WO2005106680A1 - 個体識別番号を更新する個体識別システム、個体識別タグ、個体識別装置及び個体識別方法 - Google Patents

Description

個体識別番号を更新する個体識別システム、 個体識別タグ、 個体識別装置及ぴ 個体識別方法 技術分野

本発明は、 個体識別タグを用いた個体識別システム装置に関し、 特に、 個体識 別番号更新技術に関する。

明

背景技術

田

個体識別システムは、 個体識別番号を保持.する個体識別タグと、 個体識別タグ にアクセスする読出し装置 （リーダ） を備えた個体識別装置とから構成される。 個体識別タグには様々な種別があるが、 近年、 無線通信機能を備えた個体識別タ グ （無線タグあるいは R F— I Dとも呼ばれる） が開発され、 その応用が期待さ れている。

個体識別システムの動作は、 およそ以下の通りである。 まず値体識別装置は、 リーダを介して、 個体識別タグに対して、 個体識別番号の読み出しコマンドを送 信する。 個体識別タグは、 リーダからの読み出しコマンドを受信すると、 タグ内 部に保持されている識別番号を応答として返信する。 個体識別装置は、 当該応答 'を受信し、 応答に含まれる識別番号を用いて自装置内部の識別番号属性情報管理 手段を検索して、 当該識別番号に関連付けられた属性情報を得る。■

従来の個体識別システムでは、 特開 2 0 0 0— 3 0 6 0 6 3号公報 「非接触 I Dタグ」 に示すとおり、 個体識別タグはリーダの読出しコマンドに対して、 固定 的な識別番号を、 無条件に応答していた。 発明の開示

本発明が解決しょうとする第 1の課題は、 従来の個体識別システムにおけるプ ライパシ侵害、 具体的には個人に対する追跡 （トレース） を阻止することである 04 006164

2 前述したように、 従来の個体識別システムでは、 リーダの送信する読み出しコ マンドに対して、 個体識別タグは無条件に固定的な識別番号を応答として返して いた。 この場合、 悪意をもつ第三者が個体識別装置を所持していれば、 任意の人 物について、 その人物が所有する物品に付随する個体識別タグから識別番号を読 み出し、 識別番号属性情報管理表を参照することによって、 その人物の所持品に 関する情報を把握できてしまう。

また、 悪意をもつ第三者が識別番号属性管理表を持っておらず、 ある人物の所 持する物品の識別番号を取得した場合でも、 読み出した識別番号を保存し、 その 識別番号を追跡すれば、 その人物が存在する場所を特定することができ、 プライ バシの侵害が起きてしまう。

これは、 従来の個体識別システムでは、 リーダからの読出コマンドに対して、 個体識別タグは無条件に固定的な識別番号を応答として返してしまう点に起因す る。 このようなプライバシの侵害に対して、 従来、 物品の販売時に個体識別タグ を破壌して機能不能とする、 又は物品から個体識別タグを外す等の対応が提案さ れてきた。 しかし、 いったん個体識別タグを使用不能にすると、 その時点から後 は物品の追跡が不可能になり、 アフターサービスやリサイクルの効率化など個体 識別タグが有用な用途も絶たれてしまう問題があった。

さらに、 本発明が解決しょうとする第 2の.課題は、 個体識別タグの偽造を困難 にすることである。 個体識別タグは、 物品の唯一性や真正性を保障するために用 いられる。 しかし、 前述したように、 従来の個体識別タグは固定的な識別番号を 応答するので、 個体識別タグから取得した識別番号を用いて個体識別タグ自体を 偽造することが容易である。 よって、 個 別システムによる真正性の保証の仕 組みが脅かされる。

上記課題を解決するために、 識別番号を保持する個体識別タグと、 前記個体識 別タグから前記識別番号を取得する個体識別装置とからなる個 別システムで あって、 前記個体識別タグは、 前記個体識別装置からの識別番号の読出命令の応 答として、 保持された識別番号を読み出して送信する識別番号読出部と、 予め定 められた方法によって前記識別番号を更新する第 1識別番号更薪部と、 を有し； 前記個体識別装置は、 前記個体識別タグに保持される識別番号と、 該個 別タ グが付着された個体の属性値とを関連付けて管理する識別番号属性情報と、 前記 個体識別タグに対して識別番号の読出命令を送信し、 該読出命令の応答として前 記個体識別タグから前記識別番号を取得する識別番号読出要求部と、 前記識別番 号属性管理情報を検索して、 前記取得した識別番号に関連付けられた属性値を取 得する識別番号属性情報検索部と、 前記第 1識別番号生成部と共通の方法によつ て識別番号を更新する第 2識別番号更新部と、 を有する。

本発明によれば、 個体識別タグが個体識別装置に応答する識別番号が固定的な 番号とならず、 識別番号を読み出し利用する権限を持たない第三者が識別番号を 取得して個人を追跡することが不可能となり、 プライバシを保護することができ る。

また、 個体識別タグが個体識別装置に応答する識別番号が固定的な番号となら ないため、 個体識別タグの偽造が困難となり、 個体識別システムによって、 個体 (個体識別タグが付された商品） の真正性を保障することができる。 図面の簡単な説明

第 1図は、 第 1実施例の個体識別システムの機能プロック図である。

第 2図は、 第 1実施例の個体識別システムの処理の説明図である。

第 3図は、 第 1実施例の個体識別タグのプロック図である。

第 4図は、 第 1実施例の個体識別装置のプロック図である。

第 5図は、 第 1実施例の個体識別システムの詳細な構成図である。

第 6図は、 第 1実施例の個体識別処理のフローチヤ一トである。

第 7図は、 第 1実施例の個体識別処理のフローチャートである。

第 8図は、 第 1実施例の個体識別タグの制御処理のフローチヤ一トである。 第 9図は、 第 1実施例の個体識別タグの制御処理のケース 1の処理のフローチ ヤートである。

第 1 0図は、 第 1実施例の個体識別タグの制御処理のケース 2の処理のフロー チャートである。

第 1 1図は、 第 1実施例の個体識別タグの制御処理のケース 3の処理のフロー チャートである。 第 1 2図は、 第 2実施例の個体識別システムの機能ブロック図である。

第 1 3図は、 第 2実施例の個体識別システムの処理の説明図である。

第 1 4図は、 第 2実施例の個体識別システムの処理の説明図である。

第 1 5図は、 第 3実施例の個体識別システムの詳細な構成図である。

第 1 6図は、 第 3実施例の個体識別タグの制御処理のケース 1の処理のフロー チヤ一トである。

第 1 7図は、 第 3実施例の個体識別処理のフローチャートである。

第 1 8図は、 第 4実施例の個体識別システムの詳細な構成図である。 .

第 1 9図は、 第 4実施例の個体識別タグの制御処理のフローチャートである。 第 2 0図は、 第 4実施例の個体識別タグの制御処理のケース 3の処理のフロー チヤ一トである。

第 2 1図は、 第 4実施例の個体識別タグの制御処理のケース 4の処理のフロー チャートである。

発明を実施するための最良の形態

本発明の実施の形態について図面を参照して説明する。

(第 1実施例）

第 1図は、 本発明の第 1実施例の個体識別システムの機能ブロック図である。 第 1実施例の個体識別システムは個体識別タグ 1 0 0及ぴ個体識別装置 1 1 0 ら構成される。

個体識別タグ 1 0 0は、 保持される固有の識別番号を個体識別装置に与えるも 。 個体識別タグ 1 0 0は、 従来の個体識別タグが一般的に備える識別番号管理手 段 1 0 1及ぴ識別番号読出手段 1 0 2に加え、 本発明の個体識別タグに特有の外 部認証用識別番号生成手段 1 0 3、 外部認証手段 1 0 4、 更新用次識別番号生成 手段 1 0 5及び識別番号更新手段 1 0 6を備える。

識別番号管理手段 1 0 1は、 タグに固有の識別番号を保持する。

識別番号読出手段 1 0 2は、 個体識別タグ 1 0 0の外部 （例えば、 個体識別装 置 1 1 0 ) からデータパス 1 2 0を介して識別番号読出コマンドを受信すると、 識別番号管理手段 1 0 1から識別番号を読み出し、 データパス 1 2 1を介して読 み出した識別番号を応答として送信する。

外部認証用識別番号生成手段 1 0 3は、 識別番号管理手段 1 0 1によって保持 される識別番号が入力されれると、 外部認証手段 1 0 4の要求に応じて、 所定の 演算処理を行い、 外部認証用識別番号を生成する。

外部認証手段 1 0 4は、 タグ外部からデータパス 1 2 2を介して外部認証コマ ンドを受信すると、 当該コマンドに含まれる外部認証用識別番号と、 外部認証用 識別番号生成手段 1 0 3によつて生成された外部認証用識別番号とを比較し、 両 識別番号が一致する；^否かを検査する。

そして、 両識別番号が一致すれば、 外部認証結果は認証成功となり、 外部認証 コマンドを送信者した個体識別装置 1 1 0は、 識別番号を更新する権限を有する ことが認証される。 この認証結果は、 データパス 1 2 3を介して、 個体識別装置 1 1 0に返される。 さらに、 前述した外部認証が成功すれば、 更新用次識別番号 生成手段 1 0 5に対して、 更新用次識別番号の生成を指示する。

更新用次識別番号生成手段 1 0 5は、 外部認証用識別番号生成手段 1 0 3が生 成した外部認証用識別番号が入力されると、 更新用次識別番号生成指示に応じて 、 所定の演算処理を行い、 更新用次識別番号を生成する。

識別番号更新手段 1 0 6は、 外部認証手段 1 0 4が外部認証に成功すると、 更 新用次識別番号生成手段 1 0 5によって生成された更新用次識別番号を識別番号 管理手段 1 0 1に送付し、 識別番号を更新する。

個体識別装置 1 1 0は、 個体識別タグ 1 0 0に保持される固有の個体識別番号 を読み出す。 個体識別装置 1 1 0は、 従来の個体識別タグが一般的に備える識別 番号属性情報管理手段 1 1 1、 識別番号読み出し要求手段 1 1 2及び識別番号属 性情報検索手段 1 1 3に加え、 本発明の個体識別装置に特有の外部認証用識別番 号生成手段 1 1 4、 外部認証用識別番号登録手段 1 1 5、 外部認証要求手段 1 1 6、 更新用次識別番号生成手段 1 1 7及び識別番号属性情報更新手段 1 1 8を備 える。 .

識別番号属性情報管理手段 1 1 1は、 個体識別タグ 1 0 0に保持される識別番 号と、 該識別番号に関連付けられた属性情報とを管理し、 識別番号属性情報検索 手段 1 1 3の要求に応じて、 識別番号に関連付けられた属性情報を出力する。 2004/006164

6 識別番号読出要求手段 1 1 2は、 データパス 1 2 0を介して個体識別タグ 1 0 0に対して識別番号読出コマンドを送信する。 また、 個体識別タグ 1 0 0が応答 として返す識別番号を受信し、 受信した識別番号を識別番号属性情報検索手段 1 1 3に送付する。

識別番号属性情報検索手段 1 1 3は、 個体識別タグ 1 0 0から送付された識別 番号を用いて識別番号属性情報管理手段 1 1 1を検索し、 該識別番号に関連付け られた属性情報を取得する。 取得された属性情報は、 業務処理手段 （図示省略） に送付されて、 商品追跡等の種々の業務が行われる。

外部認証用識別番号生成手段 1 1 4は、 識別番号読出要求手段 1 1 2が読み出 した個体識別タグ 1 0 0の識別番号が入力されると、 外部認証要求手段 1 1 6の 要求に応じて、 外部認証用識別番号を生成し、 外部認証用識別番号登録手段 1 1 5と外部認証要求手段 1 1 6とに生成した外部認証用識別番号を送付する。 外部認証用識別番号登録手段 1 1 5は、 送付された外部認証用識別番号を識別 番号属性情報管理手段 1 1 1に送付し、 その登録を指示する。

外部認証要求手段 1 1 6は、 データパス 1 2 1を介して個体識別タグ 1 0 0に 対して外部認証コマンドを送信し、 個体識別タグ 1 0 0が応答として返信した外 部認証結果を受信する。 外部認証結果が認証成功であれば、 更新用次識別番号生 成手段 1 1 7に対して、 更新用次識別番号の生成を要求する。

更新用次識別番号生成手段 1 1 7は、 外部認証用識別番号生成手段 1 1 4が生 成じた外部認証用識別番号が入力されると、 更新用次識別番号生成要求に応じて 、 所定の演算処理を行い、 更新用次識別番号を生成して出力する。

識別番号属性情報更新手段 1 1 8は、 外部認証要求手段 1 1 5が外部認証成功 の認証結果を取得すると、 更新用次識別番号生成手段 1 1 7によって生成された 吏新用次識別番号を識別番号属性情報管理手段' 1 1 1に送付し、 識別番号及びそ の属性情報の更新を要求する。

第 2図は、 第 1実施例の個体識別システムの処理の説明図である。 本図では、 時間軸'を縦方向に設定し、 処理の内容と格納されるデータの変化を示す。

まず、 個体識別装置 1 1 0は、 識別番号読出コマンドを、 データパス 1 2 0を 介して、 個体識別タグ 1 0 0に送信する （ステップ 2 2 1 ) 。 識別番号読出コマ P T/JP2004/006164 ンドを受信した個体識別タグ 1 0 0は、 識別番号管理手段 1 0 1から識別番号 " 5 ". ( 2 0 1 ) を読み出し、 データパス 1 2 1を介して、 個体識別装置 1 1 0に 応答として送信する。

当該応答を受信した個体識別装置 1 1 0は、 データパス 2 2 3を介して、 内部 の識別番号属性情報管理手段 1 1 1を、 個体識別タグから読み出した識別番号に よって検索して、 当該識別番号に関連付けられて格納されている状態及び属性を 取得する。 本図に示す例では、 識別番号 " 5 " に対応付けられた状態 "有効" 及 び属性情報 "時計" が検索結果として得られる （2 2 4 ) 。 ここで、 属性情報は 個体識別タグが添付された商品の名称である。

従来の個体識別システムでは、 個体識別タグに保持される識別番号が固定され ているので、 以上のステップが繰り返して実行され、 業務が実行される。 しかし 、 前述したように、 識別番号が固定されていると、 第三者が個体識別タグを追跡 することができる問題点が生じる。 本発明では、" この間題を解決するために、 個 体識別タグに保持される識別番号を、 所定の手続きに従って更新することによつ て、 第三者による個体識別タグの追跡を困難にしている。

次に、 個体識別装置 1 1 0は、 外部認証用識別番号生成手段 1 1 4によって、 ステップ 2 2 2で読み出した識別番号 " 5 " を用いて、 外部認証用識別番号 " 9 " を生成する （ステップ 2 2 5 ) 。 生成された外部認証用識別番号は、 データパ ス 2 2 7を介して識別番号属性情報管理手段 1 1 1に格納される （2 2 8 ) 。 外 部認証用識別番号の状態及び属性は、 生成に用いた識別番号の状態及ぴ属性が引 き継がれ、 同一の値が設定される。

個体識別装置 1 1 0の処理と並行して、 個体識別タグ 1 0 0でも同様に、 外部 認証用識別番号生成手段 1 0 3が、 識別番号 " 5 " ( 2 0 1 ) を用いて、 外部認 証用識別'番号 " 9 " を生成し、 一時格納領域 2 0 3に格納し、 外部認証用識別番 号が保持される。

前述した個体識別タグ 1 0 0及ぴ個体識別装置 1 1 0において実行される外部 認証用識別番号の生成は、 例えば、 共通鍵暗号である D E S (Data Encryption Standard) 暗号を用いた鍵派生 （Key Derivation) を用いるとよい。 今、 データ InData を、 D E S共通鍵喑号の暗号鍵 Key で暗号化すると、 下記式 （1 ) によ つて暗号化出力 OutDataが得られるとすると、 前述した識別番号 IDから、 下記 式 （2 ) によって外部認証用識別番号 EA— IDが得られる。

OutData = ENC(Key,InData)

EA ID = ENC(Key,ID) (2)

前述した鍵派生に用いる暗号鍵 Key は、 個体識別タグ 1 0 0と個体識別装置 1 1 0が共有する秘密情報であること、 派生結果である外部認証用識別番号も両者 のみが知りうる共有の秘密情報である。 本実施例では、 この事実を利用すること で個体識別タグ 1 0 0が個体識別装置 1 1 0を認証する外部認証が可能となる。 外部認証用識別番号を生成した個体識別装置 1 1 0は、 データパス 1 2 2を介 して、 個体識別タグ 1 0 0に外部認証コマンドを送信し、 外部認証を要求する （ ステップ 2 2 9 ) 。 外部認証コマンドを受信した個体識別タグ 1 0 0は、 一致比 較論理による外部認証手段 1 0 4を用いて、 外部認証コマンドに含まれる外部認 証用識別番号と、 個体識別タグ 1 0 0内で生成した外部認証用識別番号 2 0 3と を比較する。 本実施例では、 両者とも " 9 " であり、 一致するので、 外部認証は 成功する。 すなわち、 個体識別タグ 1 0 0は、 個体識別装置 1 1 0を識別番号の 正規の変更権を有する個体識別装置と認証する。

さらに、 個体識別タグ 1◦ 0は、 前述した外部認証処理と並行して、 更新用次 識別番号生成手段 1 0 5を起動し、 更新用次識別番号生成手段 1 0 5に外部認証 識別番号 " 9 " ( 2 0 3 ) を入力して、 更新用次識別番号 " 6 " ( 2 0 7 ) を生 成する。 そして、 該生成された更新用次識別番号は、 データパス' 2 0 8を介して 、 識別番号管理手段 1 0 1に送付される。 識別番号管理手段 1 0 1は、 外部認証 手段 1 0 4による比較一致結果をデータパス 2 0 5を介して取得し、 この比較一 致結果が "一致" （すなわち、 外部認証成功） であれば、 更新用次識別番号 " 6 " を新たな識別番号として、 識別番号管理手段 1 0 1に格納する （2 0 9 ) 。 最後に、 個体識別タグ 1 0 0は、 データパス 1 2 3を介して、 個体識別装置 1 1 0に対して、 応答として "認証成功" を送信する。.もし、 個体識別装置 1 1 0 が、 データパス 1 2 2を介して、 誤った外部認証用識別番号を含む外部認証コマ ンドを送付した場合には、 個体識別タグ 1 0 0における外部認証処理は失敗し、 識別番号は更新されない。 一方、 個体識別装置 110は、 データパス 123を介して、 認証結果を受信し 、 外部認証成功であることを確認すると、 ステップ 225で生成された外部認証 用識別番号を用いて、 更新用次識別番号を生成する （ステップ 229) 。 最後に 個体識別装置 110は、 データパス 231を介して、 識別番号属性情報管理手段 111に対して、 現識別番号 "5" と外部認証用識別番号 "9" の状態を "無効 " とし、 更新用次識別番号 "6" を "有効" とする （232) ように指示する （ ステップ 230) 。

以上の処理によって、 当該個体識別タグ 100の最新の識別番号は、 "5" .(

224) から、 "6" (232) へと更新される。 もし、 個体識別タグ 100か らの応答が認証失敗であれば、 個体識別装置 110内の識別番号属性情報管理手 段 111の内容は更新されず、 最新の識別番号は "5" のままとなる。

次に、 本実施例の個体識別タグ 100及び個体識別装置 110のハードウエア 構成について説明する。

第 3図は、 第 1実施例の個体識別タグ 100のブロック図である。

アンテナ 150は、 個体識別装置 110からの信号を受信し、 個体識別装置 1

10へ信号を送信する。 アンテナ 150には、 望ましくはコイル状アンテナを用 いるとよい。

リーダライタ部 302は、 受信部 3021、 複号化部 3022、 送信部 302 3及び符号化部 3024によって構成されている。 受信部 3021は、 アンテナ 150が受信した高周波信号に増幅、 周波数変換、 検波等の処理をする。 復号化 部 3022は、 受信部 3021によって処理された信号を復号化する。 符号化部

3024は、 個体識別装置 110へ送信する信号を符号化する。 送信部 3023 は、 符号化された信号を個体識別装置 110に送信するため、 アンテナ 150を 駆動する。

制御部 （識別処理部） 301は、 個体識別タグ 100の全体を制御する。 具体 的には、 制御部 301は、 CPUを有し、 メモリ 303に記憶されたプログラム を実行する。 メモリ （情報記憶部） 303は、 不揮努性メモリで構成されており 、 個体識別タグ 100の識別番号や、 制御部 301の動作に必要なプログラムや データを記憶する。 また、 図示を省略するが、 アンテナによって受信した高周波信号から、 個体識 別タグ 1 0 0の動作に必要な電力を抽出する電源回路が設けられている。 含まれ る。

第 4図は、 第 1実施例の個体識別装置 1 1 0のブロック図である。

ァンテナ 1 6 0は、 個体識別タグ 1 0 0からの信号を受信し、 個体識別タグ 1

0 0へ信号を送信する。 アンテナ 1 6 0には、 望ましくはコイル状アンテナを用 いるとよい。

送受信処理部 3 1 1は、 受信部 3 0 1 1、 複号化部 3 0 1 2、 送信部 3 0 1 3 及ぴ符号化部 3 0 1 4によって構成されている。 受信部 3 0 1 1は、 アンテナ 1 6 0が受信した高周波信号に増幅、 周波数変換、 検波等の処理をする。 復号化部 3 0 1 2は、 受信部 3 0 1 1によって処理された信号を復号化する。 符号化部 3 0 1 4は、 個体識別タグ 1 0 0へ送信する信号を符号化する。 送信部 3 0 1 3は 、 符号ィ匕された信号を個体識別タグ 1 0 0に送信するため、 アンテナ 1 6 0を駆 動する。

制御部 （制御処理部 3 1 3、 演算処理部 3 1 4 ) は、 個体識別装置 1 1 0の全 体を制御する。 具体的には、 制御部は、 C P Uを有し、 メモリ 3 1 3に記憶され たプログラムを実行する。 メモリ （情報記憶部） 3 1 2は、 不揮発性メモリで構 成されており、 個体識別タグ 1 0 0の識別番号や、 制御部の動作に必要なプログ ラムやデータを記憶する。

外部インターフェース 3 2 3は、'個体識別装置 1 1 0と他の装置とを接続する' 。 例えば、 個体識別タグから取得した識別番号を送出する。

なお、 第 3図、 第 4図には、 個体識別タグ 1 0 0、 個体識別装置 1 1 0の例と して R F I D及びその I D読取装置 （リーダライタ） について説明したが、 本発 明の個体識別タグュ 0 0、 個体識別装置 1 1 0としては、 これ以外にも、 接触式 の個体識別素子 （例えば、 接触式 I Cカード） を用いることもできる。

• 次に、 本実施例の個体識別システムの詳細な実現方式について、 第 5図に示す 詳細構成図と、 第 8図から第 7図までのフローチャートを用いて説明する。

第 5図は、 第 1実施例の個体識別システムの詳細な構成図である。

第 1図では、 本実施例を特徴づける機能手段を単位としてシステムの構成を示 した。 しかしより具体的なシステム構成を考える場合、 第 1図に示される各機能 手段は、 それぞれが処理の流れを制御する制御処理部 3 1 3、 演算を実行する演 算処理部 3 1 4、 及ぴデータを記憶する情報記憶部 3 1 2の三つの部分から構成 される。 第 5図には、 第 1図に示した個体識別システムの各手段と、 前述した三 つの主要構成要素との対応を明示した全体のシステム構成を示した。

まず、 個体識別タグ 1 0 0の内部構成について簡単に説明する。 送受信処理部 3 1 1は、 データパス 3 0 7を介して個体識別装置 1 1 0とデータを送受信する 。 情報記憶部 3 1 2は、 個体識別タグ 1 0 0の機能動作に必要となる情報を揮発 性記憶領域に一時的に記憶し、 又は、 不揮発性記憶領域に半永久的に記憶する。 演算処理部 3 1 4は、 外部認証番号や次識別番号を生成し、 識別番号の比較一 致判定を行う。 制御処理部 3 1 3では、 制御処理プログラムが動作することによ つて （第 8図） 、 送受信処理部 3 1 1、 情報記憶部 3 1 2及び演算処理部 3 1 4 を制御し、 個体識別タグ 1 0 0の動作を制御する。 個体識別タグ 1 0 0の各部は データパス 3 3 0から 3 3 4によって接続されている。

次に、 個体識別装置 1 1 0の内部構成について簡単に説明する。 リーダライタ 3 0 2は、 識別処理部 3 0 1からの指示によって、 データパス 3 0 7を介して個 体識別タグ 1 0 0にコマンドを送信し、 個体識別タグ 1 0 0からコマンドの応答 を受信する。 情報記憶部 3 0 3は、 識別番号毎の状態と関連付けられた属性情報 とを記憶する識別番号属性情報管理表 3 0 4を保持する。 識別処理部 3 0 1では 、 識別処理プログラム （第 6図、 第 7図） が動作しており、 個体識別装置 1 i 0 の演算処理及ぴ制御処理を行う。 個体識別装置 1 1 0の各部は、 データパス 3 0 5、 3 0 6によって接続されている。

次に、 第 1実施例の各部の処理について、 個体識別タグ 1 0 0の制御処理部の フローチャート （第 8図から第 1 1図） 、 個体識別装置 1 1 0の識別処理部のフ ローチャート （第 6図、 第 7図） 、 システム構成図 （第 5図） を参照て説明する まず、 個体識別装置 1 1 0の識別処理部 3 0 1の個体識別処理を、 第 6図及ぴ 第 7図を参照して説明する。

図示されない制御プログラムによって、 識別処理プログラムが起動し、 個体識 別処理が開始する （ステップ 800) 。

まず、 識別処理プログラムは、 リーダライタ 302を介して識別番号の読出要 求コマンドを送信する （ステップ 801) 。 次に、 識別処理プログラムは、 リー ダライタ 302が個体識別タグ 100からのコマンド応答を受信したカ否かを判 定する （ステップ 802) 。 コマンド応答がなければ、 ステップ 801に戻り、 読出要求コマンドを操り返し送信する。

—方、 コマンド応答があれば、 コマンド応答に含まれる識別番号を抽出する （ ステップ 803) 。 第 5図に示す例では、 コマンド応答から初期状態の識別番号 である " 5" (343) が読み出される。

次に、 識別処理プログラムは、 識別番号属性情報管理表 3◦ 4を参照し、 識別 番号に対応する識別番号の状態を検索する （ステップ 804) 。 第 5図に示す例 では、 レコード 304に示すように、 識別番号 "5" の初期状態である "有効" を得る。

次に、 識別処理プログラムは、 識別番号の状態が "有効" であるか否かを判定 する （ステップ 805) 。 その結果、 識別番号の状態が "無効" であればステツ プ 809に進み、 無効状態の識別番号に対するエラー処理を実行し、 識別処理プ ログラムを終了する （ステップ 810) 。 一方、 識別番号の状態が "有効" であ ればステップ 806へ進む。 第 5図に示す例では、 識別番号 " 5 " の初期状態は "有効" なので、 ステップ 806に進む。

次に、 識別処理プログラムは、 識別番号属性情報管理表 304を参照し、 識別 番号に対応する属性情報を検索する （ステップ 806) 。 第 5図に示す例では、 識別番号 "5" に対応する属性情報として、 "X社時計" を検索結果として得る 次に、 識別処理プログラムは、 識別番号属性情報管理表 304の識別番号、 及 ぴ個体識別装置内の派生用暗号鍵 （図示省略） を用いて、 個体識別タグ 100と 同様の手順で、 外部認証用識別番号を生成する （ステップ 807) 。 第 5図に示 す例では、 外部認証用識別番号として、 識別番号属性情報管理表 304のレコー ド 341に示される識別番号 "9" が、 初期状態を "有効" として生成される。 ここでフローチャートの説明は、 第 6図の接続点 A (808) から第 7図の接 続点 A (900) へと移る。

個体識別装置 1 10は、 ステップ 807で生成した外部認証用識別番号を用い て、 外部認証要求コマンドを送信する （ステップ 901) 。 第 5図に示す例では 、 レコード 341に示される識別番号 "9" 力 外部認証用識別番号として生成 される。

次に、 識別処理プログラムは、 データパス 307を介して、 当該番号を含む外 部認証コマンドを個体識別タグ 100へ送信する。 そして、 データパス 307を 介して、 外部認証コマンドに対する応答を受信し、 該応答中に含まれる外部認証 結果を読み出す （ステップ 902) 。

次に、 識別処理プログラムは、 外部認証結果が成功である力否かを判定する （ ステップ 903) 。 その結果、 外部認証結果が "失敗" であればステップ 908 に進む。 ステップ 908では外部認証処理失敗に対するエラー処理を実行し、 処 理を終了する （ステップ 909) 。

一方、 外部認証結果が "成功" であれば、 個体識別タグ 100の識別番号は更 新される。 そこで識別処理プログラムは、 ステップ 807で生成した外部認証用 識別番号を用いて、 個体識別タグと同様の手順で更新用識別番号を生成する （ス テツプ 904) 。 第 5図に示す例では、 レコード 341に示される外部認証用識 另 IJ番号 "9" を用いて、 レコード 342に示される更新用識別番号 "6" が生成 される。

' 次に、 識別処理プログラムは、 識別番号属性情報管理表 304に、 '該生成した 更新用識別番号を、 "有効" 状態で登録する （ステップ 905) 。

最後に、 識別処理プログラムは、 既に登録済みの旧識別番号と外部認証用識別 番号の状態を "無効".に変更する （ステップ 906) 。

以上で、 1サイクルの個体識別タグの識別番号の読み取りと更新からなり、 個 体識別装置の識別処理部内の識別処理プログラムによって実行される識別処理が 終了する （ステップ 907) 。

次に、 個体識別タグ 100の制御処理 313の処理を、 第 5図及ぴ第 8図を 照して説明する。

個体識別タグ 100の制御処理部 301力 制御処理プログラムによる処理を 開始すると （ステップ 4 0 0 ) 、 まず、 デ^ "タパス 2 3 1を介して送受信処理部 3 1 1に対して、 コマンド受信の有無を監視するよう指示する （ステップ 4 0 1

) o , 送受信処理部 3 1 1からコマンド受信が通知されると、 制御処理プログラムは 、 情報記憶部 3 1 2の最新コマンド 3 1 5に格納されている最新コマンドの直前 の受信コマンドを読み出し、 情報記憶部 3 1 2の直前コマンド 3 1 6に格納する

(ステップ 4 0 2 ) 。

その後、 制御処理プログラムは、 最新の受信コマンドを情報記憶部 3 1 2の最 新コマンド 3 1 5に格納するように、 送受信処理部 3 1 3に対して指示する （ス テツプ 4 0 3 ) 。

次に、 制御処理プログラムは、 情報記憶部 3 1 2の直前コマンド 3 1 6と最新 コマンド 3 1 5に格納された 2つのコマンドに基づいて、 予め定められたテープ ルを参照して処理区分を決定し、 各区分に対応する処理を実行する （ステップ 4 0 4 ) 。

'まず、 ステップ 4 0 4の項番 1及ぴ 2に示す、 最新コマンドが識別番号の読出 コマンである場合に選択されるケース 1の処理 （第 9図） について説明する。 ケース 1の処理が開始されると （ステップ 5 0 0 ) 、 制御処理プログラムは、 情報記憶部 3 1 2の識別番号 3 1 8を読み出す。 第 5図に示す例では、 識別番号 の初期値である " 5 " ( 3 4 3 ) を読み出す。 そして、 読出コマンドへの応答を 作成して、 データパス 3 0 7を介して個体識別装置 1 1 0に送信するように、 送 受信処理部 3 1 1に対して指示する （ステップ 5 0 1 ) 。 そして、 制御処理プロ グラムは、 ケース 1の処理を終了する （ステップ 5 0 2 ) 。

次に、 ステップ 4 0 4の項番 3に示す、 外部認証コマンドを連続して受信した 場合に、 ケース 2の処理 （第 1 0図） が選択される。

外部認証コマンドのシ ケンスエラー処理であるケース 2の処理が開始すると (ステップ 6 0 0 ) 、 制御処理プログラムは、 コマンドシーケンスエラーのため に受信コマンドを無視した旨の情報を、 認証コマンドへの応答として送信するよ うに、 送受信処理部 3 1 1に対して指示する （ステップ 6 0 1 ) 。 そして、 制御 処理プログラムは、 ケース 2の処理を終了する （ステップ 6 0 2 ) 。 次に、 ステップ 404の項番 4に示す、 読出コマンドの後に外部認証コマンド を受信した場合に選択されるケース 3の処理 （第 11図) について説明する。 外部認証処理を実施するケース 3の処理が開始すると （ステップ 700) 、 制 御処理プログラムは、 情報記憶部 312に格納された識別番号 （第 5図に示す例 では " 5" (343) ) を読み出す。 そして、 読み出された識別番号を、 外部認 証用識別番号生成処理部 321に入力して、 外部認証用識別番号を生成する （ス テツプ 701) 。

そして、 制御処理プログラムは、 生成された外部認証用識別番号を、 情報記憶 部 312に外部認証用識別番号 319 (第 5図に示す例では " 9 " (345) ) として格納する （ステップ 702) 。

次に、 制御処理プログラムは、 情報記憶部 312の最新コマンド 315に格鈉 された外部認証要求コマンドに含まれる外部認証用識別番号を読み出し、 外部認 証処理部 327に入力する （ステップ 703) 。

また、 制御処理プログラムは、 情報記憶部 312に記憶された外部認証用識別 番号 319の番号 " 9 " (345) を読み出し、 外部認証処理部 327に入力す る （ステップ 704) 。

二つの認証用識別番号が入力された外部認証処理部 327は、 二つの外部認証 用識別番号が一致する力否かを検查する （ステップ 705) 。 その結果、 両認証 用識別番号が一致していれば、 個体識別タグに外部からアクセスしている個体識 別装置 110は、 タグの個体識別番号を読み出し、 更新する正当な権限を有して いると外部認証する。 そこで制御処理プログラムは、 情報記憶部 312から外部 認証用識別番号 319である " 9 " (345) を読み出し、 演算処理部 314の 更新用識別番号生成処理部 322に入力する （ステップ 706) 。

そして生成された更新用識別番号で、 情報記憶部 312の識別番号 318を更 新する （ステップ 707) 。 この例では、 外部認証用識別番号 319である "9 " (345) から生成された更新用識別番号 "6" によって、 識別番号 318が "5" から "6" (344) に更新される。

最後に、 制御処理プログラムは、 送受信処理部 311に対して、 受信コマンド を適正に処理して識別番号 318を更新した旨を、 外部認証要求コマンドへの応 答として送信するように指示する （ステップ 7 0 8 ) 。

一方、 ステップ 7 0 5で外部認証に失敗したときは、 制御処理プログラムは、 受信コマンドの処理に失敗して識別番号 3 1 8を更新じなかった旨を、 認証要求 コマンドへの応答として送信するように、 送受信処理部 3 1 1に対して指示する (ステップ 7 0 9 ) 。

そして、 制御処理プログラムは、 ケース 3の処理を終了する （ステップ 7 1 0

) o

なお、 第 1実施例では、 個体識別タグ 1 0 0の識別番号を個体識別装置 1 1 0 に記憶したが、 体識別タグ 1 0 0の識別番号属性情報を統合的に管理する上位 装置を設け、 個体識別タグ 1 0 0から識別番号を取得した個体識別装置 1 1 0に 識別番号属性情報を提供して、 識別番号が更新されてもどの商品かを知ることが できるようにしてもよい。

以上に説明したように、 第 1実施例では、 個体識別タグ 1 0 0と個体識別装置 1 1 0と力 特定の数字の系列を、 共通の秘密として生成し保持することで、 個 体識別タグ 1 0 0が個体識別装置 1 1 0を認証し、 かつその認証が成功した場合 に、 第三者には不明な形で識別番号を動的に変更することが可能となる。 よって 、 第三者による個体追跡を不可能とし、 かつ識別番号更新の権限を有する個体識 別装置 1 1 0のみが、 個体識別タグ 1 0 0の識別番号を更新することができる。

(第 2実施例）

次に、 本宪明の第 2実施例について説明する。

第 2実施例では、 前述した第 1実施例の個体識別装置 1 1 0力 個体識別装置 1 0 1 0と識別番号基本属性情報管理装置 1 0 2 0とに分割して構成されている 点が異なる。 なお、 前述した第 1実施例と同じ構成は同じ符号を付し、 その詳細 な説明は省略する。 " 前述した第 1実施例では、 個体識別装置 1 1 0は、 各個体識別番号について、 識別番号の状態 （ "有効" 又は "無効" ） と、 識別番号に関係付けられた業務関 連属性値 （第 2図に示す例では、 "時計" などの商品種別） の 2種類の属性情報 を管理している。 これに対して、 第 2実施例では、 個体識別装置 1 0 1 0は、 識 別番号と識別番号に関係付けられた業務関連属性値を管理している。 一方、 識別 番号基本属性情報管理装置 1 0 2 0は、 識別番号とその状態を管理している。 第 1 2図は、 第 2実施例の個体識別システムの機能ブロック図である。

第 2実施例の個体識別システムは個体識別タグ 1 0 0、 個体識別装置 1 0 1 0 及び識別番号基本属性情報管理装置 1 0 2 0から構成される。

個体識別タグ 1 0 0は、 前述した第 1実施例と周一の構成を有するため、 その 詳細な説明は省略する。

個体識別装置 1 0 1 0と識別番号基本属性情報管理装置 1 0 2 0とは、 互いに 相手を正当であることを認証するために、 相互認証手段 1 0 0 1及ぴ 1 0 0 2を 用いる。 この相互認証手段 1 0 0 1、 1 0 0 2によって、 個体識別装置 1 0 1 0 は、 識別番号の状態を問い合わせ先である識別番号基本属性情報管理装置 1 0 2 0が識別番号の状態を管理する正当な装置であることを認証する。 逆に、 識別番 号基本属性情報管理装置 1 0 2 0は、 識別番号の状態を問い合わせ元である個体 識別装置 1 0 1 0が識別番号の読み出し権限を有する正当な装置であることを認 証する。 そして相互認証の成立後は、 2つの装置 1 0 1 0、 1 0 2 0は、 セキュ ァチャネルを設定することにより、 互いに第三者に対して秘匿化したメッセージ データを交換し、 交換されるメッセージデータの完全性を確保することができる 識別番号業務属性情報管理手段 1 0 1 1は、 識別番号と該識別番号に関連付け られた業務属性情報 （例えば、 商品名称や価格など） とを関連付けて管理する。 また、 識別番号業務属性情報検索手段 1 0 1 4の要求に応じて、 識別番号に対応 する業務属性情報を出力する。

識別番号読出要求手段 1 1 2は、 データパス 1 2 0を介して、 個体識別タグ 1 0 0に識別番号読出コマンドを送信する。 また識別番号読出要求手段 1 1 2は、 データパス 1 2 1を介して、 個体識別タグ 1 0 0が応答として返す識別番号を受 信し、 受信した識別番号を識別番号基本属性情報照会手段 1 0 1 2に送付する。 識別番号基本属性情報照会手段 1 0 1 2は、 データパス 1 0◦ 3を介して、 識 別番号基本属性情報管理装置 1 0 2 0に、 前記個体識別タグ 1 0 0から読み出し た識別番号を送信し、 この識別番号の有効性を問い合わせる。 問い合わせを受け た識別番号基本属性情報検索手段 1 0 2 2は、 識別番号基本属性情報管理手段 1 0 2 1を参照して、 送付された識別番号の状態 （ "有効" 又は "無効" ） を得る 。 識別番号の状態はデータパス 1 0 0 3を介して個体識別装置 1 0 1 0に照会結 果として返送される。

個体識別装置 1 0 1 0と識別番号基本属性情報管理装置 1 0 2 0との間の通信 に用いられるデータパス 1 0 0 3等は、 識別番号基本属性情報管理装置 1 0 2 0 と間に設定されたセキュアチャネルを用いる。

識別番号基本属性情報照会手段 1 0 1 2が、 照会結果によって識別番号の有効 性を確認すると、 識別番号業務属性情報検索手段 1 0 1 3は、 識別番号業務属性 情報管理手段 1 0 1 1に対して、 当該識別番号の業務属性情報の検索を要求する 。 そして、 検索の結果、 取得した属性情報は、 業務処理手段 （図示省略） に送付 されて、 商品追跡などの種々の業務が行われる。

次に、 第 2実施例に特有の個体識別タグの識別番号の更新について説明する。 外部認証用識別番号生成手段 1 1 4は、 識別番号基本属性情報検索手段 1 Ό 2 2が受信した個体識別タグ 1 0 0の識別番号が入力されると、 外部認証用識別番 号を生成し、 生成した外部認証用識別番号を外部認証用識別番号登録手段 1 1 5 に送付する。 外部認証用識別番号登録手段 1 1 5は、 該送付された外部認証用識 別番号を識別番号基本属性情報管理手段 1 0 2 1に登録する。 さらに、 外部認証 用識別番号生成手段 1 1 4は、 データパス 1 0 0 4を介して、 生成した外部認証 用識別番号を個体識別装置 1◦ 1 0内の外部認証要求手段 1 1 6に送付する。 外部認証要求手段 1 1 6は、 データパス 1 2 2を介して、 個体識別タグ 1 0 0 に外部認証コマンドを送信する。 そして、 個体識別タグ 1 0 0力 データパス 1 2 3を介して、 応答として返す外部認証結果を受信する。 外部認証結果が "認証 成功" であれば、 データパス 1 0 0 5を介して、 識別番号基本属性情報管理装置 1 0 2 0内の更新用次識別番号生成手段 1 1 7に対して 更新用次識別番号の生 成を要求する。

更新用次識別番号生成手段 1 1 7は、 該生成要求に含まれる外部認証用識別番 号が入力されると、 更新用次識別番号生成要求に応じて、 所定の演算処理を行い 、 更新用次識別番号を生成して出力する。 該生成された更新用次識別番号は、 識 別番号基本属性情報更新手段 1 0 2 6に送付される。 識別番号基本属性情報更新手段 1026は、 更新用次識別番号生成手段 117 によつて生成された更新用次識別番号を取得すると、 識別番号基本属性情報管理 手段 1021に送付し、 識別番号及びその状態の更新を要求する。

さらに、 該生成された更新用次識別番号は、 データパス 1005を介して、 外 部認証要求手段 116に送付され、 識別番号業務属性情報更新手段 1014に送 付される。

識別脊号業務属性情報更新手段 1014は、 外部認証要求手段 116を経由し て取得した更新用次識別番号を、 識別番号業務属性情報管理手段 1011に送付 し、 識別番号の更新を要求する。

第 13図及ぴ第 14図は、 第 2実施例の個体識別システムの処理の説明図であ る。 本図では、 時間軸を縦方向に設定し、 処理の内容と格納されるデータの変化 を示す。 また、 第 13図と第 14図では、 2つの個体識別装置 A1010と個体 識別装置 B 1120とが、 A→B→Aの順で識別番号を更新する例を説明する。 まず、 個体識別装置 A 1010力 第 1回目に個体識別タグ 100の識別番号 を読み出す過程について説明する。

個体識別装置 A 1010は、 識別番号読出要求コマンドを、 データパス 120 を介して、 個体識別タグ 100に送信する （ステップ 1111) 。 個体識別タグ 100は、 識別番号読出コマンドを受信すると、 識別番号管理手段 101から識 別番号 "5" (201) を読み出し、 データパス 121を介して、 個体識別装置 A1010に応答として送信する。

当該応答を受信した個体識別装置 A 1010は、 データパス 1148を介して 、 {5、 A} を送信して、 識別番号基本属性情報管理装置 1020に対して、 識 別番号 "5" の有効性の検証を要求する （ステップ 1112) 。 データパス 11 48を介して送信される {5、 A} は、 {個体識別番号、 有効性検証要求者 } で あり、 「個体識別装置 Aが、 識別番号 "5" の有効性検証を要求した」 ことを意 味している。

識別番号基本属性情報管理装置 1020は、 識別番号基本属性情報管理手段 1 021を参照して、 識別番号 "5" の状態 "有効" を読み出す （ステップ 113

1) 次に、 識別番号基本属性情報管理装置 1020は、 識別番号基本属性情報管理 手段 1021の識別番号 "5" のレコードについて、 当該識別番号を検証した装 置である個体識別装置 Aを検証者欄に登録し、 かつ、 その識別番号を "無効" 状 態にする。 さらに、 識別番号基本属性情報管理装置 1020は、 識別番号 "5" を用いて外部認証用識別番号 "9" を生成し、 当該番号を "有効" 状態とし、 か つ当該番号の検証者を倔体識別装置 Aとして、 識別番号基本属性情報管理手段 1 021に登録する （ステップ 1132) 。

その後、 識別番号基本属性情報管理装置 1◦ 20は、 有効性検証要求 1148 への応答として、 検証結果 {5、 A、 一、 9、 有効 } を、 データパス 1149を 介して個体識別装置 A 1010に送信する。 データパス 1149を介して送信さ れる { 5、 A、 一、 9、 有効 } は、 {個体識別番号、 有効性検証要求者、 前回の 有効性検証要求時の識別番号、 外部認証用個体識別番号、 個体識別装置の状態 （ "有効" または "無効" ） } である。 これは 「個体識別装置 Aが有効性検証を要 求した識別番号 "5" は、 "有効" であり、 その外部認証用個体識別番号は "9 " であり、 さらに識別番号 "5" に関して、 個体識別装置 A 1010が本有効性 検証要求以前に有効性検証を要求したことはない」 ことを意味している。

次のステップで、 個体識別装置 A 1010は、 前回検証時の識別番号が存在し ないので、 今回問合せ時の識別番号 "5" をキーとして用いて、 識別番号業務属 性情報管理手段 11 14で属性値を検索する （ステップ 1113) 。 検索結果と して得られた識別番号 "5" に対応する属性値 "時計" は、 図示ざれない業務プ ログラムによって利用される。

さらに、 個体識別装置 A 1010は、 個体識別タグ 100の識別番号を更新す ベく、 データパス 122を介して、 外部認証要求コマンド {9} を送信する （ス テツプ 1115) 。

個体識別装置 110の処理と並行して、 個体識別タグ 100でも同様に、 外部 認証用識別番号生成手段 103が、 識別番号 "5" (201) を用いて、 外部認 証用識別番号 "9" (203) を生成している。 外部認証手段 104は、 この二 つの外部認証用識別番号の比較し、 両者が一致している力否かを検証する。 すな わち第 13図に示す場合に、 両者は "9" であり一致するので、 個体識別タグ 1 00は個体識別装置 A 1 0 1 0を正当な識別番号読出システムとして認証し、 デ ータパス 1 23を介して、 認証結果として {認証成功 } を応答する。

個体識別タグ 1 00は、 認証結果を送信した後、 外部認証用識別番号 "9" ( 20 3) を用いて、 更新用次識別番号 "6" を生成し、 生成した当該識別番号 " 6" で識別番号を更新し、 新たな識別番号として、 識別番号管理手段 1 0 1に格 鈉する （ステップ 1 1 04) 。

個体識別装置 A 1 0 1 0は、 認証結果を受信すると、 データパス 1 1 50を介 して、 識別番号基本属性情報管理装置 1 0 20に対して、 認証成功 {5、 A、 9 、 認証成功） を通知する （ステップ 1 1 1 6) 。 データパス 1 1 50を介して送 信される { 5、 A、 9, 認証成功 } は、 {識別番号、 外部認証要求事業者、 外部 認証用識別番号、 外部認証結果 } であり、 「個体識別装置 Aが、 識別番号 "5" の個体識別タグに、 外部認証用識別番号 "9" で外部認証を要求し、 外部認証が 成功した」 ことを意味している。

識別番号基本属性情報管理装置 1 0 20は、 個体識別タグ 1 00から外部認証 結果が通知されると、 識別番号基本属性情報管理手段 1 0 2 1を参照し、 外部認 証用識別番号 "9" を用いて、 更新用次識別番号 "6" を生成し、 状態 = "有効 " として、 識別番号基本属性情報管理手段 1 02 1に登録する。 そして、 それ以 前の識別番号 "9"、の状態を "無効" とする （ステップ 1 1 33) 。

以上の処理によって、 個体識別タグ 1 00の識別番号が "5" から "6" に変 化し、 識別番号基本属性情報管理装置 1 020の最新の有効識別番号も " 5 "か ら "6" に変化している。 よって、 識別番号を読み出す権限を有する個体識別装 置が個体識別タグの識別番号を読み出した後で、 識別番号が所定の手続きにより 変更される。 そして、 この識別番号変更の手続き内容は、 個体識別タグと識別番 号基本属性情報管理装置以外には不明であり、 第三者には変更前の識別番号から 変更後の識別番号を予想することができないため、 第三者による識別番号追跡が 不可能になり、 プライバシ保護機能が実現できる。

その後、 識別番号基本属性情報管理装置 1 020は、 個体識別装置 A 1 0 1 0 に対して、 データパス 1 1 5 1を介して、 認証要求成功を確認した旨の {確認 O K} を通知する。 以上の処理によって、 個体識別装置 A 1010力 個体識別タグ 100の識別 番号 "5" を読み出し、 該識別番号を用いて所定の業務処理を実行し、 個体識別 タグ 10_ 0の識別番号が " 6 " に更新される。

なお、 識別番号基本属性情報管理手段 1021の内容を示す 1131、 113 2, 1133は全て同一の表に属するレコードであり、 時間的な推移に対する登 録情報の変化を示すために別表として表した。 また、 識別番号基本属性情報管理 手段 1021の内容をに格納される識別番号基本属性情報管理表 1131等は、 各レコードが識別番号、 状態、 検証者の三つの情報で構成されている。 これは、 個体識別タグが 1種類である場合に有効なものである。 しかし、 複数の個体識別 タグを管理する場合には、 複数の個体識別タグの識別番号列を同一の表で管理す るため、 レコード間の識別番号の変化をたどれるように、 各レコードを {識別番 号、 状態、 検証者、 一つ前の識別番号 } の四つの情報で構成する等が必要である 次に、 個体識别装置 B 1120が、 個体識別タグ 100の識別番号を読み出す 過程について説明する。

個体識別装置 B 1120は、 識別番号読出要求コマンドを、 データパス 114 4を介して、 個体識別タグ 100に送信する （ステップ 1121) 。 個体識別タ グ 100は、 識別番号読出コマンドを受信すると、 識別番号管理手段 101から 識別番号 "6" (1105) を読み出し、 データパス 1145を介して、 個体識 別装置 A 1120に応答として送信する。

識別番号を受信した個体識別装置 B 1120は、 データパス 1152を介して 、 {6、 B} を送信して、 識別番号基本属性情報管理装置 1020に対して、 識 別番号 "₆" の有効性の検証を要求する （ステップ 1122) 。 データパス 1 i 52を介して送信される {6、 B} は、 {個体識別番号、 有効性検証要求者 } で あり、 「個体識別装置 Bが、 識別番号 "6" の有効性検証を要求した」 ことを意 味している。

識別番号基本属性情報管理装置 1020は、 識別番号基本属性情報管理手段 1 021を参照して、 識別番号 "6" の状態 "有効" を読み出す （ステップ 11.3 4) 。 このとき、 識別番号基本属性情報管理装置 1020は、 前の過程で更新さ れた識別番号 "6" の "有効" 状態を検索結果として返信しており、 他の個体識 別装置との間の認証によつて識別番号が更新されているにもかかわらず、 矛盾な く識別することができる。

次に、 識別番号基本属性情報管理装置 1 0 20は、 識別番号基本属性情報管理 手段 1 0 2 1の識別番号 "6" のレコードについて、 当該識別番号を検証した装 置である個体識別装置 Aを検証者欄に登録し、 かつ、 その識別番号を "無効" 状 態とする。 さらに、 識別番号基本属性情報管理装置 1 0 20は、 識別番号 "6" を用いて外部認証用識別番号 "3" を生成し、 当該番号を "有効" 状態とし、 か つ当該番号の検証者を個体識別装置 Bとして、 識別番号基本属性情報管理手段 1 02 1に登録する （ステップ 1 1 35) 。

その後、 識別番号基本属性情報管理装置 1 0 20は、 有効性検証要求 1 1 5 2 への応答として、 検証結果 { 6、 B、 一、 3、 有効 } を、 データパス 1 1 53を 介して個体識別装置 A 10 1 0に送信する。 データパス 1 1 53を介して送信さ れる {6、 B、 —、 3、 有効 } は、 {個体識別番号、 有効性検証要求者、 前回の 有効性検証要求時の識別番号、 外部認証用個体識別番号、 個体識別装置の状態 （ "有効" または "無効" ) } である。 これは 「個体識別装置 Bが有効性検証を要 求した識別番号 "6" は、 "有効" であり、 その外部認証用個体識別番号は "3 " であり、 さらに識別番号 "6" に関して、 個体識別装置 B 1 1 20が本有効性 検証要求以前に有効性検証を要求したことはない」 ことを意味している。

この後、 個体識別装置 B 1 1 20が、 有効性が検証ざれた識別番号 "6" と、 識別番 4業務属性情報管理手段 1 0 1 1を用いて実行する業務処理の説明は省略 する。

さらに、 個体識別装置 B 1 1 20は、 個体識別タグ 1 00の識別番号を更新す ベく、 データパス 1 1 46を介して、 外部認証要求コマンド { 3 } を送信する ( ステップ 1 1 2 3) 。

個体識別装置 1 1 0の処理と並行して、 個体識別タグ 1 00でも同様に、.外部 認証用識別番号生成手段 1 0 3が、 識別番号 "6" (1 1 05) を用いて、 外部 認証用識別番号 "3" (1 1 06) を生成している。 外部認証手段 1 04は、 こ の二つの外部認証用識別番号を比較し、 両者が一致している力否かを検証する。 すなわち第 13図に示す場合には、 両者は "3" であり一致するので、 個体識別 タグ 100は個 別装置 B 1120を正当な識別番号読出システムとして認証 し、 データパス 1147を介して、 認証結果として {認証成功 } を応答する。 個体識別タグ 100は、 認証結果を送信した後、 外部認証用識別番号 "3" ( 1106).を用いて、 更新用次識別番号 "4" を生成し、 生成した当該識別番号 "4" で識別番号を更新し、 新たな識別番号として、 識別番号管理手段 101に 格納する （ステップ 1108) 。

個体識別装置 B 1120は、 認証結果を受信すると、 データパス 1154を介 して、 識別番号基本属性情報管理装置 1020に対して、 認証成功 {6、 B、 3 、 認証成功 } を通知する （ステップ 1124) 。 データパス 1154を介して送 信される {6、 B、 3、 認証成功 } は、 {識別番号、 外部認証要求事業者、 外部 認証用識別番号、 外部認証結果 } であり、 「個体識別装置 Bが、 識別番号 "6" の個体識別タグに、 外部認証用識別番号 "3" で外部認証を要求し、 外部認証が 成功した」 ことを意味している。

識別番号基本属性情報管理装置 1020は、 個体識別タグ 100から外部認証 結果が通知されると、 識別番号基本属性情報管理手段 1021を参照し、 外部認 証用識別番号 "3" を用いて、 更新用次識別番号 "4" を生成し、 状態- "有効 " として、 識別番号基本属性情報管理手段 1021に登録する。 そして、 それ以 前の識別番号 "3" の状態を "無効" とする （ステップ 1136) 。

そめ後、 識別番号基本属性情報管理装置 1020ほ、 個体識別装置 B 1120 に対して、 データパス 1155を介して、 認証要求成功を確認した旨の {確認 O K} を通知する。

以上の処理によって、 個体識別装置 B 1120力 S、 個体識別タグ 100の識別 番号 "6" を読み出し、 該識別番号を用いて所定の業務処理を実行し、 個体識別 タグ 100の識別番号が "4" に更新される。

次に、 個体識別装置 A 1010力 再び個体識別タグ 100の識別番号を読み 出す過程について、 第 14図を参照して説明する。

個体識別装置 A 1010は、 識別番号の読出要求コマンドを、 データパス 12 30を介して、 個体識別タグ 100に送信する （ステップ 1211) 。 個体識別 タグ 100は、 識別番号読出コマンドを受信すると、 識別番号管理手段 101か ら識別番号 " 4" (1201) を読み出し、 データパス 1231を介して、 個体 識別装置 A 1120に応答として送信する。

識別番号を受信した個体識別装置 A 1010は、 データパス 1234を介して 、 {4、 A} を送信して、 識別番号基本属性情報管理装置 1020に対して、 識 別番号 "4" の有効性の検証を要求する （ステップ 1212) 。 データパス 12 34を介して送信される {4、 A} は、 {個体識別番号、 有効性検証要求者 } で あり、 「個体識別装置 Aが、 識別番号 "4" の有効性検証を要求した」 ことを意 味している。

識別番号基本属性情報管理装置 1020は、 識別番号基本属性情報管理手段 1 021を参照して、 識別番号 "4" の状態 "有効" を読み出す （ステップ 121 1) 。 このとき、 織別番号基本属性情報管理装置 1020力 前の過程で更新さ れた識別番号 "4" の "有効" 状態を検索結果として返信しており、 他の個体識 別装置との間の認証によつて識別番号が更新されているにもかかわらず、 矛盾な く識別することができる。

次に、 識別番号基本属性情報管理装置 1020は、 識別番号基本属性情報管理 手段 1021の識別番号 "4" のレコードについて、 当該識別番号を検証した装 置である個体識別装置 Aを検証者欄に登録し、 かつ、 その識別番号を "無効" 状 態とする。 さらに、 識別番号基本属性情報管理装置 1020は、 識別番号 "4" を用いて外部認証用識別番号 "2" を生成し、 当該番号を "有効" 状態とし、 か つ当該番号の検証者を個体識別装置 Aとして、 識別番号基本属性情報管理手段 1 021に登録する （ステップ 1222) 。

'その後、 識別番号基本属性情報管 ¾装置 1020は、 有効性検証要求 1234 への応答として、 検証結果 {4、 A、 5、 2、 有効 } を、 データパス 1235を 介して個体識別装置 A 1010に送信する。 データパス 1235を介して送信さ れる {4、 A、 5、 2、 有効 } は、 {個体識別番号、 有効性検証要求者、 前回の 有効性検証要求時の識別番号、 外部認証用個体識別番号、 個体識別装置の状態 （

"有効" または "無効"） } である。 これは、 「個体識別装置 Aが有効性検証を 要求した識別番号 "4" は、 "有効" であり、 その外部認証用個体識別番号は " 2" である。 また個体識別装置 Bは、 識別番号 "4" に関して、 本有効性検証要 求以前に有効性検証を要求したことがあり、 その有効性検証要求時の識別番号は 5である」 ことを意味している。

個体識別装置 A 1010は、 有効性検証結果を受信すると、 受信した検証結果 を用いて、 前回の有効性検証時に用いた識別番号 "5" をキーにして、 識別番号 業務属性情報管理手段 1011を検索する。. そして検索結果として、 今回の実際 の個体識別タグから取得した識別番号の "4" に対応する、 前回の識別番号 "5 " と、 その識別番号 "5" に関連する業務属性情報 "時計" を取得する （ステツ プ 1214) 。

以上説明したように、 識別番号基本属性情報管理装置 1020が、 有効性検証 を希望する個体識別装置に対して、 前回の有効性検証時に用いられた識別番号を 返信することによって、 個体識別装置が、 前回の識別番号と現在個体識別タグが 保持している識別番号とを結びつけて業務属性情報を檢索することを可能として いる。

次に、 個体識別装置 A 1010は、 今回の有効性検証時に用いた識別番号 "4 " で、 前記ステップ 1213で検索した識別番号業務属性情報管理手段 101 1 のレコードの I D番号を更新する。 具体的には {識別番号、 業務属性値 } = {5 、 時計 } のレコードが、 {4、 時計 } に更新される。 このように、 個体識別装置 A1010は、 常に最新の識別番号で自身の識別番号業務属性情報管理手段 1◦ 1 1を管理することできる。

この後、 個体識別装置 A 1010力 有効性が検証された識別番号 "6" と、 検索結果として得た業務属性情報を用いて実行する業務処理の説明は省略する。 さらに、 個体識別装置 A 1010は、 個体識別タグ 100の識別番号を更薪す ベく、 データパス 1 232を介して、 外部認証要求コマンド {2} を送信する （ ステップ 1217) 。 ，

個体識別装置 110の処理と並行して、 個体識別タグ 100でも同様に、 外部 認証用識別番号生成手段 103が、 識別番号 "4" (1201) を用いて、 外部 認証用識別番号 "2" (1202) を生成している。 外部認証手段 104は、 こ の二つの外部認証用識別番号を比較し、 両者が一致しているカゝ否かを検証する。 すなわち第 14図に示す場合には、 両者は "2" であり一致するので、 個体識別 タグ 100は個体識別装置 A 1010を正当な識別番号読出システムとして認証 し、 データパス 1233を介して、 認証結果として {認証成功 } を応答する。 個体識別タグ 1.00は、 認証結果を送信した後、 外部認証用識別番号 " 2 " ( 1202) を用いて、 更新用次識別番号 "7" を生成し、 生成した当該識別番号 "7" で識別番号を更新し、 新たな識別番号として、 識別番号管理手段 101に 格納する （ステップ 1204) 。

個体識別装置 B 1120は、 認証結果を受信すると、 データパス 1236を介 し、 識別番号基本属性情報管理装置 1020に対して、 認証成功 {4、 A、 2、 認証成功 } を通知する （ステップ 1218) 。 データパス 1236を介して送信 される {4、 A、 2、 認証成功 } は、 {識別番号、 外部認証要求事業者、 外部認 証用識別番号、 外部認証結果 } であり、 「個体識別装置 Aが、 識別番号 " 4" の 個体識別タグに、 外部認証用識別番号 "2" で外部認証を要求し、 外部認証が成 功した」 ことを意味している。

識別番号基本属性情報管理 1020は、 個体識別タグ 100による外部認証結 果が通知されると、 識別番号基本属性情報管理手段 1021を参照し、 外部認証 用識別番号 "2" を用いて、 更新用次識別番号 "7" を生成し、 状態 = "有効" として、 識別番号基本属性情報管理手段 1021に登録する。 そして、 それ以前 の識別番号 "2" を "無効" とする （ステップ 1223) 。

その後、 識別番号基本属性情報管理装置 1020は、 個体識別装置 A 1010 に対して、 データパス 1237を介して、 認証要求成功を確認した旨の {確認 O K} を通知する。

以上の処理によって、 個体識別装置 A 1010力 2回目に読出処理を行い、 個体識別タグ 100の識別番号 "4" を読み出し、 該識別番号を用いて所定の業 務処理を実施し、 個体識別タグ 100の識別番号が "7" に更新される。

以上説明したように第 2実施例では、 業務で使用する属性情報と、 識別番号自 体の有効性に関する属性情報とを分離して管理することによって、 異なる業務を 実施する個体識別装置の間で個体識別タグを利用することが可能となる。 実際に 異なる業務を実施する個体識別装置 Aと Bが、 個体識別タグにランダムにァクセ スした場合にも、 識別番号を矛盾なく更新することができる。

また、 識別番号更新処理を識別番号基本属性情報管理装置として独立させ、 当 該装置は更新権限を有することを認証した個体識別装置に対してのみ識別番号を 更新するための外部認証用識別番号と更新用識別番号を提供するので、 識別番号 を読み出す権限のある事業者 （例えば、 個体識別装置 1 0 1 0を保持する事業者

) のみが識別番号を追跡可能とすることができる。 すなわち、 識別番号基本属性 情報管理装置 1 0 2 0力 個体識別番号を特定の手順で順次変化する数列として 変化させ最新かつ有効な識別番号を認証する処理を実行する。 識別番号基本属性 情報管理装置 1 0 2 0は識別番号を読み取る権利をもつ個体識別装置 1 0 1 0の みに対して、 最新かつ有効な識別番号を保障することによって、 第三者による個 体識別タグの追跡を不可能として、 プライバシを保護することができる。

(第 3実施例） '

次に、 本発明の第 3実施例について説明する。 なお、 前述した第 1又は第 2実 施例と同じ構成は同じ符号を付し、 その詳細な説明は省略する。

第 1 5図は、 第 3実施例の個体識別システムの詳細な構成図である。 第 3実施 例において、 前述した第 1実施例 （第 5図） と異なる構成は 2重線で示す。 まず、 第 3実施例における処理の概要を、 個体識別タグ 1 0 0の構成を中心に 説明する。

第 3実施例の個体識別タグ.1 0 0は、 外部からの識別番号読出要求に対して、 単純に応答し T識別番号を送信しない。 第 3実施例では、 読み出し用識別番号生 成処理部 1 3 2 7に、 乱数生成部 1 3 2 8が生成した乱数及ぴ識別番号 3 1 8が 入力されると、 暗号演算部 1 3 2 9が読出要求用暗号鍵 1 3 2 0を用いて暗号化 処理を行って、 暗号化された識別番号が生成され、 暗号化済み識別番号 1 3 2 1 に格納される。

そして、 個体識別タグ 1 0 0は、 個体識別装置 1 1 0からの識別番号読出要求 を受信すると、 暗号化済み識別番号 1 3 2 1に格納された暗号ィヒされた識別番号 、 及ぴ該暗号化に使用した乱数を応答として返信する。 外部の個体識別装置 1 1 0は、 識別処理部 1 3 0 1によって、 暗号ィ匕された識別番号 復号ィ匕して識別番 号を得る。 第 3実施例によれば、 識別番号が更新されない場合にも、 読出要求毎に異なる 値に暗号化された識別番号が応答として返信される。 また、 この暗号化された値 力 ら本当の識別番号を復号ィ匕できるのは、 読出要求用暗号鍵 1 3 2 0と同一の暗 号鍵を持つ個体識別装置 1 1 0に限られる。

第 1 6図は、 第 3実施例の読出要求受付時の個体識別タグの制御処理部の処理 のフローチヤ一トである。

個体識別タグ 1 0 0が読出要求コマンドを受信し、 制御処理部 1 3 1 3がケー ス 1 (第 8図のステップ 4 0 4参照） を選択して、 ケース 1の処理を開始すると

(ステップ 1 4 0 0 ) 、 制御処理プログラムは、 情報記憶部 3 1 2の識別番号 3 1 8を読み出して、 暗号演算部 1 3 2 9に入力する （ステップ 1 4 0 1 ) 。 次に、 制御処理プログラムは、 乱数生成部 1 3 2 8に対して乱数の生成を指示 するし、 生成された乱数を、 暗号演算部 1 3 2 9に入力する （ステップ 1 4 0 2

) o

次に、 制御処理プログラムは、 暗号演算部 1 3 2 9に対して、 入力された識別 番号と乱数の排他論理和を算出するように指示し （ステップ 1 4 0 3 ) 、 算出し た排他論理和を情報記憶部 3 1 2から読み出した読出要求用暗号鍵 1 3 2 0を用 いて暗号化し、 暗号ィヒ済み識別番号を算出するように指示する （ステップ 1 4 0 4 ) 。

さらに、 制御処理プログラムは、 暗号演算部 1 3 2 9に対して、 算出した喑号 化済み識別番号と乱数とを関連付けて、 暗号化済み識別番号 1 3 2 1に格納する ように指示する。

最後に、 制御処理プログラムは、 送受信処理部 3 1 1に対して、 暗号化済み識 別番号 1 3 2 1に格納された暗号化済み識別番号と乱数とを読出し、 読出しコマ ンドへの応答を作成し、 個体識別装置 1 1 0に送信するように指示し、 処理を終 了する （ステップ 1 4 0 7 ) 。

前述したように、 第 3実施例では、 個体識別タグ 1 0 0が、 読出要求毎に異な る値となり、 暗号化された識別番号と乱数との対を応答として返す。

第 1 7図は、 第 3実施例の読出要求受付時の個体識別処理のフローチャートで あり、 個体識別装置 1 1 0の識別処理部 3 0 1において実行される。 この第 3実施例の個体識別処理は、 第 1実施例の個体識別処理 （第 6図） と、 ステップ 1 5 0 1、 1 5 0 2が異なる力 他のステップの処理は同じなので、 そ れらの詳細な説明は省略する。

識別処理プログラムが起動すると （ステップ 1 5 0 0 ) 、 識別番号の読出要求 コマンドを送信する （ステップ 8 0 1 ) 。 個体識別タグ 1 0 0からの応答を受信 すると （ステップ 8 0 2 ) 、 コマンド応答から暗号化済み識別番号及び暗号ィ匕に 用いた乱数を抽出する （ステップ 1 5 0 1 ) 。

次に、 識別処理プログラムは、 抽出した喑号ィヒ済み識別番号を、 読出要求用暗 号鍵 1 3 0 1を用いて復号ィヒする。 そして、 復号化した値について、 前記コマン ド応答から抽出された乱数との排他論理和をとり、 暗号化前の個体.識別番号を得 る （ステップ 1 5 0 2 ) 。

このようにして、 個体識別装置 1 1 0は、 個体識別タグ 1 0 0と等しい読出要 求用暗号鍵を保持することで、 個体識別タグ 1 0 0が返信する暗号化された識別 番号から、 本当の識別番号を復号化することができる。

以上説明したように、 第 3実施例によれば、 第三者にとって識別番号の追跡を —層困難にすることができる。

すなわち、 第 1実施例では、 識別番号の読出 ·更新権限を持たない不当な個体 識別装置 （第 5図の識別処理部 3◦ 1を備えない個体識別装置） 力 個体識別タ グ 1 0 0に対して識別番号読出要求を送付したときでも、 個体識別タグ 1 0 0は 、 識別番号 （第 2図に示す例では、 識別番号 " 5 " ) 'を繰り返して応答する。 し かし、 第 3実施例によれば、 個体識別タグ 1 0 0は、 毎回異なる乱数を用いて秘 匿ィ匕された識別番号を送信するので、 第三者は識別番号を得ることができず、 識 別番号の追跡を一層困難とすることができる。

(第 4実施例）

次に、 本発明の第 4実施例について説明する。 なお、 前述した第 1乃至第 3実 施例と同じ構成は同じ符号を'付し、 その詳細な説明は省略する。

第 1 8図に、 第 4実施例の個体識別システムの詳細な構成図である。 第 3実施 例において、 前述した第 1実施例 （第 5図） と異なる構成は 2重線で示す。 まず、 第 3実施例における処理の概要を、 個体識別タグ 1 0 0の構成を中心に 説明する。

第 4実施例の個体識別タグ 1 0 0は、 外部認証コマンドを受信して処理を行い 、 認証が成功すると、 次に識別番号の書换コマンドを受信可能なモードに移行す る。 書換コマンドは、 コマンドのパラメータに書換用識別番号と書換用鍵派生用 暗号鍵を含む。 外部認証に成功した個体識別タグ 1 0 0は、 書き換えコマンドを 受信すると、 コマンドパラメータの情報を用いて、 個体識別タグ内部の識別番号

3 1 8と鐽派生用暗号鍵 3 1 7を書き換える。 これにより、 書き換え前と書き換 え後で、 識別番号の系列を異なるものとすることができ、 第三者が不正に個体識 別装置入手した場合にも、 個体識別タグの追跡を断ち切ることができる。

第 1 9図は、 第 4実施例の個体識別タグ 1 0 0の制御処理部 3 1 3の処理のフ チャートである。

個体識別タグ 1 0 0の制御処理部 1 6 1 3力 制御処理プログラムによる処理 を開始すると （ステップ 1 7 0 0 ) 、 まず、 第 1実施例 （第 8図） と同様に、 コ マンド受信の有無を監視し、 受信コマンドを処理する （ステップ4 0 1〜4 0 3

) ο

次に、.制御処理プログラムは、 最新コマンドが書換コマンドであり、 かつ直前 コマンドが認証コマンド以外であれば、 情報記憶部の外部認証結果を 「無効」 と する。

次に、 制御処理プログラムは、 情報記憶部 3 1 2の直前コマンド 3 1 6と最新 コマンド 3 1 5に格納された 2つのコマンドに基づいて、 予め定められたテープ ルを参照して処理区分を決定し、 各区分に対応する処理を実行する （ステップ 1 7 0 5 ) 。

次に、 ステップ 1 7 0 5の項番 4に示す、 読出コマンドの後に外部認証コマン ドを受信した場合に選択されるケース 3の処理 （第 2 0図） について説明する。 この第 4実施例のケース 3の処理は、 第 1実施例のケース 3の処理 （第 1 1図） と、 ステップ 1 8 0 1が異なるが、 他のステップの処理は同じなので、 それらの 詳細な説明は省略する。

第 4実施例のケース 3の処理では、 外部餺証に成功したときに、 ステップ 7 0 7の後、 情報記憶部 3 1 2の外部認証結果 1 6 2 0を、 「認証成功」 に更新する 処理のみである （ステップ 1801) 。 この外部認証結果 1620における 「認 証成功」 を保持することによって、 後続する書換コマンドが、 認証成功の直後に のみ受け付けることが可能となる。

次に、 第 19図のステップ 1 705で、 外部認証コマンドを処理した直後に、 書換コマンドを受信した場合に選択されるケース 4の処理 （第 21図） について 説明する。

外部認証コマンドを処理した直後に書換コマンドを受信し、 ケース 4の処理が 開始すると （ステップ 1901) 、 制御処理プログラムは、 情報記憶部 312の 外部認証結果 1620が 「認証成功」 カゝ 「認証失敗」 かを判定する （ステップ 1 902) 。 その結果、 外部認証結果 1620力 S 「認証成功」 でなければ、 書換コ マンドを実行できないので、 書き換え処理失敗に対するエラー処理を実行して （ ステップ 1909) 、 本ケース 4の処理を終了する （ステップ 1910) 。

一方、 外部認証結果 1620が 「認証成功」 であれば、 制御処理プログラムは 書換コマンドの実行に進む。 まず、 本制御処理プログラムは、 情報記憶部 31 2 の最新コマンド 315に格納された書換要求コマンド内のパラメータである書換 用識別番号及ぴ書換用鍵派生用暗号键を読み出す （ステップ 1 903) 。

次に、 本制御処理プログラムは、 読み出した書換用識別番号で、 情報記憶部 3 12内の識別番号 318を書き換える （ステップ 1904) 。 第 1 8図に示す例 では、 識別番号 31 9が、 "5" から "1" に書き換えられる。 例えば第 1実施 ' 例に示す通常の鍵派生による更新では、 識別番号 "5" の次は "6" なので、 第 4実施例の書き換え機能によって、 識別番号の系列が全く異なるものとなったこ とがわかる。

次に、 制御処理プログラムは、 読み出した書換用鍵派生用暗号鍵で、 情報記憶 部 312内の鍵派生用暗号鍵 317を書き換える （ステップ 1905) 。 そして 情報記憶部の外部認証結果を 「無効」 にする （ステップ 1906) 。

最後に、 制御処理プログラムは、 受信コマンドを適正に処理して識別番号と鍵 派生用暗号鍵を書換えた旨を、 書換え要求コマンドへの応答として送信するよう に、 送受信処理部 31 1に対して指示して （ステップ 1907) 、 処理を終了す る （ステップ 1908) 。 以上説明したように、 第 4実施例では、 書換要求コマンドによって、 個体識別 タグ 1 0 0内の識別番号 3 1 8と、 鍵派生用暗号鍵 3 1 7を書き換えることで、 鐽派生により順次更新されていく識別番号の系列を、 異なる数字の系列へ更新す ることができ、 個体識別装置による追跡を断ち切ることができる。

すなわち、 第 1実施例では、 識別番号の正当な読出 ·更新権限を有する個体識 別装置 1 1 0が、 個体識別タグ 1 0 0にアクセスすると、 個体識別タグ 1 0 0の 識別番号 3 1 8が所定の手続きに従い更新される。 このため、 個体識別装置 1 1 0以外の第三者が個体識別タグ 1 0 0を追跡することは困難となった。 しかし、 個体識別装置 1 1 0について考えると、 個体識別装置 1 1 0は、 個体識別タグ 1 0 0の識別番号 3 1 8の一つを保持している。 また、 鍵派生用喑号鍵も保持して いる。 このため、 この個体識別タグ 1 0 0を将来にわたって追跡することができ る。 個体識別タグ 1 0 0が、 何らかの商品に添付されて、 流通業者が流通管理の 目的で追跡している場合に、 この商品が消費者に購入された後、 消費者が流通業 者による追跡を断ち切ることを希望して、 識別番号を何度更新しても、 流通業者 は識別番号の系列に基づいて、 個体識別タグ 1 0 0を追跡できる。

し力 し、 第 4実施例では、 個体識別タグ 1 0 0内の識別番号 3 1 8と鍵派生用 喑号鍵 3 1 7を更新するので、 D E S暗号の鐽派生の系列を異なる系列にするこ とができ、 個体識別装置による追跡を断ち切ることができる。 産業上の利用の可能性

本発明は商品管理タグ、 乗車券等に用いられる無線タグや、 接触式 I Cカード 等の個体識別素子を用いた個体識別装置に利用することができる。

また、 第 2実施例に係る発明は、 識別番号基本属性情報管理 置 1 0 2 0を設 置して個体識別タグ関する情報を集中的に管理して、 複数の個体識別装置 1 0 1 0によって個体識別タグ 1 0 0を認識させる場合に適用することができる。 さら に、 第 2実施例に係る発明は、 識別番号基本属性情報管理装置 1 0 2 0を設置し て個体識別タグに関する情報を集中的に管理して、 個体識別タグ 1 0 0と個体識 別装置 1 0 1 0とを用いて商品管理等をする者に対して個体識別タグ関する情報 を提供するサービスのビジネスモデルに適用することができる。

Claims

請求の範囲

1 . 識別番号を保持する個体識別タグと、 前記個体識別タグから前記識別番号を 取得する個体識別装置とからなる個体識別システムであって、

前記個体識別タグは、

前記個体識別装置からの識別番号の読出命令の応答として、 保持された識別番 号を読み出して送信する識別番号読出部と、 ·

予め定められた方法によつて前記識別番号を更新する第 1識別番号更新部と、 を有し；

前記個体識別装置は、

前記個体識別タグに保持される識別番号と、 該個体識別タグが付着された個体 の属性値とを関違付けて管理する識別番号属性情報と、 .

前記個体識別タグに対して識別番号の読出命令を送信し、 該読出命令の応答と して前記個体識別タグから前記識別番号を取得する識別番号読出要求部と、 前記識別番号属性管理情報を検索して、 前記取得した識別番号に関連付けられ た属性値を取得する識別番号属性情報検索部と、

前記第 1識別番号生成部と共通の方法によつて前記識別番号を更新する第 2識 別番号更新部と、 を有する個体識別システム。

2 . 請求項 1に記載の個体識別システムであって、

前記個体識別タグは、 前記識別番号読出部によって前記読出命令の応答として 前記識別番号を送信した後、 前記第 1識別番号更新部によつて前記識別番号を更 新し、

前記個体識別装置は、 前記識別番号読出要求部によつて前記個体識別タグから 前記識別番号を取得した後、 前記第 2識別番号更新部によつて前記識別番号を更 新する個体識別システム。

3 . 請求項 1に記載の個体識別システムであって、

前記個体識別タグは、 前記識別番号読出部によって前記読出命令の応答として 前記識別番号を送信した後、 前記第 1識別番号更新部によつて前記識別番号を更 新し、

前記個体識別装置は、 前記識別番号読出要求部によって前記個体識別タグから 前記識別番号を取得した後、 前記第 2識別番号更新部によつて前記識別番号を更 新すると共に、 前記個体識別タグから取得した識別番号を無効化する個体識別シ ステム。

4 . 請求項 1に記載の個体識別システムであって、

前記第 1識別番号更新部は、 前記個体識別タグに保持される識別番号、 '及び、 前記個体識別タグと前記個体識別装置とが共有する秘密情報とを用いて、 新たな 更新用識別番号を算出し、

前記第 2識別番号更新部は、 前記個体識別装置に保持される識別番号、 及び、 前記個体識別タグと前記個体識別装置とが共有する秘密情報とを用いて、 新たな 更新用識別番号を算出する個体識別システム。

5 . 請求項 1に記載の個体識別システムであって、

前記個体識別タグは、 予め定められた方法によって認証用識別番号を生成する 第 1識別番号生成部と、 前記個体識別装置から送信された認証用識別番号と前記 第 1識別番号生成部によつて生成された認証用識別番号とを比較し認証結果を出 力する認証部と、 を有し；

前記個体識別装置は、 前記第 1 '識別番号生成部と共通め方法によって認証用識 別番号を生成する第 2識別番号生成部と、 前記認証用識別番号を送信する認証要 求部と、 を有し、 前記識別番号属性情報には前記識別番号の有効性が管理されて おり ；

前記識別番号属性情報検索部は、 前記識別番号属性情報を参照し、 前記個体識 別タグから取得した識別番号の有効性を検証し；

前記第 2識別番号生成部は、 前記取得した識別番号が有効であれば、 当該識別 情報を用いて認証用識別番号を生成し、

前記認証要求部は、 前記第 2識別番号生成部によって生成された認証用識別番 号を当該個体識別タグに送信し； 前記第 2識別番号更新部は、 前記認証部による認証が成功した旨の通知を受け ると、 前記認証用識別番号を用いて識別番号を生成し、 前記個体識別タグから取 得した識別番号を無効化すると共に、 前記生成した識別番号を有効化する個体識 別システム。

6 . 請求項 1に記載の個体識別システムであって、

前記個体識別タグは、 予め定められた方法によつて認証用識別番号を生成する 第 1識別番号生成部と、 二つの識別番号を比較して認証結果を出力する認証部と 、 を有し；

前記個体識別装置は、 前記第 1識別番号生成部と共通の方法によつて認証用識 別番号を生成する第 2識別番号生成部と、 前記認証用識別番号を送信する認証要 求部と、 を有し；

前記第 1識別番号生成部は、 前記保持された識別番号を用いて認証用識別番号 を生成し；

前記認証部は、 前記個体識別装置から送信された認証用識別番号と、 前記第 1 識別番号生成部によって生成された認証用識別番号とを比較し、 二つの認証用識 別番号が一致すると、 認証が成功した旨を前記個体識別装置に送信し；

前記第 1識別番号更新部は、 前記認証部によつて認証成功と判定されると、 前 記認証用識別番号を用いて更新用識別番号を算出する個体識別システム。

7 . 識別番号を保持し、 個体識別装置からの要求に基づいて前記識別番号を出力 する個体識別タグであって、

前記個体識別装置からの識別番号の読出命令の応答として、 保持された識別番 号を読み出して送信する識別番号読出部と、

前記個体識別装置に備わる第 2識別番号更新部と共通の方法によつて前記識別 番号を更新する第 1識別番号更新部を有し、

前記識別番号読出部は、 前記読出命令の応答として識別番号を送信し、 その後、 前記第 1識別番号更新部は、 前記識別番号を更新する個体識別タグ。

8 . 請求項 7に記載の個体識別タグであって、

前記第 1識別番号生成部は、 前記個体識別タグに保持される識別番号 及び、 前記個体識別タグと前記個体識別装置とが共有する秘密情報とを用いて、 新たな 更新用識別番号を算出する個体識別タグ。

9 . 請求項 7に記載の個体識別タグであって、

予め定められた方法によつて認証用識別番号を生成する第 1識別番号^成部と 二つの識別番号を比較して認証結果を出力する認証部と、 を有し、

前記第 1識別番号生成部は、 前記保持された識別番号を用いて認証用識別番号 を生成し、

前記認証部は、 前記個体識別装置から送信された認証用識別番号と、 前記第 1 識別番号生成部によつて生成された認証用識別番号とを比較し、 二つの認証用識 別番号が一致すると認証成功と判定し、 認証が成功した旨を前記個体識別装置に 送信し、 - 前記第 1識別番号更新部は、 前記認証部によって認証成功と判定されると、 前 記認証用識別番号を用いて更新用識別番号を算出する個体識別タグ。

1 0 . 識別番号を保持する個体識別タグから前記識別番号を取得する個体識別装 置であって、

前記個体識別タグに保持される識別番号と、 該個体識別タグが付着された個体 の属性値とを関連付けて管理する識別番号属性情報と、

前記個体識別タグに対して識別番号の読出命令を送信し、 該読出命令の応答と して前記個体識別タグから前記識別番号を取得する識別番号読出要求部と、 前記識別番号属性管理情報を検索して、 前記取得した識別番号に関連付けられ た属性値を取得する識別番号属性情報検索部と、 ，

前記個体識別タグに備わる第 1識別番号更新部と共通の方法によつて前記識別 番号を更新する第 2識別番号更新部と、 を有する個 別装置。

1 1 . 請求項 1 0に記載の個体識別装置であって、

前記識別番号読出要求部は、 前記個体識別タグから識別番号を取得し、 その後、 前記第 2識別番号更新部は、 前記識別番号を更新する個体識別装置,

1 2 . 請求項 1 0に記載の個体識別装置であって、

前記識別番号読出要求部は、 前記個体識別タグから識別番号を取得し、 その後、 前記第 2識別番号更新部は、 前記識別番号を更新すると共に、 前記個 体識別タグから取得した識別番号を無効化する個体識別装置。

1 3 . 請求項 1 0に記載の個体識別装置であって、

前記第 2識別番号更新部は、 前記個体識別装置に保持される識別番号、 及ぴ、 前記個体識別タグと前記個体識別装置とが共有する秘密情報とを用いて、 新たな 更新用識別番号を算出する個体識別装置。

1 4 . 請求項 1 0に記載の個体識別装置であって、

前記個体識別タグに備わる第 1識別番号生成部と共通の方法によつて認証用識 別番号を生成する第 2識別番号生成部と、

前記認証用識別番号を送信する認証要求部と、 を有し、

前記識別番号属性情報には前記識別番号の有効性が管理されており、

' 前記識別番号属性情報検索部は、 前記識別番号属性情報を参照し、 前記個体識 別タグから取得した識別番号の有効性を検証し、

前記第 2識別番号生成部は、 前記取得した識別番号が有効であれば、 当該識別 • 情報を用いて認証用識別番号を生成し、

前記認証要求部は、 前記第 2識別番号生成部によつて生成された認証用識別番 号を、 当該個体識別タグに送信し、

前記第 2識別番号更新部は、 前記認証部による認証が成功した旨の通知を受け ると、 前記認証用識別番号を用いて識別番号を生成し、 前記個体識別タグから取 得した識別番号を無効化すると共に、 前記生成した識別番号を有効ィ匕する個体識 別装置。

1 5 . 識別番号を保持する個体識別タグと、 前記個体識別タグから前記識別番号 を取得する個体識別装置とからなる個体識別システムにおける個体識別方法であ つて、

前記個体識別装置は、 前記個体識別タグに対して識別番号の読出命令を送信し 前記個体識別タグは、 前記個体識別装置からの前記読出命令の応答として識別 番号を送信した後、 予め定められた方法によって前記識別番号を更新し、 前記個体識別装置は、 該応答によつて前記個体識別タグから前記識別番号を取 得した後、 前記予め定められた方法と同一の方法によって前記識別番号を更新す る個体識別方法。

1 6 . 請求項 1 5に記載の個体識別方法であって、

前記個体識別装置は、 前記個体識別タグから識別番号を取得した後、 前記予め 定められた方法と同一の方法によって前記識別番号を更新すると共に、 前記個体 識別タグから取得した識別番号を無効化する個体識別方法。

1 7 . 請求項 1 5に記載の個体識別方法であって、

前記個体識別タグは、 前記個体識別タグに保持される識別番号、 及び、 前記個 体識別タグと前記個体識別装置とが共有する秘密情報とを用いて、 新たな更新用 識別番号を算出し、

前記個体識別装置は、 前記個体識別装置に保持される識別番号、 及び、 前記個 体識別タグと前記個体識別装置とが共有する秘密情報とを用いて、 新たな更新用 識別番号を算出する個体識別方法。

1 8 . 請求項 1 5に記載の個体識別方法であって、

前記個体識別タグは、 前記個体識別タグに保持された識別番号を用いて、 認証 用識別番号を生成し、

前記個体識別装置は、 前記個体識別タグから取得した識別番号の有効性を検証 し、

前記個体識別装置は、 前記読み出した識別番号を用いて認証用識別番号を生成 し、 前記生成された認証用識別番号を当該個体識別タグに送信し、

前記個体識別タグは、 前記個体識別装置から送信された認証用識別番号と、 前 記個体識別タグにおいて生成された認証用識別番号とを比較し、 二つの認証用識 別番号が一致すると、 認証が成功した旨を前記個体識別装置に送信し、

前記個体識別装置は、 前記認証が成功した旨の通知を受けると、 前記認証用識 別番号を用いて識別番号を生成し、 前記個体識別タグから取得した識別番号を無 効化すると共に、 前記生成した識別番号を有効化し、

前記個体識別タグは、 前記認証成功と判定されると、 前記認証用識別番号を用 いて更新用識別番号を算出する個体識別方法。

1 9 . 識別番号を保持する個体識別タグと、 前記個体識別タグから前記識別番号 を取得する個体識別装置と、 前記個体識別タグに保持される識別番号及ぴ該識別 番号の状態を管理する管理装置と、 からなる個体識別システムであって； 前記個体識別タグは、

前記個体識別装置からの識別番号の読出命令の応答として、 保持された識別番 号を読み出して送信する識別番号読出部と、

予め定められた方法によつて前記識別番号を更新する第 1識別番号更新部と、 を有し；

前記個体識別装置は、

前記個体識別タグに保持される識別番号と、 該個体識別タグが付着された個体 の属性値とを関連付けて管理する識別番号属性情報と、

前記個体識別タグに対して識別番号の読出命令を送信し、 該読出命令の応答と して前記個体識別タグから前記識別番号を取得する識別番号読出要求部と、 前記識別番号属性管理情報を検索して、 前記取得した識別番号に関連付けられ た属性値を取得する識別番号属性情報検索部と、

前記取得した識別番号の有効性の検証を前記管理装置に要汆する識別番号基本 属性情報照会部と、 を有し； 前記管理装置は、

前記個体識別タグに保持される識別番号、 該識別番号の有効性情報、 及び、 該 識別番号の検証者の情報を関連付けて管理する識別番号基本属性情報と、 前記個体識別タグから取得した識別番号に基づく前記個体識別装置からの検証 要求に対して、 前記識別番号基本属性情報を検索して、 該識別番号の有効性情報 を取得する識別番号基本属性情報検索部と、

前記第 1識別番号生成部と共通の方法によつて前記識別番号を更新する第 2識 別番号更新部と、 を有する個体識別システム。

2 0 . 請求項 1 9に記載の個体識別システムであって、

前記個体識別タグは、 予め定められた方法によって認証用識別番号を生成する 第 1識別番号生成部と、 前記個体識別装置から送信された認証用識別番号と前記 第 1識別番号生成部によつて生成された認証用識別番号とを比較し認証結果を出 力する認証部と、 を有し、

前記個体識別装置は、 前記認証用識別番号を送信する認証要求部を有し、 前記管理装置は、 前記第 1識別番号生成部と共通の方法によつて認証用識別番 号を生成する第 2識別番号生成部を有し、

前記管理装置は、

前記識別番号基本属性情報検索部が、 前記個体識別装置が前記個体識別タグか ら取得した識別番号による前記個体識別装置からの検証要求に対して前記識別番 号基本属性情報を検索して、 該識別番号の有効性情報を取得し、 前記取得した有 効性情報が有効であれば、 前記識別番号基本属性情報に検証者を登録し、 前記第 2識別番号生成部は、 前記取得した有効性情報が有効であれば、 認証用 識別番号を生成し、 前記個体識別タグから取得した識別番号を無効化し、 前記生 成された認証用識別番号を前記個体識別装置に送信し、

前記第 2識別番号更新部は、 前記認証部によつて認証が成功した旨の通知を受 けると、 前記認証用識別番号を用いて識別番号を生成し、 前記生成した認証用識 別番号を無効化する個体識別システム。

2 1 . 請求項 1 9に記載の個体識別システムであって、

前記個体識別タグは、 予め定められた方法によって認証用識別番号を生成する 第 1識別番号生成部と、 前記個体識別装置から送信された認証用識別番号と前記 第 1識別番号生成部によって生成された認証用識別番号とを比較し認証結果を出 ,力する認証部と、 を有し、

前記個体識別装置は、 前記認証用識別番号を送信する認証要求部を有し、 前記管理装置は、 前記第 1識別番号生成部と共通の方法によつて認証用識別番 号を生成する第 2識別番号生成部を有し、

前記個体識別装置は、

前記識別番号基本属性情報照会部は、 前記個体識別タグから取得した識別番号 の有効性の検証を前記管理装置に要求し、 該識別番号が有効である旨の通知を受 けると、 前記識別番号属性情報を参照して該識別番号に関連して管理される属性 値を取得し、

前記認証要求部は、 前記第 2識別番号生成部によつて生成された認証用識別番 号を当該個体識別タグに送信し、 前記認証部によって認証が成功した旨の通知を 受けると前記管理装置にその旨を送信する個体識別システム。

2 2 . 識別番号を保持する個体識別タグから前記識別番号を取得する個体識別装 置に、 該識別番号の情報を提供する管理装置であって、

前記管理装置は、

前記個体識別タグに保持される識別番号、 該識別番号の有効性情報、 及び、 該 識別番号の検証者の情報を関連付けて管理する識別番号基本属性情報と、 前記個体識別タグから取得した識別番号による前記個体識別装置からの検証要 求に対して、 前記識別番号基本属性情報を検索して、 該識別番号の有効性情報を 取得する識別番号基本属性情報検索部と、

前記個体識別タグに備わる第 1識別番号更新部と共通の方法によつて前記識別 番号を更新する第 2識別蕃号更新部と、 を有する管理装置。

2 3 . 請求項 2 2に記載の管理装置であって、 前記個体識別タグに備わる第 1識別番号生成部と共通の方法によつて認証用識 別番号を生成する第 2識別番号生成部を有し、

前記識別番号基本属性情報検索部が、 前記個体識別装置が前記鉬体識別タグか ら取得した識別番号による前記個体識別装置からの検証要求に対して前記識別番 号基本属性情報を検索して、 該識別番号の有効性情報を取得し、 前記取得した有 効性情報が有効であれば、 前記識別番号基本属性情報に検証者を登録し、 前記第 2識別番号生成部は、 前記取得した有効性情報が有効であれば、 認証用 識別番号を生成し、 前記個体識別タグから取得した識別番号を無効化し、 前記生 成された認証用識別番号を当該個体識別装置に送信し、

前記第 2識別番号更新部は、 前記認証部によつて認証が成功した旨の通知を受 けると、 前記認証用識別番号を用いて識別番号を生成し、 前記生成した認証用識 別番号を無効化する管理装置。

2 4 . 識別番号を保持する個体識別タグから前記識別番号を取得し、 該識別番号 の情報を管理する管理装置から該情報の提供を受ける個体識別装置であって、 前記個体識別タグに保持される識別番号と、 該個体識別タグが付着された個体 の属性値とを関連付けて管理する識別番号属性情報と、

前記個体識別タグに対して識別番号の読出命令を送信し、 該読出命令の応答と して前記個体識別タグから識別番号を取得する識別番号読出要求部と、

該個体識別番号を用いて前記識別番号属性管理情報を検索して、 関連付けられ た属性値を取得する識別番号属性情報検索部と、

前記取得した識別番号の有効性の検証を前記管理装置に要求する識別番号基本 属性情報照会部と、 を有する個体識別装置。

2 5 . 請求項 2 4に記載の個体識別装置であって、

前記認証用識別番号を送信する認証要求部を有し、

前記識別番号基本属性情報照会部は、 前記個体識別タグから取得した識別番号 の有効性の検証を前記管理装置に要求し、 該識別番号が有効である旨の a知を受 けると、 前記識別番号属性情報を参照して該識別番号に関連して管理される属性 値を取得し、

前記認証要求部は、 前記第 2識別番号生成部によつて生成された認証用識別番 号を当該個体識別タグに送信し、 前記認証部によつて認証が成功した旨の通知を 受けると前記管理装置にその旨を送信する個体識別装置。

2 6 . 請求項 1に記載の個体識別システムであって、

前記個体識別タグは、 乱数を発生する乱数努生部を有し、

前記識別番号読出部は、 前記個体識別装置からの識別番号の読出命令の応答と して、 前記個体識別タグに保持された識別番号と前記乱数発生部が発生した乱数 とを用いて所定の演算をした結果を送信する個体識別システム。

2 7 . 請求項 1に記載の個体識別システムであって、

前記個体識別タグは、 予め定められた方法によって認証用識別番号を生成する 第 1識別番号生成部と、 二つの識別番号を比較して認証結果を出力する認証部と 、 を有し、

前記第 1識別番号更新部は、 前記個体識別タグに保持される識別番号、 及び、 前記個体識別タグと前記個体識別装置とが共有する秘密情報とを用いて、 新たな 更新用識別番号を算出し、

前記認証部が、 前記個体識別装置から送信された認証用識別番号と、 前記第 1 識別番号生成部によつ T生成された認証用識別番号とを比較し、 二つの認証用識 別番号が一致すると認証成功と判定し、 認証が成功した旨を前記個体識別装置に 送 1 し、

前記第 1識別番号更新部は、 前記認証部によって認証成功と判定されると、 外 部から入力された情報に基づいて、 前記固体識別タグに保持される識別番号及ぴ 前記個体識別タグと前記個体識別装置とが共有する秘密情報を書き換える個体識 別システム。