ICカード決済端末
【課題】耐タンパ機能を有し、タンパ検知後の縮退運転状態で所定処理を行うICカード決済端末において、高コストであるSRAMに関するコスト削減を実現する。
【解決手段】SRAMを耐タンパ機能を有するSRAM12bのみとし、鍵情報等の秘匿情報を記憶すると共に、縮退運転時の所定処理に必要な情報(プログラム設定値等)を記憶する。SRAM12bに記憶するデータ(但し、秘匿情報は除く)はSDRAM12aにも記憶させる。タンパ検出によりSRAM12bのデータが消去された場合、SDRAM12aのデータを用いて縮退運転時の所定処理を実行する。
【解決手段】SRAMを耐タンパ機能を有するSRAM12bのみとし、鍵情報等の秘匿情報を記憶すると共に、縮退運転時の所定処理に必要な情報(プログラム設定値等)を記憶する。SRAM12bに記憶するデータ(但し、秘匿情報は除く)はSDRAM12aにも記憶させる。タンパ検出によりSRAM12bのデータが消去された場合、SDRAM12aのデータを用いて縮退運転時の所定処理を実行する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電子マネー用の決済端末を用い、投入金額分の電子マネーをICカードに入金、積み増ししたり、商品やサービス購入時の利用額分の電子マネーをICカードから差し引いたりする電子マネーシステムに関する。
【背景技術】
【0002】
非接触ICカードや非接触ICカード機能搭載の携帯電話等(以下、ICカードという)を用いた、電子マネーを使用するキャッシュレス決済システムでは、ICカードへの入金処理や利用額の差引き処理等に代表されるICカードへの各種アクセス処理を、ICカード・リーダ/ライタ装置を有するICカード用決済端末が行なっている。
【0003】
ICカード用決済端末は、ICカードとセキュアに通信を行うために、通信内容を暗号化する必要があり、そのための鍵情報等の秘匿情報を保持する必要がある。また取引結果(ICカード決済処理結果)を示す取引明細情報の保持も必要である。
【0004】
また、取引明細情報等をICカード発行・決済会社のセンター・サーバ等に通知する必要があるが、そのための接続先を示す情報等(上記サーバのIPアドレス等)の保持も必要となる。また、プログラムの動作に必要な設定値等(プログラム設定値という)も保持する必要がある。このプログラム設定値は、例えば上記取引明細の通番等があり、この情報が無いと決済端末のプログラムが正常に動作しない可能性がある。尚、上記接続先を示す情報等もプログラム設定値の一種と考えても良い。
【0005】
このように、ICカード決済端末では、秘匿しなければならない情報(鍵など)、取引毎(決済処理毎)に生成されて保持すべき情報(取引明細情報等)、予め設定する情報(接続先など)やプログラムの正常動作に必要な情報(明細の通番等)等の、情報の発生/変更/参照タイミングや頻度、秘匿性などが異なる複数の情報を保持する必要がある。
【0006】
特に、鍵情報などの秘匿性の高い情報は、情報漏洩がキャッシュレス決済システム全体の信頼性に直結するため、よりセキュアに保持する必要がある。これより、通常は、鍵等の秘匿情報は決済端末内に暗号化して保持するとともに、決済端末の筐体などが開封されるなどの不正利用があった場合に、それを検知して秘匿情報を削除する等の耐タンパ機能が求められる。
【0007】
この耐タンパ技術としては、一例として、例えば特許文献1に開示されているように、物理的な攻撃(決済端末の筐体などが開封されたこと等)を検知すると(タンパ検知すると)、上記鍵情報などの秘匿情報(特許文献1ではアクセス鍵という)を消去することで、秘匿情報の漏洩を防止することが知られている。尚、この“消去”には、例えば全データを‘1’または‘0’にすることも含まれる。
【0008】
ここで、従来では、決済端末内の記憶装置として、プログラムを動作させるための揮発性のメモリであるSDRAMと、電源が切断されても消えてはいけないデータを保存するために、不揮発性のメモリとしてSRAMとフラッシュメモリを配置する。尚、SRAM自体は揮発性のメモリであるが、電池などのバックアップ電源を接続することで不揮発性のメモリとして利用する。
【0009】
SRAMは、ランダムかつ高速なリードライト性能に優れるため、プログラム設定値などを格納する。フラッシュメモリは、アクセス性能が低く、またデータの書き込み回数に制限があるが、SRAMに比べて極めて安価で大容量化しやすいため、プログラム本体や明細情報等の、書き込みが頻繁に行われないようなデータを保持するようにする。また、SDRAMはプログラム動作中に使われる作業用メモリ(ワークメモリ)である。尚、明細情報は、一時的にSRAMに記憶された後にフラッシュメモリに書き込まれる場合もある。
【0010】
鍵情報等の秘匿情報は、前述の通り、物理的攻撃があった場合にハードウェアでそれを検知しかつ削除する必要があるため、例えば、タンパ検知時にバックアップ電源からの通電を切断する機能を有する回路に接続されたSRAM(耐タンパ機能を有するSRAMというものとする)に、秘匿情報を格納することで、タンパ検知時に秘匿情報が消去されるようにする。
【0011】
また、決済端末は、タンパ検知した場合、その後は縮退運転状態になり、所定の処理を行う必要がある。すなわち決済処理等の取引業務は停止させる必要があるが、端末内部に保持された取引情報(決済明細)をICカード発行・決済会社のセンタサーバに送信するなど、電子マネー利用者の課金に係わる情報を外部に読み出す処理等を実行する必要がある。
【0012】
このため、タンパ検知した場合に、プログラムは停止したり、異常動作をしてはならない。また、サーバのIPアドレス等が消去されてはならない。よって、上記プログラムの正常動作に必要な情報(明細の通番等)やIPアドレス等の、縮退運転時の所定処理を実行する為に必要な情報は、タンパ検知後でも残っている必要があり、タンパ検知によって消去されてはならない。
【0013】
しかし、プログラム設定値等が上記耐タンパ機能を有するSRAMに保持されていると、タンパ検出時に消去されるため、その後の端末動作に支障がある。そこで、鍵情報等の秘匿情報だけを専門に保持するための耐タンパ機能を有する小容量(64KB)SRAMと、耐タンパ機能をもたない比較的大容量(2MByte)のSRAMとの2つのメモリを物理的に配置し、使い分けている。比較的大容量(2MByte)のSRAMには、上記縮退運転時の所定処理を行う為に必要な情報(プログラム設定値等)が記憶される。
【特許文献1】特開2006−180244号公報
【発明の開示】
【発明が解決しようとする課題】
【0014】
SRAMは他のメモリに比べて容量あたりの単価が極めて高く、SRAMの容量が製品の価格に大きな影響を与える。この為、上記のような事情により2つのSRAMを配置する場合、SRAMに関するコスト増の問題が生じ、これは決済端末のコスト増に直結する。
【0015】
また、ICカードは複数種類(複数のブランドが)存在する。すなわち、複数のICカード発行・決済会社がそれぞれ自社ブランドのICカードを発行・管理している。そして、昨今、1台の決済端末で複数のブランドの電子マネーを利用できるマルチブランド決済端末に対するニーズが高まっているため、ブランドのサポート数増加に伴い、各ブランド毎のプログラム設定値等を格納する必要があり、SRAMの容量不足が問題となり、SRAMの容量を増加させなければならない。このため、決済端末のコスト増の問題が更に大きくなっている。
【0016】
本発明の課題は、耐タンパ機能を有し、タンパ検知後の縮退運転状態で所定処理を行うICカード決済端末において、高コストであるSRAMに関するコスト削減を実現し、以って決済端末のコスト削減を行えるICカード決済端末等を提供することにある。
【課題を解決するための手段】
【0017】
本発明のICカード決済端末は、耐タンパ機能を有し、タンパ検出後には縮退運転状態となって所定処理を実行するICカード決済端末において、前記耐タンパ機能によってタンパ検出された場合に記憶データが消去されるメモリであって、ICカードとの暗号通信に必要な秘匿情報と、前記所定処理実行に必要な情報を格納する第1の不揮発性メモリ(SRAM)と、揮発性メモリ(SDRAM)と、前記所定処理実行に必要な情報を更新する為に任意のデータを書き込む際に、該任意のデータを前記第1の不揮発性メモリ(SRAM)と前記揮発性メモリ(SDRAM)とに書き込むデータライト手段と、前記耐タンパ機能によるタンパ検出後の前記縮退運転状態において、前記揮発性メモリ(SDRAM)に記憶された前記所定処理実行に必要な情報を用いて前記所定処理を実行する縮退運転処理実行手段とを有する。
【0018】
上記構成のICカード決済端末では、従来ではSRAMが2つ必要であったのに対して、SRAMは1つのみである。つまり、上記耐タンパ機能をもたないSRAMは削除されている。本構成の1つのSRAMは上記耐タンパ機能をもったSRAMに相当するが、秘匿情報だけでなく、縮退運転時の所定処理実行に必要な情報(プログラム設定値等)も記憶される。よって、タンパ検知された場合には、SRAMのプログラム設定値等は秘匿情報と共に消去される。
【0019】
しかし、プログラム設定値等に関しては、SDRAMにもSRAMと同じデータを記憶させておくことで、SDRAMに記憶されたプログラム設定値等を用いて縮退運転時の所定処理を実行できる。
【0020】
上記の通り、本構成ではSRAMは1つで済むので、コスト削減効果が得られる。また、SRAMが1つであっても縮退運転時の所定処理を問題なく行える。
また、例えば、さらに第2の不揮発性メモリ(フラッシュメモリ)を備え、前記所定処理実行に必要な情報のうち動的且つ変更頻度が高い情報は前記第1の不揮発性メモリ(SRAM)に格納し、変更頻度が低い情報は前記第2の不揮発性メモリ(フラッシュメモリ)に格納し、前記縮退運転処理実行手段は、該第1の不揮発性メモリ(SRAM)及び第2の不揮発性メモリ(フラッシュメモリ)に格納された情報を用いて前記所定処理を実行する。
【0021】
上記構成とすることで、縮退運転状態における所定処理を実行する為に必要となる情報(プログラム設定値等)の全てをSRAMに格納する場合に比べて、SRAMの容量が少なくて済む。上記の通り、SRAMは他のメモリに比べて容量あたりの単価が極めて高いので、比較的容量が少なくて済むことで更なるコスト削減効果が得られる。また、フラッシュメモリはアクセス性能が低いが、フラッシュメモリには変更頻度が低い情報が格納されるので、問題なく動作できる。
【0022】
また、例えば、前記ICカード決済端末の起動時に、タンパ未発生か否かを判定し、タンパ未発生の場合には前記第1の不揮発性メモリ(SRAM)に記憶されている前記所定処理実行に必要な情報を前記揮発性メモリ(SDRAM)にコピーし、タンパ発生している場合には予め決められている仮情報を前記揮発性メモリ(SDRAM)に記憶する。
【0023】
上記の通り、SDRAMは、タンパ検出時にはデータ消去されないが端末の主電源OFFによりデータ消去されてしまう。これより、端末起動時の初期処理として、SRAMに記憶されているプログラム設定値をSDRAMにコピーする。但し、起動前にタンパ発生していた場合には、SRAMのデータは消去されているので、予め決められている仮情報をSDRAMに記憶することで、動作可能な状態とする。
【発明の効果】
【0024】
本発明のICカード決済端末等によれば、耐タンパ機能を有し、タンパ検知後の縮退運転状態で所定処理を行うICカード決済端末において、高コストである不揮発性メモリ(SRAM)に関するコスト削減を実現し、以って決済端末のコスト削減を行える。
【発明を実施するための最良の形態】
【0025】
以下、図面を参照して本発明の実施の形態について説明する。
図1に本例のICカード決済端末の構成例を示す。
図示のICカード決済端末10は、主制御部11、記憶装置12、通信制御部(対主局)13、通信制御部(対センタ)14、通信制御部(対カード)15を有する。
【0026】
通信制御部(対主局)13は主局(上位コントローラ)1との通信を行う機能部であり、通信制御部(対センタ)14はセンタサーバ2との通信を行う機能部であり、通信制御部(対カード)15はICカード3との通信を行う機能部である。これらについては特に説明しないが、主局は例えばPOS端末等であり、センタサーバ2は上述したICカード発行・決済会社のサーバ装置である。
【0027】
上述してあるように、ICカード決済端末10は、タンパ検知後の縮退運転状態において所定処理(センタサーバ2に対して取引明細情報等を通知する処理等)等を行う必要がある。つまり、決済処理は行えないまでも、最低限の動作が行えるようにする必要がある。この為、最低限の動作が行えるようにする情報、特に上記縮退運転時の所定処理等を行う為に必要な情報(プログラム設定値等)、すなわちタンパ検知された場合でも消えて欲しくない情報は、タンパ検知後でも消去/破壊されずに残っているようにする必要がある。しかし、従来ではその為に高額なSRAMを2つ配置する必要があり、コスト高となる問題があった。
【0028】
これに対して、本例のICカード決済端末10では、SRAMは1つで済み、また当該SRAMの容量が比較的少なくて済むようにすることで、コスト削減効果が得られる。詳しくは後述する。
【0029】
主制御部11は、ICカード決済端末10全体を制御する中央処理装置(CPU/MPU等)であり、上記各通信制御部13、14、15を制御して、主局(上位コントローラ)1、センタサーバ2、ICカード3との通信を行わせる。
【0030】
また、主制御部11は、後述する図2、図3(a)、(b)、図4(a)に示す各フローチャートの処理を実行する。主制御部11は、例えば後述するフラッシュメモリ12cに予め記憶されている所定のアプリケーションプログラム(プログラム本体)を、読出し・実行することにより、これら図2、図3(a)、(b)、図4(a)の各処理を実行する。
【0031】
また、特に図示しないが、従来で説明した耐タンパ技術として、例えば物理的な攻撃(決済端末の筐体などが開封されたこと等)を検知する為のスイッチ/センサ等(タンパ検知部というものとする)も設けられている。
【0032】
ここで、図示の通り、本例のICカード決済端末10における記憶装置12は、SDRAM12a、SRAM12b、フラッシュメモリ12cより成る。
SRAM12bは、上述した「耐タンパ機能を有するSRAM」である。よって、特に図示しないが、電池等のバックアップ電源が接続されていると共に、上記タンパ検知部によって開封検知等された場合に、バックアップ電源からの通電を切断することでSRAM12bに記憶されている全データを消去する機能も備えられている。尚、この“消去”には、例えば全データを‘1’または‘0’にすることも含まれる。また、尚、これらタンパ検知部やデータ消去機能にも、バックアップ電源から電源供給されており、ICカード決済端末10の主電源がOFF状態のときでも、動作可能となっている。
【0033】
上記従来で説明した通り、従来の端末では「耐タンパ機能を有し、鍵などの秘匿情報を記憶するSRAM」と「耐タンパ機能を持たない、プログラム設定値等を記憶するSRAM」の2つのSRAMが必要であった。これに対して、本例の端末では1つのSRAMだけで済むようになる。従って、SRAMに関するコスト削減効果が得られ、以って決済端末10のコスト削減効果が得られる。
【0034】
すなわち、上記記憶装置12には、上記「プログラム設定値等を格納するための、耐タンパ機能を持たないSRAM」は存在しない。SRAM12bは上記の通り耐タンパ機能を有するSRAMである。但し、従来のような鍵情報などの秘匿情報だけを専門に保持するのではなく、秘匿情報と共に上述してある「縮退運転状態における所定処理を実行する為に必要な情報」、すなわち上記プログラム設定値等の情報も保持している。
【0035】
このプログラム設定値は、既に述べたように、プログラムが正常に動作する為に必要な情報(明細の通番等)や、決済処理に係わる情報を外部に通知する為の情報(センタサーバ2のIPアドレス等)である。このプログラム設定値等の「縮退運転状態における所定処理を実行する為に必要な情報」を、全てをSRAM12bに格納する形態であってもよいが、後述するように、プログラム設定値の一部をSRAM12bに格納する形態が望ましい。
【0036】
何れにしても本例では鍵情報等の秘匿情報を記憶する、耐タンパ機能を有するSRAM12bに、プログラム設定値等も格納するので、上記タンパ検知部によって開封検知等された場合に、SRAM12bに保持されている情報は全て消去されるので、秘匿情報だけでなく、「縮退運転状態における所定処理を実行する為に必要な情報」も消去される。
【0037】
しかし、本手法では、後に図2〜図4を参照して説明する処理を行うことにより、SRAM12bに保持された情報が全て消去されても、問題なく、縮退運転状態において実行すべき処理(所定処理)を実行できる。
【0038】
また、縮退運転時のプログラム動作(所定処理)に必要な各種情報(プログラム設定値等)を、動的かつ頻繁に変更されるデータと、変更頻度が低いデータとに分別する。これは、人間が判断するが、例えば、動的かつ頻繁に変更されるデータ(動的且つ変更頻度が高いデータ)の一例としては、明細の通番等が考えられる。また、変更頻度が低いデータとしては、音量設定値、センタサーバ2のIPアドレス等が考えられる。尚、“動的”とは、例えば決済処理毎に書き換えられることを意味する。
【0039】
そして、上記縮退運転時の所定処理に必要な各種情報のうちの一部のみを、SRAM12bに格納する。すなわち、上記動的かつ頻繁に変更されるデータはSRAM12bに格納し、変更頻度が低いデータはフラッシュメモリ12cに格納する。この様にすることで、上記所定処理に必要な各種情報を全てSRAM12bに格納する場合に比べて、SRAM12bの容量が比較的少なくて済み、SRAMを2つから1つにすることと合わせて、十分なコスト削減効果が得られるようになる。
【0040】
また、動的かつ頻繁に変更されるデータは、アクセス性能が低いフラッシュメモリではなく、アクセス性能が高い(高速にデータリードライトできる)SRAMに格納するので、決済処理等の各種処理に関して処理時間が掛かる等の問題が生じることはない。一方、変更頻度が低いデータは、処理時間が掛かってもそれほど影響はないので、フラッシュメモリ12cに格納しても問題ない。
【0041】
但し、この例に限らない。上記所定処理に必要な各種情報を全てSRAM12bに格納する形態としても、SRAMが1つで済むことによるコスト削減効果は得られる。
尚、所定処理に必要な各種情報のうちの一部のみをSRAM12bに格納する形態の場合、例えば一例としては、鍵情報等の秘匿情報を記憶する記憶領域は64kB程度、上記動的かつ頻繁に変更されるデータを記憶する記憶領域は448kB程度で済むので、SRAM12bの容量は512kBで済むことになる。
【0042】
尚、フラッシュメモリ12cには、従来と同様、プログラム本体(主制御部11に実行させる上記所定のアプリケーションプログラム等)や明細情報等も格納される。尚、明細情報は、ICカードへのアクセス処理中に作成されるが、フラッシュメモリ12cに書き込むには時間が掛かる為、一旦、SRAM12bに格納し、アクセス処理終了後にフラッシュメモリ12cにコピーされる(コピー完了したらSRAM12bから削除される)。この意味で、SRAM12bに記憶される上記動的かつ頻繁に変更されるデータには、この様なSRAM12bに一時的に記憶される明細情報も含まれると考えることもできる。この様にSRAM12bに一時的に記憶される明細情報も「縮退運転時の所定処理を実行する為に必要な情報」である。
【0043】
SDRAM12aは、基本的には従来と同様に作業用メモリとして用いられるものであるが、本手法では更に、SRAM12bの格納データ(但し、秘匿情報は除く)が格納される。つまり、例えば上記動的かつ頻繁に変更されるデータも格納される。
【0044】
以下、図2以降を参照して説明する。
図2に、起動処理のフローチャート図を示す。
ICカード決済端末10は、その主電源がONされると、起動処理として図2の処理が実行される。まず、タンパ検知されているかどうかを確認する(ステップS1)。
【0045】
タンパ検知されていない場合には(ステップS1,YES)、SRAM12bに記憶されているデータのうち、秘匿情報以外の情報(上記「動的かつ頻繁に変更されるデータ」等)を、SDRAM12aにコピーする(ステップS2)。尚、SRAM12bにおいて、秘匿情報を記憶する記憶領域は予め決まっており、ステップS2の処理ではこの領域のデータにはアクセスしない。
【0046】
一方、例えば主電源OFF状態の間に筐体開封が行われてタンパ検知されていた場合、SRAM12bの全データは消去された状態となっている。これより、もしタンパ検知されている場合には(ステップS1,NO)、最低限の動作(上記縮退運転状態において実行すべき処理等;あるいは、この処理が出来ない場合でも、タンパ発生を通知する処理等の何らかの動作が可能となるように)を実行可能とする為に、予めプログラムに設定された所定値(仮の設定値)を用いてSDRAM12aの内容を構築する(ステップS3)。これは、例えば、上記明細情報の通番として予めプログラムに設定された番号をSDRAM12aに格納する。通常、明細情報の通番は、予め決められた範囲(例えば1〜9999等)の番号が用いられるものであり、この範囲内の任意の番号が予めプログラム内に記述されている。上記縮退運転状態において実行すべき処理では、例えば明細情報の通番を確認する必要があり、もし通番が記憶されていなかったり、上記範囲内の値では無い場合には、プログラムは正常な動作ができなくなってしまう。この為、上記ステップS3の処理を行っている。
【0047】
尚、ステップS3の処理が行われた場合、縮退運転状態となる。
一方、上記起動処理においてステップS2の処理が実行された場合には、その後は通常処理(決済処理等)を行う状態となり、この処理に伴って任意のデータをメモリから読み出したり書き込む処理が実行されるが、このデータ・リード/ライト処理は、本手法では、図3(a)、(b)に示す処理を行う。
【0048】
図3(a)にはデータライト処理、図3(b)にはデータリード処理のフローチャート図を示す。
図3(a)に示すように、データライト処理においては、書き込むべきデータを、SRAM12b、SDRAM12a両方に記録し、両記憶領域間の整合性を取る。すなわち、SRAM12bにデータを書き込み(ステップS11)、同じデータをSDRAM12aにも書き込む(ステップS12)。
【0049】
また、図3(b)に示すように、データリード処理においては、SDRAM12aからデータを読み出す(ステップS21)。尚、通常、SDRAM12aの方がSRAM12bよりも高速にデータリードできる。
【0050】
上記の通り、フラッシュメモリ12cはアクセス性能が低い為、縮退運転状態において実行すべき処理に必要な情報を、全てフラッシュメモリ12cに格納することには問題がある。すなわち、上記「動的かつ頻繁に変更されるデータ」はフラッシュメモリ12cに格納することには問題がある。また、このデータをSDRAM12aのみに格納する場合、SDRAM12aは揮発性メモリであるので、例えば停電等で主電源がOFFした場合、データが消去されてしまう。一方、このデータをSRAM12bのみに格納することにした場合、タンパ検知した時にデータが消去されてしまう。
【0051】
これより、本手法では、例えば上記「動的かつ頻繁に変更されるデータ」を、常に、SDRAM12aとSRAM12bの両方に記憶するようにしている。これより、タンパ検知したときには、その後の縮退運転状態において実行すべき上記所定処理を、SDRAM12aに記憶されているデータを用いて実行することができる(勿論、フラッシュメモリ12cに記憶されているデータも用いる)。
【0052】
また、SDRAM12aに格納されたデータは、主電源OFFにより消去されるが(これは、停電時に限らず、運用休止期間の場合もある)、上記図2の処理により、SRAM12bのデータがコピーされ、SDRAM12a、SRAM12b両方に同じデータが記憶された状態で運用開始できる。
【0053】
タンパ検知した場合は、SRAM12bの内容が物理的に破壊され、SRAM12bからデータをリードしても不定な値しか読むことが出来ない。しかし、タンパ発生時でもSRAM12bと同じ内容が記憶されているSDRAM12aのデータを読み出すことで、例えば縮退運転時の所定処理等を問題なく実行することが出来る。尚、この状態でデータをSRAM12bに書き込んでも保持できないことから、端末は縮退運転(決済処理を禁止し、センタ通信や端末内部からのデータ読出しなどの一部動作のみ許された制限された状態)を行うのみであり、通常の動作(決済処理等)は行えない。
【0054】
図4(a)にタンパ検知処理のフローチャート図を示す。
この例ではタンパ検知は2種類の方法で行う。すなわち、筐体を開封したことを検知するなど、不正利用があることを検知する各種センサ状態の確認と、SRAM12bの特定領域に特定の値を予め設定しておき、その値に差異がないことの確認である。
【0055】
尚、ここでは、センサは、通常時はOFF状態であり、不正(筐体開封等)を検知した場合にはON状態になるものとする。また尚、上記特定領域の一例を図4(b)に示す。図4(b)に示す3つのチェック領域(チェック領域1,2,3;SRAM12bの上位16Byte、中位の16Byte、下位の16Byte)が、上記特定領域に相当する。そして、これら3つのチェック領域に同じ値(上記特定値に相当;例えば0x5aなどの固定データ)を予め書き込んでおく。そして、定周期で、この固定データ値が書き込まれていることを確認する。これは、例えば全特定領域のデータ同士を比較して、一致するか否かを確認する。この例に限らず、例えば当該処理プログラム中に上記固定データ値が記述されており、全特定領域のデータがこの固定データ値と一致するか否かを確認する。
【0056】
上記の例に応じて、図4(a)の処理では、上記不正(筐体開封等)検出の為のセンサがOFFであるか否かを判定し(ステップS31)、OFFである場合には(ステップS31,YES)、更に上記各特定領域のデータが上記特定値であるか否か(改竄されていないか)を判定する(ステップS32)。センサがONの場合(ステップS31,NO)または上記各特定領域のデータが上記特定値ではない場合には(ステップS32,NO)、タンパ検知したものと判定し端末を縮退運転状態に遷移させる(ステップS33)。
【0057】
ステップS33の処理が実行され、端末が縮退運転状態に遷移したならば、上記の通り、SDRAM12aのデータ等を用いて、縮退運転時の所定処理を実行することになる。
本手法によれば、高コストであるSRAMに関するコスト削減を図ることができ、決済端末におけるコスト削減効果が得られる。
【図面の簡単な説明】
【0058】
【図1】本例のICカード決済端末の構成例である。
【図2】起動処理のフローチャート図である。
【図3】(a)はデータライト処理、(b)はデータリード処理のフローチャート図、(c)はそのイメージを示す図である。
【図4】(a)はタンパ検知処理のフローチャート図、(b)はチェック領域を示す図である。
【符号の説明】
【0059】
1 主局(上位コントローラ)
2 センタサーバ
3 ICカード3
10 ICカード決済端末
11 主制御部
12 記憶装置
13 通信制御部(対主局)
14 通信制御部(対センタ)
15 通信制御部(対カード)
【技術分野】
【0001】
本発明は、電子マネー用の決済端末を用い、投入金額分の電子マネーをICカードに入金、積み増ししたり、商品やサービス購入時の利用額分の電子マネーをICカードから差し引いたりする電子マネーシステムに関する。
【背景技術】
【0002】
非接触ICカードや非接触ICカード機能搭載の携帯電話等(以下、ICカードという)を用いた、電子マネーを使用するキャッシュレス決済システムでは、ICカードへの入金処理や利用額の差引き処理等に代表されるICカードへの各種アクセス処理を、ICカード・リーダ/ライタ装置を有するICカード用決済端末が行なっている。
【0003】
ICカード用決済端末は、ICカードとセキュアに通信を行うために、通信内容を暗号化する必要があり、そのための鍵情報等の秘匿情報を保持する必要がある。また取引結果(ICカード決済処理結果)を示す取引明細情報の保持も必要である。
【0004】
また、取引明細情報等をICカード発行・決済会社のセンター・サーバ等に通知する必要があるが、そのための接続先を示す情報等(上記サーバのIPアドレス等)の保持も必要となる。また、プログラムの動作に必要な設定値等(プログラム設定値という)も保持する必要がある。このプログラム設定値は、例えば上記取引明細の通番等があり、この情報が無いと決済端末のプログラムが正常に動作しない可能性がある。尚、上記接続先を示す情報等もプログラム設定値の一種と考えても良い。
【0005】
このように、ICカード決済端末では、秘匿しなければならない情報(鍵など)、取引毎(決済処理毎)に生成されて保持すべき情報(取引明細情報等)、予め設定する情報(接続先など)やプログラムの正常動作に必要な情報(明細の通番等)等の、情報の発生/変更/参照タイミングや頻度、秘匿性などが異なる複数の情報を保持する必要がある。
【0006】
特に、鍵情報などの秘匿性の高い情報は、情報漏洩がキャッシュレス決済システム全体の信頼性に直結するため、よりセキュアに保持する必要がある。これより、通常は、鍵等の秘匿情報は決済端末内に暗号化して保持するとともに、決済端末の筐体などが開封されるなどの不正利用があった場合に、それを検知して秘匿情報を削除する等の耐タンパ機能が求められる。
【0007】
この耐タンパ技術としては、一例として、例えば特許文献1に開示されているように、物理的な攻撃(決済端末の筐体などが開封されたこと等)を検知すると(タンパ検知すると)、上記鍵情報などの秘匿情報(特許文献1ではアクセス鍵という)を消去することで、秘匿情報の漏洩を防止することが知られている。尚、この“消去”には、例えば全データを‘1’または‘0’にすることも含まれる。
【0008】
ここで、従来では、決済端末内の記憶装置として、プログラムを動作させるための揮発性のメモリであるSDRAMと、電源が切断されても消えてはいけないデータを保存するために、不揮発性のメモリとしてSRAMとフラッシュメモリを配置する。尚、SRAM自体は揮発性のメモリであるが、電池などのバックアップ電源を接続することで不揮発性のメモリとして利用する。
【0009】
SRAMは、ランダムかつ高速なリードライト性能に優れるため、プログラム設定値などを格納する。フラッシュメモリは、アクセス性能が低く、またデータの書き込み回数に制限があるが、SRAMに比べて極めて安価で大容量化しやすいため、プログラム本体や明細情報等の、書き込みが頻繁に行われないようなデータを保持するようにする。また、SDRAMはプログラム動作中に使われる作業用メモリ(ワークメモリ)である。尚、明細情報は、一時的にSRAMに記憶された後にフラッシュメモリに書き込まれる場合もある。
【0010】
鍵情報等の秘匿情報は、前述の通り、物理的攻撃があった場合にハードウェアでそれを検知しかつ削除する必要があるため、例えば、タンパ検知時にバックアップ電源からの通電を切断する機能を有する回路に接続されたSRAM(耐タンパ機能を有するSRAMというものとする)に、秘匿情報を格納することで、タンパ検知時に秘匿情報が消去されるようにする。
【0011】
また、決済端末は、タンパ検知した場合、その後は縮退運転状態になり、所定の処理を行う必要がある。すなわち決済処理等の取引業務は停止させる必要があるが、端末内部に保持された取引情報(決済明細)をICカード発行・決済会社のセンタサーバに送信するなど、電子マネー利用者の課金に係わる情報を外部に読み出す処理等を実行する必要がある。
【0012】
このため、タンパ検知した場合に、プログラムは停止したり、異常動作をしてはならない。また、サーバのIPアドレス等が消去されてはならない。よって、上記プログラムの正常動作に必要な情報(明細の通番等)やIPアドレス等の、縮退運転時の所定処理を実行する為に必要な情報は、タンパ検知後でも残っている必要があり、タンパ検知によって消去されてはならない。
【0013】
しかし、プログラム設定値等が上記耐タンパ機能を有するSRAMに保持されていると、タンパ検出時に消去されるため、その後の端末動作に支障がある。そこで、鍵情報等の秘匿情報だけを専門に保持するための耐タンパ機能を有する小容量(64KB)SRAMと、耐タンパ機能をもたない比較的大容量(2MByte)のSRAMとの2つのメモリを物理的に配置し、使い分けている。比較的大容量(2MByte)のSRAMには、上記縮退運転時の所定処理を行う為に必要な情報(プログラム設定値等)が記憶される。
【特許文献1】特開2006−180244号公報
【発明の開示】
【発明が解決しようとする課題】
【0014】
SRAMは他のメモリに比べて容量あたりの単価が極めて高く、SRAMの容量が製品の価格に大きな影響を与える。この為、上記のような事情により2つのSRAMを配置する場合、SRAMに関するコスト増の問題が生じ、これは決済端末のコスト増に直結する。
【0015】
また、ICカードは複数種類(複数のブランドが)存在する。すなわち、複数のICカード発行・決済会社がそれぞれ自社ブランドのICカードを発行・管理している。そして、昨今、1台の決済端末で複数のブランドの電子マネーを利用できるマルチブランド決済端末に対するニーズが高まっているため、ブランドのサポート数増加に伴い、各ブランド毎のプログラム設定値等を格納する必要があり、SRAMの容量不足が問題となり、SRAMの容量を増加させなければならない。このため、決済端末のコスト増の問題が更に大きくなっている。
【0016】
本発明の課題は、耐タンパ機能を有し、タンパ検知後の縮退運転状態で所定処理を行うICカード決済端末において、高コストであるSRAMに関するコスト削減を実現し、以って決済端末のコスト削減を行えるICカード決済端末等を提供することにある。
【課題を解決するための手段】
【0017】
本発明のICカード決済端末は、耐タンパ機能を有し、タンパ検出後には縮退運転状態となって所定処理を実行するICカード決済端末において、前記耐タンパ機能によってタンパ検出された場合に記憶データが消去されるメモリであって、ICカードとの暗号通信に必要な秘匿情報と、前記所定処理実行に必要な情報を格納する第1の不揮発性メモリ(SRAM)と、揮発性メモリ(SDRAM)と、前記所定処理実行に必要な情報を更新する為に任意のデータを書き込む際に、該任意のデータを前記第1の不揮発性メモリ(SRAM)と前記揮発性メモリ(SDRAM)とに書き込むデータライト手段と、前記耐タンパ機能によるタンパ検出後の前記縮退運転状態において、前記揮発性メモリ(SDRAM)に記憶された前記所定処理実行に必要な情報を用いて前記所定処理を実行する縮退運転処理実行手段とを有する。
【0018】
上記構成のICカード決済端末では、従来ではSRAMが2つ必要であったのに対して、SRAMは1つのみである。つまり、上記耐タンパ機能をもたないSRAMは削除されている。本構成の1つのSRAMは上記耐タンパ機能をもったSRAMに相当するが、秘匿情報だけでなく、縮退運転時の所定処理実行に必要な情報(プログラム設定値等)も記憶される。よって、タンパ検知された場合には、SRAMのプログラム設定値等は秘匿情報と共に消去される。
【0019】
しかし、プログラム設定値等に関しては、SDRAMにもSRAMと同じデータを記憶させておくことで、SDRAMに記憶されたプログラム設定値等を用いて縮退運転時の所定処理を実行できる。
【0020】
上記の通り、本構成ではSRAMは1つで済むので、コスト削減効果が得られる。また、SRAMが1つであっても縮退運転時の所定処理を問題なく行える。
また、例えば、さらに第2の不揮発性メモリ(フラッシュメモリ)を備え、前記所定処理実行に必要な情報のうち動的且つ変更頻度が高い情報は前記第1の不揮発性メモリ(SRAM)に格納し、変更頻度が低い情報は前記第2の不揮発性メモリ(フラッシュメモリ)に格納し、前記縮退運転処理実行手段は、該第1の不揮発性メモリ(SRAM)及び第2の不揮発性メモリ(フラッシュメモリ)に格納された情報を用いて前記所定処理を実行する。
【0021】
上記構成とすることで、縮退運転状態における所定処理を実行する為に必要となる情報(プログラム設定値等)の全てをSRAMに格納する場合に比べて、SRAMの容量が少なくて済む。上記の通り、SRAMは他のメモリに比べて容量あたりの単価が極めて高いので、比較的容量が少なくて済むことで更なるコスト削減効果が得られる。また、フラッシュメモリはアクセス性能が低いが、フラッシュメモリには変更頻度が低い情報が格納されるので、問題なく動作できる。
【0022】
また、例えば、前記ICカード決済端末の起動時に、タンパ未発生か否かを判定し、タンパ未発生の場合には前記第1の不揮発性メモリ(SRAM)に記憶されている前記所定処理実行に必要な情報を前記揮発性メモリ(SDRAM)にコピーし、タンパ発生している場合には予め決められている仮情報を前記揮発性メモリ(SDRAM)に記憶する。
【0023】
上記の通り、SDRAMは、タンパ検出時にはデータ消去されないが端末の主電源OFFによりデータ消去されてしまう。これより、端末起動時の初期処理として、SRAMに記憶されているプログラム設定値をSDRAMにコピーする。但し、起動前にタンパ発生していた場合には、SRAMのデータは消去されているので、予め決められている仮情報をSDRAMに記憶することで、動作可能な状態とする。
【発明の効果】
【0024】
本発明のICカード決済端末等によれば、耐タンパ機能を有し、タンパ検知後の縮退運転状態で所定処理を行うICカード決済端末において、高コストである不揮発性メモリ(SRAM)に関するコスト削減を実現し、以って決済端末のコスト削減を行える。
【発明を実施するための最良の形態】
【0025】
以下、図面を参照して本発明の実施の形態について説明する。
図1に本例のICカード決済端末の構成例を示す。
図示のICカード決済端末10は、主制御部11、記憶装置12、通信制御部(対主局)13、通信制御部(対センタ)14、通信制御部(対カード)15を有する。
【0026】
通信制御部(対主局)13は主局(上位コントローラ)1との通信を行う機能部であり、通信制御部(対センタ)14はセンタサーバ2との通信を行う機能部であり、通信制御部(対カード)15はICカード3との通信を行う機能部である。これらについては特に説明しないが、主局は例えばPOS端末等であり、センタサーバ2は上述したICカード発行・決済会社のサーバ装置である。
【0027】
上述してあるように、ICカード決済端末10は、タンパ検知後の縮退運転状態において所定処理(センタサーバ2に対して取引明細情報等を通知する処理等)等を行う必要がある。つまり、決済処理は行えないまでも、最低限の動作が行えるようにする必要がある。この為、最低限の動作が行えるようにする情報、特に上記縮退運転時の所定処理等を行う為に必要な情報(プログラム設定値等)、すなわちタンパ検知された場合でも消えて欲しくない情報は、タンパ検知後でも消去/破壊されずに残っているようにする必要がある。しかし、従来ではその為に高額なSRAMを2つ配置する必要があり、コスト高となる問題があった。
【0028】
これに対して、本例のICカード決済端末10では、SRAMは1つで済み、また当該SRAMの容量が比較的少なくて済むようにすることで、コスト削減効果が得られる。詳しくは後述する。
【0029】
主制御部11は、ICカード決済端末10全体を制御する中央処理装置(CPU/MPU等)であり、上記各通信制御部13、14、15を制御して、主局(上位コントローラ)1、センタサーバ2、ICカード3との通信を行わせる。
【0030】
また、主制御部11は、後述する図2、図3(a)、(b)、図4(a)に示す各フローチャートの処理を実行する。主制御部11は、例えば後述するフラッシュメモリ12cに予め記憶されている所定のアプリケーションプログラム(プログラム本体)を、読出し・実行することにより、これら図2、図3(a)、(b)、図4(a)の各処理を実行する。
【0031】
また、特に図示しないが、従来で説明した耐タンパ技術として、例えば物理的な攻撃(決済端末の筐体などが開封されたこと等)を検知する為のスイッチ/センサ等(タンパ検知部というものとする)も設けられている。
【0032】
ここで、図示の通り、本例のICカード決済端末10における記憶装置12は、SDRAM12a、SRAM12b、フラッシュメモリ12cより成る。
SRAM12bは、上述した「耐タンパ機能を有するSRAM」である。よって、特に図示しないが、電池等のバックアップ電源が接続されていると共に、上記タンパ検知部によって開封検知等された場合に、バックアップ電源からの通電を切断することでSRAM12bに記憶されている全データを消去する機能も備えられている。尚、この“消去”には、例えば全データを‘1’または‘0’にすることも含まれる。また、尚、これらタンパ検知部やデータ消去機能にも、バックアップ電源から電源供給されており、ICカード決済端末10の主電源がOFF状態のときでも、動作可能となっている。
【0033】
上記従来で説明した通り、従来の端末では「耐タンパ機能を有し、鍵などの秘匿情報を記憶するSRAM」と「耐タンパ機能を持たない、プログラム設定値等を記憶するSRAM」の2つのSRAMが必要であった。これに対して、本例の端末では1つのSRAMだけで済むようになる。従って、SRAMに関するコスト削減効果が得られ、以って決済端末10のコスト削減効果が得られる。
【0034】
すなわち、上記記憶装置12には、上記「プログラム設定値等を格納するための、耐タンパ機能を持たないSRAM」は存在しない。SRAM12bは上記の通り耐タンパ機能を有するSRAMである。但し、従来のような鍵情報などの秘匿情報だけを専門に保持するのではなく、秘匿情報と共に上述してある「縮退運転状態における所定処理を実行する為に必要な情報」、すなわち上記プログラム設定値等の情報も保持している。
【0035】
このプログラム設定値は、既に述べたように、プログラムが正常に動作する為に必要な情報(明細の通番等)や、決済処理に係わる情報を外部に通知する為の情報(センタサーバ2のIPアドレス等)である。このプログラム設定値等の「縮退運転状態における所定処理を実行する為に必要な情報」を、全てをSRAM12bに格納する形態であってもよいが、後述するように、プログラム設定値の一部をSRAM12bに格納する形態が望ましい。
【0036】
何れにしても本例では鍵情報等の秘匿情報を記憶する、耐タンパ機能を有するSRAM12bに、プログラム設定値等も格納するので、上記タンパ検知部によって開封検知等された場合に、SRAM12bに保持されている情報は全て消去されるので、秘匿情報だけでなく、「縮退運転状態における所定処理を実行する為に必要な情報」も消去される。
【0037】
しかし、本手法では、後に図2〜図4を参照して説明する処理を行うことにより、SRAM12bに保持された情報が全て消去されても、問題なく、縮退運転状態において実行すべき処理(所定処理)を実行できる。
【0038】
また、縮退運転時のプログラム動作(所定処理)に必要な各種情報(プログラム設定値等)を、動的かつ頻繁に変更されるデータと、変更頻度が低いデータとに分別する。これは、人間が判断するが、例えば、動的かつ頻繁に変更されるデータ(動的且つ変更頻度が高いデータ)の一例としては、明細の通番等が考えられる。また、変更頻度が低いデータとしては、音量設定値、センタサーバ2のIPアドレス等が考えられる。尚、“動的”とは、例えば決済処理毎に書き換えられることを意味する。
【0039】
そして、上記縮退運転時の所定処理に必要な各種情報のうちの一部のみを、SRAM12bに格納する。すなわち、上記動的かつ頻繁に変更されるデータはSRAM12bに格納し、変更頻度が低いデータはフラッシュメモリ12cに格納する。この様にすることで、上記所定処理に必要な各種情報を全てSRAM12bに格納する場合に比べて、SRAM12bの容量が比較的少なくて済み、SRAMを2つから1つにすることと合わせて、十分なコスト削減効果が得られるようになる。
【0040】
また、動的かつ頻繁に変更されるデータは、アクセス性能が低いフラッシュメモリではなく、アクセス性能が高い(高速にデータリードライトできる)SRAMに格納するので、決済処理等の各種処理に関して処理時間が掛かる等の問題が生じることはない。一方、変更頻度が低いデータは、処理時間が掛かってもそれほど影響はないので、フラッシュメモリ12cに格納しても問題ない。
【0041】
但し、この例に限らない。上記所定処理に必要な各種情報を全てSRAM12bに格納する形態としても、SRAMが1つで済むことによるコスト削減効果は得られる。
尚、所定処理に必要な各種情報のうちの一部のみをSRAM12bに格納する形態の場合、例えば一例としては、鍵情報等の秘匿情報を記憶する記憶領域は64kB程度、上記動的かつ頻繁に変更されるデータを記憶する記憶領域は448kB程度で済むので、SRAM12bの容量は512kBで済むことになる。
【0042】
尚、フラッシュメモリ12cには、従来と同様、プログラム本体(主制御部11に実行させる上記所定のアプリケーションプログラム等)や明細情報等も格納される。尚、明細情報は、ICカードへのアクセス処理中に作成されるが、フラッシュメモリ12cに書き込むには時間が掛かる為、一旦、SRAM12bに格納し、アクセス処理終了後にフラッシュメモリ12cにコピーされる(コピー完了したらSRAM12bから削除される)。この意味で、SRAM12bに記憶される上記動的かつ頻繁に変更されるデータには、この様なSRAM12bに一時的に記憶される明細情報も含まれると考えることもできる。この様にSRAM12bに一時的に記憶される明細情報も「縮退運転時の所定処理を実行する為に必要な情報」である。
【0043】
SDRAM12aは、基本的には従来と同様に作業用メモリとして用いられるものであるが、本手法では更に、SRAM12bの格納データ(但し、秘匿情報は除く)が格納される。つまり、例えば上記動的かつ頻繁に変更されるデータも格納される。
【0044】
以下、図2以降を参照して説明する。
図2に、起動処理のフローチャート図を示す。
ICカード決済端末10は、その主電源がONされると、起動処理として図2の処理が実行される。まず、タンパ検知されているかどうかを確認する(ステップS1)。
【0045】
タンパ検知されていない場合には(ステップS1,YES)、SRAM12bに記憶されているデータのうち、秘匿情報以外の情報(上記「動的かつ頻繁に変更されるデータ」等)を、SDRAM12aにコピーする(ステップS2)。尚、SRAM12bにおいて、秘匿情報を記憶する記憶領域は予め決まっており、ステップS2の処理ではこの領域のデータにはアクセスしない。
【0046】
一方、例えば主電源OFF状態の間に筐体開封が行われてタンパ検知されていた場合、SRAM12bの全データは消去された状態となっている。これより、もしタンパ検知されている場合には(ステップS1,NO)、最低限の動作(上記縮退運転状態において実行すべき処理等;あるいは、この処理が出来ない場合でも、タンパ発生を通知する処理等の何らかの動作が可能となるように)を実行可能とする為に、予めプログラムに設定された所定値(仮の設定値)を用いてSDRAM12aの内容を構築する(ステップS3)。これは、例えば、上記明細情報の通番として予めプログラムに設定された番号をSDRAM12aに格納する。通常、明細情報の通番は、予め決められた範囲(例えば1〜9999等)の番号が用いられるものであり、この範囲内の任意の番号が予めプログラム内に記述されている。上記縮退運転状態において実行すべき処理では、例えば明細情報の通番を確認する必要があり、もし通番が記憶されていなかったり、上記範囲内の値では無い場合には、プログラムは正常な動作ができなくなってしまう。この為、上記ステップS3の処理を行っている。
【0047】
尚、ステップS3の処理が行われた場合、縮退運転状態となる。
一方、上記起動処理においてステップS2の処理が実行された場合には、その後は通常処理(決済処理等)を行う状態となり、この処理に伴って任意のデータをメモリから読み出したり書き込む処理が実行されるが、このデータ・リード/ライト処理は、本手法では、図3(a)、(b)に示す処理を行う。
【0048】
図3(a)にはデータライト処理、図3(b)にはデータリード処理のフローチャート図を示す。
図3(a)に示すように、データライト処理においては、書き込むべきデータを、SRAM12b、SDRAM12a両方に記録し、両記憶領域間の整合性を取る。すなわち、SRAM12bにデータを書き込み(ステップS11)、同じデータをSDRAM12aにも書き込む(ステップS12)。
【0049】
また、図3(b)に示すように、データリード処理においては、SDRAM12aからデータを読み出す(ステップS21)。尚、通常、SDRAM12aの方がSRAM12bよりも高速にデータリードできる。
【0050】
上記の通り、フラッシュメモリ12cはアクセス性能が低い為、縮退運転状態において実行すべき処理に必要な情報を、全てフラッシュメモリ12cに格納することには問題がある。すなわち、上記「動的かつ頻繁に変更されるデータ」はフラッシュメモリ12cに格納することには問題がある。また、このデータをSDRAM12aのみに格納する場合、SDRAM12aは揮発性メモリであるので、例えば停電等で主電源がOFFした場合、データが消去されてしまう。一方、このデータをSRAM12bのみに格納することにした場合、タンパ検知した時にデータが消去されてしまう。
【0051】
これより、本手法では、例えば上記「動的かつ頻繁に変更されるデータ」を、常に、SDRAM12aとSRAM12bの両方に記憶するようにしている。これより、タンパ検知したときには、その後の縮退運転状態において実行すべき上記所定処理を、SDRAM12aに記憶されているデータを用いて実行することができる(勿論、フラッシュメモリ12cに記憶されているデータも用いる)。
【0052】
また、SDRAM12aに格納されたデータは、主電源OFFにより消去されるが(これは、停電時に限らず、運用休止期間の場合もある)、上記図2の処理により、SRAM12bのデータがコピーされ、SDRAM12a、SRAM12b両方に同じデータが記憶された状態で運用開始できる。
【0053】
タンパ検知した場合は、SRAM12bの内容が物理的に破壊され、SRAM12bからデータをリードしても不定な値しか読むことが出来ない。しかし、タンパ発生時でもSRAM12bと同じ内容が記憶されているSDRAM12aのデータを読み出すことで、例えば縮退運転時の所定処理等を問題なく実行することが出来る。尚、この状態でデータをSRAM12bに書き込んでも保持できないことから、端末は縮退運転(決済処理を禁止し、センタ通信や端末内部からのデータ読出しなどの一部動作のみ許された制限された状態)を行うのみであり、通常の動作(決済処理等)は行えない。
【0054】
図4(a)にタンパ検知処理のフローチャート図を示す。
この例ではタンパ検知は2種類の方法で行う。すなわち、筐体を開封したことを検知するなど、不正利用があることを検知する各種センサ状態の確認と、SRAM12bの特定領域に特定の値を予め設定しておき、その値に差異がないことの確認である。
【0055】
尚、ここでは、センサは、通常時はOFF状態であり、不正(筐体開封等)を検知した場合にはON状態になるものとする。また尚、上記特定領域の一例を図4(b)に示す。図4(b)に示す3つのチェック領域(チェック領域1,2,3;SRAM12bの上位16Byte、中位の16Byte、下位の16Byte)が、上記特定領域に相当する。そして、これら3つのチェック領域に同じ値(上記特定値に相当;例えば0x5aなどの固定データ)を予め書き込んでおく。そして、定周期で、この固定データ値が書き込まれていることを確認する。これは、例えば全特定領域のデータ同士を比較して、一致するか否かを確認する。この例に限らず、例えば当該処理プログラム中に上記固定データ値が記述されており、全特定領域のデータがこの固定データ値と一致するか否かを確認する。
【0056】
上記の例に応じて、図4(a)の処理では、上記不正(筐体開封等)検出の為のセンサがOFFであるか否かを判定し(ステップS31)、OFFである場合には(ステップS31,YES)、更に上記各特定領域のデータが上記特定値であるか否か(改竄されていないか)を判定する(ステップS32)。センサがONの場合(ステップS31,NO)または上記各特定領域のデータが上記特定値ではない場合には(ステップS32,NO)、タンパ検知したものと判定し端末を縮退運転状態に遷移させる(ステップS33)。
【0057】
ステップS33の処理が実行され、端末が縮退運転状態に遷移したならば、上記の通り、SDRAM12aのデータ等を用いて、縮退運転時の所定処理を実行することになる。
本手法によれば、高コストであるSRAMに関するコスト削減を図ることができ、決済端末におけるコスト削減効果が得られる。
【図面の簡単な説明】
【0058】
【図1】本例のICカード決済端末の構成例である。
【図2】起動処理のフローチャート図である。
【図3】(a)はデータライト処理、(b)はデータリード処理のフローチャート図、(c)はそのイメージを示す図である。
【図4】(a)はタンパ検知処理のフローチャート図、(b)はチェック領域を示す図である。
【符号の説明】
【0059】
1 主局(上位コントローラ)
2 センタサーバ
3 ICカード3
10 ICカード決済端末
11 主制御部
12 記憶装置
13 通信制御部(対主局)
14 通信制御部(対センタ)
15 通信制御部(対カード)
【特許請求の範囲】
【請求項1】
耐タンパ機能を有し、タンパ検出後には縮退運転状態となって所定処理を実行するICカード決済端末において、
前記耐タンパ機能によってタンパ検出された場合に記憶データが消去されるメモリであって、ICカードとの暗号通信に必要な秘匿情報と、前記所定処理実行に必要な情報を格納する第1の不揮発性メモリと、
揮発性メモリと、
前記所定処理実行に必要な情報を更新する為に任意のデータを書き込む際に、該任意のデータを前記第1の不揮発性メモリと前記揮発性メモリとに書き込むデータライト手段と、
前記耐タンパ機能によるタンパ検出後の前記縮退運転状態において、前記揮発性メモリに記憶された情報を用いて前記所定処理を実行する縮退運転処理実行手段と、
を有することを特徴とするICカード決済端末。
【請求項2】
さらに第2の不揮発性メモリを備え、
前記所定処理実行に必要な情報のうち動的且つ変更頻度が高い情報は前記第1の不揮発性メモリに格納し、変更頻度が低い情報は前記第2の不揮発性メモリに格納し、
前記縮退運転処理実行手段は、該第1の不揮発性メモリ及び第2の不揮発性メモリに格納された情報を用いて前記所定処理を実行することを特徴とする請求項1記載のICカード決済端末。
【請求項3】
前記ICカード決済端末の起動時に、タンパ未発生か否かを判定し、タンパ未発生の場合には前記第1の不揮発性メモリに記憶されている前記所定処理実行に必要な情報を前記揮発性メモリにコピーし、タンパ発生している場合には予め決められている仮情報を前記揮発性メモリに記憶することを特徴とする請求項1または2記載のICカード決済端末。
【請求項1】
耐タンパ機能を有し、タンパ検出後には縮退運転状態となって所定処理を実行するICカード決済端末において、
前記耐タンパ機能によってタンパ検出された場合に記憶データが消去されるメモリであって、ICカードとの暗号通信に必要な秘匿情報と、前記所定処理実行に必要な情報を格納する第1の不揮発性メモリと、
揮発性メモリと、
前記所定処理実行に必要な情報を更新する為に任意のデータを書き込む際に、該任意のデータを前記第1の不揮発性メモリと前記揮発性メモリとに書き込むデータライト手段と、
前記耐タンパ機能によるタンパ検出後の前記縮退運転状態において、前記揮発性メモリに記憶された情報を用いて前記所定処理を実行する縮退運転処理実行手段と、
を有することを特徴とするICカード決済端末。
【請求項2】
さらに第2の不揮発性メモリを備え、
前記所定処理実行に必要な情報のうち動的且つ変更頻度が高い情報は前記第1の不揮発性メモリに格納し、変更頻度が低い情報は前記第2の不揮発性メモリに格納し、
前記縮退運転処理実行手段は、該第1の不揮発性メモリ及び第2の不揮発性メモリに格納された情報を用いて前記所定処理を実行することを特徴とする請求項1記載のICカード決済端末。
【請求項3】
前記ICカード決済端末の起動時に、タンパ未発生か否かを判定し、タンパ未発生の場合には前記第1の不揮発性メモリに記憶されている前記所定処理実行に必要な情報を前記揮発性メモリにコピーし、タンパ発生している場合には予め決められている仮情報を前記揮発性メモリに記憶することを特徴とする請求項1または2記載のICカード決済端末。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2010−122807(P2010−122807A)
【公開日】平成22年6月3日(2010.6.3)
【国際特許分類】
【出願番号】特願2008−294581(P2008−294581)
【出願日】平成20年11月18日(2008.11.18)
【出願人】(000237710)富士電機リテイルシステムズ株式会社 (1,851)
【Fターム(参考)】
【公開日】平成22年6月3日(2010.6.3)
【国際特許分類】
【出願日】平成20年11月18日(2008.11.18)
【出願人】(000237710)富士電機リテイルシステムズ株式会社 (1,851)
【Fターム(参考)】
[ Back to top ]