情報管理装置及び情報管理方法、並びにコンピュータ・プログラム
【課題】 ICカード製品の修理時や廃棄時においてメモリ内の格納されている利用者データを適正に保護する。
【解決手段】 ICカードはライフサイクルに応じた複数のステージを持つ。製造ステージでは、製造時の作業を効率的に実施できる。メンテナンス・ステージでは実運用時のファームウェアの修正が可能である。サスペンド・ステージでは、製品修理時の作業を効率的に実施可能である。ディスポーズ・ステージでは、製品の利用終了を実施可能とする。プロテクション・ステージでは、故障時の利用を停止することができる。
【解決手段】 ICカードはライフサイクルに応じた複数のステージを持つ。製造ステージでは、製造時の作業を効率的に実施できる。メンテナンス・ステージでは実運用時のファームウェアの修正が可能である。サスペンド・ステージでは、製品修理時の作業を効率的に実施可能である。ディスポーズ・ステージでは、製品の利用終了を実施可能とする。プロテクション・ステージでは、故障時の利用を停止することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、比較的大容量のメモリ領域に格納された情報へのアクセスを管理する情報管理装置及び情報管理方法、並びにコンピュータ・プログラムに係り、特に、ICカードのようにメモリ領域上に電子的な価値情報を格納して電子決済を始めとするセキュアな情報のやり取りを行なう情報管理装置及び情報管理方法、並びにコンピュータ・プログラムに関する。
【0002】
さらに詳しくは、本発明は、ICカード製品のライフサイクルに応じたアクセス動作によりメモリ内の格納されている利用者データを適正に保護する情報管理装置及び情報管理方法、並びにコンピュータ・プログラムに係り、特に、ICカード製品の修理時や廃棄時においてメモリ内の格納されている利用者データを適正に保護する情報管理装置及び情報管理方法、並びにコンピュータ・プログラムに関する。
【背景技術】
【0003】
ICカードに代表される非接触・近接通信システムは、操作上の手軽さから、広範に普及している。ICカードの一般的な使用方法は、利用者がICカードをカード読み書き装置にかざすことによって行なわれる。カード読み書き装置側では常にICカードをポーリングしており外部のICカードを発見することにより、両者間の通信動作が開始する。例えば、暗証コードやその他の個人認証情報、電子チケットなどの価値情報などをICカードに格納しておくことにより、キャッシュ・ディスペンサやコンサート会場の出入口、駅の改札口などにおいて、入場者や乗車者の認証処理を行なうことができる。
【0004】
最近では、微細化技術の向上とも相俟って、比較的大容量のメモリを持つICカードが出現している。大容量メモリ付きのICカードによれば、メモリ空間上にファイル・システムを展開し、複数のアプリケーションを同時に格納しておくことにより、1枚のICカードを複数の用途に利用することができる。例えば、1枚のICカード上に、電子決済を行なうための電子マネーや、特定のコンサート会場に入場するための電子チケットなど、複数のアプリケーションを格納しておくことにより、1枚のICカードをさまざまな用途に適用させることができる(例えば、非特許文献1を参照のこと)。ここで言う電子マネーや電子チケットは、利用者が提供する資金に応じて発行される電子データを通じて決済(電子決済)される仕組み、又はこのような電子データ自体を指す。
【0005】
また、ICカードやカード用リーダ/ライタ(カード読み書き装置)が無線・非接触インターフェースの他に、外部機器と接続するための有線インターフェースを備えることにより、携帯電話機、PDA(PersonalDigital Assistance)やCE(Consumer Electronics)機器、パーソナル・コンピュータなどの各機器にこれら非接触通信機能を内蔵して用いることができる(例えば、非特許文献1を参照のこと)。すなわち、これらの情報処理端末にICカード及びカード読み書き装置のいずれか一方又は双方の機能を装備して、ICカードを利用した非接触通信技術を汎用性のある双方向の近接データ通信を行なうことができる。ICカード技術は、内部の情報の複製や改竄が困難で、耐タンパ性を備えており、この種の近接データ通信は、高いレベルでセキュリティを実現することができる。
【0006】
ところで、ICカード製品は、他の機器と同様に、製品出荷、使用、修理、廃棄やリサイクルといったライフサイクルがある。
【0007】
例えば、カード仕様として、1)最低限の機能が活性化された状態(OP READY)、2)初期化された状態(INITIALIZED)、3)安全に使用できる状態(SECURED)、4)ロック状態(CARD LOCKED)、5)機能が終了した状態(TERMINATED)、の5つのライフサイクル・ステータス及び遷移条件を定義し、ライフサイクル・ステータスをICカードに書き込むことによるライフサイクル管理について、提案がなされている(例えば、非特許文献2を参照のこと)。
【0008】
また、利用者に対して、ICカードのライフサイクル・ステータスを可視的な手段で明示し、ICカードの不正利用の抑制が可能な、ICカード、ICカード用リーダ・ライタ及びICカードの状態管理方法について提案がなされている(例えば、特許文献1を参照のこと)。
【0009】
上述したように、ICカード内には、価値情報など不正利用や改竄が行なわれると利用者の利益が著しく損なわれる利用者データが格納されている。このため、例えばICチップを搭載した機器が故障した場合の修理は、利用者データが含まれたままの状態のため取り扱いが難しい、という問題がある。修理などのためにICカードが利用者の手元から離れている期間中に、利用者データの不正利用を回避するためには、利用者データを初期化して修理を行なう他ない。
【0010】
このような場合、利用者は、ICカードの搭載機器を修理に出す前に、一旦ICカードのサービス事業者まで出向いて利用者データの初期化を行なってから修理業者に搭載機器を渡し、この搭載機器が修理から戻ってくると再びICカードのサービス事業者のところまで出向いて利用者データの再書き込みを行なわなければならず、煩わしい。また、1つのICカードで複数のサービス事業者のサービスを利用している場合には(前述)、このような作業をサービス利用個数分だけ繰り返し行なわなければならない。
【0011】
従来のICカードの運用においては、他の製品と同様にライフサイクルに関する規定はあるものの、ライフサイクルの状態に応じた利用者データの保護方法に関する規定はないため、実運用上で問題がある。
【0012】
本発明者らは、ICカード内の利用者データの円滑な利用を図る一方で、修理時や廃棄時などICカードが利用者の手元から離れた期間に利用者データを適正に保護するためには、ライフサイクルのステージ毎にICカードへのアクセス動作を制御する仕組みが必要である、と思料する。
【0013】
【特許文献1】特開2004−110087号公報
【非特許文献1】「無線ICタグのすべて ゴマ粒チップでビジネスが変わる」(106〜107頁、RFIDテクノロジ編集部、日経BP社、2004年4月20日発行)
【非特許文献2】「オープン・プラットフォーム・カード・スペシフィケーション(Open Platform Card Specification Version 2.1)」,グローバル・プラットフォーム(Global Platform),2001年6月4日,p.38−39
【発明の開示】
【発明が解決しようとする課題】
【0014】
本発明の目的は、ICカードのようにメモリ領域上に電子的な価値情報を格納して電子決済を始めとするセキュアな情報のやり取りを行なうことができる、優れた情報管理装置及び情報管理方法、並びにコンピュータ・プログラムを提供することにある。
【0015】
本発明のさらなる目的は、ICカード製品のライフサイクルに応じてメモリ内の格納されている利用者データを適正に保護することができる、優れた情報管理装置及び情報管理方法、並びにコンピュータ・プログラムを提供することにある。
【0016】
本発明のさらなる目的は、ICカード製品の修理時や廃棄時においてメモリ内の格納されている利用者データを適正に保護することができる、優れた情報管理装置及び情報管理方法、並びにコンピュータ・プログラムを提供することにある。
【課題を解決するための手段】
【0017】
本発明は、上記課題を参酌してなされたものであり、その第1の側面は、メモリに記憶された利用者データを管理する情報管理装置であって、
通信インターフェース経由で接続される外部機器との通信動作を制御する通信制御機能部と、
前記通信インターフェースを通じて検出される外部イベント又は当該情報管理装置自身の内部状態に基づいて、当該情報管理装置のライフサイクルにおけるステージを設定するステージ管理機能部と、
前記ステージ管理機能部により設定されたステージを記憶するステージ保持機能部と、
前記ステージ保持機能部に保持されているステージに応じて、前記メモリに記憶された利用者データへのアクセス動作を制御するアクセス制御機能部と、
を具備することを特徴とする情報管理装置である。
【0018】
ここで言う情報管理装置は、非接触ICカード機能を実行するICチップ、無線通信部と非接触ICカード機能実行部としてのICチップを内蔵した非接触ICカード、非接触IC過反吐機能部を搭載したSIMカードやUIMカードのようなICカード、表面に端子を有する接触ICカード、接触/非接触ICカードと同様の機能を有するICチップを携帯電話機、PHS(PersonalHandyphone System)、PDA(Personal Digital Assistance)などの情報通信端末装置に内蔵した装置である。なお、非接触ICカード機能実行部としてのICチップは、データ送受信機能とデータ処理部を有するが、RFアナログ・フロントエンドとロジック回路(プロトコル制御、RF変復調、コマンド処理、暗号処理、メモリ管理)を1チップで構成してもよいし、あるいはこれらを分離した2チップ以上のICで構成するようにしてもよい。以下では、これらを総称して、単に「ICカード機能実行部」と呼ぶこともある。
【0019】
この情報管理装置は、EEPROMなどのデータ蓄積メモリを含むメモリ領域とデータ処理部を有するとともに、データ通信機能を有するものである。携帯電話機などの場合は、ICチップを内蔵するICカードなどの外部記憶媒体を着脱可能に構成してもよい。また、携帯電話会社が発行する契約者情報を記録したSIM(SubscriberIdentity Module)機能をICチップに搭載してもよい。情報管理装置は、インターネットなどの情報通信ネットワークを介してデータ通信を行なってもよいし、外部端末装置と有線又は無線で直接データ通信を行なってもよい。
【0020】
ICカード技術は、内部の情報の複製や改竄が困難で、耐タンパ性を備えていることから、この種の情報管理装置に依れば、情報の担持及び外部機器との情報通信において高いレベルでセキュリティを実現することができる。
【0021】
ICカード製品は、他の機器と同様に製品出荷、使用、修理、廃棄やリサイクルといったライフサイクルがある。ICカード内には、価値情報など不正利用や改竄が行なわれると利用者の利益が著しく損なわれる利用者データが格納されている。このため、例えばICチップを搭載機器が故障した場合の修理は、利用者データが含まれたままの状態のため取り扱いが難しく、利用者データを初期化して修理を行なう他ない。
【0022】
これに対し、本発明では、ライフサイクルのステージ毎にICカードへのアクセス動作を制御する仕組みを導入することによって、ICカード内のデータの円滑利用を図る一方で、修理時や廃棄時などICカードが利用者の手元から離れた期間に利用者データの適正な保護を実現するようにした。
【0023】
本発明に係る情報管理装置は、ICカードのライフサイクルに相当する複数のステージを持ち、前記通信インターフェースを通じて検出される外部イベント又は当該情報管理装置自身の内部状態に基づいて、当該情報管理装置のライフサイクルにおけるステージを設定するようになっている。
【0024】
前記メモリに記憶されている利用者データの利用が可能、すなわちICカードを一般的な利用形態で利用する第1のステージの他に、前記メモリに記憶されている利用者データの利用が可能でない第2のステージが定義されている。そして、前記アクセス制御機能部は、前記第1のステージでは、前記通信インターフェースを通した外部機器に対し、所定の認証手続きを経て前記メモリに記憶されている利用者データへのアクセスを許可する一方、前記第2のステージでは、前記通信インターフェースを通した外部機器に対して前記メモリに記憶されている利用者データへのすべてのアクセスを許可しないようになっている。
【0025】
ここで言う、利用者データへのすべてのアクセスが拒否される第2のステージとして、ICカードの内部操作用のファームウェアの修正が可能である「メンテナンス・ステージ」、ICカード自身の修理、又はICカードを搭載する情報処理端末の修理時に前記メモリに記憶されている利用者データの利用を一時停止する「サスペンド・ステージ」、ICカードの利用を終了する「ディスポーズ・ステージ」、異常が発生した際に前記メモリに記憶されている利用者データの利用を停止する「プロテクション・ステージ」など、複数のライフサイクル・ステージを定義することができる。
【0026】
例えば、ICチップの搭載機器を修理に出すときには、所定の手続きを経てICチップを一般利用ステージとしての第1のステージからサスペンド・ステージに移行させ、機器がユーザの手元から離れている期間中の利用者データを保護することができる。また、ICチップの搭載機器が修理から戻ってきたときには、所定の手続きを経てICチップをサスペンド・ステージから一般利用ステージに復帰させ、ICチップ内の利用者データの使用を円滑に再開することができる。
【0027】
また、本発明の第2の側面は、ICカード内のメモリに記憶された利用者データを管理するための処理をコンピュータ・システム上で実行するようにコンピュータ可読形式で記述されたコンピュータ・プログラムであって、前記コンピュータ・システムに対し、
通信インターフェース経由で接続される外部機器との通信動作を制御する通信制御手順と、
前記通信インターフェースを通じて検出される外部イベント又は前記ICカードの内部状態に基づいて、前記ICカードのライフサイクルにおけるステージを設定するステージ管理手順と、
前記ステージ管理ステップにおいて設定された現在のステージに応じて、前記メモリに記憶された利用者データへのアクセス動作を制御するアクセス制御手順と、
を実行させることを特徴とするコンピュータ・プログラムである。
【0028】
本発明の第2の側面に係るコンピュータ・プログラムは、コンピュータ・システム上で所定の処理を実現するようにコンピュータ可読形式で記述されたコンピュータ・プログラムを定義したものである。換言すれば、本発明の第3の側面に係るコンピュータ・プログラムをコンピュータ・システムにインストールすることによって、コンピュータ・システム上では協働的作用が発揮され、本発明の第1の側面に係る情報管理装置と同様の作用効果を得ることができる。
【発明の効果】
【0029】
本発明によれば、ICカード製品のライフサイクルに応じてメモリ内の格納されている利用者データを適正に保護することができる、優れた情報管理装置及び情報管理方法、並びにコンピュータ・プログラムを提供することができる。
【0030】
また、本発明によれば、ICカード製品の修理時や廃棄時においてメモリ内の格納されている利用者データを適正に保護することができる、優れた情報管理装置及び情報管理方法、並びにコンピュータ・プログラムを提供することができる。
【0031】
本発明のさらに他の目的、特徴や利点は、後述する本発明の実施形態や添付する図面に基づくより詳細な説明によって明らかになるであろう。
【発明を実施するための最良の形態】
【0032】
以下、図面を参照しながら本発明の実施形態について詳解する。
【0033】
本発明は、無線通信部、及びデータ送受信機能とデータ処理部を有するICチップを内蔵する非接触ICカード、表面に端子を有する接触ICカード、接触/非接触ICカードと同様の機能を有するICチップを携帯電話機、PHS(PersonalHandyphone System)、PDA(Personal Digital Assistance)などの情報通信端末装置に内蔵して構成される情報管理装置に関する。
【0034】
非接触ICカード機能を搭載したICチップは、データ送受信機能とデータ処理部を有するが、RFアナログ・フロントエンドとロジック回路(プロトコル制御、RF変復調、コマンド処理、暗号処理、メモリ管理)を1チップで構成してもよいし、あるいはこれらを分離した2チップ以上のICで構成するようにしてもよい。以下では、これらを総称して、単に「ICカード機能実行部」と呼ぶこともある。まず、ICカードを利用した非接触データ通信の仕組みについて説明する。
【0035】
カード読み書き装置とICカード間の無線通信は、例えば電磁誘導の原理に基づいて実現される。図1には、電磁誘導に基づくカード読み書き装置とICカードとの無線通信の仕組みを概念的に図解している。カード読み書き装置は、ループ・コイルで構成されたアンテナLRWを備え、このアンテナLRWに電流IRWを流すことでその周辺に磁界を発生させる。一方、ICカード側では、電気的にはICカードの周辺にループ・コイルLcが形設されている。ICカード側のループ・コイルLc端にはカード読み書き装置側のループ・アンテナLcが発する磁界による誘導電圧が生じて、ループ・コイルLc端に接続されたICカードの端子に入力される。
【0036】
カード読み書き装置側のアンテナLRWとICカード側のループ・コイルLcは、その結合度は互いの位置関係によって変わるが、系としては1個のトランスを形成していると捉えることができ、ICカードの読み書き動作を図2に示すようにモデル化することができる。
【0037】
カード読み書き装置側では、アンテナLRWに流す電流IRWを変調することによって、ICチップ上のループ・コイルLcに誘起される電圧VOは変調を受け、そのことを利用してカード読み書き装置はICカードへのデータ送信を行なうことができる。
【0038】
また、ICカードは、カード読み書き装置へ返送するためのデータに応じてループ・コイルLcの端子間の負荷を変動させる機能(LoadSwitching)を持つ。ループ・コイルLcの端子間の負荷が変動すると、カード読み書き装置側ではアンテナ端子間のインピーダンスが変化して、アンテナLRWの通過電流IRWや電圧VRWの変動となって現れる。この変動分を復調することで、カード読み書き装置はICカードの返送データを受信することができる。
【0039】
すなわち、ICカードは、カード読み書き装置からの質問信号に対する応答信号に応じて自身のアンテナ間の負荷を変化させることによって、カード読み書き装置側の受信回路に現れる信号に振幅変調をかけて通信を行なうことができる訳である。
【0040】
非接触カード通信システムは、図3に示すように、カード読み書き装置1と、ICカード機能実行部2と、コントローラ3で構成され、カード読み書き装置1とICカード2との間では、電磁波を利用して非接触で、データの送受信が行なわれる。すなわち、カード読み書き装置1がICカード機能実行部2に所定のコマンドを送信し、ICカード機能実行部2は受信したコマンドに対応する処理を行なう。そして、ICカード機能実行部2は、その処理結果に対応する応答データをカード読み書き装置1に送信する。
【0041】
カード読み書き装置1は、所定のインターフェース(例えば、RS−485Aの規格などに準拠したもの)を介してコントローラ3に接続されている。コントローラ3は、カード読み書き装置1に対し制御信号を供給することで、ICカード機能実行部2に対する所定の処理を行なわせる。
【0042】
また、ICカード機能実行部に、無線・非接触インターフェースの他に、外部機器と接続するための有線インターフェースを装備することによって、携帯電話機、PDA(PersonalDigital Assistance)やCE(Consumer Electronics)機器、パーソナル・コンピュータなどの情報処理端末に内蔵若しくはケーブル接続して用いることができる。
【0043】
図4には、この種のICカード機能実行部のハードウェア構成を模式的に示している。同図に示すように、ICカード機能実行部は、アンテナ部101に接続されたアナログ部102と、ディジタル制御部103と、メモリ104と、外部インターフェース105とで構成され、携帯端末110に内蔵されている。このICカード機能実行部は、1チップの半導体集積回路で構成してもよいし、RFアナログ・フロントエンドとロジック回路部を分離して2チップの半導体集積回路で構成してもよい。
【0044】
アンテナ部101は、図示しないカード読み書き装置との間で非接触データの送受信を行なう。アナログ部102は、検波、変復調、クロック抽出など、アンテナ部101から送受信されるアナログ信号の処理を行なう。これらは、ICカード機能実行部とカード読み書き装置間の非接触インターフェースを構成する。
【0045】
ディジタル制御部103は、送受信データの処理やその他のICカード機能実行部内の動作を統括的にコントロールする。ディジタル制御部103は、アドレス可能なメモリ104をローカルに接続している。メモリ104は、EEPROM(Electrically Erasable Programmable Read Only Memory)などの不揮発性記憶装置で構成され、電子マネーや電子チケットなどの利用者データを格納したり、ディジタル制御部103が実行するプログラム・コードを書き込んだり、実行中の作業データを保存するために使用することができる。
【0046】
本実施形態では、ICカード機能実行部には、製造ステージ、メンテナンス・ステージ、サスペンド・ステージ、ディスポーズ・ステージ、プロテクション・ステージという、ICカード機能実行部のライフサイクルに相当する複数のステージが定義されている。ディジタル制御部103は、各ステージに応じてメモリ104に対するアクセス動作を制御するが、この点の詳細については後述に譲る。
【0047】
外部インターフェース105は、カード読み書き装置(図示しない)と結ぶ非接触インターフェースとは相違するインターフェース・プロトコルにより、ディジタル制御部103が携帯端末110などの装置とを有線接続するための機能モジュールである。メモリ104に書き込まれたデータは、外部インターフェース105を経由して、携帯端末110に転送することができる。
【0048】
ここで、カード読み書き装置と通信を行なう際に、カード読み書き装置からの受信データをそのまま、あるいは適当な変換規則で変換し、あるいは別のパケット構造に変換して、外部インターフェース105を介して携帯端末110に送信する。また逆に、外部インターフェース105を介して携帯端末110から受信したデータをそのまま、あるいは適当な変換規則で変換し、あるいは別のパケット構造に変換して、非接触インターフェースを介してカード読み書き装置に送信する。
【0049】
本実施形態では、ICカード機能実行部は、情報処理端末としての携帯端末110に内蔵して用いられることを想定しており、外部インターフェース105には、UART(Universal Asynchronous Receiver Transmitter)のような有線インターフェースを使用する。
【0050】
ICカード機能実行部は、例えば、アンテナ部101経由で受信されるカード読み書き装置からの受信信号から得られるエネルギによって駆動することができる。勿論、携帯端末110側からの有線インターフェース105を介した供給電力によって、一部又は全部が動作するように構成されていてもよい。
【0051】
携帯端末110は、例えば携帯電話機やPDA、パーソナル・コンピュータ(PC)などの情報処理端末に相当する。携帯端末110は、プログラム制御部111と、表示部112と、ユーザ入力部113とで構成される。
【0052】
プログラム制御部111は、例えばマイクロプロセッサと、RAMと、ROMで構成され(いずれも図4には図示しない)、マイクロプロセッサは、ROMに格納されたプログラム・コードに従って、RAMを作業領域に用いてさまざまな処理サービスを実行する。処理サービスには、携帯電話機など携帯端末1100本来の機能の他に、ICカード機能実行部に対する処理も含まれる。勿論、プログラム制御部111は、ハード・ディスクなどの外部記憶装置や、その他の周辺装置を備えていてもよい。
【0053】
なお、図4に示した構成例では、非接触ICカード・インターフェース用のアンテナ部101は、ICカード機能実行部としてのICチップ内に搭載されているが、アンテナ構成はこれに限定されない。例えば、ICチップ・モジュールに対しアンテナ部101が外付け接続される場合や、ICチップ・モジュールを内蔵する携帯端末101側にアンテナ部101を配設するという実装形態も考えられる。
【0054】
既に周知のように、ICカード技術は、内部の情報の複製や改竄が困難で、耐タンパ性を備えていることから、この種の情報管理装置に依れば、情報の担持及び外部機器との情報通信において高いレベルでセキュリティを実現することができる。
【0055】
ICカード製品は、他の機器と同様に製品出荷、使用、修理、廃棄やリサイクルといったライフサイクルがある。ICカード内には、価値情報など利用者データが格納されている。利用者データが不正に利用されたり、改竄が行なわれると、利用者の利益が著しく損なわれる。このため、例えばICカードを搭載機器が故障した場合の修理は、利用者データが含まれたままの状態のため取り扱いが難しい、という問題がある。そこで、本実施形態では、ICカード内のデータの円滑な利用を図る一方で、修理時や廃棄時などICカードが利用者の手元から離れた期間に利用者データを適正に保護するために、ライフサイクルのステージ毎にICカードへのアクセス動作を制御する仕組みを導入している。
【0056】
図5には、本実施形態に係るICカードの状態遷移図を示している。同図に示すように、ICカードは、一般利用ステージの他に、製造ステージ、メンテナンス・ステージ、サスペンド・ステージ、ディスポーズ・ステージ、プロテクション・ステージという、ICカードのライフサイクルに相当する複数のステージを持つ。
【0057】
製造ステージは、ICカードの製造状態である。製造ステージのICカードに対し所定の発行手続きを施すことで、ICカード内に利用者データを書き込み、ICカードとしての通常の利用を行なう一般利用ステージへ移行する。ICカードの発行手続きは、ICカードに認証用のIDを割り当てることに相当する。
【0058】
サスペンド・ステージは、ICカードの利用を停止する状態であり、言い換えればICカード内に記憶されているデータ(利用者データを含む)へのアクセスをすべて拒否する状態である。ICカード搭載機器を修理に出すなど、ユーザの手元から離れる際には、ICカードをサスペンド・ステージにしておくことで、利用者データを残したまま保護することができる。
【0059】
ディスポーズ・ステージは、ICカードを廃棄する状態であり、言い換えればICカードとしての機能を完全に停止する状態である。このステージは、ICカードを廃棄する場合の他、リサイクルする場合にも利用することができる。ディスポーズ・ステージのICカードの再発行(すなわち、IDの再割当て)を行なうことで、ICカードを初期化し、再利用することが可能である。
【0060】
メンテナンス・ステージは、ICカードに修正プログラムをダウンロードするための状態である。このステージは、本発明の要旨と直接関連しないので、ここではこれ以上説明しない。
【0061】
プロテクション・ステージは、ICカード内で異常が発生したときに自己防衛する状態である。例えば、ディジタル制御部103で自己防衛プログラムを起動して、異常の発生が検出された場合や、外部からの不正アクセスなどの攻撃されたことを認識した場合に、このプロテクション・ステージに移行して、ICカード内に記憶されているデータ(利用者データを含む)へのアクセスをすべて拒否することにより、利用者データを残したまま保護することができる。プロテクション・ステージへは、他のいずれのステージからも、異常発生の検出に応じて移行することができる。
【0062】
従来のICカードの運用方法では、ICカードを搭載機器が故障した場合の修理は、利用者データが含まれたままの状態のため取り扱いが難しく、利用者データを初期化して修理を行なう他なかった。これに対し、本実施形態では、ICカードをサスペンド・ステージの状態に保持し、この状態においてICカード内の利用者データへのアクセスを拒否することができる。したがって、ICカードの搭載機器を修理に出すときには、所定の手続きを経てICカードを一般利用ステージからサスペンド・ステージに移行させ、機器がユーザの手元から離れている期間中の利用者データを保護することができる。また、ICカードの搭載機器が修理から戻ってきたときには、所定の手続きを経てICカードをサスペンド・ステージから一般利用ステージに復帰させ、ICカード内の利用者データの使用を円滑に再開することができる。
【0063】
ICカードには、ステージ移行(Transit Stage)コマンドが用意されている。非接触インターフェース又は有線インターフェース経由でICカードにアクセスする機器は、ICカードとの間で所定の相互認証処理を行なった後、このステージ移行コマンドを使ってICカードの状態を遷移させることができる。
【0064】
例えば、非接触インターフェース又は有線インターフェース経由でICカードにアクセスする機器は、一般利用ステージにあるICカードに対し、システム操作の暗号鍵とのICカードの相互認証を実施し、続いてステージ移行コマンドを送信することで、サスペンド・ステージへ移行させることができる。
【0065】
また、非接触インターフェース又は有線インターフェース経由でICカードにアクセスする機器は、サスペンド・ステージにあるICカードに対し、システム操作の暗号鍵とのICカードの相互認証を実施し、続いてステージ移行コマンドを送信することで、一般利用ステージへ復帰させることができる。
【0066】
図6には、ディジタル制御部103において、図5に示したICカードの状態遷移をコントロールするための機能的構成を模式的に示している。
【0067】
通信制御機能部103−1は、有線インターフェースを介した情報処理端末との通信動作の制御、並びに、非接触インターフェースを介したカード読み書き装置との通信動作の制御を行なう。
【0068】
ステージ管理機能部103−2は、通信機能制御部103−1を通じて検出される外部イベント又はICカード自身の内部状態に応じて、ICカードのステージ移行のコントロールを行なう。具体的には、有線インターフェース又は非接触インターフェースを通じてデータ転送可能な機器との間で所定の相互認証処理を行なった後、ステージ移行コマンドで指定されるステージへと移行する。あるいは、異常の発生が検出された場合や、外部からの不正アクセスなどの攻撃されたことを認識した場合に、プロテクション・ステージに移行する。
【0069】
ステージ保持機能部103−3は、ステージ管理機能部103−2によって設定された現在のステージを不揮発的に保持する。
【0070】
アクセス制御機能部103−4は、ステージ保持機能部103−3に保持されている現在のステージに従って、非接触インターフェース並びに有線インターフェース経由でのICカード内のメモリ104に記憶されている利用者データに対するアクセス動作を制御する。
【0071】
サスペンド・ステージでは、ICカードの利用が停止された状態にあり、アクセス制御機能部103−4は、ICカード内に記憶されているデータ(利用者データを含む)へのアクセスをすべて拒否する。また、プロテクション・ステージでは、ICカード内で異常が発生したときに自己防衛する状態にあり、アクセス制御機能部103−4は、ICカード内に記憶されているデータ(利用者データを含む)へのアクセスをすべて拒否する。
【0072】
図7には、図6に示した制御構成によりICカードのステージを移行するための動作フローを示している。
【0073】
非接触インターフェース又は有線インターフェース経由でICカードにステージ移行コマンドが発行されると、通信機能制御部103−1を経由してステージ管理機能部103−2に渡される。
【0074】
ステージ管理機能部103−2は、ICカードのインターフェース・プロトコルで規定されている所定の相互認証処理を実行する。相互認証処理の手順は、各プロトコルの規定に従うが、相互認証自体は本発明の要旨に直接関連しないので、ここでは説明を省略する。
【0075】
そして、認証に成功すると、続いてステージ移行コマンドで要求されているステージの移行が許可されたステージの遷移であるかどうかをチェックする。ここで言う許可された遷移とは、ステージ遷移に決められた遷移であるか(図5を参照のこと)、最終ページに規定された遷移であるかどうかということである。
【0076】
許可された遷移であれば、ステージ移行コマンドの要求通りにステージ移行を行なう。そして、現在のステージをステージ保持機能部103−3に記憶し、本処理を終了する。
【0077】
図8には、図6に示した制御構成により一般利用ステージにあるICカードに対してアクセス動作が行なわれたときのシーケンスを示している。
【0078】
非接触インターフェース又は有線インターフェース経由でICカードに利用者データ・アクセス要求コマンドが発行されると、通信機能制御部103−1を経由してアクセス制御機能部103−4に渡される。
【0079】
アクセス制御機能部103−4は、ステージ保持機能部103−3に問い合わせ、ICカードの現在のステージを確認する。そして、一般利用ステージにあり、且つ、メモリ104内のアクセスが制限されていない場合には、ステージ保持機能部103−3からアクセス制御機能部103−4に許可通知が行なわれる。
【0080】
アクセス制御機能部103−4は、この許可通知に応答して、メモリ104に対し、利用者データ・アクセス要求コマンドで要求されている利用者データへのアクセス(読み出しや書き込みなど)を実行する。そして、そのアクセス結果を、通信制御機能部103−1を通して要求元の機器へ返す。なお、ICカードの現在のステージを確認することによりアクセスの可否を判断する以外に、アクセス制御機能部103−4は、PIN(Personal Indentify Number)などの暗証コードの照合など付加的な照合処理を行なうようにしてもよい。
【0081】
また、図9には、図6に示した制御構成により一般利用ステージ以外の各ステージにあるICカードに対してアクセス動作が行なわれたときのシーケンスを示している。一般利用ステージ以外とは、製造ステージ、サスペンド・ステージ、ディスポーズ・ステージ、プロテクション・ステージの各ステージを指す。
【0082】
非接触インターフェース又は有線インターフェース経由でICカードに利用者データ・アクセス要求コマンドが発行されると、通信機能制御部103−1を経由してアクセス制御機能部103−4に渡される。
【0083】
アクセス制御機能部103−4は、ステージ保持機能部103−3に問い合わせ、ICカードの現在のステージを確認する。そして、一般利用ステージ以外のステージにあり、且つ、メモリ104内のすべてのデータへのアクセスが拒否されている場合には、ステージ保持機能部103−3からアクセス制御機能部103−4に拒否通知が行なわれる。
【0084】
アクセス制御機能部103−4は、この拒否通知に応答して、メモリ104に対するアクセスを行なわず、その代わりに、通信制御機能部103−1を通してアクセス拒否通知を要求元の機器へ返す。
【0085】
このように、本発明によれば、ライフサイクルのステージ毎にICカードへのアクセス動作を制御する仕組みを導入しているので、ICカードを搭載した機器が故障した場合であっても、ICカード内のデータの円滑利用を図る一方で、修理時や廃棄時などICカードが利用者の手元から離れた期間に利用者データを適正に保護することができる。
【0086】
例えば、ICカードの搭載機器を修理に出すときには、所定の手続きを経てICカードを一般利用ステージからサスペンド・ステージに移行させ、機器がユーザの手元から離れている期間中の利用者データを保護することができる。また、ICカードの搭載機器が修理から戻ってきたときには、所定の手続きを経てICカードをサスペンド・ステージから一般利用ステージに復帰させ、ICカード内の利用者データの使用を円滑に再開することができる。
【0087】
最後に、非接触インターフェース又は有線インターフェースを介してICカードに外部アクセスがあった場合に、ICカードと外部機器との間で行なわれる認証処理手順の一例について、図10を参照しながら説明する。但し、同図では、外部機器として、非接触インターフェースからアクセスするカード読み書き装置を想定している。
【0088】
図示の認証処理手順は、Authentication1とAuthenticatoin2という2段階の認証手続きで構成されている。Authentication1では、まず、ICカードに非接触インターフェース経由でアクセスするカード読み書き装置が乱数Aを生成し、この乱数Aをアクセス暗号鍵で暗号記して、ICカードに送信する。これに対し、ICカード側では、受信データをアクセス暗号鍵で復号化するとともに、乱数Bを生成し、復号化した乱数Aと乱数Bを暗号鍵でそれぞれ暗号化して、暗号化乱数A及び暗号化乱数Bをカード読み書き装置に返信する。
【0089】
カード読み書き装置は、ICカードからの返信メッセージを受信すると、受信データ中の暗号化乱数Aをアクセス暗号鍵で復号化して、生成時の乱数Aと復号化した乱数Aを比較して、相手の真正性をチェックする。ここで、ICカードの真正性が証明されると、さらに受信データ中の暗号化乱数Bをアクセス暗号鍵で復号化し、この復号化乱数Bをアクセス暗号鍵で暗号化する。そして、Authentication2として、暗号化乱数BをICカードに送信する。
【0090】
ICカードは、受信データ中の暗号化乱数Bをアクセス暗号鍵で復号化して、生成時の乱数Bと復号化した乱数Bを比較して、相手の真正性をチェックする。そして、この判定結果をカード読み書き装置に返信して、認証処理を終了する。
【産業上の利用可能性】
【0091】
以上、特定の実施形態を参照しながら、本発明について詳解してきた。しかしながら、本発明の要旨を逸脱しない範囲で当業者が該実施形態の修正や代用を成し得ることは自明である。
【0092】
本明細書では、ICカード製品に本発明を適用した実施形態を中心に説明してきたが、本発明の要旨はこれに限定されるものではない。重要な情報をセキュアに保管するとともにライフサイクルを備えた他の形態の情報機器に対しても同様に本発明を適用することができる。
【0093】
要するに、例示という形態で本発明を開示してきたのであり、本明細書の記載内容を限定的に解釈するべきではない。本発明の要旨を判断するためには、特許請求の範囲を参酌すべきである。
【図面の簡単な説明】
【0094】
【図1】図1は、電磁誘導に基づくカード読み書き装置とICカードとの無線通信の仕組みを概念的に示した図である。
【図2】図2は、カード読み書き装置とICカードからなる系を1個のトランスとして捉えてモデル化した図である。
【図3】図3は、非接触ICカード通信システムの構成を模式的に示した図である。
【図4】図4は、本発明の一実施形態に係るICカードのハードウェア構成を模式的に示した図である。
【図5】図5は、ICカードの状態遷移図を示した図である。
【図6】図6は、図5に示した状態遷移をコントロールするための機能的構成を模式的に示した図である。
【図7】図7は、図6に示した制御構成によりICカードのステージを移行するための動作フローを示した図である。
【図8】図8は、図6に示した制御構成により一般利用ステージにあるICカードに対してアクセス動作が行なわれたときのシーケンスを示した図である。
【図9】図9は、図6に示した制御構成により一般利用ステージ以外の各ステージにあるICカードに対してアクセス動作が行なわれたときのシーケンスを示した図である。
【図10】図10は、ICカードと外部機器との間で行なわれる認証処理手順の一例を示したシーケンス図である。
【符号の説明】
【0095】
1…カード読み書き装置
2…ICカード
3…コントローラ
101…アンテナ部
102…アナログ部
103…ディジタル制御部
104…メモリ
105…外部インターフェース
【技術分野】
【0001】
本発明は、比較的大容量のメモリ領域に格納された情報へのアクセスを管理する情報管理装置及び情報管理方法、並びにコンピュータ・プログラムに係り、特に、ICカードのようにメモリ領域上に電子的な価値情報を格納して電子決済を始めとするセキュアな情報のやり取りを行なう情報管理装置及び情報管理方法、並びにコンピュータ・プログラムに関する。
【0002】
さらに詳しくは、本発明は、ICカード製品のライフサイクルに応じたアクセス動作によりメモリ内の格納されている利用者データを適正に保護する情報管理装置及び情報管理方法、並びにコンピュータ・プログラムに係り、特に、ICカード製品の修理時や廃棄時においてメモリ内の格納されている利用者データを適正に保護する情報管理装置及び情報管理方法、並びにコンピュータ・プログラムに関する。
【背景技術】
【0003】
ICカードに代表される非接触・近接通信システムは、操作上の手軽さから、広範に普及している。ICカードの一般的な使用方法は、利用者がICカードをカード読み書き装置にかざすことによって行なわれる。カード読み書き装置側では常にICカードをポーリングしており外部のICカードを発見することにより、両者間の通信動作が開始する。例えば、暗証コードやその他の個人認証情報、電子チケットなどの価値情報などをICカードに格納しておくことにより、キャッシュ・ディスペンサやコンサート会場の出入口、駅の改札口などにおいて、入場者や乗車者の認証処理を行なうことができる。
【0004】
最近では、微細化技術の向上とも相俟って、比較的大容量のメモリを持つICカードが出現している。大容量メモリ付きのICカードによれば、メモリ空間上にファイル・システムを展開し、複数のアプリケーションを同時に格納しておくことにより、1枚のICカードを複数の用途に利用することができる。例えば、1枚のICカード上に、電子決済を行なうための電子マネーや、特定のコンサート会場に入場するための電子チケットなど、複数のアプリケーションを格納しておくことにより、1枚のICカードをさまざまな用途に適用させることができる(例えば、非特許文献1を参照のこと)。ここで言う電子マネーや電子チケットは、利用者が提供する資金に応じて発行される電子データを通じて決済(電子決済)される仕組み、又はこのような電子データ自体を指す。
【0005】
また、ICカードやカード用リーダ/ライタ(カード読み書き装置)が無線・非接触インターフェースの他に、外部機器と接続するための有線インターフェースを備えることにより、携帯電話機、PDA(PersonalDigital Assistance)やCE(Consumer Electronics)機器、パーソナル・コンピュータなどの各機器にこれら非接触通信機能を内蔵して用いることができる(例えば、非特許文献1を参照のこと)。すなわち、これらの情報処理端末にICカード及びカード読み書き装置のいずれか一方又は双方の機能を装備して、ICカードを利用した非接触通信技術を汎用性のある双方向の近接データ通信を行なうことができる。ICカード技術は、内部の情報の複製や改竄が困難で、耐タンパ性を備えており、この種の近接データ通信は、高いレベルでセキュリティを実現することができる。
【0006】
ところで、ICカード製品は、他の機器と同様に、製品出荷、使用、修理、廃棄やリサイクルといったライフサイクルがある。
【0007】
例えば、カード仕様として、1)最低限の機能が活性化された状態(OP READY)、2)初期化された状態(INITIALIZED)、3)安全に使用できる状態(SECURED)、4)ロック状態(CARD LOCKED)、5)機能が終了した状態(TERMINATED)、の5つのライフサイクル・ステータス及び遷移条件を定義し、ライフサイクル・ステータスをICカードに書き込むことによるライフサイクル管理について、提案がなされている(例えば、非特許文献2を参照のこと)。
【0008】
また、利用者に対して、ICカードのライフサイクル・ステータスを可視的な手段で明示し、ICカードの不正利用の抑制が可能な、ICカード、ICカード用リーダ・ライタ及びICカードの状態管理方法について提案がなされている(例えば、特許文献1を参照のこと)。
【0009】
上述したように、ICカード内には、価値情報など不正利用や改竄が行なわれると利用者の利益が著しく損なわれる利用者データが格納されている。このため、例えばICチップを搭載した機器が故障した場合の修理は、利用者データが含まれたままの状態のため取り扱いが難しい、という問題がある。修理などのためにICカードが利用者の手元から離れている期間中に、利用者データの不正利用を回避するためには、利用者データを初期化して修理を行なう他ない。
【0010】
このような場合、利用者は、ICカードの搭載機器を修理に出す前に、一旦ICカードのサービス事業者まで出向いて利用者データの初期化を行なってから修理業者に搭載機器を渡し、この搭載機器が修理から戻ってくると再びICカードのサービス事業者のところまで出向いて利用者データの再書き込みを行なわなければならず、煩わしい。また、1つのICカードで複数のサービス事業者のサービスを利用している場合には(前述)、このような作業をサービス利用個数分だけ繰り返し行なわなければならない。
【0011】
従来のICカードの運用においては、他の製品と同様にライフサイクルに関する規定はあるものの、ライフサイクルの状態に応じた利用者データの保護方法に関する規定はないため、実運用上で問題がある。
【0012】
本発明者らは、ICカード内の利用者データの円滑な利用を図る一方で、修理時や廃棄時などICカードが利用者の手元から離れた期間に利用者データを適正に保護するためには、ライフサイクルのステージ毎にICカードへのアクセス動作を制御する仕組みが必要である、と思料する。
【0013】
【特許文献1】特開2004−110087号公報
【非特許文献1】「無線ICタグのすべて ゴマ粒チップでビジネスが変わる」(106〜107頁、RFIDテクノロジ編集部、日経BP社、2004年4月20日発行)
【非特許文献2】「オープン・プラットフォーム・カード・スペシフィケーション(Open Platform Card Specification Version 2.1)」,グローバル・プラットフォーム(Global Platform),2001年6月4日,p.38−39
【発明の開示】
【発明が解決しようとする課題】
【0014】
本発明の目的は、ICカードのようにメモリ領域上に電子的な価値情報を格納して電子決済を始めとするセキュアな情報のやり取りを行なうことができる、優れた情報管理装置及び情報管理方法、並びにコンピュータ・プログラムを提供することにある。
【0015】
本発明のさらなる目的は、ICカード製品のライフサイクルに応じてメモリ内の格納されている利用者データを適正に保護することができる、優れた情報管理装置及び情報管理方法、並びにコンピュータ・プログラムを提供することにある。
【0016】
本発明のさらなる目的は、ICカード製品の修理時や廃棄時においてメモリ内の格納されている利用者データを適正に保護することができる、優れた情報管理装置及び情報管理方法、並びにコンピュータ・プログラムを提供することにある。
【課題を解決するための手段】
【0017】
本発明は、上記課題を参酌してなされたものであり、その第1の側面は、メモリに記憶された利用者データを管理する情報管理装置であって、
通信インターフェース経由で接続される外部機器との通信動作を制御する通信制御機能部と、
前記通信インターフェースを通じて検出される外部イベント又は当該情報管理装置自身の内部状態に基づいて、当該情報管理装置のライフサイクルにおけるステージを設定するステージ管理機能部と、
前記ステージ管理機能部により設定されたステージを記憶するステージ保持機能部と、
前記ステージ保持機能部に保持されているステージに応じて、前記メモリに記憶された利用者データへのアクセス動作を制御するアクセス制御機能部と、
を具備することを特徴とする情報管理装置である。
【0018】
ここで言う情報管理装置は、非接触ICカード機能を実行するICチップ、無線通信部と非接触ICカード機能実行部としてのICチップを内蔵した非接触ICカード、非接触IC過反吐機能部を搭載したSIMカードやUIMカードのようなICカード、表面に端子を有する接触ICカード、接触/非接触ICカードと同様の機能を有するICチップを携帯電話機、PHS(PersonalHandyphone System)、PDA(Personal Digital Assistance)などの情報通信端末装置に内蔵した装置である。なお、非接触ICカード機能実行部としてのICチップは、データ送受信機能とデータ処理部を有するが、RFアナログ・フロントエンドとロジック回路(プロトコル制御、RF変復調、コマンド処理、暗号処理、メモリ管理)を1チップで構成してもよいし、あるいはこれらを分離した2チップ以上のICで構成するようにしてもよい。以下では、これらを総称して、単に「ICカード機能実行部」と呼ぶこともある。
【0019】
この情報管理装置は、EEPROMなどのデータ蓄積メモリを含むメモリ領域とデータ処理部を有するとともに、データ通信機能を有するものである。携帯電話機などの場合は、ICチップを内蔵するICカードなどの外部記憶媒体を着脱可能に構成してもよい。また、携帯電話会社が発行する契約者情報を記録したSIM(SubscriberIdentity Module)機能をICチップに搭載してもよい。情報管理装置は、インターネットなどの情報通信ネットワークを介してデータ通信を行なってもよいし、外部端末装置と有線又は無線で直接データ通信を行なってもよい。
【0020】
ICカード技術は、内部の情報の複製や改竄が困難で、耐タンパ性を備えていることから、この種の情報管理装置に依れば、情報の担持及び外部機器との情報通信において高いレベルでセキュリティを実現することができる。
【0021】
ICカード製品は、他の機器と同様に製品出荷、使用、修理、廃棄やリサイクルといったライフサイクルがある。ICカード内には、価値情報など不正利用や改竄が行なわれると利用者の利益が著しく損なわれる利用者データが格納されている。このため、例えばICチップを搭載機器が故障した場合の修理は、利用者データが含まれたままの状態のため取り扱いが難しく、利用者データを初期化して修理を行なう他ない。
【0022】
これに対し、本発明では、ライフサイクルのステージ毎にICカードへのアクセス動作を制御する仕組みを導入することによって、ICカード内のデータの円滑利用を図る一方で、修理時や廃棄時などICカードが利用者の手元から離れた期間に利用者データの適正な保護を実現するようにした。
【0023】
本発明に係る情報管理装置は、ICカードのライフサイクルに相当する複数のステージを持ち、前記通信インターフェースを通じて検出される外部イベント又は当該情報管理装置自身の内部状態に基づいて、当該情報管理装置のライフサイクルにおけるステージを設定するようになっている。
【0024】
前記メモリに記憶されている利用者データの利用が可能、すなわちICカードを一般的な利用形態で利用する第1のステージの他に、前記メモリに記憶されている利用者データの利用が可能でない第2のステージが定義されている。そして、前記アクセス制御機能部は、前記第1のステージでは、前記通信インターフェースを通した外部機器に対し、所定の認証手続きを経て前記メモリに記憶されている利用者データへのアクセスを許可する一方、前記第2のステージでは、前記通信インターフェースを通した外部機器に対して前記メモリに記憶されている利用者データへのすべてのアクセスを許可しないようになっている。
【0025】
ここで言う、利用者データへのすべてのアクセスが拒否される第2のステージとして、ICカードの内部操作用のファームウェアの修正が可能である「メンテナンス・ステージ」、ICカード自身の修理、又はICカードを搭載する情報処理端末の修理時に前記メモリに記憶されている利用者データの利用を一時停止する「サスペンド・ステージ」、ICカードの利用を終了する「ディスポーズ・ステージ」、異常が発生した際に前記メモリに記憶されている利用者データの利用を停止する「プロテクション・ステージ」など、複数のライフサイクル・ステージを定義することができる。
【0026】
例えば、ICチップの搭載機器を修理に出すときには、所定の手続きを経てICチップを一般利用ステージとしての第1のステージからサスペンド・ステージに移行させ、機器がユーザの手元から離れている期間中の利用者データを保護することができる。また、ICチップの搭載機器が修理から戻ってきたときには、所定の手続きを経てICチップをサスペンド・ステージから一般利用ステージに復帰させ、ICチップ内の利用者データの使用を円滑に再開することができる。
【0027】
また、本発明の第2の側面は、ICカード内のメモリに記憶された利用者データを管理するための処理をコンピュータ・システム上で実行するようにコンピュータ可読形式で記述されたコンピュータ・プログラムであって、前記コンピュータ・システムに対し、
通信インターフェース経由で接続される外部機器との通信動作を制御する通信制御手順と、
前記通信インターフェースを通じて検出される外部イベント又は前記ICカードの内部状態に基づいて、前記ICカードのライフサイクルにおけるステージを設定するステージ管理手順と、
前記ステージ管理ステップにおいて設定された現在のステージに応じて、前記メモリに記憶された利用者データへのアクセス動作を制御するアクセス制御手順と、
を実行させることを特徴とするコンピュータ・プログラムである。
【0028】
本発明の第2の側面に係るコンピュータ・プログラムは、コンピュータ・システム上で所定の処理を実現するようにコンピュータ可読形式で記述されたコンピュータ・プログラムを定義したものである。換言すれば、本発明の第3の側面に係るコンピュータ・プログラムをコンピュータ・システムにインストールすることによって、コンピュータ・システム上では協働的作用が発揮され、本発明の第1の側面に係る情報管理装置と同様の作用効果を得ることができる。
【発明の効果】
【0029】
本発明によれば、ICカード製品のライフサイクルに応じてメモリ内の格納されている利用者データを適正に保護することができる、優れた情報管理装置及び情報管理方法、並びにコンピュータ・プログラムを提供することができる。
【0030】
また、本発明によれば、ICカード製品の修理時や廃棄時においてメモリ内の格納されている利用者データを適正に保護することができる、優れた情報管理装置及び情報管理方法、並びにコンピュータ・プログラムを提供することができる。
【0031】
本発明のさらに他の目的、特徴や利点は、後述する本発明の実施形態や添付する図面に基づくより詳細な説明によって明らかになるであろう。
【発明を実施するための最良の形態】
【0032】
以下、図面を参照しながら本発明の実施形態について詳解する。
【0033】
本発明は、無線通信部、及びデータ送受信機能とデータ処理部を有するICチップを内蔵する非接触ICカード、表面に端子を有する接触ICカード、接触/非接触ICカードと同様の機能を有するICチップを携帯電話機、PHS(PersonalHandyphone System)、PDA(Personal Digital Assistance)などの情報通信端末装置に内蔵して構成される情報管理装置に関する。
【0034】
非接触ICカード機能を搭載したICチップは、データ送受信機能とデータ処理部を有するが、RFアナログ・フロントエンドとロジック回路(プロトコル制御、RF変復調、コマンド処理、暗号処理、メモリ管理)を1チップで構成してもよいし、あるいはこれらを分離した2チップ以上のICで構成するようにしてもよい。以下では、これらを総称して、単に「ICカード機能実行部」と呼ぶこともある。まず、ICカードを利用した非接触データ通信の仕組みについて説明する。
【0035】
カード読み書き装置とICカード間の無線通信は、例えば電磁誘導の原理に基づいて実現される。図1には、電磁誘導に基づくカード読み書き装置とICカードとの無線通信の仕組みを概念的に図解している。カード読み書き装置は、ループ・コイルで構成されたアンテナLRWを備え、このアンテナLRWに電流IRWを流すことでその周辺に磁界を発生させる。一方、ICカード側では、電気的にはICカードの周辺にループ・コイルLcが形設されている。ICカード側のループ・コイルLc端にはカード読み書き装置側のループ・アンテナLcが発する磁界による誘導電圧が生じて、ループ・コイルLc端に接続されたICカードの端子に入力される。
【0036】
カード読み書き装置側のアンテナLRWとICカード側のループ・コイルLcは、その結合度は互いの位置関係によって変わるが、系としては1個のトランスを形成していると捉えることができ、ICカードの読み書き動作を図2に示すようにモデル化することができる。
【0037】
カード読み書き装置側では、アンテナLRWに流す電流IRWを変調することによって、ICチップ上のループ・コイルLcに誘起される電圧VOは変調を受け、そのことを利用してカード読み書き装置はICカードへのデータ送信を行なうことができる。
【0038】
また、ICカードは、カード読み書き装置へ返送するためのデータに応じてループ・コイルLcの端子間の負荷を変動させる機能(LoadSwitching)を持つ。ループ・コイルLcの端子間の負荷が変動すると、カード読み書き装置側ではアンテナ端子間のインピーダンスが変化して、アンテナLRWの通過電流IRWや電圧VRWの変動となって現れる。この変動分を復調することで、カード読み書き装置はICカードの返送データを受信することができる。
【0039】
すなわち、ICカードは、カード読み書き装置からの質問信号に対する応答信号に応じて自身のアンテナ間の負荷を変化させることによって、カード読み書き装置側の受信回路に現れる信号に振幅変調をかけて通信を行なうことができる訳である。
【0040】
非接触カード通信システムは、図3に示すように、カード読み書き装置1と、ICカード機能実行部2と、コントローラ3で構成され、カード読み書き装置1とICカード2との間では、電磁波を利用して非接触で、データの送受信が行なわれる。すなわち、カード読み書き装置1がICカード機能実行部2に所定のコマンドを送信し、ICカード機能実行部2は受信したコマンドに対応する処理を行なう。そして、ICカード機能実行部2は、その処理結果に対応する応答データをカード読み書き装置1に送信する。
【0041】
カード読み書き装置1は、所定のインターフェース(例えば、RS−485Aの規格などに準拠したもの)を介してコントローラ3に接続されている。コントローラ3は、カード読み書き装置1に対し制御信号を供給することで、ICカード機能実行部2に対する所定の処理を行なわせる。
【0042】
また、ICカード機能実行部に、無線・非接触インターフェースの他に、外部機器と接続するための有線インターフェースを装備することによって、携帯電話機、PDA(PersonalDigital Assistance)やCE(Consumer Electronics)機器、パーソナル・コンピュータなどの情報処理端末に内蔵若しくはケーブル接続して用いることができる。
【0043】
図4には、この種のICカード機能実行部のハードウェア構成を模式的に示している。同図に示すように、ICカード機能実行部は、アンテナ部101に接続されたアナログ部102と、ディジタル制御部103と、メモリ104と、外部インターフェース105とで構成され、携帯端末110に内蔵されている。このICカード機能実行部は、1チップの半導体集積回路で構成してもよいし、RFアナログ・フロントエンドとロジック回路部を分離して2チップの半導体集積回路で構成してもよい。
【0044】
アンテナ部101は、図示しないカード読み書き装置との間で非接触データの送受信を行なう。アナログ部102は、検波、変復調、クロック抽出など、アンテナ部101から送受信されるアナログ信号の処理を行なう。これらは、ICカード機能実行部とカード読み書き装置間の非接触インターフェースを構成する。
【0045】
ディジタル制御部103は、送受信データの処理やその他のICカード機能実行部内の動作を統括的にコントロールする。ディジタル制御部103は、アドレス可能なメモリ104をローカルに接続している。メモリ104は、EEPROM(Electrically Erasable Programmable Read Only Memory)などの不揮発性記憶装置で構成され、電子マネーや電子チケットなどの利用者データを格納したり、ディジタル制御部103が実行するプログラム・コードを書き込んだり、実行中の作業データを保存するために使用することができる。
【0046】
本実施形態では、ICカード機能実行部には、製造ステージ、メンテナンス・ステージ、サスペンド・ステージ、ディスポーズ・ステージ、プロテクション・ステージという、ICカード機能実行部のライフサイクルに相当する複数のステージが定義されている。ディジタル制御部103は、各ステージに応じてメモリ104に対するアクセス動作を制御するが、この点の詳細については後述に譲る。
【0047】
外部インターフェース105は、カード読み書き装置(図示しない)と結ぶ非接触インターフェースとは相違するインターフェース・プロトコルにより、ディジタル制御部103が携帯端末110などの装置とを有線接続するための機能モジュールである。メモリ104に書き込まれたデータは、外部インターフェース105を経由して、携帯端末110に転送することができる。
【0048】
ここで、カード読み書き装置と通信を行なう際に、カード読み書き装置からの受信データをそのまま、あるいは適当な変換規則で変換し、あるいは別のパケット構造に変換して、外部インターフェース105を介して携帯端末110に送信する。また逆に、外部インターフェース105を介して携帯端末110から受信したデータをそのまま、あるいは適当な変換規則で変換し、あるいは別のパケット構造に変換して、非接触インターフェースを介してカード読み書き装置に送信する。
【0049】
本実施形態では、ICカード機能実行部は、情報処理端末としての携帯端末110に内蔵して用いられることを想定しており、外部インターフェース105には、UART(Universal Asynchronous Receiver Transmitter)のような有線インターフェースを使用する。
【0050】
ICカード機能実行部は、例えば、アンテナ部101経由で受信されるカード読み書き装置からの受信信号から得られるエネルギによって駆動することができる。勿論、携帯端末110側からの有線インターフェース105を介した供給電力によって、一部又は全部が動作するように構成されていてもよい。
【0051】
携帯端末110は、例えば携帯電話機やPDA、パーソナル・コンピュータ(PC)などの情報処理端末に相当する。携帯端末110は、プログラム制御部111と、表示部112と、ユーザ入力部113とで構成される。
【0052】
プログラム制御部111は、例えばマイクロプロセッサと、RAMと、ROMで構成され(いずれも図4には図示しない)、マイクロプロセッサは、ROMに格納されたプログラム・コードに従って、RAMを作業領域に用いてさまざまな処理サービスを実行する。処理サービスには、携帯電話機など携帯端末1100本来の機能の他に、ICカード機能実行部に対する処理も含まれる。勿論、プログラム制御部111は、ハード・ディスクなどの外部記憶装置や、その他の周辺装置を備えていてもよい。
【0053】
なお、図4に示した構成例では、非接触ICカード・インターフェース用のアンテナ部101は、ICカード機能実行部としてのICチップ内に搭載されているが、アンテナ構成はこれに限定されない。例えば、ICチップ・モジュールに対しアンテナ部101が外付け接続される場合や、ICチップ・モジュールを内蔵する携帯端末101側にアンテナ部101を配設するという実装形態も考えられる。
【0054】
既に周知のように、ICカード技術は、内部の情報の複製や改竄が困難で、耐タンパ性を備えていることから、この種の情報管理装置に依れば、情報の担持及び外部機器との情報通信において高いレベルでセキュリティを実現することができる。
【0055】
ICカード製品は、他の機器と同様に製品出荷、使用、修理、廃棄やリサイクルといったライフサイクルがある。ICカード内には、価値情報など利用者データが格納されている。利用者データが不正に利用されたり、改竄が行なわれると、利用者の利益が著しく損なわれる。このため、例えばICカードを搭載機器が故障した場合の修理は、利用者データが含まれたままの状態のため取り扱いが難しい、という問題がある。そこで、本実施形態では、ICカード内のデータの円滑な利用を図る一方で、修理時や廃棄時などICカードが利用者の手元から離れた期間に利用者データを適正に保護するために、ライフサイクルのステージ毎にICカードへのアクセス動作を制御する仕組みを導入している。
【0056】
図5には、本実施形態に係るICカードの状態遷移図を示している。同図に示すように、ICカードは、一般利用ステージの他に、製造ステージ、メンテナンス・ステージ、サスペンド・ステージ、ディスポーズ・ステージ、プロテクション・ステージという、ICカードのライフサイクルに相当する複数のステージを持つ。
【0057】
製造ステージは、ICカードの製造状態である。製造ステージのICカードに対し所定の発行手続きを施すことで、ICカード内に利用者データを書き込み、ICカードとしての通常の利用を行なう一般利用ステージへ移行する。ICカードの発行手続きは、ICカードに認証用のIDを割り当てることに相当する。
【0058】
サスペンド・ステージは、ICカードの利用を停止する状態であり、言い換えればICカード内に記憶されているデータ(利用者データを含む)へのアクセスをすべて拒否する状態である。ICカード搭載機器を修理に出すなど、ユーザの手元から離れる際には、ICカードをサスペンド・ステージにしておくことで、利用者データを残したまま保護することができる。
【0059】
ディスポーズ・ステージは、ICカードを廃棄する状態であり、言い換えればICカードとしての機能を完全に停止する状態である。このステージは、ICカードを廃棄する場合の他、リサイクルする場合にも利用することができる。ディスポーズ・ステージのICカードの再発行(すなわち、IDの再割当て)を行なうことで、ICカードを初期化し、再利用することが可能である。
【0060】
メンテナンス・ステージは、ICカードに修正プログラムをダウンロードするための状態である。このステージは、本発明の要旨と直接関連しないので、ここではこれ以上説明しない。
【0061】
プロテクション・ステージは、ICカード内で異常が発生したときに自己防衛する状態である。例えば、ディジタル制御部103で自己防衛プログラムを起動して、異常の発生が検出された場合や、外部からの不正アクセスなどの攻撃されたことを認識した場合に、このプロテクション・ステージに移行して、ICカード内に記憶されているデータ(利用者データを含む)へのアクセスをすべて拒否することにより、利用者データを残したまま保護することができる。プロテクション・ステージへは、他のいずれのステージからも、異常発生の検出に応じて移行することができる。
【0062】
従来のICカードの運用方法では、ICカードを搭載機器が故障した場合の修理は、利用者データが含まれたままの状態のため取り扱いが難しく、利用者データを初期化して修理を行なう他なかった。これに対し、本実施形態では、ICカードをサスペンド・ステージの状態に保持し、この状態においてICカード内の利用者データへのアクセスを拒否することができる。したがって、ICカードの搭載機器を修理に出すときには、所定の手続きを経てICカードを一般利用ステージからサスペンド・ステージに移行させ、機器がユーザの手元から離れている期間中の利用者データを保護することができる。また、ICカードの搭載機器が修理から戻ってきたときには、所定の手続きを経てICカードをサスペンド・ステージから一般利用ステージに復帰させ、ICカード内の利用者データの使用を円滑に再開することができる。
【0063】
ICカードには、ステージ移行(Transit Stage)コマンドが用意されている。非接触インターフェース又は有線インターフェース経由でICカードにアクセスする機器は、ICカードとの間で所定の相互認証処理を行なった後、このステージ移行コマンドを使ってICカードの状態を遷移させることができる。
【0064】
例えば、非接触インターフェース又は有線インターフェース経由でICカードにアクセスする機器は、一般利用ステージにあるICカードに対し、システム操作の暗号鍵とのICカードの相互認証を実施し、続いてステージ移行コマンドを送信することで、サスペンド・ステージへ移行させることができる。
【0065】
また、非接触インターフェース又は有線インターフェース経由でICカードにアクセスする機器は、サスペンド・ステージにあるICカードに対し、システム操作の暗号鍵とのICカードの相互認証を実施し、続いてステージ移行コマンドを送信することで、一般利用ステージへ復帰させることができる。
【0066】
図6には、ディジタル制御部103において、図5に示したICカードの状態遷移をコントロールするための機能的構成を模式的に示している。
【0067】
通信制御機能部103−1は、有線インターフェースを介した情報処理端末との通信動作の制御、並びに、非接触インターフェースを介したカード読み書き装置との通信動作の制御を行なう。
【0068】
ステージ管理機能部103−2は、通信機能制御部103−1を通じて検出される外部イベント又はICカード自身の内部状態に応じて、ICカードのステージ移行のコントロールを行なう。具体的には、有線インターフェース又は非接触インターフェースを通じてデータ転送可能な機器との間で所定の相互認証処理を行なった後、ステージ移行コマンドで指定されるステージへと移行する。あるいは、異常の発生が検出された場合や、外部からの不正アクセスなどの攻撃されたことを認識した場合に、プロテクション・ステージに移行する。
【0069】
ステージ保持機能部103−3は、ステージ管理機能部103−2によって設定された現在のステージを不揮発的に保持する。
【0070】
アクセス制御機能部103−4は、ステージ保持機能部103−3に保持されている現在のステージに従って、非接触インターフェース並びに有線インターフェース経由でのICカード内のメモリ104に記憶されている利用者データに対するアクセス動作を制御する。
【0071】
サスペンド・ステージでは、ICカードの利用が停止された状態にあり、アクセス制御機能部103−4は、ICカード内に記憶されているデータ(利用者データを含む)へのアクセスをすべて拒否する。また、プロテクション・ステージでは、ICカード内で異常が発生したときに自己防衛する状態にあり、アクセス制御機能部103−4は、ICカード内に記憶されているデータ(利用者データを含む)へのアクセスをすべて拒否する。
【0072】
図7には、図6に示した制御構成によりICカードのステージを移行するための動作フローを示している。
【0073】
非接触インターフェース又は有線インターフェース経由でICカードにステージ移行コマンドが発行されると、通信機能制御部103−1を経由してステージ管理機能部103−2に渡される。
【0074】
ステージ管理機能部103−2は、ICカードのインターフェース・プロトコルで規定されている所定の相互認証処理を実行する。相互認証処理の手順は、各プロトコルの規定に従うが、相互認証自体は本発明の要旨に直接関連しないので、ここでは説明を省略する。
【0075】
そして、認証に成功すると、続いてステージ移行コマンドで要求されているステージの移行が許可されたステージの遷移であるかどうかをチェックする。ここで言う許可された遷移とは、ステージ遷移に決められた遷移であるか(図5を参照のこと)、最終ページに規定された遷移であるかどうかということである。
【0076】
許可された遷移であれば、ステージ移行コマンドの要求通りにステージ移行を行なう。そして、現在のステージをステージ保持機能部103−3に記憶し、本処理を終了する。
【0077】
図8には、図6に示した制御構成により一般利用ステージにあるICカードに対してアクセス動作が行なわれたときのシーケンスを示している。
【0078】
非接触インターフェース又は有線インターフェース経由でICカードに利用者データ・アクセス要求コマンドが発行されると、通信機能制御部103−1を経由してアクセス制御機能部103−4に渡される。
【0079】
アクセス制御機能部103−4は、ステージ保持機能部103−3に問い合わせ、ICカードの現在のステージを確認する。そして、一般利用ステージにあり、且つ、メモリ104内のアクセスが制限されていない場合には、ステージ保持機能部103−3からアクセス制御機能部103−4に許可通知が行なわれる。
【0080】
アクセス制御機能部103−4は、この許可通知に応答して、メモリ104に対し、利用者データ・アクセス要求コマンドで要求されている利用者データへのアクセス(読み出しや書き込みなど)を実行する。そして、そのアクセス結果を、通信制御機能部103−1を通して要求元の機器へ返す。なお、ICカードの現在のステージを確認することによりアクセスの可否を判断する以外に、アクセス制御機能部103−4は、PIN(Personal Indentify Number)などの暗証コードの照合など付加的な照合処理を行なうようにしてもよい。
【0081】
また、図9には、図6に示した制御構成により一般利用ステージ以外の各ステージにあるICカードに対してアクセス動作が行なわれたときのシーケンスを示している。一般利用ステージ以外とは、製造ステージ、サスペンド・ステージ、ディスポーズ・ステージ、プロテクション・ステージの各ステージを指す。
【0082】
非接触インターフェース又は有線インターフェース経由でICカードに利用者データ・アクセス要求コマンドが発行されると、通信機能制御部103−1を経由してアクセス制御機能部103−4に渡される。
【0083】
アクセス制御機能部103−4は、ステージ保持機能部103−3に問い合わせ、ICカードの現在のステージを確認する。そして、一般利用ステージ以外のステージにあり、且つ、メモリ104内のすべてのデータへのアクセスが拒否されている場合には、ステージ保持機能部103−3からアクセス制御機能部103−4に拒否通知が行なわれる。
【0084】
アクセス制御機能部103−4は、この拒否通知に応答して、メモリ104に対するアクセスを行なわず、その代わりに、通信制御機能部103−1を通してアクセス拒否通知を要求元の機器へ返す。
【0085】
このように、本発明によれば、ライフサイクルのステージ毎にICカードへのアクセス動作を制御する仕組みを導入しているので、ICカードを搭載した機器が故障した場合であっても、ICカード内のデータの円滑利用を図る一方で、修理時や廃棄時などICカードが利用者の手元から離れた期間に利用者データを適正に保護することができる。
【0086】
例えば、ICカードの搭載機器を修理に出すときには、所定の手続きを経てICカードを一般利用ステージからサスペンド・ステージに移行させ、機器がユーザの手元から離れている期間中の利用者データを保護することができる。また、ICカードの搭載機器が修理から戻ってきたときには、所定の手続きを経てICカードをサスペンド・ステージから一般利用ステージに復帰させ、ICカード内の利用者データの使用を円滑に再開することができる。
【0087】
最後に、非接触インターフェース又は有線インターフェースを介してICカードに外部アクセスがあった場合に、ICカードと外部機器との間で行なわれる認証処理手順の一例について、図10を参照しながら説明する。但し、同図では、外部機器として、非接触インターフェースからアクセスするカード読み書き装置を想定している。
【0088】
図示の認証処理手順は、Authentication1とAuthenticatoin2という2段階の認証手続きで構成されている。Authentication1では、まず、ICカードに非接触インターフェース経由でアクセスするカード読み書き装置が乱数Aを生成し、この乱数Aをアクセス暗号鍵で暗号記して、ICカードに送信する。これに対し、ICカード側では、受信データをアクセス暗号鍵で復号化するとともに、乱数Bを生成し、復号化した乱数Aと乱数Bを暗号鍵でそれぞれ暗号化して、暗号化乱数A及び暗号化乱数Bをカード読み書き装置に返信する。
【0089】
カード読み書き装置は、ICカードからの返信メッセージを受信すると、受信データ中の暗号化乱数Aをアクセス暗号鍵で復号化して、生成時の乱数Aと復号化した乱数Aを比較して、相手の真正性をチェックする。ここで、ICカードの真正性が証明されると、さらに受信データ中の暗号化乱数Bをアクセス暗号鍵で復号化し、この復号化乱数Bをアクセス暗号鍵で暗号化する。そして、Authentication2として、暗号化乱数BをICカードに送信する。
【0090】
ICカードは、受信データ中の暗号化乱数Bをアクセス暗号鍵で復号化して、生成時の乱数Bと復号化した乱数Bを比較して、相手の真正性をチェックする。そして、この判定結果をカード読み書き装置に返信して、認証処理を終了する。
【産業上の利用可能性】
【0091】
以上、特定の実施形態を参照しながら、本発明について詳解してきた。しかしながら、本発明の要旨を逸脱しない範囲で当業者が該実施形態の修正や代用を成し得ることは自明である。
【0092】
本明細書では、ICカード製品に本発明を適用した実施形態を中心に説明してきたが、本発明の要旨はこれに限定されるものではない。重要な情報をセキュアに保管するとともにライフサイクルを備えた他の形態の情報機器に対しても同様に本発明を適用することができる。
【0093】
要するに、例示という形態で本発明を開示してきたのであり、本明細書の記載内容を限定的に解釈するべきではない。本発明の要旨を判断するためには、特許請求の範囲を参酌すべきである。
【図面の簡単な説明】
【0094】
【図1】図1は、電磁誘導に基づくカード読み書き装置とICカードとの無線通信の仕組みを概念的に示した図である。
【図2】図2は、カード読み書き装置とICカードからなる系を1個のトランスとして捉えてモデル化した図である。
【図3】図3は、非接触ICカード通信システムの構成を模式的に示した図である。
【図4】図4は、本発明の一実施形態に係るICカードのハードウェア構成を模式的に示した図である。
【図5】図5は、ICカードの状態遷移図を示した図である。
【図6】図6は、図5に示した状態遷移をコントロールするための機能的構成を模式的に示した図である。
【図7】図7は、図6に示した制御構成によりICカードのステージを移行するための動作フローを示した図である。
【図8】図8は、図6に示した制御構成により一般利用ステージにあるICカードに対してアクセス動作が行なわれたときのシーケンスを示した図である。
【図9】図9は、図6に示した制御構成により一般利用ステージ以外の各ステージにあるICカードに対してアクセス動作が行なわれたときのシーケンスを示した図である。
【図10】図10は、ICカードと外部機器との間で行なわれる認証処理手順の一例を示したシーケンス図である。
【符号の説明】
【0095】
1…カード読み書き装置
2…ICカード
3…コントローラ
101…アンテナ部
102…アナログ部
103…ディジタル制御部
104…メモリ
105…外部インターフェース
【特許請求の範囲】
【請求項1】
メモリに記憶された利用者データを管理する情報管理装置であって、
通信インターフェース経由で接続される外部機器との通信動作を制御する通信制御機能部と、
前記通信インターフェースを通じて検出される外部イベント又は当該情報管理装置自身の内部状態に基づいて、当該情報管理装置のライフサイクルにおけるステージを設定するステージ管理機能部と、
前記ステージ管理機能部により設定されたステージを記憶するステージ保持機能部と、
前記ステージ保持機能部に保持されているステージに応じて、前記メモリに記憶された利用者データへのアクセス動作を制御するアクセス制御機能部と、
を具備することを特徴とする情報管理装置。
【請求項2】
前記通信インターフェースとして、前記外部機器としてのカード読み書き装置から非接触ICカード・インターフェース・プロトコルに基づく非接触通信を行なう非接触インターフェースを備え、
前記ステージ管理機能部は、前記カード読み書き装置からの認証付き要求に応答してステージの移行を行なう、
ことを特徴とする請求項1に記載の情報管理装置。
【請求項3】
前記通信インターフェースとして、当該情報管理装置を搭載し又は外部接続される前記外部機器としての情報処理端末と有線接続する有線インターフェースを備え、
前記ステージ管理機能部は、前記情報処理端末からの認証付き要求に応答してステージの移行を行なう、
ことを特徴とする請求項1に記載の情報管理装置。
【請求項4】
前記ステージ管理機能部は、当該情報管理装置内において故障、又は前記メモリに記憶されている利用者データに対する攻撃、あるいはその他の異常を検出したことに応答してステージの移行を行なう、
ことを特徴とする請求項1に記載の情報管理装置。
【請求項5】
前記ステージ管理機能部は、前記メモリに記憶されている利用者データの利用が可能な第1のステージと、前記メモリに記憶されている利用者データの利用が可能でない第2のステージを設定し、
前記アクセス制御機能部は、前記第1のステージでは、前記通信インターフェースを通した外部機器に対し、所定の認証手続きを経て前記メモリに記憶されている利用者データへのアクセスを許可するが、前記第2のステージでは、前記通信インターフェースを通した外部機器に対して前記メモリに記憶されている利用者データへのすべてのアクセスを許可しない、
ことを特徴とする請求項1に記載の情報管理装置。
【請求項6】
前記第2のステージとして、当該情報管理装置の内部操作用のファームウェアの修正が可能であるメンテナンス・ステージを備える、
ことを特徴とする請求項5に記載の情報管理装置。
【請求項7】
前記第2のステージとして、当該情報管理装置自身の修理、又は当該情報管理装置を搭載する情報処理端末の修理時に前記メモリに記憶されている利用者データの利用を一時停止するサスペンド・ステージを備える、
ことを特徴とする請求項5に記載の情報管理装置。
【請求項8】
前記第2のステージとして、当該情報管理装置自身の利用を終了するディスポーズ・ステージを備える、
ことを特徴とする請求項5に記載の情報管理装置。
【請求項9】
前記第2のステージとして、当該情報管理装置に異常が発生した際に前記メモリに記憶されている利用者データの利用を停止するプロテクション・ステージを備える、
ことを特徴とする請求項5に記載の情報管理装置。
【請求項10】
ICカード内のメモリに記憶された利用者データを管理する情報管理方法であって、
通信インターフェース経由で接続される外部機器との通信動作を制御する通信制御ステップと、
前記通信インターフェースを通じて検出される外部イベント又は前記ICカードの内部状態に基づいて、前記ICカードのライフサイクルにおけるステージを設定するステージ管理ステップと、
前記ステージ管理ステップにおいて設定された現在のステージに応じて、前記メモリに記憶された利用者データへのアクセス動作を制御するアクセス制御ステップと、
を具備することを特徴とする情報管理方法。
【請求項11】
前記通信インターフェースとして、前記外部機器としてのカード読み書き装置から非接触ICカード・インターフェース・プロトコルに基づく非接触通信を行なう非接触インターフェースを含み、
前記ステージ管理ステップでは、前記カード読み書き装置からの認証付き要求に応答してステージの移行を行なう、
ことを特徴とする請求項10に記載の情報管理方法。
【請求項12】
前記通信インターフェースとして、前記ICカードを搭載し又は外部接続される前記外部機器としての情報処理端末と有線接続する有線インターフェースを含み、
前記ステージ管理ステップでは、前記情報処理端末からの認証付き要求に応答してステージの移行を行なう、
ことを特徴とする請求項10に記載の情報管理方法。
【請求項13】
前記ステージ管理ステップでは、前記ICカード内において故障、又は前記メモリに記憶されている利用者データに対する攻撃、あるいはその他の異常を検出したことに応答してステージの移行を行なう、
ことを特徴とする請求項10に記載の情報管理方法。
【請求項14】
前記ステージ管理ステップでは、前記メモリに記憶されている利用者データの利用が可能な第1のステージと、前記メモリに記憶されている利用者データの利用が可能でない第2のステージを設定し、
前記アクセス制御ステップでは、前記第1のステージにおける前記通信インターフェースを通した外部機器に対し、所定の認証手続きを経て前記メモリに記憶されている利用者データへのアクセスを許可するが、前記第2のステージにおける前記通信インターフェースを通した外部機器に対して前記メモリに記憶されている利用者データへのすべてのアクセスを許可しない、
ことを特徴とする請求項10に記載の情報管理方法。
【請求項15】
前記第2のステージとして、前記ICカードの内部操作用のファームウェアの修正が可能であるメンテナンス・ステージを備える、
ことを特徴とする請求項14に記載の情報管理方法。
【請求項16】
前記第2のステージとして、前記ICカードの修理、又は前記ICカードを搭載する情報処理端末の修理時に前記メモリに記憶されている利用者データの利用を一時停止するサスペンド・ステージを備える、
ことを特徴とする請求項14に記載の情報管理方法。
【請求項17】
前記第2のステージとして、前記ICカードの利用を終了するディスポーズ・ステージを備える、
ことを特徴とする請求項14に記載の情報管理方法。
【請求項18】
前記第2のステージとして、前記ICカードに異常が発生した際に前記メモリに記憶されている利用者データの利用を停止するプロテクション・ステージを備える、
ことを特徴とする請求項14に記載の情報管理方法。
【請求項19】
ICカード内のメモリに記憶された利用者データを管理するための処理をコンピュータ・システム上で実行するようにコンピュータ可読形式で記述されたコンピュータ・プログラムであって、前記コンピュータ・システムに対し、
通信インターフェース経由で接続される外部機器との通信動作を制御する通信制御手順と、
前記通信インターフェースを通じて検出される外部イベント又は前記ICカードの内部状態に基づいて、前記ICカードのライフサイクルにおけるステージを設定するステージ管理手順と、
前記ステージ管理ステップにおいて設定された現在のステージに応じて、前記メモリに記憶された利用者データへのアクセス動作を制御するアクセス制御手順と、
を実行させることを特徴とするコンピュータ・プログラム。
【請求項1】
メモリに記憶された利用者データを管理する情報管理装置であって、
通信インターフェース経由で接続される外部機器との通信動作を制御する通信制御機能部と、
前記通信インターフェースを通じて検出される外部イベント又は当該情報管理装置自身の内部状態に基づいて、当該情報管理装置のライフサイクルにおけるステージを設定するステージ管理機能部と、
前記ステージ管理機能部により設定されたステージを記憶するステージ保持機能部と、
前記ステージ保持機能部に保持されているステージに応じて、前記メモリに記憶された利用者データへのアクセス動作を制御するアクセス制御機能部と、
を具備することを特徴とする情報管理装置。
【請求項2】
前記通信インターフェースとして、前記外部機器としてのカード読み書き装置から非接触ICカード・インターフェース・プロトコルに基づく非接触通信を行なう非接触インターフェースを備え、
前記ステージ管理機能部は、前記カード読み書き装置からの認証付き要求に応答してステージの移行を行なう、
ことを特徴とする請求項1に記載の情報管理装置。
【請求項3】
前記通信インターフェースとして、当該情報管理装置を搭載し又は外部接続される前記外部機器としての情報処理端末と有線接続する有線インターフェースを備え、
前記ステージ管理機能部は、前記情報処理端末からの認証付き要求に応答してステージの移行を行なう、
ことを特徴とする請求項1に記載の情報管理装置。
【請求項4】
前記ステージ管理機能部は、当該情報管理装置内において故障、又は前記メモリに記憶されている利用者データに対する攻撃、あるいはその他の異常を検出したことに応答してステージの移行を行なう、
ことを特徴とする請求項1に記載の情報管理装置。
【請求項5】
前記ステージ管理機能部は、前記メモリに記憶されている利用者データの利用が可能な第1のステージと、前記メモリに記憶されている利用者データの利用が可能でない第2のステージを設定し、
前記アクセス制御機能部は、前記第1のステージでは、前記通信インターフェースを通した外部機器に対し、所定の認証手続きを経て前記メモリに記憶されている利用者データへのアクセスを許可するが、前記第2のステージでは、前記通信インターフェースを通した外部機器に対して前記メモリに記憶されている利用者データへのすべてのアクセスを許可しない、
ことを特徴とする請求項1に記載の情報管理装置。
【請求項6】
前記第2のステージとして、当該情報管理装置の内部操作用のファームウェアの修正が可能であるメンテナンス・ステージを備える、
ことを特徴とする請求項5に記載の情報管理装置。
【請求項7】
前記第2のステージとして、当該情報管理装置自身の修理、又は当該情報管理装置を搭載する情報処理端末の修理時に前記メモリに記憶されている利用者データの利用を一時停止するサスペンド・ステージを備える、
ことを特徴とする請求項5に記載の情報管理装置。
【請求項8】
前記第2のステージとして、当該情報管理装置自身の利用を終了するディスポーズ・ステージを備える、
ことを特徴とする請求項5に記載の情報管理装置。
【請求項9】
前記第2のステージとして、当該情報管理装置に異常が発生した際に前記メモリに記憶されている利用者データの利用を停止するプロテクション・ステージを備える、
ことを特徴とする請求項5に記載の情報管理装置。
【請求項10】
ICカード内のメモリに記憶された利用者データを管理する情報管理方法であって、
通信インターフェース経由で接続される外部機器との通信動作を制御する通信制御ステップと、
前記通信インターフェースを通じて検出される外部イベント又は前記ICカードの内部状態に基づいて、前記ICカードのライフサイクルにおけるステージを設定するステージ管理ステップと、
前記ステージ管理ステップにおいて設定された現在のステージに応じて、前記メモリに記憶された利用者データへのアクセス動作を制御するアクセス制御ステップと、
を具備することを特徴とする情報管理方法。
【請求項11】
前記通信インターフェースとして、前記外部機器としてのカード読み書き装置から非接触ICカード・インターフェース・プロトコルに基づく非接触通信を行なう非接触インターフェースを含み、
前記ステージ管理ステップでは、前記カード読み書き装置からの認証付き要求に応答してステージの移行を行なう、
ことを特徴とする請求項10に記載の情報管理方法。
【請求項12】
前記通信インターフェースとして、前記ICカードを搭載し又は外部接続される前記外部機器としての情報処理端末と有線接続する有線インターフェースを含み、
前記ステージ管理ステップでは、前記情報処理端末からの認証付き要求に応答してステージの移行を行なう、
ことを特徴とする請求項10に記載の情報管理方法。
【請求項13】
前記ステージ管理ステップでは、前記ICカード内において故障、又は前記メモリに記憶されている利用者データに対する攻撃、あるいはその他の異常を検出したことに応答してステージの移行を行なう、
ことを特徴とする請求項10に記載の情報管理方法。
【請求項14】
前記ステージ管理ステップでは、前記メモリに記憶されている利用者データの利用が可能な第1のステージと、前記メモリに記憶されている利用者データの利用が可能でない第2のステージを設定し、
前記アクセス制御ステップでは、前記第1のステージにおける前記通信インターフェースを通した外部機器に対し、所定の認証手続きを経て前記メモリに記憶されている利用者データへのアクセスを許可するが、前記第2のステージにおける前記通信インターフェースを通した外部機器に対して前記メモリに記憶されている利用者データへのすべてのアクセスを許可しない、
ことを特徴とする請求項10に記載の情報管理方法。
【請求項15】
前記第2のステージとして、前記ICカードの内部操作用のファームウェアの修正が可能であるメンテナンス・ステージを備える、
ことを特徴とする請求項14に記載の情報管理方法。
【請求項16】
前記第2のステージとして、前記ICカードの修理、又は前記ICカードを搭載する情報処理端末の修理時に前記メモリに記憶されている利用者データの利用を一時停止するサスペンド・ステージを備える、
ことを特徴とする請求項14に記載の情報管理方法。
【請求項17】
前記第2のステージとして、前記ICカードの利用を終了するディスポーズ・ステージを備える、
ことを特徴とする請求項14に記載の情報管理方法。
【請求項18】
前記第2のステージとして、前記ICカードに異常が発生した際に前記メモリに記憶されている利用者データの利用を停止するプロテクション・ステージを備える、
ことを特徴とする請求項14に記載の情報管理方法。
【請求項19】
ICカード内のメモリに記憶された利用者データを管理するための処理をコンピュータ・システム上で実行するようにコンピュータ可読形式で記述されたコンピュータ・プログラムであって、前記コンピュータ・システムに対し、
通信インターフェース経由で接続される外部機器との通信動作を制御する通信制御手順と、
前記通信インターフェースを通じて検出される外部イベント又は前記ICカードの内部状態に基づいて、前記ICカードのライフサイクルにおけるステージを設定するステージ管理手順と、
前記ステージ管理ステップにおいて設定された現在のステージに応じて、前記メモリに記憶された利用者データへのアクセス動作を制御するアクセス制御手順と、
を実行させることを特徴とするコンピュータ・プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2007−4624(P2007−4624A)
【公開日】平成19年1月11日(2007.1.11)
【国際特許分類】
【出願番号】特願2005−185587(P2005−185587)
【出願日】平成17年6月24日(2005.6.24)
【出願人】(504134520)フェリカネットワークス株式会社 (129)
【Fターム(参考)】
【公開日】平成19年1月11日(2007.1.11)
【国際特許分類】
【出願日】平成17年6月24日(2005.6.24)
【出願人】(504134520)フェリカネットワークス株式会社 (129)
【Fターム(参考)】
[ Back to top ]