WO2003003292A1 - Dispositif et procede pour l'identification de mot de passe - Google Patents

Description

明 細 書 暗証コード識別装置及び暗証コード識別方法 [技術分野] 本発明は、 暗証コ一ドの照合により所定の情報へのアクセスを制御するための 暗証コード識別装置及び暗証コード識別方法に係り、 特に、 暗証コードの照合に より外部装置からのアクセスを制御するための暗証コード識別装置及び暗証コ一 ド識別方法に関する。

さらに詳しくは、 本発明は、 暗証コードの照合により I Cカードのような装置 内のメモリに対するリ一ダ /ライタのような外部装置からのアクセスを制御する ための暗証コード識別装置及び暗証コード識別方法に係り、 特に、 暗証コードに よるアクセス権制御が必要か否かを設定する暗証コード識別装置及び喑証コ一ド 識別方法に関する。 [背景技術] 従来から、 本人確認や認証処理のために暗証番号ゃノ スワードを用いたさまざ まな装置が考案され、 実用に供されている。 （ここで、 一般に、 「暗証番号」 とは 0から 9までの数字の組み合わせで表される文字列のことを言い、 また、「パスヮ ード」 は、 数字に加えてアルファベットなどの一般文字を用いて表される文字列 のことを言う。 本明細書中では、 暗証番号とパスワードを併せて 「暗証コード」 とも呼ぶ。）

例えば、銀行やその他の金融機関において、キヤッシュ，カードを使用する際に は、 キャッシュ-ディスペンザなどで、 本人認証の手段として、 暗証番号やパスヮ ードの入力を使用者に対して促し、 使用者から正しい暗証番号やパスワードが入 力されたことを確認してから、キャッシュ ·デイスペンザなどから出金動作を行な うようになっている。 この他にも、ホテルなどの宿泊施設に設置されたセーフティ ·ボックスの喑証コ ード入力、 コンピュータへのログイン時のパスワード入力、 あるいは情報端末上 の情報を秘匿するためなど、 暗証コードに関する適用例はさまざまである。 従来、 1枚の銀行用キャッシュ'カード上に配設されて 、る磁気ストライプなど の記憶媒体の中には、 その銀行に対してのみ使用可能な記憶領域しか設けられて いない。 したがって、 上述したような暗証番号あるいはパスワードの入力は、 こ の単一の記憶領域へのアクセスに過きない。 したがって、 ユーザは、 目的又は用 途毎にカードを用意して、 複数の力一ドを使い分ける必要がある。

ところで、 最近では、 非接触方式の I Cカードが普及してきている。 例えばキ ャッシュ ·デイスペンザやコンサート会場の出入口、駅の改札口などに設置された I Cカード'リーダ/ライ夕は、利用者がかざした I Cカードに非接触でアクセス することができる。ここで、利用者が暗証番号やパスヮ一ドを I Cカード ·リーダ 側に入力して、 入力された暗証番号やパスワードを I Cカード上に格納された喑 証番号やパスワードと照合することで、 I Cカードと I Cカード 'リーダ/ライ夕 間で本人確認又は認証処理が行なわれる。 そして、 本人確認又は認証処理に成功 した場合には、 例えば、 I Cカード内に保存されているアプリケーションの利用 が可能となる。 ここで、 I Cカードが保持するアプリケーションとしては、 例え ば、 電子マネ一や電子チケットなどの価値情報を挙げることができる。

また、 最近では、 微細化技術の向上とも相俟って、 比較的大容量の記憶空間を 持つ I Cカードが出現し、普及してきている。従来のキャッシュ 'カードなどにお Vヽては単一の記憶領域すなわち単一のアプリケーションしか担持しないので、 各 用途又は目的毎に応じた複数のカードを持ち歩く必要ができる。 これに対して、 このような大容量メモリ付きの I Cカードによれば、 複数のアプリケーションを 同時に格納しておくことができるので、 1枚の I Cカードを複数の用途に利用す ることができる。 例えば、 1枚の I Cカード上に、 電子決済を行なうための電子 マネーや、 特定のコンサート会場に入場するための電子チケットなど、 2以上の アプリケーションを格納しておき、 1枚の I Cカードをさまざまな用途に適用さ せることができる。

さらに、 このような大容量メモリ機能付きの I Cカード （又は、 I Cカードが 半導体チップィ匕された I Cチップ） を、 携帯電話機などの携帯端末上に搭載する ことによって、 利用者は携帯端末を所持しておくことで、 電子決済を始めとする 外部との電子的な価値情報のやり取りをさまざまな場所で行なうことができる。 従来のキャッシュ '力一ドは単一の用途しか持たないので（前述)、キヤッシュ' カード上の磁気ストライプは単一の暗証番号又はパスヮ一ドを持つことによって カード全体のセキュリティを管理することができた。

これに対し、 複数のアブリケーションを保持することができるメモリ機能付き I Cカードや、 このような I Cカード （又は I Cチップ） を搭載した携帯端末に おいては、アプリケーション毎にアクセス権を制御する必要がある。何故ならば、 唯 1つの暗証コードのみで、 I Cカード上のすべてのアプリケーションへのァク セスを開放してしまうと、 例えば紛失時や盗難時におけるセキュリティが著しく 低下するからである。

また、 暗証コードの入力によりアクセスを許可したメモリ領域を一旦無効にし た後、 再度有効な状態に戻すためには、 ユーザはもう一度暗証コードを入力し直 さなければならず、 使い勝手がよくない。

また、 I C力一ド内の情報にアクセスするために暗証コードに基づく認証処理 が必要か否かは、 基本的には I Cカードの所有者のみが決定するものであり、 シ ステム管理者などが関与する余地はない。 [発明の開示] 本発明の目的は、 喑証コ一ドの照合により外部装置からのアクセスを好適に制 御することができる、 暗証コード識別装置及び暗証コード識別方法を提供するこ とにある。

本発明のさらなる目的は、 喑証コードの照合により I Cカードのような装置内 のメモリに対するリーダ/ライ夕のような外部装置からのアクセスを好適に制御 することができる、 暗証コード識別装置及び暗証コード識別方法を提供すること あ _O

本発明のさらなる目的は、 暗証コードによるアクセス権制御が必要か否かを I Cカードの所有者並びにカード 'サービスの管理者の双方において好適に設定す ることができる、 暗証コ一ド識別装置及び喑証コ一ド識別方法を提供することに ある。 本発明は、 上記課題を参酌してなされたものであり、 その第 1の側面は、 暗証 コードの照合により外部機器からのアクセスを制御するための暗証コード識別装 置であって、

外部機器と通信するための通信部と、

データを保持するデータ保持部と、

暗証コードを保持する暗証コード保持部と、

前記通信部を介して外部機器から入力される暗証コ一ドと前記暗証コード保持 部に保持された暗証コードとがー致しているか否かを判別する暗証コード判別部 と、

暗証コ一ド判別を行なう条件を設定する条件設定部と、

前記条件設定部により設定された暗証コード判別条件に従って、 前記通信部を 介した外部機器から前記デ一夕保持部へのアクセスを制御するフロ一制御部と、 を具備することを特徴とする暗証コード識別装置である。

本発明の第 1の側面に係る暗証コード識別装置は、 例えば、 比較的大容量メモ リを持つ I C力一ドへのアクセスを暗証コ一ドの照合によって制御する場合にお いて適用することができる。

ここで、 I Cチップとアンテナを搭載してクレジットカード ·サイズ犬に構成 されたカートリッジのことを、 一般に、 「I Cカード」 と呼ばれる。 I Cチップは、 携帯電話機や P D Aなどの携帯端末や、 その他の情報処理装置に内蔵して用いら れ 。

また、 I Cカードを情報処理装置に挿入して使用することもある。 I Cチップ 若しくは I Cカードの使用形態としては、 プリペイ ド形式の電子マネーや電子チ ケットなどの価値情報に関する機能が挙げられる。 I Cチヅプ又は I Cカードに よって提供される機能のことを、 以下では、 「アプリケーション」 とも呼ばれる。

I Cカードのメモリ領域上には、 例えば、 電子マネーや電子チケットなどの価 値情報を含んだ 1以上のアプリケーションが割り当てられている。 各アプリケー シヨンには暗証番号やパスヮードなどの暗証コードが設定されており、 この暗証 コードの照合によってアクセス権が制御される。 すなわち、 アプリケーションを 使用したいユーザは、 暗証コードの入力を試み、 I Cカード内では、 アプリケ一 シヨンに設定された暗証コードと入力された暗証コードを照合して、 暗証コード がー致する場合にのみ、 I Cカードはアプリケーションへのアクセスを許可する ようになつている。

本発明の第 1の側面に係る暗証コ一ド識別装置によれば、 前記条件設定部が前 記暗証コ一ド判別部による喑証コ一ドの判別が必要か否かを設定するようになつ ている。 そして、 前記フロー制御部は、 前記条件設定部が暗証コード判別不必要 と設定した場合には、 前記通信部を介した外部機器から前記データ保持部へのァ クセスを許可する。 また、 前記フロー制御部は、 前記条件設定部が暗証コード判 別を必要と設定した場合には、 前記暗証コード判別部からの暗証コードの一致出 力に応答して、 前記通信部を介した外部機器から前記データ保持部へのアクセス を許可する。 前記フロー制御部は、 前記データ保持部と前記通信部を接続状態に することによって、 外部機器による前記データ保持部に保持されたデータのァク セスが可能にすることができる。

また、 前記条件設定部は、 前記暗証コード判別部による暗証コードの判別が必 要か不必要かの状態を保持する第 1の判別要否保持手段と、 前記暗証コード判別 部による暗証コ一ドの判別が必要な状態から不必要な状態に変化するために暗証 コードの入力が必要か不必要かの状態を保持する第 2の判別要否保持手段と、 前 記暗証コ一ド判別部による暗証コードの判別が不必要な状態から必要な状態に変 化するために暗証コードの入力が必要か不必要かの状態を保持する第 3の判別要 否保持手段とを備えていてもよい。

このような場合、 前記条件設定部は、 前記第 1乃至第 3の判別要否保持手段の 保持内容に応じて暗証コード判別を行なう条件を設定することができる。 すなわ ち、 暗証コードを変更する際に、 暗証コードを無効な状態から有効な状態にする には暗証コードを入力する必要はないが、 逆に、 暗証コードを有効な状態から無 効な状態にするには暗証コードを入力する必要があるといったように、 暗証コ一 ドの入力条件をさまざまに組み合わせて、 暗証コードの有効/無効、 並びに有効 から無効への変更や無効から有効への変更を設定することが可能となる。

また、 前記暗証コード保持部は複数の暗証コードを保持し、 前記暗証コード判 別部は前記通信部を介して外部機器から入力される暗証コードが前記暗証コ一ド 保持部に保持された各暗証コードと一致しているか否かを判別し、 前記フロー制 御部は、 前記条件設定部が暗証コード判別を必要と設定した場合であって、 前記 暗証コ一ド判別部からすべての喑証コ一ドについての一致出力が得られた場合に のみ前記通信部を介した外部機器から前記データ保持部へのァクセスを許可する ようにしてもよい。

このような場合、 暗証コードを入力する一部の外部機器を本システムを利用す る個人ユーザとするとともに、 暗証コードを入力する他の一部の外部機器を運用 する運用者（例えば、 カード 'サービスの管理者など）に割り当てることにより、 運用者側の判断によって、暗証コ一ド機能を制御することが可能となる。例えば、 強制的に喑証コ一ドの入力が必要なように設定することが可能となる。

また、 前記暗証コード保持部は前記データ保持部の各メモリ領域毎の喑証コ一 ドを保持し、 前記暗証コード判別部は、 前記通信部を介して外部機器から入力さ れる喑証コードが前記暗証コード保持部に保持された各暗証コ一ドと一致してい るか否かを判別し、 前記フロー制御部は、 前記条件設定部が暗証コード判別を必 要と設定した場合であって、 前記暗証コード判別部から暗証コードの一致出力が 得られたメモリ領域に対する前記通信部を介した外部機器からのアクセスを許可 するようにしてもよい。

このような場合、 デ一夕保持部が持つメモリ空間のうち一致出力が得られた喑 証コードに該当するメモリ領域に対するアクセスを許可するようにすることがで ぎる。

外部機器は、 カード ' リーダを備えることで、 I Cチップに無線インタ一フエ —ス絰由でアクセスすることができる。 I Cチップなどのメモリ領域へのァクセ ス権は、 暗証コードの一致により制御される。 I Cチップを内蔵した情報処理機 器上で暗証コードを入力してロックを解除後に外部機器と無線接続して、 メモリ 領域へのアクセスを許容するようにしてもよい。 あるいは、 情報処理機機内の I Cチップと外部機器との無線接続を確立した後、 外部機器上で入力される喑証コ 一ドを基にアクセス権を制御するようにしてもよい。 また、 本発明の第 2の側面は、 暗証コードの照合により外部機器からの所定の データへのアクセスを制御するための暗証コ一ド識別方法であって、

外部機器から入力される暗証コードと前記所定のデータに対して設定された暗 証コードが一致しているか否かを判別する暗証コード判別ステップと、

暗証コード判別を行なう条件を設定する条件設定ステップと、

前記条件設定ステップにより設定された暗証コード判別条件に従って、 外部機 器からの前記所定のデータへのァクセスを制御するフロ一制御ステツプと、 を具備することを特徴とする暗証コード識別方法である。

本発明の第 2の側面に係る暗証コード識別方法は、 例えば、 比較的大容量メモ リを持つ I C力一ドへのアクセスを喑証コ一ドの照合によって制御する場合にお いて適用することができる。

I Cカードのメモリ領域上には、 例えば、 電子マネ一や電子チケットなどの価 値情報を含んだ 1以上のアプリケーションが割り当てられている。 各アプリケー シヨンには暗証番号やパスワードなどの暗証コードが設定されており、 この暗証 コードによってアクセス権が制御される。 すなわち、 アプリケーションを使用し たいユーザは、 暗証コードの入力を試み、 I Cカード内では、 アプリケーション に設定された暗証コードと入力された暗証コードを照合して、 暗証コードが一致 する場合にのみ、 I Cカードはアプリケーションへのアクセスを許可するように なっている。

本発明の第 2の側面に係る暗証コード識別方法によれば、 前記条件設定ステッ プでは、 前記喑証コ一ド判別ステツプによる暗証コードの判別が必要か否かを設 定することができる。 そして、 前記フロー制御ステップでは、 前記条件設定ステ ップにより暗証コード判別不必要と設定した場合には、 外部機器から前記所定の データへのアクセスを許可する。 また、 前記フロー制御ステップでは、 前記条件 設定ステップにより暗証コード判別を必要と設定した場合には、 前記暗証コード 判別ステップによる喑証コ一ドの一致出力に応答して、 外部機器から前記所定の データへのアクセスを許可する。

前記条件設定ステップは、 前記暗証コード判別ステップによる喑証コ一ドの判 別が必要か不必要かの状態を管理する第 1の判別要否保持ステップと、 前記暗証 コード判別ステップによる暗証コードの判別が必要な状態から不必要な状態に変 化するために暗証コードの入力が必要か不必要かの状態を保持する第 2の判別要 否保持ステツプと、 前記暗証コード判別ステップによる暗証コードの判別が不必 要な状態から必要な状態に変化するために暗証コードの入力が必要か不必要かの 状態を管理する第 3の判別要否保持ステツプとを備えていてもよい。

このような場合、 前記条件設定ステップでは、 前記第 1乃至第 3の判別要否保 持ステップにより管理される各状態に応じて暗証コード判別を行なう条件を設定 することができる。 すなわち、 暗証コードを変更する際に、 暗証コードを無効な 状態から有効な状態にするには暗証コードを入力する必要はないが、 逆に、 暗証 コードを有効な状態から無効な状態にするには喑証コ一ドを入力する必要がある といったように、 暗証コードの入力条件をさまざまに組み合わせて、 暗証コード の有効 Z無効、 並びに有効から無効への変更や無効から有効への変更を設定する ことが可能となる。

また、 アクセス対象となる所定のデータに対して複数の暗証コードが設定され ている場合には、 前記暗証コード判別ステップでは、 該設定された複数の喑証コ ードの各々と外部機器から入力される各暗証コードとがー致しているか否かを判 別し、 また、 前記フロー制御ステップでは、 前記条件設定ステップにおいて暗証 コード判別を必要と設定した場合であって、 前記暗証コ一ド判別ステップからす ベての暗証コードについての一致出力が得られた場合にのみ外部機器から前記所 定のデ一夕へのアクセスを許可するようにしてもよい。

このような場合、 暗証コードを入力する一部の外部機器を本システムを利用す る個人ユーザとするとともに、 暗証コードを入力する他の一部の外部機器を運用 する運用者に割り当てることにより、 運用者側の判断によって、 暗証コード機能 を制御することが可能となる。 例えば、 強制的に暗証コードの入力が必要なよう に設定することが可能となる。

また、 各メモリ領域毎に暗証コードが設定されている場合には、 前記喑証コ一 ド判別ステツプでは、 外部機器から入力される暗証コードが各メモリ領域に対し て設定されたそれそれの暗証コードと一致しているか否かを判別し、 また、 前記 フロー制御ステップでは、 前記条件設定ステップにより暗証コード判別を必要と 設定した場合であって、 前記暗証コ一ド判別ステップにより暗証コードの一致出 力が得られたメモリ領域に対する外部機器からのアクセスを許可するようにして もよい。

このような場合、 データ保持部が持つメモリ空間のうち一致出力が得られた喑 証コードに該当するメモリ領域に対するアクセスを許可するようにすることがで ぎる。 本発明のさらに他の目的、 特徴や利点は、 後述する本発明の実施形態や添付す る図面に基づくより詳細な説明によって明らかになるであろう。

[図面の簡単な説明] 図 1は、 本発明の一実施形態に係る携帯端末 1 0のハードウェア構成を模式的 に示した図である。

図 2は、 電磁誘導に基づくリーダ/ライ夕と I Cチップ 5 0との無線通信の仕 組みを概念的に示した図である。

図 3は、 リーダ/ライ夕 1 0 1と I Cカード 5 0からなる系を 1個のトランス として捉えてモデル化した図である。

図 4は、 本実施形態に係る携帯端末 1 0に内蔵される I Cカード 5 0内の機能 構成を模式的に示した図である。

図 5は、 通信部 5 1を介して 1バイ ト単位で送受信されるデータの構造を模式 的に示した図である。

図 6は、 1バイ ト ·デ一夕が集まって構成されるパケッ卜の構成を模式的に示 した図である。

図 7は、送受信者間におけるバケツト交換の基本シーケンスを示した図である。 図 8は、 フロー制御部 5 5の構成を示した図である。 図 9は、 暗証コード保持部及び暗証コード比較部を複数個装備した暗証コード 識別装置 （I Cカード 5 0 ) の構成例を示した図である。

図 1 0は、 デ一夕保持部 5 2の個々のメモリ領域に対して暗証コードをそれそ れ設定できるようにした暗証コード識別装置 （ I Cカード 5 0 ) の構成例を示し た図である。

[発明を実施するための最良の形態] 以下、 図面を参照しながら本発明の実施形態について詳解する。 図 1には、 本発明の一実施形態に係る携帯端末 1 0のハードウヱァ構成を模式 的に示している。携帯端末 1 0は、例えば、携帯電話機や P D A (Personal D igital Assistant)などのような、 小型且つ軽量に構成されて、ユーザが常に持ち運ぶこ とができる情報処理端末である。

図示の携帯端末 1 0は、 外部機器との無線通信により付勢されるとともにメモ リ機能を備えた I Cカード 5 0を搭載するとともに、 携帯端末 1 0内の動作を統 括的に制御するコントローラ 1 1と、 ユーザが暗証番号やパスワードを始めとす る各種の文字列やコマンドを入力するためのキー/ボタンなどからなるユーザ入 力装置 1 2と、処理結果を画面表示するための液晶ディスプレイ（L C D： liquid Crystal Display) などの表示装置 1 3を備えている。 もちろん、 携帯端末 1 0と しての本来の機能を実現するために、 図示する以外の周辺装置や回路コンポーネ ントを備えていてもよい。

コントローラ 1 1は、 C P U (Central Processing Unit) , R O M (Read Only Memory), R AM (Random Access Memory) などを一体ィ匕して構成される。 コント ローラ 1 1は、 R O M上に格納されたプログラム ·コードを実行することによって、 携帯端末 1 0内の各種オペレーションを制御する。

I Cカード 5 0は、 外部機器 1 0 0と無線接続するための無線インターフエ一 ス 1 4と、 携帯端末 1 0側のコントローラ 1 1と有線接続するための有線イン夕 一フェース 1 5を備えている。 無線ィンターフェース 1 4に関しては、 例えば、 I S O 7 8 1 6で定義された接触インターフェース規格、 又は、 I S O 1 4 4 4 3などで定義された無線ィン夕ーフェース規格を使用することができる。 I Cチップ 5 0と外部機器 1 0 0との接続方式に関しては、 後述に譲る。

I Cチップ 5 0は、 例えば、 非接触 I Cカードの技術が適用されており、 無線 インターフェース 1 4経由で受信される外部機器 1 0 0からの電波によって駆動 する。 言い換えれば、 ユーザが外部機器 1 0 0に携帯端末 1 0をかざしていない 状態では、 外部機器 1 0 0からの電波が届かなくなり、 I Cチップ 5 0の動作は 減勢されてしまう。 本実施形態では、 電波が途切れることに応答して I Cチップ 5 0内部へのアクセス権は消失する。

また、 本実施形態に係る I Cカード 5 0は、 比較的大容量のメモリ領域を備え ている。 このようなメモリ領域は、 微細化技術などによりもたらされる。 メモリ 領域は、 半導体メモリや磁気ストライプ、 あるいは読み書き可能なその他の記憶 媒体で構成される。 このメモリ領域上には、 1以上のアプリケーションが割り当 てられている。 ここで言うアプリケーションの例としては、 電子マネーや電子チ ケットを始めとする価値情報を挙げることができる。

この種の価値情報を無断使用や盗用から保護するために、 各アプリケーション 毎に暗証番号やパスワードなどの喑証コードを設定することによって、 アプリケ —シヨン単位でアクセス権が制御されている。 例えば、 無線イン夕一フェース 1 4や有線インターフヱ一ス 1 5を介して入力された暗証コードと各アプリケーシ ヨンが持つ暗証コードとを比較照合して、 一致するアプリケーションについての アクセス権が与えられる （後述)。

外部機器 1 0 0は、 I Cカード 5 0のメモリ領域に割り当てられているアプリ ケーシヨンを利用する装置であり、 例えば非接触 I Cカードの技術を適用して、 I Cチップ 5 0と無線接続するためのリーダ/ライ夕 1 0 1を含んでいる。勿論、 外部機器 1 0 0は、 それ以外にも、 特定業務用の演算処理を行なう回路コンポ一 ネントや周辺装置類、 ユーザとの対話入力を行うための表示装置並びに入力装置 (いずれも図示しない） を装備している。

外部機器 1 0 0は、 例えば、 銀行内の A T M (Automatic Teller Machine) 端 末のような電子マネ一を使用する装置や、 コンサ一ト会場のゲ一トや駅や空港の 改札口など電子チケットを使用する装置など電子的な価値情報を処理する装置、 さらには、宿泊施設のセーフティ 'ボックスのように本人確認又は認証処理を行な う装置に相当する。

図 1に示すようなシステム構成によれば、 ユーザは携帯端末 1 0上のユーザ入 力装置 1 2から暗証コードを入力して、 ロックを解除する。 場合によってはュ一 ザから入力された値を表示装置 1 3上で確認して、 携帯端末 1 0に内蔵された I Cチップ 5 0に入力された暗証コードを有線インターフェース 1 5経由で送出す る。 そして、 I Cチップ 5 0内では、 メモリ領域上の各アプリケーション又は各 ディレクトリに設定されている暗証コードとユーザ入力された暗証コードの照合 が行なわれる。 そして、 一致するアプリケーション又はディレクトリに割り当て られたメモリ領域へのアクセス権がユーザに与えられる。 あるいは、 携帯端末 1

0内の I Cチップ 5 0と外部機器 1 0 0との無線接続を確立した後、 外部機器 1 0 0上で入力される暗証コードを基に、 アプリケーションへのアクセス権を制御 するようにしてもよい。

リーダ/ライ夕 1 0 1と I Cカード 5 0との無線通信は、 例えば電磁誘導の原 理に基づいて実現される。 図 2には、 電磁誘導に基づくリーダ/ライ夕 1 0 1と I Cカード 5 0との無線通信の仕組みを概念的に図解している。 リーダ/ライ夕 1 0 1は、 ループ'コイルで構成されたアンテナ L_BWを備え、 このアンテナ L_RWに 電流 I _RWを流すことでその周辺に磁界を発生させる。 一方、 I Cカード 5 0側で は、 電気的には I Cカード 5 0の周辺にループ'コイル L_eが形設されている。 I Cカード 5 0側のループ'コイル L_e端にはリーダ/ライ夕 1 0 1側のループ'ァ ンテナ L_cが発する磁界による誘導電圧が生じ、ループ'コイル L_c端に接続された I Cカード 5 0の端子に入力される。

リーダ/ライ夕 1 0 1側のアンテナ L_RWと I Cカード 5 0側のループ'コイル L_cは、その結合度は互いの位置関係によって変わるが、系としては 1個のトラン スを形成していると捉えることができ、 図 3に示すようにモデル化することがで ぎる。

リーダ/ライ夕 1 0 1は、アンテナ L_BWに流す電流 I _RWを変調することで、 I C 力一ド上のループ'コイル L_cに誘起される電圧 V。は変調を受け、そのことを利用 してリーダ/ライ夕 1 0 1は I Cカード 5 0へのデータ送信を行うことができる。 ここで言う送信データには、 外部機器 1 0 0側でユーザ入力された暗証番号ゃパ スヮードなどの、 アプリケーションへのアクセス権を得るための暗証コードゃ、 電子マネーや電子チケットなどのアブリケーションが提供する価値情報が含まれ る。

また、 I Cカード 5 0は、 リーダ/ライ夕 1 0 1へ返送するためのデータに応 じてループ'コイル L_cの端子間の負荷を変動させる機能 （Load Switching) を持 つ。 ループ'コイル の端子間の負荷が変動すると、 リーダ/ライ夕 1 0 1側で はアンテナ端子間のィンピ一ダンスが変化して、アンテナ の通過電流 Ι _Μゃ電 圧 V_RWの変動となって現れる。 この変動分を復調することで、 リーダ/ライ夕 1 0 1は I Cカード 5 0の返送データを受信することができる。 外部機器 1 0 0が I Cカード 5 0から受信するデ一夕には、 電子マネ一や電子チケットなどのアブ リケーシヨンが提供する価値情報が含まれる。

図 4には、 本実施形態に係る携帯端末 1 0に内蔵される I Cカード 5 0内の機 能構成を模式的に図解している。

同図に示すように、 I Cカード 5 0は、 携帯端末 1 0や外部機器 1 0 0など I Cカード 5 0外の装置と通信を行うための通信部 5 1と、 アプリケーション （電 子マネーや電子チケットなどの価値情報を含む） などのデ一夕を保持するデータ 保持部 5 2と、 データ保持部 5 2へのアクセスを制御する暗証コードを保持する 暗証コード保持部 5 3と、 通信部 5 1から入力された暗証コードと暗証コード保 持部 5 3に保持されている暗証コ一ドとを比較照合する暗証コード比較部 5 4と、 暗証コード比較を行う条件に従って暗証コード比較出力を制御するフロー制御部 5 5とを備えており、 本発明に係る暗証コード識別装置を構成する。

通信部 5 1は、 図 1に示した無線インターフェース 1 4又は有線インターフエ —ス 1 5のうち少なくとも一方を構成する。 例えば、 電気的なシリアル通信手段 によって通信が行なわれる場合、 シリアル通信デ一夕列に特定の意味付けを持た せ、 さまざまな処理が可能となる。 シリアル通信方式でのデータ伝送方式にもさ まざまな手法が想定されるが、 ここでは、 図 5に示すように、 1バイ ト単位にデ 一夕が送受信されるものとする。 図 5において、 1バイ ト 'デ一夕の開始は、 必ずスタート ·ビッ卜で開始する ものとする。 その後、 8ビット分のデータが続き、 最後にストップ' ビットが来 る。 各ビット長は、 固定で、 送受信者間で事前に取り決めておくものとする。 また、 図 6には、 1バイ ト 'データが集まって構成されるバケツトの構成を模 式的に示している。同図に示すように、 バケツ卜の前半はコード部であり、 また、 パケットの後半はデ一夕部 （ペイロード） となっている。 コード部には、 そのパ ケットの意味付けを示すデータが記述されている。 また、 データ部は、 コードに 付随する何らかのデータ （デ一夕本体） が必要な場合に添付されている。

また、 図 7には、 送受信者間におけるパケット交換の基本シーケンスを示して いる。 本実施形態においては、 送信者を外部装置 1 0 0とし、 受信者を暗証コー ド識別装置としての I Cカード 5 0とする。

バケツトは、 送信者から受信者へ何らかのアクションを要求するコマンドと、 そのコマンドのアクションの結果として、 受信者から送信者へ返送されるレスポ ンスに分けることができる。 本実施形態で使用するコマンドとレスポンスを、 以 下の表 1に示しておく。

表 1

コマンドのコ一ド部 1 0 hは、 デ一夕部に設定した喑証コ一ドを暗証コード識 別装置としての I Cカード 5 0へ入力することを示す。 通信部 5 1によってコ一 ド部が解釈されると、 引き続くデータ部が、 暗証コード比較部 5 4へ伝達される ことになる。

暗証コード比較部 5 4は、 伝達されたデータ部と暗証コード保持部 5 3内に保 持されている暗証コードとを比較し、一致している場合は、一致出力を出力する。 そして、 フロー制御部 5 5は、 データ保持部 5 2と通信部 5 1間でのデータ伝送 を制限する機能を有する。

図 8には、 フロー制御部 5 5の構成を示している。

有効/無効フラグ 5 5 Aは、 デ一夕保持部 5 2と通信部 5 1間の伝送路を接続 状態とするか非接続状態とするかを、 暗証コード比較部 5 4の比較出力に応じて 決定するかどうかを示すフラグである。 有効/無効フラグ 5 5 Aが" 1 "で有効側のときには、 スィッチ 2は比較出力 側となる。そして、暗証コード比較部 5 4の出力が一致を出力している場合には、 それがスィツチ 1へ伝わってスィツチ 1をオン状態とし、 データ保持部 5 2と通 信部 5 1の伝送路を接続状態とすることで、 外部装置 1 0 0が通信部 5 1を介し てデータ保持部 5 2へのアクセスが可能となる。 また、 暗証コード比較部 5 4の 出力が不一致の場合には、 それがスィツチ 1へ伝わってスィツチ 1をオフ状態と し、 データ保持部 5 2と通信部 5 1の伝送路を非接続とすることで、 外部装置 1 0 0は通信部 5 1を介してデータ保持部 5 2にアクセスすることができない。 他方、 有効/無効フラグ 5 5 Aが" 0 " で無効側のときには、 スイッチ 2は常 時オン側となる。 したがって、 暗証コード比較部 5 4の比較出力によらず、 スィ ツチ 1を常時オン状態とし、 デ一夕保持部 5 2と通信部 5 1の伝送路の接続状態 を維持する。

この有効/無効フラグ 5 5 Aによって、 暗証コード比較が不必要な場合には、 その機能を抑制することが可能となるという点を充分理解されたい。

無効 有効フラグ 5 5 Bは、 コマンド ·コード 5 0 hによって変更することが できるフラ夕である。 無効 有効フラグ 5 5 Bは、 後述するコマンド 'コード 4 O hによって有効/無効フラグを、" 0 "の無効の状態から" 1 "の有効の状態へ 書き換えを行う際に暗証コードの一致が必要かどうかを選択するためのフラグで ある。 すなわち、 無効 有効フラグが" 1 " のときには本動作が成され、 有効/ 無効フラグ 5 5 Aが" 0 " で暗証コ一ド比較が無効であつて且つ比較出力が一致 している場合には、 スィッチ 3をオンの状態にして、 通信部 5 1からの有効/無 効フラグ 5 5 Aの書き換えを許可する。 一方、 無効 有効フラグが" 0 "のとき には、フラグ判別部 5 5 Dの出力部の出力は常にスィツチ 3をオンの状態にして、 通信部 5 1からの有効/無効フラグ 5 5 Aの書き換えを常に許可する。

無効 有効フラグ 5 5 Bが" 1 "の場合には、 有効/無効フラグ 5 5 Aを無効 から有効に変更する際に暗証コードの一致が必要であることを示す。 また、 無効 →有効フラグ 5 5 Bが" 0 " の場合には、 有効/無効フラグ 5 5 Aを無効から有 効に変更する際に暗証コードの一致が不必要であることを示す。

一方、 有効→無効フラグ 5 5。は、 コマンド 'コード 6 O hによって変更する ことができるフラグである。 有効 無効フラグ 5 5 Cは、 後述するコマンドコー ド 4 O hによって有効/無効フラグ 5 5 Aを、" 1 "の有効の状態から" 0 "の無 効の状態へ書き換えを行う際に、 暗証コードの一致が必要かどうかを選択するた めのフラグである。 すなわち、 有効→無効フラグ 5 5 Cが" 1 "のときに本動作 が成され、 有効/無効フラグ 5 5 Aが" 1 " で暗証コード比較が有効であって且 つ比較出力が一致している場合には、 スィッチ 3をオンの状態にして、 通信部 5 1からの有効/無効フラグ 5 5 Aの書き換えを許可する。 一方、 有効→無効フラ グが" 0 "のときには、 フラグ判別部 5 5 Dの出力部の出力は常にスィッチ 3を O Nの状態にして、 通信部 5 1からの有効/無効フラグ 5 5 Aの書き換えを常に 許可する。

有効→無効フラグ 5 5 Cが" 1 " の場合には、 有効/無効フラグ 5 5 Aを有効 から無効に変更する際に暗証コードの一致が必要であることを示す。 また、 有効 →無効フラグ 5 5 Cが" 0 " の場合には、 有効/無効フラグ 5 5 Aを有効から無 効に変更する際に暗証コードの一致は不必要である。

上述したような有効/無効フラグの変更制御オペレーシヨンは、 フラグ判別部 5 5 Dによって行われる。 このオペレーションを論理的に整理すると、 フラグ判 別部 5 5 Dの出力は、 以下の表 2に示す通りとなる。 表 2

コマンド 'コード 4 O hは、 有効/無効フラグ 5 5 Aを変更するためのコマン ドであり、 上述した動作により、 スィッチ 3がオンの状態のときにのみ通信部 5 1からの変更が可能である。 このような仕組みにより、 暗証コードを変更する際に、 暗証コードを無効な状 態から有効な状態にするには暗証コードを入力する必要はないが、 逆に、 喑証コ ―ドを有効な状態から無効な状態にするには暗証コードを入力する必要があると いったように、 暗証コ一ドの入力条件をさまざまに組み合わせて設定することが 可能となる。

以上説明したような処理オペレ一シヨンを経て、 スィッチ 1がオン状態になる とデ一夕保持部 5 2と通信部 5 1が接続状態となるため、 それ以降は、 外部機器 1 0 0は、 コマンド 'コード 2 0 hによってデ一夕保持部 5 2内の所定位置から デ一夕の読み出しを行なったり、 コマンド 'コード 3 O hによって所定データを データ保持部 5 2に書き込んだりすることが可能になる。

暗証コード保持部 5 3に既に書き込まれている暗証コードを書き換える際には、 コマンド ·コード 1 8 hを使用する。 書き換えが可能かどうかは、 スィッチ 4に よって制御することが可能である。

本実施形態では、 前述の無効 有効フラグ 5 5 B、 有効 無効フラグ 5 5 Cの それそれの状態、 有効/無効フラグ 5 5 Aの状態、 並びに、 暗証コード比較部 5 4の状態に応じて、 フラグ判別部 5 5 Dによって J御するようになっている。 す なわち、 それそれのフラグの状態に応じてスィツチ 4の制御条件を変更すること ができ、 例えば、 無効→有効フラグ 5 5 Bが" 0 " から" 1 " にセッ卜される際 に喑証コ一ド保持部 5 3の暗証コ一ドを変更するようにすることも可能である。 これによつて、 暗証コードの判別を有効にするときには、 それ以前に設定されて いた暗証コードに関係なく、 新たな暗証コードを設定することが可能である。 上述した本実施形態では、 簡単なコマンド操作によって設定の書き換えを行な うことができるが、 通信部 5 1と外部機器 1 0 0との間に相互認証手段を挿入す ることで、 セキュリティ *レベルを高めることも可能である。

I Cカード 5 0内のメモリ領域が拡張されて、 複数のアプリケーションが割り 当てられている場合など、 複数の暗号コードを用いてアクセス権を制御する場合 においても、 本発明を適用することができる。 図 9には、 暗証コード保持部及び 暗証コード比較部を複数個装備した暗証コード識別装置 （I Cカード 5 0 ) の構 成例を示している。 図 9に示す例では、 複数の暗証コード比較部 5 4においてすべてが一致出力を 出力したときにのみ、 デ一夕保持部 5 2と通信部 5 1が接続状態になるように構 成する。 これによつて、 暗証コードを入力する一部の外部機器を本システムを利 用する個人ユーザとするとともに、 暗証コードを入力する他の一部の外部機器を 運用する運用者（例えば、 当該カード'サービスの管理者など）に割り当てること により、運用者側の判断によって、暗証コード機能を制御することが可能となる。 例えば、 利用者の意思に拘わらず、 強制的に暗証コードの入力が必要なように設 定することが可能となる。

また、 図 1 0には、 デ一夕保持部 5 2の個々のメモリ領域に対して暗証コード をそれそれ設定できるようにした暗証コード識別装置 （I Cカード 5 0 ) の構成 例を示している。

暗証コード比較部 5 4は、 データ保持部 5 2に割り当てられた各メモリ領域と 暗証コードとの関係を示したルックアップ 'テーブルを持っており、そのルックァ ップ ·テ一ブルに従って、通信部 5 1から入力された暗証コードが該当するメモリ 領域の暗証コードと一致しているか否かを判別することができる。 そして、 互い の暗証コードが一致する場合には、該当するメモリ領域のアクセスを可能にする。 以下の表 3には、暗証コード比較部 5 4において管理されるルックアップ 'テープ ルの構成例を示している。 表 3

このような構成によれば、 通信部 5 1を介して入力された暗証コードは、 各喑 証コード比較部 5 4において、ルックアップ'テ一ブリレ中に保持されているそれそ れの喑証コードと比較が行なわれる。 そして、 データ保持部 5 2が持つメモリ空 間のうち一致出力が得られた暗証コードに該当するメモリ領域に対するアクセス を許可するようにすることができる。 追補

以上、 特定の実施例を参照しながら、 本発明について詳解してきた。 しかしな がら、 本発明の要旨を逸脱しない範囲で当業者が該実施例の修正や代用を成し得 ることは自明である。

本明細書中では、 本発明に係る I C力一ドが携帯電話機や P D Aなどの携帯端 末に内蔵して使用される場合を例にとって説明してきたが、 本発明の要旨はこれ に限定されない。 例えば、 I Cカードをスタンドアロンで使用する場合や他の夕 イブの機器に内蔵して I cカードを使用する場合においても、 同様に本発明の効 果を奏することができる。

要するに、 例示という形態で本発明を開示してきたのであり、 本明細書の記載 内容を限定的に解釈するべきではない。 本発明の要旨を判断するためには、 冒頭 に記載した特許請求の範囲の欄を参酌すべきである。

[産業上の利用可能性] 本発明によれば、 喑証コ一ドの照合により外部装置からのアクセスを好適に制 御することができる、 優れた暗証コード識別装置及び暗証コード識別方法を提供 することができる。

また、 本発明によれば、 暗証コードの照合により I Cカードのような装置内の メモリに対するリーダ/ライ夕のような外部装置からのアクセスを好適に制御す ることができる、 優れた暗証コード識別装置及び暗証コード識別方法を提供する ことができる。

また、 本発明によれば、 暗証コードによるアクセス権制御が必要か否かを好適 に設定することができる、 優れた暗証コ一ド識別装置及び暗証コ一ド識別方法を 提供することができる。

Claims

請求の範囲

1 . 暗証コードの照合により外部機器からのアクセスを制御するための暗証コ一 ド識別装置であって、

外部機器と通信するための通信部と、

データを保持するデータ保持部と、

暗証コードを保持する喑証コ一ド保持部と、

前記通信部を介して外部機器から入力される暗証コードと前記暗証コード保持 部に保持された暗証コードとが一致しているか否かを判別する暗証コード判別部 と、

暗証コード判別を行なう条件を設定する条件設定部と、

前記条件設定部により設定された暗証コ一ド判別条件に従って、 前記通信部を 介した外部機器から前記デ一夕保持部へのアクセスを制御するフロ一制御部と、 を具備することを特徴とする暗証コード識別装置。

2 . 前記条件設定部は、 前記暗証コード判別部による暗証コードの判別が必要か 否かを設定し、

前記フロー制御部は、前記条件設定部が暗証コード判別不必要と設定した場合、 又は、 前記暗証コード判別部からの暗証コードの一致出力に応答して、 前記通信 部を介した外部機器から前記データ保持部へのアクセスを許可する、

ことを特徴とする請求項 1に記載の暗証コ一ド識別装置。

3 . 前記条件設定部により暗証コ一ド判別が不必要と設定されている場合には、 前記フ口一制御部によって前記データ保持部と前記通信部が接続状態にされるこ とで、 外部機器による前記データ保持部に保持されたデ一夕へのアクセスが可能 になり、

前記条件設定部により暗証コード判別が必要と設定されている場合には、 前記 暗証コード判別部からの暗証コードの一致出力に応答して前記フロー制御部によ り前記データ保持部と前記通信部が接続状態にされることで、 外部機器による前 記データ保持部に保持されたデータのアクセスが可能になる、

ことを特徴とする請求項 1に記載の暗証コード識別装置。

4 . 前記条件設定部は、

前記暗証コード判別部による暗証コードの判別が必要か不必要かの状態を保持 する第 1の判別要否保持手段と、

前記暗証コード判別部による暗証コードの判別が必要な状態から不必要な状態 に変化するために暗証コードの入力が必要か不必要かの状態を保持する第 2の判 別要否保持手段と、

前記暗証コード判別部による暗証コードの判別が不必要な状態から必要な状態 に変化するために暗証コードの入力が必要か不必要かの状態を保持する第 3の判 別要否保持手段とを備え、

前記第 1乃至第 3の判別要否保持手段の保持内容に応じて暗証コード判別を行 なう条件を設定する、

ことを特徴とする請求項 1に記載の暗証コード識別装置。

5 . 前記暗証コード保持部は、 複数の暗証コードを保持し、

前記暗証コード判別部は、 前記通信部を介して外部機器から入力される暗証コ ―ドが前記喑証コ一ド保持部に保持された各暗証コードと一致しているか否かを 判別し、

前記フロー制御部は、 前記条件設定部が暗証コード判別を必要と設定した場合 であって、 前記暗証コード判別部からすべての暗証コードについての一致出力が 得られた場合にのみ前記通信部を介した外部機器から前記データ保持部へのァク セスを許可する、

ことを特徴とする請求項 1に記載の暗証コード識別装置。

6 . 前記暗証コード保持部は、 前記データ保持部の各メモリ領域毎の暗証コード を保持し、

前記暗証コード判別部は、 前記通信部を介して外部機器から入力される暗証コ ―ドが前記暗証コ一ド保持部に保持された各暗証コードと一致しているか否かを 判別し、

前記フロー制御部は、 前記条件設定部が暗証コード判別を必要と設定した場合 であって、 前記暗証コード判別部から暗証コードの一致出力が得られたメモリ領 域に対する前記通信部を介した外部機器からのアクセスを許可する、

ことを特徴とする請求項 1に記載の暗証コード識別装置。

7 . 暗証コ一ドの照合により外部機器からの所定のデータへのアクセスを制御す るための暗証コード識別方法であって、

外部機器から入力される暗証コードと前記所定のデータに対して設定された暗 証コードが一致しているか否かを判別する暗証コード判別ステップと、

暗証コード判別を行なう条件を設定する条件設定ステップと、

前記条件設定ステップにより設定された暗証コード判別条件に従って、 外部機 器からの前記所定のデ一夕へのアクセスを制御するフ口一制御ステツプと、 を具備することを特徴とする暗証コード識別方法。

8 . 前記条件設定ステップでは、 前記暗証コード判別ステップによる暗証コード の判別が必要か否かを設定し、

前記フロー制御ステップでは、 前記条件設定ステップにより暗証コ一ド判別不 必要と設定した場合、 又は、 前記暗証コード判別ステップによる暗証コードの一 致出力に応答して、 外部機器から前記所定のデータへのアクセスを許可する、 ことを特徴とする請求項 7に記載の暗証コード識別方法。

9 . 前記条件設定ステップは、

前記暗証コ一ド判別ステップによる暗証コードの判別が必要か不必要かの状態 を管理する第 1の判別要否保持ステツプと、

前記暗証コード判別ステップによる暗証コードの判別が必要な状態から不必要 な状態に変化するために暗証コードの入力が必要か不必要かの状態を保持する第 2の判別要否保持ステツプと、 前記喑証コ一ド判別ステップによる暗証コードの判別が不必要な状態から必要 な状態に変化するために暗証コードの入力が必要か不必要かの状態を管理する第 3の判別要否保持ステツプとを備え、

前記第 1乃至第 3の判別要否保持ステツプにより管理される各状態に応じて暗 証コード判別を行なう条件を設定する、

ことを特徴とする請求項 7に記載の暗証コード識別方法。

1 0 . アクセス対象となる所定のデータに対して複数の暗証コードが設定されて おり、

前記暗証コード判別ステップでは、 該設定された複数の暗証コ一ドの各々と外 部機器から入力される各暗証コードとがー致しているか否かを判別し、

前記フロー制御ステツプでは、 前記条件設定ステツプにおいて暗証コード判別 を必要と設定した場合であって、 前記暗証コード判別ステップからすべての暗証 コードについての一致出力が得られた場合にのみ外部機器から前記所定のデータ へのアクセスを許可する、

ことを特徴とする請求項 7に記載の暗証コード識別方法。

1 1 . 各メモリ領域毎に暗証コードが設定されており、

前記暗証コ一ド判別ステップでは、 外部機器から入力される暗証コードが各メ モリ領域に対して設定されたそれそれの暗証コードと一致しているか否かを判別 し、

前記フロー制御ステップでは、 前記条件設定ステップにより暗証コ一ド判別を 必要と設定した場合であって、 前記暗証コード判別ステップにより喑証コ一ドの 一致出力が得られたメモリ領域に対する外部機器からのアクセスを許可する、 ことを特徴とする請求項 7に記載の暗証コード識別方法。