WO2005066803A1 - データ通信装置及びデータ通信装置のメモリ管理方法 - Google Patents
データ通信装置及びデータ通信装置のメモリ管理方法 Download PDFInfo
- Publication number
- WO2005066803A1 WO2005066803A1 PCT/JP2004/019202 JP2004019202W WO2005066803A1 WO 2005066803 A1 WO2005066803 A1 WO 2005066803A1 JP 2004019202 W JP2004019202 W JP 2004019202W WO 2005066803 A1 WO2005066803 A1 WO 2005066803A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- file
- card
- service
- file system
- area
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/357—Cards having a plurality of specified features
- G06Q20/3576—Multiple memory zones on card
Definitions
- Area identification information is allocated to each file system in the memory space.
- the external access is constituted by a package encrypted with the issuer key of the file system to be accessed.
- the control means transfers a package to a corresponding file system based on the area identification information in response to an external access request having the area identification information and the package as arguments. Then, the file system decrypts the package with its own issuer key.
- control means When dividing a new file system, the control means sets a system code in the file system together with an issuer key and area identification information.
- the service provider acquires its own file system in the memory space, if a default issuer key or system code is set at the time of division, the service provider writes them. It may be replaced. As a result, the service provider can analyze, manage, and operate security threats on its own file system independently of the division technology manager who manages the file system division. Become.
- the IC card modulates the load between its antennas in response to a response signal to the interrogation signal from the card reader / writer, thereby applying amplitude modulation to the signal appearing in the receiving circuit on the card reader / writer. That is, communication can be performed.
- the data processing unit 40 includes, in addition to the signal processing unit 44 described above, a CPU (Central Processing Unit) 45, a data encryption engine 46 using DES (Data Encryption Standard), and a CRC (Cyclic Redundancy). Check), an error correction unit 47, a RAM (Random Access Memory) 41, a ROM (Read Only Memory) 42, an EEPROM (Electrically Erasable and Programmable ROM) 43, a UART interface 48, It has a 2C interface 49, and each part is interconnected by an internal bus.
- a CPU Central Processing Unit
- DES Data Encryption Standard
- CRC Cyclic Redundancy
- FIG. 5 illustrates a case where there is a single IC card issuer 21, a card storage area user 24, and a card holder 26, each may be plural.
- a mutual authentication procedure consisting of a communication operation spanning a plurality of round trips is performed between the card issuer that made the request and the operating system that is the execution environment of the IC card.
- the area ID is returned to the card issuer as a return value for the request. Since the configuration of the mutual authentication procedure differs for each IC card specification and is not directly related to the gist of the present invention, a detailed description is omitted here.
- the division package is transferred to the card issuer's file system based on the area ID included in the argument, decrypted with the card issuer key K, and divided. The size of the elementary package and the divided area (number of blocks) are extracted.
- Fig. 14 shows the procedure for resetting the issuer key K and system code SC after the new service provider acquires its file system in the memory area of the IC card.
- a PIN can be set for each service to be executed, which has a single access right to a certain service 'memory area. For example, separate PINs are set for the same service ⁇ ⁇ ⁇ ⁇ the services started for the memory area are “read” and “read and write”, and “increase” and “decrease” for electronic money and other value information. With, separate PINs are set.
- a mutual authentication procedure consisting of multiple round-trip communication operations is performed between the service provider and the operating system that is the execution environment of the IC card.
- the area ID is returned to the service provider. Since the configuration of the mutual authentication procedure differs for each IC card specification and is not directly related to the gist of the present invention, detailed description is omitted here.
- an IC chip is held over a reader Z writer, and a PIN input using a user 'interface of an external device (not shown) connected to the reader Z writer is used for electromagnetic induction. It can be transmitted to an IC card with a non-contact short-range communication interface based on it.
- a malicious user may be able to break the security barrier by scrutinizing the PIN. Yes (especially when using a PIN code with a small number of digits).
- the access control is performed by setting the maximum allowable number of inputs in the password code definition area and setting the application or directory in which the number of input failures has reached the maximum allowable number of inputs to the inaccessible state.
- FIG. 1 is a diagram conceptually showing a wireless communication mechanism between an IC card and a card reading / writing device based on electromagnetic induction.
- FIG. 5 is a diagram schematically showing an overall configuration of a service providing system using an IC card.
- FIG. 7 is a diagram showing that a card issuer can permit a certain range of memory to be lent (or transferred) to an area manager in a free area of its own file system.
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Computer Networks & Wireless Communication (AREA)
- Accounting & Taxation (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
単一のメモリ領域上にサービス提供元事業者毎のファイル・システムを割り当て、単一の情報記憶媒体を複数の事業者で共有する。 初期状態ではICカード発行者がメモリ領域全体を管理している。他のサービス提供元事業者がメモリ領域から新たなファイル・システムを分割するとき、メモリ領域の分割権限とICカード発行者に対する認証の双方が要求される。ファイル分割後は、ファイル・システムへのアクセスは、分割したサービス提供元事業者への認証が要求される。ユーザにとっては、各サービス利用時において事業者自らが発行したICカードであるかのような使い勝手が確保される。
Description
明 細 書
データ通信装置及びデータ通信装置のメモリ管理方法
技術分野
[0001] 本発明は、比較的大容量のメモリ領域を備えたデータ通信装置及びデータ通信装 置のメモリ管理方法に係り、特に、メモリ領域上に電子的な価値情報を格納して電子 決済を始めとするセキュアな情報のやり取りを行なうデータ通信装置及びデータ通信 装置のメモリ管理方法に関する。
[0002] さら〖こ詳しくは、本発明は、メモリ領域上にサービス提供元事業者用のファイル'シ ステムを割り当てて、ファイル 'システム内で当該事業者によるサービス運用のための 情報を管理するデータ通信装置及びデータ通信装置のメモリ管理方法に係り、特に 、単一のメモリ領域上にサービス提供元事業者毎のファイル 'システムを割り当て、単 一のデータ通信装置を複数の事業者で共有し、単一のデータ通信装置により複数 のサービスを提供するデータ通信装置及びデータ通信装置のメモリ管理方法に関す る。
背景技術
[0003] 局所でのみ適用可能な無線通信手段の一例として、非接触 ICカードを挙げること ができる。
[0004] この種の無線通信には、一般に、電磁誘導の原理に基づ!、て実現される。すなわ ち、メモリ機能を有する ICカードと、 ICカードのメモリに対して読み書きアクセスをする カード ·リーダ Zライタで構成され、 1次コイルとしての ICカード側のループ'コイルと 2 次コイルとしてのカード'リーダ Zライタ側のアンテナが系として 1個のトランスを形成し ている。そして、カード'リーダ Zライタ側力も icカードに対して、電力と情報を同じく 電磁誘導作用により伝送し、 ICカード側では供給された電力によって駆動してカード
'リーダ Zライタ側力もの質問信号に対して応答することができる。
[0005] カード'リーダ Zライタ側では、アンテナに流す電流を変調することで、 ICカード上 のループ ·コイルの誘起電圧が変調を受けるという作用により、カード ·リーダ zライタ 力も ICカードへのデータ送信を行なうことができる。また、 ICカードは、ループ'コイル
の端子間の負荷変動により、 icカード'リーダ Zライタ側のアンテナ端子間のインピ 一ダンスが変化してアンテナの通過電流や電圧が変動するという作用により、カード' リーダ Zライタへの返信を行なう。
[0006] ICカードに代表される非接触 ·近接通信システムは、操作上の手軽さから、広範に 普及している。例えば、暗証コードやその他の個人認証情報、電子チケットなどの価 値情報などを ICカードに格納しておく一方、キャッシュ 'ディスペンサゃコンサート会 場の出入口、駅の改札口などにカード'リーダ zライタを設置しておく。そして、利用 者が icカードをカード'リーダ Zライタにかざすことで、非接触でアクセスし、認証処 理を行なうことができる。
[0007] 最近では、微細化技術の向上とも相俟って、比較的大容量のメモリ空間を持つ IC カードが出現している。大容量メモリ付きの ICカードによれば、複数のアプリケーショ ンを同時に格納しておくことができるので、 1枚の ICカードを複数の用途に利用する ことができる。例えば、 1枚の ICカード上に、電子決済を行なうための電子マネーや、 特定のコンサート会場に入場するための電子チケットなど、多数のアプリケーションを 格納しておくことにより、 1枚の ICカードをさまざまな用途に適用させることができる。 ここで言う電子マネーや電子チケットは、利用者が提供する資金に応じて発行される 電子データを通じて決済 (電子決済)される仕組み、又はこのような電子データ自体 を指す。
[0008] ICカードの一般的な使用方法は、利用者が ICカードをカード'リーダ Zライタをか ざすことによって行なわれる。カード'リーダ Zライタ側では常に icカードをポーリング しており外部の ICカードを発見することにより、両者間の通信動作が開始する。
[0009] このとき、利用者が暗証番号を ICカード'リーダ側に入力して、入力された暗証番 号を ICカード上に格納された暗証番号と照合することで、 ICカードと ICカード'リーダ
Zライタ間で本人確認又は認証処理が行なわれる。 icカード'アクセス時に使用する 暗証番号のことを、特に PIN (Personal Identification Number)と呼ぶ。そして、 本人確認又は認証処理に成功した場合には、例えば、 ICカード内に保存されている アプリケーションの利用、すなわち、アプリケーションに割り当てられているサービス' メモリ領域へのアクセスが可能となる(本明細書中では、アプリケーションに割り当てら
れて 、るメモリ領域を「サービス 'メモリ領域」と呼ぶ)。サービス 'メモリ領域へのァクセ スは、アプリケーションのセキュリティ 'レベルなどに応じて、適宜暗号化通信が行な われる。
[0010] さらに、 ICカードやカード用リーダ Zライタ (カード読み書き装置)が無線 ·非接触ィ ンターフェースの他に、外部機器と接続するための有線インターフェース(図示しな い)を備えることにより、 ICカードやリーダ Zライタの機能を携帯電話機、 PDA(Pers onal Digital Assistance)や CE (Consumer Electronics)機器、ノ ーソナノレ ·コ ンピュータなどの各デバイスに ICカード及びカード'リーダ Zライタのいずれか一方 又は双方の機能を装備することができる。このような場合、 ICカード技術を汎用性の ある双方向の近接通信インターフェースとして利用することができる。
[0011] 例えば、コンピュータや情報家電機器のような機器同士で近接通信システムが構成 される場合には、 ICカードを利用した通信が一対一で行なわれる。また、ある機器が 非接触 ICカードのような機器以外の相手デバイスと通信することも可能であり、この 場合においては、 1つの機器と複数のカードにおける一対多の通信を行なうアプリケ ーシヨンも考えられる。
[0012] また、電子決済を始めとする外部との電子的な価値情報のやり取りなど、 ICカード を利用したさまざまなアプリケーションを、情報処理端末上で実行することができる。 例えば、情報処理端末上のキーボードやディスプレイなどのユーザ'インターフエ一 スを用いて ICカードに対するユーザ'インタラクションを情報処理端末上で行なうこと ができる。また、 ICカードが携帯電話機と接続されていることにより、 ICカード内に記 憶された内容を電話網経由でやり取りすることもできる。さらに、携帯電話機からイン ターネット接続して利用代金を ICカードで支払うことができる。
[0013] あるサービス提供元事業者用のファイル 'システムを ICカードの内蔵メモリに割り当 てて、このファイル ·システム内で当該事業者によるサービス運用のための情報 (例え ば、ユーザの識別'認証情報や残りの価値情報、使用履歴 (ログ)など)を管理するこ とにより、従来のプリペイド'カードや店舗毎のサービス 'カードに置き換わる、非接触 •近接通信を基調とした有用なサービスを実現することができる。
[0014] 従来、サービス提供元事業者毎に ICカードが個別に発行され、ユーザの利用に供
されていた。このため、ユーザは、享受するサーヒス毎に ICカードを取り揃え、携帯し なければならな力つた。これに対し、比較的大容量のメモリ空間を持つ ICカードによ れば、単一の ICカードの内蔵メモリに複数のサービスに関する情報を記録するだけ の十分な容量を確保することができる。
[0015] ここで、プリペイド'カードなどの前払式証票に関しては、その発行などの業務の適 正な運営を確保して、前払式証票の購入者らの利益保護と前払式証票の信用維持 を図ることを主な目的として、前払式証票の発行者に対して登録やその他の必要な 規制を行なうための「前払式証票の規制等に関する法律」(通称、「プリカ法」)が制定 されており、利用者の便宜や流通秩序維持などの目的で、ロゴや問い合わせ先など の所定事項をプリペイド'カード上 (券面)に表示することが義務付けられている(同法 第 12条を参照のこと)。
[0016] ICカードのメモリ機能に前払情報を格納することによってプリペイド'カードを実現 する場合、法で規制される必要な情報を媒体上に印刷しておくことにより、単一のサ 一ビスしか提供できなくなる。これに対し、 ICカード機能を携帯電話機のような表示 機能を持つ携帯端末上で利用する場合には、希望する価値情報に関連する情報を 画面表示させることにより(例えば、特許文献 1を参照のこと)、上記の法規制を満た すことができ、複数のサービス提供元事業者による共有が可能となる。したがって、サ 一ビス提供元事業者においてはカード発行の負担が軽減するとともに、ユーザにとつ ては携帯して管理する ICカードの枚数を削減することができる。
[0017] ところが、複数のサービス提供元事業者間で単一のメモリ領域を共有した場合、あ るサービス提供元事業者が使用するメモリ領域を、メモリを共用する別の事業者から 自由にアクセスできるようにすると、事業者毎に設定される価値情報が他の事業者に よって不正利用を許してしまうことになりかねない。この結果、事業者側では健全なサ 一ビス提供を行なえなくなり、また、ユーザにとっては換金性の高い価値情報が流出 の危機にさらされ、経済的な損害を被る。
[0018] したがって、 ICカードを複数のサービス提供元事業者間で共用する場合には、ュ 一ザにとっては各サービス利用時において事業者自らが発行した ICカードであるか のような使い勝手を確保する一方、メモリ領域上の事業者毎の情報をセキュアに管理
する機構を備えて 、る必要がある。
[0019] 特許文献 1:特開 2003— 141434号公報
発明の開示
発明が解決しょうとする課題
[0020] 本発明の目的は、メモリ領域上に電子的な価値情報を格納して電子決済を始めと するセキュアな情報のやり取りを好適に行なうことができる、優れたデータ通信装置 及びデータ通信装置のメモリ管理方法を提供することにある。
[0021] 本発明のさらなる目的は、ユーザにとっては各サービス利用時において事業者自ら が発行した ICカードであるかのような使 、勝手を確保する一方、メモリ領域上の事業 者毎の情報をセキュアに管理する機構を備え、単一の ICカードを複数のサービス提 供元事業者間で共用することができる、優れたデータ通信装置及びデータ通信装置 のメモリ管理方法を提供することにある。
課題を解決するための手段
[0022] 本発明は、上記課題を参酌してなされたものであり、メモリ空間を備え、 1以上のフ アイル'システムに分割して管理するデータ通信装置であって、
分割権限鍵を保持し、前記メモリ空間のファイル 'システムへのアクセスを管理する 制御手段と、
第 1のサービス提供元の発行者鍵を保持し、メモリ空間上に割り当てられた第 1のフ アイル 'システムとを備え、
第 2のサービス提供元の発行者鍵を前記分割権限鍵で暗号ィ匕した分割素パッケ一 ジと新規のファイル 'システムに関する情報を含んだデータ ·ブロックを第 1のサービス 提供元の発行者鍵で暗号化した分割パッケージを受信すると、
前記第 1のファイル 'システムにおいて分割パッケージを解読して分割素パッケージ を取り出し、
前記制御手段において分割素パッケージを解読し、前記メモリ空間の空き領域から 、新規のファイル 'システムに関する情報に従って、第 2のサービス提供元の発行者 鍵を保持した第 2のファイル 'システムを分割する、
ことを特徴とするデータ通信装置である。ここで言うデータ通信装置は、無線通信部
、及びデータ送受信機能とデータ処理部を有する ICチップを内蔵する非接触 IC力 ード、表面に端子を有する接触 icカード、接触 Z非接触 icカードと同様の機能を有 する ICチップを携帯電話機、 PHS (Personal Handyphone System)、 PDA (Per sonal Digital Assistance)などの情報通信端末装置に内蔵した装置である。この データ通信装置は、 EEPROMなどのデータ蓄積メモリを含むメモリ領域とデータ処 理部を有するとともに、データ通信機能を有するものである。携帯電話機などの場合 は、 ICチップを内蔵する ICカードなどの外部記憶媒体を着脱可能に構成してもよ ヽ 。また、携帯電話会社が発行する契約者情報を記録した SIM (Subscriber Identit y Module)機能を ICチップに搭載してもよい。データ通信装置は、インターネット等 の情報通信ネットワークを介してデータ通信を行なっても、外部端末装置と有線ある いは無線で直接データ通信を行なってもよ 、。
[0023] 本発明は、 ICカードが持つ耐タンパ性と認証機能を利用して、価値情報のやり取り などを含んだセキュリティが要求されるサービスを提供するものである。より具体的に は、 ICカード内の単一のメモリ領域を複数のサービス提供元事業者間で共有し、サ 一ビス提供元事業者においてはカード発行の負担が軽減するとともに、ユーザにとつ ては携帯して管理する ICカードの枚数を削減するものである。
[0024] ここで、複数のサービス提供元事業者間で単一のメモリ領域を共有した場合、ある サービス提供元事業者が使用するメモリ領域を、メモリを共用する別の事業者から自 由にアクセスできるようにすると、事業者毎に設定される価値情報が他の事業者によ つて不正利用を許してしまう、という問題がある。
[0025] 本発明では、単一のメモリ領域上にサービス提供元事業者毎のファイル 'システム を割り当て、単一のデータ通信装置を複数の事業者で共有し、単一のデータ通信装 置により複数のサービスを提供するようにした。メモリ領域をファイル ·システムに分割 することにより、ファイル 'システム間の境界がフアイャ 'ウォールとして機能し、他のフ アイル ·システム (すなわち他のサービス提供元事業者)からのアクセス (不正侵入)を 好適に排除することができる。
[0026] ICカード内のメモリ領域は、初期状態では、元の ICカード発行者力メモリ領域全体 を管理して 、る。 ICカード発行者以外のサービス提供元事業者力 Sメモリ領域力 新
たなファイル 'システムを分割するに際しては、メモリ領域の分割権限と、元の ICカー ド発行者に対する認証の双方が要求される。
[0027] 例えば、新たなサービス提供元事業者としての第 2のサービス提供元が ICカードの メモリ領域上でファイル 'システムを分割したい場合には、その事前処理として、第 1 のサービス提供元としての元のカード発行者に対して、メモリ領域の使用に関する許 可を求める。そして、元のカード発行者はメモリ領域の使用、すなわちメモリの空き領 域カゝらファイル 'システムの分割をすることを許可する場合には、分割技術管理者か ら、ファイル 'システムの分割に必要となる「分割素パッケージ」を取得する。
[0028] ここで、分割技術管理者は、新たに分割して作成されるファイル 'システムの領域鍵 K、システム 'コード SCを割り振り、これらで構成されるデータ'ブロックを分割権限
Ii i
鍵 κで暗号化して分割素パッケージを作成し、これをカード発行者に渡す。カード発 d
行者自身は、分割権限鍵 κを保持していないので渡された分割素パッケージを解読
d
したりこれを改竄したりすることはできな 、。
[0029] そして、カード発行者は、取得した分割素パッケージと、新たなサービス提供元事 業者に使用を許可する分割領域の大きさ(ブロック数)とからなるデータ'ブロックをさ らに自己の発行者鍵 Kで暗号ィ匕して、分割パッケージを作成する。分割パッケージ は、カード発行者鍵 Kで暗号化されているので、第 3者が分割パッケージを解読した り分割領域の大きさなどを改竄したりすることはできない。
[0030] カード発行者は、分割パッケージを用いてファイル ·システムの分割要求を行なう。
分割要求が ICカードのオペレーティング ·システムに届くと、弓 I数に含まれるエリア ID に基づいて、分割パッケージがカード発行者のファイル 'システムへ渡され、カード発 行者鍵 Kで解読され、分割素パッケージと分割領域の大きさが取り出される。
[0031] ICカードのオペレーティング 'システムは、カード発行者のファイル 'システムから分 割素パッケージと分割領域の大きさを受け取ると、分割素パッケージを分割権限鍵 K で解読して、分割直後の領域鍵 (第 2のサービス提供元のデフォルト発行者鍵) Kと d Ii
、システム 'コード SCを取り出す。そして、要求されている分割領域の大きさ分の領 域を分割し、この領域に発行者鍵 Kとシステム 'コード SCを設定して、新たなフアイ
Ii i
ル'システムとする。
[0032] そして、ー且分割されると、ファイル 'システムへのアクセスは、元の ICカードの発行 者ではなぐファイル 'システム自体のサービス提供元事業者への認証が要求される 。したがって、ユーザにとっては、各サービス利用時において事業者自らが発行した I Cカードであるかのような使い勝手を確保することができる。
[0033] このような分割操作を繰り返すことにより、 ICカード内のメモリ領域は複数のファイル
'システムが共存する構造となる。ファイル 'システムの分割は、仮想的な ICカードの 発行である。
[0034] メモリ空間上の各ファイル ·システムにはエリア識別情報が割り振られている。そして 、外部力 のアクセスは、アクセス先となるファイル 'システムの発行者鍵で暗号ィ匕さ れたパッケージで構成されている。このような場合、前記制御手段は、エリア識別情 報とパッケージを引数とする外部力ものアクセス要求に対し、エリア識別情報を基に 該当するファイル 'システムへパッケージを渡すようになつている。そして、ファイル'シ ステムは自身の発行者鍵でパッケージを解読する。
[0035] したがって、ファイル 'システムを所有するサービス提供元事業者は、 自己の発行者 鍵を用いることで、 ICカードの制御システムや元のカード発行者からも秘密を保持し た状態でファイル 'システムと通信することができる。すなわち、元の ICカード発行者 とは独立してセキュリティに関する脅威を分析、管理、並びに運用することができるよ うになる。
[0036] また、前記制御手段は、新規のファイル ·システムを分割する際に、発行者鍵、エリ ァ識別情報とともに、システム 'コードを該ファイル 'システムに設定する。
[0037] このような場合、各サービス提供元は自己のシステム 'コードを引数にしたエリア識 別情報の取得要求を行なう。また、前記制御手段は、該要求に応答して、各ファイル •システムをポーリングし、該当するファイル 'システム力 エリア識別情報を取得し、こ れを要求元へ返すようにする。サービス提供元は、自己のシステム 'コードを管理す るだけでよぐファイル ·システムへアクセスする際に逐次的にエリア識別情報を取得 し、これを引数としてアクセス要求することができる。
[0038] また、サービス提供元は、前記メモリ空間上に自己のファイル ·システムを取得した 後、分割時にデフォルトの発行者鍵やシステム 'コードが設定される場合、これらを書
き換えるようにしてもよい。この結果、サービス提供元は、ファイル 'システムの分割を 管理する分割技術管理者とは独立して、自己のファイル 'システムのセキュリティに関 する脅威を分析、管理、並びに運用することができるようになる。
発明の効果
[0039] 本発明によれば、メモリ領域上に電子的な価値情報を格納して電子決済を始めと するセキュアな情報のやり取りを好適に行なうことができる、優れたデータ通信装置 及びデータ通信装置のメモリ管理方法を提供することができる。
[0040] また、本発明によれば、ユーザにとっては各サービス利用時において事業者自らが 発行した ICカードであるかのような使 、勝手を確保する一方、メモリ領域上の事業者 毎の情報をセキュアに管理する機構を備え、単一の ICカードを複数のサービス提供 元事業者間で共用することができる、優れたデータ通信装置及びデータ通信装置の メモリ管理方法を提供することができる。
[0041] また、本発明によれば、単一のメモリ領域上にサービス提供元事業者毎のファイル
'システムを割り当て、単一のデータ通信装置を複数の事業者で共有し、単一のデー タ通信装置により複数のサービスを提供することができる、優れたデータ通信装置及 びデータ通信装置のメモリ管理方法を提供することができる。
[0042] 本発明のさらに他の目的、特徴や利点は、後述する本発明の実施形態や添付する 図面に基づくより詳細な説明によって明らかになるであろう。
発明を実施するための最良の形態
[0043] 以下、図面を参照しながら本発明の実施形態について詳解する。
[0044] 本発明は、 ICカードが持つ耐タンパ性と認証機能を利用して、価値情報のやり取り などを含んだセキュリティが要求されるサービスを提供するものであり、より具体的に は、 ICカード内の単一のメモリ領域を複数のサービス提供元事業者間で共有し、サ 一ビス提供元事業者においてはカード発行の負担が軽減するとともに、ユーザにとつ ては携帯して管理する ICカードの枚数を削減するものである。
[0045] ここで、複数のサービス提供元事業者間で単一のメモリ領域を共有した場合、ある サービス提供元事業者が使用するメモリ領域を、メモリを共用する別の事業者から自 由にアクセスできるようにすると、事業者毎に設定される価値情報が他の事業者によ
つて不正利用を許してしまう、という問題がある。
[0046] 本発明では、単一のメモリ領域上にサービス提供元事業者毎のファイル 'システム を割り当て、単一のデータ通信装置を複数の事業者で共有し、単一のデータ通信装 置により複数のサービスを提供するようにした。メモリ領域をファイル ·システムに分割 することにより、ファイル 'システム間の境界がフアイャ 'ウォールとして機能し、他のフ アイル ·システム (すなわち他のサービス提供元事業者)からのアクセス (不正侵入)を 好適に排除することができる。
[0047] ICカード内のメモリ領域は、初期状態では、元の ICカード発行者力メモリ領域全体 を管理して 、る。 ICカード発行者以外のサービス提供元事業者力 Sメモリ領域力 新 たなファイル 'システムを分割するに際しては、メモリ領域の分割権限と、元の ICカー ド発行者に対する認証の双方が要求される。
[0048] そして、ー且分割されると、ファイル 'システムへのアクセスは、元の ICカードの発行 者ではなぐファイル 'システム自体のサービス提供元事業者への認証が要求される 。したがって、ユーザにとっては、各サービス利用時において事業者自らが発行した I Cカードであるかのような使い勝手を確保することができる。
[0049] ここで、まず、 ICカード及びカード読み書き装置間の非接触データ通信の仕組み について、図 1及び図 2を参照しながら説明する。
[0050] カード読み書き装置と ICカード間の無線通信は、例えば電磁誘導の原理に基づい て実現される。図 1には、電磁誘導に基づくカード読み書き装置と ICカードとの無線 通信の仕組みを概念的に図解している。カード読み書き装置は、ループ'コイルで構 成されたアンテナ L を備え、このアンテナ L に電流 I を流すことでその周辺に磁
RW RW RW
界を発生させる。一方、 ICカード側では、電気的には ICカードの周辺にループ'コィ ル Lが形設されている。 ICカード側のループ'コイル L端にはカード読み書き装置側 のループ'アンテナ Lが発する磁界による誘導電圧が生じて、ループ'コイル L端に 接続された ICカードの端子に入力される。
[0051] カード読み書き装置側のアンテナ L と ICカード側のループ'コイル Lは、その結合
RW c
度は互いの位置関係によって変わる力 系としては 1個のトランスを形成していると捉 えることができ、 ICカードの読み書き動作を図 2に示すようにモデルィ匕することができ
る。
[0052] カード読み書き装置側では、アンテナ L に流す電流 I を変調することによって、 I
RW RW
Cチップ上のループ'コイル Lに誘起される電圧 Vは変調を受け、そのことを利用し
O
てカード読み書き装置は ICカードへのデータ送信を行うことができる。
[0053] また、 ICカードは、カード読み書き装置へ返送するためのデータに応じてループ' コイル Lの端子間の負荷を変動させる機能(Load Switching)を持つ。ループ'コィ ル Lの端子間の負荷が変動すると、カード読み書き装置側ではアンテナ端子間のィ ンピーダンスが変化して、アンテナ L の通過電流 I や電圧 V の変動となって現れ
RW RW RW
る。この変動分を復調することで、カード読み書き装置は ICカードの返送データを受 信することができる。
[0054] すなわち、 ICカードは、カード読み書き装置からの質問信号に対する応答信号に 応じて自身のアンテナ間の負荷を変化させることによって、カード読み書き装置側の 受信回路に現れる信号に振幅変調をかけて通信を行なうことができる訳である。
[0055] ICカードは、カード型のデータ通信装置であってもよ 、し、 V、わゆる ICカード機能 を有する集積回路チップを携帯電話機等の情報通信端末機器に内蔵してもよい (IC カードが機器に内蔵される場合であっても、機器に着脱可能に構成される場合であ つても、本明細書中では便宜上「ICカード」と呼ぶ場合がある。)また、 ICカード機能 を有する集積回路チップは、例えば携帯電話機や PDAなどの携帯端末、あるいは パーソナルコンピュータ (PC)などの情報処理端末に搭載されて外部機器とデータ 通信を行なう。この場合、リーダ Zライタ装置と有線あるいは無線で接続するためのィ ンターフェース以外に、外部機器接続用のインターフェースを備えている。
[0056] 図 3には、本発明の実施形態に力かるデータ通信装置のハードウェア構成を示して いる。このデータ通信装置は、通信用のアンテナを追加して内部の不揮発性メモリに アクセスすることができる ICカード機能と、 ICカード機能を有する外部装置に電力を 供給するとともにデータ交換を実現するリーダ Zライタ機能を有し、カード機能アナ口 グ回路部 30、データ処理部 40と、リーダ Zライタ機能アナログ回路部 50を有する IC チップを内蔵している。同図に示した例では、 ICカードはカード読み書き機能も併せ て備えているが、カード読み書き機能は本発明の必須の構成要素ではない。
[0057] カード機能アナログ回路部 30では、アンテナ 32で受信された搬送波は、整流器 31 で整流された後、データ処理部 40内の信号処理部 44に供給されるとともに、シリア ル 'レギユレータ 33を介して論理回路 38に供給されている。
[0058] 論理回路 38は、起動信号入力端子 P 力 の起動信号の入力に応答して起動し、 on
シリアル ·レギユレータ 33からの電圧、並びに電源端子 V からの入力電圧を制御し
DD
て、 ICカードで使用するための適正な電源電圧を供給するようになっている。
[0059] シリアル ·レギユレータ 33は、入力電圧の如何に拘わらず、出力電圧をほぼ一定に 保つようになつている。すなわち、入力電圧が高いときには、内部インピーダンスを高 くして、逆に入力電圧が低いときには内部インピーダンスを低くすることによって、電 圧を保つ動作を可能とする。
[0060] 電圧検出器 39は、論理回路 38に接続された電源電圧監視回路接続用端子 V か
BT
らの入力端子電圧を監視して、外部電源の電圧が所定電圧を下回った場合には外 部電源の使用を禁止する信号を論理回路 38に出力するようになっている。
[0061] また、カード機能アナログ回路部 30において、アンテナ 32から入力された電波は、 搬送波検出器 34で受信電波中に搬送波が含まれて!/、るか否かが判断され、含まれ ている場合には、搬送波検出信号 VRが論理回路 38に出力される。論理回路 38は、 さらに、データ処理部 40に対して搬送波が検出された旨の信号を出力することがで きる。
[0062] クロック抽出器 35は、アンテナ 32から入力された電波からクロックを抽出して、これ をクロック選択器 36に供給する。また、クロック発振器 37は、例えば ICカード外に配 設された水晶振動子で構成され、 ICカード上で使用される駆動周波数のクロックを 発生して、クロック選択器 36〖こ供給する。クロック選択器 36は、クロック抽出器 35力 供給されたクロック、又は、クロック発振器 37から供給されたクロックのいずれか一方 を選択して、 ICカード内の各部に供給する。
[0063] リーダ Zライタ機能アナログ回路部 50は、送信アンプ 51と、受信信号検出器 53と、 受信アンプ'フィルタ 54と、送受信用のアンテナ 52及び 55で構成される。
[0064] データを送信するときは、データ処理部 40の信号処理部 44によって変調並びに D ZA変換されて、アナログ 'ベースバンドにアップコンバートされた送信信号が送信ァ
ンプを介してアンテナ 51から送出される。また、アンテナ 52から受信された信号は、 受信信号検出器 53によって検出され、受信アンプ 54で増幅されてから、信号処理 部 44に供給される。信号処理部 44は、アナログ 'ベースバンド信号にダウンコンパ一 トし、 DZA変換並びに復調処理して、ディジタル 'データを再現する。
[0065] なお、 ICカードとカード読み書き装置の間のカード読み書き動作は、図 1及び図 2 を参照しながら既に説明した通りである。
[0066] データ処理部 40は、先述の信号処理部 44の他、 CPU (Central Processing Un it) 45と、 DES (Data Encryption Standard)などを利用したデータ暗号化ェンジ ン 46と、 CRC (Cyclic Redundancy Check)などを利用したエラー訂正部 47と、 R AM (Random Access Memory) 41と、 ROM (Read Only Memory) 42と、 EEP ROM (Electrically Erasable and Programmable ROM) 43と、 UARTインター フェース 48と、 I2Cインターフェース 49とを備えており、各部は内部バスによって相互 接続されている。
[0067] CPU45は、 ICカード内の動作を統括的に制御するメイン'コントローラであり、 IC力 ード用オペレーティング 'システム (OS)によって提供される実行環境 (後述)下で、例 えば ROM42 (あるいは EEPROM43)に格納されたプログラム 'コードを実行するよ うになつている。例えば、 CPU45は、カード機能アナログ回路部 30やリーダ Zライタ 機能アナログ回路部 50を介して送受信されるデータに関するアプリケーションを実行 するようになっている。
[0068] 信号処理部 44は、カード機能アナログ回路部 30やリーダ Zライタ機能アナログ回 路部 50を介して送信されるデータの変調、 DZA変換、アップコンバートなどの処理 や、受信したデータのダウンコンバート、 AZD変換、復調などの処理を行なう。
[0069] DESエンジン 46は、カード機能アナログ回路部 30やリーダ Zライタ機能アナログ 回路部 50を介して送受信されるデータを手順公開型の秘密鍵暗号により暗号ィ匕及 び復号化処理する。
[0070] CRC47は、カード機能アナログ回路部 30やリーダ Zライタ機能アナログ回路部 50 を介して受信したデータの巡回冗長検査を行なう。
[0071] UART48並びに I2Cインターフェースは、 ICカードを携帯電話器や PDA、パーソ
ナル 'コンピュータなどの外部機器(図 3には図示しない)に接続するための外部有線 インターフェースを構成する。このつち UART (Universal asynchronous receiver transmitter) 48は、コンピュータ内のパラレル信号をシリアル信号に変換したり、シ リアル信号をパラレル信号に変換したりする機能を持つ。
[0072] RAM41は書き込み可能なメモリ装置であり、 CPU41は RAM41を作業領域とし てプログラムを実行する。 RAM41が提供するメモリ空間はアドレス可能であり、 CPU 41や内部ノ ス上の各装置はこのメモリ空間にアクセスすることができる。
[0073] EEPROM43は、消去動作とともに新規のデータの書き込みを行なう不揮発性のメ モリ装置である。本明細書で言う ICカード内蔵のメモリ領域は、基本的には EEPRO M43内の書き込み可能領域を指すものとする。
[0074] このメモリ領域は、 1以上のファイル 'システムで構成される。初期状態では、元の IC カード発行者が管理する単一のファイル ·システムによってメモリ領域が管理され、そ の後、 ICカード発行者以外のサービス提供元事業者カ モリ領域力も新たなファイル •システムを分割する。 EEPROM43上のメモリ領域のファイル分割や、分割後のァク セス動作の詳細については、後に詳解する。
[0075] 図 4には、本実施形態に係る ICカードにおけるメモリ領域の制御システム構成を模 式的に示している。同図に示すように、この制御システムは、基本的には、オペレー ティング 'システム内のサブシステムとして実装され、プロトコル 'インターフェース部と 、 OS中枢部と、ファイル 'システムで構成される。
[0076] プロトコル 'インターフェース部は、 UART48などの外部機器インターフェースを介 した外部機器力ものファイル 'システムへのアクセス要求、あるいは非接触 ICカード' インターフェースを介したカード読み書き装置からファイル 'システムへのアクセス要 求のハンドリングを行なう。
[0077] OS中枢部では、ファイル 'システムとやり取りするデータのデコード Zエンコード、 C RCなどによるエラー訂正、 EEPROM43のブロック毎の書き換え回数管理、 PIN照 合、相互認証などを行なう。
[0078] さらに、 OS中枢部は、ファイル ·アクセス時における PIN照合や相互認証、ファイル のリード Zライトなどのファイル 'システムへの幾つかの API (Application Program
ming Interface)を備えて 、る。
[0079] ファイル 'システム 'エンティティとしての EEPROM43へ物理アクセスを行なう。 EE PROMなどのメモリ'デバイスへの物理アクセス動作自体は当業界において周知な ので、ここでは説明を省略する。
[0080] EEPROM43上に展開されるメモリ領域は、 1以上のファイル 'システムで構成され る。初期状態では、元の ICカード発行者が管理する単一のファイル 'システムによつ てメモリ領域が管理されて ヽる。 ICカード発行者以外のサービス提供元事業者がメ モリ領域力 新たなファイル ·システムを分割する際には、メモリ領域の分割権限と、 元の ICカード発行者に対する認証の双方が要求される。そして、一旦分割されると、 ファイル 'システムへのアクセスは、元の ICカードの発行者ではなぐファイル 'システ ム自体のサービス提供元事業者への認証が要求される。ファイル 'システムの分割は 、仮想的な ICカードの発行である。
[0081] OSは、分割を許可するための分割権限鍵 Kを管理している。また、ファイル 'シス
d
テム毎に、発行者 (元の ICカード発行者、又はファイル分割した事業者)の発行者鍵 Kと、システム 'コードと、ファイル領域を識別するエリア IDが管理されている。
[0082] ファイル 'システムへのアクセスは、ポーリングによるエリア IDの要求と、相互認証と V、う手続きを経て行なわれる。ファイル ·システムの発行者(元のファイル ·システムの 場合はカード発行者、分割後のファイル 'システムを使用するサービス提供元事業者 )は、まず、自身が判っているシステム 'コードを引数にしてファイル ·システムに対す るポーリングを行なうことによって、該当するファイル 'システムのメモリ領域上でのエリ ァ IDを取得することができる。次いで、このエリア IDと発行者鍵 Kを用いて相互認証 を行なう。そして、相互認証が成功裏に終わると、ファイル ·システムへのアクセスが許 可される。ファイル 'システムへのアクセスは、発行者と該当するファイル 'システムに 固有の発行者鍵 Kを用いた暗号ィ匕通信により行なわれるので、他のファイル ·システ ムが無関係のデータを取り込んだり、発行者以外がファイル ·システムへ無断で読み 書きしたりすることはできな 、。
[0083] 図 5には、比較的大容量の ICカードを用いて実現される、電子マネーや電子チケッ ト、その他の価値情報を運用するサービス提供システムの全体的構成を模式的に示
している。
[0084] 図示のシステム 1は、例えば、 ICカード発行者 21が使用する発行者用通信装置 11 と、カード記憶領域運用者 22が使用する運用者用通信装置 12と、装置製造者 23が 使用する製造者用通信装置 13と、カード記憶領域使用者 24が使用する記憶領域 分割装置 14及び運用ファイル登録装置 15とで構成される。
[0085] システム 1では、 ICカード発行者 21がカード所有者 26に ICカード 16を発行した場 合に、所定の条件に基づいて、カード記憶領域使用者 24によって提供されるサービ スに係わるファイル ·データを ICカード 16に登録し、カード所有者 26が単体の IC力 ード 16を用いて、 ICカード発行者 21及びカード記憶領域使用者 24の双方のサービ スを受けることを可能にするものである。
[0086] 図 5に示すように、システム 1では、発行者用通信装置 11、運用者用通信装置 12、 製造者用通信装置 13、記憶領域分割装置 14及び運用ファイル登録装置 15が、ネ ットワーク 17を介して接続される。
[0087] ICカード発行者 21は、 ICカード 16の発行を行なう者であり、 ICカード 16を用いて 自らのサービスを提供する。
[0088] カード記憶領域運用者 22は、 ICカード発行者 21からの依頼を受けて、 ICカード発 行者 21が発行した ICカード 16内の記憶部(半導体メモリ)に構成される記憶領域の うち、 ICカード発行者 21が使用しない記憶領域をカード記憶領域使用者 24に貸し 出すサービスを行なう者である。
[0089] 装置製造者 23は、カード記憶領域運用者 22から依頼を受けて、記憶領域分割装 置 14を製造し、カード記憶領域使用者 24に納品する者である。
[0090] カード記憶領域使用者 24は、カード記憶領域運用者 22に依頼を行な 、、 ICカー ド 16の記憶領域を使用して自らの独自のサービスを提供する者であり、メモリ領域を 分割して新たなファイル ·システムを作成するサービス提供元事業者 (前述)に相当し 、自己のファイル ·システムを利用して自身のサービス提供を行なう。
[0091] カード所有者 26は、 ICカード発行者 21から ICカード 16の発行を受け、 ICカード発 行者 21が提供するサービスを受ける者である。カード所有者 26は、 ICカード 16の発 行後に、カード記憶領域使用者 24が提供するサービスを受けることを希望する場合
には、記憶領域分割装置 14及び運用ファイル登録装置 15を用いて、カード記憶領 域使用者 24のサービスに係わるファイル 'データを ICカード 16に記憶し、その後、力 ード記憶領域使用者 24のサービスを受けることができるようになる。
[0092] システム 1は、 ICカード発行者 21のサービスと、カード記憶領域使用者 24のサービ スとを単体の ICカード 16を用いて提供するに当たって、 ICカード発行者 21及びカー ド記憶領域使用者 24のサービスに係わるファイル ·データが記憶される記憶領域に、 権限を有しない他人によって不正にデータの書き込み及び書き換えなどが行なわれ ることを困難にする構成を有して 、る。
[0093] ICカード 16は、その字義通り、カード型のデータ通信装置であってもよいし、いわ ゆる ICカード機能が実装された半導体チップを内蔵した携帯電話機 (ある 、はその 他の携帯端末や CE機器)として具現化されることもある。
[0094] なお、図 5では、それぞれ単数の ICカード発行者 21、カード記憶領域使用者 24及 びカード所有者 26がある場合を例示したが、これらは、それぞれ複数であってもよい
[0095] 本実施形態では、 ICカードの単一のメモリ領域上にサービス提供元事業者毎のフ アイル'システムを割り当て、単一のデータ通信装置を複数の事業者で共有し、単一 のデータ通信装置により複数のサービスを提供する。このような分割ファイル 'システ ム構成により、元のカード発行者が利用するメモリ領域の他に、元のカード発行者の 許可を得て特定のサービス提供元事業者が利用可能となるメモリ領域と、元のカード 発行者の許可を得て複数の事業者間で共通に利用可能となるメモリ領域を運用する ことができる。
[0096] 特に、元のカード発行者が利用するファイル ·システム以外に、各サービス提供元 事業者が個別に利用可能となる 1以上のファイル ·システムを運用する場合、ファイル •システム間の境界がフアイャ ·ウォールとして機能し、他のファイル ·システム(すなわ ち他のサービス提供元事業者)からのアクセス (不正侵入)を好適に排除することが できる。
[0097] ここで、図 6—図 9を参照しながら、 ICカード内のメモリ領域の運用形態について説 明する。
[0098] 図 6には、元のカード発行者が自らのファイル 'システムのみを管理しているメモリ領 域の状態を示している。元のカード発行者のシステム 'コード SC1は、システム'コー ドの管理機構が付与する。外部機器又はプログラムがカード発行者のファイル 'シス テムにアクセスする場合は、 SC1を識別コード (すなわち、要求コマンドの引数)とす る。
[0099] 図 7には、カード発行者が自らのファイル ·システムの空き領域の内で、ある範囲の メモリを領域管理者に貸与 (又は譲渡)することが許可できることを示して 、る。この段 階では,まだメモリ領域上のファイル 'システムに対して分割が行なわれている訳では ない。カード発行者は、自らのファイル ·システムに空き領域はあるうちは、複数の領 域管理者に対して、メモリを貸与することを許可できる。例えば、 4ビットのシステム'コ ードでファイル 'システムを識別するという実装では、最大 16分割(15回まで分割)す ることがでさる。
[0100] 図 8には、他のサービス提供元事業者が、カード発行者から許可された領域におい てメモリ領域を分割し、新たなファイル 'システムを生成した状態を示している。この新 規ファイル ·システムには、システム 'コードの管理機構カゝらシステム 'コード SC2が付 与されている。外部機器又はプログラムが、当該メモリ領域管理者 (サービス提供元 事業者)の運用するファイル 'システムにアクセスする場合は、 SC2を識別コード (要 求コマンドの引数)とする。
[0101] 図 9には、共通領域管理者が、カード発行者力 許可された領域において、共通領 域のシステム 'コード SCOでメモリを分割した状態を示して ヽる。外部機器又はプログ ラムがこの共通領域管理者の運用領域であるファイル 'システムにアクセスする場合 には、そのシステム 'コード SCOを識別コード(要求コマンドの引数)とする。
[0102] 続いて、メモリ領域を分割して新たなファイル 'システムを作成するための手続き〖こ ついて詳解する。
[0103] 図 10には、ファイル 'システムを分割する際の事前処理について図解している。新 たなサービス提供元事業者が ICカードのメモリ領域上でファイル ·システムを分割し たい場合には、その事前処理として、当該事業者は、カード発行者に対してメモリ領 域の使用に関する許可を求める。そして、カード発行者はメモリ領域の使用、すなわ
ちファイル 'システムの分割を許可する場合には、分割技術管理者から、ファイル'シ ステムの分割に必要となる「分割素パッケージ」を取得する。
[0104] 分割技術管理者は、 ICカードを製造又は製造出荷した後に ICカード内のメモリ領 域の管理を担うカード記憶領域運用者 22に相当し、新たなサービス提供元事業者 は、カード記憶領域使用者 14に相当する(図 5を参照のこと)。
[0105] 分割技術管理者は、 ICカード内のメモリ領域上の各ファイル 'システムのシステム' コードを採番する権限を持つとともに、 ICカードの実行環境を提供するオペレーティ ング 'システム内に格納されている分割権限鍵 Kを管理している。そして、分割技術
d
管理者は、新たに分割して作成されるファイル ·システムの領域鍵(当該領域を使用 する新たなサービス提供元事業者 (すなわち仮想的な ICカードの発行者)の発行者 鍵) K、システム 'コード SCを割り振り(但し、 iは i番目に分割されたファイル 'システム
Ii i
であることを識別する添え字である)、これらで構成されるデータ'ブロックを分割権限 鍵 Kで暗号ィ匕して分割素パッケージを作成し、これをカード発行者に渡す。
d
[0106] カード発行者自身は、分割権限鍵 Kを保持して ヽな ヽので、渡された分割素パッ
d
ケージを解読したりこれを改竄したりすることはできない。
[0107] カード発行者は、取得した分割素パッケージと、新たなサービス提供元事業者に使 用を許可する分割領域の大きさ(ブロック数)とからなるデータ'ブロックをさらに自己 の発行者鍵 Kで暗号化して、分割パッケージを作成する。
[0108] 分割パッケージは、カード発行者並びにカード発行者のファイル ·システムにおい て管理されて 、るカード発行者鍵 Kで暗号化されて 、るので、第 3者が分割パッケ一 ジを解読したり分割領域の大きさなどを改竄したりすることはできない。
[0109] このような事前手続きを経て、カード発行者は、分割パッケージを取得し、これを用 いて ICカード内のメモリ領域のファイル 'システムの分割要求を行なう。ここで、フアイ ル 'システムへのアクセスは、ファイル 'システムのエリア IDを引数にして行なわれるが 、カード発行者はシステム 'コードしか分力もないので、 ICカードに対してポーリング を行なうことによって、自己のファイル 'システムのエリア IDを取得することができる。
[0110] 図 11には、カード発行者が ICカードに対してポーリングを行なう手続きを図解して いる。但し、カード発行者 (あるいはその他の外部機器)と ICカード間の通信は、図 1
及び図 2を参照しながら説明した電磁誘導作用に基づく非接触近距離通信インター フェースを利用しても、ある 、は UART48や I2C49などの有線インターフェースを利 用して行なうようにしてもよい(以下、同様)。
[0111] カード発行者は、 ICカードの実行環境であるオペレーティング 'システムに対しポー リングして、自己のシステム 'コード SCを引数にしたファイル 'システムのエリア ID要 求を行なう。
[0112] この要求メッセージをトリガにして、要求元であるカード発行者と、 ICカードの実行 環境であるオペレーティング 'システムの間で、複数往復にまたがる通信動作で構成 される相互認証手続きを経て、要求に対する戻り値としてエリア IDがカード発行者へ 返される。なお、相互認証手続きの構成については ICカードの仕様毎に相違し、本 発明の要旨には直接関連しないので、ここでは詳細な説明を省略する。
[0113] なお、分割により新たにファイル ·システムを取得した新規のサービス提供元事業者
(すなわち仮想的なカード発行者)の場合も、同様のポーリング手続きを経て自己の エリア IDを取得することになる。
[0114] カード発行者は、 ICカードのオペレーティング 'システムに対してファイル 'システム の分割要求を行なう。この分割要求は、カード発行者のエリア IDと、分割パッケージ を引数として行なわれる。分割パッケージはカード発行者鍵 Kで暗号ィ匕されているの で、第 3者力もは改竄されない。図 12には、カード発行者が ICカードに対して分割要 求を行なう手続きを示している。また、図 13には、 ICカード上のメモリ領域が分割され 、新たなファイル 'システムが生成される様子を示している。カード発行者と ICカード 間の通信は、電磁誘導作用に基づく非接触近距離通信インターフェースを利用して も、あるいは UART48や I2C49などの有線インターフェースを利用して行なわれる。
[0115] 分割要求が ICカードのオペレーティング 'システムに届くと、引数に含まれるエリア I Dに基づいて、分割パッケージがカード発行者のファイル 'システムへ渡され、カード 発行者鍵 Kで解読され、分割素パッケージと分割領域の大きさ(ブロック数)が取り出 される。
[0116] ICカードのオペレーティング 'システムは、カード発行者のファイル 'システムから分 割素パッケージと分割領域の大きさを受け取ると、分割素パッケージを分割権限鍵 K
で解読して、分割直後の領域鍵 (当該領域を使用する新たなサービス提供元事業 d
者 (すなわち仮想的な ICカードの発行者)の発行者鍵) Kと、システム 'コード SCを
Ii i 取り出す。そして、カード発行者が所有する領域のみ使用領域のうち、要求されてい る分割領域の大きさ分の領域を分割し、さらにこの領域に発行者鍵 κとシステム'コ
Ii
ード scを設定して、新たなファイル 'システムとする。
[0117] このようなファイル ·システムの分割処理が終わると、そのステータスが要求元である カード発行者に返される。
[0118] このようにして、新たなサービス提供元事業者は、他のカード発行者が発行した IC カードのメモリ領域上に自分専用のファイル ·システムを確保することができ、あた力も 自ら ICカードを発行した、すなわち仮想的な ICカード発行者としてサービス提供事 業を展開することが可能となる。
[0119] 但し、分割直後のファイル 'システムの初期状態では、設定されている発行者鍵 K
Ii やシステム 'コード SCは分割技術管理者が設定したままの状態である。言い換えれ ば、新規のサービス提供元事業者は、自己のファイル 'システムのセキュリティは、分 割技術管理者に委ねられている部分があり、セキュリティに関する脅威を独立して分 析、管理、運用することはできない。
[0120] そこで、新規のサービス提供元事業者は、 ICカードのメモリ領域上に自己のフアイ ル 'システムを取得した後は、発行者鍵 Kとシステム 'コード SCの再設定手続きを行
Ii i
なう必要がある。また、この再設定手続きに併せて、分割領域の大きさを調整するよう にしてもよい。
[0121] 図 14には、新規のサービス提供元事業者が ICカードのメモリ領域上に自己のファ ィル ·システムを取得した後に行なう、発行者鍵 Kとシステム 'コード SCの再設定手
Ii i
続きを示している。但し、サービス提供元事業者と icカード間の通信は、電磁誘導作 用に基づく非接触近距離通信インターフェースを利用しても、あるいは UART48や I 2C49などの有線インターフェースを利用して行なう。
[0122] サービス提供元事業者は、 ICカードの実行環境であるオペレーティング 'システム に対しポーリングして、分割直後のシステム 'コード SCを引数にしたファイル ·システ ムのエリア ID要求を行なう。
[0123] この要求メッセージをトリガにして、サービス提供元事業者と、 ICカードの実行環境 であるオペレーティング 'システムの間で、複数往復にまたがる通信動作で構成され る相互認証手続きを経て、要求に対する戻り値として、分割時に分割技術管理者に よって付与されたデフォルトのエリア ID力 サービス提供元事業者へ返される。なお 、相互認証手続きの構成については ICカードの仕様毎に相違し、本発明の要旨に は直接関連しな 、ので、ここでは詳細な説明を省略する。
[0124] この認証手続きに続!、て、サービス提供元事業者は、 ICカードのオペレーティング •システムに対して、デフォルトの発行者鍵 Kの変更要求を行なう。この鍵変更要求
Ii
は、デフォルトのエリア IDと、鍵変更パッケージを引数として行なわれる。鍵変更パッ ケージはデフォルト発行者鍵 Kで暗号ィ匕されているので、第 3者からは改竄されない
Ii
[0125] 鍵変更要求が ICカードのオペレーティング 'システムに届くと、引数に含まれるエリ ァ IDに基づいて、鍵変更パッケージが当該サービス提供元事業者のファイル 'シス テムへ渡され、そのカード発行者鍵 Kで解読され、鍵変更パッケージが取り出される
Ii
。そして、ファイル 'システムのカード発行者鍵が κから 'に変更されると、そのステ
Ii Ii
一タスが要求元であるサービス提供元事業者に返される。
[0126] 続いて、サービス提供元事業者は、 ICカードのオペレーティング 'システムに対して 、デフォルトのシステム 'コード SCの変更要求を行なう。このシステム 'コード変更要 求は、デフォルトのエリア IDと、システム 'コード変更パッケージを引数として行なわれ る。システム 'コード変更パッケージは新規の発行者鍵 K 'で暗号ィ匕されているので、
Ii
第 3者からは改竄されない。
[0127] システム 'コード変更要求が ICカードのオペレーティング 'システムに届くと、引数に 含まれるエリア IDに基づいて、鍵変更パッケージが当該サービス提供元事業者のフ アイル'システムへ渡され、そのカード発行者鍵 K 'で解読され、システム 'コード変更
Ii
パッケージが取り出される。そして、ファイル.システムのデフォルトのシステム.コード
SCが SC 'に変更されると、そのステータスが要求元であるサービス提供元事業者に 返される。
[0128] 続いて、サービス提供元事業者は、 ICカードのオペレーティング 'システムに対して
、デフォルトのエリア IDの変更要求を行なう。このシステム 'コード変更要求は、デフ オルトのエリア IDと、エリア ID変更パッケージを引数として行なわれる。エリア ID変更 ノ ッケージは新規の発行者鍵 K 'で暗号化されているので、第 3者からは改竄されな
Ii
い。
[0129] エリア ID変更要求が ICカードのオペレーティング.システムに届くと、引数に含まれ るエリア IDに基づいて、エリア ID変更パッケージが当該サービス提供元事業者のフ アイル'システムへ渡され、そのカード発行者鍵 K 'で解読され、エリア ID変更パッケ
Ii
ージが取り出される。そして、ファイル ·システムのデフォルトのエリア IDがエリア ID ' に変更されると、そのステータスが要求元であるサービス提供元事業者に返される。
[0130] このように新規のサービス提供元事業者は、自己のファイル 'システムに対しセキュ ァな発行者鍵 K 'とシステム 'コード SC 'を設定することにより、元の ICカード発行者と
Ii i
は独立してセキュリティに関する脅威を分析、管理、並びに運用することができるよう になる。
[0131] 上述したように、本実施形態では、 ICカード上のメモリ領域は、複数のファイル.シ ステムに分割されている(図 15を参照のこと)。そして、ファイル.システム毎にシステ ム'コード SCとエリア IDが設定されるとともに、当該領域を使用するサービス提供元 事業者 (元のカード発行者を含む)の発行者鍵 Kで相互認証を行なうことができる。
Ii
これによつて、ファイル 'システムが割り振られたサービス提供元事業者は、元のカー ド発行者や分割技術者とは独立して、自己のファイル 'システムのセキュリティに関す る脅威を分析、管理、並びに運用することができる。
[0132] また、サービス提供元事業者が自己のファイル 'システムへアクセスする際には、基 本的には、エリア IDの要求と、相互認証という手続きを経て行なわれる。まず、自身 が判っているシステム 'コードを引数にしてファイル.システムに対するポーリングを行 なうことによって、該当するファイル 'システムのメモリ領域上でのエリア IDを取得する ことができる。次いで、このエリア IDと発行者鍵 Kを用いて相互認証を行なう。そして 、相互認証が成功裏に終わると、ファイル ·システムへのアクセスが許可される。
[0133] また、各サービス提供元事業者 (元のカード発行者を含む)は、要求コマンド (例え ばリード要求やライト要求、データ消去要求、エリア Zサービス登録 (後述)など)を、
事業者自身と該当するファイル ·システムに固有の発行者鍵 を用いてパッケージィ匕 して暗号ィ匕通信により行なわれるので(図 16を参照のこと)、他のファイル 'システム が無関係のデータを取り込んだり、第 3者がファイル ·システムへ無断で読み書きした りすることはできない。
[0134] ICカードのメモリ領域は、分割操作を繰り返すことにより、図 15に示すように複数の ファイル 'システムが共存する構造となる。元のカード発行者、並びにカード発行者の 許可により ICカード上で自己のファイル ·システムを取得したサービス提供元事業者 は、それぞれ自己のファイル ·システムを利用して、エリアやサービスを配設し (後述) 、 自身の事業展開に利用することができる。
[0135] 以下では、 1つのファイル ·システム内での運用形態について説明する。基本的に は、どのファイル ·システムにおいても同様の動作が実現されるものとする。また、ファ ィル 'システムの操作を行なうためには、ポーリングによるエリア IDの要求と、相互認 証と 、う手続き (前述)を経て 、ることを前提とする。
[0136] ファイル ·システム内には、電子決済を始めとする外部との電子的な価値情報のや り取りなど、 1以上のアプリケーションが割り当てられている。アプリケーションに割り当 てられているメモリ領域を「サービス 'メモリ領域」と呼ぶ。また、アプリケーションの利 用、すなわち該当するサービス 'メモリ領域へアクセスする処理動作のことを「サービ ス」と呼ぶ。サービスには、メモリへの読み出しアクセス、書き込みアクセス、あるいは 電子マネーなどの価値情報に対する価値の加算や減算などが挙げられる。
[0137] ユーザがアクセス権を持つかどうかに応じてアプリケーションの利用すなわちサービ スの起動を制限するために、アプリケーションに対して暗証コードすなわち PINを割り 当て、サービス実行時に PINの照合処理を行なうようになっている。また、サービス'メ モリ領域へのアクセスは、アプリケーションのセキュリティ 'レベルなどに応じて、適宜 暗号ィ匕通信が行なわれる。
[0138] 本実施形態では、 ICカード内のメモリ領域に設定されているそれぞれのファイル' システムに対して、「ディレクトリ」に類似する階層構造を導入する。そして、メモリ領域 に割り当てられた各アプリケーションを、所望の階層の「エリア」に登録することができ る。
[0139] 例えば、一連のトランザクションに使用される複数のアプリケーション、あるいは関連 性の深いアプリケーション同士を同じエリア内のサービス 'メモリ領域として登録する( さらには、関連性の深いエリア同士を同じ親エリアに登録する)ことによって、メモリ領 域のアプリケーションやエリアの配置が整然とし、ユーザにとってはアプリケーション の分類'整理が効率化する。
[0140] また、ファイル ·システムへのアクセス権を階層的に制御するために、アプリケーショ ン毎に PINを設定できる以外に、各エリアに対しても PINを設定することができるよう にしている。例えば、あるエリアに該当する PINを入力することにより、照合処理並び に相互認証処理を経て、エリア内のすべてのアプリケーション(並びにサブエリア)へ のアクセス権を与えるようにすることもできる。したがって、該当するエリアに対する PI Nの入力を 1回行なうだけで、一連のトランザクションで使用されるすべてのアプリケ ーシヨンのアクセス権を得ることができるので、アクセス制御が効率ィ匕するとともに、機 器の使い勝手が向上する。
[0141] さらに、あるサービス 'メモリ領域に対するアクセス権限が単一でないことを許容し、 それぞれのアクセス権限毎、すなわちサービス 'メモリ領域において実行するサービ スの内容毎に、暗証コードを設定することができる。例えば、同じサービス 'メモリ領域 に対して起動するサービスが「読み出し」と「読み出し及び書き込み」とでは、別々の P INが設定される。また、電子マネーやその他の価値情報に対する「増額」と「減額」と では、別々の PINが設定される。また、あるメモリ領域に対する読み出しについては P INの入力が必要でないが、書き込む場合には PINの入力を必須とさせることが可能 である。
[0142] 図 17には、ファイル ·システム内のデータ構造例を模式的に示している。図示の例 では、ファイル 'システムが持つ記憶空間には、「ディレクトリ」に類似する階層構造が 導入されている。すなわち、メモリ領域に割り当てられた各アプリケーションを、所望 の階層エリアにサービス ·メモリ領域として登録することができる。例えば、一連のトラ ンザクシヨンに使用されるアプリケーションなど、関連性の深いアプリケーション同士を 同じエリアに登録する(さらには、関連性の深いエリア同士を同じ親エリアに登録する )ことができる。
[0143] また、ファイル ·システム内に割り当てられたアプリケーション (すなわちサービス'メ モリ領域)並びにエリアは暗証コード定義ブロックを備えている。したがって、アプリケ ーシヨン毎に、あるいはエリア毎に PINを設定することができる。また、ファイル 'システ ムに対するアクセス権は、アプリケーション単位で行なうとともに、並びにエリア単位で 行なうことができる。
[0144] さらに、あるサービス 'メモリ領域に対するアクセス権限が単一でなぐ実行するサー ビスの内容毎に、 PINを設定することができる。例えば、同じサービス 'メモリ領域に 対して起動するサービスが「読み出し」と「読み出し及び書き込み」とでは、別々の PI Nが設定され、また、電子マネーやその他の価値情報に対する「増額」と「減額」とで は、別々の PINが設定される。
[0145] 照合部は、例えば電磁誘導作用に基づく非接触近距離通信又は UART48や I2C 49などのプロトコル 'インターフェースを介して送られてくる PINを、各アプリケーショ ン又はディレクトリに割り当てられたエリア又はサービス 'メモリ領域に設定されている 暗証コードと照合して、一致するメモリ領域に対するアクセスを許可する。アクセスが 許可されたメモリ領域は、プロトコル 'インターフェースを介して読み書きが可能となる
[0146] このようにファイル ·システム内には、アプリケーションに割り当てられたさまざまなサ 一ビス'メモリ領域が割り当てられており、各サービス 'メモリ領域に対して適用可能な 1以上のサービスが設けられている。本実施形態では、エリア単位、並びにアプリケ ーシヨン単位でアクセス制限を行なう以外に、アプリケーションに適用されるサービス の種類毎に PINを設定して、サービス単位でアクセス制限を行なうことができる。
[0147] 図 18には、ファイル.システムの基本構成を示している。図 17を参照しながら既に 説明したように、ファイル 'システムに対して、「ディレクトリ」に類似する階層構造が導 入され、所望の階層のエリアに、アプリケーションに割り当てられたサービス 'メモリ領 域を登録することができる。図 18に示す例では、エリア 0000定義ブロックで定義され るエリア 0000内に、 1つのサービス 'メモリ領域が登録されている。
[0148] 図示のサービス 'メモリ領域は、 1以上のユーザ ·ブロックで構成される。ユーザ'ブ ロックはアクセス動作が保証されているデータ最小単位のことである。このサービス'メ
モリ領域に対しては、サービス 0108定義ブロックで定義されている 1つのサービスす なわちサービス 0108が適用可能である。
[0149] エリア単位、並びにアプリケーション単位でアクセス制限を行なう以外に、サービス の種類毎に暗証コードを設定して、サービス単位でアクセス制限を行なうことができる 。アクセス制限の対象となるサービスに関する暗証コード設定情報は、暗証コード専 用のサービス (すなわち「暗証コード'サービス」)として定義される。図 18に示す例で は、サービス 0108に関する暗証コードが暗証コード'サービス 0128定義ブロックとし て定義されて 、る。その暗証コード ·サービスの内容は暗証コード ·サービス ·データ · ブロックに格納されている。
[0150] サービス 0108に対する暗証コード'サービスが有効になっている場合、サービス 0 108を起動してそのユーザ ·ブロックに読み出し又は書き込み動作を行なう前に、暗 証コード'サービス 0128を使用した暗証コードの照合が必要となる。具体的には、暗 号ィ匕あり読み書き (ReadZWrite)コマンドを使用する場合は、相互認証前にサービ ス 0108に対する暗証コードすなわち PINの照合を行なう。
[0151] また、アプリケーションに割り当てられたサービス 'メモリ領域を所望の階層のエリア に登録するとともに、エリアを階層化する(関連性の深いエリア同士を同じ親エリアに 登録する)ことができる。この場合、エリア毎に PINを設定することにより、エリアをァク セス制限の単位とすることができる。図 19には、 ICカード 50のメモリ空間においてェ リアが階層化されている様子を示している。同図に示す例では、エリア 0000定義プロ ックで定義されているエリア 0000内に、エリア 1000定義ブロックで定義されている別 のエリア 1000が登録されている。
[0152] 図 19に示す例では、さらにエリア 1000内には、 2つのサービス 'メモリ領域が登録 されている。一方のサービス 'メモリ領域に対しては、サービス 1108定義ブロックで定 義されて!/、るサービス 1108と、サービス 110B定義ブロックで定義されて!、るサービ ス 110Bが適用可能である。このように、 1つのサービス 'メモリ領域に対してサービス 内容の異なる複数のサービスを定義することを、本明細書中では「オーバーラップ · サービス」と呼ぶ。オーバーラップ 'サービスにおいては、同じサービス 'エリアに対し て、入力した PINに応じて異なるサービスが適用されることになる。また、他方のサー
ビス'メモリ領域に対しては、サービス 110C定義ブロックで定義されているサービス 1 10Cが適用可能である。
[0153] 各サービス 'メモリ領域に設定されているサービスを起動してそのユーザ 'ブロックに 読み出し又は書き込み動作を行なうことができる。勿論、図 18を参照しながら説明し たように、サービス毎に暗証コード'サービスを定義することができる。この場合、サー ビスに対する暗証コード ·サービスが有効になって!/、るときには、暗証コード ·サービ スを使用した PINの照合を行なって力もサービスの起動が許可される。
[0154] また、複数のサービスに対して共通の PINを設定したい場合には、これらサービス を含むエリアを作成し、このエリアに対して共通の暗証コード'サービスを適用するこ とがでさる。
[0155] 図 19に示す例では、エリア 1000に関する暗証コード力 暗証コード'サービス 102 0定義ブロックとして定義されている。その暗証コード'サービスの内容は暗証コード' サービス ·データ ·ブロックに格納されて!、る。
[0156] エリア 1000に対する暗証コード'サービスが有効 (後述)になっている場合、暗証コ ード 'サービス 1020を使用した暗証コードの照合を行なった後に、エリア 1000内の 各サービスを起動してそのユーザ ·ブロックに読み出し又は書き込み動作を行なうこと が可能となる。
[0157] ここで、エリア 1000内のサービスに暗証コード'サービスが適用されており且つこれ が有効となっている場合には、さらにその暗証コード'サービスを使用した暗証コード の照合を経て力もでないと、そのユーザ'ブロックに読み出し又は書き込み動作を行 なうことはできない。
[0158] 図 18及び図 19に例示したように、暗証コード照合の対象となるエリアやサービスに 対応する暗証コード'サービスは一意に与えられる。
[0159] 図 20には、ファイル 'システム内にエリアやサービスを登録するための手順をフロー チャートの形式で示して 、る。
[0160] まず、メモリ空間にエリアが定義される (ステップ Sl)。
[0161] 次いで、サービスの登録サービス 'コマンドを使用して、エリア内にアプリケーション に対してサービス 'メモリ領域を割り当てるとともに、このサービス 'メモリ領域に適用さ
れるサービスを定義する(ステップ S2)。登録サービス 'コマンドでは、サービス 'メモリ 領域のユーザ'ブロック数を指定する。エリア内で複数のアプリケーションを割り当て た ヽ場合には、当該処理ステップを繰り返し実行する。
[0162] エリア内で定義したサービスに対して暗証コードを適用したい場合には、サービス の登録サービス 'コマンドを使用して、暗証コード'サービスの登録を行なう(ステップ S3)。
[0163] 暗証コード'サービスの登録は、通常のサービスと同様の登録サービス 'コマンドを 使用して行なう。但し、暗証コード'サービスの登録は、暗証コード照合の対象となる エリアやサービスが既にファイル ·システムに登録済みであることが条件となる。すな わち、 PIN照合の対象となるエリアやサービスがない場合は、暗証コード'サービスの 登録サービス実行時にエラーとなる。また、暗証コード'サービスは、通常のサービス のユーザ .ブロックに相当する暗証コード ·サービス ·データ ·ブロックが 1ブロックしか 存在しな!、ので、サービス登録時に登録サービス ·コマンドで指定ユーザ ·ブロック数 を 1以外の値に設定するとエラーとなる。
[0164] さらに、エリア内で定義されたすベてのサービスに対して共通の暗証コードを設定 したい場合には、サービスの登録サービス 'コマンドを使用して、このエリアに対して 共通の暗証コード'サービスの登録を行なう(ステップ S4)。
[0165] なお、ステップ S3とステップ S4の実行順序は逆であってもよい。
[0166] さらに、 1つのサービス 'メモリ領域に対してサービス内容の異なる複数のサービス を定義したい場合には、サービスの登録サービス 'コマンドを使用して、オーバーラッ プ ·サービス(図 19を参照のこと)を登録する(ステップ S5)。
[0167] そして、オーバーラップ 'サービスに対して暗証コードを適用したい場合には、サー ビスの登録サービス 'コマンドを使用して、暗証コード'サービスの登録を行なう(ステ ップ S6)。
[0168] 図 18に示した例では、ルートのエリア 0000内にサービス 'メモリ領域の割り当て並 びにこれに適用するサービス 0108が登録された後、サービス 0108に適用される暗 証コード'サービスが登録される。
[0169] また、図 19に示した例では、ルートのエリア 0000下のエリア 1000内で、 2つのサー
ビス'メモリ領域が割り当てられるとともに、それぞれに適用されるサービス 1108、サ 一ビス 110Cが登録される。また、一方のサービス 'メモリには、他のサービス 110Bが オーバーラップ.サービスとして登録される。図示しないが、これらに暗証コードを適 用したい場合には、別途、暗証コード'サービスの登録が行なわれる。そして、登録さ れたサービス 1108, HOB, 110Cに対して共通の暗証コードを設定したい場合に は、エリア 1000に対して共通の暗証コード'サービスを登録する。
[0170] サービス提供元事業者 (元のカード発行者を含む)は、自分に割り振られたファイル
'システム内にエリアやサービスを登録したい場合には、 ICカードの実行環境を提供 するオペレーティング ·システムに対してエリア登録要求やサービス登録要求をおこ なう。これらの登録要求コマンドは事業者自身と該当するファイル ·システムに固有の 発行者鍵 Kを用いてパッケージィ匕して暗号ィ匕通信により行なわれるので(図 16を参 照のこと)、他のファイル 'システムが無関係のデータを取り込んだり、第 3者がフアイ ル'システムへ無断で読み書きしたりすることはできない。
[0171] 図 21には、図 20に示した処理手順のステップ S1において実行される、サービス提 供元事業者 (元のカード発行者を含む)が自己のファイル 'システム内にエリア登録を 行なう手続きを示している。但し、サービス提供元事業者と ICカード間の通信は、電 磁誘導作用に基づく非接触近距離通信インターフェースを利用しても、あるいは UA RT48や I2C49などの有線インターフェースを利用して行なう。
[0172] サービス提供元事業者は、 ICカードの実行環境であるオペレーティング 'システム に対しポーリングして、ファイル 'システムのシステム 'コード SCを引数にしたファイル' システムのエリア ID要求を行なう。
[0173] この要求メッセージをトリガにして、サービス提供元事業者と、 ICカードの実行環境 であるオペレーティング 'システムの間で、複数往復にまたがる通信動作で構成され る相互認証手続きを経て、要求に対する戻り値として、エリア IDがサービス提供元事 業者へ返される。なお、相互認証手続きの構成については ICカードの仕様毎に相違 し、本発明の要旨には直接関連しないので、ここでは詳細な説明を省略する。
[0174] この認証手続きに続!、て、サービス提供元事業者は、 ICカードのオペレーティング
'システムに対して、ファイル 'システム内へのエリア登録要求を行なう。このエリア登
録要求は、エリア IDと、エリア登録要求パッケージを引数として行なわれる。エリア登 録要求パッケージは当該サービス提供元事業者の発行者鍵 Kで暗号化されている ので、第 3者力 は改竄されない。
[0175] エリア登録要求が ICカードのオペレーティング 'システムに届くと、引数に含まれる エリア IDに基づいて、エリア登録要求パッケージが当該サービス提供元事業者のフ アイル'システムへ渡され、その発行者鍵 Kで解読され、エリア登録要求パッケージ が取り出される。そして、パッケージ内で要求されているエリアがファイル ·システム内 に登録されると、そのステータスが要求元であるサービス提供元事業者に返される。
[0176] また、図 22には、図 20に示した処理手順のステップ S2において実行される、サー ビス提供元事業者 (元のカード発行者を含む)が自己のファイル 'システム内 (若しく はファイル ·システムに登録されている特定のエリア)にサービス登録を行なう手続き を示している。但し、サービス提供元事業者と ICカード間の通信は、電磁誘導作用に 基づく非接触近距離通信インターフェースを利用しても、あるいは UART48や I2C4 9などの有線インターフェースを利用して行なう。
[0177] サービス提供元事業者は、 ICカードの実行環境であるオペレーティング 'システム に対しポーリングして、ファイル 'システムのシステム 'コード SCを引数にしたファイル' システムのエリア ID要求を行なう。
[0178] この要求メッセージをトリガにして、サービス提供元事業者と、 ICカードの実行環境 であるオペレーティング 'システムの間で、複数往復にまたがる通信動作で構成され る相互認証手続きを経て、要求に対する戻り値として、エリア IDがサービス提供元事 業者へ返される。なお、相互認証手続きの構成については ICカードの仕様毎に相違 し、本発明の要旨には直接関連しないので、ここでは詳細な説明を省略する。
[0179] この認証手続きに続いて、サービス提供元事業者は、 ICカードのオペレーティング
'システムに対して、ファイル 'システム内(若しくはファイル 'システムに登録されてい る特定のエリア)へのサービス登録要求を行なう。このサービス登録要求は、エリア ID と、サービス登録要求パッケージを引数として行なわれる。サービス登録要求パッケ ージは当該サービス提供元事業者の発行者鍵 Kで暗号化されているので、第 3者か らは改竄されない。
[0180] サービス登録要求が ICカードのオペレーティング 'システムに届くと、引数に含まれ るエリア IDに基づいて、サービス登録要求パッケージが当該サービス提供元事業者 のファイル ·システムへ渡され、その発行者鍵 Kで解読され、サービス登録要求パッ ケージが取り出される。そして、パッケージ内で要求されているサービスがファイル. システム内(若しくはファイル ·システムに登録されている特定のエリア)に登録される と、そのステータスが要求元であるサービス提供元事業者に返される。
[0181] 図 18及び図 19に例示したように、ファイル ·システム内に登録されたエリアゃサー ビスに対して PINを適用して、エリア単位、あるいはサービス単位でアクセス制御を行 なうことができる。また、 1つのサービス 'メモリ領域に対して複数のサービス (オーバ 一ラップ'サービス)を登録することができる力 サービス毎に PINを適用することで、 同じサービス 'メモリ領域に対して複数のアクセス方法を定義することができる。
[0182] 但し、本実施形態では、ファイル ·アクセスへアクセスする際、発行者鍵を用いた相 互認証処理 (前述)は必須であるが、 PIN照合処理は任意である。すなわち、サービ ス又はエリアに対する暗証コード ·サービスが有効になっている場合にのみ、サービ スの起動又はエリアへのアクセスを行なう前に、暗証コードの照合が要求され、暗証 コード'サービスが無効にされている場合には、 PINの照合は要求されない。
[0183] PINの適用内容は、暗証コード'サービス定義ブロックの暗証コード'サービス 'デ ータ 'ブロックに記述されている。図 23には、暗証コード'サービス 'データ'ブロックの データ構造を模式的に示している。同図に示すように、暗証コード定義領域は、暗証 番号領域と、入力失敗回数記憶領域と、最大許容入力失敗回数設定領域と、暗証 番号使用選択領域と、アクセス許可フラグとで構成されて 、る。
[0184] ユーザが入力した PINがー致した場合にのみ、該当するサービス又はエリアの暗 証コード .サービス .データ .ブロック内のアクセス許可フラグを立てて、其処へのァク セスを許可する。
[0185] アクセス許可フラグは、該当するアプリケーション又はディレクトリのアクセス可否状 態を示すためのフラグであり、アクセス許可フラグが設定されたサービス又はエリアは アクセス許可状態である。 PINが設定されたサービスやエリアのアクセス許可フラグ は、デフォルトではアクセス不可状態であり、 PIN照合処理及びファイル 'システムの
発行者鍵を用いた相互認証処理に成功した後、アクセス許可フラグが設定されて、 アクセス許可状態に転じる。また、アクセス許可フラグを設定し続けると、 ICカードが 紛失した場合や盗難に遭った場合にサービスやエリアの無断使用'不正使用により ユーザが損害を被るおそれがある。このため、 ICカードは、例えば電磁波が途絶えた ことに応答してアクセス許可状態を自動的にアクセス不可にする機構を備えていても よい。
[0186] また、誤った PINが入力された場合には、その都度、入力失敗回数記憶領域の記 録を更新する。そして、入力失敗回数が最大許容入力失敗回数設定領域に設定さ れた最大許容入力失敗回数に到達した場合には、該当するサービスの起動又はェ リアに対するアクセスを禁止する。
[0187] 一般には、この入力失敗回数は、一度入力に成功したらクリアするべきものである。
このようにして悪意あるユーザがしらみつぶしに暗証コードを調べることを防止する。 また、ユーザが誤って最大許容入力失敗回数に達して暗証コード入力に失敗してし まった場合は、 ICカードを管理する管理者 (例えば分割技術管理者や元のカード発 行者)のみが入力失敗回数記憶領域をクリアできるようにしてもょ 、。この管理者の認 証には、例えば後述するような秘密鍵による認証を使用することもできる。
[0188] 図 24には、ユーザ力も入力された暗証コードに従って、サービスの起動又はエリア へのアクセス権を制御するための処理手順をフローチャートの形式で示している。
[0189] ユーザから暗証コードを入力すると (ステップ S11)、各暗証コード'サービス定義ブ ロックの暗証コード'サービス ·データ ·ブロックにアクセスして、暗証コードが一致する か否かを判別する (ステップ S 12)。
[0190] 暗証コード ·サービス ·データ ·ブロックの PINがユーザ入力された PINと一致する 場合には、その暗証コード ·サービス ·データ ·ブロック内のアクセス許可フラグを設定 して、対応するサービス又はエリアをアクセス可能状態にする (ステップ S13)。
[0191] 例えば、 ICチップをリーダ Zライタにかざして、リーダ Zライタに接続されている外 部機器(図示しな 、)のユーザ'インターフェースを用いて入力された PINを、電磁誘 導作用に基づく非接触近距離通信インターフェースで ICカードに送信することがで きる。
[0192] 図 24に示すように PINを用いてアプリケーションやディレクトリへのアクセス権を制 御する場合、悪意のあるユーザはしらみつぶしに PINを調べることにより、セキユリテ ィの壁が破られる可能性がある(特に桁数の少な 、暗証コードを用いる場合)。このた め、本実施形態では、暗証コード定義領域において、最大許容入力回数を設定して 、入力失敗回数が最大許容入力回数に到達したアプリケーション又はディレクトリを アクセス不可状態に設定することで、アクセス制御を行なうようにして 、る。
[0193] 図 25には、 PINの入力失敗回数によりサービスやエリアへのアクセス権制御を行な うための処理手順をフローチャートの形式で示している。
[0194] ユーザ力も PINを入力すると(ステップ S21)、各暗証コード'サービス定義ブロック にアクセスして、 PINがー致するか否かを判別する (ステップ S22)。
[0195] ユーザ入力された PINが暗証コード'サービス定義ブロックの PINと一致する場合 には、その暗証コード'サービス ·データ ·ブロック内のアクセス許可フラグを設定して 、該当するサービス又はエリアをアクセス可能状態にする (ステップ S23)。
[0196] 他方、ユーザ入力された PINがいずれの暗証コード'サービス定義ブロックの PINと も一致しない場合には、暗証コード定義領域内の入力失敗回数を更新する (ステツ プ S24)。また、ユーザ入力された PINがいずれの暗証コード'サービス定義ブロック の PINと一致し、照合に成功した場合には、入力失敗回数を 0にクリアする。
[0197] そして、ステップ S25では、更新された入力失敗回数が、暗証コード定義領域内で 設定されている最大許容入力回数に到達したか否かを判断する (ステップ S25)。
[0198] もし、入力失敗回数が最大許容入力回数に到達してしまったならば、その暗証コー ド定義領域内のアクセス許可フラグの設定を解除して、該当するサービス又はエリア をアクセス不可状態にする(ステップ S26)。この結果、悪意のあるユーザがしらみつ ぶしに PINを調べる行為を取り締まることができる。
[0199] また、ユーザが誤って最大許容入力失敗回数に達して暗証コード入力に失敗して しまった場合は、 ICカードを管理する管理者 (例えば、分割技術管理者、または元の カード発行者)のみが入力失敗回数記憶領域をクリアできるようにしてもょ 、。この管 理者の認証には、例えば秘密鍵による認証を使用することもできる。
産業上の利用可能性
[0200] 以上、特定の実施形態を参照しながら、本発明につ 、て詳解してきた。しかしなが ら、本発明の要旨を逸脱しな ヽ範囲で当業者が該実施形態の修正や代用を成し得 ることは自明である。
[0201] 本明細書では、 ICカードに内蔵されているメモリ領域についての情報管理方法を 例にとって本発明の一実施形態について説明してきたが、本発明の要旨はこれに限 定されるものではなぐ ICカード以外の機器に内蔵されているメモリの管理にも同様 に適用することができる。
[0202] 要するに、例示という形態で本発明を開示してきたのであり、本明細書の記載内容 を限定的に解釈するべきではない。本発明の要旨を判断するためには、請求の範囲 の記載を参酌すべきである。
図面の簡単な説明
[0203] [図 1]図 1は、電磁誘導に基づくカード読み書き装置と ICカードとの無線通信の仕組 みを概念的に示した図である。
[図 2]図 2は、カード読み書き装置と ICカードからなる系を 1個のトランスとして捉えて モデルィ匕した図である。
[図 3]図 3は、本発明の実施形態に係るデータ通信装置のハードウェア構成を示した 図である。
[図 4]本発明の一実施形態に係る ICカードにおけるメモリ領域の制御システム構成を 模式的に示した図である。
[図 5]図 5は、 ICカードを用いたサービス提供システムの全体的構成を模式的に示し た図である。
[図 6]図 6は、元のカード発行者が自らのファイル 'システムのみを管理しているメモリ 領域の状態を示した図である。
[図 7]図 7は、カード発行者が自らのファイル.システムの空き領域の内で、ある範囲の メモリを領域管理者に貸与 (又は譲渡)することが許可できることを示した図である。
[図 8]図 8は、他のサービス提供元事業者が、カード発行者カゝら許可された領域にお V、てメモリ領域を分割し、新たなファイル ·システムを生成した状態を示した図である。
[図 9]図 9は、共通領域管理者が、カード発行者カゝら許可された領域において、共通
領域のシステム 'コード SCOでメモリを分割した状態を示した図である。
[図 10]図 10は、ファイル ·システムを分割する際の事前処理を説明するための図であ る。
[図 11]図 11は、カード発行者が ICカードに対してポーリングを行なう手続きを示した シーケンス図である。
圆 12]図 12は、カード発行者が ICカードに対して分割要求を行なう手続きを示した シーケンス図である。
[図 13]図 13は、 ICカード上のメモリ領域が分割され、新たなファイル ·システムが生成 される様子を示した図である。
[図 14]図 14は、新規のサービス提供元事業者が ICカードのメモリ領域上に自己のフ アイル ·システムを取得した後に行なう、発行者鍵 Kとシステム ·コード SCの再設定
Ii i
手続きを示したシーケンス図である
[図 15]図 15は、分割操作の繰り返しにより、 ICカードのメモリ領域上に複数のフアイ ル'システムが共存するメモリ空間の構造を模式的に示した図である。
[図 16]図 16は、発行者鍵でパッケージ化された要求コマンドの構成を模式的に示し た図である。
[図 17]図 17は、ファイル ·システム内のディレクトリ構造例を模式的に示した図である
[図 18]図 18は、ファイル ·システムの基本構成を示した図である。
[図 19]図 19は、 ICカード 50のメモリ空間においてエリアが階層化されている様子を 示した図である。
[図 20]図 20は、ファイル ·システム内にエリアやサービスを登録するための手順を示 したフローチャートである。
[図 21]図 21は、サービス提供元事業者 (元のカード発行者を含む)が自己のファイル •システム内にエリア登録を行なう手続きを示した図である。
[図 22]図 22は、サービス提供元事業者 (元のカード発行者を含む)が自己のファイル
•システム内にサービス登録を行なう手続きを示した図である。
[図 23]図 23は、暗証コード ·サービス ·データ ·ブロックのデータ構造を模式的に示し
た図である。
[図 24]図 24は、ユーザ力も入力された暗証コードに従って、サービスの起動又はエリ ァへのアクセス権を制御するための処理手順を示したフローチャートである。
[図 25]図 25は、 PINの入力失敗回数によりサービスやエリアへのアクセス権制御を 行なうための処理手順を示したフローチャートである。
符号の説明
11· 発行者用通信装置
12· ··運用者要通信装置
13· 製造者用通信装置
14· 記憶領域分割装置
is··運用ファイル登録装置
le- '•ICカード
17· ' "ネットワーク
21· ..カード発行者
22· ··カード記憶領域運用者
23· 装置製造者
24· ··カード記憶領域使用者
26· カード所有者
30· ··カード機能アナログ回路部
31· "整流器
32· "アンテナ
33· ' ·シリアル'レギユレータ
34· ··搬送波検出器
35· ··クロック抽出器
36· ··クロック選択器
37· ··クロック発振器
38· ··論理回路
39· 電圧検出器
…データ処理部
---RAM
· -ROM
---EEPROM
…信号処理部
---CPU
…データ暗号化エンジン
···エラー訂正部
•••UARTインターフェース
· ·'Ι インターフェース
· ··リーダ Zライタ機能アナログ回路部···送信アンプ
…送信アンテナ
…受信信号検出器
···受信アンプ'フィルタ
···受信アンテナ
0…データ通信装置
Claims
[1] メモリ空間を備え、 1以上のファイル ·システムに分割して管理するデータ通信装置で あって、
分割権限鍵を保持し、前記メモリ空間のファイル 'システムへのアクセスを管理する 制御手段と、
前記メモリ空間上で第 1のサービス提供元に割り当てられ、第 1のサービス提供元 の発行者鍵を保持する第 1のファイル 'システムとを備え、
新規のファイル 'システムの割り当てを要求する第 2のサービス提供元から、前記第 2のサービス提供元の発行者鍵を前記分割権限鍵で暗号ィ匕してできた分割素パッケ ージ及び新規のファイル 'システムに関する情報を含んだデータ ·ブロックを第 1のサ 一ビス提供元の発行者鍵で暗号ィ匕した分割パッケージを受信した場合に、
前記第 1のファイル ·システムは、受信した分割パッケージを前記第 1のサービス提 供元の発行者鍵を用いて解読し、分割素パッケージ及び新規のファイル 'システムに 関する情報を取り出し、
前記制御手段は、前記分割権限鍵を用いて分割素パッケージを解読して前記第 2 のサービス提供元の発行者鍵を取り出し、新規のファイル 'システムに関する情報に 従って前記メモリ空間の空き領域を分割して、前記第 2のサービス提供元の発行者 鍵を保持した第 2のファイル ·システムに割り当てる、
ことを特徴とするデータ通信装置。
[2] メモリ空間上の各ファイル 'システムはエリア識別情報を持ち、
アクセス先となるファイル 'システムのエリア識別情報及び該ファイル 'システムの発 行者鍵で暗号化されたパッケージを引数とする外部アクセスを受信した場合に、前 記制御手段は、エリア識別情報を基に該当するファイル ·システムへパッケージを渡 し、ファイル 'システムは自身の発行者鍵でパッケージを解読する、
ことを特徴とする請求項 1に記載のデータ通信装置。
[3] メモリ空間上に割り当てられた各ファイル 'システムはそれぞれシステム 'コードを持 ち、
前記制御手段は、分割パッケージの受信に応じて新規のファイル ·システムを分割
する際に、発行者鍵、エリア識別情報とともにシステム 'コードを該ファイル 'システム に設定する、
ことを特徴とする請求項 2に記載のデータ通信装置。
[4] ファイル ·システム取得後のサービス提供元が自己のシステム 'コードを引数にした エリア識別情報の取得要求を行なった場合に、前記制御手段は、要求されたシステ ム.コードを基に各ファイル.システムをポーリングして該当するファイル.システムから エリア識別情報を取得し、要求元へ返す、
ことを特徴とする請求項 3に記載のデータ通信装置。
[5] 前記制御手段は、ファイル ·システム取得後の第 2のサービス提供元からの要求に 応じて、分割時に前記第 2のファイル 'システムに設定された発行者鍵又はシステム' コードを書き換える、
ことを特徴とする請求項 3に記載のデータ通信装置。
[6] メモリ空間上の各ファイル 'システムはエリア識別情報を持ち、
ファイル 'システム取得後のサービス提供元から、エリア識別情報及び自己のフアイ ル'システムに対するアクセス要求を自己の発行者鍵で暗号ィ匕したパッケージを引数 とする外部アクセスを受信した場合に、
前記制御手段は、エリア識別情報を基に該当するファイル ·システムへ該暗号化さ れたパッケージを渡す、
ことを特徴とする請求項 1に記載のデータ通信装置。
[7] メモリ空間を備え、 1以上のファイル ·システムに分割して管理するデータ通信装置に おけるメモリ管理方法であって、前記メモリ空間上では、ファイル 'システムの分割に 関する権限を認証する分割権限鍵と、第 1のサービス提供元の発行者鍵によりァクセ ス権限を認証する第 1のファイル 'システムが設けられており、
新規のファイル 'システムの割り当てを要求する第 2のサービス提供元から、前記第 2のサービス提供元の発行者鍵を前記分割権限鍵で暗号ィ匕した分割素パッケージと 新規のファイル 'システムに関する情報を含んだデータ ·ブロックを第 1のサービス提 供元の発行者鍵で暗号ィ匕した分割パッケージを受信するステップと、
受信した分割パッケージを前記第 1のサービス提供元の発行者鍵を用いて解読し
て分割素パッケージ及び新規のファイル ·システムに関する情報を取り出すステップ と、
前記分割権限鍵を用いて分割素パッケージを解読して前記第 2のサービス提供元 の発行者鍵を取り出し、新規のファイル ·システムに関する情報に従って前記メモリ空 間の空き領域を分割して、前記第 2のサービス提供元の発行者鍵を保持した第 2の ファイル ·システムに割り当てるステップと、
を具備することを特徴とするメモリ管理方法。
[8] メモリ空間上の各ファイル ·システムはエリア識別情報を持ち、外部からのアクセス はアクセス先となるファイル ·システムのエリア識別情報及び該ファイル ·システムの発 行者鍵で暗号化されたパッケージを引数として構成され、
エリア識別情報とパッケージを引数とするファイル 'システムへのアクセス要求を受 信するステップと、
エリア識別情報を基に該当するファイル 'システムへパッケージを渡すステップと、 ファイル 'システムが自身の発行者鍵でパッケージを解読するステップと、 をさらに備えることを特徴とする請求項 7に記載のデータ通信装置のメモリ管理方法。
[9] メモリ空間上の各ファイル ·システムはそれぞれシステム 'コードを持ち、
分割パッケージの受信に応じて新規のファイル.システムを分割する際に、発行者鍵
、エリア識別情報とともにシステム 'コードを該ファイル ·システムに設定するステップを さらに備える、
ことを特徴とする請求項 8に記載のデータ通信装置のメモリ管理方法。
[10] ファイル 'システム取得後のサービス提供元が自己のシステム 'コードを引数にした エリア識別情報の取得要求を行なうステップと、
要求されたシステム 'コードを基に各ファイル 'システムをポーリングして該当するフ アイル ·システム力 エリア識別情報を取得し、要求元へ返すステップと、
をさらに備えることを特徴とする請求項 9に記載のデータ通信装置のメモリ管理方法。
[11] 第 2のサービス提供元力 前記メモリ空間上に自己のファイル 'システムを取得した 後、分割時に設定された発行者鍵又はシステム 'コードの書き換えを要求するステツ プと、
該書き換え要求に応じて、分割時に前記第 2のファイル ·システムに設定された発 行者鍵又はシステム 'コードを書き換えるステップと、
をさらに備えることを特徴とする請求項 9に記載のデータ通信装置のメモリ管理方法。 メモリ空間上の各ファイル 'システムはエリア識別情報を持ち、
ファイル 'システム取得後のサービス提供元がエリア識別情報及び自己のファイル' システムに対するアクセス要求を自己の発行者鍵で暗号ィ匕したパッケージを引数と するアクセス要求を受信するステップと、
該サービス提供元力 のアクセス要求の引数として含まれるエリア識別情報を基に 、該当するファイル ·システムへパッケージを渡すステップと、
をさらに備えることを特徴とする請求項 7に記載のデータ通信装置のメモリ管理方法。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP04807559.2A EP1703408B1 (en) | 2004-01-06 | 2004-12-22 | Data communicating apparatus and method for managing memory of data communicating apparatus |
| US10/585,256 US7516479B2 (en) | 2004-01-06 | 2004-12-22 | Data communicating apparatus and method for managing memory of data communicating apparatus |
| HK07102548.6A HK1097612A1 (en) | 2004-01-06 | 2007-03-08 | Data communicating apparatus and method for managing memory of data communicating apparatus |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004-001360 | 2004-01-06 | ||
| JP2004001360A JP2005196412A (ja) | 2004-01-06 | 2004-01-06 | データ通信装置及びデータ通信装置のメモリ管理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2005066803A1 true WO2005066803A1 (ja) | 2005-07-21 |
Family
ID=34746984
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/JP2004/019202 WO2005066803A1 (ja) | 2004-01-06 | 2004-12-22 | データ通信装置及びデータ通信装置のメモリ管理方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7516479B2 (ja) |
| EP (1) | EP1703408B1 (ja) |
| JP (1) | JP2005196412A (ja) |
| CN (1) | CN100422961C (ja) |
| HK (1) | HK1097612A1 (ja) |
| WO (1) | WO2005066803A1 (ja) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1403761B1 (en) * | 2001-06-27 | 2008-06-04 | Sony Corporation | Integrated circuit device, information processing device, information recording device memory management method, mobile terminal device, semiconductor integrated circuit device, and communication method using mobile terminal device |
| JP4706220B2 (ja) * | 2004-09-29 | 2011-06-22 | ソニー株式会社 | 情報処理装置および方法、記録媒体、並びにプログラム |
| US7729660B2 (en) * | 2005-04-15 | 2010-06-01 | Sony Corporation | Communication device, non-contact type IC card mounting same, and information apparatus |
| JP4642596B2 (ja) * | 2005-08-15 | 2011-03-02 | フェリカネットワークス株式会社 | 情報処理装置および方法、並びにプログラム |
| US20070218837A1 (en) * | 2006-03-14 | 2007-09-20 | Sony Ericsson Mobile Communications Ab | Data communication in an electronic device |
| JP5082695B2 (ja) * | 2007-09-06 | 2012-11-28 | ソニー株式会社 | 受信装置および受信方法、配信装置および配信方法並びにプログラム |
| CN101656583B (zh) * | 2008-08-21 | 2012-07-04 | 中兴通讯股份有限公司 | 密钥管理系统和方法 |
| CN101714904B (zh) * | 2008-10-08 | 2012-05-09 | 中兴通讯股份有限公司 | 密钥管理系统和方法 |
| US8689013B2 (en) * | 2008-10-21 | 2014-04-01 | G. Wouter Habraken | Dual-interface key management |
| US8150314B2 (en) * | 2008-12-09 | 2012-04-03 | Keng Kuei Su | Remote antijamming transmission device and method for the same |
| US8369894B1 (en) * | 2009-01-05 | 2013-02-05 | Sprint Communications Company L.P. | Confirming certification of combinations of secure elements and mobile devices |
| US8539254B1 (en) * | 2010-06-01 | 2013-09-17 | Xilinx, Inc. | Method and integrated circuit for protecting against differential power analysis attacks |
| US20110314561A1 (en) * | 2010-06-21 | 2011-12-22 | Roland Brill | Server implemented method and system for securing data |
| US8490167B2 (en) * | 2011-05-27 | 2013-07-16 | International Business Machines Corporation | Preventing password presentation by a computer system |
| KR101316377B1 (ko) * | 2012-12-26 | 2013-10-08 | 신한카드 주식회사 | 결제 디바이스의 금융 칩 제어방법 |
| JP2014164565A (ja) * | 2013-02-26 | 2014-09-08 | Nippon Telegr & Teleph Corp <Ntt> | Simカード、通信端末、及びセキュア情報保護方法 |
| DE102013104142B4 (de) * | 2013-04-24 | 2023-06-15 | Infineon Technologies Ag | Chipkarte |
| US20150081490A1 (en) * | 2013-09-13 | 2015-03-19 | Synchology Llc | Systems and methods for convertible prepaid account |
| JP6353693B2 (ja) * | 2014-05-08 | 2018-07-04 | 任天堂株式会社 | 決済システム、ユーザ端末装置、販売サーバ装置、決済方法及びコンピュータプログラム |
| CN107077633B (zh) | 2014-10-22 | 2020-06-16 | 索尼公司 | 信息处理装置、信息处理方法和程序 |
| CA2943962C (en) * | 2015-11-05 | 2024-01-16 | The Toronto-Dominion Bank | Securing data via multi-layer tokens |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06222979A (ja) * | 1993-01-27 | 1994-08-12 | Dainippon Printing Co Ltd | メモリ領域の管理方法 |
| JPH06222980A (ja) * | 1993-01-27 | 1994-08-12 | Dainippon Printing Co Ltd | メモリ領域の管理方法 |
| JPH08171517A (ja) * | 1994-12-19 | 1996-07-02 | Dainippon Printing Co Ltd | 情報記憶媒体 |
| JPH10105472A (ja) * | 1996-09-30 | 1998-04-24 | Toshiba Corp | メモリのアクセス管理方法 |
| JP2001014441A (ja) * | 1999-04-27 | 2001-01-19 | Matsushita Electric Ind Co Ltd | 半導体メモリカード及び読み出し装置 |
| JP2002278838A (ja) * | 2001-03-15 | 2002-09-27 | Sony Corp | メモリアクセス制御システム、デバイス管理装置、パーティション管理装置、メモリ搭載デバイス、およびメモリアクセス制御方法、並びにプログラム記憶媒体 |
| JP2003141434A (ja) | 2001-10-31 | 2003-05-16 | Sony Corp | 情報処理端末及びその制御方法 |
| US20030101350A1 (en) | 2000-04-06 | 2003-05-29 | Masayuki Takada | Data processing method and system of same portable device data processing apparatus and method of same and program |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2158081T3 (es) * | 1994-01-13 | 2001-09-01 | Certco Inc | Sistema criptografico y metodo con caracteristica de deposito de claves. |
| US6317832B1 (en) * | 1997-02-21 | 2001-11-13 | Mondex International Limited | Secure multiple application card system and process |
| JP4029234B2 (ja) * | 1998-07-16 | 2008-01-09 | ソニー株式会社 | 情報処理装置および情報処理方法 |
| JP4051510B2 (ja) * | 1998-07-16 | 2008-02-27 | ソニー株式会社 | データ記憶装置およびデータ記憶方法 |
| DE19839847A1 (de) * | 1998-09-02 | 2000-03-09 | Ibm | Speichern von Datenobjekten im Speicher einer Chipkarte |
| CA2347684A1 (en) * | 1998-10-27 | 2000-05-04 | Visa International Service Association | Delegated management of smart card applications |
| JP2000172808A (ja) * | 1998-12-01 | 2000-06-23 | Toshiba Corp | Icカードとアプリケーション管理方法 |
| US6389537B1 (en) * | 1999-04-23 | 2002-05-14 | Intel Corporation | Platform and method for assuring integrity of trusted agent communications |
| US20020040438A1 (en) * | 2000-05-05 | 2002-04-04 | Fisher David Landis | Method to securely load and manage multiple applications on a conventional file system smart card |
| US6824064B2 (en) * | 2000-12-06 | 2004-11-30 | Mobile-Mind, Inc. | Concurrent communication with multiple applications on a smart card |
| JP4118032B2 (ja) * | 2001-04-10 | 2008-07-16 | 日本電信電話株式会社 | Icカード運用管理システム |
-
2004
- 2004-01-06 JP JP2004001360A patent/JP2005196412A/ja active Pending
- 2004-12-22 WO PCT/JP2004/019202 patent/WO2005066803A1/ja active Application Filing
- 2004-12-22 CN CNB2004800400009A patent/CN100422961C/zh not_active Expired - Fee Related
- 2004-12-22 EP EP04807559.2A patent/EP1703408B1/en not_active Not-in-force
- 2004-12-22 US US10/585,256 patent/US7516479B2/en active Active
-
2007
- 2007-03-08 HK HK07102548.6A patent/HK1097612A1/xx unknown
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06222979A (ja) * | 1993-01-27 | 1994-08-12 | Dainippon Printing Co Ltd | メモリ領域の管理方法 |
| JPH06222980A (ja) * | 1993-01-27 | 1994-08-12 | Dainippon Printing Co Ltd | メモリ領域の管理方法 |
| JPH08171517A (ja) * | 1994-12-19 | 1996-07-02 | Dainippon Printing Co Ltd | 情報記憶媒体 |
| JPH10105472A (ja) * | 1996-09-30 | 1998-04-24 | Toshiba Corp | メモリのアクセス管理方法 |
| JP2001014441A (ja) * | 1999-04-27 | 2001-01-19 | Matsushita Electric Ind Co Ltd | 半導体メモリカード及び読み出し装置 |
| US20030101350A1 (en) | 2000-04-06 | 2003-05-29 | Masayuki Takada | Data processing method and system of same portable device data processing apparatus and method of same and program |
| JP2002278838A (ja) * | 2001-03-15 | 2002-09-27 | Sony Corp | メモリアクセス制御システム、デバイス管理装置、パーティション管理装置、メモリ搭載デバイス、およびメモリアクセス制御方法、並びにプログラム記憶媒体 |
| JP2003141434A (ja) | 2001-10-31 | 2003-05-16 | Sony Corp | 情報処理端末及びその制御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1703408A4 (en) | 2007-06-13 |
| HK1097612A1 (en) | 2007-06-29 |
| US20070283415A1 (en) | 2007-12-06 |
| EP1703408B1 (en) | 2018-03-21 |
| CN100422961C (zh) | 2008-10-01 |
| EP1703408A1 (en) | 2006-09-20 |
| JP2005196412A (ja) | 2005-07-21 |
| US7516479B2 (en) | 2009-04-07 |
| CN1902605A (zh) | 2007-01-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4428055B2 (ja) | データ通信装置及びデータ通信装置のメモリ管理方法 | |
| WO2005066803A1 (ja) | データ通信装置及びデータ通信装置のメモリ管理方法 | |
| JP4682498B2 (ja) | 通信装置及び通信装置のメモリ管理方法 | |
| US7707225B2 (en) | Information processing apparatus, information processing method, and program | |
| US7150039B2 (en) | Information processing system, portable electronic device, access apparatus for the portable electronic device, and method of using memory space | |
| EP2003589B1 (en) | Authentication information management system, server, method and program | |
| EP1770533A1 (en) | Information management device and information management method | |
| WO2005076204A1 (en) | Smart card for containing plural issuer security domain and method for installing plural issuer security domain in a smart card | |
| KR20070030157A (ko) | 정보 관리 장치 및 정보 관리 방법 | |
| US8991693B2 (en) | Configuration of issued dynamic device | |
| JP4576894B2 (ja) | 情報管理装置及び情報管理方法 | |
| JP4599899B2 (ja) | 情報管理装置及び情報管理方法 | |
| JP4642596B2 (ja) | 情報処理装置および方法、並びにプログラム | |
| JP2005196409A (ja) | データ通信装置及びデータ通信装置のメモリ管理方法 | |
| JP4349130B2 (ja) | データ通信装置及びデータ通信装置のメモリ管理方法 | |
| CN107925579A (zh) | 通信设备、通信方法、以及通信系统 | |
| JP4777706B2 (ja) | 識別情報特定システム及び識別情報特定方法 | |
| JP2005196410A (ja) | データ通信装置及びデータ通信装置のメモリ管理方法 | |
| KR20200086251A (ko) | 비접촉 ic칩 기반 보안 처리 방법 | |
| KR20200007988A (ko) | 비접촉 ic칩 기반 보안 처리 방법 | |
| KR20190088935A (ko) | 비보안 단말을 이용한 비접촉 ic칩 기반 보안 처리 방법 | |
| KR20180127297A (ko) | 비보안 단말을 이용한 비접촉 ic칩 기반 보안 처리 방법 | |
| KR20070022737A (ko) | 정보 관리 장치 및 정보 관리 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| AK | Designated states |
Kind code of ref document: A1 Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW |
|
| AL | Designated countries for regional patents |
Kind code of ref document: A1 Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application | ||
| WWE | Wipo information: entry into national phase |
Ref document number: 2004807559 Country of ref document: EP |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 200480040000.9 Country of ref document: CN |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| WWW | Wipo information: withdrawn in national office |
Country of ref document: DE |
|
| WWP | Wipo information: published in national office |
Ref document number: 2004807559 Country of ref document: EP |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 10585256 Country of ref document: US |
|
| WWP | Wipo information: published in national office |
Ref document number: 10585256 Country of ref document: US |