JP4338989B2 - メモリデバイス - Google Patents

メモリデバイス Download PDF

Info

Publication number
JP4338989B2
JP4338989B2 JP2003042288A JP2003042288A JP4338989B2 JP 4338989 B2 JP4338989 B2 JP 4338989B2 JP 2003042288 A JP2003042288 A JP 2003042288A JP 2003042288 A JP2003042288 A JP 2003042288A JP 4338989 B2 JP4338989 B2 JP 4338989B2
Authority
JP
Japan
Prior art keywords
application
data
memory
saved
save
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2003042288A
Other languages
English (en)
Other versions
JP2004252707A (ja
JP2004252707A5 (ja
Inventor
佳彦 高木
隆文 菊地
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Priority to JP2003042288A priority Critical patent/JP4338989B2/ja
Priority to US10/782,556 priority patent/US7797553B2/en
Priority to CNB2004100312090A priority patent/CN1329807C/zh
Priority to EP04003878A priority patent/EP1450235B1/en
Priority to DE602004032076T priority patent/DE602004032076D1/de
Publication of JP2004252707A publication Critical patent/JP2004252707A/ja
Publication of JP2004252707A5 publication Critical patent/JP2004252707A5/ja
Application granted granted Critical
Publication of JP4338989B2 publication Critical patent/JP4338989B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/77Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、半導体メモリカードなどのメモリデバイスに関し、特に、秘匿性を備えた領域の効率的な活用を可能にするものである。
【0002】
【従来の技術】
近年、電子商取引などへの利用が拡大しているICカードは、耐タンパー性のモジュール内にメモリ領域を有しており、そのため、データを強固に秘匿することができ、複製や偽造に対して固い耐性を備えている。しかし、ICカードのメモリ領域は、数十キロバイト程度の僅かなメモリ容量しか有していないため、多くのデータを格納することができない。
【0003】
このICカードに格納されたアプリケーションプログラム(以下、「AP」と言う)を一時的に端末に退避させて、ICカードを有効に活用する技術が下記特許文献1に記載されている。このICカードは、暗号化鍵を生成・管理し、退避対象のAPを暗号化してから端末に退避させる。また、退避させたAPを回復するときは、端末から受け取ったAPを、管理している暗号化鍵を用いて復号化し、ICカード内部のメモリ領域に再格納する。
【0004】
【特許文献1】
特開2000−11101号
【0005】
【発明が解決しようとする課題】
しかし、ICカードに格納したAPを端末Aに退避させた場合は、その端末A以外の端末BでAPを利用しようとすると、端末AをICカードに接続して、退避させたAPをICカード内部のメモリ領域に再格納し、その後に端末BとICカードとを接続したり、あるいは、端末Aに退避したAPを、ネットワーク等を介して端末Bに移送し、その後に端末BとICカードとを接続したりする必要がある。つまり、APをICカードの外に退避させた場合は、退避先の端末A以外の端末BでAPを利用する場合に、極めて煩雑な手順が必要になるという問題点がある。
【0006】
本発明は、こうした従来の問題点を解決するものであり、秘匿性を備えた領域を効率的に活用して、APの利用に必要な多くのデータを内部で安全に保持することができるメモリデバイスを提供することを目的としている。
【0007】
【課題を解決するための手段】
そこで、本発明のメモリデバイスには、電子機器から直接アクセスすることができない耐タンパー性の第1のメモリと、電子機器から直接アクセスすることができない非耐タンパー性の第2のメモリとを設け、第2のメモリを使用して、第1のメモリに蓄積されたデータを退避するように構成している。
このメモリデバイスでは、多数のAPの利用に必要なデータをデバイス内部で安全に保持することができるため、認証条件を満たす端末であれば、どの端末でも、そこに保持されたデータを利用することができる。
【0008】
【発明の実施の形態】
本発明の実施形態における半導体メモリカード(ここでは「セキュアメモリカード」と呼ぶことにする)は、図2の概念図に示すように、耐タンパー性モジュール(tamper resistant module:TRM)40に含まれる内部CPU30及び内部不揮発性メモリ41と、非認証領域53、認証領域52及びセキュア領域51を備える大容量不揮発性メモリ50と、端末装置(リード/ライト(R/W)装置)の外部CPU60と通信して、端末装置によるメモリ領域へのアクセスを制御する制御部20とを備えている。
【0009】
内部不揮発性メモリ41及びセキュア領域51に対しては、内部CPU30のみがアクセス可能であり、端末装置は、内部不揮発性メモリ41及びセキュア領域51に直接アクセスすることはできない。また、制御部20は、端末装置の認証処理を行い、認証した外部CPU60が認証領域52にアクセスすることを許可する。一方、非認証領域53に対しては、端末装置は無条件でアクセスすることができる。
【0010】
TRM40の不揮発性メモリ41は、例えば、16バイト単位で消去・書き込みができるEEPROMから成り、また、大容量不揮発性メモリ50は、例えば、512バイト等のブロック単位での消去と1バイト単位での書き込みとが可能なフラッシュメモリから成る。
外部CPU60は、非認証領域53に無条件でアクセスすることができ、また、認証領域52には、制御部20での認証を済ませた場合にアクセスすることができるが、セキュア領域51及び内部不揮発性メモリ41の存在を知ることはできず、これらに直接アクセスすることはできない。
【0011】
セキュア領域51及び内部不揮発性メモリ41に対しては、内部CPU30だけがアクセス可能である。セキュア領域51と内部不揮発性メモリ41との違いは、内部不揮発性メモリ41がTRM40に設けられているのに対し、セキュア領域51が、耐タンパー性を持たない大容量不揮発性メモリ53に設けられている点である。そのため、セキュア領域51は、内部不揮発性メモリ41に比べて大きい蓄積容量を持つことができる。その反面、セキュリティレベルは、TRM40に設けられた内部不揮発性メモリ41よりも低い。この4つの領域のセキュリティレベルは、非認証領域53が最も低く、認証領域52、セキュア領域51、内部不揮発性メモリ41の順に高くなっている。
【0012】
図3のブロック図は、セキュアメモリカード10の構成を示している。セキュアメモリカード10は、大別して、制御部20と、大容量不揮発性メモリ50と、図2のTRM40に相当するIC部11とで構成される。大容量不揮発性メモリ50は、非認証領域53と、認証領域52と、セキュア領域51と、これらの領域のアドレス情報が格納されたアドレス情報管理領域54とを有している。
【0013】
制御部20は、R/W装置69との間でデータの授受を行うデータI/F部21と、R/W装置69との間でコマンドの授受を行うコマンドI/F部22と、R/W装置69を認証する制御認証部23と、受け付けたコマンドを解釈してコマンドに応じた処理を行う制御コマンド処理部24と、大容量不揮発性メモリ50へのアクセスを制御するとともにIC部11とのデータの受け渡し窓口となるアクセス制御部25と、大容量不揮発性メモリ50との間でデータを受け渡す大容量不揮発性メモリI/F部26とを備えている。
【0014】
また、耐タンパー性のIC部11は、内部不揮発性メモリ41と、制御部20との間でデータやコマンドの授受を行うI/F部12と、コマンドを解釈してコマンドに応じた処理を行うICコマンド処理部13と、内部不揮発性メモリ41及びセキュア領域51にファイル形式で格納されたデータを管理するファイル管理部14と、R/W装置69を認証し、認証したR/W装置69に対して内部不揮発性メモリ41及びセキュア領域51へのデータアクセスを許可するIC認証部15と、内部不揮発性メモリ41及びセキュア領域51への書き込み/読み出しデータに対して内部不揮発性メモリ41に格納された鍵を用いて暗号化/復号化を行う暗復号回路17と、内部不揮発性メモリ41及びセキュア領域51の管理を行うメモリ管理部16と、内部不揮発性メモリ41へのデータの授受を行う内部不揮発性メモリI/F部18とを備えている。
【0015】
制御部20の制御コマンド処理部24は、R/W装置69から受信したコマンドを解釈し、そのコマンドが
・大容量不揮発性メモリ50の認証領域52または非認証領域53へのアクセスを要求するものであるか、
・認証を要求するものであるか、
・IC部11による処理を要求するものであるか
を判断し、大容量不揮発性メモリ50の認証領域52または非認証領域53へのアクセスを要求しているときは、アクセス制御部25に大容量不揮発性メモリ50へのアクセス制御を指示し、IC部11による処理を要求しているときは、アクセス制御部25にIC部11へのコマンドの転送を指示し、また、認証を要求しているときは、制御認証部23に認証処理を指示する。
【0016】
アクセス制御部25は、大容量不揮発性メモリ50へのアクセス制御に当たって、大容量不揮発性メモリ50のアドレス情報管理領域54に記録されたアドレス情報を参照する。端末(R/W装置69)が大容量不揮発性メモリ50の論理アドレスを指定してアクセスを求めて来たときは、アドレス情報管理領域54の記録から、指定されたアドレスが大容量不揮発性メモリ50のいずれの領域に属しているかを判断し、認証領域52へのアクセス要求に対しては、認証済み端末に限って許可する。
【0017】
また、IC部11のICコマンド処理部13は、制御部20から送信されたコマンドを解釈し、その処理要求が、
・内部不揮発性メモリ41へのデータ書き込み/読み出しを要求するものであるか、
・セキュア領域51へのデータ書き込み/読み出しを要求するものであるか、
・認証を要求するものであるか、
・その他の処理を要求するものであるか
を判断する。
【0018】
コマンドが、認証を要求しているときには、ICコマンド処理部13は、IC認証部15にR/W装置69の認証処理を指示する。
また、コマンドが、内部不揮発性メモリ41へのデータの書き込み/読み出し、または、セキュア領域51へのデータの書き込み/読み出しを要求するコマンドであるときには、ICコマンド処理部13は、IC認証部15において認証処理が済んでいるかを確認し、認証処理が済んでいる場合は、その要求を許可し、その要求が書き込み要求であるときは、書き込むデータを、格納先の情報を付してメモリ管理部16に送る。
【0019】
内部不揮発性メモリ41及びセキュア領域51を管理するメモリ管理部16は、書き込むデータを暗復号回路17で暗号化し、データに署名(この処理に用いる暗号鍵や検証鍵は内部不揮発性メモリ41に格納されている)を付した後、内部不揮発性メモリ41に書き込むべきデータを、内部不揮発性メモリI/F部18を介して、内部不揮発性メモリ41に書き込み、書き込み位置の情報をファイル管理部14に伝える。また、セキュア領域51に書き込むべきデータを、大容量不揮発性メモリI/F部26を介して、大容量不揮発性メモリ50のセキュア領域51に書き込み、書き込み位置の情報をファイル管理部14に伝える。なお、署名は、暗号化したデータとは別に内部不揮発性メモリ41で保持する場合もある。
【0020】
ファイル管理部14は、メモリ管理部16から伝えられた情報を基に、内部不揮発性メモリ41及びセキュア領域51に格納されたファイルを管理する。
また、ICコマンド処理部13は、その要求が読み出し要求であるときは、読み出すべきデータのファイル位置をファイル管理部14に求め、メモリ管理部16にそのファイルの読み出しを要求する。
メモリ管理部16は、そのファイルを内部不揮発性メモリ41またはセキュア領域51から読み出すと、暗復号回路17でデータの署名検証や復号化を行い、ICコマンド処理部13に送る。
【0021】
復号化されたデータは、制御部20に送られ、データI/F部21からR/W装置69に送信される。
また、ICコマンド処理部13は、メモリ容量が少ない内部不揮発性メモリ41を有効に活用するため、内部不揮発性メモリ41に格納したデータをセキュア領域51に退避させる処理を行う。以下、この退避処理について詳しく説明する。
【0022】
(第1の実施形態)
ICコマンド処理部13は、端末から、セキュアカード内部で動作する、退避可能なAPのダウンロード(以下「DL」と言う)が要求された場合に、内部不揮発性メモリ41に空きが有るときは、端末から送られたAPのプログラムコード(プログラムを記述するプログラムデータ)を内部不揮発性メモリ41に格納する処理、即ち、DL処理を行う。また、端末のインストール要求に応じて、DLしたAPのプログラムコードを実行し、AP用のデータを作成してAPを実行可能な状態にする処理、即ち、インストール処理を行う。
【0023】
また、ICコマンド処理部13は、内部不揮発性メモリ41に空きが無いときは、端末からの指示により(または、自らの判断で)、内部不揮発性メモリ41に既に格納されている、退避可能なAPのプログラムコード及びデータをセキュア領域51に退避させる処理を行い、空きができた内部不揮発性メモリ41に、端末から送られたAPのDL処理及びインストール処理を行う。
また、ICコマンド処理部13は、セキュア領域51に退避したAPの起動が端末から要求された場合に、そのAPをインストール状態に戻すために、内部不揮発性メモリ41に空いた領域が有るときは、起動要求されたAPのプログラムコード及びデータを内部不揮発性メモリ41に復元(データ移動)し、そのAPを起動する。
【0024】
この場合、内部不揮発性メモリ41に空いた領域が無いときは、内部不揮発性メモリ41に格納されている退避可能なAPのプログラムコード及びデータをセキュア領域51に退避させ、空きができた内部不揮発性メモリ41に、起動要求されたAPのプログラムコード及びデータを復元する。
なお、セキュア領域51への退避は、APのインストール処理で作成したデータだけを対象に行い、APのプログラムコードについては内部不揮発性メモリ41から削除するようにしても良い。プログラムコード自体は、退避するデータと違って、セキュアカードで生成したものではなく、いつでも端末から同じものをDLすることが可能なためである。このAPの起動は、セキュア領域51に退避したAPのデータを内部不揮発性メモリ41の空き領域に復元し、端末からAPのプログラムコードを内部不揮発性メモリ41にDLして行われる。
【0025】
図1は、この内部不揮発性メモリ41の構成を示している。内部不揮発性メモリ41の内部には、APのプログラムコードが格納されるAP格納領域411と、APで利用するデータが格納されるデータ格納領域412と、内部不揮発性メモリ41にプログラムコード及びデータが格納されたAPを管理するためのAP管理テーブル413と、セキュア領域51に退避したAPを管理するための退避AP管理テーブル414と、退避・復元するコードやデータの暗号化・復号化に用いる鍵と署名生成・検証に用いる鍵とが格納された鍵管理領域415とが設けられている。
【0026】
AP管理テーブル413には、図4に示すように、APがどのようなものであるかを一意に示すAP識別子と、そのAPのインストール処理がされているか否かを示すインストールフラグと、プログラムコードが格納されたAP格納領域411のアドレスを示すコードアドレスと、データが格納されたデータ格納領域412のアドレスを示すデータアドレスと、このAPが退避可能であるか否かを示す退避可否とが記述される。なお、退避可否は、APのDL時に端末から伝えられる。
【0027】
また、退避AP管理テーブル414には、図5に示すように、AP識別子と、退避させたデータの格納位置等を一意に特定するための退避データ識別子と、退避データに対する署名データとが記述される。退避データ識別子は、様々な形式で設定することができ、例えば(退避先アドレス+データサイズ)を退避データ識別子としても良い。
また、図6には、退避データを格納するデータ退避領域511を備えたセキュア領域51の構成を示している。
【0028】
次に、APのDL、インストール、退避、及び復元に伴うAP管理テーブル413や退避AP管理テーブル414の遷移について説明する。
図13(a)には、初期状態(APが1つもDL/インストール/退避/復元されていない状態)のAP管理テーブル413を示し、また、図16(a)には、初期情報の退避AP管理テーブル414を示している。端末からAPとして退避可否が可のAP1がDLされると、AP管理テーブル413には、図13(b)のように記述される。「code1」は、AP格納領域411に格納されたAP1のプログラムコードのアドレスを示している。さらに、退避可否が可のAP2がDLされると、AP管理テーブル413の記述は図13(c)のようになる。AP1及びAP2をインストールした状態では、AP管理テーブル413の記述は図14(d)のように変わり、データ格納領域412に格納されたAP1のデータのアドレスが「data1」として、データ格納領域412に格納されたAP2のデータのアドレスが「data2」として記述される。
【0029】
図14(e)には、さらに、端末から退避可否が否のAP3、退避可否が可のAP4及びAP5がDLされ、インストールした状態を示している。また、このときの内部不揮発性メモリ41のAP格納領域411及びデータ格納領域412の状態を図17(a)に、セキュア領域51のデータ退避領域511の状態を図17(b)に示している。AP格納領域411には空きが無い。
次に、このようにAP格納領域411に空きが無い状態で、端末があるAP(ここではAP6)のDLを要求した場合には、端末とICコマンド処理部13との間で図7に示す処理が行われる。
【0030】
端末がAP6のDLを要求すると(▲1▼)、ICコマンド処理部13は、内部不揮発性メモリ41のAP格納領域411に空きが存在しないため、空き領域がない旨のエラー通知を端末に対して行う(▲2▼)。端末は、退避可能なAP一覧を要求し(▲3▼)、カードから退避可能なAP一覧を取得して(▲4▼)、その中から退避可能なAP(ここではAP2)を選択して、AP2の退避を要求する(▲5▼)。ICコマンド処理部13は、AP2の退避処理を行い(▲6▼)、退避完了通知を端末に伝える(▲7▼)。AP2の退避処理が行われた状態でのAP管理テーブル413を図15(f)に示し、退避AP管理テーブル414を図16(b)に示し、また、内部不揮発性メモリ41のAP格納領域411及びデータ格納領域412の状態を図18(a)に、セキュア領域51のデータ退避領域511の状態を図18(b)に示している。
【0031】
端末はAP6のDLを要求し(▲8▼)、ICコマンド処理部13は、AP6のDL処理を行い(▲9▼)、DL完了通知を端末に送る(10)。AP6のDL処理が行われた状態でのAP管理テーブル413を図15(g)に示し(アドレスcode6は、AP2の退避により空き領域となったcode2またはdata2と同一となることもあるし、ならないこともある)、また、内部不揮発性メモリ41のAP格納領域411及びデータ格納領域412の状態を図20(a)に示している。
【0032】
なお、ここでは、ICコマンド処理部13が端末からのAP退避要求を待って退避処理を行う場合について示したが、AP格納領域411に空きが無いときに、ICコマンド処理部13が自ら判断してAPの退避処理を行うことも可能である。この場合、図8に示すように、端末がAP6のDLを要求すると(▲1▼)、ICコマンド処理部13が、退避可能なAPの中から選択したAP2を退避させて(▲2▼)、AP格納領域411に空き領域を確保した後、AP6のDL処理を行い(▲3▼)、DL完了通知を端末に送る(▲4▼)、と言う処理手順になる。
このように、端末に意識されること無く、自動的に退避処理が行われる。また、この場合、AP6のDL完了後、AP2を自動的に退避させたことを端末に通知するようにしても良い。
【0033】
また、図7の▲6▼、あるいは、図8の▲2▼でのAP退避処理は、図9(a)または図9(b)に示す手順で実行される。図9(a)は、署名データをセキュア領域51に格納する方式であり、まず、署名鍵を用いて、退避用データ(前述するように、インストール処理されたAPのプログラムコードと生成データとを退避用データにする場合と、生成データだけを退避用データにする場合とがある)の署名データを生成し(▲1▼)、退避用データと署名データとを連結し(▲2▼)、連結したデータを退避用暗号鍵で暗号化し(▲3▼)、暗号化したデータをセキュア領域51のデータ退避領域511に格納する(▲4▼)。そして、退避AP管理テーブル414にAP識別子及び退避データ識別子を追加する(この方式の場合には、署名データは、退避AP管理テーブル414に加えない)。インストール処理で生成したデータだけを退避用データとした場合は、AP格納領域411から退避対象APのプログラムコードを削除し、AP管理テーブル413上から退避対象APに関する情報を削除する。
【0034】
一方、図9(b)は、署名データを退避AP管理テーブル414に保存する方式であり、退避用データを暗号鍵で暗号化し(▲1▼)、署名鍵を用いて暗号化データの署名データを生成し、この署名データを退避AP管理テーブル414に保存する(▲2▼)。暗号化したデータはセキュア領域51のデータ退避領域511に格納する(▲3▼)。そして、退避AP管理テーブル414に、さらにAP識別子及び退避データ識別子を追加する。インストール処理で生成したデータだけを退避用データとした場合は、AP格納領域411から退避対象APのプログラムコードを削除し、AP管理テーブル413上から退避対象APに関する情報を削除する。
【0035】
次に、端末が、退避状態のAP2に対して起動要求した場合のセキュアカード10の動作について説明する。この場合、AP2が退避されていることを端末が認識し、端末からAP2の復元要求を行う方法と、ICコマンド処理部13が、起動要求されたAP2の退避を認識し、自らAP2の復元処理を行う方法とがある。
【0036】
図10には、端末からAP2の復元要求を行う場合の手順を示している。端末はAP2の起動要求をセキュアカード10に対して行う(▲1▼)。ICコマンド処理部13は、AP管理テーブル413を参照してAP2が内部不揮発性メモリ41に存在しないことを認識し(▲2▼)、端末にAP2が内部不揮発性メモリ41に存在しないことを通知する(▲3▼)。端末はセキュアカード10に「退避AP管理テーブル」414の取得を要求し(▲4▼)、ICコマンド処理部13は、端末に退避AP管理テーブル414を送信する(▲5▼)。端末は退避AP管理テーブルによってAP2が退避されていることを認識し、セキュアカード10に任意のAP(ここではAP4)の退避要求を行う(▲6▼)。ICコマンド処理部13は、AP4の退避処理を行い(▲7▼)、端末に退避完了を通知する(▲8▼)。
【0037】
図19には、図20の状態からAP4を退避させたときのAP格納領域411、データ格納領域412及びデータ退避領域511の状態を示し、また、図16(c)には、このときの退避AP管理テーブル414を示している。
次いで、端末はセキュアカード10にAP2の復元要求を行う(▲9▼)。ICコマンド処理部13は、AP2の復元処理を行い(10)、端末に復元完了を通知する(11)。図15(h)は、AP2を復元処理した状態のAP管理テーブル413を示し(アドレスcode7及びdata7は、AP4の退避により空き領域となったcode4またはdata4と同一となることもあるし、ならないこともある)、また、図16(d)は、このときの退避AP管理テーブル414を示し、図21は、このときのAP格納領域411、データ格納領域412及びデータ退避領域511の状態を示している。
次いで、端末はセキュアカード10に再度AP2の起動要求を行う(12)。ICコマンド処理部13は、AP2を起動し(13)、端末に起動完了を通知する(14)。
【0038】
なお、▲3▼の通知において、同時に、AP2が退避中であることを通知することによって、▲4▼、▲5▼を省略することもできる。また、AP2が退避中であることを端末が認識している場合には、▲4▼以降の手順が行われる。また、AP2の退避がインストール処理で生成されたデータについてのみ行われ、AP2のプログラムコードが削除されている場合には、端末は、▲9▼の手順でAP2のプログラムコードをDLする。
【0039】
一方、図11は、ICコマンド処理部13が、起動要求されたAP2の退避を認識し、自らAP2の復元処理を行う場合の手順を示している。端末はAP2の起動要求をセキュアカード10に対して行う(▲1▼)。ICコマンド処理部13は、AP管理テーブル413を参照してAP2が内部不揮発性メモリ41に存在しないことを認識し、次に、退避AP管理テーブル414を参照してAP2が退避されていることを認識し、あるAPを退避対象として選択し(ここではAP4)、その退避処理を行う。次いで、空いた領域にAP2を復元し(▲2▼)、AP2を起動して(▲3▼)、端末には起動完了を通知する(▲4▼)。
【0040】
この場合、AP2が退避されていることを気付いていない端末が、AP2の起動指示を出した場合でも、そのAP2を起動するための処理が、ICコマンド処理部13によって行われる。そのため、端末は、起動要求するAPが退避されているか否かを意識する必要がない。
なお、この方法は、AP2の退避がインストール処理で生成されたデータについてのみ行われ、AP2のプログラムコードが削除されている場合には、適用できない。
【0041】
また、図10の(10)、あるいは、図11の▲2▼での復元処理は、退避処理が図9(a)の手順で行われているときは、図12(a)の手順で、また、退避処理が図9(b)の手順で行われているときは、図12(b)の手順で行われる。図12(a)では、退避AP管理テーブル414のAP識別子により退避データ(暗号化データ)を認識し、復号鍵を用いて暗号化データを内部不揮発性メモリ41上に復号化する(▲1▼)。次いで、復号化したデータから退避データ本体と署名データとを認識し、検証鍵を用いて、署名データの正当性を検証する。署名が正当であるときは、退避用データ本体に含まれるプログラムコードを内部不揮発性メモリ41のAP格納領域411に、データをデータ格納領域412に復元する(▲2▼)。また、AP管理テーブル413にAP識別子を記述し、インストールフラグをONに設定し、AP格納領域411及びデータ格納領域412に格納した復元データのアドレスをコードアドレス及びデータアドレスとして記述する。最後にセキュア領域51内の退避暗号化データと、退避AP管理テーブル414の当該APに関する部分を削除する。
【0042】
また、図12(b)の手順では、退避AP管理テーブル414のAP識別子により退避データ(暗号化データ)を認識し、検証鍵を用いて、退避AP管理テーブル414に記述された署名データとの検証を行う(▲1▼)。検証結果が正常であれば、復号鍵を用いて暗号化データを内部不揮発性メモリ41上に復号化し(▲2▼)、プログラムコードを内部不揮発性メモリ41のAP格納領域411に、また、データをデータ格納領域412に復元する(▲3▼)。その後の処理は図12(a)の場合と同じである。
【0043】
また、APの退避がインストール処理で生成されたデータについてのみ行われている場合には、端末がAPのプログラムコードをDLしたときに、データの復元処理が次の手順で行われる。
復元対象APを端末からDLする。ICコマンド処理部13は、AP管理テーブル413にAP識別子及びコードアドレスを記述し、DLしたAPと同一のAP識別子を退避AP管理テーブル414より検索する。対応するものが存在すれば、セキュア領域51のデータ退避領域511から暗号化データを読み出し、復号化する。復号化したデータから、退避データ本体と署名データとを認識し、署名データの正当性の検証を行う。検証結果が正当であれば、退避データ本体を内部不揮発性メモリのデータ格納領域412に格納し、AP管理テーブル内の該当するAPのインストールフラグをONに設定し、データアドレスとして、復元データを格納したデータ格納領域412のアドレスを設定する。最後にセキュア領域内の退避暗号化データと、退避AP管理テーブルの該APに関する部分を削除する。
【0044】
ここでは、APのプログラムコードと、インストール処理で生成されたデータとを共に退避する場合、及び、データのみを退避し、プログラムコードを削除する場合について説明したが、プログラムコードに比べてデータのデータ量が遥かに大きい場合には、データのみをセキュア領域51に退避し、プログラムコードは、内部不揮発性メモリ41のAP格納領域411に残しておくことも可能である。こうした方式を採ると、図18に示すAP格納領域411、データ格納領域412及びデータ退避領域511の状態は、図22のように変わり、また、図20に示す状態は、図23のように変わる。
【0045】
APのプログラムコード及びデータを共に退避する場合、並びに、データを退避し、プログラムコードを内部不揮発性メモリに残す場合には、図11に示す、ICコマンド処理部による自動的な復元処理手順が可能となる。
また、端末から、セキュア領域51に退避中のAPの起動が要求されたとき、次の手順により、APのプログラムコードやデータをセキュア領域51に置いたまま、APの実行を行うことも可能である。
【0046】
例えば、図18、図15(f)及び図16(b)の状態にあるとき、端末がセキュアカード10に対しAP2の実行を要求すると、ICコマンド処理部13は、AP管理テーブル(図15(f))よりAP2がインストール状態でないことを認識し、退避AP管理テーブル(図16(b))より退避中であることを認識し、退避データ識別子により、evac2を読み出し、復号化と署名検証とを行う。署名検証が正常に終了すると、復号化データよりAP2のプログラムコードを取得し、AP2の実行を行う。
この場合には、退避中のAPを内部不揮発性メモリ41に復元することを要しない。
【0047】
このように第1の実施形態のセキュアメモリでは、内部不揮発性メモリにDLされてインストール処理されたAPの内、退避の可能なものだけが退避される。そのため、最高度の機密を要するAPは、「退避不可」とすることにより、退避の対象から外れることができる。また、紛失の危険性を甘受できる程度のセキュリティを要求するAPは、「退避可」とすることにより、セキュアメモリにおける秘匿領域の効率的な利用が可能になる。
【0048】
(第2の実施形態)
本発明の第2の実施形態におけるセキュアメモリの構成は、第1の実施形態(図2、図3)と同じである。
第1の実施形態では、APをセキュアメモリ10の内部不揮発性メモリ41にDLし、内部不揮発性メモリ41に新たなAPをDLする空きが無いときに、インストール処理された退避可のAPを内部不揮発性メモリ41からセキュア領域51に退避させる場合について説明したが、第2の実施形態では、セキュア領域51をAPのDL先とすることを可能にしている。ただし、セキュア領域51にDLされたAPのインストール処理は、内部不揮発性メモリ41で行われる。
【0049】
APのDL先を内部不揮発性メモリ41とするか、セキュア領域51とするかは、次のような方式で決定される。
第1の方式では、DL時に、APのプログラムコードと合わせて、端末から内部不揮発性メモリDL専用フラグを送信する。セキュアメモリ10のICコマンド処理部13は、そのフラグを参照し、内部不揮発性メモリDL指定がなされていれば、必ず内部不揮発性メモリ41にDLし、内部不揮発性メモリDL指定がなされていなければ、内部不揮発性メモリ41に空きがあるときは、内部不揮発性メモリ41にDLし、内部不揮発性メモリ41に空きが無いときは、セキュア領域51にDLする。
【0050】
また、第2の方式では、端末がセキュア領域51へのDLを許可する場合のみ、DL時にAPのプログラムコードと合わせて、セキュア領域DL許可フラグを送信する。セキュアメモリ10のICコマンド処理部13は、セキュア領域DL許可フラグが付加されていれば、内部不揮発性メモリ41に空きがあるときは、内部不揮発性メモリ41に、内部不揮発性メモリ41に空きが無いときは、セキュア領域51にDLし、セキュア領域DL許可フラグが付加されていなければ、必ず内部不揮発性メモリ41にDLする。
このセキュアメモリ10のセキュア領域51は、図24に示すように、データ退避領域511の他に、DLされたAPのプラグラムコードを格納するAP保存領域512を備えている。
【0051】
また、内部不揮発性メモリ41は、図1と同様の構成を備えている。ただし、AP管理テーブルは、図25に示すように、内部不揮発性メモリ41にDLまたはインストールされた状態のAPを管理するためのAP管理テーブル413と、セキュア領域51にDLされたAPを管理するためのセキュア領域DLAP管理テーブル416とから成る。セキュア領域DLAP管理テーブル416には、APを内部不揮発性メモリ41上でインストールするために必要となる事項、即ち、APが格納されているセキュア領域51上の位置を示す「格納アドレス」、そのAPの改ざんの有無を確認するための「署名データ」、そのAPがインストール後に退避可能か否かを示す「退避可否フラグ」がAP識別子と共に記述される。
【0052】
AP管理テーブル413の項目は、第1の実施形態(図4)と同じであり、内部不揮発性メモリ41上に格納されたAPが、インストール状態であるか否かを示す「インストールフラグ」、退避可能か否かを示す「退避可否フラグ」、インストール状態であるときのデータの所在を示す「データアドレス」、及び、プログラムコードの読み出し先を示す「コードアドレス」がAP識別子と共に記述される。
【0053】
このAP管理テーブル413の特定番号、例えば#4及び#5は、セキュア領域51にDLされたAP(セキュア領域DLAP)のインストール用に確保されており、内部不揮発性メモリ41へのAPのDLには、そこを使用することができない。そのため、内部不揮発性メモリ41にDLするAPのDL及びインストール処理は、AP管理テーブル413の#1〜#3を使って、第1の実施形態と同じように行われる。
【0054】
一方、セキュア領域51にDLしたAPに対して、ICコマンド処理部13は、次の手順でインストールを行う。
セキュア領域DLAP管理テーブル416の格納アドレスにしたがって、セキュア領域51のAP保存領域512からAPのプログラムコードを読み出し、復号化及び署名検証を行う。検証結果が正常であれば、復号化したプログラムコードを内部不揮発性メモリ41のAP格納領域411に格納し、AP管理テーブル413のセキュア領域DLAP用の特定番号にAP識別子、コードアドレス、退避可否フラグ(セキュア領域DLAP管理テーブル416に記述されているものと同じもの)を設定する。
このとき、セキュア領域DLAP用の特定番号に空きが無ければ、この特定番号を使用しているインストール済みのAPをセキュア領域51のデータ退避領域511に退避させて、空きを作る。
【0055】
次いで、ICコマンド処理部13は、インストール処理を行い、作成したデータをデータ格納領域412に格納し、AP管理テーブル413にデータアドレスを記述し、インストールフラグをONにする。
このインストール後もセキュア領域51にDLされたAPのプログラムコードは、セキュア領域51のAP保存領域512にそのまま存在し、セキュア領域DLAP管理テーブル416の記述は残される。そのため、インストールしたAPの退避処理に伴ってプログラムコードが削除されても、端末からの再DLは必要が無い。
【0056】
内部不揮発性メモリへのDLを指定するAP(内部不揮発性メモリDL専用AP)は、セキュア領域への退避を好まない。一方、セキュア領域へのDLが可能なAP(セキュア領域DL可能AP)は、退避を行うことに問題がないと考えられる。このセキュアカードでは、セキュア領域にDLしたAPと内部不揮発性メモリにDLしたAPとを分けて管理しているため、内部不揮発性メモリDL専用APが格納される領域は、セキュア領域DL可能APによって埋められてしまうことはなく、一方、セキュア領域DL可能APは、専用の領域が確保されているので、インストール状態にあるセキュア領域DL可能APを退避させることで別のセキュア領域DL可能APをインストールすることが可能となる。
【0057】
なお、AP管理テーブル413の分け方は、例えば#1〜♯3は内部不揮発性メモリDL専用AP向け、#4〜#5はどちらでもよいAP向け、というような区分でも良い。
また、セキュア領域にDLしたAPのみを退避可能とし、内部不揮発性メモリにDLしたAPは退避不可とすることも可能である。この場合には、セキュア領域DLAP管理テーブルの退避可否フラグは無くてもよい。
また、セキュア領域DLAP管理テーブルに、インストールフラグ及びデータ格納アドレスを追加することで、セキュア領域へのインストール(データ格納領域の生成)を行うこともできる。
【0058】
ここで示した、内部不揮発性メモリへのDLを指定するAPには、セキュリティが高いもの、例えば電子マネーAPなどが該当するであろう。このような直接金銭に絡む、セキュリティ強度が要求されるAPは、内部不揮発性メモリの外にプログラムコード及びデータを出すことが望ましくない。そのため、退避不可と設定されることが考えられる。
【0059】
また、ICカード(セキュアメモリカードのIC部を含む)の利用が一般に広まるにつれて、厳密な手続きを行わずに任意のプレイヤーがAPをカードにインストールすることが可能になるものと考えられる。そうなると、いずれかのサーバにアクセスする際(または、何らかの端末アプリケーションを使用する際)に必要なIDとパスワードとを管理するAP等は、セキュア領域DL可能APになると考えられる。そのサーバが事業者または個人によって運用される場合(特に個人が運用するサーバの場合)には、さほどセキュリティレベルは要求されず、万一IDとパスワードとを紛失した(壊れた)場合でも、容易に再発行が可能である。
【0060】
このようなAPに対して、電子マネーAPと同等に、容量の小さい内部不揮発性メモリを常時利用させることは、コスト面から望ましくない。それよりも、大容量のセキュア領域にDLし、同じようにセキュア領域にDLしたAPを使用する際に退避されるという運用方法が妥当である。
ただ、このような仕分けは、論理必然的に導かれるものではなく、AP提供者が希望するセキュリティ要求度とカード発行者が判断する内部不揮発性メモリ利用の妥当性とにより様々に設定されることになる。
【0061】
いずれにしろ、第2の実施形態のセキュアカードでは、セキュア領域へのDLが可能であるため、第1の実施形態に比べて、APのDL処理及びインストール処理における、より多くのパターンが選択できる。そのため、APの種々のセキュリティ要求レベルに対応することが可能であり、セキュアメモリの秘匿領域を、より効率的に利用することができる。
【0062】
また、さらに、APのセキュア領域へのDLとともに、セキュア領域へのインストール処理を可能にすれば、APのDL処理及びインストール処理におけるパターンは一層増加し、セキュアメモリの秘匿領域をさらに効率的に利用することができる。例えば、内部不揮発性メモリにDLされ、内部不揮発性メモリにインストール処理された高度セキュリティのAPと、セキュア領域にDLされ、内部不揮発性メモリにインストール処理された準高度セキュリティのAPとを退避不可とし、セキュア領域にインストール処理されたAPを退避可とすることなども可能になる。
【0063】
(第3の実施形態)
本発明の第3の実施形態では、AP間で共用するデータが退避中である場合のデータの利用について説明する。
AP間でデータの共有が可能な仕組みを持ち、AP2が許可したAP(ここではAP1)は、AP2のデータを参照することが可能であるものとする。許可対象AP(AP1)は、許可する側のAP(AP2)により管理されたデータのうち、特定のデータ(一部のデータ)に対してのみ参照することが可能であり、また、そのような一部のデータに対する他APからの参照許可を複数設定することが可能であるものとする。
【0064】
図26(a)には、あるAPが参照許可を与えたデータと許可対象APとの関係を記述した許可指定テーブルの例を示しており、ここでは、図26(b)に示すように、AP1に対してdata_aの参照許可が設定されているものとする。また、図18、図15(f)及び図16(b)に示すように、AP1がインストール状態、AP2が退避状態とする。
【0065】
ICコマンド処理部13は、AP2の退避処理において、データの退避時に許可対象のデータdata_aも含めて退避させる。AP1の実行時に、AP2が保持するデータdata_aへの参照が発生すると、ICコマンド処理部13は、AP管理テーブル(図15(f))よりAP2がインストール状態にないことを認識し、退避AP管理テーブル(図16(b))よりAP2が退避状態であることを認識し、退避中のAP2の暗号化データevac2を読み出し、復号化と署名検証とを行い、検証が正常に終了すれば、復号化したAP2のデータからdata_aを参照する。
【0066】
また、data_aへの書き込みが発生する場合は、更新したdata_aとともにAP2のデータ全体に対して暗号化、署名生成を行い、暗号化データのセキュア領域への格納とともに、格納先を示すevac2を更新し、署名データsign2を、生成した署名データに更新する。
また、データと同様に、退避中のAPのプログラムコードを他のAPで利用することも可能である。図27(a)(b)には、あるAPが実行許可を与えるプログラムコードと許可対象APとの関係を記述した許可指定テーブルの例を示している。前述するデータと同様の手順で、AP1は、退避中のAP2のcode_aを実行することができる。
【0067】
なお、第1の実施形態で示したように、APの退避には、
▲1▼データのみ退避+プログラム削除
▲2▼データ+プログラムをともに退避
▲3▼データのみ退避、プログラムを内部不揮発性メモリに残す
の3パターンがある。第2の実施形態でセキュア領域DL可能APに該当するものとして示したサーバへのアクセスに利用するAPの場合、利用時にネットワークに接続されるので、プログラムコードのDLが可能であるため、▲1▼のパターンが適する(▲2▼や▲3▼の適用を否定するものではない)。
また、端末APを使用する際に必要なIDとパスワードとを管理するようなAPの場合には、常にネットワークに接続されている訳ではないため、▲2▼のパターンが適している(▲3▼の適用を否定するものではない)。なお、▲3▼については、AP提供者がプログラムコードの退避を望まない場合に適用し得る。
【0068】
なお、本発明の実施形態では、大容量不揮発性メモリ50に、記憶領域として、非認証領域、認証領域及びセキュア領域の3領域を設けた例を示しているが、本発明では、大容量不揮発性メモリ50に、セキュア領域を備えることが必要であって、その他の領域については問わない。
【0069】
【発明の効果】
以上の説明から明らかなように、本発明のセキュアカードは、秘匿性を備えた領域を効率的に活用して、多数のAPの利用に必要なデータを内部で安全に保持することができる。そのため、認証条件を満たす端末であれば、どの端末でも、セキュアカードに保持されたデータを利用することができる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態におけるセキュアカードの内部不揮発性メモリの構成を示す図
【図2】本発明の第1の実施形態におけるセキュアカードの概略図
【図3】本発明の第1の実施形態におけるセキュアカードの構成を示すブロック図
【図4】本発明の第1の実施形態におけるセキュアカードのAP管理テーブルの構成を示す図
【図5】本発明の第1の実施形態におけるセキュアカードの退避AP管理テーブルの構成を示す図
【図6】本発明の第1の実施形態におけるセキュアカードのセキュア領域の構成を示す図
【図7】本発明の第1の実施形態におけるセキュアカードの退避シーケンスを示す図(端末からトリガを掛ける場合)
【図8】本発明の第1の実施形態におけるセキュアカードの退避シーケンスを示す図(カード自身が判断して退避させる場合)
【図9】本発明の第1の実施形態におけるセキュアカードの退避データ生成手順を示す図
【図10】本発明の第1の実施形態におけるセキュアカードの復元シーケンスを示す図(端末から復元トリガを掛ける場合)
【図11】本発明の第1の実施形態におけるセキュアカードの復元シーケンスを示す図(カード自身が自動で復元する場合)
【図12】本発明の第1の実施形態におけるセキュアカードの復元データ生成手順を示す図
【図13】本発明の第1の実施形態におけるセキュアカードのAP管理テーブルの推移を示す図(a〜c)
【図14】本発明の第1の実施形態におけるセキュアカードのAP管理テーブルの推移を示す図(d〜e)
【図15】本発明の第1の実施形態におけるセキュアカードのAP管理テーブルの推移を示す図(f〜h)
【図16】本発明の第1の実施形態におけるセキュアカードの退避AP管理テーブルの推移を示す図
【図17】本発明の第1の実施形態におけるセキュアカードの内部不揮発性メモリ及びセキュア領域の推移を示す図(その1)
【図18】本発明の第1の実施形態におけるセキュアカードの内部不揮発性メモリ及びセキュア領域の推移を示す図(その2)
【図19】本発明の第1の実施形態におけるセキュアカードの内部不揮発性メモリ及びセキュア領域の推移を示す図(その3)
【図20】本発明の第1の実施形態におけるセキュアカードの内部不揮発性メモリ及びセキュア領域の推移を示す図(その4)
【図21】本発明の第1の実施形態におけるセキュアカードの内部不揮発性メモリ及びセキュア領域の推移を示す図(その5)
【図22】本発明の第1の実施形態におけるセキュアカードの内部不揮発性メモリ及びセキュア領域の推移を示す図(その6)
【図23】本発明の第1の実施形態におけるセキュアカードの内部不揮発性メモリ及びセキュア領域の推移を示す図(その7)
【図24】本発明の第2の実施形態におけるセキュアカードのセキュア領域の構成を示す図
【図25】本発明の第2の実施形態におけるセキュアカードのAP管理テーブルの構成を示す図
【図26】本発明の第3の実施形態におけるセキュアカードのデータ参照許可指定テーブルを示す図
【図27】本発明の第3の実施形態におけるセキュアカードのコード使用許可指定テーブルを示す図
【符号の説明】
10 セキュアメモリカード
11 IC部
12 I/F部
13 ICコマンド処理部
14 ファイル管理部
15 IC認証部
16 メモリ管理部
17 暗復号回路
18 内部不揮発性メモリI/F部
20 制御部
21 データI/F部
22 コマンドI/F部
23 制御認証部
24 コマンド処理部
25 アクセス制御部
26 大容量不揮発性メモリI/F部
40 TRM
41 内部不揮発性メモリ
50 大容量不揮発性メモリ
51 セキュア領域
52 認証領域
53 非認証領域
60 外部CPU
411 AP格納領域
412 データ格納領域
413 AP管理テーブル
414 退避AP管理テーブル
415 鍵管理領域
416 セキュア領域DLAP管理テーブル
511 データ退避領域
512 AP保存領域

Claims (10)

  1. 電子機器から直接アクセスきない耐タンパー性の第1のメモリにアプリケーションをインストールし、実行するメモリデバイスであって、
    アプリケーションプログラムコードを格納するアプリケーション格納領域と、
    アプリケーションのインストール処理、又はアプリケーションの実行時に、アプリケーションによって生成されるデータを格納するアプリケーションデータ格納領域と、
    を配置した、前記第1のメモリと、
    前記アプリケーションプログラムコード又は前記アプリケーションによって生成されたデータを退避させる、電子機器から直接アクセスすることができない非耐タンパー性の第2のメモリと、
    前記アプリケーション格納領域に格納された各アプリケーションの、アプリケーション識別子と、インストールされているかどうかを示すインストール識別情報と、アプリケーションを実行するための、コード格納位置情報と、前記アプリケーションプログラムが前記生成されたデータを参照するための、データ格納位置情報とからなる、アプリケーション管理手段と、
    前記第2のメモリに退避された各アプリケーションの、退避アプリケーション識別子と、アプリケーションプログラムコード又はアプリケーションデータからなる退避データの退避場所を示す、退避データ位置情報とからなる、退避アプリケーション管理手段と
    を備え、
    アプリケーションのアプリケーション識別子及び、前記コード格納位置情報又は前記データ格納位置情報を用いて、アプリケーションのアプリケーションプログラムコード又はアプリケーションデータを前記第1のメモリから前記第2のメモリに移動し、
    前記アプリケーション識別子及び退避場所を、前記退避アプリケーション管理手段に登録し、
    前記アプリケーション管理手段における前記アプリケーションに関する情報をクリアする退避処理を行う
    ことを特徴とするメモリデバイス。
  2. アプリケーションのアプリケーション識別子と、前記退避データ位置情報を用いて、前記退避データを、前記第2のメモリから前記アプリケーション格納領域又は前記アプリケーションデータ格納領域に移動し、
    前記アプリケーションに関する、前記アプリケーション識別子と、前記コード格納位置情報又は前記アプリケーションデータ格納位置情報を前記アプリケーション管理手段に設定し、
    さらに前記アプリケーションに関する前記インストール識別情報をインストール済みに設定し、
    前記退避アプリケーション管理手段における前記アプリケーションに関する情報をクリアする復元処理を行う
    ことを特徴とする請求項1に記載のメモリデバイス。
  3. 前記退避処理において、前記アプリケーションプログラムを前記アプリケーション格納領域から削除し、前記第2のメモリに移動しない
    ことを特徴とする請求項1に記載のメモリデバイス。
  4. 前記アプリケーション管理手段に、各アプリケーションが退避可能であるかを示す退避可否情報を含む
    ことを特徴とする請求項1に記載のメモリデバイス。
  5. 前記退避処理において、前記退避データとその署名情報とを暗号化した上で、前記第2のメモリに格納する
    ことを特徴とする請求項1に記載のメモリデバイス。
  6. 前記退避処理において、前記退避データを暗号化した上で、前記フラッシュメモリに格納し、
    前記暗号化された退避データの署名情報を前記退避アプリケーション管理手段に格納する
    ことを特徴とする請求項1に記載のメモリデバイス。
  7. 前記退避処理において、電子機器から指定されたアプリケーションに対して退避処理を行う
    ことを特徴とする請求項1に記載のメモリデバイス。
  8. 電子機器がアプリケーションのダウンロードまたはインストールを要求し、前記アプリケーション格納領域又は前記アプリケーションデータ格納領域に余地がないときに、
    前記退避可否情報に基づいて、退避可能なアプリケーションに対して退避処理を行う
    ことを特徴とする請求項4に記載のメモリデバイス。
  9. 前記復元処理において、電子機器から指定された退避アプリケーションに対して復元処理を行う
    ことを特徴とする請求項2に記載のメモリデバイス。
  10. 前記電子機器からの指定が、前記退避アプリケーションの起動指示である
    ことを特徴とする請求項9に記載のメモリデバイス。
JP2003042288A 2003-02-20 2003-02-20 メモリデバイス Expired - Lifetime JP4338989B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2003042288A JP4338989B2 (ja) 2003-02-20 2003-02-20 メモリデバイス
US10/782,556 US7797553B2 (en) 2003-02-20 2004-02-19 Memory device
CNB2004100312090A CN1329807C (zh) 2003-02-20 2004-02-20 存储装置
EP04003878A EP1450235B1 (en) 2003-02-20 2004-02-20 Memory device
DE602004032076T DE602004032076D1 (de) 2003-02-20 2004-02-20 Speichervorrichtung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003042288A JP4338989B2 (ja) 2003-02-20 2003-02-20 メモリデバイス

Publications (3)

Publication Number Publication Date
JP2004252707A JP2004252707A (ja) 2004-09-09
JP2004252707A5 JP2004252707A5 (ja) 2006-01-26
JP4338989B2 true JP4338989B2 (ja) 2009-10-07

Family

ID=32732955

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003042288A Expired - Lifetime JP4338989B2 (ja) 2003-02-20 2003-02-20 メモリデバイス

Country Status (5)

Country Link
US (1) US7797553B2 (ja)
EP (1) EP1450235B1 (ja)
JP (1) JP4338989B2 (ja)
CN (1) CN1329807C (ja)
DE (1) DE602004032076D1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8526833B2 (en) 2009-01-30 2013-09-03 Kyocera Mita Corporation Image forming apparatus, cartridge, and apparatus main unit

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7953985B2 (en) 2005-05-09 2011-05-31 Panasonic Corporation Memory card, application program holding method, and holding program
JP4972994B2 (ja) * 2006-05-17 2012-07-11 ソニー株式会社 情報処理装置および情報処理方法、並びにプログラム
WO2009016589A2 (en) * 2007-08-02 2009-02-05 Nxp B.V. Tamper-resistant semiconductor device and methods of manufacturing thereof
US8726042B2 (en) * 2008-02-29 2014-05-13 Microsoft Corporation Tamper resistant memory protection
JP5620781B2 (ja) * 2010-10-14 2014-11-05 キヤノン株式会社 情報処理装置、その制御方法、及びプログラム
JP5112555B1 (ja) * 2011-12-02 2013-01-09 株式会社東芝 メモリカード、ストレージメディア、及びコントローラ
FR3035241B1 (fr) * 2015-04-16 2017-12-22 Inside Secure Procede de partage d'une memoire entre au moins deux entites fonctionnelles
JP6476098B2 (ja) * 2015-09-15 2019-02-27 ルネサスエレクトロニクス株式会社 半導体装置
JP6867156B2 (ja) * 2016-12-28 2021-04-28 ルネサスエレクトロニクス株式会社 半導体装置
JP6737189B2 (ja) * 2017-01-18 2020-08-05 トヨタ自動車株式会社 不正判定システム及び不正判定方法
US10754579B2 (en) * 2017-09-25 2020-08-25 Silicon Laboratories Inc. Reliable non-volatile memory programming interface and method therefor
US10978123B2 (en) * 2018-12-04 2021-04-13 Nxp Usa, Inc. Tamper protection of memory devices on an integrated circuit

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH087720B2 (ja) * 1986-09-16 1996-01-29 富士通株式会社 複数サービス用icカードの領域アクセス方法
US5479638A (en) * 1993-03-26 1995-12-26 Cirrus Logic, Inc. Flash memory mass storage architecture incorporation wear leveling technique
JP3810449B2 (ja) * 1994-07-20 2006-08-16 富士通株式会社 キュー装置
US5892900A (en) * 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US5826011A (en) * 1995-12-26 1998-10-20 Rainbow Technologies, Inc. Method of metering and protecting computer software
JP3774260B2 (ja) * 1996-03-25 2006-05-10 株式会社ルネサステクノロジ メモリカードのセキュリティシステム装置及びそのメモリカード
US6205550B1 (en) * 1996-06-13 2001-03-20 Intel Corporation Tamper resistant methods and apparatus
US6175925B1 (en) * 1996-06-13 2001-01-16 Intel Corporation Tamper resistant player for scrambled contents
US5923884A (en) * 1996-08-30 1999-07-13 Gemplus S.C.A. System and method for loading applications onto a smart card
GB2321728B (en) * 1997-01-30 2001-12-19 Motorola Inc Apparatus and method for accessing secured data stored in a portable data carrier
US6175924B1 (en) * 1997-06-20 2001-01-16 International Business Machines Corp. Method and apparatus for protecting application data in secure storage areas
JP3597704B2 (ja) 1998-06-19 2004-12-08 株式会社日立製作所 Icカードおよび記録媒体
JP3389186B2 (ja) 1999-04-27 2003-03-24 松下電器産業株式会社 半導体メモリカード及び読み出し装置
EP1193962A1 (en) * 2000-09-21 2002-04-03 Siemens Aktiengesellschaft Transmission of real-time data from a network element to an application server with recovery method for link failure
US6832373B2 (en) * 2000-11-17 2004-12-14 Bitfone Corporation System and method for updating and distributing information
JP2002229861A (ja) * 2001-02-07 2002-08-16 Hitachi Ltd 著作権保護機能つき記録装置
JP2003051819A (ja) * 2001-08-08 2003-02-21 Toshiba Corp マイクロプロセッサ
US6695583B2 (en) * 2002-05-30 2004-02-24 Sikorsky Aircraft Corporation Snubber-vibration damper system for a bearingless main rotor
EP1542112A4 (en) * 2002-07-09 2008-04-09 Fujitsu Ltd UCT RESISTANT TO OPEN-TYPE UNIVERSAL ATTACKS, AND ASSOCIATED APPLICATION SYSTEM
GB2396930B (en) * 2002-11-18 2005-09-07 Advanced Risc Mach Ltd Apparatus and method for managing access to a memory
JP4242682B2 (ja) * 2003-03-26 2009-03-25 パナソニック株式会社 メモリデバイス

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8526833B2 (en) 2009-01-30 2013-09-03 Kyocera Mita Corporation Image forming apparatus, cartridge, and apparatus main unit

Also Published As

Publication number Publication date
EP1450235A2 (en) 2004-08-25
CN1329807C (zh) 2007-08-01
EP1450235B1 (en) 2011-04-06
US20040165413A1 (en) 2004-08-26
EP1450235A3 (en) 2005-08-31
JP2004252707A (ja) 2004-09-09
CN1523483A (zh) 2004-08-25
DE602004032076D1 (de) 2011-05-19
US7797553B2 (en) 2010-09-14

Similar Documents

Publication Publication Date Title
KR100806477B1 (ko) 리모트 액세스 시스템, 게이트웨이, 클라이언트 기기,프로그램 및 기억 매체
CN102576334B (zh) 一次写入多次读取(worm)存储器器件的验证和保护
US7925879B2 (en) Information processing unit with information division recording function
CN102222049B (zh) 自加密存储设备的可扩展管理
JP5094365B2 (ja) ハード・ディスク・ドライブ
JP4598857B2 (ja) Icカード、およびそのアクセス制御方法
US9832230B2 (en) IC chip, information processing apparatus, system, method, and program
US20040255119A1 (en) Memory device and passcode generator
JP4338989B2 (ja) メモリデバイス
EP3525127B1 (en) System for blocking phishing or ransomware attack
JP2008129744A (ja) 外部記憶装置
JP2004199138A (ja) メモリデバイスとそれを使用する電子機器
JP2007004522A (ja) 記憶装置
US8695085B2 (en) Self-protecting storage
JP4993114B2 (ja) 携帯型ストレージデバイスの共有管理方法、および、携帯型ストレージデバイス
US11468159B2 (en) Memory system
JP4394413B2 (ja) 情報記憶装置及び情報処理システム
JP3698693B2 (ja) アクセス制御装置及びそのコンピュータプログラム
JP2004348526A (ja) Icカード、icカードプログラム及びコード部の入れ替え方法
JP4118031B2 (ja) Icカード運用管理システム
JP2005234751A (ja) 電子データの証拠性を確保しながら同データを保管する電子データ保管システム
JP5011214B2 (ja) 情報機器管理システム、情報処理装置、及びicカード
EP2405375A1 (en) Method of exchanging data between a contactless card and a microprocessor card
JP2013026870A (ja) 情報記録媒体と認証管理方法および認証管理システム
JP2005122228A (ja) 情報記憶媒体

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20051205

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20051205

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090609

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090701

R150 Certificate of patent or registration of utility model

Ref document number: 4338989

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120710

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120710

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130710

Year of fee payment: 4

EXPY Cancellation because of completion of term