DE69937010T2

DE69937010T2 - Datenspeichervorrichtung und -verfahren

Info

Publication number: DE69937010T2
Application number: DE69937010T
Authority: DE
Inventors: Susumu Kusakabe; Masayuki Takada; Masachika Sasaki
Original assignee: Sony Corp
Current assignee: Sony Corp
Priority date: 1998-07-16
Filing date: 1999-07-15
Publication date: 2008-05-29
Anticipated expiration: 2019-07-16
Also published as: KR100668996B1; DE69920342D1; EP1341134A2; EP0973136B1; KR20060093308A; DE69920342T2; DE69937010D1; CN1245925A; SG95599A1; EP0973136A2; EP1341134A3; US6792541B1; CN100343830C; HK1027638A1; US7613301B2; EP1341134B1; CN1134733C; EP0973136A3; CN1506856A; KR20000011788A

Description

Die vorliegende Erfindung betrifft eine Datenspeichervorrichtung und ein Datenspeicherverfahren.
Aus dem Buch „Handbuch der Chipkarten", 1995, Seiten 78 bis 105 und 178 bis 193 geht eine IC-Karte (oder Chipkarte) mit einer Datenspeichereinrichtung, die in Datenspeicherbereiche und zugeordnete freie Speicherbereiche geteilt ist, hervor. Die Daten sind in einem Verzeichnis organisiert, das eine Haupt- bzw. Masterdatei (master file) MF, dedizierte Dateien (dedicated files) DF und elementare Dateien (elementary files) zusammen mit einem freien Speicherbereich EF aufweist. Die dedizierten Dateien sind von den Masterdateien abhängig. Eine elementare Datei ist von der Masterdatei oder einer dedizierten Datei abhängig.
Eine Masterdatei kann zusammen mit einem freien Speicherbereich mit einem Datenspeicherbereich korrespondieren. Eine dedizierte Datei kann zusammen mit einem freien Speicherbereich mit einem anderen Datenspeicherbereich korrespondieren.
Es ist bekannt, dass zum Beispiel eine IC(integrierte Schaltungs)-Karte (Chipkarte) entwickelt worden ist, bei der erwartet wird, dass sie bei einem elektronischen Geldsystem, einem Sicherheitssystem usw. benutzt wird.
Die IC-Karte weist eine CPU (Zentraleinheit) zur Durchführung verschiedener Verarbeitungsarten und einen Speicher zum Speichern von zur Verarbeitung notwendigen Daten auf, und eine Datenübertragung zu/ein Datenempfang von der IC-Karte werden ausgeführt, während sie mit einem vorbestimmten Leser/Schreiber (R/W (reader/writer)) oder in einem berührungs- bzw. kontaktlosen Zustand durch Benutzung einer elektromagnetischen Welle elektrisch verbunden ist. Einer IC-Karte, die eine Datenübertragung/einen Datenempfang mit einem R/W in einem kontaktlosen Zustand durch Benutzung einer elektromagnetischen Welle ausführt, wird generell elektrische Energie durch die elektromagnetische Welle zugeführt.
Beispielsweise ist in ISO7816 (ISO = International Organisation for Standardization (internationale Organisation für Standardisierung)) der Standard von Kontakttyp-IC-Karten definiert. Gemäß diesem Standard kann die Datenverwaltung bzw. das Datenverwalten auf der Basis von beispielsweise einer (mit einer sogenannten Datei korrespondierenden) EF (Elementary File (elementare Datei)) zum Speichern von Daten und einer DF zum Speichern der EF und der (mit einem sogenannten Adressbuch bzw. Verzeichnis (Ordner) korrespondierenden) DF (Dedicated File (dedizierte Datei)) ausgeführt werden. Demgemäss ist die auf der Schichtstruktur basierende Datenverwaltung durch Setzen einer gewissen DF als eine Eltern- bzw. Vaterschicht und Bereitstellen einer DF einer Kindschicht dafür möglich.
Wenn IC-Karten für die Dienstversorgung bzw. -zufuhr durch mehrere Manager bzw. Verwalter benutzt werden, kann ein Verfahren zur Zuordnung einer DF als eine Schicht zu jedem der mehreren Verwalter und Speicherung einer EF als für die Dienstzufuhr jedes Verwalters in der DF zuzuführende Daten in Betracht gezogen werden.
Jedoch ist es bei ISO7816 usw. schwierig, die benutzbare Kapazität und die Ressourcen der IC-Karte solcher Identifikationscodes zur Identifizierung einer (mit einem Dateinamen und einem Verzeichnisnamen korrespondierenden) DF und EF bei jeder DF zu beschränken.
Deshalb ist es schwierig zu verhindern, dass ein Identifikationscode zwischen unterschiedlichen Verwaltern dupliziert wird, und es ist auch schwierig, einem Verwalter zu verbieten, dass er einen in einer IC-Karte enthaltenen Speicher mit einer Kapazität benutzt, die eine durch einen Vertrag oder dgl. bestimmte vorbestimmte Kapazität überschreitet.
Außerdem sind in dem Fall, dass IC-Karten in einem elektronischen Geldsystem oder Sicherheitssystem benutzt werden, Sicherheiten wie die Geheimhaltung von Daten, die Verhinderung einer Fälschung von IC-Karten usw. wichtig, und beispielsweise wird bei ISO7816 ein Zugriff auf eine DF und eine zur DF gehörende EF durch Sperren der DF beschränkt. Das heißt, bei ISO7816 ist es für einen Zugriff auf eine gewisse DF notwendig, alle sich über die betreffende DF erstreckenden DF-Schlüssel oberer Schichten (Vaterschichten) auf dem Bus zu kennen.
Wenn deshalb beispielsweise ein gewisser als Vaterverwalter dienender Verwalter einen Teil von ihm zugeordneten Ressourcen einem als Kindverwalter dienenden anderen Verwalter zuteilt und die vom Kindverwalter verwaltete DF in der vom Vaterverwalter verwalteten DF ausgebildet ist, damit der Kindverwalter auf seine DF zugreifen kann, muss der Kindverwalter einen Schlüssel zum Zugriff auf die DF der Vaterschicht, das heißt die DF des Vaterverwalters kennen, und da tritt ein Problem bei der Sicherheit auf
Aspekte der vorliegenden Erfindung sind in den Ansprüchen dargelegt, zu deren Beachtung eingeladen wird.
Gemäß einem Aspekt der vorliegenden Erfindung ist eine Datenspeichervorrichtung zur Speicherung von Daten zum Zuführen eines vorbestimmten Dienstes bereitgestellt, wobei die Vorrichtung aufweist:
eine Speichereinrichtung, die in mehreren Systemblöcken und mehreren Benutzerblöcken konfiguriert ist, wobei eine Grenze zwischen den mehreren System- und Benutzerblöcken variabel ist, einer oder mehrere der Systemblöcke Daten eines Bereich definierenden Bereichs oder eines zugeordneten Dienst definierenden Bereichs speichern, ein Dienstbereich aus einem oder mehreren Benutzerblöcken zur Speicherung von Daten zur Bereitstellung des Diensts zusammengesetzt ist, wobei
der oder jeder der Bereich definierenden Bereiche

a) den Bereich von Speicherbereich definierenden Codes, die einem zu verwaltenden und zum Identifizieren des Speicherbereichs benutzten Speicherbereich zugeteilt werden können,
b) eine leere Kapazität des zu verwaltenden Speicherbereichs und
c) einen zu einer Zertifizierung des Bereich definierenden Bereichs benutzten Bereichsschlüssel

Gemäß einem anderen Aspekt der vorliegenden Erfindung ist ein Datenspeicherverfahren zur Speicherung von Daten zur Zufuhr eines vorbestimmten Dienstes unter Benutzung einer Vorrichtung bereitgestellt, die aufweist:
eine Speichereinrichtung, die in mehreren Systemblöcken und mehreren Benutzerblöcken konfiguriert ist, wobei eine Grenze zwischen den mehreren System- und Benutzerblöcken variabel ist, einer oder mehrere der Systemblöcke Daten eines Bereich definierenden Bereichs oder eines zugeordneten Dienst definierenden Bereichs speichert, ein Dienstbereich aus einem oder mehreren Benutzerblöcken zur Speicherung von Daten zur Bereitstellung des Diensts zusammengesetzt ist, wobei der oder jeder der Bereich definierenden Bereiche

a) den Bereich von Speicherbereich definierenden Codes, die einem zu verwaltenden Speicherbereich zugeteilt und zum Identifizieren des Speicherbereichs benutzt werden können,
b) eine leere Kapazität des zu verwaltenden Speicherbereichs und
c) einen zu einer Zertifizierung des Bereich definierenden Bereichs benutzten Bereichsschlüssel

Andere Ausführungsformen der vorliegenden Erfindung ermöglichen ein Ressourcenverwaltung zum Speichern von Daten und eine Zugriffssteuerung, die eine hohe Flexibilität und Sicherheit bei Daten aufweisen.
Für ein besseres Verständnis der vorliegenden Erfindung wird nun mittels eines Beispiels auf die beigefügten Zeichnungen Bezug genommen, in denen:
1 ein Blockdiagramm ist, das die Ausbildung eines eine IC-Karte entsprechend einer Ausführungsform der vorliegenden Erfindung benutzenden Kartensystems zeigt;
2 ein Blockdiagramm ist, das die Ausbildung eines Lesers/Schreibers 1 der 1 zeigt;
3 ein Blockdiagramm ist, das die Ausbildung einer IC-Karte 2 der 1 zeigt;
4 ein Diagramm ist, das ein logisches Format eines EEPROM 66 der 3 zeigt;
5 ein Diagramm ist, welches die Verzeichnisstruktur des EEPROM 66 der 3 zeigt;
6 ein Diagramm ist, das einen Prozess zur Bildung der Schichtstruktur der 5 zeigt;
7 ein Flussdiagramm ist, das eine Bereich bildende Verarbeitung zeigt;
8 ein Flussdiagramm ist, das eine Dienst bildende Verarbeitung zeigt;
9 ein Diagramm ist, das einen Schlüsselempfang/eine Schlüsselabgabe zwischen Verwaltern zeigt;
10 ein Diagramm ist, das Information zeigt, die notwendig ist, wenn ein Verwalter A Dienste zuführt;
11 ein Diagramm ist, das die Verarbeitung der IC-Karte 2 zeigt, wenn der Verwalter A Dienste zuführt;
12 ein Diagramm ist, das ein Zertifizierungsverfahren der IC-Karte 2 durch ein Dienstzufuhrgerät 111 zeigt;
13 ein Diagramm ist, welches das Zertifizierungsverfahren des Dienstzufuhrgeräts 111 durch die IC-Karte 2 zeigt;
14 ein Diagramm ist, das Information zeigt, die notwendig ist, wenn ein Verwalter B2 Dienste zuführt;
15 ein Diagramm ist, das die Verarbeitung der IC-Karte 2 zeigt, wenn der Verwalter B2 Dienste zuführt;
16 ein Diagramm ist, das Information zeigt, die notwendig ist, wenn ein Verwalter C Dienste zuführt;
17 ein Diagramm ist, das die Verarbeitung der IC-Karte 2 zeigt, wenn der Verwalter C Dienste zuführt;
18 ein Diagramm ist, das Information zeigt, die notwendig ist, wenn der Verwalter C Dienste zuführt;
19 ein Diagramm ist, das die Verarbeitung der IC-Karte 2 zeigt, wenn der Verwalter C Dienste zuführt;
20 ein Diagramm ist, das ein Verfahren zur Erzeugung eines ersten Zugriffsschlüssels und eines zweiten Zugriffsschlüssels zeigt, die zu einer gegenseitigen Zertifizierung benutzt werden;
21 ein Diagramm ist, das die Schichtstruktur des EEPROM 66 zeigt;
22 ein Diagramm ist, das einen/eine Schlüssel-Empfang/Abgabe zwischen Verwaltern zeigt;
23 ein Diagramm ist, das einen gemeinsamen Gebrauch von Diensten (Daten) zwischen Verwaltern zeigt;
24 ein Diagramm ist, das die Schichtstruktur des EEPROM 66 zeigt; und
25 ein Diagramm ist, das einen Schlüsselempfang/eine Schlüsselabgabe zwischen Verwaltern zeigt.
Bevorzugte Ausführungsformen gemäß der vorliegenden Erfindung werden nachstehend unter Bezugnahme auf die beigefügten Zeichnungen beschrieben.
1 zeigt die Ausbildung eines kontaktlosen Kartensystems gemäß einer Ausführungsform der vorliegenden Erfindung (das System bedeutet eine logische Zusammenfügung mehrerer Vorrichtungen, und es hängt nicht davon ab, ob die jeweiligen Vorrichtungen im gleichen Gehäuse lokalisiert sind oder nicht).
Das kontaktlose Kartensystem weist einen R/W 1, eine IC-Karte 2 und einen Kontroller 3 auf, und eine Datenübertragung/ein Datenempfang wird zwischen dem R/W 1 und der IC-Karte 2 in einem kontaktlosen Zustand unter Benutzung einer elektromagnetischen Welle ausgeführt.
Das heißt, der R/W 1 überträgt einen vorbestimmten Befehl zur IC-Karte 2, und die IC-Karte 2 empfangt den Befehl, um die mit dem Befehl korrespondierende Verarbeitung auszuführen. Die IC-Karte 2 überträgt die mit dem Verarbeitungsresultat korrespondierenden Reaktion- bzw. Antwortdaten zum R/W 1.
Der R/W 1 ist durch eine vorbestimmte (mit dem Standard von RS-485A oder dgl. in Einklang stehende) Schnittstelle mit dem Kontroller 3 verbunden, und der Kontroller 3 führt dem R/W 1 ein vorbestimmtes Steuersignal zu, so dass der R/W 1 eine vorbestimmte Verarbeitung ausführt.
2 zeigt die Ausbildung des R/W 1 der 1.
In der IC 21 sind eine DPU (Data Processing Unit (Datenverarbeitungseinheit)) 31 zur Ausführung einer Datenverarbeitung, eine SPU (Signal Processing Unit (Signalverarbeitungseinheit)) 32 zur Verarbeitung von zur IC-Karte 2 zu übertragenden Daten und von der IC-Karte 2 empfangenen Daten, ein SCC (Serial communication Controller (Seriellkommunikationskontroller)) 33, der mit dem Kontroller 3 kommuniziert, und eine Speichereinheit 34, die einen ROM-Abschnitt 41 zum vorausgehenden Speichern von zum Verarbeiten von Daten erforderlicher Information und einen RAM-Abschnitt 42 zum zeitweiligen bzw. temporären Speichern von Daten während der Verarbeitung aufweist, durch einen Bus miteinander verbunden
Außerdem ist auch ein Flash-Speicher 22 zum Speichern vorbestimmter Daten mit dem Bus verbunden
Die DPU 31 gibt an die SPU 32 einen zur IC-Karte 2 zu übertragenden Befehl aus und empfängt von der SPU 32 Reaktion- bzw. Antwortdaten, die von der IC-Karte 2 empfangen werden.
Nach einer vorbestimmten Verarbeitung (beispielsweise BPSK (BiPhase Shift Keying (Zweiphasenumtastung bzw. -modulation)) wird bezüglich des zur IC-Karte 2 zu übertragenden Befehls eine Modulation (Codierung in einen Manchester-Code oder dgl.) ausgeführt, die SPU 32 gibt ihn an eine Modulationsschaltung 23 aus, und sie empfangt auch von einer Demodulationsschaltung 25 die von der IC-Karte 2 übertragenen Antwortdaten zum Ausführen einer vorbestimmten Verarbeitung bezüglich der Daten.
Die Modulationsschaltung 23 führt eine ASK-Modulation (ASK = Amplitude Shift Keying (Amplitudenumtastung)) bezüglich einer Trägerwelle, die eine vorbestimmte Frequenz (beispielsweise 13,56 MHz) aufweist und von einem Oszillator (OSZ) 26 auf der Basis von aus der SPU 32 zugeführten Daten zugeführt wird, aus und gibt die so erzeugte Modulationswelle durch eine Antenne 27 als eine elektromagnetische Welle an die IC-Karte 2 aus. Zu dieser Zeit ist die Modulationsschaltung 23 so eingestellt, dass der Modulationsfaktor auf kleiner als 1 eingestellt ist und die ASK-Modulation ausgeführt wird, wodurch verhindert wird, dass die maximale Amplitude der Modulationswelle auch bei einem niedrigen Pegel der Daten auf null reduziert wird.
Die Demodulationsschaltung 25 demoduliert die durch die Antenne 27 empfangene Modulationsweile (ASK-modulierte Welle) und gibt die so modulierten Daten an die SPU 32 aus.
3 zeigt die Ausbildung der IC-Karte 2 der 1.
In der IC-Karte 2 empfängt die IC 51 die vom R/W 1 übertragene Modulationswelle durch die Antenne 53. Ein Kondensator 52 bildet zusammen mit der Antenne 53 eine LC-Schaltung, und sie ist so ausgebildet, dass sie mit der eine vorbestimmte Frequenz (Trägerfrequenz) aufweisenden elektromagnetischen Welle abgestimmt (oszilliert) wird.
In der IC 51 detektiert und demoduliert eine HF- bzw. RF-Schnittstelleneinheit 61 (Kommunikationseinrichtung) die durch die Antenne 53 empfangene Modulationswelle (ASK-modulierte Welle) mit einem ASK-Demodulator 81 und gibt die so demodulierten Daten an eine BPSK-Demodulationsschaltung 62 und eine PLL-Einheit 63 (PLL = Phase Locked Loop (Phasenregelschleife)) aus. Außerdem stabilisiert sie das im ASK-Demodulator 81 detektierte Signal durch einen Spannungsregler 82 und führt es jeder Schaltung als eine Gleichsignal- bzw. DC-Leistung zu.
Die RF-Schnittstelleneinheit 61 oszilliert ein die gleiche Frequenz wie die Taktfrequenz der Daten aufweisendes Signal in einer Oszillationsschaltung 83 und gibt das Signal an die PLL-Einheit 63 aus.
In der RF-Schnittstelleneinheit 61 wird die als die Energiequelle der IC-Karte 2 dienende Last der Antenne 53 in Verbindung mit Daten, die dem ASK-Modulator 81 bzw. 84 von der Operationseinheit 64 durch die BPSK- Modulationsschaltung 68 zugeführt werden, variiert (beispielsweise wird ein vorgeschriebenes Schaltelement in Verbindung mit den Daten ein-/ausgeschaltet, und nur wenn das Schaltelement eingeschaltet ist, wird eine vorbestimmte Last parallel mit der Antenne 53 verbunden), wodurch die durch die Antenne 53 empfangene Modulationswelle einer ASK-Modulation unterworfen wird (wenn die Daten von der IC-Karte 2 übertragen werden (die IC-Karte 2 ist so ausgebildet, dass sie Daten überträgt), setzt der R/W 1 die maximale Amplitude der von ihm ausgegebenen Modulationswelle auf einen festen Wert, und diese Modulationswelle wird auf der Basis der Variation der Last der Antenne 53 der ASK-Modulation unterworfen), und sie überträgt ihre Modulationskomponente durch die Antenne 53 zum R/W 1 (variiert die Endspannung der Antenne 27 des R/W 1).
Auf der Basis der vom ASK-Demodulator 81 zugeführten Daten erzeugt die PLL-Einheit 63 ein mit den Daten synchrones Taktsignal und gibt das Taktsignal an die BPSK-Demodulationsschaltung 62 und die BPSK-Modulationsschaltung 68 aus.
Wenn die im ASK-Demodulator 81 demodulierten Daten BPSK-moduliert werden, demoduliert die BPSK-Demodulationsschaltung 62 die Daten (decodiert den Manchester-Code) entsprechend dem von der PLL-Einheit 63 zugeführten Taktsignal und gibt die so demodulierten Daten an die Operationseinheit 64 aus.
Wenn die von der BPSK-Demodulationsschaltung 62 zugeführten Daten verschlüsselt werden, decodiert die Operationseinheit 64 die Daten in einer Verschlüsselungs/Decodierungs-Einheit 92 und verarbeitet dann die Daten in einem Sequenzer 91. Wenn die Daten nicht verschlüsselt werden, werden die von der BPSK-Demodulationsschaltung 62 zugeführten Daten direkt dem Sequenzer 91 zugeführt, wobei sie nicht durch die Verschlüsselungs/Decodierungs-Einheit 92 gehen.
Der Sequenzer 91 (Verwaltungeinrichtung) (Erzeugungseinrichtung) (Zertifizierungseinrichtung) ist so ausgebildet, dass er die Verarbeitung entsprechend Daten wie ein ihm zuzuführender Befehl ausführt. Das heißt beispielsweise, dass der Sequenzer 91 eine Datenschreib- und -leseoperation in den/vom EEPROM 6 und andere notwendige Operationsverarbeitung ausführt. Außerdem führt der Sequenzer 91 eine Zugriffssteuerung zum EEPROM 66 auf der Basis einer Zertifizierung aus und verwaltet bzw. managt auch den EEPROM 66.
Ein Paritätsoperator 93 der Operationseinheit 64 berechnet auf der Basis der im EEPROM 66 gespeicherten Daten einen Reed-Solomon-Code als Parität.
Nachdem die Operationseinheit 64 die vorbestimmte Verarbeitung im Sequenzer 91 ausgeführt hat, gibt sie die mit der Verarbeitung korrespondierenden Antwortdaten (die zum R/W 1 zu übertragenden Daten) an die BPSK-Modulationsschaltung 68 aus.
Die BPSK-Modulationsschaltung 68 unterwirft die von der Operationseinheit 64 zugeführten Daten einer BPSK-Modulation und gibt die so modulierten Daten an den ASK-Modulator der RF-Schnittstelleneinheit 61 aus.
Ein ROM (Reed Only Memory (Nurlesespeicher)) 65 speichert ein Programm, mit welchem der Sequenzer 91 seine Verarbeitung ausführt, und andere notwendige Daten. Ein RAM 67 speichert im Lauf der Verarbeitung des Sequenzers 91 Daten und dgl. vorübergehend.
Der EEPROM (Electrically Erasable and Programmable ROM (elektrisch löschbarer und programmierbarer ROM)) 66 (Speichereinrichtung) (Datenspeichereinrichtung) ist ein nicht flüchtiger Speicher, und er fahrt fort, Daten zu speichern, auch wenn die IC-Karte die Kommunikation mit dem R/W 1 beendet und die Energieversorgung gestoppt wird.
Als Nächstes wird die Daten-Übertragungs/Empfangs-Verarbeitung zwischen dem R/W 1 und der IC-Karte 2 beschrieben.
Der R/W 1 (2) strahlt von der Antenne 27 eine vorbestimmte elektromagnetische Welle ab, überwacht den Lastzustand der Antenne 27 und wartet, bis die Variation des Lastzustandes aufgrund der Näherung de r IC-Karte 2 detektiert wird. Der R/W 1 kann eine Verarbeitung (Abrufen) ausführen, bei der die auf der Basis von Daten eines vorbestimmten kurzen Musters ASK-modulierte elektromagnetische Welle abgestrahlt wird, um die IC-Karte 2 zu rufen, bis innerhalb einer festen Zeit von der IC-Karte 2 eine Antwort erhalten wird.
Wenn die Annäherung der IC-Karte 2 im R/W 1 detektiert wird, macht die SPU 32 des R/W 1 eine Rechteckwelle einer vorbestimmten Frequenz (beispielsweise eine Frequenz, die zweimal so hoch wie die Taktfrequenz der Daten ist) als eine Trägerwelle dienstbar, führt an ihr auf der Basis der zur IC-Karte 2 zu übertragenden Daten (der mit der von der IC-Karte 2 auszuführenden Verarbeitung korrespondierende Befehl, in die IC-Karte 2 zu schreibende Einschreibedaten usw.) eine BPSK- Modulation aus und gibt die so (Manchester-Code) erzeugte Modulationsweile (BPSK-Modulationssignal) an die Modulationsschaltung 23 aus.
Bei der BPSK-Modulationsverarbeitung können die Daten durch Verwendung einer differentiellen Umsetzung der Variation der Phase der Modulationsweile zugeordnet werden, und in diesem Fall kann das BPSK-Modulationssignal in die originalen Daten demoduliert werden, auch wenn sie invertiert sind. Deshalb ist es nicht nötig, bei der Demodulationsoperation die Polarität der Modulationswelle in Betracht zu ziehen.
Auf der Basis der BPSK-Modulationssignaleingabe unterwirft die Modulationsschaltung 23 die vorbestimmte Trägerwelle der ASK-Modulation mit einem Modulationsfaktor (= maximale Amplitude des Datensignals/maximale Amplitude der Trägerwelle), der kleiner als 1 (beispielsweise 0,1) ist, und überträgt die so erzeugte Modulationswelle (ASK-Modulationswelle) durch die Antenne 27 zur IC-Karte 2.
Wenn keine Übertragung ausgeführt wird, erzeugt die Modulationsschaltung 23 die Modulationswelle beispielsweise mit einem hohen Pegel von zwei Pegeln (hoher Pegel und niedriger Pegel) von digitalen Signalen.
Bei der IC-Karte 2 (3) wird ein Teil der von der Antenne 27 des R/W 1 abgestrahlten elektromagnetischen Welle in einer LC-Schaltung, die eine Antenne 53 und einen Kondensator 52 aufweist, in ein elektrisches Signal umgesetzt, und das elektrische Signal (Modulationswelle) wird an die RF-Schnittstelle 61 der IC 51 ausgegeben. Der ASK-Demodulator 81 der RF-Schnittstelle 61 detektiert durch Gleichrichten und Glätten der Modulationswelle eine Enveloppe und führt das so erzeugte Signal dem Spannungsregler 82 zu. Außerdem unterdrückt er die DC-Komponente des Signals, um das Datensignal zu extrahieren, und gibt das Datensignal an die BPSK-Demodulationsschaltung 62 und die PLL-Einheit 63 aus. Zu diesem Zeitpunkt ist die Endspannung V_o der Antenne 53 wie folgt: Vo = V10(1 + k × Vs(t))cos(ωt).
Dabei stellt V₁₀ cos(ωt) die Trägerwelle dar, stellt k den Modulationsfaktor dar und stellt Vs(t) von der SPU 32 ausgegebenen Daten dar.
Der Wert VI R des unteren Pegels der Spannung V₁ nach der Gleichrichtung durch den ASK-Demodulator 81 ist wie folgt: VLR = V10(1 + k × (–1)) – Vf.
Hier im ASK-Demodulator 81 stellt Vf einen Spannungsabfall in einer eine Gleichrichtungsschaltung zur Gleichrichtung und Glättung bildenden (nicht gezeigten) Diode dar, und er ist generell etwa gleich 0,7 Volt.
Beim Empfang des vom ASK-Demodulator 81 gleichgerichteten und geglätteten Signals stabilisiert der Spannungsregler 82 das Signal und führt es jeweiligen Schaltungen sowie der Operationseinheit 64 als DC-Energie bzw. -Leistung zu. Da in diesem Fall der Modulationsfaktor k der Modulationswelle wie vorstehend beschrieben kleiner als 1 ist, ist die Spannungsvariation (die Differenz zwischen dem hohen Pegel und dem niedrigen Pegel) nach der Gleichrichtung klein. Demgemäss kann die DC-Leistung im Spannungsregler 82 leicht erzeugt werden.
Wenn hier die den Modulationsfaktor k von 5% aufweisende Modulationswelle empfangen wird, so dass V₁₀ über 3 Volt ist, ist der niedrige Spannungspegel V_LR nach der Gleichrichtung gleich 2,15 (= 3 × (1 – 0,05) – 0,7) Volt oder mehr, und der Spannungsregler 82 kann jeder Schaltung eine ausreichende Spannung als Leistung zuführen. In diesem Fall ist die Amplitude 2 × k × V₁₀ (Spitze-zu-Spitze-Wert) der Wechselsignal- bzw. AC-Komponente (Datenkomponente) der Spannung V₁ nach der Gleichrichtung gleich 0,3 (= 2 × 0,05 × 3) Volt oder mehr, und der ASK-Demodulator 81 kann die Daten mit einem ausreichend hohen Signal/Rauschen-Verhältnis bzw. S/N-Verhältnis demodulieren.
Wie vorstehend beschrieben kann durch Verwendung der einen Modulationsfaktor k kleiner als 1 aufweisenden ASK-Modulationswelle eine Kommunikation, die eine niedrige Fehlerrate (in einem hohen S/N-Verhältnis-Zustand) aufweist, ausgeführt werden, und kann der IC-Karte 2 eine DC-Spannung, die als Leistung ausreichend ist, zugeführt werden.
Beim Empfang des Datensignals (BPSK-Demodulationssignals) vom ASK-Demodulator 81 demoduliert die BPSK-Demodulationsschaltung 62 das Datensignal entsprechend dem von der PLL-Einheit 63 zugeführten Taktsignal und gibt die so demodulierten Daten an die Operationseinheit 64 aus.
Wenn die von der BPSK-Demodulationsschaltung 62 zugeführten Daten verschlüsselt sind, decodiert die Operationseinheit 64 die Daten in der Verschlüsselungs/Decodierungs-Einheit 92 und führt dann die Daten (Befehl) dem Sequenzer 91 zu, um die Daten zu verarbeiten. Während dieser Zeitperiode, das heißt während der Periode vom Zeitpunkt, bei dem die Daten zur IC-Karte 2 übertragen werden, bis eine Antwort auf das Übertragen empfangen wird, überträgt der R/W 1 Daten, die den Wert 1 aufweisen, und ist auf Bereitschaft bzw. Standby. Demgemäss empfangt die IC-Karte 2 während dieser Zeit die Modulationswelle, deren maximale Amplitude konstant ist.
Nach Beendigung der Verarbeitung gibt der Sequenzer 91 die Daten bezüglich des Verarbeitungsresultats usw. (zum R/W 1 zu übertragende Daten) an die BPSK-Modulationsschaltung 68 aus. Die BPSK-Modulationsschaltung 68 unterwirft die Daten wie im Fall der SPU 32 des R/W 1 der BPSK-Modulation (Codierung in den Manchester-Code) und gibt dann die modulierten Daten an den ASK-Modulator 84 der RF-Schnittstelleneinheit 61 aus.
Der ASK-Modulator 84 variiert die mit beiden Enden der Antenne 53 verbundene Last entsprechend Daten von der BPSK-Modulationsschaltung 68 durch Benutzung eines Schaltelements oder dgl., wodurch die empfangene Modulationswelle (die maximale Amplitude der vom R/W 1 ausgegebenen Modulationswelle ist, wie vorstehend beschrieben, zur Übertragungszeit von Daten von der IC-Karte 2 konstant) entsprechend den zu übertragenden Daten einer ASK-Modulation unterworfen wird, um die Endspannung der Antenne 27 des R/W 1 zu variieren, und überträgt die so modulierten Daten zum R/W 1.
Die Modulationsschaltung 23 des R/W 1 setzt die Übertragung von Daten, die den Wert 1 (hoher Pegel) aufweisen, zur Empfangszeit der Daten von der IC-Karte 2 fort. In der Demodulationsschaltung 25 werden die von der IC-Karte 2 übertragenen Daten auf der Basis einer winzigen Variation (beispielsweise mehrere 10 Mikrovolts) der Anschlussspannung der Antenne 27, die elektromagnetisch an die Antenne 53 der IC-Karte 2 gekoppelt ist, detektiert.
Außerdem wird in der Demodulationsschaltung 25 das detektierte Signal (ASK-Modulationswelle) verstärkt und von einem Hochverstärkungsverstärker (nicht gezeigt) moduliert, und die so erhaltenen digitalen Daten werden an die SPU 32 ausgegeben. Die SPU 32 demoduliert die Daten (BPSK-Modulationssignal) und gibt sie an die DPU 31 aus. Die DPU 31 verarbeitet die Daten von der SPU 32 und entscheidet auf der Basis des Verarbeitungsresultats, ob die Kommunikation beendet werden soll oder nicht. Wenn sie entscheidet, dass die Kommunikation wieder ausgeführt wird, wird die Kommunikation zwischen dem R/W 1 und der IC-Karte 2 ähnlich wie im obigen Fall ausgeführt. Wenn sie andererseits entscheidet, dass die Kommunikation beendet wird, beendet der R/W 1 die Kommunikationsverarbeitung mit der IC-Karte 2.
Wie vorstehend beschrieben Überträgt der R/W 1 Daten zur IC-Karte 2 unter Verwendung der ASK-Modulation, bei welcher der Modulationsfaktor k kleiner als 1 ist, und die IC-Karte 2 empfängt die Daten, um die Verarbeitung entsprechend den Daten auszuführen, und bringt die Daten entsprechend dem Verarbeitungsresultat zum R/W 1 zurück.
4 zeigt ein logisches Format des EEPROM 66 der 3.
Der EEPROM 66 ist auf einer Blockbasis aufgebaut, und bei einer Ausführungsform der 4 besteht ein einzelner Block aus beispielsweise 16 Bytes.
Außerdem ist bei der Ausführungsform der 4 die logische Adresse des obersten Blocks auf #0000h (h stellt eine hexadezimale Zahl dar) gesetzt, und andere logische Adressen sind in absteigender numerischer Ordnung zugeordnet. In der 4 sind #0000h bis #FFFFh als die logischen Adressen zugeordnet, und infolgedessen sind 65536 (= 2¹⁶) Blöcke gebildet.
Die Blöcke sind so ausgebildet, dass sie als ein Benutzerblock oder Systemblock benutzt werden. Die Blöcke des EEPROM 66 sind den Benutzerblöcken in der absteigenden numerischen Ordnung der logischen Adressen zugeteilt und den Systemblöcken in der aufsteigenden numerischen Ordnung der logischen Adressen zugeteilt. Das heißt bei der 4, dass die Benutzerblöcke nach unten zunehmen und die Systemblöcke nach oben zunehmen. Zu dem Zeitpunkt, bei dem kein leerer Block vorhanden ist, können der Benutzerblock und der Systemblock nicht gebildet werden. Demgemäss ist die Grenze zwischen den Benutzerblöcken und den Systemblöcken nicht fest, und der Zahl der Benutzerblöcke und der Zahl der Systemblöcke ist keine Beschränkung auferlegt (jedoch ist bei der Ausführungsform der 4 die Gesamtzahl der Benutzerblöcke und der Systemblöcke auf 65536 oder weniger beschränkt).
Die Systemblöcke sind in fünf Arten eines Herstellungs-Identifikations- bzw. Herstellungs-ID-Blocks, eines Ausgabe-ID-Blocks, eines System definierenden Blocks, eines Bereich definierenden Blocks und eines Dienst definierenden Blocks klassifiziert. Bei der Ausführungsform der 4 ist der als Bereich definierender Block oder Dienst definierender Block dienende Block als ein Bereich/Dienst definierender Block dargestellt.
Von bzw. außer den Systemblöcken sind die drei Arten von Blöcken des Herstellungs-ID-Blocks, des Ausgabe-ID-Blocks und des System definierenden Blocks grundsätzlich bei der Ausgabezeit der IC-Karte 2 angeordnet, und sie sind bei den logischen Adressen #FFFFh, #FFFEh bzw. #FFFDh angeordnet. Die Bereich/Dienst definierenden Blöcke sind in einer bildenden Ordnung bei logischen Adressen höher als die logische Adresse #FFFCh angeordnet.
Information bezüglich der Herstellung der IC-Karte 2 ist im Herstellungs-ID-Block angeordnet. Das heißt beispielsweise, dass eine eindeutige Herstellungs-ID, ein Herstellungsdatum, ein Herstellungscode usw. im Herstellungs-ID-Block angeordnet sind.
Information bezüglich der Ausgabe der IC-Karte 2 ist im Ausgabe-ID-Block angeordnet. Das heißt, im Ausgabe-ID-Block sind Codes eines Ausgabedatums der IC-Karte 2, eine Ausgabeordnung der IC-Karte 2 usw. angeordnet.
Im System definierenden Block sind die Zahl von zum EEPROM 66 gehörenden Systemblöcken oder Benutzerblöcken, ein Systemschlüssel und dgl. angeordnet. Der Systemschlüssel wird benutzt, wenn eine gegenseitige Zertifizierung zwischen der IC-Karte 2, dem R/W 1 und dem Kontroller 3 ausgeführt wird.
Der Bereich definierende Block ist durch Zuordnung eines Speicherbereichs (Bereich) des EEPROM 66 zum Verwalter gebildet, und Information zum Verwalten des dem Verwalter selbst zugeordneten Speicherbereichs usw. sind im Bereich definierenden Block angeordnet. Das heißt, im Bereich definierenden Block sind beispielsweise ein später beschriebener Codebereich, eine leere Kapazität, ein Bereichschlüssel usw. angeordnet.
Im Dienst definierenden Block ist Information zum Verwalten eines später beschriebenen Dienstbereichs (die Kapazität eines Dienstbereichs, ein Dienstschlüssel usw.) angeordnet.
Der Speicherbereich des EEPROM 66 wird im Sequenzer 91 verwaltet, wobei er geschichtet ist.
Als Nächstes zeigt – die Verzeichnisstruktur des EEPROM 66.
Der Speicherbereich des EEPROM 66 ist als eine geschichtete Struktur ausgebildet, bei welcher der Bereich definierende Bereich geschichtet ist, und der Bereich definierende Bereich ist so ausgebildet, dass er einen Bereich definierenden Bereich und einen Dienst definierenden Bereich aufweisen kann.
Der Bereich definierende Bereich (Schichtschlüsselspeichereinrichtung) ist dem Verwalter zugeordnet. Im Bereich definierenden Bereich sind ein Codebereich, der einen Bereich zur Identifikation von Codes, die als Namen zur Identifikation des Bereich definierenden Bereichs und des Dienst definierenden Bereichs durch den Verwalter benutzbar sind, darstellen, eine leere Kapazität, welche die Zahl verfügbarer leerer Blöcke darstellt, ein Bereichschlüssel zum Erzeugen eines später beschriebenen Zugriffschlüssels, der zur Zertifizierung benutzt wird, angeordnet. Hier korrespondiert der Bereich definierende Bereich von 1 mit dem in Bezug auf die 4 beschriebenen Bereich definierenden Block von 1.
Bei der Ausführungsform der 5 bildet der dem Verwalter A zugeordnete Bereich definierende Bereich die oberste Schicht, und die Bereich definierenden Bereiche der Verwalter B1 und B2 sind mit dem definieren Bereich des Verwalters A gebildet, der als eine Eltern- bzw. Vaterschicht gesetzt ist. Außerdem ist der Bereich definierende Bereich des Verwalters C mit dem definierenden Bereich des Verwalters B1 gebildet, der als eine Vaterschicht gesetzt ist.
Der Dienst definierende Bereich (Datenspeicherbereichschlüssel-Speichereinrichtung) ist einem vom Verwalter zugeführten Dienst zugeordnet, und die Kapazität eines Dienstbereichs zum Speichern von zur Zufuhr von Diensten notwendigen Daten, ein Dienstschlüssel zum Erzeugen eines Zugriffschlüssels usw. sind im Dienst definierenden Bereich angeordnet. Hier korrespondiert der Dienst definierende Bereich von 1 mit dem unter Bezugnahme auf die 4 beschriebenen Dienst definierenden Block von 1.
Der Dienstbereich ist ein Speicherbereich zum Speichern von zur Zufuhr von Diensten notwendigen Daten, und er korrespondiert mit dem Benutzerblock der 4. Das heißt, der Dienstbereich ist durch Benutzerblöcke über 0 gebildet, und die den Dienstbereich bildende Zahl von Benutzerblöcken ist als die Kapazität des Dienst definierenden Bereichs zum Verwalten des Dienstbereichs angeordnet.
Außerdem sind im Bereich definierenden Bereich und im Dienst definierenden Bereich Identifikationscodes zur Identifikation dieser Bereiche angeordnet. Hier werden die Identifikationscodes zu m Identifizieren des Bereich definierenden Bereichs und des Dienst definierenden Bereichs nachstehend als ein Bereichcode und ein Dienstcode bezeichnet Der Dienstcode dient zum Identifizieren des Dienst definierenden Bereichs zum Verwalten eines Dienstbereichs, und so kann er als ein Identifikationscode (Dienstbereich- Identifikationscode) zum Identifizieren des betreffenden Dienstbereichs betrachtet werden.
Bei der Ausführungsform der 5 ist der Bereich definierende Bereich der obersten Schicht dem Verwalter A zugeordnet. 0000h bis FFFFh sind als ein Bereich benutzbarer Identifikationscodes (Codebereich) definiert, und 0123456789abcdef ist als ein Bereichschlüssel definiert. Hier kann jeder Identifikationscode als der Bereichcode des Bereich definierenden Bereichs benutzt werden, wenn er ein Identifikationscode im Codebereich im Bereich definierenden Bereich ist. Bei dieser Ausführungsform wird der minimale Wert des Codebereichs des Bereich definierenden Bereichs als sein Bereichcode benutzt. Demgemäss ist der Bereichcode des Bereich definierenden Bereichs, dessen Codebereich von 0000h bis FFFFh ist, das heißt, der dem Verwalter A zugeordnete Bereich definierende Bereich auf 0000h gesetzt. Hier wird der Bereich definierende Bereich, dessen Bereichcode auf #xxxxh gesetzt ist, nachstehend als der Bereich definierende Bereich #xxxxh beschrieben.
Die Schicht des Bereich definierenden Bereichs #0000h des Verwalters A ist mit einem Dienst definierenden Bereich versehen, in welchem der Verwalter A Dienste zuführt. 00008h des Codebereichs von 0000h bis FFFFh des Bereich definierenden Bereichs #0000h ist dem Dienst definierenden Bereich als ein Dienstcode zugeordnet. Hier wird der Dienst definierende Bereich des Dienstcodes #xxxxh nachstehend als der Dienst definierende Bereich #xxxxh beschrieben.
Die Kapazität des Dienst definierenden Bereichs #000Bh ist auf 8 gesetzt, und so ist der durch 8 Benutzerblöcke gebildete Dienstbereich benutzbar. Außerdem ist der Dienstschlüssel des Dienst definierenden Bereichs #0008h auf 0101010101010101 gesetzt.
Die Schicht des Bereich definierenden Bereichs #0000h des Verwalters A ist mit einem Bereich definierenden Bereich #0100h des Verwalters B1 und einem Bereich definierenden Bereich #1000h des Verwalters B2 als Kindschichten versehen. Außerdem ist die Schicht des Bereich definierenden Bereichs #0000h mit anderen Bereich definierenden Bereichen (nicht gezeigt) versehen, und so ist die Zahl von Blöcken (leere Kapazität), die vom Bereich definierenden Bereich #0000h benutzbar ist, auf beispielsweise 37 Blöcke gesetzt.
Als der Codebereich des Bereich definierenden Bereichs #0100h des Verwalters B1 ist 0100h bis 03FFh im Codebereich von 0000h bis FFFFh des Bereich definierenden Bereichs #0000h, der die Vaterschicht des Bereich definierenden Bereichs #0100h ist, zugeordnet. Da der Codebereich des Bereich definierenden Bereichs des Verwalters B1 von 0100h bis 03FFh ist, ist hier 0100h, das der minimale Wert des Codebereichs ist, als der Bereichcode des Bereich definierenden Bereichs des Verwalters B1 gesetzt
Außerdem sind die leere Kapazität und der Bereichschlüssel des Bereich definierenden Bereichs #0100h auf 14 bzw. a0a0a0a0a0a0a0a0 gesetzt.
Außerdem ist die Schicht des Bereich definierenden Bereichs #0100h des Verwalters B1 mit dem Bereich definierenden Bereich #0300h des Verwalters C als eine Kindschicht von ihm versehen. Als der Codebereich des Bereich definierenden Bereichs #0300h des Verwalters C ist 0300h bis 03FFh im Codebereich von 0100h bis 03FFh des Bereich definierenden Bereichs #0100h, der seine Vaterschicht ist, zugeordnet. Da der Codebereich des Bereich definierenden Bereichs des Verwalters C von 0300h bis 03FFh ist, ist hier 0300h, welches das Minimum des Codebereichs ist, als der Bereichcode des Bereich definierenden Bereichs des Verwalters C gesetzt.
Die leere Kapazität und der Bereichschlüssel des Bereich definierenden Bereichs #0300h sind auf 0 bzw. b0b0b0b0b0b0b0b0 gesetzt.
Die Schicht des Bereich definierende n Bereichs #0300h des Verwalters C ist mit einem Dienst definierenden Bereich zur Dienstzufuhr durch den Verwalter C versehen. 030Ch im Codebereich von 0300h bis 03FFh des Bereich definierenden Bereichs #0300h ist dem Dienst definierenden Bereich als ein Dienstcode zugeordnet.
Die Kapazität des Dienst definierenden Bereichs, dem der Dienstcode 030Ch zugeordnet ist, das heißt des Dienst definierenden Bereich #030Ch, ist auf 16 gesetzt, und so kann der aus 16 Benutzerblöcken gebildete Dienstbereich benutzt werden. Außerdem ist der Dienstschlüssel des Dienst definierenden Bereichs #030Ch auf 0202020202020202 gesetzt.
Hier ist die Kapazität des vom Dienst definierenden Bereich #030Ch verwalteten Dienstbereichs gleich 16, und der Dienst definierende Bereich #030Ch selbst benutzt einen einzelnen Block als Dienst definierenden Block, so dass die Zahl von benutzten Blöcken gleich 17 (= 16 + 1) ist, da der Dienst definierende Bereich #030Ch existiert. Die Zahl von Blöcken, die vom Bereich definierenden Bereich #0300h einer Schicht, zu welcher der Dienst definierende Bereich #030Ch gehört, benutzbar sind, ist gleich null Blöcke, da ihre leere Kapazität gleich null ist. Außerdem benutzt der Bereich definierende Bereich #0300h selbst einen einzelnen Block als einen Bereich definierenden Block. Demgemäss ist in der Schicht des Bereich definierenden Bereichs #0300h die Zahl von benutzten Blöcken gleich 18 (= 17 + 1), und die Zahl benutzbarer Blöcke ist gleich null. Deshalb ergibt sich, dass die Zahl von Blöcken, die von dem als ihre Vaterschicht (obere Schicht) dienenden Bereich definierenden Bereich #0100h zugeordnet sind, gleich 18 (= 18 + 0) ist.
In Bezug auf die Schicht des Bereich definierenden Bereichs #0100h werden, wie vorstehend beschrieben, 18 Blöcke in dem als eine Kindschicht (untere Schicht) des Bereich definierenden Bereichs #0100h dienenden Bereich definierenden Bereich #0300h benutzt. Außerdem benutzt der Bereich definierende Bereich #0100h selbst einen einzelnen Block als einen Bereich definierenden Block. Die leere Kapazität des Bereich definierenden Bereichs #0100h ist, wie vorstehend beschrieben, gleich 14. Demgemäss ist in der Schicht des Bereich definierenden Bereichs #0100h die Zahl benutzter Blöcke gleich 19 (~18 + 1), und die Zahl benutzbarer Blöcke ist gleich 14. Deshalb ist die Zahl von Blöcken, die von dem als ihre Vaterschicht dienenden Bereich definierenden Bereich #0000h zugeordnet sind, gleich 33 (= 19 + 14).
Andererseits sind dem Codebereich des Bereich definierenden Bereichs 1000h des Verwalters B2 1000h bis 1FFFh im Codebereich von 0000h bis FFFFh des als seine Vaterschicht dienenden Bereich definierenden Bereichs #0000h zugeordnet. Da der Codebereich des Bereich definierenden Bereichs des Verwalters B2 von 1000h bis 1FFFh ist, ist hier 1000h, das der minimale Wert des vorstehenden Codebereichs ist, als der Bereichcode des Bereich definierenden Bereichs des Verwalters B2 gesetzt. Außerdem sind die leere Kapazität und der Bereichschlüssel des Bereich definierenden Bereichs #1000h auf 43 bzw. c0c0c0c0c0c0c0c0 gesetzt.
Die Schicht des Bereich definierenden Bereichs #1000h des Verwalters B2 ist mit einem Dienst definierenden Bereich zur Dienstzufuhr des Verwalters B2 versehen. 1022h im Codebereich von 1000h bis 1FFFh des Bereich definierenden Bereichs #1000h ist dem Dienst definierenden Bereich als ein Dienstcode zugeordnet.
Die Kapazität des Dienst definierenden Bereichs dem der Dienstcode 1022h zugeordnet ist, das heißt der Dienst definierende Bereich #1022h, ist auf 4 gesetzt, und so kann ein aus 4 Benutzerblöcken gebildeter Dienstbereich benutzt werden. Außerdem ist der Dienstschlüssel des Dienst definierenden Bereichs #1022h auf 0303030303030303 gesetzt.
Hier ist die Kapazität des vom Dienst definierenden Bereich #1022h verwalteten Dienstbereichs gleich 4, und der Dienst definierende Bereich #1022h selbst benutzt einen einzelnen Block als einen Dienst definierenden Block, so dass die Zahl benutzter Blöcke wegen der Existenz des Dienst definierenden Bereichs #1022h gleich 5 (= 4 + 1) ist. Außerdem ist die Zahl von Blöcken, die vom Dienst definierenden Bereich #1000h einer Schicht, zu welcher der Dienst definierende Bereich #1022h gehört, benutzbar sind, gleich 43, da ihre leere Kapazität gleich 43 ist. Außerdem benutzt der Bereich definierende Bereich #1000h selbst einen einzelnen Block als einen Bereich definierenden Block. Demgemäss ist in der Schicht des Bereich definierenden Bereichs #1000h die Zahl benutzter Blöcke gleich 6 (= 5 + 1), und die Zahl benutzbarer Blöcke ist gleich 43, so dass die Zahl von Blöcken, die dem Bereich definierenden Bereich #1000h zugeordnet sind, gleich 49 (= 6 + 43) ist.
Da der Codebereich, der als der Bereich von Identifikationscodes, die einem zu verwaltenden Bereich definierenden Bereich zugeordnet sein können, dient, wie vorstehend beschrieben im Bereich definierenden Bereich gespeichert ist, kann eine solche wie in 5 gezeigte Schichtstruktur, in der ein Bereich definierender Bereich eines Verwaltungsziels als eine Kindschicht gesetzt ist und ein Bereich definierender Bereich zum Verwalten des Bereich definierenden Bereichs als eine Vaterschicht gesetzt ist, auf der Basis des Codebereichs definiert sein.
Als Nächstes wird unter Bezugnahme auf die 6 ein Prozess zur Bildung der in 5 gezeigten Schichtstruktur unter der Annahme, dass der Verwalter A, dem der Bereich definierende Bereich #0000h der obersten Schicht zugeordnet ist, ein Lieferant einer IC-Karte 2 ist, beschrieben.
Der Verwalter A gibt die IC-Karte 2 entsprechend der Anforderung des Benutzers aus (1). Nur der Bereich definierende Bereich #000h in der Schichtstruktur der 5 ist in der IC-Karte 2 ausgebildet.
Wenn der Verwalter A die Zufuhr eines vorbestimmten Dienstes durch Benutzung des vom Dienst definierenden Bereich #0008h verwalteten Dienstbereichs startet, registriert der Verwalter A in der registrierten Kartenausgabemaschine 101 Information, die zur Bildung des Dienst definierenden Bereichs #0008h notwendig ist (2).
Hier ist die registrierte Kartenausgabemaschine 101 beispielsweise durch den R/W 1 und den Kontroller 3, die in 1 gezeigt sind, gebildet Die registrierte Kartenausgabemaschine 101 kann in einem Bahnhof, einem Einzelhandelsgeschäft oder anderen Einrichtungen angeordnet sein.
Wenn danach ein Benutzer eine IC-Karte 2 in eine registrierte Kartenausgabemaschine 101 einsetzt (wenn die IC-Karte 2 in den Zustand gesetzt ist, dass sie mit dem in der registrierten Kartenausgabemaschine 101 enthaltenen R/W 1 kommunizieren kann), überträgt die registrierte Kartenausgabemaschine 101 einen Befehl und notwendige Daten zur IC-Karte 2 auf der Basis registrierter Information, um den Dienst definierenden Bereich #000Bh zu bilden. Durch die vorstehende Operation kann dem Benutzer der Dienst des Verwalters A durch Benutzung des vom Dienst definierenden Bereich #0008h verwalteten Dienstbereichs zugeführt werden.
Wenn andererseits die Verwalter B1, B2 wollen, dass ihnen der Dienst unter Verwendung der IC-Karte 2 zugeführt wird, macht jeder von ihnen einen Vertrag mit dem Verwalter A, so dass der Verwalter A in der registrierten Kartenausgabemaschine 101 Information registriert, die zur Bildung der Bereich definierenden Bereiche #0100h und #1000h notwendig ist (3), (4). Wenn ein Benutzer eine IC-Karte 2 in die registrierte Kartenausgabemaschine 101 einsetzt, überträgt die registrierte Kartenausgabemaschine 101 einen Befehl und notwendige Daten zur IC-Karte 2 auf der Basis der registrierten Information, um die Bereich definierende Bereiche #0100h und #1000h zu bilden, wodurch die Verwalter B1 oder B2 die Ressource der IC-Karte 2 in dem im Bereich definierenden Bereich #0100h oder #1000h definierten Bereich benutzen können.
Wenn danach der Verwalter B2 beginnt, einen vorbestimmten Dienst durch Benutzung des vom Dienst definierenden Bereich #1022h verwalteten Dienstbereichs zuzuführen, registriert der Verwalter B2 in der registrierten Kartenausgabemaschine 101 Information, die zur Bildung des Dienst definierenden Bereichs #1022h notwendig ist (5). Wenn ein Benutzer eine IC-Karte 2 in die registrierte Kartenausgabemaschine 101 einsetzt, überträgt die registrierte Kartenausgabemaschine 101 auf der Basis der registrierten Information einen Befehl und notwendige Daten zur IC-Karte 2, um den Dienst definierenden Bereich #1022h zu bilden. Deshalb kann dem Benutzer der Dienst des Verwalters B2 unter Verwendung des vom Dienst definierenden Bereich #1022h verwalteten Dienstbereichs zugeführt werden.
Wenn außerdem der Verwalter C wünscht, unter der Verwaltung des Verwalters B1 einen Dienst durch die IC-Karte 2 zuzuführen, macht der Verwalter C einen Vertrag mit dem Verwalter B1, so dass der Verwalter B1 in der registrierten Kartenausgabemaschine 101 Information registriert, die zur Bildung des Bereich definierenden Bereichs #0300h notwendig ist (6). Wenn ein Benutzer eine IC-Karte 2 in die registrierte Kartenausgabemaschine 101 einsetzt, überträgt die registrierte Kartenausgabemaschine 101 auf der Basis der registrierten Information einen Befehl und notwendige Daten zur IC-Karte 2, um den Bereich definierenden Bereich #0300h zu bilden, wodurch der Verwalter C die Ressource der IC-Karte 2 in dem im Bereich definierenden Bereich #0300h definierten Bereich benutzen kann.
Wenn danach der Verwalter C beginnt, einen vorbestimmten Dienst durch Benutzung des vom Dienst definierende n Bereich #030Ch verwalteten Dienstbereichs zuzuführen, registriert der Verwalter ein der registrierten Kartenausgabemaschine 101 Information, die zur Bildung des Dienst definierenden Bereichs #030Ch notwendig ist (7). Wenn ein Benutzer eine IC-Karte 2 in die registrierte Kartenausgabemaschine 101 einsetzt, überträgt die registrierte Kartenausgabemaschine 101 auf der Basis der registrierten Information einen Befehl und notwendige Daten zur IC-Karte 2, um den Dienst definierenden Bereich #030Ch zu bilden, wodurch der Benutzer die Zufuhr des Dienstes vom Verwalter C unter Verwendung des vom Dienst definierenden Bereich #030Ch verwalteten Dienstbereichs akzeptieren kann.
In der IC-Karte 2 werden, wie vorstehend beschrieben, der Bereich definierende Bereich und der Dienst definierenden Bereich entsprechend dem Befehl aus der registrierten Kartenausgabemaschine 101 gebildet. Die Bereich bildende Verarbeitung zur Bildung des Bereich definierenden Bereichs und die Dienst bildende Verarbeitung zur Bildung des Dienst definierenden Bereichs werden beispielsweise vom Sequenzer 91 ausgeführt. Die Bereich bildende Verarbeitung und die Dienst bildende Verarbeitung werden unter Bezugnahme auf die 7 und 8 beschrieben.
Zuerst wird die Bereichsbildungsverarbeitung unter Bezugnahme auf das Flussdiagramm der 7 beschrieben.
Wenn die IC-Karte in die registrierte Kartenausgabemaschine 101 eingesetzt ist, überträgt die registrierte Kartenausgabemaschine 101 an die IC-Karte 2 beispielsweise einen Befehl, der instruiert, einen Bereich definierenden Bereich zu bilden (nachstehend als ein Definierbefehl oder Bereichbildungsbefehl bezeichnet), Information, die zur Bildung des Bereich definierenden Bereichs notwendig ist, das heißt den Codebereich des zu bildenden Bereich definierenden Bereichs, die Zahl von Blöcken, die dem Bereich definierenden Bereich zugeordnet sind (nachstehend als Zuordnungsblockzahl bezeichnet), einen Bereichschlüssel und einen Bereichcode des als die Vaterschicht dienenden Bereich definierenden Bereichs (nachstehend als Vaterbereichcode bezeichnet).
Hier ist es vom Gesichtspunkt der Sicherheit vorzuziehen, dass Information, die zur Bildung eines Bereich definierenden Bereichs notwendig ist, verschlüsselt zur IC-Karte 2 übertragen wird. Die Verschlüsselung kann beispielsweise durch Benutzung des gleichen Schlüssels wie der in dem den Vaterbereichcode aufweisenden Bereich definierenden Bereich gespeicherte Bereichschlüssel ausgeführt werden. Der in dem den Vaterbereichcode aufweisenden Bereich definierenden Bereich gespeicherte Bereichschlüssel ist im EEPROM 66 gespeichert, so dass die verschlüsselte Information in der IC-Karte 2 decodiert werden kann.
Beim Empfang des Bereichbildungsbefehls decodiert die IC-Karte 2 (Sequenzer 91) die zusammen mit dem Bereichbildungsbefehl übertragene verschlüsselte Information, erkennt dadurch den Vaterbereichcode und den Codebereich sowie den Zuordnungsblock und den Bereichschlüssel des zu bildenden Bereich definierenden Bereichs. Außerdem wird in der IC-Karte 2 der Bereichcode des zu bildenden Bereich definierenden Bereichs erkannt. Das heißt, es wird in diesem Fall der minimale Wert des Codebereichs des zu bildenden Bereich definierenden Bereichs als sein Bereichcode erkannt.
In der IC-Karte 2 wird beim Schritt S1 entschieden, ob der zu bildende Bereich definierenden Bereich schon im EEPROM 66 gebildet worden ist. Das heißt, beim Schritt S1 wird entschieden, ob der den gleichen Bereichcode wie der Bereichcode des zu bildenden Bereich definierenden Bereichs aufweisende Bereich definierende Bereich schon gebildet worden ist.
Wenn beim Schritt S1 entschieden wird, dass der zu bildende Bereich definierenden Bereich schon gebildet worden ist, ist die Bereich bildende Verarbeitung beendet. Das heißt in dem Fall, dass der zu bildende Bereich definierende Bereich schon gebildet worden ist, wird keine nachfolgende Verarbeitung ausgeführt, da es nicht notwendig ist, den gleichen Bereich definierenden Bereich doppelt zu bilden.
Wenn beim Schritt S1 entschieden wird, dass der zu bildende Bereich definierende Bereich noch nicht gebildet worden ist, geht die Verarbeitung zum Schritt S2, um zu entscheiden, ob der Codebereich des zu bildenden Bereich definierenden Bereichs und die Zahl zugeordneter Blöcke (Kapazität) richtig sind oder nicht. Das heißt, es wird beim Schritt S2 entschieden, ob der Codebereich des zu bildenden Bereich definierenden Bereichs in dem Codebereich enthalten ist, der in dem Bereich definierenden Bereich gespeichert ist, welcher den Vatercode aufweist, und ob die Zuordnungsblockzahl des zu bildenden Bereich definierenden Bereichs unter der leeren Kapazität ist, die in dem Bereich definierenden Bereich, der den Vaterbereichcode aufweist, gespeichert ist.
Wenn beim Schritt S2 entschieden wird, dass der Codebereich des zu bildenden Bereich definierenden Bereichs und die Zuordnungsblockzahl nicht richtig sind, das heißt, wenn der Codebereich des zu bildenden Bereich definierenden Bereichs in dem Codebereich enthalten ist, der in dem Bereich definierenden Bereich, der den Vaterbereichcode aufweist gespeichert ist, oder die Zuordnungsblockzahl des zu bildenden Bereich definierenden Bereichs die in dem den Vaterbereichcode aufweisenden Bereich definierenden Bereich gespeicherte leere Kapazität überschreitet, wird beim Schritt S3 die Fehlerverarbeitung ausgeführt, und dann wird die Bereich bildende Verarbeitung beendet. Das heißt, beim Schritt S3 wird eine Nachricht, bei welcher der den Vaterbereichcode aufweisende Bereich definierende Bereich als eine Vaterschicht gesetzt ist, jedoch kein Bereich definierender Bereich, der als eine Kindschicht von ihr dient, gebildet werden kann, zur registrierten Kartenausgabemaschine 101 übertragen. Demgemäss wird in diesem Fall kein Bereich definierender Bereich gebildet.
Wenn andererseits beim Schritt S2 entschieden wird, dass der Codebereich des zu bildenden Bereich definierenden Bereichs und die Zuordnungsblockzahl richtig sind, das heißt entschieden wird, dass der Codebereich des zu bildenden Bereich definierenden Bereichs in dem Codebereich enthalten ist, der in dem Bereich definierenden Bereich gespeichert ist, welcher den Vaterbereichcode aufweist, und die Zuordnungsblockzahl des zu bildenden Bereich definierenden Bereichs unter der leeren Kapazität ist, die in dem den Vaterbereichcode aufweisenden Bereich definierenden Bereich gespeichert ist, wird beim Schritt S4 der zu bildende Bereich definierende Bereich als eine Kindschicht der Schicht (Vaterschicht) des den Vaterbereichcode aufweisenden Bereich definierenden Bereichs gebildet.
Das heißt, beim Schritt S4 wird der unterste Block (der die größte logische Adresse aufweisende leere Block) in den leeren Blöcken des EEPROM 66 (4) als der mit dem zu bildenden Bereich definierenden Bereich korrespondierende Bereich definierende Block gesichert. Außerdem werden der Codebereich, die leere Kapazität, der Bereichschlüssel usw. in den Bereich definierenden Block geschrieben. Hier werden beim Schritt S4 von der registrierten Kartenausgabemaschine 101 übertragene Daten direkt als der Codebereich und der Codeschlüssel geschrieben. Der durch Subtrahieren von 1 von der von der registrierten Kartenausgabemaschine 101 übertragenen Zuordnungsblockzahl erhaltene Wert wird als die leere Kapazität geschrieben. Der durch Subtrahieren von 1 von der Zuordnungsblockzahl erhaltene Wert wird geschrieben, da der so gebildete Bereich definierende Bereich einen einzelnen Block benutzt.
Danach geht die Verarbeitung zum Schritt S5, um die leere Kapazität des Bereich definierenden Bereichs des Vaterbereichcodes neu zu schreiben, und dann ist die Bereich bildende Verarbeitung beendet. Das heißt, beim Schritt S5 wird der durch Subtrahieren der Zuordnungsblockzahl von der leeren Kapazität des den Vaterbereichcode aufweisenden Bereich bildenden Bereichs erhaltene Wert als eine leere Kapazität des den Vaterbereichcode aufweisenden Bereich definierenden Bereichs neu geschrieben.
Die Bereich definierenden Bereiche #0100h, #1000h, #0300h der in 5 gezeigten Verwalter B1, B2, C werden durch die vorstehende Bereich bildende Verarbeitung gebildet.
Das heißt unter der Annahme, dass zur Ausgabezeit der IC-Karte 2 der Verwalter A, der auch der Ausgeber der IC-Karte 2 ist, alle Ressourcen der IC-Karte 2 hat, und die Identifikationscodes oder die Kapazität, die von der IC-Karte 2 benutzt werden können, von 0000h bis FFFFh sind oder 65533 Blöcke ist, nur der Bereich definierende Bereich #0000h der obersten Schicht, in welcher der Codebereich von 0000h bis FFFFh ist und die leere Kapazität gleich 65532 ist, zur Ausgabezeit der IC-Karte 2 als Bereich definierender Bereich existiert.
Bei dieser Ausführungsform weist, wie in 4 gezeigt, der EEPROM 6665536 Blöcke auf, jedoch ist die nutzbare Kapazität unmittelbar nach Ausgabe der IC-Karte 2 gleich 65533 Blöcke, welche Zahl um 3 kleiner als 65536 ist, da der Herstellungs-ID-Block, der Ausgabe-ID-Block und der System definierende Block existieren.
Außerdem ist die leere Kapazität d es Bereich definierenden Bereichs #0000h der obersten Schicht gleich 65532 Blöcke, welche Zahl um einen Block kleiner als die nutzbare Kapazität von 65533 Blöcken ist, da der Bereich definierende Bereich #0000h selbst einen einzelnen Block benutzt.
Wenn der Verwalter A dem Verwalter B1 die Identifikationscodes im Bereich von 0100h bis 03FFh und 63 Blöcke in ihren Ressourcen zuteilt, wird die Bereich bildende Verarbeitung ausgeführt, um den Bereich definierenden Bereich #0100h zu bilden. Das heißt, in diesem Fall werden 0100h bis 03FFh und 32 Blöcke als ein Codebereich bzw. eine leere Kapazität in den Bereich definierenden Bereich #0100h geschrieben. Die leere Kapazität ist um einen einzelnen Block kleiner als die vom Verwalter A zugeteilte Zahl von 33 Blöcken, da der Bereich definierende Bereich #0100h selbst einen einzelnen Block benutzt.
Wenn der Bereich definierende Bereich #0100h gebildet wird, wird die leere Kapazität des Bereich definierenden Bereichs #0000h des Verwalters A um dem Verwalter B1 zugeteilte 33 Blöcke reduziert.
Wenn der Verwalter A dem Verwalter B2 die Identifikationscodes des Bereichs von 1000h bis 1FFFh und 49 Blöcke zuteilt, wird die Bereich bildende Verarbeitung ausgeführt, um den Bereich definierenden Bereich #1000h zu bilden. Das heißt, in diesem Fall werden 1000h bis 1FFFh und 48 Blöcke als ein Codebereich bzw. eine leere Kapazität in den Bereich definierenden Bereich #1000h geschrieben. Die leere Kapazität ist um einen einzelnen Block kleiner als die vom Verwalter A abgeteilte Zahl von 49 Blöcken, da der Bereich definierende Bereich #1000h selbst einen einzelnen Block benutzt.
Wenn der Bereich definierende Bereich #1000h gebildet wird, wird die leere Kapazität des Bereich definierenden Bereichs #0000h des Verwalters A um dem Verwalter B2 zugeteilte 33 Blöcke reduziert.
Wenn der Bereich definierende Bereich #0100h oder #1000h wie vorstehend beschrieben gebildet wird, kann der Verwalter B1 oder 82 in der Schicht des Bereich definierenden Bereichs #0100h oder #1000h einen Bereich definierenden Bereich und einen Dienst definierenden Bereich als Kindschichten der vorstehenden Schicht bilden.
Wenn beispielsweise der Verwalter B1 dem Verwalter C die Identifikationscodes des Bereichs von 0300h bis 03FFh und 18 Blöcke zuteilt, wird die Bereich bildende Verarbeitung ausgeführt, um den Bereich definierenden Bereich #0300h zu bilden. Das heißt, in diesem Fall werden 0300h bis 03FFh und 17 Blöcke als ein Codebereich und eine leere Kapazität in den Bereich definierenden Bereich #0300h geschrieben. Die leere Kapazität ist um einen einzelnen Block kleiner als die vom Verwalter B1 zugeteilte Zahl von 18 Blöcken, da der Bereich definierende Bereich #0300h selbst einen einzelnen Block benutzt.
Wenn der Bereich definierende Bereich #0300h gebildet wird, wird die leere Kapazität des Bereich definierenden Bereichs #0100h des Verwalters B1 um die vom Verwalter C zugeteilte Zahl von 18 Blöcken reduziert. Das heißt, die leere Kapazität des Bereich definierenden Bereichs #0100h ist, wie vorstehend beschrieben, gleich 32 Blöcke, wenn der Bereich definierende Bereich #0100h gebildet wird. Wie jedoch in 5 gezeigt, werden 18 Blöcke von der leeren Kapazität reduziert, und so ist die leere Kapazität gleich 14 Blöcke.
Als Nächstes wird die Dienst bildende Verarbeitung unter Bezugnahme auf das Flussdiagramm der 8 beschrieben.
Wenn die IC-Karte 2 in die registrierte Kartenausgabemaschine 101 eingesetzt ist, überträgt die registrierte Kartenausgabemaschine 101 zur die IC-Karte 2 einen Befehl, der instruiert, einen Dienst bildenden Bereich zu bilden, (nachstehend als Dienst bildender Befehl bezeichnet), eine zum Bilden des Dienst definierenden Bereichs notwendige Information, das heißt einen Dienstcode des zu bildenden Dienst definierenden Bereichs, die dem Dienst definierenden Bereich zugeordnete Zahl von Blöcken (nachstehend als Zuordnungsblockzahl bezeichnet), den Dienstschlüssel, den Bereichcode des Bereich definierenden Bereichs der Schicht, in welcher der Dienst definierende Bereich gebildet ist, (nachstehend als Vaterbereichcode bezeichnet), usw. zu übertragen.
Hier ist es vom Gesichtspunkt der Sicherheit zu bevorzugen, dass zum Bilden des Dienst definierenden Bereichs notwendige Information zur IC-Karte übertragen wird, während sie durch Benutzung des gleichen Schlüssels wie der in dem Bereich definierenden Bereich, der den Vaterbereichcode wie im Fall der Bereich bildenden Verarbeitung aufweist, gespeicherte Bereichsschlüssel verschlüsselt wird.
Wenn der Dienst bildende Befehl empfangen wird, decodiert die IC-Karte 2 (Sequenzer 91) die zusammen mit dem Dienst bildenden Befehl übertragene verschlüsselte Information und erkennt dadurch den Vaterbereichcode, den Dienstcode. die Zuordnungsblockzahl und den Dienstschlüssel des zu bildenden Dienst definierenden Bereichs.
In der IC-Karte 2 wird beim Schritt S11 entschieden, ob der zu bildenden Dienst definierende Bereich im EEPROM 66 gebildet worden ist. Das heißt, es wird beim Schritt S11 entschieden, ob ein Dienst definierender Bereich, der den gleichen Dienstcode wie der zu bildenden Dienst definierende Bereich aufweist, schon gebildet worden ist.
Wenn beim Schritt S11 entschieden worden ist, dass der zu bildende Dienst definierende Bereich schon gebildet worden ist, wird die Dienst bildende Verarbeitung beendet. Das heißt, wenn der zu bildende Dienst definierende Bereich schon gebildet worden ist, wird die nachfolgende Verarbeitung nicht ausgeführt, da es nicht notwendig ist, den gleichen Dienst definierenden Bereich doppelt zu bilden.
Wenn außerdem beim Schritt S11 entschieden wird, dass der zu bildendende Dienst definierende Bereich nicht gebildet worden ist, geht die Verarbeitung zum Schritt S12, um zu entscheiden, ob der Dienstcode des zu bildenden Dienst definierenden Bereichs und die Zuordnungsblockzahl (Kapazität) richtig sind oder nicht. Das heißt, es wird beim Schritt S12 entschieden, ob der Dienstcode des zu bildenden Dienst definierenden Bereichs in dem den Vaterbereichcode aufweisenden Dienst definierenden Bereich enthalten ist und die Zuordnungsblockzahl des zu bildenden Dienst definierenden Bereichs unter der in dem den Vaterbereichcode aufweisenden Dienst definierenden Bereich gespeicherten leeren Kapazität ist.
Wenn beim Schritt S12 entschieden wird, dass der Dienstcode des zu bildenden Dienst definierenden Bereichs und die Zuordnungsblockzahl nicht richtig sind, das heißt, wenn der Dienstcode des zu bildenden Dienst definierenden Bereichs nicht in dem im Bereich definierenden Bereich der Vaterschicht gespeicherten Codebereich enthalten ist oder die Zuordnungsblockzahl des zu bildenden Dienst definierenden Bereichs die in dem Bereich definierenden Bereich der Vaterschicht gespeicherte leere Kapazität überschreitet, geht die Verarbeitung zum Schritt S13, um die Fehlerverarbeitung auszuführen, und dann wird die Bereich bildende Verarbeitung beendet. Das heißt, es wird eine Nachricht, bei der ein Dienst definierender Bereich in der Schicht des Bereich definierenden Bereichs der Vaterschicht nicht ausgebildet werden kann, zur registrierten Kartenausgabemaschine 101 übertragen. Demgemäss kann in diesem Fall ein Dienst definierender Bereich nicht gebildet werden.
Wenn andererseits beim Schritt S12 entschieden wird, dass der Dienstcode des zu bildenden Dienst definierenden Bereichs und die Zuordnungsblockzahl richtig sind, das heißt, wenn der Dienstcode des zu bildenden Dienst definierenden Bereichs in dem Code enthalten ist, der in dem den Vaterbereichcode aufweisenden Bereich definierenden Bereich gespeichert ist, und die Zuordnungsblockzahl des zu bildenden Dienst definierenden Bereichs unter der im Bereich definierenden Bereich des Vaterbereichcodes gespeicherten leeren Kapazität ist, geht die Verarbeitung zum Schritt S14, bei dem der zu bildende Dienst definierende Bereich in der Schicht des den Vaterbereichcode aufweisenden Dienst definierenden Bereichs gebildet wird.
Das heißt, beim Schritt S14 wird der unterste Block (ein die größte logische Adresse aufweisender leerer Block) in den leeren Blöcken des EEPROM 66 (4) als der mit dem zu bildenden Dienst definierenden Bereich korrespondierende Dienst definierende Block gesichert. Außerdem werden der Dienstcode, die Kapazität, der Dienstschlüssel usw. in den Dienst definierenden Block geschrieben. In diesem Fall werden beim Schritt S14 der Dienstcode und der Dienstschlüssel, die von der registrierten Kartenausgabemaschine 101 übertragen werden, direkt geschrieben. Der durch Subtraktion von der von der registrierten Kartenausgabemaschine 101 übertragenen Zuordnungsblockzahl um 1 erhaltene Wert wird als die Kapazität geschrieben. Der durch Subtraktion der Zuordnungsblockzahl um 1 erhaltene Wert wird geschrieben, da der zu bildende Dienst definierende Bereich einen einzelnen Block benutzt.
Beim Schritt S14 werden leere Blöcke, deren Zahl mit der in den so gebildeten Dienst definierenden Bereich geschriebenen Kapazität korrespondiert, in Logikadressen-Zunahmeordnung ausgewählt und als Benutzerblöcke gesichert, die den vom Dienst definierenden Bereich verwalteten Dienstbereich bilden. Danach geht die Verarbeitung zum Schritt S15.
Beim Schritt S15 wird die leere Kapazität des den Vaterbereichcode aufweisenden Bereich definierenden Bereichs neu geschrieben, und die Dienst bildende Verarbeitung wird beendet. Das heißt beim Schritt S15 wird der durch Subtraktion der Zuordnungsblockzahl von der leeren Kapazität des den Vaterbereichcode aufweisenden Bereich definierenden Bereichs erhaltene Wert als die leere Kapazität des Bereich definierenden Bereichs neu geschrieben.
Die Dienst definierenden Bereiche #0008h, #1022h, #030Ch der in 5 gezeigten Verwalter A, B2, C werden durch Ausführen der vorstehenden Dienst bildenden Verarbeitung gebildet.
Das heißt, wenn der Verwalter A seine Dienste unter Verwendung des Identifikationscodes von 000Bh und der Kapazität von 9 Blöcken in seinen Ressourcen zuführt, wird die Dienst bildende Verarbeitung ausgeführt, um den Dienst definierenden Bereich #0008h zu bilden, und 8 Blöcke werden in den Dienst definierenden Bereich #0008h als Kapazität geschrieben. Außerdem werden acht leere Blöcke als Benutzerblöcke gesichert und als ein vom Dienst definierenden Bereich #0008h verwalteter Dienstbereich gesetzt. Die in den Dienst definierenden Bereich #0008h geschriebene Kapazität ist um einen einzelnen Block kleiner als die Zahl von 9 Blöcken, da der Dienst definierende Bereich #0008h einen einzelnen Block benutzt.
Wenn der Dienst definierende Bereich #0008h gebildet wird, wird die leere Kapazität des Bereich definierenden Bereichs #0000h des Verwalters A um neun Blöcke, die dem Dienst definierenden Bereich #0008h zugeteilt sind, reduziert.
Wie vorstehend beschrieben kann der Verwalter A Dienste durch Benutzung des Dienstbereichs von acht Blöcken, der vom Dienst definierende n Bereich #0008h verwaltet wird, zuführen.
Wenn der Verwalter B2 Dienste durch Benutzung des Identifikationscodes von 1022h und einer Kapazität von 5 Blöcken in seinen Ressourcen zuführt, wird die Dienst bildende Verarbeitung ausgeführt, um den Dienst definierenden Bereich #1022h zu bilden, und in den Dienst definierenden Bereich #1022h werden 4 Blöcke als Kapazität geschrieben. Außerdem werden vier leere Blöcke als Benutzerblöcke gesichert, und sie werden als ein vom Bereich definierenden Bereich #1022h verwalteter Dienstbereich gesetzt. Die in den Dienst definierenden Bereich #1022h geschriebene Kapazität ist um einen einzelnen Block kleiner als die Zahl von 5 Blöcken, da der Dienst definierende Bereich #1022h selbst einen einzelnen Block benutzt.
Wenn der Dienst definierende Bereich #1022h gebildet wird, wird die leere Kapazität des Bereich definierenden Bereichs #1000h des Verwalters B2 um 5 Blöcke, die dem Dienst definierenden Bereich #1022h zugeteilt werden, reduziert. Das heißt, die leere Kapazität ist, wie vorstehend beschrieben, zu dem Zeitpunkt, bei dem der Bereich definierende Bereich #1000h gebildet wird, gleich 48 Blöcke, jedoch ist sie um 5 Blöcke reduziert und so, wie in 5 gezeigt, gleich 43 Blöcke.
Wie vorstehend beschrieben kann der Verwalter B2 Dienste durch Benutzung des Dienstbereiches von vier Blöcken, die vom Dienst definierenden Bereich #1022h verwaltet werden, zuführen.
Wenn außerdem der Verwalter C Dienste durch Benutzung beispielsweise des Identifikationscodes von 030Ch und der Kapazität von 17 Blöcken in seinen Ressourcen zuführt, wird die Dienst bildende Verarbeitung ausgeführt, um den Dienst definierenden Bereich #030Ch zu bilden, und es werden in den Dienst definierenden Bereich #030Ch 16 Blöcke als Kapazität geschrieben. Außerdem werden 16 leere Blöcke als Benutzerblöcke gesichert, und sie werden als ein Dienstbereich, der vom Bereich definierenden Bereich #030Ch verwaltet wird, gesetzt. Die in den Dienst definierenden Bereich #030Ch geschriebene Kapazität ist um einen einzelnen Block kleiner als die Zahl von 17 Blöcken, da der Dienst definierende Bereich #030Ch selbst einen einzelnen Block benutzt.
Wenn der Dienst definierende Bereich #030Ch gebildet wird, wird die leere Kapazität des Bereich definierenden Bereichs #0300h des Verwalters C um 17 Blöcke, die dem Dienst definierenden Bereich #030Ch zugeteilt werden, reduziert. Das heißt, die leere Kapazität ist, wie vorstehend beschrieben, zu dem Zeitpunkt, bei dem der Bereich definierende Bereich #0300h gebildet wird, gleich 17 Blöcke, jedoch ist sie um 17 Blöcke reduziert und so, wie in 5 gezeigt, gleich null.
Wie vorstehend beschrieben kann der Verwalter C Dienste durch Benutzung des Dienstbereichs von 16 Blöcken, der vom Dienst definierenden Bereich #030Ch verwaltet wird, zuführen.
Wie vorstehend beschrieben wird der EEPROM 66 auf der Basis des Dienst definierenden Bereichs, in welchem der Codebereich und die leere Kapazität gespeichert sind, verwaltet, so dass das Ressourcenverwaltung der IC-Karte 2 ausgeführt werden kann. Das heißt, es können die Kapazität und Identifikationscodes, die in der Schicht eines Dienst definierenden Bereichs benutzbar sind, beschränkt werden. Als Resultat kann, selbst wenn der Verwalter einen Teil von ihm zugeordneten Ressourcen (in diesem Fall Kapazität und Identifikationscodes, die benutzbar sind) einem anderen Verwalter zuteilt, so dass die IC-Karte 2 gemeinsam benutzbar ist, verhindert werden, dass der Identifikationscode zwischen unterschiedlichen Verwaltern überlappt wird, und es kann verhindert werden, dass der Verwalter den EEPROM 66 mit übermäßiger Kapazität, die durch einen Vertrag oder dgl. vorbestimmt ist, benutzt.
In der IC-Karte 2 weist der Speicherbereich des EEPROM 66 die Schichtstruktur auf, in welcher der Bereich definierende Bereich wie in Bezug auf 5 beschrieben geschichtet ist, und Schlüssel zur Zertifizierung (bei dieser Ausführungsform sind ein Schlüssel für einen Bereich definierenden Bereich und ein Schlüssel für einen Dienst definierenden Bereich als ein Bereichschlüssel bzw. ein Dienstschlüssel bezeichnet) sind im Bereich definierenden Bereich bzw. Dienst definierenden Bereich gespeichert, so dass eine Zugriffssteuerung, die bei der IC-Karte 2 hoch in der Flexibilität und Sicherheit ist, ausgeführt werden kann.
Das heißt, es kann eine Zugriffsteuerung, die bei der IC-Karte 2 hoch in der Flexibilität und Sicherheit ist, durch wie in 9 gezeigte Abgabe von Information zwischen Verwaltern implementiert werden.
Insbesondere bestimmt der Verwalter A, der auch als der Ausgeber der IC-Karte 2 dient, einen im System definierenden Block des EEPROM 66 (4) zu speichernden Systemschlüssel und einen Bereichschlüssel des Bereich definierenden Bereichs #0000h seiner selbst und speichert den Systemschlüssel im System definierenden Block, während er den Bereichschlüssel #0000h im Bereich definierenden Bereich #0000h speichert. Hier wird der Bereichschlüssel des Bereich definierenden Bereichs #xxxxh nachstehend als Bereichschlüssel #xxxxh bezeichnet.
Außerdem verschlüsselt der Verwalter A den Systemschlüssel mit dem Bereichschlüssel #0000h und erzeugt einen Bereichzwischenschlüssel K_A, Als ein Verschlüsselungsverfahren können DES (Data Encryption Standard (Datenverschlüsselungsstandard)), FEAL (Fast Data Encipherment Algorithm (schneller Datenentzifferungsalgorithmus)) oder dgl. benutzt werden.
Wenn der Verwalter A seine Ressourcen dem Verwalter B1 zuteilt, gibt der Verwalter A den Bereichzwischenschlüssel K_A zum Verwalter B1. Außerdem bestimmt der Verwalter A den Bereichschlüssel #0100h des Verwalters B1 und gibt (verteilt) ihn zum Verwalter B1 zusammen mit seinem Bereichcode #0000h.
Demgemäss kann der Verwalter B1 den Bereichzwischenschlüssel K_A und seinen Bereichschlüssel #0100h erkennen, jedoch kann er nicht den Systemschlüssel und den Bereichschlüssel #0000h des Verwalters A, der ein sogenannter Vater ist, erkennen. Jedoch ist der Bereichschlüssel #0100h des Verwalters B durch den Verwalter A, der als ein Vater dient, dem Verwalter B1, der als sogenannter Vater bzw. sogenanntes Kind dient, gegeben, und so erkennt der Verwalter A, der als der Vater dient, den Bereichschlüssel #0100h des Verwalters B1, der als das Kind dient.
Der vom Verwalter A dem Verwalter B1 gegebene Bereichschlüssel #0100h wird durch die Bereich bildende Verarbeitung (7) des Bereich definierenden Bereichs #0100h des Verwalters B1 in den Bereich definierenden Bereich #0100h geschrieben.
Der Verwalter B1 verschlüsselt den vom als seine Vater dienenden Verwalter A erhaltenen Bereichzwischenschlüssel K_A auf der Basis des vom Verwalter A erhaltenen Bereichschlüssels #0100h, um einen Bereichzwischenschlüssel K_A1 zu erzeugen.
Der Verwalter A gibt auch den Bereichzwischenschlüssel K_A dem Verwalter 82, wenn er seine Ressourcen dem Verwalter B2 zuteilt. Außerdem bestimmt der Verwalter A den Bereichschlüssel #1000h des Verwalters B2 und gibt ihn dem Verwalter B2 zusammen mit seinem Bereichcode #0000h.
Demgemäss kann der Verwalter B2 den Bereichzwischenschlüssel K_A und seinen Bereichschlüssel #1000h erkennen, er kann jedoch nicht den Systemschlüssel und den Bereichschlüssel #0000h des als der Vater dienenden Verwalters A erkennen. Da jedoch der Bereichschlüssel #1000h des Verwalters B2 von dem als der Vater dienenden Verwalter A dem als das Kind dienenden Verwalter B2 gegeben wird, erkennt der als der Vater dienende Verwalter A den Bereichschlüssel #1000h des als das Kind dienenden Verwalters B2.
Der vom Verwalter A dem Verwalter B2 gegebene Bereichschlüssel #1000h wird bei der Bereich bildenden Verarbeitung des Bereich definierenden Bereichs #1000h des Verwalters B2 in seinen Bereich definierenden Bereich #1000h geschrieben.
Der Verwalter B2 verschlüsselt den vom als sein Vater dienenden Verwalter A erhaltenen Bereichzwischenschlüssel K_A auf der Basis des vom Verwalter A erhaltenen Bereichschlüssels #1000h, um einen Bereichzwischenschlüssel K_B2 zu erzeugen.
Wenn andererseits der Verwalter B1 seine Ressourcen dem Verwalter C zuteilt, gibt der Verwalter B1 den Bereichzwischenschlüssel K_B1 dem Verwalter C. Außerdem bestimmt der Verwalter B1 den Bereichschlüssel #0300h des Verwalters C und gibt ihn dem Verwalter C zusammen mit seinem Bereichcode #0100h und dem Bereichcode #0000h des als der Vater dienenden Verwalters A.
Demgemäss kann der Verwalter C den Bereichzwischenschlüssel K_B1 und dessen Bereichschlüssel #03000h bzw. #0300h erkennen, er kann jedoch den Bereichschlüssel #0100h des als der Vater dienenden Verwalters B1 nicht erkennen. Da jedoch der Bereichschlüssel #0100h von dem als der Vater dienenden Verwalter B1 dem als Kind dienenden Verwalter C gegeben wird, erkennt der als der Vater dienende Verwalter B1 den Bereichschlüssel #0300h des als das Kind dienenden Verwalters C.
Der vom Verwalter B1 dem Verwalter C gegebene Bereichschlüssel #0300h wird durch die Bereichbildungsverarbeitung des Bereich definierenden Bereichs #0300h des Verwalters C in seinen Bereich definierenden Bereich #0300h geschrieben.
Der Verwalter C verschlüsselt den vom als der Vater dienenden Verwalter B1 erhaltenen Bereichzwischenschlüssel K_S1 auf der Basis des vom Verwalter B1 erhaltenen Bereichschlüssels #0300h, um einen Bereichzwischenschlüssel K zu erzeugen.
Wenn der Verwalter A seine Dienste durch Benutzung des Dienstbereichs, der wie in 10 gezeigt durch den in der Schicht seines Bereich definierenden Bereichs #0000h gebildeten Dienst definierenden Bereich #000Bh verwaltet wird, zuführt, verschlüsselt der Verwalter A den im Dienst definierenden Bereich #0008h gespeicherten Dienstschlüssel (der im Dienst definierenden Bereich #xxxxh gespeicherte Dienstschlüssel wird nachstehend als Dienstschlüssel #xxxxh bezeichnet) auf der Basis des Bereichzwischenschlüssels K_A, um einen Dienstzwischenschlüssel K_#0008h zu erzeugen, und registriert ihn in einer Dienstzuführmaschine 111 zusammen mit dem Bereichzwischenschlüssel K_A. Außerdem registriert der Verwalter A den Bereichcode 0000h seines Bereich definierenden Bereichs #0000h und den Dienstcode #000Bh des in der Schicht des Bereich definierenden Bereichs #0000h gebildeten Dienst definierenden Bereichs #0008h in der Dienstzuführmaschine 111.
Hier ist die Dienstzuführmaschine 111 beispielsweise aus dem R/W 1 und dem Kontroller 3, die in 1 gezeigt sind, gebildet, und Daten werden von einem/in einen vorbestimmten Dienstbereich zum Zuführen eines vorbestimmten Dienstes gelesen/geschrieben.
Wenn in diesem Fall die IC-Karte 2 in die Dienstzuführmaschine 111 eingesetzt wird, wird die folgende gegenseitige Zertifizierung zwischen der Dienstzuführmaschine 111 und der IC-Karte 2 ausgeführt.
Das heißt, die wie in 11 gezeigte Dienstzuführmaschine 111 Überträgt den Bereichcode #0000h und den Dienstcode #0008h, die in der IC-Karte 2 registriert sind. In der IC-Karte 2 (Sequenzer 91) werden der Bereichcode #0000h und der Dienstcode #0008h von der Dienstzuführmaschine 111 empfangen.
In der IC-Karte 2 wird der im System definierende Block (4) gespeicherte Systemschlüssel ausgelesen, und es wird auch der Bereichschlüssel #0000h von dem Bereich definierenden Bereich ausgelesen, der den von der Dienstzuführmaschine 111 empfangenen Bereichcode #0000h aufweist. Außerdem wird der Systemschlüssel auf der Basis des Bereichschlüssels #0000h verschlüsselt, so dass dieser Schlüssel als der in der Dienstzuführmaschine 111 der 10 registrierte Bereichzwischenschlüssel K_A erzeugt wird. Der gleiche Schlüssel wie der Bereichzwischenschlüssel K_A wird als ein zur Zertifizierung benutzter erster Zugriffschlüssel (Zertifizierungsschlüssel) K_bc gesetzt.
In der IC-Karte 2 wird der Dienstschlüssel #0008h vom Dienst definierenden Bereich, der den von der Dienstzuführmaschine 111 empfangenen Dienstcode #0008h aufweist, gelesen. Der Bereichzwischenschlüssel K_A wird auf der Basis des Dienstschlüssels #000Bh verschlüsselt, so dass der gleiche Schlüssel wie der in der Dienstzuführmaschine 111 der Ba..1Q registrierte Bereichzwischenschlüssel K_#0008h erzeugt wird. Der gleiche Schlüssel wie der Dienstzwischenschlüssel K_#0008h wird als ein zur Zertifizierung benutzter zweiter Zugriffsschlüssel K_ac gesetzt.
Demgemäss wird in diesem Fall in der Dienstzuführmaschine 111 der Bereichzwischenschlüssel K_A oder der Dienstzwischenschlüssel K_#0008h, der als der erste Zugriffsschlüssel K_bc oder der zweite Zugriffsschlüssel K_ac dient, registriert, wodurch der Bereichzwischenschlüssel K_A oder der Dienstzwischenschlüssel K_#0008h', der als der erste Zugriffsschlüssel K_bc oder der zweite Zugriffsschlüssel K_ac dient, in der IC-Karte 2 erzeugt.
Die Dienstzuführmaschine 111 zertifiziert beispielsweise die IC-Karte wie in 12 gezeigt.
Das heißt, in der Dienstzuführmaschine 111 wird eine Zufallszahl erzeugt, und sie wird entsprechend einem Algorithmus E1 umgesetzt. Das heißt, die Zufallszahl wird auf der Basis des zweiten Zugriffsschlüssels K_ac. verschlüsselt (beispielsweise DES-verschlüsselt), und das Verschlüsselungsresultat wird auf der Basis des ersten Zugriffsschlüssels K_bc. decodiert (beispielsweise DES-decodiert). Das Decodierungsresultat wird auf der Basis des zweiten Zugriffsschlüssels K_ac. verschlüsselt. Das auf dem Algorithmus E1 basierende Umsetzungsresultat der Zufallszahl wird zur IC-Karte 2 übertragen.
In der IC-Karte 2 wird das auf dem Algorithmus E1 basierende Umsetzungsresultat der Zufallszahl von der Diensteinrichtung 111 entsprechend dem Algorithmus D1 umgesetzt. Das heißt, das auf dem Algorithmus E1 basierende Umsetzungsresultat wird auf der Basis des zweiten Zugriffsschlüssels K_ac decodiert, und das Decodierungsresultat wird auf der Basis des ersten Zugriffsschlüssels K_bc verschlüsselt. Außerdem wird das Verschlüsselungsresultat auf der Basis des zweiten Schlüssels K_ac decodiert.
In der IC-Karte 2 wird das auf dem Algorithmus D1 basierende Umsetzungsresultat entsprechend dem Algorithmus E2 weiter umgesetzt Das heißt, das auf dem Algorithmus D1 basierende Umsetzungsresultat wird auf der Basis des ersten Zugriffsschlüssels K_bc verschlüsselt, und der erste Zugriffsschlüssel K_bc wird auf der Basis des zweiten Zugriffsschlüssels K_ac verschlüsselt. Das auf dem ersten Zugriffsschlüssel K_bc für das auf dem Algorithmus D1 basierende Umsetzungsresultat basierende Verschlüsselungsresultat wird auf der Basis des auf dem zweiten Zugriffsschlüssels K_ac des ersten Zugriffsschlüssel K_bc basierenden Verschlüsselungsresultats decodiert. Das Decodierungsresultat wird auf der Basis des ersten Zugriffsschlüssels K_bc verschlüsselt und zur Dienstsuchmaschine 111 übertragen.
In der Dienstzuführmaschine 111 wird das auf dem Algorithmus E2 basierende Umsetzungsresultat von der IC-Karte 2 entsprechend dem Algorithmus D2 umgesetzt. Das heißt, das auf dem Algorithmus E2 basierende Umsetzungsresultat wird auf der Basis des ersten Zugriffsschlüssels K_bc decodiert, und der erste Zugriffsschlüssel K_bc wird auf der Basis des zweiten Zugriffsschlüssels K_ac verschlüsselt. Das auf dem ersten Zugriffsschlüssel K_bc für das auf dem Algorithmus E2 basierende Umsetzungsresultat basierende Decodierungsresultat wird auf der Basis des Verschlüsselungsresultats des auf dem zweiten Zugriffsschlüssel K_ac basierenden ersten Zugriffsschlüssels K_bc verschlüsselt.
In der Dienstzuführmaschine 111 werden die originale Zufallszahl und das auf dem Algorithmus D2 basierende Umsetzungsresultat miteinander verglichen, um die IC-Karte 2 zu zertifizieren. Das heißt, wenn die originale Zahl mit dem auf dem Algorithmus D2 basierenden Umsetzungsresultat koinzidiert, wird erkannt, dass die IC-Karte 2 richtig ist Wenn sie andererseits nicht mit einander koinzident sind, wird die IC-Karte 2 als nicht richtig angesehen (ist sie beispielsweise gefälscht).
Wenn die IC-Karte 2 als richtig erkannt wird, wird die Zertifizierung des Dienstzuführmaschine 111 in der IC-Karte 2 beispielsweise wie in 13 gezeigt ausgeführt.
Das heißt, in der IC-Karte 2 wird die Zufallszahl erzeugt und die Zufallszahl entsprechend dem Algorithmus E2 umgesetzt und zur Dienstzuführmaschine 111 übertragen.
In der Dienstzuführmaschine 111 wird das auf dem Algorithmus E2 basierende Umsetzungsresultat der Zufallszahl von der IC-Karte 2 entsprechend dem Algorithmus D2 umgesetzt. Außerdem wird das auf dem Algorithmus D2 basierende Umsetzungsresultat entsprechend dem Algorithmus E1 umgesetzt und zur IC-Karte 2 übertragen.
In der IC-Karte 2 wird das auf dem Algorithmus E1 basierende Umsetzungsresultat von der Dienstzuführmaschine 111 entsprechend dem Algorithmus 01 umgesetzt, und das Umsetzungsresultat und die original Zufallszahl werden miteinander verglichen, um die Zertifizierung für die Dienstzuführmaschine 111 auszuführen. Das heißt, wenn die originale Zufallszahl mit dem auf dem Algorithmus D2 basierenden Umsetzungsresultat koinzidiert, wird die Dienstzuführmaschine 111 als richtig angesehen. Wenn sie andererseits nicht miteinander koinzident sind, wird die Dienstzuführmaschine 111 als nicht richtig (beispielsweise modifiziert) angesehen.
Wenn sowohl die IC-Karte 2 als auch die Dienstzuführmaschine 111 als richtig angesehen werden, wird in der IC-Karte 2 ein Zugriff nur auf den Dienstbereich, der von dem den von der Dienstzuführmaschine 111 übertragenen Dienstcode aufweisenden Dienst definierenden Bereich verwaltet wird, erlaubt. Demgemäss ist in dem in Bezug auf die 10 und 11 beschriebenen Fall ein Zugriff nur auf den vom Dienst definierenden Bereich #0008h verwalteten Dienstbereich möglich.
Das heißt, der Verwalter A, der den Bereichzwischenschlüssel K_A, den Bereichcode #0000h, den Dienstschlüssel #000Bh und den Dienstcode #0008h kennt, kann auf den vom Dienst definierenden Bereich #000Bh verwalteten Dienstbereich zugreifen. Jedoch kennt der Verwalter A weder den Dienstschlüssel #1022h noch den Dienstschlüssel #030Ch, so dass er grundsätzlich nicht auf den vom Dienst definierenden Bereich #1022h oder #030Ch verwalteten Dienstbereich zugreifen kann.
Wenn als Nächstes der Verwalter B2 seine Dienste durch Benutzung des Dienstbereichs, der von dem in der Schicht seines Bereich definierenden Bereichs #1000h ausgebildeten Dienst definierenden Bereich #1022h verwaltet wird, zuführt, verschlüsselt er den im Dienst definierenden Bereich #1022h auf der Basis des wie in 14 gezeigten Bereichzwischenschlüssels K_B2 gespeicherten Dienstschlüssel #1022h, um einen Dienstzwischenschlüssel K_#1022h zu erzeugen, und registriert ihn zusammen mit dem Bereichzwischenschlüssel K_B2 in der Dienstzuführmaschine 111. Der Verwalter B2 registriert in der Dienstzuführmaschine 111 den Bereichcode des Bereich definierenden Bereichs einer oberen Schicht über der Schicht seines Bereichs definierenden Bereichs #1000h, das heißt in diesem Fall, den Bereichcode #0000h des Bereich definierenden Bereichs #0000h des Verwalters A und den Bereichcode #1000h seines Bereich definierenden Bereichs #1000h und den Dienstcode #1022h des in der Schicht des Bereich definierenden Bereichs #1000h gebildeten Dienst definierenden Bereichs #1022h.
Wenn in diesem Fall die IC-Karte 2 in die Dienstzuführmaschine 111 eingesetzt wird, wird die folgende gegenseitige Zertifizierung zwischen der Dienstzuführmaschine 111 und der IC-Karte 2 ausgeführt.
Das heißt, die Dienstzuführmaschine 111 überträgt, wie in 15 gezeigt, die registrierten Bereichcodes #0000h und #1000h und den Dienstcode #1022h zur IC-Karte 2. In der IC-Karte 2 (Sequenzer 91) werden die Bereichcodes #0000h und #1000h und der Dienstcode #1022h von der Dienstzuführmaschine 111 empfangen.
In der IC-Karte 2 wird der im System definierenden Block (4) gespeicherte Systemschlüssel ausgelesen, und der Bereichschlüssel #0000h oder #1000h wird von dem Bereich definierenden Bereich, der den von der Dienstzuführmaschine 111 empfangenen Bereichcode #0000h oder #1000h aufweist, ausgelesen. Außerdem wird der Systemschlüssel auf der Basis des Bereichschlüssels #0000h verschlüsselt, so dass der gleiche Schlüssel wie der Bereichzwischenschlüsse I K_A erzeugt wird. Der gleiche Schlüssel wie der Bereichzwischenschlüssel K_A wird auf der Basis des Bereichschlüssels #1000h verschlüsselt, so dass der gleiche Schlüssel wie der in der Dienstzuführmaschine 111 der 4 registrierte Bereichzwischenschlüssel K_S2 erzeugt wird. Der gleiche Schlüssel wie der Bereichzwischenschlüssel K_S2 wird als ein zum Zertifizieren benutzter erster Zugriffschlüssel K_bc gesetzt.
In der IC-Karte 2 wird der Dienstschlüssel #1022h von dem Dienst definierenden Bereich, der den von der Dienstzuführmaschine 111 empfangenen Dienstcode #1022h aufweist, ausgelesen. Der gleiche Schlüssel wie der Bereichzwischenschlüssel K_B2 wird auf der Basis des Dienstschlüssels #1022h verschlüsselt, so dass der gleiche Schlüssel wie der in der Dienstzuführmaschine 111 der 14 registrierte Dienstzwischenschlüssel K_#1022h erzeugt wird. Der gleiche Schlüssel wie der Dienstzwischenschlüssel K_#1022h wird als ein zum Zertifizieren benutzter zweiter Zugriffsschlüssel K_ac gesetzt.
Demgemäss wird in diesem Fall in der Dienstzuführmaschine 111 der Bereichzwischenschlüssel K_B2 oder der Dienstzwischenschlüssel K_#1022h, welcher der erste Zugriffschlüssel K_bc oder der zweite Zugriffschlüssel K_ac ist, registriert, und in der IC-Karte 2 wird der Bereichzwischenschlüssel K_B2 oder der Dienstzwischenschlüssel K_#1022h, welcher der erste Zugriffschlüssel K_bc oder der zweite Zugriffschlüssel K_ac ist, erzeugt.
Die gegenseitige Zertifizierung wird zwischen der IC-Karte 2 und der Dienstzuführmaschine 111 wie in dem unter Bezugnahme auf die 12 und 13 beschriebenen Fall ausgeführt.
Als Resultat der gegenseitigen Zertifizierung wird in der IC-Karte 2, wenn sowohl die IC-Karte 2 als auch die Dienstzuführmaschine 111 als richtig erkannt werden, der Zugriff nur auf den Dienstbereich, der vom Dienst definierenden Bereich, welcher den von der Dienstzuführmaschine 111 übertragenen Dienstcode aufweist, verwaltet wird, erlaubt. Demgemäss ist im Fall der 14 und 15 der Zugriff nur auf den Dienstbereich, der vom Dienst definierenden Bereich #1022h verwaltet wird, möglich.
Das heißt, der Verwalter B2 der den Bereichzwischenschlüssel K_b2, die Bereichcodes #0000h, #1000h, den Dienstschlüssel #1022h und den Dienstcode #1022h kennt, kann auf den vom Dienst definierenden Bereich #1022h verwalteten Dienstbereich zugreifen. Jedoch kennt der Verwalter B2 weder den Dienstschlüssel #0008h noch #030Ch, und so kann er grundsätzlich nicht auf den von den Dienst definierenden Bereichen #0008Bh und #030Ch verwalteten Dienstbereich zugreifen.
Wenn als Nächstes der Verwalter C die Dienste unter Benutzung des Dienstbereich, der von dem in der Schicht seines Bereich definierenden Bereichs #0300h gebildeten Dienst definierenden Bereichs #030Ch verwaltet wird, zuführt, verschlüsselt er, wie in 16 gezeigt, den im Dienst definierenden Bereich #030Ch gespeicherten Dienstschlüssel #030Ch auf der Basis des Bereichzwischenschlüssels K_c, um einen Dienstzwischenschlüssel K_#030Ch zu erzeugen, und registriert ihn zusammen mit dem Bereichzwischenschlüssels K_c in der Dienstzuführmaschine 111. Der Verwalter C registriert auch in der Dienstzuführmaschine 111 den Bereichcode des Bereich definierenden Bereichs einer oberen Schicht über der Schicht seines Bereich definierenden Bereichs #0300h, das heißt in diesem Fall den Bereichcode #0000h des Bereich definierenden Bereichs #0000h des Verwalters A, den Bereichcode #0100h des Bereich definierenden Bereichs #0100h des Verwalters B1, den Bereichcode #0300h seines Bereich definierenden Bereichs #0300h und den Dienstcode #030Ch des in der Schicht des Bereich definierenden Bereichs #0300h gebildeten Dienst definierenden Bereichs #030Ch.
Wenn in diesem Fall die IC-Karte 2 In die Dienstzuführmaschine 111 eingesetzt wird, wird die folgende gegenseitige Zertifizierung zwischen der Dienstzuführmaschine 111 und der IC-Karte 2 ausgeführt.
Das heißt, es werden, wie in der 17 gezeigt, die registrierten Bereichcodes #0000h, #0100h und #0300h und der Dienstcode #030Ch zur IC-Karte 2 übertragen. In der LC-Karte 2 (Sequenzer 91) werden die Bereichcodes #0000h, #0100h und #0300h und der Dienstcode #030Ch von der Dienstzuführmaschine 111 empfangen.
In der LC-Karte 2 wird der im System definierenden Block (4) gespeicherte Systemschlüssel ausgelesen, und es wird auch der Bereichschlüssel #0000h, #0100h oder #0300h von dem Bereich definierenden Bereich, der den von der Dienstzufuhreinrichtung 111 empfangenen Bereichcode #0000h, #0100h oder #0300h aufweist, ausgelesen. Außerdem wird der Systemschlüssel auf der Basis des Bereichschlüssels #0000h verschlüsselt, so dass der gleiche Schlüssel wie der Bereichzwischenschlüssel K_A erzeugt wird. Der gleiche Schlüssel wie der Bereichzwischenschlüssel K_A wird auf der Basis des Bereichschlüssels #0100h verschlüsselt, so dass der gleiche Schlüssel wie der Bereichzwischenschlüssel K_S1 erzeugt wird. Der gleiche Schlüssel wie der Bereichzwischenschlüssel K_S1 wird auf der Basis des Bereichschlüssels #0300h verschlüsselt, so dass der gleiche Schlüssel wie der in der Dienstzuführmaschine 111 der 16 registrierte Bereichzwischenschlüssel K_c erzeugt wird. Der gleiche Schlüssel wie der Bereichzwischenschlüssel K wird als ein zum Zertifizieren benutzter erster Zugriffsschlüssel K_oc gesetzt.
In der IC-Karte 2 wird der Dienstschlüssel #030Ch vom Dienst definierenden Bereich, der den von der Dienstzuführmaschine 111 empfangenen Dienstcode #030Ch aufweist, ausgelesen. Der Bereichzwischenschlüssel K_c wird auf der Basis des Dienstschlüssels #030Ch verschlüsselt, wobei der gleiche Schlüssel wie der in der Dienstzuführmaschine 111 der 16 registrierte Dienstzwischenschlüssel K_#030Ch erzeugt wird. Der gleiche Schlüssel wie der Dienstzwischenschlüssel K_#030Ch wird als ein zum Zertifizieren benutzter zweiter Zugriffsschlüssel K_ac gesetzt.
Demgemäss wird im vorstehenden Fall der Bereichzwischenschlüssel K_c oder der Dienstzwischenschlüssel K_#030Ch, welcher der erste Zugriffsschlüssel Kir. oder der zweite Zugriffsschlüssel K_bc ist, in der Dienstzuführmaschine 111 registriert, und in der IC-Karte 2 wird der Bereichzwischenschlüssel K_c oder der Dienstzwischenschlüssel K_#030Ch, welcher der erste Zugriffsschlüssel K_oc oder der zweite Zugriffsschlüssel K_ac ist, erzeugt.
Die gegenseitige Zertifizierung wird zwischen der IC-Karte 2 und der Dienstzuführmaschine 111 wie im Fall der 12 und 13 ausgeführt.
Als Resultat der gegenseitigen Zertifizierung ist bei der IC-Karte 2, wenn sowohl die LC-Karte 2 als auch die Dienstzuführmaschine als richtig erkannt werden, ein Zugriff nur auf den vom Dienst definierenden Bereich, der den von der Dienstzuführmaschine 111 übertragenen Dienstcode aufweist, verwalteten Dienstbereich erlaubt. Demgemäss ist im Fall der 16 und 17 der Zugriff nur auf den vom Dienst definierenden Bereich #030Ch verwalteten Dienstbereich möglich.
Das heißt, der Verwalter C, der den Bereichzwischenschlüssel K_c, die Bereichcodes #0000h, #0100h, #0300h, den Dienstschlüssel #030Ch und den Dienstcode #030Ch kennt, kann auf den vom Dienst definierenden Bereich #030Ch verwalteten Dienstbereich zugreifen. Jedoch kennt der Verwalter C weder den Dienstschlüssel #0008h noch den Dienstschlüssel #1022Ch, und er kann grundsätzlich nicht auf den vom Dienst definierenden Bereich #0008h oder #1022Ch verwalteten Dienstbereich zugreifen.
Wie vorstehend beschrieben kann der Verwalter auf seinen Dienstbereich zugreifen, selbst wenn er den Bereichschlüssel der oberen Schicht nicht kennt.
Wie vorstehend beschrieben kann jeder Verwalter auf keinen Dienstbereich, der von einem Dienst definierenden Bereich, für den der Verwalter nicht den Dienstschlüssel hat, verwaltet wird, zugreifen. Jedoch gibt es beispielsweise den Fall, bei dem der Verwalter C wünscht, nicht nur Dienste unter Benutzung des von seinem Dienst definierenden Bereich #030Ch verwalteten Dienstbereichs, sondern auch Dienste unter Verwendung des vom Dienst definierenden Bereich #1022h des Verwalters B verwalteten Dienstbereichs auszuführen.
Damit in diesem Fall der Verwalter C auf den vom Dienst definierenden Bereich #1022h verwalteten Dienstbereich zugreifen kann, ist es für den Verwalter C notwendig, den Bereichzwischenschlüssel K_B2, die Bereichcodes #0000h, #1000h, den Dienstschlüssel #1022h und den Dienstcode #1022h wie unter Bezugnahme auf die 14 und 15 beschrieben zu kennen. Demgemäss ist es notwendig, diese Information vom Verwalter B2 zu gewinnen.
Jedoch ist der dem Verwalter B2 bekannte Dienstschlüssel #1022h selbst dem als der Vater des Verwalters B2 dienenden Verwalter A nicht bekannt, und infolgedessen ist es vom Gesichtspunkt der Sicherheit nicht vorteilhaft, dass der Dienstschlüssel #1022h, der nur dem Verwalter B2 bekannt sein kann, dem Verwalter C mitgeteilt wird.
Selbst wenn in diesem Fall das Sicherheitsproblem vernachlässigt wird, ist es, damit der Verwalter C auf beide der vom Dienst definierenden Bereich #030Ch bzw. #1022h verwalteten zwei Dienstbereiche zugreifen kann, notwendig, die in 15 gezeigte Verarbeitung in der IC-Karte 2 auszuführen, um den ersten Zugriffschlüssel K_bc und den zweiten Zugriffschlüssel K_ac zu erzeugen, und eine gegenseitige Zertifizierung für einen Zugriff auf den vom Dienst definierenden Bereich #030Ch verwalteten Dienstbereich auszuführen, und auch die in 17 gezeigte Verarbeitung auszuführen, um den ersten Zugriffschlüssel K_bc und den zweiten Zugriffschlüssel K_ac zu erzeugen, und eine gegenseitige Zertifizierung für einen Zugriff auf den vom Dienst definierenden Bereich #1022h verwalteten Dienstbereich auszuführen.
Wenn demgemäss die gegenseitige Zertifizierung für einen Zugriff auf einen Dienstbereich bei jedem Dienstbereich ausgeführt wird, ist es schwierig, schnell auf den Dienstbereich zuzugreifen. Als Resultat ist es, wenn das Kartensystem der 1 zur Prüfung von Fahrkarten in einem Bahnhof angewendet wird, schwierig, auf einen vorbestimmten Dienstbereich der IC-Karte 2 zuzugreifen und während einer relativ kurzen Dauer, in der ein Pendler durch einen bei einer Kartensperre vorgesehenen Durchgang geht, zu schreiben oder zu lesen.
Deshalb wird in dem Fall, bei dem der Verwalter C nicht nur Dienste unter Verwendung des von seinem Dienst definierenden Bereich #030Ch verwalteten Dienstbereichs, sondern auch Dienste unter Verwendung des vom Dienst definierenden Bereich #1022h des Verwalters B2 verwalteten Dienstbereichs zuführt, zum Lösen des Sicherheitsproblems und zur Sicherstellung eines schnellen Zugriffs auf den Dienstbereich eine wie in 18 gezeigte Informationsabgabe zwischen den Verwaltern C und B2 ausgeführt und in der Dienstzuführmaschine 111 registriert.
Das heißt, der Verwalter C verschlüsselt wie im Fall der 16 den im Dienst definierenden Bereich #030Ch auf de r Basis des Bereichzwischenschlüssels K_c gespeicherten Dienstschlüssel #030Ch, um den Dienstzwischenschlüssel K_#4030Ch zu erzeugen. Außerdem gibt der Verwalter C den Dienstzwischenschlüssel K_#030Ch an den Verwalter B2 ab, um ihn auf der Basis des Dienstschlüssels #1022h zu verschlüsseln. Der Verwalter C empfangt den Dienstzwischenschlüssel K_#1022h, der ein Verschlüsselungsresultat des Dienstzwischenschlüssels K_#030Ch auf der Basis des Dienstschlüssels #1022h ist, zusammen mit dem Dienstcode #1022h.
Demgemäss werden nur die Dienstzwischenschlüssel und zwischen den Verwaltern C und B2 abgegeben, und es gibt weder den Fall, bei dem der nur dem Verwalter C bekannte Dienstschlüssel #030Ch dem Verwalter B2 bekannt ist, noch den Fall, bei dem der nur dem Verwalter B2 bekannte Dienstschlüssel #1022h dem Verwalter C bekannt ist. Das heißt, es gibt kein Problem bei der Sicherheit.
Der Verwalter C, der den Dienstzwischenschlüssel K_#1022h und den Dienstcode #1022h vom Verwalter B2 empfangt, registriert in der Dienstzuführmaschine 111 die Bereichcodes der Bereich definierenden Bereiche in oberen Schichten über der Schicht seines Bereich definierenden Bereichs #0300h, das heißt in diesem Fall den Bereichcode #0000h des Bereich definierenden Bereichs #0000h des Verwalters A, den Bereichcode 0100h des Bereich definierenden Bereichs #0100h des Verwalters B1 und den Bereichcode #0300h des Bereich definierenden Bereichs #0300h des Verwalters C. Außerdem registriert der Verwalter C in der Dienstzuführmaschine 111 den Bereichzwischenschlüssel K_c und den Dienstcode #030Ch des in der Schicht des Bereich definierenden Bereichs #0300h gebildeten Dienst definierenden Bereichs #030Ch.
Wenn in diesem Fall die Dienstzuführmaschine 111 in die IC-Karte 2 eingesetzt wird, wird die folgende gegenseitige Zertifizierung zwischen der Dienstzuführmaschine 111 und der IC-Karte 2 ausgeführt.
Das heißt, die Dienstzuführmaschine 111 überträgt, wie in 19 gezeigt, zur IC-Karte 2 die registrierten Bereichcodes #0000h, #0100h und #0300h und die Dienstcodes #030Ch und #1022h. Von der Dienstzuführmaschine 111 werden die Bereichcodes #0000h, #0100h und #0300h und die Dienstcodes #030Ch und #1022h in der IC-Karte 2 (Sequenzer 91) erhalten.
In der IC-Karte 2 wird der im System definierenden Block (4) gespeicherte Systemschlüssel ausgelesen, und der Bereichschlüssel #0000h, #0100h oder #0300h wird von dem Bereich definierenden Bereich, der den Bereichcode #0000h, #0100h oder #0300h, die von der Dienstzufuhreinrichtung 111 empfangen werden, aufweist, ausgelesen, und der gleiche Schlüssel wie der in der Dienstzuführmaschine 111 der 18 registrierte Bereichzwischenschlüssel K_c wird wie im Fall der 17 erzeugt. Der gleiche Schlüssel wie der Bereichzwischenschlüssel K_c wird als ein zur Zertifizierung benutzter erster Zugriffschlüssel K_bc gesetzt.
In der IC-Karte 2 wird der Dienstschlüssel #030Ch oder #1022h von dem Dienst definierenden Bereich, der den von Dienstzuführmaschine 111 empfangenen Dienstcode #030Ch bzw. #1022h aufweist, ausgelesen. Der Bereichzwischenschlüssel K_c wird auf der Basis des Dienstschlüssels #030Ch verschlüsselt und als ein Resultat des gleichen Schlüssels wie der Dienstzwischenschlüssel K_#030Ch erzeugt. Außerdem wird der gleiche Schlüssel wie der Dienstzwischenschlüssel K_#030Ch auf der Basis des Dienstschlüssels #1022h verschlüsselt, und es wird der gleiche Schlüssel wie der in der Dienstzuführmaschine 111 der 18 registrierte Dienstzwischenschlüssel K_#1022h erzeugt. Der gleiche Schlüssel wie der Dienstzwischenschlüssel K_#1022h wird als ein zur Zertifizierung benutzter zweiter Zugriffschlüssel K_ac, gesetzt.
Demgemäss wird im vorstehenden Fall in der Dienstzuführmaschine 111 der Bereichzwischenschlüssel K_c oder der Dienstzwischenschlüssel K_#1022h, welcher der erste Zugriffschlüssel K_bc oder der zweite Zugriffschlüssel K_ac ist, registriert, und der Bereichzwischenschlüssel K_c oder der Dienstzwischenschlüssel K_#1022h, welcher der erste Zugriffschlüssel K_bc oder der zweite Zugriffschlüssel K_ac, ist, in der IC-Karte 2 erzeugt.
Die gegenseitige Zertifizierung wird zwischen der IC-Karte und der Dienstzuführmaschine 111 wie im Fall der 12 und 13 ausgeführt.
Wenn sowohl die IC-Karte als auch die Dienstzuführmaschine 111 als richtig entschieden werden, ist als ein Resultat der gegenseitigen Zertifizierung in der IC-Karte 2 ein Zugriff nur auf den vom Dienst definierenden Bereich, der den von der Dienstzuführmaschine 111 übertragene n Dienstcode aufweist, verwalteten Dienstbereich erlaubt. Demgemäss ist im Fall der 18 und 19 der Zugriff auf den vom Dienst definierenden Bereich #030Ch verwalteten Dienstbereich und den vom Dienst definierenden Bereich #1022Ch verwalteten Dienstbereich erlaubt.
Wie vorstehend beschrieben werden durch Verschlüsselung des Systemschlüssels auf der Basis der zwei oder mehreren Bereichschlüssel oder Dienstschlüssel die zwei oder mehreren Bereichschlüssel oder Dienstschlüssel in die zwei Schlüssel des ersten Zugriffschlüssels K_bc und des zweiten Zugriffschlüssels K_ac degeneriert (zusammengesetzt), und die gegenseitige Zertifizierung zum Ermöglichen des Zugriffs auf den vom Dienst definierenden Bereich, der den von der Dienstzuführmaschine 111 übertragenen Dienstcode aufweist, verwalteten Dienstbereich wird durch Benutzung des ersten Zugriffschlüssels K_hc und des zweiten Zugriffschlüssels K_ac ausgeführt. Selbst wenn deshalb der Zugriff auf mehrere Dienst definierende Bereiche angezielt wird, kann die gegenseitige Zertifizierung in kurzer Zeit vollendet werden, wodurch ein schneller Zugriff auf den Dienstbereich gesichert ist.
Im Fall der 12 und 13 wird die gegenseitige Zertifizierungsverarbeitung durch Benutzung der zwei Schlüssel des ersten Zugriffschlüssels K_bc; und des zweiten Zugriffschlüssels K_ac ausgeführt, jedoch Ist es möglich, die gegenseitige Zertifizierungsverarbeitung beispielsweise durch Benutzung nur des zweiten Zugriffschlüssels K_ac auszuführen. In diesem Fall werden in der IC-Karte 2 die zwei oder mehreren Bereichschlüssel oder Dienstschlüssel durch Verschlüsselung des Systemschlüssels auf der Basis der zwei oder mehreren Bereichschlüssel oder Dienstschlüssel in einen einzelnen zweiten Zugriffschlüssel K_ac, degeneriert.
Außerdem ist es, wie in 20 gezeigt, möglich, ein beispielsweise durch Verschlüsselung des ersten Zugriffschlüssels K_bc und des zweiten Zugriffschlüssels K_ac auf der Basis einer Herstellungs-ID, die im Herstellungs-ID-Block gespeichert ist und bei der IC-Karte 2 ein inhärenter Wert ist, erhaltenes Verschlüsselungsresultat zu benutzen. Hier, bei der 20, wird in Bezug auf den ersten Zugriffschlüssel K_bc die Verschlüsselung durch Unterwerfen des ersten Zugriffschlüssels K_bc und der Herstellungs-ID einem EXOR (exlusives Oder) ausgeführt. In Bezug auf den zweiten Zugriffschlüssel K_ac wird die Verschlüssellung auf der Basis des DES-Systems ausgeführt. In Bezug auf den zweiten Zugriffschlüssel K_ac kann die auf dem DES-System basierende Verschlüsselung durch Benutzung des EXOR-Resultats des ersten Zugriffschlüssels K_bc und der Herstellungs-ID als ein Schlüssel ausgeführt werden.
Wie vorstehend beschrieben kann, wenn das durch Verschlüsselung des ersten Zugriffschlüssels K_bc und zweiten Zugriffschlüssels K_ac erhaltene Verschlüsselungsresultat zur gegenseitigen Zertifizierung benutzt wird, die Sicherheit noch weiter verbessert werden. In diesem Fall ist die Herstellungs-ID in der Dienstzuführmaschine 111 notwendig, und sie kann von der IC-Karte 2 übertragen werden.
Als Nächstes weist der Speicherbereich des EEPROM 66 eine geschichtete Struktur auf, in welcher der Bereich definierende Bereich geschichtet ist, und jeder Bereich definierende Bereich und jeder Dienst definierende Bereich ist so ausgebildet, dass er einen Bereichschlüssel und einen Dienstschlüssel zur Zertifizierung speichert. Als Resultat kann die folgende Zugriffsteuerung ausgeführt werden.
Das heißt, wenn ein Verwalter als ein Vaterverwalter dient und eine Dienstzufuhr durch einen Kindverwalter, dem eine Ressource des Verwalters zugeteilt ist, zu stoppen wünscht, weil der Kindverwalter einen unrechten Dienst macht, kann der Verwalter durch Änderung des im Bereich definierenden Bereich gespeicherten Bereichschlüssels den Kindverwalter vom Zugriff auf die IC-Karte 2 abhalten.
Insbesondere wenn beispielsweise der Verwalter B1 die Dienstzufuhr des Verwalters C bei 5 stoppt, ändert der Verwalter B1 den im Bereich definierenden Bereich #0100h der IC-Karte 2 gespeicherten Bereichschlüssel #0100h. In diesem Fall werden der in der IC-Karte 2 gebildete Bereichzwischenschlüssel K_B1 und außerdem der Bereichzwischenschlüssel Kc in 14 ebenfalls geändert, so dass der Verwalter C, der vor der Änderung nur den Bereichzwischenschlüssel K_c kennt, nicht auf den Dienst definierenden Bereich #030Ch zugreifen kann.
Der Verwalter A, welcher der Vaterverwalter des als Vaterverwalter des Verwalters C dienenden Verwalters B1 ist, kann den im Bereich definierenden Bereich #0000h gespeicherten Bereichschlüssel #0000h ändern, um den Zugriff auf den Dienst definierenden Bereich #030Ch zu verhindern. Jedoch kann in diesem Fall der Verwalter B2, der ein Kind des Verwalters A ist, nicht auf den vom Dienst definierenden Bereich #1022h des Verwalters B2 verwalteten Dienstbereich zugreifen. Das heißt, wenn ein Verwalter seinen Bereichschlüssel ändert, ist es nicht möglich, auf Dienst definierende Bereiche zuzugreifen, die von Bereich definierenden Bereichen in Schichten (Kindschicht, Enkelkindschicht, ...) des mit dem Bereichschlüssel korrespondierenden Bereich definierenden Bereichs verwaltet werden.
Bei 18 und 19 benutzt der Verwalter C den Dienst definierenden Bereich #1022h (den von ihm verwalteten Dienstbereich) des Verwalters B2 gemeinsam mit dem Verwalter B2. Jedoch ist eine kompliziertere gemeinsame Benutzung des Dienst definierenden Bereichs zwischen Verwaltern für gewisse Typen von Schlüsselverwaltung möglich.
Insbesondere sei beispielsweise angenommen, dass eine in 21 gezeigte Schichtstruktur im EEPROM 66 ausgebildet ist. Das heißt, in 21 sind ein Bereich definierender Bereich #5000h eines Verwalters E und ein Bereich definierender Bereich #7000h eines Verwalters G als Kindschichten der Schicht des Bereich definierender Bereichs #0000h des als einen Herausgeber der IC-Karte 2 dienenden Verwalters A gebildet. Außerdem sind in der Schicht des Bereich definierender Bereichs #5000h des Verwalters E die Dienst definierende Bereiche #5008h, #5048h, #5088h und #5008h ausgebildet, und es ist ein Bereich definierender Bereich #6000h eines Verwalters F gebildet.
Außerdem sind in der Schicht des Bereich definierenden Bereich #6000h des Verwalters F die Dienst definierenden Bereiche #6008h und #6048h ausgebildet, und in der Schicht des Bereich definierenden Bereichs #7000h des Verwalters G sind die Dienst definierenden Bereiche #7008h und #7008h ausgebildet.
Bei der vorstehend erwähnten Schichtstruktur verschlüsselt der Verwalter A den Systemschlüssel auf der Basis des Bereichschlüssels #0000h wie bei (A) der 22 gezeigt, und gibt das Verschlüsselungsresultat an die als die Kindverwalter dienenden Verwalter E und G ab.
Wie bei (B) der 22 gezeigt, verschlüsselt der Verwalter E auf der Basis des Bereichschlüssels #5000h das Verschlüsselungsresultat des Systemschlüssels auf der Basis des Bereichschlüssels #0000h des Verwalters A und benutzt das Resultat als einen ersten Zugriffschlüssel K_E1. Außerdem verschlüsselt der Verwalter E den ersten Zugriffschlüssel K_E1 (das Verschlüsselungsresultat auf der Basis des Bereichschlüssels #5000h) sukzessive auf der Basis jedes der Dienstschlüssel #5008h, #5048h, #5088h und #5008h und benutzt das Verschlüsselungsendresultat als einen zweiten Zugriffschlüssel K_E2.
Wie bei (C) der 22 gezeigt, wird dem Verwalter F vom Verwalter E der erste Zugriffschlüssel K_E1 (das Verschlüsselungsresultat auf der Basis des Bereichschlüssels #5000h) zugeführt, verschlüsselt es der Verwalter F auf der Basis des Bereichschlüssels #6000h, und setzt der Verwalter F das Verschlüsselungsresultat als einen ersten Zugriffschlüssel K_F1. Außerdem verschlüsselt der Verwalter F den ersten Zugriffschlüssel K_F1 (das Verschlüsselungsresultat auf der Basis des Bereichschlüssels #6000h) sukzessive auf der Basis jedes der Dienstschlüssel #6008h und #6048h und gibt das Verschlüsselungsresultat an den Verwalter E ab, um es sukzessive auf der Basis jedes der Dienstschlüssel #5048h und #5088h zu verschlüsseln. Danach wird dem Verwalter F das Verschlüsselungsresultat des Verwalters E zugeführt, und er gibt es an den Verwalter G ab, um es auf der Basis des Dienstschlüssels #7008h zu verschlüsseln. Dem Verwalter F wird das Verschlüsselungsresultat des Verwalters G zugeführt, und er benutzt es als einen zweiten Zugriffschlüssel K_F2.
Wie bei (D) der 22 gezeigt verschlüsselt der Verwalter G das Verschlüsselungsresultat des Systemschlüssels auf der Basis des Bereichschlüssels #0000h vom Verwalter A auf der Basis des Bereichschlüssels #7000h und benutzt das Verschlüsselungsresultat als einen ersten Zugriffschlüssel K_G1. Außerdem verschlüsselt der Verwalter G den ersten Zugriffschlüssel (das Verschlüsselungsresultat auf der Basis des Bereichschlüssels #7000h) sukzessive auf der Basis jedes der Dienstschlüssel #7008h und #7008h und gibt das Verschlüsselungsendresultat an den Verwalter F ab, um es auf der Basis des Dienstschlüssels #6048h zu verschlüsseln. Danach gibt der Verwalter G das Verschlüsselungsresultat unter Benutzung des Dienstschlüssels #6048h vom Verwalter F an den Verwalter E ab, um das Verschlüsselungsresultat sukzessive auf der Basis jedes der Dienstschlüssel #5088h und #5008h zu verschlüsseln. Dem Verwalter G wird das Verschlüsselungsresultat vom Verwalter E zugeführt, und er benutzt es als einen zweiten Zugriffschlüssel K_G2.
In diesem Fall wird in der IC-Karte 2 der Systemschlüssel durch Benutzung des Bereichschlüssels und des Dienstschlüssels, die im EEPROM 66 gespeichert sind, entsprechend der gleichen Prozedur wie im Fall der 22 verschlüsselt, um den ersten Zugriffschlüssel und den zweiten Zugriffschlüssel zu erzeugen, wodurch die gemeinsame Benutzung des wie in 23 gezeigten Dienst definierenden Bereichs zwischen den Verwaltern E, Fund G gegenseitig ausgeführt werden kann.
Das heißt, der Verwalter E kann nur auf seine Dienst definierenden Bereiche #5008h, #5048h, #5088h und #5008h zugreifen. Der Verwalter F kann nicht nur auf seine Dienst definierenden Bereiche #600Bh und #604Bh zugreifen, sondern auch auf die Dienst definierenden Bereiche #5048h und #50BBh des Verwalters E und den Dienst definierenden Bereich #7008h des Verwalters G zugreifen. Der Verwalter G kann nicht nur auf seine Dienst definierenden Bereiche #700Bh und #7008h, sondern auch auf die Dienst definierenden Bereiche #5088h und #5008h des Verwalters E und den Dienst definierenden Bereich #6048h des Verwalters F zugreifen.
Bei der wie in 22 gezeigten Schlüsselabgabe gibt es keinen Fall, bei dem der Dienstschlüssel selbst eines Verwalters einem anderen Verwalter bekannt ist. Das heißt die Dienstschlüssel #5008h, #5048h, #5088h, #5008h des Verwalters E sind nicht nur beim Verwalter A bei den Verwaltern F und G niemals bekannt. Ähnlich sind die Dienstschlüssel #6008h und #6048h des Verwalters F bei den Verwaltern E und G niemals bekannt, und die Dienstschlüssel #7008h und #7008h des Verwalters G sind bei den Verwaltern E und F niemals bekannt.
Außerdem ist es, wie vorstehend beschrieben, wenn gewisse Verwalter ihren Bereichschlüssel ändern, nicht möglich, auf alle vom Bereich definierenden Bereich der Schicht in der Schicht des Bereich definierenden Bereichs verwalteten Dienst definierenden Bereiche zuzugreifen, das heißt, wenn der Vaterverwalter den Bereichschlüssel ändert, kann der Kindverwalter nicht auf die IC-Karte zugreifen. Jedoch entsprechend einem spezifischen Schlüsselverwaltungsverfahren kann ein Zugriff eines spezifischen Kindverwalters verhindert werden.
Insbesondere sei beispielsweise angenommen, dass eine Schichtstruktur im EEPROM 66 wie in 24 gezeigt ausgebildet ist. Das heißt, bei der 24 sind ein Bereich definierender Bereich #8000h eines Verwalters H ein Bereich definierender Bereich #9000h eines Verwalter I und ein Bereich definierender Bereich #A000h eines Verwalter J als Kindschichten der Schicht des Bereichs definierender Bereichs #0000h des als der Ausgeber der IC-Karte 2 dienenden Verwalters A ausgebildet. Außerdem sind die Dienst definierenden Bereiche #8008h, #8104h und #8105h in der Schicht des Bereich definierenden Bereichs #8000h des Verwalters H ausgebildet.
Bei der vorstehenden Schichtstruktur verschlüsselt der Verwalter A, wie bei (A) der 25 gezeigt, den Systemschlüssel auf der Basis des Bereichsschlüssels #0000h und gibt das Verschlüsselungsresultat an die als seine Kindverwalter dienenden Verwalter I und J ab.
Wie bei (C) der 25 gezeigt, verschlüsselt der Verwalter I das Verschlüsselungsresultat des Systemschlüssels auf der Basis des Bereichschlüssels #0000h des Verwalters A auf der Basis des Bereichschlüssels #9000h und benutzt das Verschlüsselungsresultat als einen ersten Zugriffschlüssel K_I1 Außerdem gibt der Verwalter I den ersten Zugriffschlüssel K_I1 (das Verschlüsselungsresultat auf der Basis des Bereichschlüssels #9000h) an den Verwalter H ab, um ihn sukzessive auf der Basis jedes der Dienstschlüssel #8008h und #8104h wie in 25(B) gezeigt zu verschlüsseln. Dann benutzt der Verwalter I das Verschlüsselungsresultat wie in 25(C) gezeigt als einen zweiten Zugriffschlüssel K_I2.
Wie bei (D) der 25 gezeigt, verschlüsselt der Verwalter J das Verschlüsselungsresultat des Systemschlüssels auf der Basis des Bereichschlüssels #0000h vom Verwalter A auf der Basis des Bereichschlüssels #A000h und benutzt das Verschlüsselungsresultat als einen ersten Zugriffschlüssel K_J1. Außerdem gibt der Verwalter J den ersten Zugriffschlüssel K_J1 (das auf dem Bereichschlüssel #A000h basierende Verschlüsselungsresultat) an den Verwalter H ab, um das Verschlüsselungsresultat, wie bei (B) der 25 gezeigt, sukzessive auf der Basis jedes der Dienstschlüssel #8008h und #8105h zu verschlüsseln. Der Verwalter J benutzt das Verschlüsselungsresultat, wie bei (D) der 25 gezeigt, als einen zweiten Zugriffschlüssel K_J2.
In diesem Fall wird in der IC-Karte 2 der Systemschlüssel durch Benutzung des Bereichschlüssels und des Dienstschlüssels, die im EEPROM 66 gespeichert sind, entsprechend der gleichen Prozedur wie im Fall der 25, um den ersten Zugriffschlüssel und den zweiten Zugriffschlüssel zu erzeugen, wodurch der Verwalter I auf die Dienst definierenden Bereiche #8008h und #8104h des Verwalters H zugreifen kann, und der Verwalter J auf die Dienst definierenden Bereiche #8008h und #8105h des Verwalters H zugreifen kann.
Der Verwalter H bildet den Dienst definierenden Bereich #8008h, um seine Daten zwischen den Verwaltern I und J gemeinsam zu benutzen, und bildet den Dienst definierenden Bereich #8104h oder #8105h als einen sogenannten Dienst definierenden Leer- bzw. Dummybereich zum Steuern des Zugriffs auf den Dienst definierenden Bereich #8008h durch jeden der Verwalter I oder J. Demgemäss sind die von den Dienst definierenden Bereichen #9104h und #8105h verwalteten Dienstbereiche nicht notwendig, und ihre Kapazität kann gleich null sein.
In diesem Fall kann beispielsweise, wenn der Verwalter H den Dienstschlüssel #8104h ändert, der Verwalter I, in welchem der zweite Zugriffschlüssel K_I2 durch Benutzung des Dienstschlüssels #8104h erzeugt wird, um die Zertifizierungsverarbeitung der IC-Karte 2 auszuführen, nicht auf den Dienst definierenden Bereich #8008h zugreifen. Das heißt, nur der Zugriff auf den Dienst definierenden Bereich #8008h durch den Verwalter I ist verhindert. Andererseits kann beispielsweise, wenn der Verwalter H den Dienstschlüssel #8105h ändert, der Verwalter J, bei dem der zweite Zugriffschlüssel K_J2 durch Benutzung des Dienstschlüssels #8105h erzeugt wird, um die Zertifizierungsverarbeitung in der IC-Karte 2 auszuführen, nicht auf den Dienst definierenden Bereich #8008h zugreifen. Das heißt, nur der Zugriff auf den Dienst definierenden Bereich #8008h durch den Verwalter J ist verhindert.
Wie vorstehend beschrieben kann durch Benutzung eines Dienst definierenden Dummybereichs verhindert werden, dass ein spezieller Kindverwalter zugreift.
Bei der vorstehenden Beschreibung beziehen sich Ausführungsformen der vorliegenden Erfindung auf ein kontaktloses Kartensystem, bei dem die Kommunikation in einem kontaktlosen Zustand aus- geführt wird. Jedoch können Ausführungsformen der Erfindung ein Kartensystem aufweisen, bei dem die Kommunikation unter einem Kontaktzustand ausgeführt wird. Außerdem sind Ausführungsformen der vorliegenden Erfindung nicht auf das Kartensystem beschränkt.
Bei dieser Ausführungsform wird die Zertifizierung durch ein sogenanntes geheimes Schlüsselsystem ausgeführt, jedoch kann sie durch ein sogenanntes offenes öffentliches Schlüsselsystem (open-public key system) ausgeführt werden.
Wenn bei dieser Ausführungsform auf den Dienst definierenden Bereich der Schicht eines Bereich definierenden Bereichs zugegriffen wird, wird der erste Zugriffschlüssel durch sukzessive Benutzung der Bereichschlüssel der Bereich definierenden Bereiche auf dem Bus von der Schicht des Bereich definierenden Bereichs zur obersten Schicht erzeugt, jedoch ist das Erzeugungsverfahren des ersten Zugriffschlüssels nicht auf die vorstehende Art und Weise beschränkt. Außerdem wird gemäß dieser Ausführungsform der zweite Zugriffschlüssel durch sukzessive Benutzung der Dienstschlüssel des Dienst definierenden Bereichs, auf den zuzugreifen ist, erzeugt. Jedoch ist das Erzeugungsverfahren des zweiten Zugriffschlüssels nicht auf die vorstehende Art und Weise beschränkt. Das heißt, der erste Zugriffschlüssel und der zweite Zugriffschlüssel können durch sukzessive Benutzung irgendwelcher zweier oder mehrerer Bereichschlüssel oder Dienstschlüsse/erzeugt werden.
Außerdem ist bei dieser Ausführungsform vom Benutzerblock und Systemblock jeder im EEPROM 66, der ein einzelner Speicher ist, gespeichert. Jedoch können der Benutzerblock und der Systemblock in physikalisch verschiedenen Speichern gespeichert sein.
Bei dieser Ausführungsform sind Daten im EEPROM gespeichert, jedoch können die Daten in einem Halbleiterspeicher, einer magnetischen Platte oder dgl. anders als der EEPROM gespeichert sein.
Gemäß Ausführungsformen der vorliegenden Erfindung wird die Speichereinrichtung auf der Basis des Speicherinhalts des Bereich definierenden Bereichs der den Bereich definierenden Bereich zum Speichern des Bereichs des Speicherbereich identifizierenden Codes, der dem zu verwaltenden Speicherbereich zugeordnet werden kann und zum Identifizieren des Speicherbereichs benutzt wird, und zum Speichern der leeren Kapazität des zu verwaltenden Speicherbereichs aufweisenden Speichereinrichtung verwaltet. Demgemäss kann die Ressourcenverwaltung der Speichereinrichtung ausgeführt werden.
Gemäß Ausführungsformen der vorliegenden Erfindung wird der Speicherbereich der Datenspeichervorrichtung verwaltet, während er in einer Schichtstruktur ausgebildet ist, und ein oder mehrere zum Zertifizieren benutzte Zertifizierungsschlüssel werden durch Benutzung zweier oder mehrerer Schichtschlüssel bezüglich jeder Schicht des Speicherbereichs der Datenspeichervorrichtung oder Datenspeicherbereichschlüssel bezüglich des Speicherbereichs, in welchem Daten gespeichert sind, erzeugt, und die Zertifizierung wird auf der Basis des Zertifizierungsschlüssels ausgeführt. Demgemäss kann bei der Datenspeichervorrichtung eine Zugriffssteuerung, die Flexibilität und hohe Sicherheit aufweist, ausgeführt werden.

Claims

Datenspeichervorrichtung (2) zur Speicherung von Daten zum Zuführen eines vorbestimmten Dienstes, wobei die Vorrichtung aufweist: eine Speichereinrichtung, die in mehreren Systemblöcken und mehreren Benutzerblöcken konfiguriert ist, wobei eine Grenze zwischen den mehreren System- und Benutzerblöcken variabel ist, einer oder mehrere der Systemblöcke Daten eines Bereich definierenden Bereichs oder eines zugeordneten dienstdefinierenden Bereichs speichern, ein Dienstbereich aus einem oder mehreren Benutzerblöcken zur Speicherung von Daten zur Bereitstellung des Diensts zusammengesetzt ist, wobei der oder jeder der Bereich definierenden Bereiche a) den Bereich von Speicherbereich definierenden Codes, die einem zu verwaltenden und zum Identifizieren des Speicherbereichs benutzten Speicherbereich zugeteilt werden können, b) eine leere Kapazität des zu verwaltenden Speicherbereichs und c) einen zu einer Zertifizierung des Bereich definierenden Bereichs benutzten Bereichsschlüssel speichert, der oder jeder Dienst definierende Bereich eine leere Kapazität eines korrespondierenden zu verwaltenden Dienstbereichs und einen Bereichschlüssel zur Zertifizierung des Dienst definierenden Bereichs speichert, eine Verwaltungseinrichtung zur Verwaltung des Speicherbereichs der Speichereinrichtung auf der Basis des Inhalts des oder der Bereich definierenden Bereiche und des oder der Dienst definierenden Bereiche, wobei der Speicherbereich in einer Schichtstruktur ist, in der ein Bereich definierender Bereich und sein zugeordneter Dienst definierender Bereich als eine Schicht gesetzt sind, und wobei der oder jeder Dienstbereich durch seinen korrespondierenden Dienst definierenden Bereich verwaltet wird, die Verwaltung entsprechend einem Zugriffschlüssel (Kac) für den Dienstbereich abhängig von wenigstens zwei mit dem Dienst definierenden Bereich und seinem zugeordneten Bereich definierenden Bereich korrespondierenden Bereichschlüsseln ausgeführt wird.
Datenspeichervorrichtung (2) nach Anspruch 1, wobei die Verwaltungseinrichtung einen vorbestimmten Bereich definierenden Bereich als eine Elternschicht setzt und einen Bereich definierenden Bereich einer Kindschicht der Elternschicht bildet und den Bereich definierenden Bereich während eines Setzens des Bereich definierenden Bereichs in eine Schichtstruktur verwaltet.
Datenspeichervorrichtung (2) nach Anspruch 2, wobei die Verwaltungseinrichtung den Bereich definierenden Bereich der Kindschicht bildet, wenn der Bereich des Speicherbereich identifizierenden Codes im Bereich definierenden Bereich der Kindschicht im Bereich des Speicherbereiche identifizierenden Codes des Bereich definierenden Bereichs der Elternschicht ist.
Datenspeichervorrichtung (2) nach Anspruch 2, wobei die Verwaltungseinrichtung den Bereich definierenden Bereich der Kindschicht bildet, wenn die Kapazität des den Bereich definierenden Bereich der Kindschicht zugeteilten Speicherbereichs im Bereich der leeren Kapazität des Bereich-definierenden Bereichs der Elternschicht ist.
Datenspeichervorrichtung (2) nach Anspruch 1, wobei die Verwaltungseinrichtung einen vorbestimmten definierenden Bereich als eine Schicht setzt und den Dienst definierenden Bereich, zu der die Schicht gehört, bildet.
Datenspeichervorrichtung (2) nach Anspruch 5, wobei die Verwaltungseinrichtung den Dienst definierenden Bereich bildet, wenn der Dienstbereich identifizierende Code im Dienst definierenden Bereich im Bereich des Speicherbereich identifizierenden Codes des Bereich definierenden Bereichs ist.
Datenspeichervorrichtung (2) nach Anspruch 1, wobei der Dienst definierende Bereich auch die Kapazität des Dienstbereichs speichert.
Datenspeichervorrichtung (2) nach Anspruch 7, wobei die Verwaltungseinrichtung den Dienstbereich bildet, wenn die Kapazität des dem Dienst definierenden Bereich zugeteilten Speicherbereichs im Bereich der leeren Kapazität im Bereich definierende Bereich ist.
Datenspeichervorrichtung (2) nach Anspruch 1, wobei der Dienst definierenden Bereich zum Bereich definierenden Bereich irgendeiner der Schichten gehört.
Datenspeichervorrichtung (2) nach Anspruch 1, wobei der Dienst definierende Bereich auch einen vorbestimmten Schlüssel speichert und die Verwaltungseinrichtung auch eine Zertifizierung durch Benutzung des Schlüssels ausführt.
Datenspeichervorrichtung (2) nach Anspruch 10, wobei die Verwaltungseinrichtung eine Zertifizierung durch eine Verschlüsselung oder Decodierung auf der Basis der in den zwei oder mehr Bereich definierenden Bereichen oder Dienst definierenden Bereichen gespeicherten Schlüssel ausführt.
Datenspeichervorrichtung (2) nach Anspruch 10, wobei die Verwaltungseinrichtung in den zwei oder mehr Bereich definierenden Bereichen oder Dienst definierenden Bereichen gespeicherte Schlüssel in einen oder mehrere Schlüssel degeneriert, um dadurch einen degenerierten Schlüssel (Kac, Kbc) zu erzeugen, und die Zertifizierung durch Benutzung des einen oder der mehreren degenerierten Schlüssel (Kac, Kbc) ausgeführt wird.
Datenspeichervorrichtung (2) nach Anspruch 1, wobei die Verwaltungseinrichtung den Bereich definierenden Bereich auf der Basis des im Bereich definierenden Bereich gespeicherten Speicherbereich identifizierenden Codes verwaltet, während der Bereich definierende Bereich in eine Schichtstruktur gesetzt ist.
Datenspeichervorrichtung (2) nach Anspruch 1, wobei die Speichereinrichtung nichtflüchtig ist.
Datenspeichervorrichtung (2) nach Anspruch 1, mit einer Kommunikationseinrichtung zur Ausführung von Kommunikationen mit einer externen Einrichtung (1), wobei die Verwaltungseinrichtung die Speichereinrichtung in Reaktion auf eine Instruktion von der externen Einrichtung verwaltet.
Datenspeichervorrichtung (2) nach Anspruch 15, wobei die Kommunikationseinrichtung die Kommunikationen mit der externen Einrichtung (1) unter einem Kontakt- oder Nichtkontaktzustand ausführt.
Datenspeicherverfahren zur Speicherung von Daten zur Zufuhr eines vorbestimmten Dienstes unter Benutzung einer Vorrichtung (2), die aufweist: eine Speichereinrichtung, die in mehreren Systemblöcken und mehreren Benutzerblöcken konfiguriert ist, wobei eine Grenze zwischen den mehreren System- und Benutzerblöcken variabel ist, einer oder mehrere der Systemblöcke Daten eines Bereich definierenden Bereichs oder eines zugeordneten Dienst definierenden Bereichs speichert, ein Dienstbereich aus einem oder mehreren Benutzerblöcken zur Speicherung von Daten zur Bereitstellung des Diensts zusammengesetzt ist, wobei der oder jeder der Bereich definierenden Bereiche a) den Bereich von Speicherbereich definierenden Codes, die einem zu verwaltende Speicherbereich zugeteilt und zum Identifizieren des Speicherbereichs benutzt werden können, b) eine leere Kapazität des zu verwaltenden Speicherbereichs und c) einem zu einer Zertifizierung des Bereich definierenden Bereichs benutzten Bereichsschlüssel speichert, wobei der oder jeder Dienst definierende Bereich eine leere Kapazität eines korrespondierenden zu verwaltenden Dienstbereichs und einen Bereichschlüssel zur Zertifizierung des Dienst definierenden Bereichs speichert, wobei das Verfahren aufweist: Verwalten des Speicherbereichs der Speichereinrichtung auf der Basis des Inhalts des oder der Bereich definierenden Bereiche und des oder der Dienst definierenden Bereiche während der Speicherbereich in einer Schichtstruktur designiert wird, in der ein Bereich definierender Bereich und sein zugeordneter Dienst definierender Bereich als eine Schicht gesetzt sind, und wobei der Dienstbereich durch seinen korrespondierenden Dienst definierenden Bereich verwaltet wird, wobei die Verwaltung entsprechend einem Zugriffschlüssel (Kac) für den Dienstbereich abhängig von wenigstens zwei mit dem Dienst definierenden Bereich und seinem zugeordneten Bereich definierenden Bereich korrespondierenden Bereichsschlüsseln ausgeführt wird.
Datenspeicherverfahren nach Anspruch 17, wobei der Verwaltungsschritt einen vorbestimmten Bereich definierenden Bereich als eine Elternschicht setzt, einen Bereich definierenden Bereich bildet, der als eine Kindschicht der Elternschicht dient, und den Bereich definierenden Bereich verwaltet, während der Bereich definierende Bereich in eine Schichtstruktur gesetzt wird.
Datenspeicherverfahren nach Anspruch 18, wobei der Verwaltungsschritt den Bereich definierenden Bereich der Kindschicht bildet, wenn der Bereich des Speicherbereich identifizierenden Codes im Bereich definierenden Bereich der Kindschicht im Bereich des Speicherbereich identifizierenden Codes des Bereich definierenden Bereichs der Elternschicht ist.
Datenspeicherverfahren nach Anspruch 18, wobei der Verwaltungsschritt den Bereich definierenden Bereich der Kindschicht bildet, wenn die Kapazität des dem Bereich definierenden Bereich der Kindschicht zugeteilten Speicherbereichs im Bereich der leeren Kapazität im Bereich definierenden Bereich der Elternschicht ist.
Datenspeicherverfahren nach Anspruch 17, wobei der Verwaltungsschritt einen vorbestimmten Bereich definierenden Bereich als eine Schicht setzt und den zur Schicht gehörenden Dienst definierenden Bereich bildet.
Datenspeicherverfahren nach Anspruch 21, wobei der Verwaltungsschritt den Dienst definierenden Bereich bildet, wenn der Dienstbereich identifizierende Code im Dienst definierenden Bereich im Bereich des Speicherbereich identifizierenden Codes des Bereich definierenden Bereichs ist.
Datenspeicherverfahren nach Anspruch 21, wobei der Verwaltungsschritt den Dienstbereich bildet, wenn die Kapazität des dem Dienst definierenden Bereich zugeteilten Speicherbereichs im Bereich der leeren Kapazität im Bereich definierenden Bereich ist.
Datenspeicherverfahren nach Anspruch 17, wobei der Dienst definierende Bereich auch die Kapazität des Dienstbereichs definiert.
Datenspeicherverfahren nach Anspruch 17, wobei der Dienstdefinierende Bereich zum Bereich definierenden Bereich irgendeiner der Schichten gehört.
Datenspeicherverfahren nach Anspruch 17, wobei der Dienst definierenden Bereich auch einen vorbestimmten Schlüssel speichert und die Verwaltungseinrichtung eine Zertifizierung durch Benutzung des Schlüssels ausführt.
Datenspeicherverfahren nach Anspruch 26, wobei der Verwaltungsschritt eine Zertifizierung durch Verschlüsselung oder Decodierung auf der Basis der in den zwei oder mehr Bereich definierenden Bereichen oder Dienst definierenden Bereichen gespeicherten Schlüssel ausfährt.
Datenspeicherverfahren nach Anspruch 26, wobei der Verwaltungsschritt in den zwei oder mehr Bereich definierenden Bereichen oder Dienst definierenden Bereichen gespeicherte Schlüssel degeneriert, um einen degenerierten Schlüssel zu erzeugen, und die Zertifizierung durch Benutzung des einen oder der mehreren degenerierten Schlüssel (K_ac, K_bc) ausführt.
Datenspeicherverfahren nach Anspruch 17, wobei der Verwaltungsschritt den Bereich definierenden Bereich auf der Basis des Bereichs des im Bereich definierenden Bereich gespeicherten Speicherbereich identifizierenden Codes verwaltet, während der Bereich definierende Bereich in eine geschichtete Struktur gesetzt ist.
Datenspeicherverfahren nach Anspruch 17, wobei die Speichereinrichtung nichtflüchtig ist.
Datenspeicherverfahren nach Anspruch 17, wobei die Speichervorrichtung (2) eine Kommunikationseinrichtung zur Ausführung von Kommunikationen mit einer externen Einrichtung (1) aufweist und der Verwaltungsschritt die Speichereinrichtung in Reaktion auf eine Instruktion von der externen Einrichtung verwaltet.
Datenspeicherverfahren nach Anspruch 31, wobei Kommunikationseinrichtung die Kommunikationen mit der externen Einrichtung (1) unter einem Kontakt- oder Nichtkontaktzustand ausführt.