半導体素子、携帯端末、および情報端末
【課題】非接触ICカード機能を搭載した携帯端末で、利用者認証を行ってから決済等の非接触ICカード取引を行う場合に、利用者の利便性を損なわず、非接触ICカードの不正利用の低減し、高いセキュリティ機能を有したICチップ、携帯端末、情報端末を提供すること。
【解決手段】時間を測定するタイマーまたは所定の物理的情報を検出するセンサーを内蔵した携帯端末に搭載され、情報端末との間で決済あるいはアクセス認証を行うICチップであって、前記ICチップは、前記情報端末と非接触通信を行う非接触通信部と、前記携帯端末と接触通信を行う接触通信部と、現在前記携帯端末を操作している人が真の利用者としてどの程度信頼できるかを表す、利用者信頼度情報を格納するメモリを有し、前記タイマーあるいは前記センサーの出力が変化したことを表す状態変化情報を、前記情報端末より前記接触通信部を介して受信した後に、前記利用者信頼度情報を変更、若しくは変更、若しくは更新する。
【解決手段】時間を測定するタイマーまたは所定の物理的情報を検出するセンサーを内蔵した携帯端末に搭載され、情報端末との間で決済あるいはアクセス認証を行うICチップであって、前記ICチップは、前記情報端末と非接触通信を行う非接触通信部と、前記携帯端末と接触通信を行う接触通信部と、現在前記携帯端末を操作している人が真の利用者としてどの程度信頼できるかを表す、利用者信頼度情報を格納するメモリを有し、前記タイマーあるいは前記センサーの出力が変化したことを表す状態変化情報を、前記情報端末より前記接触通信部を介して受信した後に、前記利用者信頼度情報を変更、若しくは変更、若しくは更新する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、決済処理やアクセス認証処理に必要な利用者認証を行う技術に関する。
【背景技術】
【0002】
近年、非接触ICカード機能を搭載した携帯端末を用いて決済を行うサービス(以下、決済サービスと称する)や入場管理等のアクセスを実行して認証を行うサービス(以下、アクセス認証サービス、若しくは、アクセス認証と称する)を行う事が広く普及している。非接触ICカードはICカード読取装置にかざすだけで、決済や認証処理を行う事が出来るため利便性に優れている。
【0003】
非接触ICカード機能を携帯端末に搭載し、携帯端末からもICカードにアクセス出来るようにすることで、非接触ICカードが提供する機能に加えて、携帯端末のディスプレイに決済結果や決済履歴等を表示するなど、利用者の利便性をさらに向上することができる。
【0004】
今後はより高額な決済といった高いセキュリティが求められる処理にも非接触ICカード機能搭載の携帯端末が使われていくことが想定されるが、この場合、盗難された携帯端末による不正利用を防止するために、利用者認証を行う事が必須となってくると思われる。
【0005】
利用者認証の方式としてはPIN(Personal Identification Number)照合方式、あるいは生体認証方式を用いることが考えられる。PIN照合方式は予め利用者の暗証番号であるPIN番号をICカード等に登録しておき、被験者が入力したPIN番号と照合を行うことで、被験者が利用者本人であることを確認する。
【0006】
生体認証方式は、指紋や指静脈パターン、あるいは虹彩パターンといった、各個人で異なっている生体情報を予めICカード等に登録しておき、被験者の生体情報と照合することで、被験者が利用者本人であることを確認する。非接触ICカード機能を搭載した携帯端末で利用者認証を行う例としては特許文献1が挙げられる。
【0007】
特許文献1では、非接触型ICカード機能を搭載した携帯端末に、予め暗証番号を登録しておき、ICカード機能の利用に先立って暗証番号を入力し、入力暗証番号と登録暗証番号とが一致したときのみ所定の時間だけICカード機能を使用可能にする(ロックを解除する)。
【0008】
暗証番号による利用者認証を行った後、所定の時間が経過するまでにICカード機能を利用しないと、ICカード機能がロックして再度利用者認証が必要となるため、紛失・盗難時における不正使用が防止できる。
【特許文献1】特願2001-194306
【発明の開示】
【発明が解決しようとする課題】
【0009】
特許文献1では、事前に行った利用者認証が有効となる時間を定めることで、ICカード機能を利用するまでの間の不正利用を防止しているが、時間以外の携帯端末の状態については考慮していない。
【0010】
例えば、一定時間が経過していなくても、利用者認証を行った時の場所から一定の距離を移動してしまった場合や、利用者認証を行った後に落下等の大きな衝撃、または加速度が携帯端末に加わった場合などは、紛失・盗難時の可能性が高くなるかもしれない。従って、このような衝撃、または加速度等が加わった場合には、上記ICカード機能の利用について、何等かの制限などを図ることが考えられる。
【0011】
また、特許文献1では、利用者認証実施後に一定時間が経過したら、再度利用者認証を必ず行う必要があるものとしている。しかし、ICカード機能の利用内容によっては、求められる利用者認証の信頼度が異なり、利用者認証を必ず、繰り返し行うようにすることで、利用者の利便性を損ねてしまう可能性がある。例えば、高額な決済を行う場合は利用者認証に高い信頼度が求められるが、小額決済の場合は利用者認証が不要となるかもしれない。
【0012】
本発明は前述の課題に鑑みてなされたものであり、非接触ICカード機能を搭載した携帯端末を用いて、利用者認証を行ってから決済等の非接触ICカード取引を行う場合に、利用者の利便性を損なうことなく、非接触ICカードが不正利用される可能性を低減する、高いセキュリティ機能を有した半導体素子(以下、ICチップと称する)、携帯端末、および情報端末を提供することを目的とする。
【課題を解決するための手段】
【0013】
前述した課題を解決するために、本発明におけるICチップは、時間を測定するタイマーあるいは所定の物理的情報を検出するセンサーを内蔵した携帯端末に搭載され、情報端末との間で決済あるいはアクセス認証を行うICチップであって、前記ICチップは、前記情報端末と非接触通信を行う非接触通信部と、前記携帯端末と接触通信を行う接触通信部と、現在前記携帯端末を操作している人が真の利用者としてどの程度信頼できるかを表す情報である、利用者信頼度情報を格納するメモリを有し、前記タイマーあるいは前記センサーの出力が変化したことを表す状態変化情報、若しくは通知を、前記情報端末から前記接触通信部を介して受信した場合、前記状態変化情報、若しくは通知に基づいて前記利用者信頼度情報を変更、若しくは更新することを特徴とする。
【0014】
また、本発明における携帯端末は、非接触通信機能と接触通信機能と利用者の正当性を認証する利用者認証機能とを有するICチップを搭載した携帯端末であって、前記携帯端末は、時間を測定するタイマーあるいは所定の物理的情報を検出するセンサーと、前記ICチップと接触通信を行うICチップ通信部と、前記携帯端末を制御するプログラムあるいはデータを格納するメモリを有し、前記メモリには、前記タイマーあるいは前記センサーを用いて監視する物理的情報を設定するためのイベント設定テーブルを格納し、前記携帯端末は、前記ICチップを用いた利用者認証が成功した場合に、前記イベント設定テーブルに設定された前記携帯端末の状態の監視を開始し、前記携帯端末の状態変化が発生した場合は、前期ICチップ通信部を介して、前記ICチップに前記携帯端末の状態変化の情報を通知することを特徴とする。
【0015】
また、本発明における情報端末は、非接触通信機能と利用者の正当性を認証する利用者認証機能を有するICチップとの間で、決済あるいはアクセス認証を行う情報端末であって、前記情報端末は、前記ICチップと非接触通信を行う非接触通信部と、前記ICチップの利用者がどの程度信頼できるかを表す利用者信頼度情報の閾値を、決済あるいはアクセス認証に必要なセキュリティレベルに応じて決定する信頼度閾値テーブルを格納するメモリを有し、前記ICチップから、前記非接触通信部を介して、前記利用者信頼度を受信したら、前記信頼度閾値テーブルから、必要な前記閾値を決定し、前記利用者信頼度情報と前記閾値を比較することで、新たな利用者認証の要否を判断することを特徴とする。
【0016】
ここで、前記構成について、以下に別の表現にて、説明する。
【0017】
時間を測定するタイマーあるいは所定の物理的情報を検出するセンサーを備えた携帯端末に搭載され、情報端末との間で決済あるいは認証を行う半導体素子であって、前記半導体素子は、前記情報端末と非接触通信を行う非接触通信部と、前記携帯端末と接触通信を行う接触通信部と、情報を記憶する記憶部と、少なくとも前記非接触通信部、接触通信部、記憶部の制御を行う半導体素子制御部とを有し、前記携帯端末の利用者としての情報である利用者認証登録情報を前記記憶部に記憶し、前記携帯端末に入力された認証に関する情報と前記利用者認証登録情報との類似の度合いに対応する利用者信頼度情報を前記記憶部に記憶し、前記タイマーあるいは前記センサーの出力の変化を示す状態変化通知情報を、前記情報端末から受信した後に、前記利用者信頼度情報を変更するようにする。
【0018】
また、前記半導体素子が前記利用者信頼度情報を前記情報端末に送信した後に、前記情報端末との間で決済あるいは認証を実行するようにする。
【0019】
また、前記携帯端末から受信する前記状態変化通知情報は、前記携帯端末が前回の認証処理を行った時から所定の時間の経過を検出したこと、あるいは、前記携帯端末に所定の加速度が加わったことを検出したこと、あるいは、前記携帯端末の位置が所定の距離を示す値を移動したことを検出したことを示す情報であるものとする。
【0020】
また、前記半導体素子は、利用者を認証する利用者認証部を有し、前記携帯端末から利用者認証要求情報を受信した後に、前記利用者認証部によって、前記携帯端末に入力された認証に関する情報と前記利用者認証登録情報とを用いて演算を行い、当該演算出力の後に、前記利用者信頼度情報を変更するようにする。
【0021】
また、非接触通信部と、接触通信部と、利用者を認証する利用者認証部とを有する半導体素子を搭載した携帯端末であって、前記携帯端末は、時間を測定するタイマーあるいは所定の物理的情報を検出するセンサーと、前記半導体素子と接触通信を行う半導体素子通信部と、前記携帯端末を制御するプログラムあるいは情報を記憶する記憶部とを有し、前記タイマーあるいは前記センサーを用いて監視する物理的情報を設定するイベント設定テーブルを前記記憶部に記憶し、前記携帯端末は、前記半導体素子を用いた利用者認証が成功した後に、前記イベント設定テーブルに設定された前記携帯端末の状態を監視し、前記携帯端末の状態変化が発生した場合は、前記半導体素子に前記携帯端末の状態変化通知情報を送信するようにする。
【0022】
また、非接触通信部と、利用者を認証する利用者認証部とを有する半導体素子との間で、決済あるいは認証を行う情報端末であって、前記情報端末は、前記半導体素子と非接触通信を行う非接触通信部と、情報を記憶する記憶部とを有し、前記半導体素子の利用者に関する利用者信頼度情報の閾値、または、決済あるいは認証にて参照されるセキュリティレベルに対応する閾値の情報が設定された信頼度閾値テーブルとを前記記憶部に記憶し、前記半導体素子から、前記利用者信頼度情報を受信した後に、前記利用者信頼度情報と前記閾値とを比較し、認証の実行の要否を判断するようにする。
【発明の効果】
【0023】
本発明を用いることで、利用者の利便性を低下させずに、非接触ICカードが不正利用される可能性を低減する高いセキュリティ機能を有したICチップ、携帯端末、および情報端末を提供できる。
【発明を実施するための最良の形態】
【0024】
以下、本発明の一実施の形態について、図面を詳細に説明する。
(1)本実施の形態による携帯端末、ICチップ、および決済端末のハードウェア構成
図1は本実施の形態における決済システムの構成を示すブロック図である。図1において、1は携帯端末、3はICチップ、5は決済端末である。携帯端末1はICチップ3を用いて、決済端末5との間で決済処理を行う機能を有する。携帯端末1の具体的な製品例としては携帯電話が考えられる。あるいは他の携帯可能な端末であっても良い。
【0025】
ICチップ3は利用者認証と決済取引処理を行うために使用するセキュアなハードウェアであり、携帯端末1と有線で通信を行うと共に、決済端末5と無線で通信を行う。
【0026】
ICチップ3は携帯端末1の内部に内蔵されたLSIとして実現しても良い。あるいは脱着可能なICカードとして実現しても良い。
【0027】
決済端末5は、銀行のATM、あるいはスーパーマーケット等の店舗に設置された決済端末である。なお、本実施の形態では、ICチップ3と決済端末5との間で決済処理を行うことを想定して説明を行うが、決済以外の認証処理(例えばセキュリティルームへの入退出認証処理等)を行う場合であっても本発明の適用範囲である。
【0028】
次に、携帯端末1の内部回路構成について説明していく。携帯端末1はメモリ11、携帯端末制御部12、ICチップ通信部13、無線通信部14、利用者認証開始ボタン15、利用者表示部16、利用者操作部17、生体センサ18、タイマー19、加速度センサ20、位置情報検出部21、電源制御部22、およびアンテナ23を有している。
【0029】
メモリ11はRAM、ROM、フラッシュROMといった半導体メモリ、あるいはハードディスクから構成され、携帯端末1を制御するためのプログラムおよび関連データを一時的あるいは永続的に格納する。
【0030】
携帯端末制御部12は携帯端末1のメインCPU(Central Processing Unit)であり、メモリ11に格納されているプログラムおよび関連データに基づいて、携帯端末1全体の制御を行う。
【0031】
ICチップ通信部13はICチップ3と有線で通信する機能を有し、ICカード通信方式の国際標準規格であるISO/IEC7816に従った手順でICチップ3と通信することが考えられる。あるいは他の通信方式を用いても本発明の適用範囲である。
【0032】
無線通信部14は携帯端末1が無線で外部と通信するために用いる。例えば携帯電話基地局と通信する機能、あるいは無線LANやBluetoothといった無線通信機能として実現することが考えられる。
【0033】
利用者認証開始ボタン15は利用者の意思により利用者認証を実行する時に押下する操作ボタンである。利用者認証開始ボタン15は他の機能を兼ね備えていても良い。例えば利用者認証開始ボタン15を長いと思える時間の期間、押していると携帯端末1の電源がオフとなり、短いと思える時間の期間、押していると利用者認証を実行することが考えられる。
【0034】
利用者表示部16は利用者に対し、液晶ディスプレイ等を用いて画像や文字あるいはGUI(Graphical User Interface)を画面表示したり、スピーカーを用いて音声情報を出力したりする機能を有する。
【0035】
利用者操作部17は、操作ボタンやタッチパット、あるいはタッチパネルを用いて、利用者が携帯端末1を操作するための機能を提供する。
【0036】
生体センサ18は、生体情報を読取る機能を有しており、例えば指紋や指静脈パターンを読取ることが考えられる。あるいは、他の生体情報を読取る機能を有していても本発明の適用範囲である。
【0037】
タイマー19は一定時間が経過したら、携帯端末制御部12に通知信号を発生する機能を有する回路である。
【0038】
加速度センサ20は加速度を検出する回路素子であり、例えば検出した加速度が予め設定しておいた閾値に達したら、携帯端末制御部12に通知信号を発生する。これにより携帯端末1が落下したり、何らかの衝撃、または加速度が加えられたりしたことを検出することが可能になる。
【0039】
位置情報検出部21は、GPS(Global Positioning System)等を用いて、携帯端末1の現在位置を検出する機能を有する。電源制御部22は携帯端末1の電源制御を行う。アンテナ23は無線通信部14が外部と無線通信を行うために使用する。
【0040】
次に、ICチップ3の内部回路構成について説明していく。ICチップ3はメモリ31、ICチップ制御部32、接触通信部33、非接触通信部34、暗号処理部35、電源制御部36、およびアンテナ37を有している。
【0041】
メモリ31はRAM、ROM、EEPROMといった半導体メモリで構成され、ICチップ3を制御するためのプログラムおよび関連データを一時的あるいは永続的に格納する。
【0042】
ICチップ制御部32はICチップ3のメインCPU(Central Processing Unit)であり、メモリ31に格納されているプログラムおよび関連データに基づいて、ICチップ3全体の制御を行う。
【0043】
接触通信部33は携帯端末1と有線で通信する機能を有し、ICカード通信方式の国際標準規格であるISO/IEC7816に従った手順で携帯端末1と通信することが考えられる。あるいは他の通信方式を用いても本発明の適用範囲である。
【0044】
非接触通信部は決済端末5と無線で通信する機能を有し、非接触ICカード通信方式の国際標準であるISO/IEC14443、あるいはNFC(Near Field Communication)通信方式の国際標準であるISO/IEC18092に従った手順で、決済端末5と通信することが考えられる。あるいは他の通信方式を用いても本発明の適用範囲である。
【0045】
暗号処理部35はICチップ3が行う暗号処理や認証処理をICチップ制御部32に代わって高速に実行する回路であり、例えば共通鍵暗号方式のDESアルゴリズムや公開鍵暗号方式のRSAアルゴリズムに基づいた暗号処理に必要な演算を行う。
【0046】
電源制御部36は携帯端末1から接触通信部33を介して有線で供給された電力、あるいは決済端末5から非接触通信部34を介して無線で供給された電力を用いて、ICチップ3を駆動するための電力制御を行う回路である。
【0047】
アンテナ37は非接触通信部34が決済端末5と非接触通信を行うために使用する。例えば非接触通信で使用する電波周波数が13.56MHz帯の場合はアンテナコイルと呼ばれる渦巻状に巻かれた形状となり、信号を送受信する役割を果たすと共に、決済端末5が発生させた電磁界からICチップ3を駆動するための電力を取得する機能を有するようにしても良い。
【0048】
次に、決済端末5の内部回路構成について説明していく。決済端末5はメモリ51、決済端末制御部52、非接触ICカード通信部53、およびアンテナ54を有する。
【0049】
メモリ51はRAM、ROM、フラッシュROMといった半導体メモリ、あるいはハードディスク等から構成され、決済端末5を制御するためのプログラムおよび関連データを一時的あるいは永続的に格納する。
【0050】
決済端末制御部52は決済端末5のメインCPU(Central Processing Unit)でありメモリ51に格納されているプログラムおよび関連データに基づいて、決済端末5全体の制御を行う。
【0051】
非接触ICカード通信部53はICチップ3と無線で通信する機能を有し、非接触ICカード通信方式の国際標準であるISO/IEC14443、あるいはNFC(Near Field Communication)通信方式の国際標準であるISO/IEC18092に従った手順でICチップ3と通信することが考えられる。あるいは他の通信方式を用いても本発明の適用範囲である。
【0052】
アンテナ54は非接触ICカード通信部53がICチップ3と非接触通信を行うために使用する。なお、アンテナ54は、例えば、利用者が携帯端末1を手に持った場合などに、楽な姿勢、動作によって、自然にかざすことが出来るように、通信できるように配置するのが望ましい。例えば、非接触ICカード通信部53と決済端末制御部52は専用のケーブルで接続し、非接触ICカード通信部53とアンテナ54が、決済端末5とは別のハードウェアモジュールとなるようにしても良い。この場合、利用者が携帯端末1をかざし易いように、アンテナ54の位置を変更することが可能になる。
(2)本実施の形態による携帯端末、ICチップ、および決済端末のソフトウェア構成
図1において示した、携帯端末1、ICチップ3、および決済端末5のソフトウェア構成について説明する。
【0053】
まず、携帯端末1のソフトウェア構成について図1を用いて説明していく。携帯端末1に搭載されたメモリ11には、オペレーティングシステム100、携帯端末制御プログラム101、イベント監視プログラム102、携帯端末制御データ103、およびイベント設定テーブル104を格納している。
【0054】
オペレーティングシステム100はアプリケーションプログラムを実行するために必要な基本機能を提供するシステムプログラムであり、例えばアプリケーションプログラムに対して携帯端末1を制御するためのAPI(Application Programming Interface)を提供したり、各アプリケーションプログラムの実行管理を行ったりする。オペレーティングシステム100として、Linuxオペレーティングシステムを用いることが考えられる。あるいは他のオペレーティングシステムを用いた場合でも本発明の適用範囲である。
【0055】
携帯端末制御プログラム101は、オペレーティングシステム100の上で動作するアプリケーションプログラムであり、携帯端末1の各種制御を行う。
【0056】
イベント監視プログラム102はオペレーティングシステム100の上で動作するアプリケーションプログラムであり、タイマー19、加速度センサ20、位置情報検出部21、電源制御部22などを用いて、携帯端末1の内部状態を監視し、携帯端末1の不正利用の可能性が高まりそうなイベントが発生したら、そのことを示す信号、情報をICチップ3に送信、通知を行う。
【0057】
ここでイベントとは携帯端末1内部で生じた所定の現象のことである。イベントの例としては、一定時間が経過した、所定の加速度(衝撃)を検出した、一定の位置を移動した、といったことが挙げられる。
【0058】
携帯端末制御データ103は、携帯端末1を制御するために必要な各種データであり、携帯端末制御プログラム101が携帯端末1を制御するために使用する。
【0059】
イベント設定テーブル104は、イベント監視プログラム102が監視する必要のあるイベントを設定するためのテーブル情報である。イベント設定テーブル104の詳細については後述する。
【0060】
なお、オペレーティングシステム100、携帯端末制御プログラム101、およびイベント監視プログラム102の全てあるいは何れかを、同一のプログラムとして実現している場合でも本発明の適用範囲である。
【0061】
次に、ICチップ3のソフトウェア構成について図1を用いて説明していく。ICチップ3に搭載されているメモリ31には、ICカードオペレーティングシステム110、利用者認証処理プログラム111、決済処理プログラム112、利用者認証登録情報(但し、図面では、利用者認証登録データと表示している)113、利用者信頼度情報(但し、図面では、利用者信頼度と表示している)114、イベント管理テーブル115、利用者認証フラグ116、および決済関連情報117を格納している。
【0062】
ICカードオペレーティングシステム110は、ICカードアプリケーションプログラムを実行するために必要な基本機能を提供するシステムプログラムであり、例えばICカードアプリケーションプログラムに対してICチップ3を制御するためのAPI(Application Programming Interface)を提供する。また外部からの通信制御により、ICカードアプリケーションを選択して実行する機能を有する。
【0063】
ICカードオペレーティングシステム110として、MULTOSやJava(登録商標)Cardを用いることが考えられる。あるいは他のオペレーティングシステムを用いても本発明の適用範囲である。
【0064】
利用者認証処理プログラム111はICカードオペレーティングシステム110の上で動作するICカードアプリケーションプログラムであり、携帯端末1の利用者が正当であるか否かを確認する利用者認証処理を行う。若しくは、前記携帯端末1に入力された認証に関する情報と前記利用者認証登録データとを用いて演算を行う。当該演算とは、前記携帯端末1に入力された認証に関する情報と前記利用者認証登録データとの類似の度合いを抽出、算出して得る、更には、類似の度合いに対応する値を出力するものでも良い。例えば、PIN照合や生体認証を行うことが考えられる。あるいは他の方法で利用者認証処理を行っても本発明の適用範囲である。
【0065】
決済処理プログラム112は、ICカードオペレーティングシステム110の上で動作するICカードアプリケーションプログラムであり、決済端末5との間で、所定の方式に基づいた決済処理を行う。例えば、クレジットカード決済や電子マネー決済を行うことが考えられる。あるいは他の決済方式を行う場合でも本発明の適用範囲である。
【0066】
利用者認証登録データ(または、利用者認証登録情報)113は利用者認証処理プログラム111が利用者を認証するために用いる情報であって、携帯端末の利用者に関する情報であり、利用者自身のPIN番号や生体情報を予め登録しておく。利用者認証登録データ113としてPIN番号が登録されている場合は、利用者認証処理プログラム111はPIN照合による利用者認証を行う。あるいは、利用者認証登録データ113として生体情報が登録されている場合は、利用者認証処理プログラム111は生体認証による利用者認証を行う。
【0067】
利用者信頼度情報114は、現在携帯端末1を操作している人が、正当な利用者としてどの程度信頼出来るかを数値で表したデータであり、若しくは、前記携帯端末1に入力された認証に関する情報と前記利用者認証登録データとの類似の度合いに対応する情報、データであり、過去に実施した利用者認証の結果と、その後の携帯端末1の状態変化に応じて決定・変更、若しくは更新される。
【0068】
本実施の形態では、利用者信頼度情報114は、利用者認証処理プログラム111が変更、若しくは更新処理を行い、決済処理プログラム112からは参照のみ可能としている。
【0069】
イベント管理テーブル115は、利用者認証の結果や携帯端末1の状態変化等のイベントが発生したときに、利用者認証処理プログラム111が、利用者信頼度情報114の増減値を決定するために用いるテーブル情報である。イベント管理テーブル115の詳細については後述する。
【0070】
利用者認証フラグ116は利用者認証処理プログラム111によって実行された利用者認証の結果を表すフラグであり、利用者認証処理プログラム111がサポートしている夫々の利用者認証に対して、成功か失敗、あるいは未実施であることを示す。
【0071】
決済関連情報117は決済処理プログラム112が所定の決済処理を行うために使用するデータであり、例えば、電子マネー残高や、クレジットカード番号などから構成される。
【0072】
なお、ICカードオペレーティングシステム110、利用者認証処理プログラム111、および決済処理プログラム112の全てあるいは何れかを、同一のプログラムとして実現している場合でも本発明の適用範囲である。
【0073】
次に、決済端末5のソフトウェア構成について説明していく。決済端末5に搭載されるメモリ51には、決済端末制御プログラム121と信頼度閾値テーブル122が格納されている。
【0074】
決済端末制御プログラム121は、決済端末5のアンテナ54に携帯端末1がかざされると、携帯端末1内部のICチップ3との間で所定の決済処理を非接触通信で行うプログラムである。
【0075】
信頼度閾値テーブル122は、決済端末5がICチップ3との間で決済の内容(決済金額等)と、ICチップ3が管理している利用者信頼度情報114から、新たに利用者認証を行う必要があるかを決定するためのテーブル情報である。
【0076】
信頼度閾値テーブル122の詳細については後述する。なお、図1には明示していないが、決済端末制御プログラム121は、オペレーティングシステム上で動作するアプリケーションプログラムとして実現しても本発明の適用範囲である。
(3)携帯端末が保持するイベント設定テーブルの構成
図2は、携帯端末1に保存されているイベント設定テーブル104の構成例を示している。本実施の形態の場合、イベント設定テーブル104には、イベント識別子211、有効フラグ212、および設定値213がカラム項目として設定されている。
【0077】
イベント識別子211は、携帯端末1の内部で発生するイベントを一意に識別する番号あるいは文字列である。図2の例では、「タイマー通知」をEvent1、「落下検出」をEvent2、「位置移動検出」をEvent3に割り当てて識別可能にしている。
【0078】
有効フラグ212は、イベント識別子211で識別されるイベントの発生を監視するか否かを決定するフラグである。
【0079】
設定値213はイベント識別子211で識別されるイベントの発生条件を設定する。図2の例では、1分間隔で「タイマー通知」を行い、また100m移動したら「位置移動検出」を行う。図2で例示した以外のイベントや設定値をイベント設定テーブル104に設定した場合でも本発明の適用範囲である。
【0080】
イベント設定テーブル104は、携帯端末1の出荷時に所定の値を初期値として設定しておき、その後、利用者が携帯端末1を操作することで変更可能にしても良い。あるいは特定の権限のある者しか変更出来ないようにしても良い。例えば特定の暗証番号を入力する、あるいは何らかの認証処理を行わないと変更出来ないようにしても良い。
(4)ICチップが保持するイベント管理テーブルの構成
図3は、ICチップ3に保存されているイベント管理テーブル115の構成例を示している。本実施の形態の場合、イベント管理テーブル115には、イベント識別子221と信頼度増減値222がカラム項目として設定されている。
【0081】
イベント識別子221は、携帯端末1の内部で発生するイベントを一意に識別する番号あるいは文字列であり、イベント設定テーブル104のイベント識別子211と同じ体系でイベントを識別する。図3の例では「タイマー通知」をEvent1、「落下検出」をEvent2、「位置移動検出」をEvent3、「PIN照合成功」をEvent4、「生体認証成功」をEvent5、「決済実行」をEvent6に割り当てて識別可能にしている。
【0082】
信頼度増減値222は関連するイベントが発生した場合に、利用者信頼度情報114をどの程度増減するかを決定する値である。
【0083】
図3の例では「タイマー通知」イベントが発生したら2を減算し、「落下検出」イベントが発生したら5を減算し、「位置移動検出」イベントが発生したら4を減算し、「PIN照合成功」イベントが発生したら5を加算し、「生体認証成功」イベントが発生したら10を加算し、「決済実行」イベントが発生したら10を減算している。図3で例示した以外のイベントや増減値をイベント管理テーブル115に設定した場合でも本発明の適用範囲である。
【0084】
ここで、利用者認証フラグ116を考慮して増減値を決定するように、イベント管理テーブル115を構成しても良い。例えば、利用者認証フラグ116がPIN照合による利用者認証が成功していることを表している状態で、新たに「PIN照合成功」イベントが発生した場合は、増減値は0とする(利用者信頼度情報114は増減しない)ことが考えられる。PIN照合による利用者認証が1回成功した場合と、立て続けに2回成功した場合とでは、利用者の信頼度は変化しないからである。
【0085】
イベント管理テーブル115は、ICチップ3の出荷時に所定の値を初期値として設定しておき、その後、利用者が携帯端末1を操作することで変更可能にしても良い。あるいは特定の権限のある者しか変更出来ないようにしても良い。例えば特定の暗証番号を入力する、あるいは何らかの認証処理を行わないと変更出来ないようにしても良い。
(5)決済端末が保持する信頼度閾値テーブルの構成
図4は、決済端末5に保存されている信頼度閾値テーブル122の構成例を示している。本実施の形態の場合、信頼度閾値テーブル122は決済金額231と信頼度閾値232がカラム項目として設定されている。
【0086】
決済金額231は決済端末5とICチップ3との間の決済において取引される金額の範囲である。
【0087】
信頼度閾値232は、決済金額231で指定された金額を決済する場合に求められる、利用者認証の信頼度の閾値を表す。図4の例では、決済金額が3000円未満の場合、利用者信頼度情報は0以上であれば再度利用者認証を行う必要は無い。また決済金額が3000円以上10000円未満の場合、利用者信頼度は5以上であれば再度利用者認証を行う必要は無い。また決済金額が10000円以上の場合、利用者信頼度情報は10以上であれば再度利用者認証を行う必要は無い。
【0088】
図4で例示した以外の設定値を用いても本発明の適用範囲である。また、図4で例示した信頼度閾値テーブル122は、決済金額に応じて利用者認証の信頼度の閾値を決定しているが、決済金額以外のパラメータを用いて利用者認証の信頼度の閾値を決定しても良い。例えば、決済端末5での決済処理を待っている人数をパラメータとして、待っている人が多い場合の混雑度に応じて、利用者認証の信頼度の閾値を決定するようにしても良い。
(6)利用者認証処理時に携帯端末に表示される画面構成
図5は、携帯端末1を用いて利用者認証を行う時に、利用者表示部16に表示される各種画面を示している。本実施の形態の場合、図5(a)に示すように、携帯端末1が具備している利用者認証開始ボタン15を押下することで、利用者表示部16に、利用者認証を実行することを確認するための画面を表示する。
【0089】
あるいは、利用者操作部17を構成するいずれかのボタンを操作することで図5(a)の画面を表示するようにしても良い。あるいは、ICチップ3の非接触通信部34を用いて非接触通信を開始した事を、ICチップ通信部13経由で携帯端末1が検出した時に、図5(a)の画面を表示するようにしても良い。
【0090】
その後、利用者が画面上の開始ボタン230を選択すると、利用者認証が実行される。ここで開始ボタン230の選択は、各種キーボタンから構成される利用者操作部17を操作することで行う。
【0091】
もし、利用者認証にPIN照合方式を用いる場合は、図5(b)に示すように、画面上にPIN番号を入力するためのメッセージを表示する。これにより、利用者は携帯端末1の利用者操作部17を操作してPIN番号を入力し、PIN照合を行う。
【0092】
もし、利用者認証に、指紋認証や指静脈認証などといった生体認証を用いる場合、図5(c)に示すように、画面上に生体認証を行うことを利用者に通知するメッセージ、情報を表示する。これにより、利用者は携帯端末1の生体センサ18を用いて生体照合データを入力し、生体認証を行う。PIN照合あるいは生体認証を用いた利用者認証が成功したら、図5(d)に示すように、利用者認証が成功したことを画面に表示する。
(7)PIN照合を用いた利用者認証処理
図6は、PIN照合を用いた利用者認証を実行する際の、携帯端末1とICチップ3の間の処理ステップを示している。以下の説明において、携帯端末1で行う処理は主に携帯端末制御プログラム101が実行され、ICチップ3で行う処理は主に利用者認証処理プログラム111が実行される。
【0093】
[ステップS1000] PIN照合処理は、利用者が利用者認証ボタン15を押下することで開始される。あるいは、利用者操作部17を構成するいずれかのボタンを操作することで開始しても良い。あるいは、ICチップ3の非接触通信部34を用いて非接触通信を開始した事を、ICチップ通信部13経由で携帯端末1が検出した時に開始しても良い。
【0094】
[ステップS1001] 携帯端末1は、PIN番号の入力要求を、利用者表示部16を用いて利用者に提示する。
【0095】
[ステップS1002] 利用者は、利用者操作部17を用いて、PIN番号を入力する。
【0096】
[ステップS1003] 携帯端末1は、利用者が入力したPIN番号を、ICチップ通信部13経由でICチップ3に送信する。
【0097】
[ステップS1004] ICチップ3は、利用者認証登録データ113として管理している登録PIN番号と、携帯端末1から取得したPIN番号が一致するかを確認することで、PIN照合による利用者認証を行う。
【0098】
[ステップS1005] ICチップ3は、PIN照合による利用者認証が成功したら、イベント管理テーブル115を参照して、利用者信頼度情報114の増減値を決定する。そして、利用者信頼度情報114と決定した増減値と加算(あるいは減算)することで、利用者信頼度情報114を変更、若しくは更新する。
【0099】
例えば図3を用いて説明した例では、PIN照合による利用者認証が成功したら、利用者信頼度情報114に5を加算する。その後、ICチップ3は、PIN照合による利用者認証の結果に基づいて、利用者認証フラグ116を変更、若しくは更新する。なお、利用者認証フラグ116が既に「PIN照合による利用者認証は成功した」旨を表している場合は、利用者信頼度情報114は変更、若しくは更新しないとしても、本発明の適用範囲である。
【0100】
[ステップS1006] ICチップ3は、携帯端末1に、PIN照合による利用者認証の結果を返信する。
【0101】
[ステップS1007] 携帯端末1は、PIN照合による利用者認証の結果を、利用者表示部16を用いて利用者に表示、若しくは通知する。
【0102】
[ステップS1008] 携帯端末1は、PIN照合による利用者認証が成功したら、イベント監視プログラム102を起動することで、携帯端末1に発生するイベントの監視を開始する。
【0103】
以上説明した処理ステップにより、携帯端末1を用いた決済処理を実施する前に、PIN照合を用いた利用者認証を実行することが可能になる。また、PIN照合を用いた利用者認証が成功したら、携帯端末1に発生するイベントの監視を開始することで、決済処理を行うまでに、携帯端末1の不正利用の可能性が高まりそうなイベントの発生を検出する事が可能になる。
(8)生体認証を用いた利用者認証処理
図7は、生体認証を用いた利用者認証を実行する際の、携帯端末1とICチップ3の間の処理ステップを示している。以下の説明において、携帯端末1で行う処理は主に携帯端末制御プログラム101が実行され、ICチップ3で行う処理は主に利用者認証処理プログラム111が実行される。
【0104】
[ステップS1100] 生体認証処理は、利用者が利用者認証ボタン15を押下することで開始される。あるいは、利用者操作部17を構成するいずれかのボタンを操作することで開始しても良い。あるいは、ICチップ3の非接触通信部34を用いて非接触通信を開始した事を、ICチップ通信部13経由で携帯端末1が検出した時に開始しても良い。
【0105】
[ステップS1101] 携帯端末1は、生体センサ18の電源をオンするなどして、利用者の生体情報を取得できるようにする。そして、生体情報の取得要求を、利用者表示部16を用いて利用者に提示する。
【0106】
[ステップS1102] 利用者は、生体センサ18を用いて、生体情報を入力する。
【0107】
[ステップS1103] 携帯端末1は、利用者から取得した生体情報を、ICチップ通信部13経由でICチップ3に送信する。
【0108】
[ステップS1104] ICチップ3は、携帯端末1から取得した生体情報を用いた生体認証を行う。具体的には、利用者認証登録データ113として管理している登録生体情報と、取得した生体情報の類似度を所定のアルゴリズムに基づいて計算し、所定の閾値より類似度が大きければ、利用者認証が成功したと判断する。あるいは所定の閾値より類似度が小さければ、利用者認証が失敗したと判断する。
【0109】
[ステップS1105] ICチップ3は、生体認証による利用者認証が成功したら、イベント管理テーブル115を参照して、利用者信頼度情報114の増減値を決定する。そして、利用者信頼度情報114と決定した増減値と加算(あるいは減算)することで、利用者信頼度情報114を変更、若しくは更新する。
【0110】
例えば図3を用いて説明した例では、生体認証による利用者認証が成功したら、利用者信頼度情報114に10を加算する。その後、ICチップ3は、生体認証による利用者認証の結果に基づいて、利用者認証フラグ116を変更、若しくは更新する。なお、利用者認証フラグ116が既に「生体認証による利用者認証は成功した」旨を表している場合は、利用者信頼度情報114は変更、若しくは更新しないとしても、本発明の適用範囲である。
【0111】
[ステップS1106] ICチップ3は、携帯端末1に、生体認証による利用者認証の結果を返信する。
【0112】
[ステップS1107] 携帯端末1は、生体認証による利用者認証の結果を、利用者表示部16を用いて利用者に表示、若しくは通知する。
【0113】
[ステップS1108] 携帯端末1は、生体認証による利用者認証が成功したら、イベント監視プログラム102を起動することで、携帯端末1に発生するイベントの監視を開始する。
【0114】
以上説明した処理ステップにより、携帯端末1を用いた決済処理を実施する前に、生体認証を用いた利用者認証を実行することが可能になる。また、生体認証を用いた利用者認証が成功したら、携帯端末1に発生するイベントの監視を開始することで、決済処理を行うまでに、携帯端末1の不正利用の可能性が高まりそうなイベントの発生を検出する事が可能になる。
(9)イベントの監視処理
図8は、携帯端末1に発生するイベントの監視と、そのイベントを示す信号、情報の通知を行うための、携帯端末1とICチップ3の間の処理ステップを示している。以下の説明において、携帯端末1で行う処理は主にイベント監視プログラム102が実行され、ICチップ3で行う処理は主に利用者認証処理プログラム111が実行される。
【0115】
[ステップS2001] 携帯端末1は、利用者認証が成功したらイベント監視処理を開始する。まず、イベント設定テーブル104を参照し、有効となっているイベントを監視するために必要なセンサを選択する。
【0116】
例えば、「タイマー通知」イベントを監視するためにはタイマー19を選択し、「落下検出」イベントを監視するためには加速度センサ20を選択し、「位置移動検出」イベントを監視するためには位置情報検出部21を選択する。ここで、イベント設定テーブル104で有効となっているイベントが複数個あれば、対応する複数のセンサを選択する。
【0117】
[ステップS2002] 携帯端末1は、選択した夫々のセンサを用いて、所定の物理量や状態の測定を開始する。そして、測定した物理量や状態が、イベント設定テーブル104の設定値213として設定されているイベントの発生条件を満足するまで待つ。
【0118】
[ステップS2003] 携帯端末1は、選択したセンサを用いて監視しているイベントの発生を検出したら、発生したイベントの識別子を、ICチップ通信部13経由でICチップ3に送信する。
【0119】
[ステップS2004] ICチップ3は、発生したイベントの識別子を、接触通信部33経由で受信したら、イベント管理テーブル115を参照し、発生したイベントに対応する利用者信頼度の増減値を決定する。
【0120】
[ステップS2005] ICチップ3は、利用者信頼度情報114を変更、若しくは更新するために、決定した利用者信頼度情報の増減値を加算(あるいは減算)する。また、もし利用者信頼度情報114が所定の値(例えば0)以下となった場合は、利用者認証フラグ116を「全ての利用者認証が未実施である」旨を表す状態に変更しておく。そして、ICチップ3は処理が完了したことを、接触通信部33経由で携帯端末1に通知する。
【0121】
[ステップS2006] 携帯端末1は、ステップS2002に戻って、イベントの監視処理を継続する。
【0122】
以上説明した処理ステップにより、携帯端末1は、利用者認証処理が成功してから決済処理を行うまでに、不正利用の可能性が高まりそうなイベントの発生を検出してICチップ3に通知し、ICチップ3は通知を受けたイベントに応じて、利用者信頼度情報114を変更、若しくは更新する事が可能になる。
(10)携帯端末を用いた決済処理(新たな利用者認証は不要となる場合)
図9は、携帯端末1内部のICチップ3と、決済端末5との間で行う決済処理ステップの第1の例を示している。本処理ステップは、ICチップ3が管理している利用者信頼度情報114が、決済を行うのに十分であり、新たな利用者認証は不要となる場合に相当する。以下の説明において、ICチップ3で行う処理は主に決済処理プログラム112が実行され、決済端末5で行う処理は主に決済端末制御プログラム121が実行される。
【0123】
[ステップS3000] 利用者は決済を行うために、携帯端末1を決済端末5のアンテナ54にかざす。
【0124】
[ステップS3001] 決済端末5は、非接触ICカード通信部53を制御して、ICチップ3との通信開始要求コマンドを定期的に無線送出しており、アンテナ54に携帯端末1がかざされると、ICチップ3がかかる通信開始要求コマンドに応答する。これにより、決済端末5とICチップ3との間で非接触通信が開始される。その後、決済端末5とICチップ3との間で所定の機器認証を非接触通信で実行する。
【0125】
ここでかかる機器認証は、通信相手が正当な機器であることを、決済端末5とICチップ3の一方あるいは両方が認証する処理であり、暗号処理を用いて実現する。機器認証で使用する暗号アルゴリズムとしては、例えば共通鍵暗号方式のDES暗号や公開鍵暗号方式のRSA暗号を用いることが考えられる。あるいは他の暗号アルゴリズムを用いても本発明の適用範囲である。
【0126】
[ステップS3002] 決済端末5は、かかる機器認証が成功したら、ICチップ3に対して利用者信頼度情報取得要求を送信する。
【0127】
[ステップS3003] ICチップ3は、決済端末5から利用者信頼度情報取得要求を受信したら、かかる機器認証が成功していれば、利用者信頼度情報114を決済端末5に送信する。
【0128】
ここで、ICチップ3は機器認証が成功した正当な相手機器にしか利用者信頼度情報114を送信しないようにしている。これはもしICチップ3が利用者信頼度情報114を無条件に外部出力してしまうと、携帯端末1が攻撃者に盗難されてしまった場合に、攻撃のヒント(新たな利用者認証無しでも決済が出来てしまうかどうか等)を与えてしまう可能性があるためである。
【0129】
また、ICチップ3は、データの盗聴と改ざんを防止するために、利用者信頼度情報114を暗号化すると共に改ざん検出用データを付加して、決済端末5に送信している。
【0130】
ここで、改ざん検出データの生成アルゴリズムとしては、例えば共通鍵暗号方式やハッシュ関数を用いたMAC(Message Authentication Code)アルゴリズムを使用することが考えられる。あるいは他のアルゴリズムに基づいて改ざん検出データを生成しても本発明の適用範囲である。
【0131】
また、暗号処理および改ざん検出データの生成に用いる暗号鍵データとしては、予めICチップ3に保存されている値を用いても良いし、先に実施した機器認証で一時的に生成した値を用いても良い。
【0132】
[ステップS3004] 決済端末5は、暗号化された利用者信頼度情報114を受信したら、復号処理を行うと共に、改ざん検出データの検証処理を行う。改ざん検出データの検証が成功すれば、ICチップ3から取得した利用者信頼度情報114が正当な値であると判断する。
【0133】
ここで、復号処理および改ざん検出データの検証に用いる暗号鍵データとしては、予め決済端末5に保存されている値を用いても良いし、先に実施した機器認証で一時的に生成した値を用いても良い。
【0134】
[ステップS3005] 決済端末5は、信頼度閾値テーブル122を参照して、信頼度の閾値を決定する。例えば図4を用いて説明した様に、決済金額に応じて信頼度の閾値を決定する。そして、利用者信頼度情報114がかかる閾値以上であれば、新たな利用者認証は不要であると判断する。
【0135】
[ステップS3006] 決済端末5は、新たな利用者認証は不要であると判断したら、決済実行の通知を示す情報をICチップ3に送信する。
【0136】
[ステップS3007] ICチップ3は、決済端末5から決済実行の通知を示す情報を受信したら、利用者信頼度情報114を所定の値だけ減算する。例えば図3に示した例では、「決済実行」イベントが発生した場合は利用者信頼度情報114を10だけ減算することで、次に決済処理を行う場合は、新たな利用者認証処理が必要となるようにしている。
【0137】
ここで、もし利用者信頼度情報114が所定の値(例えば0)以下となった場合は、利用者認証フラグ116を「全ての利用者認証が未実施である」旨を表す状態に変更しておく。
【0138】
[ステップS3008] 決済端末5とICチップ3の間で、非接触通信を用いて、決済処理を行う。
【0139】
以上説明した処理ステップにより、決済端末5は、ICチップ3から取得した利用者信頼度情報114を用いて、新たな利用者認証の要否を判断する事が可能になり、利用者信頼度情報114が決済を行うのに十分な値であれば、新たな利用者認証処理を不要とする。これにより、利用者は迅速に決済を行うことが可能になり、利便性が向上する。
(11)携帯端末を用いた決済処理(新たな利用者認証が必要となる場合)
図10は、携帯端末1内部のICチップ3と、決済端末5との間で行う決済処理ステップの第2の実施例を示している。本処理ステップは、ICチップ3が管理している利用者信頼度情報114が、決済を行うのに不十分であり、新たな利用者認証が必要となる場合に相当する。
【0140】
以下の説明において、ICチップ3で行う処理は主に決済処理プログラム112が実行され、決済端末5で行う処理は主に決済端末制御プログラム121が実行される。
【0141】
[ステップS4000] 利用者は決済を行うために、携帯端末1を決済端末5のアンテナ54にかざす。
【0142】
[ステップS4001] 決済端末5は、非接触ICカード通信部53を制御して、ICチップ3との通信開始要求コマンドを定期的に無線送出しており、アンテナ54に携帯端末1がかざされると、ICチップ3は非接触通信部34を制御してかかる通信開始要求コマンドに応答する。これにより、決済端末5とICチップ3との間で非接触通信が開始される。その後、決済端末5とICチップ3との間で所定の機器認証を非接触通信で実行する。
【0143】
[ステップS4002] 決済端末5は、かかる機器認証が成功したら、ICチップ3に対して利用者信頼度情報取得要求を非接触通信で送信する。
【0144】
[ステップS4003] ICチップ3は、決済端末5から利用者信頼度情報取得要求を受信したら、かかる機器認証が成功していれば、利用者信頼度情報114を暗号化すると共に改ざん検出用データを付加して、決済端末5に非接触通信で返信する。
【0145】
[ステップS4004] 決済端末5は、暗号化された利用者信頼度情報114を受信したら、復号処理を行うと共に、改ざん検出データの検証処理を行う。改ざん検出データの検証が成功すれば、ICチップ3から取得した利用者信頼度情報114が正当な値であると判断する。
【0146】
[ステップS4005] 決済端末5は、信頼度閾値テーブル122を参照して、信頼度の閾値を決定する。そして、利用者信頼度情報114がかかる閾値未満であれば、新たな利用者認証が必要であると判断する。
【0147】
[ステップS4006] 決済端末5は、新たな利用者認証が必要であると判断したら、利用者認証要求情報(但し、図面では、利用者認証要求と表示している)をICチップ3に非接触通信で送信する。
【0148】
[ステップS4007] ICチップ3は、決済端末5から利用者認証要求を非接触通信で受信したら、携帯端末1に利用者認証要求を、接触通信部33経由で送信する。
【0149】
[ステップS4008] 携帯端末1は、利用者認証要求をICチップ通信部13経由で取得したら、新たな利用者認証が必要であることを、利用者に通知、若しくは、新たな利用者認証を実行することを示す情報を送信する。
【0150】
そして、新たな利用者認証を行うことを、利用者が許可すれば、図6を用いて説明したPIN照合、あるいは図7を用いて説明した生体認証を実施する。携帯端末1の利用者表示部16には、例えば図5で説明した一連の画面を表示していくことが考えられる。
【0151】
以上説明した処理ステップにより、決済端末5は、ICチップ3から取得した利用者信頼度情報114が、決済を行うのに十分な値で無いと判断したら、新たな利用者認証処理をICチップに要求する。これにより、成りすましによる不正利用のリスクを低減することが可能になり、セキュリティが向上する。
【0152】
ここで、図8を用いて説明したように、ICチップ3が、携帯端末1から通知を受けたイベントに応じて、利用者信頼度情報114を変更した結果、利用者信頼度情報114が所定の値(例えば0)以下となった場合は、ICチップ3全体の機能を停止するように、ICチップ3を制御しても良い。
【0153】
あるいは、ICチップ3を用いた利用者認証が実行できないように、ICチップ3を制御しても良い。この場合、決済端末5はICチップ3との通信が出来なくなるか、あるいは利用者認証が実行できなくなる。これにより、携帯端末1の紛失・盗難の可能性が高まった場合に、ICチップ3が不正利用されるリスクをさらに軽減することが可能になる。
(12)本実施の形態の変形例
前述の説明においては、決済処理時において、決済端末5が、新たな利用者認証の要否を判定していたが、ICチップ3で新たな利用者認証の要否を判定する構成としても良い。
【0154】
図1との対応部分に同一符号を付した図11は、本実施の形態の変形例となる、決済システムの構成を示すブロック図である。
【0155】
図11においては、ICチップ3が搭載するメモリ31に、信頼度閾値テーブル122を格納する構成となっている。これにより、ICチップ3は、決済処理時に、信頼度閾値テーブル122を参照して、信頼度の閾値を決定し、かかる閾値と利用者信頼度情報114を比較することで新たな利用者認証の要否を判定することが可能になる。
(13)実施の形態の効果
以上のように本実施の形態による携帯端末1、ICチップ3、決済端末5を用いれば、決済処理に先立って実行した利用者認証の結果と、決済を実施するまでに発生した、ICチップの不正利用の可能性が高まりそうなイベントを考慮して、現時点での利用者信頼度情報を決定し、かかる利用者信頼度情報に基づいて、決済処理時に、新たな利用者認証の要否を判定することが可能になる。これにより、利用者の利便性を損なうことなく、ICチップが不正利用される可能性を低減できる。
【図面の簡単な説明】
【0156】
【図1】本実施の形態における決済システムの構成を示すブロック図である。
【図2】図1に示したイベント設定テーブルの構成図である。
【図3】図1に示したイベント管理テーブルの構成図である。
【図4】図1に示した信頼度閾値テーブルの構成図である。
【図5】図1に示した携帯端末が表示する画面例を示す概念図である。
【図6】PIN照合を用いた利用者認証処理の流れを示すシーケンス図である。
【図7】生体認証を用いた利用者認証処理の流れを示すシーケンス図である。
【図8】イベントの監視処理の流れを示すシーケンス図である。
【図9】新たな利用者認証が不要となる決済処理の流れを示すシーケンス図である。
【図10】新たな利用者認証が必要となる決済処理の流れを示すシーケンス図である。
【図11】本実施の形態の変形例である決済システムの構成を示すブロック図である。
【符号の説明】
【0157】
1…携帯端末、3…ICチップ、5…決済端末、
11…メモリ、12…携帯端末制御部、13…ICチップ通信部、14…無線通信部
15…利用者認証開始ボタン、16…利用者表示部、17…利用者操作部、18…生体センサ
19…タイマー、20…加速度センサ、21…位置情報検出部、22…電源制御部、23…アンテナ
31…メモリ、32…ICチップ制御部、33…接触通信部、34…非接触通信部、
35…暗号処理部、36…電源制御部、37…アンテナ、
51…メモリ、52…決済端末制御部、53…非接触ICカード通信部、54…アンテナ、
100…オペレーティングシステム、101…携帯端末制御プログラム、102…イベント監視プログラム、
103…携帯端末制御データ、104…イベント設定テーブル、
110…オペレーティングシステム、111…利用者認証処理プログラム、112…決済処理プログラム、
113…利用者認証登録情報(利用者認証登録データ)、114…利用者信頼度情報、115…イベント管理テーブル、
116…利用者認証フラグ、117…決済関連情報、
121…決済端末制御プログラム、122…信頼度閾値テーブル
【技術分野】
【0001】
本発明は、決済処理やアクセス認証処理に必要な利用者認証を行う技術に関する。
【背景技術】
【0002】
近年、非接触ICカード機能を搭載した携帯端末を用いて決済を行うサービス(以下、決済サービスと称する)や入場管理等のアクセスを実行して認証を行うサービス(以下、アクセス認証サービス、若しくは、アクセス認証と称する)を行う事が広く普及している。非接触ICカードはICカード読取装置にかざすだけで、決済や認証処理を行う事が出来るため利便性に優れている。
【0003】
非接触ICカード機能を携帯端末に搭載し、携帯端末からもICカードにアクセス出来るようにすることで、非接触ICカードが提供する機能に加えて、携帯端末のディスプレイに決済結果や決済履歴等を表示するなど、利用者の利便性をさらに向上することができる。
【0004】
今後はより高額な決済といった高いセキュリティが求められる処理にも非接触ICカード機能搭載の携帯端末が使われていくことが想定されるが、この場合、盗難された携帯端末による不正利用を防止するために、利用者認証を行う事が必須となってくると思われる。
【0005】
利用者認証の方式としてはPIN(Personal Identification Number)照合方式、あるいは生体認証方式を用いることが考えられる。PIN照合方式は予め利用者の暗証番号であるPIN番号をICカード等に登録しておき、被験者が入力したPIN番号と照合を行うことで、被験者が利用者本人であることを確認する。
【0006】
生体認証方式は、指紋や指静脈パターン、あるいは虹彩パターンといった、各個人で異なっている生体情報を予めICカード等に登録しておき、被験者の生体情報と照合することで、被験者が利用者本人であることを確認する。非接触ICカード機能を搭載した携帯端末で利用者認証を行う例としては特許文献1が挙げられる。
【0007】
特許文献1では、非接触型ICカード機能を搭載した携帯端末に、予め暗証番号を登録しておき、ICカード機能の利用に先立って暗証番号を入力し、入力暗証番号と登録暗証番号とが一致したときのみ所定の時間だけICカード機能を使用可能にする(ロックを解除する)。
【0008】
暗証番号による利用者認証を行った後、所定の時間が経過するまでにICカード機能を利用しないと、ICカード機能がロックして再度利用者認証が必要となるため、紛失・盗難時における不正使用が防止できる。
【特許文献1】特願2001-194306
【発明の開示】
【発明が解決しようとする課題】
【0009】
特許文献1では、事前に行った利用者認証が有効となる時間を定めることで、ICカード機能を利用するまでの間の不正利用を防止しているが、時間以外の携帯端末の状態については考慮していない。
【0010】
例えば、一定時間が経過していなくても、利用者認証を行った時の場所から一定の距離を移動してしまった場合や、利用者認証を行った後に落下等の大きな衝撃、または加速度が携帯端末に加わった場合などは、紛失・盗難時の可能性が高くなるかもしれない。従って、このような衝撃、または加速度等が加わった場合には、上記ICカード機能の利用について、何等かの制限などを図ることが考えられる。
【0011】
また、特許文献1では、利用者認証実施後に一定時間が経過したら、再度利用者認証を必ず行う必要があるものとしている。しかし、ICカード機能の利用内容によっては、求められる利用者認証の信頼度が異なり、利用者認証を必ず、繰り返し行うようにすることで、利用者の利便性を損ねてしまう可能性がある。例えば、高額な決済を行う場合は利用者認証に高い信頼度が求められるが、小額決済の場合は利用者認証が不要となるかもしれない。
【0012】
本発明は前述の課題に鑑みてなされたものであり、非接触ICカード機能を搭載した携帯端末を用いて、利用者認証を行ってから決済等の非接触ICカード取引を行う場合に、利用者の利便性を損なうことなく、非接触ICカードが不正利用される可能性を低減する、高いセキュリティ機能を有した半導体素子(以下、ICチップと称する)、携帯端末、および情報端末を提供することを目的とする。
【課題を解決するための手段】
【0013】
前述した課題を解決するために、本発明におけるICチップは、時間を測定するタイマーあるいは所定の物理的情報を検出するセンサーを内蔵した携帯端末に搭載され、情報端末との間で決済あるいはアクセス認証を行うICチップであって、前記ICチップは、前記情報端末と非接触通信を行う非接触通信部と、前記携帯端末と接触通信を行う接触通信部と、現在前記携帯端末を操作している人が真の利用者としてどの程度信頼できるかを表す情報である、利用者信頼度情報を格納するメモリを有し、前記タイマーあるいは前記センサーの出力が変化したことを表す状態変化情報、若しくは通知を、前記情報端末から前記接触通信部を介して受信した場合、前記状態変化情報、若しくは通知に基づいて前記利用者信頼度情報を変更、若しくは更新することを特徴とする。
【0014】
また、本発明における携帯端末は、非接触通信機能と接触通信機能と利用者の正当性を認証する利用者認証機能とを有するICチップを搭載した携帯端末であって、前記携帯端末は、時間を測定するタイマーあるいは所定の物理的情報を検出するセンサーと、前記ICチップと接触通信を行うICチップ通信部と、前記携帯端末を制御するプログラムあるいはデータを格納するメモリを有し、前記メモリには、前記タイマーあるいは前記センサーを用いて監視する物理的情報を設定するためのイベント設定テーブルを格納し、前記携帯端末は、前記ICチップを用いた利用者認証が成功した場合に、前記イベント設定テーブルに設定された前記携帯端末の状態の監視を開始し、前記携帯端末の状態変化が発生した場合は、前期ICチップ通信部を介して、前記ICチップに前記携帯端末の状態変化の情報を通知することを特徴とする。
【0015】
また、本発明における情報端末は、非接触通信機能と利用者の正当性を認証する利用者認証機能を有するICチップとの間で、決済あるいはアクセス認証を行う情報端末であって、前記情報端末は、前記ICチップと非接触通信を行う非接触通信部と、前記ICチップの利用者がどの程度信頼できるかを表す利用者信頼度情報の閾値を、決済あるいはアクセス認証に必要なセキュリティレベルに応じて決定する信頼度閾値テーブルを格納するメモリを有し、前記ICチップから、前記非接触通信部を介して、前記利用者信頼度を受信したら、前記信頼度閾値テーブルから、必要な前記閾値を決定し、前記利用者信頼度情報と前記閾値を比較することで、新たな利用者認証の要否を判断することを特徴とする。
【0016】
ここで、前記構成について、以下に別の表現にて、説明する。
【0017】
時間を測定するタイマーあるいは所定の物理的情報を検出するセンサーを備えた携帯端末に搭載され、情報端末との間で決済あるいは認証を行う半導体素子であって、前記半導体素子は、前記情報端末と非接触通信を行う非接触通信部と、前記携帯端末と接触通信を行う接触通信部と、情報を記憶する記憶部と、少なくとも前記非接触通信部、接触通信部、記憶部の制御を行う半導体素子制御部とを有し、前記携帯端末の利用者としての情報である利用者認証登録情報を前記記憶部に記憶し、前記携帯端末に入力された認証に関する情報と前記利用者認証登録情報との類似の度合いに対応する利用者信頼度情報を前記記憶部に記憶し、前記タイマーあるいは前記センサーの出力の変化を示す状態変化通知情報を、前記情報端末から受信した後に、前記利用者信頼度情報を変更するようにする。
【0018】
また、前記半導体素子が前記利用者信頼度情報を前記情報端末に送信した後に、前記情報端末との間で決済あるいは認証を実行するようにする。
【0019】
また、前記携帯端末から受信する前記状態変化通知情報は、前記携帯端末が前回の認証処理を行った時から所定の時間の経過を検出したこと、あるいは、前記携帯端末に所定の加速度が加わったことを検出したこと、あるいは、前記携帯端末の位置が所定の距離を示す値を移動したことを検出したことを示す情報であるものとする。
【0020】
また、前記半導体素子は、利用者を認証する利用者認証部を有し、前記携帯端末から利用者認証要求情報を受信した後に、前記利用者認証部によって、前記携帯端末に入力された認証に関する情報と前記利用者認証登録情報とを用いて演算を行い、当該演算出力の後に、前記利用者信頼度情報を変更するようにする。
【0021】
また、非接触通信部と、接触通信部と、利用者を認証する利用者認証部とを有する半導体素子を搭載した携帯端末であって、前記携帯端末は、時間を測定するタイマーあるいは所定の物理的情報を検出するセンサーと、前記半導体素子と接触通信を行う半導体素子通信部と、前記携帯端末を制御するプログラムあるいは情報を記憶する記憶部とを有し、前記タイマーあるいは前記センサーを用いて監視する物理的情報を設定するイベント設定テーブルを前記記憶部に記憶し、前記携帯端末は、前記半導体素子を用いた利用者認証が成功した後に、前記イベント設定テーブルに設定された前記携帯端末の状態を監視し、前記携帯端末の状態変化が発生した場合は、前記半導体素子に前記携帯端末の状態変化通知情報を送信するようにする。
【0022】
また、非接触通信部と、利用者を認証する利用者認証部とを有する半導体素子との間で、決済あるいは認証を行う情報端末であって、前記情報端末は、前記半導体素子と非接触通信を行う非接触通信部と、情報を記憶する記憶部とを有し、前記半導体素子の利用者に関する利用者信頼度情報の閾値、または、決済あるいは認証にて参照されるセキュリティレベルに対応する閾値の情報が設定された信頼度閾値テーブルとを前記記憶部に記憶し、前記半導体素子から、前記利用者信頼度情報を受信した後に、前記利用者信頼度情報と前記閾値とを比較し、認証の実行の要否を判断するようにする。
【発明の効果】
【0023】
本発明を用いることで、利用者の利便性を低下させずに、非接触ICカードが不正利用される可能性を低減する高いセキュリティ機能を有したICチップ、携帯端末、および情報端末を提供できる。
【発明を実施するための最良の形態】
【0024】
以下、本発明の一実施の形態について、図面を詳細に説明する。
(1)本実施の形態による携帯端末、ICチップ、および決済端末のハードウェア構成
図1は本実施の形態における決済システムの構成を示すブロック図である。図1において、1は携帯端末、3はICチップ、5は決済端末である。携帯端末1はICチップ3を用いて、決済端末5との間で決済処理を行う機能を有する。携帯端末1の具体的な製品例としては携帯電話が考えられる。あるいは他の携帯可能な端末であっても良い。
【0025】
ICチップ3は利用者認証と決済取引処理を行うために使用するセキュアなハードウェアであり、携帯端末1と有線で通信を行うと共に、決済端末5と無線で通信を行う。
【0026】
ICチップ3は携帯端末1の内部に内蔵されたLSIとして実現しても良い。あるいは脱着可能なICカードとして実現しても良い。
【0027】
決済端末5は、銀行のATM、あるいはスーパーマーケット等の店舗に設置された決済端末である。なお、本実施の形態では、ICチップ3と決済端末5との間で決済処理を行うことを想定して説明を行うが、決済以外の認証処理(例えばセキュリティルームへの入退出認証処理等)を行う場合であっても本発明の適用範囲である。
【0028】
次に、携帯端末1の内部回路構成について説明していく。携帯端末1はメモリ11、携帯端末制御部12、ICチップ通信部13、無線通信部14、利用者認証開始ボタン15、利用者表示部16、利用者操作部17、生体センサ18、タイマー19、加速度センサ20、位置情報検出部21、電源制御部22、およびアンテナ23を有している。
【0029】
メモリ11はRAM、ROM、フラッシュROMといった半導体メモリ、あるいはハードディスクから構成され、携帯端末1を制御するためのプログラムおよび関連データを一時的あるいは永続的に格納する。
【0030】
携帯端末制御部12は携帯端末1のメインCPU(Central Processing Unit)であり、メモリ11に格納されているプログラムおよび関連データに基づいて、携帯端末1全体の制御を行う。
【0031】
ICチップ通信部13はICチップ3と有線で通信する機能を有し、ICカード通信方式の国際標準規格であるISO/IEC7816に従った手順でICチップ3と通信することが考えられる。あるいは他の通信方式を用いても本発明の適用範囲である。
【0032】
無線通信部14は携帯端末1が無線で外部と通信するために用いる。例えば携帯電話基地局と通信する機能、あるいは無線LANやBluetoothといった無線通信機能として実現することが考えられる。
【0033】
利用者認証開始ボタン15は利用者の意思により利用者認証を実行する時に押下する操作ボタンである。利用者認証開始ボタン15は他の機能を兼ね備えていても良い。例えば利用者認証開始ボタン15を長いと思える時間の期間、押していると携帯端末1の電源がオフとなり、短いと思える時間の期間、押していると利用者認証を実行することが考えられる。
【0034】
利用者表示部16は利用者に対し、液晶ディスプレイ等を用いて画像や文字あるいはGUI(Graphical User Interface)を画面表示したり、スピーカーを用いて音声情報を出力したりする機能を有する。
【0035】
利用者操作部17は、操作ボタンやタッチパット、あるいはタッチパネルを用いて、利用者が携帯端末1を操作するための機能を提供する。
【0036】
生体センサ18は、生体情報を読取る機能を有しており、例えば指紋や指静脈パターンを読取ることが考えられる。あるいは、他の生体情報を読取る機能を有していても本発明の適用範囲である。
【0037】
タイマー19は一定時間が経過したら、携帯端末制御部12に通知信号を発生する機能を有する回路である。
【0038】
加速度センサ20は加速度を検出する回路素子であり、例えば検出した加速度が予め設定しておいた閾値に達したら、携帯端末制御部12に通知信号を発生する。これにより携帯端末1が落下したり、何らかの衝撃、または加速度が加えられたりしたことを検出することが可能になる。
【0039】
位置情報検出部21は、GPS(Global Positioning System)等を用いて、携帯端末1の現在位置を検出する機能を有する。電源制御部22は携帯端末1の電源制御を行う。アンテナ23は無線通信部14が外部と無線通信を行うために使用する。
【0040】
次に、ICチップ3の内部回路構成について説明していく。ICチップ3はメモリ31、ICチップ制御部32、接触通信部33、非接触通信部34、暗号処理部35、電源制御部36、およびアンテナ37を有している。
【0041】
メモリ31はRAM、ROM、EEPROMといった半導体メモリで構成され、ICチップ3を制御するためのプログラムおよび関連データを一時的あるいは永続的に格納する。
【0042】
ICチップ制御部32はICチップ3のメインCPU(Central Processing Unit)であり、メモリ31に格納されているプログラムおよび関連データに基づいて、ICチップ3全体の制御を行う。
【0043】
接触通信部33は携帯端末1と有線で通信する機能を有し、ICカード通信方式の国際標準規格であるISO/IEC7816に従った手順で携帯端末1と通信することが考えられる。あるいは他の通信方式を用いても本発明の適用範囲である。
【0044】
非接触通信部は決済端末5と無線で通信する機能を有し、非接触ICカード通信方式の国際標準であるISO/IEC14443、あるいはNFC(Near Field Communication)通信方式の国際標準であるISO/IEC18092に従った手順で、決済端末5と通信することが考えられる。あるいは他の通信方式を用いても本発明の適用範囲である。
【0045】
暗号処理部35はICチップ3が行う暗号処理や認証処理をICチップ制御部32に代わって高速に実行する回路であり、例えば共通鍵暗号方式のDESアルゴリズムや公開鍵暗号方式のRSAアルゴリズムに基づいた暗号処理に必要な演算を行う。
【0046】
電源制御部36は携帯端末1から接触通信部33を介して有線で供給された電力、あるいは決済端末5から非接触通信部34を介して無線で供給された電力を用いて、ICチップ3を駆動するための電力制御を行う回路である。
【0047】
アンテナ37は非接触通信部34が決済端末5と非接触通信を行うために使用する。例えば非接触通信で使用する電波周波数が13.56MHz帯の場合はアンテナコイルと呼ばれる渦巻状に巻かれた形状となり、信号を送受信する役割を果たすと共に、決済端末5が発生させた電磁界からICチップ3を駆動するための電力を取得する機能を有するようにしても良い。
【0048】
次に、決済端末5の内部回路構成について説明していく。決済端末5はメモリ51、決済端末制御部52、非接触ICカード通信部53、およびアンテナ54を有する。
【0049】
メモリ51はRAM、ROM、フラッシュROMといった半導体メモリ、あるいはハードディスク等から構成され、決済端末5を制御するためのプログラムおよび関連データを一時的あるいは永続的に格納する。
【0050】
決済端末制御部52は決済端末5のメインCPU(Central Processing Unit)でありメモリ51に格納されているプログラムおよび関連データに基づいて、決済端末5全体の制御を行う。
【0051】
非接触ICカード通信部53はICチップ3と無線で通信する機能を有し、非接触ICカード通信方式の国際標準であるISO/IEC14443、あるいはNFC(Near Field Communication)通信方式の国際標準であるISO/IEC18092に従った手順でICチップ3と通信することが考えられる。あるいは他の通信方式を用いても本発明の適用範囲である。
【0052】
アンテナ54は非接触ICカード通信部53がICチップ3と非接触通信を行うために使用する。なお、アンテナ54は、例えば、利用者が携帯端末1を手に持った場合などに、楽な姿勢、動作によって、自然にかざすことが出来るように、通信できるように配置するのが望ましい。例えば、非接触ICカード通信部53と決済端末制御部52は専用のケーブルで接続し、非接触ICカード通信部53とアンテナ54が、決済端末5とは別のハードウェアモジュールとなるようにしても良い。この場合、利用者が携帯端末1をかざし易いように、アンテナ54の位置を変更することが可能になる。
(2)本実施の形態による携帯端末、ICチップ、および決済端末のソフトウェア構成
図1において示した、携帯端末1、ICチップ3、および決済端末5のソフトウェア構成について説明する。
【0053】
まず、携帯端末1のソフトウェア構成について図1を用いて説明していく。携帯端末1に搭載されたメモリ11には、オペレーティングシステム100、携帯端末制御プログラム101、イベント監視プログラム102、携帯端末制御データ103、およびイベント設定テーブル104を格納している。
【0054】
オペレーティングシステム100はアプリケーションプログラムを実行するために必要な基本機能を提供するシステムプログラムであり、例えばアプリケーションプログラムに対して携帯端末1を制御するためのAPI(Application Programming Interface)を提供したり、各アプリケーションプログラムの実行管理を行ったりする。オペレーティングシステム100として、Linuxオペレーティングシステムを用いることが考えられる。あるいは他のオペレーティングシステムを用いた場合でも本発明の適用範囲である。
【0055】
携帯端末制御プログラム101は、オペレーティングシステム100の上で動作するアプリケーションプログラムであり、携帯端末1の各種制御を行う。
【0056】
イベント監視プログラム102はオペレーティングシステム100の上で動作するアプリケーションプログラムであり、タイマー19、加速度センサ20、位置情報検出部21、電源制御部22などを用いて、携帯端末1の内部状態を監視し、携帯端末1の不正利用の可能性が高まりそうなイベントが発生したら、そのことを示す信号、情報をICチップ3に送信、通知を行う。
【0057】
ここでイベントとは携帯端末1内部で生じた所定の現象のことである。イベントの例としては、一定時間が経過した、所定の加速度(衝撃)を検出した、一定の位置を移動した、といったことが挙げられる。
【0058】
携帯端末制御データ103は、携帯端末1を制御するために必要な各種データであり、携帯端末制御プログラム101が携帯端末1を制御するために使用する。
【0059】
イベント設定テーブル104は、イベント監視プログラム102が監視する必要のあるイベントを設定するためのテーブル情報である。イベント設定テーブル104の詳細については後述する。
【0060】
なお、オペレーティングシステム100、携帯端末制御プログラム101、およびイベント監視プログラム102の全てあるいは何れかを、同一のプログラムとして実現している場合でも本発明の適用範囲である。
【0061】
次に、ICチップ3のソフトウェア構成について図1を用いて説明していく。ICチップ3に搭載されているメモリ31には、ICカードオペレーティングシステム110、利用者認証処理プログラム111、決済処理プログラム112、利用者認証登録情報(但し、図面では、利用者認証登録データと表示している)113、利用者信頼度情報(但し、図面では、利用者信頼度と表示している)114、イベント管理テーブル115、利用者認証フラグ116、および決済関連情報117を格納している。
【0062】
ICカードオペレーティングシステム110は、ICカードアプリケーションプログラムを実行するために必要な基本機能を提供するシステムプログラムであり、例えばICカードアプリケーションプログラムに対してICチップ3を制御するためのAPI(Application Programming Interface)を提供する。また外部からの通信制御により、ICカードアプリケーションを選択して実行する機能を有する。
【0063】
ICカードオペレーティングシステム110として、MULTOSやJava(登録商標)Cardを用いることが考えられる。あるいは他のオペレーティングシステムを用いても本発明の適用範囲である。
【0064】
利用者認証処理プログラム111はICカードオペレーティングシステム110の上で動作するICカードアプリケーションプログラムであり、携帯端末1の利用者が正当であるか否かを確認する利用者認証処理を行う。若しくは、前記携帯端末1に入力された認証に関する情報と前記利用者認証登録データとを用いて演算を行う。当該演算とは、前記携帯端末1に入力された認証に関する情報と前記利用者認証登録データとの類似の度合いを抽出、算出して得る、更には、類似の度合いに対応する値を出力するものでも良い。例えば、PIN照合や生体認証を行うことが考えられる。あるいは他の方法で利用者認証処理を行っても本発明の適用範囲である。
【0065】
決済処理プログラム112は、ICカードオペレーティングシステム110の上で動作するICカードアプリケーションプログラムであり、決済端末5との間で、所定の方式に基づいた決済処理を行う。例えば、クレジットカード決済や電子マネー決済を行うことが考えられる。あるいは他の決済方式を行う場合でも本発明の適用範囲である。
【0066】
利用者認証登録データ(または、利用者認証登録情報)113は利用者認証処理プログラム111が利用者を認証するために用いる情報であって、携帯端末の利用者に関する情報であり、利用者自身のPIN番号や生体情報を予め登録しておく。利用者認証登録データ113としてPIN番号が登録されている場合は、利用者認証処理プログラム111はPIN照合による利用者認証を行う。あるいは、利用者認証登録データ113として生体情報が登録されている場合は、利用者認証処理プログラム111は生体認証による利用者認証を行う。
【0067】
利用者信頼度情報114は、現在携帯端末1を操作している人が、正当な利用者としてどの程度信頼出来るかを数値で表したデータであり、若しくは、前記携帯端末1に入力された認証に関する情報と前記利用者認証登録データとの類似の度合いに対応する情報、データであり、過去に実施した利用者認証の結果と、その後の携帯端末1の状態変化に応じて決定・変更、若しくは更新される。
【0068】
本実施の形態では、利用者信頼度情報114は、利用者認証処理プログラム111が変更、若しくは更新処理を行い、決済処理プログラム112からは参照のみ可能としている。
【0069】
イベント管理テーブル115は、利用者認証の結果や携帯端末1の状態変化等のイベントが発生したときに、利用者認証処理プログラム111が、利用者信頼度情報114の増減値を決定するために用いるテーブル情報である。イベント管理テーブル115の詳細については後述する。
【0070】
利用者認証フラグ116は利用者認証処理プログラム111によって実行された利用者認証の結果を表すフラグであり、利用者認証処理プログラム111がサポートしている夫々の利用者認証に対して、成功か失敗、あるいは未実施であることを示す。
【0071】
決済関連情報117は決済処理プログラム112が所定の決済処理を行うために使用するデータであり、例えば、電子マネー残高や、クレジットカード番号などから構成される。
【0072】
なお、ICカードオペレーティングシステム110、利用者認証処理プログラム111、および決済処理プログラム112の全てあるいは何れかを、同一のプログラムとして実現している場合でも本発明の適用範囲である。
【0073】
次に、決済端末5のソフトウェア構成について説明していく。決済端末5に搭載されるメモリ51には、決済端末制御プログラム121と信頼度閾値テーブル122が格納されている。
【0074】
決済端末制御プログラム121は、決済端末5のアンテナ54に携帯端末1がかざされると、携帯端末1内部のICチップ3との間で所定の決済処理を非接触通信で行うプログラムである。
【0075】
信頼度閾値テーブル122は、決済端末5がICチップ3との間で決済の内容(決済金額等)と、ICチップ3が管理している利用者信頼度情報114から、新たに利用者認証を行う必要があるかを決定するためのテーブル情報である。
【0076】
信頼度閾値テーブル122の詳細については後述する。なお、図1には明示していないが、決済端末制御プログラム121は、オペレーティングシステム上で動作するアプリケーションプログラムとして実現しても本発明の適用範囲である。
(3)携帯端末が保持するイベント設定テーブルの構成
図2は、携帯端末1に保存されているイベント設定テーブル104の構成例を示している。本実施の形態の場合、イベント設定テーブル104には、イベント識別子211、有効フラグ212、および設定値213がカラム項目として設定されている。
【0077】
イベント識別子211は、携帯端末1の内部で発生するイベントを一意に識別する番号あるいは文字列である。図2の例では、「タイマー通知」をEvent1、「落下検出」をEvent2、「位置移動検出」をEvent3に割り当てて識別可能にしている。
【0078】
有効フラグ212は、イベント識別子211で識別されるイベントの発生を監視するか否かを決定するフラグである。
【0079】
設定値213はイベント識別子211で識別されるイベントの発生条件を設定する。図2の例では、1分間隔で「タイマー通知」を行い、また100m移動したら「位置移動検出」を行う。図2で例示した以外のイベントや設定値をイベント設定テーブル104に設定した場合でも本発明の適用範囲である。
【0080】
イベント設定テーブル104は、携帯端末1の出荷時に所定の値を初期値として設定しておき、その後、利用者が携帯端末1を操作することで変更可能にしても良い。あるいは特定の権限のある者しか変更出来ないようにしても良い。例えば特定の暗証番号を入力する、あるいは何らかの認証処理を行わないと変更出来ないようにしても良い。
(4)ICチップが保持するイベント管理テーブルの構成
図3は、ICチップ3に保存されているイベント管理テーブル115の構成例を示している。本実施の形態の場合、イベント管理テーブル115には、イベント識別子221と信頼度増減値222がカラム項目として設定されている。
【0081】
イベント識別子221は、携帯端末1の内部で発生するイベントを一意に識別する番号あるいは文字列であり、イベント設定テーブル104のイベント識別子211と同じ体系でイベントを識別する。図3の例では「タイマー通知」をEvent1、「落下検出」をEvent2、「位置移動検出」をEvent3、「PIN照合成功」をEvent4、「生体認証成功」をEvent5、「決済実行」をEvent6に割り当てて識別可能にしている。
【0082】
信頼度増減値222は関連するイベントが発生した場合に、利用者信頼度情報114をどの程度増減するかを決定する値である。
【0083】
図3の例では「タイマー通知」イベントが発生したら2を減算し、「落下検出」イベントが発生したら5を減算し、「位置移動検出」イベントが発生したら4を減算し、「PIN照合成功」イベントが発生したら5を加算し、「生体認証成功」イベントが発生したら10を加算し、「決済実行」イベントが発生したら10を減算している。図3で例示した以外のイベントや増減値をイベント管理テーブル115に設定した場合でも本発明の適用範囲である。
【0084】
ここで、利用者認証フラグ116を考慮して増減値を決定するように、イベント管理テーブル115を構成しても良い。例えば、利用者認証フラグ116がPIN照合による利用者認証が成功していることを表している状態で、新たに「PIN照合成功」イベントが発生した場合は、増減値は0とする(利用者信頼度情報114は増減しない)ことが考えられる。PIN照合による利用者認証が1回成功した場合と、立て続けに2回成功した場合とでは、利用者の信頼度は変化しないからである。
【0085】
イベント管理テーブル115は、ICチップ3の出荷時に所定の値を初期値として設定しておき、その後、利用者が携帯端末1を操作することで変更可能にしても良い。あるいは特定の権限のある者しか変更出来ないようにしても良い。例えば特定の暗証番号を入力する、あるいは何らかの認証処理を行わないと変更出来ないようにしても良い。
(5)決済端末が保持する信頼度閾値テーブルの構成
図4は、決済端末5に保存されている信頼度閾値テーブル122の構成例を示している。本実施の形態の場合、信頼度閾値テーブル122は決済金額231と信頼度閾値232がカラム項目として設定されている。
【0086】
決済金額231は決済端末5とICチップ3との間の決済において取引される金額の範囲である。
【0087】
信頼度閾値232は、決済金額231で指定された金額を決済する場合に求められる、利用者認証の信頼度の閾値を表す。図4の例では、決済金額が3000円未満の場合、利用者信頼度情報は0以上であれば再度利用者認証を行う必要は無い。また決済金額が3000円以上10000円未満の場合、利用者信頼度は5以上であれば再度利用者認証を行う必要は無い。また決済金額が10000円以上の場合、利用者信頼度情報は10以上であれば再度利用者認証を行う必要は無い。
【0088】
図4で例示した以外の設定値を用いても本発明の適用範囲である。また、図4で例示した信頼度閾値テーブル122は、決済金額に応じて利用者認証の信頼度の閾値を決定しているが、決済金額以外のパラメータを用いて利用者認証の信頼度の閾値を決定しても良い。例えば、決済端末5での決済処理を待っている人数をパラメータとして、待っている人が多い場合の混雑度に応じて、利用者認証の信頼度の閾値を決定するようにしても良い。
(6)利用者認証処理時に携帯端末に表示される画面構成
図5は、携帯端末1を用いて利用者認証を行う時に、利用者表示部16に表示される各種画面を示している。本実施の形態の場合、図5(a)に示すように、携帯端末1が具備している利用者認証開始ボタン15を押下することで、利用者表示部16に、利用者認証を実行することを確認するための画面を表示する。
【0089】
あるいは、利用者操作部17を構成するいずれかのボタンを操作することで図5(a)の画面を表示するようにしても良い。あるいは、ICチップ3の非接触通信部34を用いて非接触通信を開始した事を、ICチップ通信部13経由で携帯端末1が検出した時に、図5(a)の画面を表示するようにしても良い。
【0090】
その後、利用者が画面上の開始ボタン230を選択すると、利用者認証が実行される。ここで開始ボタン230の選択は、各種キーボタンから構成される利用者操作部17を操作することで行う。
【0091】
もし、利用者認証にPIN照合方式を用いる場合は、図5(b)に示すように、画面上にPIN番号を入力するためのメッセージを表示する。これにより、利用者は携帯端末1の利用者操作部17を操作してPIN番号を入力し、PIN照合を行う。
【0092】
もし、利用者認証に、指紋認証や指静脈認証などといった生体認証を用いる場合、図5(c)に示すように、画面上に生体認証を行うことを利用者に通知するメッセージ、情報を表示する。これにより、利用者は携帯端末1の生体センサ18を用いて生体照合データを入力し、生体認証を行う。PIN照合あるいは生体認証を用いた利用者認証が成功したら、図5(d)に示すように、利用者認証が成功したことを画面に表示する。
(7)PIN照合を用いた利用者認証処理
図6は、PIN照合を用いた利用者認証を実行する際の、携帯端末1とICチップ3の間の処理ステップを示している。以下の説明において、携帯端末1で行う処理は主に携帯端末制御プログラム101が実行され、ICチップ3で行う処理は主に利用者認証処理プログラム111が実行される。
【0093】
[ステップS1000] PIN照合処理は、利用者が利用者認証ボタン15を押下することで開始される。あるいは、利用者操作部17を構成するいずれかのボタンを操作することで開始しても良い。あるいは、ICチップ3の非接触通信部34を用いて非接触通信を開始した事を、ICチップ通信部13経由で携帯端末1が検出した時に開始しても良い。
【0094】
[ステップS1001] 携帯端末1は、PIN番号の入力要求を、利用者表示部16を用いて利用者に提示する。
【0095】
[ステップS1002] 利用者は、利用者操作部17を用いて、PIN番号を入力する。
【0096】
[ステップS1003] 携帯端末1は、利用者が入力したPIN番号を、ICチップ通信部13経由でICチップ3に送信する。
【0097】
[ステップS1004] ICチップ3は、利用者認証登録データ113として管理している登録PIN番号と、携帯端末1から取得したPIN番号が一致するかを確認することで、PIN照合による利用者認証を行う。
【0098】
[ステップS1005] ICチップ3は、PIN照合による利用者認証が成功したら、イベント管理テーブル115を参照して、利用者信頼度情報114の増減値を決定する。そして、利用者信頼度情報114と決定した増減値と加算(あるいは減算)することで、利用者信頼度情報114を変更、若しくは更新する。
【0099】
例えば図3を用いて説明した例では、PIN照合による利用者認証が成功したら、利用者信頼度情報114に5を加算する。その後、ICチップ3は、PIN照合による利用者認証の結果に基づいて、利用者認証フラグ116を変更、若しくは更新する。なお、利用者認証フラグ116が既に「PIN照合による利用者認証は成功した」旨を表している場合は、利用者信頼度情報114は変更、若しくは更新しないとしても、本発明の適用範囲である。
【0100】
[ステップS1006] ICチップ3は、携帯端末1に、PIN照合による利用者認証の結果を返信する。
【0101】
[ステップS1007] 携帯端末1は、PIN照合による利用者認証の結果を、利用者表示部16を用いて利用者に表示、若しくは通知する。
【0102】
[ステップS1008] 携帯端末1は、PIN照合による利用者認証が成功したら、イベント監視プログラム102を起動することで、携帯端末1に発生するイベントの監視を開始する。
【0103】
以上説明した処理ステップにより、携帯端末1を用いた決済処理を実施する前に、PIN照合を用いた利用者認証を実行することが可能になる。また、PIN照合を用いた利用者認証が成功したら、携帯端末1に発生するイベントの監視を開始することで、決済処理を行うまでに、携帯端末1の不正利用の可能性が高まりそうなイベントの発生を検出する事が可能になる。
(8)生体認証を用いた利用者認証処理
図7は、生体認証を用いた利用者認証を実行する際の、携帯端末1とICチップ3の間の処理ステップを示している。以下の説明において、携帯端末1で行う処理は主に携帯端末制御プログラム101が実行され、ICチップ3で行う処理は主に利用者認証処理プログラム111が実行される。
【0104】
[ステップS1100] 生体認証処理は、利用者が利用者認証ボタン15を押下することで開始される。あるいは、利用者操作部17を構成するいずれかのボタンを操作することで開始しても良い。あるいは、ICチップ3の非接触通信部34を用いて非接触通信を開始した事を、ICチップ通信部13経由で携帯端末1が検出した時に開始しても良い。
【0105】
[ステップS1101] 携帯端末1は、生体センサ18の電源をオンするなどして、利用者の生体情報を取得できるようにする。そして、生体情報の取得要求を、利用者表示部16を用いて利用者に提示する。
【0106】
[ステップS1102] 利用者は、生体センサ18を用いて、生体情報を入力する。
【0107】
[ステップS1103] 携帯端末1は、利用者から取得した生体情報を、ICチップ通信部13経由でICチップ3に送信する。
【0108】
[ステップS1104] ICチップ3は、携帯端末1から取得した生体情報を用いた生体認証を行う。具体的には、利用者認証登録データ113として管理している登録生体情報と、取得した生体情報の類似度を所定のアルゴリズムに基づいて計算し、所定の閾値より類似度が大きければ、利用者認証が成功したと判断する。あるいは所定の閾値より類似度が小さければ、利用者認証が失敗したと判断する。
【0109】
[ステップS1105] ICチップ3は、生体認証による利用者認証が成功したら、イベント管理テーブル115を参照して、利用者信頼度情報114の増減値を決定する。そして、利用者信頼度情報114と決定した増減値と加算(あるいは減算)することで、利用者信頼度情報114を変更、若しくは更新する。
【0110】
例えば図3を用いて説明した例では、生体認証による利用者認証が成功したら、利用者信頼度情報114に10を加算する。その後、ICチップ3は、生体認証による利用者認証の結果に基づいて、利用者認証フラグ116を変更、若しくは更新する。なお、利用者認証フラグ116が既に「生体認証による利用者認証は成功した」旨を表している場合は、利用者信頼度情報114は変更、若しくは更新しないとしても、本発明の適用範囲である。
【0111】
[ステップS1106] ICチップ3は、携帯端末1に、生体認証による利用者認証の結果を返信する。
【0112】
[ステップS1107] 携帯端末1は、生体認証による利用者認証の結果を、利用者表示部16を用いて利用者に表示、若しくは通知する。
【0113】
[ステップS1108] 携帯端末1は、生体認証による利用者認証が成功したら、イベント監視プログラム102を起動することで、携帯端末1に発生するイベントの監視を開始する。
【0114】
以上説明した処理ステップにより、携帯端末1を用いた決済処理を実施する前に、生体認証を用いた利用者認証を実行することが可能になる。また、生体認証を用いた利用者認証が成功したら、携帯端末1に発生するイベントの監視を開始することで、決済処理を行うまでに、携帯端末1の不正利用の可能性が高まりそうなイベントの発生を検出する事が可能になる。
(9)イベントの監視処理
図8は、携帯端末1に発生するイベントの監視と、そのイベントを示す信号、情報の通知を行うための、携帯端末1とICチップ3の間の処理ステップを示している。以下の説明において、携帯端末1で行う処理は主にイベント監視プログラム102が実行され、ICチップ3で行う処理は主に利用者認証処理プログラム111が実行される。
【0115】
[ステップS2001] 携帯端末1は、利用者認証が成功したらイベント監視処理を開始する。まず、イベント設定テーブル104を参照し、有効となっているイベントを監視するために必要なセンサを選択する。
【0116】
例えば、「タイマー通知」イベントを監視するためにはタイマー19を選択し、「落下検出」イベントを監視するためには加速度センサ20を選択し、「位置移動検出」イベントを監視するためには位置情報検出部21を選択する。ここで、イベント設定テーブル104で有効となっているイベントが複数個あれば、対応する複数のセンサを選択する。
【0117】
[ステップS2002] 携帯端末1は、選択した夫々のセンサを用いて、所定の物理量や状態の測定を開始する。そして、測定した物理量や状態が、イベント設定テーブル104の設定値213として設定されているイベントの発生条件を満足するまで待つ。
【0118】
[ステップS2003] 携帯端末1は、選択したセンサを用いて監視しているイベントの発生を検出したら、発生したイベントの識別子を、ICチップ通信部13経由でICチップ3に送信する。
【0119】
[ステップS2004] ICチップ3は、発生したイベントの識別子を、接触通信部33経由で受信したら、イベント管理テーブル115を参照し、発生したイベントに対応する利用者信頼度の増減値を決定する。
【0120】
[ステップS2005] ICチップ3は、利用者信頼度情報114を変更、若しくは更新するために、決定した利用者信頼度情報の増減値を加算(あるいは減算)する。また、もし利用者信頼度情報114が所定の値(例えば0)以下となった場合は、利用者認証フラグ116を「全ての利用者認証が未実施である」旨を表す状態に変更しておく。そして、ICチップ3は処理が完了したことを、接触通信部33経由で携帯端末1に通知する。
【0121】
[ステップS2006] 携帯端末1は、ステップS2002に戻って、イベントの監視処理を継続する。
【0122】
以上説明した処理ステップにより、携帯端末1は、利用者認証処理が成功してから決済処理を行うまでに、不正利用の可能性が高まりそうなイベントの発生を検出してICチップ3に通知し、ICチップ3は通知を受けたイベントに応じて、利用者信頼度情報114を変更、若しくは更新する事が可能になる。
(10)携帯端末を用いた決済処理(新たな利用者認証は不要となる場合)
図9は、携帯端末1内部のICチップ3と、決済端末5との間で行う決済処理ステップの第1の例を示している。本処理ステップは、ICチップ3が管理している利用者信頼度情報114が、決済を行うのに十分であり、新たな利用者認証は不要となる場合に相当する。以下の説明において、ICチップ3で行う処理は主に決済処理プログラム112が実行され、決済端末5で行う処理は主に決済端末制御プログラム121が実行される。
【0123】
[ステップS3000] 利用者は決済を行うために、携帯端末1を決済端末5のアンテナ54にかざす。
【0124】
[ステップS3001] 決済端末5は、非接触ICカード通信部53を制御して、ICチップ3との通信開始要求コマンドを定期的に無線送出しており、アンテナ54に携帯端末1がかざされると、ICチップ3がかかる通信開始要求コマンドに応答する。これにより、決済端末5とICチップ3との間で非接触通信が開始される。その後、決済端末5とICチップ3との間で所定の機器認証を非接触通信で実行する。
【0125】
ここでかかる機器認証は、通信相手が正当な機器であることを、決済端末5とICチップ3の一方あるいは両方が認証する処理であり、暗号処理を用いて実現する。機器認証で使用する暗号アルゴリズムとしては、例えば共通鍵暗号方式のDES暗号や公開鍵暗号方式のRSA暗号を用いることが考えられる。あるいは他の暗号アルゴリズムを用いても本発明の適用範囲である。
【0126】
[ステップS3002] 決済端末5は、かかる機器認証が成功したら、ICチップ3に対して利用者信頼度情報取得要求を送信する。
【0127】
[ステップS3003] ICチップ3は、決済端末5から利用者信頼度情報取得要求を受信したら、かかる機器認証が成功していれば、利用者信頼度情報114を決済端末5に送信する。
【0128】
ここで、ICチップ3は機器認証が成功した正当な相手機器にしか利用者信頼度情報114を送信しないようにしている。これはもしICチップ3が利用者信頼度情報114を無条件に外部出力してしまうと、携帯端末1が攻撃者に盗難されてしまった場合に、攻撃のヒント(新たな利用者認証無しでも決済が出来てしまうかどうか等)を与えてしまう可能性があるためである。
【0129】
また、ICチップ3は、データの盗聴と改ざんを防止するために、利用者信頼度情報114を暗号化すると共に改ざん検出用データを付加して、決済端末5に送信している。
【0130】
ここで、改ざん検出データの生成アルゴリズムとしては、例えば共通鍵暗号方式やハッシュ関数を用いたMAC(Message Authentication Code)アルゴリズムを使用することが考えられる。あるいは他のアルゴリズムに基づいて改ざん検出データを生成しても本発明の適用範囲である。
【0131】
また、暗号処理および改ざん検出データの生成に用いる暗号鍵データとしては、予めICチップ3に保存されている値を用いても良いし、先に実施した機器認証で一時的に生成した値を用いても良い。
【0132】
[ステップS3004] 決済端末5は、暗号化された利用者信頼度情報114を受信したら、復号処理を行うと共に、改ざん検出データの検証処理を行う。改ざん検出データの検証が成功すれば、ICチップ3から取得した利用者信頼度情報114が正当な値であると判断する。
【0133】
ここで、復号処理および改ざん検出データの検証に用いる暗号鍵データとしては、予め決済端末5に保存されている値を用いても良いし、先に実施した機器認証で一時的に生成した値を用いても良い。
【0134】
[ステップS3005] 決済端末5は、信頼度閾値テーブル122を参照して、信頼度の閾値を決定する。例えば図4を用いて説明した様に、決済金額に応じて信頼度の閾値を決定する。そして、利用者信頼度情報114がかかる閾値以上であれば、新たな利用者認証は不要であると判断する。
【0135】
[ステップS3006] 決済端末5は、新たな利用者認証は不要であると判断したら、決済実行の通知を示す情報をICチップ3に送信する。
【0136】
[ステップS3007] ICチップ3は、決済端末5から決済実行の通知を示す情報を受信したら、利用者信頼度情報114を所定の値だけ減算する。例えば図3に示した例では、「決済実行」イベントが発生した場合は利用者信頼度情報114を10だけ減算することで、次に決済処理を行う場合は、新たな利用者認証処理が必要となるようにしている。
【0137】
ここで、もし利用者信頼度情報114が所定の値(例えば0)以下となった場合は、利用者認証フラグ116を「全ての利用者認証が未実施である」旨を表す状態に変更しておく。
【0138】
[ステップS3008] 決済端末5とICチップ3の間で、非接触通信を用いて、決済処理を行う。
【0139】
以上説明した処理ステップにより、決済端末5は、ICチップ3から取得した利用者信頼度情報114を用いて、新たな利用者認証の要否を判断する事が可能になり、利用者信頼度情報114が決済を行うのに十分な値であれば、新たな利用者認証処理を不要とする。これにより、利用者は迅速に決済を行うことが可能になり、利便性が向上する。
(11)携帯端末を用いた決済処理(新たな利用者認証が必要となる場合)
図10は、携帯端末1内部のICチップ3と、決済端末5との間で行う決済処理ステップの第2の実施例を示している。本処理ステップは、ICチップ3が管理している利用者信頼度情報114が、決済を行うのに不十分であり、新たな利用者認証が必要となる場合に相当する。
【0140】
以下の説明において、ICチップ3で行う処理は主に決済処理プログラム112が実行され、決済端末5で行う処理は主に決済端末制御プログラム121が実行される。
【0141】
[ステップS4000] 利用者は決済を行うために、携帯端末1を決済端末5のアンテナ54にかざす。
【0142】
[ステップS4001] 決済端末5は、非接触ICカード通信部53を制御して、ICチップ3との通信開始要求コマンドを定期的に無線送出しており、アンテナ54に携帯端末1がかざされると、ICチップ3は非接触通信部34を制御してかかる通信開始要求コマンドに応答する。これにより、決済端末5とICチップ3との間で非接触通信が開始される。その後、決済端末5とICチップ3との間で所定の機器認証を非接触通信で実行する。
【0143】
[ステップS4002] 決済端末5は、かかる機器認証が成功したら、ICチップ3に対して利用者信頼度情報取得要求を非接触通信で送信する。
【0144】
[ステップS4003] ICチップ3は、決済端末5から利用者信頼度情報取得要求を受信したら、かかる機器認証が成功していれば、利用者信頼度情報114を暗号化すると共に改ざん検出用データを付加して、決済端末5に非接触通信で返信する。
【0145】
[ステップS4004] 決済端末5は、暗号化された利用者信頼度情報114を受信したら、復号処理を行うと共に、改ざん検出データの検証処理を行う。改ざん検出データの検証が成功すれば、ICチップ3から取得した利用者信頼度情報114が正当な値であると判断する。
【0146】
[ステップS4005] 決済端末5は、信頼度閾値テーブル122を参照して、信頼度の閾値を決定する。そして、利用者信頼度情報114がかかる閾値未満であれば、新たな利用者認証が必要であると判断する。
【0147】
[ステップS4006] 決済端末5は、新たな利用者認証が必要であると判断したら、利用者認証要求情報(但し、図面では、利用者認証要求と表示している)をICチップ3に非接触通信で送信する。
【0148】
[ステップS4007] ICチップ3は、決済端末5から利用者認証要求を非接触通信で受信したら、携帯端末1に利用者認証要求を、接触通信部33経由で送信する。
【0149】
[ステップS4008] 携帯端末1は、利用者認証要求をICチップ通信部13経由で取得したら、新たな利用者認証が必要であることを、利用者に通知、若しくは、新たな利用者認証を実行することを示す情報を送信する。
【0150】
そして、新たな利用者認証を行うことを、利用者が許可すれば、図6を用いて説明したPIN照合、あるいは図7を用いて説明した生体認証を実施する。携帯端末1の利用者表示部16には、例えば図5で説明した一連の画面を表示していくことが考えられる。
【0151】
以上説明した処理ステップにより、決済端末5は、ICチップ3から取得した利用者信頼度情報114が、決済を行うのに十分な値で無いと判断したら、新たな利用者認証処理をICチップに要求する。これにより、成りすましによる不正利用のリスクを低減することが可能になり、セキュリティが向上する。
【0152】
ここで、図8を用いて説明したように、ICチップ3が、携帯端末1から通知を受けたイベントに応じて、利用者信頼度情報114を変更した結果、利用者信頼度情報114が所定の値(例えば0)以下となった場合は、ICチップ3全体の機能を停止するように、ICチップ3を制御しても良い。
【0153】
あるいは、ICチップ3を用いた利用者認証が実行できないように、ICチップ3を制御しても良い。この場合、決済端末5はICチップ3との通信が出来なくなるか、あるいは利用者認証が実行できなくなる。これにより、携帯端末1の紛失・盗難の可能性が高まった場合に、ICチップ3が不正利用されるリスクをさらに軽減することが可能になる。
(12)本実施の形態の変形例
前述の説明においては、決済処理時において、決済端末5が、新たな利用者認証の要否を判定していたが、ICチップ3で新たな利用者認証の要否を判定する構成としても良い。
【0154】
図1との対応部分に同一符号を付した図11は、本実施の形態の変形例となる、決済システムの構成を示すブロック図である。
【0155】
図11においては、ICチップ3が搭載するメモリ31に、信頼度閾値テーブル122を格納する構成となっている。これにより、ICチップ3は、決済処理時に、信頼度閾値テーブル122を参照して、信頼度の閾値を決定し、かかる閾値と利用者信頼度情報114を比較することで新たな利用者認証の要否を判定することが可能になる。
(13)実施の形態の効果
以上のように本実施の形態による携帯端末1、ICチップ3、決済端末5を用いれば、決済処理に先立って実行した利用者認証の結果と、決済を実施するまでに発生した、ICチップの不正利用の可能性が高まりそうなイベントを考慮して、現時点での利用者信頼度情報を決定し、かかる利用者信頼度情報に基づいて、決済処理時に、新たな利用者認証の要否を判定することが可能になる。これにより、利用者の利便性を損なうことなく、ICチップが不正利用される可能性を低減できる。
【図面の簡単な説明】
【0156】
【図1】本実施の形態における決済システムの構成を示すブロック図である。
【図2】図1に示したイベント設定テーブルの構成図である。
【図3】図1に示したイベント管理テーブルの構成図である。
【図4】図1に示した信頼度閾値テーブルの構成図である。
【図5】図1に示した携帯端末が表示する画面例を示す概念図である。
【図6】PIN照合を用いた利用者認証処理の流れを示すシーケンス図である。
【図7】生体認証を用いた利用者認証処理の流れを示すシーケンス図である。
【図8】イベントの監視処理の流れを示すシーケンス図である。
【図9】新たな利用者認証が不要となる決済処理の流れを示すシーケンス図である。
【図10】新たな利用者認証が必要となる決済処理の流れを示すシーケンス図である。
【図11】本実施の形態の変形例である決済システムの構成を示すブロック図である。
【符号の説明】
【0157】
1…携帯端末、3…ICチップ、5…決済端末、
11…メモリ、12…携帯端末制御部、13…ICチップ通信部、14…無線通信部
15…利用者認証開始ボタン、16…利用者表示部、17…利用者操作部、18…生体センサ
19…タイマー、20…加速度センサ、21…位置情報検出部、22…電源制御部、23…アンテナ
31…メモリ、32…ICチップ制御部、33…接触通信部、34…非接触通信部、
35…暗号処理部、36…電源制御部、37…アンテナ、
51…メモリ、52…決済端末制御部、53…非接触ICカード通信部、54…アンテナ、
100…オペレーティングシステム、101…携帯端末制御プログラム、102…イベント監視プログラム、
103…携帯端末制御データ、104…イベント設定テーブル、
110…オペレーティングシステム、111…利用者認証処理プログラム、112…決済処理プログラム、
113…利用者認証登録情報(利用者認証登録データ)、114…利用者信頼度情報、115…イベント管理テーブル、
116…利用者認証フラグ、117…決済関連情報、
121…決済端末制御プログラム、122…信頼度閾値テーブル
【特許請求の範囲】
【請求項1】
時間を測定するタイマーあるいは所定の物理的情報を検出するセンサーを備えた携帯端末に搭載され、情報端末との間で決済あるいは認証を行う半導体素子であって、
前記半導体素子は、
前記情報端末と非接触通信を行う非接触通信部と、
前記携帯端末と接触通信を行う接触通信部と、
情報を記憶する記憶部と、
少なくとも前記非接触通信部、接触通信部、記憶部の制御を行う半導体素子制御部と
を有し、
前記携帯端末の利用者としての情報である利用者認証登録情報を前記記憶部に記憶し、
前記携帯端末に入力された認証に関する情報と前記利用者認証登録情報との類似の度合いに対応する利用者信頼度情報を前記記憶部に記憶し、
前記タイマーあるいは前記センサーの出力の変化を示す状態変化通知情報を、前記情報端末から受信した後に、前記利用者信頼度情報を変更することを特徴とする半導体素子
【請求項2】
請求項1記載の半導体素子において、
前記半導体素子が前記利用者信頼度情報を前記情報端末に送信した後に、前記情報端末との間で決済あるいは認証を実行する
ことを特徴とする半導体素子
【請求項3】
請求項1記載の半導体素子において、
前記携帯端末から受信する前記状態変化通知情報は、
前記携帯端末が前回の認証処理を行った時から所定の時間の経過を検出したこと、
あるいは、前記携帯端末に所定の加速度が加わったことを検出したこと、
あるいは、前記携帯端末の位置が所定の距離を示す値を移動したことを検出したこと
を示す情報である
ことを特徴とする半導体素子
【請求項4】
請求項1記載の半導体素子において、
前記半導体素子は、利用者を認証する利用者認証部を有し、
前記携帯端末から利用者認証要求情報を受信した後に、前記利用者認証部によって、前記携帯端末に入力された認証に関する情報と前記利用者認証登録情報とを用いて演算を行い、
当該演算出力の後に、前記利用者信頼度情報を変更する
ことを特徴とする半導体素子
【請求項5】
請求項1記載の半導体素子において、
前記半導体素子は、前記情報端末から、認証を実行しない通知を受けた後に、前記利用者信頼度情報を変更する
ことを特徴とする半導体素子
【請求項6】
請求項1記載の半導体素子において、
前記半導体素子は、前記情報端末から、認証を実行する通知を受けた後に、前記携帯端末に利用者認証要求情報を送信する
ことを特徴とする半導体素子
【請求項7】
請求項1記載の半導体素子において、
決済あるいは認証にて参照されるセキュリティレベルに対応する閾値の情報が設定された信頼度閾値テーブルを前記記憶部に記憶し、
前記利用者信頼度情報と前記信頼度閾値テーブルに設定された前記閾値とを比較し、認証の実行の要否を判断する
ことを特徴とする半導体素子
【請求項8】
非接触通信部と、接触通信部と、利用者を認証する利用者認証部とを有する半導体素子を搭載した携帯端末であって、
前記携帯端末は、
時間を測定するタイマーあるいは所定の物理的情報を検出するセンサーと、
前記半導体素子と接触通信を行う半導体素子通信部と、
前記携帯端末を制御するプログラムあるいは情報を記憶する記憶部とを有し、
前記タイマーあるいは前記センサーを用いて監視する物理的情報を設定するイベント設定テーブルを前記記憶部に記憶し、
前記携帯端末は、前記半導体素子を用いた利用者認証が成功した後に、前記イベント設定テーブルに設定された前記携帯端末の状態を監視し、前記携帯端末の状態変化が発生した場合は、前記半導体素子に前記携帯端末の状態変化通知情報を送信することを特徴とする携帯端末。
【請求項9】
請求項8記載の携帯端末において、
前記携帯端末は、所定の時間が経過したことを検出するタイマーを備え、
前記イベント設定テーブルに設定された情報を参照した後に、前記タイマーを用いて所定時間の経過を監視する
ことを特徴とする携帯端末
【請求項10】
請求項8記載の携帯端末において、
前記携帯端末は、所定の加速度が加わったことを検出する加速度センサを搭載し、前記イベント設定テーブルに設定された情報を参照した後に、前記加速度センサを用いて所定の加速度が加わったことを監視することを特徴とする携帯端末
【請求項11】
請求項8記載の携帯端末において、
前記携帯端末は、位置を検出する位置情報検出部を有し、前記イベント設定テーブルに設定された情報を参照した後に、前記位置情報検出部を用いて位置を監視する
ことを特徴とする携帯端末
【請求項12】
非接触通信部と、利用者を認証する利用者認証部とを有する半導体素子との間で、決済あるいは認証を行う情報端末であって、
前記情報端末は、
前記半導体素子と非接触通信を行う非接触通信部と、
情報を記憶する記憶部と
を有し、
前記半導体素子の利用者に関する利用者信頼度情報の閾値、または、決済あるいは認証にて参照されるセキュリティレベルに対応する閾値の情報が設定された信頼度閾値テーブルとを前記記憶部に記憶し、
前記半導体素子から、前記利用者信頼度情報を受信した後に、
前記利用者信頼度情報と前記閾値とを比較し、認証の実行の要否を判断することを特徴とする情報端末
【請求項13】
請求項12記載の情報端末において、
前記情報端末は、前記利用者信頼度情報が前記閾値以上の場合に、前記半導体素子に認証を実行しない通知を行う
ことを特徴とする情報端末
【請求項14】
請求項12記載の情報端末において、
前記情報端末は、前記利用者信頼度情報が前記閾値未満の場合に、前記半導体素子に認証を実行する通知を行う
ことを特徴とする情報端末
【請求項1】
時間を測定するタイマーあるいは所定の物理的情報を検出するセンサーを備えた携帯端末に搭載され、情報端末との間で決済あるいは認証を行う半導体素子であって、
前記半導体素子は、
前記情報端末と非接触通信を行う非接触通信部と、
前記携帯端末と接触通信を行う接触通信部と、
情報を記憶する記憶部と、
少なくとも前記非接触通信部、接触通信部、記憶部の制御を行う半導体素子制御部と
を有し、
前記携帯端末の利用者としての情報である利用者認証登録情報を前記記憶部に記憶し、
前記携帯端末に入力された認証に関する情報と前記利用者認証登録情報との類似の度合いに対応する利用者信頼度情報を前記記憶部に記憶し、
前記タイマーあるいは前記センサーの出力の変化を示す状態変化通知情報を、前記情報端末から受信した後に、前記利用者信頼度情報を変更することを特徴とする半導体素子
【請求項2】
請求項1記載の半導体素子において、
前記半導体素子が前記利用者信頼度情報を前記情報端末に送信した後に、前記情報端末との間で決済あるいは認証を実行する
ことを特徴とする半導体素子
【請求項3】
請求項1記載の半導体素子において、
前記携帯端末から受信する前記状態変化通知情報は、
前記携帯端末が前回の認証処理を行った時から所定の時間の経過を検出したこと、
あるいは、前記携帯端末に所定の加速度が加わったことを検出したこと、
あるいは、前記携帯端末の位置が所定の距離を示す値を移動したことを検出したこと
を示す情報である
ことを特徴とする半導体素子
【請求項4】
請求項1記載の半導体素子において、
前記半導体素子は、利用者を認証する利用者認証部を有し、
前記携帯端末から利用者認証要求情報を受信した後に、前記利用者認証部によって、前記携帯端末に入力された認証に関する情報と前記利用者認証登録情報とを用いて演算を行い、
当該演算出力の後に、前記利用者信頼度情報を変更する
ことを特徴とする半導体素子
【請求項5】
請求項1記載の半導体素子において、
前記半導体素子は、前記情報端末から、認証を実行しない通知を受けた後に、前記利用者信頼度情報を変更する
ことを特徴とする半導体素子
【請求項6】
請求項1記載の半導体素子において、
前記半導体素子は、前記情報端末から、認証を実行する通知を受けた後に、前記携帯端末に利用者認証要求情報を送信する
ことを特徴とする半導体素子
【請求項7】
請求項1記載の半導体素子において、
決済あるいは認証にて参照されるセキュリティレベルに対応する閾値の情報が設定された信頼度閾値テーブルを前記記憶部に記憶し、
前記利用者信頼度情報と前記信頼度閾値テーブルに設定された前記閾値とを比較し、認証の実行の要否を判断する
ことを特徴とする半導体素子
【請求項8】
非接触通信部と、接触通信部と、利用者を認証する利用者認証部とを有する半導体素子を搭載した携帯端末であって、
前記携帯端末は、
時間を測定するタイマーあるいは所定の物理的情報を検出するセンサーと、
前記半導体素子と接触通信を行う半導体素子通信部と、
前記携帯端末を制御するプログラムあるいは情報を記憶する記憶部とを有し、
前記タイマーあるいは前記センサーを用いて監視する物理的情報を設定するイベント設定テーブルを前記記憶部に記憶し、
前記携帯端末は、前記半導体素子を用いた利用者認証が成功した後に、前記イベント設定テーブルに設定された前記携帯端末の状態を監視し、前記携帯端末の状態変化が発生した場合は、前記半導体素子に前記携帯端末の状態変化通知情報を送信することを特徴とする携帯端末。
【請求項9】
請求項8記載の携帯端末において、
前記携帯端末は、所定の時間が経過したことを検出するタイマーを備え、
前記イベント設定テーブルに設定された情報を参照した後に、前記タイマーを用いて所定時間の経過を監視する
ことを特徴とする携帯端末
【請求項10】
請求項8記載の携帯端末において、
前記携帯端末は、所定の加速度が加わったことを検出する加速度センサを搭載し、前記イベント設定テーブルに設定された情報を参照した後に、前記加速度センサを用いて所定の加速度が加わったことを監視することを特徴とする携帯端末
【請求項11】
請求項8記載の携帯端末において、
前記携帯端末は、位置を検出する位置情報検出部を有し、前記イベント設定テーブルに設定された情報を参照した後に、前記位置情報検出部を用いて位置を監視する
ことを特徴とする携帯端末
【請求項12】
非接触通信部と、利用者を認証する利用者認証部とを有する半導体素子との間で、決済あるいは認証を行う情報端末であって、
前記情報端末は、
前記半導体素子と非接触通信を行う非接触通信部と、
情報を記憶する記憶部と
を有し、
前記半導体素子の利用者に関する利用者信頼度情報の閾値、または、決済あるいは認証にて参照されるセキュリティレベルに対応する閾値の情報が設定された信頼度閾値テーブルとを前記記憶部に記憶し、
前記半導体素子から、前記利用者信頼度情報を受信した後に、
前記利用者信頼度情報と前記閾値とを比較し、認証の実行の要否を判断することを特徴とする情報端末
【請求項13】
請求項12記載の情報端末において、
前記情報端末は、前記利用者信頼度情報が前記閾値以上の場合に、前記半導体素子に認証を実行しない通知を行う
ことを特徴とする情報端末
【請求項14】
請求項12記載の情報端末において、
前記情報端末は、前記利用者信頼度情報が前記閾値未満の場合に、前記半導体素子に認証を実行する通知を行う
ことを特徴とする情報端末
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2010−55332(P2010−55332A)
【公開日】平成22年3月11日(2010.3.11)
【国際特許分類】
【出願番号】特願2008−218971(P2008−218971)
【出願日】平成20年8月28日(2008.8.28)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
2.Linux
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成22年3月11日(2010.3.11)
【国際特許分類】
【出願日】平成20年8月28日(2008.8.28)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
2.Linux
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]