有效性检查系统、有效性检查方法、信息处理卡、检查设备以及认证装置

摘要

【待解决的问题】即使在用户不当地将认证信息输入到伪造的认证系统的情况下，也确实地防止认证信息泄露。【解决问题的手段】一种有效性检查系统配备有信息处理卡、用于执行与信息处理卡的相互认证的认证系统和检查设备。信息处理卡包括有效性认证装置和防止假冒装置，有效性认证装置用于认证认证系统的有效性，防止假冒装置用于对由有效性认证装置认证的结果执行防止假冒处理。检查设备包括验证装置和验证结果输出装置，验证装置用于验证从信息处理卡输出并经过防止假冒处理的认证结果，验证结果输出装置用于将由验证装置验证的结果以用户可感知的状态输出。验证装置可以不设置在检查设备中，而是可以替代地设置在验证设备中。

说明书

技术领域

本发明涉及有效性检查系统、有效性检查方法、信息处理卡、检查设备以及认证设备。例如，本发明将应用于下面的有效性检查系统、有效性检查方法、IC卡、检查设备以及认证设备：其防止在使用IC卡的认证系统中因假冒而泄露关于用户的认证信息，并且实现安全的计算机系统。本专利申请基于2006年9月20日提交的第2006-254365号在先日本专利申请，并要求该专利申请的优先权，并且将该专利申请的所有内容以引用的方式合并于此。

背景技术

如专利文档1所公开的，在用于使用IC(集成电路)卡的计算机系统的认证系统中，必须执行身份认证，以确认用户是IC卡的授权持有者，以便防止通过盗窃等未授权使用IC卡。通常，在这类身份认证中使用称为PIN(个人标识号)的密码。

在该认证系统中，在IC卡和认证系统终端之间执行相互认证，以便证明IC卡不是通过仿冒或变更而发行的未授权卡，并且该认证系统终端不是未授权终端。

当从认证系统终端方面来看，该技术称为用于认证IC卡的有效性的内部认证，而当从IC卡方面来看，也称为用于认证认证系统的有效性的外部认证。

然后，使认证系统终端进入密码输入等待状态。用户将密码输入到认证系统终端，并且比较输入的密码与预先存储在IC卡中的密码，以便执行身份认证。

然而，在上述过程中，对用户来说，尚未证明要求密码的认证系统终端是有效的。

更具体而言，在修改未授权的终端以便看起来好像被合法认证一样的情况下，用户无法确定终端是未授权终端。因此，用户总是面临通过假冒的认证系统终端来不当使用密码或遭窃密码的危险。

为了解决以上问题，专利文档1公开了一种防止密码泄露的设备。该设备具有在认证了认证系统终端的有效性之后，从IC卡读取仅所属用户可用的秘密信息的装置。该装置将秘密信息呈现给用户，并且然后请求用户输入密码。

专利文档1：日本专利申请特开第7-141480号。

发明内容

本发明要解决的问题

然而，通过专利文档1中公开的技术，存在这样的可能性，即当秘密信息被显示在常规防止密码泄露设备中的终端上时，第三方可能会恶意查看仅用户可用的秘密信息的内容。

还存在的问题是，如果遭窃的秘密信息用于伪造的假冒认证系统终端等，则用户的密码有被不当使用的风险。

考虑到以上情况做出本发明，并且本发明的目的是提供一种有效性检查系统、有效性检查方法、信息处理卡、检查设备以及认证设备，它们使得诸如IC卡的信息处理卡的持有者能够检查认证的结果，以便确定是否已经利用信息处理卡正确执行了对认证系统的有效性的认证，并且防止用户不注意地将认证信息输入伪造的认证系统终端，以便确实避免认证信息泄露。

解决问题的手段

根据本发明的有效性检查系统包括：具有信息处理功能的信息处理卡以及执行与信息处理卡的相互认证的认证系统。在该有效性检查系统中，信息处理卡包括：

认证认证系统的有效性的有效性认证装置；以及

对由有效性认证装置执行的认证的结果执行防止假冒处理的防止假冒装置，并且

有效性检查系统进一步包括

包括验证装置和验证结果输出装置的检查设备，验证装置接收经过防止假冒处理并从信息处理卡输出的认证结果，并验证认证结果，验证结果输出装置将由验证装置执行的验证的结果以可感知的方式输出到用户。

根据本发明的有效性检查系统包括：具有信息处理功能的信息处理卡以及执行与信息处理卡的相互认证的认证系统。在该有效性检查系统中，信息处理卡包括：

认证认证系统的有效性的有效性认证装置；以及

对由有效性认证装置执行的认证的结果执行防止假冒处理的防止假冒装置，并且

该有效性检查系统进一步包括：

包括验证装置的验证设备，该验证装置接收经过防止假冒处理并从信息处理卡输出的认证结果，并且验证认证结果；以及

包括验证结果输出装置的检查装置，该验证结果输出装置将从验证设备接收的验证的结果以可感知的方式输出到用户。

根据本发明的有效性检查方法在有效性检查系统中使用，该有效性检查系统包括：信息处理卡、执行与该信息处理卡的相互认证的认证系统以及接收从信息处理卡输出的信息的检查设备。

该有效性检查方法包括：

由信息处理卡执行的有效性认证步骤，用于认证认证系统的有效性；

由信息处理卡执行的防止假冒步骤，用于对在有效性认证步骤中执行的认证结果执行防止假冒处理；

由信息处理卡执行的认证结果输出步骤，用于将经过防止假冒处理的认证结果向外输出；

由检查设备执行的验证步骤，用于接收经过防止假冒处理并从信息处理卡输出的认证结果，并且验证认证结果；以及

由检查设备执行的验证结果输出步骤，以将在验证步骤中执行的验证的结果以可感知的方式输出到用户。

根据本发明的有效性检查方法在有效性检查系统中使用，该有效性检查系统包括：信息处理卡、执行与该信息处理卡的相互认证的认证系统、接收从该信息处理卡输出的信息的验证设备以及接收从验证设备输出的验证结果的检查设备。

该有效性检查方法包括：

由信息处理卡执行的有效性认证步骤，用于认证认证系统的有效性；

由信息处理卡执行的防止假冒步骤，用于对在有效性认证步骤中执行的认证结果执行防止假冒处理；

由信息处理卡执行的认证结果输出步骤，用于将经过防止假冒处理的认证结果输出到验证设备；

由验证设备执行的验证步骤，用于验证经过防止假冒处理的认证结果；

由验证设备执行的第一验证结果输出步骤，用于将验证结果发送到检查设备；以及

由检查设备执行的第二验证结果输出步骤，用于将验证结果以可感知的方式输出到用户。

发明效果

根据本发明，IC卡认证IC卡认证系统的有效性，并将认证结果进行防止假冒处理。将已处理的认证结果传送到IC卡之外的检查设备。该检查设备或验证设备验证已经过防止假冒处理的认证结果，并将验证结果以可感知方式输出到IC卡的用户。以这种方式，可以防止用户不注意地将认证信息输入到伪造的认证系统。因此，本发明可以提供可确实防止认证信息泄露的有效性检查系统、有效性检查方法、信息处理卡、检查设备以及认证设备。

附图说明

图1是根据本发明第一实施例的IC卡认证系统的示意图；

图2是示出根据本发明第一实施例的IC卡的结构的框图；

图3是示出根据本发明第一实施例的认证系统终端的框图；

图4是示出根据本发明第一实施例的便携式检查设备的框图；

图5是示出根据本发明第一实施例的用于在IC卡认证系统中显示身份认证的有效性的过程的流程图；

图6是示出根据本发明第一实施例的用于在IC卡认证系统中执行相互认证的过程的流程图；

图7是示出根据本发明第一实施例的用于在IC卡认证系统中显示身份认证的无效性的过程的流程图；

图8是示出根据本发明第一实施例的在其中将验证设备添加到IC卡认证系统中的结构的示意图；

图9是根据本发明第二实施例的IC卡认证系统的示意图；

图10是示出根据本发明第二实施例的IC卡的结构的框图；以及

图11是示出根据本发明第二实施例的便携式检查设备的框图。

附图标记说明

10   IC卡

10a  IC卡

11   CPU 

12    RAM

13    ROM

14    EEPROM

15    接口单元

16    接触端

17    认证程序

20    认证系统终端

20a   认证系统终端

21    CPU

22    RAM

23    ROM

24    EEPROM

25    IC卡接口单元

26    通信接口单元

27    小键盘

28    显示器

30    便携式检查设备

30a   便携式检查设备

31    天线线圈

32    无线电单元

33    控制单元

34    存储器

35    显示单元

36    操作单元

37    扬声器

38    振动器

39    卡公钥

40    通信线路

50    验证设备

51    CPU

52    RAM

53    ROM

54    IC卡接口单元

55    显示器

141   卡密钥

142   卡公钥

143   卡公钥证书

144   认证机构公钥

145   卡持有者认证信息

146   通知地址信息

147   终端认证结果信息

241   终端密钥

242   终端公钥

243   终端公钥证书

244   认证机构公钥

331   语音通信功能

332   邮件传送和接收功能

具体实施方式

以下是参照附图对本发明实施例的描述。

(第一实施例)

(授权系统的结构)

图1是示出作为本发明第一实施例的使用IC卡的认证系统的结构的示意图。图1所示的使用IC卡的认证系统包括：IC卡10、认证系统终端20、便携式检查设备30以及连接认证系统终端20和便携式检查设备30的通信线路40。IC卡10用作具有信息处理功能的信息处理卡。

通信线路40是电话线、因特网、无线电波连接(无线通信)等。

当利用IC卡接收各种服务时，用户将IC卡10插入认证系统终端20，并且通过认证系统终端20的小键盘输入密码(等同于认证信息)。

认证系统终端20使用所输入的密码来执行用户身份认证。在接着用户身份认证之后，认证系统终端20将服务提供给用户。

图2是示出用作信息处理卡的IC卡10的结构的框图。图2所示的IC卡10包括：CPU(中央处理单元)11、RAM(随机存取存储器)12、ROM(只读存储器)13、EEPROM(电可擦写和可编程只读存储器)14、接口单元15和接触端16。

CPU 11根据程序操作，并且控制IC卡10的处理。RAM 12是存储程序和数据的可读取和可写入的易失性存储器。ROM 13是只读非易失性存储器，并且存储认证程序17。

CPU 11将认证程序17读入RAM 12。CPU 11执行已读入RAM 12中的认证程序17，以便实现对IC卡10所连接的认证系统终端20的有效性进行认证的功能。因此，认证程序17和CPU构成有效性认证装置。

换言之，终端认证功能是通过CPU 11执行认证程序17来实现的。

EEPROM 14是存储大部分数据的可读取和可写入的非易失性存储器，诸如半导体存储器或闪存。EEPROM 14存储卡密钥141、卡公钥142、用于卡公钥142的卡公钥证书143以及认证机构公钥144。

例如，卡公钥证书143是用于通过认证机构以预定格式签发的卡公钥142的证书。卡公钥证书143通过认证机构公钥144来解密，并且卡公钥142被提取。

如下文将描述的，认证系统终端20和便携式检查设备30还存储密钥、公钥和公钥证书中的一些或全部。通过使用那些密钥和证书，在IC卡10和认证系统终端20之间以及IC卡10和便携式检查设备30之间执行加密通信。

EEPROM 14存储IC卡10的持有者的卡持有者认证信息145，诸如个人标识号和密码。

除此之外，EEPROM 14还存储被通知方地址信息146。如下文将描述的，在该实施例中，通过使用被通知方地址信息146而将终端认证结果通知便携式检查设备30。

例如，此处，被通知方地址信息可以是IC卡持有者的便携式检查设备30的标识号或者IC卡持有者的电子邮件地址。

接口单元15是用于与认证系统终端20连接的接口单元。将接触端16与认证系统终端20的接触端接触，使得IC卡10连接到认证系统终端20。

因此，接口单元15通过串行输入和输出等控制在IC卡10和认证系统终端20之间的数据通信，使得可以在IC卡10和认证系统终端20之间进行通信。IC卡10经由接触端16接收来自认证系统终端20的供电。

尽管图2所示的IC卡10是接触型IC卡，但是它也可以是具有天线线圈并且与认证系统终端20进行无线通信的非接触型IC卡。替代地，IC卡10可以是具有接触型和非接触型特征的混合型IC卡，或者可以是可以在两个接口单元之间共享一个存储器的双向存取类型。

图3是示出认证系统终端20的结构的框图。图3所示的认证系统终端20包括：CPU 21、RAM 22、ROM 23、EEPROM 24、IC卡接口单元25、通信接口单元26、小键盘27和显示器28。

CPU 21控制整个认证系统终端20。CPU 21将程序从ROM 23读入RAM 22，并且执行该程序，以便实现下文描述的认证功能。

RAM 22是存储数据和程序的易失性存储器。ROM 23是存储将要由CPU 21执行的程序的非易失性存储器。

EEPROM 24存储终端密钥241、终端公钥242、终端公钥证书243以及认证机构公钥244。

例如，终端公钥证书243是用于通过认证机构以预定格式签发的终端公钥242的证书。终端公钥证书243利用认证机构公钥244来解密，使得可以提取终端公钥242。

因此，在该认证系统中，通过使用那些密钥和证书等在认证系统终端20和IC卡10之间进行加密通信。

在该实施例中，存储在认证系统终端20中的认证机构公钥242具有与存储在IC卡10中的认证机构公钥144相同的内容。而且，代替ROM 23和EEPROM 24，可以使用诸如硬盘的存储介质。

IC卡接口单元25是在认证系统终端20和插入到卡插槽的IC卡10之间执行通信的接口。

通信接口单元26是将认证系统终端20连接到通信线路40的接口单元。例如，通信接口单元26可以是连接到电话线路的调制解调器，或是连接到LAN的网络接口单元。如下文将描述的，通过认证系统终端20的通信接口单元26来执行在IC卡10和便携式检查设备30之间的加密通信。

小键盘27是输入单元，通过它将信息输入到认证系统终端20。IC卡10的用户使用小键盘27来输入个人标识号。

显示器28是显示操作指令、处理状态等的显示单元。更具体而言，当CPU 21执行认证程序时，可以在显示器28上显示对所连接的IC卡执行的认证的结果、提示输入用于用户认证的个人标识号的消息等。

图4是示出便携式检查设备30的结构的框图。与常规便携式电话手持通话器一样，图4所示的便携式检查设备30包括：与基站执行无线通信的天线31和无线电单元32、根据程序操作的诸如CPU的控制单元33、存储器34、用液晶显示器等形成的显示单元35、用键盘等形成的操作单元36、扬声器37和振动器38。

控制单元33包括执行用于实现便携式电话手持通话器的各个功能的控制操作的语音通信功能单元331和邮件传送和接收功能单元332。

除了上述组件以外，便携式检查设备30进一步包括卡公钥39，其中存储了IC卡10的公钥数据。将卡公钥39包括为用于实现该实施例的组件。

如图4所示，可以将卡公钥39存储在存储器34中。如下文将描述的，在该实施例中，通过使用卡公钥39在便携式检查设备30和IC卡10之间进行加密通信。因此，卡公钥39应存储的位置并不特别受限制。

在该实施例中，存储在便携式检查设备30中的卡公钥39的内容与存储在IC卡10中的卡公钥142的内容相同。

如上所述，在该实施例中，在通过使用IC卡10接收服务之前，用户将IC卡10插入到认证系统终端20。按照显示在认证系统终端20的显示器28上的消息，用户通过小键盘27输入个人标识号。

然后，认证系统终端20与IC卡10通信，并且基于由IC卡10持有的数据或所输入的个人标识号等来执行用户的认证。在该实施例中，在用户被认证之后，将通过使用IC卡10的服务提供给用户。

(用于在认证系统中执行认证的过程)

现在参照图5到图7所示的流程图，描述在图1所示的认证系统中通过使用IC卡10的认证过程。

图5是示出在将IC卡10插入到认证系统终端20之后直到执行服务提供操作为止，将要执行的认证过程的流程图。

在该认证系统中，当用户将IC卡10插入到认证系统终端20时，IC卡10和认证系统终端20认证彼此的有效性(S5001)。以下将参照图6详细描述该认证过程(用于执行相互认证的过程)。

在该认证系统中，首先执行在IC卡10和认证系统终端20之间的相互认证(参见图6)，并且IC卡10根据相互认证的结果执行处理。

当认证系统终端20的有效性被IC卡10认证了时，IC卡10生成用终端认证结果形成的数据(下文称为数据M)(S5002)。

IC卡10通过使用卡密钥141来加密数据M，并且生成加密数据(下文称为加密数据C)(S5003)。

CPU 11和卡密钥141通过使用存储在ROM 13中的程序来执行该加密操作。程序、CPU 11和卡密钥141形成防止假冒装置。

IC卡10将存储在EEPROM 14中的通知地址信息146添加到加密数据C，并将具有被通知方地址信息146的加密数据C传送给认证系统终端20(S5004)。

然后，认证系统终端20将接收到的加密数据C传送到由通信接口单元26指定的被通知方地址，使得经由通信线路40将加密数据C传送到便携式检查设备30(S5005)。

便携式检查设备30通过使用存储在存储器34中的卡公钥39解密所接收到的加密数据C，以便恢复数据M(S5006)。

由于可以从加密数据C中恢复数据M，所以就认证了认证系统终端20的有效性。因此，便携式检查设备30在便携式检查设备30的显示单元35上指示有效性已经得到认证(S5007)。

控制单元33的CPU、用于激活CPU的程序(记录在控制单元中)以及卡公钥39形成验证装置。显示单元35用作验证结果输出装置。

更具体而言，便携式检查设备30将“已经认证了认证系统终端20的有效性”显示在显示单元35上。

然后，用户利用所恢复的数据M来确认认证系统终端20的有效性。此后，用户通过小键盘27将诸如个人标识号或密码的认证信息输入到认证系统终端20(S5008)。

当用户输入认证信息后，认证系统终端20将所输入的认证信息添加到身份认证请求，并且将该认证信息传送到IC卡10(S5009)。通过用作认证信息输出装置的通信接口单元26来执行该传送。

IC卡10比较所接收到的认证信息与存储在EEPROM 14中的卡持有者标识信息145，并且然后认证用户的有效性(身份认证)(S5010)。

CPU 11、ROM卡持有者认证信息145、存储在ROM 13中并激活CPU11的程序以及接口单元15构成身份认证输出装置。

将IC卡10对用户执行的身份认证的结果返回到认证系统终端20，并且根据该结果将各种服务提供给具有IC卡10的用户(S5011)。此处，根据记录在ROM 23上的程序来激活CPU 21，并且基于存储在EEPROM24或RAM 22中的信息来提供服务。记录在ROM 23上的程序、CPU 21、EEPROM 24和RAM 22构成服务提供开始装置。

如上所述，在IC卡10和认证系统终端20之间的相互认证的结果在IC卡10中被加密，并在便携式检查设备30中被解密成数据M。以这种方式，相互认证结果的内容并不泄露给第三方，并且用户可以在输入认证信息之前确认认证系统终端20的有效性。

接下来，描述用于在IC卡10和认证系统终端20之间执行相互有效性认证(上述的相互认证)的机制。

图6是示出用于在IC卡10和认证系统终端20之间执行相互认证的过程的流程图。

首先，认证系统终端20执行IC卡10的内部认证。这样做时，认证系统终端20生成随机号(随机号A)，并且将该随机号A存储在认证系统终端20的RAM 22中(S6001)。

然后，认证系统终端20将所生成的随机号A传送到IC卡10(S6002)。

接收到随机号A，IC卡10就生成新的随机号B，并将随机号A和随机号B存储在IC卡10的RAM 12中(S6003)。

使用卡密钥141，IC卡10生成对用随机号A形成的数据的签名(下文称为卡签名SA)(S6004)。

通过对用随机号A形成的数据A执行散列运算并且用IC卡10的卡密钥141加密所获取的散列值来产生用于数据A的签名。

IC卡10将卡公钥证书143添加到随机号B和卡签名SA，卡公钥证书143是由认证机构发布的用于对IC卡10的卡公钥142的证书。然后，IC卡10将随机号B和卡签名SA传送到认证系统终端20(S6005)。

此处，卡公钥证书143是证书CA。作为对IC卡10的公钥的卡公钥142是卡公钥PA。

认证系统终端20从接收到的证书CA中提取对IC卡10的卡公钥PA(S6006)，并且执行卡签名SA的验证(S6007)。

卡签名SA的验证是通过对用存储在认证系统终端20的RAM 22中的随机数A所形成的数据A执行散列运算，并且确定所获取的散列值与通过利用对IC卡10的卡公钥PA解密IC卡10的卡签名SA所获取的值是否相同来执行的。

认证系统终端20通过卡签名SA的验证来认证IC卡10的有效性。

接着，执行由IC卡10对认证系统终端20的认证。

使用存储在EEPROM 24中的终端密钥241，认证系统终端20生成用随机号B形成的数据的签名(下文称为终端签名SB)(S6008)。

认证系统终端20将终端公钥证书243添加到终端签名SB，终端公钥证书243是用于对认证系统终端20的终端公钥242的证书。然后，认证系统终端20将终端签名SB传送到IC卡10(S6009)。

此处，对认证系统终端20的终端公钥242是终端公钥PB，并且终端公钥证书243是证书CB。

IC卡10从接收到的证书CB中提取对认证系统终端20的终端公钥PB(S6010)，并且执行终端签名SB的验证(S6011)。

如同卡签名SA的验证，终端签名SB的验证是通过对用存储在IC卡10的RAM 12中的随机数B所形成的数据执行散列运算，并且确定所获取的散列值与通过利用终端公钥PB解密终端签名SB所获取的值是否相同来执行的。

以这种方式，IC卡10通过终端签名SB的验证执行认证系统终端20的有效性的认证。

已经描述了根据该实施例的用于在IC卡10和认证系统终端20之间执行相互认证的过程，但是可以利用共用密钥代替上述公钥来执行认证。在这样的情况下，IC卡10和认证系统终端20使用共用密钥，并且执行对数据的加密和解密。

如上所述，在该认证系统中，在用户输入个人标识号之前，将由IC卡10和认证系统终端20执行的有效性认证的结果传送到用户总是携带的便携式检查设备30。

因此，在便携式检查设备30没有接收到认证系统终端20的有效性认证的结果(相互认证的结果或数据M)的情况下，用户确定认证系统终端20是不可信的，并且避免输入作为认证信息的个人标识号。

替代地，在解密加密数据C揭示解密的数据是其有效性未被认证的数据(除数据M以外的数据)的情况下，即使便携式检查设备30接收到认证系统终端20的认证结果，便携式检查设备30也可以指示认证系统终端20的无效性。

现在参照图7所示的流程图，描述了直到便携式检查设备30指示无效性为止执行的过程。

当用户将IC卡10插入认证系统终端20时，在IC卡10和认证系统终端20之间开始相互有效性认证(S7001)。

在该认证系统中，在IC卡10和认证系统终端20之间执行相互认证，并且根据相互认证的结果来提供服务。因此，在IC卡10没有认证认证系统终端20的有效性的情况下，IC卡10生成用指示无效性的认证结果所形成的数据(下文称为数据N)(S7002)。

IC卡10通过使用卡密钥141来加密数据N，并且生成加密数据(下文称为加密数据D)(S7003)。

IC卡10将存储在EEPROM 14中的通知地址信息146添加到加密数据D，并且将具有被通知方地址信息146的加密数据D发送到认证系统终端20(S7004)。

认证系统终端20将接收到的加密数据D传送到通过通信接口单元26指定的被通知方地址，使得将加密数据D经由通信线路40传送到便携式检查设备30(S7005)。

便携式检查设备30通过使用存储在存储器34中的卡公钥39解密接收到的加密数据D，以便恢复数据N(S7006)。

来自加密数据D的数据N指示认证系统终端20的有效性未被认证以及认证系统终端20是无效的。然后，便携式检查设备30使显示单元35显示指示认证系统终端20是无效的消息(S7007)。

更具体而言，便携式检查设备30将消息“尚未认证认证系统终端20的有效性”显示在显示单元35上。

因此，基于所恢复的数据，如果恢复了相互认证的数据M，则便携式检查设备30显示认证系统终端20的有效性，并且如果恢复了相互未认证的数据N，则便携式检查设备30显示认证系统终端20的无效性。

以这种方式，可以保护用户免受将作为关于用户的认证信息的个人标识号输入到目的在于不当地获取作为认证信息的个人标识号的认证系统终端20中的危险。

由于现有的IC卡10和现有的认证系统终端20可以按它们在该实施例中一样使用，所以可以在不用花任何费用改变现有的系统资源的情况下实现上述的效果。

在该实施例的IC卡10和认证系统终端20认证了相互的有效性(上述的相互认证)之后，可以生成并且加密包括在认证系统终端20和IC卡10之间相互认证的结果以及相互认证时间的数据。

在这样的情况下，由于加密数据包括相互认证的时间，所以用户可以利用便携式检查设备30来检查相互认证的时间。因此，可以防止生成指示认证系统终端20的有效性的伪造认证结果数据。

此外，可以在相互认证的时间中设置有效期限，并且IC卡10可以仅在该有效期限之前接收认证信息并执行身份认证。

在该实施例中，输入包括密码、个人标识号等的认证信息。然而，存储在该实施例的IC卡10中的卡持有者认证信息145可以是生物特征识别信息，例如指纹、声波纹、面部、视网膜图案或虹膜代码。

在这样的情况下，认证系统终端20的小键盘27是诸如读取指纹的传感器、拾取语音的话筒或照相机的输入设备。IC卡10检查通过这样的输入设备输入的数据，以便执行更加可靠的身份认证。

在该实施例中，除显示器以外，便携式检查设备30可以将扬声器或振动器用作向用户显示认证系统终端20的有效性认证结果的装置。

而且，在该实施例中，便携式检查设备30解密加密数据C，并且由IC卡10执行身份认证。然而，本发明并不限于此，并且可以在IC卡10执行认证系统终端20的有效性认证(上述的相互认证)之后，加密用相互认证结果形成的数据M。然后，可以将数据M传送到指定的便携式检查设备30，并且可以由便携式检查设备30解密加密数据C。而且，可以将存储在IC卡10之中的卡持有者认证信息145传输到认证系统终端20，并且可以由认证系统终端20而不是IC卡10来执行身份认证。

在这种情况下，可以通过有效性已经被认证的认证系统终端20来执行利用IC卡10的有限硬件资源无法执行或要花费很长时间的复杂生物特征识别信息检查操作。

此外，即使在认证系统终端20和IC卡10(诸如非接触IC卡10)之间的接触时间很短，也可以在结束在IC卡10和认证系统终端20之间的通信之后，通过其有效性已经被相互认证的认证系统终端20来执行用户有效性信息。

而且，在该实施例中，IC卡10存储关于便携式检查设备30的通知地址信息146。然而，本发明并不受限于此，并且可以将放置在通信线路上的可靠验证设备而不是便携式检查设备30设置为通知目的地。

图8示出了添加该验证设备的结构。在图8中，通过与那些到目前为止使用的附图标记相同的附图标记来标注与到目前为止描述的组件相同的组件。图8所示的使用IC卡的认证系统包括：IC卡10、认证系统终端20、便携式检查设备30、通信线路40和验证设备50，验证设备50通过通信线路40连接到IC卡10和便携式检查设备30，并可以与IC卡10和便携式检查设备30通信。

在这种情况下，可以操作验证设备50来将加密数据C传送到链接到IC卡10的便携式检查设备30。更具体而言，可靠的验证设备50验证并解密加密数据C，并且可以将所恢复的数据M传送到便携式检查设备30。

利用该布置，便携式检查设备30不必存储卡公钥39，并且可以通过用户简单地将便携式检查设备30的地址注册到可靠的验证设备50来实现上述效果。

而且，在该实施例中，在IC卡持有者的便携式检查设备30的电子邮件地址和IC卡10的持有者的电子邮件地址注册到通知地址信息146的情况下，当第三方正在不当地使用IC卡10时，将由IC卡10生成的加密数据C传送到IC卡10的持有者。因此，可以将IC卡10的未授权使用迅速通知IC卡10的持有者。

在第一实施例中，IC卡10通过使用通过认证系统终端20获取的认证信息和注册到IC卡10中的卡持有者认证信息145来执行身份认证，并且然后提供各种服务。然而，本发明并不限于该布置，并且IC卡10可以是非接触型，并且可以将这种非接触IC卡设置在便携式终端中。

在这种情况下，IC卡10的连接终端16和认证系统终端20的IC卡接口单元25进一步包括可以执行非接触通信的无线通信功能。利用设置在在便携式终端中的非接触IC卡，可以形成装备非接触IC卡的终端，该终端包括该非接触IC卡。

利用这种布置，装备非接触IC卡的终端可以将IC卡的认证结果显示在装备非接触IC卡的终端上。

(第二实施例)

接着，参照附图描述本发明的第二实施例。

图9是根据第二实施例的使用IC卡的认证系统的结构的示意图。图9所示的使用IC卡的认证系统包括IC卡10a、认证系统终端20a和便携式检查设备30a。

为了通过IC卡10a接收各种服务，用户将IC卡10a插入到认证系统终端20a。在IC卡10a从认证系统终端20a返回之后，用户将IC卡10a插入到便携式检查设备30a。按照显示在便携式检查设备30a上的信息，用户通过认证系统终端20a的小键盘输入密码(或认证信息)。

使用所输入的密码，认证系统终端20a对用户执行身份认证。在继身份认证之后，认证系统终端20a通过IC卡10a向用户提供10a各种服务。

图10是示出IC卡10a的结构的框图。不同于图2所示的结构，在EEPROM 14中存储作为用于实现第二实施例的要素的终端认证结果信息147而不是通知地址信息146。

图11是示出便携式检查设备30a的结构的框图。如图11所示，除了CPU 51、RAM 52和ROM 53以外，便携式检查设备30a包括作为用于实现第二实施例的要素的IC卡接口单元54和显示器55。

如上所述，在第二实施例中，在接收服务之前，用户将IC卡10a插入到认证系统终端20a，并且认证认证系统终端20的有效性。根据相互认证结果，将认证结果存储在IC卡10a的终端认证结果信息147中，并且将IC卡10a的卡持有者认证信息145传输到认证系统终端20a。

在IC卡10a从认证系统终端20a返回到用户之后，用户将IC卡10a插入到便携式检查设备30a，并且通过IC卡接口单元54将IC卡10a的终端认证结果信息147读入便携式检查设备30a。如果用户确认显示在便携式检查设备30a的显示器55上的认证系统终端20a的有效性认证的结果，则用户通过认证系统终端20a的小键盘27输入个人标识号。

以这种方式，通过使用之前从IC卡10a接收的卡持有者认证信息145和所输入的个人标识号，认证系统终端20a执行用户的身份认证。

在以上述方式认证用户之后，根据第二实施例的认证系统通过IC卡10a向用户提供各种服务。

以上描述了本发明的示例性实施例，但是在不偏离由本申请的权利要求所限定的精神和主要特征的情况下，可以以各种形式来具体体现本发明。为此，应当认为这些实施例是说明性的而不是限制性的。本发明的范围是由所附权利要求而不是说明和摘要来指示的。因此，旨在将在权利要求的等效性范围之内的所有变化和修改都包括在本发明中。