、「ディレクトリ」に類似する階層構造が導入され、所望の階層のエリアに、アプリケーションに割り当てられたサービス 'メモリ領域を登録することができる。図 13に示す例では、エリア 0000定義ブロックで定義されるエリア 0000内に、 1つのサービス 'メモリ領域が登録されている。

[0119] 図示のサービス 'メモリ領域は、 1以上のユーザ ·ブロックで構成される。ユーザ'ブロックはアクセス動作が保証されているデータ最小単位のことである。このサービス'メモリ領域に対しては、サービス 0108定義ブロックで定義されている 1つのサービスすなわちサービス 0108が適用可能である。

[0120] エリア単位、並びにアプリケーション単位でアクセス制限を行なう以外に、サービスの種類毎に暗証コードを設定して、サービス単位でアクセス制限を行なうことができる。アクセス制限の対象となるサービスに関する暗証コード設定情報は、暗証コード専用のサービス (すなわち「暗証コード'サービス」）として定義される。図 13に示す例では、サービス 0108に関する暗証コードが暗証コード'サービス 0128定義ブロックとして定義されて、る。その暗証コード ·サービスの内容は暗証コード ·サービス ·データ · ブロックに格納されている。

[0121] サービス 0108に対する暗証コード'サービスが有効になっている場合、サービス 0 108を起動してそのユーザ ·ブロックに読み出し又は書き込み動作を行なう前に、暗証コード'サービス 0128を使用した暗証コードの照合が必要となる。具体的には、暗号ィ匕あり読み書き (ReadZWrite)コマンドを使用する場合は、相互認証前にサービス 0108に対する暗証コードすなわち PINの照合を行なう。

[0122] また、アプリケーションに割り当てられたサービス 'メモリ領域を所望の階層のエリアに登録するとともに、エリアを階層化する（関連性の深いエリア同士を同じ親エリアに登録する）ことができる。この場合、エリア毎に PINを設定することにより、エリアをァクセス制限の単位とすることができる。図 14には、 ICカード 50のメモリ空間においてェリアが階層化されている様子を示している。同図に示す例では、エリア 0000定義プロックで定義されているエリア 0000内に、エリア 1000定義ブロックで定義されている別のエリア 1000が登録されている。

[0123] 図 14に示す例では、さらにエリア 1000内には、 2つのサービス 'メモリ領域が登録されている。一方のサービス 'メモリ領域に対しては、サービス 1108定義ブロックで定義されて!/、るサービス 1108と、サービス 110B定義ブロックで定義されて!、るサービス 110Bが適用可能である。このように、 1つのサービス 'メモリ領域に対してサービス内容の異なる複数のサービスを定義することを、本明細書中では「オーバーラップ · サービス」と呼ぶ。オーバーラップ 'サービスにおいては、同じサービス 'エリアに対して、入力した PINに応じて異なるサービスが適用されることになる。また、他方のサービス'メモリ領域に対しては、サービス 110C定義ブロックで定義されているサービス 1 10Cが適用可能である。

[0124] 各サービス 'メモリ領域に設定されているサービスを起動してそのユーザ 'ブロックに読み出し又は書き込み動作を行なうことができる。勿論、図 13を参照しながら説明したように、サービス毎に暗証コード'サービスを定義することができる。この場合、サービスに対する暗証コード ·サービスが有効になって!/、るときには、暗証コード ·サービスを使用した PINの照合を行なって力もサービスの起動が許可される。

[0125] また、複数のサービスに対して共通の PINを設定したい場合には、これらサービスを含むエリアを作成し、このエリアに対して共通の暗証コード'サービスを適用することがでさる。

[0126] 図 14に示す例では、エリア 1000に関する暗証コード力暗証コード'サービス 102 0定義ブロックとして定義されている。その暗証コード'サービスの内容は暗証コード' サービス ·データ ·ブロックに格納されて!、る。

[0127] エリア 1000に対する暗証コード'サービスが有効 (後述）になっている場合、暗証コード 'サービス 1020を使用した暗証コードの照合を行なった後に、エリア 1000内の各サービスを起動してそのユーザ ·ブロックに読み出し又は書き込み動作を行なうことが可能となる。

[0128] ここで、エリア 1000内のサービスに暗証コード'サービスが適用されており且つこれが有効となっている場合には、さらにその暗証コード'サービスを使用した暗証コードの照合を経て力もでないと、そのユーザ'ブロックに読み出し又は書き込み動作を行なうことはできない。

[0129] 図 13及び図 14に例示したように、暗証コード照合の対象となるエリアやサービスに対応する暗証コード'サービスは一意に与えられる。 [0130] なお、ファイル ·システム内にエリアやサービスを登録するための手順自体は本発明の要旨に直接関連しないので、ここでは説明を省略する。

[0131] 図 13及び図 14に例示したように、ファイル ·システム内に登録されたエリアゃサービスに対して PINを適用して、エリア単位、あるいはサービス単位でアクセス制御を行なうことができる。また、 1つのサービス 'メモリ領域に対して複数のサービス (オーバ一ラップ'サービス）を登録することができる力サービス毎に PINを適用することで、同じサービス 'メモリ領域に対して複数のアクセス方法を定義することができる。

[0132] 但し、本実施形態では、ファイル ·アクセスへアクセスする際、発行者鍵を用いた相互認証処理 (前述）は必須であるが、 PIN照合処理は任意である。すなわち、サービス又はエリアに対する暗証コード ·サービスが有効になっている場合にのみ、サービスの起動又はエリアへのアクセスを行なう前に、暗証コードの照合が要求され、暗証コード'サービスが無効にされている場合には、 PINの照合は要求されない。

[0133] PINの適用内容は、暗証コード'サービス定義ブロックの暗証コード'サービス 'データ 'ブロックに記述されている。図 15には、暗証コード'サービス 'データ'ブロックのデータ構造を模式的に示している。同図に示すように、暗証コード定義領域は、暗証番号領域と、入力失敗回数記憶領域と、最大許容入力失敗回数設定領域と、暗証番号使用選択領域と、アクセス許可フラグとで構成されて、る。

[0134] ユーザが入力した PINがー致した場合にのみ、該当するサービス又はエリアの暗証コード .サービス .データ .ブロック内のアクセス許可フラグを立てて、其処へのァクセスを許可する。

[0135] アクセス許可フラグは、該当するアプリケーション又はディレクトリのアクセス可否状態を示すためのフラグであり、アクセス許可フラグが設定されたサービス又はエリアはアクセス許可状態である。 PINが設定されたサービスやエリアのアクセス許可フラグは、デフォルトではアクセス不可状態であり、 PIN照合処理及びファイル 'システムの発行者鍵を用いた相互認証処理に成功した後、アクセス許可フラグが設定されて、アクセス許可状態に転じる。また、アクセス許可フラグを設定し続けると、 ICカードが紛失した場合や盗難に遭った場合にサービスやエリアの無断使用'不正使用によりユーザが損害を被るおそれがある。このため、 ICカードは、例えば電磁波が途絶えたことに応答してアクセス許可状態を自動的にアクセス不可にする機構を備えていてもよい。

[0136] また、誤った PINが入力された場合には、その都度、入力失敗回数記憶領域の記録を更新する。そして、入力失敗回数が最大許容入力失敗回数設定領域に設定された最大許容入力失敗回数に到達した場合には、該当するサービスの起動又はェリアに対するアクセスを禁止する。

[0137] 一般には、この入力失敗回数は、一度入力に成功したらクリアするべきものである。

このようにして悪意あるユーザがしらみつぶしに暗証コードを調べることを防止する。また、ユーザが誤って最大許容入力失敗回数に達して暗証コード入力に失敗してしまった場合は、 ICカードを管理する管理者 (例えば分割技術管理者や元のカード発行者)のみが入力失敗回数記憶領域をクリアできるようにしてもょ、。この管理者の認証には、例えば後述するような秘密鍵による認証を使用することもできる。

[0138] 図 16には、ユーザ力も入力された暗証コードに従って、サービスの起動又はエリアへのアクセス権を制御するための処理手順をフローチャートの形式で示している。

[0139] ユーザから暗証コードを入力すると (ステップ S11)、各暗証コード'サービス定義ブロックの暗証コード'サービス ·データ ·ブロックにアクセスして、暗証コードが一致するか否かを判別する (ステップ S 12)。

[0140] 暗証コード ·サービス ·データ ·ブロックの PINがユーザ入力された PINと一致する場合には、その暗証コード ·サービス ·データ ·ブロック内のアクセス許可フラグを設定して、対応するサービス又はエリアをアクセス可能状態にする (ステップ S13)。

[0141] 例えば、 ICチップをリーダ Zライタにかざして、リーダ Zライタに接続されている外部機器（図示しな、）のユーザ'インターフェースを用いて入力された PINを、電磁誘導作用に基づく非接触近距離通信インターフェースで ICカードに送信することができる。

[0142] 図 16に示すように PINを用いてアプリケーションやディレクトリへのアクセス権を制御する場合、悪意のあるユーザはしらみつぶしに PINを調べることにより、セキユリティの壁が破られる可能性がある（特に桁数の少な、暗証コードを用いる場合)。このため、本実施形態では、暗証コード定義領域において、最大許容入力回数を設定して、入力失敗回数が最大許容入力回数に到達したアプリケーション又はディレクトリをアクセス不可状態に設定することで、アクセス制御を行なうようにして、る。

[0143] 図 17には、 PINの入力失敗回数によりサービスやエリアへのアクセス権制御を行なうための処理手順をフローチャートの形式で示している。

[0144] ユーザ力も PINを入力すると（ステップ S21)、各暗証コード'サービス定義ブロックにアクセスして、 PINがー致するか否かを判別する (ステップ S22)。

[0145] ユーザ入力された PINが暗証コード'サービス定義ブロックの PINと一致する場合には、その暗証コード'サービス ·データ ·ブロック内のアクセス許可フラグを設定して、該当するサービス又はエリアをアクセス可能状態にする (ステップ S23)。

[0146] 他方、ユーザ入力された PINがいずれの暗証コード'サービス定義ブロックの PINとも一致しない場合には、暗証コード定義領域内の入力失敗回数を更新する (ステツプ S24)。また、ユーザ入力された PINがいずれの暗証コード'サービス定義ブロックの PINと一致し、照合に成功した場合には、入力失敗回数を 0にクリアする。

[0147] そして、ステップ S25では、更新された入力失敗回数が、暗証コード定義領域内で設定されている最大許容入力回数に到達したか否かを判断する (ステップ S25)。

[0148] もし、入力失敗回数が最大許容入力回数に到達してしまったならば、その暗証コード定義領域内のアクセス許可フラグの設定を解除して、該当するサービス又はエリアをアクセス不可状態にする（ステップ S26)。この結果、悪意のあるユーザがしらみつぶしに PINを調べる行為を取り締まることができる。

[0149] また、ユーザが誤って最大許容入力失敗回数に達して暗証コード入力に失敗してしまった場合は、 ICカードを管理する管理者 (例えば、分割技術管理者、または元のカード発行者)のみが入力失敗回数記憶領域をクリアできるようにしてもょ、。この管理者の認証には、例えば秘密鍵による認証を使用することもできる。

[0150] 上述したように、本実施形態では、ファイル ·システム毎に管理し、各ファイル 'システムのセキュリティに関する脅威を分析、管理、並びに運用するようになっている。

[0151] 例えば、電磁誘導に基づく非接触近況通信インターフェース、あるいは UART48 や I²C49などの有線インターフェースを介して、あるファイル 'システムへのアクセスが行なわれると、当該ファイル 'システムの発行者鍵 KIを用いた相互認証、並びに PIN 照合処理が行なわれ、これらの処理手続きに成功すると当該ファイル ·システムは解除状態となり、読み Z書きなど許可されたアクセス動作が可能となる。発行者鍵を用いた相互認証処理 (前述）は必須であるが、 PIN照合処理は任意であり、 PIN照合が有効化されている場合のみその照合処理を行なう。また、認証'照合処理が成功裏に終わり、ファイル 'システムが解除状態になった場合であっても、ファイル 'システム内のエリアやサービスに個別の PIN照合が設定されている場合には、さらに逐次的に PIN照合処理が要求される。

[0152] ここで、 ICカードのメモリ領域がサービス提供元事業者毎の複数のファイル 'システムに分割され共用されるシステムにお、ては、あるファイル ·システムへのアクセスを試み、相互認証処理並びに PIN照合処理を経て、解除状態となりセッションが確立した際、この解除状態における他のファイル ·システムのセキュリティへの影響が問題となる。何故ならば、セッションの状態が保たれると、その間、他のファイル 'システムへのクラッキングの脅威がある力もである。

[0153] そこで、本実施形態では、 ICカードのメモリ領域に複数のファイル 'システムを分割する機能と、各ファイル 'システム上のディレクトリやファイルに対する暗証コードの照合機能を連携させることにより、ファイル 'システム毎に独立してセキュリティに関する脅威を分析、管理、並びに運用するようにした。

[0154] すなわち、 ICカードのメモリ領域上に、論理的に複数のファイル ·システムが配置されている状態で (例えば、図 10を参照のこと）、外部機器又はプログラムがアクセス先のファイル ·システムを変更したとき、各メモリ領域が保持しているシステム管理情報（相互認証情報を含む)や PINの解除情報などをリセットする。さらに、リカードへの電源投入後、一定時間（例えば、利用時期のクラッキング技術やコンピュータの処理速度から、利用しているセッション暗号スキームを絶対に解読することができない時間）が経過した後、電源をリセットすることで、同様の相互認証 · PIN照合情報をリセットする。

[0155] 図 18には、 ICカード用のオペレーティング.システム（図 4を参照のこと）で管理されて、る、相互認証 · PIN照合情報の状態遷移を示して、る。

[0156] システム電源投入時、若しくは OSブート後は、ファイル 'システムへのアクセス時に相互認証と PIN照合が求められる認証状態となる。但し、発行者鍵を用いた相互認証処理 (前述）は必須であるが、 PIN照合処理は任意であり、 PIN照合が有効化されている場合のみその照合処理が求められる。

[0157] ここで、電磁誘導に基づく非接触近況通信インターフェース、ある、は UART48や I²C49などの有線インターフェースを介して、外部機器又はプログラムとの間で相互認証が行なわれ、さらに PIN照合処理が行なわれ、これらの処理が成功裏に終了すると、システムは解除状態となり、読み Z書きなど許可されたアクセス動作が可能となる。

[0158] 解除状態では、 ICカードへの電源投入後、一定時間（例えば、利用時期のクラツキング技術やコンピュータの処理速度から、利用しているセッション暗号スキームを絶対に解読することができない時間）が経過した後、電源をリセットすることで、認証状態へ復帰する。

[0159] また、あるファイル 'システムにおいて解除状態となった後、他のファイル 'システムへの切り替えがなされたときにも、認証状態へ復帰する。ファイル ·システムを切り替える際には、そのエリア IDを取得するためのポーリング手続きが必要となるので、ォペレ一ティング 'システムはこれを検知することができ、エリア IDを返す前に相互認証を実行する (前述)。

[0160] このように、システムが認証状態と解除状態を適宜切り替えることにより、セッションの状態が保たれることによるクラッキングの脅威を排除することができる。

[0161] ここで、図 19一図 21を参照しながら、 ICカード内のメモリ領域におけるシステム管理と PIN機能管理の連携について説明する。但し、各図ではメモリ領域は 3つのファィル 'システムに分割されているものとする。

[0162] 図 19には、メモリ領域の初期（すなわちリセット直後）の状態を示している。各フアイル'システムは、外部機器又はプログラムがアクセスするための識別子であるシステム •コード SCと、システム管理情報 (相互認証情報を含む)、 PIN解除情報などを保持することができる。

[0163] 図 20には、外部機器又はプログラムがファイル 'システム # 1に対して識別子 SC1 を用いてアクセスした際のメモリの状態を示している。外部機器又はプログラムは、戻り値としてエリア IDを受け取ることができる。ファイル 'システム # 1がアクティブになると、セキュリティ情報でもあるシステム管理情報 # 1及び PIN解除情報 # 1がメモリ領域に保持される。

[0164] 図 21には、図 20に示した状態から、外部機器又はプログラムがファイル 'システム

# 2に対してシステム 'コード SC2を用、てアクセスした直後のメモリの状態を示している。この場合、ファイル 'システムの切り替えが発生する。

[0165] アクティブなファイル ·システムの切り換えは、すべての論理的な機能の中で、最も優先して行なわれる。ファイル 'システム # 2がアクティブになると同時に、ファイル'システム # 1がアクティブであったときにメモリ領域上に保持されて、たシステム管理情報 # 1及び PIN解除情報 # 1は消去され、これに代わってシステム管理情報 # 2、及び PIN解除情報 # 2カモリに保持される。

[0166] このように、物理的なメモリ領域を複数のファイル ·システムに分割する機能と、各フアイル'システム上のディレクトリやファイルに対する PIN機能とを連携させて考えることで、ファイル ·システム毎に安全に管理 '運用することができるようになる。

産業上の利用可能性

[0167] 以上、特定の実施形態を参照しながら、本発明について詳解してきた。しかしながら、本発明の要旨を逸脱しなヽ範囲で当業者が該実施形態の修正や代用を成し得ることは自明である。

[0168] 本明細書では、 ICカードに内蔵されているメモリ領域についての情報管理方法を例にとって本発明の一実施形態について説明してきたが、本発明の要旨はこれに限定されるものではなぐ ICカード以外の機器に内蔵されている単一のメモリ'デバイスにおけるセキュリティの管理にも同様に適用することができる。

[0169] 要するに、例示という形態で本発明を開示してきたのであり、本明細書の記載内容を限定的に解釈するべきではない。本発明の要旨を判断するためには、請求の範囲の記載を参酌すべきである。

図面の簡単な説明

[0170] [図 1]図 1は、電磁誘導に基づくカード読み書き装置と ICカードとの無線通信の仕組みを概念的に示した図である。 [図 2]図 2は、カード読み書き装置と ICカードからなる系を 1個のトランスとして捉えてモデルィ匕した図である。

[図 3]図 3は、本発明の実施形態に係るデータ通信装置のハードウェア構成を示した図である。

圆 4]本発明の一実施形態に係る ICカードにおけるメモリ領域の制御システム構成を模式的に示した図である。

[図 5]図 5は、 ICカードを用いたサービス提供システムの全体的構成を模式的に示した図である。

[図 6]図 6は、元のカード発行者が自らのファイル 'システムのみを管理しているメモリ領域の状態を示した図である。

[図 7]図 7は、カード発行者が自らのファイル.システムの空き領域の内で、ある範囲のメモリを領域管理者に貸与 (又は譲渡)することが許可できることを示した図である。

[図 8]図 8は、他のサービス提供元事業者が、カード発行者カゝら許可された領域にお

V、てメモリ領域を分割し、新たなファイル ·システムを生成した状態を示した図である。

[図 9]図 9は、共通領域管理者が、カード発行者カゝら許可された領域において、共通領域のシステム 'コード SCOでメモリを分割した状態を示した図である。

[図 10]図 10は、分割操作の繰り返しにより、 ICカードのメモリ領域上に複数のフアイル'システムが共存するメモリ空間の構造を模式的に示した図である。

[図 11]図 11は、外部機器と ICカードの間で交換される要求コマンドの構造を模式的に示した図である。

[図 12]図 12は、ファイル ·システム内のディレクトリ構造例を模式的に示した図である

[図 13]図 13は、ファイル ·システムの基本構成を示した図である。

[図 14]図 14は、 ICカード 50のメモリ空間においてエリアが階層化されている様子を示した図である。

[図 15]図 15は、暗証コード ·サービス ·データ ·ブロックのデータ構造を模式的に示した図である。

[図 16]図 16は、ユーザ力も入力された暗証コードに従って、サービスの起動又はエリ O

ァへのアクセス権を制御するための処理手順を示したフローチャートである。

[図1— 11—7]図 17は、 PINの入力失敗回数によりサービスやエリアへのアクセス権制御を行なうための処理手順を示したフローチャートである。

[図 18]図 18は、 ICカード用のオペレーティング .システム（図 4を参照のこと）で管理されて、る、相互認証 · PIN照合情報の状態遷移を示した図である。

[図 19]図 19は、複数のファイル ·システムに分割されたメモリ領域の初期の状態を示した図である。

[図 20]図 20は、外部機器又はプログラムがファイル 'システム # 1に対して識別子 SC 1を用いてアクセスした際のメモリの状態を示した図である。

[図 21]図 21は、図 20に示した状態から、外部機器又はプログラムがファイル 'システム # 2に対してシステム 'コード SC2を用、てアクセスした直後のメモリの状態を示した図である。

符号の説明

発行者用通信装置

12· ··運用者要通信装置

13· 製造者用通信装置

14· 記憶領域分割装置

is··運用ファイル登録装置

le- '•ICカード

17· ' "ネットワーク

21· ..カード発行者

22· ··カード記憶領域運用者

23· 装置製造者

24· ··カード記憶領域使用者

26· カード所有者

30· ··カード機能アナログ回路部

31· "整流器

32· ..アンテナ · ··シリアル'レギユレータ

…搬送波検出器

···クロック抽出器

···クロック選択器

···クロック発振器

…論理回路

…電圧検出器

…データ処理部

---RAM

· -ROM

---EEPROM

…信号処理部

---CPU

…データ暗号化エンジン

···エラー訂正部

•••UARTインターフェース

· ·'Ι インターフェース

· ··リーダ Zライタ機能アナログ回路部···送信アンプ

…送信アンテナ

…受信信号検出器

···受信アンプ'フィルタ

···受信アンテナ

0…データ通信装置

Claims

請求の範囲

[1] メモリ空間を備え、 1以上のファイル ·システムに分割して管理するデータ通信装置であって、

を具備することを特徴とするデータ通信装置。

[2] 前記状態管理手段は、外部機器又はプログラムがアクセス先のファイル 'システムを変更したとき、元のアクセス先のファイル 'システムの解除状態を認証状態にリセットする、

ことを特徴とする請求項 1に記載のデータ通信装置。

[3] 前記状態管理手段は、ファイル 'システムが解除状態となって力所定期間が経過した後、あるいは電源投入後所定時間経過した後に認証状態にリセットする、ことを特徴とする請求項 1に記載のデータ通信装置。

[4] メモリ空間を備え、 1以上のファイル ·システムに分割して管理するデータ通信装置のメモリ管理方法であって、

外部機器又はプログラムからのアクセスに対し、ファイル 'システム毎に相互認証又は暗証コードの照合手続きを要求する認証ステップと、

アクセスに対し、相互認証又は暗証コードの照合手続きが要求されて、る認証状態、又は相互認証手続き又は暗証コードの照合手続きを経てアクセスが許可されている解除状態のいずれである力をファイル ·システム毎に管理する認証情報管理ステップと、

所定の事象の発生に応じてファイル 'システムの解除状態を認証状態に戻す状態管理ステップと、

を具備することを特徴とするデータ通信装置のメモリ管理方法。

[5] 前記状態管理ステップでは、外部機器又はプログラムがアクセス先のファイル 'システムを変更したとき、元のアクセス先のファイル 'システムの解除状態を認証状態にリセットする、

ことを特徴とする請求項 4に記載のデータ通信装置のメモリ管理方法。

[6] 前記状態管理ステップでは、ファイル ·システムが解除状態となって力所定期間が経過した後、あるいは電源投入後所定時間経過した後に認証状態にリセットする、ことを特徴とする請求項 4に記載のデータ通信装置のメモリ管理方法。