情報処理装置および方法、並びにプログラム
【課題】ICチップに一般システムを形成する。
【解決手段】 メモリ63には、システム0、エリア0、および管理システム71が設けされている。管理システム71には、管理システム71の管理システム鍵およびそのバージョン情報を含む定義情報、管理システム71の直下に設けられるエリア0のエリア0鍵およびその定義情報、並びにICチップ製造事業者やICカード発行事業者などのICチップ51を管理する管理者毎のパッケージ鍵と実行権限鍵が格納されている。実行権限鍵は、管理者が実行できる権限に対応する機能の数分だけ割り当てられており、この鍵を利用して認証が行われる。パッケージ鍵は、管理者毎に1個割り当てられており、この鍵を利用して一般システム形成の際に必要な情報が暗号化される。
【解決手段】 メモリ63には、システム0、エリア0、および管理システム71が設けされている。管理システム71には、管理システム71の管理システム鍵およびそのバージョン情報を含む定義情報、管理システム71の直下に設けられるエリア0のエリア0鍵およびその定義情報、並びにICチップ製造事業者やICカード発行事業者などのICチップ51を管理する管理者毎のパッケージ鍵と実行権限鍵が格納されている。実行権限鍵は、管理者が実行できる権限に対応する機能の数分だけ割り当てられており、この鍵を利用して認証が行われる。パッケージ鍵は、管理者毎に1個割り当てられており、この鍵を利用して一般システム形成の際に必要な情報が暗号化される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置および方法、並びにプログラムに関し、特に、ICチップの利用を容易することができるようにした情報処理装置および方法、並びにプログラムに関する。
【背景技術】
【0002】
近年、FeliCa(登録商標)などの非接触ICチップが組み込まれた携帯電話機やICカード等が普及し、ユーザは、例えば、その携帯電話機等を店舗に設置された端末(リーダライタ)にかざすだけで、電子マネーによる代金支払いを、簡単に行うことができる。
【0003】
ところでこのようなICチップにおける処理(例えば電子マネーによる代金支払い処理)は、ICチップ内のメモリの所定のメモリ領域がアクセスされ、そこに格納されているデータに対する読み出しや書き込み等が適宜行われることで実現されるが、その所定のデータの格納や、そのデータが格納されるメモリ領域(以下、一般システムと称する)の形成は、例えば、ICチップが組み込まれたICカードの発行事業者(電子マネーによって決済されるサービスを提供する事業者)によって行われる。
【0004】
一般システムを形成する処理を、図1のフローチャートを参照して説明する(非特許文献1参照)。一般システムの形成は、図2に示すように、例えば、ICチップ11が組み込まれたICカードの発行事業者が、制御装置12を介してICチップ11を制御することにより実現される。
【0005】
なお一般システムが形成される前のICチップ11内のメモリ21は、図3に示すように、1つの大きなメモリ領域(以下、システム0と称する)と、システム0に論理的に従属するメモリ領域(以下、エリア0と称する)から構成されている。
【0006】
システム0には、システム0に割り当てられた鍵のシステム0鍵と、そのシステム0鍵のバージョン情報を含む定義情報が格納されている。エリア0には、エリア0に割り当てられた鍵のエリア0鍵と、そのエリア0鍵のバージョン情報を含む定義情報が格納されている。一般システムは、システム0のエリア0の一部が分割されて形成される。
【0007】
図1に戻りステップS1において、制御装置12は、ICチップ11を特定するためのコマンドを発行する。特定されたICチップ11は、メモリ21内のシステム0にアクセスし、アクセスに成功した場合、その旨を、制御装置12に返す。
【0008】
ステップS2において、制御装置12は、ICチップ11内のメモリ21のシステム0のシステム0鍵とシステム0の直下に設けられたエリア0のエリア0鍵それぞれの鍵バージョンを取得するコマンドを発行する。ICチップ11は、システム0の定義情報からシステム0鍵の鍵バージョンを読み出すとともに、システム0の直下に設けられたエリア0の定義情報からエリア0鍵の鍵バージョンを読み出し、制御装置12に返す。
【0009】
ステップS3において、制御装置12は、ICチップ11に対して、システム0鍵とエリア0鍵を用いて、ICチップ11と一般システム形成のための相互認証を行う。制御装置12は、所定のバージョンのシステム0鍵とエリア0鍵を保有しており、保有している鍵の鍵バージョンがステップS2で取得した鍵バージョンに対応するものである場合、保有しているシステム0鍵およびエリア0鍵を用いて、ICチップ11と相互認証することができる。
【0010】
ステップS3での相互認証が成功すると、ステップS4において、制御装置12は、ICチップ11に対して、システム0のエリア0から一般システムを形成するコマンドを発行する。このコマンドには、システム0鍵およびエリア0鍵から生成された所定の暗号化鍵で暗号化された、分割する一般システムの大きさ等を示すデータ、並びに一般システムに割り当てられた鍵の一般システム鍵および一般システムの直下に形成されるエリア0に割り当てられた鍵のエリア0鍵が含まれている。
【0011】
ICチップ11は、制御装置12から、一般システムを形成するコマンドを受信すると、コマンドに含まれるデータを、システム0鍵およびエリア鍵0から生成された所定の暗号化鍵を用いて復号するとともに、図4に示すように、システム0のエリア0の一部から一般システムを論理的に分割し、その一般システム(メモリ領域)に、復号の結果得られた一般システム鍵、一般システム鍵のバージョン情報を含む定義情報、一般システムのエリア0のエリア0鍵、およびそのエリア0鍵のバージョン情報を含む定義情報を格納する。
【0012】
形成された一般システム(およびそのエリア0)へのアクセスは、一般システムの一般システム鍵とそのエリア0鍵によって認証され、その一般システムのエリア0に対するデータの授受は、一般システムの一般システム鍵とエリア0鍵から生成された暗号化鍵によって暗号化されて行われる。
【0013】
【非特許文献1】ISO7816規格
【発明の開示】
【発明が解決しようとする課題】
【0014】
しかしながら上述したように、システム0鍵とエリア鍵0を用いて相互認証が行われるとともに(ステップS3)、それらの鍵を用いて分割に必要な情報が暗号化されて授受されると(ステップS4)、一般システムを形成する事業者がシステム0の所有者と異なり、システム0鍵やそのエリア0鍵を有していない場合、一般システムを形成することができない場合がある。
【0015】
すなわち従来ではこのように、一般システムを形成する事業者とシステム0の所有者が異なる場合、一般システムを形成することができない場合があり、その結果、ICカードの活用が制限されるなどの課題があった。
【0016】
本発明は、このような状況に鑑みてなされたものであり、一般システムを形成する事業者が、システム0の所有者でない場合であっても、一般システムを形成することができるようにするものである。
【課題を解決するための手段】
【0017】
本発明の一側面の情報処理装置は、処理に必要なデータが格納される所定のメモリ領域を形成する際の認証に必要な認証鍵と、前記メモリ領域を形成する際に授受される情報を暗号化する暗号化鍵を、前記メモリ領域を形成する管理者毎に記憶する記憶手段と、前記認証鍵に基づいて前記メモリ領域の形成を認証する認証手段と、前記暗号化鍵で暗号化されたデータを授受する授受手段と、前記授受手段により授受された前記データに基づいて、前記メモリ領域を形成する形成手段とを備えることを特徴とする。
【0018】
前記情報処理装置は、ICチップであるようにすることができる。
【0019】
前記認証手段は、前記メモリ領域の形成を要求する制御装置と、前記認証鍵を用いて相互認証し、前記授受手段は、前記制御装置から送信されてきた、前記暗号化鍵で暗号化されたデータを受信することを特徴とすることができる。
【0020】
本発明の一側面の情報処理方法は、記憶部に記憶されたメモリ領域を形成する際の認証に必要な認証鍵に基づいてメモリ領域の形成を認証する認証ステップと、記憶部に記憶されたメモリ領域を形成する際に授受される情報を暗号化する暗号化鍵で暗号化されたデータを授受する授受ステップと、授受ステップの処理で授受されたデータに基づいて、メモリ領域を形成する形成ステップとを含むことを特徴とする。
【0021】
本発明の一側面のプログラムは、記憶部に記憶されたメモリ領域を形成する際の認証に必要な認証鍵に基づいてメモリ領域の形成を認証する認証ステップと、記憶部に記憶されたメモリ領域を形成する際に授受される情報を暗号化する暗号化鍵で暗号化されたデータを授受する授受ステップと、授受ステップの処理で授受されたデータに基づいて、メモリ領域を形成する形成ステップとを含むことを特徴とする。
【0022】
本発明の一側面の情報処理装置および方法、並びにプログラムにおいては、処理に必要なデータが格納される所定のメモリ領域を形成する際の認証に必要な認証鍵と、前記メモリ領域を形成する際に授受される情報を暗号化する暗号化鍵が、前記メモリ領域を形成する管理者毎に記憶され、前記認証鍵に基づいて前記メモリ領域の形成が認証され、前記暗号化鍵で暗号化されたデータが授受され、授受された前記データに基づいて、前記メモリ領域が形成される。
【発明の効果】
【0023】
以上のように、本発明の一側面によれば、例えばシステム0鍵を所有していなくても一般システムを形成することができる。
【発明を実施するための最良の形態】
【0024】
以下に本発明の実施の形態を説明するが、本発明の構成要件と、発明の詳細な説明に記載の実施の形態との対応関係を例示すると、次のようになる。この記載は、本発明をサポートする実施の形態が、発明の詳細な説明に記載されていることを確認するためのものである。従って、発明の詳細な説明中には記載されているが、本発明の構成要件に対応する実施の形態として、ここには記載されていない実施の形態があったとしても、そのことは、その実施の形態が、その構成要件に対応するものではないことを意味するものではない。逆に、実施の形態が構成要件に対応するものとしてここに記載されていたとしても、そのことは、その実施の形態が、その構成要件以外の構成要件には対応しないものであることを意味するものでもない。
【0025】
本発明の一側面の情報処理装置は、第1に、
処理に必要なデータが格納される前記メモリ領域(例えば、図10の一般システム)を形成する際の認証に必要な認証鍵(例えば、図10の実行権限鍵)と、前記メモリ領域を形成する際に授受される情報を暗号化する暗号化鍵(例えば、図10のパッケージ鍵)を、前記メモリ領域を形成する管理者毎に記憶する記憶手段(例えば、図10の管理システム71)と、
前記認証鍵に基づいて前記メモリ領域の形成を認証する認証手段(例えば、図5の認証部64)と、
前記暗号化鍵で暗号化されたデータを授受する授受手段(例えば、図5のRF部62)と、
前記授受手段により授受された前記データに基づいて、前記メモリ領域を形成する形成手段(例えば、図5の制御部61)と
を備えることを特徴とする。
【0026】
本発明の一側面の情報処理装置は、第2に、ICチップである(例えば、図5のICチップ51)
ことを特徴とする。
【0027】
本発明の一側面の情報処理方法および請求項5に記載のプログラムは、
記憶部に記憶されたメモリ領域を形成する際の認証に必要な認証鍵に基づいてメモリ領域の形成を認証する認証ステップ(例えば、図8のステップS13)と、記憶部に記憶されたメモリ領域を形成する際に授受される情報を暗号化する暗号化鍵で暗号化されたデータを授受する授受ステップ(例えば、図8のステップS14)と、授受ステップの処理で授受されたデータに基づいて、メモリ領域を形成する形成ステップ(例えば、図8のステップS14)と
を含むことを特徴とする。
【0028】
図5は、本発明を適用したICチップ51の構成例を示している。ICチップ51は、例えばICカードや携帯電話機等に組み込まれて利用される。
【0029】
通信部62は、図示せぬアンテナを介して、図示せぬリーダライタとの無線通信したり、後述する制御装置52と通信する。
【0030】
メモリ63には、後述するように一般システムが形成され、形成された一般システム(メモリ領域)には、所定の処理を実行する上で必要な情報が格納されている。
【0031】
図6は、初期状態(一般システムが形成される前)のメモリ63のデータ構造例を示す。初期状態のメモリ63には、図3における場合と同様にシステム0およびエリア0が設けられている他、管理システム71と称するメモリ領域がさらに設けられている。
【0032】
管理システム71には、管理システム71の管理システム鍵およびそのバージョン情報を含む定義情報、管理システム71の直下に設けられるエリア0のエリア0鍵およびそのバージョン情報を含む定義情報、並びにICチップ製造事業者やICカード発行事業者などのICチップ51を管理する管理者の管理者用鍵として、管理者毎のパッケージ鍵と実行権限鍵が格納されている。
【0033】
実行権限鍵は、管理者が実行できる権限に対応する機能の数分だけ割り当てられており、この鍵を利用して認証が行われる。パッケージ鍵は、管理者毎に1個割り当てられており、この鍵を利用して一般システム形成の際に必要な情報が暗号化される。
【0034】
図6の例では、管理者A(例えば、ICカード発行事業者)と管理者B(例えば、ICチップの製造事業者(システム0の所有者))毎にパッケージ鍵と実行権限鍵が設けられ、管理者Aには、2個の実行権限鍵が割り当てられ、管理者Bには、3個の実行権限鍵が割り当てられている。
【0035】
なお管理システム71に格納されているこれらの情報は、図7に示すように論理的に階層構造を形成して格納されている。
【0036】
ICチップ51において実行される所定の処理(例えば電子マネーによる代金支払い処理)は、処理に必要なデータが格納されているブロック単位のメモリ領域にアクセスする処理動作(以下、サービスと称する)が適宜実行されることにより実現されるが、そのためにはサービスを登録する必要がある。サービスが複数存在する場合、通常、一連のトランザクションに実行されるサービスが効率よく実行されるように、サービスを階層的に登録するようになされている。
【0037】
すなわち管理システム71における各情報に対するアクセスも、図7に示すように、通常のサービスと同様に階層構造を形成して登録することにより、一般システム形成に関するサービスを、通常のサービスと同様に実行することができる。
【0038】
図5に戻り認証部64は、管理システム71、システム0、およびエリア0、並びに後述するように形成された一般システム等へのアクセスを認証する。
【0039】
制御部61は、各部を制御する。
【0040】
次に、本発明に係る一般システム形成処理を、図8のフローチャートを参照して説明する。一般システムの形成は、管理者(例えばICチップ51が組み込まれたICカードの発行事業者)の権限で行われ、図9に示すように、その管理者が制御装置52を介してICチップ51を制御することにより実現される。
【0041】
ステップS11において、制御装置52は、ICチップ51を特定するためのコマンドを発行する。ICチップ51は、メモリ63の管理システム71にアクセスし、アクセスに成功した場合、その旨を、制御装置52に返す。
【0042】
ステップS12において、制御装置52は、管理システム71の管理システム鍵およびエリア0のエリア0鍵、並びに管理者A用鍵のパッケージ鍵および1つの実行権限鍵それぞれの鍵バージョンを取得するコマンドを発行する。
【0043】
ICチップ51は、管理システム71の定義情報から管理システム鍵の鍵バージョンを読み出すとともに、管理システム71の直下に設けられるエリア0の定義情報からエリア0鍵の鍵バージョンを読み出す。
【0044】
ICチップ51はまた、管理システム71に格納されている管理者A用鍵のパッケージ鍵の定義情報からパッケージ鍵の鍵バージョンを読み出すとともに、管理者A用鍵の1つの実行権限鍵の定義情報から実行権限鍵の鍵バージョンを読み出す。
【0045】
ICチップ51は、それぞれ読み出した、管理システム鍵、エリア0鍵、パッケージ鍵および実行権限鍵の鍵バージョンを、制御装置52に返す。
【0046】
ステップS13において、制御装置52は、管理システム鍵、エリア0鍵および実行権限鍵を用いて、ICチップ51と相互認証を行う。制御装置52は、所定のバージョンの管理システム鍵およびエリア0鍵、並びに管理者A用鍵の実行権限鍵を保有しており、これらの鍵バージョンがステップS12で取得した鍵バージョンに対応するものである場合、ICチップ51と相互認証することができる。
【0047】
ステップS14において、制御装置52は、ICチップ51に対して、システム0のエリア0から一般システムを形成するコマンドを発行する。このコマンドには、ステップS12で取得した鍵バージョンに対応した鍵バージョンのパッケージ鍵で暗号化された、分割するエリアの大きさ等を示すデータ、一般システム鍵、および一般システムのエリア0のエリア0鍵が含まれている。
【0048】
ICチップ51は、制御装置52から一般システムを形成するコマンドを受信すると、コマンドに含まれるデータを、パッケージ鍵を用いて復号するとともに、図10に示すように、システム0のエリア0の一部から一般システムを論理的に分割し、その一般システム(メモリ領域)に、復号の結果得られた一般システム鍵、一般システム鍵のバージョン情報を含む定義情報、一般システムのエリア0のエリア0鍵、およびそのエリア0鍵のバージョン情報を含む定義情報を格納する。
【0049】
以上のようにしてシステム0のエリア0から一般システムが分割される。
【0050】
すなわち従来においては、分割する際に、システム0鍵およびそのエリア0鍵を用いてICチップとの相互認証が行われるとともに、それらの鍵を用いて分割に必要な情報が暗号化されて授受されたが、本発明によれば、このように管理者毎の実行権限鍵により認証が行われ、管理者毎のパッケージ鍵により暗号化がなされるので、一般システムを形成する事業者と、システム0の所有者が異なっても、一般システムを形成することができる。
【0051】
なお以上においては、ICカードの発行事業者が管理者A用鍵を用いて一般システムを形成する場合を例として説明したが、ICチップの製造事業者も管理者B用鍵のパッケージ鍵および実行権限鍵を、上述したように利用することにより、一般システムを形成することができる。
【0052】
上述した一連の処理は、ハードウエアにより実行させることもできるし、ソフトウエアにより実行させることもできる。一連の処理をソフトウエアにより実行させる場合には、そのソフトウエアを構成するプログラムが、専用のハードウエアに組み込まれているコンピュータ、または、各種のプログラムをインストールすることで、各種の機能を実行することが可能な、例えば汎用のパーソナルコンピュータなどに、プログラム記録媒体からインストールされる。
【0053】
なお、本明細書において、プログラム記録媒体に格納されるプログラムを記述するステップは、記載された順序に沿って時系列的に行われる処理はもちろん、必ずしも時系列的に処理されなくとも、並列的あるいは個別に実行される処理をも含むものである。
【0054】
また、本発明の実施の形態は、上述した実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変更が可能である。
【図面の簡単な説明】
【0055】
【図1】従来の一般システム形成処理を説明するフローチャートである。
【図2】従来の一般システム形成処理を説明する図である。
【図3】図2のICチップ11のメモリ21の初期状態を示す図である。
【図4】ICチップ11に形成された一般システムを示す図である。
【図5】本発明を適用したICチップ51の構成例を示すブロック図である。
【図6】図5のICチップ51のメモリ63の初期状態を示す図である。
【図7】図6の管理システム71に格納されているデータ構造を示す図である。
【図8】本発明の一般システム形成処理を説明するフローチャートである。
【図9】本発明の一般システム形成処理を説明する図である。
【図10】ICチップ51に形成された一般システムを示す図である。
【符号の説明】
【0056】
51 ICチップ, 61 制御部, 62 RF部, 63 メモリ, 64 認証部 71 管理システム
【技術分野】
【0001】
本発明は、情報処理装置および方法、並びにプログラムに関し、特に、ICチップの利用を容易することができるようにした情報処理装置および方法、並びにプログラムに関する。
【背景技術】
【0002】
近年、FeliCa(登録商標)などの非接触ICチップが組み込まれた携帯電話機やICカード等が普及し、ユーザは、例えば、その携帯電話機等を店舗に設置された端末(リーダライタ)にかざすだけで、電子マネーによる代金支払いを、簡単に行うことができる。
【0003】
ところでこのようなICチップにおける処理(例えば電子マネーによる代金支払い処理)は、ICチップ内のメモリの所定のメモリ領域がアクセスされ、そこに格納されているデータに対する読み出しや書き込み等が適宜行われることで実現されるが、その所定のデータの格納や、そのデータが格納されるメモリ領域(以下、一般システムと称する)の形成は、例えば、ICチップが組み込まれたICカードの発行事業者(電子マネーによって決済されるサービスを提供する事業者)によって行われる。
【0004】
一般システムを形成する処理を、図1のフローチャートを参照して説明する(非特許文献1参照)。一般システムの形成は、図2に示すように、例えば、ICチップ11が組み込まれたICカードの発行事業者が、制御装置12を介してICチップ11を制御することにより実現される。
【0005】
なお一般システムが形成される前のICチップ11内のメモリ21は、図3に示すように、1つの大きなメモリ領域(以下、システム0と称する)と、システム0に論理的に従属するメモリ領域(以下、エリア0と称する)から構成されている。
【0006】
システム0には、システム0に割り当てられた鍵のシステム0鍵と、そのシステム0鍵のバージョン情報を含む定義情報が格納されている。エリア0には、エリア0に割り当てられた鍵のエリア0鍵と、そのエリア0鍵のバージョン情報を含む定義情報が格納されている。一般システムは、システム0のエリア0の一部が分割されて形成される。
【0007】
図1に戻りステップS1において、制御装置12は、ICチップ11を特定するためのコマンドを発行する。特定されたICチップ11は、メモリ21内のシステム0にアクセスし、アクセスに成功した場合、その旨を、制御装置12に返す。
【0008】
ステップS2において、制御装置12は、ICチップ11内のメモリ21のシステム0のシステム0鍵とシステム0の直下に設けられたエリア0のエリア0鍵それぞれの鍵バージョンを取得するコマンドを発行する。ICチップ11は、システム0の定義情報からシステム0鍵の鍵バージョンを読み出すとともに、システム0の直下に設けられたエリア0の定義情報からエリア0鍵の鍵バージョンを読み出し、制御装置12に返す。
【0009】
ステップS3において、制御装置12は、ICチップ11に対して、システム0鍵とエリア0鍵を用いて、ICチップ11と一般システム形成のための相互認証を行う。制御装置12は、所定のバージョンのシステム0鍵とエリア0鍵を保有しており、保有している鍵の鍵バージョンがステップS2で取得した鍵バージョンに対応するものである場合、保有しているシステム0鍵およびエリア0鍵を用いて、ICチップ11と相互認証することができる。
【0010】
ステップS3での相互認証が成功すると、ステップS4において、制御装置12は、ICチップ11に対して、システム0のエリア0から一般システムを形成するコマンドを発行する。このコマンドには、システム0鍵およびエリア0鍵から生成された所定の暗号化鍵で暗号化された、分割する一般システムの大きさ等を示すデータ、並びに一般システムに割り当てられた鍵の一般システム鍵および一般システムの直下に形成されるエリア0に割り当てられた鍵のエリア0鍵が含まれている。
【0011】
ICチップ11は、制御装置12から、一般システムを形成するコマンドを受信すると、コマンドに含まれるデータを、システム0鍵およびエリア鍵0から生成された所定の暗号化鍵を用いて復号するとともに、図4に示すように、システム0のエリア0の一部から一般システムを論理的に分割し、その一般システム(メモリ領域)に、復号の結果得られた一般システム鍵、一般システム鍵のバージョン情報を含む定義情報、一般システムのエリア0のエリア0鍵、およびそのエリア0鍵のバージョン情報を含む定義情報を格納する。
【0012】
形成された一般システム(およびそのエリア0)へのアクセスは、一般システムの一般システム鍵とそのエリア0鍵によって認証され、その一般システムのエリア0に対するデータの授受は、一般システムの一般システム鍵とエリア0鍵から生成された暗号化鍵によって暗号化されて行われる。
【0013】
【非特許文献1】ISO7816規格
【発明の開示】
【発明が解決しようとする課題】
【0014】
しかしながら上述したように、システム0鍵とエリア鍵0を用いて相互認証が行われるとともに(ステップS3)、それらの鍵を用いて分割に必要な情報が暗号化されて授受されると(ステップS4)、一般システムを形成する事業者がシステム0の所有者と異なり、システム0鍵やそのエリア0鍵を有していない場合、一般システムを形成することができない場合がある。
【0015】
すなわち従来ではこのように、一般システムを形成する事業者とシステム0の所有者が異なる場合、一般システムを形成することができない場合があり、その結果、ICカードの活用が制限されるなどの課題があった。
【0016】
本発明は、このような状況に鑑みてなされたものであり、一般システムを形成する事業者が、システム0の所有者でない場合であっても、一般システムを形成することができるようにするものである。
【課題を解決するための手段】
【0017】
本発明の一側面の情報処理装置は、処理に必要なデータが格納される所定のメモリ領域を形成する際の認証に必要な認証鍵と、前記メモリ領域を形成する際に授受される情報を暗号化する暗号化鍵を、前記メモリ領域を形成する管理者毎に記憶する記憶手段と、前記認証鍵に基づいて前記メモリ領域の形成を認証する認証手段と、前記暗号化鍵で暗号化されたデータを授受する授受手段と、前記授受手段により授受された前記データに基づいて、前記メモリ領域を形成する形成手段とを備えることを特徴とする。
【0018】
前記情報処理装置は、ICチップであるようにすることができる。
【0019】
前記認証手段は、前記メモリ領域の形成を要求する制御装置と、前記認証鍵を用いて相互認証し、前記授受手段は、前記制御装置から送信されてきた、前記暗号化鍵で暗号化されたデータを受信することを特徴とすることができる。
【0020】
本発明の一側面の情報処理方法は、記憶部に記憶されたメモリ領域を形成する際の認証に必要な認証鍵に基づいてメモリ領域の形成を認証する認証ステップと、記憶部に記憶されたメモリ領域を形成する際に授受される情報を暗号化する暗号化鍵で暗号化されたデータを授受する授受ステップと、授受ステップの処理で授受されたデータに基づいて、メモリ領域を形成する形成ステップとを含むことを特徴とする。
【0021】
本発明の一側面のプログラムは、記憶部に記憶されたメモリ領域を形成する際の認証に必要な認証鍵に基づいてメモリ領域の形成を認証する認証ステップと、記憶部に記憶されたメモリ領域を形成する際に授受される情報を暗号化する暗号化鍵で暗号化されたデータを授受する授受ステップと、授受ステップの処理で授受されたデータに基づいて、メモリ領域を形成する形成ステップとを含むことを特徴とする。
【0022】
本発明の一側面の情報処理装置および方法、並びにプログラムにおいては、処理に必要なデータが格納される所定のメモリ領域を形成する際の認証に必要な認証鍵と、前記メモリ領域を形成する際に授受される情報を暗号化する暗号化鍵が、前記メモリ領域を形成する管理者毎に記憶され、前記認証鍵に基づいて前記メモリ領域の形成が認証され、前記暗号化鍵で暗号化されたデータが授受され、授受された前記データに基づいて、前記メモリ領域が形成される。
【発明の効果】
【0023】
以上のように、本発明の一側面によれば、例えばシステム0鍵を所有していなくても一般システムを形成することができる。
【発明を実施するための最良の形態】
【0024】
以下に本発明の実施の形態を説明するが、本発明の構成要件と、発明の詳細な説明に記載の実施の形態との対応関係を例示すると、次のようになる。この記載は、本発明をサポートする実施の形態が、発明の詳細な説明に記載されていることを確認するためのものである。従って、発明の詳細な説明中には記載されているが、本発明の構成要件に対応する実施の形態として、ここには記載されていない実施の形態があったとしても、そのことは、その実施の形態が、その構成要件に対応するものではないことを意味するものではない。逆に、実施の形態が構成要件に対応するものとしてここに記載されていたとしても、そのことは、その実施の形態が、その構成要件以外の構成要件には対応しないものであることを意味するものでもない。
【0025】
本発明の一側面の情報処理装置は、第1に、
処理に必要なデータが格納される前記メモリ領域(例えば、図10の一般システム)を形成する際の認証に必要な認証鍵(例えば、図10の実行権限鍵)と、前記メモリ領域を形成する際に授受される情報を暗号化する暗号化鍵(例えば、図10のパッケージ鍵)を、前記メモリ領域を形成する管理者毎に記憶する記憶手段(例えば、図10の管理システム71)と、
前記認証鍵に基づいて前記メモリ領域の形成を認証する認証手段(例えば、図5の認証部64)と、
前記暗号化鍵で暗号化されたデータを授受する授受手段(例えば、図5のRF部62)と、
前記授受手段により授受された前記データに基づいて、前記メモリ領域を形成する形成手段(例えば、図5の制御部61)と
を備えることを特徴とする。
【0026】
本発明の一側面の情報処理装置は、第2に、ICチップである(例えば、図5のICチップ51)
ことを特徴とする。
【0027】
本発明の一側面の情報処理方法および請求項5に記載のプログラムは、
記憶部に記憶されたメモリ領域を形成する際の認証に必要な認証鍵に基づいてメモリ領域の形成を認証する認証ステップ(例えば、図8のステップS13)と、記憶部に記憶されたメモリ領域を形成する際に授受される情報を暗号化する暗号化鍵で暗号化されたデータを授受する授受ステップ(例えば、図8のステップS14)と、授受ステップの処理で授受されたデータに基づいて、メモリ領域を形成する形成ステップ(例えば、図8のステップS14)と
を含むことを特徴とする。
【0028】
図5は、本発明を適用したICチップ51の構成例を示している。ICチップ51は、例えばICカードや携帯電話機等に組み込まれて利用される。
【0029】
通信部62は、図示せぬアンテナを介して、図示せぬリーダライタとの無線通信したり、後述する制御装置52と通信する。
【0030】
メモリ63には、後述するように一般システムが形成され、形成された一般システム(メモリ領域)には、所定の処理を実行する上で必要な情報が格納されている。
【0031】
図6は、初期状態(一般システムが形成される前)のメモリ63のデータ構造例を示す。初期状態のメモリ63には、図3における場合と同様にシステム0およびエリア0が設けられている他、管理システム71と称するメモリ領域がさらに設けられている。
【0032】
管理システム71には、管理システム71の管理システム鍵およびそのバージョン情報を含む定義情報、管理システム71の直下に設けられるエリア0のエリア0鍵およびそのバージョン情報を含む定義情報、並びにICチップ製造事業者やICカード発行事業者などのICチップ51を管理する管理者の管理者用鍵として、管理者毎のパッケージ鍵と実行権限鍵が格納されている。
【0033】
実行権限鍵は、管理者が実行できる権限に対応する機能の数分だけ割り当てられており、この鍵を利用して認証が行われる。パッケージ鍵は、管理者毎に1個割り当てられており、この鍵を利用して一般システム形成の際に必要な情報が暗号化される。
【0034】
図6の例では、管理者A(例えば、ICカード発行事業者)と管理者B(例えば、ICチップの製造事業者(システム0の所有者))毎にパッケージ鍵と実行権限鍵が設けられ、管理者Aには、2個の実行権限鍵が割り当てられ、管理者Bには、3個の実行権限鍵が割り当てられている。
【0035】
なお管理システム71に格納されているこれらの情報は、図7に示すように論理的に階層構造を形成して格納されている。
【0036】
ICチップ51において実行される所定の処理(例えば電子マネーによる代金支払い処理)は、処理に必要なデータが格納されているブロック単位のメモリ領域にアクセスする処理動作(以下、サービスと称する)が適宜実行されることにより実現されるが、そのためにはサービスを登録する必要がある。サービスが複数存在する場合、通常、一連のトランザクションに実行されるサービスが効率よく実行されるように、サービスを階層的に登録するようになされている。
【0037】
すなわち管理システム71における各情報に対するアクセスも、図7に示すように、通常のサービスと同様に階層構造を形成して登録することにより、一般システム形成に関するサービスを、通常のサービスと同様に実行することができる。
【0038】
図5に戻り認証部64は、管理システム71、システム0、およびエリア0、並びに後述するように形成された一般システム等へのアクセスを認証する。
【0039】
制御部61は、各部を制御する。
【0040】
次に、本発明に係る一般システム形成処理を、図8のフローチャートを参照して説明する。一般システムの形成は、管理者(例えばICチップ51が組み込まれたICカードの発行事業者)の権限で行われ、図9に示すように、その管理者が制御装置52を介してICチップ51を制御することにより実現される。
【0041】
ステップS11において、制御装置52は、ICチップ51を特定するためのコマンドを発行する。ICチップ51は、メモリ63の管理システム71にアクセスし、アクセスに成功した場合、その旨を、制御装置52に返す。
【0042】
ステップS12において、制御装置52は、管理システム71の管理システム鍵およびエリア0のエリア0鍵、並びに管理者A用鍵のパッケージ鍵および1つの実行権限鍵それぞれの鍵バージョンを取得するコマンドを発行する。
【0043】
ICチップ51は、管理システム71の定義情報から管理システム鍵の鍵バージョンを読み出すとともに、管理システム71の直下に設けられるエリア0の定義情報からエリア0鍵の鍵バージョンを読み出す。
【0044】
ICチップ51はまた、管理システム71に格納されている管理者A用鍵のパッケージ鍵の定義情報からパッケージ鍵の鍵バージョンを読み出すとともに、管理者A用鍵の1つの実行権限鍵の定義情報から実行権限鍵の鍵バージョンを読み出す。
【0045】
ICチップ51は、それぞれ読み出した、管理システム鍵、エリア0鍵、パッケージ鍵および実行権限鍵の鍵バージョンを、制御装置52に返す。
【0046】
ステップS13において、制御装置52は、管理システム鍵、エリア0鍵および実行権限鍵を用いて、ICチップ51と相互認証を行う。制御装置52は、所定のバージョンの管理システム鍵およびエリア0鍵、並びに管理者A用鍵の実行権限鍵を保有しており、これらの鍵バージョンがステップS12で取得した鍵バージョンに対応するものである場合、ICチップ51と相互認証することができる。
【0047】
ステップS14において、制御装置52は、ICチップ51に対して、システム0のエリア0から一般システムを形成するコマンドを発行する。このコマンドには、ステップS12で取得した鍵バージョンに対応した鍵バージョンのパッケージ鍵で暗号化された、分割するエリアの大きさ等を示すデータ、一般システム鍵、および一般システムのエリア0のエリア0鍵が含まれている。
【0048】
ICチップ51は、制御装置52から一般システムを形成するコマンドを受信すると、コマンドに含まれるデータを、パッケージ鍵を用いて復号するとともに、図10に示すように、システム0のエリア0の一部から一般システムを論理的に分割し、その一般システム(メモリ領域)に、復号の結果得られた一般システム鍵、一般システム鍵のバージョン情報を含む定義情報、一般システムのエリア0のエリア0鍵、およびそのエリア0鍵のバージョン情報を含む定義情報を格納する。
【0049】
以上のようにしてシステム0のエリア0から一般システムが分割される。
【0050】
すなわち従来においては、分割する際に、システム0鍵およびそのエリア0鍵を用いてICチップとの相互認証が行われるとともに、それらの鍵を用いて分割に必要な情報が暗号化されて授受されたが、本発明によれば、このように管理者毎の実行権限鍵により認証が行われ、管理者毎のパッケージ鍵により暗号化がなされるので、一般システムを形成する事業者と、システム0の所有者が異なっても、一般システムを形成することができる。
【0051】
なお以上においては、ICカードの発行事業者が管理者A用鍵を用いて一般システムを形成する場合を例として説明したが、ICチップの製造事業者も管理者B用鍵のパッケージ鍵および実行権限鍵を、上述したように利用することにより、一般システムを形成することができる。
【0052】
上述した一連の処理は、ハードウエアにより実行させることもできるし、ソフトウエアにより実行させることもできる。一連の処理をソフトウエアにより実行させる場合には、そのソフトウエアを構成するプログラムが、専用のハードウエアに組み込まれているコンピュータ、または、各種のプログラムをインストールすることで、各種の機能を実行することが可能な、例えば汎用のパーソナルコンピュータなどに、プログラム記録媒体からインストールされる。
【0053】
なお、本明細書において、プログラム記録媒体に格納されるプログラムを記述するステップは、記載された順序に沿って時系列的に行われる処理はもちろん、必ずしも時系列的に処理されなくとも、並列的あるいは個別に実行される処理をも含むものである。
【0054】
また、本発明の実施の形態は、上述した実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変更が可能である。
【図面の簡単な説明】
【0055】
【図1】従来の一般システム形成処理を説明するフローチャートである。
【図2】従来の一般システム形成処理を説明する図である。
【図3】図2のICチップ11のメモリ21の初期状態を示す図である。
【図4】ICチップ11に形成された一般システムを示す図である。
【図5】本発明を適用したICチップ51の構成例を示すブロック図である。
【図6】図5のICチップ51のメモリ63の初期状態を示す図である。
【図7】図6の管理システム71に格納されているデータ構造を示す図である。
【図8】本発明の一般システム形成処理を説明するフローチャートである。
【図9】本発明の一般システム形成処理を説明する図である。
【図10】ICチップ51に形成された一般システムを示す図である。
【符号の説明】
【0056】
51 ICチップ, 61 制御部, 62 RF部, 63 メモリ, 64 認証部 71 管理システム
【特許請求の範囲】
【請求項1】
所定のメモリ領域に格納されているデータに基づいて処理を実行する情報処理装置において、
前記メモリ領域を形成する際の認証に必要な認証鍵と、前記メモリ領域を形成する際に授受される情報を暗号化する暗号化鍵を、前記メモリ領域を形成する管理者毎に記憶する記憶手段と、
前記認証鍵に基づいて前記メモリ領域の形成を認証する認証手段と、
前記暗号化鍵で暗号化されたデータを授受する授受手段と、
前記授受手段により授受された前記データに基づいて、前記メモリ領域を形成する形成手段と
を備えることを特徴とする情報処理装置。
【請求項2】
前記情報処理装置は、ICチップである
ことを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記認証手段は、前記メモリ領域の形成を要求する制御装置と、前記認証鍵を用いて相互認証し、
前記授受手段は、前記制御装置から送信されてきた、前記暗号化鍵で暗号化されたデータを受信し、
前記形成手段は、前記授受手段により受信された前記データを、前記暗号化鍵で復号し、その結果得られたデータに基づいて、前記メモリ領域を形成する
ことを特徴とする請求項1に記載の情報処理装置。
【請求項4】
所定のメモリ領域に格納されているデータに基づいて処理を実行する情報処理装置の情報処理方法において、
記憶部に記憶された前記メモリ領域を形成する際の認証に必要な認証鍵に基づいて前記メモリ領域の形成を認証する認証ステップと、
前記記憶部に記憶された前記メモリ領域を形成する際に授受される情報を暗号化する暗号化鍵で暗号化されたデータを授受する授受ステップと、
前記授受ステップの処理で授受された前記データに基づいて、前記メモリ領域を形成する形成ステップと
を含むことを特徴とする情報処理方法。
【請求項5】
所定のメモリ領域に格納されているデータに基づいて処理を実行する情報処理装置を制御するプロセッサに実行させるプログラムにおいて、
記憶部に記憶された前記メモリ領域を形成する際の認証に必要な認証鍵に基づいて前記メモリ領域の形成を認証する認証ステップと、
前記記憶部に記憶された前記メモリ領域を形成する際に授受される情報を暗号化する暗号化鍵で暗号化されたデータを授受する授受ステップと、
前記授受ステップの処理で授受された前記データに基づいて、前記メモリ領域を形成する形成ステップと
を含むことを特徴とするプログラム。
【請求項1】
所定のメモリ領域に格納されているデータに基づいて処理を実行する情報処理装置において、
前記メモリ領域を形成する際の認証に必要な認証鍵と、前記メモリ領域を形成する際に授受される情報を暗号化する暗号化鍵を、前記メモリ領域を形成する管理者毎に記憶する記憶手段と、
前記認証鍵に基づいて前記メモリ領域の形成を認証する認証手段と、
前記暗号化鍵で暗号化されたデータを授受する授受手段と、
前記授受手段により授受された前記データに基づいて、前記メモリ領域を形成する形成手段と
を備えることを特徴とする情報処理装置。
【請求項2】
前記情報処理装置は、ICチップである
ことを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記認証手段は、前記メモリ領域の形成を要求する制御装置と、前記認証鍵を用いて相互認証し、
前記授受手段は、前記制御装置から送信されてきた、前記暗号化鍵で暗号化されたデータを受信し、
前記形成手段は、前記授受手段により受信された前記データを、前記暗号化鍵で復号し、その結果得られたデータに基づいて、前記メモリ領域を形成する
ことを特徴とする請求項1に記載の情報処理装置。
【請求項4】
所定のメモリ領域に格納されているデータに基づいて処理を実行する情報処理装置の情報処理方法において、
記憶部に記憶された前記メモリ領域を形成する際の認証に必要な認証鍵に基づいて前記メモリ領域の形成を認証する認証ステップと、
前記記憶部に記憶された前記メモリ領域を形成する際に授受される情報を暗号化する暗号化鍵で暗号化されたデータを授受する授受ステップと、
前記授受ステップの処理で授受された前記データに基づいて、前記メモリ領域を形成する形成ステップと
を含むことを特徴とする情報処理方法。
【請求項5】
所定のメモリ領域に格納されているデータに基づいて処理を実行する情報処理装置を制御するプロセッサに実行させるプログラムにおいて、
記憶部に記憶された前記メモリ領域を形成する際の認証に必要な認証鍵に基づいて前記メモリ領域の形成を認証する認証ステップと、
前記記憶部に記憶された前記メモリ領域を形成する際に授受される情報を暗号化する暗号化鍵で暗号化されたデータを授受する授受ステップと、
前記授受ステップの処理で授受された前記データに基づいて、前記メモリ領域を形成する形成ステップと
を含むことを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2007−52492(P2007−52492A)
【公開日】平成19年3月1日(2007.3.1)
【国際特許分類】
【出願番号】特願2005−235413(P2005−235413)
【出願日】平成17年8月15日(2005.8.15)
【出願人】(504134520)フェリカネットワークス株式会社 (129)
【Fターム(参考)】
【公開日】平成19年3月1日(2007.3.1)
【国際特許分類】
【出願日】平成17年8月15日(2005.8.15)
【出願人】(504134520)フェリカネットワークス株式会社 (129)
【Fターム(参考)】
[ Back to top ]