CN100474327C - 安全设备、中继终端及操作安全设备的方法 - Google Patents
安全设备、中继终端及操作安全设备的方法 Download PDFInfo
- Publication number
- CN100474327C CN100474327C CNB2005800372412A CN200580037241A CN100474327C CN 100474327 C CN100474327 C CN 100474327C CN B2005800372412 A CNB2005800372412 A CN B2005800372412A CN 200580037241 A CN200580037241 A CN 200580037241A CN 100474327 C CN100474327 C CN 100474327C
- Authority
- CN
- China
- Prior art keywords
- data
- card
- instruction information
- information
- storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 32
- 230000005540 biological transmission Effects 0.000 claims abstract description 20
- 230000015654 memory Effects 0.000 claims description 150
- 230000006854 communication Effects 0.000 claims description 36
- 238000004891 communication Methods 0.000 claims description 35
- 230000004044 response Effects 0.000 claims description 16
- 230000004913 activation Effects 0.000 claims description 15
- 230000006870 function Effects 0.000 claims description 9
- 238000012217 deletion Methods 0.000 claims description 8
- 230000037430 deletion Effects 0.000 claims description 8
- 230000001052 transient effect Effects 0.000 claims 4
- 238000012545 processing Methods 0.000 description 53
- 238000010586 diagram Methods 0.000 description 45
- 230000008569 process Effects 0.000 description 14
- 230000000717 retained effect Effects 0.000 description 6
- 230000003213 activating effect Effects 0.000 description 4
- 238000013500 data storage Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003247 decreasing effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 230000005855 radiation Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
IC卡(10)包括:抗窜改模块(12),其含有一个或多个应用程序(16)和控制IC卡(10)的操作的卡控制部分(14);只可从抗窜改模块(12)访问的安全存储区(18);和用于与服务终端(60)通信的非接触式接口(24)。卡控制部分(14)生成存储指令信息,并且非接触式接口(24)将存储指令信息发送到服务终端(60)。存储指令信息包括写入目的地的安全存储区(18)的地址、指示暂时保存数据的保存目的地的常规存储区(20)的地址、进行从常规存储区(20)到安全存储区(18)的数据传送的应用程序的标识符、和转发数据的中继终端(40)的地址。
Description
技术领域
本发明涉及含有抗窜改区(tamper-resistant area)的安全设备、和将数据写入安全设备的中继终端。
背景技术
到目前为止,应用例如IC(集成电路)卡的方法已经被用作安全地存储数字内容的方法。IC卡包括只可从抗窜改模块访问和不能被未授权装置读取的安全存储区。但是,由于安全存储区的容量小,所以用存储在安全存储区中的解密密钥加密受保护的数字内容,并且将加密数字内容存储在终端的常规存储区中或存储卡中。在采用这样存储方式的情况下,正如,例如,JP-A-2002-124960所公开的那样,通过应用加密通信信道将用于解密数字内容的密钥分配给安全存储器,并且随后将加密数字内容分配给常规存储区。
发明内容
本发明要解决的问题
随着近年来IC卡的存储器容量不断增大,非常希望将数字内容本身存储在安全存储器中。但是,从外部接收的数据不能直接写入安全存储区,并且这个安全存储区只可从抗窜改模块访问。于是,在抗窜改模块正在进行任何其它大负载处理等的情况下,可能无法保留分配的信息。
为了防止这样的缺陷,需要考虑以下过程,即,在抗窜改模块正在进行任何其它处理的情况下,也就是说,当它处在忙状态时,将数据暂时保留在中继终端中,随后,在适当定时,通过抗窜改模块将暂时保留的数据移动到安全存储器。
但是,对于这个过程,当将IC卡移动到不同的卡读写器时,不能将暂时保留的数据移动到作为最终存储区的安全存储器。也不能掌握保留在卡读写器中的数据是否是暂时保留的数据。这增加了卡读写器的负担,并且还存在卡读写器继续存储要传送到抗窜改模块的信息的安全问题。
鉴于上述背景,本发明的目的是提供能够与抗窜改模块的状况无关,安全可靠地将数据写入安全存储区的安全设备和中继终端。
解决问题的手段
在本发明的一个方面中,通过具有信息写入功能的中继终端接收从服务终端发送的数据的安全设备包含:包括至少一个应用程序、和控制安全设备的操作的设备控制单元的抗窜改模块;只可从抗窜改模块访问的安全存储器;和与服务终端通信的通信单元;其中,设备控制单元生成和保存存储指令信息,存储指令信息包括像指示数据的写入区那样的安全存储器的地址、和在不能将数据写入安全存储器的情况下有关防范措施的信息;并且通信单元将存储指令信息发送到服务终端。
在本发明的另一个方面中,有关防范措施的信息可以包括像指示暂时保存数据的保存区那样的安全设备或中继终端的(非安全)常规存储器的地址、和将保存在常规存储器中的数据移动到安全存储器中的应用程序的标识符。
在本发明的另一个方面中,有关防范措施的信息可以包括指示至少继续预留暂时保存数据的保存区或与数据的写入区有关的存储区的项目的存储区预留项。
在本发明的另一个方面中,安全设备的通信单元可以接收从服务终端发送的数据的属性信息;设备控制单元根据属性信息确定转发从服务终端发送的数据的中继终端,并且设备控制单元使确定中继终端的地址包括在存储指令信息中。
在本发明的另一个方面中,安全设备的通信单元可以接收从服务终端发送的数据的属性信息;设备控制单元根据属性信息确定中继终端和服务终端之间的通信方法,并且设备控制单元使通信方法包括在存储指令信息中。
在本发明的另一个方面中,将从服务终端发送的数据写入可通信连接的安全设备的中继终端包含:数据接收单元,用于从服务终端接收数据和存储指令信息,其中,存储指令信息包括像指示数据的写入区那样的安全设备的安全存储器的地址、和在不能将数据写入安全存储器的情况下有关防范措施的信息;命令发送单元,用于向安全设备发送将接收数据写入如存储指令信息所指定的安全存储器的地址中的命令,和从安全设备接收对命令的响应;和控制单元,用于根据响应,判断将数据写入安全存储器的适当性,并且在判断不可能写入的情况下,根据存储指令信息指定的有关防范措施的信息,将数据写入安全设备或中继终端的常规存储器中。
在本发明的另一个方面中,将从服务终端发送的数据写入可通信连接的安全设备中的中继终端包含:数据接收单元,用于从服务终端接收数据和存储指令信息,其中,存储指令信息包括像指示数据的写入区那样的安全设备的安全存储器的地址、和在不能将数据写入安全存储器的情况下有关防范措施的信息;和控制单元,用于管理安全设备的处理状态,以便根据处理状态,判断将数据写入安全存储器的适当性,并且在判断不可能写入的情况下,根据存储指令信息指定的有关防范措施的信息,将数据写入安全设备或中继终端的常规存储器中。
在本发明的另一个方面中,中继终端可以进一步包含删除单元,用于在完成了将数据写入存储指令信息指定的常规存储器的地址之后,删除存储指令信息。
在本发明的另一个方面中,有关防范措施的信息可以包括像指示暂时保存数据的保存区那样的安全设备或中继终端的常规存储器的地址、和将保存在常规存储器中的数据移动到安全存储器中的应用程序的标识符。
在本发明的另一个方面中,有关防范措施的信息可以包括指示至少继续预留暂时保存数据的保存区或作为数据的写入区的存储区的项目的存储区预留项。
在本发明的另一个方面中,中继终端的指令发送单元可以根据如存储指令信息所指定的应用程序的标识符,将激活命令发送到与应用程序标识符相对应的应用程序;并且指令发送单元向激活的应用程序发送将暂时保存在常规存储器中的数据移动到安全存储器的地址中的数据移动命令。
在本发明的另一个方面中,中继终端的指令发送单元可以根据如存储指令信息所指定的应用程序的标识符,将激活命令发送到与应用程序标识符相对应的应用程序;和激活的应用程序参照存储指令信息,将暂时保存在常规存储器中的数据移动到安全存储器的地址中。
在本发明的另一个方面中,中继终端可以进一步包含数据读出单元,用于访问存储指令信息指定的常规存储器的地址,以便读出暂时保存在常规存储器中的数据;其中,指令发送单元根据如存储指令信息所指定的应用程序的标识符,将激活命令发送到与应用程序标识符相对应的应用程序;和指令发送单元向激活的应用程序发送指令应用程序将数据读出单元读出的数据写入安全存储器的地址的写入命令。
在本发明的另一个方面中,通过具有信息写入功能的中继终端接收从服务终端发送的数据的操作安全设备的方法包含:安全设备生成存储指令信息的步骤,存储指令信息包括像指示数据的写入区那样的安全存储器的地址、和在不能将数据写入安全存储器的情况下有关防范措施的信息;和安全设备将存储指令信息发送到服务终端的步骤。
在本发明的另一个方面中,提供了用于通过具有信息写入功能的中继终端接收从服务终端发送的数据的程序,该程序可被安全设备读取,该程序使安全设备执行:生成存储指令信息的步骤,存储指令信息包括像指示数据的写入区那样的安全存储器的地址、和在不能将数据写入安全存储器的情况下有关防范措施的信息;和将存储指令信息发送到服务终端的步骤。
如下所述,在本发明中还存在其它方面。于是,本发明的这个公开意在提供本发明的一些方面,而无意限制本发明的要求范围。
附图说明
[图1]图1是示出第一实施例中的IC卡系统的配置的图形。
[图2]图2是示出第一实施例中的IC卡系统的操作概况的图形。
[图3]图3是示出IC卡和服务终端的处理细节的图形。
[图4]图4是示出存储指令信息的生成操作的图形。
[图5]图5是示出用在发送目的地的确定中的表格例子的图形。
[图6]图6是示出用在发送目的地的确定中的表格例子的图形。
[图7]图7是示出存储指令信息的例子的图形。
[图8]图8是示出包含在存储指令信息中的发送目的地信息的例子的图形。
[图9]图9是示出存储指令信息的例子的图形。
[图10]图10是示出中继终端和服务终端的处理的图形。
[图11A]图11A是示出从服务终端发送到中继终端的数据的格式的图形。
[图11B]图11B是示出首标的内容的图形。
[图12]图12是示出将数据写入IC卡的操作的图形。
[图13]图13是示出将数据写入IC卡的过程中的数据流动的图形。
[图14]图14是示出在IC卡忙的情况下写入数据的操作的图形。
[图15]图15是示出在IC卡忙的情况下数据写入过程中的数据流动的图形。
[图16]图16是示出将数据从常规存储区移动到安全存储区的操作的图形。
[图17]图17是示出将数据从常规存储区移动到安全存储区的情况下的数据流动的图形。
[图18]图18是示出将数据从常规存储区移动到安全存储区的操作的图形。
[图19]图19是示出将数据从常规存储区移动到安全存储区的情况下的数据流动的图形。
[图20]图20是示出用在第二实施例中的IC卡的配置的图形。
[图21]图21是示出第二实施例中的数据移动操作的图形。
[图22]图22是示出第二实施例中的数据移动过程中的数据流动的图形。
[图23]图23是示出第二实施例中的数据移动操作的图形。
[图24]图24是示出第二实施例中的数据移动过程中的数据流动的图形。
[图25]图25是示出入修正实施例中的将数据写IC卡中的操作的图形。
[图26]图26是示出修正实施例中的将数据写入IC卡的操作的图形。
[图27]图27是示出在存储区预留项已经到期的情况下删除数据的操作的图形。
具体实施方式
下面给出本发明的详细描述。但是,如下的详细描述和附图不应该限制本发明。本发明的范围将由所附权利要求书来限定。
通过具有信息写入功能的中继终端接收从服务终端发送的数据的实施例的安全设备包含:抗窜改模块,其包括至少一个应用程序、和控制安全设备的操作的设备控制单元;只可从抗窜改模块访问的安全存储器;和与服务终端通信的通信单元;其中,设备控制单元生成和保存存储指令信息,存储指令信息包括像指示数据的写入区那样的安全存储器的地址、和在不能将数据写入安全存储器的情况下有关防范措施的信息;和通信单元将存储指令信息发送到服务终端。
由于以这种方式生成存储指令信息和将存储指令信息发送到服务终端,所以可以通过安全设备指定的中继终端接收数据。在不可能写入的情况下有关防范措施的信息包含在存储指令信息中,从而当不能将数据写入安全存储器时,安全设备可以参照有关防范措施的信息,采取将接收数据保留在预定位置中的步骤,作为紧急措施。
在不可能写入的情况下有关防范措施的信息可以包括像指示暂时保存数据的保存区那样的安全设备或中继终端的常规存储器的地址、和将保存在常规存储器中的数据移动到安全存储器中的应用程序的标识符。
由于包含了用于暂时保存数据的常规存储器的地址,所以当不能将数据写入安全存储器时,可以一次性地将它们写入常规存储器。于是,在可以将数据写入安全存储器之后,可以通过读取常规存储器当中的数据将数据写入安全存储器。因此,甚至在暂时不能将数据写入安全存储器的情况下,也可以可靠地将它们写入安全存储器。
在不可能写入的情况下有关防范措施的信息可以包括指示至少继续预留暂时保存数据的保存区或与数据的写入区有关的存储区的项目的存储区预留项。
由于包括了存储器的预留项,所以可以释放甚至在项目到期之后也不能存储数据的存储器,以防止存储容量因不恰当地继续预留存储区而下降。
在安全设备中,通信单元可以接收从服务终端发送的数据的属性信息;和设备控制单元根据属性信息确定转发从服务终端发送的数据的中继终端,并且设备控制单元可以使确定中继终端的地址包括在存储指令信息中。
由于这种配置,可以按照从服务终端接收的属性信息确定适当中继终端。这里,“属性信息”包括,例如,要发送的数据的数据量和扩展码、以及中继终端的类别。例如,按照数据量的属性,当数据量大时,将本地PC确定为中继终端,并且当数据量小时,将便携式终端确定为中继终端。因此,在大数据量的情况下,可以避免在接收到所有数据之前不能在便携式终端中进行处理带来的不便。
在安全设备中,通信单元可以接收从服务终端发送的数据的属性信息;和设备控制单元可以根据属性信息确定中继终端和服务终端之间的通信方法,并且设备控制单元可以使通信方法包括在存储指令信息中。
由于这种配置,可以按照从服务终端接收的属性信息确定适当通信方法。
将从服务终端发送的数据写入可通信连接的安全设备的实施例的中继终端包含:数据接收单元,用于接收数据和保存存储指令信息,其中,存储指令信息包括像指示数据的写入区那样的安全设备的安全存储器的地址、和在不能将数据写入安全存储器的情况下有关防范措施的信息;命令发送单元,用于向安全设备发送将接收数据写入如存储指令信息所指定的安全存储器的地址的命令,和从安全设备接收对命令的响应;和控制单元,用于根据响应,判断将数据写入安全存储器的适当性,并且在判断不可能写入的情况下,根据存储指令信息指定的有关防范措施的信息,将数据写入安全设备或中继终端的常规存储器中。
这样,当不能将数据写入安全存储器时,将它们写入常规存储器,从而当以后可以将数据写入安全存储器时,可以将数据从常规存储器移动到安全存储器。因此,甚至在暂时不能将数据写入安全存储器的情况下,也可以可靠地将它们写入安全存储器。
将从服务终端发送的数据写入可通信连接的安全设备的实施例的中继终端包含:数据接收单元,用于从服务终端接收数据和存储指令信息,其中,存储指令信息包括像指示数据的写入区那样的安全设备的安全存储器的地址、和在不能将数据写入安全存储器的情况下有关防范措施的信息;和控制单元,用于管理安全设备的处理状态,以便根据处理状态,判断将数据写入安全存储器的适当性,和在判断不可能写入的情况下,根据存储指令信息指定的有关防范措施的信息,将数据写入安全设备或中继终端的常规存储器。
这样,控制单元管理安全设备的处理状态,并且在根据处理状态判断不可能写入的情况下,将数据写入常规存储器,从而当以后可以将数据写入安全存储器时,可以将数据从常规存储器移动到安全存储器。因此,甚至在暂时不能将数据写入安全存储器的情况下,也可以可靠地将它们写入安全存储器。
该实施例的中继终端被配置成包含删除单元,用于在完成了将数据写入存储指令信息指定的常规存储器的地址之后,删除存储指令信息。
因此,可以降低非法地从中继终端中读出存储指令信息的风险,并且可以提高安全性。
有关防范措施的信息可以包含像指示暂时保存数据的保存区那样的安全设备或中继终端的常规存储器的地址、和将保存在常规存储器中的数据移动到安全存储器中的应用程序的标识符。
因此,包含了暂时保存数据的常规存储器的地址,从而当不能将数据写入安全存储器时,可以一次性地将它们写入常规存储器。于是,在可以将数据写入安全存储器之后,可以通过读取常规存储器当中的数据将数据写入安全存储器。因此,甚至在暂时不能将数据写入安全存储器的情况下,也可以可靠地将它们写入安全存储器。
有关防范措施的信息可以包含指示至少继续预留暂时保存数据的保存区或与数据的写入区有关的存储区的项目的存储区预留项。
因此,可以释放甚至在项目到期之后也不能存储数据的存储器,以防止存储容量因不恰当地继续预留存储区而下降。
在中继终端中,指令发送单元可以根据如存储指令信息所指定的应用程序的标识符,为与应用程序标识符相对应的应用程序发送激活命令;和指令发送单元可以向激活的应用程序发送将暂时保存在常规存储器中的数据移动到安全存储器的地址中的数据移动命令。
这样,与如从安全设备当中读出的存储指令信息所指定的应用程序的标识符一起,将数据从常规存储器移动到安全存储器的命令发送到安全设备,从而,安全设备可以从常规存储器当中读出数据,然后将读出数据存储在安全存储器中。因此,可以将暂时保存在常规存储器中的数据移动到安全存储器。
在中继终端中,指令发送单元可以根据如存储指令信息所指定的应用程序的标识符,为与应用程序标识符相对应的应用程序发送激活命令;和激活的应用程序参照存储指令信息,将暂时保存在常规存储器中的数据移动到安全存储器的地址。
这样,将如从安全设备当中读出的存储指令信息所指定的应用程序的标识符发送到安全设备,从而,安全设备激活指定的应用程序。此外,激活的应用程序参照保存在安全设备本身中的存储指令信息,读出存储在常规存储器中的数据,然后将数据存储在安全存储器中。从而可以将暂时保存在常规存储器中的数据移动到安全存储器。
该中继终端可以进一步包含数据读出单元,用于访问存储指令信息指定的常规存储器的地址,以便读出暂时保存在常规存储器中的数据;其中,指令发送单元根据如存储指令信息所指定的应用程序的标识符,将激活命令发送到与应用程序标识符相对应的应用程序;和指令发送单元向激活的应用程序发送指令应用程序将数据读出单元读出的数据写入安全存储器的地址的写入命令。
这样,根据从安全设备当中读出的存储指令信息指定的常规存储器的地址读出存储在常规存储器中的数据,和与读出数据一起,将数据写入安全存储器中的命令被发送到安全存储器,从而可以将暂时保存在常规存储器中的数据移动到安全存储器。
在通过具有信息写入功能的中继终端接收从服务终端发送的数据的实施例中操作安全设备的方法包含:安全设备生成存储指令信息的步骤,存储指令信息包括像指示数据的写入区那样的安全设备的安全存储器的地址、和在不能将数据写入安全存储器的情况下有关防范措施的信息;和安全设备将存储指令信息发送到服务终端的步骤。
由于这种配置,与该实施例的安全设备一样,甚至在暂时不能将数据写入安全存储器的情况下,也可以根据存储指令信息可靠地将它们写入安全存储器。还可以将该实施例的安全设备的各种配置应用于该实施例中操作安全设备的方法。
本发明提供了用于通过具有信息写入功能的中继终端,接收从服务终端发送的数据的操作安全设备的实施例的程序,该程序使安全设备执行:生成存储指令信息的步骤,存储指令信息包括像指示数据的写入区那样的安全存储器的地址、和在不能将数据写入安全存储器的情况下有关防范措施的信息;和将存储指令信息发送到服务终端的步骤。
由于这种配置,与该实施例的安全设备一样,甚至在暂时不能将数据写入安全存储器的情况下,也可以根据存储指令信息可靠地将它们写入安全存储器。还可以将该实施例的安全设备的各种配置应用于该实施例的程序。
现在,参照附图描述体现本发明的安全设备和中继终端。在如下的描述中,将描述将数据从服务终端60发送到中继终端40和中继终端40将数据写入作为安全设备的IC卡10的IC卡系统。这个系统按如下所述的流程工作。内容的购买通过服务终端60和IC卡10之间的通信确定,并且待管理的已购内容数据被从服务终端60分配到中继终端40。此外,中继终端40将内容数据存储在IC卡10的安全存储区18中。
图1是示出本发明的第一实施例中包括IC卡和中继终端的IC卡系统的图形。IC卡系统配有IC卡10、将信息提供给IC卡10的服务终端60、和将信息写入IC卡10的中继终端40。
IC卡10配有抗窜改模块(下文称为“TRM”)12、以及包括安全存储区18和常规存储区20的存储器22。安全存储区18是只可通过TRM 12访问的区域。常规存储区20是可从TRM 12和接触式接口26访问的区域。
TRM 12包括控制IC卡10的操作的卡控制单元14、和一个或多个卡应用程序16。TRM 12的硬件是配有CPU(中央处理单元)和ROM(只读存储器)的单个模块。卡应用程序16被存储在ROM中,并且CPU从ROM中读出卡应用程序16并执行这个卡应用程序,从而控制IC卡10的操作。
IC卡10含有非接触式接口24和接触式接口26。在本实施例中,与服务终端60的通信通过非接触式接口24进行,而与中继终端40的通信通过接触式接口26进行。
接触式接口26与TRM 12和常规存储区20连接。在接触式接口26从外部接收到存储器访问命令的情况下,这个接触式接口26访问常规存储区20,而在接触式接口26接收到IC卡访问命令的情况下,这个接触式接口26通过TRM 12访问安全存储区18。接触式接口26总是接收存储器访问命令,而在IC卡10处在忙状态的情况下不接收IC卡访问命令,接触式接口26将错误返回给接触式接口52。IC卡10处在忙状态的例子是非接触式接口24正在进行这个非接触式接口24和接触式接口26不能同时工作的IC卡10中的任何处理的情况、和单信道的IC卡10中任何其它处理正在进行的情况。
除了通过将IC卡访问命令发送到IC卡10然后接收错误来感测忙状态的方面之外,中继终端40的卡访问控制单元54可以在非接触式处理的开头和在接触式处理的开头管理IC卡10,以便当这些处理之一正在进行时,卡访问控制单元54可以停止向IC卡10发送启动其它通信处理的请求。此外,在在接触式处理期间连接数超过最大信道数的情况下,卡访问控制单元54可以判断为忙状态,以防将进一步访问请求发到送IC卡10。
非接触式接口24与TRM 12连接。这个非接触式接口24将从外部输入的信息发送到TRM 12,并且非接触式接口24将从TRM 12传送的信息发送到外部。非接触式接口24的例子是ISO/IEC 14443,JICSAP 2.0的A类或B类的接口、红外通信、或蓝牙。在如图1所示的例子中,假设非接触式接口24配备在IC卡10中,但这不是限制性的,一部分或全部非接触接口可以配备在中继终端40这一侧,从而,IC卡10通过接触式接口26和52与服务终端60进行非接触式通信。
除了一般计算机都配有的终端控制单元42、RAM 44、ROM 46、显示单元48和通信单元50的配置之外,中继终端40还配有用于读写IC卡10的信息的接触式接口52和卡访问控制单元54。中继终端40的例子是带有便携式电话功能的便携式终端、与因特网相连的PC或与因特网相连的电视机。
除了一般计算机都配有的控制单元62、RAM 64、ROM 66、通信控制单元68和通信接口70的配置之外,服务终端60还配有与IC卡10进行无线电通信的非接触式接口72。要发送到IC卡10的内容数据被存储在服务终端60的ROM 66中。
接着,描述第一实施例中的IC卡系统的操作。首先描述IC卡10不忙并且可以正常地将数据写入安全存储区18的情况下的操作,接着描述TRM 12忙情况下的操作。
图2是示出在IC卡10、服务终端60和中继终端40之间发送和接收的数据的流动的图形。首先,在IC卡10和服务终端60之间进行非接触式通信,从而建立起会话(S10)。
图3是详细示出IC卡10和服务终端60的处理的图形。首先,IC卡10和服务终端60激活卡应用程序16(S40)。此后,在IC卡10和服务终端60之间进行交叉验证(S42),并且生成安全通信信道,以便共享会话密钥(S44)。由于到此为止所述的操作,在IC卡10和服务终端60中继续进行如图2所示的直到保留公用会话密钥的处理(S12)。
随后,如图3所示,在IC卡10和服务终端60之间进行支付处理(S46)。这里,IC卡10将对内容数据的购买请求发送到服务终端60,并且服务终端60根据购买请求确定内容数据的分配。因此,在IC卡10和服务终端60之间进行购买内容数据的支付处理。然后,服务终端60将内容数据的属性信息发送到IC卡10(S48)。
当IC卡10接收到从服务终端60发送的属性信息时(S50),IC卡10根据接收的属性信息生成存储指令信息30(S52)。这里,将描述IC卡10生成的存储指令信息30。
图4是示出IC卡10生成存储指令信息30和将信息30发送到服务终端60的操作的图形。首先,服务终端60将数据的属性信息发送到IC卡10(S60)。数据的属性信息的例子是数据量、数据类型等。当IC卡10的卡应用程序16接收到从服务终端60发送的属性信息时,卡应用程序16将接收的属性信息传送到卡控制单元14(S62)。卡控制单元14根据属性信息,确定要从服务终端60发送的数据的发送目的地和发送路径(S64)。卡控制单元从步骤S64到步骤S74的处理可以以库的形式内置在卡OS中,或者,可以以卡应用程序的形式保存在TRM中。
图5是示出为了当接收到数据大小作为属性信息时,在出现写入错误的情况下、确定发送目的地和暂时保存区,卡控制单元保存的表格的例子的图形。如图5所示,该表格与数据大小相联系地含有发送目的地信息和指示防止错误的防范措施的信息。在如图5所示的表格中,在数据大小小于100KB的情况下,将便携式终端的设备地址指定成中继终端,而在数据大小等于或大于100KB的情况下,将本地服务器的设备地址指定成中继终端。因此,通过便携式终端可以接收并且流畅地使用少量数据,并且使大量数据由大存储容量的本地服务器接收。关于防止错误的防范措施,将小于100KB的数据指定成保存在IC卡10内的常规存储区20中。因此,可避免便携式终端存储器的抑制。将等于或大于100KB和小于100MB的数据指定成保存在本地服务器的常规存储器中。因此,可以将通常容量大的本地服务器的常规存储器用作暂时保存区。这样,利用如图5所示的表格,可以按照数据大小确定适当发送目的地和暂时保存区。可以指定防止每种错误的两种或多个防范措施。例如,将将数据保存到IC卡10内的常规存储区20被指定为第一防范措施,而将数据保存到中继终端40内的常规存储区被指定为第二防范措施。这样,甚至在未将IC卡插入中继终端中的情况下,也可以通过第二防范措施使数据暂时保留在中继终端40内的常规存储器中。从服务终端60接收的属性信息不局限于数据大小,例如,也可以接收数据类型作为属性信息。在这种情况下,例如,包括如图6所示的表格,并且按照数据类型确定发送目的地。
关于出错情况下的防范措施,在核实了空闲存储区(图4中的S66、S68、S70和S72)之后,可以由IC卡10的卡控制单元14按照存储区的空闲状态动态地确定暂时保存区。在那种情况下,在如图5和图6所示的每个表格中可以省略出错情况下的防范措施那一列。
如图4所示,在确定了发送目的地之后,卡控制单元14核实安全存储区18的空闲区(S66)和预留数据的存储区(S68)。因此,不能将其它数据写入用于存储数据的预留区,并且可以可靠地将这些数据存储在安全存储区18中。随后,卡控制单元14检验常规存储区20中的空闲区(S70)和为数据的暂时保存区预留区域(S72)。因此,不能将其它数据写入用于暂时保留的预留区,并且甚至在IC卡10处在忙状态的情况下,也可以可靠地将数据保存在常规存储区20中,因此,不能将数据存储在安全存储区18中。但是,对于用于数据的暂时保存区的常规存储区20,可以无需指定写入区域或预留存储区地将这些数据写入空闲区。也就是说,可以省略步骤S72。接着,卡控制单元14创建存储指令信息30(S74)。
图7是示出存储指令信息30的例子的图形。如图7所示,存储指令信息30包含“发送目的地信息”、“卡应用程序ID”、“存储区地址”、“出错情况下的保存区”和“数据大小”的信息项。发送目的地信息是在发送目的地的步骤中确定的发送目的地的地址。在如图7所示的例子中,发送目的地信息不仅包含作为发送目的地的中继终端的便携式终端的设备地址,而且包含指示通信方法是蓝牙的信息“blt”。在通信方法是红外辐射、IP和文件传送的情况下,如图8所示的信息项分别包含在发送目的地信息中。卡应用程序ID是识别进行数据接收处理的卡应用程序16的信息。存储区地址是指示在步骤S68中预留的存储区的区域地址的信息。出错情况下的保存区是指示在步骤S72中预留的保存区的区域地址的信息。数据大小是指示预留区的数据大小的信息。当未预留出错情况下的保存区时,只将出错情况下的保存区指定成常规存储区。
存储指令信息30可以进一步包含“存储区预留项”。“存储区预留项”是指示继续预留在步骤S68和S72中预留的区域的项目的日期和时间。
如图4所示,IC卡10的卡控制单元14将创建的存储指令信息30发送到卡应用程序16(S76)。卡应用程序16保留接收的存储指令信息30,并且将这个存储指令信息30发送到服务终端60(S78和S80)。如图9所示,保留在IC卡10中的存储指令信息30不需要包含发送目的地信息。发送目的地信息是掌控服务终端60打算将数据发送给它的中继终端40、以便不需要包含在从服务终端60发送到中继终端40的数据中的信息。到此为止,已经描述了存储指令信息。
如图3所示,IC卡10将存储指令信息30发送到服务终端60(S54)。服务终端60接收从IC卡10发送的存储指令信息30,从而完成IC卡10和服务终端60之间的通信(S56)。
如图2所示,当服务终端60接收从IC卡10发送的存储指令信息30时(S20),服务终端60将IC卡10请求的内容数据发送到存储指令信息30指定的中继终端40(S22-S28)。
图10是详细示出服务终端60和中继终端40的处理的图形。首先,服务终端60用会话密钥加密要发送的数据,从而生成加密数据(S90)。当加密结束时,服务终端60删除用在加密中的会话密钥(S92)。随后,服务终端60将首标附在加密数据上并且将这些数据发送到中继终端40(S94)。
图11A和图11B是示出从服务终端60发送到中继终端40的数据的例子的图形。如图11A所示,这里要发送的数据是将首标附在加密数据上那样的数据。TLV格式最好应该适用于首标。图11B例示了包含在首标中的数据的内容。指定中继终端40的终端中间件(MW)ID、和存储指令信息30被包含在首标中。此外,如图11B所示,在首标中还可以包含会话ID、数据ID和R/WID。
中继终端40的通信单元50接收从服务终端60发送的加密数据(S96)。此外,中继终端40向服务终端60发送有关加密数据的接收处理的响应信号(S98),并且服务终端60接收响应信号,从而完成服务终端60和中继终端40之间的通信(S100)。由于到此为止所述的操作,完成了如图2所示的直到发送加密数据和发送对此所作的响应的处理(S26和S28)。
随后,中继终端40将接收的加密数据发送到IC卡10(S30)。
图12是详细示出中继终端40和IC卡10的处理的图形,而图13是示出在将数据写入IC卡10中的方式下数据的流动的图形。如图12所示,当中继终端40接收从服务终端60发送的存储指令信息30和加密数据时(S110),中继终端40指示IC卡10通过指定应用程序ID激活卡应用程序16(S112)。具体地说,中继终端40的卡访问控制单元54发送激活卡应用程序16的IC访问命令。当IC卡10的卡控制单元14接收到从中继终端40发送的IC访问命令时,IC卡10激活指定的卡应用程序和将处理结果发送到中继终端40(S114)。
随后,中继终端40的卡访问控制单元54将加密数据发送到IC卡10,并且中继终端40给出将加密数据存储在存储指令信息30指定的存储区地址中的指令(S116)。IC卡10的卡应用程序16用会话密钥解密接收的加密数据(S118),并且将解密数据传送到卡控制单元14(S120)。卡控制单元14用存储密钥加密解密数据(S122),并且将加密数据存储在安全存储区18中(S124)。当卡控制单元14接收到指示加密数据正确存储结果的OK通知时(S126),它将存储处理结果通知卡应用程序16(S128)。当卡应用程序16接收到指示数据正确存储结果的OK通知时,它删除会话密钥(S130)和将结果发送到卡控制单元14(S132)。当卡控制单元14从卡应用程序16接收到OK通知时,它释放在出错情况下作为暂时保存区预留的保存区存储器(S133)。此外,卡控制单元14还删除存储指令信息30(S134)和将数据存储处理结果发送到中继终端40(S136)。当中继终端40接收到指示数据存储处理结果的OK通知时,中继终端40删除存储指令信息30(S138)。顺便提一下,会话密钥的删除处理(S128-S132)和保存区存储器的释放处理(S133)的处理顺序不局限于如上所述的,也可以倒过来。在未预留出错情况下的暂时保存区和将数据暂时保留在空闲区中的情况下,可以省略步骤S133。到此为止,已经描述了IC卡10未处在忙状态和正常地写入数据的操作。
接着,描述IC卡10的TRM 12在将数据写入安全存储区18的模式下处在忙状态情况下的操作。我们将概述该操作。在TRM 12忙的情况下,中继终端40暂时将加密数据保存在常规存储区20中,并且中继终端40在适当的定时从IC卡10中读出存储指令信息30,以便根据存储指令信息30将数据从常规存储区20移动安全存储区18。在访问这个IC卡10的情况下,可以通过出错通知检测IC卡10的忙状态,或可以由中继终端40的卡访问控制单元54来判断。
图14是示出中继终端40和IC卡10的处理的图形,而图15是示出在IC卡10在将数据写入安全存储器的模式下处在忙状态的情况下的数据流动的图形。如图14所示,当中继终端40从服务终端60接收到存储指令信息30和加密数据时(S140),中继终端40指令IC卡10通过指定应用程序ID激活卡应用程序16(S142)。具体地说,中继终端40的卡访问控制单元54发送激活卡应用程序16的IC访问命令。由于IC卡10处在忙状态,IC卡10将指示激活应用程序失败的NG处理结果通知中继终端40(S144)。
当中继终端40从IC卡10接收到NG处理结果时,中继终端40将加密数据存储在IC卡10的常规存储区20中(S146)。具体地说,中继终端40的卡访问控制单元54通过指定存储指令信息30指定的暂时保存区的地址发送存储器访问命令。IC卡10总是接受存储器访问命令,并且在常规存储区20中预留保存数据的区域,以便可以可靠地将加密数据存储在常规存储区20中。这里,如图15所示,中继终端40接收的加密数据按原样保存在常规存储区20中。在只将常规存储器指定成存储指令信息30中出错情况下的保存区的情况下,通过卡控制单元动态地确定保存区的地址。此外,卡控制单元还将已经保存了数据的地址加入保存在这个卡控制单元中的存储指令信息30中出错情况下的保存区中。在卡的忙状态可以由卡访问控制单元54来判断的中继终端40的情况下,无需执行卡应用程序16的激活指令(S142)和接收NG处理结果(S144),直接将加密数据存储在IC卡10的常规存储器20中(S146)。
当中继终端40从IC卡10接收到指示成功地将加密数据存储到常规存储区20的OK处理结果时(S148),中继终端40删除存储指令信息30。由于上述操作,在IC卡10处在忙状态下的情况下,可以暂时将数据存储在常规存储区20中。
接着,描述在适当定时将保存在常规存储区20中的数据移动到安全存储区18的操作。
图16是示出中继终端40和IC卡10的处理的图形,而图17是示出将保存在常规存储区20中的数据移动到安全存储区18的情况下的数据流动的图形。如图16所示,中继终端40向IC卡10发送获取存储指令信息30的请求(S160)。发送获取存储指令信息30的请求的定时可以是自检测到IC卡10的忙状态以来经过了预定时间间隔的时间,或可以是在向这个IC卡10发送了监视IC卡10的状态的IC卡访问命令之后接收到OK响应的时间。
当IC卡10的卡控制单元14从中继终端40接收到获取存储指令信息30的请求时,IC卡10将存储指令信息30发送到中继终端40(S162)。随后,中继终端40指定由获取存储指令信息30指定的应用程序ID,并且中继终端40将激活卡应用程序16的IC访问命令发送到IC卡10(S164)。当IC卡10的卡控制单元14接收到IC访问命令时,IC卡10进行激活指定卡应用程序16的处理和将处理结果发送到中继终端40(S166)。在如图16所示的例子中,正常地激活卡应用程序16,并且作为处理结果,将OK发送到中继终端40。
在激活卡应用程序16之后,中继终端40向IC卡10发送将数据从常规存储区20移动到安全存储区18的命令(S168)。具体地说,从存储指令信息30中提取暂时保存加密数据的地址、和与加密数据的存储区有关的安全存储器18的地址,并且向IC卡10发送包含提取地址信息项的IC访问命令。当IC卡10的卡应用程序16从中继终端40接收到数据移动命令时,IC卡10根据接收的数据移动命令移动数据。更具体地说,卡应用程序16根据指定的保存区地址访问常规存储区20,并且卡应用程序16读出存储在常规存储区20中的加密数据(S170和S172)。随后,卡应用程序16用会话密钥解密读出的加密数据(S174),并且卡应用程序16将解密数据和数据的存储区地址传送到卡控制单元14(S176)。
卡控制单元14用会话密钥加密从卡应用程序16传送的数据(S178),并且卡控制单元14将加密数据存储在由指定存储区地址所指的安全存储区18中(S180)。当卡控制单元14。当卡控制单元14接收到指示成功地存储了加密数据的OK响应时(S182),卡控制单元14将OK响应发送到卡应用程序16(S184)。一旦接收到这个OK响应,卡应用程序16就删除会话密钥(S186),并且卡应用程序16将OK响应发送到卡控制单元14(S188)。一旦接收到这个OK响应,卡控制单元14就删除存储指令信息30(S190),并且卡控制单元14将OK响应发送到中继终端40(S192)。当中继终端40从IC卡10接收到指示数据移动正常完成的OK通知时,中继终端40删除存储指令信息30(S194)。由于数据被移动了(S170和S172),所以释放像在步骤S72中预留那样的数据的暂时保存区的存储区。这样,可以通过如图16和17所示的操作,将暂时保存在常规存储区20中的数据移动到安全存储区18。
接着,将描述不能在适当定时将保存在常规存储区20中的数据移动到安全存储区18,并且在存储指令信息30中指示的“存储区预留项”已经到期的情况。
图27是示出在存储区预留项已经到期的情况下中继终端40和IC卡10的处理的图形。中继终端40的卡访问控制单元54通过来自卡控制单元14的通知,或以中继终端40获取保存在卡控制单元14中的存储指令信息30那样的方式,感测已到在“存储区预留项”中指示的日期和时间。在通过来自卡控制单元14的通知感测已到的情况下,中继终端40在感测之后马上从IC卡10中获取存储指令信息30。由于获取存储指令信息30与如图16所示的过程相同,所以在图27中省略了。
当中继终端40的卡访问控制单元40感测到已到在“存储区预留项”中指示的日期和时间时(S271),中继终端40再次进行将保存在常规存储区20中的数据移动到安全存储区18的处理。具体地说,卡访问控制单元54向IC卡10发送指定在存储指令信息30中指定的应用程序ID和激活卡应用程序16的IC访问命令(S272)。在激活卡应用程序16失败的情况下(S273),或在进行如图16所示的数据移动处理的过程中发生错误,并且不能正常地移动数据的情况下,中继终端40的卡访问控制单元54将消除命令发送到卡控制单元14(S274)。一旦接收到清除命令,卡控制单元14就删除暂时保存在常规存储区中的数据(S275-S277),删除保留在卡应用程序中的会话密钥(S278-S280),并且释放在步骤S68中预留的安全存储区18(S281)。此外,卡控制单元14还删除存储指令信息30(S282)和通知中继终端40清除成功了(S283)。一旦接收到通知,中继终端40就删除事先获取的存储指令信息(S284)。暂时保存在常规存储器中的数据的删除处理、保存在卡应用程序中的会话密钥的删除处理、和安全存储区18的释放处理的处理顺序不局限于如上所述的,而是可以改变。
这样,由于如图27所示的操作,可防止尽管未存储数据,但继续预留安全存储区,从而使其余存储量变小的情况。
此外,在将加密数据从服务终端60发送到中继终端40(图2中的S26)失败和在存储指令信息30中指示的“存储区预留项”已到期的情况下,如图27所示,中继终端40的卡访问控制单元54也将清除命令发送到卡控制单元14(S274)。但是,在这种情况下,可以省略删除暂时保存在常规存储区中的数据的步骤(S275-S277)。
在本发明的该实施例中,在IC卡10已经插入中继终端40中和将执行这个IC卡10的初始化处理的情况下,中继终端40的卡访问控制单元54绝对无误地检验存储指令信息30是否保留在卡控制单元14中。在保留了存储指令信息30的情况下,进行如上所述的保留数据移动处理。在存储区保留项已经到期的情况下,进行如图27所示的清除处理。
到此为止,已经描述了本发明第一实施例中的IC卡10和中继终端40。
第一实施例中的IC卡10存储指定数据的存储区和暂时保存区的存储指令信息30,并且将存储指令信息30保留在卡控制单元14中。此外,在IC卡10的TRM 12在将数据从中继终端40写入IC卡10的安全存储区18的过程中处在忙状态的情况下,将数据暂时保存在作为暂时保存区的常规存储区20中,并且以后将数据从暂时保存区移动到作为最后存储区的安全存储区18。因此,即使TRM 12处在忙状态,也可以可靠地将数据存储在IC卡10的安全存储区18中。
在暂时将数据保存在常规存储区20中之后,中继终端40删除存储指令信息30,并且中继终端40在以后移动数据的过程中从IC卡10中读出存储指令信息30。因此,可以降低从中继终端40中读出包含数据的暂时保存区的地址的存储指令信息30的风险,并且可以提高安全性。
作为数据发送目的地的中继终端40是按照数据的属性信息确定的,并且包含指定具体中继终端40的发送目的地信息的存储指令信息30被发送到服务终端60。因此,服务终端60可以将数据发送到适当中继终端40。
由于卡控制单元14在安全存储区18中预留了存储区,所以不会导致存储空间不足地将数据存储在安全存储区18。此外,中继终端40使卡控制单元14按照存储区预留项进行清除处理,从而防止了安全存储区的可用区因继续预留存储区而减小。
当重新插入IC卡10时,中继终端40绝对无误地检验存储指令信息30是否存在,以防止希望保留在安全存储区中的数据继续保存在常规存储区20中,因此,可以提高安全性。
接着,描述第一实施例的IC卡系统的一个修正实施例。尽管根据修正实施例的IC卡系统的基本配置与第一实施例的IC卡系统相同,但是,它在将数据从常规存储区20移动到安全存储区18的情况下的操作是不同的。
图18是示出中继终端40和IC卡10的处理的图形,而图19是示出将保存在常规存储区20中的数据移动到安全存储区18的情况下的数据流动的图形。在根据修正实施例的IC卡系统中,将数据从常规存储区20移动到安全存储区18的操作基本上与第一实施例相同,但不同之处在于,暂时保存区地址和存储区地址未包含在IC卡10发送的数据移动命令中。当IC卡10的卡应用程序16从中继终端40接收到数据移动命令时(S208),IC卡10读出存储在IC卡10的卡控制单元14中的存储指令信息30(S210和S212),并且卡控制单元14获取暂时保存区地址和存储区地址。在获得暂时保存区地址和存储区地址之后修正实施例的IC卡系统的操作与第一实施例的IC卡系统相同。
接着,描述本发明第二实施例中的IC卡系统。尽管第二实施例的IC卡系统的基本配置与第一实施例的IC卡系统相同,但第二实施例中的IC卡10的配置与第一实施例中的IC卡不同。因此,将暂时保存在常规存储区20中的数据移动到安全存储区的过程与第一实施例不同。
图20是示出用在第二实施例中的IC卡10的配置的图形。与第一实施例不同,第二实施例中的IC卡10是这样的,它的TRM 12不能访问常规存储区20。由于这种配置,TRM 12和安全存储区18与常规存储区20分离,从而可以进一步提高安全性。
图21是示出中继终端40和IC卡10的处理的图形,而图22是示出在将保存在常规存储区20中的数据移动到安全存储区18的情况下数据流动的图形。
如图21所示,中继终端40在适当定时从IC卡10中获取存储指令信息30直到激活卡应用程序16的操作(S240-S246)与第一实施例相同。在第二实施例中,在激活了卡应用程序16之后,中继终端40访问IC卡10的常规存储区20和读出暂时保存的数据。具体地说,中继终端40发送从在存储指令信息30中指定的保存区地址中读出加密数据的存储器访问命令,并且中继终端40接收来自IC卡10的数据(S250)。
随后,中继终端40将从常规存储区20当中读出的加密数据发送到IC卡10,并且中继终端40还发送用于存储加密数据的IC访问命令(S252)。IC卡10的卡应用程序16用会话密钥解密接收的加密数据(S254),并且卡应用程序16将解密数据传送到IC卡10的卡控制单元14(S256)。卡控制单元14用存储密钥加密从卡应用程序16传送的数据(S258),并且卡控制单元14将加密数据存储在安全存储区18中(S260)。卡控制单元14将数据存储在安全存储区18中之后的操作(S262-S274)与第一实施例相同。
到此为止,已经描述了本发明第二实施例中的IC卡10和中继终端40。
第二实施例中的中继终端40读出暂时保存在IC卡10的常规存储区20中的数据,并且将读出数据写入安全存储区18。这种配置带来的优点是,甚至在TRM12不能访问常规存储区20那种类型的IC卡10中,也可以以与第一实施例相同的方式可靠地接收数据。
接着,描述第二实施例的IC卡系统的修正实施例。根据修正实施例的IC卡系统与第二实施例的不同之处在于,由终端存储区(RAM)44暂时保存中继终端40接收的数据。
图23是示出中继终端40和IC卡10的处理的图形,而图24是示出将保存在终端存储区44中的数据移动到安全存储区18的情况下的数据流动的图形。
如图23所示,中继终端40在适当定时从IC卡10中获取存储指令信息30直到激活卡应用程序16的操作(S280-S286)与第二实施例相同。在修正实施例中,在激活了卡应用程序16之后,中继终端40的卡访问控制单元54访问终端存储区44(S288)并读出暂时保存的数据(S290)。读出了暂时保存的数据之后的操作(S292-S314)与第二实施例相同。
由于以这种方式暂时将接收数据保存在终端存储区44中以便将数据从终端存储区44移动到安全存储区18的配置,数据移动不受IC卡10的常规存储区20的剩余容量的限制。也就是说,甚至在常规存储区20的剩余容量较小的情况下,也可以使IC卡10可靠地接收数据。
虽然上面通过论述实施例详细描述了本发明的安全设备和中继终端,但不局限于前述这些实施例。
在前述每个实施例中,在将数据从中继终端40写入IC卡10的过程中,可以用会话密钥进行签名核实。
图25是示出包括基于会话密钥的签名核实的步骤S330的数据写入处理的图形。如图25所示,在IC卡10接收到加密数据之后,进行基于会话密钥的签名核实,从而可以进一步提高安全。
在前述每个实施例中,还允许采用按每个会话ID管理会话密钥的配置。
图26是示出包括按照会话ID选择会话密钥的步骤S332的数据写入处理的图形。如图26所示,在IC卡10接收到加密数据之后,从首标中读出会话ID,并且选择与会话ID相对应的会话密钥。此外,IC卡10通过利用所选会话密钥解密数据。由于这种配置,可以按照会话ID选择适当会话密钥,因此,甚至在存在数个将数据从服务终端60发送到IC卡10的会话的情况下,也可以适当地处理数据。
在前述实施例中,将IC卡10作为例子对安全设备作了描述,但是,本发明也可应用于除了IC卡之外的任何安全设备。
如上所述,根据本发明,暂时保存数据的常规存储器的地址被包含在存储指令信息中,从而,当不能将数据写入安全存储区时,一次性地将它们写入常规存储器,并且在允许将数据写入安全存储区之后,使写入变成可执行的,从而甚至在暂时不能将数据写入安全存储区的情况下,也可以可靠地将它们写入安全存储区。
虽然上面描述了当前设想的本发明优选实施例,但应该明白,可以对这些实施例作各种各样的修改。所附权利要求书将涵盖在本发明的实际精神和范围内的所有修改。
工业可应用性
本发明具有可以可靠地将数据写入安全存储器的优点,并且本发明可用作包括抗窜改区的安全设备等。
Claims (16)
1.一种通过具有信息写功能的中继终端接收从服务终端发送的数据的安全设备,包括:
抗窜改模块,其包括至少一个应用程序、和控制安全设备的操作的设备控制单元;
只可从所述抗窜改模块访问的安全存储器;和
与服务终端通信的通信单元;
其中,所述设备控制单元生成和保存存储指令信息,该存储指令信息包括指示数据的写入区的所述安全存储器的地址、和在不能将数据写入所述安全存储器的情况下有关防范措施的信息;和
所述通信单元将存储指令信息发送到服务终端。
2.根据权利要求1所述的安全设备,其中,有关防范措施的信息包括指示暂时保存数据的保存区的所述安全设备或中继终端的常规存储器的地址、和将保存在常规存储器中的数据移动到所述安全存储器的应用程序的标识符。
3.根据权利要求2所述的安全设备,其中,有关防范措施的信息包括存储区预留项,其指示至少继续预留用于暂时保存数据的保存区或与数据的写入区有关的存储区的项。
4.根据权利要求1所述的安全设备,其中:
所述通信单元接收从服务终端发送的数据的属性信息;和
所述设备控制单元根据属性信息确定转发将要从服务终端发送的数据的中继终端,并且所述设备控制单元使所确定的中继终端的地址包括在存储指令信息中。
5.根据权利要求1所述的安全设备,其中:
所述通信单元接收从服务终端发送的数据的属性信息;和
所述设备控制单元根据属性信息确定中继终端和服务终端之间的通信方法,并且所述设备控制单元使通信方法包括在存储指令信息中。
6.一种将从服务终端发送的数据写入可通信连接的安全设备的中继终端,包括:
数据接收单元,用于从服务终端接收数据和存储指令信息,其中,所述存储指令信息包括指示数据的写入区的安全设备的安全存储器的地址、和在不能将数据写入安全存储器的情况下有关防范措施的信息;
命令发送单元,用于向安全设备发送用于将接收数据写入如存储指令信息所指定的安全存储器的地址的命令,并且从安全设备接收对该命令的响应;和
控制单元,用于根据响应,判断将数据写入安全存储器的适当性,并且在判断不可能写入的情况下,根据存储指令信息指定的有关防范措施的信息,将数据写入安全设备或中继终端的常规存储器。
7.根据权利要求6所述的中继终端,其中,有关防范措施的信息包括指示暂时保存数据的保存区的安全设备或中继终端的常规存储器的地址、和将保存在常规存储器中的数据移动到安全存储器的应用程序的标识符。
8.根据权利要求7所述的中继终端,其中:
所述指令发送单元根据由存储指令信息所指定的应用程序的标识符,将激活命令发送到与应用程序标识符相对应的应用程序;和
所述指令发送单元向激活的应用程序发送将暂时保存在常规存储器中的数据移动到安全存储器的地址的数据移动命令。
9.一种将从服务终端发送的数据写入可通信连接的安全设备的中继终端,包括:
数据接收单元,用于从服务终端接收数据和存储指令信息,其中,所述存储指令信息包括指示数据的写入区的安全设备的安全存储器的地址、和在不能将数据写入安全存储器的情况下有关防范措施的信息;和
控制单元,用于管理安全设备的处理状态,以便根据处理状态,判断将数据写入安全存储器的适当性,并且在判断不可能写入的情况下,根据存储指令信息指定的有关防范措施的信息,将数据写入安全设备或中继终端的常规存储器。
10.根据权利要求6或9所述的中继终端,进一步包含删除单元,用于在完成了将数据写入存储指令信息指定的常规存储器的地址之后,删除存储指令信息。
11.根据权利要求9所述的中继终端,其中,有关防范措施的信息包括指示暂时保存数据的保存区的安全设备或中继终端的常规存储器的地址、和将保存在常规存储器中的数据移动到安全存储器的应用程序的标识符。
12.根据权利要求11所述的中继终端,其中,有关防范措施的信息包括存储区预留项,其指示至少继续预留暂时保存数据的保存区或作为数据的写入区的存储区的项。
13.根据权利要求7或权利要求11所述的中继终端,其中:
所述指令发送单元根据由存储指令信息所指定的应用程序的标识符,将激活命令发送到与应用程序标识符相对应的应用程序;和
激活的应用程序参照存储指令信息,将暂时保存在常规存储器中的数据移动到安全存储器的地址。
14.根据权利要求7或权利要求11所述的中继终端,进一步包含:
数据读出单元,用于访问存储指令信息指定的常规存储器的地址,以便读出暂时保存在常规存储器中的数据;
其中:
所述指令发送单元根据由存储指令信息所指定的应用程序的标识符,将激活命令发送到与应用程序标识符相对应的应用程序;和
所述指令发送单元向激活的应用程序发送指示应用程序将所述数据读出单元读出的数据写入安全存储器的地址的写入命令。
15.根据权利要求12所述的中继终端,其中,所述指令发送单元通过参照存储指令信息指定的存储区预留项,删除暂时保存在常规存储器中的数据。
16.一种通过具有信息写入功能的中继终端接收从服务终端发送的数据的操作安全设备的方法,包含:
安全设备生成存储指令信息的步骤,该存储指令信息包括指示数据的写入区的安全设备的安全存储器的地址、和在不能将数据写入安全存储器的情况下有关防范措施的信息;和
安全设备将存储指令信息发送到服务终端的步骤,
其中存储指令信息从服务终端发送到将数据写入安全设备的中继终端,
其中在判断不能写入安全设备的安全存储器的情况下,基于有关由存储指令信息指定的防范措施的信息,利用存储指令信息将数据写入到安全设备或中继终端的常规存储器。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP323873/2004 | 2004-11-08 | ||
| JP2004323873 | 2004-11-08 | ||
| JP300832/2005 | 2005-10-14 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101048779A CN101048779A (zh) | 2007-10-03 |
| CN100474327C true CN100474327C (zh) | 2009-04-01 |
Family
ID=38772250
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005800372412A Expired - Fee Related CN100474327C (zh) | 2004-11-08 | 2005-11-02 | 安全设备、中继终端及操作安全设备的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100474327C (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102214280A (zh) * | 2010-04-01 | 2011-10-12 | 索尼公司 | 存储器装置、主机装置以及存储器系统 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012160634A1 (ja) * | 2011-05-23 | 2012-11-29 | オリンパス株式会社 | 内視鏡システム |
| JP6397200B2 (ja) * | 2014-03-31 | 2018-09-26 | フェリカネットワークス株式会社 | 管理サーバ、およびデータ処理方法、並びにプログラム |
-
2005
- 2005-11-02 CN CNB2005800372412A patent/CN100474327C/zh not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102214280A (zh) * | 2010-04-01 | 2011-10-12 | 索尼公司 | 存储器装置、主机装置以及存储器系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101048779A (zh) | 2007-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4794269B2 (ja) | セキュアデバイスおよび中継端末 | |
| US5293029A (en) | System for mutually certifying an IC card and an IC card terminal | |
| US20080180212A1 (en) | Settlement terminal and ic card | |
| JPH0863531A (ja) | チップカードと情報システム間のトランザクションの実施方法 | |
| JPH08212066A (ja) | 情報処理装置のプロテクトメモリエリアへのロード方法と、それに関わる装置 | |
| EP1388989A2 (en) | Digital contents issuing system and digital contents issuing method | |
| US7357329B2 (en) | IC card, terminal device, and data communication method | |
| US20110078245A1 (en) | Method and a system for transferring application data from a source electronic device to a destination electronic device | |
| TW200928750A (en) | System and method for updating read-only memory in smart card memory modules | |
| JP4651212B2 (ja) | 携帯可能情報記憶媒体およびその認証方法 | |
| US7337976B2 (en) | Semiconductor memory | |
| US7500605B2 (en) | Tamper resistant device and file generation method | |
| EP1369829A2 (en) | Electronic value data communication method and system between IC cards | |
| KR20060113839A (ko) | 메모리 영역에 분할 영역을 가지는 정보 기억장치 | |
| JP5150116B2 (ja) | Icカード及び読み書き装置 | |
| US20090184799A1 (en) | Information storage medium and information storage medium processing apparatus | |
| GB2227111A (en) | Certification system | |
| US20160267461A1 (en) | Apparatus and method for processing a transaction for receiving and paying cash | |
| CN100474327C (zh) | 安全设备、中继终端及操作安全设备的方法 | |
| JP4394413B2 (ja) | 情報記憶装置及び情報処理システム | |
| CN105574425B (zh) | 访问存储数据的方法及装置 | |
| JP5010880B2 (ja) | 自動取引システム | |
| JP2000322535A (ja) | Icカードの情報処理方法及び方式 | |
| JPH0253154A (ja) | 携帯可能電子装置 | |
| JP2006172005A (ja) | 携帯可能電子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090401 Termination date: 20191102 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |