-
HINTERGRUND DER ERFINDUNG
-
Gebiet der Erfindung
-
Die
Erfindung betrifft eine Chipkarte (IC-Karte), ein tragbares Endgerät und ein
Zugriffssteuerungsverfahren.
-
Verwandter technischer Hintergrund
-
In
den letzten Jahren wurden tragbare Endgeräte entwickelt, die mit entnehmbaren
IC-Karten (die IC-Chips enthalten) versehen sind, und zwar mit fortschreitender
Multifunktionalität
tragbarer Endgeräte
und mit Verwirklichung von Aufzeichnungsmedien großer Kapazität. Eine
Chipkarte (IC-Karte)
enthält
benutzerspezifische Daten, wie etwa Information zum Identifizieren
eines Benutzers (ID, Passwort etc.) und eine Telefonnummer, und
diese Daten sind normalerweise verschlüsselt, um eine Fälschung oder
eine Nachbildung von diesen, oder eine Fälschung der Chipkarte zu verhindern.
-
Andererseits
hat die Zunahme der Funkkommunikationsgeschwindigkeit und die Entwicklung
von Datenkompressionstechniken Informationskommunikationssysteme
zur praktischen Verwendung gebracht, die ermöglichen, dass tragbare Endgeräte sich über Netze,
wie beispielsweise das Internet und andere, gewünschte Dateninhalte von Servergeräten beschaffen.
Bei elektronischen Transaktionen, welche derartige Systeme nutzen,
werden manchmal elektronische Werte als Zahlungsmittel ohne Verwendung
von Kreditkarten oder Bargeld verwendet.
-
EP 0,950,968 offenbart ein
mobiles elektronisches Handelssystem, um über ein drahtloses Kommunikationsmittel
einen benötigten
Betrag unter Verwendung eines elektronischen Geldbeutels zu zahlen,
der eine drahtlose Kommunikationseinrichtung beinhaltet, und um
von einer Versorgungsseite ein Produkt oder eine Dienstleistung,
oder eine benötigte Erlaubnis
zu empfangen, ist eine Diensteinrichtung vorgesehen, um den elektronischen
Geldbeutel und die Versorgungsseite über die Kommunikationseinrichtung
zu verbinden. Die Diensteinrichtung installiert im elektronischen
Geldbeutel, über
die Kommunikationseinrichtung, ein Programm für eine elektronisch verkehrsfähige Karte.
Der elektronische Geldbeutel verwendet die installierte elektronisch
verkehrsfähige
Karte, um von der Versorgungsseite ein Produkt oder eine Dienstleistung,
oder eine benötigte Erlaubnis
zu erhalten. Der Abrechnungsprozess unter Verwendung der verkehrsfähigen Karte
wird durch den elektronischen Geldbeutel und die Versorgungsseite über die
Kommunikationseinrichtung durchgeführt. Die Daten, die im elektronischen
Geldbeutel und bei der Versorgungsseite gespeichert sind, werden,
in Entsprechung zum Abrechnungsprozess, zur Diensteinrichtung zu
einem vorbestimmten Zeitpunkt übertragen
und werden durch die Diensteinrichtung verwaltet.
-
EP 1,069,539 offenbart ein über Netzverbindung
verfügendes
elektronisches Ticket, bei dem ein Server Daten an ein mobiles Endgerät sendet,
wenn der Server ein Ersuchen nach Zertifizierung empfängt (siehe
beispielsweise
9 von
EP 1,069,539 ).
-
US 6,101,477 offenbart eine
SmardCard-Vorrichtung, die konfiguriert ist, um mit einer externen
Vorrichtung zu kommunizieren, um eine Transaktion durchzuführen.
-
Bei
einem elektronischen Wert handelt es sich um digitalisierte Daten,
die eine gewissen ökonomischen
Wert ausdrücken
oder in denen ein gewisser ökonomischer
Wert in verwandelter Form vorliegt. Beispiele dieser elektronischen
Werte beinhalten elektronisches Geld (auch als elektronisches Bar geld
oder elektronische Währung
bezeichnet), das einen monetären
Wert ausdrückt,
elektronische Tickets, die in Prepaid-Systemen (Vorauszahlungssystemen)
vorgesehen sind, usw. Ein elektronisches Ticket enthält einen
Datensatz, der angezeigt werden soll, um die Funktion des elektronischen
Tickets durchzuführen
(die Daten werden nachfolgend als "substantielle Information") bezeichnet.
-
INHALT DER ERFINDUNG
-
Jedoch
weist der zuvor beschriebene Stand der Technik das nachfolgend beschriebene
Problem auf. Und zwar kann, da die Chipkarte im tragbaren Endgerät entnehmbar
montiert ist, der Benutzer des tragbaren Endgerätes die gleiche Chipkarte in
einer Mehrzahl von tragbaren Endgeräten verwenden, und zwar durch
Einführen
und Entnehmen der Chipkarte. Um dem Benutzer des tragbaren Endgerätes zu ermöglichen,
den zuvor erwähnten
elektronischen Wert zu nutzen, und dabei in effektiver Weise eine
derartige Annehmlichkeit der Chipkarte zu nutzen, ist es erwünscht, den
elektronischen Wert auf der Chipkarte zu speichern.
-
Jedoch
bestehen beim Speichern des elektronischen Wertes auf der Chipkarte
Bedenken in Bezug auf folgenden Nachteil. Und zwar erfolgt, mit
zunehmender Kapazität
von in den tragbaren Endgeräten
gespeicherten Daten und mit einer Entwicklung der Funkkommunikationstechniken,
eine rasche Zunahme der Typen von Anwendungsprogrammen, die in die
tragbaren Endgeräte
heruntergeladen werden können.
Demgemäß ergeben
sich, falls ein Zugriff auf den elektronischen Wert gemäß Zugriffsanfragen aller
im tragbaren Endgerät
gespeicherten Anwendungsprogrammen gestattet ist, Bedenken betreffend
eine unbefugte Verwendung des elektronischen Wertes, was in Bezug
auf die Sicherheit unerwünscht ist.
-
In
Anbetracht der zuvor beschriebenen Umstände ist daher ein Ziel der
Erfindung, eine Chipkarte, ein tragbares Endgerät und ein Zugriffssteuerungs verfahren
zu realisieren, die ein Speichern und Auslesen eines elektronischen
Wertes unter Beibehaltung großer
Sicherheit erlauben.
-
Um
das zuvor beschriebene Problem zu lösen, ist eine Chipkarte gemäß der Erfindung
eine Chipkarte, die an ein mobiles Endgerät angepasst ist, das ein Anwendungsprogramm
beinhaltet, aufweisend:
eine Speichereinrichtung für elektronische
Werte, die einen elektronischen Wert speichert, der substantielle
Information und eine Zugriffsliste beinhaltet, aufweisend einen
Betreffsbereich, der Daten von Zertifikaten enthält, einen Zertifikattypbereich,
der Zertifikattypen bezeichnende Daten enthält, und einen Zugriffsinformationsbereich,
welcher es ermöglicht, dass
die Chipkarte zugreifbare Information des elektronischen Wertes,
die vom Anwendungsprogramm angezeigt werden darf, in korrekter Weise
auswählt, und
zwar gemäß einem
vom Anwendungsprogramm gehaltenen Zertifikattyp;
eine Anfrageermittlungseinrichtung,
die eine Zugriffsanfrage des Anwendungsprogramms auf den in der Elektronikwert-Speichereinrichtung
gespeicherten elektronischen Wert ermittelt, und zwar gemeinsam mit
Authentifizierungsinformation der Anwendung, die eine digitale Signatur
und ein öffentliches
Schlüsselzertifikat
beinhaltet, die vom Anwendungsprogramm gehalten werden;
eine Überprüfungseinrichtung,
welche die Gültigkeit der
Authentifizierungsinformation der Anwendung in Übereinstimmung mit der von
der Anfrageermittlungseinrichtung ermittelten Zugriffsanfrage bestimmt;
und
eine Ausgabeeinrichtung, welche an das Anwendungsprogramm
die zugreifbare Information des elektronischen Wertes entsprechend
dem vom Anwendungsprogramm gehaltenen Zertifikattyp ausgibt, wenn
die Überprüfungseinrichtung
bestimmt, dass die Authentifizierungsinformation der Anwendung gültig ist.
-
Ein
Zugriffssteuerungsverfahren der Erfindung ist ein Zugriffssteuerungsverfahren,
bei dem eine Chipkarte, die an ein mobiles Endgerät angepasst
ist, das ein Anwendungsprogramm beinhaltet, eine Zugriffsanfrage
eines Anwendungsprogramms ermittelt, wobei das Zugriffssteuerungsverfahren
beinhaltet:
einen Anfrageermittlungsschritt, bei dem die Chipkarte
die vom Anwendungsprogramm kommende Anfrage für ein Zugreifen auf einen elektronischen
Wert ermittelt, der in der Elektronikwert-Speichereinrichtung der
Chipkarte gespeichert ist, und zwar gemeinsam mit einer Anwendungsauthentifizierungsinformation, die
eine digitale Signatur und ein öffentliches
Schlüsselzertifikat
beinhaltet, die vom Anwendungsprogramm gehalten werden, wobei der
elektronische Wert substantielle Information und eine Zugriffsliste aufweist,
aufweisend einen Betreffsbereich, der Daten von Zertifikaten enthält, einen
Zertifikattypbereich, der Zertifikattypen bezeichnende Daten enthält, und
einen Zugriffsinformationsbereich, welcher es ermöglicht,
dass die Chipkarte zugreifbare Information des elektronischen Wertes,
die vom Anwendungsprogramm angezeigt werden darf, in korrekter Weise
auswählt,
und zwar gemäß einem
vom Anwendungsprogramm gehaltenen Zertifikattyp;
einen Überprüfungsschritt,
bei dem die Chipkarte die Gültigkeit
der Anwendungsauthentifizierungsinformation in Übereinstimmung mit der beim
Zugriffsermittlungsschritt ermittelten Zugriffsanfrage bestimmt; und
einen
Ausgabeschritt, bei dem, wenn beim Überprüfungsschritt bestimmt wird,
dass die Authentifizierungsinformation der Anwendung gültig ist,
die Chipkarte an das Anwendungsprogramm die zugängliche Information des elektronischen
Wertes entsprechend dem vom Anwendungsprogramm gehaltenen Zertifikattyp
ausgibt.
-
Gemäß diesen
Aspekten der Erfindung wird, wenn bestimmt wurde, dass die Anwendungsauthentifizierungsinformation,
die gemeinsam mit der Zugriffsanfrage des Anwendungsprogramms auf
den elektronischen Wert ermittelt wurde, gültig ist, die zugreifbare Information
des elektronischen Wertes an das Anwendungsprogramm ausgegeben.
Und zwar gestattet die Chipkarte eine Zugriffsanfrage von einem
Anwendungsprogramm mit gültiger Anwendungsauthentifizierungsinformation,
weist jedoch eine Zugriffsanfrage von einem Anwendungsprogramm ohne
gültige
Anwendungsauthentifizierungsinformation zurück. Dies ermöglicht,
dass die Chipkarte den Zugriff auf den elektronischen Wert gemäß dem Anwendungsprogramm
steuert und es auf diese Weise realisierbar macht, Speichern und Auslesen
des elektronischen Wertes unter Beibehaltung großer Sicherheit zu realisieren.
-
Bei
der Erfindung beinhaltet die Anwendungsauthentifizierungsinformation
die digitale Signatur und das öffentliche
Schlüsselzertifikat. Wenn
die Chipkarte konfiguriert ist, um die Gültigkeit des Anwendungsprogramms,
das um einen Zugriff ersucht hat, zu bestimmen, kann die Zugriffssteuerung,
basierend auf der Kombination aus digitaler Signatur und öffentlichem
Schlüsselzertifikat,
mit einem höheren
Grad an Genauigkeit durchgeführt
werden. Als Folge wird es durchführbar,
das Speichern und Auslesen des elektronischen Wertes unter Beibehaltung
eines höheren
Sicherheitsniveaus in der Chipkarte durchzuführen.
-
Bei
der Chipkarte gemäß der Erfindung
beinhaltet die Anwendungsauthentifizierungsinformation weiter vorzugsweise
ein Attributzertifikat.
-
Beim
Zugriffssteuerungsverfahren der Erfindung beinhaltet die Anwendungsauthentifizierungsinformation
weiter vorzugsweise ein Attributzertifikat.
-
Die
Privileginformation des öffentlichen Schlüsselzertifikats
ist innerhalb eines Gültigkeitszeitraums
festgelegt, hingegen ist es dem Benutzer für die Privileginformation des
Attributzertifikats gestattet, einen Gültigkeitszeitraum unabhängig von dem öffentlichen
Schlüsselzertifikat
festzulegen. Gemäß diesen
Aspekten der Erfindung kann der Benutzer daher ohne Weiteres die
Privileginformation des Zertifikates ändern, ohne dass eine Notwendigkeit
für eine
Prozedur zur erneuten Ausstellung eines weiteren Zertifikates besteht.
-
Die
Chipkarte gemäß der Erfindung
kann in einer Konfiguration aufgebaut sein, die weiter aufweist:
eine Einrichtung zum Speichern physischer Information, welche ein
physisches Informationselement speichert, das ein physisches Merkmal
einer Hauptperson angibt; und eine Bestimmungseinrichtung, welche
das physische Informationselement, das in der Einrichtung zum Speichern
der physischen Informationen gespeichert ist, einem physischen Informationselement
eines Benutzers zuordnet, der die Zugriffsanfrage vorgenommen hat,
um die Identität der
physischen Informationselemente zu bestimmen, wobei, wenn die Bestimmungseinrichtung
bestimmt, dass die physischen Informationselemente identisch zueinander
sind, die Anfrageermittlungseinrichtung Benutzerauthentifizierungsinformation
ermittelt, die das Ergebnis der Bestimmung reflektieren, wobei die Überprüfungseinrichtung
eine Gültigkeit
der Benutzerauthentifizierungsinformation in Übereinstimmung mit der durch
die Anfrageermittlungseinrichtung ermittelten Zugriffsanfrage bestimmt,
und wobei, wenn die Überprüfungseinrichtung
bestimmt, dass die Benutzerauthentifizierungsinformation gültig ist,
die Ausgabeeinrichtung an das Anwendungsprogramm die zugängliche
Information des elektronischen Wertes ausgibt.
-
Das
Zugriffssteuerungsverfahren gemäß der Erfindung
kann als ein Verfahren konfiguriert sein, das weiter einen Bestimmungsschritt
beinhaltet, bei dem die Chipkarte ein physisches Informationselement,
das ein physisches Merkmal einer Hauptperson angibt, das in einer
Einrichtung zum Speichern von physischer Information der Chipkarte
gespeichert ist, mit einem physischen Informationselement eines
Benutzers, der die Zugriffsanfrage vorgenommen hat, abgleicht, um
die Identität
der physischen Informationselemen te zu bestimmen, wobei der Anfragenermittlungsschritt
so konfiguriert ist, dass, wenn beim Bestimmungsschritt bestimmt
wird, dass die physischen Informationselemente identisch zueinander
sind, die Chipkarte eine Benutzerauthentifizierungsinformation ermittelt,
die das Ergebnis der Bestimmung widerspiegelt, wobei der Überprüfungsschritt
so konfiguriert ist, dass die Chipkarte die Gültigkeit der Benutzerauthentifizierungsinformation
in Übereinstimmung
mit der beim Zugriffsermittlungsschritt ermittelten Zugriffsanfrage
bestimmt, und wobei der Ausgabeschritt so konfiguriert ist, dass,
wenn beim Überprüfungsschritt
bestimmt wird, dass die Benutzerauthentifizierungsinformation gültig ist,
die Chipkarte die zugreifbare Information des elektronischen Wertes
an das Anwendungsprogramm ausgibt.
-
Gemäß diesen
Aspekten der Erfindung wird, wenn bestimmt wird, dass das physische
Informationselement der Hauptperson (eine reguläre registrierte Person der
Chipkarte) zum physischen Informationselement des Benutzers, der
die Zugriffsanfrage vorgenommen hat, identisch ist, die zugreifbare Information
des elektronischen Wertes an das Anwendungsprogramm ausgegeben,
und zwar führt
die Chipkarte eine Personenidentifikation mit Bezug auf die physische
Information durch, so dass eine Zugriffsanfrage, die auf einer Anweisung
der Hauptperson basiert, zugelassen wird, jedoch eine Zugriffsanfrage,
die auf einer Anweisung von jeder anderen Person als der Hauptperson
basiert, zurückgewiesen wird.
Dies ermöglicht
die Zugriffssteuerung basierend auf der Kombination aus der Anwendungsprogrammauthentifizierung
und der Benutzerauthentifizierung, und vergrößert weiter das Sicherheitsniveau der
Chipkarte.
-
Bei
der Chipkarte der Erfindung sind die physischen Informationselemente
vorzugsweise Fingerabdruck-Informationselemente.
-
Beim
Zugriffssteuerungsverfahren der Erfindung sind die physischen Informationselemente
vorzugsweise Fingerabdruck-Informationselemente.
-
Gemäß diesen
Aspekten der Erfindung werden die Fingerabdruck-Informationselemente als Informationen
verwendet, welche das physische Merkmal der Hauptperson angeben,
und zwar zur Personenidentifizierung des Benutzers, der die Zugriffsanfrage
vorgenommen hat. Demgemäß kann,
durch eine derartige einfache Operation, dass der Benutzer eine
Fingerabdruck-Leseeinrichtung einen Fingerabdruck eines Fingers
lesen lässt,
die Chipkarte eine genaue Personenidentifikation durchführen, und zwar
im Vergleich zu Authentifizierungsverfahren, die eine persönliche Identifikationsnummer
oder ein Passwort verwenden. Die für die Benutzerauthentifizierung
verwendete physische Information ist nicht auf die Fingerabdruck-Information eingeschränkt, sondern
es kann sich beispielsweise um Information betreffend die Iris oder
die Netzhaut des Auges, ein Stimmspektrum, ein Gesichtsbild oder
dergleichen handeln. Eine derartige Benutzerauthentifizierung, welche
die physische Information verwendet, ist vom Prinzip her extrem
widerstandsfähig
gegen Manipulationen und trägt
zu einer äußerst genauen
Personenidentifizierung bei.
-
Bei
der Chipkarte gemäß der Erfindung
ist die Zugriffsanfrage stärker
bevorzugt eine Anfrage zum Anzeigen der substantiellen Information,
und die Ausgabeeinrichtung veranlasst die Anzeigeeinrichtung, die
substantielle Information des elektronischen Wertes in Übereinstimmung
mit der Anzeigeanfrage anzuzeigen.
-
Beim
Zugriffssteuerungsverfahren der Erfindung ist die Zugriffsanfrage
stärker
bevorzugt eine Anfrage zum Anzeigen der substantiellen Information,
und beim Ausgabeschritt veranlasst die Chipkarte die Anzeigeeinrichtung,
die substantielle Information des elektronischen Wertes in Übereinstimmung mit
der Anzeigeanfrage anzuzeigen.
-
Von
diesen elektronischen Werten kann eine beträchtliche Anzahl elektronischer
Werte, die Funktionen, die für
diese spezifisch sind, lediglich dann durchführen, wenn diese auf der Anzeigeeinrichtung angezeigt
(visualisiert) werden, in der Art von elektronischen Tickets (=
Fahrscheinen oder Eintrittskarten). Speziell im Fall derartiger
elektronischer Werte ist daher zu erwarten, dass es sich bei der
Anfrage zum Zugreifen auf den elektronischen Wert um eine Anfrage
zum Anzeigen der substantiellen Information des elektronischen Wertes
handelt. Aus diesem Grund wird die substantielle Information aus
der Chipkarte ausgelesen und auf der Anzeigeeinrichtung angezeigt,
woraufhin dem Benutzer gestattet wird, den elektronischen Wert zu
lesen.
-
Bei
der Chipkarte der Erfindung ist der elektronische Wert vorzugsweise
ein elektronisches Ticket (= Fahrschein oder Eintrittskarte).
-
Beim
Zugriffssteuerungsverfahren der Erfindung ist der elektronische
Wert vorzugsweise ein elektronisches Ticket.
-
Bei
Empfang einer Anfrage zum Anzeigen eines elektronischen Tickets
von einem Anwendungsprogramm überprüft die Chipkarte
die Gültigkeit
des Anwendungsprogramms, wodurch verhindert wird, dass die substantielle
Information des elektronischen Tickets durch ein Anwendungsprogramm
angezeigt wird, dessen Gültigkeit
noch nicht überprüft wurde. Dies
kann eine unbefugte Verwendung des elektronischen Tickets verhindern.
Im Vergleich zur elektronischem Geld erfolgt bei elektronischen
Tickets eine beabsichtigte Verwendung häufig, und diese zieht geringere
Bedenken betreffend unbefugte Verwendung mit sich. Demgemäß kann ein
Aussteller von elektronischen Tickets die elektronischen Tickets
sicherer und effizienter vertreiben.
-
Bei
der Chipkarte der Erfindung verfügt
die Einrichtung zum Speichern des elektronischen Wertes stärker bevorzugt über Widerstandsfähigkeit
gegen unbefugte Eingriffe.
-
Beim
Zugriffssteuerungsverfahren der Erfindung verfügt, stärker bevorzugt, die Einrichtung
zum Speichern des elektronischen Wertes über Widerstandsfähigkeit
gegen unbefugte Eingriffe.
-
Gemäß der Erfindung
wird der elektronische Wert in der Einrichtung zum Speichern des
elektronischen Wertes mit Widerstandsfähigkeit gegen unbefugte Eingriffe
gespeichert. Dies schränkt
einen Zugriff von außen
auf den elektronischen Wert ein. Daher ist es durchführbar, unrechtmäßige Vorgänge, einschließlich Fälschung,
Diebstahl etc. der substantiellen Information durch eine dritte
Person zu verhindern. Als Ergebnis ist es durchführbar, eine Sicherheit des
elektronischen Wertes und eine Vertraulichkeit der Chipkarte zu
gewährleisten.
-
Ein
tragbares Endgerät
gemäß der Erfindung beinhaltet
die zuvor erwähnte
entnehmbar montierte Chipkarte, und eine Anwendungsprogramm-Speichereinrichtung,
in der das Anwendungsprogramm gespeichert ist. Die Erfindung kann
nicht nur, wie in diesem Fall, auf die Chipkarten angewandt werden, sondern
kann selbstverständlich
auch auf die tragbaren Endgeräte
angewandt werden.
-
Ein
umfassenderes Verständnis
der Erfindung ist anhand der nachfolgenden detaillierten Beschreibung
und den anliegenden Zeichnungen möglich, die sich lediglich beispielhaft
verstehen, und daher nicht als die Erfindung einschränkend zu
betrachten sind.
-
Weiter
geht der Umfang der Anwendung der Erfindung aus der nachfolgenden
detaillierten Beschreibung klar hervor. Jedoch versteht es sich,
dass die detaillierte Beschreibung und die speziellen Beispiele,
die bevorzugte Ausführungsformen
der Erfindung angeben, sich lediglich beispielhaft verstehen, da
verschiedene Änderungen
und Modifikationen innerhalb des Schutzumfangs der Erfindung für Fachleute
aus dieser detaillierten Beschreibung klar hervorgehen.
-
KURZE BESCHREIBUNG DER ZEICHNUNGEN
-
1A ist
ein Diagramm, das die Konfiguration des tragbaren Endgerätes darstellt,
und
-
1B ist
ein Diagramm, das die funktionale Konfiguration der Chipkarte darstellt;
-
2 ist
ein Konzeptdiagramm, das ein Konfigurationsbeispiel der Anzeigeanwendung
darstellt;
-
3 ist
ein Konzeptdiagramm, das die Konfiguration des elektronischen Wertes
darstellt;
-
4 ist
ein Konzeptdiagramm, das die Konfiguration der Zugriffsliste darstellt;
-
5 ist
ein Ablaufdiagramm, das die erste Hälfte der durch das tragbare
Endgerät
ausgeführten Zugriffssteuerungsverarbeitung
darstellt;
-
6 ist
ein Ablaufdiagramm, das die zweite Hälfte der durch das tragbare
Endgerät
ausgeführten Zugriffssteuerungsverarbeitung
darstellt;
-
7 ist
ein Konzeptdiagramm, das ein weiteres Konfigurationsbeispiel der
Anzeigeanwendung darstellt.
-
BESCHREIBUNG DER BEVORZUGTEN
AUSFÜHRUNGSFORMEN
-
Ein
tragbares Endgerät
gemäß der Erfindung wird
nachfolgend mit Bezug auf die anliegenden Zeichnungen beschrieben.
-
Als
Erstes wird die Konfiguration beschrieben. 1A ist
ein Blockdiagramm, das die funktionale Konfiguration des tragbaren
Endgerätes 10 darstellt.
Das tragbare Endgerät 10 besteht
aus einer Steuereinheit 11, einer Eingabevorrichtung 12,
einem RAM 13, einer Anzeigevorrichtung 14, einer
Speichervorrichtung 15, einer Chipkarte 16, einer
Funkkommunikationsvorrichtung 17, einer Fingerabdruck-Leseeinrichtung 18 und
einer Tonverarbeitungsvorrichtung 19. Diese Vorrichtungen
sind über Bus 20 elektrisch
ver bunden, so dass sie fähig
sind, verschiedene Signale aneinander zu senden und voneinander
zu empfangen.
-
Die
Steuereinheit 11 ist konfiguriert, um ein Programm von
der Speichervorrichtung 15 in das RAM 13 zu laden
und eine konzentrierte Steuerung eines jeden Teils gemäß dem Programm
durchzuführen.
Insbesondere führt
die Steuereinheit 11 eine Vielzahl von Verarbeitungen aus,
einschließlich
eines Prozesses zum Steuern eines Zugriffes auf Daten (z. B. eines
elektronischen Wertes 161), die in der Chipkarte 16 gespeichert
sind, und zwar gemäß einem Eingangssignal
von der Eingabevorrichtung 12 und des in das RAM 13 ausgelesenen
Programms, und speichert das Verarbeitungsergebnis vorübergehend im
RAM 13. Dann speichert sie das im RAM 13 gespeicherte
Verarbeitungsergebnis, je nach Bedarf, in einem vorbestimmten Bereich
in der Speichervorrichtung 15.
-
Die
Eingabevorrichtung 12 ist mit verschiedenen Bedienknöpfen zum
Anweisen einer Auswahl von Daten und einer Verarbeitung, einem An-/Ausschalter
etc. versehen, und diese verschiedenen Bedienknöpfe werden allein oder in Kombination
heruntergedrückt,
um ein Eingangssignal gemäß einem Befehl
an die Steuereinheit 11 auszugeben. Die Eingabevorrichtung 12 ist
aus einem durchsichtigen Bildschirm (sogenannter Touch-Screen) aufgebaut, wobei
Einrichtungen zum Abtasten eines Kontaktes mit einem Finger oder
einem speziell dafür
vorgesehenen Stift an einem Anzeigebildschirm der Anzeigevorrichtung 14 angeordnet
sind, und ist konfiguriert, um Eingabesignale gemäß den Koordinaten
von Kontaktpunkten an die Steuereinheit 11 auszugeben. Die
Art und Weise des Abtastens von Kontakten kann ein beliebiges Verfahren
sein, z. B. ein auf Druck ansprechendes Verfahren, bei dem eine
Druckänderung
abgetastet wird, ein elektrostatisches Verfahren, bei dem elektrische
Signale basierend auf statischer Elektrizität abgetastet werden, etc.
-
Das
RAM (Direktzugriffsspeicher) 13 ist aus einem flüchtigen
Halbleiterspeicher aufgebaut und ist konfiguriert, um ein Programm,
das aus der später noch
beschriebenen Speichervorrichtung 15 ausgelesen wird, oder
Daten während
der verschiedenen durch die Steuereinheit 11 ausgeführten Verarbeitungen
vorübergehend
zu speichern. Das RAM 13 weist auch die Funktion eines
VRAM (Video-RAM) zum vorübergehenden
Speichern von Daten auf, die auf der Anzeigevorrichtung 14 angezeigt
werden sollen.
-
Die
Anzeigevorrichtung 14 ist aus einem LCD (Flüssigkristallanzeige),
einer EL-(Elektrolumineszenz)-Vorrichtung oder dergleichen aufgebaut und
ist konfiguriert, um gemäß Anzeigesignalen
von der Steuereinheit 11 Anzeigedaten auf seinem Bildschirm
anzuzeigen. Der Touch-Screen, der wie zuvor beschrieben als Eingabevorrichtung 12 dient,
ist über den
Bildschirm der Anzeigevorrichtung 14 gelegt angeordnet.
-
Die
Speichervorrichtung 15 ist aus einem nicht-flüchtigen
Halbleiterspeicher, wie beispielsweise ein EEPROM (elektrisch löschbares
und programmierbares ROM) aufgebaut, und ist konfiguriert, um Daten,
die zum Ausführen
verschiedener Verarbeitungen benötigt
werden, Daten, die als Ergebnis der Ausführung verschiedener Verarbeitungen
erzeugt werden etc., zu speichern. Die Speichervorrichtung 15 speichert
ein Anwendungsprogramm zum Anzeigen von Daten auf dem Anzeigebildschirm 14 (nachfolgend
als "Anzeigeanwendung 151" bezeichnet). Außerdem speichert
die Speichervorrichtung 15 auch ein Fingerabdruck-Authentifizierungsprogramm 152 zum
Ausführen
und Steuern der später
noch beschriebenen Fingerabdruck-Leseeinrichtung 18.
Dieses Fingerabdruck-Authentifizierungsprogramm 152 basiert
auf Software, die über
Widerstandsfähigkeit gegen
unbefugte Eingriffe verfügt,
um die Vertraulichkeit zu verbessern und Fälschung und Missbrauch zu erschweren.
-
Die
Anzeigeanwendung 151 wird nachfolgend mit Bezug auf 2 beschrieben.
Wie in 2 dargestellt, weist die Anzeigeanwendung 151 eine
digitale Signatur 151a und ein öffentliches Schlüsselzertifikat 151b auf.
-
Die
digitale Signatur 151a ist eine elektronische Signatur,
die durch eine Zertifizierungsorganisation, bei der es sich um einen
(unbeteiligten) Dritten handelt, ausgegeben und hinzugefügt wird,
um die Gültigkeit
der Anzeigeanwendung 151 zu gewährleisten und deren Ursprung
eindeutig darzulegen. Vom Standpunkt des Verhinderns eines "Informationslecks" ist die digitale
Signatur 151 vorzugsweise eine verschlüsselte Signatur.
-
Das öffentliche
Schlüsselzertifikat 151b weist
eine Erweiterung (erweiterte Zone) 151c der vorbestimmten
Spezifikation auf (z. B. die Spezifikation gemäß Standard X.509), die durch
ITU-T festgelegt ist. Die Erweiterung 151c enthält einen
Datensatz von Privileg-Information 151d, die mit einer
Zugriffsliste 161c abzugleichen ist, wobei dies im später noch
beschriebenen elektronischen Wert 161 enthalten ist.
-
Die
Chipkarte (oder über
ein IC (Integrierte Schaltung) verfügende Karte) 16 ist
ein Aufzeichnungsmedium vom Karten- oder Chiptyp, die im tragbaren
Endgerät 10 lösbar montiert
ist. Die Chipkarte 16 speichert Daten, die durch ein vorbestimmtes
Anwendungsprogramm (z. B. die Anzeigeanwendung 151) auf
der Anzeigevorrichtung 14 angezeigt werden sollen. Die
Chipkarte 16 ist erwünschtermaßen als über Widerstandsfähigkeit
gegen unbefugte Eingriffe verfügende
Vorrichtung mit hoher Vertraulichkeit konfiguriert, in Anbetracht
der Geheimhaltung und der Sicherheit von Daten.
-
1B ist
ein Diagramm, welches die funktionale Konfiguration der Chipkarte 16 zeigt.
Wie in 1B dargestellt, ist die Chipkarte 16 mit
einem elektronischen Wertespeicher 16a, einer Zugriffsanfrage-Ermittlungseinrichtung 16b,
einer Authentifizierungsinformations-Gültigkeitsbestimmungseinrichtung 16c,
einer Ausgabeeinrichtung 16d für substantielle Information,
einer physi schen Informationsspeichereinrichtung 16e und
einer physischen Informationsidentitätsbestimmungseinrichtung 16f versehen. Diese
Teile entsprechen der elektronischen Wertespeichereinrichtung, der
Anfrageermittlungseinrichtung, der Überprüfungseinrichtung, der Ausgabeeinrichtung,
der physischen Informationsspeichereinrichtung bzw. der Bestimmungseinrichtung.
Außerdem
sind zwar lediglich die unbedingt erforderlichen Aufbauelemente
der Chipkarte 16 gemäß der Erfindung
in 1B dargestellt, jedoch wird dadurch nicht vorausgesetzt,
dass die Chipkarte 16 nicht über solche Aufbauelemente verfügt, welche
die herkömmliche
Chipkarte hat.
-
Der
elektronische Wert 161 wird nachfolgend detailliert beschrieben,
und zwar als Beispiel für
die Daten, die im elektronischen Wertespeicher 16a der Chipkarte 16 gespeichert
sind. 3 ist ein Diagramm, das ein Datenkonfigurationsbeispiel
des elektronischen Wertes 161 darstellt. Wie in 3 dargestellt,
weist der elektronische Wert 161 substantielle Information 161a,
Privileg-Information 161b, eine Zugriffsliste 161c und
eine digitale Signatur 161d auf.
-
Bei
der substantielle Information 161d handelt es sich um Daten,
die auf der Anzeigevorrichtung 14 durch das um eine Anzeige
nachsuchende Anwendungsprogramm (z. B. die Anzeigeanwendung 151)
angezeigt werden sollen, wenn der Benutzer des tragbaren Endgerätes 10 den
elektronischen Wert 161 verwendet. Die substantielle Information 161a variiert
in Abhängigkeit
von Verwendungen und Typen elektronischer Werte, und falls beispielsweise der
elektronische Wert 161 ein elektronisches Ticket ist, ist
die substantielle Information 161a eine Information eines
Ticketnamens, ein Künstlername,
ein Veranstaltungsort einer Vorstellung, ein Datum der Vorstellung,
eine Sitzkategorie und eine Sitznummer, ein Organisator, etc. Und
zwar präsentiert
der Benutzer des tragbaren Endgerätes 10 diese Information einer
Ein-/Ausgangs-Verwaltungsperson oder einer Ein-/Ausgangs-Überwachungseinrichtung beim
Betreten des Veranstaltungsortes der Dar bietung, wodurch es dem
Benutzer gestattet wird, den gewünschten
Darbietungsveranstaltungsort zu betreten.
-
Bei
der Privileg-Information 161b handelt es sich um detailliertere
Information betreffend die substantielle Information 161a.
Beispielsweise handelt es sich, unter der Annahme, dass der elektronische Wert 161 ein
elektronisches Ticket ist, um Information betreffend einen Künstler einer
Darbietung, die durch das elektronische Ticket zugänglich ist
(eine URL einer offiziellen Website des Künstlers, oder dergleichen).
Der Einfachheit halber ist die Privileg-Information 161b bei
der vorliegenden Ausführungsform
so angeordnet, dass sie im elektronischen Wert 161 selbst
enthalten ist, jedoch ist es ebenfalls möglich, eine Konfiguration zu
verwenden, bei der der elektronische Wert 161 einen Zeiger
(Pointer) enthält,
der einen Speicherort der Privileg-Information 161b angibt,
und die eigentliche Privileg-Information 161b an dem durch
den Zeiger angegebenen Speicherort gespeichert ist.
-
Bei
der Zugriffsliste 161c handelt es sich um eine Datenliste,
die Zertifikate, welche jeweils Berechtigungen zum Zugreifen auf
den elektronischen Wert 161 angeben und Information enthält, die
ausgegeben werden kann (d. h. zugreifbare Information), und zwar
gemäß der Anfrage
zum Anzeigen von Anwendungsprogrammen, in Entsprechung zueinander. Speziell
weist, wie in 4 dargestellt, die Zugangsliste 161c einen
Gegenstandsbereich 162c, einen Zertifikattyp-Bereich 163c und
einen Bereich 164c für
zugreifbare Information auf.
-
Der
Gegenstandsbereich 162c enthält Daten von Zertifikaten,
um von der Information, die in dem in 3 dargestellten
elektronischen Wert 161 gespeichert ist, einen Zugriff
zumindest auf die Privileg-Information (z. B. CN = aaa ..., CN =
bbb ...) zu gestatten. Das Symbol "*" im
Gegenstandsbereich 162c gibt an, dass lediglich auf "Ticketname von substantieller
Information" ein
Zugriff gestattet ist, sogar wenn ein Anwendungsprogramm, das um
eine Anzeige nachgefragt hat, über
Daten von jeglichem Zertifikat verfügt.
-
Der
Zertifikattyp-Bereich 163c enthält Daten, die Typen der Zertifikate
(z. B. "Zertifikat
2", "Zertifikat 3", "Zertifikat 1 oder
kein Zertifikat")
enthält,
die im Gegenstandsbereich 162c gespeichert sind. Der Begriff "kein Zertifikat" gibt an, dass ein
Anwendungsprogramm, das um ein Anzeigen nachgefragt hat, über keines
der Zertifikate verfügt.
-
Außerdem speichert
der Bereich 164c für
zugreifbare Information anhand der entsprechenden Zertifikattypen
(z. B. "Privileg-Information", "substantielle Information
und Privileg-Information", "Ticketname von substantieller
Information") zugreifbare
Information. Dies gestattet der Chipkarte 16, in geeigneter Weise
Information auszuwählen,
deren Anzeigen durch ein Anwendungsprogramm zulässig ist, und zwar gemäß einem
Zertifikattyp, der von einem Anwendungsprogramm gehalten wird, das
um Anzeige nachgesucht hat.
-
Die
digitale Signatur 161d ist eine elektronische Signatur,
die durch eine Zertifizierungsorganisation, bei der es sich um einen
(unbeteiligten) Dritten handelt, ausgegeben und hinzugefügt wird,
um die Gültigkeit
des elektronischen Wertes 161 zu gewährleisten und dessen Ursprung
eindeutig darzulegen. Vom Standpunkt des Verhinderns eines "Informationslecks" ist die digitale
Signatur 161d vorzugsweise eine verschlüsselte Signatur.
-
In
der Chipkarte 16 werden kennzeichnende Punkte eines Fingerabdrucks
einer Hauptperson, die als Benutzer der Chipkarte 16 registriert
ist (normalerweise ein Eigentümer
des tragbaren Endgerätes 10)
vorab als Fingerabdruck-Information im physischen Informationsspeicher 16e gespeichert.
Bei der Fingerabdruck-Information handelt es sich um Daten von kennzeichnenden
Punkten, die aus einem Bild eines Fingerabdruckes eines Fingers
zur Personenidentifizierung extrahiert wurden. Die physische Informationsidentitätsbestimmungseinrichtung 16f der
Chipkarte 16 führt
ein Vergleichen und Abgleichen der Fingerabdruck-Information der
Hauptperson mit der Finger abdruck-Information des Benutzers durch,
die von der nachfolgend beschriebenen Fingerabdruck-Leseeinrichtung 18 ausgegeben
wurde, um die Identität
des Benutzers und der Hauptperson auf der Basis von dem Ergebnis
von dieser zu bestimmen. Dies führt
zur Durchführung
der Personenidentifizierung des Benutzers, der eine Anfrage zum
Zugreifen auf den elektronischen Wert 161 vorgenommen hat
(z. B. eine Anzeigeanforderung).
-
Die
Funkkommunikationsvorrichtung 17 führt eine Steuerung der Funkkommunikation
mit einer Basisstation B durch. Speziell ist die Funkkommunikationsvorrichtung 17 eine
Schaltung, die ein (nicht dargestelltes) Modem zum Modulieren und
Demodulieren von Signalen, und eine (nicht dargestellte) Codiereinrichtung
zum Codieren und Decodieren von Signalen aufweist, und mit einer
Antenne A versehen ist. Die Antenne A ist am Oberteil eines Gehäuses des
tragbaren Endgerätes 10 einziehbar
vorgesehen und wird verwendet, um Funkwellen an die Basisstation
B zu senden und diese von der Basisstation zu empfangen.
-
Die
Fingerabdruck-Leseeinrichtung 18 ist aus einem Leseteil
und einem Extrahierteil aufgebaut. Die Fingerabdruck-Leseeinrichtung 18 ist
konfiguriert, um kennzeichnende Punkte aus einem Bild eines Fingerabdruckes
des Fingers eines Benutzers, das durch den Leseteil gelesen wurde,
gemäß dem aus
der Speichervorrichtung 15 ausgelesen Fingerabdruck-Authentifizierungsprogramm 152 zu
extrahieren und diese als Fingerabdruck-Information des Benutzers
an die Chipkarte 16 auszugeben.
-
Die
Tonverarbeitungsvorrichtung 19 besteht aus einer Umwandlungseinrichtung,
einem Verstärker
etc. und ist mit einem Mikrofon M und einem Lautsprecher S versehen.
Die Tonverarbeitungsvorrichtung 19 ist konfiguriert, um
Audiodaten von der Steuereinheit 11 durch die Umwandlungseinrichtung
in analoge Signale umzuwandeln und über den Verstärker Schall
aus dem Lautsprecher S abzustrahlen, und zwar während Anrufen. Die Tonverarbeitungsvorrichtung 19 wandelt
auch analoge Signale vom Mikrofon M durch die Umwandlungseinrichtung
in digitale Signale um und gibt die digitalen Signale an die Steuereinheit 10 aus,
und zwar während
Anrufen.
-
Die
Funktionsweise des tragbaren Endgerätes 10 gemäß der Erfindung
wird nachfolgend zusammen mit einem Zugriffssteuerungsverfahren
gemäß der Erfindung
beschrieben. Jeder der folgenden Schritte wird durchgeführt, wenn
die Chipkarte 16 oder die Steuereinheit 11 ein
Programm ausführt,
das in der Speichereinrichtung 15 oder der Chipkarte 16 gespeichert
ist, die in 1A dargestellt sind.
-
5 ist
ein Ablaufdiagramm, das den Ablauf der durch das tragbare Endgerät 10 ausgeführten Zugriffssteuerungsverarbeitung
darstellt. Die Beschreibung der Operation basiert auf der Prämisse, dass,
wenn die Chipkarte 16 im tragbaren Endgerät 10 montiert
ist, die Chipkarte 16 und das Fingerabdruck-Authentifizierungsprogramm 152 sich
einen (nicht dargestellten) privaten Schlüssel gemeinsam teilen.
-
Bei
einer Anfrage zum Anzeigen eines in der Chipkarte 16 gespeicherten
elektronisches Wertes 161 wird eine Benutzerauthentifizierungsanfrage
als Erstes von der Anzeigeanwendung 151 an das Fingerabdruck-Authentifizierungsprogramm 152 ausgegeben
(S1). Die Anzeigeanfrage ist hier eine Anzeigeanfrage von der Anzeigeanwendung 151,
jedoch beinhaltet die Anzeigeanfrage, die von der Anzeigeanwendung 151 über die
Steuereinheit 11 erfolgt, selbstverständlich auch eine Anzeigeanfrage,
die über
die Eingabevorrichtung 12 durch den Benutzer vorgenommen
wird.
-
Wenn
die bei S1 ausgegebene Benutzerauthentifizierungsanfrage dem Fingerabdruck-Authentifizierungsprogramm 152 zugeführt wird
(S2), beginnt das Fingerabdruck-Authentifizierungsprogramm 152,
den Fingerabdruck des Benutzers des tragbaren Endgerätes 10 mittels
der Fingerabdruck-Leseeinrichtung 18 zu
lesen (S3). Kennzeichnende Punkte, die vorbestimmten Bedingungen
genügen,
werden aus dem Bild des gelesenen Fingerab druckes extrahiert und
werden als Fingerabdruck-Informationselement des Benutzers an die Chipkarte 16 ausgegeben
(S4).
-
Wenn
die Chipkarte 16 die bei S4 ausgegebene Fingerabdruck-Information
empfängt
(S5), führt sie
ein Vergleichen und Abgleichen des bei S5 empfangenen Fingerabdruck-Informationselementes
des Benutzers mit dem vorab in der Chipkarte 16 gespeicherten
Fingerabdruck-Informationselement des Hauptnutzers durch, um die
Identität
des Fingerabdruck-Informationselementes
zu bestimmen (S6). Wenn das Abgleichen zu der Bestimmung führt, dass die
Fingerabdruck-Informationselemente zueinander identisch sind, erzeugt
die Chipkarte 16 eine Zufallszahl (nachfolgend als "Abfrage" ("Challenge") bezeichnet).
-
Die
auf diese Weise erzeugte "Abfrage" wird, zusammen mit
einer Benutzerauthentifizierungs-Erfolgsbenachrichtigung, die angibt,
dass die Personenidentifizierung erfolgreich durchgeführt wurde,
an das Fingerabdruck-Authentifizierungsprogramm 152 ausgegeben
(S7). Andererseits gibt, falls das Abgleichen bei S6 dazu führt, dass
bestimmt wird, dass die Fingerabdruck-Informationselemente voneinander verschieden
sind, die Chipkarte 16 eine Nachricht an die Anzeigeanwendung 151 aus
(S8). Bei dieser Nachricht handelt es sich um Daten, um den Benutzer
zu benachrichtigen, dass die Benutzerauthentifizierung erfolglos
endete und die Anzeigenachfrage zurückgewiesen wurde.
-
Dann
werden die Benutzerauthentifizierungs-Erfolgsbenachrichtigung und
die "Abfrage", die bei S7 ausgegeben
wurden, dem Fingerabdruck-Authentifizierungsprogramm 152 zugeführt (S9).
Anschließend
erzeugt das Fingerabdruck-Authentifizierungsprogramm 152 ein
Berechnungsergebnis der "Abfrage", vorab unter Verwendung
des mit der Chipkarte 16 gemeinsam genutzten privaten Schlüssels und
einer vorbestimmten Einwegfunktion (z. B. einer verschlüsselten
Hash-Funktion oder dergleichen) (das Ergebnis wird nachfolgend als "Antwort" bezeichnet). Die
auf diese Weise erzeugte "Antwort" wird, zusammen mit
der zuvor erwähnten
Benutzerauthentifizierungs-Erfolgsbenachrichtigung, an die Anzeigeanwendung 151 ausgegeben
(S10).
-
Die
Anzeigeanwendung 151 empfängt die Benutzerauthentifizierungs-Erfolgsbenachrichtigung und
die bei S10 ausgegebene "Antwort" (S11). In Verbindung
damit gibt die Anzeigeanwendung 151 eine Anfrage für einen
Zugriff auf den elektronischen Wert 161 an die Chipkarte 16 aus.
Die Zugriffsanfrage wird gemeinsam mit der oben angegebenen "Antwort" sowie mit der digitalen
Signatur 151a und dem öffentlichen
Schlüsselzertifikat 151b ausgegeben, die
aus der Anzeigeanwendung 151 ausgelesen wurden (S12).
-
Dann
empfängt
die Zugriffsanfrage-Ermittlungseinrichtung 16b der Chipkarte 16 die
Zugriffsanfrage, die zusammen mit der digitalen Signatur 151a und
dem öffentlichen
Schlüsselzertifikat 151b und
mit der "Antwort" bei S12 ausgegeben
wurde (S13) und die Chipkarte 16 beginnt, die "Antwort" zu überprüfen (fortschreitend
auf S14 in 6). Die Überprüfung der "Antwort" wird mit Bezug auf den zuvor erwähnten privaten
Schlüssel
ausgeführt,
den die Chipkarte 16 vorab mit dem Fingerabdruck-Authentifizierungsprogramm 152 gemeinsam
nutzt.
-
Wenn
die Überprüfung bei
S14 dazu führt, dass
bestimmt wird, dass die "Antwort" gültig ist,
d. h. dass diese basierend auf der durch die Chipkarte 16 erzeugten "Abfrage" erzeugt wurde, führt die
Chipkarte 16 dann eine Überprüfung der
digitalen Signatur 151a durch (S15). Falls andererseits
die Überprüfung bei
S14 dazu führt,
dass bestimmt wird, dass die "Antwort" ungültig ist,
gibt die Chipkarte 16 eine Nachricht an die Anzeigeanwendung 151 aus
(S16). Diese Nachricht ist eine Nachricht, die den Benutzer in Kenntnis
setzt, dass die Anwendungsprogrammauthentifizierung mit einem Misserfolg
geendet hat und die Anzeigeanfrage zurückgewiesen wurde.
-
Wenn
die Überprüfung bei
S15 dazu führt, dass
bestimmt wird, dass die digitale Signatur 151a gültig ist,
d. h. dass sie für
den Herausgeber des elektronischen Wertes 161 intendiert
war, führt
die Authentifizierungsinformations-Güligkeitsbestimmungseinrichtung 16c der
Chipkarte 16 ein Vergleichen und Abgleichen des bei S13
empfangenen öffentlichen Schlüsselzertifikates 151b mit
dem Zertifikat durch, das im Gegenstandsbereich 162c der
Zugriffsliste 161c gespeichert ist (S17). Falls andererseits
die Überprüfung bei
S15 dazu führt,
dass bestimmt wird, dass die digitale Signatur 151a ungültig ist,
wird der Benutzer über
eine Nachricht benachrichtigt, die angibt, dass die Anzeigeanfrage
zurückgewiesen
wurde (S18), wie im Fall des Prozesses von S16.
-
Wenn
außerdem
das Ergebnis des Abgleichens bei S17 darin besteht, dass das öffentliche Schlüsselzertifikat 151b mit
einem der im Gegenstandsbereich 162c gespeicherten Zertifikate übereinstimmt,
dann wird auf die zugreifbare Information, entsprechend dem zustimmend
beurteilten Zertifikat, des Bereiches 164c der zugreifbaren
Information Bezug genommen. Dann wird die zugreifbare Information
aus dem elektronischen Wert 161 ausgelesen (vgl. 3),
gemäß dem Ergebnis
der Bezugnahme (S19). Beispielsweise ist, nimmt man an, dass das öffentliche
Schlüsselzertifikat 151b Daten
sind, die zu dem von der Anwendung B gehaltenen Zertifikat identisch
sind, die diesem entsprechende zugreifbare Information die substantielle
Information und Privileg-Information. Daher werden die substantielle
Information 161a und Privileg-Information 161b als
Anzeigezieldaten aus dem elektronischen Wert 161 ausgelesen.
-
Falls
andererseits das Ergebnis des Abgleichens bei S17 ist, dass das öffentliche
Schlüsselzertifikat 151b nicht
mit allen Zertifikaten übereinstimmt, die
in dem Gegenstandsbereich 162c der Zugriffsliste 161c gespeichert
sind, wird die zugreifbare Information entsprechend "*" (d. h. der Ticketname der substantiellen
Information) aus der substantiellen Information 161a des
elektronischen Wertes 161 ausgelesen. Das tragbare Endgerät kann auch
in einer Konfiguration konfiguriert sein, bei der, wenn das öffentliche
Schlüsselzertifikat 151b nicht
mit allen im Gegenstandsbereich 162c gespeicherten Zertifikaten übereinstimmt,
eine Nachricht, die angibt, dass die Anzeigeanfrage zurückgewiesen
wurde, an die Anzeigeanwendung 151 ausgeben wird, wie bei
S20 angegeben.
-
Die
substantielle Informationsausgabeeinrichtung 16d der Chipkarte 16 gibt
die zugreifbare Information, die bei S19 aus dem elektronischen
Wert 161 ausgelesen wurde, an die Anzeigeanwendung 151 aus
(S21). Dabei wird die sequentielle Verarbeitung von S14 bis S21
im Inneren der Chipkarte 16 mit Widerstandsfähigkeit
gegen unbefugte Eingriffe ausgeführt,
um die Zuverlässigkeit
der Benutzerauthentifizierung und der Anwendungsauthentifizierung
zu gewährleisten.
-
Dann
wird die bei S21 ausgegebene zugreifbare Information der Anzeigeanwendung 151 zugeführt, und
die Anzeigeanwendung 151 veranlasst die Anzeigevorrichtung 14 des
tragbaren Endgerätes 10, diese
anzuzeigen (S22). Beispielsweise wird, unter der Annahme, dass die
bei S21 ausgegebene zugreifbare Information die substantielle Information
ist, dem Benutzer des tragbaren Endgerätes 10 gestattet,
den gewünschten
Veranstaltungsort oder das Gebäude
durch Vorweisen der substantiellen Information zu betreten.
-
Wie
zuvor beschrieben, ist das tragbare Endgerät 10 gemäß der Erfindung
so konfiguriert, dass die Chipkarte 16 die Einrichtung
zum Speichern des elektronischen Wertes, die Anfrageermittlungseinrichtung,
die Überprüfungseinrichtung
und die Ausgabeeinrichtung beinhaltet. Die Anfrageermittlungseinrichtung
ermittelt die von der Anzeigeanwendung 151 kommende Anfrage
zum Anzeigen des elektronischen Wertes 151, der in der
Elektronikwert-Speichereinrichtung, zusammen mit der digitalen Signatur 151a und
dem öffentlichen
Schlüsselzertifikat 151b (entsprechend
der Anwendungsauthentifizierungsinformation) gespeichert ist. Die Überprüfungseinrichtung
bestimmt die Gültigkeit
der digitalen Signatur 151a und des öffentlichen Schlüsselzertifikates 151b in Übereinstimmung
mit der zuvor erwähnten
durch die Anfrageermittlungseinrichtung ermittelten Anzeigeanfrage.
Wenn die Überprüfungseinrichtung
bestimmt, dass die digitale Signatur 151a und das öffentliche
Schlüsselzertifikat 151b gültig sind,
gibt die Ausgabeeinrichtung die substantielle Information 161a an
die Anzeigeanwendung 151 aus.
-
Und
zwar lässt
die Chipkarte 16 die Anzeigeanfrage vom Anwendungsprogramm
mit gültiger
digitaler Signatur und öffentlichem
Schlüsselzertifikat
zu, weist jedoch die Anzeigeanfrage vom Anwendungsprogramm ohne
gültige
digitale Signatur und öffentliches
Schlüsselzertifikat
zurück.
Dies ermöglicht
der Chipkarte 16, den Zugriff auf den elektronischen Wert 161 gemäß den Anwendungsprogrammen
zu steuern und macht es somit durchführbar, das Speichern und Auslesen
des elektronischen Wertes zu realisieren und dabei eine große Sicherheit
beizubehalten.
-
Genauer
gesagt verfügt
der elektronische Wert 161, der selbst in der Chipkarte 16 gespeichert ist, über die
Zugriffsliste 161c, was eine ähnliche Zugriffssteuerung (einschließlich einer
exklusiven Zugriffssteuerung) wie in dem Fall ermöglicht,
bei dem Zugriffsrechte in elektronischen Werteeinheiten festgelegt
sind. Die Anzeigeanwendung 151 ist so verwirklicht, dass
sie die digitale Signatur 151a und das öffentliche Schlüsselzertifikat 151b enthält, was
eine Zugriffssteuerung ähnlich
wie in dem Fall ermöglicht, bei
dem Zugriffsrechte in Anwendungsprogrammeinheiten festgelegt sind.
Außerdem
wird die "Antwort", die das Ergebnis
der Bestimmung der Identität
der Fingerabdruck-Information widerspiegelt, bei der Benutzerauthentifizierung
verwendet, was eine Zugriffssteuerung ähnlich wie in dem Fall ermöglicht,
bei dem Benutzerrechte in Benutzereinheiten festgelegt sind.
-
Dabei
bietet das Speichern des elektronischen Wertes 161 in der
Chipkarte 16 den folgenden Vorteil, verglichen mit dem
Fall, bei dem der elektronische Wert 161 in der Speichervorrichtung 15 gespeichert
ist. Und zwar kann, da die Chipkarte 16 im tragbaren Endgerät 10 entnehmbar
montiert ist, die Chipkarte 16 im Endgerät montiert
werden, wodurch die Funktion zum Steuern des Zugriffs auf den elektronischen
Wert 161 auch auf ein anderes tragbares Endgerät angewandt
werden kann. Eine Funktion dieser Art ist insbesondere in dem Fall
effektiv, bei dem der Benutzer gemäß den Verwendungsarten oder
Umständen
wahlweise eine Mehrzahl von tragbaren Endgeräten verwendet und bei dem ein
Anwendungsprogramm, das den elektronischen Wert 161 anzeigen
kann, lediglich in einem einzigen Endgerät installiert ist.
-
Es
sei angemerkt, dass die Inhalte der Beschreibung der vorliegenden
Ausführungsform
lediglich ein bevorzugtes Beispiel des tragbaren Endgerätes gemäß der Erfindung
sind und die Erfindung nicht auf dieses Beispiel eingeschränkt ist.
Eine Anzeigeanwendung 152, die in der Speichervorrichtung 15 des
tragbaren Endgerätes 10,
bei dem es sich um eine Modifikation der vorliegenden Ausführungsform handelt,
gespeichert ist, wird nachfolgend mit Bezug auf 7 beschrieben.
Wie in 7 dargestellt, weist die Anzeigeanwendung 152 weiter
ein Attribut-Zertifikat 152e auf, und zwar zusätzlich zur
digitalen Signatur 152a und dem öffentlichen Schlüsselzertifikat 152b.
-
Die
digitale Signatur 152a und das öffentliche Schlüsselzertifikat 152b sind
weitgehend dieselben wie die digitale Signatur 151a und
das öffentliche Schlüsselzertifikat 151b,
die mit Bezug auf 2 beschrieben wurden, und daher
entfällt
hier eine Beschreibung von diesen. Das Attribut-Zertifikat 152e ist
ein bekanntes Attribut-Zertifikat, das von einer Zertifizierungsorganisation,
die eine andere als der Herausgeber des öffentlichen Schlüsselzertifikates 152b ist,
ausgegeben wurde und gemäß der vorbestimmten
Spezifikation (z. B. der Spezifikation X.509) definiert ist, die
durch ITU-T festgelegt ist, wie im Fall der Erweiterung 152c.
Das Attribut-Zertifikat 152e enthält eine Beschreibung der Information,
um einen Bezug auf das öffentliche
Schlüsselzertifikat 152b zu ermöglichen.
-
Das
tragbare Endgerät 10 nimmt
Bezug auf Privileg-Information 152f des Attribut-Zertifikats 152e,
und zwar anlässlich
der Ausführung
des Abgleichprozesses zwischen dem Zertifikat und der Zugriffsliste
(S17 in 6). Falls die Privileg-Information
in Erweiterung 152c beschrieben ist, ist die Privileg-Information innerhalb
eines Gültigkeitszeitraums des öffentlichen
Schlüsselzertifikates 152b festgelegt.
Aus diesem Grund besteht, um die Inhalte der Beschreibung der Privileg-Information
zu modifizieren, ein Bedarf nach einer Prozedur zur erneuten Ausgabe
des öffentlichen
Schlüsselzertifikats.
Im Gegensatz dazu erlaubt das Attribut-Zertifikat 152e dem Benutzer,
einen Gültigkeitszeitraum
unabhängig
vom öffentlichen
Schlüsselzertifikat 152b festzulegen, und
somit ist die darin beschriebene Privileg-Information ohne Weiteres
zu modifizieren.
-
Das
tragbare Endgerät
kann ein PDA (Persönlicher
Digitaler Assistent) oder ein Zellulartelefon sein, die ein UIM
(Benutzeridentifizierungsmodul) oder ein SIM (Teilnehmeridentifizierungsmodul)
als Chipkarte auf entnehmbarer Basis aufweisen. Die Chipkarte kann
eine beliebige elektronische Vorrichtung mit Widerstandsfähigkeit
gegen unbefugte Eingriffe sein, und es gibt keine speziellen Einschränkungen
betreffend deren Gestalt.
-
Als
Letztes werden ein Programm zum Implementieren der Zugriffssteuerungstechnik
gemäß der Erfindung
und ein computerlesbares Aufzeichnungsmedium (nachfolgend einfach
als "Aufzeichnungsmedium" bezeichnet), auf
dem das zuvor erwähnte
Programm aufgezeichnet ist, beschrieben. Das Aufzeichnungsmedium
ist ein Medium, das Energiezustandsänderungen, wie beispielsweise
Magnetismus, Licht, Elektrizität
oder dergleichen, gemäß den Beschreibungsinhalten
eines Programmes bei einer Lesevorrichtung induzieren kann, die
als eine der Hardware-Ressourcen von Mehrzweckcomputern oder dergleichen
installiert ist, und dass die Beschreibungsinhalte des Programms
an die Lesevorrichtung im Format von den Zustandsänderungen entsprechenden
Signalen übertragen
kann. Derartige Aufzeichnungsmedien beinhalten beispielsweise solche,
die entnehmbar in Computern (einschließlich den tragbaren Endgeräten, PHS-Endgeräten, etc.) montiert
sind, etwa UIM-Chipkarten und andere, Magnetplatten, optische Platten
und magnetooptische Platten, und nicht-flüchtige Halbleiterspeicher,
beispielsweise fest in den Computer eingebaute HDs (Festplatten),
integral in den Computer befindliche Firmware etc.
-
Das
oben angegebene Programm kann so konfiguriert sein, dass ein Teil
oder die Gesamtheit von diesem über
ein Übertragungsmedium,
beispielsweise eine Kommunikationsleitung oder dergleichen, von
einem anderen Gerät
gesendet wird, um durch die Funkkommunikationsvorrichtung des tragbaren
Endgerätes
gemäß der Erfindung
empfangen zu werden und in diesem aufgezeichnet zu werden. Umgekehrt
kann das oben angegebene Programm auch konfiguriert sein, um vom
tragbaren Endgerät
gemäß der Erfindung über das Übertragungsmedium
zu einem anderen Gerät
gesendet zu werden, um in diesem installiert zu werden.
-
Aus
dieser Beschreibung der Erfindung geht klar hervor, dass die Ausführungsformen
der Erfindung auf viele Weisen variiert werden können. Derartige Variationen
sind nicht als abweichend vom Schutzumfang der Erfindung zu betrachten,
und alle derartigen für
einen Fachmann offensichtlichen Modifikationen sind als innerhalb
des Schutzumfangs der folgenden Ansprüche befindlich anzusehen.