专利名称::结算终端和ic卡的制作方法
技术领域:
:本发明涉及ic卡。
背景技术:
:在现有用于金融交易的现金卡(cashcard)、信用卡(creditcard)中,使用磁条方式的卡为主流。由于近年来使用伪造卡的不正当利用急增,向IC卡的替换正急速发展。这里,IC卡使用埋入卡中的IC芯片能够主动地进行数据保护,与磁条方式的卡相比,伪造非常困难。现在,作为使用IC卡的现金卡、信用卡的规格,EMV规格为事实标准(defactostandard)。在EMV规格中,作为IC卡所有者的本人确认方式采用PIN核对方式。在这里,PIN(PersonalIdentificationNumber:个人识别号码)为现金卡、信用卡的密码。但是,PIN核对方式存在的问题有,IC卡所有者自身有可能忘记PIN的值、不能充分地防止冒充盗用这几点。因此,近年来,利用指纹、静脉、虹膜等他人难以盗取并且因各个人而异的生物体信息的生物体认证正在受到关注。作为使用IC卡的生物体认证方式,在日本专利特开2001—344213中有所公开。在日本专利特开2001—344213号文献中,预先将本人的生物体信息保存在IC卡中(以下将保存在IC卡中的生物体信息称为生物体注册数据),在本人确认时将使用检测生物体信息的生物体信息传感器所取得的生物信息(以下,称为生物体核对数据)输入IC卡。然后IC卡通过在内部进行生物体注册数据与生物体核对数据的核对处理,确认是否为本人。现金卡、信用卡所采用的PIN核对方式,为了防止不正当利用者反复输入合适的PIN而寻找出正确的PIN,预先设定有PIN核对的失败次数,若PIN核对失败设定次数,则导致不能利用金融交易,这样的情况很多。但是如果在正当的利用者忘记PIN的值而错误输入的情况下,也导致不能利用金融交易,从便利性的方面来说则是个问题。另一方面,在生物体认证中,例如在注册在IC卡中的生物体注册数据的精度变得不佳的情况下,或者由于生物体的经年变化,注册在IC卡中的生物体注册数据与当前的生物体信息的差异变大的情况下,即使是本人也被判定为他人的可能性变大。因此,在将使用ic卡的生物体认证用于现金卡、信用卡等金融交易中时,若发生这种现象,即使是本人也会发生不能进行金融交易的问题。因此,将PIN核对和生物体认证进行组合,实现进行使安全性与便利性并存的本人确认的结算终端和ic卡,成为大的课题。
发明内容为了解决上述课题,本发明涉及的结算终端具有输入利用者的密码的密码输入部,和基于规定的生物体认证方式取得该利用者的生物体信息的生物体信息取得部,该结算终端在进行该利用者的本人确认前,从该IC卡接收作为可利用的本人确认方式的列表(list)的本人确认方式列表和表示本人确认方式的优先度的本人确认方式优先度,根据该本人确认方式列表和该本人确认方式优先度,判定是进行使用该密码输入部的密码核对,还是进行使用该生物体信息取得部的生物体认证。此外,本发明涉及的IC卡具有通过核对密码进行利用者的本人确认的密码核对功能,和利用生物体认证进行利用者的本人确认的生物体认证功能,并且,对表示本人确认方式的优先度的本人确认方式优先度、表示该密码核对功能的剩余尝试次数的密码核对剩余次数、和表示该生物体认证功能的剩余尝试次数的生物体认证剩余次数进行管理。再者,本发明涉及的IC卡是在存储器中存储有第一应用(application)、第二应用、和操作系统(operatingsystem)的IC卡,该操作系统具有在该第一应用和该第二应用之间进行数据通信的应用间通信功能,和生成该第二应用的哈希(hash)值的应用哈希值生成功能,该第一应用,利用该哈希值生成功能,取得并保存针对该第二应用的第一哈希值,其后,利用该应用间通信功能,在与该第二应用进行数据通信时,利用该哈希值生成功能,取得针对该第二应用的第二哈希值,并通过比较该第一哈希值和该第二哈希值,判断是否进行与该第二应用的数据通信。通过如上所述方式,将PIN核对和生物体认证进行组合,能够实现能进行安全性与便利性并存的本人确认的结算终端和IC卡。通过使用本发明,能够实现相比现有技术进一步提高了可靠性的结算终端和ic卡。图1是表示第一实施例的结算系统的结构的框图。图2是应用(application)管理表141的结构例。图3是本人确认方式列表115的内部结构例。图4是在IC卡100与结算终端200之间进行的结算处理顺序的图。图5是结算终端200进行的本人确认处理流程图。图6是结算应用110进行的本人确认方式列表115的设定处理流程图。图7是结算应用IIO进行的PIN核对处理流程图。图8是结算应用110进行的生物体认证的处理流程图。图9是生物体认证的PIN核对解除和PIN更新处理顺序图。图IO是表示第二实施例的结算系统的结构的框图。图11是使在结算中心230的PIN核对不可执行的处理顺序图。具体实施方式下面使用附图对本发明的实施例进行说明。用图1图9说明本发明的第一实施例。首先,图1是表示第一实施例的结算系统的结构的框(block)图,包括IC卡100、结算终端200、网络220、和结算中心(center)230而构成。就IC卡100来说,由结算终端200的利用者保有,为进行本人确认和结算交易处理而使用。此外,结算中心230由主计算机(hostcomputer)等构成,通过结算终端200和网络220而连接,进行结算处理的集中管理。在此,在本实施例中,结算终端200假定为例如银行的ATM或信用结算终端。或者,也可以是携带电话或PDA等可携带的终端。此外,虽然假定结算终端200的利用者将IC卡100作为现金卡、信用卡等金融卡而保有,但是不限于结算交易处理,在将使用IC卡100进行的本人确认利用于进入退出或网络利用的访问管理中时,也为本实施例的应用范围。接着,对IC卡100的内部结构进行说明。IC卡100具有通信部101、存储器102、和运算处理部103。通信部101为IC卡100与外部通信而使用,其基于例如作为国际标准规格的ISO/IEC7816所规定的接触通信。或者基于作为国际标准规格的ISO/IEC14443所规定的非接触通信。或者基于其他规格进行通信的情况也为本实施例的应用范围。存储器102具有对IC卡100保存的程序和数据进行存储的功能,由ROM(ReadOnlyMemory:只读存储器)、EEPROM(ElectricalErasableProgrammableReadOnlyMemory:电可擦写可编程只读存储器)或RAM(RandomAccessMemory:随机存取存储器)等半导体存储器构成。运算处理部103掌管IC卡100整体的控制,进行以下控制经由通信部101接收指令(command)后,基于存储在存储器102中的程序,进行与指令相应的处理,经由通信部101将对应的响应(response)发送到外部。接着对结算终端200的内部结构进行说明。结算终端200具有IC卡通信部201、PIN输入部202、生物体信息传感器(sensor)203、存储器204、中心通信部205、用户界面部206、和运算处理部207。IC卡通信部201为控制IC卡100而使用,基于例如作为国际标准规格的ISO/IEC7816所规定的接触通信。或者基于作为国际标准规格的ISO/IEC14443所规定的非接触通信。或者基于其他规格进行通信的情况也为本实施例的应用范围。PIN输入部202具有用于输入利用者的PIN的功能,使用作为数字输入专用的小型键盘的十键(ten-key)键盘。生物体信息传感器205具有读取生物体信息的功能,读取例如指纹或指静脉。或者即使具有读取其他生物体信息的功能也为本实施例的应用范围。存储器204具有存储结算终端200所使用的结算程序210或关联数据的功能,由硬盘、半导体存储器等构成。中心通信部205为与结算中心230进行数据通信而使用,具有与电话、因特网等公众线路网或者专用线路网连接的功能。用户界面部206具有用于对结算终端200的利用者输出图像、文字等视觉信息或音频信息并进行提示的显示功能、和使结算终端200的利用者能够输入必要的信息的输入功能。作为显示功能可考虑使用布劳恩管(Braimtube)显示器或液晶显示器。作为输入功能可考虑使用键盘或触摸面板。运算处理部207掌管结算终端200整体的控制,基于存储在存储器204中的结算程序210,实施使用IC卡100的结算处理。接着,对存储在IC卡100的存储器102中的程序和数据的结构进行说明。在存储器102中容纳有结算应用(application)110、生物体认证应用130、操作系统140和共享缓存器(buffer)150。结算应用110为用于执行使用IC卡100的结算处理的IC卡应用程序(applicationprogram)。生物体认证应用130为用于执行使用IC卡100的生物体认证处理的IC卡应用程序。操作系统140是为执行结算应用110和生物体认证应用130而提供必要的基本功能的系统程序,具有选择并执行从外部指定的IC卡应用的功能。此外,还具有对各IC卡应用所管理的程序和数据从其他的IC卡应用进行保护的防火墙(firewall)功能,能够安全地执行各IC卡应用。作为操作系统140的具体例子,可以举出作为IC卡的操作系统的MULTOS、Java(注册商标)Card。或者,使用其他的操作系统也为本实施例的应用范围。共享缓存器150是用于存储经由通信部101接收的指令和对应的响应的缓存器。共享缓存器150也用于存储在结算应用110与生物体认证应用130之间收发的数据。在此,结算应用IIO具有进行基于PIN核对的本人确认的功能,但是不具有进行基于生物体认证的本人确认的功能。因此,在结算应用110执行基于生物体认证的本人确认的情况下,经由共享缓存器150将生物体认证处理委让给生物体认证应用130。接着,对结算应用110的数据结构进行说明。结算应用110管理的数据包括结算AIDlll、生物体AID列表112、结算AP密钥(鍵)113、生物体AP哈希(八、乂〉二)值114、本人确认方式列表115、本人确认方式优先度116、注册PIN117、生物体认证剩余次数118、PIN核对剩余次数119、本人确认结果120、和利用者识别号码121。结算AID111是赋予结算应用110的应用标识符(AID:ApplicationIdentifier)。在此,AID是专门识别IC卡应用,用于操作系统140选择应用的标识符。作为国际上流通的IC卡应用的AID赋号方法,由国际规格的ISO/IEC7816—5所定。生物体AID列表112是从结算应用110可加以利用的生物体认证应用的AID的列表。如果结算应用110只对应一种生物体认证应用,则在生物体AID列表112中只存储对应的生物体认证应用的AID。结算AP密钥113是结算应用110在结算处理中执行的各种密码运算处理中使用的密钥数据。生物体AP哈希值114是结算应用110所利用的生物体认证应用的哈希值。在此,哈希值是指将作为对象的数据和程序用称为哈希函数的函数进行运算后的结果的值。在哈希值中具有以下特征从不同的数据中得到相同的哈希值的频率非常小,从哈希值不能推定出原本的数据。因此,结算应用110预先取得生物体AP哈希值114,在对于生物体认证应用委让生物体认证时,再次取得生物体AP哈希值114并进行比较,由此,能够检测生物体认证应用的数据和程序因破坏或篡改而被更改的事实。如果结算应用110检测出了生物体认证应用的破坏或篡改,则能够进行取消生物体认证处理的委让等判断。在此,作为生成生物体AP哈希值114的哈希函数,可考虑使用例如SHA—1哈希函数。或者使用其他哈希函数也为本实施例的应用范围。其中,如果使用能够信赖的哈希函数,由于不能从生物体AP哈希值114推定生物体应用的内容,不需要担心生物体应用的内容泄漏。本人确认方式列表115是结算应用110可执行的本人确认方式的列表。本人确认方式优先度116表示基于生物体认证的本人确认和基于PIN核对的本人确认的哪一方优先度更高。例如进行下述编码若本人确认方式优先度116的值为"0"则生物体认证的优先度高,若为"1"则PIN核对的优先度高,若为"2"则两种方式的优先度相同。或者以其他的编码表示优先度的情况也为本实施例的应用范围。此外,在结算应用110对应的生物体认证方式为多种的情况下,也可以表示各个生物体认证方式的优先级别。注册PIN117为IC卡100的利用者的PIN。生物体认证剩余次数118设定经由结算应用110执行的生物体认证处理的剩余尝试次数。PIN核对剩余次数119设定结算应用110执行的PIN核对处理的剩余尝试次数。生物体认证剩余次数118和PIN核对剩余次数119设定规定的正整数值作为初始值,当本人确认失败时而减小。若生物体认证剩余次数118变为"0"时,则结算应用110不可执行生物体认证。此外,若PIN核对剩余次数119变为"0"时,则结算应用110不可执行PIN核对。在本实施例的说明中,结算应用110利用生物体认证剩余次数118进行可否执行生物体认证的管理,但是,结算应用110不用生物体认证的剩余尝试次数,而是保存生物体认证失败的次数,来进行可否执行生物体认证的管理,这也为本实施例的应用范围。此外,在本实施例的说明中,结算应用IIO利用PIN核对剩余次数119进行可否执行PIN核对的管理,但是,结算应用110不用PIN核对的剩余尝试次数,而是保存PIN核对失败的次数,来进行可否执行PIN核对的管理,这也为本实施例的应用范围。本人确认结果120对结算应用110进行本人确认后的结果进行设定。利用者识别号码121是用于识别IC卡100的利用者的号码。例如,在信用卡结算的情况下设定信用卡号码,在现金卡交易的情况下设定银行帐号。或者以其他号码识别利用者也可以。接着,对生物体认证应用130的数据结构进行说明。生物体认证应用130管理的数据包括生物体AID131、生物体注册数据132、和结算AP哈希值133。生物体AID131是赋予生物体认证应用130的应用标识符,与上述的结算AID111相同,专门识别IC卡应用,用于操作系统140选择IC卡应用。生物体注册数据132是IC卡100的利用者注册的生物体信息。可考虑使用指纹图案或指静脉图案作为生物体注册数据132。或者采用其他的生物体信息也为本实施例的应用范围。结算AP哈希函数133为结算应用iio的哈希值,用于检测结算应用110的破坏或篡改。接着,对操作系统140管理的数据和功能进行说明。操作系统140保存应用管理表141。此外,具有外部通信功能142、应用追加删除功能143、应用执行功能144、应用间通信功能145、和应用哈希值生成功能146。应用管理表141是为操作系统140管理IC卡应用而使用的表(table)。外部通信功能142是控制通信部101,从IC卡100外部接收指令并发送对应的响应的功能。应用追加删除功能143是,从IC卡100外部下载(download)IC卡应用,将下载的IC卡应用注册在应用管理表141中并使之可执行的功能和删除注册在应用管理表141中的IC卡应用的功能。应用执行功能144是根据来自IC卡100外部的指令,选择注册在应用管理表141中的任意一个IC卡应用,其后,在从IC卡100外部接收到指令以后,执行所选择的IC卡应用,进行与指令对应的处理的功能。在此,IC卡应用是基于不依赖于IC卡硬件的专用命令组(i、乂卜)规格制作的程序,应用执行功能144进行对基于专用的命令组规格制作的程序进行读取并执行的解释程序(interpreter)(或虚拟机器(machine))处理。应用执行功能144还具有,将IC卡应用的程序和数据从IC卡100外部和注册在IC卡100内部的其他IC卡应用的不正当访问中保护起来的防火墙功能。作为应用执行功能144的具体例子,能够举出作为IC卡的操作系统的MULTOS、Java(注册商标)Card所具备的功能。应用间通信功能145是能够使当前执行中的IC卡应用A向指定的IC卡应用B发送信息(message),并从IC卡应用B接收与信息对应的处理结果的功能。具体而言,若当前执行中的IC卡应用A将信息存储在共享缓存器150中,并且指定IC卡应用B的AID,调出应用间通信功能145,则应用间通信功能145在使IC卡应用A为暂时停止状态后,使由AID指定的IC卡应用B为可执行状态。IC卡应用B进行与信息对应的处理,在将处理结果存储在共享缓存器150后结束处理。其后,应用间通信功能145使IC卡应用A回复到可执行状态。然后,IC卡应用A从共享缓存器150取得与信息对应的处理结果。因为与信息对应的处理结果存储在共享缓存器150中,所以在IC卡应用间共享,但是,由于与信息对应的处理在IC卡应用内部执行,所以能够将处理内容从其他IC卡应用隐蔽起来。如本实施例中的说明,应用间通信功能145在结算应用110对生物体认证应用130请求生物体认证处理时使用。作为应用间通信功能145的具体例子,能够举出作为IC卡的操作系统的MULTOS所具有的委派(delegation)功能,或者Java(注册商标)Card所具有的SIO(ShareableInterfaceObject:共享接口对象)功能。应用哈希值生成功能146是使用哈希函数生成针对注册在应用管理表141中的IC卡应用的程序或数据的哈希值的功能。作为生成哈希值的哈希函数,可考虑使用例如SHA-1哈希函数。或者使用其他哈希函数也为本实施例的应用范围。此外,执行中的IC卡应用指定其他的IC卡应用的AID,调出应用哈希值生成功能146,由此,能够取得指定的IC卡应用的哈希值。在此,作为生成哈希值的原始数据为,构成IC卡应用的程序和数据整体,或者程序的整体或一部分,或者数据的整体或一部分,任意一种情况均为本实施例的应用范围。接着,将应用管理表141的结构例示于图2。在图2中,应用管理表141是对每个注册的IC卡应用,记录有AID161、应用参照地址162、应用大小(size)163、选择标记164、调出顺序165、和应用哈希值166的表。在此,AID161是专门识别对应的IC卡应用,用于操作系统140选择应用的标识符。应用参照地址162是保存着对应的IC卡应用的存储器的先头地址。在图2中,对各IC卡应用只设定有一个地址,但是也可以设定如代码部的先头地址和数据部的先头地址这样的多个地址。应用大小(size)163是对应的IC卡应用的大小。在图2中,对各IC卡应用只设定有一个大小,但是也可以设定如代码部的大小、数据部的大小这样的多个大小。选择标记164表示当前是否选择有对应的IC卡应用。在图2的例子中,在选择有IC卡应用的情况下为"1",在未选择有IC卡应用的情况下为"0",但是也可以是其他的表记方法。调出顺序165表示通过应用间通信功能145调出的IC卡应用的顺序。在图2的例子中以数字的大小表示调出顺序,但是也可以以其他表记方法实现。应用哈希值166设定对应的IC卡应用的哈希值。在图2中,对各IC卡应用只设定有一个哈希值,但是也可以设定代码部整体或一部分的哈希值、数据部整体或一部分的哈希值这样的多个哈希值。其中,上述的应用哈希值生成功能146,在每次接受哈希值的生成要求时,再计算对应的IC卡应用的哈希值也可以,不进行哈希值的再计算,而是参照注册在应用管理表141中的应用哈希值166,这样也为本实施例的应用范围。接着,将本人确认方式列表115的内部结构例示于图3。在图3中,为在本人确认方式列表115中包含有多个本人确认方式ID170的结构。本人确认方式ID170是用于识别本人确认方式的号码。在图3所示例子中,在本人确认方式ID170为"1"的情况下表示基于离线(offline)PIN核对的本人确认,为"2"的情况下表示基于在线(online)PIN核对的本人确认,为"3"的情况下表示基于指静脉认证的本人确认,为"4"的情况下表示基于指纹认证的本人确认,为"5"的情况下表示虹膜认证的本人确认。而为"0"的情况下表示不需要本人确认的含义。在此,离线PIN核对是指在IC卡100内部进行PIN核对的方式,在线PIN核对是指在结算中心230进行PIN核对的方式。作为本人确认方式列表115,只要能够识别本人确认方式,则即使是图3所示以外的标记方法也为本实施例的应用范围。接着,将在IC卡100与结算终端200之间进行的结算处理顺序示于图4。在图4所示的结算处理顺序中,进行生物体认证作为本人确认。[步骤S1001]结算终端200为了选择IC卡100内部的结算应用110,将作为结算应用IIO的AID的结算AID发送给IC卡IOO,并从结算应用110接收生物体AID列表。在本处理步骤中的结算终端200与IC卡100之间的通信中,可考虑使用例如由ISO/IEC7816和EMV规格所规定的SELECTFILE指令。[步骤S1002]由操作系统140的应用执行功能144选择结算应用110,将结算应用110所保存的生物体AID列表回复给结算终端200。[步骤S1003]结算终端200从由结算应用110取得的生物体AID列表中,选择可执行的生物体认证的生物体AID,为了使结算处理初始化,而将选择的生物体AID发送给IC卡应用110。在本处理步骤中的结算终端200与IC卡100之间的通信中,可考虑使用例如由EMV规格所规定的GETPROCESSINGOPTIONS指令。[步骤S1004]结算应用110若指定的生物体AID不包含在生物体AID列表112中,则判断为不进行生物体认证。或者,若指定的生物体AID包含在生物体AID列表112中,则为了确认与指定的生物体AID对应的生物体认证应用130是否没有不正当地被篡改,而对操作系统140请求生成生物体认证应用130的哈希值。[步骤S1005]操作系统140使用应用管理表141,检索与指定的生物体AID对应的生物体认证应用130,使用应用哈希值生成功能146,生成生物体认证应用130的哈希值。[步骤S1006]结算应用110对取得的哈希值和预先取得的生物体AP哈希值114进行比较,如果比较结果一致,则判断为生物体认证应用130可利用,如果不一致,则判断为生物体认证应用130存在不正当的篡改。[步骤S1007]结算终端200从结算应用110,发送本人确认方式列表和本人确认方式优先度的取得要求。在本处理步骤中的结算终端200与IC卡100之间的通信中,可考虑使用例如由EMV规格所规定的READRECORD指令。[步骤S1008]结算应用110如果在步骤S1004和步骤S1006中判断为生物体认证应用130可利用,则追加对应的生物体认证方式和PIN核对方式至本人确认方式列表115。或者如果判断为生物体认证应用130不可利用,则仅追加PIN核对方式至本人确认方式列表115。然后,将本人确认方式列表115和本人确认方式优先度116回复给结算终端200。[步骤S1009]结算终端200从本人确认方式列表115和本人确认方式优先度116中确认生物体认证可执行后,则用生物体信息传感器203取得利用者的生物体核对数据。[步骤S1010]为了进行基于生物体认证的本人确认,结算终端200将利用者的生物体核对数据发送给结算应用110。在本处理步骤中的结算终端200与IC卡100之间的通信中,可考虑使用例如由EMV规格所规定的VERIFY指令。[步骤S1011]结算应用110将取得的生物体核对数据发送给生物体认证应用130,将生物体认证处理委让给生物体认证应用130。该委让处理通过操作系统140的应用间通信功能145进行。然后,从生物体认证应用130取得本人确认结果,作为本人确认结果120进行保存,并且,将本人确认结果发送给结算终端200。[步骤S1012]为了确认结算应用110是否没有被不正当地篡改,生物体认证应用130对操作系统140请求生成结算应用110的哈希值。[步骤S1013]操作系统140使用应用哈希值生成功能146,生成结算应用IIO的哈希值。[步骤S1014]生物体认证应用130对取得的哈希值和预先取得的结算AP哈希值133进行比较,如果比较结果不一致,则判断为结算应用UO存在不正当的篡改,中断生物体认证处理。[步骤S1015]生物体认证应用130进行使用从结算应用110取得的生物体核对数据和预先保存的利用者的生物体注册数据的生物体认证处理。然后将生物体认证的结果作为本人确认结果,回复给结算应用110。[步骤S1016]如果结算终端200从结算应用110取得的本人确认结果为"成功",则为了进行结算处理,将交易关联数据发送给结算应用110。在此,交易关联数据为包括交易金额、交易日期时间、认证用随机数等的数据。其后,结算终端200从结算应用IIO取得交易同意数据。在此,交易同意数据是表示结算应用110同意了结算处理的数据,用加密处理生成。在此,交易同意数据是表示结算应用IIO同意了结算处理的数据,用加密处理生成。也可以通过将从结算应用110取得的交易同意数据转送给结算中心230,进行结算处理的最终确认。在本处理步骤中的结算终端200与IC卡100之间的通信中,可考虑使用例如由EMV规格所规定的GENERATEAPPLICATIONCRYPTOGRAM指令。[步骤S1017]结算应用110从结算终端取得交易关联数据后,对本人确认结果120进行确认。然后在本人确认结果120为成功,判断为交易内容正确后,实施使用结算AP密钥113的加密处理,生成交易同意数据。在此,作为用于生成交易同意数据的加密处理,使用DES密码等的公共密钥密码方式,或者使用RSA密码等的公开密钥密码方式,均为本实施例的应用范围。在用图4说明过的结算处理顺序中,因为在结算应用110与生物体认证应用130之间,经由操作系统140取得相互的哈希值,检测不正当的篡改,所以能够安全地进行IC卡应用间的通信。其中,结算终端200发送给IC卡100的生物体核对数据,为了对其免被盗听或篡改的保护也可进行加密处理。在这种情况下,在进行生物体核对数据的加密处理时使用的密钥数据,也可以使用事先规定的密钥共享协议(protocol),在处理结算终端200与生物体认证应用130之间进行共享。接着,将结算终端200进行的本人确认处理流程示于图5。本处理用图4所示的结算处理顺序的步骤S1001、步骤S1003和S1007进行。[步骤S5000]结算终端200从IC卡100取得作为存储在IC卡100中的生物体认证应用的AID列表的生物体AID列表。[步骤S5001]结算终端200从由IC卡100取得的生物体AID列表中,选择与结算终端200可利用的生物体认证方式对应的生物体AID,将所选择的生物体AID发送给IC卡100。在此,在如果从IC卡100未取得生物体AID列表的情况下,来自IC卡100的生物体AID列表为空的情况下,或不存在结算终端200可利用的生物体认证方式的情况下,也可以不向IC卡100发送生物体AID。其后,从IC卡100取得本人确认方式列表和本人确认方式优先度。[步骤S5002]如果从IC卡100取得的本人确认方式列表中记载为不需要本人确认,则不实施本人确认处理,进入步骤S5012。如果未记载有不需要本人确认则进入步骤S5003。[步骤S5003]如果从IC卡100取得的本人确认方式列表中记载有结算终端200所选择的生物体认证方式,则进入步骤S5005。若非如此,则进入步骤S5004。[步骤S5004]如果从IC卡100取得的本人确认方式列表中记载有PIN核对,则进入步骤S5007。若非如此,则本人确认失败,进入步骤S5011。[步骤S5005]如果从IC卡100取得的本人确认方式列表中记载有PIN核对,则进入步骤S5006。若非如此,则进入步骤S5008。[步骤S5006]对从IC卡100取得的本人确认方式优先度进行确认,在PIN核对比生物体认证优先度高的情况下,进入步骤S5007。或者在生物体认证比PIN核对优先度高的情况下,进入步骤S5008。或者在生物体认证与PIN核对的优先度相等的情况下,进入步骤S5009。[步骤S5007]结算终端200利用用户界面部206向利用者提示进行基于PIN核对的本人确认的指引。然后,利用PIN输入部202,让利用者输入PIN,进行PIN核对。PIN核对为在IC卡100内部进行的离线PIN核对的情况,或在结算中心230进行的在线PIN核对的情况,均为本实施例的应用范围。[步骤S5008]结算终端200利用用户界面部206向利用者提示进行基于生物体认证的本人确认的指引。然后,利用生物体信息传感器203生成利用者的生物体核对数据,进行生物体认证。生物体认证通过将生物体核对数据发送给IC卡100而进行。[步骤S5009]结算终端200利用用户界面部206向利用者提示以PIN核对或者生物体认证的任意一种进行本人确认的指引。然后,在利用者选择PIN核对的情况下,利用PIN输入部202,让利用者输入PIN,进行PIN核对。PIN核对为在IC卡100内部进行的离线PIN核对的情况,或在结算中心230进行的在线PIN核对的情况,均为本实施例的应用范围。或者,在利用者选择生物体认证的情况下,利用生物体信息传感器203生成利用者的生物体核对数据,进行生物体认证。[步骤S5010]若基于PIN核对或生物体认证的本人确认结果为成功,则进入步骤S5012。若非如此,则进入步骤S5011。[步骤S5011]由于利用者的本人确认失败,结算终端200中止结算处理。[步骤S5012]因为利用者的本人确认成功,结算终端200继续进行结算处理。在用图5说明过的结算终端200所进行的本人确认处理流程中,结算终端200基于从IC卡100取得的本人确认方式列表和本人确认方式优先度,能够适当地选择PIN核对和生物体认证的任意一种本人确认方式。因此,对于IC卡100不对应生物体认证的情况,能够防止进行向利用者提示进行生物体认证的指导的动作。其中,在步骤S5011中选择的本人确认方式失败的情况下,如果在本人确认方式列表中记载有与失败的本人确认方式不同的未实施的本人确认方式,也可以追加实施未实施的本人确认方式。此外,在追加实施的本人确认方式成功的情况下,也可以不中断而继续进行结算处理。在这种情况下,由于最初实施的本人确认失败,可考虑附加减小结算处理的限度额的任何条件。接着,将IC卡100内部的结算应用110进行的本人确认方式列表115的设定处理流程示于图6。本处理用图4所示的结算处理顺序的步骤S1008进行。[步骤S2000]结算应用110将结算应用110对应的本人确认方式全部追加到本人确认方式列表115中。[步骤S2001]在结算终端200用生物体AID指定特定的生物体认证方式的情况下,进入步骤S2002。或者,如果未指定生物体认证方式则进入步骤S2006。[步骤S2002]在结算应用110与结算终端200指定的对应于生物体AID的生物体认证方式对应的情况下,进入步骤S2003。若非如此,则进入步骤S2005。[步骤S2003]结算应用IIO对生物体认证应用的哈希值进行验证,在确认未迸行不正当的篡改后进入步骤S2004。若非如此,则进入步骤S2005。[步骤S2004]结算应用IIO确认生物体认证剩余次数118,如果不为"0"则进入步骤S2007。或者如果为"0"则进入步骤S2005。[步骤S2005]结算应用110从本人确认方式列表115中删除结算终端200指定的生物体认证方式。[步骤S2006]结算应用110从本人确认方式列表115中删除全部的生物体认证方式。[步骤S2007]结算应用110确认PIN核对剩余次数119,如果不为"0"进入步骤S2009。或者如果为"0"则进入步骤S2008。[步骤S2008]结算应用110,从本人确认方式列表115中删除PIN核对。[步骤S2009]结算应用110向结算终端200发送本人确认方式列表115和本人确认方式优先度116。通过利用使用图6说明的本人确认方式列表115的设定处理流程,结算应用110能够向结算终端200发送设定有可在结算应用110与结算终端200之间处理的本人确认方式的本人确认方式列表115。接着,将IC卡100内部的结算应用IIO进行的PIN核对的处理流程示于图7。[步骤S3001]结算应用110从结算终端200接收PIN核对要求后,确认PIN核对剩余次数119,如果为"0"则进入步骤S3011。若非如此,则进入步骤S3002。[步骤S3002]作为PIN核对处理,结算应用110确认从结算终端200接收的PIN和结算应用110所保存的注册PIN117是否一致。[步骤S3003]结算应用110在步骤S3002进行的PIN核对处理的结果成功后进入步骤S3004。若非如此,则进入步骤S3008。[步骤S3004]结算应用110因为PIN核对处理成功,将PIN核对剩余次数119返回初始设定值。例如,若PIN核对剩余次数119最初设定为"5"则初始设定值为"5"。或者,仅将PIN核对剩余次数119加上规定的值也为本实施例的应用范围。[步骤S3005]结算应用110参照本人确认方式优先度116,如果PIN核对的优先度为生物体认证的优先度以上,则进入步骤S3006。若非如此,则进入步骤S3007。[步骤S3006]结算应用110将生物体认证剩余次数118返回初始设定值。例如,若生物体认证剩余次数118最初设定为"10"则初始设定值为"10"。或者,仅将生物体认证剩余次数118加上规定的值也为本实施例的应用范围。[步骤S3007]结算应用IIO将本人确认结果120设定为"成功"。[步骤S3008]结算应用110因为PIN核对失败,仅将PIN核对剩余次数119减去规定的值。[步骤S3009]结算应用110参照本人确认方式优先度116,如果PIN核对的优先度为生物体认证的优先度以上,进入步骤S3010。若非如此,则进入步骤S3011。[步骤S3010]结算应用110仅将生物体认证剩余次数118减去规定的值。[步骤S3011]结算应用IIO将本人确认结果120设定为"失败"。[步骤S3012]结算应用110将本人确认结果120发送给结算终端200。在使用图7说明的结算应用IIO进行的PIN核对的处理流程中,在PIN核对的优先度为生物体认证的优先度以上的情况下,若PIN核对成功则将生物体认证剩余次数118与PIN核对剩余次数119一起初始化,若PIN核对失败则将生物体认证剩余次数118与PIN核对剩余次数119一起仅减去规定的值。由此,即使在生物体认证剩余次数118变为"0"无法进行生物体认证的情况下,通过使PIN核对成功,也使得从下一次开始能够再次执行生物体认证。在此,在PIN核对的优先度比生物体认证的优先度小的情况下,由于生物体认证剩余次数118不根据PIN核对的结果变动,所以生物体认证对PIN核对的成功与否没有影响。接着,将IC卡100内部的结算应用IIO进行的生物体认证的处理流程示于图8。[步骤S4001]结算应用110在从结算终端200接收生物体认证要求后,确认生物体认证剩余次数118,如果为"0"则进入步骤S4011。若非如此,则进入步骤S4002。[步骤S4002]结算应用110通过将从结算终端200接收的生物体核对数据发送给生物体认证应用130,实施生物体认证,再从生物体认证应用130取得生物体认证结果。[步骤S4003]如果结算应用110在步骤S4002从生物体认证应用130取得的生物体认证结果为成功则进入步骤S4004。若非如此,则进入步骤S4008。[步骤S4004]结算应用110因为生物体认证成功,将生物体认证剩余次数118返回初始设定值。或者,仅将生物体认证剩余次数118加上规定的值也为本实施例的应用范围。[步骤S4005]结算应用110参照本人确认方式优先度116,如果生物体认证的优先度为PIN核对的优先度以上,则进入步骤S4006。若非如此,则进入步骤S4007。[步骤S4006]结算应用110将PIN核对剩余次数119返回初始设定值。或者,仅将PIN核对剩余次数119加上规定的值也为本实施例的应用范围。[步骤S4007]结算应用IIO将本人确认结果120设定为"成功"。[步骤S4008]结算应用110因为生物体认证失败,仅将生物体认证剩余次数118减去规定的值。[步骤S4009]结算应用IIO参照本人确认方式优先度116,如果生物体认证的优先度为PIN核对的优先度以上,则进入步骤S4010。若非如此,则进入步骤S4011。[步骤S4010]结算应用110仅将PIN核对剩余次数119减去规定的值。在此,也可以将生物体认证剩余次数118的值作为N,仅在N为规定的整数M的倍数的情况下,进行减少PIN核对剩余次数119的处理。例如,如果M-5,则当生物体认证失败5次时,减小PIN核对剩余次数119。[步骤S4011]结算应用IIO将本人确认结果120设定为"失败"。[步骤S4012]结算应用110将本人确认结果120发送给结算终端200。在使用图8说明的结算应用IIO进行的生物体认证的处理流程中,在生物体认证的优先度为PIN核对的优先度以上的情况下,若生物体认证成功后则将PIN核对剩余次数119与生物体认证剩余次数118—起初始化,若PIN核对失败后则仅将PIN核对剩余次数119与生物体认证剩余次数118—起减去规定的值。由此,即使在PIN核对剩余次数119变为"0"无法进行PIN核对的情况下,也通过使生物体认证成功,使得从下一次开始能够再次执行PIN核对。在此,在生物体认证的优先度比PIN核对的优先度小的情况下,PIN核对剩余次数119不根据生物体认证的结果变动,PIN核对不影响生物体认证的成功与否。接着,在图9中表示,在变为不可利用IC卡100内部的结算应用110的PIN核对的情况下,利用生物体认证将PIN核对返回到可利用,并更新为新的PIN的处理顺序。[步骤S3501]结算终端200利用生物体信息传感器203取得利用者的生物体核对数据,并且利用PIN输入部202使利用者输入新的PIN。[步骤S3502]结算终端200将在步骤S3501取得的利用者的生物体核对数据和新的PIN发送给结算应用110。在本处理步骤中的结算终端200与IC卡100之间的通信中,可考虑使用例如由EMV规格所规定的PINCHANGE/UNBLOCK指令。[步骤S3503]结算应用110将取得的生物体核对数据发送给生物体认证应用130,将生物体认证处理委让给生物体认证应用130。然后,从生物体认证应用130取得本人确认结果。[步骤S3504]生物体认证应用130进行使用从结算应用110取得的生物体核对数据和预先保存的利用者的生物体注册数据的生物体认证处理。然后将生物体认证的结果作为本人确认结果,返回给结算应用110。[步骤S3505]结算应用IIO在基于生物体认证的本人确认成功后,确认本人确认方式优先度116。然后,如果生物体认证的优先度为PIN核对的优先度以上,则通过将PIN核对剩余次数119变更为初始设定值,将PIN核对返回到可利用。此外,将注册的PIN117的值更新为从结算终端取得的新的PIN的值。在使用图9说明的处理顺序中,为了进行使其免被盗听、篡改的保护,也可以对结算终端200发送给IC卡100的PIN和生物体核对数据进行加密处理。在这种情况下,进行加密处理时使用的密钥数据,可以事先使用规定的密钥共享协议,对PIN来说,可以在处理结算终端200与结算应用110之间共享,对生物体核对数据来说,可以在处理结算终端200与生物体认证应用130之间共享。利用图10图11说明本发明的第二实施例。图IO是表示第二实施例的结算系统的结构的框图。包括IC卡IOO、结算终端200、网络220、结算中心230而构成。结算终端200的利用者保有IC卡100,并为进行本人确认和结算交易处理而使用。此外,结算中心230由主计算机等构成,通过网络220与结算终端200连接,进行结算处理的集中管理。在第二实施例中,与第一实施例相同,结算终端200假定为例如银行的ATM或信用结算终端。或者,也可以是携带电话或PDA等可携带的终端。此外,虽然假定结算终端200的利用者将IC卡作为现金卡、信用卡等金融卡而保有,但是不限于结算交易处理,在将使用IC卡100进行的本人确认利用于进入退出或网络利用的访问管理中时,也为本实施例的应用范围。图10所示的IC卡100和结算终端200的内部结构与第一实施例的图1所示的IC卡100和结算终端200相同,但是假定作为本人确认而进行的PIN核对在结算中心进行。接着,对图10所示的结算中心230的内部结构进行说明。结算中心230具有结算终端通信部301、存储器302、和运算处理部303。结算终端通信部301为与结算终端200进行数据通信而使用,具有与电话、因特网等公众线路网或者专用线路网连接的功能。存储器302具有存储控制程序310和利用者管理表320的功能,由硬盘或半导体存储器等构成。在此,利用者管理表320是为进行本结算系统的全部利用者的本人确认而使用的表。运算处理部303掌管着结算中心230整体的控制,基于存储在存储器302中的控制程序310,对结算处理进行集中管理。接着,对利用者管理表320的内部结构进行说明。利用者管理表320是按照每个注册的利用者,记录有利用者识别号码321、注册PIN322、和PIN核对剩余次数323的表。在此,利用者识别号码321是用于识别利用者的号码,与各利用者的IC卡100内部的结算应用110所管理的利用者识别号码121为相同值。例如,在信用卡结算的情况下,设定信用卡号码,在现金卡交易的情况下设定银行帐号。或者也可以使用其他号码识别利用者。注册PIN322是IC卡100的利用者的PIN。PIN核对剩余次数323设定在结算中心230执行的PIN核对处理的剩余尝试次数。PIN核对剩余次数323设定规定的正整数作为初始值,当本人确认失败时减小。如果PIN核对剩余次数323为"0"时,结算中心230不可执行PIN核对。接着,将在结算中心230实施的PIN核对失败而使结算中心230不可执行PIN核对的处理顺序图示于图11。[步骤S6001]结算终端200利用PIN输入部202使利用者输入PIN。[步骤S6002]结算终端200将利用者输入的PIN发送给结算中心230,并请求进行基于PIN核对的本人确认。[步骤S6003]结算中心230使用利用者输入的PIN和利用者管理表320,进行PIN核对。在本处理顺序中,假定PIN核对失败,并且PIN核对剩余次数323减少的结果为"0"的情况。因此,结算中心230向结算终端200发送不可利用PIN核对的命令。[步骤S6004]结算终端200将从结算中心230接收的不可利用PIN核对命令发送给结算应用110。[步骤S6005]结算应用IIO将PIN核对剩余次数119设定为"0",使PIN核对不可利用。[步骤S6006]结算应用110参照本人确认方式优先度116,如果PIN核对的优先度为生物体认证的优先度以上,则将生物体认证剩余次数118设定为"0",使生物体认证不可利用。在用图11说明的处理顺序中,在PIN核对的优先度为生物体认证的优先度以上的情况下,将生物体认证剩余次数118与PIN核对剩余次数119一起设定为"0",使得PIN核对和生物体认证这两者均不能实施。或者,在生物体认证的优先度为PIN核对的优先度以上的情况下,仅使PIN核对不可利用,生物体认证就这样保持可利用状态。此外,在生物体认证的优先度为PIN核对的优先度以上的情况下,即使PIN核对变为不可利用,如利用图8进行的说明,通过使生物体认证成功,使得从下一次开始能够再次执行PIN核对。权利要求1.一种结算终端,其通过与IC卡通信进行利用者的本人确认,其特征在于该结算终端具有输入该利用者的密码的密码输入部,和基于规定的生物体认证方式取得该利用者的生物体信息的生物体信息取得部,该结算终端在进行该利用者的本人确认前,从该IC卡接收作为可利用的本人确认方式的列表的本人确认方式列表和表示本人确认方式的优先度的本人确认方式优先度,根据该本人确认方式列表和该本人确认方式优先度,判定是进行使用该密码输入部的密码核对,还是进行使用该生物体信息取得部的生物体认证。2.根据权利要求1所述的结算终端,其特征在于该结算终端在该本人确认方式列表中记载有该密码核对和该生物体认证的两种本人确认方式,如果该本人确认方式优先度被设定为该密码核对的优先度比该生物体认证的优先度高,则优先执行该密码核对。3.根据权利要求l所述的结算终端,其特征在于该结算终端在该本人确认方式列表中记载有该密码核对和该生物体认证的两种本人确认方式,如果该本人确认方式优先度被设定为该生物体认证的优先度比该密码核对的优先度高,则优先执行该生物体认证。4.根据权利要求l所述的结算终端,其特征在于该结算终端在该本人确认方式列表中记载有该密码核对和该生物体认证的两种本人确认方式,如果该本人确认方式优先度被设定为该生物体认证的优先度与该密码核对的优先度相等,则使该利用者选择执行该密码核对和该生物体认证中的哪一种。5.—种IC卡,其用于进行利用者的本人确认,其特征在于:该ic卡具有通过核对密码进行利用者的本人确认的密码核对功能,禾口利用生物体认证进行利用者的本人确认的生物体认证功能,并且,对表示本人确认方式的优先度的本人确认方式优先度、表示该密码核对功能的剩余尝试次数的密码核对剩余次数、和表示该生物体认证功能的剩余尝试次数的生物体认证剩余次数进行管理。6.根据权利要求5所述的IC卡,其特征在于该IC卡在使用该密码核对功能的本人确认成功的情况下,如果该本人确认方式优先度被设定为PIN核对的优先度在生物体认证的优先度以上,则仅将该生物体认证剩余次数加上规定的值。7.根据权利要求5所述的IC卡,其特征在于该IC卡在使用该生物体认证功能的本人确认成功的情况下,如果该本人确认方式优先度被设定为生物体认证的优先度在密码核对的优先度以上,则仅将该密码核对剩余次数加上规定的值。8.根据权利要求5所述的IC卡,其特征在于该IC卡在使用该密码核对功能的本人确认失败的情况下,如果该本人确认方式优先度的设定值被设定为密码核对的优先度在生物体认证的优先度以上,则仅将该生物体认证剩余次数减去规定的值。9.根据权利要求5所述的IC卡,其特征在于该IC卡在使用该生物体认证功能的本人确认失败的情况下,如果该本人确认方式优先度被设定为生物体认证的优先度在密码核对的优先度以上,则仅将该密码核对剩余次数减去规定的值。10.—种IC卡,其用于进行利用者的本人确认,其特征在于该ic卡具有通过核对密码进行利用者的本人确认的密码核对功能,禾口利用生物体认证进行利用者的本人确认的生物体认证功能,并且,对表示本人确认方式的优先度的本人确认方式优先度和事先注册的第一密码进行管理,从该IC卡外部接收到第二密码后,在该生物体认证功能的执行结果为成功的情况下,如果该本人确认方式优先度被设定为生物体认证的优先度在密码核对的优先度以上,则将该第一密码的值更新为该第二密码的值。11.一种IC卡,其与结算终端通信,用于进行利用者的本人确认,其特征在于该IC卡具有通过核对密码进行利用者的本人确认的密码核对功能,和利用生物体认证进行利用者的本人确认的生物体认证功能,并且,对作为可利用的本人确认方式的列表的本人确认方式列表、表示该密码核对功能的剩余尝试次数的密码核对剩余次数、和表示该生物体认证功能的剩余尝试次数的生物体认证剩余次数进行保存,基于该密码核对剩余次数和该生物体认证剩余次数决定该本人确认方式列表的内容后,将该本人确认方式列表发送给该结算终端。12.根据权利要求11所述的IC卡,其特征在于该IC卡在该密码核对剩余次数变为规定的值以下,判断为不能够再进行密码核对的情况下,将不包含基于该密码核对的本人确认方式的该本人确认方式列表发送给该结算终端。13.根据权利要求11所述的IC卡,其特征在于该IC卡在该生物体认证剩余次数变为规定的值以下,判断为不能够再进行生物体认证的情况下,将不包含基于该生物体认证的本人确认方式的该本人确认方式列表发送给该结算终端。14.一种IC卡,其在存储器中存储有第一应用、第二应用、和操作系统,其特征在于该操作系统具有在该第一应用和该第二应用之间进行数据通信的应用间通信功能,和生成该第二应用的哈希值的应用哈希值生成功能,该第一应用,利用该哈希值生成功能,取得并保存针对该第二应用的第一哈希值,其后,利用该应用间通信功能,在与该第二应用进行数据通信时,利用该哈希值生成功能,取得针对该第二应用的第二哈希值,并通过比较该第一哈希值和该第二哈希值,判断是否进行与该第二应用的数据通信。15.—种IC卡,其在存储器中存储有第一应用、第二应用、和操作系统,其特征在于该操作系统具有在该第一应用和该第二应用之间进行数据通信的应用间通信功能,该第一应用具有管理加密密钥,并通过使用该加密密钥的加密处理生成结算交易的签名数据的签名生成功能,该第二应用具有利用生物体认证进行利用者的本人确认的生物体认证功能,该第一应用,利用该应用间通信功能,调出该第二应用具有的该生物体认证功能,进行本人确认,如果从该第二应用取得的本人确认结果为成功,则利用该签名生成功能,生成同意该结算交易的签名数据。全文摘要本发明涉及结算终端和IC卡。该结算终端具有输入利用者的密码的密码输入部,和基于规定的生物体认证方式取得该利用者的生物体信息的生物体信息取得部,该结算终端在进行该利用者的本人确认前,从该IC卡接收作为可利用的本人确认方式的列表的本人确认方式列表和表示本人确认方式的优先度的本人确认方式优先度,根据该本人确认方式列表和该本人确认方式优先度,判定是进行使用该密码输入部的密码核对,还是进行使用该生物体信息取得部的生物体认证。文档编号G06Q20/00GK101226657SQ200810003649公开日2008年7月23日申请日期2008年1月17日优先权日2007年1月17日发明者伊藤滋行,桥本和则,相川慎,高见穰申请人:株式会社日立制作所