CN101366038A - Ic卡及其访问控制方法 - Google Patents
Ic卡及其访问控制方法 Download PDFInfo
- Publication number
- CN101366038A CN101366038A CNA2007800020978A CN200780002097A CN101366038A CN 101366038 A CN101366038 A CN 101366038A CN A2007800020978 A CNA2007800020978 A CN A2007800020978A CN 200780002097 A CN200780002097 A CN 200780002097A CN 101366038 A CN101366038 A CN 101366038A
- Authority
- CN
- China
- Prior art keywords
- key
- mentioned
- information
- card
- temporary transient
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/357—Cards having a plurality of specified features
- G06Q20/3576—Multiple memory zones on card
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/388—Payment protocols; Details thereof using mutual authentication without cards, e.g. challenge-response
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Accounting & Taxation (AREA)
- Computer Security & Cryptography (AREA)
- General Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Computer Hardware Design (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Finance (AREA)
- Storage Device Security (AREA)
- Credit Cards Or The Like (AREA)
Abstract
当前没有把基于密码核对或者秘密键加密方式的认证与基于公开键加密封方式的认证这两种不同的认证方法组合起来的访问控制方法。本发明把密码等赋予到保存在IC卡的非易失性存储器中的固定密钥中的密钥号也虚拟赋予到暂时密钥中,在公开键证明书中包含该密钥号的同时,在设定访问权的安全属性中,通过使用该密钥号把与固定密钥有关的信息和与暂时密钥有关的信息组合起来进行指定。由此,能够进行把基于密码核对或者秘密键加密方式的认证与基于公开键加密方式的认证这两种不同的认证方法组合起来的访问控制。
Description
技术领域
[0001]本发明涉及IC卡以及对保存在IC卡中的文件等的访问控制方法。
背景技术
[0002]近年来,作为代替磁卡的高安全性的器件,正在对IC卡实用化。IC卡具有非易失性存储器,在其中能够保存文件或者密码等。IC卡的文件结构一般如图17所示成为分层构造。图17表示IC卡的文件结构是两层的情况。另外,虽然在图17中进行了简化,然而文件或者密钥(密码或者秘密键)能够在各目录的正下方各设置多个。
[0003]各文件具有图18表示的安全属性。所谓安全属性表示为了访问该文件应该满足的条件。在访问模式181中,保存“读出”或者“写入”等识别对文件的访问种类的信息。在安全条件182中,保存与在执行由访问模式181指定了的访问(例如“读出”)之前应该确认的密钥有关的信息。作为逻辑条件183,表示安全条件具有与多个密钥有关的信息时的密钥的组合条件,设定AND逻辑(需要所有密钥的认证)或者OR逻辑(需要某一个密钥的认证)的某一个。另外,用密钥号指定各密钥,图18表示具有与2个密钥有关的信息的情况。作为密钥号,不是密码那样的密钥数据本身,而是用于识别密钥的信息。例如,在IC卡内能够设定最大8个密钥的情况下,在各个密钥上赋予1~8的密钥号。按照能用密钥号唯一确定各密钥那样赋予使得在IC卡内密钥号不重复。
[0004]以下具体地说明关于安全属性的设定方法。例如,在读出图17的第2分层的文件176时,在需要密钥174和密钥175的双方密钥的认证的情况下,在访问模式181中设定识别是读出指令的信息,在逻辑条件183中设定AND逻辑
。另外,作为密钥174以及密钥175的密钥号分别赋予了“1”、“3”的情况下,在密钥号184以及密钥号185中分别设定“1”、“3”。
[0005]密钥的认证方法有若干种,而最简单的方法是把从终端输入的密钥数据与保存在IC卡中的密钥数据单纯地进行比较的方法。IC卡持有者的密码核对与此相当。另外,作为进一步提高安全的认证方法,有利用了秘密键加密方式的方法。该方法是IC卡和终端具有共同的秘密键,对IC卡生成的随机数,双方进行相同的加密处理,IC卡把它们的结果进行比较的方式。如果其比较结果相同,则由于认为终端具有与IC卡相同的秘密键,因此能够判断为该终端是合法的。在这些任一种方法中,密钥(密码或者秘密键)固定地保存在非易失性存储器中,通过指定这些密钥构成安全属性。(以下,把这些密钥总称为“固定密钥”。)
[0006]另一方面,在使用公开键加密方式进行认证的情况下,状况差别很大。使用图19说明基于公开键加密方式的认证顺序。首先,向IC卡的持有者提供服务的终端把自己的公开键证明书传送给IC卡。该公开键证明书是从卡发行者预先发行的,包括对基于卡发行者的秘密键的服务提供者公开键的署名。IC卡具有与卡发行者的秘密键成对的公开键,使用该键,检验所接收的公开键证明书中包含的署名,如果该署名正确,则从公开键证明书取出服务提供者的公开键,把其作为暂时的公开键(以下,称为“暂时密钥”)保存在IC卡内的易失性存储器中。
[0007]接着,IC卡用所取得的暂时密钥进行外部认证。该外部认证是向终端传送IC卡生成的随机数,通过用前面取得的暂时密钥检验从终端返送来的用服务提供者的秘密键署名了的电子署名,确认终端的合法性。
[0008]在这样使用了公开键加密方式的认证中,不是使用保存在IC卡的非易失性存储器中的固定密钥,而是使用保存在易失性存储器中的暂时密钥。暂时密钥是暂时保持的密钥,由于不具有分层号或者密钥号,因此图18表示的安全属性的构造不能适用。卡发行者的公开键是保存在IC卡1的非易失性存储器中的固定密钥,而由于在对管理终端的服务提供者的公开键的证明书以外的公开键证明书的检验中也广泛使用该公开键,因此并不适合用于访问控制。
[0009]一般在使用了公开键加密方式的系统中,作为进行访问控制的方法,已知使用表示访问权限的属性证明书的方法。作为在IC卡系统中适用了该方法的例子,有专利文献1和专利文献2。在专利文献1中,提供了在IC卡内的访问控制信息中,针对每一个应用或者数据进而针对每一个指令功能具有允许访问的访问主体者的ID,通过把该ID包含在公开键证明书中,IC卡能够确定允许访问的范围的方法。另外,在专利文献2中提供通过在公开键证明书中包含的访问控制信息内指定指令功能或者访问对象数据,能够灵活地对应访问权限的变更的方法。
专利文献1:特开2003-316655号公报(图3)
专利文献2:特开2004-247799号公报(图9)
发明内容
发明要解决的课题
[0010]然而,在实际的IC卡系统中,很多情况下需要进行把密码核对或者基于秘密键加密方式的认证与基于公开键加密方式的认证组合起来的访问控制。例如是为了访问某个文件,需要基于密码的本人确认和基于公开键加密方式的终端认证的双方的情况等。从而,需要能够实现这些组合的安全属性的结构。
[0011]另外,在密码核对或者基于秘密键加密的认证时,很多情况下采用与IC卡的文件的分层构造相对应的安全构造,在基于公开键加密方式的认证的情况下也希望能够与其相适应。进而,在密码的核对或者基于秘密键加密的认证中,具有记录核对错误次数的功能,在公开键加密方式的情况下,也需要通过导入该概念,提高安全。
用于解决课题的方法
[0012]为解决上述的课题,本发明的访问控制方法是对IC卡内的文件的访问控制方法,特征是上述IC卡在非易失性存储器内具有固定密钥,终端向上述IC卡传送对自身的公开键由卡发行者的秘密键署名后的公开键证明书,上述IC卡在检验了从上述终端接受到的上述公开键证明书的合法性以后,从该公开键证明书取出上述公开键,把其作为暂时密钥保持在上述IC卡内的易失性存储器中,上述IC卡内的文件具有参照上述固定密钥的固定密钥参照信息和参照上述暂时密钥的暂时密钥参照信息,上述IC卡至少基于上述固定密钥参照信息以及上述暂时密钥参照信息,判断能否进行对该IC卡内的上述文件的访问。
[0013]由此,能够进行把密码核对或者基于秘密键加密方式的认证和基于公开键加密方式的认证这两种不同认证方法组合起来的访问控制。
[0014]另外,上述公开键证明书包括虚拟地赋予到上述暂时密钥中的第1密钥号,并且根据保存在上述暂时密钥参照信息中的上述第1密钥号,参照使用了上述暂时密钥的认证结果,对上述固定密钥赋予第2密钥号,根据保存在上述固定密钥参照信息中的上述第2密钥号,参照使用了上述固定密钥的认证结果,并且对上述第1密钥号和上述第2密钥号赋予不同的值,由此判别上述固定密钥与上述暂时密钥,因此不需要用于识别是固定密钥参照信息还是暂时密钥参照信息的特别的单元,能够形成简单、灵活而丰富的结构。
[0015]另外,上述固定密钥参照信息以及上述暂时密钥参照信息的保存位置固定,由于由此判别上述固定密钥与上述暂时密钥,因此能够根据保存位置判别是固定密钥还是暂时密钥,从而能够在固定密钥与暂时密钥之间使密钥号重复,能够增加在访问控制中可使用的密钥的数量。
[0016]另外,在上述固定密钥参照信息和上述暂时密钥参照信息中分别赋予不同的识别符,由于由此识别上述固定密钥和上述暂时密钥,因此可以把固定密钥参照信息和暂时密钥参照信息仅设定为任意的数量,就能够实现更灵活而且丰富的访问控制。
[0017]另外,上述IC卡内的文件构成分层构造,上述暂时密钥参照信息具有与上述公开键证明书的段数有关的信息,因此在基于公开键加密方式的认证的情况下,能够实现与文件的分层构造相对应的访问控制。
[0018]另外,上述IC卡内的文件构成分层构造,上述暂时密钥参照信息具有与上述分层构造的分层号有关的信息,因此能够防止服务提供者之间的冒充。
[0019]另外,上述暂时密钥参照信息包括表示是否把基于公开键加密方式的认证结果反映到访问控制中的信息,因此能够灵活地对应与使用了暂时密钥的认证有关的访问权的变更。
[0020]另外,上述公开键证明书具有目录识别信息,在当前选择的目录是用位于上述公开键证明书内的上述目录识别信息表示的目录的情况下,上述IC卡进行通常处理,因此能够防止由服务提供者进行的非法的冒充。
[0021]另外,上述公开键证明书具有多个目录识别信息,在当前选择的目录是用位于上述公开键证明书内的多个上述目录识别信息的每一个表示的目录的情况下,上述IC卡进行通常处理,因此能够把与多个目录有关的访问权信息汇集到一个公开键证明书中向IC卡发送,能够提高传输效率。
[0022]另外,上述公开键证明书具有对一个文件识别信息连接了多个指令识别信息的情况,因此在对一个文件允许多种访问(例如读出和写入等)的情况下,能够提高传输效率。
[0023]另外,上述公开键证明书具有对一个指令识别信息连接了多个文件识别信息的情况,因此在允许对多个文件进行一种访问(例如读出)的情况下,能够提高传输效率。
[0024]另外,上述公开键证明书包括虚拟地赋予到上述暂时密钥中的第1密钥号,并且位于上述IC卡内的至少一个目录具有与上述第1密钥号相对应的核对次数管理信息,因此能够根据该密钥号识别成为对象的密钥,能够进行每一个暂时密钥的核对次数的管理。
[0025]进而,本发明的访问控制方法是对IC卡内的文件的访问控制方法,特征是上述IC卡在非易失性存储器内具有固定密钥,终端向上述IC卡传送对参照上述固定密钥的访问控制信息署名后的信息,上述IC卡在检验了从上述终端接收到的上述署名后的信息的合法性以后,从该署名后的信息取出上述访问控制信息,至少基于该访问控制信息,判断能否进行对上述文件的访问。
[0026]由此,成为从终端向IC卡发送当前保存在IC卡的非易失性存储器中的与安全属性有关的信息,对于密码核对或者基于秘密键加密方式的认证有关的访问权的变更,也能够灵活地对应。
[0027]另外,上述IC卡在上述非易失性存储器内具有绝对访问权信息,由于比上述访问控制信息优先,根据该绝对访问权信息进行访问控制,因此即使伪造了包括访问权限信息的公开键证明书,也能够确保必要的安全。
发明的效果
[0028]依据本发明的IC卡以及访问控制方法,能够进行把密码核对或者基于秘密键加密方式的认证和基于公开键加密方式的认证这两种不同的认证方法组合起来的访问控制,能够对应多种系统条件。
[0029]另外,与密码核对或者基于密切加密的认证的情况相同,在公开键加密的情况下也能够进行与IC卡的文件的分层构造相对应的访问控制。
[0030]进而,与密码核对或者基于秘密键加密的认证的情况相同,即使在公开键加密方式的情况下也能够记录核对错误次数,能够提高安全。
[0031]进而,不仅是与使用了暂时密钥的认证有关的访问权的变更,对于密码核对或者基于秘密键加密方式的认证有关的访问权的变更,也能够灵活地对应。
附图说明
[0032]图1是本发明实施形态1中的IC卡系统的结构图。
图2是本实施形态1的访问控制方法中的文件等的逻辑构造图。
图3是本实施形态1中的安全属性的构造图。
图4表示本实施形态1中的IC卡系统的访问控制顺序。
图5是本实施形态1中的其它的安全属性的构造图。
图6是本发明实施形态2的访问控制方法中的安全属性的构造图。
图7表示本实施形态2中的IC卡系统的访问控制顺序。
图8是本实施形态3的访问控制方法中的文件等的逻辑构造图。
图9是本实施形态3中的安全属性的构造图。
图10是本实施形态4的访问控制方法中的安全属性的构造图。
图11表示本实施形态4中的IC卡系统的访问控制顺序。
图12是本实施形态4中的公开键证明书的结构图。
图13是本实施形态4中的其它的公开键证明书的结构图。
图14是本实施形态5的访问控制方法中的目录的结构图。
图15是本实施形态6的访问控制方法中的公开键证明书的结构图。
图16是本实施形态6的访问控制方法中的目录的结构图。
图17是一般的IC卡的文件等的逻辑构造图。
图18是现有的IC卡的安全属性的构造图。
图19表示一般的IC卡系统的公开键加密方式的认证顺序。
[0033]符号的说明
1:IC卡;2:终端;10:安全属性;31:访问模式;32:安全条件;33:逻辑条件;34、64:固定密钥参照信息;35、65:暂时密钥参照信息;66:证明书的段数;95:暂时密钥参照信息;96:分层号;102:暂时密钥参照信息;123:访问权限;141:核对次数管理表;152:目录关联指令访问权信息;153:文件关联指令访问权信息;161:绝对访问权信息。
具体实施方式
[0034]以下,参照附图说明本发明的实施形态。
[0035](实施形态1)
图1表示实施本发明实施形态1的访问控制方法的IC卡系统的结构。
[0036]在图1中,1是IC卡,2是向IC卡1的持有者提供服务的终端,IC卡1由CPU 3、RAM 4以及EEPROM 5构成。CPU 3管理与终端2之间的指令以及响应的收发或者以访问控制为代表的ID卡1的整体处理。RAN 4是在作业中使用的易失性存储器。另外,EEPROM是用于保存密钥或者文件等的非易失性存储器。
[0037]图2表示保存在EEPROM 5中的文件的逻辑构造。图1中作为保存在EEPROM 5中的内容仅示出了密钥和文件,而实际上也包括与目录有关的信息。目录由2分层构成,在第1分层中有根目录21,在第2分层中有2个子目录22以及23。在第1分层的根目录21的正下方保存密码6、卡发行者的公开键11、文件7,在第2分层的子目录22的正下方保存文件9。
[0038]如图1所示,文件7、9中分别设定安全属性8、10。这里,以对文件9的访问控制,即对安全属性10的访问控制为例进行说明。作为从文件9读出数据时的访问条件,图3表示要求基于密码6的卡持有者的认证而且基于公开键加密方式的终端2(正确地讲是作为终端2的应用的所有者的服务提供者)认证的情况下的安全属性10的构造。
[0039]如图3所示,安全属性10由访问模式31和安全条件32构成。在访问模式31中,保存识别作为对该文件的访问的种类的“读出”的信息,例如,读出指令的命令代码。另外,在安全条件32中保存与在执行由访问模式31指定了的访问(“读出”)之前要认证的密钥有关的信息。在固定密钥参照信息34中保存用于确定密码6的信息。
[0040]在这些信息的说明之前,对于本实施形态1中的密钥的识别方法进行说明。
[0041]作为保存在IC卡1中的密钥的识别信息,对各密钥赋予独立的密钥号。例如,作为赋予从“1”开始的顺序号的项目,在密码6中赋予密钥号“1”,如后所述,在发行者的公开键11中赋予密钥号“2”。密钥号与目录的分层无关,在IC卡内赋予在全部分层都不重复的号码。
[0042]在本实施形态1中,首先,在固定密钥参照信息34中,作为确定用于卡持有者的认证的密码6的信息保存有密钥号“1”这样的信息。
[0043]另外,在本实施形态1中,把赋予在IC卡1的EEPROM 5中保存的固定密钥上的密钥号也虚拟地赋予到非实体的暂时密钥上。具体地讲,在本实施形态1中把密钥号“6”~“8”分配为暂时密钥用。这里,在当前时刻,在IC卡1的公开密钥参照信息34中虽然仅保存了密码6,然而考虑到将来有追加保存新密钥的可能性,把密钥号“3”~“5”作为预备。而且,如在以上也叙述过的那样,在暂时密钥参照信息35中,作为用于确定暂时密钥的信息,保存密钥号“6”~“8”内的例如“8”这样的信息。最后,在逻辑条件33中设定AND逻辑。
[0044]该安全属性10的构造作为从文件9读出数据时的访问条件,表示要求密钥号“1”的密码的核对和基于密钥号“8”的暂时密钥的认证这两方的情况。
[0045]在本实施形态1中,按照图4表示的顺序执行其访问控制。图4表示了从文件9读出数据时的访问控制顺序。
[0046]首先,向IC卡1的持有者提供服务的终端2向持有者催促输入密码,向IC卡1传送输入到终端2的密码。IC卡1把从终端2传送来的密码与保存在EEPROM 5中的密码6进行核对,把其结果保持在RAM 4中的同时,把结果通知给终端2。
[0047]在正确地进行了上述密码的核对的情况下,接着终端2向IC卡1传送自身的公开键证明书。该公开键证明书是卡发行者预先发行的,包括对于基于卡发行者秘密键的服务提供者(这种情况下是终端2)的公开键的署名。进而,该公开键证明书还包括对上述赋予在暂时密钥中的密钥号“8”的署名。
[0048]IC卡1具有与卡发行者的秘密键成对的公开键,使用该公开键检验包含在从终端2传送来的接收到的公开键证明书中的署名,如果该署名正确,则从该公开键证明书取出服务提供者的公开键,把该公开键作为暂时密钥,保持在IC卡1内的RAM 4中。
[0049]接着,IC卡1用上述取得的暂时密钥进行外部认证。外部认证向终端2传送IC卡1生成的随机数,通过用前面取得的暂时密钥检验从终端2返送来的用服务器提供者的秘密键署名了的电子署名,确认终端2(即服务提供者)的合法性。在该外部认证成功了时,作为终端2具有与密钥号“8”相对应的访问权限的证明,在RAM 4中保存密钥号“8”这样的信息。
[0050]然后,IC卡1在从终端2接收到对于文件9的读出指令时,作为从安全属性10的内容读出数据时的访问条件,在识别了要求密钥号“1”的密码核对而且基于密钥号“8”的暂时密钥的认证时,从上述的核对结果以及外部认证结果,判断为满足访问条件,允许从文件9读出数据。
[0051]这样,在本实施形态1中,在暂时密钥中也虚拟地赋予密码等赋予在IC卡的非易失性存储器中保存的固定密钥中的密钥号,把该密钥号包含在公开键证明书中的同时,在设定访问权的安全属性中由于使用该密钥号,因此通过把与固定密钥有关的信息和与暂时密钥有关的信息组合起来进行指定,能够进行把密码核对或者基于秘密键加密方式的认证与基于公开键加密方式的认证这两种不同的认证方法组合起来的访问控制。
[0052]另外,在上述的说明中,在固定密钥和暂时密钥中分配不同的密钥号。在上述的例子中,密钥号“1”~“5”分配到固定密钥中,如果能够使IC卡知道密钥号“6”~“8”被分配到暂时密钥中,则由于根据密钥号能够判定是固定密钥还是暂时密钥,因此不需要用于识别是固定密钥参照信息34还是暂时密钥参照信息35的特别的单元,特别能够提供简单、富有柔软性的结构。作为IC卡知道该密钥的分配信息的方法,能够通过默认的方法(在CPU 3中编程)或者明示的方法(例如,密钥号分配到根目录的管理信息中使其具有该信息等)来实现。
[0053]反之,如果把固定密钥参照信息34与暂时密钥参照信息35的排列固定,则由于能够根据保存位置识别是共同密钥还是暂时密钥,因此只要避免固定密钥之间以及暂时密钥之间密钥号的重复,就能够在固定密钥与暂时密钥之间使密钥号重复,能够增加在访问控制中可使用的密钥的数量。
[0054]另外,在该方法中,在使用公开键加密方式认证的终端仅是一种的情况下,不需要识别多个暂时密钥,从而也可以在暂时密钥中不赋予密钥号。在这种情况下,暂时密钥参照信息35作为密钥号具有空的信息。但是,由于表示基于公开键加密方式的认证结果反映到访问控制中,因此暂时密钥参照信息35自身需要存在于安全属性10内。
[0055]另外,在安全属性10的具体实现方法中可以考虑各种方法。例如在上述的方法中,各设置了一个固定密钥参照信息和暂时密钥参照信息,而也可以分别连接多个。在这种情况下,上述所说明的两种方法,即在固定密钥和暂时密钥中分配不同密钥号的方法、使固定密钥参照信息和暂时密钥参照信息的保存位置固定的方法的每一种都能够实现。或者,作为其它的方法,可以考虑在固定密钥参照信息和暂时密钥参照信息的每一个中赋予识别符的方法。
[0056]依据该方法,能够把固定密钥参照信息和暂时密钥参照信息设定为任意的数量,能够实现更富有灵活的访问控制。在这种情况下由于根据识别符也能够判定是固定密钥还是暂时密钥,因此在固定密钥与暂时密钥之间密钥号也可以重复。
[0057]在该方法的情况下由于上述的方法相同,在使用公开键加密方式认证的终端仅是一种的情况下,暂时密钥参照信息35作为密钥号成为具有空的信息。
[0058]进而,作为安全属性10的其它实现方法,例如也可以是图5表示的结构。在该方法中,在读出指令、写入指令以及改写指令用中各分配1字节,分别具有密钥指定信息51。该密钥指定信息51是与为了执行各指令而需要认证的密钥有关的信息,相当于图3的安全条件32。第1~4比特(b1~b4)以及第5~7比特(b5~b7)分别分配到固定密钥指定信息和暂时密钥指定信息中。各比特与密钥号相对应,例如,比特5表示需要赋予了密钥号“5”的密钥的认证。另外,用最上位比特(b8)表示逻辑条件。
[0059]根据这种构造的安全属性,也能够达到与上述相同的目的。
[0060]另外,上述说明过的密钥号的分配方法或者安全属性的变形在以后的其它实施形态中也相同,因此以后舍去说明
[0061]这样,如上所述,依据本实施形态1的访问控制方法,把在IC卡的非易失性存储器中保持的固定密钥中赋予的密钥号也虚拟地赋予到暂时密钥中,在公开键证明书中包括该密钥号的同时,由于在设定访问权的安全属性中使用固定密钥和暂时密钥的两个密钥号,因此通过把固定密钥信息和暂时密钥信息的两者组合起来指定访问条件,能够进行把密码核对或者基于秘密键加密方式的认证与基于公开键加密方式的认证这两种不同的认证方法组合起来的访问控制。
[0062](实施形态2)
本发明实施形态2的访问控制方法使用了与文件的分层构造相对应的密钥的参照方法。
[0063]在上述实施形态1中,表示了与目录的分层无关,在IC卡内赋予了通过所有分层不重复的密钥号的情况,而很多情况下赋予成使得仅在各目录的正下方密钥号不重复,如果目录不同则允许重复。如果这样做,则能不必在意其它的目录,在每一个目录中分配密钥号。例如,在一个目录的正下方能够分别设定最大8个密钥的情况下,在各固定密钥中赋予1~8的任一个密钥号。这样,如果赋予成使得在一个目录的正下方密钥号不同,则能够用分层号与密钥号的组合唯一地指定各固定密钥。
[0064]如果进一步详细说明这一点,例如,在考虑对图2的文件9的访问控制的情况下,只有位于从根目录21开始至自身为止的路径的根目录21以及子目录22正下方的固定密钥成为对象,除此以外的目录(即,子目录23)属下的密钥成为对象以外。即,如果能够确定分层号,则唯一决定成为对象的目录。从而,例如在指定了第2分层的情况下,由于子目录22成为对象,因此如果赋予成在该目录的正下方使得密钥号不重复,则能够用分层号与密钥号的组合唯一地指定各固定密钥。
[0065]图6表示这样用分层号与密钥号的组合指定固定密钥时的安全属性10的构造。如图6所示,固定密钥参照信息64由分层号和密钥号构成。另外,访问模式31以及逻辑条件33与图3表示的相同。
[0066]其次,说明暂时密钥参照信息65。暂时密钥由于没有保存在EEPROM 5中,因此不具有固定密钥那样的分层号的概念。作为其替代概念,在暂时密钥的情况下,如以下说明的那样,导入“证明书的段数”这样的概念。以下详细说明这一点。
[0067]子目录22由于是位于根目录21属下的目录,因此在管理根目录21的第1服务提供者的允许下,能够考虑第2服务提供者访问子目录22正下方的文件9。虽然很多情况下考虑卡发行者兼第1服务提供者,但在这里与卡发行者不同,设存在第1服务提供者。
[0068]作为从文件9读出数据时的访问条件,使用图7说明要求基于密码6的卡持有者的认证而且基于公开键加密方式的第2服务提供者的认证时的访问控制时序。
[0069]图7表示了从文件9读出数据时的访问控制顺序。关于IC卡1的持有者的密码输入由于与上述实施形态1相同,因此舍去说明。
[0070]在正确地进行了密码核对的情况下,接着,终端2向IC卡1传送第1公开键证明书。该第1公开键证明书是从卡发行者预先发行的,包括对基于卡发行者的秘密键的第1服务提供者公开键的署名。IC卡1具有与卡发行者的秘密键成对的公开键,使用该公开键,检验包含在所接收到的第1公开键证明书中的署名,如果该署名正确,则从第1公开键证明书取出第1服务提供者的公开键,作为第1暂时密钥保存在IC卡1内的RAM 4中。
[0071]接着,终端2向IC卡1传送第2公开键证明书。该第2公开键正明书是第1服务提供者预先发行的,包括对基于第1服务提供者的秘密键的第2服务提供者的公开键的署名。IC卡1使用前面取得的作为第1服务提供者的公开键的第1暂时密钥,检验包含在所接收到的第2公开键证明书中的署名,如果该署名正确,则从第2公开键证明书取出第2服务提供者的公开键,作为第2暂时密钥保存在IC卡1内的RAM 4中。
[0072]接着,IC卡1用所取得的第2暂时密钥进行外部认证,使用其结果进行访问控制。该外部认证的顺序由于与实施形态1相同,因此舍去说明。
[0073]这样,在第2服务提供者证明自身合法性的情况下,使用2阶段的公开键证明书。
[0074]如上述说明的那样,第1公开键证明书是卡发行者向第1服务提供者提供权限的证明书,第2公开键证明书是第1服务提供者向第2服务提供者提供权限的证明书。从而在图6的暂时密钥参照信息65的证明书的段数66中,通过设定意味2阶段的公开键证明书的“2”这样的值,能够表示要求基于公开键加密方式的第2服务提供者的认证。
[0075]另外,在图6的暂时密钥参照信息65的密钥号67中,保持赋予到第2暂时密钥中的密钥号。与上述实施形态1相同,第2公开键证明书也包括对赋予到该暂时密钥中的密钥号的署名,保证密钥号不被篡改。
[0076]另外,在证明书的段数66中设定了“1”这样的值的情况下,表示1阶段公开键证明书,需要使用了上述第1暂时密钥的基于外部认证的第1服务提供者的认证。第1公开键证明书也包括对赋予到第1暂时密钥中的密钥号的署名,在密钥号67中设定该密钥号。
[0077]这样,通过导入证明书的段数这样的概念,在基于公开键加密方式的认证的情况下,也能够提供与IC卡的文件的分层构造相对应的安全构造。
[0078]依据以上那样的本实施形态2的访问控制方法,在实施形态1的访问控制方法中,使用与文件的分层构造相对应的密钥的参照方法,特别是,在暂时密钥的情况下,由于导入“证明书的段数”这样的概念,赋予密钥号使得仅在各目录的正下方不重复,因此在进行组合了密码核对或者基于秘密键加密方式的认证与基于公开键加密方式的认证这两种不同认证方法的访问控制时,在基于公开键加密方式的认证中,也可以得到能够提供与IC卡的文件的分层构造相对应的安全构造的效果。
[0079](实施形态3)
本发明实施形态3的访问控制方法在解决第2服务提供者保持与第1服务提供者的独立性这样的上述实施形态2的访问控制方法中的问题上下了功夫。
[0080]在上述实施形态2的访问控制方法中,由于第2公开键证明书由第1服务提供者署名,因此如果是第1服务提供者,则能够伪造第2公开键证明书。即,第1服务提供者能够冒充第2服务提供者,读出文件9的数据。从而,在禁止第1服务提供者读出文件9的情况下,上述实施形态2的访问控制方法并不适用。
[0081]为解决该问题点,本发明实施形态3的访问控制方法采用了以下的方法。即,在各分层用中预先分别生成卡发行者的秘密键/公开键对,如图8所示,在IC卡的各分层中设定卡发行者的公开键。即,在目录是2分层的情况下,在第1分层中设定发行者的第1公开键81,在第2分层中设定发行者的第2公开键82。而且,从卡发行者预先对第1服务提供者发行包括对基于卡发行者的第1秘密键的第1服务提供者的公开键的署名的第1公开键证明书。同样,从卡发行者对第2服务提供者预先发行包括对基于卡发行者的第2秘密键的第2服务提供者的公开键的署名的第2公开键证明书。这里,卡发行者的第1秘密键与第1公开键是成对的,第2秘密键与第2公开键是成对的。另外,在各公开键的证明书中,与以前相同,也包括对提供到各暂时密钥中的密钥号的署名。
[0082]图9表示这种情况下的安全属性10的构造。暂时密钥参照信息95以外的构成要素与图6相同。在暂时密钥参照信息95的分层号96中,设定保存在该公开键证明书的检验中使用的发行者的公开键的目录的分层号。即,在第1服务提供者中允许访问的情况下,在分层号96中设定“1”这样的值,在第2服务提供者中允许访问的情况下,在分层号96中设定“2”这样的值。在密钥号97中,保存赋予在暂时密钥中的密钥号。
[0083]依据以上那样的本实施形态3的访问控制方法,由于在各分层用中预先分别生成卡发行者的秘密键/公开键对,在IC卡的各分层中设定卡发行者的公开键,因此第1服务提供者为了冒充第2服务提供者,需要对基于卡发行者的第2秘密键的第1服务提供者的公开键的署名,而能够生成该键的只是发行者,因此能够防止该第1服务提供者的冒充。另外同样,也能够防止第2服务提供者冒充第1服务提供者。
[0084](实施形态4)
在上述的实施形态1至3中,在文件中设定了安全属性,而在公开键加密方式中,还能够在从终端传送来的公开键证明书中指定允许服务提供者的访问种类或者对象文件。如果这样做,则能够仅变更公开键证明书,就变更对IC卡内的文件的访问权。即,由于不需要变更IC卡内的安全属性,因此能够产生不必回收IC卡这样的运用上的优点。
[0085]以下,使用图10以及图11说明本发明实施形态4的访问控制方法。
[0086]在本实施形态4中,作为前提,IC卡系统的结构以及文件的逻辑构造与上述的实施形态相同,设想与图1、图2相同的系统。另外,关于从文件9读出数据时的访问条件也与以前的实施形态相同,设要求基于密码6的卡持有者的认证而且基于公开键加密方式的终端2的认证。
[0087]图10表示本实施形态4的访问控制方法中的文件的安全属性的构造,除去暂时密钥参照信息102以外,是与上述实施形态1相同的结构。在暂时密钥参照信息102中,设定有表示是否需要使用了暂时密钥的外部认证的信息。例如,设如果设定值“0”则不需要外部认证,如果设定值“1”则需要外部认证,这里,假设设定了值“1”。
[0088]或者作为其它的方法,也能采用如果存在暂时密钥参照信息102,则表示需要使用了暂时密钥的外部认证,如果不存在暂时密钥参照信息102,则不需要使用了暂时密钥的外部认证等的结构。
[0089]图11表示本实施形态4的访问控制方法中的访问控制顺序。
[0090]从密钥号的核对到外部认证的基本的处理流程由于与上述实施形态1相同因此舍去说明。在至外部认证为止正确地进行了的情况下,把在公开键正证明书中所指定的指令名和对象文件的识别符等保持在RAM 4中。
[0091]然后,IC卡1在从终端2接收到对文件9的读出指令时,作为从安全属性10的内容读出数据时的访问条件,识别要求密钥号“1”的密码的核对而且基于暂时密钥的认证,首先,检查密码的核对结果和外部认证的结果。在它们都成功了的情况下,检查在上述RAM 4中保持的指令名中是否包括读出指令而且在对象文件中是否包括文件9,只有在都包括的情况下判断为满足访问条件,允许从文件9读出数据。
[0092]在上述中,说明了逻辑条件33是AND的情况,而在OR逻辑的情况下,如果密码的核对或者基于暂时密钥的外部认证的任一方成功,则允许文件的读出。
[0093]这样,通过使安全属性具有表示在访问控制中是否反映了基于公开键加密方式的认证结果的信息,能够灵活地对应与使用了暂时密钥的认证有关的访问权的变更。
[0094]以下,详细说明本实施形态4中的公开键证明书。
[0095]图12表示了本实施形态4中的公开键证明书的结构。
[0096]在公开键关联信息122中,除去服务提供者的公开键以外,保存署名者的识别信息、署名算法、有效期限等。对于由该公开键关联信息122、后述的访问权信息123构成的署名对象数据121是用卡发行者的秘密键署名的,是署名数据124(参照图12(a))。
[0097]访问权信息123由目录名125、文件/指令种类信息126构成(参照图12(b))。
[0098]首先,说明文件/指令种类信息126。文件/指令种类信息126的最简单的结构如图12(c)所示,是连接文件识别符与指令种类的方法。例如,如果是具有对于文件9的读出权限的服务提供者的公开键证明书,则作为文件识别符,设定文件9的文件名,作为访问种类设定读出指令的指令代码。
[0099]在具有多个文件以及对多个文件种类的访问权限的情况下,在单纯地连接文件识别符与访问种类的方式中,由于传输效率差,因此可以考虑图12(d)或者图12(e)的方法。图12(d)是在一个文件识别符上连接多个指令种类的方法,在对于一个文件允许多种访问(例如读出和写入等)的情况下是有效的。另一方面,图12(e)是在一个指令种类上连接多个文件识别符的方法,在对于多个文件允许一种访问方法(例如读出)的情况下是有效的。
[0100]目录名125用于识别各目录(根目录或者子目录)。文件识别符一般在每一个目录中独立赋予,在不同的目录正下方存在相同的文件识别符的情况是经常的。从而,在公开键证明书不具有目录名125的情况下,能够把以某个目录为对象的公开键证明书在其它的目录中引用,在安全上存在问题。通过在公开键证明书中包括目录名125,作为基于发行者署名的对象,能够消除该问题点。
[0101]这里,作为IC卡1的处理,在公开键证明书中包含的目录名125与当前选择的目录名不同的情况下作为出错。另外,在选择了其它目录的情况下,清除在图11中说明过的RAM 4中保持的暂时密钥表、指令名以及对象文件的识别符。
[0102]这样,虽然有在各目录中准备公开键证明书的方法,但在对处于亲子进而其下级这种关系的位于一个枝上的多个目录(例如,图2的根目录21、子目录22)的访问权限提供给服务提供者的情况下,如果能够把它们汇集到一个公开键证明书中传送给IC卡1,则能够提高传输效率。
[0103]图13表示用于实现该方法的公开键证明书的结构。图13表示与2个目录有关的信息包含在该公开键证明书中的情况。这样,访问权限信息123具有目录数131、第1目录信息132以及第2目录信息133,第1目录信息132和第2目录信息133分别由在图12中说明过的目录名125、文件/指令种类信息126构成。
[0104]以下,以图2的文件结构为例,说明本实施形态4中的接收到具有多个目录信息的公开键证明书时的IC卡1的处理。
[0105]在当前选择的目录是根目录21的情况下,由于IC卡内的所有目录相当于子目录,因此如果在IC卡内存在用公开键证明书表示的目录名,则视为正常(不存在的情况下作为出错),把用该目录的文件/指令识别信息126表示的指令名以及对象文件的识别符作为与该目录的分层号相对应的信息保持在RAM 4中。对包含在公开键证明书中的多个目录(2分层的情况下最多2个)反复进行该处理。其中,在随后选择了上述公开键证明书中没有包括的子目录的情况下,上述RAM 4内保持的信息中废弃与第2分层相对应的信息。
[0106]另一方面,在当前选择的目录是子目录22时,如果用公开键证明书表示的目录名是自身或者是作为上级的根目录21,则视为正常(除此以外的情况下作为出错),把用与该目录相对应的文件/指令识别信息126表示的指令名以及对象文件的识别符作为与该目录的分层号相对应的信息保持在RAM 4中。对公开键证明书中包含的多个目录(2分层的情况下最多2个)反复进行该处理。在以后选择根目录21或者邻接的子目录23的情况下,废弃上述RAM 4内保持的信息中与第2分层相对应的信息。
[0107]另外,上述的说明是文件的分层为2分层的情况,而大于等于3分层的情况也能够进行该顺序的处理。即,如果用公开键证明书表示的目录名存在于连接根目录与当前所选择的目录的枝上或者是当前所选择的目录的下级,则视为正常,进行通常处理,在选择了与用公开键证明书表示的目录不同的第n分层的目录的时刻,废弃RAM 4内保持的信息中与第n分层相对应的信息。在这种情况下,如果有与n+1分层以下的分层相对应的RAM 4内的信息,则也同时废弃。
[0108]或者,在接收到公开键证明书的时刻,与不是自身而是属下的目录有关的部分作为出错等其它各种方法也能够采用。
[0109]依据以上那样的本实施形态4的访问控制方法,由于在上述实施形态1~3中,在从终端发送来的公开键证明书中指定允许服务提供者的访问种类和对象文件,因此,由此仅变更公开键证明书就能够变更对IC卡内的文件的访问权,可以得到不需要变更IC卡内的安全属性,不需要回收IC卡这样的运用上的优点。
[0110](实施形态5)
本发明实施形态5的访问控制方法与密码核对或者基于秘密键加密的认证的情况相同,是在公开键加密方式的情况下,也能够记录核对错误次数的方法。在密码等固定密钥的情况下,密钥自身能够具有与核对错误次数有关的信息,而在暂时密钥的情况下,由于不存在于非易失性存储器内,因此采用以目录进行管理的方法。
[0111]以下,参照图14说明与本实施形态5的访问控制方法中的安全属性相对应的方法。另外,在以下的说明中,记录有“核对”的位置意味着“核对”或者“认证”。
[0112]图14表示包含在本实施形态5的访问控制方法中的根目录21中的核对次数管理表的结构。核对次数管理表141针对每一个密钥号,由核对允许次数和核对错误次数构成。核对允许次数表示允许连续几次核对错误。另外,核对错误次数记录连续错误核对的次数,在每次核对失败时加1,如果核对成功则清除为值“0”。在核对错误次数达到核对允许次数时,闭塞该密钥。
[0113]如在上述实施形态1中说明过的那样,在加密号6中由于赋予密钥号“1”,因此核对次数管理表141的密钥号“1”的行表示与密码6有关的信息。这里,表示核对允许次数设定为3次,在核对失败一次的情况下。密钥号“2”虽然赋予到卡发行者的公开键11中,然而由于该密钥是核对次数的管理对象以外,因此在核对允许次数的栏目中,设定表示未使用的值“0”。另外,由于密钥号“3”~“7”当前也没有使用,因此在核对允许次数的栏目中,设定值“0”。在暂时密钥中,由于赋予密钥号“8”,因此基于公开键加密方式的认证错误次数用密钥号“8”的行管理。在该例子中,表示允许2次。
[0114]这样,在上述实施形态5中,由于在IC卡整体管理所有的密钥,因此核对次数管理表用根目录21管理。
[0115]另一方面,在实施形态2~4中,由于用目录单位进行密钥的管理,因此在每一个目录中都具有核对次数管理表。
[0116]即,在上述实施形态2中,如果证明书的段数是“1”,则参照根目录21的核对次数管理表,如果证明书的次数是“2”,则参照子目录22的核对次数管理表。
[0117]另外,在实施形态3中,在使用了第1公开键证明书的认证中,参照根目录21的核对次数管理表,在使用了第2公开键证明书的认证中,参照子目录22的核对次数管理表。
[0118]另外,在实施形态4中,如果公开键证明书包括根目录21的目录名,则参照根目录21的核对次数管理表,如果公开键证明书包括子目录22的目录名,则参照子目录22的核对次数管理表。
[0119]这样,在本实施形态5中,通过使目录具有与各密钥号相对应的核对次数管理表,能够根据密钥号识别成为对象的密钥,能够进行各暂时密钥的核对次数的管理。进而,例如,通过用闭塞解除指令的参数指定密钥号,还能够同样实行暂时密钥的闭塞解除的功能。
[0120]另外,在上述的实施形态4中,由于在暂时密钥参照信息102中不具有与暂时密钥的密钥号有关的信息,因此在公开键证明书中密钥号不是必须的,而在管理核对次数的情况下,可以在公开键证明书的公开键管理信息中包括密钥号。
[0121](实施形态6)
本发明实施形态6的访问控制方法是把从外部向IC卡提供访问权信息这样的公开键证明书的考虑方法也适用在密码核对或者基于秘密键加密方式的认证中的方法。由此,关于密码核对或者基于秘密键加密方式的认证,也产生不必回收IC卡就能变更访问条件这样的运用上的优点。
[0122]图15表示用于实现该优点的本实施形态6中的公开键证明书的结构。公开键关键信息122与在图12中说明过的相同,除去服务提供者的公开键以外,保存署名者的识别信息、署名算法、有效期限等。另外,该公开键证明书还包括暂时密钥的密钥号。对由该公开键管理信息122、后述的目录关联指令访问权信息152以及文件关联指令访问权信息153构成的署名对象数据151是用卡发行者的秘密键署名的,是署名数据154。
[0123]目录关联指令访问权信息152是与对当前所选择的目录的指令(例如,目录名的更新或者文件的创生等)有关的访问权信息,如图15(a)所示,由多个访问模式和安全条件的对构成。访问模式和安全条件具有与在实施形态1~3中说明过的安全属性10相同的信息,也包括与暂时密钥有关的信息。
[0124]文件关联指令访问权信息153也是与目录关联指令访问权信息152相同的结构,在当前所选择的目录的正下方具有多个文件的情况下,如图15(b)所示,按照文件的数量连接文件访问信息。各文件访问信息由用于识别文件的文件识别符、多个访问模式和安全条件的对构成。该访问模式和安全条件也具有与在实施形态1~3中说明过的安全属性10相同的信息,也包括与暂时密钥有关的信息。
[0125]无论是目录关联指令访问权信息152的情况,还是文件关联指令访问权信息153的情况,访问模式和安全条件的对都连接发送公开键证明书的终端可以使用的指令部分。这里未被指定的指令意味着对于其终端不允许执行。
[0126]这样,通过把以往保存在IC卡的非易失性存储器中的与安全属性有关的信息包含在公开键证明书中,从终端发送到IC卡,也能灵活地对应与密码核对或者基于秘密键加密方式的认证有关的访问权的变更。
[0127]然而,虽然通过变更公开键证明书,能够自由地变更对IC卡的访问权这一点在运用上是方便的,但是能够从外部提供到IC卡的公开键证明书易于成为攻击的对象,还隐藏着呈现安全上的脆弱性的危险性。从而在IC卡一侧最好寻求如何防止被攻击的某些防御对策。
[0128]图16表示本实施形态6中的这种防御对策的一个例子,各目录具有绝对的访问权信息161。图16中表示根目录21的情况,而对于子目录也有同样的信息。绝对访问权信息由目录关联指令绝对访问权信息162、文件关联指令绝对访问权信息163构成。目录关联指令绝对访问权信息162是与图15的目录关联指令访问权信息152相同的结构。同样,文件关联指令绝对访问权信息163是与图15的文件关联指令访问权信息153相同的结构。
[0129]目录关联指令绝对访问权信息162是绝对的访问条件,比包含在公开键证明书中的目录关联指令访问权信息152优先。即,即使公开键证明书的目录关联指令访问权信息152提示了某个访问条件,IC卡也根据包含在当前所选择的目录中的目录关联指令绝对访问权限信息162进行访问控制。
[0130]如果在当前所选择的目录中不存在目录关联指令绝对访问权信息162,则公开键证明书的目录关联指令访问权信息152成为有效,反之,存在目录关联指令决定访问权限信息162的情况下,公开键证明书的目录关联指令访问权信息152成为无效。
[0131]关于文件关联指令绝对访问权信息163也相同。
[0132]这样,通过在IC卡内保存绝对的访问权信息,即使伪造了包括访问权限信息的公开键证明书,也能够确保必要的安全。
[0133]另外,在上述的说明中采用了在各目录中具有绝对的访问权信息的结构,而也可以不是在目录而是在各文件中具有文件关联指令绝对访问权限信息163。
产业上的可利用性
本发明的方法在进行对保存在IC卡中的文件等的访问控制的系统中是有用的。
Claims (21)
1.一种对IC卡内的文件进行访问的访问控制方法,其特征在于:
上述IC卡在非易失性存储器内具有固定密钥,
终端向上述IC卡传送对自身的公开键由卡发行者的秘密键署名后的公开键证明书,
上述IC卡在检验了从上述终端接受到的上述公开键证明书的合法性以后,从该公开键证明书取出上述公开键,把其作为暂时密钥保持在上述IC卡内的易失性存储器中,
上述IC卡内的文件具有参照上述固定密钥的固定密钥参照信息和参照上述暂时密钥的暂时密钥参照信息,
上述IC卡至少基于上述固定密钥参照信息以及上述暂时密钥参照信息,判断能否进行对该IC卡内的上述文件的访问。
2.根据权利要求1所述的访问控制方法,其特征在于:
上述公开键证明书包括虚拟地赋予到上述暂时密钥中的第1密钥号,
并且根据保存在上述暂时密钥参照信息中的上述第1密钥号,参照使用了上述暂时密钥的认证结果。
3.根据权利要求2所述的访问控制方法,其特征在于:
对上述固定密钥赋予第2密钥号,
根据保存在上述固定密钥参照信息中的上述第2密钥号,参照使用了上述固定密钥的认证结果,
并且对上述第1密钥号和上述第2密钥号赋予不同的值,由此判别上述固定密钥与上述暂时密钥。
4.根据权利要求2所述的访问控制方法,其特征在于:
对上述固定密钥赋予第2密钥号,
根据保存在上述固定密钥参照信息中的上述第2密钥号,参照使用了上述固定密钥的认证结果,
并且固定上述固定密钥参照信息以及上述暂时密钥参照信息的保存位置,由此判别上述固定密钥与上述暂时密钥。
5.根据权利要求2所述的访问控制方法,其特征在于:
对上述固定密钥赋予第2密钥号,
根据保存在上述固定密钥参照信息中的上述第2密钥号,参照使用了上述固定密钥的认证结果,
并且在上述固定密钥参照信息和上述暂时密钥参照信息中分别附加不同的识别符,由此判别上述固定密钥和上述暂时密钥。
6.根据权利要求1至5的任一项所述的访问控制方法,其特征在于:
上述IC卡内的文件构成分层构造,
上述暂时密钥参照信息具有与上述公开键证明书的段数有关的信息。
7.根据权利要求1至5的任一项所述的访问控制方法,其特征在于:
上述IC卡内的文件构成分层构造,
上述暂时密钥参照信息具有与上述分层构造的分层号有关的信息。
8.根据权利要求1所述的访问控制方法,其特征在于:
上述暂时密钥参照信息包括表示是否把基于公开键加密方式的认证结果反映到访问控制中的信息。
9.根据权利要求8所述的访问控制方法,其特征在于:
上述公开键证明书具有目录识别信息,
在当前选择的目录是用位于上述公开键证明书内的上述目录识别信息表示的目录的情况下,上述IC卡进行通常处理。
10.根据权利要求8所述的访问控制方法,其特征在于:
上述公开键证明书具有多个目录识别信息,
在当前选择的目录是用位于上述公开键证明书内的多个上述目录识别信息的每一个表示的目录的情况下,上述IC卡进行通常处理。
11.根据权利要求8所述的访问控制方法,其特征在于:
上述公开键证明书具有多个目录识别信息,
在当前选择的目录是用位于上述公开键证明书内的多个上述目录识别信息的每一个表示的目录,并且是位于连接根目录与当前选择的目录的枝上的目录或者当前选择的目录的下级的情况下,上述IC卡进行通常处理。
12.根据权利要求8所述的访问控制方法,其特征在于:
上述公开键证明书具有对一个文件识别信息连接了多个指令识别信息的情况。
13.根据权利要求8所述的访问控制方法,其特征在于:
上述公开键证明书具有对一个指令识别信息连接了多个文件识别信息的情况。
14.根据权利要求1所述的访问控制方法,其特征在于:
上述公开键证明书包括虚拟地赋予到上述暂时密钥中的第1密钥号,
并且位于上述IC卡内的至少一个目录具有与上述第1密钥号相对应的核对次数管理信息。
15.一种对IC卡内的文件进行访问的访问控制方法,其特征在于:
上述IC卡在非易失性存储器内具有固定密钥,
终端向上述IC卡传送对参照上述固定密钥的访问控制信息署名后的信息,
上述IC卡在检验了从上述终端接收到的上述署名后的信息的合法性以后,从该署名后的信息取出上述访问控制信息,至少基于该访问控制信息,判断能否进行对上述文件的访问。
16.根据权利要求15所述的访问控制方法,其特征在于:
上述IC卡在上述非易失性存储器内具有绝对的访问权信息,
基于该绝对的访问权信息优先于上述访问控制信息,进行访问控制。
17.一种IC卡,其特征在于包括:
CPU;
易失性存储器;和
非易失性存储器,
上述非易失性存储器具有文件和固定密钥,
上述CPU在检验了从终端取得的公开键证明书的合法性以后,从该公开键署名书取出公开键,把其作为暂时密钥保存在上述易失性存储器中,
上述文件具有参照上述固定密钥的固定密钥参照信息、参照上述暂时密钥的暂时密钥参照信息,
上述CPU至少基于上述固定密钥参照信息和上述暂时密钥参照信息,判断能否访问该文件。
18.根据权利要求17所述的IC卡,其特征在于:
上述暂时密钥具有虚拟赋予到上述暂时密钥中的密钥号,
上述CPU检验包含在上述公开键证明书中的密钥号的合法性,并且根据保存在上述暂时密钥参照信息中的密钥号,参照使用了上述暂时密钥的认证结果。
19.根据权利要求17所述的IC卡,其特征在于:
上述CPU使用表示在访问控制中是否反映了基于保存在上述暂时密钥参照信息中的公开键加密方式的认证结果的信息,进行访问控制。
20.根据权利要求17所述的IC卡,其特征在于:
上述暂时密钥具有虚拟地赋予到上述暂时密钥中的密钥号,
上述CPU检验包含在公开键证明书中的密钥号的合法性,基于包含在该公开键证明书具有的至少一个目录中的与该密钥号相对应的信息,管理上述暂时密钥的核对次数。
21.一种IC卡,其特征在于包括:
CPU;
易失性存储器;和
非易失性存储器,
上述非易失性存储器具有文件和固定密钥,
上述CPU在检验了对于从终端取得的参照上述固定密钥的访问控制信息署名后的信息的合法性以后,取出上述访问控制信息,并且至少根据该访问控制信息,判断能否访问上述文件。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006245447 | 2006-09-11 | ||
| JP245447/2006 | 2006-09-11 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101366038A true CN101366038A (zh) | 2009-02-11 |
Family
ID=38982438
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007800020978A Pending CN101366038A (zh) | 2006-09-11 | 2007-09-07 | Ic卡及其访问控制方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20090271876A1 (zh) |
| EP (1) | EP1898370A3 (zh) |
| JP (1) | JP4598857B2 (zh) |
| CN (1) | CN101366038A (zh) |
| WO (1) | WO2008032648A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103038779A (zh) * | 2010-03-03 | 2013-04-10 | 松下电器产业株式会社 | 安装在记录介质装置中的控制器、记录介质装置、记录介质装置的制造系统、及记录介质装置的制造方法 |
| CN103329139A (zh) * | 2011-01-18 | 2013-09-25 | 苹果公司 | 在具有随机分配的存储范围的安全系统中支持jit的系统和方法 |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0250708A (ja) * | 1988-08-12 | 1990-02-20 | Tokin Corp | サーボモータ位置決め制御方式 |
| US8635361B2 (en) * | 2007-12-03 | 2014-01-21 | Riverbed Technology, Inc. | Transaction acceleration using application-specific locking |
| EP2254093B1 (en) * | 2009-05-22 | 2014-06-04 | Daon Holdings Limited | Method and system for confirming the identity of a user |
| US7690032B1 (en) | 2009-05-22 | 2010-03-30 | Daon Holdings Limited | Method and system for confirming the identity of a user |
| US9092597B2 (en) * | 2009-12-09 | 2015-07-28 | Sandisk Technologies Inc. | Storage device and method for using a virtual file in a public memory area to access a plurality of protected files in a private memory area |
| DE102010010950A1 (de) * | 2010-03-10 | 2011-09-15 | Giesecke & Devrient Gmbh | Verfahren zum Authentisieren eines portablen Datenträgers |
| CN102542319B (zh) * | 2010-12-10 | 2016-06-29 | 上海华虹集成电路有限责任公司 | Psam卡中密钥保护方法 |
| CN102387161A (zh) * | 2011-12-14 | 2012-03-21 | 创新科存储技术有限公司 | 一种身份验证方法 |
| JP5942612B2 (ja) * | 2012-06-05 | 2016-06-29 | 凸版印刷株式会社 | 情報記憶装置及びそのアクセス判定方法 |
| JP6194714B2 (ja) * | 2013-09-17 | 2017-09-13 | 大日本印刷株式会社 | ユニバーサルicカードおよびセキュリティ属性の照合方法 |
| CN104182786B (zh) * | 2014-07-14 | 2017-07-11 | 公安部交通管理科学研究所 | 对超高频电子标签存储区域实现分区管理的安全控制装置 |
| JP5999224B2 (ja) * | 2015-06-18 | 2016-09-28 | ソニー株式会社 | 情報処理装置、および情報処理方法、並びにプログラム |
| CN106330888B (zh) * | 2016-08-19 | 2019-08-27 | 中国银行股份有限公司 | 一种保证互联网线上支付安全性的方法及装置 |
| JP6800732B2 (ja) * | 2016-12-19 | 2020-12-16 | 株式会社東芝 | 処理システム、および端末 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2227111B (en) * | 1989-01-17 | 1993-05-19 | Toshiba Kk | Certification system |
| JP2000509452A (ja) * | 1996-04-19 | 2000-07-25 | ラ ポスト | キーを生成する権限を自動的に転送することを可能にする安全化されたアクセス監視システム |
| US6164549A (en) * | 1997-05-15 | 2000-12-26 | Mondex International Limited | IC card with shell feature |
| US6101477A (en) * | 1998-01-23 | 2000-08-08 | American Express Travel Related Services Company, Inc. | Methods and apparatus for a travel-related multi-function smartcard |
| US6763463B1 (en) * | 1999-11-05 | 2004-07-13 | Microsoft Corporation | Integrated circuit card with data modifying capabilities and related methods |
| US20020026578A1 (en) * | 2000-08-22 | 2002-02-28 | International Business Machines Corporation | Secure usage of digital certificates and related keys on a security token |
| FR2820848B1 (fr) * | 2001-02-13 | 2003-04-11 | Gemplus Card Int | Gestion dynamique de listes de droits d'acces dans un objet electronique portable |
| JP2002279390A (ja) * | 2001-03-15 | 2002-09-27 | Sony Corp | データアクセス制御システム、メモリ搭載デバイス、およびデータアクセス制御方法、並びにプログラム記憶媒体 |
| US7110986B1 (en) * | 2001-04-23 | 2006-09-19 | Diebold, Incorporated | Automated banking machine system and method |
| JP2003078516A (ja) * | 2001-08-30 | 2003-03-14 | Dainippon Printing Co Ltd | 電子鍵格納icカード発行管理システム、再発行icカード及び電子鍵格納icカード発行管理プログラム |
| US7272858B2 (en) * | 2002-04-16 | 2007-09-18 | Microsoft Corporation | Digital rights management (DRM) encryption and data-protection for content on a relatively simple device |
| JP2003316655A (ja) * | 2002-04-23 | 2003-11-07 | Nippon Telegr & Teleph Corp <Ntt> | Icカードに格納されたアプリケーションやデータのアクセス制御方法及びシステム |
| JP2004104539A (ja) * | 2002-09-11 | 2004-04-02 | Renesas Technology Corp | メモリカード |
| JP2004247799A (ja) * | 2003-02-12 | 2004-09-02 | Hitachi Ltd | 公開鍵証明書を利用したアクセス制御を行う情報システム |
| JP4291068B2 (ja) * | 2003-07-30 | 2009-07-08 | 大日本印刷株式会社 | Icカード及びicカードシステム |
| JP4420201B2 (ja) * | 2004-02-27 | 2010-02-24 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ハードウェアトークンを用いた認証方法、ハードウェアトークン、コンピュータ装置、およびプログラム |
| JP4599899B2 (ja) * | 2004-06-14 | 2010-12-15 | ソニー株式会社 | 情報管理装置及び情報管理方法 |
| TW201017514A (en) * | 2004-12-21 | 2010-05-01 | Sandisk Corp | Memory system with versatile content control |
| US20080010449A1 (en) * | 2006-07-07 | 2008-01-10 | Michael Holtzman | Content Control System Using Certificate Chains |
-
2007
- 2007-09-07 CN CNA2007800020978A patent/CN101366038A/zh active Pending
- 2007-09-07 JP JP2008512627A patent/JP4598857B2/ja not_active Expired - Fee Related
- 2007-09-07 WO PCT/JP2007/067477 patent/WO2008032648A1/ja active Application Filing
- 2007-09-07 US US12/065,415 patent/US20090271876A1/en not_active Abandoned
- 2007-09-10 EP EP07116038A patent/EP1898370A3/en not_active Withdrawn
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103038779A (zh) * | 2010-03-03 | 2013-04-10 | 松下电器产业株式会社 | 安装在记录介质装置中的控制器、记录介质装置、记录介质装置的制造系统、及记录介质装置的制造方法 |
| US9081726B2 (en) | 2010-03-03 | 2015-07-14 | Panasonic Intellectual Property Management Co., Ltd. | Controller to be incorporated in storage medium device, storage medium device, system for manufacturing storage medium device, and method for manufacturing storage medium device |
| CN103038779B (zh) * | 2010-03-03 | 2016-03-02 | 松下知识产权经营株式会社 | 安装在记录介质装置中的控制器、记录介质装置、记录介质装置的制造系统、及记录介质装置的制造方法 |
| CN103329139A (zh) * | 2011-01-18 | 2013-09-25 | 苹果公司 | 在具有随机分配的存储范围的安全系统中支持jit的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2008032648A1 (fr) | 2008-03-20 |
| JPWO2008032648A1 (ja) | 2010-01-21 |
| EP1898370A3 (en) | 2009-09-02 |
| JP4598857B2 (ja) | 2010-12-15 |
| US20090271876A1 (en) | 2009-10-29 |
| EP1898370A2 (en) | 2008-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101366038A (zh) | Ic卡及其访问控制方法 | |
| CN113574913B (zh) | 用于准备和执行对象认证的方法和系统 | |
| US11133943B2 (en) | Issuing virtual documents in a block chain | |
| CN101855653B (zh) | 锁管理系统 | |
| EP3590223A1 (fr) | Procede et dispositif pour memoriser et partager des donnees integres | |
| CN102484638B (zh) | 经由多个中间客户端在线递送的身份数据的分层保护和验证 | |
| KR20190004310A (ko) | 분산 해시 테이블 및 개인대개인 분산 대장을 사용한 계약의 성능을 제어하는 방법 및 시스템 | |
| US11640394B2 (en) | Method, apparatuses and system for exchanging data between a distributed database system and devices | |
| KR100774859B1 (ko) | 내탬퍼 장치 및 파일 생성 방법 | |
| JP7114078B2 (ja) | 電子認証方法及びプログラム | |
| CN105162760A (zh) | 随机抽取方法、装置以及系统 | |
| CN111492355B (zh) | 用于控制和/或监控装置的方法和控制系统 | |
| WO2010107538A1 (en) | Methods for producing products which contain certificates and keys | |
| CN102238192A (zh) | 匿名保健和记录系统 | |
| US11126750B2 (en) | Manipulation-proof storage of evidence-relevant data | |
| CN104145454B (zh) | 用于电子邮件传递的验证的方法 | |
| CN103270732B (zh) | 通信装置、提示装置以及信息记录介质 | |
| US20210110390A1 (en) | Methods, systems, and devices for managing digital assets | |
| US9276738B2 (en) | Digital tachograph | |
| EP3815291B1 (de) | Fälschungssicherung und abgabekontrolle von verbrauchsgütern | |
| US20220114276A1 (en) | Controlling a data network with respect to a use of a distributed database | |
| EP2562668B1 (de) | Verfahren zur Durchführung eines Schreibzugriffs, Computerprogrammprodukt, Computersystem und Chipkarte | |
| EP4254234A1 (de) | Ausstellen eines digitalen credentials für eine entität | |
| DE19540973C2 (de) | Verfahren zur Eingabesicherung und für Transaktionen von digitalen Informationen | |
| JP2003187194A (ja) | 端末装置、個人情報処理装置および失効情報ファイル作成装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20090211 |
|
| C20 | Patent right or utility model deemed to be abandoned or is abandoned |