カード及び読取装置を有する承認システム
承認システム10が、カード2と読取装置−カード相互通信92を行うための読取装置1と、読取装置とカードとを互いに割り当て、読取装置データ及びカードデータを含む承認データに基づいて読取装置−カード相互通信を実行可能にするように構成された論理モジュールとを備える。論理モジュールは、非接触式インタフェース12.1を介して承認格納デバイス5からデバイスデータを読み取り、読取装置−カード相互通信を実行可能にするために、デバイスデータに基づいて読取装置をカードに割り当てるように更に構成されている。承認格納デバイスは、例えば読取装置−デバイス相互通信95中は、非接触式インタフェースから本質的に固定された距離9で離隔して配置されている。デバイスデータの使用によって、読取装置データがカードデータに符合しない場合に、読取装置−カード相互通信を効率的に行える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、カードと読取装置とを備える、読取装置−カード相互通信のための承認システム、読取装置−カード相互通信を実行可能にするために読取装置とカードとを互いに割り当てる方法、及び承認システムに使用するコンピュータプログラムプロダクトに関する。
【背景技術】
【0002】
少なくとも1つのタグと、例えばセキュリティモジュールなどの読取装置論理回路を有するタグ読取装置とを備えた承認システムが、本願の出願人によって、周知である。タグ読取装置は、タグが読取装置の無線通信領域に入ると直ちにタグと無線で相互通信を行う。タグ又はタグ読取装置を認証若しくは承認するために、又はタグ読取装置とタグとの間でセキュアな相互通信を行うために、タグ読取装置とタグとの間で少なくとも1つの暗号が共有される。基本的に、暗号は、タグに格納されるタグの暗号(第1の暗号)とタグ読取装置に格納される読取装置の暗号(第2の暗号)とから構成され、第1の暗号と第2の暗号とは互いに対応する。それぞれの認証及び/又は承認プロセスで、読取装置の暗号がタグの暗号に符合するか否か、又はその逆が、検証される。この検証は、承認システムの論理回路、一般には読取装置の論理回路によって実施される。承認システムでは、様々なレベルのセキュリティを実現するために複数の暗号が使用される。第1のレベルは、タグとタグ読取装置との間で最新技術のチャレンジ−レスポンス法を使用して実行される。第2のレベルは、例えばDESアルゴリズムを用いる、タグとタグ読取装置との通信の符号化又は暗号化に基づくことができる。第3のレベルは、タグ又はタグ読取装置に格納されたデータ又はアプリケーションへのアクセスに関する。このレベルは、タグに格納されたタグキー又はアプリケーションキー、及びタグ読取装置に格納され、又はそこで導出される読取装置キーを用いて実現される。国際公開第97/34265A1号パンフレットによれば、第1の暗号、例えばスタンプ、及び第2の暗号、例えば開始データは、階層的承認システムのルールに従っている。
【0003】
暗号が承認システムの構成要素、特にタグ及びタグ読取装置によって共有されるので、承認システムは閉鎖系システムである。相互通信は、符合する暗号を共有する構成要素間でのみ行うことができる。
【0004】
読取装置の暗号が、タグ読取装置に直接格納されず、タグ読取装置に相互接続される装置、例えば接触式タグとしての形を取り、電気的接点を介してタグ読取装置に相互接続される利用者識別モジュール(SIM)に格納される他のシステムが周知である。その1つの短所は、接触式インタフェース故の限定された相互通信率(速度)である。
【0005】
最新技術による、暗号の格納場所と格納方法に関する構成が異なる更に別の閉鎖系承認システムが周知である。
【0006】
国際公開第2008/034937A1号パンフレットは、装置と外部デバイス、例えば非接触式タグとを備えた通信システムを開示する。その装置は、無線周波数領域を検出し、セキュリティモジュール、例えば接触式スマートカード、SIMカード、又はチップと協働するように構成された制御ユニットを備える。セキュリティモジュールは、装置に恒久的に統合され、取外し可能に取り付けられ、又は除去可能に装着されている。装置が、タグ読取装置としてとして作動する(アクティブモード)か、又はタグとして作動する(パッシブモード)かに応じて、制御ユニットは、非接触式通信を制御し、又はその制御をセキュリティモジュールに渡す。
【0007】
欧州特許出願公開第1873963A1号は、認証システム内の集積回路カード(ICカード)用の認証方法であって、端末機を介して相互接続された第1のICカード、例えば端末機のセキュリティアプリケーションモジュール(SAM)と第2の接触式ICカードとの間の、第1のICカード及び第2のICカードに格納された対応する暗号を用いる認証方法に関する。特に、少なくとも1つの識別及び/又は認証ナンバが、第2のICカードから第1のICカードを認証するために使用される。
【0008】
米国特許出願公開第2005/0103839A1号は、3つのデバイスを有する閉鎖系承認システムを開示し、それらデバイスは、端末機と、例えばICカードなどのセキュリティモジュールと、物理的に独立した識別及び承認ユニット(IAL)とである。IALでは、利用者の識別に必要な情報が記憶装置に格納されている。この情報は、IALなしに形成されているシステムに利用者が入力するPINに相当する。IALは、PINの入力を無用にするために使用される。端末機とICカードとの相互通信は、接触式又は非接触式相互通信のどちらでもよく、ICカードとIALとの相互通信は無線である。
【0009】
国際公開第2006/117009A1号パンフレットは、セキュリティユニット、例えば利用者識別ユニット(SIMカード)によって、通信ネットワーク内の端末機の周辺ユニット、例えばメモリカードを管理する方法を開示する。メモリカードを認証することができるSIMカードが存在する場合のみ、メモリカードの作動が可能になるアーキテクチャが実行される。SIMカードの信頼性故に、メモリカードは、SIMカードによって制御される第2の信頼できるユニットになる。第2の暗号自体から独立してセキュリティユニットに格納された暗号を変更することは不可能である。
【0010】
米国特許出願公開第2008/0076475A1号は、SIMカード及び通信回路を備える移動型システムを開示する。通信回路は、第1の無線インタフェースを介して外部デバイス、特にタグ読取装置と相互通信を行い、第2の無線インタフェースを介してSIMと相互通信を行う。システム及びSIMカードは、複数の異なる通信インタフェース又は通信プロトコルを備える。タグ読取装置に格納された暗号を変更することはできない。
【0011】
最新式の閉鎖系承認システム(以後、標準承認システム又は標準システムと呼称する)では、暗号、特に読取装置の暗号がタグ読取装置内で、論理回路、記憶装置、又はタグ読取装置に論理的に接続された更に別のタグ、例えば利用者識別モジュールのいずれかに格納される。読取装置の暗号を変更する必要がある場合は、論理回路、記憶装置、又は更に別のタグを交換する必要がある。タグ読取装置のハードウェアのそのような交換は、煩雑であり、実現が困難なこともある。更に、読取装置の暗号の信頼性のために、そのような交換は、全く望ましくない場合がある。これが、読取装置の暗号を格納したハードウェア又はハードウェア部品に簡単にアクセスし、又はそれを簡単に交換することができないようにタグ読取装置がしばしば設計されることの理由である。これらの欠点に依って、標準システムのタグ読取装置は、タグ又は別の標準システムと相互通信するための変更又は更新を簡単に行うことができない。
【発明の概要】
【発明が解決しようとする課題】
【0012】
本発明の目的は、従来技術の短所の少なくとも一部を克服することである。特に、本発明の目的は既存の承認システム(運用中のシステム、装備されているシステム)と互換性のある強化型承認システムを提供することにある。
【課題を解決するための手段】
【0013】
本発明によれば、これらの目的は、独立請求項の特徴によって達成される。更に、従属請求項及びその説明から更に別の有利な実施形態が導かれる。
【0014】
承認システムは、カードと読取装置−カード相互通信を行うための読取装置と、読取装置とカードとを互いに割り当て、読取装置の読取装置データ及びカードのカードデータに基づいて読取装置−カード相互通信を実行可能にするように構成された論理モジュールとを備え、読取装置データ及びカードデータは承認システムの承認データである。
【0015】
本発明によれば、上記の目的は、特に、論理モジュールが、非接触式インタフェースを介して承認格納デバイスからデバイスデータを読み取り、そのデバイスデータに基づいて読取装置をカードに割り当てて読取装置−カード相互通信を実行可能にするように更に構成されていることによって達成される。
【0016】
従って、本発明は、タグ読取装置に格納されている読取装置の暗号(承認データ)を変更するためにタグ読取装置のハードウェアを交換するという標準承認システムでは周知の手法を不要にする。特に、本発明は、変更した承認データをタグ読取装置に格納するという標準システムでの一般的な手法を撤廃する。本発明による強化型承認システム(以後、承認システム)では、読取装置に関連する変更承認データ又は他の情報(以後、読取装置データ)は、読取装置にではなく、読取装置に無線で相互接続されている無線式承認格納デバイス(ASD)に格納される。
【0017】
読取装置が非接触式インタフェースを備え、承認格納デバイスが、読取装置の通信範囲(相互通信範囲)内の或る場所に配置された場合、ASDに格納された読取装置データへのアクセスが可能になる。非接触式インタフェースは、読取装置とASDとの非接触式相互通信(以後、読取装置−デバイス相互通信)のために使用される。読取装置の非接触式インタフェースが前記相互通信向けに構成可能であるか、又はASDのインタフェース(以後、デバイスインタフェース)が非接触式インタフェースに適合しているかのいずれかである。読取装置とASDとの無線相互接続又は無線相互通信それぞれの故に、特にASDが読取装置によって無線接続を介して電力供給される受動デバイスとして実現されているとき、相互通信に関しても、又ASDへの電力供給に関しても、読取装置とASDとを有線接続する必要はない。
【0018】
これが、例えば、新たな種類/タイプの読取装置又はカードなど新たなシステムデバイスの導入、システムの様々なデバイス相互の割り当て、システム互換性/下位互換性/換装性の付加又は保護、向上型又は追加セキュリティ機能の導入、新しい又は追加アプリケーションの装備など、システムの構成(設定)に関して承認システムを強化する結果になる。
【0019】
承認格納デバイスを導入することによって、承認システムは「2要素」システム(標準システム)から「3要素」システムへ進歩する。「2要素」システムは基本的に読取装置及びカードを備え、従って、主要な相互通信は読取装置とカードとの間で行われる。「3要素」システムは、承認格納デバイスを更に備え、主要な相互通信が、読取装置とカードとの間、及び読取装置とASDとの間で行われる。読取装置によって中継する(通過させる)ことにより、「3要素」システムでは、カードとASDとの間で相互通信を行うこともできる。カードから見ると、読取装置とASDとの相互通信は隠されていると云ってよく、個々に機能的に陰で行われる。後に説明するように、ASDの導入による別の利点は、読取装置とカードとの相互通信、又は読取装置によって実行又は中継される他のあらゆる相互通信を制御し、更には実行可能にもする可能性が生じることである。
【0020】
例えば、承認システムの論理モジュールは、データ、特に承認データを処理し、アプリケーションを実行するように構成された読取装置論理回路、カード論理回路、又はデバイス論理回路として実装され、それぞれ読取装置、カード、又は承認格納デバイスに接続され、又はそれらの中に配置されている。
【0021】
カードは、読取装置とカードとの読取装置−カード相互通信用の格納カードデータ及びカードインタフェースを備える。読取装置は、読取装置−カード相互通信用の格納読取装置データ及び読取装置インタフェースと、接触式又は非接触式読取装置インタフェースと、非接触式インタフェースとを備える。承認格納デバイスは、格納デバイスデータと、非接触式相互通信用のデバイスインタフェースとを備える。承認格納デバイスは、読取装置と承認格納デバイスとの読取装置−デバイス相互通信中、及び/又は読取装置によって中継されるカードと承認格納デバイスとのカード−デバイス相互通信中(中継が読取装置−デバイス相互通信に依存するので)は、読取装置に無線で接続される。読取装置−デバイス相互通信及びカード−デバイス相互通信は、論理モジュールによって実行可能にされ、デバイスインタフェース及び非接触式インタフェースを介して実行される。
【0022】
一実施形態では、承認システムは周辺ユニット及び/又はホストを備える。周辺ユニット若しくはホスト、又はその両者は、読取装置に論理的に接続され、読取装置と周辺ユニット、又はホストそれぞれとの読取装置−ホスト/ユニット相互通信のための手段を備える。その代わりに或いはそれに加えて、周辺ユニット及び/又はホストは、カードと周辺ユニット又はホストそれぞれとのカード−ホスト/ユニット相互通信用の手段を備え、カード−ホスト/ユニット相互通信は読取装置によって中継される。
【0023】
承認システムの更に別の実施形態では、承認格納デバイスは、少なくとも読取装置−デバイス相互通信又はカード−デバイス相互通信中、及び/又は読取装置によって実行され、又は中継されるいずれか1つの相互通信中は、非接触式インタフェースから本質的に固定された距離(読取装置に関して)で離隔して配置される。更に別の実施形態では、ASDを恒久的に固定距離に配置しておくこともできる。
【0024】
一般に、読取装置データは、承認システムで使用される承認データ(システムデータ)の一部分である。読取装置データは、カードデータなど、承認データの別の部分を形成する、承認システムの他のデバイス(構成要素)のデータと明白に符合する。承認データは、読取装置、カード、ASDなど、承認システムの様々なデバイスを相互に、又は承認システムにそれぞれ割り当てるために使用される。承認データは、承認システム内で実行されるアプリケーションを承認システムに、又はシステムの諸デバイスに、それぞれ割り当てるためにも使用される。例えば、アプリケーションは読取装置、カード、承認格納デバイス、周辺ユニット及び/又はホストに格納される。同じ承認システムに属する(システムへの帰属関係を共有し、又はシステムデータが符合する)様々なデバイスが共に、閉鎖系承認システムを形成する。互いに割り当てることが、承認システムのセキュリティ、相互運用性、再構成性、換装性に関する承認システムの特徴である。
【0025】
一般に、承認データは、承認システムの論理モジュールによって扱われる。論理モジュールは、コンピュータプログラムプロダクトと、処理装置、例えばマイクロプロセッサ(uP)とを備える。承認データは、1つの論理モジュールのみで、例えば読取装置論理回路で処理することができる。或いは、承認データを処理するために複数の論理モジュールが同時に又は順次使用されることもある。
【0026】
承認格納デバイスは、承認システムで使用され、承認システムの論理モジュールによって処理される他の種類のデータ(承認データでないデータ)を格納するために使用することもできる。
【0027】
承認の他に、データは、
a)従来技術によって周知の様々なレベルのシステムセキュリティを実現すること、
b)読取装置によって実行又は中継される相互通信、特に読取装置とカードとの読取装置−カード相互通信、又は承認システムの他のデバイスとの相互通信を実行可能にすること(この場合データはシステム関連型と考えてよい)、
c)アプリケーションを実行可能にすること、特に、カードに格納されたアプリケーションへのアクセス、又はその実行を制御するために読取装置を使用すること(この場合データはアプリケーション関連型と見なすことができる)
などの更に別の目的に使用することができる。
同じデータ又は派生データを、上記の目的のいずれか1つ、又はそれらの組合せを実行するために使用することができる。
【0028】
ASDに格納されたデバイスデータは、読取装置データの完全な置き換え、又は読取装置を単に修正(更新)する役割を持つ。本発明の1つの態様は、例えば、システムセキュリティを強化することを考慮すると、読取装置に格納することができない、又は読取装置に格納するべきではない読取装置データ、特に承認データを格納するために承認格納デバイスを使用することである。それに応じて、読取装置−カード相互通信を実行可能にするには、論理モジュールが、デバイスデータを使用して読取装置データ変更するように構成されている。本発明の別の態様は、ASDを使用して、承認システムの他のデバイスのデータ、例えば周辺システムに関連するデータ、又は特別な種類のカード、例えばモニタカードに関連するデータを格納することである。モニタカードの例は、経理/ライセンシング目的で、読取装置が実行した相互通信についての情報を定期的に読み出すために使用されるカードである。
【0029】
読取装置ではなくて、承認格納デバイスに承認データを格納することにより、読取装置のハードウェアを交換する必要なしに、読取装置データを交換することが可能になる。実際には、読取装置データの交換は、殆どの場合、読取装置ソフトウェアの変更(ソフトウェアの置換)、又は追加(新しい)又は修正アプリケーションの追加及び実行(アプリケーションの置換)によって達成(実現、実行)される。置換アプリケーションの少なくとも一部分は、実行されると、読取装置−デバイス相互通信を行うことに向けられる。必要なら、置換ソフトウェア又は置換アプリケーションによって、読取装置が、ASDと相互通信を行い、デバイスデータを処理するように構成される。置換ソフトウェアは、読取装置を作動させるソフトウェア(読取装置作動ソフトウェア)を置換、交換、修正、又は更新することによって形成される。読取装置−デバイス相互通信を実行するソフトウェア又はアプリケーションは、読取装置の他の相互通信に関して実行されるコマンドに加えて読取装置又は読取装置ソフトウェアによって実行されるコマンド(コード、アプレットなどを含めて)を含む。
【0030】
承認システムにおいて、ソフトウェアの交換、又は新しい若しくは修正されたアプリケーションの導入は、ハードウェアの交換よりも容易に実現可能であり、より大きな可能性を提供する。更に、しばしば、ハードウェアの交換に加えて、その上になおソフトウェアの交換が必要になる。従って、本発明による承認格納を使用することによって、既存の標準システムの改造又は改良が、より費用効果的に達成可能である。
【0031】
読取装置−デバイス相互通信を行うためのソフトウェア又はアプリケーションは、承認システムの論理モジュール、例えば読取装置論理回路によって用意される。或いは、読取装置にASDが送ることができ、読取装置によって実行される個々のコマンドに基づいて、読取装置とASDとの基本的相互通信が行われることを前提として、承認格納デバイスのデバイス論理回路が使用される。
【0032】
本発明の更に別の態様は、承認格納デバイスが、非接触式インタフェースから物理的に離れていることである。物理的に離れていることによって、ASDのセキュアな配置及び承認システムのセキュアな空間的設定それぞれが可能になる。物理的離隔は、読取装置又は非接触式インタフェースそれぞれに対してASDの位置が定められていることによって、基本的に変更できない。承認システムのセキュリティを更に向上させるために、ASDは、固定距離から外されると作動不能になるように構成されている。例えば、作動不能にする手段には、デバイスデータが格納されているASDの記憶装置に電力を供給する電源ユニットが含まれる。電源ユニットそれ自体は、例えば、カードの存在を確認するとき読取装置によって定期的に発射されるRF場を介して、読取装置によって無線で電力供給される。例えば、電源ユニットは、電力が所定の閾値より低下した場合、デバイスデータを消去するように構成されている。例えば、ASDが固定距離又は読取装置の相互通信範囲から外れたために、電源ユニットが読取装置によってそれ以上電力供給されないと、電力は閾値より低下する。
【0033】
承認システムのセキュリティを向上させるために、一実施形態では、読取装置が、ASDの存在、又はASDからの相互通信信号の存在を検証する方法を実行するように構成されている。検証は、無線式承認格納デバイスと非接触式インタフェースとの固定距離が、空間的設定に影響する程度まで変化していないか否かを診断し判断するために使用される。論理モジュールが、固定距離が変更していないことを確認するように構成されている。
【0034】
固定距離による物理的離隔の更に別の態様は、承認格納デバイスをどこに装備又は装着するかに関する自由度である。承認システムの実施形態では、ASDは、殆どの場合ASDが隠れる(見えない)ように、読取装置に装着される。望むなら、ASDは、読取装置の利用者には見えてもよい。例えば読取装置ハードウェアにアクセスするために、読取装置の蔽いを容易に取外すことができるなら、ASDは読取装置の内側に配置してもよい。読取装置の蔽いを容易に取外すことはできないが、読取装置全体を、例えば読取装置が取り付けられている壁から、取外すことができるなら、壁に面する読取装置背面にASDを取り付けることもできる。読取装置を例えば壁から全く取外すことができないとき、ASDは、読取装置に隣接して、読取装置が取り付けられている壁面(前面)、壁中、例えば陥凹内、又は更には壁の反対側(裏側)にさえも配置することができる。
【0035】
一実施形態では、承認格納デバイスは、例えばカード(追加のカード)、ステッカ、ラベル、インレイ、タグ、トークン、ペンダント、集積回路(チップ)など、あらゆる既知の物理的な非接触式(無線)データ媒体として実現され又は具体化される。ASDは、粘着性にすることもできる。セキュリティを向上するために、取外されるとASDが物理的に破壊され、従って作動不能になるように、粘着性ASDが作られる。物理的な破壊は、デバイスのインタフェースが、データが格納されているASDの記憶装置から永久に断絶されるように行うことができる。
【0036】
承認システムの更に別の実施形態では、承認格納デバイス又はデバイスデータそれぞれが、読取装置によって実行又は中継される少なくとも1つの相互通信をそれぞれの論理回路を介して行わせるように構成されている。読取装置による中継とは、実行される相互通信コマンド及び両端間のデータ交換に関して読取装置以外のシステムのデバイス間で行われる相互通信を中継するために読取装置が使用されることを意味する。一般に、ASDは以下の相互通信の1つに関連する。即ち、
a)読取装置−デバイス相互通信、
b)読取装置−カード相互通信、
c)デバイス−カード相互通信、
d)読取装置−ホスト/ユニット相互通信、
e)カード−ホスト/ユニット相互通信、及び/又は
f)デバイス−ホスト/ユニット相互通信である。
それに代えて或いはそれに加えて、ASD又はデバイスデータはアプリケーションを実行可能にする。或いは、デバイスデータが、少なくとも1つのカードデータ又は読取装置データと共にそれに応じるように構成されている。
【0037】
外(例えば、承認システムの利用者、特にカードの利用者の視点)から見ると、本発明の更に別の態様は、承認格納デバイスが機能的に隠されていることに見られる。読取装置データなどのデータは、見えない承認格納デバイス(SASD)中に移される。例えば読取装置−カード相互通信に関して、機能的に隠れたとは、読取装置が更にASDと相互通信を行って読取装置−カード相互通信を実行可能にしている場合があるにも拘らず、カード又はカードに格納されたアプリケーションについて、全ての相互通信が読取装置と行われているかのように見えることを意味する。特に、符合させる読取装置データが読取装置には格納されておらず、実際の符合用データはASDに格納されたデバイスデータである場合にも、カードデータは、読取装置に格納された読取装置データに符合しているかのように見える。
【0038】
外から見ると、カード、又は承認システムの他のあらゆるデバイスは、読取装置によって要求される符合用データが、実際には、読取装置に格納された読取装置データであるか、若しくはASDに格納されたデバイスデータであるか、又はそれらの組合せであるかに関係なく、読取装置とだけ相互通信を行っている。
【0039】
承認システムにおいて承認格納デバイスを物理的又は機能的に隠すことは、システムのセキュリティ又は保護に関する更に別の態様である。データ、例えばデバイスデータが承認格納デバイスに格納されていると、システム、特に読取装置データを改変、攻撃、破壊、無効化することがより困難になる。これは、ASD又はSASDが承認システムに使用されていることが(外から見て)全く分からない場合に、特にそうなる。
【0040】
承認システムの更に別の実施形態は、承認格納デバイスに格納されたデバイスデータを使用して、読取装置に格納された読取装置データを変更(置換、修正、更新)することを特徴とする。デバイスデータは、読取装置によって実行又は中継される相互通信の1つ、例えば読取装置−カード相互通信を実行可能にするように最初に構成され、使用された読取装置データを置き換える。
【0041】
データ、例えば読取装置データをデバイスデータによって変更する態様は、既存のシステムの機能性を維持しながら、既存の承認システム、例えば標準システムを強化する(汎用化する)可能性を生じることに関する。以下の例は、どのように強化が実現されるかを示す。例えば、システムへの帰属関係が第1のエンパワーメントデータ又はエンパワーメント暗号によって定義されている、第1の閉鎖系承認システムを、システムへの帰属関係を定義する第2のカードデータを有する第2のカードを備えるように強化することができる。これは、ASDを前記第1のシステムの読取装置に割り当てて、ASDに格納されているデバイスデータを第2のカードデータと符合するように割り当てることによって達成される。その後、デバイスデータは、基本的に第2の読取装置データとして働く。以下の例が、更に別の強化の実現例を示す。即ち、システムへの帰属関係が第2のエンパワーメントデータ又はエンパワーメント暗号によって定義される第2の閉鎖系承認システムを第1の閉鎖系承認システムに包含するために、第1の読取装置には欠けている第2のエンパワーメントデータを、第1のシステムの前記読取装置に割り当てられたASDに格納する。第3の例は、第1及び第2の閉鎖系承認システムを統合して承認システムを形成するために、第2のシステムの読取装置に欠けている第1のエンパワーメントデータを、第2の読取装置に割り当てた第1のASDに格納し、第1のシステムの読取装置に欠けている第2のエンパワーメントデータを、第1の読取装置に割り当てた第2のASDに格納する。
【0042】
承認格納デバイス又はデバイスデータそれぞれを用いて、異なる承認システム又は異なるカードを包含し、又は統合したより汎用性の高い承認システムを実現することができる(異なるとは、システムへの帰属関係を定義するシステムデータが、システム又はそれぞれのカードについて異なることを意味する)。特に、承認格納は、読取装置に欠けている(格納されていない)読取装置データ又は異なるシステムのデータそれぞれに関して、異なるシステムの読取装置に汎用性を持たせるために使用される。基本的に、本発明による承認システムは、既存の承認システムに重ね合わされる。
【0043】
外から見ると、例えば、既存の承認システム(標準システム)が、承認システムの構成部分のように見え、及び/又は承認システムが、既存の承認システムを包含するように構成(設定、実装、装備)されたように見える。これは、既存の承認システムを、完全に機能性を保った(保護した)まま承認システムに転換しようとする場合、下位互換性又は換装性の点で重要である。
【0044】
異なるシステムの汎用化、又は異なるシステムの(汎用化された)読取装置の更に別の態様は、それぞれ、所有者/提供者に関係する。データ又はシステムへの帰属関係が所有者/提供者に関係する場合、承認格納デバイスは、第1の所有者/提供者が、別の(第2の)所有者/提供者の承認システムにアクセスし、それを使用する手段を用意する。所有者/提供者とは、異なるシステムの所有者/提供者、異なるカードの所有者/提供者、更に異なるアプリケーションの所有者/提供者をも意味し得る。
【0045】
承認システムの一実施形態では、第1のシステムデータに基づく第1の所有者/提供者の第1の承認システムにおいて、承認格納デバイス、デバイスデータ、又はカードデータ若しくは読取装置データの少なくとも1つと併せたデバイスデータを使用して、それに応じるように構成された少なくとも1つの個々の論理モジュールによって、第2のシステムデータ、又はそのグループに基づき、第2の所有者/提供者の第2の承認システム、第2のカード、又は第2のアプリケーションを作動可能にする。
【0046】
承認システムの更に別の実施形態では、論理モジュールが、承認格納デバイス又はデバイスデータを使用して、読取装置によって実行され、又は中継される少なくとも1つの相互通信、好ましくは少なくとも読取装置−カード相互通信のセキュリティを確保するように構成されている。その代わりに或いはそれに加えて、論理モジュールは、承認格納デバイス又はデバイスデータを使用して、アプリケーションの実行にセキュリティを確保するように構成されている。或いは、セキュリティは、承認格納デバイス、又は読取装置データ及びカードデータの少なくとも1つと組み合わされたデバイスデータによって達成される。
【0047】
承認システムの別の実施形態では、論理モジュールは、承認格納デバイス又はデバイスデータを使用して、カード又は読取装置など、承認システムのデバイスの承認システムへの帰属関係を行使(確立)するように構成されている。それに加えて或いはそれに代えて、論理モジュールは、デバイスデータを使用して、承認システム、好ましくは階層的承認システムのルールを行使するように構成されている。更に別の実施形態では、デバイスデータが、カードデータ及び/又は読取装置データと共に(即ち組み合わせて)それに応じるように構成され、又は承認格納デバイスが単独で使用される。(確立には、個々の検証又は行使が含まれる。)
【0048】
承認システムの更に別の実施形態では、読取装置が、読取装置−カード相互通信及び読取装置−デバイス相互通信用にただ1つだけのインタフェースを備える。非接触式読取装置インタフェースが、非接触式インタフェースとして働く。これは、読取装置−カード相互通信と読取装置−デバイス相互通信とが、同じプロトコルに基づき、同じ周波数を使用するときに可能になる。これは、基本的に、承認格納デバイスが、承認システムの更に別のカードとしての形を取るときの状態である。或いは、読取装置インタフェースが、読取装置−カード相互通信及び読取装置−デバイス相互通信の両方を、順次又は同時のどちらかで実行するように構成される。構成は、複数の相互通信に対して一度に、以後の全ての相互通信に対して一度に、又は単一の相互通信毎に行うことができる。
【0049】
本発明は、更に、本発明による承認システム内の相互通信を実行する(実行可能にする)方法に関する。その方法は、
a)読取装置とカードとの読取装置−カード相互通信を開始するステップと、
b)任意選択で、読取装置と周辺ユニット又はホストの少なくとも1つとの読取装置−ホスト/ユニット相互通信を開始するステップと、
c)読取装置と承認格納デバイスとの読取装置−デバイス相互通信を開始するステップと、
d)承認格納デバイス、承認格納デバイスに格納されたデバイスデータ、又は読取装置に格納された読取装置データ若しくはカードに格納されたカードデータの少なくとも1つと組み合わされたデバイスデータ、或いはそれらの組合せを使用して、エンパワーメントデータを定義するステップと、
e)エンパワーメントデータを使用して、読取装置によって実行され又は中継される相互通信若しくはアプリケーションの実行、又はそれらの組合せの少なくとも1つを実行可能にするステップと
を含む。
【0050】
特に、本発明は、承認システムの承認データとして使用される読取装置データ及びカードデータに基づいて、承認システム内で読取装置とカードとを互いに割り当てる方法に関する。その方法は、論理モジュールによって、承認格納デバイスからデバイスデータを読取装置の非接触式インタフェースを介して読み取るステップと、デバイスデータを使用して、読取装置をカードに割り当てるステップであって、それによって、少なくとも読取装置とカードとの読取装置−カード相互通信を実行可能にするステップとを含む。
【0051】
承認システムの初期設定は以下のステップを含む。即ち、
a)承認格納デバイスを読取装置に割り当てるステップであって、例えば、デバイスデータを読取装置データに割り当てるか、又は、デバイスデータが読取装置データを置き換えてそれに代わって使用されると定めることによって達成されるステップと、
b)読取装置のソフトウェア若しくは読取装置に格納されたアプリケーション、又はその両方を変更するステップと、
c)承認格納デバイスを、読取装置の相互通信範囲内に、非接触式インタフェースから本質的に固定された距離で離隔して配置するステップと
である。
【0052】
本発明は、承認システムで使用するコンピュータプログラムプロダクトを更に包含する。コンピュータプログラムプロダクトは、コンピュータ可読媒体に収められたコンピュータ可読プログラムコードを含む。承認システムは、読取装置データを有する読取装置と、カードデータを有するカードと、デバイスデータを有する承認格納デバイスとを備える。承認システムは、読取装置とカードとを互いに割り当て、読取装置とカードとの読取装置−カード相互通信を実行可能にするように構成された論理モジュールを更に備える。読取装置−カード相互通信は、読取装置データ及びカードデータに基づき、読取装置データ及びカードデータは承認システムの承認データである。コンピュータプログラムプロダクトは、論理モジュールに、承認格納デバイスからデバイスデータを読取装置の非接触式インタフェースを介して読み取らせ、そのデバイスデータに基づいて読取装置をカードに割り当てさせ、それによって読取装置−カード相互通信を実行可能にする命令を含む。
【0053】
承認システムに関する上記の更に別の実施形態が、承認システム内で相互通信を行う方法、又は承認システム内で読取装置とカードとを互いに割り当てる方法それぞれに同様に適用可能であり、コンピュータプログラムプロダクトにも同様に適用可能である。
【0054】
カードという用語は、複数のカード(カード群、カードインベントリ(card inventory))を包含すると理解されたい。カードには、同一のアプリケーション又は異なるアプリケーション(複数アプリケーションカード)を格納することができる。カード並びにアプリケーションはそれぞれ、同じ、又は異なる個別のカード所有者/提供者又はアプリケーション所有者/提供者によって用意され得る。カードという用語は、携帯用データ媒体を実現することが周知の全ての様々な物理的具体化物、並びに、例えばPDA上でシミュレートされたカードなどの仮想カードを包含する。用語、読取装置及び承認格納デバイスも、用語、カードと同様に理解されたい。
【0055】
データという用語、特に読取装置データ、カードデータ、及びデバイスデータは、承認システムで使用され処理される様々なデータ全てを包含し、承認データには限定されない。データは、承認システムの論理モジュール内でデータから派生するデータも包含する。データの例は、
i)シリアルナンバ、固有又は安全識別ナンバ、又はアプリケーション識別子によって達成される、デバイス又はアプリケーションを識別する識別データ、
ii)承認データを含む、承認システムで使用される操作データ、
iii)操作データのサブセットであると考えてよいセキュリティデータ、
iv)アプリケーションデータ
である。
【0056】
アプリケーションという用語は、広く解釈すべきであり、少なくともアプリケーションデータとアプリケーションコードとを含む。用語、アプリケーションは、同じ又は異なるアプリケーション所有者/提供者のいずれかによって用意される単独のアプリケーション又は複数のアプリケーションを更に指す。複数のアプリケーションは、それぞれ互いに完全に独立であっても、異なるアプリケーション所有者/提供者からのものであってもよく、又は互いに依存し若しくは相互通信を行ってもよい。
【0057】
作動可能にする(実行可能にする)という用語は、相互通信を実行可能にし、制御し、変更し、修正し、若しくは更新するため、又はアプリケーションを実行し、若しくは実行可能にするためにそれぞれ承認システム内で実行する必要がある全てのデータ処理及び相互通信を包含する。
【0058】
承認システムのルールという用語は、承認システムの様々なデバイス及び/又はアプリケーション間の帰属関係を定義し行使するために使用するあらゆる種類のデータとして理解されたい。全てのルールを併せて、デバイス間の相互通信、若しくはアプリケーションの実行、又はその両方に関して何が許可されるかが定義される。階層的承認システムでは、ルールは、階層レベルに更に関係及び/又は依存する。階層レベルは、異なる階層レベル間で可能な相互通信を定義することによって、データを更に制約するために使用される。
【0059】
本発明が、図面を参照してより詳細に例として説明される。説明及び図面は、特許請求の範囲で定義された本発明を限定するものと考えるべきではない。
【図面の簡単な説明】
【0060】
【図1】カードと、読取装置と、無線式承認格納デバイスとを有する本発明による承認システムの図である。
【図2】本発明による承認システムの一連の相互通信ステップの図である。
【図3】移動型読取装置を有する本発明による承認システムの図である。
【図4】複数の無線式承認格納デバイスを有する本発明による承認システムの図である。
【図5】2つの移動型読取装置を有する本発明による承認システムの図である。
【図6】従来技術による標準承認システムの詳細図である。
【図7】本発明による承認システムの詳細図である。
【図8】本発明による承認システムを更に詳細に示す図である。
【図9】本発明による承認システムの別の詳細図である。
【図10】本発明による承認システム、及び伝送トークンの図である。
【発明を実施するための形態】
【0061】
図1は、本発明による承認システム10を示す。承認システム10は、読取装置1と、カード2と、無線式承認格納デバイス(ASD)5と、承認システム10に関する論理モジュール(図7参照)とを備える。読取装置1は、カード2との読取装置−カード相互通信92のための読取装置インタフェース11、及び読取装置1とASD5との非接触式読取装置−デバイス相互通信95のための非接触式インタフェース12.1、並びに、例えば、読取装置記憶装置14又は論理モジュールとして用いられる読取装置論理回路13など(図7参照)、相互通信に必要な更に別の手段を備える。カード2及びASD5は、カードインタフェース21又はデバイスインタフェース51.1それぞれを読取装置1との相互通信のために備える。カード2は、非接触式カード2.1又は接触式カード2.2のどちらでもよい(図7参照)。従って、読取装置−カード相互通信92は、非接触式相互通信92.1(無線又は遠隔相互通信)又は個々に有線接続された接触式相互通信92.2のどちらかである(図7参照)。ASD5は、少なくとも読取装置−デバイス相互通信95中は、本質的に固定された距離9で非接触式インタフェース12.1から離隔して配置される。固定距離9は、承認システム10の空間的設定、特に非接触式インタフェース12.1に対するASD5の配置によって実現される、ASD5と非接触式インタフェース12.1との間の変更できない変位量を定める。ASD5が、読取装置1の相互通信範囲内に最終的に配置された後は、ASD5は、一般に、非接触式インタフェース12.1に対して動かせない。従って、ASD5は、読取装置−カード相互通信92中も、固定距離9で非接触式インタフェース12.1から離隔して配置される。空間的設定の例は、ASD5を読取装置1に隣接して恒久的に装着し、ASD5を読取装置1に、例えば読取装置の外側に取り付け、又はASD5を読取装置の内側に配置することである。
【0062】
承認システム10では、承認格納デバイス5は、特に読取装置−カード相互通信92において読取装置1によって実施又は中継される少なくとも1つの相互通信を実行可能にするように構成されている。より詳細には、それに応じて、承認システム10の論理モジュール、例えば読取装置論理回路13が、ASD5を使用し又はそれと交信し、特に、非接触式インタフェース12.1を介してASD5からデータを読み取り、読取装置1をカード2に割り当てて、読取装置−カード相互通信92を実行可能にするように構成されている(図7参照)。論理モジュールは、処理装置を制御するコンピュータプログラムプロダクト(対応する命令を有する)を有する。
【0063】
固定距離9は、非接触式インタフェース12.1の無線相互通信範囲内に選択される。固定距離9は、好ましくは、少なくとも通常の運用においてセキュアな方式で設定される。セキュアな方式でとは、カード利用者、又は承認システム10の所有者/提供者によるASD5の操作、又はASD5へのアクセスが、読取装置1のハードウェア、又は承認システム10の空間的設定の変更なしには不可能であることを意味する。システムの更に別の空間的設定は、非接触式インタフェース12.1を備える転置アンテナを用いることによって実現することができ、転置アンテナは、読取装置インタフェース11を備える読取装置1の囲いから離れて配置される。
【0064】
例えばASD5の存在の確認、又はASD5の相互通信信号の確認など、固定距離9が変更されていないことを検証する更に別の手段又は方法を実行することができる。前記存在の検証は、読取装置1とASD5との定期的相互通信、例えば読取装置1がASD5の少なくとも固有の識別番号(UID)を定期的に読み取ることによって達成することができる。相互通信信号の確認は、ASD5の信号が、設定時に前もって、又は現状を基に決定された或る閾値を満足するか否かを解析することによって達成することができる。閾値は、相互通信信号の出力レベル、又は相互通信信号の出力レベル(ピーク値)と相互通信の側波帯との差に関連付けることができる。
【0065】
図2は、読取装置1と、カード2と、無線式承認格納デバイス5と、周辺ユニット3と、ホスト4とを有する承認システム10を示す。承認システム10内では、以下の基本的相互通信が可能である。即ち、読取装置1とカード2との間の読取装置−カード相互通信92、読取装置1とASD5との間の読取装置−デバイス相互通信95、並びに読取装置1とホスト4及び/又は周辺ユニット3との間の読取装置−ホスト/ユニット相互通信94である。読取装置駆動式承認システムでは、読取装置1が能動デバイスでありカード2及びASD5と相互通信を開始し、従って、カード2及びASD5は受動デバイスであり、以下の相互通信ステップが実行される。即ち、
a)ステップS1:読取装置1がカード2からの応答を求めて読取装置−カード相互通信92を開始する。
b)ステップS2:読取装置1が、読取装置−デバイス相互通信95によって、ASD5の存在を確認する。ASDが存在する場合、読取装置1又はカード2に欠けており、例えば最終的に読取装置−カード相互通信92を開始し又は実行可能にするために承認又は認証プロセスで必要になる承認データ、特にデバイスデータ75(図7参照)を得るために、読取装置1が、ASD5と相互通信95を行う。これは、例えば、カード2が存在し、読取装置1がカードのUIDを読むことによってカード2を認識したが、カード2に格納されているカードデータ72が読取装置1に格納されている読取装置データ71(図7参照)と符合しないので、読取装置1が、カード2とそれ以上相互通信することができない場合である。
c)ステップS3:読取装置1が、例えばアプリケーション80(図7参照)を実行するために、カード2と相互通信を行う。
d)ステップS4:読取装置1が、アプリケーション80に関連して周辺ユニット3又はホスト4と相互通信を行う。
この相互通信シーケンスは、ステップS3がステップS2に依存し、又はステップS3がステップS2によって実行可能になるので、(S1,S3[S2],S4)と略号化される。
【0066】
相互通信のステップに関し、他のシーケンスが可能である。即ち、
a)(S1[S2],S3,S4):ステップS2/S1−ステップS3−ステップS4であり、ステップS1はステップS2に依存する。これは、読取装置1が、先ずASD5の存在を確認することを意味する。ASD5が存在する場合、読取装置1は、ASD5から受け取ったデバイスデータ75に基づいて、カード2と読取装置−カード相互通信92を開始しようとする。
b)(S1,S3,S4[S3]):ステップS1−ステップS3−ステップS2/S4であり、ステップS4はステップS2に依存する。
これらのシーケンスの組合せ、例えば(S1[S2],S3[S3],S4[S2])なども可能であり、ステップS1、S2、及びS4の制御又は更新を可能にするために、ステップS2が1回又は複数回実施される。
【0067】
図3は、読取装置1と、カード2と、2つの承認格納デバイス5a、5bとを有する本発明による承認システム10を示す。第1の構成Iでは、読取装置1がカード2と相互通信92を行う。次いで、読取装置1は、第1の変位19aによって第2の構成IIに変位させられる。第2の構成IIでは、読取装置1、個々には非接触式インタフェース12.1(図7参照)が、読取装置−デバイス相互通信95中、第1のASD5aから第1の固定距離9aで離隔配置される。構成IIでは、読取装置1は、カード2又は他のカードと相互通信92を行うことができる。第2の変位19bによって、読取装置1は第3の構成IIIに変位し、読取装置1は次の読取装置−デバイス相互通信95中、第2のASD5bから第2の固定距離9bで離隔配置される。この実施形態は、読取装置1が位置を変えても、各構成において、読取装置1と、存在すればASD5a、5bとの間の空間的設定が固定距離9a、9bによって特定される様子を示す。
【0068】
様々な構成を有する例は、エレベータのアクセスアプリケーションである。1階で、利用者は、昇降機にアクセスするために昇降機に恒久的に装着されている読取装置に自分のカードを提示する(構成Iに対応する)。昇降機内で、利用者は、例えば10階に行くことを要求したとする。10階に到着すると、読取装置は、例えば、1階で読み取り、一時的に記憶したカードのUIDに基づいて、利用者が実際に10階に到着したか否かをASDに訊ねる(構成IIに対応する)。アクセスアプリケーション又は利用者による実際のアクセスは、それぞれ2重の制御を受ける。即ち、読取装置がカードを読み取るときの第1の制御と、10階での、読取装置にアクセスアプリケーションを継続して作動させるか又は終了させるかそれぞれの、読取装置−デバイス相互通信に基づく第2の制御とである。
【0069】
図3に示される通り、無線式承認格納デバイス5と読取装置1とは、変位19、又はASD5に対する読取装置1の実際の位置のいずれかに応じて、単に一時的に固定距離9に構成することができる。
【0070】
図4は、1つの読取装置1と、3枚のカード2a、2b、2cと、固定距離9a、9bに配置された2つの承認格納デバイス5a、5bとを有する本発明による承認システム10を示す。第1のASD5aは第1及び第2のカード2a、2bに関連し、第2のASD5bは第3のカード2cに関連する。
【0071】
本発明は、読取装置1によって実行又は中継される相互通信、例えば、様々なカード2a、2b、2cとの読取装置−カード相互通信92を行えるようにするために、承認システム10に順次追加される異なるASD5a、5bを使用することを可能にし、ここでカード2a、2b、2cは承認システム10に順次追加される。異なるASD5a、5bの使用は、読取装置1が、複数のASDから1つだけのASDを選択する衝突回避機能又は他の機能を有するという前提で可能である。
【0072】
図5は、2つの読取装置1a、1bと、カード2と、無線式承認格納デバイス5とを備える承認システム10を示す。先ず、第1の読取装置1aがカード2と相互通信92を行う。次いで、第1の変位19aの後、第1の読取装置1aが、第1の固定距離9aに配置されたASD5と相互通信95を行う。その後、第2の読取装置1bが、カード2又は別のカードと相互通信92を行う。更にその後、第2の変位19bの後に、第2の読取装置1bが、第2の固定距離9bに配置された同じASD5と相互通信95を行う。この承認システム10では、ASD5は、複数の異なる読取装置1a、1bに割り当てられる。
【0073】
そのような構成の例は、銀行の貸金庫箱へアクセスすることへの応用である。銀行の金庫は、読取装置をそれぞれが備える複数の貸金庫箱と、箱をそこで開けることができる複数の箱開放位置とを備え、各開放位置がASDを備える。自分の銀行カードを用いて、利用者は、自分自身を承認させ、自分の貸金庫箱を取り出して、箱開放位置に置く。ASDによる利用者及び/又は貸金庫箱の確認が成功した後に初めて、利用者は貸金庫箱を開けることができる。
【0074】
図6は、従来の技術で周知の閉鎖系標準承認システム100を示す。標準システム100は、タグ読取装置101と、非接触式タグ102.1と、接触式タグ102.2とを備える。更に、標準システム100は、タグ読取装置101に両方とも接続された周辺ユニット3及び/又はホスト4を備えてもよい。タグ読取装置101は、読取装置インタフェース11と、論理モジュールとして構成され使用され、読取装置インタフェース11に論理的に接続された読取装置論理回路13と、読取装置論理回路13に論理的に接続された記憶装置14とを備える。読取装置インタフェース11は、非接触式タグ102.1との非接触式相互通信92.1用の非接触式読取装置インタフェース11.1、或いは、又はそれに加えて、接触式タグ102.2との接触式相互通信92.2用の接触式読取装置インタフェース11.2である。
【0075】
タグ読取装置101では、読取装置の暗号171が、例えば、読取装置論理回路13、読取装置インタフェース11.1、又は読取装置記憶装置14内に格納されている。更に、タグ読取装置101は、例えば読取装置記憶装置14に格納された、アプリケーション80を有する。タグ102には、タグの暗号172とアプリケーション80とが格納されている。読取装置の暗号171とタグの暗号172とは互いに符合し、エンパワーメント暗号170、例えば承認データを定める。エンパワーメント暗号170の例は、例えば、タグ102とタグ読取装置101、又は、タグ102若しくはタグ読取装置101それぞれとアプリケーション80とを互いに割り当てるのに使用されるアクセスキー、セッションキー、アルゴリズムなどである。読取装置−カード相互通信92をセキュアな方式で(セキュアな相互通信)開始し、又はアプリケーション80にセキュアにアクセスできるようにするために、読取装置の暗号171及びタグの暗号172は秘密にしておく必要がある。従って、両者は、少なくとも、例えば、標準システムの所有者/提供者又はアプリケーション80の所有者/提供者それぞれの明確な許可なしには、変更、読取り、消去、又は他の方法で変えることができないように、タグ102及びタグ読取装置101に格納する必要がある。纏めると、エンパワーメント暗号170は、閉鎖系標準承認システム100それ自体、若しくは標準システム100内で実行されるアプリケーション80、又はその両方に関する。特に、エンパワーメント暗号170は、タグ102とタグ読取装置101との読取装置−カード相互通信92、及び/又はアプリケーション80の実行を可能にするように構成されている。更に、暗号170の一部分、一般には読取装置の暗号171、更にはホストの暗号も、ホスト4内に格納して、セキュリティを向上させ、又はホストの存在に依存してアプリケーションを特定的に実行することができる。
【0076】
タグ読取装置101は、読取装置論理回路13と利用者識別モジュール(SIM)又はセキュリティアプリケーションモジュール(SAM)などのセキュリティモジュール105との間の接触式読取装置−モジュール相互通信195用の読取装置−モジュールインタフェース112.2を更に備え得る。一般に、セキュリティモジュール105は、タグ読取装置101の構成部品であり、タグ読取装置101が最初に設置されるときタグ読取装置101に恒久的に接続される。セキュリティモジュール105には、一般にアクセス不能で変更不能であるモジュールの暗号175が格納されている。殆どの場合、セキュリティモジュール105は、例えば、タグ読取装置101に恒久的に挿入されたスマートカードとして実現される。セキュリティモジュール105は、接点を介してタグ読取装置101と相互通信を行う。従って、接触式読取装置−モジュール相互通信195の速度は、非接触式相互通信と比較して遅い。一般に、モジュールの暗号175は、読取装置の暗号171を完全に置き換え、それが、タグ読取装置101に暗号が格納されていない理由である。そのような場合、暗号エンパワーメント170は、タグの暗号171とモジュールの暗号175とを符合させることによって定められる。
【0077】
図7は、読取装置1と、非接触式タグ102.1と、非接触式カード2.1及び(標準システムの)接触式カード2.2、纏めてカード2と、周辺ユニット3と、ホスト4と、無線式承認格納デバイス5とを備える本発明による承認システム10を示す。従来技術から分かるように、読取装置1は、読取装置インタフェース11と、読取装置論理回路13と、読取装置記憶装置14とを備える。読取装置論理回路13は、承認システム10の論理モジュールとして使用される。ASD5を考慮に入れなくても、論理モジュールが、符合する読取装置データ71(例えば読取装置の暗号171)とカードデータ72(例えばカードの暗号172)に基づいて読取装置1とカード2とを互いに割り当てるように構成されており、それによって、読取装置1とカード2との読取装置−カード相互通信92が実行可能になる。即ち、読取装置−カード相互通信92は読取装置データ71及びカードデータ72に基づき、両方とも承認システム10の承認データであるか、又はその一部である。更に読取装置1は、ASD5との読取装置−デバイス相互通信95用の非接触式インタフェース12.1を備える。カード2及びASD5は、カードインタフェース21及びカード記憶装置、並びにデバイスインタフェース51.1及びデバイス記憶装置をそれぞれ備える。両者は、データを処理するために、それぞれカード論理回路及びデバイス論理回路を更に備え得る。論理モジュールは、読取装置−デバイス相互通信95又はその相互通信の一部として、ASD5からデバイスデータ75を読み取るように構成されている。論理モジュールは、デバイスデータ75に基づいて、特にデバイスデータ75を使用して読取装置データ71を置き換え、更新し、又は修正することによって、読取装置1をカード2に割り当てて、読取装置−カード相互通信92を実行可能にするように更に構成されている。ASD5は、非接触式インタフェース12.1から固定距離9で離隔して配置されている。読取装置インタフェース11は、読取装置1と非接触式カード2.1又は非接触式タグ102.1との非接触式読取装置−カード相互通信92.1用の非接触式読取装置インタフェース11.1、及び、それに代えて或いはそれに加えて、接触式カード2.2との読取装置1の接触式読取装置−カード相互通信92.2用の接触式読取装置インタフェース11.2として構成することができる。非接触式読取装置−カード相互通信92.1用の非接触式読取装置インタフェース11.1は、読取装置−デバイス相互通信95用の非接触式インタフェース12.1として機能することもできる。更に、従来技術から分かるように、読取装置の暗号171が読取装置1に格納され、タグの暗号172が非接触式タグ102.1に格納されている。読取装置1及び非接触式タグ102.1には、アプリケーション80、特に標準承認システム100に関する第1のアプリケーション80aも格納されている。非接触式カード2.1及び接触式カード2.2には、カードデータ72及びアプリケーション80が格納され、特に承認システム10に関する第2のアプリケーション80bが格納されている。第2のアプリケーション80bは読取装置1にも格納され得る。カードデータ72は、基本的に、承認システム10の読取装置1に一般に格納されている読取装置データ71に符合する。カードデータ72及び読取装置データ71は共に、特にデバイスデータ75を用いて読取装置データ71を変更(置換、更新、修正)することによって、エンパワーメントデータ70を形成し、又は定義するために使用される。エンパワーメントデータ70は、基本的にエンパワーメント暗号170と同等であり、例えば承認方法又は手順など、同じ機能を実行するために使用することができる。エンパワーメントデータ70は、少なくとも読取装置−カード相互通信92を実行可能にするために論理モジュールによって使用される。承認システム10において読取装置データ71が読取装置1に格納されていない場合、それは図7に示す読取装置1の場合であるが、又は読取装置データ71がカードデータ72に割り当てられていない場合、カードデータ72とASD5に格納されているデバイスデータ75とを互いに割り当てて、エンパワーメントデータ70として使用する。承認システム10において、読取装置1に格納されている読取装置データ71が不完全であり、例えば、読取装置データ71がカード2に格納された或るアプリケーション80へのアクセス権を与えず、又は読取装置データ71がカードデータ72より古いバージョンの承認データに関する場合、デバイスデータ75が、読取装置データ71を変更するために使用される。この場合、カードデータ72と、読取装置データ71と、ASD5に格納されているデバイスデータ75とを互いに割り当てて、エンパワーメントデータ70として使用する。承認システム10では、エンパワーメントデータ70は、読取装置1によって実施又は中継される少なくとも1つの相互通信、例えば、読取装置−カード相互通信92、読取装置−ホスト/ユニット相互通信94、又は読取装置−デバイス相互通信95を実行可能にするように構成されている。その代わりに或いはそれに加えて、エンパワーメントデータ70は、第2のアプリケーション80bを実行可能にし、又は実行するように構成されている。基本的に、本発明による承認システム10では、デバイスデータ75は、読取装置データ71を変更(置換、更新、修正)するように構成されている。機能上の観点からは、少なくとも読取装置−カード相互通信92を実行可能にすることに関し、デバイスデータ75は、少なくとも部分的に、読取装置データ71を変更し、又は読取装置データ71として働くために使用される。論理回路は、それに応じて構成されている。
【0078】
更に、エンパワーメントデータ70は、例えば、やはり、カード2と周辺ユニット3又はホスト4それぞれとのカード−ホスト/ユニット相互通信94−2、ASD5とカード2とのデバイス−カード相互通信95−2、又はASD5と周辺ユニット3/ホスト4とのデバイス−ホスト/ユニット相互通信95−4など、読取装置1によって実施又は中継される相互通信、及びASD5又はデバイスデータ75に依存する相互通信のいずれも実行可能にするために、承認システム10の論理モジュールによって使用することができる。その代わりに或いはそれに加えて、エンパワーメントデータ70は、セキュアな相互通信のために構成することができる。エンパワーメントデータ70、特にデバイスデータ75は、セキュリティ特性又はセキュリティレベルを更に向上させるために使用される。更に、エンパワーメントデータ70は、第2のアプリケーション80bにセキュアにアクセスし(セキュアアクセス(secure access))、又は第2のアプリケーション80bをセキュアに実行する(セキュアエグゼキューション(secure execution))ように構成することができる。
【0079】
ASD5に格納されるデバイスデータ75、又はASD5それ自体が、読取装置1に割り当てられる。従って、承認システム10それ自体に関係付けられる(システム関連型)か、又は承認システム10内で実行されるアプリケーション80に関係付けられる(アプリケーション関連型)かのいずれか、或いはその両方であるエンパワーメントデータ70に関して、読取装置1はASD5と相互通信を行い、又はその逆を行うことができる。
【0080】
本発明による、読取装置−デバイス相互通信95を実施するための論理モジュールの有効化は、基本的には、読取装置によって実行される読取装置ソフトウェア又はアプリケーション80を変更することによって実行される。変更には、読取装置ソフトウェアの部分的又は完全な改変(置換、更新、修正)が含まれる。例えば、以下を変更することができる。即ち、作動システム、作動データ、アプレット、設定、パラメータ、アルゴリズム、又は関数である。ASD5がアプリケーション80に関して使用されるとき、アプリケーション80も又、元の未変更の読取装置ソフトウェア、又は変更済み読取装置ソフトウェアのいずれによっても、読取装置1がアプリケーション80を実行することができるように、変更する必要がある。
【0081】
読取装置1は、第1の周波数を用い読取装置インタフェース11.1を介する非接触式読取装置−カード相互通信92.1に向け、及び第2の周波数又は第1の周波数を用い非接触式インタフェース12.1を介する非接触式読取装置−デバイス相互通信95に向けて構成することができる。2つの物理的インタフェース又は2つの周波数を使用することによって、読取装置−カード相互通信92.1及び読取装置−デバイス相互通信95は、同時にでも行うことができる。読取装置インタフェース11.1及び非接触式インタフェース12.1は、単一の物体、更には単一のインタフェースとして、例えば同じ又は異なる周波数を用い1つだけのアンテナを有するインタフェースとして実現することもできる。
【0082】
読取装置1は、更に、読取装置インタフェース11.1を介する非接触式読取装置−カード相互通信92.1のために第1のプロトコル(コーディング、通信に関し)を使用し、非接触式インタフェース12.1を介する非接触式読取装置−デバイス相互通信95のために第2のプロトコル、又は第1のプロトコルを使用するように構成することができる。2つの異なるプロトコルを使用することによって、読取装置−カード相互通信92.1と読取装置−デバイス相互通信95とは、同時に行うことができる。相互通信プロトコルに関し読取装置1に応じて、どの相互通信にどのプロトコルを使用するかについて複数の組合せが可能である。第1の組合せでは、タグ102.1又はカード2.1との読取装置−カード相互通信92.1のプロトコルが読取装置−デバイス相互通信95のプロトコルとは異なり得る。第2の組合せでは、カード2.1との読取装置−カード相互通信92.1のプロトコルが、読取装置−デバイス相互通信95のプロトコルと同じであり、タグ102.1との読取装置−カード相互通信92.1のプロトコルとは異なっている。
【0083】
読取装置−カード相互通信92.1と読取装置−デバイス相互通信95とに同じ周波数及び同じプロトコルを使用することによって、基本的にこれら2つの相互通信間に相違が無くなる。読取装置1にとって、相互通信の観点からは、承認格納デバイス5は、別の非接触式カード2.1又は別の非接触式タグ102.1に他ならない。
【0084】
以下のシステムは、承認システムを強化し又は汎用的な承認システムにするために、特に、タグ102と、タグ読取装置101とを備える第1の閉鎖系承認システム100aを、更にカード2を備える承認システム10に変更するために、承認格納デバイス5がどのように使用されるかを示す。第1の閉鎖系承認システム100aでは、システムへの帰属関係は、エンパワーメント暗号170、特に読取装置の暗号171及びタグの暗号172によって定められる。従って、タグ読取装置101は、タグの暗号172を有さないカード2とは相互通信95を行うことができない。デバイスデータ75を有するASD5をタグ読取装置101に割り当て、又はその逆を行い、デバイスデータ75を読取装置データ71として使用して、エンパワーメントデータ70を形成することによって、タグ読取装置101は、再構成されて読取装置1になる。その後、読取装置1はカード2と相互通信92を行うことができる。ASD5は、タグ読取装置101を読取装置1に変換するのに使用され、読取装置1は、タグ読取装置101より汎用性が高くなる。第1の閉鎖系承認システム100aは、(強化型、改良型、汎用化型)承認システム10の一部分になる。
【0085】
承認システム10の汎用性の高さは、第1の閉鎖系承認システム100aとカード2を備える第2の閉鎖系承認システム100bとを単一の承認システム10に統合することができる向上した相互通信能力に表れる。特に、第2の閉鎖系承認システム100bは、非接触式カード2.1と、第2の読取装置(タグ読取装置)101bとを備える。第2のタグ読取装置101bは、読取装置インタフェース11.1と、読取装置データ71が格納された読取装置論理回路13と、第2のアプリケーション80bが格納された記憶装置14とを備える。第2の閉鎖系承認システム100bに関して、システムへの帰属関係はエンパワーメントデータ70、特にカードデータ72及び読取装置データ71によって定められ、又はそれらから導出される。
【0086】
タグ読取装置101の読取装置1への変換は、タグ読取装置101のハードウェアに全く変更なしに実現される。行う必要のあることの全ては、タグ読取装置101の相互通信範囲内に無線式承認格納デバイス5を配置し、ASD5をタグ読取装置101に割り当て(読取装置1にするために)、又はその逆を行うことである。ASD5及び読取装置1の割り当ては、タグ読取装置101のソフトウェアの変更、又は読取装置1によって実行されるソフトウェアそれぞれによって実現される。その代わりに或いはそれに加えて、読取装置1によって実行されるアプリケーション80、特に第2のアプリケーション80bを変更する必要がある。アプリケーション80は、基本的にやはり一本だけのソフトウェアであるので、アプリケーション80の変更は、読取装置ソフトウェアを取り込むのと同程度に容易である。
【0087】
第2のアプリケーション80bを、例えば読取装置の暗号171及びカードの暗号172を用いて、更に別のアプリケーションとしてタグ102.1に格納することが可能な場合、承認格納デバイス5は、更に、タグ102.1及びタグ読取装置101を備える第1の閉鎖系承認システム100aを改良して第2のアプリケーション80bを備えさせるのに使用することができ、その第2のアプリケーション80bは、基本的に、暗号70、特に第2の閉鎖系システム100bのカードデータ72及び読取装置データ71によって制御される。更新された第1の閉鎖系システム100a(今や強化型承認システムである)では、第2のアプリケーション80bへのアクセスは、読取装置の暗号171を使用してタグの暗号172を有するタグ102.1にアクセスし、読取装置データ71を模擬し又は置換して第2のアプリケーション80bにアクセスし及び/又はそれを実行するように働くエンパワーメントデータ70を使用することによって達成される。
【0088】
図7に基づいて、図2のシーケンス(S1,S3[S2],S4)が、より詳細に説明される。先ず、読取装置1が、認証信号を送出し、必要なら衝突回避を実施してカード2から応答、例えばカードのUIDを得て、カード2を識別する(ステップS1)。前記識別に基づいて、読取装置1は、例えば、ISO/IEC14443によるセキュアな非接触式読取装置−カード相互通信、又は専用プロトコルなど、いかなる種類の相互通信92を確立するべきかを知る。例えば、読取装置データ71が読取装置1に格納されているために、読取装置1が、セキュアな相互通信を確立するのに必要な全てのエンパワーメントデータ70を有する場合、読取装置1はセキュアな相互通信を開始する。この過程は、従来技術で周知のシーケンスに対応する(ステップS3)。読取装置1がエンパワーメントデータ70の一部又は全てを欠く場合、それに応じるように構成された論理モジュールを用いて、欠けているエンパワーメントデータ70を承認格納デバイス5から取り込む。それ故、読取装置1はASD5と相互通信95を行う。相互通信95は、読取装置−カード相互通信92を実行可能にし、又はアプリケーション80を実行するために、デバイスデータ75を読み取り、デバイスデータ75及びカードデータ72を読取装置論理回路13に割り当てることを含み得る。相互通信95は、カードデータ72をASD5に渡すことも含み得る。デバイス論理回路が、ここではカードデータ72をデバイスデータ75と共に処理する論理モジュールとして働いて、読取装置−カード相互通信92を作動可能にし、又はアプリケーション80を実行する。デバイス論理回路がエンパワーメントデータ70を処理する場合は、基本的には、デバイス−カード相互通信95−2が確立される。読取装置1は、基本的には、相互通信の中継装置として働き、単にASD5とカード2との相互通信を中継する(通過させる)のに使用される。例えば、ASD5は、読取装置−カード相互通信92の個々のコマンド(読取装置1からカード2に送られるコマンド)をコーディングし、第1のコーディング、例えば専用プロトコル又はアトミック命令を使用してそれらのコマンドを読取装置1へ送出する。ASD5から受け取ったコマンドに基づいて、読取装置1は、やはり第1のコーディングを使用するか、又は、読取装置1において翻訳後、第2のコーディング、例えばISO/IEC14443又はNFCなどの標準プロトコルを使用するかのいずれかで、カード2と相互通信92を行う。同様に、読取装置1は、カード2から読取装置1へ送られた応答を、コーディングを翻訳し、又は翻訳しないでASD5に送って(通過させて)、必要なら、ASD5によってデータを更に処理し、引き続きデバイス−カード相互通信95−2を行う。
【0089】
読取装置−カード相互通信92は、ASD5、又はデバイスデータ75によって実行可能になり、従って、ステップS2に依存するが(ステップS3[S2])、カード利用者の観点からは、従来技術のステップS3と同様、読取装置−カード相互通信92が進行しているだけである。
【0090】
必要なら、例えば、周辺ユニット3からアプリケーションデータを読み取り、又は周辺ユニット3にアプリケーションデータを書き込むことによって周辺ユニット3上でアプリケーション80を実行するために、デバイス−カード相互通信95−2又は読取装置−カード相互通信92中、又はそれらの後に、読取装置−ホスト/ユニット相互通信94が行われる(ステップS4)。
【0091】
読取装置論理回路13、カード論理回路、若しくはデバイス論理回路、又は更には周辺ユニット3及び/又はホスト4の論理回路をも、承認システム10の論理モジュールとして使用してエンパワーメントデータ70、特にデバイスデータ75を処理するか否かに応じて、複数の他のシーケンス過程が可能である。例えば、ASD5を使用して、デバイス−カード相互通信95−2又はデバイス−ホスト/ユニット相互通信95−4を実行可能にするすることができる。
【0092】
無線式承認格納デバイス5によって、より汎用性の高い承認システム10を実現することができる。承認システム10において、カード利用者又はカード2に格納されたアプリケーション80の点から見て、カード利用者は常に、カード2が読取装置1とのみ相互通信92を行い、特に全ての読取装置データ71が読取装置1のみに格納されているとの印象を持つ。カード利用者、特に非接触式カード2.1(カードデータ72を有する)の利用者にとって、カード2.1及び第2のタグ読取装置101b(読取装置データ71を有する)を備える第2の閉鎖系承認システム100bと、第1の閉鎖系承認システム100bに基づき、タグ102.1(タグの暗号172を有する)及びタグ読取装置101(読取装置の暗号171を有する)を備え、本発明によって強化された承認システム10との間に差が無い。
【0093】
図8は、承認システム10において、無線式承認格納デバイス5を使用して、欠けたエンパワーメントデータ70に関して読取装置1を更新する様子を示す。欠けたエンパワーメントデータ70は、最初にそれが承認システムにインストール又は導入されたとき、読取装置1に格納されなかったが、その後新しいカード(新しいアプリケーションを有する)又は新しいアプリケーション(既存のカードに格納される)が承認システムに追加されたとき、必要になったデータであり得る。
【0094】
読取装置1は、非接触式読取装置インタフェース11.1と、非接触式インタフェース12.1と、論理回路13と、記憶装置14とを一体化した単一の構成要素を備える。読取装置インタフェース11.1と非接触式インタフェース12.1とは、単一の機能ユニット(電子構成要素)又は構成要素のサブグループとして実現される。カード2には、第1のカードデータ72a.iと、第2のカードデータ72b.iiを伴う第1のアプリケーション80aと、第3のカードデータ72c.iiを伴う第2のアプリケーション80bとが格納されている。第1のカードデータ72a.iは、承認システム10に関連付けられている(システム関連型)。第2及び第3のカードデータ72b.ii、72c.iiはアプリケーション80a、80bに関連付けられている(アプリケーション関連型)。システム関連型データ又はアプリケーション関連型データのいずれか1つ又は両方は、承認システムのルールを実施するために使用することができる。読取装置1には第2の読取装置データ71b.iiが格納されている。第1の読取装置データ71a.iは欠けており、その代わりに、ASD5によって第1のデバイスデータ75a.iとして実現される。従って、承認に関する機能の点から見ると、第1の読取装置データ71a.iと第1のデバイスデータ75a.iとは同一である。更に、ASD5には第2のデバイスデータ75b.iiが格納されている。第1の読取装置データ71a.i又は第1のデバイスデータ75a.iは、それぞれシステム関連型である。第2の読取装置データ71b.ii及び第2のデバイスデータ75b.iiは両方ともアプリケーション関連型である。第1の読取装置データ71a.iが欠けているので、読取装置−カード相互通信92は、ASD5が存在するときにのみ行うことができる。カード2に格納された第1のアプリケーション80aを実行するために、カード2にアクセスするのにASD5に格納された第1のデバイスデータ75a.iが必要になり、第2のアプリケーション80bにアクセスするのに読取装置1に格納された第2の読取装置データ75b.iiが必要になる。第2のアプリケーション80bを実行するために、カード2にアクセスするのにもう1度第1のデバイスデータ75a.iが必要になり、第1のアプリケーション80bにアクセスするのにASD5に格納された第2の読取装置データ75b.iiが必要になる。
【0095】
図9は、システム関連型である第1のカードデータ72a.i、並びに第1及び第2のアプリケーション80a、80bにそれぞれ関連付けられた第2及び第3のカードデータ72b.ii、72c.iiを有するカード2を示す。更に、承認システム10は、タグの暗号172及び第3のアプリケーション80cを有するタグ102を備える。読取装置1は、システム関連型である読取装置データ71.iと、読取装置1の外側に装着されたASD5とを備える。ASD5には、第1、第2、及び第3のデバイスデータ75a.i、75b.ii、75c.iiが格納されている。第1のデバイスデータ75a.iはシステム関連型であり、基本的に、読取装置1に欠けているタグの暗号171に対応し、タグの暗号172に関連付けられている。第2及び第3のデバイスデータ75b.ii及び75c.iiはアプリケーション関連型である。ASD5の第1のデバイスデータ75a.iは、読取装置1がタグ102と相互通信92を行い、第3のアプリケーション80cを実行することができるようにする。第1及び第2のアプリケーション80a、80bの第2及び第3のカードデータ72b.ii、72c.iiに関連付けられている第2及び第3のデバイスデータ75b.ii、75c.iiは、読取装置1が前記アプリケーション80a、80bにアクセスし、それらを実行することができるようにする。
【0096】
この実施形態は、無線式承認格納デバイス5が、カード及び/又はアプリケーションに関して読取装置1の汎用性を高めるのに使用される様子を示す。ASDによって、読取装置1が、カードと相互通信を行い、カード(それ自体)にアクセスし又はアクセスしてアプリケーションを実行することができるようになる。更に、この実施形態は、実行し得るアプリケーション、又はアプリケーションへのアクセスに関して承認システム10のセキュリティ全体を向上させるために、アプリケーション関連型デバイスデータ75.iiをどのように使用することができるかを示す。読取装置データ71に加えて、遠隔データ75を、カード2に格納されたアプリケーション80に関して更にセキュリティを高めるために使用することができる。
【0097】
読取装置1は、非接触式読取装置インタフェース11.1と、非接触式インタフェース12.1と、論理回路13と、記憶装置14とを一体化した単一の構成要素を備える。読取装置インタフェース11.1と非接触式インタフェース12.1とは、2つの機能ユニット又は構成要素のサブグループとして実現され又は具体化される。
【0098】
図10は、無線式承認格納デバイス5又は読取装置1にデバイスデータ75又は更新データ79の伝送及びロード又は格納それぞれを行うための伝送トークン6の使用法を示す。伝送トークン6は、タグの暗号、例えばタグの暗号171、及び読取装置データ、例えば読取装置データ71を読取装置1に格納するために使用することができる(3重の頭付き薄灰色の矢印参照)。伝送トークンは、デバイスデータ、例えば第2のデバイスデータ75b(3重の頭付き薄灰色の矢印参照)、及び更新データ、例えば第1及び第2の更新データ79a、79b(2重の頭付き薄灰色の矢印参照)をASD5に格納するために使用することができる。第1の更新データ79aは、タグの暗号171に関連付けられ、タグの暗号171を修正又は更新するように構成され、タグの暗号171は、既に、第1の伝送トークン6aから更新データ79aをロードする前に、読取装置1に格納されている。第2の更新データ79bは、第1のデバイスデータ75aに関連付けられ、前記第1のデバイスデータ75aを修正又は更新するように構成されている。第1のデバイスデータ75aは、第2の更新データ79bを第2の伝送トークン6bから伝送する前に、ASD5に格納されている。第2のデバイスデータ75bは、読取装置1に欠けている第1の読取装置データ71aと基本的に同一である。示された例では、第2のデバイスデータ75bは、第1及び第2の伝送トークン6a、6bに格納され、ASD5にはこれら2つの伝送トークンのどれか1つから伝送することができる(3重の頭付き薄灰色の矢印参照)。各伝送トークン6は、読取装置インタフェース11.1又は非接触式インタフェース12.1のいずれかを使用してトークン6と読取装置1との非接触式相互通信を行うために、トークンインタフェース61.1(図示せず)を備える。読取装置インタフェース11.1を使用して、トークン6は、読取装置1によって更に別のカード(及び読取装置−カード相互通信92.1)のように扱われ、非接触式インタフェース12.1を使用して、更に別のASD5(及び読取装置−デバイス相互通信95)のように扱われる。図10は、ASD5、特にASD5に格納されたデバイスデータ75(又は更には更新データ79)を修正し、又は更新するために、伝送トークン6を如何に使用することができるかを示す。伝送トークン6は、ASD5を修正又は更新する必要がある場合に、ASD5を置き換え(交換し)、又は別の無線式承認格納デバイスを追加して読取装置1に割り当てることをせずに済ませるために使用することができる。
【符号の説明】
【0099】
10 承認システム
1 読取装置
2 カード
3 周辺ユニット
4 ホスト
5 承認格納デバイス、ASD
6 伝送トークン
9 固定距離
11 読取装置インタフェース
12.1 非接触式インタフェース
13 読取装置論理回路
14 読取装置記憶装置
19 変位
21 カードインタフェース
51.1 デバイスインタフェース
61.1 トークンインタフェース
70 エンパワーメントデータ
71 読取装置データ
72 カードデータ
75 デバイスデータ
79 更新データ
80 アプリケーション
90 相互通信
92 読取装置−カード相互通信
94 読取装置−ホスト/ユニット相互通信
94−2 カード−ホスト/ユニット相互通信
95 読取装置−デバイス相互通信
95−2 デバイス−カード相互通信
95−4 デバイス−ホスト/ユニット相互通信
100 閉鎖系承認システム
101 タグ読取装置
102 タグ
105 セキュリティモジュール
112.1 モジュール−読取装置インタフェース
170 エンパワーメント暗号
171 読取装置の暗号
172 タグの暗号
175 モジュールの暗号
195 読取装置−モジュール相互通信
.. .1 非接触式
.. .2 接触式
..a、b、c 第1、第2、第3
.. .i システム関連型
.. .ii アプリケーション関連型
S1、S2、S3、S4 諸ステップ
【技術分野】
【0001】
本発明は、カードと読取装置とを備える、読取装置−カード相互通信のための承認システム、読取装置−カード相互通信を実行可能にするために読取装置とカードとを互いに割り当てる方法、及び承認システムに使用するコンピュータプログラムプロダクトに関する。
【背景技術】
【0002】
少なくとも1つのタグと、例えばセキュリティモジュールなどの読取装置論理回路を有するタグ読取装置とを備えた承認システムが、本願の出願人によって、周知である。タグ読取装置は、タグが読取装置の無線通信領域に入ると直ちにタグと無線で相互通信を行う。タグ又はタグ読取装置を認証若しくは承認するために、又はタグ読取装置とタグとの間でセキュアな相互通信を行うために、タグ読取装置とタグとの間で少なくとも1つの暗号が共有される。基本的に、暗号は、タグに格納されるタグの暗号(第1の暗号)とタグ読取装置に格納される読取装置の暗号(第2の暗号)とから構成され、第1の暗号と第2の暗号とは互いに対応する。それぞれの認証及び/又は承認プロセスで、読取装置の暗号がタグの暗号に符合するか否か、又はその逆が、検証される。この検証は、承認システムの論理回路、一般には読取装置の論理回路によって実施される。承認システムでは、様々なレベルのセキュリティを実現するために複数の暗号が使用される。第1のレベルは、タグとタグ読取装置との間で最新技術のチャレンジ−レスポンス法を使用して実行される。第2のレベルは、例えばDESアルゴリズムを用いる、タグとタグ読取装置との通信の符号化又は暗号化に基づくことができる。第3のレベルは、タグ又はタグ読取装置に格納されたデータ又はアプリケーションへのアクセスに関する。このレベルは、タグに格納されたタグキー又はアプリケーションキー、及びタグ読取装置に格納され、又はそこで導出される読取装置キーを用いて実現される。国際公開第97/34265A1号パンフレットによれば、第1の暗号、例えばスタンプ、及び第2の暗号、例えば開始データは、階層的承認システムのルールに従っている。
【0003】
暗号が承認システムの構成要素、特にタグ及びタグ読取装置によって共有されるので、承認システムは閉鎖系システムである。相互通信は、符合する暗号を共有する構成要素間でのみ行うことができる。
【0004】
読取装置の暗号が、タグ読取装置に直接格納されず、タグ読取装置に相互接続される装置、例えば接触式タグとしての形を取り、電気的接点を介してタグ読取装置に相互接続される利用者識別モジュール(SIM)に格納される他のシステムが周知である。その1つの短所は、接触式インタフェース故の限定された相互通信率(速度)である。
【0005】
最新技術による、暗号の格納場所と格納方法に関する構成が異なる更に別の閉鎖系承認システムが周知である。
【0006】
国際公開第2008/034937A1号パンフレットは、装置と外部デバイス、例えば非接触式タグとを備えた通信システムを開示する。その装置は、無線周波数領域を検出し、セキュリティモジュール、例えば接触式スマートカード、SIMカード、又はチップと協働するように構成された制御ユニットを備える。セキュリティモジュールは、装置に恒久的に統合され、取外し可能に取り付けられ、又は除去可能に装着されている。装置が、タグ読取装置としてとして作動する(アクティブモード)か、又はタグとして作動する(パッシブモード)かに応じて、制御ユニットは、非接触式通信を制御し、又はその制御をセキュリティモジュールに渡す。
【0007】
欧州特許出願公開第1873963A1号は、認証システム内の集積回路カード(ICカード)用の認証方法であって、端末機を介して相互接続された第1のICカード、例えば端末機のセキュリティアプリケーションモジュール(SAM)と第2の接触式ICカードとの間の、第1のICカード及び第2のICカードに格納された対応する暗号を用いる認証方法に関する。特に、少なくとも1つの識別及び/又は認証ナンバが、第2のICカードから第1のICカードを認証するために使用される。
【0008】
米国特許出願公開第2005/0103839A1号は、3つのデバイスを有する閉鎖系承認システムを開示し、それらデバイスは、端末機と、例えばICカードなどのセキュリティモジュールと、物理的に独立した識別及び承認ユニット(IAL)とである。IALでは、利用者の識別に必要な情報が記憶装置に格納されている。この情報は、IALなしに形成されているシステムに利用者が入力するPINに相当する。IALは、PINの入力を無用にするために使用される。端末機とICカードとの相互通信は、接触式又は非接触式相互通信のどちらでもよく、ICカードとIALとの相互通信は無線である。
【0009】
国際公開第2006/117009A1号パンフレットは、セキュリティユニット、例えば利用者識別ユニット(SIMカード)によって、通信ネットワーク内の端末機の周辺ユニット、例えばメモリカードを管理する方法を開示する。メモリカードを認証することができるSIMカードが存在する場合のみ、メモリカードの作動が可能になるアーキテクチャが実行される。SIMカードの信頼性故に、メモリカードは、SIMカードによって制御される第2の信頼できるユニットになる。第2の暗号自体から独立してセキュリティユニットに格納された暗号を変更することは不可能である。
【0010】
米国特許出願公開第2008/0076475A1号は、SIMカード及び通信回路を備える移動型システムを開示する。通信回路は、第1の無線インタフェースを介して外部デバイス、特にタグ読取装置と相互通信を行い、第2の無線インタフェースを介してSIMと相互通信を行う。システム及びSIMカードは、複数の異なる通信インタフェース又は通信プロトコルを備える。タグ読取装置に格納された暗号を変更することはできない。
【0011】
最新式の閉鎖系承認システム(以後、標準承認システム又は標準システムと呼称する)では、暗号、特に読取装置の暗号がタグ読取装置内で、論理回路、記憶装置、又はタグ読取装置に論理的に接続された更に別のタグ、例えば利用者識別モジュールのいずれかに格納される。読取装置の暗号を変更する必要がある場合は、論理回路、記憶装置、又は更に別のタグを交換する必要がある。タグ読取装置のハードウェアのそのような交換は、煩雑であり、実現が困難なこともある。更に、読取装置の暗号の信頼性のために、そのような交換は、全く望ましくない場合がある。これが、読取装置の暗号を格納したハードウェア又はハードウェア部品に簡単にアクセスし、又はそれを簡単に交換することができないようにタグ読取装置がしばしば設計されることの理由である。これらの欠点に依って、標準システムのタグ読取装置は、タグ又は別の標準システムと相互通信するための変更又は更新を簡単に行うことができない。
【発明の概要】
【発明が解決しようとする課題】
【0012】
本発明の目的は、従来技術の短所の少なくとも一部を克服することである。特に、本発明の目的は既存の承認システム(運用中のシステム、装備されているシステム)と互換性のある強化型承認システムを提供することにある。
【課題を解決するための手段】
【0013】
本発明によれば、これらの目的は、独立請求項の特徴によって達成される。更に、従属請求項及びその説明から更に別の有利な実施形態が導かれる。
【0014】
承認システムは、カードと読取装置−カード相互通信を行うための読取装置と、読取装置とカードとを互いに割り当て、読取装置の読取装置データ及びカードのカードデータに基づいて読取装置−カード相互通信を実行可能にするように構成された論理モジュールとを備え、読取装置データ及びカードデータは承認システムの承認データである。
【0015】
本発明によれば、上記の目的は、特に、論理モジュールが、非接触式インタフェースを介して承認格納デバイスからデバイスデータを読み取り、そのデバイスデータに基づいて読取装置をカードに割り当てて読取装置−カード相互通信を実行可能にするように更に構成されていることによって達成される。
【0016】
従って、本発明は、タグ読取装置に格納されている読取装置の暗号(承認データ)を変更するためにタグ読取装置のハードウェアを交換するという標準承認システムでは周知の手法を不要にする。特に、本発明は、変更した承認データをタグ読取装置に格納するという標準システムでの一般的な手法を撤廃する。本発明による強化型承認システム(以後、承認システム)では、読取装置に関連する変更承認データ又は他の情報(以後、読取装置データ)は、読取装置にではなく、読取装置に無線で相互接続されている無線式承認格納デバイス(ASD)に格納される。
【0017】
読取装置が非接触式インタフェースを備え、承認格納デバイスが、読取装置の通信範囲(相互通信範囲)内の或る場所に配置された場合、ASDに格納された読取装置データへのアクセスが可能になる。非接触式インタフェースは、読取装置とASDとの非接触式相互通信(以後、読取装置−デバイス相互通信)のために使用される。読取装置の非接触式インタフェースが前記相互通信向けに構成可能であるか、又はASDのインタフェース(以後、デバイスインタフェース)が非接触式インタフェースに適合しているかのいずれかである。読取装置とASDとの無線相互接続又は無線相互通信それぞれの故に、特にASDが読取装置によって無線接続を介して電力供給される受動デバイスとして実現されているとき、相互通信に関しても、又ASDへの電力供給に関しても、読取装置とASDとを有線接続する必要はない。
【0018】
これが、例えば、新たな種類/タイプの読取装置又はカードなど新たなシステムデバイスの導入、システムの様々なデバイス相互の割り当て、システム互換性/下位互換性/換装性の付加又は保護、向上型又は追加セキュリティ機能の導入、新しい又は追加アプリケーションの装備など、システムの構成(設定)に関して承認システムを強化する結果になる。
【0019】
承認格納デバイスを導入することによって、承認システムは「2要素」システム(標準システム)から「3要素」システムへ進歩する。「2要素」システムは基本的に読取装置及びカードを備え、従って、主要な相互通信は読取装置とカードとの間で行われる。「3要素」システムは、承認格納デバイスを更に備え、主要な相互通信が、読取装置とカードとの間、及び読取装置とASDとの間で行われる。読取装置によって中継する(通過させる)ことにより、「3要素」システムでは、カードとASDとの間で相互通信を行うこともできる。カードから見ると、読取装置とASDとの相互通信は隠されていると云ってよく、個々に機能的に陰で行われる。後に説明するように、ASDの導入による別の利点は、読取装置とカードとの相互通信、又は読取装置によって実行又は中継される他のあらゆる相互通信を制御し、更には実行可能にもする可能性が生じることである。
【0020】
例えば、承認システムの論理モジュールは、データ、特に承認データを処理し、アプリケーションを実行するように構成された読取装置論理回路、カード論理回路、又はデバイス論理回路として実装され、それぞれ読取装置、カード、又は承認格納デバイスに接続され、又はそれらの中に配置されている。
【0021】
カードは、読取装置とカードとの読取装置−カード相互通信用の格納カードデータ及びカードインタフェースを備える。読取装置は、読取装置−カード相互通信用の格納読取装置データ及び読取装置インタフェースと、接触式又は非接触式読取装置インタフェースと、非接触式インタフェースとを備える。承認格納デバイスは、格納デバイスデータと、非接触式相互通信用のデバイスインタフェースとを備える。承認格納デバイスは、読取装置と承認格納デバイスとの読取装置−デバイス相互通信中、及び/又は読取装置によって中継されるカードと承認格納デバイスとのカード−デバイス相互通信中(中継が読取装置−デバイス相互通信に依存するので)は、読取装置に無線で接続される。読取装置−デバイス相互通信及びカード−デバイス相互通信は、論理モジュールによって実行可能にされ、デバイスインタフェース及び非接触式インタフェースを介して実行される。
【0022】
一実施形態では、承認システムは周辺ユニット及び/又はホストを備える。周辺ユニット若しくはホスト、又はその両者は、読取装置に論理的に接続され、読取装置と周辺ユニット、又はホストそれぞれとの読取装置−ホスト/ユニット相互通信のための手段を備える。その代わりに或いはそれに加えて、周辺ユニット及び/又はホストは、カードと周辺ユニット又はホストそれぞれとのカード−ホスト/ユニット相互通信用の手段を備え、カード−ホスト/ユニット相互通信は読取装置によって中継される。
【0023】
承認システムの更に別の実施形態では、承認格納デバイスは、少なくとも読取装置−デバイス相互通信又はカード−デバイス相互通信中、及び/又は読取装置によって実行され、又は中継されるいずれか1つの相互通信中は、非接触式インタフェースから本質的に固定された距離(読取装置に関して)で離隔して配置される。更に別の実施形態では、ASDを恒久的に固定距離に配置しておくこともできる。
【0024】
一般に、読取装置データは、承認システムで使用される承認データ(システムデータ)の一部分である。読取装置データは、カードデータなど、承認データの別の部分を形成する、承認システムの他のデバイス(構成要素)のデータと明白に符合する。承認データは、読取装置、カード、ASDなど、承認システムの様々なデバイスを相互に、又は承認システムにそれぞれ割り当てるために使用される。承認データは、承認システム内で実行されるアプリケーションを承認システムに、又はシステムの諸デバイスに、それぞれ割り当てるためにも使用される。例えば、アプリケーションは読取装置、カード、承認格納デバイス、周辺ユニット及び/又はホストに格納される。同じ承認システムに属する(システムへの帰属関係を共有し、又はシステムデータが符合する)様々なデバイスが共に、閉鎖系承認システムを形成する。互いに割り当てることが、承認システムのセキュリティ、相互運用性、再構成性、換装性に関する承認システムの特徴である。
【0025】
一般に、承認データは、承認システムの論理モジュールによって扱われる。論理モジュールは、コンピュータプログラムプロダクトと、処理装置、例えばマイクロプロセッサ(uP)とを備える。承認データは、1つの論理モジュールのみで、例えば読取装置論理回路で処理することができる。或いは、承認データを処理するために複数の論理モジュールが同時に又は順次使用されることもある。
【0026】
承認格納デバイスは、承認システムで使用され、承認システムの論理モジュールによって処理される他の種類のデータ(承認データでないデータ)を格納するために使用することもできる。
【0027】
承認の他に、データは、
a)従来技術によって周知の様々なレベルのシステムセキュリティを実現すること、
b)読取装置によって実行又は中継される相互通信、特に読取装置とカードとの読取装置−カード相互通信、又は承認システムの他のデバイスとの相互通信を実行可能にすること(この場合データはシステム関連型と考えてよい)、
c)アプリケーションを実行可能にすること、特に、カードに格納されたアプリケーションへのアクセス、又はその実行を制御するために読取装置を使用すること(この場合データはアプリケーション関連型と見なすことができる)
などの更に別の目的に使用することができる。
同じデータ又は派生データを、上記の目的のいずれか1つ、又はそれらの組合せを実行するために使用することができる。
【0028】
ASDに格納されたデバイスデータは、読取装置データの完全な置き換え、又は読取装置を単に修正(更新)する役割を持つ。本発明の1つの態様は、例えば、システムセキュリティを強化することを考慮すると、読取装置に格納することができない、又は読取装置に格納するべきではない読取装置データ、特に承認データを格納するために承認格納デバイスを使用することである。それに応じて、読取装置−カード相互通信を実行可能にするには、論理モジュールが、デバイスデータを使用して読取装置データ変更するように構成されている。本発明の別の態様は、ASDを使用して、承認システムの他のデバイスのデータ、例えば周辺システムに関連するデータ、又は特別な種類のカード、例えばモニタカードに関連するデータを格納することである。モニタカードの例は、経理/ライセンシング目的で、読取装置が実行した相互通信についての情報を定期的に読み出すために使用されるカードである。
【0029】
読取装置ではなくて、承認格納デバイスに承認データを格納することにより、読取装置のハードウェアを交換する必要なしに、読取装置データを交換することが可能になる。実際には、読取装置データの交換は、殆どの場合、読取装置ソフトウェアの変更(ソフトウェアの置換)、又は追加(新しい)又は修正アプリケーションの追加及び実行(アプリケーションの置換)によって達成(実現、実行)される。置換アプリケーションの少なくとも一部分は、実行されると、読取装置−デバイス相互通信を行うことに向けられる。必要なら、置換ソフトウェア又は置換アプリケーションによって、読取装置が、ASDと相互通信を行い、デバイスデータを処理するように構成される。置換ソフトウェアは、読取装置を作動させるソフトウェア(読取装置作動ソフトウェア)を置換、交換、修正、又は更新することによって形成される。読取装置−デバイス相互通信を実行するソフトウェア又はアプリケーションは、読取装置の他の相互通信に関して実行されるコマンドに加えて読取装置又は読取装置ソフトウェアによって実行されるコマンド(コード、アプレットなどを含めて)を含む。
【0030】
承認システムにおいて、ソフトウェアの交換、又は新しい若しくは修正されたアプリケーションの導入は、ハードウェアの交換よりも容易に実現可能であり、より大きな可能性を提供する。更に、しばしば、ハードウェアの交換に加えて、その上になおソフトウェアの交換が必要になる。従って、本発明による承認格納を使用することによって、既存の標準システムの改造又は改良が、より費用効果的に達成可能である。
【0031】
読取装置−デバイス相互通信を行うためのソフトウェア又はアプリケーションは、承認システムの論理モジュール、例えば読取装置論理回路によって用意される。或いは、読取装置にASDが送ることができ、読取装置によって実行される個々のコマンドに基づいて、読取装置とASDとの基本的相互通信が行われることを前提として、承認格納デバイスのデバイス論理回路が使用される。
【0032】
本発明の更に別の態様は、承認格納デバイスが、非接触式インタフェースから物理的に離れていることである。物理的に離れていることによって、ASDのセキュアな配置及び承認システムのセキュアな空間的設定それぞれが可能になる。物理的離隔は、読取装置又は非接触式インタフェースそれぞれに対してASDの位置が定められていることによって、基本的に変更できない。承認システムのセキュリティを更に向上させるために、ASDは、固定距離から外されると作動不能になるように構成されている。例えば、作動不能にする手段には、デバイスデータが格納されているASDの記憶装置に電力を供給する電源ユニットが含まれる。電源ユニットそれ自体は、例えば、カードの存在を確認するとき読取装置によって定期的に発射されるRF場を介して、読取装置によって無線で電力供給される。例えば、電源ユニットは、電力が所定の閾値より低下した場合、デバイスデータを消去するように構成されている。例えば、ASDが固定距離又は読取装置の相互通信範囲から外れたために、電源ユニットが読取装置によってそれ以上電力供給されないと、電力は閾値より低下する。
【0033】
承認システムのセキュリティを向上させるために、一実施形態では、読取装置が、ASDの存在、又はASDからの相互通信信号の存在を検証する方法を実行するように構成されている。検証は、無線式承認格納デバイスと非接触式インタフェースとの固定距離が、空間的設定に影響する程度まで変化していないか否かを診断し判断するために使用される。論理モジュールが、固定距離が変更していないことを確認するように構成されている。
【0034】
固定距離による物理的離隔の更に別の態様は、承認格納デバイスをどこに装備又は装着するかに関する自由度である。承認システムの実施形態では、ASDは、殆どの場合ASDが隠れる(見えない)ように、読取装置に装着される。望むなら、ASDは、読取装置の利用者には見えてもよい。例えば読取装置ハードウェアにアクセスするために、読取装置の蔽いを容易に取外すことができるなら、ASDは読取装置の内側に配置してもよい。読取装置の蔽いを容易に取外すことはできないが、読取装置全体を、例えば読取装置が取り付けられている壁から、取外すことができるなら、壁に面する読取装置背面にASDを取り付けることもできる。読取装置を例えば壁から全く取外すことができないとき、ASDは、読取装置に隣接して、読取装置が取り付けられている壁面(前面)、壁中、例えば陥凹内、又は更には壁の反対側(裏側)にさえも配置することができる。
【0035】
一実施形態では、承認格納デバイスは、例えばカード(追加のカード)、ステッカ、ラベル、インレイ、タグ、トークン、ペンダント、集積回路(チップ)など、あらゆる既知の物理的な非接触式(無線)データ媒体として実現され又は具体化される。ASDは、粘着性にすることもできる。セキュリティを向上するために、取外されるとASDが物理的に破壊され、従って作動不能になるように、粘着性ASDが作られる。物理的な破壊は、デバイスのインタフェースが、データが格納されているASDの記憶装置から永久に断絶されるように行うことができる。
【0036】
承認システムの更に別の実施形態では、承認格納デバイス又はデバイスデータそれぞれが、読取装置によって実行又は中継される少なくとも1つの相互通信をそれぞれの論理回路を介して行わせるように構成されている。読取装置による中継とは、実行される相互通信コマンド及び両端間のデータ交換に関して読取装置以外のシステムのデバイス間で行われる相互通信を中継するために読取装置が使用されることを意味する。一般に、ASDは以下の相互通信の1つに関連する。即ち、
a)読取装置−デバイス相互通信、
b)読取装置−カード相互通信、
c)デバイス−カード相互通信、
d)読取装置−ホスト/ユニット相互通信、
e)カード−ホスト/ユニット相互通信、及び/又は
f)デバイス−ホスト/ユニット相互通信である。
それに代えて或いはそれに加えて、ASD又はデバイスデータはアプリケーションを実行可能にする。或いは、デバイスデータが、少なくとも1つのカードデータ又は読取装置データと共にそれに応じるように構成されている。
【0037】
外(例えば、承認システムの利用者、特にカードの利用者の視点)から見ると、本発明の更に別の態様は、承認格納デバイスが機能的に隠されていることに見られる。読取装置データなどのデータは、見えない承認格納デバイス(SASD)中に移される。例えば読取装置−カード相互通信に関して、機能的に隠れたとは、読取装置が更にASDと相互通信を行って読取装置−カード相互通信を実行可能にしている場合があるにも拘らず、カード又はカードに格納されたアプリケーションについて、全ての相互通信が読取装置と行われているかのように見えることを意味する。特に、符合させる読取装置データが読取装置には格納されておらず、実際の符合用データはASDに格納されたデバイスデータである場合にも、カードデータは、読取装置に格納された読取装置データに符合しているかのように見える。
【0038】
外から見ると、カード、又は承認システムの他のあらゆるデバイスは、読取装置によって要求される符合用データが、実際には、読取装置に格納された読取装置データであるか、若しくはASDに格納されたデバイスデータであるか、又はそれらの組合せであるかに関係なく、読取装置とだけ相互通信を行っている。
【0039】
承認システムにおいて承認格納デバイスを物理的又は機能的に隠すことは、システムのセキュリティ又は保護に関する更に別の態様である。データ、例えばデバイスデータが承認格納デバイスに格納されていると、システム、特に読取装置データを改変、攻撃、破壊、無効化することがより困難になる。これは、ASD又はSASDが承認システムに使用されていることが(外から見て)全く分からない場合に、特にそうなる。
【0040】
承認システムの更に別の実施形態は、承認格納デバイスに格納されたデバイスデータを使用して、読取装置に格納された読取装置データを変更(置換、修正、更新)することを特徴とする。デバイスデータは、読取装置によって実行又は中継される相互通信の1つ、例えば読取装置−カード相互通信を実行可能にするように最初に構成され、使用された読取装置データを置き換える。
【0041】
データ、例えば読取装置データをデバイスデータによって変更する態様は、既存のシステムの機能性を維持しながら、既存の承認システム、例えば標準システムを強化する(汎用化する)可能性を生じることに関する。以下の例は、どのように強化が実現されるかを示す。例えば、システムへの帰属関係が第1のエンパワーメントデータ又はエンパワーメント暗号によって定義されている、第1の閉鎖系承認システムを、システムへの帰属関係を定義する第2のカードデータを有する第2のカードを備えるように強化することができる。これは、ASDを前記第1のシステムの読取装置に割り当てて、ASDに格納されているデバイスデータを第2のカードデータと符合するように割り当てることによって達成される。その後、デバイスデータは、基本的に第2の読取装置データとして働く。以下の例が、更に別の強化の実現例を示す。即ち、システムへの帰属関係が第2のエンパワーメントデータ又はエンパワーメント暗号によって定義される第2の閉鎖系承認システムを第1の閉鎖系承認システムに包含するために、第1の読取装置には欠けている第2のエンパワーメントデータを、第1のシステムの前記読取装置に割り当てられたASDに格納する。第3の例は、第1及び第2の閉鎖系承認システムを統合して承認システムを形成するために、第2のシステムの読取装置に欠けている第1のエンパワーメントデータを、第2の読取装置に割り当てた第1のASDに格納し、第1のシステムの読取装置に欠けている第2のエンパワーメントデータを、第1の読取装置に割り当てた第2のASDに格納する。
【0042】
承認格納デバイス又はデバイスデータそれぞれを用いて、異なる承認システム又は異なるカードを包含し、又は統合したより汎用性の高い承認システムを実現することができる(異なるとは、システムへの帰属関係を定義するシステムデータが、システム又はそれぞれのカードについて異なることを意味する)。特に、承認格納は、読取装置に欠けている(格納されていない)読取装置データ又は異なるシステムのデータそれぞれに関して、異なるシステムの読取装置に汎用性を持たせるために使用される。基本的に、本発明による承認システムは、既存の承認システムに重ね合わされる。
【0043】
外から見ると、例えば、既存の承認システム(標準システム)が、承認システムの構成部分のように見え、及び/又は承認システムが、既存の承認システムを包含するように構成(設定、実装、装備)されたように見える。これは、既存の承認システムを、完全に機能性を保った(保護した)まま承認システムに転換しようとする場合、下位互換性又は換装性の点で重要である。
【0044】
異なるシステムの汎用化、又は異なるシステムの(汎用化された)読取装置の更に別の態様は、それぞれ、所有者/提供者に関係する。データ又はシステムへの帰属関係が所有者/提供者に関係する場合、承認格納デバイスは、第1の所有者/提供者が、別の(第2の)所有者/提供者の承認システムにアクセスし、それを使用する手段を用意する。所有者/提供者とは、異なるシステムの所有者/提供者、異なるカードの所有者/提供者、更に異なるアプリケーションの所有者/提供者をも意味し得る。
【0045】
承認システムの一実施形態では、第1のシステムデータに基づく第1の所有者/提供者の第1の承認システムにおいて、承認格納デバイス、デバイスデータ、又はカードデータ若しくは読取装置データの少なくとも1つと併せたデバイスデータを使用して、それに応じるように構成された少なくとも1つの個々の論理モジュールによって、第2のシステムデータ、又はそのグループに基づき、第2の所有者/提供者の第2の承認システム、第2のカード、又は第2のアプリケーションを作動可能にする。
【0046】
承認システムの更に別の実施形態では、論理モジュールが、承認格納デバイス又はデバイスデータを使用して、読取装置によって実行され、又は中継される少なくとも1つの相互通信、好ましくは少なくとも読取装置−カード相互通信のセキュリティを確保するように構成されている。その代わりに或いはそれに加えて、論理モジュールは、承認格納デバイス又はデバイスデータを使用して、アプリケーションの実行にセキュリティを確保するように構成されている。或いは、セキュリティは、承認格納デバイス、又は読取装置データ及びカードデータの少なくとも1つと組み合わされたデバイスデータによって達成される。
【0047】
承認システムの別の実施形態では、論理モジュールは、承認格納デバイス又はデバイスデータを使用して、カード又は読取装置など、承認システムのデバイスの承認システムへの帰属関係を行使(確立)するように構成されている。それに加えて或いはそれに代えて、論理モジュールは、デバイスデータを使用して、承認システム、好ましくは階層的承認システムのルールを行使するように構成されている。更に別の実施形態では、デバイスデータが、カードデータ及び/又は読取装置データと共に(即ち組み合わせて)それに応じるように構成され、又は承認格納デバイスが単独で使用される。(確立には、個々の検証又は行使が含まれる。)
【0048】
承認システムの更に別の実施形態では、読取装置が、読取装置−カード相互通信及び読取装置−デバイス相互通信用にただ1つだけのインタフェースを備える。非接触式読取装置インタフェースが、非接触式インタフェースとして働く。これは、読取装置−カード相互通信と読取装置−デバイス相互通信とが、同じプロトコルに基づき、同じ周波数を使用するときに可能になる。これは、基本的に、承認格納デバイスが、承認システムの更に別のカードとしての形を取るときの状態である。或いは、読取装置インタフェースが、読取装置−カード相互通信及び読取装置−デバイス相互通信の両方を、順次又は同時のどちらかで実行するように構成される。構成は、複数の相互通信に対して一度に、以後の全ての相互通信に対して一度に、又は単一の相互通信毎に行うことができる。
【0049】
本発明は、更に、本発明による承認システム内の相互通信を実行する(実行可能にする)方法に関する。その方法は、
a)読取装置とカードとの読取装置−カード相互通信を開始するステップと、
b)任意選択で、読取装置と周辺ユニット又はホストの少なくとも1つとの読取装置−ホスト/ユニット相互通信を開始するステップと、
c)読取装置と承認格納デバイスとの読取装置−デバイス相互通信を開始するステップと、
d)承認格納デバイス、承認格納デバイスに格納されたデバイスデータ、又は読取装置に格納された読取装置データ若しくはカードに格納されたカードデータの少なくとも1つと組み合わされたデバイスデータ、或いはそれらの組合せを使用して、エンパワーメントデータを定義するステップと、
e)エンパワーメントデータを使用して、読取装置によって実行され又は中継される相互通信若しくはアプリケーションの実行、又はそれらの組合せの少なくとも1つを実行可能にするステップと
を含む。
【0050】
特に、本発明は、承認システムの承認データとして使用される読取装置データ及びカードデータに基づいて、承認システム内で読取装置とカードとを互いに割り当てる方法に関する。その方法は、論理モジュールによって、承認格納デバイスからデバイスデータを読取装置の非接触式インタフェースを介して読み取るステップと、デバイスデータを使用して、読取装置をカードに割り当てるステップであって、それによって、少なくとも読取装置とカードとの読取装置−カード相互通信を実行可能にするステップとを含む。
【0051】
承認システムの初期設定は以下のステップを含む。即ち、
a)承認格納デバイスを読取装置に割り当てるステップであって、例えば、デバイスデータを読取装置データに割り当てるか、又は、デバイスデータが読取装置データを置き換えてそれに代わって使用されると定めることによって達成されるステップと、
b)読取装置のソフトウェア若しくは読取装置に格納されたアプリケーション、又はその両方を変更するステップと、
c)承認格納デバイスを、読取装置の相互通信範囲内に、非接触式インタフェースから本質的に固定された距離で離隔して配置するステップと
である。
【0052】
本発明は、承認システムで使用するコンピュータプログラムプロダクトを更に包含する。コンピュータプログラムプロダクトは、コンピュータ可読媒体に収められたコンピュータ可読プログラムコードを含む。承認システムは、読取装置データを有する読取装置と、カードデータを有するカードと、デバイスデータを有する承認格納デバイスとを備える。承認システムは、読取装置とカードとを互いに割り当て、読取装置とカードとの読取装置−カード相互通信を実行可能にするように構成された論理モジュールを更に備える。読取装置−カード相互通信は、読取装置データ及びカードデータに基づき、読取装置データ及びカードデータは承認システムの承認データである。コンピュータプログラムプロダクトは、論理モジュールに、承認格納デバイスからデバイスデータを読取装置の非接触式インタフェースを介して読み取らせ、そのデバイスデータに基づいて読取装置をカードに割り当てさせ、それによって読取装置−カード相互通信を実行可能にする命令を含む。
【0053】
承認システムに関する上記の更に別の実施形態が、承認システム内で相互通信を行う方法、又は承認システム内で読取装置とカードとを互いに割り当てる方法それぞれに同様に適用可能であり、コンピュータプログラムプロダクトにも同様に適用可能である。
【0054】
カードという用語は、複数のカード(カード群、カードインベントリ(card inventory))を包含すると理解されたい。カードには、同一のアプリケーション又は異なるアプリケーション(複数アプリケーションカード)を格納することができる。カード並びにアプリケーションはそれぞれ、同じ、又は異なる個別のカード所有者/提供者又はアプリケーション所有者/提供者によって用意され得る。カードという用語は、携帯用データ媒体を実現することが周知の全ての様々な物理的具体化物、並びに、例えばPDA上でシミュレートされたカードなどの仮想カードを包含する。用語、読取装置及び承認格納デバイスも、用語、カードと同様に理解されたい。
【0055】
データという用語、特に読取装置データ、カードデータ、及びデバイスデータは、承認システムで使用され処理される様々なデータ全てを包含し、承認データには限定されない。データは、承認システムの論理モジュール内でデータから派生するデータも包含する。データの例は、
i)シリアルナンバ、固有又は安全識別ナンバ、又はアプリケーション識別子によって達成される、デバイス又はアプリケーションを識別する識別データ、
ii)承認データを含む、承認システムで使用される操作データ、
iii)操作データのサブセットであると考えてよいセキュリティデータ、
iv)アプリケーションデータ
である。
【0056】
アプリケーションという用語は、広く解釈すべきであり、少なくともアプリケーションデータとアプリケーションコードとを含む。用語、アプリケーションは、同じ又は異なるアプリケーション所有者/提供者のいずれかによって用意される単独のアプリケーション又は複数のアプリケーションを更に指す。複数のアプリケーションは、それぞれ互いに完全に独立であっても、異なるアプリケーション所有者/提供者からのものであってもよく、又は互いに依存し若しくは相互通信を行ってもよい。
【0057】
作動可能にする(実行可能にする)という用語は、相互通信を実行可能にし、制御し、変更し、修正し、若しくは更新するため、又はアプリケーションを実行し、若しくは実行可能にするためにそれぞれ承認システム内で実行する必要がある全てのデータ処理及び相互通信を包含する。
【0058】
承認システムのルールという用語は、承認システムの様々なデバイス及び/又はアプリケーション間の帰属関係を定義し行使するために使用するあらゆる種類のデータとして理解されたい。全てのルールを併せて、デバイス間の相互通信、若しくはアプリケーションの実行、又はその両方に関して何が許可されるかが定義される。階層的承認システムでは、ルールは、階層レベルに更に関係及び/又は依存する。階層レベルは、異なる階層レベル間で可能な相互通信を定義することによって、データを更に制約するために使用される。
【0059】
本発明が、図面を参照してより詳細に例として説明される。説明及び図面は、特許請求の範囲で定義された本発明を限定するものと考えるべきではない。
【図面の簡単な説明】
【0060】
【図1】カードと、読取装置と、無線式承認格納デバイスとを有する本発明による承認システムの図である。
【図2】本発明による承認システムの一連の相互通信ステップの図である。
【図3】移動型読取装置を有する本発明による承認システムの図である。
【図4】複数の無線式承認格納デバイスを有する本発明による承認システムの図である。
【図5】2つの移動型読取装置を有する本発明による承認システムの図である。
【図6】従来技術による標準承認システムの詳細図である。
【図7】本発明による承認システムの詳細図である。
【図8】本発明による承認システムを更に詳細に示す図である。
【図9】本発明による承認システムの別の詳細図である。
【図10】本発明による承認システム、及び伝送トークンの図である。
【発明を実施するための形態】
【0061】
図1は、本発明による承認システム10を示す。承認システム10は、読取装置1と、カード2と、無線式承認格納デバイス(ASD)5と、承認システム10に関する論理モジュール(図7参照)とを備える。読取装置1は、カード2との読取装置−カード相互通信92のための読取装置インタフェース11、及び読取装置1とASD5との非接触式読取装置−デバイス相互通信95のための非接触式インタフェース12.1、並びに、例えば、読取装置記憶装置14又は論理モジュールとして用いられる読取装置論理回路13など(図7参照)、相互通信に必要な更に別の手段を備える。カード2及びASD5は、カードインタフェース21又はデバイスインタフェース51.1それぞれを読取装置1との相互通信のために備える。カード2は、非接触式カード2.1又は接触式カード2.2のどちらでもよい(図7参照)。従って、読取装置−カード相互通信92は、非接触式相互通信92.1(無線又は遠隔相互通信)又は個々に有線接続された接触式相互通信92.2のどちらかである(図7参照)。ASD5は、少なくとも読取装置−デバイス相互通信95中は、本質的に固定された距離9で非接触式インタフェース12.1から離隔して配置される。固定距離9は、承認システム10の空間的設定、特に非接触式インタフェース12.1に対するASD5の配置によって実現される、ASD5と非接触式インタフェース12.1との間の変更できない変位量を定める。ASD5が、読取装置1の相互通信範囲内に最終的に配置された後は、ASD5は、一般に、非接触式インタフェース12.1に対して動かせない。従って、ASD5は、読取装置−カード相互通信92中も、固定距離9で非接触式インタフェース12.1から離隔して配置される。空間的設定の例は、ASD5を読取装置1に隣接して恒久的に装着し、ASD5を読取装置1に、例えば読取装置の外側に取り付け、又はASD5を読取装置の内側に配置することである。
【0062】
承認システム10では、承認格納デバイス5は、特に読取装置−カード相互通信92において読取装置1によって実施又は中継される少なくとも1つの相互通信を実行可能にするように構成されている。より詳細には、それに応じて、承認システム10の論理モジュール、例えば読取装置論理回路13が、ASD5を使用し又はそれと交信し、特に、非接触式インタフェース12.1を介してASD5からデータを読み取り、読取装置1をカード2に割り当てて、読取装置−カード相互通信92を実行可能にするように構成されている(図7参照)。論理モジュールは、処理装置を制御するコンピュータプログラムプロダクト(対応する命令を有する)を有する。
【0063】
固定距離9は、非接触式インタフェース12.1の無線相互通信範囲内に選択される。固定距離9は、好ましくは、少なくとも通常の運用においてセキュアな方式で設定される。セキュアな方式でとは、カード利用者、又は承認システム10の所有者/提供者によるASD5の操作、又はASD5へのアクセスが、読取装置1のハードウェア、又は承認システム10の空間的設定の変更なしには不可能であることを意味する。システムの更に別の空間的設定は、非接触式インタフェース12.1を備える転置アンテナを用いることによって実現することができ、転置アンテナは、読取装置インタフェース11を備える読取装置1の囲いから離れて配置される。
【0064】
例えばASD5の存在の確認、又はASD5の相互通信信号の確認など、固定距離9が変更されていないことを検証する更に別の手段又は方法を実行することができる。前記存在の検証は、読取装置1とASD5との定期的相互通信、例えば読取装置1がASD5の少なくとも固有の識別番号(UID)を定期的に読み取ることによって達成することができる。相互通信信号の確認は、ASD5の信号が、設定時に前もって、又は現状を基に決定された或る閾値を満足するか否かを解析することによって達成することができる。閾値は、相互通信信号の出力レベル、又は相互通信信号の出力レベル(ピーク値)と相互通信の側波帯との差に関連付けることができる。
【0065】
図2は、読取装置1と、カード2と、無線式承認格納デバイス5と、周辺ユニット3と、ホスト4とを有する承認システム10を示す。承認システム10内では、以下の基本的相互通信が可能である。即ち、読取装置1とカード2との間の読取装置−カード相互通信92、読取装置1とASD5との間の読取装置−デバイス相互通信95、並びに読取装置1とホスト4及び/又は周辺ユニット3との間の読取装置−ホスト/ユニット相互通信94である。読取装置駆動式承認システムでは、読取装置1が能動デバイスでありカード2及びASD5と相互通信を開始し、従って、カード2及びASD5は受動デバイスであり、以下の相互通信ステップが実行される。即ち、
a)ステップS1:読取装置1がカード2からの応答を求めて読取装置−カード相互通信92を開始する。
b)ステップS2:読取装置1が、読取装置−デバイス相互通信95によって、ASD5の存在を確認する。ASDが存在する場合、読取装置1又はカード2に欠けており、例えば最終的に読取装置−カード相互通信92を開始し又は実行可能にするために承認又は認証プロセスで必要になる承認データ、特にデバイスデータ75(図7参照)を得るために、読取装置1が、ASD5と相互通信95を行う。これは、例えば、カード2が存在し、読取装置1がカードのUIDを読むことによってカード2を認識したが、カード2に格納されているカードデータ72が読取装置1に格納されている読取装置データ71(図7参照)と符合しないので、読取装置1が、カード2とそれ以上相互通信することができない場合である。
c)ステップS3:読取装置1が、例えばアプリケーション80(図7参照)を実行するために、カード2と相互通信を行う。
d)ステップS4:読取装置1が、アプリケーション80に関連して周辺ユニット3又はホスト4と相互通信を行う。
この相互通信シーケンスは、ステップS3がステップS2に依存し、又はステップS3がステップS2によって実行可能になるので、(S1,S3[S2],S4)と略号化される。
【0066】
相互通信のステップに関し、他のシーケンスが可能である。即ち、
a)(S1[S2],S3,S4):ステップS2/S1−ステップS3−ステップS4であり、ステップS1はステップS2に依存する。これは、読取装置1が、先ずASD5の存在を確認することを意味する。ASD5が存在する場合、読取装置1は、ASD5から受け取ったデバイスデータ75に基づいて、カード2と読取装置−カード相互通信92を開始しようとする。
b)(S1,S3,S4[S3]):ステップS1−ステップS3−ステップS2/S4であり、ステップS4はステップS2に依存する。
これらのシーケンスの組合せ、例えば(S1[S2],S3[S3],S4[S2])なども可能であり、ステップS1、S2、及びS4の制御又は更新を可能にするために、ステップS2が1回又は複数回実施される。
【0067】
図3は、読取装置1と、カード2と、2つの承認格納デバイス5a、5bとを有する本発明による承認システム10を示す。第1の構成Iでは、読取装置1がカード2と相互通信92を行う。次いで、読取装置1は、第1の変位19aによって第2の構成IIに変位させられる。第2の構成IIでは、読取装置1、個々には非接触式インタフェース12.1(図7参照)が、読取装置−デバイス相互通信95中、第1のASD5aから第1の固定距離9aで離隔配置される。構成IIでは、読取装置1は、カード2又は他のカードと相互通信92を行うことができる。第2の変位19bによって、読取装置1は第3の構成IIIに変位し、読取装置1は次の読取装置−デバイス相互通信95中、第2のASD5bから第2の固定距離9bで離隔配置される。この実施形態は、読取装置1が位置を変えても、各構成において、読取装置1と、存在すればASD5a、5bとの間の空間的設定が固定距離9a、9bによって特定される様子を示す。
【0068】
様々な構成を有する例は、エレベータのアクセスアプリケーションである。1階で、利用者は、昇降機にアクセスするために昇降機に恒久的に装着されている読取装置に自分のカードを提示する(構成Iに対応する)。昇降機内で、利用者は、例えば10階に行くことを要求したとする。10階に到着すると、読取装置は、例えば、1階で読み取り、一時的に記憶したカードのUIDに基づいて、利用者が実際に10階に到着したか否かをASDに訊ねる(構成IIに対応する)。アクセスアプリケーション又は利用者による実際のアクセスは、それぞれ2重の制御を受ける。即ち、読取装置がカードを読み取るときの第1の制御と、10階での、読取装置にアクセスアプリケーションを継続して作動させるか又は終了させるかそれぞれの、読取装置−デバイス相互通信に基づく第2の制御とである。
【0069】
図3に示される通り、無線式承認格納デバイス5と読取装置1とは、変位19、又はASD5に対する読取装置1の実際の位置のいずれかに応じて、単に一時的に固定距離9に構成することができる。
【0070】
図4は、1つの読取装置1と、3枚のカード2a、2b、2cと、固定距離9a、9bに配置された2つの承認格納デバイス5a、5bとを有する本発明による承認システム10を示す。第1のASD5aは第1及び第2のカード2a、2bに関連し、第2のASD5bは第3のカード2cに関連する。
【0071】
本発明は、読取装置1によって実行又は中継される相互通信、例えば、様々なカード2a、2b、2cとの読取装置−カード相互通信92を行えるようにするために、承認システム10に順次追加される異なるASD5a、5bを使用することを可能にし、ここでカード2a、2b、2cは承認システム10に順次追加される。異なるASD5a、5bの使用は、読取装置1が、複数のASDから1つだけのASDを選択する衝突回避機能又は他の機能を有するという前提で可能である。
【0072】
図5は、2つの読取装置1a、1bと、カード2と、無線式承認格納デバイス5とを備える承認システム10を示す。先ず、第1の読取装置1aがカード2と相互通信92を行う。次いで、第1の変位19aの後、第1の読取装置1aが、第1の固定距離9aに配置されたASD5と相互通信95を行う。その後、第2の読取装置1bが、カード2又は別のカードと相互通信92を行う。更にその後、第2の変位19bの後に、第2の読取装置1bが、第2の固定距離9bに配置された同じASD5と相互通信95を行う。この承認システム10では、ASD5は、複数の異なる読取装置1a、1bに割り当てられる。
【0073】
そのような構成の例は、銀行の貸金庫箱へアクセスすることへの応用である。銀行の金庫は、読取装置をそれぞれが備える複数の貸金庫箱と、箱をそこで開けることができる複数の箱開放位置とを備え、各開放位置がASDを備える。自分の銀行カードを用いて、利用者は、自分自身を承認させ、自分の貸金庫箱を取り出して、箱開放位置に置く。ASDによる利用者及び/又は貸金庫箱の確認が成功した後に初めて、利用者は貸金庫箱を開けることができる。
【0074】
図6は、従来の技術で周知の閉鎖系標準承認システム100を示す。標準システム100は、タグ読取装置101と、非接触式タグ102.1と、接触式タグ102.2とを備える。更に、標準システム100は、タグ読取装置101に両方とも接続された周辺ユニット3及び/又はホスト4を備えてもよい。タグ読取装置101は、読取装置インタフェース11と、論理モジュールとして構成され使用され、読取装置インタフェース11に論理的に接続された読取装置論理回路13と、読取装置論理回路13に論理的に接続された記憶装置14とを備える。読取装置インタフェース11は、非接触式タグ102.1との非接触式相互通信92.1用の非接触式読取装置インタフェース11.1、或いは、又はそれに加えて、接触式タグ102.2との接触式相互通信92.2用の接触式読取装置インタフェース11.2である。
【0075】
タグ読取装置101では、読取装置の暗号171が、例えば、読取装置論理回路13、読取装置インタフェース11.1、又は読取装置記憶装置14内に格納されている。更に、タグ読取装置101は、例えば読取装置記憶装置14に格納された、アプリケーション80を有する。タグ102には、タグの暗号172とアプリケーション80とが格納されている。読取装置の暗号171とタグの暗号172とは互いに符合し、エンパワーメント暗号170、例えば承認データを定める。エンパワーメント暗号170の例は、例えば、タグ102とタグ読取装置101、又は、タグ102若しくはタグ読取装置101それぞれとアプリケーション80とを互いに割り当てるのに使用されるアクセスキー、セッションキー、アルゴリズムなどである。読取装置−カード相互通信92をセキュアな方式で(セキュアな相互通信)開始し、又はアプリケーション80にセキュアにアクセスできるようにするために、読取装置の暗号171及びタグの暗号172は秘密にしておく必要がある。従って、両者は、少なくとも、例えば、標準システムの所有者/提供者又はアプリケーション80の所有者/提供者それぞれの明確な許可なしには、変更、読取り、消去、又は他の方法で変えることができないように、タグ102及びタグ読取装置101に格納する必要がある。纏めると、エンパワーメント暗号170は、閉鎖系標準承認システム100それ自体、若しくは標準システム100内で実行されるアプリケーション80、又はその両方に関する。特に、エンパワーメント暗号170は、タグ102とタグ読取装置101との読取装置−カード相互通信92、及び/又はアプリケーション80の実行を可能にするように構成されている。更に、暗号170の一部分、一般には読取装置の暗号171、更にはホストの暗号も、ホスト4内に格納して、セキュリティを向上させ、又はホストの存在に依存してアプリケーションを特定的に実行することができる。
【0076】
タグ読取装置101は、読取装置論理回路13と利用者識別モジュール(SIM)又はセキュリティアプリケーションモジュール(SAM)などのセキュリティモジュール105との間の接触式読取装置−モジュール相互通信195用の読取装置−モジュールインタフェース112.2を更に備え得る。一般に、セキュリティモジュール105は、タグ読取装置101の構成部品であり、タグ読取装置101が最初に設置されるときタグ読取装置101に恒久的に接続される。セキュリティモジュール105には、一般にアクセス不能で変更不能であるモジュールの暗号175が格納されている。殆どの場合、セキュリティモジュール105は、例えば、タグ読取装置101に恒久的に挿入されたスマートカードとして実現される。セキュリティモジュール105は、接点を介してタグ読取装置101と相互通信を行う。従って、接触式読取装置−モジュール相互通信195の速度は、非接触式相互通信と比較して遅い。一般に、モジュールの暗号175は、読取装置の暗号171を完全に置き換え、それが、タグ読取装置101に暗号が格納されていない理由である。そのような場合、暗号エンパワーメント170は、タグの暗号171とモジュールの暗号175とを符合させることによって定められる。
【0077】
図7は、読取装置1と、非接触式タグ102.1と、非接触式カード2.1及び(標準システムの)接触式カード2.2、纏めてカード2と、周辺ユニット3と、ホスト4と、無線式承認格納デバイス5とを備える本発明による承認システム10を示す。従来技術から分かるように、読取装置1は、読取装置インタフェース11と、読取装置論理回路13と、読取装置記憶装置14とを備える。読取装置論理回路13は、承認システム10の論理モジュールとして使用される。ASD5を考慮に入れなくても、論理モジュールが、符合する読取装置データ71(例えば読取装置の暗号171)とカードデータ72(例えばカードの暗号172)に基づいて読取装置1とカード2とを互いに割り当てるように構成されており、それによって、読取装置1とカード2との読取装置−カード相互通信92が実行可能になる。即ち、読取装置−カード相互通信92は読取装置データ71及びカードデータ72に基づき、両方とも承認システム10の承認データであるか、又はその一部である。更に読取装置1は、ASD5との読取装置−デバイス相互通信95用の非接触式インタフェース12.1を備える。カード2及びASD5は、カードインタフェース21及びカード記憶装置、並びにデバイスインタフェース51.1及びデバイス記憶装置をそれぞれ備える。両者は、データを処理するために、それぞれカード論理回路及びデバイス論理回路を更に備え得る。論理モジュールは、読取装置−デバイス相互通信95又はその相互通信の一部として、ASD5からデバイスデータ75を読み取るように構成されている。論理モジュールは、デバイスデータ75に基づいて、特にデバイスデータ75を使用して読取装置データ71を置き換え、更新し、又は修正することによって、読取装置1をカード2に割り当てて、読取装置−カード相互通信92を実行可能にするように更に構成されている。ASD5は、非接触式インタフェース12.1から固定距離9で離隔して配置されている。読取装置インタフェース11は、読取装置1と非接触式カード2.1又は非接触式タグ102.1との非接触式読取装置−カード相互通信92.1用の非接触式読取装置インタフェース11.1、及び、それに代えて或いはそれに加えて、接触式カード2.2との読取装置1の接触式読取装置−カード相互通信92.2用の接触式読取装置インタフェース11.2として構成することができる。非接触式読取装置−カード相互通信92.1用の非接触式読取装置インタフェース11.1は、読取装置−デバイス相互通信95用の非接触式インタフェース12.1として機能することもできる。更に、従来技術から分かるように、読取装置の暗号171が読取装置1に格納され、タグの暗号172が非接触式タグ102.1に格納されている。読取装置1及び非接触式タグ102.1には、アプリケーション80、特に標準承認システム100に関する第1のアプリケーション80aも格納されている。非接触式カード2.1及び接触式カード2.2には、カードデータ72及びアプリケーション80が格納され、特に承認システム10に関する第2のアプリケーション80bが格納されている。第2のアプリケーション80bは読取装置1にも格納され得る。カードデータ72は、基本的に、承認システム10の読取装置1に一般に格納されている読取装置データ71に符合する。カードデータ72及び読取装置データ71は共に、特にデバイスデータ75を用いて読取装置データ71を変更(置換、更新、修正)することによって、エンパワーメントデータ70を形成し、又は定義するために使用される。エンパワーメントデータ70は、基本的にエンパワーメント暗号170と同等であり、例えば承認方法又は手順など、同じ機能を実行するために使用することができる。エンパワーメントデータ70は、少なくとも読取装置−カード相互通信92を実行可能にするために論理モジュールによって使用される。承認システム10において読取装置データ71が読取装置1に格納されていない場合、それは図7に示す読取装置1の場合であるが、又は読取装置データ71がカードデータ72に割り当てられていない場合、カードデータ72とASD5に格納されているデバイスデータ75とを互いに割り当てて、エンパワーメントデータ70として使用する。承認システム10において、読取装置1に格納されている読取装置データ71が不完全であり、例えば、読取装置データ71がカード2に格納された或るアプリケーション80へのアクセス権を与えず、又は読取装置データ71がカードデータ72より古いバージョンの承認データに関する場合、デバイスデータ75が、読取装置データ71を変更するために使用される。この場合、カードデータ72と、読取装置データ71と、ASD5に格納されているデバイスデータ75とを互いに割り当てて、エンパワーメントデータ70として使用する。承認システム10では、エンパワーメントデータ70は、読取装置1によって実施又は中継される少なくとも1つの相互通信、例えば、読取装置−カード相互通信92、読取装置−ホスト/ユニット相互通信94、又は読取装置−デバイス相互通信95を実行可能にするように構成されている。その代わりに或いはそれに加えて、エンパワーメントデータ70は、第2のアプリケーション80bを実行可能にし、又は実行するように構成されている。基本的に、本発明による承認システム10では、デバイスデータ75は、読取装置データ71を変更(置換、更新、修正)するように構成されている。機能上の観点からは、少なくとも読取装置−カード相互通信92を実行可能にすることに関し、デバイスデータ75は、少なくとも部分的に、読取装置データ71を変更し、又は読取装置データ71として働くために使用される。論理回路は、それに応じて構成されている。
【0078】
更に、エンパワーメントデータ70は、例えば、やはり、カード2と周辺ユニット3又はホスト4それぞれとのカード−ホスト/ユニット相互通信94−2、ASD5とカード2とのデバイス−カード相互通信95−2、又はASD5と周辺ユニット3/ホスト4とのデバイス−ホスト/ユニット相互通信95−4など、読取装置1によって実施又は中継される相互通信、及びASD5又はデバイスデータ75に依存する相互通信のいずれも実行可能にするために、承認システム10の論理モジュールによって使用することができる。その代わりに或いはそれに加えて、エンパワーメントデータ70は、セキュアな相互通信のために構成することができる。エンパワーメントデータ70、特にデバイスデータ75は、セキュリティ特性又はセキュリティレベルを更に向上させるために使用される。更に、エンパワーメントデータ70は、第2のアプリケーション80bにセキュアにアクセスし(セキュアアクセス(secure access))、又は第2のアプリケーション80bをセキュアに実行する(セキュアエグゼキューション(secure execution))ように構成することができる。
【0079】
ASD5に格納されるデバイスデータ75、又はASD5それ自体が、読取装置1に割り当てられる。従って、承認システム10それ自体に関係付けられる(システム関連型)か、又は承認システム10内で実行されるアプリケーション80に関係付けられる(アプリケーション関連型)かのいずれか、或いはその両方であるエンパワーメントデータ70に関して、読取装置1はASD5と相互通信を行い、又はその逆を行うことができる。
【0080】
本発明による、読取装置−デバイス相互通信95を実施するための論理モジュールの有効化は、基本的には、読取装置によって実行される読取装置ソフトウェア又はアプリケーション80を変更することによって実行される。変更には、読取装置ソフトウェアの部分的又は完全な改変(置換、更新、修正)が含まれる。例えば、以下を変更することができる。即ち、作動システム、作動データ、アプレット、設定、パラメータ、アルゴリズム、又は関数である。ASD5がアプリケーション80に関して使用されるとき、アプリケーション80も又、元の未変更の読取装置ソフトウェア、又は変更済み読取装置ソフトウェアのいずれによっても、読取装置1がアプリケーション80を実行することができるように、変更する必要がある。
【0081】
読取装置1は、第1の周波数を用い読取装置インタフェース11.1を介する非接触式読取装置−カード相互通信92.1に向け、及び第2の周波数又は第1の周波数を用い非接触式インタフェース12.1を介する非接触式読取装置−デバイス相互通信95に向けて構成することができる。2つの物理的インタフェース又は2つの周波数を使用することによって、読取装置−カード相互通信92.1及び読取装置−デバイス相互通信95は、同時にでも行うことができる。読取装置インタフェース11.1及び非接触式インタフェース12.1は、単一の物体、更には単一のインタフェースとして、例えば同じ又は異なる周波数を用い1つだけのアンテナを有するインタフェースとして実現することもできる。
【0082】
読取装置1は、更に、読取装置インタフェース11.1を介する非接触式読取装置−カード相互通信92.1のために第1のプロトコル(コーディング、通信に関し)を使用し、非接触式インタフェース12.1を介する非接触式読取装置−デバイス相互通信95のために第2のプロトコル、又は第1のプロトコルを使用するように構成することができる。2つの異なるプロトコルを使用することによって、読取装置−カード相互通信92.1と読取装置−デバイス相互通信95とは、同時に行うことができる。相互通信プロトコルに関し読取装置1に応じて、どの相互通信にどのプロトコルを使用するかについて複数の組合せが可能である。第1の組合せでは、タグ102.1又はカード2.1との読取装置−カード相互通信92.1のプロトコルが読取装置−デバイス相互通信95のプロトコルとは異なり得る。第2の組合せでは、カード2.1との読取装置−カード相互通信92.1のプロトコルが、読取装置−デバイス相互通信95のプロトコルと同じであり、タグ102.1との読取装置−カード相互通信92.1のプロトコルとは異なっている。
【0083】
読取装置−カード相互通信92.1と読取装置−デバイス相互通信95とに同じ周波数及び同じプロトコルを使用することによって、基本的にこれら2つの相互通信間に相違が無くなる。読取装置1にとって、相互通信の観点からは、承認格納デバイス5は、別の非接触式カード2.1又は別の非接触式タグ102.1に他ならない。
【0084】
以下のシステムは、承認システムを強化し又は汎用的な承認システムにするために、特に、タグ102と、タグ読取装置101とを備える第1の閉鎖系承認システム100aを、更にカード2を備える承認システム10に変更するために、承認格納デバイス5がどのように使用されるかを示す。第1の閉鎖系承認システム100aでは、システムへの帰属関係は、エンパワーメント暗号170、特に読取装置の暗号171及びタグの暗号172によって定められる。従って、タグ読取装置101は、タグの暗号172を有さないカード2とは相互通信95を行うことができない。デバイスデータ75を有するASD5をタグ読取装置101に割り当て、又はその逆を行い、デバイスデータ75を読取装置データ71として使用して、エンパワーメントデータ70を形成することによって、タグ読取装置101は、再構成されて読取装置1になる。その後、読取装置1はカード2と相互通信92を行うことができる。ASD5は、タグ読取装置101を読取装置1に変換するのに使用され、読取装置1は、タグ読取装置101より汎用性が高くなる。第1の閉鎖系承認システム100aは、(強化型、改良型、汎用化型)承認システム10の一部分になる。
【0085】
承認システム10の汎用性の高さは、第1の閉鎖系承認システム100aとカード2を備える第2の閉鎖系承認システム100bとを単一の承認システム10に統合することができる向上した相互通信能力に表れる。特に、第2の閉鎖系承認システム100bは、非接触式カード2.1と、第2の読取装置(タグ読取装置)101bとを備える。第2のタグ読取装置101bは、読取装置インタフェース11.1と、読取装置データ71が格納された読取装置論理回路13と、第2のアプリケーション80bが格納された記憶装置14とを備える。第2の閉鎖系承認システム100bに関して、システムへの帰属関係はエンパワーメントデータ70、特にカードデータ72及び読取装置データ71によって定められ、又はそれらから導出される。
【0086】
タグ読取装置101の読取装置1への変換は、タグ読取装置101のハードウェアに全く変更なしに実現される。行う必要のあることの全ては、タグ読取装置101の相互通信範囲内に無線式承認格納デバイス5を配置し、ASD5をタグ読取装置101に割り当て(読取装置1にするために)、又はその逆を行うことである。ASD5及び読取装置1の割り当ては、タグ読取装置101のソフトウェアの変更、又は読取装置1によって実行されるソフトウェアそれぞれによって実現される。その代わりに或いはそれに加えて、読取装置1によって実行されるアプリケーション80、特に第2のアプリケーション80bを変更する必要がある。アプリケーション80は、基本的にやはり一本だけのソフトウェアであるので、アプリケーション80の変更は、読取装置ソフトウェアを取り込むのと同程度に容易である。
【0087】
第2のアプリケーション80bを、例えば読取装置の暗号171及びカードの暗号172を用いて、更に別のアプリケーションとしてタグ102.1に格納することが可能な場合、承認格納デバイス5は、更に、タグ102.1及びタグ読取装置101を備える第1の閉鎖系承認システム100aを改良して第2のアプリケーション80bを備えさせるのに使用することができ、その第2のアプリケーション80bは、基本的に、暗号70、特に第2の閉鎖系システム100bのカードデータ72及び読取装置データ71によって制御される。更新された第1の閉鎖系システム100a(今や強化型承認システムである)では、第2のアプリケーション80bへのアクセスは、読取装置の暗号171を使用してタグの暗号172を有するタグ102.1にアクセスし、読取装置データ71を模擬し又は置換して第2のアプリケーション80bにアクセスし及び/又はそれを実行するように働くエンパワーメントデータ70を使用することによって達成される。
【0088】
図7に基づいて、図2のシーケンス(S1,S3[S2],S4)が、より詳細に説明される。先ず、読取装置1が、認証信号を送出し、必要なら衝突回避を実施してカード2から応答、例えばカードのUIDを得て、カード2を識別する(ステップS1)。前記識別に基づいて、読取装置1は、例えば、ISO/IEC14443によるセキュアな非接触式読取装置−カード相互通信、又は専用プロトコルなど、いかなる種類の相互通信92を確立するべきかを知る。例えば、読取装置データ71が読取装置1に格納されているために、読取装置1が、セキュアな相互通信を確立するのに必要な全てのエンパワーメントデータ70を有する場合、読取装置1はセキュアな相互通信を開始する。この過程は、従来技術で周知のシーケンスに対応する(ステップS3)。読取装置1がエンパワーメントデータ70の一部又は全てを欠く場合、それに応じるように構成された論理モジュールを用いて、欠けているエンパワーメントデータ70を承認格納デバイス5から取り込む。それ故、読取装置1はASD5と相互通信95を行う。相互通信95は、読取装置−カード相互通信92を実行可能にし、又はアプリケーション80を実行するために、デバイスデータ75を読み取り、デバイスデータ75及びカードデータ72を読取装置論理回路13に割り当てることを含み得る。相互通信95は、カードデータ72をASD5に渡すことも含み得る。デバイス論理回路が、ここではカードデータ72をデバイスデータ75と共に処理する論理モジュールとして働いて、読取装置−カード相互通信92を作動可能にし、又はアプリケーション80を実行する。デバイス論理回路がエンパワーメントデータ70を処理する場合は、基本的には、デバイス−カード相互通信95−2が確立される。読取装置1は、基本的には、相互通信の中継装置として働き、単にASD5とカード2との相互通信を中継する(通過させる)のに使用される。例えば、ASD5は、読取装置−カード相互通信92の個々のコマンド(読取装置1からカード2に送られるコマンド)をコーディングし、第1のコーディング、例えば専用プロトコル又はアトミック命令を使用してそれらのコマンドを読取装置1へ送出する。ASD5から受け取ったコマンドに基づいて、読取装置1は、やはり第1のコーディングを使用するか、又は、読取装置1において翻訳後、第2のコーディング、例えばISO/IEC14443又はNFCなどの標準プロトコルを使用するかのいずれかで、カード2と相互通信92を行う。同様に、読取装置1は、カード2から読取装置1へ送られた応答を、コーディングを翻訳し、又は翻訳しないでASD5に送って(通過させて)、必要なら、ASD5によってデータを更に処理し、引き続きデバイス−カード相互通信95−2を行う。
【0089】
読取装置−カード相互通信92は、ASD5、又はデバイスデータ75によって実行可能になり、従って、ステップS2に依存するが(ステップS3[S2])、カード利用者の観点からは、従来技術のステップS3と同様、読取装置−カード相互通信92が進行しているだけである。
【0090】
必要なら、例えば、周辺ユニット3からアプリケーションデータを読み取り、又は周辺ユニット3にアプリケーションデータを書き込むことによって周辺ユニット3上でアプリケーション80を実行するために、デバイス−カード相互通信95−2又は読取装置−カード相互通信92中、又はそれらの後に、読取装置−ホスト/ユニット相互通信94が行われる(ステップS4)。
【0091】
読取装置論理回路13、カード論理回路、若しくはデバイス論理回路、又は更には周辺ユニット3及び/又はホスト4の論理回路をも、承認システム10の論理モジュールとして使用してエンパワーメントデータ70、特にデバイスデータ75を処理するか否かに応じて、複数の他のシーケンス過程が可能である。例えば、ASD5を使用して、デバイス−カード相互通信95−2又はデバイス−ホスト/ユニット相互通信95−4を実行可能にするすることができる。
【0092】
無線式承認格納デバイス5によって、より汎用性の高い承認システム10を実現することができる。承認システム10において、カード利用者又はカード2に格納されたアプリケーション80の点から見て、カード利用者は常に、カード2が読取装置1とのみ相互通信92を行い、特に全ての読取装置データ71が読取装置1のみに格納されているとの印象を持つ。カード利用者、特に非接触式カード2.1(カードデータ72を有する)の利用者にとって、カード2.1及び第2のタグ読取装置101b(読取装置データ71を有する)を備える第2の閉鎖系承認システム100bと、第1の閉鎖系承認システム100bに基づき、タグ102.1(タグの暗号172を有する)及びタグ読取装置101(読取装置の暗号171を有する)を備え、本発明によって強化された承認システム10との間に差が無い。
【0093】
図8は、承認システム10において、無線式承認格納デバイス5を使用して、欠けたエンパワーメントデータ70に関して読取装置1を更新する様子を示す。欠けたエンパワーメントデータ70は、最初にそれが承認システムにインストール又は導入されたとき、読取装置1に格納されなかったが、その後新しいカード(新しいアプリケーションを有する)又は新しいアプリケーション(既存のカードに格納される)が承認システムに追加されたとき、必要になったデータであり得る。
【0094】
読取装置1は、非接触式読取装置インタフェース11.1と、非接触式インタフェース12.1と、論理回路13と、記憶装置14とを一体化した単一の構成要素を備える。読取装置インタフェース11.1と非接触式インタフェース12.1とは、単一の機能ユニット(電子構成要素)又は構成要素のサブグループとして実現される。カード2には、第1のカードデータ72a.iと、第2のカードデータ72b.iiを伴う第1のアプリケーション80aと、第3のカードデータ72c.iiを伴う第2のアプリケーション80bとが格納されている。第1のカードデータ72a.iは、承認システム10に関連付けられている(システム関連型)。第2及び第3のカードデータ72b.ii、72c.iiはアプリケーション80a、80bに関連付けられている(アプリケーション関連型)。システム関連型データ又はアプリケーション関連型データのいずれか1つ又は両方は、承認システムのルールを実施するために使用することができる。読取装置1には第2の読取装置データ71b.iiが格納されている。第1の読取装置データ71a.iは欠けており、その代わりに、ASD5によって第1のデバイスデータ75a.iとして実現される。従って、承認に関する機能の点から見ると、第1の読取装置データ71a.iと第1のデバイスデータ75a.iとは同一である。更に、ASD5には第2のデバイスデータ75b.iiが格納されている。第1の読取装置データ71a.i又は第1のデバイスデータ75a.iは、それぞれシステム関連型である。第2の読取装置データ71b.ii及び第2のデバイスデータ75b.iiは両方ともアプリケーション関連型である。第1の読取装置データ71a.iが欠けているので、読取装置−カード相互通信92は、ASD5が存在するときにのみ行うことができる。カード2に格納された第1のアプリケーション80aを実行するために、カード2にアクセスするのにASD5に格納された第1のデバイスデータ75a.iが必要になり、第2のアプリケーション80bにアクセスするのに読取装置1に格納された第2の読取装置データ75b.iiが必要になる。第2のアプリケーション80bを実行するために、カード2にアクセスするのにもう1度第1のデバイスデータ75a.iが必要になり、第1のアプリケーション80bにアクセスするのにASD5に格納された第2の読取装置データ75b.iiが必要になる。
【0095】
図9は、システム関連型である第1のカードデータ72a.i、並びに第1及び第2のアプリケーション80a、80bにそれぞれ関連付けられた第2及び第3のカードデータ72b.ii、72c.iiを有するカード2を示す。更に、承認システム10は、タグの暗号172及び第3のアプリケーション80cを有するタグ102を備える。読取装置1は、システム関連型である読取装置データ71.iと、読取装置1の外側に装着されたASD5とを備える。ASD5には、第1、第2、及び第3のデバイスデータ75a.i、75b.ii、75c.iiが格納されている。第1のデバイスデータ75a.iはシステム関連型であり、基本的に、読取装置1に欠けているタグの暗号171に対応し、タグの暗号172に関連付けられている。第2及び第3のデバイスデータ75b.ii及び75c.iiはアプリケーション関連型である。ASD5の第1のデバイスデータ75a.iは、読取装置1がタグ102と相互通信92を行い、第3のアプリケーション80cを実行することができるようにする。第1及び第2のアプリケーション80a、80bの第2及び第3のカードデータ72b.ii、72c.iiに関連付けられている第2及び第3のデバイスデータ75b.ii、75c.iiは、読取装置1が前記アプリケーション80a、80bにアクセスし、それらを実行することができるようにする。
【0096】
この実施形態は、無線式承認格納デバイス5が、カード及び/又はアプリケーションに関して読取装置1の汎用性を高めるのに使用される様子を示す。ASDによって、読取装置1が、カードと相互通信を行い、カード(それ自体)にアクセスし又はアクセスしてアプリケーションを実行することができるようになる。更に、この実施形態は、実行し得るアプリケーション、又はアプリケーションへのアクセスに関して承認システム10のセキュリティ全体を向上させるために、アプリケーション関連型デバイスデータ75.iiをどのように使用することができるかを示す。読取装置データ71に加えて、遠隔データ75を、カード2に格納されたアプリケーション80に関して更にセキュリティを高めるために使用することができる。
【0097】
読取装置1は、非接触式読取装置インタフェース11.1と、非接触式インタフェース12.1と、論理回路13と、記憶装置14とを一体化した単一の構成要素を備える。読取装置インタフェース11.1と非接触式インタフェース12.1とは、2つの機能ユニット又は構成要素のサブグループとして実現され又は具体化される。
【0098】
図10は、無線式承認格納デバイス5又は読取装置1にデバイスデータ75又は更新データ79の伝送及びロード又は格納それぞれを行うための伝送トークン6の使用法を示す。伝送トークン6は、タグの暗号、例えばタグの暗号171、及び読取装置データ、例えば読取装置データ71を読取装置1に格納するために使用することができる(3重の頭付き薄灰色の矢印参照)。伝送トークンは、デバイスデータ、例えば第2のデバイスデータ75b(3重の頭付き薄灰色の矢印参照)、及び更新データ、例えば第1及び第2の更新データ79a、79b(2重の頭付き薄灰色の矢印参照)をASD5に格納するために使用することができる。第1の更新データ79aは、タグの暗号171に関連付けられ、タグの暗号171を修正又は更新するように構成され、タグの暗号171は、既に、第1の伝送トークン6aから更新データ79aをロードする前に、読取装置1に格納されている。第2の更新データ79bは、第1のデバイスデータ75aに関連付けられ、前記第1のデバイスデータ75aを修正又は更新するように構成されている。第1のデバイスデータ75aは、第2の更新データ79bを第2の伝送トークン6bから伝送する前に、ASD5に格納されている。第2のデバイスデータ75bは、読取装置1に欠けている第1の読取装置データ71aと基本的に同一である。示された例では、第2のデバイスデータ75bは、第1及び第2の伝送トークン6a、6bに格納され、ASD5にはこれら2つの伝送トークンのどれか1つから伝送することができる(3重の頭付き薄灰色の矢印参照)。各伝送トークン6は、読取装置インタフェース11.1又は非接触式インタフェース12.1のいずれかを使用してトークン6と読取装置1との非接触式相互通信を行うために、トークンインタフェース61.1(図示せず)を備える。読取装置インタフェース11.1を使用して、トークン6は、読取装置1によって更に別のカード(及び読取装置−カード相互通信92.1)のように扱われ、非接触式インタフェース12.1を使用して、更に別のASD5(及び読取装置−デバイス相互通信95)のように扱われる。図10は、ASD5、特にASD5に格納されたデバイスデータ75(又は更には更新データ79)を修正し、又は更新するために、伝送トークン6を如何に使用することができるかを示す。伝送トークン6は、ASD5を修正又は更新する必要がある場合に、ASD5を置き換え(交換し)、又は別の無線式承認格納デバイスを追加して読取装置1に割り当てることをせずに済ませるために使用することができる。
【符号の説明】
【0099】
10 承認システム
1 読取装置
2 カード
3 周辺ユニット
4 ホスト
5 承認格納デバイス、ASD
6 伝送トークン
9 固定距離
11 読取装置インタフェース
12.1 非接触式インタフェース
13 読取装置論理回路
14 読取装置記憶装置
19 変位
21 カードインタフェース
51.1 デバイスインタフェース
61.1 トークンインタフェース
70 エンパワーメントデータ
71 読取装置データ
72 カードデータ
75 デバイスデータ
79 更新データ
80 アプリケーション
90 相互通信
92 読取装置−カード相互通信
94 読取装置−ホスト/ユニット相互通信
94−2 カード−ホスト/ユニット相互通信
95 読取装置−デバイス相互通信
95−2 デバイス−カード相互通信
95−4 デバイス−ホスト/ユニット相互通信
100 閉鎖系承認システム
101 タグ読取装置
102 タグ
105 セキュリティモジュール
112.1 モジュール−読取装置インタフェース
170 エンパワーメント暗号
171 読取装置の暗号
172 タグの暗号
175 モジュールの暗号
195 読取装置−モジュール相互通信
.. .1 非接触式
.. .2 接触式
..a、b、c 第1、第2、第3
.. .i システム関連型
.. .ii アプリケーション関連型
S1、S2、S3、S4 諸ステップ
【特許請求の範囲】
【請求項1】
承認システム(10)であって、
カード(2)と共に読取装置−カード相互通信(92)を行うための読取装置(1)と、
前記読取装置(1)と前記カード(2)とを互いに割り当て、前記読取装置(1)の読取装置データ(71)及び前記カード(2)のカードデータ(72)に基づいて前記読取装置−カード相互通信(92)を実行可能にするように構成された論理モジュールであり、前記読取装置データ(71)及び前記カードデータ(72)が当該承認システム(10)の承認データである、論理モジュールと
を備える承認システム(10)において、
前記論理モジュールが、非接触式インタフェース(12.1)を介して承認格納デバイス(5)からデバイスデータ(75)を読み取り、前記承認格納デバイス(5)が前記非接触式インタフェース(12.1)の相互通信範囲内に存在している間は、前記読取装置−カード相互通信(92)を実行可能にするために、前記デバイスデータ(75)に基づいて前記読取装置(1)を前記カード(2)に割り当てるように更に構成されていることを特徴とする、承認システム(10)。
【請求項2】
前記読取装置−カード相互通信(92)を実行可能にするために、前記論理モジュールが、前記デバイスデータ(75)を使用して前記読取装置データ(71)を変更するように構成されていることを特徴とする、請求項1に記載の承認システム(10)。
【請求項3】
前記論理モジュールが、以下の相互通信、即ち、
前記読取装置(1)と前記承認格納デバイス(5)との読取装置−デバイス相互通信(95)と、
前記読取装置(1)によって中継される、前記カード(2)と前記承認格納デバイス(5)とのカード−デバイス相互通信(95−2)と
の一方を実行可能にするように構成されていることを特徴とする、請求項1又は2に記載の承認システム(10)。
【請求項4】
前記論理モジュールが前記読取装置(1)内に配置されていることを特徴とする、請求項1〜3のいずれか一項に記載の承認システム(10)。
【請求項5】
前記論理モジュールが、アプリケーション(80)を実行するように構成されていることを特徴とする、請求項1〜4のいずれか一項に記載の承認システム(10)。
【請求項6】
前記承認格納デバイス(5)が、前記非接触式インタフェース(12.1)から実質的に固定された固定距離(9)をもって離隔して配置されていることを特徴とする、請求項1〜5のいずれか一項に記載の承認システム(10)。
【請求項7】
前記論理モジュールが、前記固定距離(9)が変更されていないことを検証するように構成されていることを特徴とする、請求項6に記載の承認システム(10)。
【請求項8】
前記論理モジュールが、前記デバイスデータ(75)を使用して、前記読取装置−カード相互通信(92)と、アプリケーション(80)の実行とのうちの一方のセキュリティを確保するように構成されていることを特徴とする、請求項1〜7のいずれか一項に記載の承認システム(10)。
【請求項9】
前記論理モジュールが、前記デバイスデータ(75)を使用して、前記読取装置(1)の承認システムへの帰属関係と、承認システム(10)のルール、好ましくは階層的承認システムのルールとのうちの一方を行使するように構成されていることを特徴とする、請求項1〜8のいずれか一項に記載の承認システム(10)。
【請求項10】
前記承認格納デバイス(5)が、該承認格納デバイス(5)と前記非接触式インタフェース(12.1)との間の固定距離(9)から外れたときに又は前記読取装置の相互通信範囲から外れたときに、作動不能になり又は前記デバイスデータ(75)を消去するように構成されていることを特徴とする、請求項1〜9のいずれか一項に記載の承認システム(10)。
【請求項11】
前記読取装置(1)が、以下の検証、即ち、
前記承認格納デバイス(5)が存在することの検証と、
前記承認格納デバイス(5)の相互通信信号の検証と
の一方を行う手段を備えることを特徴とする、請求項1〜10のいずれか一項に記載の承認システム(10)。
【請求項12】
前記承認システム(10)が、前記読取装置(1)に接続された周辺ユニット(3)及びホスト(4)の少なくとも1つを備え、
前記論理モジュールが、前記読取装置(1)を前記周辺ユニット(3)又は前記ホスト(4)に割り当てて、
前記読取装置(1)と前記周辺ユニット(3)又は前記ホスト(4)との読取装置−ホスト/ユニット相互通信(94)、
前記カード(2)と前記周辺ユニット(3)又は前記ホスト(4)とのカード−ホスト/ユニット相互通信(94−2)、及び、
前記承認格納デバイス(5)と前記周辺ユニット(3)又は前記ホスト(4)とのデバイス−ホスト/ユニット相互通信(95−4)
の少なくとも1つを実行可能にするように構成されていることを特徴とする、請求項1〜11のいずれか一項に記載の承認システム(10)。
【請求項13】
前記読取装置−カード相互通信(92)に使用される前記読取装置(1)の読取装置インタフェース(11)が、前記非接触式インタフェース(12.1)として働くように構成されていることを特徴とする、請求項1〜12のいずれか一項に記載の承認システム(10)。
【請求項14】
承認システム(10)の承認データとして使用される読取装置データ(71)及びカードデータ(72)に基づいて、前記承認システム(10)内で読取装置(1)とカード(2)とを互いに割り当てる方法であって、
a)論理モジュールによって、承認格納デバイス(5)からデバイスデータ(75)を前記読取装置(1)の非接触式インタフェース(12.1)を介して読み取るステップと、
b)前記承認格納デバイス(5)が前記非接触式インタフェース(12.1)の相互通信範囲内に存在する間は、前記読取装置(1)と前記カード(2)との読取装置−カード相互通信(92)を実行可能にするために、前記デバイスデータ(75)を使用して、前記読取装置(1)を前記カード(2)に割り当てるステップと
を含む方法。
【請求項15】
承認システム(10)で使用するコンピュータプログラムプロダクトであり、
前記承認システム(10)が、
読取装置データ(71)を有する読取装置(1)と、
カードデータ(72)を有するカード(2)と、
前記読取装置(1)と前記カード(2)とを互いに割り当て、前記読取装置データ(71)及び前記カードデータ(72)に基づいて前記読取装置(1)と前記カード(2)との読取装置−カード相互通信(92)を実行可能にするように構成された論理モジュールで、前記読取装置データ(71)及び前記カードデータ(72)が前記承認システム(10)の承認データである、論理モジュールと、
デバイスデータ(75)を有する承認格納デバイス(75)と
を有する、コンピュータプログラムプロダクトであって、
前記論理モジュールに、前記読取装置(1)の非接触式インタフェース(12.1)を介して前記承認格納デバイス(5)から前記デバイスデータ(75)を読み取らせ、前記承認格納デバイス(5)が前記非接触式インタフェース(12.1)の相互通信範囲内に存在する間は、前記読取装置−カード相互通信(92)を実行可能にするために、前記デバイスデータ(75)に基づいて前記読取装置(1)を前記カード(2)に割り当てさせる命令を含む、コンピュータプログラムプロダクト。
【請求項1】
承認システム(10)であって、
カード(2)と共に読取装置−カード相互通信(92)を行うための読取装置(1)と、
前記読取装置(1)と前記カード(2)とを互いに割り当て、前記読取装置(1)の読取装置データ(71)及び前記カード(2)のカードデータ(72)に基づいて前記読取装置−カード相互通信(92)を実行可能にするように構成された論理モジュールであり、前記読取装置データ(71)及び前記カードデータ(72)が当該承認システム(10)の承認データである、論理モジュールと
を備える承認システム(10)において、
前記論理モジュールが、非接触式インタフェース(12.1)を介して承認格納デバイス(5)からデバイスデータ(75)を読み取り、前記承認格納デバイス(5)が前記非接触式インタフェース(12.1)の相互通信範囲内に存在している間は、前記読取装置−カード相互通信(92)を実行可能にするために、前記デバイスデータ(75)に基づいて前記読取装置(1)を前記カード(2)に割り当てるように更に構成されていることを特徴とする、承認システム(10)。
【請求項2】
前記読取装置−カード相互通信(92)を実行可能にするために、前記論理モジュールが、前記デバイスデータ(75)を使用して前記読取装置データ(71)を変更するように構成されていることを特徴とする、請求項1に記載の承認システム(10)。
【請求項3】
前記論理モジュールが、以下の相互通信、即ち、
前記読取装置(1)と前記承認格納デバイス(5)との読取装置−デバイス相互通信(95)と、
前記読取装置(1)によって中継される、前記カード(2)と前記承認格納デバイス(5)とのカード−デバイス相互通信(95−2)と
の一方を実行可能にするように構成されていることを特徴とする、請求項1又は2に記載の承認システム(10)。
【請求項4】
前記論理モジュールが前記読取装置(1)内に配置されていることを特徴とする、請求項1〜3のいずれか一項に記載の承認システム(10)。
【請求項5】
前記論理モジュールが、アプリケーション(80)を実行するように構成されていることを特徴とする、請求項1〜4のいずれか一項に記載の承認システム(10)。
【請求項6】
前記承認格納デバイス(5)が、前記非接触式インタフェース(12.1)から実質的に固定された固定距離(9)をもって離隔して配置されていることを特徴とする、請求項1〜5のいずれか一項に記載の承認システム(10)。
【請求項7】
前記論理モジュールが、前記固定距離(9)が変更されていないことを検証するように構成されていることを特徴とする、請求項6に記載の承認システム(10)。
【請求項8】
前記論理モジュールが、前記デバイスデータ(75)を使用して、前記読取装置−カード相互通信(92)と、アプリケーション(80)の実行とのうちの一方のセキュリティを確保するように構成されていることを特徴とする、請求項1〜7のいずれか一項に記載の承認システム(10)。
【請求項9】
前記論理モジュールが、前記デバイスデータ(75)を使用して、前記読取装置(1)の承認システムへの帰属関係と、承認システム(10)のルール、好ましくは階層的承認システムのルールとのうちの一方を行使するように構成されていることを特徴とする、請求項1〜8のいずれか一項に記載の承認システム(10)。
【請求項10】
前記承認格納デバイス(5)が、該承認格納デバイス(5)と前記非接触式インタフェース(12.1)との間の固定距離(9)から外れたときに又は前記読取装置の相互通信範囲から外れたときに、作動不能になり又は前記デバイスデータ(75)を消去するように構成されていることを特徴とする、請求項1〜9のいずれか一項に記載の承認システム(10)。
【請求項11】
前記読取装置(1)が、以下の検証、即ち、
前記承認格納デバイス(5)が存在することの検証と、
前記承認格納デバイス(5)の相互通信信号の検証と
の一方を行う手段を備えることを特徴とする、請求項1〜10のいずれか一項に記載の承認システム(10)。
【請求項12】
前記承認システム(10)が、前記読取装置(1)に接続された周辺ユニット(3)及びホスト(4)の少なくとも1つを備え、
前記論理モジュールが、前記読取装置(1)を前記周辺ユニット(3)又は前記ホスト(4)に割り当てて、
前記読取装置(1)と前記周辺ユニット(3)又は前記ホスト(4)との読取装置−ホスト/ユニット相互通信(94)、
前記カード(2)と前記周辺ユニット(3)又は前記ホスト(4)とのカード−ホスト/ユニット相互通信(94−2)、及び、
前記承認格納デバイス(5)と前記周辺ユニット(3)又は前記ホスト(4)とのデバイス−ホスト/ユニット相互通信(95−4)
の少なくとも1つを実行可能にするように構成されていることを特徴とする、請求項1〜11のいずれか一項に記載の承認システム(10)。
【請求項13】
前記読取装置−カード相互通信(92)に使用される前記読取装置(1)の読取装置インタフェース(11)が、前記非接触式インタフェース(12.1)として働くように構成されていることを特徴とする、請求項1〜12のいずれか一項に記載の承認システム(10)。
【請求項14】
承認システム(10)の承認データとして使用される読取装置データ(71)及びカードデータ(72)に基づいて、前記承認システム(10)内で読取装置(1)とカード(2)とを互いに割り当てる方法であって、
a)論理モジュールによって、承認格納デバイス(5)からデバイスデータ(75)を前記読取装置(1)の非接触式インタフェース(12.1)を介して読み取るステップと、
b)前記承認格納デバイス(5)が前記非接触式インタフェース(12.1)の相互通信範囲内に存在する間は、前記読取装置(1)と前記カード(2)との読取装置−カード相互通信(92)を実行可能にするために、前記デバイスデータ(75)を使用して、前記読取装置(1)を前記カード(2)に割り当てるステップと
を含む方法。
【請求項15】
承認システム(10)で使用するコンピュータプログラムプロダクトであり、
前記承認システム(10)が、
読取装置データ(71)を有する読取装置(1)と、
カードデータ(72)を有するカード(2)と、
前記読取装置(1)と前記カード(2)とを互いに割り当て、前記読取装置データ(71)及び前記カードデータ(72)に基づいて前記読取装置(1)と前記カード(2)との読取装置−カード相互通信(92)を実行可能にするように構成された論理モジュールで、前記読取装置データ(71)及び前記カードデータ(72)が前記承認システム(10)の承認データである、論理モジュールと、
デバイスデータ(75)を有する承認格納デバイス(75)と
を有する、コンピュータプログラムプロダクトであって、
前記論理モジュールに、前記読取装置(1)の非接触式インタフェース(12.1)を介して前記承認格納デバイス(5)から前記デバイスデータ(75)を読み取らせ、前記承認格納デバイス(5)が前記非接触式インタフェース(12.1)の相互通信範囲内に存在する間は、前記読取装置−カード相互通信(92)を実行可能にするために、前記デバイスデータ(75)に基づいて前記読取装置(1)を前記カード(2)に割り当てさせる命令を含む、コンピュータプログラムプロダクト。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公表番号】特表2012−500424(P2012−500424A)
【公表日】平成24年1月5日(2012.1.5)
【国際特許分類】
【出願番号】特願2011−522440(P2011−522440)
【出願日】平成21年8月17日(2009.8.17)
【国際出願番号】PCT/EP2009/005954
【国際公開番号】WO2010/018000
【国際公開日】平成22年2月18日(2010.2.18)
【出願人】(503300339)レジック・アイデントシステムズ・アクチェンゲゼルシャフト (5)
【Fターム(参考)】
【公表日】平成24年1月5日(2012.1.5)
【国際特許分類】
【出願日】平成21年8月17日(2009.8.17)
【国際出願番号】PCT/EP2009/005954
【国際公開番号】WO2010/018000
【国際公開日】平成22年2月18日(2010.2.18)
【出願人】(503300339)レジック・アイデントシステムズ・アクチェンゲゼルシャフト (5)
【Fターム(参考)】
[ Back to top ]