用于2种用途的可携带体、通信系统、通信方式、终端装置、记录了程序的计算机可读取的...的制作方法

专利名称：用于2种用途的可携带体、通信系统、通信方式、终端装置、记录了程序的计算机可读取的 ...的制作方法
技术领域：
本发明涉及以无线方式与终端装置之间进行处理的IC卡等装有集成器件的可携带体、通信系统、通信方式、终端装置、记录程序的计算机可读取记录媒体。
背景技术：
自治团体、交通机构、金融机构、医疗机构等，对使用IC卡的个人信息管理有着极大的兴趣。所谓IC卡，是指在卡上装有非易失性存储器、处理器、认证电路等集成器件的一种卡，在这种单片IC上存储个人信息后，持卡者便可以不离身地经常携带着IC卡，并根据需要随时查阅该IC卡所存储的个人信息。进一步，由于可以在IC卡上集成认证电路，所以如采用该认证电路则将使对存储在卡上的个人信息的非法读出变得很困难，因而与以磁性方式记录个人信息的磁卡等相比在个人信息的保密性上可以万无一失。这种IC卡的规格，依据已由ISO标准规定的内容或今后将要规定的内容。这里，在ISO标准中，被称作远距离式的IC卡由IS014443规定，而在IS010536中规定着被称作密接式的IC卡。
其中，所谓远距离式IC卡，是指一面以电波形式从终端装置接受供电一面使集成器件工作的型式，一般适用于定期车票的检查及设施的进出管理等用途。例如，将终端装置设在铁路的剪票口，当携带了IC卡的持卡者想从该剪票口搭乘列车时，持卡者只需将IC卡在终端装置上放一下，便可以由终端装置发出的电波使该IC卡所备有的集成器件借助于终端装置的供电而工作。例如，当在该IC卡上安装着存储了该持卡者作为该铁路的定期搭乘者的信息、乘车期间、乘车区间的存储电路及认证电路时，设在剪票口的终端装置，通过与该存储电路及认证电路的协调处理而核对持卡者的可靠性。如果乘车期间和乘车区间没有问题，则终端装置允许持卡者进入站台，而如果乘车期间和乘车区间存在问题，则终端装置拒绝持卡者进入站台。
如上所述的使用IC卡的简易定期乘车检查如得到广泛普及，则像磁卡式定期车票那样以定时插入定期车票后再取出的方式通过剪票机所带来的麻烦就可以避免了，所以，可以简化定期乘车者通过剪票口时的手续，并能消除高峰时在大城市车站所看到的剪票口的混乱。
远距离式的IC卡，即使与终端装置之间有间隔也可以通过IC卡与终端装置之间的协调而进行如上所述的剪票业务等个人信息处理，所以远距离式的IC卡在方便性方面优异，因而用于个人信息管理的IC卡的规格将来有可以统一到远距离式的趋势。但是，当前的远距离式IC卡不适于与终端装置进行严格要求保密性的个人信息管理，一般认为，对于严格要求保密性的个人信息，最好采用其他型式的IC卡。
远距离式IC卡不适用于严格要求保密性的个人信息处理的原因如下。即，当在终端装置与IC卡之间进行着个人信息的发送接收时，如有恶意的第三者将别的IC卡放在正在发送接收个人信息的终端装置上，则恶意的第三者可以将终端装置与IC卡之间正在发送接收的个人信息存储在该别的IC卡上。
另外，当在终端装置与IC卡之间进行着个人信息的发送接收时，这种个人信息也可能被设置在终端装置附近的其他通信装置接收，当该其他通信装置由恶意的第三者操作时，个人信息就有可能被该恶意的第三者窃听或将所收到的数据非法篡改后发送到终端装置。就是说，当与终端装置对IC卡进行协调处理时，个人信息经常有被泄漏的危险。
当考虑到上述情况时，不希望将重要的个人信息存储在远距离式的IC卡内并由远距离式的IC卡对其进行处理。
为了既保持远距离式的方便性又能存储重要的个人信息，希望能构成一种兼有远距离式规格和接触式规格的组合式IC卡。接触式IC卡，具有接触式连接器，通过以连接器与终端装置连接而驱动集成器件。将接触式IC卡连接于终端装置后，即使恶意的第三者在终端装置附近设置其他通信装置，也不可能窃听个人信息。此外，由于终端装置可凭密码号码输入等确认持卡者的可靠性，所以接触式IC卡在保密性方面远比远距离式优越，可以说更适于钱款结算等用途。
但是，组合式IC卡，当用于连接的连接器被弄脏或被水沾湿时，将使连接器的导电性降低，所以持卡者必须非常小心地使用组合式的IC卡以避免发生上述情况并妥善保管和携带这种卡，所以存在着总感到有心理负担的问题。此外，当用手插拔连接器时，为了不损坏连接器，持卡者必须小心谨慎地进行连接器的插拔，所以持卡者每当使用IC卡时都会使神经感到紧张。在将组合式IC卡用于银行等金融机构所安装的现金支付机等时，连接器的插拔将使每个持卡者感到麻烦，一个人一个人地进行钱款的结算将花费很多时间，因此，在现金支付机的使用者很多的银行结算日等很有可能在现金支付机前排成长蛇队。
此外，如反复进行组合式IC卡与终端装置的连接，则不可避免地使两者的连接器磨损，并导致连接器接触不良，因此，如果要求经常对两者进行维护，则设置现金支付机的金融机构将有可能放弃组合式IC卡的引入。
发明的公开本发明的第1目的在于，提供一种不进行连接器的电气接触即可用于结算用途和剪票用途等2种用途的可携带体。
本发明的第2目的在于，提供一种使持卡者可以简便地进行结算用途和剪票用途等2种用途的切换的可携带体。
本发明的第3目的在于，提供一种可进行要求轻负载处理的用途和要求重负载处理的用途的切换的可携带体。
为达到上述第1目的。本发明的可携带体，备有特定装置，当使可携带体接近进行着电波发送的终端装置时，根据来自终端装置的电波特定出可携带体用于哪一种用途；处理装置，当可携带体用于第1用途时进行第1处理，当可携带体用于第2用途时进行第2处理；及通信装置，在用于第1用途，用于第2用途的两种情况下，通过与终端装置进行无线通信，在终端装置与处理装置之间进行非接触式的输入输出。
按照这种可携带体，例如当构成兼有结算用途和剪票用途的组合式IC卡等用于2种用途的可携带体时，可以根据从终端装置发送的电波进行2种用途的切换及终端装置的识别。当进行2种用途的切换及终端装置的识别时，不要求持卡者进行连接器的插拔之类的操作，所以本发明的可携带体具有方便性提高的效果。
另外，即使在必需对第1用途和第2用途分别进行单独处理的情况下，由于在第1用途、第2用途的双方均由本发明的可携带体以无线通信方式进行与终端装置的输入输出，所以也不需要进行连接器的插拔。即使是进行上述的用途切换时，由于进行数据的输入输出时也不需要进行连接器的连接，所以完全没有必要担心连接器的磨损或接触不良。因此，无论是对可携带体还是对终端装置都不需要进行任何维护，所以能够以经济的方式进行结算业务、剪票业务的运营。
进一步，即使本发明的可携带体被弄脏或被水沾湿，也不会因此而使与终端装置的通信中断，即使在使用中稍有疏误，本发明的可携带体仍能正常动作，所以具有持卡者在可携带体的携带和保管上不会有任何心理负担的效果。
上述第2目的，可以通过使上述特定装置备有如下的判定部达到，即，当使可携带体接近进行着电波发送的终端装置时，终端装置与可携带体之间的距离如小于第1规定距离，则判定为可携带体用于第2用途，终端装置与可携带体之间的距离如在第2规定距离以上、第3规定距离以下，则判定为可携带体用于第1用途。
按照这种可携带体，如使可携带体靠近终端装置则可以进行第2用途，如使可携带体远离终端装置则可以进行第1用途，所以能根据离终端装置的远近进行用途的切换，因而持卡者可以简便地进行用途的切换。
上述第3目的，可通过如下方式达到，即，上述判定部，当接收到上述电波时的接收电压超过阈值时，判定为终端装置与可携带体之间的距离小于第1规定距离，当接收到上述电波时的接收电压在阈值以下时，判定为终端装置与可携带体之间的距离在第2规定距离以上、第3规定距离以下。按照这种可携带体，当集成器件接受供电而开始工作时，根据可供给的电能切换应进行哪一种用途，所以，当第1处理的处理负载与第2处理的处理负载不同因而各自的耗电量不同时，可以根据可供给的电力进行用途的切换。即，在结算用途中，与剪票用途相比要求具有高的保密性，所以，必须进行安全性更高的相互认证，并且应传输的数据必须全部加密，因而自然使处理负载增大，但当可携带体在第1规定距离以内时，从终端装置供给的电力将变得非常大，所以能够进行结算用途中所需的保密性高的处理。
进一步，由于集成器件从终端装置接受供电后开始工作，所以不需要在可携带体内部内部装入电池等。因此，能使可携带体的结构轻薄且简单化。
这里，在上述终端装置中，备有输出小于第1规定功率的电波的第1终端装置、及在带有电磁屏蔽的壳体内部装有天线并在该壳体内部向可携带体输出具有第1规定功率的一倍以上的第2规定功率的电波的第2终端装置，上述阈值，在第2规定距离以上、第3规定距离以下的范围内可以根据接收到第1规定功率的电波时的接收电力设定，在小于第1规定距离的范围内可以根据接收到第2规定功率的电波时的接收电力设定。在这种情况下，在第2终端装置侧进行电磁屏蔽等防止电波漏泄到外部的加工，可以将可携带体配置在这种电磁屏蔽的内部从而使可携带体更加靠近终端装置，所以在终端装置与集成器件之间交换的个人信息不会被恶意的第三者非法窃听。如果这种只在接近时才进行的第2处理是对严格要求保密性的个人信息的处理，则集成器件能以不与终端装置侧的内部电路电气接触的方式与终端装置之间进行对严格要求保密性的个人信息的协调处理。这种方式虽然仍承继了与以往的远距离模式IC卡一样的基于远距离通信的与终端装置的协调处理，但由于可以将在以往的远距离模式下从保密性方面考虑并不适用的钱款结算方面的用途也包罗在内，所以能够将个人信息的管理统一于一个可携带体。
另外，由于可以将由第1终端装置供给的电力抑制得很低，所以，即使是在用于供电的电波输出受电波法等国内法令限制的情况下，也能进行与终端装置的协调处理而不违反上述的法令。此外，由于与终端装置的协调处理在电波法上排除了国内法令中的限制，所以在终端装置与可携带体之间可以确保必要的通信距离。
第2用途，是比第1用途要求保密性高的用途，因而，第1处理包含用第1密码密钥将数据加密的加密处理、用第1密码密钥对加密后的数据进行译码的译码处理、相对于由终端装置进行的认证处理用第1密码密钥证明自身正当性的证明处理、及用第1密码密钥认证终端装置的正当性的认证处理中的任何一种处理，第2处理，包含用保密性高于上述第1密码密钥的第2密码钥将数据加密的加密处理、用第2密码密钥对加密后的数据进行译码的译码处理、相对于由终端装置进行的认证处理用第2密码密钥证明自身正当性的证明处理、及用第2密码密钥认证终端装置的正当性的认证处理中的任何一种处理。第2处理，比第1处理的处理负载大，所以上述第2规定功率的值也可以根据处理装置进行第2处理时消耗的电力进行设定。按照这种可携带体，在要求保密性高的第2用途中采用保密性高的密码密钥，所以，这种方式虽然仍承继了与以往的远距离模式IC卡一样的基于远距离通信的与终端装置的协调处理，但由于可以将在以往的远距离模式下从保密性方面考虑并不适用的钱款结算方面的用途也包罗在内，所以能够将个人信息的管理统一于一个可携带体。
这里，上述集成器件，也可以包含具有存储仅用于第1用途的数据的第1区域及存储仅用于第2用途的数据的第2区域的存储装置，上述通信装置，可以备有接收从终端装置以无线方式发出的命令同时将应输出到终端装置的数据以无线方式发送到终端装置的发送接收部，上述处理装置，可以包含访问管理部，当由特定装置特定出任何一种用途时，在第1区域和第2区域中只允许访问分配给特定出的用途的区域，并禁止对其他区域的访问；解码部，用于对由上述发送接收部接收到的命令进行解码；及存储访问部，当上述解码部的解码结果是读命令时，从第1区域或第2区域读出由读命令指示的数据并发送到发送接收部，当解码结果是写命令时，将由写命令指示的数据写入第1区域或第2区域。按照这种可携带体，只允许访问分配给特定出的用途的区域并禁止对其他区域的访问，所以，即使在第2区域中存储着严格要求保密性的个人信息，在通常携带着可携带体的状态下也不可能用恶意的第三者的电波进行非法的读出。
这里，上述集成器件，也可以备有同步时钟信号发生器，当从第1终端装置供给第1规定功率时，将具有基于接收信号中的载波频率的第1频率的同步时钟信号供给处理装置，当从第2终端装置供给第2规定功率时，将具有比第1频率高的第2频率的同步时钟信号供给处理装置。按照这种可携带体，当供给功率增大时，使同步时钟信号的频率提高，所以能使集成器件进行高速的动作。由于以高频的同步时钟信号驱动第2电路，所以可以采用JAVA卡等的多级OS软件。
这里，提供一种与可携带体进行通信的终端装置，在可携带体内设有集成器件，上述集成器件，可以设定为进行规定处理的第1模式、进行保密性高于第1模式的处理的第2模式中的任何一种，终端装置，也可以备有壳体，在其内部装有天线，并带有电磁屏蔽，以便使从天线发射的电波不会有超过规定值的电波发射到装置外部；及通信装置，在将可携带体插入该壳体内部时，在将集成器件设定为第2模式后由天线发射电波，从而与集成器件进行通信。由于在终端装置侧进行电磁屏蔽等防止电波漏泄到外部的加工因而可以将可携带体配置在这种电磁屏蔽的内部从而使可携带体更加接近终端装置，所以在终端装置与集成器件之间交换的个人信息不会被恶意的第三者非法窃听。这种只在接近时才进行的第2模式如果是对严格要求保密性的个人信息的处理，则集成器件能以不与终端装置侧的内部电路电气接触的方式与终端装置之间进行对严格要求保密性的个人信息的协调处理。这种方式虽然仍承继了与以往的远距离模式IC卡一样的基于远距离通信的与终端装置的协调处理，但由于可以将在以往的远距离模式下从保密性方面考虑并不适用的钱款结算方面的用途也包罗在内，所以能够将个人信息的管理统一于一个可携带体。
上述终端装置，也可以至少备有以下各部中的一个，即第1读取部，在将可携带体插入该壳体内部时，从可携带体读取以物理方式指示可携带体的正当性的物理信息；接收部、从持卡者接收指示持卡者本人的正当性的持卡者信息输入；及第2读取部，从持卡者读取指示持卡者本人身体特征的生物信息，上述通信装置，可以利用第1读取部读取的物理个人信息、接收部接收的持卡者信息、及第2读取部读取的生物信息中的至少一种信息确认持卡者或可携带体的正当性，然后将集成器件的状态设定为第2模式。按照这种终端装置，可以按照指示可携带体的正当性的物理信息、指示持卡者本人的正当性的持卡者信息、及指示持卡者本人身体特征的生物信息的组合可靠地确认对可携带体及持卡者的认证的正当性，并能可靠地确立对伪造的防止对策。
附图的简单说明

图1A是表示实施形态的IC卡1的外观的图，图1B是表示实施形态的IC卡1的实际尺寸及其内部结构的图，图1C是表示IC卡的侧面形状的放大图。
图2是表示单片IC3的内部结构的图。
图3是表示ASK方式的调制波的图。
图4是表示电源再生电路7的内部结构的图。
图5是表示同步时钟信号发生电路14的内部结构的图。
图6是用于说明非易失性存储器12及非易失性存储器13的个人信息的存储概念的文氏图。
图7是表示控制器5的内部结构的图。
图8A是表示允许信号生成部29的内部结构的图，图8B是以表的形式示出允许信号生成部29的输出的图。
图9A是表示选择信号生成部34的内部结构的图，图9B是以表的形式示出选择信号生成部34的输出的图。
图10是表示现金支付机60的内部结构的图。
图11A是表示选择信号生成部42a的内部结构的图，图11B是以表的形式示出选择信号生成部42a的输出的图。
图12A是表示允许信号生成部42b的内部结构的图，图12B是以表的形式示出选择信号生成部42b的输出的图。
图13是表示装有第1终端装置的自动剪票机48的图。
图14是表示第1终端装置的内部结构的图。
图15是表示持卡者从衣袋取出IC卡1后靠近第1终端装置并将IC卡1放在第1终端装置的天线上的情况的图。
图16是表示由第1终端装置的控制器55与IC卡1的控制器5进行的通信协议的图。
图17是表示在第1终端装置与IC卡之间进行的相互认证的顺序图。
图18是表示作为现金支付机(现金自动支付机)设置的第2终端装置的一例的图。
图19是表示设有环形天线的专用箱体65的图。
图20是表示怎样将IC卡1从第2终端装置插入到上速环形天线的正下方的图。
图21A是表示使IC卡1与第2终端装置的环形天线66密接而仅留有一点点间隔的状态的图，图21B是表示在使IC卡1与第2终端装置的环形天线66密接而仅留有一点点间隔的状态下发生如箭头y2、y3所示的电波的情况的图，图21C是表示将IC卡1装填在第2终端装置内并使其靠紧高输出功率环形天线的图。
图22是表示第2终端装置的内部结构的图。
图23是表示第2终端装置的控制器73的处理内容的流程图。
图24是表示第2终端装置侧的控制器73与IC卡1侧的控制器7进行协调处理的情况的图。
图25是表示在第1终端装置与IC卡之间进行的相互认证的顺序图。
用于实施发明的最佳形态以下，作为备有集成器件的可携带体的一例，说明实施IC卡1时的实施形态。图1A是表示实施形态的IC卡1的外观的图，图1B是表示实施形态的IC卡1的实际尺寸及其内部结构的图。如图1A所示，当该IC卡1接近到离专用的卡读/写器100(以下简称为R/W100)几cm以上、10cm以内时，与该R/W100进行协调处理。如图1B所示，IC卡1的尺寸为纵53.98mm×横85.60mm×厚0.76mm(该外形尺寸依据由ISO/IEC7810规定的ISO卡尺寸)，持卡者，如图1A图所示，用指尖就可以夹住该IC卡1。在IC卡1的表面上，设有由形成有表示持卡者姓名、识别号码的字符串的凸起部构成的压印部(图1A中的No.181319从AAA BBB)，如图1B所示，在其内部具有4～5匝的环形天线2、及作为集成器件的单片IC3。这里，应注意的一点是，卡本体的厚度仅为0.76mm，因而在其内部不可能装入电池或电源电路。图1C是表示IC卡的侧面形状的放大图。从图1C可以清楚地看出，在IC卡的侧面，与环形天线2、单片IC3有电气接触的连接器、引脚等都没有设置，并被压制成使金属类完全不露出到IC卡的外部。这样，由于连接器、引脚类都没有设置，所以单片IC3必须通过从环形天线接受从终端装置以电波形式供给的电力而被驱动。
接着，说明单片IC3的内部结构。图2是表示单片IC3的内部结构的图。如图2所示，单片IC，包括ASK方式解调电路4、控制器5、BPSK方式调制电路6、电源再生电路7、开关8、开关9、密码电路10、密码电路11、非易失性存储器12、非易失性存储器13、及同步时钟信号发生电路14。
ASK(Amplitude Shift Keying；振幅移位键控)方式解调电路4，对由环形天线2感应的调制波(电波)进行基于包络线检波的解调处理，并将与该调制波的包络线重叠的NRZ(Non-Return-to-Zero；不归零制)方式的数据输出到控制器5。这里，在图3中示出由ASK方式解调电路4解调的调制波的一例。如图3所示，ASK方式的调制波，根据载波的包络线形状示出“01011101”的数据串。此外，该调制波，以被称作ASK10％方式的最大振幅与最小振幅的比率为10∶9的方式进行调制。在ASK10％中，中心频率与数据的频率的峰值差较大，所以可以增大来自终端装置侧的供电量。进一步，该调制波中数据串以106Kbps～424kbps的传送率传输到IC卡1。该传送率，与接触式IC卡的传送率即9600bps(由ISO7816、IS010536规定的传送率)相比，速度相当高，所以能进行高速的数据输入输出，因而可以用相同的时间处理更为大量的数据。
控制器5，进行IC卡1的模式管理(1)，并进行对非易失性存储器12、非易失性存储器13的存储访问(2)。在由控制器5管理的模式(1)中，有将可携带体配置在离终端装置几cm以上、10cm以内的距离内时工作的模式(远距离模式)及一面使终端装置的内部电路与上述集成器件保持非接触状态一面仅当使可携带体与终端装置接近到0mm～5mm的距离时才起动的模式(密接模式)。在远距离模式下，控制器5将对非易失性存储器12输出的CE1信号设定为高电平，并将对密码电路10输出的SE1信号设定为高电平。另一方面，在密接模式下，控制器5将对非易失性存储器12及非易失性存储器13输出的CE2信号设定为高电平，并将对密码电路10及密码电路11输出的SE2信号设定为高电平。
所谓控制器5的存储访问(2)，指的是，根据从终端装置通过环形天线2-ASK方式解调电路4输出到的命令对非易失性存储器12、非易失性存储器13进行数据写入，同时根据从终端装置通过环形天线2-BPSK方式调制电路6输出到的命令进行从非易失性存储器12、非易失性存储器13的数据读出并将其发送到BPSK方式调制电路6-环形天线2。在密接模式中，由于进行重要的个人信息的输入输出，所以必须将从终端装置发送到的数据加密，并由密码电路10对该数据进行译码或再次加密，因而将该译码后的数据或再次加密的数据写入非易失性存储器12、非易失性存储器13。
BPSK(Binary Phase Shift Keying；二进制相移键控)方式调制电路6，对从终端装置输出到的数据串进行负载切换方式的调制、847.5KHz副载波的BPSK方式副调制，并将其输出到第1终端装置。这里，BPSK方式调制电路6的调制方式，是与ASK方式解调电路4不同的调制方式，所以BPSK方式调制电路6可以一面由ASK方式的调制波接受供电，一面进行无线输出。
电源再生电路7，通过对ASK方式的调制波进行整流而得到稳定电压，并供给ASK方式解调电路4、控制器5、BPSK方式调制电路6、密码电路10、密码电路11、非易失性存储器12、非易失性存储器13、及同步时钟信号发生电路14。电源再生电路7的内部结构，示于图4。如该图所示，电源再生电路7，由具有4个二极管、电容器并对由环形天线感应的ASK方式的调制波进行整流的二极管桥式电路15及将来自二极管桥式电路15的信号输出变换为例如3V稳定电压的三端子稳压器16构成。这里，以ASK方式的调制波从终端装置接受的供电，随着与终端装置的距离的缩短程度而增减。因此，出现在该二极管桥式电路15的输出级的电压，与终端装置的距离越短越大。这种随ASK方式调制波的振幅而变化的电压，作为Vdd输出到控制器5。在日本国内使用IC卡1时，在远距离模式下通过电波由电源再生电路7供给的电力必须在10mW以下。其原因是，在日本国内，根据电波法之类的法令，在未获批准的情况下禁止以10mW以上的输出发送电波。与此相反，在密接模式下，通过电波供给的电力可以在10mW以上。其原因是，在带有电磁屏蔽的壳体内IC卡1的环形天线2与终端装置的天线彼此紧密接近时，尽管也受到电波法的限制，但能以10mW以上的输出发送电波。
开关8，在远距离模式下设定为断开状态，仅当由控制器5将SE2信号设定为高电平时时，设定为导通状态。如将开关8设定为导通状态，则电源再生电路7产生的稳定电压及同步时钟信号发生电路14产生的同步时钟信号供给到非易失性存储器13。
开关9，在远距离模式下设定为断开状态，仅当由控制器5将SE2信号设定为高电平时时，设定为导通状态。如将开关9设定为导通状态，则电源再生电路7产生的稳定电压及同步时钟信号发生电路14产生的同步时钟信号供给到密码电路11。
密码电路10，在IC卡1接近终端装置并以远距离模式起动单片IC后与终端装置之间进行双向认证时使用，另外，当以密接模式起动单片IC后与终端装置之间发送接收严格要求保密性的数据时，用于将该数据加密。即，在将通过解调电波而得到的数据加密时，密码电路10对该加密数据进行译码，并输出到控制器5。此外，根据需要，用其他的密钥数据对已加密一次的数据进行再次加密，并输出到控制器5。密码电路10的加密，用保密密钥密码、DES(Data EncyptionSt与ard；数据加密标准)密码、Tr-DES密码等进行。
密码电路11，在IC卡1接近终端装置并以密接模式起动集成器件后与终端装置之间进行双向认证时使用，该密码电路11的加密，用公开密钥密码(椭圆密码或RSA密码(Rivest、Shamir、Adlemanencryption；RSA公开密钥密码系统))进行。
非易失性存储器12，是具有约16Byte存储容量的可写入介质存储器、FeRAM、EEPROM，存储用于远距离模式的个人信息及用于密接模式的个人信息，当输出CE1信号、CE2信号中的任何一个时，进行这些存储内容的读出/写入。
非易失性存储器13，与非易失性存储器12一样，是具有约16Byte存储容量的可写入介质存储器、FeRAM、EEPROM，存储仅用于密接模式的个人信息，当输出CE2信号时，进行这些存储内容的读出/写入。
非易失性存储器12及非易失性存储器13的个人信息存储，按如下方式进行。图6是用于说明非易失性存储器12及非易失性存储器13的个人信息的存储概念的文氏图。在图6的文氏图中，部分集合A是仅用于远距离模式的个人信息集合，部分集合B是仅用于密接模式的个人信息集合，部分集合C表示用于远距离模式-密接模式双方的个人信息。在上述集合中，非易失性存储器12存储部分集合A-部分集合C，非易失性存储器13存储部分集合B。
这里，当IC卡1是金融机构发行的户头使用者卡时，在部分集合C内分配余额。在部分集合B内分配要求高度保密性的大额结算金额，在部分集合A内分配要求方便处理的小额结算金额。另外，当IC卡1是地方自治团体发行的居民卡时，在部分集合C内分配本人的姓名住址。在部分集合B内分配要求高度保密性的本人户口及预扣征税的个人信息，在部分集合A内分配要求方便处理的网球场、会所的预约情况。
同步时钟信号发生电路14，从ASK方式的调制波取得同步时钟信号，并将该同步时钟信号供给控制器5、密码电路10、密码电路11、非易失性存储器12、非易失性存储器13。同步时钟信号发生电路14的内部结构示于图5，该电路包括比较器17，用于进行ASK方式调制波的振幅电压与规定阈值电压的比较，并产生具有载波频率f1的脉冲信号；及分频器18，用于将该脉冲信号的频率f1按N/M倍(N为1以上的整数，M为2以上的整数，并满足N＜M的关系。)进行分频，并输出同步时钟信号。这里，分频器18的分频比，当控制器5输出的SE2信号为低电平时，设定为分频比P1，当控制器5输出的SE2信号为高电平时，设定为分频比P2(P2＞P1)。这里，当载波频率为13.56MHz时，分频比P1，设定为使同步时钟信号频率P1×13.56MHz为1MHz以下的值，分频比P2，设定为使同步时钟信号频率P2×13.56MHz为2MHz以上的值。
之所以将同步时钟信号频率设定为上述的值，是因为同步时钟信号频率将影响到集成器件的耗电量。即，当在日本国内使用IC卡1时，在远距离模式下通过电波供给的电力在10mW以下，所以，由同步时钟信号发生电路14的分频得到的同步时钟信号的频率也必须是使集成器件的耗电量在10mW以下的频率(这种频率就是上述1MHz以下的频率)。相反，由于在密接模式下通过电波供给的电力在10mW以上，所以可以将由同步时钟信号发生电路14的分频得到的同步时钟信号的频率设定为使集成器件的耗电量在10mW以上的频率(这种频率就是上述2MHz以下的频率)。这样，在密接模式下，与远距离模式相比可以供给频率为2倍的同步时钟信号，所以集成器件能以2倍以上的速度进行动作。
接着，说明控制器5的内部结构。图7是表示控制器5的内部结构的图。在图中，控制器5由电压比较电路19、存储控制部20、密码控制部21、MPU22、或电路23、或电路24、或电路25、及或电路26构成。
电压比较电路19，将二极管桥式电路15的输出级电压Vdd与阈值4V进行高低比较，从而将IC卡1的动作模式设定为密接模式-远距离模式中的任何一种。在上述高低比较中，如二极管桥式电路15的输出级侧的电压Vdd高，则设定为密接模式，并使SEL信号上升为高电平，如阈值侧高，则设定为远距离模式，并使SEL信号保持在低电平。
存储控制部20，由根据MPU22的指示进行非易失性存储器12-非易失性存储器13的地址控制的地址生成部27、控制从非易失性存储器12-非易失性存储器13的数据读出及对非易失性存储器12-非易失性存储器13的数据写入的数据控制部28、及允许信号生成部29构成。图8A是表示允许信号生成部29的内部结构的图。在该图中，所谓切换信号CE，是当不是由MPU22自身进行而是由电压比较电路19进行远距离模式-密接模式的模式切换时被设定为高电平的信号，并且是当由MPU自身进行远距离模式-密接模式的模式切换时被设定为低电平的信号。
由MPU22自身进行上述模式切换的情况如下。在电压比较电路19的模式切换中，当IC卡接收终端装置以外的电波而使二极管桥式电路15的电压Vdd偶然升高时，有可能错误地切换到密接模式，当预计到这种错误的切换时，MPU22根据命令进行切换。这里，在图8B中以表的形式表示出怎样根据切换信号CE、Vdd、阈值的组合选择CE1信号及CE2信号。允许信号生成部29，包括与电路30，用于对电压比较电路19输出的SEL信号及切换信号CE进行与运算，如SEL信号及切换信号CE双方都是高电平，则将用于选择非易失性存储器12及非易失性存储器13的CE2信号设定为高电平(参照图8B的密接模式栏)；及与电路31，用于对电压比较电路19输出的SEL信号的反转值及切换信号CE进行与运算，如SEL信号为低电平而切换信号为高电平，则将只用于选择非易失性存储器12的CE1信号设定为高电平(参照图8B的远距离模式栏)。
密码控制部21，由根据存储控制部20的指示控制从密码电路10-密码电路11的数据输入及对密码电路10-密码电路11的数据输出的数据控制部33、及选择信号生成部34构成。图9A是表示选择信号生成部34的内部结构的图。此外，在图9B中，以表的形式表示出怎样根据切换信号CE、Vdd、阈值4V的组合选择SE1信号及SE2信号。从这两个图可以清楚地看出，选择信号生成部34，与允许信号生成部29一样，包括与电路35，如SEL信号及切换信号CE双方都是高电平，则将用于选择密码电路10及密码电路11的SE2信号设定为高电平(参照图9B的密接模式栏)；及与电路36，用于对电压比较电路19输出的SEL信号的反转值及切换信号CE进行与运算，如SEL信号为低电平而切换信号为高电平，则将只用于选择密码电路10的SE1信号设定为高电平(参照图9B的远距离模式栏)。
MPU22具有图10所示的内部结构，其中包括标志存储部37，存储用于指示由电压比较电路19或由自身进行模式切换的标志；切换信号输出部38，当由电压比较电路19进行模式切换时，将切换信号CE设定为高电平，当由自身进行模式切换时，将切换信号CE设定为低电平；命令缓冲器39，如从BPSK方式调制电路6输出NRZ方式的数据串，则将其作为命令取入；命令分析部40，用于对作为命令取入的数据串进行分析；存储期访问部41，用于进行与分析结果对应的存储访问；选择信号生成部42a，当标志被设定为进行模式切换并已设定出进行模式切换的目标时，输出SE1信号、SE2信号；及允许信号生成部42b，当在上述命令中已设定出进行切换的目标时，输出CE1信号、CE2信号。用命令进行模式切换、或用电力进行模式切换，由IC卡1的制造厂商在出厂时决定。此外，所谓用于模式切换的命令，是指后文所述的第1终端装置、第2终端装置为进行轮询而发出的轮询命令。
以下，对图10的构成要素中的允许信号生成部42a、选择信号生成部42b进行说明。
允许信号生成部42a，根据在命令中占4bit的访问指定字段和占4bit的密码指定字段控制SE1信号、SE2信号的输出。图11A是表示允许信号生成部42a的内部结构的图。在图中的上部，示出在轮询命令中占4bit的访问指定字段和占4bit的密码指定字段。怎样根据访问指定字段和占4bit的密码指定字段的组合进行数据读出、数据写入、或使SEI信号、SE2信号中的哪一个变为高电平，如图11B所示。
与电路43，如密码指定字段的低位2 bit为＂00＂、高位2bit为＂11＂，则将＂1＂输出到与电路46及与电路47。
与电路44，如访问指定字段的低位3bit为＂000＂、高位1bit为＂1＂，则将＂1＂输出到与电路46。
与电路45，如访问指定字段的高位2bit为＂01＂、低位2bit为＂00＂，则将＂1＂输出到与电路47。
与电路46，当与电路43输出＂1＂、且与电路44输出＂1＂时，将SE1信号设定为＂1＂、即高电平。
与电路47，当与电路43输出＂1＂、且与电路45输出＂1＂时，将SE2信号设定为＂1＂、即高电平。
通过进行如上所述的输出，即可按图11B所示对密码电路10及密码电路11进行选择。
即，当密码指定字段为12h(=1100)、访问指定字段为8h(=1000)时，使SE1信号变为高电平而选择密码电路10，当密码指定字段为12h(=1100)、访问指定字段为4h(=0100)时，使SE2信号变为高电平而选择密码电路10及密码电路11。
选择信号生成部42b，是根据在轮询命令中占4bit的访问指定字段和占4bit的密码指定字段输出CE1信号、CE2信号的电路，如图12A所示，用与允许信号生成部42a相同的电路构成。此外，怎样根据访问指定字段和密码指定字段的组合进行数据读出、数据写入、或使CEI信号、CE2信号中的哪一个变为高电平，如图12B所示。当访问指定字段为8h(=1000)时，将CE1信号设定为高电平，从而选择非易失性存储器12及非易失性存储器13，而当访问指定字段为4h(=0100)时，将CE2信号设定为高电平，从而只选择非易失性存储器12。
以上，结束对MPU22的说明，接着说明控制器5中剩下的构成要素。图7中的或电路23，用于将从MPU22输出的CE1信号及从允许信号生成部29输出的CE1信号中的任何一个输出到非易失性存储器12。
或电路24，用于将从MPU22输出的CE2信号及从允许信号生成部29输出的CE2信号中的任何一个输出到非易失性存储器13。
或电路25，用于将从MPU22输出的SE1信号及从选择信号生成部34输出的SE1信号中的任何一个输出到非易失性存储器12。
或电路26，用于将从MPU22输出的SE2信号及从选择信号生成部34输出的SE2信号中的任何一个输出到非易失性存储器13。
以上，结束对IC卡1的说明，接着，开始说明第1终端装置。图13是表示装有第1终端装置的自动剪票机48的图。自动剪票机48，安装有在第1终端装置的控制下开闭的入口门49及R/W100。
图14是表示第1终端装置所设有的R/W100(以下将R/W100与第1终端装置作为同一部件进行说明)的内部结构的图，在该图中，第1终端装置，由电源电路50、接口装置51、ASK方式调制电路52、BPSK方式解调调电路53、控制器55、密码电路56构成。
参照图14可以看出，与IC卡1中不具备电源电路不同，第1终端装置备有电源电路50。此外，IC卡1，如不从终端装置获得供电则集成器件就不能动作，但第1终端装置则总是能以内部装有的电源电路50驱动内部电路。进一步，在IC卡1内根本不设置用于进行与其他装置连接的接口装置，但由于第1终端装置必须与车站管理系统的主机装置进行协调处理，所以备有接口装置51。
IC卡1备有ASK方式解调电路4及BPSK方式调制电路6，与此不同，在第1终端装置内备有ASK方式调制电路52及BPSK方式解调调电路53。如上所述，ASK方式的调制波大多可以从电源电路供给，所以第1终端装置通过进行ASK方式的调制方式而将电源电路产生的电力供给向第1终端装置靠近着的IC卡1。另外，IC卡1备有用保密密钥进行加密的密码电路10及用公开密钥进行加密的密码电路11，与此不同，第1终端装置，只备有用保密密钥进行加密的密码电路56，而不具备用公开密钥进行加密的密码电路。
图16是表示由第1终端装置的控制器55与IC卡1的控制器5进行的通信协议的图。以下，边参照图16边对该通信协议进行说明。第1终端装置侧的控制器55，在步骤S1中发出轮询命令，同时在步骤S2中等待接收从IC卡1发出的特定ID号码。通过反复进行上述步骤S1-步骤S2的处理，第1终端装置侧的控制器55，等待着IC卡1的接近。这里，如图15所示，IC卡的持有者从衣袋中取出IC卡1后，接近第1终端装置并将IC卡1放在R/W100(第1终端)上。如放在R/W100)上，则IC卡1接受从第1终端装置的供电而起动，并使IC卡1侧的控制器5转入步骤S3，进入等待接收从第1终端装置发出的轮询命令的状态。在该等待接收的状态下，当从第1终端装置发出轮询命令时，IC卡1侧的控制器5，在步骤S4中发送特定ID号码。当发出上述特定ID号码时，等待着对其进行接收的第1终端装置的控制器55的状态，从步骤S2转移到步骤S6。
另一方面，IC卡1侧的控制器5，在发送特定ID号码后，进行以密接模式起动或以远距离模式起动的判定。这里，判定为以远距离模式起动后，进入步骤S7。
步骤S6和步骤S7，是用保密密钥进行相互认证处理的步骤，如相互认证处理以不正当结束，则第1终端装置的控制器55在步骤S8中将入口门49关闭，并将怀疑持有不正当卡的信息通知系统管理者。
接着，参照图17说明第1终端装置与IC卡之间的相互认证。图17是表示在第1终端装置与IC卡之间进行的相互认证的顺序图。
首先开始进行以第1终端装置侧为主体的相互认证。第1步，在步骤51中，第1终端装置的控制器55，确认ID号码。如果ID号码正当，则第1终端装置侧的控制器55，在步骤52中在第1终端装置中生成随机数，并用预先赋予的保密密钥La对数值A进行加密，然后在步骤S53中将通过加密得到的数值VA发送给IC卡。
在步骤S54中，IC卡1的控制器5，等待接收来自第1终端装置的数值VA。这里，在从第1终端装置发送数值VA后，在步骤S55中用由第1终端装置预先赋予的保密密钥Lb对从第1终端装置发送到的数值VA进行译码。然后，在步骤S56中，将通过译码得到的数值B发送到第1终端装置侧。
另一方面，第1终端装置，在步骤S57中，等待接收从IC卡发送的数值B，如接收到从IC卡发送到的数据，则从步骤S57转移到步骤S59。在步骤S59中，进行所接收的数据B与A是否一致的判定，如二者一致，则判定La=Lb成立，并结束保密密钥的相互认证。如果一致，则结束以第1终端装置侧为主体的相互认证。
在这之后，按同样的步骤，在步骤S60、步骤S61中进行以IC卡侧为主体的相互认证。即，IC卡，除数值B以外还生成随机数J并进行加密，然后将加密后的数值VJ发送到第1终端装置，当从第1终端装置装置发送将其译码后的数值K时，判定该数值是否与数值J一致。如不一致，则相互认证处理以不正当结束，而如果一致，则在步骤S62中将确认命令发送到第1终端装置并结束处理。
在步骤S63中，第1终端装置侧的控制器55，处于等待接收来自IC卡的确认命令的状态，在步骤S63中，如接收到来自IC卡的确认命令，则结束相互认证。
如果相互认证正常结束，则IC卡1侧的控制器5，在图16的步骤S9中等待读命令的发出，第1终端装置侧的控制器55，在步骤S10中，发出读命令，以便读出存储在非易失性存储器12内的乘车区间和定期乘车的有效期间，并在步骤S11中等待接收所读出的数据。当发出读命令时，IC卡1侧的控制器5，从步骤S9转移到步骤S12，并在步骤S12中对读命令进行分析并执行该命令，然后从非易失性存储器12及非易失性存储器13读出乘车区间和定期乘车的有效期间的数据，并在步骤S13中将这些数据发送到第1终端装置，在这之后，在步骤S14中等待写命令的发出。当接收到所读出的数据时，第1终端装置侧的控制器55，参照从IC卡读出的乘车区间和定期乘车的有效期间的数据，判定允许或拒绝持卡者的乘车。当设置着第1终端装置的剪票口在乘车区间之外时，或当定期乘车的有效期间已经结束时，第1终端装置侧的控制器55，将入口门49关闭，拒绝持卡者乘车。当允许持卡者乘车时，第1终端装置侧的控制器55，在步骤S15中发出写命令，并在步骤S16中进入等待数据写入完成通知的状态。
当发出写命令时，IC卡1侧的控制器5，从步骤S14转移到步骤S17，并在步骤S17中对写命令进行分析并执行该命令，然后将该持卡者已搭乘的信息写入非易失性存储器12，同时，在步骤S18中将数据写入完成的通知发送到第1终端装置。如将数据写入完成的通知发送到第1终端装置，则第1终端装置侧的控制器55，从步骤S16转移到由步骤S1-步骤S2构成的环路状态，从而等待下一位持卡者的接近。
接着，说明第2终端装置。第2终端装置，在现金支付机器等结算用途中使用，在图18中示出作为现金支付机(现金自动支付机)设置的第2终端装置的一例。在该图中，现金支付机60，备有IC卡1的插入口61、接受持卡者本人的密码号码、PIN(PersonalIdentification Number；个人身份识别号码)的输入的触摸板62、从持卡者读取本人的脸部轮廓、眼睛的光彩或指纹等生物信息等的生物传感器63、根据卡信息、生物信息、IC卡中的相互认证处理确认了IC卡的持有者的正当性后将现金支付机60中的纸币送到机外的纸币供给口64。这里，第2终端装置与第1终端装置的不同点中最大的不同之处在于天线的设置位置。即，第1终端装置用天线向装置外部发射电波，但第2终端装置不是向装置外部发射电波而是将天线设在带有电磁屏蔽的专用箱体内，以使其只在装置内部发射电波。
图19是表示设有环形天线的专用箱体65的图。在专用箱体65上，设有用于插入IC卡1的插入口61，在箱体内备有环形天线66、将从插入口61插入的IC卡1配置在环形天线66的正下方的卡托盘67、从卡上读取IC卡1本体上的磁性码或压印部等物理记录信息、用光学或光磁方法记录的信息(以下，称作卡信息)的卡传感器68、及从收纳口62收纳IC卡1并装填到纸币供给口64的装填机构(图中未示出)。图20是表示怎样将IC卡1从第2终端装置插入到上述环形天线的正下方的图。在该图中，按箭头y1所示，将IC卡1插入到环形天线66的正下方。当按这种方式插入时，可以构成图21A中的环形天线66与IC卡1的间隔仅为0mm～5mm左右的密接状态。
在这种密接状态下，如对高输出功率环形天线66投入电力，则将产生如图21B的箭头y2、y3所示的电波。这里，由于环形天线66装在带有使从其内部产生的电波不会漏泄的电磁屏蔽的专用箱体65内，所以即使环形天线66发送超过10mW的电力电波时也不会使该电波漏泄到箱体外部。在日本国内，以10mW以上的电力进行发送，是电波法所禁止的，但设在该第2终端装置内部的环形天线，可以用20mW、30mW等超过10mW的电波供给电力。通过这种大功率的供给，IC卡1能以密接模式动作。如供给大功率，则IC卡1侧的集成器件能以高频同步时钟信号进行动作，其内部的控制器5可以驱动高级的应用程序。在这种应用程序中有面向JAVA卡(所谓JAVA卡，是指SUN-MICRO倡导的卡规格)开发的多级OS软件、Japan IC Card SystemApplication council(JIGSAP；日本IC卡系统应用协会)、EMV倡导的软件等。
接着，说明第2终端装置的内部结构。图22是表示第2终端装置的内部结构的图。在图22中，第2终端装置，由电源电路69、接口装置70、ASK方式调制电路71、BPSK方式解调调电路72、控制器73、密码电路74构成，其中，ASK方式调制电路71、BPSK方式解调调电路72与高输出功率环形天线66连接，卡传感器68与控制器73连接。其中，第2终端装置与第1终端装置的不同点在于ASK方式调制电路71及BPSK方式解调调电路72在密接模式下将大于第1终端装置的电力供给IC卡1；密码电路74用保密密钥对数据进行加密及对加密后的数据进行译码并用保密性更高的公开密钥密码进行双向认证。
按如上所述的方式构成的第2终端装置的处理内容，由控制器73统一控制。图23是表示第2终端装置的控制器73的处理内容的流程图。以下，边参照图23边对其通信协议进行说明。第2终端装置侧的控制器73，平时在步骤S21中等待着IC卡1插入到卡托盘67。当持卡者将IC卡从插入口插入时，IC卡1被收纳到第2终端装置内部，从而将IC卡1装填到第2终端装置内部。在插入第2终端装置内的状态下，如图21A所示，IC卡1，与第2终端装置的环形天线66密接而仅留有一点点间隔。由于将IC卡1配置在环形天线66的中央附近，所以如在环形天线66内感应电波则IC卡1将接受到强力的供电。另外，在图21A中，在IC卡1与高输出功率环形天线66之间仅留有0～5mm的间隔，但如果在这种情况下在IC卡1与高输出功率环形天线66之间在电气上仍保持着非接触状态，则也可以如图21C所示使IC卡1靠紧高输出功率环形天线。
在装填IC卡1后，在步骤S22中，第2终端装置侧的控制器73使卡传感器68读取卡信息，并在步骤S23中识别卡信息的正当性。当有磁性码或压印部的欠缺或伪造的迹象因而不能正常读取卡信息时，将该情况警告持卡者后，将IC卡1排出，并从步骤S23转移到步骤S29，将怀疑持有不正当卡的信息通知系统管理者。当正常地进行了卡信息的读取时，从步骤S23进入步骤S24，提示使持卡者进行密码号码的键入。然后，在步骤S25中等待密码号码的键入，并当键入密码号码时，在步骤S26中将卡信息中所包含的密码号码与所键入的密码号码进行对照。当两者不一致时，判定为有非法持有IC卡1的嫌疑，并从步骤S26转移到步骤S29，以便将该信息通知系统管理者。当两者一致时，从步骤S26进入步骤S27，起动生物传感器63，并从IC卡1的持有者读取本人的脸部轮廓、眼睛的光彩或指纹等生物信息等。然后，在步骤S28中，向主机装置查询生物信息。由于在主机装置中具有与所赋予的IC卡1的密码号码、生物信息对应建立的数据库，所以主机装置可以识别其本人是否是正当的持卡者。如果由生物传感器63读取的生物信息与密码号码的组合在数据库中不存在，则有非法取得或伪造该IC卡1的嫌疑，所以从步骤S28转入步骤S29，将该信息通知系统管理者。如果在数据库中存在着由触摸板读取的生物信息与密码号码的组合，则转移到图24的流程图的处理。
在这之后，第2终端装置侧的控制器73与IC卡1侧的控制器7，根据图24的流程图进行协调处理。从图24的流程图可以看出，与图16标以同一参照符号的步骤，与图16的流程图相同。与图16的不同点在于在步骤S1中发出轮询信号之前，在步骤S31中开始从环形天线66的供电；在步骤S5的模式切换中起动密接模式；在步骤S6-步骤S7中进行的采用保密密钥的相互认证处理，置换为在步骤S32一步骤S33中进行的采用公开密钥的相互认证处理；及当根据读命令及写命令进行数据的发送接收时由密码电路10对数据进行加密并将其解密。此外，由第2终端装置发出的轮询命令，与由第1终端装置发出的轮询命令不同。由此，在将IC卡1靠近或装入终端装置时，立即可以得知该终端装置是第1终端装置、第2终端装置中的哪一个装置。
接着，参照图25说明在步骤S32、步骤S33中进行的第2终端装置与IC卡1之间的相互认证。图25是表示在第1终端装置与IC卡之间进行的相互认证处理的顺序图。在步骤S71中，第2终端装置侧的控制器73，确认ID号码。如果ID号码正当，则在步骤S72中在第2终端装置内生成随机数，并对由此而得到的数值D用预先赋予的公开密钥Ma及保密密钥Ha中的公开密钥Ma进行加密，然后将通过加密而得到的数值WD发送到IC卡。
另一方面，IC卡侧的控制器5，在步骤74中处于等待接收数值WD的状态，当发送数值WD时，在步骤S75中，IC卡侧的控制器5，用预先赋予密码电路10的公开密钥Mb及保密密钥Hb中的保密密钥Hb对数值WD的数据进行译码，从而得到作为译码结果的数值E，然后再用公开密钥Mb对数值E进行加密，并得到数值WE。在进行加密后，在步骤S76中，将通过加密得到的数值WE发送到第2终端装置侧。
第2终端装置侧的控制器73，在步骤S77中，等待接收数值WE，并当接收到该数据时，在步骤S78中，第2终端装置侧的控制器73，用保密密钥Ha对来自IC卡的数据WE进行译码。然后，第2终端装置侧的控制器73，在步骤S79中，判定通过译码得到的数值F是否与数值D一致。如果一致，则结束以第2终端装置侧为主体的相互认证。
在这之后，按同样的步骤，在步骤S80、步骤S81中进行以IC卡侧为主体的相互认证。即，IC卡，除数值D以外还生成随机值M，并用公开密钥Ma对该数值M进行加密，然后将加密后的数值WM发送到第2终端装置。第2终端装置，用保密密钥对其进行译码后，用公开密钥进行加密，并发送由此而得到的数值WN。在发送该数值后，判定对其译码而得到的数值N是否与数值M一致。如果不一致，则相互认证处理以不正当结束，如果一致，则在步骤S82中将确认命令发送到第1终端装置并结束处理。
在步骤S83中，第2终端装置侧的控制器55，处于等待接收来自IC卡的确认命令的状态，在步骤S83中，如接收到来自IC卡的确认命令，则结束相互认证。
由于进行上述的处理、可以看出，在密接模式中，与远距离模式相比，能够更为严格地保守秘密。
按照如上所述的本实施形态，在第2终端装置侧进行了电磁屏蔽等防止电波漏泄到外部的加工，所以，如果将可携带体配置在这种电磁屏蔽的内部从而使可携带体更接近终端装置，则在第2终端装置与集成器件之间交换的个人信息不会被恶意的第三者非法窃听。另外，由于IC卡1中的非易失性存储器13只在这种接近状态时才进行动作，所以，如果存储严格要求保密性的个人信息，则IC卡1中的单片IC能以不与终端装置侧的内部电路电气接触的方式与第2终端装置之间进行对严格要求保密性的个人信息的协调处理。由于这种IC卡1与第2终端装置之间的协调处理可以在使集成器件与终端装置侧的内部电路保持非电气接触的状态下进行，所以无论是对IC卡1还是对第2终端装置都不要求任何维护。此外，由于非易失性存储器13的动作只在接近终端装置的情况下进行，所以不要求持卡者进行连接器的插拔之类的操作，因而具有提高方便性的效果。在如上所述的本发明的IC卡1中，虽然仍承继了与以往的远距离模式IC卡1一样的基于远距离通信的与终端装置的协调处理，但由于可以将在以往的远距离模式下从保密性方面考虑并不适用的钱款结算方面的用途也包罗在内，所以能够将个人信息的管理统一于一张IC卡1。
另外，本发明，可以在不改变其要点的范围内进行变更。作为其变更的一例，如以下的(a)(b)(c)(d)所示。
(a)在本实施形态中，进行了假定将第1终端装置安装在车站的自动剪票机内的说明，但也可以将第1终端装置安装在现金支付机内，进行小额金融结算。即，在这种情况下，当在非易失性存储器12内存储着持卡者的姓名和密码号码时，如使IC卡1接近第1终端装置，则第1终端装置通过发出读命令而从IC卡1读出其姓名和PIN。然后，第1终端装置将指示融资金额的写命令发送给IC卡1。IC卡1，在接收到该写命令后，将该融资金额写入非易失性存储器12。在这之后，第1终端装置，指令现金支付机(现金自动支付机)支付融资金额。
(b)也可以将第1终端设置于自动剪票机、而将第2终端装置设置于现金支付机，构成兼有第1终端装置的功能及第2终端装置的功能的终端装置。即，如使IC卡接近到离终端装置几cm～10em以内，则终端装置将单片IC设置为远距离模式后，与IC卡进行电波的发送接收，从而与单片IC之间进行非接触式的输入输出。如使IC卡接近到离终端装置0mm～5mm以内，则将单片IC设置为密接模式后，与IC卡进行电波的发送接收，从而与单片IC之间进行非接触式的输入输出。此外，也可以将由通用计算机执行上述功能的程序记录于计算机可读取的记录媒体，以供使用。即，这里所说的通用计算机，备有ASK方式调制电路-BPSK方式解调调电路，因而如使IC卡接近到离通用计算机几cm～10cm以内，则如上所述的程序将单片IC设置为远距离模式后，与IC卡进行电波的发送接收，从而与单片IC之间进行非接触式的输入输出。如使IC卡接近到离通用计算机0mm～5mm以内，则将单片IC设置为密接模式后，与IC卡进行电波的发送接收，从而与单片IC之间进行非接触式的输入输出。
(c)对密接模式的切换，用天线的接收电压、轮询命令进行，但也可以用IC卡1本体的物理信息、以光学或光磁方法记录于IC卡本体的记录信息、IC卡使用者具有的密码号码、及IC卡持有者的生物信息中的任何一种或这些信息的组合、以及存储在非易失性存储器内的个人信息进行模式的切换。此外，也可以将天线的接收电压及轮询命令与上述这些信息组合使用。
(d)本实施形态，将由MPU22输出的CE1、CE2信号及由允许信号生成部29输出的CE1、CE2信号中的任何一方输出到非易失性存储器12、非易失性存储器13，但也可以仅当由MPU22输出的CE1、CE2信号及由允许信号生成部29输出的CE1、CE2信号双方都输出时才允许对非易失性存储器12、非易失性存储器13进行存储访问。如按这种方式将双方都输出作为模式切换的必要条件，可以严密地进行对密接模式的切换，从而使对IC卡的不正当访问变得更为困难。
另外，还将由MPU22输出的SE1、SE2信号及由选择信号生成部34输出的SE1、SE2信号中的任何一方输出到密码电路10、密码电路11，但也可以仅当由MPU22输出的SE1、SE2信号及由选择信号生成部34输出的SE1、SE2信号双方都输出时才起动密码电路10、密码电路11。
产业上的可应用性本发明，当拥有很多居民、顾客、工作人员的自制团体、交通机构、金融机构、医疗机构使进门业务、剪票业务、结算业务自动化时，适合于将自动剪票机与现金支付机组合使用的用途。
权利要求
1．一种可携带体，用于2种用途，其特征在于在可携带体内设有集成器件，上述集成器件，备有特定装置，当使可携带体接近进行着电波发送的终端装置时，根据来自终端装置的电波特定出可携带体用于哪一种用途；处理装置，当可携带体用于第1用途时进行第1处理，当可携带体用于第2用途时进行第2处理；及通信装置，在用于第1用途，用于第2用途的两种情况下，与终端装置进行无线通信，从而在终端装置与处理装置之间进行非接触式的输入输出。
2．根据权利要求1所述的可携带体，其特征在于上述特定装置，备有判定部，当使可携带体接近进行着电波发送的终端装置时，终端装置与可携带体之间的距离如小于第1规定距离，则判定为可携带体用于第2用途，终端装置与可携带体之间的距离如在第2规定距离以上、第3规定距离以下，则判定为可携带体用于第1用途。
3．根据权利要求2所述的可携带体，其特征在于上述集成器件，以电波形式从上述终端装置接受供电，集成器件所接受的从终端装置供给的电力，随着与终端装置的距离而增减，上述特定装置，备有比较部，当可携带体接近进行着电波发送的终端装置时，用于将天线接收电波时的接收电压与规定的阈值进行比较，上述判定部，当接收到上述电波时的接收电压超过阈值时，判定为终端装置与可携带体之间的距离小于第1规定距离，当接收到上述电波时的接收电压在阈值以下时，判定为终端装置与可携带体之间的距离在第2规定距离以上、第3规定距离以下。
4．根据权利要求3所述的可携带体，其特征在于在上述终端装置中，备有输出小于第1规定功率的电波的第1终端装置、及在带有电磁屏蔽的壳体内部装有天线并在该壳体内部向可携带体输出具有第1规定功率的一倍以上的第2规定功率的电波的第2终端装置，上述阈值，在第2规定距离以上、第3规定距离以下的范围内，根据接收到第1规定功率的电波时的接收电力设定，在小于第1规定距离的范围内，根据接收到第2规定功率的电波时的接收电力设定。
5．根据权利要求4所述的可携带体，其特征在于第2用途，是比第1用途要求保密性高的用途，第1处理，包含用第1密码密钥将数据加密的加密处理、用第1密码密钥对加密后的数据进行译码的译码处理、对于由终端装置进行的认证处理用第1密码密钥证明自身正当性的证明处理、及用第1密码密钥认证终端装置的正当性的认证处理中的任何一种处理，第2处理，包含用保密性高于上述第1密码密钥的第2密码钥将数据加密的加密处理、用第2密码密钥对加密后的数据进行译码的译码处理、对于由终端装置进行的认证处理用第2密码密钥证明自身正当性的证明处理、及用第2密码密钥认证终端装置的正当性的认证处理中的任何一种处理，第2处理比第1处理的处理负载大，上述第2规定功率的值根据处理装置进行第2处理时消耗的电力进行设定。
6．根据权利要求5所述的可携带体，其特征在于上述集成器件，包含具有存储仅用于第1用途的数据的第1区域及存储仅用于第2用途的数据的第2区域的存储装置，上述通信装置，备有接收从终端装置以无线方式发出的命令同时将应输出到终端装置的数据以无线方式发送到终端装置的发送接收部，上述处理装置，包含访问管理部，当由特定装置特定出任何一种用途时，在第1区域和第2区域中只允许访问分配给特定出的用途的区域，并禁止对其他区域的访问；解码部，用于对由上述发送接收部接收到的命令进行解码；及存储访问部，当上述解码部的解码结果是读命令时，从第1区域或第2区域读出由读命令指示的数据并发送到发送接收部，当解码结果是写命令时，将由写命令指示的数据写入第1区域或第2区域。
7．根据权利要求4所述的可携带体，其特征在于上述集成器件，备有同步时钟信号发生器，当从第1终端装置供给第1规定功率时，将具有基于接收信号中的载波频率的第1频率的同步时钟信号供给处理装置，当从第2终端装置供给第2规定功率时，将具有比第1频率高的第2频率的同步时钟信号供给处理装置。
8．根据权利要求1所述的可携带体，其特征在于在上述终端装置中，备有通过输出调制第1轮询命令后的电波而进行轮询的第1终端装置，及通过输出调制第2轮询命令后的电波而进行轮询的第2终端装置，上述特定装置，备有判定部，当输送可携带体并使其接近通过发送电波而进行轮询的第1终端装置、第2终端装置中的任何一个时，用于判定由所发送的电波调制的命令中包含着第1轮询命令、第2轮询命令中的哪一个命令，当判定包含着第1轮询命令时，特定为可携带体用于第1用途，当判定包含着第2轮询命令时，特定为可携带体用于第2用途。
9．一种终端装置，与可携带体进行通信，其特征在于在可携带体内设有集成器件，上述集成器件，设定为进行规定处理的第1模式、进行保密性高于第1模式的处理的第2模式中的任何一种，终端装置，备有壳体，在其内部装有天线，并带有电磁屏蔽，以便使从天线发射的电波不会有超过规定值的电波发射到装置外部；及通信装置，在将可携带体插入该壳体内部时，将集成器件设定为第2模式后由天线发射电波，从而与集成器件进行通信。
10．根据权利要求9所述的终端装置，其特征在于上述终端装置，至少备有以下各部中的一个，即第1读取部，在将可携带体插入该壳体内部时，从可携带体读取以物理方式指示可携带体的正当性的物理信息；接收部，从持卡者接收指示持卡者本人的正当性的持卡者信息输入、及第2读取部，从持卡者读取指示持卡者本人身体特征的生物信息，上述通信装置，利用第1读取部读取的物理个人信息、接收部接收的持卡者信息、及第2读取部读取的生物信息中的至少一种信息确认持卡者或可携带体的正当性，然后将集成器件的状态设定为第2模式。
11．一种通信系统，由可携带体、第1终端装置、第2终端装置构成，该通信系统的特征在于在可携带体内，设有被设定为进行规定处理的第1模式、进行保密性高于第1模式的处理的第2模式中的任何一种的集成器件，上述第1终端装置，备有第1通信装置，如使可携带体靠近，则将集成器件设定为第1模式后，与可携带体进行电波的发送接收，从而在与集成器件之间进行非接触式的输入输出，第2终端装置，备有壳体，在其内部装有天线，并带有电磁屏蔽，以便使从天线发射的电波不会有超过规定值的电波发射到装置外部；及第2通信装置，在将可携带体插入该壳体内部时，将集成器件设定为第2模式后由天线发射电波并与可携带体进行电波的发送接收，从而在与集成器件之间进行非接触式的输入输出。
12．一种通信方式，用于由可携带体、第1终端装置、第2终端装置构成的通信系统，该通信方式的特征在于在可携带体内，设有被设定为进行规定处理的第1模式、进行保密性高于第1模式的处理的第2模式中的任何一种的集成器件，上述第1终端装置，如使可携带体靠近，则将集成器件设定为第1模式后，与可携带体进行电波的发送接收，从而在与集成器件之间进行非接触式的输入输出，第2终端装置，具有在其内部装有天线并带有电磁屏蔽以便使从天线发射的电波不会有超过规定值的电波发射到装置外部的壳体，在将可携带体插入该壳体内部时，将集成器件设定为第2模式后由天线发射电波并与可携带体进行电波的发送接收，从而在与集成器件之间进行非接触式的输入输出。
13．一种终端装置，与可携带体进行数据的输入输出，其特征在于在可携带体内设有被设定为进行规定处理的第1模式、进行保密性高于第1模式的处理的第2模式中的任何一种的集成器件，上述终端装置，备有第1通信装置，如使可携带体接近到离终端装置的距离为第2规定距离以上、第3规定距离以下，则将集成器件设定为第1模式后，与可携带体进行电波的发送接收，从而在与集成器件之间进行非接触式的输入输出；及第2通信装置，如使可携带体接近到离终端装置的距离小于第1规定距离，则将集成器件设定为第2模式后，与可携带体进行电波的发送接收，从而在与集成器件之间进行非接触式的输入输出。
14．一种计算机可读取的记录媒体，用于记录执行与可携带体之间的数据输入输出的程序并可由计算机读取，该记录媒体的特征在于在可携带体内设有被设定为进行规定处理的第1模式、进行保密性高于第1模式的处理的第2模式中的任何一种的集成器件，上述程序，由计算机执行如下步骤，即第1步骤，如使可携带体接近到离终端装置的距离为第2规定距离以上、第3规定距离以下，则将集成器件设定为第1模式后，与可携带体进行电波的发送接收，从而在与集成器件之间进行非接触式的输入输出；及第2步骤，如使可携带体接近到离终端装置的距离小于第1规定距离，则将集成器件设定为第2模式后，与可携带体进行电波的发送接收，从而在与集成器件之间进行非接触式的输入输出。
15．一种通信方式，用于可携带体与终端装置之间的通信，该通信方式的特征在于在可携带体内，设有被设定为进行规定处理的第1模式、进行保密性高于第1模式的处理的第2模式中的任何一种的集成器件，上述终端装置，如使可携带体接近到离终端装置的距离为第2规定距离以上、第3规定距离以下，则将集成器件设定为第1模式后，与可携带体进行电波的发送接收，从而在与集成器件之问进行非接触式的输入输出，如使可携带体接近到离终端装置的距离小于第1规定距离，则将集成器件设定为第2模式后，与可携带体进行电波的发送接收，从而在与集成器件之间进行非接触式的输入输出。
全文摘要
在IC卡1的集成器件内,备有在将可携带体配置于终端装置发射的电波的电波区内并由上述天线供给电力时通过该电力供给而进行访问的非易失性存储器12及通过与第1终端装置协调而进行双向认证的密码电路10。与此同时,在集成器件内,还备有仅当将可携带体配置于靠近终端装置具有的天线并从天线向可携带体侧供给更大的电力时通过该电力供给而进行访问的非易失性存储器13及通过与第1终端装置协调而进行双向认证的密码电路11。如将严格要求保密性的个人信息存储在该非易失性存储器13内并由密码电路11进行访问该非易失性存储器13时的双向认证,则个人信息的保护将万无一失。
文档编号G06K7/08GK1321281SQ9981168
公开日2001年11月7日 申请日期1999年7月30日 优先权日1998年7月31日
发明者吾妻正道 申请人:松下电子工业株式会社