WO2006003711A1 - プリペイドカードとその決済システム及び電子鍵 - Google Patents

Abstract

　互いに同じ製造過程をもって同一の形態として形成された第１と第２ゲート回路を含み、上記第１及び第２のゲート回路の第２の入力には、動作制御信号を供給して動作状態のときに上記第１ゲート回路と第２ゲート回路の論理しきい値の差によって決まる固有の識別情報を取り出すようにした単位識別回路の複数個により複数ビットからなる識別情報を出力する半導体チップを所定のサービスの提供が約束されたプリペイドカードに搭載し、当該プリペイドカードから上記識別情報が取り出されて上記サービス提供者に伝えられて、登録されている識別情報に基づいて１回限りの当該サービスの提供を受ける。

Description

明 細 書

プリペイドカードとその決済システム及び電子鍵

技術分野

[0001] この発明は、プリペイドカードとその決済システム及び電子鍵に関し、特に半導体 製造技術でのミクロ的な素子バラツキを適切に利用できるように考慮された識別情報 発生回路を効果的に用いたものに利用して有効な技術に関するものである。

背景技術

[0002] 半導体チップに識別情報を発生させる代表的な技術として、特開 2002— 184872

(特許文献 1)と、特開 2003 - 332452 (特許文献 2)がある。特許文献 1では、電子 線描画法により識別番号を記録するものである。特許文献 2では、ゲート回路等のし きい値電圧のミクロ的な素子バラツキを適切に利用できるように考慮されている。 特許文献 1：特開 2002-184872

特許文献 2：特開 2003 - 332452

発明の開示

[0003] 近年のインターネットの普及並びに ITィ匕の進歩で、ビジネス及び一般社会生活で において、ネットワークを介した情報の交換、電子決算、 eコマースの利用が急速に 拡大し、情報のセキュリティや個人認証、情報の秘匿性が益々重要となってきている 。このような状況において、さまざまな通信技術、認証技術及び暗号技術の提案や実 用化が進んでいる。現在、インターネット上で主流となっている認証 ·暗号技術は、 R SAを代表とする「公開鍵方式」あるいは「非対称鍵方式」と言われるもので、該技術 が無ければ現在のネットワーク社会は存在しないと言っても過言ではなレ、。

[0004] しかし、「公開鍵方式」は、高い安全性を有しているものの、実際の処理にかかる計 算量の多さと、鍵の正当な所有者の認証における公正な認証機関との手続きの煩雑 さとレ、う課題が指摘されてレ、る。

[0005] そこで、本願発明者においては、前記特許文献 2に示したような識別情報発生回路 の持つ特徴を生して前記認証や暗号技術に係わる「識別子」や「鍵」に関して、簡便 で低コストな技術として有益な利用方法を開発するに至った。 [0006] したがって、この発明の一つの目的は、簡便で低コストかつ高信頼性のプリペイド力 ードとその決済システム及び電子キーを提供することにある。この発明の前記ならび にそのほかの目的と新規な特徴は、本明細書の記述および添付図面から明らかにな るであろう。

[0007] 本願において開示される発明のうち代表的なものの概要を簡単に説明すれば、下 記の通りである。すなわち、互いに同じ製造過程をもって同一の形態として形成され た第 1と第 2ゲート回路を含み、上記第 1及び第 2のゲート回路の第 2の入力には、動 作制御信号を供給して動作状態のときに上記第 1ゲート回路と第 2ゲート回路の論理 しきい値の差によって決まる固有の識別情報を取り出すようにした単位識別回路の 複数 20個を備えて複数ビットからなる識別情報を出力する半導体チップを所定のサ 一ビスの提供が約束されたプリペイドカードに搭載し、当該プリペイドカードから上記 識別情報が取り出されて上記サービス提供者に伝えられて、登録されている識別情 報に基づいて 1回限りの当該サービスの提供を受ける。

図面の簡単な説明

[0008] [図 1]この発明に係る ICプリペイドカード決済システムの一実施例を示す構成図であ る。

[図 2]図 1の認証子を発生する集積回路の一実施例を示すブロック図である。

[図 3]図 2の集積回路を搭載した集積回路装置の代表的な構成図である。

[図 4]本願に係る ICプリペイドカードに関する代表的な構成図である。

[図 5]図 4の ICプリペイドカードにかかる代表的な製造工程の説明図である。

[図 6]この発明に係る ICプリペイドカードの一実施例の使用形態の説明図である。

[図 7]この発明に係る ICプリペイドカード内の集積回路装置に設けられる集積回路の 別の実施形態のブロック図である。

[図 8]この発明に係る ICプリペイドカードの認証の処理方法の一実施例を示す構成 図である。

[図 9]この発明に係る ICプリペイドカードの認証の処理方法の他の一実施例を示す 構成図である。

[図 10]この発明に係る認証子発生回路の一実施例を示すブロック図である。 園 11]この発明に用いられる半導体チップの他の一実施例を示すブロック図である。 園 12]この発明に係る ICプリペイドカードの製造工程を説明するための概略図である 園 13]図 12のカード検查工程の一例を示す詳細な構成図である。

[図 14]この発明に係る ICプリペイドカード 470の認証の処理方法を説明するための 構成図である。

[図 15]前記識別情報発生回路を使用した電子鍵を平文の暗号 '復号に適用した一 実施例を示す構成図である。

[図 16]本願発明に係る電子鍵を用レ、た暗号通信方法なレ、し特定サービス提供方法 の一実施例を示す構成図である。

[図 17]本願発明に係る電子鍵を用いた暗号通信方法ないし特定サービス提供方法 の他の一実施例を示す構成図である。

[図 18]本願発明に係る電子鍵を用レ、た暗号通信方法なレ、し特定サービス提供方法 の更に他の一実施例を示す構成図である。

園 19]この発明に係る電子鍵の利用方法の一実施例を示す構成図である。

園 20]図 25又は図 27に示された識別情報発生回路で形成された識別情報 800の 一例の説明図である。

[図 21]本願発明に係る暗号技術に使用する暗号鍵のような電子鍵の一例を示す説 明図である。

[図 22]本願発明に係る暗号技術の原理の基本概念を示す概略図である。

[図 23]前記複合ブロック鍵を利用した暗号方式にかかる一実施例を示す構成図であ る。

園 24]図 23に示した複合鍵暗号文の復号方法の説明図である。

園 25]この発明に使用される識別情報発生回の一実施例を示す論理回路図である。

[図 26]図 25の識別情報発生回路における基本回路の一実施例を示す具体的回路 図である。

園 27]この発明に使用される識別情報発生回路の他の一実施例を示すブロック図で ある。 [図 28]図 27における回路要素の一実施例を示す具体的回路図である。

[図 29]図 27におけるクロックドインバータ回路の一実施例を示す回路図である。

[図 30]図 27の識別情報発生回路の動作の一例を説明するための概略波形図である 発明を実施するための最良の形態

[0009] この発明をより詳細に説述するために、添付の図面に従ってこれを説明する。

[0010] 図 25には、この発明に係るプリペイドカードとその決済システムや電子鍵に使用さ れる識別情報発生回の一実施例の論理回路図が示されている。識別情報発生回路 1000は、 0— n-1で表される n個の複数からなる基本回路 1010から構成される。 1ビ ットの識別信号 (認証子ともいう） DOを形成する基本回路 1010は、ナンド (NAND) ゲート回路 G1— G4から構成される。 2入力のナンド（NAND)ゲート回路 G1は、一 方の入力と出力とが結合される。このゲート回路 G1の共通化された入出力がゲート 回路 G2の一方の入力と接続される。ゲート回路 G2の出力はゲート回路 G3の一方の 入力に接続される。ゲート回路 G3の出力はゲート回路 G4の一方の入力に接続され る。そして、これらのゲート回路 G1— G4の他方の入力には、動作制御信号 ACTが 共通に供給される。

[0011] 上記ゲート回路 G1— G4を用いた場合には、各ゲート回路 G1— G4は、動作制御 信号 ACTをロウレベル (論理 0)のような非活性化レベルとしたとき、上記動作制御信 号 ACTとは異なる他方の入力信号に無関係に出力信号をハイレベル (論理 1)にし、 各ゲート回路 Gl , G2においても直流電流が発生しない。すなわち、この実施例回路 では、識別情報を必要とするタイミングで上記動作制御信号 ACTをハイレベル (論 理 1)のような活性化レベルとする。これにより、各ゲート回路 G1— G4は、上記動作 制御信号 ACTとは異なる他方の入力信号に応答して反転信号を形成するというイン バータ回路としての動作を行う。 図 26には、図 25の識別情報発生回路における基 本回路の一実施例の具体的回路図が示されている。ゲート回路 G1は、出力ノード Z と回路の接地電位 VSSとの間に直列形態にされた Nチャネル MOSFETQ1と Q3、 上記出力ノード N1と電源電圧 VDDとの間に並列形態にされた Pチャネル MOSFE TQ2と Q4から構成される。上記 MOSFETQ1と Q2のゲートが共通に接続されて第 1の入力 Xとされる。上記 MOSFETQ3と Q4のゲートが共通に接続されて第 2の入 力 Yとされる。特に制限されなレ、が、上記入力 Yと出力 Zとが共通に接続される。他の ゲート回路 G2— G4も上記と同様な回路により構成される。

[0012] 図 25及び図 26において、上記ゲート回路 G1— G4は、半導体集積回路の設計及 び製造の上では、現実的に制御可能な範囲内において、互いに同じ特性を持つよう に構成される。複数のゲート回路を互いに同じ特性とする技術について、以下に概 略的に説明する。ゲート回路 G1 G4において、その特性である論理しきい値は、概 略的には、それを構成する Pチャネル MOSFETと Nチャネル MOSFETとに決まると 理解されてレ、るであろう。その観点ではチャネル幅 Wとチャネル長 Lとの比 W/Lは 同じであるがサイズが異なる MOSFETによっても同じ特性の CMOSゲート回路を構 成できると理解され得る。し力、しながら、半導体集積回路装置の製造バラツキによる 電気特性への影響は、異なったサイズの素子に対しては異なったものとなる。

[0013] この実施例では、力かる複数のゲート回路 G1— G4のそれぞれは、好適には、それ ぞれを構成する素子の相互、すなわち Pチャネル型 MOSFETの相互、及び Nチヤ ネル型 MOSFETの相互が互いに同じ構造、同じサイズを持って構成される。言うま でもなくそれら素子は、同じ素子は同じプロセスの元で一括製造されると言う半導体 集積回路の特徴に従って製造される。これによつて複数のゲート回路 G1— G4は、 半導体集積回路の製造上の加工寸法のバラツキ、各種層の厚さバラツキ、不純物濃 度バラツキ等々の製造バラツキによる影響を均等に受けるようにされる。

[0014] 図 25に示した実施例では、 2つのゲート回路 G1と G2の論理しきい値の大きさの判 定出力がゲート回路 G2から出力される。かかる判定信号は、後段のゲート回路 G3、 G4により増幅されて CMOSレベルの 2値信号を得るものである。この 2値信号を 1ビ ット分の識別情報又は後述するような認証子 1020として利用する。したがって、厳密 にはゲート回路 G3と G4は、単に増幅動作を行うものであるからゲート回路 G1と G2 のように Pチャネル型 MOSFETの相互、及び Nチャネル型 MOSFETの相互が互レヽ に同じ構造、同じサイズを持って構成される必要は無いが、この実施例では主に回 路設計の観点から同じ構造、同じサイズを持って構成される。

[0015] 上記ゲート回路の論理しきい値のバラツキの要因としては、 MOSトランジスタ特性 のバラツキが支配的であると捉えてよい。そして、 MOSトランジスタ特性のバラツキの 原因としては、 MOSトランジスタのゲート幅や、ゲート絶縁膜膜厚、導電決定不純物 濃度とその分布などを挙げることができる。これらのバラツキはマクロ的な部分とミクロ 的とに分けることができる。マクロ的な部分としては、同一ロット内の複数のウェハ間の ゲート幅バラツキなどである。

[0016] 本願発明においては、主としてミクロ的な部分のバラツキを考慮するものであり、比 較的に近接した位置に配置された素子問におけるバラツキについて検討した。この ようなミクロ的なバラツキは、比較的に近接した素子間にランダムに発生するものとし て観測される。

[0017] すなわち、図 25のゲート回路 Gl , G2の論理しきい値のバラツキもランダムであると 考えられる。このような半導体素子の持つ特徴的な特性のバラツキは固有の識別情 報として利用するものである。つまり、 CMOSゲート回路を用いた場合には、論理しき い値に生じるバラツキが Nチャンネル型 MOSトランジスタの持つバラツキに Pチャン ネル型 MOSトランジスタの持つバラツキが加えられたものと見做すことができ、バラッ キ範囲が広くなり識別番号ないし識別情報の発生を効果的に行うようにすることがで きる。これにより、図 25の識別情報発生回路においては、動作制御信号 ACTをハイ レベルにすることにより、上記基本回路 1010の複数個力 DO— Dn— 1のような nビッ トからなる識別情報 (識別子又は認証子）を得ることができる。

[0018] この実施例では、回路が停止状態すなわち動作制御信号 ACTがロウレベルである とき、図 26の Nチャネル MOSFETQ1がオフ状態となり、入力 Yと出力ノード Xとを接 続することで生じる貫通電流が抑制される。また、ゲート回路としてナンド (NAND) 回路を用いた利点は、 CMOS論理 LSIの標準素子であるため、適用する製品を限 定しないことである。つまり、完全論理記述型回路で構成されるため、回路設計が容 易になるものである。

[0019] 図 25では、動作制御信号 ACTは直列の Nチャネル MOSFETの Q1のゲートに供 給されている力 これに代えて上記動作制御信号 ACTは Nチャネル MOSFETQ3 のゲートに供給され、出力ノード Zは Nチャネル MOSFETの Q3のゲートに接続され てもよい。 [0020] トランジスタレベル回路記述において重要なのは、個々のナンド（NAND)素子中 の MOSFETの信号接続位置である。前記図 25の実施例では、動作制御信号 ACT 力 Sロウレベルにされる上記の停止状態では各ゲート回路 G1— G4の出力すなわちノ ード Nl、 N2、 N3の電位が自動的に電源電圧となるため、それら信号の接続先の P チャネル MOSFETの NBTIによる特性の変動を防止できる効果がある。

[0021] MOSトランジスタは、そのしきい値電圧が電界強度と温度とに依存するような電界 ストレスによって不所望に変動することが有る。特に NBTI (Negative Bias

Temperature Instability)と称される現象は、 Pチャネル型 MOSFETで顕著に現われ る現象である。この防御策として、 目的外の時間において PMOSのゲートに印加され る電圧を高い電圧にする方法がよく用いられる。この実施例では、上記動作制御信 号 ACTのハイレベルにより論理しきい値判定動作を行わせ、力、かる論理しきい値判 定動作以外の時には、動作制御信号 ACTをロウレベルにして Pチャネル型 MOSFE Tのゲートには、電源電圧を供給するようにゲート電圧を固定電圧にするものである。 これにより、 Pチャネル型 MOSFETは、ゲート、ドレイン及びソースと基板（チャネル） の全てが電源電圧に等しい同電位となり、上記 MOSFETの経時変化による論理し きい値の変動が極力抑えられる。このことは、前記のように各基本回路の出力信号を 組み合わせによって識別情報を得る上で特に有効なものとなる。

[0022] なお、停止状態のときに動作制御信号 ACTのロウレベルが供給される Pチャネル MOSFETQ2等は、動作制御信号 ACTがハイレベルにされる識別情報発生時には オフ状態にされるものであり、識別情報発生動作には関与しない。このため、停止状 態が長くなり、 MOSFETの経時変化による論理しきい値の変動があっても実質的に は問題になることはない。

[0023] 増幅回路として動作するゲート回路 G3及び G4は、上記のように設定することは必 要ないが、回路設計上あるいは素子レイアウト上はゲート回路 G1と G2と同様のもの を用いるのが簡単となるし、後述するような識別情報発生回路 1000の存在を隠す上 で有利なものとなる。

[0024] 前記図 25ではナンド（NAND)ゲートを用いて基本回路を構成した力 ナンドの代 わりにノア（NOR)ゲートであっても構わない。ただし、その場合にはかかる基本回路 は、動作制御信号 ACTがロウレベル (論理 0)で活性化するものとなる。前記のように 、 NBTIと称される電界ストレスに起因する劣化現象は特に Pチャネル MOSFETで 顕著である。し力し他の素子、例えばポリシリコン FETや有機トランジスタ等において 、力、かる劣化現象が Pチャネル型ではなく Nチャネル型で顕著である場合は、ノア（N OR)ゲートを用いることが望ましレ、。

[0025] 図 25に示される実施例において、各基本回路内のナンドゲート G2, G3, G4につ いては、それぞれに接続された共通制御信号 ACTを電源 VDDに接続して常にハイ レベル (論理 1)としてもよぐそれによつて本実施例の持つ基本的機能は変らない。

[0026] 図 27には、この発明に使用される識別情報発生回路の他の一実施例のブロック図 が示されている。第 28に示される基本回路（要素回路） 1020が M X N個のようにマト リックス配置される。

[0027] 1つの行は図 28に示す基本回路 1020が直列形態に接続され、その出力部に行 選択信号 R0等により選択されるナンドゲート回路 GOとクロックドインバータ回路 CN0 力 なる行選択回路 1021が設けられる。 M個からなる各行を構成する基本回路 102 0は、対応するもの同士が列デコーダにより形成された列選択信号 CO— CM— 1によ り共通に選択される。上記 N個の行方向に配置された基本回路は、行デコーダ 102 3により形成された行選択信号 R0— RN— 1により 1つが選択される。かかる行選択信 号 R0— RN—1は、上記ナンドゲート回路 GOとクロックドインバータ回路 CN0からなる 行選択回路 1021の選択信号としても用いられる。行選択回路 1021を構成するクロ ックドインバータ回路 CN0は、それが非動作状態のときに出力ハイインピーダンス状 態になるので、上記 N個のクロックドインバータ回路の出力信号が共通に接続され、 選択された 1つの行に対応したクロックドインバータ回路の出力信号がナンドゲート回 路 G11に伝達される。

[0028] 動作制御信号 ACTによりゲートが制御されるナンドゲート回路 G10とインバータ回 路 INV10を通してクロック CLKが M進カウンタ 1024に供給される。これにより、 M進 カウンタ 1024では動作制御信号 ACTが活性状態のときにクロック CLKに対応して 0 一 M— 1の計数動作を行い、力かる計数出力を受ける列デコーダ 1022により C0 C M— 1の選択信号が形成されて基本回路 1020の出力信号がシリアルに出力される。 [0029] 上記 M進カウンタ 1024のキャリー信号が N進カウンタ 1025に供給されるので、 N 進カウンタ 1025は M進カウンタ 1024の 1回りに対応して計数動作を行う。これにより 、上記行方向に配置された M個の基本回路 1020の読み出しが行われると、行選択 の切替が行われて 0行目力 RN—1行目まで、それぞれ N個の基本回路 1020の読 み出しが実施される。

[0030] 本実施例において、 M X Nサイクルで全ての基本回路の読み出しが行われるから 、 M X Nサイクルにより M X Nビットの識別情報 Dをゲート回路 Gl 1及びインバータ回 路 INV11を通して出力させることができる。

[0031] 図 28には、前記図 27における回路要素の一実施例の具体的回路図が示されてい る。基本回路は、前記図 25に示したゲート回路 G1— G4に、行/列選択機能を設け るためのゲート回路 G5とインバータ回路として動作するゲート回路 G6が追加される。 上記ナンドゲート回路 G5の 2つの入力には、列選択信号 Ciと、行選択信号 Riが供 給される。ゲート回路 G3には、その行における 1段前の基本回路の出力信号 Diが供 給される。非選択の基本回路は、ゲート回路 G3と G4を通して入力された前段からの 信号 Diをそのまま出力信号 Di+ 1として伝送するという動作を行う。これにより、行及 び列が選択状態にされた 1つの基本回路のみが前記のような動作状態にされて出力 される。

[0032] 図 27におけるクロックドインバータ回路 CNは、図 29に示すように、電源電圧 VDD と回路の接地電位 VSSとの間に直列接続された Pチャネル M〇SFETQ11、 Q12と Nチャネル M〇SFETQ14、 Q13力ら構成される。 Pチャネル MOSFETQ11と Nチ ャネル MOSFETQ13のゲートが共通に接続されて入力端子 Aとされる。 Pチャネル 子 Bとされる。そして、端子 Cから供給される制御信号は、 Nチャネル MOSFETQ14 のゲートに供給され、上記制御信号がインバータ回路 INV12によって反転されて P チャネル MOSFETQ 12のゲートに供給される。

[0033] 端子 Cから供給される行選択信号のような選択信号がハイレベルのときに Nチヤネ ル MOSFETQ14と Pチャネル MOSFETQ12がオン状態となり、入力端子 Aからの オフに対応した出力信号が出力端子 Bから出力される。また、端子 Cから供給される 行選択信号のような選択信号がロウレベルのときに Nチャネル MOSFETQ14と Pチ ャネル MOSFETQ12が同時にオフ状態となり、入力端子 Aからの入力信号に無関 係に出力端子 Bは出力ハイインピーダンス状態にされる。図 29におけるクロックドイン バータ回路 CNは、 CMOSインバータ回路の出力部にトランスファゲートを設ける構 成とするものであってもよい。

[0034] 図 30には、図 27の識別情報発生回路の動作の一例を説明するための概略波形 図が示されてレ、る。動作制御信号 ACTがハイレベルの活性化レベルにされた状態 で、クロック CLKを入力すると、それに対応して列選択信号 CO— CM— 1が列デコー ダから出力される。このとき、 N進カウンタは計数値がゼロであるから 0行目の行選択 信号 R0を選択レベルにするので、第 0行目の基本回路の出力信号が列選択信号 C 0— CM— 1に対応してシリアルに出力される。 0行目の基本回路の読み出しが行わ れると、そのキャリー信号により N進カウンタが + 1の計数動作を行い、上記第 0行目 R0を非選択にして代わって第 1行目 R1を選択状態にする。このようにして、 N— 1行 目までの基本回路の読み出しが順次に行われる。 M X N個の基本回路（単位識別 回路）を全て選択するために必要なサイクルが M X N回となる。

[0035] 以上のような識別情報発生回路 1000では、ゲート回路等を半導体集積回路に組 み込んで通常のプロセスで製造するだけで、 自動的にランダムな識別情報を得ること ができる。これにより、前記先行技術 1のように逐一識別番号を書き込むための工程 が不要であり、極めて安価に製造できるという 1つ目の特徴を持っている。

[0036] 上記識別情報発生回路 1000では、実質的に解読が不可能であるという 2つ目の 特徴を持っている。つまり、前記のようなゲート回路等のしきい値電圧のミクロ的な素 子バラツキを適切に利用するものであり、先行技術 1のように識別番号に対応したよう な特徴的な回路パターンが存在しなレ、から解読が不可能である。そして、その存在 箇所もゲート回路で構成されているから、通常の論理回路に紛らせることにより存在 位置の解読も難しい。そして、回路パターンを解読するためにチップのみを取り出そ うとすると、その過程での機械的なストレス及び化学薬品並びにプラズマによるダメー ジが半導体チップに加わり、素子特性そのものも変化させるので、識別情報そのもの が変動してしまい、出力させても無意味な情報となるものである。

[0037] 上記のような特徴を生して、力かる識別情報発生回路 1000を以下のプリペイド力 ードとその決済システム及び電子鍵に使用することにより、低コトスで安全な取引等 の実現を可能にしたプリペイドカードとその決済システムや電子鍵を得ることができる

[0038] 図 1には、この発明に係る ICプリペイドカード決済システムの一実施例の構成図が 示されている。この実施例は、 ICプリペイドカードとその決済システムに関する代表的 な利用形態が示されている。例えば、イベントの入場や商品の購入などの特定のサ 一ビスの提供を受けようとする利用者 126は、この発明に係る ICプリペイドカード 120 を ICカードリーダ 121に揷入することで、インターネット 122等の通信手段を用いて、 I Cプリペイドカード管理会社 123の認証を受けて、前記サービスの提供を受ける。該 カード管理会社 123は、図示しないクレジット会社等と連携し、力、かる認証が成立し た段階で、クレジットの引き落としゃ現金の決済などをおこなうことができる。

[0039] 前記 ICプリペイドカード 120にかかる認証の手順の概略を説明すれば、以下の通り である。禾 IJ用者 126は、 ICカードリーダ 121に ICプリペイドカード 120を挿入すると、 インターネット 122を介して、カード管理会社 123に認証の要求が請求される。 ICプリ ペイドカード管理会社 123は、 ICカードリーダ 121に対して ICプリペイドカード 120に 搭載されている前記識別情報発生回路 1000を備えた集積回路装置（半導体チップ )に記録されている識別情報 (認証子） 124を要求する。カードリーダ 121は、かかる 認証子 124をインターネット 122を介してカード管理会社 123に回答する。カード管 理会社 123は認証子 124があら力じめ登録されている識別情報 125と照合し照合が 成立した場合、カードリーダ 121に対して認証の回答を行う。その結果、前記利用者 126は前記サービスの提供を受けることができる。上記認証子 124—つにつきサー ビス一回が対応しており、一度認証並びにサービスの提供がなされると、力かる認証 以後、該認証子 124は前記サービスの提供を受けるという権利の効力を失う。

[0040] 図 2には、図 1の認証子を発生する集積回路の一実施例のブロック図が示されてい る。集積回路 01内の制御回路 100に入力された制御入力 10の要求により、制御信 号 20が発生し、該制御信号 20により前記認証子発生回路 101から認証子 30が発 生し、出力回路 102を通して該認証子 30が出力される。上記認証子発生回路 101 は、前記図 25又は図 27に示したような識別情報発生回路 1000により構成される。

[0041] なお、以下の本願明細書では、前記認証子と呼んでいるものを、その目的に応じて 「認証子」として、または「識別子」として呼び分けてレ、る。 「認証子」と「識別子」はとも に前記認証子発生回路 (識別情報発生回路 1000) 101から発生する情報であって

、基本的には性質や特性は同じである。 「識別子」とは、集積回路やそれを搭載した 装置を他と区別するために該装置等に付与された情報という意味で用いている。一 方、「認証子」とは、特定のサービスを受ける資格又は権利を、該認証子を備えた装 置の所有者が有していることを、前記サービスを提供する者との間で事前に合意して レ、ることを証明するための情報という意味で用いている。

[0042] 図 3には、前記集積回路 01を搭載した集積回路装置の代表的な構成図が示され ている。集積回路 01は、単独又は他の集積回路 02とともに集積回路装置 110を構 成する。入出力及び制御回路 130は、該集積回路装置 110の外部接続電極 132か ら与えられる信号により、該集積回路 01への制御信号 10を生成し、該集積回路 01 の出力 50を外部又は他の集積回路 02へ伝える。

[0043] 図 4には、本願で開示される発明のうち、 ICプリペイドカードに関する代表的な構成 図が示されている。本発明に力かる前記集積回路装置 110は、 ICプリペイドカード 1 20のベース材 (樹脂等)上に実装され、電極 112によって外部と電気的信号を交換 する。なお、該 ICプリペイドカード 120では、前記電気的接点 112を介した通信方式 が示されているが、特に該方式にこだわるものではなぐ例えば前記ベース材上にァ ンテナを形成した非接触方式であってもよレ、。

[0044] プリペイドカードは、例えば公衆電話利用カード（以下、「テレホンカード」という）の ように、一般利用者が該テレホンカードを購入した時点で電話通信会社に一定の利 用額が支払われ、利用者は該購入額までの公衆電話の利用ができるものである。テ レホンカードと類似のものには、バスや電車等の乗車利用カード、コンビニエンス.ス トァ.プリペイドカードがある。現在、国内で普及しているテレホンカードは、樹脂製の シートに磁性材料を塗布し、該磁性材料に利用額等のデータを磁気記録してレ、る。 しかし、このような磁気記録方式では、該磁気データの改竄やカード自体の偽造が比 較的容易で安全性が高いとはいえず、利用上限額が高額なカードを発行することは 難しい。そのため、改竄や偽造の危険性が低い集積回路装置 (IC)を利用したいわ ゆる ICプリペイドカードも普及している。ただし、 ICプリペイドカードは、磁気カードに 比べて製造コストが高いとレ、う課題がある。

[0045] 本願発明は、前記プリペイドカード及び ICプリペイドカードいずれの課題の解決に も有効なものである。以下に示される安価で且つ安全性の高い ICプリペイドカードに 関する実施例をもとに、前記集積回路 01にかかる本発明の目的と効果が理解される であろう。

[0046] 図 5には、前記 ICプリペイドカード 120にかかる代表的な製造工程の説明図が示さ れている。半導体製造工程を完了したウェハ 150上の前記集積回路装置 110は、 IC 検查工程 151で電気的機能等が検査されると同時に、該集積回路 110内の前記認 証子発生回路 101から認証子 30が読み出される。

[0047] 該認証子 30は該 IC検査工程 151における図示しない IC検査装置から登録認証 子 154として情報記憶装置 155に格納される。前記 IC検査工程 151を経た前記集 積回路 110は、組立工程 152により前記 ICプリペイドカード 120に加工される。該 IC プリペイドカード 120はその後、カード検査工程 153において最終検査が行われると 同時に、前記認証子 101は図示しなレ、カード検査装置から認証情報格納装置 155 に格納される。

[0048] 同図では、該登録認証子 154は、前記 IC検査工程又はカード検査工程と前記力 ード検査工程 153から収集されているが、いずれか一方による取得及び前記認証情 報格納装置 155への格納でよい。該カード検査工程 153を合格した該 ICプリペイド カード 120が良品として出荷される。

[0049] 図 6には、この発明に係る ICプリペイドカードの一実施例の使用形態の説明図が示 されている。同図には、前記のように製造された ICプリペイドカード 120を使用した前 記カード管理会社との認証に力、かる処理方法がより詳しく示されている。

[0050] 前記カードリーダ 121に揷入された ICプリペイドカード 120内の認証子 30は、前記 カード管理会社 123の認証処理システム 163に送られ、該認証処理システム 163内 で管理されている認証情報データベース 160に照会される。該認証情報データべ一 ス 160は、認証登録情報フィールド 161と消尽フラグフィールド 162からなる複数の 認証情報レコード 163からなり、該認証登録情報フィ一ノレド 161の情報は前記図 5の 登録認証子 154であって、該認証情報レコード 153の総数は、前記 ICプリペイドカー ド 120の出荷総数に一致する。

[0051] 認証処理システム 163で行われる前記照合とは、前記認証子 30の符号に合致する 前記認証情報データベース 160内の認証情報レコード 163を「照合する工程」と、該 照合された認証情報レコード 163内の消尽フィールド 162の状態を「更新する工程」 と力、らなる。該「照合する工程」とは、前記認証子 30と、前記認証情報データベース 1 60に登録された全ての認証登録情報フィールド 161の認証登録情報 154の符号と のノ、ミング距離を計算し、該ハミング距離が最も小さい認証登録情報 154を含む認 証情報レコード 163を選び出すことであり、該「更新する工程」とは、前記照合された 認証情報レコード 163の消尽フィールド 162が、論理 0の時論理 1には更新し、論理 1の時には論理 1のままとすることである。

[0052] 該消尽フラグフィーノレド 162は、その登録時点では全て論理 0であり、論理 0は「照 合未」すなわち前記 ICプリペイドカード 110を所有する利用者 126は特定のサービス の提供を受ける権利があり、論理 1は「照合済」すなわち該利用者 126が前記権利を 使い切つたことを意味する。また、該消尽フラグフィールドが論理 1となった前記認証 情報レコード 163は、次回の照合からその対象とならない。該照会において、消尽フ ィールド力 S「照合未」であった場合、前記認証処理システム 163からカードリーダ 121 に対し認証の通知がなされる。

[0053] 上記ハミング距離とは、二つの記号系列（xl, χ2, χ3· · ·χη)と（yl , y2, y3- - -yn) に注目したとき、これらの間で互いに記号が異なっている場所の総数をいう。前記図 2に示した認証子発生回路 101が生成する前記認証子 30は完全に無秩序 (ランダム )であり、各認証子発生回路 101間に全く相関がないという性質を持っている。このよ うなランダムな性質を持つ認証子 30の場合、認証子 30のビット長が与えられたとき、 無数の識別子 30間のハミング距離の確率分布を推定することができる。さらに、前記 確率分布から、複数の認証子 30間の最小ハミング距離などを推定することができる。

[0054] ところで、認証子 30はその動作原理の上から構成するビットの一部に変動が生じる こと力 Sある。つまり、図 25のゲート回路 G1と G2のしきい値電圧が極めて近接していて 、熱雑音や電源電圧の変動の影響により、同一の前記集積回路装置 110において、 第 1の時点で取得される第 1の認証子 30と、別の第 2の時点で取得される第 2の認証 子 30の間に異なるビット（以下、「変動ビット」という）が存在する可能性を有するため 、前記二つの認証子の同一性を両認証子のビットの完全な一致によって照合するこ とは困難である。しかし、認証子 30に含まれる変動ビットの合計数が、前記最小ハミ ング距離より小さい場合、同一の認証子 30と異なる認証子 30を区別することが可能 である。

[0055] 図 7には、前記 ICプリペイドカード 110内の集積回路装置に関する図 2に示す集積 回路 01とは別の実施形態のブロック図が示されている。前記集積回路 01は、一つの 認証子 30を発生するものであった力 集積回路 03は複数の認証子を発生するもの である。該集積回路 03内の制御回路 165に入力された制御入力 164の要求により 制御信号 166が発生し、該制御信号 166により選択された複数の認証子発生回路 1 01のうち一つ力 認証子 167が発生し、出力回路 168を通して該認証子 169が出力 される。

[0056] 該集積回路 03において、複数の認証子発生回路 101の代わりに一つの認証子発 生回路 101の認証子を分割してあた力も複数の認証子発生回路のようにしてもよい。 該集積回路 03を前記図 3に示すような集積回路装置 110に搭載し、前記図 4に示す ような ICプリペイドカード 120に実装することで、該 ICプリペイドカード 120を回数券 のように使うことができる。次に示される前記集積回路 03を搭載した ICプリペイドカー ド 170に関する認証の処理方法により、前記集積回路 03にかかる発明の目的と効果 が理解されるであろう。

[0057] 図 8には、前記集積回路 03を搭載した前記 ICプリペイドカード 170の認証の処理 方法の一実施例の構成図が示されている。前記カードリーダ 121に揷入された ICプ リペイドカード 170内の認証子 171の先頭の認証子（ィ）は、カード管理会社 123の 認証処理システム 172に送られ、該認証処理システム 172内で管理されてレ、る認証 情報データベース 174内の認証登録情報フィールド 176の登録認証子 154と照合さ れる。該認証情報データベース 174は、認証登録情報フィールド 176と消尽フラグフ ィールド 177からなる複数の認証情報レコード 175から構成される。

[0058] 該認証登録情報フィールド 176の情報は前記図 5と同様の工程並びに方法により 取得された認証登録情報 154であって、該認証情報レコード 176の総数は、前記 IC プリペイドカード 170の出荷総数に、該 ICプリペイドカード 170それぞれに含まれる 認証子 171の数を乗じた数に一致する。

[0059] 前記認証処理システム 172での照合とは、前記認証子 (ィ）の符号に合致する前記 認証情報データベース 174内の認証情報レコード 175を「照合する工程」と、該照合 された認証情報レコード 175内の消尽フィールド 177の状態を「更新する工程」から なる。該「照合する工程」とは、前記認証子 (ィ）と、前記認証情報データベース 174 に登録された全ての認証登録情報フィールド 176の認証登録情報 154の符号とのハ ミング距離を計算し、該ハミング距離が最も小さい認証登録情報 154を含む認証情 報レコード 176を選び出すことであり、該「更新する工程」とは、前記照合された認証 情報レコード 175の消尽フィールド 177が、論理 0の時論理 1には更新し、論理 1の時 には論理 1のままとすることである。

[0060] 該消尽フラグフィーノレド 177は、その登録時点では全て論理 0であり、論理 0は「照 合未」すなわち前記 ICプリペイドカード 110を所有する利用者 126は特定のサービス を受ける権利があり、論理 1は「照合済」すなわち該利用者 126が前記権利を使い切 つたことを意味する。また、該消尽フラグフィールドが 1となった前記認証情報レコード 175は、次回の照合からその対象とならない。

[0061] 該照会にぉレ、て、消尽フィールドが「照合未」であった場合、前記認証処理システ ム 172からカードリーダ 121に対し認証の通知がなされる。し力し、同図に示されるよ うに該フラグフィールドが既に消尽されているような場合、前記認証処理システム 172 力、らカードリーダ 121に対し、認証拒否の通知がなされ、力、かる通知を受けた前記 IC プリペイド力ード 170は、認証子 171内の認証子ィの次の認証子 (口）を認証処理シ ステム 172送り、該認証処理システム 172は、該認証子（口）と該認証処理システム 17 2内で管理されている認証情報データベース 174内の、消尽フィールドが論理 0であ る認証情報レコード 175の認証登録情報フィールド 176のデータを対象に再び照合 される。前記照合により前記認証情報レコード 175が照合された場合、該認証情報レ コード 175内の消尽フラグフィールド 177を論理 1とする。前記照合が成立した後、前 記認証処理システム 172からカードリーダ 121に対し、認証の通知がなされる。また、 一枚の前記 ICプリペイドカードに含まれる認証子 171及び集積回路 03の数に制限 は無ぐまた一回の認証作業で複数の認証子 171の認証を行い、利用者 126が高額 なサービスの提供を受けることも可能である。

[0062] 図 9には、前記集積回路 03を搭載した ICプリペイドカード 170の認証の処理方法 の他の一実施例の構成図が示されている。カードリーダ 121に揷入された ICプリペイ ドカード 170内の認証子 171の先頭の認証子（a)は該 ICプリペイドカード 170を特定 するための識別子として使われ、カード管理会社 123の認証処理システム 183に送 られ、該認証処理システム 183内で管理されている認証情報データベース 184内の 、カード識別登録情報レコード 185の識別情報フィールド 186の情報と照合される。

[0063] 該カード識別レコード 185は、登録識別子フィールド 186と利用可能認証数フィー ルド 187からなる複数のカード識別レコード 185から構成される。該カード識別レコー ド 185のそれぞれにはさらに、複数の登録認証子フィールド 190が従属している。前 記登録識別子フィールド 186と前記登録認証子フィールド 190は、前記図 5と同様の 工程並びに方法により取得された認証登録情報 154であって、前記カード識別レコ ード 185の総数は出荷された前記 ICプリペイドカード 170の総数であって、前記登録 認証子フィールド 190の総数は前記出荷された ICプリペイドカード 170に含まれる認 証子 171の総数から前記出荷された ICプリペイドカード 170の総数を減じた数に一 致する。そして、前記照合とは、従前の実施例の内容と同じであるため説明は省略す る。

[0064] ここで照合が成立した場合、前記カード識別レコード 185内の前記利用可能認証 数フィールド 187の数値を確認する。利用可能認証数フィールド 187は、その登録時 点では前記 ICプリペイドカード 170内の認証子 171の総数一 1の数であり、 0以上は 前記 ICプリペイドカード 170を所有する利用者 126は、該利用可能認証数フィールド 187の回数の前記特定のサービスを受ける権利があり、 0は前記利用者 126が前記 権利を使い切つたことを意味する。ただし、該利用可能認証数フィールド 187が既に 0である場合、前記認証子 171は消尽されており、該利用可能認証数フィールド 187 力 SOとなった前記カード識別レコード 185は照合の対象とならない。

[0065] 前記カード識別レコード 185の照合が成立した場合、認証処理システム 183は、力 ード識別登録情報レコード 185の前記利用可認証数フィールド 187の値 (indx)を前 記 ICプリペイドカード 170へ転送する。前記 (indx)を受け取った ICプリペイドカード 17 0は、前記認証子 171の先頭から (indx)— 1番目の位置の認証子（二）を取り出し前記 認証処理システム 183へ送る。前記認証子（二）を受け取った前記認証処理システム 183は、前記カード識別レコード 185に従属する認証子 189と前記認証子（ュ）を照 合する。前記照合の結果、同じく (indx)番目の認証子 189と一致した場合、前記カー ド識別レコード 185内の前記利用可認証数フィールド 187の数値を _1し、前記 ICプ リペイドカード 170に対して認証の通知をする。

[0066] 図 10には、この発明に係る認証子発生回路の一実施例のブロック図が示されてい る。この実施例は、前記図 25や図 27のような識別情報発生回路 1000で構成された 前記認証子発生回路 101に係る認証子 30の変動の影響を排除し、さらに改竄が困 難な認証子発生回路に向けられている。

[0067] かかる認証子発生回路の概要を説明すれば、前記認証子発生回路 101が出力す るある時点の第 1の認証子を一旦不揮発性メモリ（PROM) 401に記憶し、該メモリの 記憶値を第 2の認証子とし、認証子を使用する際には、該第 2の認証子を常に使用し 、さらに該第 1の認証子と第 2の認証子を比較し改竄のあったことを自ら検知する方 法とを備えることである。

[0068] 該集積回路 04内の制御回路 400に入力された制御入力 410の要求により、制御 信号 411が発生し、該制御信号 411により認証子発生回路 101から認証子 412が発 生し、 PROM (不揮発性メモリ：電気的に一括書き込みが可能な読み出し専用メモリ ) 401に認証子 412が記憶される。制御回路 400に入力された制御入力 410の要求 により、該認証子 412が記憶された前記 PROM401の出力 413は出力回路 403を 通して出力端子 50に出力される。し力 ながら、書き込みが可能なメモリに認証子を 記録することができるということは、裏を返せば該メモリの内容の書き換え等による該 認証子の改竄の可能性を自ら呼び戻し、悪意を持った攻撃者（以下、「アタッカー」と いう）の標的となり、そもそもの改竄が不可能という該認証子発生回路の利点を喪失 してしまう。

[0069] そこで、アタッカーによる前記 PROM401の認証子 413の改竄の検出及び防御を 行う以下の手段が設けられる。比較回路 402は、前記認証子 412と前記認証子 412 が記憶された該 PROM401の出力 413のハミング距離を算出し、該ハミング距離が 規定値以上であった場合その検出結果 414により出力回路 403の出力 50を強制的 に無効にするものである。

[0070] 該集積回路 04に対するアタッカーによる改竄攻撃の方法を示せば、次のような 1) 一 3が想定される。すなわち、 1)前記PR〇M401を攻撃し、その値を改竄する。 2) 前記認証子発生回路を攻撃し、その値を改竄する。 3)前記 PROM401及び前記認 証子 101の両方を攻撃し、それらの内容を改竄する。

[0071] 前記 1)の攻撃方法において、考えられる最悪な危険な状況とは、攻撃者が該 PR OM401の値を選択的に自由に変更することのできる方法を得ていることである。し かし、力かる変更の方法を得ていたとしてもアタッカーは前記比較回路 402の作用に より、該 PROM401の値を前記規定値以内で変更することしかできなレ、。本願発明 にかかる認証子において、有意な認証子の値の互いのハミング距離は大きく離れて おり、認証子の値を少し変化させたくらいでは、該認証子の値が他の有意な認証子 に該当させることは困難である。

[0072] 前記 2)の攻撃方法において、アタッカーは前記比較回路の作用により、前記 1)の 攻撃と同様に、前記認証子発生回路の値を前記規定値以内で変更することしかでき なレ、。しかも、該認証子発生回路は、その動作原理が MOSトランジスタ素子の微妙 な特性バラツキを利用しているため、該認証子発生回路の値を変更するためには、 例えば光や熱、イオンなどのエネルギーを与えるという方法をとらなくてはならず、前 記 1 )の PROM401に対する攻撃に比べると困難であり、まして任意の値に変更する ことはさらに困難である。すなわち、前記 2)の攻撃方法は、改竄の選択性が低ぐ改 竄の行為自体に相当なエネルギーを要するものである。

[0073] 3)の攻撃方法は、前記 1)と 2)を組み合わせたもので、おそらくアタッカーは前記 2 )によって、前記認証子発生回路の認証子の値を変更し、続いて前記 1)によって比 較回路の検出を逃れるという方法をとるものと思われる。しかし、前記 3)の攻撃方法 においても、前記認証子発生回路の値を任意に変更する困難さにおいて前記 2)と 変るものではない。すなわち該該集積回路 04は、前記想定しうる前記 1)から 3)のァ タッカーによる改竄の攻撃に対して、安全性の高いシステムを構築するための認証 子を発生することができる。該集積回路 04にかかる発明の目的と効果は、本明細書 に記載の他の実施例においてより理解されるであろう。

[0074] 図 11には、この発明に用いられる半導体チップの他の一実施例のブロック図が示 されている。この実施例は、前記集積回路 04を搭載した別の集積回路に向けられて いる。集積回路 05には、集積回路 04に RAM504、演算器 505とハッシュ関数 506 ( 特に断わらないが、ハッシュ値から元の値を逆算できなレ、、いわゆる一方向ハッシュ 関数のことをいう）が追加されている。該集積回路 05にかかる発明の目的と効果の概 略を説明すれば、該集積回路 04内の前記認証子発生回路 101の認証値 30そのも のを該集積回路 05の外部に出すことなしに、該集積回路 05を搭載した集積回路等 の認証等を可能にするとレ、うことである。

[0075] 集積回路 05内の制御回路 500に入力された制御入力 510の要求により、制御信 号 511が発生し、該制御信号 511により集積回路 04から認証子 513が発生する。該 認証子 513は前記集積回路 04内の PROM401にー且記憶された値であり、読み出 し動作の度に同じ値を示す。 RAM504は一時的記憶可能な書き込み読出しメモリ であって、制御信号 510から制御回路 500に与えられた外部参照値 515を一時的に 記憶するものである。演算器 505は、前記集積回路 04の出力の値 513と前記 RAM 504の出力の値 516の排他的論理和算を演算し、ノ、ッシュ関数 506は前記演算器 5 05の出力の値 517のハッシュ値を計算し、出力回路 503は前記ハッシュ関数の出力 の値 518を出力端子 520へ出力する。

[0076] 図 12には、前記集積回路 05を前図 3に示すような集積回路装置に搭載し、前図 4 に示すような ICプリペイドカードと同様に実装した ICプリペイドカード 470の製造工程 の概略図が示されている。半導体製造の前工程を完了したウェハ 450上の前記集積 回路 05を搭載する集積回路装置 460は、 IC検査工程 461で電気的性能が検査さ れ、組立工程 462により前記 ICプリペイドカード 470に加工される。その後、該 ICプリ ペイドカード 470は、カード検查工程 463において最終検査が行われる。該カード検 查工程 463では、参照値発生器 474の出力値 465及び、該出力値 465を素に前記 I Cプリペイドカード 470に搭載された前記集積回路 05内のハッシュ関数によって求め られたハッシュ値 466を、図示しないカード検査装置により取得し、認証情報格納装 置 467に登録する。該カード検查工程 463を合格した該 ICプリペイドカード 470は良 品として出荷される。

[0077] 前記カード検查工程 463では、一つの ICプリペイドカード 470の検查において、複 数の種値 472とそれに対応するハッシュ値 473を取得し、前記認証情報格納装置 4 67に格納する。前記複数の種値 472とハッシュ値 473のうち、特定の順番（例えば、 先頭）の種値 472は、該種鍵によって生成されるハッシュ値 473を該 ICプリペイド力 ード 470の識別子として利用するため、 ICプリペイドカード 470によらず同一とする。

[0078] 図 13には、前記カード検查工程 463の詳細な構成図が示されている。該検查工程

463では、前記 ICプリペイドカード 470 (当図において、該 ICプリペイドカード 470に は、前記集積回路 05を搭載した集積回路装置が実装されており、ここで説明しようと する発明にかかる目的と効果の理解に必要十分な構成のみが抜き出して示されてい る）へ参照値発生器 474で生成された種値 472を入力する。

[0079] 一方、秘匿値は集積回路 04によって自動的に生成されるもので、外部からその値 を知ることはできない。演算器 478は、該種値 472と秘匿値 477の排他的論理和算 を演算するものである。該演算結果を、ノ、ッシュ関数 471を通してハッシュ値 473を 生成するが、種値 472が同じでも、 ICプリペイドカード 470が違えば、秘匿値 477が 異なるため全く値の違うハッシュ値 473が生成される。一方向ハッシュ関数の特徴に より、ノ、ッシュ値 473から、該種値 472及び秘匿値 477を逆算することは例え ICプリ ペイドカード 470を入手することができても不可能である。

[0080] 図 14には、前記集積回路 05を搭載した前記 ICプリペイドカード 470の認証の処理 方法の構成図が示されている。前記カードリーダ 121に揷入された該 ICプリペイド力 ード 470は、カード管理会社 123内の認証システム 660にサービス認証の要求を申 請する。該カード管理会社 123は、前記 ICプリペイドカード 470に対して、該 ICプリ ペイドカード 470を特定するために認証子番号 (indxO)と識別用参照値 R0を送る。か 力、る認証子番号（indxO)は、認証子 652のうち該 ICプリペイドカード 470を特定するた めに認証子を指定する番号であって、参照値 R0は他の全ての ICプリペイドカード 47 0に共通の値である。

[0081] 前記認証子番号 (indxO)と識別用参照値 R0を受け取った前記 ICプリペイドカード 4 70は、該認証子番号 (indxO)が指定する番号の認証値 651と該参照値 ROを演算器 656で演算した結果 657をハッシュ関数にかけてハッシュ値 HOを求め、前記システ ム 660へ回答する。該ハッシュ値 H0を受け取った前記認証システム 660は、認証情 報データベース 664内のカード識別子レコード 661と該ハッシュ値 H0を照合する。 なお、該照合とは、従前の実施例の内容と同じであるため説明は省略する。

[0082] 該認証情報データベース 664は、登録識別子フィールド 662と利用可認証数フィ 一ルド 666からなる複数のカード識別子レコード 661から構成される。該カード識別 レコード 661のそれぞれには、さらに参照値フィールド 669とハッシュ値フィールド 67 0からなる複数の登録認証子レコード 667が従属している。

[0083] 前記参照値フィールド 669とハッシュ値フィールド 670は、前記図 12のカード検査 工程 463で取得された参照値 465と登録ハッシュ値 466であって、前記カード識別レ コード 661の総数は出荷された前記 ICプリペイドカード 470の総数であって、前記登 録認証子レコード 667の総数は前記出荷された ICプリペイドカード 470に含まれる認 証子 651の総数から前記出荷された ICプリペイドカード 470の総数を減じた数に一 致する。

[0084] ここで前記照合が成立した場合、前記カード識別レコード 661内の前記利用可能 認証数フィールド 666の数値を確認する。利用可能認証数フィールド 666は、その登 録時点では前記 ICプリペイドカード 470内の認証子 652の総数- 1の数であり、 0以 上は該 ICプリペイドカード 470を所有する利用者 126には、該利用可認証数フィー ルド 666が持つ値の回数分の前記特定のサービスを受ける権利があり、 0は前記利 用者 126が前記権利を使い切つたことを意味する。また、該利用可認証数フィールド 666が既に 0である場合、前記認証子 652は消尽されており、該利用可認証数フィー ルド 666が 0となった前記カード識別レコード 661はその対象とならなレ、。

[0085] 前記利用可認証数フィールド 666が 1以上である場合、認証処理システム 660は、 前記カード識別子レコード 661の前記利用可能認証数フィールド 666の値 (indx)と、 該 (indx)— 1番目の前記登録認証子レコード 667内の前記参照値フィールド 669の値 Rを前記 ICプリペイドカード 470へ転送する。

[0086] 前記（indx)と参照値 Rを受け取った前記 ICプリペイドカード 470は、前記認証子 65 2の先頭から（indx)— 1番目の位置の認証子を読み出し、演算器 656による該認証値 と前記参照値 Rとの排他的論理和算結果のハッシュ関数 658を掛けたハッシュ値 H を、前記認証処理システム 660へ送る。該ハッシュ値 Hを受け取った前記認証処理 システム 660は、該ハッシュ値 H力 先に送った登録認証子レコード 667内の前記参 照値フィールド 669の参照値 Rに対応した前記登録認証子レコード 667内の前記ハ ッシュ値フィールド 670の値に合致するか確認する。前記ハッシュ値同士の照合の結 果が合致した場合、前記カード識別レコード 666内の前記利用可能認証数フィール ド 666の数値を一 1し、前記 ICプリペイドカード 470に対して認証の通知をする。

[0087] 前記該 ICプリペイドカード 470の認証に力、かる処理方法力も解るるように、該 ICプリ ペイドカード 470と前記認証処理システム 660との間では、認証子そのものの情報交 換はおこなわれておらず、偽造や改竄に対して安全性が高い認証システムを実現す ること力 Sできる。本認証システムは、前記登録認証子レコード 667内の前記参照値フ ィールド 669の値と前記ハッシュ値フィールド 670の値を更新することで、同じ該 ICプ リペイドカード 470を再使用することができる。例えば、該 ICプリペイドカード 470を専 用の ICカード更新端末に挿入し、新たに料金チャージし、新しい参照値とハッシュ値 を前記カード管理会社 123の持つ前記認証処理システム 660のデータベース 664 に登録するようにすれば、同じ ICプリペイドカードを使用しても、該 ICプリペイドカード の偽造や、第三者による利用者のなりすましを防ぐことができる。

[0088] 図 15には、前記識別情報発生回路を使用した電子鍵を平文の暗号 '復号に適用 した一実施例の構成図が示されている。該喑号 *復号回路に関する本願発明にかか る目的とその効果の概要を説明すれば、以下の通りである。ある元情報（平文）を喑 号化するにおいて、該喑号 4复号回路で該元情報を暗号ィヒして暗号文を作成した場 合、その暗号文の復号においては、暗号化に使用した秘匿鍵 (電子鍵)を有する該 暗号 '複号回路を用いなければ復号できないというものである。該喑号'復号回路に 用いられる暗号鍵の値は該喑号 *復号回路の外から付与したり、書き込みが可能な 記憶素子等にプログラミングしたりする必要はなぐさらにその値を読み出すことがで きないことを特徴とし、極めて安全性の高い暗号システムを構築することができるとい うものである。

[0089] 集積回路 700は、暗号回路 701と復号回路 702を搭載し、平文 704を秘匿鍵 703 により暗号文 706へ喑号ィ匕し、該暗号文 706を前記秘匿鍵 703で元の平文 704と同 じ平文 705へ復号するものである。前記暗号回路 701及び復号回路 702は、 DES や AESを代表とする共通鍵方式の方式を採用する。また DESは、暗号化と複号化 に同じ装置が使えるので、集積回路の規模を小さくできる。秘匿鍵 703は、主として 前記集積回路 04で生成される。そのため、秘匿鍵の改竄や漏洩の危険がなぐ前記 のような安全性の効果が得られる。

[0090] 図 16には、本願発明に係る電子鍵を用いた暗号通信方法ないし特定サービス提 供方法の一実施例の構成図が示されている。特に制限されないが、この実施例の電 子鍵は前記集積回路 700を搭載したプリペイドカードとして実現される。元情報であ る平文 710の送り手 711側では、前記平文 710から、プリペイドード等の形態で提供 される電子鍵 713に搭載された前記集積回路 710の喑号ィ匕機能を使い暗号文 712 を作成する。その後、送り手 711は、前記電子鍵 713と暗号文 712を、情報の受け手 715へ送る。力かる暗号文 712は例えばフレキシブルディスクや DVDに記録すること や、ネットワーク等を介して伝送するなどの手段 717を用い、電子鍵 713は、手交、 郵送、宅配などの移送手段 716を用いる。受け手 715は、前記電子鍵 713に搭載さ れた集積回路 700の復号化機能を使い、暗号文 712を復号して平文 714を得る。

[0091] 前記暗号文 712が、前記伝送手段 717の途中で盗聴されても、前記電子鍵 713が 無ければ平文 714を得ることができないので安全性が高い。さらに、暗号に用いる共 通鍵については、送り手もその値を知らないので、前記電子鍵 713そのものがなけれ ば、暗号文の復号は不可能である。ここでは情報の送り手と受け手が異なるとしたが 、もちろん同一であってもよぐその場合、該電子鍵 713は、重要な情報を暗号化し た電子データの鍵として利用するものである。

[0092] 図 17には、本願発明に係る電子鍵を用いた暗号通信方法ないし特定サービス提 供方法の他の一実施例の構成図が示されている。前図 16に示される実施例の主な 目的は送り手 710が、受け手 715に重要な情報そのものを暗号化して送り届けること であった。これに対して本実施例では、言わば前図 16における重要情報を、暗号用 の鍵に置き換えることである。

[0093] すなわち、図 17中の送り手 720、共通鍵 721、電子鍵 713、暗号化共通鍵 723、 共通鍵 725、受け手 726、移送手段 729及び伝送手段 730は、それぞれ図 16にお ける送り手 711、平文 710、電子鍵 713、暗号文 712、平文 714、受け手 715、移送 手段 716及び伝送手段 717に対応している。

[0094] 送り手 720と受け手 726は、前記図 16と同様の手順によって、受け手 726と共通鍵

721及び 725の事前共有ができる。力かる共通鍵 721、 725の事前共有ができた後 は、該共通鍵と共通鍵暗号方式である喑復号装置 724及び 727を用いて、互いの平 文 722と 728を暗号文 731に変換して交換することができる。

[0095] この実施例では、共通鍵 725が第三者に漏れないようにするために、電子鍵 713、 共通鍵 725及び喑復号装置 727を一つの集積回路装置又はプリペイドカードのよう にプラスチックケース 732に内蔵させることで、より高い安全性を得ることができる。ま た、前記共通鍵 721と喑号ィ匕共通鍵 723は、一つではなく前記 ICプリペイドカードの 実施例の認証子のように複数であってもよい。

[0096] 図 18には、本願発明に係る電子鍵を用いた暗号通信方法ないし特定サービス提 供方法の更に他の一実施例の構成図が示されている。この実施例の好適な利用方 法の一例は、例えばレコード会社がインターネットを介して、音楽や映像などのソフト コンテンツを正規の利用者へ配信することであり、この実施例によって本発明の目的 と効果がより理解されるであろう。

[0097] 該 ICプリペイドカード 470には、一方向ハッシュ関数が搭載されている。共通鍵 75 0は、鍵種 752から該ハッシュ関数により生成されたハッシュ値である。送り手 751は 事前に鍵種 752と共通鍵 750の組み合わせを、図示しないデータベース等に登録 する。送り手 751は、平文 753を前記共通鍵 750で喑復号装置 754を用いて暗号化 する。受け手 756は、該 ICプリペイドカード 470を入手 759し、同様にインターネット 等力 鍵種 752を得、該 ICプリペイドカード 470を用いて該鍵種 752から共通鍵 756 を生成する。これにより、両者は同じ共通鍵 750と 755を事前に共有できる。 [0098] その後、該共通鍵を用いて送り手 751が暗号化した暗号文 761を、喑復号装置 75 7を用いて共通鍵 755で復号して平文 758を得る。上記のように共通鍵が共有された ことで、送り手 751と受け手 756が交代して情報の交換を双方向で行うことができる。

[0099] 共通鍵 755が第三者に漏れないために、集積回路装置 740、共通鍵 755及び喑 復号装置 757を一つの集積回路装置 (ICプリペイドカード） 762とすることで、より高 レ、安全性を得ることができる。

[0100] 図 19には、この発明に係る電子鍵の利用方法の一実施例の構成図が示されてい る。この実施例は、インターネットを介して、音楽や映像などのソフトコンテンツを配信 する場合に向けられている。

[0101] 種々のコンテンツを配信する配信者は、 (1)事前準備として、前記鍵種 752と共通 鍵 750を図示しないデータベースに登録する。配信者は、該 ICプリペイドカード 470 を一般利用者に (2)頒布する。 (3)該 ICプリペイドカード 470を (3)購入した利用者は 、（4)前記カードリーダ 121等を用いて、配信者へコンテンツの配信を (5)要求する。

(6)要求を受け取った配信者は、要求した利用者が持つ該 ICプリペイドカード 470を

(7)認証するために (8)参照値を送信する。該 ICプリペイドカード 470は、受け取った 参照値力 識別情報であるハッシュ値を (9)計算し配信者へ (10)回答する。配信者は 、受け取った識別情報と先に送った参照値が合致するか確認し、正当な利用者であ ること力 S(l l)認証されれば、（12)共通鍵の共有を行うために (13)鍵種を送る。鍵種を受 け取った利用者は、（14)共通鍵であるハッシュ値を計算する。これより、両者で鍵の 共有ができ、暗号による通信が可能となる。利用者は、暗号を用いて (15)コンテンツを 要求する。配信者は、要求コンテンツを共通鍵を用いて (16)暗号化し、（17)利用者へ 配信する。利用者は、配信されたコンテンツを、共通鍵を用いて (18)復号する。コンテ ンッが入手できたら、（19)サービス終了要求を送り、一連のサービスの提供が終了す る。

[0102] レ、うまでもなぐ前記実施例は前記 ICプリペイドカード 470に関する好適な利用分 野の一つであって、さまざまな方法により利用が可能である。

[0103] 暗号技術において喑号ィ匕や復号ィ匕 (解読）に用いられる「暗号鍵」は、暗号化に使 う「暗号鍵」と複号化に使う「復号鍵」は、完全に「一致」していなければならない。 （「 公開鍵方式」あるいは「非対称鍵方式」と呼ばれるものは、正確に言えば「暗号鍵」≠ 「復号鍵」である力 両鍵の組み合わせは厳密に定めされているので、その（組み合 わせとレ、う）意味では「一致」とレ、う概念であると考える）これは、暗号技術の鉄則であ り常識である。ここでいう「暗号鍵」とはセキュリティ技術や認証技術でいう「特徴を表 わす鍵」ではなぐ暗号技術における「数学的な意味を持つ鍵」である。つまり、前記 のようなゲート回路等のしきい値電圧のミクロ的な素子バラツキを利用した識別情報 発生回路で暗号鍵を形成した場合には、常に一定の情報を確実に取り出すようにす るために、 PROM等の記憶回路を介在させて識別情報を取り出すことが必要となる ものである。

[0104] 本願発明者は、本願発明にかかる様々な検討や考察から、暗号技術における「喑 号鍵」に対する常識を破る新たな暗号技術を考案した。すなわち、前記ゲート回路等 のしきい値電圧のミクロ的な素子バラツキを利用した識別情報発生回路で形成され たような「暗号鍵」を構成する文字列あるいは数列の一部が微妙に変化するような不 安定な「暗号鍵」であっても、情報の喑号ィ匕や暗号文の解読ができるようにするという ものである。

[0105] 図 20には、前記図 25又は図 27に示された識別情報発生回路で形成された識別 情報 800の一例の説明図が示されている。該識別情報 800は、かかる識別情報発生 回路の原理から、それを構成するビット情報の一部がランダムに変動する。該変動量 は、該識別情報発生回路が搭載された集積回路装置の製造プロセスに依存するが 、数パーセントである。つまり、識別情報が Kビットで構成されているとするなら、この 識別情報の中に平均で『 [K] X [平均変動量]』の変動ビットが含まれる。いずれに せよ、該識情報 800そのものを前記のような暗号技術に使用する「暗号鍵」に使用す ることはできない。

[0106] 図 21には、本願発明に係る暗号技術に使用する暗号鍵のような電子鍵の一例の 説明図が示されている。一般的な「暗号鍵」は、数十から百ビットのものが使われるが 、この実施例では、前図 20に示した複数ビット（例えば 400ビット）からなる識別情報 8 00を、 10ビットずつ N = 40個のブロック 801に分割し、その中から 4つのブロックをつ なぎ合せて、 40ビットに拡張したものである。該複合ブロック鍵 810の組み合わせの 総数は、 40ブロック力ら 4つを選ぶ組み合わせ（コンビネーション）となり、 M = 91、 3 90通りである。

[0107] 図 22には、本願発明に係る暗号技術の原理の基本概念の概略図が示されている 。平文 812を暗号装置 811で暗号化する際、前記識別情報 800をもとに作成された 複合ブロック鍵 820を用いると、同じ平文 812から該複合ブロック鍵 820の種類と同じ 数の暗号文 813が生成される。その数は、前記例の場合 91 , 390種類である。

[0108] 次に復号装置 814で復号ブロック鍵 821を用いて、該暗号文 813を復号する場合 、該復号ブロック鍵 821が前記複合ブロック鍵 820と全く同じものであったとすれば、 復号される 91， 390種類の平文 815は、全て元の平文 812と同じである。し力し、前 記復号ブロック鍵 821と前記複合ブロック鍵 820が同一というのは本発明が想定する ものではない。本発明が扱う状況とは、喑号ィ匕の時も複号化の時も、「暗号鍵」の素と するのは、あくまで識別情報 800のみであって、前記暗号化並びに復号化の時点で 、実質的に用いられた前記復号ブロック鍵 820及び複合ブロック鍵 821に関するレ、 かなる知識もないというものである。

[0109] さらに、「暗号鍵」の素になる識別情報 800は、前述のとおりその原理から、構成す るビット情報が変動するため、喑号ィ匕の時点と復号化の時点で前記復号ブロック鍵 8 20と複合ブロック鍵 821は、むしろ同一であることはないという前提に立つ。しかし、 前記 91 , 390種類の複合ブロック鍵 820の中に前記変動の影響を受けない複合ブ ロック鍵 820がーつ以上あれば、正しく復号された平分 815を得ることが可能である。

[0110] 前記図 20で説明したように、識別情報 800には、ある割合で変動ビットが含まれる 。そのため、該識別情報 800を分割したブロック 801のレ、くつかは変動ビットを含む。 そのため、前記 91， 390種類の複合ブロック鍵 821は、その全てが変動の影響を受 けるものではなぐ確率的に暗号化時の複合ブロック鍵 820と同じものが存在する。 つまり、復号化された平文 815の中の平文 1から平文 Mに、前記複合ブロック鍵 820 と同じ複合ブロック鍵 821によって正しく復号されたものが存在する。正しく復号され たものであるか否かは、平文 812に予め挿入された検証符号やハッシュ値を用いた テキストダイジェスト等で確認することができる。

[0111] 前記識別情報 800に含まれる変動ビットの割合、すなわち平均変動ビット率が予測 できれば、前記 40ブロックのうち何ブロックに前記変動ビットが一個以上含まれること になるか確率的に推定できる。例えば、前記のブロック構成の下で、前記変動ビット 率を 5%とすると、個々のブロックに変動ビットを 1ビット以上含む確率は 39%である。 この 39%という数は、全ての識別情報 800に変動ビットを 1ビット以上含むブロック 80 1力 9%つまり 15個（ = 40 X 39%)存在するとレ、うことや、逆に変動ビットを 1ビットも 含んでいないブロック 801の数が 61 %つまり 25個（ = 40 X 61 %)存在するということ ではない。あくまで無数の前記識別情報 800を対象にした時の平均であって、変動 ビットを 1ビット以上含むブロック 801の数が 15以上や 15以下というものも確率的に 存在しうる。

[0112] 前述のように、前記変動ビットの影響を受けない複合ブロック鍵 820が、 1個以上あ れば復号が可能であるが、これは前記識別情報 800のブロックに変動ビットの影響を 受けないブロック 801が 4個以上存在することと同義である。前記のブロック構成の下 で、前記識別情報 800内のブロック 801に変動ビットの影響を受けないブロックが 4 個以下となる確率は、約 2 X 10— ^ I/S X IC^^ S, 000億分の一）である。すわ わち、確率的には 5, 000億個もの該識別情報 800の中にようやく復号ができないも のが存在するということであり、実質的に殆どの場合復号が可能と考えてよい。

[0113] ただし、これらは前記構成を前提としたもので、前記識別情報発生回路が実施され る製造プロセスによって決定する前記変動率や、要求される秘匿鍵の仕様等に依存 するものであることはいうまでもない。逆に言えば、前記変動率などから、前記識別情 報 800のビット長や、前記復号ブロック鍵の最低な仕様を決定することが可能である

[0114] 図 23には、前記複合ブロック鍵を利用した暗号方式に力、かる一実施例の構成図が 示されている。平文 834は、乱数発生器 830で生成される共通鍵 831を用いて暗号 装置 835で暗号化され暗号文 839を作成する。複合鍵 833は、複合鍵発生回路 83 2で生成される前記複合ブロック鍵 820であって、前記共通鍵 831は、該複合鍵 833 で複合鍵暗号装置 836を用いて、喑号ィ匕共通鍵 840を生成する。前記暗号文 839と 暗号化共通鍵 840を合体したものを、複合鍵暗号文 837とする。該複合鍵暗号文 83 7の特徴を言うならば、前記暗号文 839は、共通鍵 831で喑号ィ匕されたものである。 力かる共通鍵 831の値は乱数発生器 830により非人為的に生成されたものであり、ま た、該共通鍵 831は複合鍵 833によって喑号ィ匕される。かかる共通鍵 833は前記複 合鍵発生回路 832内の識別情報発生回路によって非人為的に決定したものである。 該二つの鍵の真の値は誰も知り得ず、次に説明する方法でなければ前記複合鍵喑 号文 837を復号することができなレヽ。

[0115] 図 24には、前記複合鍵暗号文 837の復号方法の説明図が示されている。前記複 合鍵暗号文 837に含まれる暗号文 839の復号に必要な共通鍵 853を得るためには 、暗号化共通鍵 840を復号することが必要である。さらに、該喑号ィヒ共通鍵 840を復 号するためには、複合鍵 851が必要であるが、該複合鍵 851は暗号化時に用いた複 合鍵発生回路 832そのものでしか生成することができないため、極めて秘匿性の高 レ、安全な暗号システムを実現できる。

[0116] 前記のような特徴を有する暗号方式を実現するためには、暗号ィヒにおいて必要な 乱数発生回路 830、複合鍵発生回路 832、複合鍵暗号装置 836及び暗号装置 835 と、復号化において必要な複合鍵復号装置 852、復号装置 857及び前記共通複合 鍵発生回路を一つに化体した集積回路装置やプラスチックカード等に内蔵させて製 造することが望ましい。

[0117] 前記識別情報 800に偏りや周期性があったなら、極めて脆弱な暗号方式となる。し かし、該識別情報 800を発生する前記識別情報発生回路が、無秩序な識別情報を 発生するもであることが、本発明に力かる作用や効果の裏付けとなっているものであ る。さらに、該識別情報発生回路を使用していることの利点は、 PROM等の書き込み 可能な回路素子を使用していないので書き換えによる改竄が不可能、同じく人為的 な操作が不可能、特殊な半導体プロセスが不要 (標準 CMOSプロセスで実現可能） などがある。

[0118] 以上本発明者よりなされた発明を実施例に基づき具体的に説明したが、本願発明 は前記実施例に限定されるものではなぐその要旨を逸脱しない範囲で種々変更可 能であることはいうまでもなレ、。例えば、図 25において、前記第 2の先行技術等に示 されているようにゲート回路をインバータ回路に置き換えることができる。ただし、低消 費電力化を図る上では、前記のような CMOSゲート回路を用いることが望ましい。ィ ンバータ回路を用いる場合には、その消費電流を低減させるために前記図 29に示し たようなクロックドインバータ回路に置き換え、動作制御信号により活性化を行うように するものであってもよい。

産業上の利用可能性

この発明は、プリペイドカードとその決済システム及び電子鍵として、ネットワーク等 のような通信回線を利用してサービスの提供を受けるもの、あるいは入場券や小切手 等のように手渡しによって特定のサービスの提供を受けるものに広く利用することが できる。

Claims

請求の範囲

[1] 互いに同じ製造過程をもって同一の形態として形成された第 1と第 2ゲート回路を 含み、

上記第 1のゲート回路は、第 1の入力と出力とが接続され、

上記第 2のゲート回路の第 1の入力は、上記第 1のゲート回路の共通接続された入 力と出力に接続され、

上記第 1及び第 2のゲート回路の第 2の入力には、動作制御信号が供給されてなり 、上記第 1ゲート回路と第 2ゲート回路の論理しきい値の差によって決まる固有の識 別情報を上記第 2のゲート回路の出力信号に基づいて形成する単位識別情報発生 回路の複数個を備えて複数ビットからなる識別情報を出力する半導体チップを所定 のサービスの提供が約束されたプリペイドカードであって、

上記プリペイドカードの上記半導体チップ力 出力される識別情報はサービス提供 者に登録されており、

上記サービス提供を受けるに際して、当該プリペイドカードから上記識別情報が取 り出されて上記サービス提供者に伝えられて、 1回限りの当該サービス提供を受ける ことを特徴とするプリペイドカード。

[2] 請求項 1において、

上記複数の単位識別情報発生回路は、順序回路により形成された動作制御信号 に対応して順次に動作状態にされ、

上記複数の単位識別情報発生回路の出力部には、上記動作順序に対応した各単 位識別情報発生回路の識別情報をシリアルに出力させるゲート回路が設けられてな ることを特徴とするプリペイドカード。

[3] 請求項 2において、

上記半導体チップは、

上記識別情報を記憶するプログラマブル ROMと、

上記プログラマブル ROMに記憶された識別情報に基づいて一方向ハッシュ値 を計算して上記識別情報とする演算回路を更に備えてなることを特徴とするプリペイ ドカード。

[4] 請求項 3において、

上記複数の単位識別情報発生回路の出力信号と上記プログラマブル ROMの出 力信号とを比較して、両者のノ、ミング距離を計算して規定の距離以上離れている場 合に当該半導体チップの識別情報を無効とする改竄検出回路を備えてなることを特 徴とするプリペイドカード。

[5] 互いに同じ製造過程をもって同一の形態として形成された第 1と第 2ゲート回路を 含み、

上記第 1のゲート回路は、第 1の入力と出力とが接続され、

上記第 2のゲート回路の第 1の入力は、上記第 1のゲート回路の共通接続された入 力と出力に接続され、

上記第 1及び第 2のゲート回路の第 2の入力には、動作制御信号が供給されてなり 、上記第 1ゲート回路と第 2ゲート回路の論理しきい値の差によって決まる固有の識 別情報を上記第 2のゲート回路の出力信号に基づいて形成する単位識別情報発生 回路の複数個を備えて複数ビットからなる識別情報を出力する半導体チップを所定 のサービスの提供が約束されたプリペイドカードに搭載し、

上記プリペイドカードの上記半導体チップ力 出力される識別情報をサービス提供 者に登録し、

上記サービスの提供に際して、当該プリペイドカードから上記識別情報を取り出し て上記サービス提供者の登録情報と比較し、両者の一致と登録された上記識別情報 に付されたフラグが未使用であることを条件に当該サービスの提供を許可するととも に上記サービス提供者の登録された当該識別情報のフラグを使用済にしてなること を特徴とするプリペイドカード決済システム。

[6] 請求項 5ににおいて、

上記複数の単位識別情報発生回路は、順序回路により形成された動作制御信号 に対応して順次に動作状態にされ、上記複数の単位識別情報発生回路の出力部に は、上記動作順序に対応した各単位識別情報発生回路の識別情報をシリアルに出 力させるゲート回路が設けられ、

上記識別情報を記憶するプログラマブル ROMと、上記プログラマブル ROMの出 力部から出力される識別情報に基づいて一方向ハッシュ値を計算して上記識別情 報とする演算回路が更に設けられてなることを特徴とするプリペイドカード決済システ ム。

[7] 互いに同じ製造過程をもって同一の形態として形成された第 1と第 2ゲート回路を 含み、上記第 1のゲート回路は、第 1の入力と出力とが接続され、上記第 2のゲート回 路の第 1の入力は、上記第 1のゲート回路の共通接続された入力と出力に接続され、 上記第 1及び第 2のゲート回路の第 2の入力には、動作制御信号が供給されてなり、 上記第 1ゲート回路と第 2ゲート回路の論理しきい値の差によって決まる固有の識別 情報を上記第 2のゲート回路の出力信号に基づいて形成する単位識別情報発生回 路の複数個を備えて複数ビットからなる識別情報を出力する識別情報発生回路と、 上記識別情報発生回路で形成された識別情報を暗号鍵として入力された平文を 暗号文に変換する暗号回路と、

上記識別情報発生回路で形成された識別情報を暗号鍵として入力された暗号文 をもとの平文に戻す復号回路とを 1つの半導体チップに備えてなることを特徴とする 電子鍵。

[8] 請求項 7において、

上記半導体チップは、上記識別情報を記憶するプログラマブル ROMを備え、かか るプログラマブル ROMの記憶情報が上記暗号鍵とされてなることを特徴とする電子 鍵。

[9] 請求項 8において、

上記電子鍵は、所定のサービスの提供が約束されたプリペイドカードに搭載される ものであって、

上記サービスの提供は、上記暗号文を平文に戻すことにより実現されることを特徴 とする電子鍵。

[10] 請求項 7において、

上記識別情報は、複数のブロックに分割され、

各ブロックの分割識別情報が暗号鍵として分割数に対応した複数の暗号文を形成 し、 上記分割数に対応した複数の暗号文が上記分割識別情報に対応した複数の暗号 鍵により復号化して複数の平文に形成するよう復号化処理が行われることを特徴とす る電子鍵。