WO2006049224A1

WO2006049224A1 - セキュアデバイスおよび中継端末

Info

Publication number: WO2006049224A1
Application number: PCT/JP2005/020237
Authority: WO
Inventors: Junko Furuyama
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 2004-11-08
Filing date: 2005-11-02
Publication date: 2006-05-11
Also published as: JP2006155589A; US8184810B2; US20070223696A1; JP4794269B2

Abstract

　ＩＣカード（１０）は、１以上のアプリケーション（１６）とＩＣカード（１０）の動作を制御するカード制御部（１４）とを有する耐タンパモジュール（１２）と、耐タンパモジュール（１２）からのみアクセス可能なセキュアメモリ領域（１８）と、サービス端末（６０）と通信するための非接触インターフェース（２４）とを備える。カード制御部（１４）は、格納指示情報を生成し、非接触インターフェース（２４）は、格納指示情報をサービス端末（６０）へ送信する。格納指示情報には、データの書込み先のセキュアメモリ領域（１８）のアドレスと、一時的にデータを保管するための保管先を示す通常メモリ領域（２０）のアドレスと、通常メモリ領域（２０）からセキュアメモリ領域（１８）へのデータ移動を実行するアプリケーションの識別子と、データを中継する中継端末（４０）のアドレスとを含む。

Description

明細書

セキュアデバイスおよび中継端末

技術分野

[0001] 本発明は、耐タンパ領域を有するセキュアデバイスおよびセキュアデバイスにデータを書き込む中継端末に関する。

背景技術

[0002] 従来、デジタルコンテンツをセキュアに格納する方法として、例えば ICカードを用いた方法がとられていた。 ICカードは、耐タンパモジュールからのみアクセスが可能で不正な手段では読み出すことができなヽセキュアメモリ領域を備えて、るが、セキュァメモリ領域は少容量であったため、保護すべきデジタルコンテンツを暗号ィ匕して復号用の鍵をセキュアメモリ領域に格納し、暗号ィ匕されたデジタルコンテンツは端末の通常メモリ領域やメモリカード上に格納されていた。このような格納の形態を採用する場合、例えば特開 2002— 124960号公報に開示されているように、デジタルコンテンッを復号ィ匕する鍵を、暗号通信路を用いてセキュアメモリに配信し、暗号化されたデジタルコンテンツを後から通常メモリ領域に配信する。発明の開示

発明が解決しょうとする課題

[0003] 近年の ICカードのメモリの大容量化に伴!、、デジタルコンテンツ自体をセキュアメモリに格納したいという要望が高まっている。しかし、セキュアメモリ領域には、外部から受信したデータを直接書き込むことはできず、耐タンパモジュール力ものみアクセスすることが可能である。従って、耐タンパモジュールが他の高負荷な処理を行っている場合等には、配信した情報を保存できな、おそれがある。

[0004] このような不都合を防止するため、耐タンパモジュールが他の処理を行っている場合、つまりビジー状態のときには、中継端末にデータを一時的に保存しておき、適当なタイミングで一時保存データを耐タンパモジュールを介してセキュアメモリへ移動させる手順が考えられる。

[0005] しかし、この手順では、 ICカードを別のカードリーダライタに移動させると、一時保存されたデータを最終格納先であるセキュアメモリに移動することができない。また、力一ドリーダライタに保存されたデータが一時的に保存されているデータであることも把握できない。さらに、カードリーダライタ力耐タンパモジュールに転送するための情報を記憶しておくことは、カードリーダライタの負荷を増大させるばかりでなぐセキュリティ上も問題がある。

[0006] 本発明は、上記背景に鑑み、耐タンパモジュールの状況によらず、データを安全かつ確実にセキュアメモリ領域に書き込むことができるセキュアデバイスおよび中継端末を提供することを目的とする。

課題を解決するための手段

[0007] 本発明のセキュアデバイスは、サービス端末から送信されるデータを、情報書込み機能を有する中継端末を介して受信するセキュアデバイスであって、 1以上のアプリケーシヨンと前記セキュアデバイスの動作を制御するデバイス制御部とを有する耐タンパモジュールと、前記耐タンパモジュールからのみアクセス可能なセキュアメモリと

、前記サービス端末と通信するための通信部とを備え、前記デバイス制御部は、前記データの書込み先を示すセキュアメモリのアドレスと、前記セキュアメモリへのデータ書込みが不能であった場合の対処法に関する情報とから成る格納指示情報を生成、格納し、前記通信部は、前記格納指示情報を前記サービス端末へ送信する。

[0008] 上記書込みが不能であった場合の対処法に関する情報は、一時的に前記データを保管するための保管先を示す前記セキュアデバイス又は前記中継端末の有する通常メモリのアドレスと、前記通常メモリに保管されたデータを前記セキュアメモリへ移動させる前記アプリケーションの識別子を有して、てもよ、。

[0009] 上記書込みが不能であった場合の対処法に関する情報は、一時的に前記データを保管するための保管先、または、前記データの書き込み先のメモリ領域の少なくとも一方を確保しておく期限を示す格納先確保期限を有していてもよい。

[0010] 上記セキュアデバイスにお、て、前記通信部は、前記サービス端末から送信されるデータの属性情報を受信し、前記デバイス制御部は、前記属性情報に基づいて前記サービス端末から送信されるデータを中継する中継端末を決定し、決定された前記中継端末のアドレスを前記格納指示情報に含めてもよい。 [0011] 上記セキュアデバイスにおいて、前記通信部は、前記サービス端末から送信されるデータの属性情報を受信し、前記デバイス制御部は、前記属性情報に基づいて前記中継端末と前記サービス端末との間の通信方式を決定し、前記格納指示情報に含めてもよい。

[0012] 本発明の中継端末は、前記サービス端末カゝら送信されたデータを通信可能に接続されたセキュアデバイスに書き込む中継端末であって、前記データと、前記データの書込み先を示す前記セキュアデバイスが有するセキュアメモリのアドレスと前記セキュァメモリへのデータ書込みが不能であった場合の対処法に関する情報とから成る前記格納指示情報を受信するデータ受信部と、受信したデータを前記格納指示情報で指定されたセキュアメモリのアドレスへ書き込む命令を前記セキュアデバイスに送信し、前記命令に対する前記セキュアデバイスからの応答を受信する命令送信部と、前記応答に基づ、て前記セキュアメモリへのデータ書込みの可否を判断し、書込み不能と判断した場合に、前記格納指示情報で指定された対処法に関する情報に基づ、て、前記セキュアデバイス又は中継端末の有する通常メモリに前記データを書き込む制御部と、を備えた構成を有する。

[0013] 本発明の別の態様に係る中継端末は、サービス端末から送信されたデータを通信可能に接続されたセキュアデバイスに書込む中継端末であって、前記データと、前記データの書込み先を示す前記セキュアデバイスが有するセキュアメモリのアドレスと前記セキュアメモリへのデータ書込みが不能であった場合の対処法に関する情報とから成る格納指示情報とを、前記サービス端末力も受信するデータ受信部と、前記セキュアデバイスの処理状態を管理し、前記処理状態に基づ、て前記セキュアメモリへのデータ書込みの可否を判断し、書込み不能と判断した場合に、前記格納指示情報で指定された対処法に関する情報に基づいて、前記セキュアデバイス又は該中継端末の有する通常メモリに前記データを書き込む制御部と、を備えた構成を有する。

[0014] 本発明の別の態様に係る中継端末は、格納指示情報にて指定された通常メモリのアドレスへのデータの書込みの完了に応じて前記格納指示情報を削除する削除部を備えた構成を有する。 [0015] 上記対処法に関する情報は、一時的に前記データを保管するための保管先を示す前記セキュアデバイス又は前記中継端末の有する通常メモリのアドレスと、前記通常メモリに保管されたデータを前記セキュアメモリへ移動させる前記アプリケーションの識別子を含んで、てもよ、。

[0016] 上記対処法に関する情報は、一時的に前記データを保管するための保管先、または、前記データの書き込み先のメモリ領域の少なくとも一方を確保しておく期限を示す格納先確保期限を含んで!/、てもよヽ。

[0017] 上記中継端末にお!、て、前記命令送信部は、前記格納指示情報で指定されたァプリケーシヨンの識別子に基づいて、前記アプリケーション識別子に対応するアプリケーシヨンの起動命令を出力し、起動した前記アプリケーションに対し、前記通常メモリに一時的に保管された前記データを前記セキュアメモリのアドレスに移動させるデータ移動命令を出力してもよ、。

[0018] 上記中継端末にお!、て、前記命令送信部は、前記格納指示情報で指定されたァプリケーシヨンの識別子に基づいて、前記アプリケーション識別子に対応するアプリケーシヨンの起動命令を出力し、起動した前記アプリケーションは、前記格納指示情報を参照し、前記通常メモリに一時的に保管されたデータを前記セキュアメモリのァドレスに移動させてもよい。

[0019] 上記中継端末は、前記格納指示情報で指定された通常メモリのアドレスにアクセスして、前記通常メモリに一時的に保管されたデータを読み出すデータ読出部をさらに備え、前記命令送信部は、前記格納指示情報で指定されたアプリケーションの識別子に基づいて、前記アプリケーション識別子に対応するアプリケーションの起動命令を出力し、起動した前記アプリケーションに対し、前記データ読出部で読み出した前記データの前記セキュアメモリのアドレスへの書き込みを指示する書込み命令を出力してちよい。

[0020] 本発明のセキュアデバイスの動作方法は、サービス端末力も送信されるデータを、情報書込み機能を有する中継端末を介して受信するセキュアデバイスの動作方法であって、前記セキュアデバイス力前記データの書込み先を示すセキュアデバイスの有するセキュアメモリのアドレスと、前記セキュアメモリへのデータ書込み不能であつた場合の対処法に関する情報とから成る格納指示情報を生成するステップと、前記セキュアデバイスが前記格納指示情報を前記サービス端末へ送信するステップとを備えた構成を有する。

[0021] 本発明のプログラムは、サービス端末力送信されるデータを情報書込み機能を有する中継端末を介して受信するセキュアデバイスの動作プログラムであって、前記データの書込み先を示すセキュアメモリのアドレスと前記セキュアメモリへのデータ書込み不能であった場合の対処法に関する情報とから成る格納指示情報を生成するステップと、前記格納指示情報を前記サービス端末へ送信するステップとを前記セキュアデバイスに実行させる。

[0022] 以下に説明するように、本発明には他の態様が存在する。従って、この発明の開示は、本発明の一部の態様の提供を意図しており、請求される発明の範囲を制限することを意図していない。

図面の簡単な説明

[0023] [図 1]図 1は、第 1の実施の形態の ICカードシステムの構成を示す図

[図 2]図 2は、第 1の実施の形態の ICカードシステムの動作の概要を示す図

[図 3]図 3は、 ICカードおよびサービス端末の処理の詳細を示す図

[図 4]図 4は、格納指示情報の生成の動作を示す図

[図 5]図 5は、送信先決定に用いるテーブルの例を示す図

[図 6]図 6は、送信先決定に用いるテーブルの例を示す図

[図 7]図 7は、格納指示情報の例を示す図

[図 8]図 8は、格納指示情報に含まれる送信先情報の例を示す図

[図 9]図 9は、格納指示情報の例を示す図

[図 10]図 10は、中継端末およびサービス端末の処理を示す図

[図 11A]図 11 Aは、サービス端末から中継端末に送信されるデータの形式を示す図

[図 11B]図 11Bは、ヘッダの内容を示す図

[図 12]図 12は、 ICカードへのデータ書込みの動作を示す図

[図 13]図 13は、 ICカードへのデータ書込みの際のデータの流れを示す図

[図 14]図 14は、 ICカードがビジーの場合のデータ書込みの動作を示す図 [図 15]図 15は、 ICカードがビジーの場合のデータ書込みの際のデータの流れを示す図

[図 16]図 16は、通常メモリ領域カもセキュアメモリ領域へデータを移動する動作を示す図

[図 17]図 17は、通常メモリ領域カもセキュアメモリ領域へデータを移動する際のデータの流れを示す図

[図 18]図 18は、通常メモリ領域カもセキュアメモリ領域へデータを移動する動作を示す図

[図 19]図 19は、通常メモリ領域カもセキュアメモリ領域へデータを移動する際のデータの流れを示す図

[図 20]図 20は、第 2の実施の形態で用いられる ICカードの構成を示す図

[図 21]図 21は、第 2の実施の形態におけるデータ移動の動作を示す図

[図 22]図 22は、第 2の実施の形態におけるデータ移動のデータの流れを示す図

[図 23]図 23は、第 2の実施の形態におけるデータ移動の動作を示す図

[図 24]図 24は、第 2の実施の形態におけるデータ移動のデータの流れを示す図

[図 25]図 25は、変形例における ICカードへのデータ書込みの動作を示す図

[図 26]図 26は、変形例における ICカードへのデータ書込みの動作を示す図

[図 27]図 27は、格納先確保期限に到達した場合のデータ削除の動作を示す図発明を実施するための最良の形態

[0024] 以下に本発明の詳細な説明を述べる。ただし、以下の詳細な説明と添付の図面は、発明を限定するものではない。発明の範囲は、添付の請求の範囲により規定される

[0025] 本実施の形態のセキュアデバイスは、サービス端末から送信されるデータを、情報書込み機能を有する中継端末を介して受信するセキュアデバイスであって、 1以上のアプリケーションとセキュアデバイスの動作を制御するデバイス制御部とを有する耐タンパモジュールと、耐タンパモジュールからのみアクセス可能なセキュアメモリと、サ一ビス端末と通信するための通信部とを備え、デバイス制御部は、データの書込み先を示すセキュアメモリのアドレスと、セキュアメモリへのデータ書込みが不能であつた場合の対処法に関する情報とから成る格納指示情報を生成、格納し、通信部は、格納指示情報をサービス端末へ送信する。

[0026] このように格納指示情報を生成してサービス端末に送信することにより、セキュアデバイスにて指定した中継端末を介してデータを受信できる。また、格納指示情報に書込みが不能であった場合の対処法に関する情報を含めることにより、セキュアメモリへのデータ書込みを行えないときには、セキュアデバイスが上記対処法に関する情報を参照することで、受信したデータを所定の場所に緊急避難的に保存しておくといつた措置をとることができる。

[0027] 上記書込みが不能であった場合の対処法に関する情報は、一時的にデータを保管するための保管先を示すセキュアデバイス又は中継端末の有する通常メモリのァドレスと、通常メモリに保管されたデータをセキュアメモリへ移動させるアプリケーションの識另 U子を有してヽてもよ、。

[0028] データを一時的に保管するための通常メモリのアドレスを含めることにより、セキュアメモリへのデータ書込みを行えないときには、データをー且通常メモリに書き込んでおくことができる。従って、セキュアメモリへのデータ書込みが可能となった後に、通常メモリからデータを読み出し、セキュアメモリへのデータ書込みを実行できる。これにより、一時的にセキュアメモリへのデータ書込みを行えない状態であっても、確実にセキュアメモリへのデータ書込みを行うことができる。

[0029] 上記書込みが不能であった場合の対処法に関する情報は、一時的にデータを保管するための保管先、または、データの書き込み先のメモリ領域の少なくとも一方を確保しておく期限を示す格納先確保期限を有していてもよい。

[0030] メモリの確保期限を含めることにより、期限を過ぎてもデータが格納されないメモリを解放することが出来る。これにより、メモリ領域が不当に確保されたままになることによるメモリ容量減少を防ぐことができる。

[0031] 上記セキュアデバイスにおいて、通信部は、サービス端末から送信されるデータの属性情報を受信し、デバイス制御部は、属性情報に基づいてサービス端末力送信されるデータを中継する中継端末を決定し、決定された中継端末のアドレスを格納指示情報に含めてもよい。 [0032] この構成により、サービス端末力受信した属性情報に応じて、適切な中継端末を決定することができる。ここで属性情報としては、例えば、送信されるデータのデータ量、拡張子、中継端末の種類などがある。例えば、データ量の属性に応じて、データ量が大きい場合には家庭の PC、データ量が小さいときには携帯端末を受信する中継端末として決定することにより、データ量が大きい場合に、すべてのデータを受信するまで携帯端末での処理ができな、と、う不都合を回避できる。

[0033] 上記セキュアデバイスにおヽて、通信部は、サービス端末から送信されるデータの属性情報を受信し、デバイス制御部は、属性情報に基づいて中継端末とサービス端末との間の通信方式を決定し、格納指示情報に含めてもよい。

[0034] この構成により、サービス端末力受信した属性情報に応じて、適切な通信方式を決定することができる。

[0035] 本実施の形態の中継端末は、サービス端末から送信されたデータを通信可能に接続されたセキュアデバイスに書き込む中継端末であって、データと、データの書込み先を示すセキュアデバイスが有するセキュアメモリのアドレスとセキュアメモリへのデータ書込みが不能であった場合の対処法に関する情報とから成る格納指示情報を受信するデータ受信部と、受信したデータを格納指示情報で指定されたセキュアメモリのアドレスへ書き込む命令をセキュアデバイスに送信し、命令に対するセキュアデバイスからの応答を受信する命令送信部と、応答に基づ!/、てセキュアメモリへのデータ書込みの可否を判断し、書込み不能と判断した場合に、格納指示情報で指定された対処法に関する情報に基づいて、セキュアデバイス又は中継端末の有する通常メモリにデータを書き込む制御部と、を備えた構成を有する。

[0036] このようにセキュアメモリへのデータ書込みを行えないときに、通常メモリにデータを書き込んでおくことにより、後でセキュアメモリへのデータ書込みが可能となったときに、通常メモリからセキュアメモリにデータを移動することができる。これにより、一時的にセキュアメモリへのデータ書込みを行えない状態であっても、確実にセキュアメモリへのデータ書込みを行うことができる。

[0037] 本実施の形態の中継端末は、サービス端末から送信されたデータを通信可能に接続されたセキュアデバイスに書込む中継端末であって、データと、データの書込み先を示すセキュアデバイスが有するセキュアメモリのアドレスとセキュアメモリへのデータ書込みが不能であった場合の対処法に関する情報とから成る格納指示情報とを、サ一ビス端末から受信するデータ受信部と、セキュアデバイスの処理状態を管理し、処理状態に基づ、てセキュアメモリへのデータ書込みの可否を判断し、書込み不能と判断した場合に、格納指示情報で指定された対処法に関する情報に基づいて、セキユアデバイス又は該中継端末の有する通常メモリにデータを書き込む制御部と、を備えた構成を有する。

[0038] このように、制御部がセキュアデバイスの処理状態を管理しており、処理状態に基づいて書込みが不能と判断した場合は、通常メモリにデータを書き込んでおくことにより、後でセキュアメモリへのデータ書込みが可能となったときに、通常メモリからセキユアメモリにデータを移動することができる。これにより、一時的にセキュアメモリへのデータ書込みを行えない状態であっても、確実にセキュアメモリへのデータ書込みを行うことができる。

[0039] 本実施の形態の中継端末は、格納指示情報にて指定された通常メモリのアドレスへのデータの書込みの完了に応じて格納指示情報を削除する削除部を備えた構成を有する。

[0040] これにより、中継端末力格納指示情報を不正に読み取られる危険を低減し、セキユリティを向上させることができる。

[0041] 上記対処法に関する情報は、一時的にデータを保管するための保管先を示すセキユアデバイス又は中継端末の有する通常メモリのアドレスと、通常メモリに保管されたデータをセキュアメモリへ移動させるアプリケーションの識別子を含んで、てもよ、。

[0042] これにより、データを一時的に保管するための通常メモリのアドレスを含めることにより、セキュアメモリへのデータ書込みを行えないときには、データをー且通常メモリに書き込んでおくことができる。従って、セキュアメモリへのデータ書込みが可能となつた後に、通常メモリからデータを読み出し、セキュアメモリへのデータ書込みを実行できる。これにより、一時的にセキュアメモリへのデータ書込みを行えない状態であっても、確実にセキュアメモリへのデータ書込みを行うことができる。

[0043] 上記対処法に関する情報は、一時的にデータを保管するための保管先、または、データの書き込み先のメモリ領域の少なくとも一方を確保しておく期限を示す格納先確保期限を含んで、てもよ、。

[0044] これにより、期限を過ぎてもデータが格納されないメモリを解放させることができ、メモリ領域が不当に確保されたままになることによるメモリ容量減少を防ぐことができる。

[0045] 上記中継端末にお!、て、命令送信部は、格納指示情報で指定されたアプリケーシヨンの識別子に基づいて、アプリケーション識別子に対応するアプリケーションの起動命令を出力し、起動したアプリケーションに対し、通常メモリに一時的に保管されたデ一タをセキュアメモリのアドレスに移動させるデータ移動命令を出力してもよい。

[0046] このようにセキュアデバイス力読み出した格納指示情報にて指定されたアプリケーシヨンの識別子と共に、通常メモリからセキュアメモリへのデータの移動命令をセキユアデバイスに送信することにより、セキュアデバイスは、通常メモリからデータを読み出し、読み出したデータをセキュアメモリに格納することができる。これにより、通常メモリに一時的に保管されていたデータをセキュアメモリに移動させることができる。

[0047] 上記中継端末にお!、て、命令送信部は、格納指示情報で指定されたアプリケーシヨンの識別子に基づいて、アプリケーション識別子に対応するアプリケーションの起動命令を出力し、起動したアプリケーションは、格納指示情報を参照し、通常メモリに一時的に保管されたデータをセキュアメモリのアドレスに移動させてもよい。

[0048] このようにセキュアデバイス力読み出した格納指示情報にて指定されるアプリケーシヨンの識別子をセキュアデバイスに送信することにより、セキュアデバイスは指定されたアプリケーションを起動する。そして、起動されたアプリケーションは、セキュアデバイス自身が保持する格納指示情報を参照し、通常メモリに格納されたデータを読み出してセキュアメモリに格納するので、通常メモリに一時的に保管されて、たデ一タをセキュアメモリに移動させることができる。

[0049] 上記中継端末は、格納指示情報で指定された通常メモリのアドレスにアクセスして、通常メモリに一時的に保管されたデータを読み出すデータ読出部をさらに備え、命令送信部は、格納指示情報で指定されたアプリケーションの識別子に基づいて、ァプリケーシヨン識別子に対応するアプリケーションの起動命令を出力し、起動したァプリケーシヨンに対し、データ読出部で読み出したデータのセキュアメモリのアドレスへの書き込みを指示する書込み命令を出力してもよヽ。

[0050] このようにセキュアデバイス力読み出した格納指示情報にて指定される通常メモリのアドレスに基づいて、通常メモリに格納されたデータを読み出し、読み出したデータと共にセキュアメモリへのデータ書込み命令をセキュアデバイスに送信することにより、通常メモリに一時的に保管されていたデータをセキュアメモリに移動させることができる。

[0051] 本実施の形態のセキュアデバイスの動作方法は、サービス端末から送信されるデータを、情報書込み機能を有する中継端末を介して受信するセキュアデバイスの動作方法であって、セキュアデバイスが、データの書込み先を示すセキュアデバイスの有するセキュアメモリのアドレスと、セキュアメモリへのデータ書込み不能であった場合の対処法に関する情報とから成る格納指示情報を生成するステップと、セキュアデバイスが格納指示情報をサービス端末へ送信するステップとを備えた構成を有する。

[0052] この構成により、本実施の形態のセキュアデバイスと同様に、一時的にセキュアメモリへのデータ書込みを行えな、状態であっても、格納指示情報に基づ!/、て確実にセキュアメモリへのデータ書込みを行うことができる。また、本実施の形態のセキュアデバイスの各種の構成を本実施の形態のセキュアデバイスの動作方法に適用することも可能である。

[0053] 本実施の形態のプログラムは、サービス端末力送信されるデータを情報書込み機能を有する中継端末を介して受信するセキュアデバイスの動作プログラムであって、データの書込み先を示すセキュアメモリのアドレスとセキュアメモリへのデータ書込み不能であった場合の対処法に関する情報とから成る格納指示情報を生成するステツプと、格納指示情報をサービス端末へ送信するステップとをセキュアデバイスに実行させる。

[0054] この構成により、本実施の形態のセキュアデバイスと同様に、一時的にセキュアメモリへのデータ書込みを行えな、状態であっても、格納指示情報に基づ!/、て確実にセキュアメモリへのデータ書込みを行うことができる。また、本実施の形態のセキュアデバイスの各種の構成を本実施の形態のプログラムに適用することも可能である。

[0055] 以下、本発明の実施の形態のセキュアデバイスおよび中継端末について図面を用いて説明する。以下の説明では、サービス端末 60から中継端末 40にデータを送信し、中継端末 40がセキュアデバイスの一つである ICカード 10にデータを書き込む IC カードシステムを例として説明する。本システムでは、サービス端末 60と ICカード 10 との通信によりコンテンツの購入を決定し、購入された対象のコンテンツデータをサ一ビス端末 60から中継端末 40に配信する。そして、中継端末 40が ICカード 10のセキュアメモリ領域 18にコンテンッデータを格納すると!ヽぅ流れで動作する。

[0056] 図 1は、本発明の第 1の実施の形態の ICカードおよび中継端末を含んだ ICカードシステムを示す図である。 ICカードシステムは、 ICカード 10と、 ICカード 10に情報を提供するサービス端末 60と、 ICカード 10に情報を書き込む中継端末 40とを備えている。

[0057] ICカード 10は、耐タンパモジュール（Tamper Resistant Module,以下「TRM」と!、う ) 12と、セキュアメモリ領域 18と通常メモリ領域 20とを含むメモリ 22を備えている。セキュアメモリ領域 18は、 TRM12によってのみアクセス可能な領域である。通常メモリ領域 20は、 TRM 12および接触インターフェース 26からアクセス可能な領域である。

[0058] TRM12は、 ICカード 10の動作を制御するカード制御部 14、および単数または複数のカードアプリケーション（以下、「カードアプリ」という） 16を含んでいる。 TRM12 のハードウェアは、 CPUと ROMを備えた 1個のモジュールである。 ROMにカードアプリ 16が格納され、 CPUが ROM力もカードアプリ 16を読み出して実行することにより ICカード 10の動作を制御する。

[0059] また、 ICカード 10は、非接触インターフェース 24と接触インターフェース 26とを有している。本実施の形態においては、非接触インターフェース 24によってサービス端末 60との通信を行い、接触インターフェース 26によって中継端末 40との通信を行う。

[0060] 接触インターフェース 26は、 TRM12および通常メモリ領域 20に接続されている。

接触インターフェース 26は、外部からメモリアクセスコマンドを受信した場合には通常メモリ領域 20にアクセスし、 ICカードアクセスコマンドを受信した場合には TRM12を介してセキュアメモリ領域 18にアクセスする。メモリアクセスコマンドが接触インターフエース 26によって常時受信されるのに対し、 ICカードアクセスコマンドは、 ICカード 1 0がビジー状態の場合には受信されず、接触 IZF52に対しエラーを返す。 ICカード 10のビジー状態の例としては、非接触インターフェース 24と接触インターフェース 26 とが同時に動作できない ICカード 10において非接触インターフェース 24が処理中の場合や、シングルチャネルの ICカード 10にお!/、て他の処理が行われて!/、る場合がある。

[0061] また、 ICカード 10に ICカードアクセスコマンドを送りエラーを受信することでビジーを検知するのではなぐ中継端末 40のカードアクセス制御部 54で、 ICカード 10が非接触処理開始中であることや接触処理開始中であることを管理し、いずれか一方の処理を行っているときには他方の通信処理の開始要求を ICカード 10に送信しないようにしてもよい。また、接触処理中に最大チャネル数までコネクションを張っている場合も、カードアクセス制御部 54でビジー状態であることを判断し、更なるアクセス要求を ICカード 10に送信しな!、ようにしてもよ!、。

[0062] 非接触インターフェース 24は TRM12に接続されている。非接触インターフェース 24は、外部力も入力された情報を TRM12に送信すると共に、 TRM12から渡された情報を外部に送信する。非接触インターフェース 24としては、例えば、 ISO/IEC 1444 3の Type Aや Type B、 JICSAP 2.0、赤外線通信、ブルートゥース等のインターフエ一スを用いることができる。なお、図 1に示した例においては、非接触 I/F24は ICカード 10内にあるとしている力これに限ったものではなぐ非接触 IZFの一部、もしくは全部が中継端末 40側にあり、接触 I/F26、 52を介して ICカード 10がサービス端末 60と非接触通信を行うように構成してもよい。

[0063] 中継端末 40は、一般的なコンピュータが備える端末制御部 42、 RAM44、 ROM4 6、表示部 48、通信部 50の構成に加え、 ICカード 10の情報を読み書きするための接触インターフェース 52と、カードアクセス制御部 54を備えている。中継端末 40としては、例えば、携帯電話機能付きの携帯端末、インターネット接続された PCやインタ一ネット接続された TVなどを用いることができる。

[0064] サービス端末 60は、一般的なコンピュータが備える制御部 62、 RAM64、 ROM66 、通信制御部 68、通信インターフェース 70の構成に加え、 ICカード 10と無線通信するための非接触インターフェース 72を備えている。サービス端末 60の ROM66には、 ICカード 10に送信するコンテンツデータが格納されている。 [0065] 次に、第 1の実施の形態の ICカードシステムの動作について説明する。最初に、 IC カード 10がビジーでなくセキュアメモリ領域 18へのデータ書込みを正常に行える場合の動作について説明し、その後で TRM12がビジーの場合の動作について説明する。

[0066] 図 2は、 ICカード 10、サービス端末 60および中継端末 40の間で送受信されるデータの流れを示す図である。まず、 ICカード 10とサービス端末 60との間で非接触通信を行い、セッションを接続する（S 10)。

[0067] 図 3は、 ICカード 10およびサービス端末 60の処理を詳細に示す図である。まず、 I Cカード 10およびサービス端末 60は、カードアプリ 16を起動する（S40)。その後、 I Cカード 10とサービス端末 60との間で相互認証を行って（S42)、セキュア通信路を生成し、セッション鍵を共有する（S44)。ここまでの動作により、 ICカード 10およびサ一ビス端末 60では、図 2に示す共通のセッション鍵の保存までが行われる（S12)。

[0068] 次に、図 3に示すように、 ICカード 10とサービス端末 60との間で決済処理を行う（S 46)。ここでは、 ICカード 10力サービス端末 60にコンテンツデータの購入要求を送信し、サービス端末 60が購入要求に応じてコンテンツデータの配信を決定する。これにより、 ICカード 10とサービス端末 60との間でコンテンツデータ購入の決済処理が行われる。続いて、サービス端末 60は、コンテンツデータの属性情報を ICカード 10 に送信する（S48)。

[0069] ICカード 10は、サービス端末 60から送信された属性情報を受信すると (S50)、受信した属性情報に基づいて格納指示情報 30を生成する（S52)。ここで、 ICカード 1 0にて生成される格納指示情報 30について説明する。

[0070] 図 4は、 ICカード 10が格納指示情報 30を生成し、サービス端末 60に送信する動作を示す図である。まず、サービス端末 60が ICカード 10にデータの属性情報を送信する（S60)。データの属性情報としては、データ量、データ種別などがある。 ICカード 1 0のカードアプリ 16は、サービス端末 60から送信された属性情報を受信すると、受信した属性情報をカード制御部 14に渡す (S62)。カード制御部 14は、属性情報に基づ、てサービス端末 60から送信されるデータの送信先および送信経路を決定する（ S64)。なお、カード制御部の S64から S74の処理は、ライブラリの形でカード OSに組み込んでもよ、し、カードアプリケーションの形で TRMに保持するとしてもよ!/、。

[0071] 図 5は、属性情報としてデータサイズを受信したときに送信先および書込みエラー時の一時保管先を決定するための、カード制御部が保持するテーブルの一例を示す図である。図 5に示されるように、テーブルは、データサイズに関連付けて送信先情報およびエラー時の対処法を示す情報を有する。図 5に示すテーブルでは、データサイズが 100KB未満の場合には、中継端末として携帯端末のデバイスアドレスが指定され、 100KB以上の場合には、中継端末としてホームサーバのデバイスァドレスが指定されている。これにより、少量のデータの場合には携帯端末で受信して円滑に利用でき、大量のデータの場合には記憶容量の大きいホームサーバで受信することが可能となる。また、エラー時の対処法については、データが 100KB未満の場合には、 ICカード 10内の通常メモリ領域 20に保管するよう指定されている。これにより、携帯端末のメモリの圧迫を回避できる。データが 100KB以上 100MB未満の場合には、ホームサーバの通常メモリに保管するよう指定されている。これにより、一般的に大容量のホームサーバの通常メモリを一時保管領域として利用できる。このように、図 5に示すテーブルを用いて、データサイズに応じて適切な送信先および一時保管先を決定できる。なお、エラー時の対処法を二つ以上指定してもよい。例えば、一番目の対処法として ICカード 10内の通常メモリ領域 20への保管を指定し、二番目の対処法として中継端末 40内の通常メモリ領域への保管を指定する。こうしておくことで、中継端末に ICカードがささっていない場合にも、二番目の対処法により中継端末 40内の通常メモリに一時保存することが出来る。また、サービス端末 60から受信する属性情報は、データサイズに限られず、例えば、属性情報としてデータ種別を受信してもよい。この場合は、例えば図 6に示すようなテーブルを備え、データ種別に応じて送信先を決定する。

[0072] なお、エラー時の対処方法については、空きメモリ領域の確認（図 4の S66、 S68、 S70、 S72)の後に ICカードの 10のカード制御部 14でメモリ領域の空き状態に応じて動的に決定してもよい。その場合、図 5および図 6のテーブルにおいてエラー時の対処法の列は省略してもよヽ。

[0073] 図 4に示すように、カード制御部 14は、送信先を決定した後、セキュアメモリ領域 18 の空き領域を確認し (S66)、データの格納領域を確保する（S68)。これにより、確保したデータ格納用の領域への他のデータの書込みを防止し、セキュアメモリ領域 18 に確実にデータを格納することができる。続いて、カード制御部 14は、通常メモリ領域 20内の空き領域を確認し (S70)、データの一時保管先の領域を確保する（S72) 。これにより、確保した一時保管用の領域への他のデータの書込みを防止し、 IC力ード 10がビジー状態でセキュアメモリ領域 18にデータを格納できない場合にも、通常メモリ領域 20に確実にデータを保管できる。ただし、データの一時保管先である通常メモリ領域 20につ、ては書き込み先の指定やメモリ領域の確保は行わず、空!、ている領域に書き込ませることとしてもよい。つまり、ステップ S72は省略してもよい。次に、カード制御部 14は、格納指示情報 30を作成する（S74)。

[0074] 図 7は、格納指示情報 30の例を示す図である。図 7に示すように、格納指示情報 3 0は、「送信先情報」「カードアプリ ID」「格納先アドレス」「エラー時の保管先」「データサイズ」の各情報を含んでいる。送信先情報は、送信先決定のステップにて決定された送信先のアドレスである。図 7に示す例では、送信先情報には、送信先の中継端末としての携帯端末のデバイスアドレスが含まれる他、通信方式がブルートゥースであることを示す情報「blt」が含まれている。通信方式が、赤外線、 IP、ファイル転送などの場合には、図 8に示す情報が送信先情報に含まれることになる。カードアプリ ID は、データの受信処理を実行するカードアプリ 16を識別する情報である。格納先アドレスは、ステップ S68にて確保された格納先の領域のアドレスを示す情報である。ェラー時の保管先は、ステップ S72にて確保された保管先の領域のアドレスを示す情報である。データサイズは、確保した領域のデータサイズを示す情報である。なお、エラー時の保管先領域を確保しない場合は、エラー時の保管先には通常メモリ領域とのみ指定する。

[0075] また、格納指示情報 30に、他に「格納先確保期限」を含んでもよい。「格納先確保期限」はステップ S68およびステップ S72にて確保された領域を確保しておく期限を示す日時である。

[0076] 図 4に示すように、 ICカード 10のカード制御部 14は、生成したカードアプリ 16に格納指示情報 30を送信する（S76)。カードアプリ 16は、受信した格納指示情報 30を保存すると共に、格納指示情報 30をサービス端末 60に送信する（S78、 S80)。なお、 ICカード 10内に保存する格納指示情報 30は、図 9に示すように、送信先情報を含まなくてもよい。送信先情報は、サービス端末 60がデータを送信すべき中継端末 40 を把握するための情報なので、サービス端末 60から中継端末 40に送信するデータには含まれなくてもよい。以上、格納指示情報について説明した。

[0077] 図 3に示すように、 ICカード 10は格納指示情報 30をサービス端末 60に送信する（ S54)。サービス端末 60が ICカード 10から送信された格納指示情報 30を受信して、 ICカード 10とサービス端末 60との間の通信が完了する（S56)。

[0078] 図 2に示すように、サービス端末 60は、 ICカード 10から送信された格納指示情報 3 0を受信すると（S20)、 ICカード 10から要求されたコンテンツデータを格納指示情報 30にて指定された中継端末 40に送信する（S22〜S28)。

[0079] 図 10は、サービス端末 60および中継端末 40の処理を詳細に示す図である。まず、サービス端末 60は、送信すべきデータをセッション鍵で暗号ィ匕し、暗号化データを生成する（S90)。暗号ィ匕が終了すると、サービス端末 60は、暗号化に用いたセッシヨン鍵を削除する（S92)。次に、サービス端末 60は、暗号ィ匕データにヘッダを付加して中継端末 40に送信する（S94)。

[0080] 図 11Aおよび図 11Bは、サービス端末 60から中継端末 40に送信されるデータの例を示す図である。図 11Aに示すように、ここで送信されるデータには暗号ィ匕データにヘッダが付加されている。ヘッダには、 TLV形式を採用することが好ましい。図 11 Bはヘッダに含まれるデータの内容である。ヘッダには、中継端末 40を特定する端末ミドルウェア（MW) ID、および格納指示情報 30が含まれる。また、図 11Bに示すように、ヘッダに、セッション ID、データ ID、 R/W IDを含めてもよい。

[0081] 中継端末 40の通信部 50は、サービス端末 60から送信された暗号ィ匕データを受信する（S96)。そして、中 «端末 40は、暗号ィ匕データの受信処理についての応答信号をサービス端末 60に送信し (S98)、サービス端末 60が応答信号を受信して、サ一ビス端末 60と中継端末 40との間の通信が完了する（S100)。ここまでの動作により、図 2に示す暗号ィ匕データの送信およびその応答の送信まで完了する（S26、 S28

) o [0082] 次に、中継端末 40は、受信した暗号ィ匕データを ICカード 10にデータを書き込む（ S30)。

[0083] 図 12は中継端末 40および ICカード 10の処理を詳しく示す図、図 13は ICカード 10 へのデータ書込み時のデータの流れを示す図である。図 12に示すように、中継端末 40が、サービス端末 60から送信された格納指示情報 30および暗号ィ匕データを受信すると（S 110)、 ICカード 10に対して、アプリケーション IDを指定してカードアプリ 16 の起動を指示する（S 112)。具体的には、中 «I端末 40のカードアクセス制御部 54が、カードアプリ 16を起動させる ICアクセスコマンドを送信する。 ICカード 10のカード制御部 14は、中継端末 40から送信された ICアクセスコマンドを受信すると、指定されたカードアプリ 16を起動し、その処理結果を中継端末 40に送信する（S114)。

[0084] 次に、中継端末 40のカードアクセス制御部 54は、 ICカード 10に対し、暗号化データを送信すると共に、格納指示情報 30にて指定される格納先アドレスへの暗号ィ匕データの格納を指示する（S116)。 ICカード 10のカードアプリ 16は、受信した暗号ィ匕データをセッション鍵で復号ィ匕し (S118)、復号ィ匕したデータをカード制御部 14に渡す (S 120)。カード制御部 14は、復号されたデータを格納鍵で暗号ィ匕し (S 122)、暗号ィ匕したデータをセキュアメモリ領域 18に格納する（S 124)。カード制御部 14は、暗号ィ匕データを正しく格納された結果を示す OK通知を受けると（S126)、格納処理の結果をカードアプリ 16に通知する（S128)。カードアプリ 16は、データが正しく格納された結果を示す OKの通知を受けると、セッション鍵を削除し (S130)、カード制御部 14に結果を送信する（S 132)。カード制御部 14は、カードアプリ 16から OKの通知を受けると、エラー時の一時保管先として確保されていた保管先メモリを解放する（S13 3)。そして、格納指示情報 30を削除し (S134)、データの格納処理の結果を中継端末 40に送信する（S 136)。中継端末 40は、データが正しく格納された結果を示す O Kの通知を受信すると、格納指示情報 30を削除する（S 138)。なお、セッション鍵の削除処理 (S 128〜S 132)、保管先メモリの解放処理 (S 133)の処理順序は上記に限らず、入れ替わつていてもよい。また、エラー時の一時保管先の確保を行わず、空き領域に一時保存するとしていた場合は、ステップ S133は無くてよい。以上、 ICカード 10がビジー状態でなぐ正常にデータを書き込む動作を説明した。 [0085] 次に、セキュアメモリ領域 18のデータ書込み時に、 ICカード 10の TRM12がビジー状態の場合の動作について説明する。動作の概要について説明すると、 TRM12がビジーの場合には、中継端末 40は、暗号ィ匕データを一時的に通常メモリ領域 20に保管しておき、適当なタイミングで格納指示情報 30を ICカード 10から読み出して、格納指示情報 30に基づいて通常メモリ領域 20からセキュアメモリ領域 18にデータを移動させる。なお、 ICカード 10のビジー状態は、 ICカード 10にアクセスした際のエラ一通知によって検出してもよいし、中継端末 40のカードアクセス制御部 54で判断しても良い。

[0086] 図 14は中継端末 40および ICカード 10の処理を示す図、図 15はセキュアメモリのデータ書込み時に ICカード 10がビジー状態の場合のデータの流れを示す図である。図 14に示すように、中継端末 40は、サービス端末 60から格納指示情報 30と暗号化データを受信すると（S 140)、 ICカード 10に対して、アプリケーション IDを指定してカードアプリ 16の起動を指示する（S142)。具体的には、中 «端末 40のカードアクセス制御部 54力カードアプリ 16を起動させる ICアクセスコマンドを送信する。 IC カード 10は、 ICカード 10がビジー状態なので、アプリケーションの起動失敗を示す N Gの処理結果を中継端末 40に送信する（S144)。

[0087] 中継端末 40は、 ICカード 10から NGの処理結果を受信すると、暗号化データを IC カード 10の通常メモリ領域 20に格納する（S146)。具体的には、中継端末 40のカードアクセス制御部 54が、格納指示情報 30にて指定された一時保管先のアドレスを指定してメモリアクセスコマンドを送信する。メモリアクセスコマンドは、常時 ICカード 10 によって受け付けられ、かつ通常メモリ領域 20にはデータを保管するための領域が確保されているので、暗号ィ匕データを確実に通常メモリ領域 20に格納できる。なお、ここでは、図 15に示すように、中継端末 40が受信した暗号ィ匕データがそのまま通常メモリ領域 20に保管される。格納指示情報 30のエラー時の保管先に通常メモリのみが指定されている場合は、保管先のアドレスはカード制御部により動的に行われる。そして、カード制御部は、内部で保持している格納指示情報 30のエラー時の保管先にデータを保管したアドレスを追加する。なお、カードアクセス制御部 54でカードのビジー状態を判断するできる中継端末 40の場合は、カードアプリ 16の起動指示（S14 2)と NGの処理結果の受信（S 144)を行わず、直接暗号ィ匕データを ICカード 10の通常メモリ領域 20に格納する（S146)を行う。

[0088] 中継端末 40は、 ICカード 10から、通常メモリ領域 20への暗号ィ匕データ格納が成功したことを示す OKの処理結果を受信すると (S148)、格納指示情報 30を削除する（S150)。以上の動作により、 ICカード 10がビジー状態の場合には、通常メモリ領域 20に一時的にデータを保管することができる。

[0089] 次に、通常メモリ領域 20に保管されたデータを、適当なタイミングでセキュアメモリ領域 18に移動する動作について説明する。

[0090] 図 16は中継端末 40および ICカード 10の処理を示す図、図 17は通常メモリ領域 2 0に保管されたデータをセキュアメモリ領域 18に移動する場合のデータの流れを示す図である。図 16に示すように、中継端末 40は、 ICカード 10に対して格納指示情報 30の取得要求を送信する（S 160)。格納指示情報 30の取得要求を送信するタイミングは、 ICカード 10のビジーを検出してから一定時間経過したときでもよいし、 ICカード 10の状態を監視するための ICカードアクセスコマンドを ICカード 10に送信して OK 応答を受信したときでもよい。

[0091] ICカード 10のカード制御部 14は、中継端末 40から格納指示情報 30の取得要求を受信すると、格納指示情報 30を中継端末 40に送信する（S 162)。次に、中継端末 40は、取得した格納指示情報 30にて指定されるアプリケーション IDを指定して、力一ドアプリ 16を起動させる ICアクセスコマンドを ICカード 10に送信する（S164)。 IC カード 10のカード制御部 14は、 ICアクセスコマンドを受信すると、指定されたカードアプリ 16の起動処理を行い、その処理結果を中継端末 40に送信する（S 166)。図 1 6に示す例では、正常にカードアプリ 16が起動され、処理結果として OKが中継端末 40に送信されている。

[0092] 中継端末 40は、カードアプリ 16の起動後、通常メモリ領域 20からセキュアメモリ領域 18へのデータの移動命令を ICカード 10に送信する（S168)。具体的には、暗号化データが一時保管されたアドレスおよび格納先であるセキュアメモリ領域 18のアドレスを格納指示情報 30から抽出し、抽出したアドレス情報を含む ICアクセスコマンドを ICカード 10に送信する。 ICカード 10のカードアプリ 16は、中継端末 40からデータ移動命令を受信すると、受信したデータ移動命令に基づいてデータを移動する。すなわち、カードアプリ 16は、指定された保管先アドレスに基づいて通常メモリ領域 20 にアクセスし、通常メモリ領域 20に格納された暗号ィ匕データを読み出す (S170、 SI 72)。続いて、カードアプリ 16は、読み出した暗号ィ匕データをセッション鍵で復号ィ匕し (S174)、復号ィ匕したデータおよびデータの格納先アドレスをカード制御部 14に渡す（S176)。

[0093] カード制御部 14は、カードアプリ 16から渡されたデータを格納鍵で暗号ィ匕し (S17 8)、暗号ィ匕したデータを指定された格納先アドレスで示されるセキュアメモリ領域 18 に格納する（S180)。カード制御部 14は、暗号ィ匕データの格納が成功したことを示す OKの応答を受信すると（S182)、カードアプリ 16に OKの応答を送信する（S184 ) oこの OKの応答を受けてカードアプリ 16はセッション鍵を削除し（S186)、カード制御部 14に OKの応答を送信する（S188)。この OKの応答を受けてカード制御部 14 は、格納指示情報 30を削除し (S190)、中継端末 40に OKの応答を送信する（SI 9 2)。中継端末 40は、データの移動が正常に完了したことを示す OKの通知を ICカード 10から受信すると、格納指示情報 30を削除する（S194)。なお、このデータの移動 (S170、 SI 72)によりステップ 72で確保されていたデータの一時保管先のメモリ領域は解放される。このように図 16および図 17に示す動作により、通常メモリ領域 20に一時保管されたデータをセキュアメモリ領域 18に移動することができる。

[0094] 次に、通常メモリ領域 20に保管されたデータを、適当なタイミングでセキュアメモリ領域 18に移動することができず、格納指示情報 30に指示された「格納先確保期限」が来てしまった場合にっ、て説明する。

[0095] 図 27は格納先確保期限が来てしまった場合の中継端末 40および ICカード 10の処理を示す図である。なお、中継端末 40のカードアクセス制御部 54は、「格納先確保期限」に示された日時に到達したことを、カード制御部 14からの通知、もしくは、中継端末 40がカード制御部 14内に保持されている格納指示情報 30を取得することで検知する。カード制御部 14からの通知で検知する場合、中継端末 40は直後に ICカード 10から格納指示情報 30を取得する。格納指示情報 30の取得については、図 16 に示す手順と同様であるため、図 27では省略する。 [0096] 中継端末 40のカードアクセス制御部 54は、「格納先確保期限」に示された日時に到達したことを検知すると (S271)、再度通常メモリ領域 20に保管されたデータをセキュアメモリ領域 18に移動させる処理を行う。具体的には、格納指示情報 30にて指定されるアプリケーション IDを指定して、カードアプリ 16を起動させる ICアクセスコマンドを ICカード 10に送信する（S272)。カードアプリ 16の起動が失敗となった（S273 )場合、もしくは、図 16に示すようなデータ移動処理の途中でエラーが発生し正常に移動が行われなかった場合、中継端末 40のカードアクセス制御 54はカード制御部 1 4にクリア命令を送る（S274)。カード制御部 14は、クリア命令を受けると通常メモリに一時保管されているデータの削除（S275〜S277)、カードアプリが保存しているセッシヨン鍵の肖 IJ除（S278〜S280)、ステップ 68で確保されたセキュアメモリ領域 18の解放 (S281)を行う。そして、格納指示情報 30を削除し (S282)、中継端末 40に成功した旨を通知する（S283)。中継端末 40は通知を受け、事前に取得していた格納指示情報 30を削除する（S284)。なお、通常メモリに一時保管されているデータの削除処理、カードアプリが保存しているセッション鍵の削除処理、セキュアメモリ領域 18の解放処理の処理順序は上記に限らず、入れ替わつていてもよい。

[0097] このように図 27に示す動作により、セキュアメモリ領域が確保されたまま、データは格納されていないのにメモリ残量が少なくなることを防ぐことが出来る。

[0098] また、サービス端末 60から中継端末 40に暗号ィ匕データの送信（図 2の S26)が行われず、格納指示情報 30に指示された「格納先確保期限」が来てしまった場合についても、図 27と同様に中継端末 40のカードアクセス制御部 54はカード制御部 14にタリァ命令を送る（S274)。ただし、この場合は、通常メモリに一時保管されているデータの肖 IJ除（S275〜S277)は省略してよい。

[0099] 本発明の実施の形態において、中継端末 40のカードアクセス制御部 54は中継端末 40に ICカード 10が挿入され ICカードの初期処理が行われる際に、必ずカード制御部 14に格納指示情報 30が保存されて、な、かチックを行う。格納指示情報 30 が保存されていた場合は、上述した保存データの移動処理を実施する。また、格納先確保期限が切れている場合は図 27に示すクリア処理を実施する。

[0100] 以上、本発明の第 1の実施の形態の ICカード 10および中継端末 40について説明した。

[0101] 第 1の実施の形態の ICカード 10は、データの格納先および一時保管先を指定した格納指示情報 30を格納してカード制御部 14に保存する。そして、中継端末 40から I Cカード 10のセキュアメモリ領域 18のデータを書き込む際に、 ICカード 10の TRM1 2がビジーの場合には、一時保管先の通常メモリ領域 20にデータを一時的に保管しておき、後で一時保管先力も最終的な格納先であるセキュアメモリ領域 18にデータを移動する。これにより、 TRM12がビジーの状態でも確実にデータを ICカード 10のセキュアメモリ領域 18に格納することができる。

[0102] また、中継端末 40は、データを通常メモリ領域 20に一時保管した後は、格納指示情報 30を削除し、後でデータを移動させる際に ICカード 10から格納指示情報 30を読み出すので、データの一時保管先のアドレスを含む格納指示情報 30を中継端末 40から読み出される危険を低減でき、セキュリティを向上させることができる。

[0103] また、データの属性情報に応じてデータ送信先の中継端末 40を決定し、その中継端末 40を特定する送信先情報を含む格納指示情報 30をサービス端末 60に送信しているので、サービス端末 60は適切な中継端末 40にデータを送信できる。

[0104] また、カード制御部 14がセキュアメモリ領域 18に格納先を確保しているため、メモリ不足を起こすことなくセキュアメモリ領域 18にデータを格納することが出来ると共に、格納先確保期限に応じて中継端末 40がクリア処理を実行させることで、メモリが確保されたままになりセキュアメモリ領域の利用可能領域が減ることを防ぐことができる。

[0105] また、中継端末 40は、 ICカード 10が新たに挿入された際に、必ず格納指示情報 3 0の有無を調べるので、セキュアに保存したいデータが通常メモリ領域 20に保管されたままの状態になることを防ぎ、セキュリティを向上させることができる。

[0106] 次に、第 1の実施の形態の ICカードシステムの変形例について説明する。変形例に係る ICカードシステムの基本的な構成は、第 1の実施の形態の ICカードシステムと同じである力通常メモリ領域 20からセキュアメモリ領域 18へデータを移動させるときの動作が異なる。

[0107] 図 18は中継端末 40および ICカード 10の処理を示す図、図 19は通常メモリ領域 2 0に保管されたデータをセキュアメモリ領域 18に移動する場合のデータの流れを示す図である。変形例に係る ICカードシステムでは、通常メモリ領域 20からセキュアメモリ領域 18にデータを移動させる動作は第 1の実施の形態と基本的に同じであるが、 ICカード 10が送信するデータ移動命令には、一時保管先アドレス、格納先アドレスが含まれない点が異なる。 ICカード 10のカードアプリ 16は、中継端末 40からデータ移動命令を受信すると（S208)、カード制御部 14に格納された格納指示情報 30を読み出し (S210、 S212)、一時保管先アドレスと格納先アドレスを取得する。一時保管先アドレスと格納先アドレスを取得した後の動作は、第 1の実施の形態の ICカードシステムと同じである。

[0108] 次に、本発明の第 2の実施の形態の ICカードシステムについて説明する。第 2の実施の形態の ICカードシステムの基本的な構成は、第 1の実施の形態の ICカードシステムと同じであるが、第 2の実施の形態で用いられる ICカード 10の構成が第 1の実施の形態とは異なる。また、これに伴い、通常メモリ領域 20に一時的に保管されたデータをセキュア領域に移動させる手順も、第 1の実施の形態とは異なる。

[0109] 図 20は、第 2の実施の形態で用いられる ICカード 10の構成を示す図である。第 2 の実施の形態の ICカード 10は、第 1の実施の形態と異なり、 TRM12が通常メモリ領域 20にアクセスできない。この構成により、 TRM12およびセキュアメモリ領域 18を通常メモリ領域 20から分離して、さらにセキュリティを向上させることができる。

[0110] 図 21は中継端末 40および ICカード 10の処理を示す図、図 22は通常メモリ領域 2 0に保管されたデータをセキュアメモリ領域 18に移動する場合のデータの流れを示す図である。

[0111] 図 21に示すように、中継端末 40が適切なタイミングで ICカード 10から格納指示情報 30を取得し、カードアプリ 16を起動するまでの動作は（S240〜S246)、第 1の実施の形態と同じである。第 2の実施の形態では、カードアプリ 16を起動した後、中継端末 40は ICカード 10の通常メモリ領域 20にアクセスして一時保管されているデータを読み出す。具体的には、中継端末 40は、格納指示情報 30にて指定された保管先アドレスから暗号ィ匕データを読み出すメモリアクセスコマンドを送信し (S248)、 IC力ード 10からデータを受信する（S250)。

[0112] 次に、中継端末 40は、通常メモリ領域 20から読み出した暗号ィ匕データを ICカード 10に送信すると共に、暗号化データを格納する ICアクセスコマンドを送信する（S25 2)。 ICカード 10のカードアプリ 16は受信した暗号化データをセッション鍵で復号化し (S254)、復号ィ匕したデータをカード制御部 14に渡す (S256)。カード制御部 14 は、カードアプリ 16から渡されたデータを格納鍵で暗号ィ匕し (S258)、暗号ィ匕されたデータをセキュアメモリ領域 18に格納する（S260)。カード制御部 14が、セキュアメモリ領域 18にデータを格納した後の動作は（S262〜S274)、第 1の実施の形態と同じである。

[0113] 以上、本発明の第 2の実施の形態の ICカード 10および中継端末 40について説明した。

[0114] 第 2の実施の形態の中継端末 40は、 ICカード 10の通常メモリ領域 20に一時保管されたデータを読み出し、読み出したデータをセキュアメモリ領域 18に書き込む。この構成により、 TRM 12が通常メモリ領域 20にアクセスできな、タイプの ICカード 10 においても、第 1の実施の形態と同様に、確実にデータを受信できるという効果を有する。

[0115] 次に、第 2の実施の形態の ICカードシステムの変形例について説明する。変形例に係る ICカードシステムは、中継端末 40が受信したデータを一時保管するのが端末メモリ領域 (RAM) 44である点が第 2の実施の形態と異なる。

[0116] 図 23は中継端末 40および ICカード 10の処理を示す図、図 24は端末メモリ領域 4

4に保管されたデータをセキュアメモリ領域 18に移動する場合のデータの流れを示す図である。

[0117] 図 23に示すように、中継端末 40が適切なタイミングで ICカード 10から格納指示情報 30を取得し、カードアプリ 16を起動するまでの動作は（S280〜S286)、第 2の実施の形態と同じである。変形例では、中継端末 40のカードアクセス制御部 54は、力一ドアプリ 16起動後、端末メモリ領域 44にアクセスし (S288)、一時保管されたデータを読み出す (S290)。一時保管されたデータを読み出した後の動作は（S292〜S 314)、第 2の実施の形態と同じである。

[0118] このように、受信したデータを端末メモリ領域 44に一時保管しておき、端末メモリ領域 44力セキュアメモリ領域 18のデータを移動させる構成により、 ICカード 10の通常メモリ領域 20の残容量の制限を受けない。すなわち、通常メモリ領域 20の残容量が少ない場合にも、 ICカード 10に確実にデータを受信させることができる。

[0119] 以上、本発明のセキュアデバイスおよび中継端末について、実施の形態を挙げて詳細に説明した力本発明のセキュアデバイスおよび中継端末は上記した実施の形態に限定されるものではない。

[0120] 上記した実施の形態において、中継端末 40から ICカード 10にデータを書き込む際に、セッション鍵で署名検証を行ってもよい。

[0121] 図 25は、セッション鍵による署名検証のステップ S330を備えたデータ書込み処理を示す図である。図 25に示すように、 ICカード 10が暗号ィ匕データを受信した後にセッシヨン鍵による署名検証を行うことにより、セキュリティをさらに向上させることができる。

[0122] また、上記した実施の形態において、セッション IDごとにセッション鍵を管理する構成としてもよい。

[0123] 図 26は、セッション IDに応じてセッション鍵を選択するステップ S332を備えたデータ書込み処理を示す図である。図 25に示すように、 ICカード 10が暗号ィ匕データを受信した後にヘッダ力もセッション IDを読み出し、セッション IDに応じたセッション鍵を選択する。そして、 ICカード 10は、選択したセッション鍵を用いてデータを復号ィ匕する。この構成により、セッション IDに応じて適切なセッション鍵を選択できるので、サービス端末 60から ICカード 10にデータを送信するセッションが複数存在する場合にも適切にデータを処理することができる。

[0124] 上記した実施の形態では、セキュアデバイスの例として ICカード 10を例として説明したが、本発明は ICカード以外のセキュアデバイスに適用することも可能である。

[0125] 以上説明したように、本発明によれば、格納指示情報にデータを一時的に保管するための通常メモリのアドレスを含めることにより、セキュアメモリ領域へのデータ書込みを行えないときには、データをー且通常メモリに書き込んでおき、セキュアメモリ領域へのデータ書込みが可能となった後に、書込みを実行可能となり、一時的にセキユアメモリ領域へのデータ書込みを行えない状態であっても、確実にセキュアメモリ領域へのデータ書込みを行うことができる。 [0126] 以上に、現時点で考えられる本発明の好適な実施の形態を説明した力本実施の形態に対して多様な変形が可能なことが理解される。添付の請求の範囲は、本発明の真実の精神と範囲内にあるすベての変形を含む。産業上の利用可能性

[0127] 本発明は確実にセキュアメモリへのデータ書込みを行うことができるという効果を有し、耐タンパ領域を有するセキュアデバイス等として有用である。

Claims

請求の範囲

[1] サービス端末から送信されるデータを、情報書込み機能を有する中継端末を介して受信するセキュアデバイスであって、

1以上のアプリケーションと前記セキュアデバイスの動作を制御するデバイス制御部とを有する耐タンパモジュールと、

前記耐タンパモジュール力ものみアクセス可能なセキュアメモリと、

前記サービス端末と通信するための通信部と、

を備え、

前記デバイス制御部は、前記データの書込み先を示す前記セキュアメモリのァドレスと前記セキュアメモリへのデータ書込みが不能であった場合の対処法に関する情報とから成る格納指示情報を生成、格納し、

前記通信部は、前記格納指示情報を前記サービス端末へ送信するセキュアデバイス。

[2] 前記対処法に関する情報は、一時的に前記データを保管するための保管先を示す前記セキュアデバイス又は前記中継端末の有する通常メモリのアドレスと、前記通常メモリに保管されたデータを前記セキュアメモリへ移動させる前記アプリケーションの識別子を有する請求項 1に記載のセキュアデバイス。

[3] 前記対処法に関する情報は、一時的に前記データを保管するための保管先、または、前記データの書き込み先のメモリ領域の少なくとも一方を確保しておく期限を示す格納先確保期限を有する請求項 2に記載のセキュアデバイス。

[4] 前記通信部は、前記サービス端末から送信されるデータの属性情報を受信し、前記デバイス制御部は、前記属性情報に基づ!ヽて前記サービス端末から送信されるデータを中継する中継端末を決定し、決定された前記中継端末のアドレスを前記格納指示情報に含める請求項 1に記載のセキュアデバイス。

[5] 前記通信部は、前記サービス端末から送信されるデータの属性情報を受信し、前記デバイス制御部は、前記属性情報に基づいて前記中継端末と前記サービス端末との間の通信方式を決定し、前記格納指示情報に含める請求項 1に記載のセキユアデバイス。

[6] サービス端末カゝら送信されたデータを通信可能に接続されたセキュアデバイスに書き込む中 «I端末であって、

前記データと、前記データの書込み先を示す前記セキュアデバイスが有するセキュァメモリのアドレスと前記セキュアメモリへのデータ書込みが不能であった場合の対処法に関する情報とから成る格納指示情報とを、前記サービス端末から受信するデータ受信部と、

受信したデータを前記格納指示情報で指定された前記セキュアメモリのアドレスへ書き込む命令を前記セキュアデバイスに送信し、前記命令に対する前記セキュアデバイスからの応答を受信する命令送信部と、

前記応答に基づ、て前記セキュアメモリへのデータ書込みの可否を判断し、書込み不能と判断した場合に、前記格納指示情報で指定された対処法に関する情報に基づいて、前記セキュアデバイス又は該中継端末の有する通常メモリに前記データを書き込む制御部と、

を備える中継端末。

[7] サービス端末カゝら送信されたデータを通信可能に接続されたセキュアデバイスに書込む中継端末であって、

前記セキュアデバイスの処理状態を管理し、前記処理状態に基づ!、て前記セキュァメモリへのデータ書込みの可否を判断し、書込み不能と判断した場合に、前記格納指示情報で指定された対処法に関する情報に基づ、て、前記セキュアデバイス又は該中 «端末の有する通常メモリに前記データを書き込む制御部と、

を備える中継端末。

[8] 前記中継端末は、さらに、前記格納指示情報にて指定された通常メモリのアドレスへのデータの書込みの完了に応じて前記格納指示情報を削除する削除部を備える請求項 6または 7に記載の中継端末。

[9] 前記対処法に関する情報は、一時的に前記データを保管するための保管先を示す前記セキュアデバイス又は前記中継端末の有する通常メモリのアドレスと、前記通常メモリに保管されたデータを前記セキュアメモリへ移動させる前記アプリケーションの識別子を含む請求項 6に記載の中継端末。

[10] 前記命令送信部は、

前記格納指示情報で指定されたアプリケーションの識別子に基づ!/、て、前記アプリケーシヨン識別子に対応するアプリケーションの起動命令を出力し、

起動した前記アプリケーションに対し、前記通常メモリに一時的に保管された前記データを前記セキュアメモリのアドレスに移動させるデータ移動命令を出力する請求項 9に記載の中継端末。

[11] 前記対処法に関する情報は、一時的に前記データを保管するための保管先を示す前記セキュアデバイス又は前記中継端末の有する通常メモリのアドレスと、前記通常メモリに保管されたデータを前記セキュアメモリへ移動させる前記アプリケーションの識別子を含む請求項 7に記載の中継端末。

[12] 前記対処法に関する情報は、一時的に前記データを保管するための保管先、または、前記データの書き込み先のメモリ領域の少なくとも一方を確保しておく期限を示す格納先確保期限を有する請求項 11に記載の中継端末。

[13] 前記命令送信部は、

起動した前記アプリケーションは、前記格納指示情報を参照し、前記通常メモリに一時的に保管されたデータを前記セキュアメモリのアドレスに移動させる請求項 9または請求項 11に記載の中継端末。

[14] 前記格納指示情報で指定された通常メモリのアドレスにアクセスして、前記通常メモリに一時的に保管されたデータを読み出すデータ読出部をさらに備え、

前記命令送信部は、

前記格納指示情報で指定されたアプリケーションの識別子に基づ!/、て、前記アプリケーシヨン識別子に対応するアプリケーションの起動命令を出力し、起動した前記アプリケーションに対し、前記データ読出部で読み出した前記データの前記セキュアメモリのアドレスへの書き込みを指示する書込み命令を出力する請求項 9または請求項 11に記載の中継端末。

[15] 前記命令送信部は、前記格納指示情報で指定された格納先確保期限を参照し、前記通常メモリに一時的に保管されたデータを削除する請求項 12に記載の中継端末。

[16] サービス端末から送信されるデータを、情報書込み機能を有する中継端末を介して受信するセキュアデバイスの動作方法であって、

前記セキュアデバイスが、前記データの書込み先を示す前記セキュアデバイスの有するセキュアメモリのアドレスと前記セキュアメモリへのデータ書込み不能であった場合の対処法に関する情報とから成る格納指示情報を生成するステップと、

前記セキュアデバイスが前記格納指示情報を前記サービス端末へ送信するステツプと、

を備えるセキュアデバイスの動作方法。

[17] サービス端末カゝら送信されるデータを情報書込み機能を有する中継端末を介して受信するためのセキュアデバイスによって読み取り可能なプログラムであって、前記データの書込み先を示す前記セキュアデバイスの有するセキュアメモリのアドレスと前記セキュアメモリへのデータ書込み不能であった場合の対処法に関する情報とから成る格納指示情報を生成するステップと、

前記格納指示情報を前記サービス端末へ送信するステップと、

を前記セキュアデバイスに実行させるプログラム。