WO2022091902A1 - Icカード、携帯可能電子装置及び発行装置 - Google Patents

Icカード、携帯可能電子装置及び発行装置 Download PDF

Info

Publication number
WO2022091902A1
WO2022091902A1 PCT/JP2021/038729 JP2021038729W WO2022091902A1 WO 2022091902 A1 WO2022091902 A1 WO 2022091902A1 JP 2021038729 W JP2021038729 W JP 2021038729W WO 2022091902 A1 WO2022091902 A1 WO 2022091902A1
Authority
WO
WIPO (PCT)
Prior art keywords
card
processor
data
certificate information
parent
Prior art date
Application number
PCT/JP2021/038729
Other languages
English (en)
French (fr)
Inventor
清 利光
雅一 加藤
亜紀 福田
量一 栗山
Original Assignee
株式会社 東芝
東芝インフラシステムズ株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社 東芝, 東芝インフラシステムズ株式会社 filed Critical 株式会社 東芝
Priority to EP21886021.1A priority Critical patent/EP4239521A4/en
Publication of WO2022091902A1 publication Critical patent/WO2022091902A1/ja
Priority to US18/306,380 priority patent/US20230261864A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/0716Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips at least one of the integrated circuit chips comprising a sensor or an interface to a sensor
    • G06K19/0718Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips at least one of the integrated circuit chips comprising a sensor or an interface to a sensor the sensor being of the biometric kind, e.g. fingerprint sensors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • G06K19/07309Means for preventing undesired reading or writing from or onto record carriers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Definitions

  • Embodiments of the present invention relate to IC cards, portable electronic devices and issuing devices.
  • a method of issuing a child IC card linked to a parent IC card that stores a template of biometric information is provided.
  • the child IC card realizes the function of the parent IC card or a part of the function.
  • an issuing device that issues a child IC card requires a mechanism for acquiring biometric information from the parent IC card, such as authenticating the person using the biometric information stored in the parent IC card.
  • the IC card associated with the parent IC card includes a sensor, a first storage unit, a second storage unit, a communication unit, and a processor.
  • the sensor acquires biometric information.
  • the first storage unit stores a template for collating with the biometric information.
  • the second storage unit stores the second data related to the first data stored in the parent IC card.
  • the communication unit sends / receives data to / from the host device.
  • the processor authenticates the user based on the collation result between the biometric information and the template according to the command from the higher-level device, and when the authentication of the user is successful, at least a part of the second data is transferred to the higher-level device. Send.
  • FIG. 1 is a block diagram showing a configuration example of the issuing system according to the first embodiment.
  • FIG. 2 is a block diagram showing a configuration example of the issuing device according to the first embodiment.
  • FIG. 3 is a block diagram showing a configuration example of the parent IC card according to the first embodiment.
  • FIG. 4 is a block diagram showing a configuration example of a child IC card according to the first embodiment.
  • FIG. 5 is a block diagram showing a configuration example of the management server according to the first embodiment.
  • FIG. 6 is a sequence diagram showing an operation example of the issuing system according to the first embodiment.
  • FIG. 7 is a sequence diagram showing an operation example of the issuing system according to the first embodiment.
  • FIG. 8 is a sequence diagram showing an operation example of the issuing system according to the second embodiment.
  • FIG. 9 is a sequence diagram showing an operation example of the issuing system according to the third embodiment.
  • FIG. 10 is a diagram showing a configuration example of the third certificate information according to the third embodiment.
  • FIG. 11 is a sequence diagram showing an operation example of the issuing system according to the fourth embodiment.
  • FIG. 12 is a sequence diagram showing an operation example of the issuing system according to the fifth embodiment.
  • FIG. 13 is a block diagram showing a configuration example of the issuing system according to the sixth embodiment.
  • FIG. 14 is a block diagram showing a configuration example of the key server according to the sixth embodiment.
  • FIG. 15 is a sequence diagram showing an operation example of the issuing system according to the sixth embodiment.
  • the issuing system issues a child IC card using an IC card such as an Individual Number card as a parent IC card.
  • the issuing system stores information related to the information stored in the parent IC card in the child IC card.
  • the issuing system issues a child IC card capable of performing biometric authentication.
  • FIG. 1 shows a configuration example of the issuing system 1 according to the embodiment.
  • the issuing system 1 includes an issuing device 10, a parent IC card 20, a child IC card 30, a management server 40, and the like.
  • the issuing device 10 is connected to the parent IC card 20 and the child IC card 30. Further, the issuing device 10 connects to the management server 40 via the network 50.
  • the issuing system 1 may further include a configuration as required in addition to the configuration as shown in FIG. 1, or a specific configuration may be excluded from the issuing system 1.
  • the issuing device 10 (upper device) issues a child IC card associated with the parent IC card.
  • the issuing device 10 issues the child IC card 30 in a state of being connected to the parent IC card 20.
  • the issuing device 10 acquires data stored in the child IC card 30 from the management server 40, the parent IC card 20, or the like.
  • the issuing device 10 stores the acquired data in the child IC card 30.
  • the issuing device 10 will be described in detail later.
  • the parent IC card 20 is an IC card for performing a predetermined authentication process.
  • the parent IC card 20 stores biological information such as a face.
  • the parent IC card 20 authenticates the user using a password or biometric information.
  • the parent IC card 20 outputs biometric information to an external device.
  • the external device may take a face image of the user using a camera or the like and collate it with the biometric information from the parent IC card 20. Further, the external device may display biometric information from the parent IC card 20 and accept authentication by the operator.
  • the parent IC card 20 stores certificate information composed of a private key, a public key, and the like. Further, the parent IC card 20 may store a plurality of private keys and certificate information. The parent IC card 20 will be described in detail later.
  • the child IC card 30 is an IC card associated with the parent IC card 20.
  • the child IC card 30 realizes a function related to the parent IC card 20.
  • the child IC card 30 realizes the function of the parent IC card 20 or a part of the function.
  • the child IC card 30 authenticates the user by using biometric information different from the biometric information used by the parent IC card 20.
  • the child IC card 30 will be described in detail later.
  • the management server 40 (external device) manages the data stored in the child IC card 30.
  • the management server 40 stores data stored in the parent IC card 20.
  • the management server 40 generates data to be stored in the child IC card 30 based on the data stored in the parent IC card 20.
  • the management server 40 generates certificate information composed of a private key, a public key, and the like as data to be stored in the child IC card 30.
  • the management server 40 will be described in detail later.
  • the network 50 relays communication between the issuing device 10 and the management server 40.
  • the network 50 is the Internet or the like.
  • the network 50 may be a LAN (Local Area Network) or the like.
  • FIG. 2 shows a configuration example of the issuing device 10 according to the embodiment.
  • FIG. 2 is a block diagram showing a configuration example of the issuing device 10.
  • the issuing device 10 includes a processor 11, a ROM 12, a RAM 13, an NVM 14, a communication unit 15, an operation unit 16, a display unit 17, a first reader / writer 18, a second reader / writer 19, and the like.
  • the processor 11 and the ROM 12, RAM 13, NVM 14, communication unit 15, operation unit 16, display unit 17, first reader / writer 18, and second reader / writer 19 are connected to each other via a data bus or the like.
  • the issuing device 10 may have a configuration as required, or a specific configuration may be excluded from the issuing device 10.
  • the processor 11 has a function of controlling the operation of the entire issuing device 10.
  • the processor 11 may include an internal cache, various interfaces, and the like.
  • the processor 11 realizes various processes by executing a program stored in advance in the internal memory, ROM 12 or NVM 14.
  • processor 11 controls the functions performed by the hardware circuit.
  • ROM 12 is a non-volatile memory in which a control program, control data, and the like are stored in advance.
  • the control program and control data stored in the ROM 12 are preliminarily incorporated according to the specifications of the issuing device 10.
  • RAM 13 is a volatile memory.
  • the RAM 13 temporarily stores data and the like being processed by the processor 11.
  • the RAM 13 stores various application programs based on instructions from the processor 11. Further, the RAM 13 may store data necessary for executing the application program, an execution result of the application program, and the like.
  • NVM14 is a non-volatile memory in which data can be written and rewritten.
  • the NVM 14 is composed of, for example, an HDD (Hard Disk Drive), an SSD (Solid State Drive), a flash memory, or the like.
  • the NVM 14 stores a control program, an application, various data, and the like according to the operational use of the issuing device 10.
  • the communication unit 15 is an interface for communicating with the network 50. That is, the communication unit 15 is an interface for transmitting and receiving data to and from the management server 40 and the like through the network 50.
  • the communication unit 15 is an interface that supports a wired or wireless LAN connection.
  • the operation unit 16 receives inputs of various operations from the operator.
  • the operation unit 16 transmits a signal indicating the input operation to the processor 11.
  • the operation unit 16 may be composed of a touch panel.
  • the display unit 17 displays the image data from the processor 11.
  • the display unit 17 is composed of a liquid crystal monitor.
  • the operation unit 16 is composed of a touch panel, the display unit 17 may be integrally formed with the operation unit 16.
  • the first reader / writer 18 is an interface device for transmitting / receiving data to / from the parent IC card 20.
  • the first reader / writer 18 is configured by an interface corresponding to the communication method of the parent IC card 20.
  • the parent IC card 20 is a contact type IC card
  • the first reader / writer 18 is composed of a contact portion for physically and electrically connecting to the contact portion of the parent IC card 20.
  • the parent IC card 20 may be a portable electronic device.
  • the portable electronic device is a device provided with a USB interface
  • the first reader / writer 18 physically and electrically connects to the USB connector portion of the portable electronic device as the parent IC card 20. It is composed of the connection part of. That is, the parent IC card 20 may be a USB device instead of an IC card.
  • the first reader / writer 18 is composed of an antenna for wireless communication with the parent IC card 20, a communication control unit, and the like.
  • the first reader / writer 18 performs power supply, clock supply, reset control, data transmission / reception, and the like to the parent IC card 20.
  • the first reader / writer 18 supplies power to the parent IC card 20, activates (starts) the parent IC card 20, clock supplies, reset control, and transmits various commands based on the control by the processor 11. And receive the response to the sent command.
  • the second reader / writer 19 is an interface device for transmitting / receiving data to / from the child IC card 30. Since the second reader / writer 19 has the same configuration as the first reader / writer 18, detailed description thereof will be omitted.
  • the parent IC card 20 operates according to a command from the issuing device 10.
  • the parent IC card 20 transmits a response to the command to the issuing device 10.
  • the parent IC card 20 is a My Number card.
  • FIG. 3 shows a configuration example of the parent IC card 20.
  • the parent IC card 20 has a card-shaped main body Sa made of plastic or the like.
  • the parent IC card 20 has a module Ma built in the main body Sa.
  • the module Ma is integrally formed with the IC chip Ca, the communication unit 25, and the MPU 26 connected to each other, and is embedded in the main body Sa of the parent IC card 20.
  • the parent IC card 20 includes a module Ma and the like.
  • the module Ma includes an IC chip Ca, a communication unit 25, an MPU 26, and the like.
  • the IC chip Ca includes a processor 21, a ROM 22, a RAM 23, an NVM 24, and the like.
  • the processor 21 is connected to the ROM 22, RAM 23, NVM 24, communication unit 25, and MPU 26 via a data bus or the like.
  • the parent IC card 20 may have a configuration as required in addition to the configuration shown in FIG. 3, or a specific configuration may be excluded from the parent IC card 20.
  • the processor 21 functions as a control unit that controls the entire parent IC card 20.
  • the processor 21 performs various processes based on the control program and control data stored in the ROM 22 or the NVM 24.
  • the processor 21 executes various processes according to the operation control of the parent IC card 20 or the operation mode of the parent IC card 20 by executing the program stored in the ROM 22.
  • the processor 21 may be a processor that realizes control and information processing of each part in the parent IC card 20 by executing a program. It should be noted that some of the various functions realized by the processor 21 executing the program may be realized by the hardware circuit. In this case, the processor 21 controls the functions performed by the hardware circuit.
  • the ROM 22 is a non-volatile memory that stores a control program, control data, and the like in advance.
  • the ROM 22 is incorporated in the parent IC card 20 in a state where the control program, control data, and the like are stored in the manufacturing stage. That is, the control program and control data stored in the ROM 22 are incorporated in advance according to the specifications of the parent IC card 20 and the like.
  • the RAM 23 is a volatile memory.
  • the RAM 23 temporarily stores data and the like being processed by the processor 21.
  • the RAM 23 functions as a calculation buffer, a reception buffer, and a transmission buffer.
  • the calculation buffer temporarily holds the results of various arithmetic processes executed by the processor 21.
  • the reception buffer holds command data and the like received from the first reader / writer 18 via the communication unit 25.
  • the transmission buffer holds a message (response data) to be transmitted to the first reader / writer 18 via the communication unit 25.
  • the NVM24 is composed of a non-volatile memory such as a flash ROM capable of writing and rewriting data.
  • the NVM 24 stores a control program, an application, and various data according to the operational use of the parent IC card 20. For example, in NVM24, a program file, a data file, and the like are created. A control program and various data are written in each created file.
  • the NVM24 is a second certificate composed of a first private key, a second private key, a first certificate information composed of a first public key, and the like, and a second public key. Stores book information. The first private key, the second private key, the first certificate information, and the second certificate information will be described later.
  • the communication unit 25 is an interface for transmitting and receiving data to and from the first reader / writer 18. That is, the communication unit 25 is an interface for transmitting / receiving data to / from the issuing device 10 through the first reader / writer 18.
  • the communication unit 25 is a communication control unit and a contact unit for physically and electrically contacting the first reader / writer 18 to transmit and receive signals. It is composed of.
  • the parent IC card 20 is activated by being supplied with an operating power supply and an operating clock from the first reader / writer 18 via the contact portion.
  • the communication unit 25 is composed of a communication control unit such as a modulation / demodulation circuit for performing wireless communication with the first reader / writer 18 and an antenna.
  • a communication control unit such as a modulation / demodulation circuit for performing wireless communication with the first reader / writer 18 and an antenna.
  • the parent IC card 20 receives radio waves from the first reader / writer 18 via an antenna, a modulation / demodulation circuit, and the like.
  • the parent IC card 20 generates and activates an operating power supply and an operating clock from the radio wave by a power supply unit (not shown).
  • the MPU26 (MicroProcessingUnit) performs password verification for outputting the first certificate information or the second certificate information.
  • the MPU26 registers the template in advance.
  • the template is a face image.
  • the template may be composed of the feature amount extracted from the face image.
  • the MPU 26 controls to output a template to an external device. That is, when performing biometric authentication with the parent IC card 20, it is necessary to output biometric information such as a face image to an external device.
  • the first certificate information is output by password verification with a predetermined number of digits (for example, 6 digits) and is used for a predetermined process.
  • the first certificate information is a digital certificate for signature.
  • the first certificate information is used for electronic application or registration of online transactions.
  • the second certificate information is a certificate with a lower security level than the first certificate information.
  • the second certificate information is output by password verification with a smaller number of digits (for example, 4 digits) than the first certificate information, and is used for a predetermined process.
  • the second certificate information is an electronic certificate for user certification.
  • the second certificate information is used to log in to an administrative site (portal site, etc.) or a private site (online banking, etc.).
  • the key length required for the authentication of the second certificate information is required for the authentication of the first certificate information.
  • the number of digits may be lower than the key length.
  • the child IC card 30 operates according to a command from the issuing device 10.
  • the child IC card 30 transmits a response to the command to the issuing device 10.
  • FIG. 4 shows a configuration example of the child IC card 30.
  • the child IC card 30 has a card-shaped main body Sb made of plastic or the like.
  • the child IC card 30 has a module Mb and a fingerprint sensor 37 built in the main body Sb.
  • the module Mb is integrally formed with the IC chip Cb, the communication unit 35, and the MPU 36 connected to each other, and is embedded in the main body Sb of the child IC card 30.
  • the child IC card 30 includes a module Mb, a fingerprint sensor 37, and the like.
  • the module Mb includes an IC chip Cb, a communication unit 35, an MPU 36, and the like.
  • the IC chip Cb includes a processor 31, a ROM 32, a RAM 33, an NVM 34 (a first storage unit and a second storage unit), and the like.
  • the processor 31 is connected to the ROM 32, the RAM 33, the NVM 34, the communication unit 35, and the MPU 36 via a data bus or the like.
  • the MPU 36 is connected to the fingerprint sensor 37 via a data bus or the like.
  • the first storage unit and the second storage unit may be mounted in physically the same hardware, for example, in one secure NVM34, or in two physically different secure NVM34s, respectively. It may be implemented. Further, it may be implemented by another hardware such as a secure element.
  • the child IC card 30 may have a configuration as required in addition to the configuration shown in FIG. 4, or a specific configuration may be excluded from the child IC card 30.
  • processor 31, ROM 32, RAM 33 and NVM 34 are the same as the processor 21, ROM 22, RAM 23 and NVM 24, respectively, the description thereof will be omitted.
  • the communication unit 35 is an interface for transmitting and receiving data to and from the second reader / writer 19. That is, the communication unit 35 is an interface for transmitting / receiving data to / from the issuing device 10 through the second reader / writer 19. Since the communication unit 35 has the same configuration as the communication unit 25, detailed description thereof will be omitted.
  • the fingerprint sensor 37 acquires a fingerprint image (biological information) from the user's finger.
  • the fingerprint sensor 37 acquires a fingerprint image for generating a template and for authenticating a user.
  • the fingerprint sensor 37 includes a CCD sensor and the like. Further, the fingerprint sensor 37 may be provided with a sensor or the like for detecting a change in electric capacity.
  • the fingerprint sensor 37 transmits a fingerprint image to the MPU 36.
  • the MPU 36 processes the fingerprint image from the fingerprint sensor 37.
  • the MPU 36 generates a template based on the fingerprint image.
  • the template is a fingerprint image.
  • the template may be composed of the feature amount extracted from the fingerprint image.
  • the processor 31 stores the generated template in the NVM 34.
  • the MPU 36 performs a collation process between the fingerprint image from the fingerprint sensor 37 and the template.
  • the MPU 36 calculates the similarity between the fingerprint image from the fingerprint sensor 37 and the template according to a predetermined algorithm.
  • the MPU 36 determines the success or failure of the matching between the fingerprint image and the template based on the calculated similarity. For example, the MPU 36 determines that the matching is successful when the calculated similarity exceeds a predetermined threshold value.
  • the child IC card 30 does not output biometric information such as a fingerprint image to the outside of the child IC card 30, and can perform biometric authentication.
  • the MPU 36 transmits the success or failure of the collation to the processor 31.
  • the processor 31 can also be implemented in a form that includes the functions of the MPU 36.
  • the MPU 36 may be implemented so as to include the functions of the processor 31.
  • FIG. 5 shows a configuration example of the management server 40 according to the embodiment.
  • FIG. 5 is a block diagram showing a configuration example of the management server 40.
  • the management server 40 includes a processor 41, a ROM 42, a RAM 43, an NVM 44, a communication unit 45, an operation unit 46, a display unit 47, and the like.
  • the processor 41, the ROM 42, the RAM 43, the NVM 44, the communication unit 45, the operation unit 46, and the display unit 47 are connected to each other via a data bus or the like.
  • the management server 40 may have a configuration as required in addition to the configuration shown in FIG. 5, or a specific configuration may be excluded from the management server 40.
  • the processor 41 has a function of controlling the operation of the entire management server 40.
  • the processor 41 may include an internal cache, various interfaces, and the like.
  • the processor 41 realizes various processes by executing a program stored in advance in the internal memory, ROM 42, or NVM 44.
  • processor 41 controls the functions performed by the hardware circuit.
  • the ROM 42 is a non-volatile memory in which a control program, control data, and the like are stored in advance.
  • the control program and control data stored in the ROM 42 are preliminarily incorporated according to the specifications of the management server 40.
  • RAM 43 is a volatile memory.
  • the RAM 43 temporarily stores data and the like being processed by the processor 41.
  • the RAM 43 stores various application programs based on instructions from the processor 41. Further, the RAM 43 may store data necessary for executing the application program, an execution result of the application program, and the like.
  • the NVM44 is a non-volatile memory in which data can be written and rewritten.
  • the NVM 44 is composed of, for example, an HDD, an SSD, a flash memory, or the like.
  • the NVM 44 stores a control program, an application, various data, and the like according to the operational use of the management server 40.
  • the communication unit 45 is an interface for communicating with the network 50. That is, the communication unit 45 is an interface for transmitting / receiving data to / from the issuing device 10 through the network 50.
  • the communication unit 45 is an interface that supports a wired or wireless LAN connection.
  • the operation unit 46 receives inputs of various operations from the operator.
  • the operation unit 46 transmits a signal indicating the input operation to the processor 41.
  • the operation unit 46 may be composed of a touch panel.
  • the display unit 47 displays the image data from the processor 41.
  • the display unit 47 is composed of a liquid crystal monitor.
  • the operation unit 46 is composed of a touch panel
  • the display unit 47 may be integrally formed with the operation unit 46.
  • the management server 40 is a desktop PC or the like.
  • the function realized by the child IC card 30 is realized by the processor 31 executing a program stored in the ROM 32, the NVM 34, or the like.
  • the processor 31 has a function of registering a template for performing authentication by a fingerprint image.
  • the processor 31 receives a command (registration command) instructing registration of the template from the issuing device 10 through the communication unit 35. Upon receiving the registration command, the processor 31 causes the fingerprint sensor 37 to acquire a fingerprint image. For example, the processor 31 activates the fingerprint sensor 37 through the MPU 36 or the like.
  • the user assumes that a predetermined finger is placed on the fingerprint sensor 37.
  • the fingerprint sensor 37 acquires a fingerprint image from a predetermined finger of the user.
  • the fingerprint sensor 37 transmits the acquired fingerprint image to the MPU 36.
  • the MPU 36 acquires a fingerprint image from the fingerprint sensor 37.
  • the MPU 36 generates a template based on the acquired fingerprint image. For example, the MPU 36 extracts features from a fingerprint image according to a predetermined algorithm. When the features are extracted, the MPU 36 generates a template composed of the extracted features. Further, the MPU 36 may use the acquired fingerprint image as a template.
  • the processor 31 stores the generated template in the NVM 34.
  • the MPU 36 may generate a template based on a plurality of fingerprint images.
  • the MPU 36 may generate a template based on fingerprint images from a plurality of fingers.
  • the method by which the MPU 36 generates the template is not limited to a specific method.
  • the processor 31 transmits a response (registration completion response) indicating that the registration is completed to the issuing device 10 through the communication unit 35.
  • the processor 31 has a function of storing data (second data) related to the data (first data) stored in the parent IC card 20 in the NVM 34.
  • the first data is the first private key and the first certificate information, or the second private key and the second certificate information.
  • the first certificate information is generated from the first public key that is the pair of the first private key.
  • the second certificate information is generated from the second public key that is the pair of the second private key. The second data will be described in detail later.
  • the processor 31 receives a storage command instructing to store the second data from the issuing device 10 through the communication unit 35.
  • the storage command includes the second data.
  • the processor 31 Upon receiving the storage command, the processor 31 stores the second data in the NVM 34 according to the storage command. When the second data is stored, the processor 31 transmits a response (storage completion response) indicating that the storage is completed to the issuing device 10 through the communication unit 35.
  • the processor 31 may receive a plurality of storage commands. Each storage command contains a second piece of data that has been split. The processor 31 stores the second data in the NVM 34 according to each storage command.
  • the processor 31 has a function of transmitting the second data to the host device.
  • the processor 31 authenticates the user by using the template according to the command from the host device.
  • the processor 31 causes the fingerprint sensor 37 to acquire a fingerprint image.
  • the processor 31 causes the MPU 36 to collate the acquired fingerprint image with the template.
  • the processor 31 acquires the collation result from the MPU 36.
  • the processor 31 authenticates the user based on the collation result. If the collation is successful, the processor 31 determines that the user authentication is successful. Further, when the collation fails, the processor 31 determines that the user authentication has failed.
  • the processor 31 transmits at least a part of the second data to the host device through the communication unit 35 according to a command from the host device. For example, the processor 31 transmits a response including the first certificate information or the second certificate information to the host device through the communication unit 35.
  • the processor 31 can also transmit a random number encrypted using at least a part of the second data, for example, the first secret key or the second secret key, to the host device.
  • the processor 31 has a function of deleting a template.
  • the processor 31 receives a deletion command from the issuing device 10 instructing the deletion of the template through the communication unit 35.
  • the processor 31 Upon receiving the delete command, the processor 31 deletes the template from the MPU 36. When the template is deleted, the processor 31 transmits a response (deletion completion response) indicating that the deletion is completed to the issuing device 10 through the communication unit 35.
  • the function realized by the issuing device 10 is realized by the processor 11 executing a program stored in the ROM 12 or the NVM 14.
  • the processor 11 has a function of registering a template in the child IC card 30.
  • processor 11 is connected to the parent IC card 20 through the first reader / writer 18. Further, it is assumed that the processor 11 is connected to the child IC card 30 through the second reader / writer 19.
  • the processor 11 Upon confirming the connection with the parent IC card 20 and the connection with the child IC card 30, the processor 11 transmits a registration command to the child IC card 30 through the second reader / writer 19.
  • the processor 11 receives the registration completion response from the child IC card 30 through the second reader / writer 19.
  • the processor 11 has a function of determining the authenticity of the parent IC card 20.
  • the processor 11 authenticates the user who possesses the parent IC card 20.
  • the processor 11 accepts the input of the password through the operation unit 16.
  • the user shall enter the password in the operation unit.
  • the processor 11 Upon receiving the password input, the processor 11 sends an authentication request for authenticating the user to the management server 40 through the communication unit 15.
  • the authentication request includes the ID of the parent IC card 20 (for example, My Number) and the entered password.
  • the processor 11 receives a response indicating the authentication result from the management server 40 through the communication unit 15. When the response indicates that the authentication is successful, the processor 11 determines that the parent IC card 20 is genuine. Further, when the response indicates that the authentication has failed, the processor 11 determines that the parent IC card 20 is not genuine.
  • the processor 11 has a function of storing the second data in the child IC card 30.
  • the processor 11 transmits a request for the second data (data request) to the management server 40 through the communication unit 15.
  • the processor 11 When the data request is transmitted, the processor 11 receives a response (data response) including the second data from the management server 40 through the communication unit 15. Upon receiving the data response, the processor 11 transmits a storage command instructing the storage of the second data included in the data response to the child IC card 30 through the second reader / writer 19.
  • the processor 11 determines that the parent IC card 20 is genuine, the processor 11 acquires the second data from the parent IC card 20 and transmits a storage command instructing the child IC card 30 to store the data to the child IC card 30. You may.
  • the processor 11 receives the storage completion response from the child IC card 30 through the second reader / writer 19.
  • the processor 11 has a function of deleting a template from the child IC card 30. If it is determined that the parent IC card 20 is not genuine, the processor 11 transmits a deletion command to the child IC card 30 through the second reader / writer 19.
  • the processor 11 receives the deletion completion response from the child IC card 30 through the second reader / writer 19.
  • the function realized by the management server 40 is realized by the processor 41 executing a program stored in the ROM 42, the NVM 44, or the like.
  • the processor 41 has a function of authenticating the user of the parent IC card 20.
  • the NVM 44 stores the ID and password of the parent IC card 20 in association with each other in advance.
  • the processor 41 receives an authentication request from the issuing device 10 through the communication unit 45. Upon receiving the authentication request, the processor 41 refers to the NVM 44 and collates the password stored in the authentication request with the password stored in advance.
  • the processor 41 transmits a response indicating that the authentication is successful to the issuing device 10 through the communication unit 45. If they do not match, the processor 41 transmits a response indicating that the authentication has failed to the issuing device 10 through the communication unit 45.
  • the processor 41 has a function of transmitting the second data to the issuing device 10.
  • the processor 41 receives a data request from the issuing device 10 through the communication unit 45. Upon receiving the data request, the processor 41 acquires the second data.
  • the second data is related to the first data. That is, the second data is related to the first secret key, the second secret key, the first certificate information, and the second certificate information. Further, it is assumed that the NVM 44 stores the first data in advance.
  • the second data is composed of the first secret key, the second secret key, the first certificate information, and the second certificate information, like the first data.
  • the processor 41 transmits a data response including the second data to the issuing device 10 through the communication unit 45.
  • FIG. 6 is a sequence diagram for explaining an operation example of the issuing system 1.
  • the parent IC card 20 is set in the first reader / writer 18. Further, it is assumed that the child IC card 30 is set in the second reader / writer 19.
  • the processor 11 of the issuing device 10 establishes communication with the parent IC card 20 through the first reader / writer 18 (S11).
  • the processor 11 establishes the communication with the child IC card 30 through the second reader / writer 19 (S12).
  • the processor 11 transmits a registration command to the child IC card 30 through the second reader / writer 19 (S14).
  • the processor 31 of the child IC card 30 receives the registration command through the communication unit 35. Upon receiving the registration command, the processor 31 registers the fingerprint template (S15). When the fingerprint template is registered, the processor 31 transmits a registration completion response to the issuing device 10 through the communication unit 35 (S16).
  • the processor 11 of the issuing device 10 receives the registration completion response from the child IC card 30 through the second reader / writer 19. Upon receiving the registration completion response, the processor 11 determines the authenticity of the parent IC card 20 (S17). As a method of authenticating the parent IC card 20, for example, a random number encrypted using the first private key stored in the parent IC card 20 and a random number before encryption are transmitted to the management server, and the management server sends them. By confirming that the result of decrypting the random number encrypted with the first public key corresponding to the first private key matches the sent random number, the correct private key is stored, that is, , It is determined that the parent IC card 20 is genuine. Here, it is assumed that the processor 11 determines that the parent IC card 20 is genuine.
  • the processor 11 transmits a data request to the management server 40 through the communication unit 15 (S18).
  • the processor 41 of the management server 40 receives the data request through the communication unit 45. Upon receiving the data request, the processor 41 transmits a data response including the first secret key, the second secret key, the first certificate information, and the second certificate information as the second data to the issuing device 10. (S19).
  • the processor 11 of the issuing device 10 receives the data response through the communication unit 15. Upon receiving the data response, the processor 11 stores the first secret key, the second secret key, the first certificate information, and the second certificate information as the second data through the second reader / writer 19. A storage command instructing to do so is transmitted to the child IC card 30 (S20).
  • the processor 31 of the child IC card 30 receives a storage command from the issuing device 10 through the communication unit 35. Upon receiving the storage command, the processor 31 stores the second data in the NVM 34 according to the storage command (S21).
  • the processor 31 transmits a storage completion response to the issuing device 10 through the communication unit 35 (S22).
  • the processor 11 of the issuing device 10 receives the storage completion response through the second reader / writer 19.
  • the issuing system 1 ends the operation.
  • FIG. 7 is a sequence diagram for explaining an operation example of the issuing system 1 when the parent IC card 20 is not genuine.
  • the processor 11 of the issuing device 10 determines that the parent IC card 20 is not genuine.
  • the processor 11 transmits a deletion command to the child IC card 30 through the second reader / writer 19 (S23).
  • the processor 31 of the child IC card 30 receives a deletion command from the issuing device 10 through the communication unit 35. Upon receiving the delete command, the processor 31 deletes the template according to the delete command (S24).
  • the processor 31 sends a deletion completion response to the issuing device 10 through the communication unit 35 (S25).
  • the processor 11 of the issuing device 10 receives the deletion completion response through the second reader / writer 19.
  • the issuing system 1 ends the operation.
  • the processor 11 of the issuing device 10 may send a deletion command to the child IC card 30 when the issuing of the child IC card 30 fails, even if the parent IC card 20 is not genuine. For example, if the processor 11 fails to store the second data in the child IC card 30, the processor 11 may send a deletion command to the child IC card 30. Further, when the processor 11 fails to acquire the second data from the management server 40, the processor 11 may send a deletion command to the child IC card 30.
  • the issuing system 1 may issue a portable electronic device associated with the parent IC card 20.
  • the portable electronic device may be a device that supports a USB connection or the like.
  • the issuing system configured as described above registers a template based on biometric information in a child IC card.
  • the issuing system stores data related to the data stored in the parent IC card in the child IC card.
  • the issuing system can issue the child IC card without using the template of the biometric information stored in the parent IC card.
  • the second embodiment Next, the second embodiment will be described.
  • the issuing system 1 according to the second embodiment is different from that according to the first embodiment in that the child ID and the like are stored in the child IC card 30 as the second data. Therefore, other points are designated by the same reference numerals and detailed description thereof will be omitted.
  • the function realized by the management server 40 is realized by the processor 41 executing a program stored in the ROM 42, the NVM 44, or the like.
  • the processor 41 has a function of transmitting a child ID or the like as second data to the issuing device 10.
  • the processor 41 issues a child ID associated with the first data.
  • the processor 41 issues a child ID based on the first certificate information or the second certificate information.
  • the child ID is a Mikey ID.
  • the processor 41 issues a password corresponding to the child ID.
  • the password is used to authenticate the user when the child ID is used.
  • the processor 41 receives a data request from the issuing device 10 through the communication unit 45. Upon receiving the data request, the processor 41 transmits, as the second data, a data response including the child ID, the password, the first certificate information, and the second certificate information to the issuing device 10.
  • FIG. 8 is a sequence diagram for explaining an operation example of the issuing system 1.
  • the processor 41 of the management server 40 receives the data request through the communication unit 45. Upon receiving the data request, the processor 41 receives the data response including the child ID, the password, the first private key, the second private key, the first certificate information, and the second certificate information as the second data. Is transmitted to the issuing device 10 (S31).
  • the processor 11 of the issuing device 10 receives the data response through the communication unit 15. Upon receiving the data response, the processor 11 passes through the second reader / writer 19 as the child ID, the password, the first secret key, the second secret key, the first certificate information, and the second data. A storage command instructing to store the certificate information of is transmitted to the child IC card 30 (S32).
  • the processor 31 of the child IC card 30 receives a storage command from the issuing device 10 through the communication unit 35. Upon receiving the storage command, the processor 31 stores the second data in the NVM 34 according to the storage command (S33).
  • the processor 31 transmits a storage completion response to the issuing device 10 through the communication unit 35 (S34).
  • the processor 11 of the issuing device 10 receives the storage completion response through the second reader / writer 19.
  • the issuing system 1 ends the operation.
  • the issuing device 10 may generate the second data from the first data acquired from the parent IC card 20 and store the second data in the child IC card 30. can.
  • the issuing system configured as described above can store the child ID in the child IC card. As a result, the child IC card can be used with an ID different from that of the parent IC card.
  • the issuing system 1 according to the third embodiment is different from that according to the first embodiment in that the certificate information having a low security level is stored in the child IC card 30 as the second data. Therefore, other points are designated by the same reference numerals and detailed description thereof will be omitted.
  • the function realized by the management server 40 is realized by the processor 41 executing a program stored in the ROM 42, the NVM 44, or the like.
  • the processor 11 has a function of transmitting the certificate information having a low security level and the private key corresponding to the certificate information to the issuing device 10 as the second data. Upon receiving the data request from the issuing device 10, the processor 11 selects the certificate information having a low security level from the first certificate information and the second certificate information. As mentioned above, the security level of the second certificate information is lower than that of the first certificate information.
  • the processor 11 selects the second certificate information as the certificate information having a low security level.
  • the processor 11 When the certificate information with a low security level is selected, the processor 11 includes the selected certificate information and the private key corresponding to the selected certificate information (here, the second private key) through the communication unit 15. The data response is transmitted to the issuing device 10.
  • FIG. 9 is a sequence diagram for explaining an operation example of the issuing system 1.
  • the processor 41 of the management server 40 receives the data request through the communication unit 45. Upon receiving the data request, the processor 41 receives the certificate information having a low security level (here, the second certificate information) and the private key corresponding to the certificate information (here, the second certificate information) as the second data. A data response including the private key) is transmitted to the issuing device 10 (S41).
  • the certificate information having a low security level here, the second certificate information
  • the private key corresponding to the certificate information here, the second certificate information
  • the processor 11 of the issuing device 10 receives the data response through the communication unit 15. Upon receiving the data response, the processor 11 issues a storage command instructing the second reader / writer 19 to store the certificate information having a low security level and the second private key as the second data on the child IC card. It is transmitted to 30 (S42).
  • the processor 31 of the child IC card 30 receives a storage command from the issuing device 10 through the communication unit 35. Upon receiving the storage command, the processor 31 stores the second data in the NVM 34 according to the storage command (S43).
  • the processor 31 transmits a storage completion response to the issuing device 10 through the communication unit 35 (S44).
  • the processor 11 of the issuing device 10 receives the storage completion response through the second reader / writer 19.
  • the issuing system 1 ends the operation.
  • the issuing device 10 may store the private key and certificate information with a low security level acquired from the parent IC card 20 in the child IC card 30.
  • the issuing system configured as described above stores the certificate information having a low security level in the child IC card. As a result, the issuing system can issue the child IC card more safely by limiting the functions than the parent IC card.
  • the issuing system 1 according to the fourth embodiment stores the first certificate information, the third certificate information based on the second certificate information, and the like as the second data in the child IC card 30. It is different from that according to the first embodiment. Therefore, other points are designated by the same reference numerals and detailed description thereof will be omitted.
  • the function realized by the management server 40 is realized by the processor 41 executing a program stored in the ROM 42, the NVM 44, or the like.
  • the processor 11 has a function of transmitting the first certificate information, the second certificate information, and the third certificate information as the second data to the issuing device 10. Upon receiving the data request from the issuing device 10, the processor 11 generates the third certificate information based on the first certificate information and the second certificate information.
  • FIG. 10 shows a configuration example of the third certificate information.
  • the third certificate information is composed of a first hash value, a second hash value, a third public key, a third electronic signature, and the like.
  • the third certificate information may have a configuration as required in addition to the configuration as shown in FIG. 10, or a specific configuration may be excluded from the third certificate information.
  • the first hash value is a hash value calculated from the first certificate information by a predetermined hash function.
  • the second hash value is a hash value calculated from the second certificate information by a predetermined hash function.
  • the third public key is a public key different from the first public key and the second public key.
  • the processor 41 of the management server 40 generates a third public key according to a predetermined algorithm.
  • the third private key corresponding to the third public key may be stored in the NVM 44 or the like.
  • the third digital signature is a digital signature generated by the third public key.
  • the processor 41 encrypts the first hash value and the second hash value with the third public key to generate a third electronic signature.
  • the third certificate information is not limited to a specific configuration.
  • the processor 11 passes the communication unit 15 to the first private key, the first certificate information, the second private key, and the second certificate information as the second data.
  • a data response including the third private key and the third certificate information is transmitted to the issuing device 10.
  • FIG. 11 is a sequence diagram for explaining an operation example of the issuing system 1.
  • the processor 41 of the management server 40 receives the data request through the communication unit 45. Upon receiving the data request, the processor 41 generates the third private key and the third certificate information (S51).
  • the processor 41 uses the first private key, the first certificate information, the second private key, and the second certificate as the second data.
  • a data response including the information, the third private key, and the third certificate information is transmitted to the issuing device 10 (S52).
  • the processor 11 of the issuing device 10 receives the data response through the communication unit 15. Upon receiving the data response, the processor 11 passes through the second reader / writer 19 as the second data, that is, the first private key, the first certificate information, the second secret key, and the second certificate information. A storage command instructing the storage of the third private key and the third certificate information is transmitted to the child IC card 30 (S53).
  • the processor 31 of the child IC card 30 receives a storage command from the issuing device 10 through the communication unit 35. Upon receiving the storage command, the processor 31 stores the second data in the NVM 34 according to the storage command (S54).
  • the processor 31 transmits a storage completion response to the issuing device 10 through the communication unit 35 (S55).
  • the processor 11 of the issuing device 10 receives the storage completion response through the second reader / writer 19.
  • the issuing system 1 ends the operation.
  • the child IC card 30 stores the third certificate information, which has the following advantages.
  • the processor 41 of the management server 40 acquires the first certificate information, the second certificate information, and the third certificate information by using the reader / writer. ..
  • the processor 41 calculates a hash value from each of the acquired first certificate information and second certificate information. When the hash value is calculated, the processor 41 confirms that the calculated hash value matches the first hash value and the second hash value stored in the third certificate information, respectively.
  • the processor 41 verifies the third electronic signature using the third private key, and confirms that the first hash value and the second hash value stored in the third certificate information have not been tampered with. Verify.
  • the processor 41 can verify that the first certificate information and the second certificate information have not been tampered with by the above processing.
  • the issuing system configured as described above stores the third certificate information in the child IC card. As a result, the issuing system can make the first certificate information and the second certificate information stored in the child IC card verifiable.
  • the issuing system 1 according to the fifth embodiment has a fourth secret corresponding to the first secret key and the first certificate information and the second secret key and the second certificate information as the second data. It differs from that of the first embodiment in that the key, the fourth certificate information, and the like are stored in the child IC card 30. Therefore, other points are designated by the same reference numerals and detailed description thereof will be omitted.
  • the function realized by the management server 40 is realized by the processor 41 executing a program stored in the ROM 42, the NVM 44, or the like.
  • the processor 11 has a fourth private key and a fourth certificate information corresponding to the first private key and the first certificate information and the second private key and the second certificate information as the second data. It has a function of transmitting the above to the issuing device 10. Upon receiving the data request from the issuing device 10, the processor 11 generates a fourth public key and a fourth private key according to a predetermined algorithm. When the fourth public key and the fourth private key are generated, the processor 11 stores the fourth private key in the NVM 44 in association with the first private key and the second private key.
  • the processor 11 When the fourth private key is stored, the processor 11 generates the fourth certificate information composed of the fourth public key. When the fourth certificate information is generated, the processor 11 generates a child ID and a password. The child ID and password are as described above.
  • the processor 11 transmits a data response including the fourth private key, the fourth certificate information, the child ID and the password as the second data to the issuing device 10 through the communication unit 15. ..
  • FIG. 11 is a sequence diagram for explaining an operation example of the issuing system 1.
  • the processor 41 of the management server 40 receives the data request through the communication unit 45. Upon receiving the data request, the processor 41 generates a fourth public key and a fourth private key (S61).
  • the processor 41 stores the fourth private key in the NVM44 in association with the first private key and the second private key (S62).
  • the processor 41 transmits a data response including the fourth private key, the fourth certificate information, the child ID and the password as the second data to the issuing device 10 (S63). ..
  • the processor 11 of the issuing device 10 receives the data response through the communication unit 15. Upon receiving the data response, the processor 11 instructs the processor 11 to store the fourth private key, the fourth certificate information, the child ID, and the password as the second data through the second reader / writer 19. Is transmitted to the child IC card 30 (S64).
  • the processor 31 of the child IC card 30 receives a storage command from the issuing device 10 through the communication unit 35. Upon receiving the storage command, the processor 31 stores the second data in the NVM 34 according to the storage command (S65).
  • the processor 31 transmits a storage completion response to the issuing device 10 through the communication unit 35 (S66).
  • the processor 11 of the issuing device 10 receives the storage completion response through the second reader / writer 19.
  • the issuing system 1 ends the operation.
  • the issuing system 1 corresponds to the 4th private key and the 4th certificate information corresponding to the 1st private key and the 1st certificate information, and the 2nd private key and the 2nd certificate information.
  • the private key of the 4b and the certificate information of the 4b are generated, and the private key of the 4a, the certificate information of the 4a, the private key of the 4b and the certificate information of the 4b are used as the second data. It can also be stored in the IC card 30.
  • the 4th private key even if there are multiple private keys such as the 4a private key and the 4b private key, they are abbreviated as the 4th private key, and the certificate information of the 4a and the proof of the 4b Even in the case of a plurality of certificate information such as written information, it is abbreviated as the fourth certificate information.
  • the issuing system configured as described above stores the fourth private key and the fourth certificate information associated with the certificate information stored in the parent IC card in the child IC card. As a result, even if the fourth private key stored in the child IC card or the fourth certificate information is leaked, the certificate information stored in the parent IC card is not affected. Therefore, even if the child IC card is issued, the security of the parent IC card is unlikely to deteriorate. (Sixth Embodiment) Next, the sixth embodiment will be described. The issuing system according to the sixth embodiment is different from that according to the fifth embodiment in that the key server issues the fourth private key and the fourth certificate information. Therefore, other points are designated by the same reference numerals and detailed description thereof will be omitted.
  • FIG. 13 shows a configuration example of the issuing system 1'according to the sixth embodiment.
  • the issuing system 1' includes an issuing device 10, a parent IC card 20, a child IC card 30, a management server 40, a key server 60, and the like.
  • the key server 60 connects to the issuing device 10 via the network 50.
  • the issuing system 1' may further include a configuration as required in addition to the configuration as shown in FIG. 13, or a specific configuration may be excluded from the issuing system 1'.
  • the issuing device 10 Since the issuing device 10, the parent IC card 20, the child IC card 30, and the management server 40 are the same as those according to the first embodiment, the description thereof will be omitted.
  • the key server 60 (external device) has a fourth private key and a fourth certificate information corresponding to the first private key and the first certificate information and the second private key and the second certificate information. Issuance.
  • FIG. 16 shows a configuration example of the key server 60.
  • FIG. 16 is a block diagram showing a configuration example of the key server 60.
  • the key server 60 includes a processor 61, a ROM 62, a RAM 63, an NVM 64, a communication unit 65, an operation unit 66, a display unit 67, and the like.
  • the processor 61, the ROM 62, the RAM 63, the NVM 64, the communication unit 65, the operation unit 66, and the display unit 67 are connected to each other via a data bus or the like.
  • the key server 60 may have a configuration as required in addition to the configuration shown in FIG. 16, or a specific configuration may be excluded from the key server 60.
  • the processor 61 has a function of controlling the operation of the entire key server 60.
  • the processor 61 may include an internal cache, various interfaces, and the like.
  • the processor 61 realizes various processes by executing a program stored in advance in the internal memory, ROM 62, or NVM 64.
  • processor 61 controls the functions performed by the hardware circuit.
  • the ROM 62 is a non-volatile memory in which a control program, control data, and the like are stored in advance.
  • the control program and control data stored in the ROM 62 are preliminarily incorporated according to the specifications of the key server 60.
  • RAM 63 is a volatile memory.
  • the RAM 63 temporarily stores data and the like being processed by the processor 61.
  • the RAM 63 stores various application programs based on the instructions from the processor 61. Further, the RAM 63 may store data necessary for executing the application program, an execution result of the application program, and the like.
  • NVM64 is a non-volatile memory in which data can be written and rewritten.
  • the NVM64 is composed of, for example, an HDD, an SSD, a flash memory, or the like.
  • the NVM 64 stores a control program, an application, various data, and the like according to the operational use of the key server 60.
  • the communication unit 65 is an interface for communicating with the network 50. That is, the communication unit 65 is an interface for connecting to the issuing device 10 or the like through the network 50. For example, the communication unit 65 is an interface that supports a wired or wireless LAN connection.
  • the operation unit 66 receives inputs of various operations from the operator.
  • the operation unit 66 transmits a signal indicating the input operation to the processor 61.
  • the operation unit 66 may be composed of a touch panel.
  • the display unit 67 displays the image data from the processor 61.
  • the display unit 67 is composed of a liquid crystal monitor.
  • the operation unit 66 is composed of a touch panel
  • the display unit 67 may be integrally formed with the operation unit 66.
  • the key server 60 is a desktop PC or the like.
  • the function realized by the issuing device 10 is realized by the processor 11 executing a program stored in the ROM 12 or the NVM 14.
  • the processor 11 has a function of acquiring a child ID and a password from the management server 40.
  • the processor 11 transmits a request for requesting a child ID and a password (ID request) to the management server 40 through the communication unit 15.
  • ID request a request for requesting a child ID and a password
  • the child ID and password are as described above.
  • the processor 11 When the ID request is transmitted, the processor 11 receives a response (ID response) including a child ID and a password from the management server 40 through the communication unit 15.
  • the processor 11 has a function of acquiring the fourth private key and the fourth certificate information from the key server 60.
  • the processor 11 transmits a request (key request) for requesting the fourth private key and the fourth certificate information to the management server 40 through the communication unit 15.
  • the key request includes a child ID and a password.
  • the processor 11 When the key request is transmitted, the processor 11 receives a response (key response) including the fourth private key and the fourth certificate information from the management server 40 through the communication unit 15.
  • the processor 11 has a function of storing the fourth private key, the fourth certificate information, the child ID, and the password as the second data in the child IC card 30.
  • the processor 11 transmits a storage command instructing the storage of the fourth private key, the fourth certificate information, the child ID, and the password to the child IC card 30 through the second reader / writer 19.
  • the processor 11 receives the storage completion response from the child IC card 30 through the second reader / writer 19.
  • the function realized by the management server 40 is realized by the processor 41 executing a program stored in the ROM 42, the NVM 44, or the like.
  • the processor 41 has a function of transmitting a child ID and a password to the issuing device 10.
  • the processor 41 issues a child ID and a password.
  • the processor 41 receives an ID request from the issuing device 10 through the communication unit 45. Upon receiving the ID request, the processor 41 transmits an ID response including the child ID and the password to the issuing device 10.
  • the function realized by the key server 60 is realized by the processor 61 executing a program stored in the ROM 62, the NVM 64, or the like.
  • the processor 61 issues a fourth private key, a fourth certificate information, and the like corresponding to the first private key, the first certificate information, the second private key, and the second certificate information. Has a function to send to.
  • the processor 61 receives the key request from the issuing device 10 through the communication unit 65. Upon receiving the key request, the processor 61 generates a fourth public key and a fourth private key according to a predetermined algorithm.
  • the processor 61 When the fourth public key and the fourth private key are generated, the processor 61 generates the fourth certificate information composed of the fourth public key. When the fourth certificate information is generated, the processor 61 transmits a key response including the fourth private key and the fourth certificate information to the issuing device 10 through the communication unit 65.
  • the processor 61 stores the fourth private key and the fourth certificate information in the NVM 64 in association with the child ID and password included in the key request.
  • FIG. 15 is a sequence diagram for explaining an operation example of the issuing system 1'.
  • the processor 11 transmits an ID request to the management server 40 through the communication unit 15 (S71).
  • the processor 41 of the management server 40 receives the ID request through the communication unit 45. Upon receiving the data request, the processor 41 transmits an ID response including the child ID and the password to the issuing device 10 (S72).
  • the processor 11 of the issuing device 10 receives the ID response through the communication unit 15. Upon receiving the ID response, the processor 11 transmits a key request to the key server 60 through the communication unit 15 (S73).
  • the processor 61 of the key server 60 receives the key request through the communication unit 65. Upon receiving the key request, the processor 61 generates a fourth public key and a fourth private key (S74).
  • the processor 61 transmits a key response including the fourth private key and the fourth certificate information to the issuing device 10 (S75).
  • the processor 61 stores the fourth private key and the fourth certificate information in the NVM 64 in association with the child ID and password included in the key request (S76).
  • the processor 11 of the issuing device 10 receives the key response through the communication unit 15. Upon receiving the key response, the processor 11 instructs the processor 11 to store the fourth private key, the fourth certificate information, the child ID, and the password as the second data through the second reader / writer 19. Is transmitted to the child IC card 30 (S77).
  • the processor 31 of the child IC card 30 receives a storage command from the issuing device 10 through the communication unit 35. Upon receiving the storage command, the processor 31 stores the second data in the NVM 34 according to the storage command (S78).
  • the processor 31 transmits a storage completion response to the issuing device 10 through the communication unit 35 (S79).
  • the processor 11 of the issuing device 10 receives the storage completion response through the second reader / writer 19.
  • the issuing system 1 ends the operation.
  • the issuing system configured as described above manages the fourth public key and the fourth private key using the key server. As a result, the issuing system can store the fourth certificate information in the child IC card without changing the existing management server.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Automation & Control Theory (AREA)
  • Credit Cards Or The Like (AREA)

Abstract

効果的に発行処理を行うことができるICカード、携帯可能電子装置及び発行装置を提供する。実施形態によれば、親ICカードに紐付くICカードは、センサと、第1の記憶部と、第2の記憶部と、通信部と、プロセッサと、を備える。センサは、生体情報を取得する。第1の記憶部は、前記生体情報と照合するためのテンプレートを格納する。第2の記憶部は、前記親ICカードが格納する第1のデータに関連する第2のデータを格納する。通信部は、上位装置とデータを送受信する。プロセッサは、前記上位装置からのコマンドに従って前記生体情報と前記テンプレートとの照合結果に基づいてユーザを認証し、前記ユーザの認証に成功すると、前記第2のデータの少なくとも一部を前記上位装置に送信する。

Description

ICカード、携帯可能電子装置及び発行装置
 本発明の実施形態は、ICカード、携帯可能電子装置及び発行装置に関する。
 生体情報のテンプレートを格納する親ICカードに紐付いた子ICカードを発行する手法が提供されている。子ICカードは、親ICカードの機能又は一部の機能を実現する。
 従来、子ICカードを発行する発行装置は、親ICカードが格納する生体情報を用いて本人を認証するなど、親ICカードから生体情報を取得する機構が必要となる。
日本国特開2009-277184号公報
 上記の課題を解決するため、効果的に発行処理を行うことができるICカード、携帯可能電子装置及び発行装置を提供する。
 実施形態によれば、親ICカードに紐付くICカードは、センサと、第1の記憶部と、第2の記憶部と、通信部と、プロセッサと、を備える。センサは、生体情報を取得する。第1の記憶部は、前記生体情報と照合するためのテンプレートを格納する。第2の記憶部は、前記親ICカードが格納する第1のデータに関連する第2のデータを格納する。通信部は、上位装置とデータを送受信する。プロセッサは、前記上位装置からのコマンドに従って前記生体情報と前記テンプレートとの照合結果に基づいてユーザを認証し、前記ユーザの認証に成功すると、前記第2のデータの少なくとも一部を前記上位装置に送信する。
図1は、第1の実施形態に係る発行システムの構成例を示すブロック図である。 図2は、第1の実施形態に係る発行装置の構成例を示すブロック図である。 図3は、第1の実施形態に係る親ICカードの構成例を示すブロック図である。 図4は、第1の実施形態に係る子ICカードの構成例を示すブロック図である。 図5は、第1の実施形態に係る管理サーバの構成例を示すブロック図である。 図6は、第1の実施形態に係る発行システムの動作例を示すシーケンス図である。 図7は、第1の実施形態に係る発行システムの動作例を示すシーケンス図である。 図8は、第2の実施形態に係る発行システムの動作例を示すシーケンス図である。 図9は、第3の実施形態に係る発行システムの動作例を示すシーケンス図である。 図10は、第3の実施形態に係る第3の証明書情報の構成例を示す図である。 図11は、第4の実施形態に係る発行システムの動作例を示すシーケンス図である。 図12は、第5の実施形態に係る発行システムの動作例を示すシーケンス図である。 図13は、第6の実施形態に係る発行システムの構成例を示すブロック図である。 図14は、第6の実施形態に係る鍵サーバの構成例を示すブロック図である。 図15は、第6の実施形態に係る発行システムの動作例を示すシーケンス図である。
実施形態
 以下、実施形態について、図面を参照して説明する。 
(第1の実施形態)
 まず、第1の実施形態について説明する。
 実施形態に係る発行システムは、マイナンバーカードなどのICカードを親ICカードとして子ICカードを発行する。発行システムは、親ICカードが格納する情報に関連する情報を子ICカードに格納する。また、発行システムは、生体認証を行うことができる子ICカードを発行する。
 図1は、実施形態に係る発行システム1の構成例を示す。図1が示すように、発行システム1は、発行装置10、親ICカード20、子ICカード30及び管理サーバ40などを備える。発行装置10は、親ICカード20及び子ICカード30に接続する。また、発行装置10は、ネットワーク50を介して管理サーバ40に接続する。
 なお、発行システム1は、図1が示すような構成の他に必要に応じた構成をさらに具備したり、発行システム1から特定の構成が除外されたりしてもよい。
 発行装置10(上位装置)は、親ICカードに紐付く子ICカードを発行する。発行装置10は、親ICカード20と接続した状態で子ICカード30を発行する。発行装置10は、管理サーバ40又は親ICカード20などから子ICカード30に格納するデータを取得する。発行装置10は、取得されたデータを子ICカード30に格納する。発行装置10については、後に詳述する。
 親ICカード20は、所定の認証処理を行うためのICカードである。親ICカード20は、顔などの生体情報を格納する。親ICカード20は、パスワードあるいは生体情報を用いてユーザを認証する。親ICカード20は、外部装置に生体情報を出力する。外部装置は、カメラなどを用いてユーザの顔画像を撮影して、親ICカード20からの生体情報と照合してもよい。また、外部装置は、親ICカード20からの生体情報を表示してオペレータによる認証を受け付けるものであってもよい。
 また、親ICカード20は、秘密鍵、および、公開鍵などから構成される証明書情報を格納する。また、親ICカード20は、秘密鍵と証明書情報とをそれぞれ複数格納する場合もある。親ICカード20については、後に詳述する。
 子ICカード30は、親ICカード20に紐付くICカードである。子ICカード30は、親ICカード20に関連する機能を実現する。たとえば、子ICカード30は、親ICカード20の機能又は一部の機能を実現する。また、子ICカード30は、親ICカード20が用いる生体情報と異なる生体情報を用いてユーザを認証する。子ICカード30については、後に詳述する。
 管理サーバ40(外部装置)は、子ICカード30に格納するデータを管理する。たとえば、管理サーバ40は、親ICカード20に格納するデータを格納する。管理サーバ40は、親ICカード20に格納するデータに基づいて子ICカード30に格納するデータを生成する。たとえば、管理サーバ40は、子ICカード30に格納するデータとして、秘密鍵、および、公開鍵などから構成される証明書情報などを生成する。管理サーバ40については、後に詳述する。
 ネットワーク50は、発行装置10と管理サーバ40との間の通信などを中継する。たとえば、ネットワーク50は、インターネットなどでる。また、ネットワーク50は、LAN(Local Area Network)などであってもよい。
 次に、発行装置10について説明する。 
 図2は、実施形態に係る発行装置10の構成例を示す。図2は、発行装置10の構成例を示すブロック図である。図2が示すように、発行装置10は、プロセッサ11、ROM12、RAM13、NVM14、通信部15、操作部16、表示部17、第1のリーダライタ18及び第2のリーダライタ19などを備える。
 プロセッサ11と、ROM12、RAM13、NVM14、通信部15、操作部16、表示部17、第1のリーダライタ18及び第2のリーダライタ19と、は、データバスなどを介して互いに接続する。 
 なお、発行装置10は、図2が示すような構成の他に必要に応じた構成を具備したり、発行装置10から特定の構成が除外されたりしてもよい。
 プロセッサ11は、発行装置10全体の動作を制御する機能を有する。プロセッサ11は、内部キャッシュ及び各種のインターフェースなどを備えてもよい。プロセッサ11は、内部メモリ、ROM12又はNVM14が予め記憶するプログラムを実行することにより種々の処理を実現する。
 なお、プロセッサ11がプログラムを実行することにより実現する各種の機能のうちの一部は、ハードウエア回路により実現されるものであってもよい。この場合、プロセッサ11は、ハードウエア回路により実行される機能を制御する。
 ROM12は、制御プログラム及び制御データなどが予め記憶された不揮発性のメモリである。ROM12に記憶される制御プログラム及び制御データは、発行装置10の仕様に応じて予め組み込まれる。
 RAM13は、揮発性のメモリである。RAM13は、プロセッサ11の処理中のデータなどを一時的に格納する。RAM13は、プロセッサ11からの命令に基づき種々のアプリケーションプログラムを格納する。また、RAM13は、アプリケーションプログラムの実行に必要なデータ及びアプリケーションプログラムの実行結果などを格納してもよい。
 NVM14は、データの書き込み及び書き換えが可能な不揮発性のメモリである。NVM14は、たとえば、HDD(Hard Disk Drive)、SSD(Solid State Drive)又はフラッシュメモリなどから構成される。NVM14は、発行装置10の運用用途に応じて制御プログラム、アプリケーション及び種々のデータなどを格納する。
 通信部15は、ネットワーク50と通信するためのインターフェースである。即ち、通信部15は、ネットワーク50を通じて管理サーバ40などとデータを送受信するためのインターフェースである。たとえば、通信部15は、有線又は無線のLAN接続をサポートするインターフェースである。
 操作部16は、オペレータから種々の操作の入力を受け付ける。操作部16は、入力された操作を示す信号をプロセッサ11へ送信する。操作部16は、タッチパネルから構成されてもよい。
 表示部17は、プロセッサ11からの画像データを表示する。たとえば、表示部17は、液晶モニタから構成される。操作部16がタッチパネルから構成される場合、表示部17は、操作部16と一体的に形成されてもよい。
 第1のリーダライタ18は、親ICカード20とデータを送受信するためのインターフェース装置である。第1のリーダライタ18は、親ICカード20の通信方式に応じたインターフェースにより構成される。たとえば、親ICカード20が接触型のICカードである場合、第1のリーダライタ18は、親ICカード20のコンタクト部と物理的かつ電気的に接続するための接触部などにより構成される。また、親ICカード20は、携帯可能電子装置であってもよい。たとえば、携帯可能電子装置は、USBインターフェースを備えたデバイスである場合、第1のリーダライタ18は、親ICカード20としての携帯可能電子装置のUSBコネクタ部と物理的かつ電気的に接続するための接続部などにより構成される。すなわち、親ICカード20は、ICカードではなく、USBデバイスであってもよい。
 また、親ICカード20が非接触型のICカードである場合、第1のリーダライタ18は、親ICカード20との無線通信を行うためのアンテナ及び通信制御部などにより構成される。第1のリーダライタ18は、親ICカード20に対する電源供給、クロック供給、リセット制御及びデータの送受信などを行う。
 このような機能によって第1のリーダライタ18は、プロセッサ11による制御に基づいて親ICカード20に対する電源供給、親ICカード20の活性化(起動)、クロック供給、リセット制御、種々のコマンドの送信及び送信したコマンドに対する応答(レスポンス)の受信などを行なう。
 第2のリーダライタ19は、子ICカード30とデータを送受信するためのインターフェース装置である。第2のリーダライタ19は、第1のリーダライタ18と同様の構成であるため詳細な説明を省略する。
 次に、親ICカード20について説明する。 
 親ICカード20は、発行装置10からのコマンドに従って動作する。親ICカード20は、コマンドに対するレスポンスを発行装置10に送信する。たとえば、親ICカード20は、マイナンバーカードである。
 図3は、親ICカード20の構成例を示す。図3が示すように、親ICカード20は、プラスチックなどで形成されたカード状の本体Saを有する。親ICカード20は、本体Sa内にモジュールMaを内蔵する。モジュールMaは、ICチップCa、通信部25及びMPU26が接続された状態で一体的に形成され、親ICカード20の本体Sa内に埋設される。
 親ICカード20は、モジュールMaなどを備える。モジュールMaは、ICチップCa、通信部25及びMPU26などを備える。ICチップCaは、プロセッサ21、ROM22、RAM23及びNVM24などを備える。プロセッサ21は、データバスなどを介してROM22、RAM23、NVM24、通信部25及びMPU26に接続する。
 なお、親ICカード20は、図3が示すような構成の他に必要に応じた構成を具備したり、親ICカード20から特定の構成が除外されたりしてもよい。
 プロセッサ21は、親ICカード20全体の制御を司る制御部として機能する。プロセッサ21は、ROM22又はNVM24に記憶される制御プログラム及び制御データに基づいて種々の処理を行う。たとえば、プロセッサ21は、ROM22に記憶されているプログラムを実行することにより、親ICカード20の動作制御又は親ICカード20の運用形態に応じた種々の処理を行う。
 たとえば、プロセッサ21は、プログラムを実行することにより、親ICカード20内の各部の制御及び情報処理を実現するプロセッサであればよい。 
 なお、プロセッサ21がプログラムを実行することにより実現する各種の機能のうちの一部は、ハードウエア回路により実現されるものであっても良い。この場合、プロセッサ21は、ハードウエア回路により実行される機能を制御する。
 ROM22は、予め制御用のプログラム及び制御データなどを記憶する不揮発性のメモリである。ROM22は、製造段階で制御プログラム及び制御データなどを記憶した状態で親ICカード20に組み込まれる。即ち、ROM22に記憶される制御プログラム及び制御データは、予め親ICカード20の仕様などに応じて組み込まれる。
 RAM23は、揮発性のメモリである。RAM23は、プロセッサ21の処理中のデータなどを一時的に格納する。たとえば、RAM23は、計算用バッファ、受信用バッファ及び送信用バッファとして機能する。計算用バッファは、プロセッサ21が実行する種々の演算処理の結果などを一時的に保持する。受信用バッファは、通信部25を介して第1のリーダライタ18から受信するコマンドデータなどを保持する。送信用バッファは、通信部25を介して第1のリーダライタ18へ送信するメッセージ(レスポンスデータ)などを保持する。
 NVM24は、フラッシュROMなどのデータの書き込み及び書換えが可能な不揮発性のメモリにより構成される。NVM24は、親ICカード20の運用用途に応じて制御プログラム、アプリケーション及び種々のデータを格納する。例えば、NVM24では、プログラムファイル及びデータファイルなどが作成される。作成された各ファイルは、制御プログラム及び種々のデータなどが書き込まれる。
 また、NVM24は、第1の秘密鍵と、第2の秘密鍵と、第1の公開鍵などから構成される第1の証明書情報と第2の公開鍵などから構成される第2の証明書情報とを格納する。第1の秘密鍵、第2の秘密鍵、第1の証明書情報及び第2の証明書情報については、後述する。
 通信部25は、第1のリーダライタ18とデータを送受信するためのインターフェースである。即ち、通信部25は、第1のリーダライタ18を通じて発行装置10とデータを送受信するためのインターフェースである。
 親ICカード20が接触型のICカードとして実現される場合、通信部25は、第1のリーダライタ18と物理的かつ電気的に接触して信号の送受信を行うための通信制御部とコンタクト部とにより構成される。たとえば、親ICカード20は、コンタクト部を介して第1のリーダライタ18からの動作電源及び動作クロックの供給を受けて活性化される。
 親ICカード20が非接触型のICカードとしての実現される場合、通信部25は、第1のリーダライタ18との無線通信を行うための変復調回路などの通信制御部とアンテナとにより構成される。たとえば、親ICカード20は、アンテナ及び変復調回路などを介して第1のリーダライタ18からの電波を受信する。親ICカード20は、その電波から図示しない電源部により動作電源及び動作クロックを生成して活性化する。
 MPU26(Micro Processing Unit)は、第1の証明書情報又は第2の証明書情報を出力のためのパスワード照合を行う。
 MPU26は、予めテンプレートを登録する。たとえば、テンプレートは、顔画像である。また、テンプレートは、顔画像から抽出された特徴量から構成されるものであってもよい。MPU26は、外部装置にテンプレートを出力する制御などを行う。すなわち、親ICカード20で生体認証を行う場合は、顔画像のような生体情報を外部装置に出力する必要がある。
 第1の証明書情報は、所定の桁数(たとえば、6桁)のパスワード照合で出力され、所定の処理に用いられる。たとえば、第1の証明書情報は、署名用の電子証明書である。たとえば、第1の証明書情報は、電子申請又はオンライン取引の登録などに用いられる。
 第2の証明書情報は、第1の証明書情報よりもセキュリティレベルが低い証明書である。第2の証明書情報は、第1の証明書情報よりも小さな桁数(たとえば、4桁)のパスワード照合で出力され、所定の処理に用いられる。たとえば、第2の証明書情報は、利用者証明用の電子証明書である。たとえば、第2の証明書情報は、行政サイト(ポータルサイトなど)又は民間サイト(オンラインバンキングなど)へのログインに用いられる。
 また、第2の証明書情報が第1の証明書情報よりもセキュリティレベルが低いケースとして、第2の証明書情報の認証に必要な鍵長が、第1の証明書情報の認証に必要な鍵長よりも桁数が低い場合もある。
 次に、子ICカード30について説明する。 
 子ICカード30は、発行装置10からのコマンドに従って動作する。子ICカード30は、コマンドに対するレスポンスを発行装置10に送信する。
 図4は、子ICカード30の構成例を示す。図4が示すように、子ICカード30は、プラスチックなどで形成されたカード状の本体Sbを有する。子ICカード30は、本体Sb内にモジュールMb及び指紋センサ37を内蔵する。モジュールMbは、ICチップCb、通信部35及びMPU36が接続された状態で一体的に形成され、子ICカード30の本体Sb内に埋設される。
 子ICカード30は、モジュールMb及び指紋センサ37などを備える。モジュールMbは、ICチップCb、通信部35及びMPU36などを備える。ICチップCbは、プロセッサ31、ROM32、RAM33及びNVM34(第1の記憶部および第2の記憶部)などを備える。プロセッサ31は、データバスなどを介してROM32、RAM33、NVM34、通信部35及びMPU36に接続する。MPU36は、データバスなどを介して指紋センサ37に接続する。なお、第1の記憶部、第2の記憶部は、物理的に同じハードウエア内、例えば、1つのセキュアなNVM34内に実装しても良いし、物理的に異なる2つのセキュアなNVM34にそれぞれ実装してもよい。また、セキュアエレメントなどの別のハードウエアにて実装してもよい。
 なお、子ICカード30は、図4が示すような構成の他に必要に応じた構成を具備したり、子ICカード30から特定の構成が除外されたりしてもよい。
 プロセッサ31、ROM32、RAM33及びNVM34は、それぞれプロセッサ21、ROM22、RAM23及びNVM24と同様であるため説明を省略する。
 通信部35は、第2のリーダライタ19とデータを送受信するためのインターフェースである。即ち、通信部35は、第2のリーダライタ19を通じて発行装置10とデータを送受信するためのインターフェースである。 
 通信部35は、通信部25と同様の構成であるため詳細な説明を省略する。
 指紋センサ37は、ユーザの指から指紋画像(生体情報)を取得する。指紋センサ37は、テンプレートを生成するため及びユーザを認証するための指紋画像を取得する。たとえば、指紋センサ37は、CCDセンサなどを備える。また、指紋センサ37は、電気容量の変化を検出するセンサなどを備えるものであってもよい。指紋センサ37は、指紋画像をMPU36に送信する。
 MPU36は、指紋センサ37からの指紋画像を処理する。MPU36は、指紋画像に基づいてテンプレートを生成する。たとえば、テンプレートは、指紋画像である。また、テンプレートは、指紋画像から抽出された特徴量から構成されるものであってもよい。プロセッサ31は、生成されたテンプレートはNVM34に格納する。
 また、MPU36は、指紋センサ37からの指紋画像とテンプレートとの照合処理を行う。MPU36は、所定のアルゴリズムに従って、指紋センサ37からの指紋画像とテンプレートとの類似度を算出する。MPU36は、算出された類似度に基づいて、指紋画像とテンプレートとの照合の成否を判定する。たとえば、MPU36は、算出された類似度が所定の閾値を超えていると照合に成功したと判定する。子ICカード30は、指紋画像のような生体情報を子ICカード30の外部に出力することはなく、生体認証を行うことができる。
 MPU36は、照合の成否をプロセッサ31に送信する。
 なお、プロセッサ31が、MPU36の機能を包含する形で実装することもできる。同様にMPU36がプロセッサ31の機能を包含する形で実装しても良い。
 次に、管理サーバ40について説明する。 
 図5は、実施形態に係る管理サーバ40の構成例を示す。図5は、管理サーバ40の構成例を示すブロック図である。図5が示すように、管理サーバ40は、プロセッサ41、ROM42、RAM43、NVM44、通信部45、操作部46及び表示部47などを備える。
 プロセッサ41と、ROM42、RAM43、NVM44、通信部45、操作部46及び表示部47と、は、データバスなどを介して互いに接続する。 
 なお、管理サーバ40は、図5が示すような構成の他に必要に応じた構成を具備したり、管理サーバ40から特定の構成が除外されたりしてもよい。
 プロセッサ41は、管理サーバ40全体の動作を制御する機能を有する。プロセッサ41は、内部キャッシュ及び各種のインターフェースなどを備えてもよい。プロセッサ41は、内部メモリ、ROM42又はNVM44が予め記憶するプログラムを実行することにより種々の処理を実現する。
 なお、プロセッサ41がプログラムを実行することにより実現する各種の機能のうちの一部は、ハードウエア回路により実現されるものであってもよい。この場合、プロセッサ41は、ハードウエア回路により実行される機能を制御する。
 ROM42は、制御プログラム及び制御データなどが予め記憶された不揮発性のメモリである。ROM42に記憶される制御プログラム及び制御データは、管理サーバ40の仕様に応じて予め組み込まれる。
 RAM43は、揮発性のメモリである。RAM43は、プロセッサ41の処理中のデータなどを一時的に格納する。RAM43は、プロセッサ41からの命令に基づき種々のアプリケーションプログラムを格納する。また、RAM43は、アプリケーションプログラムの実行に必要なデータ及びアプリケーションプログラムの実行結果などを格納してもよい。
 NVM44は、データの書き込み及び書き換えが可能な不揮発性のメモリである。NVM44は、たとえば、HDD、SSD又はフラッシュメモリなどから構成される。NVM44は、管理サーバ40の運用用途に応じて制御プログラム、アプリケーション及び種々のデータなどを格納する。
 通信部45は、ネットワーク50と通信するためのインターフェースである。即ち、通信部45は、ネットワーク50を通じて発行装置10とデータを送受信するためのインターフェースである。たとえば、通信部45は、有線又は無線のLAN接続をサポートするインターフェースである。
 操作部46は、オペレータから種々の操作の入力を受け付ける。操作部46は、入力された操作を示す信号をプロセッサ41へ送信する。操作部46は、タッチパネルから構成されてもよい。
 表示部47は、プロセッサ41からの画像データを表示する。たとえば、表示部47は、液晶モニタから構成される。操作部46がタッチパネルから構成される場合、表示部47は、操作部46と一体的に形成されてもよい。
 たとえば、管理サーバ40は、デスクトップPCなどである。
 次に、子ICカード30が実現する機能について説明する。子ICカード30が実現する機能は、プロセッサ31がROM32又はNVM34などに格納されるプログラムを実行することで実現される。
 まず、プロセッサ31は、指紋画像による認証を行うためのテンプレートを登録する機能を有する。
 プロセッサ31は、通信部35を通じて、テンプレートの登録を指示するコマンド(登録コマンド)を発行装置10から受信する。当該登録コマンドを受信すると、プロセッサ31は、指紋センサ37に指紋画像を取得させる。たとえば、プロセッサ31は、MPU36などを通じて、指紋センサ37を起動する。
 ここで、ユーザは、指紋センサ37に所定の指を置くものとする。 
 指紋センサ37は、ユーザの所定の指から指紋画像を取得する。指紋センサ37は、取得した指紋画像をMPU36に送信する。
 MPU36は、指紋センサ37から指紋画像を取得する。指紋画像を取得すると、MPU36は、取得された指紋画像に基づいてテンプレートを生成する。たとえば、MPU36は、所定のアルゴリズムに従って指紋画像から特徴量を抽出する。特徴量を抽出すると、MPU36は、抽出された特徴量から構成されるテンプレートを生成する。また、MPU36は、取得された指紋画像をテンプレートとしてもよい。 
 MPU36がテンプレートを生成すると、プロセッサ31は、生成されたテンプレートをNVM34に格納する。
 なお、MPU36は、複数の指紋画像に基づいてテンプレートを生成してもよい。また、MPU36は、複数の指からの指紋画像に基づいてテンプレートを生成してもよい。MPU36がテンプレートを生成する方法は、特定の方法に限定されるものではない。
 テンプレートを格納すると、プロセッサ31は、通信部35を通じて、登録が完了したことを示すレスポンス(登録完了レスポンス)を発行装置10に送信する。
 また、プロセッサ31は、親ICカード20が格納するデータ(第1のデータ)に関連するデータ(第2のデータ)をNVM34に格納する機能を有する。
 ここでは、第1のデータは、第1の秘密鍵と第1の証明書情報、又は第2の秘密鍵と第2の証明書情報である。第1の証明書情報は、第1の秘密鍵のペアとなる第1の公開鍵から生成される。同様に第2の証明書情報は、第2の秘密鍵のペアとなる第2の公開鍵から生成される。 
 また、第2のデータについては、後に詳述する。
 プロセッサ31は、通信部35を通じて、第2のデータを格納することを指示する格納コマンドを発行装置10から受信する。ここでは、格納コマンドは、第2のデータを含む。
 格納コマンドを受信すると、プロセッサ31は、格納コマンドに従って第2のデータをNVM34に格納する。第2のデータを格納すると、プロセッサ31は、通信部35を通じて、格納が完了したことを示すレスポンス(格納完了レスポンス)を発行装置10に送信する。
 なお、プロセッサ31は、複数の格納コマンドを受信してもよい。各格納コマンドは、分割された第2のデータを含む。プロセッサ31は、各格納コマンドに従って、第2のデータをNVM34に格納する。
 また、プロセッサ31は、第2のデータを上位装置に送信する機能を有する。 
 プロセッサ31は、上位装置からのコマンドに従って、テンプレートを用いてユーザを認証する。プロセッサ31は、指紋センサ37に指紋画像を取得させる。プロセッサ31は、MPU36に、取得された指紋画像とテンプレートとを照合させる。プロセッサ31は、MPU36から照合結果を取得する。プロセッサ31は、照合結果に基づいてユーザを認証する。プロセッサ31は、照合が成功した場合、ユーザの認証に成功したものと判定する。また、プロセッサ31は、照合が失敗した場合、ユーザの認証に失敗したものと判定する。
 ユーザの認証に成功すると、プロセッサ31は、通信部35を通じて、上位装置からのコマンドに従って、第2のデータの少なくとも一部を上位装置に送信する。たとえば、プロセッサ31は、通信部35を通じて、第1の証明書情報又は第2の証明書情報を含むレスポンスを上位装置に送信する。また、プロセッサ31は、第2のデータの少なくとも一部、例えば、第1の秘密鍵あるいは第2の秘密鍵を使って暗号化した乱数を上位装置に送信することもできる。
 また、プロセッサ31は、テンプレートを削除する機能を有する。 
 プロセッサ31は、通信部35を通じて、テンプレートを削除することを指示する削除コマンドを発行装置10から受信する。
 削除コマンドを受信すると、プロセッサ31は、MPU36からテンプレートを削除する。テンプレートを削除すると、プロセッサ31は、通信部35を通じて、削除が完了したことを示すレスポンス(削除完了レスポンス)を発行装置10に送信する。
 次に、発行装置10が実現する機能について説明する。発行装置10が実現する機能は、プロセッサ11がROM12又はNVM14などに格納されるプログラムを実行することで実現される。
 まず、プロセッサ11は、子ICカード30にテンプレートを登録させる機能を有する。
 ここでは、プロセッサ11は、第1のリーダライタ18を通じて親ICカード20と接続しているものとする。また、プロセッサ11は、第2のリーダライタ19を通じて子ICカード30と接続しているものとする。
 親ICカード20との接続及び子ICカード30との接続を確認すると、プロセッサ11は、第2のリーダライタ19を通じて、登録コマンドを子ICカード30に送信する。
 子ICカード30が登録を完了すると、プロセッサ11は、第2のリーダライタ19を通じて、登録完了レスポンスを子ICカード30から受信する。
 また、プロセッサ11は、親ICカード20の真正を判定する機能を有する。 
 ここでは、プロセッサ11は、親ICカード20を所持するユーザを認証する。
 プロセッサ11は、操作部16を通じてパスワードの入力を受け付ける。ここで、ユーザは、操作部にパスワードを入力するものとする。
 パスワードの入力を受け付けると、プロセッサ11は、通信部15を通じて、ユーザを認証する認証リクエストを管理サーバ40に送信する。認証リクエストは、親ICカード20のID(たとえば、マイナンバー)及び入力されたパスワードを含む。
 プロセッサ11は、通信部15を通じて、認証結果を示すレスポンスを管理サーバ40から受信する。プロセッサ11は、レスポンスが認証に成功したことを示す場合、親ICカード20が真正であると判定する。また、プロセッサ11は、レスポンスが認証に失敗したことを示す場合、親ICカード20が真正でないと判定する。
 また、プロセッサ11は、第2のデータを子ICカード30に格納する機能を有する。 親ICカード20が真正であると判定すると、プロセッサ11は、通信部15を通じて、第2のデータを要求するリクエスト(データリクエスト)を管理サーバ40に送信する。
 データリクエストを送信すると、プロセッサ11は、通信部15を通じて、第2のデータを含むレスポンス(データレスポンス)を管理サーバ40から受信する。データレスポンスを受信すると、プロセッサ11は、第2のリーダライタ19を通じて、データレスポンスが含む第2のデータの格納を指示する格納コマンドを子ICカード30に送信する。
 また、プロセッサ11は、親ICカード20が真正であると判定すると、親ICカード20から第2のデータを取得し、子ICカード30に格納を指示する格納コマンドを子ICカード30に送信してもよい。
 子ICカード30が格納を完了すると、プロセッサ11は、第2のリーダライタ19を通じて、格納完了レスポンスを子ICカード30から受信する。
 また、プロセッサ11は、子ICカード30からテンプレートを削除する機能を有する。 
 親ICカード20が真正でないと判定すると、プロセッサ11は、第2のリーダライタ19を通じて、削除コマンドを子ICカード30に送信する。
 子ICカード30が削除を完了すると、プロセッサ11は、第2のリーダライタ19を通じて、削除完了レスポンスを子ICカード30から受信する。
 次に、管理サーバ40が実現する機能について説明する。管理サーバ40が実現する機能は、プロセッサ41がROM42又はNVM44などに格納されるプログラムを実行することで実現される。
 まず、プロセッサ41は、親ICカード20のユーザを認証する機能を有する。
 ここでは、NVM44は、親ICカード20のIDとパスワードとを対応付けて予め格納しているものとする。
 プロセッサ41は、通信部45を通じて、発行装置10から認証リクエストを受信する。認証リクエストを受信すると、プロセッサ41は、NVM44を参照して、認証リクエストが格納するパスワードと予め格納されているパスワードとを照合する。
 両者が一致すると、プロセッサ41は、通信部45を通じて、認証に成功したことを示すレスポンスを発行装置10に送信する。 
 両者が一致しないと、プロセッサ41は、通信部45を通じて、認証に失敗したことを示すレスポンスを発行装置10に送信する。
 また、プロセッサ41は、第2のデータを発行装置10に送信する機能を有する。
プロセッサ41は、通信部45を通じて、データリクエストを発行装置10から受信する。データリクエストを受信すると、プロセッサ41は、第2のデータを取得する。
 前述の通り、第2のデータは、第1のデータに関連する。即ち、第2のデータは、第1の秘密鍵、第2の秘密鍵、第1の証明書情報及び第2の証明書情報に関連する。また、NVM44は、第1のデータを予め格納しているものとする。
 ここでは、第2のデータは、第1のデータと同様に、第1の秘密鍵、第2の秘密鍵、第1の証明書情報及び第2の証明書情報から構成される。
 第2のデータを取得すると、プロセッサ41は、通信部45を通じて、第2のデータを含むデータレスポンスを発行装置10に送信する。
 次に、発行システム1の動作例について説明する。 
 図6は、発行システム1の動作例について説明するためのシーケンス図である。
 ここでは、親ICカード20は、第1のリーダライタ18にセットされているものとする。また、子ICカード30は、第2のリーダライタ19にセットされているものとする。
 まず、発行装置10のプロセッサ11は、第1のリーダライタ18を通じて、親ICカード20との通信を確立する(S11)。親ICカード20との通信を確立すると、プロセッサ11は、第2のリーダライタ19を通じて、子ICカード30との通信を確立する(S12)。
 親ICカード20及び子ICカード30との通信を確認すると(S13)、プロセッサ11は、第2のリーダライタ19を通じて登録コマンドを子ICカード30に送信する(S14)。
 子ICカード30のプロセッサ31は、通信部35を通じて登録コマンドを受信する。登録コマンドを受信すると、プロセッサ31は、指紋のテンプレートを登録する(S15)。指紋のテンプレートを登録すると、プロセッサ31は、通信部35を通じて、登録完了レスポンスを発行装置10に送信する(S16)。
 発行装置10のプロセッサ11は、第2のリーダライタ19を通じて登録完了レスポンスを子ICカード30から受信する。登録完了レスポンスを受信すると、プロセッサ11は、親ICカード20の真正を判定する(S17)。親ICカード20の真正方法としては、例えば、親ICカード20に格納された第1の秘密鍵を使って暗号化された乱数と暗号化前の乱数を管理サーバに送信し、管理サーバにて第1の秘密鍵に対応する第1の公開鍵で暗号化された乱数を復号した結果が、送られた乱数と一致することを確認することにより、正しい秘密鍵が格納されていること、すなわち、真正の親ICカード20であると判定する。ここでは、プロセッサ11は、親ICカード20が真正であると判定したものとする。
 親ICカード20が真正であると判定すると、プロセッサ11は、通信部15を通じてデータリクエストを管理サーバ40に送信する(S18)。
 管理サーバ40のプロセッサ41は、通信部45を通じてデータリクエストを受信する。データリクエストを受信すると、プロセッサ41は、第2のデータとして第1の秘密鍵、第2の秘密鍵、第1の証明書情報及び第2の証明書情報を含むデータレスポンスを発行装置10に送信する(S19)。
 発行装置10のプロセッサ11は、通信部15を通じてデータレスポンスを受信する。データレスポンスを受信すると、プロセッサ11は、第2のリーダライタ19を通じて、第2のデータとして第1の秘密鍵、第2の秘密鍵、第1の証明書情報及び第2の証明書情報を格納することを指示する格納コマンドを子ICカード30に送信する(S20)。
 子ICカード30のプロセッサ31は、通信部35を通じて格納コマンドを発行装置10から受信する。格納コマンドを受信すると、プロセッサ31は、格納コマンドに従ってNVM34に第2のデータを格納する(S21)。
 第2のデータを格納すると、プロセッサ31は、通信部35を通じて格納完了レスポンスを発行装置10に送信する(S22)。
 発行装置10のプロセッサ11は、第2のリーダライタ19を通じて格納完了レスポンスを受信する。プロセッサ11が格納完了レスポンスを受信すると、発行システム1は、動作を終了する。
 次に、親ICカード20が真正でない場合における発行システム1の動作例について説明する。 
 図7は、親ICカード20が真正でない場合における発行システム1の動作例について説明するためのシーケンス図である。
 S11乃至S17については、前述の通りであるため説明を省略する。
 ここでは、発行装置10のプロセッサ11は、親ICカード20が真正でないと判定したものとする。
 親ICカード20が真正でないと判定すると、プロセッサ11は、第2のリーダライタ19を通じて、削除コマンドを子ICカード30に送信する(S23)。
 子ICカード30のプロセッサ31は、通信部35を通じて削除コマンドを発行装置10から受信する。削除コマンドを受信すると、プロセッサ31は、削除コマンドに従ってテンプレートを削除する(S24)。
 テンプレートを削除すると、プロセッサ31は、通信部35を通じて削除完了レスポンスを発行装置10に送信する(S25)。
 発行装置10のプロセッサ11は、第2のリーダライタ19を通じて削除完了レスポンスを受信する。プロセッサ11が削除完了レスポンスを受信すると、発行システム1は、動作を終了する。
 なお、発行装置10のプロセッサ11は、親ICカード20が真正でない場合以外であっても、子ICカード30の発行に失敗した場合、削除コマンドを子ICカード30に送信してもよい。たとえば、プロセッサ11は、子ICカード30に第2のデータを格納することに失敗した場合、削除コマンドを子ICカード30に送信してもよい。また、プロセッサ11は、管理サーバ40から第2のデータの取得に失敗した場合、削除コマンドを子ICカード30に送信してもよい。
 また、発行システム1は、親ICカード20に紐付く携帯可能電子装置を発行するものであってもよい。たとえば、携帯可能電子装置は、USB接続などをサポートするデバイスなどであってもよい。
 以上のように構成された発行システムは、子ICカードに生体情報に基づくテンプレートを登録する。発行システムは、親ICカードが格納するデータに関連するデータを子ICカードに格納する。その結果、発行システムは、親ICカードに格納されている生体情報のテンプレートを用いることなく子ICカードを発行することができる。
(第2の実施形態)
 次に、第2の実施形態について説明する。 
 第2の実施形態に係る発行システム1は、第2のデータとして子IDなどを子ICカード30に格納する点で第1の実施形態に係るそれと異なる。従って、その他の点については、同一の符号を付して詳細な説明を省略する。
 発行システム1の構成は、第1の実施形態に係るそれと同様であるため説明を省略する。
 次に、管理サーバ40が実現する機能について説明する。管理サーバ40が実現する機能は、プロセッサ41がROM42又はNVM44などに格納されるプログラムを実行することで実現される。
 プロセッサ41は、第2のデータとして子IDなどを発行装置10に送信する機能を有する。 
 プロセッサ41は、第1のデータに関連する子IDを発行する。たとえば、プロセッサ41は、第1の証明書情報又は第2の証明書情報に基づいて子IDを発行する。たとえば、子IDは、マイキーIDである。
 また、プロセッサ41は、子IDに対応するパスワードを発行する。たとえば、パスワードは、子IDが用いられる際にユーザを認証するために用いられる。
 プロセッサ41は、通信部45を通じてデータリクエストを発行装置10から受信する。データリクエストを受信すると、プロセッサ41は、第2のデータとして、子ID、パスワード、第1の証明書情報及び第2の証明書情報を含むデータレスポンスを発行装置10に送信する。
 次に、発行システム1の動作例について説明する。 
 図8は、発行システム1の動作例について説明するためのシーケンス図である。
 ここでは、親ICカード20は、真正であるものとする。 
 S11乃至S18については、前述の通りであるため説明を省略する。
 管理サーバ40のプロセッサ41は、通信部45を通じてデータリクエストを受信する。データリクエストを受信すると、プロセッサ41は、第2のデータとして、子ID、パスワード、第1の秘密鍵、第2の秘密鍵、第1の証明書情報及び第2の証明書情報を含むデータレスポンスを発行装置10に送信する(S31)。
 発行装置10のプロセッサ11は、通信部15を通じてデータレスポンスを受信する。データレスポンスを受信すると、プロセッサ11は、第2のリーダライタ19を通じて、第2のデータとして、子ID、パスワード、第1の秘密鍵、第2の秘密鍵、第1の証明書情報及び第2の証明書情報を格納することを指示する格納コマンドを子ICカード30に送信する(S32)。
 子ICカード30のプロセッサ31は、通信部35を通じて格納コマンドを発行装置10から受信する。格納コマンドを受信すると、プロセッサ31は、格納コマンドに従ってNVM34に第2のデータを格納する(S33)。
 第2のデータを格納すると、プロセッサ31は、通信部35を通じて格納完了レスポンスを発行装置10に送信する(S34)。
 発行装置10のプロセッサ11は、第2のリーダライタ19を通じて格納完了レスポンスを受信する。プロセッサ11が格納完了レスポンスを受信すると、発行システム1は、動作を終了する。
 なお、別の発行方法として、発行装置10が、親ICカード20から取得した第1のデータから第2のデータを生成し、子ICカード30に第2のデータを格納する方法をとることもできる。
 以上のように構成された発行システムは、子ICカードに子IDを格納することができる。その結果、子ICカードは、親ICカードと異なるIDによって利用されることができる。
(第3の実施形態)
 次に、第3の実施形態について説明する。 
 第3の実施形態に係る発行システム1は、第2のデータとしてセキュリティレベルが低い証明書情報を子ICカード30に格納する点で第1の実施形態に係るそれと異なる。従って、その他の点については、同一の符号を付して詳細な説明を省略する。
 発行システム1の構成は、第1の実施形態に係るそれと同様であるため説明を省略する。
 次に、管理サーバ40が実現する機能について説明する。管理サーバ40が実現する機能は、プロセッサ41がROM42又はNVM44などに格納されるプログラムを実行することで実現される。
 プロセッサ11は、第2のデータとしてセキュリティレベルが低い証明書情報と当該証明書情報に対応する秘密鍵とを発行装置10に送信する機能を有する。 
 発行装置10からデータリクエストを受信すると、プロセッサ11は、第1の証明書情報と第2の証明書情報とからセキュリティレベルが低い証明書情報を選択する。前述の通り、第2の証明書情報のセキュリティレベルは、第1の証明書情報のそれよりも低い。
 従って、プロセッサ11は、セキュリティレベルが低い証明書情報として第2の証明書情報を選択する。
 セキュリティレベルが低い証明書情報を選択すると、プロセッサ11は、通信部15を通じて、選択された証明書情報と選択された証明書情報に対応する秘密鍵(ここでは、第2の秘密鍵)を含むデータレスポンスを発行装置10に送信する。
 次に、発行システム1の動作例について説明する。 
 図9は、発行システム1の動作例について説明するためのシーケンス図である。
 ここでは、親ICカード20は、真正であるものとする。 
 S11乃至S18については、前述の通りであるため説明を省略する。
 管理サーバ40のプロセッサ41は、通信部45を通じてデータリクエストを受信する。データリクエストを受信すると、プロセッサ41は、第2のデータとして、セキュリティレベルが低い証明書情報(ここでは、第2の証明書情報)及び当該証明書情報に対応する秘密鍵(ここでは、第2の秘密鍵)を含むデータレスポンスを発行装置10に送信する(S41)。
 発行装置10のプロセッサ11は、通信部15を通じてデータレスポンスを受信する。データレスポンスを受信すると、プロセッサ11は、第2のリーダライタ19を通じて、第2のデータとして、セキュリティレベルが低い証明書情報及び第2の秘密鍵を格納することを指示する格納コマンドを子ICカード30に送信する(S42)。
 子ICカード30のプロセッサ31は、通信部35を通じて格納コマンドを発行装置10から受信する。格納コマンドを受信すると、プロセッサ31は、格納コマンドに従ってNVM34に第2のデータを格納する(S43)。
 第2のデータを格納すると、プロセッサ31は、通信部35を通じて格納完了レスポンスを発行装置10に送信する(S44)。
 発行装置10のプロセッサ11は、第2のリーダライタ19を通じて格納完了レスポンスを受信する。プロセッサ11が格納完了レスポンスを受信すると、発行システム1は、動作を終了する。
 なお、別の発行方法として、発行装置10が、親ICカード20から取得したセキュリティレベルの低い秘密鍵及び証明書情報を、子ICカード30に格納する方法をとることもできる。
 以上のように構成された発行システムは、セキュリティレベルが低い証明書情報を子ICカードに格納する。その結果、発行システムは、親ICカードより機能を限定してより安全に子ICカードを発行することができる。
(第4の実施形態)
 次に、第4の実施形態について説明する。 
 第4の実施形態に係る発行システム1は、第2のデータとして第1の証明書情報及び第2の証明書情報に基づく第3の証明書情報などを子ICカード30に格納する点で第1の実施形態に係るそれと異なる。従って、その他の点については、同一の符号を付して詳細な説明を省略する。
 発行システム1の構成は、第1の実施形態に係るそれと同様であるため説明を省略する。
 次に、管理サーバ40が実現する機能について説明する。管理サーバ40が実現する機能は、プロセッサ41がROM42又はNVM44などに格納されるプログラムを実行することで実現される。
 プロセッサ11は、第2のデータとして第1の証明書情報、第2の証明書情報及び第3の証明書情報を発行装置10に送信する機能を有する。 
 発行装置10からデータリクエストを受信すると、プロセッサ11は、第1の証明書情報及び第2の証明書情報に基づいて第3の証明書情報を生成する。
 図10は、第3の証明書情報の構成例を示す。 
 図10が示すように、第3の証明書情報は、第1のハッシュ値、第2のハッシュ値、第3の公開鍵及び第3の電子署名などから構成される。
 なお、第3の証明書情報は、図10が示すような構成の他に必要に応じた構成を具備したり、第3の証明書情報から特定の構成が除外されたりしてもよい。
 第1のハッシュ値は、第1の証明書情報から所定のハッシュ関数によって算出されるハッシュ値である。
 第2のハッシュ値は、第2の証明書情報から所定のハッシュ関数によって算出されるハッシュ値である。
 第3の公開鍵は、第1の公開鍵及び第2の公開鍵と異なる公開鍵である。たとえば、管理サーバ40のプロセッサ41は、所定のアルゴリズムに従って第3の公開鍵を生成する。また、第3の公開鍵に対応する第3の秘密鍵は、NVM44などに格納されてもよい。
 第3の電子署名は、第3の公開鍵によって生成される電子署名である。たとえば、プロセッサ41は、第1のハッシュ値及び第2のハッシュ値を第3の公開鍵で暗号化して第3の電子署名を生成する。 
 なお、第3の証明書情報は、特定の構成に限定されるものではない。
 第3の証明書情報を生成すると、プロセッサ11は、通信部15を通じて、第2のデータとして第1の秘密鍵と第1の証明書情報と第2の秘密鍵と第2の証明書情報と第3の秘密鍵と第3の証明書情報とを含むデータレスポンスを発行装置10に送信する。
 次に、発行システム1の動作例について説明する。 
 図11は、発行システム1の動作例について説明するためのシーケンス図である。
 ここでは、親ICカード20は、真正であるものとする。 
 S11乃至S18については、前述の通りであるため説明を省略する。
 管理サーバ40のプロセッサ41は、通信部45を通じてデータリクエストを受信する。データリクエストを受信すると、プロセッサ41は、第3の秘密鍵と第3の証明書情報とを生成する(S51)。
 第3の秘密鍵と第3の証明書情報を生成すると、プロセッサ41は、第2のデータとして、第1の秘密鍵と第1の証明書情報と第2の秘密鍵と第2の証明書情報と第3の秘密鍵と第3の証明書情報とを含むデータレスポンスを発行装置10に送信する(S52)。
 発行装置10のプロセッサ11は、通信部15を通じてデータレスポンスを受信する。データレスポンスを受信すると、プロセッサ11は、第2のリーダライタ19を通じて、第2のデータとして、第1の秘密鍵と第1の証明書情報と第2の秘密鍵と第2の証明書情報と第3の秘密鍵と第3の証明書情報とを格納することを指示する格納コマンドを子ICカード30に送信する(S53)。
 子ICカード30のプロセッサ31は、通信部35を通じて格納コマンドを発行装置10から受信する。格納コマンドを受信すると、プロセッサ31は、格納コマンドに従ってNVM34に第2のデータを格納する(S54)。
 第2のデータを格納すると、プロセッサ31は、通信部35を通じて格納完了レスポンスを発行装置10に送信する(S55)。
 発行装置10のプロセッサ11は、第2のリーダライタ19を通じて格納完了レスポンスを受信する。プロセッサ11が格納完了レスポンスを受信すると、発行システム1は、動作を終了する。
 子ICカード30が第3の証明書情報を格納することで以下のような利点が生じる。
子ICカード30を用いて所定の処理を行う際に管理サーバ40のプロセッサ41は、リーダライタを用いて第1の証明書情報、第2の証明書情報及び第3の証明書情報を取得する。
 プロセッサ41は、取得された第1の証明書情報及び第2の証明書情報からそれぞれハッシュ値を算出する。ハッシュ値を算出すると、プロセッサ41は、算出されたハッシュ値を、第3の証明書情報が格納する第1のハッシュ値及び第2のハッシュ値とそれぞれ一致することを確認する。
 また、プロセッサ41は、第3の秘密鍵を用いて第3の電子署名を検証し、第3の証明書情報が格納する第1のハッシュ値及び第2のハッシュ値が改ざんされていないことを検証する。
 プロセッサ41は、上記の処理によって、第1の証明書情報及び第2の証明書情報が改ざんされていないことを検証することができる。
 以上のように構成された発行システムは、第3の証明書情報を子ICカードに格納する。その結果、発行システムは、子ICカードが格納する第1の証明書情報及び第2の証明書情報を検証可能なものにすることができる。
(第5の実施形態)
 次に、第5の実施形態について説明する。 
 第5の実施形態に係る発行システム1は、第2のデータとして第1の秘密鍵及び第1の証明書情報と第2の秘密鍵及び第2の証明書情報とに対応する第4の秘密鍵及び第4の証明書情報などを子ICカード30に格納する点で第1の実施形態に係るそれと異なる。従って、その他の点については、同一の符号を付して詳細な説明を省略する。
 発行システム1の構成は、第1の実施形態に係るそれと同様であるため説明を省略する。
 次に、管理サーバ40が実現する機能について説明する。管理サーバ40が実現する機能は、プロセッサ41がROM42又はNVM44などに格納されるプログラムを実行することで実現される。
 プロセッサ11は、第2のデータとして第1の秘密鍵及び第1の証明書情報と第2の秘密鍵及び第2の証明書情報とに対応する第4の秘密鍵及び第4の証明書情報などを発行装置10に送信する機能を有する。 
 発行装置10からデータリクエストを受信すると、プロセッサ11は、所定のアルゴリズムに従って第4の公開鍵及び第4の秘密鍵を生成する。第4の公開鍵及び第4の秘密鍵を生成すると、プロセッサ11は、第4の秘密鍵を第1の秘密鍵及び第2の秘密鍵と対応付けてNVM44に格納する。
 第4の秘密鍵を格納すると、プロセッサ11は、第4の公開鍵から構成される第4の証明書情報を生成する。第4の証明書情報を生成すると、プロセッサ11は、子ID及びパスワードを生成する。子ID及びパスワードは、前述の通りである。
 子ID及びパスワードを生成すると、プロセッサ11は、通信部15を通じて、第2のデータとして第4の秘密鍵、第4の証明書情報、子ID及びパスワードを含むデータレスポンスを発行装置10に送信する。
 次に、発行システム1の動作例について説明する。 
 図11は、発行システム1の動作例について説明するためのシーケンス図である。
 ここでは、親ICカード20は、真正であるものとする。 
 S11乃至S18については、前述の通りであるため説明を省略する。
 管理サーバ40のプロセッサ41は、通信部45を通じてデータリクエストを受信する。データリクエストを受信すると、プロセッサ41は、第4の公開鍵及び第4の秘密鍵を生成する(S61)。
 第4の公開鍵及び第4の秘密鍵を生成すると、プロセッサ41は、第4の秘密鍵を第1の秘密鍵及び第2の秘密鍵と対応付けてNVM44に格納する(S62)。第4の秘密鍵を格納すると、プロセッサ41は、第2のデータとして、第4の秘密鍵、第4の証明書情報、子ID及びパスワードを含むデータレスポンスを発行装置10に送信する(S63)。
 発行装置10のプロセッサ11は、通信部15を通じてデータレスポンスを受信する。データレスポンスを受信すると、プロセッサ11は、第2のリーダライタ19を通じて、第2のデータとして、第4の秘密鍵、第4の証明書情報、子ID及びパスワードを格納することを指示する格納コマンドを子ICカード30に送信する(S64)。
 子ICカード30のプロセッサ31は、通信部35を通じて格納コマンドを発行装置10から受信する。格納コマンドを受信すると、プロセッサ31は、格納コマンドに従ってNVM34に第2のデータを格納する(S65)。
 第2のデータを格納すると、プロセッサ31は、通信部35を通じて格納完了レスポンスを発行装置10に送信する(S66)。
 発行装置10のプロセッサ11は、第2のリーダライタ19を通じて格納完了レスポンスを受信する。プロセッサ11が格納完了レスポンスを受信すると、発行システム1は、動作を終了する。
 なお、発行システム1は、第1の秘密鍵及び第1の証明書情報に対応する第4aの秘密鍵及び第4aの証明書情報と、第2の秘密鍵及び第2の証明書情報に対応する第4bの秘密鍵及び第4bの証明書情報とを生成し、第4aの秘密鍵、第4aの証明書情報、第4bの秘密鍵及び第4bの証明書情報を第2のデータとして子ICカード30に格納することもできる。以下では、第4aの秘密鍵と第4bの秘密鍵のように複数の秘密鍵の場合であっても第4の秘密鍵と簡略化して表記し、第4aの証明書情報と第4bの証明書情報のように複数の証明書情報の場合であっても第4の証明書情報と簡略化して表記する。
 以上のように構成された発行システムは、親ICカードが格納する証明書情報に対応付けられた第4の秘密鍵と第4の証明書情報とを子ICカードに格納する。その結果、子ICカードが格納する第4の秘密鍵、あるいは、第4の証明書情報が流出した場合であっても、親ICカードが格納する証明書情報は、影響を受けない。そのため、子ICカードが発行されても、親ICカードのセキュリティは、低下しにくい。
(第6の実施形態)
 次に、第6の実施形態について説明する。 
 第6の実施形態に係る発行システムは、鍵サーバが第4の秘密鍵及び第4の証明書情報を発行する点で第5の実施形態に係るそれと異なる。従って、その他の点については、同一の符号を付して詳細な説明を省略する。
 図13は、第6の実施形態に係る発行システム1’の構成例を示す。図13が示すように、発行システム1’は、発行装置10、親ICカード20、子ICカード30、管理サーバ40及び鍵サーバ60などを備える。鍵サーバ60は、ネットワーク50を介して発行装置10に接続する。
 なお、発行システム1’は、図13が示すような構成の他に必要に応じた構成をさらに具備したり、発行システム1’から特定の構成が除外されたりしてもよい。
 発行装置10、親ICカード20、子ICカード30及び管理サーバ40は、第1の実施形態に係るそれらと同様であるため説明を省略する。
 鍵サーバ60(外部装置)は、第1の秘密鍵及び第1の証明書情報と第2の秘密鍵及び第2の証明書情報とに対応する第4の秘密鍵及び第4の証明書情報を発行する。
 図16は、鍵サーバ60の構成例を示す。図16は、鍵サーバ60の構成例を示すブロック図である。図16が示すように、鍵サーバ60は、プロセッサ61、ROM62、RAM63、NVM64、通信部65、操作部66及び表示部67などを備える。
 プロセッサ61と、ROM62、RAM63、NVM64、通信部65、操作部66及び表示部67と、は、データバスなどを介して互いに接続する。 
 なお、鍵サーバ60は、図16が示すような構成の他に必要に応じた構成を具備したり、鍵サーバ60から特定の構成が除外されたりしてもよい。
 プロセッサ61は、鍵サーバ60全体の動作を制御する機能を有する。プロセッサ61は、内部キャッシュ及び各種のインターフェースなどを備えてもよい。プロセッサ61は、内部メモリ、ROM62又はNVM64が予め記憶するプログラムを実行することにより種々の処理を実現する。
 なお、プロセッサ61がプログラムを実行することにより実現する各種の機能のうちの一部は、ハードウエア回路により実現されるものであってもよい。この場合、プロセッサ61は、ハードウエア回路により実行される機能を制御する。
 ROM62は、制御プログラム及び制御データなどが予め記憶された不揮発性のメモリである。ROM62に記憶される制御プログラム及び制御データは、鍵サーバ60の仕様に応じて予め組み込まれる。
 RAM63は、揮発性のメモリである。RAM63は、プロセッサ61の処理中のデータなどを一時的に格納する。RAM63は、プロセッサ61からの命令に基づき種々のアプリケーションプログラムを格納する。また、RAM63は、アプリケーションプログラムの実行に必要なデータ及びアプリケーションプログラムの実行結果などを格納してもよい。
 NVM64は、データの書き込み及び書き換えが可能な不揮発性のメモリである。NVM64は、たとえば、HDD、SSD又はフラッシュメモリなどから構成される。NVM64は、鍵サーバ60の運用用途に応じて制御プログラム、アプリケーション及び種々のデータなどを格納する。
 通信部65は、ネットワーク50と通信するためのインターフェースである。即ち、通信部65は、ネットワーク50を通じて発行装置10などに接続するためのインターフェースである。たとえば、通信部65は、有線又は無線のLAN接続をサポートするインターフェースである。
 操作部66は、オペレータから種々の操作の入力を受け付ける。操作部66は、入力された操作を示す信号をプロセッサ61へ送信する。操作部66は、タッチパネルから構成されてもよい。
 表示部67は、プロセッサ61からの画像データを表示する。たとえば、表示部67は、液晶モニタから構成される。操作部66がタッチパネルから構成される場合、表示部67は、操作部66と一体的に形成されてもよい。
 たとえば、鍵サーバ60は、デスクトップPCなどである。
 次に、発行装置10が実現する機能について説明する。発行装置10が実現する機能は、プロセッサ11がROM12又はNVM14などに格納されるプログラムを実行することで実現される。
 まず、プロセッサ11は、子ID及びパスワードを管理サーバ40から取得する機能を有する。
 親ICカード20が真正であると判定すると、プロセッサ11は、通信部15を通じて、子ID及びパスワードを要求するリクエスト(IDリクエスト)を管理サーバ40に送信する。 
 子ID及びパスワードは、前述の通りである。
 IDリクエストを送信すると、プロセッサ11は、通信部15を通じて、子ID及びパスワードを含むレスポンス(IDレスポンス)を管理サーバ40から受信する。
 また、プロセッサ11は、第4の秘密鍵及び第4の証明書情報を鍵サーバ60から取得する機能を有する。
 プロセッサ11は、通信部15を通じて、第4の秘密鍵及び第4の証明書情報を要求するリクエスト(鍵リクエスト)を管理サーバ40に送信する。ここでは、鍵リクエストは、子ID及びパスワードを含む。
 鍵リクエストを送信すると、プロセッサ11は、通信部15を通じて、第4の秘密鍵及び第4の証明書情報を含むレスポンス(鍵レスポンス)を管理サーバ40から受信する。
 また、プロセッサ11は、第2のデータとして第4の秘密鍵及び第4の証明書情報、子ID及びパスワードを子ICカード30に格納する機能を有する。
 プロセッサ11は、第2のリーダライタ19を通じて、第4の秘密鍵及び第4の証明書情報、子ID及びパスワードの格納を指示する格納コマンドを子ICカード30に送信する。
 子ICカード30が格納を完了すると、プロセッサ11は、第2のリーダライタ19を通じて、格納完了レスポンスを子ICカード30から受信する。
 次に、管理サーバ40が実現する機能について説明する。管理サーバ40が実現する機能は、プロセッサ41がROM42又はNVM44などに格納されるプログラムを実行することで実現される。
 プロセッサ41は、子ID及びパスワードを発行装置10に送信する機能を有する。
プロセッサ41は、子ID及びパスワードを発行する。 
 プロセッサ41は、通信部45を通じてIDリクエストを発行装置10から受信する。IDリクエストを受信すると、プロセッサ41は、子ID及びパスワードを含むIDレスポンスを発行装置10に送信する。
 次に、鍵サーバ60が実現する機能について説明する。鍵サーバ60が実現する機能は、プロセッサ61がROM62又はNVM64などに格納されるプログラムを実行することで実現される。
 プロセッサ61は、第1の秘密鍵及び第1の証明書情報と第2の秘密鍵及び第2の証明書情報とに対応する第4の秘密鍵及び第4の証明書情報などを発行装置10に送信する機能を有する。 
 プロセッサ61は、通信部65を通じて、鍵リクエストを発行装置10から受信する。鍵リクエストを受信すると、プロセッサ61は、所定のアルゴリズムに従って第4の公開鍵及び第4の秘密鍵を生成する。
 第4の公開鍵及び第4の秘密鍵を生成すると、プロセッサ61は、第4の公開鍵から構成される第4の証明書情報を生成する。第4の証明書情報を生成すると、プロセッサ61は、通信部65を通じて、第4の秘密鍵及び第4の証明書情報を含む鍵レスポンスを発行装置10に送信する。
 鍵レスポンスを送信すると、プロセッサ61は、第4の秘密鍵及び第4の証明書情報を鍵リクエストが含む子ID及びパスワードと対応付けてNVM64に格納する。
 次に、発行システム1’の動作例について説明する。 
 図15は、発行システム1’の動作例について説明するためのシーケンス図である。
 ここでは、親ICカード20は、真正であるものとする。 
 S11乃至S17については、前述の通りであるため説明を省略する。
 親ICカード20が真正であると判定すると、プロセッサ11は、通信部15を通じてIDリクエストを管理サーバ40に送信する(S71)。
 管理サーバ40のプロセッサ41は、通信部45を通じてIDリクエストを受信する。データリクエストを受信すると、プロセッサ41は、子ID及びパスワードを含むIDレスポンスを発行装置10に送信する(S72)。
 発行装置10のプロセッサ11は、通信部15を通じてIDレスポンスを受信する。IDレスポンスを受信すると、プロセッサ11は、通信部15を通じて鍵リクエストを鍵サーバ60に送信する(S73)。
 鍵サーバ60のプロセッサ61は、通信部65を通じて鍵リクエストを受信する。鍵リクエストを受信すると、プロセッサ61は、第4の公開鍵及び第4の秘密鍵を生成する(S74)。
 第4の公開鍵及び第4の秘密鍵を生成すると、プロセッサ61は、第4の秘密鍵及び第4の証明書情報を含む鍵レスポンスを発行装置10に送信する(S75)。鍵レスポンスを送信すると、プロセッサ61は、第4の秘密鍵及び第4の証明書情報を鍵リクエストが含む子ID及びパスワードと対応付けてNVM64に格納する(S76)。
 発行装置10のプロセッサ11は、通信部15を通じて鍵レスポンスを受信する。鍵レスポンスを受信すると、プロセッサ11は、第2のリーダライタ19を通じて、第2のデータとして、第4の秘密鍵及び第4の証明書情報、子ID及びパスワードを格納することを指示する格納コマンドを子ICカード30に送信する(S77)。
 子ICカード30のプロセッサ31は、通信部35を通じて格納コマンドを発行装置10から受信する。格納コマンドを受信すると、プロセッサ31は、格納コマンドに従ってNVM34に第2のデータを格納する(S78)。
 第2のデータを格納すると、プロセッサ31は、通信部35を通じて格納完了レスポンスを発行装置10に送信する(S79)。
 発行装置10のプロセッサ11は、第2のリーダライタ19を通じて格納完了レスポンスを受信する。プロセッサ11が格納完了レスポンスを受信すると、発行システム1’は、動作を終了する。
 以上のように構成された発行システムは、鍵サーバを用いて第4の公開鍵及び第4の秘密鍵を管理する。その結果、発行システムは、既存の管理サーバを変更することなく、第4の証明書情報を子ICカードに格納することができる。
 本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。

Claims (13)

  1.  親ICカードに紐付くICカードであって、
     生体情報を取得するセンサと、
     前記生体情報と照合するためのテンプレートを格納する第1の記憶部と、
     前記親ICカードが格納する第1のデータに関連する第2のデータを格納する第2の記憶部と、
     上位装置とデータを送受信する通信部と、
      前記上位装置からのコマンドに従って前記生体情報と前記テンプレートとの照合結果に基づいてユーザを認証し、
      前記ユーザの認証に成功すると、前記第2のデータの少なくとも一部を前記上位装置に送信する、
      プロセッサと、
    を備えるICカード。
  2.  前記第1のデータは、第1の秘密鍵と第1の公開鍵から構成される第1の証明書情報と第2の秘密鍵と第2の公開鍵から構成される第2の証明書情報とを含む、
    請求項1に記載のICカード。
  3.  前記第2のデータは、前記第1の秘密鍵と前記第1の証明書情報と前記第2の秘密鍵と前記第2の証明書情報とを含む、
    請求項2に記載のICカード。
  4.  前記第2のデータは、子IDをさらに含む、
    請求項3に記載のICカード。
  5.  前記第2のデータは、前記子IDに対応するパスワードをさらに含む、
     請求項4に記載のICカード。
  6.  前記第2のデータは、前記第1の証明書情報と前記第2の証明書情報とに基づく第3の証明書情報をさらに含む、
    請求項3に記載のICカード。
  7.  前記第3の証明書情報は、前記第1の証明書情報から生成される第1のハッシュ値と前記第2の証明書情報から生成される第2のハッシュ値とを含む、
    請求項6に記載のICカード。
  8.  前記第2のデータは、前記第1の証明書情報又は前記第2の証明書情報のいずれかセキュリティレベルが低い証明書情報を含む、
    請求項2に記載のICカード。
  9.  前記第2のデータは、前記第1の秘密鍵と前記第2の秘密鍵とに対応する第4の秘密鍵を含む、
    請求項2に記載のICカード。
  10.  前記生体情報は、指紋画像である、
    請求項1乃至9の何れか1項に記載のICカード。
  11.  親ICカードに紐付くICカードであって、
     生体情報を取得するセンサと、前記生体情報と照合するためのテンプレートを格納する第1の記憶部と、前記親ICカードが格納する第1のデータに関連する第2のデータを格納する第2の記憶部と、上位装置とデータを送受信する通信部と、前記上位装置からのコマンドに従って前記生体情報と前記テンプレートとの照合結果に基づいてユーザを認証し、前記ユーザの認証に成功すると、前記第2のデータの少なくとも一部を前記上位装置に送信する、プロセッサと、を備えるモジュールと、
     前記モジュールを内蔵した本体と、
    を備えるICカード。
  12.  親ICカードに紐付く携帯可能電子装置であって、
     生体情報を取得するセンサと、
     前記生体情報と照合するためのテンプレートを格納する第1の記憶部と、
     前記親ICカードが格納する第1のデータに関連する第2のデータを格納する第2の記憶部と、
     上位装置とデータを送受信する通信部と、
      前記上位装置からのコマンドに従って前記生体情報と前記テンプレートとの照合結果に基づいてユーザを認証し、
      前記ユーザの認証に成功すると、前記第2のデータの少なくとも一部を前記上位装置に送信する、
      プロセッサと、
    を備える携帯可能電子装置。
  13.  親ICカードに紐付くICカードを発行する発行装置であって、
     前記ICカードとデータを送受信するリーダライタと、
     外部装置とデータを送受信する通信部と、
      前記リーダライタを通じて、生体情報のテンプレートを登録することを指示する登録コマンドを前記ICカードに送信し、
      前記通信部を通じて、前記親ICカードが格納する第1のデータに関連する第2のデータを前記外部装置から取得し、
      前記リーダライタを通じて、前記第2のデータを格納することを指示する格納コマンドを前記ICカードに送信する、
     プロセッサと、
    を備える発行装置。
     

     
PCT/JP2021/038729 2020-11-02 2021-10-20 Icカード、携帯可能電子装置及び発行装置 WO2022091902A1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP21886021.1A EP4239521A4 (en) 2020-11-02 2021-10-20 INTEGRATED CIRCUIT CARD, PORTABLE ELECTRONIC DEVICE AND TRANSMITTING DEVICE
US18/306,380 US20230261864A1 (en) 2020-11-02 2023-04-25 Ic card, portable electronic device, and issuing device

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2020-183787 2020-11-02
JP2020183787A JP2022073656A (ja) 2020-11-02 2020-11-02 Icカード、携帯可能電子装置及び発行装置

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US18/306,380 Continuation US20230261864A1 (en) 2020-11-02 2023-04-25 Ic card, portable electronic device, and issuing device

Publications (1)

Publication Number Publication Date
WO2022091902A1 true WO2022091902A1 (ja) 2022-05-05

Family

ID=81382373

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2021/038729 WO2022091902A1 (ja) 2020-11-02 2021-10-20 Icカード、携帯可能電子装置及び発行装置

Country Status (4)

Country Link
US (1) US20230261864A1 (ja)
EP (1) EP4239521A4 (ja)
JP (1) JP2022073656A (ja)
WO (1) WO2022091902A1 (ja)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002366438A (ja) * 2001-06-11 2002-12-20 Sharp Corp ディジタル情報提供取得システムおよびディジタル情報配信方法
JP2003016397A (ja) * 2001-04-23 2003-01-17 Sony Corp データ処理システム、メモリデバイス、データ処理装置、およびデータ処理方法、並びにプログラム
JP2009277184A (ja) 2008-05-19 2009-11-26 Hitachi Ltd Icカード、icカードシステムおよびその方法
JP2011232837A (ja) * 2010-04-26 2011-11-17 Dainippon Printing Co Ltd Icカード及びicカード用コンピュータプログラム
JP2012049752A (ja) * 2010-08-26 2012-03-08 Hitachi Ltd 電子証明書発行システムおよびその方法
JP2017532683A (ja) * 2014-10-10 2017-11-02 ズワイプ アクティーゼルスカブ 自己完結型の指紋識別デバイス

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003016397A (ja) * 2001-04-23 2003-01-17 Sony Corp データ処理システム、メモリデバイス、データ処理装置、およびデータ処理方法、並びにプログラム
JP2002366438A (ja) * 2001-06-11 2002-12-20 Sharp Corp ディジタル情報提供取得システムおよびディジタル情報配信方法
JP2009277184A (ja) 2008-05-19 2009-11-26 Hitachi Ltd Icカード、icカードシステムおよびその方法
JP2011232837A (ja) * 2010-04-26 2011-11-17 Dainippon Printing Co Ltd Icカード及びicカード用コンピュータプログラム
JP2012049752A (ja) * 2010-08-26 2012-03-08 Hitachi Ltd 電子証明書発行システムおよびその方法
JP2017532683A (ja) * 2014-10-10 2017-11-02 ズワイプ アクティーゼルスカブ 自己完結型の指紋識別デバイス

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of EP4239521A4

Also Published As

Publication number Publication date
US20230261864A1 (en) 2023-08-17
EP4239521A1 (en) 2023-09-06
EP4239521A4 (en) 2024-09-25
JP2022073656A (ja) 2022-05-17

Similar Documents

Publication Publication Date Title
US11664997B2 (en) Authentication in ubiquitous environment
JP6381833B2 (ja) ユビキタス環境での認証
WO2018016160A1 (ja) 署名検証システム、署名検証方法及び記憶媒体
JP4996904B2 (ja) 生体認証システム、登録端末、認証端末、及び認証サーバ
KR101233401B1 (ko) 네트워크 인증 방법 및 그를 구현 하기 위한 장치
JP4736744B2 (ja) 処理装置、補助情報生成装置、端末装置、認証装置及び生体認証システム
US8842887B2 (en) Method and system for combining a PIN and a biometric sample to provide template encryption and a trusted stand-alone computing device
JP2005122402A (ja) Icカードシステム
CN107251477A (zh) 用于安全地管理生物计量数据的系统和方法
US20060133605A1 (en) Authentication processing device and security processing method
JP2019004475A (ja) ユビキタス環境での認証
CN105809427B (zh) 高安全性移动支付系统及方法
US11706032B2 (en) Method and apparatus for user authentication
WO2023042825A1 (ja) 情報管理システム、認証デバイスおよび個人情報サーバ
WO2022091902A1 (ja) Icカード、携帯可能電子装置及び発行装置
WO2006093238A1 (ja) 認証補助装置、認証主装置、集積回路及び認証方法
JP6222692B2 (ja) 機密生体サーバー認証
JP7573455B2 (ja) 認証装置及び認証方法
JP2020021127A (ja) 情報処理システム及び情報処理方法
JP4697939B2 (ja) ユーザ認証システムおよびユーザ認証方法
JP5087890B2 (ja) 携帯型生体情報記憶装置、生体情報記憶方法、プログラム及び記憶媒体並びに生体認証システム及び方法
Lin et al. Digital signature systems based on smart card and fingerprint feature
JP4760124B2 (ja) 認証装置、登録装置、登録方法及び認証方法
KR20110005612A (ko) 생체 인식을 이용한 오티피 운영 방법 및 시스템과 이를 위한 오티피 장치 및 기록매체
JP2020022150A (ja) 情報処理システム及び情報処理方法

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21886021

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2021886021

Country of ref document: EP

Effective date: 20230602