CN1279457C - 信息处理装置和信息处理方法 - Google Patents
信息处理装置和信息处理方法 Download PDFInfo
- Publication number
- CN1279457C CN1279457C CNB991114884A CN99111488A CN1279457C CN 1279457 C CN1279457 C CN 1279457C CN B991114884 A CNB991114884 A CN B991114884A CN 99111488 A CN99111488 A CN 99111488A CN 1279457 C CN1279457 C CN 1279457C
- Authority
- CN
- China
- Prior art keywords
- zone
- service
- supvr
- key
- card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 230000010365 information processing Effects 0.000 title claims description 13
- 238000003672 processing method Methods 0.000 title claims description 9
- 238000007726 management method Methods 0.000 claims description 130
- 238000003860 storage Methods 0.000 claims description 57
- 238000013500 data storage Methods 0.000 claims description 28
- 230000003750 conditioning effect Effects 0.000 claims description 18
- 230000015572 biosynthetic process Effects 0.000 claims description 16
- 230000005055 memory storage Effects 0.000 claims description 12
- 238000007689 inspection Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 abstract description 11
- 238000009826 distribution Methods 0.000 description 106
- 238000012545 processing Methods 0.000 description 66
- 238000000034 method Methods 0.000 description 18
- 230000009466 transformation Effects 0.000 description 15
- 238000004519 manufacturing process Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 11
- 230000006854 communication Effects 0.000 description 9
- 230000015654 memory Effects 0.000 description 9
- 230000008859 change Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 8
- 238000013478 data encryption standard Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- ZOKXTWBITQBERF-UHFFFAOYSA-N Molybdenum Chemical compound [Mo] ZOKXTWBITQBERF-UHFFFAOYSA-N 0.000 description 2
- 239000003990 capacitor Substances 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 2
- 229910052750 molybdenum Inorganic materials 0.000 description 2
- 239000011733 molybdenum Substances 0.000 description 2
- 101100008044 Caenorhabditis elegans cut-1 gene Proteins 0.000 description 1
- 101100008049 Caenorhabditis elegans cut-5 gene Proteins 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 238000013070 change management Methods 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 238000005520 cutting process Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000006073 displacement reaction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000005906 menstruation Effects 0.000 description 1
- 238000006386 neutralization reaction Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000003534 oscillatory effect Effects 0.000 description 1
- 230000010363 phase shift Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/355—Personalisation of cards for use
- G06Q20/3558—Preliminary personalisation for transfer to user
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/357—Cards having a plurality of specified features
- G06Q20/3576—Multiple memory zones on card
- G06Q20/35765—Access rights to memory zones
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Computer Networks & Wireless Communication (AREA)
- Accounting & Taxation (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Storage Device Security (AREA)
- Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
Abstract
在已登录卡的发行信息提供装置131中,加密所述已登录卡的发行信息,该加密后的发行信息经传送媒体121传送给已登录卡的发卡机101。在已登录卡的发卡机101中,接收和登录来自已登录卡的发行提供装置131的加密后的已登录卡的发行信息。当已登录卡的发卡机101允许与IC卡2通信时,它将加密后的已登录卡的发行信息传送给IC卡2。在IC卡2中,对来自已登录卡的发卡机101的加密后的已登录卡的发行信息进行译码,并存储该发行信息。
Description
技术领域
本发明涉及一种信息处理装置和一种信息处理方法,并且涉及例如在不回收IC卡(集成电路)的情况下能够安全地添加和改变管理信息以便管理包含在所述IC卡中的一个存储器的一种信息处理装置和信息处理方法。
背景技术
例如,现在已经研制出了希望被用于电子货币系统、安全系统等系统中的IC卡(智能卡)。所述IC卡具有一个用于执行各种处理的CPU和一个用于存储执行所述处理所必要的数据的存储器,在将它电连接到一个预定的读/写器(R/W)或在非接触状态下使用电磁波的同时,执行向/从所述IC卡的数据传送/接收。在非接触状态下使用电磁波利用R/W执行数据传送/接收的IC卡通常被经过电磁波提供电能。
在所述IC卡被用于所述电子货币系统、安全系统等的情况下,数据的安全和诸如防止伪造等安全措施是非常重要的。通常,利用从系统管理者(操作者)给出的一个密钥允许对一个IC卡进行访问。即,不具有密钥的个人对IC卡的访问受到限制。
另外,在ISO(国际标准化组织)7816中规定了所述安全措施,ISO 7816规定了接触形IC卡的标准,根据这个标准,通过锁定与一个引向器(director)或文件夹对应的DF(专用文件),限制对与一个文件对应的属于所述DF或EF(基本文件(Elementary File))的层的DF进行访问。
通常,所述IC卡的管理者或制造者可以回收已经发行给使用者、并在市场上分布的IC卡,向每个IC卡新添加一文件的所谓卡发行工作,通常是由他们在高度执行所述安全措施的设备等中执行的,对于该文件其中保持有用于提供新服务或用于改变数据访问所需密钥的数据。
即,通常,IC卡的发行者执行图1所示的初始发行工作和向已登录的执行已登录卡发行工作的卡发行经营者发行没有任何功能的IC卡(不能执行数据读/写操作的IC卡)。已登录卡发行经营者执行已登录的发行工作(二次(secondary)发行工作),这样,希望通过所述IC卡发行服务的管理者#1能够使用所述IC卡。即,已登录卡的发行者在每个IC卡中保持一个将被所述管理者#1使用的存储区域(所述管理者#1的区域),并将访问该存储区域所需的密钥和其它信息写入到每个IC卡中。这里,已登录卡发行工作是在诸如所述已登录卡发行经营者的设备等高度执行安全措施的场所(此后称之为“合适和安全场所”)处执行的。另外,在图1中,所述已登录卡的发行经营者和管理者#1经常是同一个人。
经过已登录卡发行工作的IC卡被投放到市场并分布给使用者。所述IC卡被用于由管理者#1提供服务。即,使用者可以将所述IC卡用做电子钥匙或钱包。
当上述已经投放到市场上的IC卡是多功能IC卡和除管理者#以外的管理者#2希望通过所述多功能IC卡提供服务时,已登录卡的发行经营者如图2所示暂时收回已经被投放到市场上的IC卡。已登录卡的发行经营者执行所述已登录卡发行工作,从而使管理者#2能够使用所述卡。即,已登录卡的发行经营者在每个IC卡中保持一个将被用于管理者#2的存储区域(管理者#2的区域)并进一步在每个IC卡中写入管理者#2对所述存储区域进行访问所需的一个密钥和其它信息。此后,经过了已登录卡的发行工作的所述IC卡被再次投放到市场。
例如,经过已登录卡的发行工作而写入到一个IC卡中的密钥是一个对于所述卡的安全性方面非常重要的信息,并不希望这种信息被分布到诸如市场等的场所,在这种场所中,有很大的可能执行诸如分流、篡改等不正常活动,并且不执行安全性管理(这种场所此后被称之为“不合适和不安全的场所”)。因此,所述的IC卡被从市场回收并如上所述地在一个安全的场所执行已登录卡的发行工作。
因此,每当希望执行所述已登录卡的发行工作时必须回收所述IC卡,这是非常麻烦的。
发明内容
本发明是从这种情况出发进行的,本发明的一个目的就是使访问一个存储区域所需的密钥和其它信息能够被安全地写入到在安全性方面不够安全的场所中。
为了实现上述目的,根据本发明的一个方面,提供了一种信息处理装置,其特征是该装置包括一个加密装置,该装置用于加密包含为管理数据存储装置的一个存储区域而提供的、访问所述数据存储装置的所述存储区域所需的密钥的管理信息。所述加密装置加密包含为管理所述数据存储装置的所述存储区域而提供的、访问所述存储区域所需的密钥的所述管理信息。
根据本发明的另一个方面,提供了一种信息处理方法,其特征是该方法包括一个加密步骤,该步骤用于加密包含有为管理数据存储装置的一个存储区域而提供的、访问所述数据存储装置的所述存储区域所需的密钥的管理信息。包含为管理所述数据存储装置的所述存储区域而提供的、访问所述存储区域所需的密钥的管理信息被加密。
根据本发明的再一个方面,提供了一种信息处理装置,其特征是该装置包括一个译码装置,该装置用于译码包含为管理数据存储装置的一个存储区域而提供的、访问所述数据存储装置的所述存储区域所需的密钥的加密后的管理信息。所述译码装置译码包含为管理所述数据存储装置的所述存储区域而提供的、访问所述存储区域所需的密钥的加密后的管理信息。
根据本发明的再一个方面,提供了一种信息处理方法。其特征是该方法包括一个译码步骤,该步骤用于译码包含为管理数据存储装置的一个存储区域而提供的、访问所述数据存储装置的所述存储区域所需的密钥的加密后的管理信息。包含为管理所述数据存储装置的所述存储区域的、访问所述存储区域所需的密钥的加密后的管理信息被译码。
附图说明
图1示出了传统IC卡的分布图;
图2示出了传统IC卡的分布图;
图3的框图示出了使用应用了本发明的IC卡的卡系统的实施例结构;
图4的框图示出了图3所示读/写器1的结构;
图5的框图示出了图3所示IC卡2的结构;
图6示出了图5所示EEPROM 66的逻辑形式的图;
图7示出了图5所示EEPROM的目录结构的图;
图8示出了构成图7所示层结构的处理图;
图9的流程示出了区域形成处理;
图10的流程示出了服务形成处理;
图11示出了在多个管理者之间的密钥的接收和传送图;
图12示出了当管理者A提供服务时所需的信息的图;
图13示出了当管理者A提供服务时IC卡2的处理图;
图14示出了利用服务提供装置111执行的所述IC卡2的确认方法的图;
图15示出了利用所述IC卡2执行的服务提供装置111的确认方法的图;
图16示出了当管理者B2提供服务时所需的信息的图;
图17示出了当管理者B2提供服务时IC卡2的处理的图;
图18示出了当管理者C提供服务时所需的信息的图;
图19示出了当管理者C提供服务时IC卡2的处理图;
图20示出了当管理者C提供服务时所需的信息的图;
图21示出了当管理者C提供服务时IC卡2的处理图;
图22示出了产生用于相互确认的第一访问密钥和第二访问密钥的方法图;
图23示出了EEPROM 66的层结构图;
图24示出了多个管理者之间的密钥接收/传送的图;
图25示出了多个管理者之间服务(数据)的共同使用的图;
图26示出了EEPROM 66的层结构图;
图27示出了多个管理者之间密钥的接收/传送图;
图28示出了本发明的原理图;
图29的框图示出了应用本发明的已登录卡的发行系统的一个实施例结构;
图30的流程示出了已登录卡的发行信息的提供处理;
图31示出了加密后的已登录卡的发行信息的格式图;和
图32流程示出了译码处理。
具体实施方式
下面参考附图描述本发明的最佳实施例。在描述最佳实施例之前,首先通过将一个相应的实施例(但是,一个例子)加到在每个装置后面的圆括弧之中以便阐明在“专利权利要求范围”中描述的本发明各装置和随后实施例之间的相应关系来描述本发明的特性。
即,本发明第一方面的信息处理装置是一个用于执行处理以便向数据存储装置提供管理信息的信息处理装置,该装置包含用于存储数据的数据存储装置(例如,图5所示的EEPROM 66等)、用于存储包含为管理数据存储装置的一个存储区域而提供的、访问所述数据存储装置的所述存储区域所需的密钥的管理信息的管理信息存储装置(例如图5所示的EEPROM 66等)、用于管理所述数据存储装置的管理装置(例如图5所示的定序器91等),并且它被提供有一个用于形成所述管理信息的形成装置(例如,图30所示程序的处理步骤S21等)和一个用于加密所述管理信息的加密装置(例如,图30所示程序的处理步骤S23等)。
上述信息处理装置还包括一个用于运行一个检查码以检查所述管理信息是否被篡改的运行装置(例如,图30所示程序的处理步骤S22等)和一个用于加密所述检查码以及所述管理信息的加密装置。
上述信息处理装置还包括一个用于经过一个预定传送介质向数据存储装置传送加密后的管理信息的传送装置(例如,图30所示程序的处理步骤S24等)。
本发明第三方面的信息处理装置是一个具有用于存储数据的数据存储装置(例如,图5所示的EEPROM等)、用于存储包含为管理所述数据存储装置的所述存储区域而提供的、访问所述数据存储装置的所述存储区域所需的一个密钥的管理信息的管理信息存储装置(例如,图5所示的EEPROM 66等)和用于管理所述数据存储装置的管理装置(例如,图5所述的定序器91等)的信息处理装置,和它包括一个用于接收加密后管理信息的接收装置(例如,图5所示接口单元61等)、用于译码加密后管理信息的译码装置(例如,图32所示程序的处理步骤S32)以及用于将所述管理信息存储到所述管理信息存储装置中的存储控制装置(例如,图9所示程序的处理步骤S4、图10所示程序的处理步骤S14等)。
所述信息处理装置还包括一个用于检查所述管理信息是否被篡改的检查装置(例如,图32所示程序的处理步骤S33等)。
不用说,上面的描述并不意味着所述装置被局限于前面所描述的装置。
图3示出了使用了应用本发明的IC卡的非接触卡系统的实施例的结构(所述系统意味着多个装置的逻辑组合,它不取决于是否在同一个壳体内安置了各自的装置)。
所述非接触卡系统包括R/W1、IC卡2和控制器3,使用电磁波在非接触状态下在所述R/W1和IC卡2之间执行数据的传送和接收。
即,R/W1向IC卡2传送一个预定的命令,IC卡2接收所述命令并执行与该命令相应的处理。IC卡2向R/W1传送与处理结果相应的应答数据。
R/W1经过一个预定的接口(该接口符合RS-485A标准或类似标准)被连接到控制器3上,控制器3向R/W1提供一个预定的控制信号,从而使R/W1执行预定的处理。
图4示出了图3所示R/W1的结构。
在IC 21中,用于执行数据处理的DPU(数据处理单元)31、用于处理将被传送给所述IC卡2的数据和从所述IC卡2接收的数据的SPU(信号处理单元)32、与控制器3进行通信的SCC(串行通信控制器)33以及包括用于预先存储处理数据所需信息的ROM部分41和用于在处理期间暂存数据的RAM部分42的存储器单元34,它们经过一个总线彼此互连接。
另外,用于存储预定数据的快闪存储器22也被连接到所述总线上。
DPU 31向SPU 32输出一个将被传送给IC卡2的命令,并从SPU 32接收从IC卡2接收的应答数据。
在预定的处理(例如,双相移键控)之后,对将被传送给IC卡2的所述命令执行调制(编码成曼彻斯特码等),SPU 32将其输出给调制电路23,并且,它还从解调电路25接收由所述IC卡2传送的应答数据,并对所述数据执行预定的处理。
调制电路23在由SPU 32所提供数据的基础上,对具有由振荡器(OSC)26提供的预定频率(例如,13.56MHz)的载波执行ASK(幅值移位键入)调制,并经过天线27向IC卡2输出作为电磁波而如此产生的调制波。此时,设计所述调制电路23使其调制因数被设置成小于1和执行所述ASK调制,借此,即使是在数据低电平处,也能够避免所述调制波被减小到零。
解调电路25解调经过天线27接收的调制波(经过ASK调制的波),并向SPU 32输出被如此解调的数据。
图5示出了图3所述IC卡2的结构。
在IC卡2中,IC 51接收从R/W1经过天线53传送的调制波。电容器52与天线53一起共同构成了一个LC电路,设计该LC电路,以使其能够利用具有预定频率(载波频率)的电磁波进行调谐(振荡)。
在IC 51中,RF接口单元61利用ASK解调器81检测和解调经过天线53接收的调制波(被进行ASK调制的波),并向BPSK解调电路62和PLL(锁相环)单元63输出被如此解调的数据。另外,它利用电压调节器82稳定在ASK解调器81中检测到的信号,并将它作为DC电源提供给每个电路。
在振荡电路83中,RF接口单元61使具有和所述数据的时钟频率相同频率的一个信号振荡,并向PLL单元63输出所述信号。
在RF接口单元61中,用作IC卡2的电源的天线53的负载随同ASK调制器81中从运行单元64经过BPSK调制电路68提供的数据变化(例如,规定的转换元件随同数据导通/截止,并且只有当所述转换元件被导通时,预定的负载才会被并行连接到天线53上),借此,经过天线53接收的所述调制波被进行ASK调制(当从IC卡2传送数据(IC卡2被用于传送数据)时,R/W1将从它输出的所述调制波的最大幅值设置成一个固定值,和在天线53负载变化的基础上这个调制波被进行ASK调制),并经过天线53将它的调制分量传送给R/W1(改变R/W1的天线27的端电压)。
在从ASK解调器81提供的数据的基础上,PLL单元63产生一个与所述数据同步的时钟信号,并将该时钟信号输出给BPSK解调电路62和BPSK调制电路68。
当在ASK解调器81中解调的数据被进行BPSK调制时,BPSK解调电路62根据从PLL单元63提供的所述时钟信号解调所述数据(译码曼彻斯特码),并向运行单元64输出被如此解调的数据。
当从BPSK解调电路62提供的数据被加密时,在加密/译码单元92中,运行电路64译码所述数据,然后,在定序器91中处理所述数据。当所述数据没有被加密时,从BPSK解调电路62提供的数据被直接提供给定序器91,不经过所述加密/译码单元92。
定序器91被设计成执行与作为将被提供给它的命令的数据相对应的处理。即,例如,定序器91执行向/从EEPROM 66的数据写入和读出操作和其它必要的操作处理。另外,定序器91在确认的基础上执行对EEPROM 66的访问控制和管理EEPROM 66。
在存储在EEPROM66中的所述数据的基础上,运行单元64的奇偶运算符93计算作为奇偶性的Reed Solomon代码。
在定序器91中运行单元64执行预定的处理之后,它向BPSK调制电路68输出与所述处理对应的应答数据(将被传送给R/W1的数据)。
BPSK调制电路68对从运行单元64提供的数据进行BPSK调制,并向RF接口单元61的ASK调制器84输出被如此调制的数据。
ROM(只读存储器)65存储被定序器91用于执行它的处理的一个程序和其它必要的数据。RAM 67暂存定序器91处理期间的数据。
EEPROM(电可擦和可编程ROM)66是一个非易失存储器,即使是当IC卡2结束与R/W1的通信和电源停止时,它也将继续存储数据。
下面将描述在R/W1和IC卡2之间的数据传送/接收处理。
R/W1(图4)从天线27发射一个预定的电磁波,监视天线27的负载状态并且等待直到检测到由于IC卡2的逼近而引起所述负载状态的变化。R/W1可以执行一个处理(轮询),在这个处理中,发射在预定短模式数据的基础上被进行了ASK调制的电磁波,以呼叫IC卡2,直到在一个固定的时间内获得来自IC卡2的应答为止。
当在R/W1中检测到IC卡2的逼近时,R/W1的SPU 32把一个预定频率(例如,是所述数据频率的两倍的频率)的矩形波作为载波,在将被传送给IC卡2的数据(与将被IC卡2执行的处理对应的命令、将被写入到IC卡2的写入数据等)的基础上对所述预定频率的矩形波进行BPSK调制,和向调制电路23输出被如此产生的调制波(BPSK调制信号)(曼彻斯特码)。
在所述BPSK调制处理中,使用微分变换,所述数据可以和所述调制波的相位变化相互关联,在这种情况下,即使是当它被反相时,所述BPSK调制信号也可以被解调成原来的信号。因此,在解调操作中不需要考虑所述调制波的极性。
在所输入的BPSK调制信号的基础上,调制电路23利用小于1(例如,0.1)的一个调制因数(=数据信号的最大幅值/载波的最大幅值)对所述预定载波进行ASK调制,和经过天线27向IC卡2输出被如此产生的调制波(ASK调制波)。
当不执行传送时,调制电路23产生具有例如数字信号两级电平(高电平和低电平)中的高电平的调制波。
在IC卡2(图5)中,从R/W1的天线27发射的部分电磁波在包括天线53和电容器52的一个LC电路中被转换成电信号,该电信号(调制波)被输出给IC 51的RF接口61。RF接口61的ASK解调器81通过整流和平滑所述调制波检测一个包络并将如此产生的信号提供给电压调节器82。另外,它抑制所述信号的DC分量以提取所述数据信号,并向BPSK解调电路62和PLL电路63输出所述数据信号。
此时,天线53的端电压V0如下:
V0=V10(1+K×Vs(t)+cos(ωt)
其中,V10cos(ωt)表示载波,K表示调制因数和Vs(t)表示从SPU 32输出的数据。
在利用ASK解调器81进行整流后电压V1的低电平值VLR如下:
VLR=V10(1+K×(-1))-Vf
这里,在ASK解调器81中,Vf表示构成用于整流和平滑的整理电路的二极管(未示出)的电压降,通常它大约等于0.7伏电压。
当接收经过ASK解调器81整理和平滑的信号时,电压调节器82稳定所述信号并将该信号作为DC电源提供给各个电路和运行单元64。在这种情况下,由于如上所述所述调制波的调制因数K小于1,所以,整流后的电压变化(高电平和低电平之间的差)很小。因此,可以在电压调节器82中很容易地产生所述DC电源。
这里,当接收具有5%的调制因数K的调制波从而使得V10大约是3伏电压时,整流后的低电平电压VLR等于2.15(=3×(1-0.05)-0.7)伏电压或更多,并且电压调节器82能够向每个电路提供足够的电压作为电源。在这种情况下,整流后电压V1的AC分量(数据分量)的幅值2×K×V10(峰-峰值)等于0.3(=2×0.05×3)伏电压或更多,并且ASK解调器81能够以足够高的S/N比值对所述数据进行解调。
如上所述,通过使用具有小于1的调制因数K的ASK调制波,可以执行具有低误差率(在高S/N比的状态下)的通信,和可以向IC卡2提供足够作为电源的DC电压。
当从ASK解调器81接收数据信号(BPSK解调信号)时,BPSK解调电路62根据从PLL电路63提供的时钟信号解调所述数据信号并向运行单元64输出被如此解调的数据。
当从BPSK解调电路62提供的数据被加密时,运行单元64在加密/译码单元92中译码所述数据,然后将所述数据(命令)提供给定序器91以对所述数据进行处理。在这个时间周期期间内,即在从所述数据被传送给IC卡2的时间开始到接收对所述传送的应答时间结束的周期期间内,R/W1传送其值为1的数据并且处于备用状态。因此,在这个时间周期内,IC卡2接收其最大幅值是恒定的调制波。
在所述处理结束之后,定序器91向BPSK调制电路68输出处理结果的数据等(将被传送给R/W1的数据)。在R/W1的SPU 32的情况相同,BPSK调制电路68对所述数据进行BPSK调制(编码成曼彻斯特码),并向RF接口单元61的ASK调制器84输出调制后的数据。
ASK调制器84使用一个切换元件或类似元件根据来自BPSK调制电路68的数据改变连接到天线53两端的负载,借此,所接收的调制波(如上所述,在传送来自IC卡2的数据时,从R/W1输出的调制波的最大幅值是恒定的)根据将被传送的数据进行ASK调制,以改变R/W1的天线27的端电压,然后,将被如此调制的数据传送给R/W1。
在接收来自IC卡2数据的时间处,R/W1的调制电路23持续传送其值为1(高电平)的数据。在解调电路25中,在被电磁耦合到IC卡2的天线53的天线27的端电压微小变化(例如,数十微伏)的基础上检测从IC卡2传送的数据。
另外,在解调电路25中,利用一个高增益放大器(未示出)放大和调制被检测到的信号(ASK调制波),和如此获得的数据被输出给SPU 32。SPU 32解调所述数据(BPSK调制信号),和将其输出给DPU 31。DPU 31对来自SPU32的数据进行处理并在所述处理结果的基础上判断所述通信是否应当结束。如果判断的结果是再次执行所述通信,则与上述情况相同,执行R/W1和IC卡2之间的通信。相反,如果判断的结果是结束所述通信,那么,R/W1结束与IC卡2的通信处理。
如上所述,R/W1使用其中所述调制因数K小于1的ASK调制向IC卡2传送数据,IC卡2接收所述数据以执行与所述数据对应的处理并将与所述处理结果对应的数据返回给R/W1。
图6示出了图5所示EEPROM 66的逻辑格式。
EEPROM 66是在块基础上构成的,例如,在图6所示的实施例中,一个块是由16个字节组成的。
另外,在图6所示的实施例中,最上一个块的逻辑地址被设置为#0000h(h表示十六进制数),其它的逻辑地址按照增加的数字顺序分配。在图6中,#0000h到#FFFFh被作为逻辑地址分配,如此构成65536(=216)个块。
多个块被构成,以便用做用户块或系统块。所述EEPROM 66的多个块被按照所述逻辑地址的增加数字顺序分配给所述用户块,按照逻辑地址的减少数字顺序分配给所述系统块。即,在图6中,所述用户块向下是增加的,而系统块向上是增加的。当没有空白块时,不能形成所述用户块和系统块。因此,在所述用户块和系统块之间的边界是不固定的,因此,对所述用户块的数量和所述系统块的数量没有强加限制(但是,在图6的实施例中,所述用户块和系统块的总数被限制在65536或更少)。
所述系统块被划分成5种,即,制造ID(识别)块、发行ID块、系统定义块、区域定义块和服务定义块。在图6所示的实施例中,示出了作为区域/服务定义块的用做所述区域定义块或服务定义块的块。
在所述系统块以外,在发行IC卡2时,基本上已经设置了三种块,即,制造ID块、发行ID块和系统定义块,它们被分别安排在逻辑地址#FFFFh、#FFFEh和FFFDh处。所述区域/服务定义块被以形成顺序设置在高于逻辑地址#FFFCh的逻辑地址处。
关于IC卡2的制造信息被设置在所述制造ID块内。即,例如,唯一的制造ID、制造日期和制造代码等被设置在所述制造ID块内。
关于IC卡2的发行信息被设置在所述发行ID块内。即,在所述发行ID块内设置有IC卡2的发行日期码以及IC卡2的发行顺序码等。
在所述系统定义块内,设置有EEPROM 66拥有的系统块或用户块的数量以及系统密钥等。当在IC卡2、R/W1和控制器3之中执行相互确认时使用所述系统密钥。
区域定义块是通过向所述管理者分配EEPROM 66的存储区域(区域)形成的,用于管理分配给所述管理者本身的存储区域的信息等被设置在所述区域定义块内。即,例如在所述区域定义块内设置有下面将要描述的代码范围、空白容量、区域密钥等。
在所述服务定义块内,设置有用于管理后面将要描述的服务区域(服务区域的容量、服务密钥等)的信息。
接着,在定序器91中利用分层对EEPROM的存储区域进行管理。
即,图7示出了EEPRM66的目录结构。
在所述区域定义区域被分层的分层结构中指定了EEPROM 66的存储区域,和指定所述区域定义区域,以便能够具有一个区域定义区域和一个服务定义区域。
所述区域定义区域被分配给所述管理者。在所述区域定义区域中设置有表示识别码范围的代码范围,所述识别码可被用做所述管理者用于识别所述区域定义区域和所述服务定义区域的名称,还设置有用于表示可用的空白块数量的空白容量、用于产生后面将要描述的用于进行确认的一个访问密钥的一个区域密钥等。这里,1区域定义区域对应于结合图6所描述的1区域定义块。
在图7的实施例中,分配给管理者A的所述区域定义区域构成了最上面的层,利用被设置为母层的所述管理者A的定义区域形成管理者B1和B2的区域定义区域。另外,利用被设置为母层的管理者B1的定义区域形成管理者C的区域定义区域。
所述服务定义区域被分配给由所述管理者提供的服务,用于存储提供服务所需数据的服务区域的容量、用于产生访问密钥的服务密钥等被设置在所述服务定义区域内。这里,1服务定义区域对应于结合图6所描述的1服务定义块。
所述服务区域是一个用于存储提供服务所需数据的存储区域,它对应于图6所示的用户块。即,所述服务区域是由大于0个的用户块构成的,构成所述服务区域的用户块的数量被设置为用于管理所述服务区域的服务定义区域的容量。
另外,在所述区域定义区域和服务定义区域内设置有用于识别这些区域的识别码。这里,用于识别所述区域定义区域和所述服务定义区域的识别码此后被称之为区域码和服务码。所述服务码被用于识别用于管理一个服务区域的所述服务定义区域,由此,它可以被认为是一个用于识别所涉及服务区域的识别码(服务区域识别码)。
在图7所示的实施例中,最上层的所述区域定义区域被分配给管理者A。0000h到FFFFh被定义为可使用识别码的范围(代码范围),0123456789abcdef被定义为区域密钥。这里,如果它是位于所述区域定义区域中的代码范围内的一个识别码,那么,任何一个识别码都可以被用做所述区域定义区域的区域码。在这个实施例中,所述区域定义区域的代码范围的最小值被用做它的区域码。因此,其代码范围从0000h到FFFFh的所述区域定义区域、即被分配给管理者A的区域定义区域的区域码被设置成0000h。这里,其区域码被设置成#xxxxh的所述区域定义区域此后将被描述为区域定义区域#xxxxh。
所述管理者A的区域定义区域#0000h的层被提供有一个其中所述管理者A提供服务的服务定义区域。区域定义区域#0000h的从0000h到FFFFh的所述代码范围的0008h被作为一个服务码分配给所述服务定义区域。这里,所述服务码#xxxxh的服务定义区域此后被描述为服务定义区域#xxxxh。
所述服务定义区域#0008h的容量被设置为8,由此,可以使用由8个用户块构成的服务区域。另外,所述服务定义区域#0008h的服务密钥被设置为0101010101010101。
所述管理者A的所述区域定义区域#0000h的层被提供有管理者B1的区域定义区域#0100h和管理者B2的区域定义区域#1000h作为子层。另外,所述区域定义区域#0000h的层被提供有其它的区域定义区域(未示出),由此,例如,可被所述区域定义区域#0000h使用的块数量(空白容量)被设置为37个块。
在管理者B1的所述区域定义区域#0100h的代码范围被分配为从是所述区域定义区域#0100h的母层的所述区域定义区域#0000h的0000h到FFFFh的代码范围中的0100h到03FFh的情况下,由于管理者B1的所述区域定义区域的代码范围是从0100h到03FFh,所以,是所述代码范围最小值的0100h被设置为管理者B1的所述区域定义区域的区域码。另外,所述区域定义区域#0100h的空白容量和区域密钥被分别设置为14和a0a0a0a0a0a0a0a0。
管理者B1的区域定义区域#0100h的层被提供有一个作为它的子层的管理者C的区域定义区域#0300h。在管理者C的区域定义区域#0300h的代码范围被分配为是其母层的区域定义区域#0100h的从0100h到03FFh的代码范围中的0300h到03FFh的情况下,由于管理者C的所述区域定义区域的代码范围是从0300h到03FFh,所以,是所述代码范围最小值的0300h被设置为管理者C的所述区域定义区域的区域码。
所述区域定义区域#0300h的空白容量和区域密钥分别被设置为0和b0b0b0b0b0b0b0b0。
管理者C的区域定义区域#0300h的层被提供有一个用于由管理者C提供服务的服务定义区域。在从区域定义区域#0300h的0300h到03FFh的代码范围中的030Ch被作为服务代码分配给所述服务定义区域。
被分配了所述服务代码030Ch的服务定义区域、即服务定义区域#030Ch的容量被设置为16,然后,可以使用由16个用户块构成的服务区域。另外,服务定义区域#030Ch的服务密钥被设置为0202020202020202。
这里,由所述服务定义区域#030Ch管理的所述服务区域的容量等于16,和所述服务定义区域#030Ch本身使用一个块作为服务定义块,这样,由于所述服务定义区域#030Ch的存在,正在被使用的块的数量等于17(=16+1)。由于其空白容量等于零,所以,可由所述服务定义区域#030Ch属于的一个层的所述区域定义区域#0300h使用的块的数量等于零。另外,所述区域定义区域#0300h本身使用一个块作为一个区域定义块。因此,在所述区域定义区域#0300h的层内,正在被使用的块的数量等于18(=17+1)和可使用块的数量等于零。因此,可以发现,从用做它的母层(较上层)的区域定义区域#0100h分配的块的数量等于18(=18+0)。
关于区域定义区域#0100h的层,如上所述,在用做区域定义区域#0100h的子层(较下层)的区域定义区域#0300h中使用了18个块。另外,所述区域定义区域#0100h本身使用一个块作为区域定义块。所述区域定义区域#0100h的空白容量等于14。因此,在区域定义区域#0100h的层中,正在被使用的块的数量等于19(=18+1),和可被使用的块的数量等于14。因此,从用做其母层的区域定义区域#0000h分配的块的数量等于33(=19+14)。
相反,在管理者B2的区域定义区域#1000h的代码范围被分配为在用做其母层的区域定义区域#0000h的从0000h到FFFFh的代码范围中的1000h到1FFFh的情况下,由于管理者B2的区域定义区域的代码范围是从1000h到1FFFh,因此,是上述代码范围最小值的1000h被设置为管理者B2的所述区域定义区域的区域码。
另外,区域定义区域#1000h的空白容量和区域密钥分别被设置为43和c0c0c0c0c0c0c0c0。
管理者B2的区域定义区域#1000h的层被提供有用于提供管理者B2服务的一个服务定义区域。在区域定义区域#1000h的从1000h到1FFFh的代码范围中的1022h被作为一个服务码分配给所述服务定义区域。
被分配了服务码1022h的服务定义区域、即服务定义区域#1022h的容量被设置为4,和由此可以使用由4个用户块构成的一个服务区域。另外,服务定义区域#1022h的服务密钥被设置为0303030303030303。
这里,由所述服务定义区域#1022h管理的所述服务区域的容量等于4,和服务定义区域#1022h本身使用一个块作为服务定义块,因此,由于存在所述服务定义区域#1022h,所以,正在被使用的块的数量等于5(=4+1)。另外,由于其空白容量等于43,所以,可被服务定义区域#1022h属于的层的区域定义区域#1000h使用的块的数量等于43。另外,区域定义区域#1000h本身使用一个块作为区域定义块。因此,在所述区域定义区域#1000h的层中,正在被使用的块的数量等于6(=5+1),和可被使用块的数量等于43,因此,被分配给区域定义区域#1000h的块的数量等于49(=6+43)。
由于如上所述被用做能够被分配给将被管理的一个区域定义区域的识别码的范围的代码范围被存储在所述区域定义区域中,所以,可以在所述代码范围的基础上定义图7所示的这种层结构,在这种层结构中,一个管理目标的区域定义区域被设置为子层,而用于管理该区域定义区域的区域定义区域被设置为母层。
下面,结合附图8描述在假设被分配给了最上层的区域定义区域#0000h的管理者A是一个IC卡2的提供者的前提下构成图7所示层结构的处理。
管理者A根据用户的请求发行所述IC卡2(1)。在所述IC卡2中只形成图7所示层结构的区域定义区域#0000h。
当管理者A通过使用由所述服务定义区域#0008h管理的所述服务区域开始提供预定的服务时,管理者A将形成所述服务定义区域#0008h所需的信息登录到已登录卡的发卡机101中(2)。
这里,已登录卡的发卡机101例如是由图3所述的R/W1和控制器3构成的。已登录卡的发卡机101可以被设置在火车站、零售店或其它方便的地方。
此后,当用户将IC卡2插入到已登录卡的发卡机101中时(当IC卡2被设置得将被允许与包含在已登录卡的发卡机101中的R/W1通信时),已登录卡的发卡机101执行已登录卡的发行工作,即,在已登录的信息的基础上传送一个命令和必要的数据给IC卡2以形成所述服务定义区域#0008h。经过上述操作,所述用户被允许通过使用由服务定义区域#0008h管理的所述服务区域接受由管理者A提供的服务。
相反,当管理者B1、B2试图使用IC卡2被提供服务时,他们中的每一个与管理者A订立合同,从而使管理者A将将形成区域定义区域#0100h和#1000h所需的信息登录到已登录卡的发卡机101中(3),(4)。当用户将IC卡2插入到已登录卡的发卡机101中时,已登录卡的发卡机101执行已登录卡的发行工作,即,在已登录的信息的基础上向IC卡2传送一个命令和必要的数据以形成区域定义区域#0100h和#1000h,借此,管理者B1或B2能够使用在区域定义区域#0100h或#1000h中定义的所述范围内的IC卡2的资源。在这种情况下,管理者B1和B2的已登录卡的发行经营者是管理者A。
此后,当管理者B2通过使用由服务定义区域#1022h管理的服务区域开始提供预定服务时,管理者B2将形成服务定义区域#1022h所需的信息登录到已登录卡的发卡机101中(5)。当用户将IC卡2插入到已登录卡的发卡机101中时,已登录卡的发卡机101在已登录信息的基础上向IC卡2传送一个命令和必要的数据以形成服务定义区域#1022h。因此,所述用户可以使用由服务定义区域#1022h管理的所述服务区域被提供管理者B2的服务。
另外,当管理者C希望在管理者B1的管理下经过IC卡2提供服务时,管理者C与管理者B1订立一个合同,从而使管理者B1将形成区域定义区域#0300h所需的信息登录到已登录卡的发卡机101中(6)。当用户将IC卡2插入到已登录卡的发卡机101中时,已登录卡的发卡机101在已登录信息的基础上向IC卡2传送一个命令和必要的数据以形成区域定义区域#0300h,借此,管理者C能够使用在区域定义区域#0300h中定义的所述范围内的IC卡2的资源。在这种情况下,管理者C的已登录卡的发行经营者是管理者B1。
此后,当管理者C通过使用由服务定义区域#030Ch管理的服务区域开始提供预定服务时,管理者C将形成服务定义区域#030Ch所需的信息登录到已登录卡的发卡机101中(7)。当用户将IC卡2插入到已登录卡的发卡机101中时,已登录卡的发卡机101在已登录信息的基础上传送一个命令和必要的数据到IC卡2以形成服务定义区域#030Ch,借此,所述用户能够使用由服务定义区域#030Ch管理的服务区域接受由管理者C提供的服务。
如上所述,在IC卡2中,根据来自已登录卡的发卡机101的命令形成所述区域定义区域和服务定义区域。形成区域定义区域的区域形成处理和形成服务定义区域的服务形成处理例如是由定序器91执行的。下面将结合图9和10描述所述区域形成处理和所述服务形成处理。
首先,结合图9的流程描述所述区域形成处理。
当IC卡2被插入到已登录卡的发卡机101中时,已登录卡的发卡机101向IC卡2传送例如一个用于指令形成一个区域定义区域的命令(此后,作为定义,该命令被称之为形成命令)、形成所述区域定义区域所必要的信息,即、要被形成的所述区域定义区域的代码范围、被分配给所述区域定义区域的块的数量(此后称之为分配块数)和区域密钥。
当接收所述区域形成命令时,IC卡2(定序器91)识别与所述区域形成命令一起传送的要被形成的区域定义区域的代码范围、分配块数和区域密钥等。另外,在IC卡2中,识别要被形成的所述区域定义区域的区域码。即,在这种情况下,要被形成的所述区域定义区域的代码范围的最小值被识别为它的区域码。另外,在IC卡2中,具有包含要被形成的所述区域定义区域的代码范围的所述代码范围的区域定义区域被识别为要被形成的区域定义区域的母层的区域定义区域。
在IC卡2中,在步骤S1判断在EEPROM 66中是否已经形成了要被形成的区域定义区域。即,在步骤S1中,判断其有与要被形成的所述区域定义区域的区域码相同区域码的区域定义区域是否已经被形成。
如果在步骤S1的判断结果是要被形成的所述区域定义区域已经被形成,那么,所述区域形成处理结束。即,在所述要被形成的区域定义区域已经被形成的情况下,由于不需要重复形成相同的区域定义区域,所以,不再执行以后的处理。
如果在步骤S1的判断结果是要被形成的区域定义区域还没有被形成,处理前进到步骤S2以判断要被形成的所述区域定义区域的代码范围和被分配块的数量(容量)是否合适。即,在步骤S2判断要被形成的区域定义区域的代码范围是否被包含在存储在母层的区域定义区域内的代码范围内和要被形成的区域定义区域的分配块数是否低于存储在母层的区域定义区域内的空白容量。
当在步骤S2判断要被形成的区域定义区域的代码范围和分配块数不合适时,即,当要被形成的区域定义区域的代码范围被包含在存储在所述母层的区域定义区域内的代码范围中或要被形成的区域定义区域的分配块数超过了存储在所述母层的区域定义区域内的空白容量时,在步骤S3执行一个差错处理和然后区域形成处理结束。即,在步骤S3,其中没有区域定义区域可以被作为所述母层的区域定义区域的子层而形成的一个消息被传送给已登录卡的发卡机101。因此,在这种情况下,没有区域定义区域形成(不执行已登录卡的发行工作)。
相反,如果在步骤S2的判断结果是要被形成的所述区域定义区域的代码范围和分配块数是合适的,即,它判断要被形成的区域定义区域的代码范围被包含在存储在所述母层的所述区域定义区域内的代码范围中和要被形成的区域定义区域的分配块数低于存储在所述母层的区域定义区域中的空白容量,那么,在步骤S4,所述要被形成的区域定义区域被形成作为所述母层的区域定义区域的子层。
即,在步骤S4,在EEPROM 66(图6)的空白块中的最低块(具有最大逻辑地址的空白块)被保证作为与要被形成的区域定义区域对应的区域定义块。另外,所述代码范围、空容量和区域密钥等被写入(存储)到所述区域定义块中。这里,在步骤S4中,从已登录卡的发卡机101传送的数据被作为所述区域码和区域密钥直接写入。从由已登录卡的发卡机101传送的所述分配块数中减去1所获得的值被作为所述空白容量写入。由于如此形成的所述区域定义区域使用一个块,所以,从所述分配块数中减去1所获得的值被写入。
然后,所述处理进入到步骤S5以改写所述母层的区域定义区域的空白容量,然后,所述区域形成处理结束。即,在步骤S5中,从所述母层的区域定义区域的空白容量中减去所述分配块数所获得的值被作为所述母层的区域定义区域的空白容量重新写入。
图7所示的管理者B1、B2、C的区域定义区域#0100h、#1000h和#0300h是通过上述区域形成处理形成的。
即,假设在发行IC卡2时,也是IC卡2发行者的管理者A具有IC卡2的所有资源和识别代码或可由IC卡2使用的容量是从0000h到FFFFAh或65533个块,那么,在发行IC卡2时,只有其中代码范围是从0000h到FFFFh且其空白容量等于65532的最上层的区域定义区域#0000h作为一个区域定义区域存在。
在这个实施例中,如图6所示,EEPROM 66具有65536个块,但是,由于制造ID块、发行ID块和系统定义块的存在,在刚刚发行IC卡2之后其可使用的容量等于其数量比65536少3的65533个块。
另外,所述最上层的区域定义区域#0000h的空白容量等于65532个块,由于所述区域定义区域#0000h本身使用一个块,所以,该数量比可使用容量65533个块少一个块。
当管理者A向管理者B1分配位于从0100h到03FFh范围中的识别码和其资源中的33个块时,执行所述区域形成处理以形成区域定义区域#0100h。即,在这种情况下,0100h到03FFh和32个块被分别作为一个代码范围和一个空白容量写入到区域定义区域#0100h中。由于区域定义区域#0100h本身使用一个块,所以,所述空白容量的数量比从管理者A分配的33个块少一个块。
当形成区域定义区域#0100h时,管理者A的区域定义区域#0000h的空白容量被减少分配到管理者B1的33个块。
当管理者A向管理者B2分配位于从1000h到1FFFh的范围内的识别码和49个块时,执行所述区域形成处理,以形成区域定义区域#1000h。即,在这种情况下,1000h到1FFFh和48个块被分别作为一个代码范围和一个空白容量写入到区域定义区域#1000h中。由于区域定义区域#1000h本身使用一个块,所以,所述空白容量比从管理者A分配的49个块少一个块。
当形成区域定义区域#1000h时,管理者A的区域定义区域#0000h的空白容量被减少分配到管理者B2的49个块。
当如上所述形成区域定义区域#0100h或#1000h时,管理者B1或B2被允许在区域定义区域#0100h或#1000h的层中形成作为上层的子层的一个区域定义区域和一个服务定义区域。
例如,当管理者B1向管理者C分配从0300h到03FFh范围的识别码和18个块时,执行所述区域形成处理以形成区域定义区域#0300h。即,在这种情况下,0300h到03FFh和17个块被作为一个代码范围和一个空白容量写入到区域定义区域#0300h中。由于区域定义区域0300h本身使用一个块,所以,所述空白容量比从管理者B1分配的18个块少一个块。
当形成区域定义区域#0300h时,管理者B1的区域定义区域#0100h的空白容量被减少分配到管理者C的18个块。即,如上所述,当形成区域定义区域#0100h时,区域定义区域#0100h的空白容量等于32个块。但是,如图7所示,从所述空白容量中减掉18个块,所以所述空白容量等于14个块。
下面将结合图10的流程描述服务形成处理。
当IC卡2被插入到已登录卡的发卡机101中时,已登录卡的发卡机101向IC卡2传送一个指令形成服务定义区域的命令(此后称之为服务形成命令)以及形成所述服务定义区域所需的信息,即,要被形成的服务定义区域的服务码、分配给所述服务定义区域的块数(此后称之为分配块数)和服务密钥等。
当接收到所述服务形成命令时,IC卡2(定序器91)识别要被形成的服务定义区域的服务码、分配块数和服务密钥等。另外,在IC卡2中,具有包含要被形成的所述服务定义区域的服务码的代码范围的区域定义区域被识别为要被形成的所述服务定义区域的母层的区域定义区域。
在IC卡2中,在步骤S11判断在EEPROM 66中是否已经形成了所述要被形成的服务定义区域。即,在步骤S11判断与所述要被形成的服务定义区域具有相同服务码的服务定义区域是否已经形成。
当在步骤S11的判断结果是已经形成了要被形成的所述服务定义区域时,所述服务形成处理结束。即,当要被形成的服务定义区域已经被形成时,由于不需要重复形成相同的服务定义区域,所以不再执行随后的处理。
另外,如果在步骤S11判断的结果是还没有形成要被形成的服务定义区域,则所述处理进入到步骤S12以判断要被形成的服务定义区域的服务码和所述分配块数(容量)是否是合适的。即,在步骤S12判断要被形成的服务定义区域的服务码是否被包含在存储在所述母层的区域定义区域中的代码范围内和所述要被形成的服务定义区域的分配块数是否低于存储在所述母层的区域定义区域中的空白容量。
如果在步骤S12的判断结果是要被形成的服务定义区域的服务码和所述分配块数是不合适的,即,如果要被形成的服务定义区域的服务码没有被包含在存储在所述母层的区域定义区域中的代码范围内或要被形成的服务定义区域的分配块数超过了存储在所述母层的区域定义区域中的空白容量,处理进入到步骤S13以执行差错处理,然后所述区域形成处理结束。即,在步骤13中,在所述母层的区域定义区域的层中不能形成服务定义区域的一个消息被传送给已登录卡的发卡机101。因此,在这种情况下,不能形成服务定义区域。
相反,如果在步骤S12的判断结果是要被形成的服务定义区域的服务码和所述分配块数是合适的,即,如果要被形成的服务定义区域的服务码被包含在存储在所述母层的区域定义区域中的代码内和所述要被形成的服务定义区域的分配块数低于存储在所述母层的区域定义区域中的空白容量,处理进入到步骤S14,在这个步骤S14中,在所述母层的区域定义区域的层中形成所述服务定义区域。
即,在步骤S14中,在EEPROM 66(图6)的空白块中的最低块(具有最大逻辑地址的空白块)被保证作为与要被形成的服务定义区域对应的服务定义块。另外,所述服务码、容量和服务密钥等被写入到所述服务定义块中。在这种情况下,在步骤S14中,从已叠录卡的发卡机101传送的服务码和服务密钥等被直接写入。从由已登录卡的发卡机101传送的分配块数中减掉1所获得的值被作为所述容量写入。由于要被形成的服务定义区域使用一个块,所以,从所述分配块数中减掉1所获得的值被写入。
在步骤S14中,以逻辑地址增加的顺序选择其数量对应于在被如此形成的服务定义区域中写入的容量的空白块,并保证作为构成由所述服务定义区域管理的服务区域的用户块。此后,所述处理前进到步骤S15。
在步骤S15中,改写所述母层的区域定义区域的空白容量,和所述服务形成处理结束。即,在步骤S15中,从所述母层的区域定义区域的空白容量中减掉所述分配块数所获得的值被作为所述区域定义区域的空白容量重新写入。
通过执行上述服务形成处理,形成图7所示管理者A、B2、C的服务定义区域#0008h、#1022h和#030Ch。
即,当管理者A使用0008h的识别码和在它的资源中的9个块的容量提供它的服务时,执行所述服务形成处理,以形成服务定义区域#0008h,和将8个块作为一个容量写入到所述服务定义区域#0008h中。另外,8个空白块被保证用做用户块和设置为由所述区域定义区域#0008h管理的服务区域。由于服务定义区域#0008h使用一个块,所以,写入到服务定义区域#0008h中的容量少于9个块的数量。
当形成服务定义区域#0008h时,管理者A的区域定义区域#0000h的空白容量被减少了分配给服务定义区域#00008h的9个块。
如上所述,管理者A能够使用由所述服务定义区域#0008h管理的8个块的服务区域提供服务。
当管理者B2使用1022h的识别码和在其资源中的5个块的容量提供服务时,执行所述服务形成处理以形成服定义区域#1022h,和4个块作为一个容量被写入到所述服务定义区域#1022h中。另外,4个空白块被保证作为用户块和它被设置为由所述服务定义区域#1022h管理的服务区域。由于所述服务定义区域#1022h本身使用一个块,所以,写入到服务定义区域#1022h中的容量比所述的5个块少一个块。
当形成所述服务定义区域#1022时,管理者B2的区域定义区域#1000h的空白容量被减掉分配给服务定义区域#1022h的5个块。即,如上所述,在形成区域定义区域#1000h时,所述空白容量等于48个块,但是,它被减少了5个块和如图7所示等于43个块。
如上所述,管理者B2被允许使用由所述服务定义区域#1022h管理的4个块的服务区域提供服务。
另外,当管理者C使用例如030Ch的识别码和在它的资源中的17个块的容量提供服务时,执行所述服务形成处理以形成服务定义区域#030Ch,和16个块被作为一个容量写入到服务定义区域#030Ch中。另外,16个空白块被保证作为用户块,和它被设置为由所述区域定义区域#030Ch管理的一个服务区域。由于服务定义区域#030Ch本身使用一个块,所以,在所述服务定义区域#030Ch中写入的容量比17个块的数量少一个块。
当形成服务定义区域#030Ch时,管理者C的区域定义区域#0300h的空白容量被减少分配给所述服务定义区域#030Ch的17个块。即,如上所述,当形成区域定义区域#0300h时,所述空白容量等于17个块,但是,它被减少了17个块和如图7所示等于零。
如上所述,管理者C被允许使用由所述服务定义区域#030Ch管理的16个块的服务区域提供服务。
如上所述,EEPROM 66是在其中存储了所述代码范围和所述空白容量的所述区域定义区域的基础上被管理的,因此,可以执行IC卡2的资源管理。即,可在一个区域定义区域的层中可使用的容量和识别码能够受到限制。作为结果,即使当一个管理者将分配给它的部分资源(在这种情况下是可用的容量和识别码)分配给另一个管理者从而使IC卡2可被共同使用时,也可以避免所述识别码在不同的使用者之间重叠和所述管理者可以避免使用超过通过合同等预定的容量的EEPROM 66。
在IC卡2中,EEPROM 66的存储区域具有一个层结构,在这个结构中,所述区域定义区域如结合图7所述分层,并且用于确认的密钥(在这个实施例中,用于区域定义区域的密钥和用于服务定义区域的密钥分别被称之为区域密钥和服务密钥)被分别存储在所述区域定义区域和所述服务定义区域中,因此,可以对所述IC卡2执行高度灵活和安全的访问控制。
即,通过在多个管理者之间传送图11所示的信息,可以对IC卡2执行高度灵活和安全的访问控制。
特别是,作为IC卡2发行者的管理者A确定要被存储在EEPROM 66的系统定义块(图6)中的系统密钥和区域定义区域#0000h本身的区域密钥,并在将所述区域密钥#0000h存储到区域定义区域#0000h中的同时将所述系统密钥存储到所述系统定义块中。这里,区域定义区域#xxxxh的区域密钥此后被称之为区域密钥#xxxxh。
另外,管理者A利用区域密钥#0000h加密所述系统密钥并产生一个区域中间密钥KA。DES(数据加密标准)、FEAL(快速数据加密算法)等可以被用做加密方法。
当管理者A将它的资源分配给管理者B1时,管理者A将所述区域中间密钥KA给予管理者B1。另外,管理者A确定管理者B1的区域密钥#0100h和将这个密钥与它的区域码#0000h一起给予(分配给)管理者B1。
因此,管理者B1能够识别所述区域中间密钥KA和它的区域密钥#0100h,但是,它不能识别是所谓母层的管理者A的系统密钥和区域密钥#0000h。但是,管理者B1的区域密钥#0100h被给予用做做作为母层的管理者A的子层的管理者B1,然后,用做母层的管理者A识别作为子层的管理者B1的区域密钥#0100h。
由管理者A给予管理者B1的所述区域密钥#0100h经过管理者B1的区域定义区域#0100h的区域形成处理(图9)被写入到所述区域定义区域#0100h。
管理者B1在从管理者A获得的区域密钥#0100h的基础上加密从用做其母层的管理者A获得的所述区域中间密钥KA以产生一个区域中间密钥KB1。
当管理者A将它的资源分配给管理者B2时,它还将所述区域中间密钥KA给予管理者B2。另外,管理者A确定管理者B2的区域密钥#1000h,并将该区域密钥#1000h与它的区域码#0000h一起给予管理者B2。
因此,管理者B2能够识别所述区域中间密钥KA和它的区域密钥#1000h,但是,不能识别所述系统密钥和用做母层的管理者A的区域密钥#0000h。但是,由于管理者B2的区域密钥#1000h被用做母层的管理者A给予了作为子层的管理者B2,所以,用做母层的管理者A能够识别作为子层的管理者B2的区域密钥#1000h。
在管理者B2的区域定义区域#1000h的区域形成处理中,由管理者A给予管理者B2的区域密钥#1000h被写入到它的区域定义区域#1000h中。
管理者B2在从管理者A获得的区域密钥#1000h的基础上加密从作为母层的管理者A获得的区域中间密钥KA以产生一个区域中间密钥KB2。
相反,当管理者B1将它的资源分配给管理者C时,管理者B1将所述区域中间密钥KB1给予管理者C。另外,管理者B1确定管理者C的区域密钥#0300h并将这个密钥连同它的区域码#0100h和用做母层的管理者A的区域码#0000h一起给予管理者C。
因此,管理者C能够识别所述区域中间密钥KB1和它的区域密钥#0300h,但是,不能识别用做母层的管理者B1的区域密钥#0100h。但是,由于区域密钥#0100h已经由作为母层的管理者B1给予了作为子层的管理者C,所以,用做母层的管理者B1能够识别作为子层的管理者C的区域密钥#0300h。
由管理者B1给予管理者C的区域密钥#0300h经过管理者C的区域定义区域#0300h的区域形成处理被写入到它的区域定义区域#0300h中。
管理者C在从管理者B1获得的区域密钥#0300h的基础上加密从用做母层的管理者B1获得的区域中间密钥KB1以产生区域中间密钥KC。
当管理者A使用由在它的区域定义区域#0000h的层中形成的服务定义区域#0008h管理的所述服务区域提供它的服务时,如图12所示,管理者A在所述区域中间密钥KA的基础上加密存储在服务定义区域#0008h中的服务密钥(存储在服务定义区域#xxxxh中的服务密钥此后被称之为服务密钥#xxxxh)以产生服务中间密钥K#0008h和将其与区域中间密钥KA一起登录到服务提供机111中。另外,管理者A将它的区域定义区域#0000h的区域码#0000h和在区域定义区域#0000h的层中形成的服务定义区域#0008h的服务码#0008h登录到所述服务提供机111中。
这里,所述服务提供机111例如是由图3所示的R/W1和控制器3构成的,和数据被从/向一个预定的区域读出/写入以提供一个预定的服务。
在这种情况下,当IC卡2被插入到所述服务提供机111中时,在所述服务提供机111和IC卡2之间执行后续的相互确认。
即,图13所示的服务提供机111向IC卡2传送所述登录的区域码#0000h和服务码#0008h。在IC卡2(定序器91)中,接收来自所述服务提供机111的区域码#0000h和服务码#0008h。
在IC卡2中,存储在所述系统定义块(图6)中的系统密钥被读出,并从具有从服务提供机111接收的区域码#0000h的区域定义区域中读出区域密钥#0000h。另外,在区域密钥#0000h的基础上加密所述系统密钥,从而产生与登录在图12所示服务提供机111中的所述区域中间密钥KA相同的密钥。与所述区域中间密钥KA相同的密钥被设置为用于确认的第一访问密钥(确认密钥)Kbc。
在IC卡2中,从具有从所述服务提供机111接收的服务码#0008h的服务定义区域中读出所述服务密钥#0008h。在服务密钥#0008h的基础上加密区域中间密钥KA,从而产生与登录在图12所示服务提供机111中的服务中间密钥K#0008h相同的密钥。与服务中间密钥K#0008h相同的密钥被设置为用于确认的第二访问密钥Kac。
因此,在这种情况下,用做第一访问密钥Kbc或第二访问密钥Kac的区域中间密钥KA或服务中间密钥K#0008h被登录到所述服务提供机111中,借此,在IC卡2中产生用做第一访问密钥Kbc或第二访问密钥Kac的区域中间密钥KA或服务中间密钥K#0008h。
例如,如图14所示,服务提供机111确认IC卡2。
即,在服务提供机111中,产生一个随机数,并根据算法E1对其进行转换。即,在第二访问密钥Kac的基础上加密(例如,DES加密)所述随机数,和在所述第一访问密钥Kac的基础上译码(例如,DES译码)所述加密结果。在所述第二访问密钥Kac的基础上加密译码结果。在算法E1的基础上对所述随机数的转换结果被传送给IC卡2。
在IC卡2中,根据算法D1对来自服务装置111的以算法E1为基础对所述随机数进行转换的结果进行转换。即,在第二访问密钥Kac的基础上,译码在算法E1基础上的转换结果,和在所述第一访问密钥Kbc的基础上加密所述译码结果。另外,在所述第二密钥Kac的基础上译码所述加密结果。
在IC卡2中,根据算法E2对在算法D1基础上的转换结果做进一步的转换。即,在所述第一访问密钥Kbc的基础上加密在算法D1基础上的转换结果,和在第二加密密钥Kac的基础上加密所述第一访问密钥Kbc。在第一访问密钥Kbc的第二访问密钥Kac的基础上的加密结果基础上,译码用于在算法D1基础上的转换结果的在第一访问密钥Kbc基础上的加密结果。在所述第一访问密钥Kbc的基础上加密译码结果并传送给服务提供机111。
在所述服务提供机111中,根据算法D2对来自IC卡2以算法E2为基础的转换结果进行转换。即,在所述第一访问密钥Kbc的基础上对在算法E2基础上的转换结果进行译码,和在第二访问密钥Kac的基础上加密所述第一访问密钥Kbc。在所述第二访问密钥Kac的基础上的所述第一访问密钥Kbc的加密结果的基础上,加密用于在算法E2基础上的转换结果的在所述第一访问密钥Kbc的基础上的译码结果。在所述第一访问密钥Kbc的基础上译码所述加密结果。
在服务提供机111中,原来的随机数和以算法D2为基础的转换结果彼此进行比较以确认IC卡2。即,当原来的随机数与以算法E2为基础的转换结果相符合时,它被识别为所述IC卡2是合适的。相反,如果它们彼此不相符合,则所述IC卡2被认为是不合适的(例如,它被伪造的)。
例如,如果IC卡2被识别为是合适的,如图15所示在IC卡2中执行服务提供机111的确认。
即,在IC卡2中,产生一个随机数,并且根据算法E2对所述随机数进行转换和传送给服务提供机111。
在服务提供机111中,根据算法D2对在来自IC卡2的算法E2的基础上的所述随机数的转换结果进行转换。并根据算法E1对在算法D2基础上的转换结果进行转换和传送给IC卡2。
在IC卡2中,根据算法D1对在来自服务提供机111的在算法E1基础上的转换结果转换,和所述转换结果与原来的随机数彼此之间进行比较以执行与服务提供机111相关的确认。即,当原来的随机数与在算法D2基础上的转换结果相符时,所述服务提供机111被识别为是合适的。相反,如果它们彼此之间不相符合,所述服务提供机111被识别为是不合适的(例如,被修改)。
当IC卡2和所述服务提供机111都被识别为是合适的时,在IC卡2中允许仅对由具有从所述服务提供机111传送的服务码的服务定义区域管理的服务区域进行访问。因此,在结合图12和13描述的情况下,可以仅对由服务定义区域#0008h管理的服务区域进行访问。
即,知道所述区域中间密钥KA、所述区域码0000h、所述服务密钥#0008h和所述服务码#0008h的管理者A能够访问由服务定义区域#0008h管理的服务区域。但是,管理者A既不知道服务密钥#1022h,也不知道服务密钥#030Ch,所以,它基本上不能对由服务定义区域#1022h或#030Ch管理的服务区域进行访问。
接着,当管理者B2使用由在它的区域定义区域#1000h的层中形成的服务定义区域#1022h管理的服务区域提供它的服务时,如图16所示在所述区域中间密钥KB2的基础上加密存储在服务定义区域#1022h中的服务密钥#1022h,以产生服务中间密钥K#1022h和将它与区域中间密钥KB2一起登录到服务提供机111中。管理者B2将在它的区域定义区域#1000h的层的上面的较上层的区域定义区域的区域码,即,在这种情况下,是管理者A的区域定义区域#0000h的区域码#0000h和它的区域定义区域#1000h的区域码#1000h以及在区域定义区域#1000h的层中形成的服务定义区域#1022h的服务码#1022登录到服务提供机111中。
在这种情况下,当IC卡2被插入到服务提供机111中时,在服务提供机111和IC卡2之间执行随后的相互确认。
即,如图17所示,服务提供机111向IC卡2传送已登录的区域码#0000h和#10000h和服务码#1022h。在IC卡2(定序器91)中,从服务提供机111中接收区域码#0000h和#1000h和服务码#1022h。
在IC卡2中,读出存储在系统定义块(图6)中的系统密钥,和从具有从服务提供机111中接收的区域码#0000h或#1000h的区域定义区域中读出区域密钥#0000h或#1000h。另外,在区域密钥#0000h的基础上加密所述系统密钥,从而产生与所述区域中间密钥KA相同的密钥。在区域密钥#1000h的基础上加密与所述区域中间密钥KA相同的密钥,从而产生图16所示与被登录在所述服务提供机111中的区域中间密钥KB2相同的密钥。与所述区域中间密钥KB2相同的密钥被设置为用于确认的第一访问密钥Kbc。
在IC卡2中,从具有从服务提供机111中接收的服务码#1022h的服务定义区域中读出服务密钥#1022h。在所述服务密钥#1022h的基础上加密与所述区域中间密钥KB2相同的密钥,从而产生与登录在图16所示服务提供机111中的服务中间密钥K#1022h相同的密钥。与服务中间密钥K#1022h相同的密钥被设置为用于确认的第二访问密钥Kac。
因此,在这种情况下,是所述第一访问密钥Kbc或第二访问密钥Kac的所述区域中间密钥KB2或所述服务中间密钥K#1022h被登录在服务提供机111中,和在IC卡2中,产生是所述第一访问密钥Kbc或第二访问密钥Kac的所述区域中间密钥KB2或所述服务中间密钥K#1022h。
和在结合图14和15所述的情况相同,在IC卡2和服务提供机111之间执行相互确认。
作为所述相互确认的结果,当IC卡2和服务提供机111都被识别为是合适的时,允许在IC卡2中仅对由具有从服务提供机111传送的服务码的服务定义区域管理的服务区域进行访问。因此,在图16和17的情况下,可以仅对由服务定义区域#1022h管理的服务区域进行访问。
即,知道所述区域中间密钥KB2、所述区域码#0000h、#1000h、所述服务密钥#1022h和所述服务码#1022h的管理者B2能够访问由服务定义区域#1022h管理的服务区域。但是,管理者B2既不知道服务密钥0008h也不知道#030Ch,所以,它基本不能访问由服务定义区域#0008h和#030Ch管理的服务区域。
接着,当管理者C使用由在它的区域定义区域#0300h的层中形成的服务定义区域#030Ch管理的服务区域提供服务时,它在图18所示区域中间密钥KC的基础上加密存储在服务定义区域#030Ch中的服务密钥#030Ch以产生服务中间密钥K#030Ch,并将该密钥与所述区域中间密钥Kc一起登录到服务提供机111中。管理者C还将位于它的所述区域定义区域#0300h的层的上面的较上层的区域定义区域的区域码、即,在这种情况下,是管理者A的区域定义区域#0000h的区域码#0000h、管理者B1的区域定义区域#0100h的区域码#0100h、它的区域定义区域#0300h的区域码#0300h以及在区域定义区域#0300h的层中形成的服务定义区域#030Ch的服务码#030Ch登录到服务提供机111中。
在这种情况下,当IC卡2被插入到服务提供机111中时,在服务提供机111和IC卡2之间执行随后的相互确认。
即,如图19所示,已登录的区域码#0000h、#0100h和#0300h以及服务码#030Ch被传送给IC卡2。在IC卡2(定序器91)中,从服务提供机111中接收区域码#0000h、#0100h和#0300h以及服务码#030Ch。
在IC卡2中,读出存储在系统定义块(图6)中的系统密钥,并从具有从服务提供机111接收的区域码#0000h、#0100h或#0300h的区域定义区域中读出区域密钥#0000h、#0100h或0300h。另外,在区域密钥#0000h的基础上加密所述系统密钥,以便产生与所述区域中间密钥KA相同的密钥。在区域密钥#0100h的基础上加密与所述区域中间密钥KA相同的密钥,以便产生与区域中间密钥KB1相同的密钥。在区域密钥#0300h的基础上加密与区域中间密钥KB1相同的密钥,以便产生被登录在图18的服务提供机111中的区域中间密钥KC相同的密钥。与所述区域中间密钥KC相同的密钥被设置为用于确认的第一访问密钥Kbc。
在IC卡2中,从具有从服务提供机111中接收的服务码#030Ch的服务定义区域读出服务密钥#030Ch。在所述服务密钥#030Ch的基础上加密所述区域中间密钥Kc,借此以产生与登录在图18所示服务提供机111中的所述服务中间密钥K#030Ch相同的密钥。与所述服务中间密钥K#030Ch相同的密钥被设置为用于确认的第二访问密钥Kac。
因此,在上述情况下,是所述第一访问密钥Kbc或第二访问密钥Kac的区域中间密钥Kc或服务中间密钥K#030Ch被登录到服务提供机111中,和在IC卡2中产生是所述第一访问密钥Kbc或第二访问密钥Kac的区域中间密钥Kc或服务中间密钥K#030Ch。
和在结合图14和15所描述的情况相同,在IC卡2和服务提供机111之间执行相互确认。
作为所述相互确认的结果,如果IC卡2和服务提供机111都被识别为是合适的,则在IC卡2中允许仅对由具有从服务提供机111传送的服务码的服务定义区域管理的服务区域进行访问。因此,在图18和19的情况下,可以仅对由服务定义区域#030Ch管理的服务区域进行访问。
即,知道所述区域中间密钥Kc、所述区域码#0000h、#0100h、#0300h、所述服务密钥#030Ch和服务码#030Ch的管理者C能够对由服务定义区域#030Ch管理的服务区域进行访问。但是,管理者C既不知道服务密钥#0008h也不知道服务密钥#1022h,所以,它基本上不能访问由服务定义区域#0008h或#1022h管理的服务区域。
如上所述,即使当所述管理者不知道较上层的区域密钥时,它也能够访问它的服务区域。
如上所述,每个管理者都不能访问由该管理者不知道所述服务密钥的服务定义区域管理的任何服务区域。但是,例如,存在管理者C不仅希望使用由它的服务定义区域#030Ch管理的服务区域执行服务、并且希望使用由管理者B的服务定义区域#1022h管理的服务区域执行服务的情况。
在这种情况下,为了使管理者C得以访问由服务定义区域#1022h管理的服务区域,管理者C必须知道结合图16和17所描述的所述区域中间密钥KB2、所述区域码#0000h、#1000h、所述服务密钥#1022h和所述服务码#1022h。因此,必须从管理者B2得到这些信息。
但是,管理者B2所知道的服务密钥#1022h是即使是作为管理者B2的母层的管理者A所不知道的,因此,从安全角度来看,仅被允许管理者B2知道的服务密钥#1022h被告知管理者C是很不利的。
在这种情况下,即使当忽略所述安全问题时,为了使管理者C得以访问分别由服务定义区域#030Ch或#1022管理的两个服务区域,在IC卡2中必须执行图17所示的处理以产生用于对由服务定义区域#030Ch管理的服务区域进行访问的第一访问密钥Kbc和第二访问密钥Kac并执行相互确认,还要执行图19所示的处理以产生用于对由服务定义区域#1022h管理的服务区域进行访问的第一访问密钥Kbc和第二访问密钥Kac并执行相互确认。
因此,当在每个服务区域执行用于对一个服务区域进行访问的相互确认时,对所述服务区域进行快速访问是困难的。结果是当图3所示的卡系统被应用于在火车站检查车票时,对IC卡2的预定服务区域的访问以及在其中经常往返者经过在检票口处设置的门这个相对短的时间周期内写入或读出数据是非常困难的。
因此,在管理者C不仅使用由它的服务定义区域#030Ch管理的服务区域提供服务、而且使用由管理者B2的服务定义区域#1022h管理的服务区域提供服务的情况下,为了解决安全问题和保证对所述服务区域的快速访问,在管理者C和B2之间执行图20所示的信息传送并将所述信息登录到服务提供机111中。
即,管理者C在区域中间密钥Kc的基础上与图18所示情况相同地加密存储在服务定义区域#030Ch中的服务密钥#030Ch以产生服务中间密钥K#030Ch。另外,管理者C向管理者B2传送所述服务中间密钥K#030Ch并在服务密钥#1022h的基础上加密它。管理者C接收作为在服务密钥#1022h基础上对服务中间密钥K#030Ch加密结果的服务中间密钥K#1022h’和服务码#1022h。
因此,在管理者C和管理者B2之间只传送服务中间密钥K#030Ch和K#1022h’,既不存在只由管理者C知道的服务密钥#030Ch被管理者B2知道的情况,也不存在只由管理者B2知道的服务密钥#1022h被管理者C知道的情况。即,不存在安全问题。
从管理者B2接收服务中间密钥K#1022h’和服务码#1022h的管理者C将位于它的区域定义区域#0300h的层的上面的较上层中的区域定义区域的区域码、即在这种情况下是管理者A的区域定义区域#0000h的区域码#0000h、管理者B1的区域定义区域#0100h的区域码#0100h和管理者C的区域定义区域#0300h的区域码#0300h登录到服务提供机111中。另外,管理者C将所述区域中间密钥KC和在区域定义区域#0300h的层中形成的服务定义区域#030Ch的服务码#030Ch登录到服务提供机111中。
在这种情况下,当服务提供机111被插入到IC卡2中时,在所述服务提供机111和IC卡2之间执行随后的相互确认。
即,如图21所示,服务提供机111向IC卡2传送已登录的区域码#0000h、#0100和#0300h以及服务码#030Ch和#1022h。在IC卡2(定序器91)中,接收来自服务提供机111的区域码#0000h、#0100h和#0300h以及服务码#030Ch和#1022h。
在IC卡2中,读出存储在所述系统定义块(图6)中的系统密钥,和从具有从服务提供机111接收的区域码#0000、#0100h或#0300h的区域定义区域中读出区域密钥#0000h、#0100h或#0300h,和与在图19所描述情况相同地产生与登录在图20所示服务提供机111中的区域中间密钥Kc相同的密钥。与所述区域中间密钥Kc相同的密钥被设置为用于确认的第一访问密钥Kbc。
在IC卡2中,从分别具有从服务提供机111接收的服务码#030Ch或#1022h的服务定义区域中读出服务密钥#030Ch或#1022h。在服务密钥#030Ch的基础上加密所述区域中间密钥Kc,结果是产生与服务中间密钥K#030Ch相同的密钥。另外,在服务密钥#1022h的基础上加密与服务中间密钥K#030Ch相同的密钥,和产生与登录在图20所示服务提供机111中的服务中间密钥K#1022h′相同的密钥。与所述服务中间密钥K#1022h′相同的密钥被设置为用于确认的第二访问密钥Kac。
因此,在上述情况中,是所述第一访问密钥Kbc或所述第二访问密钥Kac的区域中间密钥Kc或服务中间密钥K#1022h′被登录在所述服务提供机111中,和在IC卡2中产生是所述第一访问密钥kbc或所述第二访问密钥Kac的区域中间密钥Kc或服务中间密钥K#1022h′。
与图14和15所示情况相同,在IC卡2和服务提供机111中执行相互的确认。
作为相互确认的结果,如果IC卡2和服务提供机111都被判断是合适的,在IC卡2中允许仅对由具有从服务提供机111传送的服务码的服务定义区域管理的服务区域进行访问。因此,在图20和21所示的情况下,允许对由服务定义区域#030Ch管理的服务区域和由服务定义区域#1022h管理的服务区域进行访问。
如上所述,通过在两个或更多个区域密钥或服务密钥的基础上加密所述系统密钥,所述两个或更多个区域密钥或服务密钥被简化(组合)成第一访问密钥Kbc和第二访问密钥Kac等两个密钥,和使用所述第一访问密钥Kbc和第二访问密钥Kac执行允许对由具有从服务提供机111传送的所述服务码的服务定义区域管理的服务区域进行访问的相互确认。因此,即使当以访问多个服务定义区域为目标时,也能够在短施加内完成所述相互确认,由此保证对所述服务区的快速访问。
在图14和15的情况下,使用所述第一访问密钥Kbc和第二访问密钥Kac等两个密钥执行所述相互确认处理,但是,也可以例如只使用第二访问密钥Kac执行所述相互确认处理。在这种情况下,在IC卡2中,通过在两个或更多个区域密钥或服务密钥的基础上加密所述系统密钥,所述两个或更多个区域密钥或服务密钥被简化成一个第二访问密钥Kac。
另外,如图22所示,例如可以在被存储在所述制造ID块中并且是赋予IC卡2的一个固有值的制造ID的基础上,使用通过加密所述第一访问密钥Kbc和第二访问密钥Kac获得的加密结果。这里,在图22中,关于所述第一访问密钥Kbc,通过对所述第一访问密钥Kbc和所述制造ID进行EXOR处理执行加密。关于第二访问密钥Kac,执行以DES系统为基础的加密。关于第二访问密钥Kac,可以使用对所述第一访问密钥Kbc和所述制造ID执行EXOR的结果执行在所述DES系统基础上的加密。
如上所述,当加密所述第一访问密钥Kbc和第二访问密钥Kac所获得的加密结果被用于相互确认时,能够更加增强安全性。在这种情况下,在服务提供机111中离要所述制造ID,和它可以被从IC卡2传送。
接着,EEPROM 66的存储区域具有一个其中区域定义区域被分层的分层结构,和每个区域定义区域和服务定义区域被指定存储用于确认的区域密钥和服务密钥。结果是,可以灵活地执行随后的访问控制。
即,当一个管理者被用做母层管理者和由于被分配了所述母层管理者的资源的子层管理者进行了不正当的服务而希望停止由所述子层管理者提供的服务时,所述母层管理者可以通过改变存储在所述区域定义区域中的所述区域密钥禁止所述子层管理者访问IC卡2。
具体地说,例如当管理者B1停止图7所示管理者C的提供服务时,管理者B1改变存储在IC卡2的区域定义区域#0100h中的区域密钥#0100h。在这种情况下,在图19中也改变在IC卡2中形成的区域中间密钥KB1、以及区域中间密钥Kc,这样,只知道改变以前的区域中间密钥Kc的管理者C就不能访问服务定义区域#030Ch。
是管理者C的母层管理者的管理者B1的母层管理者的管理者A可以改变存储在区域定义区域#0000h中的区域密钥#0000h以禁止对服务定义区域#030Ch进行访问。但是,在这种情况下,是管理者A的子层的管理者B2不能访问由管理者B2的服务定义区域#1022h管理的服务区域。即,当一个管理者改变它的区域密钥时,不能对在与所述区域密钥对应的区域定义区域的层(子层、孙子层)中的由区域定义区域管理的服务定义区域进行访问。
在图20和21中,管理者C使用(由)为管理者B2共用的管理者B2的服务定义区域#1022h(管理的服务区域)。但是,对于某些类型的密钥管理来讲在管理者之间所述服务定义区域的更加复杂的共用是也可能的。
具体地说,例如,假设在EEPROM 66中构成图23所示的层结构。即,在图23中,作为用做IC卡2发行者的管理者A的区域定义区域#0000h的所述层的子层,形成管理者E的区域定义区域#5000h和管理者G的区域定义区域#7000h。另外,在管理者E的区域定义区域#5000h的层中形成服务定义区域#5008h、#5048h、#5088h和#50C8h,和形成管理者F的区域定义区域#6000h。
再有,在管理者F的区域定义区域#6000h的层中形成服务定义区域#6008h和#6048h,和在管理者G的区域定义区域#7000h的层中形成服务定义区域#7008h和#70C8h。
在上述的层结构中,管理者A在图24的(A)所示区域密钥#0000h的基础上加密所述系统密钥,和将所述加密结果传送给用做子层管理者的管理者E和G。
如图24的(B)所示,在区域密钥#5000h的基础上,管理者E对在来自管理者A的区域密钥#0000h基础上对所述系统密钥进行加密的加密结果进行加密,和使用所述加密结果作为第一访问密钥KE1。另外,管理者E在服务密钥#5008h、#5048h、#5088h和50C8h中每一个的基础上陆续加密所述第一访问密钥KE1(在区域密钥#5000h基础上的加密结果),和使用最终的加密结果作为第二访问密钥KE2。
如图24的(C)所示,管理者F被提供有来自管理者E的所述第一访问密钥KE1(在区域密钥#5000h基础上的加密结果),和在区域密钥#6000h的基础上对其加密,并将所述加密结果设置为第一访问密钥KF1。另外,管理者F在服务密钥#6008h和#6048h中每一个的基础上加密所述第一访问密钥KF1(在区域密钥#6000h的基础上的加密结果),并将所述加密结果传送给管理者E以在服务密钥#5048h和#5088h中每一个的基础上陆续对其进行加密。此后,管理者F被提供有来自管理者E的所述加密结果并将它传送给管理者G以在服务密钥#70C8h的基础上对其加密。管理者F被提供有来自管理者G的加密结果,和使用它作为第二访问密钥KF2。
如图24的(D)所示,管理者G在区域密钥#7000h的基础上,对在来自管理者A的区域密钥#0000h的基础上对所述系统密钥的加密结果进行加密,和使用所述加密结果作为第一访问密钥KG1。另外,管理者G在服务密钥#7008h和#70C8h中每一个的基础上陆续加密所述第一访问密钥KG1(在区域密钥#7000h基础上的加密结果),和将最终加密结果传送给管理者F以在服务密钥#6048h的基础上对其加密。此后,管理者G将管理者F使用服务密钥#6048h的加密结果传送给管理者E,以在服务密钥#5088h和#50C8h中每一个的基础上陆续加密所述加密结果。管理者G被提供有来自管理者E的加密结果和使用它作为第二访问密钥KG2。
在这种情况下,在IC卡2中,根据图24所示情况相同的处理,使用存储在EEPRM 66中的所述区域密钥和服务密钥加密所述系统密钥,以产生第一访问密钥和第二访问密钥,借此,在管理者E、F和G中能够相互进行图25所示服务定义区域的共同使用。
即,管理者E只能访问它的服务定义区域#5008h、#5048h、#5088h和50C8h。管理者F不仅能够访问它的服务定义区域#6008h和#6048h,还能够访问管理者E的服务定义区域#5048h和#5088h以及管理者G的服务定义区域#70C8h。管理者G不仅能够访问它的服务定义区域#7008h和#70C8h,还能够访问管理者E的服务定义区域#5088h和#50C8h以及管理者F的服务定义区域#6048h。
在图24所示的密钥传送中,不存在一个管理者的所述服务密钥被另一个管理者知道的情况。即,管理者E的服务密钥#5008h、#5048h、#5088h和#50C8h不仅决不会被母层管理者A知道,也决不会被管理者F和G知道。类似的,管理者F的服务密钼#6008h和#6048h决不会被管理者E和G知道,和管理者G的服务密钥#7008h和#70C8h决不会被管理者E和F知道。
另外,如上所述,当某个管理者改变它的服务密钥时,不可能对由在所述区域定义区域的层中层的区域定义区域管理的所有服务定义区域进行访问。即,当母层管理者改变所述区域密钥时,子层管理者不能访问IC卡2。但是,根据一个特殊的密钥管理方法,能够禁止一个特殊的子层管理者的访问。
具体地说,例如,假设在EEPROM 66中构成图26所示的层结构。即,在图26中,管理者H的区域定义区域#8000h、管理者I的区域定义区域#9000h和管理者J的区域定义区域#A000h被形成为用做IC卡2的发行者的管理者A的区域定义区域#0000h的层的子层。另外,在管理者H的区域定义区域#8000h的层中形成服务定义区域#8008h、#8104h和#8105h。
在上述的层结构中,如图27的(A)所示,管理者A在区域密钥#0000h的基础上加密所述系统密钥和将加密结果传送给用做它的子层管理者的管理者I和J。
如图27的(C)所示,管理者I在区域密钥#9000h的基础上加密以来自管理者A的区域密钥#0000h为基础对所述系统密钥加密的加密结果,并使用所述加密结果作为第一访问密钥KI1。另外,管理者I向管理者H传送所述第一访问密钥KI1(在区域密钥#9000h基础上的加密结果)以在图27的(B)所示服务密钥#8008h和#8104h中每一个的基础上陆续加密它。然后,管理者I使用所述加密结果作为如图27的(C)所示的第二访问密钥KI2。
如图27的(D)所示,管理者J在区域密钥#A000h的基础上加密以来自管理者A的区域密钥#0000h为基础对所述系统密钥加密的加密结果,并使用所述加密结果作为第一访问密钥KJ1。另外,管理者J向管理者H传送所述第一访问密钥KJ1(在区域密钥#A000h基础上的加密结果)以在图27的(B)所示服务密钥#8008h和#8105h中每一个的基础上陆续加密所述加密结果。管理者J使用所述加密结果作为图27(D)所示的第二访问密钥KJ2。
在这种情况下,在IC卡2中,根据图27所示的相同处理使用存储在EEPROM 66中的所述区域密钥和服务密钥加密所述系统密钥以产生所述第一访问密钥和第二访问密钥,借此,管理者I能够访问管理者H的服务定义区域#8008h和#8104h和管理者J能够访问管理者H的服务定义区域#8008h和#8105h。
管理者H形成所述服务定义区域#8008h以便在管理者I和J之间共同使用它的数据,形成服务定义区域#8104h或#8105h作为所谓虚服务定义区域,以便对由管理者I或管理者J中的每一个对所述服务定义区域#8008h的访问进行控制。因此,不需要由所述服务定义区域#8104h和#8105h管理的服务区域,并且它的容量可以等于零。
在这种情况下,例如当管理者H改变服务密钥#8104h时,其中使用服务密钥#8104h产生所述第二访问密钥KI2以在IC卡2中执行所述确认处理的管理者I不能访问服务定义区域#8008h。即,只禁止管理者I对服务定义区域#8008h进行访问。相反,例如,当管理者H改变所述服务密钥#8105h时,其中使用服务密钥#8105h产生所述第二访问密钥KJ2以在IC卡2中执行确认处理的管理者J不能访问所述服务定义区域#8008h。即,只禁止管理者J访问所述服务定义区域#8008h。
如上所述,可以禁止特殊的子层管理者使用虚服务定义区域进行访问。
接着,在用于管理诸如代码范围、分配块数、区域密钥、服务密钥等所述管理者形成结合图8所述的区域定义区域和服务定义区域所需的用户块的管理信息(此后称之为已登录卡的发行信息)被登录在已登录卡的发卡机101中的情况下,当所述已登录卡的发卡机111被设置在火车站、零售店或其它非安全场所中和执行已登录卡的发行工作时,执行诸如分流、篡改等不正当实践的概率是很高的,因此,在安全管理方面是很不利的。
因此,在这种情况下,如图28所示,要形成区域定义区域和服务定义区域的管理者(此后称之为已登录卡的发行经营者)加密所述已登录卡的发行信息,并将加密后的卡的发行信息经过诸如公用线、国际互联网、地波、卫星线、CATV(有线电视)网络等的传送媒体121传送给已登录卡的发卡机101以将所述信息登录到已登录卡的发卡机101中。在已登录卡的发卡机101中,加密后的已登录卡的发行信息被传送给IC卡2,和在IC卡2中,加密后的已登录卡的发行信息被译码以形成所述区域定义区域和服务定义区域。
这里,图28示出了一种状态(执行已登录卡的发行工作的状态),在这种状态下,在其中仅构成了用于由管理者#1提供服务的一个存储区域的IC卡2中,如上所述地构成了用于由管理者#2提供服务的一个存储区域。
接着,图29示出了用于执行上述已登录卡的发行工作的已登录卡的发行处理系统的一个实施例的结构。
已登录卡的发行信息提供装置131通过执行下面将要描述的已登录卡的发行信息提供处理,经过一个传送媒体121向所述已登录卡的发卡机101传送已登录卡的发行信息(此后称之为加密后的已登录卡的发行信息)。已登录卡的发卡机101从已登录卡的发行信息提供装置131接收并登录所述加密后的已登录卡的发行信息。当IC卡2被插入到所述已登录卡的发卡机101中时,已登录卡的发卡机101将加密后的已登录卡的发行信息传送给IC卡2。IC卡2从已登录卡的发卡机101中接收所述加密后的已登录卡的发行信息并执行下面将要描述的译码处理,以将所述加密后的已登录卡的发行信息译码成原来的已登录卡的发行信息。此后,IC卡2在译码后的已登录卡的发行信息的基础上执行上述区域形成处理(图9)或服务形成处理(图10)以形成所述区域定义区域或所述服务定义区域。
下面将结合图30的流程描述由所述已登录卡的发行信息提供装置131执行的已登录卡的发行信息提供处理。
所述已登录卡的发行信息提供装置131被提供有形成一个区域定义区域或服务码所需的代码范围、分配块数和区域密钥和形成一个服务定义区域所需的分配块数和服务密钥。在步骤S21中,在这些输入信息的基础上形成所述已登录卡的发行信息。
即,当输入形成所述区域定义区域所需的代码范围、分配块数和区域密钥时,这些数据彼此关联以形成所述已登录卡的发行信息。当输入形成所述服务定义区域所需的分配块数和服务密钥时,这些数据彼此关联地形成所述已登录卡的发行信息。
所述处理前进到步骤S22,以运行用于在步骤S21中形成的已登录卡的发行信息的一个纠错码,和所述运行结果被用做用于检查篡改的检查码包含在已登录卡的发行信息中。
此后,在步骤S23加密已登录卡的发行信息。即,在步骤S23中,在要被在已登录的发行信息的基础上形成的区域定义区域或服务定义区域的母层的所述区域定义区域的区域密钥的基础上,加密已登录卡的发行信息,和它被设置为加密后的已登录卡的发行信息。
此后,所述处理前进到步骤S24,在这里将一个识别码(当所述加密后的已登录卡的发行信息被用于形成一个区域定义区域时,所述识别码是所涉及的区域定义区域的区域码,和当它被用于形成一个服务定义区域时,所述识别码是它的服务码)作为一个标题添加到加密后的已登录卡的发行信息上,和所述识别码经过传送媒体121被传送给已登录卡的发卡机101,在此之后完成所述已登录卡的发行信息的提供处理。
因此,例如,当母层管理者A形成图7所示子层管理者B1的区域定义区域#0100h时,从所述已登录卡的发行信息提供装置131传送图31的(A)所示的加密后的已登录卡的发行信息。即,所述区域定义区域#0100h的区域码#0100h被作为标题设置在图31的(A)所示的加密后的已登录卡的发行信息的头部。由于区域码#0100h被用于识别所述母层,所以,在IC卡2中,它没有被加密。另外,在已登录卡的发行信息提供装置131中,在输入信息的代码范围的基础上识别区域码#0100h。这是由于根据这个实施例,所述区域定义区域的代码范围的最小值被设置为区域码,因此,如上所述,可以在所述代码范围的基础上识别所述区域码。
要被存储在区域定义区域#0100h中的从#0100h到#03FFh的代码范围、分配块数33和作为区域密钥#0100h的a0a0a0a0a0a0a0a0以及检查码随后被陆续地加到所述未加密的区域码#0100h作为标题。这些都是在用做母层的所述区域定义区域#0000h的区域密钥#0000h的0123456789abcdef的基础上被加密的(如图31(A)中阴影部分所示)。
当管理者B2形成图7所示它的服务定义区域#1022h时,从已登录卡的发行信息提供装置131传送图31(B)所示的加密后的已登录卡的发行信息。即,服务定义区域#1022h的服务码#1022h被作为标题设置在图31(B)所示加密后的已登录卡的发行信息的头部。由于服务码#1022被用于识别所述母层(所述服务定义区域所属于的层),所以,在IC卡2中它没有被加密。
要被存储在服务定义区域#1022h中的服务码#1022h、分配块数5、作为区域密钥#1022h的0303030303030303以及检查码随后被陆续地设置给未加密的服务码#1022h作为一个标题。这些都是在用做母层的区域定义区域#1000h的区域密钥#1000h的c0c0c0c0c0c0c0c0的基础上被加密的(图31(B)中的阴影部分所示)。
由于已登录卡的发行信息被如上所述在所述母层的区域密钥的基础上被加密,所以,在已经知道它的区域密钥的情况下,不能知道已登录卡的发行信息的内容。因此,即使当如上所述加密后的已登录卡的发行信息被传送到一个不安全的场所时,也可以避免其内容的泄露。结果是,可以分布所述加密后的已登录卡的发行信息和请求第三方将该信息登录在已登录卡的发卡机101中或把它传送给IC卡2。
在这种情况下,已登录卡的发行信息被在所述母层的区域密钥的基础上进行加密,这样,对于在它的母层管理者的控制下执行已登录卡的发行信息提供处理是有利的。即,当第三方执行所述已登录卡的发行信息提供处理时,用于所述加密的所述母层管理者的区域密钥对于所述第三方必须是公开的,和这在安全方面是很不利的。因此,在所述母层管理者的控制下执行已登录卡的发行信息处理是有利的。
下面,结合图32的流程描述由IC卡2执行的译码处理。
当如上所述从已登录卡的发行信息提供装置131传送加密后的已登录卡的飞行信息时,已登录卡的发卡机101接收和登录所述加密后的已登录卡的发行信息。当IC卡2被插入时,已登录卡的发卡机101将加密后的已登录卡的发行信息传送给IC卡2。IC卡2从已登录卡的发卡机101接收加密后的已登录卡的发行信息以在步骤S31中在加密后的已登录卡的发行信息的基础上将所述区域定义区域识别为一个要被形成的区域定义区域或服务定义区域的所述母层。
即,在步骤S31中,通过参考加密后的已登录卡的发行信息的标题,识别要被形成的所述区域定义区域或服务定义区域的区域码或服务码。在步骤S31中,从EEPROM 66中检测包含在所述代码范围中被如此识别的区域码或服务码的所述区域定义区域,和所述区域定义区域被识别为所述母层。
处理前进到步骤S32以在存储在在步骤S31中识别的所述母层的所述区域定义区域中的区域密钥的基础上译码所述加密后的已登录卡的发行信息,然后,处理前进到步骤S33。在步骤S33中,在包含在译码后的已登录卡的发行信息中的所述检查码的基础上,判断所述已登录卡的发行信息是否已经被篡改。如果在步骤S33的判断结果是已登录卡的发行信息已经被篡改,处理前进到步骤S34,以将指示所述已登录卡的发行信息已经被篡改的一个消息传送给已登录卡的发卡机101,并执行丢弃译码后的已登录卡的发行信息等的差错处理,借此,完成译码处理。在这种情况下,所述译码处理被非正常结束,和没有形成所述区域定义区域或服务定义区域。
相反,如果在步骤S33的判断结果是所述已登录卡的发行信息没有被篡改,所述译码处理结束。在这种情况下,所述译码处理被正常结束,和执行将被如此译码的已登录卡的发行信息存储到EEPROM 66中的处理,即,形成所述区域定义区域或服务定义区域的区域形成处理(图9)或服务形成处理(图10)。
可以使用加密后的已登录卡的发行信息的标题代替检查码执行关于所述已登录卡的发行信息是否被篡改的检查。即,如果所述加密后的已登录卡的发行信息被用于形成所述区域定义区域,那么,所述区域码被如图31(A)所示地设置在它的标题处,所述区域码可以和其后设置给所述区域码的加密后的代码范围的最小值相一致。因此,可以通过将设置在所述标题处的区域码和其后设置给所述区域码的代码范围的最小值进行比较来检查所述加密后的已登录卡的发行信息是否被篡改。另外,如果加密后的已登录卡的发行信息被用于形成所述服务定义区域,如图31(B)所示,所述服务码被设置在所述标题处,和所述服务码可以和其后设置给所述服务码的加密后的服务码相一致。因此,可以通过将设置在所述标题处的服务码和其后设置给所述服务码的服务码进行比较,来检查所述加密后的已登录卡的发行信息是否被篡改。
如上所述,在所述已登录卡的发行信息提供装置131中,所述已登录卡的发行信息被加密以获得加密后的已登录卡的发行信息,和在IC卡2中译码加密后的已登录卡的发行信息。因此,即使当已登录卡的发卡机101被设置在一个不安全的地方并经过传送媒体121进行传送时,也可以避免诸如分流、篡改等不正当实践。
结果是,当执行已登录卡的发行工作以开始使用IC卡2提供新的服务时,不需要回收所述IC卡2,因此可以减少回收所需的费用。另外,从IC卡2用户的角度看,当开始提供一个新的服务时,所述用户可以将IC卡2携带到设置有已登录卡的发卡机101的场所,并在不回收所述IC卡2的情况下执行已登录卡的发行工作,借此,所述用户可以被立即提供所述新的服务。
在前面的描述中,本发明被应用于一个非接触卡系统,在这种系统中,在非接触状态下执行所述通信。但是,本发明也可以被应用于一个卡系统,在这种卡系统中,在接触状态下执行所述通信。另外,本发明的应用范围并不局限于所述卡系统。
在这个实施例中,使用所谓的安全密钥系统执行所述确认,但是,也可以使用所谓的公开密钥系统执行所述确认。
在这个实施例中,当访问一个区域定义区域的层的服务定义区域时,通过在从所述区域定义区域的层到最上层的总线上连续使用所述区域定义区域的区域密钥产生所述第一访问密钥,但是,所述第一访问密钥的产生方法并不局限于上述方式。另外,根据这个实施例,通过连续使用要被访问的所述服务定义区域的服务密钥产生所述第二访问密钥。但是,所述第二访问密钥的产生方法并不局限于上述方式。即,可以通过连续使用任何两个或多个区域密钥或服务密钥产生所述第一访问密钥和第二访问密钥。
另外,在这个实施例中,所述用户块和系统块中的每一个都被存储在是一个存储器的EEPROM 66中。但是,所述用户块和系统块也可以被存储在物理上不同的存储器中。
在这个实施例中,数据被存储在EEPROM 66中,但是,所述数据也可以被存储在除EEPROM 66以外的半导体存储器、磁盘或类似的存储装置中。
在这个实施例中,在已登录卡的发行信息提供处理过程中,已登录卡的发行信息是在所述母层的区域定义区域的区域密钥的基础上被加密的。但是,用于加密所述已登录卡的发行信息的密钥并不局限于所述母层的区域密钥。但是,由于需要译码加密后的已登录卡的发行信息,所以,用于加密已登录卡的发行信息的密钼必须被存储在IC卡2中。因此,当所述母层的区域密钥被用于加密已登录卡的发行信息时,所述母层的区域密钥已经被存储在IC卡2中,这样,除了所述母层的密钥之外,用于译码(加密)所述已登录卡的发行信息的密钥并不需要被存储在IC卡2中。
另外,在这个实施例中,在以层结构设计所述EEPROM 66的所述存储区域的同时对其进行管理。但是,本发明可以被应用于不以所述层结构管理所述EEPROM 66的存储区域的情况。
再有,在这个实施例中,加密后的已登录卡的发行信息被经过所述传送媒体121传送给已登录卡的发卡机101并被登录在所述已登录卡的发卡机101中。但是,所述加密后的已登录卡的发行信息也可以被存储在诸如磁盘、磁光盘、光盘、存储器卡、磁带等将被直接引入已登录卡的发卡机101中以登录所述加密后已登录卡的发行信息的记录媒体(存储媒体)中。
根据本发明第一方面的所述信息处理装置和本发明第二方面的所述信息处理方法,用于管理数据存储装置的存储区域和包含访问所述存储区域所需的一个密钥的管理信息被加密。因此,能够避免所述管理信息的内容被泄露给第三方。
根据本发明第三方面的所述信息处理装置和根据本发明第四方面的所述信息处理方法,用于管理数据存储装置的存储区域、包含访问所述存储区域所需的一个密钥并被加密的管理信息被译码。因此,可以避免所述管理信息的内容被泄露给第三方。
Claims (8)
1.一种用于向数据存储装置(2)提供管理信息的信息处理装置(131),所述信息处理装置包括:
用于形成包含访问数据存储装置的存储区域的密钥的管理信息的形成装置,所述管理信息包括管理分层结构的存储区域的信息;
用于加密管理信息的加密装置,所述加密装置使用包含在上层管理信息中的密钥,以加密下层管理信息;
用于生成检查码以检查管理信息是否已经被篡改的装置;
其中所述加密装置将检查码和管理信息一起进行加密;并且
其中所述加密的管理信息被传送到数据存储装置,以便在数据存储装置中对加密的管理信息进行解密。
2.根据权利要求1所述的信息处理装置,其中所述形成装置被配置来形成管理信息,以至于管理信息包含存储区域识别码,该识别码能够被分配给被管理的存储区域,并用来识别所述存储区域。
3.根据权利要求1所述的信息处理装置,其中所述形成装置被配置来形成管理信息,以至于管理信息包含关于被管理存储区域的空白容量的信息。
4.一种数据存储装置(2),包括:
数据存储装置,用于存储数据以提供预定服务,其中由密钥提供对所述数据存储装置的存储区域的访问;
接收装置(53),用于从外部设备接收加密的管理信息,其中存储区域以分层结构用管理信息进行管理,包含有密钥;
解密装置(92),用于使用所述包含在上层管理信息中的密钥对加密的管理信息进行解密;和
操作装置,用于操作检查码以检查管理信息是否已经被篡改;并且
其中所述解密装置对检查码和管理信息一起进行解密。
5.根据权利要求4所述的数据存储装置,其中所述接收装置被安排在接触或不接触状态下执行与外部设备的通信。
6.根据权利要求4所述的数据存储装置,其中所述管理信息包含存储区域识别码,该识别码能够被分配给被管理的存储区域,并用来识别所述存储区域。
7.根据权利要求4所述的数据存储装置,其中所述管理信息包含关于被管理存储区域的空白容量的信息。
8.一种信息处理方法,包括步骤:
形成用于管理分层结构的数据存储设备中的存储区域的管理信息;
加密管理信息,其中所述加密使用了包含在上层管理信息中的密钥来加密下层管理信息;
生成检查码以检查管理信息是否已经被篡改的装置;
传送所述加密的管理信息到数据存储装置;
其中所述加密将检查码和管理信息一起进行加密。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP201497/98 | 1998-07-16 | ||
| JP20149798A JP4029234B2 (ja) | 1998-07-16 | 1998-07-16 | 情報処理装置および情報処理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1242547A CN1242547A (zh) | 2000-01-26 |
| CN1279457C true CN1279457C (zh) | 2006-10-11 |
Family
ID=16442044
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB991114884A Expired - Lifetime CN1279457C (zh) | 1998-07-16 | 1999-07-16 | 信息处理装置和信息处理方法 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US7003671B1 (zh) |
| EP (1) | EP0973135B1 (zh) |
| JP (1) | JP4029234B2 (zh) |
| KR (1) | KR100627989B1 (zh) |
| CN (1) | CN1279457C (zh) |
| DE (1) | DE69927643T2 (zh) |
| HK (1) | HK1029404A1 (zh) |
| SG (1) | SG94329A1 (zh) |
| TW (1) | TW475126B (zh) |
Families Citing this family (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20010034838A1 (en) * | 2000-01-14 | 2001-10-25 | Motoshi Ito | Control program, device including the control program, method for creating the control program, and method for operating the control program |
| WO2001077920A1 (fr) * | 2000-04-06 | 2001-10-18 | Sony Corporation | Procede de division de zone de stockage pour dispositif portable |
| CN1996351B (zh) * | 2000-04-28 | 2010-04-21 | 株式会社日立制作所 | 集成电路卡 |
| JP4538909B2 (ja) * | 2000-06-15 | 2010-09-08 | ソニー株式会社 | データ記憶装置および情報処理装置 |
| JP4765174B2 (ja) * | 2001-02-16 | 2011-09-07 | ソニー株式会社 | アプリケーション実行装置、通信システム、およびアプリケーション実行方法 |
| JP2002298105A (ja) * | 2001-03-30 | 2002-10-11 | Sony Corp | データ記憶装置および方法、情報処理装置および方法、記録媒体、並びにプログラム |
| JP3526287B2 (ja) * | 2001-08-29 | 2004-05-10 | 株式会社東芝 | 携帯可能電子装置及びそのデータ書込方法 |
| DE10142351A1 (de) | 2001-08-30 | 2003-03-20 | Giesecke & Devrient Gmbh | Initialisieren einer Chipkarte |
| JP4969745B2 (ja) * | 2001-09-17 | 2012-07-04 | 株式会社東芝 | 公開鍵基盤システム |
| KR20030087203A (ko) * | 2002-05-07 | 2003-11-14 | 주식회사 한국데이타비지네스 | 엠에스카드 리더기 및 그 운용 방법 |
| KR20030087201A (ko) * | 2002-05-07 | 2003-11-14 | 주식회사 한국데이타비지네스 | 알에프카드 발급용 엔코더기 및 그 운영 방법 |
| EP1492061A1 (fr) * | 2003-06-25 | 2004-12-29 | Nagracard S.A. | Méthode d'allocation de ressources sécurisées dans un module de sécurité |
| US20050036620A1 (en) * | 2003-07-23 | 2005-02-17 | Casden Martin S. | Encryption of radio frequency identification tags |
| KR20060069448A (ko) * | 2003-08-08 | 2006-06-21 | 코닌클리케 필립스 일렉트로닉스 엔.브이. | 지역 키를 사용한 암호화 콘텐트 재생 |
| JP2005196412A (ja) * | 2004-01-06 | 2005-07-21 | Sony Corp | データ通信装置及びデータ通信装置のメモリ管理方法 |
| KR100474142B1 (ko) * | 2004-02-06 | 2005-03-14 | 에스케이 텔레콤주식회사 | 선후불카드 발급 인증에 필요한 암호화된 인증 데이터전달 장치, 선후불카드 발급 인증 시스템 및 그 인증 방법 |
| JP2005352963A (ja) * | 2004-06-14 | 2005-12-22 | Sony Corp | 情報管理装置及びその制御方法 |
| JP4706220B2 (ja) | 2004-09-29 | 2011-06-22 | ソニー株式会社 | 情報処理装置および方法、記録媒体、並びにプログラム |
| ECSP055650A (es) * | 2004-12-22 | 2006-01-27 | Transporte De Pasajeros Metro | Dispositivo de control y seguridad que registra la carga y el cobro electrónico de tarifas respecto de una tarjeta de proximidad con un monto determinado en un sistema de transporte de pasajeros. |
| JP4239988B2 (ja) * | 2005-03-07 | 2009-03-18 | ソニー株式会社 | 通信システム、通信装置、有線通信装置、および通信方法 |
| JP4670585B2 (ja) | 2005-10-26 | 2011-04-13 | ソニー株式会社 | 設定装置および方法、並びにプログラム |
| JP4745131B2 (ja) * | 2006-05-29 | 2011-08-10 | 株式会社日立製作所 | 通信カード |
| CN100535935C (zh) * | 2006-12-26 | 2009-09-02 | 北京握奇数据系统有限公司 | Cpu与逻辑加密双用智能卡及其数据同步方法 |
| WO2008096759A1 (ja) * | 2007-02-07 | 2008-08-14 | Kabushiki Kaisha Toshiba | 情報記憶媒体及び媒体処理システム |
| JP2009276916A (ja) | 2008-05-13 | 2009-11-26 | Sony Corp | 通信装置、通信方法、リーダライタ及び通信システム |
| JP4631935B2 (ja) | 2008-06-06 | 2011-02-16 | ソニー株式会社 | 情報処理装置、情報処理方法、プログラム及び通信システム |
| JP5272637B2 (ja) | 2008-10-14 | 2013-08-28 | ソニー株式会社 | 情報処理装置、暗号切替方法、及びプログラム |
| KR101698100B1 (ko) * | 2014-11-27 | 2017-01-19 | 엘지전자 주식회사 | 리니어 압축기의 제어 장치, 이를 포함한 압축기 및 제어 방법 |
| WO2019026372A1 (ja) * | 2017-08-04 | 2019-02-07 | ソニー株式会社 | 情報処理装置、情報処理方法およびプログラム |
| US11921868B2 (en) | 2021-10-04 | 2024-03-05 | Bank Of America Corporation | Data access control for user devices using a blockchain |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4742215A (en) * | 1986-05-07 | 1988-05-03 | Personal Computer Card Corporation | IC card system |
| US5050213A (en) * | 1986-10-14 | 1991-09-17 | Electronic Publishing Resources, Inc. | Database usage metering and protection system and method |
| US5280614A (en) * | 1990-08-21 | 1994-01-18 | International Business Machines Corporation | Apparatus and method for controlling access to data using domains |
| EP0583006B2 (en) * | 1992-08-13 | 2006-11-29 | Matsushita Electric Industrial Co., Ltd. | IC card with hierarchical file structure |
| GB9307623D0 (en) * | 1993-04-13 | 1993-06-02 | Jonhig Ltd | Data writing to eeprom |
| WO1997014147A1 (fr) * | 1995-10-09 | 1997-04-17 | Matsushita Electric Industrial Co., Ltd. | Support, appareil et procede d'enregistrement d'informations |
| AU734654B2 (en) * | 1996-02-09 | 2001-06-21 | Integrated Technologies Of America, Inc. | Access control/crypto system |
| EP0790551A1 (en) * | 1996-02-16 | 1997-08-20 | Koninklijke KPN N.V. | Method of modifying the instruction set of a smart card |
| JPH104403A (ja) | 1996-06-17 | 1998-01-06 | N T T Data Tsushin Kk | 暗号化装置、復号化装置およびその方法 |
| EP0818761A1 (en) * | 1996-07-12 | 1998-01-14 | Koninklijke KPN N.V. | Integrated circuit card, secure application module, system comprising a secure application module and a terminal and a method for controlling service actions to be carried out by the secure application module on the integrated circuit card |
| EP0825739A1 (en) * | 1996-08-15 | 1998-02-25 | Koninklijke KPN N.V. | Method of loading commands in the security module of a terminal |
| DE19650549A1 (de) * | 1996-12-05 | 1998-06-10 | Ods Gmbh & Co Kg | Verfahren zum gesicherten nachträglichen Programmieren einer Mikroprozessorkarte für eine zusätzliche Anwendung |
| US5988510A (en) * | 1997-02-13 | 1999-11-23 | Micron Communications, Inc. | Tamper resistant smart card and method of protecting data in a smart card |
| JPH10327147A (ja) * | 1997-05-21 | 1998-12-08 | Hitachi Ltd | 電子認証公証方法およびシステム |
| JP4682421B2 (ja) * | 1998-08-31 | 2011-05-11 | ソニー株式会社 | 記憶装置及び処理装置並びに処理方法 |
-
1998
- 1998-07-16 JP JP20149798A patent/JP4029234B2/ja not_active Expired - Lifetime
-
1999
- 1999-07-12 SG SG9903365A patent/SG94329A1/en unknown
- 1999-07-13 DE DE69927643T patent/DE69927643T2/de not_active Expired - Lifetime
- 1999-07-13 TW TW088111876A patent/TW475126B/zh not_active IP Right Cessation
- 1999-07-13 EP EP99305545A patent/EP0973135B1/en not_active Expired - Lifetime
- 1999-07-14 US US09/353,270 patent/US7003671B1/en not_active Expired - Lifetime
- 1999-07-16 KR KR1019990028969A patent/KR100627989B1/ko not_active IP Right Cessation
- 1999-07-16 CN CNB991114884A patent/CN1279457C/zh not_active Expired - Lifetime
-
2000
- 2000-07-26 HK HK00104656A patent/HK1029404A1/xx not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| EP0973135B1 (en) | 2005-10-12 |
| TW475126B (en) | 2002-02-01 |
| JP4029234B2 (ja) | 2008-01-09 |
| CN1242547A (zh) | 2000-01-26 |
| US7003671B1 (en) | 2006-02-21 |
| DE69927643D1 (de) | 2006-02-23 |
| EP0973135A3 (en) | 2001-11-07 |
| JP2000036014A (ja) | 2000-02-02 |
| HK1029404A1 (en) | 2001-03-30 |
| DE69927643T2 (de) | 2006-07-13 |
| EP0973135A2 (en) | 2000-01-19 |
| KR100627989B1 (ko) | 2006-09-27 |
| SG94329A1 (en) | 2003-02-18 |
| KR20000011792A (ko) | 2000-02-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1279457C (zh) | 信息处理装置和信息处理方法 | |
| CN1134733C (zh) | 数据存储设备和数据存储方法 | |
| CN1293482C (zh) | 便携装置的存储区域分割方法 | |
| CN1290052C (zh) | 个人电子价值银行系统 | |
| CN1272929C (zh) | 加密/解密方法和使用多仿射密钥系统的验证方法及装置 | |
| CN100336015C (zh) | 应用程序认证系统 | |
| CN1246781C (zh) | 信息处理系统 | |
| CN100338907C (zh) | 信息处理系统和方法、信息处理设备和方法 | |
| CN1460225A (zh) | 数据处理系统、存储设备、数据处理装置、及数据处理方法、以及程序 | |
| CN1902604A (zh) | 数据通信设备和用于管理数据通信设备的存储器的方法 | |
| CN1746941A (zh) | 信息处理设备和方法、程序、和记录介质 | |
| CN1476580A (zh) | 内容使用权管理系统和管理方法 | |
| CN1947372A (zh) | 个人信息管理装置、分散密钥存储装置、个人信息管理系统 | |
| CN1365474A (zh) | 认证装置 | |
| CN1465006A (zh) | 用于管理存储在移动终端存储块中的程序的系统 | |
| CN1241144C (zh) | 自主型集成电路卡 | |
| CN1656773A (zh) | 用于对服务供应商的服务验证用户的方法 | |
| CN1300402A (zh) | 信息处理设备、信息处理方法和提供介质 | |
| CN101042736A (zh) | 一种智能卡及智能卡中存取对象的方法 | |
| CN1602499A (zh) | 数据管理系统、数据管理方法、虚拟存储设备、虚拟存储器控制方法、阅读器/写入器装置、 ic模块访问设备、以及ic模块访问控制方法 | |
| CN1282071C (zh) | 数据处理装置、数据处理方法和程序 | |
| CN101042738A (zh) | 一种实现智能卡多应用的方法及数据处理装置 | |
| CN1755712A (zh) | 信息处理设备和方法、记录介质和程序 | |
| CN1409556A (zh) | 用于被限制的用户的或管理允许使用数量的装置,方法及程序 | |
| CN101042737A (zh) | 一种智能卡及向智能卡中创建应用、插入对象的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20061011 |
|
| CX01 | Expiry of patent term |