銀行カードのコンピュータにおけるＰＫＩ応用の一つの実現方法

【課題】本発明は、銀行カードのコンピュータにおけるPKI応用の一つの実現方法を提供する。
【解決手段】銀行カードは内蔵マイクロプロセッサーを備え、暗号化演算が行える高い安全性及び使用の普及性の特性を利用して、銀行カードをコンピュータ情報セキュリティ分野に使用する。コンピュータユーザ身元の真実性の認証を行い、データ転送中の不法改ざんまたは転送エラーを防ぐ。また、重要な取引データの不正否認を防止し、データの信頼性と有効性を保証して、コンピュータ情報の安全性を高める。

【発明の詳細な説明】
【技術分野】
【０００１】
本発明は、銀行カードの多様化実用の実現方法、特に銀行カードのコンピュータにおけるPKI応用の実現方法に属する。
【背景技術】
【０００２】
銀行カードが世界中に広範囲で急速に普及することに伴い、多発する偽造カード詐欺のリスクを抑える為に、EUROPAYやVISA、MASTER CARDなどの国際的な金融組織は、既存のデビットカードやクレジットカードなど磁気カードの使用をスマートカードへ移行すると計画している。移行完了後の銀行カードは高い安全性も持ち、内蔵のマイクロプロセッサーは演算能力を持ち、暗号化と復号化の演算ができる。また、物理的攻撃又は論理的攻撃を防げる安全なプロセッサーを採用する為、この種の銀行カードを解読したり複製したりする事は非常に困難になる。更に、この種の銀行カードは、三重の検証体系を採用している。即ち、カード内部はCAセンタが発行したカード発行銀行のディジタル証書とカード発行銀行が発行したカードのディジタル証書を保存していて、検証時にCAセンタによるカード発行銀行の検証、カード発行銀行によるカード検証、カード公開鍵の検証という三重検証の体系を通らなければならない。従い、磁気カードより、大きな安全面の優位性を持っている。と同時に、この種のカードは、オンライン取引とオフライン取引の夫々の違う特徴に対し、対応する安全性対策を取ることにした。即ち、各自、対称的暗号鍵アルゴリズムと非対称的暗号鍵アルゴリズムを採用している為、取引の各ステップにおいて、高い安全性と否認防止を確保できる。
【０００３】
電子商取引、ネットワーク銀行及びネットワーク証券取引の急速な進展に伴い、インターネットの安全性問題は注目されている。真のインターネット上取引と情報通信の安全性を実現するには、機密性保護、信頼性認証、原本性保証と否認防止の四大要請を満たせなければならない。PKI技術を用いて完全な暗号化や署名体系を構築する事によって、上記の４つの課題を有効に解決でき、インターネットを十分に活用して、リソースの共有を実現する事を前提に、ネット上取引と情報通信を確実に確保する。
【０００４】
PKIとは、“Public Key Infrastructure”の略称で、“公開鍵基盤”を意味する。公開鍵理論と技術を利用して構築された情報安全サービスを提供する基盤である。
【０００５】
PKI技術は、証書を利用して公開鍵を管理し、信頼できる第三者機関の認証センタCA（Certificate Authority）を通して、ユーザの公開鍵とユーザの他の認識情報とをバンディングし、インターネット上でユーザの身元を検証する。CAとは、PKIの中心となる実施機関であり、証書はPKIの中心となる要素である。公開鍵体系は、現在最も広く利用されている暗号化体系であり、この体系に、暗号化鍵と復号化鍵とは夫々異なっている。公開鍵体系のディジタル署名は、情報の秘密性を確保しながら、情報の否認防止を保障している。その原理は、以下の通りである：まず、明文を被検証側の秘密鍵で署名し、ディジタル署名を取得する。その後、ディジタル署名を検証側へ発送し、検証側は被検証側の公開鍵を用いて検証を行う。最後に、原文と照合して検証を行う。
【０００６】
移行完了後の銀行カードの署名はその特有の体系を持っている。まず、被検証側により署名を生成し、検証側が一定のフォーマットに従い所定の各項目のデータを入れ込んでから、カードの秘密鍵と対応のアルゴリズムを用いて入れ込んだ結果でディジタル署名を作成する。検証側はカードの公開鍵と対応のアルゴリズムを用いて署名を復元し、署名の各項目のデータを検証する。各項目のデータは全て検証成功の場合、検証は成功とする。
【０００７】
スマートカードが広く利用されるに伴い、スマートカードと端末の接続方式も多様化になりつつある。現在利用される接続方式は、主に接触型接続、非接触型接続及びカードにあるUSBモジュールによる端末との接続などがある。
【発明の開示】
【発明が解決しようとする課題】
【０００８】
本発明は、コンピュータ情報分野におけるセキュリティ問題に対して、銀行カードが暗号化演算のできる高い安全性と使用の普及性の特性を十分に利用して、銀行カードをコンピュータ情報セキュリティ分野に利用し、そのPKI演算機能を利用してコンピュータ情報の安全性を高める一つの実現方法を提供している。
【課題を解決するための手段】
【０００９】
銀行カードのコンピュータにおけるPKI応用の一つの実現方法であって、前記銀行カードをコンピュータと接続して、被検証側は銀行カードの秘密鍵署名で情報を検証するステップ１と、被検証側は署名を検証側へ発送するステップ２と、検証側は被検証側の公開鍵を使用して署名を検証するステップ３とを含む。
【００１０】
前記銀行カードは、公開鍵演算と秘密鍵演算機能を備え、CAセンターが発行したカード発行銀行のディジタル証書とカード発行銀行が発行したカードのディジタル証書を有する。前記コンピュータとは、パーソナルコンピュータ、サーバ、組込み式システム、ＰＤＡまたは知能型携帯電話のいずれかである。前記銀行カードとコンピュータの接続は、接触型接続、非接触型接続またはカードにあるUSBモジュールによるコンピュータとの接続のいずれかである。前記署名は、前記銀行カードがINTERNAL AUTHENTICATEコマンドを実行することにより完成される。前記被検証側とはコンピュータ端末を含み、検証側とはコンピュータ端末またはサーバを含む。
【００１１】
被検証側は、以下の方法によってカード発行銀行証書とカード証書を取得することができる：
1）被検証側は、自身のカード発行銀行証書とカード証書を検証側へ発送する；
2）検証側は、信頼できる第三者から被検証側のカード発行銀行証書とカード証書を取得する。
3）検証側は、被検証側の銀行カードのカード発行銀行と同じ銀行のカードから被検証側のカード発行銀行証書を取得することができる。カード証書は、上記二つの方法の何れかによって取得できる。
【００１２】
検証側は、ＣＡセンタの公開鍵でカード発行銀行証書を検証し、また、カード発行銀行の公開鍵でカード証書を検証する。最後に、被検証側の公開鍵を用いて署名を検証する。
【発明の効果】
【００１３】
従来の技術と比べて、本発明の特有の効果としては、銀行カードの内蔵マイクロプロセッサーが暗号化演算を行える高い安全性及び使用の普及性の特性を利用して、銀行カードのPKIセキュリティ体系をコンピュータ情報セキュリティ分野に応用し、機密情報の安全性を高めた上、銀行カードの機能を拡張した新しい用途を提供している。
【発明を実施するための最良の形態】
【００１４】
これから、図面と実施例を用いて、本発明について更に詳しく説明する。
【００１５】
図１の示す様に、コンピュータ甲がカードリーダを介して銀行カードaと接続し、コンピュータ乙がカードリーダを介して銀行カードbと接続して、同時にインターネットを通じてCAセンタと接続する。まず、銀行カードはSELECT FILEコマンドを実行して、一つのアプリケーション（Dedicated File）を選択する。その後、READ RECORDコマンドを実行して銀行カードの中のカード発行銀行証書とカード証書を読み込む。それから交信の双方はお互いに相手側へ乱数またはその他の形式の検証情報を発送する。例えば、甲が乙へ検証情報Mを発送して、乙が情報Mを受信したら、情報Mを銀行カードbへ発送する。銀行カードbがINTERNAL AUTHENTICATEコマンドを実行して自らの秘密鍵で情報Mに対して署名した後、署名情報をコンピュータへ返信し、コンピュータ乙が署名情報及びカード発行銀行とカード証書を甲へ発送する。甲がシステム内部に保存したCAセンタ証書上の公開鍵を読み取り、この公開鍵を利用して銀行カードbのカード発行銀行証書を検証する。そして、カード発行銀行の公開鍵を利用してカード発行銀行が発行した銀行カードbのディジタル証書を検証し、銀行カードbの公開鍵を利用して署名を検証する。上記の三重検証が全て通れば、身元識別認証は成功となるが、逆に、一つでも通らない場合、身元識別認証は失敗となる。乙は同じ方法を使用して甲の身元を認証する。双方がお互いに相手側の身元識別認証に成功した場合、お互いに信頼できて、情報の発送はできる様になる。
【００１６】
図２の示す様に、パーソナルコンピュータはカードリーダを介して銀行カードと接続し、同時にインターネットを通じてCAセンタ及びサーバと接続する。パーソナルコンピュータがサーバにアクセスする時に、銀行カードはSELECT FILEコマンドを実行して一つの応用を選択する。その後、READ RECORDコマンドを実行してディジタル証書を読み込む。それからサーバがコンピュータ端末へ一つの乱数またはその他の形式の検証情報Mを発送する。コンピュータ端末は情報Mを銀行カードに送り込み、銀行カードはINTERNAL AUTHENTICATEコマンドを実行し、自らの秘密鍵を使用して情報Mに署名した後、その署名をコンピュータへ返送する。コンピュータは、ディジタル証書と署名をサーバへ返送し、サーバはシステム内部に保存してしるCAセンタ証書にある公開鍵を使用して銀行カードのカード発行銀行のディジタル証書を検証する。その後、カード発行銀行の公開鍵を利用してカードのディジタル証書を検証する。最後に、銀行カードの公開鍵を利用して署名を検証する。上記する三重検証を全て通れば、身元識別認証が成功となり、コンピュータ端末はサーバのリソースのアクセスとダウンロードができる様になる。
【００１７】
図３の示す様に、受信側は受信したデータの完全性を証明して、また、自分が送信側から送信されたデータをすでに受信したことを証明する為に、データを受信した後、単方向関数ハッシュアルゴリズムを用いて受信データに対して暗号化圧縮を行い、ディジタル・ダイジェストを生成して、そのダイジェストを銀行カードに送り込む。銀行カードはINTERNAL AUTHENTICATEコマンドを実行してディジタル摘要に対して署名を行い、ネットワークを通じて自らのディジタル証書と署名を送信側へ発送する。送信側は、受信側の公開鍵を使用して署名を検証する。秘密鍵が唯一性を持っている為、この署名情報は、疑いなく受信側から発送されたことが証明できる。この流れの中、如何なる者も受信側の秘密鍵を持っていない為、受信側の署名を偽造したり如何なる形式の改ざんをしたりすることはできない。送信側は受信したディジタル摘要を同じ単方向関数ハッシュアルゴリズムで作成したディジタル摘要と照合し、一致すれば検証成功となる。それによって、データの真実性保証、原本性保証及び不正否認防止の要求を満たせる。
【００１８】
以上記載した実施方式は、本発明による一つの実施例に過ぎない。本発明は前記実施例に限定されるものではない。この分野における通常の知識を有する者が、本発明の原理の下、本発明に対して行った如何なる容易に成し得た変更は、本発明の構想と前記請求項の保護範囲に属する。
【図面の簡単な説明】
【００１９】
【図１】データ交信双方の身元識別認証の原理を示すブロック図である。
【図２】コンピュータ端末がサーバに身元識別認証を請求する原理を示すブロック図である。
【図３】データ原本性保証と否認防止に応用する原理を示すブロック図である。

【特許請求の範囲】
【請求項１】
銀行カードのコンピュータにおけるPKI応用の実現方法であって、銀行カードをコンピュータと接続し、
被検証側は、その銀行カードの秘密鍵署名により、情報を検証するステップ１と、
被検証側は、前記署名を検証側へ発送するステップ２と、
検証側は、被検証側の公開鍵を使用して、署名を検証するステップ３とを含むことを特徴とする銀行カードのコンピュータにおけるPKI応用の実現方法。
【請求項２】
前記銀行カードは公開鍵演算と秘密鍵演算の機能を備え、CAセンターが発行したカード発行銀行のディジタル証書及びカード発行銀行が発行したカードのディジタル証書を有する請求項１に記載の方法。
【請求項３】
前記コンピュータは、パーソナルコンピュータ、サーバ、組込み式システム、ＰＤＡまたは知能型携帯電話のいずれかであることを特徴とする請求項１に記載の方法。
【請求項４】
前記銀行カードとコンピュータの接続接続方式は、接触型接続、非接触型接続、または銀行カードにあるUSB通信モジュールによるコンピュータとの接続のいずれかであることを特徴とする請求項１に記載の方法。
【請求項５】
前記署名は、前記銀行カードがINTERNAL AUTHENTICATEコマンドを実行することにより完成することを特徴とする請求項１に記載の方法。
【請求項６】
前記被検証側とは、コンピュータ端末を含み、前記検証側とは、コンピュータ端末またはサーバを含むことを特徴とする請求項１に記載の方法。
【請求項７】
前記被検証側は、その有するカード発行銀行証書又はカード証書を検証側へ発送することができることを特徴とする請求項１に記載の方法。
【請求項８】
前記検証側は、信頼できる第三者から、前記被検証側のカード発行銀行証書又はカード証書を取得することができることを特徴とする請求項１に記載の方法。
【請求項９】
前記検証側は、前記被検証側のカードと同じカード発行銀行の銀行カードからも、被検証側のカード発行銀行証書を取得する事ができることを特徴とする請求項１に記載の方法。
【請求項１０】
前記検証側は、ＣＡセンター公開鍵を使用してカード発行銀行証書を検証し、カード発行銀行の公開鍵を使用してカード証書を検証して、最終的に被検証側の公開鍵を使用して署名を検証することを特徴とする請求項１に記載の方法。

【図１】