ICチップ、ICチップにおける処理方法、ICチップ用処理プログラム、及び携帯端末
【課題】複数のインターフェースを有するICチップにおいて、インターフェースを介した外部からの不正なアクセスによる機密情報の漏洩を効率よく防止するICチップ、ICチップにおける処理方法、ICチップ用処理プログラム、及び携帯端末等を提供する。
【解決手段】UIM13は、所定のトランザクションに関する処理が開始されたか否かを示す開始条件が検出された場合に、実行されているトランザクションと対応付けて記憶された不揮発性メモリの所定領域のアクセスを制限するアクセス制限を開始する。
【解決手段】UIM13は、所定のトランザクションに関する処理が開始されたか否かを示す開始条件が検出された場合に、実行されているトランザクションと対応付けて記憶された不揮発性メモリの所定領域のアクセスを制限するアクセス制限を開始する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、複数のインターフェースを備えるICチップにおける処理技術に関する。
【背景技術】
【0002】
ICカードは、接触型IC(Integrated Circuit)チップが適用されるタイプと、非接触型ICチップが適用されるタイプとに大別される。そして、接触型ICチップが適用されるICカードは、UIM(User Identity Module)、クレジットカードやキャッシュカードに用いられ、ICカードリーダライタ装置等の接触インターフェースを介して(当該装置にICカードが挿入され)、ICチップに対してデータの読取り及び書込みが行われている。また、非接触型ICカードは、一部のIDカード(例えば、入退出管理カード等)や交通系カード(例えば、SUICA(登録商標)等)に用いられ、非接触ICカード用のリーダライタ装置を介して、ICチップに対してデータの読取り及び書込みが行われている。
【0003】
近年、日本においては、UIMが搭載された携帯電話に、非接触ICチップ用リーダライタ装置等との間で通信を行うための非接触通信用コイル(アンテナ)と非接触通信用のプロトコルや非接触アプリケーションを処理するマイコンを内蔵することで、接触インターフェースのUIM(携帯電話サービス)に加えて、非接触インターフェースを用いた様々なサービスが提供されている。この携帯電話には接触アプリケーションを実行する専用のマイコンと、非接触アプリケーションを実行する専用のマイコンがそれぞれ搭載されている。従って、当該携帯電話は、接触アプリケーションと非接触アプリケーションを同時に実行(機能)することが可能である。具体的には、例えば、当該携帯電話では、接触アプリケーションの実行により実現される携帯電話への着信処理と、非接触アプリケーションの実行により実現される決済処理や、ゲートの通過処理(入退室管理処理)を同時に実行することが可能である。
【0004】
一方、欧州を中心に、UIMが搭載された携帯端末に備えられた非接触通信用コイルと非接触通信用のプロトコル処理を主に担当するマイコンを、UIMが備える既存の接触インターフェースとは別のインターフェースに接続することにより、UIM内で接触アプリケーションに加え、非接触アプリケーションを管理する方法が検討され、関連技術の標準化が進められている。この方式の実施形態の1つとして、接触用アプリケーションと非接触用アプリケーションは共にUIMに格納されUIMのハードウェアリソース(CPU、記憶装置、各種周辺回路)を共有することになるが、これらのアプリケーションがリムーバブル(Removable)であるUIMに統合して格納されるため、アプリケーションの管理や移行が容易であるなどのメリットが存在する(以下、NFC(Near Field Communication)方式と呼ぶ)。
【0005】
先に述べたように、接触用、非接触用のアプリケーションがUIMへ格納されることで、コスト低減効果があること、アプリケーションの管理・移行がし易いことなどNFC方式には利点もあるが、ユーザの利用状況等により、接触・非接触からそれぞれ非同期にアプリケーション処理依頼を受け付け、当該アプリケーションが機能するため、セキュリティ上の問題が発生する。
【0006】
ここで、非接触インターフェースを用いたサービスの中で普及が進みつつある決済アプリケーションについて、上記のNFC方式で実現した場合に、起こりえるセキュリティ上の問題について、図8を用いて説明する。
【0007】
図8は、決済アプリケーションによる決済処理が実行された場合に起こりえるセキュリティ上の問題を示す概念図である。
【0008】
決済処理を実行する過程では、決済用の端末(非接触リーダを含む)と非接触ICカード間で、認証処理などを目的とした機密情報の交換が行われる。この時、先に述べた2つの機器間では、実行中の決済処理内のみ有効なセッション情報(セッション鍵、チャレンジ、暗号演算結果など)を機器間で共有する秘密情報を使って生成し、ICカードのメモリ上に記憶される。
【0009】
具体的には図8に示すように、決済処理では、決済処理を実行するアプリケーションの実行コマンドとしてApplicationの選択が決済用の端末のCPU(UIM)へ送信されると(ステップS101)、当該コマンドを受信したことを示すレスポンスが非接触インターフェースに送信される(ステップS102)。そして、決済処理に関する認証依頼が非接触インターフェースを介して入力されると(ステップS103)、CPUは、セッション情報を生成し(ステップS104)、当該セッション情報が生成されたことを示すレスポンス信号を送信する(ステップS105)。
【0010】
このセッション情報には、上述したセッション鍵等のほか、決算処理の各段階に伴って生成される情報(例えば、決算処理で決定される取引金額に関する情報や暗証番号等)も順次記憶され(ステップS106〜ステップS108)、決算処理の終了によって消去される(ステップS109)。
【0011】
上述したようにNFC方式は、携帯端末からUIMへ常に起電力が供給され2つのインターフェースが同時に機能することがあるため、非接触インターフェースを介したトランザクション中(即ち、上記決済処理中)に、接触インターフェースからの処理、例えば、不正にセッション情報を読み出すコマンド(ステップS121)等により、セッション情報にアクセスされ漏洩する恐れがある(ステップS122)。そして、これらのセッション情報を収集し、暗号アルゴリズムが内包する脆弱性を利用することでセッション情報を生成するために必要な秘密情報を推定することができ、コマンド処理結果のレスポンスとして出力することができる。
【0012】
そこで、特許文献1では、実行中のインターフェース以外のインターフェースからの不正なアクセスを防止すべく、インターフェースごとにアクセス可能なICカードの記憶領域(リソース領域)を分割する方法が開示されている。
【0013】
また、特許文献2では、接触用アプリケーション及び非接触用アプリケーションの実行状態(導入状況)に応じて、ICカードの記憶領域を物理的に又は論理的に分離(即ち、アプリケーションの発行とその他の処理(例えば決済処理)でインターフェースを使い分ける)技術が開示されている。
【先行技術文献】
【特許文献】
【0014】
【特許文献1】特許第4209512号公報
【特許文献2】特許第4231148号公報
【発明の概要】
【発明が解決しようとする課題】
【0015】
しかしながら特許文献1に記載される方法では、接触用のアプリケーション用と非接触用のアプリケーション用にそれぞれ記憶領域を分割するため、リソース量の制限が厳しいICカードの記憶領域において、リソース利用効率が落ちてしまうことが容易に考えられる。
【0016】
また、特許文献2に記載される技術では、ICカードの記憶領域の分割をアプリケーションの導入状況に応じて実行させるとしても、接触インターフェースと非接触インターフェースの両方を利用するアプリケーションが実現できない。
【0017】
そこで、本発明は上記各問題点に鑑みてなされたものであり、複数のインターフェースを有するICチップにおいて、インターフェースを介した外部からの不正なアクセスによる機密情報の漏洩を効率よく防止するICチップ、ICチップにおける処理方法、ICチップ用処理プログラム、及び携帯端末等を提供することを目的とする。
【課題を解決するための手段】
【0018】
上記の問題を解決するために、請求項1に記載の発明は、複数のインターフェースを有し、前記インターフェースを介して受信したコマンドに基づいて複数のトランザクションが実行されるICチップであって、各トランザクションの実行の際に用いられるデータが記憶される記憶部の所定領域を示す情報が、当該トランザクション毎に対応付けて管理テーブルに記憶する管理情報記憶手段と、所定のトランザクションに関する処理を開始条件として検出した場合であって、不正な攻撃と判定されるコマンドが入力された場合には、前記管理テーブルを参照して、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域のアクセス制限を開始するアクセス制限手段と、前記アクセス制限を終了する終了条件を検出した場合には、前記アクセス制限を終了するアクセス制限終了手段と、を備えることを特徴とする。
【0019】
この発明によれば、複数のインターフェースを有するICチップにおいて、インターフェースを介した外部からの不正なアクセスによる機密情報の漏洩をICチップの記憶領域の設定を変更することなく効率よく防止する。
【0020】
請求項2に記載の発明は、請求項1に記載のICチップであって、前記アクセス制限手段は、当該実行されているトランザクションの処理を中断する処理であることを特徴とする。
【0021】
請求項3に記載の発明は、請求項1又は2に記載のICチップであって、前記アクセス制限手段は、検知された不正なアクセスを遮断する処理であることを特徴とする。
【0022】
請求項4に記載の発明は、請求項1乃至3の何れか一項に記載のICチップであって、前記管理テーブルには、更に、トランザクションの実行に用いられるアプリケーションの種類が、トランザクション毎に対応付けて記憶されており、前記不正な攻撃と判定されるコマンドは、前記検出した開始条件に示されるトランザクションと対応付けて記憶されたアプリケーション以外のアプリケーションの制御に基づいて、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域にアクセスするコマンドであることを特徴とする。
【0023】
請求項5に記載の発明は、請求項1乃至4の何れか一項に記載のICチップであって、前記インターフェースを介して受信したコマンドに基づいて、前記所定のトランザクションに関する処理が実行され、前記開始条件が検出された場合に、前記コマンドが受信されたインターフェースの種類を記憶するアクセス制御情報記憶手段と、を更に備え、前記アクセス制限手段は、前記コマンドが受信されたインターフェースと異なるインターフェースから不正な攻撃と判定されるコマンドが入力された場合には、前記アクセス制限を開始することを特徴とする。
【0024】
請求項6に記載の発明は、請求項1乃至5の何れか一項に記載のICチップであって、前記ICチップは、UIM(User Identity Module)に搭載されていることを特徴とする。
【0025】
請求項7に記載の発明は、請求項6に記載のICチップであって、前記UIMは、携帯端末に装着されていることを特徴とする。
【0026】
請求項8に記載の発明は、複数のインターフェースを有し、前記インターフェースを介して受信したコマンドに基づいて複数のトランザクションが実行されるICチップにおける処理方法であって、各トランザクションの実行の際に用いられるデータが記憶される記憶部の所定領域を示す情報が、当該トランザクション毎に対応付けて管理テーブルに記憶する管理情報記憶工程と、所定のトランザクションに関する処理を開始条件として検出した場合であって、不正な攻撃と判定されるコマンドが入力された場合には、前記管理テーブルを参照して、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域のアクセス制限を開始するアクセス制限工程と、前記アクセス制限を終了する終了条件を検出した場合には、前記アクセス制限を終了するアクセス制限終了工程と、を有することを特徴とする。
【0027】
請求項9に記載の発明は、複数のインターフェースを有し、前記インターフェースを介して受信したコマンドに基づいて複数のトランザクションが実行されるICチップに含まれるコンピュータを、各トランザクションの実行の際に用いられるデータが記憶される記憶部の所定領域を示す情報が、当該トランザクション毎に対応付けて管理テーブルに記憶する管理情報記憶手段、所定のトランザクションに関する処理を開始条件として検出した場合であって、不正な攻撃と判定されるコマンドが入力された場合には、前記管理テーブルを参照して、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域のアクセス制限を開始するアクセス制限手段、前記アクセス制限を終了する終了条件を検出した場合には、前記アクセス制限を終了するアクセス制限終了手段、として機能させることを特徴とする。
【0028】
請求項10に記載の発明は、複数のインターフェースを有し、前記インターフェースを介して受信したコマンドに基づいて複数のトランザクションが実行される接触型ICチップと、当該ICチップと第一の前記インターフェースを介して通信可能なコントローラとを備える携帯端末において、前記接触型ICチップは、各トランザクションの実行の際に用いられるデータが記憶される記憶部の所定領域を示す情報が、当該トランザクション毎に対応付けて管理テーブルに記憶する管理情報記憶手段と、所定のトランザクションに関する処理を開始条件として検出した場合であって、不正な攻撃と判定されるコマンドが入力された場合には、前記管理テーブルを参照して、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域のアクセス制限を開始するアクセス制限手段と、前記アクセス制限を終了する終了条件を検出した場合には、前記アクセス制限を終了するアクセス制限終了手段と、を備えることを特徴とする。
【発明の効果】
【0029】
以上のように、本発明によれば、複数のインターフェースを有するICチップにおいて、インターフェースを介した外部からの不正なアクセスによる機密情報の漏洩を効率よく防止することができる。
【図面の簡単な説明】
【0030】
【図1】本実施形態に係る携帯端末の概要構成例を示すブロック図である。
【図2】管理テーブル及びその他の関連情報を示す概念図である。
【図3】管理テーブル及びUIM13の不揮発性メモリの領域をバイナリ表現で示す概念図である。
【図4】開始条件テーブル、アクセス制限用テーブル、及び終了条件テーブルを示す図である。
【図5】本実施携帯に係る携帯端末1の動作を示すフローチャートである。
【図6】コマンド実行処理におけるUIM13の動作を示すフローチャートである。
【図7】コマンドプログラムコードの実行処理におけるUIM13の動作を示すフローチャートである。
【図8】決済アプリケーションによる決済処理が実行された場合に起こりえるセキュリティ上の問題を示す概念図である。
【発明を実施するための形態】
【0031】
[1.携帯端末の構成及び機能概要]
以下、図面を参照して本発明の実施形態について詳細に説明する。以下に説明する実施形態は、携帯端末に対して本発明を適用した場合の実施の形態である。
【0032】
先ず、図1を参照して、本実施形態に係る携帯端末の構成及び機能概要について説明する。
【0033】
図1は、本実施形態に係る携帯端末の概要構成例を示すブロック図である。
【0034】
図1に示すように、携帯端末1は、携帯端末1の機能を担うコントローラ11、CLF12、及びUIM13等を備えて構成されている。なお、携帯端末1には、例えば操作キー、ディスプレイ、スピーカ、及び移動体通信部(W−CDMA又はCDMA2000の通信方式による一般的な通信制御機能、URLを指定することで所定のサーバにアクセスして所定の情報を受けるブラウザ機能、及びメーラ機能等の通信処理を行う。)等を備える携帯電話機やPDA等を適用できる。なお、携帯端末1におけるこれらの機能は公知であるため詳しい説明を省略する。
【0035】
コントローラ11は、図示しないが、CPU(Central Processing Unit)、各種プログラム及びデータを記憶する不揮発性メモリ(例えばフラッシュメモリ等)、データを一時記憶するRAM、UIM13との間のインターフェースを担うI/Oポート等を備えている。コントローラ11は、UIM13との間でインターフェースを介して通信可能になっている。そして、コントローラ11は、携帯端末1の通信処理(移動体通信網やインターネットを介して行われる通信)や携帯端末1のユーザからの操作キーを介した操作指示に応じて各種処理を実行する。このような処理の過程で、コントローラ11は、例えば、基地局3との間で行われる通話処理(着信処理を含む)、Webアクセス、メール送受信等の通信処理に関するサービス、その他暗号化処理や認証処理等のサービス(本願のトランザクションを含む)を実行するためのコマンド(信号)を、インターフェース(後述する接触I/Oポートを含む)を介してUIM13へ送信する。
【0036】
本実施形態において、コントローラ11とUIM13との間におけるコマンドの送受信に基づいて実行されるサービス(上記通信処理に関するサービス等)を、接触サービスと称する。また、接触サービスを実行するためのコマンド(例えば、データの読み出し命令等)を、接触コマンドと称する(図1イ参照)。なお、上記接触サービスを実行するために必要な接触コマンドの送受信は、1回だけでなく複数回行われる場合もある。
【0037】
また、本実施形態において、携帯電話1に所定の機能(例えば上記サービスの一部分)や上記サービス全体を実行させるための一又は複数のコマンドの集合によって実行される処理を、トランザクションとする。即ちトランザクションは、一又は複数のコマンドの処理によって実行される所定の機能やサービスを、一つの処理として管理するために用いられる。従って、トランザクションには、上記サービス全体を示す場合も含まれるし、上記サービスの一部分を示す場合も含まれる。以下、所定のトランザクションとした場合には、上記所定のサービスの一部分や全体を実行させるための一又は複数のコマンドの集合によって実行される処理を示すものとする。この所定のトランザクションの一例として、例えば、セッション情報が生成されてから消去されるまでの期間を所定のトランザクションと想定することができる。以下に事例に沿った具体例について説明する。
【0038】
携帯電話1がサービスを実行する際には、セッション情報(当該サービスに関する情報)が生成され、記憶されるようになっている。具体的には、例えば、決済処理を実行する決済処理アプリ(後述する非接触アプリの一例)では、入力されたコマンドに示される当該決算処理を実行する際に、実行された処理の各段階に伴って生成される決算処理で決定される取引金額に関する情報や、暗証番号等の機密情報がセッション情報として生成され記憶されるようになっている。そして、当該サービスの終了に伴って、このセッション情報は消去される。
【0039】
即ち、このセッション情報が生成されてから消去されるまでの間には、携帯電話1は一又は複数のコマンドを受信して、所定の処理を実行するようになっている。このセッション情報が生成されてから消去されるまでの期間を、トランザクションと考えることができる。トランザクションとは、通常、携帯電話1に所定の機能(例えば、上記サービスの一部分)や上記サービス全体を実行させるための一又は複数のコマンドによって実行される処理を示すからである。
【0040】
CLF(Contactless Front End)12は、NFCの規格で規定される非接触通信を行う非接触型ICチップであり(即ち、NFC方式を採用)、図示しないが、CPU、各種プログラム及びデータを記憶する不揮発性メモリ、データを一時記憶する揮発性メモリ(例えば、RAM等)、UIM13との間のインターフェースを担うI/Oポート(SWIO)等を備えている。このNFC規格で規定されるCLF12では、Type−A、Type−Bの通信方式に加えて、FeliCa(登録商標)の通信方式もType−Fとしてサポートしている。このようなCLF12は、非接触のフィールド内で非接触リーダ2との間で上記通信方式に準じた各種信号の送受信を行うためのアンテナ12aに接続されている。そして、ユーザが携帯端末1を非接触リーダ2に翳すと、CLF12は、非接触リーダ2から送信されたサービス(本願のトランザクションを含む)を実行するためのコマンドを、インターフェース(後述する非接触I/Oポートを含む)を介してUIM13へ送信するようになっている。
【0041】
上記サービスとしては、例えば、クレジットカードや電子マネー等の決済処理(サービス)、鉄道及びバス等の交通機関のプリペイドカード及び定期券、施設の入退出管理等が該当する。
【0042】
本実施形態において、CLF12と非接触リーダ2との間のコマンドの送受信に基づいて実行されるサービス(上記決済処理等)を、非接触サービスと称する。また、非接触サービスを実行するためのコマンドを、非接触コマンドと称する(図1ロ参照)。なお、上記非接触サービスを実行するために必要な非接触コマンドの送受信は、1回だけでなく複数回行われる場合もある。
【0043】
UIM13は、UICC(Universal Integrated Circuit Card)の一つであり、従来のSIM(Subscriber Identity Module)をベースに機能が拡張された接触型ICチップを搭載する。そして、UIM13は、CPU(本実施形態における管理情報記憶手段、アクセス制限手段、アクセス制限終了手段、及びアクセス制御情報記憶手段の一例)、各種プログラム及びデータを記憶する不揮発性メモリ(本実施形態における記憶部の一例)、データを一時記憶する揮発性メモリ(例えば、RAM等)、コントローラ11との間のインターフェースを担う接触I/Oポート(本願の複数のインターフェースの一例)、及びCLF12との間のインターフェースを担う非接触I/Oポート(本願の複数のインターフェースの一例)等を備えている。なお、CLF12とUIM13間のインターフェースには、SWP(Single Wire Protocol)が適用される。また、以下単にUIM13を記す場合には、UIM13のCPUを含むものとする。従って、UIM13の動作と記す場合には、UIM13のCPUの動作を含むものとする。
【0044】
また、UIM13の不揮発性メモリに記憶されるプログラムには、UIM13全体の動作を統括的に制御するオペレーティングシステム(以下、「OS」とする)の他、CLF12から受信した非接触コマンドの処理を制御する非接触インターフェースアプリケーションプログラム(以下、「非接触アプリ」という)と、コントローラ11から受信した接触コマンドの処理を制御する接触インターフェースアプリケーションプログラム(以下、「接触アプリ」という)が実装されている。また、「非接触アプリ」と「接触アプリ」を、「アプリ」と総称する。本実施形態における携帯端末1では、非接触アプリの制御によって非接触サービス(上述したトランザクションを含む)が実行され、また、接触アプリの制御によって接触サービス(上述したトランザクションを含む)が実行されるようになっている。なお、上述したトランザクションは、このアプリの制御に基づいて実行されることとなる。
【0045】
さらに、UIM13の不揮発性メモリには、管理テーブルが記憶されている。
【0046】
ここで、管理テーブルについて、図2及び図3を用いて説明する。図2は管理テーブルの概要を示す概念図である。
【0047】
一般的に、上記アプリが実行される場合には、UIM13は、非接触I/Oポート又は接触I/Oポート等のインターフェースから入力されたコマンドに示す処理を実行する際に、UIM13の揮発性メモリ等(UIM13の不揮発性メモリでもよい。)の所定の領域を作業領域として利用する。
【0048】
具体的には、決済処理を実行する決済処理アプリ(非接触アプリの一例)では、上述したように、入力されたコマンドに示される当該決算処理を実行する際に、実行された処理の各段階に伴って生成される情報(例えば、決算処理で決定される取引金額に関する情報や暗証番号等の機密情報を含むセッション情報等)が、UIM13の揮発性メモリの所定の領域に、一時的に記憶される。そして、セッション情報にあっては、決算処理の終了に伴って、揮発性メモリから消去される。
【0049】
本実施形態における管理テーブルには、所定のトランザクションを実行するために用いられるアプリと、当該アプリの実行(即ち、トランザクションの実行)の際に用いられるデータが記憶される(例えば、上記作業領域として利用される)UIM13の揮発性メモリのアドレス(本願の記憶部の所定領域を示す情報の一例)とが、トランザクション毎に対応付けて記憶されている。
【0050】
なお、アプリの実行の際に用いられるデータとしては、種々のデータを設定することができ、上述した実行された処理の各段階に伴って生成される情報の全てを設定する他、個人情報や機密情報など特に秘匿性の高いデータを選択して設定するようにしてもよい。そして、このように設定されたアプリの実行の際に用いられるデータと、当該データが記憶されるUIM13の揮発性メモリのアドレスと、当該データを取り扱うトランザクションとを対応付けて記憶する。
【0051】
具体的に、図2(A)に示すように、管理テーブルには、所定のトランザクションを実行するために用いられるアプリを示すトランザクション識別子と、当該アプリの実行の際に用いられるデータが記憶されるUIM13の揮発性メモリのラベルと、が対応付けて記憶されている。
【0052】
具体的には、上記アプリの一例としてApplication AとラベルABCが、Application BとラベルDEFが、Application CとラベルGHIが、それぞれ対応付けて記憶されている。なお、上記ラベルは、UIM13の揮発性メモリの一又は複数のアドレスにつける仮の名称を示している。
【0053】
そしてラベルの詳細として、図2(B)に示すように、UIM13の揮発性メモリのアドレスが0x1000〜0x1100を示すものにはラベルABCが、UIM13の揮発性メモリのアドレスが0x1500〜0x1800を示すものにはラベルDEF、UIM13の揮発性メモリのアドレスが0x1A00〜0x1C00を示すものにはGHIが夫々付けられている。
【0054】
すなわち、図2(A)及び(B)によって、上記アプリの一例としてApplication Aと上記アドレスの0x1000〜0x1100が、Application Bと0x1500〜0x1800が、Application Bと0x1A00〜0x1C00がそれぞれ対応付けて記憶されていることとなる。
【0055】
図2(C)には、上述した図2(A)及び(B)によって示された上記アプリと、当該アプリの実行の際に用いられるデータが記憶されるアドレスが対応付けて記憶されたUIM13の不揮発性メモリの領域を概念的に示す概念図が示されている。また、図3は管理テーブル及びUIM13の不揮発性メモリの領域を中間言語が扱うデータをバイナリ表現で示す概念図である。図3に示す各情報は、上述した図2に示す管理テーブルの情報と表現形式が異なるが、同一の内容を示すものである。
【0056】
バイナリ表現形式では、起動されるアプリごとにフレーム(図3(B))が読み出される。フレームには、所定のトランザクションを実行するために用いられるアプリと、当該アプリの実行の際に用いられるデータが記憶されるUIM13の揮発性メモリのアドレスが対応付けて記憶されたテーブル(図3(A))と、コマンドの受信に用いられるインターフェースの種類(図3(A))が記憶されている。
【0057】
なお、図3(A)は、例えばJava(登録商標)言語におけるオブジェクト参照値であり、Javaのバイトコードはこのオブジェクト参照値によりオブジェクトを識別する。従って、図2に示すアクセス制限対象領域はアドレスで領域を指定することができるが、図3に示す例では、オブジェクトのBodyがアクセス制限対象領域となる。
【0058】
[2. 開始条件、アクセス制限、及び終了条件におけるUIM13の動作]
次に、図4を用いて、本実施形態に係る開始条件、アクセス制限、及び終了条件におけるUIM13の動作について説明する。
【0059】
本実施形態に係るUIM13は、所定のトランザクションに関する処理を開始条件として検出した場合であって、不正な攻撃と判定されるコマンドが入力された場合には、前記管理テーブルを参照して、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域のアクセスを制限するアクセス制限を開始する。そして、アクセス制限を終了する終了条件を検出した場合には、前記アクセス制限を終了するようになっている。
【0060】
以下、開始条件、アクセス制限、及び終了条件について詳細に説明する。
【0061】
まず、開始条件について説明する。
【0062】
上述したように本実施形態における携帯端末1は、携帯端末1からUIM13へ常に起電力が供給され2つのインターフェースが同時に機能するため、非接触インターフェースを介したトランザクション中(例えば、決済処理中)に、接触インターフェースからの処理、例えば、不正にセッション情報を読み出すコマンド等により、セッション情報にアクセスされ漏洩する恐れがある。そして、これらのセッション情報を収集し、暗号アルゴリズムが内包する脆弱性を利用することでセッション情報を生成するために必要な秘密情報を推定することができる(不正な攻撃をうける)。
【0063】
本実施形態におけるUIM13は、このような不正な攻撃からの防御策として上記アクセス制限を開始する。そして、上述した開始条件とは、上記アクセス制限を開始する条件を示し、本実施形態では、開始条件として予め記憶された所定のトランザクションに関する処理が開始されたことを検出した場合に上記アクセス制限を開始するようになっている。この所定のトランザクションに関する処理は、例えば、UIM13の不揮発性メモリに記憶されるようにしてもよい。
【0064】
ここで、図4(A)を用いて、本願の所定のトランザクションに関する処理の一例について詳細に説明する。
【0065】
図4(A)は、UIM13の不揮発性メモリに記憶された所定のトランザクションに関する処理を示す条件を示す開始条件テーブルである。
【0066】
図4(A)に示すように、所定のトランザクションに関する処理の一例として、例えば、
a)予め定められたアプリケーションの選択処理が実行された場合、
b)所定のインターフェースからコマンドを受信した場合、
c)予め定められた特定のトランザクション(処理)を実行させるコマンドを受信した場合、
等が設定される。
【0067】
ここで、予め定められたアプリケーションとは、例えば、携帯端末1に搭載される非接触アプリ全てや、特定の非接触アプリ(例えば、上記決済処理を行う決済処理アプリ等)を任意に設定することができる。
【0068】
また、所定のインターフェースからコマンドを受信した場合とは、例えば、非接触I/Oポートからコマンドを受信した場合等を設定することができる。
【0069】
また、特定のアプリケーション処理を実行させるコマンドとは、アプリケーションが実行するトランザクションのうち特定のトランザクションを実行させるコマンドを受信した場合が該当し、例えば、アプリケーションの種類が決済処理を実行するアプリケーションであった場合には、認証処理を開始するコマンド等を任意に設定することができる。
【0070】
所定のトランザクションに関する処理としては、上述した例に限られず、任意の条件を設定することができる。
【0071】
そして、UIM13は、この所定のトランザクションに関する処理(即ち、開始条件)が検出されている間、不正な攻撃と判定されるコマンドが入力された場合には、アクセス制限を開始する。ここで、所定のトランザクションに関する処理が検出されている間とは、上記開始条件が検出されて、後述する終了条件が検出されるまでの期間を示す。
【0072】
このアクセス制限は、上述した不正な攻撃から防御しつつ、実行すべきトランザクションを処理することを目的とする。かかる目的を達成するために、本実施形態におけるUIM13は、上記不正な攻撃と判定されるコマンドに対しては、上記防御の一例として、アクセス制限を開始する。
【0073】
アクセス制限は種々の処理を適用することが可能であるが、本実施形態においては、一例として、当該実行されているトランザクションの処理を中断する処理、あるいは検知された不正なアクセスを遮断する処理を開始する。
【0074】
以下に、上記アクセス制限におけるUIM13の動作について説明する。
【0075】
まず、UIM13は、上述した開始条件を検出すると、アクセス制限用テーブルを、例えばUIM13のRAM等に生成する。アクセス制限用テーブルには、開始されるアクセス制限の情報が記憶されるようになっている。
【0076】
ここで、アクセス制限用テーブルについて、図4(B)を用いて説明する。
【0077】
図4(B)は、アクセス制限テーブルを示す図である。
【0078】
図4(B)に示すように、アクセス制限用テーブルには、開始条件を検出していることを示すアクセス制限実施フラグ(当該フラグをONとしたもの)、アクセス制限の対象となるトランザクションを実行するアプリを示すトランザクション識別子、上記所定のトランザクションに関する処理が実行されるきっかけとなるコマンドが入力されたインターフェース(I/Oポート)の他、終了条件を検出しアクセス制限を終了したことを示すアクセス制限実施フラグ(当該フラグをOFFとしたもの)等が記憶される。
【0079】
具体的な動作として、UIM13は、上述した開始条件を検出すると、アクセス制限実施フラグをONとする。そして、UIM13は、管理テーブル(図2(A))を参照して、当該開始条件に対応付けて記憶された上記トランザクション識別子等を、アクセス制限用テーブルに記憶する。
【0080】
例えば、開始条件がa)予め定められたアプリケーションの選択処理が実行された場合では、UIM13は、管理テーブルを参照して、当該管理テーブルに示される当該アプリケーションに対応付けて記憶されたトランザクション識別子と、上記アプリケーションの選択処理を示すコマンドが入力されたインターフェースを、アクセス制限用テーブルに記憶する。
【0081】
また、開始条件がb)所定のインターフェースからコマンドを受信した場合では、UIM13は、管理テーブルを参照して、当該管理テーブルに記憶されたトランザクション識別子と、前記コマンドが受信されたインターフェースとともにアクセス制限用テーブルに記憶する。
【0082】
また、開始条件がc)予め定められた特定のトランザクションを実行させるコマンドを受信した場合では、UIM13は、管理テーブルを参照して、当該管理テーブルに示される上記特定のトランザクション識別子と、上記アプリケーションの選択処理を示すコマンドが入力されたインターフェースを、アクセス制限用テーブルに記憶する。
【0083】
そして、あるI/Oポート(インターフェース)からUIM13の揮発性メモリ等の所定領域にアクセスするコマンド(以下、単に「アクセス命令」とする。)を受信し、例えば、アプリケーション実行環境がアプリケーションコードを実行する過程で、UIM13は、UIM13の揮発性メモリ等の所定領域(例えば、セッション情報が記憶される所定の領域)へのアクセス命令を実行する前に、当該コマンドが、不正な攻撃と判定されるコマンドであるか否かを判定する。具体的には、以下に示すイ)〜二)に該当する場合には、不正な攻撃と判定しアクセス制限を開始する。
【0084】
このイ)及びロ)について、具体的には、
イ)アクセス制限用テーブルに記憶されたアクセス制限実施フラグがONであること。
【0085】
即ち、UIM13は、新たにコマンドを受信した場合に、既に開始条件に該当し上記アクセス制限が開始されている場合が該当する。
【0086】
ロ)アクセス命令によってアクセスするUIM13の揮発性メモリ等の所定領域が、トランザクション識別子(即ち、アクセス制限の対象となるトランザクションを実行するアプリ)と対応付けて記憶された領域である場合。
【0087】
即ち、受信したアクセス命令によってアクセスされようとするUIM13の揮発性メモリ等の所定領域のアドレスが、管理テーブル(図2(A))でアプリ(トランザクション識別子)と対応づけて記憶されたUIM13の揮発性メモリのラベル(所定領域)と一致する場合が該当する。
【0088】
ハ)アクセス命令に基づいてアクセスを試みたアプリ(トランザクションを実行するためのアクセス命令を実行するトランザクション識別子)と、現在実行中のトランザクション識別子(現在実行されているトランザクションを実行するためのアプリ)が一致しない場合。
【0089】
即ち、上記開始条件に示されるトランザクションと対応付けて記憶されたトランザクション識別子(アプリの種類)以外のアプリケーションの制御に基づいて、コマンドが入力された場合が該当する。
【0090】
また、ニ)上記ハ)に該当しない場合(即ち、アクセス命令によってアクセスを試みたアプリと、現在実行中のトランザクション識別子が一致)する場合であっても、上記アクセス制限用テーブルに記憶されたインターフェース以外のインターフェースからコマンドが受信された場合であって、認証処理が正しく実施されていない場合は、例外的に、アクセス制限を開始する。
【0091】
ここで、認証処理について説明する。
【0092】
決済アプリケーションによる決済処理が実行される場合を例に説明する。決済処理の詳細については、図8を用いて既に説明したが、UIM13は、認証依頼を示すコマンドの送受信により決済用の端末との間で認証処理を行い、当該決済用の端末が正当な通信相手であるか否かを判別する。
【0093】
そして、認証処理の結果、上記決済用の端末が正当な通信相手であると判定した場合(認証処理が正常終了した場合)には、セッション情報の生成により決済処理の各段階に伴って生成される情報を送受信され、上記決済処理が行われる。
【0094】
本実施形態では、UIM13と外部の機器等との間で上記認証処理が正常終了した場合には、UIM13は、当該外部の機器等から送信されるコマンドを正常なアクセスであると擬制して、アクセス制限を行わず、以後の処理を実行するようになっている。
【0095】
具体的には、上記決済処理の場合では、UIM13に記憶される決済処理用のアプリと、上記外部の機器等に記憶されるアプリの制御のもと、UIM13と外部機器との間で認証コマンド、又はPIN照合等が行われることにより、上記認証処理が行われるようになっている。
【0096】
そして、上記認証処理が行われた場合には、受信したコマンドが、アクセス制限の対象となるトランザクションの実行に用いられるインターフェース以外のインターフェースから受信されたものであっても、正当な領域にアクセスするトランザクションである場合には、UIM13は、当該コマンドは、通常処理を継続するようになっている。
【0097】
一方、上記認証処理が行われていない場合には、UIM13は、受信したコマンドを、不正にセッション情報を読み出すコマンドであると判定し、上記アクセス制限を開始する。
【0098】
なお、上記アクセス制限実施フラグがOFFである場合には、上記(ロ)及び(ハ)がいかなる状態であっても、アクセス制限は開始されない(上記(ロ)及び(ハ)の項目のチェックは行わない)。
【0099】
そして、UIM13は、終了条件を検出するまでアクセス制限を実行するようになっている。
【0100】
ここで、終了条件について、図4(C)を用いて説明する。
【0101】
終了条件とは、実行中のアクセス制限を終了する条件を示し、以下に示すように任意に設定することができる。
【0102】
図4(C)に示すように、終了条件の一例として、例えば、
a)所定のコマンドシークエンスを正常終了した場合(予め定められた数のコマンドを処理した場合(上記トランザクションの終了に係らず))、
b)所定のコマンド数の正常終了した場合(上記トランザクションが終了するために必要なコマンドを全て処理した場合)、
c)トランザクションを構成するコマンド応答が異常終了した場合(UIM13がトランザクションを実行するためのコマンドを処理中に、何らかの以上が発生し終了した場合)、
d)上記トランザクションが開始されてから一定の時間が経過した場合(UIM13が、開始条件に該当するトランザクションが実行されてから、所定の時間が経過した場合)等を設定することができる。
【0103】
この終了条件は、例えば、UIM13の不揮発性メモリに記憶されるようにしてもよいし、その他のメモリ(ROM等)に記憶するようにしてもよい。なお、終了条件は上記に限られず、任意に設定することができる。
【0104】
そしてUIM13は、終了条件に該当したことを検出した場合にはアクセス制限を終了する。
【0105】
具体的には、UIM13は、アクセス制限用テーブルを消去(記憶された内容を削除。初期化。)する。例えば、アクセス制限用テーブルに記憶されたアクセス制限実施フラグをOFFとし、記憶したインターフェース情報をクリア、トランザクション識別子をクリア、他IF上での認証済みフラグをOFFとする。また、UIMの引き抜き、電力供給の停止等が発生し、再度UIMが活性化された場合は、活性化時に同様な値を設定する処理を実行する。
【0106】
これらの処理により、リソースの利用効率を落とすことなく、非接触I/Oポート(非接触インターフェース)経由でトランザクションを処理中のアプリケーションが生成した機密情報を他のインターフェース(I/Oポート)を経由してカード外部へ不正に取り出す行為を検出し、防止することが可能になる。
【0107】
[3.コマンドを受信してからレスポンスを送信するまでのUIM13の動作]
次に、本実施形態におけるコマンドを受信してからレスポンスを送信するまでのUIM13の動作について、図5〜7を用いて説明する。
【0108】
図5は、コマンドを受信してからレスポンスを送信するまでの携帯端末1の動作を示すフローチャートである。
【0109】
図5に示すように、UIM13は、外部から送信されたコマンドを受信すると(ステップS1)、コマンド情報(APDU)の解釈等を含むコマンド受信処理を行う。
【0110】
そして、UIM131は、コマンド情報(APDU)に含まれるコマンドの実行処理を開始する(ステップS2)。
【0111】
図6は、コマンド実行処理におけるUIM13の動作を示すフローチャートである。
【0112】
ここでは、UIM13は、主として上述した開始条件の検出を行う。
【0113】
具体的には、図6に示すように、UIM13は、アクセス制限用テーブル(図4(B))を参照して、アクセス制限実施フラグが、ONかOFFかを判定する(ステップS11)。
【0114】
アクセス制限実施フラグがONであった場合には(ステップS11:YES)、コマンドの実行処理を行うべく、コマンドプログラムコードの実行(ステップS14)へ処理を移行する。
【0115】
一方、アクセス制限実施フラグがOFFであった場合には(ステップS11:NO)、UIM13は、開始条件テーブル(図4(A))を参照して、開始条件に該当するか否か(即ち、開始条件を検出するか)を判定する(ステップS12)。
【0116】
開始条件を検出した場合には(ステップS12:YES)、UIM13は、アクセス制限フラグをONにセットする(ステップS13)。
【0117】
一方、開始条件を検出しなかった場合には(ステップS12:NO)、UIM13は、コマンドの実行処理を行うべく、コマンドプログラムコードの実行(ステップS14)へ処理を移行する。
【0118】
そして、UIM13は、コマンドプログラムコードの実行処理を行う。
【0119】
図7は、コマンドプログラムコードの実行処理におけるUIM13の動作を示すフローチャートである。
【0120】
図7に示すように、UIM13は、例えばROM等のメモリを参照して、コマンド情報(APDU)に含まれるコマンドに対応するプログラムコード(コマンドが示す具体的な処理内容)が存在するか否かを判定する(ステップS21)。
【0121】
プログラムコードが存在したと判定した場合には(ステップS21:YES)、UIM13は、メモリからプログラムコードを読出す(ステップS22)。一方、プログラムコードが存在しないと判定した場合には(ステップS21:NO)、UIM13は、アクセス制限関連情報の消去(例えば、アクセス制限用テーブルに記憶された情報を消去等)等の初期化を行い(ステップS33)、コマンドプログラムコードの実行を終了し、コマンドに対するレスポンスを送信する。
【0122】
次に、UIM13は、読出したプログラムコード(命令)が、例えば、UIM13の揮発性メモリ等の所定の領域に対するアクセス命令(例えば、UIM13の揮発性メモリ等の所定の領域を作業領域として利用するため等の目的)であるか否かを判定する(ステップS23)。以下、不揮発性メモリ13の所定の領域に対するアクセス命令を、単に「領域アクセス命令」と称する。
【0123】
領域アクセス命令でなかった場合には(ステップS23:NO)、UIM13は、読み出した命令を処理した後にPC(Program Counter)を更新して(ステップS24)、ステップS21の処理へ移行する。
【0124】
一方、領域アクセス命令であった場合には(ステップS23:YES)、UIM13は、アクセス制限を開始するか否かを判定すべく、ステップS25〜30の判定を行う。
【0125】
具体的には、まず、UIM13は、アクセス制限実施フラグがONかOFFか(上記イ)に該当するか否か)を判定する(ステップS25)。
【0126】
アクセス制限実施フラグがOFFと判定された場合には(ステップS25:NO)、領域アクセス命令を実行した後にPC(Program Counter)を更新して(ステップS26)、ステップS21の処理へ移行する。
【0127】
一方、アクセス制限実施フラグがONと判定された場合には(ステップS25:YES)、UIM13は、領域アクセス命令によってアクセスするUIM13の揮発性メモリ等の所定領域が、トランザクション識別子と対応付けて記憶された領域であるか否か(上記ロ)に該当するか否か)を判定する(ステップS27)。
【0128】
そして、領域アクセス命令によってアクセスするUIM13の揮発性メモリ等の所定領域が、トランザクション識別子と対応付けて記憶された領域でないと判定された場合には(ステップS27:NO)、領域アクセス命令を実行した後にPC(Program Counter)を更新して(ステップS26)、ステップS21の処理へ移行する。
【0129】
一方、領域アクセス命令によってアクセスするUIM13の揮発性メモリ等の所定領域が、トランザクション識別子と対応付けて記憶された領域であると判定された場合には(ステップS27:YES)、領域アクセス命令に基づいてアクセスを試みたアプリと、現在実行中のトランザクション識別子が一致するか(上記ハ)に該当するか)を判定する(ステップS28)。
【0130】
そして、領域アクセス命令に基づいてアクセスを試みたアプリと、現在実行中のトランザクション識別子が一致しない場合には(ステップS28:NO)、アクセス制限を開始する(ステップS31)。そして、UIM13は、アクセス制限実施フラグがONであり、終了条件に該当するか否かを判定する(ステップS32)。
【0131】
そして、UIM13は、アクセス制限実施フラグがONであり、終了条件に該当した場合には(ステップS32:YES)、アクセス制限関連情報を消去し、初期化(例えば、アクセス制限テーブルに記憶される情報をリセット等)を行う(ステップS33)。
【0132】
そして、UIM13は、コマンドプログラムコードの実行を終了し、コマンドに対するレスポンスを送信する(ステップS3)。
【0133】
一方、領域アクセス命令に基づいてアクセスを試みたアプリと、現在実行中のトランザクション識別子が一致した場合には(ステップS28:YES)、アクセス制御用テーブルに記憶されたインターフェースと一致するか(上記二)に該当するか)否かを判定する(ステップS29)。
【0134】
ここでは、UIM13は、上述したように、アクセス制限用テーブルに記憶されたインターフェース以外のインターフェースからコマンドが受信されたか否かを判定する。
【0135】
そして、アクセス制御用テーブルに記憶されたインターフェースと一致した場合には、(ステップS29:YES)、領域アクセス命令を実行した後にPC(Program Counter)を更新して(ステップS26)、ステップS21の処理へ移行する。
【0136】
一方、アクセス制御用テーブルに記憶されたインターフェースと一致しないと判定された場合には、(ステップS29:NO)、UIM13は、認証処理が完了しているか否か(上記二)に該当するか否か)を判定する(ステップS30)。
【0137】
認証処理が完了していると判定された場合には(ステップS30:YES)、領域アクセス命令を実行した後にPC(Program Counter)を更新して(ステップS26)、ステップS21の処理へ移行する。
【0138】
一方、認証処理が完了していないと判定された場合には(ステップS30:NO)、アクセス制限を開始する(ステップS31)。そして、UIM13は、アクセス制限実施フラグがONであり、終了条件に該当するか否かを判定する(ステップS32)。
【0139】
そして、UIM13は、アクセス制限実施フラグがONであり、終了条件に該当した場合には(ステップS32:YES)、アクセス制限関連情報を消去し、初期化(例えば、アクセス制限テーブルに記憶される情報をリセット等)を行う(ステップS33)。
【0140】
そして、UIM13は、コマンドプログラムコードの実行を終了し、コマンドに対するレスポンスを送信する(ステップS3)。
【0141】
なお、以上説明した実施形態は特許請求の範囲に係る発明を限定するものではない。そして、上記実施形態の中で説明されている構成の組み合わせ全てが発明の課題解決に必須の手段であるとは限らない。
【0142】
以上説明したように、本実施形態によれば、UIM13は、開始条件を検出すると、不正な攻撃と判定されるコマンドが入力された場合には、上記管理テーブルを参照して、上記検出した開始条件に示されるトランザクションと対応付けて記憶された揮発性メモリ等の所定領域のアクセスを制限するアクセス制限を開始し、終了条件を検出した場合には、上記アクセス制限を終了するように構成したため、複数のインターフェースを有するICチップにおいて、インターフェースを介した外部からの不正なアクセスによる機密情報の漏洩をICチップの記憶領域の設定を変更することなく効率よく防止することができる。
【0143】
なお、上記実施形態においては、本願を携帯端末1に搭載されたUIMに対して適用した場合を例に説明したが、インターフェースを介して複数のプロトコル(例えば、USB等)によって他の携帯端末と通信を行うことが可能なその他の携帯端末に対しても適用することができる。
【符号の説明】
【0144】
1 携帯端末
2 非接触リーダ
3 基地局
11 コントローラ
12 CLF
13 UIM
【技術分野】
【0001】
本発明は、複数のインターフェースを備えるICチップにおける処理技術に関する。
【背景技術】
【0002】
ICカードは、接触型IC(Integrated Circuit)チップが適用されるタイプと、非接触型ICチップが適用されるタイプとに大別される。そして、接触型ICチップが適用されるICカードは、UIM(User Identity Module)、クレジットカードやキャッシュカードに用いられ、ICカードリーダライタ装置等の接触インターフェースを介して(当該装置にICカードが挿入され)、ICチップに対してデータの読取り及び書込みが行われている。また、非接触型ICカードは、一部のIDカード(例えば、入退出管理カード等)や交通系カード(例えば、SUICA(登録商標)等)に用いられ、非接触ICカード用のリーダライタ装置を介して、ICチップに対してデータの読取り及び書込みが行われている。
【0003】
近年、日本においては、UIMが搭載された携帯電話に、非接触ICチップ用リーダライタ装置等との間で通信を行うための非接触通信用コイル(アンテナ)と非接触通信用のプロトコルや非接触アプリケーションを処理するマイコンを内蔵することで、接触インターフェースのUIM(携帯電話サービス)に加えて、非接触インターフェースを用いた様々なサービスが提供されている。この携帯電話には接触アプリケーションを実行する専用のマイコンと、非接触アプリケーションを実行する専用のマイコンがそれぞれ搭載されている。従って、当該携帯電話は、接触アプリケーションと非接触アプリケーションを同時に実行(機能)することが可能である。具体的には、例えば、当該携帯電話では、接触アプリケーションの実行により実現される携帯電話への着信処理と、非接触アプリケーションの実行により実現される決済処理や、ゲートの通過処理(入退室管理処理)を同時に実行することが可能である。
【0004】
一方、欧州を中心に、UIMが搭載された携帯端末に備えられた非接触通信用コイルと非接触通信用のプロトコル処理を主に担当するマイコンを、UIMが備える既存の接触インターフェースとは別のインターフェースに接続することにより、UIM内で接触アプリケーションに加え、非接触アプリケーションを管理する方法が検討され、関連技術の標準化が進められている。この方式の実施形態の1つとして、接触用アプリケーションと非接触用アプリケーションは共にUIMに格納されUIMのハードウェアリソース(CPU、記憶装置、各種周辺回路)を共有することになるが、これらのアプリケーションがリムーバブル(Removable)であるUIMに統合して格納されるため、アプリケーションの管理や移行が容易であるなどのメリットが存在する(以下、NFC(Near Field Communication)方式と呼ぶ)。
【0005】
先に述べたように、接触用、非接触用のアプリケーションがUIMへ格納されることで、コスト低減効果があること、アプリケーションの管理・移行がし易いことなどNFC方式には利点もあるが、ユーザの利用状況等により、接触・非接触からそれぞれ非同期にアプリケーション処理依頼を受け付け、当該アプリケーションが機能するため、セキュリティ上の問題が発生する。
【0006】
ここで、非接触インターフェースを用いたサービスの中で普及が進みつつある決済アプリケーションについて、上記のNFC方式で実現した場合に、起こりえるセキュリティ上の問題について、図8を用いて説明する。
【0007】
図8は、決済アプリケーションによる決済処理が実行された場合に起こりえるセキュリティ上の問題を示す概念図である。
【0008】
決済処理を実行する過程では、決済用の端末(非接触リーダを含む)と非接触ICカード間で、認証処理などを目的とした機密情報の交換が行われる。この時、先に述べた2つの機器間では、実行中の決済処理内のみ有効なセッション情報(セッション鍵、チャレンジ、暗号演算結果など)を機器間で共有する秘密情報を使って生成し、ICカードのメモリ上に記憶される。
【0009】
具体的には図8に示すように、決済処理では、決済処理を実行するアプリケーションの実行コマンドとしてApplicationの選択が決済用の端末のCPU(UIM)へ送信されると(ステップS101)、当該コマンドを受信したことを示すレスポンスが非接触インターフェースに送信される(ステップS102)。そして、決済処理に関する認証依頼が非接触インターフェースを介して入力されると(ステップS103)、CPUは、セッション情報を生成し(ステップS104)、当該セッション情報が生成されたことを示すレスポンス信号を送信する(ステップS105)。
【0010】
このセッション情報には、上述したセッション鍵等のほか、決算処理の各段階に伴って生成される情報(例えば、決算処理で決定される取引金額に関する情報や暗証番号等)も順次記憶され(ステップS106〜ステップS108)、決算処理の終了によって消去される(ステップS109)。
【0011】
上述したようにNFC方式は、携帯端末からUIMへ常に起電力が供給され2つのインターフェースが同時に機能することがあるため、非接触インターフェースを介したトランザクション中(即ち、上記決済処理中)に、接触インターフェースからの処理、例えば、不正にセッション情報を読み出すコマンド(ステップS121)等により、セッション情報にアクセスされ漏洩する恐れがある(ステップS122)。そして、これらのセッション情報を収集し、暗号アルゴリズムが内包する脆弱性を利用することでセッション情報を生成するために必要な秘密情報を推定することができ、コマンド処理結果のレスポンスとして出力することができる。
【0012】
そこで、特許文献1では、実行中のインターフェース以外のインターフェースからの不正なアクセスを防止すべく、インターフェースごとにアクセス可能なICカードの記憶領域(リソース領域)を分割する方法が開示されている。
【0013】
また、特許文献2では、接触用アプリケーション及び非接触用アプリケーションの実行状態(導入状況)に応じて、ICカードの記憶領域を物理的に又は論理的に分離(即ち、アプリケーションの発行とその他の処理(例えば決済処理)でインターフェースを使い分ける)技術が開示されている。
【先行技術文献】
【特許文献】
【0014】
【特許文献1】特許第4209512号公報
【特許文献2】特許第4231148号公報
【発明の概要】
【発明が解決しようとする課題】
【0015】
しかしながら特許文献1に記載される方法では、接触用のアプリケーション用と非接触用のアプリケーション用にそれぞれ記憶領域を分割するため、リソース量の制限が厳しいICカードの記憶領域において、リソース利用効率が落ちてしまうことが容易に考えられる。
【0016】
また、特許文献2に記載される技術では、ICカードの記憶領域の分割をアプリケーションの導入状況に応じて実行させるとしても、接触インターフェースと非接触インターフェースの両方を利用するアプリケーションが実現できない。
【0017】
そこで、本発明は上記各問題点に鑑みてなされたものであり、複数のインターフェースを有するICチップにおいて、インターフェースを介した外部からの不正なアクセスによる機密情報の漏洩を効率よく防止するICチップ、ICチップにおける処理方法、ICチップ用処理プログラム、及び携帯端末等を提供することを目的とする。
【課題を解決するための手段】
【0018】
上記の問題を解決するために、請求項1に記載の発明は、複数のインターフェースを有し、前記インターフェースを介して受信したコマンドに基づいて複数のトランザクションが実行されるICチップであって、各トランザクションの実行の際に用いられるデータが記憶される記憶部の所定領域を示す情報が、当該トランザクション毎に対応付けて管理テーブルに記憶する管理情報記憶手段と、所定のトランザクションに関する処理を開始条件として検出した場合であって、不正な攻撃と判定されるコマンドが入力された場合には、前記管理テーブルを参照して、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域のアクセス制限を開始するアクセス制限手段と、前記アクセス制限を終了する終了条件を検出した場合には、前記アクセス制限を終了するアクセス制限終了手段と、を備えることを特徴とする。
【0019】
この発明によれば、複数のインターフェースを有するICチップにおいて、インターフェースを介した外部からの不正なアクセスによる機密情報の漏洩をICチップの記憶領域の設定を変更することなく効率よく防止する。
【0020】
請求項2に記載の発明は、請求項1に記載のICチップであって、前記アクセス制限手段は、当該実行されているトランザクションの処理を中断する処理であることを特徴とする。
【0021】
請求項3に記載の発明は、請求項1又は2に記載のICチップであって、前記アクセス制限手段は、検知された不正なアクセスを遮断する処理であることを特徴とする。
【0022】
請求項4に記載の発明は、請求項1乃至3の何れか一項に記載のICチップであって、前記管理テーブルには、更に、トランザクションの実行に用いられるアプリケーションの種類が、トランザクション毎に対応付けて記憶されており、前記不正な攻撃と判定されるコマンドは、前記検出した開始条件に示されるトランザクションと対応付けて記憶されたアプリケーション以外のアプリケーションの制御に基づいて、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域にアクセスするコマンドであることを特徴とする。
【0023】
請求項5に記載の発明は、請求項1乃至4の何れか一項に記載のICチップであって、前記インターフェースを介して受信したコマンドに基づいて、前記所定のトランザクションに関する処理が実行され、前記開始条件が検出された場合に、前記コマンドが受信されたインターフェースの種類を記憶するアクセス制御情報記憶手段と、を更に備え、前記アクセス制限手段は、前記コマンドが受信されたインターフェースと異なるインターフェースから不正な攻撃と判定されるコマンドが入力された場合には、前記アクセス制限を開始することを特徴とする。
【0024】
請求項6に記載の発明は、請求項1乃至5の何れか一項に記載のICチップであって、前記ICチップは、UIM(User Identity Module)に搭載されていることを特徴とする。
【0025】
請求項7に記載の発明は、請求項6に記載のICチップであって、前記UIMは、携帯端末に装着されていることを特徴とする。
【0026】
請求項8に記載の発明は、複数のインターフェースを有し、前記インターフェースを介して受信したコマンドに基づいて複数のトランザクションが実行されるICチップにおける処理方法であって、各トランザクションの実行の際に用いられるデータが記憶される記憶部の所定領域を示す情報が、当該トランザクション毎に対応付けて管理テーブルに記憶する管理情報記憶工程と、所定のトランザクションに関する処理を開始条件として検出した場合であって、不正な攻撃と判定されるコマンドが入力された場合には、前記管理テーブルを参照して、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域のアクセス制限を開始するアクセス制限工程と、前記アクセス制限を終了する終了条件を検出した場合には、前記アクセス制限を終了するアクセス制限終了工程と、を有することを特徴とする。
【0027】
請求項9に記載の発明は、複数のインターフェースを有し、前記インターフェースを介して受信したコマンドに基づいて複数のトランザクションが実行されるICチップに含まれるコンピュータを、各トランザクションの実行の際に用いられるデータが記憶される記憶部の所定領域を示す情報が、当該トランザクション毎に対応付けて管理テーブルに記憶する管理情報記憶手段、所定のトランザクションに関する処理を開始条件として検出した場合であって、不正な攻撃と判定されるコマンドが入力された場合には、前記管理テーブルを参照して、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域のアクセス制限を開始するアクセス制限手段、前記アクセス制限を終了する終了条件を検出した場合には、前記アクセス制限を終了するアクセス制限終了手段、として機能させることを特徴とする。
【0028】
請求項10に記載の発明は、複数のインターフェースを有し、前記インターフェースを介して受信したコマンドに基づいて複数のトランザクションが実行される接触型ICチップと、当該ICチップと第一の前記インターフェースを介して通信可能なコントローラとを備える携帯端末において、前記接触型ICチップは、各トランザクションの実行の際に用いられるデータが記憶される記憶部の所定領域を示す情報が、当該トランザクション毎に対応付けて管理テーブルに記憶する管理情報記憶手段と、所定のトランザクションに関する処理を開始条件として検出した場合であって、不正な攻撃と判定されるコマンドが入力された場合には、前記管理テーブルを参照して、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域のアクセス制限を開始するアクセス制限手段と、前記アクセス制限を終了する終了条件を検出した場合には、前記アクセス制限を終了するアクセス制限終了手段と、を備えることを特徴とする。
【発明の効果】
【0029】
以上のように、本発明によれば、複数のインターフェースを有するICチップにおいて、インターフェースを介した外部からの不正なアクセスによる機密情報の漏洩を効率よく防止することができる。
【図面の簡単な説明】
【0030】
【図1】本実施形態に係る携帯端末の概要構成例を示すブロック図である。
【図2】管理テーブル及びその他の関連情報を示す概念図である。
【図3】管理テーブル及びUIM13の不揮発性メモリの領域をバイナリ表現で示す概念図である。
【図4】開始条件テーブル、アクセス制限用テーブル、及び終了条件テーブルを示す図である。
【図5】本実施携帯に係る携帯端末1の動作を示すフローチャートである。
【図6】コマンド実行処理におけるUIM13の動作を示すフローチャートである。
【図7】コマンドプログラムコードの実行処理におけるUIM13の動作を示すフローチャートである。
【図8】決済アプリケーションによる決済処理が実行された場合に起こりえるセキュリティ上の問題を示す概念図である。
【発明を実施するための形態】
【0031】
[1.携帯端末の構成及び機能概要]
以下、図面を参照して本発明の実施形態について詳細に説明する。以下に説明する実施形態は、携帯端末に対して本発明を適用した場合の実施の形態である。
【0032】
先ず、図1を参照して、本実施形態に係る携帯端末の構成及び機能概要について説明する。
【0033】
図1は、本実施形態に係る携帯端末の概要構成例を示すブロック図である。
【0034】
図1に示すように、携帯端末1は、携帯端末1の機能を担うコントローラ11、CLF12、及びUIM13等を備えて構成されている。なお、携帯端末1には、例えば操作キー、ディスプレイ、スピーカ、及び移動体通信部(W−CDMA又はCDMA2000の通信方式による一般的な通信制御機能、URLを指定することで所定のサーバにアクセスして所定の情報を受けるブラウザ機能、及びメーラ機能等の通信処理を行う。)等を備える携帯電話機やPDA等を適用できる。なお、携帯端末1におけるこれらの機能は公知であるため詳しい説明を省略する。
【0035】
コントローラ11は、図示しないが、CPU(Central Processing Unit)、各種プログラム及びデータを記憶する不揮発性メモリ(例えばフラッシュメモリ等)、データを一時記憶するRAM、UIM13との間のインターフェースを担うI/Oポート等を備えている。コントローラ11は、UIM13との間でインターフェースを介して通信可能になっている。そして、コントローラ11は、携帯端末1の通信処理(移動体通信網やインターネットを介して行われる通信)や携帯端末1のユーザからの操作キーを介した操作指示に応じて各種処理を実行する。このような処理の過程で、コントローラ11は、例えば、基地局3との間で行われる通話処理(着信処理を含む)、Webアクセス、メール送受信等の通信処理に関するサービス、その他暗号化処理や認証処理等のサービス(本願のトランザクションを含む)を実行するためのコマンド(信号)を、インターフェース(後述する接触I/Oポートを含む)を介してUIM13へ送信する。
【0036】
本実施形態において、コントローラ11とUIM13との間におけるコマンドの送受信に基づいて実行されるサービス(上記通信処理に関するサービス等)を、接触サービスと称する。また、接触サービスを実行するためのコマンド(例えば、データの読み出し命令等)を、接触コマンドと称する(図1イ参照)。なお、上記接触サービスを実行するために必要な接触コマンドの送受信は、1回だけでなく複数回行われる場合もある。
【0037】
また、本実施形態において、携帯電話1に所定の機能(例えば上記サービスの一部分)や上記サービス全体を実行させるための一又は複数のコマンドの集合によって実行される処理を、トランザクションとする。即ちトランザクションは、一又は複数のコマンドの処理によって実行される所定の機能やサービスを、一つの処理として管理するために用いられる。従って、トランザクションには、上記サービス全体を示す場合も含まれるし、上記サービスの一部分を示す場合も含まれる。以下、所定のトランザクションとした場合には、上記所定のサービスの一部分や全体を実行させるための一又は複数のコマンドの集合によって実行される処理を示すものとする。この所定のトランザクションの一例として、例えば、セッション情報が生成されてから消去されるまでの期間を所定のトランザクションと想定することができる。以下に事例に沿った具体例について説明する。
【0038】
携帯電話1がサービスを実行する際には、セッション情報(当該サービスに関する情報)が生成され、記憶されるようになっている。具体的には、例えば、決済処理を実行する決済処理アプリ(後述する非接触アプリの一例)では、入力されたコマンドに示される当該決算処理を実行する際に、実行された処理の各段階に伴って生成される決算処理で決定される取引金額に関する情報や、暗証番号等の機密情報がセッション情報として生成され記憶されるようになっている。そして、当該サービスの終了に伴って、このセッション情報は消去される。
【0039】
即ち、このセッション情報が生成されてから消去されるまでの間には、携帯電話1は一又は複数のコマンドを受信して、所定の処理を実行するようになっている。このセッション情報が生成されてから消去されるまでの期間を、トランザクションと考えることができる。トランザクションとは、通常、携帯電話1に所定の機能(例えば、上記サービスの一部分)や上記サービス全体を実行させるための一又は複数のコマンドによって実行される処理を示すからである。
【0040】
CLF(Contactless Front End)12は、NFCの規格で規定される非接触通信を行う非接触型ICチップであり(即ち、NFC方式を採用)、図示しないが、CPU、各種プログラム及びデータを記憶する不揮発性メモリ、データを一時記憶する揮発性メモリ(例えば、RAM等)、UIM13との間のインターフェースを担うI/Oポート(SWIO)等を備えている。このNFC規格で規定されるCLF12では、Type−A、Type−Bの通信方式に加えて、FeliCa(登録商標)の通信方式もType−Fとしてサポートしている。このようなCLF12は、非接触のフィールド内で非接触リーダ2との間で上記通信方式に準じた各種信号の送受信を行うためのアンテナ12aに接続されている。そして、ユーザが携帯端末1を非接触リーダ2に翳すと、CLF12は、非接触リーダ2から送信されたサービス(本願のトランザクションを含む)を実行するためのコマンドを、インターフェース(後述する非接触I/Oポートを含む)を介してUIM13へ送信するようになっている。
【0041】
上記サービスとしては、例えば、クレジットカードや電子マネー等の決済処理(サービス)、鉄道及びバス等の交通機関のプリペイドカード及び定期券、施設の入退出管理等が該当する。
【0042】
本実施形態において、CLF12と非接触リーダ2との間のコマンドの送受信に基づいて実行されるサービス(上記決済処理等)を、非接触サービスと称する。また、非接触サービスを実行するためのコマンドを、非接触コマンドと称する(図1ロ参照)。なお、上記非接触サービスを実行するために必要な非接触コマンドの送受信は、1回だけでなく複数回行われる場合もある。
【0043】
UIM13は、UICC(Universal Integrated Circuit Card)の一つであり、従来のSIM(Subscriber Identity Module)をベースに機能が拡張された接触型ICチップを搭載する。そして、UIM13は、CPU(本実施形態における管理情報記憶手段、アクセス制限手段、アクセス制限終了手段、及びアクセス制御情報記憶手段の一例)、各種プログラム及びデータを記憶する不揮発性メモリ(本実施形態における記憶部の一例)、データを一時記憶する揮発性メモリ(例えば、RAM等)、コントローラ11との間のインターフェースを担う接触I/Oポート(本願の複数のインターフェースの一例)、及びCLF12との間のインターフェースを担う非接触I/Oポート(本願の複数のインターフェースの一例)等を備えている。なお、CLF12とUIM13間のインターフェースには、SWP(Single Wire Protocol)が適用される。また、以下単にUIM13を記す場合には、UIM13のCPUを含むものとする。従って、UIM13の動作と記す場合には、UIM13のCPUの動作を含むものとする。
【0044】
また、UIM13の不揮発性メモリに記憶されるプログラムには、UIM13全体の動作を統括的に制御するオペレーティングシステム(以下、「OS」とする)の他、CLF12から受信した非接触コマンドの処理を制御する非接触インターフェースアプリケーションプログラム(以下、「非接触アプリ」という)と、コントローラ11から受信した接触コマンドの処理を制御する接触インターフェースアプリケーションプログラム(以下、「接触アプリ」という)が実装されている。また、「非接触アプリ」と「接触アプリ」を、「アプリ」と総称する。本実施形態における携帯端末1では、非接触アプリの制御によって非接触サービス(上述したトランザクションを含む)が実行され、また、接触アプリの制御によって接触サービス(上述したトランザクションを含む)が実行されるようになっている。なお、上述したトランザクションは、このアプリの制御に基づいて実行されることとなる。
【0045】
さらに、UIM13の不揮発性メモリには、管理テーブルが記憶されている。
【0046】
ここで、管理テーブルについて、図2及び図3を用いて説明する。図2は管理テーブルの概要を示す概念図である。
【0047】
一般的に、上記アプリが実行される場合には、UIM13は、非接触I/Oポート又は接触I/Oポート等のインターフェースから入力されたコマンドに示す処理を実行する際に、UIM13の揮発性メモリ等(UIM13の不揮発性メモリでもよい。)の所定の領域を作業領域として利用する。
【0048】
具体的には、決済処理を実行する決済処理アプリ(非接触アプリの一例)では、上述したように、入力されたコマンドに示される当該決算処理を実行する際に、実行された処理の各段階に伴って生成される情報(例えば、決算処理で決定される取引金額に関する情報や暗証番号等の機密情報を含むセッション情報等)が、UIM13の揮発性メモリの所定の領域に、一時的に記憶される。そして、セッション情報にあっては、決算処理の終了に伴って、揮発性メモリから消去される。
【0049】
本実施形態における管理テーブルには、所定のトランザクションを実行するために用いられるアプリと、当該アプリの実行(即ち、トランザクションの実行)の際に用いられるデータが記憶される(例えば、上記作業領域として利用される)UIM13の揮発性メモリのアドレス(本願の記憶部の所定領域を示す情報の一例)とが、トランザクション毎に対応付けて記憶されている。
【0050】
なお、アプリの実行の際に用いられるデータとしては、種々のデータを設定することができ、上述した実行された処理の各段階に伴って生成される情報の全てを設定する他、個人情報や機密情報など特に秘匿性の高いデータを選択して設定するようにしてもよい。そして、このように設定されたアプリの実行の際に用いられるデータと、当該データが記憶されるUIM13の揮発性メモリのアドレスと、当該データを取り扱うトランザクションとを対応付けて記憶する。
【0051】
具体的に、図2(A)に示すように、管理テーブルには、所定のトランザクションを実行するために用いられるアプリを示すトランザクション識別子と、当該アプリの実行の際に用いられるデータが記憶されるUIM13の揮発性メモリのラベルと、が対応付けて記憶されている。
【0052】
具体的には、上記アプリの一例としてApplication AとラベルABCが、Application BとラベルDEFが、Application CとラベルGHIが、それぞれ対応付けて記憶されている。なお、上記ラベルは、UIM13の揮発性メモリの一又は複数のアドレスにつける仮の名称を示している。
【0053】
そしてラベルの詳細として、図2(B)に示すように、UIM13の揮発性メモリのアドレスが0x1000〜0x1100を示すものにはラベルABCが、UIM13の揮発性メモリのアドレスが0x1500〜0x1800を示すものにはラベルDEF、UIM13の揮発性メモリのアドレスが0x1A00〜0x1C00を示すものにはGHIが夫々付けられている。
【0054】
すなわち、図2(A)及び(B)によって、上記アプリの一例としてApplication Aと上記アドレスの0x1000〜0x1100が、Application Bと0x1500〜0x1800が、Application Bと0x1A00〜0x1C00がそれぞれ対応付けて記憶されていることとなる。
【0055】
図2(C)には、上述した図2(A)及び(B)によって示された上記アプリと、当該アプリの実行の際に用いられるデータが記憶されるアドレスが対応付けて記憶されたUIM13の不揮発性メモリの領域を概念的に示す概念図が示されている。また、図3は管理テーブル及びUIM13の不揮発性メモリの領域を中間言語が扱うデータをバイナリ表現で示す概念図である。図3に示す各情報は、上述した図2に示す管理テーブルの情報と表現形式が異なるが、同一の内容を示すものである。
【0056】
バイナリ表現形式では、起動されるアプリごとにフレーム(図3(B))が読み出される。フレームには、所定のトランザクションを実行するために用いられるアプリと、当該アプリの実行の際に用いられるデータが記憶されるUIM13の揮発性メモリのアドレスが対応付けて記憶されたテーブル(図3(A))と、コマンドの受信に用いられるインターフェースの種類(図3(A))が記憶されている。
【0057】
なお、図3(A)は、例えばJava(登録商標)言語におけるオブジェクト参照値であり、Javaのバイトコードはこのオブジェクト参照値によりオブジェクトを識別する。従って、図2に示すアクセス制限対象領域はアドレスで領域を指定することができるが、図3に示す例では、オブジェクトのBodyがアクセス制限対象領域となる。
【0058】
[2. 開始条件、アクセス制限、及び終了条件におけるUIM13の動作]
次に、図4を用いて、本実施形態に係る開始条件、アクセス制限、及び終了条件におけるUIM13の動作について説明する。
【0059】
本実施形態に係るUIM13は、所定のトランザクションに関する処理を開始条件として検出した場合であって、不正な攻撃と判定されるコマンドが入力された場合には、前記管理テーブルを参照して、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域のアクセスを制限するアクセス制限を開始する。そして、アクセス制限を終了する終了条件を検出した場合には、前記アクセス制限を終了するようになっている。
【0060】
以下、開始条件、アクセス制限、及び終了条件について詳細に説明する。
【0061】
まず、開始条件について説明する。
【0062】
上述したように本実施形態における携帯端末1は、携帯端末1からUIM13へ常に起電力が供給され2つのインターフェースが同時に機能するため、非接触インターフェースを介したトランザクション中(例えば、決済処理中)に、接触インターフェースからの処理、例えば、不正にセッション情報を読み出すコマンド等により、セッション情報にアクセスされ漏洩する恐れがある。そして、これらのセッション情報を収集し、暗号アルゴリズムが内包する脆弱性を利用することでセッション情報を生成するために必要な秘密情報を推定することができる(不正な攻撃をうける)。
【0063】
本実施形態におけるUIM13は、このような不正な攻撃からの防御策として上記アクセス制限を開始する。そして、上述した開始条件とは、上記アクセス制限を開始する条件を示し、本実施形態では、開始条件として予め記憶された所定のトランザクションに関する処理が開始されたことを検出した場合に上記アクセス制限を開始するようになっている。この所定のトランザクションに関する処理は、例えば、UIM13の不揮発性メモリに記憶されるようにしてもよい。
【0064】
ここで、図4(A)を用いて、本願の所定のトランザクションに関する処理の一例について詳細に説明する。
【0065】
図4(A)は、UIM13の不揮発性メモリに記憶された所定のトランザクションに関する処理を示す条件を示す開始条件テーブルである。
【0066】
図4(A)に示すように、所定のトランザクションに関する処理の一例として、例えば、
a)予め定められたアプリケーションの選択処理が実行された場合、
b)所定のインターフェースからコマンドを受信した場合、
c)予め定められた特定のトランザクション(処理)を実行させるコマンドを受信した場合、
等が設定される。
【0067】
ここで、予め定められたアプリケーションとは、例えば、携帯端末1に搭載される非接触アプリ全てや、特定の非接触アプリ(例えば、上記決済処理を行う決済処理アプリ等)を任意に設定することができる。
【0068】
また、所定のインターフェースからコマンドを受信した場合とは、例えば、非接触I/Oポートからコマンドを受信した場合等を設定することができる。
【0069】
また、特定のアプリケーション処理を実行させるコマンドとは、アプリケーションが実行するトランザクションのうち特定のトランザクションを実行させるコマンドを受信した場合が該当し、例えば、アプリケーションの種類が決済処理を実行するアプリケーションであった場合には、認証処理を開始するコマンド等を任意に設定することができる。
【0070】
所定のトランザクションに関する処理としては、上述した例に限られず、任意の条件を設定することができる。
【0071】
そして、UIM13は、この所定のトランザクションに関する処理(即ち、開始条件)が検出されている間、不正な攻撃と判定されるコマンドが入力された場合には、アクセス制限を開始する。ここで、所定のトランザクションに関する処理が検出されている間とは、上記開始条件が検出されて、後述する終了条件が検出されるまでの期間を示す。
【0072】
このアクセス制限は、上述した不正な攻撃から防御しつつ、実行すべきトランザクションを処理することを目的とする。かかる目的を達成するために、本実施形態におけるUIM13は、上記不正な攻撃と判定されるコマンドに対しては、上記防御の一例として、アクセス制限を開始する。
【0073】
アクセス制限は種々の処理を適用することが可能であるが、本実施形態においては、一例として、当該実行されているトランザクションの処理を中断する処理、あるいは検知された不正なアクセスを遮断する処理を開始する。
【0074】
以下に、上記アクセス制限におけるUIM13の動作について説明する。
【0075】
まず、UIM13は、上述した開始条件を検出すると、アクセス制限用テーブルを、例えばUIM13のRAM等に生成する。アクセス制限用テーブルには、開始されるアクセス制限の情報が記憶されるようになっている。
【0076】
ここで、アクセス制限用テーブルについて、図4(B)を用いて説明する。
【0077】
図4(B)は、アクセス制限テーブルを示す図である。
【0078】
図4(B)に示すように、アクセス制限用テーブルには、開始条件を検出していることを示すアクセス制限実施フラグ(当該フラグをONとしたもの)、アクセス制限の対象となるトランザクションを実行するアプリを示すトランザクション識別子、上記所定のトランザクションに関する処理が実行されるきっかけとなるコマンドが入力されたインターフェース(I/Oポート)の他、終了条件を検出しアクセス制限を終了したことを示すアクセス制限実施フラグ(当該フラグをOFFとしたもの)等が記憶される。
【0079】
具体的な動作として、UIM13は、上述した開始条件を検出すると、アクセス制限実施フラグをONとする。そして、UIM13は、管理テーブル(図2(A))を参照して、当該開始条件に対応付けて記憶された上記トランザクション識別子等を、アクセス制限用テーブルに記憶する。
【0080】
例えば、開始条件がa)予め定められたアプリケーションの選択処理が実行された場合では、UIM13は、管理テーブルを参照して、当該管理テーブルに示される当該アプリケーションに対応付けて記憶されたトランザクション識別子と、上記アプリケーションの選択処理を示すコマンドが入力されたインターフェースを、アクセス制限用テーブルに記憶する。
【0081】
また、開始条件がb)所定のインターフェースからコマンドを受信した場合では、UIM13は、管理テーブルを参照して、当該管理テーブルに記憶されたトランザクション識別子と、前記コマンドが受信されたインターフェースとともにアクセス制限用テーブルに記憶する。
【0082】
また、開始条件がc)予め定められた特定のトランザクションを実行させるコマンドを受信した場合では、UIM13は、管理テーブルを参照して、当該管理テーブルに示される上記特定のトランザクション識別子と、上記アプリケーションの選択処理を示すコマンドが入力されたインターフェースを、アクセス制限用テーブルに記憶する。
【0083】
そして、あるI/Oポート(インターフェース)からUIM13の揮発性メモリ等の所定領域にアクセスするコマンド(以下、単に「アクセス命令」とする。)を受信し、例えば、アプリケーション実行環境がアプリケーションコードを実行する過程で、UIM13は、UIM13の揮発性メモリ等の所定領域(例えば、セッション情報が記憶される所定の領域)へのアクセス命令を実行する前に、当該コマンドが、不正な攻撃と判定されるコマンドであるか否かを判定する。具体的には、以下に示すイ)〜二)に該当する場合には、不正な攻撃と判定しアクセス制限を開始する。
【0084】
このイ)及びロ)について、具体的には、
イ)アクセス制限用テーブルに記憶されたアクセス制限実施フラグがONであること。
【0085】
即ち、UIM13は、新たにコマンドを受信した場合に、既に開始条件に該当し上記アクセス制限が開始されている場合が該当する。
【0086】
ロ)アクセス命令によってアクセスするUIM13の揮発性メモリ等の所定領域が、トランザクション識別子(即ち、アクセス制限の対象となるトランザクションを実行するアプリ)と対応付けて記憶された領域である場合。
【0087】
即ち、受信したアクセス命令によってアクセスされようとするUIM13の揮発性メモリ等の所定領域のアドレスが、管理テーブル(図2(A))でアプリ(トランザクション識別子)と対応づけて記憶されたUIM13の揮発性メモリのラベル(所定領域)と一致する場合が該当する。
【0088】
ハ)アクセス命令に基づいてアクセスを試みたアプリ(トランザクションを実行するためのアクセス命令を実行するトランザクション識別子)と、現在実行中のトランザクション識別子(現在実行されているトランザクションを実行するためのアプリ)が一致しない場合。
【0089】
即ち、上記開始条件に示されるトランザクションと対応付けて記憶されたトランザクション識別子(アプリの種類)以外のアプリケーションの制御に基づいて、コマンドが入力された場合が該当する。
【0090】
また、ニ)上記ハ)に該当しない場合(即ち、アクセス命令によってアクセスを試みたアプリと、現在実行中のトランザクション識別子が一致)する場合であっても、上記アクセス制限用テーブルに記憶されたインターフェース以外のインターフェースからコマンドが受信された場合であって、認証処理が正しく実施されていない場合は、例外的に、アクセス制限を開始する。
【0091】
ここで、認証処理について説明する。
【0092】
決済アプリケーションによる決済処理が実行される場合を例に説明する。決済処理の詳細については、図8を用いて既に説明したが、UIM13は、認証依頼を示すコマンドの送受信により決済用の端末との間で認証処理を行い、当該決済用の端末が正当な通信相手であるか否かを判別する。
【0093】
そして、認証処理の結果、上記決済用の端末が正当な通信相手であると判定した場合(認証処理が正常終了した場合)には、セッション情報の生成により決済処理の各段階に伴って生成される情報を送受信され、上記決済処理が行われる。
【0094】
本実施形態では、UIM13と外部の機器等との間で上記認証処理が正常終了した場合には、UIM13は、当該外部の機器等から送信されるコマンドを正常なアクセスであると擬制して、アクセス制限を行わず、以後の処理を実行するようになっている。
【0095】
具体的には、上記決済処理の場合では、UIM13に記憶される決済処理用のアプリと、上記外部の機器等に記憶されるアプリの制御のもと、UIM13と外部機器との間で認証コマンド、又はPIN照合等が行われることにより、上記認証処理が行われるようになっている。
【0096】
そして、上記認証処理が行われた場合には、受信したコマンドが、アクセス制限の対象となるトランザクションの実行に用いられるインターフェース以外のインターフェースから受信されたものであっても、正当な領域にアクセスするトランザクションである場合には、UIM13は、当該コマンドは、通常処理を継続するようになっている。
【0097】
一方、上記認証処理が行われていない場合には、UIM13は、受信したコマンドを、不正にセッション情報を読み出すコマンドであると判定し、上記アクセス制限を開始する。
【0098】
なお、上記アクセス制限実施フラグがOFFである場合には、上記(ロ)及び(ハ)がいかなる状態であっても、アクセス制限は開始されない(上記(ロ)及び(ハ)の項目のチェックは行わない)。
【0099】
そして、UIM13は、終了条件を検出するまでアクセス制限を実行するようになっている。
【0100】
ここで、終了条件について、図4(C)を用いて説明する。
【0101】
終了条件とは、実行中のアクセス制限を終了する条件を示し、以下に示すように任意に設定することができる。
【0102】
図4(C)に示すように、終了条件の一例として、例えば、
a)所定のコマンドシークエンスを正常終了した場合(予め定められた数のコマンドを処理した場合(上記トランザクションの終了に係らず))、
b)所定のコマンド数の正常終了した場合(上記トランザクションが終了するために必要なコマンドを全て処理した場合)、
c)トランザクションを構成するコマンド応答が異常終了した場合(UIM13がトランザクションを実行するためのコマンドを処理中に、何らかの以上が発生し終了した場合)、
d)上記トランザクションが開始されてから一定の時間が経過した場合(UIM13が、開始条件に該当するトランザクションが実行されてから、所定の時間が経過した場合)等を設定することができる。
【0103】
この終了条件は、例えば、UIM13の不揮発性メモリに記憶されるようにしてもよいし、その他のメモリ(ROM等)に記憶するようにしてもよい。なお、終了条件は上記に限られず、任意に設定することができる。
【0104】
そしてUIM13は、終了条件に該当したことを検出した場合にはアクセス制限を終了する。
【0105】
具体的には、UIM13は、アクセス制限用テーブルを消去(記憶された内容を削除。初期化。)する。例えば、アクセス制限用テーブルに記憶されたアクセス制限実施フラグをOFFとし、記憶したインターフェース情報をクリア、トランザクション識別子をクリア、他IF上での認証済みフラグをOFFとする。また、UIMの引き抜き、電力供給の停止等が発生し、再度UIMが活性化された場合は、活性化時に同様な値を設定する処理を実行する。
【0106】
これらの処理により、リソースの利用効率を落とすことなく、非接触I/Oポート(非接触インターフェース)経由でトランザクションを処理中のアプリケーションが生成した機密情報を他のインターフェース(I/Oポート)を経由してカード外部へ不正に取り出す行為を検出し、防止することが可能になる。
【0107】
[3.コマンドを受信してからレスポンスを送信するまでのUIM13の動作]
次に、本実施形態におけるコマンドを受信してからレスポンスを送信するまでのUIM13の動作について、図5〜7を用いて説明する。
【0108】
図5は、コマンドを受信してからレスポンスを送信するまでの携帯端末1の動作を示すフローチャートである。
【0109】
図5に示すように、UIM13は、外部から送信されたコマンドを受信すると(ステップS1)、コマンド情報(APDU)の解釈等を含むコマンド受信処理を行う。
【0110】
そして、UIM131は、コマンド情報(APDU)に含まれるコマンドの実行処理を開始する(ステップS2)。
【0111】
図6は、コマンド実行処理におけるUIM13の動作を示すフローチャートである。
【0112】
ここでは、UIM13は、主として上述した開始条件の検出を行う。
【0113】
具体的には、図6に示すように、UIM13は、アクセス制限用テーブル(図4(B))を参照して、アクセス制限実施フラグが、ONかOFFかを判定する(ステップS11)。
【0114】
アクセス制限実施フラグがONであった場合には(ステップS11:YES)、コマンドの実行処理を行うべく、コマンドプログラムコードの実行(ステップS14)へ処理を移行する。
【0115】
一方、アクセス制限実施フラグがOFFであった場合には(ステップS11:NO)、UIM13は、開始条件テーブル(図4(A))を参照して、開始条件に該当するか否か(即ち、開始条件を検出するか)を判定する(ステップS12)。
【0116】
開始条件を検出した場合には(ステップS12:YES)、UIM13は、アクセス制限フラグをONにセットする(ステップS13)。
【0117】
一方、開始条件を検出しなかった場合には(ステップS12:NO)、UIM13は、コマンドの実行処理を行うべく、コマンドプログラムコードの実行(ステップS14)へ処理を移行する。
【0118】
そして、UIM13は、コマンドプログラムコードの実行処理を行う。
【0119】
図7は、コマンドプログラムコードの実行処理におけるUIM13の動作を示すフローチャートである。
【0120】
図7に示すように、UIM13は、例えばROM等のメモリを参照して、コマンド情報(APDU)に含まれるコマンドに対応するプログラムコード(コマンドが示す具体的な処理内容)が存在するか否かを判定する(ステップS21)。
【0121】
プログラムコードが存在したと判定した場合には(ステップS21:YES)、UIM13は、メモリからプログラムコードを読出す(ステップS22)。一方、プログラムコードが存在しないと判定した場合には(ステップS21:NO)、UIM13は、アクセス制限関連情報の消去(例えば、アクセス制限用テーブルに記憶された情報を消去等)等の初期化を行い(ステップS33)、コマンドプログラムコードの実行を終了し、コマンドに対するレスポンスを送信する。
【0122】
次に、UIM13は、読出したプログラムコード(命令)が、例えば、UIM13の揮発性メモリ等の所定の領域に対するアクセス命令(例えば、UIM13の揮発性メモリ等の所定の領域を作業領域として利用するため等の目的)であるか否かを判定する(ステップS23)。以下、不揮発性メモリ13の所定の領域に対するアクセス命令を、単に「領域アクセス命令」と称する。
【0123】
領域アクセス命令でなかった場合には(ステップS23:NO)、UIM13は、読み出した命令を処理した後にPC(Program Counter)を更新して(ステップS24)、ステップS21の処理へ移行する。
【0124】
一方、領域アクセス命令であった場合には(ステップS23:YES)、UIM13は、アクセス制限を開始するか否かを判定すべく、ステップS25〜30の判定を行う。
【0125】
具体的には、まず、UIM13は、アクセス制限実施フラグがONかOFFか(上記イ)に該当するか否か)を判定する(ステップS25)。
【0126】
アクセス制限実施フラグがOFFと判定された場合には(ステップS25:NO)、領域アクセス命令を実行した後にPC(Program Counter)を更新して(ステップS26)、ステップS21の処理へ移行する。
【0127】
一方、アクセス制限実施フラグがONと判定された場合には(ステップS25:YES)、UIM13は、領域アクセス命令によってアクセスするUIM13の揮発性メモリ等の所定領域が、トランザクション識別子と対応付けて記憶された領域であるか否か(上記ロ)に該当するか否か)を判定する(ステップS27)。
【0128】
そして、領域アクセス命令によってアクセスするUIM13の揮発性メモリ等の所定領域が、トランザクション識別子と対応付けて記憶された領域でないと判定された場合には(ステップS27:NO)、領域アクセス命令を実行した後にPC(Program Counter)を更新して(ステップS26)、ステップS21の処理へ移行する。
【0129】
一方、領域アクセス命令によってアクセスするUIM13の揮発性メモリ等の所定領域が、トランザクション識別子と対応付けて記憶された領域であると判定された場合には(ステップS27:YES)、領域アクセス命令に基づいてアクセスを試みたアプリと、現在実行中のトランザクション識別子が一致するか(上記ハ)に該当するか)を判定する(ステップS28)。
【0130】
そして、領域アクセス命令に基づいてアクセスを試みたアプリと、現在実行中のトランザクション識別子が一致しない場合には(ステップS28:NO)、アクセス制限を開始する(ステップS31)。そして、UIM13は、アクセス制限実施フラグがONであり、終了条件に該当するか否かを判定する(ステップS32)。
【0131】
そして、UIM13は、アクセス制限実施フラグがONであり、終了条件に該当した場合には(ステップS32:YES)、アクセス制限関連情報を消去し、初期化(例えば、アクセス制限テーブルに記憶される情報をリセット等)を行う(ステップS33)。
【0132】
そして、UIM13は、コマンドプログラムコードの実行を終了し、コマンドに対するレスポンスを送信する(ステップS3)。
【0133】
一方、領域アクセス命令に基づいてアクセスを試みたアプリと、現在実行中のトランザクション識別子が一致した場合には(ステップS28:YES)、アクセス制御用テーブルに記憶されたインターフェースと一致するか(上記二)に該当するか)否かを判定する(ステップS29)。
【0134】
ここでは、UIM13は、上述したように、アクセス制限用テーブルに記憶されたインターフェース以外のインターフェースからコマンドが受信されたか否かを判定する。
【0135】
そして、アクセス制御用テーブルに記憶されたインターフェースと一致した場合には、(ステップS29:YES)、領域アクセス命令を実行した後にPC(Program Counter)を更新して(ステップS26)、ステップS21の処理へ移行する。
【0136】
一方、アクセス制御用テーブルに記憶されたインターフェースと一致しないと判定された場合には、(ステップS29:NO)、UIM13は、認証処理が完了しているか否か(上記二)に該当するか否か)を判定する(ステップS30)。
【0137】
認証処理が完了していると判定された場合には(ステップS30:YES)、領域アクセス命令を実行した後にPC(Program Counter)を更新して(ステップS26)、ステップS21の処理へ移行する。
【0138】
一方、認証処理が完了していないと判定された場合には(ステップS30:NO)、アクセス制限を開始する(ステップS31)。そして、UIM13は、アクセス制限実施フラグがONであり、終了条件に該当するか否かを判定する(ステップS32)。
【0139】
そして、UIM13は、アクセス制限実施フラグがONであり、終了条件に該当した場合には(ステップS32:YES)、アクセス制限関連情報を消去し、初期化(例えば、アクセス制限テーブルに記憶される情報をリセット等)を行う(ステップS33)。
【0140】
そして、UIM13は、コマンドプログラムコードの実行を終了し、コマンドに対するレスポンスを送信する(ステップS3)。
【0141】
なお、以上説明した実施形態は特許請求の範囲に係る発明を限定するものではない。そして、上記実施形態の中で説明されている構成の組み合わせ全てが発明の課題解決に必須の手段であるとは限らない。
【0142】
以上説明したように、本実施形態によれば、UIM13は、開始条件を検出すると、不正な攻撃と判定されるコマンドが入力された場合には、上記管理テーブルを参照して、上記検出した開始条件に示されるトランザクションと対応付けて記憶された揮発性メモリ等の所定領域のアクセスを制限するアクセス制限を開始し、終了条件を検出した場合には、上記アクセス制限を終了するように構成したため、複数のインターフェースを有するICチップにおいて、インターフェースを介した外部からの不正なアクセスによる機密情報の漏洩をICチップの記憶領域の設定を変更することなく効率よく防止することができる。
【0143】
なお、上記実施形態においては、本願を携帯端末1に搭載されたUIMに対して適用した場合を例に説明したが、インターフェースを介して複数のプロトコル(例えば、USB等)によって他の携帯端末と通信を行うことが可能なその他の携帯端末に対しても適用することができる。
【符号の説明】
【0144】
1 携帯端末
2 非接触リーダ
3 基地局
11 コントローラ
12 CLF
13 UIM
【特許請求の範囲】
【請求項1】
複数のインターフェースを有し、前記インターフェースを介して受信したコマンドに基づいて複数のトランザクションが実行されるICチップであって、
各トランザクションの実行の際に用いられるデータが記憶される記憶部の所定領域を示す情報が、当該トランザクション毎に対応付けて管理テーブルに記憶する管理情報記憶手段と、
所定のトランザクションに関する処理を開始条件として検出した場合であって、不正な攻撃と判定されるコマンドが入力された場合には、前記管理テーブルを参照して、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域のアクセス制限を開始するアクセス制限手段と、
前記アクセス制限を終了する終了条件を検出した場合には、前記アクセス制限を終了するアクセス制限終了手段と、
を備えることを特徴とするICチップ。
【請求項2】
請求項1に記載のICチップであって、
前記アクセス制限手段は、当該実行されているトランザクションの処理を中断する処理であることを特徴とするICチップ。
【請求項3】
請求項1又は2に記載のICチップであって、
前記アクセス制限手段は、検知された不正なアクセスを遮断する処理であることを特徴とするICチップ。
【請求項4】
請求項1乃至3の何れか一項に記載のICチップであって、
前記管理テーブルには、更に、トランザクションの実行に用いられるアプリケーションの種類が、トランザクション毎に対応付けて記憶されており、
前記不正な攻撃と判定されるコマンドは、 前記検出した開始条件に示されるトランザクションと対応付けて記憶されたアプリケーション以外のアプリケーションの制御に基づいて、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域にアクセスするコマンドであることを特徴とするICチップ。
【請求項5】
請求項1乃至4の何れか一項に記載のICチップであって、
前記インターフェースを介して受信したコマンドに基づいて、前記所定のトランザクションに関する処理が実行され、前記開始条件が検出された場合に、前記コマンドが受信されたインターフェースの種類を記憶するアクセス制御情報記憶手段と、を更に備え、
前記アクセス制限手段は、前記コマンドが受信されたインターフェースと異なるインターフェースから不正な攻撃と判定されるコマンドが入力された場合には、前記アクセス制限を開始することを特徴とするICチップ。
【請求項6】
請求項1乃至5の何れか一項に記載のICチップであって、前記ICチップは、UIM(User Identity Module)に搭載されていることを特徴とするICチップ。
【請求項7】
請求項6に記載のICチップであって、前記UIMは、携帯端末に装着されていることを特徴とするICチップ。
【請求項8】
複数のインターフェースを有し、前記インターフェースを介して受信したコマンドに基づいて複数のトランザクションが実行されるICチップにおける処理方法であって、
各トランザクションの実行の際に用いられるデータが記憶される記憶部の所定領域を示す情報が、当該トランザクション毎に対応付けて管理テーブルに記憶する管理情報記憶工程と、
所定のトランザクションに関する処理を開始条件として検出した場合であって、不正な攻撃と判定されるコマンドが入力された場合には、前記管理テーブルを参照して、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域のアクセス制限を開始するアクセス制限工程と、
前記アクセス制限を終了する終了条件を検出した場合には、前記アクセス制限を終了するアクセス制限終了工程と、
を有することを特徴とするICチップにおける処理方法。
【請求項9】
複数のインターフェースを有し、前記インターフェースを介して受信したコマンドに基づいて複数のトランザクションが実行されるICチップに含まれるコンピュータを、
各トランザクションの実行の際に用いられるデータが記憶される記憶部の所定領域を示す情報が、当該トランザクション毎に対応付けて管理テーブルに記憶する管理情報記憶手段、
所定のトランザクションに関する処理を開始条件として検出した場合であって、不正な攻撃と判定されるコマンドが入力された場合には、前記管理テーブルを参照して、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域のアクセス制限を開始するアクセス制限手段、
前記アクセス制限を終了する終了条件を検出した場合には、前記アクセス制限を終了するアクセス制限終了手段、
として機能させることを特徴とするICチップ用処理プログラム。
【請求項10】
複数のインターフェースを有し、前記インターフェースを介して受信したコマンドに基づいて複数のトランザクションが実行される接触型ICチップと、当該ICチップと第一の前記インターフェースを介して通信可能なコントローラとを備える携帯端末において、
前記接触型ICチップは、
各トランザクションの実行の際に用いられるデータが記憶される記憶部の所定領域を示す情報が、当該トランザクション毎に対応付けて管理テーブルに記憶する管理情報記憶手段と、
所定のトランザクションに関する処理を開始条件として検出した場合であって、不正な攻撃と判定されるコマンドが入力された場合には、前記管理テーブルを参照して、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域のアクセス制限を開始するアクセス制限手段と、
前記アクセス制限を終了する終了条件を検出した場合には、前記アクセス制限を終了するアクセス制限終了手段と、
を備えることを特徴とする携帯端末。
【請求項1】
複数のインターフェースを有し、前記インターフェースを介して受信したコマンドに基づいて複数のトランザクションが実行されるICチップであって、
各トランザクションの実行の際に用いられるデータが記憶される記憶部の所定領域を示す情報が、当該トランザクション毎に対応付けて管理テーブルに記憶する管理情報記憶手段と、
所定のトランザクションに関する処理を開始条件として検出した場合であって、不正な攻撃と判定されるコマンドが入力された場合には、前記管理テーブルを参照して、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域のアクセス制限を開始するアクセス制限手段と、
前記アクセス制限を終了する終了条件を検出した場合には、前記アクセス制限を終了するアクセス制限終了手段と、
を備えることを特徴とするICチップ。
【請求項2】
請求項1に記載のICチップであって、
前記アクセス制限手段は、当該実行されているトランザクションの処理を中断する処理であることを特徴とするICチップ。
【請求項3】
請求項1又は2に記載のICチップであって、
前記アクセス制限手段は、検知された不正なアクセスを遮断する処理であることを特徴とするICチップ。
【請求項4】
請求項1乃至3の何れか一項に記載のICチップであって、
前記管理テーブルには、更に、トランザクションの実行に用いられるアプリケーションの種類が、トランザクション毎に対応付けて記憶されており、
前記不正な攻撃と判定されるコマンドは、 前記検出した開始条件に示されるトランザクションと対応付けて記憶されたアプリケーション以外のアプリケーションの制御に基づいて、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域にアクセスするコマンドであることを特徴とするICチップ。
【請求項5】
請求項1乃至4の何れか一項に記載のICチップであって、
前記インターフェースを介して受信したコマンドに基づいて、前記所定のトランザクションに関する処理が実行され、前記開始条件が検出された場合に、前記コマンドが受信されたインターフェースの種類を記憶するアクセス制御情報記憶手段と、を更に備え、
前記アクセス制限手段は、前記コマンドが受信されたインターフェースと異なるインターフェースから不正な攻撃と判定されるコマンドが入力された場合には、前記アクセス制限を開始することを特徴とするICチップ。
【請求項6】
請求項1乃至5の何れか一項に記載のICチップであって、前記ICチップは、UIM(User Identity Module)に搭載されていることを特徴とするICチップ。
【請求項7】
請求項6に記載のICチップであって、前記UIMは、携帯端末に装着されていることを特徴とするICチップ。
【請求項8】
複数のインターフェースを有し、前記インターフェースを介して受信したコマンドに基づいて複数のトランザクションが実行されるICチップにおける処理方法であって、
各トランザクションの実行の際に用いられるデータが記憶される記憶部の所定領域を示す情報が、当該トランザクション毎に対応付けて管理テーブルに記憶する管理情報記憶工程と、
所定のトランザクションに関する処理を開始条件として検出した場合であって、不正な攻撃と判定されるコマンドが入力された場合には、前記管理テーブルを参照して、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域のアクセス制限を開始するアクセス制限工程と、
前記アクセス制限を終了する終了条件を検出した場合には、前記アクセス制限を終了するアクセス制限終了工程と、
を有することを特徴とするICチップにおける処理方法。
【請求項9】
複数のインターフェースを有し、前記インターフェースを介して受信したコマンドに基づいて複数のトランザクションが実行されるICチップに含まれるコンピュータを、
各トランザクションの実行の際に用いられるデータが記憶される記憶部の所定領域を示す情報が、当該トランザクション毎に対応付けて管理テーブルに記憶する管理情報記憶手段、
所定のトランザクションに関する処理を開始条件として検出した場合であって、不正な攻撃と判定されるコマンドが入力された場合には、前記管理テーブルを参照して、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域のアクセス制限を開始するアクセス制限手段、
前記アクセス制限を終了する終了条件を検出した場合には、前記アクセス制限を終了するアクセス制限終了手段、
として機能させることを特徴とするICチップ用処理プログラム。
【請求項10】
複数のインターフェースを有し、前記インターフェースを介して受信したコマンドに基づいて複数のトランザクションが実行される接触型ICチップと、当該ICチップと第一の前記インターフェースを介して通信可能なコントローラとを備える携帯端末において、
前記接触型ICチップは、
各トランザクションの実行の際に用いられるデータが記憶される記憶部の所定領域を示す情報が、当該トランザクション毎に対応付けて管理テーブルに記憶する管理情報記憶手段と、
所定のトランザクションに関する処理を開始条件として検出した場合であって、不正な攻撃と判定されるコマンドが入力された場合には、前記管理テーブルを参照して、前記検出した開始条件に示されるトランザクションと対応付けて記憶された前記記憶部の所定領域のアクセス制限を開始するアクセス制限手段と、
前記アクセス制限を終了する終了条件を検出した場合には、前記アクセス制限を終了するアクセス制限終了手段と、
を備えることを特徴とする携帯端末。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2012−141754(P2012−141754A)
【公開日】平成24年7月26日(2012.7.26)
【国際特許分類】
【出願番号】特願2010−293570(P2010−293570)
【出願日】平成22年12月28日(2010.12.28)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
【公開日】平成24年7月26日(2012.7.26)
【国際特許分類】
【出願日】平成22年12月28日(2010.12.28)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
[ Back to top ]