特開2023-176240電子情報記憶媒体、プロファイル変更方法、及びプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023176240
(43)【公開日】2023-12-13
(54)【発明の名称】電子情報記憶媒体、プロファイル変更方法、及びプログラム
(51)【国際特許分類】
G06F 21/33 20130101AFI20231206BHJP
G06K 19/073 20060101ALI20231206BHJP
H04L 9/32 20060101ALI20231206BHJP
G06Q 20/38 20120101ALI20231206BHJP
【FI】
G06F21/33
G06K19/073
H04L9/32 100E
G06Q20/38 312
【審査請求】有
【請求項の数】4
【出願形態】OL
(21)【出願番号】P 2022088413
(22)【出願日】2022-05-31
(71)【出願人】
【識別番号】000002897
【氏名又は名称】大日本印刷株式会社
(74)【代理人】
【識別番号】110000958
【氏名又は名称】弁理士法人インテクト国際特許事務所
(74)【代理人】
【識別番号】100120189
【弁理士】
【氏名又は名称】奥 和幸
(72)【発明者】
【氏名】梶原 直也
【テーマコード(参考)】
5L055
【Fターム(参考)】
5L055AA66
(57)【要約】
【課題】オフラインデータ認証に用いられる公開鍵証明書の有効期限が切れた場合に端末側で取引不可と判定されるように設定されている場合であっても、オンライン取引を利用することが可能な電子情報記憶媒体、プロファイル変更方法、及びプログラムを提供する。
【解決手段】ICチップ1は、端末2からGPOコマンドを受信すると、当該GPOコマンドに含まれる日付と、イシュア公開鍵証明書の有効期限とに基づいて、イシュア公開鍵証明書が有効期限切れであるか否かを判定し、イシュア公開鍵証明書が有効期限切れであると判定された場合、AIPにおいてオフラインデータ認証をサポートすることを示す第1の値を、オフラインデータ認証をサポートしないことを示す第2の値に変更し、当該第1の値が第2の値に変更されたAIPを含むレスポンスを端末2へ送信する。
【選択図】図4
【解決手段】ICチップ1は、端末2からGPOコマンドを受信すると、当該GPOコマンドに含まれる日付と、イシュア公開鍵証明書の有効期限とに基づいて、イシュア公開鍵証明書が有効期限切れであるか否かを判定し、イシュア公開鍵証明書が有効期限切れであると判定された場合、AIPにおいてオフラインデータ認証をサポートすることを示す第1の値を、オフラインデータ認証をサポートしないことを示す第2の値に変更し、当該第1の値が第2の値に変更されたAIPを含むレスポンスを端末2へ送信する。
【選択図】図4
【特許請求の範囲】
【請求項1】
端末との間で通信可能な電子情報記憶媒体であって、前記電子情報記憶媒体が所定のオフラインデータ認証をサポートすることを示す第1の値を含むプロファイル、及び前記オフラインデータ認証に用いられる公開鍵証明書を含むアプリケーションデータを記憶する電子情報記憶媒体において、
前記端末から前記プロファイル及び前記アプリケーションデータの格納場所を示す情報を要求するためのコマンドを受信する受信手段と、
前記コマンドに含まれる日付と、前記公開鍵証明書の有効期限とに基づいて、前記公開鍵証明書が有効期限切れであるか否かを判定する判定手段と、
前記判定手段により前記公開鍵証明書が有効期限切れであると判定された場合、前記プロファイルにおいて前記第1の値を、前記オフラインデータ認証をサポートしないことを示す第2の値に変更する変更手段と、
前記第1の値が前記第2の値に変更された前記プロファイルを含むレスポンスを前記端末へ送信する送信手段と、
を備えることを特徴とする電子情報記憶媒体。
前記端末から前記プロファイル及び前記アプリケーションデータの格納場所を示す情報を要求するためのコマンドを受信する受信手段と、
前記コマンドに含まれる日付と、前記公開鍵証明書の有効期限とに基づいて、前記公開鍵証明書が有効期限切れであるか否かを判定する判定手段と、
前記判定手段により前記公開鍵証明書が有効期限切れであると判定された場合、前記プロファイルにおいて前記第1の値を、前記オフラインデータ認証をサポートしないことを示す第2の値に変更する変更手段と、
前記第1の値が前記第2の値に変更された前記プロファイルを含むレスポンスを前記端末へ送信する送信手段と、
を備えることを特徴とする電子情報記憶媒体。
【請求項2】
前記レスポンスには、前記第1の値が前記第2の値に変更された前記プロファイルとともに、前記アプリケーションデータのうち前記公開鍵証明書の格納場所を除外した格納場所を示す情報が含まれることを特徴とする請求項1に記載の電子情報記憶媒体。
【請求項3】
端末との間で通信可能な電子情報記憶媒体であって、前記電子情報記憶媒体が所定のオフラインデータ認証をサポートすることを示す第1の値を含むプロファイル、及び前記オフラインデータ認証に用いられる公開鍵証明書を含むアプリケーションデータを記憶する電子情報記憶媒体により実行されるプロファイル変更方法において、
前記端末から前記プロファイル及び前記アプリケーションデータの格納場所を示す情報を要求するためのコマンドを受信するステップと、
前記コマンドに含まれる日付と、前記公開鍵証明書の有効期限とに基づいて、前記公開鍵証明書が有効期限切れであるか否かを判定するステップと、
前記判定手段により前記公開鍵証明書が有効期限切れであると判定された場合、前記プロファイルに含まれる前記第1の値を、前記オフラインデータ認証をサポートしないことを示す第2の値に変更するステップと、
前記第1の値が前記第2の値に変更された前記プロファイルを含むレスポンス を前記端末へ送信するステップと、
を含むことを特徴とするプロファイル変更方法。
前記端末から前記プロファイル及び前記アプリケーションデータの格納場所を示す情報を要求するためのコマンドを受信するステップと、
前記コマンドに含まれる日付と、前記公開鍵証明書の有効期限とに基づいて、前記公開鍵証明書が有効期限切れであるか否かを判定するステップと、
前記判定手段により前記公開鍵証明書が有効期限切れであると判定された場合、前記プロファイルに含まれる前記第1の値を、前記オフラインデータ認証をサポートしないことを示す第2の値に変更するステップと、
前記第1の値が前記第2の値に変更された前記プロファイルを含むレスポンス を前記端末へ送信するステップと、
を含むことを特徴とするプロファイル変更方法。
【請求項4】
端末との間で通信可能な電子情報記憶媒体であって、前記電子情報記憶媒体が所定のオフラインデータ認証をサポートすることを示す第1の値を含むプロファイル、及び前記オフラインデータ認証に用いられる公開鍵証明書を含むアプリケーションデータを記憶する電子情報記憶媒体に含まれるコンピュータを、
前記端末から前記プロファイル及び前記アプリケーションデータの格納場所を示す情報を要求するためのコマンドを受信する受信手段と、
前記コマンドに含まれる日付と、前記公開鍵証明書の有効期限とに基づいて、前記公開鍵証明書が有効期限切れであるか否かを判定する判定手段と、
前記判定手段により前記公開鍵証明書が有効期限切れであると判定された場合、前記プロファイルに含まれる前記第1の値を、前記オフラインデータ認証をサポートしないことを示す第2の値に変更する変更手段と、
前記第1の値が前記第2の値に変更された前記プロファイルを含むレスポンスを前記端末へ送信する送信手段として機能させることを特徴とするプログラム。
前記端末から前記プロファイル及び前記アプリケーションデータの格納場所を示す情報を要求するためのコマンドを受信する受信手段と、
前記コマンドに含まれる日付と、前記公開鍵証明書の有効期限とに基づいて、前記公開鍵証明書が有効期限切れであるか否かを判定する判定手段と、
前記判定手段により前記公開鍵証明書が有効期限切れであると判定された場合、前記プロファイルに含まれる前記第1の値を、前記オフラインデータ認証をサポートしないことを示す第2の値に変更する変更手段と、
前記第1の値が前記第2の値に変更された前記プロファイルを含むレスポンスを前記端末へ送信する送信手段として機能させることを特徴とするプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、オフラインデータ認証をサポートするIC(Integrated Circuit)チップ等の技術分野に関する。
【背景技術】
【0002】
従来から、カードシステムのデファクトスタンダード仕様として、例えば特許文献1に開示されているように、EMV(登録商標)仕様が知られている。かかる仕様に準拠する処理において、端末(Terminal)は、GPO(Get Processing Options)コマンドをICカードに送信することでICカードからAIP(Application Interchange Profile)及びAFL(Application File Locator)を取得する。そして、端末は、Read RecordコマンドをICカードに送信することでICカードからオフラインデータ認証に用いられる情報を取得(つまり、AFLが示す格納場所から取得)する。オフラインデータ認証に用いられる情報には、イシュア公開鍵証明書等の公開鍵証明書が含まれる。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2007-328481号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、端末は、ICカードからオフラインデータ認証に用いられる情報を取得すると、当該情報を用いてICカードの正当性の検証を実行するとともに、イシュア公開鍵証明書の有効期限のチェックを行う。しかし、有効期限のチェックにおいて有効期限が切れていると判定された場合、一般的には端末側で取引不可と判定される。つまり、イシュア公開鍵証明書の有効期限が切れたICカードではオフライン取引不可となるばかりでなく、オンライン取引もできない状態となってしまうという問題がある。
【0005】
そこで、本発明は、このような問題等に鑑みてなされたものであり、オフラインデータ認証に用いられる公開鍵証明書の有効期限が切れた場合に端末側で取引不可と判定されるように設定されている場合であっても、オンライン取引を利用することが可能な電子情報記憶媒体、プロファイル変更方法、及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0006】
上記課題を解決するために、請求項1に記載の発明は、端末との間で通信可能な電子情報記憶媒体であって、前記電子情報記憶媒体が所定のオフラインデータ認証をサポートすることを示す第1の値を含むプロファイル、及び前記オフラインデータ認証に用いられる公開鍵証明書を含むアプリケーションデータを記憶する電子情報記憶媒体において、前記端末から前記プロファイル及び前記アプリケーションデータの格納場所を示す情報を要求するためのコマンドを受信する受信手段と、前記コマンドに含まれる日付と、前記公開鍵証明書の有効期限とに基づいて、前記公開鍵証明書が有効期限切れであるか否かを判定する判定手段と、前記判定手段により前記公開鍵証明書が有効期限切れであると判定された場合、前記プロファイルにおいて前記第1の値を、前記オフラインデータ認証をサポートしないことを示す第2の値に変更する変更手段と、前記第1の値が前記第2の値に変更された前記プロファイルを含むレスポンスを前記端末へ送信する送信手段と、を備えることを特徴とする。
【0007】
請求項2に記載の発明は、請求項1に記載の電子情報記憶媒体において、前記レスポンスには、前記第1の値が前記第2の値に変更された前記プロファイルとともに、前記アプリケーションデータのうち前記公開鍵証明書の格納場所を除外した格納場所を示す情報が含まれることを特徴とする。
【0008】
請求項3に記載の発明は、端末との間で通信可能な電子情報記憶媒体であって、前記電子情報記憶媒体が所定のオフラインデータ認証をサポートすることを示す第1の値を含むプロファイル、及び前記オフラインデータ認証に用いられる公開鍵証明書を含むアプリケーションデータを記憶する電子情報記憶媒体により実行されるプロファイル変更方法において、前記端末から前記プロファイル及び前記アプリケーションデータの格納場所を示す情報を要求するためのコマンドを受信するステップと、前記コマンドに含まれる日付と、前記公開鍵証明書の有効期限とに基づいて、前記公開鍵証明書が有効期限切れであるか否かを判定するステップと、前記判定手段により前記公開鍵証明書が有効期限切れであると判定された場合、前記プロファイルに含まれる前記第1の値を、前記オフラインデータ認証をサポートしないことを示す第2の値に変更するステップと、前記第1の値が前記第2の値に変更された前記プロファイルを含むレスポンス を前記端末へ送信するステップと、 を含むことを特徴とする。
【0009】
請求項4に記載の発明は、端末との間で通信可能な電子情報記憶媒体であって、前記電子情報記憶媒体が所定のオフラインデータ認証をサポートすることを示す第1の値を含むプロファイル、及び前記オフラインデータ認証に用いられる公開鍵証明書を含むアプリケーションデータを記憶する電子情報記憶媒体に含まれるコンピュータを、前記端末から前記プロファイル及び前記アプリケーションデータの格納場所を示す情報を要求するためのコマンドを受信する受信手段と、前記コマンドに含まれる日付と、前記公開鍵証明書の有効期限とに基づいて、前記公開鍵証明書が有効期限切れであるか否かを判定する判定手段と、前記判定手段により前記公開鍵証明書が有効期限切れであると判定された場合、前記プロファイルに含まれる前記第1の値を、前記オフラインデータ認証をサポートしないことを示す第2の値に変更する変更手段と、前記第1の値が前記第2の値に変更された前記プロファイルを含むレスポンスを前記端末へ送信する送信手段として機能させることを特徴とする。
【発明の効果】
【0010】
本発明によれば、オフラインデータ認証に用いられる公開鍵証明書の有効期限が切れた場合に端末側で取引不可と判定されるように設定されている場合であっても、オンライン取引を利用することがきる。
【図面の簡単な説明】
【0011】
【図1】取引システムSの概要構成の一例を示す図である。
【図2】ICチップ1の概要構成例を示す図である。
【図3】AIPのデータ構造例を示す図である。
【図4】取引システムSにおいて実施される取引処理の一例を示すシーケンス図である。
【図5】取引システムSにおいて実施される取引処理の一例を示すシーケンス図である。
【発明を実施するための形態】
【0012】
以下、図面を参照して本発明の実施形態について詳細に説明する。以下に説明する実施形態は、取引システムで用いられるICチップに対して本発明を適用した場合の実施の形態である。
【0013】
[1.取引システムSの構成及び機能]
先ず、図1を参照して、本実施形態に係る取引システムSの構成及び機能について説明する。図1は、取引システムSの概要構成の一例を示す図である。図1に示すように、取引システムSは、ICチップ1、端末2、及びイシュアホスト3を備えて構成される。ICチップ1は、本発明の電子情報記憶媒体の一例である。ICチップ1は、例えば、クレジットカードやキャッシュカードなどのICカード、または、スマートフォンなどのモバイルデバイスに搭載される。ICカードもまた、電子情報記憶媒体の一例である。スマートフォンなどのモバイルデバイスの場合、ICチップ1は、モバイルデバイスに着脱可能な小型ICカードに搭載されてもよいし、eUICC(Embedded Universal Integrated Circuit Card)としてモバイルデバイスから容易に取り外しや取り換えができないように組み込み基板上に搭載されてもよい。
先ず、図1を参照して、本実施形態に係る取引システムSの構成及び機能について説明する。図1は、取引システムSの概要構成の一例を示す図である。図1に示すように、取引システムSは、ICチップ1、端末2、及びイシュアホスト3を備えて構成される。ICチップ1は、本発明の電子情報記憶媒体の一例である。ICチップ1は、例えば、クレジットカードやキャッシュカードなどのICカード、または、スマートフォンなどのモバイルデバイスに搭載される。ICカードもまた、電子情報記憶媒体の一例である。スマートフォンなどのモバイルデバイスの場合、ICチップ1は、モバイルデバイスに着脱可能な小型ICカードに搭載されてもよいし、eUICC(Embedded Universal Integrated Circuit Card)としてモバイルデバイスから容易に取り外しや取り換えができないように組み込み基板上に搭載されてもよい。
【0014】
端末2は、例えば、リーダライタを備える決済端末であり、ICチップ1との間で通信を行いつつ、EMV仕様に準じた取引(オフライン取引、またはオンライン取引)に係る処理を実行することが可能になっている。端末2は、当該取引に係る処理においてRSA(Rivest-Shamir-Adleman)暗号演算方式または楕円曲線暗号(ECC(Elliptic Curve Cryptography))演算方式の暗号演算を実行することが可能になっている。また、端末2には、CA(Certificate Authority)公開鍵が記憶されている。
【0015】
なお、端末2に記憶されている“Terminal Action - Denial”(つまり、取引不可と判定する条件)にオフラインデータ認証(Offline Data Authentication)の失敗が設定(つまり、SDA failed, CDA failed, DDA failedがセットされた状態である)されてもよいし、端末2に記憶されている“Terminal Action Code-Online”(つまり、オンライン取引を実行するための条件)にオフラインデータ認証の失敗が設定されてもよい。また、端末2に記憶されている“Terminal Action Code-Online”に“Offline data authentication was not performed”が設定されている(つまり、“Offline data authentication was not performed”=1bに設定されている)とよい。ただし、“Issuer Action Code-Online”(つまり、オンライン取引を実行するための条件)に“Offline data authentication was not performed”が設定されていれば、“Terminal Action Code-Online”に“Offline data authentication was not performed”が設定されていなくても、オンライン取引を実行するために条件に該当することになる。
【0016】
さらに、端末2は、ネットワークWを介してイシュアホスト3との間で通信可能になっている。イシュアホスト3は、イシュア(発行者)のホストコンピュータである。イシュアホスト3は、ICチップ1が搭載されたICカードまたはモバイルデバイスのホルダ(所有者)の個人情報を管理しており、オンライン取引に係る処理を実行することが可能になっている。
【0017】
図2は、ICチップ1の概要構成例を示す図である。図2に示すように、ICチップ1は、I/O回路11、RAM(Random Access Memory)12、NVM(Nonvolatile Memory)13、ROM(Read Only Memory)14、及びCPU(Central Processing Unit)15(コンピュータの一例)等を備える。I/O回路11は、端末2との間のインターフェースを担う。ICチップ1と端末2との間の通信は、非接触通信であってもよいし、接触通信であってもよい。非接触通信の場合、例えばICカードに搭載されたアンテナ(図示せず)を介してICチップ1と端末2との通信が行われる。
【0018】
NVM13は、フラッシュメモリ、または、Electrically Erasable Programmable Read-Only Memoryなどの不揮発性メモリである。NVM13またはROM14には、オペレーティングシステム(以下、「OS」という)、及び取引用アプリケーション等のプログラム(本発明のプログラムを含む)が記憶される。ここで、取引用アプリケーションは、上記仕様に準じた取引に係る処理を実行するためのアプリケーションである。なお、NVM13には、複数のブランドそれぞれに対応する取引用アプリケーションが記憶されてもよい。また、NVM13には、上記仕様に準じた取引に係る処理に用いられる各種データが記憶される。各種データには、AIP(Application Interchange Profile)、AFL(Application File Locator)、イシュア公開鍵証明書、ICC公開鍵証明書、及び“Issuer Action Code-Online”等が含まれる。“Issuer Action Code-Online”(つまり、オンライン取引を実行するための条件)には“Offline data authentication was not performed”が設定されている(つまり、“Offline data authentication was not performed”=1bに設定されている)。
【0019】
AIPは、ICチップ1がサポートするオフラインデータ認証などの機能を示す。オフライン取引を行うために必要なオフラインデータ認証のタイプには、SDA(Static Data Authentication)、DDA(Dynamic Data Authentication)、及びCDA(Combined Dynamic Data Authentication)がある。図3は、AIPのデータ構造例を示す図である。図3に示すAIPは、2バイトからなり、そのうち、第1バイトのビット7(b7)にSDAが割り当てられ、第1バイトのビット6(b6)にDDAが割り当てられ、第1バイトのビット1(b1)にCDAが割り当てられている。そして、ビット7が“1”(第1の値の一例)である場合、ICチップ1がSDAをサポートすることを示し、ビット7が“0”(第2の値の一例)である場合、ICチップ1がSDAをサポートしないことを示す。また、ビット6が“1”である場合、ICチップ1がDDAをサポートすることを示し、ビット6が“0”である場合、ICチップ1がDDAをサポートしないことを示す。また、ビット1が“1”である場合、ICチップ1がCDAをサポートすることを示し、ビット1が“0”である場合、ICチップ1がCDAをサポートしないことを示す。なお、SDA、DDA、及びCDA用として割り当てられたビットは、オフラインデータ認証サポートビット(SDA/DDA/CDA supported bit)という。ICチップ1がSDA、DDA、及びCDAのいずれもサポートしない場合、端末2によるオフラインデータ認証は実行されない。
【0020】
AFLは、オフラインデータ認証などで用いられるアプリケーションデータの格納場所(例えば、レコード番号)を示す。AFLで格納場所が示されるアプリケーションデータには、ホルダの氏名、ホルダの会員番号、イシュア公開鍵証明書、ICC公開鍵証明書、及び“Issuer Action Code-Online”などが含まれる。イシュア公開鍵証明書、及びICC公開鍵証明書は、オフラインデータ認証に用いられる。イシュア公開鍵証明書は、CA秘密鍵でイシュア公開鍵及びイシュア公開鍵証明書の有効期限(Certificate Expiration Date)を含むデータが暗号化(署名)されることで生成される。イシュア公開鍵証明書の有効期限は、オフラインデータ認証時に端末2によりチェックされるものである。一方、ICC公開鍵証明書は、イシュア秘密鍵でICC公開鍵などが暗号化されることで生成される。
【0021】
なお、イシュア公開鍵証明書の有効期限は証明書自身に埋め込まれた状態で暗号化されているが、本実施形態では、イシュア公開鍵証明書の有効期限を示す期限情報を単体のデータとしてNVM13の所定の格納場所に保存されるとよい。この場合、イシュア公開鍵証明書の有効期限は、例えば、イシュアからICチップ1の製造業者へ事前に通知される。
【0022】
CPU15は、NVM13またはROM14に記憶されたプログラムにしたがって、EMV仕様に準じた取引に係る処理を実行するとともに、本発明における受信手段、判定手段、変更手段、送信手段等として機能しプロファイル(AIP)変更処理を実行する。かかるプロファイル変更処理は、EMV仕様に準じた取引に係る処理において、CPU15が端末2からAIP及びAFLを要求するためのGPOコマンドを受信することにより開始される。なお、GPOコマンド(後述するコマンドも同様)は、例えば、ISO/IEC 7816-4に規定されたコマンドAPDU(Application Protocol Data Unit)である。GPOコマンドは、ヘッダ部及びボディ部を含む。ヘッダ部は、CLA(命令クラス)、INS(命令コード)、P1及びP2(パラメータ)からなる。ボディ部には、日付(Transaction Date)が含まれる。
【0023】
CPU15は、GPOコマンドを受信すると、GPOコマンドに含まれる日付(Transaction Date)と、NVM13に記憶されている「イシュア公開鍵証明書の有効期限」とに基づいて、イシュア公開鍵証明書が有効期限切れであるか否かを判定する。そして、CPU15は、イシュア公開鍵証明書が有効期限切れであると判定した場合、AIPにおいてオフラインデータ認証をサポートすることを示す第1の値を、オフラインデータ認証をサポートしないことを示す第2の値に変更(例えば、オフラインデータ認証サポートビットを“0”にクリア)し、当該第1の値が第2の値に変更されたAIP、及びAFLを含むレスポンスを端末2へ送信する。かかるAIPにより、ICチップ1は、オフラインデータ認証非サポートの取引用媒体として振る舞うことができる。これにより、端末2は、ICチップ1がオフラインデータ認証をサポートしていないことをAIPから認識しオフラインデータ認証を実行しない(イシュア公開鍵証明書の有効期限チェックも実行しない)。そのため、端末2は、その後のリスク管理及びアクション分析において、後述するように、取引不可と判定することなく、オフライン取引の承認要求を選択することになる。従って、イシュア公開鍵証明書の有効期限切れが確認された場合であっても、ICチップ1が搭載されたICカードまたはモバイルデバイスは、オンライン取引専用の取引用媒体として利用を継続することが可能となる。
【0024】
なお、GPOコマンドに応じて送信されるレスポンスに含まれるAFLは、アプリケーションデータの格納場所(例えば、レコードA1及びA2)のうち、イシュア公開鍵証明書の格納場所(例えば、レコードA2)を除外した格納場所(例えば、レコードA1)を示すように変更されるとよい。これにより、AFLが示す格納場所から取得されるアプリケーションデータには公開鍵証明書は含まれない(つまり、公開鍵証明書はICチップ1から出力されない)ので、NVM13からのデータ読み出し処理負荷を低減することができる。
【0025】
[2.取引システムSの動作]
次に、図4及び図5を参照して、ICチップ1を用いて取引が行われる際の取引システムSの動作について説明する。図4及び図5は、取引システムSにおいて実施される取引処理の一例を示すシーケンス図である。図4において、ICチップ1が搭載されたICカードが端末2に挿入されるか、ICチップ1が搭載されたICカードまたはモバイルデバイスが端末2に翳されることによりICチップ1が電力供給を受けると、ICチップ1のCPU15は、端末2との間で初期化処理をOSにより実施する(ステップS1)。
次に、図4及び図5を参照して、ICチップ1を用いて取引が行われる際の取引システムSの動作について説明する。図4及び図5は、取引システムSにおいて実施される取引処理の一例を示すシーケンス図である。図4において、ICチップ1が搭載されたICカードが端末2に挿入されるか、ICチップ1が搭載されたICカードまたはモバイルデバイスが端末2に翳されることによりICチップ1が電力供給を受けると、ICチップ1のCPU15は、端末2との間で初期化処理をOSにより実施する(ステップS1)。
【0026】
初期化処理においては、例えば、端末2からICチップ1へ送信されるリセット信号に応じて、ICチップ1から端末2へ初期応答がなされる。初期化処理が終了すると、端末2は、取引用アプリケーションを選択するためのSELECTコマンドをICチップ1へ送信する(ステップS2)。SELECTコマンドには、使用されるブランドに対応する取引用アプリケーションのアプリケーション識別子が含まれる。
【0027】
次いで、ICチップ1のCPU15は、端末2からのSELECTコマンドを受信すると、SELECTコマンドに含まれているアプリケーション識別子により識別される取引用アプリケーションを選択し(ステップS3)、FCI(File Control Information)を含むレスポンスを端末2へ送信する(ステップS4)。ここで、FCIには、PDOL(Processing Options Data Object List)が含まれる。PDOLは、上記仕様に準じた取引に係る処理に必要なデータを端末2に要求するために利用するリスト(データ)である。本実施形態におけるPDOLには、Transaction DateのTag(=9A)が含まれている。そのため、端末2は、ICチップ1に対してGPOコマンドでTransaction Dateを送信する必要がある。以降のICチップ1における処理は、当該選択された取引用アプリケーションにより実行される。次いで、端末2は、ICチップ1からステップS4で送信されたレスポンスを受信すると、GPOコマンドをICチップ1へ送信する(ステップS5)。
【0028】
次いで、ICチップ1のCPU15は、端末2からのGPOコマンドを受信すると、当該GPOコマンドから日付を取得するとともに、NVM13から期限情報を取得する(ステップS6)。次いで、ICチップ1のCPU15は、ステップS6で取得された日付と期限情報に示される有効期限とを比較し、イシュア公開鍵証明書が有効期限切れである(つまり、当該日付を基準として有効期限が経過している)か否かを判定する(ステップS7)。イシュア公開鍵証明書が有効期限切れでないと判定された場合(ステップS7:NO)、処理はステップS8へ進む。一方、イシュア公開鍵証明書が有効期限切れであると判定された場合(ステップS7:YES)、処理はステップS10へ進む。
【0029】
ステップS8では、ICチップ1のCPU15は、AIP及びAFLをNVM13から取得する。次いで、ICチップ1のCPU15は、ステップS8で取得されたAIP及びAFLを含むレスポンスを端末2へ送信する(ステップS9)。一方、ステップS10では、ICチップ1のCPU15は、AIP及びAFLをNVM13から取得する。次いで、ICチップ1のCPU15は、ステップS10で取得されたAIPにおいてオフラインデータ認証サポートビットの値を変更(AIPの内容を変更)する(ステップS11)。次いで、ICチップ1のCPU15は、ステップS10で取得されたAFLにおいてアプリケーションデータの格納場所のうち、オフラインデータ認証に用いられる情報(つまり、イシュア公開鍵証明書及びICC公開鍵証明書)の格納場所を除外した格納場所を示すように変更(AFLの内容を変更)する(ステップS12)。次いで、ICチップ1のCPU15は、ステップS11で変更されたAIP及びステップS12で変更されたAFLを含むレスポンスを端末2へ送信する(ステップS13)。
【0030】
次いで、端末2は、ICチップ1からステップS9またはS13で送信されたレスポンスを受信すると、当該レスポンスに含まれるAIPにおけるオフラインデータ認証サポートビットからオフラインデータ認証のサポート有無をチェックする(ステップS14)。次いで、端末2は、Read RecordコマンドをICチップ1へ送信する(ステップS15)。Read Recordコマンドは、当該レスポンスに含まれるAFLで格納場所が示されるアプリケーションデータを読み出すためのコマンドAPDUである。Read Recordコマンドのヘッダ部内のP1には、当該アプリケーションデータの格納場所であるレコード番号がセットされる。
【0031】
図5において、ICチップ1のCPU15は、端末2からのRead Recordコマンドを受信すると、Read Recordコマンドで示される格納場所からアプリケーションデータを取得する(ステップS16)。イシュア公開鍵証明書が有効期限切れでない場合のアプリケーションデータには、ホルダの氏名、ホルダの会員番号、イシュア公開鍵証明書、ICC公開鍵証明書、及び“Issuer Action Code-Online”が含まれる。一方、イシュア公開鍵証明書が有効期限切れである場合のアプリケーションデータには、ホルダの氏名、ホルダの会員番号、及び“Issuer Action Code-Online”が含まれる。次いで、ICチップ1のCPU15は、ステップS16で取得されたアプリケーションデータを含むレスポンスを端末2へ送信する(ステップS17)。
【0032】
次いで、端末2は、ICチップ1からステップS17で送信されたレスポンスを受信すると、当該レスポンスからアプリケーションデータを取得する(ステップS18)。次いで、端末2は、ICチップ1がオフラインデータ認証をサポートしているか否かを判定する(ステップS19)。ICチップ1がオフラインデータ認証をサポートしていると判定された場合(ステップS19:YES)、処理はステップS20へ進む。一方、ICチップ1がオフラインデータ認証をサポートしていないと判定された場合(ステップS19:NO)、オフラインデータ認証は行われず、処理はステップS21へ進む。なお、オフラインデータ認証が行われなかった場合、端末2に記憶されるTVR(Terminal Verification Result)における“Offline data authentication was not performed”ビットが“1”にセットされる。
【0033】
ステップS20では、端末2は、ステップS18で取得されたアプリケーションデータに基づいてオフラインデータ認証を実行し、処理をステップS21へ進める。オフラインデータ認証では、端末2とICチップ1とのサポート状況に応じてSDA、DDA、及びCDAの何れかが実行される。なお、オフラインデータ認証が行われた場合、端末2に記憶されるTVRにおける“Offline data authentication was not performed”ビットが“0”(初期値)のまま変更されない。かかるオフラインデータ認証において、CA公開鍵によりイシュア公開鍵証明書が復号され、当該復号されたイシュア公開鍵証明書に含まれる情報(イシュア公開鍵及び有効期限を含む)が取り出され、当該取り出された情報が検証される。かかる検証において、イシュア公開鍵によるICC公開鍵証明書の復号、及びイシュア公開鍵証明書の有効期限のチェックが行われる。なお、オフラインデータ認証の結果に応じて、端末2に記憶されるTVRにおける“SDA failed”ビット、“DDA failed”ビット、または“CDA failed”ビットが、“0”(オフラインデータ認証の成功)または“1”(オフラインデータ認証の失敗)にセットされる。
【0034】
ステップS21では、端末2は、リスクチェック及びアクション分析を実行する。かかるリスクチェックにおいて、端末2は、“Issuer Action Code-Denial”の条件に該当するか否かのチェックを行い、該当しなければ、“Issuer Action Code-Online”、及び“Terminal Action Code-Online”を解析する。例えば、オフラインデータ認証が行われなかった場合、TVRにおける“SDA failed”ビット、“DDA failed”ビット、及び“CDA failed”ビットの何れも“1”にセットされていないので、“Issuer Action Code-Denial”で設定されている条件に該当せず、取引不可と判定されない。また、オフラインデータ認証が行われなかった場合、TVRにおける“Offline data authentication was not performed”ビットが“1”にセットされているので、少なくとも“Issuer Action Code-Online”で設定されている条件に該当する。そのため、端末2は、アクション分析においてオンライン取引の承認要求を選択し、選択したオンライン取引の承認要求を示すGENERATE ACコマンドをICチップ1へ送信する(ステップS22)。なお、オフラインデータ認証が行われた場合の処理については説明を省略する。
【0035】
次いで、ICチップ1のCPU15は、端末2からのGENERATE ACコマンドを受信すると、リスクチェック及びアクション分析を実行する(ステップS23)。かかるリスクチェックにおいて、ICチップ1のCPU15は、公知の条件(例えば、取引の累積金額に関する条件、前回のオンライン取引成否に関する条件など)に基づいて、オンライン取引を承認するか否かを判定する。ここで、ICチップ1のCPU15は、オンライン取引を承認すると判定した場合、オンライン取引の承認要求(ARQC(Authorisation Request Cryptogram))を含むレスポンスを端末2へ送信する(ステップS24)。なお、オンライン取引を承認しないと判定された場合の処理については説明を省略する。
【0036】
次いで、端末2は、ICチップ1からステップS24で送信されたレスポンスを受信すると、オンライン検証を実施する(ステップS25)。オンライン検証は、取引関連データ(取引額など)及びARQC等が端末2からイシュアホスト3に送信されることで、端末2を介してイシュアホスト3とICチップ1との間で行われる。次いで、端末2は、オンライン検証の結果を含むGENERATE ACコマンドをICチップ1へ送信する(ステップS26)。
【0037】
次いで、ICチップ1のCPU15は、端末2からのGENERATE ACコマンドを受信すると、オンライン検証の結果を検証し、取引許可または取引拒否を決定する(ステップS27)。次いで、ICチップ1のCPU15は、ステップS27で決定された結果に応じたデータ(TC(Transaction Certificate)またはAAC(Application Authentication Cryptogram))を含むレスポンスを端末2へ送信する(ステップS28)。
【0038】
なお、端末2は、上記処理において、リスクチェック及びアクション分析の前に、ホルダ検証方法に応じた本人確認処理を行ってもよい。例えば、端末2は、キーパットなどの入力装置からホルダによって入力された暗証番号であるPIN(Personal Identification Number)を暗号化し、暗号化されたPINを含むVERIFYコマンドをICチップ1へ送信する。ICチップ1は、端末2からのVERIFYコマンドを受信すると、当該VERIFYコマンドに含まれる暗号化されたPINを復号し、復号されたPINと、予めNVM13に記録されているPINとを照合し、照合結果を含むレスポンスを端末2へ送信する。
【0039】
以上説明したように、上記実施形態によれば、ICチップ1は、端末2からGPOコマンドを受信すると、当該GPOコマンドに含まれる日付と、イシュア公開鍵証明書の有効期限とに基づいて、イシュア公開鍵証明書が有効期限切れであるか否かを判定し、イシュア公開鍵証明書が有効期限切れであると判定された場合、AIPにおいてオフラインデータ認証をサポートすることを示す第1の値を、オフラインデータ認証をサポートしないことを示す第2の値に変更し、当該第1の値が第2の値に変更されたAIPを含むレスポンスを端末2へ送信するように構成したので、オフラインデータ認証に用いられるイシュア公開鍵証明書の有効期限が切れた場合に端末2側で取引不可と判定されるように設定されている場合であっても、オンライン取引を利用することができる。
【0040】
なお、上記実施形態においては、イシュア公開鍵証明書が有効期限切れであるか否かを判定するように構成したが、これ以外にも、本発明は有効期限が設定されている公開鍵証明書にも適用することができる。
【符号の説明】
【0041】
1 ICチップ
2 端末
11 I/O回路
12 RAM
13 NVM
14 ROM
15 CPU
2 端末
11 I/O回路
12 RAM
13 NVM
14 ROM
15 CPU
【図1】
【図2】
【図3】
【図4】
【図5】