携帯可能電子装置

【課題】所有者が入力誤りなどにより個人認証用情報を意図していない値に書換えた場合でも、一定期間、旧個人認証用情報での照合も可能になる携帯可能電子装置を提供する。
【解決手段】不揮発メモリと、この不揮発メモリに対してデータの読出しおよびまたは書込みを行なう制御素子を有し、外部から入力される命令に対応した処理を実行してその結果を外部に出力し、かつ、あらかじめ固有のＰＩＮが登録されていて、外部からＰＩＮ照合命令とともに照合用のＰＩＮが入力されると、当該ＰＩＮと登録されているＰＩＮとを照合することにより、当該ＩＣカードの所有者は正当な所有者であるか否かを判定するＩＣカードにおいて、不揮発性メモリに現在のＰＩＮを格納する領域、ＰＩＮ書換え前のＰＩＮを格納する領域、および、新しいＰＩＮで照合した回数をカウントするカウンタを設け、新しいＰＩＮで一定回数照合するまで、旧ＰＩＮによる照合も有効にする。

【発明の詳細な説明】
【技術分野】
【０００１】
本発明は、たとえば、書込み、書換えが可能な不揮発性メモリおよびＣＰＵ（セントラル・プロセッシング・ユニット）などの制御素子を有し、選択的に外部との間でデータの入出力を行なう手段を備えたＩＣチップを内蔵した、いわゆるＩＣカードと称される携帯可能電子装置に係り、特に、あらかじめ固有の個人認証用情報としてのＰＩＮ（ＰｅｒｓｏｎａｌＩｄｅｎｔｉｆｉｅｒＮｕｎｂｅｒ）が登録されていて、外部から入力される照合用のＰＩＮと照合することにより、当該携帯可能電子装置の所有者は正当な所有者であるか否かを判定する携帯可能電子装置に関する。
【背景技術】
【０００２】
最近、携帯可能電子装置として、不揮発性メモリ（ＥＥＰＲＯＭ）、揮発性メモリ（ＲＡＭ）、これらのメモリに対してデータの読出しおよびまたは書込みなどを行なう制御素子（ＣＰＵ）、および、ＣＰＵの動作用プログラムなどを格納したＲＯＭを有し、選択的に外部との間でデータの入出力を行なう手段を備えたＩＣチップを内蔵したＩＣカードが産業各方面で利用されている。
一般に、この種のＩＣカードは、コマンドやレスポンスを用いて、外部装置（ＩＣカードリーダ・ライタ）との間でデータの入出力を行なうようになっている。
【０００３】
ところで、このようなＩＣカードにあっては、不揮発性メモリには、あらかじめ固有の個人認証用情報としてのＰＩＮ、および、ＰＩＮ照合可能な回数を示すＰＩＮトライカウンタ、このＰＩＮトライカウンタの設定値を示すＰＩＮトライリミット値が格納されている（たとえば、特許文献１参照）。
【０００４】
カード所有者が、ＩＣカード内のＰＩＮを変更する場合、ＰＩＮ書換え用の端末装置にＩＣカードをセットした後、新しいＰＩＮを入力することで、入力された新しいＰＩＮを、ＩＣカードに対して決まったコマンドフォーマットで、ＰＩＮ書換えコマンドとともに送信する。ＩＣカードは、端末装置からのＰＩＮ書換えコマンドを受信すると、現在のファイル選択状態およびコマンドのパラメータにより、一義的に決まる対象ＰＩＮを当該コマンドで受信したパラメータに基づき書換える。
【０００５】
これ以降、カード所有者は、端末装置に対し、新たなＰＩＮを入力することにより、ＩＣカードの正当な所持者であることを示す。すなわち、端末装置は、入力されたＰＩＮをＩＣカードに対し照合コマンドとともに送信し、ＩＣカードはその照合コマンドを受信すると、書換え後のＰＩＮと受信したＰＩＮとの照合処理を行なう。その結果、両ＰＩＮが一致した場合、照合成功（当該ＩＣカードの所有者は正当な所有者である）と判断し、ＰＩＮトライカウンタをＰＩＮトライリミット値に設定し、照合成功のステータスワードを端末装置に返す。
【０００６】
逆に、両ＰＩＮが一致しなかった場合（照合不一致の場合）、照合失敗（当該ＩＣカードの所有者は正当な所有者でない）と判断し、ＰＩＮトライカウンタを減算（または加算）し、照合失敗のステータスワードを端末装置に返す。ＰＩＮトライカウンタの値が所定値を超えた場合、対象のＰＩＮはロックされ、以降、その対象ＰＩＮをアンロックしない限り、照合することが不可能となる。
【特許文献１】特許第２５５５０９６号公報
【発明の開示】
【発明が解決しようとする課題】
【０００７】
ところが、カード所有者は、新しいＰＩＮを入力した際、意図した値と異なるＰＩＮを入力してしまうケースが考えられる。この場合、カード所有者は、書換え後にＰＩＮを入力すると照合失敗と判定され、当該ＩＣカードの正当な所有者として認められなくなり、当該カードは使えなくなってしまうという可能性がある、
このように、一度ＰＩＮの書換えを行なってしまうと、旧のＰＩＮにて照合することが不可能になり、新しいＰＩＮで照合することが必須となる。これにより、カード所有者が誤って意図していないＰＩＮにて書換えた場合、照合を正しく行なうことができなくなってしまう。
【０００８】
そこで、本発明は、所有者が入力誤りなどにより個人認証用情報を意図していない値に書換えた場合でも、一定期間、旧個人認証用情報での照合も可能になる携帯可能電子装置を提供することを目的とする。
【課題を解決するための手段】
【０００９】
本発明の携帯可能電子装置は、メモリと、このメモリに対してデータの読出しおよびまたは書込みを行う制御素子を有し、外部から入力される命令に対応した処理を実行してその結果を外部に出力し、かつ、あらかじめ固有の個人認証用情報が格納される第１の個人認証用情報格納手段を有し、外部から個人認証用情報照合命令とともに照合用の個人認証用情報が入力されると、当該個人認証用情報と前記第１の個人認証用情報格納手段に格納されている個人認証用情報とを照合することにより、当該携帯可能電子装置の所有者は正当な所有者であるか否かを判定する携帯可能電子装置において、書換え前の個人認証用情報を格納する第２の個人認証用情報格納手段と、新しい個人認証用情報による照合成功回数をカウントする第１のカウンタ手段と、外部から個人認証用情報書換え命令とともに新しい個人認証用情報が入力されると、前記第１の個人認証用情報格納手段に格納されている個人認証用情報を前記第２の個人認証用情報格納手段に格納するとともに、当該入力された新しい個人認証用情報を前記第１の個人認証用情報格納手段に格納する個人認証用情報書換え手段と、この個人認証用情報書換え手段による個人認証用情報の書換え処理が終了すると、前記第１のカウンタ手段を初期化する初期化手段と、外部から個人認証用情報照合命令とともに照合用の個人認証用情報が入力されると、当該個人認証用情報と前記第１の個人認証用情報格納手段に格納されている個人認証用情報とを照合し、両個人認証用情報間に所定の関係が成立するか否かを判定する第１の判定手段と、この第１の判定手段による判定の結果、両個人認証用情報間に所定の関係が成立した場合、前記第１のカウンタ手段をインクリメントするとともに、当該携帯可能電子装置の所有者は正当な所有者である旨の応答を外部へ出力する第１の制御手段と、前記第１の判定手段による判定の結果、両個人認証用情報間に所定の関係が成立しなかった場合、前記第１のカウンタ手段の値があらかじめ定められた第１の所定値か否かを判定する第２の判定手段と、この第２の判定手段による判定の結果、前記第１のカウンタ手段の値が第１の所定値でない場合、前記外部から入力された照合用の個人認証用情報と前記第２の個人認証用情報格納手段に格納されている個人認証用情報とを照合し、両個人認証用情報間に所定の関係が成立するか否かを判定する第３の判定手段と、この第３の判定手段による判定の結果、両個人認証用情報間に所定の関係が成立した場合、当該携帯可能電子装置の所有者は正当な所有者である旨の応答を外部へ出力する第２の制御手段と、前記第２の判定手段による判定の結果、前記第１のカウンタ手段の値が第１の所定値である場合、あるいは、前記第３の判定手段による判定の結果、両個人認証用情報間に所定の関係が成立しなかった場合、当該携帯可能電子装置の所有者は正当な所有者でない旨の応答を外部へ出力する第３の制御手段とを具備している。
【００１０】
また、本発明の携帯可能電子装置は、メモリと、このメモリに対してデータの読出しおよびまたは書込みを行う制御素子を有し、外部から入力される命令に対応した処理を実行してその結果を外部に出力し、かつ、あらかじめ固有の個人認証用情報が格納される第１の個人認証用情報格納手段を有し、外部から個人認証用情報照合命令とともに照合用の個人認証用情報が入力されると、当該個人認証用情報と前記第１の個人認証用情報格納手段に格納されている個人認証用情報とを照合することにより、当該携帯可能電子装置の所有者は正当な所有者であるか否かを判定する携帯可能電子装置において、書換え前の個人認証用情報を格納する第２の個人認証用情報格納手段と、旧の個人認証用情報による照合成功回数をカウントする第２のカウンタ手段と、外部から個人認証用情報書換え命令とともに新しい個人認証用情報が入力されると、前記第１の個人認証用情報格納手段に格納されている個人認証用情報を前記第２の個人認証用情報格納手段に格納するとともに、当該入力された新しい個人認証用情報を前記第１の個人認証用情報格納手段に格納する個人認証用情報書換え手段と、この個人認証用情報書換え手段による個人認証用情報の書換え処理が終了すると、前記第２のカウンタ手段を初期化する初期化手段と、外部から個人認証用情報照合命令とともに照合用の個人認証用情報が入力されると、当該個人認証用情報と前記第１の個人認証用情報格納手段に格納されている個人認証用情報とを照合し、両個人認証用情報間に所定の関係が成立するか否かを判定する第１の判定手段と、この第１の判定手段による判定の結果、両個人認証用情報間に所定の関係が成立した場合、当該携帯可能電子装置の所有者は正当な所有者である旨の応答を外部へ出力する第１の制御手段と、前記第１の判定手段による判定の結果、両個人認証用情報間に所定の関係が成立しなかった場合、前記第２のカウンタ手段の値があらかじめ定められた第２の所定値か否かを判定する第２の判定手段と、この第２の判定手段による判定の結果、前記第２のカウンタ手段の値が第２の所定値でない場合、前記外部から入力された照合用の個人認証用情報と前記第２の個人認証用情報格納手段に格納されている個人認証用情報とを照合し、両個人認証用情報間に所定の関係が成立するか否かを判定する第３の判定手段と、この第３の判定手段による判定の結果、両個人認証用情報間に所定の関係が成立した場合、前記第２のカウンタ手段をインクリメントするとともに、当該携帯可能電子装置の所有者は正当な所有者である旨の応答を外部へ出力する第２の制御手段と、前記第２の判定手段による判定の結果、前記第２のカウンタ手段の値が第２の所定値である場合、あるいは、前記第３の判定手段による判定の結果、両個人認証用情報間に所定の関係が成立しなかった場合、当該携帯可能電子装置の所有者は正当な所有者でない旨の応答を外部へ出力する第３の制御手段とを具備している。
【発明の効果】
【００１１】
本発明によれば、個人認証用情報の格納手段を２つ設け、旧個人認証用情報と新個人認証用情報を格納できるようにし、個人認証用情報書換え命令を受信したとき、旧個人認証用情報を消去せず、新個人認証用情報を格納する。以降、個人認証用情報照合命令を受信した際は、旧個人認証用情報もしくは新個人認証用情報のいずれかと一致した場合、照合成功と判定する。このとき、新個人認証用情報で照合成功した場合、新個人認証用情報で照合成功した回数をカウントし、一定回数、新個人認証用情報にて照合成功したら、旧個人認証用情報は使用不可能とし、新しい個人認証用情報でのみ照合できるようにする。これにより、所有者が誤って意図しない個人認証用情報に変更したとしても照合を正しく行なうことができる。
【発明を実施するための最良の形態】
【００１２】
以下、本発明の実施の形態について図面を参照して説明する。
図１は、本実施の形態に係る携帯可能電子装置としてのＩＣカードを取扱うＩＣカードシステムの構成例を示すものである。このＩＣカードシステムは、ＩＣカード１０をカードリーダ・ライタ１１を介してパーソナルコンピュータなどの端末装置１２と接続可能にするとともに、端末装置１２にキーボード１３、ＣＲＴ表示部１３、プリンタ１５を接続して構成される。
【００１３】
図２は、ＩＣカード１０の構成を示すもので、制御部としての制御素子（たとえば、ＣＰＵ）１０１、データメモリ１０２、ワーキングメモリ１０３、プログラムメモリ１０４、および、カードリーダ・ライタ１２との電気的接触を得るためのコンタクト部１０５によって構成されている。そして、これらのうち、破線内の部分（制御素子１０１、データメモリ１０２、ワーキングメモリ１０３、プログラムメモリ１０４）は１つ（あるいは複数）のＩＣチップで構成され、さらに、このＩＣチップとコンタクト部１０５とが一体的にＩＣモジュール化されて、ＩＣカード本体内に埋設されている。
【００１４】
データメモリ１０２は、各種データの記憶に使用され、たとえば、ＥＥＰＲＯＭなどの記憶内容が書換え可能な不揮発性メモリで構成されている。
ワーキングメモリ１０３は、制御素子１０１が処理を行なう際の処理データなどを一時的に保持するための作業用メモリであり、たとえば、ＲＡＭなどで構成される。
プログラムメモリ１０４は、たとえば、マスクＲＯＭなどの記憶内容が書換え不可能な不揮発性メモリで構成されており、制御素子１０１の制御プログラム、および、アプリケーションプログラムなどを記憶するものである。
【００１５】
図３は、たとえば、データメモリ１０２内に設定されるＰＩＮ関連データの格納領域を示している。図３において、ＰＩＮ（個人認証用情報）格納領域３１は、ＰＩＮ照合コマンド受信時に照合するためのＰＩＮを格納する領域、旧ＰＩＮ格納領域３２は、書換え前のＰＩＮを格納する領域、カウンタ格納領域３３は、ＰＩＮ書換え後に新しいＰＩＮにて照合成功した回数をカウントする新ＰＩＮ照合カウンタ（第１のカウンタ手段）を格納する領域、カウンタ格納領域３４は、ＰＩＮ書換え後に旧ＰＩＮにて照合成功した回数をカウントする旧ＰＩＮ照合カウンタ（第２のカウンタ手段）を格納する領域である。なお、ＰＩＮは、ｎバイトのデータとレングスデータとから構成されている。
【００１６】
次に、このような構成において、ＰＩＮ書換えコマンドに対する第１の処理例について図４に示すフローチャートを参照して説明する。
端末装置１２からカードリーダ・ライタ１１を介してＰＩＮ書換えコマンドを受信すると（ステップＳ１）、制御素子１０１は、受信したＰＩＮ書換えコマンドのパラメータチェックや対象ＰＩＮの状態チェック等を行なうことにより（ステップＳ２）、ＰＩＮ書換え可能な状態か否かをチェックする（ステップＳ３）。このチェックの結果、書換え不可能状態であれば、制御素子１０１は、それを示すエラーステータスワードを端末装置１２へ送り（ステップＳ４）、ＰＩＮの書換えは行なわない。
【００１７】
ステップＳ３におけるチェックの結果、書換え可能状態であれば、制御素子１０１は、現在のＰＩＮ、すなわち、ＰＩＮ格納領域３１内のＰＩＮを旧ＰＩＮ格納領域３２に格納する（ステップＳ５）。次に、制御素子１０１は、ＰＩＮ書換えコマンドとともに受信した新しいＰＩＮをＰＩＮ格納領域３１に格納する（ステップＳ６）。ここに、ステップＳ５，Ｓ６の処理が本発明の請求項１における個人認証用情報書換え手段に対応している。
【００１８】
次に、制御素子１０１は、カウンタ格納領域３３内の新ＰＩＮ照合カウンタを初期化する（ステップＳ７）。新ＰＩＮ照合カウンタは、減算カウンタでも加算カウンタでも構わないが、ここでは減算カウンタとして説明する。たとえば、新しいＰＩＮで３回照合されたら旧ＰＩＮを無効にするという場合は「０３」という値を新ＰＩＮ照合カウンタに設定する。ここに、ステップＳ７の処理が本発明の請求項１における初期化手段に対応している。
【００１９】
次に、制御素子１０１は、ＰＩＮ書換え処理が正常終了したことを示すステータスワードを端末装置１２へ送り（ステップＳ８）、当該ＰＩＮ書換えコマンドに対する処理を終了する。
【００２０】
次に、ＰＩＮ照合コマンドに対する第１の処理例について図５に示すフローチャートを参照して説明する。
端末装置１２からカードリーダ・ライタ１１を介してＰＩＮ照合コマンドを受信すると（ステップＳ１１）、制御素子１０１は、当該ＰＩＮ照合コマンドとともに受信した照合用のＰＩＮと、ＰＩＮ格納領域３１内のＰＩＮとを照合し（ステップＳ１２）、両ＰＩＮ間に所定の関係が成立するか否か、この例の場合、両ＰＩＮが一致するか否かを判定する（ステップＳ１３）。ここに、ステップＳ１２，Ｓ１３の処理が本発明の請求項１における第１の判定手段に対応している。
【００２１】
ステップＳ１２，Ｓ１３における判定の結果、両ＰＩＮが一致した場合、制御素子１０１は、カウンタ格納領域３３内の新ＰＩＮ照合カウンタの値をチェックし、「０」以外の場合は当該新ＰＩＮ照合カウンタの値を「−１」する（ステップＳ１４）。次に、制御素子１０１は、照合一致と判断して、照合成功を示すステータスワード（カード所有者は正当な所有者である旨の応答）を端末装置１２へ送り（ステップＳ１５）、当該ＰＩＮ照合コマンドに対する処理を終了する。ここに、ステップＳ１４，Ｓ１５の処理が本発明の請求項１における第１の制御手段に対応している。
【００２２】
ステップＳ１２，Ｓ１３における判定の結果、両ＰＩＮが一致しなかった場合、制御素子１０１は、カウンタ格納領域３３内の新ＰＩＮ照合カウンタの値をチェックし（ステップＳ１６）、「０」の場合は照合不一致と判断して、照合失敗を示すステータスワード（カード所有者は正当な所有者でない旨の応答）を端末装置１２へ送り（ステップＳ１７）、当該ＰＩＮ照合コマンドに対する処理を終了する。ここに、ステップＳ１６の処理が本発明の請求項１における第２の判定手段に対応している。
【００２３】
ステップＳ１６におけるチェックの結果、新ＰＩＮ照合カウンタの値が「０」でない場合、制御素子１０１は、ＰＩＮ照合コマンドとともに受信した照合用のＰＩＮと、旧ＰＩＮ格納領域３２内の旧ＰＩＮとを照合し（ステップＳ１８）、両ＰＩＮ間に所定の関係が成立するか否か、この例の場合、両ＰＩＮが一致するか否かを判定する（ステップＳ１９）。ここに、ステップＳ１８，Ｓ１９の処理が本発明の請求項１における第３の判定手段に対応している。
【００２４】
ステップＳ１８，Ｓ１９における判定の結果、両ＰＩＮが一致した場合、制御素子１０１は、照合一致と判断して、照合成功を示すステータスワードを端末装置１２へ送り（ステップＳ１５）、当該ＰＩＮ照合コマンドに対する処理を終了する。ここに、ステップＳ１５の処理が本発明の請求項１における第２の制御手段に対応している。
【００２５】
ステップＳ１８，Ｓ１９における判定の結果、両ＰＩＮが一致しなかった場合、制御素子１０１は、照合不一致と判断して、照合失敗を示すステータスワードを端末装置１２へ送り（ステップＳ１７）、当該ＰＩＮ照合コマンドに対する処理を終了する。ここに、ステップＳ１７の処理が本発明の請求項１における第３の制御手段に対応している。
【００２６】
このように、第１の処理例によれば、旧ＰＩＮを保存しており、新ＰＩＮ照合カウンタの回数だけ新ＰＩＮで照合するまで、旧ＰＩＮを照合することが可能である。これにより、カード所有者が誤って意図していないＰＩＮを設定してしまった場合であっても、照合を正しく行なうことが可能となる。また、新ＰＩＮにて一定回数照合成功した場合、旧ＰＩＮを無効にするため、セキュリティ性も保たれる。
【００２７】
次に、ＰＩＮ書換えコマンドに対する第２の処理例について図６に示すフローチャートを参照して説明する。
端末装置１２からカードリーダ・ライタ１１を介してＰＩＮ書換えコマンドを受信すると（ステップＳ２１）、制御素子１０１は、受信したＰＩＮ書換えコマンドのパラメータチェックや対象ＰＩＮの状態チェック等を行なうことにより（ステップＳ２２）、ＰＩＮ書換え可能な状態か否かをチェックする（ステップＳ２３）。このチェックの結果、書換え不可能状態であれば、制御素子１０１は、それを示すエラーステータスワードを端末装置１２へ送り（ステップＳ２４）、ＰＩＮの書換えは行なわない。
【００２８】
ステップＳ２３におけるチェックの結果、書換え可能状態であれば、制御素子１０１は、現在のＰＩＮ、すなわち、ＰＩＮ格納領域３１内のＰＩＮを旧ＰＩＮ格納領域３２に格納する（ステップＳ２５）。次に、制御素子１０１は、ＰＩＮ書換えコマンドとともに受信した新しいＰＩＮをＰＩＮ格納領域３１に格納する（ステップＳ２６）。ここに、ステップＳ２５，Ｓ２６の処理が本発明の請求項２における個人認証用情報書換え手段に対応している。
【００２９】
次に、制御素子１０１は、カウンタ格納領域３４内の旧ＰＩＮ照合カウンタを初期化する（ステップＳ２７）。旧ＰＩＮ照合カウンタは、減算カウンタでも加算カウンタでも構わないが、ここでは減算カウンタとして説明する。たとえば、旧ＰＩＮでの照合は、ＰＩＮ書換え後３回照合されたら旧ＰＩＮを無効にするという場合は「０３」という値を旧ＰＩＮ照合カウンタに設定する。ここに、ステップＳ２７の処理が本発明の請求項２における初期化手段に対応している。
【００３０】
次に、制御素子１０１は、ＰＩＮ書換え処理が正常終了したことを示すステータスワードを端末装置１２へ送り（ステップＳ２８）、当該ＰＩＮ書換えコマンドに対する処理を終了する。
【００３１】
次に、ＰＩＮ照合コマンドに対する第２の処理例について図７に示すフローチャートを参照して説明する。
端末装置１２からカードリーダ・ライタ１１を介してＰＩＮ照合コマンドを受信すると（ステップＳ３１）、制御素子１０１は、当該ＰＩＮ照合コマンドとともに受信した照合用のＰＩＮと、ＰＩＮ格納領域３１内のＰＩＮとを照合し（ステップＳ３２）、両ＰＩＮ間に所定の関係が成立するか否か、この例の場合、両ＰＩＮが一致するか否かを判定する（ステップＳ３３）。ここに、ステップＳ３２，Ｓ３３の処理が本発明の請求項２における第１の判定手段に対応している。
【００３２】
ステップＳ３２，Ｓ３３における判定の結果、両ＰＩＮが一致した場合、制御素子１０１は、照合一致と判断して、照合成功を示すステータスワードを端末装置１２へ送り（ステップＳ３４）、当該ＰＩＮ照合コマンドに対する処理を終了する。ここに、ステップＳ３４の処理が本発明の請求項２における第１の制御手段に対応している。
【００３３】
ステップＳ３２，Ｓ３３における判定の結果、両ＰＩＮが一致しなかった場合、制御素子１０１は、カウンタ格納領域３４内の旧ＰＩＮ照合カウンタの値をチェックし（ステップＳ３５）、「０」の場合は照合不一致と判断して、照合失敗を示すステータスワードを端末装置１２へ送り（ステップＳ３６）、当該ＰＩＮ照合コマンドに対する処理を終了する。ここに、ステップＳ３５の処理が本発明の請求項２における第２の判定手段に対応している。
【００３４】
ステップＳ３５におけるチェックの結果、旧ＰＩＮ照合カウンタの値が「０」でない場合、制御素子１０１は、ＰＩＮ照合コマンドとともに受信した照合用のＰＩＮと、旧ＰＩＮ格納領域３２内の旧ＰＩＮとを照合し（ステップＳ３７）、両ＰＩＮ間に所定の関係が成立するか否か、この例の場合、両ＰＩＮが一致するか否かを判定する（ステップＳ３８）。ここに、ステップＳ３７，Ｓ３８の処理が本発明の請求項２における第３の判定手段に対応している。
【００３５】
ステップＳ３７，Ｓ３８における判定の結果、両ＰＩＮが一致した場合、制御素子１０１は、カウンタ格納領域３４内の旧ＰＩＮ照合カウンタの値をチェックし、「０」以外の場合は当該旧ＰＩＮ照合カウンタの値を「−１」する（ステップＳ３９）。次に、制御素子１０１は、照合一致と判断して、照合成功を示すステータスワードを端末装置１２へ送り（ステップＳ３４）、当該ＰＩＮ照合コマンドに対する処理を終了する。ここに、ステップＳ３４，Ｓ３９の処理が本発明の請求項２における第２の制御手段に対応している。
【００３６】
ステップＳ３７，Ｓ３８における判定の結果、両ＰＩＮが一致しなかった場合、制御素子１０１は、照合不一致と判断して、照合失敗を示すステータスワードを端末装置１２へ送り（ステップＳ３６）、当該ＰＩＮ照合コマンドに対する処理を終了する。ここに、ステップＳ３６の処理が本発明の請求項２における第３の制御手段に対応している。
【００３７】
このように、第２の処理例によれば、旧ＰＩＮを保存しており、旧ＰＩＮ照合カウンタの回数だけ旧ＰＩＮで照合するまで、旧ＰＩＮを照合することが可能である。これにより、カード所有者が誤って意図していないＰＩＮを設定してしまった場合であっても、照合を正しく行なうことが可能となる。また、旧ＰＩＮにて一定回数照合成功した場合、旧ＰＩＮを無効にするため、セキュリティ性も保たれる。
【００３８】
次に、ＰＩＮ書換えコマンドに対する第３の処理例について図８に示すフローチャートを参照して説明する。
端末装置１２からカードリーダ・ライタ１１を介してＰＩＮ書換えコマンドを受信すると（ステップＳ４１）、制御素子１０１は、受信したＰＩＮ書換えコマンドのパラメータチェックや対象ＰＩＮの状態チェック等を行なうことにより（ステップＳ４２）、ＰＩＮ書換え可能な状態か否かをチェックする（ステップＳ４３）。このチェックの結果、書換え不可能状態であれば、制御素子１０１は、それを示すエラーステータスワードを端末装置１２へ送り（ステップＳ４４）、ＰＩＮの書換えは行なわない。
【００３９】
ステップＳ４３におけるチェックの結果、書換え可能状態であれば、制御素子１０１は、現在のＰＩＮ、すなわち、ＰＩＮ格納領域３１内のＰＩＮを旧ＰＩＮ格納領域３２に格納する（ステップＳ４５）。次に、制御素子１０１は、ＰＩＮ書換えコマンドとともに受信した新しいＰＩＮをＰＩＮ格納領域３１に格納する（ステップＳ４６）。ここに、ステップＳ４５，Ｓ４６の処理が本発明の請求項３における個人認証用情報書換え手段に対応している。
【００４０】
次に、制御素子１０１は、カウンタ格納領域３３内の新ＰＩＮ照合カウンタを初期化する（ステップＳ４７）。新ＰＩＮ照合カウンタは、減算カウンタでも加算カウンタでも構わないが、ここでは減算カウンタとして説明する。たとえば、新しいＰＩＮで３回照合されたら旧ＰＩＮを無効にするという場合は「０３」という値を新ＰＩＮ照合カウンタに設定する。
【００４１】
次に、制御素子１０１は、カウンタ格納領域３４内の旧ＰＩＮ照合カウンタを初期化する（ステップＳ４８）。旧ＰＩＮ照合カウンタは、減算カウンタでも加算カウンタでも構わないが、ここでは減算カウンタとして説明する。たとえば、旧ＰＩＮでの照合は、ＰＩＮ書換え後３回照合されたら旧ＰＩＮを無効にするという場合は「０３」という値を旧ＰＩＮ照合カウンタに設定する。ここに、ステップＳ４７，Ｓ４８の処理が本発明の請求項３における初期化手段に対応している。
【００４２】
次に、制御素子１０１は、ＰＩＮ書換え処理が正常終了したことを示すステータスワードを端末装置１２へ送り（ステップＳ４９）、当該ＰＩＮ書換えコマンドに対する処理を終了する。
【００４３】
次に、ＰＩＮ照合コマンドに対する第３の処理例について図９に示すフローチャートを参照して説明する。
端末装置１２からカードリーダ・ライタ１１を介してＰＩＮ照合コマンドを受信すると（ステップＳ５１）、制御素子１０１は、当該ＰＩＮ照合コマンドとともに受信した照合用のＰＩＮと、ＰＩＮ格納領域３１内のＰＩＮとを照合し（ステップＳ５２）、両ＰＩＮ間に所定の関係が成立するか否か、この例の場合、両ＰＩＮが一致するか否かを判定する（ステップＳ５３）。ここに、ステップＳ５２，Ｓ５３の処理が本発明の請求項３における第１の判定手段に対応している。
【００４４】
ステップＳ５２，Ｓ５３における判定の結果、両ＰＩＮが一致した場合、制御素子１０１は、カウンタ格納領域３３内の新ＰＩＮ照合カウンタの値をチェックし、「０」以外の場合は当該新ＰＩＮ照合カウンタの値を「−１」する（ステップＳ５４）。次に、制御素子１０１は、照合一致と判断して、照合成功を示すステータスワードを端末装置１２へ送り（ステップＳ５５）、当該ＰＩＮ照合コマンドに対する処理を終了する。ここに、ステップＳ５４，Ｓ５５の処理が本発明の請求項３における第１の制御手段に対応している。
【００４５】
ステップＳ５２，Ｓ５３における判定の結果、両ＰＩＮが一致しなかった場合、制御素子１０１は、カウンタ格納領域３３内の新ＰＩＮ照合カウンタの値をチェックし（ステップＳ５６）、「０」の場合は照合不一致と判断して、照合失敗を示すステータスワードを端末装置１２へ送り（ステップＳ５７）、当該ＰＩＮ照合コマンドに対する処理を終了する。ここに、ステップＳ５６の処理が本発明の請求項３における第２の判定手段に対応している。
【００４６】
ステップＳ５６におけるチェックの結果、新ＰＩＮ照合カウンタの値が「０」でない場合、制御素子１０１は、カウンタ格納領域３４内の旧ＰＩＮ照合カウンタの値をチェックし（ステップＳ５８）、「０」の場合は照合不一致と判断して、照合失敗を示すステータスワードを端末装置１２へ送り（ステップＳ５７）、当該ＰＩＮ照合コマンドに対する処理を終了する。ここに、ステップＳ５８の処理が本発明の請求項３における第３の判定手段に対応している。
【００４７】
ステップＳ５８におけるチェックの結果、旧ＰＩＮ照合カウンタの値が「０」でない場合、制御素子１０１は、ＰＩＮ照合コマンドとともに受信した照合用のＰＩＮと、旧ＰＩＮ格納領域３２内の旧ＰＩＮとを照合し（ステップＳ５９）、両ＰＩＮ間に所定の関係が成立するか否か、この例の場合、両ＰＩＮが一致するか否かを判定する（ステップＳ６０）。ここに、ステップＳ５９，Ｓ６０の処理が本発明の請求項３における第４の判定手段に対応している。
【００４８】
ステップＳ５９，Ｓ６０における判定の結果、両ＰＩＮが一致した場合、制御素子１０１は、カウンタ格納領域３４内の旧ＰＩＮ照合カウンタの値をチェックし、「０」以外の場合は当該旧ＰＩＮ照合カウンタの値を「−１」する（ステップＳ６１）。次に、制御素子１０１は、照合一致と判断して、照合成功を示すステータスワードを端末装置１２へ送り（ステップＳ５５）、当該ＰＩＮ照合コマンドに対する処理を終了する。ここに、ステップＳ６１，Ｓ５５の処理が本発明の請求項３における第２の制御手段に対応している。
【００４９】
ステップＳ５９，Ｓ６０における判定の結果、両ＰＩＮが一致しなかった場合、制御素子１０１は、照合不一致と判断して、照合失敗を示すステータスワードを端末装置１２へ送り（ステップＳ５７）、当該ＰＩＮ照合コマンドに対する処理を終了する。ここに、ステップＳ５７の処理が本発明の請求項３における第３の制御手段に対応している。
【００５０】
このように、第３の処理例によれば、ＰＩＮ書換え後における旧ＰＩＮの照合回数を制限することができ、ＰＩＮ書換えコマンドの有効性を保ちつつ、旧ＰＩＮにおける照合を可能とすることができる。
【図面の簡単な説明】
【００５１】
【図１】本発明の実施の形態に係るＩＣカードを取扱うＩＣカードシステムの構成を概略的に示すブロック図。
【図２】ＩＣカードの構成を概略的に示すブロック図。
【図３】データメモリ内に設定されるＰＩＮ関連データの格納領域を示す図。
【図４】ＰＩＮ書換えコマンドに対する第１の処理例について説明するフローチャート。
【図５】ＰＩＮ照合コマンドに対する第１の処理例について説明するフローチャート。
【図６】ＰＩＮ書換えコマンドに対する第２の処理例について説明するフローチャート。
【図７】ＰＩＮ照合コマンドに対する第２の処理例について説明するフローチャート。
【図８】ＰＩＮ書換えコマンドに対する第３の処理例について説明するフローチャート。
【図９】ＰＩＮ照合コマンドに対する第３の処理例について説明するフローチャート。
【符号の説明】
【００５２】
１０…ＩＣカード（携帯可能電子装置）、１１…カードリーダ・ライタ（外部装置）、１２…端末装置（外部装置）、１３…キーボード、１４…ＣＲＴ表示部、１５…プリンタ、１０１…制御素子（制御手段）、１０２…データメモリ（メモリ、格納手段）、１０３…ワーキングメモリ、１０４…プログラムメモリ、１０５…コンタク部、３１…ＰＩＮ格納領域、３２…旧ＰＩＮ格納領域、３３，３４…カウンタ格納領域。

【特許請求の範囲】
【請求項１】
メモリと、このメモリに対してデータの読出しおよびまたは書込みを行う制御素子を有し、外部から入力される命令に対応した処理を実行してその結果を外部に出力し、かつ、あらかじめ固有の個人認証用情報が格納される第１の個人認証用情報格納手段を有し、外部から個人認証用情報照合命令とともに照合用の個人認証用情報が入力されると、当該個人認証用情報と前記第１の個人認証用情報格納手段に格納されている個人認証用情報とを照合することにより、当該携帯可能電子装置の所有者は正当な所有者であるか否かを判定する携帯可能電子装置において、
書換え前の個人認証用情報を格納する第２の個人認証用情報格納手段と、
新しい個人認証用情報による照合成功回数をカウントする第１のカウンタ手段と、
外部から個人認証用情報書換え命令とともに新しい個人認証用情報が入力されると、前記第１の個人認証用情報格納手段に格納されている個人認証用情報を前記第２の個人認証用情報格納手段に格納するとともに、当該入力された新しい個人認証用情報を前記第１の個人認証用情報格納手段に格納する個人認証用情報書換え手段と、
この個人認証用情報書換え手段による個人認証用情報の書換え処理が終了すると、前記第１のカウンタ手段を初期化する初期化手段と、
外部から個人認証用情報照合命令とともに照合用の個人認証用情報が入力されると、当該個人認証用情報と前記第１の個人認証用情報格納手段に格納されている個人認証用情報とを照合し、両個人認証用情報間に所定の関係が成立するか否かを判定する第１の判定手段と、
この第１の判定手段による判定の結果、両個人認証用情報間に所定の関係が成立した場合、前記第１のカウンタ手段をインクリメントするとともに、当該携帯可能電子装置の所有者は正当な所有者である旨の応答を外部へ出力する第１の制御手段と、
前記第１の判定手段による判定の結果、両個人認証用情報間に所定の関係が成立しなかった場合、前記第１のカウンタ手段の値があらかじめ定められた第１の所定値か否かを判定する第２の判定手段と、
この第２の判定手段による判定の結果、前記第１のカウンタ手段の値が第１の所定値でない場合、前記外部から入力された照合用の個人認証用情報と前記第２の個人認証用情報格納手段に格納されている個人認証用情報とを照合し、両個人認証用情報間に所定の関係が成立するか否かを判定する第３の判定手段と、
この第３の判定手段による判定の結果、両個人認証用情報間に所定の関係が成立した場合、当該携帯可能電子装置の所有者は正当な所有者である旨の応答を外部へ出力する第２の制御手段と、
前記第２の判定手段による判定の結果、前記第１のカウンタ手段の値が第１の所定値である場合、あるいは、前記第３の判定手段による判定の結果、両個人認証用情報間に所定の関係が成立しなかった場合、当該携帯可能電子装置の所有者は正当な所有者でない旨の応答を外部へ出力する第３の制御手段と、
を具備したことを特徴とする携帯可能電子装置。
【請求項２】
メモリと、このメモリに対してデータの読出しおよびまたは書込みを行う制御素子を有し、外部から入力される命令に対応した処理を実行してその結果を外部に出力し、かつ、あらかじめ固有の個人認証用情報が格納される第１の個人認証用情報格納手段を有し、外部から個人認証用情報照合命令とともに照合用の個人認証用情報が入力されると、当該個人認証用情報と前記第１の個人認証用情報格納手段に格納されている個人認証用情報とを照合することにより、当該携帯可能電子装置の所有者は正当な所有者であるか否かを判定する携帯可能電子装置において、
書換え前の個人認証用情報を格納する第２の個人認証用情報格納手段と、
旧の個人認証用情報による照合成功回数をカウントする第２のカウンタ手段と、
外部から個人認証用情報書換え命令とともに新しい個人認証用情報が入力されると、前記第１の個人認証用情報格納手段に格納されている個人認証用情報を前記第２の個人認証用情報格納手段に格納するとともに、当該入力された新しい個人認証用情報を前記第１の個人認証用情報格納手段に格納する個人認証用情報書換え手段と、
この個人認証用情報書換え手段による個人認証用情報の書換え処理が終了すると、前記第２のカウンタ手段を初期化する初期化手段と、
外部から個人認証用情報照合命令とともに照合用の個人認証用情報が入力されると、当該個人認証用情報と前記第１の個人認証用情報格納手段に格納されている個人認証用情報とを照合し、両個人認証用情報間に所定の関係が成立するか否かを判定する第１の判定手段と、
この第１の判定手段による判定の結果、両個人認証用情報間に所定の関係が成立した場合、当該携帯可能電子装置の所有者は正当な所有者である旨の応答を外部へ出力する第１の制御手段と、
前記第１の判定手段による判定の結果、両個人認証用情報間に所定の関係が成立しなかった場合、前記第２のカウンタ手段の値があらかじめ定められた第２の所定値か否かを判定する第２の判定手段と、
この第２の判定手段による判定の結果、前記第２のカウンタ手段の値が第２の所定値でない場合、前記外部から入力された照合用の個人認証用情報と前記第２の個人認証用情報格納手段に格納されている個人認証用情報とを照合し、両個人認証用情報間に所定の関係が成立するか否かを判定する第３の判定手段と、
この第３の判定手段による判定の結果、両個人認証用情報間に所定の関係が成立した場合、前記第２のカウンタ手段をインクリメントするとともに、当該携帯可能電子装置の所有者は正当な所有者である旨の応答を外部へ出力する第２の制御手段と、
前記第２の判定手段による判定の結果、前記第２のカウンタ手段の値が第２の所定値である場合、あるいは、前記第３の判定手段による判定の結果、両個人認証用情報間に所定の関係が成立しなかった場合、当該携帯可能電子装置の所有者は正当な所有者でない旨の応答を外部へ出力する第３の制御手段と、
を具備したことを特徴とする携帯可能電子装置。
【請求項３】
メモリと、このメモリに対してデータの読出しおよびまたは書込みを行う制御素子を有し、外部から入力される命令に対応した処理を実行してその結果を外部に出力し、かつ、あらかじめ固有の個人認証用情報が格納される第１の個人認証用情報格納手段を有し、外部から個人認証用情報照合命令とともに照合用の個人認証用情報が入力されると、当該個人認証用情報と前記第１の個人認証用情報格納手段に格納されている個人認証用情報とを照合することにより、当該携帯可能電子装置の所有者は正当な所有者であるか否かを判定する携帯可能電子装置において、
書換え前の個人認証用情報を格納する第２の個人認証用情報格納手段と、
新しい個人認証用情報による照合成功回数をカウントする第１のカウンタ手段と、
旧の個人認証用情報による照合成功回数をカウントする第２のカウンタ手段と、
外部から個人認証用情報書換え命令とともに新しい個人認証用情報が入力されると、前記第１の個人認証用情報格納手段に格納されている個人認証用情報を前記第２の個人認証用情報格納手段に格納するとともに、当該入力された新しい個人認証用情報を前記第１の個人認証用情報格納手段に格納する個人認証用情報書換え手段と、
この個人認証用情報書換え手段による個人認証用情報の書換え処理が終了すると、前記第１のカウンタ手段および前記第２のカウンタ手段をそれぞれ初期化する初期化手段と、
外部から個人認証用情報照合命令とともに照合用の個人認証用情報が入力されると、当該個人認証用情報と前記第１の個人認証用情報格納手段に格納されている個人認証用情報とを照合し、両個人認証用情報間に所定の関係が成立するか否かを判定する第１の判定手段と、
この第１の判定手段による判定の結果、両個人認証用情報間に所定の関係が成立した場合、前記第１のカウンタ手段をインクリメントするとともに、当該携帯可能電子装置の所有者は正当な所有者である旨の応答を外部へ出力する第１の制御手段と、
前記第１の判定手段による判定の結果、両個人認証用情報間に所定の関係が成立しなかった場合、前記第１のカウンタ手段の値があらかじめ定められた第１の所定値か否かを判定する第２の判定手段と、
この第２の判定手段による判定の結果、前記第１のカウンタ手段の値が第１の所定値でない場合、前記第２のカウンタ手段の値があらかじめ定められた第２の所定値か否かを判定する第３の判定手段と、
この第３の判定手段による判定の結果、前記第２のカウンタ手段の値が第２の所定値でない場合、前記外部から入力された照合用の個人認証用情報と前記第２の個人認証用情報格納手段に格納されている個人認証用情報とを照合し、両個人認証用情報間に所定の関係が成立するか否かを判定する第４の判定手段と、
この第４の判定手段による判定の結果、両個人認証用情報間に所定の関係が成立した場合、前記第２のカウンタ手段をインクリメントするとともに、当該携帯可能電子装置の所有者は正当な所有者である旨の応答を外部へ出力する第２の制御手段と、
前記第２の判定手段による判定の結果、前記第１のカウンタ手段の値が第１の所定値である場合、あるいは、前記第３の判定手段による判定の結果、前記第２のカウンタ手段の値が第２の所定値である場合、あるいは、前記第４の判定手段による判定の結果、両個人認証用情報間に所定の関係が成立しなかった場合、当該携帯可能電子装置の所有者は正当な所有者でない旨の応答を外部へ出力する第３の制御手段と、
を具備したことを特徴とする携帯可能電子装置。

【図１】