专利名称:Ic卡及其访问控制方法
技术领域:
近年来,作为代替磁卡的高安全性的器件,正在对IC卡 实用化。IC卡具有非易失性存储器,在其中能够保存文件或者密码等。 IC卡的文件结构一般如
图17所示成为分层构造。图17表示IC卡的 文件结构是两层的情况。另外,虽然在图17中进行了简化,然而文 件或者密钥(密码或者秘密键)能够在各目录的正下方各设置多个。各文件具有图18表示的安全属性。所谓安全属性表示为 了访问该文件应该满足的条件。在访问模式181中,保存"读出,,或者 "写入"等识别对文件的访问种类的信息。在安全条件182中,保存与 在执行由访问模式181指定了的访问(例如"读出")之前应该确认的 密钥有关的信息。作为逻辑条件183,表示安全条件具有与多个密钥 有关的信息时的密钥的组合条件,设定AND逻辑(需要所有密钥的 认证)或者OR逻辑(需要某一个密钥的认证)的某一个。另外,用 密钥号指定各密钥,图18表示具有与2个密钥有关的信息的情况。 作为密钥号,不是密码那样的密钥数据本身,而是用于识别密钥的信 息。例如,在IC卡内能够设定最大8个密钥的情况下,在各个密钥 上赋予1~8的密钥号。按照能用密钥号唯一确定各密钥那样赋予使 得在IC卡内密钥号不重复。密钥的认证方法有若干种,而最简单的方法是把从终端输 入的密钥数据与保存在IC卡中的密钥数据单纯地进行比较的方法。 IC卡持有者的密码核对与此相当。另外,作为进一步提高安全的认证 方法,有利用了秘密键加密方式的方法。该方法是IC卡和终端具有 共同的秘密键,对IC卡生成的随机数,双方进行相同的加密处理, IC卡把它们的结果进行比较的方式。如果其比较结果相同,则由于认 为终端具有与IC卡相同的秘密键,因此能够判断为该终端是合法的。 在这些任一种方法中,密钥(密码或者秘密键)固定地保存在非易失 性存储器中,通过指定这些密钥构成安全属性。(以下,把这些密钥 总称为"固定密钥"。)依据本发明的IC卡以及访问控制方法,能够进行把密码 核对或者基于秘密键加密方式的认证和基于公开键加密方式的认证 这两种不同的认证方法组合起来的访问控制,能够对应多种系统条 件。在图1中,1是IC卡,2是向IC卡1的持有者提供服务 的终端,IC卡1由CPU3、 RAM4以及EEPROM5构成。CPU3管理 与终端2之间的指令以及响应的收发或者以访问控制为代表的ID卡1 的整体处理。RAN4是在作业中使用的易失性存储器。另外,EEPROM 是用于保存密钥或者文件等的非易失性存储器。依据该方法,能够把固定密钥参照信息和暂时密钥参照信 息设定为任意的数量,能够实现更富有灵活的访问控制。在这种情况 下由于根据识别符也能够判定是固定密钥还是暂时密钥,因此在固定 密钥与暂时密钥之间密钥号也可以重复。在正确地进行了密码核对的情况下,接着,终端2向IC 卡1传送第1公开键证明书。该第1公开鍵证明书是从卡发行者预先 发行的,包括对基于卡发行者的秘密键的第l服务提供者公开键的署
名。IC卡1具有与卡发行者的秘密键成对的公开键,使用该公开键,
检验包含在所接收到的第1公开键证明书中的署名,如果该署名正确, 则从第l公开键证明书取出第l服务提供者的公开键,作为第l暂时
密钥保存在IC卡1内的RAM4中。另外,在图6的暂时密钥参照信息65的密钥号67中,保 持赋予到第2暂时密钥中的密钥号。与上述实施形态l相同,第2公 开键证明书也包括对赋予到该暂时密钥中的密钥号的署名,保证密钥 号不被篡改。
0076另外,在证明书的段数66中设定了 "l"这样的值的情况下, 表示1阶段公开键证明书,需要使用了上述第1暂时密钥的基于外部 认证的第l服务提供者的认证。第l公开键证明书也包括对赋予到第
l暂时密钥中的密钥号的署名,在密钥号67中设定该密钥号。图10表示本实施形态4的访问控制方法中的文件的安全 属性的构造,除去暂时密钥参照信息102以外,是与上述实施形态l 相同的结构。在暂时密钥参照信息102中,设定有表示是否需要^f吏用 了暂时密钥的外部认证的信息。例如,设如果设定值"0"则不需要外 部认证,如果设定值"l"则需要外部认证,这里,假设设定了值"l"。在具有多个文件以及对多个文件种类的访问权限的情况 下,在单纯地连接文件识别符与访问种类的方式中,由于传输效率差, 因此可以考虑图12 (d)或者图12 (e)的方法。图12 (d)是在一个 文件识别符上连接多个指令种类的方法,在对于一个文件允许多种访 问(例如读出和写入等)的情况下是有效的。另一方面,图12 (e) 是在一个指令种类上连接多个文件识別符的方法,在对于多个文件允 许一种访问方法(例如读出)的情况下是有效的。(实施形态5)
本发明实施形态5的访问控制方法与密码核对或者基于秘密键 加密的认证的情况相同,是在公开键加密方式的情况下,也能够记录 核对错误次数的方法。在密码等固定密钥的情况下,密钥自身能够具 有与核对错误次数有关的信息,而在暂时密钥的情况下,由于不存在 于非易失性存储器内,因此采用以目录进行管理的方法。如在上述实施形态1中说明过的那样,在加密号6中由于 赋予密钥号"l",因此核对次数管理表141的密钥号"l"的行表示与密 码6有关的信息。这里,表示核对允许次数设定为3次,在核对失败 一次的情况下。密钥号"2"虽然赋予到卡发行者的公开键11中,然而 由于该密钥是核对次数的管理对象以外,因此在核对允许次数的栏目 中,设定表示未使用的值"O"。另外,由于密钥号"3"~"7"当前也没 有使用,因此在核对允许次数的栏目中,设定值"O"。在暂时密钥中, 由于赋予密钥号"8",因此基于公开键加密方式的认证错误次数用密 钥号"8"的行管理。在该例子中,表示允许2次。这样,在上述实施形态5中,由于在IC卡整体管理所有 的密钥,因此核对次数管理表用根目录21管理。这样,在本实施形态5中,通过使目录具有与各密钥号相 对应的核对次数管理表,能够根据密钥号识别成为对象的密钥,能够 进行各暂时密钥的核对次数的管理。进而,例如,通过用闭塞解除指
令的参数指定密钥号,还能够同样实行暂时密钥的闭塞解除的功能。 [01201另外,在上述的实施形态4中,由于在暂时密钥参照信息
102中不具有与暂时密钥的密钥号有关的信息,因此在公开键证明书 中密钥号不是必须的,而在管理核对次数的情况下,可以在公开键证 明书的公开键管理信息中包括密钥号。 [0121(实施形态6)
本发明实施形态6的访问控制方法是把从外部向IC卡提供访问 权信息这样的公开键证明书的考虑方法也适用在密码核对或者基于 秘密键加密方式的认证中的方法。由此,关于密码核对或者基于秘密 键加密方式的认证,也产生不必回收IC卡就能变更访问条件这样的 运用上的优点。然而,虽然通过变更公开键证明书,能够自由地变更对IC 卡的访问权这一点在运用上是方便的,但是能够从外部提供到IC卡 的公开键证明书易于成为攻击的对象,还隐藏着呈现安全上的脆弱性 的危险性。从而在IC卡一侧最好寻求如何防止被攻击的某些防御对 策。图16表示本实施形态6中的这种防御对策的一个例子, 各目录具有绝对的访问权信息161。图16中表示根目录21的情况, 而对于子目录也有同样的信息。绝对访问权信息由目录关联指令绝对 访问权信息162、文件关联指令绝对访问权信息163构成。目录关联 指令绝对访问权信息162是与图15的目录关联指令访问权信息152 相同的结构。同样,文件关联指令绝对访问权信息163是与图15的 文件关联指令访问权信息153相同的结构。
[0129目录关联指令绝对访问权信息162是绝对的访问条件,比 包含在公开键证明书中的目录关联指令访问权信息152优先。即,即 使公开键证明书的目录关联指令访问权信息152提示了某个访问条 件,IC卡也根据包含在当前所选择的目录中的目录关联指令绝对访问 权限信息162进行访问控制。
[0130j如果在当前所选择的目录中不存在目录关联指令绝对访 问权信息162,则公开键证明书的目录关联指令访问权信息152成为 有效,反之,存在目录关联指令决定访问权限信息162的情况下,公 开键证明书的目录关联指令访问权信息152成为无效。
0131关于文件关联指令绝对访问权信息163也相同。
[0132这样,通过在IC卡内保存绝对的访问权信息,即使伪造
了包括访问权限信息的公开键证明书,也能够确保必要的安全。
[0133另外,在上述的说明中釆用了在各目录中具有绝对的访问 权信息的结构,而也可以不是在目录而是在各文件中具有文件关联指 令绝对访问权限信息163。
产业上的可利用性
本发明的方法在进行对保存在IC卡中的文件等的访问控制的系 统中是有用的。
权利要求
1.一种对IC卡内的文件进行访问的访问控制方法,其特征在于上述IC卡在非易失性存储器内具有固定密钥,终端向上述IC卡传送对自身的公开键由卡发行者的秘密键署名后的公开键证明书,上述IC卡在检验了从上述终端接受到的上述公开键证明书的合法性以后,从该公开键证明书取出上述公开键,把其作为暂时密钥保持在上述IC卡内的易失性存储器中,上述IC卡内的文件具有参照上述固定密钥的固定密钥参照信息和参照上述暂时密钥的暂时密钥参照信息,上述IC卡至少基于上述固定密钥参照信息以及上述暂时密钥参照信息,判断能否进行对该IC卡内的上述文件的访问。
2. 根据权利要求1所述的访问控制方法,其特征在于 上述公开键证明书包括虛拟地赋予到上述暂时密钥中的第1密钥号,并且根据保存在上述暂时密钥参照信息中的上述第1密钥号,参 照使用了上述暂时密钥的认证结果。
3. 根据权利要求2所述的访问控制方法,其特征在于 对上述固定密钥赋予第2密钥号,根据保存在上述固定密钥参照信息中的上述第2密钥号,参照使 用了上述固定密钥的认证结果,并且对上述第1密钥号和上述第2密钥号赋予不同的值,由此判 别上述固定密钥与上述暂时密钥。
4. 根据权利要求2所述的访问控制方法,其特征在于 对上述固定密钥赋予第2密钥号, 根据保存在上述固定密钥参照信息中的上述第2密钥号,参照使 用了上述固定密钥的认证结果,并且固定上述固定密钥参照信息以及上述暂时密钥参照信息的 保存位置,由此判别上述固定密钥与上述暂时密钥。
5. 根据权利要求2所述的访问控制方法,其特征在于 对上述固定密钥赋予第2密钥号,根据保存在上述固定密钥参照信息中的上述第2密钥号,参照使 用了上述固定密钥的认证结果,并且在上述固定密钥参照信息和上述暂时密钥参照信息中分别 附加不同的识别符,由此判别上述固定密钥和上述暂时密钥。
6. 根据权利要求1至5的任一项所述的访问控制方法,其特征在于上述IC卡内的文件构成分层构造,上述暂时密钥参照信息具有与上述公开键证明书的段数有关的信息。
7. 根据权利要求1至5的任一项所述的访问控制方法,其特征在于上述IC卡内的文件构成分层构造,上述暂时密钥参照信息具有与上述分层构造的分层号有关的信息。
8. 根据权利要求1所述的访问控制方法,其特征在于 上述暂时密钥参照信息包括表示是否把基于公开键加密方式的认证结果反映到访问控制中的信息,
9. 根据权利要求8所述的访问控制方法,其特征在于 上述公开键证明书具有目录识别信息,在当前选择的目录是用位于上述公开键证明书内的上述目录识别信息表示的目录的情况下,上述IC卡进行通常处理。
10. 根据权利要求8所述的访问控制方法,其特征在于 上述公开键证明书具有多个目录识别信息,在当前选择的目录是用位于上述公开键证明书内的多个上述目 录识别信息的每一个表示的目录的情况下,上述IC卡进行通常处理。
11. 根据权利要求8所述的访问控制方法,其特征在于 上述公开键证明书具有多个目录识别信息,在当前选择的目录是用位于上述公开键证明书内的多个上述目 录识别信息的每一个表示的目录,并且是位于连接根目录与当前选择 的目录的枝上的目录或者当前选择的目录的下级的情况下,上述IC 卡进行通常处理。
12. 根据权利要求8所述的访问控制方法,其特征在于上述公开键证明书具有对一个文件识别信息连接了多个指令识 别信息的情况。
13. 根据权利要求8所述的访问控制方法,其特征在于上述公开键证明书具有对一个指令识别信息连接了多个文件识 别信息的情况。
14. 根据权利要求1所述的访问控制方法,其特征在于 上述公开键证明书包括虛拟地赋予到上述暂时密钥中的第1密钥号,并且位于上述IC卡内的至少一个目录具有与上述第1密钥号相 对应的核对次数管理信息。
15. —种对IC卡内的文件进行访问的访问控制方法,其特征在于上述IC卡在非易失性存储器内具有固定密钥, 终端向上述IC卡传送对参照上述固定密钥的访问控制信息署名 后的信息,上述IC卡在检验了从上述终端接收到的上述署名后的信息的合 法性以后,从该署名后的信息取出上述访问控制信息,至少基于该访 问控制信息,判断能否进行对上述文件的访问。
16. 根据权利要求15所述的访问控制方法,其特征在于 上述IC卡在上述非易失性存储器内具有绝对的访问权信息,基于该绝对的访问权信息优先于上述访问控制信息,进行访问控制。
17. —种IC卡,其特征在于包括 CPU;易失性存储器;和 非易失性存储器,上述非易失性存储器具有文件和固定密钥,上述CPU在检验了从终端取得的公开键证明书的合法性以后, 从该公开键署名书取出公开键,把其作为暂时密钥保存在上述易失性 存储器中,上述文件具有参照上述固定密钥的固定密钥参照信息、参照上述 暂时密钥的暂时密钥参照信息,上述CPU至少基于上述固定密钥参照信息和上述暂时密钥参照信息,判断能否访问该文件。
18. 根据权利要求17所述的IC卡,其特征在于 上述暂时密钥具有虚拟赋予到上述暂时密钥中的密钥号,上述CPU检验包含在上述公开键证明书中的密钥号的合法性,并且根据保存在上述暂时密钥参照信息中的密钥号,参照使用了上述 暂时密钥的认证结果。
19. 根据权利要求17所述的IC卡,其特征在于上述CPU使用表示在访问控制中是否反映了基于保存在上述暂 时密钥参照信息中的公开键加密方式的认证结果的信息,进行访问控 制。
20. 根据权利要求17所述的IC卡,其特征在于 上述暂时密钥具有虚拟地赋予到上述暂时密钥中的密钥号, 上述CPU检验包含在公开键证明书中的密钥号的合法性,基于包含在该公开键证明书具有的至少一个目录中的与该密钥号相对应 的信息,管理上述暂时密钥的核对次数。
21. —种IC卡,其特征在于包括 CPU;易失性存储器;和 非易失性存储器,上述非易失性存储器具有文件和固定密钥,上述CPU在检验了对于从终端取得的参照上述固定密钥的访问 控制信息署名后的信息的合法性以后,取出上述访问控制信息,并且 至少根据该访问控制信息,判断能否访问上述文件。
全文摘要
当前没有把基于密码核对或者秘密键加密方式的认证与基于公开键加密封方式的认证这两种不同的认证方法组合起来的访问控制方法。本发明把密码等赋予到保存在IC卡的非易失性存储器中的固定密钥中的密钥号也虚拟赋予到暂时密钥中,在公开键证明书中包含该密钥号的同时,在设定访问权的安全属性中,通过使用该密钥号把与固定密钥有关的信息和与暂时密钥有关的信息组合起来进行指定。由此,能够进行把基于密码核对或者秘密键加密方式的认证与基于公开键加密方式的认证这两种不同的认证方法组合起来的访问控制。
文档编号G06K19/073GK101366038SQ20078000209
公开日2009年2月11日 申请日期2007年9月7日 优先权日2006年9月11日
发明者高木伸哉 申请人:松下电器产业株式会社