説明

情報記録媒体と認証管理方法および認証管理システム

【課題】通常の運用中において情報記録媒体の使用者が意図せずとも、短時間に認証鍵を更新し、セキュリティを保つ。
【解決手段】情報記録媒体は、それぞれのメモリアドレス21に位置している情報ファイル28と鍵ファイル29を有し、それぞれにファイルを識別するファイル識別子22とファイルの種類やデータ内容等を記憶するファイルの情報23を備え、情報ファイル28は、認証鍵となる鍵ファイルの数を記憶する鍵設定数記憶部24と、認証鍵として使用する順番に鍵ファイルに対応する情報を記憶した鍵情報記憶部25と、認証鍵として有効であるかを記憶する鍵有効状態記憶部26を備える。認証鍵の鍵データが漏洩するなどした場合は、問題の生じた認証鍵の鍵有効状態記憶部26を有効から無効に変更し、鍵情報記憶部25の設定で次に認証鍵となる鍵ファイル29の鍵有効状態記憶部26を無効から有効に変更することで、認証鍵を更新する。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証鍵の更新を行える情報記録媒体と、情報記録媒体と接触または非接触によって通信を行い、情報の読み取りや書き込みを行う上位装置とから構成され、情報記録媒体の認証鍵の更新を行なえる認証管理方法および認証管理システムに関する。
【背景技術】
【0002】
従来、リーダ/ライタ等の上位装置と、接触または非接触によって情報の通信を行う、ICカードやICタグ等に使用される情報記録媒体は、一般的にROM、RAM、EEPROMの3種類のメモリと、メモリにアクセスするCPUとを備えている。また、EEPROMのメモリ領域には、ID等のデータや、それらデータの読み出しや書き込みを制限するための、認証用の鍵情報等が記録された複数のファイルが格納されている。
【0003】
また、近年は1枚の情報記録媒体を複数の用途で使用することが多く、情報記録媒体のメモリの大容量化が進んでいる。それに伴い、情報記録媒体に記録されるファイル数も増加している。特にメモリ容量の大きな情報記録媒体のメモリ管理方法には、日本ICカードシステム利用促進協議会(JICSAP)が規定する、ICカード仕様が適用されることが多い。この仕様の情報記録媒体は、1枚の情報記録媒体で複数のファイルを記録できるという特徴がある。
【0004】
また、上位装置と情報記録媒体とのデータの送受信は、始めに上位装置から情報記録媒体に命令コマンドの送信があり、情報記録媒体は対象のファイルのデータに対して、読み出しや書き込み等の命令に沿った処理を行い、上位装置に対して処理のレスポンスを送信することによって行われている。
【0005】
ここで、ファイル内のデータの不正な読み出しまたは書き込みを制限するために、認証鍵となる鍵ファイルを設定し、読み出しまたは書き込みを行うファイルを施錠した状態とすることが一般的である。認証鍵でファイルを施錠することを一般的にはアクセス権の設定と言う。例えば、ファイルAの読み出しのアクセス権に認証鍵AAを設定し、書き込みのアクセス権に認証鍵BBを設定する内容である。この場合、認証鍵AAを開錠しなければファイルの読み出しが行えず、また、認証鍵BBを開錠しなければファイルの書き込みが行えないようにする運用が可能となる。
【0006】
一般的に、ICカードの鍵ファイルの種類には、鍵データの値そのものを照合する平文鍵と、鍵データから暗号コードを作成して、その暗号コードを照合する暗号鍵とがある。暗号鍵には、暗号アルゴリズムが使用され、使用する暗号アルゴリズムはDES(Data Encryption Standard)、AES(Advanced Encryption Standard)等が一般的である。情報記録媒体の高セキュリティ化が要求される近年、このようなアクセス権の管理方法が有効である。
【0007】
しかし、情報記録媒体を使用したシステムの運用中に、ファイルのアクセス権に設定された認証鍵の鍵データが第三者に漏洩した場合や、暗号鍵が使用している暗号アルゴリズムの脆弱性等の問題が見つかり、鍵データが推測されるような事態に陥った場合、情報記録媒体のセキュリティが損なわれる危険性がある。
【0008】
その対策として、特許文献1に開示された方法がある。特許文献1では、認証鍵のバージョンアップを行う機能を情報記録媒体に予め搭載しておき、バージョンアップ用のリーダ/ライタを用いて認証鍵をバージョンアップする方法や、情報記録媒体に複数の認証鍵を搭載し、使用する認証鍵をリーダ/ライタまたはリーダ/ライタが接続されているサーバー等の管理装置が使い分ける方法が開示されている。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2001−357373号公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
しかしながら、従来技術は、情報記録媒体の認証鍵の鍵データが第三者に漏洩するなどのセキュリティが損なわれる事態に陥った場合、その認証鍵とは異なる新たな認証鍵を持った情報記録媒体を再作成する必要があり、そのためには情報記録媒体を交換しなければならず、手間や時間がかかるという課題がある。また、情報記録媒体の認証鍵をバージョンアップする場合は、情報記録媒体の交換は必要としなくても、認証鍵のバージョンアップを行うためには、バージョンアップ用のリーダ/ライタを用いる必要があるため、全ての情報記録媒体に対して、バージョンアップ処理を行うことは、情報記録媒体の数が多ければ多い程、困難であるという課題がある。
【0011】
運用中に使用しているリーダ/ライタによって、情報記録媒体の使用者が意図せずに認証鍵のバージョンアップ処理を行うことも可能であるが、運用の時間に加えて認証鍵のバージョンアップの時間を要する事となり、処理時間が長くなる。
【0012】
以下に、従来技術を用いたコマンドシーケンスについて説明する。図6は従来技術によるコマンドシーケンスを示す図であって、(a)は鍵開錠を要求する場合のコマンドシーケンスを示す図、(b)は暗号鍵の開錠を要求するコマンドシーケンスを示す図、(c)は鍵データの更新を要求するコマンドシーケンスを示す図である。
【0013】
図6(a)は、認証鍵の開錠要求から、そのレスポンスまでについて説明している。初めにリーダ/ライタは情報記録媒体に認証鍵の開錠を要求する、キー照合コマンドを送信する。情報記録媒体は受信したキー照合コマンドの内容を処理して、リーダ/ライタへキー照合のレスポンスを送信する。情報記録媒体は、情報記録媒体内の認証鍵に記憶されている鍵データをリーダ/ライタが知っているかどうかを判断基準として鍵の開錠を行う。
【0014】
図6(b)は、暗号鍵の開錠要求から、そのレスポンスまでについて説明している。初めにリーダ/ライタは情報記録媒体に乱数取得コマンドを送信する。情報記録媒体は受信したコマンドの内容を処理して、リーダ/ライタへ乱数を含んだレスポンスを送信する。次にリーダ/ライタは、受信した乱数を情報記録媒体の鍵ファイルに記憶されている鍵データで暗号化して、暗号コードを作成する。暗号コードの作成には、一般的にDESまたはAES等の暗号が使用される。リーダ/ライタは、暗号コードを含む外部認証コマンドを情報記録媒体に送信し、情報記録媒体は受信したコマンドの内容を処理して、リーダ/ライタへ外部認証レスポンスを送信する。情報記録媒体は、情報記録媒体の鍵ファイルに記憶されている鍵データをリーダ/ライタが知っているかどうかを判断基準として鍵の開錠を行う。
【0015】
図6(c)は、情報記録媒体における認証鍵の鍵データの変更について説明している。情報記録媒体には複数の鍵ファイルが記憶されており、各鍵ファイルには鍵データと、鍵のバージョン情報が設定されている。初めに、リーダ/ライタは情報記録媒体に鍵バージョン取得コマンドを送信する。情報記録媒体は当該鍵ファイルに記憶されている鍵バージョンをレスポンスとして送信する。リーダ/ライタは受信した鍵バージョンが最新の鍵バージョンであるかどうか、当該鍵ファイルの鍵データが漏洩していないか、または当該鍵が使用する暗号アルゴリズムの脆弱性等の問題が見つかっていないかの判断を行う。この判断はリーダ/ライタが行う場合と、リーダ/ライタが接続された管理装置が行う場合とがある。
【0016】
ここで、当該鍵ファイルの鍵データが漏洩しているなどのように、認証鍵として相応しくないと判断された場合は、当該鍵ファイルの鍵データの変更を行うこととなる。一般的に、鍵データの変更を行うには、鍵データの変更用の認証鍵を開錠する必要があるため、リーダ/ライタは情報記録媒体に鍵変更用認証コマンドを送信し、情報記録媒体は受信した鍵変更用認証コマンドの内容を処理して、リーダ/ライタへ鍵変更用認証レスポンスを送信する。次に、リーダ/ライタは新たな鍵データおよび鍵バージョンを含んだ鍵変更コマンドを情報記録媒体に送信する。情報記録媒体は、当該鍵ファイルの鍵データおよび鍵バージョンを変更し、リーダ/ライタに対してレスポンスを送信することで認証鍵の変更を行う。
【0017】
図6からも明らかなように、運用中に使用しているリーダ/ライタによって、認証鍵のバージョンアップ処理を行う場合、運用の時間に加えて認証鍵のバージョンアップの時間を要する事となり、通信処理時間が長くなることがわかる。一般的な交通乗車券に使用される情報記録媒体は、タッチアンドゴーと呼ばれる運用方法を採用しており、通信処理を短時間で完了しなければならない。この場合、一般的に約0.2秒の間に通信処理を完了しなければならないことが知られており、運用の時間に加えて、認証鍵のバージョンアップの時間を要する方法では、対応することは困難であるという課題がある。
【0018】
また、複数の認証鍵を搭載する場合でも、第三者に鍵データが漏洩した認証鍵や、暗号鍵が使用している暗号アルゴリズムの脆弱性等の問題によって推測される恐れのある認証鍵は、使用できなくしなければ、その認証鍵を使用してデータの読み出しや書き込みが行われる恐れがあり、そこがセキュリティホールとなる課題がある。
【0019】
そこで本発明は、通常の運用中において情報記録媒体の使用者が意図せずとも、短時間に認証鍵の更新ができ、セキュリティが保たれた情報記録媒体と認証管理方法および認証管理システムを提供することを目的とする。
【課題を解決するための手段】
【0020】
上記の課題を解決するために、本発明の情報記録媒体は、1つ以上の情報ファイルと、前記情報ファイルの認証鍵となる2つ以上の鍵ファイルを備え、前記情報ファイルには、認証鍵となる前記鍵ファイルの数を記憶する鍵設定数記憶部と、前記鍵ファイルを認証鍵として使用する順番に、前記鍵ファイルに対応する情報を記憶する、2つ以上の鍵情報記憶部と、認証鍵として使用する前記鍵ファイルのみ有効であり、その他の前記鍵ファイルは無効であることを記憶する鍵有効状態記憶部を有し、前記鍵有効状態記憶部が有効である認証鍵を無効に変更し、前記鍵情報記憶部に記憶されている、次の認証鍵となる前記鍵ファイルの前記鍵有効状態記憶部を無効から有効に変更することで、前記情報ファイルの認証鍵を更新する事を特徴とする。
【0021】
情報記録媒体の情報ファイルの鍵設定数記憶部には、情報ファイルの認証鍵として設定される鍵ファイルの数が設定されている。さらに、鍵情報記憶部には鍵設定数記憶部に設定された数分の鍵ファイルの情報が、認証鍵として使用される順番に設定され、鍵有効状態記憶部には認証鍵として鍵ファイルが有効であるかどうかを記憶している。認証鍵の鍵データが漏洩するなどによって、セキュリティが損なわれた場合は、問題の生じた認証鍵の鍵有効状態記憶部を有効から無効に変更し、鍵情報記憶部の設定で次に認証鍵となる鍵ファイルの鍵有効状態記憶部を無効から有効に変更することで、認証鍵の更新が行える。
【0022】
また、認証鍵となる順番が決まっている為、セキュリティが損なわれる等の問題が生じた事により鍵有効状態記憶部が有効から無効へと変更になった鍵ファイルは、二度と認証鍵として鍵有効状態記憶部が有効となることはない。そのため、問題が生じた鍵ファイルは使用できない状態となり、情報記録媒体のセキュリティが保たれる。
【0023】
また、本発明の認証管理システムは、1つ以上の情報ファイルと、前記情報ファイルの認証鍵となる2つ以上の鍵ファイルを備え、前記情報ファイルには、認証鍵となる前記鍵ファイルの数を記憶する鍵設定数記憶部と、前記鍵ファイルを認証鍵として使用する順番に、前記鍵ファイルに対応する情報を記憶する、2つ以上の鍵情報記憶部と、認証鍵として使用する前記鍵ファイルのみ有効であり、その他の前記鍵ファイルは無効であることを記憶する鍵有効状態記憶部を有している情報記録媒体と、前記情報記録媒体と接触または非接触によって通信を行う上位装置とから構成され、前記上位装置から鍵の更新を要求するコマンドの受信によって、前記鍵有効状態記憶部が有効である認証鍵を無効に変更し、前記鍵情報記憶部に記憶されている、次の認証鍵となる前記鍵ファイルの前記鍵有効状態記憶部を無効から有効に変更することで、前記情報ファイルの認証鍵を更新する事を特徴とすることが望ましい。
【0024】
情報記録媒体の情報ファイルの鍵設定数記憶部には、情報ファイルの認証鍵として設定される鍵ファイルの数が設定されている。さらに、鍵情報記憶部には鍵設定数記憶部に設定された数分の鍵ファイルの情報が、認証鍵として使用される順番に設定され、鍵有効状態記憶部には認証鍵として鍵ファイルが有効であるかどうかを記憶している。認証鍵の鍵データが漏洩するなどによって、セキュリティが損なわれた場合は、情報記録媒体と接触または非接触によって通信を行うリーダ/ライタ等の上位装置から、認証鍵の更新の要求を受けて、問題の生じた認証鍵の鍵有効状態記憶部を有効から無効に変更し、次に認証鍵となる鍵ファイルの鍵有効状態記憶部を無効から有効に変更することで、認証鍵の更新が行える。
【0025】
また、認証鍵となる順番が決まっている為、セキュリティが損なわれる等の問題が生じた事により鍵有効状態記憶部が有効から無効へと変更になった鍵ファイルは、二度と認証鍵として鍵有効状態記憶部が有効となることはない。そのため、問題が生じた鍵ファイルは使用できない状態となり、情報記録媒体のセキュリティが保たれる。
【0026】
また、本発明の認証管理システムにおいて、前記情報記録媒体は、前記上位装置から鍵開錠コマンドを受信して、認証鍵の開錠や認証鍵の更新を行う鍵開錠手段と、前記上位装置から情報要求コマンドを受信して、アクセスを要求された前記情報ファイルの認証鍵の前記鍵有効状態記憶部が有効であり、認証鍵が開錠されている場合に、要求された処理を行う情報提供手段を備え、前記上位装置は、前記情報記録媒体に前記鍵開錠コマンドを送信して、認証鍵の開錠や認証鍵の更新を行う前記鍵開錠手段を要求し、また、前記情報記録媒体に前記情報要求コマンドを送信して、前記情報ファイルへの処理を行う前記情報提供手段を要求し、前記情報記録媒体からそれらのレスポンスを受信することで処理の続行または終了の判断を行う情報要求手段を備えていることを特徴とすることが望ましい。
【0027】
また、本発明の認証管理システムにおいて、前記情報要求手段は前記情報記録媒体からのレスポンスにより、処理の続行または終了の判断を行う判断手段を備え、前記鍵開錠手段は鍵開錠を要求された前記鍵ファイルの前記鍵有効状態記憶部を読み出し、前記鍵有効状態記憶部が無効である場合、認証鍵の更新を行って認証鍵を開錠し、前記鍵有効状態記憶部が有効である場合、認証鍵を開錠する、鍵開錠手段を備え、前記情報提供手段はアクセスを要求された前記情報ファイルの前記鍵有効状態記憶部が有効である認証鍵がみつかるまで、または前記鍵設定数記憶部から取得した回数分、減算を行う演算手段と、アクセスを要求された前記情報ファイルの認証鍵の前記鍵有効状態記憶部が有効で、認証鍵が開錠されている場合に、前記上位装置から要求された処理を行う情報処理手段を備えていることを特徴とすることが望ましい。
【0028】
また、本発明の認証管理方法は、認証鍵となる前記鍵ファイルの数を記憶する鍵設定数記憶部と、前記鍵ファイルを認証鍵として使用する順番に、前記鍵ファイルに対応する情報を記憶する、2つ以上の鍵情報記憶部と、認証鍵として使用する前記鍵ファイルのみ有効であり、その他の前記鍵ファイルは無効であることを記憶する鍵有効状態記憶部を有した、1つ以上の情報ファイルと、鍵データを有した、前記情報ファイルの認証鍵となる2つ以上の鍵ファイルを備えた情報記録媒体と、前記情報記録媒体と接触または非接触によって通信を行う上位装置とから構成され、前記上位装置から前記鍵データを有した鍵開錠コマンドを受信し、鍵開錠の対象となる認証鍵の鍵ファイルで、前記鍵開錠コマンドの前記鍵データを有する前記鍵ファイルを、前記鍵情報記憶部から検索し、前記有効状態記憶部の読み出しを行い、前記鍵有効状態記憶部が有効である場合、認証鍵である前記鍵ファイルを開錠し、正常レスポンスを前記上位装置に送信して処理を終了し、前記鍵有効状態記憶部が無効である場合、認証鍵である前記鍵ファイルの1つ前の順番である認証鍵の前記鍵有効状態記憶部の読み出しを行い、1つ前の順番の前記鍵有効状態記憶部が無効である場合、エラーレスポンスを前記上位装置に送信して処理を終了し、1つ前の順番の前記鍵有効状態記憶部が有効である場合、1つ前の順番の前記鍵有効状態記憶部を有効から無効に変更し、認証鍵である前記鍵ファイルの前記鍵有効状態記憶部を無効から有効に変更して認証鍵の更新を行い、認証鍵である前記鍵ファイルを開錠し、正常レスポンスを前記上位装置に送信して処理を終了する鍵開錠処理と、前記上位装置から情報要求コマンドを受信し、アクセスを要求された前記情報ファイルの前記鍵設定数記憶部に記憶されている数値の順番に認証鍵となる前記鍵ファイルの前記鍵有効状態記憶部の読み出しを行い、前記鍵有効状態記憶部が無効である場合、前記鍵有効状態記憶部が有効である前記鍵ファイルを見つけるまで、または、前記鍵設定数記憶部に記憶されていた数値が0になるまで1減算し、1減算した数値の順番に認証鍵となる前記有効状態記憶部の確認を行い、前記鍵有効状態記憶部が有効である場合、認証鍵として有効である前記鍵ファイルが開錠されているかの確認を行い、開錠されていない場合、エラーレスポンスを前記上位装置に送信して処理を終了し、開錠されている場合、前記情報要求コマンドにて要求された処理を前記情報ファイルに行い、正常レスポンスを前記上位装置に送信して処理を終了する情報提供処理と、前記情報記録媒体に前記鍵開錠コマンドを送信し、前記情報記録媒体から正常レスポンスを受信後、前記情報要求コマンドを送信して、前記情報記録媒体からレスポンスを受信し、前記情報要求コマンドのレスポンスが正常レスポンスの場合、前記情報要求処理を終了し、前記情報要求コマンドのレスポンスがエラーレスポンスの場合、送信した前記鍵開錠コマンドの鍵ファイルの1つ前に認証鍵となる前記鍵ファイルの情報を有した前記鍵開錠コマンドを送信し、前記情報記録媒体から正常レスポンスを受信後、前記情報要求コマンドを送信して、前記情報記録媒体からレスポンスを受信し、前記情報要求コマンドのレスポンスがエラーレスポンスの場合、前記情報要求コマンドのレスポンスが正常レスポンスを受信するまで、または鍵開錠を要求する対象となる前記鍵ファイルがなくなるまで、1加算した順番分前に認証鍵となる前記鍵ファイルの情報を有した前記鍵開錠コマンドを送信し、前記情報記録媒体から正常レスポンスを受信したら、前記情報要求コマンドの送信を行う処理を続け、前記情報要求コマンドのレスポンスが正常レスポンスの場合、正常レスポンスを受信した前記鍵ファイルの次に認証鍵となる前記鍵ファイルから、最初に送信した認証鍵の前記鍵ファイルまで、順番に前記鍵開錠コマンドの送信を行い、そのレスポンス受信後、前記情報要求コマンドを送信して、前記情報記録媒体からレスポンスの受信を行い、処理を終了する情報要求処理を備えることを特徴とする。
【0029】
また、本発明の認証管理システムは、上記記載の認証管理方法の処理をコンピュータに実行させるプログラムを有し、認証鍵の更新を行うことを特徴とする。
【0030】
鍵開錠処理によって、認証鍵となる鍵ファイルを情報ファイルの鍵情報記憶部から検索して、鍵有効状態記憶部を確認し、有効であれば認証鍵の開錠のみを行う。一方、認証鍵である鍵ファイルの鍵有効状態記憶部が無効で、認証鍵の設定が1つ前の順番である鍵ファイルの鍵有効状態記憶部が有効であれば、1つ前の認証鍵の鍵有効状態記憶部を有効から無効に変更し、認証鍵となる鍵ファイルの鍵有効状態記憶部を無効から有効に変更を行う。その後、認証鍵の開錠を行うことで、認証鍵の更新と認証鍵の開錠を一度の処理で行える。
【0031】
また、情報ファイルへのアクセスを行うためには、認証鍵の鍵有効状態記憶部が有効であり、かつ認証鍵が開錠されている必要がある。もし、セキュリティが損なわれる等の問題が生じた事によって、鍵有効状態記憶部が無効へと変更になった以前の認証鍵が開錠されていても、この認証鍵を用いて、情報ファイルにアクセスを行うことはできない。これにより、情報記録媒体のセキュリティが保たれる。
【発明の効果】
【0032】
本発明によれば、情報記録媒体に記憶される情報ファイルのアクセス権に、複数の鍵ファイルを設定しておき、認証鍵の更新が必要な場合は、認証鍵である鍵ファイルの鍵有効状態記憶部が有効から無効となり、次の認証鍵となる鍵ファイルの鍵有効状態記憶部を無効から有効とすることで、認証鍵の更新を行える。
【0033】
これにより、認証鍵の鍵データが第三者に漏洩した場合や、暗号鍵が使用する暗号アルゴリズムの脆弱性等の問題が見つかった場合でも、情報記録媒体の交換や、専用のリーダ/ライタ等の上位装置によって認証鍵の更新を行う必要がなくなる。
【0034】
また、認証鍵の更新が必要な場合は、通常行う認証鍵の開錠処理中に認証鍵の更新処理を行うため、認証鍵の更新と認証鍵の開錠を一度の処理で行う事が可能となり、認証鍵の開錠にかかる処理時間に加えて、さらに認証鍵の更新時間を必要とする従来の方法に比べて、処理時間を短縮できる。
【0035】
また、情報ファイルへのアクセス権として、認証鍵の鍵有効状態記憶部が有効である事と、認証鍵が開錠されている事の二点を条件としており、セキュリティが損なわれる等の問題が生じた事により鍵有効状態記憶部が有効から無効へと変更になった鍵ファイルは、情報ファイルの認証鍵として取り扱われる事はないため、セキュリティが保たれる。
【0036】
以上のことより、通常の運用中において情報記録媒体の使用者が意図せずとも、短時間に認証鍵の更新ができ、セキュリティが保たれた情報記録媒体と認証管理方法および認証管理システムが得られる。
【図面の簡単な説明】
【0037】
【図1】本発明による情報記録媒体の構成を示すブロック図である。
【図2】本発明による情報記録媒体のEEPROM内の構成を示すブロック図である。
【図3】本発明による情報提供処理を示すフローチャートである。
【図4】本発明による鍵開錠処理を示すフローチャートである。
【図5】本発明による上位装置と情報記録媒体との処理を示すフローチャートである。
【図6】従来技術によるコマンドシーケンスを示す図であって、(a)は鍵開錠を要求する場合のコマンドシーケンスを示す図、(b)は暗号鍵の開錠を要求するコマンドシーケンスを示す図、(c)は鍵データの更新を要求するコマンドシーケンスを示す図である。
【発明を実施するための形態】
【0038】
以下、本発明の実施の形態について、詳細に説明する。
【0039】
まず、ここで用語の説明を行う。開錠とは、事前に上位装置から情報記録媒体に対して鍵ファイルの開錠を要求する鍵開錠要求コマンドが送信され、情報記録媒体がその鍵開錠要求に対する鍵ファイルが認証鍵として正しいと判断した場合、上位装置からの要求処理を情報ファイルに行うことを許可することを意味する。
【0040】
図1は本発明による情報記録媒体の構成を示すブロック図である。図1に示すように、本発明の情報記録媒体は、情報ファイルや鍵ファイルを記録するためのEEPROM11と、プログラムを記録するためのROM12と、プログラムの制御を行う制御部14と、制御部14が使用するRAM13と、上位装置との通信を行うインタフェース15から構成されている。
【0041】
図2は本発明による情報記録媒体のEEPROM内の構成を示すブロック図である。図2に示すように、情報記録媒体のEEPROM内には、1つ以上の情報ファイル28と、2つ以上の鍵ファイル29が記録されている。それぞれのファイルはメモリアドレス21に位置しており、ファイルを識別するためのファイル識別子22と、ファイルの種類やデータ内容等のファイル情報23を有している。さらに、情報ファイル28には鍵設定数記憶部24、鍵情報記憶部25、鍵有効状態記憶部26を有している。
【0042】
鍵設定数記憶部24には、情報ファイルの認証鍵として設定された鍵ファイルの数を設定している。鍵情報記憶部25には、鍵ファイルを特定するためのファイル識別子を、1番目からn番目まで認証鍵とする順番に設定している。鍵有効状態記憶部26には鍵情報記憶部25に設定された鍵ファイルが認証鍵として有効であるか無効であるかを記憶している。
【0043】
図3は本発明による情報提供処理を示すフローチャートである。情報記録媒体が、上位装置から情報ファイルのデータの読み出し、または書き込み等の処理を要求する情報要求コマンドを受信してから、上位装置にレスポンスを送信するまでの処理の一例である。図3に従って、以下に説明する。
【0044】
ステップS31において、情報記録媒体は上位装置からデータの読み出し、または書き込みを要求する情報要求コマンドを受信する。この際、上位装置は読み出し、または書き込みを行う対象となる情報ファイルのファイル識別子を情報要求コマンド内に付与し、情報記録媒体に送信する。ステップS32において、情報要求コマンド内のファイル識別子とEEPROM内の全てのファイルのファイル識別子を照合して、一致する情報ファイルを検索する。
【0045】
該当する情報ファイルが見つからない場合は(S33)、エラーレスポンスを上位装置に送信して、処理を終了する(S46)。一方、該当する情報ファイルが見つかった場合は(S33)、当該情報ファイルの鍵設定数記憶部を読み出し(S34)、読み出した数値を変数Nに代入する(S35)。ステップS36において、N番目に認証鍵となる鍵ファイルの鍵有効状態記憶部を読み出し、有効であるかを判断する(S37)。
【0046】
ステップS37において、鍵有効状態記憶部が無効である場合は、Nを1減算して代入しなおし(S44)、Nが0以下であるかを確認する(S45)。ステップS45において、Nが0以下の場合、当該情報ファイルの認証鍵となる鍵ファイルの鍵有効状態記憶部は全て無効と設定されていることを確認したため、上位装置にエラーレスポンスを送信して、処理を終了する(S46)。一方、Nが1以上の場合、まだ確認すべき鍵ファイルがあるため、ステップS36に戻り、N番目に認証鍵となる鍵ファイルの鍵有効状態記憶部を読み出す。
【0047】
ステップS37において、鍵有効状態記憶部が有効の鍵ファイルを見つけた場合、N番目の鍵情報記憶部を読み出し(S38)、読み出したファイル識別子を有する鍵ファイルを、EEPROM内の全てのファイルから検索する(S39)。ステップS40において、認証鍵となる鍵ファイルが見つからない場合は、エラーレスポンスを上位装置に送信して、処理を終了する(S46)。一方、認証鍵となる鍵ファイルが見つかった場合は、その鍵ファイルが開錠されているかを確認する(S41)。
【0048】
ステップS41において、開錠されていない場合は、エラーレスポンスを送信して、処理を終了する(S46)。一方、開錠されている場合は、当該情報ファイルの情報データを、上位装置の要求に応じて、読み出しまたは書き込み処理を行い(S42)、正常レスポンスを送信して、処理を終了する(S43)。
【0049】
図4は本発明による鍵開錠処理を示すフローチャートである。情報記録媒体が、上位装置から認証鍵の開錠を要求する鍵開錠コマンドを受信してから、上位装置にレスポンスを送信するまでの処理の一例である。図4に従って、以下に説明する。
【0050】
ステップS51において、情報記録媒体は上位装置から認証鍵である鍵ファイルの開錠を要求する鍵開錠コマンドを受信する。この際、上位装置は認証鍵である鍵ファイルのファイル識別子と、鍵データを鍵開錠要求コマンド内に付与し、情報記録媒体に送信する。ステップS52において、鍵開錠コマンド内のファイル識別子とEEPROM内の全てのファイルのファイル識別子を照合して、一致する鍵ファイルを検索する。
【0051】
該当する鍵ファイルが見つからない場合は(S53)、エラーレスポンスを上位装置に送信して、処理を終了する(S65)。一方、該当する鍵ファイルがみつかった場合は(S53)、当該鍵ファイルの鍵データを読み出し(S54)、鍵開錠コマンド内の鍵データと読み出した鍵データが等しいかどうかを判断する(S55)。
【0052】
ステップS55において、鍵開錠コマンド内の鍵データと読み出した鍵データが等しくない場合、エラーレスポンスを上位装置に送信して、処理を終了する(S65)。一方、鍵開錠コマンド内の鍵データと読み出した鍵データが等しい場合、EEPROM内の鍵情報記憶部に当該鍵ファイルのファイル識別子が設定されているかを検索する(S56)。
【0053】
ステップS56において、当該鍵ファイルが設定されていない場合は、当該鍵ファイルを開錠し(S63)、正常レスポンスを上位装置に送信して、処理を終了する(S64)。この場合、当該鍵ファイルは開錠された状態となるが、鍵情報記憶部に当該鍵ファイルが設定されていないため、当該鍵ファイルを認証鍵として、上位装置からの書き込みや読み込み等の処理を情報ファイルに行うことはできない。このような鍵はダミー鍵として使用すると有効である。一方、ステップS56において、当該鍵ファイルが設定されていた場合は、鍵有効状態記憶部を読み出し(S57)、有効であるかを判断する(S58)。
【0054】
ステップS58において、鍵有効状態記憶部が有効の場合、当該鍵ファイルは認証鍵として有効であるため、当該鍵ファイルを開錠し(S63)、正常レスポンスを上位装置に送信して、処理を終了する(S64)。後に、上位装置より情報記録媒体に対して情報要求コマンドの送信があり、情報提供処理を行う際に、当該鍵ファイルの開錠状態を参照することとなる。一方、ステップS58において、鍵有効状態記憶部が無効の場合、認証鍵の設定として当該鍵ファイルの1つ前の順番にあたる鍵ファイルの鍵有効状態記憶部を読み出し(S59)、有効であるかを判断する(S60)。
【0055】
ここで、鍵有効状態記憶部と鍵情報記憶部は、認証鍵とする鍵ファイルの順番で設定しているため、1つ前の順番とは、当該鍵ファイルの前に認証鍵となった鍵ファイルの事であり、当該鍵ファイルが2番目の認証鍵である場合、1つ前の順番は1番目の認証鍵の事である。
【0056】
ステップS60において、1つ前の順番にあたる鍵ファイルの鍵有効状態記憶部が無効である場合、当該鍵ファイルを開錠し(S63)、正常レスポンスを上位装置に送信して、処理を終了する(S64)。この場合、当該鍵ファイルは開錠された状態となるが、鍵有効状態記憶部は無効であるため、当該鍵ファイルを認証鍵として、上位装置からの書き込みや読み込み等の処理を情報ファイルに行うことはできない。一方、1つ前の順番にあたる鍵ファイルの鍵有効状態記憶部が有効である場合、1つ前の順番にあたる鍵有効状態記憶部を有効から無効に変更し(S61)、当該鍵ファイルの鍵有効状態記憶部を無効から有効に変更する(S62)。変更後、当該鍵ファイルを開錠し(S63)、正常レスポンスを上位装置に送信して、処理を終了する(S64)。
【0057】
これによって、読み込みや書き込み等の処理を情報ファイルに行うための認証鍵が、1つ前の順番である鍵ファイルから当該鍵ファイルに短時間で、自動的に切り替わり、さらに当該鍵ファイルが開錠された状態となった。
【0058】
図5は本発明による上位装置と情報記録媒体との処理を示すフローチャートである。上位装置が、情報記録媒体を検出してから、情報記録媒体に鍵開錠コマンドと情報要求コマンドを送信し、その処理を終了するまでの一例である。図5に従って、以下に説明する。
【0059】
ステップS71において、上位装置は情報記録媒体に情報記録媒体検出コマンドを送信し、情報記録媒体からレスポンスを受信した場合(S72)、読み込みや書き込みを要求する情報ファイルの認証鍵である鍵ファイルの鍵開錠コマンドを情報記録媒体に送信する(S73)。この際、鍵開錠コマンドには、アクセスを行なう情報ファイルの認証鍵である鍵ファイルの識別子と鍵データを付与する。鍵開錠コマンドを受信した情報記録媒体は鍵開錠処理を行い、正常レスポンスまたはエラーレスポンスを上位装置に送信する(S74)。
【0060】
ステップS75において、情報記録媒体からエラーレスポンスを受信した場合、情報記録媒体との通信処理を終了するかを判断する(S92)。一方、情報記録媒体から正常レスポンスを受信した場合、情報記録媒体にアクセスを要求する情報ファイルのファイル識別子を付与した情報要求コマンドを送信する(S76)。情報要求コマンドを受信した情報記録媒体は情報提供処理を行い、正常レスポンスまたはエラーレスポンスを上位装置に送信する(S77)。
【0061】
ステップS78において、情報記録媒体から正常レスポンスを受信した場合、認証鍵を開錠して情報ファイルにアクセスを行う一連の処理を完了したため、処理を終了するかを判断する(S92)。一方、情報記録媒体からエラーレスポンスを受信した場合、変数Nに1を代入し(S79)、認証鍵の順番がN個前の鍵ファイルを指定した鍵開錠コマンドを情報記録媒体に送信する(S80)。
【0062】
ここでN個前の鍵ファイルとは、ステップS76でアクセスを要求する情報ファイルの認証鍵として準備されている鍵ファイルの1つであり、アクセスを要求する情報ファイルの認証鍵の設定として、ステップS73で送信した認証鍵となる鍵ファイルのN個前の順番に当たる鍵ファイルの事である。例えば、Nが2で、ステップS73で送信した認証鍵が4番目の認証鍵である場合、N個前の順番は2番目の認証鍵の事である。
【0063】
ステップS81において、鍵開錠コマンドを受信した情報記録媒体は鍵開錠処理を行い、正常レスポンスまたはエラーレスポンスを上位装置に送信する。ステップS82において、情報記録媒体からエラーレスポンスを受信した場合、情報記録媒体との通信処理を終了するかを判断する(S92)。一方、情報記録媒体から正常レスポンスを受信した場合、情報記録媒体にアクセスを要求する情報ファイルのファイル識別子を付与した情報要求コマンドを送信する(S83)。情報要求コマンドを受信した情報記録媒体は情報提供処理を行い、正常レスポンスまたはエラーレスポンスを上位装置に送信する(S84)。
【0064】
ステップS85において、情報記録媒体からエラーレスポンスを受信した場合、Nを1加算して代入しなおし(S86)、ステップS80に戻り、N個前の鍵ファイルを指定した鍵開錠コマンドを情報記録媒体に送信する。一方、情報記録媒体から正常レスポンスを受信した場合、Nを1減算して代入しなおし(S87)、N個前の鍵を指定した鍵開錠コマンドを情報記録媒体に送信する(S88)。鍵開錠コマンドを受信した情報記録媒体は鍵開錠処理を行い、正常レスポンスまたはエラーレスポンスを上位装置に送信する(S89)。
【0065】
ステップS90において、情報記録媒体からエラーレスポンスを受信した場合、情報記録媒体との通信処理を終了するかを決定する(S92)。一方、正常レスポンスを受信した場合、Nが0以下であるかを確認する(S91)。ステップS91において、Nが1以上である場合、ステップS73において送信した認証鍵である鍵ファイルまで、認証鍵の更新を行う必要があるため、ステップS87に戻り、Nを1減算して代入しなおし、N個前の鍵ファイルを指定した鍵開錠コマンドを情報記録媒体に送信する(S88)。一方、Nが0以下である場合、ステップS73において送信した鍵ファイルまで認証鍵の更新が行われ、ステップS73において送信した鍵ファイルの鍵有効状態記憶部は有効となったため、ステップS76に戻り、アクセスを要求する情報ファイルのファイル識別子を付与した情報要求コマンドを送信する。
【0066】
情報要求コマンドを受信した情報記録媒体は情報提供処理を行い、正常レスポンスまたはエラーレスポンスを上位装置に送信する(S77)。ステップS78において、情報記録媒体から正常レスポンスを受信したら、認証鍵を開錠して情報ファイルにアクセスを行う一連の処理を完了したため、処理を終了するかを判断する(S92)。ステップS92で終了が選択されたら、上位装置と情報記録媒体との通信処理を終了する。
【0067】
以上より、情報記録媒体に記憶される情報ファイルの認証鍵となる鍵ファイルを、順番を決めて設定しておくことにより、鍵ファイルの鍵データが漏洩した場合や、暗号鍵が使用する暗号アルゴリズムの脆弱性等の問題が生じた場合でも、通常の運用中において、情報記録媒体の使用者が意図せずとも、情報記録媒体の認証鍵の設定を短時間で自動的に更新できる情報記録媒体、認証管理方法および認証管理システムが得られる。
【0068】
以上、本発明の実施例を説明したが、本発明は、上記に限定されるものではなく、本発明の要旨を逸脱しない範囲で、構成の変更や修正、フローチャートの変更が可能である。すなわち、当業者であれば成し得るであろう各種変形、修正もまた本発明に含まれることは勿論である。
【符号の説明】
【0069】
11 EEPROM
12 ROM
13 RAM
14 制御部
15 インタフェース
21 メモリアドレス
22 ファイル識別子
23 ファイル情報
24 鍵設定数記憶部
25 鍵情報記憶部
26 鍵有効状態記憶部
28 情報ファイル
29 鍵ファイル

【特許請求の範囲】
【請求項1】
1つ以上の情報ファイルと、前記情報ファイルの認証鍵となる2つ以上の鍵ファイルを備え、前記情報ファイルには、認証鍵となる前記鍵ファイルの数を記憶する鍵設定数記憶部と、前記鍵ファイルを認証鍵として使用する順番に、前記鍵ファイルに対応する情報を記憶する、2つ以上の鍵情報記憶部と、認証鍵として使用する前記鍵ファイルのみ有効であり、その他の前記鍵ファイルは無効であることを記憶する鍵有効状態記憶部を有し、前記鍵有効状態記憶部が有効である認証鍵を無効に変更し、前記鍵情報記憶部に記憶されている、次の認証鍵となる前記鍵ファイルの前記鍵有効状態記憶部を無効から有効に変更することで、前記情報ファイルの認証鍵を更新する事を特徴とする情報記録媒体。
【請求項2】
1つ以上の情報ファイルと、前記情報ファイルの認証鍵となる2つ以上の鍵ファイルを備え、前記情報ファイルには、認証鍵となる前記鍵ファイルの数を記憶する鍵設定数記憶部と、前記鍵ファイルを認証鍵として使用する順番に、前記鍵ファイルに対応する情報を記憶する、2つ以上の鍵情報記憶部と、認証鍵として使用する前記鍵ファイルのみ有効であり、その他の前記鍵ファイルは無効であることを記憶する鍵有効状態記憶部を有している情報記録媒体と、前記情報記録媒体と接触または非接触によって通信を行う上位装置とから構成され、前記上位装置から鍵の更新を要求するコマンドの受信によって、前記鍵有効状態記憶部が有効である認証鍵を無効に変更し、前記鍵情報記憶部に記憶されている、次の認証鍵となる前記鍵ファイルの前記鍵有効状態記憶部を無効から有効に変更することで、前記情報ファイルの認証鍵を更新する事を特徴とする認証管理システム。
【請求項3】
請求項2に記載の認証管理システムにおいて、前記情報記録媒体は、前記上位装置から鍵開錠コマンドを受信して、認証鍵の開錠や認証鍵の更新を行う鍵開錠手段と、前記上位装置から情報要求コマンドを受信して、アクセスを要求された前記情報ファイルの認証鍵の前記鍵有効状態記憶部が有効であり、認証鍵が開錠されている場合に、要求された処理を行う情報提供手段を備え、前記上位装置は、前記情報記録媒体に前記鍵開錠コマンドを送信して、認証鍵の開錠や認証鍵の更新を行う前記鍵開錠手段を要求し、また、前記情報記録媒体に前記情報要求コマンドを送信して、前記情報ファイルへの処理を行う前記情報提供手段を要求し、前記情報記録媒体からそれらのレスポンスを受信することで処理の続行または終了の判断を行う情報要求手段を備えていることを特徴とする認証管理システム。
【請求項4】
請求項3に記載の認証管理システムにおいて、前記情報要求手段は前記情報記録媒体からのレスポンスにより、処理の続行または終了の判断を行う判断手段を備え、前記鍵開錠手段は鍵開錠を要求された前記鍵ファイルの前記鍵有効状態記憶部を読み出し、前記鍵有効状態記憶部が無効である場合、認証鍵の更新を行って認証鍵を開錠し、前記鍵有効状態記憶部が有効である場合、認証鍵を開錠する、鍵開錠手段を備え、前記情報提供手段はアクセスを要求された前記情報ファイルの前記鍵有効状態記憶部が有効である認証鍵がみつかるまで、または前記鍵設定数記憶部から取得した回数分、減算を行う演算手段と、アクセスを要求された前記情報ファイルの認証鍵の前記鍵有効状態記憶部が有効で、認証鍵が開錠されている場合に、前記上位装置から要求された処理を行う情報処理手段を備えていることを特徴とする認証管理システム。
【請求項5】
認証鍵となる前記鍵ファイルの数を記憶する鍵設定数記憶部と、前記鍵ファイルを認証鍵として使用する順番に、前記鍵ファイルに対応する情報を記憶する、2つ以上の鍵情報記憶部と、認証鍵として使用する前記鍵ファイルのみ有効であり、その他の前記鍵ファイルは無効であることを記憶する鍵有効状態記憶部を有した、1つ以上の情報ファイルと、鍵データを有した、前記情報ファイルの認証鍵となる2つ以上の鍵ファイルを備えた情報記録媒体と、前記情報記録媒体と接触または非接触によって通信を行う上位装置とから構成され、
前記上位装置から前記鍵データを有した鍵開錠コマンドを受信し、鍵開錠の対象となる認証鍵の鍵ファイルで、前記鍵開錠コマンドの前記鍵データを有する前記鍵ファイルを、前記鍵情報記憶部から検索し、前記有効状態記憶部の読み出しを行い、
前記鍵有効状態記憶部が有効である場合、認証鍵である前記鍵ファイルを開錠し、正常レスポンスを前記上位装置に送信して処理を終了し、
前記鍵有効状態記憶部が無効である場合、認証鍵である前記鍵ファイルの1つ前の順番である認証鍵の前記鍵有効状態記憶部の読み出しを行い、
1つ前の順番の前記鍵有効状態記憶部が無効である場合、エラーレスポンスを前記上位装置に送信して処理を終了し、
1つ前の順番の前記鍵有効状態記憶部が有効である場合、1つ前の順番の前記鍵有効状態記憶部を有効から無効に変更し、認証鍵である前記鍵ファイルの前記鍵有効状態記憶部を無効から有効に変更して認証鍵の更新を行い、認証鍵である前記鍵ファイルを開錠し、正常レスポンスを前記上位装置に送信して処理を終了する鍵開錠処理と、
前記上位装置から情報要求コマンドを受信し、アクセスを要求された前記情報ファイルの前記鍵設定数記憶部に記憶されている数値の順番に認証鍵となる前記鍵ファイルの前記鍵有効状態記憶部の読み出しを行い、
前記鍵有効状態記憶部が無効である場合、前記鍵有効状態記憶部が有効である前記鍵ファイルを見つけるまで、または、前記鍵設定数記憶部に記憶されていた数値が0になるまで1減算し、1減算した数値の順番に認証鍵となる前記有効状態記憶部の確認を行い、
前記鍵有効状態記憶部が有効である場合、認証鍵として有効である前記鍵ファイルが開錠されているかの確認を行い、
開錠されていない場合、エラーレスポンスを前記上位装置に送信して処理を終了し、
開錠されている場合、前記情報要求コマンドにて要求された処理を前記情報ファイルに行い、正常レスポンスを前記上位装置に送信して処理を終了する情報提供処理と、
前記情報記録媒体に前記鍵開錠コマンドを送信し、前記情報記録媒体から正常レスポンスを受信後、前記情報要求コマンドを送信して、前記情報記録媒体からレスポンスを受信し、
前記情報要求コマンドのレスポンスが正常レスポンスの場合、前記情報要求処理を終了し、
前記情報要求コマンドのレスポンスがエラーレスポンスの場合、送信した前記鍵開錠コマンドの鍵ファイルの1つ前に認証鍵となる前記鍵ファイルの情報を有した前記鍵開錠コマンドを送信し、前記情報記録媒体から正常レスポンスを受信後、前記情報要求コマンドを送信して、前記情報記録媒体からレスポンスを受信し、
前記情報要求コマンドのレスポンスがエラーレスポンスの場合、前記情報要求コマンドのレスポンスが正常レスポンスを受信するまで、または鍵開錠を要求する対象となる前記鍵ファイルがなくなるまで、1加算した順番分前に認証鍵となる前記鍵ファイルの情報を有した前記鍵開錠コマンドを送信し、前記情報記録媒体から正常レスポンスを受信したら、前記情報要求コマンドの送信を行う処理を続け、
前記情報要求コマンドのレスポンスが正常レスポンスの場合、正常レスポンスを受信した前記鍵ファイルの次に認証鍵となる前記鍵ファイルから、最初に送信した認証鍵の前記鍵ファイルまで、順番に前記鍵開錠コマンドの送信を行い、そのレスポンス受信後、前記情報要求コマンドを送信して、前記情報記録媒体からレスポンスの受信を行い、処理を終了する情報要求処理を備えることを特徴とする認証管理方法。
【請求項6】
請求項5に記載の認証管理方法の処理をコンピュータに実行させるプログラムを有し、認証鍵の更新を行うことを特徴とする認証管理システム。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate


【公開番号】特開2013−26870(P2013−26870A)
【公開日】平成25年2月4日(2013.2.4)
【国際特許分類】
【出願番号】特願2011−160476(P2011−160476)
【出願日】平成23年7月22日(2011.7.22)
【出願人】(000134257)NECトーキン株式会社 (1,832)
【Fターム(参考)】