ICカード・ネットワークシステム、その情報配信装置、情報端末装置、プログラム
【課題】情報配信装置からの秘密情報漏洩問題を解決する。
【解決手段】各情報端末装置10は従来より耐タンパ機能を備えている。情報配信装置20は、情報管理サーバ1から新たな秘密情報Snを取得すると、これを特定の情報端末装置10へ転送する。特定の情報端末装置10は、この秘密情報Snを、生成した暗号鍵Ksを生成して、これにより暗号化秘密情報Ks(Sn)を生成し、これを情報配信装置20へ返信して記憶させる。情報配信装置20は、任意の情報端末装置10からの要求がある毎に、暗号化秘密情報Ks(Sn)を配信する。各情報端末装置10は、上記暗号鍵Ksを生成可能となっており、暗号鍵Ksを用いて暗号化秘密情報Ks(Sn)を復号化することで秘密情報Snを得る。
【解決手段】各情報端末装置10は従来より耐タンパ機能を備えている。情報配信装置20は、情報管理サーバ1から新たな秘密情報Snを取得すると、これを特定の情報端末装置10へ転送する。特定の情報端末装置10は、この秘密情報Snを、生成した暗号鍵Ksを生成して、これにより暗号化秘密情報Ks(Sn)を生成し、これを情報配信装置20へ返信して記憶させる。情報配信装置20は、任意の情報端末装置10からの要求がある毎に、暗号化秘密情報Ks(Sn)を配信する。各情報端末装置10は、上記暗号鍵Ksを生成可能となっており、暗号鍵Ksを用いて暗号化秘密情報Ks(Sn)を復号化することで秘密情報Snを得る。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ICカード等を利用したシステムにおいて、秘密情報の配信を安全に行う制御方法、及びシステムに関する。
【背景技術】
【0002】
今日、ICカードを利用した様々なシステム(ICカードシステムと呼ぶ)が構築されている。ICカードシステムの一例として、例えば、電車やバスなどの公共交通手段や、各種商店等において、ICカード(非接触型又は接触型のICカード;以下特に区別せずにICカードと記す)を用いた、電子マネーを使用する、キャッシュレス決済システム(電子マネーシステム)が導入されている。このようなシステムでは、ICカードへの入金処理や、利用額の差引き処理等の、ICカードへの各種アクセス処理を、ICカードR/W(リーダ/ライタ)を有する決済端末が行なっている。
【0003】
電子マネーシステムでは、ICカードへの不正なアクセス(例えば、入金せずに利用額を積みましたり、利用履歴を書き換えたり等)を防ぐために、各決済端末に秘密情報(秘匿鍵等と呼ばれる)を記憶させておき、決済端末とICカードとの通信において、この秘密情報による認証を行なったり、通信を暗号化したりするなどして、安全性を高めている。電子マネーシステムに限らず、他のICカードシステムにおいても、秘密情報等を用いて安全性を高めることが望まれる。
【0004】
しかしながら、このようなシステムであっても、万が一、上記秘密情報(秘匿鍵等)が漏洩してしまった場合は、技術的にはこの秘密情報を用いてICカードへのアクセス処理を自由に行なうことが可能となってしまい、電子マネーシステムの安全性を破綻させてしまう。この為、従来では、各決済端末に耐タンパ機能を備えた領域などを装備することで、決済端末から上記秘密情報が漏洩しないようにしている。
【0005】
また、秘密情報は更新(バージョンアップ等)される場合がある為、各決済端末は、定期的に(例えば毎日1度)、秘密情報を管理している情報管理サーバにアクセスして、秘密情報が更新されている場合には、最新の秘密情報を取得する。
【0006】
あるいは、従来では、決済端末内の揮発性メモリ等に上記秘密情報を記憶させることで、電源OFFにより秘密情報が消去される構成とすることで、万が一、決済端末が盗まれた場合でも、秘密情報が消去されることで安全性を高めること等も提案されている。この場合、各決済端末は、例えば毎日、起動する毎に、情報管理サーバから秘密情報を取得する必要がある。
【0007】
上記のように定期的に情報管理サーバにアクセスする必要がある場合、決済端末が多数であると情報管理サーバの処理負荷が増大する。この問題に対応する為、情報管理サーバの代わりに各決済端末へ秘密情報を配信する、複数の情報配信装置を設けること等も提案されている。
【0008】
尚、上記のように各決済端末に、ネットワークを介して情報管理サーバ等から、ICカードとの通信処理に必要な秘密情報が配信されるシステムを、ICカード・ネットワークシステムと呼ぶものとする。
【0009】
また、従来、例えば特許文献1,2に記載の技術が提案されている。
特許文献1記載の発明は、送信側で、暗号化対象となる情報を分割して、分割した各情報に対して異なる暗号化鍵を、カオス力学系を用いて生成して、受信側では同様の方式により復号化鍵を用いて復号化する。
【0010】
特許文献2記載の発明では、マルチキャストする鍵をグループ鍵とすることで、鍵情報配送のためのトラフィック量を減少させることができ、不正な情報取得に対する安全性を向上させている。
【特許文献1】特開2001−285280号公報
【特許文献2】特開2003−229844号公報
【発明の開示】
【発明が解決しようとする課題】
【0011】
上記従来のICカード・ネットワークシステムにおいて、特に、上記複数の情報配信装置を設ける構成とした場合、情報配信装置から秘密情報(秘匿鍵等)が漏洩する問題が生じる。すなわち、上記の通り、各決済端末は、従来より、耐タンパ機能によって秘密情報が漏洩しないようにしている。また、上記情報管理サーバは、オリジナルの秘密情報等を生成する、基本的に1台のみの装置であり、比較的コストを掛けることができる為、例えば、センタ等のセキュリティルーム等で保護される。あるいは、情報管理サーバ上に、秘密情報や暗号化鍵などを安全に格納するための、耐タンパ機能を備えた領域などを装備することも出来る。何れにしても、情報管理サーバや各決済端末から秘密情報が漏洩しないようにする仕組みは、従来より構築されている。
【0012】
しかしながら、上記情報配信装置は、必ずしもセキュリティルーム等で保護される場所に設置されるわけではないし、決済端末の台数によっては情報配信装置の台数も多数となることから、あまりコストを掛けられない事情もある。よって、情報配信装置に耐タンパ機能を追加することも、非常にコストが掛かる為、採用できない。
【0013】
また、上記特許文献1,2に記載の従来技術は、上記情報配信装置からの秘密情報漏洩問題を解決できるようなものではない。
本発明の課題は、秘密情報を管理・更新する情報管理サーバと、この情報管理サーバに代わって秘密情報を各情報端末装置に配信する複数の情報配信装置を有するICカード・ネットワークシステムにおいて、情報配信装置に対して耐タンパ機能やセキュリティルーム等の特別なセキュリティ手段を構築することなく、情報配信装置からの秘密情報漏洩問題を解消できるICカード・ネットワークシステム等を提供することである。
【課題を解決するための手段】
【0014】
本発明の第1のICカード・ネットワークシステムは、秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムであって、前記複数の情報端末装置は、暗号鍵を生成する暗号鍵生成手段を有し、前記情報端末装置のうちの特定の情報端末装置は、前記情報管理サーバから前記情報配信装置を経由して前記秘密情報が配信されると、該秘密情報を、前記暗号鍵生成手段によって生成した暗号鍵を用いて暗号化し、該暗号化秘密情報を前記情報配信装置へ送信する暗号化・送信手段を更に有し、前記情報配信装置は、前記暗号化・送信手段より送信された暗号化秘密情報を記憶する秘密情報記憶手段と、任意の前記情報端末装置からの要求がある毎に、該記憶している暗号化秘密情報を、該要求元の情報端末装置へ配信する配信手段とを有し、前記任意の情報端末装置は、前記配信手段により前記暗号化秘密情報が配信されると、前記暗号鍵生成手段により生成した前記暗号鍵を用いて、該配信された暗号化秘密情報を復号化することで、前記秘密情報を生成する秘密情報復号化手段を更に有する。
【0015】
上記第1のICカード・ネットワークシステムでは、情報配信装置には、秘密情報は保持されず、暗号化秘密情報が保持される。秘密情報の暗号化や復号化、及びこれら暗号化や復号化に必要な暗号鍵の生成は、各情報端末装置側で行われる(当然、上記耐タンパ機能により保護される)。情報配信装置は、耐タンパ機能を有しないので、情報配信装置から情報が漏洩する可能性はあるが、保持されているのは暗号化秘密情報だけであり、秘密情報自体は保持しないし、暗号鍵も生成/受け取り/保持等は行わないので、実質的に、秘密情報は漏洩しない。
【0016】
本発明の第2のICカード・ネットワークシステムは、秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムであって、前記複数の情報端末装置は、暗号鍵を生成する暗号鍵生成手段を有し、前記情報端末装置のうちの特定の情報端末装置は、前記情報管理サーバから前記情報配信装置を経由して前記秘密情報が配信されると、該秘密情報を、前記暗号鍵生成手段によって生成した暗号鍵を用いて暗号化し、該暗号化秘密情報を記憶する暗号化・記憶手段と、任意の他の情報端末装置からの要求がある毎に、前記暗号化・記憶手段により記憶した暗号化秘密情報を、要求元の情報端末装置へ配信する配信手段とを更に有し、前記任意の他の情報端末装置は、前記配信手段により前記暗号化秘密情報が配信されると、前記暗号鍵生成手段により生成した前記暗号鍵を用いて、該配信された暗号化秘密情報を復号化することで、前記秘密情報を生成する秘密情報復号化手段を更に有する。
【0017】
第2のICカード・ネットワークシステムでは、情報配信装置は、暗号化秘密情報すら保持しないので、情報配信装置から秘密情報が漏洩することはない。
尚、本発明は、ICカード・ネットワークシステムの形態に限らず、その情報配信装置や情報端末装置として構成することもできる。
【0018】
あるいは、これら情報配信装置や情報端末装置の処理機能を、コンピュータにより実現させる為のプログラムとして構成することもできる。
【発明の効果】
【0019】
本発明のICカード・ネットワークシステム等によれば、秘密情報を管理・更新する情報管理サーバと、この情報管理サーバに代わって秘密情報を各情報端末装置に配信する複数の情報配信装置を有するICカード・ネットワークシステムにおいて、情報配信装置に対して特別なセキュリティ手段を構築することなく(多大なコストを掛けることなく)、情報配信装置からの秘密情報漏洩問題を解消できる。
【発明を実施するための最良の形態】
【0020】
以下、図面を参照して、本発明の実施の形態について説明する。
以下、まず、第1の実施例について説明する。
図1は、本例のICカード・ネットワークシステム全体の概略構成図である。本例のICカード・ネットワークシステムは、上記従来で説明した、ICカード・リーダ/ライタ装置を備え、秘密情報を用いてICカードへのアクセス処理を行う複数の端末と、秘密情報を管理する情報管理サーバと、情報管理サーバの代わりに各端末への秘密情報配信を行う複数の情報配信装置とがネットワークに接続されたシステムをベースにしている。
【0021】
図1に示すICカード・ネットワークシステムは、1台の情報管理サーバ1と、複数台の情報配信装置20と、多数の情報端末装置10より成る。情報端末装置10は、例えば店舗内の各レジ等に設置され、ICカード・リーダ/ライタ装置を備え、顧客が提示するICカードとの通信を行って、例えば電子マネーの積み立てや決済等を行う。このICカードとのアクセス処理の際に、上記従来で説明した秘密情報(秘匿鍵等)が必要となる。
尚、ICカードは、接触型、非接触型のどちらであってもよい。
【0022】
情報管理サーバ1は、上記秘密情報を記憶・管理する装置である。秘密情報は、更新(バージョンアップ等)される場合があり、情報管理サーバ1は、最新の秘密情報を記憶・管理している。
【0023】
各情報配信装置20は、従来で説明したように、情報管理サーバ1に代わって各情報端末装置10へ秘密情報を配信する為の装置である。例えば、情報管理サーバ1が保持・管理する上記秘密情報を取得して、これを例えば自己が接続しているネットワーク2に接続している各情報端末装置10へ配信する為の装置である。但し、本手法では、詳しくは後述するように、情報配信装置20が保持する秘密情報は、特定の情報端末装置10によって暗号化されたものである。
【0024】
尚、従来で述べた通り、各情報端末装置10は、定期的に情報配信装置20にアクセスする必要がある(秘密情報が更新されている場合に最新版を取得する必要があり、あるいは電源OFFにより秘密情報が消去される構成の場合には起動する毎に秘密情報を取得する必要がある)。但し、第1の実施例では、情報配信装置20から取得する秘密情報は、暗号化されているので、これを復号化する必要がある。詳しくは後述する。
【0025】
尚、情報配信装置20と情報端末装置10は、グループ分けされており、各グループ毎に1台の情報配信装置20と複数台の情報端末装置10が存在する。そして、情報配信装置20は、自己のグループ内の情報端末装置10とのみ通信を行う。グループ分けは、例えば、デパート、スーパーマーケット、ディスカウントストア等、各店舗を1グループとする。この場合は、上記ネットワーク2は、店舗内に設置されたLAN等である。また、ネットワーク3は、インターネット等である。但し、この例に限らず、グループ分けは、地域単位で行ったり、任意に(適当に)行ってもよい。また、上記ネットワーク2は、インターネットやWAN等としてもよい。但し、グループ分けせずに、情報端末装置10がそれぞれ任意の情報配信装置20にアクセスするようにしてもよい。
【0026】
尚、以下の説明における「(同一の)グループ内の情報端末装置10」とは、任意の情報配信装置20と同じネットワーク2に接続している情報端末装置10を意味するものとするが、上述したように、この様な例に限らない。
【0027】
図2は、情報端末装置10の主要機能/構成を示すブロック図である。
図2に示す通り、情報端末装置10は、リードライト部11、通信制御部12、耐タンパ制御部13、暗号処理部14、鍵生成部15、表示・操作部16、記憶部17、及び制御部18より構成される。
【0028】
制御部18は、当該情報端末装置10全体を制御する中央処理装置(CPU等)であり、例えば記憶部17に記憶されているアプリケーションプログラムを実行することで、後述する図5〜図8に示すフローチャートの処理を実現する。
【0029】
リードライト部11は、ICカード・リーダ/ライタ等であり、上記秘密情報を用いて、ICカードとの認証・データ読書き処理を実行する。
通信制御部12は、ネットワーク2に接続し、外部の装置(主に情報配信装置)との通信を行う。
【0030】
耐タンパ制御部13は、不正検出及び耐タンパ制御(例えば、開封検知し、重要情報を消去する等)を行う。
鍵生成部15は暗号鍵を生成する。暗号処理部14は、鍵生成部15が生成した暗号鍵
を用いて、上記秘密情報を、暗号化又は復号化する。すなわち、暗号鍵を用いて秘密情報を暗号化して暗号化秘密情報を生成し、あるいは暗号鍵を用いて暗号化秘密情報を復号化して秘密情報を復元する。尚、ここでは、秘密鍵暗号方式(共通鍵暗号方式)を用いるものとする。よって、暗号化も復号化も、同じ鍵を用いる。
【0031】
ここで、少なくとも同一グループに属する全ての(あるいはグループに関係なく全ての)情報端末装置10の鍵生成部15は、同一の暗号鍵生成アルゴリズム(例えば、予め決められたハッシュ関数等の生成ロジック)を有している。従って、このロジックが用いるシード(種;生成種)が同じであれば、当該全ての情報端末装置10の鍵生成部15で、同じ暗号鍵を生成できる。シード(種)としては、現在日時や特定のID等(例えば、情報配信装置20の装置ID等)等を用いてもよいが、ここでは、後述する乱数生成部23が生成する乱数を用いるものとする。
【0032】
表示・操作部16は、例えば、ディスプレイ+タッチパネル等である。
記憶部17は、上記アプリケーションプログラムや、上記暗号鍵生成アルゴリズムや、復号化した秘密情報等を記憶する。尚、電源OFFにより秘密情報を消去する構成の場合には、記憶部17は、不揮発性の記憶装置と、揮発性メモリ等から成り、例えば、上記アプリケーションプログラム等は不揮発性の記憶装置に格納され、復号化した秘密情報は揮発性メモリに格納される。
【0033】
図3は、情報配信装置20の主要機能/構成を示すブロック図である。
図3に示す例では、情報配信装置20は、通信IF制御部21、制御部22、乱数生成部23、記憶部24等より構成される。情報配信装置20には耐タンパ等のセキュリティは適用されていない。
【0034】
制御部22は、当該情報配信装置20全体を制御する中央処理装置(CPU等)であり、記憶部24に記憶される所定のアプリケーションプログラムを実行することで、後述するフローチャートの処理を実現する。
【0035】
乱数生成部23は、任意の乱数を生成する。
記憶部24には、上記アプリケーションプログラムが格納されると共に、上記暗号化秘密情報が格納される。また、秘密情報のバージョン情報も格納される。尚、記憶部24は、不揮発性の記憶装置である。
【0036】
通信IF(インタフェース)制御部21は、ネットワーク2,3に接続し、情報管理装置1や各情報端末装置10と通信を行う。
図4に、上記図1のシステムにおける秘密情報の暗号化/復号化の概略的な流れを示す。尚、ここでは、上記複数のグループのうち任意の1グループに関する処理の流れを示すが、他のグループに関しても同様の処理が行われる。
【0037】
図4において、まず、任意に決められる又は予め決められている、特定の情報端末装置10に対して、情報管理サーバ1で保持・管理している秘密情報Sn(現バージョン)が、情報配信装置20を介して配信されると(その際、情報配信装置20は、乱数生成部23が生成した乱数を付加して配信すると共に、この乱数を記憶する。尚、情報配信装置20には秘密情報Snは記憶されない)、この情報端末装置10は、配信された乱数を生成種として上記のように暗号鍵Ksを生成して、この暗号鍵Ksを用いて、配信された秘密情報Snを暗号化して暗号化秘密情報Sn’を生成する。そして、この暗号化秘密情報Sn’を情報配信装置20に返信する。尚、この情報端末装置10は、返信後、生成した暗号化秘密情報Sn’を、消去する。また、配信された秘密情報Snは、そのまま用いてもよいし、一旦消去して、後述する図6の処理で取得するようにしてもよい。
【0038】
その後、任意のときに(例えば、各情報端末装置10の起動時に)、各情報端末装置10は各々、情報配信装置20に対して秘密情報要求(鍵要求)を送信する。この要求を受けた情報配信装置20は、要求元の情報端末装置10に対して、上記記憶してある暗号化秘密情報Sn’を配信する。その際、上記記憶してある乱数(シード)も付加して配信する。尚、各情報端末装置10が配信された乱数を記憶することで、乱数の配信は秘密情報が更新されたときに1度だけ行うようにしてもよいし、上記鍵要求が行われる毎に配信してもよい。
【0039】
暗号化秘密情報Sn’が配信された各情報端末装置10は、それぞれ、上述してある通り上記付加されている乱数を用いて上記暗号鍵Ksを生成できるので、この暗号鍵Ksを用いて暗号化秘密情報Sn’を復号化することで、秘密情報Snを取得することができる。
【0040】
尚、シード(生成種)となる情報は、情報配信装置20が配信する例に限らず、予め各情報端末装置10に記憶させてもよい(但し、当然、少なくとも同一グループ内では同一のシードを記憶しておく)。
【0041】
上記の通り、情報配信装置20には、暗号化秘密情報Sn’等が記憶されるだけなので、情報配信装置20が攻撃を受けた場合でも、暗号化秘密情報Sn’等が漏洩するだけであり、これにより秘密情報Snが解読される可能性は極めて低いものとなる。尚、上記の通り、本発明の課題は、情報配信装置20からの情報漏洩に対応するものである。
【0042】
尚、上記「情報配信装置20−情報管理サーバ1間」や「情報配信装置20−各情報端末装置10間」の通信処理では、暗号化や認証などを行い通信路の安全性を高めるが、これ自体は既存技術であり、本手法の特徴とは直接関係しないし、説明も省略する。
【0043】
図5、図6に、図4で説明した処理に関する処理フローチャート図を示す。
図5は、各情報配信装置20が保持・管理する暗号化秘密情報の更新に係る処理を示すフローチャート図である。
【0044】
図5において、各情報配信装置20は、定期的に、情報管理サーバ1に対して秘密情報要求を送信する(ステップS11)。この要求を受信した情報管理サーバ1は、現在自己が保持・管理している秘密情報Snを、そのバージョン情報(n等)と共に、要求元の情報配信装置20へ返信する(ステップS1)。尚、この秘密情報要求処理を行うタイミングは、予め設定しておく。
【0045】
上記ステップS1の返信を受信した情報配信装置20は、今回配信された秘密情報Snのバージョン番号を、記憶部24に記憶してあるバージョン番号と比較して、一致するならば、秘密情報の更新は無いものと判定し(ステップS12,NO)、今回配信された秘密情報Snのバージョン番号を記憶部24に上書き記憶して、処理を終了する。
【0046】
一方、今回配信された秘密情報Snのバージョン番号が、記憶してあるバージョン番号と不一致の場合には、今回配信された秘密情報は更新版(最新バージョン)であると判定し(ステップS12,YES)、自己と同一グループ内の特定の情報端末装置10に対して、秘密情報処理要求を送信する(ステップS13)。この要求には、今回配信された秘密情報Snと、上記乱数(生成種)が付加される。更に、今回配信された秘密情報Snのバージョン番号を記憶部24に上書き記憶する。
【0047】
上記秘密情報処理要求を受信した情報端末装置10は、上述したように情報配信装置2
0から配信された乱数を生成種にして暗号化鍵Ksを生成する(ステップS21)。そして、この暗号化鍵Ksにて、上記秘密情報処理要求に付加されている秘密情報Snを暗号化して暗号化秘密情報Ks(Sn)を生成し(ステップS22)、この暗号化秘密情報Ks(Sn)を、情報配信装置20へ返信する(ステップS23)。
【0048】
これを受信した情報配信装置20は、受信した暗号化秘密情報Ks(Sn)を記憶部24に記憶する(ステップS14)。
以上で、図5の処理が完了する。
【0049】
ここで、暗号化鍵Ksの生成方法の一例を示す(既に、ある程度説明してあるが)。
情報配信装置20は、上記情報端末装置10に秘密情報処理要求を行う場合、内部の乱数生成部23で生成した乱数値Rnを、秘密情報Snと共に送信する。これを受信した情報端末装置10では、この乱数値Rnをベースとして、例えば、予め設定されているハッシュ関数H(・)から、暗号化鍵Ks=H(Rn)を導出する。情報配信装置20では、新たな秘密情報処理要求(ステップS13)を行わない限り、この乱数値Rnを暗号化秘密情報Ks(Sn)と共に記憶部24に記憶しておく。そして、各情報端末装置10からの秘密情報要求(後述するステップS31)に対する応答の際に、暗号化秘密情報Ks(Sn)と共にこの乱数値Rnも送信する(後述するステップS41)。
【0050】
尚、上記ハッシュ関数H(・)は、予め、少なくとも同一グループ内の全ての情報端末装置10に、同じハッシュ関数Hが設定されている。従って、生成種Rnが同じであれば、全ての情報端末装置10で同一の暗号化鍵Ks=H(Rn)を生成できる。
【0051】
図6は、各情報端末装置10による秘密情報取得処理を示すフローチャート図である。この処理は、定期的に又は所定のタイミングで(例えば起動時に)行われる。
図6において、各情報端末装置10は、例えば上記所定のタイミング(例えば、電源投入時)で、情報配信装置20に対して秘密情報要求を送信する(ステップS31)
この要求を受信した情報配信装置20は、上記記憶部24に記憶してある暗号化秘密情報Ks(Sn)と乱数値Rnを、要求元の情報端末装置10へ返信する(ステップS41)。
【0052】
この返信を受信した情報端末装置10は、上記乱数値Rnを生成種にして、例えば一例としては上記の通りハッシュ関数H(・)により暗号化鍵Ks=H(Rn)を生成する(ステップS32)。そして、この暗号化鍵Ksにて、暗号化秘密情報Ks(Sn)を復号化することで秘密情報Snを取得して(ステップS33)、この秘密情報Snを記憶部17に記憶する。その後は、この秘密情報Snを用いて、ICカードとの通信処理等を行える。
【0053】
もし、秘密情報Snが更新されたものであるならば、それ以降は、最新版の秘密情報を用いてICカードとの通信処理等を行える。また、上述した、秘密情報Snを揮発性メモリに記憶する構成の場合には、ステップS33で復号化した秘密情報Snは揮発性メモリ等に記憶されるので、当然、電源OFFにより秘密情報は消去される。よって、この場合、起動する毎に上記図6の処理を行わなければICカードへのアクセス処理が行えないが、電源OFF時(特に夜間)に情報端末装置10が盗まれても、その情報端末装置10には秘密情報Snは記憶されていないので、非常に安全である。
【0054】
以上、第1の実施例について説明した。
上記の通り、第1の実施例では、情報配信装置20からの情報漏洩の問題に対応して、情報配信装置20には暗号化秘密情報が格納されるようにしている。一方、以下に説明する第2の実施例では、情報配信装置20には暗号化秘密情報すら格納されないようにする。
【0055】
以下、第2の実施例について説明する。
第2の実施例においても、システム全体構成は図1と同じであり、情報端末装置10、情報配信装置20の構成も図2、図3と略同様であるので、以下、構成に関しては図1〜図3を参照するものとして説明する。そして、以下に図7、図8を参照して説明するように、各情報端末装置10、情報配信装置20の処理動作が、第1の実施例とは異なる。
【0056】
図7は、暗号化秘密情報の更新に係る処理を示すフローチャート図である。
図8は、各情報端末装置10による秘密情報取得処理を示すフローチャート図である。この処理は、定期的に又は所定のタイミングで(例えば起動時に)行われる。
【0057】
まず、以下、図7の処理について説明する。
ここで、図7の各処理ステップにおいて、図5に示す処理ステップと略同一のものには同一のステップ番号を付してあり、その説明は省略する。これより、まず、図7に示すステップS11、S1、S12の処理は、図5で説明した通りであり、ステップS12の判定がYESの場合、情報配信装置20は図5で説明したステップS13の処理により、特定の情報端末装置10に対して、秘密情報処理要求(秘密情報Snと乱数値を含む)を送信する。ここでは、情報端末装置10は10a〜10nであるものとし、情報端末装置10aが上記特定の情報端末装置10であるものとする。尚、第2の実施例においても、「情報配信装置20−情報管理サーバ1間」や「情報配信装置20−各情報端末装置10間」の通信処理では、一般的な暗号化や認証等を行い通信路の安全性を高める。
【0058】
上記秘密情報処理要求を受信した情報端末装置10aは、図5で説明したステップS21、S22の処理により、暗号鍵Ksを生成して、これにより暗号化秘密情報Ks(Sn)を生成する。その後は、図5の処理とは異なる処理を実行する。
【0059】
まず、情報端末装置10aは、生成した暗号化秘密情報Ks(Sn)を情報配信装置20に返信することなく、自己の記憶部17(その不揮発性の記憶装置)に、暗号化秘密情報Ks(Sn)を格納する(ステップS51)。また、暗号鍵Ks生成に用いた乱数(生成種)も記憶部17に格納してもよい(格納しなくてもよい)。そして、情報配信装置20に対して、秘密情報設定(暗号化と保存等)完了を通知する(ステップS52)。この通知には、当該情報端末装置10a(暗号化秘密情報Ks(Sn)を保持している情報端末装置10)の識別ID(ここでは、識別IDaとする)が含まれてもよい。
【0060】
この通知を受信した情報配信装置20は、まず、上記識別IDaを、暗号化秘密情報を保持している情報端末装置10の識別IDとして、記憶部24に記憶する(ステップS61)。更に、自グループ内の他の全ての情報端末装置10(情報端末装置10b〜10n)に対して、秘密情報配信先設定通知を送信する(ステップS62)。この通知には、上記識別IDa等が含まれる。更に上記乱数(生成種)も含まれていてもよい。尚、記憶部24には、自グループ内の全ての情報端末装置10の登録情報(その識別IDやアドレス等)が記憶されている。これより、識別IDaではなく、情報端末装置10aのアドレスを通知してもよい(但し、全ての情報端末装置10が予め上記登録情報を記憶している場合には、識別IDaを通知すればよい)。
【0061】
上記秘密情報配信先設定通知を受信した任意の情報端末装置10は、この通知に含まれている上記識別IDaを、上記暗号化秘密情報Ks(Sn)を保持している(そして、配信してくれる)情報端末装置10の識別IDとして、自己の記憶部17に記憶する(ステップS71)。上記乱数(生成種)も一緒に通知される場合には、この乱数も一緒に記憶する。そして、識別IDaの登録が完了した旨を情報配信装置20に返信する(秘密情報配信先設定応答を返信する)(ステップS72)。
【0062】
情報配信装置20は、上記全ての情報端末装置10b〜10nに対して、1台ずつ、上記秘密情報配信先設定通知を送信し、これに対して上記秘密情報配信先設定応答が返信されたら、次の情報端末装置10に対して上記秘密情報配信先設定通知を送信する処理を繰り返し実行する。これにより、上記全ての情報端末装置10b〜10nに上記識別IDaが記憶されたら、本処理は終了する。
【0063】
図8は、各情報端末装置10が定期的に又は所定のタイミングで(例えば起動時に)行う処理を示すフローチャート図である。
尚、図8の各処理ステップにおいて、図6に示す処理ステップと略同一のものには同一のステップ番号を付してあり、その説明は省略する。
【0064】
上記情報端末装置10a以外の各情報端末装置10b〜10nは、例えば起動時の初期処理において、上記記憶してある識別IDaにより、秘密情報配信の要求先(情報端末装置10a)を認識して、この要求先に対して、秘密情報要求を送信する(ステップS73)。
【0065】
情報端末装置10aは、この秘密情報要求を受信する毎に、上記図7の処理で自己の記憶部17(その不揮発性の記憶装置)に記憶してある暗号化秘密情報Ks(Sn)を読み出して、これらを要求元の情報端末装置10へ返信する(ステップS63)。尚、上記の通り、乱数(種)も記憶してある場合にはこの乱数も含めて返信する。
【0066】
上記返信を受信した要求元の情報端末装置10は、上記図6で説明したステップS32、S33と同様の処理を実行する。尚、これら処理で使用する乱数(種)は、上記の通りステップS63の返信に含まれていてもよいし、上記の通りステップS62で予め配信されて記憶してあるものであってもよい。
【0067】
以上説明したように、第2の実施例では、情報配信装置20では秘密情報は(暗号化されたものも含め)記憶しないので、情報配信装置20から秘密情報が漏洩することはあり得ない。
【0068】
上述したように、第1、第2の実施例のシステムによれば、情報配信装置20に耐タンパ機能やセキュリティルーム等のコストの掛かる安全対策を施すことなく、秘密情報の安全な保管を行うことができる。また、情報配信装置20と情報管理サーバ1間、及び、情報配信装置20と各情報端末装置10間における通信トラフィック低減を実現できる。
【図面の簡単な説明】
【0069】
【図1】本例のICカード・ネットワークシステム全体の概略構成図である。
【図2】情報端末装置の主要機能/構成を示すブロック図である。
【図3】情報配信装置の主要機能/構成を示すブロック図である。
【図4】秘密情報の暗号化/復号化の概略的な流れを示す図である。
【図5】第1の実施例における、各情報配信装置が保持・管理する暗号化秘密情報の更新に係る処理を示すフローチャート図である。
【図6】第1の実施例における、各情報端末装置による秘密情報取得処理を示すフローチャート図である。
【図7】第2の実施例における、各情報配信装置が保持・管理する暗号化秘密情報の更新に係る処理を示すフローチャート図である。
【図8】第2の実施例における、各情報端末装置による秘密情報取得処理を示すフローチャート図である。
【符号の説明】
【0070】
1 情報管理サーバ
2 ネットワーク
3 ネットワーク
10 情報端末装置
11 リードライト部
12 通信制御部
13 耐タンパ制御部
14 暗号処理部
15 鍵生成部
16 表示・操作部
17 記憶部
18 制御部
20 情報配信装置
21 通信IF制御部
22 制御部
23 乱数生成部
24 記憶部
【技術分野】
【0001】
本発明は、ICカード等を利用したシステムにおいて、秘密情報の配信を安全に行う制御方法、及びシステムに関する。
【背景技術】
【0002】
今日、ICカードを利用した様々なシステム(ICカードシステムと呼ぶ)が構築されている。ICカードシステムの一例として、例えば、電車やバスなどの公共交通手段や、各種商店等において、ICカード(非接触型又は接触型のICカード;以下特に区別せずにICカードと記す)を用いた、電子マネーを使用する、キャッシュレス決済システム(電子マネーシステム)が導入されている。このようなシステムでは、ICカードへの入金処理や、利用額の差引き処理等の、ICカードへの各種アクセス処理を、ICカードR/W(リーダ/ライタ)を有する決済端末が行なっている。
【0003】
電子マネーシステムでは、ICカードへの不正なアクセス(例えば、入金せずに利用額を積みましたり、利用履歴を書き換えたり等)を防ぐために、各決済端末に秘密情報(秘匿鍵等と呼ばれる)を記憶させておき、決済端末とICカードとの通信において、この秘密情報による認証を行なったり、通信を暗号化したりするなどして、安全性を高めている。電子マネーシステムに限らず、他のICカードシステムにおいても、秘密情報等を用いて安全性を高めることが望まれる。
【0004】
しかしながら、このようなシステムであっても、万が一、上記秘密情報(秘匿鍵等)が漏洩してしまった場合は、技術的にはこの秘密情報を用いてICカードへのアクセス処理を自由に行なうことが可能となってしまい、電子マネーシステムの安全性を破綻させてしまう。この為、従来では、各決済端末に耐タンパ機能を備えた領域などを装備することで、決済端末から上記秘密情報が漏洩しないようにしている。
【0005】
また、秘密情報は更新(バージョンアップ等)される場合がある為、各決済端末は、定期的に(例えば毎日1度)、秘密情報を管理している情報管理サーバにアクセスして、秘密情報が更新されている場合には、最新の秘密情報を取得する。
【0006】
あるいは、従来では、決済端末内の揮発性メモリ等に上記秘密情報を記憶させることで、電源OFFにより秘密情報が消去される構成とすることで、万が一、決済端末が盗まれた場合でも、秘密情報が消去されることで安全性を高めること等も提案されている。この場合、各決済端末は、例えば毎日、起動する毎に、情報管理サーバから秘密情報を取得する必要がある。
【0007】
上記のように定期的に情報管理サーバにアクセスする必要がある場合、決済端末が多数であると情報管理サーバの処理負荷が増大する。この問題に対応する為、情報管理サーバの代わりに各決済端末へ秘密情報を配信する、複数の情報配信装置を設けること等も提案されている。
【0008】
尚、上記のように各決済端末に、ネットワークを介して情報管理サーバ等から、ICカードとの通信処理に必要な秘密情報が配信されるシステムを、ICカード・ネットワークシステムと呼ぶものとする。
【0009】
また、従来、例えば特許文献1,2に記載の技術が提案されている。
特許文献1記載の発明は、送信側で、暗号化対象となる情報を分割して、分割した各情報に対して異なる暗号化鍵を、カオス力学系を用いて生成して、受信側では同様の方式により復号化鍵を用いて復号化する。
【0010】
特許文献2記載の発明では、マルチキャストする鍵をグループ鍵とすることで、鍵情報配送のためのトラフィック量を減少させることができ、不正な情報取得に対する安全性を向上させている。
【特許文献1】特開2001−285280号公報
【特許文献2】特開2003−229844号公報
【発明の開示】
【発明が解決しようとする課題】
【0011】
上記従来のICカード・ネットワークシステムにおいて、特に、上記複数の情報配信装置を設ける構成とした場合、情報配信装置から秘密情報(秘匿鍵等)が漏洩する問題が生じる。すなわち、上記の通り、各決済端末は、従来より、耐タンパ機能によって秘密情報が漏洩しないようにしている。また、上記情報管理サーバは、オリジナルの秘密情報等を生成する、基本的に1台のみの装置であり、比較的コストを掛けることができる為、例えば、センタ等のセキュリティルーム等で保護される。あるいは、情報管理サーバ上に、秘密情報や暗号化鍵などを安全に格納するための、耐タンパ機能を備えた領域などを装備することも出来る。何れにしても、情報管理サーバや各決済端末から秘密情報が漏洩しないようにする仕組みは、従来より構築されている。
【0012】
しかしながら、上記情報配信装置は、必ずしもセキュリティルーム等で保護される場所に設置されるわけではないし、決済端末の台数によっては情報配信装置の台数も多数となることから、あまりコストを掛けられない事情もある。よって、情報配信装置に耐タンパ機能を追加することも、非常にコストが掛かる為、採用できない。
【0013】
また、上記特許文献1,2に記載の従来技術は、上記情報配信装置からの秘密情報漏洩問題を解決できるようなものではない。
本発明の課題は、秘密情報を管理・更新する情報管理サーバと、この情報管理サーバに代わって秘密情報を各情報端末装置に配信する複数の情報配信装置を有するICカード・ネットワークシステムにおいて、情報配信装置に対して耐タンパ機能やセキュリティルーム等の特別なセキュリティ手段を構築することなく、情報配信装置からの秘密情報漏洩問題を解消できるICカード・ネットワークシステム等を提供することである。
【課題を解決するための手段】
【0014】
本発明の第1のICカード・ネットワークシステムは、秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムであって、前記複数の情報端末装置は、暗号鍵を生成する暗号鍵生成手段を有し、前記情報端末装置のうちの特定の情報端末装置は、前記情報管理サーバから前記情報配信装置を経由して前記秘密情報が配信されると、該秘密情報を、前記暗号鍵生成手段によって生成した暗号鍵を用いて暗号化し、該暗号化秘密情報を前記情報配信装置へ送信する暗号化・送信手段を更に有し、前記情報配信装置は、前記暗号化・送信手段より送信された暗号化秘密情報を記憶する秘密情報記憶手段と、任意の前記情報端末装置からの要求がある毎に、該記憶している暗号化秘密情報を、該要求元の情報端末装置へ配信する配信手段とを有し、前記任意の情報端末装置は、前記配信手段により前記暗号化秘密情報が配信されると、前記暗号鍵生成手段により生成した前記暗号鍵を用いて、該配信された暗号化秘密情報を復号化することで、前記秘密情報を生成する秘密情報復号化手段を更に有する。
【0015】
上記第1のICカード・ネットワークシステムでは、情報配信装置には、秘密情報は保持されず、暗号化秘密情報が保持される。秘密情報の暗号化や復号化、及びこれら暗号化や復号化に必要な暗号鍵の生成は、各情報端末装置側で行われる(当然、上記耐タンパ機能により保護される)。情報配信装置は、耐タンパ機能を有しないので、情報配信装置から情報が漏洩する可能性はあるが、保持されているのは暗号化秘密情報だけであり、秘密情報自体は保持しないし、暗号鍵も生成/受け取り/保持等は行わないので、実質的に、秘密情報は漏洩しない。
【0016】
本発明の第2のICカード・ネットワークシステムは、秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムであって、前記複数の情報端末装置は、暗号鍵を生成する暗号鍵生成手段を有し、前記情報端末装置のうちの特定の情報端末装置は、前記情報管理サーバから前記情報配信装置を経由して前記秘密情報が配信されると、該秘密情報を、前記暗号鍵生成手段によって生成した暗号鍵を用いて暗号化し、該暗号化秘密情報を記憶する暗号化・記憶手段と、任意の他の情報端末装置からの要求がある毎に、前記暗号化・記憶手段により記憶した暗号化秘密情報を、要求元の情報端末装置へ配信する配信手段とを更に有し、前記任意の他の情報端末装置は、前記配信手段により前記暗号化秘密情報が配信されると、前記暗号鍵生成手段により生成した前記暗号鍵を用いて、該配信された暗号化秘密情報を復号化することで、前記秘密情報を生成する秘密情報復号化手段を更に有する。
【0017】
第2のICカード・ネットワークシステムでは、情報配信装置は、暗号化秘密情報すら保持しないので、情報配信装置から秘密情報が漏洩することはない。
尚、本発明は、ICカード・ネットワークシステムの形態に限らず、その情報配信装置や情報端末装置として構成することもできる。
【0018】
あるいは、これら情報配信装置や情報端末装置の処理機能を、コンピュータにより実現させる為のプログラムとして構成することもできる。
【発明の効果】
【0019】
本発明のICカード・ネットワークシステム等によれば、秘密情報を管理・更新する情報管理サーバと、この情報管理サーバに代わって秘密情報を各情報端末装置に配信する複数の情報配信装置を有するICカード・ネットワークシステムにおいて、情報配信装置に対して特別なセキュリティ手段を構築することなく(多大なコストを掛けることなく)、情報配信装置からの秘密情報漏洩問題を解消できる。
【発明を実施するための最良の形態】
【0020】
以下、図面を参照して、本発明の実施の形態について説明する。
以下、まず、第1の実施例について説明する。
図1は、本例のICカード・ネットワークシステム全体の概略構成図である。本例のICカード・ネットワークシステムは、上記従来で説明した、ICカード・リーダ/ライタ装置を備え、秘密情報を用いてICカードへのアクセス処理を行う複数の端末と、秘密情報を管理する情報管理サーバと、情報管理サーバの代わりに各端末への秘密情報配信を行う複数の情報配信装置とがネットワークに接続されたシステムをベースにしている。
【0021】
図1に示すICカード・ネットワークシステムは、1台の情報管理サーバ1と、複数台の情報配信装置20と、多数の情報端末装置10より成る。情報端末装置10は、例えば店舗内の各レジ等に設置され、ICカード・リーダ/ライタ装置を備え、顧客が提示するICカードとの通信を行って、例えば電子マネーの積み立てや決済等を行う。このICカードとのアクセス処理の際に、上記従来で説明した秘密情報(秘匿鍵等)が必要となる。
尚、ICカードは、接触型、非接触型のどちらであってもよい。
【0022】
情報管理サーバ1は、上記秘密情報を記憶・管理する装置である。秘密情報は、更新(バージョンアップ等)される場合があり、情報管理サーバ1は、最新の秘密情報を記憶・管理している。
【0023】
各情報配信装置20は、従来で説明したように、情報管理サーバ1に代わって各情報端末装置10へ秘密情報を配信する為の装置である。例えば、情報管理サーバ1が保持・管理する上記秘密情報を取得して、これを例えば自己が接続しているネットワーク2に接続している各情報端末装置10へ配信する為の装置である。但し、本手法では、詳しくは後述するように、情報配信装置20が保持する秘密情報は、特定の情報端末装置10によって暗号化されたものである。
【0024】
尚、従来で述べた通り、各情報端末装置10は、定期的に情報配信装置20にアクセスする必要がある(秘密情報が更新されている場合に最新版を取得する必要があり、あるいは電源OFFにより秘密情報が消去される構成の場合には起動する毎に秘密情報を取得する必要がある)。但し、第1の実施例では、情報配信装置20から取得する秘密情報は、暗号化されているので、これを復号化する必要がある。詳しくは後述する。
【0025】
尚、情報配信装置20と情報端末装置10は、グループ分けされており、各グループ毎に1台の情報配信装置20と複数台の情報端末装置10が存在する。そして、情報配信装置20は、自己のグループ内の情報端末装置10とのみ通信を行う。グループ分けは、例えば、デパート、スーパーマーケット、ディスカウントストア等、各店舗を1グループとする。この場合は、上記ネットワーク2は、店舗内に設置されたLAN等である。また、ネットワーク3は、インターネット等である。但し、この例に限らず、グループ分けは、地域単位で行ったり、任意に(適当に)行ってもよい。また、上記ネットワーク2は、インターネットやWAN等としてもよい。但し、グループ分けせずに、情報端末装置10がそれぞれ任意の情報配信装置20にアクセスするようにしてもよい。
【0026】
尚、以下の説明における「(同一の)グループ内の情報端末装置10」とは、任意の情報配信装置20と同じネットワーク2に接続している情報端末装置10を意味するものとするが、上述したように、この様な例に限らない。
【0027】
図2は、情報端末装置10の主要機能/構成を示すブロック図である。
図2に示す通り、情報端末装置10は、リードライト部11、通信制御部12、耐タンパ制御部13、暗号処理部14、鍵生成部15、表示・操作部16、記憶部17、及び制御部18より構成される。
【0028】
制御部18は、当該情報端末装置10全体を制御する中央処理装置(CPU等)であり、例えば記憶部17に記憶されているアプリケーションプログラムを実行することで、後述する図5〜図8に示すフローチャートの処理を実現する。
【0029】
リードライト部11は、ICカード・リーダ/ライタ等であり、上記秘密情報を用いて、ICカードとの認証・データ読書き処理を実行する。
通信制御部12は、ネットワーク2に接続し、外部の装置(主に情報配信装置)との通信を行う。
【0030】
耐タンパ制御部13は、不正検出及び耐タンパ制御(例えば、開封検知し、重要情報を消去する等)を行う。
鍵生成部15は暗号鍵を生成する。暗号処理部14は、鍵生成部15が生成した暗号鍵
を用いて、上記秘密情報を、暗号化又は復号化する。すなわち、暗号鍵を用いて秘密情報を暗号化して暗号化秘密情報を生成し、あるいは暗号鍵を用いて暗号化秘密情報を復号化して秘密情報を復元する。尚、ここでは、秘密鍵暗号方式(共通鍵暗号方式)を用いるものとする。よって、暗号化も復号化も、同じ鍵を用いる。
【0031】
ここで、少なくとも同一グループに属する全ての(あるいはグループに関係なく全ての)情報端末装置10の鍵生成部15は、同一の暗号鍵生成アルゴリズム(例えば、予め決められたハッシュ関数等の生成ロジック)を有している。従って、このロジックが用いるシード(種;生成種)が同じであれば、当該全ての情報端末装置10の鍵生成部15で、同じ暗号鍵を生成できる。シード(種)としては、現在日時や特定のID等(例えば、情報配信装置20の装置ID等)等を用いてもよいが、ここでは、後述する乱数生成部23が生成する乱数を用いるものとする。
【0032】
表示・操作部16は、例えば、ディスプレイ+タッチパネル等である。
記憶部17は、上記アプリケーションプログラムや、上記暗号鍵生成アルゴリズムや、復号化した秘密情報等を記憶する。尚、電源OFFにより秘密情報を消去する構成の場合には、記憶部17は、不揮発性の記憶装置と、揮発性メモリ等から成り、例えば、上記アプリケーションプログラム等は不揮発性の記憶装置に格納され、復号化した秘密情報は揮発性メモリに格納される。
【0033】
図3は、情報配信装置20の主要機能/構成を示すブロック図である。
図3に示す例では、情報配信装置20は、通信IF制御部21、制御部22、乱数生成部23、記憶部24等より構成される。情報配信装置20には耐タンパ等のセキュリティは適用されていない。
【0034】
制御部22は、当該情報配信装置20全体を制御する中央処理装置(CPU等)であり、記憶部24に記憶される所定のアプリケーションプログラムを実行することで、後述するフローチャートの処理を実現する。
【0035】
乱数生成部23は、任意の乱数を生成する。
記憶部24には、上記アプリケーションプログラムが格納されると共に、上記暗号化秘密情報が格納される。また、秘密情報のバージョン情報も格納される。尚、記憶部24は、不揮発性の記憶装置である。
【0036】
通信IF(インタフェース)制御部21は、ネットワーク2,3に接続し、情報管理装置1や各情報端末装置10と通信を行う。
図4に、上記図1のシステムにおける秘密情報の暗号化/復号化の概略的な流れを示す。尚、ここでは、上記複数のグループのうち任意の1グループに関する処理の流れを示すが、他のグループに関しても同様の処理が行われる。
【0037】
図4において、まず、任意に決められる又は予め決められている、特定の情報端末装置10に対して、情報管理サーバ1で保持・管理している秘密情報Sn(現バージョン)が、情報配信装置20を介して配信されると(その際、情報配信装置20は、乱数生成部23が生成した乱数を付加して配信すると共に、この乱数を記憶する。尚、情報配信装置20には秘密情報Snは記憶されない)、この情報端末装置10は、配信された乱数を生成種として上記のように暗号鍵Ksを生成して、この暗号鍵Ksを用いて、配信された秘密情報Snを暗号化して暗号化秘密情報Sn’を生成する。そして、この暗号化秘密情報Sn’を情報配信装置20に返信する。尚、この情報端末装置10は、返信後、生成した暗号化秘密情報Sn’を、消去する。また、配信された秘密情報Snは、そのまま用いてもよいし、一旦消去して、後述する図6の処理で取得するようにしてもよい。
【0038】
その後、任意のときに(例えば、各情報端末装置10の起動時に)、各情報端末装置10は各々、情報配信装置20に対して秘密情報要求(鍵要求)を送信する。この要求を受けた情報配信装置20は、要求元の情報端末装置10に対して、上記記憶してある暗号化秘密情報Sn’を配信する。その際、上記記憶してある乱数(シード)も付加して配信する。尚、各情報端末装置10が配信された乱数を記憶することで、乱数の配信は秘密情報が更新されたときに1度だけ行うようにしてもよいし、上記鍵要求が行われる毎に配信してもよい。
【0039】
暗号化秘密情報Sn’が配信された各情報端末装置10は、それぞれ、上述してある通り上記付加されている乱数を用いて上記暗号鍵Ksを生成できるので、この暗号鍵Ksを用いて暗号化秘密情報Sn’を復号化することで、秘密情報Snを取得することができる。
【0040】
尚、シード(生成種)となる情報は、情報配信装置20が配信する例に限らず、予め各情報端末装置10に記憶させてもよい(但し、当然、少なくとも同一グループ内では同一のシードを記憶しておく)。
【0041】
上記の通り、情報配信装置20には、暗号化秘密情報Sn’等が記憶されるだけなので、情報配信装置20が攻撃を受けた場合でも、暗号化秘密情報Sn’等が漏洩するだけであり、これにより秘密情報Snが解読される可能性は極めて低いものとなる。尚、上記の通り、本発明の課題は、情報配信装置20からの情報漏洩に対応するものである。
【0042】
尚、上記「情報配信装置20−情報管理サーバ1間」や「情報配信装置20−各情報端末装置10間」の通信処理では、暗号化や認証などを行い通信路の安全性を高めるが、これ自体は既存技術であり、本手法の特徴とは直接関係しないし、説明も省略する。
【0043】
図5、図6に、図4で説明した処理に関する処理フローチャート図を示す。
図5は、各情報配信装置20が保持・管理する暗号化秘密情報の更新に係る処理を示すフローチャート図である。
【0044】
図5において、各情報配信装置20は、定期的に、情報管理サーバ1に対して秘密情報要求を送信する(ステップS11)。この要求を受信した情報管理サーバ1は、現在自己が保持・管理している秘密情報Snを、そのバージョン情報(n等)と共に、要求元の情報配信装置20へ返信する(ステップS1)。尚、この秘密情報要求処理を行うタイミングは、予め設定しておく。
【0045】
上記ステップS1の返信を受信した情報配信装置20は、今回配信された秘密情報Snのバージョン番号を、記憶部24に記憶してあるバージョン番号と比較して、一致するならば、秘密情報の更新は無いものと判定し(ステップS12,NO)、今回配信された秘密情報Snのバージョン番号を記憶部24に上書き記憶して、処理を終了する。
【0046】
一方、今回配信された秘密情報Snのバージョン番号が、記憶してあるバージョン番号と不一致の場合には、今回配信された秘密情報は更新版(最新バージョン)であると判定し(ステップS12,YES)、自己と同一グループ内の特定の情報端末装置10に対して、秘密情報処理要求を送信する(ステップS13)。この要求には、今回配信された秘密情報Snと、上記乱数(生成種)が付加される。更に、今回配信された秘密情報Snのバージョン番号を記憶部24に上書き記憶する。
【0047】
上記秘密情報処理要求を受信した情報端末装置10は、上述したように情報配信装置2
0から配信された乱数を生成種にして暗号化鍵Ksを生成する(ステップS21)。そして、この暗号化鍵Ksにて、上記秘密情報処理要求に付加されている秘密情報Snを暗号化して暗号化秘密情報Ks(Sn)を生成し(ステップS22)、この暗号化秘密情報Ks(Sn)を、情報配信装置20へ返信する(ステップS23)。
【0048】
これを受信した情報配信装置20は、受信した暗号化秘密情報Ks(Sn)を記憶部24に記憶する(ステップS14)。
以上で、図5の処理が完了する。
【0049】
ここで、暗号化鍵Ksの生成方法の一例を示す(既に、ある程度説明してあるが)。
情報配信装置20は、上記情報端末装置10に秘密情報処理要求を行う場合、内部の乱数生成部23で生成した乱数値Rnを、秘密情報Snと共に送信する。これを受信した情報端末装置10では、この乱数値Rnをベースとして、例えば、予め設定されているハッシュ関数H(・)から、暗号化鍵Ks=H(Rn)を導出する。情報配信装置20では、新たな秘密情報処理要求(ステップS13)を行わない限り、この乱数値Rnを暗号化秘密情報Ks(Sn)と共に記憶部24に記憶しておく。そして、各情報端末装置10からの秘密情報要求(後述するステップS31)に対する応答の際に、暗号化秘密情報Ks(Sn)と共にこの乱数値Rnも送信する(後述するステップS41)。
【0050】
尚、上記ハッシュ関数H(・)は、予め、少なくとも同一グループ内の全ての情報端末装置10に、同じハッシュ関数Hが設定されている。従って、生成種Rnが同じであれば、全ての情報端末装置10で同一の暗号化鍵Ks=H(Rn)を生成できる。
【0051】
図6は、各情報端末装置10による秘密情報取得処理を示すフローチャート図である。この処理は、定期的に又は所定のタイミングで(例えば起動時に)行われる。
図6において、各情報端末装置10は、例えば上記所定のタイミング(例えば、電源投入時)で、情報配信装置20に対して秘密情報要求を送信する(ステップS31)
この要求を受信した情報配信装置20は、上記記憶部24に記憶してある暗号化秘密情報Ks(Sn)と乱数値Rnを、要求元の情報端末装置10へ返信する(ステップS41)。
【0052】
この返信を受信した情報端末装置10は、上記乱数値Rnを生成種にして、例えば一例としては上記の通りハッシュ関数H(・)により暗号化鍵Ks=H(Rn)を生成する(ステップS32)。そして、この暗号化鍵Ksにて、暗号化秘密情報Ks(Sn)を復号化することで秘密情報Snを取得して(ステップS33)、この秘密情報Snを記憶部17に記憶する。その後は、この秘密情報Snを用いて、ICカードとの通信処理等を行える。
【0053】
もし、秘密情報Snが更新されたものであるならば、それ以降は、最新版の秘密情報を用いてICカードとの通信処理等を行える。また、上述した、秘密情報Snを揮発性メモリに記憶する構成の場合には、ステップS33で復号化した秘密情報Snは揮発性メモリ等に記憶されるので、当然、電源OFFにより秘密情報は消去される。よって、この場合、起動する毎に上記図6の処理を行わなければICカードへのアクセス処理が行えないが、電源OFF時(特に夜間)に情報端末装置10が盗まれても、その情報端末装置10には秘密情報Snは記憶されていないので、非常に安全である。
【0054】
以上、第1の実施例について説明した。
上記の通り、第1の実施例では、情報配信装置20からの情報漏洩の問題に対応して、情報配信装置20には暗号化秘密情報が格納されるようにしている。一方、以下に説明する第2の実施例では、情報配信装置20には暗号化秘密情報すら格納されないようにする。
【0055】
以下、第2の実施例について説明する。
第2の実施例においても、システム全体構成は図1と同じであり、情報端末装置10、情報配信装置20の構成も図2、図3と略同様であるので、以下、構成に関しては図1〜図3を参照するものとして説明する。そして、以下に図7、図8を参照して説明するように、各情報端末装置10、情報配信装置20の処理動作が、第1の実施例とは異なる。
【0056】
図7は、暗号化秘密情報の更新に係る処理を示すフローチャート図である。
図8は、各情報端末装置10による秘密情報取得処理を示すフローチャート図である。この処理は、定期的に又は所定のタイミングで(例えば起動時に)行われる。
【0057】
まず、以下、図7の処理について説明する。
ここで、図7の各処理ステップにおいて、図5に示す処理ステップと略同一のものには同一のステップ番号を付してあり、その説明は省略する。これより、まず、図7に示すステップS11、S1、S12の処理は、図5で説明した通りであり、ステップS12の判定がYESの場合、情報配信装置20は図5で説明したステップS13の処理により、特定の情報端末装置10に対して、秘密情報処理要求(秘密情報Snと乱数値を含む)を送信する。ここでは、情報端末装置10は10a〜10nであるものとし、情報端末装置10aが上記特定の情報端末装置10であるものとする。尚、第2の実施例においても、「情報配信装置20−情報管理サーバ1間」や「情報配信装置20−各情報端末装置10間」の通信処理では、一般的な暗号化や認証等を行い通信路の安全性を高める。
【0058】
上記秘密情報処理要求を受信した情報端末装置10aは、図5で説明したステップS21、S22の処理により、暗号鍵Ksを生成して、これにより暗号化秘密情報Ks(Sn)を生成する。その後は、図5の処理とは異なる処理を実行する。
【0059】
まず、情報端末装置10aは、生成した暗号化秘密情報Ks(Sn)を情報配信装置20に返信することなく、自己の記憶部17(その不揮発性の記憶装置)に、暗号化秘密情報Ks(Sn)を格納する(ステップS51)。また、暗号鍵Ks生成に用いた乱数(生成種)も記憶部17に格納してもよい(格納しなくてもよい)。そして、情報配信装置20に対して、秘密情報設定(暗号化と保存等)完了を通知する(ステップS52)。この通知には、当該情報端末装置10a(暗号化秘密情報Ks(Sn)を保持している情報端末装置10)の識別ID(ここでは、識別IDaとする)が含まれてもよい。
【0060】
この通知を受信した情報配信装置20は、まず、上記識別IDaを、暗号化秘密情報を保持している情報端末装置10の識別IDとして、記憶部24に記憶する(ステップS61)。更に、自グループ内の他の全ての情報端末装置10(情報端末装置10b〜10n)に対して、秘密情報配信先設定通知を送信する(ステップS62)。この通知には、上記識別IDa等が含まれる。更に上記乱数(生成種)も含まれていてもよい。尚、記憶部24には、自グループ内の全ての情報端末装置10の登録情報(その識別IDやアドレス等)が記憶されている。これより、識別IDaではなく、情報端末装置10aのアドレスを通知してもよい(但し、全ての情報端末装置10が予め上記登録情報を記憶している場合には、識別IDaを通知すればよい)。
【0061】
上記秘密情報配信先設定通知を受信した任意の情報端末装置10は、この通知に含まれている上記識別IDaを、上記暗号化秘密情報Ks(Sn)を保持している(そして、配信してくれる)情報端末装置10の識別IDとして、自己の記憶部17に記憶する(ステップS71)。上記乱数(生成種)も一緒に通知される場合には、この乱数も一緒に記憶する。そして、識別IDaの登録が完了した旨を情報配信装置20に返信する(秘密情報配信先設定応答を返信する)(ステップS72)。
【0062】
情報配信装置20は、上記全ての情報端末装置10b〜10nに対して、1台ずつ、上記秘密情報配信先設定通知を送信し、これに対して上記秘密情報配信先設定応答が返信されたら、次の情報端末装置10に対して上記秘密情報配信先設定通知を送信する処理を繰り返し実行する。これにより、上記全ての情報端末装置10b〜10nに上記識別IDaが記憶されたら、本処理は終了する。
【0063】
図8は、各情報端末装置10が定期的に又は所定のタイミングで(例えば起動時に)行う処理を示すフローチャート図である。
尚、図8の各処理ステップにおいて、図6に示す処理ステップと略同一のものには同一のステップ番号を付してあり、その説明は省略する。
【0064】
上記情報端末装置10a以外の各情報端末装置10b〜10nは、例えば起動時の初期処理において、上記記憶してある識別IDaにより、秘密情報配信の要求先(情報端末装置10a)を認識して、この要求先に対して、秘密情報要求を送信する(ステップS73)。
【0065】
情報端末装置10aは、この秘密情報要求を受信する毎に、上記図7の処理で自己の記憶部17(その不揮発性の記憶装置)に記憶してある暗号化秘密情報Ks(Sn)を読み出して、これらを要求元の情報端末装置10へ返信する(ステップS63)。尚、上記の通り、乱数(種)も記憶してある場合にはこの乱数も含めて返信する。
【0066】
上記返信を受信した要求元の情報端末装置10は、上記図6で説明したステップS32、S33と同様の処理を実行する。尚、これら処理で使用する乱数(種)は、上記の通りステップS63の返信に含まれていてもよいし、上記の通りステップS62で予め配信されて記憶してあるものであってもよい。
【0067】
以上説明したように、第2の実施例では、情報配信装置20では秘密情報は(暗号化されたものも含め)記憶しないので、情報配信装置20から秘密情報が漏洩することはあり得ない。
【0068】
上述したように、第1、第2の実施例のシステムによれば、情報配信装置20に耐タンパ機能やセキュリティルーム等のコストの掛かる安全対策を施すことなく、秘密情報の安全な保管を行うことができる。また、情報配信装置20と情報管理サーバ1間、及び、情報配信装置20と各情報端末装置10間における通信トラフィック低減を実現できる。
【図面の簡単な説明】
【0069】
【図1】本例のICカード・ネットワークシステム全体の概略構成図である。
【図2】情報端末装置の主要機能/構成を示すブロック図である。
【図3】情報配信装置の主要機能/構成を示すブロック図である。
【図4】秘密情報の暗号化/復号化の概略的な流れを示す図である。
【図5】第1の実施例における、各情報配信装置が保持・管理する暗号化秘密情報の更新に係る処理を示すフローチャート図である。
【図6】第1の実施例における、各情報端末装置による秘密情報取得処理を示すフローチャート図である。
【図7】第2の実施例における、各情報配信装置が保持・管理する暗号化秘密情報の更新に係る処理を示すフローチャート図である。
【図8】第2の実施例における、各情報端末装置による秘密情報取得処理を示すフローチャート図である。
【符号の説明】
【0070】
1 情報管理サーバ
2 ネットワーク
3 ネットワーク
10 情報端末装置
11 リードライト部
12 通信制御部
13 耐タンパ制御部
14 暗号処理部
15 鍵生成部
16 表示・操作部
17 記憶部
18 制御部
20 情報配信装置
21 通信IF制御部
22 制御部
23 乱数生成部
24 記憶部
【特許請求の範囲】
【請求項1】
秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムであって、
前記複数の情報端末装置は、暗号鍵を生成する暗号鍵生成手段を有し、
前記情報端末装置のうちの特定の情報端末装置は、前記情報管理サーバから前記情報配信装置を経由して前記秘密情報が配信されると、該秘密情報を、前記暗号鍵生成手段によって生成した暗号鍵を用いて暗号化し、該暗号化秘密情報を前記情報配信装置へ送信する暗号化・送信手段を更に有し、
前記情報配信装置は、
前記暗号化・送信手段より送信された暗号化秘密情報を記憶する秘密情報記憶手段と、
任意の前記情報端末装置からの要求がある毎に、該記憶している暗号化秘密情報を、該要求元の情報端末装置へ配信する配信手段とを有し、
前記任意の情報端末装置は、前記配信手段により前記暗号化秘密情報が配信されると、前記暗号鍵生成手段により生成した前記暗号鍵を用いて、該配信された暗号化秘密情報を復号化することで、前記秘密情報を生成する秘密情報復号化手段を更に有することを特徴とするICカード・ネットワークシステム。
【請求項2】
秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムであって、
前記複数の情報端末装置は、暗号鍵を生成する暗号鍵生成手段を有し、
前記情報端末装置のうちの特定の情報端末装置は、前記情報管理サーバから前記情報配信装置を経由して前記秘密情報が配信されると、該秘密情報を、前記暗号鍵生成手段によって生成した暗号鍵を用いて暗号化し、該暗号化秘密情報を記憶する暗号化・記憶手段と、
任意の他の情報端末装置からの要求がある毎に、前記暗号化・記憶手段により記憶した暗号化秘密情報を、要求元の情報端末装置へ配信する配信手段とを更に有し、
前記任意の他の情報端末装置は、前記配信手段により前記暗号化秘密情報が配信されると、前記暗号鍵生成手段により生成した前記暗号鍵を用いて、該配信された暗号化秘密情報を復号化することで、前記秘密情報を生成する秘密情報復号化手段を更に有することを特徴とするICカード・ネットワークシステム。
【請求項3】
前記各情報端末装置の各暗号鍵生成手段は、全て、同一の特定情報を生成種にして前記暗号鍵を生成することで、同一の暗号鍵を生成することを特徴とする請求項1又は2記載のICカード・ネットワークシステム。
【請求項4】
前記特定情報は、日時、又は固有番号、あるいは乱数生成値であることを特徴とする請求項3記載のICカード・ネットワークシステム。
【請求項5】
前記特定情報は、前記情報配信装置が生成して各情報端末装置に配信することを特徴とする請求項3又は4記載のICカード・ネットワークシステム。
【請求項6】
秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムであって、
前記複数の情報端末装置は、暗号鍵を生成する暗号鍵生成手段を有し、
前記情報端末装置のうちの特定の情報端末装置は、前記情報管理サーバから前記情報配信装置を経由して前記秘密情報および前記情報配信装置の特定情報が配信されると、前記
秘密情報を、前記特定情報に基づき前記暗号鍵生成手段によって生成した暗号鍵を用いて暗号化し、該暗号化秘密情報を前記情報配信装置へ送信する暗号化・送信手段を更に有し、
前記情報配信装置は、
前記暗号化・送信手段より送信された暗号化秘密情報を記憶する秘密情報記憶手段と、
任意の前記情報端末装置からの要求がある毎に、該記憶している暗号化秘密情報および該情報配信装置の特定情報を、該要求元の情報端末装置へ配信する配信手段とを有し、
前記任意の情報端末装置は、前記配信手段により前記暗号化秘密情報および前記特定情報が配信されると、前記特定情報に基づき前記暗号鍵生成手段により生成した前記暗号鍵を用いて、前記配信された暗号化秘密情報を復号化することで、前記秘密情報を生成する秘密情報復号化手段を更に有することを特徴とするICカード・ネットワークシステム。
【請求項7】
秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムであって、
前記複数の情報端末装置は、暗号鍵を生成する暗号鍵生成手段を有し、
前記情報端末装置のうちの特定の情報端末装置は、前記情報管理サーバから前記情報配信装置を経由して前記秘密情報および前記情報配信装置の特定情報が配信されると、該秘密情報を、前記特定情報に基づき前記暗号鍵生成手段によって生成した暗号鍵を用いて暗号化し、該暗号化秘密情報を記憶する暗号化・記憶手段と、
前記暗号化秘密情報を配信可能であることを、前記情報配信装置を経由して、該情報配信装置の特定情報を付加して任意の他の情報端末装置に通知する秘密情報配信先設定通知手段と、
任意の他の情報端末装置からの要求がある毎に、前記暗号化・記憶手段により記憶した暗号化秘密情報を、要求元の情報端末装置へ配信する配信手段とを更に有し、
前記任意の他の情報端末装置は、前記配信手段により前記暗号化秘密情報が配信されると、前記特定情報に基づき前記暗号鍵生成手段により生成した前記暗号鍵を用いて、該配信された暗号化秘密情報を復号化することで、前記秘密情報を生成する秘密情報復号化手段を更に有することを特徴とするICカード・ネットワークシステム。
【請求項8】
秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムであって、
前記複数の情報端末装置は、暗号鍵を生成する暗号鍵生成手段を有し、
前記情報端末装置のうちの特定の情報端末装置は、前記情報管理サーバから前記情報配信装置を経由して前記秘密情報および前記情報配信装置の特定情報が配信されると、該秘密情報を、前記特定情報に基づき前記暗号鍵生成手段によって生成した暗号鍵を用いて暗号化し、該暗号化秘密情報および前記特定情報を記憶する暗号化・記憶手段と、
前記暗号化秘密情報を配信可能であることを、任意の他の情報端末装置に通知する秘密情報配信先設定通知手段と、
任意の他の情報端末装置からの要求がある毎に、前記暗号化・記憶手段により記憶した暗号化秘密情報および特定情報を、要求元の情報端末装置へ配信する配信手段とを更に有し、
前記任意の他の情報端末装置は、前記配信手段により前記暗号化秘密情報および前記特定情報が配信されると、前記特定情報に基づき前記暗号鍵生成手段により生成した前記暗号鍵を用いて、該配信された暗号化秘密情報を復号化することで、前記秘密情報を生成する秘密情報復号化手段を更に有することを特徴とするICカード・ネットワークシステム。
【請求項9】
前記特定情報は、日時、又は固有番号、あるいは乱数生成値であることを特徴とする請
求項6〜8のいずれか1つに記載のICカード・ネットワークシステム。
【請求項10】
前記情報配信装置は、前記情報管理サーバから該情報管理サーバが現在管理する秘密情報を取得して、該秘密情報が更新版であるか否かを判定し、更新版である場合に前記特定の情報端末装置に対する前記秘密情報の配信を行うことを特徴とする請求項1・2・6〜8のいずれか1つに記載のICカード・ネットワークシステム。
【請求項11】
秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムにおける前記情報配信装置であって、
前記情報管理サーバから新たな秘密情報を取得する毎に、該取得した秘密情報を前記情報端末装置のうちの特定の情報端末装置に転送して暗号化を要求し、該要求に対して該特定の情報端末装置から返信される暗号化秘密情報を記憶する秘密情報暗号化・記憶手段と、
任意の前記情報端末装置からの要求がある毎に、該記憶している暗号化秘密情報を、該要求元の情報端末装置へ配信する配信手段と、
を有することを特徴とする情報配信装置。
【請求項12】
秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムにおける特定の前記情報端末装置であって、
暗号鍵を生成する暗号鍵生成手段と、
前記情報管理サーバから前記情報配信装置を経由して前記秘密情報が配信されると、該秘密情報を、前記暗号鍵生成手段によって生成した暗号鍵を用いて暗号化し、該暗号化秘密情報を記憶する暗号化・記憶手段と、
任意の他の情報端末装置からの要求がある毎に、前記暗号化・記憶手段により記憶した暗号化秘密情報を、要求元の情報端末装置へ配信する配信手段と、
を有することを特徴とする情報端末装置。
【請求項13】
秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムにおける前記情報配信装置のコンピュータに、
前記情報管理サーバから新たな秘密情報を取得する毎に、該取得した秘密情報を前記情報端末装置のうちの特定の情報端末装置に転送して暗号化を要求し、該要求に対して該特定の情報端末装置から返信される暗号化秘密情報を記憶する機能と、
任意の前記情報端末装置からの要求がある毎に、該記憶している暗号化秘密情報を、該要求元の情報端末装置へ配信する機能と、
を実現させる為のプログラム。
【請求項14】
秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムにおける特定の前記情報端末装置のコンピュータに、
暗号鍵を生成する暗号鍵生成機能と、
前記情報管理サーバから前記情報配信装置を経由して前記秘密情報が配信されると、該秘密情報を、前記暗号鍵生成機能によって生成した暗号鍵を用いて暗号化し、該暗号化秘密情報を記憶する暗号化・記憶機能と、
任意の他の情報端末装置からの要求がある毎に、前記暗号化・記憶機能により記憶した暗号化秘密情報を、要求元の情報端末装置へ配信する配信機能と、
を実現させる為のプログラム。
【請求項1】
秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムであって、
前記複数の情報端末装置は、暗号鍵を生成する暗号鍵生成手段を有し、
前記情報端末装置のうちの特定の情報端末装置は、前記情報管理サーバから前記情報配信装置を経由して前記秘密情報が配信されると、該秘密情報を、前記暗号鍵生成手段によって生成した暗号鍵を用いて暗号化し、該暗号化秘密情報を前記情報配信装置へ送信する暗号化・送信手段を更に有し、
前記情報配信装置は、
前記暗号化・送信手段より送信された暗号化秘密情報を記憶する秘密情報記憶手段と、
任意の前記情報端末装置からの要求がある毎に、該記憶している暗号化秘密情報を、該要求元の情報端末装置へ配信する配信手段とを有し、
前記任意の情報端末装置は、前記配信手段により前記暗号化秘密情報が配信されると、前記暗号鍵生成手段により生成した前記暗号鍵を用いて、該配信された暗号化秘密情報を復号化することで、前記秘密情報を生成する秘密情報復号化手段を更に有することを特徴とするICカード・ネットワークシステム。
【請求項2】
秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムであって、
前記複数の情報端末装置は、暗号鍵を生成する暗号鍵生成手段を有し、
前記情報端末装置のうちの特定の情報端末装置は、前記情報管理サーバから前記情報配信装置を経由して前記秘密情報が配信されると、該秘密情報を、前記暗号鍵生成手段によって生成した暗号鍵を用いて暗号化し、該暗号化秘密情報を記憶する暗号化・記憶手段と、
任意の他の情報端末装置からの要求がある毎に、前記暗号化・記憶手段により記憶した暗号化秘密情報を、要求元の情報端末装置へ配信する配信手段とを更に有し、
前記任意の他の情報端末装置は、前記配信手段により前記暗号化秘密情報が配信されると、前記暗号鍵生成手段により生成した前記暗号鍵を用いて、該配信された暗号化秘密情報を復号化することで、前記秘密情報を生成する秘密情報復号化手段を更に有することを特徴とするICカード・ネットワークシステム。
【請求項3】
前記各情報端末装置の各暗号鍵生成手段は、全て、同一の特定情報を生成種にして前記暗号鍵を生成することで、同一の暗号鍵を生成することを特徴とする請求項1又は2記載のICカード・ネットワークシステム。
【請求項4】
前記特定情報は、日時、又は固有番号、あるいは乱数生成値であることを特徴とする請求項3記載のICカード・ネットワークシステム。
【請求項5】
前記特定情報は、前記情報配信装置が生成して各情報端末装置に配信することを特徴とする請求項3又は4記載のICカード・ネットワークシステム。
【請求項6】
秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムであって、
前記複数の情報端末装置は、暗号鍵を生成する暗号鍵生成手段を有し、
前記情報端末装置のうちの特定の情報端末装置は、前記情報管理サーバから前記情報配信装置を経由して前記秘密情報および前記情報配信装置の特定情報が配信されると、前記
秘密情報を、前記特定情報に基づき前記暗号鍵生成手段によって生成した暗号鍵を用いて暗号化し、該暗号化秘密情報を前記情報配信装置へ送信する暗号化・送信手段を更に有し、
前記情報配信装置は、
前記暗号化・送信手段より送信された暗号化秘密情報を記憶する秘密情報記憶手段と、
任意の前記情報端末装置からの要求がある毎に、該記憶している暗号化秘密情報および該情報配信装置の特定情報を、該要求元の情報端末装置へ配信する配信手段とを有し、
前記任意の情報端末装置は、前記配信手段により前記暗号化秘密情報および前記特定情報が配信されると、前記特定情報に基づき前記暗号鍵生成手段により生成した前記暗号鍵を用いて、前記配信された暗号化秘密情報を復号化することで、前記秘密情報を生成する秘密情報復号化手段を更に有することを特徴とするICカード・ネットワークシステム。
【請求項7】
秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムであって、
前記複数の情報端末装置は、暗号鍵を生成する暗号鍵生成手段を有し、
前記情報端末装置のうちの特定の情報端末装置は、前記情報管理サーバから前記情報配信装置を経由して前記秘密情報および前記情報配信装置の特定情報が配信されると、該秘密情報を、前記特定情報に基づき前記暗号鍵生成手段によって生成した暗号鍵を用いて暗号化し、該暗号化秘密情報を記憶する暗号化・記憶手段と、
前記暗号化秘密情報を配信可能であることを、前記情報配信装置を経由して、該情報配信装置の特定情報を付加して任意の他の情報端末装置に通知する秘密情報配信先設定通知手段と、
任意の他の情報端末装置からの要求がある毎に、前記暗号化・記憶手段により記憶した暗号化秘密情報を、要求元の情報端末装置へ配信する配信手段とを更に有し、
前記任意の他の情報端末装置は、前記配信手段により前記暗号化秘密情報が配信されると、前記特定情報に基づき前記暗号鍵生成手段により生成した前記暗号鍵を用いて、該配信された暗号化秘密情報を復号化することで、前記秘密情報を生成する秘密情報復号化手段を更に有することを特徴とするICカード・ネットワークシステム。
【請求項8】
秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムであって、
前記複数の情報端末装置は、暗号鍵を生成する暗号鍵生成手段を有し、
前記情報端末装置のうちの特定の情報端末装置は、前記情報管理サーバから前記情報配信装置を経由して前記秘密情報および前記情報配信装置の特定情報が配信されると、該秘密情報を、前記特定情報に基づき前記暗号鍵生成手段によって生成した暗号鍵を用いて暗号化し、該暗号化秘密情報および前記特定情報を記憶する暗号化・記憶手段と、
前記暗号化秘密情報を配信可能であることを、任意の他の情報端末装置に通知する秘密情報配信先設定通知手段と、
任意の他の情報端末装置からの要求がある毎に、前記暗号化・記憶手段により記憶した暗号化秘密情報および特定情報を、要求元の情報端末装置へ配信する配信手段とを更に有し、
前記任意の他の情報端末装置は、前記配信手段により前記暗号化秘密情報および前記特定情報が配信されると、前記特定情報に基づき前記暗号鍵生成手段により生成した前記暗号鍵を用いて、該配信された暗号化秘密情報を復号化することで、前記秘密情報を生成する秘密情報復号化手段を更に有することを特徴とするICカード・ネットワークシステム。
【請求項9】
前記特定情報は、日時、又は固有番号、あるいは乱数生成値であることを特徴とする請
求項6〜8のいずれか1つに記載のICカード・ネットワークシステム。
【請求項10】
前記情報配信装置は、前記情報管理サーバから該情報管理サーバが現在管理する秘密情報を取得して、該秘密情報が更新版であるか否かを判定し、更新版である場合に前記特定の情報端末装置に対する前記秘密情報の配信を行うことを特徴とする請求項1・2・6〜8のいずれか1つに記載のICカード・ネットワークシステム。
【請求項11】
秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムにおける前記情報配信装置であって、
前記情報管理サーバから新たな秘密情報を取得する毎に、該取得した秘密情報を前記情報端末装置のうちの特定の情報端末装置に転送して暗号化を要求し、該要求に対して該特定の情報端末装置から返信される暗号化秘密情報を記憶する秘密情報暗号化・記憶手段と、
任意の前記情報端末装置からの要求がある毎に、該記憶している暗号化秘密情報を、該要求元の情報端末装置へ配信する配信手段と、
を有することを特徴とする情報配信装置。
【請求項12】
秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムにおける特定の前記情報端末装置であって、
暗号鍵を生成する暗号鍵生成手段と、
前記情報管理サーバから前記情報配信装置を経由して前記秘密情報が配信されると、該秘密情報を、前記暗号鍵生成手段によって生成した暗号鍵を用いて暗号化し、該暗号化秘密情報を記憶する暗号化・記憶手段と、
任意の他の情報端末装置からの要求がある毎に、前記暗号化・記憶手段により記憶した暗号化秘密情報を、要求元の情報端末装置へ配信する配信手段と、
を有することを特徴とする情報端末装置。
【請求項13】
秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムにおける前記情報配信装置のコンピュータに、
前記情報管理サーバから新たな秘密情報を取得する毎に、該取得した秘密情報を前記情報端末装置のうちの特定の情報端末装置に転送して暗号化を要求し、該要求に対して該特定の情報端末装置から返信される暗号化秘密情報を記憶する機能と、
任意の前記情報端末装置からの要求がある毎に、該記憶している暗号化秘密情報を、該要求元の情報端末装置へ配信する機能と、
を実現させる為のプログラム。
【請求項14】
秘密情報を用いてICカードとの通信・処理を行う、耐タンパ機能を有した複数の情報端末装置と、前記秘密情報を管理する情報管理サーバと、複数の情報配信装置とから成るシステムにおける特定の前記情報端末装置のコンピュータに、
暗号鍵を生成する暗号鍵生成機能と、
前記情報管理サーバから前記情報配信装置を経由して前記秘密情報が配信されると、該秘密情報を、前記暗号鍵生成機能によって生成した暗号鍵を用いて暗号化し、該暗号化秘密情報を記憶する暗号化・記憶機能と、
任意の他の情報端末装置からの要求がある毎に、前記暗号化・記憶機能により記憶した暗号化秘密情報を、要求元の情報端末装置へ配信する配信機能と、
を実現させる為のプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2009−111775(P2009−111775A)
【公開日】平成21年5月21日(2009.5.21)
【国際特許分類】
【出願番号】特願2007−282420(P2007−282420)
【出願日】平成19年10月30日(2007.10.30)
【出願人】(000005234)富士電機ホールディングス株式会社 (3,146)
【Fターム(参考)】
【公開日】平成21年5月21日(2009.5.21)
【国際特許分類】
【出願日】平成19年10月30日(2007.10.30)
【出願人】(000005234)富士電機ホールディングス株式会社 (3,146)
【Fターム(参考)】
[ Back to top ]