WO2005121976A1 - 情報管理装置及び情報管理方法 - Google Patents

Abstract

　メモリ領域上に電子的に格納されている価値情報のコピー若しくはバックアップを行ない、端末間での価値情報の移動を円滑に行なう。 　ＩＣカード内のデータから移動先の端末ＩＤを含めたアーカイブ・ファイルを作成し、所定の保管場所に保管し、価値情報を安全にバックアップする。また、アーカイブ・ファイルは、端末ＩＤで指定された機器でしか展開できないようにする。また、ＩＣカード内のファイルやディレクトリへのアクセスをカウンタで管理する仕組みを導入し、アーカイブ・ファイルを保管場所にアーカイブした後は元のファイルのカウンタ値を消滅させる。

Description

情報管理装置及び情報管理方法

技術分野

[0001] 本発明は、比較的大容量のメモリ領域に格納された情報へのアクセスを管理する 情報管理装置及び情報管理方法に係り、特に、メモリ領域上に電子的な価値情報を 格納して電子決済を始めとするセキュアな情報のやり取りを行なう情報管理装置及 び情報管理方法に関する。

[0002] さらに詳しくは、本発明は、メモリ領域上にさまざまなファイルを割り当てて、サービ ス運用のための情報を管理する情報管理装置及び情報管理方法に係り、特に、メモ リ領域上に電子的に格納されて 、る価値情報のコピー若しくはバックアップを行な!/ヽ 、端末間での価値情報の移動を円滑に行なう情報管理装置及び情報管理方法に関 する。

背景技術

[0003] ICカードに代表される非接触'近接通信システムは、操作上の手軽さから、広範に 普及している。 ICカードの一般的な使用方法は、利用者が ICカードをカード'リーダ

Zライタをかざすことによって行なわれる。カード'リーダ Zライタ側では常に icカード をポーリングしており外部の icカードを発見することにより、両者間の通信動作が開 始する。例えば、暗証コードやその他の個人認証情報、電子チケットなどの価値情報 などを ICカードに格納しておくことにより、キャッシュ 'ディスペンサゃコンサート会場 の出入口、駅の改札口などにおいて、入場者や乗車者の認証処理を行なうことがで きる。

[0004] 最近では、微細化技術の向上とも相俟って、比較的大容量のメモリを持つ ICカード が出現している。大容量メモリ付きの ICカードによれば、メモリ空間上にファイル 'シス テムを展開し、複数のアプリケーションを同時に格納しておくことにより、 1枚の ICカー ドを複数の用途に利用することができる。例えば、 1枚の ICカード上に、電子決済を 行なうための電子マネーや、特定のコンサート会場に入場するための電子チケットな ど、複数のアプリケーションを格納しておくことにより、 1枚の ICカードをさまざまな用 途に適用させることができる。ここで言う電子マネーや電子チケットは、利用者が提供 する資金に応じて発行される電子データを通じて決済 (電子決済）される仕組み、又 はこのような電子データ自体を指す。

[0005] また、 ICカードやカード用リーダ Zライタ (カード読み書き装置）が無線 '非接触イン ターフェースの他に、外部機器と接続するための有線インターフェースを備え、携帯 電舌機、 PDA (Personal Digital Assistance)や CE (Consumer Electronics) 機器、パーソナル 'コンピュータなどの各機器に内蔵して用いることにより，これらの機 器に icカード及びカード ·リーダ Zライタの 、ずれか一方又は双方の機能を装備す ることができる。このような場合、 ICカード技術を汎用性のある双方向の近接通信イン ターフェースとして利用することができる。

[0006] 例えば、コンピュータや情報家電機器のような機器同士で近接通信システムが構成 される場合には、 ICカードを利用した非接触通信は一対一で行なわれる。また、ある 機器が非接触 ICカードのような機器以外の相手デバイスと通信することも可能であり 、この場合においては、 1つの機器と複数のカードにおける一対多の通信を行なうァ プリケーシヨンも考えられる。

[0007] また、電子決済を始めとする外部との電子的な価値情報のやり取りなど、 ICカード を利用したさまざまなアプリケーションを、情報処理端末上で実行することができる。 例えば、情報処理端末上のキーボードやディスプレイなどのユーザ'インターフエ一 スを用いて ICカードに対するユーザ'インタラクションを情報処理端末上で行なうこと ができる。また、 ICカードが携帯電話機と接続されていることにより、 ICカード内に記 憶された内容を電話網経由でやり取りすることもできる。さらに、携帯電話機からイン ターネット接続して利用代金を ICカードで支払うことができる。

[0008] あるサービス提供元事業者用のファイル 'システムを ICカードの内蔵メモリに割り当 てて、このファイル ·システム内で当該事業者によるサービス運用のための情報 (例え ば、ユーザの識別'認証情報や残りの価値情報、使用履歴 (ログ)など）を管理するこ とにより、従来のプリペイド'カードや店舗毎のサービス 'カードに置き換わる、非接触 •近接通信を基調とした有用なサービスを実現することができる。

[0009] 従来、サービス提供元事業者毎に ICカードが個別に発行され、ユーザの利用に供 されていた。このため、ユーザは、利用したいサーヒス毎に ICカードを取り揃え、携帯 しなければならな力つた。これに対し、比較的大容量のメモリ空間を持つ ICカードに よれば、単一の ICカードの内蔵メモリに複数のサービスに関する情報を記録するだ けの十分な容量を確保することができる (例えば、非特許文献 1を参照のこと)。

[0010] ICカード内のメモリ領域は、初期状態では ICカード発行者がメモリ領域全体を管理 して 、るが、 ICカード発行者以外のサービス提供元事業者カ モリ領域力も新たなフ アイル'システムを分割し、それぞれのサービス運用を実現するためのアプリケーショ ンに割り当てる。ファイル 'システムの分割は、仮想的な ICカードの発行である。また、 メモリ領域の分割操作を繰り返すことにより、 ICカード内のメモリ領域は複数のフアイ ル'システムが共存する構造となり、 1枚の ICカードでマルチアプリケーションすなわ ち多種多様なアプリケーションを提供することができる。

[0011] ICカード若しくは ICチップ上には、電子マネーや電子チケットといったさまざまな価 値情報を安全に格納することができる。利用者の利便性を考慮すると、 ICカードに担 持されて!、るデータのバックアップをとることが必要となってくる。価値情報を格納した

ICチップを内蔵した携帯電話機を機種変更する場合や、 ICチップを搭載したカード や機器に障害が発生した場合などである。

[0012] ところが、 ICカード内のデータのコピー若しくはバックアップをとる際には、 2重化を 防止しなければならない。現金の移動であれば、財布から財布へ移動することはあつ ても、増えることはない。これに対し、電子マネーや電子チケットなどの価値情報は、 現金相当の価値を有するものの、その実体はデジタル.データなので、データ移動元 の ICカードとデータ移動先の ICカードの双方に元の価値情報が 2重化して存在して しまい、双方で価値情報が利用可能になる可能性がある。

[0013] また、 ICカード内のデータのコピー若しくはバックアップをとる際、正しい相手に移 動しなければならない。この際、 ICカードがマルチアプリケーション、すなわち複数の サービス提供元事業者の管理下にまたがつている場合には、手続が煩雑となる。

[0014] 例えば、携帯電話機の機種変更手続に併せて、 ICチップ内の価値情報を移動す ることも考えられる。し力しながら、移動途中における通信障害やマシン障害などによ る価値情報の消失や、価値情報の不法な複製や改竄が行なわれる可能性があり、 電話会社にとっては責任が過大である。

[0015] 一方、 ICチップ内の各価値情報の移動をそれぞれのサービス提供元事業者によつ て行なうという方法も考えられる。この方法は責任分離という観点力 は有効であるが 、ユーザは携帯端末の機種変更に伴い、複数の手続を取らなければならなくなる。

[0016] 非特許文献 1：「無線 ICタグのすべて ゴマ粒チップでビジネスが変わる」（106〜 10 7頁、 RFIDテクノロジ編集部、日経 BP社、 2004年 4月 20日発行）

発明の開示

発明が解決しょうとする課題

[0017] 本発明の主な目的は、メモリ領域上にさまざまなファイルを割り当てて、サービス運 用のための情報を管理することができる、優れた情報管理装置及び情報管理方法を 提供することにある。

[0018] 本発明のさらなる目的は、メモリ領域上に電子的に格納されている価値情報のコピ 一若しくはバックアップを行ない、端末間での価値情報の移動を円滑に行なうことが できる、優れた情報管理装置及び情報管理方法を提供することにある。

課題を解決するための手段

[0019] 本発明は、上記課題を参酌してなされたものであり、

無線又は有線伝送路を介してデータを送受信する通信部と、

前記通信部で送受信するデータを処理するデータ処理部と、

前記データ処理部により処理されたファイルを配置するメモリ空間と、

バックアップする 1以上のファイルについてのアーカイブ.ファイルを、該アーカイブ

'ファイルの展開先の識別情報を付して作成するアーカイブ 'ファイル作成手段と、 を具備することを特徴とする情報管理装置である。

[0020] ここで言う情報管理装置は、無線通信部及び、データ送受信機能とデータ処理部 を有する ICチップを内蔵する非接触 ICカード、表面に端子を有する接触 ICカード、 接触 Z非接触 ICカードと同様の機能を有する ICチップを携帯電話機、 PHS (Perso nal Handyphone System)、 PDA (Personal Digital Assistance)などの†青報通 信端末装置に内蔵した装置である。また、非接触 ICカード機能を搭載した ICチップ は、 RFアナログ 'フロントエンドとロジック回路（プロトコル制御、 RF変復調、コマンド 処理、暗号処理、メモリ管理)を 1チップで構成してもよいし、あるいはこれらを分離し た 2チップ以上の ICで構成するようにしてもよい。以下では、これらを総称して、単に「 ICカード、」と呼ぶことちある。

[0021] 本発明に係る情報管理装置は、 EEPROMなどのデータ蓄積メモリを含むメモリ領 域とデータ処理部を有するとともに、データ通信機能を有するものである。携帯電話 機などの場合は、 ICチップを内蔵する ICカードなどの外部記憶媒体を着脱可能に構 成してもよい。また、携帯電話会社が発行する契約者情報を記録した SIM (Subscri ber Identity Module)機能を ICチップに搭載してもよい。情報管理装置は、インタ 一ネットなどの情報通信ネットワークを介してデータ通信を行なってもよ 、し、外部端 末装置と有線又は無線で直接データ通信を行なってもよい。

[0022] 本発明は、 ICカードが持つ耐タンパ性と認証機能を利用した、価値情報のやり取り などを含んだセキュリティが要求されるサービスの提供に関するするものである。 IC力 ード内のメモリは、一般に、複数のエリアに分割され、エリア毎に異なる暗号鍵を設け てアクセスの制御が行なわれる。ここで言うエリアは、メモリ空間を分割して得られるフ アイル ·システム、若しくはファイル ·システム内のディレクトリや個別のファイルに相当 する。

[0023] ここで、利用者の利便性を考慮すると、 ICカードに担持されて 、るデータのバックァ ップをとることが必要となってくる力 特にマルチアプリケーション用途の ICカードでは 、その処理が煩雑になるという問題がある。

[0024] これに対し、本発明では、 ICカード内のデータ力も移動先の端末 IDを含めたァー 力イブ'ファイルを作成し、所定の保管場所に保管するので、価値情報を安全にバッ クアップすることができる。また、アーカイブ 'ファイルは、端末 IDで指定された機器で しか展開できな 、ようにする。

[0025] また、 ICカード内のファイルやディレクトリへのアクセスをカウンタで管理する仕組み を導入し、アーカイブ 'ファイルを保管場所にアーカイブした後は元のファイルのカウ ンタ値を消滅させてアクセスできな 、ようにすることで、ファイルの移動を実現すること ができる。

[0026] 本発明に係る情報管理装置は、同時にオープンすべきファイルを連携指定するフ アイル連携指定手段をさらに備え、アーカイブ 'ファイルを作成したファイルと、該ファ ィルへのアクセス管理情報を記述したアクセス管理情報ファイルとを前記ファイル連 携指定手段により連携指定する。そして、前記アクセス管理手段は、アーカイブ'ファ ィルを作成したファイルへのアクセスが行なわれた際に、アクセス管理情報ファイルを 同時にオープンし、アクセス管理情報に基づいてアクセス管理を行なうとともに、ァク セス管理情報の内容を更新するようにする。ここで、前記アクセス管理情報ファイル は、アクセス管理情報としてアーカイブ 'ファイルを作成したファイルへのカウンタ値を 記述しており、前記アクセス管理手段は、アクセス管理情報ファイルをオープンする 度にカウンタ値をデクリメントする。

発明の効果

[0027] 本発明によれば、メモリ領域上にさまざまなファイルを割り当てて、サービス運用の ための情報を管理することができる、優れた情報管理装置及び情報管理方法を提供 することができる。

[0028] また、本発明によれば、メモリ領域上に電子的に格納されて 、る価値情報のコピー 若しくはバックアップを行ない、端末間での価値情報の移動を円滑に行なうことがで きる、優れた情報管理装置及び情報管理方法を提供することができる。

[0029] 本発明のさらに他の目的、特徴や利点は、後述する本発明の実施形態や添付する 図面に基づくより詳細な説明によって明らかになるであろう。

図面の簡単な説明

[0030] [図 1]図 1は、本発明を適用可能な非接触 ICカード通信システムの構成を模式的に 示した図である。

[図 2]図 2は、 ICカードを用いて実現される、電子マネーや電子チケット、その他の価 値情報を運用するサービス提供システムの全体的構成を模式的に示した図である。

[図 3]図 3は、元のカード発行者が自らのファイル 'システムのみを管理しているメモリ 領域の状態を示した図である。

[図 4]図 4は、カード発行者が自らのファイル.システムの空き領域の内で、ある範囲の メモリを領域管理者に貸与 (又は譲渡)することが許可できることを示した図である。

[図 5]図 5は、他のサービス提供元事業者が、カード発行者カゝら許可された領域にお V、てメモリ領域を分割し、新たなファイル ·システムを生成した状態を示した図である。

[図 6]図 6は、共通領域管理者が、カード発行者カゝら許可された領域において、共通 領域のシステム 'コード SCOでメモリを分割した状態を示した図である。

[図 7]図 7は、 ICカードのメモリ領域内に複数のファイル ·システムが共存する構造を 示した図である。

[図 8]図 8は、ファイル ·システム内のデータ構造例を模式的に示した図である。

[図 9]図 9は、ファイル ·システムの基本構成を示した図である。

[図 10]図 10は、 ICカードのメモリ空間においてエリアが階層化されている様子を示し た図である。

[図 11]図 11は、 ICカード内のファームウェアの機能構成を模式的に示した図である。

[図 12]図 12は、 ICカード内のファイルやディレクトリをアーカイブするための仕組みを 示した図である。

[図 13]図 13は、ファイルの連携指定したファイル ·システム内の基本構成を模式的に 示し

[図 14]図 14は、ディレクトリ内のファイル、あるいはディレクトリとカウンタ ·ファイルを連 携させて!/ヽるファイル ·システム内の構成を模式的に示した図である。

[図 15]図 15は、本発明の一実施形態に係る ICカードのハードウェア構成を模式的に 示した図である。

[図 16]図 16は、ファイル ·システム内でファイルの連携関係を設定するための処理手 順を示したフローチャートである。

[図 17]図 17は、ファイル ·システム内でファイル連携関係が指定されたファイルに対し てアクセスするための処理手順を示したフローチャートである。

符号の説明

1…カード'リーダ Zライタ

2- ICカード

3…コントローラ

111· ··発行者用通信装置

112…運用者用通信装置 113·· -製造者用通信装置

114·· •記憶領域分割登録装置

115·· '運用ファイル登録装置

116·· •ICカード

117·· 'ネットワーク

121·· .カード発行者

122·· -カード記憶領域運用者

123·· •装置製造者

124·· -カード記憶領域使用者

1001· '··アンテナ部

1002· '··アナログ部

1003· '··ディジタル制御部

1004· …メモリ

1005· '··外部インターフェース

1006· …搬送波検出器

1100· '··携帯端末

1110· '··プログラム制御部

1120· …表示部

1130· '··ユーザ入力部

1140· …電源制御部

発明を実施するための最良の形態

[0032] 以下、図面を参照しながら本発明の実施形態について詳解する。

[0033] A. TCカー Wこよる非接触データ謝言システム

図 1には、本発明を適用可能な非接触 ICカード通信システムの構成を模式的に示 している。

[0034] この非接触カードシステムは、カード'リーダ Zライタ 1と、 ICカード 2と、コントローラ 3で構成され、カード'リーダ Zライタ 1と ICカード 2との間では、電磁波を利用して非 接触で、データの送受信が行なわれる。すなわち、カード'リーダ Zライタ 1が ICカー ド 2に所定のコマンドを送信し、 ICカード 2は受信したコマンドに対応する処理を行な う。そして、 ICカード 2は、その処理結果に対応する応答データをカード'リーダ Zライ タ 1に送信する。

[0035] カード'リーダ Zライタ 1は、所定のインターフェース（例えば、 RS—485Aの規格な どに準拠したもの）を介してコントローラ 3に接続されている。コントローラ 3は、カード' リーダ Zライタ 1に対し制御信号を供給することで、所定の処理を行なわせる。

[0036] B. ICカードの運用

図 2には、 ICカードを用いて実現される、電子マネーや電子チケット、その他の価 値情報を運用するサービス提供システムの全体的構成を模式的に示している。

[0037] 図示のシステム 100は、例えば、 ICカード発行者 121が使用する発行者用通信装 置 111と、カード記憶領域運用者 122が使用する運用者用通信装置 112と、装置製 造者 123が使用する製造者用通信装置 113と、カード記憶領域使用者 124が使用 する記憶領域分割装置 114及び運用ファイル登録装置 115とで構成される。

[0038] ICカード発行者 121がカード所有者 126に ICカード 116を発行した場合に、所定 の条件に基づいて、カード記憶領域使用者 124によって提供されるサービスに係わ るファイル 'データを ICカード 16に登録し、カード所有者 126が単体の ICカード 116 を用いて、 ICカード発行者 121及びカード記憶領域使用者 124の双方のサービスを 受けることを可能にするものである。

[0039] 図 2に示すように、システム 100では、発行者用通信装置 111、運用者用通信装置 112、製造者用通信装置 113、記憶領域分割装置 114及び運用ファイル登録装置 1 15が、ネットワーク 117を介して接続される。

[0040] ICカード発行者 121は、 ICカード 116の発行を行なう者であり、 ICカード 116を用 V、て自らのサービスを提供する。

[0041] カード記憶領域運用者 122は、 ICカード発行者 121からの依頼を受けて、 ICカー ド発行者 121が発行した ICカード 116内の記憶部（半導体メモリ）に構成される記憶 領域のうち、 ICカード発行者 121が使用しない記憶領域をカード記憶領域使用者 1 24に貸し出すサービスを行なう者である。

[0042] 装置製造者 123は、カード記憶領域運用者 122から依頼を受けて、記憶領域分割 装置 114を製造し、カード記憶領域使用者 124に納品する者である。

[0043] カード記憶領域使用者 124は、カード記憶領域運用者 122に依頼を行ない、 IC力 ード 116の記憶領域を使用して自らの独自のサービスを提供する者であり、メモリ領 域を分割して新たなファイル ·システムを作成するサービス提供元事業者に相当し、 自己のファイル 'システムを利用して自身のサービス提供を行なう。

[0044] カード所有者 126は、 ICカード発行者 121から ICカード 116の発行を受け、 IC力 ード発行者 121が提供するサービスを受ける者すなわちエンドユーザである。カード 所有者 126は、 ICカード 116の発行後に、カード記憶領域使用者 124が提供するサ 一ビスを受けることを希望する場合には、記憶領域分割装置 114及び運用ファイル 登録装置 115を用いて、カード記憶領域使用者 124のサービスに係わるファイル'デ ータを ICカード 116に記憶し、その後、カード記憶領域使用者 124のサービスを受け ることがでさるよう〖こなる。

[0045] システム 100は、 ICカード発行者 121のサービスと、カード記憶領域使用者 124の サービスとを単体の ICカード 116を用いて提供するに当たって、 ICカード発行者 12 1及びカード記憶領域使用者 124のサービスに係わるファイル 'データが記憶される 記憶領域に、権限を有しない他人によって不正にデータの書き込み及び書き換えな どが行なわれることを困難にする構成を有して 、る。

[0046] なお、図 2では、それぞれ単数の ICカード発行者 121、カード記憶領域使用者 124 及びカード所有者 126がある場合を例示したが、これらは、それぞれ複数であっても よい。

[0047] ICカード 116は、その字義通り、カード型のデータ通信装置であってもよいし、いわ ゆる ICカード機能が実装された半導体チップを内蔵した携帯電話機 (ある 、はその 他の携帯端末や CE機器)として具現化されることもある。また、非接触 ICカード機能 を搭載した ICチップは、 RFアナログ 'フロントエンドとロジック回路（プロトコル制御、 R F変復調、コマンド処理、暗号処理、メモリ管理)を 1チップで構成してもよいし、ある いはこれらを分離した 2チップ以上の ICで構成するようにしてもょ 、。

[0048] 図 15には、本発明の一実施形態に係る ICカード部のハードウェア構成を模式的に 示している。同図に示すように、 ICカード部は、アンテナ部 1001に接続されたアナ口 グ咅 1002と、デイジタノレ帘 U御咅 1003と、メモリ 1004と、外咅インターフェース 1005 とで構成され、携帯端末 1100に内蔵されている。この ICカード部は、 1チップの半導 体集積回路で構成してもよいし、 RFアナログ 'フロントエンドとロジック回路部を分離 して 2チップの半導体集積回路で構成してもよ 、。

[0049] アンテナ部 1001は、図示しないカード読み書き装置との間で非接触データの送受 信を行なう。アナログ部 1002は、検波、変復調、クロック抽出など、アンテナ部 1001 から送受信されるアナログ信号の処理を行なう。これらは、 ICカード部とカード読み書 き装置間の非接触インターフェースを構成する。

[0050] ディジタル制御部 1003は、送受信データの処理やその他 ICカード内の動作を統 括的にコントロールする。ディジタル制御部 1003は、アドレス可能なメモリ 1004を口 一カルに接続している。メモリ 1004は、 EEPROM (Electrically Erasable Progr ammable Read Only Memory)などの不揮発性記憶装置で構成され、電子マ ネーや電子チケットなどの利用者データを格納したり、ディジタル制御部 1003が実 行するプログラム 'コードを書き込んだり、実行中の作業データを保存するために使 用することができる。

[0051] 外部インターフェース 1005は、カード読み書き装置（図示しない）と結ぶ非接触ィ ンターフェースとは相違するインターフェース 'プロトコルにより、ディジタル制御部 10 03が携帯端末 1100などの装置と接続するための機能モジュールである。メモリ 100 4に書き込まれたデータは、外部インターフェース 1005を経由して、携帯端末 1100 に転送することができる。

[0052] ここで、カード読み書き装置と通信を行なう際に、カード読み書き装置からの受信デ ータをそのまま、あるいは適当な変換規則で変換し、あるいは別のパケット構造に変 換して、外部インターフェース 1005を介して携帯端末 1100に送信する。また逆に、 外部インターフェースを介して携帯端末 1100から受信したデータをそのまま、ある ヽ は適当な変換規則で変換し、あるいは別のパケット構造に変換して、非接触インター フェースを介してカード読み書き装置に送信する。

[0053] 本実施形態では、 ICカード部は、携帯端末 1100に内蔵して用いられることを想定 しており、外部インターフェース 1005には、 UART (Universal Asynchronous Receiver Transmitter)のような有線インターフェースを使用する。但し、外部イン ターフェース 1005のインターフェース仕様は特に限定されず、有線インターフェース であっても、あるいは Bluetooth通信や IEEE. 802. 11などの無線インターフェース であってもよい。

[0054] ICカード部は、例えば、アンテナ部 1001経由で受信されるカード読み書き装置か らの受信信号力 得られるエネルギによって駆動することができる。勿論、携帯端末 1 100側からの供給電力によって、一部又は全部が動作するように構成されて 、てもよ い。

[0055] 携帯端末 1100は、例えば携帯電話機や PDA、パーソナル 'コンピュータ (PC)な どの情報処理端末に相当する。携帯端末 1100は、プログラム制御部 1101と、表示 部 1102と、ユーザ入力部 1103とで構成される。

[0056] プログラム制御部 1101は、例えばマイクロプロセッサと、 RAMと、 ROMで構成さ れ（いずれも図 15には図示しない）、マイクロプロセッサは、 ROMに格納されたプロ グラム'コードに従って、 RAMを作業領域に用いてさまざまな処理サービスを実行す る。処理サービスには、携帯電話機など携帯端末 1100本来の機能の他に、 ICカー ド部に対する処理も含まれる。勿論、プログラム制御部 1101は、ハード'ディスクなど の外部記憶装置や、その他の周辺装置を備えて 、てもよ 、。

[0057] プログラム制御部 1101は、外部インターフェース 1005経由で、 ICカード部にァク セスすることができる。

[0058] 表示部 1102は、例えば液晶表示ディスプレイで構成され、プログラム制御部 1101 における処理結果などを画面出力してユーザに通知することができる。

[0059] ユーザ入力部 1103は、キーボードやジョグダイヤル、あるいは表示部 1102の表示 画面に重畳されたタツチパネルなどで構成され、ユーザが携帯端末 1100にコマンド やデータを入力するために使用される。

[0060] 携帯端末 1100内のプログラム制御部 1101は、ノ ッテリなど図示しない主電源から の給電により駆動する。

[0061] ICカード部が内蔵された携帯端末 1100のユーザが携帯端末 110を所定のカード 読み書き装置に力ざすことにより、 ICカード部とカード読み書き装置間の無線通信が 開始され、無線インターフェースとしてのアンテナ部 1001及びアナログ部 1002を介 して、ディジタル部 1003とカード読み書き装置の間でデータ交換が行なわれる。

[0062] C.ファイル 'システム

ICカードが持つ耐タンパ性と認証機能を利用して、価値情報のやり取りなどを含ん だセキュリティが要求されるサービスを提供することができる。さらに本実施形態では 、単一のメモリ領域上にサービス提供元事業者毎のファイル 'システムを割り当て、単 一の ICカードを複数の事業者で共有し、単一の ICカードにより複数のサービスを提 供するようにした。

[0063] ICカード内のメモリ領域は、初期状態では、 ICカード発行者カ モリ領域全体を管 理して 、る。 ICカード発行者以外のサービス提供元事業者力 Sメモリ領域力 新たなフ アイル 'システムを分割するに際しては、メモリ領域の分割権限と、 ICカード発行者に 対する認証の双方が要求される。

[0064] メモリ領域がー且分割されると、ファイル 'システムへのアクセスは、元の ICカードの 発行者ではなぐファイル ·システム自体のサービス提供元事業者への認証が要求さ れる。したがって、ファイル 'システム間の境界がフアイャ 'ウォールとして機能し、他の ファイル 'システムからの不正なアクセスを好適に排除することができる。また、ユーザ にとつては、各サービス利用時において事業者自らが発行した ICカードであるかのよ うな使い勝手を確保することができる。そして、メモリ領域の分割操作を繰り返すこと により、 ICカード内のメモリ領域は複数のファイル ·システムが共存する構造となる。フ アイル'システムの分割は、仮想的な ICカードの発行である。

[0065] ここで、図 3〜図 6を参照しながら、 ICカード内のメモリ領域の運用形態について説 明する。

[0066] 図 3には、元のカード発行者が自らのファイル 'システムのみを管理しているメモリ領 域の状態を示している。元のカード発行者のシステム 'コード SC1は、システム'コー ドの管理機構が付与する。外部機器又はプログラムがカード発行者のファイル 'シス テムにアクセスする場合は、 SC1を識別コード (すなわち、要求コマンドの引数）とす る。

[0067] 図 4には、カード発行者が自らのファイル ·システムの空き領域の内で、ある範囲の メモリを領域管理者に貸与 (又は譲渡)することが許可できることを示して 、る。この段 階では，まだメモリ領域上のファイル 'システムに対して分割が行なわれている訳では ない。カード発行者は、自らのファイル ·システムに空き領域はあるうちは、複数の領 域管理者に対して、メモリを貸与することを許可できる。例えば、 4ビットのシステム'コ ードでファイル 'システムを識別するという実装では、最大 16分割（15回まで分割)す ることがでさる。

[0068] 図 5には、他のサービス提供元事業者が、カード発行者から許可された領域におい てメモリ領域を分割し、新たなファイル 'システムを生成した状態を示している。この新 規ファイル ·システムには、システム 'コードの管理機構カゝらシステム 'コード SC2が付 与されている。外部機器又はプログラムが、当該メモリ領域管理者 (サービス提供元 事業者)の運用するファイル 'システムにアクセスする場合は、 SC2を識別コード (要 求コマンドの引数）とする。

[0069] 図 6には、共通領域管理者が、カード発行者力 許可された領域において、共通領 域のシステム 'コード SCOでメモリを分割した状態を示して ヽる。外部機器又はプログ ラムがこの共通領域管理者の運用領域であるファイル 'システムにアクセスする場合 には、そのシステム 'コード SCOを識別コード（要求コマンドの引数）とする。

[0070] ICカードのメモリ領域は、分割操作を繰り返すことにより、図 7に示すように複数のフ アイル'システムが共存する構造となる。元のカード発行者、並びにカード発行者の 許可により ICカード上で自己のファイル ·システムを取得したサービス提供元事業者 は、それぞれ自己のファイル 'システムを利用して、エリアやサービスを配設し、自身 の事業展開に利用することができる。

[0071] ここで、 1つのファイル.システム内での運用形態について説明する。基本的には、 どのファイル ·システムにお 、ても同様の動作が実現されるものとする。

[0072] ファイル ·システム内には、電子決済を始めとする外部との電子的な価値情報のや り取りなどのアプリケーションを実現するための、 1以上のファイルが配置されている。 アプリケーションに割り当てられているメモリ領域を「サービス ·メモリ領域」と呼ぶ。ま た、アプリケーションの利用、すなわち該当するサービス 'メモリ領域へアクセスする処 理動作のことを「サービス」と呼ぶ。サービスには、メモリへの読み出しアクセス、書き 込みアクセス、ある 、は電子マネーなどの価値情報に対する価値の加算や減算など が挙げられる。

[0073] ユーザがアクセス権を持つかどうかに応じてアプリケーションの利用すなわちサービ スの起動を制限するために、アプリケーションに対して暗証コードすなわち PINを割り 当て、サービス実行時に PINの照合処理を行なうようになっている。また、サービス'メ モリ領域へのアクセスは、アプリケーションのセキュリティ 'レベルなどに応じて、適宜 暗号ィ匕通信が行なわれる。

[0074] 本実施形態では、 ICカード内のメモリ領域に設定されているそれぞれのファイル' システムに対して、「ディレクトリ」に類似する階層構造を導入する。そして、メモリ領域 に割り当てられた各アプリケーションを、所望の階層の「エリア」に登録することができ る。

[0075] 例えば、一連のトランザクションに使用される複数のアプリケーション、あるいは関連 性の深いアプリケーション同士を同じエリア内のサービス 'メモリ領域として登録する（ さらには、関連性の深いエリア同士を同じ親エリアに登録する）ことによって、メモリ領 域のアプリケーションやエリアの配置が整然とし、ユーザにとってはアプリケーション の分類'整理が効率化する。

[0076] また、ファイル ·システムへのアクセス権を階層的に制御するために、アプリケーショ ン毎に PINを設定できる以外に、各エリアに対しても PINを設定することができるよう にしている。例えば、あるエリアに該当する PINを入力することにより、照合処理並び に相互認証処理を経て、エリア内のすべてのアプリケーション（並びにサブエリア）へ のアクセス権を与えるようにすることもできる。したがって、該当するエリアに対する PI Nの入力を 1回行なうだけで、一連のトランザクションで使用されるすべてのアプリケ ーシヨンのアクセス権を得ることができるので、アクセス制御が効率ィ匕するとともに、機 器の使い勝手が向上する。

[0077] さらに、あるサービス 'メモリ領域に対するアクセス権限が単一でないことを許容し、 それぞれのアクセス権限毎、すなわちサービス 'メモリ領域において実行するサービ スの内容毎に、暗証コードを設定することができる。例えば、同じサービス 'メモリ領域 に対して起動するサービスが「読み出し」と「読み出し及び書き込み」とでは、別々の P INが設定される。また、電子マネーやその他の価値情報に対する「増額」と「減額」と では、別々の PINが設定される。また、あるメモリ領域に対する読み出しについては P INの入力が必要でないが、書き込む場合には PINの入力を必須とさせることが可能 である。

[0078] 図 8には、ファイル ·システム内のデータ構造例を模式的に示している。図示の例で は、ファイル 'システムが持つ記憶空間には、「ディレクトリ」に類似する階層構造が導 入されている。すなわち、メモリ領域に割り当てられた各アプリケーションを、所望の 階層エリアにサービス ·メモリ領域として登録することができる。例えば、一連のトラン ザクシヨンに使用されるアプリケーションなど、関連性の深いアプリケーション同士を 同じエリアに登録する（さらには、関連性の深いエリア同士を同じ親エリアに登録する

)ことができる。

[0079] また、ファイル ·システム内に割り当てられたアプリケーション（すなわちサービス'メ モリ領域)並びにエリアは暗証コード定義ブロックを備えている。したがって、アプリケ ーシヨン毎に、あるいはエリア毎に PINを設定することができる。また、ファイル 'システ ムに対するアクセス権は、アプリケーション単位で行なうとともに、並びにエリア単位で 行なうことができる。

[0080] さらに、あるサービス 'メモリ領域に対するアクセス権限が単一でなぐ実行するサー ビスの内容毎に、 PINを設定することができる。例えば、同じサービス 'メモリ領域に 対して起動するサービスが「読み出し」と「読み出し及び書き込み」とでは、別々の PI Nが設定され、また、電子マネーやその他の価値情報に対する「増額」と「減額」とで は、別々の PINが設定される。

[0081] 照合部は、例えば ICカードを利用した非接触データ通信などのプロトコル 'インター フェースを介して送られてくる PINを、各アプリケーション又はディレクトリに割り当てら れたエリア又はサービス 'メモリ領域に設定されている暗証コードと照合して、一致す るメモリ領域に対するアクセスを許可する。アクセスが許可されたメモリ領域は、プロト コル'インターフェースを介して読み書きが可能となる。

[0082] 図 9には、ファイル ·システムの基本構成を示している。図 8を参照しながら既に説明 したように、ファイル 'システムに対して、「ディレクトリ」に類似する階層構造が導入さ れ、所望の階層のエリアに、アプリケーションに割り当てられたサービス 'メモリ領域を 登録することができる。図 9に示す例では、エリア 0000定義ブロックで定義されるエリ ァ 0000内に、 1つのサービス 'メモリ領域が登録されている。

[0083] 図示のサービス 'メモリ領域は、 1以上のユーザ'ブロックで構成される。ユーザ'ブ ロックはアクセス動作が保証されているデータ最小単位のことである。このサービス'メ モリ領域に対しては、サービス 0108定義ブロックで定義されている 1つのサービスす なわちサービス 0108が適用可能である。

[0084] エリア単位、並びにアプリケーション単位でアクセス制限を行なう以外に、サービス の種類毎に暗証コードを設定して、サービス単位でアクセス制限を行なうことができる 。アクセス制限の対象となるサービスに関する暗証コード設定情報は、暗証コード専 用のサービス (すなわち「暗証コード'サービス」）として定義される。図 9に示す例で は、サービス 0108に関する暗証コードが暗証コード'サービス 0128定義ブロックとし て定義されて 、る。その暗証コード ·サービスの内容は暗証コード ·サービス ·データ · ブロックに格納されている。

[0085] サービス 0108に対する暗証コード'サービスが有効になっている場合、サービス 0 108を起動してそのユーザ ·ブロックに読み出し又は書き込み動作を行なう前に、暗 証コード'サービス 0128を使用した暗証コードの照合が必要となる。具体的には、暗 号ィ匕あり読み書き (ReadZWrite)コマンドを使用する場合は、相互認証前にサービ ス 0108に対する暗証コードすなわち PINの照合を行なう。

[0086] また、アプリケーションに割り当てられたサービス 'メモリ領域を所望の階層のエリア に登録するとともに、エリアを階層化する（関連性の深いエリア同士を同じ親エリアに 登録する）ことができる。この場合、エリア毎に PINを設定することにより、エリアをァク セス制限の単位とすることができる。図 10には、 ICカードのメモリ空間においてエリア が階層化されている様子を示している。同図に示す例では、エリア 0000定義ブロック で定義されているエリア 0000内に、エリア 1000定義ブロックで定義されている別の エリア 1000が登録されている。

[0087] 図 10に示す例では、さらにエリア 1000内には、 2つのサービス 'メモリ領域が登録 されている。一方のサービス 'メモリ領域に対しては、サービス 1108定義ブロックで定 義されて!/、るサービス 1108と、サービス 110B定義ブロックで定義されて!、るサービ ス 110Bが適用可能である。このように、 1つのサービス 'メモリ領域に対してサービス 内容の異なる複数のサービスを定義することを、本明細書中では「オーバーラップ · サービス」と呼ぶ。オーバーラップ 'サービスにおいては、同じサービス 'エリアに対し て、入力した PINに応じて異なるサービスが適用されることになる。また、他方のサー ビス'メモリ領域に対しては、サービス 110C定義ブロックで定義されているサービス 1 10Cが適用可能である。

[0088] 各サービス 'メモリ領域に設定されているサービスを起動してそのユーザ 'ブロックに 読み出し又は書き込み動作を行なうことができる。勿論、図 9を参照しながら説明した ように、サービス毎に暗証コード'サービスを定義することができる。この場合、サービ スに対する暗証コード ·サービスが有効になつて!、るときには、暗証コード ·サービス を使用した PINの照合を行なって力もサービスの起動が許可される。

[0089] また、複数のサービスに対して共通の PINを設定したい場合には、これらサービス を含むエリアを作成し、このエリアに対して共通の暗証コード'サービスを適用するこ とがでさる。

[0090] 図 10に示す例では、エリア 1000に関する暗証コード力 暗証コード'サービス 102 0定義ブロックとして定義されている。その暗証コード'サービスの内容は暗証コード' サービス ·データ ·ブロックに格納されて!、る。

[0091] エリア 1000に対する暗証コード'サービスが有効 (後述）になっている場合、暗証コ ード 'サービス 1020を使用した暗証コードの照合を行なった後に、エリア 1000内の 各サービスを起動してそのユーザ ·ブロックに読み出し又は書き込み動作を行なうこと が可能となる。

[0092] 図 11には、内部メモリに複数のファイル 'システムを設けることができる ICカード内 のファームウェアの機能構成を模式的に示して 、る。

[0093] インターフェース制御部は、非接触 ICカード'インターフェースによるカード'リーダ Zライタとの通信、カード'リーダ Zライタとしての通信、有線インターフェースを介し た通信、その他の IZOインターフェースを介した通信などのプロトコル制御を行なう。

[0094] コマンド制御部は、インターフェース制御部を介して外部から受け取ったコマンドの 処理や、外部に対するコマンド発行、コマンドの検査などを行なう。

[0095] セキュリティ制御部は、メモリ領域若しくはメモリ領域内の各ファイル 'システムヘアク セスする際の認証処理や、ファイル ·システム内のディレクトリやサービスを利用する 際の PIN照合などのセキュリティ処理を実現する。

[0096] ファイル.システム制御部は、上述したようなメモリ領域力 ファイル.システムへの分 割（並びに分割の解消）などファイル 'システム管理や、ファイル 'システム内のディレ クトリ構造の管理などを行なう。

[0097] モード管理部は、全ファイル 'システム並びに個別のファイル 'システムのモードの 管理を行なう。ここで言うモードには、ファイル 'システムの利用停止や利用再開など の状態が含まれる。

[0098] この他、起動制御や ROM管理、パラメータ管理、不揮発性メモリ管理、パッチ制御 など、 ICカード内の各ハードウェア制御用のファームウェアも含まれている。

[0099] D.フアイノレのアーカイブ

ICカードに担持されているデータのバックアップをとることが必要となってくる。図 12 には、 ICカード内のファイルやディレクトリをアーカイブするための仕組みを図解して いる。

[0100] 上述したように ICカード内のメモリ空間には、ディレクトリに類似する階層構造が導 入されている。アーカイブ 'ファイル作成部は、ノ ックアップを取ることが指定されたフ アイル又はディレクトリをアーカイブするためのアーカイブ 'ファイルを作成する。ァー 力イブ'ファイルの形式は特に限定されない。そして、アーカイブ 'ファイルの展開先と なる端末を識別する端末 IDを指定して、アーカイブ 'ファイルを保管装置に格納する 。これによつて、 ICカード内のデータのバックアップが実現する。

[0101] 保管装置は、耐タンパ性があり、格納しているアーカイブ 'ファイルが外部に不正に 漏洩することはない。そして、保管装置は、アーカイブ 'ファイルを端末 IDで指定され ている端末へ転送する。

[0102] 指定された端末では、アーカイブ 'ファイルを展開して元のファイルやディレクトリを 復元し、利用が再開される。これによつて、 ICカード内のデータを正しい相手に移動 することができる。 [0103] 一方、 ICカード内のファイルやディレクトリへのアクセスをカウンタで管理する仕組 みを導入し、アーカイブ 'ファイルを保管場所にアーカイブした後は元のファイルの力 ゥンタ値を消滅させてアクセスできないようにすることで、移動後のデータの 2重化を 防止している。

[0104] 本実施形態では、各ファイルへのアクセス回数を管理する特殊ファイルであるカウ ンタ ·ファイルをメモリ内若しくはディレクトリ内に配置するようにした。カウンタ ·フアイ ルには、メモリ内若しくはディレクトリ内の各ファイルにつ!/、てのアクセス回数の上限 値が記載されている。

[0105] また、ファイル連携指定子を導入して、 2以上のファイルの連携関係を設定できるよ うにした。ファイル連携指定子で指定されている 2以上のファイルには、双方同時に オープンしなければならな 、、すなわち同時に認証を経なければ 、ずれのファイルも オープンできないという制限が課される。アーカイブ 'ファイルが作成されたファイル は、ファイル連携指定ファイルにより、カウンタ 'ファイルと連携指定される。

[0106] 図 13には、ファイルの連携指定したファイル ·システム内の基本構成を模式的に示 している。図示の例では、 2以上のファイルの同時認証を指定するファイル連携指定 子は、ファイル ·システム内の他のファイルと同様、ファイル形式で構成されている。伹 し、別の形態でファイル連携指定子を定義するようにしても構わな 、。

[0107] 図示の例では、ファイル 'システム内には、ファイル 1〜3と、カウンタ 'ファイルが配 置されている。ファイル 1〜3には、 ICカード発行者が全カードに共通する対称鍵が それぞれ設定されている。また、カウンタ 'ファイルには個別鍵が設定されている。

[0108] また、図示の例では、ファイル連携指定ファイルが配置されている力 これは同時に 認証できるファイルの組み合わせを指定する特殊ファイルである。ファイル連携指定 ファイル自体は、他のファイルと同様に、 ICカード発行者がすべての ICカードに共通 の対称鍵で認証を行なうように設定されて！、る。

[0109] ファイル連携指定ファイルは、アーカイブを行なうファイル 2とカウンタ.ファイルとの 連携、すなわちファイル 2はカウンタ 'ファイルと同時にオープンしなければならないこ とを規定している。

[0110] 以下では、ファイルをオープンするときに必要な認証鍵は、ファイルに対して指定さ れている鍵の組合せを所定の関数 fで演算することによって得られるものとする。

[0111] ファイル 1は、いずれのファイル連携指定子によっても規定されていない。したがつ て、ファイル 1自体に設定された対称鍵 κ だけで相互認証を行なえば、ファイルを開 si

くことができる。この場合の認証鍵は以下の通りとなる。

[0112] 認証鍵 K =f (ファイル 1の対称鍵 K )

AUTH1 si

[0113] また、ファイル 2は、ファイル 2に設定された対称鍵で相互認証することはできず、フ アイル連携指定ファイルの設定に従い、カウンタ'ファイルと同時に相互認証しなけれ ばならない。このときに利用する相互認証鍵は、ファイル 2の対称鍵 K とカウンタ'フ アイルの個別鍵 Kを組み合わせた結果を利用するので、個別鍵となる。

P

[0114] 認証鍵 K =f (ファイル 2の対称鍵 K ,カウンタ 'ファイルの個別鍵 K )

AUTH2 s2 p

[0115] 認証鍵 K を以つてファイル 2にアクセスした場合、カウンタ'ファイルが同時にォ

AUTH2

ープンされ、カウンタ値がデクリメントされる。カウンタ値が Oxffffであれば、カウンタ' ファイルはいつでも開くことができる。これに対し、カウンタ値が 0であれば、カウンタ' ファイルを開くことができないため、連携指定されているファイル 2もオープンすること はできない。

[0116] 図 16には、ファイル ·システム内でファイルの連携関係を設定するための処理手順 をフローチャートの形式で示している。ここでは、アーカイブの対象となるファイルと、 そのファイルへのアクセス回数を制限するカウンタ 'ファイルの連携関係を形成するこ とを想定している。

[0117] まず、アーカイブの対象となるファイルへのアクセス回数を記述したカウンタ'フアイ ルを作成し (ステップ S1)、続いてこのカウンタ 'ファイルをオープンするための個別鍵 を設定する (ステップ S2)。

[0118] そして、アーカイブの対象となるファイルとカウンタ 'ファイルとの連携関係を記述し たファイル連携指定ファイルを作成し (ステップ S3)、このファイル連携指定ファイル にアクセスするための鍵を設定する（ステップ S4)。この鍵には、全 ICカード共通で使 用する対称鍵を利用する (前述)。

[0119] また、図 17には、ファイル.システム内でファイル連携関係が指定されたファイルに 対してアクセスするための処理手順をフローチャートの形式で示して 、る。ここでは、 アーカイブの対象となるファイルと、そのファイルへのアクセス回数を制限するカウン タ ·ファイルの連携関係を形成することを想定して 、る。

[0120] ファイル 'システムにアクセスすると、まず、当該ファイル 'システム内でファイル連携 指定ファイルの有無をチェックする (ステップ S 11)。ここで、ファイル連携指定フアイ ルが存在しない場合には、ファイル.システム内の各ファイルに対して単独の認証処 理でアクセスすることが可能であり、ファイル毎に設定されている鍵を用いた認証処 理を経て行なわれる (ステップ S 19)。本実施形態では、ファイル連携指定ファイルの 鍵はすべての ICカードで共通の対称鍵として!/、る。

[0121] 一方、ファイル連携指定ファイルが存在する場合には、さらにファイル連携指定ファ ィル内の記述を確認して（ステップ S 12)、アクセスしょうとしているファイルに対しファ ィル連携関係が設定されているかどうかをチェックする (ステップ S 13)。

[0122] ここで、アクセスしょうとしているファイルに関してファイル連携関係が設定されてい なければ、当該ファイルに対して単独の認証処理でアクセスすることが可能である。 すなわち、当該ファイルに設定されて 、る個別鍵を用いた認証処理を経てアクセスす ることができる（ステップ S20)。本実施形態では、同じファイルについてはすべての I Cカードで共通の対称鍵を使用して 、る。

[0123] また、アクセスしょうとしているファイルに関してファイル連携関係が設定されている 場合には (ステップ S13)、アクセスしょうとしているファイルと、これと連携関係にある ファイルそれぞれの鍵を用いて認証鍵を生成して、同時認証処理を行なう（ステップ S14)。本実施形態では、連携関係にあるファイルは、アクセス対象となるファイルへ のアクセス回数を記述したカウンタ 'ファイルであり、個別鍵が設定されている。したが つて、アクセス対象となるファイル自体には全 ICカードに共通の対称鍵を使用してい ても、カウンタ 'ファイルの個別鍵を知らなければ同時認証できないので、アーカイブ 'ファイルを勝手に操作できな 、。

[0124] そして、同時認証に成功すると、続いてカウンタ 'ファイルをオープンして、カウンタ 値を確認する（ステップ S15)。カウンタ値がまだ残っていれば (ステップ SI 6)、ァクセ ス対象となるファイルへのアクセスが可能であり、ファイルのオープンを許可するととも に (ステップ S17)、カウンタ値を 1だけデクリメントする (ステップ S18)。これに対し、力 ゥンタ値が既に消滅している場合には、ファイルのオープンが許可されない (ステップ

S21)。

[0125] 上述したようなファイル連携関係を指定するという仕組みを利用することによって、 すべての ICカードに共通の対称鍵が割り当てられるファイルであっても、記憶先のフ アイル ·システム内において個別鍵が与えられたファイルとの連携関係を設定すること で、同時認証しなければならなくなる。したがって、他の ICカードを所持して知り得た 共通鍵を用いて、別の ICカードの同じファイルにアクセスするという不正行為を制限 することができる。

[0126] また、ファイル 'システム内にファイルを記憶する際に、カウンタ 'ファイルとファイル 連携を指定することによって、当該ファイル 'システム内におけるファイルへの回数を 自在に設定することができる。例えば、アーカイブしょうとするファイルに関し、ァ一力 イブする直前にカウンタ値を 1にしたカウンタ 'ファイルとファイル連携の指定を行なつ ておく。この場合、アーカイブした時点でカウンタ値が消滅するので、アーカイブ後は 、カウンタ 'ファイルに認証してカウンタ値を書き換えない限りは、ファイルにアクセス することはできない。これにより、セキュアなファイルの移動が実現する。

[0127] ICカード内のメモリ領域に展開されるファイル ·システムにディレクトリ構造を導入で きる点は既に述べた通りである。この場合、ディレクトリに対しても、ファイル連携指定 の仕組みを適用することができる。図 14には、ディレクトリ内のファイル、あるいはディ レクトリとカウンタ ·ファイルを連携させて ヽるファイル ·システム内の構成を模式的に 示している。

[0128] ディレクトリ 1以下では、フアイノレ 1 1、フアイノレ 1 2、フアイノレ 1 3、カウンタ'ファ ィル 1、並びにファイル連携指定ファイル 1が配置されている。

[0129] ファイル 1 1、ファイル 1 2、ファイル 1—3には、 ICカード発行者が全カードに共 通する対称鍵がそれぞれ設定されている。また、カウンタ 'ファイル 1には個別鍵が設 定されている。また、ファイル連携指定ファイル 1は、 ICカード発行者がすべての IC力 ードに共通の対称鍵で認証を行なうように設定されて ヽる。

[0130] ファイル連携指定ファイル 1は、同時に認証できるファイルの組み合わせを指定す る特殊ファイルである力 ここでは、ファイル 1—1とカウンタ 'ファイル 1との連携、すな わちファイル 1—1はカウンタ ·ファイル 1と同時にオープンしなければならないことを 規定している。

[0131] したがって、ファイル 1 2及びファイル 1 3はそれぞれの対称鍵のみを用いた単 独認証が可能であるのに対し、ファイル 1—1は、単独認証することはできず、カウン タ ·ファイル 1と同時に相互認証しなければならな 、。このときに利用する相互認証鍵 は、ファイル 1—1の対称鍵 K と個別鍵ファイル 1の個別鍵 K を組み合わせた結果

sl-1 pi

を利用するので、個別鍵となる。

[0132] 認証鍵 K =f (ファイル 1—1の対称鍵 K ，カウンタ 'ファイル 1の個別鍵 K )

AUTH sl-1 pi

[0133] ファイル 1 1をオープンした場合、カウンタ ·ファイル 1が同時にオープンされ、カウ ンタ値がデクリメントされる。カウンタ値が Oxffffであれば、カウンタ 'ファイルはいつで も開くことができる。これに対し、カウンタ値が 0であれば、カウンタ 'ファイルを開くこと ができな!/、ため、連携指定されて 、るファイル 1 - 1もオープンすることはできな!、。

[0134] 一方、ディレクトリ 2以下では、フアイノレ 2— 1、フアイノレ 2— 2、フアイノレ 2— 3、カウン タ ·ファイル 2、並びにファイル連携指定ファイル 2が配置されて ヽる。

[0135] ファイル 2— 1、ファイル 2— 2、ファイル 2— 3には、 ICカード発行者が全カードに共 通する対称鍵がそれぞれ設定されている。また、カウンタ 'ファイル 2には個別鍵が設 定されている。また、ファイル連携指定ファイル 2は、一般ファイルと同様に、 ICカード 発行者がすべての ICカードに共通の対称鍵で認証を行なうように設定されて!、る。

[0136] ファイル連携指定ファイル 2は、同時に認証できるファイルの組み合わせを指定す る特殊ファイルである力 ここでは、ディレクトリ 2とカウンタ 'ファイル 2との連携、すな わちディレクトリ 2はカウンタ 'ファイル 2と同時にオープンしなければならないことを規 定している。

[0137] したがって、ディレクトリ 2以下のすべての一般ファイルは単独認証することができず 、ディレクトリ 2はカウンタ 'ファイル 2と同時に相互認証しなければならない。

[0138] ディレクトリ 2をオープンした場合、カウンタ 'ファイル 2が同時にオープンされ、カウ ンタ値がデクリメントされる。カウンタ値が Oxffffであれば、カウンタ 'ファイルはいつで も開くことができる。これに対し、カウンタ値が 0であれば、カウンタ 'ファイルを開くこと ができな!/、ため、連携指定されて 、るディレクトリ 2もオープンすることはできな 、。 [0139] ディレクトリに関してカウンタ 'ファイルと連携させる場合、そのファイル連携関係を設 定する処理手順は、図 16に示したフローチャート中のステップ S3において、ファイル 連携指定ファイルでディレクトリとカウンタ 'ファイルの連携関係を記述する、と読み換 えればよい。また、ファイル連携関係が指定されたディレクトリに対してアクセスするた めの処理手順は、図 17に示したフローチャート中のステップ S11において、アクセス 先となるディレクトリ内でファイル連携指定ファイルの有無をチヱックすると読み換え、 以降の認証及びアクセスの対象を特定のファイルではなくディレクトリ全体として読み 換えればよい。

[0140] このようにして、 1以上のディレクトリ、又は 1以上のファイルをアーカイブする機能を 実現することができる。アーカイブするときには、以下の 2つのオプションがある。これ により、ファイルのバックアップ又はコピーを実現することができる。

[0141] (1)アーカイブしたデータは、アーカイブ時に指定された IDを持つ端末 (ファイル -シ ステム)でしか展開することができな!/、。

(2)アーカイブしたデータは、任意のファイル ·システムにて展開することができる。

[0142] 例えば、ディレクトリにカウンタ 'ファイルを連携させる。ディレクトリをオープンすると 、カウンタ 'ファイルのカウンタがデクリメントされる。ディレクトリをアーカイブする前の カウンタ値が 1の場合、アーカイブ後にはカウンタが 0になる。このため、認証手続を 経てカウンタ ·ファイルにアクセスしてカウンタ値を書き換えない限りは、ディレクトリに アクセスすることはきない。これにより、ディレクトリやファイルの移動が実現する。

[0143] ディレクトリがルート'ディレクトリの場合、ファイル 'システム全体をバックアップ又は コピー又は移動することができる。

産業上の利用可能性

[0144] 以上、特定の実施形態を参照しながら、本発明について詳解してきた。しかしなが ら、本発明の要旨を逸脱しな ヽ範囲で当業者が該実施形態の修正や代用を成し得 ることは自明である。

[0145] 本明細書では、 ICカード若しくは ICチップに内蔵されるメモリ上に展開されたフアイ ル空間を例にとり、ファイルを安全にアーカイブしバックアップをとる実施形態につい て説明してきたが、本発明の要旨はこれに限定されるものではない。例えば、 ICカー ドゃ ICチップ以外のメモリ装置上で同種のファイル 'システムのアーカイブゃァーカイ ブしたファイル 'システムのアクセス管理を行なう場合に、本発明を適用し同様の作用 効果を得ることができる。

要するに、例示という形態で本発明を開示してきたのであり、本明細書の記載内容 を限定的に解釈するべきではない。本発明の要旨を判断するためには、請求の範囲 の記載を参酌すべきである。

Claims

請求の範囲

[1] 無線又は有線伝送路を介してデータを送受信する通信部と、

前記通信部で送受信するデータを処理するデータ処理部と、

前記データ処理部により処理されたファイルを配置するメモリ空間と、

バックアップする 1以上のファイルについてのアーカイブ.ファイルを、該アーカイブ

'ファイルの展開先の識別情報を付して作成するアーカイブ 'ファイル作成手段と、 を具備することを特徴とする情報管理装置。

[2] アーカイブ ·ファイルを作成したファイルへのアクセスを管理するアクセス管理手段 をさらに備える、

ことを特徴とする請求項 1に記載の情報管理装置。

[3] 同時にオープンすべきファイルを連携指定するファイル連携指定手段をさらに備え アーカイブ 'ファイルを作成したファイルと、該ファイルへのアクセス管理情報を記述 したアクセス管理情報ファイルとを前記ファイル連携指定手段により連携指定し、 前記アクセス管理手段は、アーカイブ 'ファイルを作成したファイルへのアクセスが 行なわれた際に、アクセス管理情報ファイルを同時にオープンし、アクセス管理情報 に基づいてアクセス管理を行なうとともに、アクセス管理情報の内容を更新する、 ことを特徴とする請求項 2に記載の情報管理装置。

[4] 前記アクセス管理情報ファイルは、アクセス管理情報としてアーカイブ 'ファイルを 作成したファイルへのカウンタ値を記述し、

前記アクセス管理手段は、アクセス管理情報ファイルをオープンする度にカウンタ 値をデクリメントする、

ことを特徴とする請求項 3に記載の情報管理装置。

[5] 前記メモリ空間ではディレクトリ構造が採用され、

前記アーカイブ 'ファイル作成手段は、ノ ックアップするディレクトリについてのァー 力イブ ·ファイルを、該アーカイブ ·ファイルの展開先の識別情報を付して作成する、 ことを特徴とする請求項 1に記載の情報管理装置。

[6] メモリ空間に配置されたファイルを管理する情報管理方法であって、 無線又は有線伝送路を介してデータを送受信する通信ステップと、 前記通信ステップにより送受信するデータを処理するデータ処理ステップと、 前記データ処理ステップにより処理されたファイルを前記メモリ空間に配置するステ ップと、

バックアップする 1以上のファイルについてのアーカイブ.ファイルを、該アーカイブ

'ファイルの展開先の識別情報を付して作成するアーカイブ 'ファイル作成ステップと を具備することを特徴とする情報管理方法。

[7] アーカイブ ·ファイルを作成したファイルへのアクセスを管理するアクセス管理ステツ プをさらに備える、

ことを特徴とする請求項 6に記載の情報管理方法。

[8] 同時にオープンすべきファイルを連携指定するファイル連携指定ステップをさらに 備え、

アーカイブ 'ファイルを作成したファイルと、該ファイルへのアクセス管理情報を記述 したアクセス管理情報ファイルとを前記ファイル連携指定ステップにより連携指定し、 前記アクセス管理ステップでは、アーカイブ 'ファイルを作成したファイルへのァクセ スが行なわれた際に、アクセス管理情報ファイルを同時にオープンし、アクセス管理 情報に基づいてアクセス管理を行なうとともに、アクセス管理情報の内容を更新する ことを特徴とする請求項 7に記載の情報管理方法。

[9] 前記アクセス管理情報ファイルは、アクセス管理情報としてアーカイブ 'ファイルを 作成したファイルへのカウンタ値を記述し、

前記アクセス管理ステップでは、アクセス管理情報ファイルをオープンする度にカウ ンタ値をデクリメントする、

ことを特徴とする請求項 8に記載の情報管理方法。

[10] 前記メモリ空間ではディレクトリ構造が採用され、

前記アーカイブ 'ファイル作成ステップでは、ノックアップするディレクトリについて のアーカイブ ·ファイルを、該アーカイブ ·ファイルの展開先の識別情報を付して作成 する、

ことを特徴とする請求項 6に記載の情報管理方法。