説明

多機能ICカード及びカードシステム

【課題】多数枚のカードをユーザの意思で一枚に纏めることができる多機能ICカードを提供する。
【解決手段】カード固有の秘匿ID、ユーザ・パスワード、ユーザ・PINが書き込まれた多機能ICカードであって、連続番号41に関連付けて、サービスプロバイダ・パスワード42、サービスプロバイダ属性名43、サービスプロバイダが指定するサービスプロバイダ・コード44が書き込まれると、このサービスプロバイダのカードとして使用可能になる。ユーザは、自身が利用する店舗や病院などで通用するカードを、セキュリティを損なわずに、且つ、簡単に、一枚のカードに纏めることができる。また、現に使用している磁気カードを、本発明のICカードで引き継ぐこともできる。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、複数枚のポイントカード、店舗のお客様カード、病院の診察券、クレジットカード、銀行のキャッシュカード等の機能を一枚のカードで実現する多機能ICカード、及び、そのICカード機能を搭載した携帯端末、並びに、それらを使用するカードシステムに関する。
【背景技術】
【0002】
カード社会と云われる今日では、多くの人が何枚ものカードを持ち歩いている。カードの種類は、小売店のポイントカード、図書館の貸し出しカード、病院の診察カード、スポーツクラブの会員カード、交通機関の乗車カード、預金等に用いる銀行カード、支払い用のクレジットカードなど、多岐に及んでいる。
近年、微細化技術の向上に伴い、比較的大容量の記憶空間を持つICカードが製造されており、このICカードに複数のアプリケーションを搭載した、一枚で複数の用途に対応できるカードが作られている。このカードは、マルチICカードと呼ばれている。
また、マルチICカードが半導体チップ化されたICチップを携帯電話機などの携帯端末に搭載し、この携帯端末をカードの代わりに用いることも行われている。
【0003】
例えば、下記特許文献1には、カード発行後に新しいサービス機能を追加できるマルチICカードが記載されている。
このICカードは、記憶領域に、サービスを提供するためのアプリケーションが書き込まれる「書き込み可能ブロック」と、書き込み可能ブロックに書き込まれたサービスを特定するサービス特定情報、及び、その書き込み可能ブロックのアドレス情報とが記憶される「利用情報ブロック」とを有している。この書き込み可能ブロック及び利用情報ブロックへのデータの書き込み/読み出しには、暗号鍵を必要とする。
特許文献1には、このICカードが学生証兼入退室管理用電子キーとして大学から学生に配布され、その後、このICカードを図書館の貸し出しカードとしても利用できるようにする例が記載されている。
この場合、例えば、大学から学生証に必要な情報を提供されたカード製造者が、その情報とアプリケーションとをICカードに格納し、電子ドアシステム提供者が、このICカードに電子ドアシステムのアプリケーションを格納して、カード発行者である大学に納める。
大学は、カード利用者である学生にICカードを配布し、学生は、これを研究室の電子ドアシステムの開錠/施錠に使用し、また、学生証として使用する。
【0004】
このICカードを図書館貸し出しカードとしても機能させる図書館管理システム提供者は、鍵情報を管理する管理者から読み出し鍵及び書き込み鍵の提供を受けて、読み出し鍵を用いて利用情報ブロックの情報を読み出し、未使用の書き込み可能ブロックを探す。
そして、未使用の書き込み可能ブロックに、書き込み鍵を用いてサービス提供に必要なアプリケーション及びデータを書き込み、また、利用情報ブロックに、この追加サービスのアプリケーションがどの書き込み可能ブロックに書き込まれているかを示す情報を書き込む。
こうした処理により、学生は、このICカードを図書館貸し出しカードとしても利用することが可能になる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−122228号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかし、従来のマルチICカードは、カード発行者やその許可を受けた者が格納した複数のアプリケーションにしか対応できないため、ユーザが所有する多種類のカードを、このマルチICカード一枚に纏めることは実際上不可能である。
何故なら、利害が錯綜する社会にあって、特定のカード発行者の系列に入ることに躊躇する事業者が多いからである。例えば、ライバル企業同士の場合、共通のカードシステムに参入するよりも、差別化を図る意向の方が強いと考えられる。また、そうした系列に馴染まない図書館等の公共事業体が発行するカードの数も少なくない。
そのため、ライバル関係にある各店舗のカードも図書館などのカードも所有するユーザは、従来のマルチICカードを取得した後も、相変わらず、多くの枚数のカードを持ち続けなければならないことになる。
【0007】
本発明は、こうした事情を考慮して創案したものであり、多数枚のカードやカード発行者が異なる多数枚のカードをユーザの意思で一枚に纏めることができる多機能ICカードを提供し、また、そのICカード機能を搭載した携帯端末を提供し、さらに、それらの円滑な利用を促進するカードシステムを提供することを目的としている。
【課題を解決するための手段】
【0008】
本発明は、記憶領域に、カード固有の秘匿IDと、ユーザしか知りえないパスワード、PIN等が書き込まれた多機能ICカードであって、サービスプロバイダのリーダ・ライタから書き込み指示とともに前記サービスプロバイダのパスワードと、前記サービスプロバイダの属性名と、前記サービスプロバイダが指定するサービスプロバイダ・コードとを受信したとき、前記パスワード、属性名及びサービスプロバイダ・コードを連続番号に関連付けて前記記憶領域に書き込むと共に、関連付けた前記連続番号の情報を前記リーダ・ライタに送信し、サービスプロバイダが提供するサービスを受けるときに、前記サービスプロバイダのリーダ・ライタから、連続番号と、サービスプロバイダのパスワードと、サービスプロバイダの属性名とを受信して、前記連続番号、パスワード及び属性名と共に前記記憶領域に記憶した前記サービスプロバイダ・コードを読み出して前記リーダ・ライタに送ることを特徴としている。
このICカードは、ユーザが利用する店舗などに設置されたリーダ・ライタから所要のデータが書き込まれると、その店舗のサービスを受けられるカードとなる。ICカードに搭載されたアプリケーションは、各リーダ・ライタの指示に対して、データの読み出し、書き込みの処理を共通して行う。
【0009】
また、本発明の多機能ICカードは、前記サービスプロバイダのリーダ・ライタから前記サービスプロバイダ・コードの更新指示と共に、連続番号と、サービスプロバイダのパスワードと、サービスプロバイダの属性名と、前記サービスプロバイダ・コードの更新値とを受信したとき、前記連続番号、パスワード及び属性名と共に前記記憶領域に記憶した前記サービスプロバイダ・コードの値を前記更新値で上書きする。
リーダ・ライタから受信した連続番号、サービスプロバイダのパスワード、及びサービスプロバイダの属性名が、記憶領域に記憶したものと異なるときは、サービスプロバイダ・コードの更新が失敗に終わる。そのため、あるサービスプロバイダがサービスプロバイダ・コードとしてポイント残高などをカードに書き込む場合でも、サービスプロバイダ・パスワードがそれを利用するサービスプロバイダ以外に漏れないように管理することで、別のサービスプロバイダやユーザによるサービスプロバイダ・コードの不正な書き替えを防止できる。
【0010】
また、本発明の多機能ICカードは、前記リーダ・ライタとの間で送受信する情報を暗号化することも可能である。
【0011】
また、本発明の多機能ICカードでは、前記連続番号に関連付けられたサービスプロバイダ・コードが、前記連続番号及びサービスプロバイダの属性名やパスワードをすべて正確に指定しなければ読み取ることができない。さらに、連続番号やサービスプロバイダの属性名はユーザが読み取ることが可能であるが、誰もサービスプロバイダのパスワードは読み取ることができない。
このため、サービスプロバイダのパスワードは秘匿されるため、サービスプロバイダ・コードの不正読み取りが防止できる。
【0012】
また、本発明の多機能ICカードでは、前記サービスプロバイダのリーダ・ライタから受信された連続番号、サービスプロバイダのパスワード、サービスプロバイダの属性名のいずれかが誤っており、この受信が所定回数続いた場合に、前記連続番号に関連付けられたサービスプロバイダのパスワード、属性名、サービスプロバイダ・コードへのアクセスを不能にすることができる。
そのため、パスワードなどを総当り攻撃する不正アクセスが防止できる。
【0013】
また、本発明の多機能ICカードでは、前記連続番号に関連付けられたサービスプロバイダのパスワード、属性名及びサービスプロバイダ・コードへのアクセス不能状態が、ユーザしか知りえないパスワードまたはPIN2を入力することで解消できる。
また、前記パスワード、PIN1、PIN2の入力において誤ったものが入力され、前記多機能ICカードが、この誤った入力を所定回数続いて受信した場合に、カードへのアクセスを不能にすることができる。
そのため、パスワードなどを総当り攻撃する不正アクセスが防止できる。この不能状態は、カードセンターしか知りえないマスターPINを入力することで解消できる。
【0014】
また、本発明の多機能ICカードでは、ユーザのパスワード、PIN1及びPIN2が変更可能である。
【0015】
また、本発明の多機能ICカードでは、前記連続番号に関連付けられた前記サービスプロバイダのパスワード、属性名及びサービスプロバイダ・コードが前記記憶領域から削除可能である。
【0016】
また、本発明の多機能ICカードは、リーダ・ライタと有線または無線で通信し、また、カード内に電源を内蔵し、または内蔵しない。
また、本発明では、これらの多機能ICカードの機能を持つICチップを携帯端末に搭載し、この携帯端末を多機能ICカードに代えて用いても良い。
【0017】
また、本発明は、これらの多機能ICカードと、リーダ・ライタを有するサービスプロバイダと、前記多機能ICカードの有効/無効を判断するセンターサーバとを備えるカードシステムであって、前記センターサーバが、紛失された前記多機能ICカードやそれに記録されているデータを無効にすることを特徴とする。また、紛失した前記多機能ICカードが見つかった場合には、無効とされた前記多機能ICカードやそれに記憶されているデータを有効に戻すことを特徴とする。
このカードシステムにより、カードを紛失した場合でも、安全性が確保できる。
【0018】
また、本発明では、前記センターサーバが、多機能ICカードが記憶するデータを保存することが可能であり、この場合、再発行された多機能ICカードに、紛失された前記多機能ICカードに記録されていたデータを復元することが可能である。
また、サービスプロバイダが利用する多機能ICカード内の連続番号に関連付けられた前記サービスプロバイダのパスワード、属性名及びサービスプロバイダ・コードをサービスプロバイダのデータベースに保存しておき、再発行された多機能ICカードに、紛失された前記多機能ICカードに記録されていた前記サービスプロバイダが利用するデータを復元することが可能である。
【0019】
また、本発明では、多機能ICカードの機能を持つICチップを搭載した携帯端末と、サービスプロバイダと、センターサーバとで同様のカードシステムを構築することも可能である。
また、このカードシステムのリーダ・ライタは、複数の多機能ICカードと同時に通信することができる。
【発明の効果】
【0020】
本発明により、ユーザは、自身が利用する店舗や病院などで通用するカードを、セキュリティを損なわずに、且つ、簡単に、一枚のカードに纏めることができる。また、現に使用している磁気カードを、本発明のICカードで引き継ぐこともできる。
【図面の簡単な説明】
【0021】
【図1】本発明の実施形態に係る多機能ICカードの構成を示すブロック図
【図2】本発明の実施形態に係る多機能ICカードのデータ構造を示す図
【図3】図2のデータ構造に多数のエンティティが登録された状態を示す図
【図4】本発明の実施形態に係る多機能ICカードとリーダ・ライタとの間の処理手順を示す図(PIN1の更新)
【図5】本発明の実施形態に係る多機能ICカードとリーダ・ライタとの間の暗号化した処理手順を示す図(PIN1の更新)
【図6】本発明の実施形態に係る多機能ICカードとリーダ・ライタとの間の処理手順を示す図(パスワードの更新)
【図7】本発明の実施形態に係る多機能ICカードとリーダ・ライタとの間の処理手順を示す図(エンティティの登録)
【図8】本発明の実施形態に係る多機能ICカードとリーダ・ライタとの間の処理手順を示す図(サービスプロバイダ・コードの読み出し)
【図9】本発明の実施形態に係る多機能ICカードとリーダ・ライタとの間の処理手順を示す図(サービスプロバイダ・コードの更新)
【図10】本発明の実施形態に係る多機能ICカードとリーダ・ライタとの間の処理手順を示す図(エンティティの削除)
【図11】本発明の実施形態に係る多機能ICカードとリーダ・ライタとの間の処理手順を示す図(エンティティのロック解除)
【図12】本発明の実施形態に係る多機能ICカードとリーダ・ライタとの間の処理手順を示す図(多機能ICカードのロック解除)
【図13】本発明の第2の実施形態に係るカードシステムを示す図
【発明を実施するための形態】
【0022】
(第1の実施形態)
図1は、本発明の多機能ICカードの実施形態を示している。
このカード10は、非接触ICカードであり、ICチップ20と、リーダ・ライタから受信した電波を電力に変換してICチップ20に供給するアンテナ30とがプラスチック板内に封入されている。ICチップ20は、読み出し専用のROM21と、一回のデータの書き込みが可能なEPROM22と、データを繰り返し書き込むことができるEEPROM23と、暗号化処理を行う暗号化部24と、演算部(CPU)25と、リーダ・ライタへ送受信するデータの変調、復調を行うインターフェイス(I/F)26とを備えている。
【0023】
また、図2は、このICカードのデータ構造を示している。
最下欄は連続番号(sequence number)41であり、連続番号41はカード製造時に設定されてROM21に記録されている。この連続番号41で示された列に応じてアクセス制限(access privilege)45が異なるパブリック領域(A)とプライベート領域(B)とが設定されており、この振り分けは、EPROM22にA、Bを書き込む際に適宜設定できる。プライベート領域(B)の情報の読み出しは、認証の成功が条件になる。
【0024】
連続番号41の上の欄には、サービスプロバイダのパスワード42、サービスプロバイダの属性名43、及び、サービスプロバイダが指定するサービスプロバイダ・コード44が設定される。サービスプロバイダの属性名43は、各多機能ICカードに共通して設定されるサービスプロバイダが利用するサービス名である。パスワード42は、通常、多機能ICカードごとに設定され、サービスプロバイダは、外部に漏れないようにパスワード42を管理している。サービスプロバイダ・コード44の内容は、サービスプロバイダにより適宜選択され、例えば、カード利用者のポイント残高がサービスプロバイダ・コード44としてカードに書き込まれ、あるいは、カード利用者の最終アクセス日がサービスプロバイダ・コード44としてカードに書き込まれる。また、それらのデータの半分だけをサービスプロバイダ・コード44としてカードに書き込み、データの残りの半分をサービスプロバイダのデータベースに保持して、多機能ICカードの情報が仮に漏れたとしても、被害が生じないようにすることも可能である。
ステータス(occupancy status)46は、各列にサービスプロバイダ・パスワード42、サービスプロバイダ・属性名43及びサービスプロバイダ・コード44が設定されているか否かを示す情報であり、設定されている場合は“U”が、また、設定されていない場合は“N”が表示される。また、後述するように、ロックされた場合は、“U” “N”と異なる値が表示される。
【0025】
単一の列に属する連続番号41、サービスプロバイダ・パスワード42、サービスプロバイダ・属性名43、サービスプロバイダ・コード44、アクセス制限45及びステータス46の情報は、エンティティ(entity)と呼ばれる。一つのエンティティはサービスプロバイダが利用する1つの情報を表している。図2では、3個のエンティティが設定されている。
また、1つのサービスプロバイダは複数のエンティティを利用することができ、例えば、1つのエンティティでカード利用者のポイント残高を、別のエンティティでポイント残高の最終更新日時を記憶させることが可能である。この場合、例えば、前者のエンティティのサービスプロバイダ・属性名は「ポイント残高」、後者のエンティティのサービスプロバイダ・属性名は「最終更新日時」となり、それぞれのサービスプロバイダ・コードには該当する情報が記憶される。
【0026】
多機能ICカードには、その他に、暗号キーを構成するデータやプロセッシング・データとして、カード名(oName=uCARD)、カード固有の秘匿ID(anonymousID)、ユーザ・パスワード、ユーザPIN1、ユーザPIN2、マスターPIN、Initial、文字列(Nonce NT 、Nonce NI 、IDT、IDI)などが書き込まれる。秘匿IDは、カード製造時にROM21に埋め込まれる。また、ユーザ・パスワード、ユーザPIN1、ユーザPIN2、マスターPIN、Initial、Nonce NT 、Nonce NI 、IDT、及びIDI は変更が可能であり、EEPROM23に格納される。
秘匿IDはカードを識別するために利用される。ユーザ・パスワードは認証を必要とする情報の読み取りや書き込み及び暗号化通信のための暗号鍵に利用される。ユーザPIN1はパスワードとともに暗号化通信のための暗号鍵に利用される。ユーザ・パスワードとユーザPIN1は認証が必要な情報の読み取りや書き込み及び暗号化通信の際には、リーダ・ライタへユーザが入力する。ユーザPIN2は、後述するように、ユーザがエンティティの削除、エンティティのロックの解除を行うために利用され、これらの操作を行うためにユーザはユーザPIN2の入力をリーダ・ライタへ行う。しかし、この入力は、サービスプロバイダに設置されたリーダ・ライタで行う必要はなく、ユーザPIN2がサービスプロバイダに漏洩することが防止される。ユーザ・パスワード、ユーザPIN1、ユーザPIN2をユーザは知っている。マスターPINは、カードセンタだけが知っている情報であり、カード自体が利用不能状態になったときに、それを解消するために利用される。Initial、Nonce NT 、Nonce NI 、IDT、IDIは通信の効率化と安全性とを確保するために使われる。Initialは通信の開始を示す文字列であり、通信の開始時に送信されることとなっている。Nonce NT 、Nonce NI はランダムなビット列で、通信相手しか知り得ない。これにより、通信相手の確認などに利用され、通信ののっとりなどを防ぐことができ、通信の安全性を確保できる。IDT、IDI は通信における状態と通信相手をあらわすために用いられ、リーダ・ライタが複数の多機能ICカードと通信を行っている場合に、通信相手を識別する必要がある。
また、エンティティは、EEPROM23に格納される。
【0027】
また、ROM21には、演算部(CPU)25の処理を規定するアプリケーションが格納される。この処理は、リーダ・ライタの指示に従って、多機能ICカードに格納されたデータを操作するものであり、サービスプロバイダにより実施されるサービスに関わらず共通している。
また、このROM21には、カードのセキュリティを確保するために広く用いられているカードOSが格納されており、サービスプロバイダ・パスワードなどを種々に変えてエンティティへの不正アクセスを試みる総当り攻撃に対してエンティティへのアクセス禁止(ロック)の措置が採られ、また、ユーザ・パスワードやユーザPIN1やPIN2の入力ミスが連続して所定回数繰り返されると、カードロックの措置が採られる。
【0028】
この多機能ICカードは、秘匿ID(anonymousID)及び連続番号(sequence number)41が埋め込まれ、アプリケーションが格納され、暗号キーを構成するデータやプロセッシング・データ、マスターPINが書き込まれ、エンティティが空白の状態でユーザに配布される。
このときユーザが入手する多機能ICカードには、ユーザ・パスワード、ユーザPIN1、ユーザPIN2としてダミーが書き込まれている。そのため、ユーザは、リーダ・ライタの非接触通信領域に多機能ICカードを配置して、ユーザ・パスワード、ユーザPIN1、ユーザPIN2の設定を行う。
マスターPINはカードセンタのみが更新することができ、カードセンタにマスターPINを保存しておき、カードの紛失やカード不能状態に対応させることができる。
【0029】
図4は、ユーザPIN1を更新するときの多機能ICカードとリーダ・ライタ(Interrogator)との通信手順を示している。
(1)リーダ・ライタは、多機能ICカードにカード名(oName)及び秘匿ID(anonymousID)を問う。
(2)多機能ICカードは、それに回答する。
(3)ユーザのユーザPIN1更新の操作を受けて、リーダ・ライタは、ユーザPIN1更新の指示(Ins=10)と、現在のユーザ・パスワードの値と、ユーザPIN1更新前の旧値と、更新するユーザPIN1の新値とを多機能ICカードに送信する。
(4)多機能ICカードは、格納されているユーザ・パスワードの値が受信したユーザ・パスワードの値と一致し、且つ、格納されているユーザPIN1の値が受信したユーザPIN1の旧値と一致した場合に、ユーザPIN1を更新し、更新した値をリーダ・ライタに送信する。また、それらの一方でも一致していない場合は、ユーザPIN1を更新せずに失敗を伝える。
【0030】
また、図5は、この多機能ICカードとリーダ・ライタとの通信を暗号化して行う場合の手順を示している。ここでは、暗号化のアルゴリズムとしてGrain 1 stream cipher(ストリーム暗号)を用いている。ストリーム暗号では、秘密鍵をシードとして擬似乱数列を生成し、平文との排他的論理和を取って暗号文を作成する。
図5において、
KPRV: 秘密鍵
NI: リーダ・ライタで作られた文字列(Nonce)
NT: 多機能ICカードで作られた文字列(Nonce)
IDI: リーダ・ライタで作られたID
IDT: リーダ・ライタで作られたID
Initial: 暗号化された通信の開始を示す文字列
{M}K: 暗号化アルゴリズムで使われる鍵Kで暗号化されたメッセージM
を示している。
【0031】
図5の(1)、(2)では、図4と同様に、多機能ICカードのカード名(oName)及び秘匿ID(anonymousID)を確認し、(3)、(4)で多機能ICカードとリーダ・ライタとが相互認証を行い、多機能ICカードがIDI及びNIを認識し、リーダ・ライタがIDT及びNTを認識する。
次いで、リーダ・ライタは、図4の(3)で送った情報を、IDT及びNTを用いて暗号化して多機能ICカードに送り、多機能ICカードは、図4の(4)で送った情報を、IDI及びNIを用いて暗号化してリーダ・ライタに送信する。
多機能ICカードにおいて、暗号化・復号化の処理は暗号化部24が行う。
ユーザは、図4または図5と同様の手順でユーザ・パスワード及びPIN2を更新することができる。
【0032】
図6は、ユーザが、ユーザ・パスワードを更新するときの多機能ICカードとリーダ・ライタ(Interrogator)との通信手順を示している。
リーダ・ライタは、多機能ICカードにカード名(oName)及び秘匿ID(anonymousID)を問い、多機能ICカードは、それに回答する。
ユーザのパスワード更新の操作を受けて、リーダ・ライタは、パスワード更新の指示(Ins=11)と、ユーザ・パスワードの値と、パスワード更新前の旧値と、更新するパスワードの新値とを多機能ICカードに送信する。
多機能ICカードは、格納されたユーザ・パスワードの値が受信した旧値と一致している場合に、ユーザ・パスワードを更新し、更新した値をリーダ・ライタに送信する。また、ユーザ・パスワードの旧値が受信した値と一致していない場合には、更新せずに失敗を伝える。
この通信を暗号化して行う場合は、図5と同様の手順になる。
【0033】
図7は、サービスプロバイダのサービスを受けるために、サービスプロバイダのエンティティを多機能ICカードに書き込む処理手順について示している。
この場合、サービスプロバイダのリーダ・ライタは、連続番号(sequence number)を“?”にして、サービスプロバイダ・パスワード、サービスプロバイダ名、サービスプロバイダ・コードの書き込み指示(Ins=111)と、サービスプロバイダ・パスワード、サービスプロバイダ名及びサービスプロバイダ・コードの値とを多機能ICカードに送信する。
多機能ICカードは、ステータス(occupancy status)46が“N”である列にこれらの値を書き込み、その列の連続番号(sequence number)をリーダ・ライタに送信する。
この処理により、多機能ICカードにサービスプロバイダのエンティティが登録され、また、サービスプロバイダは、自己のエンティティが書き込まれた連続番号(sequence number)を知ることができる。
この通信を暗号化して行う場合は、図5と同様の手順になる。
この処理において、サービスプロバイダが、発行済みの磁気カードを返して貰い、その磁気カードに代わり得る情報を多機能ICカードに書き込むようにすれば、カード利用者は、磁気カードに代えて、この多機能ICカードを使用することが可能になる。
【0034】
図3は、多機能ICカードに多数のサービスプロバイダのエンティティが登録された状態を示している。
なお、カード利用者は、多数のサービスプロバイダが多機能ICカードに登録された後も、図4や図6の手順により、ユーザ・パスワード、ユーザPIN1及びPIN2を変更することができる。
【0035】
また、図8は、サービスプロバイダがカードによるサービスを提供するために、多機能ICカードに格納されたサービスプロバイダ・コードを読み出す手順について示している。
この場合、サービスプロバイダのリーダ・ライタは、サービスプロバイダ・コードを“?”にして、連続番号(sequence number)、サービスプロバイダ・パスワード、及びサービスプロバイダの属性名を多機能ICカードに送信する。
これを受信した多機能ICカードは、その連続番号(sequence number)、サービスプロバイダ・パスワード、及びサービスプロバイダの属性名を含むエンティティからサービスプロバイダ・コードを読み出し、リーダ・ライタに送信する。
この通信を暗号化して行う場合は、図5と同様の手順になる。
【0036】
また、図9は、サービスプロバイダが、多機能ICカードに格納されているサービスプロバイダ・コードを更新する書き込み手順について示している。
この場合、サービスプロバイダのリーダ・ライタは、サービスプロバイダ・コードの書き込み指示(Ins=001)と、連続番号(sequence number)、サービスプロバイダ・パスワード及びサービスプロバイダの属性名の各値と、サービスプロバイダ・コードの更新値とを多機能ICカードに送信する。多機能ICカードは、該当するエンティティの連続番号(sequence number)、サービスプロバイダ・パスワード及びサービスプロバイダ名が受信したデータと全て同じである場合に、そのエンティティに含まれるサービスプロバイダ・コードを、受信した更新値に更新し、そのエンティティの連続番号(sequence number)をリーダ・ライタに送信する。送信された前記連続番号、サービスプロバイダ・パスワード及びサービスプロバイダの属性名が前記多機能ICカードに記憶されているものと一致しない場合、サービスプロバイダ・コードの更新は行わずに、失敗をリーダ・ライタに伝える。
このように、多機能ICカードに格納されたデータを更新する場合に、エンティティに含まれる他のデータを照合しているため、不正なデータの書き替えが防止できる。
また、同様の手順で、サービスプロバイダのエンティティに含まれるサービスプロバイダ・パスワードやサービスプロバイダの属性名を更新することができる。
これらの通信を暗号化して行う場合は、図5と同様の手順になる。
【0037】
また、図10は、ユーザが、必要の無くなったサービスプロバイダのエンティティを多機能ICカードから削除する場合の通信手順を示している。
(1)ユーザが操作するリーダ・ライタは、多機能ICカードにカード名(oName)及び秘匿ID(anonymousID)を問う。
(2)多機能ICカードは、それに回答する。
(3)ユーザは、リーダ・ライタからユーザ・パスワード及びユーザPIN2を送り、連続番号(sequence number)、サービスプロバイダ名及びステータス(occupancy status)を一覧表示した選択リストの提示を指示する。
(4)多機能ICカードは、送信されたパスワード及びユーザPIN2を確認し、正しければ、連続番号(sequence number)、サービスプロバイダ名及びステータス(occupancy status)の一覧表示リストをリーダ・ライタに送信する。
(5)ユーザは、このリストから削除すべきサービスプロバイダを選択すると、エンティティの削除指示(Ins=0)と、削除するエンティティの連続番号(sequence number)及びサービスプロバイダ名と、ユーザ・パスワードとユーザPIN2とをリーダ・ライタを通じて多機能ICカードに送信する。
(6)多機能ICカードは、指定されたエンティティの削除の結果(成功/失敗)をリーダ・ライタに送信する。
なお、図5と同様に、この通信を暗号化して行うことも可能である。
【0038】
また、図11は、ロックされた多機能ICカードの解除手順を示している。
ある店Aが利用するエンティティの情報を、全く関係のない店Bが読み取ろうとした場合、連続番号(sequence number)、サービスプロバイダ・パスワード、サービスプロバイダの属性名などが一致しないため、情報を読み取ることは不可能である。しかし、店Bは何度も試行することはできるため、パスワードなどを総当り攻撃することで、サービスプロバイダ・コードを読み取られる可能性がある。それを防止するため、多機能ICカードでは、所定回数読み取りに失敗した場合に、そのエンティティの読み取りを禁止することができる。これは、クレジットカードなどで暗証番号の入力に何度か失敗すると、そのカードが利用できなくなるのと同じものであり、ここではこの読み取りの禁止をロックと呼んでいる。なお、ロックされたエンティティは、ステータス(occupancy status)に“U”“N”とは異なる表示がされるものとする。
【0039】
図11は、カード利用者がこのロックの解除を行うための処理手順である。
図10と同様に、ユーザが操作するリーダ・ライタは、多機能ICカードにカード名(oName)及び秘匿ID(anonymousID)を問い(1)、多機能ICカードは、それに回答する(2)。ユーザは、リーダ・ライタからユーザ・パスワード及びユーザPIN2を送り、連続番号(sequence number)、サービスプロバイダ名及びステータス(occupancy status)を一覧表示した選択リストの提示を指示し(3)、それに応じて、多機能ICカードは、連続番号(sequence number)、サービスプロバイダ名及びステータス(occupancy status)の一覧表示リストをリーダ・ライタに送信する(4)。
ユーザは、このリストからロック解除すべきサービスプロバイダを選択すると、エンティティのロック解除指示(Ins=1)と、ロック解除するエンティティの連続番号(sequence number)及びサービスプロバイダ名と、ユーザ・パスワードとユーザPIN2とをリーダ・ライタを通じて多機能ICカードに送信する(5)。
多機能ICカードは、指定されたエンティティのロック解除の結果(成功/失敗)をリーダ・ライタに送信する(6)。
なお、図5と同様に、この通信を暗号化して行うことも可能である。
【0040】
また、図12は、利用者がパスワードを何回も間違って入力してカードがロックされた場合のように、カードの利用自体に何らかの問題があってロックされたときのロック解除手順を示している。これは、例えば、多機能ICカードを紛失し、他者に悪用されるのを防ぐことを目的としている。
この場合、リーダ・ライタからユーザ・パスワードと、マスターPINと、ユーザPIN1及びユーザPIN2とを多機能ICカードに送信する。これを受けて多機能ICカードは、ロックを解除する。
【0041】
このように、この多機能ICカードは、ユーザが利用する店舗などに設置されたリーダ・ライタから所要のデータを書き込ませれば、その店舗のサービスを受けることが可能なカードとなる。
この多機能ICカードは、連続番号及びサービスプロバイダの属性名を指定するだけでは(即ち、サービスプロバイダ・パスワードの正しい入力を併せて行わなければ)サービスプロバイダ・コードを読み取ったり、書き込んだりすることができない。
ユーザが、ある連続番号に関連付けられたサービスプロバイダ・コードを勝手に書き換えることができるとサービスプロバイダにとって不当な利用である場合がある。例えば、サービスプロバイダがサービスプロバイダ・コードとして、買い物のポイントを記憶させている場合、ユーザが勝手にその値を増やすことができると、サービスプロバイダにとっては不利益であるとともに、カードの不正な利用である。
この多機能ICカードでは、サービスプロバイダのパスワードをユーザが知ることができないようにすることで、前記の書き換えを防止できる。
また、不正アクセスを試みる者が、サービスプロバイダ・パスワードを総当りで入力する場合には、誤入力が所定回数発生した時点で、多機能ICカードが、エンティティへのアクセスを不能にする。
そのため、この多機能ICカードのセキュリティは高く、安全であり、サービスプロバイダ・コードの不正な読み出しや書き替えが防止できる。
【0042】
なお、この多機能ICカードは、リーダ・ライタと無線通信する非接触型のカードであっても、リーダ・ライタと有線で通信する接触型のカードであっても良い。また、この多機能ICカードは、電源を内蔵するものであっても、電源を内蔵しないものであっても良い。
また、ここでは、多機能ICカードについて説明したが、この多機能ICカードの機能を持つICチップを携帯端末に搭載し、この携帯端末を多機能ICカードに代えて用いても良い。
【0043】
(第2の実施形態)
本発明の第2の実施形態では、カードを紛失した場合でも安全に対応できるカードシステムについて説明する。
図13は、このシステムを構成するカードセンター60、サービスプロバイダ50、多機能ICカード10の間の関係を示している。
【0044】
ユーザがカードを紛失した場合、そのカードを無効にすることが必要となる。
ユーザが多機能ICカード取得時に秘匿ID(anonymousID)、ユーザ・パスワード、ユーザ・PINをカードセンター60のセンターサーバへ登録し、センターサーバは、多機能ICカードの有効/無効を記録する。
サービスプロバイダ50は、多機能ICカード10へアクセスするときに、カードセンター60のセンターサーバへアクセスし、多機能ICカード10の有効/無効の確認を行う。ユーザが多機能ICカード10を紛失したときには、カードセンター60のセンターサーバへ秘匿ID(anonymousID)、ユーザ・パスワード、ユーザPIN、そしてそのカードを無効にする指示を送る。
カードセンター60のセンターサーバは、秘匿ID(anonymousID)、ユーザ・パスワード及びユーザPINが登録されているものと一致するかを確認し、その多機能ICカード10を無効にする。
サービスプロバイダ50は、多機能ICカード10へアクセスするときに、カードセンター60のセンターサーバへアクセスし、そのカードが無効であることを確認したときには、そのカードからのデータの読み取りや更新を行わない。
【0045】
一方、紛失した多機能ICカード10が見つかった場合には、カードセンター60のセンターサーバへ多機能ICカード10を有効にする指示を送る。サービスプロバイダは多機能ICカード10へアクセスするときに、カードセンター60のセンターサーバにそのカードが有効であることを確認し多機能ICカード10へアクセスする。
【0046】
また、紛失した多機能ICカードや破損した多機能ICカードに代わって新規な多機能ICカード10を発行し、その新規カードに紛失したカードのデータを復元させる場合には、定期的またはデータの更新が起こったときに逐次、多機能ICカード10のデータをカードセンター60のセンターサーバへ送信し保存する。
カードのデータが破損したとき、または、カードを紛失して新規カードを利用するときには、カードセンター60のセンターサーバからカードのデータを取り出して、新規カードに復元する。こうすることで、カードの変更にも対応することができる。
【産業上の利用可能性】
【0047】
本発明の多機能ICカードは、一枚で、ポイントカード、図書貸し出しカード、診察カード、会員カード、乗車カード、銀行カード、クレジットカードなどとして用いることが可能であり、各種カードを纏めた一枚のカードとして広く利用することができる。
【符号の説明】
【0048】
10 多機能ICカード
20 ICチップ
21 ROM
22 EPROM
23 EEPROM
24 暗号化部
25 演算部
26 インターフェイス
30 アンテナ
41 連続番号(sequence number)
42 サービスプロバイダ・パスワード
43 サービスプロバイダ・属性名
44 サービスプロバイダ・コード
45 アクセス制限(access privilege)
50 サービスプロバイダ
60 カードセンター

【特許請求の範囲】
【請求項1】
記憶領域に、カード固有の秘匿IDと、ユーザしか知りえないパスワードとPINとが書き込まれた多機能ICカードであって、
サービスプロバイダのリーダ・ライタから書き込み指示とともに前記サービスプロバイダのパスワードと、前記サービスプロバイダの属性名と、前記サービスプロバイダが指定するサービスプロバイダ・コードとを受信したとき、前記パスワード、属性名及びサービスプロバイダ・コードを連続番号に関連付けて前記記憶領域に書き込むと共に、関連付けた前記連続番号の情報を前記リーダ・ライタに送信し、
サービスプロバイダが提供するサービスを受けるときに、前記サービスプロバイダのリーダ・ライタから、連続番号と、サービスプロバイダのパスワードと、サービスプロバイダの属性名とを受信して、前記連続番号、パスワード及び属性名と共に前記記憶領域に記憶した前記サービスプロバイダ・コードを読み出して前記リーダ・ライタに送ることを特徴とする多機能ICカード。
【請求項2】
請求項1に記載の多機能ICカードであって、前記サービスプロバイダのリーダ・ライタから前記サービスプロバイダ・コードの更新指示と共に、連続番号と、サービスプロバイダのパスワードと、サービスプロバイダの属性名と、前記サービスプロバイダ・コードの更新値とを受信したとき、前記連続番号、パスワード及び属性名と共に前記記憶領域に記憶した前記サービスプロバイダ・コードの値を前記更新値で上書きすることを特徴とする多機能ICカード。
【請求項3】
請求項1または2に記載の多機能ICカードであって、前記リーダ・ライタとの間で送受信する情報を暗号化することを特徴とする多機能ICカード。
【請求項4】
請求項1または2に記載の多機能ICカードであって、前記連続番号に関連付けられたサービスプロバイダ・コードが、前記連続番号及びサービスプロバイダの属性名を指定するだけでは読み取ることができないことを特徴とする多機能ICカード。
【請求項5】
請求項1から4のいずれかに記載の多機能ICカードであって、前記サービスプロバイダのリーダ・ライタから受信された連続番号、サービスプロバイダのパスワード、サービスプロバイダの属性名のいずれかが誤っており、この受信が所定回数続いた場合に、前記連続番号に関連付けられたサービスプロバイダのパスワード、属性名、サービスプロバイダ・コードへのアクセスを不能にすることを特徴とする多機能ICカード。
【請求項6】
請求項5に記載の多機能ICカードであって、前記連続番号に関連付けられたサービスプロバイダのパスワード、属性名及びサービスプロバイダ・コードへのアクセス不能状態が、ユーザしか知りえないパスワードやPIN等を入力することで解消可能になることを特徴とする多機能ICカード。
【請求項7】
請求項1から6のいずれかに記載の多機能ICカードであって、ユーザしか知りえないパスワード及びPINが変更可能であることを特徴とする多機能ICカード。
【請求項8】
請求項1から7のいずれかに記載の多機能ICカードであって、前記連続番号に関連付けられた前記サービスプロバイダのパスワード、属性名及びサービスプロバイダ・コードが前記記憶領域から削除可能であることを特徴とする多機能ICカード。
【請求項9】
請求項1から8のいずれかに記載の多機能ICカードであって、リーダ・ライタと有線または無線で通信することを特徴とする多機能ICカード。
【請求項10】
請求項1から9のいずれかに記載の多機能ICカードであって、電源を内蔵し、または内蔵しないことを特徴とする多機能ICカード。
【請求項11】
請求項1から10のいずれかに記載された多機能ICカードの機能を持つICチップが搭載された携帯端末。
【請求項12】
請求項1から10のいずれかに記載された多機能ICカードと、リーダ・ライタを有するサービスプロバイダと、前記多機能ICカードの有効/無効を判断するセンターサーバとを備えるカードシステムであって、
前記センターサーバが、紛失された前記多機能ICカードに記録されているデータを無効にし、さらに、紛失された前記多機能ICカードが見つかったときに、前記多機能ICカードを有効にすることを特徴とするカードシステム。
【請求項13】
請求項12に記載のカードシステムであって、前記センターサーバが、再発行された多機能ICカードに、紛失された前記多機能ICカードに記録されていたデータを復元することを特徴とするカードシステム。
【請求項14】
請求項12に記載のカードシステムであって、各サービスプロバイダのデータベースが、多機能ICカードに記憶された各サービスプロバイダが利用するデータを保存し、再発行された多機能ICカードに、紛失された前記多機能ICカードに記録されていた各サービスプロバイダが利用していたデータを復元することを特徴とするカードシステム。
【請求項15】
請求項11に記載された携帯端末と、リーダ・ライタを有するサービスプロバイダと、前記携帯端末の多機能ICカード機能を持つICチップの有効/無効を判断するセンターサーバとを備えるカードシステムであって、
前記センターサーバが、紛失された前記携帯端末の前記ICチップに記録されているデータを無効にすることを特徴とするカードシステム。
【請求項16】
請求項15に記載のカードシステムであって、前記センターサーバが、更新された携帯端末のICチップに、紛失された携帯端末のICチップに記録されていたデータを復元することを特徴とするカードシステム。
【請求項17】
請求項12から16のいずれかに記載のカードシステムであって、リーダ・ライタが複数の多機能ICカードと同時に通信することを特徴とするカードシステム。

【図1】
image rotate

【図13】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate

【図9】
image rotate

【図10】
image rotate

【図11】
image rotate

【図12】
image rotate


【公開番号】特開2011−2883(P2011−2883A)
【公開日】平成23年1月6日(2011.1.6)
【国際特許分類】
【出願番号】特願2009−143191(P2009−143191)
【出願日】平成21年6月16日(2009.6.16)
【出願人】(504190548)国立大学法人埼玉大学 (292)
【Fターム(参考)】