サーバ一体型ICカードシステム
【課題】すでに流通しているICカードの多機能化・高機能化を図ること。
【解決手段】ICカードの端末である利用者装置と、ICカード発行管理機関の有するサーバ装置とを通信回線で接続し、サーバ装置の中にICカードと一対一に対応する領域(ICカード対応領域)を設け、利用者装置とICカード対応領域とをセキュアチャネルで接続することにより、サーバ装置とICカードを一体化させ、ICカードに追加すべき機能をICカード自身にではなく、サーバ装置に負担させて実行させる。
【解決手段】ICカードの端末である利用者装置と、ICカード発行管理機関の有するサーバ装置とを通信回線で接続し、サーバ装置の中にICカードと一対一に対応する領域(ICカード対応領域)を設け、利用者装置とICカード対応領域とをセキュアチャネルで接続することにより、サーバ装置とICカードを一体化させ、ICカードに追加すべき機能をICカード自身にではなく、サーバ装置に負担させて実行させる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、既存のICカードシステムを高機能化したICカードシステムに関し、特に、ICカードの機能の一部をサーバ上に設けた個別カード専用エリアに移し、サーバをICカードとして機能させることによって多機能化・高機能化を実現したサーバ一体型ICカードシステムに関する。
【背景技術】
【0002】
現在、住民基本台帳カードをはじめとして、多目的ICカードが徐々に広がりを見せており、多目的ICカードの利便性、経済性が認識されつつある。しかし、その一方で、ICカードの容量や処理能力性能などの制限から、その機能を高機能化することには限界がある。
現在、住民基本台帳カードに搭載されているアプリケーションの一つである公的個人認証サービスが使いづらいとの批判があるが、使い勝手の悪さを改善するためには現在すでに流通しているカードのアプリケーションに対して改良を加える必要がある。しかしながら、すでに流通しているためにこれを実施することは容易ではない。すでに流通しているICカードのオペレーションについては下記特許文献1又は特許文献2に詳細に記載されているので説明は省略する。
【0003】
多目的ICカードを利用する目的の主たるものは、電子認証及び電子署名であるが、以上のような理由から、仮にこれらで利用されている暗号化技術に脆弱性などの問題が発見された場合でも、短期間でそれを改良したものに置き換えることは困難である。
一方、高度にネットワーク通信が発達した今日において、ネットワーク上に設置されたサーバをネットワークに接続された端末装置から操作して、あたかも自分のパソコンのように使用することも可能となった。また、IDやパスワード等で管理することにより、そのサーバの一部を自分専用の仮想マシンとして使用することも可能である。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2001−069140号公報
【特許文献2】特開2005−258878号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
そこで、本発明者等はすでに流通しているICカードの多機能化・高機能化を図るにあたり、ICカードに追加すべき機能をICカード自身にではなく、上記サーバに負担させて実行させ得ることに着目した。
本発明は、上述のような事情に鑑み為されたものであり、ICカードの機能の一部をサーバ上に設けた個別カード専用エリアに移し、サーバをICカードとして機能させることによって多機能化・高機能化を実現したサーバ一体型ICカードシステムを提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明は、ICカードと該ICカードの読み書き手段とを備えた利用者装置と、前記ICカードを発行し管理するICカード発行・管理機関が有する発行・登録装置及びサーバ装置とが、相互に通信可能に接続されたサーバ一体型ICカードシステムに関し、本発明の上記目的は、前記ICカードは、電子認証用公開鍵証明書(UPKC)及びそれと対応する秘密鍵(UPKEY)を備えた電子認証手段と、前記発行・登録装置及びサーバ装置等の外部装置との間のデータ送受信を管理するとともに、ICカード内のデータ管理を行うICカード管理手段とを備え、
前記発行・登録装置は、前記ICカードから送られた利用者ICカード対応領域生成依頼情報と前記電子認証用公開鍵証明書を受信し、前記電子認証用公開鍵証明書に基づいて利用者の認証を行うとともに、前記サーバ装置に対して利用者ICカード対応領域の生成を依頼し、前記サーバ装置から返信された前記利用者ICカード対応領域の登録情報(SI)及び前記利用者ICカード対応領域にアクセスするためのアドレス等を含む領域情報(SID)に基づいて登録証(SPKC)を生成して、前記電子認証用公開鍵証明書とともに前記サーバ装置に送信するサーバ登録証生成手段を備え、
前記サーバ装置は、前記発行・登録装置から送られた前記利用者ICカード対応領域生成依頼情報に基づいて前記利用者ICカード対応領域、前記登録情報及び領域情報を生成する利用者ICカード対応領域生成部と、該利用者ICカード対応領域生成部から送られた前記登録情報及び領域情報を前記利用者ICカード対応領域に格納する処理を行う利用者ICカード対応領域処理部と、前記サーバ登録証生成手段から送られた前記登録証と電子認証用公開鍵証明書とを受信し、前記登録情報と前記登録証との対応付けを検証し、検証結果が正しければ前記登録証と電子認証用公開鍵証明書を前記利用者ICカード対応領域処理部に送り前記ICカード対応領域に格納させる登録証検証部と、を備えるとともに、
前記利用者ICカード対応領域処理部は、前記領域情報及び登録証を前記ICカード管理手段に送り、前記ICカード管理手段に格納することにより、前記利用者ICカード対応領域処理部を前記ICカードと一体化して利用することを可能にしたことを特徴とするサーバ一体型ICカードシステムによって達成される。
【0007】
また、本発明の上記目的は、前記ICカード管理手段と前記利用者ICカード対応領域処理部との間で通信により相互認証を行い、認証が正しく行われたときにセキュアチャネルを開設することによって効果的に達成される。さらに、前記相互認証をワンタイム・パスワードを用いたチャレンジ・レスポンス認証とすることによって、さらに効果的に達成される。
【0008】
さらにまた、本発明の上記目的は、前記利用者ICカード対応領域に、サーバ格納アプリケーション情報(SAID)及びそれに対応したサーバ格納アプリケーションデータ(SAPD)が格納されている場合において、
前記サーバ格納アプリケーションデータを利用する外部システムが前記ICカードのICカード管理手段に対して前記サーバ格納アプリケーション情報を用いて前記サーバ格納アプリケーションデータを呼び出した場合、前記ICカード管理手段は前記利用者ICカード対応領域処理部との間にセキュアチャネルを開設した後に、前記利用者ICカード対応領域処理部に対して、前記外部システムが前記利用者ICカード対応領域処理部から前記サーバ格納アプリケーションデータを直接呼び出すための一時的な接続許可証(TK)を要求し、前記利用者ICカード対応領域処理部が前記一時的な接続許可証を作成して前記セキュアチャネルを介して前記ICカード管理手段に返すと、前記ICカード管理手段は前記領域情報と前記一時的な接続許可証を前記外部システムに送り、前記外部システムは受信した前記一時的な接続許可証と前記サーバ格納アプリケーション情報を前記利用者ICカード対応領域処理部に直接送って前記サーバ格納アプリケーションデータを呼び出し、前記利用者ICカード対応領域処理部は、受信した前記一時的な接続許可証を検証し、自己が発行した許可証であれば前記外部システムに対して前記サーバ格納アプリケーションデータの利用を許可することを特徴とする前記サーバ一体型ICカードシステムによって、さらに効果的に達成される。
【発明の効果】
【0009】
これにより、従来問題となっていたカードアプリケーションの高機能化、アプリケーションの管理等の容易化が実現できるだけでなく、従来のカードでは容量の問題から困難であった、個人が有する様々な権利の利活用に新多目的ICカードシステムを利用することができる。
本発明の更なる効果は、このようなシステムにより、ネットワーク上のあらゆる場所から各個人が所有する様々な権利を保障することができることである。
また、本発明の好ましい実施の形態によれば、セキュアな領域である利用者ICカード対応領域や利用者ICカード対応領域処理部の暗号処理機能をハードウェア・セキュリティ・モジュールに実装することにより、さらにセキュリティが向上する。
【図面の簡単な説明】
【0010】
【図1】本発明に係るICカードシステムの基本的な構成を示す図である。
【図2】ICカードごとに設定される利用者ICカード対応領域をサーバ内に設定し、それを登録する仕組みを説明するための図である。
【図3】ICカード対応領域の登録の手順を示すフローチャートである。
【図4】利用者ICカード対応領域処理部の構成を示す図である。
【図5】アプリケーション提供装置から、利用者ICカード対応領域にアプリケーションデータ(SAPD)を登録するためのシステム構成図である。
【図6】アプリケーションデータをサーバに登録するときの手順を示すフローチャートである。
【図7】ICカードを利用する外部システムがサーバからAPデータを呼び出す場合のシステム構成(その1)を示す図である。
【図8】図7のシステムの処理の流れを示すフローチャートである。
【図9】ICカードを利用する外部システムがサーバからAPデータを呼び出す場合のシステム構成(その2)を示す図である。
【図10】図9のシステムの処理の流れを示すフローチャートである。
【図11】ICカードを用いないで、サーバをICカードとして利用する場合のシステム構成を示す図である。
【図12】図11のシステムの処理の流れを示すフローチャートである。
【図13】利用者ICカード対応領域処理部が単一のサーバ装置内に実装される場合であって、暗号処理手段及びデータ保持機能がハードウェア・セキュリティ・モジュール(HSM)内に実装される例を示すものである。
【図14】利用者ICカード対応領域処理部が複数の装置に分かれて実装される場合であって、暗号処理手段及びデータ保持機能が別の筺体に収められたHSM装置内のHSM内に実装される例を示すものである。
【図15】図13に示すサーバ装置を複数設置し、一方が故障した場合に他方に切り替えて使用できるように構成したものである。
【図16】図13におけるHSM実装部分を、単一サーバ装置内に2個配置し、一方が故障した場合に他方に切り替えて使用できるように構成したものである。
【図17】図14に示すサーバ装置とHSMを内蔵するHSM装置をそれぞれ2個ずつ設置し、4通りの接続の組み合わせによって使用できるようにしたものである。
【発明を実施するための形態】
【0011】
本発明に係るICカードシステムは、現在の多目的ICカードの機能の一部をネットワーク上に配備されたサーバ側で実現し、サーバ上に各個人のICカードと1対1に結び付けられたカード個別の専用エリアを設け、ICカードを利用してサーバの専用エリアにアクセスすることで、外部からはあたかも1つの多機能型ICカードのように動作させるものである。このようにすることにより、ICカード本体には手を加えることなく、ICカードの高機能化・多機能化を図ることが可能となる。
【0012】
以下、本発明の実施形態について図面を参照しつつ詳細に説明する。
図1は本発明に係るICカードシステムの基本的な構成を示す図である。図に示すように、利用者ICカード(以下、単にICカードという。)、ICカードの読み書き手段であるリーダライタ、及び外部との通信手段(図示せず)を備えた利用者装置と、ICカードを発行し管理するICカード発行・管理機関が有する登録・発行装置及びICカードと連携してICカードの機能の一部をネットワーク上で実現するサーバ装置(以下、サーバという。)とが、相互に通信可能に接続されている。利用者装置と発行・登録装置及びサーバとの間の通信はインターネット等の公衆回線を利用して行うことができる。また、発行・登録装置とサーバとの間の通信は専用回線または公衆回線のいずれでも構わない。
【0013】
ICカード内には利用者の本人認証及びカードが正規のものであるかの認証を行うカード認証を行う電子認証手段と、サーバと一体となってあたかも一つのICカードとして動作させるための様々な制御を行うサーバ一体型ICカード管理手段(従来のICカードのカードマネージャのソフトウェアをバージョンアップさせたものに相当する。以下、ICカード管理手段という。)が格納されている。
【0014】
発行・登録装置は、発行するICカードに電子認証用公開鍵証明書(UPKC)及びそれと対応する秘密鍵(UPKEY)を格納し、それをデータベースに格納して管理を行うICカード発行・管理手段、サーバとICカードの関連付けを行い、サーバの中に設けられたICカードごとのセキュアな領域(データ保持機能を有しており、これを、利用者ICカード対応領域と称する。)の領域情報(SID)と領域秘密鍵・公開鍵を含む登録情報(SI)に基づいて利用者ICカード対応領域登録証(SPKC)を生成するサーバ登録証生成手段とを備えている。
【0015】
また、サーバは、発行・登録装置からの依頼により利用者ICカード対応領域を生成し、領域秘密鍵・公開鍵を含む登録情報(SI)、及び利用者ICカード対応領域にアクセスするためのアドレス等を含む領域情報(SID)を生成する利用者ICカード対応領域生成部と、SPKCとSIとの対応付けを検証する登録証検証部と、利用者ICカード対応領域への各種情報(詳細は後述)の出し入れを処理する(図示しない)制御手段を備えており、上述の利用者ICカード対応領域と制御手段とで利用者ICカード対応領域処理部を構成している。また、制御手段は、「ICカード及び外部システム通信処理手段」と「暗号処理手段」を備えている。なお、後述のように、利用者ICカード対応領域処理部は、ICカードと一対一のセキュアチャネルで接続される。
【0016】
図2は、本発明に係るICカードシステムの特徴である、各ICカードごとに設定される利用者ICカード対応領域をサーバ内に設定し、それを登録する仕組みを説明するための図である。図3はその手順を示すフローチャートであり、図面に基づいて説明する。
[利用者ICカード対応領域の登録時の処理]
ICカードからは、UPKCを発行・登録装置に送付し、利用者ICカード対応領域の生成を依頼する(ステップS1)。発行・登録装置は、利用者ICカード対応領域の生成要求を受けると、UPKCを利用してICカードの認証を行い(ステップS2)、正しければ(ステップS3の“YES”)、サーバに利用者ICカード対応領域生成を依頼する(ステップS4)。サーバは、利用者ICカード対応領域生成部において利用者ICカード対応領域を生成し、領域秘密鍵・公開鍵を含む登録情報(SI)を生成し、利用者ICカード対応領域にアクセスするためのアドレス等を含む領域情報(SID)と共に発行・登録装置に送信する(ステップS5)。このとき、SI及びSIDは利用者ICカード対応領域に格納される。
発行・登録装置は、利用者ICカード対応領域登録証(SPKC)を生成し、UPKCとともに、サーバへ送付する(ステップS6)。
サーバは、登録証検証部においてSPKCとSIとの対応付けを検証し(ステップS7)、正しければ、利用者ICカード対応領域に、SPKC及びUPKCを格納する(ステップS8)。
サーバの利用者ICカード対応領域処理部は、多目的ICカードのカード管理機能(従来技術)を利用して、ICカード管理手段(プログラム)を利用者ICカードに格納し(又は新規ICカードの場合は製造時にインストールしてもよい。)、SID及びSPKCをICカードに送り(ステップS9)、ICカード管理手段に格納する(ステップS10)。
【0017】
図4は利用者ICカード対応領域処理部の構成を示す図であり、利用者ICカードごとにセキュアチャネルで結ばれた領域(セキュア 動作部すなわち、利用者ICカード対応領域処理部)が設けられていることを示している。セキュア動作部にある格納アプリとは、当該ICカードでの使用が許可されているアプリケーションプログラムであり、ICカードごとに設定される。また、格納データとは、登録情報(SI)、領域情報(SID)、利用者ICカード対応領域登録証(SPKC)、公開鍵証明書(UPKC)、サーバ格納アプリケーション情報(SAID)等である。
【0018】
この利用者ICカード対応領域処理部は、鍵情報を安全に管理し、利用者に応じたソフトウエアコンポーネントの導入・運用、利用者情報の安全な保管・運用を行うものである。
ICカード等は、内部の動作や処理手順が外部に漏れると一般にセキュリティが確保できなくなって困るので、機器や回路の中身が外部からは分析しにくくすることが多い。こうした、内部解析(リバース・エンジニアリング)や改変に対する防護力のことを耐タンパ性と呼ぶが、ICカードは耐タンパ性を担保することが必要とされるため、この部分は、個別のCPUを持つセキュアマシンと同等の安全性を有するセキュア仮想マシンを(各利用者に仮想的なCPUを割り当てる)をサーバ内で動作させ、その上で実現する。
さらに、強固な安全性を確保するには、実際に、物理的に独立したCPUを有するセキュアマシン(例えば、ハードウェア・セキュリティ・モジュール(以下「HSM」という。)の利用が考えられる。)を個別のICカードごとに用意し、その上で処理を実行させてもよい。HSMの利用については後述する。
このように、利用者ICカード対応領域処理部は、利用者ICカードとセキュアチャネルで接続され、外部からの接続・命令などは、基本的に利用者ICカード経由で行われる。
【0019】
図5は、ICカードアプリケーション(AP)を用いた各種サービスを提供するサービス提供者(例えば、デパート、ガソリンスタンド、会員制スポーツクラブ等である。)の保有・管理するAP提供装置から、利用者ICカード対応領域にAPデータを登録するためのシステム構成図であり、図6はAP登録の手順を示すフローチャートである。図面を参照しつつ詳細に説明する。
[AP登録時の処理]
まず、利用者は、ICカードを利用者装置のリーダライタに挿入する(ステップS11)。ICカード内のICカード管理手段は、チャレンジコード(C1)を生成しサーバの利用者ICカード対応領域処理部(以下、カード対応領域処理部という。)に対して送付して接続要求を行う(ステップS12)。
カード対応領域処理部は、ICカードから送られたC1に対してSPKCに対応する秘密鍵を用いて暗号化処理を行い、レスポンスコード(R1)を生成する(ステップS13)。同時に、チャレンジコード(C2)を生成し、R1と一緒にしてICカード内のICカード管理手段に送付する(ステップS14)。
【0020】
ICカード内のICカード管理手段は、R1をSPKCを用いて検証し(ステップS15)、正しければ、電子認証手段(電子認証用アプリケーション)を利用して、C2に対してUPKCに対応する秘密鍵(UPKEY)を用いて暗号化処理を行いレスポンスコード(R2)を生成し、サーバのカード対応領域処理部に対して送付する(ステップS17)。
カード対応領域処理部は、送付されたR2をUPKCを用いて検証し(ステップS18)、正しければICカード管理手段との間で、セキュアチャネルを開設する(ステップS20)。カード対応領域処理部は、セキュアチャネル以外からのアプリケーション呼び出しには応答しない。
サーバは、SPKC、SAIDをAP提供装置に送信する(ステップS21)。AP提供装置は、証明書検証部において、SPKCを検証する。同時に領域検証部は、サーバからSAIDを取得し、その正当性を検証する(ステップS22)。両方の検証結果が正しければ、証明書作成部において、SAIDを含むサーバ格納データ要求証(DLR)を作成し、発行・登録装置に送信する(ステップS24)。
【0021】
発行・登録装置は、証明書検証部においてDLRを検証する。同時に、SAIDをAP検証部においてその正当性を検証する(ステップS25)。その両方の検証結果が正しければSAIDに対して証明書作成部において、格納許可証(DLP)を生成し、当該DLPをAP提供装置に送信する(ステップS27)。同時に証明書作成部は、サーバに対するAPの格納情報をICカード管理のための登録データベースに格納するため、登録DBに対してSPKC及びSAIDを通知する。
AP提供装置は、証明書検証部においてDLPを検証し(ステップS28)、検証結果が正しければ、サーバにDLPを送付する。同時に登録DBより、SAIDに対応するサーバ格納APデータ(SAPD)をサーバに送信する(ステップS30)。
【0022】
サーバは、証明書検証部において、DLPを検証し、なんらかの手法により、受領したSAPDとSAIDとの対応付けをデータ確認部を用いて検証し(ステップS31)、検証結果が正しければSAPDをカード対応領域処理部に格納する(ステップS33)。なお、サーバにおいて、SAPDを格納する代わりに、既に、カード対応領域処理部内にあるSAPDを削除することも同様の処理によって可能である。ICカードのICカード管理手段に、SAIDを格納することも可能とする。
このような、AP登録方法を取ることにより、発行・登録装置は、サーバに搭載されるSAPDの実体を取得する必要がないため、SAPDに格納される可能性のある個人情報等を発行・登録装置に対して秘匿することが可能となる。
サーバ内のカード対応領域処理部の管理は発行・登録装置によって行われるが、AP提供装置を運用する組織は、発行・登録装置を管理する組織とは異なる場合が考えられる。このとき、発行・登録装置を管理する組織は、DLPの発行情報に基づき、サーバの使用料等をAP提供装置を運用する組織に要求することが可能である。
【0023】
図7はICカードを利用する外部システムがサーバからAPデータを呼び出す場合のシステム構成(その1)を示す図であり、図8はその処理の流れを示すフローチャートである。図面を参照しつつ詳細に説明する。
まず、利用者は、ICカードを利用者装置に挿入する(ステップS41)。ICカード内のICカード管理手段は、チャレンジコード(C1)を生成し、サーバのカード対応領域処理部に対して送付及び接続要求を行う(ステップS42)。カード対応領域処理部は、ICカードから送られたC1に対してSPKCに対応する秘密鍵を用いて暗号化処理を行い、レスポンスコード(R1)を生成する。同時に、チャレンジコード(C2)を生成し、これらを一緒にしてICカード内のICカード管理手段に送付する(ステップS43)。
ICカード内のICカード管理手段は、R1をSPKCを用いて検証し(ステップS44)、正しければ、電子認証手段を利用して、C2に対してUPKCに対応する秘密鍵(UPKEY)を用いて暗号化処理を行いレスポンスコード(R2)を生成し、サーバのカード対応領域処理部に対して送付する(ステップS46)。
カード対応領域処理部は、送付されたR2をUPKCを用いて検証し(ステップS47)、正しければICカード管理手段との間で、セキュアチャネルを開設する(ステップS49)。カード対応領域処理部は、セキュアチャネル以外からのアプリケーション呼び出しには応答しない。
【0024】
ICカードを利用する外部システムは、ICカード管理手段を通して、格納AP情報(AID又はSAID)を用いてカードアプリケーション(AP)をサーバから呼び出す(ステップS50)。ICカード管理手段にSAIDが格納されていない場合には、セキュアチャネルを利用して、外部システムから呼び出されたSAIDをカード対応領域処理部に転送する。呼び出されたSAIDがサーバに存在しない場合には、エラーを返す(ステップS51)。サーバ側で動作するカードアプリケーションとICカード利用外部システムとの間の通信は、すべてセキュアチャネルを通してICカードで中継されるため、ICカード利用外部システムは、ICカードのみを意識すればよい。
【0025】
図9はICカードを利用する外部システムがサーバからAPデータを呼び出す場合のシステム構成(その2)を示す図であり、図10はその処理の流れを示すフローチャートである。図面を参照しつつ詳細に説明する。
まず、利用者は、ICカードを利用者装置に挿入する(ステップS61)。次に、ICカード内のICカード管理手段は、チャレンジコード(C1)を生成し、サーバのカード対応領域処理部に対して送付及び接続要求を行う(ステップS62)。カード対応領域処理部は、ICカードから送られたC1に対してSPKCに対応する秘密鍵を用いて暗号化処理を行いレスポンスコード(R1)を生成する。同時に、チャレンジコード(C2)を生成し、これらを一緒にICカード内のICカード管理手段に送付する(ステップS63)。ICカード内のICカード管理手段は、R1をSPKCを用いて検証し(ステップS64)、正しければ、電子認証手段を利用してC2に対してUPKCに対応する秘密鍵(UPKEY)を用いて暗号化処理を行いレスポンスコード(R2)を生成し、サーバのカード対応領域処理部に対して送付する(ステップS66)。
カード対応領域処理部は、送付されたR2をUPKCを用いて検証し(ステップS67)、正しければICカード管理手段との間で、セキュアチャネルを開設する(ステップS69)。セキュアチャネルが開設されている間、カード対応領域処理部は、外部からのサーバ格納アプリケーションの呼び出しに応答する。
【0026】
ICカードを利用する外部システムは、ICカード管理手段を通して、格納AP情報(AID又はSAID)を用いてカードアプリケーション(AP)を呼び出す(ステップS70)。SAIDが呼び出された場合、ICカード管理手段は、セキュアチャネルを利用して、カード対応領域処理部に対し、外部システムがSAIDを直接呼び出すための一時的な接続許可証(TK)を要求する(ステップS71)。カード対応領域処理部は、TKを作成し、セキュアチャネルを利用してICカード管理手段に返送する(ステップS72)。ICカード管理手段は、外部システムに対して、SID及びTKを送信する(ステップS73)。外部システムは、TKをカード対応領域処理部に直接送信するとともに、SAIDを用いてAPを呼び出す(ステップS74)。カード対応領域処理部は、TKを検証し、自己が発行したTKであれば、APの利用を許可する(ステップS75)。この後、外部システムは、カード対応領域処理部と直接通信することで、APを利用する。
【0027】
図11はICカードを用いないで、サーバをICカードとして利用する場合のシステム構成を示す図であり、図12はその処理の流れを示すフローチャートである。図面を参照しつつ詳細に説明する。
まず、利用者は、利用者装置に対してID、パスワードを入力し、利用者装置は、その情報をサーバのカード対応領域処理部に送信する(ステップS81)。カード対応領域処理部は、受信したID、パスワードを検証し(ステップS82)、正しければ、外部からのサーバ格納APデータの呼び出しに応答する状態になる(ステップS84)。ICカード利用外部システムは、利用者装置に対して、SAIDを用いてカードアプリケーション(AP)を呼び出す(ステップS85)。利用者装置は、外部システムがSAIDを呼び出すためのTKをカード対応領域処理部に対して要求する(ステップS86)。カード対応領域処理部は、TKを作成し、利用者装置に返送する(ステップS87)。利用者装置は、外部システムに対して、SID及びTKを送信する(ステップS88)。外部システムは、TKをサーバのカード対応領域処理部に直接送信するとともに、SAIDを用いてAPデータを呼び出す(ステップS89)。カード対応領域処理部は、TKを検証し、自己が発行したTKであれば、APの利用を許可する(ステップS90)。
この後、外部システムは、カード対応領域処理部と直接通信することで、APを利用することができる。
【0028】
次に、上述のHSMを利用した実施形態について、図面を参照して説明する。HSMは、全ての処理をハードウェア内で行うのでソフトウェアほど汎用的ではないが、ソフトウェアでは解決が難しい真性乱数を用いた鍵の生成や、物理的に安全な場所での鍵の保管の問題に対応が可能であり、暗号処理機能をサーバに代わって提供するため、鍵を利用した演算の安全性向上やサーバの負荷が減るなど、システム全体のセキュリティ及びパフォーマンスの向上を実現することができる。
【0029】
図13は利用者ICカード対応領域処理部が単一のサーバ装置内に実装され、そのうちの暗号処理手段及び利用者ICカード対応領域(データ保持手段)がHSM内に実装される場合を示すものである。
これに対して、図14に示すものは、利用者ICカード対応領域処理部が複数の装置に分かれて実装されている場合を示すものであり、制御手段のうち「ICカード及び外部システム通信処理手段」はサーバ装置にあり、「暗号処理手段」と「データ保持手段」は別の筺体(HSM内蔵装置)に収められたHSM内に実装されている。HSMがサーバ装置と別の筺体に収められているので、交換や増設等の管理が容易になるというメリットがある。
【0030】
サーバ連携型多目的ICカードシステムを連続して稼動させる場合、耐タンパーサーバーの障害に備えて予備系のサーバをあらかじめ用意する必要があるが、セキュリティの低下につながるため現用サーバのHSMに格納された認証鍵を予備系のサーバのHSMに複製することはできない。このため、現用サーバのHSMに障害が発生した場合、当該HSMに認証鍵が格納されている利用者は新たな認証鍵を再交付しない限りサービスを利用できないという問題が生じる。
この問題を回避するため、一人の利用者に対してあらかじめ現用・予備の2つの認証鍵を発行し、2つの認証鍵を現用・予備の2台のHSMにそれぞれ格納しておく。そして、現用の認証鍵を格納しているHSMに障害が発生した場合は、予備系のHSMに格納された認証鍵を用いることにより、利用者はHSMの障害を意識することなく継続してサービスを利用することが可能となる。
以下、現用・予備の認証鍵がそれぞれ格納された2台のHSMの実装の形態について図面を参照して説明する。
【0031】
図15は、図13に示すようなHSMが内蔵されたサーバ装置を2台並列に設置し、サーバ装置監視装置によって現用サーバ(例えばサーバ装置A)の動作を監視し、現用サーバに故障が発生したことを検出したときに、予備系のサーバ(例えばサーバ装置B)に切り替える態様を示すものである。サーバ装置Aに故障が発生したことは、例えば、利用者ICカードとサーバの利用者ICカード対応領域処理部との間のセキュアチャネルにおけるデータの流れを監視することによって判定できる。例えば、データが全く流れていなければサーバ装置Aが故障したと判定し、セキュアチャネルの接続先をサーバ装置Bに切り替える。そして、サーバ装置B内のHSM−Bには予備の認証鍵を含む登録情報SIBと、予備の認証鍵と対応付けられた登録証SPKCBが格納されており、利用者ICカード内のサーバ一体型ICカード管理手段にはSPKCBが格納されているので、サーバ装置Bに切り替えるとすぐにICカードが使用可能になる。つまり、利用者から見れば、サーバ装置が切り替わったことを自覚せずに継続してサービスを受けることが可能になる。
【0032】
図16は単一のサーバ装置に2台のHSMが実装されている態様を示すものであり、図15に示したサーバ装置監視装置の役目を、サーバ装置内の利用者ICカード対応領域処理部にある「ICカード及び外部システム通信処理手段」に含まれるHSM動作監視機能が果たしている。なお、動作的には図15の場合とほぼ同じであるが、全体として機器の占めるスペースが小さくなる反面、サーバ装置自体がダウンしてしまった場合は、ICカードの利用ができなくなるというデメリットもある。
【0033】
図17は、図14に示すような、HSMがサーバとは別の筺体(HSM装置)に収納されている態様の拡張版を示すものである。すなわち、サーバ装置を2台、HSM装置を2台それぞれ設置し、マルチ接続にしたものである。各サーバ装置がそれぞれ2台のHSMに接続されるようになっているので、仮に現用のサーバ装置がダウンしても、予備のサーバ装置に切り替えて現用のHSMに接続すれば、認証鍵の変更も無く継続してサービスを受けることができる。一方、現用のHSM(HSM−A)が故障した場合は予備系のHSM(HSM−B)に接続を切り替えることによって、サービスを継続させることができる。
なお、サーバ装置監視装置がセキュアチャネルのデータ通信が停止されたことを検出したときは、サーバ装置側の故障か、HSM側の故障かの区別ができないので、例えば、以下のようなシーケンスで切り替えるようにしてもよい。
デフォルトで、サーバ装置AとHSM−Aが接続されていたとする。サーバ装置監視装置が異常を検出すると、サーバ装置AとHSM−Bとの接続に切り替える。これで通信が復帰すればHSM−Aの故障と判断できる。これによってもセキュアチャネルの通信が復帰しない場合は、サーバ装置Aの故障と判断し(HSM−Bは使用していないので一応正常と判定する。)、サーバ装置Bへ切り替える。すなわち、サーバ装置BとHSM−Bとの接続となる。これで通信は復帰するはずであるが、万一復帰しない場合は、サーバ装置BとHSM−Aとの接続に切り替えれば復帰する(最初に検出した異常の理由はサーバ装置Aの故障であって、HSM−Aは正常であったと考えられるからである。)。つまり、2台のサーバ装置のうちのいずれかが正常であり、かつ、2台のHSMのうちのいずれかが正常であれば、正常なものどうしの組み合わせは少なくとも一つは存在するので、サービスが中断することはなくなる。
【技術分野】
【0001】
本発明は、既存のICカードシステムを高機能化したICカードシステムに関し、特に、ICカードの機能の一部をサーバ上に設けた個別カード専用エリアに移し、サーバをICカードとして機能させることによって多機能化・高機能化を実現したサーバ一体型ICカードシステムに関する。
【背景技術】
【0002】
現在、住民基本台帳カードをはじめとして、多目的ICカードが徐々に広がりを見せており、多目的ICカードの利便性、経済性が認識されつつある。しかし、その一方で、ICカードの容量や処理能力性能などの制限から、その機能を高機能化することには限界がある。
現在、住民基本台帳カードに搭載されているアプリケーションの一つである公的個人認証サービスが使いづらいとの批判があるが、使い勝手の悪さを改善するためには現在すでに流通しているカードのアプリケーションに対して改良を加える必要がある。しかしながら、すでに流通しているためにこれを実施することは容易ではない。すでに流通しているICカードのオペレーションについては下記特許文献1又は特許文献2に詳細に記載されているので説明は省略する。
【0003】
多目的ICカードを利用する目的の主たるものは、電子認証及び電子署名であるが、以上のような理由から、仮にこれらで利用されている暗号化技術に脆弱性などの問題が発見された場合でも、短期間でそれを改良したものに置き換えることは困難である。
一方、高度にネットワーク通信が発達した今日において、ネットワーク上に設置されたサーバをネットワークに接続された端末装置から操作して、あたかも自分のパソコンのように使用することも可能となった。また、IDやパスワード等で管理することにより、そのサーバの一部を自分専用の仮想マシンとして使用することも可能である。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2001−069140号公報
【特許文献2】特開2005−258878号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
そこで、本発明者等はすでに流通しているICカードの多機能化・高機能化を図るにあたり、ICカードに追加すべき機能をICカード自身にではなく、上記サーバに負担させて実行させ得ることに着目した。
本発明は、上述のような事情に鑑み為されたものであり、ICカードの機能の一部をサーバ上に設けた個別カード専用エリアに移し、サーバをICカードとして機能させることによって多機能化・高機能化を実現したサーバ一体型ICカードシステムを提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明は、ICカードと該ICカードの読み書き手段とを備えた利用者装置と、前記ICカードを発行し管理するICカード発行・管理機関が有する発行・登録装置及びサーバ装置とが、相互に通信可能に接続されたサーバ一体型ICカードシステムに関し、本発明の上記目的は、前記ICカードは、電子認証用公開鍵証明書(UPKC)及びそれと対応する秘密鍵(UPKEY)を備えた電子認証手段と、前記発行・登録装置及びサーバ装置等の外部装置との間のデータ送受信を管理するとともに、ICカード内のデータ管理を行うICカード管理手段とを備え、
前記発行・登録装置は、前記ICカードから送られた利用者ICカード対応領域生成依頼情報と前記電子認証用公開鍵証明書を受信し、前記電子認証用公開鍵証明書に基づいて利用者の認証を行うとともに、前記サーバ装置に対して利用者ICカード対応領域の生成を依頼し、前記サーバ装置から返信された前記利用者ICカード対応領域の登録情報(SI)及び前記利用者ICカード対応領域にアクセスするためのアドレス等を含む領域情報(SID)に基づいて登録証(SPKC)を生成して、前記電子認証用公開鍵証明書とともに前記サーバ装置に送信するサーバ登録証生成手段を備え、
前記サーバ装置は、前記発行・登録装置から送られた前記利用者ICカード対応領域生成依頼情報に基づいて前記利用者ICカード対応領域、前記登録情報及び領域情報を生成する利用者ICカード対応領域生成部と、該利用者ICカード対応領域生成部から送られた前記登録情報及び領域情報を前記利用者ICカード対応領域に格納する処理を行う利用者ICカード対応領域処理部と、前記サーバ登録証生成手段から送られた前記登録証と電子認証用公開鍵証明書とを受信し、前記登録情報と前記登録証との対応付けを検証し、検証結果が正しければ前記登録証と電子認証用公開鍵証明書を前記利用者ICカード対応領域処理部に送り前記ICカード対応領域に格納させる登録証検証部と、を備えるとともに、
前記利用者ICカード対応領域処理部は、前記領域情報及び登録証を前記ICカード管理手段に送り、前記ICカード管理手段に格納することにより、前記利用者ICカード対応領域処理部を前記ICカードと一体化して利用することを可能にしたことを特徴とするサーバ一体型ICカードシステムによって達成される。
【0007】
また、本発明の上記目的は、前記ICカード管理手段と前記利用者ICカード対応領域処理部との間で通信により相互認証を行い、認証が正しく行われたときにセキュアチャネルを開設することによって効果的に達成される。さらに、前記相互認証をワンタイム・パスワードを用いたチャレンジ・レスポンス認証とすることによって、さらに効果的に達成される。
【0008】
さらにまた、本発明の上記目的は、前記利用者ICカード対応領域に、サーバ格納アプリケーション情報(SAID)及びそれに対応したサーバ格納アプリケーションデータ(SAPD)が格納されている場合において、
前記サーバ格納アプリケーションデータを利用する外部システムが前記ICカードのICカード管理手段に対して前記サーバ格納アプリケーション情報を用いて前記サーバ格納アプリケーションデータを呼び出した場合、前記ICカード管理手段は前記利用者ICカード対応領域処理部との間にセキュアチャネルを開設した後に、前記利用者ICカード対応領域処理部に対して、前記外部システムが前記利用者ICカード対応領域処理部から前記サーバ格納アプリケーションデータを直接呼び出すための一時的な接続許可証(TK)を要求し、前記利用者ICカード対応領域処理部が前記一時的な接続許可証を作成して前記セキュアチャネルを介して前記ICカード管理手段に返すと、前記ICカード管理手段は前記領域情報と前記一時的な接続許可証を前記外部システムに送り、前記外部システムは受信した前記一時的な接続許可証と前記サーバ格納アプリケーション情報を前記利用者ICカード対応領域処理部に直接送って前記サーバ格納アプリケーションデータを呼び出し、前記利用者ICカード対応領域処理部は、受信した前記一時的な接続許可証を検証し、自己が発行した許可証であれば前記外部システムに対して前記サーバ格納アプリケーションデータの利用を許可することを特徴とする前記サーバ一体型ICカードシステムによって、さらに効果的に達成される。
【発明の効果】
【0009】
これにより、従来問題となっていたカードアプリケーションの高機能化、アプリケーションの管理等の容易化が実現できるだけでなく、従来のカードでは容量の問題から困難であった、個人が有する様々な権利の利活用に新多目的ICカードシステムを利用することができる。
本発明の更なる効果は、このようなシステムにより、ネットワーク上のあらゆる場所から各個人が所有する様々な権利を保障することができることである。
また、本発明の好ましい実施の形態によれば、セキュアな領域である利用者ICカード対応領域や利用者ICカード対応領域処理部の暗号処理機能をハードウェア・セキュリティ・モジュールに実装することにより、さらにセキュリティが向上する。
【図面の簡単な説明】
【0010】
【図1】本発明に係るICカードシステムの基本的な構成を示す図である。
【図2】ICカードごとに設定される利用者ICカード対応領域をサーバ内に設定し、それを登録する仕組みを説明するための図である。
【図3】ICカード対応領域の登録の手順を示すフローチャートである。
【図4】利用者ICカード対応領域処理部の構成を示す図である。
【図5】アプリケーション提供装置から、利用者ICカード対応領域にアプリケーションデータ(SAPD)を登録するためのシステム構成図である。
【図6】アプリケーションデータをサーバに登録するときの手順を示すフローチャートである。
【図7】ICカードを利用する外部システムがサーバからAPデータを呼び出す場合のシステム構成(その1)を示す図である。
【図8】図7のシステムの処理の流れを示すフローチャートである。
【図9】ICカードを利用する外部システムがサーバからAPデータを呼び出す場合のシステム構成(その2)を示す図である。
【図10】図9のシステムの処理の流れを示すフローチャートである。
【図11】ICカードを用いないで、サーバをICカードとして利用する場合のシステム構成を示す図である。
【図12】図11のシステムの処理の流れを示すフローチャートである。
【図13】利用者ICカード対応領域処理部が単一のサーバ装置内に実装される場合であって、暗号処理手段及びデータ保持機能がハードウェア・セキュリティ・モジュール(HSM)内に実装される例を示すものである。
【図14】利用者ICカード対応領域処理部が複数の装置に分かれて実装される場合であって、暗号処理手段及びデータ保持機能が別の筺体に収められたHSM装置内のHSM内に実装される例を示すものである。
【図15】図13に示すサーバ装置を複数設置し、一方が故障した場合に他方に切り替えて使用できるように構成したものである。
【図16】図13におけるHSM実装部分を、単一サーバ装置内に2個配置し、一方が故障した場合に他方に切り替えて使用できるように構成したものである。
【図17】図14に示すサーバ装置とHSMを内蔵するHSM装置をそれぞれ2個ずつ設置し、4通りの接続の組み合わせによって使用できるようにしたものである。
【発明を実施するための形態】
【0011】
本発明に係るICカードシステムは、現在の多目的ICカードの機能の一部をネットワーク上に配備されたサーバ側で実現し、サーバ上に各個人のICカードと1対1に結び付けられたカード個別の専用エリアを設け、ICカードを利用してサーバの専用エリアにアクセスすることで、外部からはあたかも1つの多機能型ICカードのように動作させるものである。このようにすることにより、ICカード本体には手を加えることなく、ICカードの高機能化・多機能化を図ることが可能となる。
【0012】
以下、本発明の実施形態について図面を参照しつつ詳細に説明する。
図1は本発明に係るICカードシステムの基本的な構成を示す図である。図に示すように、利用者ICカード(以下、単にICカードという。)、ICカードの読み書き手段であるリーダライタ、及び外部との通信手段(図示せず)を備えた利用者装置と、ICカードを発行し管理するICカード発行・管理機関が有する登録・発行装置及びICカードと連携してICカードの機能の一部をネットワーク上で実現するサーバ装置(以下、サーバという。)とが、相互に通信可能に接続されている。利用者装置と発行・登録装置及びサーバとの間の通信はインターネット等の公衆回線を利用して行うことができる。また、発行・登録装置とサーバとの間の通信は専用回線または公衆回線のいずれでも構わない。
【0013】
ICカード内には利用者の本人認証及びカードが正規のものであるかの認証を行うカード認証を行う電子認証手段と、サーバと一体となってあたかも一つのICカードとして動作させるための様々な制御を行うサーバ一体型ICカード管理手段(従来のICカードのカードマネージャのソフトウェアをバージョンアップさせたものに相当する。以下、ICカード管理手段という。)が格納されている。
【0014】
発行・登録装置は、発行するICカードに電子認証用公開鍵証明書(UPKC)及びそれと対応する秘密鍵(UPKEY)を格納し、それをデータベースに格納して管理を行うICカード発行・管理手段、サーバとICカードの関連付けを行い、サーバの中に設けられたICカードごとのセキュアな領域(データ保持機能を有しており、これを、利用者ICカード対応領域と称する。)の領域情報(SID)と領域秘密鍵・公開鍵を含む登録情報(SI)に基づいて利用者ICカード対応領域登録証(SPKC)を生成するサーバ登録証生成手段とを備えている。
【0015】
また、サーバは、発行・登録装置からの依頼により利用者ICカード対応領域を生成し、領域秘密鍵・公開鍵を含む登録情報(SI)、及び利用者ICカード対応領域にアクセスするためのアドレス等を含む領域情報(SID)を生成する利用者ICカード対応領域生成部と、SPKCとSIとの対応付けを検証する登録証検証部と、利用者ICカード対応領域への各種情報(詳細は後述)の出し入れを処理する(図示しない)制御手段を備えており、上述の利用者ICカード対応領域と制御手段とで利用者ICカード対応領域処理部を構成している。また、制御手段は、「ICカード及び外部システム通信処理手段」と「暗号処理手段」を備えている。なお、後述のように、利用者ICカード対応領域処理部は、ICカードと一対一のセキュアチャネルで接続される。
【0016】
図2は、本発明に係るICカードシステムの特徴である、各ICカードごとに設定される利用者ICカード対応領域をサーバ内に設定し、それを登録する仕組みを説明するための図である。図3はその手順を示すフローチャートであり、図面に基づいて説明する。
[利用者ICカード対応領域の登録時の処理]
ICカードからは、UPKCを発行・登録装置に送付し、利用者ICカード対応領域の生成を依頼する(ステップS1)。発行・登録装置は、利用者ICカード対応領域の生成要求を受けると、UPKCを利用してICカードの認証を行い(ステップS2)、正しければ(ステップS3の“YES”)、サーバに利用者ICカード対応領域生成を依頼する(ステップS4)。サーバは、利用者ICカード対応領域生成部において利用者ICカード対応領域を生成し、領域秘密鍵・公開鍵を含む登録情報(SI)を生成し、利用者ICカード対応領域にアクセスするためのアドレス等を含む領域情報(SID)と共に発行・登録装置に送信する(ステップS5)。このとき、SI及びSIDは利用者ICカード対応領域に格納される。
発行・登録装置は、利用者ICカード対応領域登録証(SPKC)を生成し、UPKCとともに、サーバへ送付する(ステップS6)。
サーバは、登録証検証部においてSPKCとSIとの対応付けを検証し(ステップS7)、正しければ、利用者ICカード対応領域に、SPKC及びUPKCを格納する(ステップS8)。
サーバの利用者ICカード対応領域処理部は、多目的ICカードのカード管理機能(従来技術)を利用して、ICカード管理手段(プログラム)を利用者ICカードに格納し(又は新規ICカードの場合は製造時にインストールしてもよい。)、SID及びSPKCをICカードに送り(ステップS9)、ICカード管理手段に格納する(ステップS10)。
【0017】
図4は利用者ICカード対応領域処理部の構成を示す図であり、利用者ICカードごとにセキュアチャネルで結ばれた領域(セキュア 動作部すなわち、利用者ICカード対応領域処理部)が設けられていることを示している。セキュア動作部にある格納アプリとは、当該ICカードでの使用が許可されているアプリケーションプログラムであり、ICカードごとに設定される。また、格納データとは、登録情報(SI)、領域情報(SID)、利用者ICカード対応領域登録証(SPKC)、公開鍵証明書(UPKC)、サーバ格納アプリケーション情報(SAID)等である。
【0018】
この利用者ICカード対応領域処理部は、鍵情報を安全に管理し、利用者に応じたソフトウエアコンポーネントの導入・運用、利用者情報の安全な保管・運用を行うものである。
ICカード等は、内部の動作や処理手順が外部に漏れると一般にセキュリティが確保できなくなって困るので、機器や回路の中身が外部からは分析しにくくすることが多い。こうした、内部解析(リバース・エンジニアリング)や改変に対する防護力のことを耐タンパ性と呼ぶが、ICカードは耐タンパ性を担保することが必要とされるため、この部分は、個別のCPUを持つセキュアマシンと同等の安全性を有するセキュア仮想マシンを(各利用者に仮想的なCPUを割り当てる)をサーバ内で動作させ、その上で実現する。
さらに、強固な安全性を確保するには、実際に、物理的に独立したCPUを有するセキュアマシン(例えば、ハードウェア・セキュリティ・モジュール(以下「HSM」という。)の利用が考えられる。)を個別のICカードごとに用意し、その上で処理を実行させてもよい。HSMの利用については後述する。
このように、利用者ICカード対応領域処理部は、利用者ICカードとセキュアチャネルで接続され、外部からの接続・命令などは、基本的に利用者ICカード経由で行われる。
【0019】
図5は、ICカードアプリケーション(AP)を用いた各種サービスを提供するサービス提供者(例えば、デパート、ガソリンスタンド、会員制スポーツクラブ等である。)の保有・管理するAP提供装置から、利用者ICカード対応領域にAPデータを登録するためのシステム構成図であり、図6はAP登録の手順を示すフローチャートである。図面を参照しつつ詳細に説明する。
[AP登録時の処理]
まず、利用者は、ICカードを利用者装置のリーダライタに挿入する(ステップS11)。ICカード内のICカード管理手段は、チャレンジコード(C1)を生成しサーバの利用者ICカード対応領域処理部(以下、カード対応領域処理部という。)に対して送付して接続要求を行う(ステップS12)。
カード対応領域処理部は、ICカードから送られたC1に対してSPKCに対応する秘密鍵を用いて暗号化処理を行い、レスポンスコード(R1)を生成する(ステップS13)。同時に、チャレンジコード(C2)を生成し、R1と一緒にしてICカード内のICカード管理手段に送付する(ステップS14)。
【0020】
ICカード内のICカード管理手段は、R1をSPKCを用いて検証し(ステップS15)、正しければ、電子認証手段(電子認証用アプリケーション)を利用して、C2に対してUPKCに対応する秘密鍵(UPKEY)を用いて暗号化処理を行いレスポンスコード(R2)を生成し、サーバのカード対応領域処理部に対して送付する(ステップS17)。
カード対応領域処理部は、送付されたR2をUPKCを用いて検証し(ステップS18)、正しければICカード管理手段との間で、セキュアチャネルを開設する(ステップS20)。カード対応領域処理部は、セキュアチャネル以外からのアプリケーション呼び出しには応答しない。
サーバは、SPKC、SAIDをAP提供装置に送信する(ステップS21)。AP提供装置は、証明書検証部において、SPKCを検証する。同時に領域検証部は、サーバからSAIDを取得し、その正当性を検証する(ステップS22)。両方の検証結果が正しければ、証明書作成部において、SAIDを含むサーバ格納データ要求証(DLR)を作成し、発行・登録装置に送信する(ステップS24)。
【0021】
発行・登録装置は、証明書検証部においてDLRを検証する。同時に、SAIDをAP検証部においてその正当性を検証する(ステップS25)。その両方の検証結果が正しければSAIDに対して証明書作成部において、格納許可証(DLP)を生成し、当該DLPをAP提供装置に送信する(ステップS27)。同時に証明書作成部は、サーバに対するAPの格納情報をICカード管理のための登録データベースに格納するため、登録DBに対してSPKC及びSAIDを通知する。
AP提供装置は、証明書検証部においてDLPを検証し(ステップS28)、検証結果が正しければ、サーバにDLPを送付する。同時に登録DBより、SAIDに対応するサーバ格納APデータ(SAPD)をサーバに送信する(ステップS30)。
【0022】
サーバは、証明書検証部において、DLPを検証し、なんらかの手法により、受領したSAPDとSAIDとの対応付けをデータ確認部を用いて検証し(ステップS31)、検証結果が正しければSAPDをカード対応領域処理部に格納する(ステップS33)。なお、サーバにおいて、SAPDを格納する代わりに、既に、カード対応領域処理部内にあるSAPDを削除することも同様の処理によって可能である。ICカードのICカード管理手段に、SAIDを格納することも可能とする。
このような、AP登録方法を取ることにより、発行・登録装置は、サーバに搭載されるSAPDの実体を取得する必要がないため、SAPDに格納される可能性のある個人情報等を発行・登録装置に対して秘匿することが可能となる。
サーバ内のカード対応領域処理部の管理は発行・登録装置によって行われるが、AP提供装置を運用する組織は、発行・登録装置を管理する組織とは異なる場合が考えられる。このとき、発行・登録装置を管理する組織は、DLPの発行情報に基づき、サーバの使用料等をAP提供装置を運用する組織に要求することが可能である。
【0023】
図7はICカードを利用する外部システムがサーバからAPデータを呼び出す場合のシステム構成(その1)を示す図であり、図8はその処理の流れを示すフローチャートである。図面を参照しつつ詳細に説明する。
まず、利用者は、ICカードを利用者装置に挿入する(ステップS41)。ICカード内のICカード管理手段は、チャレンジコード(C1)を生成し、サーバのカード対応領域処理部に対して送付及び接続要求を行う(ステップS42)。カード対応領域処理部は、ICカードから送られたC1に対してSPKCに対応する秘密鍵を用いて暗号化処理を行い、レスポンスコード(R1)を生成する。同時に、チャレンジコード(C2)を生成し、これらを一緒にしてICカード内のICカード管理手段に送付する(ステップS43)。
ICカード内のICカード管理手段は、R1をSPKCを用いて検証し(ステップS44)、正しければ、電子認証手段を利用して、C2に対してUPKCに対応する秘密鍵(UPKEY)を用いて暗号化処理を行いレスポンスコード(R2)を生成し、サーバのカード対応領域処理部に対して送付する(ステップS46)。
カード対応領域処理部は、送付されたR2をUPKCを用いて検証し(ステップS47)、正しければICカード管理手段との間で、セキュアチャネルを開設する(ステップS49)。カード対応領域処理部は、セキュアチャネル以外からのアプリケーション呼び出しには応答しない。
【0024】
ICカードを利用する外部システムは、ICカード管理手段を通して、格納AP情報(AID又はSAID)を用いてカードアプリケーション(AP)をサーバから呼び出す(ステップS50)。ICカード管理手段にSAIDが格納されていない場合には、セキュアチャネルを利用して、外部システムから呼び出されたSAIDをカード対応領域処理部に転送する。呼び出されたSAIDがサーバに存在しない場合には、エラーを返す(ステップS51)。サーバ側で動作するカードアプリケーションとICカード利用外部システムとの間の通信は、すべてセキュアチャネルを通してICカードで中継されるため、ICカード利用外部システムは、ICカードのみを意識すればよい。
【0025】
図9はICカードを利用する外部システムがサーバからAPデータを呼び出す場合のシステム構成(その2)を示す図であり、図10はその処理の流れを示すフローチャートである。図面を参照しつつ詳細に説明する。
まず、利用者は、ICカードを利用者装置に挿入する(ステップS61)。次に、ICカード内のICカード管理手段は、チャレンジコード(C1)を生成し、サーバのカード対応領域処理部に対して送付及び接続要求を行う(ステップS62)。カード対応領域処理部は、ICカードから送られたC1に対してSPKCに対応する秘密鍵を用いて暗号化処理を行いレスポンスコード(R1)を生成する。同時に、チャレンジコード(C2)を生成し、これらを一緒にICカード内のICカード管理手段に送付する(ステップS63)。ICカード内のICカード管理手段は、R1をSPKCを用いて検証し(ステップS64)、正しければ、電子認証手段を利用してC2に対してUPKCに対応する秘密鍵(UPKEY)を用いて暗号化処理を行いレスポンスコード(R2)を生成し、サーバのカード対応領域処理部に対して送付する(ステップS66)。
カード対応領域処理部は、送付されたR2をUPKCを用いて検証し(ステップS67)、正しければICカード管理手段との間で、セキュアチャネルを開設する(ステップS69)。セキュアチャネルが開設されている間、カード対応領域処理部は、外部からのサーバ格納アプリケーションの呼び出しに応答する。
【0026】
ICカードを利用する外部システムは、ICカード管理手段を通して、格納AP情報(AID又はSAID)を用いてカードアプリケーション(AP)を呼び出す(ステップS70)。SAIDが呼び出された場合、ICカード管理手段は、セキュアチャネルを利用して、カード対応領域処理部に対し、外部システムがSAIDを直接呼び出すための一時的な接続許可証(TK)を要求する(ステップS71)。カード対応領域処理部は、TKを作成し、セキュアチャネルを利用してICカード管理手段に返送する(ステップS72)。ICカード管理手段は、外部システムに対して、SID及びTKを送信する(ステップS73)。外部システムは、TKをカード対応領域処理部に直接送信するとともに、SAIDを用いてAPを呼び出す(ステップS74)。カード対応領域処理部は、TKを検証し、自己が発行したTKであれば、APの利用を許可する(ステップS75)。この後、外部システムは、カード対応領域処理部と直接通信することで、APを利用する。
【0027】
図11はICカードを用いないで、サーバをICカードとして利用する場合のシステム構成を示す図であり、図12はその処理の流れを示すフローチャートである。図面を参照しつつ詳細に説明する。
まず、利用者は、利用者装置に対してID、パスワードを入力し、利用者装置は、その情報をサーバのカード対応領域処理部に送信する(ステップS81)。カード対応領域処理部は、受信したID、パスワードを検証し(ステップS82)、正しければ、外部からのサーバ格納APデータの呼び出しに応答する状態になる(ステップS84)。ICカード利用外部システムは、利用者装置に対して、SAIDを用いてカードアプリケーション(AP)を呼び出す(ステップS85)。利用者装置は、外部システムがSAIDを呼び出すためのTKをカード対応領域処理部に対して要求する(ステップS86)。カード対応領域処理部は、TKを作成し、利用者装置に返送する(ステップS87)。利用者装置は、外部システムに対して、SID及びTKを送信する(ステップS88)。外部システムは、TKをサーバのカード対応領域処理部に直接送信するとともに、SAIDを用いてAPデータを呼び出す(ステップS89)。カード対応領域処理部は、TKを検証し、自己が発行したTKであれば、APの利用を許可する(ステップS90)。
この後、外部システムは、カード対応領域処理部と直接通信することで、APを利用することができる。
【0028】
次に、上述のHSMを利用した実施形態について、図面を参照して説明する。HSMは、全ての処理をハードウェア内で行うのでソフトウェアほど汎用的ではないが、ソフトウェアでは解決が難しい真性乱数を用いた鍵の生成や、物理的に安全な場所での鍵の保管の問題に対応が可能であり、暗号処理機能をサーバに代わって提供するため、鍵を利用した演算の安全性向上やサーバの負荷が減るなど、システム全体のセキュリティ及びパフォーマンスの向上を実現することができる。
【0029】
図13は利用者ICカード対応領域処理部が単一のサーバ装置内に実装され、そのうちの暗号処理手段及び利用者ICカード対応領域(データ保持手段)がHSM内に実装される場合を示すものである。
これに対して、図14に示すものは、利用者ICカード対応領域処理部が複数の装置に分かれて実装されている場合を示すものであり、制御手段のうち「ICカード及び外部システム通信処理手段」はサーバ装置にあり、「暗号処理手段」と「データ保持手段」は別の筺体(HSM内蔵装置)に収められたHSM内に実装されている。HSMがサーバ装置と別の筺体に収められているので、交換や増設等の管理が容易になるというメリットがある。
【0030】
サーバ連携型多目的ICカードシステムを連続して稼動させる場合、耐タンパーサーバーの障害に備えて予備系のサーバをあらかじめ用意する必要があるが、セキュリティの低下につながるため現用サーバのHSMに格納された認証鍵を予備系のサーバのHSMに複製することはできない。このため、現用サーバのHSMに障害が発生した場合、当該HSMに認証鍵が格納されている利用者は新たな認証鍵を再交付しない限りサービスを利用できないという問題が生じる。
この問題を回避するため、一人の利用者に対してあらかじめ現用・予備の2つの認証鍵を発行し、2つの認証鍵を現用・予備の2台のHSMにそれぞれ格納しておく。そして、現用の認証鍵を格納しているHSMに障害が発生した場合は、予備系のHSMに格納された認証鍵を用いることにより、利用者はHSMの障害を意識することなく継続してサービスを利用することが可能となる。
以下、現用・予備の認証鍵がそれぞれ格納された2台のHSMの実装の形態について図面を参照して説明する。
【0031】
図15は、図13に示すようなHSMが内蔵されたサーバ装置を2台並列に設置し、サーバ装置監視装置によって現用サーバ(例えばサーバ装置A)の動作を監視し、現用サーバに故障が発生したことを検出したときに、予備系のサーバ(例えばサーバ装置B)に切り替える態様を示すものである。サーバ装置Aに故障が発生したことは、例えば、利用者ICカードとサーバの利用者ICカード対応領域処理部との間のセキュアチャネルにおけるデータの流れを監視することによって判定できる。例えば、データが全く流れていなければサーバ装置Aが故障したと判定し、セキュアチャネルの接続先をサーバ装置Bに切り替える。そして、サーバ装置B内のHSM−Bには予備の認証鍵を含む登録情報SIBと、予備の認証鍵と対応付けられた登録証SPKCBが格納されており、利用者ICカード内のサーバ一体型ICカード管理手段にはSPKCBが格納されているので、サーバ装置Bに切り替えるとすぐにICカードが使用可能になる。つまり、利用者から見れば、サーバ装置が切り替わったことを自覚せずに継続してサービスを受けることが可能になる。
【0032】
図16は単一のサーバ装置に2台のHSMが実装されている態様を示すものであり、図15に示したサーバ装置監視装置の役目を、サーバ装置内の利用者ICカード対応領域処理部にある「ICカード及び外部システム通信処理手段」に含まれるHSM動作監視機能が果たしている。なお、動作的には図15の場合とほぼ同じであるが、全体として機器の占めるスペースが小さくなる反面、サーバ装置自体がダウンしてしまった場合は、ICカードの利用ができなくなるというデメリットもある。
【0033】
図17は、図14に示すような、HSMがサーバとは別の筺体(HSM装置)に収納されている態様の拡張版を示すものである。すなわち、サーバ装置を2台、HSM装置を2台それぞれ設置し、マルチ接続にしたものである。各サーバ装置がそれぞれ2台のHSMに接続されるようになっているので、仮に現用のサーバ装置がダウンしても、予備のサーバ装置に切り替えて現用のHSMに接続すれば、認証鍵の変更も無く継続してサービスを受けることができる。一方、現用のHSM(HSM−A)が故障した場合は予備系のHSM(HSM−B)に接続を切り替えることによって、サービスを継続させることができる。
なお、サーバ装置監視装置がセキュアチャネルのデータ通信が停止されたことを検出したときは、サーバ装置側の故障か、HSM側の故障かの区別ができないので、例えば、以下のようなシーケンスで切り替えるようにしてもよい。
デフォルトで、サーバ装置AとHSM−Aが接続されていたとする。サーバ装置監視装置が異常を検出すると、サーバ装置AとHSM−Bとの接続に切り替える。これで通信が復帰すればHSM−Aの故障と判断できる。これによってもセキュアチャネルの通信が復帰しない場合は、サーバ装置Aの故障と判断し(HSM−Bは使用していないので一応正常と判定する。)、サーバ装置Bへ切り替える。すなわち、サーバ装置BとHSM−Bとの接続となる。これで通信は復帰するはずであるが、万一復帰しない場合は、サーバ装置BとHSM−Aとの接続に切り替えれば復帰する(最初に検出した異常の理由はサーバ装置Aの故障であって、HSM−Aは正常であったと考えられるからである。)。つまり、2台のサーバ装置のうちのいずれかが正常であり、かつ、2台のHSMのうちのいずれかが正常であれば、正常なものどうしの組み合わせは少なくとも一つは存在するので、サービスが中断することはなくなる。
【特許請求の範囲】
【請求項1】
ICカードと該ICカードの読み書き手段とを備えた利用者装置と、
前記ICカードを発行し管理するICカード発行・管理機関が有する発行・登録装置及びサーバ装置とが、相互に通信可能に接続されたサーバ一体型ICカードシステムであって、
前記ICカードは、
電子認証用公開鍵証明書(UPKC)及びそれと対応する秘密鍵(UPKEY)を備えた電子認証手段と、
前記発行・登録装置及びサーバ装置等の外部装置との間のデータ送受信を管理するとともに、ICカード内のデータ管理を行うICカード管理手段とを備え、
前記発行・登録装置は、
前記ICカードから送られた利用者ICカード対応領域生成依頼情報と前記電子認証用公開鍵証明書を受信し、前記電子認証用公開鍵証明書に基づいて利用者の認証を行うとともに、前記サーバ装置に対して利用者ICカード対応領域の生成を依頼し、前記サーバ装置から返信された前記利用者ICカード対応領域の登録情報(SI)及び前記利用者ICカード対応領域にアクセスするためのアドレス等を含む領域情報(SID)に基づいて登録証(SPKC)を生成して、前記電子認証用公開鍵証明書とともに前記サーバ装置に送信するサーバ登録証生成手段を備え、
前記サーバ装置は、
前記発行・登録装置から送られた前記利用者ICカード対応領域生成依頼情報に基づいて前記利用者ICカード対応領域、前記登録情報及び領域情報を生成する利用者ICカード対応領域生成部と、
該利用者ICカード対応領域生成部から送られた前記登録情報及び領域情報を前記利用者ICカード対応領域に格納する処理を行う利用者ICカード対応領域処理部と、
前記サーバ登録証生成手段から送られた前記登録証と電子認証用公開鍵証明書とを受信し、前記登録情報と前記登録証との対応付けを検証し、検証結果が正しければ前記登録証と電子認証用公開鍵証明書を前記利用者ICカード対応領域処理部に送り前記ICカード対応領域に格納させる登録証検証部と、を備えるとともに、
前記利用者ICカード対応領域処理部は、前記領域情報及び登録証を前記ICカード管理手段に送り、前記ICカード管理手段に格納することにより、前記利用者ICカード対応領域処理部を前記ICカードと一体化して利用することを可能にしたことを特徴とするサーバ一体型ICカードシステム。
【請求項2】
前記ICカード管理手段と前記利用者ICカード対応領域処理部との間で通信により相互認証を行い、認証が正しく行われたときにセキュアチャネルを開設することを特徴とする請求項1に記載のサーバ一体型ICカードシステム。
【請求項3】
前記相互認証がワンタイム・パスワードを用いたチャレンジ・レスポンス認証であることを特徴とする請求項2に記載のサーバ一体型ICカードシステム。
【請求項4】
前記利用者ICカード対応領域に、サーバ格納アプリケーション情報(SAID)及びそれに対応したサーバ格納アプリケーションデータ(SAPD)が格納されている場合において、
前記サーバ格納アプリケーションデータを利用する外部システムが前記ICカードのICカード管理手段に対して前記サーバ格納アプリケーション情報を用いて前記サーバ格納アプリケーションデータを呼び出した場合、
前記ICカード管理手段は前記利用者ICカード対応領域処理部との間にセキュアチャネルを開設した後に、前記利用者ICカード対応領域処理部に対して、前記外部システムが前記利用者ICカード対応領域処理部から前記サーバ格納アプリケーションデータを直接呼び出すための一時的な接続許可証(TK)を要求し、
前記利用者ICカード対応領域処理部が前記一時的な接続許可証を作成して前記セキュアチャネルを介して前記ICカード管理手段に返すと、
前記ICカード管理手段は前記領域情報と前記一時的な接続許可証を前記外部システムに送り、
前記外部システムは受信した前記一時的な接続許可証と前記サーバ格納アプリケーション情報を前記利用者ICカード対応領域処理部に直接送って前記サーバ格納アプリケーションデータを呼び出し、
前記利用者ICカード対応領域処理部は、受信した前記一時的な接続許可証を検証し、自己が発行した許可証であれば前記外部システムに対して前記サーバ格納アプリケーションデータの利用を許可することを特徴とする請求項2又は3に記載のサーバ一体型ICカードシステム。
【請求項5】
前記利用者ICカード対応領域処理部は、データ保持機能を有する利用者ICカード対応領域と、ICカード及び外部システム通信処理手段並びに暗号処理手段を有する制御手段とを含み、
前記利用者ICカード対応領域及び前記暗号処理手段が前記サーバ装置に内蔵されたハードウェア・セキュリティ・モジュール(HSM)に実装されていることを特徴とする請求項1乃至4のいずれかに記載のサーバ一体型ICカードシステム。
【請求項6】
前記利用者ICカード対応領域処理部は、データ保持機能を有する利用者ICカード対応領域と、ICカード及び外部システム通信処理手段と暗号処理手段とを有する制御手段とを含み、
前記利用者ICカード対応領域及び前記暗号処理手段が前記サーバ装置とは別に設けられたHSM内蔵装置に内蔵されたHSMに実装されていることを特徴とする請求項1乃至4のいずれかに記載のサーバ一体型ICカードシステム。
【請求項7】
前記サーバ装置を2台配置して並列接続し、前記2台のサーバ装置のうちの1台を通常使用する現用サーバ装置とし、残りのサーバ装置を予備用サーバ装置とするとともに、
前記予備用サーバ装置の利用者ICカード対応領域は予備の領域秘密鍵を含む登録情報(SI)と、該予備の領域秘密鍵に対応付けられた登録証(SPKC)を含み、かつ、該予備の登録証は前記利用者ICカードの中のサーバ一体型ICカード管理手段にも格納され、さらに、
前記各サーバ装置と前記利用者装置の間にはサーバ装置監視装置が挿入され、前記現用サーバ装置と前記利用者装置との間の通信異常を検出すると、前記サーバ装置監視装置が前記現用サーバ装置を前記予備用サーバ装置に切り替えることを特徴とする請求項5に記載のサーバ一体型ICカードシステム。
【請求項8】
前記利用者ICカード対応領域及び前記暗号処理手段が実装された前記HSMが2台前記サーバ装置内に配置され、前記ICカード及び外部システム通信処理手段を介して前記利用者装置とそれぞれ接続されるとともに、
前記2台のHSMのうち一方を現用のHSM(HSM−A),他方を予備用のHSM(HSM−B)として、該予備用のHSM内の利用者ICカード対応領域は予備の領域秘密鍵を含む登録情報(SIB)と、該予備の領域秘密鍵に対応付けられた登録証(SPKCB)を含み、かつ、該予備の登録証(SPKCB)は前記利用者ICカードの中のサーバ一体型ICカード管理手段にも格納され、さらに、
前記ICカード及び外部システム通信処理手段に含まれるHSM動作監視機能が前記現用HSMと前記利用者装置との間の通信異常を検出すると、前記HSM動作監視機能が前記現用HSM(HSM−A)を前記予備用HSM(HSM−B)に切り替えることを特徴とする請求項5に記載のサーバ一体型ICカードシステム。
【請求項9】
前記サーバ装置を2台設置し、一方を現用、他方を予備用にそれぞれ割り当て、
前記HSM内蔵装置を2台配置し、一方を現用、他方を予備用にそれぞれ割り当てるとともに、
前記現用のサーバ装置(A)と、前記現用のHSM内蔵装置(A)及び前記予備用HSM内蔵装置(B)を接続し、
前記予備用のサーバ装置(B)と、前記現用のHSM内蔵装置(A)及び前記予備用HSM内蔵装置(B)を接続し、さらに、
前記現用のサーバ装置(A)及び予備用のサーバ装置(B)はサーバ装置監視装置を介して前記利用者装置と接続されており、
前記予備用HSM内蔵装置(B)内のHSM(HSM−B)内の利用者ICカード対応領域は予備の領域秘密鍵を含む登録情報(SIB)と、該予備の領域秘密鍵に対応付けられた登録証(SPKCB)を含み、かつ、該予備の登録証(SPKCB)は前記利用者ICカードの中のサーバ一体型ICカード管理手段にも格納され、
前記サーバ装置監視装置が、前記現用サーバ装置(A)又は前記予備用サーバ装置(B)と前記利用者装置との間の通信異常を検出すると、前記現用サーバ装置(A)又は前記予備用サーバ装置(B)と、前記現用のHSM内蔵装置(A)又は前記予備用HSM内蔵装置(B)との接続を所定のシーケンスに従って切り替えることを特徴とする請求項6に記載のサーバ一体型ICカードシステム。
【請求項1】
ICカードと該ICカードの読み書き手段とを備えた利用者装置と、
前記ICカードを発行し管理するICカード発行・管理機関が有する発行・登録装置及びサーバ装置とが、相互に通信可能に接続されたサーバ一体型ICカードシステムであって、
前記ICカードは、
電子認証用公開鍵証明書(UPKC)及びそれと対応する秘密鍵(UPKEY)を備えた電子認証手段と、
前記発行・登録装置及びサーバ装置等の外部装置との間のデータ送受信を管理するとともに、ICカード内のデータ管理を行うICカード管理手段とを備え、
前記発行・登録装置は、
前記ICカードから送られた利用者ICカード対応領域生成依頼情報と前記電子認証用公開鍵証明書を受信し、前記電子認証用公開鍵証明書に基づいて利用者の認証を行うとともに、前記サーバ装置に対して利用者ICカード対応領域の生成を依頼し、前記サーバ装置から返信された前記利用者ICカード対応領域の登録情報(SI)及び前記利用者ICカード対応領域にアクセスするためのアドレス等を含む領域情報(SID)に基づいて登録証(SPKC)を生成して、前記電子認証用公開鍵証明書とともに前記サーバ装置に送信するサーバ登録証生成手段を備え、
前記サーバ装置は、
前記発行・登録装置から送られた前記利用者ICカード対応領域生成依頼情報に基づいて前記利用者ICカード対応領域、前記登録情報及び領域情報を生成する利用者ICカード対応領域生成部と、
該利用者ICカード対応領域生成部から送られた前記登録情報及び領域情報を前記利用者ICカード対応領域に格納する処理を行う利用者ICカード対応領域処理部と、
前記サーバ登録証生成手段から送られた前記登録証と電子認証用公開鍵証明書とを受信し、前記登録情報と前記登録証との対応付けを検証し、検証結果が正しければ前記登録証と電子認証用公開鍵証明書を前記利用者ICカード対応領域処理部に送り前記ICカード対応領域に格納させる登録証検証部と、を備えるとともに、
前記利用者ICカード対応領域処理部は、前記領域情報及び登録証を前記ICカード管理手段に送り、前記ICカード管理手段に格納することにより、前記利用者ICカード対応領域処理部を前記ICカードと一体化して利用することを可能にしたことを特徴とするサーバ一体型ICカードシステム。
【請求項2】
前記ICカード管理手段と前記利用者ICカード対応領域処理部との間で通信により相互認証を行い、認証が正しく行われたときにセキュアチャネルを開設することを特徴とする請求項1に記載のサーバ一体型ICカードシステム。
【請求項3】
前記相互認証がワンタイム・パスワードを用いたチャレンジ・レスポンス認証であることを特徴とする請求項2に記載のサーバ一体型ICカードシステム。
【請求項4】
前記利用者ICカード対応領域に、サーバ格納アプリケーション情報(SAID)及びそれに対応したサーバ格納アプリケーションデータ(SAPD)が格納されている場合において、
前記サーバ格納アプリケーションデータを利用する外部システムが前記ICカードのICカード管理手段に対して前記サーバ格納アプリケーション情報を用いて前記サーバ格納アプリケーションデータを呼び出した場合、
前記ICカード管理手段は前記利用者ICカード対応領域処理部との間にセキュアチャネルを開設した後に、前記利用者ICカード対応領域処理部に対して、前記外部システムが前記利用者ICカード対応領域処理部から前記サーバ格納アプリケーションデータを直接呼び出すための一時的な接続許可証(TK)を要求し、
前記利用者ICカード対応領域処理部が前記一時的な接続許可証を作成して前記セキュアチャネルを介して前記ICカード管理手段に返すと、
前記ICカード管理手段は前記領域情報と前記一時的な接続許可証を前記外部システムに送り、
前記外部システムは受信した前記一時的な接続許可証と前記サーバ格納アプリケーション情報を前記利用者ICカード対応領域処理部に直接送って前記サーバ格納アプリケーションデータを呼び出し、
前記利用者ICカード対応領域処理部は、受信した前記一時的な接続許可証を検証し、自己が発行した許可証であれば前記外部システムに対して前記サーバ格納アプリケーションデータの利用を許可することを特徴とする請求項2又は3に記載のサーバ一体型ICカードシステム。
【請求項5】
前記利用者ICカード対応領域処理部は、データ保持機能を有する利用者ICカード対応領域と、ICカード及び外部システム通信処理手段並びに暗号処理手段を有する制御手段とを含み、
前記利用者ICカード対応領域及び前記暗号処理手段が前記サーバ装置に内蔵されたハードウェア・セキュリティ・モジュール(HSM)に実装されていることを特徴とする請求項1乃至4のいずれかに記載のサーバ一体型ICカードシステム。
【請求項6】
前記利用者ICカード対応領域処理部は、データ保持機能を有する利用者ICカード対応領域と、ICカード及び外部システム通信処理手段と暗号処理手段とを有する制御手段とを含み、
前記利用者ICカード対応領域及び前記暗号処理手段が前記サーバ装置とは別に設けられたHSM内蔵装置に内蔵されたHSMに実装されていることを特徴とする請求項1乃至4のいずれかに記載のサーバ一体型ICカードシステム。
【請求項7】
前記サーバ装置を2台配置して並列接続し、前記2台のサーバ装置のうちの1台を通常使用する現用サーバ装置とし、残りのサーバ装置を予備用サーバ装置とするとともに、
前記予備用サーバ装置の利用者ICカード対応領域は予備の領域秘密鍵を含む登録情報(SI)と、該予備の領域秘密鍵に対応付けられた登録証(SPKC)を含み、かつ、該予備の登録証は前記利用者ICカードの中のサーバ一体型ICカード管理手段にも格納され、さらに、
前記各サーバ装置と前記利用者装置の間にはサーバ装置監視装置が挿入され、前記現用サーバ装置と前記利用者装置との間の通信異常を検出すると、前記サーバ装置監視装置が前記現用サーバ装置を前記予備用サーバ装置に切り替えることを特徴とする請求項5に記載のサーバ一体型ICカードシステム。
【請求項8】
前記利用者ICカード対応領域及び前記暗号処理手段が実装された前記HSMが2台前記サーバ装置内に配置され、前記ICカード及び外部システム通信処理手段を介して前記利用者装置とそれぞれ接続されるとともに、
前記2台のHSMのうち一方を現用のHSM(HSM−A),他方を予備用のHSM(HSM−B)として、該予備用のHSM内の利用者ICカード対応領域は予備の領域秘密鍵を含む登録情報(SIB)と、該予備の領域秘密鍵に対応付けられた登録証(SPKCB)を含み、かつ、該予備の登録証(SPKCB)は前記利用者ICカードの中のサーバ一体型ICカード管理手段にも格納され、さらに、
前記ICカード及び外部システム通信処理手段に含まれるHSM動作監視機能が前記現用HSMと前記利用者装置との間の通信異常を検出すると、前記HSM動作監視機能が前記現用HSM(HSM−A)を前記予備用HSM(HSM−B)に切り替えることを特徴とする請求項5に記載のサーバ一体型ICカードシステム。
【請求項9】
前記サーバ装置を2台設置し、一方を現用、他方を予備用にそれぞれ割り当て、
前記HSM内蔵装置を2台配置し、一方を現用、他方を予備用にそれぞれ割り当てるとともに、
前記現用のサーバ装置(A)と、前記現用のHSM内蔵装置(A)及び前記予備用HSM内蔵装置(B)を接続し、
前記予備用のサーバ装置(B)と、前記現用のHSM内蔵装置(A)及び前記予備用HSM内蔵装置(B)を接続し、さらに、
前記現用のサーバ装置(A)及び予備用のサーバ装置(B)はサーバ装置監視装置を介して前記利用者装置と接続されており、
前記予備用HSM内蔵装置(B)内のHSM(HSM−B)内の利用者ICカード対応領域は予備の領域秘密鍵を含む登録情報(SIB)と、該予備の領域秘密鍵に対応付けられた登録証(SPKCB)を含み、かつ、該予備の登録証(SPKCB)は前記利用者ICカードの中のサーバ一体型ICカード管理手段にも格納され、
前記サーバ装置監視装置が、前記現用サーバ装置(A)又は前記予備用サーバ装置(B)と前記利用者装置との間の通信異常を検出すると、前記現用サーバ装置(A)又は前記予備用サーバ装置(B)と、前記現用のHSM内蔵装置(A)又は前記予備用HSM内蔵装置(B)との接続を所定のシーケンスに従って切り替えることを特徴とする請求項6に記載のサーバ一体型ICカードシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【公開番号】特開2010−73188(P2010−73188A)
【公開日】平成22年4月2日(2010.4.2)
【国際特許分類】
【出願番号】特願2009−110275(P2009−110275)
【出願日】平成21年4月30日(2009.4.30)
【出願人】(304021417)国立大学法人東京工業大学 (1,821)
【Fターム(参考)】
【公開日】平成22年4月2日(2010.4.2)
【国際特許分類】
【出願日】平成21年4月30日(2009.4.30)
【出願人】(304021417)国立大学法人東京工業大学 (1,821)
【Fターム(参考)】
[ Back to top ]