JP2002279390A - Data access control system, memory-mounted device, data access control method, and program storage medium - Google Patents

Data access control system, memory-mounted device, data access control method, and program storage medium

Info

Publication number
JP2002279390A
JP2002279390A JP2001073648A JP2001073648A JP2002279390A JP 2002279390 A JP2002279390 A JP 2002279390A JP 2001073648 A JP2001073648 A JP 2001073648A JP 2001073648 A JP2001073648 A JP 2001073648A JP 2002279390 A JP2002279390 A JP 2002279390A
Authority
JP
Japan
Prior art keywords
ticket
data
access control
authentication
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Abandoned
Application number
JP2001073648A
Other languages
Japanese (ja)
Inventor
Kenji Yoshino
賢治 吉野
Yoshito Ishibashi
義人 石橋
Taizo Shirai
太三 白井
Masayuki Takada
昌幸 高田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp filed Critical Sony Corp
Priority to JP2001073648A priority Critical patent/JP2002279390A/en
Publication of JP2002279390A publication Critical patent/JP2002279390A/en
Abandoned legal-status Critical Current

Links

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a data access control system for realizing an improved control configuration to the access to a memory in a device. SOLUTION: A memory-mounted device receives an access control ticket from an access appliance and permits the access appliance described on the ticket on the conditions that the authentication is established, based on the authentication rule described on the ticket, and identification data of the access appliance described on the ticket is confirmed. Various kinds of authentication modes and ticket modes can be set for each access to realize access control capable of setting the security level, according to the memory access. A category or an identifier of a ticket issuing means and a utilizing means is stored in the ticket and can be verified by the device.

Description

【発明の詳細な説明】DETAILED DESCRIPTION OF THE INVENTION

【0001】[0001]

【発明の属する技術分野】本発明は、データアクセス制
御システム、メモリ搭載デバイス、およびデータアクセ
ス制御方法、並びにプログラム記憶媒体に関する。さら
に、詳細には、メモリ搭載デバイスに対して、アクセス
機器からコマンドを発行して前記メモリ部に格納された
データに対する処理におけるアクセス制御を実行するデ
ータアクセス制御システム、メモリ搭載デバイス、およ
びデータアクセス制御方法、並びにプログラム記憶媒体
に関する。
BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a data access control system, a memory mounted device, a data access control method, and a program storage medium. More specifically, a data access control system that issues a command from an access device to a memory-equipped device to execute access control in processing of data stored in the memory unit, a memory-equipped device, and a data access control A method and a program storage medium.

【0002】[0002]

【従来の技術】従来、メモリを保有するデバイスとして
は、テープメディア、フロッピー(登録商標)ディス
ク、ハードディスク、光ディスク、半導体メディア等が
利用されてきた。このうち、デバイス内のメモリをセキ
ュアに管理できるものとして半導体メディアが注目され
てきている。その理由は、半導体メモリは外部から容易
にアクセスさせない構造、すなわち耐タンパ構造を実現
しやすいからである。
2. Description of the Related Art Conventionally, tape media, floppy (registered trademark) disks, hard disks, optical disks, semiconductor media, and the like have been used as devices having a memory. Among them, semiconductor media has attracted attention as a device capable of securely managing a memory in a device. The reason is that the semiconductor memory can easily realize a structure that is not easily accessed from outside, that is, a tamper-resistant structure.

【0003】耐タンパ構造は、例えばデバイスを半導体
によるシングルチップ構成とし、該チップに制御部、メ
モリコントローラ、不揮発性メモリ、電圧検出手段、周
波数検出手段等を備え、不揮発性メモリを外部から容易
に読み書きができないようにアルミ層のようなダミー層
に挟まれた構成とすることによって実現される。
In the tamper-resistant structure, for example, a device has a single-chip configuration made of a semiconductor, and the chip is provided with a control unit, a memory controller, a nonvolatile memory, a voltage detecting means, a frequency detecting means, and the like. This is realized by a configuration sandwiched between dummy layers such as an aluminum layer so that reading and writing cannot be performed.

【0004】このようなセキュアデバイスの従来のメモ
リ構造について図96「従来のメモリ構造」を用いて説
明する。図96のメモリは、例えば電子マネーとして利
用可能なメモリ構成を示している。図96に示すよう
に、メモリ領域は大きく3つに別れている。すなわち、
データ領域、メモリ管理領域、システム領域である。
A conventional memory structure of such a secure device will be described with reference to FIG. 96 "Conventional memory structure". The memory in FIG. 96 shows a memory configuration that can be used, for example, as electronic money. As shown in FIG. 96, the memory area is roughly divided into three. That is,
A data area, a memory management area, and a system area.

【0005】データ領域には各データ内の先頭に格納さ
れた「データ構造」に基づくデータが格納されており、
この例では、利用者名前、住所、電話番号、金額、メ
モ、ログの各データが格納される。メモリ管理領域に
は、データ領域の各データにアクセスするための格納ア
ドレス、アクセス方法、アクセス認証鍵等が格納されて
いる。例えば、データ領域のデータ1(利用者名前)の
アクセスは読み出し(Read)のみが、アクセス認証
鍵(0123……)の利用によって可能となることが示され
ている。また、システム領域には、デバイス識別子(I
D)、データ領域にメモリ領域を確保するための認証鍵
であるメモリ管理鍵等が格納される。
[0005] The data area stores data based on the "data structure" stored at the head of each data.
In this example, user name, address, telephone number, amount, memo, and log are stored. The memory management area stores a storage address for accessing each data in the data area, an access method, an access authentication key, and the like. For example, it is shown that access to data 1 (user name) in the data area can be performed only by reading (Read) by using the access authentication key (0123...). In the system area, a device identifier (I
D) A memory management key or the like, which is an authentication key for securing a memory area in the data area, is stored.

【0006】図96に示すメモリデバイスのデータ領域
は複数に分割可能であり、これらの分割データ領域を、
異なるサービス主体、例えば電子マネーであればそれぞ
れ別の電子マネーサービス提供主体(ex.異なる銀
行)が管理する構成とすることができる。各分割領域の
データは、個々のサービス提供主体の他、利用者、例え
ば電子マネーを利用した商品販売を行なう店舗に備えら
れたデバイスアクセス機器としてのリーダライタ(専用
リーダライタまたはPCなど)によりデータの読み出
し、書き込み、(ex.残金データの更新)が実行され
る。
The data area of the memory device shown in FIG. 96 can be divided into a plurality of data areas.
Different service entities, for example, electronic money, may be managed by different electronic money service providing entities (ex. Different banks). The data of each divided area is obtained by a user, for example, a reader / writer (dedicated reader / writer, PC, etc.) as a device access device provided in a store selling goods using electronic money, in addition to the individual service provider. , And (ex. Update of balance data) are executed.

【0007】図96に示すような複数の分割されたデー
タ領域を持つセキュアデバイスの管理者と利用者の関係
を図97「メモリ管理者・利用者」に示す。図97に示
すように、セキュアデバイスの発行主体であるメモリ管
理者と、このメモリ管理者からメモリ領域を割り当てて
もらい、その割り当てられたメモリを利用するメモリ利
用者がいる。メモリ利用者としてデータ1利用者〜デー
タ6利用者がいる。メモリ利用者とは例えば前述の電子
マネーの例によれば、銀行または店舗等である。
The relationship between the administrator and the user of a secure device having a plurality of divided data areas as shown in FIG. 96 is shown in FIG. 97, "Memory Administrator / User". As shown in FIG. 97, there are a memory manager who is a subject of issuing a secure device, and a memory user who has a memory area allocated by the memory manager and uses the allocated memory. There are data 1 users to data 6 users as memory users. The memory user is, for example, a bank or a store according to the example of the electronic money described above.

【0008】メモリ管理者は、メモリ領域を確保するた
めのアクセスコントロール用のメモリ管理鍵を知ってお
り、このメモリ管理鍵を利用して、それぞれのメモリ利
用者のメモリ(分割データ領域)を割り当てる。また、
メモリ利用者は各データ領域のデータにアクセスするた
めのアクセス認証鍵を知っており、このアクセス認証鍵
を利用して、それぞれ割り当てられたデータ領域内のメ
モリにアクセスすることができる。アクセスの態様とし
てはデータの読み出し(Read)、書き込み(Wri
te)、残金の減額(Decrement)など、様々
であり、それぞれの処理態様に応じてアクセス認証鍵を
個別に設定して個別の処理の可否を設定することができ
る。
A memory manager knows a memory management key for access control for securing a memory area, and allocates a memory (divided data area) of each memory user using the memory management key. . Also,
The memory user knows the access authentication key for accessing the data in each data area, and can use this access authentication key to access the memory in the assigned data area. As an access mode, data reading (Read) and writing (Wri) are performed.
te), reduction of the balance (Decrement), etc., and it is possible to individually set an access authentication key according to each processing mode and set whether or not individual processing is possible.

【0009】例えば図96に示すメモリ中のデータ4
は、金額データであり、図97に示すようにデータ4の
利用者はデータ4に対して減額(Decrement)
の処理と、読書き(Read/Write)の処理が可
能である。図96の右下の表に示すように、データ4の
減額(Decrement)の処理と、読書き(Rea
d/Write)の処理では、アクセスキーが異なり、
各処理に対応したアクセスキーを使用してメモリにアク
セスすることが必要となる。
For example, data 4 in the memory shown in FIG.
Is the amount data, and as shown in FIG. 97, the user of the data 4 reduces the data 4 (Decrement).
And read / write processing. As shown in the table at the lower right of FIG. 96, the process of decrementing (Decrement) of data 4 and reading and writing (Rea)
d / Write), the access key is different,
It is necessary to access the memory using an access key corresponding to each process.

【0010】図98に、メモリ管理者がメモリ利用者に
対してメモリデバイス内のあるデータ領域を割り当てる
メモリ確保処理を説明する図を示す。図98の「メモリ
の確保の方式」に示すように、メモリ管理者は、図の左
側に示すメモリ確保用リーダ/ライタ(R/W:Reader
/Writer)を用いて図の右側に示すメモリデバイスに対
するデータ領域の確保処理を実行する。メモリ確保用リ
ーダ/ライタ(R/W:Reader/Writer)には、メモリ
管理鍵を保持するためのセキュアなNVRAM(Non-Vo
latile RAM)が備えられている。なお、メモリ確保用R
/Wとしては、セキュアデバイスの専用の読み書きR/
Wであっても、またセキュアデバイスがUSB、PCM
CIAなどのI/Fを持つデバイスである場合、これら
のインタフェースを介して読み書き可能な装置例えばP
Cであってもよい。
FIG. 98 is a view for explaining a memory securing process in which a memory manager allocates a certain data area in a memory device to a memory user. As shown in the “method of securing memory” in FIG. 98, the memory administrator operates a memory securing reader / writer (R / W: Reader) shown on the left side of the figure.
/ Writer) to execute a process of securing a data area for the memory device shown on the right side of FIG. A memory securing reader / writer (R / W: Reader / Writer) has a secure NVRAM (Non-Vo) for holding a memory management key.
latile RAM). Note that R for memory
/ W is a dedicated read / write R /
Even if W, secure device is USB, PCM
In the case of a device having an I / F such as CIA, a device readable and writable through these interfaces, for example, P
C may be used.

【0011】R/Wを用いてメモリを確保するために
は、まずセキュアデバイスからデバイスIDを読み出
す。次にR/W内において、メモリ管理鍵とデバイスI
Dを用いて認証鍵を生成し、生成した認証鍵を用いてセ
キュアデバイスと相互認証を実行する。相互認証処理は
例えば共通鍵方式による相互認証(ex.ISO/IEC9798-2)
に従って実行される。
In order to secure a memory using R / W, first, a device ID is read from a secure device. Next, in the R / W, the memory management key and the device I
An authentication key is generated using D, and mutual authentication is performed with the secure device using the generated authentication key. Mutual authentication processing is, for example, mutual authentication using a common key method (ex.ISO / IEC9798-2)
It is executed according to.

【0012】相互認証に成功した後、R/Wはデータ構
造、データサイズ、アクセス方法、アクセス認証鍵をセ
ッション鍵で暗号化し、必要に応じてデータ検証用のM
AC(Message Authentication Code)値を付加してセ
キュアデバイスにコマンドを送る。コマンドを受信した
セキュアデバイスは、受信データを復号し、必要に応じ
てデータ改竄性の検証をMAC検証処理によって実行
し、その後、受信データ内のデータサイズに応じてメモ
リのデータ領域にメモリ領域を確保し、確保した領域に
データ構造を書き込むとともに、メモリ管理領域に確保
したメモリのアドレス、アクセス方法、アクセス認証鍵
を書き込む。
After successful mutual authentication, the R / W encrypts the data structure, the data size, the access method, and the access authentication key with the session key and, if necessary, the M for data verification.
A command is sent to the secure device with an AC (Message Authentication Code) value added. Upon receiving the command, the secure device decrypts the received data, performs data tampering verification as needed by MAC verification processing, and then allocates a memory area to a data area of the memory according to the data size in the received data. The data structure is written in the secured area, and the address, access method, and access authentication key of the secured memory are written in the memory management area.

【0013】このようにして、メモリデバイスには複数
の分割データ領域が設定される。次に、図99の「メモ
リアクセス方法」に従って、複数の分割データ領域を持
つメモリデバイスに対するメモリアクセス方法について
説明する。図99の左側のリーダライタは、メモリ利用
者の有するメモリアクセス用リーダライタ(R/W)で
あり、上述のメモリ確保用R/Wと同様、専用R/Wあ
るいはPCなどで構成される。メモリアクセス用リーダ
ライタ(R/W)には、アクセス認証鍵を保持するため
のセキュアなNVRAMが備えられている。R/Wを用
いてセキュアデバイスのデータ領域にアクセスするため
には、まずセキュアデバイスからデバイスIDを読み出
す。次にR/W内において、アクセス認証鍵とデバイス
IDを用いて認証鍵を生成し、生成した認証鍵を用いて
セキュアデバイスと相互認証を実行する。相互認証に成
功した後、R/Wはアクセス認証鍵に対応するデータ領
域のデータに所定のアクセスを行なう。
In this way, a plurality of divided data areas are set in the memory device. Next, a memory access method for a memory device having a plurality of divided data areas will be described according to the “memory access method” of FIG. The reader / writer on the left side of FIG. 99 is a memory access reader / writer (R / W) possessed by the memory user, and is composed of a dedicated R / W or a PC as in the above-described memory securing R / W. The memory access reader / writer (R / W) includes a secure NVRAM for holding an access authentication key. In order to access the data area of the secure device using the R / W, first, a device ID is read from the secure device. Next, in the R / W, an authentication key is generated using the access authentication key and the device ID, and mutual authentication is performed with the secure device using the generated authentication key. After the successful mutual authentication, the R / W makes a predetermined access to the data in the data area corresponding to the access authentication key.

【0014】このときメモリ管理領域にはアクセス方法
が規定されているため、例えば、図99の「メモリアク
セス方法」に示すように、データ4(金額データ)の減
額(Decrement)用のアクセス認証に成功した場合は、
データ4のデータの減額は可能であっても、加算、ある
いは自由な書き換え処理はできない。このように認証処
理に用いるアクセス認証鍵をそれぞれのアクセス態様に
応じて異なる設定とすることにより各データの安全性を
高めることができる。例えば減額処理用R/Wが盗難に
あい、盗難にあった減額処理用R/W内のNVRAMが
見破られた場合であっても、図99のセキュアデバイス
内のデータ4(金額データ)の不正な増加処理が行われ
る可能性を低減することができる。
At this time, since an access method is defined in the memory management area, for example, as shown in “memory access method” in FIG. 99, access authentication for decrement of data 4 (money data) is performed. If successful,
Even if the data 4 can be reduced, addition or free rewriting cannot be performed. As described above, by setting the access authentication key used for the authentication process to be different according to each access mode, the security of each data can be improved. For example, even if the R / W for reduction processing is stolen and the NVRAM in the R / W for reduction processing is stolen, the data 4 (money data) in the secure device in FIG. It is possible to reduce the possibility that a large increase process is performed.

【0015】一般に入金端末はATMと同様、セキュリ
ティを高めることができるが、出金端末は店舗等で商品
引き渡しの際の代金回収機として利用されることが多
く、設置場所も様々であり、端末の盗難のリスクも高く
セキュリティの度合いを高めることが困難である。従っ
て、データアクセスに対してアクセス認証鍵を異ならせ
る構成が有効となる。
[0015] Generally, a deposit terminal can enhance security like an ATM, but a dispensing terminal is often used as a money collecting machine at the time of delivery of goods at a store or the like. The risk of theft is high and it is difficult to increase the degree of security. Therefore, a configuration in which the access authentication key is different for data access is effective.

【0016】[0016]

【発明が解決しようとする課題】上述した従来の分割デ
ータ領域を持つメモリデバイスの利用形態において、メ
モリのデータ領域の確保処理、各データ領域のアクセス
処理において、それぞれ、メモリ管理鍵を用いた認証処
理、あるいはアクセス認証鍵を用いた認証処理を実行す
ることによりそれぞれの処理を実行する構成としている
が、これらは具体的には、例えばDES暗号アルゴリズ
ムによる共通鍵を適用する構成であり、公開鍵方式によ
る認証、あるいは公開鍵方式による検証を想定したもの
とはなっていない。
SUMMARY OF THE INVENTION In the above-mentioned conventional use of a memory device having a divided data area, in a process of securing a data area of a memory and an access process of each data area, authentication using a memory management key is performed. Each process is executed by executing a process or an authentication process using an access authentication key. Specifically, these processes are configured to apply a common key by a DES encryption algorithm, for example, It does not assume authentication by a method or verification by a public key method.

【0017】上述のようにメモリ管理鍵、アクセス認証
鍵に共通鍵を適用した構成では認証およびアクセス許諾
が一処理で実行されるという利点はあるが、認証鍵の漏
洩により、漏洩鍵によるメモリアクセスが可能となって
しまうという欠点があり、セキュリティ上問題となる。
The configuration in which the common key is applied to the memory management key and the access authentication key as described above has an advantage that the authentication and the access permission are executed in one process, but the leakage of the authentication key causes the memory access by the leaked key. However, there is a drawback that it becomes possible, which is a security problem.

【0018】また、メモリデバイスに対するアクセスを
実行するリーダライタ(R/W)の低コスト化を実現す
るために、リーダライタ(R/W)に暗号アルゴリズム
を実装しない構成も想定されるが、このような構成とす
れば、デバイス間との認証、通信データの暗号化の一切
の処理が実行できず、ユーザの金額データ、その他ユー
ザのプライベート情報などを保持するデバイスに対する
リーダライタとしては不適である。
In order to reduce the cost of a reader / writer (R / W) for executing access to a memory device, a configuration in which an encryption algorithm is not implemented in the reader / writer (R / W) is also conceivable. With such a configuration, authentication between devices and encryption of communication data cannot be performed at all, and it is not suitable as a reader / writer for a device that holds user money data, other user private information, and the like. .

【0019】本発明は、上述のような、従来技術の現状
に鑑みてなされたものであり、複数のパーティションに
分割されたメモリ領域のアクセスに対して、様々な種類
のアクセス制御チケットを各デバイスまたはパーティシ
ョン管理エンティテイの管理の下に発行し、各チケット
に記述されたルールに基づく処理をメモリ搭載デバイス
において実行する構成とすることにより、各パーティシ
ョン内データの独立した管理構成を実現することを目的
とする。
The present invention has been made in view of the above-mentioned state of the art, and various types of access control tickets are assigned to each device in response to access to a memory area divided into a plurality of partitions. Alternatively, it is intended to realize an independent management configuration of data in each partition by issuing a process under the management of the partition management entity and executing a process based on a rule described in each ticket in a device equipped with a memory. And

【0020】また、メモリ搭載デバイスが、アクセス機
器からアクセス制御データとして構成されるアクセス制
御チケットを受領して、アクセス制御チケットに記述さ
れた認証ルールに基づく認証、および該アクセス制御チ
ケットに記述されたアクセス機器の識別データの確認を
条件としてデータアクセスを許容する構成とすることに
より、メモリに対するアクセスをよりセキュアな管理下
において実行可能とし、各アクセス毎に様々な認証態
様、チケット態様を設定可能として、メモリアクセス処
理に応じたセキュリティレベルを設定したアクセス管理
が実現するデータアクセス制御システム、メモリ搭載デ
バイス、およびデータアクセス制御方法、並びにプログ
ラム記憶媒体を提供することを目的とする。
Further, the memory-equipped device receives an access control ticket configured as access control data from the access device, performs authentication based on the authentication rule described in the access control ticket, and performs authentication based on the authentication rule described in the access control ticket. By allowing data access under the condition that the identification data of the access device is confirmed, access to the memory can be executed under more secure management, and various authentication modes and ticket modes can be set for each access. It is an object of the present invention to provide a data access control system, a memory-mounted device, a data access control method, and a program storage medium that realize access management with a security level set according to memory access processing.

【0021】[0021]

【課題を解決するための手段】本発明の第1の側面は、
データ格納可能なメモリ部を有するメモリ搭載デバイス
に対して、アクセス機器からコマンドを発行して前記メ
モリ部に格納されたデータに対する処理を実行するデー
タアクセス制御システムであり、前記メモリ搭載デバイ
スは、前記アクセス機器から、前記メモリ部に格納され
たデータに対するアクセス制御データとして構成される
アクセス制御チケットを受領して、該アクセス制御チケ
ットに記述された認証ルールに基づく認証の成立、およ
び該アクセス制御チケットに記述されたアクセス機器の
識別データの確認を条件としてデータアクセスを許容す
る構成であることを特徴とするデータアクセス制御シス
テムにある。
SUMMARY OF THE INVENTION A first aspect of the present invention is as follows.
A data access control system for issuing a command from an access device to a memory-equipped device having a memory part capable of storing data and executing a process on data stored in the memory part, wherein the memory-equipped device is An access control ticket configured as access control data for the data stored in the memory unit is received from the access device, authentication based on the authentication rule described in the access control ticket is established, and the access control ticket The data access control system is characterized in that the data access is allowed under the condition that the identification data of the described access device is confirmed.

【0022】さらに、本発明のデータアクセス制御シス
テムの一実施態様において、前記アクセス制御チケット
には、認証方式として公開鍵認証方式または共通鍵認証
方式のいずれかまたはいずれでも許容する旨の認証方式
指定情報としての認証タイプが記述され、前記メモリ搭
載デバイスは、アクセス機器から受領したアクセス制御
チケットに記述された認証タイプに従って認証処理を実
行する構成であることを特徴とする。
Further, in one embodiment of the data access control system of the present invention, the access control ticket specifies an authentication method that allows either or any of a public key authentication method and a common key authentication method as an authentication method. An authentication type is described as information, and the memory-equipped device is configured to execute an authentication process according to an authentication type described in an access control ticket received from an access device.

【0023】さらに、本発明のデータアクセス制御シス
テムの一実施態様において、前記アクセス制御チケット
には、該アクセス制御チケットの発行手段のカテゴリま
たは識別子が格納され、前記メモリ搭載デバイスは、ア
クセス機器から受領したアクセス制御チケットに記述さ
れた該アクセス制御チケットの発行手段のカテゴリまた
は識別子に基づいて、チケットが正当な発行手段により
発行されたチケットであることの確認処理を実行し、該
確認を条件としてデータアクセスを許容する構成である
ことを特徴とする。
Further, in one embodiment of the data access control system of the present invention, the access control ticket stores a category or an identifier of a means for issuing the access control ticket, and the memory-equipped device receives the access control ticket from an access device. Based on the category or identifier of the issuing means of the access control ticket described in the access control ticket, a confirmation process is performed to confirm that the ticket is a ticket issued by a valid issuing means. It is characterized in that the access is permitted.

【0024】さらに、本発明のデータアクセス制御シス
テムの一実施態様において、前記アクセス制御チケット
には、該アクセス制御チケットの発行手段のカテゴリま
たは識別子が格納され、前記メモリ搭載デバイスは、ア
クセス機器から受領したアクセス制御チケットに記述さ
れた該アクセス制御チケットの発行手段のカテゴリまた
は識別子と、該アクセス制御チケットの発行手段の公開
鍵証明書に格納されたユーザ情報との対比に基づいてチ
ケットが正当な発行手段により発行されたチケットであ
ることの確認処理を実行し、該確認を条件としてデータ
アクセスを許容する構成であることを特徴とする。
Further, in one embodiment of the data access control system of the present invention, the access control ticket stores a category or an identifier of a means for issuing the access control ticket, and the memory-equipped device receives the access control ticket from an access device. The ticket is validly issued based on a comparison between the category or identifier of the access control ticket issuing means described in the access control ticket described above and the user information stored in the public key certificate of the access control ticket issuing means. It is characterized by executing a confirmation process of a ticket issued by the means, and permitting data access on condition of the confirmation.

【0025】さらに、本発明のデータアクセス制御シス
テムの一実施態様において、前記アクセス制御チケット
には、該アクセス制御チケットの利用手段であるアクセ
ス機器のカテゴリまたは識別子が格納され、前記メモリ
搭載デバイスは、アクセス機器から受領したアクセス制
御チケットに記述された該アクセス制御チケットの利用
手段であるアクセス機器のカテゴリまたは識別子に基づ
いて、チケットが正当な利用手段により提供されたチケ
ットであることの確認処理を実行し、該確認を条件とし
てデータアクセスを許容する構成であることを特徴とす
る。
Further, in one embodiment of the data access control system of the present invention, the access control ticket stores a category or an identifier of an access device which is a means for using the access control ticket, and Based on the category or identifier of the access device, which is the use device of the access control ticket described in the access control ticket received from the access device, executes a process of confirming that the ticket is a ticket provided by a valid use device. The data access is permitted under the condition of the confirmation.

【0026】さらに、本発明のデータアクセス制御シス
テムの一実施態様において、前記アクセス制御チケット
には、該アクセス制御チケットの利用手段のカテゴリま
たは識別子が格納され、前記メモリ搭載デバイスは、ア
クセス機器から受領したアクセス制御チケットに記述さ
れた該アクセス制御チケットの利用手段であるアクセス
機器のカテゴリまたは識別子と、該アクセス制御チケッ
トの利用手段の公開鍵証明書に格納されたユーザ情報と
の対比に基づいて、チケットが正当な利用手段により提
供されたチケットであることの確認処理を実行し、該確
認を条件としてデータアクセスを許容する構成であるこ
とを特徴とする。
Further, in one embodiment of the data access control system of the present invention, the access control ticket stores a category or an identifier of a use means of the access control ticket, and the memory-equipped device receives the category from the access device. Based on a comparison between the category or identifier of the access device that is the use means of the access control ticket described in the access control ticket and the user information stored in the public key certificate of the use means of the access control ticket, The present invention is characterized in that a confirmation process is performed to confirm that the ticket is a ticket provided by a valid use means, and that data access is permitted on condition of the confirmation.

【0027】さらに、本発明のデータアクセス制御シス
テムの一実施態様において、前記メモリ搭載デバイスの
メモリ部は、各々が対応するパーティションマネージャ
によって管理されるメモリ領域としての1以上のパーテ
ィション領域を有し、前記メモリ搭載デバイスは、前記
アクセス機器とのセッション中に実行したパーティショ
ン認証またはデバイス認証によって取得した公開鍵方式
認証情報およびセッション鍵、または共通鍵方式認証情
報およびセッション鍵を対応付けた認証テーブルを生成
する構成を有することを特徴とする。
Further, in one embodiment of the data access control system of the present invention, the memory section of the memory-equipped device has at least one partition area as a memory area managed by a corresponding partition manager, the memory mounting device generates an authentication table associating the access device and a public key system authentication information and the session key obtained by the partition authentication or device authentication performed during a session or a common key system authentication information and the session key, It is characterized by having the structure which does.

【0028】さらに、本発明の第2の側面は、データ格
納可能なメモリ部を有するメモリ搭載デバイスであり、
アクセス機器からコマンドを発行して前記メモリ部に格
納されたデータに対する処理を実行する制御手段を有
し、前記制御手段は、前記アクセス機器から、前記メモ
リ部に格納されたデータに対するアクセス制御データと
して構成されるアクセス制御チケットを受領して、該ア
クセス制御チケットに記述された認証ルールに基づく認
証の成立、および該アクセス制御チケットに記述された
アクセス機器の識別データの確認を条件としてデータア
クセスを許容する構成であることを特徴とするメモリ搭
載デバイスにある。
Further, a second aspect of the present invention is a memory-equipped device having a memory unit capable of storing data,
Control means for issuing a command from the access device to execute processing on the data stored in the memory unit, wherein the control unit performs, as access control data for the data stored in the memory unit, from the access device; Receiving the configured access control ticket, permitting data access on condition that authentication based on the authentication rule described in the access control ticket is completed and identification of the access device described in the access control ticket is confirmed. A memory-equipped device is characterized in that the memory-equipped device is characterized in that:

【0029】さらに、本発明のメモリ搭載デバイスの一
実施態様において、前記アクセス制御チケットには、認
証方式として公開鍵認証方式または共通鍵認証方式のい
ずれかまたはいずれでも許容する旨の認証方式指定情報
としての認証タイプが記述され、前記制御手段は、アク
セス機器から受領したアクセス制御チケットに記述され
た認証タイプに従って認証処理を実行する構成であるこ
とを特徴とする。
Further, in one embodiment of the memory-equipped device of the present invention, the access control ticket includes, as an authentication method, either public key authentication method or common key authentication method, or authentication method designation information indicating that the authentication method is permitted. The control type is configured to execute an authentication process according to the authentication type described in the access control ticket received from the access device.

【0030】さらに、本発明のメモリ搭載デバイスの一
実施態様において、前記アクセス制御チケットには、該
アクセス制御チケットの発行手段のカテゴリまたは識別
子が格納され、前記制御手段は、アクセス機器から受領
したアクセス制御チケットに記述された該アクセス制御
チケットの発行手段のカテゴリまたは識別子に基づい
て、チケットが正当な発行手段により発行されたチケッ
トであることの確認処理を実行し、該確認を条件として
データアクセスを許容する構成であることを特徴とす
る。
Further, in one embodiment of the memory-equipped device of the present invention, the access control ticket stores a category or an identifier of a means for issuing the access control ticket, and the control means controls the access received from the access device. Based on the category or identifier of the issuing unit of the access control ticket described in the control ticket, a confirmation process is performed to confirm that the ticket is a ticket issued by a valid issuing unit, and data access is performed on condition of the confirmation. It is characterized in that it is an allowable configuration.

【0031】さらに、本発明のメモリ搭載デバイスの一
実施態様において、前記アクセス制御チケットには、該
アクセス制御チケットの発行手段のカテゴリまたは識別
子が格納され、前記制御手段は、アクセス機器から受領
したアクセス制御チケットに記述された該アクセス制御
チケットの発行手段のカテゴリまたは識別子と、該アク
セス制御チケットの発行手段の公開鍵証明書に格納され
たユーザ情報との対比に基づいてチケットが正当な発行
手段により発行されたチケットであることの確認処理を
実行し、該確認を条件としてデータアクセスを許容する
構成であることを特徴とする。
Further, in one embodiment of the memory-equipped device of the present invention, the access control ticket stores a category or an identifier of a means for issuing the access control ticket, and the control means controls the access received from the access device. The ticket is authorized by the issuing means based on a comparison between the category or identifier of the issuing means of the access control ticket described in the control ticket and the user information stored in the public key certificate of the issuing means of the access control ticket. The present invention is characterized in that a confirmation process for executing the issued ticket is executed, and data access is permitted on condition of the confirmation.

【0032】さらに、本発明のメモリ搭載デバイスの一
実施態様において、前記アクセス制御チケットには、該
アクセス制御チケットの利用手段であるアクセス機器の
カテゴリまたは識別子が格納され、前記制御手段は、ア
クセス機器から受領したアクセス制御チケットに記述さ
れた該アクセス制御チケットの利用手段であるアクセス
機器のカテゴリまたは識別子に基づいて、チケットが正
当な利用手段により提供されたチケットであることの確
認処理を実行し、該確認を条件としてデータアクセスを
許容する構成であることを特徴とする。
Further, in one embodiment of the memory-equipped device of the present invention, the access control ticket stores a category or an identifier of an access device which is a use unit of the access control ticket, and the control unit includes an access device. Based on the category or identifier of the access device that is the use means of the access control ticket described in the access control ticket received from, based on the confirmation processing that the ticket is a ticket provided by a valid use means, The data access is permitted under the condition of the confirmation.

【0033】さらに、本発明のメモリ搭載デバイスの一
実施態様において、前記アクセス制御チケットには、該
アクセス制御チケットの利用手段のカテゴリまたは識別
子が格納され、前記制御手段は、アクセス機器から受領
したアクセス制御チケットに記述された該アクセス制御
チケットの利用手段であるアクセス機器のカテゴリまた
は識別子と、該アクセス制御チケットの利用手段の公開
鍵証明書に格納されたユーザ情報との対比に基づいて、
チケットが正当な利用手段により提供されたチケットで
あることの確認処理を実行し、該確認を条件としてデー
タアクセスを許容する構成であることを特徴とする。
In one embodiment of the memory-equipped device of the present invention, the access control ticket stores a category or an identifier of a use unit of the access control ticket, and the control unit stores the access control ticket received from the access device. Based on a comparison between the category or identifier of the access device that is the use means of the access control ticket described in the control ticket and the user information stored in the public key certificate of the use means of the access control ticket,
The present invention is characterized in that a confirmation process is performed to confirm that the ticket is a ticket provided by a valid use means, and that data access is permitted on condition of the confirmation.

【0034】さらに、本発明のメモリ搭載デバイスの一
実施態様において、前記メモリ搭載デバイスのメモリ部
は、各々が対応するパーティションマネージャによって
管理されるメモリ領域としての1以上のパーティション
領域を有し、前記制御手段は、前記アクセス機器とのセ
ッション中に実行したパーティション認証またはデバイ
ス認証によって取得した公開鍵方式認証情報およびセッ
ション鍵、または共通鍵方式認証情報およびセッション
鍵を対応付けた認証テーブルを生成する構成を有するこ
とを特徴とする。
Further, in one embodiment of the memory-equipped device of the present invention, the memory part of the memory-equipped device has one or more partition areas each as a memory area managed by a corresponding partition manager. The control unit is configured to generate an authentication table in which public key type authentication information and a session key obtained by partition authentication or device authentication executed during a session with the access device, or a common key type authentication information and a session key are associated. It is characterized by having.

【0035】さらに、本発明の第3の側面は、データ格
納可能なメモリ部を有するメモリ搭載デバイスに対し
て、アクセス機器からコマンドを発行して前記メモリ部
に格納されたデータに対する処理を実行するデータアク
セス制御方法であり、前記メモリ搭載デバイスは、前記
アクセス機器から、前記メモリ部に格納されたデータに
対するアクセス制御データとして構成されるアクセス制
御チケットを受領して、該アクセス制御チケットに記述
された認証ルールに基づく認証の成立、および該アクセ
ス制御チケットに記述されたアクセス機器の識別データ
の確認を条件としてデータアクセスを許容することを特
徴とするデータアクセス制御方法にある。
Further, according to a third aspect of the present invention, a command is issued from an access device to a memory-equipped device having a memory unit capable of storing data, and processing is performed on data stored in the memory unit. A data access control method, wherein the memory-equipped device receives, from the access device, an access control ticket configured as access control data for data stored in the memory unit, and the device described in the access control ticket. A data access control method is characterized in that data access is permitted on condition that authentication based on an authentication rule is established and identification data of an access device described in the access control ticket is confirmed.

【0036】さらに、本発明のデータアクセス制御方法
の一実施態様において、前記アクセス制御チケットに
は、認証方式として公開鍵認証方式または共通鍵認証方
式のいずれかまたはいずれでも許容する旨の認証方式指
定情報としての認証タイプが記述され、前記メモリ搭載
デバイスは、アクセス機器から受領したアクセス制御チ
ケットに記述された認証タイプに従って認証処理を実行
することを特徴とする。
Further, in one embodiment of the data access control method according to the present invention, the access control ticket specifies an authentication method in which either or any of a public key authentication method and a common key authentication method is permitted as an authentication method. An authentication type is described as information, and the memory-equipped device performs an authentication process according to an authentication type described in an access control ticket received from an access device.

【0037】さらに、本発明のデータアクセス制御方法
の一実施態様において、前記アクセス制御チケットに
は、該アクセス制御チケットの発行手段のカテゴリまた
は識別子が格納され、前記メモリ搭載デバイスは、アク
セス機器から受領したアクセス制御チケットに記述され
た該アクセス制御チケットの発行手段のカテゴリまたは
識別子に基づいて、チケットが正当な発行手段により発
行されたチケットであることの確認処理を実行し、該確
認を条件としてデータアクセスを許容することを特徴と
する。
Further, in one embodiment of the data access control method of the present invention, the access control ticket stores a category or an identifier of a means for issuing the access control ticket, and the memory-equipped device receives the access control ticket from an access device. Based on the category or identifier of the issuing means of the access control ticket described in the access control ticket, a confirmation process is performed to confirm that the ticket is a ticket issued by a valid issuing means. Access is allowed.

【0038】さらに、本発明のデータアクセス制御方法
の一実施態様において、前記アクセス制御チケットに
は、該アクセス制御チケットの発行手段のカテゴリまた
は識別子が格納され、前記メモリ搭載デバイスは、アク
セス機器から受領したアクセス制御チケットに記述され
た該アクセス制御チケットの発行手段のカテゴリまたは
識別子と、該アクセス制御チケットの発行手段の公開鍵
証明書に格納されたユーザ情報との対比に基づいてチケ
ットが正当な発行手段により発行されたチケットである
ことの確認処理を実行し、該確認を条件としてデータア
クセスを許容することを特徴とする。
Further, in one embodiment of the data access control method of the present invention, the access control ticket stores a category or an identifier of a means for issuing the access control ticket, and the memory-equipped device receives the category from the access device. The ticket is validly issued based on a comparison between the category or identifier of the access control ticket issuing means described in the access control ticket described above and the user information stored in the public key certificate of the access control ticket issuing means. Confirmation processing of the ticket issued by the means is executed, and data access is permitted on condition of the confirmation.

【0039】さらに、本発明のデータアクセス制御方法
の一実施態様において、前記アクセス制御チケットに
は、該アクセス制御チケットの利用手段であるアクセス
機器のカテゴリまたは識別子が格納され、前記メモリ搭
載デバイスは、アクセス機器から受領したアクセス制御
チケットに記述された該アクセス制御チケットの利用手
段であるアクセス機器のカテゴリまたは識別子に基づい
て、チケットが正当な利用手段により提供されたチケッ
トであることの確認処理を実行し、該確認を条件として
データアクセスを許容することを特徴とする。
Further, in one embodiment of the data access control method of the present invention, the access control ticket stores a category or an identifier of an access device which is a means for using the access control ticket, and the memory-mounted device includes: Based on the category or identifier of the access device, which is the use device of the access control ticket described in the access control ticket received from the access device, executes a process of confirming that the ticket is a ticket provided by a valid use device Then, data access is permitted under the condition of the confirmation.

【0040】さらに、本発明のデータアクセス制御方法
の一実施態様において、前記アクセス制御チケットに
は、該アクセス制御チケットの利用手段のカテゴリまた
は識別子が格納され、前記メモリ搭載デバイスは、アク
セス機器から受領したアクセス制御チケットに記述され
た該アクセス制御チケットの利用手段であるアクセス機
器のカテゴリまたは識別子と、該アクセス制御チケット
の利用手段の公開鍵証明書に格納されたユーザ情報との
対比に基づいて、チケットが正当な利用手段により提供
されたチケットであることの確認処理を実行し、該確認
を条件としてデータアクセスを許容することを特徴とす
る。
Further, in one embodiment of the data access control method of the present invention, the access control ticket stores a category or an identifier of a use means of the access control ticket, and the memory-equipped device receives the category or identifier from an access device. Based on a comparison between the category or identifier of the access device that is the use means of the access control ticket described in the access control ticket and the user information stored in the public key certificate of the use means of the access control ticket, A confirmation process is performed to confirm that the ticket is a ticket provided by a valid use unit, and data access is permitted on condition of the confirmation.

【0041】さらに、本発明のデータアクセス制御方法
の一実施態様において、前記メモリ搭載デバイスのメモ
リ部は、各々が対応するパーティションマネージャによ
って管理されるメモリ領域としての1以上のパーティシ
ョン領域を有し、前記メモリ搭載デバイスは、前記アク
セス機器とのセッション中に実行したパーティション認
証またはデバイス認証によって取得した公開鍵方式認証
情報およびセッション鍵、または共通鍵方式認証情報お
よびセッション鍵を対応付けた認証テーブルを生成する
ことを特徴とする。
Further, in one embodiment of the data access control method of the present invention, the memory section of the memory-equipped device has at least one partition area as a memory area each managed by a corresponding partition manager, The memory-equipped device generates an authentication table in which public key authentication information and a session key obtained by partition authentication or device authentication executed during a session with the access device, or a common key authentication information and a session key are associated with each other. It is characterized by doing.

【0042】さらに、本発明の第4の側面は、データ格
納可能なメモリ部を有するメモリ搭載デバイスにおい
て、アクセス機器からコマンドを発行して前記メモリ部
に格納されたデータに対する処理をコンピュータ・シス
テム上で実行せしめるコンピュータ・プログラムを提供
するプログラム記憶媒体であって、前記コンピュータ・
プログラムは、前記アクセス機器から、前記メモリ部に
格納されたデータに対するアクセス制御データとして構
成されるアクセス制御チケットを受領するステップと、
該アクセス制御チケットに記述された認証ルールに基づ
く認証の成立、および該アクセス制御チケットに記述さ
れたアクセス機器の識別データの確認を条件としてデー
タアクセスを許容するステップと、を有することを特徴
とするプログラム記憶媒体にある。
Further, according to a fourth aspect of the present invention, in a memory-equipped device having a memory unit capable of storing data, a command is issued from an access device to perform processing on data stored in the memory unit on a computer system. A program storage medium for providing a computer program to be executed by the computer;
Receiving, from the access device, an access control ticket configured as access control data for data stored in the memory unit;
A step of permitting data access on condition that the authentication based on the authentication rule described in the access control ticket is established and that the identification data of the access device described in the access control ticket is confirmed. It is on the program storage medium.

【0043】なお、本発明のプログラム記憶媒体は、例
えば、様々なプログラム・コードを実行可能な汎用コン
ピュータ・システムに対して、コンピュータ・プログラ
ムをコンピュータ可読な形式で提供する媒体である。媒
体は、CDやFD、MOなどの記録媒体、通信可能媒体
など、その形態は特に限定されない。
The program storage medium of the present invention is a medium that provides a computer program in a computer-readable format to a general-purpose computer system that can execute various program codes. The form of the medium is not particularly limited, such as a recording medium such as a CD, an FD, and an MO, and a communicable medium.

【0044】このようなプログラム記憶媒体は、コンピ
ュータ・システム上で所定のコンピュータ・プログラム
の機能を実現するための、コンピュータ・プログラムと
記憶媒体との構造上又は機能上の協働的関係を定義した
ものである。換言すれば、該記憶媒体を介してコンピュ
ータ・プログラムをコンピュータ・システムにインスト
ールすることによって、コンピュータ・システム上では
協働的作用が発揮され、本発明の他の側面と同様の作用
効果を得ることができるのである。
Such a program storage medium defines a structural or functional cooperative relationship between the computer program and the storage medium for realizing a predetermined computer program function on a computer system. Things. In other words, by installing the computer program into the computer system via the storage medium, a cooperative operation is exerted on the computer system, and the same operation and effect as the other aspects of the present invention can be obtained. You can do it.

【0045】本発明のさらに他の目的、特徴や利点は、
後述する本発明の実施例や添付する図面に基づくより詳
細な説明によって明らかになるであろう。なお、本明細
書においてシステムとは、複数の装置の論理的集合構成
であり、各構成の装置が同一筐体内にあるものには限ら
ない。
Still other objects, features and advantages of the present invention are:
It will become apparent from the following more detailed description based on the embodiments of the present invention and the accompanying drawings. In this specification, a system is a logical set configuration of a plurality of devices, and is not limited to a configuration in which devices of each configuration are in the same housing.

【0046】[0046]

【発明の実施の形態】以下、図面を参照しながら、本発
明の実施の形態について詳細に説明する。なお、説明
は、以下の項目に従って行なう。 A.デバイスを利用したデータ処理システムの構成エン
ティテイおよびチケットに関する説明 A1.メモリ搭載デバイスを利用したデータ管理システ
ムの概要 A2.デバイスの構成 A3.デバイスマネージャの構成 A4.パーティションマネージャの構成 A5.チケットユーザ(デバイスアクセス機器としての
リーダライタ)の構成 A6.公開鍵証明書 A7.デバイスのメモリ部における格納データ A7.1.デバイス固有情報およびデバイス内パーティ
ション情報領域 A7.2.パーティション領域 A8.各チケットのデータフォーマット A8.1.パーティション登録チケット(PRT) A8.2.ファイル登録チケット(FRT) A8.3.サービス許可チケット(SPT) A8.4.データアップデートチケット(DUT) B.ユーザに対するデバイスの配布、デバイスに対する
各種設定、デバイス利用処理の詳細についての説明 B1.デバイス初期登録から利用までの流れ B2.デバイス製造エンティテイによる初期登録処理 B3.デバイスマネージャの管轄処理 B3.1.デバイスマネージャによるデバイス登録処理 B3.2.デバイスマネージャ管理下における公開鍵証
明書発行処理 B4.パーティションマネージャの管轄処理 B4.1.パーティションマネージャ管理下におけるパ
ーティション登録チケット(PRT)を利用したパーテ
ィション設定登録、削除処理 B4.2.パーティションマネージャ管理下における公
開鍵証明書発行処理 B4.3.パーティション生成処理各方式における処理
手順 B4.4.ファイル登録チケット(FRT)を利用した
ファイル生成、消去処理 B4.5.ファイル生成処理各方式における処理手順 B4.6.サービス許可チケット(SPT)を利用した
サービス(ファイルアクセス)処理 B4.7.サービス許可チケット(SPT)を利用した
アクセス処理各方式における処理手順 B5.データアップデートチケット(DUT)を利用し
たデバイスのデータ更新処理
Embodiments of the present invention will be described below in detail with reference to the drawings. The description will be made according to the following items. A. Description of configuration entity and ticket of data processing system using device A1. Outline of data management system using memory-mounted device A2. Device configuration A3. Configuration of Device Manager A4. Configuration of Partition Manager A5. Configuration of ticket user (reader / writer as device access device) A6. Public key certificate A7. Data stored in memory section of device A7.1. Device-specific information and in-device partition information area A7.2. Partition area A8. Data format of each ticket A8.1. Partition Registration Ticket (PRT) A8.2. File Registration Ticket (FRT) A8.3. Service permission ticket (SPT) A8.4. Data update ticket (DUT) Description of details of device distribution to users, various settings for devices, and device use processing B1. Flow from initial device registration to use B2. Initial registration processing by device manufacturing entity B3. Jurisdiction process of device manager B3.1. Device registration processing by device manager B3.2. Public key certificate issuance processing under device manager management B4. Jurisdiction process of partition manager B4.1. Partition setting registration / deletion processing using partition registration ticket (PRT) under management of partition manager B4.2. Public key certificate issuance processing under the control of partition manager B4.3. Processing procedure in each method of partition generation processing B4.4. File generation and deletion processing using file registration ticket (FRT) B4.5. Processing procedure in each method of file generation processing B4.6. Service (file access) process using service permission ticket (SPT) B4.7. Processing procedure in each access processing method using service permission ticket (SPT) B5. Device data update process using data update ticket (DUT)

【0047】[0047]

【実施例】[A1.メモリ搭載デバイスを利用したデー
タ管理システムの概要]図1に本発明のデータ管理シス
テムの概要を説明する図を示す。メモリ搭載デバイス
(以下デバイス)100はデバイス製造エンティテイ
(manufacturer)500により製造され、デバイス管理
エンティテイとしてのデバイスマネージャ(DM:Devi
ce Manager)200の管理の下にユーザに提供されて利
用される。ユーザに対するデバイスの提供形態は、貸与
または販売(譲渡を含む)など、いずれの形態でもよ
い。
Embodiment [A1. Outline of data management system using memory-mounted device] FIG. 1 is a diagram for explaining the outline of a data management system of the present invention. The memory-mounted device (hereinafter referred to as a device) 100 is manufactured by a device manufacturing entity (manufacturer) 500, and a device manager (DM: Devi) as a device management entity.
ce Manager) 200 provided to the user and used. The form of providing the device to the user may be any form such as lending or selling (including transfer).

【0048】デバイス100は、メモリ領域が複数のデ
ータ格納領域としてのパーティションに分割され、個々
のパーティション(Partition A,B…Z)は、様々なサー
ビス主体(A,B,…Z)300A〜300Zとしての
パーティションマネージャの管理の下、様々なサービス
に利用される。
In the device 100, the memory area is divided into partitions as a plurality of data storage areas, and each partition (Partition A, B... Z) has various service entities (A, B,... Z) 300A to 300Z. It is used for various services under the management of Partition Manager.

【0049】デバイス100に対するパーティションの
設定登録処理、デバイスに設定されたパーティション内
におけるファイルの設定登録処理、さらに、登録された
各ファイルに対するアクセス処理にはそれぞれ正当なチ
ケット発行手段(Ticket Issuer)の発行したデバイス
に対するアクセスコントロールチケットを必要とする。
In the partition setting registration processing for the device 100, the file registration registration processing in the partition set in the device, and the access processing for each registered file, a valid ticket issuer (Ticket Issuer) is issued. Require an access control ticket for the specified device.

【0050】デバイス100に対するパーティションの
設定登録処理には、正当なチケット発行手段(Ticket I
ssuer)の発行したパーティション登録チケット(PR
T:Partition Registration Ticket)が必要であり、
デバイスに設定されたパーティション内に対するファイ
ルの設定登録処理には、正当なチケット発行手段(Tick
et Issuer)の発行したファイル登録チケット(FR
T:File Registration Ticket)が必要であり、また、
各ファイルに対するアクセスには正当なチケット発行手
段(Ticket Issuer)の発行したサービス許可チケット
(SPT:Service Permission Ticket)が必要とな
る。
In the partition setting registration process for the device 100, a valid ticket issuing means (Ticket I
ssuer) issued a partition registration ticket (PR
T: Partition Registration Ticket)
In the file setting registration process in the partition set in the device, a valid ticket issuing means (Tick
et Issuer) issued a file registration ticket (FR
T: File Registration Ticket)
Access to each file requires a service permission ticket (SPT) issued by a valid ticket issuer.

【0051】各チケットには、デバイス100に対する
アクセスルール、例えばデバイスに対して読み書きなど
各種処理を実行するリーダ/ライタとデバイス間の相互
認証処理に関するルールの他、例えばパーティション登
録チケット(PRT)であれば、設定できるパーティシ
ョンサイズ、ファイル登録チケット(FRT)であれ
ば、設定できるファイルサイズ、サービス許可チケット
(SPT)であれば、実行可能なアクセス態様(ex.
データ読み出し、書き込みなど)などが格納され、さら
にチケット発行者、チケット利用者に関する情報、その
他の情報が格納される。また、これらチケット格納デー
タに対する改竄チェック用のICV(Integrity Check
Value)が記録され、チケットの改竄の無いことを条件
としてチケットに記録された範囲内の処理が実行可能と
なる。これらチケットの詳細については後段で説明す
る。
Each ticket includes, for example, a partition registration ticket (PRT) in addition to an access rule for the device 100, for example, a rule relating to a mutual authentication process between a reader / writer that performs various processes such as reading and writing for the device and the device. For example, a partition size that can be set, a file registration ticket (FRT) that can be set, a file size that can be set, and a service permission ticket (SPT) that can be accessed (ex.
Data reading, writing, etc.), and information on the ticket issuer, the ticket user, and other information. Further, an ICV (Integrity Check) for falsification check on the ticket storage data is used.
Value) is recorded, and processing within the range recorded in the ticket can be executed on condition that there is no tampering of the ticket. The details of these tickets will be described later.

【0052】図1において示す例では、パーティション
登録チケット(PRT)を発行するチケット発行手段
(Ticket Issuer)はデバイスマネージャ(DM)20
0内に設定され、パーティションマネージャとしてのサ
ービス主体A,300A内にファイル登録チケット(F
RT)、およびサービス許可チケット(SPT)を発行
するチケット発行手段(Ticket Issuer)が設定され
る。なお図1の構成は、サービス主体B…Z,300B
〜300Zについても基本的にサービス主体Aと同様の
構成を持つものであり、各サービス主体にファイル登録
チケット(FRT)、およびサービス許可チケット(S
PT)を発行するチケット発行手段(TicketIssuer)が
設定される。
In the example shown in FIG. 1, a ticket issuing means (Ticket Issuer) for issuing a partition registration ticket (PRT) is a device manager (DM) 20.
0, and the file registration ticket (F) is stored in the service entity A, 300A as the partition manager.
RT) and a ticket issuer (Ticket Issuer) for issuing a service permission ticket (SPT). It should be noted that the configuration in FIG.
To 300Z have basically the same configuration as the service subject A. Each service subject has a file registration ticket (FRT) and a service permission ticket (S
A ticket issuing means (TicketIssuer) for issuing a PT) is set.

【0053】なお、図1では、サービス主体とパーティ
ションマネージャ(PM)を同一エンティテイとして示
しているが、必ずしもこれらのエンティテイは同一であ
ることは必要でなく、デバイスに設定されるメモリ領域
としてのパーティションを管理するパーティションマネ
ージャと、パーティションマネージャの管理するメモリ
領域であるパーティションをパーティションマネージャ
から所定契約の下に借り受けて、借り受けたパーティシ
ョン内に様々なファイルを格納してサービスを提供する
サービス主体とが別エンティテイとして存在してもよ
い。以下の説明では、説明を簡略化するためにサービス
主体がパーティションマネージャとして機能する構成例
について説明する。
Although the service entity and the partition manager (PM) are shown as the same entity in FIG. 1, these entities do not necessarily need to be the same entity, and the partition as a memory area set in the device is not necessary. And a service entity that borrows a partition that is a memory area managed by the partition manager from the partition manager under a predetermined contract, stores various files in the borrowed partition, and provides services. It may exist as an entity. In the following description, an example of a configuration in which a service entity functions as a partition manager will be described to simplify the description.

【0054】各サービス主体300A〜300Zとして
のパーティションマネージャ(PM)は、デバイスマネ
ージャ(DM)200に対して、例えば相応の対価を支
払うなど所定の契約の下に、パーティション登録チケッ
ト(PRT)の発行要求を行ない、デバイスマネージャ
(DM)の許諾の下、デバイスマネージャ(DM)内の
チケット発行手段(Ticket Issuer)が各サービス主体
としてのパーティションマネージャ(PM)に対してパ
ーティション登録チケット(PRT)を発行する。
The partition manager (PM) as each of the service entities 300A to 300Z issues a partition registration ticket (PRT) to the device manager (DM) 200 under a predetermined contract, for example, by paying a corresponding price. Make a request and, under the permission of the device manager (DM), the ticket issuing means (Ticket Issuer) in the device manager (DM) issues a partition registration ticket (PRT) to the partition manager (PM) as each service entity I do.

【0055】各サービス主体(パーティションマネージ
ャ(PM))300は、通信インタフェース(I/F)
を介してユーザの所有デバイス100に対するアクセス
を実行し、デバイスマネージャ(DM)200から受領
したパーティション登録チケット(PRT)に記録され
たルールに従った認証、検証等の処理を実行し、かつパ
ーティション登録チケット(PRT)に記録された許可
範囲内のパーティションの設定登録処理を実行する。こ
の処理については後段で詳細に説明する。
Each service entity (partition manager (PM)) 300 has a communication interface (I / F).
The user accesses the device 100 owned by the user via the PC, executes processes such as authentication and verification according to the rules recorded in the partition registration ticket (PRT) received from the device manager (DM) 200, and registers the partition. A setting registration process of the partition within the permission range recorded in the ticket (PRT) is executed. This processing will be described later in detail.

【0056】通信I/Fは、有線、無線を問わず、外部
機器(デバイス)とのデータ通信可能なインタフェース
であればよく、例えば、デバイスがUSB接続構成を持
つ場合はUSBI/F、また、ICカード型であれはI
Cカード用リーダライタ、さらに公衆回線、通信回線、
インターネットなど各種の通信機能を持つデバイス、あ
るいはこれらの通信装置に接続可能なデバイスであれ
ば、各通信方式に従ったデータ通信I/Fとして構成さ
れる。
The communication I / F may be an interface capable of performing data communication with an external device (device) irrespective of wired or wireless. For example, when the device has a USB connection configuration, a USB I / F; I for IC card type
Reader / writer for C card, public line, communication line,
A device having various communication functions such as the Internet or a device connectable to these communication devices is configured as a data communication I / F according to each communication method.

【0057】また、デバイス100にサービス主体30
0のパーティションが設定されると、各サービス主体3
00は、通信インタフェース(I/F)を介してユーザ
所有のデバイス100にアクセスし、各サービス主体3
00のチケット発行手段(Ticket Issuer)の発行する
ファイル登録チケット(FRT)に記録されたルールに
従った認証、検証等の処理を実行し、かつファイル登録
チケット(FRT)に記録された許可範囲内のファイル
の設定登録処理を実行する。この処理については後段で
詳細に説明する。
Further, the service subject 30 is provided in the device 100.
When a partition of 0 is set, each service entity 3
00 accesses the user-owned device 100 via the communication interface (I / F), and
No. 00 executes processing such as authentication and verification in accordance with the rules recorded in the file registration ticket (FRT) issued by the ticket issuer (Ticket Issuer), and within the permitted range recorded in the file registration ticket (FRT). Execute the setting registration process of the file. This processing will be described later in detail.

【0058】さらに、各サービス主体300は、通信イ
ンタフェース(I/F)を介してユーザの所有デバイス
100にアクセスし、各サービス主体のチケット発行手
段(Ticket Issuer)の発行するサービス許可チケット
(SPT)に記録されたルールに従った認証、検証等の
処理を実行し、かつサービス許可チケット(SPT)に
記録された許可範囲内のアクセス(ex.データの読み
取り、書き込みなど)処理を実行する。この処理につい
ては後段で詳細に説明する。
Further, each service entity 300 accesses the device 100 owned by the user via the communication interface (I / F), and issues a service permission ticket (SPT) issued by the ticket issuing means (Ticket Issuer) of each service entity. , And performs access (ex. Data reading, writing, etc.) processing within the permitted range recorded in the service permission ticket (SPT). This processing will be described later in detail.

【0059】また、図1に示すように、デバイスマネー
ジャ200、パーティションマネージャ300の上位に
コード管理機関400が設定され、個々のデバイスマネ
ージャ、パーティションマネージャに各エンティテイの
識別情報としてのコードを割り振る処理を行なってい
る。これら各マネージャに付与されたコードは、前述の
パーティション登録チケット(PRT)、ファイル登録
チケット(FRT)等のアクセスコントロールチケット
の格納データとされる。
As shown in FIG. 1, a code management organization 400 is set above the device manager 200 and the partition manager 300, and performs a process of allocating a code as identification information of each entity to each device manager and partition manager. I do. The codes assigned to these managers are stored data of access control tickets such as the partition registration ticket (PRT) and the file registration ticket (FRT) described above.

【0060】デバイス100がユーザに提供(ex.貸
与、販売)されユーザが利用する以前に、提供デバイス
を管理するデバイスマネージャ(DM)200が設定さ
れ、その提供デバイス内にデバイスマネージャコード
他、デバイスマネージャの管理情報が書き込まれる。こ
れらのデータ詳細については後述する。
Before the device 100 is provided (ex. Lent, sold) to the user and used by the user, a device manager (DM) 200 for managing the provided device is set, and a device manager code and other devices are provided in the provided device. The management information of the manager is written. Details of these data will be described later.

【0061】本発明のメモリデバイスを利用したデータ
管理システムにおける公開鍵証明書の発行処理と各エン
ティテイの関係について、図2を用いて説明する。
The relationship between public key certificate issuance processing and each entity in the data management system using the memory device of the present invention will be described with reference to FIG.

【0062】図2は、デバイス管理エンティテイとして
のデバイスマネージャ、デバイスに設定された各パーテ
ィションの管理エンティテイとして、2つのパーティシ
ョンマネージャ300A,300B、デバイスマネージ
ャ200に対して識別コードを付与するコード管理機関
400を示している。さらに、デバイスマネージャ20
0の管轄する登録局210からの公開鍵証明書発行要求
に応じて、デバイスマネージャ200、デバイスマネー
ジャ管轄の各機器(パーティション登録チケット(PR
T)発行手段(PRT Issuer)210、あるいはデバ
イス100に対応するデバイス対応公開鍵証明書(CERT
-DEV)を発行するデバイスマネージャ対応認証局(CA
(DEV):Certificate Authority)610、パーテ
ィションマネージャ300A,300B管轄の各機器
(ファイル登録チケット(FRT)発行手段(FRT I
ssuer)310、サービス許可チケット発行手段(SP
T)320、チケットユーザであるデバイスアクセス機
器としてのリーダライタ711〜714、あるいはデバ
イス100のパーティションに対応するパーティション
対応公開鍵証明書(CERT-PAR)を発行するパーティショ
ンマネージャ対応認証局(CA(PAR):Certificat
e Authority)620,630が存在する。
FIG. 2 shows a device manager as a device management entity, two partition managers 300 A and 300 B, and a code management organization 400 for assigning an identification code to the device manager 200 as a management entity of each partition set in the device. Is shown. Further, the device manager 20
In response to a public key certificate issuance request from the registration authority 210 under the jurisdiction of the device manager 200, each device (partition registration ticket (PR
T) Issuing means (PRT Issuer) 210 or a device corresponding public key certificate (CERT) corresponding to the device 100
-DEV-issued Certificate Authority (CA)
(DEV): Certificate Authority 610, devices under the jurisdiction of partition managers 300A, 300B (file registration ticket (FRT) issuing means (FRTI)
ssuer) 310, service permission ticket issuing means (SP
T) 320, a reader / writer 711-714 as a device access device as a ticket user, or a partition manager compatible certificate authority (CA (PAR)) that issues a partition corresponding public key certificate (CERT-PAR) corresponding to a partition of the device 100. ): Certificat
e Authority) 620 and 630.

【0063】なお、図2には、認証局をデバイスマネー
ジャ対応認証局:CA(Certificate Authority) fo
r DM(またはCA(DEV))610と、パーティ
ションマネージャ対応認証局:CA for PAR(ま
たはCA(PAR))620,630と個別に有する構
成を示しているが、両機能を持つ唯一の認証局を設けた
り、複数のパーティションマネージャに対応する共通の
認証局とデバイスマネージャ対応認証局を別々に設けた
り、その構成は自由である。
In FIG. 2, the certificate authority is a device manager-compatible certificate authority: CA (Certificate Authority) fo
r DM (or CA (DEV)) 610 and CAs for PAR (or CA (PAR)) 620 and 630 corresponding to partition managers are shown, but the only CA having both functions is shown. Or a common certificate authority corresponding to a plurality of partition managers and a separate certificate authority corresponding to a device manager can be provided freely.

【0064】デバイスマネージャ200、パーティショ
ンマネージャ300A,300Bは、自己の公開鍵証明
書、各マネージャの管理する各機器(チケット発行手
段、チケットユーザ)の公開鍵証明書、または、デバイ
ス100からの公開鍵証明書発行要求を受理し、受理し
た発行要求の検証を行ない、検証の後、証明書発行要求
を認証局に対して転送する処理を行なうとともに、発行
された公開鍵証明書の管理処理を行なう登録局(RA:
Registration Authority)220,330を有する。
The device manager 200 and the partition managers 300 A and 300 B have their own public key certificates, public key certificates of devices (ticket issuing means, ticket users) managed by each manager, or public keys from the device 100. A certificate issuance request is received, the received issuance request is verified, and after the verification, a process of transferring the certificate issuance request to the certificate authority is performed, and a process of managing the issued public key certificate is performed. Registration Authority (RA:
Registration Authority) 220,330.

【0065】これら登録局(RA)220,330を介
して各認証局(CA)610,620,630から発行
された公開鍵証明書はデバイス100に格納され、デバ
イス100に対する処理としての例えばパーティション
の設定処理、あるいはパーティションに対する処理とし
ての例えばファイル設定処理、さらにファイルに対する
アクセス処理等の際の相互認証処理、あるいは前述した
各チケットの正当性検証処理に使用される。これら公開
鍵証明書の発行処理、公開鍵証明書を使用した各処理の
詳細については後述する。
The public key certificate issued from each of the certification authorities (CA) 610, 620, and 630 through the registration authorities (RA) 220 and 330 is stored in the device 100, and the processing for the device 100 is performed, for example, on the partition. It is used for setting processing, for example, file setting processing as processing for a partition, mutual authentication processing at the time of file access processing, and the like, or the above-described validity verification processing of each ticket. Details of the public key certificate issuance processing and each processing using the public key certificate will be described later.

【0066】図2において、デバイス100は、パーテ
ィションとしてパーティションマネージャ1,300A
の管理パーティション:PM1Area、パーティショ
ンマネージャ2,300Bの管理パーティション:PM
2Areaを有し、さらに、デバイスマネージャ200
の管理領域としてのDMAreaを有する。
In FIG. 2, the device 100 has partition managers 1 and 300A as partitions.
Management partition: PM1Area, partition manager 2, 300B management partition: PM
2Area and a device manager 200
Has a DMArea as a management area.

【0067】デバイスマネージャ200はパーティショ
ン登録チケット発行手段(PRT Issuer)210を有
し、パーティションマネージャ300は、ファイル登録
チケット発行手段(FRT Issuer)310、およびサ
ービス許可チケット発行手段(SPT Issuer)320
を有しており、それぞれ各チケットを発行する。
The device manager 200 has a partition registration ticket issuing means (PRT Issuer) 210, and the partition manager 300 has a file registration ticket issuing means (FRT Issuer) 310 and a service permission ticket issuing means (SPT Issuer) 320.
Each ticket is issued.

【0068】パーティションマネージャ1,300A
は、PRT、FRT、SPT各チケット毎に異なる専用
のリーダ/ライタ(デバイスに対するデータ読み出し書
き込み用のインタフェース)711〜713を有した構
成であり、パーティションマネージャ2,300Bは、
各チケットに共通のリーダ/ライタ714を有した構成
を示している。リーダ/ライタはこのように様々な構成
をとることが可能である。
Partition Manager 1,300A
Is a configuration having dedicated reader / writers (interfaces for reading and writing data to devices) 711 to 713 which are different for each ticket of PRT, FRT, and SPT.
A configuration having a common reader / writer 714 for each ticket is shown. The reader / writer can have various configurations as described above.

【0069】さらに図3を用いてエンティテイの具体例
について説明する。図3には、デバイスに設定されたパ
ーティションを利用したサービスを提供するサービス主
体としてのパーティションマネージャとして東西鉄道株
式会社および南北鉄道株式会社の2つのサービス主体を
想定し、これらパーティションマネージャに対してパー
ティションの設定登録を行なうデバイスマネージャとし
て日本鉄道グループという組織を想定したデバイス利用
構成例を示している。
Further, a specific example of the entity will be described with reference to FIG. FIG. 3 assumes two service entities of East-West Railway Company and North-South Railway Company as partition managers as service entities that provide services using partitions set in devices. The figure shows an example of a device usage configuration assuming an organization called the Japan Railways Group as a device manager for registering settings.

【0070】東西鉄道株式会社は、ユーザのデバイスに
設定された自身の管理するパーティション:PM1内に
複数のファイルを設定登録している。すなわち、定期券
用ファイル、プリペイド用ファイル、その他用ファイル
である。各サービス主体としてのパーティションマネー
ジャは自己の提供するサービスに応じて設定されたデバ
イスマネージャによって割り当てられたパーティション
内に様々なファイルを登録できる。ただし、ファイルの
設定登録にはファイル登録チケット(FRT)が必要と
なる。
Tozai Railway Co., Ltd. sets and registers a plurality of files in its own partition: PM1 set in the user's device. That is, a commuter pass file, a prepaid file, and other files. The partition manager as each service entity can register various files in the partition assigned by the device manager set according to the service provided by itself. However, a file registration ticket (FRT) is required for file setting registration.

【0071】東西鉄道株式会社は、デバイスの1つのパ
ーティション:PM1Areaを管理するパーティショ
ンマネージャとして機能する。パーティション:PM1
Areaは、デバイスマネージャとしての日本鉄道グル
ープによって、日本鉄道グループのPRTIssuer
の発行するパーティション登録チケット(PRT)に記
録されたルールに従った認証、検証等の処理が実行さ
れ、かつパーティション登録チケット(PRT)に記録
された許可範囲内のパーティションの設定登録処理によ
って設定されて、東西鉄道株式会社に付与される。
Tozai Railway Co., Ltd. functions as a partition manager that manages one partition of the device: PM1Area. Partition: PM1
Area is being managed by Japan Railway Group PRTIssuer by the Japan Railway Group as a device manager.
In accordance with the rules recorded in the partition registration ticket (PRT) issued by the user, authentication, verification, and the like are performed, and the partition registration ticket (PRT) is set by the partition registration ticket (PRT) within the permitted range. And granted to East-West Railway Company.

【0072】東西鉄道株式会社は、付与されたパーティ
ション:PM1Areaに自身の提供するサービスに応
じて様々なファイルを設定する。例えば定期券ファイ
ル、プリペイド用ファイルであり、定期券ファイル内の
データ格納エリアには例えば、定期券使用者名、使用期
間、利用区間など定期券管理データとして必要な各種デ
ータを記録する。また、プリペイド用ファイルには、使
用者名、プリペイド金額、残額データなどが記録され
る。このファイル設定処理には、東西鉄道のFRTIs
suerの発行するファイル登録チケット(FRT)に
記録されたルールに従った認証、検証等の処理が実行さ
れ、かつファイル登録チケット(FRT)に記録された
許可範囲内のファイルの設定登録処理によって設定され
る。
Tozai Railway Co., Ltd. sets various files in the assigned partition: PM1Area according to the service provided by itself. For example, it is a commuter pass file and a prepaid file, and in a data storage area in the commuter pass file, various data necessary as commuter pass management data such as a commuter pass user name, a use period, and a use section are recorded. In the prepaid file, a user name, a prepaid amount, balance data, and the like are recorded. In this file setting process, FRTIs of East-West Railway
Processing such as authentication and verification is performed according to the rules recorded in the file registration ticket (FRT) issued by the user, and the setting is performed by setting and registering the files within the permitted range recorded in the file registration ticket (FRT). Is done.

【0073】このように様々なファイルの設定されたデ
バイスがユーザによって使用される。例えば、ユーザが
デバイスを使用してデバイスアクセス機器としてのリー
ダライタを備えた改札にデバイスをセットして利用する
ことが可能である。例えば改札に備えられた正当なリー
ダライタにより、定期券用ファイルのアクセスが実行さ
れて、利用区間の読み取りが行われる。またプリペイド
用ファイルにアクセスして、プリペイド用ファイル内の
残金データの更新処理が実行される。
The devices in which various files are set are used by the user. For example, a user can use the device by setting the device in a ticket gate provided with a reader / writer as a device access device. For example, a legitimate reader / writer provided for a ticket gate accesses the commuter pass file and reads the use section. Further, the prepaid file is accessed, and the process of updating the balance data in the prepaid file is executed.

【0074】デバイス内の、いずれのファイルにアクセ
スしてどのような処理(読み取り、書き込み、、減額e
tc)を実行するかは、東西鉄道のサービス許可チケッ
ト(SPT)発行手段(SPT issuer)の発行するサ
ービス許可チケット(SPT)に記録されている。例え
ば改札に備えられた正当なデバイスアクセス機器として
のリーダライタにはこれらのチケットが格納されてお
り、チケットに記録されたルールに従ってデバイス間と
の認証処理、チケット検証等の処理が実行される。デバ
イスアクセス機器としてのリーダライタおよびデバイス
相互が正当な機器であり、使用チケットが正当である場
合にサービス許可チケット(SPT)に記録された許可
範囲内の処理(ex.ファイル内のデータ読み取り、書
き込み、、減額etc)が実行されることになる。
Which file in the device is accessed and what processing (read, write, reduce e
Whether to execute tc) is recorded in the service permission ticket (SPT) issued by the service permission ticket (SPT) issuing means (SPT issuer) of the East-West Railway. For example, these tickets are stored in a reader / writer as a legitimate device access device provided for a ticket gate, and processes such as authentication between devices and ticket verification are executed in accordance with rules recorded in the tickets. If the reader / writer as the device access device and the device are valid devices and the use ticket is valid, processing within the permitted range recorded in the service permission ticket (SPT) (ex. Reading and writing of data in the file) ,, Etc.) will be executed.

【0075】パーティション登録チケット(PRT)、
ファイル登録チケット(FRT)、およびサービス許可
チケット(SPT)の各種チケットを発行するチケット
発行手段(Ticket Issuer)とチケット発行手段によっ
て発行されたチケットを利用するチケットユーザ(Tick
et User)の一般的な対応関係を図4に示す。
Partition registration ticket (PRT),
A ticket issuing means (Ticket Issuer) for issuing various tickets such as a file registration ticket (FRT) and a service permission ticket (SPT), and a ticket user (Tick) using the ticket issued by the ticket issuing means.
FIG. 4 shows a general correspondence relationship between E. et User).

【0076】チケット発行手段(Ticket Issuer)は、
図1他で説明したように、デバイスマネージャ、あるい
はパーティションマネージャの管理下にあり、デバイス
に対する処理に応じたパーティション登録チケット(P
RT)、ファイル登録チケット(FRT)、およびサー
ビス許可チケット(SPT)の各種チケットを発行す
る。チケットユーザ(Ticket User)は、チケット発行
手段によって発行されたチケットを利用する機器、手段
であり、具体的には例えばデバイスに対するデータ書き
込み、読み取りなどの処理を実行するデバイスアクセス
機器としてのリーダライタ等の機器が相当する。
The ticket issuing means (Ticket Issuer)
As described with reference to FIG. 1 and others, the partition registration ticket (P
RT), a file registration ticket (FRT), and a service permission ticket (SPT). The ticket user (Ticket User) is a device or means that uses the ticket issued by the ticket issuing means. Specifically, for example, a reader / writer or the like as a device access device that executes processing such as writing and reading data to and from the device. Devices correspond.

【0077】図4に示すように、チケットユーザは、複
数のチケットを格納して使用することが可能である。ま
た、単一のチケット、例えば図3を用いて説明した定期
券用ファイルの区間データ読み取りのみの実行を許可し
たサービス許可チケット(SPT)のみを格納し、区間
データ読み取りのみの処理を実行する構成とすることも
可能である。
As shown in FIG. 4, a ticket user can store and use a plurality of tickets. Also, a configuration in which only a single ticket, for example, a service permission ticket (SPT) that permits execution of only reading of section data of a commuter pass file described with reference to FIG. 3 is stored, and processing of reading section data only is executed. It is also possible to use

【0078】例えば、あるサービス主体(パーティショ
ンマネージャ)である鉄道会社の定期券読み取り専用の
改札には、上述の定期券用ファイルの区間データ読み取
りのみの実行を許可したサービス許可チケット(SP
T)のみを格納したデバイスアクセス機器としてのリー
ダライタを設定して、ユーザが所有するデバイスから区
間データの読み取り処理を実行する。例えば、定期券、
プリペイド双方の処理を実行する改札のデバイスアクセ
ス機器としてのリーダライタには上述の定期券用ファイ
ルの区間データ読み取りのみの実行を許可したサービス
許可チケット(SPT)、およびプリペイド用ファイル
の残金データ減額処理を許可したサービス許可チケット
(SPT)を併せて格納し、定期券用ファイル、および
プリペイド用ファイル両ファイルに対する処理を実行可
能とすることも可能である。
For example, in a ticket gate only for reading a commuter pass of a railway company which is a certain service subject (partition manager), a service permission ticket (SP) that permits only the reading of section data of the above-mentioned commuter pass file is provided.
A reader / writer as a device access device storing only T) is set, and section data is read from a device owned by the user. For example, a commuter pass,
The reader / writer as the ticket access device that performs both the prepaid processing is provided with a service permission ticket (SPT) permitting only the reading of the section data of the commuter pass file, and the remaining data reduction processing of the prepaid file. It is also possible to store a service permission ticket (SPT) in which the file is permitted and to execute processing for both the commuter pass file and the prepaid file.

【0079】また、パーティション登録チケット(PR
T)、ファイル登録チケット(FRT)、およびサービ
ス許可チケット(SPT)を格納し、パーティション登
録、ファイル登録、ファイル内のデータアクセス等のす
べての処理を実行可能としたチケットユーザ(ex.リ
ーダライタ)を構成することも可能である。このように
チケットユーザの実行可能な処理は、チケットユーザが
適用可能なチケットによって決定されることになる。
The partition registration ticket (PR
T), a file registration ticket (FRT), and a service permission ticket (SPT), and a ticket user (ex. Reader / writer) that can execute all processes such as partition registration, file registration, and data access in a file. Can also be configured. As described above, the executable process of the ticket user is determined by the ticket applicable to the ticket user.

【0080】[A2.デバイスの構成]次に、上述の複
数のパーティションにデータ格納領域を分割されたメモ
リを持つデバイスについて説明する。図5にデバイスの
構成図を示す。
[A2. Device Configuration] Next, a device having a memory in which a data storage area is divided into a plurality of partitions will be described. FIG. 5 shows a configuration diagram of the device.

【0081】図5に示すように、デバイス100は、プ
ログラム実行機能、演算処理機能を持つCPU(Centra
l Processing Unit)101を有し、デバイスアクセス
機器としてのリーダライタ等、外部機器との通信処理用
のインタフェース機能を持つ通信インタフェース10
2、CPU101によって実行される各種プログラム、
例えば暗号処理プログラムなどを記憶したROM(Read
Only Memory)103、実行プログラムのロード領域、
また、各プログラム処理におけるワーク領域として機能
するRAM(Random Access Memory)104、外部機器
との認証処理、電子署名の生成、検証処理、格納データ
の暗号化、復号処理等の暗号処理を実行する暗号処理部
105、前述したパーティション、ファイルが設定格納
されるとともに、各種鍵データを含むデバイスの固有情
報を格納した例えばEEPROM(Electrically Erasab
le Programmable ROM)によって構成されるメモリ部10
6を有する。メモリ部106(ex.EEPROM)1
06に格納される情報については、後段で詳述する。
As shown in FIG. 5, the device 100 has a CPU (Centra) having a program execution function and an arithmetic processing function.
l, a communication interface 10 having an interface function for communication processing with an external device such as a reader / writer as a device access device.
2, various programs executed by the CPU 101,
For example, a ROM (Read
Only Memory) 103, the load area of the execution program,
In addition, a RAM (Random Access Memory) 104 that functions as a work area in each program process, a cryptographic device that performs an encryption process such as an authentication process with an external device, a generation of a digital signature, a verification process, and a process of encrypting and decrypting stored data. The processing unit 105 stores, for example, an EEPROM (Electrically Erasab) in which the above-described partitions and files are set and stored, and device-specific information including various key data is stored.
le 10)
6. Memory unit 106 (ex. EEPROM) 1
The information stored in 06 will be described in detail later.

【0082】メモリ部106のデータ格納構成を図6に
示す。メモリ部は例えば、EEPROM(Electrically
Erasable Programmable ROM)と呼ばれる電気的に書き換
え可能な不揮発性メモリの一形態であるフラッシュメモ
リである。
FIG. 6 shows the data storage configuration of the memory unit 106. The memory unit is, for example, an EEPROM (Electrically
This is a flash memory which is one form of electrically rewritable nonvolatile memory called Erasable Programmable ROM (Erasable Programmable ROM).

【0083】図6に示すように、本実施例においては、
1ブロック32バイト、ブロック数0xFFFFのデー
タ格納領域を持ち、主要領域としてパーティション領
域、未使用領域、デバイス固有情報およびデバイス内パ
ーティション情報領域を持つ。
As shown in FIG. 6, in this embodiment,
It has a data storage area of 32 bytes per block and the number of blocks is 0xFFFF, and has a partition area, an unused area, device-specific information, and an in-device partition information area as main areas.

【0084】パーティション領域には、前述のパーティ
ションマネージャによる管理領域であるパーティション
が設定登録される。なお、図6に示すメモリは既にパー
ティションが設定された例を示しているが、新規に製造
されたデバイスには、パーティションが設定されておら
ずパーティション領域は存在しない。パーティション
は、前述したように、デバイスマネージャの管理するパ
ーティション登録チケット(PRT)発行手段(PRT
Issuer)の発行したPRTチケットに基づいて各サー
ビス主体としてのパーティションマネージャが所定の手
続き、すなわちパーティション登録チケット(PRT)
に設定されたルールに従ってデバイス内のメモリに設定
する。
In the partition area, a partition which is a management area by the above-described partition manager is set and registered. Although the memory shown in FIG. 6 shows an example in which a partition has already been set, a newly manufactured device has no partition set and has no partition area. As described above, the partition is a partition registration ticket (PRT) issuing unit (PRT) managed by the device manager.
Issuer) issues a predetermined procedure based on the PRT ticket issued by the partition manager, ie, a partition registration ticket (PRT).
Set in the memory in the device according to the rules set in.

【0085】デバイス固有情報およびデバイス内パーテ
ィション情報領域には、デバイス製造エンティテイの情
報、デバイスマネージャに関する情報、設定パーティシ
ョン情報、デバイスに対するアクセスを実行してパーテ
ィションの設定登録処理を実行する際に必要となる鍵情
報などが格納される。これら格納情報の詳細については
後述する。なお、デバイス固有情報領域の格納データ
は、後述する相互認証時に適用するデバイスの固有値と
してのIDmに対応するデータとして使用可能である。
The device-specific information and the in-device partition information area are required when executing device setting registration processing by executing device access information, device manager information, setting partition information, and device access. Key information and the like are stored. Details of these stored information will be described later. The data stored in the device unique information area can be used as data corresponding to IDm as a device unique value applied at the time of mutual authentication described later.

【0086】また、図に示すようにパーティション領域
は、さらに1以上のファイル領域、未使用領域、パーテ
ィション固有情報およびパーティション内ファイル領域
を有する。ファイル領域は、パーティションマネージャ
であるサービス主体が、例えば前述したような定期券
用、プリペイド用などサービス毎に設定したファイルを
格納する領域である。未使用領域は、さらにファイル設
定可能な領域である。パーティション固有情報およびパ
ーティション内ファイル情報領域は、例えばパーティシ
ョン内のファイルに関する情報、ファイルアクセス処理
に必要となる鍵情報などが格納される。これら格納情報
の詳細については後述する。
As shown in the figure, the partition area further has one or more file areas, unused areas, partition-specific information, and intra-partition file areas. The file area is an area for storing a file set for each service, for example, for a commuter pass or a prepaid service as described above by a service entity as a partition manager. The unused area is an area in which a file can be further set. The partition-specific information and the file information area in the partition store, for example, information on files in the partition, key information necessary for file access processing, and the like. Details of these stored information will be described later.

【0087】[A3.デバイスマネージャの構成]次
に、デバイスマネージャの構成について図7を用いて説
明する。デバイスマネージャは、ユーザに提供(販売ま
たは貸与)されるデバイスの管理エンティテイである。
[A3. Configuration of Device Manager] Next, the configuration of the device manager will be described with reference to FIG. The device manager is a management entity of a device provided (sold or lent) to a user.

【0088】デバイスマネージャ200は、デバイス内
のメモリ部の分割領域として設定されるパーティション
を利用してサービスを提供するサービス主体としてのパ
ーティションマネージャからの要求に応じてデバイスに
対するパーティション設定を可能化するパーティション
登録チケット(PRT)を発行するパーティション登録
チケット(PRT)発行手段(PRT Issuer)210
を有する。
The device manager 200 is a partition that enables partition setting for a device in response to a request from a partition manager serving as a service entity that provides a service using a partition set as a divided area of a memory unit in the device. partition registration ticket to issue a registration ticket (PRT) (PRT) issuing means (PRT Issuer) 210
Having.

【0089】さらに、デバイスマネージャ200は、デ
バイスに対応するデバイス対応公開鍵証明書(CERT-DE
V)を発行する。デバイスマネージャ200は、デバイ
スからの公開鍵証明書発行要求を受理し、受理した発行
要求の検証を行ない、検証の後、証明書発行要求を認証
局(CA(DEV):Certificate Authority)610
に対して転送する処理を行なうとともに、発行された公
開鍵証明書の管理処理を行なう登録局(RA:Registra
tion Authority)220としての機能を有する。
Further, the device manager 200 transmits a device-related public key certificate (CERT-DE) corresponding to the device.
V). The device manager 200 receives the public key certificate issuance request from the device, verifies the received issuance request, and after the verification, transmits the certificate issuance request to a certificate authority (CA (DEV): Certificate Authority) 610.
Registration Authority (RA: Registra) that performs processing to transfer to public key certificates and manages issued public key certificates.
It has a function as an Action Authority 220.

【0090】図7に示すように、デバイスマネージャ2
00のパーティション登録チケット(PRT)発行手段
(PRT Issuer)210は、制御手段211と、デー
タベース212を有し、データベース212は、パーテ
ィション登録チケット(PRT)の発行管理データとし
て、チケットの発行管理用のデータ、例えば、チケット
発行先のパーティションマネージャ識別子、チケット識
別子、チケットユーザ(ex.リーダライタ,PC,e
tc)識別子などを対応付けたデータが格納される。
As shown in FIG. 7, the device manager 2
The partition registration ticket (PRT) issuance means (PRT Issuer) 210 includes a control means 211 and a database 212. The database 212 stores, as issuance management data of the partition registration ticket (PRT), data for ticket issuance management. Data, for example, the partition manager identifier of the ticket issuance destination, the ticket identifier, the ticket user (ex. Reader / writer, PC, e
tc) Data in which an identifier or the like is associated is stored.

【0091】また、登録局(RA:Registration Autho
rity)220は、制御部221、公開鍵証明書の発行管
理用のデータベース222を有し、公開鍵証明書の発行
管理データとして、例えば公開鍵証明書を発行したデバ
イス識別子、公開鍵証明書の識別子(シリアルナンバ)
等を対応付けたデータが格納される。
Further, a registration authority (RA: Registration Autho)
rity) 220 has a control unit 221 and a database 222 for managing issuance of a public key certificate. As issuance management data of a public key certificate, for example, a device identifier that has issued the public key certificate, Identifier (serial number)
And the like are stored.

【0092】デバイスマネージャ200のパーティショ
ン登録チケット(PRT)発行手段(PRT Issuer)
210の制御手段211は、パーティションマネージャ
とのデータ通信により、パーティション登録チケット
(PRT)の発行処理を実行する。また、登録局(R
A:Registration Authority)220の制御手段221
は、デバイスに対する公開鍵証明書の発行処理を実行
し、この際、デバイスとの通信、デバイスマネージャ対
応認証局(CA(DEV))610との通信を実行す
る。これらの処理の詳細については後段で説明する。こ
こでは、制御手段211,221の構成について図8を
用いて説明する。
A partition registration ticket (PRT) issuing means (PRT Issuer) of the device manager 200
The control unit 211 of 210 executes a process of issuing a partition registration ticket (PRT) by data communication with the partition manager. In addition, the registration office (R
A: Control means 221 of Registration Authority 220
Executes a process of issuing a public key certificate to the device, and at this time, executes communication with the device and communication with the device manager compatible certificate authority (CA (DEV)) 610. Details of these processes will be described later. Here, the configuration of the control units 211 and 221 will be described with reference to FIG.

【0093】制御手段211,221はいずれも例えば
データ処理手段としてのPCと同様の構成により実現さ
れ、具体的には例えば図8に示すような構成を持つ。制
御手段の構成について説明する。制御部2111は各種
処理プログラムを実行する中央演算処理装置(CPU:C
entral Processing Unit)によって構成される。ROM
(Read only Memory)2112は、暗号処理プログラム
等の実行処理プログラムを記憶したメモリである。RA
M(Random Access Memory)2113は、制御部211
1が実行するプログラム、例えばデータベース管理プロ
グラム、暗号処理プログラム、通信プログラム等、実行
プログラムの格納領域、またこれら各プログラム処理に
おけるワークエリアとして使用される。
Each of the control means 211 and 221 is realized by, for example, a configuration similar to that of a PC as data processing means, and specifically has a configuration as shown in FIG. 8, for example. The configuration of the control means will be described. The control unit 2111 executes a central processing unit (CPU: C
Central Processing Unit). ROM
(Read only Memory) 2112 is a memory that stores an execution processing program such as an encryption processing program. RA
M (Random Access Memory) 2113 is a control unit 211
1 is used as a storage area for execution programs, such as a database management program, a cryptographic processing program, a communication program, and the like, and as a work area in the processing of each of these programs.

【0094】表示部2114は、液晶表示装置、CRT
などの表示手段を有し、制御部2111の制御の下、様
々なプログラム実行時のデータ、例えば処理対象のデー
タ内容等を表示する。入力部2115は、キーボード
や、例えばマウス等のポインティングデバイスを有し、
これら各入力デバイスからのコマンド、データ入力を制
御部2111に出力する。HDD(Hard Disk Drive)
2116は、データベース管理プログラム、暗号処理プ
ログラム、通信プログラム等のプログラム、さらに各種
データが格納される。
The display unit 2114 includes a liquid crystal display device, a CRT
Under the control of the control unit 2111, and displays data at the time of executing various programs, for example, data contents to be processed. The input unit 2115 includes a keyboard and a pointing device such as a mouse, for example.
Commands and data inputs from these input devices are output to the control unit 2111. HDD (Hard Disk Drive)
Reference numeral 2116 stores programs such as a database management program, an encryption processing program, a communication program, and various data.

【0095】ドライブ2117は、例えばHD(Hard D
isk)や、FD(Floppy Disk)等の磁気ディスク、CD
−ROM(Compact Disk ROM)などの光ディスク、ミニ
ディスク等の光磁気ディスク、ROMやフラッシュメモ
リなどの半導体メモリ等の各種記録媒体に対するアクセ
スを制御する機能を持つ。磁気ディスク等の各種記録媒
体はプログラム、データ等を記憶する。通信インタフェ
ース2118は、ネットワーク、ケーブル接続、電話回
線等の有線、無線を介した通信のインタフェースとして
機能し、ユーザのデバイス、パーティションマネージ
ャ、認証局等の各エンティテイとの通信インタフェース
として機能する。
The drive 2117 is, for example, an HD (Hard D)
isk), magnetic disk such as FD (Floppy Disk), CD
-It has a function of controlling access to various recording media such as an optical disk such as a ROM (Compact Disk ROM), a magneto-optical disk such as a mini disk, and a semiconductor memory such as a ROM and a flash memory. Various recording media such as magnetic disks store programs, data, and the like. The communication interface 2118 functions as an interface for wired or wireless communication such as a network, cable connection, or telephone line, and functions as a communication interface with each entity such as a user device, a partition manager, and a certificate authority.

【0096】[A4.パーティションマネージャの構
成]次に、パーティションマネージャの構成について図
9を用いて説明する。パーティションマネージャは、ユ
ーザに提供(販売または貸与)されるデバイスに設定さ
れたパーティションの管理エンティテイである。
[A4. Configuration of Partition Manager] Next, the configuration of the partition manager will be described with reference to FIG. The partition manager is a management entity of a partition set in a device provided (sold or lent) to a user.

【0097】パーティションマネージャ300は、デバ
イスマネージャから付与されたパーテイション登録チケ
ット(PRT)を用いて、付与されたPRTに記録され
たルールに従って、ユーザのデバイス内のメモリ部に分
割領域としてパーティションを設定し、設定されたパー
ティションを利用したサービスを提供する。
Using the partition registration ticket (PRT) given by the device manager, the partition manager 300 sets a partition as a divided area in the memory section in the user's device according to the rules recorded in the given PRT. Provide a service using the set partition.

【0098】設定されたパーティションにはサービス、
データに応じたファイルを設定することが可能である。
ただし、ファイル設定処理には、ファイル登録チケット
(FRT)を取得することが必要であり、ファイル内の
データの読み出し、書き込みなどのデータアクセスには
サービス許可チケット(SPT)を取得することが必要
である。ファイル設定、データアクセス処理はチケット
ユーザ、すなわち具体的には、例えば専用のデバイスア
クセス機器としてのリーダライタなどがチケットを使用
して実行する。
Services are set in the set partition.
It is possible to set a file according to the data.
However, it is necessary to obtain a file registration ticket (FRT) for the file setting process, and to obtain a service permission ticket (SPT) for data access such as reading and writing of data in the file. is there. The file setting and data access processing are executed by a ticket user, specifically, for example, a reader / writer as a dedicated device access device using the ticket.

【0099】パーティションマネージャ300は、この
ようなチケットユーザに対するチケット発行処理手段と
してのファイル登録チケット(FRT)発行手段(FR
T Issuer)310、およびサービス許可チケット(S
PT)発行手段(SPT Issuer)320を有する。
The partition manager 300 issues a file registration ticket (FRT) issuing means (FR) as a ticket issuing processing means for such a ticket user.
T Issuer) 310 and service permission ticket (S
PT) issuing means (SPT Issuer) 320.

【0100】さらに、パーティションマネージャ300
は、デバイスの各パーティションに対応するパーティシ
ョン対応公開鍵証明書(CERT-PAR)を発行する。パーテ
ィションマネージャ300は、デバイスからの公開鍵証
明書発行要求を受理し、受理した発行要求の検証を行な
い、検証の後、証明書発行要求を認証局(CA(PA
R):Certificate Authority)620に対して転送す
る処理を行なうとともに、発行された公開鍵証明書の管
理処理を行なう登録局(RA:Registration Authorit
y)330としての機能を有する。
Furthermore, the partition manager 300
Issues a partition-related public key certificate (CERT-PAR) corresponding to each partition of the device. The partition manager 300 receives the public key certificate issuance request from the device, verifies the received issuance request, and verifies the certificate issuance request after the verification.
R): Registration Authority (RA: Registration Authority) that performs processing to transfer to Certificate Authority (620) and manages issued public key certificates.
y) It has the function of 330.

【0101】図9に示すように、パーティションマネー
ジャ300のファイル登録チケット(FRT)発行手段
(FRT Issuer)310は、制御手段311と、デー
タベース312を有し、データベース312は、ファイ
ル登録チケット(FRT)の発行管理データとして、チ
ケットの発行管理用のデータ、例えば、チケット発行先
のチケットユーザ(ex.リーダライタ,PC,et
c)識別子、チケット識別子などを対応付けたデータを
格納する。
As shown in FIG. 9, the file registration ticket (FRT) issuing means (FRT Issuer) 310 of the partition manager 300 has a control means 311 and a database 312, and the database 312 stores the file registration ticket (FRT). Issuance management data, such as ticket issuance management data, for example, a ticket user (ex. Reader / writer, PC, et
c) Store data in which identifiers, ticket identifiers, etc. are associated.

【0102】さらにパーティションマネージャ300の
サービス許可チケット(SPT)発行手段(SPT Iss
uer)320は、制御手段321と、データベース32
2を有し、データベース322は、サービス許可チケッ
ト(SPT)の発行管理データとして、チケットの発行
管理用のデータ、例えば、チケット発行先のチケットユ
ーザ(ex.デバイスアクセス機器としてのリーダライ
タ,PC,etc)識別子、チケット識別子などを対応
付けたデータを格納する。
Further, the service permission ticket (SPT) issuing means (SPT Isss) of the partition manager 300
uer) 320 includes a control unit 321 and a database 32
The database 322 includes, as service management ticket (SPT) issuance management data, data for ticket issuance management, for example, a ticket user (ex. A reader / writer as a device access device, a PC, etc) Stores data in which identifiers, ticket identifiers, and the like are associated.

【0103】また、登録局(RA:Registration Autho
rity)330は、公開鍵証明書の発行管理用のデータベ
ース332を有し、公開鍵証明書の発行管理データとし
て、例えば公開鍵証明書を発行したデバイス識別子、パ
ーティション識別子、公開鍵証明書の識別子(シリアル
ナンバ)等を対応付けたデータが格納される。
Further, a registration authority (RA: Registration Autho)
rity) 330 has a database 332 for managing the issuance of public key certificates, and includes, for example, a device identifier, a partition identifier, and an identifier of the public key certificate as public key certificate issuance management data. (Serial number) and the like are stored.

【0104】パーティションマネージャ300のファイ
ル登録チケット(FRT)発行手段(FRT Issuer)
310の制御手段311は、チケットユーザ(ex.デ
バイスアクセス機器としてのリーダライタ,PC,et
c)とのデータ通信により、ファイル登録チケット(F
RT)の発行処理を実行し、サービス許可チケット(S
PT)発行手段(Ticket Issuer)320の制御手段3
21は、チケットユーザ(ex.デバイスアクセス機器
としてのリーダライタ,PC,etc)とのデータ通信
により、サービス許可チケット(SPT)の発行処理を
実行する。また、登録局(RA:Registration Authori
ty)330の制御手段331は、デバイスに対する公開
鍵証明書の発行処理を実行し、この際、デバイスとの通
信、パーティションマネージャ対応認証局(CA(PA
R))620との通信を実行する。これらの処理の詳細
については後段で説明する。
File Registration Ticket (FRT) Issuing Means (FRT Issuer) of Partition Manager 300
The control unit 311 of the user 310 (ex. Reader / writer as a device access device, PC, et.
c), the file registration ticket (F
RT) issuance processing, and the service permission ticket (S
PT) Control means 3 of ticket issuer 320
Reference numeral 21 executes a service permission ticket (SPT) issuance process by data communication with a ticket user (ex. A reader / writer as a device access device, PC, etc). Also, RA (Registration Authori)
The control unit 331 of the ty) 330 executes a process of issuing a public key certificate to the device. At this time, communication with the device, a partition manager compatible certificate authority (CA (PA
R)) Perform communication with 620. Details of these processes will be described later.

【0105】なお、パーティションマネージャ300の
制御手段311,321,331の構成は、図8を用い
て説明した前述のデバイスマネージャにおける制御手段
と同様の構成であるので説明を省略する。
The configuration of the control means 311, 321, 331 of the partition manager 300 is the same as that of the device manager described above with reference to FIG. 8, and a description thereof will be omitted.

【0106】[A5.チケットユーザ(デバイスアクセ
ス機器としてのリーダライタ)の構成]デバイスアクセ
ス機器としてのリーダライタはデバイスに対するパーテ
ィションの設定、ファイルの設定、データの読み取り、
書き込み、金額データの減算、加算などの様々な処理を
実行する機器として構成される。デバイスに対する処理
は、処理の際に適用するパーテイション登録チケット
(PRT)、ファイル登録チケット(FRT)、または
サービス許可チケット(SPT)に記録されたルールに
従う。すなわち、デバイスに対するすべての処理はこれ
ら適用するチケットによって制限される。
[0106] [A5. Configuration of Ticket User (Reader / Writer as Device Access Device)] The reader / writer as a device access device sets a partition for a device, sets a file, reads data,
It is configured as a device that executes various processes such as writing, subtracting and adding money data. The processing for the device follows the rules recorded in the partition registration ticket (PRT), file registration ticket (FRT), or service permission ticket (SPT) applied at the time of processing. That is, all processing on the device is limited by these applied tickets.

【0107】デバイスアクセス機器としてのリーダライ
タの構成例を図10に示す。図10に示すように、リー
ダライタ700は、プログラム実行機能、演算処理機能
を持つCPU(Central Processing Unit)701を有
し、デバイス、チケット発行手段(Ticket Issuer)
等、外部機器との通信処理用のインタフェース機能を持
つ通信インタフェース702、CPU701によって実
行される各種プログラム、例えば暗号処理プログラムな
どを記憶したROM(Read Only Memory)703、実行
プログラムのロード領域、また、各プログラム処理にお
けるワーク領域として機能するRAM(Random Access
Memory)704、外部機器との認証処理、電子署名の生
成、検証処理、格納データの暗号化、復号処理等の暗号
処理を実行する暗号処理部705、認証処理、暗号化、
復号処理用の各種鍵データ、およびリーダライタの固有
情報を格納した例えばEEPROM(Electrically Eras
ableProgrammable ROM)によって構成されるメモリ部7
06を有する。
FIG. 10 shows a configuration example of a reader / writer as a device access device. As shown in FIG. 10, the reader / writer 700 has a CPU (Central Processing Unit) 701 having a program execution function and an arithmetic processing function, and has a device, a ticket issuing unit (Ticket Issuer).
A communication interface 702 having an interface function for communication processing with an external device, a ROM (Read Only Memory) 703 storing various programs executed by the CPU 701, for example, an encryption processing program, a load area of an execution program, RAM (Random Access) functioning as a work area in each program processing
Memory) 704, an encryption processing unit 705 for performing encryption processing such as authentication processing with an external device, generation and verification processing of an electronic signature, encryption and decryption processing of stored data, authentication processing, encryption,
For example, an EEPROM (Electrically Eras) storing various key data for decryption processing and information unique to a reader / writer.
memory section 7 composed of ableProgrammable ROM)
06.

【0108】[A6.公開鍵証明書]本発明のパーティ
ション分割メモリ領域を持つデバイスの利用において、
各エンティテイ、チケット発行手段、チケットユーザ、
デバイス等の相互間におけるデータ通信においては、デ
ータ送信側とデータ受信側とが互いに正規なデータ送受
信対象であることを確認した上で、必要な情報を転送す
る、データ転送の際のセキュリティ構成を実現する手法
として、転送データの暗号化処理、データに対する署名
生成、検証処理が適用される。
[A6. Public Key Certificate] In using a device having a partitioned memory area of the present invention,
Each entity, ticket issuing means, ticket user,
In data communication between devices, etc., confirm that the data sending side and the data receiving side are mutually legitimate data transmission / reception targets, and then transfer the necessary information. As a technique for realizing this, encryption processing of transfer data, signature generation for data, and verification processing are applied.

【0109】暗号化データは、所定の手続きによる復号
化処理によって利用可能な復号データ(平文)に戻すこ
とができる。このような情報の暗号化処理に暗号化鍵を
用い、復号化処理に復号化鍵を用いるデータ暗号化、復
号化方法は従来からよく知られている。
The encrypted data can be returned to usable decrypted data (plaintext) by a decryption process according to a predetermined procedure. Data encryption and decryption methods using an encryption key for such information encryption processing and a decryption key for decryption processing are well known in the art.

【0110】暗号化鍵と復号化鍵を用いるデータ暗号化
・復号化方法の態様には様々な種類があるが、その1つ
の例としていわゆる公開鍵暗号方式と呼ばれる方式があ
る。公開鍵暗号方式は、発信者と受信者の鍵を異なるも
のとして、一方の鍵を不特定のユーザが使用可能な公開
鍵として、他方を秘密に保つ秘密鍵とするものである。
例えば、データ暗号化鍵を公開鍵とし、復号鍵を秘密鍵
とする。あるいは、認証子生成鍵を秘密鍵とし、認証子
検証鍵を公開鍵とする等の態様において使用される。
There are various types of data encryption / decryption methods using an encryption key and a decryption key. One example is a so-called public key encryption method. In the public key cryptosystem, the keys of a sender and a receiver are different, one key is used as a public key that can be used by an unspecified user, and the other key is used as a secret key for keeping secret.
For example, the data encryption key is a public key, and the decryption key is a secret key. Alternatively, it is used in a mode in which the authenticator generation key is a secret key and the authenticator verification key is a public key.

【0111】暗号化、復号化に共通の鍵を用いるいわゆ
る共通鍵暗号化方式と異なり、公開鍵暗号方式では秘密
に保つ必要のある秘密鍵は、特定の1ユーザが持てばよ
いため鍵の管理において有利である。ただし、公開鍵暗
号方式は共通鍵暗号化方式に比較してデータ処理速度が
遅く、秘密鍵の配送、ディジタル署名等のデータ量の少
ない対象に多く用いられている。公開鍵暗号方式の代表
的なものにはRSA(Rivest-Shamir-Adleman)暗号が
ある。これは非常に大きな2つの素数(例えば150
桁)の積を用いるものであり、大きな2つの素数(例え
ば150桁)の積の素因数分解する処理の困難さを利用
している。
Unlike a so-called common key encryption method that uses a common key for encryption and decryption, in a public key encryption method, a secret key that needs to be kept secret is only required to be held by a specific user. Is advantageous. However, the public key cryptosystem has a slower data processing speed than the common key cryptosystem, and is often used for objects with a small amount of data, such as private key distribution and digital signatures. A representative public key cryptosystem is RSA (Rivest-Shamir-Adleman) cryptosystem. This is a very large two prime number (eg, 150
Digit), and makes use of the difficulty of performing a factorization of a product of two large prime numbers (for example, 150 digits).

【0112】公開鍵暗号方式では、不特定多数に公開鍵
を使用可能とする構成であり、配布する公開鍵が正当な
ものであるか否かを証明する証明書、いわゆる公開鍵証
明書を使用する方法が多く用いられている。例えば、利
用者Aが公開鍵、秘密鍵のペアを生成して、生成した公
開鍵を認証局に対して送付して公開鍵証明書を認証局か
ら入手する。利用者Aは公開鍵証明書を一般に公開す
る。不特定のユーザは公開鍵証明書から所定の手続きを
経て公開鍵を入手して文書等を暗号化して利用者Aに送
付する。利用者Aは秘密鍵を用いて暗号化文書等を復号
する等のシステムである。また、利用者Aは、秘密鍵を
用いて文書等に署名を付け、不特定のユーザが公開鍵証
明書から所定の手続きを経て公開鍵を入手して、その署
名の検証を行なうシステムである。
In the public key cryptosystem, an unspecified number of public keys can be used, and a certificate for certifying whether the distributed public key is valid, that is, a so-called public key certificate is used. Many methods are used. For example, the user A generates a pair of a public key and a secret key, sends the generated public key to a certificate authority, and obtains a public key certificate from the certificate authority. User A publishes the public key certificate to the public. An unspecified user obtains a public key through a predetermined procedure from a public key certificate, encrypts a document or the like, and sends it to the user A. The user A is a system for decrypting an encrypted document or the like using a secret key. In addition, the user A signs a document or the like using a private key, and an unspecified user obtains a public key from a public key certificate through a predetermined procedure and verifies the signature. .

【0113】公開鍵証明書は、公開鍵暗号方式における
認証局(CA:Certificate Authority)が発行する証
明書であり、ユーザが自己のID、公開鍵等を認証局に
提出することにより、認証局側が認証局のIDや有効期
限等の情報を付加し、さらに認証局による署名を付加し
て作成される証明書である。
A public key certificate is a certificate issued by a certificate authority (CA) in a public key cryptosystem. When a user submits his / her ID, public key, etc. to the certificate authority, the public key certificate is issued. The certificate is created by adding information such as the ID and expiration date of the certificate authority on the side and further adding a signature by the certificate authority.

【0114】図11に公開鍵証明書のフォーマットの概
略を示す。各データの概要について説明する。証明書の
バージョン(version)番号は、公開鍵証明書フォーマ
ットのバージョンを示す。証明書の通し番号は、シリア
ルナンバ(SN:Serial Number)であり、公開鍵証明
書発行局(認証局:CA)によって設定される公開鍵証
明書のシリアルナンバである。署名アルゴリズム識別子
フィールド(Signature algorithm Identifier)の署名
アルゴリズム(algorithm)、アルゴリズムパラメータ
(parameters)は、公開鍵証明書の署名アルゴリズムと
そのパラメータを記録するフィールドである。なお、署
名アルゴリズムとしては、楕円曲線暗号およびRSAが
あり、楕円曲線暗号が適用されている場合はパラメータ
および鍵長が記録され、RSAが適用されている場合に
は鍵長が記録される。発行局(認証局:CA)の名前
は、公開鍵証明書の発行者、すなわち公開鍵証明書発行
局(CA)の名称(Issuer)が識別可能な形式(Distin
guished Name)で記録されるフィールドである。証明書
の有効期限(validity)は、証明書の有効期限である開始
日時、終了日時が記録される。公開鍵証明書の利用者名
(Subject)は、ユーザである認証対象者の識別データ
が記録される。具体的には例えばユーザ機器のIDや、
サービス提供主体のID等の識別子またはカテゴリが記
録される。利用者公開鍵フィールド(subject Public K
ey Info)の鍵アルゴリズム(algorithm)と鍵(subjec
t Public key)は、ユーザの公開鍵情報としての鍵アル
ゴリズム、鍵情報そのものを格納するフィールドであ
る。オプション領域には、ユーザの属性データ、その他
公開鍵証明書の発行、利用に伴うオプショナルデータを
記録する。属性データとしては、ユーザの所属グループ
情報としてのデバイスマネージャコード(DMC)、パ
ーティションマネージャコード(PMC)が記録され
る。なお、ここでユーザは公開鍵証明書のユーザであ
り、例えばデバイスマネージャ、パーティションマネー
ジャ、チケットユーザ、チケット発行手段、デバイスな
どである。
FIG. 11 shows an outline of the format of the public key certificate. An outline of each data will be described. The version number of the certificate indicates the version of the public key certificate format. The serial number of the certificate is a serial number (SN), which is a serial number of a public key certificate set by a public key certificate issuing authority (certificate authority: CA). The signature algorithm (algorithm) and algorithm parameters (parameters) of the signature algorithm identifier field (Signature algorithm Identifier) are fields for recording the signature algorithm of the public key certificate and its parameters. Note that the signature algorithm includes elliptic curve cryptography and RSA. When elliptic curve cryptography is applied, parameters and key length are recorded. When RSA is applied, key length is recorded. The name of the issuing authority (certificate authority: CA) is a format (Distin) in which the issuer of the public key certificate, that is, the name (Issuer) of the public key certificate issuing authority (CA) can be identified.
guished Name). In the validity period of a certificate, a start date and time and an end date and time, which are valid dates of the certificate, are recorded. In the user name (Subject) of the public key certificate, the identification data of the authentication target person who is the user is recorded. Specifically, for example, the ID of the user device,
An identifier such as an ID of the service provider or a category is recorded. User public key field (subject Public K
ey Info) key algorithm (algorithm) and key (subjec)
t Public key) is a field for storing a key algorithm as the user's public key information and the key information itself. In the option area, user attribute data and other optional data associated with issuance and use of the public key certificate are recorded. As attribute data, a device manager code (DMC) and a partition manager code (PMC) are recorded as group information of a user. Here, the user is a user of the public key certificate, and is, for example, a device manager, a partition manager, a ticket user, a ticket issuing unit, or a device.

【0115】オプション領域には、さらにカテゴリ情報
として、チケットユーザ、チケット発行手段、デバイ
ス、デバイスマネージャ、パーティションマネージャな
どのエンテイティ、機器種別を示すカテゴリが記録され
る。
[0115] In the option area, categories indicating ticket users, ticket issuing means, entities such as devices, device managers, and partition managers, and device types are recorded as category information.

【0116】なお、デバイスマネージャがパーティショ
ン登録チケット発行手段(PRT Issuer)を兼ねる場合
は、後述するパーティション登録チケット発行手段コー
ド(PRTIC:PRT Issuer Code)は、デバイスマネ
ージャコード(DMC)として設定可能であり、また、
パーティションマネージャがファイル登録チケット発行
手段、サービス許可チケット発行手段を兼ねる場合は、
ファイル登録チケット発行手段コード(FRTIC:FR
T Issuer Code)、サービス許可チケット発行手段コー
ド(SPTIC:SPT Issuer Code)をパーティション
マネージャコード(PMC)として設定可能である。な
お、これらのコードは後述する各チケット(PRT,F
RT,SPTなど)にも記録される。
When the device manager also serves as a partition registration ticket issuing means (PRT Issuer), a partition registration ticket issuing means code (PRTIC: PRT Issuer Code) described later can be set as a device manager code (DMC). ,Also,
If the partition manager also serves as a file registration ticket issuing unit and a service permission ticket issuing unit,
File registration ticket issuing means code (FRTIC: FR
T Issuer Code) and a service permission ticket issuing means code (SPTIC: SPT Issuer Code) can be set as a partition manager code (PMC). These codes are used for each ticket (PRT, F
RT, SPT, etc.).

【0117】また、各チケット発行手段にデバイスマネ
ージャコード(DMC)、パーティションマネージャコ
ード(PMC)と異なる独自のコードを割り当てる構成
としてもよい。この場合のコード付与は、前述のコード
管理機関が実行する。
Further, a unique code different from the device manager code (DMC) and the partition manager code (PMC) may be assigned to each ticket issuing means. In this case, the code is assigned by the code management organization described above.

【0118】発行局署名は、公開鍵証明書発行局(C
A)の秘密鍵を用いて公開鍵証明書のデータに対して実
行される電子署名であり、公開鍵証明書の利用者は、公
開鍵証明書発行局(CA)の公開鍵を用いて検証を行な
い、公開鍵証明書の改竄有無がチェック可能となってい
る。
The signature of the issuing authority is the public key certificate issuing authority (C
A) is a digital signature executed on the data of the public key certificate using the private key of A), and the user of the public key certificate is verified using the public key of the public key certificate issuing authority (CA). To check whether the public key certificate has been tampered with.

【0119】公開鍵暗号方式を用いた電子署名の生成方
法について、図12を用いて説明する。図12に示す処
理は、EC−DSA((Elliptic Curve Digital Signa
tureAlgorithm)、IEEE P1363/D3)を用いた電子署名デ
ータの生成処理フローである。なお、ここでは公開鍵暗
号として楕円曲線暗号(Elliptic Curve Cryptography
(以下、ECCと呼ぶ))を用いた例を説明する。な
お、本発明のデータ処理装置においては、楕円曲線暗号
以外にも、同様の公開鍵暗号方式における、例えばRS
A暗号((Rivest、Shamir、Adleman)など(ANSI X9.3
1))を用いることも可能である。
A method for generating a digital signature using a public key cryptosystem will be described with reference to FIG. The processing shown in FIG. 12 is performed by EC-DSA ((Elliptic Curve Digital Signa
3 is a flow of a process for generating digital signature data using the tureAlgorithm) and IEEE P1363 / D3). Here, Elliptic Curve Cryptography is used as public key cryptography.
(Hereinafter, referred to as ECC) will be described. Note that, in the data processing device of the present invention, in addition to elliptic curve cryptography, for example, RS
A cipher ((Rivest, Shamir, Adleman) etc. (ANSI X9.3
1)) can also be used.

【0120】図12の各ステップについて説明する。ス
テップS1において、pを標数、a、bを楕円曲線の係数
(楕円曲線:y2=x3+ax+b,4a3+27b2≠0
(mod p))、Gを楕円曲線上のベースポイント、r
をGの位数、Ksを秘密鍵(0<Ks<r)とする。ス
テップS2おいて、メッセージMのハッシュ値を計算
し、f=Hash(M)とする。
The steps in FIG. 12 will be described. In step S1, p is a characteristic, and a and b are coefficients of an elliptic curve (elliptic curve: y 2 = x 3 + ax + b, 4a 3 + 27b 2 ≠ 0
(Mod p)), G is the base point on the elliptic curve, r
Is the order of G, and Ks is a secret key (0 <Ks <r). In step S2, the hash value of the message M is calculated, and f = Hash (M).

【0121】ここで、ハッシュ関数を用いてハッシュ値
を求める方法を説明する。ハッシュ関数とは、メッセー
ジを入力とし、これを所定のビット長のデータに圧縮
し、ハッシュ値として出力する関数である。ハッシュ関
数は、ハッシュ値(出力)から入力を予測することが難
しく、ハッシュ関数に入力されたデータの1ビットが変
化したとき、ハッシュ値の多くのビットが変化し、ま
た、同一のハッシュ値を持つ異なる入力データを探し出
すことが困難である特徴を有する。ハッシュ関数として
は、MD4、MD5、SHA−1などが用いられる場合
もあるし、DES−CBCが用いられる場合もある。こ
の場合は、最終出力値となるMAC(チェック値:IC
Vに相当する)がハッシュ値となる。
Here, a method of obtaining a hash value using a hash function will be described. The hash function is a function that receives a message, compresses the message into data having a predetermined bit length, and outputs the data as a hash value. With a hash function, it is difficult to predict the input from the hash value (output). When one bit of the data input to the hash function changes, many bits of the hash value change, and the same hash value It has a feature that it is difficult to find different input data. As the hash function, MD4, MD5, SHA-1, or the like may be used, or DES-CBC may be used. In this case, the final output value MAC (check value: IC
V) corresponds to a hash value.

【0122】続けて、ステップS3で、乱数u(0<u
<r)を生成し、ステップS4でベースポイントをu倍
した座標V(Xv,Yv)を計算する。なお、楕円曲線
上の加算、2倍算は次のように定義されている。
Subsequently, in step S3, a random number u (0 <u
<R) is generated, and a coordinate V (Xv, Yv) obtained by multiplying the base point by u is calculated in step S4. The addition and doubling on the elliptic curve are defined as follows.

【0123】[0123]

【数1】P=(Xa,Ya),Q=(Xb,Yb),R=(Xc,Y
c)=P+Qとすると、P≠Qの時(加算)、 Xc=λ2−Xa−Xb Yc=λ×(Xa−Xc)−Ya λ=(Yb−Ya)/(Xb−Xa) P=Qの時(2倍算)、 Xc=λ2−2Xa Yc=λ×(Xa−Xc)−Ya λ=(3(Xa)2+a)/(2Ya)
## EQU1 ## P = (Xa, Ya), Q = (Xb, Yb), R = (Xc, Y
c) = P + Q, when P ≠ Q (addition), Xc = λ 2 −Xa−Xb Yc = λ × (Xa−Xc) −Ya λ = (Yb−Ya) / (Xb−Xa) When P = Q (doubled), Xc = λ 2 −2Xa Yc = λ × (Xa−Xc) −Ya λ = (3 (Xa) 2 + a) / (2Ya)

【0124】これらを用いて点Gのu倍を計算する(速
度は遅いが、最もわかりやすい演算方法として次のよう
に行う。G、2×G、4×G・・を計算し、uを2進数展
開して1が立っているところに対応する2i×G(Gをi
回2倍算した値(iはuのLSBから数えた時のビット
位置))を加算する。
[0124] While slow u multiplication to calculate the (velocity of the point G with these, .G performing the most straightforward calculation method as follows: a 2 × G, 4 × G · · calculates, 2 u 2 i × G (where G is i
(I is a bit position counted from the LSB of u)).

【0125】ステップS5で、c=Xvmod rを計
算し、ステップS6でこの値が0になるかどうか判定
し、0でなければステップS7でd=[(f+cKs)
/u]mod rを計算し、ステップS8でdが0であ
るかどうか判定し、dが0でなければ、ステップS9で
cおよびdを電子署名データとして出力する。仮に、r
を160ビット長の長さであると仮定すると、電子署名
データは320ビット長となる。
In step S5, c = Xvmod r is calculated. In step S6, it is determined whether or not this value becomes 0. If not, d = [(f + cKs) in step S7.
/ U] mod r is calculated, and it is determined whether or not d is 0 in step S8. If d is not 0, c and d are output as digital signature data in step S9. Suppose r
Is 160 bits long, the digital signature data is 320 bits long.

【0126】ステップS6において、cが0であった場
合、ステップS3に戻って新たな乱数を生成し直す。同
様に、ステップS8でdが0であった場合も、ステップ
S3に戻って乱数を生成し直す。
If c is 0 in step S6, the flow returns to step S3 to generate a new random number again. Similarly, if d is 0 in step S8, the process returns to step S3 to generate a random number again.

【0127】次に、公開鍵暗号方式を用いた電子署名の
検証方法を、図13を用いて説明する。ステップS11
で、Mをメッセージ、pを標数、a、bを楕円曲線の係数
(楕円曲線:y2=x3+ax+b,4a3+27b2≠0
(mod p))、Gを楕円曲線上のベースポイント、r
をGの位数、GおよびKs×Gを公開鍵(0<Ks<
r)とする。ステップS12で電子署名データcおよび
dが0<c<r、0<d<rを満たすか検証する。これ
を満たしていた場合、ステップS13で、メッセージM
のハッシュ値を計算し、f=Hash(M)とする。次
に、ステップS14でh=1/d mod rを計算し、ステップ
S15でh1=fh mod r、h2=chmod
rを計算する。
Next, a method of verifying an electronic signature using a public key cryptosystem will be described with reference to FIG. Step S11
Where M is a message, p is a characteristic, a and b are coefficients of an elliptic curve (elliptic curve: y 2 = x 3 + ax + b, 4a 3 + 27b 2 ≠ 0
(Mod p)), G is the base point on the elliptic curve, r
Is the order of G, G and Ks × G are the public keys (0 <Ks <
r). In step S12, it is verified whether the digital signature data c and d satisfy 0 <c <r and 0 <d <r. If this is satisfied, in step S13, the message M
Is calculated, and f = Hash (M) is set. Next, h = 1 / d mod r is calculated in step S14, and h1 = fh mod r and h2 = chmod in step S15.
Calculate r.

【0128】ステップS16において、既に計算したh
1およびh2を用い、点P=(Xp,Yp)=h1×G
+h2・Ks×Gを計算する。電子署名検証者は、ベー
スポイントGおよびKs×Gを知っているので、図12
のステップS4と同様に楕円曲線上の点のスカラー倍の
計算ができる。そして、ステップS17で点Pが無限遠
点かどうか判定し、無限遠点でなければステップS18
に進む(実際には、無限遠点の判定はステップS16で
できてしまう。つまり、P=(X,Y)、Q=(X,−
Y)の加算を行うと、λが計算できず、P+Qが無限遠
点であることが判明している)。ステップS18でXp
mod rを計算し、電子署名データcと比較する。最
後に、この値が一致していた場合、ステップS19に進
み、電子署名が正しいと判定する。
In step S16, the h already calculated
Using 1 and h2, the point P = (Xp, Yp) = h1 × G
+ H2 · Ks × G is calculated. Since the digital signature verifier knows the base points G and Ks × G, FIG.
The scalar multiplication of the point on the elliptic curve can be performed in the same manner as in step S4 of the above. Then, in a step S17, it is determined whether or not the point P is an infinity point.
(Actually, the determination of the point at infinity is made in step S16. That is, P = (X, Y) and Q = (X, −
When Y) is added, λ cannot be calculated, and it is known that P + Q is a point at infinity). Xp in step S18
The mod r is calculated and compared with the digital signature data c. Finally, if the values match, the process proceeds to step S19, where it is determined that the electronic signature is correct.

【0129】電子署名が正しいと判定された場合、デー
タは改竄されておらず、公開鍵に対応した秘密鍵を保持
する者が電子署名を生成したことがわかる。
When it is determined that the electronic signature is correct, it is understood that the data has not been falsified and that the person holding the private key corresponding to the public key has generated the electronic signature.

【0130】ステップS12において、電子署名データ
cまたはdが、0<c<r、0<d<rを満たさなかっ
た場合、ステップS20に進む。また、ステップS17
において、点Pが無限遠点であった場合もステップS2
0に進む。さらにまた、ステップS18において、Xp
mod rの値が、電子署名データcと一致していなか
った場合にもステップS20に進む。
If the digital signature data c or d does not satisfy 0 <c <r and 0 <d <r in step S12, the flow advances to step S20. Step S17
In step S2, when the point P is a point at infinity,
Go to 0. Furthermore, in step S18, Xp
The process also proceeds to step S20 when the value of mod r does not match the digital signature data c.

【0131】ステップS20において、電子署名が正し
くないと判定された場合、データは改竄されているか、
公開鍵に対応した秘密鍵を保持する者が電子署名を生成
したのではないことがわかる。
If it is determined in step S20 that the electronic signature is incorrect, whether the data has been falsified
It can be seen that the person holding the private key corresponding to the public key did not generate the electronic signature.

【0132】本発明のシステムにおけるデバイスは、デ
バイスマネージャの管理登録局を介してデバイスに対し
て発行されるデバイス対応の公開鍵証明書(CERT-DEV)
をデバイスに格納し、さらに、パーティションマネージ
ャの管理登録局を介してデバイスのパーティションに対
して発行されるパーティション対応の公開鍵証明書(CE
RT-PAR)をデバイスの各パーティションに格納する。こ
れらの公開鍵証明書は、デバイスに対する処理、すなわ
ちパーティション登録チケット(PRT)を適用したパ
ーティション登録設定処理、ファイル登録チケット(F
RT)を適用したファイル登録設定処理、さらにサービ
ス許可チケット(SPT)を適用したデータ処理におい
て、チケットユーザ(ex.デバイスアクセス機器とし
てのリーダライタ)とデバイス間の相互認証、署名生
成、検証処理等に適用される。これらの処理の具体例に
ついては、後段でフローを用いて説明する。
The device in the system of the present invention is a public key certificate (CERT-DEV) corresponding to the device issued to the device via the management registration authority of the device manager.
Is stored in the device, and a public key certificate (CE) corresponding to the partition issued to the partition of the device through the management registration authority of the partition manager.
RT-PAR) in each partition of the device. These public key certificates are processed for a device, that is, a partition registration setting process applying a partition registration ticket (PRT) and a file registration ticket (F
RT) to apply file registration and data processing to apply a service permission ticket (SPT), mutual authentication between a ticket user (ex. A reader / writer as a device access device) and a device, signature generation, verification processing, etc. Applied to Specific examples of these processes will be described later using a flow.

【0133】[A7.デバイスのメモリ部における格納
データ]次に、本発明のパーティション分割されたメモ
リ領域を持つデバイスの格納データについて説明する。
先に、図6を用いて説明した通り、デバイスは例えばE
EPROMからなるメモリ部を持ち、主要領域としてパ
ーティション領域、未使用領域、デバイス固有情報およ
びデバイス内パーティション情報領域を有する。これら
各領域の格納データについて以下、図を参照して順次説
明する。
[A7. Data Stored in Memory Unit of Device] Next, data stored in a device having a partitioned memory area according to the present invention will be described.
As described above with reference to FIG.
It has a memory unit composed of an EPROM, and has a partition area, an unused area, device-specific information, and an in-device partition information area as main areas. The data stored in each of these areas will be sequentially described below with reference to the drawings.

【0134】(A7.1.デバイス固有情報およびデバ
イス内パーティション情報領域)まず、デバイス固有情
報およびデバイス内パーティション情報領域の各データ
について説明する。デバイス固有情報およびデバイス内
パーティション情報領域には、デバイス製造エンティテ
イの情報、デバイスマネージャに関する情報、設定パー
ティション情報、デバイスに対するアクセスを実行して
パーティションの設定登録処理を実行する際に必要とな
る鍵情報などが格納される。
(A7.1. Device Specific Information and Intra-device Partition Information Area) First, each data of the device specific information and the in-device partition information area will be described. The device-specific information and the in-device partition information area include information on a device manufacturing entity, information on a device manager, setting partition information, and key information required when executing access to the device and executing partition setting registration processing. Is stored.

【0135】図14は、製造情報ブロック(Manufactur
e Information Block)のデータ構成を示している。各
領域の数値は、バイト数を示す。図6を用いて説明した
ように、本実施例の構成では1ブロック:32バイト構
成である。なお、図中グレー部分は暗号化されたデータ
でも、暗号化されていなくてもよい。
FIG. 14 shows a manufacturing information block (Manufactur
e Information Block). The numerical value of each area indicates the number of bytes. As described with reference to FIG. 6, in the configuration of the present embodiment, one block is composed of 32 bytes. The gray part in the figure may be encrypted data or may not be encrypted.

【0136】製造情報ブロック(Manufacture Informat
ion Block)には、以下のデータが格納される。 * Writable Flag : ブロックへ書き込みが許可されてい
るかの判別フラグ(ex.0xffff : 書込許可, others :書
込不可) * Manufacture Code : カード製造工場識別番号 * Manufacture Equipment Code : カード製造ライン番
号 * Manufacture Date : カード製造日。例えば、2001年1
月1日を0x0000とする * Manufacture Serial Number : カード製造シリアル番
号 * Device Vender Code : ICチップ供給会社番号 * Device Code : ICチップの型番 * Device Parameter : その他のパラメータ
Manufacturing information block (Manufacture Informat
ion Block) stores the following data. * Writable Flag: Flag to determine whether writing to the block is permitted (ex.0xffff: Write permitted, others: Write disabled) * Manufacture Code: Card manufacturing plant identification number * Manufacture Equipment Code: Card manufacturing line number * Manufacture Date: Date of card production. For example, 2001 1
Set the month 1 as 0x0000 * Manufacture Serial Number: Card manufacturing serial number * Device Vender Code: IC chip supplier company number * Device Code: IC chip model number * Device Parameter: Other parameters

【0137】これらのブロックに書かれる情報は一意に
なるので、これらの情報を基にデバイス(Device)固有
識別子としてIDmと定義する。なお、デバイス(Devi
ce)固有識別子は製造情報ブロック(Manufacture Info
rmation Block)に書き込まれた情報全体、あるいは書
き込まれた情報の一部、または書き込まれた情報に基づ
いて取得される演算データから取得する構成とすること
も可能である。
Since the information written in these blocks is unique, IDm is defined as a device unique identifier based on the information. The device (Devi
ce) The unique identifier is the manufacturing information block (Manufacture Info
It is also possible to adopt a configuration in which the information is obtained from the entire information written in the rmation block, a part of the written information, or operation data obtained based on the written information.

【0138】図15は、デバイス管理情報ブロック(De
vice Management Information Block)のデータ構成を
示す。デバイス管理情報ブロック(Device Management
Information Block)には以下のデータが格納される。
FIG. 15 shows a device management information block (De
vice Management Information Block). Device Management Information Block (Device Management
Information Block) stores the following data.

【0139】* Writable Flag : ブロックへ書き込みが
許可されているかの判別フラグ (ex. 0xffff : 書込許
可, others : 書込不可) * DMC (Device Manager Code) :デバイスマネージャ
(DM:Device Manager)の識別番号 * DMC Version : デバイスマネージャコード(DMC)
のバージョン。例えば、DMCを更新する時の比較条件
として用いられる。 * Total Block Number in Device :デバイス(Device)
内の全ブロック数 * Free Block Number in Device :デバイス(Device)
内の空きブロック数 * Partition Number : 現在登録されているパーティシ
ョン(Partition)数 * Pointer of Free Area :空き領域のポインタ
* Writable Flag: flag for determining whether writing to the block is permitted (ex. 0xffff: writing permitted, others: writing not allowed) * DMC (Device Manager Code): Device manager code (DM: Device Manager) Identification number * DMC Version: Device manager code (DMC)
Version. For example, it is used as a comparison condition when updating the DMC. * Total Block Number in Device: Device
Total number of blocks in the block * Free Block Number in Device: Device
Number of free blocks in partition * Partition Number: Number of currently registered partitions (Partition) * Pointer of Free Area: Pointer of free area

【0140】図16は、公開鍵系デバイス鍵定義ブロッ
ク(Device Key Definition Block(PUB))のデータ構
成を示す。公開鍵系デバイス鍵定義ブロック(Device K
eyDefinition Block(PUB))には以下のデータが格納
される。
FIG. 16 shows the data structure of a public key device key definition block (Device Key Definition Block (PUB)). Public key device key definition block (Device K
The following data is stored in the eyDefinition Block (PUB).

【0141】* PUB_CA(DEV) Pointer :デバイスマネー
ジャの管轄する登録局を介して公開鍵証明書の発行を行
なうデバイスマネージャ対応認証局(CA(DEV))
の公開鍵が格納されているブロックへのポインタ * PUB_CA(DEV) Size :認証局CA(DEV)の公開鍵の
サイズ * PRI_DEV Pointer :デバイス(Device)の秘密鍵が格
納されているブロックへのポインタ * PRI_DEV Size :デバイス(Device)の秘密鍵のサイズ * PARAM_DEV Pointer :デバイス(Device)の公開鍵パ
ラメータが格納されているブロックへのポインタ * PARAM_DEV Size :デバイス(Device)の公開鍵パラメ
ータのサイズ * CERT_DEV Pointer :認証局CA(DEV)が発行した
デバイス(Device)の公開鍵証明書が格納されているブ
ロックへのポインタ * CERT_DEV Size : :認証局CA(DEV)が発行した
デバイス(Device)の公開鍵証明書のサイズ * CRL_DEV Pointer :デバイス(Device)のリボケーシ
ョンリスト(Revocation List)が格納されているブロ
ックへのポインタ * CRL_DEV Size :デバイス(Device)のリボケーション
リスト(Revocation List)のサイズ * PRTIC(PRT Issuer Category) :パーティション登録
チケット(PRT)発行者カテゴリ * PRTIC Version : パーティション登録チケット(PR
T)発行者カテゴリ(PRTIC)のバージョン * DUTIC_DEV(DUT Issuer Category) :データアップデ
ートチケット(DUT:Data Update Ticket)発行者カ
テゴリ * DUTIC_DEV Version :データアップデートチケット
(DUT:Data Update Ticket)発行者(DUTIC)
のバージョン
* PUB_CA (DEV) Pointer: A certificate authority corresponding to a device manager (CA (DEV)) that issues a public key certificate via a registration authority under the jurisdiction of the device manager.
* PUB_CA (DEV) Size: Size of the public key of the CA (DEV) * PRI_DEV Pointer: Pointer to the block where the private key of the device is stored * PRI_DEV Size: Size of the private key of the device (Device) * PARAM_DEV Pointer: Pointer to the block in which the public key parameter of the device (Device) is stored * PARAM_DEV Size: Size of the public key parameter of the device (Device) * CERT_DEV Pointer: Pointer to the block storing the public key certificate of the device (Device) issued by the CA (DEV) * CERT_DEV Size :: Public key of the device (Device) issued by the CA (DEV) Certificate size * CRL_DEV Pointer: Pointer to the block where the revocation list (Revocation List) of the device (Device) is stored * CRL_DEV Size: Device (Devi) ce) Revocation List size * PRTIC (PRT Issuer Category): Partition registration ticket (PRT) issuer category * PRTIC Version: Partition registration ticket (PR
T) Version of Issuer Category (PRTIC) * DUTIC_DEV (DUT Issuer Category): Issuer Category of Data Update Ticket (DUT) * DUTIC_DEV Version: Issuer of Data Update Ticket (DUT)
Version of

【0142】なお、上記のデータ中のリボケーションリ
ストとは、不正デバイスのリストとして、例えばデバイ
ス流通システムの管理者が発行するデバイス排除用リス
トであり、不正デバイスの識別データをリスト化したデ
ータである。デバイスアクセス機器としてのリーダライ
タにセットされたデバイスがリボケーションリストに記
載されたデバイスである場合は処理を停止するなどの措
置をとる。
The revocation list in the above data is a list of unauthorized devices, for example, a device exclusion list issued by the administrator of the device distribution system, and is a list of identification data of unauthorized devices. is there. If the device set in the reader / writer as the device access device is a device described in the revocation list, measures such as stopping the processing are taken.

【0143】例えばデバイスに対する処理を実行するす
べてのデバイスアクセス機器としてのリーダライタに常
に最新のリボケーションリストを配布してデバイスに対
して処理を実行する際にリストを参照して処理の実行ま
たは停止を判定する。あるいはデバイスアクセス機器と
してのリーダライタの通信機能によりネットワークを介
して最新のリボケーションリストを閲覧することでリス
トに記載された不正デバイス情報を取得して処理の実行
または停止を判定する。リボケーションリストを利用し
た具体的処理については、フローを用いた説明中で後述
する。
For example, when always distributing the latest revocation list to a reader / writer as all device access devices executing a process for a device and executing a process for a device, executing or stopping the process with reference to the list Is determined. Alternatively, the latest revocation list is browsed via a network by a communication function of a reader / writer as a device access device to acquire unauthorized device information described in the list, and execution or stop of processing is determined. Specific processing using the revocation list will be described later in the description using the flow.

【0144】また、上記のデータ中のデータアップデー
トチケット(DUT:Data UpdateTicket)は、デバイ
スに格納された様々なデータの更新処理を実行する際に
更新処理を許可し制限するためのアクセス制限チケット
であり、前述のPRT,FRT,SPTの各チケットと
同様、デバイスに対するアクセスルールを記録したチケ
ットである。このデータアップデートチケット(DU
T:Data Update Ticket)については、後段でさらに詳
細に説明する。
[0144] Further, the data update ticket in the above data (DUT: Data UpdateTicket) is the access restriction ticket for limiting allow updating when performing update processing of various data stored in the device Yes, similar to the above-described PRT, FRT, and SPT tickets, this ticket records an access rule for the device. This data update ticket (DU
T: Data Update Ticket) will be described in more detail later.

【0145】図17は、共通鍵系デバイス鍵定義ブロッ
ク(Device Key Definition Block(Common))のデータ
構成を示す。共通鍵系デバイス鍵定義ブロック(Device
KeyDefinition Block(Common))には以下のデータが格
納される。
FIG. 17 shows the data structure of a common key device key definition block (Device). Common key system device key definition block (Device
The following data is stored in the KeyDefinition Block (Common)).

【0146】* Mkauth_DEV_A Pointer :双方向個別鍵認
証用マスター鍵(MKauth_DEV_A)のポインタ * Mkauth_DEV_A Size :双方向個別鍵認証用マスター鍵
(MKauth_DEV_A)のサイズ * Kauth_DEV_B Pointer :双方向個別鍵認証用鍵(Kauth_
DEV_B)のポインタ * Kauth_DEV_B Size :双方向個別鍵認証用鍵(Kauth_DEV
_B)のサイズ * Kprt Pointer :パーティション登録チケット(PR
T)のMAC検証用鍵(Kprt)が格納されているブロック
へのポインタ * Kprt Size : パーティション登録チケット(PRT)
のMAC検証用鍵(Kprt)のサイズ * Kdut_DEV1-4 Pointer :データアップデートチケット
(DUT)のMAC検証用鍵(Kdut)が格納されているブ
ロックへのポインタ * Kdut_DEV1-4 Size : データアップデートチケット
(DUT)のMAC検証用鍵(Kdut)のサイズ * IRL_DEV Pointer :デバイス(Device)のリボケーシ
ョンリスト(Revocation List)として、不正デバイス
のデバイスID(Device ID)が格納されているブロック
へのポインタ * IRL_DEV Size :デバイス(Device)のリボケーション
リスト(Revocation List)のサイズ
* Mkauth_DEV_A Pointer: Pointer of master key for bidirectional individual key authentication (MKauth_DEV_A) * Mkauth_DEV_A Size: Master key for bidirectional individual key authentication
(MKauth_DEV_A) size * Kauth_DEV_B Pointer: Bidirectional individual key authentication key (Kauth_DEV
DEV_B) pointer * Kauth_DEV_B Size: Two-way individual key authentication key (Kauth_DEV
_B) size * Kprt Pointer: Partition registration ticket (PR
Pointer to the block in which the T) MAC verification key (Kprt) is stored * Kprt Size: Partition registration ticket (PRT)
* Kdut_DEV1-4 Pointer: Pointer to the block where the MAC verification key (Kdut) of the data update ticket (DUT) is stored * Kdut_DEV1-4 Size: Data update ticket (DUT) ) Size of the MAC verification key (Kdut) * IRL_DEV Pointer: Pointer to a block in which the device ID (Device ID) of the unauthorized device is stored as a revocation list (Revocation List) of the device (Device) * IRL_DEV Size : Size of Revocation List of Device

【0147】上述のデータ中に示される双方向個別鍵認
証の方法、MAC(Message Authenticate Code)検証
処理については、後段で詳細に説明する。また、Kdut_D
EV は4種類存在し、(Kdut_DEV1, Kdut_DEV2), (Kdut_D
EV3, Kdut_DEV4) のペアで使われる。例えば、Kdut_DEV
1, 3 はMAC生成用、Kdut_DEV2, 4は暗号用に使われる。
The method of two-way individual key authentication and MAC (Message Authenticate Code) verification processing shown in the above data will be described in detail later. Also, Kdut_D
There are four types of EV, (Kdut_DEV1, Kdut_DEV2), (Kdut_D
Used for EV3, Kdut_DEV4) pair. For example, Kdut_DEV
1 and 3 are used for MAC generation, and Kdut_DEV2 and 4 are used for encryption.

【0148】図18は、デバイス鍵領域(Device Key A
rea)のデータ構成を示す。デバイス鍵領域(Device Ke
y Area)には以下のデータが格納される。なお、デバイ
ス鍵領域(Device Key Area)の各格納鍵には、バージ
ョン情報が併せて格納される。鍵の更新時には、バージ
ョンについても併せて更新される。
FIG. 18 shows a device key area (Device Key A).
rea). Device key area (Device Ke
y Area) stores the following data. Note that version information is also stored in each storage key of the device key area. When the key is updated, the version is also updated.

【0149】* IRL_DEV :排除デバイス(Device)、排
除機器(デバイスアクセス機器としてのリーダライタ、
PC等のチケットユーザ、チケット発行手段)の識別子
(ID)を登録したリボケーションリスト(Revocation
List (Device ID)) * CRL_DEV :排除デバイス(Device)、排除機器(デバ
イスアクセス機器としてのリーダライタ、PC等のチケ
ットユーザ、チケット発行手段)の公開鍵証明書識別子
(ex.シリアルナンバ:SN)を登録したリボケーシ
ョンリスト(Revocation List (Certificate)) * Kdut_DEV1 :データアップデートチケット(DUT)
のMAC検証用鍵 * Kdut_DEV2 :データ更新用暗号鍵 * Kdut_DEV3 :データアップデートチケット(DUT)
のMAC検証用鍵 * Kdut_DEV4 :データ更新用暗号鍵 * Kprt :パーティション登録チケット(PRT)のMA
C検証用鍵 * CERT_DEV : デバイスマネージャ対応公開鍵を発行す
る認証局CA(DEV)が発行したデバイス(Device)
の公開鍵証明書 * PRI_DEV :デバイス(Device)の秘密鍵 * PARAM_DEV :デバイス(Device)の公開鍵パラメータ * PUB_CA(DEV) :デバイスマネージャ対応公開鍵を発行
する認証局CA(DEV)の公開鍵 * Kauth_DEV_B :双方向個別鍵認証用共通鍵 * MKauth_DEV_A :双方向個別鍵認証用マスター鍵
* IRL_DEV: exclusion device (Device), exclusion device (reader / writer as device access device,
Revocation list (Revocation) in which identifiers (ID) of ticket users such as PCs and ticket issuing means) are registered.
List (Device ID)) * CRL_DEV: Public key certificate identifier (ex. Serial number: SN) of excluded device (Device), excluded device (reader / writer as device access device, ticket user such as PC, ticket issuing means) List (Revocation List (Certificate)) with registered * Kdut_DEV1: Data Update Ticket (DUT)
* Kdut_DEV2: Data update encryption key * Kdut_DEV3: Data update ticket (DUT)
* Kdut_DEV4: Data update encryption key * Kprt: MA of partition registration ticket (PRT)
C verification key * CERT_DEV: Device (Device) issued by CA (DEV) that issues a public key corresponding to the device manager
* PRI_DEV: Private key of the device * PARAM_DEV: Public key parameter of the device * PUB_CA (DEV): Public key of the certification authority CA (DEV) that issues the public key corresponding to the device manager * Kauth_DEV_B: Common key for two-way individual key authentication * MKauth_DEV_A: Master key for two-way individual key authentication

【0150】なお、図に示すデバイス鍵領域(Device K
ey Area)には Kauth_DEV_A :双方向個別鍵認証用共通
鍵、MKauth_DEV_B :双方向個別鍵認証用マスター鍵が
格納されているが、これらの鍵は、デバイスが共通鍵認
証処理を行なう要請が無い場合は格納しない構成として
もよく、また、Kprt :パーティション登録チケット(P
RT)のMAC検証用鍵についても、デバイスがチケッ
ト検証処理を実行しない構成の場合には格納しない構成
としてもよい。
The device key area (Device K) shown in FIG.
ey Area) stores Kauth_DEV_A: a common key for two-way individual key authentication, and MKauth_DEV_B: a master key for two-way individual key authentication. These keys are used when there is no request for the device to perform a common key authentication process. May not be stored, and Kprt: partition registration ticket (P
The RT) MAC verification key may not be stored if the device does not execute the ticket verification process.

【0151】また、IRL_DEV :排除デバイス(Device)
のデバイス識別子(ID)を登録したリボケーションリ
スト(Revocation List (Device ID))、 CRL_DEV :排
除デバイス(Device)の公開鍵証明書識別子(ex.シ
リアルナンバ:SN)を登録したリボケーションリスト
(Revocation List (Certificate)、についても、リボ
ーク(排除)されたデバイスが存在しない場合、あるい
は他のソースを使用してリボケーションリストを取得す
る構成とする場合には、リボケーションリストを格納し
ない構成としてもよい。
Further, IRL_DEV: Excluded device (Device)
Revocation List (Device ID) in which the device identifier (ID) of the device is registered, CRL_DEV: Revocation List (Revocation) in which the public key certificate identifier (ex. Serial number: SN) of the excluded device (Device) is registered Regarding the List (Certificate), if there is no revoked (excluded) device, or if the revocation list is acquired using another source, the revocation list may not be stored. Good.

【0152】図19は、パーティション定義ブロック
(Partition Definition Block)のデータ構成を示す。
パーティション定義ブロック(Partition Definition B
lock)には以下のデータが格納される。
FIG. 19 shows the data structure of a partition definition block.
Partition Definition B
lock) stores the following data.

【0153】* PMC (Partition Manager Code) :パーテ
ィションマネージャ(Partition Manager)に割り当て
られたコード(PMC)。例えば番号。 * PMC Version : パーティションマネージャコード(P
MC)のバージョン * Partition Start Position :パーティション(Partit
ion)格納先スタートアドレス * Partition Size :パーティション(Partition)のサ
イズ
* PMC (Partition Manager Code): Code (PMC) assigned to the partition manager. For example a number. * PMC Version: Partition manager code (P
MC) version * Partition Start Position: Partition (Partit
ion) Storage start address * Partition Size: Partition size

【0154】以上が、デバイスのメモリ部のデバイス固
有情報およびデバイス内パーティション情報領域の各デ
ータである。
The above is the device specific information of the memory section of the device and each data of the in-device partition information area.

【0155】(A7.2.パーティション領域)次に、
パーティション領域の各データについて説明する。パー
ティション領域は、パーティションマネージャの管理領
域である。前述したように、デバイスマネージャの管理
するパーティション登録チケット(PRT)発行手段
(PRT Issuer)の発行したPRTチケットに基づい
て各サービス主体としてのパーティションマネージャが
所定の手続き、すなわちパーティション登録チケット
(PRT)に設定されたルールに従ってデバイス内のメ
モリに設定する。以下、パーティション領域のデータ構
成について説明する。
(A7.2. Partition area) Next,
Each data of the partition area will be described. The partition area is a management area of the partition manager. As described above, based on the PRT ticket issued by the partition registration ticket (PRT) issuing means (PRT Issuer) managed by the device manager, the partition manager as each service entity performs a predetermined procedure, that is, a partition registration ticket (PRT). Set the memory in the device according to the set rules. Hereinafter, the data configuration of the partition area will be described.

【0156】図20は、パーティション管理情報ブロッ
ク(Partition Management Information Block)のデー
タ構成を示す。パーティション管理情報ブロック(Part
ition Management Information Block)には以下のデー
タが格納される。
FIG. 20 shows the data structure of a partition management information block. Partition management information block (Part
The following data is stored in the partition management information block).

【0157】* PMC (Partition Manager Code) :パーテ
ィション(Partition)保有者の番号 * PMC Version :パーティションマネージャコード(P
MC)のバージョン * Total Block Number in Partition :パーティション
(Partition)内の全ブロック数 * Free Block Number in Partition : パーティション
(Partition)内の空きブロック数 * Pointer of Free Area : パーティション(Partitio
n)内の未使用領域のポインタ * File Number :パーティションに現在登録されている
ファイル(File)数
* PMC (Partition Manager Code): Number of the partition (Partition) holder * PMC Version: Partition manager code (P
MC) version * Total Block Number in Partition: Total number of blocks in partition (Partition) * Free Block Number in Partition: Number of free blocks in partition (Partition) * Pointer of Free Area: Partition (Partitio)
Pointer of unused area in n) * File Number: Number of files (File) currently registered in the partition

【0158】図21は、公開鍵系パーティション鍵情報
ブロック(Partition Key Definition Block(PUB))の
データ構成を示す。公開鍵系パーティション鍵情報ブロ
ック(Partition Key Definition Block(PUB))には以
下のデータが格納される。
FIG. 21 shows the data structure of a public key system partition key information block (Partition Key Definition Block (PUB)). The following data is stored in the public key system partition key information block (Partition Key Definition Block (PUB)).

【0159】* PUB_CA(PAR) Pointer :パーティション
マネージャの管轄登録局を介して公開鍵証明書を発行す
る認証局CA(PAR)の公開鍵が格納されているブロ
ックへのポインタ * PUB_CA(PAR) Size :認証局CA(PAR)の公開鍵の
サイズ * PRI_PAR Pointer :パーティション(Partition)の秘
密鍵が格納されているブロックへのポインタ * PRI_PAR Size :パーティション(Partition)の秘密
鍵のサイズ * PARAM_PAR Pointer :パーティション(Partition)の
公開鍵パラメータが格納されているブロックへのポイン
タ * PARAM_PAR Size :パーティション(Partition)の公
開鍵パラメータのサイズ * CERT_PAR Pointer :認証局CA(PAR)が発行した
パーティション(Partition)の公開鍵証明書が格納さ
れているブロックへのポインタ * CERT_PAR Size :認証局CA(PAR)が発行したパ
ーティション(Partition)の公開鍵証明書のサイズ * CRL_PAR Pointer :パーティション(Partition)のリ
ボケーションリスト(Revocation List)が格納されて
いるブロックへのポインタ * CRL_PAR Size :パーティション(Partition)のリボ
ケーションリスト(Revocation List)のサイズ * FRTIC(FRT Issuer Category) :ファイル登録チケッ
ト(FRT)発行者カテゴリ * FRTIC Version : ファイル登録チケット(FRT)発
行者カテゴリ(FRTIC)のバージョン * DUTIC_PAR(DUT Issuer Category) :データアップデ
ートチケット(DUT)発行者カテゴリ * DUTIC_PAR Version : データアップデートチケット
(DUT)発行者カテゴリ(DUTIC)のバージョン
* PUB_CA (PAR) Pointer: Pointer to a block in which the public key of the certification authority CA (PAR) that issues the public key certificate via the registration authority of the partition manager is stored. * PUB_CA (PAR) Size : The size of the public key of the certification authority CA (PAR) * PRI_PAR Pointer: Pointer to the block storing the private key of the partition (Partition) * PRI_PAR Size: The size of the private key of the partition (Partition) * PARAM_PAR Pointer: Partition pointer * PARAM_PAR public key parameters to the block, which is stored in the (partition) size: partition (partition) public key parameters of size * CERT_PAR pointer of: public key of the partition that issued the certificate authority CA (PAR) is (partition) Pointer to the block where the certificate is stored * CERT_PAR Size: The party issued by the CA (PAR) * CRL_PAR Pointer: Pointer to the block that stores the revocation list (Revocation List) of the partition (Partition) * CRL_PAR Size: Revocation list (Revocation) of the partition (Partition) List) * FRTIC (FRT Issuer Category): File registration ticket (FRT) issuer category * FRTIC Version: File registration ticket (FRT) issuer category (FRTIC) version * DUTIC_PAR (DUT Issuer Category): Data update ticket (DUT) Issuer Category * DUTIC_PAR Version: Version of Data Update Ticket (DUT) Issuer Category (DUTIC)

【0160】図22は、共通鍵系パーティション鍵情報
ブロック(Partition Key Definition Block(Common))
データ構成を示す。共通鍵系パーティション鍵情報ブロ
ック(Partition Key Definition Block(Common))には
以下のデータが格納される。
[0160] FIG. 22, the common key system partition key information block (Partition Key Definition Block (Common))
Shows the data structure. The following data is stored in the common key system partition key information block (Partition Key Definition Block (Common)).

【0161】* Mkauth_PAR_A Pointer : 双方向個別鍵
認証用マスター鍵(MKauth_PAR_A)のポインタ * Mkauth_PAR_A Size :双方向個別鍵認証用マスター鍵
(MKauth_PAR_A)のサイズ * Kauth_PAR_B Pointer :双方向個別鍵認証用鍵(Kauth_
PAR_B)のポインタ * Kauth_PAR_B Size :双方向個別鍵認証用鍵(Kauth_PAR
_B)のサイズ * Kfrt Pointer :ファイル登録チケット(FRT)のM
AC検証用鍵(Kfrt)が格納されているブロックへのポイ
ンタ * Kfrt Size :ファイル登録チケット(FRT)のMA
C検証用鍵(Kfrt)のサイズ * Kdut_PAR1-4 Pointer :データアップデートチケット
(DUT)のMAC検証用鍵(Kdut)が格納されているブ
ロックへのポインタ * Kdut_PAR1-4 Size : データアップデートチケット
(DUT)のMAC検証用鍵(Kdut)のサイズ * IRL_PAR Pointer :パーティション(Partition)の排
除デバイスのIDを格納したリボケーションリスト(Re
vocation List−Device ID)が格納されているブロック
へのポインタ * IRL_PAR Size :パーティション(Partition)のリボ
ケーションリスト(Revocation List−Device ID)のサ
イズ
* Mkauth_PAR_A Pointer: Pointer of master key for bidirectional individual key authentication (MKauth_PAR_A) * Mkauth_PAR_A Size: Master key for bidirectional individual key authentication
(MKauth_PAR_A) size * Kauth_PAR_B Pointer: Two-way individual key authentication key (Kauth_PAR
PAR_B) pointer * Kauth_PAR_B Size: Two-way individual key authentication key (Kauth_PAR
_B) size * Kfrt Pointer: File registration ticket (FRT) M
Pointer to the block where the AC verification key (Kfrt) is stored * Kfrt Size: MA of file registration ticket (FRT)
Size of C verification key (Kfrt) * Kdut_PAR1-4 Pointer: Pointer to block where MAC verification key (Kdut) of data update ticket (DUT) is stored * Kdut_PAR1-4 Size: Data update ticket (DUT) Size of the MAC verification key (Kdut) * IRL_PAR Pointer: Revocation list (Re) storing the ID of the device excluded from the partition (Partition)
Pointer to the block where the Revocation List-Device ID is stored * IRL_PAR Size: Size of the revocation list (Revocation List-Device ID) of the partition (Partition)

【0162】上述のデータ中に示される双方向個別鍵認
証の方法、MAC(Message Authenticate Code)検証
処理については、後段で詳細に説明する。また、Kdut_P
AR は4種類存在し、(Kdut_PAR1, Kdut_PAR2), (Kdut_P
AR3, Kdut_PAR4) のペアで使われる。例えば、Kdut_PAR
1, 3 はMAC生成用、Kdut_PAR2, 4は暗号用に使われる。
The method of two-way individual key authentication and MAC (Message Authenticate Code) verification processing shown in the above data will be described in detail later. Also, Kdut_P
There are four types of AR, (Kdut_PAR1, Kdut_PAR2), (Kdut_P
AR3, Kdut_PAR4) are used in pairs. For example, Kdut_PAR
1 and 3 are used for MAC generation, and Kdut_PAR2 and 4 are used for encryption.

【0163】図23は、パーティション鍵領域(Partit
ion Key Area)のデータ構成を示す。パーティション鍵
領域(Partition Key Area)には以下のデータが格納さ
れる。なお、パーティション鍵領域(Partition Key Ar
ea)の各格納鍵には、バージョン情報が併せて格納され
る。鍵の更新時には、バージョンについても併せて更新
される。
FIG. 23 shows a partition key area (Partit
3 shows a data configuration of an ion key area. The following data is stored in the partition key area (Partition Key Area). The partition key area (Partition Key Ar
Version information is also stored in each storage key of ea). When the key is updated, the version is also updated.

【0164】* IRL_PAR :パーティションアクセス排除
デバイス(Device)、排除機器(デバイスアクセス機器
としてのリーダライタ、PC等のチケットユーザ、チケ
ット発行手段)の識別子(ID)を登録したリボケーシ
ョンリスト(Revocation List (Device ID)) * CRL_PAR :パーティションアクセス排除デバイス(Dev
ice)、排除機器(デバイスアクセス機器としてのリー
ダライタ、PC等のチケットユーザ、チケット発行手
段)の公開鍵証明書識別子(ex.シリアルナンバ:S
N)を登録したリボケーションリスト(Revocation Lis
t (Certificate) * Kdut_PAR1 :データアップデートチケット(DUT)
のMAC検証用鍵 * Kdut_PAR2 :データ更新用暗号鍵 * Kdut_PAR3 : データアップデートチケット(DUT)
のMAC検証用鍵 * Kdut_PAR4 :データ更新用暗号鍵 * Kfrt :ファイル登録チケット(FRT)のMAC検証
用鍵 * CERT_PAR :認証局CA(PAR)が発行したパーティ
ション(Partition)の公開鍵証明書 * PRI_PAR :パーティション(Partition)の秘密鍵 * PARAM_PAR :パーティション(Partition)の公開鍵パ
ラメータ * PUB_CA(PAR) :認証局CA(PAR)の公開鍵 * Mkauth_PAR_A :双方向個別鍵認証用マスター鍵 * Kauth_PAR_B :双方向個別鍵認証用共通鍵
* IRL_PAR: Revocation List (Revocation List (R)) in which an identifier (ID) of a partition access exclusion device (Device), an exclusion device (a reader / writer as a device access device, a ticket user such as a PC, a ticket issuing means) is registered. Device ID)) * CRL_PAR: Partition access exclusion device (Dev
ice), the public key certificate identifier (ex. serial number: S) of the excluded device (a reader / writer as a device access device, a ticket user such as a PC, a ticket issuing unit)
N) registered revocation list (Revocation Lis
t (Certificate) * Kdut_PAR1: Data update ticket (DUT)
MAC verification key * Kdut_PAR2: Data update encryption key * Kdut_PAR3: Data update ticket (DUT)
* Kdut_PAR4: Data update encryption key * Kfrt: File registration ticket (FRT) MAC verification key * CERT_PAR: Public key certificate of the partition (Partition) issued by the certification authority CA (PAR) * PRI_PAR : Private key of partition * PARAM_PAR: Public key parameter of partition * PUB_CA (PAR): Public key of certificate authority CA (PAR) * Mkauth_PAR_A: Master key for bidirectional individual key authentication * Kauth_PAR_B: Bidirectional Common key for individual key authentication

【0165】図24は、ファイル定義ブロック(FD
B:File Definition Block)のデータ構成を示す。フ
ァイル定義ブロック(File Definition Block)には以
下のデータが格納される。
FIG. 24 shows a file definition block (FD)
B: File Definition Block). The following data is stored in the file definition block.

【0166】* File ID :ファイル(File)識別名 * File Start Position :ファイル(File)スタートア
ドレス * File Size :ファイル(File)サイズ * SPTIC(SPT Issuer Category) :サービス許可チケッ
ト(SPT)発行者カテゴリ * SPTIC Version : サービス許可チケット(SPT)発
行者カテゴリ(SPTIC)のバージョン * File Structure Type Code :ファイル構造タイプ(Fi
le Structure Type)のコード * Acceptable Authentication Type :許容認証タイプを
示す。各ファイル構造タイプ(File Structure Type)
に対して定義されるアクセスモードとこのフィールドの
各ビット(本例では最大16個)が対応する。詳細は下
記に説明する。 * Acceptable Verification Type:許容検証タイプを示
す。各ファイル構造タイプ(File Structure Type)に
対して、定義されるアクセスモードとこのフィールドの
各ビット(本例では最大16個)が対応する。詳細は下
記に説明する。 * Kspt :サービス許可チケット(SPT)のMAC検証
用鍵(Kspt)
* File ID: File (File) identification name * File Start Position: File (File) start address * File Size: File (File) size * SPTIC (SPT Issuer Category): Service permission ticket (SPT) issuer category * SPTIC Version: Service permission ticket (SPT) issuer category (SPTIC) version * File Structure Type Code: File structure type (Fi
le Structure Type) code * Acceptable Authentication Type: Indicates the acceptable authentication type. File Structure Type
And the bits of this field (up to 16 in this example) correspond to the access mode defined for. Details will be described below. * Acceptable Verification Type: Indicates the acceptable verification type. For each file structure type, the defined access mode and each bit of this field (up to 16 in this example) correspond. Details will be described below. * Kspt: Key for MAC verification of service permission ticket (SPT) (Kspt)

【0167】上記の許容認証タイプ(Acceptable Authe
ntication Type)は、各ファイル構造タイプ(File Str
ucture Type)に対して定義されるアクセスモードとこ
のフィールドの各ビット(本例では最大16個)が対応
するように設定された許容認証タイプであり、例えばあ
るアクセスモードを実行する際に、そのモードに対応す
るビットに1がたっている場合には、公開鍵認証が済ん
で認証済みでないと実行されれないものとする。これに
より、より重要度の高いコマンド(例えば入金処理な
ど)の実行の際には、公開鍵認証を義務づけ、安全性を
確保できる。チケットを用いることで同様の制御も可能
ではあるが、許容認証タイプ(AcceptableAuthenticati
on Type)は、チケットと異なり、ファイル定義ブロッ
ク(FDB:File Definition Block)の一部としてデ
バイスに格納されることになるため、この情報はファイ
ル生成後に変更されることがない。従って、絶対に許容
認証タイプの変更を許さない強い制約を与えたいときに
利用することにより、安全性の最低限の保証を与えるこ
とができる。
The above-mentioned acceptable authentication type (Acceptable Authe
ntication Type) for each file structure type (File Str
ucture Type) is an allowable authentication type set so that each bit of this field (up to 16 in this example) corresponds to the access mode defined for the corresponding access mode. If the bit corresponding to the mode is set to 1, it is assumed that the public key authentication has been completed and executed unless the authentication is completed. Thus, when executing a command having a higher importance (for example, payment processing), public key authentication is obligatory and security can be ensured. The same control is possible by using a ticket, but the allowable authentication type (AcceptableAuthenticati
Unlike the ticket, the “on Type” is stored in the device as a part of a file definition block (FDB), so that this information is not changed after the file is generated. Therefore, by using this when it is desired to give a strong constraint that never changes the allowable authentication type, it is possible to provide a minimum guarantee of security.

【0168】また上記の許容検証タイプ(Acceptable V
erification Type)は、各ファイル構造タイプ(File S
tructure Type)に対して定義されるアクセスモードと
このフィールドの各ビット(本例では最大16個)が対
応するように設定された許容検証タイプであり、例えば
あるアクセスモードを実行する際に、そのモードに対応
するビットに1がたっている場合には、公開鍵方式によ
るチケット検証が済んでないと実行されれないものとす
る。この例では、各フィールドを2バイトづつにしたた
め、最大16個のアクセスモードとの対応付けしかでき
ないが、必要に応じてフィールドサイズを大きくとるこ
とにより、より多くのコマンドに対応付ける構成とする
ことができる。
In addition, the above-mentioned allowable verification type (Acceptable V
erification Type is the file structure type (File S
An allowable verification type is set so that each bit (in this example, up to 16 bits) of this field corresponds to the access mode defined with respect to (tructure Type). For example, when an access mode is executed, If the bit corresponding to the mode is set to 1, it is assumed that the ticket is not executed unless the ticket verification by the public key method is completed. In this example, since each field is made up of 2 bytes, only a maximum of 16 access modes can be associated with each other. However, by increasing the field size as necessary, it is possible to adopt a configuration in which more commands are associated with each other. it can.

【0169】また、本実施例構成においては、許容認証
タイプ(Acceptable Authentication Type)、許容検証
タイプ(Acceptable Verification Type)は設定が
「1」のときに公開鍵方式の認証または検証を必要とす
る設定としてあるが、これらの各フィールドを2ビット
単位の構成として、値が「11」の場合には公開鍵方
式、「01」の場合には共通鍵方式、「00」「10」
の場合には公開鍵方式、共通鍵方式のいずれでもは許容
する、などの細分化した設定としてもよい。
In the configuration of the present embodiment, when the allowable authentication type (Acceptable Authentication Type) and the allowable verification type (Acceptable Verification Type) are set to “1”, the setting that requires authentication or verification of the public key method is required. However, these fields are configured in units of 2 bits, and when the value is “11”, the public key method, when the value is “01”, the common key method, “00”, “10”
In this case, the setting may be finely divided, such as allowing either the public key method or the common key method.

【0170】上述のデータ中のファイル構造タイプ(Fi
le Structure Type)は、パーティション内に生成され
るファイルの構造を示すコードである。ファイル構造と
コードの対応の一例を図25に示す。
The file structure type (Fi
le Structure Type) is a code indicating the structure of a file generated in the partition. FIG. 25 shows an example of the correspondence between the file structure and the code.

【0171】ファイル構造には、図25に示す各種構造
(File Structure)があり、それぞれにコード0001
〜0007が割り当てられる。各構造の意味を以下に示
す。
The file structure includes various structures (File Structure) shown in FIG.
~ 0007 is assigned. The meaning of each structure is shown below.

【0172】* Random :本ファイル構造を持つデータは
すべての読書きがランダムに可能なファイルである。 * Purse :本ファイル構造を持つデータは、金額情報デ
ータであり、減算(Sub)、加算(Add)など金額の価値
変更処理が可能であるデータファイルである。 * Cyclic :本ファイル構造を持つデータは循環型(Cycl
ic)のデータ書き込みが可能なファイル構造である。 * Log :本ファイル構造を持つデータは、ログデータフ
ァイルであり、各データ処理情報についての記録情報フ
ァイルである。 * Key :本ファイル構造を持つデータファイルは、鍵情
報ファイルであることを示す。 * 複合ファイル :上記各種ファイル構造の複合構造(E
x.PurseとLog)を持つファイルである。複合ファイル
には、その組み合わせパターンにより異なるコード(図
では0006:複合ファイル1、0007:複合ファイ
ル2)が割り当てられる。
* Random: Data having this file structure is a file from which all reading and writing can be performed at random. * Purse: Data having this file structure is money amount information data, and is a data file that can be subjected to value change processing such as subtraction (Sub) and addition (Add). * Cyclic: Data with this file structure is circular (Cycl
ic) is a file structure in which data can be written. * Log: Data having this file structure is a log data file, which is a record information file for each data processing information. * Key: Indicates that the data file having this file structure is a key information file. * Compound file: Compound structure of the above various file structures (E
x. Purse and Log). Different codes (0006: composite file 1, 0007: composite file 2 in the figure) are assigned to the composite file according to the combination pattern.

【0173】以上、デバイスのメモリ部に格納されるデ
ータについて説明した。これらのデータを用いた具体的
な処理については、後段で説明する。
The data stored in the memory section of the device has been described above. Specific processing using these data will be described later.

【0174】[A8.各チケットのデータフォーマッ
ト]前述したように、デバイスに対するパーティション
の設定登録処理には、正当なチケット発行手段(Ticket
Issuer)の発行したパーティション登録チケット(P
RT:Partition Registration Ticket)、デバイスに
設定されたパーティション内に対するファイルの設定登
録処理には、正当なチケット発行手段(Ticket Issue
r)の発行したファイル登録チケット(FRT:File Re
gistration Ticket)、また、各ファイルに対するアク
セスには正当なチケット発行手段(Ticket Issuer)の
発行したサービス許可チケット(SPT:Service Perm
ission Ticket)が必要となる。また、前述のデバイス
のメモリ部のデータ説明の欄で簡単に説明したように、
デバイス格納データの更新処理にはデータアップデート
チケット(DUT)を必要とする。
[A8. Data Format of Each Ticket] As described above, a valid ticket issuing means (Ticket
Issuer) issued partition registration ticket (P
RT (Partition Registration Ticket), a valid ticket issuing means (Ticket Issue)
r) issued a file registration ticket (FRT: File Re
gistration ticket) and a service permission ticket (SPT: Service Perm) issued by a valid ticket issuer (Ticket Issuer) for access to each file.
ission Ticket). Also, as described briefly above in the data description section of the memory section of the device,
A data update ticket (DUT) is required for updating the device storage data.

【0175】これらの各チケットはデバイスに対するア
クセスルールをバイナリデータとして記述したデータ列
によって構成される。チケットはデバイスに対する処理
に応じて、チケットユーザである例えばデバイスアクセ
ス機器としてのリーダライタからデバイスに送信され
る。チケットを受信したデバイスはチケットの正当性検
証処理を実行し、正当性検証に成功した場合、チケット
に記録されたルールに従って各種の処理(ex.パーテ
ィション生成、ファイル生成、データアクセス)が実行
される。以下、これらの各チケットのデータフォーマッ
トについて説明する。
Each of these tickets is constituted by a data string in which an access rule for a device is described as binary data. The ticket is transmitted from the ticket user, for example, a reader / writer as a device access device to the device in accordance with the processing for the device. The device that has received the ticket executes the ticket validity verification process, and if the device is successfully verified, various processes (ex. Partition generation, file generation, data access) are executed according to the rules recorded in the ticket. . Hereinafter, the data format of each of these tickets will be described.

【0176】(A8.1.パーティション登録チケット
(PRT))パーティション登録チケット(PRT:Pa
rtition Registration Ticket)は、デバイスに対する
パーティションの設定登録処理の際に適用されるアクセ
スコントロールチケットである。正当なデバイスマネー
ジャ管轄下のチケット発行手段(Ticket Issuer)の発
行したPRTを用い、PRTに記録された手続きに従っ
て、パーティションマネージャの管轄下のチケットユー
ザ(ex.デバイスアクセス機器としてのリーダライ
タ)によりデバイスにアクセスすることで、PRTに記
録された制限内でパーティションを設定することができ
る。
(A8.1. Partition Registration Ticket (PRT)) Partition Registration Ticket (PRT: Pa
rtition Registration Ticket) is an access control ticket applied at the time of partition setting registration processing for a device. A ticket user (ex. Reader / writer as a device access device) under the control of the partition manager uses a PRT issued by a ticket issuer (Ticket Issuer) under the control of a valid device manager and according to the procedure recorded in the PRT. By accessing, the partition can be set within the restrictions recorded in the PRT.

【0177】図26にパーティション登録チケット(P
RT:Partition Registration Ticket)のデータフォ
ーマットを示す。パーティション登録チケット(PR
T:Partition Registration Ticket)には以下に説明
するデータが格納される。
FIG. 26 shows a partition registration ticket (P
RT: Partition Registration Ticket (RT) data format. Partition registration ticket (PR
T: Partition Registration Ticket) stores data described below.

【0178】* Ticket Type :チケット(Ticket)の種
別。 * Format Version :チケット(Ticket)のフォーマット
バージョン * Ticket Issuer :デバイスマネージャの識別子(=D
MC) * Serial Number :チケット(Ticket)のシリアル番号 * Size of Ticket :チケット(Ticket)のサイズ * Authentication Flag :チケット(Ticket)の利用処
理においてデバイス(Device)との相互認証が必要か否
かを示すフラグ * Ticket User の所属(Group) :チケット(Ticket)利
用者の所属 * Authentication Type :デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any)) * Ticket User の識別子 :チケット(Ticket)利用者を
判別する識別データ(カテゴリまたは識別子) 当フィールドは、[Authentication Type]と連携した
データとされ、[Authentication Type]が公開鍵認証
の場合:識別名(DN:Distinguished Name)またはカ
テゴリ(Category)またはシリアル番号(SN)が格納
され,共通鍵認証の場合、:認証IDが格納される。認
証不要の場合は格納は必須ではない。 * PMC:パーティションマネージャコード(Partition Ma
nager Code)として、パーティション定義ブロック(Pa
rtition Definition Block)に記述されるコード * PMC Version : パーティションマネージャコード(P
MC)のバージョン * Operation Type :パーティション(Partition)作成
か削除かの指定 (作成(Generate) / 削除(Delete)) * Partition Size :パーティション(Partition)のサ
イズ * Integrity Check Type :チケット(Ticket)の正当性
検証値の種別(公開鍵方式(Public) /共通鍵方式(Commo
n)) * Integrity Check Value :チケット(Ticket)の正当
性検証値(公開鍵方式:署名(Signature)、共通鍵方
式:MAC)
* Ticket Type: Type of ticket. * Format Version: Format version of ticket (Ticket) * Ticket Issuer: Identifier of device manager (= D
MC) * Serial Number: Serial number of ticket (Ticket) * Size of Ticket: Size of ticket (Ticket) * Authentication Flag: Whether mutual authentication with device is necessary in the process of using ticket (Ticket) Flags that indicate * Ticket User's affiliation (Group): Ticket (Ticket) user's affiliation * Authentication Type: Type of mutual authentication of device (Device) (Public key authentication or Common key authentication, or any of them is possible (Any )) * Ticket User identifier: Identification data (category or identifier) that identifies the ticket user. This field is linked with [Authentication Type], and when [Authentication Type] is public key authentication: An identification name (DN: Distinguished Name) or a category (Category) or a serial number (SN) is stored. In the case of common key authentication, an authentication ID is stored. If authentication is not required, storage is not mandatory. * PMC: Partition Manager code (Partition Ma
nager Code) as the partition definition block (Pa
rtition Definition Block) * PMC Version: Partition manager code (P
MC) version * Operation Type: Specify whether to create or delete a Partition (Generate / Delete) * Partition Size: Size of Partition * Integrity Check Type: Validity of Ticket Type of publicity verification value (Public key method (Public) / Common key method (Commo
n)) * Integrity Check Value: Validity verification value of ticket (Public key method: Signature, Common key method: MAC)

【0179】なお、パーティション登録チケット(PR
T)発行手段(PRT Issuer)の発行したチケット(Tick
et)を、チケットユーザに対して送信する際には、公開
鍵方式の場合、パーティション登録チケット(PRT)
発行手段(PRT Issuer)の公開鍵証明書(CERT_PRTI)
も一緒に送信する。PRT発行手段の公開鍵証明書(CE
RT_PRTI)の属性(Attribute)は、PRT発行手段(P
RT Issuer)の識別子(PRTIC)と一致する。
Note that the partition registration ticket (PR
T) Ticket (Tick) issued by the issuing means (PRT Issuer)
et) to the ticket user, in the case of the public key method, a partition registration ticket (PRT)
Public key certificate (CERT_PRTI) of issuing means (PRT Issuer)
Also send it together. Public key certificate (CE
The attribute of (RT_PRTI) is the PRT issuing means (P
RT Issuer) (PRTIC).

【0180】デバイス(Device)の相互認証のタイプ
(公開鍵認証、または、共通鍵認証、または、いずれで
も可(Any))を記録した[Authentication Type]に
は、チケットを使用した相互認証として実行すべき認証
タイプが記録される。具体的には、後段で詳細に説明す
るが、デバイス認証、パーティション認証のいずれか、
または両方の認証を実行する指定、また公開鍵方式、共
通鍵方式のどちらを実行するか、またはいずれの認証で
も可能であるかについての情報が記録される。
In the [Authentication Type] in which the type of mutual authentication of the device (Device) is recorded (public key authentication or common key authentication, or any of them is possible (Any)), the mutual authentication using a ticket is executed. The authentication type to be recorded is recorded. Specifically, as will be described in detail later, one of device authentication and partition authentication,
Alternatively, information indicating whether to execute both types of authentication, and whether to execute the public key method or the common key method, or whether any type of authentication is possible is recorded.

【0181】チケット(Ticket)の正当性検証値(公開
鍵方式:署名(Signature)、共通鍵方式:MAC)を
記録する[Integrity Check Value]フィールドには、
公開鍵方式であれば、パーティション登録チケット発行
手段(PRT Issuer)の秘密鍵に基づく署名(図12
参照)が生成され格納される。デバイスマネージャ自体
がパーティション登録チケット発行手段(PRT Issue
r)を兼ねる場合は、デバイスマネージャの秘密鍵を用
いて署名が生成される。署名検証処理(図13参照)の
際は、対応のCA(DEV)の公開鍵が用いられる。従
って、チケット検証を実行するデバイスは、チケット受
領に際し、または前もってパーティション登録チケット
発行手段(PRT Issuer)(ex.デバイスマネージ
ャ)の公開鍵(公開鍵証明書)を取得することが必要で
ある。
In the [Integrity Check Value] field for recording the validity verification value (public key method: Signature, common key method: MAC) of the ticket (Ticket),
In the case of the public key method, a signature based on the secret key of the partition registration ticket issuing means (PRT Issuer) (FIG. 12)
Is generated and stored. The device manager itself issues a partition registration ticket (PRT Issue)
In the case of r), a signature is generated using the secret key of the device manager. At the time of the signature verification process (see FIG. 13), the corresponding CA (DEV) public key is used. Therefore, it is necessary for the device that executes the ticket verification to obtain the public key (public key certificate) of the partition registration ticket issuing means (PRT Issuer) (ex. Device manager) upon receipt of the ticket or in advance.

【0182】パーティション登録チケット(PRT)発
行手段(PRT Issuer)の公開鍵証明書(CERT_PRTI)の
検証の後、公開鍵証明書(CERT_PRTI)から取り出した
パーティション登録チケット(PRT)発行手段(PRT
Issuer)の公開鍵によりICV(Integrity Check Valu
e)の署名検証が可能となる。これらの処理について
は、フローを用いて後段で説明する。
After verifying the public key certificate (CERT_PRTI) of the partition registration ticket (PRT) issuing means (PRT Issuer), the partition registration ticket (PRT) issuing means (PRT) extracted from the public key certificate (CERT_PRTI).
Issuer) public key to ICV (Integrity Check Valu
e) Signature verification becomes possible. These processes will be described later using a flow.

【0183】(A8.2.ファイル登録チケット(FR
T))ファイル登録チケット(FRT:File Registrat
ion Ticket)は、デバイスに対して設定されたパーティ
ションにファイルを設定登録する際に適用されるアクセ
スコントロールチケットである。正当なパーティション
マネージャ管轄下のチケット発行手段(Ticket Issue
r)の発行したFRTを用い、FRTに記録された手続
きに従ってチケットユーザ(ex.デバイスアクセス機
器としてのリーダライタ)によりデバイスにアクセスす
ることで、FRTに記録された制限内でファイルを設定
することができる。
(A8.2. File Registration Ticket (FR
T)) File Registration Ticket (FRT: File Registrat)
ion ticket) is an access control ticket applied when setting and registering a file in the partition set for the device. Ticket issue means under a valid partition manager
Using the FRT issued by r) and accessing the device by a ticket user (ex. a reader / writer as a device access device) in accordance with the procedure recorded in the FRT, setting a file within the restrictions recorded in the FRT. Can be.

【0184】図27にファイル登録チケット(FRT:
File Registration Ticket)のデータフォーマットを示
す。ファイル登録チケット(FRT:File Registratio
n Ticket)には以下に説明するデータが格納される。
FIG. 27 shows a file registration ticket (FRT:
File Registration Ticket). File Registration Ticket (FRT: File Registratio)
n Ticket) stores data described below.

【0185】* Ticket Type :チケット(Ticket)の種
別 * Format Version :チケット(Ticket)のフォーマット
バージョン * Ticket Issuer :パーティションマネージャの識別子
(=PMC) * Serial Number :チケット(Ticket)のシリアル番号 * Size of Ticket :チケット(Ticket)のサイズ * Authentication Flag :チケット(Ticket)の利用処
理においてデバイス(Device)との相互認証が必要か否
かを示すフラグ * Ticket User の所属(Group) :チケット(Ticket)利
用者の所属 * Authentication Type :デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any)) * Ticket User の識別子 :チケット(Ticket)利用者を
判別する識別データ(カテゴリまたは識別子) 当フィールドは、[Authentication Type]と連携した
データとされ、[Authentication Type]が公開鍵認証
の場合:識別名(DN:Distinguished Name)またはカ
テゴリ(Category)またはシリアル番号(CN)が格納
され,共通鍵認証の場合、:認証IDが格納される。認
証不要の場合は格納は必須ではない。 * SPTIC :サービス許可チケット発行手段のコード * SPTIC Ver : サービス許可チケット発行手段のコード
(SPTIC)のバージョン * File ID :パーティション内に生成するファイル(Fil
e)の識別子(ID) * Operation Type :ファイルの作成か削除かの指定
(生成(Generate)/削除(Delete)) * File Size :生成するファイル(File)のサイズ * File Structure :生成するファイル(File)のファイ
ル構造(Structure) * Acceptable Authentication Type :このチケットで定
義されるファイルに対するアクセスモードを実行するタ
ために必要とする相互認証の種類(公開鍵方式、公開
鍵、共通鍵いずれでも可)を表すビット列 * Acceptable Verification Type :このチケットで定義
されるファイルに対するアクセスモードを実行するタた
めに必要とするサービス許可チケット(SPT)の検証
の種類(公開鍵方式、公開鍵、共通鍵いずれでも可)を
表すビット列 * Kspt_Encrypted :ファイル定義ブロック(File Defin
ition Block)に記載されるサービス許可チケット(S
PT)のMAC検証用鍵 Kspt を そのパーティション
のファイル登録チケットのMAC検証用鍵 Kfrt で暗号
化したデータKfrt(Kspt) * Integrity Check Type :チケット(Ticket)の正当性
検証値の種別(公開鍵方式(Public) /共通鍵方式(Commo
n)) * Integrity Check Value :チケット(Ticket)の正当
性検証値(公開鍵方式:署名(Signature)、共通鍵方
式:MAC)
* Ticket Type: type of ticket (Ticket) * Format Version: format version of ticket (Ticket) * Ticket Issuer: identifier of partition manager (= PMC) * Serial Number: serial number of ticket (Ticket) * Size of Ticket: Ticket (Ticket) size * Authentication Flag: Flag indicating whether or not mutual authentication with the device (Device) is required in ticket (Ticket) use processing * Ticket User's affiliation (Group): Ticket (Ticket) use * Authentication Type: Mutual authentication type of device (Public key authentication or symmetric key authentication, or any of them is possible (Any)) * Ticket User identifier: Identifies ticket user Identification data (category or identifier) This field is linked with [Authentication Type], and [Authentication Type] is public key authentication. In the case of, the identification name (DN: Distinguished Name) or the category (Category) or the serial number (CN) is stored. In the case of the common key authentication, the authentication ID is stored. If authentication is not required, storage is not mandatory. * SPTIC: Service permission ticket issuing means code * SPTIC Ver: Service permission ticket issuing means code (SPTIC) version * File ID: File generated in partition (Fil
e) Identifier (ID) * Operation Type: File creation or deletion specification
(Generate / Delete) * File Size: Size of generated file (File) * File Structure: File structure of generated file (File) * Acceptable Authentication Type: Defined by this ticket Bit string indicating the type of mutual authentication (either public key, public key, or secret key is possible) required to execute the access mode for the file * Acceptable Verification Type: The access mode for the file defined by this ticket A bit string indicating the type of service permission ticket (SPT) verification required for execution (either a public key method, a public key, or a common key is possible) * Kspt_Encrypted: File definition block (File Defin
service permission ticket (S
Data Kfrt (Kspt) obtained by encrypting the MAC verification key Kspt of the PT with the MAC verification key Kfrt of the file registration ticket of the partition * Integrity Check Type: Type of the validity verification value of the ticket (Ticket) (public key method (Public) / Common key method (Commo
n)) * Integrity Check Value: Validity verification value of ticket (Public key method: Signature, Common key method: MAC)

【0186】なお、ファイル登録チケット(FRT)発
行手段(FRT Issuer)の発行したチケット(Ticket)
を、チケットユーザに対して送信する際には、公開鍵方
式の場合、ファイル登録チケット(FRT)発行手段
(FRT Issuer)の公開鍵証明書(CERT_FRTI)も一緒に
送信する。FRT発行手段の公開鍵証明書(CERT_FRT
I)の属性(Attribute)は、ファイル登録チケット(F
RT)発行手段(FRT Issuer)の識別子(FRTIC)と一
致する。
The ticket (Ticket) issued by the file registration ticket (FRT) issuing means (FRT Issuer)
Is transmitted to the ticket user, in the case of the public key method, the public key certificate (CERT_FRTI) of the file registration ticket (FRT) issuing means (FRT Issuer) is also transmitted. Public key certificate of FRT issuing means (CERT_FRT
The attribute (I) of the file registration ticket (F)
RT) It matches the identifier (FRTIC) of the issuing means (FRT Issuer).

【0187】デバイス(Device)の相互認証のタイプ
(公開鍵認証、または、共通鍵認証、または、いずれで
も可(Any))を記録した[Authentication Type]に
は、チケットを使用した相互認証として実行すべき認証
タイプが記録される。具体的には、後段で詳細に説明す
るが、デバイス認証、パーティション認証のいずれか、
または両方の認証を実行する指定、また公開鍵方式、共
通鍵方式のどちらを実行するか、またはいずれの認証で
も可能であるかについての情報が記録される。
[Authentication Type] in which the type of mutual authentication of the device (Device) is recorded (public key authentication or common key authentication, or any of them is possible (Any)) is executed as mutual authentication using a ticket. The authentication type to be recorded is recorded. Specifically, as will be described in detail later, one of device authentication and partition authentication,
Alternatively, information indicating whether to execute both types of authentication, and whether to execute the public key method or the common key method, or whether any type of authentication is possible is recorded.

【0188】チケット(Ticket)の正当性検証値(公開
鍵方式:署名(Signature)、共通鍵方式:MAC)を
記録する[Integrity Check Value]フィールドには、
公開鍵方式であれば、ファイル登録チケット発行手段
(FRT Issuer)の秘密鍵に基づく署名(図12参
照)が生成され格納される。パーティションマネージャ
自体がファイル登録チケット発行手段(FRT issue
r)を兼ねる場合は、パーティションマネージャの秘密
鍵を用いて署名が生成される。署名検証処理(図13参
照)の際は、ファイル登録チケット発行手段の公開鍵が
用いられる。従って、チケット検証を実行するデバイス
は、チケット受領に際し、または前もってファイル登録
チケット発行手段(FRT Issuer)(ex.パーティ
ションマネージャ)の公開鍵(公開鍵証明書)を取得す
ることが必要である。
[0188] In the [Integrity Check Value] field for recording the validity verification value (public key method: Signature, common key method: MAC) of the ticket (Ticket),
In the case of the public key method, a signature (see FIG. 12) based on the secret key of the file registration ticket issuing means (FRT Issuer) is generated and stored. The partition manager itself is a file registration ticket issuing means (FRT issue
When r) is also used, a signature is generated using the private key of the partition manager. In the signature verification process (see FIG. 13), the public key of the file registration ticket issuing unit is used. Therefore, the device that executes the ticket verification needs to obtain the public key (public key certificate) of the file registration ticket issuing means (FRT Issuer) (ex. Partition manager) upon receipt of the ticket or in advance.

【0189】ファイル登録チケット(FRT)発行手段
(FRT Issuer)の公開鍵証明書(CERT_FRTI)の検証の
後、公開鍵証明書(CERT_FRTI)から取り出したファイ
ル登録チケット(FRT)発行手段(FRT Issuer)の公
開鍵によりICV(IntegrityCheck Value)の署名検証
が可能となる。これらの処理については、フローを用い
て後段で説明する。
After verifying the public key certificate (CERT_FRTI) of the file registration ticket (FRT) issuing means (FRT Issuer), the file registration ticket (FRT) issuing means (FRT Issuer) extracted from the public key certificate (CERT_FRTI) With this public key, signature verification of an ICV (IntegrityCheck Value) can be performed. These processes will be described later using a flow.

【0190】(A8.3.サービス許可チケット(SP
T))サービス許可チケット(SPT:Service Permis
sion Ticket)は、デバイスに対して設定されたパーテ
ィション内の各データに対してアクセスしてデータ読み
出し、データ書き込み、金額データの減算、加算などの
処理を実行する際に適用されるアクセスコントロールチ
ケットである。正当なパーティションマネージャ管轄下
のチケット発行手段(Ticket Issuer)の発行したSP
Tを用い、SPTに記録された手続きに従ってチケット
ユーザ(ex.デバイスアクセス機器としてのリーダラ
イタ)によりデバイスにアクセスすることで、SPTに
記録された制限内でデータ処理を実行することができ
る。
(A8.3. Service permission ticket (SP
T)) Service permission ticket (SPT: Service Permis)
sion ticket) is an access control ticket that is applied when accessing each data in the partition set for the device and executing data read, data write, subtraction of money amount, addition, etc. is there. SP issued by a ticket issuer under the valid partition manager
By using T to access a device by a ticket user (ex. A reader / writer as a device access device) according to a procedure recorded in the SPT, data processing can be performed within the restrictions recorded in the SPT.

【0191】なお、サービス許可チケット(SPT:Se
rvice Permission Ticket)は、パーティションに設定
されたファイルの中から唯一のファイルに対してのみア
クセスを許可する形式と、複数のファイルに対するアク
セスを許可する形式とがあり、それぞれの形式について
説明する。
The service permission ticket (SPT: Se
The rvice permission ticket) includes a format that permits access to only one file among files set in the partition and a format that permits access to a plurality of files. Each format will be described.

【0192】図28に、パーティションに設定されたフ
ァイルの中から唯一のファイルに対してのみアクセスを
許可する形式のサービス許可チケット(SPT:Servic
e Permission Ticket)のデータフォーマットを示す。
サービス許可チケット(SPT:Service Permission T
icket)には以下に説明するデータが格納される。
FIG. 28 shows a service permission ticket (SPT: Servic) in the form of permitting access to only one of the files set in the partition.
e Permission Ticket).
Service Permission Ticket (SPT)
icket) stores data described below.

【0193】* Ticket Type :チケット(Ticket)の種
別。 * Format Version :チケット(Ticket)のフォーマット
バージョン * Ticket Issuer :パーティションマネージャの識別子
(=PMC) * Serial Number :チケット(Ticket)のシリアル番号 * Size of Ticket :チケット(Ticket)のサイズ * Authentication Flag :チケット(Ticket)の利用処
理においてデバイス(Device)との相互認証が必要か否
かを示すフラグ * Ticket User の所属(Group) :チケット(Ticket)利
用者の所属 * Authentication Type :デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any)) * Ticket User の識別子 :チケット(Ticket)利用者を
判別する識別データ(カテゴリまたは識別子) 当フィールドは、[Authentication Type]と連携した
データとされ、[Authentication Type]が公開鍵認証
の場合:識別名(DN:Distinguished Name)またはカ
テゴリ(Category)またはシリアル番号(CN)が格納
され,共通鍵認証の場合、:認証IDが格納される。認
証不要の場合は格納は必須ではない。 * File ID :パーティション内のアクセスファイル(Fil
e)の識別子(ID) * File Access Mode :アクセスを許諾するファイル(Fi
le)へのアクセスモード(Access Mode) * Integrity Check Type :チケット(Ticket)の正当性
検証値の種別(公開鍵方式(Public) /共通鍵方式(Commo
n)) * Integrity Check Value :チケット(Ticket)の正当
性検証値(公開鍵方式:署名(Signature)、共通鍵方
式:MAC)
* Ticket Type: Type of ticket. * Format Version: Format version of ticket (Ticket) * Ticket Issuer: Identifier of partition manager (= PMC) * Serial Number: Serial number of ticket (Ticket) * Size of Ticket: Size of ticket (Ticket) * Authentication Flag: Ticket Flag indicating whether mutual authentication with the device (Device) is necessary in the use processing of (Ticket) * Affiliation of Ticket User (Group): Affiliation of ticket (Ticket) user * Authentication Type: Mutual of device (Device) Authentication type (public key authentication or symmetric key authentication, or any of them is possible (Any)) * Ticket User identifier: Identification data (category or identifier) that identifies the ticket user. Authentication Type], and if [Authentication Type] is public key authentication: Distinguished Name (DN) Gori (the Category) or serial number (CN) is stored, when the common key authentication: authentication ID is stored. If authentication is not required, storage is not mandatory. * File ID: Access file (Fil
e) Identifier (ID) * File Access Mode: File (File
le) Access Mode (Access Mode) * Integrity Check Type: Type of validity verification value of ticket (Ticket) (Public key method (Public) / Common key method (Commo)
n)) * Integrity Check Value: Validity verification value of ticket (Public key method: Signature, Common key method: MAC)

【0194】なお、サービス許可チケット(SPT)発
行手段(SPT Issuer)の発行したチケット(Ticket)
を、チケットユーザに対して送信する際には、公開鍵方
式の場合、サービス許可チケット(SPT)発行手段
(SPT Issuer)の公開鍵証明書(CERT_SPTI)も一緒に
送信する。SPT発行手段の公開鍵証明書(CERT_SPT
I)の属性(Attribute)は、(SPT)発行手段(SPT
Issuer)の識別子(SPTIC)と一致する。
The ticket (Ticket) issued by the service permission ticket (SPT) issuing means (SPT Issuer)
Is transmitted to the ticket user, in the case of the public key method, the public key certificate (CERT_SPTI) of the service permission ticket (SPT) issuing means (SPT Issuer) is also transmitted. Public key certificate of the SPT issuing means (CERT_SPT
The attribute of (I) is (SPT) issuing means (SPT)
Issuer) identifier (SPTIC).

【0195】サービス許可チケット(SPT)発行手段
(SPT Issuer)を、パーティションマネージャが兼ねる
構成においては、サービス許可チケット(SPT)発行
手段(SPT Issuer)のコードは、パーティションマネー
ジャコード(PMC)として設定することが可能であ
る。
In a configuration in which the service permission ticket (SPT) issuing means (SPT Issuer) also serves as the partition manager, the code of the service permission ticket (SPT) issuing means (SPT Issuer) is set as a partition manager code (PMC). It is possible.

【0196】デバイス(Device)の相互認証のタイプ
(公開鍵認証、または、共通鍵認証、または、いずれで
も可(Any))を記録した[Authentication Type]に
は、チケットを使用した相互認証として実行すべき認証
タイプが記録される。具体的には、後段で詳細に説明す
るが、デバイス認証、パーティション認証のいずれか、
または両方の認証を実行する指定、また公開鍵方式、共
通鍵方式のどちらを実行するか、またはいずれの認証で
も可能であるかについての情報が記録される。
[Authentication Type] in which the type of mutual authentication of the device (Device) is recorded (public key authentication or common key authentication, or any of them is possible (Any)) is executed as mutual authentication using a ticket. The authentication type to be recorded is recorded. Specifically, as will be described in detail later, one of device authentication and partition authentication,
Alternatively, information indicating whether to execute both types of authentication, and whether to execute the public key method or the common key method, or whether any type of authentication is possible is recorded.

【0197】チケット(Ticket)の正当性検証値(公開
鍵方式:署名(Signature)、共通鍵方式:MAC)を
記録する[Integrity Check Value]フィールドには、
公開鍵方式であれば、サービス許可チケット発行手段
(SPT Issuer)の秘密鍵に基づく署名(図12参
照)が生成され格納される。パーティションマネージャ
自体がサービス許可チケット発行手段(SPT Issue
r)を兼ねる場合は、パーティションマネージャの秘密
鍵を用いて署名が生成される。署名検証処理(図13参
照)の際は、サービス許可チケット(SPT)発行手段
(SPT Issuer)の公開鍵が用いられる。従って、チケッ
ト検証を実行するデバイスは、チケット受領に際し、ま
たは前もってサービス許可チケット発行手段(SPT I
ssuer)(ex.パーティションマネージャ)の公開鍵
(公開鍵証明書)を取得することが必要である。
In the [Integrity Check Value] field for recording the validity verification value (public key method: Signature, common key method: MAC) of the ticket (Ticket),
In the case of the public key method, a signature (see FIG. 12) based on the secret key of the service permission ticket issuing means (SPT Issuer) is generated and stored. The partition manager itself is a service permission ticket issuing means (SPT Issue
When r) is also used, a signature is generated using the private key of the partition manager. In the signature verification process (see FIG. 13), the public key of the service permission ticket (SPT) issuing means (SPT Issuer) is used. Therefore, the device that performs the ticket verification may execute the service permission ticket issuing means (SPTI) upon receipt of the ticket or in advance.
It is necessary to obtain the public key (public key certificate) of the ssuer (ex. partition manager).

【0198】サービス許可チケット(SPT)発行手段
(SPT Issuer)の公開鍵証明書(CERT_SPTI)の検証の
後、公開鍵証明書(CERT_SPTI)から取り出したサービ
ス許可チケット(SPT)発行手段(SPT Issuer)の公
開鍵によりICV(IntegrityCheck Value)の署名検証
が可能となる。これらの処理については、フローを用い
て後段で説明する。
After verifying the public key certificate (CERT_SPTI) of the service permission ticket (SPT) issuing means (SPT Issuer), the service permission ticket (SPT) issuing means (SPT Issuer) extracted from the public key certificate (CERT_SPTI) With this public key, signature verification of an ICV (IntegrityCheck Value) can be performed. These processes will be described later using a flow.

【0199】上述のチケット・フォーマットの説明中、
File Access Mode :アクセスを許諾するファイル(Fil
e)へのアクセスモード(Access Mode)に記録されるモ
ードとアクセス態様について、図29を用いて説明す
る。
In the above description of the ticket format,
File Access Mode: File to be granted access (Fil
The mode recorded in the access mode (Access Mode) to e) and the access mode will be described with reference to FIG.

【0200】ファイルとして生成されるデータは、ユー
ザの識別データ、金額データ、暗号処理鍵データ、ログ
データ、あるいは複合ファイルデータなど様々であり、
各データに応じたアクセス処理、すなわちデータ読み取
り、書き込み、消去、加算、減算、暗号化、復号…がア
クセスデータに対して実行されることになる。
The data generated as a file is various such as user identification data, amount data, encryption key data, log data, or composite file data.
An access process corresponding to each data, that is, data reading, writing, erasing, adding, subtracting, encrypting, decrypting... Is performed on the access data.

【0201】サービス許可チケット(SPT)のFile A
ccess Modeには、このような様々なアクセスの態様中、
いずれのアクセスモードを許可しているものかを定義し
ている。アクセスモードの一覧を図29に示す。図29
に示すアクセスモードは一例であり、この他にもデバイ
スに格納されるデータに応じたアクセスモードを設定す
ることができる。
File A of service permission ticket (SPT)
In ccess Mode, among such various access modes,
Defines which access mode is allowed. FIG. 29 shows a list of the access modes. FIG.
Is an example, and other access modes can be set according to data stored in the device.

【0202】サービス許可チケット(SPT)に設定さ
れた[File ID :パーティション内のアクセスファイル
(File)の識別子(ID)]によって示されるファイル
に対してファイルアクセスモード[File Access Mode]
に定義された処理が実行できる。サービス許可チケット
(SPT)に設定されたファイルアクセスモードが読み
出し(Read)であればファイル内データの読み出しが実
行できる。サービス許可チケット(SPT)に設定され
たファイルアクセスモードが書き込み(Write)であれ
ばファイル内へのデータの書き込みが実行できる。
File access mode [File Access Mode] for the file indicated by [File ID: identifier (ID) of access file (File) in partition] set in service permission ticket (SPT)
Can be executed. If the file access mode set in the service permission ticket (SPT) is read (Read), data in the file can be read. If the file access mode set in the service permission ticket (SPT) is write (Write), data can be written in the file.

【0203】このようなアクセスモードは、前述したフ
ァイル構造(File Structure)(図25参照)によって
設定可能なモードが制限される。例えばファイル構造が
purseであれば金額データであり、加算(add)、減算(S
ub)等のアクセスモードの設定が可能となる。このよう
なファイル構造と、設定可能なアクセスモード、さら
に、デバイスアクセス機器としてのリーダライタからデ
バイスに対して送信されるコマンドの例を図30に示
す。
[0203] Such access mode, file structure (File Structure) described above settable modes (see FIG. 25) is limited. For example, if the file structure is
If it is purse, it is amount data, and addition (add) and subtraction (S
ub) and other access modes can be set. FIG. 30 shows an example of such a file structure, a settable access mode, and a command transmitted from a reader / writer as a device access device to a device.

【0204】図30には、ファイル構造がRandom
の場合と、複合ファイルの場合に設定可能なアクセスモ
ード、およびコマンド例を示している。
In FIG. 30, the file structure is Random.
And an access mode and a command example that can be set for a composite file.

【0205】例えばファイル構造がRandomの場合
において、アクセスモードが読み出し(Read)であ
る場合、デバイスが許容可能なコマンドは[Read]
のみとなる。また、同様にファイル構造がRandom
の場合において、アクセスモードが暗号化読み出し(R
ead)である場合、デバイスが許容可能なコマンドは
暗号化読み出し[EncRead]のみとなる。
For example, in the case where the file structure is Random and the access mode is read (Read), the command allowable by the device is [Read].
Only. Similarly, the file structure is Random.
, The access mode is encrypted read (R
In the case of (ead), the only command that can be accepted by the device is encrypted reading [EncRead].

【0206】また、ファイル構造がPurseおよびLogを含
むような複合ファイルの場合において、アクセスモード
が入金系である場合、デバイスが許容可能なコマンドは
預け入れ[Deposit]のみとなる。また、同様に
ファイル構造がPurseおよびLogを含むような複合ファイ
ルの場合において、アクセスモードが出金系である場
合、デバイスが許容可能なコマンドは引き出し[Wit
hdraw]、レシート生成[Make Receip
t]、レシート読み出し[Read Receipt]
となる。
In the case of a composite file having a file structure including Purse and Log, if the access mode is a deposit system, the only command that can be accepted by the device is Deposit [Deposit]. Similarly, in the case of a compound file having a file structure including Purse and Log, if the access mode is the withdrawal type, a command allowable by the device is extracted [Wit
hddraw], Receipt generation [Make Receipt]
t], receipt reading [Read Receipt]
Becomes

【0207】ファイルアクセスモード(図29参照)の
入金系に対応する許容コマンド(図30参照)として、
上述の預け入れコマンド(Deposit Command)を定義
し、アクセス許可チケットのファイルアクセスモード
(File Access Mode)に[入金系]を設定し、ファイル
ID(File ID)として、電子マネーを構成する複合ファ
イルを指定したアクセス許可チケット(SPT)を生成
して、ファイルアクセス装置からデバイスに対して送信
し、預け入れコマンド(Deposit Command)とともに、
預け入れ金額データを送信することにより、例えば、複
合ファイル中のファイル[Purse]にX円を加算
し、複合ファイル中のファイル[Log]に処理記録を
書き込むなどのシーケンシャル処理を実行させることが
可能となる。これらの処理についての詳細は、後述す
る。
As an allowable command (see FIG. 30) corresponding to the deposit system in the file access mode (see FIG. 29),
Define the above deposit command (Deposit Command), set the file access mode (File Access Mode) of the access permission ticket to [Deposit], and specify the composite file that constitutes electronic money as the file ID (File ID) Generates an access permission ticket (SPT) and sends it from the file access device to the device, along with a deposit command (Deposit Command).
By transmitting the deposit amount data, for example, it is possible to execute sequential processing such as adding X yen to the file [Purse] in the composite file and writing the processing record to the file [Log] in the composite file. Become. Details of these processes will be described later.

【0208】図30に示す他にも、様々なアクセスモー
ド、コマンドの組合わせが可能であり、実際のデバイス
の利用形態に応じて設定されることになる。
In addition to the one shown in FIG. 30, various combinations of access modes and commands are possible, and are set according to the actual usage of the device.

【0209】デバイスは、メモリ部に格納された各ファ
イルに対して許容されるコマンドの定義データを図30
のようなテーブルとして保有し、前記アクセス機器から
入力されるコマンドが前記定義データに定義されたコマ
ンドである場合にのみコマンドを実行する。複合ファイ
ルに対して許容されるコマンドの定義データには、上述
したように複合ファイルに含まれる複数ファイルの各々
に対応して実行可能な複数のコマンドからなるシーケン
スコマンドを含む。
The device stores the definition data of the command permitted for each file stored in the memory unit in FIG.
And executes the command only when a command input from the access device is a command defined in the definition data. The definition data of the command permitted for the composite file includes the sequence command composed of a plurality of commands executable corresponding to each of the plurality of files included in the composite file as described above.

【0210】処理対象となる特定のファイルをサービス
許可チケット(SPT)のファイルID(File ID)欄に
設定し、所定のアクセスモードをサービス許可チケット
(SPT)のファイルアクセスモード(File Access Mo
de)に設定することで、当該サービス許可チケット(S
PT)を利用したファイルアクセスをコントロールする
ことが可能となる。具体的処理については、後段でフロ
ーを用いて説明する。
[0210] A specific file to be processed is set in the file ID (File ID) field of the service permission ticket (SPT), and a predetermined access mode is set to the file access mode (File Access Module) of the service permission ticket (SPT).
de), the service permission ticket (S
PT) can be controlled. Specific processing will be described later using a flow.

【0211】次に、図31に、パーティションに設定さ
れたファイル中の複数ファイルに対してアクセスを許可
する形式のサービス許可チケット(SPT:Service Pe
rmission Ticket)のデータフォーマットを示す。サー
ビス許可チケット(SPT:Service Permission Ticke
t)には以下に説明するデータが格納される。
Next, FIG. 31 shows a service permission ticket (SPT: Service Peer) in the form of permitting access to a plurality of files among the files set in the partition.
rmission Ticket). Service Permission Ticke (SPT)
In t), data described below is stored.

【0212】* Ticket Type :チケット(Ticket)の種
別。 * Format Version :チケット(Ticket)のフォーマット
バージョン * Ticket Issuer :パーティションマネージャの識別子
(=PMC) * Serial Number :チケット(Ticket)のシリアル番号 * Size of Ticket :チケット(Ticket)のサイズ * Authentication Flag :チケット(Ticket)の利用処
理においてデバイス(Device)との相互認証が必要か否
かを示すフラグ * Ticket User の所属(Group) :チケット(Ticket)利
用者の所属 * Authentication Type :デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any)) * Ticket User の識別子 :チケット(Ticket)利用者を
判別する識別データ(カテゴリまたは識別子) 当フィールドは、[Authentication Type]と連携した
データとされ、[Authentication Type]が公開鍵認証
の場合:識別名(DN:Distinguished Name)またはカ
テゴリ(Category)が格納され,共通鍵認証の場合、:
認証IDが格納される。認証不要の場合は格納は必須で
はない。 * File ID :パーティション内のアクセスファイル(Fil
e)の識別子(ID) * File Access Mode :アクセスを許諾するファイル(Fi
le)へのアクセスモード(Access Mode) * Group of Target File :アクセスを許すファイル(Fi
le)のグループ(Group) * Target File ID :アクセスを許すファイル(File)の
識別子(ID) * Read/Write Permission : アクセスを許すファイル
(File)(ターゲットファイル(Target File))に対
する処理態様(読み出し(Read),書き込み(Write))
の許可 * Integrity Check Type :チケット(Ticket)の正当性
検証値の種別(公開鍵方式(Public) /共通鍵方式(Commo
n)) * Integrity Check Value :チケット(Ticket)の正当
性検証値(公開鍵方式:署名(Signature)、共通鍵方
式:MAC)
* Ticket Type: Type of ticket. * Format Version: Format version of ticket (Ticket) * Ticket Issuer: Identifier of partition manager (= PMC) * Serial Number: Serial number of ticket (Ticket) * Size of Ticket: Size of ticket (Ticket) * Authentication Flag: Ticket Flag indicating whether mutual authentication with the device (Device) is necessary in the use processing of (Ticket) * Affiliation of Ticket User (Group): Affiliation of ticket (Ticket) user * Authentication Type: Mutual of device (Device) Authentication type (public key authentication or symmetric key authentication, or any of them is possible (Any)) * Ticket User identifier: Identification data (category or identifier) that identifies the ticket user. Authentication Type], and if [Authentication Type] is public key authentication: Distinguished Name (DN) Gori (Category) is stored, in the case of a common key authentication:
The authentication ID is stored. If authentication is not required, storage is not mandatory. * File ID: Access file (Fil
e) Identifier (ID) * File Access Mode: File (File
le) Access mode (Access Mode) * Group of Target File: File that allows access (Fi
le) Group (Group) * Target File ID: Identifier (ID) of file (File) to be allowed to access * Read / Write Permission: Processing mode (Reading) for file (Target File) to be allowed to access (Read), Write (Write))
Permission * Integrity Check Type: Type of validity verification value of ticket (Ticket) (Public key method (Public) / Common key method (Commo
n)) * Integrity Check Value: Validity verification value of ticket (Public key method: Signature, Common key method: MAC)

【0213】このように、Group of Target File :アク
セスを許すファイル(File)のグループ(Group)を定
義してチケットに記録することにより、パーティション
内の複数のファイルに対するアクセスを唯一のサービス
許可チケット(SPT)で許可することが可能となる。
As described above, Group of Target File: By defining a group (Group) of a file (File) to which access is permitted and recording it in the ticket, access to a plurality of files in the partition is limited to a single service permission ticket (File). SPT).

【0214】なお、上述のサービス許可チケット(SP
T)発行手段(SPT Issuer)の発行したチケット(Tick
et)を、チケットユーザに対して送信する際にも、公開
鍵方式の場合、サービス許可チケット(SPT)発行手
段(SPT Issuer)の公開鍵証明書(CERT_SPTI)も一緒
に送信する。SPT発行手段の公開鍵証明書(CERT_SPT
I)の属性(Attribute)は、サービス許可チケット(S
PT)発行手段(SPT Issuer)の識別子(SPTIC)と一致
する。
Note that the service permission ticket (SP
T) Ticket (Tick) issued by issuing means (SPT Issuer)
et) to the ticket user, in the case of the public key system, the public key certificate (CERT_SPTI) of the service permission ticket (SPT) issuing means (SPT Issuer) is also transmitted. Public key certificate of the SPT issuing means (CERT_SPT
The attribute (I) of the service permission ticket (S)
PT) matches the identifier (SPTIC) of the issuing means (SPT Issuer).

【0215】デバイス(Device)の相互認証のタイプ
(公開鍵認証、または、共通鍵認証、または、いずれで
も可(Any))を記録した[Authentication Type]に
は、チケットを使用した相互認証として実行すべき認証
タイプが記録される。具体的には、後段で詳細に説明す
るが、デバイス認証、パーティション認証のいずれか、
または両方の認証を実行する指定、また公開鍵方式、共
通鍵方式のどちらを実行するか、またはいずれの認証で
も可能であるかについての情報が記録される。
[0215] device (Device) mutual authentication of the type of (public key authentication, or, common key authentication, or either soluble (Any)) in the recorded the [Authentication Type], run as a mutual authentication using a ticket The authentication type to be recorded is recorded. Specifically, as will be described in detail later, one of device authentication and partition authentication,
Alternatively, information indicating whether to execute both types of authentication, and whether to execute the public key method or the common key method, or whether any type of authentication is possible is recorded.

【0216】サービス許可チケット(SPT)発行手段
(SPT Issuer)の公開鍵証明書(CERT_SPTI)の検証の
後、公開鍵証明書(CERT_SPTI)から取り出したサービ
ス許可チケット(SPT)発行手段(SPT Issuer)の公
開鍵によりICV(IntegrityCheck Value)の署名検証
が可能となる。これらの処理については、フローを用い
て後段で説明する。
After verifying the public key certificate (CERT_SPTI) of the service permission ticket (SPT) issuing means (SPT Issuer), the service permission ticket (SPT) issuing means (SPT Issuer) extracted from the public key certificate (CERT_SPTI) With this public key, signature verification of an ICV (IntegrityCheck Value) can be performed. These processes will be described later using a flow.

【0217】(A8.4.データアップデートチケット
(DUT))データアップデートチケット(DUT:Da
ta Update Ticket)は、デバイスに格納された様々なデ
ータに対してアクセスしてデータの更新処理を実行する
際に適用されるアクセスコントロールチケットである。
正当なデータアップデートチケット(DUT)発行手段
(Ticket Issuer)の発行したDUTを用い、DUTに
記録された手続きに従ってチケットユーザ(ex.デバ
イスアクセス機器としてのリーダライタ)によりデバイ
スにアクセスすることで、DUTに記録された制限内で
データ処理を実行することができる。
(A8.4. Data Update Ticket (DUT)) Data Update Ticket (DUT: Da)
ta Update Ticket) is an access control ticket applied when accessing various data stored in the device and executing data update processing.
By using a DUT issued by a valid data update ticket (DUT) issuing means (Ticket Issuer) and accessing a device by a ticket user (ex. A reader / writer as a device access device) in accordance with a procedure recorded in the DUT, Data processing can be performed within the limits recorded in.

【0218】なお、データアップデートチケット(DU
T:Data Update Ticket)は、デバイスマネージャの管
理するデータ項目の更新処理を実行するために適用され
るチケットDUT(DEV)と、パーティションマネー
ジャの管理するパーティション内のデータ項目の更新処
理を実行するために適用されるチケットDUT(PA
R)がある。チケット:DUT(DEV)発行手段はデ
バイスマネージャの管理下にあり、チケット:DUT
(PAR)発行手段はパーティションマネージャの管理
下にある。
The data update ticket (DU)
T: Data Update Ticket) is for executing a ticket DUT (DEV) applied to execute an update process of a data item managed by the device manager and an update process of a data item in a partition managed by the partition manager. DUT (PA
R). Ticket: DUT (DEV) issuing means is under the control of the device manager.
(PAR) issuing means is under the control of the partition manager.

【0219】図32に、2つのデータアップデートチケ
ット(DUT:Data Update Ticket)、DUT(DE
V)、DUT(PAR)のデータフォーマットを示す。
データアップデートチケット(DUT:Data Update Ti
cket)には以下に説明するデータが格納される。
FIG. 32 shows two data update tickets (DUT: Data Update Ticket) and DUT (DE
V), DUT (PAR) data format.
Data Update Ticket (DUT: Data Update Ti)
cket) stores data described below.

【0220】* Ticket Type :チケット(Ticket)の種
別(DUT(DEV)/DUT(PAR) * Format Version :チケット(Ticket)のフォーマット
バージョン * Ticket Issuer :デバイス/パーティションマネージ
ャの識別子。チケット(Ticket)の種別(Ticket Typ
e)がDUT(DEV)ならDMC、DUT(PAR)
ならPMCとなる * Serial Number :チケット(Ticket)のシリアル番号 * Size of Ticket :チケット(Ticket)のサイズ * Ticket User の所属(Group) :チケット(Ticket)利
用者の所属 * Ticket User の識別子 :チケット(Ticket)利用者を
判別する識別データ(カテゴリまたは識別子) 当フィールドは、[Authentication Type]と連携した
データとされ、[Authentication Type]が公開鍵認証
の場合:識別名(DN:Distinguished Name)またはカ
テゴリ(Category)が格納され,共通鍵認証の場合、:
認証IDが格納される。認証不要の場合は格納は必須で
はない。 * Authentication Type :デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any)) * Encrypted Flag :更新されるデータが暗号化されてい
るか否か (暗号化:Encrypted /非暗号化:none) * Old Data Code :更新される古いデータのコード(Cod
e) * Data Version Rule :データ更新をする時のバージョ
ン条件 * Data Version Condition :データ更新をする時のバー
ジョン値 * Size of New Data : 更新する新しいデータのサイズ * New Data : 更新する新しいデータ(暗号化される場
合もある)。 * New Data Version : 更新するデータのバージョン * Integrity Check Type :チケット(Ticket)の正当性
検証値の種別(公開鍵方式(Public) /共通鍵方式(Commo
n)) * Integrity Check Value :チケット(Ticket)の正当
性検証値(公開鍵方式:署名(Signature)、共通鍵方
式:MAC)
* Ticket Type: Type of ticket (Ticket) (DUT (DEV) / DUT (PAR)) * Format Version: Format version of ticket (Ticket) * Ticket Issuer: identifier of device / partition manager. Type (Ticket Typ
e) If DUT (DEV), DMC, DUT (PAR)
* Serial Number: Serial number of ticket (Ticket) * Size of Ticket: Size of ticket (Ticket) * Affiliation (Group) of Ticket User: Affiliation of ticket user * Ticket User identifier: Ticket (Ticket) Identification data for identifying the user (category or identifier) This field is data associated with [Authentication Type]. When [Authentication Type] is public key authentication: DN (Distinguished Name) or Category is stored, and in case of common key authentication:
The authentication ID is stored. If authentication is not required, storage is not mandatory. * Authentication Type: Mutual authentication type of the device (Public key authentication or symmetric key authentication, or any type (Any)) * Encrypted Flag: Whether the data to be updated is encrypted ( Encryption: Encrypted / Non-encryption: none) * Old Data Code: Old data code to be updated (Cod
e) * Data Version Rule: Version condition when updating data * Data Version Condition: Version value when updating data * Size of New Data: Size of new data to be updated * New Data: New data to be updated (encryption) In some cases). * New Data Version: Version of data to be updated * Integrity Check Type: Type of validity verification value of ticket (Ticket) (Public key method (Public) / Common key method (Commo
n)) * Integrity Check Value: Validity verification value of ticket (Public key method: Signature, Common key method: MAC)

【0221】データアップデートチケット(DUT:Da
ta Update Ticket)を適用したデータ更新をする際に、
[Data Version Rule :データ更新をする時のバージョ
ン条件]と、[Data Version Condition :データ更新を
する時のバージョン値]、これら2つのフィールドの組
み合わせにより条件を表現する。
Data Update Ticket (DUT: Da)
ta Update Ticket)
The condition is expressed by a combination of these two fields, [Data Version Rule: Version condition when updating data] and [Data Version Condition: Version value when updating data].

【0222】データ更新をする時のバージョン条件[Da
ta Version Rule]は、Any, Exact,Older の3種類が存
在する。Any はバージョン(Version)条件に無関係で
データ更新が可能、Exact は、続く[Data Version Con
dition ]に指定された値と同じ場合にデータ更新が可
能、Older は、New Data Version の方が新しい場合に
のみデータ更新が可能となる。なお、バージョン条件
[Data Version Rule]がAny,または Older の場合は、
[Data Version Condition]は使用しないかもしくは無
視する。
The version condition [Da
ta Version Rule] has three types: Any, Exact, and Older. Any can update data irrespective of the version condition, and Exact follows [Data Version Con
dition], the data can be updated if the value is the same as the value specified in [Dition], and the Older can update the data only when the New Data Version is newer. If the version condition [Data Version Rule] is Any or Older,
[Data Version Condition] is not used or ignored.

【0223】デバイス(Device)の相互認証のタイプ
(公開鍵認証、または、共通鍵認証、または、いずれで
も可(Any))を記録した[Authentication Type]に
は、チケットを使用した相互認証として実行すべき認証
タイプが記録される。具体的には、後段で詳細に説明す
るが、デバイス認証、パーティション認証のいずれか、
または両方の認証を実行する指定、また公開鍵方式、共
通鍵方式のどちらを実行するか、またはいずれの認証で
も可能であるかについての情報が記録される。
[Authentication Type] in which the type of mutual authentication of the device (Device) is recorded (public key authentication or common key authentication, or any of them is possible (Any)) is executed as mutual authentication using a ticket. The authentication type to be recorded is recorded. Specifically, as will be described in detail later, one of device authentication and partition authentication,
Alternatively, information indicating whether to execute both types of authentication, and whether to execute the public key method or the common key method, or whether any type of authentication is possible is recorded.

【0224】データアップデートチケット-DUT(D
EV)発行手段(DUT Issuer)を、デバイスマネージャ
が兼ねる構成においては、データアップデートチケット
−DUT(DEV)発行手段(DUT Issuer)のコード
(チケットユーザ(Ticket User))は、デバイスマネ
ージャコード(DMC)として設定することが可能であ
る。また、データアップデートチケット-DUT(PA
R)発行手段(DUT Issuer)を、パーティションマネー
ジャが兼ねる構成においては、データアップデートチケ
ット−DUT(PAR)発行手段(DUT Issuer)のコー
ドは、パーティションマネージャコード(PMC)とし
て設定することが可能である。
Data Update Ticket-DUT (D
In a configuration in which the device manager also functions as the EV) issuing means (DUT Issuer), the code (ticket user (Ticket User)) of the data update ticket-DUT (DEV) issuing means (DUT Issuer) is the device manager code (DMC). It is possible to set as. Also, Data Update Ticket-DUT (PA
R) In a configuration in which a partition manager also functions as an issuance unit (DUT Issuer), the code of the data update ticket-DUT (PAR) issuance unit (DUT Issuer) can be set as a partition manager code (PMC). .

【0225】デバイス(Device)の相互認証のタイプ
(公開鍵認証、または、共通鍵認証、または、いずれで
も可(Any))を記録した[Authentication Type]に
は、チケットを使用した相互認証として実行すべき認証
タイプが記録される。具体的には、後段で詳細に説明す
るが、デバイス認証、パーティション認証のいずれか、
または両方の認証を実行する指定、また公開鍵方式、共
通鍵方式のどちらを実行するか、またはいずれの認証で
も可能であるかについての情報が記録される。
In the [Authentication Type] in which the type of mutual authentication of the device (Device) is recorded (public key authentication or common key authentication, or any of them is possible (Any)), mutual authentication using a ticket is executed. The authentication type to be recorded is recorded. Specifically, as will be described in detail later, one of device authentication and partition authentication,
Alternatively, information indicating whether to execute both types of authentication, and whether to execute the public key method or the common key method, or whether any type of authentication is possible is recorded.

【0226】チケット(Ticket)の正当性検証値(公開
鍵方式:署名(Signature)、共通鍵方式:MAC)を
記録する[Integrity Check Value]フィールドには、
公開鍵方式であれば、デバイスアップデートチケット発
行手段(DUT Issuer)の秘密鍵に基づく署名(図1
2参照)が生成され格納される。デバイスマネージャ自
体がデバイスアップデート登録チケット発行手段(DU
T Issuer)を兼ねる場合は、デバイスマネージャの秘
密鍵を用いて署名が生成される。また、パーティション
マネージャ自体がデバイスアップデート登録チケット発
行手段(DUTIssuer)を兼ねる場合は、パーティショ
ンマネージャの秘密鍵を用いて署名が生成される。この
場合、署名検証処理(図13参照)の際は、デバイスマ
ネージャまたはパーティションマネージャの公開鍵が用
いられる。従って、チケット検証を実行するデバイス
は、チケット受領に際し、または前もってデバイスアッ
プデートチケット発行手段(DUT issuer)(ex.
デバイスマネージャまたはパーティションマネージャ)
の公開鍵(公開鍵証明書)を取得することが必要であ
る。
In the [Integrity Check Value] field for recording the validity verification value of the ticket (Ticket) (public key method: Signature, common key method: MAC),
In the case of the public key method, a signature based on a secret key of a device update ticket issuing unit (DUT Issuer) (FIG. 1)
2) is generated and stored. The device manager itself issues device update registration ticket issuing means (DU)
T Issuer), a signature is generated using the secret key of the device manager. When the partition manager itself also serves as a device update registration ticket issuing means (DUIssuer), a signature is generated using the secret key of the partition manager. In this case, the public key of the device manager or the partition manager is used in the signature verification processing (see FIG. 13). Therefore, the device that performs the ticket verification may receive a device update ticket or a device update ticket issuing device (DUT issuer) (ex.
Device Manager or Partition Manager)
It is necessary to obtain the public key (public key certificate) of

【0227】デバイスアップデートチケット(DUT)
発行手段(DUT Issuer)の公開鍵証明書(CERT_DUTI)
の検証の後、公開鍵証明書(CERT_DUTI)から取り出し
たデータアップデートチケット(DUT)発行手段(DU
T Issuer)の公開鍵によりICV(Integrity Check Va
lue)の署名検証が可能となる。
Device Update Ticket (DUT)
Public key certificate (CERT_DUTI) of issuing means (DUT Issuer)
After the verification of the data update ticket (DUT) issued from the public key certificate (CERT_DUTI),
T Issuer) public key to ICV (Integrity Check Va)
lue) signature verification.

【0228】データアップデートチケット(DUT:Da
ta Update Ticket)を適用して更新されるデータ例を図
33に示す。
Data Update Ticket (DUT: Da
FIG. 33 shows an example of data updated by applying the “ta Update Ticket”.

【0229】図33に示すように更新対象データには、
デバイスマネージャコード、デバイスマネージャコード
バージョン、パーティションマネージャコード、パーテ
ィションマネージャコードバージョン、各チケット発行
手段コード、各チケットのMAC生成鍵およびバージョ
ン、リボケーションリストなどが含まれる。これら更新
対象の各データがデータアップデートチケット(DU
T:Data Update Ticket)を適用して、DUTに記録さ
れたルールに従って更新される。更新処理の具体的手順
については、後段でフローを用いて説明する。なお、デ
バイスマネージャコードバージョン、パーティションマ
ネージャコードバージョン他のバージョン情報は、各バ
ージョンの付加されたデータの更新処理の際に併せて更
新されることになる。これらのバージョン情報はデータ
アップデートチケット(DUT:Data Update Ticket)
に格納される。
[0229] to the updated data, as shown in FIG. 33,
It includes a device manager code, a device manager code version, a partition manager code, a partition manager code version, each ticket issuing means code, a MAC generation key and version of each ticket, a revocation list, and the like. Each of these data to be updated is a data update ticket (DU)
T: Data Update Ticket), and is updated according to the rules recorded in the DUT. The specific procedure of the update process will be described later using a flow. The device manager code version, the partition manager code version, and other version information are updated together with the update processing of the data to which each version is added. These version information is a data update ticket (DUT).
Is stored in

【0230】[B.ユーザに対するデバイスの配布、デ
バイスに対する各種設定、デバイス利用処理の詳細につ
いての説明]次に、上述したパーティション分割された
メモリ領域を持つデバイスの利用に至るまでの処理、さ
らにデバイスの利用処理の詳細についてフローチャート
他の図面を参照しながら説明する。説明の手順は以下の
項目に従って行なう。
[B. Description of device distribution to user, various settings for device, and details of device use processing] Next, processing up to the use of a device having the above-described partitioned memory area, and further details of device use processing The flowchart will be described with reference to other drawings. The procedure of the description is performed according to the following items.

【0231】B1.デバイス初期登録から利用までの流
れ B2.デバイス製造エンティテイによる初期登録処理 B3.デバイスマネージャの管轄処理 B3.1.デバイスマネージャによるデバイス登録処理 B3.2.デバイスマネージャ管理下における公開鍵証
明書発行処理 B4.パーティションマネージャの管轄処理 B4.1.パーティションマネージャ管理下におけるパ
ーティション登録チケット(PRT)を利用したパーテ
ィション設定登録、削除処理 B4.2.パーティションマネージャ管理下における公
開鍵証明書発行処理 B4.3.ファイル登録チケット(FRT)を利用した
ファイル生成、消去処理 B5.サービス許可チケット(SPT)を利用したサー
ビス(ファイルアクセス)処理 B6.データアップデートチケット(DUT)を利用し
たデバイスのデータ更新処理
B1. Flow from initial device registration to use B2. Initial registration processing by device manufacturing entity B3. Jurisdiction process of device manager B3.1. Device registration processing by device manager B3.2. Public key certificate issuance processing under device manager management B4. Jurisdiction process of partition manager B4.1. Partition setting registration / deletion processing using partition registration ticket (PRT) under management of partition manager B4.2. Public key certificate issuance processing under the control of partition manager B4.3. File generation and deletion processing using file registration ticket (FRT) B5. Service (file access) processing using service permission ticket (SPT) B6. Device data update process using data update ticket (DUT)

【0232】[B1.デバイス初期登録から利用までの
流れ]EEPROM(フラッシュメモリ)を有するデバ
イスは、デバイス製造エンティテイ(manufacturer)に
よって製造され、デバイスマネージャによる初期データ
の書き込みが実行され、ユーザに提供(ex.販売、貸
与)され利用されることになる。ユーザが様々なサービ
ス主体からデバイスを利用したサービスを受けるために
は、デバイスのメモリ部にパーティションマネージャに
よるパーティションが設定され、設定されたパーティシ
ョン内にサービス提供用のデータを格納したファイルが
設定される必要がある。
[B1. Flow from Device Initial Registration to Use] A device having an EEPROM (flash memory) is manufactured by a device manufacturing entity (manufacturer), initial data is written by a device manager, and provided to a user (ex. Sales, loan). Will be used. In order for a user to receive a service using a device from various service entities, a partition by a partition manager is set in a memory unit of the device, and a file storing data for providing a service is set in the set partition. There is a need.

【0233】また、デバイスに対する様々な処理、すな
わちパーティション登録チケット(PRT)を利用した
パーティションの設定、ファイル登録チケット(FR
T)を利用したファイル設定、さらにサービス許可チケ
ット(SPT)を利用したデータアクセスなどの様々な
処理の際に、デバイスとデバイスに対して処理を実行す
るチケットユーザ(ex.デバイスアクセス機器として
のリーダライタ)との間で様々な手続きが実行される。
例えば双方が正当な機器、デバイスであることを確認す
る相互認証処理、あるいは転送データの正当性を保証し
確認するための署名生成、検証処理、さらにデータ暗号
化、復号処理などである。本発明の構成では、これらの
処理に際して公開鍵証明書を用いた構成を提案してい
る。従って、デバイスによるサービスの利用の前にデバ
イスに対する公開鍵証明書の発行処理、デバイス格納処
理を実行する。
Also, various processes for the device, that is, partition setting using a partition registration ticket (PRT), a file registration ticket (FR
In various processes such as file setting using T) and data access using a service permission ticket (SPT), a device and a ticket user (ex. A reader as a device access device) for executing a process on the device. Writer).
For example, mutual authentication processing for confirming that both are valid devices and devices, signature generation and verification processing for guaranteeing and confirming the validity of transfer data, and data encryption and decryption processing are also performed. The configuration of the present invention proposes a configuration using a public key certificate for these processes. Therefore, a public key certificate issuance process and a device storage process are executed for the device before the device uses the service.

【0234】例えばデバイスとデバイスに対して処理を
実行するチケットユーザ(ex.デバイスアクセス機器
としてのリーダライタ)との間で公開鍵証明書を用いた
相互認証処理が実行され、双方の正当性が確認されたこ
とを条件としてパーティション登録チケット(PRT)
を利用したパーティションの設定、ファイル登録チケッ
ト(FRT)を利用したファイル設定、さらにサービス
許可チケット(SPT)を利用したデータアクセスなど
の様々な処理が実行される。また、相互に転送されるデ
ータには必要に応じて電子署名が付加され、検証が実行
される。また転送データの暗号化、復号処理も必要に応
じて実行されることになる。
For example, a mutual authentication process using a public key certificate is executed between a device and a ticket user (ex. A reader / writer as a device access device) for executing a process on the device, and the validity of both is verified. Partition registration ticket (PRT) on condition that it is confirmed
Various processes are performed, such as setting of a partition using a file, a file setting using a file registration ticket (FRT), and data access using a service permission ticket (SPT). Further, an electronic signature is added to the data transferred to each other as necessary, and the data is verified. Further, the encryption and decryption processing of the transfer data is executed as needed.

【0235】図34は、デバイスの製造から、利用に至
るまでの流れを概略的に示した図である。これらの各処
理については、フローを参照して後段で詳細に説明する
が、全体的な処理の理解のために、図34に示す各段階
について簡単に説明する。
FIG. 34 is a diagram schematically showing a flow from manufacture of a device to use. Each of these processes will be described in detail later with reference to the flow, but each stage shown in FIG. 34 will be briefly described for understanding the overall process.

【0236】1.まず、デバイスは製造エンティテイ
(manufacturer)によって製造される。デバイスの製造
時には、各デバイスの識別データ(ID)としてのデバ
イスコードが各デバイスに付与される。デバイスには製
造段階で、デバイスコード、製造コードなど、様々の製
造情報(Manufacture Information Block(図14参
照))が書き込まれデバイスのメモリに格納される。
[0236] 1. First, the device is manufactured by a manufacturing entity. When a device is manufactured, a device code as identification data (ID) of each device is assigned to each device. At the manufacturing stage, various manufacturing information (Manufacture Information Block (see FIG. 14)) such as a device code and a manufacturing code is written in the device and stored in the memory of the device.

【0237】2.次に、デバイスマネージャはユーザに
対するデバイスの提供前に、自己のID、認証局の公開
鍵(PUB CA(DEV))など、デバイス管理情報
(Device Management Information(図15参照))、デ
バイス鍵(Device Key(図18参照))などの情報をメ
モリに格納する。
[0237] 2. Next, before the device manager provides the device to the user, the device manager manages device management information (Device Management Information (see FIG. 15)) such as its own ID and the public key of the certificate authority (PUB CA (DEV)). Key (see FIG. 18)) and other information are stored in the memory.

【0238】3.デバイスマネージャによる管理情報が
書き込まれたデバイスは、ユーザに提供される。
[0238] 3. The device in which the management information is written by the device manager is provided to the user.

【0239】4.次にユーザは、デバイス対応の公開鍵
証明書の取得処理を実行し、取得したデバイス対応公開
鍵証明書(CERT DEV)をデバイスのデバイス鍵
領域(図18参照)に格納する。
[0239] 4. Next, the user executes a process of obtaining a public key certificate corresponding to the device, and stores the obtained public key certificate (CERT DEV) corresponding to the device in the device key area (see FIG. 18) of the device.

【0240】5.デバイスのメモリ部にパーティション
を設定し、サービスを提供しようとするサービス主体
(パーティションマネージャ)は、パーティションの設
定をデバイスマネージャに要求し、許諾を受けるととも
にパーティション登録チケット(PRT)を受領する。
また、デバイスとの通信処理において使用する認証局の
公開鍵(PUB CA(PAR))を指定する。
[0240] 5. A service entity (partition manager) that sets a partition in the memory section of the device and intends to provide a service requests the device manager to set the partition, receives a license, and receives a partition registration ticket (PRT).
Also, the public key (PUB CA (PAR)) of the certificate authority used in the communication processing with the device is specified.

【0241】6.デバイスは、パーティションマネージ
ャの管理するチケットユーザ(ex.デバイスアクセス
機器としてのリーダライタ)との間で通信を実行し、パ
ーティション登録チケット(PRT)を適用したパーテ
ィションの登録処理を行なうとともに、認証局の公開鍵
(PUB CA(PAR))をパーティション鍵領域
(図23参照)格納する。
6. The device executes communication with a ticket user (ex. A reader / writer as a device access device) managed by the partition manager, performs a partition registration process using a partition registration ticket (PRT), and performs a process of registering a partition. The public key (PUB CA (PAR)) is stored in the partition key area (see FIG. 23).

【0242】7.パーティションの設定されたデバイス
は、パーティション対応公開鍵証明書の発行要求をパー
ティションマネージャに送信し、取得したパーティショ
ン対応公開鍵証明書(CERT PAR)をパーティシ
ョン鍵領域(図23参照)に格納する。
[0242] 7. The device in which the partition is set transmits a request for issuing a partition-related public key certificate to the partition manager, and stores the obtained partition-related public key certificate (CERT PAR) in the partition key area (see FIG. 23).

【0243】上記5〜7のパーティション設定他の処理
は、パーティションを設定してサービスを提供しようと
するパーティションマネージャ各々について実行され、
複数のパーティションがデバイスに登録される。
The above-mentioned processing for partition setting 5 to 7 is executed for each partition manager which intends to provide a service by setting a partition.
Multiple partitions are registered on the device.

【0244】8.次に、パーティションマネージャは、
デバイスに設定したパーティション内に、例えばサービ
ス対応のファイルの設定登録処理をファイル登録チケッ
ト(FRT)を適用して実行する。
[0244] 8. Next, the partition manager
In the partition set in the device, for example, the setting registration processing of the file corresponding to the service is executed by applying the file registration ticket (FRT).

【0245】9.10.設定されたパーティション内に
ファイルが登録されることにより、例えば電子マネー、
定期券などファイル内データによって定義される各種の
サービスが実行可能となる。ファイル内のデータ読み取
り、データ書き込みなどの処理には、サービス許可チケ
ット(SPT)を適用する。すなわち正当なチケット発
行手段が発行したサービス許可チケット(SPT)を適
用した場合に限り、SPTに記録されたルールに従って
データの読み取り、書き込みなどが実行される。
9.10. By registering files in the set partition, for example, electronic money,
Various services defined by data in the file, such as commuter passes, can be executed. A service permission ticket (SPT) is applied to processes such as reading and writing data in a file. That is, only when a service permission ticket (SPT) issued by a valid ticket issuing unit is applied, data reading, writing, and the like are executed in accordance with rules recorded in the SPT.

【0246】また、図には示されていないが、必要に応
じてデータアップデートチケット(DUT)を使用して
デバイスの格納データ中の更新処理対象データ(ex.
デバイスマネージャコード、デバイスマネージャコード
バージョン、パーティションマネージャコード、パーテ
ィションマネージャコードバージョン、各チケット発行
手段コード、各チケットのMAC生成鍵およびバージョ
ン、リボケーションリストなど)の更新処理が実行され
る。なお、デバイスマネージャコードバージョン、パー
ティションマネージャコードバージョン他のバージョン
情報は、各バージョンの付加されたデータの更新処理の
際に併せて更新されることになる。これらのバージョン
情報はデータアップデートチケット(DUT:Data Upd
ate Ticket)に格納される。
Although not shown in the figure, the data to be updated (ex. Data) in the data stored in the device using a data update ticket (DUT) as necessary.
An update process of the device manager code, the device manager code version, the partition manager code, the partition manager code version, each ticket issuing means code, the MAC generation key and version of each ticket, the revocation list, and the like is executed. The device manager code version, the partition manager code version, and other version information are updated together with the update processing of the data to which each version is added. These version information are stored in a data update ticket (DUT: Data Upd
ate Ticket).

【0247】以下、各処理の詳細について、フロー、そ
の他の図を参照しながら説明する。
Hereinafter, the details of each process will be described with reference to the flow and other drawings.

【0248】[B2.デバイス製造エンティテイによる
初期登録処理]まず、デバイス製造エンティテイによる
初期登録処理について、図35を用いて説明する。図3
5の左側がデバイス製造エンティテイ(Manufacture)の
登録装置の処理、右側がデバイス(図5参照)の処理を
示す。なお、デバイス製造エンティテイ(Manufacture)
の登録装置は、デバイスに対するデータ読み取り書き込
み処理可能な専用のデバイスアクセス機器としてのリー
ダライタ(図10参照)として構成される。
[B2. Initial Registration Process by Device Manufacturing Entity] First, the initial registration process by the device manufacturing entity will be described with reference to FIG. FIG.
5 shows the processing of the registration device of the device manufacturing entity (Manufacture), and the right side shows the processing of the device (see FIG. 5). The device manufacturing entity (Manufacture)
Is configured as a reader / writer (see FIG. 10) as a dedicated device access device capable of performing data read / write processing on a device.

【0249】まず、ステップS101において登録装置
は、デバイスに対して製造情報ブロック(MIB:Manu
facture Information Block(図14参照))の書き込
みフラグ(Writable Flag)の読み出しコマンドを送信
する。デバイスはコマンドを受信(S121)すると、
デバイスのメモリ部の製造情報ブロック(MIB)内の
書き込み(Writable)フラグを登録装置に送信(S12
2)する。
First, in step S101, the registration device sends a manufacturing information block (MIB: Manu) to the device.
A read command of a write flag (Writable Flag) of the facture information block (see FIG. 14) is transmitted. When the device receives the command (S121),
A write (Writable) flag in the manufacturing information block (MIB) of the memory section of the device is transmitted to the registration device (S12).
2) Do it.

【0250】製造情報ブロック(MIB)内の書き込み
(Writable)フラグを受信(S102)した登録装置
は、書き込みフラグ(Writable Flag)が書き込み可
(0xffff)に設定されているか否かを判別(S1
03)する。書き込みフラグ(Writable Flag)が書き
込み可(0xffff)に設定されていない場合は、以
下の製造情報ブロック(MIB:Manufacture Informat
ion Block)の書き込み処理は実行できず、エラーとし
て終了する。
The registration device that has received the write (Writable) flag in the manufacturing information block (MIB) (S102) determines whether or not the write flag (Writable Flag) is set to writable (0xffff) (S1).
03). If the write flag (Writable Flag) is not set to writable (0xffff), the following manufacturing information block (MIB: Manufacture Informat)
ion block) write processing cannot be executed, and the processing ends as an error.

【0251】書き込みフラグ(Writable Flag)が書き
込み可(0xffff)に設定されている場合は、デバ
イスの製造情報ブロック(MIB:Manufacture Inform
ation Block(図14参照))を生成(S104)して
MIB書き込みコマンドとともに、MIBデータをデバ
イスに送信(S105)する。
When the write flag (Writable Flag) is set to be writable (0xffff), the device manufacturing information block (MIB: Manufacture Inform)
(see FIG. 14), and transmits MIB data to the device together with the MIB write command (S105).

【0252】MIB書き込みコマンド、およびMIBデ
ータを受信(S123)したデバイスは、MIB書き込
みフラグ(Writable Flag)を検証(S124)し、書
き込みフラグ(Writable Flag)が書き込み可(0xf
fff)に設定されていない場合は、以下の製造情報ブ
ロック(MIB:Manufacture Information Block)の
書き込み処理は実行できず、エラーとして終了する。書
き込みフラグ(Writable Flag)が書き込み可(0xf
fff)に設定されている場合は、受信したMIBデー
タをMIB領域に書き込む(S125)。
The device that has received the MIB write command and the MIB data (S123) verifies the MIB write flag (Writable Flag) (S124), and makes the write flag (Writable Flag) writable (0xf).
If the setting is not set to (ffff), the writing process of the following manufacturing information block (MIB: Manufacture Information Block) cannot be executed, and the process ends as an error. Write flag (Writable Flag) is set to writable (0xf)
If it is set to (ffff), the received MIB data is written to the MIB area (S125).

【0253】MIBデータ書き込み処理が終了すると書
き込み終了通知を登録装置に送信(S126)する。書
き込み終了通知を受信(S106)した登録装置は初期
登録完了コマンドをデバイスに送信(S107)し、初
期登録完了コマンドを受信(S127)したデバイスは
製造情報ブロック(MIB:Manufacture Information
Block)の書き込みフラグ(Writable Flag)を書き込み
不可(0x0000)にセット(S128)し、書き込
み終了通知を登録装置に送信(S129)する。
When the MIB data writing process is completed, a write completion notification is transmitted to the registration device (S126). The registration device that has received the write completion notification (S106) transmits an initial registration completion command to the device (S107), and the device that has received the initial registration completion command (S127) has a manufacturing information block (MIB: Manufacture Information).
The write flag (Writable Flag) of the (Block) is set to non-writable (0x0000) (S128), and a write completion notification is transmitted to the registration device (S129).

【0254】書き込み終了通知を受信(S108)した
登録装置は、デバイスに対して製造情報ブロック(MI
B:Manufacture Information Block(図14参照))
の書き込みフラグ(Writable Flag)の読み出しコマン
ドを送信(S109)する。デバイスはコマンドを受信
(S130)すると、デバイスのメモリ部の製造情報ブ
ロック(MIB)内の書き込みフラグ(Writable Fla
g)を登録装置に送信(S131)する。
Upon receiving the write end notification (S108), the registration apparatus sends a manufacturing information block (MI
B: Manufacture Information Block (See Fig. 14)
Is transmitted (S109). When the device receives the command (S130), a write flag (Writable Flame) in the manufacturing information block (MIB) of the memory unit of the device is received.
g) is transmitted to the registration device (S131).

【0255】製造情報ブロック(MIB)内の書き込み
フラグ(Writable Flag)を受信(S110)した登録
装置は、書き込みフラグ(Writable Flag)が書き込み
不可(0x0000)に設定されているか否かを判別
(S111)する。書き込みフラグ(Writable Flag)
が書き込み不可(0x0000)に設定されていない場
合は、正常なMIBデータ書き込み処理が終了していな
いことを示し、エラーとして処理を終了する。書き込み
フラグ(Writable Flag)が書き込み不可(0x000
0)に設定されている場合は、正常なMIBデータ書き
込み処理が終了したものとして処理を終了する。
The registration device that has received the write flag (Writable Flag) in the manufacturing information block (MIB) (S110) determines whether or not the write flag (Writable Flag) is set to write disabled (0x0000) (S111). ). Writable Flag
Is not set to write disabled (0x0000), it indicates that normal MIB data write processing has not been completed, and the processing is terminated as an error. Writing flag (Writable Flag) is not writable (0x000)
If it is set to 0), the process ends assuming that the normal MIB data writing process has ended.

【0256】[B3.デバイスマネージャの管轄処理]
次に、デバイスマネージャの管轄処理について説明す
る。ここでは、デバイスの使用開始以前に実行される処
理について説明する。デバイスの使用開始以前に実行さ
れるデバイスマネージャの処理としては、デバイスのメ
モリ部のデバイス管理情報ブロック(DMIB:Device
Management Information Block)、公開鍵系デバイス
キー定義ブロック(DKDB:Device Key Definition
Block(PUB))、共通鍵系デバイスキー定義ブロック(D
KDB:Device Key Definition Block(Common))、デ
バイス鍵領域(Device Key Area)に対するデータ書き
込み処理として実行するデバイス登録処理と、デバイス
に対してデバイス対応公開鍵証明書(CERT DE
V)を発行する処理がある。以下、これらの処理の詳細
について説明する。
[B3. Device Manager Jurisdiction]
Next, the jurisdiction process of the device manager will be described. Here, a process that is executed before the use of the device is started will be described. The processing of the device manager executed before the start of use of the device includes a device management information block (DMIB: Device Management Information Block) in the memory section of the device.
Management Information Block), Public Key Device Key Definition Block (DKDB: Device Key Definition)
Block (PUB)), common key device key definition block (D
KDB: Device Key Definition Block (Common), device registration processing executed as data writing processing to a device key area (Device Key Area), and device corresponding public key certificate (CERT DE
V). Hereinafter, details of these processes will be described.

【0257】[B3.1.デバイスマネージャによるデ
バイス登録処理]図36以下のフローを用いて、デバイ
スマネージャによるデバイスに対するデバイス管理情報
他の格納処理を伴う初期登録処理について説明する。図
36以下のフローにおいて、左側がデバイスマネージャ
(DM)の初期登録装置の処理、右側がデバイス(図5
参照)の処理を示す。なお、デバイスマネージャ(D
M)の初期登録装置は、デバイスに対するデータ読み取
り書き込み処理可能な装置(ex.デバイスアクセス機
器としてのリーダライタ、PC)であり、図10のデバ
イスアクセス機器としてのリーダライタに相当する構成
を有する。
[B3.1. Device Registration Processing by Device Manager] Initial registration processing involving storage processing of device management information and the like for a device by a device manager will be described with reference to the flow of FIG. In the flow shown in FIG. 36 and subsequent figures, the processing on the initial registration device of the device manager (DM) is on the left, and the device (FIG.
Reference). The device manager (D
The initial registration device of M) is a device (ex. A reader / writer as a device access device, a PC) that can perform data read / write processing on a device, and has a configuration corresponding to the reader / writer as a device access device in FIG.

【0258】まず、ステップS201において、デバイ
スの識別子IDmの読み出し(Read)コマンドをデバイ
スに出力する。デバイスはコマンドを受信(S211)
し、デバイスの識別子IDmを登録装置に送信(S21
2)する。
First, in step S201, a read command of the identifier IDm of the device is output to the device. The device receives the command (S211)
Then, the device identifier IDm is transmitted to the registration device (S21).
2) Do it.

【0259】デバイスの識別子IDmを受信(S20
2)した登録装置は、ステップS203において、デバ
イスに対してデバイス管理情報ブロック(DMIB:De
vice Management Information Block(図15参照))
の書き込みフラグ(Writable Flag)の読み出しコマン
ドを送信する。デバイスはコマンドを受信(S213)
すると、デバイスのメモリ部のデバイス管理情報ブロッ
ク(DMIB)内の書き込みフラグ(Writable Flag)
を登録装置に送信(S214)する。
[0259] receives an identifier IDm of the device (S20
2) In step S203, the registered device performs a device management information block (DMIB: De
vice Management Information Block (See Fig. 15)
A read command of a write flag (Writable Flag) is transmitted. The device receives the command (S213)
Then, a write flag (Writable Flag) in the device management information block (DMIB) of the memory section of the device
Is transmitted to the registration device (S214).

【0260】デバイス管理情報ブロック(DMIB)内
の書き込みフラグ(Writable Flag)を受信(S20
4)した登録装置は、書き込みフラグ(Writable Fla
g)が書き込み可(0xffff)に設定されているか
否かを判別(S205)する。書き込みフラグ(Writab
le Flag)が書き込み可(0xffff)に設定されて
いない場合は、以下のデバイス管理情報ブロック(DM
IB:Device ManagementInformation Block)の書き込
み処理は実行できず、エラーとして終了する。
A write flag (Writable Flag) in the device management information block (DMIB) is received (S20).
4) The registered device performs the write flag (Writable Fla
It is determined whether or not g) is set to writable (0xffff) (S205). Write flag (Writab
le flag) is not set to writable (0xffff), the following device management information block (DM
The writing process of IB: Device Management Information Block cannot be executed and ends as an error.

【0261】書き込みフラグ(Writable Flag)が書き
込み可(0xffff)に設定されている場合は、デバ
イスマネージャコード(DMC)およびDMCバージョ
ンの書き込み(DMC Write)コマンドをデバイスに送
信(S206)する。このコードは、コード管理機関
(図1〜図3参照)によりデバイスマネージャに対して
予め割り当てられたデータである。
If the write flag (Writable Flag) is set to writable (0xffff), a device manager code (DMC) and a DMC version write (DMC Write) command are transmitted to the device (S206). This code is data previously assigned to the device manager by a code management organization (see FIGS. 1 to 3).

【0262】DMC Writeコマンドを受信(S215)
したデバイスは、DMIB書き込みフラグ(Writable F
lag)を検証(S216)し、書き込みフラグ(Writabl
e Flag)が書き込み可(0xffff)に設定されてい
ない場合は、以下のデバイス管理情報ブロック(DMI
B:Device Management Information Block)の書き込
み処理は実行できず、エラーとして終了する。書き込み
フラグ(Writable Flag)が書き込み可(0xfff
f)に設定されている場合は、受信したデバイスマネー
ジャコード(DMC)およびDMCバージョンをDMI
B領域に書き込む(S217)。
Receives DMC Write command (S215)
The device that performed the writing is a DMIB write flag (Writable F
lag) (S216), and a write flag (Writabl)
e Flag) is not set to writable (0xffff), the following device management information block (DMI)
B: Device Management Information Block) write processing cannot be executed, and the processing ends as an error. The write flag (Writable Flag) is set to be writable (0xffff).
f), the received device manager code (DMC) and DMC version are
Write to the B area (S217).

【0263】デバイスマネージャコード(DMC)およ
びDMCバージョンの書き込み処理が終了すると書き込
み終了通知を登録装置に送信(S218)する。書き込
み終了通知を受信(S207)した登録装置は、次にデ
バイス総ブロック数(DeviceTotal Block Number)書き
込みコマンドをデバイスに送信(S208)する。
When the write processing of the device manager code (DMC) and the DMC version is completed, a write completion notification is transmitted to the registration device (S218). The registration device that has received the write completion notification (S207) transmits a device total block number (DeviceTotal Block Number) write command to the device (S208).

【0264】デバイス総ブロック数(Device Total Blo
ck Number)書き込みコマンドを受信(S219)した
デバイスは、DMIB書き込みフラグ(Writable Fla
g)を検証(S220)し、書き込みフラグ(Writable
Flag)が書き込み可(0xffff)に設定されていな
い場合は、以下のデバイス管理情報ブロック(DMI
B:Device Management Information Block)の書き込
み処理は実行できず、エラーとして終了する。書き込み
フラグ(Writable Flag)が書き込み可(0xfff
f)に設定されている場合は、受信したデバイス総ブロ
ック数(Device Total Block Number)をDMIB領域
に書き込む(S221)。さらに、デバイスは、DMI
B領域のデバイス空きブロック数情報領域(Free Block
Number in Device)にTB−4を書き込む(S22
2)。TBはデバイス総ブロック数(Device Total Blo
ck Number)を意味する。なおTB−4の4ブロック
は、製造情報ブロック(MIB:Manufacture Informat
ion Block)、デバイス管理情報ブロック(DMIB:D
evice Management Information Block)、公開鍵系デバ
イスキー定義ブロック(DKDB:Device Key Definit
ion Block(PUB))、共通鍵系デバイスキー定義ブロック
(DKDB:Device Key Definition Block(Common))
を示している。
[0264] Device Total Blo
The device that has received the (ck Number) write command (S219) writes the DMIB write flag (Writable Flag).
g) is verified (S220), and a write flag (Writable
Flag) is not set to writable (0xffff), the following device management information block (DMI)
B: Device Management Information Block) write processing cannot be executed, and the processing ends as an error. The write flag (Writable Flag) is set to be writable (0xffff).
If it is set to f), the received device total block number (Device Total Block Number) is written to the DMIB area (S221). In addition, the device has a DMI
Device free block count information area in area B (Free Block
Write TB-4 to Number in Device (S22)
2). TB is Device Total Blo
ck Number). Note that four blocks of TB-4 are manufacturing information blocks (MIB: Manufacture Informat
ion Block), Device Management Information Block (DMIB: D)
evice Management Information Block), public key device key definition block (DKDB: Device Key Definit)
ion Block (PUB)), Device Key Definition Block (DKDB: Common Key)
Is shown.

【0265】次に、デバイスは、デバイス管理情報ブロ
ック(DMIB)のパーティション数(Partition Numb
er)領域に0を書き込む(S223)。この時点でデバ
イスにはパーティションは設定されていないからであ
る。さらにDMIBの空き領域のポインタ(Pointer of
Free Area)に0を書き込み(S224)、書き込み処
理完了を登録装置に送信(S225)する。
Next, the device determines the number of partitions (Partition Numb) in the device management information block (DMIB).
er) Write 0 in the area (S223). At this point, no partition is set in the device. In addition, the pointer of the free area of the DMIB (Pointer of
0 is written in the Free Area (S224), and the completion of the writing process is transmitted to the registration device (S225).

【0266】書き込み処理完了通知をデバイスから受信
(S209)した登録装置は、次に、デバイス認証に共
通鍵を用いるか否かを判定(S231)する。認証処理
については、後段で詳細に説明するが、公開鍵認証方
式、共通鍵認証方式のいずれかを実行する構成が可能で
あり、デバイスマネージャは、デバイスに必要な認証方
式を設定することが可能となる。デバイスが共通鍵認証
を実行するデバイスであれば、デバイスマネージャは共
通鍵認証に必要な情報(ex.認証鍵生成用のマスター
鍵他)をデバイスにセットし、デバイスが共通鍵認証を
実行しないデバイスであれば、これらの情報をデバイス
に格納しないことになる。デバイスマネージャは、デバ
イスの採用する認証方式に応じて共通鍵認証、公開鍵認
証のいずれか、あるいは両方式を実行可能なデータをデ
バイスに設定する。
The registration apparatus which has received the write processing completion notification from the device (S209) determines whether or not to use a common key for device authentication (S231). The authentication process will be described in detail later, but it is possible to perform a public key authentication method or a common key authentication method, and the device manager can set an authentication method required for the device. Becomes If the device is a device that performs common key authentication, the device manager sets information necessary for common key authentication (ex. A master key for generating an authentication key, etc.) in the device, and the device does not execute common key authentication. In such a case, such information is not stored in the device. The device manager sets data in the device that can execute either the common key authentication, the public key authentication, or both methods according to the authentication method adopted by the device.

【0267】図37に示すように、デバイス認証に共通
鍵を用いる場合、ステップS232〜S233、S24
1〜S245を実行し、デバイス認証に共通鍵を用いな
い場合、これらのステップは省略される。
As shown in FIG. 37, when using a common key for device authentication, steps S232 to S233 and S24
If steps 1 to S245 are executed and a common key is not used for device authentication, these steps are omitted.

【0268】デバイス認証に共通鍵を用いる場合、ステ
ップS232において登録装置は、共通鍵認証データ書
き込みコマンドとして、MKauth_DEV_A :双方向個別鍵
認証用マスター鍵、Kauth_DEV_B :双方向個別鍵認証用
共通鍵、IRL_DEV :排除デバイス(Device)のデバイス
識別子(ID)を登録したリボケーションリスト(Revo
cation List (Device ID)、およびこれらのバージョン
情報をデバイスに送信する。
When the common key is used for device authentication, in step S232, the registration device sends a common key authentication data write command as MKauth_DEV_A: master key for bidirectional individual key authentication, Kauth_DEV_B: common key for bidirectional individual key authentication, IRL_DEV. : Revocation list (Revo) that registers the device identifier (ID) of the excluded device (Device)
Send the cation list (Device ID) and its version information to the device.

【0269】ステップS241でデバイスは、上述の書
き込みコマンドを受信し、ステップS242において、
DMIBの書き込みフラグ(Writable Flag)が書き込
み可であることを確認して受領データをデバイス鍵領域
(図18参照)に書き込む(S243)。次にデータ書
き込みによって生じたポインタ、サイズ、デバイス内の
フリーブロック数の調整を実行(S244)し、書き込
み終了通知を登録装置に送信(S245)する。
In step S241, the device receives the above-described write command, and in step S242,
After confirming that the write flag (Writable Flag) of the DMIB is writable, the received data is written into the device key area (see FIG. 18) (S243). Next, the pointer, the size, and the number of free blocks in the device generated by the data writing are adjusted (S244), and a write completion notification is transmitted to the registration device (S245).

【0270】書き込み終了通知を受信(S233)した
登録装置は、ステップS234においてデバイス認証に
公開鍵を用いるか否かを判定する。図37に示すよう
に、デバイス認証に公開鍵を用いる場合、ステップS2
35〜S239、S246〜S254を実行し、デバイ
ス認証に公開鍵を用いない場合、これらのステップは省
略される。
The registration device that has received the write end notification (S233) determines in step S234 whether to use a public key for device authentication. As shown in FIG. 37, when a public key is used for device authentication, step S2
When steps S35 to S239 and S246 to S254 are executed and a public key is not used for device authentication, these steps are omitted.

【0271】デバイス認証に公開鍵を用いる場合、ステ
ップS235において登録装置は、公開鍵認証データ書
き込みコマンドとして、PUB_CA(DEV) :デバイスマネー
ジャ対応公開鍵を発行する認証局CA(DEV)の公開
鍵、PARAM_DEV :デバイス(Device)の公開鍵パラメー
タ、CRL_DEV :排除デバイス(Device)の公開鍵証明書
識別子(ex.シリアルナンバ:SN)を登録したリボ
ケーションリスト(Revocation List (Certificate)、
およびこれらのバージョン情報をデバイスに送信する。
When the public key is used for device authentication, in step S235, the registration device issues a public key authentication data write command as PUB_CA (DEV): the public key of the certification authority CA (DEV) that issues the device manager corresponding public key, PARAM_DEV: public key parameter of device (Device), CRL_DEV: revocation list (Revocation List (Certificate)) in which public key certificate identifier (ex. Serial number: SN) of excluded device (Device) is registered,
And transmitting these version information to the device.

【0272】ステップS246でデバイスは、上述の書
き込みコマンドを受信し、ステップS247において、
DMIBの書き込みフラグ(Writable Flag)が書き込
み可であることを確認して受領データをデバイス鍵領域
(図18参照)に書き込む(S248)。次にデータ書
き込みによって生じたポインタ、サイズ、デバイス内の
フリーブロック数の調整を実行(S249)し、書き込
み終了通知を登録装置に送信(S250)する。
In step S246, the device receives the above-described write command, and in step S247,
After confirming that the write flag (Writable Flag) of the DMIB is writable, the received data is written to the device key area (see FIG. 18) (S248). Next, the pointer, the size, and the number of free blocks in the device generated by data writing are adjusted (S249), and a write completion notification is transmitted to the registration device (S250).

【0273】書き込み終了通知を受信(S236)した
登録装置は、公開鍵と秘密鍵の鍵ペア生成コマンドをデ
バイスに送信(S237)する。なお、この実施例で
は、鍵ペアの生成はデバイスが実行する構成としている
が、例えば登録装置が実行してデバイスに提供する構成
としてもよい。
The registration device that has received the write completion notification (S236) transmits a key pair generation command of a public key and a secret key to the device (S237). In this embodiment, the key pair is generated by the device. However, the key pair may be generated by the registration device and provided to the device.

【0274】鍵ペア生成コマンドを受信(S251)し
たデバイスは、デバイス内の暗号処理部(図5参照)に
おいて公開鍵(PUB DEV)と秘密鍵(PRI DE
V)のペアを生成し、生成した鍵をデバイス鍵領域(図
18参照)に書き込む(S252)。なお、公開鍵(P
UB DEV)については、デバイス鍵領域のCERT
・DEV領域に一時格納し、その後、公開鍵(PUB
DEV)を格納した公開鍵証明書を受領した時点で公開
鍵証明書(CERT)に置き換えられる。次にデータ書
き込みによって生じたポインタ、サイズ、デバイス内の
フリーブロック数の調整を実行(S253)し、生成格
納した公開鍵を登録装置に送信(S254)する。
The device that has received the key pair generation command (S251) uses the public key (PUB DEV) and the secret key (PRI DE) in the encryption processing unit (see FIG. 5) in the device.
V), and writes the generated key into the device key area (see FIG. 18) (S252). The public key (P
UB DEV), the CERT of the device key area
-Temporarily store in the DEV area, and then use the public key (PUB
When the public key certificate storing the DEV is received, the public key certificate is replaced with the public key certificate (CERT). Next, the pointer, the size, and the number of free blocks in the device generated by the data writing are adjusted (S253), and the generated and stored public key is transmitted to the registration device (S254).

【0275】登録装置は、デバイスから公開鍵(PUB
DEV)を受信し、先にデバイスから受信したデバイ
スの識別子IDmとともに、デバイスマネージャ内のデ
ータベース(DB(DEV)(図7参照))に保存す
る。
The registration device sends a public key (PUB) from the device.
DEV) is received and stored in a database (DB (DEV) (see FIG. 7)) in the device manager together with the device identifier IDm of the device previously received from the device.

【0276】次に、デバイスマネージャの登録装置は、
パーティション登録チケット(PRT:Partition Regi
stration Ticket)の検証処理に共通鍵を用いるか否か
を判定(S261)する。チケット検証には、後段で詳
細に説明するがMAC値検証等による共通鍵方式と、前
述の図12、図13を用いて説明した秘密鍵による署名
生成、公開鍵による署名検証を行なう公開鍵方式のいず
れかを適用することが可能であり、デバイスマネージャ
は、デバイスの採用する検証処理方式を設定することが
できる。デバイスマネージャは、デバイスの採用するP
RTチケット検証方式に応じて共通鍵、公開鍵のいずれ
か、あるいは両方式を実行可能なデータをデバイスに設
定する。
Next, the registered device of the device manager is:
Partition Registration Ticket (PRT: Partition Regi
It is determined whether a common key is used for the verification process of the stration ticket (S261). For the ticket verification, a common key method based on MAC value verification and the like, and a public key method for performing signature generation using a private key and verifying a signature using a public key described with reference to FIGS. Can be applied, and the device manager can set the verification processing method adopted by the device. The device manager uses the P
Data that can execute either the common key, the public key, or both methods is set in the device according to the RT ticket verification method.

【0277】デバイスマネージャは、デバイスが共通鍵
認証を実行するデバイスであれば、デバイスマネージャ
は共通鍵方式のPRT検証に必要な情報(ex.PRT
検証共通鍵)をデバイスにセットし、デバイスが共通鍵
認証を実行しないデバイスであれば、これらの情報をデ
バイスに格納しないことになる。
If the device manager is a device that executes common key authentication, the device manager sets information (ex. PRT) necessary for PRT verification in the common key system.
(Verification common key) is set in the device, and if the device does not execute the common key authentication, such information is not stored in the device.

【0278】図38に示すように、PRT検証に共通鍵
方式を用いる場合、ステップS262〜263、S27
1〜S275を実行し、PRT検証に共通鍵を用いない
場合、これらのステップは省略される。
As shown in FIG. 38, when the common key method is used for PRT verification, steps S262 to 263, S27
When steps 1 to S275 are executed and the common key is not used for PRT verification, these steps are omitted.

【0279】PRT検証に共通鍵を用いる場合、ステッ
プS262において登録装置は、PRT検証共通鍵書き
込みコマンドとして、Kprt :パーティション登録チケッ
ト(PRT)のMAC検証用鍵、およびバージョン情報
をデバイスに送信する。
When the common key is used for PRT verification, in step S262, the registration device transmits Kprt: the MAC verification key of the partition registration ticket (PRT) and version information to the device as a PRT verification common key write command.

【0280】ステップS271でデバイスは、上述の書
き込みコマンドを受信し、ステップS272において、
DMIBの書き込みフラグ(Writable Flag)が書き込
み可であることを確認して受領データをデバイス鍵領域
(図18参照)に書き込む(S273)。次にデータ書
き込みによって生じたポインタ、サイズ、デバイス内の
フリーブロック数の調整を実行(S274)し、書き込
み終了通知を登録装置に送信(S275)する。
In step S271, the device receives the above-mentioned write command, and in step S272,
After confirming that the write flag (Writable Flag) of the DMIB is writable, the received data is written into the device key area (see FIG. 18) (S273). Next, the pointer, the size, and the number of free blocks in the device generated by the data writing are adjusted (S274), and a write completion notification is transmitted to the registration device (S275).

【0281】書き込み終了通知を受信(S263)した
登録装置は、ステップS264においてPRT検証に公
開鍵を用いるか否かを判定する。図38に示すように、
PRT検証に公開鍵を用いる場合、ステップS265〜
S266、S276〜S282を実行し、PRT検証に
公開鍵を用いない場合、これらのステップは省略され
る。
The registration apparatus that has received the write end notification (S263) determines in step S264 whether to use a public key for PRT verification. As shown in FIG.
When a public key is used for PRT verification, Step S265
If steps S266 and S276 to S282 are executed and the public key is not used for PRT verification, these steps are omitted.

【0282】PRT検証に公開鍵を用いる場合、ステッ
プS265において登録装置は、PRT検証データ書き
込みコマンドとして、PRTIC(PRT Issuer Category) :
パーティション登録チケット(PRT)発行者カテゴ
リ、PUB_CA(DEV) :デバイスマネージャ対応公開鍵を発
行する認証局CA(DEV)の公開鍵、PARAM_DEV :デ
バイス(Device)の公開鍵パラメータ、CRL_DEV :排除
デバイス(Device)の公開鍵証明書識別子(ex.シリ
アルナンバ:SN)を登録したリボケーションリスト
(Revocation List (Certificate)、およびこれらのバ
ージョン情報をデバイスに送信する。
When the public key is used for PRT verification, in step S265, the registration device sends a PRT verification data write command as PRTIC (PRT Issuer Category):
Partition registration ticket (PRT) issuer category, PUB_CA (DEV): public key of certificate authority CA (DEV) that issues a device manager-compatible public key, PARAM_DEV: public key parameter of device, CRL_DEV: excluded device (Device) ), And a revocation list (Revocation List (Certificate)) in which the public key certificate identifier (ex. Serial number: SN) is registered, and the version information thereof are transmitted to the device.

【0283】ステップS276でデバイスは、上述の書
き込みコマンドを受信し、ステップS277において、
DMIBの書き込みフラグ(Writable Flag)が書き込
み可であることを確認して、ステップS278におい
て、受領データ中のPRTIC(PRTIssuer Category) :パー
ティション登録チケット(PRT)発行者カテゴリを公
開鍵系デバイス鍵定義ブロック(DKDB:Device Key
Definition block(PUB)(図16参照))に書き込み
バージョン情報を同ブロックのバージョン領域に書き込
む。
[0283] In step S276, the device receives the above-described write command, and in step S277,
After confirming that the write flag (Writable Flag) of the DMIB is writable, in step S278, the PRTIC (PRTIssuer Category): partition registration ticket (PRT) issuer category in the received data is set to a public key device key definition block. (DKDB: Device Key
The write version information is written to the definition block (PUB) (see FIG. 16) in the version area of the block.

【0284】次にデバイスは、ステップS279におい
て、PUB_CA(DEV) :デバイスマネージャ対応公開鍵を発
行する認証局CA(DEV)の公開鍵データが書き込み
済みか否かを判定し、書き込まれていない場合にステッ
プS280において、PUB_CA(DEV)、PARAM_DEV、CRL_DE
Vをデバイス鍵領域(図18参照)に書き込む。次にデ
ータ書き込みによって生じたポインタ、サイズ、デバイ
ス内のフリーブロック数の調整を実行(S281)し、
書き込み終了通知を登録装置に送信(S282)する。
Next, in step S279, the device determines whether or not the public key data of the certificate authority CA (DEV) that issues the public key corresponding to the device manager has been written. In step S280, PUB_CA (DEV), PARAM_DEV, CRL_DE
Write V to the device key area (see FIG. 18). Next, adjustment of the pointer, size, and the number of free blocks in the device caused by data writing is executed (S281).
A write completion notification is transmitted to the registration device (S282).

【0285】書き込み終了通知を受信(S266)した
登録装置は、次に、ステップS291において、共通鍵
データの更新をサポートするデバイスであるか否かを判
定する。デバイスに格納されたデータ中、そのいくつか
は更新対象データとして前述したデータアップデートチ
ケット(DUT:Data Update Ticket)(図32参照)
を用いて更新が可能である。更新対象となるデータは、
先に図33を用いて説明した通りである。このデータア
ップデートチケット(DUT:Data Update Ticket)を
用いた更新処理においても共通鍵方式、または公開鍵方
式のいずれかの方式が可能であり、デバイスマネージャ
はデバイスに応じていずれかの方式または両方式を実行
可能なデータをデバイスに設定する。
The registration apparatus that has received the write end notification (S266) determines in step S291 whether the device is a device that supports updating of the common key data. Some of the data stored in the device are data update tickets (DUTs) described above as data to be updated (see FIG. 32).
Can be updated using. The data to be updated is
This is as described above with reference to FIG. In the update process using this data update ticket (DUT: Data Update Ticket), either the common key method or the public key method is possible, and the device manager can use either method or both methods depending on the device. Set the executable data to the device.

【0286】デバイスマネージャは、デバイスが共通鍵
方式によるデータ更新を実行するデバイスであれば、共
通鍵方式のデータ更新処理に必要な情報(ex.データ
アップデートチケット(DUT)のMAC検証用鍵他)
をデバイスにセットし、デバイスが共通鍵認証を実行し
ないデバイスであれば、これらの情報をデバイスに格納
しないことになる。
[0286] If the device is a device that executes data update using the common key system, information necessary for data update processing using the common key system (ex. MAC verification key of data update ticket (DUT), etc.)
Is set in the device, and if the device does not execute the common key authentication, such information is not stored in the device.

【0287】図39に示すように、データアップデート
チケット(DUT:Data Update Ticket)を用いたデー
タ更新処理に共通鍵方式を用いる場合、ステップS29
2〜S293、S301〜S305を実行し、データ更
新に共通鍵方式を用いない場合、これらのステップは省
略される。
As shown in FIG. 39, when a common key method is used for data update processing using a data update ticket (DUT: Data Update Ticket), step S29 is performed.
If steps S2 to S293 and S301 to S305 are executed and the common key method is not used for updating data, these steps are omitted.

【0288】データ更新に共通鍵を用いる場合、ステッ
プS292において登録装置は、データアップデートチ
ケット(DUT:Data Update Ticket)検証共通鍵書き
込みコマンドとして、Kdut_DEV1 :データアップデート
チケット(DUT)のMAC検証用鍵、 Kdut_DEV2 :デ
ータ更新用暗号鍵、Kdut_DEV3 :データアップデートチ
ケット(DUT)のMAC検証用鍵、Kdut_DEV4 :デー
タ更新用暗号鍵およびこれらのバージョン情報をデバイ
スに送信する。
When the common key is used for data update, in step S292, the registration device uses the Kdut_DEV1: MAC key of the data update ticket (DUT) as a data update ticket (DUT: Data Update Ticket) verification common key write command. Kdut_DEV2: Data update encryption key, Kdut_DEV3: Data update ticket (DUT) MAC verification key, Kdut_DEV4: Data update encryption key and their version information are transmitted to the device.

【0289】ステップS301でデバイスは、上述の書
き込みコマンドを受信し、ステップS302において、
DMIBの書き込みフラグ(Writable Flag)が書き込
み可であることを確認して受領データをデバイス鍵領域
(図18参照)に書き込む(S303)。次にデータ書
き込みによって生じたポインタ、サイズ、デバイス内の
フリーブロック数の調整を実行(S304)し、書き込
み終了通知を登録装置に送信(S305)する。
In step S301, the device receives the above-mentioned write command, and in step S302,
After confirming that the write flag (Writable Flag) of the DMIB is writable, the received data is written into the device key area (see FIG. 18) (S303). Next, the pointer, the size, and the number of free blocks in the device generated by the data writing are adjusted (S304), and a write completion notification is transmitted to the registration device (S305).

【0290】書き込み終了通知を受信(S293)した
登録装置は、ステップS294において、デバイスが公
開鍵方式を用いたデータアップデートチケット(DU
T:Data Update Ticket)を使用したデータ更新処理を
サポートするか否かを判定する。図39に示すように、
公開鍵方式をサポートする場合、ステップS295〜S
296、S306〜S310を実行し、公開鍵方式をサ
ポートしない場合、これらのステップは省略される。
In step S294, the registration apparatus that has received the write completion notification (S293) transmits the data update ticket (DU) using the public key method to the device.
It is determined whether or not data update processing using T: Data Update Ticket is supported. As shown in FIG.
If the public key method is supported, steps S295-S
296, S306 to S310 are executed, and when the public key method is not supported, these steps are omitted.

【0291】公開鍵方式をサポートする場合、ステップ
S295において登録装置は、データアップデートチケ
ット(DUT:Data Update Ticket)発行者コード書き
込みコマンドとして、DUTIC_DEV(DUT Issuer Categor
y) :データアップデートチケット(DUT:Data Updat
e Ticket)発行者カテゴリ、およびバージョン情報をデ
バイスに送信する。
If the public key method is supported, in step S295, the registration device transmits a DUTIC_DEV (DUT Issuer Categor) as a data update ticket (DUT: Data Update Ticket) issuer code write command.
y): Data update ticket (DUT: Data Updat)
e Ticket) Sends issuer category and version information to the device.

【0292】ステップS306でデバイスは、上述の書
き込みコマンドを受信し、ステップS307において、
DMIBの書き込みフラグ(Writable Flag)が書き込
み可であることを確認して、ステップS308におい
て、受領データを公開鍵系デバイス鍵定義ブロック(D
KDB(PUB):Device Key Definition Block(PU
B))に書き込む(S308)。次にデータ書き込みによ
って生じたポインタ、サイズ、デバイス内のフリーブロ
ック数の調整を実行(S309)し、書き込み終了通知
を登録装置に送信(S310)する。
[0292] In step S306, the device receives the above-mentioned write command, and in step S307,
After confirming that the write flag (Writable Flag) of the DMIB is writable, in step S308, the received data is stored in the public key device key definition block (D
KDB (PUB): Device Key Definition Block (PU
B)) (S308). Next, the pointer, the size, and the number of free blocks in the device generated by data writing are adjusted (S309), and a write completion notification is transmitted to the registration device (S310).

【0293】書き込み終了通知を受信(S296)した
登録装置は、次にステップS321において、デバイス
マネージャ(DM)初期登録完了コマンドをデバイスに
対して送信する。コマンドを受領(S331)したデバ
イスは、ステップS332において、相互認証、パーテ
ィション登録チケット(PRT)の検証、さらにデータ
アップデートチケット(DUT)の検証、それぞれにつ
いて少なくとも公開鍵方式、共通鍵方式のいずれかの処
理が実行可能なデータが設定済みであるか否かを判定す
る。これらのデータに不足がある場合は、いずれかの処
理が実行できないことになり、デバイスマネージャによ
る初期登録はエラーと判定され処理を終了する。
The registration apparatus that has received the write end notification (S296) transmits a device manager (DM) initial registration completion command to the device in step S321. In step S332, the device that has received the command (S331) performs mutual authentication, verification of the partition registration ticket (PRT), and verification of the data update ticket (DUT). It is determined whether data that can be processed has been set. If these data are insufficient, any of the processes cannot be executed, and the initial registration by the device manager is determined to be an error, and the process ends.

【0294】ステップS332において、相互認証、パ
ーティション登録チケット(PRT)の検証、さらにデ
ータアップデートチケット(DUT)の検証、それぞれ
について少なくとも公開鍵方式、共通鍵方式のいずれか
の処理が実行可能なデータが設定済みであると判定した
場合は、ステップS333においてデバイスは、デバイ
ス管理情報ブロック(DMIB:Device Management In
formation Block)の書き込み(Writable)フラグを書
き込み不可(0x0000)にセットし、書き込み終了
通知を登録装置に送信(S334)する。
[0294] In step S332, mutual authentication, verification of a partition registration ticket (PRT), and verification of a data update ticket (DUT) are performed. If it is determined that the setting has been completed, the device determines in step S333 that the device management information block (DMIB: Device Management In
The writing (Writable) flag of the formation block is set to writing disabled (0x0000), and a writing completion notification is transmitted to the registration device (S334).

【0295】書き込み終了通知を受信(S322)した
登録装置は、デバイスに対してデバイス管理情報ブロッ
ク(DMIB:Device Management Information Bloc
k)(図15参照))の書き込みフラグ(Writable Fla
g)の読み出しコマンドを送信(S323)する。デバ
イスはコマンドを受信(S335)すると、デバイスの
メモリ部のデバイス管理情報ブロック(DMIB)内の
書き込みフラグ(Writable Flag)を登録装置に送信
(S336)する。
The registration device that has received the write completion notification (S322) sends a device management information block (DMIB) to the device.
k) (see Fig. 15)) write flag (Writable Fla
The read command of g) is transmitted (S323). Upon receiving the command (S335), the device transmits a write flag (Writable Flag) in the device management information block (DMIB) of the memory unit of the device to the registration device (S336).

【0296】デバイス管理情報ブロック(DMIB)内
の書き込みフラグ(Writable Flag)を受信(S32
4)した登録装置は、書き込みフラグ(Writable Fla
g)が書き込み不可(0x0000)に設定されている
か否かを判別する。書き込みフラグ(Writable Flag)
が書き込み不可(0x0000)に設定されていない場
合は、正常なDMIBデータ書き込み処理が終了してい
ないことを示し、エラーとして処理を終了する。書き込
みフラグ(Writable Flag)が書き込み不可(0x00
00)に設定されている場合は、正常なDMIBデータ
書き込み処理が終了したものとして処理を終了する。
A write flag (Writable Flag) in the device management information block (DMIB) is received (S32).
4) The registered device performs the write flag (Writable Fla
It is determined whether or not g) is set to write disable (0x0000). Writable Flag
Is not set to write disable (0x0000), it indicates that normal DMIB data write processing has not been completed, and the processing is terminated as an error. The write flag (Writable Flag) is not writable (0x00)
If it is set to (00), the process ends assuming that the normal DMIB data writing process has ended.

【0297】デバイス製造エンティテイ(Manufacture)
の登録装置による初期登録(図35の処理フロー)およ
び、デバイスマネージャによる初期登録処理(図36〜
図40の処理フロー)が完了した状態のデバイスのメモ
リ内格納データ構成例を図41に示す。図41は、図
6、図14乃至図18を用いて説明した製造情報ブロッ
ク(Manufacture Information Block)、デバイス管理
情報ブロック(Device Management Information Bloc
k)、公開鍵系デバイス鍵定義(Device Key Definition
Block(PUB))、共通鍵系デバイス鍵定義ブロック(Dev
ice Key DefinitionBlock(Common))、デバイス鍵領域
(Device Key Area)を示すものである。この時点で
は、メモリにパーティションは形成されていない。
Device Manufacturing Entity (Manufacture)
Registration by the registration device (FIG. 35) and initial registration by the device manager (FIG. 36 to FIG. 36).
FIG. 41 shows an example of the configuration of data stored in the memory of the device in a state where the processing flow of FIG. 40) has been completed. FIG. 41 shows a manufacturing information block (Manufacture Information Block) and a device management information block (Device Management Information Bloc) described with reference to FIG. 6, and FIGS.
k), public key device key definition (Device Key Definition)
Block (PUB)), common key device key definition block (Dev
ice Key Definition Block (Common)) and a device key area. At this point, no partitions have been formed in the memory.

【0298】製造情報ブロック(Manufacture Informat
ion Block)には、図14を用いて説明したように、デ
バイスの固有情報としてのデバイスコード他が書き込ま
れる。この製造情報ブロック(Manufacture Informatio
n Block)に書き込まれた情報、あるいは書き込まれた
情報の一部、または書き込まれた情報に基づいて取得さ
れる演算データがデバイスの識別子(IDm)に相当す
る。
Manufacturing Information Block (Manufacture Informat
As described with reference to FIG. 14, a device code and the like as device-specific information are written in the ion block). This manufacturing information block (Manufacture Informatio
The information written in (n Block), a part of the written information, or operation data obtained based on the written information corresponds to the device identifier (IDm).

【0299】なお、図に示すデバイス鍵領域(Device K
ey Area)には Kauth_DEV_B :双方向個別鍵認証用共通
鍵、 MKauth_DEV_A :双方向個別鍵認証用マスター鍵が
格納されているが、これらの鍵は、デバイスが共通鍵認
証処理を行なう要請が無い場合は格納しない構成として
もよく、また、Kprt :パーティション登録チケット(P
RT)のMAC検証用鍵についても、デバイスが共通鍵
によるチケット検証処理を実行しない構成の場合には格
納しない構成としてもよい。
The device key area (Device K) shown in FIG.
ey Area) stores Kauth_DEV_B: a common key for two-way individual key authentication, and MKauth_DEV_A: a master key for two-way individual key authentication. These keys are used when there is no request for the device to perform a common key authentication process. May not be stored, and Kprt: partition registration ticket (P
The RT verification MAC key may not be stored if the device does not execute the ticket verification process using the common key.

【0300】また、IRL_DEV :排除デバイス(Device)
のデバイス識別子(ID)を登録したリボケーションリ
スト(Revocation List (Device ID))、CRL_DEV :排除
デバイス(Device)の公開鍵証明書識別子(ex.シリ
アルナンバ:SN)を登録したリボケーションリスト
(Revocation List (Certificate)についても、デバイ
ス発行時点でリボーク(排除)されたデバイスが存在し
ない場合、あるいは他のソースを使用してリボケーショ
ンリストを取得する構成とする場合には、リボケーショ
ンリストを格納しない構成としてもよい。
[0300] In addition, IRL_DEV: exclusion device (Device)
Revocation List (Device ID) in which the device identifier (ID) of the device is registered, CRL_DEV: Revocation List (Revocation) in which the public key certificate identifier (ex. Serial number: SN) of the excluded device (Device) is registered Regarding List (Certificate), if there is no revoked (excluded) device at the time of device issuance, or if the revocation list is acquired using another source, the revocation list is not stored. It may be configured.

【0301】[B3.2.デバイスマネージャ管理下に
おける公開鍵証明書発行処理]次に図42以下を用い
て、デバイスマネージャによるデバイス対応公開鍵証明
書の発行処理について説明する。デバイスには、デバイ
ス全体の認証、デバイスを単位とした処理に適用可能な
デバイス対応公開鍵証明書(CERT DEV)と、デ
バイス内の特定のパーティションに対する処理の際の認
証その他検証処理等に適用可能なパーティション対応公
開鍵証明書(CERT PAR)が格納され得る。パー
ティション対応公開鍵証明書(CERT PAR)は、
デバイスに設定されたパーティション毎に設定格納可能
である。
[B3.2. Issuing Process of Public Key Certificate Under Device Manager Management] Next, the issuing process of the device corresponding public key certificate by the device manager will be described with reference to FIG. For the device, it can be applied to the device-wide public key certificate (CERT DEV) applicable to the authentication of the entire device, the processing for each device, and the authentication and other verification processing for the processing for a specific partition in the device. A public key certificate corresponding to a partition (CERT PAR) can be stored. The public key certificate for partition (CERT PAR)
Settings can be stored for each partition set in the device.

【0302】デバイス対応公開鍵証明書(CERT D
EV)は、デバイスマネージャの管轄するメモリ領域で
あるデバイス鍵領域(Device Key Area)(図18参
照)に格納され、パーティション対応公開鍵証明書(C
ERT PAR)は、各パーティションマネージャの管
轄するメモリ領域であるパーティション鍵領域(Partit
ion Key Area)(図23参照)に格納される。
The device-compatible public key certificate (CERT D)
EV) is stored in a device key area (Device Key Area) (see FIG. 18), which is a memory area under the jurisdiction of the device manager.
ERT PAR) is a partition key area (Partit) which is a memory area under the control of each partition manager.
ion Key Area) (see FIG. 23).

【0303】デバイス対応公開鍵証明書(CERT D
EV)は、デバイスマネージャの管轄する登録局を介し
て認証局(CA for DM)(図2、図3参照)の発
行した公開鍵証明書をデバイスに付与する手続きにより
発行され、デバイスマネージャの管轄登録局が発行した
公開鍵証明書(CERT DEV)についての管理(デ
ータベース222(図7参照))を実行する。
The device-compatible public key certificate (CERT D)
The EV is issued by a procedure for giving a device a public key certificate issued by a certificate authority (CA for DM) (see FIGS. 2 and 3) via a registration authority under the jurisdiction of the device manager. The management of the public key certificate (CERT DEV) issued by the registration authority (database 222 (see FIG. 7)) is executed.

【0304】またパーティション対応公開鍵証明書(C
ERT PAR)は、パーティションマネージャの管轄
する登録局を介して認証局(CA for PM)(図
2、図3参照)の発行した公開鍵証明書をデバイスに付
与する手続きにより発行され、パーティションマネージ
ャの管轄登録局が発行した公開鍵証明書(CERT P
AR)についての管理(データベース332(図9参
照))を実行する。
Also, the partitioning public key certificate (C
The ERT PAR is issued by a procedure for giving a device a public key certificate issued by a certificate authority (CA for PM) (see FIGS. 2 and 3) through a registration authority under the jurisdiction of the partition manager. Public key certificate issued by the competent registration authority (CERT P
AR) (database 332 (see FIG. 9)).

【0305】図42および図43に従って、デバイスマ
ネージャの管轄登録局によるデバイスに対するデバイス
対応公開鍵証明書(CERT DEV)の発行処理の手
順を説明する。なお、デバイスマネージャの登録局(R
A)構成のみを取り出した発行装置(DM)、認証局
(CA)、ユーザデバイスとの関係を図44に示した。
図44に示すように制御手段221は暗号処理手段を有
する。なお暗号処理は暗号処理に関するプログラムを制
御部(CPU(図8の2111)の制御下において実行
することによって行われる。
Referring to FIGS. 42 and 43, a description will be given of a procedure for issuing a device-related public key certificate (CERT DEV) to a device by the registration authority of the device manager. Note that the registration bureau (R
A) FIG. 44 shows the relationship between the issuing device (DM), the certificate authority (CA), and the user device from which only the configuration is extracted.
As shown in FIG. 44, the control means 221 has an encryption processing means. The encryption process is performed by executing a program related to the encryption process under the control of the control unit (CPU (2111 in FIG. 8)).

【0306】図42,図43において、左側がデバイス
マネージャの管轄登録局のCERT(公開鍵証明書)発
行装置、具体的には、図7に示すデバイスマネージャの
構成図における制御手段221の処理、右側がデバイス
の処理である。
[0306] Figure 42, in FIG. 43, the left side CERT (public key certificate) jurisdiction registration station device manager issuing device, specifically, the processing of the control unit 221 in the configuration diagram of a device manager shown in FIG. 7, The right side is the processing of the device.

【0307】まずステップS351において、CERT
発行装置は、デバイス対応公開鍵証明書(CERT D
EV)の発行対象となるデバイスのユーザ情報を取得
し、証明書発行の許可(判定)を行ない発行対象となる
デバイスとの通信路を確保する。デバイス対応公開鍵証
明書(CERT DEV)の発行対象となるデバイスの
ユーザ情報は、例えばデバイスの初期登録時に生成した
データから取得可能である。また、別途、別経路にてユ
ーザの名前や住所、電話番号、e−mailアドレスな
どを取得するようにしてもよい。なお、ユーザ情報はデ
バイスとの通信路設定後、デバイスから取得してもよ
い。通信路は、有線、無線を問わずデータ送受信可能な
通信路として確保されればよい。
First, in step S351, CERT
The issuing device is a device-compatible public key certificate (CERT D
The user information of the device to which the EV is issued is acquired, the certificate issuance is permitted (determined), and a communication path with the device to be issued is secured. The user information of the device for which the device corresponding public key certificate (CERT DEV) is to be issued can be acquired, for example, from data generated at the time of initial registration of the device. Alternatively, the user's name, address, telephone number, e-mail address, and the like may be separately obtained through another route. Note that the user information may be acquired from the device after setting a communication path with the device. The communication path may be secured as a communication path capable of transmitting and receiving data regardless of whether it is wired or wireless.

【0308】次にCERT発行装置は、ステップS35
2において、乱数を含む認証データ生成コマンドをデバ
イスに対して送信する。認証データ生成コマンドを受信
(S361)したデバイスは、受信乱数Rと、デバイス
識別子(IDm)の結合データにデバイス秘密鍵(PR
I DEV)を適用してデジタル署名(S)の生成処理
(図12参照)を実行(S362)する。デバイスは、
デバイスの識別データ(IDm)と署名(S)をCER
T発行装置に送信する。
Next, the CERT issuing device proceeds to step S35
In step 2, an authentication data generation command including a random number is transmitted to the device. The device that has received the authentication data generation command (S361) adds the device secret key (PR) to the combined data of the received random number R and the device identifier (IDm).
A digital signature (S) generation process (see FIG. 12) is executed by applying IDEV) (S362). The device is
Device identification data (IDm) and signature (S)
Transmit to T issuing device.

【0309】デバイスから識別データ(IDm)と署名
(S)を受信(S353)したCERET発行装置は、
受信したデバイス識別データ(IDm)を検索キーとし
てデータベースDB(DEV)222から格納済みのデ
バイス公開鍵(PUB DEV)を取得する。さらに、
取得したデバイス公開鍵(PUB DEV)を適用して
署名(S)の検証処理(図13参照)を実行(S35
5)する。検証に成功しなかった場合は、デバイスから
の送信データは不正なデータであると判定し処理は終了
する。
[0309] Upon receiving the identification data (IDm) and the signature (S) from the device (S353), the CERET issuing device:
The stored device public key (PUB DEV) is acquired from the database DB (DEV) 222 using the received device identification data (IDm) as a search key. further,
The signature (S) is verified (see FIG. 13) by applying the obtained device public key (PUB DEV) (S35).
5) Do it. If the verification is not successful, it is determined that the data transmitted from the device is invalid data, and the process ends.

【0310】検証に成功した場合は、認証局(CA f
or DM)610に対してデバイス対応公開鍵証明書
(CERT DEV)の発行処理を依頼(S357)す
る。デバイスマネージャは認証局610の発行したデバ
イス対応公開鍵証明書(CERT DEV)を受信(S
358)してデバイスに送信(S359)する。
If the verification is successful, the certificate authority (CA f
or DM) 610 is requested to issue a device corresponding public key certificate (CERT DEV) (S357). The device manager receives the device corresponding public key certificate (CERT DEV) issued by the certificate authority 610 (S
358) and transmit it to the device (S359).

【0311】デバイスマネージャ(登録局)からデバイ
ス対応公開鍵証明書(CERT DEV)を受信したデ
バイスは、予めデバイス鍵領域に格納済みの認証局の公
開鍵(PUB CA(DEV))を用いて受信したデバ
イス対応公開鍵証明書(CERT DEV)の署名検証
を実行する。すなわち公開鍵証明書には認証局の秘密鍵
で実行された署名があり(図11参照)、この署名検証
(S366)を行なう。
The device that has received the device-related public key certificate (CERT DEV) from the device manager (registration authority) receives the certificate using the certificate authority's public key (PUB CA (DEV)) stored in the device key area in advance. The signature verification of the obtained device-compatible public key certificate (CERT DEV) is executed. That is, the public key certificate has a signature executed with the private key of the certificate authority (see FIG. 11), and the signature is verified (S366).

【0312】署名検証に失敗した場合は、正当な公開鍵
証明書でないと判定し、エラー通知をCERT発行装置
に対して実行(S385)する。
If the signature verification fails, it is determined that the certificate is not a valid public key certificate, and an error notification is issued to the CERT issuing device (S385).

【0313】署名検証に成功した場合は、デバイス対応
公開鍵証明書(CERT DEV)に格納されたデバイ
ス公開鍵(PUB DEV)と自デバイスに保管された
デバイス公開鍵(PUB DEV)の比較を実行(S3
82)し、一致しない場合はエラー通知を実行し、一致
した場合は、受信したデバイス対応公開鍵証明書(CE
RT DEV)をデバイス鍵領域(図18参照)に格納
(S383)する。なお、デバイス対応公開鍵証明書
(CERT DEV)の発行以前は、この領域に自デバ
イスで生成した公開鍵(PUB DEV)を格納し、正
当なデバイス対応公開鍵証明書(CERT DEV)が
発行された時点で、デバイス対応公開鍵証明書(CER
T DEV)により上書きする処理として格納する。
If the signature verification is successful, the device public key (PUB DEV) stored in the device corresponding public key certificate (CERT DEV) is compared with the device public key (PUB DEV) stored in the own device. (S3
82) If they do not match, an error notification is executed. If they match, the received device-compatible public key certificate (CE
RT DEV) is stored in the device key area (see FIG. 18) (S383). Prior to the issuance of the device corresponding public key certificate (CERT DEV), the public key (PUB DEV) generated by the own device is stored in this area, and the valid device corresponding public key certificate (CERT DEV) is issued. At that point, the device-compatible public key certificate (CER
TDEV) to store the information.

【0314】デバイス対応公開鍵証明書(CERT D
EV)の格納が終了すると格納処理終了通知をCERT
発行装置に送信(S384)する。CERT発行装置
は、格納処理終了通知を受信(S371)し、格納成功
を確認(S372)して処理を終了する。格納成功の確
認が得られない場合はエラーとして処理が終了する。
The device-compatible public key certificate (CERT D)
When the storage of the EV) is completed, the storage processing end notification is issued by the CERT.
The data is transmitted to the issuing device (S384). The CERT issuing device receives the storage processing end notification (S371), confirms the storage success (S372), and ends the processing. If the storage success cannot be confirmed, the process ends as an error.

【0315】図45にデバイス対応公開鍵証明書(CE
RT DEV)の発行処理において、デバイスマネージ
ャ200、デバイス100、認証局(CA)610各エ
ンティテイ間のデータ送受信処理について説明した図を
示す。
FIG. 45 shows a device-specific public key certificate (CE
FIG. 4 is a diagram illustrating a data transmission / reception process between the device manager 200, the device 100, and each entity of the certificate authority (CA) 610 in the issuance process of the RT DEV.

【0316】図45中のNo.1〜14の順に処理が実
行される。なお、処理No.1のデバイスマネージャ2
00によるデバイス100からのデバイス識別子(ID
m)、デバイス公開鍵(PUB DEV)の取得処理、
および処理No.2のデバイス識別子(IDm)の登録
処理はデバイスマネージャによる初期登録において実行
される処理である。
No. in FIG. The processing is executed in the order of 1 to 14. The processing No. 1 device manager 2
00 from the device 100 (ID
m), device public key (PUB DEV) acquisition processing,
And process No. The registration process of the device identifier (IDm) 2 is a process executed in the initial registration by the device manager.

【0317】デバイス対応公開鍵証明書(CERT D
EV)の発行手続きは、処理No.3からであり、3.
デバイスマネージャによるデバイスからの顧客情報取
得、4.顧客情報の登録(登録済みである場合は不
要)、5.デバイスからのデバイス識別子(IDm)取
得、6.取得したデバイス識別子(IDm)にもとつい
てデータベース検索を実行して対応の公開鍵(PUB
DEV)を取得、7.デバイスとデバイスマネージャ間
における認証処理、この処理は図42、図43の処理に
おいては省略されていたが、図42、図43においては
デバイスからのデバイス識別子(IDm)取得の際に署
名検証を実行しており、通信相手の送信データの確認に
より、認証を省略した。図42、図43における署名検
証、図45の認証の少なくともいずれか、またはいずれ
をも実行することが望ましい。なお、認証処理の詳細に
ついては、後段のB.4.パーティションマネージャの
管轄処理の項目で説明する。
A public key certificate corresponding to a device (CERT D)
EV) issuance procedure, the processing No. From 3.
3. Acquisition of customer information from the device by the device manager; 4. Registration of customer information (not required if already registered); 5. acquisition of a device identifier (IDm) from the device; Based on the obtained device identifier (IDm), a database search is executed to execute a corresponding public key (PUB).
DEV), 7. Authentication processing between the device and the device manager. This processing is omitted in the processing in FIGS. 42 and 43, but in FIGS. 42 and 43, signature verification is executed when a device identifier (IDm) is obtained from the device. Authentication was omitted by confirming the transmission data of the communication partner. It is desirable to execute at least one or both of the signature verification in FIGS. 42 and 43 and the authentication in FIG. Note that the details of the authentication process are described in B.2 below. 4. This will be described in the section of the jurisdiction process of the partition manager.

【0318】8.デバイスマネージャから認証局に対す
るデバイス対応公開鍵証明書の発行要求、9.デバイス
対応公開鍵証明書(CERT DEV)の生成、10.
認証局における生成公開鍵証明書のデータ登録、11.
認証局(CA)610からデバイスマネージャ200に
対する公開鍵証明書の配布、12.デバイスマネージャ
のデータベース更新(公開鍵証明書発行情報登録)、1
3.デバイスマネージャからデバイスに対するデバイス
対応公開鍵証明書(CERT DEV)の送信、14.
デバイスにおけるデバイス対応公開鍵証明書(CERT
DEV)の保存、保存は、前述したようにデバイス鍵
領域に書き込み保存される。
[0318] 8. 8. A request from the device manager to the certificate authority to issue a device-related public key certificate; 9. Generation of device-compatible public key certificate (CERT DEV);
10. Data registration of the generated public key certificate in the certificate authority,
11. Distribution of a public key certificate from a certificate authority (CA) 610 to the device manager 200; Update device manager database (register public key certificate issuance information), 1
3. 13. transmission of a device-compatible public key certificate (CERT DEV) from the device manager to the device;
Public key certificate for devices (CERT
DEV) is written and stored in the device key area as described above.

【0319】以上の処理により、デバイスは、デバイス
対応公開鍵証明書(CERT DEV)を取得し、メモ
リ部に格納する。このデバイス対応公開鍵証明書(CE
RTDEV)をメモリのデバイス鍵格納領域に格納した
後のメモリの各ブロックのデータ格納構成を図46に示
す。図46は、先に図6、図14乃至図18を用いて説
明した製造情報ブロック(Manufacture Information Bl
ock)、デバイス管理情報ブロック(Device Management
Information Block)、公開鍵系デバイス鍵定義(Devi
ce Key Definition Block(PUB))、共通鍵系デバイス鍵
定義ブロック(Device Key Definition Block(Commo
n))、デバイス鍵領域(Device Key Area)を示すもの
である。この時点では、メモリにパーティションは形成
されていない。
[0319] Through the above processing, the device obtains the device corresponding public key certificate (CERT DEV) and stores it in the memory unit. This device-compatible public key certificate (CE
FIG. 46 shows a data storage configuration of each block of the memory after storing the (RTDEV) in the device key storage area of the memory. FIG. 46 shows the manufacturing information block (Manufacture Information Bl) described with reference to FIG. 6 and FIGS.
ock), Device Management Information Block (Device Management
Information Block), public key device key definition (Devi
ce Key Definition Block (PUB)), Device Key Definition Block (Commo
n)), indicating a device key area. At this point, no partitions have been formed in the memory.

【0320】図46に示すデバイス鍵領域(Device Key
Area)にはデバイス対応公開鍵証明書(CERT DE
V)が格納される。デバイス対応公開鍵証明書(CER
TDEV)の発行前には、この領域には、デバイスが生
成した公開鍵(PUB DEV)が格納され、デバイス
対応公開鍵証明書(CERT DEV)を受信すると、
デバイス対応公開鍵証明書(CERT DEV)によっ
て上書き処理がなされる。なお、この上書き処理により
ポインタ、サイズ、管理データがある場合は必要な変更
処理を実行する。
A device key area (Device Key area) shown in FIG.
Area) contains a device-compatible public key certificate (CERT DE
V) is stored. Public key certificate for device (CER)
Before the issuance of a TDEV, a public key (PUB DEV) generated by the device is stored in this area. When a public key certificate for a device (CERT DEV) is received,
An overwrite process is performed using a device-compatible public key certificate (CERT DEV). If there are pointers, sizes, and management data due to this overwriting process, necessary change processes are executed.

【0321】[B4.パーティションマネージャの管轄
処理]次に、パーティションマネージャの管轄処理につ
いて説明する。ここでは、デバイスの使用開始以前に実
行される処理について説明する。デバイスの使用開始以
前に実行されるパーティションマネージャの処理として
は、デバイスのメモリ部にパーティションを設定する処
理と、デバイスに対してパーティション対応公開鍵証明
書(CERT PAR)を発行する処理がある。以下、
これらの処理の詳細について説明する。パーティション
を設定する処理には、デバイスとパーティションマネー
ジャ間における相互認証処理(デバイス認証またはパー
ティション認証)、パーティション登録チケット(PR
T:Partition Registration Ticket)の正当性検証処
理が含まれる。なお、パーティションの削除処理につい
ても基本的にパーティション作成と同様の手続きに従っ
て実行可能であるので併せて説明する。
[B4. Jurisdiction Processing of Partition Manager] Next, jurisdiction processing of the partition manager will be described. Here, a process that is executed before the use of the device is started will be described. The processing of the partition manager executed before the start of use of the device includes a process of setting a partition in the memory unit of the device and a process of issuing a partition corresponding public key certificate (CERT PAR) to the device. Less than,
The details of these processes will be described. The process of setting a partition includes a mutual authentication process (device authentication or partition authentication) between the device and the partition manager, a partition registration ticket (PR
T: Partition Registration Ticket). The processing for deleting a partition can be basically executed according to the same procedure as that for creating a partition.

【0322】[B4.1.パーティションマネージャ管
理下におけるパーティション登録チケット(PRT)を
利用したパーティション設定登録、削除処理]まず、パ
ーティション登録チケット(PRT)(図26参照)を
利用したパーティション設定登録、削除処理について説
明する。図47以下のフロー他の図面を参照して説明す
る。なお、上述のように、パーティション設定処理に
は、デバイスとパーティションマネージャ間における相
互認証処理(デバイス認証またはパーティション認
証)、パーティション登録チケット(PRT:Partitio
n Registration Ticket)の正当性検証処理が含まれ、
これらの処理についても説明する。
[B4.1. Partition Setting Registration and Deletion Processing Using Partition Registration Ticket (PRT) Under Partition Manager Management] First, the partition setting registration and deletion processing using the partition registration ticket (PRT) (see FIG. 26) will be described. The flow of FIG. 47 and subsequent drawings will be described with reference to other drawings. As described above, the partition setting process includes a mutual authentication process (device authentication or partition authentication) between the device and the partition manager, a partition registration ticket (PRT: Partitio).
n Registration Ticket).
These processes will also be described.

【0323】図47に示すパーティション設定登録、削
除処理フローについて説明する。図47において、左側
がパーティションマネージャのパーティション作成・削
除装置、右側がデバイス(図5参照)の処理を示す。な
お、パーティションマネージャのパーティション作成・
削除装置は、デバイスに対するデータ読み取り書き込み
処理可能な装置(ex.デバイスアクセス機器としての
リーダライタ、PC)であり、図10のデバイスアクセ
ス機器としてのリーダライタに相当する。まず、図47
を用いて、パーティション作成、削除処理の概要を説明
し、その後、当処理に含まれる各処理の詳細を図48以
下のフローを用いて順次説明する。
The partition setting registration / deletion processing flow shown in FIG. 47 will be described. In FIG. 47, the left side shows the processing of the partition creation / deletion device of the partition manager, and the right side shows the processing of the device (see FIG. 5). Note that the partition manager
The deletion device is a device (ex. A reader / writer as a device access device, a PC) that can perform data read / write processing on the device, and corresponds to the reader / writer as the device access device in FIG. First, FIG.
, An outline of the partition creation / deletion processing will be described, and then details of each processing included in this processing will be sequentially described using the flow of FIG. 48 and subsequent figures.

【0324】まず、図47のステップS401とS41
0において、パーティション作成・削除装置とデバイス
間での相互認証処理が実行される。データ送受信を実行
する2つの手段間では、相互に相手が正しいデータ通信
者であるか否かを確認して、その後に必要なデータ転送
を行なうことが行われる。相手が正しいデータ通信者で
あるか否かの確認処理が相互認証処理である。相互認証
処理時にセッション鍵の生成を実行して、生成したセッ
ション鍵を共有鍵として暗号化処理を実行してデータ送
信を行なう構成が1つの好ましいデータ転送方式であ
る。
First, steps S401 and S41 in FIG.
At 0, a mutual authentication process is performed between the partition creation / deletion device and the device. The two means for executing data transmission / reception mutually confirm whether or not the other party is a correct data communicator, and thereafter perform necessary data transfer. The process of confirming whether the other party is the correct data communicator is the mutual authentication process. One preferable data transfer method is to generate a session key during the mutual authentication process, and to perform data transmission by performing an encryption process using the generated session key as a shared key.

【0325】本発明のシステムにおける相互認証処理で
は、デバイス認証またはパーティション認証のいずれか
が実行される。また、それぞれについて共通鍵方式認
証、あるいは公開鍵方式認証処理のいずれかが適用され
る。これらについては後述する。
In the mutual authentication processing in the system of the present invention, either device authentication or partition authentication is executed. Either common key authentication or public key authentication is applied to each of them. These will be described later.

【0326】なお、相互認証処理として実行すべき処理
は、適用するパーティション登録チケット(PRT)
(図26参照)の * Authentication Flag :チケット(Ticket)の利用処
理においてデバイス(Device)との相互認証が必要か否
かを示すフラグ * Authentication Type :デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any)) によって決定される。
The processing to be executed as the mutual authentication processing is the partition registration ticket (PRT) to be applied.
(See FIG. 26) * Authentication Flag: A flag indicating whether or not mutual authentication with the device is necessary in the use process of the ticket (Ticket) * Authentication Type: Type of mutual authentication of the device (public key) Authentication, or symmetric key authentication, or any (Any).

【0327】認証処理に失敗した場合(S402,S4
11でNo)は、相互が正当な機器、デバイスであるこ
との確認がとれないことを示し、以下の処理は実行され
ずエラーとして処理は終了する。
When the authentication processing has failed (S402, S4
No in 11) indicates that it is not possible to confirm that they are valid devices and devices, and the following processing is not executed and the processing ends as an error.

【0328】認証処理に成功すると、パーティション作
成・削除装置は、デバイスに対してパーティション登録
チケット(PRT:Partition Registration Ticket)
を送信する。パーティション登録チケット(PRT)
は、パーティションマネージャの要求により、デバイス
マネージャの管理するパーティション登録チケット(P
RT)発行手段(PRT Issuer)によりパーティションマ
ネージャに対して発行されるチケットである。パーティ
ション登録チケット(PRT)は、デバイスに対するア
クセス制御チケットであり、先に説明した図26のデー
タフォーマット構成を持つチケットである。
If the authentication process is successful, the partition creation / deletion device sends a partition registration ticket (PRT) to the device.
Send Partition registration ticket (PRT)
Is a partition registration ticket (P) managed by the device manager at the request of the partition manager.
RT) A ticket issued to the partition manager by the issuance means (PRT Issuer). The partition registration ticket (PRT) is an access control ticket for the device, and has the data format configuration of FIG. 26 described above.

【0329】なお、パーティション登録チケット(PR
T)を、チケットユーザに対して送信する際には、公開
鍵方式の場合、パーティション登録チケット(PRT)
発行手段(PRT Issuer)の公開鍵証明書(CERT_PRTI)
も一緒に送信する。PRT発行手段の公開鍵証明書(CE
RT_PRTI)の属性(Attribute)は、パーティション登録
チケット(PRT)発行手段(PRT User)の識別子
(PRTIC)と一致する。
The partition registration ticket (PR
T) to the ticket user, in the case of the public key method, a partition registration ticket (PRT)
Public key certificate (CERT_PRTI) of issuing means (PRT Issuer)
Also send it together. Public key certificate (CE
The attribute (RT_PRTI) is the identifier of the partition registration ticket (PRT) issuing means (PRT User)
(PRTIC).

【0330】パーティション登録チケット(PRT)を
受信(S412)したデバイスは、受信したチケット
(PRT)の正当性と利用者チェック処理を実行(S4
13)する。チケットの正当性の検証処理は、共通鍵方
式によるMAC検証、あるいは公開鍵方式による署名検
証処理のいずれかを適用して実行される。利用者チェッ
クは、チケットを送信してきた機器(チケット利用者)
の正当性をチェックする処理であり、相互認証が成立済
みであり、認証相手の識別データと、チケットに記録さ
れているチケットユーザ識別子(図26参照)との一致
等を検証する処理として実行される。これらの処理の詳
細については後述する。
The device which has received the partition registration ticket (PRT) (S412) executes the validity of the received ticket (PRT) and the user check processing (S4).
13). The processing for verifying the validity of the ticket is executed by applying either MAC verification using a common key method or signature verification processing using a public key method. User check is the device that sent the ticket (ticket user)
This is a process for checking the validity of the ticket, and is executed as a process for verifying a match between the identification data of the authentication partner and the ticket user identifier (see FIG. 26) recorded on the ticket, etc., when mutual authentication has been established. You. Details of these processes will be described later.

【0331】デバイスにおいて、受信チケット(PR
T)の正当性と利用者チェック処理の結果、チケットお
よび利用者の正当なことが確認できなかった場合(S4
14でNo)は、パーティション登録チケット(PR
T)受理エラーをパーティション作成・削除装置に通知
(S418)する。チケットおよび利用者の正当なこと
が確認できた場合(S414でYes)は、受信したパ
ーティション登録チケット(PRT)に記述されたルー
ルに従いデバイス内のメモリ部におけるパーティション
の生成、または削除処理を実行する。この処理の詳細に
ついても別フローを用いて後段で詳述する。
In the device, the reception ticket (PR
T) If the validity of the ticket and the user cannot be confirmed as a result of the user check processing (S4)
14 is a partition registration ticket (PR
T) Notify the partition creation / deletion device of the reception error (S418). If the ticket and the validity of the user can be confirmed (Yes in S414), a process of creating or deleting a partition in the memory unit in the device is executed in accordance with the rules described in the received partition registration ticket (PRT). . The details of this processing will be described later using another flow.

【0332】パーティション登録チケット(PRT)の
記述に従って、パーティションの生成または削除処理に
成功(S416でYes)すると、PRT受理成功をパ
ーティション作成・削除装置に通知(S417)する。
一方、パーティションの生成または削除処理に失敗(S
416でNo)した場合は、PRT受理エラーをパーテ
ィション作成・削除装置に通知(S418)する。
According to the description of the partition registration ticket (PRT), when the partition generation or deletion processing is successful (Yes in S416), the PRT reception success is notified to the partition creation / deletion device (S417).
On the other hand, the creation or deletion of the partition failed (S
If No at 416), a PRT reception error is notified to the partition creation / deletion device (S418).

【0333】パーティション作成・削除装置は、PRT
受理結果を受信(S404)し、PRT処理結果を判定
し、PRT受理結果がエラーである場合(S405でN
o)は、エラーとして処理を終了し、PRT受理結果が
成功(S405でYes)であり、処理がパーティショ
ン生成である場合はパーティション初期データの書き込
み処理(S406,S419)を実行する。初期データ
の書き込み処理については、後段で別フローを用いて詳
述する。パーティション初期データの書き込み処理が終
了した場合、およびPRT受理結果が成功(S405で
Yes)であり、処理がパーティション削除である場合
はセッションクリアコマンドの送受信(S407,S4
20)を実行し、デバイス側に生成した認証ーブルを破
棄(S421)し、処理を終了する。認証テーブルは、
ステップS401,S410の相互認証処理において生
成されるテーブルであり、その詳細は後述する。
The partition creation / deletion device is PRT
The reception result is received (S404), the PRT processing result is determined, and if the PRT reception result is an error (N in S405)
In o), the process ends as an error, the PRT reception result is successful (Yes in S405), and if the process is partition generation, the partition initial data write process (S406, S419) is executed. The initial data write processing will be described later in detail using another flow. When the process of writing the partition initial data is completed, and when the result of the PRT reception is successful (Yes in S405) and the process is to delete the partition, the session clear command is transmitted and received (S407, S4).
20) is executed, the authentication table generated on the device side is discarded (S421), and the process ends. The authentication table is
This is a table generated in the mutual authentication processing in steps S401 and S410, the details of which will be described later.

【0334】このようにパーティション登録チケット
(PRT)を利用して、デバイス内に新たなパーティシ
ョンの生成、または生成済みのパーティションの削除が
実行される。以下、当処理に含まれる相互認証処理(S
401,S410)、チケットの正当性と利用者チェッ
ク(S413)、パーティションの生成、削除処理(S
415)、パーティション初期データ書き込み処理(S
406,S419)の各処理について詳述する。
As described above, using the partition registration ticket (PRT), a new partition is created in the device, or a created partition is deleted. Hereinafter, the mutual authentication process (S
401, S410), ticket validity and user check (S413), partition generation and deletion processing (S
415), partition initial data write processing (S
406, S419) will be described in detail.

【0335】(相互認証処理)図47のステップS40
1,S410において実行される相互認証処理について
説明する。なお、以下に説明する相互認証処理は、他の
チケット、すなわちファイル登録チケット(FRT:Fi
le Registration Ticket)、サービス許可チケット(S
PT:Service Permission Ticket)、データアップデ
ートチケット(DUT:Data Update Ticket)を使用し
たデバイスアクセス処理においても適宜必要に応じて行
われる処理である。
(Mutual Authentication Processing) Step S40 in FIG.
1, the mutual authentication process executed in S410 will be described. The mutual authentication process described below is performed for another ticket, that is, a file registration ticket (FRT: Fi
le Registration Ticket), service permission ticket (S
The device access process using a PT (Service Permission Ticket) and a data update ticket (DUT: Data Update Ticket) is also performed as needed.

【0336】相互認証処理の処理フローを図48に示
す。図48において、左側がパーティションマネージャ
の認証装置、右側がデバイス(図5参照)の処理を示
す。なお、パーティションマネージャの認証装置は、デ
バイスに対するデータ読み取り書き込み処理可能な装置
(ex.デバイスアクセス機器としてのリーダライタ、
PC)であり、図10のリーダライタに相当する構成を
有する。
FIG. 48 shows a processing flow of the mutual authentication processing. In FIG. 48, the left side shows the processing of the authentication device of the partition manager, and the right side shows the processing of the device (see FIG. 5). Note that the authentication device of the partition manager is a device that can perform data read / write processing on the device (ex.
PC) having a configuration corresponding to the reader / writer in FIG.

【0337】図48のステップS431において、認証
装置は、パーティション登録チケット(PRT)の利用
に必要な認証方式をチケットから読み出して決定する。
なお、認証態様は、チケット記載の認証方式に限らず、
例えばアクセス機器(ex.リーダライタ)からの指定
された方式に従ってデバイス認証、パーティション認証
を決定してもよい。
In step S431 of FIG. 48, the authentication device reads an authentication method required for using the partition registration ticket (PRT) from the ticket and determines the authentication method.
The authentication mode is not limited to the authentication method described in the ticket.
For example, device authentication and partition authentication may be determined according to a method specified by an access device (ex. Reader / writer).

【0338】決定した認証方式をA(1)〜A(n)と
する。パーティション登録チケット(PRT)を適用し
たパーティションの設定登録、あるいは削除処理におい
ては様々な認証処理態様が設定される。例えばパーティ
ションの設定登録についてはデバイスを対象とするデバ
イス認証を必要とし、パーティション削除の場合にはデ
バイス認証と削除対象となるパーティション認証の双方
を必要とするなどである。このように処理に応じていず
れか一方の認証、または両者の認証を必要とする設定を
パーティション登録チケット(PRT)に記述すること
ができる。PRT利用処理において必要とする認証方式
については、パーティション登録チケット(PRT)の
[Authentication Type]に記述され、認証装置は、パ
ーティション登録チケット(PRT)の利用に必要な認
証方式をチケットから読み出して決定し、認証処理手順
をA(i):A(1)〜A(n)として定義する。
The determined authentication methods are A (1) to A (n). Various authentication processing modes are set in the setting registration or deletion processing of the partition to which the partition registration ticket (PRT) is applied. For example, setting and registering a partition requires device authentication for a device, and deleting a partition requires both device authentication and partition authentication to be deleted. In this way, a setting that requires authentication of either one or both can be described in the partition registration ticket (PRT) according to the processing. The authentication method required in the PRT use processing is described in [Authentication Type] of the partition registration ticket (PRT), and the authentication apparatus reads out the authentication method required for using the partition registration ticket (PRT) from the ticket and determines the authentication method. Then, the authentication processing procedure is defined as A (i): A (1) to A (n).

【0339】ステップS432において、最初の認証処
理方式A(1)を読み出し、A(1)の認証方式がデバ
イス認証、パーティション認証であるかについて判別
(S433)し、デバイス認証であればデバイス認証を
実行(S434,S441)し、パーティション認証で
あればパーティション認証を実行(S435,S44
2)する。デバイスとの認証処理の結果、認証が成功し
ない場合は、エラーとして処理を終了する。認証が成功
した場合は、ステップS437においてiをインクリメ
ントしてステップS433に戻り、次の認証方式を判別
して、方式に従って認証を実行する。これらの処理をA
(1)〜A(n)まで実行して、全ての認証が成功した
場合に次のステップに進む。
In step S432, the first authentication processing method A (1) is read, and it is determined whether the authentication method of A (1) is device authentication or partition authentication (S433). Execute (S434, S441), and execute partition authentication if it is partition authentication (S435, S44).
2) Do it. As a result of the authentication processing with the device, if the authentication is not successful, the processing ends as an error. If the authentication is successful, i is incremented in step S437, and the process returns to step S433, where the next authentication method is determined, and the authentication is executed according to the method. These processes are called A
The steps from (1) to A (n) are executed, and if all the authentications succeed, the process proceeds to the next step.

【0340】デバイス認証処理について図49のフロー
に従って説明する。図49において、左側がパーティシ
ョンマネージャのデバイス認証装置、右側がデバイス
(図5参照)の処理を示す。なお、パーティションマネ
ージャのデバイス認証装置は、デバイスに対するデータ
読み取り書き込み処理可能な装置(ex.デバイスアク
セス機器としてのリーダライタ、PC)であり、図10
のデバイスアクセス機器としてのリーダライタに相当す
る構成を有する。
The device authentication processing will be described with reference to the flow shown in FIG. In FIG. 49, the left side shows the processing of the device authentication device of the partition manager, and the right side shows the processing of the device (see FIG. 5). The device authentication device of the partition manager is a device (ex. A reader / writer as a device access device, a PC) capable of reading and writing data to and from the device.
Has a configuration corresponding to a reader / writer as a device access device.

【0341】デバイス認証装置は、ステップS451に
おいて、パーティション登録チケット(PRT)に基づ
いてデバイス認証処理に公開鍵を用いた公開鍵認証方式
を適用するか否かを判定する。デバイス認証は、公開鍵
方式または共通鍵方式のいずれかにおいて実行され、チ
ケットにその実行方式についての指定が記述されてい
る。
In step S451, the device authentication device determines whether a public key authentication scheme using a public key is applied to device authentication processing based on the partition registration ticket (PRT). The device authentication is executed by either the public key method or the common key method, and the specification of the execution method is described in the ticket.

【0342】共通鍵方式の指定がある場合は、図49の
ステップS452〜S455、S461〜S465の処
理は実行されず、ステップS456に進む。公開鍵方式
の指定である場合は、デバイス認証装置は、ステップS
452において公開鍵デバイス認証開始コマンドをデバ
イスに送信する。デバイスは、コマンドを受信(S46
1)すると、デバイスのメモリ部の公開鍵系デバイス鍵
定義ブロック(図16参照)を参照して、デバイス対応
公開鍵証明書(CERT DEV)が格納されているか
否かを検証(S462)する。デバイス対応公開鍵証明
書(CERTDEV)が格納されていない場合は、公開
鍵方式の相互認証は実行できず、エラーと判定され処理
は終了される。
If the common key method is specified, the processing in steps S452 to S455 and S461 to S465 in FIG. 49 is not executed, and the flow advances to step S456. If the public key method is specified, the device authentication device proceeds to step S
At 452, a public key device authentication start command is transmitted to the device. The device receives the command (S46).
1) Then, referring to the public key device key definition block (see FIG. 16) in the memory section of the device, it is verified whether or not the device corresponding public key certificate (CERT DEV) is stored (S462). If the device-compatible public key certificate (CERTDEV) is not stored, mutual authentication using the public key method cannot be executed, and it is determined that an error has occurred, and the process ends.

【0343】デバイス対応公開鍵証明書(CERT D
EV)が格納されていることが確認されると、ステップ
S453、S463において、デバイスマネージャ対応
認証局(CA(DEV))の発行した公開鍵証明書を用
いた相互認証および鍵共有処理が実行される。
A public key certificate corresponding to a device (CERT D)
When it is confirmed that the EV is stored, in steps S453 and S463, mutual authentication and key sharing processing using a public key certificate issued by a device manager compatible certificate authority (CA (DEV)) are executed. You.

【0344】公開鍵方式による相互認証および鍵共有処
理について、図50を用いて説明する。図50は、公開
鍵暗号方式である160ビット長の楕円曲線暗号(EC
C)を用いた相互認証シーケンスを示している。図50
では、公開鍵暗号方式としてECCを用いているが、公
開鍵暗号方式の他方式を適用することも可能である。ま
た、鍵サイズも160ビットでなくてもよい。図50に
おいて、まずBが、64ビットの乱数Rbを生成し、A
に送信する。これを受信したAは、新たに64ビットの
乱数Raおよび標数pより小さい乱数Akを生成する。
そして、ベースポイントGをAk倍した点Av=Ak×
Gを求め、Ra、Rb、Av(X座標とY座標)に対する
電子署名A.Sigを生成し、Aの公開鍵証明書ととも
にBに返送する。ここで、RaおよびRbはそれぞれ6
4ビット、AvのX座標とY座標がそれぞれ160ビッ
トであるので、合計448ビットに対する電子署名を生
成する。
The mutual authentication and key sharing processing by the public key method will be described with reference to FIG. FIG. 50 shows a 160-bit elliptic curve cryptosystem (EC
5 shows a mutual authentication sequence using C). FIG.
Although ECC is used as a public key cryptosystem in this embodiment, other systems than the public key cryptosystem can be applied. Also, the key size need not be 160 bits. In FIG. 50, B first generates a 64-bit random number Rb.
Send to Upon receiving this, A newly generates a 64-bit random number Ra and a random number Ak smaller than the characteristic p.
Then, a point Av = Ak × obtained by multiplying the base point G by Ak.
G is obtained, and a digital signature A.G for Ra, Rb, Av (X coordinate and Y coordinate) is obtained. Generate Sig and send it back to B along with A's public key certificate. Here, Ra and Rb are each 6
Since the X coordinate and the Y coordinate of the Av are 4 bits and the X coordinate and the Y coordinate of the Av are 160 bits, an electronic signature for a total of 448 bits is generated.

【0345】公開鍵証明書を利用する際には、利用者は
自己が保持する公開鍵証明書発行局(CA)の公開鍵を
用い、当該公開鍵証明書の電子署名を検証し、電子署名
の検証に成功した後に公開鍵証明書から公開鍵を取り出
し、当該公開鍵を利用する。従って、公開鍵証明書を利
用する全ての利用者は、共通の公開鍵証明書発行局(C
A)の公開鍵を保持している必要がある。なお、電子署
名の検証方法については、図13で説明したのでその詳
細は省略する。
When using the public key certificate, the user verifies the electronic signature of the public key certificate by using the public key of the public key certificate authority (CA) held by the user, and After successful verification of the public key, the public key is extracted from the public key certificate, and the public key is used. Therefore, all users who use the public key certificate have a common public key certificate issuing authority (C
It is necessary to hold the public key of A). The method of verifying the digital signature has been described with reference to FIG.

【0346】Aの公開鍵証明書、Ra、Rb、Av、電
子署名A.Sigを受信したBは、Aが送信してきたR
bが、Bが生成したものと一致するか検証する。その結
果、一致していた場合には、Aの公開鍵証明書内の電子
署名を認証局の公開鍵で検証し、Aの公開鍵を取り出
す。そして、取り出したAの公開鍵を用い電子署名A.
Sigを検証する。電子署名の検証に成功した後、Bは
Aを正当なものとして認証する。
[0346] public key certificate of A, Ra, Rb, Av, electronic signature A. B that has received Sig, R that A has transmitted
Verify that b matches the one generated by B. As a result, if they match, the electronic signature in the public key certificate of A is verified with the public key of the certificate authority, and the public key of A is extracted. Then, using the public key of the extracted A, the digital signature A.
Verify Sig. After successfully verifying the electronic signature, B authenticates A as valid.

【0347】次に、Bは、標数pより小さい乱数Bkを
生成する。そして、ベースポイントGをBk倍した点B
v=Bk×Gを求め、Rb、Ra、Bv(X座標とY座
標)に対する電子署名B.Sigを生成し、Bの公開鍵
証明書とともにAに返送する。
Next, B generates a random number Bk smaller than the characteristic p. And the point B obtained by multiplying the base point G by Bk
v = Bk × G, and a digital signature B.V. for Rb, Ra, Bv (X coordinate and Y coordinate). Generate Sig and send it back to A along with B's public key certificate.

【0348】Bの公開鍵証明書、Rb、Ra、Bv、電
子署名B.Sigを受信したAは、Bが送信してきたR
aが、Aが生成したものと一致するか検証する。その結
果、一致していた場合には、Bの公開鍵証明書内の電子
署名を認証局の公開鍵で検証し、Bの公開鍵を取り出
す。そして、取り出したBの公開鍵を用い電子署名B.
Sigを検証する。電子署名の検証に成功した後、Aは
Bを正当なものとして認証する。
B public key certificate, Rb, Ra, Bv, digital signature A that has received Sig, R that B has transmitted
Verify that a matches the one generated by A. As a result, if they match, the electronic signature in B's public key certificate is verified with the public key of the certificate authority, and B's public key is extracted. Then, using the public key of B, the digital signature B.
Verify Sig. After successfully verifying the electronic signature, A authenticates B as valid.

【0349】両者が認証に成功した場合には、BはBk
×Av(Bkは乱数だが、Avは楕円曲線上の点である
ため、楕円曲線上の点のスカラー倍計算が必要)を計算
し、AはAk×Bvを計算し、これら点のX座標の下位
64ビットをセッション鍵として以降の通信に使用する
(共通鍵暗号を64ビット鍵長の共通鍵暗号とした場
合)。もちろん、Y座標からセッション鍵を生成しても
よいし、下位64ビットでなくてもよい。なお、相互認
証後の秘密通信においては、送信データはセッション鍵
で暗号化されるだけでなく、電子署名も付されることが
ある。
If both are successfully authenticated, B becomes Bk
XAv (Bk is a random number, but Av is a point on an elliptic curve, so a scalar multiplication of a point on the elliptic curve is required), A calculates Ak × Bv, and calculates the X coordinate of these points The lower 64 bits are used as a session key for subsequent communication (when the common key encryption is a 64-bit key length common key encryption). Of course, the session key may be generated from the Y coordinate, and may not be the lower 64 bits. In the secret communication after the mutual authentication, the transmission data may not only be encrypted with the session key but also may be digitally signed.

【0350】電子署名の検証や受信データの検証の際
に、不正、不一致が見つかった場合には、相互認証が失
敗したものとして処理を中断する。
In the verification of the electronic signature and the verification of the received data, if an invalid or inconsistent is found, the processing is interrupted assuming that the mutual authentication has failed.

【0351】このような相互認証処理において、生成し
たセッション鍵を用いて、送信データを暗号化して、相
互にデータ通信を実行する。
In such a mutual authentication process, the transmission data is encrypted using the generated session key, and the data communication is performed mutually.

【0352】図49に戻りフローの説明を続ける。ステ
ップS453,S463において上述のような相互認
証、鍵共有処理に成功すると、デバイスは、ステップS
464において、デバイスのメモリ部のデバイス鍵領域
(図18参照)に格納されたCRL_DEV :排除デバイス(D
evice)、排除機器(デバイスアクセス機器としてのリ
ーダライタ、PC等のチケットユーザ、チケット発行手
段)の公開鍵証明書識別子(ex.シリアルナンバ:S
N)を登録したリボケーションリスト(Revocation Lis
t (Certificate)を参照して、通信相手であるデバイス
認証装置がリボークされていないかを検証する。リボー
クされている場合は、パーティションの生成処理を許可
できないので、エラーとして処理を終了する。
Returning to FIG. 49, the description of the flow will be continued. If the mutual authentication and key sharing processing as described above are successful in steps S453 and S463, the device proceeds to step S453.
At 464, CRL_DEV stored in the device key area (see FIG. 18) of the memory unit of the device: excluded device (D
evice), the public key certificate identifier (ex. serial number: S) of the excluded device (a reader / writer as a device access device, a ticket user such as a PC, a ticket issuing unit)
N) registered revocation list (Revocation Lis
With reference to t (Certificate), it is verified whether the device authentication device that is the communication partner has been revoked. If revoked, the partition creation process cannot be permitted, and the process ends as an error.

【0353】リボークされていない場合は、ステップS
465において、相互認証および鍵共有処理において生
成したセッション鍵Ksesと、通信相手(デバイス認
証装置を構成するデバイスアクセス機器としてのリーダ
ライタ、PCなど)の公開鍵証明書中の識別名(DN:
Distinguished Name)、シリアルナンバー、カテゴリー
をデバイスマネージャコード(DMC)をキーとして対
応付けた認証テーブルに保存する。
[0353] If you have not been revoked, the step S
At 465, the session key Kses generated in the mutual authentication and key sharing process and the identifier (DN :) in the public key certificate of the communication partner (a reader / writer as a device access device constituting the device authentication device, a PC, etc.).
Distinguished Name), serial number, and category are stored in an authentication table in which the device manager code (DMC) is used as a key.

【0354】一方、デバイス認証装置も、ステップS4
54において、デバイスがリボークされていないかをCR
L_DEV :排除デバイス(Device)、排除機器(デバイス
アクセス機器としてのリーダライタ、PC等のチケット
ユーザ、チケット発行手段)の公開鍵証明書識別子(e
x.シリアルナンバ:SN)を登録したリボケーション
リスト(Revocation List (Certificate))を参照して
判定する。デバイス認証装置は、リボケーションリスト
(CRL_DEV)を登録局(RA(PAR))から取得可能
である。リボークされている場合は、パーティションの
生成処理を許可できないので、エラーとして処理を終了
する。
On the other hand, the device authentication device also performs step S4.
At 54, check if the device has been revoked
L_DEV: Public key certificate identifier (e) of an exclusion device (Device), an exclusion device (a reader / writer as a device access device, a ticket user such as a PC, a ticket issuing unit)
x. The determination is made with reference to a revocation list (Revocation List (Certificate)) in which the serial number (SN) is registered. The device authentication device can acquire the revocation list (CRL_DEV) from the registration authority (RA (PAR)). If revoked, the partition creation process cannot be permitted, and the process ends as an error.

【0355】リボークされていない場合は、ステップS
455において、相互認証および鍵共有処理において生
成したセッション鍵Ksesと、通信相手(デバイス)
の公開鍵証明書中の識別名(DN:Distinguished Nam
e)、シリアルナンバー、カテゴリーをデバイスマネー
ジャコード(DMC)をキーとして対応付けた認証テー
ブルに保存する。
If not revoked, step S
At 455, the session key Kses generated in the mutual authentication and key sharing process and the communication partner (device)
Distinguished Nam (DN) in the public key certificate of
e) The serial number and category are stored in an authentication table in which the device manager code (DMC) is used as a key.

【0356】図51にデバイス内に生成される認証テー
ブルの例を示し、図52に認証装置としてのデバイスア
クセス機器としてのリーダライタ(PCも可)に生成さ
れる認証テーブルの例を示す。
FIG. 51 shows an example of an authentication table generated in the device, and FIG. 52 shows an example of an authentication table generated in a reader / writer (PC is also possible) as a device access device as an authentication device.

【0357】図51は、デバイス認証、および後段で説
明するパーティション認証としてのパーティション1,
2の認証が終了した時点のデバイス内に生成される認証
テーブルの例である。グループ(Group)として、デバ
イス認証の場合はデバイスマネージャコード(DM
C)、パーティション認証の場合はパーティションマネ
ージャコード(PMC)が記録され、実行された各認証
方式によってそれぞれのデータが格納される。公開鍵認
証方式の場合は、前述したようにセッション鍵Kses
と、通信相手(デバイスアクセス機器としてのリーダラ
イタ)の公開鍵証明書中の識別名(DN:Distinguishe
d Name)、シリアルナンバー、カテゴリーがテーブルに
格納され、共通鍵認証の場合は、セッション鍵Kses
と、通信相手(デバイスアクセス機器としてのリーダラ
イタ)の識別子(ID RW)ガ格納される。
FIG. 51 shows device authentication and partitions 1 and 2 serving as partition authentication described later.
7 is an example of an authentication table generated in the device at the time when the authentication of No. 2 is completed. As a group, a device manager code (DM
C) In the case of partition authentication, a partition manager code (PMC) is recorded, and respective data is stored according to each authentication method executed. In the case of the public key authentication method, as described above, the session key Kses
And a distinguished name (DN: Distinguishe) in a public key certificate of a communication partner (a reader / writer as a device access device).
d Name), serial number, and category are stored in a table. In the case of common key authentication, the session key Kses
And an identifier (ID RW) of a communication partner (a reader / writer as a device access device).

【0358】認証テーブルはセッションのクリア時点で
破棄される。デバイスはテーブルの情報を参照すること
によってデバイスおよび各パーティションの認証状態を
確認することができ、使用すべきセッション鍵の確認が
可能となる。
The authentication table is discarded when the session is cleared. The device can confirm the authentication state of the device and each partition by referring to the information in the table, and can confirm the session key to be used.

【0359】一方、図52は、デバイスアクセス機器と
してのリーダライタ側の認証テーブルを示している。こ
の例もデバイス認証、およびパーティション認証として
のパーティション1,2の認証が終了した時点の認証テ
ーブルの例である。基本的構成は、デバイス内の認証テ
ーブルと同様であり、グループ(Group)として、デバ
イス認証の場合はデバイスマネージャコード(DM
C)、パーティション認証の場合はパーティションマネ
ージャコード(PMC)が記録され、実行された各認証
方式によってそれぞれのデータが格納される。公開鍵認
証方式の場合は、前述したようにセッション鍵Kses
と、通信相手(デバイス)の公開鍵証明書中の識別名
(DN:Distinguished Name)、シリアルナンバー、カ
テゴリーがテーブルに格納され、共通鍵認証の場合は、
セッション鍵Ksesと、通信相手(デバイス)の識別
子(ID RW)が格納される。リーダライタ側の認証
テーブルもセッションのクリア時点で破棄される。デバ
イスアクセス機器としてのリーダライタ側においても、
認証テーブルの情報を参照することによってデバイスお
よびパーティションの認証状態の有無を判定可能とな
り、使用すべきセッション鍵の確認が可能となる。
On the other hand, FIG. 52 shows an authentication table on the reader / writer side as a device access device. This example is also an example of the authentication table at the time when the device authentication and the authentication of the partitions 1 and 2 as the partition authentication are completed. The basic configuration is the same as the authentication table in the device. As a group, a device manager code (DM) is used for device authentication.
C) In the case of partition authentication, a partition manager code (PMC) is recorded, and respective data is stored according to each authentication method executed. In the case of the public key authentication method, as described above, the session key Kses
And the distinguished name (DN: Distinguished Name), serial number, and category in the public key certificate of the communication partner (device) are stored in a table. In the case of common key authentication,
The session key Kses and the identifier (ID RW) of the communication partner (device) are stored. The authentication table on the reader / writer side is also destroyed when the session is cleared. On the reader / writer side as a device access device,
By referring to the information in the authentication table, it is possible to determine the presence or absence of the authentication state of the device and the partition, and it is possible to confirm the session key to be used.

【0360】図49に戻り、デバイス認証処理の説明を
続ける。デバイス認証装置はステップS451におい
て、デバイス認証方式が公開鍵方式でないと判定される
と、デバイス認証装置はステップS456において、共
通鍵デバイス認証コマンドをデバイスに出力する。デバ
イスは、コマンドを受信(S466)すると、デバイス
のメモリ部の共通鍵系デバイス鍵定義ブロック(図16
参照)を参照して共通鍵認証に使用する双方向個別鍵認
証用マスター鍵(MKauth_DEV)が格納されているか否
かを検証(S467)する。双方向個別鍵認証用マスタ
ー鍵(MKauth_DEV)が格納されていない場合は、共通
鍵方式の相互認証は実行できず、エラーと判定され処理
は終了される。
Returning to FIG. 49, description of the device authentication processing will be continued. If the device authentication device determines in step S451 that the device authentication method is not the public key method, the device authentication device outputs a common key device authentication command to the device in step S456. When the device receives the command (S466), the common key device key definition block (FIG.
It is verified whether or not the master key for bidirectional individual key authentication (MKauth_DEV) used for the common key authentication is stored (S467). If the master key for two-way individual key authentication (MKauth_DEV) is not stored, mutual authentication using the common key method cannot be executed, and it is determined that an error has occurred, and the process ends.

【0361】双方向個別鍵認証用マスター鍵(MKauth_
DEV)が格納されていることが確認されると、ステップ
S457、S468において、マスター鍵を使用した相
互認証および鍵共有処理が実行される。
A master key for bidirectional individual key authentication (MKauth_
If it is confirmed that DEV) is stored, mutual authentication and key sharing using the master key are executed in steps S457 and S468.

【0362】マスター鍵を使用した共通鍵方式による相
互認証および鍵共有処理について、図53を用いて説明
する。図53では、AおよびBがマスター鍵を使用した
共通鍵方式の認証を実行するエンティテイであり、A
は、自己の識別子IDa、双方向個別鍵認証用共通鍵K
a、双方向個別鍵認証用マスター鍵MKbを有し、B
は、自己の識別子IDb、双方向個別鍵認証用共通鍵K
b、双方向個別鍵認証用マスター鍵MKaを有する。な
お、図53の例では、共通鍵暗号方式としてDESアル
ゴリズム(ex.DES,トリプルDES)を用いてい
るが、同様な共通鍵暗号方式であれば他の暗号方式の適
用も可能である。
[0362] Mutual authentication and key sharing processing based on a common key method using a master key will be described with reference to FIG. In FIG. 53, A and B are entities that execute authentication using a common key method using a master key.
Is the identifier IDa of itself, the common key K for bidirectional individual key authentication,
a, having a master key MKb for two-way individual key authentication,
Is the identifier IDb of itself, the common key K for bidirectional individual key authentication,
b. It has a master key MKa for two-way individual key authentication. In the example of FIG. 53, the DES algorithm (ex. DES, triple DES) is used as the common key encryption method, but other encryption methods can be applied as long as the same common key encryption method is used.

【0363】まず、Bが64ビットの乱数Rbを生成
し、Rbおよび自己のIDであるIDbをAに送信す
る。これを受信したAは、新たに64ビットの乱数Ra
を生成し、双方向個別鍵認証用マスター鍵MKbによる
IDbのDES暗号化処理により双方向個別鍵認証用共
通鍵Kbを取得する。さらに、鍵Ka、Kbを用いて、
Ra,Rb,IDa,IDbの順に、DESのCBCモ
ードでデータを暗号化し、自己の識別子IDaとともに
Bに返送する。
First, B generates a 64-bit random number Rb and transmits Rb and its own IDb IDb to A. Upon receiving this, A newly generates a 64-bit random number Ra
Is generated, and the common key Kb for bidirectional individual key authentication is obtained by DES encryption processing of IDb using the master key MKb for bidirectional individual key authentication. Further, using the keys Ka and Kb,
The data is encrypted in the CBC mode of DES in the order of Ra, Rb, IDa, and IDb, and returned to B together with its own identifier IDa.

【0364】これを受信したBは、まず、双方向個別鍵
認証用マスター鍵MKaによるIDaのDES暗号化処
理により双方向個別鍵認証用共通鍵Kaを取得する。さ
らに、受信データを鍵Ka,Kbで復号する。復号して
得られたRa、Rb、IDa,IDbの内、Rbおよび
IDbが、Bが送信したものと一致するか検証する。こ
の検証に通った場合、BはAを正当なものとして認証す
る。
[0364] Upon receiving this, B first obtains the bidirectional individual key authentication common key Ka by DES encryption processing of the IDa using the bidirectional individual key authentication master key MKa. Further, the received data is decrypted with the keys Ka and Kb. It verifies that Rb and IDb of Ra, Rb, IDa, and IDb obtained by decryption match those transmitted by B. If the verification passes, B authenticates A as valid.

【0365】次にBは、セッション鍵として使用する6
4ビットの乱数Ksesを生成し、鍵Kb、Kaを用い
て、Rb,Ra,IDb,IDa,Ksesの順に、D
ESのCBCモードでデータを暗号化し、Aに返送す
る。
Next, B is used as a session key.
A 4-bit random number Kses is generated, and the keys Kb and Ka are used to generate Db in the order of Rb, Ra, IDb, IDa, and Kses.
The data is encrypted in the CBC mode of the ES and returned to A.

【0366】これを受信したAは、受信データを鍵K
a,Kbで復号する。復号して得られたRa、Rb、I
Da,IDbがAが送信したものと一致するか検証す
る。この検証に通った場合、AはBを正当なものとして
認証する。互いに相手を認証した後には、セッション鍵
Ksesは、認証後の秘密通信のための共通鍵として利
用される。
[0367] Upon receiving this, A
Decrypt with a and Kb. Ra, Rb, I obtained by decoding
It is verified whether Da and IDb match those transmitted by A. If the verification passes, A authenticates B as valid. After mutually authenticating each other, the session key Kses is used as a common key for secret communication after authentication.

【0367】なお、受信データの検証の際に、不正、不
一致が見つかった場合には、相互認証が失敗したものと
して処理を中止する。
[0367] Note that, when the received data is verified, if an invalid or mismatch is found, the process is stopped assuming that the mutual authentication has failed.

【0368】本発明のシステムの格納データに対応付け
たマスター鍵を使用した共通鍵認証について、データの
流れを説明する図を図54に示す。図54に示すよう
に、デバイスアクセス機器としてのリーダライタ(R/
W)が64ビットの乱数Rbを生成し、Rbおよび自己
のIDであるIDrwをデバイス(Device)に送
信する。これを受信したデバイス(Device)は、
新たに64ビットの乱数Raを生成し、双方向個別鍵認
証用マスター鍵MKauth_DEV_AによるIDrwのDES
暗号化処理により双方向個別鍵認証用共通鍵Kauth_DEV
_Aを取得する。さらに、鍵Kauth_DEV_A、Kauth_DEV_B
を用いて、Ra,Rb,IDrwの順に、暗号アルゴリ
ズムとして、例えばDES−CBCモードでデータを暗
号化し、自己の識別子IDmとともにデバイスアクセス
機器としてのリーダライタ(R/W)に返送する。
[0368] The common key authentication using the master key associated with the stored data in the system of the present invention is a diagram for explaining the flow of data in FIG. 54. As shown in FIG. 54, a reader / writer (R /
W) generates a 64-bit random number Rb, and transmits Rb and its own ID, IDrw, to the device (Device). The device (Device) receiving this
A new 64-bit random number Ra is generated, and the DES of IDrw based on the master key MKauth_DEV_A for bidirectional individual key authentication is generated.
Common key Kauth_DEV for two-way individual key authentication by encryption processing
Get _A. Further, keys Kauth_DEV_A and Kauth_DEV_B
, The data is encrypted in the order of Ra, Rb, and IDrw, for example, in a DES-CBC mode as an encryption algorithm, and returned to a reader / writer (R / W) as a device access device together with its own identifier IDm.

【0369】これを受信したリーダライタ(R/W)
は、まず、双方向個別鍵認証用マスター鍵MKauth_DEV_
BによるIDmのDES暗号化処理により双方向個別鍵
認証用共通鍵Kauth_DEV_Bを取得する。さらに、受信デ
ータを鍵Kauth_DEV_A、Kauth_DEV_Bで復号する。復号
して得られたRbおよびIDrwが、デバイスアクセス
機器としてのリーダライタ(R/W)が送信したものと
一致するか検証する。この検証に通った場合、リーダラ
イタ(R/W)はデバイス(Device)を正当なも
のとして認証する。
A reader / writer (R / W) receiving this
Is a master key MKauth_DEV_ for two-way individual key authentication.
A bidirectional individual key authentication common key Kauth_DEV_B is obtained by the DES encryption processing of IDm by B. Further, it decrypts the received data with the keys Kauth_DEV_A and Kauth_DEV_B. It verifies whether Rb and IDrw obtained by decoding match those transmitted by a reader / writer (R / W) as a device access device. If this verification is passed, the reader / writer (R / W) authenticates the device (Device) as valid.

【0370】次にリーダライタ(R/W)は、セッショ
ン鍵として使用する64ビットの乱数Ksesを生成
し、双方向個別鍵認証用共通鍵Kauth_DEV_A、 Kauth_
DEV_Bを用いて、Rb,Ra,Ksesの順に、DES
アルゴリズムとしての例えばトリプルDESモードでデ
ータを暗号化し、デバイス(Device)に返送す
る。
Next, the reader / writer (R / W) generates a 64-bit random number Kses used as a session key, and generates a common key Kauth_DEV_A, Kauth_
Using DEV_B, DES in the order of Rb, Ra, Kses
The data is encrypted in, for example, a triple DES mode as an algorithm, and is returned to the device (Device).

【0371】これを受信したデバイスは、受信データを
双方向個別鍵認証用共通鍵Kauth_DEV_A、 Kauth_DEV_
Bで復号する。復号して得られたRa、Rb,IDrw
がデバイス(Device)が送信したものと一致する
か検証する。この検証に通った場合、デバイス(Dev
ice)はリーダライタ(R/W)を正当なものとして
認証し、認証後、セッション鍵Ksesを秘密通信のた
めの共通鍵として利用する。
[0371] The device that has received the data exchanges the received data with the bidirectional individual key authentication common keys Kauth_DEV_A and Kauth_DEV_.
Decrypt with B. Ra, Rb, IDrw obtained by decryption
Is matched with the one transmitted by the device (Device). If this verification is passed, the device (Dev
ice) authenticates the reader / writer (R / W) as valid, and after the authentication, uses the session key Kses as a common key for secret communication.

【0372】なお、デバイスの固有値としてのIDm
は、先に図6のデバイスメモリフォーマットを使用して
説明したようにデバイスマネージャ管理領域の格納デー
タに基づく値を適用することができる。
Note that IDm as a unique value of the device
Can apply a value based on the data stored in the device manager management area as described above using the device memory format of FIG.

【0373】上述したように、マスター鍵を使用した共
通鍵方式による相互認証および鍵共有処理によれば、通
信相手方のマスター鍵に基づく処理を実行して生成した
通信相手の個別鍵と、自己の個別鍵の2つの鍵を共通鍵
として設定し、設定した2つの鍵を用いて共通鍵方式に
よる相互認証を実行する構成であるので、デバイスまた
はアクセス装置に予め共通鍵が格納された従来の共通鍵
認証構成に比較してよりセキュアな認証システムおよび
方法が実現される。
As described above, according to the mutual authentication and the key sharing process using the common key method using the master key, the individual key of the communication partner generated by executing the process based on the master key of the communication partner and the own key of the communication partner are used. Since the two keys of the individual keys are set as the common key and mutual authentication is performed by the common key method using the set two keys, the conventional common key in which the common key is stored in the device or the access device in advance. more secure authentication system and method compared to the key authentication is achieved.

【0374】図49に戻りフローの説明を続ける。ステ
ップS457,S468において上述のような相互認
証、鍵共有処理に成功すると、デバイスは、ステップS
469において、デバイスのメモリ部のデバイス鍵領域
(図18参照)に格納されたIRL_DEV :排除デバイス(D
evice)、排除機器(デバイスアクセス機器としてのリ
ーダライタ、PC等のチケットユーザ、チケット発行手
段)の識別子(ID)を登録したリボケーションリスト
(Revocation List (ID))を参照して、通信相手である
デバイス認証装置がリボークされていないかを検証す
る。リボークされている場合は、パーティションの生成
処理を許可できないので、エラーとして処理を終了す
る。
Returning to FIG. 49, the description of the flow will be continued. If the above-described mutual authentication and key sharing processing are successful in steps S457 and S468, the device proceeds to step S457.
At 469, the IRL_DEV stored in the device key area (see FIG. 18) of the memory unit of the device: the excluded device (D
evice), a revocation list (Revocation List (ID)) in which identifiers (IDs) of excluded devices (a reader / writer as a device access device, a ticket user such as a PC, a ticket issuing means) are registered, and the communication partner Verify whether a certain device authentication device has been revoked. If revoked, the partition creation process cannot be permitted, and the process ends as an error.

【0375】リボークされていない場合は、ステップS
470において、相互認証および鍵共有処理において生
成したセッション鍵Ksesと、通信相手(デバイス認
証装置を構成するデバイスアクセス機器としてのリーダ
ライタ、PCなど)の識別情報(IDrw)をデバイス
マネージャコード(DMC)をキーとして対応付けた認
証テーブル(図51参照)に保存する。
If not revoked, step S
In 470, the session key Kses generated in the mutual authentication and key sharing process and the identification information (IDrw) of the communication partner (a reader / writer as a device access device constituting the device authentication device, PC, etc.) are stored in a device manager code (DMC) Is stored in an authentication table (see FIG. 51) associated with the key.

【0376】一方、デバイス認証装置も、ステップS4
58において、デバイスがリボークされていないかをI
RL_DEV :排除デバイス(Device)、排除機器(デバイス
アクセス機器としてのリーダライタ、PC等のチケット
ユーザ、チケット発行手段)の識別子(ID)を登録し
たリボケーションリスト(Revocation List (ID))を参
照して判定する。デバイス認証装置は、リボケーション
リスト(IRL_DEV)を登録局(RA(PAR))から取
得可能である。リボークされている場合は、パーティシ
ョンの生成処理を許可できないので、エラーとして処理
を終了する。
On the other hand, the device authentication device also performs step S4.
At 58, it is determined whether the device has been revoked.
RL_DEV: Refers to the revocation list (Revocation List (ID)) in which the identifiers (ID) of the exclusion device (Device) and the exclusion device (a reader / writer as a device access device, a ticket user such as a PC, and a ticket issuing means) are registered. Judgment. The device authentication device can acquire the revocation list (IRL_DEV) from the registration authority (RA (PAR)). If revoked, the partition creation process cannot be permitted, and the process ends as an error.

【0377】リボークされていない場合は、ステップS
459において、相互認証および鍵共有処理において生
成したセッション鍵Ksesと、通信相手(デバイス)
の識別情報(IDm)をデバイスマネージャコード(D
MC)をキーとして対応付けた認証テーブル(図52参
照)に保存する。
If not revoked, step S
In step 459, the session key Kses generated in the mutual authentication and key sharing process and the communication partner (device)
Identification information (IDm) of the device manager code (D
MC) as a key and stored in an authentication table (see FIG. 52).

【0378】以上の処理が、パーティションマネージャ
の管轄するデバイスアクセス機器としてのリーダライタ
とデバイス間において実行されるデバイス認証処理であ
る。
The above process is a device authentication process executed between a device and a reader / writer as a device access device controlled by the partition manager.

【0379】次に、図48のステップS435、S44
2において実行されるパーティション認証処理につい
て、図55、図56を用いて説明する。パーティション
登録チケットを適用したパーティションの設定登録、ま
たは削除処理においては、先に説明したように処理に応
じてデバイス認証、パーティション認証のいずれか、ま
たは両者の認証を必要とする。これらの設定はパーティ
ション登録チケット(PRT)に記述される。パーティ
ション登録チケット(PRT)にパーティション認証を
実行する記述がある場合は、パーティション認証が実行
される。
Next, steps S435 and S44 in FIG.
2 will be described with reference to FIGS. 55 and 56. In the setting registration or deletion processing of the partition to which the partition registration ticket is applied, either the device authentication or the partition authentication, or both authentications are required according to the processing as described above. These settings are described in the partition registration ticket (PRT). If the partition registration ticket (PRT) includes a description for executing the partition authentication, the partition authentication is executed.

【0380】図55、図56の処理フローの各ステップ
について説明する。図55において、左側がパーティシ
ョンマネージャのパーティション認証装置、右側がデバ
イス(図5参照)の処理を示す。なお、パーティション
マネージャのパーティション認証装置は、デバイスに対
するデータ読み取り書き込み処理可能な装置(ex.デ
バイスアクセス機器としてのリーダライタ、PC)であ
り、図10のデバイスアクセス機器としてのリーダライ
タに相当する構成を有する。
Each step of the processing flow of FIGS. 55 and 56 will be described. In FIG. 55, the left side shows the processing of the partition authentication device of the partition manager, and the right side shows the processing of the device (see FIG. 5). Note that the partition authentication device of the partition manager is a device (ex. Reader / writer, PC as a device access device) capable of performing data read / write processing on a device, and has a configuration corresponding to the reader / writer as a device access device in FIG. Have.

【0381】パーティション認証装置は、ステップS4
71において、デバイスに対して認証対象となるパーテ
ィションAの存在確認を実行するパーティションA存在
チェックコマンドを出力する。コマンドを受領(S48
1)したデバイスは、デバイスのメモリ部内にパーティ
ションAが存在するか否かをチェック(S482)す
る。ここでパーティションの識別子Aとしては例えばパ
ーティションマネージャコード(PMC)が使用され、
デバイスは、例えばパーティション定義ブロック(PD
B:Partition Definition Block)の格納PMCに基づ
いてパーティションの有無を判定することができる。デ
バイスによるパーティションの有無が判定されると、チ
ェック結果がパーティション認証装置に送信される。
[0381] The partition authentication device executes the step S4
At 71, a partition A existence check command for executing the existence confirmation of the partition A to be authenticated is output to the device. Command is received (S48
The device that has performed 1) checks whether the partition A exists in the memory unit of the device (S482). Here, as the partition identifier A, for example, a partition manager code (PMC) is used.
The device is, for example, a partition definition block (PD
B: The presence or absence of a partition can be determined based on the stored PMC of the Partition Definition Block. When the presence or absence of a partition by the device is determined, a check result is transmitted to the partition authentication device.

【0382】チェック結果を受領(S472)したパー
ティション認証装置は、チェック結果を検証(S47
3)し、パーティションの存在しないとの結果を受領し
た場合は、認証不可であるので、エラー終了する。チェ
ック結果がパーティションが存在することを示した場合
は、パーティション認証装置は、ステップS474にお
いて、パーティション登録チケット(PRT)に基づい
てパーティション認証処理に公開鍵を用いた公開鍵認証
方式を適用するか否かを判定する。パーティション認証
は、前述のデバイス認証と同様、公開鍵方式または共通
鍵方式のいずれかにおいて実行され、チケットにその実
行方式についての指定が記述されている。
The partition authentication device that has received the check result (S472) verifies the check result (S47).
3) If a result indicating that there is no partition is received, authentication is not possible, and the process ends with an error. If the check result indicates that a partition exists, the partition authentication device determines in step S474 whether to apply a public key authentication method using a public key to the partition authentication process based on the partition registration ticket (PRT). Is determined. Similar to the device authentication described above, the partition authentication is executed in either the public key method or the common key method, and the specification of the execution method is described in the ticket.

【0383】共通鍵方式の指定がある場合は、図55の
ステップS475〜S478、S484〜S488の処
理は実行されず、ステップS491に進む。公開鍵方式
の指定である場合は、パーティション認証装置は、ステ
ップS475において公開鍵パーティションA認証開始
コマンドをデバイスに送信する。デバイスは、コマンド
を受信(S484)すると、デバイスのメモリ部の公開
鍵系パーティション鍵定義ブロック(図21参照)を参
照して、パーティションA対応公開鍵証明書(CERT
PAR)が格納されているか否かを検証(S485)
する。パーティションA対応公開鍵証明書(CERT
PAR)が格納されていない場合は、公開鍵方式の相互
認証は実行できず、エラーと判定され処理は終了され
る。
If the common key method is specified, the processing in steps S475 to S478 and S484 to S488 in FIG. 55 is not executed, and the flow advances to step S491. If the public key method is specified, the partition authentication device transmits a public key partition A authentication start command to the device in step S475. Upon receiving the command (S484), the device refers to the public key system partition key definition block (see FIG. 21) in the memory section of the device and refers to the partition A-compatible public key certificate (CERT).
PAR) is stored (S485).
I do. Public key certificate for partition A (CERT
If PAR is not stored, the public key mutual authentication cannot be performed, and it is determined that an error has occurred, and the process is terminated.

【0384】パーティションA対応公開鍵証明書(CE
RT PAR)が格納されていることが確認されると、
ステップS476、S486において、パーティション
マネージャ対応認証局(CA(PAR))の発行した公
開鍵証明書を用いた相互認証および鍵共有処理が実行さ
れる。
A public key certificate corresponding to partition A (CE
RT PAR) is stored,
In steps S476 and S486, mutual authentication and key sharing processing using a public key certificate issued by a partition manager compatible certification authority (CA (PAR)) are executed.

【0385】公開鍵方式による相互認証および鍵共有処
理については、先のデバイス認証処理において説明した
図50に示すシーケンスと同様であるので説明を省略す
る。ただし、パーティション認証において利用する公開
鍵証明書は、パーティションマネージャ対応認証局(C
A(PAR))の発行した公開鍵証明書であり、この公
開鍵証明書の署名検証には、パーティションマネージャ
対応認証局(CA(PAR))の公開鍵(PUB CA
(PAR))を用いる。公開鍵(PUB CA(PA
R))は、パーティション鍵領域(図23参照)に格納
されている。このような相互認証処理において、生成し
たセッション鍵を用いて、送信データを暗号化して、相
互にデータ通信を実行する。
The mutual authentication and key sharing processing by the public key method is the same as the sequence shown in FIG. 50 described in the previous device authentication processing, and the description is omitted. However, the public key certificate used in the partition authentication is a partition manager compatible certificate authority (C
A (PAR)), and the public key (PUB CA) of the partition manager-compatible certificate authority (CA (PAR)) is used to verify the signature of the public key certificate.
(PAR)). Public key (PUB CA (PA
R)) are stored in the partition key area (see FIG. 23). In such a mutual authentication process, the transmission data is encrypted using the generated session key, and data communication is performed with each other.

【0386】ステップS476,S486において図5
0に示すシーケンスに従った相互認証、鍵共有処理に成
功すると、デバイスは、ステップS487において、デ
バイスのメモリ部のパーティション鍵領域(図23参
照)に格納されたCRL_PAR :排除デバイス(Device)、
排除機器(デバイスアクセス機器としてのリーダライ
タ、PC等のチケットユーザ、チケット発行手段)の公
開鍵証明書識別子(ex.シリアルナンバ:SN)を登
録したリボケーションリスト(Revocation List (Certi
ficate)を参照して、通信相手であるパーティション認
証装置がリボークされていないかを検証する。リボーク
されている場合は、パーティションの生成処理あるいは
削除処理を許可できないので、エラーとして処理を終了
する。
In steps S476 and S486, FIG.
If the mutual authentication and the key sharing process according to the sequence shown in FIG. 0 are successful, the device determines in step S487 that the CRL_PAR stored in the partition key area (see FIG. 23) of the memory portion of the device:
A revocation list (Revocation List (Certi) in which the public key certificate identifier (ex. Serial number: SN) of the excluded device (a reader / writer as a device access device, a ticket user such as a PC, and a ticket issuing unit) is registered.
With reference to ficate), it verifies that the partition authentication device that is the communication partner has not been revoked. If revoked, the process of creating or deleting a partition cannot be permitted, so the process ends as an error.

【0387】リボークされていない場合は、ステップS
488において、相互認証および鍵共有処理において生
成したセッション鍵Ksesと、通信相手(パーティシ
ョン認証装置を構成するデバイスアクセス機器としての
リーダライタ、PCなど)の公開鍵証明書中の識別名
(DN:Distinguished Name)、シリアルナンバー、カ
テゴリーをパーティションマネージャコード(PMC)
をキーとして対応付けた認証テーブルに保存する。
If not revoked, step S
At 488, the session key Kses generated in the mutual authentication and key sharing process and the identification name (DN: Distinguished) in the public key certificate of the communication partner (a reader / writer as a device access device constituting the partition authentication device, a PC, etc.). Name), serial number, category, partition manager code (PMC)
Is stored in the authentication table associated with the key as a key.

【0388】一方、パーティション認証装置も、ステッ
プS477において、デバイスがリボークされていない
かをCRL_PAR :排除デバイス(Device)、排除機器(デ
バイスアクセス機器としてのリーダライタ、PC等のチ
ケットユーザ、チケット発行手段)の公開鍵証明書識別
子(ex.シリアルナンバ:SN)を登録したリボケー
ションリスト(Revocation List (Certificate))を参
照して判定する。デバイス認証装置は、リボケーション
リスト(CRL_PAR)を登録局(RA(PAR))から取
得可能である。リボークされている場合は、パーティシ
ョンの生成処理あるいは削除処理を許可できないので、
エラーとして処理を終了する。
On the other hand, in step S477, the partition authentication device also checks whether the device has been revoked. CRL_PAR: exclusion device (Device), exclusion device (reader / writer as device access device, ticket user such as PC, ticket issuing means) ) Is determined with reference to a revocation list (Revocation List (Certificate)) in which the public key certificate identifier (ex. Serial number: SN) is registered. The device authentication device can acquire the revocation list (CRL_PAR) from the registration authority (RA (PAR)). If revoked, partition creation or deletion cannot be allowed, so
The process ends as an error.

【0389】リボークされていない場合は、ステップS
478において、相互認証および鍵共有処理において生
成したセッション鍵Ksesと、通信相手(デバイス)
の公開鍵証明書中の識別名(DN:Distinguished Nam
e)、シリアルナンバー、カテゴリーをパーティション
マネージャコード(PMC)をキーとして対応付けた認
証テーブルに保存する。この結果、例えば図51に示す
認証テーブルがデバイス内に生成され、図52に示す認
証テーブルがパーティション認証装置としてのデバイス
アクセス機器としてのリーダライタ(PCも可)に生成
される。図51、図52は、デバイス認証、およびパー
ティション認証としてのパーティション1,2の認証が
終了した時点のデバイス内およびデバイスアクセス機器
としてのリーダライタ内に生成される認証テーブルの例
である。
If not revoked, step S
At 478, the session key Kses generated in the mutual authentication and key sharing process and the communication partner (device)
Distinguished Nam (DN) in the public key certificate of
e) The serial number and the category are stored in an authentication table in which the partition manager code (PMC) is used as a key. As a result, for example, the authentication table shown in FIG. 51 is generated in the device, and the authentication table shown in FIG. 52 is generated in a reader / writer (PC is also possible) as a device access device as a partition authentication device. FIGS. 51 and 52 show examples of the authentication table generated in the device and the reader / writer as the device access device when the device authentication and the authentication of the partitions 1 and 2 as the partition authentication are completed.

【0390】パーティション認証の場合はパーティショ
ンマネージャコード(PMC)が記録され、実行された
各認証方式によってそれぞれのデータが格納される。公
開鍵認証方式の場合は、前述したようにセッション鍵K
sesと、通信相手の公開鍵証明書中の識別名(DN:
Distinguished Name)、シリアルナンバー、カテゴリー
がテーブルに格納され、共通鍵認証の場合は、セッショ
ン鍵Ksesと、通信相手の識別子が格納される。認証
テーブルはセッションのクリア時点で破棄される。デバ
イスおよびデバイスアクセス機器としてのリーダライタ
はテーブルの情報を参照することによってデバイスおよ
び各パーティションの認証状態を確認することができ、
使用すべきセッション鍵の確認が可能となる。
[0390] In the case of partition authentication, a partition manager code (PMC) is recorded, and data is stored according to each authentication method executed. In the case of the public key authentication method, as described above, the session key K
ses and the distinguished name (DN:
Distinguished Name), serial number, and category are stored in a table. In the case of common key authentication, a session key Kses and an identifier of a communication partner are stored. The authentication table is destroyed when the session is cleared. The reader / writer as a device and device access device can confirm the authentication status of the device and each partition by referring to the information in the table,
The session key to be used can be confirmed.

【0391】図55,図56のフローを用いて、パーテ
ィション認証処理の説明を続ける。パーティション認証
装置はステップS474において、パーティション認証
方式が公開鍵方式でないと判定されると、パーティショ
ン認証装置はステップS491において、共通鍵パーテ
ィションA認証コマンドをデバイスに出力する。デバイ
スは、コマンドを受信(S501)すると、デバイスの
メモリ部の共通鍵系パーティション鍵定義ブロック(図
22参照)を参照して共通鍵認証に使用する双方向個別
鍵認証用マスター鍵(MKauth_PAR_A)が格納されてい
るか否かを検証(S502)する。双方向個別鍵認証用
マスター鍵(MKauth_PAR_A)が格納されていない場合
は、共通鍵方式の相互認証は実行できず、エラーと判定
され処理は終了される。
The description of the partition authentication processing will be continued with reference to the flowcharts of FIGS. 55 and 56. If the partition authentication device determines in step S474 that the partition authentication method is not the public key method, the partition authentication device outputs a common key partition A authentication command to the device in step S491. Upon receiving the command (S501), the device refers to the common key system partition key definition block (see FIG. 22) in the memory portion of the device and obtains the master key (MKauth_PAR_A) for bidirectional individual key authentication used for common key authentication. It is verified whether or not it is stored (S502). If the master key for two-way individual key authentication (MKauth_PAR_A) is not stored, mutual authentication using the common key method cannot be executed, and it is determined that an error has occurred, and the process ends.

【0392】双方向個別鍵認証用マスター鍵(MKauth_
PAR_A)が格納されていることが確認されると、ステッ
プS492、S503において、マスター鍵を使用した
相互認証および鍵共有処理が実行される。共通鍵方式に
よる相互認証および鍵共有処理については、先のデバイ
ス認証において、図53、図54を用いて説明したシー
ケンスと同様であるので、説明を省略する。ただし、パ
ーティション認証の場合に適用する鍵は、パーティショ
ン鍵定義ブロック(図22参照)に定義され、パーティ
ション鍵領域(図23参照)に格納された双方向個別鍵
認証用共通鍵(Kauth_PAR_B)、および双方向個別鍵認
証用マスター鍵(MKauth_PAR_A)である。
A master key for bidirectional individual key authentication (MKauth_
When it is confirmed that PAR_A) is stored, mutual authentication and key sharing processing using the master key are executed in steps S492 and S503. Mutual authentication and key sharing processing using the common key method are the same as the sequence described with reference to FIGS. 53 and 54 in the previous device authentication, and thus description thereof is omitted. However, the key to be applied in the case of the partition authentication is defined in the partition key definition block (see FIG. 22), and the bidirectional individual key authentication common key (Kauth_PAR_B) stored in the partition key area (see FIG. 23), and Master key for bidirectional individual key authentication (MKauth_PAR_A).

【0393】ステップS492,S503において共通
鍵方式の相互認証、鍵共有処理に成功すると、デバイス
は、ステップS504において、デバイスのメモリ部の
パーティション鍵領域(図23参照)に格納されたIRL_
PAR :排除デバイス(Device)、排除機器(デバイスア
クセス機器としてのリーダライタ、PC等のチケットユ
ーザ、チケット発行手段)の識別子(ID)を登録した
リボケーションリスト(Revocation List (ID))を参照
して、通信相手であるパーティション認証装置がリボー
クされていないかを検証する。リボークされている場合
は、パーティションの生成処理または削除処理を許可で
きないので、エラーとして処理を終了する。
When the mutual authentication and key sharing processing of the common key method are successful in steps S492 and S503, the device determines in step S504 the IRL_ stored in the partition key area (see FIG. 23) of the memory section of the device.
PAR: Refers to a revocation list (Revocation List (ID)) in which identifiers (IDs) of rejected devices (Device) and rejected devices (a reader / writer as a device access device, a ticket user such as a PC, a ticket issuing unit) are registered. Then, it verifies whether the partition authentication device that is the communication partner has been revoked. If revoked, the process of creating or deleting a partition cannot be permitted, so the process ends as an error.

【0394】リボークされていない場合は、ステップS
505において、相互認証および鍵共有処理において生
成したセッション鍵Ksesと、通信相手(デバイス認
証装置を構成するデバイスアクセス機器としてのリーダ
ライタ、PCなど)の識別情報(IDrw)をパーティ
ションマネージャコード(PMC)をキーとして対応付
けた認証テーブル(図51参照)に保存する。
If not revoked, step S
At 505, the session key Kses generated in the mutual authentication and key sharing process and the identification information (IDrw) of the communication partner (a reader / writer as a device access device constituting a device authentication device, a PC, etc.) are stored in a partition manager code (PMC). Is stored in an authentication table (see FIG. 51) associated with the key.

【0395】一方、パーティション認証装置も、ステッ
プS493において、デバイスがリボークされていない
かをIRL_PAR :排除デバイス(Device)、排除機器(デ
バイスアクセス機器としてのリーダライタ、PC等のチ
ケットユーザ、チケット発行手段)の識別子(ID)を
登録したリボケーションリスト(Revocation List (I
D))を参照して判定する。パーティション認証装置は、
リボケーションリスト(IRL_PAR)を登録局(RA(P
AR))から取得可能である。リボークされている場合
は、パーティションの生成処理または削除処理を許可で
きないので、エラーとして処理を終了する。
On the other hand, in step S493, the partition authentication device also checks whether the device has been revoked. IRL_PAR: Excluded device (Device), excluded device (reader / writer as device access device, ticket user such as PC, ticket issuing means) Revocation List (I) that registers the identifier (ID) of
Judgment is made with reference to D)). The partition authentication device is
Register the revocation list (IRL_PAR) with the registration authority (RA (P
AR)). If revoked, the process of creating or deleting a partition cannot be permitted, so the process ends as an error.

【0396】リボークされていない場合は、ステップS
494において、相互認証および鍵共有処理において生
成したセッション鍵Ksesと、通信相手(デバイス)
の識別情報(IDm)をパーティションマネージャコー
ド(DMC)をキーとして対応付けた認証テーブル(図
52参照)に保存する。
If not revoked, step S
At 494, the session key Kses generated in the mutual authentication and key sharing process and the communication partner (device)
The identification information (IDm) is stored in an authentication table (see FIG. 52) in which the partition manager code (DMC) is used as a key.

【0397】以上の処理が、パーティションマネージャ
の管轄するデバイスアクセス機器としてのリーダライタ
とデバイス間において実行されるパーティション認証処
理である。このような相互認証により、デバイスまたは
パーティションとデバイスアクセス機器としてのリーダ
ライタ間の認証が成立し、セッション鍵の共有が達成さ
れ、通信データのセッション鍵による暗号化通信が可能
となる。
The above processing is the partition authentication processing executed between a device and a reader / writer as a device access device under the control of the partition manager. By such mutual authentication, authentication between the device or partition and the reader / writer as the device access device is established, sharing of the session key is achieved, and encrypted communication of the communication data using the session key becomes possible.

【0398】なお、上述したデバイス認証処理、パーテ
ィション認証処理は、他のチケット、すなわちファイル
登録チケット(FRT:File Registration Ticket)、
サービス許可チケット(SPT:Service Permission T
icket)、データアップデートチケット(DUT:Data
Update Ticket)を使用したデバイスアクセスを実行す
る際にも適宜必要に応じて行われる処理である。これら
については、後段の各チケットを利用した処理の説明中
で述べる。
[0398] The above-described device authentication processing and partition authentication processing are performed in accordance with another ticket, that is, a file registration ticket (FRT).
Service Permission Ticket (SPT)
icket), data update ticket (DUT: Data)
This is a process that is also performed as needed when device access using Update Ticket) is performed. These will be described later in the description of processing using each ticket.

【0399】(チケットの正当性と利用者チェック)次
に、図47のパーティションの作成、削除処理フロー中
のステップS413のデバイスにおけるチケットの正当
性と利用者チェック処理の詳細について図57、図58
のフローを用いて説明する。
(Ticket validity and user check) Next, details of the ticket validity and user check processing in the device in step S413 in the partition creation / deletion processing flow of FIG. 47 are shown in FIGS. 57 and 58.
This will be described using the flow of FIG.

【0400】なお、以下に説明するチケットの正当性と
利用者チェック処理は、他のチケット、すなわちファイ
ル登録チケット(FRT:File Registration Ticke
t)、サービス許可チケット(SPT:Service Permiss
ion Ticket)、データアップデートチケット(DUT:
Data Update Ticket)を使用したデバイスアクセス処理
においても適宜必要に応じて行われる処理であり、図5
7、図58のフローは、各チケットに共通の処理フロー
として構成してある。
Note that the ticket validity and user check processing described below is performed for another ticket, that is, a file registration ticket (FRT: File Registration Ticke).
t), Service Permission Ticket (SPT: Service Permiss)
ion Ticket), Data Update Ticket (DUT:
FIG. 5 is a process performed as needed in the device access process using the Data Update Ticket.
7, the flow of FIG. 58 is configured as a processing flow common to each ticket.

【0401】チケットの正当性と利用者チェック処理
は、デバイスとの通信を実行しているチケットユーザ
(ex.デバイスアクセス機器としてのリーダライタ、
PC等)から受信したチケットに基づいてデバイス(図
5参照)が実行する処理である。デバイスは、チケット
の正当性と利用者チェック処理においてチケットおよび
チケットユーザ(ex.デバイスアクセス機器としての
リーダライタ、PC等)である利用者の正当性を確認し
た後、チケットに記述された制限範囲内の処理を許可す
る。
The validity of the ticket and the user check process are performed by the ticket user (ex. A reader / writer as a device access device,
This is a process executed by the device (see FIG. 5) based on a ticket received from a PC or the like. The device checks the validity of the ticket and the validity of the user who is the ticket user (ex. A reader / writer as a device access device, a PC, etc.) in the user check processing, and then checks the validity of the ticket and the restricted range described in the ticket. Allow processing within.

【0402】図57、図58のフローを用いてチケット
の正当性と利用者チェック処理の詳細について説明す
る。チケットをチケットユーザ(ex.デバイスアクセ
ス機器としてのリーダライタ、PC等)から受信したデ
バイスは、図57のステップS511において、チケッ
トタイプを検証しチケットがパーティション登録チケッ
ト(PRT:Partition Registration Ticket)である
か否かを判定する。チケットタイプは、各チケットに記
録されている(図26、図27、図28、図31、図3
2参照)。
The validity of the ticket and the details of the user check process will be described with reference to the flowcharts of FIGS. 57 and 58. The device that has received the ticket from the ticket user (ex. A reader / writer as a device access device, a PC, etc.) verifies the ticket type in step S511 in FIG. 57, and the ticket is a partition registration ticket (PRT). It is determined whether or not. The ticket type is recorded in each ticket (FIGS. 26, 27, 28, 31, and 3).
2).

【0403】チケットタイプがパーティション登録チケ
ット(PRT:Partition Registration Ticket)であ
る場合は、ステップS512〜S514を実行し、パー
ティション登録チケット(PRT:Partition Registra
tion Ticket)でない場合は、ステップS515に進
む。
[0403] ticket type partition registration ticket (PRT: Partition Registration Ticket) if it is to perform a step S512~S514, partition registration ticket (PRT: Partition Registra
If not (Operation Ticket), the process proceeds to step S515.

【0404】チケットタイプがパーティション登録チケ
ット(PRT:Partition Registration Ticket)であ
る場合は、ステップS512において、チケットに記述
されたIntegrity Check Type(チケット(Ticket)の正
当性検証値の種別(公開鍵方式(Public) /共通鍵方式(C
ommon)))の設定が公開鍵方式(Public)であるか否かを
判定する。
[0404] ticket type partition registration ticket (PRT: Partition Registration Ticket) if it is, in step S512, the type of the validity verification value of the ticket to the described Integrity Check Type (ticket (Ticket) (public key system ( Public) / shared key method (C
ommon))) It is determined whether the setting is the public key method (Public).

【0405】正当性検証値の種別(Integrity Check Ty
pe)が公開鍵方式(Public)である場合、ステップS51
3に進み、各種処理を実行する。ステップS513で実
行する処理は、まず、デバイスマネージャ対応認証局
(CA(DEV))の公開鍵PUB CA(DEV)を
用いたチケット発行者(Ticket Issuer)の公開鍵証明
書(CERT)の検証処理である。
[0405] Type of Integrity Validation Value (Integrity Check Ty
If (pe) is the public key method (Public), step S51
Proceed to 3 to execute various processes. The process executed in step S513 is first a process of verifying the public key certificate (CERT) of the ticket issuer (Ticket Issuer) using the public key PUB CA (DEV) of the certificate authority (CA (DEV)) corresponding to the device manager. It is.

【0406】前述したように、パーティション登録チケ
ット(PRT)発行手段(PRT Issuer)の発行したチケ
ット(Ticket)を、チケットユーザに対して送信する際
には、公開鍵方式の場合、パーティション登録チケット
(PRT)発行手段(PRT Issuer)の公開鍵証明書(CE
RT_PRTI)も一緒にデバイスに送信される。なお、PR
T発行手段の公開鍵証明書(CERT_PRTI)の属性(Attri
bute)は、パーティション登録チケット(PRT)発行
手段(PRT User)の識別子(PRTIC)と一致する。
As described above, when transmitting the ticket (Ticket) issued by the partition registration ticket (PRT) issuing means (PRT Issuer) to the ticket user, in the case of the public key method, the partition registration ticket (PRT) is issued. (PRT) Issuing means (PRT Issuer) public key certificate (CE
RT_PRTI) is also sent to the device. In addition, PR
Attributes of public key certificate (CERT_PRTI) of T issuing means (Attri
bute) matches the identifier (PRTIC) of the partition registration ticket (PRT) issuing means (PRT User).

【0407】公開鍵証明書(図11参照)にはデバイス
マネージャ対応認証局(CA(DEV))の秘密鍵で実
行された署名が付加されており、この署名をデバイスマ
ネージャ対応認証局(CA(DEV))の公開鍵PUB
CA(DEV)を用いて検証する。署名生成、検証
は、例えば先に説明した図12、図13のフローに従っ
た処理として実行される。この署名検証により、チケッ
ト発行者の公開鍵証明書(CERT)が改竄されたもの
でない正当な公開鍵証明書(CERT)であるか否かが
判定される。
The public key certificate (see FIG. 11) is provided with a signature executed with the private key of the CA (DEV) corresponding to the device manager, and this signature is attached to the CA (CA (DEV)). DEV)) public key PUB
Verification is performed using CA (DEV). The signature generation and verification are executed, for example, as processing according to the flowcharts of FIGS. 12 and 13 described above. By this signature verification, it is determined whether or not the ticket issuer's public key certificate (CERT) is a legitimate public key certificate (CERT) that is not falsified.

【0408】さらに、ステップS513では、署名検証
により正当性が確認されたチケット発行手段の公開鍵証
明書(CERT)のオプション領域に記録されたユーザ
のカテゴリとしてのコードが、デバイス内のDKDB
(Device Key Definition Block)(PUB)に記録されたチ
ケット発行手段コード(PRTIC:PRT Issuer Cod
e)と一致するか否かを判定する。
[0408] Further, in step S513, the code as the category of the user recorded in the option area of the public key certificate (CERT) of the ticket issuing means whose validity has been confirmed by signature verification is stored in the DKDB in the device.
(Device Key Definition Block) (PUB) recorded ticket issuing means code (PRTIC: PRT Issuer Cod)
j) Whether or not it matches e) is determined.

【0409】公開鍵証明書には、図11の公開鍵証明書
の説明の欄で記述したように、各チケット(PRT,F
RT、SPTなど)の発行手段であるチケット発行手段
(Ticket Issuer)の所属コード、この場合、PRTI
C(PRT Issuer Code)が記録されている。このオプシ
ョン領域のコードとデバイス内のDKDB(Device Key
Definition Block)(PUB)に記録されたチケット発行手
段コード(PRTIC:PRT Issuer Code)の一致を確
認することで、受信チケット(PRT)が正当なチケッ
ト発行手段によって発行されたチケットであることを確
認する。
As described in the description of the public key certificate in FIG. 11, each ticket (PRT, FRT) is included in the public key certificate.
RT, SPT, etc.), the affiliation code of the ticket issuing means (Ticket Issuer), in this case, PRTI
C (PRT Issuer Code) is recorded. The code in this optional area and the DKDB (Device Key
Confirm that the received ticket (PRT) is a ticket issued by a valid ticket issuing unit by confirming the match of the ticket issuing unit code (PRTIC: PRT Issuer Code) recorded in the Definition Block (PUB) I do.

【0410】さらに、デバイスは、デバイスのメモリ部
内のデバイス鍵領域(図18参照)に格納されたCRL_DE
V(排除デバイス(Device)、排除機器(デバイスアク
セス機器としてのリーダライタ、PC等のチケットユー
ザ、チケット発行手段)の公開鍵証明書識別子(ex.
シリアルナンバ:SN)を登録したリボケーションリス
ト(Revocation List (Certificate)))を参照して、
チケット発行手段(Ticket Issuer)がリボークされて
いないかを判定する。
[0410] Further, the device stores the CRL_DE stored in the device key area (see Fig. 18) in the memory section of the device.
V (device), the public key certificate identifier of the excluded device (a reader / writer as a device access device, a ticket user such as a PC, a ticket issuing unit) (ex.
Refer to the revocation list (Revocation List (Certificate)) in which the serial number (SN) is registered.
It is determined whether the ticket issuing means (Ticket Issuer) has not been revoked.

【0411】さらに、受信チケットであるパーティショ
ン登録チケット(PRT)(図26参照)に記録された
署名、すなわちIntegrity Check Value (チケット(Ti
cket)の正当性検証値(公開鍵方式:署名(Signatur
e)))の検証を実行し、チケットが改竄されていない
かを確認する。署名検証は、先の公開鍵証明書の署名検
証と同様、例えば図13のフローと同様のシーケンスに
従って実行される。
Further, the signature recorded in the partition registration ticket (PRT) (see FIG. 26) which is the reception ticket, that is, Integrity Check Value (Ticket (Ti
cket) (public key method: signature (Signatur
e) Perform the verification in ()) to confirm that the ticket has not been tampered with. The signature verification is executed, for example, according to the same sequence as the flow in FIG.

【0412】以上、(1)チケット発行者(Ticket Iss
uer)の公開鍵証明書(CERT)が改竄されたもので
ない正当な公開鍵証明書(CERT)であること、
(2)チケット発行者(Ticket Issuer)の公開鍵証明
書(CERT)のオプション領域に記録されたコード
と、デバイス内のDKDB(Device Key Definition Bl
ock)(PUB)に記録されたチケット発行手段コード(PR
TIC:PRT Issuer Code)の一致、(3)チケット発
行手段(Ticket Issuer)がリボークされていないこ
と、(4)受信チケット(PRT)の署名(Signatur
e)の検証によりチケットが改竄のないことの確認。以
上のすべての確認がなされたことを条件としてチケット
の正当性検証成功とする。上記(1)〜(4)のいずれ
かが確認されない場合は、チケットの正当性の確認が得
られないと判定され、パーティション登録チケット(P
RT:Partition Registration Ticket)を利用した処
理は中止される。
As described above, (1) Ticket Issuer
uer) public key certificate (CERT) is a legitimate public key certificate (CERT) that has not been tampered with;
(2) The code recorded in the option area of the public key certificate (CERT) of the ticket issuer (Ticket Issuer) and the DKDB (Device Key Definition Bl) in the device
ock) (PUB) recorded ticket issuing means code (PR
TIC: PRT Issuer Code), (3) that ticket issuer (Ticket Issuer) has not been revoked, (4) signature of received ticket (PRT) (Signatur
Confirmation that the ticket is not falsified by the verification in e). It is determined that the validity of the ticket has been successfully verified on condition that all the above confirmations have been made. If any of the above (1) to (4) is not confirmed, it is determined that the validity of the ticket cannot be confirmed, and the partition registration ticket (P
Processing using RT (Partition Registration Ticket) is stopped.

【0413】また、ステップS512において、チケッ
トに記述されたIntegrity Check Type(チケット(Tick
et)の正当性検証値の種別(公開鍵方式(Public) /共通
鍵方式(Common)))の設定が共通鍵方式(Common)である
と判定された場合は、ステップS514に進みMAC
(Message Authentication Code)検証を実行する。デ
バイスは、デバイスのデバイス鍵領域(図18参照)に
格納されたパーティション登録チケット(PRT)のM
AC検証用鍵:Kprtを使用してチケットのMAC検
証処理を実行する。
[0413] In addition, in step S512, is described in the ticket was Integrity Check Type (ticket (Tick
If it is determined that the setting of the type (public key method (Public) / common key method (Common)) of the validity verification value of (et) is the common key method (Common), the process proceeds to step S514 and the MAC
(Message Authentication Code) Performs verification. The device determines the M of the partition registration ticket (PRT) stored in the device key area (see FIG. 18) of the device.
An AC verification key: Kprt is used to execute a ticket MAC verification process.

【0414】図59にDES暗号処理構成を用いたMA
C値生成例を示す。図59の構成に示すように対象とな
るメッセージを8バイト単位に分割し、(以下、分割さ
れたメッセージをM1、M2、・・・、MNとする)、
まず、初期値(Initial Value(以下、IVとする))
とM1を排他的論理和する(その結果をI1とする)。
次に、I1をDES暗号化部に入れ、MAC検証用鍵:
Kprtを用いて暗号化する(出力をE1とする)。続
けて、E1およびM2を排他的論理和し、その出力I2
をDES暗号化部へ入れ、鍵Kprtを用いて暗号化す
る(出力E2)。以下、これを繰り返し、全てのメッセ
ージに対して暗号化処理を施す。最後に出てきたENが
メッセージ認証符号(MAC(Message Authentication
Code))となる。なお、メッセージとしては、検証対
象となるデータを構成する部分データが使用可能であ
る。
FIG. 59 shows an MA using the DES encryption processing configuration.
An example of generating a C value will be described. As shown in the configuration of FIG. 59, the target message is divided into 8-byte units (hereinafter, the divided messages are referred to as M1, M2,..., MN).
First, the initial value (Initial Value (hereinafter referred to as IV))
And M1 are XORed (the result is I1).
Next, I1 is put into the DES encryption unit, and the MAC verification key:
Encrypt using Kprt (output is E1). Then, E1 and M2 are XORed, and the output I2
Into the DES encryption unit, and encrypts the DES using the key Kprt (output E2). Hereinafter, this is repeated, and encryption processing is performed on all messages. The last EN that appears is a message authentication code (MAC).
Code)). Note that partial data constituting data to be verified can be used as the message.

【0415】改竄のないことが保証された例えばデータ
送信側がデータ生成時に生成したICV(Integrity Ch
eck Value)と、データ受信側が受信データに基づいて
生成したICVとを比較して同一のICVが得られれば
データに改竄のないことが保証され、ICVが異なれ
ば、改竄があったと判定される。改竄のないことが保証
された例えばデータ送信側がデータ生成時に生成したI
CVは、図26のパーティション登録チケット(PR
T)のフォーマットに関する記述において説明したよう
に、PRTのICV(Integrity Check Value)フィー
ルドに格納されている。デバイスが生成したICVと受
信チケット(PRT)に格納されたICVとを比較して
一致していればチケットの正当性ありと判定し、不一致
の場合はチケット改竄ありと判定し、チケットを利用し
た処理を中止する。
[0415] For example, an ICV (Integrity Ch.
eck Value) is compared with the ICV generated by the data receiving side based on the received data. If the same ICV is obtained, it is guaranteed that the data has not been tampered with. If the ICVs are different, it is determined that the data has been tampered with. . For example, the data generated by the data transmission side when data is
The CV uses the partition registration ticket (PR
As described in the description regarding the format of T), the information is stored in the ICV (Integrity Check Value) field of the PRT. The ICV generated by the device is compared with the ICV stored in the received ticket (PRT). If they match, it is determined that the ticket is valid. If they do not match, it is determined that the ticket has been tampered, and the ticket is used. Cancel processing.

【0416】上述の処理によってチケットに記述された
Integrity Check Typeが共通鍵方式である場合のチケッ
ト検証処理が完了する。
[0416] The information described in the ticket by the above processing
The ticket verification processing when the Integrity Check Type is the common key method is completed.

【0417】図57のフローに戻り、チケットの正当性
と利用者チェック処理について説明を続ける。ステップ
S511において、チケットタイプがパーティション登
録チケット(PRT:Partition Registration Ticke
t)でないと判定された場合は、ステップS515にお
いてチケットタイプを検証しチケットがファイル登録チ
ケット(FRT:File Registration Ticket)であるか
否かを判定する。
[0417] Returning to the flow of Fig. 57, description of ticket validity and user check processing will be continued. In step S511, the ticket type is a partition registration ticket (PRT: Partition Registration Ticke).
If not, the ticket type is verified in step S515 to determine whether the ticket is a file registration ticket (FRT: File Registration Ticket).

【0418】チケットタイプがファイル登録チケット
(FRT:File Registration Ticket)である場合は、
ステップS516〜S518を実行し、ファイル登録チ
ケット(FRT:File Registration Ticket)でない場
合は、ステップS519に進む。
When the ticket type is a file registration ticket (FRT: File Registration Ticket),
Steps S516 to S518 are executed, and if it is not a file registration ticket (FRT: File Registration Ticket), the process proceeds to step S519.

【0419】チケットタイプがファイル登録チケット
(FRT:File Registration Ticket)である場合は、
ステップS516において、チケットに記述されたInte
grityCheck Type(チケット(Ticket)の正当性検証値
の種別(公開鍵方式(Public) /共通鍵方式(Common)))
の設定が公開鍵方式(Public)であるか否かを判定する。
[0419] If the ticket type is a file registration ticket (FRT: File Registration Ticket),
In step S516, the Inte described in the ticket
grityCheck Type (Type of validity verification value of ticket (Ticket) (Public key method (Public) / Common key method (Common)))
It is determined whether or not the setting is public key method (Public).

【0420】正当性検証値の種別(Integrity Check Ty
pe)が公開鍵方式(Public)である場合、ステップS51
7に進み、各種処理を実行する。ステップS517で実
行する処理は、まず、パーティションマネージャ対応認
証局(CA(PAR))の公開鍵PUB CA(PA
R)を用いたチケット発行者(Ticket Issuer)の公開
鍵証明書(CERT)の検証処理である。
The type of the validity verification value (Integrity Check Ty
If (pe) is the public key method (Public), step S51
Proceed to 7 to execute various processes. First, the process executed in step S517 includes the public key PUB CA (PA) of the partition manager compatible certificate authority (CA (PAR)).
R) is a process for verifying the public key certificate (CERT) of the ticket issuer (Ticket Issuer).

【0421】ファイル登録チケット(FRT)発行手段
(FRT Issuer)の発行したチケット(Ticket)を、チケ
ットユーザに対して送信する際には、公開鍵方式の場
合、ファイル登録チケット(FRT)発行手段(FRT Is
suer)の公開鍵証明書(CERT_FRTI)も一緒にデバイス
に送信される。なお、FRT発行手段の公開鍵証明書
(CERT_FRTI)の属性(Attribute)は、、ファイル登録
チケット(FRT)発行手段(FRT Issuer)の識別
子(FRTIC)と一致する。
When the ticket (Ticket) issued by the file registration ticket (FRT) issuance means (FRT Issuer) is transmitted to the ticket user, in the case of the public key system, the file registration ticket (FRT) issuance means ( FRT Is
suer) 's public key certificate (CERT_FRTI) is also sent to the device. Note that the attribute (Attribute) of the public key certificate (CERT_FRTI) of the FRT issuing unit matches the identifier (FRTIC) of the file registration ticket (FRT) issuing unit (FRT Issuer).

【0422】公開鍵証明書(図11参照)にはパーティ
ションマネージャ対応認証局(CA(PAR))の秘密
鍵で実行された署名が付加されており、この署名をパー
ティションマネージャ対応認証局(CA(PAR))の
公開鍵PUB CA(PAR)を用いて検証する。署名
生成、検証は、例えば先に説明した図12、図13のフ
ローに従った処理として実行される。この署名検証によ
り、チケット発行者の公開鍵証明書(CERT)が改竄
されたものでない正当な公開鍵証明書(CERT)であ
るか否かが判定される。
The public key certificate (see FIG. 11) has a signature executed with the private key of the CA (PAR) corresponding to the partition manager, and this signature is assigned to the CA (CA (PAR)). PAR)) using the public key PUB CA (PAR). The signature generation and verification are executed, for example, as processing according to the flowcharts of FIGS. 12 and 13 described above. By this signature verification, it is determined whether or not the ticket issuer's public key certificate (CERT) is a legitimate public key certificate (CERT) that is not falsified.

【0423】さらに、ステップS517では、署名検証
により正当性が確認されたチケット発行手段の公開鍵証
明書(CERT)のオプション領域に記録されたユーザ
の所属コードと、デバイス内のPKDB(Partition Ke
y Definition Block)(PUB)に記録されたチケット発行
手段コード(FRTIC:FRT Issuer Code)と一致す
るか否かを判定する。
In step S517, the user's affiliation code recorded in the option area of the public key certificate (CERT) of the ticket issuing means whose validity has been confirmed by signature verification and the PKDB (Partition Ke
It determines whether or not it matches the ticket issuing means code (FRTIC: FRT Issuer Code) recorded in the y Definition Block (PUB).

【0424】公開鍵証明書には、図11の公開鍵証明書
の説明の欄で記述したように、各チケット(PRT,F
RT、SPTなど)の発行手段であるチケット発行手段
(Ticket Issuer)の所属コード、この場合、FRTI
C(FRT Issuer Code)が記録されている。このオプシ
ョン領域のコードとデバイス内のPKDB(PartitionK
ey Definition Block)(PUB)に記録されたチケット発行
手段コード(FRTIC:FRT Issuer Code)の一致を
確認しすることで、受信チケット(FRT)が正当なチ
ケット発行手段によって発行されたチケットであること
を確認する。
The public key certificate includes each ticket (PRT, FRT) as described in the description of the public key certificate in FIG.
RT, SPT, etc.), the affiliation code of the ticket issuing means (Ticket Issuer), in this case FRTI
C (FRT Issuer Code) is recorded. The code in this optional area and the PKDB (PartitionK
The received ticket (FRT) is a ticket issued by a valid ticket issuing unit by confirming the match of the ticket issuing unit code (FRTIC: FRT Issuer Code) recorded in the ey Definition Block (PUB) Check.

【0425】さらに、デバイスは、デバイスのメモリ部
内のパーティション鍵領域(図23参照)に格納された
CRL_PAR(排除デバイス(Device)、排除機器(デバイ
スアクセス機器としてのリーダライタ、PC等のチケッ
トユーザ、チケット発行手段)の公開鍵証明書識別子
(ex.シリアルナンバ:SN)を登録したリボケーシ
ョンリスト(Revocation List (Certificate))を参照
して、チケット発行手段(Ticket Issuer)がリボーク
されていないかを判定する。
Further, the device is stored in the partition key area (see FIG. 23) in the memory section of the device.
CRL_PAR (rejection device (Device), revocation list (ex. Serial number: SN) in which the public key certificate identifier (ex. Serial number: SN) of the exclusion device (reader / writer as device access device, ticket user such as PC, ticket issuing means) Revocation List (Certificate)) to determine whether the ticket issuing means (Ticket Issuer) has been revoked.

【0426】さらに、受信チケットであるファイル登録
チケット(FRT)(図27参照)に記録された署名、
すなわちIntegrity Check Value (チケット(Ticket)
の正当性検証値(公開鍵方式:署名(Signature)))
の検証を実行し、チケットが改竄されていないかを確認
する。署名検証は、先の公開鍵証明書の署名検証と同
様、例えば図13のフローと同様のシーケンスに従って
実行される。
[0426] Further, the recorded signed a received ticket file registration ticket (FRT) (see FIG. 27),
That is, Integrity Check Value (Ticket)
Verification value (public key method: Signature))
And verify that the ticket has not been tampered with. The signature verification is executed, for example, according to the same sequence as the flow in FIG.

【0427】以上、(1)チケット発行者(Ticket Iss
uer)の公開鍵証明書(CERT)が改竄されたもので
ない正当な公開鍵証明書(CERT)であること、
(2)チケット発行者(Ticket Issuer)の公開鍵証明
書(CERT)のオプション領域に記録されたコード
と、デバイス内のPKDB(Partition Key Definition
Block)(PUB)に記録されたチケット発行手段コード
(FRTIC:FRT Issuer Code)の一致、(3)チケ
ット発行手段(Ticket Issuer)がリボークされていな
いこと、(4)受信チケット(FRT)の署名(Signat
ure)の検証によりチケットが改竄のないことの確認。
以上のすべての確認がなされたことを条件としてファイ
ル登録チケット(FRT)の正当性検証成功とする。上
記(1)〜(4)のいずれかが確認されない場合は、フ
ァイル登録チケット(FRT)の正当性の確認が得られ
ないと判定され、ファイル登録チケット(FRT)を利
用した処理は中止される。
As described above, (1) Ticket issuer (Ticket Iss
uer) public key certificate (CERT) is a legitimate public key certificate (CERT) that has not been tampered with;
(2) The code recorded in the option area of the public key certificate (CERT) of the ticket issuer (Ticket Issuer) and the PKDB (Partition Key Definition) in the device
Block) (PUB), the matching of the ticket issuing means code (FRTIC: FRT Issuer Code), (3) that the ticket issuing means (Ticket Issuer) has not been revoked, (4) the signature of the received ticket (FRT) (Signat
ure) to confirm that the ticket has not been tampered with.
The validity verification of the file registration ticket (FRT) is determined to be successful on condition that all the above confirmations are made. If any of the above (1) to (4) is not confirmed, it is determined that the validity of the file registration ticket (FRT) cannot be confirmed, and the process using the file registration ticket (FRT) is stopped. .

【0428】また、ステップS516において、チケッ
トに記述されたIntegrity Check Type(チケット(Tick
et)の正当性検証値の種別(公開鍵方式(Public) /共通
鍵方式(Common)))の設定が共通鍵方式(Common)である
と判定された場合は、ステップS518に進みMAC
(Message Authentication Code)検証を実行する。デ
バイスは、デバイスのパーティション鍵領域(図23参
照)に格納されたファイル登録チケット(FRT)のM
AC検証用鍵:Kfrtを使用してチケットのMAC検
証処理を実行する。MAC検証処理は、先に説明した図
59のDES暗号処理構成を用いたMAC値生成処理に
従って実行される。
[0428] Also, in step S516, the Integrity Check Type (ticket (Tick
If it is determined that the setting of the type (public key method (Public) / common key method (Common)) of the validity verification value of (et) is the common key method (Common), the process proceeds to step S518 and the MAC
(Message Authentication Code) Performs verification. The device stores the M of the file registration ticket (FRT) stored in the partition key area (see FIG. 23) of the device.
Using the AC verification key: Kfrt, the MAC verification process of the ticket is executed. The MAC verification processing is executed according to the MAC value generation processing using the DES encryption processing configuration of FIG. 59 described above.

【0429】改竄のないことが保証された例えばデータ
送信側がデータ生成時に生成したICV(Integrity Ch
eck Value)と、データ受信側が受信データに基づいて
生成したICVとを比較して同一のICVが得られれば
データに改竄のないことが保証され、ICVが異なれ
ば、改竄があったと判定される。改竄のないことが保証
された例えばデータ送信側がデータ生成時に生成したI
CVは、図27のファイル登録チケット(FRT)のフ
ォーマットに関する記述において説明したように、FR
TのICV(Integrity Check Value)フィールドに格
納されている。デバイスが生成したICVと受信チケッ
ト(FRT)に格納されたICVとを比較して一致して
いればチケットの正当性ありと判定し、不一致の場合は
チケット改竄ありと判定し、チケットを利用した処理を
中止する。
For example, an ICV (Integrity Ch) generated at the time of data generation by the data transmitting side, which is guaranteed not to be falsified,
eck Value) is compared with the ICV generated by the data receiving side based on the received data. If the same ICV is obtained, it is guaranteed that the data has not been tampered with. If the ICVs are different, it is determined that the data has been tampered with. . For example, the data generated by the data transmission side when data is
As described in the description of the format of the file registration ticket (FRT) in FIG.
It is stored in the ICV (Integrity Check Value) field of T. The ICV generated by the device is compared with the ICV stored in the received ticket (FRT). If they match, it is determined that the ticket is valid. If they do not match, it is determined that the ticket has been altered, and the ticket is used. Cancel processing.

【0430】上述の処理によってチケットに記述された
Integrity Check Typeが共通鍵方式である場合のファイ
ル登録チケット(FRT)検証処理が完了する。
[0430] The information described in the ticket by the above processing
The file registration ticket (FRT) verification processing when the Integrity Check Type is the common key method is completed.

【0431】ステップS515において、チケットタイ
プがファイル登録チケット(FRT:File Registratio
n Ticket)でないと判定された場合は、ステップS51
9においてチケットタイプを検証しチケットがサービス
許可チケット(SPT:Service Permission Ticket)
であるか否かを判定する。
[0431] In step S515, the ticket type is a file registration ticket (FRT: File Registratio).
n Ticket), the process proceeds to step S51.
In step 9, the ticket type is verified and the ticket is a service permission ticket (SPT).
Is determined.

【0432】チケットタイプがサービス許可チケット
(SPT:Service Permission Ticket)である場合
は、ステップS520〜S522を実行し、サービス許
可チケット(SPT:Service Permission Ticket)で
ない場合は、ステップS523に進む。
If the ticket type is a service permission ticket (SPT: Service Permission Ticket), steps S520 to S522 are executed. If the ticket type is not a service permission ticket (SPT: Service Permission Ticket), the process proceeds to step S523.

【0433】チケットタイプがサービス許可チケット
(SPT:Service Permission Ticket)である場合
は、ステップS520において、チケットに記述された
IntegrityCheck Type(チケット(Ticket)の正当性検
証値の種別(公開鍵方式(Public)/共通鍵方式(Commo
n)))の設定が公開鍵方式(Public)であるか否かを判定
する。
If the ticket type is a service permission ticket (SPT: Service Permission Ticket), in step S520, the
IntegrityCheck Type (Type of validity verification value of ticket (Ticket) (Public key method (Public) / Common key method (Commo
n)) It is determined whether the setting of ()) is a public key method (Public).

【0434】正当性検証値の種別(Integrity Check Ty
pe)が公開鍵方式(Public)である場合、ステップS52
1に進み、各種処理を実行する。ステップS521で実
行する処理は、まず、パーティションマネージャ対応認
証局(CA(PAR))の公開鍵PUB CA(PA
R)を用いたチケット発行者(Ticket Issuer)の公開
鍵証明書(CERT)の検証処理である。
The type of integrity check value (Integrity Check Ty
If (pe) is the public key method (Public), step S52
Proceed to 1 to execute various processes. First, the process executed in step S521 includes the public key PUB CA (PA) of the partition manager compatible certificate authority (CA (PAR)).
R) is a process for verifying the public key certificate (CERT) of the ticket issuer (Ticket Issuer).

【0435】サービス許可チケット(SPT)発行手段
(SPT Issuer)の発行したチケット(Ticket)を、チケ
ットユーザに対して送信する際には、公開鍵方式の場
合、サービス許可チケット(SRT)発行手段(SPT Is
suer)の公開鍵証明書(CERT_SPTI)も一緒にデバイス
に送信される。なお、SPT発行手段の公開鍵証明書
(CERT_SPTI)の属性(Attribute)は、サービス許可チ
ケット(SPT)発行手段(SPT Issuer)の識別子(SPT
IC)と一致する。
When the ticket (Ticket) issued by the service permission ticket (SPT) issuance means (SPT Issuer) is transmitted to the ticket user, in the case of the public key method, the service permission ticket (SRT) issuance means ( SPT Is
suer) 's public key certificate (CERT_SPTI) is also sent to the device. Note that the attribute (Attribute) of the public key certificate (CERT_SPTI) of the SPT issuing means is the identifier (SPT) of the service permission ticket (SPT) issuing means (SPT Issuer).
IC).

【0436】公開鍵証明書(図11参照)にはパーティ
ションマネージャ対応認証局(CA(PAR))の秘密
鍵で実行された署名が付加されており、この署名をパー
ティションマネージャ対応認証局(CA(PAR))の
公開鍵PUB CA(PAR)を用いて検証する。署名
生成、検証は、例えば先に説明した図12、図13のフ
ローに従った処理として実行される。この署名検証によ
り、チケット発行者の公開鍵証明書(CERT)が改竄
されたものでない正当な公開鍵証明書(CERT)であ
るか否かが判定される。
The public key certificate (see FIG. 11) has a signature executed with the private key of the CA (PAR) corresponding to the partition manager, and this signature is provided to the CA (CA (PAR) corresponding to the partition manager). PAR)) using the public key PUB CA (PAR). The signature generation and verification are executed, for example, as processing according to the flowcharts of FIGS. 12 and 13 described above. By this signature verification, it is determined whether or not the ticket issuer's public key certificate (CERT) is a legitimate public key certificate (CERT) that is not falsified.

【0437】さらに、ステップS521では、署名検証
により正当性が確認されたチケット発行手段の公開鍵証
明書(CERT)のオプション領域に記録されたユーザ
の所属コードと、デバイス内のファイル定義ブロック
(FDB:File Definition Block)に記録されたチケ
ット発行手段コード(SPTIC:SPT Issuer Code)
と一致するか否かを判定する。
[0437] Further, in step S521, the user's belonging code recorded in the option area of the public key certificate (CERT) of the ticket issuing means whose validity has been confirmed by signature verification and the file definition block (FDB) in the device. : File Definition Block) recorded ticket issuing means code (SPTIC: SPT Issuer Code)
Is determined.

【0438】公開鍵証明書には、図11の公開鍵証明書
の説明の欄で記述したように、各チケット(PRT,F
RT、SPTなど)の発行手段であるチケット発行手段
(Ticket Issuer)の所属コード、この場合、SPTI
C(SPT Issuer Code)が記録されている。このオプシ
ョン領域のコードとデバイス内のFDB(File Definit
ion Block)に記録されたチケット発行手段コード(S
PTIC:SPT Issuer Code)の一致を確認しすること
で、受信チケット(SPT)が正当なチケット発行手段
によって発行されたチケットであることを確認する。
As described in the description of the public key certificate in FIG. 11, each ticket (PRT, FRT) is included in the public key certificate.
RT, SPT, etc.), the affiliation code of the ticket issuing means (Ticket Issuer), in this case SPTI
C (SPT Issuer Code) is recorded. The code in this optional area and the FDB (File Definit
ticket issuing means code (S
By confirming that PTIC (SPT Issuer Code) matches, it is confirmed that the received ticket (SPT) is a ticket issued by a valid ticket issuing unit.

【0439】さらに、デバイスは、デバイスのメモリ部
内のパーティション鍵領域(図23参照)に格納された
CRL_PAR(排除デバイス(Device)、排除機器(デバイ
スアクセス機器としてのリーダライタ、PC等のチケッ
トユーザ、チケット発行手段)の公開鍵証明書識別子
(ex.シリアルナンバ:SN)を登録したリボケーシ
ョンリスト(Revocation List (Certificate)))を参
照して、チケット発行手段(Ticket Issuer)がリボー
クされていないかを判定する。
Further, the device is stored in the partition key area (see FIG. 23) in the memory section of the device.
CRL_PAR (rejection device (Device), revocation list (ex. Serial number: SN) in which the public key certificate identifier (ex. Serial number: SN) of the exclusion device (reader / writer as device access device, ticket user such as PC, ticket issuing means) is registered Revocation List (Certificate))) to determine whether the ticket issuing means (Ticket Issuer) has been revoked.

【0440】さらに、受信チケットであるサービス許可
チケット(SPT)(図28、図31参照)に記録され
た署名、すなわちIntegrity Check Value (チケット
(Ticket)の正当性検証値(公開鍵方式:署名(Signat
ure))の検証を実行し、チケットが改竄されていない
かを確認する。署名検証は、先の公開鍵証明書の署名検
証と同様、例えば図13のフローと同様のシーケンスに
従って実行される。
Further, the signature recorded in the service permission ticket (SPT) (see FIGS. 28 and 31) which is a received ticket, that is, the integrity check value (validity verification value of the ticket (Ticket) (public key method: signature ( Signat
ure)) to verify that the ticket has not been tampered with. The signature verification is executed, for example, according to the same sequence as the flow in FIG.

【0441】以上、(1)チケット発行者(Ticket Iss
uer)の公開鍵証明書(CERT)が改竄されたもので
ない正当な公開鍵証明書(CERT)であること、
(2)チケット発行者(Ticket Issuer)の公開鍵証明
書(CERT)のオプション領域に記録されたコード
と、デバイス内のFDB(File Definition Block)に
記録されたチケット発行手段コード(SPTIC:SPT
Issuer Code)の一致、(3)チケット発行手段(Ticke
t Issuer)がリボークされていないこと、(4)受信チ
ケット(SPT)の署名(Signature)の検証によりチ
ケットが改竄のないことの確認。以上のすべての確認が
なされたことを条件としてサービス許可チケット(SP
T)の正当性検証成功とする。上記(1)〜(4)のい
ずれかが確認されない場合は、サービス許可チケット
(SPT)の正当性の確認が得られないと判定され、サ
ービス許可チケット(SPT)を利用した処理は中止さ
れる。
As described above, (1) Ticket issuer (Ticket Iss
uer) public key certificate (CERT) is a legitimate public key certificate (CERT) that has not been tampered with;
(2) The code recorded in the option area of the public key certificate (CERT) of the ticket issuer (Ticket Issuer) and the ticket issuing means code (SPTIC: SPT) recorded in the FDB (File Definition Block) in the device
Issuer Code), (3) Ticket issuing means (Ticke
(4) Confirm that the ticket has not been tampered with by verifying the signature of the received ticket (SPT). The service permission ticket (SP
It is determined that the validity verification of T) is successful. If any of the above (1) to (4) is not confirmed, it is determined that the validity of the service permission ticket (SPT) cannot be confirmed, and the process using the service permission ticket (SPT) is stopped. .

【0442】また、ステップS520において、チケッ
トに記述されたIntegrity Check Type(チケット(Tick
et)の正当性検証値の種別(公開鍵方式(Public) /共通
鍵方式(Common)))の設定が共通鍵方式(Common)である
と判定された場合は、ステップS522に進みMAC
(Message Authentication Code)検証を実行する。デ
バイスは、デバイスのファイル定義ブロック(図24参
照)に格納されたサービス許可チケット(SPT)のM
AC検証用鍵:Ksptを使用してチケットのMAC検
証処理を実行する。MAC検証処理は、先に説明した図
59のDES暗号処理構成を用いたMAC値生成処理に
従って実行される。
In step S520, the Integrity Check Type (ticket (Tick
If the setting of the type (public key method (Public) / common key method (Common)) of the validity verification value of et) is determined to be the common key method (Common), the process proceeds to step S522 and the MAC
(Message Authentication Code) Performs verification. The device checks the M of the service permission ticket (SPT) stored in the file definition block (see FIG. 24) of the device.
An AC verification key: Kspt is used to execute a ticket MAC verification process. The MAC verification processing is executed according to the MAC value generation processing using the DES encryption processing configuration of FIG. 59 described above.

【0443】改竄のないことが保証された例えばデータ
送信側がデータ生成時に生成したICV(Integrity Ch
eck Value)と、データ受信側が受信データに基づいて
生成したICVとを比較して同一のICVが得られれば
データに改竄のないことが保証され、ICVが異なれ
ば、改竄があったと判定される。改竄のないことが保証
された例えばデータ送信側がデータ生成時に生成したI
CVは、図28、図31のサービス許可チケット(SP
T)のフォーマットに関する記述において説明したよう
に、SPTのICV(Integrity Check Value)フィー
ルドに格納されている。デバイスが生成したICVと受
信チケット(SPT)に格納されたICVとを比較して
一致していればチケットの正当性ありと判定し、不一致
の場合はチケット改竄ありと判定し、サービス許可チケ
ット(SPT)を利用した処理を中止する。
[0443] For example, an ICV (Integrity Ch) generated at the time of data generation by the data transmitting side, which is guaranteed not to be falsified, is used.
eck Value) is compared with the ICV generated by the data receiving side based on the received data. If the same ICV is obtained, it is guaranteed that the data has not been tampered with. If the ICVs are different, it is determined that the data has been tampered with. . For example, the data generated by the data transmission side when data is
The CV uses the service permission ticket (SP
As described in the description of the format of T), the information is stored in the ICV (Integrity Check Value) field of the SPT. The ICV generated by the device is compared with the ICV stored in the received ticket (SPT). If they match, it is determined that the ticket is valid. If they do not match, it is determined that the ticket has been tampered, and the service permission ticket ( Processing using SPT) is stopped.

【0444】上述の処理によってサービス許可チケット
(SPT)に記述されたIntegrityCheck Typeが共通鍵
方式である場合のサービス許可チケット(SPT)検証
処理が完了する。
With the above-described processing, the service permission ticket (SPT) verification processing when the Integrity Check Type described in the service permission ticket (SPT) is the common key method is completed.

【0445】ステップS519において、チケットタイ
プがサービス許可チケット(SPT:Service Permissi
on Ticket)でないと判定された場合は、ステップS5
23においてチケットタイプを検証しチケットがデータ
アップデートチケット-DEV(DUT:Data Update T
icket(DEV))(図32参照)であるか否かを判定する。デ
ータアップデートチケット(DUT)は前述したように
デバイスのメモリ部に格納された各種データの更新処理
を実行する際のアクセス許可チケットであり、デバイス
マネージャの管理データを更新する処理に適用するデー
タアップデートチケット-DEV(DUT(DEV))
とパーティションマネージャの管理データを更新する処
理に適用するデータアップデートチケット-PAR(D
UT(PAR))とがある。
In step S519, the ticket type is a service permission ticket (SPT: Service Permissi
on Ticket), it is determined in step S5
23, the ticket type is verified, and the ticket is a data update ticket-DEV (DUT: Data Update T
icket (DEV)) (see FIG. 32). As described above, the data update ticket (DUT) is an access permission ticket for executing update processing of various data stored in the memory unit of the device, and is a data update ticket applied to processing for updating management data of the device manager. -DEV (DUT (DEV))
Update ticket-PAR (D) applied to the process of updating the management data of the partition manager and the partition manager
UT (PAR)).

【0446】チケットタイプがデータアップデートチケ
ット-DEV(DUT(DEV))である場合は、ステ
ップS524〜S528を実行し、データアップデート
チケット(DEV)(DUT:Data Update Ticket(DE
V))でない場合は、ステップS529に進む。
If the ticket type is data update ticket-DEV (DUT (DEV)), steps S524 to S528 are executed, and a data update ticket (DEV) (DUT: Data Update Ticket (DE)) is executed.
If not V)), the flow proceeds to step S529.

【0447】チケットタイプがデータアップデートチケ
ット-DEV(DUT(DEV))である場合は、ステ
ップS524において、チケットに記述されたIntegrit
y Check Type(チケット(Ticket)の正当性検証値の種
別(公開鍵方式(Public) /共通鍵方式(Common)))の設
定が公開鍵方式(Public)であるか否かを判定する。
If the ticket type is data update ticket-DEV (DUT (DEV)), in step S524 the Integrit described in the ticket
y It is determined whether or not the setting of Check Type (the type (public key method (Public) / common key method (Common))) of the validity verification value of the ticket is the public key method (Public).

【0448】正当性検証値の種別(Integrity Check Ty
pe)が公開鍵方式(Public)である場合、ステップS52
5に進み、各種処理を実行する。ステップS525で実
行する処理は、まず、デバイスマネージャ対応認証局
(CA(DEV))の公開鍵PUB CA(DEV)を
用いたチケット発行者(Ticket Issuer)の公開鍵証明
書(CERT)の検証処理である。
The type of the validity verification value (Integrity Check Ty
If (pe) is the public key method (Public), step S52
Proceed to 5 to execute various processes. The process executed in step S525 is a process of first verifying the public key certificate (CERT) of the ticket issuer (Ticket Issuer) using the public key PUB CA (DEV) of the certificate authority (CA (DEV)) corresponding to the device manager. It is.

【0449】データアップデートチケット-DEV(D
UT(DEV))発行手段(DUT Issuer)の発行したチ
ケット(Ticket)を、チケットユーザに対して送信する
際には、公開鍵方式の場合、データアップデートチケッ
ト(DUT)発行手段(DUTIssuer)の公開鍵証明書(C
ERT_DUTI)も一緒にデバイスに送信される。なお、DU
T発行手段の公開鍵証明書(CERT_DUTI)の属性(Attri
bute)は、デバイス内のDKDB(PUB)(Device K
ey Definition Block)(PUB)に記録されたチケット発行
手段コード(DUTIC_DEV)の識別子(DUTIC)と一致す
る。
Data Update Ticket-DEV (D
When transmitting the ticket (Ticket) issued by the UT (DEV) issuing means (DUT Issuer) to the ticket user, in the case of the public key method, the data update ticket (DUT) issuing means (DUTIssuer) is disclosed. Key certificate (C
ERT_DUTI) is also sent to the device. DU
Attributes of public key certificate (CERT_DUTI) of T issuing means (Attri
bute) is the DKDB (PUB) (Device K
The identifier matches the identifier (DUTIC) of the ticket issuing means code (DUTIC_DEV) recorded in the ey Definition Block (PUB).

【0450】公開鍵証明書(図11参照)にはデバイス
マネージャ対応認証局(CA(DEV))の秘密鍵で実
行された署名が付加されており、この署名をデバイスマ
ネージャ対応認証局(CA(DEV))の公開鍵PUB
CA(DEV)を用いて検証する。署名生成、検証
は、例えば先に説明した図12、図13のフローに従っ
た処理として実行される。この署名検証により、チケッ
ト発行者の公開鍵証明書(CERT)が改竄されたもの
ではない正当な公開鍵証明書(CERT)であるか否か
が判定される。
The public key certificate (see FIG. 11) has a signature executed with the secret key of the CA (DEV) corresponding to the device manager, and this signature is added to the CA (DEV (CA (DEV)). DEV)) public key PUB
Verification is performed using CA (DEV). The signature generation and verification are executed, for example, as processing according to the flowcharts of FIGS. 12 and 13 described above. This signature verification determines whether the ticket issuer's public key certificate (CERT) is a legitimate public key certificate (CERT) that is not falsified.

【0451】さらに、ステップS525では、署名検証
により正当性が確認されたチケット発行手段の公開鍵証
明書(CERT)のオプション領域に記録されたユーザ
の所属コードと、デバイス内のDKDB(PUB)(De
vice Key Definition Block)(PUB)に記録されたチケッ
ト発行手段コード(DUTIC_DEV:DUT Issuer Category
for Device)と一致するか否かを判定する。
Further, in step S525, the user's affiliation code recorded in the option area of the public key certificate (CERT) of the ticket issuing means, whose validity has been confirmed by signature verification, and the DKDB (PUB) ( De
vice key definition block (PUB) recorded ticket issuing means code (DUTIC_DEV: DUT Issuer Category
for Device).

【0452】公開鍵証明書には、図11の公開鍵証明書
の説明の欄で記述したように、各チケット(PRT,F
RT、SPT、DUT)の発行手段であるチケット発行
手段(Ticket Issuer)の所属コード、この場合、DU
TIC(DUT Issuer Code)が記録されている。このオ
プション領域のコードとデバイス内のDKDB(PU
B)(Device Key Definition Block)(PUB)に記録され
たチケット発行手段コード(DUTIC_DEV:DUT Issuer C
ategory for Device)(図16参照)の一致を確認するこ
とで、受信チケット(DUT)が正当なチケット発行手
段によって発行されたチケットであることを確認する。
The public key certificate includes each ticket (PRT, FRT) as described in the description of the public key certificate in FIG.
RT, SPT, DUT) issuance code, which is the issuing code of the Ticket Issuer (Ticket Issuer), in this case DU
TIC (DUT Issuer Code) is recorded. The code of this optional area and the DKDB (PU
B) Ticket issuing means code (DUTIC_DEV: DUT Issuer C) recorded in (Device Key Definition Block) (PUB)
Attory for Device) (see FIG. 16), it is confirmed that the received ticket (DUT) is a ticket issued by a valid ticket issuing means.

【0453】さらに、デバイスは、デバイスのメモリ部
内のデバイス鍵領域(図18参照)に格納されたCRL_DE
V(排除デバイス(Device)、排除機器(デバイスアク
セス機器としてのリーダライタ、PC等のチケットユー
ザ、チケット発行手段)の公開鍵証明書識別子(ex.
シリアルナンバ:SN)を登録したリボケーションリス
ト(Revocation List (Certificate)))を参照して、
チケット発行手段(Ticket Issuer)がリボークされて
いないかを判定する。
Further, the device stores the CRL_DE stored in the device key area (see FIG. 18) in the memory section of the device.
V (device), the public key certificate identifier of the excluded device (a reader / writer as a device access device, a ticket user such as a PC, a ticket issuing unit) (ex.
Refer to the revocation list (Revocation List (Certificate)) in which the serial number (SN) is registered.
It is determined whether the ticket issuing means (Ticket Issuer) has not been revoked.

【0454】さらに、受信チケットであるデータアップ
デートチケット-DEV(DUT(DEV))(図32
参照)に記録された署名、すなわちIntegrity Check Va
lue(チケット(Ticket)の正当性検証値(公開鍵方
式:署名(Signature))の検証を実行し、チケットが
改竄されていないかを確認する。署名検証は、先の公開
鍵証明書の署名検証と同様、例えば図13のフローと同
様のシーケンスに従って実行される。
Further, a data update ticket-DEV (DUT (DEV)) which is a reception ticket (FIG. 32)
(See Integrity Check Va)
Performs verification of the validity verification value (public key method: Signature) of the lue (Ticket) to check whether the ticket has been tampered with. Similar to the verification, for example, it is executed according to the same sequence as the flow of FIG.

【0455】以上、(1)チケット発行者(Ticket Iss
uer)の公開鍵証明書(CERT)が改竄されたもので
ない正当な公開鍵証明書(CERT)であること、
(2)チケット発行者(Ticket Issuer)の公開鍵証明
書(CERT)のオプション領域に記録されたコード
と、デバイス内のDKDB(PUB)(Device Key Def
inition Block)(PUB)に記録されたチケット発行手段コ
ード(DUTIC_DEV:DUT Issuer Category for Device)
の一致、(3)チケット発行手段(Ticket Issuer)が
リボークされていないこと、(4)受信チケット(DU
T)の署名(Signature)の検証によりチケットが改竄
のないことの確認。以上のすべての確認がなされたこと
を条件としてデータアップデートチケット-DEV(D
UT(DEV))の正当性検証成功とする。上記(1)
〜(4)のいずれかが確認されない場合は、データアッ
プデートチケット-DEV(DUT(DEV))の正当
性の確認が得られないと判定され、データアップデート
チケット-DEV(DUT(DEV))を利用した処理
は中止される。
As described above, (1) Ticket issuer (Ticket Iss
uer) public key certificate (CERT) is a legitimate public key certificate (CERT) that has not been tampered with;
(2) The code recorded in the option area of the public key certificate (CERT) of the ticket issuer (Ticket Issuer) and the DKDB (PUB) (Device Key Def) in the device
Initiation block code (DUTIC_DEV: DUT Issuer Category for Device) recorded in the inition block (PUB)
(3) that the ticket issuer (Ticket Issuer) has not been revoked, (4) the received ticket (DU)
T) Verify that the ticket is not falsified by verifying the Signature. The data update ticket-DEV (D
UT (DEV)) is determined to be valid. The above (1)
If any of (4) to (4) is not confirmed, it is determined that the validity of the data update ticket-DEV (DUT (DEV)) cannot be obtained, and the data update ticket-DEV (DUT (DEV)) is used. The performed processing is stopped.

【0456】また、ステップS524において、チケッ
トに記述されたIntegrity Check Type(チケット(Tick
et)の正当性検証値の種別(公開鍵方式(Public) /共通
鍵方式(Common)))の設定が共通鍵方式(Common)である
と判定された場合は、ステップS526において、デー
タアップデートチケット-DEV(DUT(DEV))
に記述されたOld Data Codeの示すデータがデバイス鍵
領域(図18参照)に格納されたKdut_DEV1(データア
ップデートチケット(DUT)のMAC検証用鍵)また
は、Kdut_DEV2(データ更新用暗号鍵)であるか否かを
判定する。
In step S524, the Integrity Check Type (ticket (Tick
If the setting of the type (public key method (Public) / common key method (Common)) of the validity verification value of (et) is determined to be the common key method (Common), the data update ticket is determined in step S526. -DEV (DUT (DEV))
Is the Kdut_DEV1 (MAC key for data update ticket (DUT) verification) or Kdut_DEV2 (encryption key for data update) stored in the device key area (see FIG. 18) Determine whether or not.

【0457】データアップデートチケット-DEV(D
UT(DEV))に記述されたOld Data Code(更新さ
れる古いデータのコード)の示すデータがデバイス鍵領
域(図18参照)に格納されたKdut_DEV1(データアッ
プデートチケット(DUT)のMAC検証用鍵)また
は、Kdut_DEV2(データ更新用暗号鍵)である場合は、
ステップS528において、デバイス鍵領域(図18参
照)に格納されたKdut_DEV3(データアップデートチケ
ット(DUT)のMAC検証用鍵)を用いてMAC検証
処理を実行し、データアップデートチケット-DEV
(DUT(DEV))に記述されたOld Data Code(更
新される古いデータのコード)の示すデータがデバイス
鍵領域(図18参照)に格納されたKdut_DEV1(データ
アップデートチケット(DUT)のMAC検証用鍵)ま
たは、Kdut_DEV2(データ更新用暗号鍵)でない場合
は、ステップS527において、デバイス鍵領域(図1
8参照)に格納されたKdut_DEV1(データアップデート
チケット(DUT)のMAC検証用鍵)を用いてMAC
検証処理を実行する。
Data Update Ticket-DEV (D
The data indicated by the Old Data Code (the code of the old data to be updated) described in the UT (DEV) is stored in the device key area (see FIG. 18), and the Kdut_DEV1 (the MAC key of the data update ticket (DUT)) is stored in the device key area. ) Or Kdut_DEV2 (encryption key for data update)
In step S528, MAC verification processing is executed using Kdut_DEV3 (MAC verification key of the data update ticket (DUT)) stored in the device key area (see FIG. 18), and the data update ticket-DEV
Data indicated by Old Data Code (code of old data to be updated) described in (DUT (DEV)) is used for Kdut_DEV1 (MAC verification of data update ticket (DUT)) stored in the device key area (see FIG. 18). If it is not Kdut_DEV2 (encryption key for data update), the device key area (FIG.
8) using Kdut_DEV1 (MAC key for data update ticket (DUT)) stored in MAC
Perform verification processing.

【0458】上述のようにMAC検証鍵の使い分けを実
行するのは、更新対象となっているデータが、Kdut_DEV
1(データアップデートチケット(DUT)のMAC検
証用鍵)または、Kdut_DEV2(データ更新用暗号鍵)で
ある場合は、これらの鍵データが何らかの理由、例えば
鍵情報の漏洩等により、使用を停止される予定の情報で
あるため、これらの更新対象データを用いたMAC検証
を避けるためである。MAC検証処理は、先に説明した
図59のDES暗号処理構成を用いたMAC値生成処理
に従って実行される。
As described above, when the MAC verification key is properly used, the data to be updated is the Kdut_DEV.
If it is 1 (MAC key for data update ticket (DUT)) or Kdut_DEV2 (encryption key for data update), use of these key data is stopped for some reason, for example, leakage of key information. This is to avoid MAC verification using the update target data because the information is scheduled. The MAC verification processing is executed according to the MAC value generation processing using the DES encryption processing configuration of FIG. 59 described above.

【0459】なお、デバイスは、デバイスのデバイス鍵
領域(図18参照)に新規にKdut_DEV1(データアップ
デートチケット(DUT)のMAC検証用鍵)を格納す
る場合、以前に格納済みのKdut_DEV3(データアップデ
ートチケット(DUT)のMAC検証用鍵)とのスワッ
プ、すなわち入れ替え処理を行なう。さらに、新規にKd
ut_DEV2(データ更新用暗号鍵)を格納する場合も、以
前に格納済みのKdut_DEV4(データ更新用暗号鍵)との
スワップ、すなわち入れ替え処理を行なう。
When the device newly stores Kdut_DEV1 (the MAC key for the data update ticket (DUT)) in the device key area (see FIG. 18) of the device, it stores the previously stored Kdut_DEV3 (data update ticket). (DUT) MAC swap key, that is, swap processing. In addition, a new Kd
When storing ut_DEV2 (data update encryption key), swapping with the previously stored Kdut_DEV4 (data update encryption key), that is, replacement processing is performed.

【0460】この、Kdut_DEV1と、Kdut_DEV3とのスワッ
プ、および、Kdut_DEV2と、Kdut_DEV4とのスワップ処理
によって、常にKdut_DEV3(データアップデートチケッ
ト(DUT)のMAC検証用鍵)、Kdut_DEV4(データ
更新用暗号鍵)のペアがKdut_DEV1(データアップデー
トチケット(DUT)のMAC検証用鍵)、Kdut_DEV2
(データ更新用暗号鍵)のペアよりも新しいバージョン
のものに維持される。つまり、Kdut_DEV1と、Kdut_DEV2
の鍵は常に使用される鍵で、Kdut_DEV3と、Kdut_DEV4
は、非常時にKdut_DEV1と、Kdut_DEV2を更新するととも
に、現在使用されているKdut_DEV1と、Kdut_DEV2の鍵に
置き換えられるバックアップ用の鍵としての役割があ
る。なお、これらの処理については、後段のデータアッ
プデートチケット(DUT)を用いたデータ更新処理の
説明において、さらに説明する。
By swapping Kdut_DEV1 and Kdut_DEV3, and swapping Kdut_DEV2 and Kdut_DEV4, Kdut_DEV3 (key for verifying the MAC of the data update ticket (DUT)) and Kdut_DEV4 (encryption key for data update) are always processed. The pair is Kdut_DEV1 (MAC key for data update ticket (DUT) MAC), Kdut_DEV2
It is maintained at a newer version than the (data update encryption key) pair. In other words, Kdut_DEV1 and Kdut_DEV2
Keys are always used keys, Kdut_DEV3 and Kdut_DEV4
Updates the Kdut_DEV1 and Kdut_DEV2 in an emergency, and has a role as a backup key that is replaced with the currently used Kdut_DEV1 and Kdut_DEV2 keys. These processes will be further described later in the description of the data update process using the data update ticket (DUT).

【0461】改竄のないことが保証された例えばデータ
送信側がデータ生成時に生成したICV(Integrity Ch
eck Value)と、データ受信側が受信データに基づいて
生成したICVとを比較して同一のICVが得られれば
データに改竄のないことが保証され、ICVが異なれ
ば、改竄があったと判定される。改竄のないことが保証
された例えばデータ送信側がデータ生成時に生成したI
CVは、図32のデータアップデートチケット(DU
T)のフォーマットに関する記述において説明したよう
に、データアップデートチケット(DUT)のICV
(Integrity Check Value)フィールドに格納されてい
る。
For example, an ICV (Integrity Ch) generated by the data transmitting side at the time of data generation, which is guaranteed to be free from tampering,
eck Value) is compared with the ICV generated by the data receiving side based on the received data. If the same ICV is obtained, it is guaranteed that the data has not been tampered with. If the ICVs are different, it is determined that the data has been tampered with. . For example, the data generated by the data transmission side when data is
The CV uses the data update ticket (DU) shown in FIG.
As described in the description regarding the format of T), the ICV of the data update ticket (DUT) is used.
(Integrity Check Value) field.

【0462】デバイスが生成したICVと受信チケット
であるデータアップデートチケット-DEV(DUT
(DEV))に格納されたICVとを比較して一致して
いればチケットの正当性ありと判定し、不一致の場合は
チケット改竄ありと判定し、データアップデートチケッ
ト-DEV(DUT(DEV))を利用した処理を中止
する。
The ICV generated by the device and the data update ticket-DEV (DUT
(DEV)), and if they match, it is determined that the ticket is valid. If they do not match, it is determined that the ticket has been tampered with, and the data update ticket-DEV (DUT (DEV)) Cancel the process using.

【0463】上述の処理によってデータアップデートチ
ケット-DEV(DUT(DEV))に記述されたInteg
rity Check Typeが共通鍵方式である場合のデータアッ
プデートチケット-DEV(DUT(DEV))検証処
理が完了する。
The Integ described in the data update ticket-DEV (DUT (DEV)) by the above processing
The data update ticket-DEV (DUT (DEV)) verification processing when the rity Check Type is the common key method is completed.

【0464】ステップS523において、チケットタイ
プがデータアップデートチケット-DEV(DUT(D
EV))でないと判定された場合は、チケットは、デー
タアップデートチケット-PAR(DUT(PAR))
(図32参照))であると判定される。データアップデー
トチケット-PAR(DUT(PAR))は、パーティ
ションマネージャの管理データを更新する処理に適用す
るチケットである。
In step S523, the ticket type is data update ticket-DEV (DUT (DUT (DUT
EV)), the ticket is a data update ticket-PAR (DUT (PAR))
(See FIG. 32)). The data update ticket-PAR (DUT (PAR)) is a ticket applied to the process of updating the management data of the partition manager.

【0465】この場合、ステップS529において、チ
ケットに記述されたIntegrity Check Type(チケット
(Ticket)の正当性検証値の種別(公開鍵方式(Public)
/共通鍵方式(Common)))の設定が公開鍵方式(Public)
であるか否かを判定する。
[0465] In this case, in step S529, the ticket to the described Integrity Check Type (ticket (Ticket type of validity verification value of) (public key system (Public)
/ Common Key Method (Common))) is set to Public Key Method (Public)
Is determined.

【0466】正当性検証値の種別(Integrity Check Ty
pe)が公開鍵方式(Public)である場合、ステップS53
0に進み、各種処理を実行する。ステップS530で実
行する処理は、まず、パーティションマネージャ対応認
証局(CA(PAR))の公開鍵PUB CA(PA
R)を用いたチケット発行者(Ticket Issuer)の公開
鍵証明書(CERT)の検証処理である。
The type of the validity verification value (Integrity Check Ty
If (pe) is the public key method (Public), step S53
The process proceeds to 0, and various processes are executed. The process executed in step S530 first includes the public key PUB CA (PA) of the partition manager compatible certificate authority (CA (PAR)).
R) is a process for verifying the public key certificate (CERT) of the ticket issuer (Ticket Issuer).

【0467】データアップデートチケット-PAR(D
UT(PAR))発行手段(DUT Issuer)の発行したチ
ケット(Ticket)を、チケットユーザに対して送信する
際には、公開鍵方式の場合、データアップデートチケッ
ト(DUT)発行手段(DUTIssuer)の公開鍵証明書(C
ERT_DUTI)も一緒にデバイスに送信される。なお、DU
T発行手段の公開鍵証明書(CERT_DUTI)の属性(Attri
bute)は、デバイス内のPKDB(PUB)(Pqrtitio
n Key Definition block)に記録されたチケット発行手
段コード(DUTIC_PAR)と一致する。
Data Update Ticket-PAR (D
When transmitting the ticket (Ticket) issued by the UT (PAR) issuing means (DUT Issuer) to the ticket user, in the case of the public key method, the data update ticket (DUT) issuing means (DUTIssuer) is disclosed. Key certificate (C
ERT_DUTI) is also sent to the device. DU
Attributes of public key certificate (CERT_DUTI) of T issuing means (Attri
bute) is the PKDB (PUB) (Pqrtitio) in the device.
n Key Definition block) matches the ticket issuing means code (DUTIC_PAR).

【0468】公開鍵証明書(図11参照)にはパーティ
ションマネージャ対応認証局(CA(PAR))の秘密
鍵で実行された署名が付加されており、この署名をパー
ティションマネージャ対応認証局(CA(PAR))の
公開鍵PUB CA(PAR)を用いて検証する。署名
生成、検証は、例えば先に説明した図12、図13のフ
ローに従った処理として実行される。この署名検証によ
り、チケット発行者の公開鍵証明書(CERT)が改竄
されたものでない正当な公開鍵証明書(CERT)であ
るか否かが判定される。
The public key certificate (see FIG. 11) is provided with a signature executed with the private key of the partition manager corresponding CA (PAR (PAR)). PAR)) using the public key PUB CA (PAR). The signature generation and verification are executed, for example, as processing according to the flowcharts of FIGS. 12 and 13 described above. By this signature verification, it is determined whether or not the ticket issuer's public key certificate (CERT) is a legitimate public key certificate (CERT) that is not falsified.

【0469】さらに、ステップS530では、署名検証
により正当性が確認されたチケット発行手段の公開鍵証
明書(CERT)のオプション領域に記録されたユーザ
の所属コードと、デバイス内のPKDB(PUB)(Pq
rtition Key Definition block)に記録されたチケット
発行手段コード(DUTIC_PAR:DUT Issuer Category forPa
rtition)と一致するか否かを判定する。
In step S530, the user's affiliation code recorded in the option area of the public key certificate (CERT) of the ticket issuing means whose validity has been confirmed by signature verification, and the PKDB (PUB) ( Pq
(DUTIC_PAR: DUT Issuer Category forPa)
rtition).

【0470】公開鍵証明書には、図11の公開鍵証明書
の説明の欄で記述したように、各チケット(PRT,F
RT、SPT、DUT)の発行手段であるチケット発行
手段(Ticket Issuer)の所属コード、この場合、DU
TIC(DUT Issuer Code)が記録されている。このオ
プション領域のコードとデバイス内のPKDB(PU
B)(Pqrtition Key Definition block)に記録された
チケット発行手段コード(DUTIC:DUT Issuer Category)
(図21参照)の一致を確認しすることで、受信チケット
(DUT)が正当なチケット発行手段によって発行され
たチケットであることを確認する。
The public key certificate contains each ticket (PRT, FRT) as described in the description of the public key certificate in FIG.
RT, SPT, DUT) issuance code, which is the issuing code of the Ticket Issuer (Ticket Issuer), in this case DU
TIC (DUT Issuer Code) is recorded. The code in this optional area and the PKDB (PU
B) Ticket issuing means code (DUTIC: DUT Issuer Category) recorded in (Pqrtition Key Definition block)
By confirming the match (see FIG. 21), it is confirmed that the received ticket (DUT) is a ticket issued by a valid ticket issuing unit.

【0471】さらに、デバイスは、デバイスのメモリ部
内のデバイス鍵領域(図18参照)に格納されたCRL_DE
V(排除デバイス(Device)、排除機器(デバイスアク
セス機器としてのリーダライタ、PC等のチケットユー
ザ、チケット発行手段)の公開鍵証明書識別子(ex.
シリアルナンバ:SN)を登録したリボケーションリス
ト(Revocation List (Certificate)))を参照して、
チケット発行手段(Ticket Issuer)がリボークされて
いないかを判定する。
[0471] Further, the device stores the CRL_DE stored in the device key area (see FIG. 18) in the memory section of the device.
V (device), the public key certificate identifier of the excluded device (a reader / writer as a device access device, a ticket user such as a PC, a ticket issuing unit) (ex.
Refer to the revocation list (Revocation List (Certificate)) in which the serial number (SN) is registered.
It is determined whether the ticket issuing means (Ticket Issuer) has not been revoked.

【0472】さらに、受信チケットであるデータアップ
デートチケット-PAR(DUT(PAR))(図32
参照)に記録された署名、すなわちIntegrity Check Va
lue(チケット(Ticket)の正当性検証値(公開鍵方
式:署名(Signature))の検証を実行し、チケットが
改竄されていないかを確認する。署名検証は、先の公開
鍵証明書の署名検証と同様、例えば図13のフローと同
様のシーケンスに従って実行される。
Further, a data update ticket-PAR (DUT (PAR)) which is a reception ticket (FIG. 32)
(See Integrity Check Va)
Performs verification of the validity verification value (public key method: Signature) of the lue (Ticket) to check whether the ticket has been tampered with. Similar to the verification, for example, it is executed according to the same sequence as the flow of FIG.

【0473】以上、(1)チケット発行者(Ticket Iss
uer)の公開鍵証明書(CERT)が改竄されたもので
ない正当な公開鍵証明書(CERT)であること、
(2)チケット発行者(Ticket Issuer)の公開鍵証明
書(CERT)のオプション領域に記録されたコード
と、デバイス内のPKDB(PUB)(Pqrtition Key
Definition block)に記録されたチケット発行手段コー
ド(DUTIC_PAR:DUT Issuer Category for Partition)の
一致、(3)チケット発行手段(Ticket Issuer)がリ
ボークされていないこと、(4)受信チケット(DU
T)の署名(Signature)の検証によりチケットが改竄
のないことの確認。以上のすべての確認がなされたこと
を条件としてデータアップデートチケット-PAR(D
UT)の正当性検証成功とする。上記(1)〜(4)の
いずれかが確認されない場合は、データアップデートチ
ケット-PAR(DUT(PAR))の正当性の確認が
得られないと判定され、データアップデートチケット-
PAR(DUT(PAR))を利用した処理は中止され
る。
As described above, (1) Ticket Issuer (Ticket Iss
uer) public key certificate (CERT) is a legitimate public key certificate (CERT) that has not been tampered with;
(2) The code recorded in the option area of the public key certificate (CERT) of the ticket issuer (Ticket Issuer) and the PKDB (PUB) (Pqrtition Key) in the device
Matching of the ticket issuing means code (DUTIC_PAR: DUT Issuer Category for Partition) recorded in the Definition block), (3) that the ticket issuing means (Ticket Issuer) has not been revoked, (4) the received ticket (DU)
T) Verify that the ticket is not falsified by verifying the Signature. Data Update Ticket-PAR (D, provided that all the above confirmations have been made
UT) is verified as valid. If any of the above (1) to (4) is not confirmed, it is determined that the validity of the data update ticket-PAR (DUT (PAR)) cannot be obtained, and the data update ticket-PAR is determined.
Processing using PAR (DUT (PAR)) is stopped.

【0474】また、ステップS529において、チケッ
トに記述されたIntegrity Check Type(チケット(Tick
et)の正当性検証値の種別(公開鍵方式(Public) /共通
鍵方式(Common)))の設定が共通鍵方式(Common)である
と判定された場合は、ステップS531において、デー
タアップデートチケット-PAR(DUT(PAR))
に記述されたOld Data Code(更新される古いデータの
コード)の示すデータがパーティション鍵領域(図23
参照)に格納されたKdut_PAR1(データアップデートチ
ケット(DUT)のMAC検証用鍵)または、Kdut_PAR
2(データ更新用暗号鍵)であるか否かを判定する。
In step S529, the Integrity Check Type (ticket (Tick
If the setting of the type (public key method (Public) / common key method (Common)) of the validity verification value of (et) is determined to be the common key method (Common), in step S531, the data update ticket is determined. -PAR (DUT (PAR))
The data indicated by Old Data Code (code of old data to be updated) described in the partition key area (FIG. 23)
Kdut_PAR1 (data verification ticket (DUT) MAC verification key) or Kdut_PAR
2 (data update encryption key).

【0475】データアップデートチケット-PAR(D
UT(PAR))に記述されたOld Data Code(更新さ
れる古いデータのコード)の示すデータがパーティショ
ン鍵領域(図23参照)に格納されたKdut_PAR1(デー
タアップデートチケット(DUT)のMAC検証用鍵)
または、Kdut_PAR2(データ更新用暗号鍵)である場合
は、ステップS533において、パーティション鍵領域
(図23参照)に格納されたKdut_PAR3(データアップ
デートチケット(DUT)のMAC検証用鍵)を用いて
MAC検証処理を実行し、データアップデートチケット
-PAR(DUT(PAR))に記述されたOld Data Co
de(更新される古いデータのコード)の示すデータがパ
ーティション鍵領域(図23参照)に格納されたKdut_P
AR1(データアップデートチケット(DUT)のMAC
検証用鍵)または、Kdut_PAR2(データ更新用暗号鍵)
でない場合は、ステップS532において、パーティシ
ョン鍵領域(図23参照)に格納されたKdut_PAR1(デ
ータアップデートチケット(DUT)のMAC検証用
鍵)を用いてMAC検証処理を実行する。
Data Update Ticket-PAR (D
The data indicated by the Old Data Code (the code of the old data to be updated) described in the UT (PAR) is stored in the partition key area (see FIG. 23). Kdut_PAR1 (the MAC key of the data update ticket (DUT)) )
Alternatively, in the case of Kdut_PAR2 (data update encryption key), in step S533, MAC verification is performed using Kdut_PAR3 (MAC key for data update ticket (DUT)) stored in the partition key area (see FIG. 23). Execute the data update ticket
-Old Data Co described in PAR (DUT (PAR))
Data indicated by de (code of old data to be updated) is stored in the partition key area (see FIG. 23).
AR1 (MAC of data update ticket (DUT)
Verification key) or Kdut_PAR2 (Data update encryption key)
If not, in step S532, a MAC verification process is executed using Kdut_PAR1 (MAC verification key of the data update ticket (DUT)) stored in the partition key area (see FIG. 23).

【0476】上述のようにMAC検証鍵の使い分けを実
行するのは、更新対象となっているデータが、Kdut_PAR
1(データアップデートチケット(DUT)のMAC検
証用鍵)または、Kdut_PAR2(データ更新用暗号鍵)で
ある場合は、これらの鍵データが何らかの理由、例えば
鍵情報の漏洩等により、使用を停止される予定の情報で
あるため、これらの更新対象データを用いたMAC検証
を避けるためである。MAC検証処理は、先に説明した
図59のDES暗号処理構成を用いたMAC値生成処理
に従って実行される。
[0476] As described above, the proper use of the MAC verification key is performed when the data to be updated is Kdut_PAR.
If it is 1 (MAC key for data update ticket (DUT) MAC verification key) or Kdut_PAR2 (encryption key for data update), use of these key data is stopped for some reason, for example, leakage of key information. This is to avoid MAC verification using the update target data because the information is scheduled. The MAC verification processing is executed according to the MAC value generation processing using the DES encryption processing configuration of FIG. 59 described above.

【0477】改竄のないことが保証された例えばデータ
送信側がデータ生成時に生成したICV(Integrity Ch
eck Value)と、データ受信側が受信データに基づいて
生成したICVとを比較して同一のICVが得られれば
データに改竄のないことが保証され、ICVが異なれ
ば、改竄があったと判定される。改竄のないことが保証
された例えばデータ送信側がデータ生成時に生成したI
CVは、図32のデータアップデートチケット(DU
T)のフォーマットに関する記述において説明したよう
に、データアップデートチケット(DUT)のICV
(Integrity Check Value)フィールドに格納されてい
る。
For example, an ICV (Integrity Ch) generated at the time of data generation by the data transmitting side, which is guaranteed not to be falsified,
eck Value) is compared with the ICV generated by the data receiving side based on the received data. If the same ICV is obtained, it is guaranteed that the data has not been tampered with. If the ICVs are different, it is determined that the data has been tampered with. . For example, the data generated by the data transmission side when data is
The CV uses the data update ticket (DU) shown in FIG.
As described in the description regarding the format of T), the ICV of the data update ticket (DUT) is used.
(Integrity Check Value) field.

【0478】デバイスが生成したICVと受信チケット
であるデータアップデートチケット-PAR(DUT
(PAR))に格納されたICVとを比較して一致して
いればチケットの正当性ありと判定し、不一致の場合は
チケット改竄ありと判定し、データアップデートチケッ
ト-PAR(DUT(PAR))を利用した処理を中止
する。
[0478] The ICV generated by the device and the data update ticket-PAR (DUT
(PAR)), and if they match, it is determined that the ticket is valid. If they do not match, it is determined that the ticket has been tampered with, and the data update ticket-PAR (DUT (PAR)) Cancel the process using.

【0479】上述の処理によってデータアップデートチ
ケット-PAR(DUT(PAR))に記述されたInteg
rity Check Typeが共通鍵方式である場合のデータアッ
プデートチケット-PAR(DUT(PAR))検証処
理が完了する。
The Integ described in the data update ticket-PAR (DUT (PAR)) by the above processing
The data update ticket-PAR (DUT (PAR)) verification processing when the rity Check Type is the common key method is completed.

【0480】以上の処理においてチケットの正当性が確
認された後、図58のステップS541に進み、以下、
利用者チェック、すなわちチケットユーザとしてデバイ
スとの通信を実行中のデバイスアクセス機器としてのリ
ーダライタ(またはPC等)のチェックを実行する。
After the validity of the ticket has been confirmed in the above processing, the flow advances to step S541 in FIG.
A user check, that is, a check of a reader / writer (or PC or the like) as a device access device that is executing communication with the device as a ticket user is executed.

【0481】ステップS541において、デバイスは、
受信チケット(PRT,FRT,SPT,またはDU
T)のAuthentication Flag(チケット(Ticket)の利
用処理においてデバイス(Device)との相互認証が必要
か否かを示すフラグ)をチェックする。フラグが認証不
要を示している場合は、処理を実行することなく終了す
る。
[0481] In step S541, the device
Received ticket (PRT, FRT, SPT, or DU
T) Authentication Flag (a flag indicating whether or not mutual authentication with the device (Device) is necessary in the use process of the ticket (Ticket)) is checked. If the flag indicates that authentication is not required, the process ends without executing the process.

【0482】ステップS541におけるフラグチェック
処理において、フラグが認証必要を示している場合は、
ステップS542に進み、チケットユーザ(デバイスに
対するチケットを適用した処理を実行しようとするデバ
イスアクセス機器としてのリーダライタ、PC等)の所
属(グループ)をキーとして認証テーブル(図51参
照)を参照する。
In the flag check processing in step S541, if the flag indicates that authentication is necessary,
Proceeding to step S542, the authentication table (see FIG. 51) is referred to using the affiliation (group) of the ticket user (a reader / writer, a PC, or the like as a device access device that intends to execute a process for applying a ticket to the device) as a key.

【0483】次に、ステップS543において、受信チ
ケットのAuthentication Type(デバイス(Device)の
相互認証のタイプ(公開鍵認証、または、共通鍵認証、
または、いずれでも可(Any))を記録したデータ)を
チェックし、いずれでも可(Any)である場合、ステッ
プS544に進み、ステップS542でチェックしたグ
ループの相互認証データが認証テーブル(図51参照)
に格納されているか否かを判定する。テーブルに対応グ
ループの相互認証情報が格納され、チケットユーザ(デ
バイスに対するチケットを適用した処理を実行しようと
するデバイスアクセス機器としてのリーダライタ、PC
等)とデバイス間の相互認証済みであることが判定され
れば、チケット利用者(ex.デバイスアクセス機器と
してのリーダライタ)の正当性が確認されたものとして
処理を利用者チェック成功と判定して終了する。認証テ
ーブル(図51参照)に対応グループの相互認証情報が
格納されていない場合は、利用者チェックが未了である
と判定され、エラー終了とする。
Next, in step S543, the Authentication Type of the received ticket (the type of mutual authentication of the device (Device) (public key authentication or common key authentication,
Alternatively, any of the data recorded as “Any”) is checked. If both are “Any”, the process proceeds to step S544, and the mutual authentication data of the group checked in step S542 is stored in the authentication table (see FIG. 51). )
It is determined whether it is stored in the. Mutual authentication information of the corresponding group is stored in the table, and the ticket user (a reader / writer as a device access device or a PC that executes a process applying a ticket to the device).
Etc.) and the device are determined to be mutually authenticated, it is determined that the validity of the ticket user (ex. Reader / writer as a device access device) has been confirmed, and the process is determined to be a successful user check. To end. If the mutual authentication information of the corresponding group is not stored in the authentication table (see FIG. 51), it is determined that the user check has not been completed, and the process ends with an error.

【0484】ステップS543において、受信チケット
のAuthentication Type(デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any))を記録したデータ)がいず
れでも可(Any)でない場合、ステップ545におい
て、Authentication Typeが公開鍵認証であるか否かを
判定する。
In step S543, any type of Authentication Type (mutual authentication type of device (public key authentication or common key authentication, or data recording any (Any))) of the received ticket can be used. If not (Any), it is determined in step 545 whether the Authentication Type is public key authentication.

【0485】Authentication Typeが公開鍵認証である
場合、ステップS546に進み、ステップS542でチ
ェックしたグループの公開鍵相互認証データが認証テー
ブル(図51参照)に格納されているか否かを判定す
る。テーブルに対応グループの公開鍵相互認証情報が格
納され、チケットユーザ(デバイスに対するチケットを
適用した処理を実行しようとするデバイスアクセス機器
としてのリーダライタ、PC等)とデバイス間の相互認
証が公開鍵認証処理として成立済みであることが判定さ
れた場合は、ステップS547に進み、処理対象チケッ
ト(PRT,FRT,SPTまたはDUT)にチケット
ユーザの識別子が存在するか否かを判定して存在する場
合は、ステップS548において認証相手(チケットユ
ーザであるデバイスアクセス機器としてのリーダライタ
など)の公開鍵証明書中の識別データ(DN)として記
録された識別子またはカテゴリまたはシリアル(SN)
とチケットに格納されたチケットユーザの識別データと
して記録された識別子またはカテゴリまたはシリアル
(SN)が一致するか否かを判定する。一致する場合
は、利用者確認成功として処理を終了する。
If the Authentication Type is public key authentication, the flow advances to step S546 to determine whether the public key mutual authentication data of the group checked in step S542 is stored in the authentication table (see FIG. 51). The table stores the public key mutual authentication information of the corresponding group, and the mutual authentication between the ticket user (a reader / writer as a device access device, a PC, etc., which attempts to execute a process for applying a ticket to the device) and the device is public key authentication. If it is determined that the processing has been established, the process proceeds to step S547, and it is determined whether the ticket user identifier exists in the processing target ticket (PRT, FRT, SPT, or DUT). In step S548, an identifier or category or serial (SN) recorded as identification data (DN) in a public key certificate of an authentication partner (a reader / writer as a device access device as a ticket user) in step S548
Then, it is determined whether or not the identifier, the category, or the serial (SN) recorded as the identification data of the ticket user stored in the ticket matches. If they match, the process ends as the user confirmation is successful.

【0486】ステップS546において、ステップS5
42でチェックしたグループの公開鍵相互認証データが
認証テーブル(図51参照)に格納されておらず、チケ
ットユーザ(デバイスに対するチケットを適用した処理
を実行しようとするデバイスアクセス機器としてのリー
ダライタ、PC等)とデバイス間の相互認証が公開鍵認
証処理として成立済みでないと判定された場合は、利用
者チェック未了と判定されエラー終了する。
In step S546, in step S5
The public key mutual authentication data of the group checked in 42 is not stored in the authentication table (refer to FIG. 51), and the ticket user (a reader / writer as a device access device for executing a process applying a ticket to a device, a PC) Etc.) and the mutual authentication between the devices has not been established as the public key authentication process, it is determined that the user check has not been completed, and the process ends with an error.

【0487】また、ステップS548において認証相手
(チケットユーザであるデバイスアクセス機器としての
リーダライタなど)の公開鍵証明書中の識別データ(D
N)として記録された識別子またはカテゴリまたはシリ
アル(SN)とチケットに格納されたチケットユーザの
識別子が一致しないと判定された場合も利用者チェック
未了と判定されエラー終了する。
In step S548, the identification data (D) in the public key certificate of the authentication partner (such as a reader / writer as a device for accessing the device as the ticket user) is stored.
If it is determined that the identifier or category or serial (SN) recorded as N) does not match the identifier of the ticket user stored in the ticket, the user check is determined to be incomplete, and the process ends with an error.

【0488】なお、チケットにチケットユーザの識別子
が存在しない場合は、ステップS548の処理は実行せ
ず、利用者確認成功として処理を終了する。
[0488] If the ticket user identifier does not exist in the ticket, the process in step S548 is not executed, and the process ends as the user confirmation is successful.

【0489】ステップS545において、受信チケット
のAuthentication Type(デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any))を記録したデータ)が公開
鍵認証でないと判定された場合、ステップS549に進
み、ステップS542でチェックしたグループの共通鍵
相互認証データが認証テーブル(図51参照)に格納さ
れているか否かを判定する。テーブルに対応グループの
共通鍵相互認証情報が格納され、チケットユーザ(デバ
イスに対するチケットを適用した処理を実行しようとす
るデバイスアクセス機器としてのリーダライタ、PC
等)とデバイス間の相互認証が共通鍵認証処理として成
立済みであることが判定された場合は、ステップS55
0に進み、処理対象チケット(PRT,FRT,SPT
またはDUT)にチケットユーザの識別子が存在するか
否かを判定して存在する場合は、ステップS551にお
いて認証相手(チケットユーザであるデバイスアクセス
機器としてのリーダライタなど)の識別データ(IDr
w)とチケットに格納されたチケットユーザの識別子が
一致するか否かを判定する。一致する場合は、利用者確
認成功として処理を終了する。
[0489] In step S545, the Authentication Type of the received ticket (the data in which the type of mutual authentication of the device (Device) (public key authentication or common key authentication, or any of which is acceptable (Any))) is the public key. If it is determined that the authentication is not the authentication, the process proceeds to step S549, and it is determined whether the common key mutual authentication data of the group checked in step S542 is stored in the authentication table (see FIG. 51). The common key mutual authentication information of the corresponding group is stored in the table, and the ticket user (a reader / writer as a device access device for executing a process applying a ticket to a device, a PC)
Etc.) and the mutual authentication between the devices is determined to have been established as the common key authentication process, step S55
0, and the ticket to be processed (PRT, FRT, SPT
Or, if it is determined whether or not the ticket user identifier exists in the DUT, the identification data (IDr) of the authentication partner (a reader / writer as a device access device as the ticket user) is determined in step S551.
It is determined whether or not w) matches the identifier of the ticket user stored in the ticket. If they match, the process ends as the user confirmation is successful.

【0490】ステップS549において、ステップS5
42でチェックしたグループの共通鍵相互認証データが
認証テーブル(図51参照)に格納されておらず、チケ
ットユーザ(デバイスに対するチケットを適用した処理
を実行しようとするデバイスアクセス機器としてのリー
ダライタ、PC等)とデバイス間の相互認証が共通鍵認
証処理として成立済みでないと判定された場合は、利用
者チェック未了と判定されエラー終了する。
[0490] In step S549, in step S5
The common key mutual authentication data of the group checked in 42 is not stored in the authentication table (see FIG. 51), and the ticket user (a reader / writer as a device access device for executing a process applying a ticket to a device, a PC) If it is determined that the mutual authentication between the device and the device has not been established as the common key authentication process, it is determined that the user check has not been completed, and the process ends with an error.

【0491】また、ステップS551において認証相手
(チケットユーザであるデバイスアクセス機器としての
リーダライタなど)の識別データ(IDrw)とチケッ
トに格納されたチケットユーザの識別子が一致しないと
判定された場合も利用者チェック未了と判定されエラー
終了する。
[0491] In addition, also used when it is determined that the identification data (IDrw) and ticket user stored in the ticket identifier of the authentication partner in step S551 (such as reader-writer as the device access equipment is the ticket user) does not match It is determined that the user check is not completed, and the process ends with an error.

【0492】なお、チケットにチケットユーザの識別子
が存在しないか、すべてのチケットユーザが利用可能の
場合は、ステップS550の処理は実行せず、利用者確
認成功として処理を終了する。
If the ticket user identifier does not exist in the ticket, or if all ticket users can use the ticket, the process in step S550 is not executed, and the process ends as the user confirmation is successful.

【0493】以上が、図47のフロー中のステップS4
13においてデバイスが実行するチケットの正当性およ
び利用者チェック処理である。
Step S4 in the flow of FIG.
13 is the ticket validity and user check processing executed by the device.

【0494】(パーティション作成削除処理)次に、図
47のフローに示すステップS415において実行され
るパーティション登録チケット(PRT)に基づくパー
ティションの生成、削除処理の詳細について、図60、
図61の処理フローを用いて説明する。パーティション
の作成、削除処理は、チケットユーザ(ex.デバイス
アクセス機器としてのリーダライタ、PC等)からパー
ティション登録チケット(PRT)を受信したデバイス
が、パーティション登録チケット(PRT)に基づいて
実行する処理である。
(Partition creation / deletion processing) Next, details of the partition generation / deletion processing based on the partition registration ticket (PRT) executed in step S415 shown in the flow of FIG.
This will be described with reference to the processing flow of FIG. The partition creation / deletion process is a process executed by a device that has received a partition registration ticket (PRT) from a ticket user (ex. A reader / writer as a device access device, a PC, etc.) based on the partition registration ticket (PRT). is there.

【0495】図60のステップS601において、デバ
イスは、受信したパーティション登録チケット(PR
T:Partition Registration ticket)に記録された処理
タイプ、すなわちOperation Type(パーティション(Pa
rtition)作成か削除かの指定(作成(Generate) / 削
除(Delete)))を検証する。処理タイプ(Operation T
ype)が、パーティション(Partition)作成である場
合、ステップS602以下を実行し、パーティション
(Partition)削除である場合、ステップS621以下
を実行する。
In step S601 in FIG. 60, the device receives the received partition registration ticket (PR
T: The processing type recorded in the Partition Registration ticket, that is, the Operation Type (partition (Pa)
rtition) Verify whether to create or delete (Create / Delete). Operation type (Operation T
If (ype) is the creation of a partition (Partition), the process from step S602 is executed, and if it is the deletion of a partition (Partition), the process from step S621 is executed.

【0496】まず、パーティション作成処理について説
明する。デバイスはステップS602において、パーテ
ィション登録チケット(PRT)に記述されたパーティ
ションマネージャコード(PMC)と同一コードのパー
ティションがデバイスのメモリ部に存在するか否かを検
証する。この判定は、デバイスのメモリ部のパーティシ
ョン定義ブロック(図19参照)に受信チケット(PR
T)の記述コードと同一のコードが記述されているか否
かを検証することによって判定可能である。
First, the partition creation processing will be described. In step S602, the device verifies whether a partition having the same code as the partition manager code (PMC) described in the partition registration ticket (PRT) exists in the memory unit of the device. This determination is made by the reception ticket (PR) in the partition definition block (see FIG. 19) of the memory section of the device.
The determination can be made by verifying whether the same code as the description code of T) is described.

【0497】すでにデバイスに同一コード(PMC)の
パーティションが存在する場合は、同一コードを持つ重
複パーティションの存在は許されず、パーティションの
生成は実行せず、エラー終了とする。同一コードのパー
ティションがデバイスに存在しない場合は、ステップS
603において、デバイス管理情報ブロック(図15参
照)のデバイス(Device)内の空きブロック数(Free B
lock Number in Device)と、パーティション登録チケ
ット(PRT)に記述されたパーティションサイズ(Pa
rtion Size)とを比較し、チケット(PRT)に記述さ
れたパーティションサイズ(Partion Size)以上の空き
ブロック領域がデバイスのメモリ部に存在するか否かを
判定する。存在しない場合は、PRTに記述されたサイ
ズのパーティションの生成はできないので、エラー終了
とする。
If a partition having the same code (PMC) already exists in the device, the existence of a duplicate partition having the same code is not allowed, the partition is not generated, and the process ends with an error. If a partition with the same code does not exist in the device, step S
In 603, the number of free blocks (Free B) in the device of the device management information block (see FIG. 15)
lock Number in Device) and the partition size (Pa) described in the partition registration ticket (PRT).
Then, it is determined whether or not an empty block area larger than the partition size (Partion Size) described in the ticket (PRT) exists in the memory section of the device. If it does not exist, a partition of the size described in the PRT cannot be created, and the process ends with an error.

【0498】チケット(PRT)に記述されたパーティ
ションサイズ(Partion Size)以上の空きブロック領域
がデバイスのメモリ部に存在すると判定された場合は、
ステップS604に進み、デバイス管理情報ブロックの
空き領域ポインタ(Pointerof Free Area)を参照して
デバイスの空き領域(Free Area in Device)の最上位
ブロックにパーティション定義ブロック(PDB)エリ
ア(図19参照)を確保する。
If it is determined that a free block area larger than the partition size (Partion Size) described in the ticket (PRT) exists in the memory portion of the device,
Proceeding to step S604, the partition definition block (PDB) area (see FIG. 19) is referred to as the top block of the free area in device (Free Area in Device) by referring to the free area pointer (Pointerof Free Area) in the device management information block. Secure.

【0499】次に、デバイスは、確保したパーティショ
ン定義ブロック(PDB)エリアに、パーティション登
録チケット(PRT)に記述されたパーティションマネ
ージャコード(PMC)のコピー(S605)、PRT
に記述されたPMCバージョンのコピー、(S606)
を実行する。
Next, the device copies (S605) the partition manager code (PMC) described in the partition registration ticket (PRT) into the secured partition definition block (PDB) area,
Copy of PMC version described in (S606)
Execute

【0500】さらに、パーティション定義ブロック(P
DB)エリアのパーティションスタート位置(Partitio
n Start Position)に、デバイス管理情報ブロック(図
15参照)の空き領域ポインタ(Pointer of Free Are
a)のコピー処理を実行(S607)し、さらに、パー
ティション定義ブロック(PDB)エリアのパーティシ
ョンサイズ(Partion Size)にパーティション登録チケ
ット(PRT)に記述されたパーティションサイズ(Pa
rtion Size)のコピー処理を実行(S608)する。
Further, the partition definition block (P
DB) partition start position (Partitio
n Start Position), Pointer of Free Are of the device management information block (see FIG. 15)
The copy process of a) is executed (S607), and the partition size (Pa) described in the partition registration ticket (PRT) is added to the partition size (Partion Size) of the partition definition block (PDB) area.
rtion Size) (S608).

【0501】次に、デバイス管理情報ブロック(図15
参照)の空き領域ポインタ(Pointer of Free Area)に
パーティション定義ブロック(PDB)エリアのパーテ
ィションサイズ(Partion Size)にコピーした値を加算
(S609)し、デバイス管理情報ブロック(図15参
照)のデバイス(Device)内の空きブロック数(FreeBl
ock Number in Device)からパーティションサイズ(Pa
rtion Size)+1を減算する(S610)。なお、+1
は、パーティション定義ブロック(PDB)用のブロッ
クを意味する。
Next, the device management information block (FIG. 15)
The value copied to the partition size (Partion Size) of the partition definition block (PDB) area is added (S609) to the free area pointer (Pointer of Free Area) of the device management information block (see FIG. 15). Device) (FreeBl)
ock Number in Device) to the partition size (Pa
(rtion Size) +1 is subtracted (S610). Note that +1
Means a block for a partition definition block (PDB).

【0502】次にデバイス管理情報ブロック(図15参
照)のパーティション数(Partition Number)に1を加
算、すなわち生成したパーティション数(1)を加算す
る(S611)。
Next, 1 is added to the number of partitions (Partition Number) of the device management information block (see FIG. 15), that is, the generated number of partitions (1) is added (S611).

【0503】次に、図61のステップS631におい
て、生成したパーティション領域の最上位ブロックをパ
ーティション管理情報ブロック(PMIB:partition
Management Information Block)(図20参照)として
設定し、設定したパーティション管理情報ブロック(P
MIB)のパーティションマネージャコード(PMC)
フィールドにパーティション登録チケット(PRT)の
PMCのコピー処理を実行(S632)し、パーティシ
ョン管理情報ブロック(PMIB)のPMCバージョン
フィールドにパーティション登録チケット(PRT)の
PMCバージョンのコピー処理を実行(S633)し、
パーティション管理情報ブロック(PMIB)のパーテ
ィション総ブロック数(Total Block number in Partit
ion)フィールドにパーティション登録チケット(PR
T)のパーティションサイズ(Partion Size)のコピー
処理を実行(S634)する。
Next, in step S631 of FIG. 61, the uppermost block of the generated partition area is stored in a partition management information block (PMIB: partition).
Management Information Block) (see FIG. 20), and the set partition management information block (P
MIB) Partition Manager Code (PMC)
The PMC of the partition registration ticket (PRT) is copied in the field of the partition registration ticket (PRT) (S632), and the PMC version of the partition registration ticket (PRT) is copied in the PMC version field of the partition management information block (PMIB) (S633). ,
Total Block number in Partit of Partition Management Information Block (PMIB)
ion) field contains the partition registration ticket (PR
The copy processing of the partition size (Partion Size) of T) is executed (S634).

【0504】さらに、パーティション管理情報ブロック
(PMIB)のパーティション空きブロック数(Free B
lock number in Partition)フィールドにパーティショ
ン登録チケット(PRT)のパーティションサイズ(Pa
rtion Size)−3を記録(S635)する。なお、−3
の意味は、既に使用が予定されているパーティション管
理情報ブロック(PMIB)、共通鍵系パーティション
鍵定義ブロック(PKDB(common))、公開鍵系パーテ
ィション鍵定義ブロック(PKDB(PUB))の3ブロッ
クを差し引くことを意味している。
[0504] Furthermore, the number of free partition blocks (Free B) in the partition management information block (PMIB)
In the lock number in Partition field, enter the partition registration ticket (PRT) partition size (Pa
rtion Size) -3 is recorded (S635). Note that -3
Means three blocks, a partition management information block (PMIB), a common key system partition key definition block (PKDB (common)), and a public key system partition key definition block (PKDB (PUB)) which are already scheduled to be used. It means subtracting.

【0505】さらに、パーティション管理情報ブロック
(PMIB)のファイル数(File Number)に0を記入
(S636)する。この時点ではパーティション内には
ファイルは設定されていない。ファイル設定はファイル
登録チケット(FRT)を使用して設定可能である。こ
のファイル登録チケット(FRT)を使用したファイル
登録処理については後述する。
Further, 0 is entered in the number of files (File Number) of the partition management information block (PMIB) (S636). At this point, no files are set in the partition. The file settings can be set using a file registration ticket (FRT). The file registration process using the file registration ticket (FRT) will be described later.

【0506】さらに、パーティション管理情報ブロック
(PMIB)の空き領域ポインタ(Pointer of Free Ar
ea)にパーティション定義ブロック(PDB)のスター
トポジション(Start Position)をコピーしてパーティ
ションの設定登録を終了する。
[0506] Further, the pointer of free area of the partition management information block (PMIB)
The start position (Start Position) of the partition definition block (PDB) is copied to ea), and the partition setting registration is completed.

【0507】次に図60のステップS621〜S628
のパーティション削除処理について説明する。ステップ
S621では、パーティション登録チケット(PRT)
に記述されたパーティションマネージャコード(PM
C)と同一コードのパーティションがデバイスのメモリ
部に存在するか否かを検証する。この判定は、デバイス
のメモリ部のパーティション定義ブロック(図19参
照)に受信チケット(PRT)の記述コードと同一のコ
ードが記述されているか否かを検証することによって判
定可能である。
Next, steps S621 to S628 in FIG.
Will be described. In step S621, the partition registration ticket (PRT)
Partition manager code (PM
It is verified whether a partition having the same code as in C) exists in the memory section of the device. This determination can be made by verifying whether the same code as the description code of the reception ticket (PRT) is described in the partition definition block (see FIG. 19) of the memory section of the device.

【0508】デバイスに同一コード(PMC)のパーテ
ィションが存在しない場合は、パーティションの削除は
不可能であるので、エラー終了とする。同一コードのパ
ーティションがデバイスに存在する場合は、ステップS
622において、削除対象のパーティションより後に生
成されたパーティションがデバイスに存在するか否かを
判定する。存在しない場合は、削除対象のパーティショ
ンが最新のパーティションであり、ステップS629に
おいて削除対象のパーティションのパーティション定義
ブロック(PDB)(図19参照)を削除する。
If no partition having the same code (PMC) exists in the device, it is impossible to delete the partition, and the process ends with an error. If a partition with the same code exists in the device, step S
At 622, it is determined whether a partition created after the partition to be deleted exists in the device. If not, the partition to be deleted is the latest partition, and the partition definition block (PDB) (see FIG. 19) of the partition to be deleted is deleted in step S629.

【0509】ステップS622において、削除対象のパ
ーティションより後に生成されたパーティションがデバ
イスに存在すると判定された場合は、後に生成されたパ
ーティション(後パーティション)のデータを削除対象
のパーティションのサイズ(PS)分、下位にずらす処
理を実行(S623)し、さらに、後パーティションの
パーティション定義ブロック(PDB)を1ブロック上
位にずらす処理を実行(S624)する。また、後パー
ティションのパーティション定義ブロック(PDB)に
記録されたパーティション開始位置(Partition Start
Portion)から削除パーティションのサイズ(PS)を
減算する処理を実行する(S625)。
If it is determined in step S622 that a partition generated after the partition to be deleted exists in the device, the data of the partition (post-partition) generated later is added to the size (PS) of the partition to be deleted. , A process of shifting the partition definition block (PDB) of the subsequent partition one block higher is executed (S624). In addition, the partition start position (Partition Start position) recorded in the partition definition block (PDB) of the subsequent partition
Portion) is subtracted from the size of the deleted partition (PS) (S625).

【0510】ステップS625またはS629の処理の
後、ステップS626において、デバイス管理情報ブロ
ック(DMIB)(図15参照)のデバイス(Device)
内の空きブロック数(Free Block Number in Device)
に削除パーティションのサイズ(PS)+1を加算す
る。+1は、削除パーティションのパーティション定義
ブロック(PDB)用のブロックを意味する。
[0510] After the processing in step S625 or S629, in step S626, the device (Device) in the device management information block (DMIB) (see Fig. 15) is read.
Free Block Number in Device
Is added to the size (PS) +1 of the deletion partition. +1 means a block for a partition definition block (PDB) of the deleted partition.

【0511】次にステップS627において、デバイス
管理情報ブロック(図15参照)の空き領域ポインタ
(Pointer of Free Area)の値から削除パーティション
のサイズ(PS)を減算する。さらに、ステップS62
8において、デバイス管理情報ブロック(図15参照)
のパーティション数(Partition Number)から1を減
算、すなわち削除したパーティション数(1)を減算し
てパーティション登録チケット(PRT)に基づくパー
ティション削除処理が終了する。
Next, in step S627, the size (PS) of the deleted partition is subtracted from the value of the free area pointer (Pointer of Free Area) in the device management information block (see FIG. 15). Further, step S62
8, device management information block (see FIG. 15)
1 is subtracted from the number of partitions (Partition Number), that is, the number of deleted partitions (1) is subtracted, and the partition deletion processing based on the partition registration ticket (PRT) ends.

【0512】以上が、図47の処理フローにおけるステ
ップS415のパーティション登録チケット(PRT)
に基づくパーティション生成、削除処理である。
The above is the partition registration ticket (PRT) of step S415 in the processing flow of FIG.
Partition generation and deletion processing based on the

【0513】(パーティション初期登録)次に、図47
の処理フローにおけるステップS406,S419のパ
ーティション初期データ書き込み処理、すなわちパーテ
ィション登録チケット(PRT)に基づくパーティショ
ン初期登録処理の詳細について図62以下のフローを用
いて説明する。
(Initial Partition Registration) Next, FIG.
The details of the partition initial data write processing of steps S406 and S419 in the processing flow of, that is, the partition initial registration processing based on the partition registration ticket (PRT) will be described with reference to the flow of FIG.

【0514】図62、図63、図64に示す処理フロー
において、左側がパーティションマネージャの管轄する
初期登録装置の処理、右側がデバイス(図5参照)の処
理を示す。なお、パーティションマネージャの管轄する
初期登録装置は、デバイスに対するデータ読み取り書き
込み処理可能な装置(ex.デバイスアクセス機器とし
てのリーダライタ、PC)であり、図10のデバイスア
クセス機器としてのリーダライタに相当する構成を有す
る。図47の処理フローに示すように、図62の処理開
始以前に、初期登録装置とデバイス間では、相互認証が
成立し、チケットの正当性、利用者チェックにおいてチ
ケットおよび利用者(チケットユーザであるデバイスア
クセス機器としてのリーダライタなど)の正当性が確認
され、さらにパーティション登録チケット(PRT)に
基づくパーティション生成処理が終了しているものとす
る。また、図62、図63、図64の初期登録装置と、
デバイス間のデータの送受信は、相互認証時に生成した
セッション鍵Ksesを用いて暗号化されたデータとし
て送受信される。
In the processing flows shown in FIGS. 62, 63 and 64, the left side shows the processing of the initial registration device under the control of the partition manager, and the right side shows the processing of the device (see FIG. 5). The initial registration device under the control of the partition manager is a device (ex. A reader / writer or a PC as a device access device) capable of performing data read / write processing on the device, and corresponds to the reader / writer as a device access device in FIG. Having a configuration. As shown in the processing flow of FIG. 47, before the processing of FIG. 62 starts, mutual authentication is established between the initial registration device and the device, and the ticket and the user (the ticket user are the ticket user) in the ticket validity and user check. It is assumed that the validity of a reader / writer as a device access device has been confirmed, and the partition generation processing based on the partition registration ticket (PRT) has been completed. 62, 63, and 64.
Data is transmitted and received between devices as data encrypted using the session key Kses generated during mutual authentication.

【0515】図62のステップS641において、初期
登録装置は、パーティション認証に共通鍵を用いるか否
かを判定する。この判定は、使用するパーティション登
録チケット(PRT)(図26参照)のAuthentication
Type(デバイス(Device)の相互認証のタイプ(公開
鍵認証、または、共通鍵認証、または、いずれでも可
(Any)))フィールドを参照して行われる。
[0515] In step S641 in Fig. 62, the initial registration device determines whether to use a common key for partition authentication. This determination is based on the authentication of the partition registration ticket (PRT) (see FIG. 26) to be used.
This is performed with reference to the Type (Device) mutual authentication type (public key authentication, common key authentication, or any type of Any) field.

【0516】図62に示すように、パーティション認証
に共通鍵を用いる場合、ステップS642〜643、S
651〜S654を実行し、パーティション認証に共通
鍵を用いない場合、これらのステップは省略される。
As shown in FIG. 62, when a common key is used for partition authentication, steps S642 to 643, S
When steps S651 to S654 are executed and a common key is not used for partition authentication, these steps are omitted.

【0517】パーティション認証に共通鍵を用いる場
合、ステップS642において初期登録装置は、共通鍵
認証データ書き込みコマンドとして、MKauth_PAR_A :
双方向個別鍵認証用マスター鍵、Kauth_PAR_B :双方向
個別鍵認証用共通鍵、IRL_PAR:排除デバイス(Device)
のデバイス識別子(ID)を登録したリボケーションリ
スト(Revocation List (Device ID))、およびこれら
のバージョン情報をデバイスに送信する。
[0517] If the common key is used for the partition authentication, in step S642, the initial registration device sends MKauth_PAR_A:
Master key for two-way individual key authentication, Kauth_PAR_B: Common key for two-way individual key authentication, IRL_PAR: Excluded device (Device)
A revocation list (Device ID) in which the device identifier (ID) of this is registered, and the version information thereof are transmitted to the device.

【0518】ステップS651でデバイスは、上述の書
き込みコマンドを受信し、ステップS652において、
受領データをパーティション鍵領域(図23参照)に書
き込む。次にデータ書き込みによって生じたポインタ、
サイズ、デバイス内のフリーブロック数の調整を実行
(S653)し、書き込み終了通知を登録装置に送信
(S654)する。
[0518] In step S651, the device receives the write command described above, and in step S652,
Write the received data to the partition key area (see FIG. 23). Next, a pointer generated by writing data,
The size and the number of free blocks in the device are adjusted (S653), and a write completion notification is transmitted to the registration device (S654).

【0519】書き込み終了通知を受信(S643)した
登録装置は、ステップS644においてパーティション
認証に公開鍵を用いるか否かを判定する。図62に示す
ように、パーティション認証に公開鍵を用いる場合、ス
テップS645〜649、S655〜S662を実行
し、パーティション認証に公開鍵を用いない場合、これ
らのステップは省略される。
[0519] Upon receiving the write end notification (S643), the registration device determines in step S644 whether to use a public key for partition authentication. As shown in FIG. 62, if a public key is used for partition authentication, steps S645 to 649 and S655 to S662 are executed. If no public key is used for partition authentication, these steps are omitted.

【0520】パーティション認証に公開鍵を用いる場
合、ステップS645において登録装置は、公開鍵認証
データ書き込みコマンドとして、PUB_CA(PAR) :パーテ
ィションマネージャ対応公開鍵証明書を発行する認証局
CA(PAR)の公開鍵、PARAM_PAR :パーティション
(Partition)の公開鍵パラメータ、CRL_PAR :排除デバ
イス(Device)の公開鍵証明書識別子(ex.シリアル
ナンバ:SN)を登録したリボケーションリスト(Revo
cation List (Certificate))、およびこれらのバージ
ョン情報をデバイスに送信する。
[0520] When the public key is used for the partition authentication, in step S645, the registration device issues a public key authentication data write command as PUB_CA (PAR): public information of a certificate authority CA (PAR) that issues a public key certificate corresponding to the partition manager. Key, PARAM_PAR: public key parameter of partition (Partition), CRL_PAR: revocation list (Revo) in which public key certificate identifier (ex. Serial number: SN) of excluded device (Device) is registered
cation list (Certificate)) and their version information.

【0521】ステップS655でデバイスは、上述の書
き込みコマンドを受信し、ステップS656において、
受領データをパーティション鍵領域(図23参照)に書
き込む。次にデータ書き込みによって生じたポインタ、
サイズ、デバイス内のフリーブロック数の調整を実行
(S657)し、書き込み終了通知を登録装置に送信
(S658)する。
[0521] In step S655, the device receives the above-mentioned write command, and in step S656,
Write the received data to the partition key area (see FIG. 23). Next, a pointer generated by writing data,
The size and the number of free blocks in the device are adjusted (S657), and a write completion notification is transmitted to the registration device (S658).

【0522】書き込み終了通知を受信(S646)した
登録装置は、公開鍵と秘密鍵の鍵ペア生成コマンドをデ
バイスに送信(S647)する。なお、この実施例で
は、鍵ペアの生成はデバイスが実行する構成としている
が、例えば登録装置が実行してデバイスに提供する構成
としてもよい。
The registration device that has received the write end notification (S646) transmits a key pair generation command of a public key and a secret key to the device (S647). In this embodiment, the key pair is generated by the device. However, the key pair may be generated by the registration device and provided to the device.

【0523】鍵ペア生成コマンドを受信(S659)し
たデバイスは、デバイス内の暗号処理部(図5参照)に
おいて公開鍵(PUB PAR)と秘密鍵(PRI PA
R)のペアを生成し、生成した鍵をパーティション鍵領
域(図23参照)に書き込む(S660)。次にデータ
書き込みによって生じたポインタ、サイズ、デバイス内
のフリーブロック数の調整を実行(S661)し、生成
格納した公開鍵を登録装置に送信(S662)する。
The device that has received the key pair generation command (S659) uses the public key (PUB PAR) and the secret key (PRI PA) in the encryption processing unit (see FIG. 5) in the device.
R) is generated, and the generated key is written in the partition key area (see FIG. 23) (S660). Next, the pointer, the size, and the number of free blocks in the device generated by the data writing are adjusted (S661), and the generated and stored public key is transmitted to the registration device (S662).

【0524】登録装置は、デバイスから公開鍵(PUB
PAR)を受信(S648)し、先にデバイスから受
信したデバイスの識別子IDmとともに、パーティショ
ンマネージャ内のデータベース(DB(PAR))(図
9参照))に保存する。
[0524] registration device, public key from the device (PUB
PAR) is received (S648), and stored in the database (DB (PAR)) (see FIG. 9) in the partition manager together with the device identifier IDm previously received from the device.

【0525】次に、パーティションマネージャの登録装
置は、ファイル登録チケット(FRT:File Registrat
ion Ticket)の検証処理に共通鍵を用いるか否かを判定
(S671)する。チケット検証には、前述したように
MAC値検証等による共通鍵方式と、秘密鍵による署名
生成、公開鍵による署名検証を行なう公開鍵方式のいず
れかを適用することが可能であり、パーティションマネ
ージャは、デバイスの採用する検証処理方式を設定する
ことができる。パーティションマネージャは、デバイス
の採用するFRTチケット検証方式に応じて共通鍵、公
開鍵のいずれか、あるいは両方式を実行可能なデータを
デバイスに設定する。
[0525] Next, the registration device of the partition manager registers a file registration ticket (FRT: File Registrat).
It is determined whether or not a common key is used in the verification process of the (ion ticket) (S671). For the ticket verification, it is possible to apply any of the common key method by MAC value verification or the like, or the public key method of generating a signature using a private key and verifying a signature using a public key, as described above. , The verification processing method adopted by the device can be set. The partition manager sets in the device data that can execute either the common key or the public key, or both, depending on the FRT ticket verification method adopted by the device.

【0526】パーティションマネージャは、ファイル登
録チケット(FRT:File Registration Ticket)の検
証処理に共通鍵認証を実行する設定とする場合は、共通
鍵方式のFRT検証に必要な情報(ex.FRT検証共
通鍵)をデバイスにセットし、デバイスが共通鍵認証を
実行しないデバイスであれば、これらの情報をデバイス
に格納しないことになる。
When the partition manager is set to execute the common key authentication in the verification processing of the file registration ticket (FRT: File Registration Ticket), information necessary for the FRT verification of the common key method (ex. FRT verification common key) ) Is set in the device, and if the device does not execute the common key authentication, such information is not stored in the device.

【0527】図63に示すように、FRT検証に共通鍵
方式を用いる場合、ステップS672〜673、S68
1〜S684を実行し、FRT検証に共通鍵を用いない
場合、これらのステップは省略される。
As shown in FIG. 63, when using the common key method for FRT verification, steps S672 to 673, S68
If steps 1 to S684 are executed and a common key is not used for FRT verification, these steps are omitted.

【0528】FRT検証に共通鍵を用いる場合、ステッ
プS672において登録装置は、FRT検証共通鍵書き
込みコマンドとして、Kfrt :ファイル登録チケット(F
RT)のMAC検証用鍵、およびバージョン情報をデバ
イスに送信する。
[0528] If the common key is used for FRT verification, in step S672, the registration device uses the Kfrt: file registration ticket (F
RT) and transmits the MAC verification key and version information to the device.

【0529】ステップS681でデバイスは、上述の書
き込みコマンドを受信し、ステップS682において、
受領データをパーティション鍵領域(図23参照)に書
き込む。次にデータ書き込みによって生じたポインタ、
サイズ、デバイス内のフリーブロック数の調整を実行
(S683)し、書き込み終了通知を登録装置に送信
(S684)する。
[0529] In step S681, the device receives the above-described write command, and in step S682,
Write the received data to the partition key area (see FIG. 23). Next, a pointer generated by writing data,
The size and the number of free blocks in the device are adjusted (S683), and a write completion notification is transmitted to the registration device (S684).

【0530】書き込み終了通知を受信(S673)した
登録装置は、ステップS674においてFRT検証に公
開鍵を用いるか否かを判定する。図63に示すように、
FRT検証に公開鍵を用いる場合、ステップS675〜
676、S685〜S690を実行し、FRT検証に公
開鍵を用いない場合、これらのステップは省略される。
The registration device that has received the write end notification (S673) determines in step S674 whether to use a public key for FRT verification. As shown in FIG.
When using a public key for FRT verification, step S675-
If steps 676 and S685 to S690 are executed and the public key is not used for FRT verification, these steps are omitted.

【0531】FRT検証に公開鍵を用いる場合、ステッ
プS675において登録装置は、FRT検証データ書き
込みコマンドとして、FRTIC(FRT Issuer Category) :
ファイル登録チケット(FRT)発行者カテゴリ、PUB_
CA(PAR) :パーティションマネージャ対応公開鍵証明書
を発行する認証局CA(PAR)の公開鍵、PARAM_PAR
: パーティション(Partition)の公開鍵パラメータ、
CRL_PAR :排除デバイス(Device)の公開鍵証明書識別
子(ex.シリアルナンバ:SN)を登録したリボケー
ションリスト(Revocation List (Certificate))、お
よびこれらのバージョン情報をデバイスに送信する。
[0531] If the public key is used for FRT verification, in step S675, the registration device sends an FRT verification data write command as FRTIC (FRT Issuer Category):
File registration ticket (FRT) issuer category, PUB_
CA (PAR): PARAM_PAR, the public key of the certificate authority CA (PAR) that issues the public key certificate corresponding to the partition manager
: Public key parameter of the partition,
CRL_PAR: A revocation list (Certificate) in which a public key certificate identifier (ex. Serial number: SN) of an exclusion device (Device) is registered, and version information thereof are transmitted to the device.

【0532】ステップS685でデバイスは、上述の書
き込みコマンドを受信し、ステップS686において、
受領データ中のFRTIC(FRT Issuer Category) :ファイ
ル登録チケット(FRT)発行者カテゴリを公開鍵系パ
ーティション鍵定義ブロック(PKDB:Partition Ke
y Definition block(PUB)(図22参照))に書き込
みバージョン情報を同ブロックのバージョン領域に書き
込む。
[0532] In step S685, the device receives the above-mentioned write command, and in step S686,
FRTIC (FRT Issuer Category) in the received data: The file registration ticket (FRT) issuer category is set to the public key partition key definition block (PKDB: Partition Ke).
Write the write version information to the y definition block (PUB) (see FIG. 22) in the version area of the block.

【0533】次にデバイスは、ステップS687におい
て、PUB_CA(PAR) :パーティションマネージャ対応公開
鍵証明書を発行する認証局CA(PAR)の公開鍵デー
タが書き込み済みか否かを判定し、書き込まれていない
場合にステップS688において、PUB_CA(PAR)、PARAM
_PAR、CRL_PARをパーティション鍵領域(図23参照)
に書き込む。次にデータ書き込みによって生じたポイン
タ、サイズ、デバイス内のフリーブロック数の調整を実
行(S689)し、書き込み終了通知を登録装置に送信
(S690)する。
Next, in step S687, the device determines whether or not the public key data of the certificate authority CA (PAR) that issues the public key certificate corresponding to PUB_CA (PAR): partition manager has been written. If not, in step S688, PUB_CA (PAR), PARAM
_PAR and CRL_PAR in the partition key area (see Fig. 23)
Write to. Next, the pointer, the size, and the number of free blocks in the device generated by the data writing are adjusted (S689), and a write completion notification is transmitted to the registration device (S690).

【0534】書き込み終了通知を受信(S676)した
登録装置は、次に、ステップS701において、共通鍵
データの更新をサポートするデバイスとするか否かを判
定する。デバイスに格納されたデータ中、そのいくつか
は更新対象データとして前述したデータアップデートチ
ケット(DUT:Data Update Ticket)(図32参照)
を用いて更新が可能である。更新対象となるデータは、
先に図33を用いて説明した通りである。このデータア
ップデートチケット(DUT:Data Update Ticket)を
用いた更新処理においても共通鍵方式、または公開鍵方
式のいずれかの方式が可能であり、パーティションマネ
ージャは設定したパーティションに応じていずれかの方
式または両方式を実行可能なデータをデバイスを設定す
る。
[0534] The registration device that has received the write end notification (S676) next determines in step S701 whether or not to use a device that supports updating of the common key data. Some of the data stored in the device are data update tickets (DUTs) described above as data to be updated (see FIG. 32).
Can be updated using. The data to be updated is
This is as described above with reference to FIG. In the update process using this data update ticket (DUT: Data Update Ticket), either the common key method or the public key method is possible, and the partition manager uses either the method or the method according to the set partition. Both types of data can be set on the device.

【0535】パーティションマネージャは、設定したパ
ーティションを共通鍵方式によるデータ更新を実行する
構成とする場合は、共通鍵方式のデータ更新処理に必要
な情報(ex.データアップデートチケット(DUT)
のMAC検証用鍵他)をデバイスのパーティション鍵領
域にセットし、デバイスが共通鍵認証を実行しないデバ
イスであれば、これらの情報をデバイスのパーティショ
ン鍵領域に格納しない処理をする。
When the partition manager is configured to execute data update using the common key method for the set partitions, information necessary for data update processing using the common key method (ex. Data update ticket (DUT))
MAC verification key, etc.) is set in the partition key area of the device, and if the device does not execute the common key authentication, a process of not storing such information in the partition key area of the device is performed.

【0536】図64に示すように、データアップデート
チケット(DUT:Data Update Ticket)を用いたデー
タ更新処理に共通鍵方式を用いる場合、ステップS70
2〜703、S711〜S714を実行し、データ更新
に共通鍵方式を用いない場合、これらのステップは省略
される。
As shown in FIG. 64, when the common key method is used for data update processing using a data update ticket (DUT: Data Update Ticket), step S70 is performed.
Steps 2 to 703 and S711 to S714 are performed, and when the common key method is not used for data update, these steps are omitted.

【0537】データ更新に共通鍵を用いる場合、ステッ
プS702において登録装置は、データアップデートチ
ケット(DUT:Data Update Ticket)検証共通鍵書き
込みコマンドとして、Kdut_PAR1 :データアップデート
チケット(DUT)のMAC検証用鍵、 Kdut_PAR2 :デ
ータ更新用暗号鍵、Kdut_PAR3 :データアップデートチ
ケット(DUT)のMAC検証用鍵、Kdut_PAR4 :デー
タ更新用暗号鍵およびこれらのバージョン情報をデバイ
スに送信する。
[0537] When the common key is used for data update, in step S702, the registration device uses the data update ticket (DUT: Data Update Ticket) verification common key write command as Kdut_PAR1: the MAC key of the data update ticket (DUT), Kdut_PAR2: Data update encryption key, Kdut_PAR3: Data update ticket (DUT) MAC verification key, Kdut_PAR4: Data update encryption key and their version information are transmitted to the device.

【0538】ステップS711でデバイスは、上述の書
き込みコマンドを受信し、ステップS712において、
受領データをパーティション鍵領域(図23参照)に書
き込む。次にデータ書き込みによって生じたポインタ、
サイズ、デバイス内のフリーブロック数の調整を実行
(S713)し、書き込み終了通知を登録装置に送信
(S714)する。
[0538] In step S711, the device receives the above-mentioned write command, and in step S712,
Write the received data to the partition key area (see FIG. 23). Next, a pointer generated by writing data,
The size and the number of free blocks in the device are adjusted (S713), and a write completion notification is transmitted to the registration device (S714).

【0539】書き込み終了通知を受信(S703)した
登録装置は、ステップS704において、デバイスに設
定したパーティションが公開鍵方式を用いたデータアッ
プデートチケット(DUT:Data Update Ticket)を使
用したデータ更新処理をサポートするか否かを判定す
る。図64に示すように、公開鍵方式をサポートする場
合、ステップS705〜706、S715〜S718を
実行し、公開鍵方式をサポートしない場合、これらのス
テップは省略される。
[0539] In step S704, the registration apparatus that has received the write end notification (S703) supports the data update process in which the partition set in the device uses a data update ticket (DUT: Data Update Ticket) using the public key method. It is determined whether or not to perform. As shown in FIG. 64, if the public key method is supported, steps S705 to 706 and S715 to S718 are executed. If the public key method is not supported, these steps are omitted.

【0540】公開鍵方式をサポートする場合、ステップ
S705において登録装置は、データアップデートチケ
ット(DUT:Data Update Ticket)発行者コード書き
込みコマンドとして、DUTIC_PAR(DUT Issuer Categor
y) :データアップデートチケット(DUT:Data Updat
e Ticket)発行者カテゴリ、およびバージョン情報をデ
バイスに送信する。
If the public key method is supported, in step S705, the registration device sends a DUTIC_PAR (DUT Issuer Categor) as a data update ticket (DUT: Data Update Ticket) issuer code write command.
y): Data update ticket (DUT: Data Updat)
e Ticket) Sends issuer category and version information to the device.

【0541】ステップS715でデバイスは、上述の書
き込みコマンドを受信し、ステップS716において、
受領データを公開鍵系パーティション鍵定義ブロック
(PKDB(PUB):Partition Key Definition Blo
ck(PUB))に書き込む。次にデータ書き込みによって生
じたポインタ、サイズ、デバイス内のフリーブロック数
の調整を実行(S717)し、書き込み終了通知を登録
装置に送信(S718)し、登録装置が書き込み終了通
知を受信(S706)して処理を終了する。
[0541] In step S715, the device receives the above-mentioned write command, and in step S716,
The received data is stored in a public key partition key definition block (PKDB (PUB): Partition Key Definition Blo
ck (PUB)). Next, the pointer, the size, and the number of free blocks in the device generated by data writing are adjusted (S717), a write end notification is transmitted to the registration device (S718), and the registration device receives the write end notification (S706). And terminate the processing.

【0542】パーティションマネージャによる初期登録
処理(図62〜図64の処理フロー)が完了した状態の
デバイスのメモリ内格納データ構成例を図65に示す。
図65に示すパーティション(Partition)領域中、パー
ティション鍵領域には、上記のフロー(図62〜図6
4)において、登録装置から送信されて下記のデータが
書き込まれる。 * IRL_PAR :パーティションアクセス排除デバイス(Dev
ice)、排除機器(デバイスアクセス機器としてのリー
ダライタ、PC等のチケットユーザ、チケット発行手
段)の識別子(ID)を登録したリボケーションリスト
(Revocation List (Device ID)) * CRL_PAR :パーティションアクセス排除デバイス(Dev
ice)、排除機器(デバイスアクセス機器としてのリー
ダライタ、PC等のチケットユーザ、チケット発行手
段)の公開鍵証明書識別子(ex.シリアルナンバ:S
N)を登録したリボケーションリスト(Revocation Lis
t (Certificate) * Kauth_PAR_B :双方向個別鍵認証用共通鍵 * Mkauth_PAR_A :双方向個別鍵認証用マスター鍵 * Kdut_PAR1 :データアップデートチケット(DUT)
のMAC検証用鍵 * Kdut_PAR2 :データ更新用暗号鍵 * Kdut_PAR3 : データアップデートチケット(DUT)
のMAC検証用鍵 * Kdut_PAR4 :データ更新用暗号鍵 * Kfrt :ファイル登録チケット(FRT)のMAC検証
用鍵
FIG. 65 shows an example of the configuration of data stored in the memory of the device in a state where the initial registration processing (the processing flow in FIGS. 62 to 64) by the partition manager has been completed.
The partition key area in the partition area shown in FIG.
In 4), the following data transmitted from the registration device is written. * IRL_PAR: Partition access elimination device (Dev
ice), a revocation list (Revocation List (Device ID)) in which identifiers (IDs) of excluded devices (a reader / writer as a device access device, a ticket user such as a PC, and a ticket issuing means) are registered. * CRL_PAR: Partition access excluded device (Dev
ice), the public key certificate identifier (ex. serial number: S) of the excluded device (a reader / writer as a device access device, a ticket user such as a PC, a ticket issuing unit)
N) registered revocation list (Revocation Lis
t (Certificate) * Kauth_PAR_B: Common key for two-way individual key authentication * Mkauth_PAR_A: Master key for two-way individual key authentication * Kdut_PAR1: Data update ticket (DUT)
MAC verification key * Kdut_PAR2: Data update encryption key * Kdut_PAR3: Data update ticket (DUT)
* Kdut_PAR4: Data update encryption key * Kfrt: File registration ticket (FRT) MAC verification key

【0543】また、 * PUB_PAR :パーティション(Partition)の公開鍵 * PRI_PAR :パーティション(Partition)の秘密鍵 が、デバイスにおいて生成されて書き込まれる。Also, * PUB_PAR: public key of partition (Partition) * PRI_PAR: secret key of partition (Partition) is generated and written in the device.

【0544】また、 * PARAM_PAR :パーティション(Partition)の公開鍵パ
ラメータ * PUB_CA(PAR) :認証局CA(PAR)の公開鍵 共通鍵系パーティション鍵情報ブロック(Partition Ke
y Definition Block(Common)) 公開鍵系パーティション鍵情報ブロック(Partition Ke
y Definition Block(PUB)) パーティション管理情報ブロック(Partition Manageme
nt Information Block) の各データは、パーティションの生成時(処理フロー図
60、図61参照)に書き込まれるデータである。
Also, * PARAM_PAR: public key parameter of partition (Partition) * PUB_CA (PAR): public key of certificate authority CA (PAR) common key system partition key information block (Partition Ke)
y Definition Block (Common)) Public key partition key information block (Partition Ke
y Definition Block (PUB)) Partition management information block
nt Information Block) is data to be written when a partition is generated (see processing flow diagrams 60 and 61).

【0545】[B4.2.パーティションマネージャ管
理下における公開鍵証明書発行処理]次に図66以下を
用いて、パーティションマネージャによるパーティショ
ン対応公開鍵証明書の発行処理について説明する。デバ
イスには、デバイス全体の認証、デバイスを単位とした
処理に適用可能なデバイス対応公開鍵証明書(CERT
DEV)と、デバイス内の特定のパーティションに対
する処理の際の認証その他検証処理等に適用可能なパー
ティション対応公開鍵証明書(CERT PAR)が格
納され得る。パーティション対応公開鍵証明書(CER
T PAR)は、デバイスに設定されたパーティション
毎に設定格納可能である。
[B4.2. Public Key Certificate Issuing Process Under Partition Manager Management] Next, the process of issuing a partition corresponding public key certificate by the partition manager will be described with reference to FIG. The device has a device-specific public key certificate (CERT) applicable to the authentication of the entire device and the processing for each device.
DEV) and a partition-related public key certificate (CERT PAR) applicable to authentication or other verification processing at the time of processing for a specific partition in the device. Public key certificate for partition (CER)
TPAR) can be set and stored for each partition set in the device.

【0546】パーティション対応公開鍵証明書(CER
T PAR)は、パーティションマネージャの管轄する
登録局を介して認証局(CA for PM)(図2、図
3参照)の発行した公開鍵証明書をデバイスに付与する
手続きにより発行され、登録局はパーティションマネー
ジャの管轄登録局が発行した公開鍵証明書(CERTP
AR)についての管理(データベース332(図9参
照))を実行する。
[0546] The partitioning public key certificate (CER)
T PAR) is issued by a procedure for giving a device a public key certificate issued by a certificate authority (CA for PM) (see FIGS. 2 and 3) through a registration authority under the jurisdiction of the partition manager. A public key certificate (CERTP) issued by the registration authority of the partition manager
AR) (database 332 (see FIG. 9)).

【0547】図66および図67に従って、パーティシ
ョンマネージャの管轄登録局による設定パーティション
に対するパーティション対応公開鍵証明書(CERT
PAR)の発行処理の手順を説明する。図66,図67
において、左側がパーティションマネージャの管轄登録
局のCERT(公開鍵証明書)発行装置、具体的には、
図9に示すパーティションマネージャの構成図における
制御手段331の処理、右側がデバイスの処理である。
According to FIGS. 66 and 67, a partition-related public key certificate (CERT) for the set partition by the registration authority of the partition manager.
PAR) issuance processing will be described. FIGS. 66 and 67
On the left side, the CERT (public key certificate) issuing device of the registration authority under the jurisdiction of the partition manager, specifically,
The processing of the control unit 331 in the configuration diagram of the partition manager shown in FIG. 9 is the processing of the device on the right side.

【0548】まずステップS721において、CERT
発行装置は、パーティション対応公開鍵証明書(CER
T PAR)の発行対象となるデバイスのユーザ情報を
取得し、証明書発行の許可(判定)を行ない発行対象と
なるデバイスとの通信路を確保する。パーティション対
応公開鍵証明書(CERT PAR)の発行対象となる
デバイスのユーザ情報は、例えばデバイスの初期登録時
に生成したデータから取得可能である。なお、ユーザ情
報はデバイスとの通信路設定後、デバイスから取得して
もよい。通信路は、有線、無線を問わずデータ送受信可
能な通信路として確保されればよい。
First, in step S721, CERT
The issuing device executes the partitioning public key certificate (CER).
It acquires user information of a device to be issued a T PAR (T PAR), permits (determines) certificate issuance, and secures a communication path with the device to be issued. The user information of the device for which the partition-related public key certificate (CERT PAR) is to be issued can be obtained, for example, from data generated at the time of initial registration of the device. Note that the user information may be acquired from the device after setting a communication path with the device. The communication path may be secured as a communication path capable of transmitting and receiving data regardless of whether it is wired or wireless.

【0549】次にCERT発行装置は、ステップS72
2において、乱数Rを含む認証データ生成コマンドをデ
バイスに対して送信する。認証データ生成コマンドを受
信(S731)したデバイスは、受信乱数Rと、デバイ
ス識別子(IDm)の結合データにデバイス秘密鍵(P
RI PAR)を適用してデジタル署名(S)の生成処
理(図12参照)を実行(S732)する。デバイス
は、デバイスの識別データ(IDm)と署名(S)をC
ERT発行装置に送信する。
Next, the CERT issuing device executes the step S72.
In step 2, an authentication data generation command including a random number R is transmitted to the device. The device that has received the authentication data generation command (S731) stores the device secret key (P) in the combined data of the received random number R and the device identifier (IDm).
The digital signature (S) generation process (see FIG. 12) is executed by applying the RI PAR (S732). The device sends the device identification data (IDm) and signature (S) to C
Transmit to the ERT issuing device.

【0550】デバイスから識別データ(IDm)と署名
(S)を受信(S723)したCERT発行装置は、受
信したデバイス識別データ(IDm)を検索キーとして
データベースDB(PAR)332から格納済みのデバ
イス公開鍵(PUB PAR)を取得する。さらに、取
得したデバイス公開鍵(PUB PAR)を適用して署
名(S)の検証処理(図13参照)を実行(S725)
する。検証に成功しなかった場合は、デバイスからの送
信データは不正なデータであると判定し処理は終了す
る。
The CERT issuing device that has received the identification data (IDm) and the signature (S) from the device (S723) uses the received device identification data (IDm) as a search key to open the stored device from the database DB (PAR) 332. Obtain a key (PUB PAR). Further, a signature (S) verification process (see FIG. 13) is executed by applying the obtained device public key (PUB PAR) (S725).
I do. If the verification is not successful, it is determined that the data transmitted from the device is invalid data, and the process ends.

【0551】検証に成功した場合は、認証局(CA f
or PM)620に対してパーティション対応公開鍵
証明書(CERT PAR)の発行処理を依頼(S72
7)する。パーティションマネージャは認証局620の
発行したパーティション対応公開鍵証明書(CERT
PAR)を受信(S728)してデバイスに送信(S7
29)する。
If the verification is successful, the certificate authority (CA f
or PM) 620 to issue a partition-related public key certificate (CERT PAR) (S72).
7) Yes. The partition manager issues a partitioning public key certificate (CERT) issued by the certificate authority 620.
PAR) is received (S728) and transmitted to the device (S7).
29)

【0552】パーティションマネージャ(登録局)から
パーティション対応公開鍵証明書(CERT PAR)
を受信したデバイスは、予めパーティション鍵領域(図
23参照)に格納済みの認証局の公開鍵(PUB CA
(PAR))を用いて受信したパーティション対応公開
鍵証明書(CERT PAR)の署名検証を実行する。
すなわち公開鍵証明書には認証局の秘密鍵で実行され署
名があり(図11参照)、この署名検証(S735)を
行なう。
A partition manager (registration authority) issues a partition-related public key certificate (CERT PAR).
Receives the public key (PUB CA) of the certificate authority stored in the partition key area (see FIG. 23) in advance.
(PAR)) to verify the signature of the received partition-related public key certificate (CERT PAR).
That is, the public key certificate has a signature executed with the private key of the certificate authority (see FIG. 11), and the signature is verified (S735).

【0553】署名検証に失敗した場合は、正当な公開鍵
証明書でないと判定し、エラー通知をCERT発行装置
に対して実行(S745)する。
If the signature verification fails, it is determined that the certificate is not a valid public key certificate, and an error notification is issued to the CERT issuing device (S745).

【0554】署名検証に成功した場合は、パーティショ
ン対応公開鍵証明書(CERT PAR)に格納された
デバイス公開鍵(PUB PAR)と自デバイスに保管
されたデバイス公開鍵(PUB PAR)の比較を実行
(S741)し、一致しない場合はエラー通知を実行
し、一致した場合は、受信したパーティション対応公開
鍵証明書(CERT PAR)をパーティション鍵領域
(図23参照)に格納(S743)する。なお、パーテ
ィション対応公開鍵証明書(CERT PAR)の発行
以前は、この領域に自デバイスで生成した公開鍵(PU
B PAR)を格納し、正当なパーティション対応公開
鍵証明書(CERT PAR)が発行された時点で、パ
ーティション対応公開鍵証明書(CERT PAR)に
より上書きする処理として格納する。
If the signature verification has succeeded, the device public key (PUB PAR) stored in the partition corresponding public key certificate (CERT PAR) is compared with the device public key (PUB PAR) stored in the own device. (S741) If not, an error notification is executed. If they match, the received partition-related public key certificate (CERT PAR) is stored in the partition key area (see FIG. 23) (S743). Before the issuance of the partition-related public key certificate (CERT PAR), the public key (PU
B PAR), and when a valid partition-related public key certificate (CERT PAR) is issued, stores as a process of overwriting with the partition-related public key certificate (CERT PAR).

【0555】パーティション対応公開鍵証明書(CER
T PAR)の格納が終了すると格納処理終了通知をC
ERT発行装置に送信(S744)する。CERT発行
装置は、格納処理終了通知を受信(S751)し、格納
成功を確認(S752)して処理を終了する。格納成功
の確認が得られない場合はエラーとして処理が終了す
る。
[0555] The partitioning public key certificate (CER)
T PAR), the storage processing end notification is sent to C
The data is transmitted to the ERT issuing device (S744). The CERT issuing device receives the storage processing end notification (S751), confirms the storage success (S752), and ends the processing. If the storage success cannot be confirmed, the process ends as an error.

【0556】[B4.3.パーティション生成処理各方
式における処理手順]上述したように、パーティション
の設定登録処理において、パーティションマネージャの
管理するデバイスアクセス機器としてのリーダライタと
デバイス間において、相互認証が実行され、パーティシ
ョン登録チケット(PRT)に基づくパーティションの
設定がなされる。上述したように相互認証処理の態様
は、公開鍵相互認証、共通鍵相互認証の2種類のいずれ
かであり、またチケット(PRT)の検証処理も公開鍵
系の署名検証、共通鍵系のMAC検証の2種類のいずれ
かが実行されることになる。すなわち処理態様としては
大きく分けて、 (A)相互認証(公開鍵)、チケット(PRT)検証
(公開鍵) (B)相互認証(公開鍵)、チケット(PRT)検証
(共通鍵) (C)相互認証(共通鍵)、チケット(PRT)検証
(共通鍵) (D)相互認証(共通鍵)、チケット(PRT)検証
(公開鍵) の4態様がある。
[B4.3. Processing Procedure in Each Method of Partition Generation Processing] As described above, in the partition setting registration processing, mutual authentication is performed between the reader / writer as a device access device managed by the partition manager and the device, and the partition registration ticket (PRT) Is set based on the partition. As described above, the mode of the mutual authentication processing is one of two types, that is, the public key mutual authentication and the common key mutual authentication. The ticket (PRT) verification processing is also performed by the public key signature verification and the common key MAC Either of two types of verification will be performed. That is, the processing modes are roughly divided into: (A) mutual authentication (public key), ticket (PRT) verification (public key), (B) mutual authentication (public key), ticket (PRT) verification (common key) (C) There are four modes: mutual authentication (common key), ticket (PRT) verification (common key), (D) mutual authentication (common key), and ticket (PRT) verification (public key).

【0557】これらの4態様についての処理を、認証局
(CA(DM))、デバイスマネージャ(DM)、パー
ティションマネージャ(PM)、デバイス、各エンティ
テイ間において実行されるデータ転送処理を中心として
図を用いて簡潔に説明する。
The processing for these four aspects will be described mainly with reference to a certificate authority (CA (DM)), a device manager (DM), a partition manager (PM), a device, and data transfer processing executed between each entity. A brief explanation will be given.

【0558】(A)相互認証(公開鍵)、チケット(P
RT)検証(公開鍵) まず、相互認証処理に公開鍵方式を適用し、チケット
(PRT)検証に公開鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図68を用いて説明す
る。なお以下では、説明を簡略化するために図68に示
すように、認証局(CA)を1つとし、登録局をデバイ
スマネージャ内に1つ設定し、デバイスマネージャ公開
鍵証明書(Cert.DM)、パーティションマネージ
ャ公開鍵証明書(Cert.PM)の双方をこれらの各
登録局、認証局を介して発行する構成とした。またパー
ティション登録チケット(PRT)の発行手段はデバイ
スマネージャ(DM)であり、パーティション登録チケ
ット(PRT)に対する署名はデバイスマネージャの秘
密鍵を用いて実行される。
(A) Mutual authentication (public key), ticket (P
RT) Verification (Public Key) First, data transfer between entities when the public key method is applied to the mutual authentication process and the public key method is applied to the ticket (PRT) verification will be described with reference to FIG. In the following, in order to simplify the description, as shown in FIG. 68, there is one certificate authority (CA), one registration authority is set in the device manager, and the device manager public key certificate (Cert.DM) ) And a partition manager public key certificate (Cert. PM) are issued via these registration authorities and certificate authorities. The means for issuing the partition registration ticket (PRT) is a device manager (DM), and the signature on the partition registration ticket (PRT) is executed using the secret key of the device manager.

【0559】図に示す番号順に各エンティテイ間でデー
タ転送が実行される。以下、各番号に従って処理を説明
する。 (1)デバイスマネージャ(DM)の公開鍵証明書(C
ert.DM)の発行、公開鍵証明書(Cert.D
M)は、認証局(CA)によってデバイスマネージャの
発行要求により、登録局を介した証明書発行手続きによ
ってデバイスマネージャに対して発行される。 (2)パーティションマネージャ(PM)の公開鍵証明
書(Cert.PM)の発行、公開鍵証明書(Cer
t.PM)は、認証局(CA)によってパーティション
マネージャの発行要求により、登録局を介した証明書発
行手続きによってパーティションマネージャに対して発
行される。
Data transfer is performed between the entities in the order of the numbers shown in the figure. Hereinafter, the processing will be described according to the respective numbers. (1) The public key certificate (C) of the device manager (DM)
ert. DM) and a public key certificate (Cert. D)
M) is issued to the device manager by a certificate issuing procedure via the registration authority in response to an issuance request of the device manager by the certificate authority (CA). (2) Issuing a public key certificate (Cert. PM) of the partition manager (PM), and issuing a public key certificate (Cer. PM)
t. PM) is issued by the certificate authority (CA) to the partition manager by a certificate issuing procedure via the registration authority in response to an issuance request of the partition manager.

【0560】(3)パーティション登録チケット(PR
T)の発行処理 パーティション登録チケット(PRT)は、デバイスマ
ネージャの管理するパーティション登録チケット発行手
段(PRT Ticket Issuer)によりパーティションマネ
ージャ(PM)に対して発行される。この場合、公開鍵
方式の署名生成、検証を実行するため、デバイスマネー
ジャの秘密鍵による署名(Signature)が生成(図12参
照)されてPRTに付加される。 (4)PRTおよびDM公開鍵証明書(Cert.D
M)のPMに対する供給デバイスマネージャの管理する
パーティション登録チケット発行手段(PRTTicket I
ssuer)により発行されたパーティション登録チケット
(PRT)は、DM公開鍵証明書(Cert.DM)と
ともにパーティションマネージャに対して送信される。
(3) Partition Registration Ticket (PR
T) Issuing Process The partition registration ticket (PRT) is issued to the partition manager (PM) by the partition registration ticket issuing means (PRT Ticket Issuer) managed by the device manager. In this case, a signature (Signature) using the secret key of the device manager is generated (see FIG. 12) and added to the PRT in order to generate and verify the signature in the public key system. (4) PRT and DM public key certificate (Cert. D
M) Partition registration ticket issuing means (PRTTicket I) managed by the supply device manager for the PM
ssuer), the partition registration ticket (PRT) is transmitted to the partition manager together with the DM public key certificate (Cert.DM).

【0561】(5)PMとデバイス間の相互認証 発行されたPRTに従ったパーティションを生成しよう
とする対象のデバイスと、パーティションマネージャ
(具体的にはチケットユーザであるデバイスアクセス機
器としてのリーダライタ)は、公開鍵方式の相互認証
(図50参照)を実行する。
(5) Mutual Authentication between PM and Device A target device for which a partition is to be created in accordance with the issued PRT, and a partition manager (specifically, a reader / writer as a device access device as a ticket user) Executes the public key mutual authentication (see FIG. 50).

【0562】(6)PRTおよびDM公開鍵証明書(C
ert.DM)のデバイスに対する供給 PMとデバイス間の相互認証が成立すると、パーティシ
ョンマネージャ(PM)は、デバイスに対してパーティ
ション登録チケット(PRT)、およびDM公開鍵証明
書(Cert.DM)を送信する。デバイスは、受信し
たパーティション登録チケット(PRT)について、
(1)チケット発行者(Ticket Issuer)=DMの公開
鍵証明書(CERT)が改竄されたものでない正当な公
開鍵証明書(CERT)であること、(2)チケット発
行者(Ticket Issuer)の公開鍵証明書(CERT)の
オプション領域に記録されたコードと、デバイス内のD
KDB(Device Key Definition Block)(PUB)に記録さ
れたチケット発行手段コード(PRTIC:PRT Issuer
Code)の一致、(3)チケット発行手段(Ticket Issu
er)がリボークされていないこと、(4)受信チケット
(PRT)の署名(Signature)の検証によりチケット
が改竄のないことの確認を実行し、さらに、PRTチケ
ットに格納されたPRTユーザ(この場合はPM:チケ
ットユーザであるデバイスアクセス機器としてのリーダ
ライタ)と受信したパーティションマネージャの公開鍵
証明書の識別データ(DN)として記録された識別子ま
たはカテゴリまたはシリアル(SN)の一致を確認し、
相互認証済みであることを確認することによりPRTユ
ーザ(PM:デバイスアクセス機器としてのリーダライ
タ)の検証(図57、図58参照)を実行する。
(6) PRT and DM public key certificate (C
ert. Supply of DM to Device When mutual authentication between the PM and the device is established, the partition manager (PM) transmits a partition registration ticket (PRT) and a DM public key certificate (Cert.DM) to the device. The device receives the partition registration ticket (PRT)
(1) The ticket issuer (Ticket Issuer) = the public key certificate (CERT) of the DM is a valid public key certificate (CERT) that is not falsified, and (2) the ticket issuer (Ticket Issuer) The code recorded in the option area of the public key certificate (CERT) and the D
Ticket issuing means code (PRTIC: PRT Issuer) recorded in KDB (Device Key Definition Block) (PUB)
Code), (3) Ticket Issuing Means (Ticket Issu)
er) has not been revoked, and (4) the receipt of the ticket (PRT) is verified to confirm that the ticket has not been tampered with by verifying the signature, and the PRT user stored in the PRT ticket (in this case, Is a PM: a reader / writer as a device access device that is a ticket user) and a matching identifier or category or serial (SN) recorded as identification data (DN) of the received public key certificate of the partition manager,
Verification of the PRT user (PM: reader / writer as a device access device) is performed by confirming that mutual authentication has been completed (see FIGS. 57 and 58).

【0563】(7)パーティションの生成 パーティション登録チケット(PRT)の検証、PRT
発行者(PRT Issuer)、PRTユーザの検証に成功する
と、パーティション登録チケット(PRT)に記述され
たルールに従ってパーティションがデバイスのメモリ部
に生成(図60、図61参照)される。
(7) Generation of Partition Verification of partition registration ticket (PRT), PRT
If the issuer (PRT Issuer) and the PRT user are successfully verified, a partition is generated in the memory section of the device according to the rules described in the partition registration ticket (PRT) (see FIGS. 60 and 61).

【0564】(8)鍵データ書き込み パーティションがデバイスのメモリ部に生成されると、
生成されたパーティション内に対する各種鍵の格納処理
が実行される。 (9)公開鍵の読み出し、 (10)公開鍵証明書の発行 生成パーティションに対する各種サービス時の認証処理
(パーティション生成、ファイル生成、ファイルアクセ
ス、データアップデート等のサービス利用時の認証処
理)に際し、公開鍵認証を行なう場合、デバイスは公開
鍵、秘密鍵の鍵ペアを生成し、生成した公開鍵をパーテ
ィションマネージャに送信し、登録局、認証局を介して
公開鍵証明書の発行処理を行ない、発行された公開鍵証
明書をパーティション鍵領域(図23参照)に格納す
る。この際、生成した公開鍵の格納領域に対して発行さ
れた公開鍵証明書を格納する。なお、この(9)、(1
0)の処理は、作成パーティションに対する各種サービ
ス時の認証処理(パーティション生成、ファイル生成、
ファイルアクセス、データアップデート等のサービス利
用時の認証処理)の際に公開鍵認証を行なう構成の場合
に実行すればよい。
(8) Write Key Data When the partition is created in the memory section of the device,
The process of storing various keys in the generated partition is executed. (9) Reading of public key, (10) Issuing of public key certificate Public at the time of authentication processing for various services for the generated partition (authentication processing for using services such as partition generation, file generation, file access, data update, etc.) When performing key authentication, the device generates a key pair of a public key and a secret key, sends the generated public key to the partition manager, issues a public key certificate via a registration authority and a certification authority, and issues the certificate. The obtained public key certificate is stored in the partition key area (see FIG. 23). At this time, the public key certificate issued to the generated public key storage area is stored. Note that (9) and (1)
The process of 0) is an authentication process (partition generation, file generation,
This may be executed in the case of a configuration in which public key authentication is performed at the time of authentication processing when using services such as file access and data update.

【0565】以上の処理によって、相互認証(公開
鍵)、チケット(PRT)検証(公開鍵)の各方式に従
ったパーティションの生成処理が実行される。
[0565] Through the above processing, partition generation processing is executed in accordance with the mutual authentication (public key) and ticket (PRT) verification (public key) methods.

【0566】(B)相互認証(公開鍵)、チケット(P
RT)検証(共通鍵) 次に、相互認証処理に公開鍵方式を適用し、チケット
(PRT)検証に共通鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図69を用いて説明す
る。図に示す番号順に各エンティテイ間でデータ転送が
実行される。以下、各番号に従って処理を説明する。
(B) Mutual authentication (public key), ticket (P
RT) Verification (Common Key) Next, data transfer between entities when the public key method is applied to the mutual authentication process and the common key method is applied to the ticket (PRT) verification will be described with reference to FIG. Data transfer is performed between the entities in the order shown in the figure. Hereinafter, the processing will be described according to the respective numbers.

【0567】(1)パーティションマネージャ(PM)
の公開鍵証明書(Cert.PM)の発行、公開鍵証明
書(Cert.PM)は、認証局(CA)によってパー
ティションマネージャの発行要求により、登録局を介し
た証明書発行手続きによってデバイスマネージャに対し
て発行される。
(1) Partition Manager (PM)
Of the public key certificate (Cert.PM), and the public key certificate (Cert.PM) is issued to the device manager by a certificate issuance request from the certificate authority (CA) to the partition manager in accordance with the partition manager's issuance request. Issued to

【0568】(2)パーティション登録チケット(PR
T)の発行処理 パーティション登録チケット(PRT)は、デバイスマ
ネージャの管理するパーティション登録チケット発行手
段(PRT Ticket Issuer)によりパーティションマネ
ージャ(PM)に対して発行される。この場合、共通鍵
方式の検証値としてMAC(Message Authentication Co
de)(図59参照)がPRTに付加される。 (3)PRTのPMに対する供給 デバイスマネージャの管理するパーティション登録チケ
ット発行手段(PRTTicket Issuer)により発行され
たパーティション登録チケット(PRT)は、パーティ
ションマネージャに対して送信される。
(2) Partition Registration Ticket (PR
T) Issuing Process The partition registration ticket (PRT) is issued to the partition manager (PM) by the partition registration ticket issuing means (PRT Ticket Issuer) managed by the device manager. In this case, the MAC (Message Authentication Co
de) (see FIG. 59) is added to the PRT. (3) Supply of PRT to PM The partition registration ticket (PRT) issued by the partition registration ticket issuing means (PRT Ticket Issuer) managed by the device manager is transmitted to the partition manager.

【0569】(4)PMとデバイス間の相互認証 発行されたPRTに従ったパーティションを生成しよう
とする対象のデバイスと、パーティションマネージャ
(具体的にはチケットユーザであるデバイスアクセス機
器としてのリーダライタ)は、公開鍵方式の相互認証
(図50参照)を実行する。
(4) Mutual Authentication between PM and Device A target device for which a partition is to be created in accordance with the issued PRT, and a partition manager (specifically, a reader / writer as a device accessing a ticket user) Executes the public key mutual authentication (see FIG. 50).

【0570】(5)PRTの送信 パーティションマネージャは発行されたパーティション
登録チケット(PRT)をデバイスに送付する。デバイ
スは、受信したパーティション登録チケット(PRT)
についてMAC検証処理を実行し、PRT発行者(PRT
Issuer)の検証、さらに、PRTチケットに格納された
PRTユーザ(この場合はPM:チケットユーザである
デバイスアクセス機器としてのリーダライタ)と受信し
たパーティションマネージャの公開鍵証明書の識別デー
タ(DN)として記録された識別子またはカテゴリまた
はシリアル(SN)の一致を確認し相互認証済みである
ことを確認することによりPRTユーザ(PM:デバイ
スアクセス機器としてのリーダライタ)の検証(図5
7、図58参照)を実行する。
(5) Sending PRT The partition manager sends the issued partition registration ticket (PRT) to the device. The device receives the partition registration ticket (PRT)
Of the PRT issuer (PRT
Issuer), and as identification data (DN) of the PRT user (in this case, PM: reader / writer as a device access device that is the ticket user) stored in the PRT ticket and the received public key certificate of the partition manager. Verification of the PRT user (PM: reader / writer as a device access device) by confirming the match of the recorded identifier or category or serial (SN) and confirming that mutual authentication has been completed (FIG. 5
7, see FIG. 58).

【0571】(6)パーティションの生成 パーティション登録チケット(PRT)の検証、PRT
発行者(PRT Issuer)、PRTユーザの検証に成功する
と、パーティション登録チケット(PRT)に記述され
たルールに従ってパーティションがデバイスのメモリ部
に生成(図60、図61参照)される。 (7)鍵データ書き込み パーティションがデバイスのメモリ部に生成されると、
生成されたパーティション内に対する各種鍵の格納処理
が実行される。
(6) Generation of Partition Verification of partition registration ticket (PRT), PRT
If the issuer (PRT Issuer) and the PRT user are successfully verified, a partition is generated in the memory section of the device according to the rules described in the partition registration ticket (PRT) (see FIGS. 60 and 61). (7) Write key data When the partition is created in the memory part of the device,
The process of storing various keys in the generated partition is executed.

【0572】(8)公開鍵の読み出し、 (9)公開鍵証明書の発行 生成パーティションに対する各種サービス時の認証処理
(パーティション生成、ファイル生成、ファイルアクセ
ス、データアップデート等のサービス利用時の認証処
理)に際し、公開鍵認証を行なう場合、デバイスは公開
鍵、秘密鍵の鍵ペアを生成し、生成した公開鍵をパーテ
ィションマネージャに送信し、登録局、認証局を介して
公開鍵証明書の発行処理を行ない、発行された公開鍵証
明書をパーティション鍵領域(図23参照)に格納す
る。この際、生成した公開鍵の格納領域に対して発行さ
れた公開鍵証明書を格納する。なお、この(8)、
(9)の処理は、作成パーティションに対する各種サー
ビス時の認証処理(パーティション生成、ファイル生
成、ファイルアクセス、データアップデート等のサービ
ス利用時の認証処理)の際に公開鍵認証を行なう構成の
場合に実行すればよい。
(8) Reading of public key, (9) Issuance of public key certificate Authentication processing for various services for generated partitions (authentication processing for services such as partition generation, file generation, file access, and data update) When performing public key authentication, the device generates a key pair of a public key and a private key, sends the generated public key to the partition manager, and issues a public key certificate through the registration authority and certificate authority. Then, the issued public key certificate is stored in the partition key area (see FIG. 23). At this time, the public key certificate issued to the generated public key storage area is stored. This (8),
The process of (9) is executed in the case of a configuration in which public key authentication is performed at the time of authentication processing at the time of various services (authentication processing at the time of using services such as partition generation, file generation, file access, and data update) for the created partition. do it.

【0573】以上の処理によって、相互認証(公開
鍵)、チケット(PRT)検証(共通鍵)の各方式に従
ったパーティションの生成処理が実行される。
[0573] Through the above processing, partition generation processing is executed according to the mutual authentication (public key) and ticket (PRT) verification (common key) methods.

【0574】(C)相互認証(共通鍵)、チケット(P
RT)検証(共通鍵) 次に、相互認証処理に共通鍵方式を適用し、チケット
(PRT)検証に共通鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図70を用いて説明す
る。図に示す番号順に各エンティテイ間でデータ転送が
実行される。以下、各番号に従って処理を説明する。
(C) Mutual authentication (common key), ticket (P
RT) Verification (Common Key) Next, data transfer between entities when the common key method is applied to the mutual authentication processing and the ticket (PRT) verification is applied will be described with reference to FIG. Data transfer is performed between the entities in the order shown in the figure. Hereinafter, the processing will be described according to the respective numbers.

【0575】(1)パーティション登録チケット(PR
T)の発行処理 パーティション登録チケット(PRT)は、デバイスマ
ネージャの管理するパーティション登録チケット発行手
段(PRT Ticket Issuer)によりパーティションマネ
ージャ(PM)に対して発行される。この場合、共通鍵
方式の検証値としてMAC(図59参照)がPRTに付
加される。
(1) Partition Registration Ticket (PR
T) Issuing Process The partition registration ticket (PRT) is issued to the partition manager (PM) by the partition registration ticket issuing means (PRT Ticket Issuer) managed by the device manager. In this case, MAC (see FIG. 59) is added to the PRT as a verification value of the common key system.

【0576】(2)PRTのPMに対する供給 デバイスマネージャの管理するパーティション登録チケ
ット発行手段(PRTTicket Issuer)により発行され
たパーティション登録チケット(PRT)は、パーティ
ションマネージャに対して送信される。
(2) Supply of PRT to PM The partition registration ticket (PRT) issued by the partition registration ticket issuing means (PRT Ticket Issuer) managed by the device manager is transmitted to the partition manager.

【0577】(3)PMとデバイス間の相互認証 発行されたPRTに従ったパーティションを生成しよう
とする対象のデバイスと、パーティションマネージャ
(具体的にはチケットユーザであるデバイスアクセス機
器としてのリーダライタ)は、共通鍵方式の相互認証
(図53、図54参照)を実行する。
(3) Mutual Authentication between PM and Device A target device for which a partition is to be generated in accordance with the issued PRT, and a partition manager (specifically, a reader / writer as a device access device which is a ticket user) Performs mutual authentication using the common key method (see FIGS. 53 and 54).

【0578】(4)PRTの送信 パーティションマネージャは発行されたパーティション
登録チケット(PRT)をデバイスに送付する。デバイ
スは、受信したパーティション登録チケット(PRT)
についてMAC検証処理を実行し、PRT発行者(PRT
Issuer)の検証、さらに、PRTチケットに格納された
PRTユーザ(この場合はPM:チケットユーザである
デバイスアクセス機器としてのリーダライタ)とパーテ
ィションマネージャの識別子の一致を確認し、相互認証
済みであることを確認することによりPRTユーザ(P
M:デバイスアクセス機器としてのリーダライタ)の検
証(図57、図58参照)を実行する。
(4) Transmission of PRT The partition manager sends the issued partition registration ticket (PRT) to the device. The device receives the partition registration ticket (PRT)
Of the PRT issuer (PRT
Issuer), furthermore, the PRT user (in this case, PM: reader / writer as a device access device as a ticket user) stored in the PRT ticket is matched with the partition manager identifier, and mutual authentication has been completed. By checking the PRT user (P
M: Verification of a reader / writer as a device access device (see FIGS. 57 and 58) is executed.

【0579】(5)パーティションの生成 パーティション登録チケット(PRT)の検証、PRT
発行者(PRT Issuer)、PRTユーザの検証に成功する
と、パーティション登録チケット(PRT)に記述され
たルールに従ってパーティションがデバイスのメモリ部
に生成(図60、図61参照)される。
(5) Generation of Partition Verification of partition registration ticket (PRT), PRT
If the issuer (PRT Issuer) and the PRT user are successfully verified, a partition is generated in the memory section of the device according to the rules described in the partition registration ticket (PRT) (see FIGS. 60 and 61).

【0580】(6)鍵データ書き込み パーティションがデバイスのメモリ部に生成されると、
生成されたパーティション内に対する各種鍵の格納処理
が実行される。 (7)公開鍵の読み出し、 (8)公開鍵証明書の発行 生成パーティションに対する各種サービス時の認証処理
(パーティション生成、ファイル生成、ファイルアクセ
ス、データアップデート等のサービス利用時の認証処
理)に際し、公開鍵認証を行なう場合、デバイスは公開
鍵、秘密鍵の鍵ペアを生成し、生成した公開鍵をパーテ
ィションマネージャに送信し、登録局、認証局を介して
公開鍵証明書の発行処理を行ない、発行された公開鍵証
明書をパーティション鍵領域(図23参照)に格納す
る。この際、生成した公開鍵の格納領域に対して発行さ
れた公開鍵証明書を格納する。なお、この(7)、
(8)の処理は、作成パーティションに対する各種サー
ビス時の認証処理(パーティション生成、ファイル生
成、ファイルアクセス、データアップデート等のサービ
ス利用時の認証処理)の際に公開鍵認証を行なう構成の
場合に実行すればよい。
(6) Write Key Data When the partition is created in the memory section of the device,
The process of storing various keys in the generated partition is executed. (7) Reading of public key, (8) Issuing of public key certificate It is made public at the time of authentication processing at the time of various services for the generated partition (authentication processing at the time of using services such as partition generation, file generation, file access, and data update). When performing key authentication, the device generates a key pair of a public key and a secret key, sends the generated public key to the partition manager, issues a public key certificate via a registration authority and a certification authority, and issues the certificate. The obtained public key certificate is stored in the partition key area (see FIG. 23). At this time, the public key certificate issued to the generated public key storage area is stored. This (7),
The process of (8) is executed in the case of a configuration in which public key authentication is performed at the time of authentication processing at the time of various services for the created partition (authentication processing at the time of using services such as partition generation, file generation, file access, and data update). do it.

【0581】以上の処理によって、相互認証(共通
鍵)、チケット(PRT)検証(公開鍵)の各方式に従
ったパーティションの生成処理が実行される。
With the above processing, partition generation processing according to the mutual authentication (common key) and ticket (PRT) verification (public key) methods is executed.

【0582】(D)相互認証(共通鍵)、チケット(P
RT)検証(公開鍵) 次に、相互認証処理に共通鍵方式を適用し、チケット
(PRT)検証に公開鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図71を用いて説明す
る。図に示す番号順に各エンティテイ間でデータ転送が
実行される。以下、各番号に従って処理を説明する。
(D) Mutual authentication (common key), ticket (P
RT) Verification (Public Key) Next, data transfer between entities when the common key method is applied to the mutual authentication processing and the public key method is applied to the ticket (PRT) verification will be described with reference to FIG. Data transfer is performed between the entities in the order shown in the figure. Hereinafter, the processing will be described according to the respective numbers.

【0583】(1)デバイスマネージャ(DM)の公開
鍵証明書(Cert.DM)の発行、公開鍵証明書(C
ert.DM)は、認証局(CA)によってデバイスマ
ネージャの発行要求により、登録局を介した証明書発行
手続きによってデバイスマネージャに対して発行され
る。
(1) Issuing a public key certificate (Cert.DM) of the device manager (DM), and issuing a public key certificate (C
ert. DM) is issued by the certificate authority (CA) to the device manager by a certificate issuing procedure via the registration authority in response to an issuance request of the device manager.

【0584】(2)パーティション登録チケット(PR
T)の発行処理 パーティション登録チケット(PRT)は、デバイスマ
ネージャの管理するパーティション登録チケット発行手
段(PRT Ticket Issuer)によりパーティションマネ
ージャ(PM)に対して発行される。この場合、公開鍵
方式の署名生成、検証を実行するため、デバイスマネー
ジャの秘密鍵による署名(Signature)が生成(図12参
照)されてPRTに付加される。 (3)PRTおよびDM公開鍵証明書(Cert.D
M)のPMに対する供給デバイスマネージャの管理する
パーティション登録チケット発行手段(PRTTicket I
ssuer)により発行されたパーティション登録チケット
(PRT)は、DM公開鍵証明書(Cert.DM)と
ともにパーティションマネージャに対して送信される。
(2) Partition Registration Ticket (PR
T) Issuing Process The partition registration ticket (PRT) is issued to the partition manager (PM) by the partition registration ticket issuing means (PRT Ticket Issuer) managed by the device manager. In this case, a signature (Signature) using the secret key of the device manager is generated (see FIG. 12) and added to the PRT in order to generate and verify the signature in the public key system. (3) PRT and DM public key certificate (Cert. D
M) Partition registration ticket issuing means (PRTTicket I) managed by the supply device manager for the PM
ssuer), the partition registration ticket (PRT) is transmitted to the partition manager together with the DM public key certificate (Cert.DM).

【0585】(4)PMとデバイス間の相互認証 発行されたPRTに従ったパーティションを生成しよう
とする対象のデバイスと、パーティションマネージャ
(具体的にはチケットユーザであるデバイスアクセス機
器としてのリーダライタ)は、共通鍵方式の相互認証
(図53、図54参照)を実行する。
(4) Mutual Authentication between PM and Device A target device for which a partition is to be created in accordance with the issued PRT, and a partition manager (specifically, a reader / writer as a device accessing device as a ticket user) Performs mutual authentication using the common key method (see FIGS. 53 and 54).

【0586】(5)PRTおよびDM公開鍵証明書(C
ert.DM)のデバイスに対する供給 PMとデバイス間の相互認証が成立すると、パーティシ
ョンマネージャ(PM)は、デバイスに対してパーティ
ション登録チケット(PRT)、およびDM公開鍵証明
書(Cert.DM)を送信する。デバイスは、受信し
たパーティション登録チケット(PRT)について、
(1)チケット発行者(Ticket Issuer)=DMの公開
鍵証明書(CERT)が改竄されたものでない正当な公
開鍵証明書(CERT)であること、(2)チケット発
行者(Ticket Issuer)の公開鍵証明書(CERT)の
オプション領域に記録されたコードと、デバイス内のD
KDB(Device Key Definition Block)(PUB)に記録さ
れたチケット発行手段コード(PRTIC:PRT Issuer
Code)の一致、(3)チケット発行手段(Ticket Issu
er)がリボークされていないこと、(4)受信チケット
(PRT)の署名(Signature)の検証によりチケット
が改竄のないことの確認を実行し、さらに、PRTチケ
ットに格納されたPRTユーザ(この場合はPM:チケ
ットユーザであるデバイスアクセス機器としてのリーダ
ライタ)とパーティションマネージャの公開鍵証明書中
の識別データ(DN)として記録された識別子またはカ
テゴリまたはシリアル(SN)の一致を確認し、相互認
証済みであることを確認することによりPRTユーザ
(PM:デバイスアクセス機器としてのリーダライタ)
の検証(図57、図58参照)を実行する。
(5) PRT and DM public key certificate (C
ert. Supply of DM to Device When mutual authentication between the PM and the device is established, the partition manager (PM) transmits a partition registration ticket (PRT) and a DM public key certificate (Cert.DM) to the device. The device receives the partition registration ticket (PRT)
(1) The ticket issuer (Ticket Issuer) = the public key certificate (CERT) of the DM is a valid public key certificate (CERT) that is not falsified, and (2) the ticket issuer (Ticket Issuer) The code recorded in the option area of the public key certificate (CERT) and the D
Ticket issuing means code (PRTIC: PRT Issuer) recorded in KDB (Device Key Definition Block) (PUB)
Code), (3) Ticket Issuing Means (Ticket Issu)
er) has not been revoked, and (4) the receipt of the ticket (PRT) is verified to confirm that the ticket has not been tampered with by verifying the signature, and the PRT user stored in the PRT ticket (in this case, Is a PM: a reader / writer as a device access device as a ticket user) and an identifier or a category or a serial (SN) recorded as identification data (DN) in a public key certificate of a partition manager and mutual authentication. PRT user (PM: reader / writer as device access device)
(See FIGS. 57 and 58).

【0587】(6)パーティションの生成 パーティション登録チケット(PRT)の検証、PRT
発行者(PRT Issuer)、PRTユーザの検証に成功する
と、パーティション登録チケット(PRT)に記述され
たルールに従ってパーティションがデバイスのメモリ部
に生成(図60、図61参照)される。
(6) Generation of Partition Verification of partition registration ticket (PRT), PRT
If the issuer (PRT Issuer) and the PRT user are successfully verified, a partition is generated in the memory section of the device according to the rules described in the partition registration ticket (PRT) (see FIGS. 60 and 61).

【0588】(7)鍵データ書き込み パーティションがデバイスのメモリ部に生成されると、
生成されたパーティション内に対する各種鍵の格納処理
が実行される。 (8)公開鍵の読み出し、 (9)公開鍵証明書の発行 生成パーティションに対する各種サービス時の認証処理
(パーティション生成、ファイル生成、ファイルアクセ
ス、データアップデート等のサービス利用時の認証処
理)に際し、公開鍵認証を行なう場合、デバイスは公開
鍵、秘密鍵の鍵ペアを生成し、生成した公開鍵をパーテ
ィションマネージャに送信し、登録局、認証局を介して
公開鍵証明書の発行処理を行ない、発行された公開鍵証
明書をパーティション鍵領域(図23参照)に格納す
る。この際、生成した公開鍵の格納領域に対して発行さ
れた公開鍵証明書を格納する。なお、この(8)、
(9)の処理は、作成パーティションに対する各種サー
ビス時の認証処理(パーティション生成、ファイル生
成、ファイルアクセス、データアップデート等のサービ
ス利用時の認証処理)の際に公開鍵認証を行なう構成の
場合に実行すればよい。
(7) Write Key Data When the partition is created in the memory section of the device,
The process of storing various keys in the generated partition is executed. (8) Reading of public key, (9) Issuance of public key certificate The public key is issued for authentication processing for various services for the generated partition (authentication processing for using services such as partition generation, file generation, file access, and data update). When performing key authentication, the device generates a key pair of a public key and a secret key, sends the generated public key to the partition manager, issues a public key certificate via a registration authority and a certification authority, and issues the certificate. The obtained public key certificate is stored in the partition key area (see FIG. 23). At this time, the public key certificate issued to the generated public key storage area is stored. This (8),
The process of (9) is executed in the case of a configuration in which public key authentication is performed at the time of authentication processing at the time of various services (authentication processing at the time of using services such as partition generation, file generation, file access, and data update) for the created partition. do it.

【0589】以上の処理によって、相互認証(共通
鍵)、チケット(PRT)検証(公開鍵)の各方式に従
ったパーティションの生成処理が実行される。
[0589] Through the above processing, partition generation processing is executed according to the mutual authentication (common key) and ticket (PRT) verification (public key) methods.

【0590】[B4.4.ファイル登録チケット(FR
T)を利用したファイル生成、削除処理]次に、デバイ
スに生成したパーティション内にファイル登録チケット
(FRT)を適用してファイルを生成、または削除する
処理について説明する。図72以下のフロー他の図面を
参照して説明する。なお、ファイル作成、削除処理に
は、デバイスとデバイスアクセス機器としてのリーダラ
イタ(パーティションマネージャ)間における相互認証
処理(デバイス認証またはパーティション認証)、パー
ティション登録チケット(FRT:File Registration
Ticket)の正当性検証処理が含まれる。
[B4.4. File Registration Ticket (FR
T) File Generation and Deletion Processing Using T] Next, processing for generating or deleting a file by applying a file registration ticket (FRT) to a partition generated in a device will be described. The flow from FIG. 72 onwards will be described with reference to other drawings. In the file creation and deletion processing, mutual authentication processing (device authentication or partition authentication) between a device and a reader / writer (partition manager) as a device access device, a partition registration ticket (FRT: File Registration)
Ticket).

【0591】図72に示すファイル生成、削除処理フロ
ーについて説明する。図72において、左側がパーティ
ションマネージャのファイル作成・削除装置、右側がデ
バイス(図5参照)の処理を示す。なお、パーティショ
ンマネージャのファイル作成・削除装置は、デバイスに
対するデータ読み取り書き込み処理可能な装置(ex.
デバイスアクセス機器としてのリーダライタ、PC)で
あり、図10のデバイスアクセス機器としてのリーダラ
イタに相当する。まず、図72を用いて、ファイル作
成、削除処理の概要を説明し、その後、当処理に含まれ
るファイル作成、削除操作の詳細を図73のフローを用
いて説明する。
[0591] The file generation and deletion processing flow shown in Fig. 72 will be described. In FIG. 72, the left side shows the processing of the file creation / deletion device of the partition manager, and the right side shows the processing of the device (see FIG. 5). The file creation / deletion device of the partition manager is a device (ex.
A reader / writer as a device access device (PC) corresponds to the reader / writer as the device access device in FIG. First, an outline of the file creation / deletion processing will be described with reference to FIG. 72, and then details of the file creation / deletion operation included in this processing will be described with reference to the flow of FIG.

【0592】まず、図72のステップS801とS81
0において、ファイル作成・削除装置とデバイス間にで
の相互認証処理が実行される。データ送受信を実行する
2つの手段間では、相互に相手が正しいデータ通信者で
あるか否かを確認して、その後に必要なデータ転送を行
なうことが行われる。相手が正しいデータ通信者である
か否かの確認処理が相互認証処理である。相互認証処理
時にセッション鍵の生成を実行して、生成したセッショ
ン鍵を共有鍵として暗号化処理を実行してデータ送信を
行なう。
First, steps S801 and S81 in FIG.
At 0, a mutual authentication process is performed between the file creation / deletion device and the device. The two means for executing data transmission / reception mutually confirm whether or not the other party is a correct data communicator, and thereafter perform necessary data transfer. The process of confirming whether the other party is the correct data communicator is the mutual authentication process. A session key is generated at the time of the mutual authentication process, and encryption is performed using the generated session key as a shared key to transmit data.

【0593】相互認証処理については、先のパーティシ
ョン生成、削除処理の欄で説明したと同様の処理であ
り、パーティション認証が実行される。それぞれについ
て共通鍵方式認証、あるいは公開鍵方式認証処理のいず
れかが適用される。この相互認証処理は、前述の図48
〜図56を用いて説明したと同様の処理であるので説明
を省略する。
The mutual authentication processing is the same processing as described in the section of the partition generation / deletion processing, and the partition authentication is executed. Either common key authentication or public key authentication processing is applied to each of them. This mutual authentication process is the same as that shown in FIG.
Since the processing is the same as that described with reference to FIG.

【0594】なお、相互認証処理として実行すべき処理
は、適用するファイル登録チケット(FRT)(図27
参照)の * Authentication Flag :チケット(Ticket)の利用処
理においてデバイス(Device)との相互認証が必要か否
かを示すフラグ * Authentication Type :デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any))によって決定される。
Note that the processing to be executed as the mutual authentication processing is the file registration ticket (FRT) (FIG. 27) to be applied.
*) Authentication Flag: A flag indicating whether mutual authentication with the device is required in the process of using the ticket. * Authentication Type: The type of mutual authentication of the device (public key authentication or , Common key authentication, or any one of them (Any)).

【0595】認証処理に失敗した場合(S802,S8
11でNo)は、相互が正当な機器、デバイスであるこ
との確認がとれないことを示し、以下の処理は実行され
ずエラーとして処理は終了する。
If the authentication processing has failed (S802, S8
No in 11) indicates that it is not possible to confirm that they are valid devices and devices, and the following processing is not executed and the processing ends as an error.

【0596】認証処理に成功すると、ファイル作成・削
除装置は、デバイスに対してファイル登録チケット(F
RT:File Registration Ticket)を送信する。ファイ
ル登録チケット(FRT)は、パーティションマネージ
ャの管理下のファイル登録チケット(FRT)発行手段
(FRT Issuer)により発行されるチケットである。ファ
イル登録チケット(FRT)は、デバイスに対するアク
セス制御チケットであり、先に説明した図27のデータ
フォーマット構成を持つチケットである。
[0596] If the authentication processing is successful, the file creation / deletion apparatus sends the file registration ticket (F
RT: File Registration Ticket). The file registration ticket (FRT) is a ticket issued by a file registration ticket (FRT) issuing unit (FRT Issuer) managed by the partition manager. The file registration ticket (FRT) is an access control ticket for the device, and has the data format configuration of FIG. 27 described above.

【0597】なお、ファイル登録チケット(FRT)
を、チケットユーザに対して送信する際には、公開鍵方
式の場合、ファイル登録チケット(FRT)発行手段
(FRT Issuer)の公開鍵証明書(CERT_FRTI)も一緒に
送信する。FRT発行手段の公開鍵証明書(CERT_FRT
I)の属性(Attribute)は、、ファイル登録チケット
(FRT)発行手段(FRT Issuer)の識別子(FRTIC)
と一致する。
[0597] The file registration ticket (FRT)
Is transmitted to the ticket user, in the case of the public key method, the public key certificate (CERT_FRTI) of the file registration ticket (FRT) issuing means (FRT Issuer) is also transmitted. Public key certificate of FRT issuing means (CERT_FRT
The attribute (I) is an identifier (FRTIC) of a file registration ticket (FRT) issuing means (FRT Issuer).
Matches.

【0598】ファイル登録チケット(FRT)を受信
(S812)したデバイスは、受信したチケット(FR
T)の正当性と利用者チェック処理を実行(S813)
する。チケットの正当性の検証処理は、共通鍵方式によ
るMAC検証、あるいは公開鍵方式による署名検証処理
のいずれかを適用して実行される。利用者チェックは、
チケットを送信してきた機器(チケット利用者)の正当
性をチェックする処理であり、相互認証が成立済みであ
り、認証相手の識別データと、チケットに記録されてい
るチケットユーザ識別子(図27参照)との一致等を検
証する処理として実行される。これらの処理は、先のパ
ーティション登録チケット(PRT)の適用処理につい
ての説明中、図57〜図59を用いて説明したと同様の
処理であるので説明を省略する。
The device that has received the file registration ticket (FRT) (S812) transmits the received ticket (FR
T) and executes the user check process (S813)
I do. The processing for verifying the validity of the ticket is executed by applying either MAC verification using a common key method or signature verification processing using a public key method. User check
This is a process of checking the validity of the device (ticket user) that has transmitted the ticket. Mutual authentication has been established, the identification data of the authentication partner, and the ticket user identifier recorded in the ticket (see FIG. 27). This is executed as a process for verifying a match with the above. These processes are the same as those described with reference to FIGS. 57 to 59 in the description of the application process of the partition registration ticket (PRT), and thus description thereof is omitted.

【0599】デバイスにおいて、受信チケット(FR
T)の正当性と利用者チェック処理の結果、チケットお
よび利用者の正当なことが確認できなかった場合(S8
14でNo)は、ファイル登録チケット(FRT)受理
エラーをファイル作成・削除装置に通知(S818)す
る。チケットおよび利用者の正当なことが確認できた場
合(S814でYes)は、受信したファイル登録チケ
ット(FRT)に記述されたルールに従いデバイス内の
メモリ部におけるファイルの生成、または削除処理を実
行する。この処理の詳細については、別フローを用いて
後段で詳述する。
In the device, the received ticket (FR
T) If the validity of the ticket and the user cannot be confirmed as a result of the user check processing and the validity of the user (S8)
(No in 14) notifies the file creation / deletion device of the file registration ticket (FRT) reception error (S818). If the validity of the ticket and the user is confirmed (Yes in S814), a file is created or deleted in the memory unit in the device in accordance with the rules described in the received file registration ticket (FRT). . Details of this processing will be described later using another flow.

【0600】ファイル登録チケット(FRT)の記述に
従って、ファイルの生成または削除処理に成功(S81
6でYes)すると、FRT受理成功をファイル作成・
削除装置に通知(S817)する。一方、ファイルの生
成または削除処理に失敗(S816でNo)した場合
は、FRT受理エラーをファイル作成・削除装置に通知
(S818)する。
According to the description of the file registration ticket (FRT), the file is successfully created or deleted (S81).
If 6), create a file indicating that FRT reception was successful.
The deletion device is notified (S817). On the other hand, if the file generation or deletion processing has failed (No in S816), an FRT reception error is notified to the file creation / deletion device (S818).

【0601】ファイル作成・削除装置は、FRT受理結
果を受信(S804)し、FRT処理結果を判定し、F
RT受理結果がエラーである場合(S805でNo)
は、エラーとして処理を終了し、FRT受理結果が成功
(S805でYes)である場合はセッションクリアコ
マンドの送受信(S806,S819)を実行し、デバ
イス側に生成した認証テーブルを破棄(S820)し、
処理を終了する。認証テーブルは、ステップS801,
S810の相互認証処理において生成されるテーブルで
あり、前述したパーティション登録チケット(PRT)
の適用処理の項目において説明した構成、すなわち、図
51の構成と同様のものである。
The file creation / deletion device receives the FRT reception result (S804), determines the FRT processing result, and
When the RT reception result is an error (No in S805)
Terminates the processing as an error, executes the transmission / reception of the session clear command (S806, S819) when the FRT reception result is successful (Yes in S805), and discards the authentication table generated on the device side (S820). ,
The process ends. The authentication table is stored in step S801,
This is a table generated in the mutual authentication process of S810, and is the partition registration ticket (PRT) described above.
51, that is, the same as the configuration shown in FIG.

【0602】このようにファイル登録チケット(FR
T)を利用して、デバイス内に設定されたパーティショ
ン内にファイルの生成、または生成済みのファイルの削
除処理が実行される。以下、当処理に含まれるファイル
の生成、削除処理(S815)について、図73を用い
て説明する。
[0602] As described above, the file registration ticket (FR
Using T), a file is created in a partition set in the device, or a process of deleting a created file is executed. Hereinafter, the file generation and deletion processing (S815) included in this processing will be described with reference to FIG.

【0603】(ファイル作成・削除処理)図72のフロ
ーに示すステップS815において実行されるファイル
登録チケット(FRT)に基づくパーティションの作
成、削除処理の詳細について、図73の処理フローを用
いて説明する。ファイルの作成、削除処理は、チケット
ユーザ(ex.デバイスアクセス機器としてのリーダラ
イタ、PC等)からファイル登録チケット(FRT)を
受信したデバイスが、ファイル登録チケット(FRT)
に基づいて実行する処理である。
(File creation / deletion processing) Details of the partition creation / deletion processing based on the file registration ticket (FRT) executed in step S815 shown in the flow of FIG. 72 will be described with reference to the processing flow of FIG. . The file creation / deletion process is performed by a device that has received a file registration ticket (FRT) from a ticket user (ex. A reader / writer as a device access device, a PC, etc.).
This is a process executed based on.

【0604】図73のステップS821において、デバ
イスは、受信したファイル登録チケット(FRT:File
Registration ticket)に記録された処理タイプ、すな
わちOperation Type(パーティション(Partition)作
成か削除かの指定 (作成(Generate) / 削除(Delet
e)))を検証する。処理タイプ(Operation Type)が、
ファイル作成である場合、ステップS822以下を実行
し、ファイル削除である場合、ステップS841以下を
実行する。
In step S821 of FIG. 73, the device receives the received file registration ticket (FRT: File
The processing type recorded in the Registration Ticket, that is, the Operation Type (partition (Partition) creation / deletion specification (Generate / Delete)
e))) is verified. The operation type (Operation Type)
If the file is to be created, steps S822 and subsequent steps are executed. If the file is to be deleted, steps S841 and subsequent steps are executed.

【0605】まず、ファイル作成処理について説明す
る。デバイスはステップS822において、ファイル登
録チケット(FRT)に記述されたファイル識別子(I
D)と同一IDのファイルがデバイスの処理対象パーテ
ィション内に存在するか否かを検証する。この判定は、
デバイスのメモリ部に設定されたパーティション領域の
ファイル定義ブロック(図24参照)に受信チケット
(FRT)に記述されたファイルIDと同一のファイル
IDが記述されているか否かを検証することによって判
定可能である。
First, the file creation processing will be described. In step S822, the device determines the file identifier (I) described in the file registration ticket (FRT).
It verifies whether a file with the same ID as in D) exists in the processing target partition of the device. This judgment is
It can be determined by verifying whether the same file ID as the file ID described in the reception ticket (FRT) is described in the file definition block (see FIG. 24) of the partition area set in the memory section of the device. It is.

【0606】すでにデバイスに同一IDのファイルが存
在する場合は、同一IDを持つ重複ファイルを同一のパ
ーティション内に存在させることは許されないので、フ
ァイルの生成は実行せず、エラー終了とする。同一ID
のファイルが処理対象パーティション内に存在しない場
合は、ステップS823において、パーティション管理
情報ブロック(図20参照)のパーティション内の空き
ブロック数(Free Block Number in Partition)と、フ
ァイル登録チケット(FRT)に記述されたファイルサ
イズ(File Size)とを比較し、チケット(FRT)に
記述されたファイルサイズ(File Size)以上の空きブ
ロック領域がデバイスの処理対象パーティション内に存
在するか否かを判定する。存在しない場合は、FRTに
記述されたサイズのファイルの生成はできないので、エ
ラー終了とする。
If a file with the same ID already exists in the device, it is not allowed to have a duplicate file with the same ID in the same partition, so that the file is not generated and the process ends with an error. Same ID
If the file does not exist in the processing target partition, in step S823, the number of free blocks in the partition (Free Block Number in Partition) of the partition management information block (see FIG. 20) and the file registration ticket (FRT) are described. The file size (File Size) described above is compared with the file size (File Size) described in the ticket (FRT), and it is determined whether or not a free block area larger than the file size (File Size) exists in the partition to be processed by the device. If the file does not exist, a file having the size described in the FRT cannot be generated, and the process ends with an error.

【0607】チケット(FRT)に記述されたファイル
サイズ(File Size)以上の空きブロック領域がデバイ
スのメモリ部の処理対象パーティション内に存在すると
判定された場合は、ステップS824に進み、パーティ
ション管理情報ブロックの空き領域ポインタ(Pointer
of Free Area)を参照してパーティションの空き領域
(Free Area in Partition)の最上位ブロックにファイ
ル定義ブロック(FDB)エリア(図24参照)を確保
する。
If it is determined that a free block area equal to or larger than the file size (File Size) described in the ticket (FRT) is present in the partition to be processed in the memory section of the device, the flow advances to step S824 to execute the partition management information block. Free area pointer (Pointer
With reference to the Free Area in Free Area, a file definition block (FDB) area (see FIG. 24) is secured in the highest block of the Free Area in Partition.

【0608】次に、デバイスは、確保したファイル定義
ブロック(FDB)エリアに、ファイル登録チケット
(FRT)に記述されたファイルIDのコピーを実行
(S825)し、さらに、ファイル定義ブロック(FD
B)エリアのファイルスタート位置(File Start Posit
ion)に、パーティション管理情報ブロック(図20参
照)の空き領域ポインタ(Pointer of Free Area)のコ
ピー処理を実行(S826)する。
Next, the device executes a copy of the file ID described in the file registration ticket (FRT) in the secured file definition block (FDB) area (S825), and further executes the file definition block (FD).
B) File start position of area (File Start Posit)
), a copy process of a free area pointer (Pointer of Free Area) of the partition management information block (see FIG. 20) is executed (S826).

【0609】さらに、ステップS827において、ファ
イル定義ブロック(FDB)のファイルサイズ(File S
ize)、サービス許可チケット発行手段コード(SPT
IC)、およびバージョン、(SPTIC Version)、
ファイル構造タイプ(File Structure Type Code)、フ
ァイルアクセスを行う際に、指定する認証方式(Accept
able Authentication Type)、指定する検証方式(Acce
ptable VerificztionType)のそれぞれに、ファイル登
録チケット(FRT)に記述された各対応データをコピ
ーする。
[0609] In step S827, the file size (File S) of the file definition block (FDB) is determined.
ize), service permission ticket issuing means code (SPT)
IC), and version, (SPTIC Version),
File structure type (File Structure Type Code), authentication method (Accept
able Authentication Type), the specified verification method (Acce
Each corresponding data described in the file registration ticket (FRT) is copied into each of the ptable VerificztionTypes.

【0610】次に、ステップS828において、ファイ
ル登録チケット(FRT)に格納されたKspt_Encrypted
(ファイル定義ブロック(File Definition Block)に
記載されるサービス許可チケット(SPT)のMAC検
証用鍵 Kspt を そのパーティションのファイル登録チ
ケットのMAC検証用鍵 Kfrt で暗号化したデータKfrt
(Kspt))をファイル登録チケットのMAC検証用鍵 K
frtを用いて復号してファイル定義ブロック(FDB)
に格納する。なお、ファイル登録チケットのMAC検証
用鍵 Kfrtは、パーティションの生成時にパーティショ
ン鍵領域に格納済みである。
[0610] Next, in step S828, is stored in the file registration ticket (FRT) Kspt_Encrypted
(Data Kfrt obtained by encrypting the MAC verification key Kspt of the service permission ticket (SPT) described in the file definition block with the MAC verification key Kfrt of the file registration ticket of the partition
(Kspt)) is the key K for file verification ticket MAC verification
Decrypt using frt and file definition block (FDB)
To be stored. The MAC verification key Kfrt of the file registration ticket has already been stored in the partition key area when the partition was generated.

【0611】次に、ステップS829において、パーテ
ィション管理情報ブロック(図20参照)のパーティシ
ョン(Partition)内の空きブロック数(Free Block Nu
mberin Partition)からファイルサイズ(File Size)
+1を減算する。なお、+1は、ファイル定義ブロック
(FDB)用のブロックを意味する。
Next, in step S829, the number of free blocks (Free Block Numeric) in the partition (Partition) of the partition management information block (see FIG. 20)
mberin Partition) to File Size (File Size)
Subtract +1. Note that +1 means a block for a file definition block (FDB).

【0612】次に、ステップS830において、パーテ
ィション管理情報ブロック(図20参照)の空き領域ポ
インタ(Pointer of Free Area)に生成したファイルサ
イズ(File Size)を加算し、ステップS831におい
て、パーティション管理情報ブロックのファイル数(Fi
le Number)に1を加算、すなわち生成したファイル数
(1)を加算する。
Next, in step S830, the generated file size (File Size) is added to the free area pointer (Pointer of Free Area) of the partition management information block (see FIG. 20), and in step S831, the partition management information block is generated. Files (Fi
le Number), that is, the number of generated files (1).

【0613】次に、ステップS832において、ファイ
ル登録チケット(FRT)に格納されたFile Structure
(生成するファイル(File)のファイル構造(Structur
e))に応じた初期化処理を実行する。例えばファイル
構造がランダム(Random)であれば、0リセット、サイク
リック(Cyslic)であれば、ポインタ、データを0リセ
ットするなどの処理を実行する。これらの処理により、
生成したパーティション内に新たなファイルが生成され
る。
[0613] Next, in step S832, File Structure, which is stored in the file registration ticket (FRT)
(File structure of generated file (File) (Structur
e) Perform the initialization process according to (1). For example, if the file structure is random, processing such as resetting to 0 is performed, and if the file structure is cyclic, processing such as resetting pointers and data to 0 is executed. By these processes,
A new file is created in the created partition.

【0614】次に図73のステップS841〜S848
のファイル削除処理について説明する。ステップS84
1では、ファイル登録チケット(FRT)に記述された
ファイルIDと同一IDのファイルがデバイスのメモリ
部の処理対象パーティション内に存在するか否かを検証
する。この判定は、デバイスのメモリ部のファイル定義
ブロック(図24参照)に受信チケット(FRT)に記
述されたファイルIDと同一のファイルIDが記述され
ているか否かを検証することによって判定可能である。
Next, steps S841 to S848 in FIG. 73 are performed.
File deletion processing will be described. Step S84
In step 1, it is verified whether a file having the same ID as the file ID described in the file registration ticket (FRT) exists in the partition to be processed in the memory section of the device. This determination can be made by verifying whether the same file ID as the file ID described in the reception ticket (FRT) is described in the file definition block (see FIG. 24) of the memory unit of the device. .

【0615】デバイスの処理対象パーティション内に同
一ファイルIDのファイルが存在しない場合は、ファイ
ルの削除は不可能であるので、エラー終了とする。同一
IDのファイルがデバイスの処理対象パーティション内
に存在する場合は、ステップS842において、削除対
象のファイルより後に生成されたファイルが処理対象パ
ーティション内に存在するか否かを判定する。存在しな
い場合は、削除対象のファイルが最新のファイルであ
り、ステップS849において削除対象のファイルのフ
ァイル定義ブロック(FDB)(図24参照)を削除す
る。
If there is no file with the same file ID in the partition to be processed by the device, it is impossible to delete the file, and the process ends with an error. If a file with the same ID exists in the processing target partition of the device, in step S842, it is determined whether a file generated after the deletion target file exists in the processing target partition. If not, the file to be deleted is the latest file, and the file definition block (FDB) (see FIG. 24) of the file to be deleted is deleted in step S849.

【0616】ステップS842において、削除対象のフ
ァイルより後に生成されたファイルが処理対象パーティ
ション内に存在すると判定された場合は、後に生成され
たファイル(後ファイル)のデータを削除対象のファイ
ルのサイズ(FS)分、下位にずらす処理を実行(S8
43)し、さらに、後ファイルのファイル定義ブロック
(FDB)を1ブロック上位にずらす処理を実行(S8
44)する。また、後ファイルのファイル定義ブロック
(FDB)に記録されたファイル開始位置(File Start
Portion)から削除ファイルのサイズ(FS)を減算す
る処理を実行する(S845)。
In step S842, if it is determined that the file generated after the file to be deleted exists in the partition to be processed, the data of the file generated after (file after) is changed to the size (file size) of the file to be deleted. FS), the process of shifting to lower order is executed (S8).
43) Then, a process of shifting the file definition block (FDB) of the subsequent file one block higher is executed (S8).
44). The file start position (File Start Block) recorded in the file definition block (FDB) of the subsequent file
Portion) is subtracted from the size of the deleted file (FS) (S845).

【0617】ステップS845またはS849の処理の
後、ステップS846において、パーティション管理情
報ブロック(PMIB)(図20参照)のパーティショ
ン内の空きブロック数(Free Block Number in Partiti
on)に削除ファイルのサイズ(FS)+1を加算する。
+1は、削除ファイルのファイル定義ブロック(FD
B)用のブロックを意味する。
[0617] After the processing in step S845 or S849, in step S846, the number of free blocks in the partition of the partition management information block (PMIB) (see FIG. 20) (Free Block Number in Partiti).
on) is added to the size of the deleted file (FS) +1.
+1 is the file definition block (FD
B).

【0618】次にステップS847において、パーティ
ション管理情報ブロック(PMIB)(図20参照)の
空き領域ポインタ(Pointer of Free Area)の値から削
除ファイルのサイズ(FS)を減算する。さらに、ステ
ップS848において、パーティション管理情報ブロッ
ク(PMIB)(図20参照)のファイル数(File Num
ber)から1を減算、すなわち削除したファイル数
(1)を減算してファイル登録チケット(FRT)に基
づくファイル削除処理が終了する。
Next, in step S847, the size (FS) of the deleted file is subtracted from the value of the free area pointer (Pointer of Free Area) of the partition management information block (PMIB) (see FIG. 20). Further, in step S848, the number of files (File Num) in the partition management information block (PMIB) (see FIG. 20)
ber), 1 is subtracted, that is, the number of deleted files (1) is subtracted, and the file deletion process based on the file registration ticket (FRT) ends.

【0619】以上が、図72の処理フローにおけるステ
ップS815のファイル登録チケット(FRT)に基づ
くファイル生成、削除処理である。
The above is the file generation and deletion processing based on the file registration ticket (FRT) in step S815 in the processing flow of FIG. 72.

【0620】パーティションマネージャによるファイル
生成処理が完了した状態のデバイスのメモリ内格納デー
タ構成例を図74に示す。図74に示すパーティション
(Partion)領域中、 ファイル定義ブロック(1〜N)(File Definition Blo
ck) パーティション鍵領域(Partition Key Area) 共通鍵系パーティション鍵情報ブロック(Partition Ke
y Definition Block(Common)) 公開鍵系パーティション鍵情報ブロック(Partition Ke
y Definition Block(PUB)) パーティション管理情報ブロック(Partition Manageme
nt Information Block)の各データは、ファイル生成
時、またはパーティション生成時に書き込まれるデータ
である。ファイル領域(File Data Area 1〜N)は、フ
ァイル生成処理によって処理対象パーティション内にフ
ァイル領域として確保される。
FIG. 74 shows an example of the configuration of data stored in the memory of the device in a state where the file generation processing by the partition manager has been completed. Partition shown in FIG. 74
In the (Partion) area, File Definition Blocks (1-N)
ck) Partition Key Area Common key system partition key information block (Partition Ke)
y Definition Block (Common)) Public key partition key information block (Partition Ke
y Definition Block (PUB)) Partition management information block
Each data of the information block (nt information block) is data written at the time of file generation or partition generation. File areas (File Data Areas 1 to N) are secured as file areas in the partition to be processed by the file generation processing.

【0621】[B4.5.ファイル生成処理各方式にお
ける処理手順]上述したファイルの設定登録処理におい
て、パーティションマネージャが管理し、ファイル登録
チケットユーザであるデバイスアクセス機器としてのリ
ーダライタとデバイス間において、相互認証が実行さ
れ、ファイル登録チケット(FRT)に基づくファイル
の設定がなされる。相互認証処理の態様は、公開鍵相互
認証、共通鍵相互認証の2種類のいずれかであり、また
チケット(FRT)の検証処理も公開鍵系の署名検証、
共通鍵系のMAC検証の2種類のいずれかが実行される
ことになる。すなわち処理態様としては大きく分けて、 (A)相互認証(公開鍵)、チケット(FRT)検証
(公開鍵) (B)相互認証(公開鍵)、チケット(FRT)検証
(共通鍵) (C)相互認証(共通鍵)、チケット(FRT)検証
(共通鍵) (D)相互認証(共通鍵)、チケット(FRT)検証
(公開鍵) の4態様がある。
[B4.5. Processing Procedure in Each Method of File Generation Processing] In the above-described file setting registration processing, mutual authentication is performed between a device managed by the partition manager and a reader / writer as a device access device that is a file registration ticket user, and file registration is performed. A file is set based on the ticket (FRT). The mode of the mutual authentication processing is one of two types of public key mutual authentication and common key mutual authentication. The ticket (FRT) verification processing is also performed by public key signature verification.
Either of two types of common key MAC verification is executed. That is, the processing modes are roughly divided into: (A) mutual authentication (public key), ticket (FRT) verification (public key) (B) mutual authentication (public key), ticket (FRT) verification (common key) (C) There are four modes: mutual authentication (common key), ticket (FRT) verification (common key), (D) mutual authentication (common key), and ticket (FRT) verification (public key).

【0622】これらの4態様についての処理を、認証局
(CA(PM))、パーティションマネージャ(P
M)、デバイス、各エンティテイ間において実行される
データ転送処理を中心として図を用いて簡潔に説明す
る。
The processing for these four aspects is performed by a certificate authority (CA (PM)), a partition manager (P
M), devices, and data transfer processing executed between the entities will be briefly described with reference to the drawings.

【0623】(A)相互認証(公開鍵)、チケット(F
RT)検証(公開鍵) まず、相互認証処理に公開鍵方式を適用し、チケット
(FRT)検証に公開鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図75を用いて説明す
る。
(A) Mutual authentication (public key), ticket (F
RT) Verification (Public Key) First, data transfer between entities when a public key method is applied to mutual authentication processing and a public key method is applied to ticket (FRT) verification will be described with reference to FIG.

【0624】図に示す番号順に各エンティテイ間でデー
タ転送が実行される。以下、各番号に従って処理を説明
する。 (1)ファイル登録チケット発行手段(FRT Issue
r)の公開鍵証明書(Cert.FRT Issuer)の発
行、ファイル登録チケット発行手段(FRT Issuer)
の公開鍵証明書(Cert.FRT Issuer)は、ファ
イル登録チケット発行手段(FRT Issuer)からの発
行要求により、登録局(RA)を介した証明書発行手続
きによってパーティション対応認証局(CA(PA
R))から発行される。なお、パーティションマネージ
ャがファイル登録チケット発行手段(FRT Issuer)
を兼ねる構成も可能であり、その場合は、ファイル登録
チケット発行手段(FRT Issuer)の公開鍵証明書と
してパーティションマネージャ(PM)の公開鍵証明書
を使用可能である。
Data transfer is performed between the entities in the order of the numbers shown in the figure. Hereinafter, the processing will be described according to the respective numbers. (1) File registration ticket issuing means (FRT Issue
r) public key certificate (Cert. FRT Issuer), file registration ticket issuing means (FRT Issuer)
The public key certificate (Cert. FRT Issuer) is issued by a file registration ticket issuing means (FRT Issuer), and is issued by a certificate issuing procedure via a registration authority (RA).
R)). The partition manager is a file registration ticket issuing unit (FRT Issuer)
In this case, the public key certificate of the partition manager (PM) can be used as the public key certificate of the file registration ticket issuing means (FRT Issuer).

【0625】(2)ファイル登録チケットユーザ(FR
T User)の公開鍵証明書(Cert.FRT User)の
発行、ファイル登録チケットユーザ(FRT User:具
体的には、デバイスに対してチケットを送信するデバイ
スアクセス機器としてのリーダライタ)の公開鍵証明書
(Cert.FRT User)は、ファイル登録チケット
ユーザ(FRT User)からの発行要求により、登録局
(RA)を介した証明書発行手続きによってパーティシ
ョン対応認証局(CA(PAR))によって発行され
る。なお、パーティションマネージャがファイル登録チ
ケットユーザ(FRT User)を兼ねる構成も可能であ
り、その場合は、ファイル登録チケットユーザ(FRT
User)の公開鍵証明書としてパーティションマネージ
ャ(PM)の公開鍵証明書を使用可能である。
(2) File Registration Ticket User (FR
T User) issuance of a public key certificate (Cert. FRT User), file registration ticket user (FRT User: specifically, a public key certificate of a reader / writer as a device access device for transmitting a ticket to a device) The certificate (Cert.FRT User) is issued by the partitioning certificate authority (CA (PAR)) by a certificate issuing procedure via the registration authority (RA) in response to an issuance request from the file registration ticket user (FRT User). . Note that a configuration in which the partition manager also serves as a file registration ticket user (FRT User) is possible. In this case, the file registration ticket user (FRT User) is used.
The public key certificate of the partition manager (PM) can be used as the public key certificate of the user.

【0626】(3)ファイル登録チケット(FRT)の
生成処理 ファイル登録チケット(FRT)は、パーティションマ
ネージャの管理するファイル登録チケット発行手段(F
RT Ticket Issuer)により生成される。この場合、公
開鍵方式の署名生成、検証を実行するため、ファイル登
録チケット発行手段(FRT Ticket Issuer)の秘密鍵
による署名(Signature)が生成(図12参照)されてF
RTに付加される。
(3) File registration ticket (FRT) generation processing The file registration ticket (FRT) is generated by a file registration ticket issuing unit (F) managed by the partition manager.
RT Ticket Issuer). In this case, a signature (Signature) using a private key of a file registration ticket issuing unit (FRT Ticket Issuer) is generated (see FIG. 12) to execute signature generation and verification in the public key system, and F
Added to RT.

【0627】(4)FRTおよびファイル登録チケット
発行手段(FRT Ticket Issuer)公開鍵証明書(Ce
rt.FRT Issuer)のファイル登録チケットユーザ
(FRT User)に対する供給 パーティションマネージャの管理するファイル登録チケ
ット発行手段(FRTTicket Issuer)により発行され
たファイル登録チケット(FRT)は、ファイル登録チ
ケット発行手段(FRT Ticket Issuer)公開鍵証明書
(Cert.FRT Issuer)とともにファイル登録チ
ケットユーザ(FRT User)すなわち、デバイスに対
してチケットを送信する機器(ex.デバイスアクセス
機器としてのリーダライタ)に対して送信される。
(4) FRT and File Registration Ticket Issuing Means (FRT Ticket Issuer) Public Key Certificate (Ce
rt. Supply of FRT Issuer to File Registration Ticket User (FRT User) The file registration ticket (FRT) issued by the file registration ticket issuing means (FRT Ticket Issuer) managed by the partition manager is the file registration ticket issuing means (FRT Ticket Issuer) The file registration ticket user (FRT User) is transmitted together with the public key certificate (Cert. FRT Issuer), that is, a device (ex. Reader / writer as a device access device) that transmits a ticket to the device.

【0628】(5)ファイル登録チケット発行手段とデ
バイス間の相互認証 パーティションマネージャ(具体的にはファイル登録チ
ケットユーザ(FRTUser)であるデバイスアクセス機
器としてのリーダライタ)は、ファイル登録チケット発
行手段(FRT Ticket Issuer)の発行したファイル登
録チケット(FRT)に従ったファイルを生成しようと
する対象のデバイスに対し、チケットユーザ(FRT U
ser)の公開鍵証明書(Cert.FRT User)をデバ
イスに送信し、公開鍵方式の相互認証(図50参照)を
実行する。
(5) Mutual Authentication between File Registration Ticket Issuing Means and Device The partition manager (specifically, a reader / writer as a device access device that is a file registration ticket user (FRTUser)) issues file registration ticket issuing means (FRT). Ticket Issuer) issues a file registration ticket (FRT) to a target device for which a file is to be generated according to the ticket user (FRT U
The public key certificate (Cert. FRT User) of the public key (ser) is transmitted to the device, and mutual authentication using the public key method (see FIG. 50) is executed.

【0629】(6)FRTおよびファイル登録チケット
発行手段(FRT Ticket Issuer)公開鍵証明書(Ce
rt.FRT Issuer)のデバイスに対する供給 パーティションマネージャ(PM)とデバイス間の相互
認証が成立すると、パーティションマネージャ(PM)
(具体的にはファイル登録チケットユーザ(FRT Use
r)であるデバイスアクセス機器としてのリーダライ
タ)は、デバイスに対してファイル登録チケット(FR
T)、およびファイル登録チケット発行手段(FRT T
icket Issuer)公開鍵証明書(Cert.FRT Issue
r)を送信する。
(6) FRT and File Registration Ticket Issuer (FRT Ticket Issuer) Public Key Certificate (Ce
rt. FRT Issuer) supply to devices Partition Manager (PM) when mutual authentication between device and partition manager (PM) is established
(Specifically, file registration ticket users (FRT Use
r), a reader / writer as a device access device) sends a file registration ticket (FR
T) and file registration ticket issuing means (FRT T
icket Issuer) Public Key Certificate (Cert. FRT Issue
Send r).

【0630】デバイスは、受信したファイル登録チケッ
ト(FRT)について、(1)チケット発行者(Ticket
Issuer)の公開鍵証明書(CERT FRT Issuer)が改
竄されたものでない正当な公開鍵証明書(CERT)で
あること、(2)チケット発行者(Ticket Issuer)の
公開鍵証明書(CERTFRT Issuer)のオプション領域
に記録されたコードと、デバイス内のPKDB(Partit
ion Key Definition Block)(PUB)に記録されたチケッ
ト発行手段コード(FRTIC:FRT Issuer Category)の一
致、(3)チケット発行手段(Ticket Issuer)がリボ
ークされていないこと、(4)受信チケット(FRT)
の署名(Signature)の検証によりチケットが改竄のな
いことの確認を実行し、さらに、FRTチケットに格納
されたFRTユーザ(チケットユーザであるデバイスア
クセス機器としてのリーダライタ)とチケットユーザ
(FRT User)の公開鍵証明書(Cert.FRT Us
er)の識別データ(DN)として記録された識別子また
はカテゴリまたはシリアル(SN)名(DN)の一致を
確認し、相互認証済みであることを確認することにより
FRTユーザ(デバイスアクセス機器としてのリーダラ
イタ)の検証(図57、図58参照)を実行する。
The device checks (1) the ticket issuer (Ticket) for the received file registration ticket (FRT).
Issuer) public key certificate (CERT FRT Issuer) is a valid public key certificate (CERT) that is not falsified, (2) public key certificate (CERTFRT Issuer) of ticket issuer (Ticket Issuer) The code recorded in the option area of the device and the PKDB (Partit
(3) that the ticket issuing means (Ticket Issuer) has not been revoked, (4) the received ticket (FRT) )
Verify that the ticket is not falsified by verifying the signature of the FRT user (FRT user) and the ticket user (FRT User) stored in the FRT ticket. Public key certificate (Cert. FRT Us)
er), the FRT user (the reader as a device access device) confirms that the identifier or category recorded as the identification data (DN) matches the serial (SN) name (DN) and confirms that the mutual authentication has been completed. Writer) (see FIGS. 57 and 58).

【0631】(7)FDBにSPTICおよびKspt
を登録 デバイスは、ファイル定義ブロック(FDB:File Def
inition Block)にサービス許可チケット(SPT)ユ
ーザ(SPTIC)(ex.デバイスのファイル内のデ
ータにアクセスを実行するデバイスアクセス機器として
のリーダライタ)とKspt(サービス許可チケット(SP
T)のMAC検証用鍵(Kspt))を登録する(図73のフ
ローにおけるステップS827,S828)。
[0631] (7) SPTIC and Kspt in the FDB
The device registers the file definition block (FDB: File Def.
service ticket (SPT) user (SPTIC) (ex. a reader / writer as a device access device that accesses data in a device file) and Kspt (service permission ticket (SP)
The MAC verification key (Kspt) of T) is registered (steps S827 and S828 in the flow of FIG. 73).

【0632】(8)ファイルデータ領域の確保 デバイスは、処理対象パーティションにファイル登録チ
ケット(FRT)に記述されたサイズを持つファイル領
域を確保する。
(8) Secure File Data Area The device secures a file area having the size described in the file registration ticket (FRT) in the partition to be processed.

【0633】以上の処理によって、相互認証(公開
鍵)、チケット(FRT)検証(公開鍵)の各方式に従
ったファイルの生成処理が実行される。
By the above processing, the file generation processing according to the mutual authentication (public key) and ticket (FRT) verification (public key) methods is executed.

【0634】(B)相互認証(公開鍵)、チケット(F
RT)検証(共通鍵) 次に、相互認証処理に公開鍵方式を適用し、チケット
(FRT)検証に共通鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図76を用いて説明す
る。
(B) Mutual authentication (public key), ticket (F
RT) Verification (Common Key) Next, data transfer between entities when the public key method is applied to the mutual authentication processing and the common key method is applied to ticket (FRT) verification will be described with reference to FIG.

【0635】図に示す番号順に各エンティテイ間でデー
タ転送が実行される。以下、各番号に従って処理を説明
する。
[0635] order of the numbers shown in Fig data transfer between the entities is performed. Hereinafter, the processing will be described according to the respective numbers.

【0636】(1)ファイル登録チケットユーザ(FR
T User)の公開鍵証明書(Cert.FRT User)の
発行、ファイル登録チケットユーザ(FRT User:具
体的には、デバイスに対してチケットを送信するデバイ
スアクセス機器としてのリーダライタ)の公開鍵証明書
(Cert.FRT User)は、ファイル登録チケット
ユーザ(FRT User)からの発行要求により、登録局
(RA)を介した証明書発行手続きによってパーティシ
ョン対応認証局(CA(PAR))によって発行され
る。なお、パーティションマネージャがファイル登録チ
ケットユーザ(FRT User)を兼ねる構成も可能であ
り、その場合は、ファイル登録チケットユーザ(FRT
User)の公開鍵証明書としてパーティションマネージ
ャ(PM)の公開鍵証明書を使用可能である。
(1) File Registration Ticket User (FR
T User) issuance of a public key certificate (Cert. FRT User), file registration ticket user (FRT User: specifically, a public key certificate of a reader / writer as a device access device for transmitting a ticket to a device) The certificate (Cert.FRT User) is issued by the partitioning certificate authority (CA (PAR)) by a certificate issuing procedure via the registration authority (RA) in response to an issuance request from the file registration ticket user (FRT User). . Note that a configuration in which the partition manager also serves as a file registration ticket user (FRT User) is possible. In this case, the file registration ticket user (FRT User) is used.
The public key certificate of the partition manager (PM) can be used as the public key certificate of the user.

【0637】(2)ファイル登録チケット(FRT)の
生成処理 ファイル登録チケット(FRT)は、パーティションマ
ネージャの管理するファイル登録チケット発行手段(F
RT Ticket Issuer)により生成される。この場合、共
通鍵方式の検証値としてMAC(Message Authenticatio
n Code)(図59参照)がFRTに付加される。
(2) File registration ticket (FRT) generation processing The file registration ticket (FRT) is generated by a file registration ticket issuing unit (F) managed by the partition manager.
RT Ticket Issuer). In this case, the MAC (Message Authenticatio
n Code) (see FIG. 59) is added to the FRT.

【0638】(3)FRTのファイル登録チケットユー
ザ(FRT User)に対する供給 パーティションマネージャの管理するファイル登録チケ
ット発行手段(FRTTicket Issuer)により発行され
たファイル登録チケット(FRT)は、ファイル登録チ
ケットユーザ(FRT User)すなわち、デバイスに対
してチケットを送信する機器(ex.デバイスアクセス
機器としてのリーダライタ)に対して送信される。
(3) Supply of FRT to File Registration Ticket User (FRT User) The file registration ticket (FRT) issued by the file registration ticket issuing means (FRT Ticket Issuer) managed by the partition manager is the file registration ticket user (FRT). User), that is, transmitted to a device that transmits a ticket to the device (ex. A reader / writer as a device access device).

【0639】(4)ファイル登録チケット発行手段とデ
バイス間の相互認証 パーティションマネージャ(具体的にはファイル登録チ
ケットユーザ(FRTUser)であるデバイスアクセス機
器としてのリーダライタ)は、ファイル登録チケット発
行手段(FRT Ticket Issuer)の発行したファイル登
録チケット(FRT)に従ったファイルを生成しようと
する対象のデバイスに対し、チケットユーザ(FRT U
ser)の公開鍵証明書(Cert.FRT User)をデバ
イスに送信し、公開鍵方式の相互認証(図50参照)を
実行する。
(4) Mutual Authentication between File Registration Ticket Issuing Means and Device The partition manager (specifically, a reader / writer as a device access device that is a file registration ticket user (FRTUser)) issues file registration ticket issuing means (FRT). A ticket user (FRT U)
The public key certificate (Cert. FRT User) of the public key (ser) is transmitted to the device, and mutual authentication using the public key method (see FIG. 50) is executed.

【0640】(5)FRTのデバイスに対する供給 パーティションマネージャ(PM)とデバイス間の相互
認証が成立すると、パーティションマネージャ(PM)
(具体的にはファイル登録チケットユーザ(FRT Use
r)であるデバイスアクセス機器としてのリーダライ
タ)は、デバイスに対してファイル登録チケット(FR
T)を送信する。デバイスは、受信したファイル登録チ
ケット(FRT)についてMAC検証処理を実行し、F
RT発行者(FRT Issuer)の検証、さらに、FRTチケ
ットに格納されたFRTユーザ(チケットユーザである
デバイスアクセス機器としてのリーダライタ)と受信し
たパーティションマネージャの公開鍵証明書の識別デー
タ(DN)として記録された識別子またはカテゴリまた
はシリアル(SN)名(DN)の一致を確認し相互認証
済みであることを確認することによりFRTユーザ(P
M:デバイスアクセス機器としてのリーダライタ)の検
証(図57、図58参照)を実行する。
(5) Supply to FRT Device When mutual authentication between the partition manager (PM) and the device is established, the partition manager (PM)
(Specifically, file registration ticket users (FRT Use
r), a reader / writer as a device access device) sends a file registration ticket (FR
T). The device performs a MAC verification process on the received file registration ticket (FRT),
Verification of the RT issuer (FRT Issuer), and further as identification data (DN) of the FRT user (a reader / writer as a device access device as a ticket user) stored in the FRT ticket and the received public key certificate of the partition manager. The FRT user (P) can confirm the identity of the recorded identifier or category or the serial (SN) name (DN) and confirm that they have been mutually authenticated.
M: Verification of a reader / writer as a device access device (see FIGS. 57 and 58) is executed.

【0641】(6)FDBにSPTICおよびKspt
を登録 デバイスは、ファイル定義ブロック(FDB:File Def
inition Block)にサービス許可チケット(SPT)発
行者カテゴリ(SPTIC)(ex.デバイスのファイ
ル内のデータにアクセスを実行するデバイスアクセス機
器としてのリーダライタ)とKspt(サービス許可チケッ
ト(SPT)のMAC検証用鍵(Kspt))を登録する(図
73のフローにおけるステップS827,S828)。
(6) SPTIC and Kspt in FDB
The device registers the file definition block (FDB: File Def.
In the Inition Block), a service permission ticket (SPT) issuer category (SPTIC) (ex. a reader / writer as a device access device that accesses data in a device file) and Kspt (MAC verification of a service permission ticket (SPT)) The registration key (Kspt) is registered (steps S827 and S828 in the flow of FIG. 73).

【0642】(8)ファイルデータ領域の確保 デバイスは、処理対象パーティションにファイル登録チ
ケット(FRT)に記述されたサイズを持つファイル領
域を確保する。
(8) Securing File Data Area The device secures a file area having the size described in the file registration ticket (FRT) in the partition to be processed.

【0643】以上の処理によって、相互認証(公開
鍵)、チケット(FRT)検証(共通鍵)の各方式に従
ったファイルの生成処理が実行される。
With the above processing, the file generation processing according to the mutual authentication (public key) and ticket (FRT) verification (common key) methods is executed.

【0644】(C)相互認証(共通鍵)、チケット(F
RT)検証(共通鍵) 次に、相互認証処理に共通鍵方式を適用し、チケット
(FRT)検証に共通鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図77を用いて説明す
る。
(C) Mutual authentication (common key), ticket (F
RT) Verification (Common Key) Next, data transfer between entities when the common key method is applied to the mutual authentication process and the ticket (FRT) verification is applied will be described with reference to FIG.

【0645】図に示す番号順に各エンティテイ間でデー
タ転送が実行される。以下、各番号に従って処理を説明
する。
Data transfer is performed between the entities in the order shown in the figure. Hereinafter, the processing will be described according to the respective numbers.

【0646】(1)ファイル登録チケット(FRT)の
生成処理 ファイル登録チケット(FRT)は、パーティションマ
ネージャの管理するファイル登録チケット発行手段(F
RT Ticket Issuer)により生成される。この場合、共
通鍵方式の検証値としてMAC(Message Authenticatio
n Code)(図59参照)がFRTに付加される。
(1) File registration ticket (FRT) generation processing The file registration ticket (FRT) is generated by a file registration ticket issuing unit (F) managed by the partition manager.
RT Ticket Issuer). In this case, the MAC (Message Authenticatio
n Code) (see FIG. 59) is added to the FRT.

【0647】(2)FRTのファイル登録チケットユー
ザ(FRT User)に対する供給 パーティションマネージャの管理するファイル登録チケ
ット発行手段(FRTTicket Issuer)により発行され
たファイル登録チケット(FRT)は、ファイル登録チ
ケットユーザ(FRT User)すなわち、デバイスに対
してチケットを送信する機器(ex.デバイスアクセス
機器としてのリーダライタ)に対して送信される。
(2) Supply of FRT to File Registration Ticket User (FRT User) The file registration ticket (FRT) issued by the file registration ticket issuing means (FRT Ticket Issuer) managed by the partition manager is the file registration ticket user (FRT). User), that is, transmitted to a device that transmits a ticket to the device (ex. A reader / writer as a device access device).

【0648】(3)ファイル登録チケット発行手段とデ
バイス間の相互認証 パーティションマネージャ(具体的にはファイル登録チ
ケットユーザ(FRTUser)であるデバイスアクセス機
器としてのリーダライタ)は、ファイル登録チケット発
行手段(FRT Ticket Issuer)の発行したファイル登
録チケット(FRT)に従ったファイルを生成しようと
する対象のデバイスとの間で、共通鍵方式の相互認証
(図53、図54参照)を実行する。
(3) Mutual Authentication between File Registration Ticket Issuing Means and Device The partition manager (specifically, a reader / writer as a device access device which is a file registration ticket user (FRTUser)) issues file registration ticket issuing means (FRT). Mutual authentication using a common key method (see FIGS. 53 and 54) is performed with a device that is to generate a file according to the file registration ticket (FRT) issued by the Ticket Issuer.

【0649】(4)FRTのデバイスに対する供給 パーティションマネージャ(PM)とデバイス間の相互
認証が成立すると、パーティションマネージャ(PM)
(具体的にはファイル登録チケットユーザ(FRT Use
r)であるデバイスアクセス機器としてのリーダライ
タ)は、デバイスに対してファイル登録チケット(FR
T)を送信する。デバイスは、受信したファイル登録チ
ケット(FRT)についてMAC検証処理を実行し、F
RT発行者(FRT Issuer)の検証、さらに、FRTチケ
ットに格納されたFRTユーザ(チケットユーザである
デバイスアクセス機器としてのリーダライタ)と受信し
たパーティションマネージャの識別子の一致を確認し相
互認証済みであることを確認することによりFRTユー
ザ(PM:デバイスアクセス機器としてのリーダライ
タ)の検証(図57、図58参照)を実行する。
(4) Supply to FRT Device When mutual authentication between the partition manager (PM) and the device is established, the partition manager (PM)
(Specifically, file registration ticket users (FRT Use
r), a reader / writer as a device access device) sends a file registration ticket (FR
T). The device performs a MAC verification process on the received file registration ticket (FRT),
Verification of the RT issuer (FRT Issuer), furthermore, matching of the identifier of the FRT user (reader / writer as a device access device which is the ticket user) stored in the FRT ticket with the received partition manager identifier has been confirmed, and mutual authentication has been completed. Then, verification of the FRT user (PM: reader / writer as a device access device) is executed (see FIGS. 57 and 58).

【0650】(6)FDBにSPTICおよびKspt
を登録 デバイスは、ファイル定義ブロック(FDB:File Def
inition Block)にサービス許可チケット(SPT)発
行者カテゴリ(SPTIC)(ex.デバイスのファイ
ル内のデータにアクセスを実行するデバイスアクセス機
器としてのリーダライタ)とKspt(サービス許可チケッ
ト(SPT)のMAC検証用鍵(Kspt))を登録する(図
73のフローにおけるステップS827,S828)。
(6) SPTIC and Kspt in FDB
The device registers the file definition block (FDB: File Def.
In the Inition Block), a service permission ticket (SPT) issuer category (SPTIC) (ex. a reader / writer as a device access device that accesses data in a device file) and Kspt (MAC verification of a service permission ticket (SPT)) The registration key (Kspt) is registered (steps S827 and S828 in the flow of FIG. 73).

【0651】(8)ファイルデータ領域の確保 デバイスは、処理対象パーティションにファイル登録チ
ケット(FRT)に記述されたサイズを持つファイル領
域を確保する。
(8) Securing File Data Area The device secures a file area having the size described in the file registration ticket (FRT) in the partition to be processed.

【0652】以上の処理によって、相互認証(共通
鍵)、チケット(FRT)検証(共通鍵)の各方式に従
ったファイルの生成処理が実行される。
[0652] Through the above processing, the file generation processing according to the mutual authentication (common key) and ticket (FRT) verification (common key) methods is executed.

【0653】(D)相互認証(共通鍵)、チケット(F
RT)検証(公開鍵) 次に、相互認証処理に共通鍵方式を適用し、チケット
(FRT)検証に公開鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図78を用いて説明す
る。
(D) Mutual authentication (common key), ticket (F
RT) Verification (Public Key) Next, data transfer between entities when a common key method is applied to mutual authentication processing and a public key method is applied to ticket (FRT) verification will be described with reference to FIG.

【0654】図に示す番号順に各エンティテイ間でデー
タ転送が実行される。以下、各番号に従って処理を説明
する。 (1)ファイル登録チケット発行手段(FRT Issue
r)の公開鍵証明書(Cert.FRT Issuer)の発
行、ファイル登録チケット発行手段(FRT Issuer)
の公開鍵証明書(Cert.FRT Issuer)は、ファ
イル登録チケット発行手段(FRT Issuer)からの発
行要求により、登録局(RA)を介した証明書発行手続
きによってパーティション対応認証局(CA(PA
R))から発行される。なお、パーティションマネージ
ャがファイル登録チケット発行手段(FRT Issuer)
を兼ねる構成も可能であり、その場合は、ファイル登録
チケット発行手段(FRT Issuer)の公開鍵証明書と
してパーティションマネージャ(PM)の公開鍵証明書
を使用可能である。
Data transfer is performed between the entities in the order shown in the figure. Hereinafter, the processing will be described according to the respective numbers. (1) File registration ticket issuing means (FRT Issue
r) public key certificate (Cert. FRT Issuer), file registration ticket issuing means (FRT Issuer)
The public key certificate (Cert. FRT Issuer) is issued by a file registration ticket issuing means (FRT Issuer), and is issued by a certificate issuing procedure via a registration authority (RA).
R)). The partition manager is a file registration ticket issuing unit (FRT Issuer)
In this case, the public key certificate of the partition manager (PM) can be used as the public key certificate of the file registration ticket issuing means (FRT Issuer).

【0655】(2)ファイル登録チケット(FRT)の
生成処理 ファイル登録チケット(FRT)は、パーティションマ
ネージャの管理するファイル登録チケット発行手段(F
RT Ticket Issuer)により生成される。この場合、公
開鍵方式の署名生成、検証を実行するため、ファイル登
録チケット発行手段(FRT Ticket Issuer)の秘密鍵
による署名(Signature)が生成(図12参照)されてF
RTに付加される。
(2) File registration ticket (FRT) generation processing The file registration ticket (FRT) is a file registration ticket issuing unit (F) managed by the partition manager.
RT Ticket Issuer). In this case, a signature (Signature) using a private key of a file registration ticket issuing unit (FRT Ticket Issuer) is generated (see FIG. 12) to execute signature generation and verification in the public key system, and F
Added to RT.

【0656】(3)FRTおよびファイル登録チケット
発行手段(FRT Ticket Issuer)公開鍵証明書(Ce
rt.FRT Issuer)のファイル登録チケットユーザ
(FRT User)に対する供給 パーティションマネージャの管理するファイル登録チケ
ット発行手段(FRTTicket Issuer)により発行され
たファイル登録チケット(FRT)は、ファイル登録チ
ケット発行手段(FRT Ticket Issuer)公開鍵証明書
(Cert.FRT Issuer)とともにファイル登録チ
ケットユーザ(FRT User)すなわち、デバイスに対
してチケットを送信する機器(ex.デバイスアクセス
機器としてのリーダライタ)に対して送信される。
(3) FRT and File Registration Ticket Issuing Means (FRT Ticket Issuer) Public Key Certificate (Ce
rt. Supply of FRT Issuer to File Registration Ticket User (FRT User) The file registration ticket (FRT) issued by the file registration ticket issuing means (FRT Ticket Issuer) managed by the partition manager is the file registration ticket issuing means (FRT Ticket Issuer) The file registration ticket user (FRT User) is transmitted together with the public key certificate (Cert. FRT Issuer), that is, a device (ex. Reader / writer as a device access device) that transmits a ticket to the device.

【0657】(4)ファイル登録チケット発行手段とデ
バイス間の相互認証 パーティションマネージャ(具体的にはファイル登録チ
ケットユーザ(FRTUser)であるデバイスアクセス機
器としてのリーダライタ)は、ファイル登録チケット発
行手段(FRT Ticket Issuer)の発行したファイル登
録チケット(FRT)に従ったファイルを生成しようと
する対象のデバイスとの間で、共通鍵方式の相互認証
(図53、図54参照)を実行する。
[0657] (4) file registration ticket issuing means and (reader-writer as the device access apparatus is specifically a file registration ticket user (FRTUser)) mutual authentication partition manager between devices, file registration ticket issuing means (FRT Mutual authentication using a common key method (see FIGS. 53 and 54) is performed with a device that is to generate a file according to the file registration ticket (FRT) issued by the Ticket Issuer.

【0658】(5)FRTおよびファイル登録チケット
発行手段(FRT Ticket Issuer)公開鍵証明書(Ce
rt.FRT Issuer)のデバイスに対する供給 パーティションマネージャ(PM)とデバイス間の相互
認証が成立すると、パーティションマネージャ(PM)
(具体的にはファイル登録チケットユーザ(FRT Use
r)であるデバイスアクセス機器としてのリーダライ
タ)は、デバイスに対してファイル登録チケット(FR
T)、およびファイル登録チケット発行手段(FRT T
icket Issuer)公開鍵証明書(Cert.FRT Issue
r)を送信する。
(5) FRT and File Registration Ticket Issuer (FRT Ticket Issuer) Public Key Certificate (Ce
rt. FRT Issuer) supply to devices Partition Manager (PM) when mutual authentication between device and partition manager (PM) is established
(Specifically, file registration ticket users (FRT Use
r), a reader / writer as a device access device) sends a file registration ticket (FR
T) and file registration ticket issuing means (FRT T
icket Issuer) Public Key Certificate (Cert. FRT Issue
Send r).

【0659】デバイスは、受信したファイル登録チケッ
ト(FRT)について、(1)チケット発行者(Ticket
Issuer)の公開鍵証明書(CERT FRT Issuer)が改
竄されたものでない正当な公開鍵証明書(CERT)で
あること、(2)チケット発行者(Ticket Issuer)の
公開鍵証明書(CERTFRT Issuer)のオプション領域
に記録されたコードと、、デバイス内のPKDB(Part
ition Key DefinitionBlock)(PUB)に記録されたチケッ
ト発行手段コード(FRTIC:FRT Issuer Category)の一
致、(3)チケット発行手段(Ticket Issuer)がリボ
ークされていないこと、(4)受信チケット(FRT)
の署名(Signature)の検証によりチケットが改竄のな
いことの確認を実行し、さらに、FRTチケットに格納
されたFRTユーザ(チケットユーザであるデバイスア
クセス機器としてのリーダライタ)とチケットユーザ
(FRT User)の識別子の一致を確認し、相互認証済
みであることを確認することによりFRTユーザ(デバ
イスアクセス機器としてのリーダライタ)の検証(図5
7、図58参照)を実行する。
The device checks (1) the ticket issuer (Ticket) for the received file registration ticket (FRT).
Issuer) public key certificate (CERT FRT Issuer) is a valid public key certificate (CERT) that is not falsified, (2) public key certificate (CERTFRT Issuer) of ticket issuer (Ticket Issuer) The code recorded in the option area of the device and the PKDB (Part
(3) that the ticket issuance means (Ticket Issuer) has not been revoked, (4) the received ticket (FRT)
Verify that the ticket is not falsified by verifying the signature of the FRT user (FRT user) and the ticket user (FRT User) stored in the FRT ticket. Verification of the FRT user (a reader / writer as a device access device) by confirming that the identifiers match each other and confirming that mutual authentication has been completed (FIG. 5).
7, see FIG. 58).

【0660】(6)FDBにSPTICおよびKspt
を登録 デバイスは、ファイル定義ブロック(FDB:File Def
inition Block)にサービス許可チケット(SPT)発
行者カテゴリ(SPTIC)(ex.デバイスのファイ
ル内のデータにアクセスを実行するデバイスアクセス機
器としてのリーダライタ)とKspt(サービス許可チケッ
ト(SPT)のMAC検証用鍵(Kspt))を登録する(図
73のフローにおけるステップS827,S828)。
(6) SPTIC and Kspt in FDB
The device registers the file definition block (FDB: File Def.
In the Inition Block), a service permission ticket (SPT) issuer category (SPTIC) (ex. a reader / writer as a device access device that accesses data in a device file) and Kspt (MAC verification of a service permission ticket (SPT)) The registration key (Kspt) is registered (steps S827 and S828 in the flow of FIG. 73).

【0661】(7)ファイルデータ領域の確保 デバイスは、処理対象パーティションにファイル登録チ
ケット(FRT)に記述されたサイズを持つファイル領
域を確保する。
(7) Securing File Data Area The device secures a file area having the size described in the file registration ticket (FRT) in the partition to be processed.

【0662】以上の処理によって、相互認証(共通
鍵)、チケット(FRT)検証(公開鍵)の各方式に従
ったファイルの生成処理が実行される。
With the above processing, the file generation processing according to the mutual authentication (common key) and ticket (FRT) verification (public key) methods is executed.

【0663】[B4.6.サービス許可チケット(SP
T)を利用したサービス(ファイルアクセス)処理]次
に、サービス許可チケット(SRT)(図28、図31
参照)を利用したファイルアクセス処理について説明す
る。図79以下のフロー他の図面を参照して説明する。
なお、ファイルアクセス処理には、デバイスとファイル
アクセス装置間における相互認証処理(デバイス認証ま
たはパーティション認証)、サービス許可チケット(S
PT:Service Parmission Ticket)の正当性検証処理
が含まれる。
[B4.6. Service permission ticket (SP
T) Service (File Access) Process] Next, a service permission ticket (SRT) (FIGS. 28 and 31)
The file access process using (see) will be described. The flow of FIG. 79 and subsequent drawings will be described with reference to other drawings.
The file access process includes a mutual authentication process (device authentication or partition authentication) between the device and the file access device, a service permission ticket (S
PT: Service Parmission Ticket).

【0664】図79のフローにおいて、左側がファイル
アクセス装置、右側がデバイス(図5参照)の処理を示
す。なお、ファイルアクセス装置は、パーティションマ
ネージャの管理装置であり、デバイスに対するデータ読
み取り書き込み処理可能な装置(ex.デバイスアクセ
ス機器としてのリーダライタ、PC)であり、図10の
デバイスアクセス機器としてのリーダライタに相当す
る。まず、図79を用いて、ファイルアクセス装置によ
るファイルアクセス処理の概要を説明し、その後、当処
理に含まれる各処理の詳細を図80以下のフローを用い
て順次説明する。
In the flow of FIG. 79, the left side shows the processing of the file access device, and the right side shows the processing of the device (see FIG. 5). Note that the file access device is a management device of the partition manager, and is a device (ex. A reader / writer or a PC as a device access device) capable of performing data read / write processing on a device, and a reader / writer as a device access device in FIG. Is equivalent to First, the outline of the file access process by the file access device will be described with reference to FIG. 79, and then the details of each process included in this process will be sequentially described with reference to the flow of FIG.

【0665】まず、図79のステップS851とS86
0において、ファイルアクセス装置とデバイス間にでの
相互認証処理が実行される。データ送受信を実行する2
つの手段間では、相互に相手が正しいデータ通信者であ
るか否かを確認して、その後に必要なデータ転送を行な
うことが行われる。相手が正しいデータ通信者であるか
否かの確認処理が相互認証処理である。相互認証処理時
にセッション鍵の生成を実行して、生成したセッション
鍵を共有鍵として暗号化処理を実行してデータ送信を行
なう。
First, steps S851 and S86 in FIG.
At 0, a mutual authentication process is performed between the file access device and the device. Execute data transmission / reception 2
The two means mutually confirm whether or not the other party is a correct data communicator, and thereafter perform necessary data transfer. The process of confirming whether the other party is the correct data communicator is the mutual authentication process. A session key is generated at the time of the mutual authentication process, and encryption is performed using the generated session key as a shared key to transmit data.

【0666】相互認証処理については、先のパーティシ
ョン生成、削除処理の欄で説明したと同様の処理であ
り、パーティション認証が実行される。それぞれについ
て共通鍵方式認証、あるいは公開鍵方式認証処理のいず
れかが適用される。この相互認証処理は、前述の図48
〜図56を用いて説明したと同様の処理であるので説明
を省略する。
[0666] The mutual authentication process is the same process as described in the section of the partition generation and deletion process, and the partition authentication is executed. Either common key authentication or public key authentication processing is applied to each of them. This mutual authentication process is the same as that shown in FIG.
Since the processing is the same as that described with reference to FIG.

【0667】なお、相互認証処理として実行すべき処理
は、適用するサービス許可チケット(SPT)(図2
8、図31参照)の * Authentication Flag :チケット(Ticket)の利用処
理においてデバイス(Device)との相互認証が必要か否
かを示すフラグ * Authentication Type :デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any))によって決定される。
The processing to be executed as the mutual authentication processing is the service permission ticket (SPT) (FIG. 2) to be applied.
8, see FIG. 31) * Authentication Flag: A flag indicating whether mutual authentication with a device is necessary in the process of using a ticket (Ticket) * Authentication Type: Type of mutual authentication of the device (Device) It is determined by key authentication or symmetric key authentication, or any.

【0668】認証処理に失敗した場合(S852,S8
61でNo)は、相互が正当な機器、デバイスであるこ
との確認がとれないことを示し、以下の処理は実行され
ずエラーとして処理は終了する。
If the authentication processing has failed (S852, S8
No at 61) indicates that it is not possible to confirm that they are valid devices and devices, and the following processing is not executed and the processing ends as an error.

【0669】デバイスは、複数のサービス許可チケット
(SPT)に基づく複数の異なるパーティション内のフ
ァイルアクセスを許容する処理も可能である。例えば、
デバイス認証の成立を条件として、複数のサービス許可
チケット(SPT)に基づく複数の異なるパーティショ
ン内のファイルアクセスを許容することが可能である。
各パーティション毎のファイルアクセスルールは、アク
セス制御データとして構成されるサービス許可チケット
(SPT)に記述され、デバイスは、アクセス機器から
複数のサービス許可チケット(SPT)を受領し、各チ
ケットがデバイス認証を要求している場合は、記述に従
ってデバイス認証が成立したことを条件として各パーテ
ィション内のファイルアクセスを許容する。
[0669] device is processed is also possible to allow the file access of a plurality of different partition based on a plurality of service permission ticket (SPT). For example,
It is possible to permit file access in a plurality of different partitions based on a plurality of service permission tickets (SPTs), provided that the device authentication is established.
The file access rule for each partition is described in a service permission ticket (SPT) configured as access control data. The device receives a plurality of service permission tickets (SPT) from the access device, and each ticket performs device authentication. If the request is made, file access in each partition is permitted on condition that device authentication has been established in accordance with the description.

【0670】また、デバイスは、複数のサービス許可チ
ケット(SPT)の各々が異なる認証条件を定めている
場合は、各サービス許可チケット(SPT)に設定され
たパーティション認証の認証成立を条件として、複数の
サービス許可チケット(SPT)の指定ファイルに対す
るアクセスを許容する。
[0670] If each of the plurality of service permission tickets (SPTs) defines different authentication conditions, the device may execute the plurality of service permission tickets (SPTs) on the condition that the partition authentication set in each service permission ticket (SPT) is established. Access to the specified file of the service permission ticket (SPT) of the user is permitted.

【0671】次にステップS853において、ファイル
アクセス装置は、デバイスに対してサービス許可チケッ
ト(SPT:Service Parmission Ticket)を送信す
る。サービス許可チケット(SPT)は、パーティショ
ンマネージャの管理下のサービス許可チケット(SP
T)発行手段(SPT Issuer)により発行されるチケット
である。サービス許可チケット(SPT)は、デバイス
に対するアクセス制御チケットであり、先に説明した図
28、図31のデータフォーマット構成を持つチケット
である。
Next, in step S853, the file access device transmits a service permission ticket (SPT) to the device. The service permission ticket (SPT) is a service permission ticket (SP) managed by the partition manager.
T) A ticket issued by an issuing means (SPT Issuer). The service permission ticket (SPT) is an access control ticket for the device, and has the data format configuration of FIGS. 28 and 31 described above.

【0672】なお、サービス許可チケット(SPT)
を、チケットユーザに対して送信する際には、公開鍵方
式の場合、サービス許可チケット(SPT)発行手段
(SPT Issuer)の公開鍵証明書(CERT_SPTI)も一緒に
送信する。SPT発行手段の公開鍵証明書(CERT_SPT
I)の属性(Attribute)は、デバイス内のFDB(File
Definition Block)に記録されたチケット発行手段コ
ード(SPTIC)と一致する。
[0672] The service permission ticket (SPT)
Is transmitted to the ticket user, in the case of the public key method, the public key certificate (CERT_SPTI) of the service permission ticket (SPT) issuing means (SPT Issuer) is also transmitted. Public key certificate of the SPT issuing means (CERT_SPT
The attribute of (I) is the FDB (File
This matches the ticket issuing means code (SPTIC) recorded in the Definition Block).

【0673】ファイル登録チケット(SPT)を受信
(S862)したデバイスは、受信したチケット(SR
T)の正当性と利用者チェック処理を実行(S863)
する。チケットの正当性の検証処理は、共通鍵方式によ
るMAC検証、あるいは公開鍵方式による署名検証処理
のいずれかを適用して実行される。利用者チェックは、
チケットを送信してきた機器(チケット利用者)の正当
性をチェックする処理であり、相互認証が成立済みであ
り、認証相手の識別データと、チケットに記録されてい
るチケットユーザ識別子(図28、図31参照)との一
致等を検証する処理として実行される。これらの処理
は、先のパーティション登録チケット(PRT)の適用
処理についての説明中、図57〜図59を用いて説明し
たと同様の処理であるので説明を省略する。
The device that has received the file registration ticket (SPT) (S862) transmits the received ticket (SR
T) is executed and the user is checked (S863)
I do. The processing for verifying the validity of the ticket is executed by applying either MAC verification using a common key method or signature verification processing using a public key method. User check
This is a process for checking the validity of the device (ticket user) that has transmitted the ticket. Mutual authentication has been completed, and the identification data of the authentication partner and the ticket user identifier recorded in the ticket (FIG. 28, FIG. 28). 31) is executed as a process for verifying a match with the above. These processes are the same as those described with reference to FIGS. 57 to 59 in the description of the application process of the partition registration ticket (PRT), and thus description thereof is omitted.

【0674】デバイスにおいて、受信チケット(SP
T)の正当性と利用者チェック処理の結果、チケットお
よび利用者の正当なことが確認できなかった場合(S8
64でNo)は、サービス許可チケット(SPT)受理
エラーをファイルアクセス装置に通知(S868)す
る。チケットおよび利用者の正当なことが確認できた場
合(S864でYes)は、受信したサービス許可チケ
ット(SPT)に記述されたルールに従いデバイス内の
メモリ部に格納されたファイルオープン処理が実行され
る。この処理の詳細については、別フローを用いて後段
で詳述する。
In the device, the reception ticket (SP
T) If the validity of the ticket and the user cannot be confirmed as a result of the user check processing and the validity of the user (S8)
(No at 64) notifies the file access device of a service permission ticket (SPT) reception error (S868). When the validity of the ticket and the user can be confirmed (Yes in S864), the file open processing stored in the memory unit in the device is executed according to the rule described in the received service permission ticket (SPT). . Details of this processing will be described later using another flow.

【0675】サービス許可チケット(SPT)の記述に
従って、ファイルのオープン処理に成功(S866でY
es)すると、SPT受理成功をファイルアクセス装置
に通知(S867)する。一方、ファイルのオープン処
理に失敗(S866でNo)した場合は、SPT受理エ
ラーをファイルアクセス装置に通知(S868)する。
According to the description of the service permission ticket (SPT), the file open processing succeeds (Y in S866).
es) Then, the SPT reception is notified to the file access device (S867). On the other hand, if the file open processing has failed (No in S866), an SPT reception error is notified to the file access device (S868).

【0676】ファイルアクセス装置は、SPT受理結果
を受信(S854)し、SPT処理結果を判定し、SP
T受理結果がエラーである場合(S855でNo)は、
エラーとして処理を終了し、SPT受理結果が成功(S
855でYes)である場合は、すべてのSPT送信が
終了したか否かを判定(S856)し、未送信SPTが
ある場合は、ステップS853以下を繰り返し実行す
る。
The file access device receives the SPT reception result (S854), determines the result of the SPT processing,
If the T reception result is an error (No in S855),
The process ends as an error, and the SPT reception result succeeds (S
If Yes in 855, it is determined whether or not all SPT transmissions have been completed (S856). If there is an untransmitted SPT, step S853 and subsequent steps are repeated.

【0677】すべてのSPT送信が終了した場合は、ス
テップS857、S869においてサービス許可チケッ
ト(SPT)に従ったファイルアクセスを実行し、ファ
イルアクセス処理の終了の後、セッションクリアコマン
ドの送受信(S858,S870)を実行し、デバイス
側に生成した認証テーブルを破棄(S871)し、処理
を終了する。ファイルアクセス処理の詳細については、
別フローを用いて後段で詳述する。なお、認証テーブル
は、ステップS851,S860の相互認証処理におい
て生成されるテーブルであり、前述したパーティション
登録チケット(PRT)の適用処理の項目において説明
した構成、すなわち、図51の構成と同様のものであ
る。
If all SPT transmissions have been completed, file access according to the service permission ticket (SPT) is executed in steps S857 and S869, and after the file access processing is completed, transmission / reception of the session clear command (S858, S870) ) Is performed to discard the authentication table generated on the device side (S871), and the process ends. For details on the file access process,
Details will be described later using another flow. The authentication table is a table generated in the mutual authentication process in steps S851 and S860, and has the same configuration as that described in the item of the application process of the partition registration ticket (PRT), that is, the same configuration as that of FIG. It is.

【0678】このようにサービス許可チケット(SP
T)を利用して、デバイス内に設定されたパーティショ
ン内のファイルに対するアクセス処理が実行される。以
下、当処理に含まれるファイルオープン処理(S86
5)、各種ファイルアクセス処理(S857,S86
9)について説明する。
As described above, the service permission ticket (SP
Using T), an access process to a file in a partition set in the device is executed. Hereinafter, the file open process included in this process (S86
5), various file access processing (S857, S86)
9) will be described.

【0679】(ファイルオープン処理)図80のフロー
に従って、ファイルオープン処理(図79、S865)
について説明する。ファイルオープン処理は、デバイス
が受信したサービス許可チケット(SPT)に従って実
行する処理である。
(File open processing) File open processing (FIG. 79, S865) in accordance with the flow of FIG.
Will be described. The file open process is a process executed according to a service permission ticket (SPT) received by the device.

【0680】ステップS881において、デバイスは、
受信したサービス許可チケット(SPT)に指定された
ファイルがデバイス内に生成されて存在しているか否か
を判定する。サービス許可チケット(SPT)には処理
対象ファイルのファイルIDが記録(図28、図31参
照)されており、同一のIDを持つファイルの有無を例
えばファイル定義ブロック(図24)を参照して判定す
る。チケットに記述されたIDと同一IDのファイルが
存在しない場合は、処理が不可能であるのでエラー終了
する。
[0680] In step S881, the device:
It is determined whether the file specified in the received service permission ticket (SPT) has been generated in the device and exists. The file ID of the file to be processed is recorded in the service permission ticket (SPT) (see FIGS. 28 and 31), and the presence or absence of a file having the same ID is determined by referring to, for example, a file definition block (FIG. 24). I do. If a file with the same ID as the ID described in the ticket does not exist, processing is impossible, and the processing ends with an error.

【0681】チケットに記述されたIDと同一IDのフ
ァイルが存在する場合は、ステップS882において、
ファイルオープンテーブルにサービス許可チケット(S
PT)に記述されたチケット発行手段(Ticket issuer
=PMC:Partition managerCode)と、サービス許可チ
ケット(SPT)に記述されたファイルIDとを対応付
けたエントリを書き込む。
If a file with the same ID as the ID described in the ticket exists, in step S882
Service permission ticket (S
Ticket issuer described in the PT
= PMC: Partition managerCode) and an entry in which a file ID described in a service permission ticket (SPT) is associated.

【0682】さらに、ステップS883において、ファ
イルオープンテーブルに生成したエントリに対応付けて
サービス許可チケット(SPT)に記述されたファイル
アクセスモード[File Access Mode :アクセスを許諾す
るファイル(File)へのアクセスモード(Access Mod
e)]を書き込み、ステップS884において、サービ
ス許可チケット(SPT)に記述されたアクセス許可グ
ループファイル[Groupof Target File :アクセスを許
すファイル(File)のグループ(Group)]を書き込
み、ステップS885において、サービス許可チケット
(SPT)に記述されたアクセス許可ファイル識別子
[Target File ID :アクセスを許すファイル(File)の
識別子(ID)]の書き込み、さらにステップS886
において、サービス許可チケット(SPT)に記述され
たターゲットファイル(Target File))に対する処理
態様データ[Read/Write Permission : アクセスを許す
ファイル(File)(ターゲットファイル(Target Fil
e))に対する処理態様(読み出し(Read),書き込み
(Write)の許可)]の書き込み処理を行なう。なお、
ターゲットファイルに対する処理としては、読み出し
(Read),書き込み(Write)に限らず、様々な処理を設
定可能である。
Further, in step S883, the file access mode described in the service permission ticket (SPT) in association with the entry generated in the file open table [File Access Mode: access mode to the file (File) to which access is permitted (Access Mod
e)], and in step S884, an access permission group file [Group of Target File: a group of files (File) permitted to access] described in the service permission ticket (SPT) is written. In step S885, the service Write the access permission file identifier [Target File ID: identifier (ID) of the file (File) permitted to access] described in the permission ticket (SPT), and further, step S886.
, Processing mode data [Read / Write Permission: File (File) (Access target file (Target Fil)) for the target file (Target File) described in the service permission ticket (SPT).
e)), the writing process of the processing mode (permission of reading (Read) and writing (Write))] is performed. In addition,
The processing for the target file is not limited to reading and writing, and various processing can be set.

【0683】ファイルオープンテーブルの構成例を図8
1、図82に示す。ファイルオープンテーブルは、デバ
イスにおいてアクセス処理状態にあるファイルおよびア
クセスモード他の情報を記録したテーブルであり、デバ
イスが受信したサービス許可チケット(SPT)の記述
情報を記録してデバイスの記憶手段に格納する。
FIG. 8 shows a configuration example of the file open table.
1, shown in FIG. The file open table is a table in which information on a file in an access processing state in a device, an access mode, and other information is recorded. The description information of a service permission ticket (SPT) received by the device is recorded and stored in a storage unit of the device. .

【0684】チケットが唯一のファイルに対してのみア
クセスを許可する形式のサービス許可チケット(図28
参照)である場合は、ファイルオープンテーブルは、 *Ticket Issuer :チケット発行手段(Ticket Issuer)
の識別子 * File ID :パーティション内のアクセスファイル(Fil
e)の識別子(ID) * File Access Mode :アクセスを許諾するファイル(Fi
le)へのアクセスモード(Access Mode) の情報を格納する。この場合のファイルオープンテーブ
ルの構成例を図81に示す。
[0684] A service permission ticket in a form in which the ticket permits access to only one file (FIG. 28)
), The file open table contains * Ticket Issuer: ticket issuing means (Ticket Issuer)
Identifier * File ID: Access file (Fil
e) Identifier (ID) * File Access Mode: File (File
le) Access mode information is stored. FIG. 81 shows a configuration example of the file open table in this case.

【0685】図81に示すように、ファイルオープンテ
ーブルにはグループ情報であるTicket Issuer :チケッ
ト発行手段(Ticket Issuer)の識別子として、パーテ
ィションマネージャコード(PMC)が記述され、パー
ティションが判別され、ファイルIDによりファイルが
識別され、ファイルアクセスモードにより実行可能なア
クセス態様(ex.読み取り(READ)、書き込み
(Write)、暗号化復号化(Enc,Dec))が
判定可能となる。
As shown in FIG. 81, in the file open table, a ticket issuer which is group information: a partition manager code (PMC) is described as an identifier of a ticket issuing means (Ticket Issuer), a partition is determined, and a file ID is determined. , The file is identified, and an executable access mode (ex. Read (READ), write (Write), encryption / decryption (Enc, Dec)) can be determined in the file access mode.

【0686】また、サービス許可チケット(SPT)が
パーティションに設定されたファイル中の複数ファイル
に対してアクセスを許可する形式のサービス許可チケッ
ト(図31参照)の場合は、上記情報に加えて * Group of Target File :アクセスを許すファイル(Fi
le)のグループ(Group) * Target File ID :アクセスを許すファイル(File)の
識別子(ID) * Read/Write Permission : アクセスを許すファイル
(File)(ターゲットファイル(Target File))に対
する処理態様(読み出し(Read),書き込み(Write))
の許可 の各情報がテーブルに書き込まれる。この場合のファイ
ルオープンテーブルの構成例を図82に示す。
If the service permission ticket (SPT) is a service permission ticket of a format permitting access to a plurality of files among the files set in the partition (see FIG. 31), * Group is added to the above information. of Target File: File that allows access (Fi
le) Group (Group) * Target File ID: Identifier (ID) of file (File) to be allowed to access * Read / Write Permission: Processing mode (Reading) for file (Target File) to be allowed to access (Read), Write (Write))
The permission information is written to the table. FIG. 82 shows a configuration example of the file open table in this case.

【0687】図82に示すように、複数ファイルに対し
てアクセスを許可する形式のサービス許可チケットに対
応して設定されるファイルオープンテーブルには、図8
1に示すデータの他に、アクセスを許すターゲットファ
イル(File)のグループとしてのパーティション識別デ
ータとしてのパーティションマネージャコード(PM
C)と、アクセスを許すターゲットファイル(File)の
識別子(ID)としてのファイルIDと、ターゲットフ
ァイル(Target File))に対する処理態様を示す[Rea
d/Write Permission]データが格納され、複数ファイル
に対する実行可能な処理が判定可能となる。
As shown in FIG. 82, the file open table set in correspondence with the service permission ticket in a format permitting access to a plurality of files includes
In addition to the data shown in FIG. 1, a partition manager code (PM) as partition identification data as a group of target files (File) to which access is permitted
C), a file ID as an identifier (ID) of the target file (File) to which access is permitted, and a processing mode for the target file (Target File).
d / Write Permission] data is stored, and executable processes for a plurality of files can be determined.

【0688】複数のファイルに対してアクセスを実行す
る処理とは、例えばファイルAに格納された鍵を用い
て、ファイルBに格納されたデータを暗号化する処理を
実行する場合などである。このためには、ファイルBは
ファイルAの読み出し要求に対して許可を与える必要が
ある。この場合、ファイルBのことをソースファイル、
許可を与える相手のファイルのことをターゲットファイ
ルと呼ぶ。
[0688] The process of executing access to a plurality of files is, for example, a case of executing a process of encrypting data stored in file B using a key stored in file A. For this purpose, file B needs to give permission for a read request for file A. In this case, file B is a source file,
The file to which permission is given is called a target file.

【0689】このように、デバイスは、アクセス機器と
のセッション中に受領したサービス許可チケット(SP
T)に基づいて、チケット発行手段(Ticket Issuer(PM
C))としてのパーティションマネージャコード(PM
C)、ファイルオープン処理を実行したファイルの識別
データとしてのファイル識別子と、サービス許可チケッ
ト(SPT)に記述されたアクセスモードを対応付けた
ファイルオープンテーブルを生成し、該ファイルオープ
ンテーブルを参照して前記アクセス機器からの受領コマ
ンドの実行の可否の判定が可能となる。
[0689] As described above, the device transmits the service permission ticket (SP) received during the session with the access device.
T), a ticket issuer (PM)
C)) as the partition manager code (PM
C), generating a file open table in which a file identifier as identification data of the file that has been subjected to the file open processing is associated with an access mode described in a service permission ticket (SPT), and referring to the file open table. It is possible to determine whether to execute the received command from the access device.

【0690】(ファイルアクセス処理)次に、図79の
ステップS857、S869において実行されるファイ
ルアクセス処理の詳細について説明する。
(File Access Processing) Next, details of the file access processing executed in steps S857 and S869 of FIG. 79 will be described.

【0691】まず、図81に示すファイルオープンテー
ブルが生成された場合のアクセス処理について、図83
を用いて説明する。図の左側に2つのファイルアクセス
装置(R/W:デバイスアクセス機器としてのリーダラ
イタ)750、760を示し、右側にファイルの生成さ
れたデバイス100のパーティション部分を示す。
First, the access processing when the file open table shown in FIG. 81 is generated will be described with reference to FIG.
This will be described with reference to FIG. Two file access devices (R / W: reader / writers as device access devices) 750 and 760 are shown on the left side of the figure, and a partition portion of the device 100 in which the file is generated is shown on the right side.

【0692】ファイルアクセス装置(R/W:リーダラ
イタ)750は、デバイスとの相互認証の後、 ファイルID:[0x0002] ファイルアクセスモード:[読み取り:Read] のアクセス許可チケットをデバイス100に送信し、チ
ケットの正当性検証、チケット発行者、利用者検証に成
功したとする。
The file access device (R / W: reader / writer) 750 sends an access permission ticket of file ID: [0x0002] file access mode: [read: Read] to the device 100 after mutual authentication with the device. It is assumed that the validity of the ticket, the ticket issuer, and the user have been successfully verified.

【0693】このとき、デバイスには図81に示すファ
イルオープンテーブルの第2行のエントリが生成され
る。このエントリは、パーティションマネージャコード
(PMC1)で識別されるパーティション内のファイル
ID[0x0002]に対してアクセスモード[読み取
り:Read]の処理が実行可能であることを示してい
る。
At this time, the entry of the second row of the file open table shown in FIG. 81 is generated in the device. This entry indicates that access mode [Read: Read] processing can be executed for the file ID [0x0002] in the partition identified by the partition manager code (PMC1).

【0694】このとき、ファイルアクセス装置(R/
W:リーダライタ)750は、コマンドを生成してデバ
イスに対して送信する。例えばファイルID[0x00
02]のデータ読み取りコマンド:Read Comm
and(0x0002)をデバイスが受信すると、デバ
イスはファイルオープンテーブルのエントリを確認し、
ファイルID[0x0002]に対してアクセスモード
[読み取り:Read]の処理が実行可能であることを
確認し、読み取り処理を実行する。
At this time, the file access device (R /
(W: reader / writer) 750 generates a command and transmits it to the device. For example, file ID [0x00
02]: Read Comm
When the device receives and (0x0002), the device checks the entry of the file open table,
It is confirmed that the access mode [Read: Read] processing can be executed for the file ID [0x0002], and the read processing is executed.

【0695】また、ファイルアクセス装置(R/W:リ
ーダライタ)750が、例えばファイルID[0x00
02]のデータ書き込みコマンド:Write Com
mand(0x0002)、あるいはファイルID[0
x0001]のデータの暗号化処理コマンド:Encr
yption Command(0x0001)をデバ
イスに送信した場合は、コマンドを受信したデバイスは
ファイルオープンテーブルのエントリを確認し、ファイ
ルID[0x0002]に対する[書き込み:Writ
e]の処理、および、ファイルID[0x0001]の
[暗号化処理]が、ファイルアクセス装置(R/W:リ
ーダライタ)750から受領したサービス許可チケット
(SPT)によって許可されていないことを確認し、処
理を停止する。
[0695] In addition, file access unit (R / W: reader-writer) 750 is, for example, a file ID [0x00
02]: Write Com
mand (0x0002) or file ID [0
x0001] data encryption processing command: Encr
In a case where the option command (0x0001) is transmitted to the device, the device that has received the command checks the entry of the file open table, and writes [Write: Writ] for the file ID [0x0002].
e] and that the [encryption processing] of the file ID [0x0001] is not permitted by the service permission ticket (SPT) received from the file access device (R / W: reader / writer) 750. , Stop the process.

【0696】また、ファイルアクセス装置(R/W:リ
ーダライタ)760は、デバイスとの相互認証の後、 ファイルID:[0x0001] ファイルアクセスモード:[暗号化復号化処理:Enc
&Dec] のアクセス許可チケットをデバイス100に送信し、チ
ケットの正当性検証、チケット発行者、利用者検証に成
功したとする。
[0696] After mutual authentication with the device, the file access device (R / W: reader / writer) 760 sends the file ID: [0x0001] file access mode: [encryption / decryption processing: Enc].
& Dec] is transmitted to the device 100, and the validity of the ticket, the ticket issuer, and the user are successfully verified.

【0697】このとき、デバイスには図81に示すファ
イルオープンテーブルの第1行のエントリが生成され
る。このエントリは、パーティションマネージャコード
(PMC1)で識別されるパーティション内のファイル
ID[0x0001]に対してアクセスモード[暗号化
復号化処理:Enc&Dec]の処理が実行可能である
ことを示している。
At this time, the entry of the first line of the file open table shown in FIG. 81 is generated in the device. This entry indicates that the process in the access mode [encryption / decryption process: Enc & Dec] can be executed for the file ID [0x0001] in the partition identified by the partition manager code (PMC1).

【0698】このとき、ファイルアクセス装置(R/
W:リーダライタ)760は、コマンドを生成してデバ
イスに対して送信する。例えばファイルID[0x00
01]の暗号化コマンド[Encryption Co
mmand(0x0001)]をデバイスが受信する
と、デバイスはファイルオープンテーブルのエントリを
確認し、ファイルID:0x0001に対してアクセス
モード[暗号化復号化処理:Enc&Dec]の処理が
実行可能であることを確認し、暗号化処理を実行する。
At this time, the file access device (R /
(W: reader / writer) 760 generates a command and transmits it to the device. For example, file ID [0x00
01] encryption command [Encryption Co
mmand (0x0001)], the device checks the entry in the file open table, and confirms that the access mode [encryption / decryption processing: Enc & Dec] can be executed for the file ID: 0x0001. Then, an encryption process is performed.

【0699】また、ファイルアクセス装置(R/W:リ
ーダライタ)760が、例えばファイルID[0x00
02]のデータ読み取りコマンド:Read Comm
and(0x0002)をデバイスに送信した場合は、
コマンドを受信したデバイスはファイルオープンテーブ
ルのエントリを確認し、ファイルID[0x0002]
に対する[読み取り:Read]の処理が、ファイルア
クセス装置(R/W:リーダライタ)760から受領し
たサービス許可チケット(SPT)によって許可されて
いないことを確認し、処理を停止する。
[0699] In addition, file access unit (R / W: reader-writer) 760 is, for example, a file ID [0x00
02]: Read Comm
and (0x0002) to the device,
The device that has received the command checks the entry in the file open table, and checks the file ID [0x0002].
It is confirmed that the processing of [Read: Read] is not permitted by the service permission ticket (SPT) received from the file access device (R / W: reader / writer) 760, and the processing is stopped.

【0700】このように、サービス許可チケットユーザ
であるデバイスアクセス機器としてのリーダライタから
デバイスが受信したサービス許可チケット(SPT)に
基づいて、デバイスは、前述の図80の処理フローに従
ってファイルオープンテーブルを生成し、生成したファ
イルオープンテーブルに基づいてファイルアクセス装置
であるリーダライタからの各コマンドの実行可否を決定
し、決定に従って処理を実行する。
As described above, based on the service permission ticket (SPT) received by the device from the reader / writer serving as the device access device as the service permission ticket user, the device sets the file open table in accordance with the processing flow of FIG. Based on the generated file open table, whether or not each command can be executed from a reader / writer as a file access device is determined, and processing is performed according to the determination.

【0701】次に、2つのファイルに対する処理を実行
する場合のアクセス処理について、図84を用いて説明
する。図の左側に2つのファイルアクセス装置(R/
W:リーダライタ)770、780を示し、右側にファ
イルの生成されたデバイス100のパーティション部分
を示す。
Next, an access process when executing a process for two files will be described with reference to FIG. Two file access devices (R /
W: reader / writer) 770 and 780, and the right side shows a partition portion of the device 100 in which the file is generated.

【0702】まず、ターゲットファイルを指定したサー
ビス許可チケット(SPT)(図31参照)を使用した
処理の実行例を説明する。
First, an example of execution of processing using a service permission ticket (SPT) (see FIG. 31) specifying a target file will be described.

【0703】ファイルアクセス装置(R/W:リーダラ
イタ)770は、デバイスとの相互認証の後、 SPTフォーマット1 ファイルID:[0x0001] ファイルアクセスモード:[暗号化復号化処理:Enc
&Dec]および、SPTフォーマット2 ファイルID:[0x0002] ターゲットファイル・グループ:[PMC1] ターゲットファイルID:[0x0001] 読書き許可:[読み取り:Read] の2つのアクセス許可チケットをデバイス100に送信
し、チケットの正当性検証、チケット発行者、利用者検
証に成功したとする。
After mutual authentication with the device, the file access device (R / W: reader / writer) 770 receives the SPT format 1 file ID: [0x0001] file access mode: [encryption / decryption processing: Enc]
& Dec] and SPT format 2 File ID: [0x0002] Target file group: [PMC1] Target file ID: [0x0001] Read / write permission: [Read: Read] It is assumed that the validity of the ticket, the ticket issuer, and the user have been successfully verified.

【0704】このとき、デバイスには図82に示すファ
イルオープンテーブルのエントリが生成される。このエ
ントリは、パーティションマネージャコード(PMC
1)で識別されるパーティション内のファイルID[0
x0001]は、鍵のファイルであり、暗号化、復号化
が可能になるようにオープンされる。ファイルID[0
x0002]は、データのファイルであり、外部からの
読み出しはファイルアクセスモード(File Access Mod
e)の欄が空白のため不可能であり、ファイルID[0
x0001]に対して[読み取り:Read]を実行可
能とする目的のためにオープンされて、ファイルオープ
ンテーブルのエントリとして設定されていることを示し
ている。
At this time, an entry of the file open table shown in FIG. 82 is generated in the device. This entry contains the partition manager code (PMC
File ID [0] in the partition identified by 1)
[x0001] is a key file, which is opened so as to enable encryption and decryption. File ID [0
x0002] is a data file, and reading from the outside is performed in a file access mode (File Access Mod).
This is impossible because the column of e) is blank and the file ID [0
[x0001] is opened for the purpose of enabling [Read: Read], and is set as an entry in the file open table.

【0705】このとき、ファイルアクセス装置(R/
W:リーダライタ)770は、コマンドを生成してデバ
イスに対して送信する。例えばファイルID[0x00
02]の読み取り、ファイルID[0x0001]によ
る内部暗号化コマンド:Internal Encry
ption Command(0x0001,0x00
02)を送信し、デバイスがコマンドを受信すると、デ
バイスはファイルオープンテーブルのエントリを確認
し、ファイルID[0x0002]に対して、ターゲッ
トファイルグループ[PMC1]、ターゲットファイル
[0x0001]の[暗号化処理]に対して[読み取
り:Read]を実行可能であることを判定し、ファイ
ルID[0x00002]のデータを読み取り、ファイ
ルID[0x00001]の鍵(key)による暗号化
を実行して暗号化データをアクセス装置に送信する。
At this time, the file access device (R /
(W: reader / writer) 770 generates a command and transmits it to the device. For example, file ID [0x00
02], and an internal encryption command using the file ID [0x0001]: Internal Encrypt
ption Command (0x0001, 0x00
02), and when the device receives the command, the device checks the entry of the file open table, and performs the [encryption processing] of the target file group [PMC1] and the target file [0x0001] for the file ID [0x0002]. ] Is determined to be executable, the data of the file ID [0x00002] is read, and encryption using the key (key) of the file ID [0x00001] is executed to encrypt the encrypted data. Send to access device.

【0706】このターゲットファイルを指定したサービ
ス許可チケット(SPT)(図31参照)を使用した処
理によればあるファイルから読み出したデータを他のフ
ァイルに格納された暗号化鍵を用いて暗号化したデータ
を取得する処理が可能となり、復号データが外部に漏れ
るおそれがない。
According to the processing using the service permission ticket (SPT) designating the target file (see FIG. 31), data read from one file is encrypted using an encryption key stored in another file. Processing for acquiring data becomes possible, and there is no possibility that decrypted data leaks to the outside.

【0707】次に、ターゲットファイルを指定したサー
ビス許可チケット(SPT)(図31参照)ではなく、
唯一のファイルに対する処理を指定したサービス許可チ
ケット(SPT)(図28参照)を複数用いた場合の処
理について説明する。
Next, instead of the service permission ticket (SPT) specifying the target file (see FIG. 31),
The processing when a plurality of service permission tickets (SPTs) (see FIG. 28) that specify processing for a single file are used will be described.

【0708】ファイルアクセス装置(R/W:リーダラ
イタ)780は、デバイスとの相互認証の後、SPTフ
ォーマット1として、 ファイルID:[0x0002] ファイルアクセスモード:[読み取り:Read]また
SPTフォーマット2として、 ファイルID:[0x0001] ファイルアクセスモード:[暗号化復号化処理:Enc
&Dec] の2つのアクセスチケットをデバイス100に送信し、
チケットの正当性検証、チケット発行者、利用者検証に
成功したとする。
[0708] After mutual authentication with the device, the file access device (R / W: reader / writer) 780 performs SPT format 1, file ID: [0x0002] file access mode: [read: Read] or SPT format 2. file ID: [0x0001] file access mode: encryption decryption processing: Enc
& Dec] to the device 100,
It is assumed that the validity of the ticket, the ticket issuer, and the user have been successfully verified.

【0709】このとき、デバイスには図81に示すファ
イルオープンテーブルの第1行および第2行の各エント
リが生成される。このエントリは、パーティションマネ
ージャコード(PMC1)で識別されるパーティション
内のファイルID[0x0001]に対してアクセスモ
ード[暗号化復号化処理:Enc&Dec]の処理が実
行可能であり、パーティションマネージャコード(PM
C1)で識別されるパーティション内のファイルID:
0x0002に対してアクセスモード[読み取り:Re
ad]の処理が実行可能であることを示している。
At this time, each entry of the first row and the second row of the file open table shown in FIG. 81 is generated in the device. In this entry, access mode [encryption / decryption processing: Enc & Dec] processing can be executed on the file ID [0x0001] in the partition identified by the partition manager code (PMC1), and the partition manager code (PM
File ID in the partition identified in C1):
Access mode [Read: Re
ad] can be executed.

【0710】このとき、ファイルアクセス装置(R/
W:リーダライタ)780は、コマンドを生成してデバ
イスに対して送信する。まず、ファイルID:[0x0
002]のデータ読み取りコマンド:Read Com
mand(0x0002)をデバイスが受信すると、デ
バイスはファイルオープンテーブルのエントリを確認
し、ファイルID:0x0002に対してアクセスモー
ド[読み取り:Read]の処理が実行可能であること
を確認し、読み取り処理を実行し、ファイルアクセス装
置に読み取りデータを送信する。
At this time, the file access device (R /
(W: reader / writer) 780 generates a command and transmits it to the device. First, the file ID: [0x0
002] data read command: Read Com
When the device receives the command “mand (0x0002)”, the device confirms the entry in the file open table, confirms that the access mode [Read: Read] can be executed for the file ID: 0x0002, and executes the read process. Execute and send the read data to the file access device.

【0711】次に、ファイルアクセス装置(R/W:リ
ーダライタ)780は、さらにコマンドを生成してデバ
イスに対して送信する。ファイルID[0x0001]
によるデータ(Data)の暗号化コマンド[Encr
yption Command(0x0001,Dat
a)]をデバイスが受信すると、デバイスはファイルオ
ープンテーブルのエントリを確認し、ファイルID[0
x0001]に対してアクセスモード[暗号化復号化処
理:Enc&Dec]の処理が実行可能であることを確
認し、暗号化処理を実行し暗号化データ[Encryp
tion Data]をファイルアクセス装置(R/
W:リーダライタ)780に送信する。
Next, the file access device (R / W: reader / writer) 780 further generates a command and transmits it to the device. File ID [0x0001]
(Data) encryption command [Encr]
yption Command (0x0001, Dat
a)] is received by the device, the device confirms the entry in the file open table, and checks the file ID [0].
x0001], it is confirmed that the processing of the access mode [encryption / decryption processing: Enc & Dec] can be executed, the encryption processing is executed, and the encrypted data [Encrypt] is executed.
data] to a file access device (R /
W: reader / writer).

【0712】このように、ターゲットファイルを指定し
たサービス許可チケット(SPT)(図31参照)では
なく、唯一のファイルに対する処理を指定したサービス
許可チケット(SPT)(図28参照)を複数用いた場
合は、暗号化対象データの読み出し処理が実行され、フ
ァイルアクセス装置780とデバイス間におけるデータ
転送処理の回数が増加することになる。また、データが
暗号化されずにデバイスの外に読み出されてしまう。
As described above, in the case where a plurality of service permission tickets (SPT) (see FIG. 28) specifying processing for a single file are used instead of the service permission ticket (SPT) specifying target files (see FIG. 31). In this case, the process of reading the data to be encrypted is executed, and the number of data transfer processes between the file access device 780 and the device increases. Also, data is read out of the device without being encrypted.

【0713】一方、サービス許可チケット(SPT)
(図31参照)に、アクセス対象とした複数のデータフ
ァイルを識別する複数のファイル識別子を含ませ、該複
数のファイル識別子中、一方はターゲットファイル識別
子として設定するとともにターゲットファイルに対する
読み取りまたは書き込み許可データを格納し、他方のデ
ータファイルのアクセスモードとして該データファイル
に格納した暗号鍵を用いた暗号化処理を設定した構成と
すれば、メモリ搭載デバイスは、アクセス機器からサー
ビス許可チケット(SPT)を受領して、指定アクセス
モードに従った処理として、ターゲットファイルの読み
取りおよび暗号鍵による暗号化処理を実行することにな
り、メモリ搭載デバイス内における内部暗号化処理を実
行することが可能となる。また、データが暗号化されず
にデバイスの外に流出することを防止することができ
る。
[0713] On the other hand, a service permission ticket (SPT)
(See FIG. 31) includes a plurality of file identifiers for identifying a plurality of data files to be accessed, and one of the plurality of file identifiers is set as a target file identifier and read or write permission data for the target file is set. Is stored, and the encryption processing using the encryption key stored in the data file is set as the access mode of the other data file, the memory-equipped device receives the service permission ticket (SPT) from the access device. Then, as processing in accordance with the designated access mode, reading of the target file and encryption processing using the encryption key are executed, and internal encryption processing in the memory-equipped device can be executed. In addition, it is possible to prevent data from leaking out of the device without being encrypted.

【0714】サービス許可チケット(SPT)を発行す
るチケット発行手段は、メモリ搭載デバイスのメモリ領
域を管理するエンティテイであるパーティションマネー
ジャの管理下にあるチケット発行手段であり、各アクセ
ス機器に応じて各種のアクセスモードを設定したサービ
ス許可チケット(SPT)を個別に発行することによ
り、各アクセス機器に応じて異なる態様のアクセスを実
行可能とした構成が実現される。
[0714] Ticket issuing means for issuing a service permission ticket (SPT) is a ticket issuing means under the control of a partition manager which is an entity for managing a memory area of a memory-mounted device. By individually issuing a service permission ticket (SPT) in which an access mode is set, a configuration is realized in which different types of access can be executed according to each access device.

【0715】(セッション鍵の使用態様)なお、ファイ
ルアクセス装置とデバイス間において送受信されるデー
タは、デバイスのユーザ情報、あるいは金額情報など外
部に対する漏洩を防止すべきデータであることが多い。
従ってファイルアクセス装置とデバイス間において送受
信されるデータは、暗号化処理を実行し、また改竄チェ
ック値としてのMAC(Message Authentication Cod
e)を付加したデータとするのが望ましい。
(Usage of Session Key) Note that data transmitted and received between the file access device and the device is often data to be prevented from being leaked to the outside, such as device user information or money amount information.
Therefore, data transmitted and received between the file access device and the device is subjected to encryption processing, and a MAC (Message Authentication Code) is used as a tampering check value.
It is desirable to use data added with e).

【0716】データの暗号化には、ファイルアクセス装
置とデバイス間において実行される相互認証処理におい
て生成されるセッション鍵を用いることが可能である。
前述したように相互認証には、デバイスに対するデバイ
ス認証、各パーティションに対する認証としてのパーテ
ィション認証がある。パーティションに生成済みのファ
イルに対するアクセスを実行する場合、データ転送の際
に適用する暗号化鍵としていずれを適用するかはいくつ
かの選択肢がある。
For data encryption, it is possible to use a session key generated in a mutual authentication process performed between the file access device and the device.
As described above, the mutual authentication includes device authentication for a device and partition authentication as authentication for each partition. When accessing a file that has already been generated in a partition, there are several options as to which encryption key to apply when transferring data.

【0717】例えば図85に示すように、デバイス10
0とアクセス装置800との間において、デバイス認証
によって生成されたセッション鍵Kses1、パーティ
ションマネージャコード(PMC1)に対応するパーテ
ィションとのパーティション認証によって生成されたセ
ッション鍵Kses2、パーティションマネージャコー
ド(PMC2)に対応するパーティションとのパーティ
ション認証によって生成されたセッション鍵Kses3
がある場合がある。
For example, as shown in FIG.
0 and the access device 800, a session key Kses1 generated by device authentication, a session key Kses2 generated by partition authentication with a partition corresponding to the partition manager code (PMC1), and a partition manager code (PMC2). Key Kses3 generated by partition authentication with the partition to be executed
There may be.

【0718】これらは、相互認証の際に生成される認証
テーブル(図51、図52参照)にセッションクリアま
で格納される。
[0718] These are stored until the session is cleared in the authentication table (see Figs. 51 and 52) generated at the time of mutual authentication.

【0719】デバイスとデバイスとの通信を実行するデ
バイスアクセス機器としてのリーダライタ(PC他の通
信装置)は、これら複数のセッション鍵のいずれを適用
して暗号化通信を実行するかを、ルールとして予め取り
決めておき、決定されたルールに従ってセッション鍵を
適用する構成が可能である。
[0719] A reader / writer (PC or other communication device) as a device access device that executes device-to-device communication determines which of the plurality of session keys is to be used to execute encrypted communication as a rule. A configuration in which a session key is applied in advance according to a determined rule is possible.

【0720】複数の異なるパーティション内のファイル
アクセスを、複数の異なるパーティション各々に対応し
て設定された認証条件であるパーティション認証または
デバイス認証のすべての認証成立を条件として許容する
場合、複数の認証処理の結果、取得された複数のセッシ
ョン鍵に基づいて唯一の統合セッション鍵を生成し、該
統合セッション鍵に基づいてアクセス機器との通信デー
タの暗号処理を実行する。
If file access in a plurality of different partitions is permitted on condition that all the authentications of the partition authentication or the device authentication which are the authentication conditions set corresponding to the plurality of different partitions are permitted, a plurality of authentication processes are performed. As a result, a unique integrated session key is generated based on the acquired plurality of session keys, and encryption processing of communication data with the access device is executed based on the integrated session key.

【0721】統合セッション鍵生成手法としての1つの
方法は、デバイスとデバイスとの通信を実行するデバイ
スアクセス機器としてのリーダライタ(PC他の通信装
置)間における相互認証処理によって複数のセッション
鍵Kses1〜KsesNが生成された場合、これら複
数のセッション鍵Kses1〜KsesNの排他論理和
処理(ex.8バイト処理)を実行し演算結果を通信デ
ータの暗号化用セッション鍵とする方法である。すなわ
ち、 Kses=Kses1 XOR Kses2 XOR Kses3… XOR:排他論理和処理(ex.8バイト処理) によって算出されたKsesをセッション鍵として用い
る。
[0721] One method as an integrated session key generation method is that a plurality of session keys Kses1 to Kses1 through a mutual authentication process between a reader / writer (PC or other communication device) as a device access device for performing communication between devices. When KsesN is generated, an exclusive OR process (ex. 8 byte process) of the plurality of session keys Kses1 to KsesN is executed, and the operation result is used as a session key for encrypting communication data. That is, Kses = Kses1 XOR Kses2 XOR Kses3... XOR: Kses calculated by exclusive OR processing (ex. 8 byte processing) is used as the session key.

【0722】デバイスとデバイスとの通信を実行するデ
バイスアクセス機器としてのリーダライタ(PC他の通
信装置)間では、双方の認証テーブルに格納されたセッ
ション鍵を排他論理和演算しその出力値をセッション鍵
として使用するというルールを定め、該ルールに基づい
てセッション鍵を算出して通信データの暗号化に用いる
構成とする。また、同様にして、相互認証時に同時に共
有した別のセッション鍵、例えば公開鍵認証時において
生成したセッション鍵、あるいはセッション鍵生成デー
タ、例えばY座標の下位64ビットを用いてセッション
中の通信データにMAC値を付加することができる。こ
のMAC値を通信データ(暗号化データである場合もあ
る)とともに送信し、受信側でMAC検証処理を行なう
ことで、通信路上のデータ改竄を防止することが可能と
なる。MAC生成、検証処理については先に説明した図
59を参照されたい。
[0722] Devices and Between the reader writer as the device access apparatus for performing communication with the device (PC other communication devices), operates an exclusive session key stored in both the authentication table session its output value A rule of using as a key is determined, and a session key is calculated based on the rule and used for encrypting communication data. Similarly, another session key shared at the time of mutual authentication, for example, a session key generated at the time of public key authentication, or session key generation data, for example, communication data during a session using the lower 64 bits of the Y coordinate. A MAC value can be added. By transmitting this MAC value together with communication data (which may be encrypted data) and performing MAC verification processing on the receiving side, it is possible to prevent data tampering on the communication path. Refer to FIG. 59 described above for the MAC generation and verification processing.

【0723】あるいは、デバイスとデバイスとの通信を
実行するデバイスアクセス機器としてのリーダライタ
(PC他の通信装置)間における相互認証処理によって
取得された複数のセッション鍵Kses1〜KsesN
の中で、いずれかの1つの鍵(ex.最新のセッション
鍵)を選択してその後の通信処理におけるデータ暗号化
鍵として適用するというルールを設定し、該ルールに従
って、セッション鍵を選択して通信データの暗号化に用
いる構成としてもよい。
[0723] Alternatively, a plurality of session keys Kses1 to KsesN obtained by mutual authentication processing between a reader / writer (a PC or other communication device) as a device access device that executes communication between devices.
, A rule is set that selects any one key (ex. The latest session key) and applies it as a data encryption key in the subsequent communication processing, and selects a session key according to the rule. A configuration used for encrypting communication data may be adopted.

【0724】なお、上述した複数のセッション鍵の演算
による算出、あるいは選択処理は、ファイルアクセス装
置とデバイス間の暗号化通信のみならず、すべてのチケ
ット(PRT,FRT,SPT,DUT)ユーザ(デバ
イスアクセス機器としてのリーダライタなどのデバイス
とのデータ通信を実行する機器)とデバイス間の暗号化
通信処理において、相互認証により複数のセッション鍵
が生成された場合に適用できる。各チケットユーザとデ
バイス相互において、どのようなルールに従って、適用
するセッション鍵を複数のセッション鍵から算出するか
または選択するかについては予めルールとして取り決
め、相互にルールを確認した後実行するか、あるいは各
チケットにルールを記録しておくなどの措置が採用可能
である。
[0724] The above-described calculation or selection processing of a plurality of session keys is performed not only for encrypted communication between the file access device and the device, but also for all tickets (PRT, FRT, SPT, DUT) users (devices). The present invention can be applied to a case where a plurality of session keys are generated by mutual authentication in an encrypted communication process between a device such as a reader / writer as an access device that performs data communication with a device) and the device. According to each ticket user and the device, what rules are to be applied to calculate or select the session key to be applied from a plurality of session keys as a rule in advance, execute after confirming the rules with each other, or Measures such as recording rules in each ticket can be adopted.

【0725】次に、図86、図87を用いてファイルア
クセス装置によるデバイスに対するアクセス処理(図7
9の処理フローにおけるステップS857,869)手
順の代表的例について説明する。
Next, referring to FIGS. 86 and 87, an access process to a device by the file access device (FIG. 7)
A representative example of the procedure in steps S857 and 869 in the processing flow of No. 9 will be described.

【0726】図86を用いて1つのファイルのみに対し
てアクセスを実行する場合の処理(Normal)につ
いて説明し、図87を用いて複数ファイルに対してアク
セスを行なう場合の処理(Combination)に
ついて説明する。
The process (Normal) when accessing only one file will be described with reference to FIG. 86, and the process (Combination) when accessing a plurality of files will be described with reference to FIG. 87. I do.

【0727】まず、図86の1つのファイルのみに対し
てアクセスを実行する場合の処理(Normal)につ
いて説明する。図86のフローにおいて、左側がファイ
ルアクセス装置、右側がデバイス(図5参照)の処理を
示す。なお、ファイルアクセス処理において、ファイル
アクセス装置とデバイス間におけるデータ転送の際に
は、相互認証処理において取得したセッション鍵Kse
s、あるいは複数のセッション鍵から演算マタは選択さ
れたセッション鍵を用いて暗号化され、また改竄チェッ
ク用のMACの生成、検証処理が実行される。
First, the processing (Normal) in the case of executing access to only one file in FIG. 86 will be described. In the flow of FIG. 86, the left side shows the processing of the file access device, and the right side shows the processing of the device (see FIG. 5). In the file access process, when transferring data between the file access device and the device, the session key Kse acquired in the mutual authentication process is used.
From the s or a plurality of session keys, the operation matrices are encrypted using the selected session keys, and a MAC for falsification check is generated and verified.

【0728】ファイルアクセス装置は、ステップS89
1において、アクセスコマンドをデバイスに送信する。
このコマンドは、アクセス対象のファイルID、アクセ
スモードを指定したコマンドであり、例えば先に図83
を用いて説明したようなファイルID[0x0002]
のデータ読み取りコマンド:Read Command
(0x0002)、あるいは、ファイルID[0x00
01]の暗号化コマンド[Encryption Co
mmand(0x0001)]などである。
[0728] The file access device determines in step S89
At 1, send an access command to the device.
This command specifies a file ID to be accessed and an access mode.
File ID [0x0002] as described using
Data read command: Read Command
(0x0002) or file ID [0x00
01] encryption command [Encryption Co
mmand (0x0001)].

【0729】デバイスは、ファイルアクセス装置からの
コマンドを受信(S901)すると、コマンドに含まれ
るファイルID、アクセスモードがファイルオープンテ
ーブルに許可されたエントリとして記録されているか否
かを判定(S902)する。ファイルオープンテーブル
にコマンドに対応するファイルID、アクセスモードの
エントリが存在しない場合は、コマンドに従った処理を
実行せず、アクセスエラーをファイルアクセス装置に送
信(S908)する。
Upon receiving a command from the file access device (S901), the device determines whether or not the file ID and access mode included in the command are recorded as permitted entries in the file open table (S902). . If there is no entry of the file ID and the access mode corresponding to the command in the file open table, the process according to the command is not executed, and an access error is transmitted to the file access device (S908).

【0730】ファイルオープンテーブルにコマンドに対
応するファイルID、アクセスモードのエントリが存在
した場合は、ステップS903において、デバイスのメ
モリ内の対応パーティションのファイル定義ブロック
(FDB)(図24参照)に記録されたファイルアクセ
ス認証方式(Acceptable Authentication Type :特定の
ファイル(File)アクセスを行う際に、指定する認証方
式)を参照し、アクセス対象のファイルに対するアクセ
スコマンドの実行に必要な認証レベル(公開鍵認証を必
要とするか)を確認する。
If the file ID and access mode entry corresponding to the command exists in the file open table, in step S903, it is recorded in the file definition block (FDB) (see FIG. 24) of the corresponding partition in the memory of the device. Refers to the file access authentication method (Acceptable Authentication Type: the authentication method specified when accessing a specific file (File)), and the authentication level (public key authentication) required to execute the access command for the file to be accessed. Is required).

【0731】ステップS903において、ファイル定義
ブロック(FDB)のファイルアクセス認証方式(Acce
ptable Authentication Type)が公開鍵認証を必要とす
る設定である場合は、ステップS904において、アク
セスコマンドに必要な認証レベルの認証としての公開鍵
認証が済んでいるか否かを判定し、認証未了の場合は、
コマンドに従った処理を実行せず、アクセスエラーをフ
ァイルアクセス装置に送信(S908)する。認証の終
了または未了は、相互認証時に設定される認証テーブル
(図51参照)に基づいて判定される。
[0731] In step S903, the file access authentication method (Acce) of the file definition block (FDB) is used.
If the ptable Authentication Type) is a setting that requires public key authentication, in step S904, it is determined whether public key authentication has been completed as the authentication of the authentication level required for the access command. If
An access error is transmitted to the file access device without executing the processing according to the command (S908). Whether the authentication is completed or not completed is determined based on an authentication table (see FIG. 51) set at the time of the mutual authentication.

【0732】ステップS903において、ファイル定義
ブロック(FDB)のファイルアクセス認証方式(Acce
ptable Authentication Type)が公開鍵認証を必要とす
る設定であり、ステップS904において、公開鍵認証
が済んでいると判定された場合、あるいは、ファイル定
義ブロック(FDB)のファイルアクセス認証方式(Ac
ceptable Authentication Type)が公開鍵認証を必要と
しない設定である場合は、次に、ステップS905にお
いて、デバイスのメモリ内の対応パーティションのファ
イル定義ブロック(FDB)(図24参照)に記録され
たファイルアクセス検証方式(Acceptable Verificatio
n Type :特定のファイル(File)アクセスを行う際に、
指定する検証方式)を参照し、アクセス対象のファイル
に対するアクセスコマンドの実行に必要な検証レベル
(公開鍵方式の検証を必要とするか)を確認する。
In step S903, the file access authentication method (Acce
ptable Authentication Type) is a setting that requires public key authentication, and if it is determined in step S904 that the public key authentication has been completed, or if the file access authentication method (Ac) of the file definition block (FDB) is used.
If ceptable Authentication Type does not require public key authentication, then in step S905, the file access recorded in the file definition block (FDB) of the corresponding partition in the memory of the device (see FIG. 24) Verification method (Acceptable Verificatio
n Type: When accessing a specific file (File),
(Verification method to be specified), and confirms the verification level (whether the public key method needs to be verified) required to execute the access command for the file to be accessed.

【0733】ステップS905において、ファイル定義
ブロック(FDB)のファイルアクセス検証方式(Acce
ptable Verification Type)が公開鍵方式のチケット検
証を必要とする設定である場合は、ステップS906に
おいて、アクセスコマンドに必要な検証レベルの検証と
しての公開鍵方式のチケット検証が済んでいるか否かを
判定し、検証未了の場合は、コマンドに従った処理を実
行せず、アクセスエラーをファイルアクセス装置に送信
(S908)する。
[0733] In step S905, the file access verification method (Acce
If the “ptable Verification Type” is a setting that requires public key ticket verification, it is determined in step S906 whether the public key ticket verification as a verification of the verification level required for the access command has been completed. If the verification has not been completed, the process according to the command is not executed, and the access error is transmitted to the file access device (S908).

【0734】ステップS905において、ファイル定義
ブロック(FDB)のファイルアクセス検証方式(Acce
ptable Verification Type)が公開鍵方式のチケット検
証を必要とする設定であり、ステップS906におい
て、公開鍵方式のチケット検証が済んでいると判定され
た場合、あるいは、ファイル定義ブロック(FDB)の
ファイルアクセス検証方式(Acceptable Verification
Type)が公開鍵方式のチケット検証を必要としない設定
である場合は、ステップS907において、ファイルア
クセス装置から受信したアクセスコマンドの処理を実行
し、結果をファイルアクセス装置に送信する。
In step S905, the file access verification method (Acce
ptable Verification Type) is a setting that requires public key ticket verification, and if it is determined in step S906 that the public key ticket verification has been completed, or if file access in the file definition block (FDB) is performed. Verification method (Acceptable Verification
If Type does not require public key ticket verification, in step S907, processing of the access command received from the file access device is executed, and the result is transmitted to the file access device.

【0735】アクセスコマンド結果を受信(S892)
したファイルアクセス装置は、さらに他のファイルアク
セスを実行するか否かを判定(S893)し、他のファ
イルアクセスを実行する場合は、ステップS891以下
を繰り返し実行し、他にファイルアクセスを実行しない
場合は処理を終了する。
[0735] Receive access command result (S892)
The determined file access device determines whether or not to execute another file access (S893). If another file access is to be executed, the steps S891 and subsequent steps are repeated, and no other file access is executed. Ends the processing.

【0736】次に、図87を用いて複数ファイルに対し
てアクセスを行なう場合の処理(Combinatio
n)について説明する。図87のフローにおいて、左側
がファイルアクセス装置、右側がデバイス(図5参照)
の処理を示す。なお、ファイルアクセス処理において、
ファイルアクセス装置とデバイス間におけるデータ転送
の際には、相互認証処理において取得したセッション鍵
Kses、あるいは複数のセッション鍵から演算または
選択されたセッション鍵を用いて暗号化され、また改竄
チェック用のMACの生成、検証処理が実行される。
Next, processing for accessing a plurality of files with reference to FIG. 87 (combination)
n) will be described. In the flow of FIG. 87, the left side is a file access device, and the right side is a device (see FIG. 5).
Is shown. In the file access process,
When data is transferred between the file access device and the device, the data is encrypted using the session key Kses obtained in the mutual authentication process or a session key calculated or selected from a plurality of session keys, and a MAC for falsification check. Are generated and verified.

【0737】ファイルアクセス装置は、ステップS91
1において、アクセスコマンドをデバイスに送信する。
このコマンドは、アクセス対象のファイルID(ソー
ス)、ターゲットファイルID、アクセスモードを指定
したコマンドであり、例えば先に図84を用いて説明し
たような、ソースファイルID[0x0002]に対し
て、ターゲットファイルID[0x0001]の鍵によ
る内部暗号化処理の実行を指定するコマンド[Inte
rnal Encryption Command(0x
0001,0x0002)]などである。
[0737] The file access device, step S91
At 1, send an access command to the device.
This command specifies a file ID (source) to be accessed, a target file ID, and an access mode. For example, for the source file ID [0x0002] described with reference to FIG. Command [Inte that specifies execution of internal encryption processing using the key of file ID [0x0001]
rnal Encryption Command (0x
0001, 0x0002)].

【0738】デバイスは、ファイルアクセス装置からの
コマンドを受信(S921)すると、ファイルオープン
テーブルのターゲットファイルIDのエントリにアクセ
スコマンドの許可があるか否かを判定(S922)す
る。ファイルオープンテーブルのターゲットファイルI
Dのエントリにアクセスコマンドの許可が存在しない場
合は、コマンドに従った処理を実行せず、アクセスエラ
ーをファイルアクセス装置に送信(S934)する。
[0738] Upon receiving the command from the file access device (S921), the device determines whether or not the entry of the target file ID in the file open table has permission for the access command (S922). Target file I of file open table
If there is no access command permission in the entry of D, the process according to the command is not executed, and an access error is transmitted to the file access device (S934).

【0739】ファイルオープンテーブルのターゲットフ
ァイルIDのエントリにアクセスコマンドの許可が存在
した場合は、ステップS923において、デバイスのメ
モリ内の対応パーティションのファイル定義ブロック
(FDB)(図24参照)に記録されたファイルアクセ
ス認証方式(Acceptable Authentication Type :特定の
ファイル(File)アクセスを行う際に、指定する認証方
式)を参照し、アクセス対象のターゲットファイルに対
するアクセスコマンドの実行に必要な認証レベル(公開
鍵認証を必要とするか)を確認する。
If the access command permission exists in the entry of the target file ID of the file open table, in step S923, the file is recorded in the file definition block (FDB) (see FIG. 24) of the corresponding partition in the memory of the device. Refers to the file access authentication method (Acceptable Authentication Type: the authentication method specified when accessing a specific file (File)), and the authentication level (public key authentication) required to execute the access command for the target file to be accessed. Is required).

【0740】ステップS923において、アクセス対象
のターゲットファイルに対して設定されたファイル定義
ブロック(FDB)のファイルアクセス認証方式(Acce
ptable Authentication Type)が公開鍵認証を必要とす
る設定である場合は、ステップS924において、アク
セスコマンドに必要な認証レベルの認証としての公開鍵
認証が済んでいるか否かを判定し、認証未了の場合は、
コマンドに従った処理を実行せず、アクセスエラーをフ
ァイルアクセス装置に送信(S934)する。認証の終
了または未了は、相互認証時に設定される認証テーブル
(図51参照)に基づいて判定される。
In step S923, the file access authentication method (Acce) of the file definition block (FDB) set for the target file to be accessed is set.
If ptable Authentication Type) is a setting that requires public key authentication, in step S924, it is determined whether public key authentication has been completed as the authentication of the authentication level required for the access command. If
An access error is transmitted to the file access device without executing the processing according to the command (S934). Whether the authentication is completed or not completed is determined based on an authentication table (see FIG. 51) set at the time of the mutual authentication.

【0741】ステップS923において、アクセス対象
のターゲットファイルに対して設定されたファイル定義
ブロック(FDB)のファイルアクセス認証方式(Acce
ptable Authentication Type)が公開鍵認証を必要とす
る設定であり、ステップS924において、公開鍵認証
が済んでいると判定された場合、あるいは、ファイル定
義ブロック(FDB)のファイルアクセス認証方式(Ac
ceptable Authentication Type)が公開鍵認証を必要と
しない設定である場合は、次に、ステップS925にお
いて、デバイスのメモリ内の対応パーティションのファ
イル定義ブロック(FDB)(図24参照)に記録され
たファイルアクセス検証方式(Acceptable Verificatio
n Type :特定のファイル(File)アクセスを行う際に、
指定する検証方式)を参照し、アクセス対象のターゲッ
トファイルに対するアクセスコマンドの実行に必要な検
証レベル(公開鍵方式の検証を必要とするか)を確認す
る。
[0741] In step S923, the file access authentication method (Acce) of the file definition block (FDB) set for the target file to be accessed is set.
ptable Authentication Type) is a setting that requires public key authentication, and it is determined in step S924 that the public key authentication has been completed, or the file access authentication method (Ac) of the file definition block (FDB)
If the ceptable Authentication Type does not require public key authentication, then in step S925, the file access recorded in the file definition block (FDB) (see FIG. 24) of the corresponding partition in the memory of the device. Verification method (Acceptable Verificatio
n Type: When accessing a specific file (File),
(Verification method to be specified), and confirms the verification level (whether the public key method needs to be verified) required to execute the access command for the target file to be accessed.

【0742】ステップS925において、アクセス対象
のターゲットファイルに対して設定されたファイル定義
ブロック(FDB)のファイルアクセス検証方式(Acce
ptable Verification Type)が公開鍵方式のチケット検
証を必要とする設定である場合は、ステップS926に
おいて、アクセスコマンドに必要な検証レベルの検証と
しての公開鍵方式のチケット検証が済んでいるか否かを
判定し、検証未了の場合は、コマンドに従った処理を実
行せず、アクセスエラーをファイルアクセス装置に送信
(S934)する。
In step S925, the file access verification method (Acce) of the file definition block (FDB) set for the target file to be accessed is set.
If the “ptable Verification Type” is a setting that requires public key ticket verification, it is determined in step S 926 whether the public key ticket verification as the verification of the verification level required for the access command has been completed. However, if the verification has not been completed, the process according to the command is not executed, and an access error is transmitted to the file access device (S934).

【0743】ステップS925において、アクセス対象
のターゲットファイルに対して設定されたファイル定義
ブロック(FDB)のファイルアクセス検証方式(Acce
ptable Verification Type)が公開鍵方式のチケット検
証を必要とする設定であり、ステップS926におい
て、公開鍵方式のチケット検証が済んでいると判定され
た場合、あるいは、ファイル定義ブロック(FDB)の
ファイルアクセス検証方式(Acceptable Verification
Type)が公開鍵方式のチケット検証を必要としない設定
である場合は、次に、ステップS927において、アク
セスコマンドに含まれるターゲットファイルIDによっ
て指定されるファイルのアクセス方法(Read/Write)を
コマンドに基づいて確認する。
In step S925, the file access verification method (Acce) of the file definition block (FDB) set for the target file to be accessed
ptable Verification Type) is a setting requiring public key ticket verification, and if it is determined in step S926 that the public key ticket verification has been completed, or if file access of the file definition block (FDB) is performed. Verification method (Acceptable Verification
If (Type) is a setting that does not require public key ticket verification, then in step S927, the access method (Read / Write) of the file specified by the target file ID included in the access command is set to the command. Check based on

【0744】デバイスは、ファイルアクセス装置からの
コマンドに含まれるソースファイルIDによって指定さ
れるファイルがアクセスコマンドに含まれるアクセス方
法(Read/Write)に対してオープンしているか否かを判
定(S928)する。ファイルオープンテーブルにコマ
ンド実行のためのアクセス方法(Read/Write)が存在し
ない場合は、コマンドに従った処理を実行せず、アクセ
スエラーをファイルアクセス装置に送信(S934)す
る。
[0744] The device determines whether or not the file specified by the source file ID included in the command from the file access device is open for the access method (Read / Write) included in the access command (S928). I do. If there is no access method (Read / Write) for executing the command in the file open table, the process according to the command is not executed, and an access error is transmitted to the file access device (S934).

【0745】ファイルオープンテーブルにコマンドに対
応するアクセス方法(Read/Write)が存在した場合は、
ステップS929において、デバイスのメモリ内の対応
パーティションのファイル定義ブロック(FDB)(図
24参照)に記録されたファイルアクセス認証方式(Ac
ceptable Authentication Type :特定のファイル(Fil
e)アクセスを行う際に、指定する認証方式)を参照
し、アクセス対象のソースファイルに対するアクセスコ
マンドの実行に必要な認証レベル(公開鍵認証を必要と
するか)を確認する。
If the file open table has an access method (Read / Write) corresponding to the command,
In step S929, the file access authentication method (Ac) recorded in the file definition block (FDB) (see FIG. 24) of the corresponding partition in the memory of the device.
ceptable Authentication Type: Specific file (Fil
e) At the time of access, refer to the specified authentication method) and confirm the authentication level (whether public key authentication is required) required to execute the access command for the source file to be accessed.

【0746】ステップS929において、アクセス対象
のソースファイルに対して設定されたファイル定義ブロ
ック(FDB)のファイルアクセス認証方式(Acceptab
le Authentication Type)が公開鍵認証を必要とする設
定である場合は、ステップS930において、アクセス
コマンドに必要な認証レベルの認証としての公開鍵認証
が済んでいるか否かを判定し、認証未了の場合は、コマ
ンドに従った処理を実行せず、アクセスエラーをファイ
ルアクセス装置に送信(S934)する。認証の終了ま
たは未了は、相互認証時に設定される認証テーブル(図
51参照)に基づいて判定される。
In step S929, the file access authentication method (Acceptab) of the file definition block (FDB) set for the source file to be accessed is set.
If the authentication type is a setting that requires public key authentication, it is determined in step S930 whether or not public key authentication has been completed as the authentication of the authentication level required for the access command. In this case, the process according to the command is not executed, and the access error is transmitted to the file access device (S934). Whether the authentication is completed or not completed is determined based on an authentication table (see FIG. 51) set at the time of the mutual authentication.

【0747】ステップS929において、アクセス対象
のソースファイルに対して設定されたファイル定義ブロ
ック(FDB)のファイルアクセス認証方式(Acceptab
le Authentication Type)が公開鍵認証を必要とする設
定であり、ステップS930において、公開鍵認証が済
んでいると判定された場合、あるいは、ファイル定義ブ
ロック(FDB)のファイルアクセス認証方式(Accept
able AuthenticationType)が公開鍵認証を必要としな
い設定である場合は、次に、ステップS931におい
て、デバイスのメモリ内の対応パーティションのファイ
ル定義ブロック(FDB)(図24参照)に記録された
ファイルアクセス検証方式(Acceptable Verification
Type :特定のファイル(File)アクセスを行う際に、指
定する検証方式)を参照し、アクセス対象のソースファ
イルに対するアクセスコマンドの実行に必要な検証レベ
ル(公開鍵方式の検証を必要とするか)を確認する。
[0747] In step S929, the file access authentication method (Acceptab) of the file definition block (FDB) set for the source file to be accessed is set.
le Authentication Type) is a setting that requires public key authentication. If it is determined in step S930 that public key authentication has been completed, or if the file access authentication method (Accept
If the setting does not require public key authentication, then in step S931, the file access verification recorded in the file definition block (FDB) (see FIG. 24) of the corresponding partition in the memory of the device is determined. Method (Acceptable Verification
Type: The verification level required to execute the access command for the source file to be accessed by referring to the specified verification method when accessing a specific file (File) (whether verification of the public key method is required) Check.

【0748】ステップS931において、アクセス対象
のソースファイルに対して設定されたファイル定義ブロ
ック(FDB)のファイルアクセス検証方式(Acceptab
le Verification Type)が公開鍵方式のチケット検証を
必要とする設定である場合は、ステップS932におい
て、アクセスコマンドに必要な検証レベルの検証として
の公開鍵方式のチケット検証が済んでいるか否かを判定
し、検証未了の場合は、コマンドに従った処理を実行せ
ず、アクセスエラーをファイルアクセス装置に送信(S
934)する。
In step S931, the file access verification method (Acceptab) of the file definition block (FDB) set for the source file to be accessed
If the “le Verification Type” is a setting that requires public key ticket verification, it is determined in step S932 whether the public key ticket verification as verification of the verification level required for the access command has been completed. If the verification has not been completed, an access error is transmitted to the file access device without executing the processing according to the command (S
934).

【0749】ステップS931において、アクセス対象
のソースファイルに対して設定されたファイル定義ブロ
ック(FDB)のファイルアクセス検証方式(Acceptab
le Verification Type)が公開鍵方式のチケット検証を
必要とする設定であり、ステップS932において、公
開鍵方式のチケット検証が済んでいると判定された場
合、あるいは、ファイル定義ブロック(FDB)のファ
イルアクセス検証方式(Acceptable Verification Typ
e)が公開鍵方式のチケット検証を必要としない設定で
ある場合は、ステップS933において、ファイルアク
セス装置から受信したアクセスコマンドの処理を実行
し、結果をファイルアクセス装置に送信する。
[0749] In step S931, the file access verification method (Acceptab) of the file definition block (FDB) set for the source file to be accessed is set.
le Verification Type) is a setting that requires public key ticket verification, and if it is determined in step S932 that public key ticket verification has been completed, or if file access in the file definition block (FDB) has been performed. Verification method (Acceptable Verification Typ
If e) is a setting not requiring public key ticket verification, in step S933, the process of the access command received from the file access device is executed, and the result is transmitted to the file access device.

【0750】アクセスコマンド結果を受信(S912)
したファイルアクセス装置は、さらに他のファイルアク
セスを実行するか否かを判定(S913)し、他のファ
イルアクセスを実行する場合は、ステップS911以下
を繰り返し実行し、他にファイルアクセスを実行しない
場合は処理を終了する。
The access command result is received (S912).
The determined file access device determines whether or not to execute another file access (S913). If another file access is to be executed, the steps S911 and the subsequent steps are repeated, and no other file access is executed. Ends the processing.

【0751】上述したファイルアクセス処理は、ファイ
ル内にある1つのファイル構造によって指定されるデー
タが格納された場合の処理を想定して説明しているが、
異なるファイル構造データを1つのファイル内に格納
し、1つのファイルに対する1つのコマンドにより、上
述の複数ファイルに対するシーケンシャル処理と同様の
処理を実行する構成も可能である。
[0751] The file access processing described above, the data specified are explained by assuming the processing when stored by a single file structure in the file,
It is also possible to store different file structure data in one file and execute the same processing as the above-described sequential processing for a plurality of files by one command for one file.

【0752】図88に1つのファイルに対する1つのコ
マンドにより、1ファイル内のデータに対してシーケン
シャル処理を実行する構成を説明する図を示す。
FIG. 88 is a view for explaining a configuration for executing sequential processing on data in one file by one command for one file.

【0753】ファイルは図に示すように、電子マネーフ
ァイルであり、金額データとしての[Purse]、利
用ログデータとしての「Log」、データに対する暗号
化または復号用の鍵データとしての[Key]から構成
される。
[0753] As shown in the figure, the file is an electronic money file, and includes [Purse] as money data, "Log" as usage log data, and [Key] as key data for encrypting or decrypting data. Be composed.

【0754】例えば、図88(a)に示すように、預け
入れコマンド(Deposit Command)を規定し、ファイル
内の金額データとしての[Purse]にX円を加算
(S941)し、さらに、ファイル内の利用ログデータ
としての「Log」に[Purse]にX円を加算した
記録を書き込む(S942)という2つの処理を実行さ
せる構成とすることが可能である。
For example, as shown in FIG. 88 (a), a deposit command (Deposit Command) is defined, X yen is added to [Purse] as the amount data in the file (S941), and it is possible to adopt a configuration to execute the two processes of [Purse] to write a record obtained by adding the X circle (S942) to "log" as the usage log data.

【0755】先に説明したファイルアクセスモード(図
29参照)の入金系に対応する許容コマンド(図30参
照)として、上述の預け入れコマンド(Deposit Comman
d)を定義し、アクセス許可チケットのファイルアクセ
スモード(File Access Mode)に[入金系]を設定し、
ファイルID(File ID)として、電子マネーを構成する
複合ファイルを指定したアクセス許可チケット(SP
T)を生成して、ファイルアクセス装置からデバイスに
対して送信した後、預け入れコマンド(DepositComman
d)とともに、預け入れ金額データを送信することによ
り、図88(a)に示すようなデバイスにおいて1つの
ファイル内のデータに対するシーケンシャル処理を実行
させることが可能となる。
As the allowable command (see FIG. 30) corresponding to the deposit system in the file access mode (see FIG. 29) described above, the deposit command (Deposit Comman
d), set the file access mode (File Access Mode) of the access permission ticket to "Deposit",
As a file ID (File ID), an access permission ticket (SP
T) is generated and transmitted from the file access device to the device, and then a deposit command (DepositComman
By transmitting the deposit amount data together with d), the device as shown in FIG. 88A can execute the sequential processing on the data in one file.

【0756】また、図88(b)に示すように、レシー
ト生成コマンド(Make Receipt Command)を規定し、フ
ァイル内の金額データとしての[Purse]からX円
を減算(S945)し、さらに、ファイル内の利用ログ
データとしての「Log」に[Purse]からX円を
減算した記録を書き込み(S946)、さらに「Lo
g」にデータに対する暗号化鍵データとしての[Ke
y]を適用して署名をつけて送信する(S947)とい
う3ステップの処理を実行させる構成とすることも可能
である。
As shown in FIG. 88 (b), a receipt generation command (Make Receipt Command) is defined, X yen is subtracted from [Purse] as the amount data in the file (S945), and the file The record obtained by subtracting the X circle from [Purse] is written in “Log” as the use log data in (S946), and “Log” is further written.
g ”as the encryption key data for the data
[3], a three-step process of applying a signature and transmitting (S947) is also possible.

【0757】この場合はファイルアクセスモード(図2
9参照)の出金系に対応する許容コマンド(図30参
照)として、上述のレシート生成コマンド(Make Recei
pt Command)を定義し、アクセス許可チケットのファイ
ルアクセスモード(File Access Mode)に[出金系]を
設定し、ファイルID(File ID)として、電子マネーを
構成する複合ファイルを指定したアクセス許可チケット
(SPT)を生成して、ファイルアクセス装置からデバ
イスに対して送信した後、レシート生成コマンド(Make
Receipt Command)とともに、引き出し金額データを送
信することにより、図88(b)に示すようなデバイス
において1つのファイル内のデータに対するシーケンシ
ャル処理を実行させることが可能となる。
[0757] In this case, file access mode (Fig. 2
9) (see FIG. 30) corresponding to the withdrawal system (see FIG. 30).
pt Command), set the file access mode (File Access Mode) of the access permission ticket to “withdrawal”, and specify the composite file that constitutes electronic money as the file ID (File ID). After generating the (SPT) and transmitting it from the file access device to the device, the receipt generation command (Make
By transmitting the withdrawal amount data together with the Receipt Command), the device as shown in FIG. 88B can execute the sequential processing on the data in one file.

【0758】このようにデバイスは、サービス許可チケ
ット(SPT)に指定された処理ファイルが複合ファイ
ルである場合、アクセス機器からの受領コマンドの処理
対象ファイルを複合ファイル内から選択して処理を実行
する。アクセス機器からのデータ処理コマンドが一連の
複数の処理を含むシーケンス処理コマンドである場合
は、デバイスは、シーケンス処理コマンドに含まれる各
コマンドの処理対象ファイルを、サービス許可チケット
(SPT)によって指定された複合ファイル内から順次
選択して実行する。
[0758] As described above, when the processing file specified in the service permission ticket (SPT) is a composite file, the device selects a file to be processed by the command received from the access device from the composite file and executes the processing. . If the data processing command from the access device is a sequence processing command including a series of multiple processes, the device specifies the processing target file of each command included in the sequence processing command specified by the service permission ticket (SPT). Select and execute sequentially from within the compound file.

【0759】[B4.7.サービス許可チケット(SP
T)を利用したアクセス処理各方式における処理手順]
上述したサービス許可チケット(SPT)を利用したア
クセス処理ファイルの設定登録処理において、パーティ
ションマネージャが管理し、サービス許可チケット(S
PT)ユーザであるデバイスアクセス機器としてのリー
ダライタとデバイス間において、相互認証が実行され、
サービス許可チケット(SPT)に基づくファイルアク
セスがなされる。相互認証処理の態様は、公開鍵相互認
証、共通鍵相互認証の2種類のいずれかであり、またチ
ケット(SPT)の検証処理も公開鍵系の署名検証、共
通鍵系のMAC検証の2種類のいずれかが実行されるこ
とになる。すなわち処理態様としては大きく分けて、 (A)相互認証(公開鍵)、チケット(SPT)検証
(公開鍵) (B)相互認証(公開鍵)、チケット(SPT)検証
(共通鍵) (C)相互認証(共通鍵)、チケット(SPT)検証
(共通鍵) (D)相互認証(共通鍵)、チケット(SPT)検証
(公開鍵) の4態様がある。
[B4.7. Service permission ticket (SP
Processing Procedure in Each Access Processing Method Using T)]
In the access registration file setting and registration process using the service permission ticket (SPT) described above, the partition manager manages the service registration ticket (SPT).
PT) Mutual authentication is performed between a reader / writer as a device access device as a user and a device,
File access based on the service permission ticket (SPT) is performed. The mode of the mutual authentication processing is either public key mutual authentication or common key mutual authentication, and the ticket (SPT) verification processing is also of two types: public key signature verification and common key MAC verification. Will be executed. That is, the processing mode is roughly divided into (A) mutual authentication (public key), ticket (SPT) verification (public key), (B) mutual authentication (public key), ticket (SPT) verification (common key) (C) There are four modes: mutual authentication (common key), ticket (SPT) verification (common key), (D) mutual authentication (common key), and ticket (SPT) verification (public key).

【0760】これらの4態様についての処理を、認証局
(CA(PM))、パーティションマネージャ(P
M)、SPTチケットユーザであるデバイスアクセス機
器としてのリーダライタ、デバイス、各エンティテイ間
において実行されるデータ転送処理を中心として図を用
いて簡潔に説明する。
The processing for these four aspects is performed by a certificate authority (CA (PM)), a partition manager (P
M), a reader / writer as a device access device as an SPT ticket user, a device, and a data transfer process executed between each entity will be briefly described with reference to the drawings.

【0761】(A)相互認証(公開鍵)、チケット(S
PT)検証(公開鍵) まず、相互認証処理に公開鍵方式を適用し、チケット
(SPT)検証に公開鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図89を用いて説明す
る。
(A) Mutual authentication (public key), ticket (S
PT) Verification (Public Key) First, data transfer between entities when a public key method is applied to mutual authentication processing and a public key method is applied to ticket (SPT) verification will be described with reference to FIG.

【0762】図に示す番号順に各エンティテイ間でデー
タ転送が実行される。以下、各番号に従って処理を説明
する。 (1)パーティションマネージャ(PM)の公開鍵証明
書(Cert.PM)の発行、パーティションマネージ
ャ(PM)の公開鍵証明書(Cert.PM)は、パー
ティションマネージャ(PM)からの発行要求により、
登録局(RA)を介した証明書発行手続きによってパー
ティション対応認証局(CA(PAR))から発行され
る。なお、本構成は、パーティションマネージャがサー
ビス許可チケット発行手段(SPT Issuer)を兼ねる
構成であり、サービス許可チケット発行手段(SPT I
ssuer)の公開鍵証明書としてパーティションマネージ
ャ(PM)の公開鍵証明書を使用する構成である。
Data transfer is performed between the entities in the order of the numbers shown in the figure. Hereinafter, the processing will be described according to the respective numbers. (1) Issuing a public key certificate (Cert.PM) of the partition manager (PM), and issuing a public key certificate (Cert.PM) of the partition manager (PM) by an issuance request from the partition manager (PM)
The certificate is issued from the partitioning certificate authority (CA (PAR)) by a certificate issuing procedure via the registration authority (RA). In this configuration, the partition manager also serves as a service permission ticket issuing means (SPT Issuer), and the service permission ticket issuing means (SPTI
The public key certificate of the partition manager (PM) is used as the public key certificate of the ssuer.

【0763】(2)サービス許可チケットユーザ(SP
T User)であるデバイスアクセス機器としてのリーダ
ライタ(R/W)の公開鍵証明書(Cert.RW)の
発行、サービス許可チケットユーザ(SPT User:具
体的には、デバイスに対してチケットを送信するデバイ
スアクセス機器としてのリーダライタ(R/W))の公
開鍵証明書(Cert.R/W)は、サービス許可チケ
ットユーザ(SPT User)であるリーダライタ(R/
W)からの発行要求により、登録局(RA)を介した証
明書発行手続きによってパーティション対応認証局(C
A(PAR))によって発行される。なお、パーティシ
ョンマネージャがサービス許可チケットユーザ(SPT
User)を兼ねる構成も可能であり、その場合は、サー
ビス許可チケットユーザ(SPT User)の公開鍵証明
書としてパーティションマネージャ(PM)の公開鍵証
明書を使用可能である。
(2) Service permission ticket user (SP
T User) issuance of a public key certificate (Cert. RW) of a reader / writer (R / W) as a device access device, and a service permission ticket user (SPT User: specifically, a ticket is transmitted to the device) The public key certificate (Cert.R / W) of the reader / writer (R / W) as the device access device to perform is a reader / writer (R / W) that is a service permission ticket user (SPT User).
W), a certificate issuance procedure via a registration authority (RA) is performed, and a partitioning certificate authority (C) is issued.
A (PAR)). Note that the partition manager uses the service permission ticket user (SPT).
The public key certificate of the partition manager (PM) can be used as the public key certificate of the service permission ticket user (SPT User).

【0764】(3)サービス許可チケット(SPT)の
生成処理 サービス許可チケット(SPT)は、パーティションマ
ネージャの管理するサービス許可チケット発行手段(S
PT Ticket Issuer)により生成される。この場合、公
開鍵方式の署名生成、検証を実行するため、サービス許
可チケット発行手段(SPT Ticket Issuer)の秘密鍵
による署名(Signature)が生成(図12参照)されてS
PTに付加される。
(3) Generating Service Permission Ticket (SPT) The service permission ticket (SPT) is a service permission ticket issuing means (S
PT Ticket Issuer). In this case, a signature (Signature) using a private key of the service permission ticket issuing means (SPT Ticket Issuer) is generated (see FIG. 12) to execute signature generation and verification in the public key system, and the process proceeds to S.
Added to PT.

【0765】(4)SPTおよびサービス許可チケット
発行手段(SPT Ticket Issuer)としてのパーティシ
ョンマネージャ公開鍵証明書(Cert.PM)のサー
ビス許可チケットユーザ(SPT User)であるデバイ
スアクセス機器としてのリーダライタ(R/W)に対す
る供給 パーティションマネージャの管理するサービス許可チケ
ット発行手段(SPTTicket Issuer)により発行され
たサービス許可チケット(SPT)は、サービス許可チ
ケット発行手段(SPT Ticket Issuer)としてのパー
ティションマネージャ公開鍵証明書(Cert.PM)
とともにサービス許可チケットユーザ(SPT User)
であるデバイスアクセス機器としてのリーダライタ(R
/W)に対して送信される。
(4) A reader / writer as a device access device which is a service permission ticket user (SPT User) of a partition manager public key certificate (Cert. PM) as an SPT and a service permission ticket issuing means (SPT Ticket Issuer) R / W) service permission ticket issuing means for management of the supply partition manager for (issued service permission ticket by SPTTicket Issuer) (SPT) is, partition manager public key certificate as a service permission ticket issuing means (SPT Ticket Issuer) (Cert. PM)
With service permission ticket user (SPT User)
Is a reader / writer (R
/ W).

【0766】(5)デバイスアクセス機器としてのリー
ダライタ(R/W)とデバイス間の相互認証 サービス許可チケットユーザ(SPT User)であるリ
ーダライタは、サービス許可チケット発行手段(SPT
Ticket Issuer)の発行したサービス許可チケット(S
PT)に従ったファイルアクセスを実行しようとする対
象のデバイスに対し、チケットユーザ(SPT User)
としてのリーダライタ(R/W)の公開鍵証明書(Ce
rt.RW)をデバイスに送信し、公開鍵方式の相互認
証(図50参照)を実行する。
(5) Mutual authentication between a reader / writer (R / W) as a device access device and a device The reader / writer, which is a service permission ticket user (SPT User), issues service permission ticket issuing means (SPT).
Ticket Issuer) issued service permission ticket (S
(PT), a ticket user (SPT User) for a device to be accessed for file access.
Public key certificate (Ce) of reader / writer (R / W)
rt. RW) to the device, and performs mutual authentication using the public key method (see FIG. 50).

【0767】(6)SPTおよびサービス許可チケット
発行手段(SPT Ticket Issuer)としてのパーティシ
ョンマネージャ公開鍵証明書(Cert.PM)のデバ
イスに対する供給 デバイスアクセス機器としてのリーダライタ(R/W)
とデバイス間の相互認証が成立すると、チケットユーザ
(SPT User)としてのリーダライタ(R/W)は、
デバイスに対してサービス許可チケット(SPT)、お
よびサービス許可チケット発行手段(SPT Ticket Is
suer)としてのパーティションマネージャ公開鍵証明書
(Cert.PM)を送信する。
(6) Supply of Partition Manager Public Key Certificate (Cert. PM) as SPT and Service Permission Ticket Issuing Means (SPT Ticket Issuer) to Device Reader / Writer (R / W) as Device Access Device
When mutual authentication between the device and the device is established, the reader / writer (R / W) as the ticket user (SPT User)
Service permission ticket (SPT) and service permission ticket issuance means (SPT Ticket Is
suer) as a partition manager public key certificate (Cert.PM).

【0768】デバイスは、受信したサービス許可チケッ
ト(SPT)について、(1)チケット発行者(Ticket
Issuer)としてのパーティションマネージャ公開鍵証
明書(Cert.PM)が改竄されたものでない正当な
公開鍵証明書(CERT)であること、(2)チケット
発行者(Ticket Issuer)の公開鍵証明書(CERTP
M)のオプション領域に記録されたコードと、デバイス
内のFDB(File Definition Block)に記録された(S
PTIC)の一致、(3)チケット発行手段(Ticket Issue
r)がリボークされていないこと、(4)受信チケット
(SPT)の署名(Signature)の検証によりチケット
が改竄のないことの確認を実行し、さらに、SPTチケ
ットに格納されたSPTユーザ(チケットユーザとして
のリーダライタ)とチケットユーザ(SPT User)の
公開鍵証明書(Cert.RW)の識別データ(DN)
として記録された識別子またはカテゴリまたはシリアル
(SN)名(DN)の一致を確認し、相互認証済みであ
ることを確認することによりSPTユーザ(デバイスア
クセス機器としてのリーダライタ)の検証(図57、図
58参照)を実行する。
[0768] The device checks (1) the ticket issuer (Ticket) for the received service permission ticket (SPT).
Issuer) is that the partition manager public key certificate (Cert. PM) is a legitimate public key certificate (CERT) that is not falsified, and (2) the public key certificate (Ticket Issuer) of the ticket issuer. CERTP
M) and the code recorded in the FDB (File Definition Block) in the device.
PTIC), (3) Ticket Issue Means (Ticket Issue)
r) is not revoked, and (4) verification of the ticket is not falsified by verifying the signature of the received ticket (SPT). Further, the SPT user (ticket user) stored in the SPT ticket is checked. Data (DN) of the public key certificate (Cert. RW) of the reader / writer as the user and the ticket user (SPT User)
Verification of the SPT user (reader / writer as a device access device) by confirming the match of the identifier or category or serial (SN) name (DN) recorded as 58 (see FIG. 58).

【0769】(7)ファイルアクセス デバイスは、処理対象ファイルにサービス許可チケット
(SPT)に記述されたルールに従ってアクセスを実行
する。
(7) File Access The device accesses the file to be processed according to the rules described in the service permission ticket (SPT).

【0770】以上の処理によって、相互認証(公開
鍵)、チケット(SPT)検証(公開鍵)の各方式に従
ったファイルアクセス処理が実行される。
[0770] Through the above processing, file access processing according to the mutual authentication (public key) and ticket (SPT) verification (public key) methods is executed.

【0771】(B)相互認証(公開鍵)、チケット(S
PT)検証(共通鍵) 次に、相互認証処理に公開鍵方式を適用し、チケット
(SPT)検証に共通鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図90を用いて説明す
る。
(B) Mutual authentication (public key), ticket (S
PT) Verification (Common Key) Next, data transfer between entities when the public key method is applied to the mutual authentication processing and the common key method is applied to the ticket (SPT) verification will be described with reference to FIG.

【0772】図に示す番号順に各エンティテイ間でデー
タ転送が実行される。以下、各番号に従って処理を説明
する。
[0772] Data transfer is performed between the entities in the order shown in the figure. Hereinafter, the processing will be described according to the respective numbers.

【0773】(1)サービス許可チケットユーザ(SP
T User)であるデバイスアクセス機器としてのリーダ
ライタ(R/W)の公開鍵証明書(Cert.RW)の
発行、サービス許可チケットユーザ(SPT User:具
体的には、デバイスに対してチケットを送信するデバイ
スアクセス機器としてのリーダライタ(R/W))の公
開鍵証明書(Cert.R/W)は、サービス許可チケ
ットユーザ(SPT User)であるリーダライタ(R/
W)からの発行要求により、登録局(RA)を介した証
明書発行手続きによってパーティション対応認証局(C
A(PAR))によって発行される。なお、パーティシ
ョンマネージャがサービス許可チケットユーザ(SPT
User)を兼ねる構成も可能であり、その場合は、サー
ビス許可チケットユーザ(SPT User)の公開鍵証明
書としてパーティションマネージャ(PM)の公開鍵証
明書を使用可能である。
(1) Service permission ticket user (SP
T User) issuance of a public key certificate (Cert. RW) of a reader / writer (R / W) as a device access device, and a service permission ticket user (SPT User: specifically, a ticket is transmitted to the device) The public key certificate (Cert.R / W) of the reader / writer (R / W) as the device access device to perform is a reader / writer (R / W) that is a service permission ticket user (SPT User).
W), a certificate issuance procedure via a registration authority (RA) is performed, and a partitioning certificate authority (C) is issued.
A (PAR)). Note that the partition manager uses the service permission ticket user (SPT).
The public key certificate of the partition manager (PM) can be used as the public key certificate of the service permission ticket user (SPT User).

【0774】(2)サービス許可チケット(SPT)の
生成処理 サービス許可チケット(SPT)は、パーティションマ
ネージャの管理するサービス許可チケット発行手段(S
PT Ticket Issuer)により生成される。この場合、共
通鍵方式の検証値としてMAC(Message Authenticatio
n Code)(図59参照)がSPTに付加される。
(2) Generating Service Permission Ticket (SPT) The service permission ticket (SPT) is a service permission ticket issuing means (S
PT Ticket Issuer). In this case, the MAC (Message Authenticatio
n Code) (see FIG. 59) is added to the SPT.

【0775】(3)SPTのサービス許可チケットユー
ザ(SPT User)であるデバイスアクセス機器として
のリーダライタ(R/W)に対する供給 パーティションマネージャの管理するサービス許可チケ
ット発行手段(SPTTicket Issuer)により発行され
たサービス許可チケット(SPT)は、サービス許可チ
ケットユーザ(SPT User)としてのリーダライタ
(R/W)に対して送信される。
[0775] (3) issued by SPT of services permission ticket user (SPT User) in which the reader writer as the device access equipment (R / W) service permission ticket issuing means for managing the supply partition manager for (SPTTicket Issuer) The service permission ticket (SPT) is transmitted to a reader / writer (R / W) as a service permission ticket user (SPT User).

【0776】(4)リーダライタ(R/W)とデバイス
間の相互認証 サービス許可チケットユーザ(SPT User)であるデ
バイスアクセス機器としてのリーダライタは、サービス
許可チケット発行手段(SPT Ticket Issuer)の発行
したサービス許可チケット(SPT)に従ったファイル
アクセスを実行しようとする対象のデバイスに対し、チ
ケットユーザ(SPT User)としてのリーダライタ
(R/W)の公開鍵証明書(Cert.RW)をデバイ
スに送信し、公開鍵方式の相互認証(図50参照)を実
行する。パーティションマネージャ(PM)の公開鍵証
明書を使用可能である。
(4) Mutual authentication between reader / writer (R / W) and device The reader / writer as a device access device which is a service permission ticket user (SPT User) issues service permission ticket issuing means (SPT Ticket Issuer). A public key certificate (Cert. RW) of a reader / writer (R / W) as a ticket user (SPT User) is issued to the device to be accessed for file access according to the service permission ticket (SPT). , And performs public key mutual authentication (see FIG. 50). The public key certificate of the partition manager (PM) can be used.

【0777】(5)SPTのデバイスに対する供給 デバイスアクセス機器としてのリーダライタ(R/W)
とデバイス間の相互認証が成立すると、サービス許可チ
ケットユーザ(SPT User)であるリーダライタは、
デバイスに対してサービス許可チケット(SPT)を送
信する。デバイスは、受信したサービス許可チケット
(SPT)についてMAC検証処理を実行し、SPT発
行者(SPT Issuer)の検証、さらに、SPTチケットに
格納されたSPTユーザ(チケットユーザとしてのリー
ダライタ)とチケットユーザ(SPT User)の公開鍵
証明書(Cert.RW)の識別データ(DN)として
記録された識別子またはカテゴリまたはシリアル(S
N)名(DN)の一致を確認し、相互認証済みであるこ
とを確認することによりSPTユーザ(デバイスアクセ
ス機器としてのリーダライタ)の検証(図57、図58
参照)を実行する。
(5) Supply to SPT device Reader / writer (R / W) as device access device
When mutual authentication between the device and the device is established, the reader / writer, which is a service permission ticket user (SPT User),
A service permission ticket (SPT) is transmitted to the device. The device performs a MAC verification process on the received service permission ticket (SPT), verifies the SPT issuer (SPT Issuer), and further checks the SPT user (a reader / writer as a ticket user) and the ticket user stored in the SPT ticket. (SPT User) identifier or category or serial (S) recorded as the identification data (DN) of the public key certificate (Cert. RW)
N) Verification of the SPT user (reader / writer as a device access device) by confirming that the name (DN) matches and confirming that mutual authentication has been completed (FIGS. 57 and 58)
See).

【0778】(6)ファイルアクセス デバイスは、処理対象ファイルにサービス許可チケット
(SPT)に記述されたルールに従ってアクセスを実行
する。
(6) File Access The device accesses the file to be processed according to the rules described in the service permission ticket (SPT).

【0779】以上の処理によって、相互認証(公開
鍵)、チケット(SPT)検証(共通鍵)の各方式に従
ったファイルアクセス処理が実行される。
[0779] Through the above processing, file access processing according to the mutual authentication (public key) and ticket (SPT) verification (common key) methods is executed.

【0780】(C)相互認証(共通鍵)、チケット(S
PT)検証(共通鍵) 次に、相互認証処理に共通鍵方式を適用し、チケット
(SPT)検証に共通鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図91を用いて説明す
る。
(C) Mutual authentication (common key), ticket (S
PT) Verification (Common Key) Next, data transfer between entities when the common key method is applied to the mutual authentication process and the ticket (SPT) verification is applied will be described with reference to FIG.

【0781】図に示す番号順に各エンティテイ間でデー
タ転送が実行される。以下、各番号に従って処理を説明
する。
Data transfer is performed between the entities in the order of the numbers shown in the figure. Hereinafter, the processing will be described according to the respective numbers.

【0782】(1)サービス許可チケット(SPT)の
生成処理 サービス許可チケット(SPT)は、パーティションマ
ネージャの管理するサービス許可チケット発行手段(S
PT Ticket Issuer)により生成される。この場合、共
通鍵方式の検証値としてMAC(Message Authenticatio
n Code)(図59参照)がSPTに付加される。
(1) Generating Service Permission Ticket (SPT) The service permission ticket (SPT) is a service permission ticket issuing means (S
PT Ticket Issuer). In this case, the MAC (Message Authenticatio
n Code) (see FIG. 59) is added to the SPT.

【0783】(2)SPTのサービス許可チケットユー
ザ(SPT User)に対する供給 パーティションマネージャの管理するサービス許可チケ
ット発行手段(SPTTicket Issuer)により発行され
たサービス許可チケット(SPT)は、サービス許可チ
ケットユーザ(SPT User)であるデバイスアクセス
機器としてのリーダライタに対して送信される。
(2) Supply of SPT to Service Permission Ticket User (SPT User) The service permission ticket (SPT) issued by the service permission ticket issuing means (SPT Ticket Issuer) managed by the partition manager is a service permission ticket user (SPT User). User) is transmitted to a reader / writer as a device access device.

【0784】(3)デバイスアクセス機器としてのリー
ダライタ(R/W)とデバイス間の相互認証 サービス許可チケットユーザ(SPT User)であるデ
バイスアクセス機器としてのリーダライタ(R/W)
は、サービス許可チケット発行手段(SPT Ticket Is
suer)の発行したサービス許可チケット(SPT)に従
ったファイルを生成しようとする対象のデバイスとの間
で、共通鍵方式の相互認証(図53、図54参照)を実
行する。
(3) Reader / writer (R / W) as device access device and reader / writer (R / W) as device access device that is a mutual authentication service permission ticket user (SPT User) between devices
Is a service permission ticket issuing means (SPT Ticket Is
Suer) performs mutual authentication using a common key method (see FIGS. 53 and 54) with a device that is to generate a file in accordance with the service permission ticket (SPT) issued by the device.

【0785】(4)SPTのデバイスに対する供給 デバイスアクセス機器としてのリーダライタ(R/W)
とデバイス間の相互認証が成立すると、サービス許可チ
ケットユーザ(SPT User)であるリーダライタは、
デバイスに対してサービス許可チケット(SPT)を送
信する。デバイスは、受信したサービス許可チケット
(SPT)についてMAC検証処理を実行し、SPT発
行者(SPT Issuer)の検証、さらに、SPTチケットに
格納されたSPTユーザ(チケットユーザとしてのリー
ダライタ)とチケットユーザ(SPT User)の識別子
の一致を確認し、相互認証済みであることを確認するこ
とによりSPTユーザ(デバイスアクセス機器としての
リーダライタ)の検証(図57、図58参照)を実行す
る。
(4) Supply to SPT device Reader / writer (R / W) as device access device
When mutual authentication between the device and the device is established, the reader / writer, which is a service permission ticket user (SPT User),
A service permission ticket (SPT) is transmitted to the device. The device performs MAC verification processing on the received service permission ticket (SPT), verifies the SPT issuer (SPT Issuer), and further checks the SPT user (a reader / writer as a ticket user) and the ticket user stored in the SPT ticket. Verification of the SPT user (a reader / writer as a device access device) is performed by confirming that the identifiers of the (SPT User) match and confirming that mutual authentication has been completed (see FIGS. 57 and 58).

【0786】(5)ファイルアクセス デバイスは、処理対象ファイルにサービス許可チケット
(SPT)に記述されたルールに従ってアクセスを実行
する。
(5) File Access The device accesses the file to be processed according to the rules described in the service permission ticket (SPT).

【0787】以上の処理によって、相互認証(共通
鍵)、チケット(SPT)検証(共通鍵)の各方式に従
ったファイルアクセス処理が実行される。
[0787] Through the above processing, file access processing is performed according to the mutual authentication (common key) and ticket (SPT) verification (common key) methods.

【0788】(D)相互認証(共通鍵)、チケット(S
PT)検証(公開鍵) 次に、相互認証処理に共通鍵方式を適用し、チケット
(SPT)検証に公開鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図92を用いて説明す
る。
(D) Mutual authentication (common key), ticket (S
PT) Verification (Public Key) Next, data transfer between entities when a common key method is applied to mutual authentication processing and a public key method is applied to ticket (SPT) verification will be described with reference to FIG.

【0789】図に示す番号順に各エンティテイ間でデー
タ転送が実行される。以下、各番号に従って処理を説明
する。 (1)パーティションマネージャ(PM)の公開鍵証明
書(Cert.PM)の発行、パーティションマネージ
ャ(PM)の公開鍵証明書(Cert.PM)は、パー
ティションマネージャ(PM)からの発行要求により、
登録局(RA)を介した証明書発行手続きによってパー
ティション対応認証局(CA(PAR))から発行され
る。なお、本構成は、パーティションマネージャがサー
ビス許可チケット発行手段(SPT Issuer)を兼ねる
構成であり、サービス許可チケット発行手段(SPT I
ssuer)の公開鍵証明書としてパーティションマネージ
ャ(PM)の公開鍵証明書を使用する構成である。
Data transfer is performed between the entities in the order shown in the figure. Hereinafter, the processing will be described according to the respective numbers. (1) Issuing a public key certificate (Cert.PM) of the partition manager (PM), and issuing a public key certificate (Cert.PM) of the partition manager (PM) by an issuance request from the partition manager (PM)
The certificate is issued from the partitioning certificate authority (CA (PAR)) by a certificate issuing procedure via the registration authority (RA). In this configuration, the partition manager also serves as a service permission ticket issuing means (SPT Issuer), and the service permission ticket issuing means (SPTI
The public key certificate of the partition manager (PM) is used as the public key certificate of the ssuer.

【0790】(2)サービス許可チケット(SPT)の
生成処理 サービス許可チケット(SPT)は、パーティションマ
ネージャの管理するサービス許可チケット発行手段(S
PT Ticket Issuer)により生成される。この場合、公
開鍵方式の署名生成、検証を実行するため、サービス許
可チケット発行手段(SPT Ticket Issuer)の秘密鍵
による署名(Signature)が生成(図12参照)されてS
PTに付加される。
(2) Generating Service Permission Ticket (SPT) The service permission ticket (SPT) is a service permission ticket issuing means (S
PT Ticket Issuer). In this case, a signature (Signature) using a private key of the service permission ticket issuing means (SPT Ticket Issuer) is generated (see FIG. 12) to execute signature generation and verification in the public key system, and the process proceeds to S.
Added to PT.

【0791】(3)SPTおよびサービス許可チケット
発行手段(SPT Ticket Issuer)としてのパーティシ
ョンマネージャ公開鍵証明書(Cert.PM)のサー
ビス許可チケットユーザ(SPT User)であるデバイ
スアクセス機器としてのリーダライタ(R/W)に対す
る供給 パーティションマネージャの管理するサービス許可チケ
ット発行手段(SPTTicket Issuer)により発行され
たサービス許可チケット(SPT)は、サービス許可チ
ケット発行手段(SPT Ticket Issuer)としてのパー
ティションマネージャ公開鍵証明書(Cert.PM)
とともにサービス許可チケットユーザ(SPT User)
すなわち、デバイスに対してチケットを送信する機器
(ex.デバイスアクセス機器としてのリーダライタ)
に対して送信される。
(3) A reader / writer as a device access device which is a service permission ticket user (SPT User) of a partition manager public key certificate (Cert. PM) as an SPT and a service permission ticket issuing means (SPT Ticket Issuer) R / W) The service permission ticket (SPT) issued by the service permission ticket issuing means (SPT Ticket Issuer) managed by the partition manager is a partition manager public key certificate as the service permission ticket issuing means (SPT Ticket Issuer). (Cert. PM)
With service permission ticket user (SPT User)
That is, a device that transmits a ticket to a device (ex. A reader / writer as a device access device)
Sent to.

【0792】(4)デバイスアクセス機器としてのリー
ダライタ(R/W)とデバイス間の相互認証 サービス許可チケットユーザ(SPT User)であるデ
バイスアクセス機器としてのリーダライタは、サービス
許可チケット発行手段(SPT Ticket Issuer)の発行
したサービス許可チケット(SPT)に従ったファイル
アクセスを実行しようとする対象のデバイスとの間で、
共通鍵方式の相互認証(図53、図54参照)を実行す
る。
(4) Mutual authentication between a reader / writer (R / W) as a device access device and a device A reader / writer as a device access device, which is a service permission ticket user (SPT User), issues service permission ticket issuing means (SPT). Ticket Issuer) issues a service permission ticket (SPT) issued with the target device to execute the file access,
Mutual authentication using a common key method (see FIGS. 53 and 54) is executed.

【0793】(5)SPTおよびサービス許可チケット
発行手段(SPT Ticket Issuer)としてのパーティシ
ョンマネージャ公開鍵証明書(Cert.PM)のデバ
イスに対する供給 リーダライタ(R/W)とデバイス間の相互認証が成立
すると、サービス許可チケットユーザ(SPT User)
であるデバイスアクセス機器としてのリーダライタは、
デバイスに対してサービス許可チケット(SPT)、お
よびサービス許可チケット発行手段(SPT Ticket Is
suer)としてのパーティションマネージャ公開鍵証明書
(Cert.PM)を送信する。
(5) Supply of Partition Manager Public Key Certificate (Cert. PM) as SPT and Service Permission Ticket Issuing Means (SPT Ticket Issuer) to Device Mutual authentication between the reader / writer (R / W) and the device is established. Then, the service permission ticket user (SPT User)
The reader / writer as a device access device is
Service permission ticket (SPT) and service permission ticket issuance means (SPT Ticket Is
suer) as a partition manager public key certificate (Cert.PM).

【0794】デバイスは、受信したサービス許可チケッ
ト(SPT)について、(1)チケット発行者(Ticket
Issuer)としてのパーティションマネージャ公開鍵証
明書(Cert.PM)が改竄されたものでない正当な
公開鍵証明書(CERT)であること、(2)チケット
発行者(Ticket Issuer)としてのパーティションマネ
ージャ公開鍵証明書(Cert.PM)のオプション領
域に記録されたコードと、デバイス内のFDB(File D
efinition Block)に記録されたチケット発行手段コー
ド(SPTIC)の一致、(3)チケット発行手段(Ticket
Issuer)がリボークされていないこと、(4)受信チケ
ット(SPT)の署名(Signature)の検証によりチケ
ットが改竄のないことの確認を実行し、さらに、SPT
チケットに格納されたSPTユーザ(チケットユーザと
してのリーダライタ)とチケットユーザ(SPT Use
r)の識別子の一致を確認し、相互認証済みであること
を確認することによりSPTユーザ(リーダライタ)の
検証(図57、図58参照)を実行する。
The device determines (1) the ticket issuer (Ticket) for the received service permission ticket (SPT).
The partition manager public key certificate (Cert.PM) as the issuer) is a valid public key certificate (CERT) that is not falsified, and (2) the partition manager public key as the ticket issuer (Ticket Issuer) The code recorded in the optional area of the certificate (Cert. PM) and the FDB (File D
e) ticket issuance code (SPTIC) recorded in the efinition Block), (3) Ticket issuance means (Ticket)
Issuer) has not been revoked, and (4) verification of the received ticket (SPT) by verifying the signature (Signature) confirms that the ticket has not been tampered with.
SPT user (reader / writer as ticket user) and ticket user (SPT Use) stored in the ticket
The verification of the SPT user (reader / writer) (see FIGS. 57 and 58) is executed by confirming that the identifiers of r) match and confirming that mutual authentication has been completed.

【0795】(6)ファイルアクセス デバイスは、処理対象ファイルにサービス許可チケット
(SPT)に記述されたルールに従ってアクセスを実行
する。
(6) File Access The device executes access to the file to be processed according to the rules described in the service permission ticket (SPT).

【0796】以上の処理によって、相互認証(共通
鍵)、チケット(SPT)検証(公開鍵)の各方式に従
ったファイルアクセス処理が実行される。
[0796] Through the above processing, file access processing in accordance with the mutual authentication (common key) and ticket (SPT) verification (public key) methods is executed.

【0797】[B5.データアップデートチケット(D
UT)を利用したデバイスのデータ更新処理]次に、デ
ータアップデートチケット(DUT:Data Update Tick
et)を利用したデバイスのデータ更新処理について説明
する。データアップデートチケット(DUT:Data Upd
ate Ticket)は、デバイスに格納された様々なデータの
更新処理を実行する際に適用されるアクセスコントロー
ルチケットである。正当なデータアップデートチケット
(DUT)発行手段(Ticket Issuer)の発行したDU
Tを用い、DUTに記録された手続きに従ってチケット
ユーザ(ex.デバイスアクセス機器としてのリーダラ
イタ)によりデバイスにアクセスすることで、DUTに
記録された制限内でデータ処理を実行することができ
る。
[B5. Data Update Ticket (D
Device Update Process Using UT)] Next, a data update ticket (DUT: Data Update Tick)
The data update process of the device using et) will be described. Data Update Ticket (DUT: Data Upd)
ate Ticket) is an access control ticket applied when updating various data stored in the device. DU issued by a valid data update ticket (DUT) issuing means (Ticket Issuer)
By using T to access a device by a ticket user (ex. A reader / writer as a device access device) according to a procedure recorded in the DUT, data processing can be performed within the restrictions recorded in the DUT.

【0798】なお、前述したように、データアップデー
トチケット(DUT:Data UpdateTicket)は、デバイ
スマネージャの管理するデータ項目の更新処理を実行す
るために適用されるチケットDUT(DEV)と、パー
ティションマネージャの管理するパーティション内のデ
ータ項目の更新処理を実行するために適用されるチケッ
トDUT(PAR)(図32参照)がある。
[0798] As described above, the data update ticket (DUT: Data Update Ticket) is a ticket DUT (DEV) applied to execute an update process of a data item managed by the device manager, and a partition manager management. There is a ticket DUT (PAR) (see FIG. 32) applied to execute the update process of the data item in the partition to be executed.

【0799】デバイスに格納したデータにデータアップ
デートチケット(DUT)を適用してデータ更新を実行
する処理について説明する。図93以下のフロー他の図
面を参照して説明する。なお、データ更新処理には、デ
バイスとデータ更新を実行するデバイスアクセス機器と
してのリーダライタ間における相互認証処理(デバイス
認証またはパーティション認証)、データアップデート
チケット(DUT:Data Update Ticket)の正当性検証
処理が含まれる。
[0799] A process of applying a data update ticket (DUT) to data stored in a device to execute data update will be described. The flow of FIG. 93 and subsequent drawings will be described with reference to other drawings. The data update process includes a mutual authentication process (device authentication or partition authentication) between a device and a reader / writer as a device access device that executes data update, and a data update ticket (DUT: Data Update Ticket) validity verification process. Is included.

【0800】図93に示すデータ更新処理フローについ
て説明する。図93において、左側がデータ更新装置、
右側がデバイス(図5参照)の処理を示す。なお、デー
タ更新装置は、デバイスに対するデータ読み取り書き込
み処理可能な装置(ex.デバイスアクセス機器として
のリーダライタ、PC)であり、図10のデバイスアク
セス機器としてのリーダライタに相当する。まず、図9
3を用いて、データ更新処理の概要を説明し、その後、
当処理に含まれるデータ更新操作の詳細を図94のフロ
ーを用いて説明する。
The data update processing flow shown in FIG. 93 will be described. In FIG. 93, the left side is a data updating device,
The right side shows the processing of the device (see FIG. 5). Note that the data updating device is a device (ex. A reader / writer as a device access device, a PC) that can perform data read / write processing on a device, and corresponds to the reader / writer as a device access device in FIG. First, FIG.
The outline of the data update process will be described using FIG.
Details of the data update operation included in this processing will be described with reference to the flow of FIG.

【0801】まず、図93のステップS951とS96
0において、データ更新装置とデバイス間にでの相互認
証処理が実行される。データ送受信を実行する2つの手
段間では、相互に相手が正しいデータ通信者であるか否
かを確認して、その後に必要なデータ転送を行なうこと
が行われる。相手が正しいデータ通信者であるか否かの
確認処理が相互認証処理である。相互認証処理時にセッ
ション鍵の生成を実行して、生成したセッション鍵を共
有鍵として暗号化処理を実行してデータ送信を行なう。
[0801] First of all, step S951 of FIG. 93 and S96
At 0, a mutual authentication process is performed between the data update device and the device. The two means for executing data transmission / reception mutually confirm whether or not the other party is a correct data communicator, and thereafter perform necessary data transfer. The process of confirming whether the other party is the correct data communicator is the mutual authentication process. A session key is generated at the time of the mutual authentication process, and encryption is performed using the generated session key as a shared key to transmit data.

【0802】相互認証処理については、先のパーティシ
ョン生成、削除処理の欄で説明したと同様の処理であ
り、デバイス認証またはパーティション認証のいずれか
が実行される。それぞれについて共通鍵方式認証、ある
いは公開鍵方式認証処理のいずれかが適用される。この
相互認証処理は、前述の図48〜図56を用いて説明し
たと同様の処理であるので説明を省略する。
The mutual authentication processing is the same processing as described in the section on partition generation and deletion processing, and either device authentication or partition authentication is executed. Either common key authentication or public key authentication processing is applied to each of them. This mutual authentication processing is the same processing as that described with reference to FIGS.

【0803】なお、相互認証処理として実行すべき処理
は、適用するデータアップデートチケット(DUT)
(図32参照)の * Authentication Type :デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any))によって決定される。
[0803] It should be noted that the process should be executed as mutual authentication process, data update ticket to apply (DUT)
(See FIG. 32) * Authentication Type: Determined by the type of mutual authentication of the device (Public key authentication, Common key authentication, or Any (Any)).

【0804】認証処理に失敗した場合(S952,S9
61でNo)は、相互が正当な機器、デバイスであるこ
との確認がとれないことを示し、以下の処理は実行され
ずエラーとして処理は終了する。
If the authentication processing has failed (S952, S9
No at 61) indicates that it is not possible to confirm that they are valid devices and devices, and the following processing is not executed and the processing ends as an error.

【0805】認証処理に成功すると、データ更新装置
は、デバイスに対してデータアップデートチケット(D
UT:Data Update Ticket)を送信する。データアップ
デートチケット(DUT)は、デバイスマネージャまた
はパーティションマネージャの管理下のデータアップデ
ートチケット(DUT)発行手段(DUT Issuer)により
発行されるチケットである。データアップデートチケッ
ト(DUT)は、デバイスに対するアクセス制御チケッ
トであり、先に説明した図32のデータフォーマット構
成を持つチケットである。
[0805] If the authentication process is successful, the data update device sends a data update ticket (D
UT: Data Update Ticket). The data update ticket (DUT) is a ticket issued by a data update ticket (DUT) issuing unit (DUT Issuer) under the control of the device manager or the partition manager. The data update ticket (DUT) is an access control ticket for the device, and has the data format configuration of FIG. 32 described above.

【0806】なお、データアップデートチケット(DU
T)を、チケットユーザに対して送信する際には、公開
鍵方式の場合、データアップデートチケット(DUT)
発行手段(DUT Issuer)の公開鍵証明書(CERT_DUTI)
も一緒に送信する。DUT発行手段の公開鍵証明書(CE
RT_DUTI)の属性(Attribute)は、デバイス内のDKD
B(PUB)(Device Key Definition Block)に記録さ
れたチケット発行手段コード(DUTIC_DEV)やPKDB
(PUB)(Partition Key Definition Block)に記録さ
れたチケット発行手段コード(DUTIC_PAR)の識別子(D
UTIC)と一致する。
Note that the data update ticket (DU)
When transmitting T) to the ticket user, in the case of the public key method, a data update ticket (DUT)
Public key certificate (CERT_DUTI) of issuing means (DUT Issuer)
Also send it together. Public key certificate (CE
RT_DUTI) is the DKD in the device
B (PUB) (Device Key Definition Block) recorded ticket issuing means code (DUTIC_DEV) and PKDB
(PUB) The identifier (D) of the ticket issuing means code (DUTIC_PAR) recorded in (Partition Key Definition Block)
UTIC).

【0807】データアップデートチケット(DUT)を
受信(S962)したデバイスは、受信したチケット
(DUT)の正当性と利用者チェック処理を実行(S9
63)する。チケットの正当性の検証処理は、共通鍵方
式によるMAC検証、あるいは公開鍵方式による署名検
証処理のいずれかを適用して実行される。利用者チェッ
クは、チケットを送信してきた機器(チケット利用者)
の正当性をチェックする処理であり、相互認証が成立済
みであり、認証相手の識別データと、チケットに記録さ
れているチケットユーザ識別子(図32参照)との一致
等を検証する処理として実行される。これらの処理は、
先のパーティション登録チケット(PRT)の適用処理
についての説明中、図57〜図59を用いて説明したと
同様の処理であるので説明を省略する。
[0807] The device that has received the data update ticket (DUT) (S962) executes the validity check of the received ticket (DUT) and the user (S9).
63). The processing for verifying the validity of the ticket is executed by applying either MAC verification using a common key method or signature verification processing using a public key method. User check is the device that sent the ticket (ticket user)
This is a process for checking the validity of the authentication process. Mutual authentication has been established, and is executed as a process for verifying a match between the identification data of the authentication partner and the ticket user identifier (see FIG. 32) recorded in the ticket. You. These processes are
In the above description of the process of applying the partition registration ticket (PRT), the process is the same as that described with reference to FIGS.

【0808】デバイスにおいて、受信チケット(DU
T)の正当性と利用者チェック処理の結果、チケットお
よび利用者の正当なことが確認できなかった場合(S9
64でNo)は、データアップデートチケット(DU
T)受理エラーをデータ更新装置に通知(S968)す
る。チケットおよび利用者の正当なことが確認できた場
合(S964でYes)は、受信したデータアップデー
トチケット(DUT)に記述されたルールに従いデバイ
ス内のメモリ部に格納されたデータ(図33参照)の更
新処理を実行する。この処理の詳細については、別フロ
ーを用いて後段で詳述する。
[0808] In the device, reception ticket (DU
T) When the validity of the ticket and the user cannot be confirmed as a result of the user check processing (S9)
No. 64 is a data update ticket (DU)
T) Notify the data updating device of a reception error (S968). If the ticket and the validity of the user can be confirmed (Yes in S964), the data (see FIG. 33) stored in the memory unit in the device according to the rules described in the received data update ticket (DUT) Execute the update process. Details of this processing will be described later using another flow.

【0809】データアップデートチケット(DUT)の
記述に従って、データの更新処理に成功(S966でY
es)すると、DUT受理成功をデータ更新装置に通知
(S967)する。一方、データの更新処理に失敗(S
966でNo)した場合は、DUT受理エラーをデータ
更新装置に通知(S968)する。
According to the description of the data update ticket (DUT), the data update processing is successful (Y in S966).
es), the DUT reception success is notified to the data updating device (S967). On the other hand, the data update process failed (S
If No in 966, a DUT reception error is notified to the data updating device (S968).

【0810】データ更新装置は、DUT受理結果を受信
(S954)し、DUT処理結果を判定し、DUT受理
結果がエラーである場合(S955でNo)は、エラー
として処理を終了し、DUT受理結果が成功(S955
でYes)である場合はセッションクリアコマンドの送
受信(S956,S969)を実行し、デバイス側に生
成した認証テーブルを破棄(S970)し、処理を終了
する。認証テーブルは、ステップS951,S960の
相互認証処理において生成されるテーブルであり、前述
したパーティション登録チケット(PRT)の適用処理
の項目において説明した構成、すなわち、図51の構成
と同様のものである。
[0810] The data updating device receives the DUT reception result (S954), determines the DUT processing result, and if the DUT reception result is an error (No in S955), ends the processing as an error and terminates the DUT reception result. Succeeded (S955
If Yes, the session clear command is transmitted and received (S956, S969), the authentication table generated on the device side is discarded (S970), and the process ends. The authentication table is a table generated in the mutual authentication process of steps S951 and S960, and has the same configuration as that described in the item of the application process of the partition registration ticket (PRT), that is, the same configuration as that of FIG. .

【0811】このようにデータアップデートチケット
(DUT)を利用して、デバイス内に格納されたデータ
の更新処理が実行される。以下、当処理に含まれるデー
タ更新操作(S965)について、図94を用いて説明
する。
[0811] As described above, the data stored in the device is updated using the data update ticket (DUT). Hereinafter, the data update operation (S965) included in this processing will be described with reference to FIG.

【0812】図94の処理フローは、データアップデー
トチケット(DUT)を受理したデバイスにおいて実行
される処理であり、データアップデートチケット(DU
T)を送信してきた機器との相互認証が成立し、チケッ
トの検証にも成功した以後に実行される。
[0812] The processing flow in Fig. 94 is processing executed in the device that has received the data update ticket (DUT).
This is executed after mutual authentication with the device that transmitted T) has been established and the ticket has been successfully verified.

【0813】まず、ステップS971において、デバイ
スは、データアップデートチケット(DUT)の更新さ
れる古いデータのコード(Old Data Code)から更新対
象データのバージョンを検索する。バージョンは、例え
ば更新対象がデバイスマネージャコード(DMC)であ
れば、デバイス管理情報ブロック(図15参照)にバー
ジョンが記録され、また、パーティションマネージャコ
ード(PMC)であれば、パーティション管理情報ブロ
ック(図20参照)にバージョンが記録されている。ま
た、パーティション登録チケット(PRT)発行手段
(PRT Issuer)のバージョンはデバイス定義ブロッ
ク(図16参照)に含まれる。さらに、リボケーション
リスト(IRL DEV,CRL DEV)などは、リボ
ケーションリスト中にバージョン情報が含まれる。この
ように情報に応じてバージョン情報の格納先が決まって
おり、デバイスは、更新される古いデータのコード(Ol
d Data Code)から更新対象データのバージョンを検索
する。
First, in step S971, the device searches for the version of the data to be updated from the old data code (Old Data Code) of the data update ticket (DUT) to be updated. For example, if the update target is the device manager code (DMC), the version is recorded in the device management information block (see FIG. 15). If the update target is the partition manager code (PMC), the version is recorded in the partition management information block (see FIG. 15). 20) is recorded. The version of the partition registration ticket (PRT) issuing means (PRT Issuer) is included in the device definition block (see FIG. 16). Further, the revocation list (IRL DEV, CRL DEV) includes version information in the revocation list. As described above, the storage destination of the version information is determined according to the information, and the device stores the old data code (Ol
d Data Code) to search for the version of the data to be updated.

【0814】次に、デバイスは、ステップS972にお
いて、データアップデートチケット(DUT)に記録さ
れたデータ更新をする時のバージョン条件[Data Versi
on Rule]を参照し、設定が[Any]であるか否かを
判定する。
Next, in step S972, the device updates the data recorded in the data update ticket (DUT) with the version condition [Data Versi
on Rule], it is determined whether or not the setting is [Any].

【0815】前述したように、データ更新をする時のバ
ージョン条件[Data Version Rule]は、Any, Exact, O
lder の3種類が存在する。Any はバージョン(Versio
n)条件に無関係でデータ更新が可能、Exact は、続く
[Data Version Condition]に指定された値と同じ場合
にデータ更新が可能、Older は、New Data Versionの方
が新しい場合にのみデータ更新が可能となる。なお、バ
ージョン条件[DataVersion Rule]がAny,または Older
の場合は、[Data Version Condition]は使用しない
かもしくは無視する。
[0815] As described above, the version condition [Data Version Rule] for updating data is Any, Exact, O
There are three types of lder. Any is the version (Versio
n) Data can be updated regardless of conditions. Exact can update data when the value specified in the following [Data Version Condition] is the same. Older can update data only when New Data Version is newer. It becomes possible. If the version condition [DataVersion Rule] is Any or Older
In the case of, [Data Version Condition] is not used or ignored.

【0816】データアップデートチケット(DUT)の
[Data Version Rule]の設定が[Any]でない場合
は、バージョン条件[Data Version Rule]に従った処
理を実行する。このステップがS973〜S975であ
る。
If the setting of [Data Version Rule] of the data update ticket (DUT) is not [Any], processing according to the version condition [Data Version Rule] is executed. This step is S973 to S975.

【0817】ステップS973では、データアップデー
トチケット(DUT)のバージョン条件[Data Version
Rule]を参照し、設定が[EXACT]であるか否か
を判定する。[EXACT]は、[Data Version Condi
tion]に指定された値と同じ場合にデータ更新が可能な
ことを示す。設定が[EXACT]である場合、ステッ
プS974で、更新対象データ[Old Data]の
バージョンがデータアップデートチケット(DUT)の
[Data Version Condition]に記録されたバージョン値
と一致するか否かを判定する。一致する場合にのみ次ス
テップに進み、一致しない場合は、更新処理を実行せず
エラー終了とする。
At step S973, the data update ticket (DUT) version condition [Data Version
Rule], it is determined whether or not the setting is [EXACT]. [EXACT] is [Data Version Condi
When the value is the same as the value specified in [Action], it indicates that the data can be updated. If the setting is [EXACT], in step S974, it is determined whether the version of the update target data [Old Data] matches the version value recorded in [Data Version Condition] of the data update ticket (DUT). . The process proceeds to the next step only when they match, and when they do not match, the update process is not executed and the process ends with an error.

【0818】ステップS973で、データアップデート
チケット(DUT)のバージョン条件[Data Version R
ule]が[EXACT]でないと判定された場合は、設
定は[Older]である。[Older]の設定は、
更新対象データ[Old Data]のバージョンよ
り、データアップデートチケット(DUT)の新規デー
タ[New Data]のバージョンを示す[New Data Versio
n]の方が新しい場合にのみ更新をする設定である。こ
の[Older]の設定の場合、ステップS975にお
いて、更新対象データ[Old Data]のバージョ
ンより、データアップデートチケット(DUT)の新規
データ[New Data]のバージョンを示す[New Data Ver
sion]の方が新しいか否かを判定し、新しい場合にのみ
次ステップに進み、一致しない場合は、更新処理を実行
せずエラー終了とする。
At step S973, the version condition [Data Version R] of the data update ticket (DUT) is set.
ule] is not [EXACT], the setting is [Older]. The setting of [Older]
[New Data Versio] indicating the version of new data [New Data] of the data update ticket (DUT) from the version of the update target data [Old Data].
n] is set to update only when it is newer. In the case of this [Older] setting, in step S975, the [New Data Ver] indicating the version of the new data [New Data] of the data update ticket (DUT) from the version of the update target data [Old Data].
sion] is newer, the process proceeds to the next step only when it is newer, and when they do not match, the update process is not executed and the process ends with an error.

【0819】次にデバイスは、ステップS976におい
て、データアップデートチケット(DUT)の[Encryp
ted Flag]を検証する。[Encrypted Flag]は、更新さ
れるデータが暗号化されているか否か(暗号化:Encrypt
ed /非暗号化:none)を示すデータである。[Encrypted
Flag]が更新対象データが非暗号化データであること
を示している場合は、ステップS977において、デー
タアップデートチケット(DUT)の新規データ[New
Data]をデバイスのメモリ部に格納された更新対象旧デ
ータ[Old Data]に置き換える処理を実行し、処理終了
とする。なお、更新対象データに対してバージョンが付
加されている場合は、データアップデートチケット(D
UT:Data Update Ticket)に格納されている更新する
データのバージョン(New Data Version)を、デバイス
内の更新データに対応して設定されているバージョン格
納領域に格納する処理を実行する。
Next, in step S976, the device sets the data update ticket (DUT) [Encryp
ted Flag]. [Encrypted Flag] indicates whether data to be updated is encrypted (encryption: Encrypt
ed / unencrypted: none). [Encrypted
Flag] indicates that the data to be updated is non-encrypted data, the new data [New] of the data update ticket (DUT) is determined in step S977.
[Data] is replaced with the old data to be updated [Old Data] stored in the memory unit of the device, and the process ends. If a version is added to the update target data, the data update ticket (D
A process for storing the version (New Data Version) of the data to be updated stored in the UT (Data Update Ticket) in the version storage area set corresponding to the update data in the device is executed.

【0820】また、ステップS976において、データ
アップデートチケット(DUT)の[Encrypted Flag]
が、更新されるデータが暗号化されている(暗号化:Enc
rypted)ことを示していると判定された場合は、ステッ
プS978において、データアップデートチケット(D
UT)の[Ticket Type]を検証する。[Ticket Type]
は、チケット(Ticket)の種別(DUT(DEV)/D
UT(PAR))を示すデータである。DUT(DE
V)は、データアップデートチケット(DUT)が、デ
バイスマネージャの管理するデータ項目の更新処理を実
行するチケットあることを示し、DUT(PAR)は、
パーティションマネージャの管理するパーティション内
のデータ項目の更新処理を実行するために適用されるチ
ケットであることを示してる。
[0820] In step S976, the [Encrypted Flag] of the data update ticket (DUT) is read.
But the data to be updated is encrypted (encryption: Enc
rypted), in step S978, the data update ticket (D
Verify [Ticket Type] of (UT). [Ticket Type]
Is the type of ticket (Ticket) (DUT (DEV) / D
UT (PAR)). DUT (DE
V) indicates that the data update ticket (DUT) is a ticket for executing the update processing of the data item managed by the device manager, and the DUT (PAR)
This indicates that the ticket is applied to execute an update process of a data item in a partition managed by the partition manager.

【0821】チケットタイプ[Ticket Type]が、DU
T(DEV)を示している場合、ステップS979〜S
982を実行し、DUT(PAR)を示している場合、
ステップS983〜S986を実行する。
[0821] If the ticket type [Ticket Type] is DU
If T (DEV) is indicated, steps S979 to S979
Execute 982 and show DUT (PAR),
Steps S983 to S986 are executed.

【0822】チケットタイプ[Ticket Type]が、DU
T(DEV)を示している場合、ステップS979にお
いて、データアップデートチケット(DUT(DE
V))に記述されたOld Data Code(更新される古いデ
ータのコード)の示すデータがデバイス鍵領域(図18
参照)に格納されたKdut_DEV1(データアップデートチ
ケット(DUT)のMAC検証用鍵)または、Kdut_DEV
2(データ更新用暗号鍵)であるか否かを判定する。
[0822] If the ticket type [Ticket Type] is DU,
If T (DEV) is indicated, in step S979, the data update ticket (DUT (DEV)
The data indicated by the Old Data Code (code of old data to be updated) described in (V)) is stored in the device key area (FIG.
Kdut_DEV1 (data verification ticket (DUT) MAC verification key) or Kdut_DEV
2 (data update encryption key).

【0823】データアップデートチケット(DUT(D
EV))に記述されたOld Data Code(更新される古い
データのコード)の示すデータがデバイス鍵領域(図1
8参照)に格納されたKdut_DEV1(データアップデート
チケット(DUT)のMAC検証用鍵)、Kdut_DEV2
(データ更新用暗号鍵)である場合は、ステップS98
0において、デバイスのデバイス鍵領域(図18参照)
に格納されたKdut_DEV4(データ更新用暗号鍵)を用い
て、データアップデートチケット(DUT(DEV))
に格納された新規データ[New Data]としてのKdut_DEV
1、Kdut_DEV2を復号し、デバイスのデバイス鍵領域に格
納されたKdut_DEV1、Kdut_DEV2に上書きする。なお、デ
ータアップデートチケット(DUT(DEV))に格納
されている更新するデータのバージョン(New Data Ver
sion)を、デバイス内の更新データに対応して設定され
ているバージョン格納領域、この場合は、デバイスのデ
バイス鍵領域(図18参照)に格納する処理を併せて実
行する。
[0823] The data update ticket (DUT (D
EV)), the data indicated by the Old Data Code (code of the old data to be updated) described in the device key area (FIG. 1).
8), Kdut_DEV2 (key for verifying the MAC of the data update ticket (DUT)), Kdut_DEV2
If it is (the data update encryption key), the process proceeds to step S98.
0, the device key area of the device (see FIG. 18)
Data update ticket (DUT (DEV)) using Kdut_DEV4 (encryption key for data update) stored in
KDEV_DEV as new data [New Data] stored in
1. Decrypt Kdut_DEV2 and overwrite Kdut_DEV1 and Kdut_DEV2 stored in the device key area of the device. The version (New Data Ver.) Of the data to be updated stored in the data update ticket (DUT (DEV))
is stored in the version storage area set in correspondence with the update data in the device, in this case, the device key area of the device (see FIG. 18).

【0824】次に、ステップS981において、デバイ
スのデバイス鍵領域(図18参照)に格納されたKdut_D
EV1(データアップデートチケット(DUT)のMAC
検証用鍵)と、Kdut_DEV3(データアップデートチケッ
ト(DUT)のMAC検証用鍵)とのスワップ、すなわ
ち入れ替え処理を行ない、また、Kdut_DEV2(データ更
新用暗号鍵)と、Kdut_DEV4(データ更新用暗号鍵)と
のスワップ、すなわち入れ替え処理を行なって処理を終
了する。
Next, in step S981, Kdut_D stored in the device key area of the device (see FIG. 18)
EV1 (MAC of Data Update Ticket (DUT)
A swap between the verification key) and Kdut_DEV3 (a MAC key for the data update ticket (DUT)), that is, a replacement process is performed, and Kdut_DEV2 (a data update encryption key) and Kdut_DEV4 (a data update encryption key) are performed. , That is, a swap process, and the process ends.

【0825】なお、Kdut_DEV1と、Kdut_DEV3とのスワッ
プ、および、Kdut_DEV2と、Kdut_DEV4とのスワップ処理
によって、常にKdut_DEV3(データアップデートチケッ
ト(DUT)のMAC検証用鍵)、Kdut_DEV4(データ
更新用暗号鍵)のペアがKdut_DEV1(データアップデー
トチケット(DUT)のMAC検証用鍵)、Kdut_DEV2
(データ更新用暗号鍵)のペアよりも新しいバージョン
のものに維持され、書き換え対象を、常にKdut_DEV1、K
dut_DEV2として設定した処理が可能となる。
[0825] By swapping Kdut_DEV1 and Kdut_DEV3 and swapping Kdut_DEV2 and Kdut_DEV4, Kdut_DEV3 (MAC key for data update ticket (DUT)) and Kdut_DEV4 (encryption key for data update) are always processed. pair Kdut_DEV1 (MAC verification key of the data update ticket (DUT)), Kdut_DEV2
(Data update encryption key) pair is maintained at a newer version, and the rewrite target is always Kdut_DEV1, Kdut
The processing set as dut_DEV2 becomes possible.

【0826】なお、ステップS979において、データ
アップデートチケット(DUT(DEV))に記述され
たOld Data Code(更新される古いデータのコード)の
示すデータがデバイス鍵領域(図18参照)に格納され
たKdut_DEV1(データアップデートチケット(DUT)
のMAC検証用鍵)、Kdut_DEV2(データ更新用暗号
鍵)でない場合は、ステップS982において、デバイ
スのデバイス鍵領域(図18参照)に格納されたKdut_D
EV2(データ更新用暗号鍵)を用いて、データアップデ
ートチケット(DUT(DEV))に格納された新規デ
ータ[New Data]を復号し、データアップデートチケッ
ト(DUT(DEV))のOld Data code(更新される
古いデータのコード)の示すエリアに上書きする。な
お、更新対象データに対してバージョンが付加されてい
る場合は、データアップデートチケット(DUT(DE
V))に格納されている更新するデータのバージョン
(New Data Version)を、デバイス内の更新データに対
応して設定されているバージョン格納領域に格納する処
理を実行する。
[0827] In step S979, the data indicated by the Old Data Code (the code of the old data to be updated) described in the data update ticket (DUT (DEV)) is stored in the device key area (see Fig. 18). Kdut_DEV1 (Data update ticket (DUT)
If it is not Kdut_DEV2 (data update encryption key), then in step S982, Kdut_D stored in the device key area of the device (see FIG. 18).
The new data [New Data] stored in the data update ticket (DUT (DEV)) is decrypted using EV2 (data update encryption key), and the old data code (update) of the data update ticket (DUT (DEV)) is updated. Overwriting the area indicated by the old data code). If a version is added to the update target data, the data update ticket (DUT (DE
V)), a process of storing the version of the data to be updated (New Data Version) stored in the version storage area set corresponding to the update data in the device is executed.

【0827】一方、ステップS978において、チケッ
トタイプ[Ticket Type]が、DUT(PAR)を示し
ている場合、ステップS983〜S986を実行する。
[0827] On the other hand, if the ticket type [Ticket Type] indicates DUT (PAR) in step S978, steps S983 to S986 are executed.

【0828】チケットタイプ[Ticket Type]が、DU
T(PAR)を示している場合、ステップS983にお
いて、データアップデートチケット(DUT(PA
R))に記述されたOld Data Code(更新される古いデ
ータのコード)の示すデータがパーティション鍵領域
(図23参照)に格納されたKdut_PAR1(データアップ
デートチケット(DUT)のMAC検証用鍵)または、
Kdut_PAR2(データ更新用暗号鍵)であるか否かを判定
する。
[0827] If the ticket type [Ticket Type] is DU
If T (PAR) is indicated, in step S983, the data update ticket (DUT (PA
R)) indicates Kdut_PAR1 (the MAC key of the data update ticket (DUT)) stored in the partition key area (see FIG. 23) or the data indicated by the Old Data Code (the code of the old data to be updated) described in ,
It is determined whether or not it is Kdut_PAR2 (data update encryption key).

【0829】データアップデートチケット(DUT(P
AR))に記述されたOld Data Code(更新される古い
データのコード)の示すデータがパーティション鍵領域
(図23参照)に格納されたKdut_PAR1(データアップ
デートチケット(DUT)のMAC検証用鍵)、Kdut_P
AR2(データ更新用暗号鍵)である場合は、ステップS
984において、デバイスのパーティション鍵領域(図
23参照)に格納されたKdut_PAR4(データ更新用暗号
鍵)を用いて、データアップデートチケット(DUT
(PAR))に格納された新規データ[New Data]とし
てのKdut_PAR1、Kdut_PAR2を復号し、デバイスのパーテ
ィション鍵領域に格納されたKdut_PAR1、Kdut_PAR2に上
書きする。なお、データアップデートチケット(DUT
(PAR))に格納されている更新するデータのバージ
ョン(New Data Version)を、デバイス内の更新データ
に対応して設定されているバージョン格納領域、この場
合は、デバイスのパーティション鍵領域(図23参照)
に格納する処理を併せて実行する。
[0827] The data update ticket (DUT (P
AR)), Kdut_PAR1 (MAC key of the data update ticket (DUT)) stored in the partition key area (see FIG. 23) of the data indicated by the Old Data Code (code of the old data to be updated), Kdut_P
If it is AR2 (encryption key for data update), step S
In 984, a data update ticket (DUT) is created using Kdut_PAR4 (encryption key for data update) stored in the partition key area (see FIG. 23) of the device.
(PAR)), and decrypts Kdut_PAR1 and Kdut_PAR2 as new data [New Data], and overwrites Kdut_PAR1 and Kdut_PAR2 stored in the partition key area of the device. The data update ticket (DUT
(PAR)), the version (New Data Version) of the data to be updated is stored in the version storage area set corresponding to the update data in the device, in this case, the partition key area of the device (FIG. 23). reference)
Is also executed.

【0830】次に、ステップS985において、デバイ
スのパーティション鍵領域(図23参照)に格納された
Kdut_PAR1(データアップデートチケット(DUT)の
MAC検証用鍵)と、Kdut_PAR3(データアップデート
チケット(DUT)のMAC検証用鍵)とのスワップ、
すなわち入れ替え処理を行ない、また、Kdut_PAR2(デ
ータ更新用暗号鍵)と、Kdut_PAR4(データ更新用暗号
鍵)とのスワップ、すなわち入れ替え処理を行なって処
理を終了する。
Next, in step S985, the data stored in the partition key area (see FIG. 23) of the device is read.
Swap between Kdut_PAR1 (MAC key for data update ticket (DUT)) and Kdut_PAR3 (MAC key for data update ticket (DUT))
That is, the exchange process is performed, and swap between Kdut_PAR2 (data update encryption key) and Kdut_PAR4 (data update encryption key), that is, the exchange process is performed, and the process ends.

【0831】なお、Kdut_PAR1と、Kdut_PAR3とのスワッ
プ、および、Kdut_ PARV2と、Kdut_PAR4とのスワップ処
理によって、常にKdut_PAR3(データアップデートチケ
ット(DUT)のMAC検証用鍵)、Kdut_PAR4(デー
タ更新用暗号鍵)のペアがKdut_PAR1(データアップデ
ートチケット(DUT)のMAC検証用鍵)、Kdut_PAR
2(データ更新用暗号鍵)のペアよりも新しいバージョ
ンのものに維持され、書き換え対象を、常にKdut_PAR
1、Kdut_PAR2として設定した処理が可能となる。
[0831] By swapping Kdut_PAR1 and Kdut_PAR3, and swapping Kdut_PARV2 and Kdut_PAR4, Kdut_PAR3 (MAC key for data update ticket (DUT) MAC verification) and Kdut_PAR4 (encryption key for data update) are always used. Is a pair of Kdut_PAR1 (data update ticket (DUT) MAC verification key), Kdut_PAR
Kdut_PAR is maintained at a newer version than pair 2 (encryption key for data update).
1. The processing set as Kdut_PAR2 becomes possible.

【0832】なお、ステップS983において、データ
アップデートチケット(DUT(PAR))に記述され
たOld Data Code(更新される古いデータのコード)の
示すデータがデバイス鍵領域(図18参照)に格納され
たKdut_DEV1(データアップデートチケット(DUT)
のMAC検証用鍵)、Kdut_DEV2(データ更新用暗号
鍵)でない場合は、ステップS986において、デバイ
スのパーティション鍵領域(図23参照)に格納された
Kdut_PAR2(データ更新用暗号鍵)を用いて、データア
ップデートチケット(DUT(PAR))に格納された
新規データ[NewData]を復号し、データアップデート
チケット(DUT(PAR))のOld DataCode(更新さ
れる古いデータのコード)の示すエリアに上書きする。
なお、更新対象データに対してバージョンが付加されて
いる場合は、データアップデートチケット(DUT(P
AR))に格納されている更新するデータのバージョン
(New Data Version)を、デバイス内の更新データに対
応して設定されているバージョン格納領域に格納する処
理を実行する。
[0832] In step S983, data indicated by Old Data Code (code of old data to be updated) described in the data update ticket (DUT (PAR)) is stored in the device key area (see Fig. 18). Kdut_DEV1 (Data update ticket (DUT)
If it is not Kdut_DEV2 (data update encryption key), it is stored in the partition key area of the device (see FIG. 23) in step S986.
The new data [NewData] stored in the data update ticket (DUT (PAR)) is decrypted using Kdut_PAR2 (data update encryption key), and the Old DataCode (updated) of the data update ticket (DUT (PAR)) is decrypted. Overwrite the area indicated by the old data code).
If a version is added to the data to be updated, the data update ticket (DUT (PUT
AR)), the version of the data to be updated (New Data Version) is stored in the version storage area set corresponding to the update data in the device.

【0833】以上の処理がデバイスにおいて実行される
データフップデートチケットに基づくデータ更新操作で
ある。
The above processing is a data update operation based on a data hop date ticket executed in the device.

【0834】上述したフローから理解されるように、更
新対象データがデバイス鍵領域に格納された Kdut_DEV1(データアップデートチケット(DUT)の
MAC検証用鍵) Kdut_DEV2(データ更新用暗号鍵) または、パーティション鍵領域に格納された Kdut_PAR1(データアップデートチケット(DUT)の
MAC検証用鍵) Kdut_PAR2(データ更新用暗号鍵) である場合には、他の更新処理と異なる処理を実行す
る。
As understood from the flow described above, Kdut_DEV1 (a key for verifying the MAC of the data update ticket (DUT)) in which the data to be updated is stored in the device key area Kdut_DEV2 (an encryption key for data update) or a partition key If Kdut_PAR1 (data update ticket (DUT) MAC verification key) Kdut_PAR2 (data update encryption key) stored in the area, a process different from other update processes is executed.

【0835】これらのKdut_DEV1(データアップデート
チケット(DUT)のMAC検証用鍵)、Kdut_DEV2
(データ更新用暗号鍵)、Kdut_PAR1(データアップデ
ートチケット(DUT)のMAC検証用鍵)、Kdut_PAR
2(データ更新用暗号鍵)についての更新処理を簡潔に
まとめた図を図95に示し、処理について説明する。図
95の(1)〜(3)の順に説明する。なお、処理は、
Kdut_DEV1,2と、Kdut_PAR1,2とで同様のものであるの
で、Kdut_DEV1,2を更新する場合について説明する。
[0832] These Kdut_DEV1 (the MAC key of the data update ticket (DUT)), Kdut_DEV2
(Data update encryption key), Kdut_PAR1 (Data update ticket (DUT) MAC verification key), Kdut_PAR
FIG. 95 shows a brief summary of the update process for 2 (data update encryption key), and the process will be described. Description will be made in the order of (1) to (3) in FIG. The processing is
Since Kdut_DEV1,2 is the same as Kdut_PAR1,2, a case where Kdut_DEV1,2 is updated will be described.

【0836】(1)データアップデートチケット(DU
T)に格納する新規データ[New Data]としてのKdut_D
EV1、Kdut_DEV2をデバイスのデバイス鍵領域(図18参
照)に格納されたKdut_DEV4(データ更新用暗号鍵)を
用いて暗号化した後、データアップデートチケット(D
UT)に格納し、データアップデートチケット(DU
T)をデバイスに送信する。このとき、Kdut_DEV1、Kdu
t_DEV2を更新できるチケット発行者はKdut_DEV3、Kdut_
DEV4を知らなくてはならない。
(1) Data Update Ticket (DU)
Kdut_D as new data [New Data] to be stored in T)
After EV1 and Kdut_DEV2 are encrypted using Kdut_DEV4 (data update encryption key) stored in the device key area (see FIG. 18) of the device, the data update ticket (D
UT) and a data update ticket (DU)
T) to the device. At this time, Kdut_DEV1, Kdu
Ticket issuers who can update t_DEV2 are Kdut_DEV3, Kdut_
You have to know DEV4.

【0837】(2)データアップデートチケット(DU
T)を受信したデバイスは、デバイスのデバイス鍵領域
に格納されたKdut_DEV4(データ更新用暗号鍵)を用い
て、データアップデートチケット(DUT)の格納新規
データ[New Data]としてのKdut_DEV1、Kdut_DEV2を復
号し、デバイスのデバイス鍵領域に格納されたKdut_DEV
1、Kdut_DEV2に上書きする。
(2) Data Update Ticket (DU)
The device receiving T) decrypts Kdut_DEV1 and Kdut_DEV2 as new data [New Data] stored in the data update ticket (DUT) using Kdut_DEV4 (data update encryption key) stored in the device key area of the device. Kdut_DEV stored in the device key area of the device
1. Overwrite Kdut_DEV2.

【0838】(3)次に、デバイスは、デバイスのデバ
イス鍵領域(図18参照)に新規に格納されたKdut_DEV
1(データアップデートチケット(DUT)のMAC検
証用鍵)と、以前に格納済みのKdut_DEV3(データアッ
プデートチケット(DUT)のMAC検証用鍵)とのス
ワップ、すなわち入れ替え処理を行なう。さらに、新規
に格納されたKdut_DEV2(データ更新用暗号鍵)と、以
前に格納済みのKdut_DEV4(データ更新用暗号鍵)との
スワップ、すなわち入れ替え処理を行なう。
(3) Next, the device stores the Kdut_DEV newly stored in the device key area (see FIG. 18) of the device.
1 (the MAC verification key of the data update ticket (DUT)) and the previously stored Kdut_DEV3 (the MAC verification key of the data update ticket (DUT)) are swapped, that is, replaced. Further, the newly stored Kdut_DEV2 (data update encryption key) is swapped with the previously stored Kdut_DEV4 (data update encryption key), that is, swap processing is performed.

【0839】この、Kdut_DEV1と、Kdut_DEV3とのスワッ
プ、および、Kdut_DEV2と、Kdut_DEV4とのスワップ処理
によって、常にKdut_DEV3(データアップデートチケッ
ト(DUT)のMAC検証用鍵)、Kdut_DEV4(データ
更新用暗号鍵)のペアがKdut_DEV1(データアップデー
トチケット(DUT)のMAC検証用鍵)、Kdut_DEV2
(データ更新用暗号鍵)のペアよりも新しいバージョン
のものに維持される。つまり、Kdut_DEV1と、Kdut_DEV2
の鍵は常に使用される鍵で、Kdut_DEV3と、Kdut_DEV4
は、非常時にKdut_DEV1と、Kdut_DEV2を更新するととも
に、現在使用されているKdut_DEV1と、Kdut_DEV2の鍵に
置き換えられるバックアップ用の鍵としての役割があ
る。
[0839] This swap processing between Kdut_DEV1 and Kdut_DEV3 and swap processing between Kdut_DEV2 and Kdut_DEV4 always causes Kdut_DEV3 (a key for MAC verification of a data update ticket (DUT)) and Kdut_DEV4 (an encryption key for data update). The pair is Kdut_DEV1 (MAC key for data update ticket (DUT) MAC), Kdut_DEV2
It is maintained at a newer version than the (data update encryption key) pair. In other words, Kdut_DEV1 and Kdut_DEV2
Keys are always used keys, Kdut_DEV3 and Kdut_DEV4
Updates the Kdut_DEV1 and Kdut_DEV2 in an emergency, and has a role as a backup key that is replaced with the currently used Kdut_DEV1 and Kdut_DEV2 keys.

【0840】なお、Kdut_DEV1(データアップデートチ
ケット(DUT)のMAC検証用鍵)、Kdut_DEV2(デ
ータ更新用暗号鍵)はペアとして使用され、また、Kdut
_DEV3(データアップデートチケット(DUT)のMA
C検証用鍵)、Kdut_DEV4(データ更新用暗号鍵)もペ
アとして使用される。
[0840] It should be noted, Kdut_DEV1 (MAC verification key of the data update ticket (DUT)), Kdut_DEV2 (encryption key for data update) is used as a pair, also, Kdut
_DEV3 (MA of data update ticket (DUT)
The C verification key) and Kdut_DEV4 (data update encryption key) are also used as a pair.

【0841】以上、特定の実施例を参照しながら、本発
明について詳解してきた。しかしながら、本発明の要旨
を逸脱しない範囲で当業者が該実施例の修正や代用を成
し得ることは自明である。すなわち、例示という形態で
本発明を開示してきたのであり、限定的に解釈されるべ
きではない。本発明の要旨を判断するためには、冒頭に
記載した特許請求の範囲の欄を参酌すべきである。
The present invention has been described in detail with reference to the specific embodiments. However, it is obvious that those skilled in the art can modify or substitute the embodiment without departing from the spirit of the present invention. That is, the present invention has been disclosed by way of example, and should not be construed as limiting. In order to determine the gist of the present invention, the claims described at the beginning should be considered.

【0842】なお、明細書中において説明した一連の処
理はハードウェア、またはソフトウェア、あるいは両者
の複合構成によって実行することが可能である。ソフト
ウェアによる処理を実行する場合は、処理シーケンスを
記録したプログラムを、専用のハードウェアに組み込ま
れたコンピュータ内のメモリにインストールして実行さ
せるか、あるいは、各種処理が実行可能な汎用コンピュ
ータにプログラムをインストールして実行させることが
可能である。
[0832] The series of processes described in the specification can be executed by hardware, software, or a combination of both. When processing by software is performed, the program recording the processing sequence is installed in a memory in a computer built in dedicated hardware and executed, or the program is stored in a general-purpose computer capable of executing various processing. It can be installed and run.

【0843】例えば、プログラムは記録媒体としてのハ
ードディスクやROM(Read OnlyMemory)に予め記録し
ておくことができる。あるいは、プログラムはフロッピ
ーディスク、CD−ROM(Compact Disc Read Only Me
mory),MO(Magneto optical)ディスク,DVD(Digit
al Versatile Disc)、磁気ディスク、半導体メモリなど
のリムーバブル記録媒体に、一時的あるいは永続的に格
納(記録)しておくことができる。このようなリムーバ
ブル記録媒体は、いわゆるパッケージソフトウエアとし
て提供することができる。
For example, the program can be recorded in a hard disk or a ROM (Read Only Memory) as a recording medium in advance. Alternatively, the program is a floppy disk, CD-ROM (Compact Disc Read Only Me
mory), MO (Magneto optical) disk, DVD (Digit
al Versatile Disc), a magnetic disk, a semiconductor memory, etc., can be temporarily or permanently stored (recorded) in a removable recording medium. Such a removable recording medium can be provided as so-called package software.

【0844】なお、プログラムは、上述したようなリム
ーバブル記録媒体からコンピュータにインストールする
他、ダウンロードサイトから、コンピュータに無線転送
したり、LAN(Local Area Network)、インターネット
といったネットワークを介して、コンピュータに有線で
転送し、コンピュータでは、そのようにして転送されて
くるプログラムを受信し、内蔵するハードディスク等の
記録媒体にインストールすることができる。
[0844] The program can be installed in the computer from the above-described removable recording medium, or can be wirelessly transferred from a download site to the computer, or connected to the computer via a network such as a LAN (Local Area Network) or the Internet. The computer can receive the transferred program and install it on a recording medium such as a built-in hard disk.

【0845】なお、明細書に記載された各種の処理は、
記載に従って時系列に実行されるのみならず、処理を実
行する装置の処理能力あるいは必要に応じて並列的にあ
るいは個別に実行されてもよい。また、本明細書におい
てシステムとは、複数の装置の論理的集合構成であり、
各構成の装置が同一筐体内にあるものには限らない。
[0845] The various processes described in the specification are as follows.
It may be executed not only in chronological order according to the description, but also in parallel or individually according to the processing capability of the device that executes the process or as necessary. Also, in this specification, a system is a logical set configuration of a plurality of devices,
The devices of each configuration are not limited to those in the same housing.

【0846】[0846]

【発明の効果】上述したように、本発明のデータアクセ
ス制御システム、メモリ搭載デバイス、およびデータア
クセス制御方法、並びにプログラム記憶媒体によれば、
メモリ搭載デバイスは、アクセス機器からアクセス制御
チケットを受領して、該アクセス制御チケットに記述さ
れた認証ルールに基づく認証の成立、および該アクセス
制御チケットに記述されたアクセス機器の識別データの
確認を条件としてデータアクセスを許容する構成とした
ので、各アクセス毎に様々な認証態様、チケット態様を
設定可能となり、メモリアクセス処理に応じたセキュリ
ティレベルを設定したアクセス管理が実現される。
As described above, according to the data access control system, the memory mounted device, the data access control method, and the program storage medium of the present invention,
The memory-equipped device receives the access control ticket from the access device, and conditioned upon establishment of authentication based on the authentication rule described in the access control ticket and confirmation of the identification data of the access device described in the access control ticket. Since data access is allowed, various authentication modes and ticket modes can be set for each access, and access management with a security level set according to memory access processing is realized.

【0847】さらに、本発明のデータアクセス制御シス
テム、メモリ搭載デバイス、およびデータアクセス制御
方法、並びにプログラム記憶媒体によれば、アクセス制
御チケットにチケットの発行手段および利用手段のカテ
ゴリまたは識別子を格納し、デバイスにおいて検証可能
な構成としたので、高度なセキュリティレベルでのアク
セス管理が可能となる。
Further, according to the data access control system, the memory mounted device, the data access control method, and the program storage medium of the present invention, the category or identifier of the ticket issuing means and the use means is stored in the access control ticket. Since the device can be verified, access control at a high security level can be performed.

【0848】さらに、本発明のデータアクセス制御シス
テム、メモリ搭載デバイス、およびデータアクセス制御
方法、並びにプログラム記憶媒体によれば、複数のパー
ティションに分割されたメモリ領域のアクセスに対し
て、様々な種類のアクセス制御チケットを各デバイスま
たはパーティション管理エンティテイの管理の下に発行
し、各チケットに記述されたルールに基づく処理をメモ
リ搭載デバイスにおいて実行する構成が可能となり、各
パーティション内データの独立した管理構成が実現され
る。
Further, according to the data access control system, the memory mounted device, the data access control method, and the program storage medium of the present invention, various types of access to the memory area divided into a plurality of partitions can be performed. An access control ticket is issued under the management of each device or partition management entity, and processing based on the rules described in each ticket can be executed in the memory-equipped device, enabling an independent management configuration of data in each partition. Is achieved.

【図面の簡単な説明】[Brief description of the drawings]

【図1】本発明のシステム構成の概要を説明するシステ
ム構成概略図(その1)である。
FIG. 1 is a system configuration schematic diagram (part 1) for explaining the outline of the system configuration of the present invention.

【図2】本発明のシステム構成の概要を説明するシステ
ム構成概略図(その2)である。
FIG. 2 is a system configuration schematic diagram (part 2) for explaining the outline of the system configuration of the present invention.

【図3】本発明のシステム構成の具体例を説明するシス
テム構成概略図(その3)である。
FIG. 3 is a system configuration schematic diagram (part 3) for explaining a specific example of the system configuration of the present invention;

【図4】本発明のシステムにおけるアクセス制御チケッ
トの発行手段および利用手段との関係を説明する図であ
る。
FIG. 4 is a diagram illustrating a relationship between an access control ticket issuing unit and a use unit in the system of the present invention.

【図5】本発明のシステムにおけるメモリ部を有するデ
バイス構成を示す図である。
FIG. 5 is a diagram showing a device configuration having a memory unit in the system of the present invention.

【図6】本発明のデバイスのメモリフォーマットを示す
図である。
FIG. 6 is a diagram showing a memory format of the device of the present invention.

【図7】本発明のシステムにおけるデバイスマネージャ
構成を示す図である。
FIG. 7 is a diagram showing a device manager configuration in the system of the present invention.

【図8】本発明のシステムにおけるデバイスマネージャ
の制御手段構成を示す図である。
FIG. 8 is a diagram showing a configuration of control means of a device manager in the system of the present invention.

【図9】本発明のシステムにおけるパーティションマネ
ージャ構成を示す図である。
FIG. 9 is a diagram showing a partition manager configuration in the system of the present invention.

【図10】本発明のシステムにおけるリーダライタ(R
/W)構成を示す図である。
FIG. 10 shows a reader / writer (R) in the system of the present invention.
/ W) is a diagram showing a configuration.

【図11】本発明のシステムにおいて利用可能な公開鍵
証明書のフォーマットを説明する図である。
FIG. 11 is a diagram illustrating a format of a public key certificate that can be used in the system of the present invention.

【図12】本発明のシステムにおいて利用可能な公開鍵
方式の署名生成処理フローを示す図である。
FIG. 12 is a diagram showing a flow of a public key signature generation process that can be used in the system of the present invention.

【図13】本発明のシステムにおいて利用可能な公開鍵
方式の署名検証処理フローを示す図である。
FIG. 13 is a diagram showing a flow of a public key signature verification process usable in the system of the present invention.

【図14】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中の製造情報ブロックのデータ構成を示す図
である。
FIG. 14 is a diagram showing a data configuration of a manufacturing information block in data stored in a memory unit in the device of the present invention.

【図15】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中のデバイス管理情報ブロックのデータ構成
を示す図である。
FIG. 15 is a diagram showing a data configuration of a device management information block in data stored in a memory unit in the device of the present invention.

【図16】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中の公開鍵系デバイス鍵定義ブロックのデー
タ構成を示す図である。
FIG. 16 is a diagram showing a data configuration of a public key device key definition block in data stored in a memory unit in the device of the present invention.

【図17】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中の共通鍵系デバイス鍵定義ブロックのデー
タ構成を示す図である。
FIG. 17 is a diagram showing a data configuration of a common key device key definition block in data stored in a memory unit in the device of the present invention.

【図18】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中のデバイス鍵領域のデータ構成を示す図で
ある。
FIG. 18 is a diagram showing a data configuration of a device key area in data stored in a memory unit in the device of the present invention.

【図19】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中のパーティション定義ブロックのデータ構
成を示す図である。
FIG. 19 is a diagram showing a data configuration of a partition definition block in data stored in a memory unit in the device of the present invention.

【図20】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中のパーティション管理情報ブロックのデー
タ構成を示す図である。
FIG. 20 is a diagram showing a data configuration of a partition management information block in data stored in a memory unit in the device of the present invention.

【図21】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中の公開鍵系パーティション鍵定義ブロック
のデータ構成を示す図である。
FIG. 21 is a diagram showing a data configuration of a public key system partition key definition block in data stored in a memory unit in the device of the present invention.

【図22】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中の共通鍵系パーティション鍵定義ブロック
のデータ構成を示す図である。
FIG. 22 is a diagram showing a data configuration of a common key system partition key definition block in data stored in a memory unit in the device of the present invention.

【図23】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中のパーティション鍵領域のデータ構成を示
す図である。
FIG. 23 is a diagram showing a data configuration of a partition key area in data stored in a memory unit in the device of the present invention.

【図24】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中のファイル定義ブロックのデータ構成を示
す図である。
FIG. 24 is a diagram showing a data configuration of a file definition block in data stored in a memory unit in the device of the present invention.

【図25】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中のファイルの構造のタイプについて説明す
る図である。
FIG. 25 is a diagram illustrating a type of a file structure in data stored in a memory unit in the device of the present invention.

【図26】本発明のシステムにおいて適用されるアクセ
ス制御チケットとしてのパーティション登録チケット
(PRT)のフォーマットを示す図である。
FIG. 26 is a diagram showing a format of a partition registration ticket (PRT) as an access control ticket applied in the system of the present invention.

【図27】本発明のシステムにおいて適用されるアクセ
ス制御チケットとしてのファイル登録チケット(FR
T)のフォーマットを示す図である。
FIG. 27 shows a file registration ticket (FR) as an access control ticket applied in the system of the present invention.
It is a figure which shows the format of T).

【図28】本発明のシステムにおいて適用されるアクセ
ス制御チケットとしてのサービス許可チケット(SP
T)のフォーマット(例1)を示す図である。
FIG. 28 shows a service permission ticket (SP) as an access control ticket applied in the system of the present invention.
FIG. 9 is a diagram showing a format (Example 1) of T).

【図29】本発明のシステムにおいて適用されるアクセ
ス制御チケットとしてのサービス許可チケット(SP
T)を利用したファイルアクセスのモードの種別を説明
する図である。
FIG. 29 shows a service permission ticket (SP) as an access control ticket applied in the system of the present invention.
It is a figure explaining the type of file access mode using T).

【図30】本発明のシステムにおいて適用されるアクセ
ス制御チケットとしてのサービス許可チケット(SP
T)を利用したアクセス対象となるファイル構造を説明
する図である。
FIG. 30 shows a service permission ticket (SP) as an access control ticket applied in the system of the present invention.
FIG. 4 is a diagram illustrating a file structure to be accessed using T).

【図31】本発明のシステムにおいて適用されるアクセ
ス制御チケットとしてのサービス許可チケット(SP
T)のフォーマット(例2)を示す図である。
FIG. 31 shows a service permission ticket (SP) as an access control ticket applied in the system of the present invention.
FIG. 9 is a diagram showing a format (Example 2) of T).

【図32】本発明のシステムにおいて適用されるアクセ
ス制御チケットとしてのデータアップデートチケット
(DUT)のフォーマットを示す図である。
FIG. 32 is a diagram showing a format of a data update ticket (DUT) as an access control ticket applied in the system of the present invention.

【図33】本発明のシステムにおいて適用されるアクセ
ス制御チケットとしてのデータアップデートチケット
(DUT)を利用した更新対象となるデータを説明する
図である。
FIG. 33 is a diagram illustrating data to be updated using a data update ticket (DUT) as an access control ticket applied in the system of the present invention.

【図34】本発明のシステムにおけるデバイス利用まで
の処理概略を説明する図である。
FIG. 34 is a diagram illustrating an outline of processing up to device use in the system of the present invention.

【図35】本発明のシステムにおけるデバイス製造エン
ティテイによるデバイスの初期登録処理フローを示す図
である。
FIG. 35 is a diagram showing a device initial registration processing flow by a device manufacturing entity in the system of the present invention.

【図36】本発明のシステムにおけるデバイスマネージ
ャによるデバイスの初期登録処理フロー(その1)を示
す図である。
FIG. 36 is a diagram showing a device registration processing flow (part 1) by the device manager in the system of the present invention.

【図37】本発明のシステムにおけるデバイスマネージ
ャによるデバイスの初期登録処理フロー(その2)を示
す図である。
FIG. 37 is a diagram showing a device registration process flow (part 2) by the device manager in the system of the present invention.

【図38】本発明のシステムにおけるデバイスマネージ
ャによるデバイスの初期登録処理フロー(その3)を示
す図である。
FIG. 38 is a diagram showing a device registration process flow (part 3) by the device manager in the system of the present invention.

【図39】本発明のシステムにおけるデバイスマネージ
ャによるデバイスの初期登録処理フロー(その4)を示
す図である。
FIG. 39 is a diagram showing a device registration process flow (part 4) by the device manager in the system of the present invention.

【図40】本発明のシステムにおけるデバイスマネージ
ャによるデバイスの初期登録処理フロー(その5)を示
す図である。
FIG. 40 is a diagram showing a device registration process flow (part 5) by the device manager in the system of the present invention.

【図41】本発明のシステムにおけるデバイスマネージ
ャによるデバイスの初期登録処理の後のデバイスの格納
データを説明する図である。
FIG. 41 is a diagram illustrating data stored in a device after device initial registration processing by a device manager in the system of the present invention.

【図42】本発明のシステムにおけるデバイスマネージ
ャによる公開鍵証明書発行処理フロー(その1)を示す
図である。
FIG. 42 is a diagram showing a public key certificate issuance processing flow (part 1) by the device manager in the system of the present invention.

【図43】本発明のシステムにおけるデバイスマネージ
ャによる公開鍵証明書発行処理フロー(その2)を示す
図である。
FIG. 43 is a diagram showing a public key certificate issuance processing flow (part 2) by the device manager in the system of the present invention.

【図44】本発明のシステムにおけるデバイスマネージ
ャによる公開鍵証明書発行処理を説明する図である。
FIG. 44 is a diagram illustrating a public key certificate issuing process by a device manager in the system of the present invention.

【図45】本発明のシステムにおけるデバイスマネージ
ャによる公開鍵証明書発行処理を説明する図である。
FIG. 45 is a diagram illustrating a public key certificate issuing process by a device manager in the system of the present invention.

【図46】本発明のシステムにおけるデバイスマネージ
ャによる公開鍵証明書発行処理後のデバイスの格納デー
タを説明する図である。
FIG. 46 is a diagram illustrating data stored in a device after a public key certificate issuance process by a device manager in the system of the present invention.

【図47】本発明のシステムにおけるデバイスに対する
パーティション生成、削除処理フローを示す図である。
FIG. 47 is a diagram showing a flow of a partition creation / deletion process for a device in the system of the present invention.

【図48】本発明のシステムにおけるデバイスとの相互
認証処理について説明するフロー(その1)である。
FIG. 48 is a flowchart (part 1) for explaining a mutual authentication process with a device in the system of the present invention;

【図49】本発明のシステムにおけるデバイスとの相互
認証処理(デバイス認証)について説明するフロー(そ
の2)である。
FIG. 49 is a flowchart (part 2) for describing a mutual authentication process with a device (device authentication) in the system of the present invention.

【図50】本発明のシステムにおけるデバイスとの公開
鍵方式の相互認証処理について説明する図である。
FIG. 50 is a diagram illustrating a mutual authentication process with a device in a public key system in the system of the present invention.

【図51】本発明のシステムにおけるデバイスとの相互
認証処理後にデバイスに生成される認証テーブルの構成
を説明する図である。
FIG. 51 is a diagram illustrating the configuration of an authentication table generated in a device after mutual authentication processing with a device in the system of the present invention.

【図52】本発明のシステムにおけるデバイスとの相互
認証処理後にリーダライタに生成される認証テーブルの
構成を説明する図である。
FIG. 52 is a diagram illustrating a configuration of an authentication table generated in a reader / writer after a mutual authentication process with a device in the system of the present invention.

【図53】本発明のシステムにおけるデバイスとの共通
鍵方式の相互認証処理について説明する図である。
FIG. 53 is a diagram illustrating a mutual authentication process using a common key method with a device in the system of the present invention.

【図54】本発明のシステムにおけるデバイスとの共通
鍵方式の相互認証処理について説明する図である。
FIG. 54 is a diagram illustrating a mutual authentication process using a common key method with a device in the system of the present invention.

【図55】本発明のシステムにおけるデバイスとの相互
認証処理(パーティション認証)について説明するフロ
ー(その3)である。
FIG. 55 is a flowchart (part 3) for explaining the mutual authentication processing (partition authentication) with a device in the system of the present invention.

【図56】本発明のシステムにおけるデバイスとの相互
認証処理(パーティション認証)について説明するフロ
ー(その4)である。
FIG. 56 is a flowchart (part 4) for explaining the mutual authentication process (partition authentication) with a device in the system of the present invention.

【図57】本発明のシステムにおけるチケットの正当
性、利用者チェック処理について説明するフロー(その
1)である。
FIG. 57 is a flowchart (part 1) illustrating a ticket validity and user check process in the system of the present invention.

【図58】本発明のシステムにおけるチケットの正当
性、利用者チェック処理について説明するフロー(その
2)である。
FIG. 58 is a flowchart (part 2) for explaining the validity of a ticket and the user check process in the system of the present invention.

【図59】本発明のシステムにおけるチケットの正当性
で適用可能なMAC生成方式について説明するフロー
(その1)である。
FIG. 59 is a flowchart (part 1) for explaining a MAC generation method applicable to the validity of a ticket in the system of the present invention.

【図60】本発明のシステムにおけるパーティションの
作成、削除操作について説明するフロー(その1)であ
る。
FIG. 60 is a flowchart (part 1) for describing partition creation and deletion operations in the system of the present invention.

【図61】本発明のシステムにおけるパーティションの
作成、削除操作について説明するフロー(その2)であ
る。
FIG. 61 is a flowchart (part 2) for describing partition creation and deletion operations in the system of the present invention.

【図62】本発明のシステムにおけるパーティションの
初期登録処理について説明するフロー(その1)であ
る。
FIG. 62 is a flowchart (part 1) for describing an initial partition registration process in the system of the present invention;

【図63】本発明のシステムにおけるパーティションの
初期登録処理について説明するフロー(その2)であ
る。
FIG. 63 is a flowchart (part 2) for describing the partition initial registration process in the system of the present invention;

【図64】本発明のシステムにおけるパーティションの
初期登録処理について説明するフロー(その3)であ
る。
FIG. 64 is a flowchart (part 3) for describing the partition initial registration process in the system of the present invention;

【図65】本発明のシステムにおけるパーティションの
初期登録処理後のデバイス格納データについて説明する
図である。
FIG. 65 is a diagram for describing device storage data after a partition initial registration process in the system of the present invention.

【図66】本発明のシステムにおけるパーティションマ
ネージャによる公開鍵証明書発行処理を説明する図(そ
の1)である。
FIG. 66 is a view for explaining a public key certificate issuance process by the partition manager in the system of the present invention (part 1);

【図67】本発明のシステムにおけるパーティションマ
ネージャによる公開鍵証明書発行処理を説明する図(そ
の2)である。
FIG. 67 is a view for explaining a public key certificate issuance process by the partition manager in the system of the present invention (part 2).

【図68】本発明のシステムにおけるパーティションマ
ネージャによるパーティション生成処理において、公開
鍵方式認証、公開鍵方式チケット検証を実行した場合の
処理を説明する図である。
FIG. 68 is a diagram illustrating processing in a case where public key authentication and public key ticket verification are executed in partition generation processing by the partition manager in the system of the present invention.

【図69】本発明のシステムにおけるパーティションマ
ネージャによるパーティション生成処理において、公開
鍵方式認証、共通鍵方式チケット検証を実行した場合の
処理を説明する図である。
FIG. 69 is a diagram for describing processing when public key authentication and common key ticket verification are executed in partition generation processing by the partition manager in the system of the present invention.

【図70】本発明のシステムにおけるパーティションマ
ネージャによるパーティション生成処理において、共通
鍵方式認証、共通鍵方式チケット検証を実行した場合の
処理を説明する図である。
FIG. 70 is a diagram for explaining processing in a case where a common key scheme authentication and a common key scheme ticket verification are executed in the partition generation processing by the partition manager in the system of the present invention.

【図71】本発明のシステムにおけるパーティションマ
ネージャによるパーティション生成処理において、共通
鍵方式認証、公開鍵方式チケット検証を実行した場合の
処理を説明する図である。
FIG. 71 is a view for explaining processing in a case where common key authentication and public key ticket verification are executed in partition generation processing by the partition manager in the system of the present invention.

【図72】本発明のシステムにおけるファイル登録チケ
ット(FRT)を適用したファイル生成消去処理につい
て説明するフロー図である。
FIG. 72 is a flowchart illustrating a file generation / erasure process using a file registration ticket (FRT) in the system of the present invention.

【図73】本発明のシステムにおけるファイル登録チケ
ット(FRT)を適用したファイル生成削除操作につい
て説明するフロー図である。
FIG. 73 is a flowchart illustrating a file generation / deletion operation using a file registration ticket (FRT) in the system of the present invention.

【図74】本発明のシステムにおけるファイル登録チケ
ット(FRT)を適用したファイル生成後のデバイス格
納データを説明する図である。
FIG. 74 is a diagram illustrating device storage data after file generation using a file registration ticket (FRT) in the system of the present invention.

【図75】本発明のシステムにおけるファイル登録チケ
ット(FRT)によるファイル生成処理において、公開
鍵方式認証、公開鍵方式チケット検証を実行した場合の
処理を説明する図である。
FIG. 75 is a view for explaining processing in a case where public key system authentication and public key system ticket verification are executed in a file generation process using a file registration ticket (FRT) in the system of the present invention.

【図76】本発明のシステムにおけるファイル登録チケ
ット(FRT)によるファイル生成処理において、公開
鍵方式認証、共通鍵方式チケット検証を実行した場合の
処理を説明する図である。
FIG. 76 is a view for explaining processing when public key authentication and common key ticket verification are executed in a file generation process using a file registration ticket (FRT) in the system of the present invention.

【図77】本発明のシステムにおけるファイル登録チケ
ット(FRT)によるファイル生成処理において、共通
鍵方式認証、共通鍵方式チケット検証を実行した場合の
処理を説明する図である。
FIG. 77 is a view for explaining processing in a case where common key system authentication and common key system ticket verification are executed in a file generation process using a file registration ticket (FRT) in the system of the present invention.

【図78】本発明のシステムにおけるファイル登録チケ
ット(FRT)によるファイル生成処理において、共通
鍵方式認証、公開鍵方式チケット検証を実行した場合の
処理を説明する図である。
FIG. 78 is a view for explaining processing in a case where a common key scheme authentication and a public key scheme ticket verification are executed in a file creation processing using a file registration ticket (FRT) in the system of the present invention.

【図79】本発明のシステムにおけるサービス許可チケ
ット(SPT)を適用したファイルアクセス処理フロー
を示す図である。
FIG. 79 is a diagram showing a file access processing flow to which a service permission ticket (SPT) is applied in the system of the present invention.

【図80】本発明のシステムにおけるサービス許可チケ
ット(SPT)を適用したファイルオープン操作フロー
を示す図である。
FIG. 80 is a diagram showing a file open operation flow to which a service permission ticket (SPT) is applied in the system of the present invention.

【図81】本発明のシステムにおけるサービス許可チケ
ット(SPT)を適用したファイルオープン操作により
生成されるファイルオープンテーブル構成を説明する図
(例1)である。
FIG. 81 is a diagram (example 1) illustrating a file open table configuration generated by a file open operation using a service permission ticket (SPT) in the system of the present invention.

【図82】本発明のシステムにおけるサービス許可チケ
ット(SPT)を適用したファイルオープン操作により
生成されるファイルオープンテーブル構成を説明する図
(例2)である。
FIG. 82 is a diagram (example 2) illustrating a file open table configuration generated by a file open operation using a service permission ticket (SPT) in the system of the present invention.

【図83】本発明のシステムにおけるサービス許可チケ
ット(SPT)を適用したファイルアクセス処理例を説
明する図(例1)である。
FIG. 83 is a diagram (example 1) illustrating an example of a file access process using a service permission ticket (SPT) in the system of the present invention.

【図84】本発明のシステムにおけるサービス許可チケ
ット(SPT)を適用したファイルアクセス処理例を説
明する図(例2)である。
FIG. 84 is a diagram (example 2) illustrating an example of a file access process to which a service permission ticket (SPT) is applied in the system of the present invention.

【図85】本発明のシステムにおける認証により生成さ
れるセッション鍵の取扱について説明する図である。
FIG. 85 is a diagram illustrating handling of a session key generated by authentication in the system of the present invention.

【図86】本発明のシステムにおけるサービス許可チケ
ット(SPT)を適用したファイルアクセス処理例を説
明するフロー図(例1)である。
FIG. 86 is a flowchart (example 1) illustrating an example of file access processing using a service permission ticket (SPT) in the system of the present invention.

【図87】本発明のシステムにおけるサービス許可チケ
ット(SPT)を適用したファイルアクセス処理例を説
明するフロー図(例2)である。
FIG. 87 is a flowchart (example 2) illustrating an example of a file access process using a service permission ticket (SPT) in the system of the present invention.

【図88】本発明のシステムにおけるサービス許可チケ
ット(SPT)を適用した複合ファイルのアクセス処理
例を説明する図である。
FIG. 88 is a diagram for explaining an example of access processing of a compound file to which a service permission ticket (SPT) is applied in the system of the present invention.

【図89】本発明のシステムにおけるサービス許可チケ
ット(SPT)によるファイルアクセス処理において、
公開鍵方式認証、公開鍵方式チケット検証を実行した場
合の処理を説明する図である。
FIG. 89 illustrates a file access process using a service permission ticket (SPT) in the system of the present invention.
FIG. 9 is a diagram illustrating processing when public key authentication and public key ticket verification are executed.

【図90】本発明のシステムにおけるサービス許可チケ
ット(SPT)による処理において、公開鍵方式認証、
共通鍵方式チケット検証を実行した場合の処理を説明す
る図である。
FIG. 90 illustrates a public key authentication, a process using a service permission ticket (SPT) in the system of the present invention.
FIG. 9 is a diagram for describing processing when a common key type ticket verification is executed.

【図91】本発明のシステムにおけるサービス許可チケ
ット(SPT)による処理において、共通鍵方式認証、
共通鍵方式チケット検証を実行した場合の処理を説明す
る図である。
FIG. 91 is a flowchart illustrating processing performed by a service permission ticket (SPT) in the system of the present invention.
FIG. 9 is a diagram for describing processing when a common key type ticket verification is executed.

【図92】本発明のシステムにおけるサービス許可チケ
ット(SPT)による処理において、共通鍵方式認証、
公開鍵方式チケット検証を実行した場合の処理を説明す
る図である。
FIG. 92 is a flowchart illustrating processing using a service permission ticket (SPT) in the system of the present invention.
FIG. 11 is a diagram illustrating processing when public key ticket verification is performed.

【図93】本発明のシステムにおけるデータアップデー
トチケット(DUT)によるデータ更新処理フローを示
す図である。
FIG. 93 is a diagram showing a data update processing flow using a data update ticket (DUT) in the system of the present invention.

【図94】本発明のシステムにおけるデータアップデー
トチケット(DUT)によるデータ更新操作フローを示
す図である。
FIG. 94 is a diagram showing a data update operation flow using a data update ticket (DUT) in the system of the present invention.

【図95】本発明のシステムにおけるデータアップデー
トチケット(DUT)によるデータ更新処理例を説明す
る図である。
FIG. 95 is a diagram illustrating an example of data update processing using a data update ticket (DUT) in the system of the present invention.

【図96】従来のメモリ構造を示す図である。FIG. 96 is a diagram showing a conventional memory structure.

【図97】従来のメモリ管理者、利用者の関係を説明す
る図である。
FIG. 97 is a diagram illustrating a conventional relationship between a memory manager and a user.

【図98】従来のメモリ領域確保処理について説明する
図である。
FIG. 98 is a diagram illustrating a conventional memory area securing process.

【図99】従来のメモリアクセス方式について説明する
図である。
FIG. 99 is a diagram illustrating a conventional memory access method.

【符号の説明】[Explanation of symbols]

100 デバイス 200 デバイスマネージャ 300 パーティションマネージャ 400 コード管理機関 500 デバイス製造エンティテイ 210 パーティション登録チケット(PRT)発行手
段 220 登録局(RA) 310 ファイル登録チケット(FRT)発行手段 320 サービス許可チケット(SPT)発行手段 330 登録局(RA) 610,620 認証局(CA) 711〜714 リーダライタ(R/W) 721〜722 チケットユーザ 101 CPU 102 通信IF 103 ROM 104 RAM 105 暗号処理部 106 メモリ部(EEPROM) 211,221 制御手段 212,222 データベース 2111 制御部 2112 ROM 2113 RAM 2114 表示部 2115 入力部 2116 HDD 2117 ドライブ 2118 通信I/F 311,321,331 制御手段 312,322,332 データベース 701 CPU 702 通信IF 703 ROM 704 RAM 705 暗号処理部 706 メモリ部(EEPROM)
REFERENCE SIGNS LIST 100 device 200 device manager 300 partition manager 400 code management agency 500 device manufacturing entity 210 partition registration ticket (PRT) issuing means 220 registration authority (RA) 310 file registration ticket (FRT) issuing means 320 service permission ticket (SPT) issuing means 330 Registration Authority (RA) 610,620 Certificate Authority (CA) 711-714 Reader / Writer (R / W) 721-722 Ticket User 101 CPU 102 Communication IF 103 ROM 104 RAM 105 Cryptographic Processing Unit 106 Memory Unit (EEPROM) 211,221 Control means 212, 222 Database 2111 Control unit 2112 ROM 2113 RAM 2114 Display unit 2115 Input unit 2116 HDD 2117 Dry 2118 Communication I / F 311, 321, 331 Control means 312, 322, 332 Database 701 CPU 702 Communication IF 703 ROM 704 RAM 705 Encryption processing unit 706 Memory unit (EEPROM)

───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) G06K 17/00 G06K 19/00 R H04L 9/32 H04L 9/00 675A 675B (72)発明者 白井 太三 東京都品川区北品川6丁目7番35号 ソニ ー株式会社内 (72)発明者 高田 昌幸 東京都品川区北品川6丁目7番35号 ソニ ー株式会社内 Fターム(参考) 5B017 AA07 BA06 BA07 CA14 5B035 AA13 BB09 CA11 CA38 5B058 CA27 KA02 KA04 KA08 KA31 KA33 KA35 YA20 5B085 AE09 AE12 AE23 AE29 CC01 5J104 AA07 KA02 NA38 ──────────────────────────────────────────────────続 き Continued on the front page (51) Int.Cl. 7 Identification symbol FI Theme coat ゛ (Reference) G06K 17/00 G06K 19/00 R H04L 9/32 H04L 9/00 675A 675B (72) Inventor Taizo Shirai 6-35 Kita Shinagawa, Shinagawa-ku, Tokyo Sonny Corporation (72) Inventor Masayuki Takada 6-35 Kita Shinagawa, Shinagawa-ku, Tokyo Sonny Corporation F-term (reference) 5B017 AA07 BA06 BA07 CA14 5B035 AA13 BB09 CA11 CA38 5B058 CA27 KA02 KA04 KA08 KA31 KA33 KA35 YA20 5B085 AE09 AE12 AE23 AE29 CC01 5J104 AA07 KA02 NA38

Claims (22)

【特許請求の範囲】[Claims] 【請求項1】データ格納可能なメモリ部を有するメモリ
搭載デバイスに対して、アクセス機器からコマンドを発
行して前記メモリ部に格納されたデータに対する処理を
実行するデータアクセス制御システムであり、 前記メモリ搭載デバイスは、前記アクセス機器から、前
記メモリ部に格納されたデータに対するアクセス制御デ
ータとして構成されるアクセス制御チケットを受領し
て、該アクセス制御チケットに記述された認証ルールに
基づく認証の成立、および該アクセス制御チケットに記
述されたアクセス機器の識別データの確認を条件として
データアクセスを許容する構成であることを特徴とする
データアクセス制御システム。
1. A data access control system for issuing a command from an access device to a memory-equipped device having a memory unit capable of storing data to execute processing on data stored in the memory unit. The mounted device receives, from the access device, an access control ticket configured as access control data for data stored in the memory unit, and establishes authentication based on the authentication rule described in the access control ticket; and data access control system, characterized in that the configuration allowing data access, subject to confirmation of the identification data of the access device described in the access control ticket.
【請求項2】前記アクセス制御チケットには、認証方式
として公開鍵認証方式または共通鍵認証方式のいずれか
またはいずれでも許容する旨の認証方式指定情報として
の認証タイプが記述され、 前記メモリ搭載デバイスは、アクセス機器から受領した
アクセス制御チケットに記述された認証タイプに従って
認証処理を実行する構成であることを特徴とする請求項
1に記載のデータアクセス制御システム。
2. The access control ticket describes an authentication type as authentication method designation information indicating that any one or both of a public key authentication method and a common key authentication method is allowed as the authentication method. 2. The data access control system according to claim 1, wherein the data access control system is configured to execute an authentication process according to an authentication type described in an access control ticket received from the access device. 3.
【請求項3】前記アクセス制御チケットには、該アクセ
ス制御チケットの発行手段のカテゴリまたは識別子が格
納され、 前記メモリ搭載デバイスは、アクセス機器から受領した
アクセス制御チケットに記述された該アクセス制御チケ
ットの発行手段のカテゴリまたは識別子に基づいて、チ
ケットが正当な発行手段により発行されたチケットであ
ることの確認処理を実行し、該確認を条件としてデータ
アクセスを許容する構成であることを特徴とする請求項
1に記載のデータアクセス制御システム。
3. The access control ticket stores a category or an identifier of a means for issuing the access control ticket, and the memory-equipped device stores the access control ticket described in the access control ticket received from the access device. Claims are characterized in that, based on the category or identifier of the issuing means, a confirmation process is performed to confirm that the ticket is a ticket issued by a valid issuing means, and data access is permitted on condition of the confirmation. Item 2. The data access control system according to item 1.
【請求項4】前記アクセス制御チケットには、該アクセ
ス制御チケットの発行手段のカテゴリまたは識別子が格
納され、 前記メモリ搭載デバイスは、アクセス機器から受領した
アクセス制御チケットに記述された該アクセス制御チケ
ットの発行手段のカテゴリまたは識別子と、該アクセス
制御チケットの発行手段の公開鍵証明書に格納されたユ
ーザ情報との対比に基づいてチケットが正当な発行手段
により発行されたチケットであることの確認処理を実行
し、該確認を条件としてデータアクセスを許容する構成
であることを特徴とする請求項1に記載のデータアクセ
ス制御システム。
4. The access control ticket stores a category or an identifier of a means for issuing the access control ticket, and the memory-equipped device stores the access control ticket described in the access control ticket received from the access device. Based on a comparison between the category or identifier of the issuing unit and the user information stored in the public key certificate of the issuing unit of the access control ticket, a process of confirming that the ticket is issued by a valid issuing unit is performed. The data access control system according to claim 1, wherein the data access control system is configured to execute the data access on condition of the confirmation.
【請求項5】前記アクセス制御チケットには、該アクセ
ス制御チケットの利用手段であるアクセス機器のカテゴ
リまたは識別子が格納され、 前記メモリ搭載デバイスは、アクセス機器から受領した
アクセス制御チケットに記述された該アクセス制御チケ
ットの利用手段であるアクセス機器のカテゴリまたは識
別子に基づいて、チケットが正当な利用手段により提供
されたチケットであることの確認処理を実行し、該確認
を条件としてデータアクセスを許容する構成であること
を特徴とする請求項1に記載のデータアクセス制御シス
テム。
5. The access control ticket stores a category or an identifier of an access device that is a use unit of the access control ticket, and the memory-equipped device stores the access control ticket described in the access control ticket received from the access device. A configuration in which, based on a category or an identifier of an access device that is a use unit of an access control ticket, a process of confirming that the ticket is a ticket provided by a valid use unit is performed, and data access is permitted on condition of the confirmation. 2. The data access control system according to claim 1, wherein:
【請求項6】前記アクセス制御チケットには、該アクセ
ス制御チケットの利用手段のカテゴリまたは識別子が格
納され、 前記メモリ搭載デバイスは、アクセス機器から受領した
アクセス制御チケットに記述された該アクセス制御チケ
ットの利用手段であるアクセス機器のカテゴリまたは識
別子と、該アクセス制御チケットの利用手段の公開鍵証
明書に格納されたユーザ情報との対比に基づいて、チケ
ットが正当な利用手段により提供されたチケットである
ことの確認処理を実行し、該確認を条件としてデータア
クセスを許容する構成であることを特徴とする請求項1
に記載のデータアクセス制御システム。
6. The access control ticket stores a category or an identifier of a use means of the access control ticket, and the memory-equipped device stores the access control ticket described in the access control ticket received from the access device. The ticket is a ticket provided by a valid user based on a comparison between the category or identifier of the access device as the user and the user information stored in the public key certificate of the user of the access control ticket. 2. A configuration for executing a confirmation process of the fact that data access is permitted on condition of the confirmation.
A data access control system according to claim 1.
【請求項7】前記メモリ搭載デバイスのメモリ部は、 各々が対応するパーティションマネージャによって管理
されるメモリ領域としての1以上のパーティション領域
を有し、 前記メモリ搭載デバイスは、 前記アクセス機器とのセッション中に実行したパーティ
ション認証またはデバイス認証によって取得した公開鍵
方式認証情報およびセッション鍵、または共通鍵方式認
証情報およびセッション鍵を対応付けた認証テーブルを
生成する構成を有することを特徴とする請求項1に記載
のデータアクセス制御システム。
7. The memory unit of the memory-equipped device has one or more partition areas each as a memory area managed by a corresponding partition manager, and the memory-equipped device is in a session with the access device. 2. The authentication method according to claim 1, further comprising the step of generating an authentication table in which the public key system authentication information and the session key acquired by the partition authentication or the device authentication executed in the first step or the common key system authentication information and the session key are associated. A data access control system as described.
【請求項8】データ格納可能なメモリ部を有するメモリ
搭載デバイスであり、 アクセス機器からコマンドを発行して前記メモリ部に格
納されたデータに対する処理を実行する制御手段を有
し、 前記制御手段は、 前記アクセス機器から、前記メモリ部に格納されたデー
タに対するアクセス制御データとして構成されるアクセ
ス制御チケットを受領して、該アクセス制御チケットに
記述された認証ルールに基づく認証の成立、および該ア
クセス制御チケットに記述されたアクセス機器の識別デ
ータの確認を条件としてデータアクセスを許容する構成
であることを特徴とするメモリ搭載デバイス。
8. A memory-equipped device having a memory unit capable of storing data, comprising control means for issuing a command from an access device to execute processing on data stored in said memory unit, wherein said control means Receiving an access control ticket configured as access control data for data stored in the memory unit from the access device, establishing authentication based on an authentication rule described in the access control ticket, and performing the access control. A memory-equipped device characterized in that data access is permitted on condition that identification data of an access device described in a ticket is confirmed.
【請求項9】前記アクセス制御チケットには、認証方式
として公開鍵認証方式または共通鍵認証方式のいずれか
またはいずれでも許容する旨の認証方式指定情報として
の認証タイプが記述され、 前記制御手段は、 アクセス機器から受領したアクセス制御チケットに記述
された認証タイプに従って認証処理を実行する構成であ
ることを特徴とする請求項8に記載のメモリ搭載デバイ
ス。
9. The access control ticket describes an authentication type as authentication method designation information indicating that any one of or both a public key authentication method and a common key authentication method is allowed as an authentication method. 9. The memory-mounted device according to claim 8, wherein an authentication process is executed in accordance with an authentication type described in an access control ticket received from the access device.
【請求項10】前記アクセス制御チケットには、該アク
セス制御チケットの発行手段のカテゴリまたは識別子が
格納され、 前記制御手段は、 アクセス機器から受領したアクセス制御チケットに記述
された該アクセス制御チケットの発行手段のカテゴリま
たは識別子に基づいて、チケットが正当な発行手段によ
り発行されたチケットであることの確認処理を実行し、
該確認を条件としてデータアクセスを許容する構成であ
ることを特徴とする請求項8に記載のメモリ搭載デバイ
ス。
10. The access control ticket stores a category or an identifier of an access control ticket issuing unit, and the control unit issues the access control ticket described in the access control ticket received from the access device. Based on the category or identifier of the means, execute confirmation processing that the ticket is a ticket issued by a valid issuing means,
9. The memory-mounted device according to claim 8, wherein a data access is allowed under the condition of the confirmation.
【請求項11】前記アクセス制御チケットには、該アク
セス制御チケットの発行手段のカテゴリまたは識別子が
格納され、 前記制御手段は、 アクセス機器から受領したアクセス制御チケットに記述
された該アクセス制御チケットの発行手段のカテゴリま
たは識別子と、該アクセス制御チケットの発行手段の公
開鍵証明書に格納されたユーザ情報との対比に基づいて
チケットが正当な発行手段により発行されたチケットで
あることの確認処理を実行し、該確認を条件としてデー
タアクセスを許容する構成であることを特徴とする請求
項8に記載のメモリ搭載デバイス。
11. The access control ticket stores a category or an identifier of a means for issuing the access control ticket, and the control means issues the access control ticket described in the access control ticket received from the access device. Executes a process of confirming that the ticket is issued by a valid issuing unit based on a comparison between the category or identifier of the unit and the user information stored in the public key certificate of the issuing unit of the access control ticket. 9. The memory-mounted device according to claim 8, wherein a data access is permitted under the condition of the confirmation.
【請求項12】前記アクセス制御チケットには、該アク
セス制御チケットの利用手段であるアクセス機器のカテ
ゴリまたは識別子が格納され、 前記制御手段は、 アクセス機器から受領したアクセス制御チケットに記述
された該アクセス制御チケットの利用手段であるアクセ
ス機器のカテゴリまたは識別子に基づいて、チケットが
正当な利用手段により提供されたチケットであることの
確認処理を実行し、該確認を条件としてデータアクセス
を許容する構成であることを特徴とする請求項8に記載
のメモリ搭載デバイス。
12. The access control ticket stores a category or an identifier of an access device that is a use unit of the access control ticket, and the control unit stores the access control ticket described in the access control ticket received from the access device. Based on the category or identifier of the access device that is the control ticket usage means, a confirmation process is performed to confirm that the ticket is a ticket provided by a valid usage means, and data access is permitted on condition of the confirmation. The memory-mounted device according to claim 8, wherein:
【請求項13】前記アクセス制御チケットには、該アク
セス制御チケットの利用手段のカテゴリまたは識別子が
格納され、 前記制御手段は、 アクセス機器から受領したアクセス制御チケットに記述
された該アクセス制御チケットの利用手段であるアクセ
ス機器のカテゴリまたは識別子と、該アクセス制御チケ
ットの利用手段の公開鍵証明書に格納されたユーザ情報
との対比に基づいて、チケットが正当な利用手段により
提供されたチケットであることの確認処理を実行し、該
確認を条件としてデータアクセスを許容する構成である
ことを特徴とする請求項8に記載のメモリ搭載デバイ
ス。
13. The access control ticket stores a category or an identifier of a use unit of the access control ticket, and the control unit uses the access control ticket described in the access control ticket received from the access device. The ticket is a ticket provided by a valid user based on a comparison between the category or identifier of the access device as the device and the user information stored in the public key certificate of the user using the access control ticket. 9. The memory-mounted device according to claim 8, wherein the device is configured to execute a confirmation process of (1) and permit data access on condition of the confirmation.
【請求項14】前記メモリ搭載デバイスのメモリ部は、 各々が対応するパーティションマネージャによって管理
されるメモリ領域としての1以上のパーティション領域
を有し、 前記制御手段は、 前記アクセス機器とのセッション中に実行したパーティ
ション認証またはデバイス認証によって取得した公開鍵
方式認証情報およびセッション鍵、または共通鍵方式認
証情報およびセッション鍵を対応付けた認証テーブルを
生成する構成を有することを特徴とする請求項8に記載
のメモリ搭載デバイス。
14. The memory unit of the memory-equipped device has one or more partition areas each as a memory area managed by a corresponding partition manager, and the control unit executes a session during a session with the access device. 9. The apparatus according to claim 8, further comprising: generating an authentication table in which the public key scheme authentication information and the session key acquired by the executed partition authentication or the device authentication or the common key scheme authentication information and the session key are associated with each other. Device with memory.
【請求項15】データ格納可能なメモリ部を有するメモ
リ搭載デバイスに対して、アクセス機器からコマンドを
発行して前記メモリ部に格納されたデータに対する処理
を実行するデータアクセス制御方法であり、 前記メモリ搭載デバイスは、前記アクセス機器から、前
記メモリ部に格納されたデータに対するアクセス制御デ
ータとして構成されるアクセス制御チケットを受領し
て、該アクセス制御チケットに記述された認証ルールに
基づく認証の成立、および該アクセス制御チケットに記
述されたアクセス機器の識別データの確認を条件として
データアクセスを許容することを特徴とするデータアク
セス制御方法。
15. A data access control method for issuing a command from an access device to a memory-equipped device having a memory unit capable of storing data and executing a process on data stored in the memory unit. The mounted device receives, from the access device, an access control ticket configured as access control data for data stored in the memory unit, and establishes authentication based on the authentication rule described in the access control ticket; and A data access control method, wherein data access is permitted on condition that the identification data of the access device described in the access control ticket is confirmed.
【請求項16】前記アクセス制御チケットには、認証方
式として公開鍵認証方式または共通鍵認証方式のいずれ
かまたはいずれでも許容する旨の認証方式指定情報とし
ての認証タイプが記述され、 前記メモリ搭載デバイスは、アクセス機器から受領した
アクセス制御チケットに記述された認証タイプに従って
認証処理を実行することを特徴とする請求項15に記載
のデータアクセス制御方法。
16. The access control ticket describes an authentication type as authentication method designation information indicating that any one or both of a public key authentication method and a common key authentication method is allowed as the authentication method. 16. The data access control method according to claim 15, wherein the device performs an authentication process according to an authentication type described in an access control ticket received from the access device.
【請求項17】前記アクセス制御チケットには、該アク
セス制御チケットの発行手段のカテゴリまたは識別子が
格納され、 前記メモリ搭載デバイスは、アクセス機器から受領した
アクセス制御チケットに記述された該アクセス制御チケ
ットの発行手段のカテゴリまたは識別子に基づいて、チ
ケットが正当な発行手段により発行されたチケットであ
ることの確認処理を実行し、該確認を条件としてデータ
アクセスを許容することを特徴とする請求項15に記載
のデータアクセス制御方法。
17. The access control ticket stores a category or an identifier of a means for issuing the access control ticket, and the memory-equipped device stores the access control ticket described in the access control ticket received from the access device. 16. The method according to claim 15, wherein a confirmation process is performed to confirm that the ticket is a ticket issued by a valid issuing unit based on a category or an identifier of the issuing unit, and data access is permitted on condition of the confirmation. Data access control method as described.
【請求項18】前記アクセス制御チケットには、該アク
セス制御チケットの発行手段のカテゴリまたは識別子が
格納され、 前記メモリ搭載デバイスは、アクセス機器から受領した
アクセス制御チケットに記述された該アクセス制御チケ
ットの発行手段のカテゴリまたは識別子と、該アクセス
制御チケットの発行手段の公開鍵証明書に格納されたユ
ーザ情報との対比に基づいてチケットが正当な発行手段
により発行されたチケットであることの確認処理を実行
し、該確認を条件としてデータアクセスを許容すること
を特徴とする請求項15に記載のデータアクセス制御方
法。
18. The access control ticket stores a category or an identifier of a means for issuing the access control ticket, and the memory-equipped device stores the access control ticket described in the access control ticket received from the access device. Based on a comparison between the category or identifier of the issuing unit and the user information stored in the public key certificate of the issuing unit of the access control ticket, a process of confirming that the ticket is issued by a valid issuing unit is performed. 16. The data access control method according to claim 15, wherein the method is executed, and data access is permitted on condition of the confirmation.
【請求項19】前記アクセス制御チケットには、該アク
セス制御チケットの利用手段であるアクセス機器のカテ
ゴリまたは識別子が格納され、 前記メモリ搭載デバイスは、アクセス機器から受領した
アクセス制御チケットに記述された該アクセス制御チケ
ットの利用手段であるアクセス機器のカテゴリまたは識
別子に基づいて、チケットが正当な利用手段により提供
されたチケットであることの確認処理を実行し、該確認
を条件としてデータアクセスを許容することを特徴とす
る請求項15に記載のデータアクセス制御方法。
19. The access control ticket stores a category or an identifier of an access device which is a means for using the access control ticket, and the memory-equipped device stores the access control ticket described in the access control ticket received from the access device. Based on the category or identifier of the access device that is a means of using the access control ticket, execute confirmation processing that the ticket is a ticket provided by a valid use means, and permit data access on condition of the confirmation. The data access control method according to claim 15, wherein:
【請求項20】前記アクセス制御チケットには、該アク
セス制御チケットの利用手段のカテゴリまたは識別子が
格納され、 前記メモリ搭載デバイスは、アクセス機器から受領した
アクセス制御チケットに記述された該アクセス制御チケ
ットの利用手段であるアクセス機器のカテゴリまたは識
別子と、該アクセス制御チケットの利用手段の公開鍵証
明書に格納されたユーザ情報との対比に基づいて、チケ
ットが正当な利用手段により提供されたチケットである
ことの確認処理を実行し、該確認を条件としてデータア
クセスを許容することを特徴とする請求項15に記載の
データアクセス制御方法。
20. The access control ticket stores a category or an identifier of a use means of the access control ticket, and the memory-equipped device stores the access control ticket described in the access control ticket received from the access device. The ticket is a ticket provided by a valid user based on a comparison between the category or identifier of the access device as the user and the user information stored in the public key certificate of the user of the access control ticket. run the confirmation processing that the data access control method according to claim 15, characterized in that to allow data access condition the confirmation.
【請求項21】前記メモリ搭載デバイスのメモリ部は、 各々が対応するパーティションマネージャによって管理
されるメモリ領域としての1以上のパーティション領域
を有し、 前記メモリ搭載デバイスは、 前記アクセス機器とのセッション中に実行したパーティ
ション認証またはデバイス認証によって取得した公開鍵
方式認証情報およびセッション鍵、または共通鍵方式認
証情報およびセッション鍵を対応付けた認証テーブルを
生成することを特徴とする請求項15に記載のデータア
クセス制御方法。
21. The memory section of the memory-equipped device has one or more partition areas each as a memory area managed by a corresponding partition manager, and the memory-equipped device is in a session with the access device. 16. The data according to claim 15, wherein an authentication table is generated in which the public key scheme authentication information and the session key acquired by the partition authentication or the device authentication executed in advance, or the common key scheme authentication information and the session key are associated with each other. Access control method.
【請求項22】データ格納可能なメモリ部を有するメモ
リ搭載デバイスにおいて、アクセス機器からコマンドを
発行して前記メモリ部に格納されたデータに対する処理
をコンピュータ・システム上で実行せしめるコンピュー
タ・プログラムを提供するプログラム記憶媒体であっ
て、前記コンピュータ・プログラムは、 前記アクセス機器から、前記メモリ部に格納されたデー
タに対するアクセス制御データとして構成されるアクセ
ス制御チケットを受領するステップと、 該アクセス制御チケットに記述された認証ルールに基づ
く認証の成立、および該アクセス制御チケットに記述さ
れたアクセス機器の識別データの確認を条件としてデー
タアクセスを許容するステップと、 を有することを特徴とするプログラム記憶媒体。
22. A computer program for issuing a command from an access device in a memory-equipped device having a memory part capable of storing data and causing a computer system to execute processing on data stored in the memory part. A program storage medium, the computer program comprising: receiving, from the access device, an access control ticket configured as access control data for data stored in the memory unit; A step of permitting data access on condition that the authentication based on the authentication rule is established and that the identification data of the access device described in the access control ticket is confirmed.
JP2001073648A 2001-03-15 2001-03-15 Data access control system, memory-mounted device, data access control method, and program storage medium Abandoned JP2002279390A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001073648A JP2002279390A (en) 2001-03-15 2001-03-15 Data access control system, memory-mounted device, data access control method, and program storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001073648A JP2002279390A (en) 2001-03-15 2001-03-15 Data access control system, memory-mounted device, data access control method, and program storage medium

Publications (1)

Publication Number Publication Date
JP2002279390A true JP2002279390A (en) 2002-09-27

Family

ID=18931044

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001073648A Abandoned JP2002279390A (en) 2001-03-15 2001-03-15 Data access control system, memory-mounted device, data access control method, and program storage medium

Country Status (1)

Country Link
JP (1) JP2002279390A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003316461A (en) * 2002-04-23 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> Ic card interoperation method by common tenant manager and system therefor
US7000834B2 (en) * 2001-02-21 2006-02-21 International Business Machines Corporation Method to address security and privacy issue of the use of RFID systems to track consumer products
WO2008032648A1 (en) * 2006-09-11 2008-03-20 Panasonic Corporation Ic card and its access control method
US7752445B2 (en) 2004-02-27 2010-07-06 International Business Machines Corporation System and method for authentication of a hardware token
JP2011086155A (en) * 2009-10-16 2011-04-28 Felica Networks Inc Ic chip, information processing apparatus, and program
US9407446B2 (en) 2008-05-13 2016-08-02 Sony Corporation Communication device, communication method, reader/writer, and communication system

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7000834B2 (en) * 2001-02-21 2006-02-21 International Business Machines Corporation Method to address security and privacy issue of the use of RFID systems to track consumer products
JP2003316461A (en) * 2002-04-23 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> Ic card interoperation method by common tenant manager and system therefor
US7752445B2 (en) 2004-02-27 2010-07-06 International Business Machines Corporation System and method for authentication of a hardware token
US8271781B2 (en) 2004-02-27 2012-09-18 International Business Machines Corporation System and method for authentication of a hardware token
WO2008032648A1 (en) * 2006-09-11 2008-03-20 Panasonic Corporation Ic card and its access control method
JPWO2008032648A1 (en) * 2006-09-11 2010-01-21 パナソニック株式会社 IC card and access control method thereof
JP4598857B2 (en) * 2006-09-11 2010-12-15 パナソニック株式会社 IC card and access control method thereof
US9407446B2 (en) 2008-05-13 2016-08-02 Sony Corporation Communication device, communication method, reader/writer, and communication system
US10291398B2 (en) 2008-05-13 2019-05-14 Sony Corporation Communication device, communication method, reader/writer, and communication system
JP2011086155A (en) * 2009-10-16 2011-04-28 Felica Networks Inc Ic chip, information processing apparatus, and program
US9319403B2 (en) 2009-10-16 2016-04-19 Felica Networks, Inc. IC chip, information processing apparatus, system, method, and program
US9832230B2 (en) 2009-10-16 2017-11-28 Felica Networks, Inc. IC chip, information processing apparatus, system, method, and program
US9077712B2 (en) 2009-10-16 2015-07-07 Sony Corporation IC chip, information processing apparatus, system, method, and program

Similar Documents

Publication Publication Date Title
KR100874061B1 (en) Memory access control system and management method using access control ticket
KR100860162B1 (en) Data access management system and management method using access control ticket
TWI701572B (en) Data access method, system and device
EP3816923B1 (en) Blockchain-based private transactions and usage method and apparatus therefor
US8756415B2 (en) Memory device, host device, and memory system
EP1383073A1 (en) Data processing system, memory device, data processor, data processing method, and program
US11405198B2 (en) System and method for storing and managing keys for signing transactions using key of cluster managed in trusted execution environment
KR20200133881A (en) Authentication method in a distributed circumstance
US9400876B2 (en) Content data management system and method
JPWO2005117336A1 (en) Parent-child card authentication system
JP2000293589A (en) Information processor, information processing method and providing means
JPWO2019082442A1 (en) Data registration methods, data decryption methods, data structures, computers, and programs
JP2002279390A (en) Data access control system, memory-mounted device, data access control method, and program storage medium
JP2002281009A (en) Mutual authentication system, and its method, memory mounted device, memory access equipment and program storage medium
JP2002281023A (en) Data processing system, memory-mounted device, data processing method and program storage medium
CN113836516B (en) Printer selenium drum anti-counterfeiting and printing frequency protection system and method
JP2002278842A (en) Memory access control system, memory-mounted device, memory access controlling method and program storage medium
JP2002278841A (en) Data access processing system, memory-mounted device, data access processing method and program storage medium
JP7439261B2 (en) Access management for canceled requests in a distributed environment
BR102024005436A2 (en) SECURE TRANSACTION UNIT, TOKEN REFERENCE REGISTER, ELECTRONIC PAYMENT TRANSACTION SYSTEM AND METHOD FOR TOKEN REGISTRATION
KR20220167936A (en) System on chip comprising secure processor and semiconductor system comprising the same
KR20200011735A (en) Method and system for managing personal information in block chain environment
JP2008205989A (en) Content data management system and apparatus

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080304

A762 Written abandonment of application

Free format text: JAPANESE INTERMEDIATE CODE: A762

Effective date: 20090817