端末装置及びプログラム
【課題】認証情報のセキュリティを高めると共に、当該認証情報を用いた認証を容易に行うこと。
【解決手段】予め設定された認証コードAを含むデータを記憶するフラッシュメモリ47と、認証コードAと情報との比較を行うCPU41と、を備えた耐タンパ性を有するSAM4と、認証コードBの入力を受け付ける入力部32と、入力部32により受け付けられた認証コードBを記憶し、不揮発性を有する、又は記憶を保持するための記憶保持時間不揮発性を有するRAM33と、RAM33に記憶された認証コードBを読み出し、当該読み出した認証コードBと認証コードAとをCPU41に比較させ、当該比較結果が一致した場合、フラッシュメモリ47に記憶されたデータの使用を許可するCPU31と、を備える。
【解決手段】予め設定された認証コードAを含むデータを記憶するフラッシュメモリ47と、認証コードAと情報との比較を行うCPU41と、を備えた耐タンパ性を有するSAM4と、認証コードBの入力を受け付ける入力部32と、入力部32により受け付けられた認証コードBを記憶し、不揮発性を有する、又は記憶を保持するための記憶保持時間不揮発性を有するRAM33と、RAM33に記憶された認証コードBを読み出し、当該読み出した認証コードBと認証コードAとをCPU41に比較させ、当該比較結果が一致した場合、フラッシュメモリ47に記憶されたデータの使用を許可するCPU31と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は端末装置及びプログラムに関する。
【背景技術】
【0002】
従来から、クレジットカードによる決済などに用いられる端末装置が知られている。当該端末装置においては、パスワード等のPIN(Personal Identification Numbers)情報の機密性を担保する必要がある。このため、耐タンパ性を有して構成されるモジュールを備えた端末装置が用いられる。
【0003】
例えば、耐タンパ性を有するモジュールを、端末装置の本体に着脱可能なモジュールとして構成する技術が知られている(例えば、特許文献1参照)。これにより、端末装置の本体は、耐タンパ性を備えなくてもよい。すなわち、端末装置の本体に格納される各種取引に関するアプリケーションプログラムを容易に追加、変更、修正、更新することができ、汎用性、拡張性が向上する。
【特許文献1】特開2003−16527号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、上記の技術では、耐タンパモジュールにPIN情報を格納する技術は記載されていない。PIN情報を耐タンパモジュールに格納する構成であれば、PIN情報のセキュリティを保つことができる。
しかし、PIN情報を耐タンパモジュールに格納する構成であっても、電源投入毎にPIN情報の要求が行われる端末装置の場合、ユーザの操作性の効率が悪い。この場合、ユーザは電源投入毎に、PIN情報を入力する必要がある。したがって、PIN情報を用いた認証を容易に行うことができなかった。
また、複数のユーザが1つの端末装置を使う場合、複数のユーザにPIN情報を知らせる必要が生じる。この場合、PIN情報を記載した紙を端末装置に貼り付けておくことなどの措置が取られる。そうすると、端末装置を使用しない人間にもPIN情報が知られてしまう可能性がある。このため、PIN情報(認証情報)のセキュリティを保つことができなかった。
【0005】
本発明の課題は、認証情報のセキュリティを高めると共に、当該認証情報を用いた認証を容易に行うことである。
【課題を解決するための手段】
【0006】
以上の課題を解決するため、請求項1に記載の発明の端末装置は、
予め設定された第1の認証情報を含むデータを記憶する第1の記憶手段と、前記第1の認証情報と情報との比較を行う第1の制御手段と、を備えた耐タンパ性を有する耐タンパ手段と、
第2の認証情報の入力を受け付ける入力手段と、
前記入力手段により受け付けられた第2の認証情報を記憶し、不揮発性を有する、又は記憶を保持するための記憶保持時間不揮発性を有する第2の記憶手段と、
前記第2の記憶手段に記憶された第2の認証情報を読み出し、当該読み出した第2の認証情報と前記第1の認証情報とを前記第1の制御手段に比較させ、当該比較結果が一致した場合、前記第1の記憶手段に記憶されたデータの使用を許可する第2の制御手段と、
を備える。
【0007】
請求項2に記載の発明は、請求項1に記載の端末装置において、
前記第2の記憶手段が前記記憶保持時間不揮発性を有する場合、当該記憶保持時間を調整する調整手段
を備える。
【0008】
請求項3に記載の発明は、請求項1又は2に記載の端末装置において、
前記第2の記憶手段は、
揮発性を有する揮発性記憶手段と、
前記揮発性記憶手段に給電する電池手段と、を備え、
前記調整手段は、
前記電池手段の電流量を調整することにより前記記憶保持時間としての前記電池手段の給電時間を調整する。
【0009】
請求項4に記載の発明のプログラムは、
コンピュータを、
予め設定された第1の認証情報を含むデータを記憶する第1の記憶手段と、前記第1の認証情報と情報との比較を行う第1の制御手段と、を備えた耐タンパ性を有する耐タンパ手段、
第2の認証情報の入力を受け付ける入力手段、
前記入力手段により受け付けられた第2の認証情報を記憶し、不揮発性を有する、又は記憶を保持するための記憶保持時間不揮発性を有する第2の記憶手段、
前記第2の記憶手段に記憶された第2の認証情報を読み出し、当該読み出した第2の認証情報と前記第1の認証情報とを前記第1の制御手段に比較させ、当該比較結果が一致した場合、前記第1の記憶手段に記憶されたデータの使用を許可する第2の制御手段、
として機能させる。
【発明の効果】
【0010】
本発明によれば、認証情報のセキュリティを高めると共に、当該認証情報を用いた認証を容易に行うことができる。
【発明を実施するための最良の形態】
【0011】
以下、添付図面を参照して本発明に係る実施の形態の一例を詳細に説明する。ただし、発明の範囲は、図示例に限定されない。
【0012】
図1〜図11を参照して、本発明に係る実施の形態の一例を説明する。
先ず、図1を参照して、本実施の形態の決済システム1の構成例を説明する。決済システム1は、クレジットカードやキャッシュカードにより決済を行うシステムである。決済システム1は、センタサーバ2と、端末装置としての電子機器3と、端末装置、耐タンパ手段としてのSAM(Secure Application Module)4と、ネットワークNと、を備えて構成される。センタサーバ2と電子機器3とは、インターネット等の通信ネットワークNを介して通信接続される。
【0013】
図2に示すようにセンタサーバ2は、CPU(Central Processing Unit)21と、入力部22と、RAM(Random Access Memory)23と、表示部24と、記憶部25と、通信部26と、を備えて構成される。
【0014】
CPU21は、記憶部25に記憶されているシステムプログラム及び各種アプリケーションプログラムの中から指定されたプログラムをRAM23に展開し、RAM23に展開されたプログラムとの協働で、各種処理を実行する。特に記憶部25には、後述する決済プログラムが記憶される。
【0015】
CPU21は、決済プログラムとの協働により、センタサーバ認証情報を受信した後、許可情報を電子機器3に送信する。センタサーバ認証情報とは、端末ID、暗号化端末IDのことをいう。端末IDとは、電子機器3ごとに固有のID情報のことをいう。暗号化端末IDとは、SAM4により暗号化された端末IDのことをいう。許可情報とは、電子機器3の動作許可を示す情報又は不許可を示す情報のことをいう。
【0016】
CPU21は、電子機器3の動作を許可する場合、許可情報として動作OK信号を電子機器3に送信する。また、電子機器3の動作を許可しない場合、許可情報として動作拒否信号を電子機器3に送信する。このとき、許可情報は、後述する鍵T1により暗号化されて電子機器3に送信される。また、CPU21は、電子機器3より決済情報を受信した後、決済処理の許可/不許可を行う。
【0017】
入力部22は、カーソルキー、数字入力キー及び各種機能キーなどを備えたキーボードを含む構成とし、操作者によりキーボードで押下された押下信号をCPU21に出力する。また、入力部22は、マウスなどのポインティングデバイスを含む構成としてもよい。
【0018】
RAM23は、各種情報を格納する揮発性のメモリであり、各種プログラム、データを展開するワークエリアを有する。
【0019】
表示部24は、LCD(Liquid Crystal Display)、CRT(Cathode Ray Tube)等で構成され、CPU21からの表示信号に従って画面表示を行う。
【0020】
記憶部25は、HDD(Hard Disk Drive)等により構成され、各種プログラム及び各種データを記憶する。
【0021】
通信部26は、モデム、TA(Terminal Adapter)、ルータ、ネットワークカード等により構成され、接続されるネットワークN上の電子機器3と情報を送受信する。
【0022】
図3に示すように電子機器3は、第2の制御手段としてのCPU31と、入力手段としての入力部32と、第2の記憶手段、揮発性記憶手段としてのRAM33と、電池手段としてのバックアップ電池33Aと、表示部34と、第2の記憶手段としてのフラッシュメモリ35と、通信部36と、接続部37と、カードリーダ38と、入力手段としての接続部39と、を備えて構成される。CPU31、入力部32、RAM33、通信部36、はそれぞれCPU21、入力部22、RAM23、通信部26と同様であり、異なる部分を主として説明する。
【0023】
CPU31は、フラッシュメモリ35に記憶されているシステムプログラム及び各種アプリケーションプログラムの中から指定されたプログラムをRAM33に展開し、RAM33に展開されたプログラムとの協働で、各種処理を実行する。特にフラッシュメモリ35には、後述する認証コード受付プログラムが記憶される。
【0024】
CPU31は、認証コード受付プログラムとの協働により、RAM33から認証コードBを読み出し、当該読み出した認証コードBと認証コードAとをSAM4に比較させ、当該比較結果が一致した場合、SAM4のフラッシュメモリ47に記憶されたデータ(鍵T1、R1、D1)の使用を許可する。ここで、認証コードとは、決済を行う際に必要な認証情報(例えば、PIN情報)のことをいう。
【0025】
入力部32は、各種入力キー等を備え、ユーザからの各種情報の入力を各種入力キーから受け付け、その情報をCPU31に出力する。具体的に、入力部32は、認証コードBの入力を受け付ける。
【0026】
RAM33は、各種情報を格納する揮発性のメモリである。RAM33には、入力部32により入力された認証コードBが記憶される。また、RAM33は、記憶保持時間としてのバックアップ時間Tの間、不揮発性を有する。ここで、バックアップ時間Tとは、例えば、電子機器3の電源がOFFの状態において、バックアップ電池33AによりRAM33に給電が可能な時間のことをいう。当該バックアップ時間Tの間、RAM33は、電子機器3の電源がOFFとなっても、不揮発性を有することとなる。
【0027】
バックアップ電池33Aは、RAM33に所定時間(バックアップ時間)給電するバックアップ用の電池である。
【0028】
表示部34は、LCD、ELD(ElectroLuminescent Display)等を備え、CPU31から入力される表示情報に基づいて画面表示を行う。
【0029】
フラッシュメモリ35は、各種情報を読み込み及び書き込み可能に記憶する不揮発性のメモリである。
【0030】
接続部37は、ICソケットにより構成され、SAM4と電気的な接続を行う。カードリーダ38は、ICカード38Aに記録された情報を読み取る。接続部39は、ICソケットにより構成され、メモリカード39Aと電気的な接続を行う。
【0031】
SAM4は、耐タンパー性を備えたモジュールやICカードにより構成される。ここで、ICカードとは、USIM(Universal Subscriber Identity Module)カードのことをいう。図4に示すように、SAM4は、第1の制御手段としてのCPU41と、暗号演算部42と、RAM43と、異常検出部44と、ROM45と、通信部46と、第1の記憶手段としてのフラッシュメモリ47と、を備えて構成される。CPU41、RAM43、通信部46、フラッシュメモリ47は、それぞれCPU21、RAM23、通信部26、フラッシュメモリ35、と同様であり、異なる部分を主として説明する。
【0032】
CPU41は、フラッシュメモリ47に記憶されているシステムプログラム及び各種アプリケーションプログラムの中から指定されたプログラムをRAM43に展開し、RAM43に展開されたプログラムとの協働で、各種処理を実行する。特にフラッシュメモリ47には、後述する認証コード確認プログラムが記憶される。ここで、認証コード確認プログラムは、ROM45に記憶されることとしてもよい。
【0033】
CPU41は、認証コード確認プログラムとの協働により、認証コードBの正当性の確認を行う。そして、認証コードBの正当性の確認結果を電子機器3に送信する。認証コードBの正当性の確認とは、フラッシュメモリ47に記憶されている認証コードAと認証コードBとを比較することをいう。比較の結果、認証コードAと認証コードBとが一致すれば、認証コードBは正当であると確認される。
また、CPU41は、サーバ認証情報生成指示を電子機器3から受信すると、サーバ認証情報を生成する。サーバ認証情報の生成とは、フラッシュメモリ47に記憶されている端末IDを読み出すことや端末IDを暗号化して暗号化端末IDを生成することをいう。
【0034】
暗号演算部42は、鍵T1、D1、R1を用いて、情報の暗復号を行う。例えば、鍵T1を用いて端末IDの暗号化を行う。また、鍵T1を用いて電子機器3より受信した許可情報の復号化を行う。
【0035】
異常検出部44は、例えば電圧、温度、光センサ等の少なくとも1つにより構成される。例えば、第三者が善意、悪意に関わらずSAM4内のデータを読み取ろうとした場合、異常電圧、温度、光(量)の異常を検出する。異常を検出した後、RAM43、フラッシュメモリ47に記憶されているデータを消去(破壊)する。ROM45は、情報を読み込み可能に記憶する。
【0036】
フラッシュメモリ47は、各種情報を読み込み及び書き込み可能に記憶する不揮発性のメモリである。具体的には、フラッシュメモリ47は、認証コードA、鍵T1、鍵D1、鍵R1、及び認証コード確認プログラムを記憶する。
【0037】
次に図5を参照して、暗号鍵について説明する。ここで、暗号鍵として、鍵T1、鍵D1、鍵R1を用いて説明する。
【0038】
鍵T1は、電子機器3ごとに固有な鍵である。鍵T1は、センタサーバ2の記憶部25と、SAM4のフラッシュメモリ47とにペアでそれぞれ記憶される。この場合、鍵T1は、例えば、共通鍵暗号方式のペアでそれぞれ記憶される。なお、暗号方式は公開鍵暗号方式で暗号化されることとしてもよい。
【0039】
鍵D1は、SAM4外(例えば、電子機器3のRAM33、フラッシュメモリ35等)のデータの暗号鍵である。鍵D1は、SAM4のフラッシュメモリ47に記憶される。鍵D1の暗号化データDは、鍵D1により暗号化されたデータのことを示す。例えば、使用を禁止しているカード番号などを含んだデータのことを示す。また、鍵D1の暗号化データDは、電子機器3のRAM33又はフラッシュメモリ35に記憶される。鍵R1は、カードリーダ38の認証用の鍵である。鍵R1は、カードリーダ38、フラッシュメモリ47にそれぞれ記憶される。
【0040】
次に、図6を参照して認証コードAをSAM4のフラッシュメモリ47に登録(記憶)する動作について説明する。先ず、電子機器3の製造時、センタサーバ2から認証コードAが発行される。発行された認証コードAは、電子機器3を介してSAM4に送信される。そして、当該認証コードAは、SAM4のフラッシュメモリ47に記憶される。
【0041】
次に、図7を参照して、認証コードの確認動作について説明する。例えば、ユーザにより電子機器3が購入されたとする。このとき、電子機器3の販売元により、購入したユーザにのみ認証コードAが伝えられる。そして、電子機器3の出荷先の設置場所で、販売元から伝えられた認証コードAと同じ認証コードBがユーザにより入力される。入力された認証コードBは、電子機器3のRAM33に格納される。そして、RAM33に格納された認証コードBと、SAM4のフラッシュメモリ47に記憶された認証コードAとが一致するか否かが判別される。
【0042】
認証コードBの入力は、上述のように電子機器3の設置時のみ行われる。電子機器3を設置した後は、RAM33に記憶された認証コードBが用いられる。これにより、ユーザは認証コードBを何度も入力する必要がない。したがって認証を容易に行うことができる。また、電子機器3を複数のユーザが使用する場合であっても、紙などに認証コードBを書いて知らせる必要がない。したがって、認証コードBのセキュリティを向上させることができる。
【0043】
次に、図8を参照して、図7において、認証コードAと認証コードBとが一致した場合の動作について説明する。この場合、先ず、SAM4によりセンタサーバ認証情報(端末ID、暗号化端末ID)の生成が行われる。このとき、暗号化端末IDは、鍵T1を用いて暗号化される。生成されたセンタサーバ認証情報は、電子機器3を介してセンタサーバ2に送信される。
【0044】
そして、センタサーバ2により、サーバ認証情報の確認が行われる。サーバ認証情報の確認は、暗号化端末IDの復号結果に基づいて行われる。例えば、端末IDがID1であったとする。この場合、鍵Tと端末IDとが対応付けて記憶されたテーブル(図示省略)に基づいて、端末ID1に対応する鍵T1が読み出される。そして、読み出された鍵T1を用いて復号化が行われる。そして、復号化された端末ID(復号端末ID)と端末IDとが一致するか否かが判別される。復号端末IDと端末IDとが共にID1であった場合、許可情報として動作OK信号が電子機器3に送信される。また、復号端末IDと端末IDが一致しないと判別された場合、動作拒否信号が電子機器3に送信される。このとき、動作OK信号又は動作拒否信号は、センタサーバ2により鍵T1で暗号化されて送信される。
【0045】
そして、電子機器3により動作OK信号又は動作拒否信号がSAM4に送信される。そして、SAM4により鍵T1で動作OK信号又は動作拒否信号が復号化される。動作OK信号が復号化された場合、使用許可信号が電子機器3に送信される。動作拒否信号が復号化された場合、使用不許可信号が電子機器3に送信される。
【0046】
SAM4から使用許可信号が電子機器3に送信された場合、電子機器3によりSAM4に対して鍵R1の読み出し指示が送信される。そして、SAM4から電子機器3に鍵R1が送信される。鍵R1が送信された後、電子機器3により、鍵R1を用いてカードリーダ38により読み取られた決済情報(例えば、カード番号)が復号化される。また、電子機器3により、鍵D1を用いて鍵D1の暗号化データDが復号化される。そして、決済情報と、復号化されたデータDと、が一致するか否かの判別が行われる。例えば、決済情報であるカード番号と、復号化されたデータDに含まれる使用禁止のカード番号と、が一致するか否かの判別が行われる。決済情報が復号化されたデータDと一致しないと判別された場合、決済情報が鍵T1を用いて暗号化される。そして、鍵T1により暗号化された決済情報が電子機器3からセンタサーバ2に送信される。
【0047】
そして、センタサーバ2により、送信された決済情報が鍵T1で復号化される。決済情報が鍵T1で復号化された後、当該復号化された決済情報の承認確認が行われる。決済情報の承認確認は、予めセンタサーバ2に記憶されていた決済情報(カード番号等)と、復号化された決済情報と、が一致するか否かが判別されることにより行われる。両者が一致すると判別された場合、センタサーバ2により決済許可信号が電子機器3に送信される。両者が一致しないと判別された場合、センタサーバ2により決済不許可信号が電子機器3に送信される。そして、電子機器3により決済処理が行われる。
【0048】
次に、図9を参照して、図7において、認証コードAと認証コードBとが一致しない場合の動作について説明する。この場合、鍵T1、R1、D1は使用不可となる。また、入力された認証コードBは、電子機器3のRAM33に記億されずに消去される。
【0049】
次に、図10及び図11を参照して、SAM4で実行される認証コード確認処理と、電子機器3で実行される認証コード受付処理と、センタサーバ2で実行される決済処理とを説明する。認証コード確認処理は、入力された認証コードBの正当性を確認する処理である。認証コード受付処理は、ユーザにより入力部32を介して入力された認証コードBを受け付け、認証コードBの正当性の確認をSAM4に指示する処理である。決済処理は、センタサーバ認証情報の認証、及び決済の許可又は不許可を行う処理である。
【0050】
先ず、認証コード確認処理について説明する。例えば、電子機器3から認証コードの確認指示信号を受信開始したこと等をトリガとして、ROM45から読み出されて適宜RAM43に展開された認証コード確認プログラムと、CPU41との協働により認証コード確認処理が実行される。
【0051】
先ず、電子機器3から認証コードBの確認指示が受信される(ステップS101)。認証コードBの確認指示とは、認証コードBの正当性を確認するための指示情報のことをいう。当該認証コードBの確認指示情報の中には、認証コードBが含まれる。そして、認証コードBが確認され、その認証コードBの確認結果が送信される(ステップS102)。ここで、認証コードBの確認は、フラッシュメモリ47に記憶されている認証コードAと受信した認証コードBとが一致するか否かを比較することにより行われる。そして、認証コードBの確認結果が電子機器3に送信される。
【0052】
ステップS102の実行後、認証コードAと認証コードBとが一致しているか(確認結果OKか)否かが判別される(ステップS103)。確認結果がOKでない場合(ステップS103;NO)、停止処理が実行される(ステップS104)。この停止処理は、図9で説明した動作に該当する。ステップS104の実行後、認証コード確認処理は終了する。
【0053】
ステップS103において、確認結果がOKである場合(ステップS103;YES)、電子機器3からセンタサーバ認証情報の生成指示が受信される(ステップS105)。そして、センタサーバ認証情報が生成され、そのセンタサーバ認証情報が電子機器3に送信される(ステップS106)。具体的には、端末IDと、鍵T1で暗号化された暗号化端末IDと、が電子機器3に送信される。
【0054】
ステップS106の実行後、電子機器3から鍵R1の読み出し指示が受信される(ステップS107)。そして、フラッシュメモリ47に記憶されている鍵R1が読み出され、当該読み出された鍵R1が電子機器3に送信される(ステップS108)。ステップS108の実行後、認証コード確認処理は終了する。
【0055】
次に、電子機器3で実行される認証コード受付処理について説明する。例えば、電子機器3において、認証コード受付処理の実行指示が入力部32を介して入力されたこと等をトリガとして、フラッシュメモリ35から読み出されて適宜RAM33に展開された認証コード受付プログラムと、CPU31との協働により認証コード受付処理が実行される。このとき、予め、センタサーバ2から発行された認証コードAがSAM4のフラッシュメモリ47に記憶されているものとする。
【0056】
先ず、RAM33上の認証コードBが確認される(ステップS201)。RAM33上の認証コードBの確認は、RAM33に認証コードBが記憶されているか否かを確認することに行われる。そして、確認OKか否かが判別される(ステップS202)。すなわち、RAM33に認証コードBが記憶されているか否かの確認が行われる。確認OKの場合(ステップS202;YES)、後述するステップS204に移行される。確認OKでない場合(ステップS202;NO)、入力部32を介してユーザからの認証コードBの入力が受け付けられ、当該受け付けられた認証コードBがRAM33に記憶される(ステップS203)。
【0057】
ステップS203の実行後、SAM4に認証コードBの確認指示が送信される(ステップS204)。そして、SAM4から認証コードBの確認結果が受信される(ステップS205)。
【0058】
ステップS205の実行後、確認結果がOKか否かが判別される(ステップS206)。確認結果がOKでないと判別された場合(ステップS206;NO)、リトライが実行される(ステップS207)。このとき、入力された認証コードBはRAM33に記憶されずに消去され、リトライが実行される。
【0059】
ステップS206において、確認結果がOKであると判別された場合(ステップS206;YES)、SAM4にセンタサーバ認証情報生成指示が送信される(ステップS208)。すなわち、SAM4に端末ID及び暗号化端末IDの生成指示が送信される。そして、SAM4からセンタサーバ認証情報が受信される(ステップS209)。
【0060】
ステップS209の実行後、センタサーバ2にセンタサーバ認証情報が送信される(ステップS210)。そして、センタサーバ2から許可情報が受信される(ステップS211)。すなわち、センタサーバ2から鍵T1で暗号化された動作OK信号又は動作拒否信号が受信される。そして、図8で説明したように、許可情報(動作OK信号又は動作拒否信号)がSAM4に送信され、SAM4により許可情報の復号化が行われる。許可情報の復号化が行われた後、使用許可信号又は使用不許可信号が電子機器3に送信される。
【0061】
SAM4から使用許可信号が送信された場合、SAM4に鍵R1の読み出し指示が送信される(ステップS212)。そして、SAM4から鍵R1が受信される(ステップS213)。鍵R1が受信された後、当該鍵R1を用いてカードリーダ38により読み取られた決済情報が復号化される(ステップS214)。このとき、図8で説明したように、鍵D1を用いて鍵D1の暗号化データの復号化も行われる。ステップS214で復号化された決済情報が、復号化されたデータDと一致しないと判別された場合、決済情報が鍵T1により暗号化される。
【0062】
そして、暗号化された決済情報がセンタサーバ2に送信される(ステップS215)。ステップS215の実行後、センタサーバ2から決済許可/不許可情報が受信される(ステップS216)。そして、決済処理が実行される(ステップS217)。ステップS217の実行後、認証コード受付処理は終了する。
【0063】
次に、センタサーバ2で実行される決済処理を説明する。例えば、電子機器3から、センタサーバ認証情報が受信開始されたこと等をトリガとして、記憶部25から読み出されて適宜RAM23に展開された決済プログラムと、CPU21との協働により決済処理が実行される。
【0064】
先ず、電子機器3からセンタサーバ認証情報が受信される(ステップS301)。すなわち、センタサーバ認証情報として端末ID(受信端末ID)と、暗号化端末IDとが受信される。このとき、暗号化端末IDは、SAM4の暗号演算部42にて鍵T1により暗号化されているものとする。そして、センタサーバ認証情報が確認され、電子機器3に許可信号が送信される(ステップS302)。センタサーバ認証情報の確認は、図8で説明した通りである。
【0065】
ステップS302の実行後、電子機器3から決済情報が受信される(ステップS303)。そして、図8で説明した通り、決済情報の承認確認が行われ、決済許可/不許可情報が送信される(ステップS304)。ステップS304の実行後、決済処理は終了する。
【0066】
以上、本実施の形態によれば、RAM33に記憶された認証コードBを読み出し、当該読み出した認証コードBと、フラッシュメモリ47に記憶されている認証コードAと、をSAM4のCPU41に比較させ、当該比較結果が一致した場合、フラッシュメモリ47に記憶されたデータの使用を許可することができる。これにより、認証コードAは、耐タンパ性を有したフラッシュメモリ47に記憶されているので、認証コードAのセキュリティを高めることができる。また、ユーザは、1度認証コードBを入力すれば、その後は認証コードBを入力する必要がない。これにより、ユーザの操作性が向上し、認証を容易に行うことができる。また、ユーザは、1度認証コードBを入力してしまえば、紙などに認証コードBを書いて複数のユーザに知らせる必要がない。したがって、認証コードBのセキュリティを保つことができる。
【0067】
また、バックアップ電池33Aは、RAM33にバックアップ時間の間、給電することができる。これにより、バックアップ時間が経過するとバックアップ電池33AによりRAM33が給電されなくなり、RAM33に記憶されているデータを消去することができる。したがって、端末装置3が不要となり廃棄した場合であっても認証コードBの再入力が必要となるので、第三者による端末装置3の悪用を防止することができる。また、バックアップ電池33AによりRAM33が給電されている間は、認証コードBがRAM33に記憶されているので、端末装置3の運用性を落とすことなく使用することができる。
【0068】
(実施の形態の変形例)
次いで、図12を参照して、本発明に係る実施の形態の変形例を説明する。図12に電子機器3Aの内部構成を示す。以下、電子機器3と同様な部分には同一の符号を付し、その詳細な説明を援用し、異なる部分について説明する。
【0069】
電子機器3Aは、主電源VAと、電池手段としての電池VBと、調整手段としての抵抗Rと、を備える。主電源VAは、電子機器3Aに電圧V1を供給する。電池VBは、RAM33にバックアップ時間Tの間、電圧V2を給電する。電池VBは、図3のバックアップ電池33Aに該当する。
【0070】
抵抗Rは、抵抗値r1の負荷抵抗であり、RAM33のバックアップ時間Tを調整する。具体的に、抵抗Rは、電池VBの電流量を調整することにより電池VBの給電時間であるバックアップ時間Tを調整する。ここで、電池VBの電流量(放電電流)は(V2/r1)で求まる。すなわち、抵抗Rの抵抗値r1を調整することにより、電池VBの電流量を調整することができる。
【0071】
ここで、バックアップ時間Tについて説明する。バックアップ時間Tは、上記実施の形態の説明を援用する。すなわち、バックアップ時間Tは、電子機器3Aの電源がOFFの状態(電子機器3Aに電圧V1が給電されなくなった状態)において、電池VBによりRAM33に電圧V2の給電が可能な時間のことをいう。バックアップ時間Tの経過後は、電池VBより電圧V2の給電が終了し、RAM33に記憶されているデータ(認証コードB)は消去される。
【0072】
ここで、電池VBの容量をC(Ah)、RAM33の消費電流をi(A)とすると、バックアップ時間Tは、次式(1)で求められる。
T=C/(i+V2/r1)・・・(1)
式(1)より、電子機器3Aの設計時に、抵抗Rの抵抗値r1を適切な値に設計すれば、バックアップ時間Tが求まる。
【0073】
例えば、電子機器3Aの設計時に、バックアップ時間Tが1ヶ月となるように、抵抗Rの抵抗値r1を設計するとする。この場合、1ヶ月後には、RAM33に記憶されている認証コードBは消去される。したがって、電子機器3Aの利用ができなくなる。すなわち、万が一、電子機器3Aを無効化せずに廃棄しても、電子機器3Aの利用ができなくなる。
【0074】
以上、本実施の形態の変形例によれば、上記実施の形態の効果と同様に、バックアップ時間Tが経過すると電池VBによりRAM33に給電されなくなるので、RAM33に記憶されているデータを消去することができる。したがって、端末装置3Aが不要となり廃棄した場合であっても認証コードBの再入力が必要となるので、第三者による端末装置3Aの悪用を防止することができる。また、電池VBによりRAM33が給電されている間は、認証コードBがRAM33に記憶されているので、端末装置3Aの運用性を落とすことなく使用することができる。
【0075】
また、抵抗Rの抵抗値r1を調整することにより電池VBの電流量(V2/r1)を調整することができる。これにより、ユーザは、設計時に抵抗Rの抵抗値r1を適切な値に調整(設計)すれば、バックアップ時間Tを設定することができる。例えば、バックアップ時間Tが1週間となるように電流量(V2/r1)を設計した場合、1週間後には確実に端末装置3Aを利用不可にすることができる。これにより、端末装置3Aの悪用を防止することができる。また、ユーザは、バックアップ時間Tを設定することにより、端末装置3Aの状態(例えば、端末装置3が廃棄状態になったのか否か等)を把握することができる。
【0076】
なお、上記実施の形態及び変形例における記述は、本発明に係る端末装置及びプログラムの一例であり、これに限定されるものではない。
【0077】
例えば、上記実施の形態及び変形例では、決済システム1に、電子機器3(又は電子機器3A)と、SAM4と、を備える構成としたがこれに限定されるものではない。例えば、図13に示すように、耐タンパ性を有しない電子機器3Bと、耐タンパ性を有するモジュール4Aと、を備える構成としてもよい。
【0078】
ここで、電子機器3Bは、CPU51と、回線制御部52と、印字部53と、表示部54と、RAM55と、フラッシュメモリ56と、を備える。CPU51、回線制御部52、表示部54、RAM55、フラッシュメモリ56は、それぞれ、CPU31、通信部36、表示部34、RAM33、フラッシュメモリ35と同様であり、その詳細な説明を援用する。印字部53は、決済処理結果を印字する。
【0079】
モジュール4Aは、CPU61と、入力部62と、カードリーダ63と、RAM64と、フラッシュメモリ65と、を備える。CPU61、入力部62、カードリーダ63、RAM64、フラッシュメモリ65は、それぞれ、CPU31、入力部32、カードリーダ38、RAM43、フラッシュメモリ45と同様であり、その詳細な説明を援用する。ここで、モジュール4Aは、耐タンパ性に構成するため、例えば、所定の検知手段によりモジュールのこじ開けが検出されると、RAM64やフラッシュメモリ65のデータを破壊する。これにより、耐タンパ性を担保する。
【0080】
上記の構成の場合、入力部62により認証コードBが入力される。そして、CPU61により、入力された認証コードBと、RAM64に格納されている認証コードAとの確認が行われる。そして、当該確認結果が電子機器3Bに送信される。この構成により、認証情報のセキュリティを高めると共に、認証を容易に行うことができる。
【0081】
また、認証コードBは、RAM33に記憶されるものとして説明したが、フラッシュメモリ35に記憶することとしてもよい。
【0082】
また、認証コードBを入力部32を介して入力することとしたが、例えば、認証コードBをメモリカード39Aに記憶させておくこととしてもよい。この場合、入力手段として接続部39により認証コードBが入力される。すなわち、メモリカード39Aから認証コードBが読み出され、当該読み出された認証コードBが接続部39により入力される。そして、入力された認証コードBがRAM33に記憶されることとなる。
【0083】
また、抵抗Rの抵抗値r1を調整(設計)することによりバックアップ時間Tを設定することとしたが、これに限定されるものではない。例えば、調整手段としてタイマー(図示省略)を用いることにより、バックアップ時間Tを調整することとしてもよい。この場合、タイマーにより調製されたバックアップ時間Tとなったら、CPU31がフラッシュメモリ35又はRAM33に記憶されているデータを消去する。
【0084】
その他、上記の実施の形態における決済システム1の細部構成及び詳細動作に関しても、本発明の趣旨を逸脱しない範囲で適宜変更可能である。
【図面の簡単な説明】
【0085】
【図1】本発明に係る決済システム1を示す概略図である。
【図2】センタサーバ2の内部構成を示すブロック図である。
【図3】端末装置3の内部構成を示すブロック図である。
【図4】SAM4の内部構成を示すブロック図である。
【図5】暗号鍵を説明する図である。
【図6】SAM4に認証コードAを登録する動作の説明図である。
【図7】認証コードの確認動作の説明図である。
【図8】認証コードAと認証コードBとが一致した場合の動作の説明図である。
【図9】認証コードAと認証コードBとが一致しない場合の動作の説明図である。
【図10】認証コード確認処理、認証コード受付処理、及び決済処理を示すフローチャートである。
【図11】認証コード確認処理、認証コード受付処理、及び決済処理を示すフローチャートである。
【図12】端末装置3Aの内部構成を示すブロック図である。
【図13】端末装置3B及びモジュール4Aの内部構成を示すブロック図である。
【符号の説明】
【0086】
1 決済システム
2 センタサーバ
3,3A,3B 端末装置
4 SAM
11, 21,31 CPU
22,32 入力部
23,33,43 RAM
24,34 表示部
25 記憶部
26,36 通信部
33A バックアップ電池
35,45 フラッシュメモリ
37,39 接続部
38 カードリーダ
38A ICカード
39A メモリカード
42 暗号演算部
44 異常検出部
A,B 認証コード
T1,D1,R1 暗号鍵
T バックアップ時間
VA 主電源
VB 電池
【技術分野】
【0001】
本発明は端末装置及びプログラムに関する。
【背景技術】
【0002】
従来から、クレジットカードによる決済などに用いられる端末装置が知られている。当該端末装置においては、パスワード等のPIN(Personal Identification Numbers)情報の機密性を担保する必要がある。このため、耐タンパ性を有して構成されるモジュールを備えた端末装置が用いられる。
【0003】
例えば、耐タンパ性を有するモジュールを、端末装置の本体に着脱可能なモジュールとして構成する技術が知られている(例えば、特許文献1参照)。これにより、端末装置の本体は、耐タンパ性を備えなくてもよい。すなわち、端末装置の本体に格納される各種取引に関するアプリケーションプログラムを容易に追加、変更、修正、更新することができ、汎用性、拡張性が向上する。
【特許文献1】特開2003−16527号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、上記の技術では、耐タンパモジュールにPIN情報を格納する技術は記載されていない。PIN情報を耐タンパモジュールに格納する構成であれば、PIN情報のセキュリティを保つことができる。
しかし、PIN情報を耐タンパモジュールに格納する構成であっても、電源投入毎にPIN情報の要求が行われる端末装置の場合、ユーザの操作性の効率が悪い。この場合、ユーザは電源投入毎に、PIN情報を入力する必要がある。したがって、PIN情報を用いた認証を容易に行うことができなかった。
また、複数のユーザが1つの端末装置を使う場合、複数のユーザにPIN情報を知らせる必要が生じる。この場合、PIN情報を記載した紙を端末装置に貼り付けておくことなどの措置が取られる。そうすると、端末装置を使用しない人間にもPIN情報が知られてしまう可能性がある。このため、PIN情報(認証情報)のセキュリティを保つことができなかった。
【0005】
本発明の課題は、認証情報のセキュリティを高めると共に、当該認証情報を用いた認証を容易に行うことである。
【課題を解決するための手段】
【0006】
以上の課題を解決するため、請求項1に記載の発明の端末装置は、
予め設定された第1の認証情報を含むデータを記憶する第1の記憶手段と、前記第1の認証情報と情報との比較を行う第1の制御手段と、を備えた耐タンパ性を有する耐タンパ手段と、
第2の認証情報の入力を受け付ける入力手段と、
前記入力手段により受け付けられた第2の認証情報を記憶し、不揮発性を有する、又は記憶を保持するための記憶保持時間不揮発性を有する第2の記憶手段と、
前記第2の記憶手段に記憶された第2の認証情報を読み出し、当該読み出した第2の認証情報と前記第1の認証情報とを前記第1の制御手段に比較させ、当該比較結果が一致した場合、前記第1の記憶手段に記憶されたデータの使用を許可する第2の制御手段と、
を備える。
【0007】
請求項2に記載の発明は、請求項1に記載の端末装置において、
前記第2の記憶手段が前記記憶保持時間不揮発性を有する場合、当該記憶保持時間を調整する調整手段
を備える。
【0008】
請求項3に記載の発明は、請求項1又は2に記載の端末装置において、
前記第2の記憶手段は、
揮発性を有する揮発性記憶手段と、
前記揮発性記憶手段に給電する電池手段と、を備え、
前記調整手段は、
前記電池手段の電流量を調整することにより前記記憶保持時間としての前記電池手段の給電時間を調整する。
【0009】
請求項4に記載の発明のプログラムは、
コンピュータを、
予め設定された第1の認証情報を含むデータを記憶する第1の記憶手段と、前記第1の認証情報と情報との比較を行う第1の制御手段と、を備えた耐タンパ性を有する耐タンパ手段、
第2の認証情報の入力を受け付ける入力手段、
前記入力手段により受け付けられた第2の認証情報を記憶し、不揮発性を有する、又は記憶を保持するための記憶保持時間不揮発性を有する第2の記憶手段、
前記第2の記憶手段に記憶された第2の認証情報を読み出し、当該読み出した第2の認証情報と前記第1の認証情報とを前記第1の制御手段に比較させ、当該比較結果が一致した場合、前記第1の記憶手段に記憶されたデータの使用を許可する第2の制御手段、
として機能させる。
【発明の効果】
【0010】
本発明によれば、認証情報のセキュリティを高めると共に、当該認証情報を用いた認証を容易に行うことができる。
【発明を実施するための最良の形態】
【0011】
以下、添付図面を参照して本発明に係る実施の形態の一例を詳細に説明する。ただし、発明の範囲は、図示例に限定されない。
【0012】
図1〜図11を参照して、本発明に係る実施の形態の一例を説明する。
先ず、図1を参照して、本実施の形態の決済システム1の構成例を説明する。決済システム1は、クレジットカードやキャッシュカードにより決済を行うシステムである。決済システム1は、センタサーバ2と、端末装置としての電子機器3と、端末装置、耐タンパ手段としてのSAM(Secure Application Module)4と、ネットワークNと、を備えて構成される。センタサーバ2と電子機器3とは、インターネット等の通信ネットワークNを介して通信接続される。
【0013】
図2に示すようにセンタサーバ2は、CPU(Central Processing Unit)21と、入力部22と、RAM(Random Access Memory)23と、表示部24と、記憶部25と、通信部26と、を備えて構成される。
【0014】
CPU21は、記憶部25に記憶されているシステムプログラム及び各種アプリケーションプログラムの中から指定されたプログラムをRAM23に展開し、RAM23に展開されたプログラムとの協働で、各種処理を実行する。特に記憶部25には、後述する決済プログラムが記憶される。
【0015】
CPU21は、決済プログラムとの協働により、センタサーバ認証情報を受信した後、許可情報を電子機器3に送信する。センタサーバ認証情報とは、端末ID、暗号化端末IDのことをいう。端末IDとは、電子機器3ごとに固有のID情報のことをいう。暗号化端末IDとは、SAM4により暗号化された端末IDのことをいう。許可情報とは、電子機器3の動作許可を示す情報又は不許可を示す情報のことをいう。
【0016】
CPU21は、電子機器3の動作を許可する場合、許可情報として動作OK信号を電子機器3に送信する。また、電子機器3の動作を許可しない場合、許可情報として動作拒否信号を電子機器3に送信する。このとき、許可情報は、後述する鍵T1により暗号化されて電子機器3に送信される。また、CPU21は、電子機器3より決済情報を受信した後、決済処理の許可/不許可を行う。
【0017】
入力部22は、カーソルキー、数字入力キー及び各種機能キーなどを備えたキーボードを含む構成とし、操作者によりキーボードで押下された押下信号をCPU21に出力する。また、入力部22は、マウスなどのポインティングデバイスを含む構成としてもよい。
【0018】
RAM23は、各種情報を格納する揮発性のメモリであり、各種プログラム、データを展開するワークエリアを有する。
【0019】
表示部24は、LCD(Liquid Crystal Display)、CRT(Cathode Ray Tube)等で構成され、CPU21からの表示信号に従って画面表示を行う。
【0020】
記憶部25は、HDD(Hard Disk Drive)等により構成され、各種プログラム及び各種データを記憶する。
【0021】
通信部26は、モデム、TA(Terminal Adapter)、ルータ、ネットワークカード等により構成され、接続されるネットワークN上の電子機器3と情報を送受信する。
【0022】
図3に示すように電子機器3は、第2の制御手段としてのCPU31と、入力手段としての入力部32と、第2の記憶手段、揮発性記憶手段としてのRAM33と、電池手段としてのバックアップ電池33Aと、表示部34と、第2の記憶手段としてのフラッシュメモリ35と、通信部36と、接続部37と、カードリーダ38と、入力手段としての接続部39と、を備えて構成される。CPU31、入力部32、RAM33、通信部36、はそれぞれCPU21、入力部22、RAM23、通信部26と同様であり、異なる部分を主として説明する。
【0023】
CPU31は、フラッシュメモリ35に記憶されているシステムプログラム及び各種アプリケーションプログラムの中から指定されたプログラムをRAM33に展開し、RAM33に展開されたプログラムとの協働で、各種処理を実行する。特にフラッシュメモリ35には、後述する認証コード受付プログラムが記憶される。
【0024】
CPU31は、認証コード受付プログラムとの協働により、RAM33から認証コードBを読み出し、当該読み出した認証コードBと認証コードAとをSAM4に比較させ、当該比較結果が一致した場合、SAM4のフラッシュメモリ47に記憶されたデータ(鍵T1、R1、D1)の使用を許可する。ここで、認証コードとは、決済を行う際に必要な認証情報(例えば、PIN情報)のことをいう。
【0025】
入力部32は、各種入力キー等を備え、ユーザからの各種情報の入力を各種入力キーから受け付け、その情報をCPU31に出力する。具体的に、入力部32は、認証コードBの入力を受け付ける。
【0026】
RAM33は、各種情報を格納する揮発性のメモリである。RAM33には、入力部32により入力された認証コードBが記憶される。また、RAM33は、記憶保持時間としてのバックアップ時間Tの間、不揮発性を有する。ここで、バックアップ時間Tとは、例えば、電子機器3の電源がOFFの状態において、バックアップ電池33AによりRAM33に給電が可能な時間のことをいう。当該バックアップ時間Tの間、RAM33は、電子機器3の電源がOFFとなっても、不揮発性を有することとなる。
【0027】
バックアップ電池33Aは、RAM33に所定時間(バックアップ時間)給電するバックアップ用の電池である。
【0028】
表示部34は、LCD、ELD(ElectroLuminescent Display)等を備え、CPU31から入力される表示情報に基づいて画面表示を行う。
【0029】
フラッシュメモリ35は、各種情報を読み込み及び書き込み可能に記憶する不揮発性のメモリである。
【0030】
接続部37は、ICソケットにより構成され、SAM4と電気的な接続を行う。カードリーダ38は、ICカード38Aに記録された情報を読み取る。接続部39は、ICソケットにより構成され、メモリカード39Aと電気的な接続を行う。
【0031】
SAM4は、耐タンパー性を備えたモジュールやICカードにより構成される。ここで、ICカードとは、USIM(Universal Subscriber Identity Module)カードのことをいう。図4に示すように、SAM4は、第1の制御手段としてのCPU41と、暗号演算部42と、RAM43と、異常検出部44と、ROM45と、通信部46と、第1の記憶手段としてのフラッシュメモリ47と、を備えて構成される。CPU41、RAM43、通信部46、フラッシュメモリ47は、それぞれCPU21、RAM23、通信部26、フラッシュメモリ35、と同様であり、異なる部分を主として説明する。
【0032】
CPU41は、フラッシュメモリ47に記憶されているシステムプログラム及び各種アプリケーションプログラムの中から指定されたプログラムをRAM43に展開し、RAM43に展開されたプログラムとの協働で、各種処理を実行する。特にフラッシュメモリ47には、後述する認証コード確認プログラムが記憶される。ここで、認証コード確認プログラムは、ROM45に記憶されることとしてもよい。
【0033】
CPU41は、認証コード確認プログラムとの協働により、認証コードBの正当性の確認を行う。そして、認証コードBの正当性の確認結果を電子機器3に送信する。認証コードBの正当性の確認とは、フラッシュメモリ47に記憶されている認証コードAと認証コードBとを比較することをいう。比較の結果、認証コードAと認証コードBとが一致すれば、認証コードBは正当であると確認される。
また、CPU41は、サーバ認証情報生成指示を電子機器3から受信すると、サーバ認証情報を生成する。サーバ認証情報の生成とは、フラッシュメモリ47に記憶されている端末IDを読み出すことや端末IDを暗号化して暗号化端末IDを生成することをいう。
【0034】
暗号演算部42は、鍵T1、D1、R1を用いて、情報の暗復号を行う。例えば、鍵T1を用いて端末IDの暗号化を行う。また、鍵T1を用いて電子機器3より受信した許可情報の復号化を行う。
【0035】
異常検出部44は、例えば電圧、温度、光センサ等の少なくとも1つにより構成される。例えば、第三者が善意、悪意に関わらずSAM4内のデータを読み取ろうとした場合、異常電圧、温度、光(量)の異常を検出する。異常を検出した後、RAM43、フラッシュメモリ47に記憶されているデータを消去(破壊)する。ROM45は、情報を読み込み可能に記憶する。
【0036】
フラッシュメモリ47は、各種情報を読み込み及び書き込み可能に記憶する不揮発性のメモリである。具体的には、フラッシュメモリ47は、認証コードA、鍵T1、鍵D1、鍵R1、及び認証コード確認プログラムを記憶する。
【0037】
次に図5を参照して、暗号鍵について説明する。ここで、暗号鍵として、鍵T1、鍵D1、鍵R1を用いて説明する。
【0038】
鍵T1は、電子機器3ごとに固有な鍵である。鍵T1は、センタサーバ2の記憶部25と、SAM4のフラッシュメモリ47とにペアでそれぞれ記憶される。この場合、鍵T1は、例えば、共通鍵暗号方式のペアでそれぞれ記憶される。なお、暗号方式は公開鍵暗号方式で暗号化されることとしてもよい。
【0039】
鍵D1は、SAM4外(例えば、電子機器3のRAM33、フラッシュメモリ35等)のデータの暗号鍵である。鍵D1は、SAM4のフラッシュメモリ47に記憶される。鍵D1の暗号化データDは、鍵D1により暗号化されたデータのことを示す。例えば、使用を禁止しているカード番号などを含んだデータのことを示す。また、鍵D1の暗号化データDは、電子機器3のRAM33又はフラッシュメモリ35に記憶される。鍵R1は、カードリーダ38の認証用の鍵である。鍵R1は、カードリーダ38、フラッシュメモリ47にそれぞれ記憶される。
【0040】
次に、図6を参照して認証コードAをSAM4のフラッシュメモリ47に登録(記憶)する動作について説明する。先ず、電子機器3の製造時、センタサーバ2から認証コードAが発行される。発行された認証コードAは、電子機器3を介してSAM4に送信される。そして、当該認証コードAは、SAM4のフラッシュメモリ47に記憶される。
【0041】
次に、図7を参照して、認証コードの確認動作について説明する。例えば、ユーザにより電子機器3が購入されたとする。このとき、電子機器3の販売元により、購入したユーザにのみ認証コードAが伝えられる。そして、電子機器3の出荷先の設置場所で、販売元から伝えられた認証コードAと同じ認証コードBがユーザにより入力される。入力された認証コードBは、電子機器3のRAM33に格納される。そして、RAM33に格納された認証コードBと、SAM4のフラッシュメモリ47に記憶された認証コードAとが一致するか否かが判別される。
【0042】
認証コードBの入力は、上述のように電子機器3の設置時のみ行われる。電子機器3を設置した後は、RAM33に記憶された認証コードBが用いられる。これにより、ユーザは認証コードBを何度も入力する必要がない。したがって認証を容易に行うことができる。また、電子機器3を複数のユーザが使用する場合であっても、紙などに認証コードBを書いて知らせる必要がない。したがって、認証コードBのセキュリティを向上させることができる。
【0043】
次に、図8を参照して、図7において、認証コードAと認証コードBとが一致した場合の動作について説明する。この場合、先ず、SAM4によりセンタサーバ認証情報(端末ID、暗号化端末ID)の生成が行われる。このとき、暗号化端末IDは、鍵T1を用いて暗号化される。生成されたセンタサーバ認証情報は、電子機器3を介してセンタサーバ2に送信される。
【0044】
そして、センタサーバ2により、サーバ認証情報の確認が行われる。サーバ認証情報の確認は、暗号化端末IDの復号結果に基づいて行われる。例えば、端末IDがID1であったとする。この場合、鍵Tと端末IDとが対応付けて記憶されたテーブル(図示省略)に基づいて、端末ID1に対応する鍵T1が読み出される。そして、読み出された鍵T1を用いて復号化が行われる。そして、復号化された端末ID(復号端末ID)と端末IDとが一致するか否かが判別される。復号端末IDと端末IDとが共にID1であった場合、許可情報として動作OK信号が電子機器3に送信される。また、復号端末IDと端末IDが一致しないと判別された場合、動作拒否信号が電子機器3に送信される。このとき、動作OK信号又は動作拒否信号は、センタサーバ2により鍵T1で暗号化されて送信される。
【0045】
そして、電子機器3により動作OK信号又は動作拒否信号がSAM4に送信される。そして、SAM4により鍵T1で動作OK信号又は動作拒否信号が復号化される。動作OK信号が復号化された場合、使用許可信号が電子機器3に送信される。動作拒否信号が復号化された場合、使用不許可信号が電子機器3に送信される。
【0046】
SAM4から使用許可信号が電子機器3に送信された場合、電子機器3によりSAM4に対して鍵R1の読み出し指示が送信される。そして、SAM4から電子機器3に鍵R1が送信される。鍵R1が送信された後、電子機器3により、鍵R1を用いてカードリーダ38により読み取られた決済情報(例えば、カード番号)が復号化される。また、電子機器3により、鍵D1を用いて鍵D1の暗号化データDが復号化される。そして、決済情報と、復号化されたデータDと、が一致するか否かの判別が行われる。例えば、決済情報であるカード番号と、復号化されたデータDに含まれる使用禁止のカード番号と、が一致するか否かの判別が行われる。決済情報が復号化されたデータDと一致しないと判別された場合、決済情報が鍵T1を用いて暗号化される。そして、鍵T1により暗号化された決済情報が電子機器3からセンタサーバ2に送信される。
【0047】
そして、センタサーバ2により、送信された決済情報が鍵T1で復号化される。決済情報が鍵T1で復号化された後、当該復号化された決済情報の承認確認が行われる。決済情報の承認確認は、予めセンタサーバ2に記憶されていた決済情報(カード番号等)と、復号化された決済情報と、が一致するか否かが判別されることにより行われる。両者が一致すると判別された場合、センタサーバ2により決済許可信号が電子機器3に送信される。両者が一致しないと判別された場合、センタサーバ2により決済不許可信号が電子機器3に送信される。そして、電子機器3により決済処理が行われる。
【0048】
次に、図9を参照して、図7において、認証コードAと認証コードBとが一致しない場合の動作について説明する。この場合、鍵T1、R1、D1は使用不可となる。また、入力された認証コードBは、電子機器3のRAM33に記億されずに消去される。
【0049】
次に、図10及び図11を参照して、SAM4で実行される認証コード確認処理と、電子機器3で実行される認証コード受付処理と、センタサーバ2で実行される決済処理とを説明する。認証コード確認処理は、入力された認証コードBの正当性を確認する処理である。認証コード受付処理は、ユーザにより入力部32を介して入力された認証コードBを受け付け、認証コードBの正当性の確認をSAM4に指示する処理である。決済処理は、センタサーバ認証情報の認証、及び決済の許可又は不許可を行う処理である。
【0050】
先ず、認証コード確認処理について説明する。例えば、電子機器3から認証コードの確認指示信号を受信開始したこと等をトリガとして、ROM45から読み出されて適宜RAM43に展開された認証コード確認プログラムと、CPU41との協働により認証コード確認処理が実行される。
【0051】
先ず、電子機器3から認証コードBの確認指示が受信される(ステップS101)。認証コードBの確認指示とは、認証コードBの正当性を確認するための指示情報のことをいう。当該認証コードBの確認指示情報の中には、認証コードBが含まれる。そして、認証コードBが確認され、その認証コードBの確認結果が送信される(ステップS102)。ここで、認証コードBの確認は、フラッシュメモリ47に記憶されている認証コードAと受信した認証コードBとが一致するか否かを比較することにより行われる。そして、認証コードBの確認結果が電子機器3に送信される。
【0052】
ステップS102の実行後、認証コードAと認証コードBとが一致しているか(確認結果OKか)否かが判別される(ステップS103)。確認結果がOKでない場合(ステップS103;NO)、停止処理が実行される(ステップS104)。この停止処理は、図9で説明した動作に該当する。ステップS104の実行後、認証コード確認処理は終了する。
【0053】
ステップS103において、確認結果がOKである場合(ステップS103;YES)、電子機器3からセンタサーバ認証情報の生成指示が受信される(ステップS105)。そして、センタサーバ認証情報が生成され、そのセンタサーバ認証情報が電子機器3に送信される(ステップS106)。具体的には、端末IDと、鍵T1で暗号化された暗号化端末IDと、が電子機器3に送信される。
【0054】
ステップS106の実行後、電子機器3から鍵R1の読み出し指示が受信される(ステップS107)。そして、フラッシュメモリ47に記憶されている鍵R1が読み出され、当該読み出された鍵R1が電子機器3に送信される(ステップS108)。ステップS108の実行後、認証コード確認処理は終了する。
【0055】
次に、電子機器3で実行される認証コード受付処理について説明する。例えば、電子機器3において、認証コード受付処理の実行指示が入力部32を介して入力されたこと等をトリガとして、フラッシュメモリ35から読み出されて適宜RAM33に展開された認証コード受付プログラムと、CPU31との協働により認証コード受付処理が実行される。このとき、予め、センタサーバ2から発行された認証コードAがSAM4のフラッシュメモリ47に記憶されているものとする。
【0056】
先ず、RAM33上の認証コードBが確認される(ステップS201)。RAM33上の認証コードBの確認は、RAM33に認証コードBが記憶されているか否かを確認することに行われる。そして、確認OKか否かが判別される(ステップS202)。すなわち、RAM33に認証コードBが記憶されているか否かの確認が行われる。確認OKの場合(ステップS202;YES)、後述するステップS204に移行される。確認OKでない場合(ステップS202;NO)、入力部32を介してユーザからの認証コードBの入力が受け付けられ、当該受け付けられた認証コードBがRAM33に記憶される(ステップS203)。
【0057】
ステップS203の実行後、SAM4に認証コードBの確認指示が送信される(ステップS204)。そして、SAM4から認証コードBの確認結果が受信される(ステップS205)。
【0058】
ステップS205の実行後、確認結果がOKか否かが判別される(ステップS206)。確認結果がOKでないと判別された場合(ステップS206;NO)、リトライが実行される(ステップS207)。このとき、入力された認証コードBはRAM33に記憶されずに消去され、リトライが実行される。
【0059】
ステップS206において、確認結果がOKであると判別された場合(ステップS206;YES)、SAM4にセンタサーバ認証情報生成指示が送信される(ステップS208)。すなわち、SAM4に端末ID及び暗号化端末IDの生成指示が送信される。そして、SAM4からセンタサーバ認証情報が受信される(ステップS209)。
【0060】
ステップS209の実行後、センタサーバ2にセンタサーバ認証情報が送信される(ステップS210)。そして、センタサーバ2から許可情報が受信される(ステップS211)。すなわち、センタサーバ2から鍵T1で暗号化された動作OK信号又は動作拒否信号が受信される。そして、図8で説明したように、許可情報(動作OK信号又は動作拒否信号)がSAM4に送信され、SAM4により許可情報の復号化が行われる。許可情報の復号化が行われた後、使用許可信号又は使用不許可信号が電子機器3に送信される。
【0061】
SAM4から使用許可信号が送信された場合、SAM4に鍵R1の読み出し指示が送信される(ステップS212)。そして、SAM4から鍵R1が受信される(ステップS213)。鍵R1が受信された後、当該鍵R1を用いてカードリーダ38により読み取られた決済情報が復号化される(ステップS214)。このとき、図8で説明したように、鍵D1を用いて鍵D1の暗号化データの復号化も行われる。ステップS214で復号化された決済情報が、復号化されたデータDと一致しないと判別された場合、決済情報が鍵T1により暗号化される。
【0062】
そして、暗号化された決済情報がセンタサーバ2に送信される(ステップS215)。ステップS215の実行後、センタサーバ2から決済許可/不許可情報が受信される(ステップS216)。そして、決済処理が実行される(ステップS217)。ステップS217の実行後、認証コード受付処理は終了する。
【0063】
次に、センタサーバ2で実行される決済処理を説明する。例えば、電子機器3から、センタサーバ認証情報が受信開始されたこと等をトリガとして、記憶部25から読み出されて適宜RAM23に展開された決済プログラムと、CPU21との協働により決済処理が実行される。
【0064】
先ず、電子機器3からセンタサーバ認証情報が受信される(ステップS301)。すなわち、センタサーバ認証情報として端末ID(受信端末ID)と、暗号化端末IDとが受信される。このとき、暗号化端末IDは、SAM4の暗号演算部42にて鍵T1により暗号化されているものとする。そして、センタサーバ認証情報が確認され、電子機器3に許可信号が送信される(ステップS302)。センタサーバ認証情報の確認は、図8で説明した通りである。
【0065】
ステップS302の実行後、電子機器3から決済情報が受信される(ステップS303)。そして、図8で説明した通り、決済情報の承認確認が行われ、決済許可/不許可情報が送信される(ステップS304)。ステップS304の実行後、決済処理は終了する。
【0066】
以上、本実施の形態によれば、RAM33に記憶された認証コードBを読み出し、当該読み出した認証コードBと、フラッシュメモリ47に記憶されている認証コードAと、をSAM4のCPU41に比較させ、当該比較結果が一致した場合、フラッシュメモリ47に記憶されたデータの使用を許可することができる。これにより、認証コードAは、耐タンパ性を有したフラッシュメモリ47に記憶されているので、認証コードAのセキュリティを高めることができる。また、ユーザは、1度認証コードBを入力すれば、その後は認証コードBを入力する必要がない。これにより、ユーザの操作性が向上し、認証を容易に行うことができる。また、ユーザは、1度認証コードBを入力してしまえば、紙などに認証コードBを書いて複数のユーザに知らせる必要がない。したがって、認証コードBのセキュリティを保つことができる。
【0067】
また、バックアップ電池33Aは、RAM33にバックアップ時間の間、給電することができる。これにより、バックアップ時間が経過するとバックアップ電池33AによりRAM33が給電されなくなり、RAM33に記憶されているデータを消去することができる。したがって、端末装置3が不要となり廃棄した場合であっても認証コードBの再入力が必要となるので、第三者による端末装置3の悪用を防止することができる。また、バックアップ電池33AによりRAM33が給電されている間は、認証コードBがRAM33に記憶されているので、端末装置3の運用性を落とすことなく使用することができる。
【0068】
(実施の形態の変形例)
次いで、図12を参照して、本発明に係る実施の形態の変形例を説明する。図12に電子機器3Aの内部構成を示す。以下、電子機器3と同様な部分には同一の符号を付し、その詳細な説明を援用し、異なる部分について説明する。
【0069】
電子機器3Aは、主電源VAと、電池手段としての電池VBと、調整手段としての抵抗Rと、を備える。主電源VAは、電子機器3Aに電圧V1を供給する。電池VBは、RAM33にバックアップ時間Tの間、電圧V2を給電する。電池VBは、図3のバックアップ電池33Aに該当する。
【0070】
抵抗Rは、抵抗値r1の負荷抵抗であり、RAM33のバックアップ時間Tを調整する。具体的に、抵抗Rは、電池VBの電流量を調整することにより電池VBの給電時間であるバックアップ時間Tを調整する。ここで、電池VBの電流量(放電電流)は(V2/r1)で求まる。すなわち、抵抗Rの抵抗値r1を調整することにより、電池VBの電流量を調整することができる。
【0071】
ここで、バックアップ時間Tについて説明する。バックアップ時間Tは、上記実施の形態の説明を援用する。すなわち、バックアップ時間Tは、電子機器3Aの電源がOFFの状態(電子機器3Aに電圧V1が給電されなくなった状態)において、電池VBによりRAM33に電圧V2の給電が可能な時間のことをいう。バックアップ時間Tの経過後は、電池VBより電圧V2の給電が終了し、RAM33に記憶されているデータ(認証コードB)は消去される。
【0072】
ここで、電池VBの容量をC(Ah)、RAM33の消費電流をi(A)とすると、バックアップ時間Tは、次式(1)で求められる。
T=C/(i+V2/r1)・・・(1)
式(1)より、電子機器3Aの設計時に、抵抗Rの抵抗値r1を適切な値に設計すれば、バックアップ時間Tが求まる。
【0073】
例えば、電子機器3Aの設計時に、バックアップ時間Tが1ヶ月となるように、抵抗Rの抵抗値r1を設計するとする。この場合、1ヶ月後には、RAM33に記憶されている認証コードBは消去される。したがって、電子機器3Aの利用ができなくなる。すなわち、万が一、電子機器3Aを無効化せずに廃棄しても、電子機器3Aの利用ができなくなる。
【0074】
以上、本実施の形態の変形例によれば、上記実施の形態の効果と同様に、バックアップ時間Tが経過すると電池VBによりRAM33に給電されなくなるので、RAM33に記憶されているデータを消去することができる。したがって、端末装置3Aが不要となり廃棄した場合であっても認証コードBの再入力が必要となるので、第三者による端末装置3Aの悪用を防止することができる。また、電池VBによりRAM33が給電されている間は、認証コードBがRAM33に記憶されているので、端末装置3Aの運用性を落とすことなく使用することができる。
【0075】
また、抵抗Rの抵抗値r1を調整することにより電池VBの電流量(V2/r1)を調整することができる。これにより、ユーザは、設計時に抵抗Rの抵抗値r1を適切な値に調整(設計)すれば、バックアップ時間Tを設定することができる。例えば、バックアップ時間Tが1週間となるように電流量(V2/r1)を設計した場合、1週間後には確実に端末装置3Aを利用不可にすることができる。これにより、端末装置3Aの悪用を防止することができる。また、ユーザは、バックアップ時間Tを設定することにより、端末装置3Aの状態(例えば、端末装置3が廃棄状態になったのか否か等)を把握することができる。
【0076】
なお、上記実施の形態及び変形例における記述は、本発明に係る端末装置及びプログラムの一例であり、これに限定されるものではない。
【0077】
例えば、上記実施の形態及び変形例では、決済システム1に、電子機器3(又は電子機器3A)と、SAM4と、を備える構成としたがこれに限定されるものではない。例えば、図13に示すように、耐タンパ性を有しない電子機器3Bと、耐タンパ性を有するモジュール4Aと、を備える構成としてもよい。
【0078】
ここで、電子機器3Bは、CPU51と、回線制御部52と、印字部53と、表示部54と、RAM55と、フラッシュメモリ56と、を備える。CPU51、回線制御部52、表示部54、RAM55、フラッシュメモリ56は、それぞれ、CPU31、通信部36、表示部34、RAM33、フラッシュメモリ35と同様であり、その詳細な説明を援用する。印字部53は、決済処理結果を印字する。
【0079】
モジュール4Aは、CPU61と、入力部62と、カードリーダ63と、RAM64と、フラッシュメモリ65と、を備える。CPU61、入力部62、カードリーダ63、RAM64、フラッシュメモリ65は、それぞれ、CPU31、入力部32、カードリーダ38、RAM43、フラッシュメモリ45と同様であり、その詳細な説明を援用する。ここで、モジュール4Aは、耐タンパ性に構成するため、例えば、所定の検知手段によりモジュールのこじ開けが検出されると、RAM64やフラッシュメモリ65のデータを破壊する。これにより、耐タンパ性を担保する。
【0080】
上記の構成の場合、入力部62により認証コードBが入力される。そして、CPU61により、入力された認証コードBと、RAM64に格納されている認証コードAとの確認が行われる。そして、当該確認結果が電子機器3Bに送信される。この構成により、認証情報のセキュリティを高めると共に、認証を容易に行うことができる。
【0081】
また、認証コードBは、RAM33に記憶されるものとして説明したが、フラッシュメモリ35に記憶することとしてもよい。
【0082】
また、認証コードBを入力部32を介して入力することとしたが、例えば、認証コードBをメモリカード39Aに記憶させておくこととしてもよい。この場合、入力手段として接続部39により認証コードBが入力される。すなわち、メモリカード39Aから認証コードBが読み出され、当該読み出された認証コードBが接続部39により入力される。そして、入力された認証コードBがRAM33に記憶されることとなる。
【0083】
また、抵抗Rの抵抗値r1を調整(設計)することによりバックアップ時間Tを設定することとしたが、これに限定されるものではない。例えば、調整手段としてタイマー(図示省略)を用いることにより、バックアップ時間Tを調整することとしてもよい。この場合、タイマーにより調製されたバックアップ時間Tとなったら、CPU31がフラッシュメモリ35又はRAM33に記憶されているデータを消去する。
【0084】
その他、上記の実施の形態における決済システム1の細部構成及び詳細動作に関しても、本発明の趣旨を逸脱しない範囲で適宜変更可能である。
【図面の簡単な説明】
【0085】
【図1】本発明に係る決済システム1を示す概略図である。
【図2】センタサーバ2の内部構成を示すブロック図である。
【図3】端末装置3の内部構成を示すブロック図である。
【図4】SAM4の内部構成を示すブロック図である。
【図5】暗号鍵を説明する図である。
【図6】SAM4に認証コードAを登録する動作の説明図である。
【図7】認証コードの確認動作の説明図である。
【図8】認証コードAと認証コードBとが一致した場合の動作の説明図である。
【図9】認証コードAと認証コードBとが一致しない場合の動作の説明図である。
【図10】認証コード確認処理、認証コード受付処理、及び決済処理を示すフローチャートである。
【図11】認証コード確認処理、認証コード受付処理、及び決済処理を示すフローチャートである。
【図12】端末装置3Aの内部構成を示すブロック図である。
【図13】端末装置3B及びモジュール4Aの内部構成を示すブロック図である。
【符号の説明】
【0086】
1 決済システム
2 センタサーバ
3,3A,3B 端末装置
4 SAM
11, 21,31 CPU
22,32 入力部
23,33,43 RAM
24,34 表示部
25 記憶部
26,36 通信部
33A バックアップ電池
35,45 フラッシュメモリ
37,39 接続部
38 カードリーダ
38A ICカード
39A メモリカード
42 暗号演算部
44 異常検出部
A,B 認証コード
T1,D1,R1 暗号鍵
T バックアップ時間
VA 主電源
VB 電池
【特許請求の範囲】
【請求項1】
予め設定された第1の認証情報を含むデータを記憶する第1の記憶手段と、前記第1の認証情報と情報との比較を行う第1の制御手段と、を備えた耐タンパ性を有する耐タンパ手段と、
第2の認証情報の入力を受け付ける入力手段と、
前記入力手段により受け付けられた第2の認証情報を記憶し、不揮発性を有する、又は記憶を保持するための記憶保持時間不揮発性を有する第2の記憶手段と、
前記第2の記憶手段に記憶された第2の認証情報を読み出し、当該読み出した第2の認証情報と前記第1の認証情報とを前記第1の制御手段に比較させ、当該比較結果が一致した場合、前記第1の記憶手段に記憶されたデータの使用を許可する第2の制御手段と、
を備える端末装置。
【請求項2】
前記第2の記憶手段が前記記憶保持時間不揮発性を有する場合、当該記憶保持時間を調整する調整手段を備える請求項1に記載の端末装置。
【請求項3】
前記第2の記憶手段は、
揮発性を有する揮発性記憶手段と、
前記揮発性記憶手段に給電する電池手段と、を備え、
前記調整手段は、
前記電池手段の電流量を調整することにより前記記憶保持時間としての前記電池手段の給電時間を調整する請求項1又は2に記載の端末装置。
【請求項4】
コンピュータを、
予め設定された第1の認証情報を含むデータを記憶する第1の記憶手段と、前記第1の認証情報と情報との比較を行う第1の制御手段と、を備えた耐タンパ性を有する耐タンパ手段、
第2の認証情報の入力を受け付ける入力手段、
前記入力手段により受け付けられた第2の認証情報を記憶し、不揮発性を有する、又は記憶を保持するための記憶保持時間不揮発性を有する第2の記憶手段、
前記第2の記憶手段に記憶された第2の認証情報を読み出し、当該読み出した第2の認証情報と前記第1の認証情報とを前記第1の制御手段に比較させ、当該比較結果が一致した場合、前記第1の記憶手段に記憶されたデータの使用を許可する第2の制御手段、
として機能させるためのプログラム。
【請求項1】
予め設定された第1の認証情報を含むデータを記憶する第1の記憶手段と、前記第1の認証情報と情報との比較を行う第1の制御手段と、を備えた耐タンパ性を有する耐タンパ手段と、
第2の認証情報の入力を受け付ける入力手段と、
前記入力手段により受け付けられた第2の認証情報を記憶し、不揮発性を有する、又は記憶を保持するための記憶保持時間不揮発性を有する第2の記憶手段と、
前記第2の記憶手段に記憶された第2の認証情報を読み出し、当該読み出した第2の認証情報と前記第1の認証情報とを前記第1の制御手段に比較させ、当該比較結果が一致した場合、前記第1の記憶手段に記憶されたデータの使用を許可する第2の制御手段と、
を備える端末装置。
【請求項2】
前記第2の記憶手段が前記記憶保持時間不揮発性を有する場合、当該記憶保持時間を調整する調整手段を備える請求項1に記載の端末装置。
【請求項3】
前記第2の記憶手段は、
揮発性を有する揮発性記憶手段と、
前記揮発性記憶手段に給電する電池手段と、を備え、
前記調整手段は、
前記電池手段の電流量を調整することにより前記記憶保持時間としての前記電池手段の給電時間を調整する請求項1又は2に記載の端末装置。
【請求項4】
コンピュータを、
予め設定された第1の認証情報を含むデータを記憶する第1の記憶手段と、前記第1の認証情報と情報との比較を行う第1の制御手段と、を備えた耐タンパ性を有する耐タンパ手段、
第2の認証情報の入力を受け付ける入力手段、
前記入力手段により受け付けられた第2の認証情報を記憶し、不揮発性を有する、又は記憶を保持するための記憶保持時間不揮発性を有する第2の記憶手段、
前記第2の記憶手段に記憶された第2の認証情報を読み出し、当該読み出した第2の認証情報と前記第1の認証情報とを前記第1の制御手段に比較させ、当該比較結果が一致した場合、前記第1の記憶手段に記憶されたデータの使用を許可する第2の制御手段、
として機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2008−242924(P2008−242924A)
【公開日】平成20年10月9日(2008.10.9)
【国際特許分類】
【出願番号】特願2007−84024(P2007−84024)
【出願日】平成19年3月28日(2007.3.28)
【出願人】(000001443)カシオ計算機株式会社 (8,748)
【Fターム(参考)】
【公開日】平成20年10月9日(2008.10.9)
【国際特許分類】
【出願日】平成19年3月28日(2007.3.28)
【出願人】(000001443)カシオ計算機株式会社 (8,748)
【Fターム(参考)】
[ Back to top ]