JP2002281023A - データ処理システム、メモリ搭載デバイス、およびデータ処理方法、並びにプログラム記憶媒体 - Google Patents

データ処理システム、メモリ搭載デバイス、およびデータ処理方法、並びにプログラム記憶媒体

Info

Publication number
JP2002281023A
JP2002281023A JP2001073600A JP2001073600A JP2002281023A JP 2002281023 A JP2002281023 A JP 2002281023A JP 2001073600 A JP2001073600 A JP 2001073600A JP 2001073600 A JP2001073600 A JP 2001073600A JP 2002281023 A JP2002281023 A JP 2002281023A
Authority
JP
Japan
Prior art keywords
ticket
key
data
partition
memory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Abandoned
Application number
JP2001073600A
Other languages
English (en)
Inventor
Kenji Yoshino
賢治 吉野
Yoshito Ishibashi
義人 石橋
Taizo Shirai
太三 白井
Masayuki Takada
昌幸 高田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp filed Critical Sony Corp
Priority to JP2001073600A priority Critical patent/JP2002281023A/ja
Publication of JP2002281023A publication Critical patent/JP2002281023A/ja
Abandoned legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 メモリ搭載デバイスとアクセス機器間におけ
るフレキシブルな認証およびアクセス制御チケットの検
証を可能としたデータ処理システムを提供する。 【解決手段】 デバイスが受領したアクセス制御チケッ
トの記述またはアクセス機器からの指定に基づいて、ア
クセス機器との相互認証の方式として公開鍵方式、また
は共通鍵方式のいずれかを決定して実行するとともに、
受領したアクセス制御チケットの記述に基づいて、アク
セス制御チケットの検証方式として公開鍵方式、または
共通鍵方式のいずれかを決定して実行する。本構成によ
り、様々な環境下において、また様々なアクセス制御チ
ケットの態様に対して、デバイスおよびアクセス装置間
のセキュアなデータ通信が可能となる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、データ処理システ
ム、メモリ搭載デバイス、およびデータ処理方法、並び
にプログラム記憶媒体に関する。さらに、詳細には、1
つのメモリを複数の領域(パーティション)に区分け
し、各パーティション内にサービス提供者あるいは関係
エンティテイの管理するデータを格納して、ユーザが1
つのメモリ搭載デバイスを用いて様々なサービスに供用
することを可能としたデータ処理システム、メモリ搭載
デバイス、およびデータ処理方法、並びにプログラム記
憶媒体に関する。
【0002】
【従来の技術】従来、メモリを保有するデバイスとして
は、テープメディア、フロッピー(登録商標)ディス
ク、ハードディスク、光ディスク、半導体メディア等が
利用されてきた。このうち、デバイス内のメモリをセキ
ュアに管理できるものとして半導体メディアが注目され
てきている。その理由は、半導体メモリは外部から容易
にアクセスさせない構造、すなわち耐タンパ構造を実現
しやすいからである。
【0003】耐タンパ構造は、例えばデバイスを半導体
によるシングルチップ構成とし、該チップに制御部、メ
モリコントローラ、不揮発性メモリ、電圧検出手段、周
波数検出手段等を備え、不揮発性メモリを外部から容易
に読み書きができないようにアルミ層のようなダミー層
に挟まれた構成とすることによって実現される。
【0004】このようなセキュアデバイスの従来のメモ
リ構造について図96「従来のメモリ構造」を用いて説
明する。図96のメモリは、例えば電子マネーとして利
用可能なメモリ構成を示している。図96に示すよう
に、メモリ領域は大きく3つに別れている。すなわち、
データ領域、メモリ管理領域、システム領域である。
【0005】データ領域には各データ内の先頭に格納さ
れた「データ構造」に基づくデータが格納されており、
この例では、利用者名前、住所、電話番号、金額、メ
モ、ログの各データが格納される。メモリ管理領域に
は、データ領域の各データにアクセスするための格納ア
ドレス、アクセス方法、アクセス認証鍵等が格納されて
いる。例えば、データ領域のデータ1(利用者名前)の
アクセスは読み出し(Read)のみが、アクセス認証
鍵(0123……)の利用によって可能となることが示され
ている。また、システム領域には、デバイス識別子(I
D)、データ領域にメモリ領域を確保するための認証鍵
であるメモリ管理鍵等が格納される。
【0006】図96に示すメモリデバイスのデータ領域
は複数に分割可能であり、これらの分割データ領域を、
異なるサービス主体、例えば電子マネーであればそれぞ
れ別の電子マネーサービス提供主体(ex.異なる銀
行)が管理する構成とすることができる。各分割領域の
データは、個々のサービス提供主体の他、利用者、例え
ば電子マネーを利用した商品販売を行なう店舗に備えら
れたデバイスアクセス機器としてのリーダライタ(専用
リーダライタまたはPCなど)によりデータの読み出
し、書き込み、(ex.残金データの更新)が実行され
る。
【0007】図96に示すような複数の分割されたデー
タ領域を持つセキュアデバイスの管理者と利用者の関係
を図97「メモリ管理者・利用者」に示す。図97に示
すように、セキュアデバイスの発行主体であるメモリ管
理者と、このメモリ管理者からメモリ領域を割り当てて
もらい、その割り当てられたメモリを利用するメモリ利
用者がいる。メモリ利用者としてデータ1利用者〜デー
タ6利用者がいる。メモリ利用者とは例えば前述の電子
マネーの例によれば、銀行または店舗等である。
【0008】メモリ管理者は、メモリ領域を確保するた
めのアクセスコントロール用のメモリ管理鍵を知ってお
り、このメモリ管理鍵を利用して、それぞれのメモリ利
用者のメモリ(分割データ領域)を割り当てる。また、
メモリ利用者は各データ領域のデータにアクセスするた
めのアクセス認証鍵を知っており、このアクセス認証鍵
を利用して、それぞれ割り当てられたデータ領域内のメ
モリにアクセスすることができる。アクセスの態様とし
てはデータの読み出し(Read)、書き込み(Wri
te)、残金の減額(Decrement)など、様々
であり、それぞれの処理態様に応じてアクセス認証鍵を
個別に設定して個別の処理の可否を設定することができ
る。
【0009】例えば図96に示すメモリ中のデータ4
は、金額データであり、図97に示すようにデータ4の
利用者はデータ4に対して減額(Decrement)
の処理と、読書き(Read/Write)の処理が可
能である。図96の右下の表に示すように、データ4の
減額(Decrement)の処理と、読書き(Rea
d/Write)の処理では、アクセスキーが異なり、
各処理に対応したアクセスキーを使用してメモリにアク
セスすることが必要となる。
【0010】図98に、メモリ管理者がメモリ利用者に
対してメモリデバイス内のあるデータ領域を割り当てる
メモリ確保処理を説明する図を示す。図98の「メモリ
の確保の方式」に示すように、メモリ管理者は、図の左
側に示すメモリ確保用リーダ/ライタ(R/W:Reader
/Writer)を用いて図の右側に示すメモリデバイスに対
するデータ領域の確保処理を実行する。メモリ確保用リ
ーダ/ライタ(R/W:Reader/Writer)には、メモリ
管理鍵を保持するためのセキュアなNVRAM(Non-Vo
latile RAM)が備えられている。なお、メモリ確保用R
/Wとしては、セキュアデバイスの専用の読み書きR/
Wであっても、またセキュアデバイスがUSB、PCM
CIAなどのI/Fを持つデバイスである場合、これら
のインタフェースを介して読み書き可能な装置例えばP
Cであってもよい。
【0011】R/Wを用いてメモリを確保するために
は、まずセキュアデバイスからデバイスIDを読み出
す。次にR/W内において、メモリ管理鍵とデバイスI
Dを用いて認証鍵を生成し、生成した認証鍵を用いてセ
キュアデバイスと相互認証を実行する。相互認証処理は
例えば共通鍵方式による相互認証(ex.ISO/IEC9798-2)
に従って実行される。
【0012】相互認証に成功した後、R/Wはデータ構
造、データサイズ、アクセス方法、アクセス認証鍵をセ
ッション鍵で暗号化し、必要に応じてデータ検証用のM
AC(Message Authentication Code)値を付加してセ
キュアデバイスにコマンドを送る。コマンドを受信した
セキュアデバイスは、受信データを復号し、必要に応じ
てデータ改竄性の検証をMAC検証処理によって実行
し、その後、受信データ内のデータサイズに応じてメモ
リのデータ領域にメモリ領域を確保し、確保した領域に
データ構造を書き込むとともに、メモリ管理領域に確保
したメモリのアドレス、アクセス方法、アクセス認証鍵
を書き込む。
【0013】このようにして、メモリデバイスには複数
の分割データ領域が設定される。次に、図99の「メモ
リアクセス方法」に従って、複数の分割データ領域を持
つメモリデバイスに対するメモリアクセス方法について
説明する。図99の左側のリーダライタは、メモリ利用
者の有するメモリアクセス用リーダライタ(R/W)で
あり、上述のメモリ確保用R/Wと同様、専用R/Wあ
るいはPCなどで構成される。メモリアクセス用リーダ
ライタ(R/W)には、アクセス認証鍵を保持するため
のセキュアなNVRAMが備えられている。R/Wを用
いてセキュアデバイスのデータ領域にアクセスするため
には、まずセキュアデバイスからデバイスIDを読み出
す。次にR/W内において、アクセス認証鍵とデバイス
IDを用いて認証鍵を生成し、生成した認証鍵を用いて
セキュアデバイスと相互認証を実行する。相互認証に成
功した後、R/Wはアクセス認証鍵に対応するデータ領
域のデータに所定のアクセスを行なう。
【0014】このときメモリ管理領域にはアクセス方法
が規定されているため、例えば、図99の「メモリアク
セス方法」に示すように、データ4(金額データ)の減
額(Decrement)用のアクセス認証に成功した場合は、
データ4のデータの減額は可能であっても、加算、ある
いは自由な書き換え処理はできない。このように認証処
理に用いるアクセス認証鍵をそれぞれのアクセス態様に
応じて異なる設定とすることにより各データの安全性を
高めることができる。例えば減額処理用R/Wが盗難に
あい、盗難にあった減額処理用R/W内のNVRAMが
見破られた場合であっても、図99のセキュアデバイス
内のデータ4(金額データ)の不正な増加処理が行われ
る可能性を低減することができる。
【0015】一般に入金端末はATMと同様、セキュリ
ティを高めることができるが、出金端末は店舗等で商品
引き渡しの際の代金回収機として利用されることが多
く、設置場所も様々であり、端末の盗難のリスクも高く
セキュリティの度合いを高めることが困難である。従っ
て、データアクセスに対してアクセス認証鍵を異ならせ
る構成が有効となる。
【0016】
【発明が解決しようとする課題】上述した従来の分割デ
ータ領域を持つメモリデバイスの利用形態において、メ
モリのデータ領域の確保処理、各データ領域のアクセス
処理において、それぞれ、メモリ管理鍵を用いた認証処
理、あるいはアクセス認証鍵を用いた認証処理を実行す
ることによりそれぞれの処理を実行する構成としている
が、これらは具体的には、例えばDES暗号アルゴリズ
ムによる共通鍵を適用する構成であり、公開鍵方式によ
る認証、あるいは公開鍵方式による検証を想定したもの
とはなっていない。
【0017】上述のようにメモリ管理鍵、アクセス認証
鍵に共通鍵を適用した構成では認証およびアクセス許諾
が一処理で実行されるという利点はあるが、認証鍵の漏
洩により、漏洩鍵によるメモリアクセスが可能となって
しまうという欠点があり、セキュリティ上問題となる。
【0018】また、メモリデバイスに対するアクセスを
実行するリーダライタ(R/W)の低コスト化を実現す
るために、リーダライタ(R/W)に暗号アルゴリズム
を実装しない構成も想定されるが、このような構成とす
れば、デバイス間との認証、通信データの暗号化の一切
の処理が実行できず、ユーザの金額データ、その他ユー
ザのプライベート情報などを保持するデバイスに対する
リーダライタとしては不適である。
【0019】本発明は、上述のような、従来技術の現状
に鑑みてなされたものであり、複数のパーティションに
分割されたメモリ領域のアクセスに対して、様々な種類
のアクセス制御チケットを各デバイスまたはパーティシ
ョン管理エンティテイの管理の下に発行し、各チケット
に記述されたルールに基づく処理をメモリ搭載デバイス
において実行する構成とすることにより、各パーティシ
ョン内データの独立した管理構成を実現することを目的
とする。
【0020】また、メモリ搭載デバイスが、アクセス機
器からの指定または受領したアクセス制御チケットの記
述に基づいて、アクセス機器との相互認証の方式として
例えば公開鍵方式、または共通鍵方式のいずれかを決定
して実行するとともに、受領したアクセス制御チケット
の記述に基づいて、アクセス制御チケットの検証方式に
ついても例えば公開鍵方式、または共通鍵方式のいずれ
かを決定して実行する構成とすることにより、様々な環
境下において、また様々なアクセス制御チケットの態様
に対して、デバイスおよびアクセス装置間のセキュアな
データ通信を可能としたデータ処理システム、メモリ搭
載デバイス、およびデータ処理方法、並びにプログラム
記憶媒体を提供することを目的とする。
【0021】
【課題を解決するための手段】本発明の第1の側面は、
データ格納可能なメモリ部を有するメモリ搭載デバイス
に対するアクセス機器からのアクセス要求に応じて、前
記メモリ部に対するデータ処理を実行するデータ処理シ
ステムであり、前記メモリ搭載デバイスは、前記メモリ
部に対するデータ処理に対応して構成されるアクセス制
御チケットを前記アクセス機器から受領して、該アクセ
ス制御チケットに記述されたルールに基づくデータ処理
を実行する構成であるとともに、前記アクセス機器から
の指定または受領したアクセス制御チケットの記述に基
づいて、前記アクセス機器との相互認証の方式を決定し
て実行するとともに、受領したアクセス制御チケットの
記述に基づいて、アクセス制御チケットの検証方式を決
定して実行し、相互認証およびチケット検証の双方の成
立を条件として前記アクセス機器からのアクセス要求に
応じる構成を有することを特徴とするデータ処理システ
ムにある。
【0022】さらに、本発明のデータ処理システムの一
実施態様において、前記相互認証の方式は、公開鍵方式
または共通鍵方式のいずれかであり、アクセス制御チケ
ットの検証方式は、公開鍵方式または共通鍵方式のいず
れかであることを特徴とする。
【0023】さらに、本発明のデータ処理システムの一
実施態様において、前記メモリ搭載デバイスは、前記ア
クセス制御チケットの検証を実行するためのMAC検証
用鍵を保有し、前記アクセス機器から受領したアクセス
制御チケットの検証を共通鍵方式に従って実行する場合
には、該MAC検証用鍵を適用した改竄チェック処理を
実行し、アクセス制御チケットの検証を公開鍵方式に従
って実行する場合には、チケット発行手段の公開鍵証明
書から取得したチケット発行手段の公開鍵に基づく署名
検証処理を実行する構成であることを特徴とする。
【0024】さらに、本発明のデータ処理システムの一
実施態様において、前記メモリ搭載デバイスは、前記ア
クセス制御チケットの検証を実行するためのMAC検証
用鍵を複数保有し、前記アクセス機器から受領したアク
セス制御チケットに記録された情報に従って適用すべき
MAC検証用鍵を選択する構成であることを特徴とす
る。
【0025】さらに、本発明のデータ処理システムの一
実施態様において、前記アクセス制御チケットには、前
記メモリ搭載デバイスのメモリ部内の格納データの更新
処理を許容するデータアップデートチケット(DUT)
を含み、前記メモリ搭載デバイスは、前記アクセス制御
チケットの検証を実行するためのMAC検証用鍵を複数
保有し、前記メモリ搭載デバイスは、前記アクセス機器
から受領したデータアップデートチケット(DUT)に
指定された更新対象データがアクセス制御チケットの検
証を実行するためのMAC検証用鍵である場合は、複数
のMAC検証用鍵から更新対象に該当しないMAC検証
用鍵を選択して受領したデータアップデートチケット
(DUT)の検証処理を実行することを特徴とする。
【0026】さらに、本発明のデータ処理システムの一
実施態様において、前記メモリ搭載デバイスのメモリ部
は、各々が対応するパーティションマネージャによって
管理されるメモリ領域としての1以上のパーティション
領域を有し、前記メモリ搭載デバイスは、前記アクセス
機器からの各パーティション内のデータに対するアクセ
ス要求に対する処理を、各パーティションマネージャの
管理下のチケット発行手段が発行し、チケット利用手段
としての前記アクセス機器から前記メモリ搭載デバイス
に対して入力されるアクセス制御チケットの記述に基づ
いて実行する構成であることを特徴とする。
【0027】さらに、本発明のデータ処理システムの一
実施態様において、前記メモリ搭載デバイスのメモリ部
は、各々が対応するパーティションマネージャによって
管理されるメモリ領域としての1以上のパーティション
領域を有し、前記メモリ搭載デバイスは、前記アクセス
機器とのセッション中に実行したパーティション認証ま
たはデバイス認証によって取得した公開鍵方式認証情報
およびセッション鍵、または共通鍵方式認証情報および
セッション鍵を対応付けた認証テーブルを生成して、当
該セッション期間、保持する構成を有することを特徴と
する。
【0028】さらに、本発明の第2の側面は、データ格
納可能なメモリ部を有するメモリ搭載デバイスであり、
アクセス機器からのアクセス要求に応じて、前記メモリ
部に対するデータ処理を実行する制御手段を有し、前記
制御手段は、前記メモリ部に対するデータ処理に対応し
て構成されるアクセス制御チケットを前記アクセス機器
から受領して、該アクセス制御チケットに記述されたル
ールに基づくデータ処理を実行する構成であるととも
に、前記アクセス機器からの指定または受領したアクセ
ス制御チケットの記述に基づいて、前記アクセス機器と
の相互認証の方式を決定して実行するとともに、受領し
たアクセス制御チケットの記述に基づいて、アクセス制
御チケットの検証方式を決定して実行し、相互認証およ
びチケット検証の双方の成立を条件として前記アクセス
機器からのアクセス要求に応じる構成を有することを特
徴とするメモリ搭載デバイスにある。
【0029】さらに、本発明のメモリ搭載デバイスの一
実施態様において、前記制御手段は、前記相互認証の方
式として、公開鍵方式または共通鍵方式のいずれかを選
択的に実行し、アクセス制御チケットの検証方式とし
て、公開鍵方式または共通鍵方式のいずれかを選択的に
実行する構成であることを特徴とする。
【0030】さらに、本発明のメモリ搭載デバイスの一
実施態様において、前記メモリ搭載デバイスは、前記ア
クセス制御チケットの検証を実行するためのMAC検証
用鍵を保有し、前記制御手段は、前記アクセス機器から
受領したアクセス制御チケットの検証を共通鍵方式に従
って実行する場合には、該MAC検証用鍵を適用した改
竄チェック処理を実行し、アクセス制御チケットの検証
を公開鍵方式に従って実行する場合には、チケット発行
手段の公開鍵証明書から取得したチケット発行手段の公
開鍵に基づく署名検証処理を実行する構成であることを
特徴とする。
【0031】さらに、本発明のメモリ搭載デバイスの一
実施態様において、前記メモリ搭載デバイスは、前記ア
クセス制御チケットの検証を実行するためのMAC検証
用鍵を複数保有し、前記制御手段は、前記アクセス機器
から受領したアクセス制御チケットに記録された情報に
従って適用すべきMAC検証用鍵を選択する構成である
ことを特徴とする。
【0032】さらに、本発明のメモリ搭載デバイスの一
実施態様において、前記アクセス制御チケットには、前
記メモリ搭載デバイスのメモリ部内の格納データの更新
処理を許容するデータアップデートチケット(DUT)
を含み、前記メモリ搭載デバイスは、前記アクセス制御
チケットの検証を実行するためのMAC検証用鍵を複数
保有し、前記制御手段は、前記アクセス機器から受領し
たデータアップデートチケット(DUT)に指定された
更新対象データがアクセス制御チケットの検証を実行す
るためのMAC検証用鍵である場合は、複数のMAC検
証用鍵から更新対象に該当しないMAC検証用鍵を選択
して受領したデータアップデートチケット(DUT)の
検証処理を実行することを特徴とする。
【0033】さらに、本発明のメモリ搭載デバイスの一
実施態様において、前記メモリ搭載デバイスのメモリ部
は、各々が対応するパーティションマネージャによって
管理されるメモリ領域としての1以上のパーティション
領域を有し、前記制御手段は、前記アクセス機器からの
各パーティション内のデータに対するアクセス要求に対
する処理を、各パーティションマネージャの管理下のチ
ケット発行手段が発行し、チケット利用手段としての前
記アクセス機器から前記メモリ搭載デバイスに対して入
力されるアクセス制御チケットの記述に基づいて実行す
る構成であることを特徴とする。
【0034】さらに、本発明のメモリ搭載デバイスの一
実施態様において、前記メモリ搭載デバイスのメモリ部
は、各々が対応するパーティションマネージャによって
管理されるメモリ領域としての1以上のパーティション
領域を有し、前記制御手段は、前記アクセス機器とのセ
ッション中に実行したパーティション認証またはデバイ
ス認証によって取得した公開鍵方式認証情報およびセッ
ション鍵、または共通鍵方式認証情報およびセッション
鍵を対応付けた認証テーブルを生成して、当該セッショ
ン期間、保持する構成を有することを特徴とする。
【0035】さらに、第3の側面は、データ格納可能な
メモリ部を有するメモリ搭載デバイスに対するアクセス
機器からのアクセス要求に応じて、前記メモリ部に対す
るデータ処理を実行するデータ処理方法であり、前記メ
モリ搭載デバイスにおいて、前記メモリ部に対するデー
タ処理に対応して構成されるアクセス制御チケットを前
記アクセス機器から受領して、該アクセス制御チケット
に記述されたルールに基づくデータ処理を実行し、前記
アクセス機器からの指定または受領したアクセス制御チ
ケットの記述に基づいて、前記アクセス機器との相互認
証の方式を決定して実行するとともに、受領したアクセ
ス制御チケットの記述に基づいて、アクセス制御チケッ
トの検証方式を決定して実行し、相互認証およびチケッ
ト検証の双方の成立を条件として前記アクセス機器から
のアクセス要求を実行することを特徴とするデータ処理
方法にある。
【0036】さらに、本発明のデータ処理方法の一実施
態様において、前記相互認証の方式は、公開鍵方式また
は共通鍵方式のいずれかであり、アクセス制御チケット
の検証方式は、公開鍵方式または共通鍵方式のいずれか
であることを特徴とする。
【0037】さらに、本発明のデータ処理方法の一実施
態様において、前記メモリ搭載デバイスは、前記アクセ
ス制御チケットの検証を実行するためのMAC検証用鍵
を保有し、前記アクセス機器から受領したアクセス制御
チケットの検証を共通鍵方式に従って実行する場合に
は、該MAC検証用鍵を適用した改竄チェック処理を実
行し、アクセス制御チケットの検証を公開鍵方式に従っ
て実行する場合には、チケット発行手段の公開鍵証明書
から取得したチケット発行手段の公開鍵に基づく署名検
証処理を実行することを特徴とする。
【0038】さらに、本発明のデータ処理方法の一実施
態様において、前記メモリ搭載デバイスは、前記アクセ
ス制御チケットの検証を実行するためのMAC検証用鍵
を複数保有し、前記アクセス機器から受領したアクセス
制御チケットに記録された情報に従って適用すべきMA
C検証用鍵を選択することを特徴とする。
【0039】さらに、本発明のデータ処理方法の一実施
態様において、前記アクセス制御チケットには、前記メ
モリ搭載デバイスのメモリ部内の格納データの更新処理
を許容するデータアップデートチケット(DUT)を含
み、前記メモリ搭載デバイスは、前記アクセス制御チケ
ットの検証を実行するためのMAC検証用鍵を複数保有
し、前記メモリ搭載デバイスは、前記アクセス機器から
受領したデータアップデートチケット(DUT)に指定
された更新対象データがアクセス制御チケットの検証を
実行するためのMAC検証用鍵である場合は、複数のM
AC検証用鍵から更新対象に該当しないMAC検証用鍵
を選択して受領したデータアップデートチケット(DU
T)の検証処理を実行することを特徴とする。
【0040】さらに、本発明のデータ処理方法の一実施
態様において、前記メモリ搭載デバイスのメモリ部は、
各々が対応するパーティションマネージャによって管理
されるメモリ領域としての1以上のパーティション領域
を有し、前記メモリ搭載デバイスは、前記アクセス機器
からの各パーティション内のデータに対するアクセス要
求に対する処理を、各パーティションマネージャの管理
下のチケット発行手段が発行し、チケット利用手段とし
ての前記アクセス機器から前記メモリ搭載デバイスに対
して入力されるアクセス制御チケットの記述に基づいて
実行することを特徴とする。
【0041】さらに、本発明のデータ処理方法の一実施
態様において、前記メモリ搭載デバイスのメモリ部は、
各々が対応するパーティションマネージャによって管理
されるメモリ領域としての1以上のパーティション領域
を有し、前記メモリ搭載デバイスは、前記アクセス機器
とのセッション中に実行したパーティション認証または
デバイス認証によって取得した公開鍵方式認証情報およ
びセッション鍵、または共通鍵方式認証情報およびセッ
ション鍵を対応付けた認証テーブルを生成して、当該セ
ッション期間、保持することを特徴とする。
【0042】さらに、本発明の第4の側面は、データ格
納可能なメモリ部を有するメモリ搭載デバイスに対する
アクセス機器からのアクセス要求に応じて、前記メモリ
部に対するデータ処理をコンピュータ・システム上で実
行せしめるコンピュータ・プログラムを提供するプログ
ラム記憶媒体であって、前記コンピュータ・プログラム
は、前記メモリ部に対するデータ処理に対応して構成さ
れるアクセス制御チケットを前記アクセス機器から受領
するステップと、前記アクセス機器からの指定または受
領したアクセス制御チケットの記述に基づいて、前記ア
クセス機器との相互認証の方式を決定して実行するステ
ップと、受領したアクセス制御チケットの記述に基づい
て、アクセス制御チケットの検証方式を決定して実行す
るステップと、相互認証およびチケット検証の双方の成
立を条件として前記アクセス機器からのアクセス要求を
実行するステップと、を有することを特徴とするプログ
ラム記憶媒体にある。
【0043】なお、本発明のプログラム記憶媒体は、例
えば、様々なプログラム・コードを実行可能な汎用コン
ピュータ・システムに対して、コンピュータ・プログラ
ムをコンピュータ可読な形式で提供する媒体である。媒
体は、CDやFD、MOなどの記録媒体、通信可能媒体
など、その形態は特に限定されない。
【0044】このようなプログラム記憶媒体は、コンピ
ュータ・システム上で所定のコンピュータ・プログラム
の機能を実現するための、コンピュータ・プログラムと
記憶媒体との構造上又は機能上の協働的関係を定義した
ものである。換言すれば、該記憶媒体を介してコンピュ
ータ・プログラムをコンピュータ・システムにインスト
ールすることによって、コンピュータ・システム上では
協働的作用が発揮され、本発明の他の側面と同様の作用
効果を得ることができるのである。
【0045】本発明のさらに他の目的、特徴や利点は、
後述する本発明の実施例や添付する図面に基づくより詳
細な説明によって明らかになるであろう。なお、本明細
書においてシステムとは、複数の装置の論理的集合構成
であり、各構成の装置が同一筐体内にあるものには限ら
ない。
【0046】
【発明の実施の形態】以下、図面を参照しながら、本発
明の実施の形態について詳細に説明する。なお、説明
は、以下の項目に従って行なう。 A.デバイスを利用したデータ処理システムの構成エン
ティテイおよびチケットに関する説明 A1.メモリ搭載デバイスを利用したデータ管理システ
ムの概要 A2.デバイスの構成 A3.デバイスマネージャの構成 A4.パーティションマネージャの構成 A5.チケットユーザ(デバイスアクセス機器としての
リーダライタ)の構成 A6.公開鍵証明書 A7.デバイスのメモリ部における格納データ A7.1.デバイス固有情報およびデバイス内パーティ
ション情報領域 A7.2.パーティション領域 A8.各チケットのデータフォーマット A8.1.パーティション登録チケット(PRT) A8.2.ファイル登録チケット(FRT) A8.3.サービス許可チケット(SPT) A8.4.データアップデートチケット(DUT) B.ユーザに対するデバイスの配布、デバイスに対する
各種設定、デバイス利用処理の詳細についての説明 B1.デバイス初期登録から利用までの流れ B2.デバイス製造エンティテイによる初期登録処理 B3.デバイスマネージャの管轄処理 B3.1.デバイスマネージャによるデバイス登録処理 B3.2.デバイスマネージャ管理下における公開鍵証
明書発行処理 B4.パーティションマネージャの管轄処理 B4.1.パーティションマネージャ管理下におけるパ
ーティション登録チケット(PRT)を利用したパーテ
ィション設定登録、削除処理 B4.2.パーティションマネージャ管理下における公
開鍵証明書発行処理 B4.3.パーティション生成処理各方式における処理
手順 B4.4.ファイル登録チケット(FRT)を利用した
ファイル生成、消去処理 B4.5.ファイル生成処理各方式における処理手順 B4.6.サービス許可チケット(SPT)を利用した
サービス(ファイルアクセス)処理 B4.7.サービス許可チケット(SPT)を利用した
アクセス処理各方式における処理手順 B5.データアップデートチケット(DUT)を利用し
たデバイスのデータ更新処理
【0047】
【実施例】[A1.メモリ搭載デバイスを利用したデー
タ管理システムの概要]図1に本発明のデータ管理シス
テムの概要を説明する図を示す。メモリ搭載デバイス
(以下デバイス)100はデバイス製造エンティテイ
(manufacturer)500により製造され、デバイス管理
エンティテイとしてのデバイスマネージャ(DM:Devi
ce Manager)200の管理の下にユーザに提供されて利
用される。ユーザに対するデバイスの提供形態は、貸与
または販売(譲渡を含む)など、いずれの形態でもよ
い。
【0048】デバイス100は、メモリ領域が複数のデ
ータ格納領域としてのパーティションに分割され、個々
のパーティション(Partition A,B…Z)は、様々なサー
ビス主体(A,B,…Z)300A〜300Zとしての
パーティションマネージャの管理の下、様々なサービス
に利用される。
【0049】デバイス100に対するパーティションの
設定登録処理、デバイスに設定されたパーティション内
におけるファイルの設定登録処理、さらに、登録された
各ファイルに対するアクセス処理にはそれぞれ正当なチ
ケット発行手段(Ticket Issuer)の発行したデバイス
に対するアクセスコントロールチケットを必要とする。
【0050】デバイス100に対するパーティションの
設定登録処理には、正当なチケット発行手段(Ticket I
ssuer)の発行したパーティション登録チケット(PR
T:Partition Registration Ticket)が必要であり、
デバイスに設定されたパーティション内に対するファイ
ルの設定登録処理には、正当なチケット発行手段(Tick
et Issuer)の発行したファイル登録チケット(FR
T:File Registration Ticket)が必要であり、また、
各ファイルに対するアクセスには正当なチケット発行手
段(Ticket Issuer)の発行したサービス許可チケット
(SPT:Service Permission Ticket)が必要とな
る。
【0051】各チケットには、デバイス100に対する
アクセスルール、例えばデバイスに対して読み書きなど
各種処理を実行するリーダ/ライタとデバイス間の相互
認証処理に関するルールの他、例えばパーティション登
録チケット(PRT)であれば、設定できるパーティシ
ョンサイズ、ファイル登録チケット(FRT)であれ
ば、設定できるファイルサイズ、サービス許可チケット
(SPT)であれば、実行可能なアクセス態様(ex.
データ読み出し、書き込みなど)などが格納され、さら
にチケット発行者、チケット利用者に関する情報、その
他の情報が格納される。また、これらチケット格納デー
タに対する改竄チェック用のICV(Integrity Check
Value)が記録され、チケットの改竄の無いことを条件
としてチケットに記録された範囲内の処理が実行可能と
なる。これらチケットの詳細については後段で説明す
る。
【0052】図1において示す例では、パーティション
登録チケット(PRT)を発行するチケット発行手段
(Ticket Issuer)はデバイスマネージャ(DM)20
0内に設定され、パーティションマネージャとしてのサ
ービス主体A,300A内にファイル登録チケット(F
RT)、およびサービス許可チケット(SPT)を発行
するチケット発行手段(Ticket Issuer)が設定され
る。なお図1の構成は、サービス主体B…Z,300B
〜300Zについても基本的にサービス主体Aと同様の
構成を持つものであり、各サービス主体にファイル登録
チケット(FRT)、およびサービス許可チケット(S
PT)を発行するチケット発行手段(TicketIssuer)が
設定される。
【0053】なお、図1では、サービス主体とパーティ
ションマネージャ(PM)を同一エンティテイとして示
しているが、必ずしもこれらのエンティテイは同一であ
ることは必要でなく、デバイスに設定されるメモリ領域
としてのパーティションを管理するパーティションマネ
ージャと、パーティションマネージャの管理するメモリ
領域であるパーティションをパーティションマネージャ
から所定契約の下に借り受けて、借り受けたパーティシ
ョン内に様々なファイルを格納してサービスを提供する
サービス主体とが別エンティテイとして存在してもよ
い。以下の説明では、説明を簡略化するためにサービス
主体がパーティションマネージャとして機能する構成例
について説明する。
【0054】各サービス主体300A〜300Zとして
のパーティションマネージャ(PM)は、デバイスマネ
ージャ(DM)200に対して、例えば相応の対価を支
払うなど所定の契約の下に、パーティション登録チケッ
ト(PRT)の発行要求を行ない、デバイスマネージャ
(DM)の許諾の下、デバイスマネージャ(DM)内の
チケット発行手段(Ticket Issuer)が各サービス主体
としてのパーティションマネージャ(PM)に対してパ
ーティション登録チケット(PRT)を発行する。
【0055】各サービス主体(パーティションマネージ
ャ(PM))300は、通信インタフェース(I/F)
を介してユーザの所有デバイス100に対するアクセス
を実行し、デバイスマネージャ(DM)200から受領
したパーティション登録チケット(PRT)に記録され
たルールに従った認証、検証等の処理を実行し、かつパ
ーティション登録チケット(PRT)に記録された許可
範囲内のパーティションの設定登録処理を実行する。こ
の処理については後段で詳細に説明する。
【0056】通信I/Fは、有線、無線を問わず、外部
機器(デバイス)とのデータ通信可能なインタフェース
であればよく、例えば、デバイスがUSB接続構成を持
つ場合はUSBI/F、また、ICカード型であれはI
Cカード用リーダライタ、さらに公衆回線、通信回線、
インターネットなど各種の通信機能を持つデバイス、あ
るいはこれらの通信装置に接続可能なデバイスであれ
ば、各通信方式に従ったデータ通信I/Fとして構成さ
れる。
【0057】また、デバイス100にサービス主体30
0のパーティションが設定されると、各サービス主体3
00は、通信インタフェース(I/F)を介してユーザ
所有のデバイス100にアクセスし、各サービス主体3
00のチケット発行手段(Ticket Issuer)の発行する
ファイル登録チケット(FRT)に記録されたルールに
従った認証、検証等の処理を実行し、かつファイル登録
チケット(FRT)に記録された許可範囲内のファイル
の設定登録処理を実行する。この処理については後段で
詳細に説明する。
【0058】さらに、各サービス主体300は、通信イ
ンタフェース(I/F)を介してユーザの所有デバイス
100にアクセスし、各サービス主体のチケット発行手
段(Ticket Issuer)の発行するサービス許可チケット
(SPT)に記録されたルールに従った認証、検証等の
処理を実行し、かつサービス許可チケット(SPT)に
記録された許可範囲内のアクセス(ex.データの読み
取り、書き込みなど)処理を実行する。この処理につい
ては後段で詳細に説明する。
【0059】また、図1に示すように、デバイスマネー
ジャ200、パーティションマネージャ300の上位に
コード管理機関400が設定され、個々のデバイスマネ
ージャ、パーティションマネージャに各エンティテイの
識別情報としてのコードを割り振る処理を行なってい
る。これら各マネージャに付与されたコードは、前述の
パーティション登録チケット(PRT)、ファイル登録
チケット(FRT)等のアクセスコントロールチケット
の格納データとされる。
【0060】デバイス100がユーザに提供(ex.貸
与、販売)されユーザが利用する以前に、提供デバイス
を管理するデバイスマネージャ(DM)200が設定さ
れ、その提供デバイス内にデバイスマネージャコード
他、デバイスマネージャの管理情報が書き込まれる。こ
れらのデータ詳細については後述する。
【0061】本発明のメモリデバイスを利用したデータ
管理システムにおける公開鍵証明書の発行処理と各エン
ティテイの関係について、図2を用いて説明する。
【0062】図2は、デバイス管理エンティテイとして
のデバイスマネージャ、デバイスに設定された各パーテ
ィションの管理エンティテイとして、2つのパーティシ
ョンマネージャ300A,300B、デバイスマネージ
ャ200に対して識別コードを付与するコード管理機関
400を示している。さらに、デバイスマネージャ20
0の管轄する登録局210からの公開鍵証明書発行要求
に応じて、デバイスマネージャ200、デバイスマネー
ジャ管轄の各機器(パーティション登録チケット(PR
T)発行手段(PRT Issuer)210、あるいはデバ
イス100に対応するデバイス対応公開鍵証明書(CERT
-DEV)を発行するデバイスマネージャ対応認証局(CA
(DEV):Certificate Authority)610、パーテ
ィションマネージャ300A,300B管轄の各機器
(ファイル登録チケット(FRT)発行手段(FRT I
ssuer)310、サービス許可チケット発行手段(SP
T)320、チケットユーザであるデバイスアクセス機
器としてのリーダライタ711〜714、あるいはデバ
イス100のパーティションに対応するパーティション
対応公開鍵証明書(CERT-PAR)を発行するパーティショ
ンマネージャ対応認証局(CA(PAR):Certificat
e Authority)620,630が存在する。
【0063】なお、図2には、認証局をデバイスマネー
ジャ対応認証局:CA(Certificate Authority) fo
r DM(またはCA(DEV))610と、パーティ
ションマネージャ対応認証局:CA for PAR(ま
たはCA(PAR))620,630と個別に有する構
成を示しているが、両機能を持つ唯一の認証局を設けた
り、複数のパーティションマネージャに対応する共通の
認証局とデバイスマネージャ対応認証局を別々に設けた
り、その構成は自由である。
【0064】デバイスマネージャ200、パーティショ
ンマネージャ300A,300Bは、自己の公開鍵証明
書、各マネージャの管理する各機器(チケット発行手
段、チケットユーザ)の公開鍵証明書、または、デバイ
ス100からの公開鍵証明書発行要求を受理し、受理し
た発行要求の検証を行ない、検証の後、証明書発行要求
を認証局に対して転送する処理を行なうとともに、発行
された公開鍵証明書の管理処理を行なう登録局(RA:
Registration Authority)220,330を有する。
【0065】これら登録局(RA)220,330を介
して各認証局(CA)610,620,630から発行
された公開鍵証明書はデバイス100に格納され、デバ
イス100に対する処理としての例えばパーティション
の設定処理、あるいはパーティションに対する処理とし
ての例えばファイル設定処理、さらにファイルに対する
アクセス処理等の際の相互認証処理、あるいは前述した
各チケットの正当性検証処理に使用される。これら公開
鍵証明書の発行処理、公開鍵証明書を使用した各処理の
詳細については後述する。
【0066】図2において、デバイス100は、パーテ
ィションとしてパーティションマネージャ1,300A
の管理パーティション:PM1Area、パーティショ
ンマネージャ2,300Bの管理パーティション:PM
2Areaを有し、さらに、デバイスマネージャ200
の管理領域としてのDMAreaを有する。
【0067】デバイスマネージャ200はパーティショ
ン登録チケット発行手段(PRT Issuer)210を有
し、パーティションマネージャ300は、ファイル登録
チケット発行手段(FRT Issuer)310、およびサ
ービス許可チケット発行手段(SPT Issuer)320
を有しており、それぞれ各チケットを発行する。
【0068】パーティションマネージャ1,300A
は、PRT、FRT、SPT各チケット毎に異なる専用
のリーダ/ライタ(デバイスに対するデータ読み出し書
き込み用のインタフェース)711〜713を有した構
成であり、パーティションマネージャ2,300Bは、
各チケットに共通のリーダ/ライタ714を有した構成
を示している。リーダ/ライタはこのように様々な構成
をとることが可能である。
【0069】さらに図3を用いてエンティテイの具体例
について説明する。図3には、デバイスに設定されたパ
ーティションを利用したサービスを提供するサービス主
体としてのパーティションマネージャとして東西鉄道株
式会社および南北鉄道株式会社の2つのサービス主体を
想定し、これらパーティションマネージャに対してパー
ティションの設定登録を行なうデバイスマネージャとし
て日本鉄道グループという組織を想定したデバイス利用
構成例を示している。
【0070】東西鉄道株式会社は、ユーザのデバイスに
設定された自身の管理するパーティション:PM1内に
複数のファイルを設定登録している。すなわち、定期券
用ファイル、プリペイド用ファイル、その他用ファイル
である。各サービス主体としてのパーティションマネー
ジャは自己の提供するサービスに応じて設定されたデバ
イスマネージャによって割り当てられたパーティション
内に様々なファイルを登録できる。ただし、ファイルの
設定登録にはファイル登録チケット(FRT)が必要と
なる。
【0071】東西鉄道株式会社は、デバイスの1つのパ
ーティション:PM1Areaを管理するパーティショ
ンマネージャとして機能する。パーティション:PM1
Areaは、デバイスマネージャとしての日本鉄道グル
ープによって、日本鉄道グループのPRTIssuer
の発行するパーティション登録チケット(PRT)に記
録されたルールに従った認証、検証等の処理が実行さ
れ、かつパーティション登録チケット(PRT)に記録
された許可範囲内のパーティションの設定登録処理によ
って設定されて、東西鉄道株式会社に付与される。
【0072】東西鉄道株式会社は、付与されたパーティ
ション:PM1Areaに自身の提供するサービスに応
じて様々なファイルを設定する。例えば定期券ファイ
ル、プリペイド用ファイルであり、定期券ファイル内の
データ格納エリアには例えば、定期券使用者名、使用期
間、利用区間など定期券管理データとして必要な各種デ
ータを記録する。また、プリペイド用ファイルには、使
用者名、プリペイド金額、残額データなどが記録され
る。このファイル設定処理には、東西鉄道のFRTIs
suerの発行するファイル登録チケット(FRT)に
記録されたルールに従った認証、検証等の処理が実行さ
れ、かつファイル登録チケット(FRT)に記録された
許可範囲内のファイルの設定登録処理によって設定され
る。
【0073】このように様々なファイルの設定されたデ
バイスがユーザによって使用される。例えば、ユーザが
デバイスを使用してデバイスアクセス機器としてのリー
ダライタを備えた改札にデバイスをセットして利用する
ことが可能である。例えば改札に備えられた正当なリー
ダライタにより、定期券用ファイルのアクセスが実行さ
れて、利用区間の読み取りが行われる。またプリペイド
用ファイルにアクセスして、プリペイド用ファイル内の
残金データの更新処理が実行される。
【0074】デバイス内の、いずれのファイルにアクセ
スしてどのような処理(読み取り、書き込み、、減額e
tc)を実行するかは、東西鉄道のサービス許可チケッ
ト(SPT)発行手段(SPT issuer)の発行するサ
ービス許可チケット(SPT)に記録されている。例え
ば改札に備えられた正当なデバイスアクセス機器として
のリーダライタにはこれらのチケットが格納されてお
り、チケットに記録されたルールに従ってデバイス間と
の認証処理、チケット検証等の処理が実行される。デバ
イスアクセス機器としてのリーダライタおよびデバイス
相互が正当な機器であり、使用チケットが正当である場
合にサービス許可チケット(SPT)に記録された許可
範囲内の処理(ex.ファイル内のデータ読み取り、書
き込み、、減額etc)が実行されることになる。
【0075】パーティション登録チケット(PRT)、
ファイル登録チケット(FRT)、およびサービス許可
チケット(SPT)の各種チケットを発行するチケット
発行手段(Ticket Issuer)とチケット発行手段によっ
て発行されたチケットを利用するチケットユーザ(Tick
et User)の一般的な対応関係を図4に示す。
【0076】チケット発行手段(Ticket Issuer)は、
図1他で説明したように、デバイスマネージャ、あるい
はパーティションマネージャの管理下にあり、デバイス
に対する処理に応じたパーティション登録チケット(P
RT)、ファイル登録チケット(FRT)、およびサー
ビス許可チケット(SPT)の各種チケットを発行す
る。チケットユーザ(Ticket User)は、チケット発行
手段によって発行されたチケットを利用する機器、手段
であり、具体的には例えばデバイスに対するデータ書き
込み、読み取りなどの処理を実行するデバイスアクセス
機器としてのリーダライタ等の機器が相当する。
【0077】図4に示すように、チケットユーザは、複
数のチケットを格納して使用することが可能である。ま
た、単一のチケット、例えば図3を用いて説明した定期
券用ファイルの区間データ読み取りのみの実行を許可し
たサービス許可チケット(SPT)のみを格納し、区間
データ読み取りのみの処理を実行する構成とすることも
可能である。
【0078】例えば、あるサービス主体(パーティショ
ンマネージャ)である鉄道会社の定期券読み取り専用の
改札には、上述の定期券用ファイルの区間データ読み取
りのみの実行を許可したサービス許可チケット(SP
T)のみを格納したデバイスアクセス機器としてのリー
ダライタを設定して、ユーザが所有するデバイスから区
間データの読み取り処理を実行する。例えば、定期券、
プリペイド双方の処理を実行する改札のデバイスアクセ
ス機器としてのリーダライタには上述の定期券用ファイ
ルの区間データ読み取りのみの実行を許可したサービス
許可チケット(SPT)、およびプリペイド用ファイル
の残金データ減額処理を許可したサービス許可チケット
(SPT)を併せて格納し、定期券用ファイル、および
プリペイド用ファイル両ファイルに対する処理を実行可
能とすることも可能である。
【0079】また、パーティション登録チケット(PR
T)、ファイル登録チケット(FRT)、およびサービ
ス許可チケット(SPT)を格納し、パーティション登
録、ファイル登録、ファイル内のデータアクセス等のす
べての処理を実行可能としたチケットユーザ(ex.リ
ーダライタ)を構成することも可能である。このように
チケットユーザの実行可能な処理は、チケットユーザが
適用可能なチケットによって決定されることになる。
【0080】[A2.デバイスの構成]次に、上述の複
数のパーティションにデータ格納領域を分割されたメモ
リを持つデバイスについて説明する。図5にデバイスの
構成図を示す。
【0081】図5に示すように、デバイス100は、プ
ログラム実行機能、演算処理機能を持つCPU(Centra
l Processing Unit)101を有し、デバイスアクセス
機器としてのリーダライタ等、外部機器との通信処理用
のインタフェース機能を持つ通信インタフェース10
2、CPU101によって実行される各種プログラム、
例えば暗号処理プログラムなどを記憶したROM(Read
Only Memory)103、実行プログラムのロード領域、
また、各プログラム処理におけるワーク領域として機能
するRAM(Random Access Memory)104、外部機器
との認証処理、電子署名の生成、検証処理、格納データ
の暗号化、復号処理等の暗号処理を実行する暗号処理部
105、前述したパーティション、ファイルが設定格納
されるとともに、各種鍵データを含むデバイスの固有情
報を格納した例えばEEPROM(Electrically Erasab
le Programmable ROM)によって構成されるメモリ部10
6を有する。メモリ部106(ex.EEPROM)1
06に格納される情報については、後段で詳述する。
【0082】メモリ部106のデータ格納構成を図6に
示す。メモリ部は例えば、EEPROM(Electrically
Erasable Programmable ROM)と呼ばれる電気的に書き換
え可能な不揮発性メモリの一形態であるフラッシュメモ
リである。
【0083】図6に示すように、本実施例においては、
1ブロック32バイト、ブロック数0xFFFFのデー
タ格納領域を持ち、主要領域としてパーティション領
域、未使用領域、デバイス固有情報およびデバイス内パ
ーティション情報領域を持つ。
【0084】パーティション領域には、前述のパーティ
ションマネージャによる管理領域であるパーティション
が設定登録される。なお、図6に示すメモリは既にパー
ティションが設定された例を示しているが、新規に製造
されたデバイスには、パーティションが設定されておら
ずパーティション領域は存在しない。パーティション
は、前述したように、デバイスマネージャの管理するパ
ーティション登録チケット(PRT)発行手段(PRT
Issuer)の発行したPRTチケットに基づいて各サー
ビス主体としてのパーティションマネージャが所定の手
続き、すなわちパーティション登録チケット(PRT)
に設定されたルールに従ってデバイス内のメモリに設定
する。
【0085】デバイス固有情報およびデバイス内パーテ
ィション情報領域には、デバイス製造エンティテイの情
報、デバイスマネージャに関する情報、設定パーティシ
ョン情報、デバイスに対するアクセスを実行してパーテ
ィションの設定登録処理を実行する際に必要となる鍵情
報などが格納される。これら格納情報の詳細については
後述する。なお、デバイス固有情報領域の格納データ
は、後述する相互認証時に適用するデバイスの固有値と
してのIDmに対応するデータとして使用可能である。
【0086】また、図に示すようにパーティション領域
は、さらに1以上のファイル領域、未使用領域、パーテ
ィション固有情報およびパーティション内ファイル領域
を有する。ファイル領域は、パーティションマネージャ
であるサービス主体が、例えば前述したような定期券
用、プリペイド用などサービス毎に設定したファイルを
格納する領域である。未使用領域は、さらにファイル設
定可能な領域である。パーティション固有情報およびパ
ーティション内ファイル情報領域は、例えばパーティシ
ョン内のファイルに関する情報、ファイルアクセス処理
に必要となる鍵情報などが格納される。これら格納情報
の詳細については後述する。
【0087】[A3.デバイスマネージャの構成]次
に、デバイスマネージャの構成について図7を用いて説
明する。デバイスマネージャは、ユーザに提供(販売ま
たは貸与)されるデバイスの管理エンティテイである。
【0088】デバイスマネージャ200は、デバイス内
のメモリ部の分割領域として設定されるパーティション
を利用してサービスを提供するサービス主体としてのパ
ーティションマネージャからの要求に応じてデバイスに
対するパーティション設定を可能化するパーティション
登録チケット(PRT)を発行するパーティション登録
チケット(PRT)発行手段(PRT Issuer)210
を有する。
【0089】さらに、デバイスマネージャ200は、デ
バイスに対応するデバイス対応公開鍵証明書(CERT-DE
V)を発行する。デバイスマネージャ200は、デバイ
スからの公開鍵証明書発行要求を受理し、受理した発行
要求の検証を行ない、検証の後、証明書発行要求を認証
局(CA(DEV):Certificate Authority)610
に対して転送する処理を行なうとともに、発行された公
開鍵証明書の管理処理を行なう登録局(RA:Registra
tion Authority)220としての機能を有する。
【0090】図7に示すように、デバイスマネージャ2
00のパーティション登録チケット(PRT)発行手段
(PRT Issuer)210は、制御手段211と、デー
タベース212を有し、データベース212は、パーテ
ィション登録チケット(PRT)の発行管理データとし
て、チケットの発行管理用のデータ、例えば、チケット
発行先のパーティションマネージャ識別子、チケット識
別子、チケットユーザ(ex.リーダライタ,PC,e
tc)識別子などを対応付けたデータが格納される。
【0091】また、登録局(RA:Registration Autho
rity)220は、制御部221、公開鍵証明書の発行管
理用のデータベース222を有し、公開鍵証明書の発行
管理データとして、例えば公開鍵証明書を発行したデバ
イス識別子、公開鍵証明書の識別子(シリアルナンバ)
等を対応付けたデータが格納される。
【0092】デバイスマネージャ200のパーティショ
ン登録チケット(PRT)発行手段(PRT Issuer)
210の制御手段211は、パーティションマネージャ
とのデータ通信により、パーティション登録チケット
(PRT)の発行処理を実行する。また、登録局(R
A:Registration Authority)220の制御手段221
は、デバイスに対する公開鍵証明書の発行処理を実行
し、この際、デバイスとの通信、デバイスマネージャ対
応認証局(CA(DEV))610との通信を実行す
る。これらの処理の詳細については後段で説明する。こ
こでは、制御手段211,221の構成について図8を
用いて説明する。
【0093】制御手段211,221はいずれも例えば
データ処理手段としてのPCと同様の構成により実現さ
れ、具体的には例えば図8に示すような構成を持つ。制
御手段の構成について説明する。制御部2111は各種
処理プログラムを実行する中央演算処理装置(CPU:C
entral Processing Unit)によって構成される。ROM
(Read only Memory)2112は、暗号処理プログラム
等の実行処理プログラムを記憶したメモリである。RA
M(Random Access Memory)2113は、制御部211
1が実行するプログラム、例えばデータベース管理プロ
グラム、暗号処理プログラム、通信プログラム等、実行
プログラムの格納領域、またこれら各プログラム処理に
おけるワークエリアとして使用される。
【0094】表示部2114は、液晶表示装置、CRT
などの表示手段を有し、制御部2111の制御の下、様
々なプログラム実行時のデータ、例えば処理対象のデー
タ内容等を表示する。入力部2115は、キーボード
や、例えばマウス等のポインティングデバイスを有し、
これら各入力デバイスからのコマンド、データ入力を制
御部2111に出力する。HDD(Hard Disk Drive)
2116は、データベース管理プログラム、暗号処理プ
ログラム、通信プログラム等のプログラム、さらに各種
データが格納される。
【0095】ドライブ2117は、例えばHD(Hard D
isk)や、FD(Floppy Disk)等の磁気ディスク、CD
−ROM(Compact Disk ROM)などの光ディスク、ミニ
ディスク等の光磁気ディスク、ROMやフラッシュメモ
リなどの半導体メモリ等の各種記録媒体に対するアクセ
スを制御する機能を持つ。磁気ディスク等の各種記録媒
体はプログラム、データ等を記憶する。通信インタフェ
ース2118は、ネットワーク、ケーブル接続、電話回
線等の有線、無線を介した通信のインタフェースとして
機能し、ユーザのデバイス、パーティションマネージ
ャ、認証局等の各エンティテイとの通信インタフェース
として機能する。
【0096】[A4.パーティションマネージャの構
成]次に、パーティションマネージャの構成について図
9を用いて説明する。パーティションマネージャは、ユ
ーザに提供(販売または貸与)されるデバイスに設定さ
れたパーティションの管理エンティテイである。
【0097】パーティションマネージャ300は、デバ
イスマネージャから付与されたパーテイション登録チケ
ット(PRT)を用いて、付与されたPRTに記録され
たルールに従って、ユーザのデバイス内のメモリ部に分
割領域としてパーティションを設定し、設定されたパー
ティションを利用したサービスを提供する。
【0098】設定されたパーティションにはサービス、
データに応じたファイルを設定することが可能である。
ただし、ファイル設定処理には、ファイル登録チケット
(FRT)を取得することが必要であり、ファイル内の
データの読み出し、書き込みなどのデータアクセスには
サービス許可チケット(SPT)を取得することが必要
である。ファイル設定、データアクセス処理はチケット
ユーザ、すなわち具体的には、例えば専用のデバイスア
クセス機器としてのリーダライタなどがチケットを使用
して実行する。
【0099】パーティションマネージャ300は、この
ようなチケットユーザに対するチケット発行処理手段と
してのファイル登録チケット(FRT)発行手段(FR
T Issuer)310、およびサービス許可チケット(S
PT)発行手段(SPT Issuer)320を有する。
【0100】さらに、パーティションマネージャ300
は、デバイスの各パーティションに対応するパーティシ
ョン対応公開鍵証明書(CERT-PAR)を発行する。パーテ
ィションマネージャ300は、デバイスからの公開鍵証
明書発行要求を受理し、受理した発行要求の検証を行な
い、検証の後、証明書発行要求を認証局(CA(PA
R):Certificate Authority)620に対して転送す
る処理を行なうとともに、発行された公開鍵証明書の管
理処理を行なう登録局(RA:Registration Authorit
y)330としての機能を有する。
【0101】図9に示すように、パーティションマネー
ジャ300のファイル登録チケット(FRT)発行手段
(FRT Issuer)310は、制御手段311と、デー
タベース312を有し、データベース312は、ファイ
ル登録チケット(FRT)の発行管理データとして、チ
ケットの発行管理用のデータ、例えば、チケット発行先
のチケットユーザ(ex.リーダライタ,PC,et
c)識別子、チケット識別子などを対応付けたデータを
格納する。
【0102】さらにパーティションマネージャ300の
サービス許可チケット(SPT)発行手段(SPT Iss
uer)320は、制御手段321と、データベース32
2を有し、データベース322は、サービス許可チケッ
ト(SPT)の発行管理データとして、チケットの発行
管理用のデータ、例えば、チケット発行先のチケットユ
ーザ(ex.デバイスアクセス機器としてのリーダライ
タ,PC,etc)識別子、チケット識別子などを対応
付けたデータを格納する。
【0103】また、登録局(RA:Registration Autho
rity)330は、公開鍵証明書の発行管理用のデータベ
ース332を有し、公開鍵証明書の発行管理データとし
て、例えば公開鍵証明書を発行したデバイス識別子、パ
ーティション識別子、公開鍵証明書の識別子(シリアル
ナンバ)等を対応付けたデータが格納される。
【0104】パーティションマネージャ300のファイ
ル登録チケット(FRT)発行手段(FRT Issuer)
310の制御手段311は、チケットユーザ(ex.デ
バイスアクセス機器としてのリーダライタ,PC,et
c)とのデータ通信により、ファイル登録チケット(F
RT)の発行処理を実行し、サービス許可チケット(S
PT)発行手段(Ticket Issuer)320の制御手段3
21は、チケットユーザ(ex.デバイスアクセス機器
としてのリーダライタ,PC,etc)とのデータ通信
により、サービス許可チケット(SPT)の発行処理を
実行する。また、登録局(RA:Registration Authori
ty)330の制御手段331は、デバイスに対する公開
鍵証明書の発行処理を実行し、この際、デバイスとの通
信、パーティションマネージャ対応認証局(CA(PA
R))620との通信を実行する。これらの処理の詳細
については後段で説明する。
【0105】なお、パーティションマネージャ300の
制御手段311,321,331の構成は、図8を用い
て説明した前述のデバイスマネージャにおける制御手段
と同様の構成であるので説明を省略する。
【0106】[A5.チケットユーザ(デバイスアクセ
ス機器としてのリーダライタ)の構成]デバイスアクセ
ス機器としてのリーダライタはデバイスに対するパーテ
ィションの設定、ファイルの設定、データの読み取り、
書き込み、金額データの減算、加算などの様々な処理を
実行する機器として構成される。デバイスに対する処理
は、処理の際に適用するパーテイション登録チケット
(PRT)、ファイル登録チケット(FRT)、または
サービス許可チケット(SPT)に記録されたルールに
従う。すなわち、デバイスに対するすべての処理はこれ
ら適用するチケットによって制限される。
【0107】デバイスアクセス機器としてのリーダライ
タの構成例を図10に示す。図10に示すように、リー
ダライタ700は、プログラム実行機能、演算処理機能
を持つCPU(Central Processing Unit)701を有
し、デバイス、チケット発行手段(Ticket Issuer)
等、外部機器との通信処理用のインタフェース機能を持
つ通信インタフェース702、CPU701によって実
行される各種プログラム、例えば暗号処理プログラムな
どを記憶したROM(Read Only Memory)703、実行
プログラムのロード領域、また、各プログラム処理にお
けるワーク領域として機能するRAM(Random Access
Memory)704、外部機器との認証処理、電子署名の生
成、検証処理、格納データの暗号化、復号処理等の暗号
処理を実行する暗号処理部705、認証処理、暗号化、
復号処理用の各種鍵データ、およびリーダライタの固有
情報を格納した例えばEEPROM(Electrically Eras
ableProgrammable ROM)によって構成されるメモリ部7
06を有する。
【0108】[A6.公開鍵証明書]本発明のパーティ
ション分割メモリ領域を持つデバイスの利用において、
各エンティテイ、チケット発行手段、チケットユーザ、
デバイス等の相互間におけるデータ通信においては、デ
ータ送信側とデータ受信側とが互いに正規なデータ送受
信対象であることを確認した上で、必要な情報を転送す
る、データ転送の際のセキュリティ構成を実現する手法
として、転送データの暗号化処理、データに対する署名
生成、検証処理が適用される。
【0109】暗号化データは、所定の手続きによる復号
化処理によって利用可能な復号データ(平文)に戻すこ
とができる。このような情報の暗号化処理に暗号化鍵を
用い、復号化処理に復号化鍵を用いるデータ暗号化、復
号化方法は従来からよく知られている。
【0110】暗号化鍵と復号化鍵を用いるデータ暗号化
・復号化方法の態様には様々な種類があるが、その1つ
の例としていわゆる公開鍵暗号方式と呼ばれる方式があ
る。公開鍵暗号方式は、発信者と受信者の鍵を異なるも
のとして、一方の鍵を不特定のユーザが使用可能な公開
鍵として、他方を秘密に保つ秘密鍵とするものである。
例えば、データ暗号化鍵を公開鍵とし、復号鍵を秘密鍵
とする。あるいは、認証子生成鍵を秘密鍵とし、認証子
検証鍵を公開鍵とする等の態様において使用される。
【0111】暗号化、復号化に共通の鍵を用いるいわゆ
る共通鍵暗号化方式と異なり、公開鍵暗号方式では秘密
に保つ必要のある秘密鍵は、特定の1ユーザが持てばよ
いため鍵の管理において有利である。ただし、公開鍵暗
号方式は共通鍵暗号化方式に比較してデータ処理速度が
遅く、秘密鍵の配送、ディジタル署名等のデータ量の少
ない対象に多く用いられている。公開鍵暗号方式の代表
的なものにはRSA(Rivest-Shamir-Adleman)暗号が
ある。これは非常に大きな2つの素数(例えば150
桁)の積を用いるものであり、大きな2つの素数(例え
ば150桁)の積の素因数分解する処理の困難さを利用
している。
【0112】公開鍵暗号方式では、不特定多数に公開鍵
を使用可能とする構成であり、配布する公開鍵が正当な
ものであるか否かを証明する証明書、いわゆる公開鍵証
明書を使用する方法が多く用いられている。例えば、利
用者Aが公開鍵、秘密鍵のペアを生成して、生成した公
開鍵を認証局に対して送付して公開鍵証明書を認証局か
ら入手する。利用者Aは公開鍵証明書を一般に公開す
る。不特定のユーザは公開鍵証明書から所定の手続きを
経て公開鍵を入手して文書等を暗号化して利用者Aに送
付する。利用者Aは秘密鍵を用いて暗号化文書等を復号
する等のシステムである。また、利用者Aは、秘密鍵を
用いて文書等に署名を付け、不特定のユーザが公開鍵証
明書から所定の手続きを経て公開鍵を入手して、その署
名の検証を行なうシステムである。
【0113】公開鍵証明書は、公開鍵暗号方式における
認証局(CA:Certificate Authority)が発行する証
明書であり、ユーザが自己のID、公開鍵等を認証局に
提出することにより、認証局側が認証局のIDや有効期
限等の情報を付加し、さらに認証局による署名を付加し
て作成される証明書である。
【0114】図11に公開鍵証明書のフォーマットの概
略を示す。各データの概要について説明する。証明書の
バージョン(version)番号は、公開鍵証明書フォーマ
ットのバージョンを示す。証明書の通し番号は、シリア
ルナンバ(SN:Serial Number)であり、公開鍵証明
書発行局(認証局:CA)によって設定される公開鍵証
明書のシリアルナンバである。署名アルゴリズム識別子
フィールド(Signature algorithm Identifier)の署名
アルゴリズム(algorithm)、アルゴリズムパラメータ
(parameters)は、公開鍵証明書の署名アルゴリズムと
そのパラメータを記録するフィールドである。なお、署
名アルゴリズムとしては、楕円曲線暗号およびRSAが
あり、楕円曲線暗号が適用されている場合はパラメータ
および鍵長が記録され、RSAが適用されている場合に
は鍵長が記録される。発行局(認証局:CA)の名前
は、公開鍵証明書の発行者、すなわち公開鍵証明書発行
局(CA)の名称(Issuer)が識別可能な形式(Distin
guished Name)で記録されるフィールドである。証明書
の有効期限(validity)は、証明書の有効期限である開始
日時、終了日時が記録される。公開鍵証明書の利用者名
(Subject)は、ユーザである認証対象者の識別データ
が記録される。具体的には例えばユーザ機器のIDや、
サービス提供主体のID等の識別子またはカテゴリが記
録される。利用者公開鍵フィールド(subject Public K
ey Info)の鍵アルゴリズム(algorithm)と鍵(subjec
t Public key)は、ユーザの公開鍵情報としての鍵アル
ゴリズム、鍵情報そのものを格納するフィールドであ
る。オプション領域には、ユーザの属性データ、その他
公開鍵証明書の発行、利用に伴うオプショナルデータを
記録する。属性データとしては、ユーザの所属グループ
情報としてのデバイスマネージャコード(DMC)、パ
ーティションマネージャコード(PMC)が記録され
る。なお、ここでユーザは公開鍵証明書のユーザであ
り、例えばデバイスマネージャ、パーティションマネー
ジャ、チケットユーザ、チケット発行手段、デバイスな
どである。
【0115】オプション領域には、さらにカテゴリ情報
として、チケットユーザ、チケット発行手段、デバイ
ス、デバイスマネージャ、パーティションマネージャな
どのエンテイティ、機器種別を示すカテゴリが記録され
る。
【0116】なお、デバイスマネージャがパーティショ
ン登録チケット発行手段(PRT Issuer)を兼ねる場合
は、後述するパーティション登録チケット発行手段コー
ド(PRTIC:PRT Issuer Code)は、デバイスマネ
ージャコード(DMC)として設定可能であり、また、
パーティションマネージャがファイル登録チケット発行
手段、サービス許可チケット発行手段を兼ねる場合は、
ファイル登録チケット発行手段コード(FRTIC:FR
T Issuer Code)、サービス許可チケット発行手段コー
ド(SPTIC:SPT Issuer Code)をパーティション
マネージャコード(PMC)として設定可能である。な
お、これらのコードは後述する各チケット(PRT,F
RT,SPTなど)にも記録される。
【0117】また、各チケット発行手段にデバイスマネ
ージャコード(DMC)、パーティションマネージャコ
ード(PMC)と異なる独自のコードを割り当てる構成
としてもよい。この場合のコード付与は、前述のコード
管理機関が実行する。
【0118】発行局署名は、公開鍵証明書発行局(C
A)の秘密鍵を用いて公開鍵証明書のデータに対して実
行される電子署名であり、公開鍵証明書の利用者は、公
開鍵証明書発行局(CA)の公開鍵を用いて検証を行な
い、公開鍵証明書の改竄有無がチェック可能となってい
る。
【0119】公開鍵暗号方式を用いた電子署名の生成方
法について、図12を用いて説明する。図12に示す処
理は、EC−DSA((Elliptic Curve Digital Signa
tureAlgorithm)、IEEE P1363/D3)を用いた電子署名デ
ータの生成処理フローである。なお、ここでは公開鍵暗
号として楕円曲線暗号(Elliptic Curve Cryptography
(以下、ECCと呼ぶ))を用いた例を説明する。な
お、本発明のデータ処理装置においては、楕円曲線暗号
以外にも、同様の公開鍵暗号方式における、例えばRS
A暗号((Rivest、Shamir、Adleman)など(ANSI X9.3
1))を用いることも可能である。
【0120】図12の各ステップについて説明する。ス
テップS1において、pを標数、a、bを楕円曲線の係数
(楕円曲線:y2=x3+ax+b,4a3+27b2≠0
(mod p))、Gを楕円曲線上のベースポイント、r
をGの位数、Ksを秘密鍵(0<Ks<r)とする。ス
テップS2おいて、メッセージMのハッシュ値を計算
し、f=Hash(M)とする。
【0121】ここで、ハッシュ関数を用いてハッシュ値
を求める方法を説明する。ハッシュ関数とは、メッセー
ジを入力とし、これを所定のビット長のデータに圧縮
し、ハッシュ値として出力する関数である。ハッシュ関
数は、ハッシュ値(出力)から入力を予測することが難
しく、ハッシュ関数に入力されたデータの1ビットが変
化したとき、ハッシュ値の多くのビットが変化し、ま
た、同一のハッシュ値を持つ異なる入力データを探し出
すことが困難である特徴を有する。ハッシュ関数として
は、MD4、MD5、SHA−1などが用いられる場合
もあるし、DES−CBCが用いられる場合もある。こ
の場合は、最終出力値となるMAC(チェック値:IC
Vに相当する)がハッシュ値となる。
【0122】続けて、ステップS3で、乱数u(0<u
<r)を生成し、ステップS4でベースポイントをu倍
した座標V(Xv,Yv)を計算する。なお、楕円曲線
上の加算、2倍算は次のように定義されている。
【0123】
【数1】P=(Xa,Ya),Q=(Xb,Yb),R=(Xc,Y
c)=P+Qとすると、 P≠Qの時(加算)、 Xc=λ2−Xa−Xb Yc=λ×(Xa−Xc)−Ya λ=(Yb−Ya)/(Xb−Xa) P=Qの時(2倍算)、 Xc=λ2−2Xa Yc=λ×(Xa−Xc)−Ya λ=(3(Xa)2+a)/(2Ya)
【0124】これらを用いて点Gのu倍を計算する(速
度は遅いが、最もわかりやすい演算方法として次のよう
に行う。G、2×G、4×G・・を計算し、uを2進数展
開して1が立っているところに対応する2i×G(Gをi
回2倍算した値(iはuのLSBから数えた時のビット
位置))を加算する。
【0125】ステップS5で、c=Xvmod rを計
算し、ステップS6でこの値が0になるかどうか判定
し、0でなければステップS7でd=[(f+cKs)
/u]mod rを計算し、ステップS8でdが0であ
るかどうか判定し、dが0でなければ、ステップS9で
cおよびdを電子署名データとして出力する。仮に、r
を160ビット長の長さであると仮定すると、電子署名
データは320ビット長となる。
【0126】ステップS6において、cが0であった場
合、ステップS3に戻って新たな乱数を生成し直す。同
様に、ステップS8でdが0であった場合も、ステップ
S3に戻って乱数を生成し直す。
【0127】次に、公開鍵暗号方式を用いた電子署名の
検証方法を、図13を用いて説明する。ステップS11
で、Mをメッセージ、pを標数、a、bを楕円曲線の係数
(楕円曲線:y2=x3+ax+b,4a3+27b2≠0
(mod p))、Gを楕円曲線上のベースポイント、r
をGの位数、GおよびKs×Gを公開鍵(0<Ks<
r)とする。ステップS12で電子署名データcおよび
dが0<c<r、0<d<rを満たすか検証する。これ
を満たしていた場合、ステップS13で、メッセージM
のハッシュ値を計算し、f=Hash(M)とする。次
に、ステップS14でh=1/d mod rを計算し、ステップ
S15でh1=fh mod r、h2=chmod
rを計算する。
【0128】ステップS16において、既に計算したh
1およびh2を用い、点P=(Xp,Yp)=h1×G
+h2・Ks×Gを計算する。電子署名検証者は、ベー
スポイントGおよびKs×Gを知っているので、図12
のステップS4と同様に楕円曲線上の点のスカラー倍の
計算ができる。そして、ステップS17で点Pが無限遠
点かどうか判定し、無限遠点でなければステップS18
に進む(実際には、無限遠点の判定はステップS16で
できてしまう。つまり、P=(X,Y)、Q=(X,−
Y)の加算を行うと、λが計算できず、P+Qが無限遠
点であることが判明している)。ステップS18でXp
mod rを計算し、電子署名データcと比較する。最
後に、この値が一致していた場合、ステップS19に進
み、電子署名が正しいと判定する。
【0129】電子署名が正しいと判定された場合、デー
タは改竄されておらず、公開鍵に対応した秘密鍵を保持
する者が電子署名を生成したことがわかる。
【0130】ステップS12において、電子署名データ
cまたはdが、0<c<r、0<d<rを満たさなかっ
た場合、ステップS20に進む。また、ステップS17
において、点Pが無限遠点であった場合もステップS2
0に進む。さらにまた、ステップS18において、Xp
mod rの値が、電子署名データcと一致していなか
った場合にもステップS20に進む。
【0131】ステップS20において、電子署名が正し
くないと判定された場合、データは改竄されているか、
公開鍵に対応した秘密鍵を保持する者が電子署名を生成
したのではないことがわかる。
【0132】本発明のシステムにおけるデバイスは、デ
バイスマネージャの管理登録局を介してデバイスに対し
て発行されるデバイス対応の公開鍵証明書(CERT-DEV)
をデバイスに格納し、さらに、パーティションマネージ
ャの管理登録局を介してデバイスのパーティションに対
して発行されるパーティション対応の公開鍵証明書(CE
RT-PAR)をデバイスの各パーティションに格納する。こ
れらの公開鍵証明書は、デバイスに対する処理、すなわ
ちパーティション登録チケット(PRT)を適用したパ
ーティション登録設定処理、ファイル登録チケット(F
RT)を適用したファイル登録設定処理、さらにサービ
ス許可チケット(SPT)を適用したデータ処理におい
て、チケットユーザ(ex.デバイスアクセス機器とし
てのリーダライタ)とデバイス間の相互認証、署名生
成、検証処理等に適用される。これらの処理の具体例に
ついては、後段でフローを用いて説明する。
【0133】[A7.デバイスのメモリ部における格納
データ]次に、本発明のパーティション分割されたメモ
リ領域を持つデバイスの格納データについて説明する。
先に、図6を用いて説明した通り、デバイスは例えばE
EPROMからなるメモリ部を持ち、主要領域としてパ
ーティション領域、未使用領域、デバイス固有情報およ
びデバイス内パーティション情報領域を有する。これら
各領域の格納データについて以下、図を参照して順次説
明する。
【0134】(A7.1.デバイス固有情報およびデバ
イス内パーティション情報領域)まず、デバイス固有情
報およびデバイス内パーティション情報領域の各データ
について説明する。デバイス固有情報およびデバイス内
パーティション情報領域には、デバイス製造エンティテ
イの情報、デバイスマネージャに関する情報、設定パー
ティション情報、デバイスに対するアクセスを実行して
パーティションの設定登録処理を実行する際に必要とな
る鍵情報などが格納される。
【0135】図14は、製造情報ブロック(Manufactur
e Information Block)のデータ構成を示している。各
領域の数値は、バイト数を示す。図6を用いて説明した
ように、本実施例の構成では1ブロック:32バイト構
成である。なお、図中グレー部分は暗号化されたデータ
でも、暗号化されていなくてもよい。
【0136】製造情報ブロック(Manufacture Informat
ion Block)には、以下のデータが格納される。 * Writable Flag : ブロックへ書き込みが許可されてい
るかの判別フラグ(ex.0xffff : 書込許可, others :書
込不可) * Manufacture Code : カード製造工場識別番号 * Manufacture Equipment Code : カード製造ライン番
号 * Manufacture Date : カード製造日。例えば、2001年1
月1日を0x0000とする * Manufacture Serial Number : カード製造シリアル番
号 * Device Vender Code : ICチップ供給会社番号 * Device Code : ICチップの型番 * Device Parameter : その他のパラメータ
【0137】これらのブロックに書かれる情報は一意に
なるので、これらの情報を基にデバイス(Device)固有
識別子としてIDmと定義する。なお、デバイス(Devi
ce)固有識別子は製造情報ブロック(Manufacture Info
rmation Block)に書き込まれた情報全体、あるいは書
き込まれた情報の一部、または書き込まれた情報に基づ
いて取得される演算データから取得する構成とすること
も可能である。
【0138】図15は、デバイス管理情報ブロック(De
vice Management Information Block)のデータ構成を
示す。デバイス管理情報ブロック(Device Management
Information Block)には以下のデータが格納される。
【0139】* Writable Flag : ブロックへ書き込みが
許可されているかの判別フラグ (ex. 0xffff : 書込許
可, others : 書込不可) * DMC (Device Manager Code) :デバイスマネージャ
(DM:Device Manager)の識別番号 * DMC Version : デバイスマネージャコード(DMC)
のバージョン。例えば、DMCを更新する時の比較条件
として用いられる。 * Total Block Number in Device :デバイス(Device)
内の全ブロック数 * Free Block Number in Device :デバイス(Device)
内の空きブロック数 * Partition Number : 現在登録されているパーティシ
ョン(Partition)数 * Pointer of Free Area :空き領域のポインタ
【0140】図16は、公開鍵系デバイス鍵定義ブロッ
ク(Device Key Definition Block(PUB))のデータ構
成を示す。公開鍵系デバイス鍵定義ブロック(Device K
eyDefinition Block(PUB))には以下のデータが格納
される。
【0141】* PUB_CA(DEV) Pointer :デバイスマネー
ジャの管轄する登録局を介して公開鍵証明書の発行を行
なうデバイスマネージャ対応認証局(CA(DEV))
の公開鍵が格納されているブロックへのポインタ * PUB_CA(DEV) Size :認証局CA(DEV)の公開鍵の
サイズ * PRI_DEV Pointer :デバイス(Device)の秘密鍵が格
納されているブロックへのポインタ * PRI_DEV Size :デバイス(Device)の秘密鍵のサイズ * PARAM_DEV Pointer :デバイス(Device)の公開鍵パ
ラメータが格納されているブロックへのポインタ * PARAM_DEV Size :デバイス(Device)の公開鍵パラメ
ータのサイズ * CERT_DEV Pointer :認証局CA(DEV)が発行した
デバイス(Device)の公開鍵証明書が格納されているブ
ロックへのポインタ * CERT_DEV Size : :認証局CA(DEV)が発行した
デバイス(Device)の公開鍵証明書のサイズ * CRL_DEV Pointer :デバイス(Device)のリボケーシ
ョンリスト(Revocation List)が格納されているブロ
ックへのポインタ * CRL_DEV Size :デバイス(Device)のリボケーション
リスト(Revocation List)のサイズ * PRTIC(PRT Issuer Category) :パーティション登録
チケット(PRT)発行者カテゴリ * PRTIC Version : パーティション登録チケット(PR
T)発行者カテゴリ(PRTIC)のバージョン * DUTIC_DEV(DUT Issuer Category) :データアップデ
ートチケット(DUT:Data Update Ticket)発行者カ
テゴリ * DUTIC_DEV Version :データアップデートチケット
(DUT:Data Update Ticket)発行者(DUTIC)
のバージョン
【0142】なお、上記のデータ中のリボケーションリ
ストとは、不正デバイスのリストとして、例えばデバイ
ス流通システムの管理者が発行するデバイス排除用リス
トであり、不正デバイスの識別データをリスト化したデ
ータである。デバイスアクセス機器としてのリーダライ
タにセットされたデバイスがリボケーションリストに記
載されたデバイスである場合は処理を停止するなどの措
置をとる。
【0143】例えばデバイスに対する処理を実行するす
べてのデバイスアクセス機器としてのリーダライタに常
に最新のリボケーションリストを配布してデバイスに対
して処理を実行する際にリストを参照して処理の実行ま
たは停止を判定する。あるいはデバイスアクセス機器と
してのリーダライタの通信機能によりネットワークを介
して最新のリボケーションリストを閲覧することでリス
トに記載された不正デバイス情報を取得して処理の実行
または停止を判定する。リボケーションリストを利用し
た具体的処理については、フローを用いた説明中で後述
する。
【0144】また、上記のデータ中のデータアップデー
トチケット(DUT:Data UpdateTicket)は、デバイ
スに格納された様々なデータの更新処理を実行する際に
更新処理を許可し制限するためのアクセス制限チケット
であり、前述のPRT,FRT,SPTの各チケットと
同様、デバイスに対するアクセスルールを記録したチケ
ットである。このデータアップデートチケット(DU
T:Data Update Ticket)については、後段でさらに詳
細に説明する。
【0145】図17は、共通鍵系デバイス鍵定義ブロッ
ク(Device Key Definition Block(Common))のデータ
構成を示す。共通鍵系デバイス鍵定義ブロック(Device
KeyDefinition Block(Common))には以下のデータが格
納される。
【0146】* Mkauth_DEV_A Pointer :双方向個別鍵認
証用マスター鍵(MKauth_DEV_A)のポインタ * Mkauth_DEV_A Size :双方向個別鍵認証用マスター鍵
(MKauth_DEV_A)のサイズ * Kauth_DEV_B Pointer :双方向個別鍵認証用鍵(Kauth_
DEV_B)のポインタ * Kauth_DEV_B Size :双方向個別鍵認証用鍵(Kauth_DEV
_B)のサイズ * Kprt Pointer :パーティション登録チケット(PR
T)のMAC検証用鍵(Kprt)が格納されているブロック
へのポインタ * Kprt Size : パーティション登録チケット(PRT)
のMAC検証用鍵(Kprt)のサイズ * Kdut_DEV1-4 Pointer :データアップデートチケット
(DUT)のMAC検証用鍵(Kdut)が格納されているブ
ロックへのポインタ * Kdut_DEV1-4 Size : データアップデートチケット
(DUT)のMAC検証用鍵(Kdut)のサイズ * IRL_DEV Pointer :デバイス(Device)のリボケーシ
ョンリスト(Revocation List)として、不正デバイス
のデバイスID(Device ID)が格納されているブロック
へのポインタ * IRL_DEV Size :デバイス(Device)のリボケーション
リスト(Revocation List)のサイズ
【0147】上述のデータ中に示される双方向個別鍵認
証の方法、MAC(Message Authenticate Code)検証
処理については、後段で詳細に説明する。また、Kdut_D
EV は4種類存在し、(Kdut_DEV1, Kdut_DEV2), (Kdut_D
EV3, Kdut_DEV4) のペアで使われる。例えば、Kdut_DEV
1, 3 はMAC生成用、Kdut_DEV2, 4は暗号用に使われる。
【0148】図18は、デバイス鍵領域(Device Key A
rea)のデータ構成を示す。デバイス鍵領域(Device Ke
y Area)には以下のデータが格納される。なお、デバイ
ス鍵領域(Device Key Area)の各格納鍵には、バージ
ョン情報が併せて格納される。鍵の更新時には、バージ
ョンについても併せて更新される。
【0149】* IRL_DEV :排除デバイス(Device)、排
除機器(デバイスアクセス機器としてのリーダライタ、
PC等のチケットユーザ、チケット発行手段)の識別子
(ID)を登録したリボケーションリスト(Revocation
List (Device ID)) * CRL_DEV :排除デバイス(Device)、排除機器(デバ
イスアクセス機器としてのリーダライタ、PC等のチケ
ットユーザ、チケット発行手段)の公開鍵証明書識別子
(ex.シリアルナンバ:SN)を登録したリボケーシ
ョンリスト(Revocation List (Certificate)) * Kdut_DEV1 :データアップデートチケット(DUT)
のMAC検証用鍵 * Kdut_DEV2 :データ更新用暗号鍵 * Kdut_DEV3 :データアップデートチケット(DUT)
のMAC検証用鍵 * Kdut_DEV4 :データ更新用暗号鍵 * Kprt :パーティション登録チケット(PRT)のMA
C検証用鍵 * CERT_DEV : デバイスマネージャ対応公開鍵を発行す
る認証局CA(DEV)が発行したデバイス(Device)
の公開鍵証明書 * PRI_DEV :デバイス(Device)の秘密鍵 * PARAM_DEV :デバイス(Device)の公開鍵パラメータ * PUB_CA(DEV) :デバイスマネージャ対応公開鍵を発行
する認証局CA(DEV)の公開鍵 * Kauth_DEV_B :双方向個別鍵認証用共通鍵 * MKauth_DEV_A :双方向個別鍵認証用マスター鍵
【0150】なお、図に示すデバイス鍵領域(Device K
ey Area)には Kauth_DEV_A :双方向個別鍵認証用共通
鍵、MKauth_DEV_B :双方向個別鍵認証用マスター鍵が
格納されているが、これらの鍵は、デバイスが共通鍵認
証処理を行なう要請が無い場合は格納しない構成として
もよく、また、Kprt :パーティション登録チケット(P
RT)のMAC検証用鍵についても、デバイスがチケッ
ト検証処理を実行しない構成の場合には格納しない構成
としてもよい。
【0151】また、IRL_DEV :排除デバイス(Device)
のデバイス識別子(ID)を登録したリボケーションリ
スト(Revocation List (Device ID))、 CRL_DEV :排
除デバイス(Device)の公開鍵証明書識別子(ex.シ
リアルナンバ:SN)を登録したリボケーションリスト
(Revocation List (Certificate)、についても、リボ
ーク(排除)されたデバイスが存在しない場合、あるい
は他のソースを使用してリボケーションリストを取得す
る構成とする場合には、リボケーションリストを格納し
ない構成としてもよい。
【0152】図19は、パーティション定義ブロック
(Partition Definition Block)のデータ構成を示す。
パーティション定義ブロック(Partition Definition B
lock)には以下のデータが格納される。
【0153】* PMC (Partition Manager Code) :パーテ
ィションマネージャ(Partition Manager)に割り当て
られたコード(PMC)。例えば番号。 * PMC Version : パーティションマネージャコード(P
MC)のバージョン * Partition Start Position :パーティション(Partit
ion)格納先スタートアドレス * Partition Size :パーティション(Partition)のサ
イズ
【0154】以上が、デバイスのメモリ部のデバイス固
有情報およびデバイス内パーティション情報領域の各デ
ータである。
【0155】(A7.2.パーティション領域)次に、
パーティション領域の各データについて説明する。パー
ティション領域は、パーティションマネージャの管理領
域である。前述したように、デバイスマネージャの管理
するパーティション登録チケット(PRT)発行手段
(PRT Issuer)の発行したPRTチケットに基づい
て各サービス主体としてのパーティションマネージャが
所定の手続き、すなわちパーティション登録チケット
(PRT)に設定されたルールに従ってデバイス内のメ
モリに設定する。以下、パーティション領域のデータ構
成について説明する。
【0156】図20は、パーティション管理情報ブロッ
ク(Partition Management Information Block)のデー
タ構成を示す。パーティション管理情報ブロック(Part
ition Management Information Block)には以下のデー
タが格納される。
【0157】* PMC (Partition Manager Code) :パーテ
ィション(Partition)保有者の番号 * PMC Version :パーティションマネージャコード(P
MC)のバージョン * Total Block Number in Partition :パーティション
(Partition)内の全ブロック数 * Free Block Number in Partition : パーティション
(Partition)内の空きブロック数 * Pointer of Free Area : パーティション(Partitio
n)内の未使用領域のポインタ * File Number :パーティションに現在登録されている
ファイル(File)数
【0158】図21は、公開鍵系パーティション鍵情報
ブロック(Partition Key Definition Block(PUB))の
データ構成を示す。公開鍵系パーティション鍵情報ブロ
ック(Partition Key Definition Block(PUB))には以
下のデータが格納される。
【0159】* PUB_CA(PAR) Pointer :パーティション
マネージャの管轄登録局を介して公開鍵証明書を発行す
る認証局CA(PAR)の公開鍵が格納されているブロ
ックへのポインタ * PUB_CA(PAR) Size :認証局CA(PAR)の公開鍵の
サイズ * PRI_PAR Pointer :パーティション(Partition)の秘
密鍵が格納されているブロックへのポインタ * PRI_PAR Size :パーティション(Partition)の秘密
鍵のサイズ * PARAM_PAR Pointer :パーティション(Partition)の
公開鍵パラメータが格納されているブロックへのポイン
タ * PARAM_PAR Size :パーティション(Partition)の公
開鍵パラメータのサイズ * CERT_PAR Pointer :認証局CA(PAR)が発行した
パーティション(Partition)の公開鍵証明書が格納さ
れているブロックへのポインタ * CERT_PAR Size :認証局CA(PAR)が発行したパ
ーティション(Partition)の公開鍵証明書のサイズ * CRL_PAR Pointer :パーティション(Partition)のリ
ボケーションリスト(Revocation List)が格納されて
いるブロックへのポインタ * CRL_PAR Size :パーティション(Partition)のリボ
ケーションリスト(Rev ocation List)のサイズ* FRTIC(FRT Issuer Categor
y) :ファイル登録チケット(FRT)発行者カテゴリ * FRTIC Version : ファイル登録チケット(FRT)発
行者カテゴリ(FRTIC)のバージョン * DUTIC_PAR(DUT Issuer Category) :データアップデ
ートチケット(DUT)発行者カテゴリ * DUTIC_PAR Version : データアップデートチケット
(DUT)発行者カテゴリ(DUTIC)のバージョン
【0160】図22は、共通鍵系パーティション鍵情報
ブロック(Partition Key Definition Block(Common))
データ構成を示す。共通鍵系パーティション鍵情報ブロ
ック(Partition Key Definition Block(Common))には
以下のデータが格納される。
【0161】* Mkauth_PAR_A Pointer : 双方向個別鍵
認証用マスター鍵(MKauth_PAR_A)のポインタ * Mkauth_PAR_A Size :双方向個別鍵認証用マスター鍵
(MKauth_PAR_A)のサイズ * Kauth_PAR_B Pointer :双方向個別鍵認証用鍵(Kauth_
PAR_B)のポインタ * Kauth_PAR_B Size :双方向個別鍵認証用鍵(Kauth_PAR
_B)のサイズ * Kfrt Pointer :ファイル登録チケット(FRT)のM
AC検証用鍵(Kfrt)が格納されているブロックへのポイ
ンタ * Kfrt Size :ファイル登録チケット(FRT)のMA
C検証用鍵(Kfrt)のサイズ * Kdut_PAR1-4 Pointer :データアップデートチケット
(DUT)のMAC検証用鍵(Kdut)が格納されているブ
ロックへのポインタ * Kdut_PAR1-4 Size : データアップデートチケット
(DUT)のMAC検証用鍵(Kdut)のサイズ * IRL_PAR Pointer :パーティション(Partition)の排
除デバイスのIDを格納したリボケーションリスト(Re
vocation List−Device ID)が格納されているブロック
へのポインタ * IRL_PAR Size :パーティション(Partition)のリボ
ケーションリスト(Revocation List−Device ID)のサ
イズ
【0162】上述のデータ中に示される双方向個別鍵認
証の方法、MAC(Message Authenticate Code)検証
処理については、後段で詳細に説明する。また、Kdut_P
AR は4種類存在し、(Kdut_PAR1, Kdut_PAR2), (Kdut_P
AR3, Kdut_PAR4) のペアで使われる。例えば、Kdut_PAR
1, 3 はMAC生成用、Kdut_PAR2, 4は暗号用に使われる。
【0163】図23は、パーティション鍵領域(Partit
ion Key Area)のデータ構成を示す。パーティション鍵
領域(Partition Key Area)には以下のデータが格納さ
れる。なお、パーティション鍵領域(Partition Key Ar
ea)の各格納鍵には、バージョン情報が併せて格納され
る。鍵の更新時には、バージョンについても併せて更新
される。
【0164】* IRL_PAR :パーティションアクセス排除
デバイス(Device)、排除機器(デバイスアクセス機器
としてのリーダライタ、PC等のチケットユーザ、チケ
ット発行手段)の識別子(ID)を登録したリボケーシ
ョンリスト(Revocation List (Device ID)) * CRL_PAR :パーティションアクセス排除デバイス(Dev
ice)、排除機器(デバイスアクセス機器としてのリー
ダライタ、PC等のチケットユーザ、チケット発行手
段)の公開鍵証明書識別子(ex.シリアルナンバ:S
N)を登録したリボケーションリスト(Revocation Lis
t (Certificate) * Kdut_PAR1 :データアップデートチケット(DUT)
のMAC検証用鍵* Kdut_PAR2 :データ更新用暗号鍵 * Kdut_PAR3 : データアップデートチケット(DUT)
のMAC検証用鍵 * Kdut_PAR4 :データ更新用暗号鍵 * Kfrt :ファイル登録チケット(FRT)のMAC検証
用鍵 * CERT_PAR :認証局CA(PAR)が発行したパーティ
ション(Partition)の公開鍵証明書 * PRI_PAR :パーティション(Partition)の秘密鍵 * PARAM_PAR :パーティション(Partition)の公開鍵パ
ラメータ * PUB_CA(PAR) :認証局CA(PAR)の公開鍵 * Mkauth_PAR_A :双方向個別鍵認証用マスター鍵 * Kauth_PAR_B :双方向個別鍵認証用共通鍵
【0165】図24は、ファイル定義ブロック(FD
B:File Definition Block)のデータ構成を示す。フ
ァイル定義ブロック(File Definition Block)には以
下のデータが格納される。
【0166】* File ID :ファイル(File)識別名 * File Start Position :ファイル(File)スタートア
ドレス * File Size :ファイル(File)サイズ * SPTIC(SPT Issuer Category) :サービス許可チケッ
ト(SPT)発行者カテゴリ * SPTIC Version : サービス許可チケット(SPT)発
行者カテゴリ(SPTIC)のバージョン * File Structure Type Code :ファイル構造タイプ(Fi
le Structure Type)のコード * Acceptable Authentication Type :許容認証タイプを
示す。各ファイル構造タイプ(File Structure Type)
に対して定義されるアクセスモードとこのフィールドの
各ビット(本例では最大16個)が対応する。詳細は下
記に説明する。 * Acceptable Verification Type:許容検証タイプを示
す。各ファイル構造タイプ(File Structure Type)に
対して、定義されるアクセスモードとこのフィールドの
各ビット(本例では最大16個)が対応する。詳細は下
記に説明する。 * Kspt :サービス許可チケット(SPT)のMAC検証
用鍵(Kspt)
【0167】上記の許容認証タイプ(Acceptable Authe
ntication Type)は、各ファイル構造タイプ(File Str
ucture Type)に対して定義されるアクセスモードとこ
のフィールドの各ビット(本例では最大16個)が対応
するように設定された許容認証タイプであり、例えばあ
るアクセスモードを実行する際に、そのモードに対応す
るビットに1がたっている場合には、公開鍵認証が済ん
で認証済みでないと実行されれないものとする。これに
より、より重要度の高いコマンド(例えば入金処理な
ど)の実行の際には、公開鍵認証を義務づけ、安全性を
確保できる。チケットを用いることで同様の制御も可能
ではあるが、許容認証タイプ(AcceptableAuthenticati
on Type)は、チケットと異なり、ファイル定義ブロッ
ク(FDB:File Definition Block)の一部としてデ
バイスに格納されることになるため、この情報はファイ
ル生成後に変更されることがない。従って、絶対に許容
認証タイプの変更を許さない強い制約を与えたいときに
利用することにより、安全性の最低限の保証を与えるこ
とができる。
【0168】また上記の許容検証タイプ(Acceptable V
erification Type)は、各ファイル構造タイプ(File S
tructure Type)に対して定義されるアクセスモードと
このフィールドの各ビット(本例では最大16個)が対
応するように設定された許容検証タイプであり、例えば
あるアクセスモードを実行する際に、そのモードに対応
するビットに1がたっている場合には、公開鍵方式によ
るチケット検証が済んでないと実行されれないものとす
る。この例では、各フィールドを2バイトづつにしたた
め、最大16個のアクセスモードとの対応付けしかでき
ないが、必要に応じてフィールドサイズを大きくとるこ
とにより、より多くのコマンドに対応付ける構成とする
ことができる。
【0169】また、本実施例構成においては、許容認証
タイプ(Acceptable Authentication Type)、許容検証
タイプ(Acceptable Verification Type)は設定が
「1」のときに公開鍵方式の認証または検証を必要とす
る設定としてあるが、これらの各フィールドを2ビット
単位の構成として、値が「11」の場合には公開鍵方
式、「01」の場合には共通鍵方式、「00」「10」
の場合には公開鍵方式、共通鍵方式のいずれでもは許容
する、などの細分化した設定としてもよい。
【0170】上述のデータ中のファイル構造タイプ(Fi
le Structure Type)は、パーティション内に生成され
るファイルの構造を示すコードである。ファイル構造と
コードの対応の一例を図25に示す。
【0171】ファイル構造には、図25に示す各種構造
(File Structure)があり、それぞれにコード0001
〜0007が割り当てられる。各構造の意味を以下に示
す。
【0172】* Random :本ファイル構造を持つデータは
すべての読書きがランダムに可能なファイルである。 * Purse :本ファイル構造を持つデータは、金額情報デ
ータであり、減算(Sub)、加算(Add)など金額の価値
変更処理が可能であるデータファイルである。 * Cyclic :本ファイル構造を持つデータは循環型(Cycl
ic)のデータ書き込みが可能なファイル構造である。 * Log :本ファイル構造を持つデータは、ログデータフ
ァイルであり、各データ処理情報についての記録情報フ
ァイルである。 * Key :本ファイル構造を持つデータファイルは、鍵情
報ファイルであることを示す。 * 複合ファイル :上記各種ファイル構造の複合構造(E
x.PurseとLog)を持つファイルである。複合ファイル
には、その組み合わせパターンにより異なるコード(図
では0006:複合ファイル1、0007:複合ファイ
ル2)が割り当てられる。
【0173】以上、デバイスのメモリ部に格納されるデ
ータについて説明した。これらのデータを用いた具体的
な処理については、後段で説明する。
【0174】[A8.各チケットのデータフォーマッ
ト]前述したように、デバイスに対するパーティション
の設定登録処理には、正当なチケット発行手段(Ticket
Issuer)の発行したパーティション登録チケット(P
RT:Partition Registration Ticket)、デバイスに
設定されたパーティション内に対するファイルの設定登
録処理には、正当なチケット発行手段(Ticket Issue
r)の発行したファイル登録チケット(FRT:File Re
gistration Ticket)、また、各ファイルに対するアク
セスには正当なチケット発行手段(Ticket Issuer)の
発行したサービス許可チケット(SPT:Service Perm
ission Ticket)が必要となる。また、前述のデバイス
のメモリ部のデータ説明の欄で簡単に説明したように、
デバイス格納データの更新処理にはデータアップデート
チケット(DUT)を必要とする。
【0175】これらの各チケットはデバイスに対するア
クセスルールをバイナリデータとして記述したデータ列
によって構成される。チケットはデバイスに対する処理
に応じて、チケットユーザである例えばデバイスアクセ
ス機器としてのリーダライタからデバイスに送信され
る。チケットを受信したデバイスはチケットの正当性検
証処理を実行し、正当性検証に成功した場合、チケット
に記録されたルールに従って各種の処理(ex.パーテ
ィション生成、ファイル生成、データアクセス)が実行
される。以下、これらの各チケットのデータフォーマッ
トについて説明する。
【0176】(A8.1.パーティション登録チケット
(PRT))パーティション登録チケット(PRT:Pa
rtition Registration Ticket)は、デバイスに対する
パーティションの設定登録処理の際に適用されるアクセ
スコントロールチケットである。正当なデバイスマネー
ジャ管轄下のチケット発行手段(Ticket Issuer)の発
行したPRTを用い、PRTに記録された手続きに従っ
て、パーティションマネージャの管轄下のチケットユー
ザ(ex.デバイスアクセス機器としてのリーダライ
タ)によりデバイスにアクセスすることで、PRTに記
録された制限内でパーティションを設定することができ
る。
【0177】図26にパーティション登録チケット(P
RT:Partition Registration Ticket)のデータフォ
ーマットを示す。パーティション登録チケット(PR
T:Partition Registration Ticket)には以下に説明
するデータが格納される。
【0178】* Ticket Type :チケット(Ticket)の種
別。 * Format Version :チケット(Ticket)のフォーマット
バージョン * Ticket Issuer :デバイスマネージャの識別子(=D
MC) * Serial Number :チケット(Ticket)のシリアル番号 * Size of Ticket :チケット(Ticket)のサイズ * Authentication Flag :チケット(Ticket)の利用処
理においてデバイス(Device)との相互認証が必要か否
かを示すフラグ * Ticket User の所属(Group) :チケット(Ticket)利
用者の所属 * Authentication Type :デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any)) * Ticket User の識別子 :チケット(Ticket)利用者を
判別する識別データ(カテゴリまたは識別子) 当フィールドは、[Authentication Type]と連携した
データとされ、[Authentication Type]が公開鍵認証
の場合:識別名(DN:Distinguished Name)またはカ
テゴリ(Category)またはシリアル番号(SN)が格納
され,共通鍵認証の場合、:認証IDが格納される。認
証不要の場合は格納は必須ではない。 * PMC:パーティションマネージャコード(Partition Ma
nager Code)として、パーティション定義ブロック(Pa
rtition Definition Block)に記述されるコード * PMC Version : パーティションマネージャコード(P
MC)のバージョン * Operation Type :パーティション(Partition)作成
か削除かの指定 (作成(Generate) / 削除(Delete)) * Partition Size :パーティション(Partition)のサ
イズ * Integrity Check Type :チケット(Ticket)の正当性
検証値の種別(公開鍵方式(Public) /共通鍵方式(Commo
n)) * Integrity Check Value :チケット(Ticket)の正当
性検証値(公開鍵方式:署名(Signature)、共通鍵方
式:MAC)
【0179】なお、パーティション登録チケット(PR
T)発行手段(PRT Issuer)の発行したチケット(Tick
et)を、チケットユーザに対して送信する際には、公開
鍵方式の場合、パーティション登録チケット(PRT)
発行手段(PRT Issuer)の公開鍵証明書(CERT_PRTI)
も一緒に送信する。PRT発行手段の公開鍵証明書(CE
RT_PRTI)の属性(Attribute)は、PRT発行手段(P
RT Issuer)の識別子(PRTIC)と一致する。
【0180】デバイス(Device)の相互認証のタイプ
(公開鍵認証、または、共通鍵認証、または、いずれで
も可(Any))を記録した[Authentication Type]に
は、チケットを使用した相互認証として実行すべき認証
タイプが記録される。具体的には、後段で詳細に説明す
るが、デバイス認証、パーティション認証のいずれか、
または両方の認証を実行する指定、また公開鍵方式、共
通鍵方式のどちらを実行するか、またはいずれの認証で
も可能であるかについての情報が記録される。
【0181】チケット(Ticket)の正当性検証値(公開
鍵方式:署名(Signature)、共通鍵方式:MAC)を
記録する[Integrity Check Value]フィールドには、
公開鍵方式であれば、パーティション登録チケット発行
手段(PRT Issuer)の秘密鍵に基づく署名(図12
参照)が生成され格納される。デバイスマネージャ自体
がパーティション登録チケット発行手段(PRT Issue
r)を兼ねる場合は、デバイスマネージャの秘密鍵を用
いて署名が生成される。署名検証処理(図13参照)の
際は、対応のCA(DEV)の公開鍵が用いられる。従
って、チケット検証を実行するデバイスは、チケット受
領に際し、または前もってパーティション登録チケット
発行手段(PRT Issuer)(ex.デバイスマネージ
ャ)の公開鍵(公開鍵証明書)を取得することが必要で
ある。
【0182】パーティション登録チケット(PRT)発
行手段(PRT Issuer)の公開鍵証明書(CERT_PRTI)の
検証の後、公開鍵証明書(CERT_PRTI)から取り出した
パーティション登録チケット(PRT)発行手段(PRT
Issuer)の公開鍵によりICV(Integrity Check Valu
e)の署名検証が可能となる。これらの処理について
は、フローを用いて後段で説明する。
【0183】(A8.2.ファイル登録チケット(FR
T))ファイル登録チケット(FRT:File Registrat
ion Ticket)は、デバイスに対して設定されたパーティ
ションにファイルを設定登録する際に適用されるアクセ
スコントロールチケットである。正当なパーティション
マネージャ管轄下のチケット発行手段(Ticket Issue
r)の発行したFRTを用い、FRTに記録された手続
きに従ってチケットユーザ(ex.デバイスアクセス機
器としてのリーダライタ)によりデバイスにアクセスす
ることで、FRTに記録された制限内でファイルを設定
することができる。
【0184】図27にファイル登録チケット(FRT:
File Registration Ticket)のデータフォーマットを示
す。ファイル登録チケット(FRT:File Registratio
n Ticket)には以下に説明するデータが格納される。
【0185】* Ticket Type :チケット(Ticket)の種
別 * Format Version :チケット(Ticket)のフォーマット
バージョン * Ticket Issuer :パーティションマネージャの識別子
(=PMC) * Serial Number :チケット(Ticket)のシリアル番号 * Size of Ticket :チケット(Ticket)のサイズ * Authentication Flag :チケット(Ticket)の利用処
理においてデバイス(Device)との相互認証が必要か否
かを示すフラグ * Ticket User の所属(Group) :チケット(Ticket)利
用者の所属 * Authentication Type :デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any)) * Ticket User の識別子 :チケット(Ticket)利用者を
判別する識別データ(カテゴリまたは識別子) 当フィールドは、[Authentication Type]と連携した
データとされ、[Authentication Type]が公開鍵認証
の場合:識別名(DN:Distinguished Name)またはカ
テゴリ(Category)またはシリアル番号(CN)が格納
され,共通鍵認証の場合、:認証IDが格納される。認
証不要の場合は格納は必須ではない。 * SPTIC :サービス許可チケット発行手段のコード * SPTIC Ver : サービス許可チケット発行手段のコード
(SPTIC)のバージョン * File ID :パーティション内に生成するファイル(Fil
e)の識別子(ID) * Operation Type :ファイルの作成か削除かの指定
(生成(Generate)/削除(Delete)) * File Size :生成するファイル(File)のサイズ * File Structure :生成するファイル(File)のファイ
ル構造(Structure) * Acceptable Authentication Type :このチケットで定
義されるファイルに対するアクセスモードを実行するタ
ために必要とする相互認証の種類(公開鍵方式、公開
鍵、共通鍵いずれでも可)を表すビット列 * Acceptable Verification Type :このチケットで定義
されるファイルに対するアクセスモードを実行するタた
めに必要とするサービス許可チケット(SPT)の検証
の種類(公開鍵方式、公開鍵、共通鍵いずれでも可)を
表すビット列 * Kspt_Encrypted :ファイル定義ブロック(File Defin
ition Block)に記載されるサービス許可チケット(S
PT)のMAC検証用鍵 Kspt を そのパーティション
のファイル登録チケットのMAC検証用鍵 Kfrt で暗号
化したデータKfrt(Kspt) * Integrity Check Type :チケット(Ticket)の正当性
検証値の種別(公開鍵方式(Public) /共通鍵方式(Commo
n)) * Integrity Check Value :チケット(Ticket)の正当
性検証値(公開鍵方式:署名(Signature)、共通鍵方
式:MAC)
【0186】なお、ファイル登録チケット(FRT)発
行手段(FRT Issuer)の発行したチケット(Ticket)
を、チケットユーザに対して送信する際には、公開鍵方
式の場合、ファイル登録チケット(FRT)発行手段
(FRT Issuer)の公開鍵証明書(CERT_FRTI)も一緒に
送信する。FRT発行手段の公開鍵証明書(CERT_FRT
I)の属性(Attribute)は、ファイル登録チケット(F
RT)発行手段(FRT Issuer)の識別子(FRTIC)と一
致する。
【0187】デバイス(Device)の相互認証のタイプ
(公開鍵認証、または、共通鍵認証、または、いずれで
も可(Any))を記録した[Authentication Type]に
は、チケットを使用した相互認証として実行すべき認証
タイプが記録される。具体的には、後段で詳細に説明す
るが、デバイス認証、パーティション認証のいずれか、
または両方の認証を実行する指定、また公開鍵方式、共
通鍵方式のどちらを実行するか、またはいずれの認証で
も可能であるかについての情報が記録される。
【0188】チケット(Ticket)の正当性検証値(公開
鍵方式:署名(Signature)、共通鍵方式:MAC)を
記録する[Integrity Check Value]フィールドには、
公開鍵方式であれば、ファイル登録チケット発行手段
(FRT Issuer)の秘密鍵に基づく署名(図12参
照)が生成され格納される。パーティションマネージャ
自体がファイル登録チケット発行手段(FRT issue
r)を兼ねる場合は、パーティションマネージャの秘密
鍵を用いて署名が生成される。署名検証処理(図13参
照)の際は、ファイル登録チケット発行手段の公開鍵が
用いられる。従って、チケット検証を実行するデバイス
は、チケット受領に際し、または前もってファイル登録
チケット発行手段(FRT Issuer)(ex.パーティ
ションマネージャ)の公開鍵(公開鍵証明書)を取得す
ることが必要である。
【0189】ファイル登録チケット(FRT)発行手段
(FRT Issuer)の公開鍵証明書(CERT_FRTI)の検証の
後、公開鍵証明書(CERT_FRTI)から取り出したファイ
ル登録チケット(FRT)発行手段(FRT Issuer)の公
開鍵によりICV(IntegrityCheck Value)の署名検証
が可能となる。これらの処理については、フローを用い
て後段で説明する。
【0190】(A8.3.サービス許可チケット(SP
T))サービス許可チケット(SPT:Service Permis
sion Ticket)は、デバイスに対して設定されたパーテ
ィション内の各データに対してアクセスしてデータ読み
出し、データ書き込み、金額データの減算、加算などの
処理を実行する際に適用されるアクセスコントロールチ
ケットである。正当なパーティションマネージャ管轄下
のチケット発行手段(Ticket Issuer)の発行したSP
Tを用い、SPTに記録された手続きに従ってチケット
ユーザ(ex.デバイスアクセス機器としてのリーダラ
イタ)によりデバイスにアクセスすることで、SPTに
記録された制限内でデータ処理を実行することができ
る。
【0191】なお、サービス許可チケット(SPT:Se
rvice Permission Ticket)は、パーティションに設定
されたファイルの中から唯一のファイルに対してのみア
クセスを許可する形式と、複数のファイルに対するアク
セスを許可する形式とがあり、それぞれの形式について
説明する。
【0192】図28に、パーティションに設定されたフ
ァイルの中から唯一のファイルに対してのみアクセスを
許可する形式のサービス許可チケット(SPT:Servic
e Permission Ticket)のデータフォーマットを示す。
サービス許可チケット(SPT:Service Permission T
icket)には以下に説明するデータが格納される。
【0193】* Ticket Type :チケット(Ticket)の種
別。 * Format Version :チケット(Ticket)のフォーマット
バージョン * Ticket Issuer :パーティションマネージャの識別子
(=PMC) * Serial Number :チケット(Ticket)のシリアル番号 * Size of Ticket :チケット(Ticket)のサイズ * Authentication Flag :チケット(Ticket)の利用処
理においてデバイス(Device)との相互認証が必要か否
かを示すフラグ * Ticket User の所属(Group) :チケット(Ticket)利
用者の所属 * Authentication Type :デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any)) * Ticket User の識別子 :チケット(Ticket)利用者を
判別する識別データ(カテゴリまたは識別子) 当フィールドは、[Authentication Type]と連携した
データとされ、[Authentication Type]が公開鍵認証
の場合:識別名(DN:Distinguished Name)またはカ
テゴリ(Category)またはシリアル番号(CN)が格納
され,共通鍵認証の場合、:認証IDが格納される。認
証不要の場合は格納は必須ではない。 * File ID :パーティション内のアクセスファイル(Fil
e)の識別子(ID) * File Access Mode :アクセスを許諾するファイル(Fi
le)へのアクセスモード(Access Mode) * Integrity Check Type :チケット(Ticket)の正当性
検証値の種別(公開鍵方式(Public) /共通鍵方式(Commo
n)) * Integrity Check Value :チケット(Ticket)の正当
性検証値(公開鍵方式:署名(Signature)、共通鍵方
式:MAC)
【0194】なお、サービス許可チケット(SPT)発
行手段(SPT Issuer)の発行したチケット(Ticket)
を、チケットユーザに対して送信する際には、公開鍵方
式の場合、サービス許可チケット(SPT)発行手段
(SPT Issuer)の公開鍵証明書(CERT_SPTI)も一緒に
送信する。SPT発行手段の公開鍵証明書(CERT_SPT
I)の属性(Attribute)は、(SPT)発行手段(SPT
Issuer)の識別子(SPTIC)と一致する。
【0195】サービス許可チケット(SPT)発行手段
(SPT Issuer)を、パーティションマネージャが兼ねる
構成においては、サービス許可チケット(SPT)発行
手段(SPT Issuer)のコードは、パーティションマネー
ジャコード(PMC)として設定することが可能であ
る。
【0196】デバイス(Device)の相互認証のタイプ
(公開鍵認証、または、共通鍵認証、または、いずれで
も可(Any))を記録した[Authentication Type]に
は、チケットを使用した相互認証として実行すべき認証
タイプが記録される。具体的には、後段で詳細に説明す
るが、デバイス認証、パーティション認証のいずれか、
または両方の認証を実行する指定、また公開鍵方式、共
通鍵方式のどちらを実行するか、またはいずれの認証で
も可能であるかについての情報が記録される。
【0197】チケット(Ticket)の正当性検証値(公開
鍵方式:署名(Signature)、共通鍵方式:MAC)を
記録する[Integrity Check Value]フィールドには、
公開鍵方式であれば、サービス許可チケット発行手段
(SPT Issuer)の秘密鍵に基づく署名(図12参
照)が生成され格納される。パーティションマネージャ
自体がサービス許可チケット発行手段(SPT Issue
r)を兼ねる場合は、パーティションマネージャの秘密
鍵を用いて署名が生成される。署名検証処理(図13参
照)の際は、サービス許可チケット(SPT)発行手段
(SPT Issuer)の公開鍵が用いられる。従って、チケッ
ト検証を実行するデバイスは、チケット受領に際し、ま
たは前もってサービス許可チケット発行手段(SPT I
ssuer)(ex.パーティションマネージャ)の公開鍵
(公開鍵証明書)を取得することが必要である。
【0198】サービス許可チケット(SPT)発行手段
(SPT Issuer)の公開鍵証明書(CERT_SPTI)の検証の
後、公開鍵証明書(CERT_SPTI)から取り出したサービ
ス許可チケット(SPT)発行手段(SPT Issuer)の公
開鍵によりICV(IntegrityCheck Value)の署名検証
が可能となる。これらの処理については、フローを用い
て後段で説明する。
【0199】上述のチケット・フォーマットの説明中、
File Access Mode :アクセスを許諾するファイル(Fil
e)へのアクセスモード(Access Mode)に記録されるモ
ードとアクセス態様について、図29を用いて説明す
る。
【0200】ファイルとして生成されるデータは、ユー
ザの識別データ、金額データ、暗号処理鍵データ、ログ
データ、あるいは複合ファイルデータなど様々であり、
各データに応じたアクセス処理、すなわちデータ読み取
り、書き込み、消去、加算、減算、暗号化、復号…がア
クセスデータに対して実行されることになる。
【0201】サービス許可チケット(SPT)のFile A
ccess Modeには、このような様々なアクセスの態様中、
いずれのアクセスモードを許可しているものかを定義し
ている。アクセスモードの一覧を図29に示す。図29
に示すアクセスモードは一例であり、この他にもデバイ
スに格納されるデータに応じたアクセスモードを設定す
ることができる。
【0202】サービス許可チケット(SPT)に設定さ
れた[File ID :パーティション内のアクセスファイル
(File)の識別子(ID)]によって示されるファイル
に対してファイルアクセスモード[File Access Mode]
に定義された処理が実行できる。サービス許可チケット
(SPT)に設定されたファイルアクセスモードが読み
出し(Read)であればファイル内データの読み出しが実
行できる。サービス許可チケット(SPT)に設定され
たファイルアクセスモードが書き込み(Write)であれ
ばファイル内へのデータの書き込みが実行できる。
【0203】このようなアクセスモードは、前述したフ
ァイル構造(File Structure)(図25参照)によって
設定可能なモードが制限される。例えばファイル構造が
purseであれば金額データであり、加算(add)、減算(S
ub)等のアクセスモードの設定が可能となる。このよう
なファイル構造と、設定可能なアクセスモード、さら
に、デバイスアクセス機器としてのリーダライタからデ
バイスに対して送信されるコマンドの例を図30に示
す。
【0204】図30には、ファイル構造がRandom
の場合と、複合ファイルの場合に設定可能なアクセスモ
ード、およびコマンド例を示している。
【0205】例えばファイル構造がRandomの場合
において、アクセスモードが読み出し(Read)であ
る場合、デバイスが許容可能なコマンドは[Read]
のみとなる。また、同様にファイル構造がRandom
の場合において、アクセスモードが暗号化読み出し(R
ead)である場合、デバイスが許容可能なコマンドは
暗号化読み出し[EncRead]のみとなる。
【0206】また、ファイル構造がPurseおよびLogを含
むような複合ファイルの場合において、アクセスモード
が入金系である場合、デバイスが許容可能なコマンドは
預け入れ[Deposit]のみとなる。また、同様に
ファイル構造がPurseおよびLogを含むような複合ファイ
ルの場合において、アクセスモードが出金系である場
合、デバイスが許容可能なコマンドは引き出し[Wit
hdraw]、レシート生成[Make Receip
t]、レシート読み出し[Read Receipt]
となる。
【0207】ファイルアクセスモード(図29参照)の
入金系に対応する許容コマンド(図30参照)として、
上述の預け入れコマンド(Deposit Command)を定義
し、アクセス許可チケットのファイルアクセスモード
(File Access Mode)に[入金系]を設定し、ファイル
ID(File ID)として、電子マネーを構成する複合ファ
イルを指定したアクセス許可チケット(SPT)を生成
して、ファイルアクセス装置からデバイスに対して送信
し、預け入れコマンド(Deposit Command)とともに、
預け入れ金額データを送信することにより、例えば、複
合ファイル中のファイル[Purse]にX円を加算
し、複合ファイル中のファイル[Log]に処理記録を
書き込むなどのシーケンシャル処理を実行させることが
可能となる。これらの処理についての詳細は、後述す
る。
【0208】図30に示す他にも、様々なアクセスモー
ド、コマンドの組合わせが可能であり、実際のデバイス
の利用形態に応じて設定されることになる。
【0209】デバイスは、メモリ部に格納された各ファ
イルに対して許容されるコマンドの定義データを図30
のようなテーブルとして保有し、前記アクセス機器から
入力されるコマンドが前記定義データに定義されたコマ
ンドである場合にのみコマンドを実行する。複合ファイ
ルに対して許容されるコマンドの定義データには、上述
したように複合ファイルに含まれる複数ファイルの各々
に対応して実行可能な複数のコマンドからなるシーケン
スコマンドを含む。
【0210】処理対象となる特定のファイルをサービス
許可チケット(SPT)のファイルID(File ID)欄に
設定し、所定のアクセスモードをサービス許可チケット
(SPT)のファイルアクセスモード(File Access Mo
de)に設定することで、当該サービス許可チケット(S
PT)を利用したファイルアクセスをコントロールする
ことが可能となる。具体的処理については、後段でフロ
ーを用いて説明する。
【0211】次に、図31に、パーティションに設定さ
れたファイル中の複数ファイルに対してアクセスを許可
する形式のサービス許可チケット(SPT:Service Pe
rmission Ticket)のデータフォーマットを示す。サー
ビス許可チケット(SPT:Service Permission Ticke
t)には以下に説明するデータが格納される。
【0212】* Ticket Type :チケット(Ticket)の種
別。 * Format Version :チケット(Ticket)のフォーマット
バージョン * Ticket Issuer :パーティションマネージャの識別子
(=PMC) * Serial Number :チケット(Ticket)のシリアル番号 * Size of Ticket :チケット(Ticket)のサイズ * Authentication Flag :チケット(Ticket)の利用処
理においてデバイス(Device)との相互認証が必要か否
かを示すフラグ * Ticket User の所属(Group) :チケット(Ticket)利
用者の所属 * Authentication Type :デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any)) * Ticket User の識別子 :チケット(Ticket)利用者を
判別する識別データ(カテゴリまたは識別子) 当フィールドは、[Authentication Type]と連携した
データとされ、[Authentication Type]が公開鍵認証
の場合:識別名(DN:Distinguished Name)またはカ
テゴリ(Category)が格納され,共通鍵認証の場合、:
認証IDが格納される。認証不要の場合は格納は必須で
はない。 * File ID :パーティション内のアクセスファイル(Fil
e)の識別子(ID) * File Access Mode :アクセスを許諾するファイル(Fi
le)へのアクセスモード(Access Mode) * Group of Target File :アクセスを許すファイル(Fi
le)のグループ(Group) * Target File ID :アクセスを許すファイル(File)の
識別子(ID) * Read/Write Permission : アクセスを許すファイル
(File)(ターゲットファイル(Target File))に対
する処理態様(読み出し(Read),書き込み(Write))
の許可 * Integrity Check Type :チケット(Ticket)の正当性
検証値の種別(公開鍵方式(Public) /共通鍵方式(Commo
n)) * Integrity Check Value :チケット(Ticket)の正当
性検証値(公開鍵方式:署名(Signature)、共通鍵方
式:MAC)
【0213】このように、Group of Target File :アク
セスを許すファイル(File)のグループ(Group)を定
義してチケットに記録することにより、パーティション
内の複数のファイルに対するアクセスを唯一のサービス
許可チケット(SPT)で許可することが可能となる。
【0214】なお、上述のサービス許可チケット(SP
T)発行手段(SPT Issuer)の発行したチケット(Tick
et)を、チケットユーザに対して送信する際にも、公開
鍵方式の場合、サービス許可チケット(SPT)発行手
段(SPT Issuer)の公開鍵証明書(CERT_SPTI)も一緒
に送信する。SPT発行手段の公開鍵証明書(CERT_SPT
I)の属性(Attribute)は、サービス許可チケット(S
PT)発行手段(SPT Issuer)の識別子(SPTIC)と一致
する。
【0215】デバイス(Device)の相互認証のタイプ
(公開鍵認証、または、共通鍵認証、または、いずれで
も可(Any))を記録した[Authentication Type]に
は、チケットを使用した相互認証として実行すべき認証
タイプが記録される。具体的には、後段で詳細に説明す
るが、デバイス認証、パーティション認証のいずれか、
または両方の認証を実行する指定、また公開鍵方式、共
通鍵方式のどちらを実行するか、またはいずれの認証で
も可能であるかについての情報が記録される。
【0216】サービス許可チケット(SPT)発行手段
(SPT Issuer)の公開鍵証明書(CERT_SPTI)の検証の
後、公開鍵証明書(CERT_SPTI)から取り出したサービ
ス許可チケット(SPT)発行手段(SPT Issuer)の公
開鍵によりICV(IntegrityCheck Value)の署名検証
が可能となる。これらの処理については、フローを用い
て後段で説明する。
【0217】(A8.4.データアップデートチケット
(DUT))データアップデートチケット(DUT:Da
ta Update Ticket)は、デバイスに格納された様々なデ
ータに対してアクセスしてデータの更新処理を実行する
際に適用されるアクセスコントロールチケットである。
正当なデータアップデートチケット(DUT)発行手段
(Ticket Issuer)の発行したDUTを用い、DUTに
記録された手続きに従ってチケットユーザ(ex.デバ
イスアクセス機器としてのリーダライタ)によりデバイ
スにアクセスすることで、DUTに記録された制限内で
データ処理を実行することができる。
【0218】なお、データアップデートチケット(DU
T:Data Update Ticket)は、デバイスマネージャの管
理するデータ項目の更新処理を実行するために適用され
るチケットDUT(DEV)と、パーティションマネー
ジャの管理するパーティション内のデータ項目の更新処
理を実行するために適用されるチケットDUT(PA
R)がある。チケット:DUT(DEV)発行手段はデ
バイスマネージャの管理下にあり、チケット:DUT
(PAR)発行手段はパーティションマネージャの管理
下にある。
【0219】図32に、2つのデータアップデートチケ
ット(DUT:Data Update Ticket)、DUT(DE
V)、DUT(PAR)のデータフォーマットを示す。
データアップデートチケット(DUT:Data Update Ti
cket)には以下に説明するデータが格納される。
【0220】* Ticket Type :チケット(Ticket)の種
別(DUT(DEV)/DUT(PAR) * Format Version :チケット(Ticket)のフォーマット
バージョン * Ticket Issuer :デバイス/パーティションマネージ
ャの識別子。チケット(Ticket)の種別(Ticket Typ
e)がDUT(DEV)ならDMC、DUT(PAR)
ならPMCとなる * Serial Number :チケット(Ticket)のシリアル番号 * Size of Ticket :チケット(Ticket)のサイズ * Ticket User の所属(Group) :チケット(Ticket)利
用者の所属 * Ticket User の識別子 :チケット(Ticket)利用者を
判別する識別データ(カテゴリまたは識別子) 当フィールドは、[Authentication Type]と連携した
データとされ、[Authentication Type]が公開鍵認証
の場合:識別名(DN:Distinguished Name)またはカ
テゴリ(Category)が格納され,共通鍵認証の場合、:
認証IDが格納される。認証不要の場合は格納は必須で
はない。 * Authentication Type :デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any)) * Encrypted Flag :更新されるデータが暗号化されてい
るか否か (暗号化:Encrypted /非暗号化:none) * Old Data Code :更新される古いデータのコード(Cod
e) * Data Version Rule :データ更新をする時のバージョ
ン条件 * Data Version Condition :データ更新をする時のバー
ジョン値 * Size of New Data : 更新する新しいデータのサイズ * New Data : 更新する新しいデータ(暗号化される場
合もある)。 * New Data Version : 更新するデータのバージョン * Integrity Check Type :チケット(Ticket)の正当性
検証値の種別(公開鍵方式(Public) /共通鍵方式(Commo
n)) * Integrity Check Value :チケット(Ticket)の正当
性検証値(公開鍵方式:署名(Signature)、共通鍵方
式:MAC)
【0221】データアップデートチケット(DUT:Da
ta Update Ticket)を適用したデータ更新をする際に、
[Data Version Rule :データ更新をする時のバージョ
ン条件]と、[Data Version Condition :データ更新を
する時のバージョン値]、これら2つのフィールドの組
み合わせにより条件を表現する。
【0222】データ更新をする時のバージョン条件[Da
ta Version Rule]は、Any, Exact,Older の3種類が存
在する。Any はバージョン(Version)条件に無関係で
データ更新が可能、Exact は、続く[Data Version Con
dition ]に指定された値と同じ場合にデータ更新が可
能、Older は、New Data Version の方が新しい場合に
のみデータ更新が可能となる。なお、バージョン条件
[Data Version Rule]がAny,または Older の場合は、
[Data Version Condition]は使用しないかもしくは無
視する。
【0223】デバイス(Device)の相互認証のタイプ
(公開鍵認証、または、共通鍵認証、または、いずれで
も可(Any))を記録した[Authentication Type]に
は、チケットを使用した相互認証として実行すべき認証
タイプが記録される。具体的には、後段で詳細に説明す
るが、デバイス認証、パーティション認証のいずれか、
または両方の認証を実行する指定、また公開鍵方式、共
通鍵方式のどちらを実行するか、またはいずれの認証で
も可能であるかについての情報が記録される。
【0224】データアップデートチケット-DUT(D
EV)発行手段(DUT Issuer)を、デバイスマネージャ
が兼ねる構成においては、データアップデートチケット
−DUT(DEV)発行手段(DUT Issuer)のコード
(チケットユーザ(Ticket User))は、デバイスマネ
ージャコード(DMC)として設定することが可能であ
る。また、データアップデートチケット-DUT(PA
R)発行手段(DUT Issuer)を、パーティションマネー
ジャが兼ねる構成においては、データアップデートチケ
ット−DUT(PAR)発行手段(DUT Issuer)のコー
ドは、パーティションマネージャコード(PMC)とし
て設定することが可能である。
【0225】デバイス(Device)の相互認証のタイプ
(公開鍵認証、または、共通鍵認証、または、いずれで
も可(Any))を記録した[Authentication Type]に
は、チケットを使用した相互認証として実行すべき認証
タイプが記録される。具体的には、後段で詳細に説明す
るが、デバイス認証、パーティション認証のいずれか、
または両方の認証を実行する指定、また公開鍵方式、共
通鍵方式のどちらを実行するか、またはいずれの認証で
も可能であるかについての情報が記録される。
【0226】チケット(Ticket)の正当性検証値(公開
鍵方式:署名(Signature)、共通鍵方式:MAC)を
記録する[Integrity Check Value]フィールドには、
公開鍵方式であれば、デバイスアップデートチケット発
行手段(DUT Issuer)の秘密鍵に基づく署名(図1
2参照)が生成され格納される。デバイスマネージャ自
体がデバイスアップデート登録チケット発行手段(DU
T Issuer)を兼ねる場合は、デバイスマネージャの秘
密鍵を用いて署名が生成される。また、パーティション
マネージャ自体がデバイスアップデート登録チケット発
行手段(DUTIssuer)を兼ねる場合は、パーティショ
ンマネージャの秘密鍵を用いて署名が生成される。この
場合、署名検証処理(図13参照)の際は、デバイスマ
ネージャまたはパーティションマネージャの公開鍵が用
いられる。従って、チケット検証を実行するデバイス
は、チケット受領に際し、または前もってデバイスアッ
プデートチケット発行手段(DUT issuer)(ex.
デバイスマネージャまたはパーティションマネージャ)
の公開鍵(公開鍵証明書)を取得することが必要であ
る。
【0227】デバイスアップデートチケット(DUT)
発行手段(DUT Issuer)の公開鍵証明書(CERT_DUTI)
の検証の後、公開鍵証明書(CERT_DUTI)から取り出し
たデータアップデートチケット(DUT)発行手段(DU
T Issuer)の公開鍵によりICV(Integrity Check Va
lue)の署名検証が可能となる。
【0228】データアップデートチケット(DUT:Da
ta Update Ticket)を適用して更新されるデータ例を図
33に示す。
【0229】図33に示すように更新対象データには、
デバイスマネージャコード、デバイスマネージャコード
バージョン、パーティションマネージャコード、パーテ
ィションマネージャコードバージョン、各チケット発行
手段コード、各チケットのMAC生成鍵およびバージョ
ン、リボケーションリストなどが含まれる。これら更新
対象の各データがデータアップデートチケット(DU
T:Data Update Ticket)を適用して、DUTに記録さ
れたルールに従って更新される。更新処理の具体的手順
については、後段でフローを用いて説明する。なお、デ
バイスマネージャコードバージョン、パーティションマ
ネージャコードバージョン他のバージョン情報は、各バ
ージョンの付加されたデータの更新処理の際に併せて更
新されることになる。これらのバージョン情報はデータ
アップデートチケット(DUT:Data Update Ticket)
に格納される。
【0230】[B.ユーザに対するデバイスの配布、デ
バイスに対する各種設定、デバイス利用処理の詳細につ
いての説明]次に、上述したパーティション分割された
メモリ領域を持つデバイスの利用に至るまでの処理、さ
らにデバイスの利用処理の詳細についてフローチャート
他の図面を参照しながら説明する。説明の手順は以下の
項目に従って行なう。
【0231】B1.デバイス初期登録から利用までの流
れ B2.デバイス製造エンティテイによる初期登録処理 B3.デバイスマネージャの管轄処理 B3.1.デバイスマネージャによるデバイス登録処理 B3.2.デバイスマネージャ管理下における公開鍵証
明書発行処理 B4.パーティションマネージャの管轄処理 B4.1.パーティションマネージャ管理下におけるパ
ーティション登録チケット(PRT)を利用したパーテ
ィション設定登録、削除処理 B4.2.パーティションマネージャ管理下における公
開鍵証明書発行処理 B4.3.ファイル登録チケット(FRT)を利用した
ファイル生成、消去処理 B5.サービス許可チケット(SPT)を利用したサー
ビス(ファイルアクセス)処理 B6.データアップデートチケット(DUT)を利用し
たデバイスのデータ更新処理
【0232】[B1.デバイス初期登録から利用までの
流れ]EEPROM(フラッシュメモリ)を有するデバ
イスは、デバイス製造エンティテイ(manufacturer)に
よって製造され、デバイスマネージャによる初期データ
の書き込みが実行され、ユーザに提供(ex.販売、貸
与)され利用されることになる。ユーザが様々なサービ
ス主体からデバイスを利用したサービスを受けるために
は、デバイスのメモリ部にパーティションマネージャに
よるパーティションが設定され、設定されたパーティシ
ョン内にサービス提供用のデータを格納したファイルが
設定される必要がある。
【0233】また、デバイスに対する様々な処理、すな
わちパーティション登録チケット(PRT)を利用した
パーティションの設定、ファイル登録チケット(FR
T)を利用したファイル設定、さらにサービス許可チケ
ット(SPT)を利用したデータアクセスなどの様々な
処理の際に、デバイスとデバイスに対して処理を実行す
るチケットユーザ(ex.デバイスアクセス機器として
のリーダライタ)との間で様々な手続きが実行される。
例えば双方が正当な機器、デバイスであることを確認す
る相互認証処理、あるいは転送データの正当性を保証し
確認するための署名生成、検証処理、さらにデータ暗号
化、復号処理などである。本発明の構成では、これらの
処理に際して公開鍵証明書を用いた構成を提案してい
る。従って、デバイスによるサービスの利用の前にデバ
イスに対する公開鍵証明書の発行処理、デバイス格納処
理を実行する。
【0234】例えばデバイスとデバイスに対して処理を
実行するチケットユーザ(ex.デバイスアクセス機器
としてのリーダライタ)との間で公開鍵証明書を用いた
相互認証処理が実行され、双方の正当性が確認されたこ
とを条件としてパーティション登録チケット(PRT)
を利用したパーティションの設定、ファイル登録チケッ
ト(FRT)を利用したファイル設定、さらにサービス
許可チケット(SPT)を利用したデータアクセスなど
の様々な処理が実行される。また、相互に転送されるデ
ータには必要に応じて電子署名が付加され、検証が実行
される。また転送データの暗号化、復号処理も必要に応
じて実行されることになる。
【0235】図34は、デバイスの製造から、利用に至
るまでの流れを概略的に示した図である。これらの各処
理については、フローを参照して後段で詳細に説明する
が、全体的な処理の理解のために、図34に示す各段階
について簡単に説明する。
【0236】1.まず、デバイスは製造エンティテイ
(manufacturer)によって製造される。デバイスの製造
時には、各デバイスの識別データ(ID)としてのデバ
イスコードが各デバイスに付与される。デバイスには製
造段階で、デバイスコード、製造コードなど、様々の製
造情報(Manufacture Information Block(図14参
照))が書き込まれデバイスのメモリに格納される。
【0237】2.次に、デバイスマネージャはユーザに
対するデバイスの提供前に、自己のID、認証局の公開
鍵(PUB CA(DEV))など、デバイス管理情報
(Device Management Information(図15参照))、デ
バイス鍵(Device Key(図18参照))などの情報をメ
モリに格納する。
【0238】3.デバイスマネージャによる管理情報が
書き込まれたデバイスは、ユーザに提供される。
【0239】4.次にユーザは、デバイス対応の公開鍵
証明書の取得処理を実行し、取得したデバイス対応公開
鍵証明書(CERT DEV)をデバイスのデバイス鍵
領域(図18参照)に格納する。
【0240】5.デバイスのメモリ部にパーティション
を設定し、サービスを提供しようとするサービス主体
(パーティションマネージャ)は、パーティションの設
定をデバイスマネージャに要求し、許諾を受けるととも
にパーティション登録チケット(PRT)を受領する。
また、デバイスとの通信処理において使用する認証局の
公開鍵(PUB CA(PAR))を指定する。
【0241】6.デバイスは、パーティションマネージ
ャの管理するチケットユーザ(ex.デバイスアクセス
機器としてのリーダライタ)との間で通信を実行し、パ
ーティション登録チケット(PRT)を適用したパーテ
ィションの登録処理を行なうとともに、認証局の公開鍵
(PUB CA(PAR))をパーティション鍵領域
(図23参照)格納する。
【0242】7.パーティションの設定されたデバイス
は、パーティション対応公開鍵証明書の発行要求をパー
ティションマネージャに送信し、取得したパーティショ
ン対応公開鍵証明書(CERT PAR)をパーティシ
ョン鍵領域(図23参照)に格納する。
【0243】上記5〜7のパーティション設定他の処理
は、パーティションを設定してサービスを提供しようと
するパーティションマネージャ各々について実行され、
複数のパーティションがデバイスに登録される。
【0244】8.次に、パーティションマネージャは、
デバイスに設定したパーティション内に、例えばサービ
ス対応のファイルの設定登録処理をファイル登録チケッ
ト(FRT)を適用して実行する。
【0245】9.10.設定されたパーティション内に
ファイルが登録されることにより、例えば電子マネー、
定期券などファイル内データによって定義される各種の
サービスが実行可能となる。ファイル内のデータ読み取
り、データ書き込みなどの処理には、サービス許可チケ
ット(SPT)を適用する。すなわち正当なチケット発
行手段が発行したサービス許可チケット(SPT)を適
用した場合に限り、SPTに記録されたルールに従って
データの読み取り、書き込みなどが実行される。
【0246】また、図には示されていないが、必要に応
じてデータアップデートチケット(DUT)を使用して
デバイスの格納データ中の更新処理対象データ(ex.
デバイスマネージャコード、デバイスマネージャコード
バージョン、パーティションマネージャコード、パーテ
ィションマネージャコードバージョン、各チケット発行
手段コード、各チケットのMAC生成鍵およびバージョ
ン、リボケーションリストなど)の更新処理が実行され
る。なお、デバイスマネージャコードバージョン、パー
ティションマネージャコードバージョン他のバージョン
情報は、各バージョンの付加されたデータの更新処理の
際に併せて更新されることになる。これらのバージョン
情報はデータアップデートチケット(DUT:Data Upd
ate Ticket)に格納される。
【0247】以下、各処理の詳細について、フロー、そ
の他の図を参照しながら説明する。
【0248】[B2.デバイス製造エンティテイによる
初期登録処理]まず、デバイス製造エンティテイによる
初期登録処理について、図35を用いて説明する。図3
5の左側がデバイス製造エンティテイ(Manufacture)の
登録装置の処理、右側がデバイス(図5参照)の処理を
示す。なお、デバイス製造エンティテイ(Manufacture)
の登録装置は、デバイスに対するデータ読み取り書き込
み処理可能な専用のデバイスアクセス機器としてのリー
ダライタ(図10参照)として構成される。
【0249】まず、ステップS101において登録装置
は、デバイスに対して製造情報ブロック(MIB:Manu
facture Information Block(図14参照))の書き込
みフラグ(Writable Flag)の読み出しコマンドを送信
する。デバイスはコマンドを受信(S121)すると、
デバイスのメモリ部の製造情報ブロック(MIB)内の
書き込み(Writable)フラグを登録装置に送信(S12
2)する。
【0250】製造情報ブロック(MIB)内の書き込み
(Writable)フラグを受信(S102)した登録装置
は、書き込みフラグ(Writable Flag)が書き込み可
(0xffff)に設定されているか否かを判別(S1
03)する。書き込みフラグ(Writable Flag)が書き
込み可(0xffff)に設定されていない場合は、以
下の製造情報ブロック(MIB:Manufacture Informat
ion Block)の書き込み処理は実行できず、エラーとし
て終了する。
【0251】書き込みフラグ(Writable Flag)が書き
込み可(0xffff)に設定されている場合は、デバ
イスの製造情報ブロック(MIB:Manufacture Inform
ation Block(図14参照))を生成(S104)して
MIB書き込みコマンドとともに、MIBデータをデバ
イスに送信(S105)する。
【0252】MIB書き込みコマンド、およびMIBデ
ータを受信(S123)したデバイスは、MIB書き込
みフラグ(Writable Flag)を検証(S124)し、書
き込みフラグ(Writable Flag)が書き込み可(0xf
fff)に設定されていない場合は、以下の製造情報ブ
ロック(MIB:Manufacture Information Block)の
書き込み処理は実行できず、エラーとして終了する。書
き込みフラグ(Writable Flag)が書き込み可(0xf
fff)に設定されている場合は、受信したMIBデー
タをMIB領域に書き込む(S125)。
【0253】MIBデータ書き込み処理が終了すると書
き込み終了通知を登録装置に送信(S126)する。書
き込み終了通知を受信(S106)した登録装置は初期
登録完了コマンドをデバイスに送信(S107)し、初
期登録完了コマンドを受信(S127)したデバイスは
製造情報ブロック(MIB:Manufacture Information
Block)の書き込みフラグ(Writable Flag)を書き込み
不可(0x0000)にセット(S128)し、書き込
み終了通知を登録装置に送信(S129)する。
【0254】書き込み終了通知を受信(S108)した
登録装置は、デバイスに対して製造情報ブロック(MI
B:Manufacture Information Block(図14参照))
の書き込みフラグ(Writable Flag)の読み出しコマン
ドを送信(S109)する。デバイスはコマンドを受信
(S130)すると、デバイスのメモリ部の製造情報ブ
ロック(MIB)内の書き込みフラグ(Writable Fla
g)を登録装置に送信(S131)する。
【0255】製造情報ブロック(MIB)内の書き込み
フラグ(Writable Flag)を受信(S110)した登録
装置は、書き込みフラグ(Writable Flag)が書き込み
不可(0x0000)に設定されているか否かを判別
(S111)する。書き込みフラグ(Writable Flag)
が書き込み不可(0x0000)に設定されていない場
合は、正常なMIBデータ書き込み処理が終了していな
いことを示し、エラーとして処理を終了する。書き込み
フラグ(Writable Flag)が書き込み不可(0x000
0)に設定されている場合は、正常なMIBデータ書き
込み処理が終了したものとして処理を終了する。
【0256】[B3.デバイスマネージャの管轄処理]
次に、デバイスマネージャの管轄処理について説明す
る。ここでは、デバイスの使用開始以前に実行される処
理について説明する。デバイスの使用開始以前に実行さ
れるデバイスマネージャの処理としては、デバイスのメ
モリ部のデバイス管理情報ブロック(DMIB:Device
Management Information Block)、公開鍵系デバイス
キー定義ブロック(DKDB:Device Key Definition
Block(PUB))、共通鍵系デバイスキー定義ブロック(D
KDB:Device Key Definition Block(Common))、デ
バイス鍵領域(Device Key Area)に対するデータ書き
込み処理として実行するデバイス登録処理と、デバイス
に対してデバイス対応公開鍵証明書(CERT DE
V)を発行する処理がある。以下、これらの処理の詳細
について説明する。
【0257】[B3.1.デバイスマネージャによるデ
バイス登録処理]図36以下のフローを用いて、デバイ
スマネージャによるデバイスに対するデバイス管理情報
他の格納処理を伴う初期登録処理について説明する。図
36以下のフローにおいて、左側がデバイスマネージャ
(DM)の初期登録装置の処理、右側がデバイス(図5
参照)の処理を示す。なお、デバイスマネージャ(D
M)の初期登録装置は、デバイスに対するデータ読み取
り書き込み処理可能な装置(ex.デバイスアクセス機
器としてのリーダライタ、PC)であり、図10のデバ
イスアクセス機器としてのリーダライタに相当する構成
を有する。
【0258】まず、ステップS201において、デバイ
スの識別子IDmの読み出し(Read)コマンドをデバイ
スに出力する。デバイスはコマンドを受信(S211)
し、デバイスの識別子IDmを登録装置に送信(S21
2)する。
【0259】デバイスの識別子IDmを受信(S20
2)した登録装置は、ステップS203において、デバ
イスに対してデバイス管理情報ブロック(DMIB:De
vice Management Information Block(図15参照))
の書き込みフラグ(Writable Flag)の読み出しコマン
ドを送信する。デバイスはコマンドを受信(S213)
すると、デバイスのメモリ部のデバイス管理情報ブロッ
ク(DMIB)内の書き込みフラグ(Writable Flag)
を登録装置に送信(S214)する。
【0260】デバイス管理情報ブロック(DMIB)内
の書き込みフラグ(Writable Flag)を受信(S20
4)した登録装置は、書き込みフラグ(Writable Fla
g)が書き込み可(0xffff)に設定されているか
否かを判別(S205)する。書き込みフラグ(Writab
le Flag)が書き込み可(0xffff)に設定されて
いない場合は、以下のデバイス管理情報ブロック(DM
IB:Device ManagementInformation Block)の書き込
み処理は実行できず、エラーとして終了する。
【0261】書き込みフラグ(Writable Flag)が書き
込み可(0xffff)に設定されている場合は、デバ
イスマネージャコード(DMC)およびDMCバージョ
ンの書き込み(DMC Write)コマンドをデバイスに送
信(S206)する。このコードは、コード管理機関
(図1〜図3参照)によりデバイスマネージャに対して
予め割り当てられたデータである。
【0262】DMC Writeコマンドを受信(S215)
したデバイスは、DMIB書き込みフラグ(Writable F
lag)を検証(S216)し、書き込みフラグ(Writabl
e Flag)が書き込み可(0xffff)に設定されてい
ない場合は、以下のデバイス管理情報ブロック(DMI
B:Device Management Information Block)の書き込
み処理は実行できず、エラーとして終了する。書き込み
フラグ(Writable Flag)が書き込み可(0xfff
f)に設定されている場合は、受信したデバイスマネー
ジャコード(DMC)およびDMCバージョンをDMI
B領域に書き込む(S217)。
【0263】デバイスマネージャコード(DMC)およ
びDMCバージョンの書き込み処理が終了すると書き込
み終了通知を登録装置に送信(S218)する。書き込
み終了通知を受信(S207)した登録装置は、次にデ
バイス総ブロック数(DeviceTotal Block Number)書き
込みコマンドをデバイスに送信(S208)する。
【0264】デバイス総ブロック数(Device Total Blo
ck Number)書き込みコマンドを受信(S219)した
デバイスは、DMIB書き込みフラグ(Writable Fla
g)を検証(S220)し、書き込みフラグ(Writable
Flag)が書き込み可(0xffff)に設定されていな
い場合は、以下のデバイス管理情報ブロック(DMI
B:Device Management Information Block)の書き込
み処理は実行できず、エラーとして終了する。書き込み
フラグ(Writable Flag)が書き込み可(0xfff
f)に設定されている場合は、受信したデバイス総ブロ
ック数(Device Total Block Number)をDMIB領域
に書き込む(S221)。さらに、デバイスは、DMI
B領域のデバイス空きブロック数情報領域(Free Block
Number in Device)にTB−4を書き込む(S22
2)。TBはデバイス総ブロック数(Device Total Blo
ck Number)を意味する。なおTB−4の4ブロック
は、製造情報ブロック(MIB:Manufacture Informat
ion Block)、デバイス管理情報ブロック(DMIB:D
evice Management Information Block)、公開鍵系デバ
イスキー定義ブロック(DKDB:Device Key Definit
ion Block(PUB))、共通鍵系デバイスキー定義ブロック
(DKDB:Device Key Definition Block(Common))
を示している。
【0265】次に、デバイスは、デバイス管理情報ブロ
ック(DMIB)のパーティション数(Partition Numb
er)領域に0を書き込む(S223)。この時点でデバ
イスにはパーティションは設定されていないからであ
る。さらにDMIBの空き領域のポインタ(Pointer of
Free Area)に0を書き込み(S224)、書き込み処
理完了を登録装置に送信(S225)する。
【0266】書き込み処理完了通知をデバイスから受信
(S209)した登録装置は、次に、デバイス認証に共
通鍵を用いるか否かを判定(S231)する。認証処理
については、後段で詳細に説明するが、公開鍵認証方
式、共通鍵認証方式のいずれかを実行する構成が可能で
あり、デバイスマネージャは、デバイスに必要な認証方
式を設定することが可能となる。デバイスが共通鍵認証
を実行するデバイスであれば、デバイスマネージャは共
通鍵認証に必要な情報(ex.認証鍵生成用のマスター
鍵他)をデバイスにセットし、デバイスが共通鍵認証を
実行しないデバイスであれば、これらの情報をデバイス
に格納しないことになる。デバイスマネージャは、デバ
イスの採用する認証方式に応じて共通鍵認証、公開鍵認
証のいずれか、あるいは両方式を実行可能なデータをデ
バイスに設定する。
【0267】図37に示すように、デバイス認証に共通
鍵を用いる場合、ステップS232〜S233、S24
1〜S245を実行し、デバイス認証に共通鍵を用いな
い場合、これらのステップは省略される。
【0268】デバイス認証に共通鍵を用いる場合、ステ
ップS232において登録装置は、共通鍵認証データ書
き込みコマンドとして、MKauth_DEV_A :双方向個別鍵
認証用マスター鍵、Kauth_DEV_B :双方向個別鍵認証用
共通鍵、IRL_DEV :排除デバイス(Device)のデバイス
識別子(ID)を登録したリボケーションリスト(Revo
cation List (Device ID)、およびこれらのバージョン
情報をデバイスに送信する。
【0269】ステップS241でデバイスは、上述の書
き込みコマンドを受信し、ステップS242において、
DMIBの書き込みフラグ(Writable Flag)が書き込
み可であることを確認して受領データをデバイス鍵領域
(図18参照)に書き込む(S243)。次にデータ書
き込みによって生じたポインタ、サイズ、デバイス内の
フリーブロック数の調整を実行(S244)し、書き込
み終了通知を登録装置に送信(S245)する。
【0270】書き込み終了通知を受信(S233)した
登録装置は、ステップS234においてデバイス認証に
公開鍵を用いるか否かを判定する。図37に示すよう
に、デバイス認証に公開鍵を用いる場合、ステップS2
35〜S239、S246〜S254を実行し、デバイ
ス認証に公開鍵を用いない場合、これらのステップは省
略される。
【0271】デバイス認証に公開鍵を用いる場合、ステ
ップS235において登録装置は、公開鍵認証データ書
き込みコマンドとして、PUB_CA(DEV) :デバイスマネー
ジャ対応公開鍵を発行する認証局CA(DEV)の公開
鍵、PARAM_DEV :デバイス(Device)の公開鍵パラメー
タ、CRL_DEV :排除デバイス(Device)の公開鍵証明書
識別子(ex.シリアルナンバ:SN)を登録したリボ
ケーションリスト(Revocation List (Certificate)、
およびこれらのバージョン情報をデバイスに送信する。
【0272】ステップS246でデバイスは、上述の書
き込みコマンドを受信し、ステップS247において、
DMIBの書き込みフラグ(Writable Flag)が書き込
み可であることを確認して受領データをデバイス鍵領域
(図18参照)に書き込む(S248)。次にデータ書
き込みによって生じたポインタ、サイズ、デバイス内の
フリーブロック数の調整を実行(S249)し、書き込
み終了通知を登録装置に送信(S250)する。
【0273】書き込み終了通知を受信(S236)した
登録装置は、公開鍵と秘密鍵の鍵ペア生成コマンドをデ
バイスに送信(S237)する。なお、この実施例で
は、鍵ペアの生成はデバイスが実行する構成としている
が、例えば登録装置が実行してデバイスに提供する構成
としてもよい。
【0274】鍵ペア生成コマンドを受信(S251)し
たデバイスは、デバイス内の暗号処理部(図5参照)に
おいて公開鍵(PUB DEV)と秘密鍵(PRI DE
V)のペアを生成し、生成した鍵をデバイス鍵領域(図
18参照)に書き込む(S252)。なお、公開鍵(P
UB DEV)については、デバイス鍵領域のCERT
・DEV領域に一時格納し、その後、公開鍵(PUB
DEV)を格納した公開鍵証明書を受領した時点で公開
鍵証明書(CERT)に置き換えられる。次にデータ書
き込みによって生じたポインタ、サイズ、デバイス内の
フリーブロック数の調整を実行(S253)し、生成格
納した公開鍵を登録装置に送信(S254)する。
【0275】登録装置は、デバイスから公開鍵(PUB
DEV)を受信し、先にデバイスから受信したデバイ
スの識別子IDmとともに、デバイスマネージャ内のデ
ータベース(DB(DEV)(図7参照))に保存す
る。
【0276】次に、デバイスマネージャの登録装置は、
パーティション登録チケット(PRT:Partition Regi
stration Ticket)の検証処理に共通鍵を用いるか否か
を判定(S261)する。チケット検証には、後段で詳
細に説明するがMAC値検証等による共通鍵方式と、前
述の図12、図13を用いて説明した秘密鍵による署名
生成、公開鍵による署名検証を行なう公開鍵方式のいず
れかを適用することが可能であり、デバイスマネージャ
は、デバイスの採用する検証処理方式を設定することが
できる。デバイスマネージャは、デバイスの採用するP
RTチケット検証方式に応じて共通鍵、公開鍵のいずれ
か、あるいは両方式を実行可能なデータをデバイスに設
定する。
【0277】デバイスマネージャは、デバイスが共通鍵
認証を実行するデバイスであれば、デバイスマネージャ
は共通鍵方式のPRT検証に必要な情報(ex.PRT
検証共通鍵)をデバイスにセットし、デバイスが共通鍵
認証を実行しないデバイスであれば、これらの情報をデ
バイスに格納しないことになる。
【0278】図38に示すように、PRT検証に共通鍵
方式を用いる場合、ステップS262〜263、S27
1〜S275を実行し、PRT検証に共通鍵を用いない
場合、これらのステップは省略される。
【0279】PRT検証に共通鍵を用いる場合、ステッ
プS262において登録装置は、PRT検証共通鍵書き
込みコマンドとして、Kprt :パーティション登録チケッ
ト(PRT)のMAC検証用鍵、およびバージョン情報
をデバイスに送信する。
【0280】ステップS271でデバイスは、上述の書
き込みコマンドを受信し、ステップS272において、
DMIBの書き込みフラグ(Writable Flag)が書き込
み可であることを確認して受領データをデバイス鍵領域
(図18参照)に書き込む(S273)。次にデータ書
き込みによって生じたポインタ、サイズ、デバイス内の
フリーブロック数の調整を実行(S274)し、書き込
み終了通知を登録装置に送信(S275)する。
【0281】書き込み終了通知を受信(S263)した
登録装置は、ステップS264においてPRT検証に公
開鍵を用いるか否かを判定する。図38に示すように、
PRT検証に公開鍵を用いる場合、ステップS265〜
S266、S276〜S282を実行し、PRT検証に
公開鍵を用いない場合、これらのステップは省略され
る。
【0282】PRT検証に公開鍵を用いる場合、ステッ
プS265において登録装置は、PRT検証データ書き
込みコマンドとして、PRTIC(PRT Issuer Category) :
パーティション登録チケット(PRT)発行者カテゴ
リ、PUB_CA(DEV) :デバイスマネージャ対応公開鍵を発
行する認証局CA(DEV)の公開鍵、PARAM_DEV :デ
バイス(Device)の公開鍵パラメータ、CRL_DEV :排除
デバイス(Device)の公開鍵証明書識別子(ex.シリ
アルナンバ:SN)を登録したリボケーションリスト
(Revocation List (Certificate)、およびこれらのバ
ージョン情報をデバイスに送信する。
【0283】ステップS276でデバイスは、上述の書
き込みコマンドを受信し、ステップS277において、
DMIBの書き込みフラグ(Writable Flag)が書き込
み可であることを確認して、ステップS278におい
て、受領データ中のPRTIC(PRTIssuer Category) :パー
ティション登録チケット(PRT)発行者カテゴリを公
開鍵系デバイス鍵定義ブロック(DKDB:Device Key
Definition block(PUB)(図16参照))に書き込み
バージョン情報を同ブロックのバージョン領域に書き込
む。
【0284】次にデバイスは、ステップS279におい
て、PUB_CA(DEV) :デバイスマネージャ対応公開鍵を発
行する認証局CA(DEV)の公開鍵データが書き込み
済みか否かを判定し、書き込まれていない場合にステッ
プS280において、PUB_CA(DEV)、PARAM_DEV、CRL_DE
Vをデバイス鍵領域(図18参照)に書き込む。次にデ
ータ書き込みによって生じたポインタ、サイズ、デバイ
ス内のフリーブロック数の調整を実行(S281)し、
書き込み終了通知を登録装置に送信(S282)する。
【0285】書き込み終了通知を受信(S266)した
登録装置は、次に、ステップS291において、共通鍵
データの更新をサポートするデバイスであるか否かを判
定する。デバイスに格納されたデータ中、そのいくつか
は更新対象データとして前述したデータアップデートチ
ケット(DUT:Data Update Ticket)(図32参照)
を用いて更新が可能である。更新対象となるデータは、
先に図33を用いて説明した通りである。このデータア
ップデートチケット(DUT:Data Update Ticket)を
用いた更新処理においても共通鍵方式、または公開鍵方
式のいずれかの方式が可能であり、デバイスマネージャ
はデバイスに応じていずれかの方式または両方式を実行
可能なデータをデバイスに設定する。
【0286】デバイスマネージャは、デバイスが共通鍵
方式によるデータ更新を実行するデバイスであれば、共
通鍵方式のデータ更新処理に必要な情報(ex.データ
アップデートチケット(DUT)のMAC検証用鍵他)
をデバイスにセットし、デバイスが共通鍵認証を実行し
ないデバイスであれば、これらの情報をデバイスに格納
しないことになる。
【0287】図39に示すように、データアップデート
チケット(DUT:Data Update Ticket)を用いたデー
タ更新処理に共通鍵方式を用いる場合、ステップS29
2〜S293、S301〜S305を実行し、データ更
新に共通鍵方式を用いない場合、これらのステップは省
略される。
【0288】データ更新に共通鍵を用いる場合、ステッ
プS292において登録装置は、データアップデートチ
ケット(DUT:Data Update Ticket)検証共通鍵書き
込みコマンドとして、Kdut_DEV1 :データアップデート
チケット(DUT)のMAC検証用鍵、 Kdut_DEV2 :デ
ータ更新用暗号鍵、Kdut_DEV3 :データアップデートチ
ケット(DUT)のMAC検証用鍵、Kdut_DEV4 :デー
タ更新用暗号鍵およびこれらのバージョン情報をデバイ
スに送信する。
【0289】ステップS301でデバイスは、上述の書
き込みコマンドを受信し、ステップS302において、
DMIBの書き込みフラグ(Writable Flag)が書き込
み可であることを確認して受領データをデバイス鍵領域
(図18参照)に書き込む(S303)。次にデータ書
き込みによって生じたポインタ、サイズ、デバイス内の
フリーブロック数の調整を実行(S304)し、書き込
み終了通知を登録装置に送信(S305)する。
【0290】書き込み終了通知を受信(S293)した
登録装置は、ステップS294において、デバイスが公
開鍵方式を用いたデータアップデートチケット(DU
T:Data Update Ticket)を使用したデータ更新処理を
サポートするか否かを判定する。図39に示すように、
公開鍵方式をサポートする場合、ステップS295〜S
296、S306〜S310を実行し、公開鍵方式をサ
ポートしない場合、これらのステップは省略される。
【0291】公開鍵方式をサポートする場合、ステップ
S295において登録装置は、データアップデートチケ
ット(DUT:Data Update Ticket)発行者コード書き
込みコマンドとして、DUTIC_DEV(DUT Issuer Categor
y) :データアップデートチケット(DUT:Data Updat
e Ticket)発行者カテゴリ、およびバージョン情報をデ
バイスに送信する。
【0292】ステップS306でデバイスは、上述の書
き込みコマンドを受信し、ステップS307において、
DMIBの書き込みフラグ(Writable Flag)が書き込
み可であることを確認して、ステップS308におい
て、受領データを公開鍵系デバイス鍵定義ブロック(D
KDB(PUB):Device Key Definition Block(PU
B))に書き込む(S308)。次にデータ書き込みによ
って生じたポインタ、サイズ、デバイス内のフリーブロ
ック数の調整を実行(S309)し、書き込み終了通知
を登録装置に送信(S310)する。
【0293】書き込み終了通知を受信(S296)した
登録装置は、次にステップS321において、デバイス
マネージャ(DM)初期登録完了コマンドをデバイスに
対して送信する。コマンドを受領(S331)したデバ
イスは、ステップS332において、相互認証、パーテ
ィション登録チケット(PRT)の検証、さらにデータ
アップデートチケット(DUT)の検証、それぞれにつ
いて少なくとも公開鍵方式、共通鍵方式のいずれかの処
理が実行可能なデータが設定済みであるか否かを判定す
る。これらのデータに不足がある場合は、いずれかの処
理が実行できないことになり、デバイスマネージャによ
る初期登録はエラーと判定され処理を終了する。
【0294】ステップS332において、相互認証、パ
ーティション登録チケット(PRT)の検証、さらにデ
ータアップデートチケット(DUT)の検証、それぞれ
について少なくとも公開鍵方式、共通鍵方式のいずれか
の処理が実行可能なデータが設定済みであると判定した
場合は、ステップS333においてデバイスは、デバイ
ス管理情報ブロック(DMIB:Device Management In
formation Block)の書き込み(Writable)フラグを書
き込み不可(0x0000)にセットし、書き込み終了
通知を登録装置に送信(S334)する。
【0295】書き込み終了通知を受信(S322)した
登録装置は、デバイスに対してデバイス管理情報ブロッ
ク(DMIB:Device Management Information Bloc
k)(図15参照))の書き込みフラグ(Writable Fla
g)の読み出しコマンドを送信(S323)する。デバ
イスはコマンドを受信(S335)すると、デバイスの
メモリ部のデバイス管理情報ブロック(DMIB)内の
書き込みフラグ(Writable Flag)を登録装置に送信
(S336)する。
【0296】デバイス管理情報ブロック(DMIB)内
の書き込みフラグ(Writable Flag)を受信(S32
4)した登録装置は、書き込みフラグ(Writable Fla
g)が書き込み不可(0x0000)に設定されている
か否かを判別する。書き込みフラグ(Writable Flag)
が書き込み不可(0x0000)に設定されていない場
合は、正常なDMIBデータ書き込み処理が終了してい
ないことを示し、エラーとして処理を終了する。書き込
みフラグ(Writable Flag)が書き込み不可(0x00
00)に設定されている場合は、正常なDMIBデータ
書き込み処理が終了したものとして処理を終了する。
【0297】デバイス製造エンティテイ(Manufacture)
の登録装置による初期登録(図35の処理フロー)およ
び、デバイスマネージャによる初期登録処理(図36〜
図40の処理フロー)が完了した状態のデバイスのメモ
リ内格納データ構成例を図41に示す。図41は、図
6、図14乃至図18を用いて説明した製造情報ブロッ
ク(Manufacture Information Block)、デバイス管理
情報ブロック(Device Management Information Bloc
k)、公開鍵系デバイス鍵定義(Device Key Definition
Block(PUB))、共通鍵系デバイス鍵定義ブロック(Dev
ice Key DefinitionBlock(Common))、デバイス鍵領域
(Device Key Area)を示すものである。この時点で
は、メモリにパーティションは形成されていない。
【0298】製造情報ブロック(Manufacture Informat
ion Block)には、図14を用いて説明したように、デ
バイスの固有情報としてのデバイスコード他が書き込ま
れる。この製造情報ブロック(Manufacture Informatio
n Block)に書き込まれた情報、あるいは書き込まれた
情報の一部、または書き込まれた情報に基づいて取得さ
れる演算データがデバイスの識別子(IDm)に相当す
る。
【0299】なお、図に示すデバイス鍵領域(Device K
ey Area)には Kauth_DEV_B :双方向個別鍵認証用共通
鍵、 MKauth_DEV_A :双方向個別鍵認証用マスター鍵が
格納されているが、これらの鍵は、デバイスが共通鍵認
証処理を行なう要請が無い場合は格納しない構成として
もよく、また、Kprt :パーティション登録チケット(P
RT)のMAC検証用鍵についても、デバイスが共通鍵
によるチケット検証処理を実行しない構成の場合には格
納しない構成としてもよい。
【0300】また、IRL_DEV :排除デバイス(Device)
のデバイス識別子(ID)を登録したリボケーションリ
スト(Revocation List (Device ID))、CRL_DEV :排除
デバイス(Device)の公開鍵証明書識別子(ex.シリ
アルナンバ:SN)を登録したリボケーションリスト
(Revocation List (Certificate)についても、デバイ
ス発行時点でリボーク(排除)されたデバイスが存在し
ない場合、あるいは他のソースを使用してリボケーショ
ンリストを取得する構成とする場合には、リボケーショ
ンリストを格納しない構成としてもよい。
【0301】[B3.2.デバイスマネージャ管理下に
おける公開鍵証明書発行処理]次に図42以下を用い
て、デバイスマネージャによるデバイス対応公開鍵証明
書の発行処理について説明する。デバイスには、デバイ
ス全体の認証、デバイスを単位とした処理に適用可能な
デバイス対応公開鍵証明書(CERT DEV)と、デ
バイス内の特定のパーティションに対する処理の際の認
証その他検証処理等に適用可能なパーティション対応公
開鍵証明書(CERT PAR)が格納され得る。パー
ティション対応公開鍵証明書(CERT PAR)は、
デバイスに設定されたパーティション毎に設定格納可能
である。
【0302】デバイス対応公開鍵証明書(CERT D
EV)は、デバイスマネージャの管轄するメモリ領域で
あるデバイス鍵領域(Device Key Area)(図18参
照)に格納され、パーティション対応公開鍵証明書(C
ERT PAR)は、各パーティションマネージャの管
轄するメモリ領域であるパーティション鍵領域(Partit
ion Key Area)(図23参照)に格納される。
【0303】デバイス対応公開鍵証明書(CERT D
EV)は、デバイスマネージャの管轄する登録局を介し
て認証局(CA for DM)(図2、図3参照)の発
行した公開鍵証明書をデバイスに付与する手続きにより
発行され、デバイスマネージャの管轄登録局が発行した
公開鍵証明書(CERT DEV)についての管理(デ
ータベース222(図7参照))を実行する。
【0304】またパーティション対応公開鍵証明書(C
ERT PAR)は、パーティションマネージャの管轄
する登録局を介して認証局(CA for PM)(図
2、図3参照)の発行した公開鍵証明書をデバイスに付
与する手続きにより発行され、パーティションマネージ
ャの管轄登録局が発行した公開鍵証明書(CERT P
AR)についての管理(データベース332(図9参
照))を実行する。
【0305】図42および図43に従って、デバイスマ
ネージャの管轄登録局によるデバイスに対するデバイス
対応公開鍵証明書(CERT DEV)の発行処理の手
順を説明する。なお、デバイスマネージャの登録局(R
A)構成のみを取り出した発行装置(DM)、認証局
(CA)、ユーザデバイスとの関係を図44に示した。
図44に示すように制御手段221は暗号処理手段を有
する。なお暗号処理は暗号処理に関するプログラムを制
御部(CPU(図8の2111)の制御下において実行
することによって行われる。
【0306】図42,図43において、左側がデバイス
マネージャの管轄登録局のCERT(公開鍵証明書)発
行装置、具体的には、図7に示すデバイスマネージャの
構成図における制御手段221の処理、右側がデバイス
の処理である。
【0307】まずステップS351において、CERT
発行装置は、デバイス対応公開鍵証明書(CERT D
EV)の発行対象となるデバイスのユーザ情報を取得
し、証明書発行の許可(判定)を行ない発行対象となる
デバイスとの通信路を確保する。デバイス対応公開鍵証
明書(CERT DEV)の発行対象となるデバイスの
ユーザ情報は、例えばデバイスの初期登録時に生成した
データから取得可能である。また、別途、別経路にてユ
ーザの名前や住所、電話番号、e−mailアドレスな
どを取得するようにしてもよい。なお、ユーザ情報はデ
バイスとの通信路設定後、デバイスから取得してもよ
い。通信路は、有線、無線を問わずデータ送受信可能な
通信路として確保されればよい。
【0308】次にCERT発行装置は、ステップS35
2において、乱数を含む認証データ生成コマンドをデバ
イスに対して送信する。認証データ生成コマンドを受信
(S361)したデバイスは、受信乱数Rと、デバイス
識別子(IDm)の結合データにデバイス秘密鍵(PR
I DEV)を適用してデジタル署名(S)の生成処理
(図12参照)を実行(S362)する。デバイスは、
デバイスの識別データ(IDm)と署名(S)をCER
T発行装置に送信する。
【0309】デバイスから識別データ(IDm)と署名
(S)を受信(S353)したCERET発行装置は、
受信したデバイス識別データ(IDm)を検索キーとし
てデータベースDB(DEV)222から格納済みのデ
バイス公開鍵(PUB DEV)を取得する。さらに、
取得したデバイス公開鍵(PUB DEV)を適用して
署名(S)の検証処理(図13参照)を実行(S35
5)する。検証に成功しなかった場合は、デバイスから
の送信データは不正なデータであると判定し処理は終了
する。
【0310】検証に成功した場合は、認証局(CA f
or DM)610に対してデバイス対応公開鍵証明書
(CERT DEV)の発行処理を依頼(S357)す
る。デバイスマネージャは認証局610の発行したデバ
イス対応公開鍵証明書(CERT DEV)を受信(S
358)してデバイスに送信(S359)する。
【0311】デバイスマネージャ(登録局)からデバイ
ス対応公開鍵証明書(CERT DEV)を受信したデ
バイスは、予めデバイス鍵領域に格納済みの認証局の公
開鍵(PUB CA(DEV))を用いて受信したデバ
イス対応公開鍵証明書(CERT DEV)の署名検証
を実行する。すなわち公開鍵証明書には認証局の秘密鍵
で実行された署名があり(図11参照)、この署名検証
(S366)を行なう。
【0312】署名検証に失敗した場合は、正当な公開鍵
証明書でないと判定し、エラー通知をCERT発行装置
に対して実行(S385)する。
【0313】署名検証に成功した場合は、デバイス対応
公開鍵証明書(CERT DEV)に格納されたデバイ
ス公開鍵(PUB DEV)と自デバイスに保管された
デバイス公開鍵(PUB DEV)の比較を実行(S3
82)し、一致しない場合はエラー通知を実行し、一致
した場合は、受信したデバイス対応公開鍵証明書(CE
RT DEV)をデバイス鍵領域(図18参照)に格納
(S383)する。なお、デバイス対応公開鍵証明書
(CERT DEV)の発行以前は、この領域に自デバ
イスで生成した公開鍵(PUB DEV)を格納し、正
当なデバイス対応公開鍵証明書(CERT DEV)が
発行された時点で、デバイス対応公開鍵証明書(CER
T DEV)により上書きする処理として格納する。
【0314】デバイス対応公開鍵証明書(CERT D
EV)の格納が終了すると格納処理終了通知をCERT
発行装置に送信(S384)する。CERT発行装置
は、格納処理終了通知を受信(S371)し、格納成功
を確認(S372)して処理を終了する。格納成功の確
認が得られない場合はエラーとして処理が終了する。
【0315】図45にデバイス対応公開鍵証明書(CE
RT DEV)の発行処理において、デバイスマネージ
ャ200、デバイス100、認証局(CA)610各エ
ンティテイ間のデータ送受信処理について説明した図を
示す。
【0316】図45中のNo.1〜14の順に処理が実
行される。なお、処理No.1のデバイスマネージャ2
00によるデバイス100からのデバイス識別子(ID
m)、デバイス公開鍵(PUB DEV)の取得処理、
および処理No.2のデバイス識別子(IDm)の登録
処理はデバイスマネージャによる初期登録において実行
される処理である。
【0317】デバイス対応公開鍵証明書(CERT D
EV)の発行手続きは、処理No.3からであり、3.
デバイスマネージャによるデバイスからの顧客情報取
得、4.顧客情報の登録(登録済みである場合は不
要)、5.デバイスからのデバイス識別子(IDm)取
得、6.取得したデバイス識別子(IDm)にもとつい
てデータベース検索を実行して対応の公開鍵(PUB
DEV)を取得、7.デバイスとデバイスマネージャ間
における認証処理、この処理は図42、図43の処理に
おいては省略されていたが、図42、図43においては
デバイスからのデバイス識別子(IDm)取得の際に署
名検証を実行しており、通信相手の送信データの確認に
より、認証を省略した。図42、図43における署名検
証、図45の認証の少なくともいずれか、またはいずれ
をも実行することが望ましい。なお、認証処理の詳細に
ついては、後段のB.4.パーティションマネージャの
管轄処理の項目で説明する。
【0318】8.デバイスマネージャから認証局に対す
るデバイス対応公開鍵証明書の発行要求、9.デバイス
対応公開鍵証明書(CERT DEV)の生成、10.
認証局における生成公開鍵証明書のデータ登録、11.
認証局(CA)610からデバイスマネージャ200に
対する公開鍵証明書の配布、12.デバイスマネージャ
のデータベース更新(公開鍵証明書発行情報登録)、1
3.デバイスマネージャからデバイスに対するデバイス
対応公開鍵証明書(CERT DEV)の送信、14.
デバイスにおけるデバイス対応公開鍵証明書(CERT
DEV)の保存、保存は、前述したようにデバイス鍵
領域に書き込み保存される。
【0319】以上の処理により、デバイスは、デバイス
対応公開鍵証明書(CERT DEV)を取得し、メモ
リ部に格納する。このデバイス対応公開鍵証明書(CE
RTDEV)をメモリのデバイス鍵格納領域に格納した
後のメモリの各ブロックのデータ格納構成を図46に示
す。図46は、先に図6、図14乃至図18を用いて説
明した製造情報ブロック(Manufacture Information Bl
ock)、デバイス管理情報ブロック(Device Management
Information Block)、公開鍵系デバイス鍵定義(Devi
ce Key Definition Block(PUB))、共通鍵系デバイス鍵
定義ブロック(Device Key Definition Block(Commo
n))、デバイス鍵領域(Device Key Area)を示すもの
である。この時点では、メモリにパーティションは形成
されていない。
【0320】図46に示すデバイス鍵領域(Device Key
Area)にはデバイス対応公開鍵証明書(CERT DE
V)が格納される。デバイス対応公開鍵証明書(CER
TDEV)の発行前には、この領域には、デバイスが生
成した公開鍵(PUB DEV)が格納され、デバイス
対応公開鍵証明書(CERT DEV)を受信すると、
デバイス対応公開鍵証明書(CERT DEV)によっ
て上書き処理がなされる。なお、この上書き処理により
ポインタ、サイズ、管理データがある場合は必要な変更
処理を実行する。
【0321】[B4.パーティションマネージャの管轄
処理]次に、パーティションマネージャの管轄処理につ
いて説明する。ここでは、デバイスの使用開始以前に実
行される処理について説明する。デバイスの使用開始以
前に実行されるパーティションマネージャの処理として
は、デバイスのメモリ部にパーティションを設定する処
理と、デバイスに対してパーティション対応公開鍵証明
書(CERT PAR)を発行する処理がある。以下、
これらの処理の詳細について説明する。パーティション
を設定する処理には、デバイスとパーティションマネー
ジャ間における相互認証処理(デバイス認証またはパー
ティション認証)、パーティション登録チケット(PR
T:Partition Registration Ticket)の正当性検証処
理が含まれる。なお、パーティションの削除処理につい
ても基本的にパーティション作成と同様の手続きに従っ
て実行可能であるので併せて説明する。
【0322】[B4.1.パーティションマネージャ管
理下におけるパーティション登録チケット(PRT)を
利用したパーティション設定登録、削除処理]まず、パ
ーティション登録チケット(PRT)(図26参照)を
利用したパーティション設定登録、削除処理について説
明する。図47以下のフロー他の図面を参照して説明す
る。なお、上述のように、パーティション設定処理に
は、デバイスとパーティションマネージャ間における相
互認証処理(デバイス認証またはパーティション認
証)、パーティション登録チケット(PRT:Partitio
n Registration Ticket)の正当性検証処理が含まれ、
これらの処理についても説明する。
【0323】図47に示すパーティション設定登録、削
除処理フローについて説明する。図47において、左側
がパーティションマネージャのパーティション作成・削
除装置、右側がデバイス(図5参照)の処理を示す。な
お、パーティションマネージャのパーティション作成・
削除装置は、デバイスに対するデータ読み取り書き込み
処理可能な装置(ex.デバイスアクセス機器としての
リーダライタ、PC)であり、図10のデバイスアクセ
ス機器としてのリーダライタに相当する。まず、図47
を用いて、パーティション作成、削除処理の概要を説明
し、その後、当処理に含まれる各処理の詳細を図48以
下のフローを用いて順次説明する。
【0324】まず、図47のステップS401とS41
0において、パーティション作成・削除装置とデバイス
間での相互認証処理が実行される。データ送受信を実行
する2つの手段間では、相互に相手が正しいデータ通信
者であるか否かを確認して、その後に必要なデータ転送
を行なうことが行われる。相手が正しいデータ通信者で
あるか否かの確認処理が相互認証処理である。相互認証
処理時にセッション鍵の生成を実行して、生成したセッ
ション鍵を共有鍵として暗号化処理を実行してデータ送
信を行なう構成が1つの好ましいデータ転送方式であ
る。
【0325】本発明のシステムにおける相互認証処理で
は、デバイス認証またはパーティション認証のいずれか
が実行される。また、それぞれについて共通鍵方式認
証、あるいは公開鍵方式認証処理のいずれかが適用され
る。これらについては後述する。
【0326】なお、相互認証処理として実行すべき処理
は、適用するパーティション登録チケット(PRT)
(図26参照)の * Authentication Flag :チケット(Ticket)の利用処
理においてデバイス(Device)との相互認証が必要か否
かを示すフラグ * Authentication Type :デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any))によって決定される。
【0327】認証処理に失敗した場合(S402,S4
11でNo)は、相互が正当な機器、デバイスであるこ
との確認がとれないことを示し、以下の処理は実行され
ずエラーとして処理は終了する。
【0328】認証処理に成功すると、パーティション作
成・削除装置は、デバイスに対してパーティション登録
チケット(PRT:Partition Registration Ticket)
を送信する。パーティション登録チケット(PRT)
は、パーティションマネージャの要求により、デバイス
マネージャの管理するパーティション登録チケット(P
RT)発行手段(PRT Issuer)によりパーティションマ
ネージャに対して発行されるチケットである。パーティ
ション登録チケット(PRT)は、デバイスに対するア
クセス制御チケットであり、先に説明した図26のデー
タフォーマット構成を持つチケットである。
【0329】なお、パーティション登録チケット(PR
T)を、チケットユーザに対して送信する際には、公開
鍵方式の場合、パーティション登録チケット(PRT)
発行手段(PRT Issuer)の公開鍵証明書(CERT_PRTI)
も一緒に送信する。PRT発行手段の公開鍵証明書(CE
RT_PRTI)の属性(Attribute)は、パーティション登録
チケット(PRT)発行手段(PRT User)の識別子
(PRTIC)と一致する。
【0330】パーティション登録チケット(PRT)を
受信(S412)したデバイスは、受信したチケット
(PRT)の正当性と利用者チェック処理を実行(S4
13)する。チケットの正当性の検証処理は、共通鍵方
式によるMAC検証、あるいは公開鍵方式による署名検
証処理のいずれかを適用して実行される。利用者チェッ
クは、チケットを送信してきた機器(チケット利用者)
の正当性をチェックする処理であり、相互認証が成立済
みであり、認証相手の識別データと、チケットに記録さ
れているチケットユーザ識別子(図26参照)との一致
等を検証する処理として実行される。これらの処理の詳
細については後述する。
【0331】デバイスにおいて、受信チケット(PR
T)の正当性と利用者チェック処理の結果、チケットお
よび利用者の正当なことが確認できなかった場合(S4
14でNo)は、パーティション登録チケット(PR
T)受理エラーをパーティション作成・削除装置に通知
(S418)する。チケットおよび利用者の正当なこと
が確認できた場合(S414でYes)は、受信したパ
ーティション登録チケット(PRT)に記述されたルー
ルに従いデバイス内のメモリ部におけるパーティション
の生成、または削除処理を実行する。この処理の詳細に
ついても別フローを用いて後段で詳述する。
【0332】パーティション登録チケット(PRT)の
記述に従って、パーティションの生成または削除処理に
成功(S416でYes)すると、PRT受理成功をパ
ーティション作成・削除装置に通知(S417)する。
一方、パーティションの生成または削除処理に失敗(S
416でNo)した場合は、PRT受理エラーをパーテ
ィション作成・削除装置に通知(S418)する。
【0333】パーティション作成・削除装置は、PRT
受理結果を受信(S404)し、PRT処理結果を判定
し、PRT受理結果がエラーである場合(S405でN
o)は、エラーとして処理を終了し、PRT受理結果が
成功(S405でYes)であり、処理がパーティショ
ン生成である場合はパーティション初期データの書き込
み処理(S406,S419)を実行する。初期データ
の書き込み処理については、後段で別フローを用いて詳
述する。パーティション初期データの書き込み処理が終
了した場合、およびPRT受理結果が成功(S405で
Yes)であり、処理がパーティション削除である場合
はセッションクリアコマンドの送受信(S407,S4
20)を実行し、デバイス側に生成した認証ーブルを破
棄(S421)し、処理を終了する。認証テーブルは、
ステップS401,S410の相互認証処理において生
成されるテーブルであり、その詳細は後述する。
【0334】このようにパーティション登録チケット
(PRT)を利用して、デバイス内に新たなパーティシ
ョンの生成、または生成済みのパーティションの削除が
実行される。以下、当処理に含まれる相互認証処理(S
401,S410)、チケットの正当性と利用者チェッ
ク(S413)、パーティションの生成、削除処理(S
415)、パーティション初期データ書き込み処理(S
406,S419)の各処理について詳述する。
【0335】(相互認証処理)図47のステップS40
1,S410において実行される相互認証処理について
説明する。なお、以下に説明する相互認証処理は、他の
チケット、すなわちファイル登録チケット(FRT:Fi
le Registration Ticket)、サービス許可チケット(S
PT:Service Permission Ticket)、データアップデ
ートチケット(DUT:Data Update Ticket)を使用し
たデバイスアクセス処理においても適宜必要に応じて行
われる処理である。
【0336】相互認証処理の処理フローを図48に示
す。図48において、左側がパーティションマネージャ
の認証装置、右側がデバイス(図5参照)の処理を示
す。なお、パーティションマネージャの認証装置は、デ
バイスに対するデータ読み取り書き込み処理可能な装置
(ex.デバイスアクセス機器としてのリーダライタ、
PC)であり、図10のリーダライタに相当する構成を
有する。
【0337】図48のステップS431において、認証
装置は、パーティション登録チケット(PRT)の利用
に必要な認証方式をチケットから読み出して決定する。
なお、認証態様は、チケット記載の認証方式に限らず、
例えばアクセス機器(ex.リーダライタ)からの指定
された方式に従ってデバイス認証、パーティション認証
を決定してもよい。
【0338】決定した認証方式をA(1)〜A(n)と
する。パーティション登録チケット(PRT)を適用し
たパーティションの設定登録、あるいは削除処理におい
ては様々な認証処理態様が設定される。例えばパーティ
ションの設定登録についてはデバイスを対象とするデバ
イス認証を必要とし、パーティション削除の場合にはデ
バイス認証と削除対象となるパーティション認証の双方
を必要とするなどである。このように処理に応じていず
れか一方の認証、または両者の認証を必要とする設定を
パーティション登録チケット(PRT)に記述すること
ができる。PRT利用処理において必要とする認証方式
については、パーティション登録チケット(PRT)の
[Authentication Type]に記述され、認証装置は、パ
ーティション登録チケット(PRT)の利用に必要な認
証方式をチケットから読み出して決定し、認証処理手順
をA(i):A(1)〜A(n)として定義する。
【0339】ステップS432において、最初の認証処
理方式A(1)を読み出し、A(1)の認証方式がデバ
イス認証、パーティション認証であるかについて判別
(S433)し、デバイス認証であればデバイス認証を
実行(S434,S441)し、パーティション認証で
あればパーティション認証を実行(S435,S44
2)する。デバイスとの認証処理の結果、認証が成功し
ない場合は、エラーとして処理を終了する。認証が成功
した場合は、ステップS437においてiをインクリメ
ントしてステップS433に戻り、次の認証方式を判別
して、方式に従って認証を実行する。これらの処理をA
(1)〜A(n)まで実行して、全ての認証が成功した
場合に次のステップに進む。
【0340】デバイス認証処理について図49のフロー
に従って説明する。図49において、左側がパーティシ
ョンマネージャのデバイス認証装置、右側がデバイス
(図5参照)の処理を示す。なお、パーティションマネ
ージャのデバイス認証装置は、デバイスに対するデータ
読み取り書き込み処理可能な装置(ex.デバイスアク
セス機器としてのリーダライタ、PC)であり、図10
のデバイスアクセス機器としてのリーダライタに相当す
る構成を有する。
【0341】デバイス認証装置は、ステップS451に
おいて、パーティション登録チケット(PRT)に基づ
いてデバイス認証処理に公開鍵を用いた公開鍵認証方式
を適用するか否かを判定する。デバイス認証は、公開鍵
方式または共通鍵方式のいずれかにおいて実行され、チ
ケットにその実行方式についての指定が記述されてい
る。
【0342】共通鍵方式の指定がある場合は、図49の
ステップS452〜S455、S461〜S465の処
理は実行されず、ステップS456に進む。公開鍵方式
の指定である場合は、デバイス認証装置は、ステップS
452において公開鍵デバイス認証開始コマンドをデバ
イスに送信する。デバイスは、コマンドを受信(S46
1)すると、デバイスのメモリ部の公開鍵系デバイス鍵
定義ブロック(図16参照)を参照して、デバイス対応
公開鍵証明書(CERT DEV)が格納されているか
否かを検証(S462)する。デバイス対応公開鍵証明
書(CERTDEV)が格納されていない場合は、公開
鍵方式の相互認証は実行できず、エラーと判定され処理
は終了される。
【0343】デバイス対応公開鍵証明書(CERT D
EV)が格納されていることが確認されると、ステップ
S453、S463において、デバイスマネージャ対応
認証局(CA(DEV))の発行した公開鍵証明書を用
いた相互認証および鍵共有処理が実行される。
【0344】公開鍵方式による相互認証および鍵共有処
理について、図50を用いて説明する。図50は、公開
鍵暗号方式である160ビット長の楕円曲線暗号(EC
C)を用いた相互認証シーケンスを示している。図50
では、公開鍵暗号方式としてECCを用いているが、公
開鍵暗号方式の他方式を適用することも可能である。ま
た、鍵サイズも160ビットでなくてもよい。図50に
おいて、まずBが、64ビットの乱数Rbを生成し、A
に送信する。これを受信したAは、新たに64ビットの
乱数Raおよび標数pより小さい乱数Akを生成する。
そして、ベースポイントGをAk倍した点Av=Ak×
Gを求め、Ra、Rb、Av(X座標とY座標)に対する
電子署名A.Sigを生成し、Aの公開鍵証明書ととも
にBに返送する。ここで、RaおよびRbはそれぞれ6
4ビット、AvのX座標とY座標がそれぞれ160ビッ
トであるので、合計448ビットに対する電子署名を生
成する。
【0345】公開鍵証明書を利用する際には、利用者は
自己が保持する公開鍵証明書発行局(CA)の公開鍵を
用い、当該公開鍵証明書の電子署名を検証し、電子署名
の検証に成功した後に公開鍵証明書から公開鍵を取り出
し、当該公開鍵を利用する。従って、公開鍵証明書を利
用する全ての利用者は、共通の公開鍵証明書発行局(C
A)の公開鍵を保持している必要がある。なお、電子署
名の検証方法については、図13で説明したのでその詳
細は省略する。
【0346】Aの公開鍵証明書、Ra、Rb、Av、電
子署名A.Sigを受信したBは、Aが送信してきたR
bが、Bが生成したものと一致するか検証する。その結
果、一致していた場合には、Aの公開鍵証明書内の電子
署名を認証局の公開鍵で検証し、Aの公開鍵を取り出
す。そして、取り出したAの公開鍵を用い電子署名A.
Sigを検証する。電子署名の検証に成功した後、Bは
Aを正当なものとして認証する。
【0347】次に、Bは、標数pより小さい乱数Bkを
生成する。そして、ベースポイントGをBk倍した点B
v=Bk×Gを求め、Rb、Ra、Bv(X座標とY座
標)に対する電子署名B.Sigを生成し、Bの公開鍵
証明書とともにAに返送する。
【0348】Bの公開鍵証明書、Rb、Ra、Bv、電
子署名B.Sigを受信したAは、Bが送信してきたR
aが、Aが生成したものと一致するか検証する。その結
果、一致していた場合には、Bの公開鍵証明書内の電子
署名を認証局の公開鍵で検証し、Bの公開鍵を取り出
す。そして、取り出したBの公開鍵を用い電子署名B.
Sigを検証する。電子署名の検証に成功した後、Aは
Bを正当なものとして認証する。
【0349】両者が認証に成功した場合には、BはBk
×Av(Bkは乱数だが、Avは楕円曲線上の点である
ため、楕円曲線上の点のスカラー倍計算が必要)を計算
し、AはAk×Bvを計算し、これら点のX座標の下位
64ビットをセッション鍵として以降の通信に使用する
(共通鍵暗号を64ビット鍵長の共通鍵暗号とした場
合)。もちろん、Y座標からセッション鍵を生成しても
よいし、下位64ビットでなくてもよい。なお、相互認
証後の秘密通信においては、送信データはセッション鍵
で暗号化されるだけでなく、電子署名も付されることが
ある。
【0350】電子署名の検証や受信データの検証の際
に、不正、不一致が見つかった場合には、相互認証が失
敗したものとして処理を中断する。
【0351】このような相互認証処理において、生成し
たセッション鍵を用いて、送信データを暗号化して、相
互にデータ通信を実行する。
【0352】図49に戻りフローの説明を続ける。ステ
ップS453,S463において上述のような相互認
証、鍵共有処理に成功すると、デバイスは、ステップS
464において、デバイスのメモリ部のデバイス鍵領域
(図18参照)に格納されたCRL_DEV :排除デバイス(D
evice)、排除機器(デバイスアクセス機器としてのリ
ーダライタ、PC等のチケットユーザ、チケット発行手
段)の公開鍵証明書識別子(ex.シリアルナンバ:S
N)を登録したリボケーションリスト(Revocation Lis
t (Certificate)を参照して、通信相手であるデバイス
認証装置がリボークされていないかを検証する。リボー
クされている場合は、パーティションの生成処理を許可
できないので、エラーとして処理を終了する。
【0353】リボークされていない場合は、ステップS
465において、相互認証および鍵共有処理において生
成したセッション鍵Ksesと、通信相手(デバイス認
証装置を構成するデバイスアクセス機器としてのリーダ
ライタ、PCなど)の公開鍵証明書中の識別名(DN:
Distinguished Name)、シリアルナンバー、カテゴリー
をデバイスマネージャコード(DMC)をキーとして対
応付けた認証テーブルに保存する。
【0354】一方、デバイス認証装置も、ステップS4
54において、デバイスがリボークされていないかをCR
L_DEV :排除デバイス(Device)、排除機器(デバイス
アクセス機器としてのリーダライタ、PC等のチケット
ユーザ、チケット発行手段)の公開鍵証明書識別子(e
x.シリアルナンバ:SN)を登録したリボケーション
リスト(Revocation List (Certificate))を参照して
判定する。デバイス認証装置は、リボケーションリスト
(CRL_DEV)を登録局(RA(PAR))から取得可能
である。リボークされている場合は、パーティションの
生成処理を許可できないので、エラーとして処理を終了
する。
【0355】リボークされていない場合は、ステップS
455において、相互認証および鍵共有処理において生
成したセッション鍵Ksesと、通信相手(デバイス)
の公開鍵証明書中の識別名(DN:Distinguished Nam
e)、シリアルナンバー、カテゴリーをデバイスマネー
ジャコード(DMC)をキーとして対応付けた認証テー
ブルに保存する。
【0356】図51にデバイス内に生成される認証テー
ブルの例を示し、図52に認証装置としてのデバイスア
クセス機器としてのリーダライタ(PCも可)に生成さ
れる認証テーブルの例を示す。
【0357】図51は、デバイス認証、および後段で説
明するパーティション認証としてのパーティション1,
2の認証が終了した時点のデバイス内に生成される認証
テーブルの例である。グループ(Group)として、デバ
イス認証の場合はデバイスマネージャコード(DM
C)、パーティション認証の場合はパーティションマネ
ージャコード(PMC)が記録され、実行された各認証
方式によってそれぞれのデータが格納される。公開鍵認
証方式の場合は、前述したようにセッション鍵Kses
と、通信相手(デバイスアクセス機器としてのリーダラ
イタ)の公開鍵証明書中の識別名(DN:Distinguishe
d Name)、シリアルナンバー、カテゴリーがテーブルに
格納され、共通鍵認証の場合は、セッション鍵Kses
と、通信相手(デバイスアクセス機器としてのリーダラ
イタ)の識別子(ID RW)ガ格納される。
【0358】認証テーブルはセッションのクリア時点で
破棄される。デバイスはテーブルの情報を参照すること
によってデバイスおよび各パーティションの認証状態を
確認することができ、使用すべきセッション鍵の確認が
可能となる。
【0359】一方、図52は、デバイスアクセス機器と
してのリーダライタ側の認証テーブルを示している。こ
の例もデバイス認証、およびパーティション認証として
のパーティション1,2の認証が終了した時点の認証テ
ーブルの例である。基本的構成は、デバイス内の認証テ
ーブルと同様であり、グループ(Group)として、デバ
イス認証の場合はデバイスマネージャコード(DM
C)、パーティション認証の場合はパーティションマネ
ージャコード(PMC)が記録され、実行された各認証
方式によってそれぞれのデータが格納される。公開鍵認
証方式の場合は、前述したようにセッション鍵Kses
と、通信相手(デバイス)の公開鍵証明書中の識別名
(DN:Distinguished Name)、シリアルナンバー、カ
テゴリーがテーブルに格納され、共通鍵認証の場合は、
セッション鍵Ksesと、通信相手(デバイス)の識別
子(ID RW)が格納される。リーダライタ側の認証
テーブルもセッションのクリア時点で破棄される。デバ
イスアクセス機器としてのリーダライタ側においても、
認証テーブルの情報を参照することによってデバイスお
よびパーティションの認証状態の有無を判定可能とな
り、使用すべきセッション鍵の確認が可能となる。
【0360】図49に戻り、デバイス認証処理の説明を
続ける。デバイス認証装置はステップS451におい
て、デバイス認証方式が公開鍵方式でないと判定される
と、デバイス認証装置はステップS456において、共
通鍵デバイス認証コマンドをデバイスに出力する。デバ
イスは、コマンドを受信(S466)すると、デバイス
のメモリ部の共通鍵系デバイス鍵定義ブロック(図16
参照)を参照して共通鍵認証に使用する双方向個別鍵認
証用マスター鍵(MKauth_DEV)が格納されているか否
かを検証(S467)する。双方向個別鍵認証用マスタ
ー鍵(MKauth_DEV)が格納されていない場合は、共通
鍵方式の相互認証は実行できず、エラーと判定され処理
は終了される。
【0361】双方向個別鍵認証用マスター鍵(MKauth_
DEV)が格納されていることが確認されると、ステップ
S457、S468において、マスター鍵を使用した相
互認証および鍵共有処理が実行される。
【0362】マスター鍵を使用した共通鍵方式による相
互認証および鍵共有処理について、図53を用いて説明
する。図53では、AおよびBがマスター鍵を使用した
共通鍵方式の認証を実行するエンティテイであり、A
は、自己の識別子IDa、双方向個別鍵認証用共通鍵K
a、双方向個別鍵認証用マスター鍵MKbを有し、B
は、自己の識別子IDb、双方向個別鍵認証用共通鍵K
b、双方向個別鍵認証用マスター鍵MKaを有する。な
お、図53の例では、共通鍵暗号方式としてDESアル
ゴリズム(ex.DES,トリプルDES)を用いてい
るが、同様な共通鍵暗号方式であれば他の暗号方式の適
用も可能である。
【0363】まず、Bが64ビットの乱数Rbを生成
し、Rbおよび自己のIDであるIDbをAに送信す
る。これを受信したAは、新たに64ビットの乱数Ra
を生成し、双方向個別鍵認証用マスター鍵MKbによる
IDbのDES暗号化処理により双方向個別鍵認証用共
通鍵Kbを取得する。さらに、鍵Ka、Kbを用いて、
Ra,Rb,IDa,IDbの順に、DESのCBCモ
ードでデータを暗号化し、自己の識別子IDaとともに
Bに返送する。
【0364】これを受信したBは、まず、双方向個別鍵
認証用マスター鍵MKaによるIDaのDES暗号化処
理により双方向個別鍵認証用共通鍵Kaを取得する。さ
らに、受信データを鍵Ka,Kbで復号する。復号して
得られたRa、Rb、IDa,IDbの内、Rbおよび
IDbが、Bが送信したものと一致するか検証する。こ
の検証に通った場合、BはAを正当なものとして認証す
る。
【0365】次にBは、セッション鍵として使用する6
4ビットの乱数Ksesを生成し、鍵Kb、Kaを用い
て、Rb,Ra,IDb,IDa,Ksesの順に、D
ESのCBCモードでデータを暗号化し、Aに返送す
る。
【0366】これを受信したAは、受信データを鍵K
a,Kbで復号する。復号して得られたRa、Rb、I
Da,IDbがAが送信したものと一致するか検証す
る。この検証に通った場合、AはBを正当なものとして
認証する。互いに相手を認証した後には、セッション鍵
Ksesは、認証後の秘密通信のための共通鍵として利
用される。
【0367】なお、受信データの検証の際に、不正、不
一致が見つかった場合には、相互認証が失敗したものと
して処理を中止する。
【0368】本発明のシステムの格納データに対応付け
たマスター鍵を使用した共通鍵認証について、データの
流れを説明する図を図54に示す。図54に示すよう
に、デバイスアクセス機器としてのリーダライタ(R/
W)が64ビットの乱数Rbを生成し、Rbおよび自己
のIDであるIDrwをデバイス(Device)に送
信する。これを受信したデバイス(Device)は、
新たに64ビットの乱数Raを生成し、双方向個別鍵認
証用マスター鍵MKauth_DEV_AによるIDrwのDES
暗号化処理により双方向個別鍵認証用共通鍵Kauth_DEV
_Aを取得する。さらに、鍵Kauth_DEV_A、Kauth_DEV_B
を用いて、Ra,Rb,IDrwの順に、暗号アルゴリ
ズムとして、例えばDES−CBCモードでデータを暗
号化し、自己の識別子IDmとともにデバイスアクセス
機器としてのリーダライタ(R/W)に返送する。
【0369】これを受信したリーダライタ(R/W)
は、まず、双方向個別鍵認証用マスター鍵MKauth_DEV_
BによるIDmのDES暗号化処理により双方向個別鍵
認証用共通鍵Kauth_DEV_Bを取得する。さらに、受信デ
ータを鍵Kauth_DEV_A、Kauth_DEV_Bで復号する。復号
して得られたRbおよびIDrwが、デバイスアクセス
機器としてのリーダライタ(R/W)が送信したものと
一致するか検証する。この検証に通った場合、リーダラ
イタ(R/W)はデバイス(Device)を正当なも
のとして認証する。
【0370】次にリーダライタ(R/W)は、セッショ
ン鍵として使用する64ビットの乱数Ksesを生成
し、双方向個別鍵認証用共通鍵Kauth_DEV_A、 Kauth_
DEV_Bを用いて、Rb,Ra,Ksesの順に、DES
アルゴリズムとしての例えばトリプルDESモードでデ
ータを暗号化し、デバイス(Device)に返送す
る。
【0371】これを受信したデバイスは、受信データを
双方向個別鍵認証用共通鍵Kauth_DEV_A、 Kauth_DEV_
Bで復号する。復号して得られたRa、Rb,IDrw
がデバイス(Device)が送信したものと一致する
か検証する。この検証に通った場合、デバイス(Dev
ice)はリーダライタ(R/W)を正当なものとして
認証し、認証後、セッション鍵Ksesを秘密通信のた
めの共通鍵として利用する。
【0372】なお、デバイスの固有値としてのIDm
は、先に図6のデバイスメモリフォーマットを使用して
説明したようにデバイスマネージャ管理領域の格納デー
タに基づく値を適用することができる。
【0373】上述したように、マスター鍵を使用した共
通鍵方式による相互認証および鍵共有処理によれば、通
信相手方のマスター鍵に基づく処理を実行して生成した
通信相手の個別鍵と、自己の個別鍵の2つの鍵を共通鍵
として設定し、設定した2つの鍵を用いて共通鍵方式に
よる相互認証を実行する構成であるので、デバイスまた
はアクセス装置に予め共通鍵が格納された従来の共通鍵
認証構成に比較してよりセキュアな認証システムおよび
方法が実現される。
【0374】図49に戻りフローの説明を続ける。ステ
ップS457,S468において上述のような相互認
証、鍵共有処理に成功すると、デバイスは、ステップS
469において、デバイスのメモリ部のデバイス鍵領域
(図18参照)に格納されたIRL_DEV :排除デバイス(D
evice)、排除機器(デバイスアクセス機器としてのリ
ーダライタ、PC等のチケットユーザ、チケット発行手
段)の識別子(ID)を登録したリボケーションリスト
(Revocation List (ID))を参照して、通信相手である
デバイス認証装置がリボークされていないかを検証す
る。リボークされている場合は、パーティションの生成
処理を許可できないので、エラーとして処理を終了す
る。
【0375】リボークされていない場合は、ステップS
470において、相互認証および鍵共有処理において生
成したセッション鍵Ksesと、通信相手(デバイス認
証装置を構成するデバイスアクセス機器としてのリーダ
ライタ、PCなど)の識別情報(IDrw)をデバイス
マネージャコード(DMC)をキーとして対応付けた認
証テーブル(図51参照)に保存する。
【0376】一方、デバイス認証装置も、ステップS4
58において、デバイスがリボークされていないかをI
RL_DEV :排除デバイス(Device)、排除機器(デバイス
アクセス機器としてのリーダライタ、PC等のチケット
ユーザ、チケット発行手段)の識別子(ID)を登録し
たリボケーションリスト(Revocation List (ID))を参
照して判定する。デバイス認証装置は、リボケーション
リスト(IRL_DEV)を登録局(RA(PAR))から取
得可能である。リボークされている場合は、パーティシ
ョンの生成処理を許可できないので、エラーとして処理
を終了する。
【0377】リボークされていない場合は、ステップS
459において、相互認証および鍵共有処理において生
成したセッション鍵Ksesと、通信相手(デバイス)
の識別情報(IDm)をデバイスマネージャコード(D
MC)をキーとして対応付けた認証テーブル(図52参
照)に保存する。
【0378】以上の処理が、パーティションマネージャ
の管轄するデバイスアクセス機器としてのリーダライタ
とデバイス間において実行されるデバイス認証処理であ
る。
【0379】次に、図48のステップS435、S44
2において実行されるパーティション認証処理につい
て、図55、図56を用いて説明する。パーティション
登録チケットを適用したパーティションの設定登録、ま
たは削除処理においては、先に説明したように処理に応
じてデバイス認証、パーティション認証のいずれか、ま
たは両者の認証を必要とする。これらの設定はパーティ
ション登録チケット(PRT)に記述される。パーティ
ション登録チケット(PRT)にパーティション認証を
実行する記述がある場合は、パーティション認証が実行
される。
【0380】図55、図56の処理フローの各ステップ
について説明する。図55において、左側がパーティシ
ョンマネージャのパーティション認証装置、右側がデバ
イス(図5参照)の処理を示す。なお、パーティション
マネージャのパーティション認証装置は、デバイスに対
するデータ読み取り書き込み処理可能な装置(ex.デ
バイスアクセス機器としてのリーダライタ、PC)であ
り、図10のデバイスアクセス機器としてのリーダライ
タに相当する構成を有する。
【0381】パーティション認証装置は、ステップS4
71において、デバイスに対して認証対象となるパーテ
ィションAの存在確認を実行するパーティションA存在
チェックコマンドを出力する。コマンドを受領(S48
1)したデバイスは、デバイスのメモリ部内にパーティ
ションAが存在するか否かをチェック(S482)す
る。ここでパーティションの識別子Aとしては例えばパ
ーティションマネージャコード(PMC)が使用され、
デバイスは、例えばパーティション定義ブロック(PD
B:Partition Definition Block)の格納PMCに基づ
いてパーティションの有無を判定することができる。デ
バイスによるパーティションの有無が判定されると、チ
ェック結果がパーティション認証装置に送信される。
【0382】チェック結果を受領(S472)したパー
ティション認証装置は、チェック結果を検証(S47
3)し、パーティションの存在しないとの結果を受領し
た場合は、認証不可であるので、エラー終了する。チェ
ック結果がパーティションが存在することを示した場合
は、パーティション認証装置は、ステップS474にお
いて、パーティション登録チケット(PRT)に基づい
てパーティション認証処理に公開鍵を用いた公開鍵認証
方式を適用するか否かを判定する。パーティション認証
は、前述のデバイス認証と同様、公開鍵方式または共通
鍵方式のいずれかにおいて実行され、チケットにその実
行方式についての指定が記述されている。
【0383】共通鍵方式の指定がある場合は、図55の
ステップS475〜S478、S484〜S488の処
理は実行されず、ステップS491に進む。公開鍵方式
の指定である場合は、パーティション認証装置は、ステ
ップS475において公開鍵パーティションA認証開始
コマンドをデバイスに送信する。デバイスは、コマンド
を受信(S484)すると、デバイスのメモリ部の公開
鍵系パーティション鍵定義ブロック(図21参照)を参
照して、パーティションA対応公開鍵証明書(CERT
PAR)が格納されているか否かを検証(S485)
する。パーティションA対応公開鍵証明書(CERT
PAR)が格納されていない場合は、公開鍵方式の相互
認証は実行できず、エラーと判定され処理は終了され
る。
【0384】パーティションA対応公開鍵証明書(CE
RT PAR)が格納されていることが確認されると、
ステップS476、S486において、パーティション
マネージャ対応認証局(CA(PAR))の発行した公
開鍵証明書を用いた相互認証および鍵共有処理が実行さ
れる。
【0385】公開鍵方式による相互認証および鍵共有処
理については、先のデバイス認証処理において説明した
図50に示すシーケンスと同様であるので説明を省略す
る。ただし、パーティション認証において利用する公開
鍵証明書は、パーティションマネージャ対応認証局(C
A(PAR))の発行した公開鍵証明書であり、この公
開鍵証明書の署名検証には、パーティションマネージャ
対応認証局(CA(PAR))の公開鍵(PUB CA
(PAR))を用いる。公開鍵(PUB CA(PA
R))は、パーティション鍵領域(図23参照)に格納
されている。このような相互認証処理において、生成し
たセッション鍵を用いて、送信データを暗号化して、相
互にデータ通信を実行する。
【0386】ステップS476,S486において図5
0に示すシーケンスに従った相互認証、鍵共有処理に成
功すると、デバイスは、ステップS487において、デ
バイスのメモリ部のパーティション鍵領域(図23参
照)に格納されたCRL_PAR :排除デバイス(Device)、
排除機器(デバイスアクセス機器としてのリーダライ
タ、PC等のチケットユーザ、チケット発行手段)の公
開鍵証明書識別子(ex.シリアルナンバ:SN)を登
録したリボケーションリスト(Revocation List (Certi
ficate)を参照して、通信相手であるパーティション認
証装置がリボークされていないかを検証する。リボーク
されている場合は、パーティションの生成処理あるいは
削除処理を許可できないので、エラーとして処理を終了
する。
【0387】リボークされていない場合は、ステップS
488において、相互認証および鍵共有処理において生
成したセッション鍵Ksesと、通信相手(パーティシ
ョン認証装置を構成するデバイスアクセス機器としての
リーダライタ、PCなど)の公開鍵証明書中の識別名
(DN:Distinguished Name)、シリアルナンバー、カ
テゴリーをパーティションマネージャコード(PMC)
をキーとして対応付けた認証テーブルに保存する。
【0388】一方、パーティション認証装置も、ステッ
プS477において、デバイスがリボークされていない
かをCRL_PAR :排除デバイス(Device)、排除機器(デ
バイスアクセス機器としてのリーダライタ、PC等のチ
ケットユーザ、チケット発行手段)の公開鍵証明書識別
子(ex.シリアルナンバ:SN)を登録したリボケー
ションリスト(Revocation List (Certificate))を参
照して判定する。デバイス認証装置は、リボケーション
リスト(CRL_PAR)を登録局(RA(PAR))から取
得可能である。リボークされている場合は、パーティシ
ョンの生成処理あるいは削除処理を許可できないので、
エラーとして処理を終了する。
【0389】リボークされていない場合は、ステップS
478において、相互認証および鍵共有処理において生
成したセッション鍵Ksesと、通信相手(デバイス)
の公開鍵証明書中の識別名(DN:Distinguished Nam
e)、シリアルナンバー、カテゴリーをパーティション
マネージャコード(PMC)をキーとして対応付けた認
証テーブルに保存する。この結果、例えば図51に示す
認証テーブルがデバイス内に生成され、図52に示す認
証テーブルがパーティション認証装置としてのデバイス
アクセス機器としてのリーダライタ(PCも可)に生成
される。図51、図52は、デバイス認証、およびパー
ティション認証としてのパーティション1,2の認証が
終了した時点のデバイス内およびデバイスアクセス機器
としてのリーダライタ内に生成される認証テーブルの例
である。
【0390】パーティション認証の場合はパーティショ
ンマネージャコード(PMC)が記録され、実行された
各認証方式によってそれぞれのデータが格納される。公
開鍵認証方式の場合は、前述したようにセッション鍵K
sesと、通信相手の公開鍵証明書中の識別名(DN:
Distinguished Name)、シリアルナンバー、カテゴリー
がテーブルに格納され、共通鍵認証の場合は、セッショ
ン鍵Ksesと、通信相手の識別子が格納される。認証
テーブルはセッションのクリア時点で破棄される。デバ
イスおよびデバイスアクセス機器としてのリーダライタ
はテーブルの情報を参照することによってデバイスおよ
び各パーティションの認証状態を確認することができ、
使用すべきセッション鍵の確認が可能となる。
【0391】図55,図56のフローを用いて、パーテ
ィション認証処理の説明を続ける。パーティション認証
装置はステップS474において、パーティション認証
方式が公開鍵方式でないと判定されると、パーティショ
ン認証装置はステップS491において、共通鍵パーテ
ィションA認証コマンドをデバイスに出力する。デバイ
スは、コマンドを受信(S501)すると、デバイスの
メモリ部の共通鍵系パーティション鍵定義ブロック(図
22参照)を参照して共通鍵認証に使用する双方向個別
鍵認証用マスター鍵(MKauth_PAR_A)が格納されてい
るか否かを検証(S502)する。双方向個別鍵認証用
マスター鍵(MKauth_PAR_A)が格納されていない場合
は、共通鍵方式の相互認証は実行できず、エラーと判定
され処理は終了される。
【0392】双方向個別鍵認証用マスター鍵(MKauth_
PAR_A)が格納されていることが確認されると、ステッ
プS492、S503において、マスター鍵を使用した
相互認証および鍵共有処理が実行される。共通鍵方式に
よる相互認証および鍵共有処理については、先のデバイ
ス認証において、図53、図54を用いて説明したシー
ケンスと同様であるので、説明を省略する。ただし、パ
ーティション認証の場合に適用する鍵は、パーティショ
ン鍵定義ブロック(図22参照)に定義され、パーティ
ション鍵領域(図23参照)に格納された双方向個別鍵
認証用共通鍵(Kauth_PAR_B)、および双方向個別鍵認
証用マスター鍵(MKauth_PAR_A)である。
【0393】ステップS492,S503において共通
鍵方式の相互認証、鍵共有処理に成功すると、デバイス
は、ステップS504において、デバイスのメモリ部の
パーティション鍵領域(図23参照)に格納されたIRL_
PAR :排除デバイス(Device)、排除機器(デバイスア
クセス機器としてのリーダライタ、PC等のチケットユ
ーザ、チケット発行手段)の識別子(ID)を登録した
リボケーションリスト(Revocation List (ID))を参照
して、通信相手であるパーティション認証装置がリボー
クされていないかを検証する。リボークされている場合
は、パーティションの生成処理または削除処理を許可で
きないので、エラーとして処理を終了する。
【0394】リボークされていない場合は、ステップS
505において、相互認証および鍵共有処理において生
成したセッション鍵Ksesと、通信相手(デバイス認
証装置を構成するデバイスアクセス機器としてのリーダ
ライタ、PCなど)の識別情報(IDrw)をパーティ
ションマネージャコード(PMC)をキーとして対応付
けた認証テーブル(図51参照)に保存する。
【0395】一方、パーティション認証装置も、ステッ
プS493において、デバイスがリボークされていない
かをIRL_PAR :排除デバイス(Device)、排除機器(デ
バイスアクセス機器としてのリーダライタ、PC等のチ
ケットユーザ、チケット発行手段)の識別子(ID)を
登録したリボケーションリスト(Revocation List (I
D))を参照して判定する。パーティション認証装置は、
リボケーションリスト(IRL_PAR)を登録局(RA(P
AR))から取得可能である。リボークされている場合
は、パーティションの生成処理または削除処理を許可で
きないので、エラーとして処理を終了する。
【0396】リボークされていない場合は、ステップS
494において、相互認証および鍵共有処理において生
成したセッション鍵Ksesと、通信相手(デバイス)
の識別情報(IDm)をパーティションマネージャコー
ド(DMC)をキーとして対応付けた認証テーブル(図
52参照)に保存する。
【0397】以上の処理が、パーティションマネージャ
の管轄するデバイスアクセス機器としてのリーダライタ
とデバイス間において実行されるパーティション認証処
理である。このような相互認証により、デバイスまたは
パーティションとデバイスアクセス機器としてのリーダ
ライタ間の認証が成立し、セッション鍵の共有が達成さ
れ、通信データのセッション鍵による暗号化通信が可能
となる。
【0398】なお、上述したデバイス認証処理、パーテ
ィション認証処理は、他のチケット、すなわちファイル
登録チケット(FRT:File Registration Ticket)、
サービス許可チケット(SPT:Service Permission T
icket)、データアップデートチケット(DUT:Data
Update Ticket)を使用したデバイスアクセスを実行す
る際にも適宜必要に応じて行われる処理である。これら
については、後段の各チケットを利用した処理の説明中
で述べる。
【0399】(チケットの正当性と利用者チェック)次
に、図47のパーティションの作成、削除処理フロー中
のステップS413のデバイスにおけるチケットの正当
性と利用者チェック処理の詳細について図57、図58
のフローを用いて説明する。
【0400】なお、以下に説明するチケットの正当性と
利用者チェック処理は、他のチケット、すなわちファイ
ル登録チケット(FRT:File Registration Ticke
t)、サービス許可チケット(SPT:Service Permiss
ion Ticket)、データアップデートチケット(DUT:
Data Update Ticket)を使用したデバイスアクセス処理
においても適宜必要に応じて行われる処理であり、図5
7、図58のフローは、各チケットに共通の処理フロー
として構成してある。
【0401】チケットの正当性と利用者チェック処理
は、デバイスとの通信を実行しているチケットユーザ
(ex.デバイスアクセス機器としてのリーダライタ、
PC等)から受信したチケットに基づいてデバイス(図
5参照)が実行する処理である。デバイスは、チケット
の正当性と利用者チェック処理においてチケットおよび
チケットユーザ(ex.デバイスアクセス機器としての
リーダライタ、PC等)である利用者の正当性を確認し
た後、チケットに記述された制限範囲内の処理を許可す
る。
【0402】図57、図58のフローを用いてチケット
の正当性と利用者チェック処理の詳細について説明す
る。チケットをチケットユーザ(ex.デバイスアクセ
ス機器としてのリーダライタ、PC等)から受信したデ
バイスは、図57のステップS511において、チケッ
トタイプを検証しチケットがパーティション登録チケッ
ト(PRT:Partition Registration Ticket)である
か否かを判定する。チケットタイプは、各チケットに記
録されている(図26、図27、図28、図31、図3
2参照)。
【0403】チケットタイプがパーティション登録チケ
ット(PRT:Partition Registration Ticket)であ
る場合は、ステップS512〜S514を実行し、パー
ティション登録チケット(PRT:Partition Registra
tion Ticket)でない場合は、ステップS515に進
む。
【0404】チケットタイプがパーティション登録チケ
ット(PRT:Partition Registration Ticket)であ
る場合は、ステップS512において、チケットに記述
されたIntegrity Check Type(チケット(Ticket)の正
当性検証値の種別(公開鍵方式(Public) /共通鍵方式(C
ommon)))の設定が公開鍵方式(Public)であるか否かを
判定する。
【0405】正当性検証値の種別(Integrity Check Ty
pe)が公開鍵方式(Public)である場合、ステップS51
3に進み、各種処理を実行する。ステップS513で実
行する処理は、まず、デバイスマネージャ対応認証局
(CA(DEV))の公開鍵PUB CA(DEV)を
用いたチケット発行者(Ticket Issuer)の公開鍵証明
書(CERT)の検証処理である。
【0406】前述したように、パーティション登録チケ
ット(PRT)発行手段(PRT Issuer)の発行したチケ
ット(Ticket)を、チケットユーザに対して送信する際
には、公開鍵方式の場合、パーティション登録チケット
(PRT)発行手段(PRT Issuer)の公開鍵証明書(CE
RT_PRTI)も一緒にデバイスに送信される。なお、PR
T発行手段の公開鍵証明書(CERT_PRTI)の属性(Attri
bute)は、パーティション登録チケット(PRT)発行
手段(PRT User)の識別子(PRTIC)と一致する。
【0407】公開鍵証明書(図11参照)にはデバイス
マネージャ対応認証局(CA(DEV))の秘密鍵で実
行された署名が付加されており、この署名をデバイスマ
ネージャ対応認証局(CA(DEV))の公開鍵PUB
CA(DEV)を用いて検証する。署名生成、検証
は、例えば先に説明した図12、図13のフローに従っ
た処理として実行される。この署名検証により、チケッ
ト発行者の公開鍵証明書(CERT)が改竄されたもの
でない正当な公開鍵証明書(CERT)であるか否かが
判定される。
【0408】さらに、ステップS513では、署名検証
により正当性が確認されたチケット発行手段の公開鍵証
明書(CERT)のオプション領域に記録されたユーザ
のカテゴリとしてのコードが、デバイス内のDKDB
(Device Key Definition Block)(PUB)に記録されたチ
ケット発行手段コード(PRTIC:PRT Issuer Cod
e)と一致するか否かを判定する。
【0409】公開鍵証明書には、図11の公開鍵証明書
の説明の欄で記述したように、各チケット(PRT,F
RT、SPTなど)の発行手段であるチケット発行手段
(Ticket Issuer)の所属コード、この場合、PRTI
C(PRT Issuer Code)が記録されている。このオプシ
ョン領域のコードとデバイス内のDKDB(Device Key
Definition Block)(PUB)に記録されたチケット発行手
段コード(PRTIC:PRT Issuer Code)の一致を確
認することで、受信チケット(PRT)が正当なチケッ
ト発行手段によって発行されたチケットであることを確
認する。
【0410】さらに、デバイスは、デバイスのメモリ部
内のデバイス鍵領域(図18参照)に格納されたCRL_DE
V(排除デバイス(Device)、排除機器(デバイスアク
セス機器としてのリーダライタ、PC等のチケットユー
ザ、チケット発行手段)の公開鍵証明書識別子(ex.
シリアルナンバ:SN)を登録したリボケーションリス
ト(Revocation List (Certificate)))を参照して、
チケット発行手段(Ticket Issuer)がリボークされて
いないかを判定する。
【0411】さらに、受信チケットであるパーティショ
ン登録チケット(PRT)(図26参照)に記録された
署名、すなわちIntegrity Check Value (チケット(Ti
cket)の正当性検証値(公開鍵方式:署名(Signatur
e)))の検証を実行し、チケットが改竄されていない
かを確認する。署名検証は、先の公開鍵証明書の署名検
証と同様、例えば図13のフローと同様のシーケンスに
従って実行される。
【0412】以上、(1)チケット発行者(Ticket Iss
uer)の公開鍵証明書(CERT)が改竄されたもので
ない正当な公開鍵証明書(CERT)であること、
(2)チケット発行者(Ticket Issuer)の公開鍵証明
書(CERT)のオプション領域に記録されたコード
と、デバイス内のDKDB(Device Key Definition Bl
ock)(PUB)に記録されたチケット発行手段コード(PR
TIC:PRT Issuer Code)の一致、(3)チケット発
行手段(Ticket Issuer)がリボークされていないこ
と、(4)受信チケット(PRT)の署名(Signatur
e)の検証によりチケットが改竄のないことの確認。以
上のすべての確認がなされたことを条件としてチケット
の正当性検証成功とする。上記(1)〜(4)のいずれ
かが確認されない場合は、チケットの正当性の確認が得
られないと判定され、パーティション登録チケット(P
RT:Partition Registration Ticket)を利用した処
理は中止される。
【0413】また、ステップS512において、チケッ
トに記述されたIntegrity Check Type(チケット(Tick
et)の正当性検証値の種別(公開鍵方式(Public) /共通
鍵方式(Common)))の設定が共通鍵方式(Common)である
と判定された場合は、ステップS514に進みMAC
(Message Authentication Code)検証を実行する。デ
バイスは、デバイスのデバイス鍵領域(図18参照)に
格納されたパーティション登録チケット(PRT)のM
AC検証用鍵:Kprtを使用してチケットのMAC検
証処理を実行する。
【0414】図59にDES暗号処理構成を用いたMA
C値生成例を示す。図59の構成に示すように対象とな
るメッセージを8バイト単位に分割し、(以下、分割さ
れたメッセージをM1、M2、・・・、MNとする)、
まず、初期値(Initial Value(以下、IVとする))
とM1を排他的論理和する(その結果をI1とする)。
次に、I1をDES暗号化部に入れ、MAC検証用鍵:
Kprtを用いて暗号化する(出力をE1とする)。続
けて、E1およびM2を排他的論理和し、その出力I2
をDES暗号化部へ入れ、鍵Kprtを用いて暗号化す
る(出力E2)。以下、これを繰り返し、全てのメッセ
ージに対して暗号化処理を施す。最後に出てきたENが
メッセージ認証符号(MAC(Message Authentication
Code))となる。なお、メッセージとしては、検証対
象となるデータを構成する部分データが使用可能であ
る。
【0415】改竄のないことが保証された例えばデータ
送信側がデータ生成時に生成したICV(Integrity Ch
eck Value)と、データ受信側が受信データに基づいて
生成したICVとを比較して同一のICVが得られれば
データに改竄のないことが保証され、ICVが異なれ
ば、改竄があったと判定される。改竄のないことが保証
された例えばデータ送信側がデータ生成時に生成したI
CVは、図26のパーティション登録チケット(PR
T)のフォーマットに関する記述において説明したよう
に、PRTのICV(Integrity Check Value)フィー
ルドに格納されている。デバイスが生成したICVと受
信チケット(PRT)に格納されたICVとを比較して
一致していればチケットの正当性ありと判定し、不一致
の場合はチケット改竄ありと判定し、チケットを利用し
た処理を中止する。
【0416】上述の処理によってチケットに記述された
Integrity Check Typeが共通鍵方式である場合のチケッ
ト検証処理が完了する。
【0417】図57のフローに戻り、チケットの正当性
と利用者チェック処理について説明を続ける。ステップ
S511において、チケットタイプがパーティション登
録チケット(PRT:Partition Registration Ticke
t)でないと判定された場合は、ステップS515にお
いてチケットタイプを検証しチケットがファイル登録チ
ケット(FRT:File Registration Ticket)であるか
否かを判定する。
【0418】チケットタイプがファイル登録チケット
(FRT:File Registration Ticket)である場合は、
ステップS516〜S518を実行し、ファイル登録チ
ケット(FRT:File Registration Ticket)でない場
合は、ステップS519に進む。
【0419】チケットタイプがファイル登録チケット
(FRT:File Registration Ticket)である場合は、
ステップS516において、チケットに記述されたInte
grityCheck Type(チケット(Ticket)の正当性検証値
の種別(公開鍵方式(Public) /共通鍵方式(Common)))
の設定が公開鍵方式(Public)であるか否かを判定する。
【0420】正当性検証値の種別(Integrity Check Ty
pe)が公開鍵方式(Public)である場合、ステップS51
7に進み、各種処理を実行する。ステップS517で実
行する処理は、まず、パーティションマネージャ対応認
証局(CA(PAR))の公開鍵PUB CA(PA
R)を用いたチケット発行者(Ticket Issuer)の公開
鍵証明書(CERT)の検証処理である。
【0421】ファイル登録チケット(FRT)発行手段
(FRT Issuer)の発行したチケット(Ticket)を、チケ
ットユーザに対して送信する際には、公開鍵方式の場
合、ファイル登録チケット(FRT)発行手段(FRT Is
suer)の公開鍵証明書(CERT_FRTI)も一緒にデバイス
に送信される。なお、FRT発行手段の公開鍵証明書
(CERT_FRTI)の属性(Attribute)は、、ファイル登録
チケット(FRT)発行手段(FRT Issuer)の識別
子(FRTIC)と一致する。
【0422】公開鍵証明書(図11参照)にはパーティ
ションマネージャ対応認証局(CA(PAR))の秘密
鍵で実行された署名が付加されており、この署名をパー
ティションマネージャ対応認証局(CA(PAR))の
公開鍵PUB CA(PAR)を用いて検証する。署名
生成、検証は、例えば先に説明した図12、図13のフ
ローに従った処理として実行される。この署名検証によ
り、チケット発行者の公開鍵証明書(CERT)が改竄
されたものでない正当な公開鍵証明書(CERT)であ
るか否かが判定される。
【0423】さらに、ステップS517では、署名検証
により正当性が確認されたチケット発行手段の公開鍵証
明書(CERT)のオプション領域に記録されたユーザ
の所属コードと、デバイス内のPKDB(Partition Ke
y Definition Block)(PUB)に記録されたチケット発行
手段コード(FRTIC:FRT Issuer Code)と一致す
るか否かを判定する。
【0424】公開鍵証明書には、図11の公開鍵証明書
の説明の欄で記述したように、各チケット(PRT,F
RT、SPTなど)の発行手段であるチケット発行手段
(Ticket Issuer)の所属コード、この場合、FRTI
C(FRT Issuer Code)が記録されている。このオプシ
ョン領域のコードとデバイス内のPKDB(PartitionK
ey Definition Block)(PUB)に記録されたチケット発行
手段コード(FRTIC:FRT Issuer Code)の一致を
確認しすることで、受信チケット(FRT)が正当なチ
ケット発行手段によって発行されたチケットであること
を確認する。
【0425】さらに、デバイスは、デバイスのメモリ部
内のパーティション鍵領域(図23参照)に格納された
CRL_PAR(排除デバイス(Device)、排除機器(デバイ
スアクセス機器としてのリーダライタ、PC等のチケッ
トユーザ、チケット発行手段)の公開鍵証明書識別子
(ex.シリアルナンバ:SN)を登録したリボケーシ
ョンリスト(Revocation List (Certificate))を参照
して、チケット発行手段(Ticket Issuer)がリボーク
されていないかを判定する。
【0426】さらに、受信チケットであるファイル登録
チケット(FRT)(図27参照)に記録された署名、
すなわちIntegrity Check Value (チケット(Ticket)
の正当性検証値(公開鍵方式:署名(Signature)))
の検証を実行し、チケットが改竄されていないかを確認
する。署名検証は、先の公開鍵証明書の署名検証と同
様、例えば図13のフローと同様のシーケンスに従って
実行される。
【0427】以上、(1)チケット発行者(Ticket Iss
uer)の公開鍵証明書(CERT)が改竄されたもので
ない正当な公開鍵証明書(CERT)であること、
(2)チケット発行者(Ticket Issuer)の公開鍵証明
書(CERT)のオプション領域に記録されたコード
と、デバイス内のPKDB(Partition Key Definition
Block)(PUB)に記録されたチケット発行手段コード
(FRTIC:FRT Issuer Code)の一致、(3)チケ
ット発行手段(Ticket Issuer)がリボークされていな
いこと、(4)受信チケット(FRT)の署名(Signat
ure)の検証によりチケットが改竄のないことの確認。
以上のすべての確認がなされたことを条件としてファイ
ル登録チケット(FRT)の正当性検証成功とする。上
記(1)〜(4)のいずれかが確認されない場合は、フ
ァイル登録チケット(FRT)の正当性の確認が得られ
ないと判定され、ファイル登録チケット(FRT)を利
用した処理は中止される。
【0428】また、ステップS516において、チケッ
トに記述されたIntegrity Check Type(チケット(Tick
et)の正当性検証値の種別(公開鍵方式(Public) /共通
鍵方式(Common)))の設定が共通鍵方式(Common)である
と判定された場合は、ステップS518に進みMAC
(Message Authentication Code)検証を実行する。デ
バイスは、デバイスのパーティション鍵領域(図23参
照)に格納されたファイル登録チケット(FRT)のM
AC検証用鍵:Kfrtを使用してチケットのMAC検
証処理を実行する。MAC検証処理は、先に説明した図
59のDES暗号処理構成を用いたMAC値生成処理に
従って実行される。
【0429】改竄のないことが保証された例えばデータ
送信側がデータ生成時に生成したICV(Integrity Ch
eck Value)と、データ受信側が受信データに基づいて
生成したICVとを比較して同一のICVが得られれば
データに改竄のないことが保証され、ICVが異なれ
ば、改竄があったと判定される。改竄のないことが保証
された例えばデータ送信側がデータ生成時に生成したI
CVは、図27のファイル登録チケット(FRT)のフ
ォーマットに関する記述において説明したように、FR
TのICV(Integrity Check Value)フィールドに格
納されている。デバイスが生成したICVと受信チケッ
ト(FRT)に格納されたICVとを比較して一致して
いればチケットの正当性ありと判定し、不一致の場合は
チケット改竄ありと判定し、チケットを利用した処理を
中止する。
【0430】上述の処理によってチケットに記述された
Integrity Check Typeが共通鍵方式である場合のファイ
ル登録チケット(FRT)検証処理が完了する。
【0431】ステップS515において、チケットタイ
プがファイル登録チケット(FRT:File Registratio
n Ticket)でないと判定された場合は、ステップS51
9においてチケットタイプを検証しチケットがサービス
許可チケット(SPT:Service Permission Ticket)
であるか否かを判定する。
【0432】チケットタイプがサービス許可チケット
(SPT:Service Permission Ticket)である場合
は、ステップS520〜S522を実行し、サービス許
可チケット(SPT:Service Permission Ticket)で
ない場合は、ステップS523に進む。
【0433】チケットタイプがサービス許可チケット
(SPT:Service Permission Ticket)である場合
は、ステップS520において、チケットに記述された
IntegrityCheck Type(チケット(Ticket)の正当性検
証値の種別(公開鍵方式(Public)/共通鍵方式(Commo
n)))の設定が公開鍵方式(Public)であるか否かを判定
する。
【0434】正当性検証値の種別(Integrity Check Ty
pe)が公開鍵方式(Public)である場合、ステップS52
1に進み、各種処理を実行する。ステップS521で実
行する処理は、まず、パーティションマネージャ対応認
証局(CA(PAR))の公開鍵PUB CA(PA
R)を用いたチケット発行者(Ticket Issuer)の公開
鍵証明書(CERT)の検証処理である。
【0435】サービス許可チケット(SPT)発行手段
(SPT Issuer)の発行したチケット(Ticket)を、チケ
ットユーザに対して送信する際には、公開鍵方式の場
合、サービス許可チケット(SRT)発行手段(SPT Is
suer)の公開鍵証明書(CERT_SPTI)も一緒にデバイス
に送信される。なお、SPT発行手段の公開鍵証明書
(CERT_SPTI)の属性(Attribute)は、サービス許可チ
ケット(SPT)発行手段(SPT Issuer)の識別子(SPT
IC)と一致する。
【0436】公開鍵証明書(図11参照)にはパーティ
ションマネージャ対応認証局(CA(PAR))の秘密
鍵で実行された署名が付加されており、この署名をパー
ティションマネージャ対応認証局(CA(PAR))の
公開鍵PUB CA(PAR)を用いて検証する。署名
生成、検証は、例えば先に説明した図12、図13のフ
ローに従った処理として実行される。この署名検証によ
り、チケット発行者の公開鍵証明書(CERT)が改竄
されたものでない正当な公開鍵証明書(CERT)であ
るか否かが判定される。
【0437】さらに、ステップS521では、署名検証
により正当性が確認されたチケット発行手段の公開鍵証
明書(CERT)のオプション領域に記録されたユーザ
の所属コードと、デバイス内のファイル定義ブロック
(FDB:File Definition Block)に記録されたチケ
ット発行手段コード(SPTIC:SPT Issuer Code)
と一致するか否かを判定する。
【0438】公開鍵証明書には、図11の公開鍵証明書
の説明の欄で記述したように、各チケット(PRT,F
RT、SPTなど)の発行手段であるチケット発行手段
(Ticket Issuer)の所属コード、この場合、SPTI
C(SPT Issuer Code)が記録されている。このオプシ
ョン領域のコードとデバイス内のFDB(File Definit
ion Block)に記録されたチケット発行手段コード(S
PTIC:SPT Issuer Code)の一致を確認しすること
で、受信チケット(SPT)が正当なチケット発行手段
によって発行されたチケットであることを確認する。
【0439】さらに、デバイスは、デバイスのメモリ部
内のパーティション鍵領域(図23参照)に格納された
CRL_PAR(排除デバイス(Device)、排除機器(デバイ
スアクセス機器としてのリーダライタ、PC等のチケッ
トユーザ、チケット発行手段)の公開鍵証明書識別子
(ex.シリアルナンバ:SN)を登録したリボケーシ
ョンリスト(Revocation List (Certificate)))を参
照して、チケット発行手段(Ticket Issuer)がリボー
クされていないかを判定する。
【0440】さらに、受信チケットであるサービス許可
チケット(SPT)(図28、図31参照)に記録され
た署名、すなわちIntegrity Check Value (チケット
(Ticket)の正当性検証値(公開鍵方式:署名(Signat
ure))の検証を実行し、チケットが改竄されていない
かを確認する。署名検証は、先の公開鍵証明書の署名検
証と同様、例えば図13のフローと同様のシーケンスに
従って実行される。
【0441】以上、(1)チケット発行者(Ticket Iss
uer)の公開鍵証明書(CERT)が改竄されたもので
ない正当な公開鍵証明書(CERT)であること、
(2)チケット発行者(Ticket Issuer)の公開鍵証明
書(CERT)のオプション領域に記録されたコード
と、デバイス内のFDB(File Definition Block)に
記録されたチケット発行手段コード(SPTIC:SPT
Issuer Code)の一致、(3)チケット発行手段(Ticke
t Issuer)がリボークされていないこと、(4)受信チ
ケット(SPT)の署名(Signature)の検証によりチ
ケットが改竄のないことの確認。以上のすべての確認が
なされたことを条件としてサービス許可チケット(SP
T)の正当性検証成功とする。上記(1)〜(4)のい
ずれかが確認されない場合は、サービス許可チケット
(SPT)の正当性の確認が得られないと判定され、サ
ービス許可チケット(SPT)を利用した処理は中止さ
れる。
【0442】また、ステップS520において、チケッ
トに記述されたIntegrity Check Type(チケット(Tick
et)の正当性検証値の種別(公開鍵方式(Public) /共通
鍵方式(Common)))の設定が共通鍵方式(Common)である
と判定された場合は、ステップS522に進みMAC
(Message Authentication Code)検証を実行する。デ
バイスは、デバイスのファイル定義ブロック(図24参
照)に格納されたサービス許可チケット(SPT)のM
AC検証用鍵:Ksptを使用してチケットのMAC検
証処理を実行する。MAC検証処理は、先に説明した図
59のDES暗号処理構成を用いたMAC値生成処理に
従って実行される。
【0443】改竄のないことが保証された例えばデータ
送信側がデータ生成時に生成したICV(Integrity Ch
eck Value)と、データ受信側が受信データに基づいて
生成したICVとを比較して同一のICVが得られれば
データに改竄のないことが保証され、ICVが異なれ
ば、改竄があったと判定される。改竄のないことが保証
された例えばデータ送信側がデータ生成時に生成したI
CVは、図28、図31のサービス許可チケット(SP
T)のフォーマットに関する記述において説明したよう
に、SPTのICV(Integrity Check Value)フィー
ルドに格納されている。デバイスが生成したICVと受
信チケット(SPT)に格納されたICVとを比較して
一致していればチケットの正当性ありと判定し、不一致
の場合はチケット改竄ありと判定し、サービス許可チケ
ット(SPT)を利用した処理を中止する。
【0444】上述の処理によってサービス許可チケット
(SPT)に記述されたIntegrityCheck Typeが共通鍵
方式である場合のサービス許可チケット(SPT)検証
処理が完了する。
【0445】ステップS519において、チケットタイ
プがサービス許可チケット(SPT:Service Permissi
on Ticket)でないと判定された場合は、ステップS5
23においてチケットタイプを検証しチケットがデータ
アップデートチケット-DEV(DUT:Data Update T
icket(DEV))(図32参照)であるか否かを判定する。デ
ータアップデートチケット(DUT)は前述したように
デバイスのメモリ部に格納された各種データの更新処理
を実行する際のアクセス許可チケットであり、デバイス
マネージャの管理データを更新する処理に適用するデー
タアップデートチケット-DEV(DUT(DEV))
とパーティションマネージャの管理データを更新する処
理に適用するデータアップデートチケット-PAR(D
UT(PAR))とがある。
【0446】チケットタイプがデータアップデートチケ
ット-DEV(DUT(DEV))である場合は、ステ
ップS524〜S528を実行し、データアップデート
チケット(DEV)(DUT:Data Update Ticket(DE
V))でない場合は、ステップS529に進む。
【0447】チケットタイプがデータアップデートチケ
ット-DEV(DUT(DEV))である場合は、ステ
ップS524において、チケットに記述されたIntegrit
y Check Type(チケット(Ticket)の正当性検証値の種
別(公開鍵方式(Public) /共通鍵方式(Common)))の設
定が公開鍵方式(Public)であるか否かを判定する。
【0448】正当性検証値の種別(Integrity Check Ty
pe)が公開鍵方式(Public)である場合、ステップS52
5に進み、各種処理を実行する。ステップS525で実
行する処理は、まず、デバイスマネージャ対応認証局
(CA(DEV))の公開鍵PUB CA(DEV)を
用いたチケット発行者(Ticket Issuer)の公開鍵証明
書(CERT)の検証処理である。
【0449】データアップデートチケット-DEV(D
UT(DEV))発行手段(DUT Issuer)の発行したチ
ケット(Ticket)を、チケットユーザに対して送信する
際には、公開鍵方式の場合、データアップデートチケッ
ト(DUT)発行手段(DUTIssuer)の公開鍵証明書(C
ERT_DUTI)も一緒にデバイスに送信される。なお、DU
T発行手段の公開鍵証明書(CERT_DUTI)の属性(Attri
bute)は、デバイス内のDKDB(PUB)(Device K
ey Definition Block)(PUB)に記録されたチケット発行
手段コード(DUTIC_DEV)の識別子(DUTIC)と一致す
る。
【0450】公開鍵証明書(図11参照)にはデバイス
マネージャ対応認証局(CA(DEV))の秘密鍵で実
行された署名が付加されており、この署名をデバイスマ
ネージャ対応認証局(CA(DEV))の公開鍵PUB
CA(DEV)を用いて検証する。署名生成、検証
は、例えば先に説明した図12、図13のフローに従っ
た処理として実行される。この署名検証により、チケッ
ト発行者の公開鍵証明書(CERT)が改竄されたもの
ではない正当な公開鍵証明書(CERT)であるか否か
が判定される。
【0451】さらに、ステップS525では、署名検証
により正当性が確認されたチケット発行手段の公開鍵証
明書(CERT)のオプション領域に記録されたユーザ
の所属コードと、デバイス内のDKDB(PUB)(De
vice Key Definition Block)(PUB)に記録されたチケッ
ト発行手段コード(DUTIC_DEV:DUT Issuer Category
for Device)と一致するか否かを判定する。
【0452】公開鍵証明書には、図11の公開鍵証明書
の説明の欄で記述したように、各チケット(PRT,F
RT、SPT、DUT)の発行手段であるチケット発行
手段(Ticket Issuer)の所属コード、この場合、DU
TIC(DUT Issuer Code)が記録されている。このオ
プション領域のコードとデバイス内のDKDB(PU
B)(Device Key Definition Block)(PUB)に記録され
たチケット発行手段コード(DUTIC_DEV:DUT Issuer C
ategory for Device)(図16参照)の一致を確認するこ
とで、受信チケット(DUT)が正当なチケット発行手
段によって発行されたチケットであることを確認する。
【0453】さらに、デバイスは、デバイスのメモリ部
内のデバイス鍵領域(図18参照)に格納されたCRL_DE
V(排除デバイス(Device)、排除機器(デバイスアク
セス機器としてのリーダライタ、PC等のチケットユー
ザ、チケット発行手段)の公開鍵証明書識別子(ex.
シリアルナンバ:SN)を登録したリボケーションリス
ト(Revocation List (Certificate)))を参照して、
チケット発行手段(Ticket Issuer)がリボークされて
いないかを判定する。
【0454】さらに、受信チケットであるデータアップ
デートチケット-DEV(DUT(DEV))(図32
参照)に記録された署名、すなわちIntegrity Check Va
lue(チケット(Ticket)の正当性検証値(公開鍵方
式:署名(Signature))の検証を実行し、チケットが
改竄されていないかを確認する。署名検証は、先の公開
鍵証明書の署名検証と同様、例えば図13のフローと同
様のシーケンスに従って実行される。
【0455】以上、(1)チケット発行者(Ticket Iss
uer)の公開鍵証明書(CERT)が改竄されたもので
ない正当な公開鍵証明書(CERT)であること、
(2)チケット発行者(Ticket Issuer)の公開鍵証明
書(CERT)のオプション領域に記録されたコード
と、デバイス内のDKDB(PUB)(Device Key Def
inition Block)(PUB)に記録されたチケット発行手段コ
ード(DUTIC_DEV:DUT Issuer Category for Device)
の一致、(3)チケット発行手段(Ticket Issuer)が
リボークされていないこと、(4)受信チケット(DU
T)の署名(Signature)の検証によりチケットが改竄
のないことの確認。以上のすべての確認がなされたこと
を条件としてデータアップデートチケット-DEV(D
UT(DEV))の正当性検証成功とする。上記(1)
〜(4)のいずれかが確認されない場合は、データアッ
プデートチケット-DEV(DUT(DEV))の正当
性の確認が得られないと判定され、データアップデート
チケット-DEV(DUT(DEV))を利用した処理
は中止される。
【0456】また、ステップS524において、チケッ
トに記述されたIntegrity Check Type(チケット(Tick
et)の正当性検証値の種別(公開鍵方式(Public) /共通
鍵方式(Common)))の設定が共通鍵方式(Common)である
と判定された場合は、ステップS526において、デー
タアップデートチケット-DEV(DUT(DEV))
に記述されたOld Data Codeの示すデータがデバイス鍵
領域(図18参照)に格納されたKdut_DEV1(データア
ップデートチケット(DUT)のMAC検証用鍵)また
は、Kdut_DEV2(データ更新用暗号鍵)であるか否かを
判定する。
【0457】データアップデートチケット-DEV(D
UT(DEV))に記述されたOld Data Code(更新さ
れる古いデータのコード)の示すデータがデバイス鍵領
域(図18参照)に格納されたKdut_DEV1(データアッ
プデートチケット(DUT)のMAC検証用鍵)また
は、Kdut_DEV2(データ更新用暗号鍵)である場合は、
ステップS528において、デバイス鍵領域(図18参
照)に格納されたKdut_DEV3(データアップデートチケ
ット(DUT)のMAC検証用鍵)を用いてMAC検証
処理を実行し、データアップデートチケット-DEV
(DUT(DEV))に記述されたOld Data Code(更
新される古いデータのコード)の示すデータがデバイス
鍵領域(図18参照)に格納されたKdut_DEV1(データ
アップデートチケット(DUT)のMAC検証用鍵)ま
たは、Kdut_DEV2(データ更新用暗号鍵)でない場合
は、ステップS527において、デバイス鍵領域(図1
8参照)に格納されたKdut_DEV1(データアップデート
チケット(DUT)のMAC検証用鍵)を用いてMAC
検証処理を実行する。
【0458】上述のようにMAC検証鍵の使い分けを実
行するのは、更新対象となっているデータが、Kdut_DEV
1(データアップデートチケット(DUT)のMAC検
証用鍵)または、Kdut_DEV2(データ更新用暗号鍵)で
ある場合は、これらの鍵データが何らかの理由、例えば
鍵情報の漏洩等により、使用を停止される予定の情報で
あるため、これらの更新対象データを用いたMAC検証
を避けるためである。MAC検証処理は、先に説明した
図59のDES暗号処理構成を用いたMAC値生成処理
に従って実行される。
【0459】なお、デバイスは、デバイスのデバイス鍵
領域(図18参照)に新規にKdut_DEV1(データアップ
デートチケット(DUT)のMAC検証用鍵)を格納す
る場合、以前に格納済みのKdut_DEV3(データアップデ
ートチケット(DUT)のMAC検証用鍵)とのスワッ
プ、すなわち入れ替え処理を行なう。さらに、新規にKd
ut_DEV2(データ更新用暗号鍵)を格納する場合も、以
前に格納済みのKdut_DEV4(データ更新用暗号鍵)との
スワップ、すなわち入れ替え処理を行なう。
【0460】この、Kdut_DEV1と、Kdut_DEV3とのスワッ
プ、および、Kdut_DEV2と、Kdut_DEV4とのスワップ処理
によって、常にKdut_DEV3(データアップデートチケッ
ト(DUT)のMAC検証用鍵)、Kdut_DEV4(データ
更新用暗号鍵)のペアがKdut_DEV1(データアップデー
トチケット(DUT)のMAC検証用鍵)、Kdut_DEV2
(データ更新用暗号鍵)のペアよりも新しいバージョン
のものに維持される。つまり、Kdut_DEV1と、Kdut_DEV2
の鍵は常に使用される鍵で、Kdut_DEV3と、Kdut_DEV4
は、非常時にKdut_DEV1と、Kdut_DEV2を更新するととも
に、現在使用されているKdut_DEV1と、Kdut_DEV2の鍵に
置き換えられるバックアップ用の鍵としての役割があ
る。なお、これらの処理については、後段のデータアッ
プデートチケット(DUT)を用いたデータ更新処理の
説明において、さらに説明する。
【0461】改竄のないことが保証された例えばデータ
送信側がデータ生成時に生成したICV(Integrity Ch
eck Value)と、データ受信側が受信データに基づいて
生成したICVとを比較して同一のICVが得られれば
データに改竄のないことが保証され、ICVが異なれ
ば、改竄があったと判定される。改竄のないことが保証
された例えばデータ送信側がデータ生成時に生成したI
CVは、図32のデータアップデートチケット(DU
T)のフォーマットに関する記述において説明したよう
に、データアップデートチケット(DUT)のICV
(Integrity Check Value)フィールドに格納されてい
る。
【0462】デバイスが生成したICVと受信チケット
であるデータアップデートチケット-DEV(DUT
(DEV))に格納されたICVとを比較して一致して
いればチケットの正当性ありと判定し、不一致の場合は
チケット改竄ありと判定し、データアップデートチケッ
ト-DEV(DUT(DEV))を利用した処理を中止
する。
【0463】上述の処理によってデータアップデートチ
ケット-DEV(DUT(DEV))に記述されたInteg
rity Check Typeが共通鍵方式である場合のデータアッ
プデートチケット-DEV(DUT(DEV))検証処
理が完了する。
【0464】ステップS523において、チケットタイ
プがデータアップデートチケット-DEV(DUT(D
EV))でないと判定された場合は、チケットは、デー
タアップデートチケット-PAR(DUT(PAR))
(図32参照))であると判定される。データアップデー
トチケット-PAR(DUT(PAR))は、パーティ
ションマネージャの管理データを更新する処理に適用す
るチケットである。
【0465】この場合、ステップS529において、チ
ケットに記述されたIntegrity Check Type(チケット
(Ticket)の正当性検証値の種別(公開鍵方式(Public)
/共通鍵方式(Common)))の設定が公開鍵方式(Public)
であるか否かを判定する。
【0466】正当性検証値の種別(Integrity Check Ty
pe)が公開鍵方式(Public)である場合、ステップS53
0に進み、各種処理を実行する。ステップS530で実
行する処理は、まず、パーティションマネージャ対応認
証局(CA(PAR))の公開鍵PUB CA(PA
R)を用いたチケット発行者(Ticket Issuer)の公開
鍵証明書(CERT)の検証処理である。
【0467】データアップデートチケット-PAR(D
UT(PAR))発行手段(DUT Issuer)の発行したチ
ケット(Ticket)を、チケットユーザに対して送信する
際には、公開鍵方式の場合、データアップデートチケッ
ト(DUT)発行手段(DUTIssuer)の公開鍵証明書(C
ERT_DUTI)も一緒にデバイスに送信される。なお、DU
T発行手段の公開鍵証明書(CERT_DUTI)の属性(Attri
bute)は、デバイス内のPKDB(PUB)(Pqrtitio
n Key Definition block)に記録されたチケット発行手
段コード(DUTIC_PAR)と一致する。
【0468】公開鍵証明書(図11参照)にはパーティ
ションマネージャ対応認証局(CA(PAR))の秘密
鍵で実行された署名が付加されており、この署名をパー
ティションマネージャ対応認証局(CA(PAR))の
公開鍵PUB CA(PAR)を用いて検証する。署名
生成、検証は、例えば先に説明した図12、図13のフ
ローに従った処理として実行される。この署名検証によ
り、チケット発行者の公開鍵証明書(CERT)が改竄
されたものでない正当な公開鍵証明書(CERT)であ
るか否かが判定される。
【0469】さらに、ステップS530では、署名検証
により正当性が確認されたチケット発行手段の公開鍵証
明書(CERT)のオプション領域に記録されたユーザ
の所属コードと、デバイス内のPKDB(PUB)(Pq
rtition Key Definition block)に記録されたチケット
発行手段コード(DUTIC_PAR:DUT Issuer Category forPa
rtition)と一致するか否かを判定する。
【0470】公開鍵証明書には、図11の公開鍵証明書
の説明の欄で記述したように、各チケット(PRT,F
RT、SPT、DUT)の発行手段であるチケット発行
手段(Ticket Issuer)の所属コード、この場合、DU
TIC(DUT Issuer Code)が記録されている。このオ
プション領域のコードとデバイス内のPKDB(PU
B)(Pqrtition Key Definition block)に記録された
チケット発行手段コード(DUTIC:DUT Issuer Category)
(図21参照)の一致を確認しすることで、受信チケット
(DUT)が正当なチケット発行手段によって発行され
たチケットであることを確認する。
【0471】さらに、デバイスは、デバイスのメモリ部
内のデバイス鍵領域(図18参照)に格納されたCRL_DE
V(排除デバイス(Device)、排除機器(デバイスアク
セス機器としてのリーダライタ、PC等のチケットユー
ザ、チケット発行手段)の公開鍵証明書識別子(ex.
シリアルナンバ:SN)を登録したリボケーションリス
ト(Revocation List (Certificate)))を参照して、
チケット発行手段(Ticket Issuer)がリボークされて
いないかを判定する。
【0472】さらに、受信チケットであるデータアップ
デートチケット-PAR(DUT(PAR))(図32
参照)に記録された署名、すなわちIntegrity Check Va
lue(チケット(Ticket)の正当性検証値(公開鍵方
式:署名(Signature))の検証を実行し、チケットが
改竄されていないかを確認する。署名検証は、先の公開
鍵証明書の署名検証と同様、例えば図13のフローと同
様のシーケンスに従って実行される。
【0473】以上、(1)チケット発行者(Ticket Iss
uer)の公開鍵証明書(CERT)が改竄されたもので
ない正当な公開鍵証明書(CERT)であること、
(2)チケット発行者(Ticket Issuer)の公開鍵証明
書(CERT)のオプション領域に記録されたコード
と、デバイス内のPKDB(PUB)(Pqrtition Key
Definition block)に記録されたチケット発行手段コー
ド(DUTIC_PAR:DUT Issuer Category for Partition)の
一致、(3)チケット発行手段(Ticket Issuer)がリ
ボークされていないこと、(4)受信チケット(DU
T)の署名(Signature)の検証によりチケットが改竄
のないことの確認。以上のすべての確認がなされたこと
を条件としてデータアップデートチケット-PAR(D
UT)の正当性検証成功とする。上記(1)〜(4)の
いずれかが確認されない場合は、データアップデートチ
ケット-PAR(DUT(PAR))の正当性の確認が
得られないと判定され、データアップデートチケット-
PAR(DUT(PAR))を利用した処理は中止され
る。
【0474】また、ステップS529において、チケッ
トに記述されたIntegrity Check Type(チケット(Tick
et)の正当性検証値の種別(公開鍵方式(Public) /共通
鍵方式(Common)))の設定が共通鍵方式(Common)である
と判定された場合は、ステップS531において、デー
タアップデートチケット-PAR(DUT(PAR))
に記述されたOld Data Code(更新される古いデータの
コード)の示すデータがパーティション鍵領域(図23
参照)に格納されたKdut_PAR1(データアップデートチ
ケット(DUT)のMAC検証用鍵)または、Kdut_PAR
2(データ更新用暗号鍵)であるか否かを判定する。
【0475】データアップデートチケット-PAR(D
UT(PAR))に記述されたOld Data Code(更新さ
れる古いデータのコード)の示すデータがパーティショ
ン鍵領域(図23参照)に格納されたKdut_PAR1(デー
タアップデートチケット(DUT)のMAC検証用鍵)
または、Kdut_PAR2(データ更新用暗号鍵)である場合
は、ステップS533において、パーティション鍵領域
(図23参照)に格納されたKdut_PAR3(データアップ
デートチケット(DUT)のMAC検証用鍵)を用いて
MAC検証処理を実行し、データアップデートチケット
-PAR(DUT(PAR))に記述されたOld Data Co
de(更新される古いデータのコード)の示すデータがパ
ーティション鍵領域(図23参照)に格納されたKdut_P
AR1(データアップデートチケット(DUT)のMAC
検証用鍵)または、Kdut_PAR2(データ更新用暗号鍵)
でない場合は、ステップS532において、パーティシ
ョン鍵領域(図23参照)に格納されたKdut_PAR1(デ
ータアップデートチケット(DUT)のMAC検証用
鍵)を用いてMAC検証処理を実行する。
【0476】上述のようにMAC検証鍵の使い分けを実
行するのは、更新対象となっているデータが、Kdut_PAR
1(データアップデートチケット(DUT)のMAC検
証用鍵)または、Kdut_PAR2(データ更新用暗号鍵)で
ある場合は、これらの鍵データが何らかの理由、例えば
鍵情報の漏洩等により、使用を停止される予定の情報で
あるため、これらの更新対象データを用いたMAC検証
を避けるためである。MAC検証処理は、先に説明した
図59のDES暗号処理構成を用いたMAC値生成処理
に従って実行される。
【0477】改竄のないことが保証された例えばデータ
送信側がデータ生成時に生成したICV(Integrity Ch
eck Value)と、データ受信側が受信データに基づいて
生成したICVとを比較して同一のICVが得られれば
データに改竄のないことが保証され、ICVが異なれ
ば、改竄があったと判定される。改竄のないことが保証
された例えばデータ送信側がデータ生成時に生成したI
CVは、図32のデータアップデートチケット(DU
T)のフォーマットに関する記述において説明したよう
に、データアップデートチケット(DUT)のICV
(Integrity Check Value)フィールドに格納されてい
る。
【0478】デバイスが生成したICVと受信チケット
であるデータアップデートチケット-PAR(DUT
(PAR))に格納されたICVとを比較して一致して
いればチケットの正当性ありと判定し、不一致の場合は
チケット改竄ありと判定し、データアップデートチケッ
ト-PAR(DUT(PAR))を利用した処理を中止
する。
【0479】上述の処理によってデータアップデートチ
ケット-PAR(DUT(PAR))に記述されたInteg
rity Check Typeが共通鍵方式である場合のデータアッ
プデートチケット-PAR(DUT(PAR))検証処
理が完了する。
【0480】以上の処理においてチケットの正当性が確
認された後、図58のステップS541に進み、以下、
利用者チェック、すなわちチケットユーザとしてデバイ
スとの通信を実行中のデバイスアクセス機器としてのリ
ーダライタ(またはPC等)のチェックを実行する。
【0481】ステップS541において、デバイスは、
受信チケット(PRT,FRT,SPT,またはDU
T)のAuthentication Flag(チケット(Ticket)の利
用処理においてデバイス(Device)との相互認証が必要
か否かを示すフラグ)をチェックする。フラグが認証不
要を示している場合は、処理を実行することなく終了す
る。
【0482】ステップS541におけるフラグチェック
処理において、フラグが認証必要を示している場合は、
ステップS542に進み、チケットユーザ(デバイスに
対するチケットを適用した処理を実行しようとするデバ
イスアクセス機器としてのリーダライタ、PC等)の所
属(グループ)をキーとして認証テーブル(図51参
照)を参照する。
【0483】次に、ステップS543において、受信チ
ケットのAuthentication Type(デバイス(Device)の
相互認証のタイプ(公開鍵認証、または、共通鍵認証、
または、いずれでも可(Any))を記録したデータ)を
チェックし、いずれでも可(Any)である場合、ステッ
プS544に進み、ステップS542でチェックしたグ
ループの相互認証データが認証テーブル(図51参照)
に格納されているか否かを判定する。テーブルに対応グ
ループの相互認証情報が格納され、チケットユーザ(デ
バイスに対するチケットを適用した処理を実行しようと
するデバイスアクセス機器としてのリーダライタ、PC
等)とデバイス間の相互認証済みであることが判定され
れば、チケット利用者(ex.デバイスアクセス機器と
してのリーダライタ)の正当性が確認されたものとして
処理を利用者チェック成功と判定して終了する。認証テ
ーブル(図51参照)に対応グループの相互認証情報が
格納されていない場合は、利用者チェックが未了である
と判定され、エラー終了とする。
【0484】ステップS543において、受信チケット
のAuthentication Type(デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any))を記録したデータ)がいず
れでも可(Any)でない場合、ステップ545におい
て、Authentication Typeが公開鍵認証であるか否かを
判定する。
【0485】Authentication Typeが公開鍵認証である
場合、ステップS546に進み、ステップS542でチ
ェックしたグループの公開鍵相互認証データが認証テー
ブル(図51参照)に格納されているか否かを判定す
る。テーブルに対応グループの公開鍵相互認証情報が格
納され、チケットユーザ(デバイスに対するチケットを
適用した処理を実行しようとするデバイスアクセス機器
としてのリーダライタ、PC等)とデバイス間の相互認
証が公開鍵認証処理として成立済みであることが判定さ
れた場合は、ステップS547に進み、処理対象チケッ
ト(PRT,FRT,SPTまたはDUT)にチケット
ユーザの識別子が存在するか否かを判定して存在する場
合は、ステップS548において認証相手(チケットユ
ーザであるデバイスアクセス機器としてのリーダライタ
など)の公開鍵証明書中の識別データ(DN)として記
録された識別子またはカテゴリまたはシリアル(SN)
とチケットに格納されたチケットユーザの識別データと
して記録された識別子またはカテゴリまたはシリアル
(SN)が一致するか否かを判定する。一致する場合
は、利用者確認成功として処理を終了する。
【0486】ステップS546において、ステップS5
42でチェックしたグループの公開鍵相互認証データが
認証テーブル(図51参照)に格納されておらず、チケ
ットユーザ(デバイスに対するチケットを適用した処理
を実行しようとするデバイスアクセス機器としてのリー
ダライタ、PC等)とデバイス間の相互認証が公開鍵認
証処理として成立済みでないと判定された場合は、利用
者チェック未了と判定されエラー終了する。
【0487】また、ステップS548において認証相手
(チケットユーザであるデバイスアクセス機器としての
リーダライタなど)の公開鍵証明書中の識別データ(D
N)として記録された識別子またはカテゴリまたはシリ
アル(SN)とチケットに格納されたチケットユーザの
識別子が一致しないと判定された場合も利用者チェック
未了と判定されエラー終了する。
【0488】なお、チケットにチケットユーザの識別子
が存在しない場合は、ステップS548の処理は実行せ
ず、利用者確認成功として処理を終了する。
【0489】ステップS545において、受信チケット
のAuthentication Type(デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any))を記録したデータ)が公開
鍵認証でないと判定された場合、ステップS549に進
み、ステップS542でチェックしたグループの共通鍵
相互認証データが認証テーブル(図51参照)に格納さ
れているか否かを判定する。テーブルに対応グループの
共通鍵相互認証情報が格納され、チケットユーザ(デバ
イスに対するチケットを適用した処理を実行しようとす
るデバイスアクセス機器としてのリーダライタ、PC
等)とデバイス間の相互認証が共通鍵認証処理として成
立済みであることが判定された場合は、ステップS55
0に進み、処理対象チケット(PRT,FRT,SPT
またはDUT)にチケットユーザの識別子が存在するか
否かを判定して存在する場合は、ステップS551にお
いて認証相手(チケットユーザであるデバイスアクセス
機器としてのリーダライタなど)の識別データ(IDr
w)とチケットに格納されたチケットユーザの識別子が
一致するか否かを判定する。一致する場合は、利用者確
認成功として処理を終了する。
【0490】ステップS549において、ステップS5
42でチェックしたグループの共通鍵相互認証データが
認証テーブル(図51参照)に格納されておらず、チケ
ットユーザ(デバイスに対するチケットを適用した処理
を実行しようとするデバイスアクセス機器としてのリー
ダライタ、PC等)とデバイス間の相互認証が共通鍵認
証処理として成立済みでないと判定された場合は、利用
者チェック未了と判定されエラー終了する。
【0491】また、ステップS551において認証相手
(チケットユーザであるデバイスアクセス機器としての
リーダライタなど)の識別データ(IDrw)とチケッ
トに格納されたチケットユーザの識別子が一致しないと
判定された場合も利用者チェック未了と判定されエラー
終了する。
【0492】なお、チケットにチケットユーザの識別子
が存在しないか、すべてのチケットユーザが利用可能の
場合は、ステップS550の処理は実行せず、利用者確
認成功として処理を終了する。
【0493】以上が、図47のフロー中のステップS4
13においてデバイスが実行するチケットの正当性およ
び利用者チェック処理である。
【0494】(パーティション作成削除処理)次に、図
47のフローに示すステップS415において実行され
るパーティション登録チケット(PRT)に基づくパー
ティションの生成、削除処理の詳細について、図60、
図61の処理フローを用いて説明する。パーティション
の作成、削除処理は、チケットユーザ(ex.デバイス
アクセス機器としてのリーダライタ、PC等)からパー
ティション登録チケット(PRT)を受信したデバイス
が、パーティション登録チケット(PRT)に基づいて
実行する処理である。
【0495】図60のステップS601において、デバ
イスは、受信したパーティション登録チケット(PR
T:Partition Registration ticket)に記録された処理
タイプ、すなわちOperation Type(パーティション(Pa
rtition)作成か削除かの指定(作成(Generate) / 削
除(Delete)))を検証する。処理タイプ(Operation T
ype)が、パーティション(Partition)作成である場
合、ステップS602以下を実行し、パーティション
(Partition)削除である場合、ステップS621以下
を実行する。
【0496】まず、パーティション作成処理について説
明する。デバイスはステップS602において、パーテ
ィション登録チケット(PRT)に記述されたパーティ
ションマネージャコード(PMC)と同一コードのパー
ティションがデバイスのメモリ部に存在するか否かを検
証する。この判定は、デバイスのメモリ部のパーティシ
ョン定義ブロック(図19参照)に受信チケット(PR
T)の記述コードと同一のコードが記述されているか否
かを検証することによって判定可能である。
【0497】すでにデバイスに同一コード(PMC)の
パーティションが存在する場合は、同一コードを持つ重
複パーティションの存在は許されず、パーティションの
生成は実行せず、エラー終了とする。同一コードのパー
ティションがデバイスに存在しない場合は、ステップS
603において、デバイス管理情報ブロック(図15参
照)のデバイス(Device)内の空きブロック数(Free B
lock Number in Device)と、パーティション登録チケ
ット(PRT)に記述されたパーティションサイズ(Pa
rtion Size)とを比較し、チケット(PRT)に記述さ
れたパーティションサイズ(Partion Size)以上の空き
ブロック領域がデバイスのメモリ部に存在するか否かを
判定する。存在しない場合は、PRTに記述されたサイ
ズのパーティションの生成はできないので、エラー終了
とする。
【0498】チケット(PRT)に記述されたパーティ
ションサイズ(Partion Size)以上の空きブロック領域
がデバイスのメモリ部に存在すると判定された場合は、
ステップS604に進み、デバイス管理情報ブロックの
空き領域ポインタ(Pointerof Free Area)を参照して
デバイスの空き領域(Free Area in Device)の最上位
ブロックにパーティション定義ブロック(PDB)エリ
ア(図19参照)を確保する。
【0499】次に、デバイスは、確保したパーティショ
ン定義ブロック(PDB)エリアに、パーティション登
録チケット(PRT)に記述されたパーティションマネ
ージャコード(PMC)のコピー(S605)、PRT
に記述されたPMCバージョンのコピー、(S606)
を実行する。
【0500】さらに、パーティション定義ブロック(P
DB)エリアのパーティションスタート位置(Partitio
n Start Position)に、デバイス管理情報ブロック(図
15参照)の空き領域ポインタ(Pointer of Free Are
a)のコピー処理を実行(S607)し、さらに、パー
ティション定義ブロック(PDB)エリアのパーティシ
ョンサイズ(Partion Size)にパーティション登録チケ
ット(PRT)に記述されたパーティションサイズ(Pa
rtion Size)のコピー処理を実行(S608)する。
【0501】次に、デバイス管理情報ブロック(図15
参照)の空き領域ポインタ(Pointer of Free Area)に
パーティション定義ブロック(PDB)エリアのパーテ
ィションサイズ(Partion Size)にコピーした値を加算
(S609)し、デバイス管理情報ブロック(図15参
照)のデバイス(Device)内の空きブロック数(FreeBl
ock Number in Device)からパーティションサイズ(Pa
rtion Size)+1を減算する(S610)。なお、+1
は、パーティション定義ブロック(PDB)用のブロッ
クを意味する。
【0502】次にデバイス管理情報ブロック(図15参
照)のパーティション数(Partition Number)に1を加
算、すなわち生成したパーティション数(1)を加算す
る(S611)。
【0503】次に、図61のステップS631におい
て、生成したパーティション領域の最上位ブロックをパ
ーティション管理情報ブロック(PMIB:partition
Management Information Block)(図20参照)として
設定し、設定したパーティション管理情報ブロック(P
MIB)のパーティションマネージャコード(PMC)
フィールドにパーティション登録チケット(PRT)の
PMCのコピー処理を実行(S632)し、パーティシ
ョン管理情報ブロック(PMIB)のPMCバージョン
フィールドにパーティション登録チケット(PRT)の
PMCバージョンのコピー処理を実行(S633)し、
パーティション管理情報ブロック(PMIB)のパーテ
ィション総ブロック数(Total Block number in Partit
ion)フィールドにパーティション登録チケット(PR
T)のパーティションサイズ(Partion Size)のコピー
処理を実行(S634)する。
【0504】さらに、パーティション管理情報ブロック
(PMIB)のパーティション空きブロック数(Free B
lock number in Partition)フィールドにパーティショ
ン登録チケット(PRT)のパーティションサイズ(Pa
rtion Size)−3を記録(S635)する。なお、−3
の意味は、既に使用が予定されているパーティション管
理情報ブロック(PMIB)、共通鍵系パーティション
鍵定義ブロック(PKDB(common))、公開鍵系パーテ
ィション鍵定義ブロック(PKDB(PUB))の3ブロッ
クを差し引くことを意味している。
【0505】さらに、パーティション管理情報ブロック
(PMIB)のファイル数(File Number)に0を記入
(S636)する。この時点ではパーティション内には
ファイルは設定されていない。ファイル設定はファイル
登録チケット(FRT)を使用して設定可能である。こ
のファイル登録チケット(FRT)を使用したファイル
登録処理については後述する。
【0506】さらに、パーティション管理情報ブロック
(PMIB)の空き領域ポインタ(Pointer of Free Ar
ea)にパーティション定義ブロック(PDB)のスター
トポジション(Start Position)をコピーしてパーティ
ションの設定登録を終了する。
【0507】次に図60のステップS621〜S628
のパーティション削除処理について説明する。ステップ
S621では、パーティション登録チケット(PRT)
に記述されたパーティションマネージャコード(PM
C)と同一コードのパーティションがデバイスのメモリ
部に存在するか否かを検証する。この判定は、デバイス
のメモリ部のパーティション定義ブロック(図19参
照)に受信チケット(PRT)の記述コードと同一のコ
ードが記述されているか否かを検証することによって判
定可能である。
【0508】デバイスに同一コード(PMC)のパーテ
ィションが存在しない場合は、パーティションの削除は
不可能であるので、エラー終了とする。同一コードのパ
ーティションがデバイスに存在する場合は、ステップS
622において、削除対象のパーティションより後に生
成されたパーティションがデバイスに存在するか否かを
判定する。存在しない場合は、削除対象のパーティショ
ンが最新のパーティションであり、ステップS629に
おいて削除対象のパーティションのパーティション定義
ブロック(PDB)(図19参照)を削除する。
【0509】ステップS622において、削除対象のパ
ーティションより後に生成されたパーティションがデバ
イスに存在すると判定された場合は、後に生成されたパ
ーティション(後パーティション)のデータを削除対象
のパーティションのサイズ(PS)分、下位にずらす処
理を実行(S623)し、さらに、後パーティションの
パーティション定義ブロック(PDB)を1ブロック上
位にずらす処理を実行(S624)する。また、後パー
ティションのパーティション定義ブロック(PDB)に
記録されたパーティション開始位置(Partition Start
Portion)から削除パーティションのサイズ(PS)を
減算する処理を実行する(S625)。
【0510】ステップS625またはS629の処理の
後、ステップS626において、デバイス管理情報ブロ
ック(DMIB)(図15参照)のデバイス(Device)
内の空きブロック数(Free Block Number in Device)
に削除パーティションのサイズ(PS)+1を加算す
る。+1は、削除パーティションのパーティション定義
ブロック(PDB)用のブロックを意味する。
【0511】次にステップS627において、デバイス
管理情報ブロック(図15参照)の空き領域ポインタ
(Pointer of Free Area)の値から削除パーティション
のサイズ(PS)を減算する。さらに、ステップS62
8において、デバイス管理情報ブロック(図15参照)
のパーティション数(Partition Number)から1を減
算、すなわち削除したパーティション数(1)を減算し
てパーティション登録チケット(PRT)に基づくパー
ティション削除処理が終了する。
【0512】以上が、図47の処理フローにおけるステ
ップS415のパーティション登録チケット(PRT)
に基づくパーティション生成、削除処理である。
【0513】(パーティション初期登録)次に、図47
の処理フローにおけるステップS406,S419のパ
ーティション初期データ書き込み処理、すなわちパーテ
ィション登録チケット(PRT)に基づくパーティショ
ン初期登録処理の詳細について図62以下のフローを用
いて説明する。
【0514】図62、図63、図64に示す処理フロー
において、左側がパーティションマネージャの管轄する
初期登録装置の処理、右側がデバイス(図5参照)の処
理を示す。なお、パーティションマネージャの管轄する
初期登録装置は、デバイスに対するデータ読み取り書き
込み処理可能な装置(ex.デバイスアクセス機器とし
てのリーダライタ、PC)であり、図10のデバイスア
クセス機器としてのリーダライタに相当する構成を有す
る。図47の処理フローに示すように、図62の処理開
始以前に、初期登録装置とデバイス間では、相互認証が
成立し、チケットの正当性、利用者チェックにおいてチ
ケットおよび利用者(チケットユーザであるデバイスア
クセス機器としてのリーダライタなど)の正当性が確認
され、さらにパーティション登録チケット(PRT)に
基づくパーティション生成処理が終了しているものとす
る。また、図62、図63、図64の初期登録装置と、
デバイス間のデータの送受信は、相互認証時に生成した
セッション鍵Ksesを用いて暗号化されたデータとし
て送受信される。
【0515】図62のステップS641において、初期
登録装置は、パーティション認証に共通鍵を用いるか否
かを判定する。この判定は、使用するパーティション登
録チケット(PRT)(図26参照)のAuthentication
Type(デバイス(Device)の相互認証のタイプ(公開
鍵認証、または、共通鍵認証、または、いずれでも可
(Any)))フィールドを参照して行われる。
【0516】図62に示すように、パーティション認証
に共通鍵を用いる場合、ステップS642〜643、S
651〜S654を実行し、パーティション認証に共通
鍵を用いない場合、これらのステップは省略される。
【0517】パーティション認証に共通鍵を用いる場
合、ステップS642において初期登録装置は、共通鍵
認証データ書き込みコマンドとして、MKauth_PAR_A :
双方向個別鍵認証用マスター鍵、Kauth_PAR_B :双方向
個別鍵認証用共通鍵、IRL_PAR:排除デバイス(Device)
のデバイス識別子(ID)を登録したリボケーションリ
スト(Revocation List (Device ID))、およびこれら
のバージョン情報をデバイスに送信する。
【0518】ステップS651でデバイスは、上述の書
き込みコマンドを受信し、ステップS652において、
受領データをパーティション鍵領域(図23参照)に書
き込む。次にデータ書き込みによって生じたポインタ、
サイズ、デバイス内のフリーブロック数の調整を実行
(S653)し、書き込み終了通知を登録装置に送信
(S654)する。
【0519】書き込み終了通知を受信(S643)した
登録装置は、ステップS644においてパーティション
認証に公開鍵を用いるか否かを判定する。図62に示す
ように、パーティション認証に公開鍵を用いる場合、ス
テップS645〜649、S655〜S662を実行
し、パーティション認証に公開鍵を用いない場合、これ
らのステップは省略される。
【0520】パーティション認証に公開鍵を用いる場
合、ステップS645において登録装置は、公開鍵認証
データ書き込みコマンドとして、PUB_CA(PAR) :パーテ
ィションマネージャ対応公開鍵証明書を発行する認証局
CA(PAR)の公開鍵、PARAM_PAR :パーティション
(Partition)の公開鍵パラメータ、CRL_PAR :排除デバ
イス(Device)の公開鍵証明書識別子(ex.シリアル
ナンバ:SN)を登録したリボケーションリスト(Revo
cation List (Certificate))、およびこれらのバージ
ョン情報をデバイスに送信する。
【0521】ステップS655でデバイスは、上述の書
き込みコマンドを受信し、ステップS656において、
受領データをパーティション鍵領域(図23参照)に書
き込む。次にデータ書き込みによって生じたポインタ、
サイズ、デバイス内のフリーブロック数の調整を実行
(S657)し、書き込み終了通知を登録装置に送信
(S658)する。
【0522】書き込み終了通知を受信(S646)した
登録装置は、公開鍵と秘密鍵の鍵ペア生成コマンドをデ
バイスに送信(S647)する。なお、この実施例で
は、鍵ペアの生成はデバイスが実行する構成としている
が、例えば登録装置が実行してデバイスに提供する構成
としてもよい。
【0523】鍵ペア生成コマンドを受信(S659)し
たデバイスは、デバイス内の暗号処理部(図5参照)に
おいて公開鍵(PUB PAR)と秘密鍵(PRI PA
R)のペアを生成し、生成した鍵をパーティション鍵領
域(図23参照)に書き込む(S660)。次にデータ
書き込みによって生じたポインタ、サイズ、デバイス内
のフリーブロック数の調整を実行(S661)し、生成
格納した公開鍵を登録装置に送信(S662)する。
【0524】登録装置は、デバイスから公開鍵(PUB
PAR)を受信(S648)し、先にデバイスから受
信したデバイスの識別子IDmとともに、パーティショ
ンマネージャ内のデータベース(DB(PAR))(図
9参照))に保存する。
【0525】次に、パーティションマネージャの登録装
置は、ファイル登録チケット(FRT:File Registrat
ion Ticket)の検証処理に共通鍵を用いるか否かを判定
(S671)する。チケット検証には、前述したように
MAC値検証等による共通鍵方式と、秘密鍵による署名
生成、公開鍵による署名検証を行なう公開鍵方式のいず
れかを適用することが可能であり、パーティションマネ
ージャは、デバイスの採用する検証処理方式を設定する
ことができる。パーティションマネージャは、デバイス
の採用するFRTチケット検証方式に応じて共通鍵、公
開鍵のいずれか、あるいは両方式を実行可能なデータを
デバイスに設定する。
【0526】パーティションマネージャは、ファイル登
録チケット(FRT:File Registration Ticket)の検
証処理に共通鍵認証を実行する設定とする場合は、共通
鍵方式のFRT検証に必要な情報(ex.FRT検証共
通鍵)をデバイスにセットし、デバイスが共通鍵認証を
実行しないデバイスであれば、これらの情報をデバイス
に格納しないことになる。
【0527】図63に示すように、FRT検証に共通鍵
方式を用いる場合、ステップS672〜673、S68
1〜S684を実行し、FRT検証に共通鍵を用いない
場合、これらのステップは省略される。
【0528】FRT検証に共通鍵を用いる場合、ステッ
プS672において登録装置は、FRT検証共通鍵書き
込みコマンドとして、Kfrt :ファイル登録チケット(F
RT)のMAC検証用鍵、およびバージョン情報をデバ
イスに送信する。
【0529】ステップS681でデバイスは、上述の書
き込みコマンドを受信し、ステップS682において、
受領データをパーティション鍵領域(図23参照)に書
き込む。次にデータ書き込みによって生じたポインタ、
サイズ、デバイス内のフリーブロック数の調整を実行
(S683)し、書き込み終了通知を登録装置に送信
(S684)する。
【0530】書き込み終了通知を受信(S673)した
登録装置は、ステップS674においてFRT検証に公
開鍵を用いるか否かを判定する。図63に示すように、
FRT検証に公開鍵を用いる場合、ステップS675〜
676、S685〜S690を実行し、FRT検証に公
開鍵を用いない場合、これらのステップは省略される。
【0531】FRT検証に公開鍵を用いる場合、ステッ
プS675において登録装置は、FRT検証データ書き
込みコマンドとして、FRTIC(FRT Issuer Category) :
ファイル登録チケット(FRT)発行者カテゴリ、PUB_
CA(PAR) :パーティションマネージャ対応公開鍵証明書
を発行する認証局CA(PAR)の公開鍵、PARAM_PAR
: パーティション(Partition)の公開鍵パラメータ、
CRL_PAR :排除デバイス(Device)の公開鍵証明書識別
子(ex.シリアルナンバ:SN)を登録したリボケー
ションリスト(Revocation List (Certificate))、お
よびこれらのバージョン情報をデバイスに送信する。
【0532】ステップS685でデバイスは、上述の書
き込みコマンドを受信し、ステップS686において、
受領データ中のFRTIC(FRT Issuer Category) :ファイ
ル登録チケット(FRT)発行者カテゴリを公開鍵系パ
ーティション鍵定義ブロック(PKDB:Partition Ke
y Definition block(PUB)(図22参照))に書き込
みバージョン情報を同ブロックのバージョン領域に書き
込む。
【0533】次にデバイスは、ステップS687におい
て、PUB_CA(PAR) :パーティションマネージャ対応公開
鍵証明書を発行する認証局CA(PAR)の公開鍵デー
タが書き込み済みか否かを判定し、書き込まれていない
場合にステップS688において、PUB_CA(PAR)、PARAM
_PAR、CRL_PARをパーティション鍵領域(図23参照)
に書き込む。次にデータ書き込みによって生じたポイン
タ、サイズ、デバイス内のフリーブロック数の調整を実
行(S689)し、書き込み終了通知を登録装置に送信
(S690)する。
【0534】書き込み終了通知を受信(S676)した
登録装置は、次に、ステップS701において、共通鍵
データの更新をサポートするデバイスとするか否かを判
定する。デバイスに格納されたデータ中、そのいくつか
は更新対象データとして前述したデータアップデートチ
ケット(DUT:Data Update Ticket)(図32参照)
を用いて更新が可能である。更新対象となるデータは、
先に図33を用いて説明した通りである。このデータア
ップデートチケット(DUT:Data Update Ticket)を
用いた更新処理においても共通鍵方式、または公開鍵方
式のいずれかの方式が可能であり、パーティションマネ
ージャは設定したパーティションに応じていずれかの方
式または両方式を実行可能なデータをデバイスを設定す
る。
【0535】パーティションマネージャは、設定したパ
ーティションを共通鍵方式によるデータ更新を実行する
構成とする場合は、共通鍵方式のデータ更新処理に必要
な情報(ex.データアップデートチケット(DUT)
のMAC検証用鍵他)をデバイスのパーティション鍵領
域にセットし、デバイスが共通鍵認証を実行しないデバ
イスであれば、これらの情報をデバイスのパーティショ
ン鍵領域に格納しない処理をする。
【0536】図64に示すように、データアップデート
チケット(DUT:Data Update Ticket)を用いたデー
タ更新処理に共通鍵方式を用いる場合、ステップS70
2〜703、S711〜S714を実行し、データ更新
に共通鍵方式を用いない場合、これらのステップは省略
される。
【0537】データ更新に共通鍵を用いる場合、ステッ
プS702において登録装置は、データアップデートチ
ケット(DUT:Data Update Ticket)検証共通鍵書き
込みコマンドとして、Kdut_PAR1 :データアップデート
チケット(DUT)のMAC検証用鍵、 Kdut_PAR2 :デ
ータ更新用暗号鍵、Kdut_PAR3 :データアップデートチ
ケット(DUT)のMAC検証用鍵、Kdut_PAR4 :デー
タ更新用暗号鍵およびこれらのバージョン情報をデバイ
スに送信する。
【0538】ステップS711でデバイスは、上述の書
き込みコマンドを受信し、ステップS712において、
受領データをパーティション鍵領域(図23参照)に書
き込む。次にデータ書き込みによって生じたポインタ、
サイズ、デバイス内のフリーブロック数の調整を実行
(S713)し、書き込み終了通知を登録装置に送信
(S714)する。
【0539】書き込み終了通知を受信(S703)した
登録装置は、ステップS704において、デバイスに設
定したパーティションが公開鍵方式を用いたデータアッ
プデートチケット(DUT:Data Update Ticket)を使
用したデータ更新処理をサポートするか否かを判定す
る。図64に示すように、公開鍵方式をサポートする場
合、ステップS705〜706、S715〜S718を
実行し、公開鍵方式をサポートしない場合、これらのス
テップは省略される。
【0540】公開鍵方式をサポートする場合、ステップ
S705において登録装置は、データアップデートチケ
ット(DUT:Data Update Ticket)発行者コード書き
込みコマンドとして、DUTIC_PAR(DUT Issuer Categor
y) :データアップデートチケット(DUT:Data Updat
e Ticket)発行者カテゴリ、およびバージョン情報をデ
バイスに送信する。
【0541】ステップS715でデバイスは、上述の書
き込みコマンドを受信し、ステップS716において、
受領データを公開鍵系パーティション鍵定義ブロック
(PKDB(PUB):Partition Key Definition Blo
ck(PUB))に書き込む。次にデータ書き込みによって生
じたポインタ、サイズ、デバイス内のフリーブロック数
の調整を実行(S717)し、書き込み終了通知を登録
装置に送信(S718)し、登録装置が書き込み終了通
知を受信(S706)して処理を終了する。
【0542】パーティションマネージャによる初期登録
処理(図62〜図64の処理フロー)が完了した状態の
デバイスのメモリ内格納データ構成例を図65に示す。
図65に示すパーティション(Partition)領域中、パー
ティション鍵領域には、上記のフロー(図62〜図6
4)において、登録装置から送信されて下記のデータが
書き込まれる。 * IRL_PAR :パーティションアクセス排除デバイス(Dev
ice)、排除機器(デバイスアクセス機器としてのリー
ダライタ、PC等のチケットユーザ、チケット発行手
段)の識別子(ID)を登録したリボケーションリスト
(Revocation List (Device ID)) * CRL_PAR :パーティションアクセス排除デバイス(Dev
ice)、排除機器(デバイスアクセス機器としてのリー
ダライタ、PC等のチケットユーザ、チケット発行手
段)の公開鍵証明書識別子(ex.シリアルナンバ:S
N)を登録したリボケーションリスト(Revocation Lis
t (Certificate) * Kauth_PAR_B :双方向個別鍵認証用共通鍵 * Mkauth_PAR_A :双方向個別鍵認証用マスター鍵 * Kdut_PAR1 :データアップデートチケット(DUT)
のMAC検証用鍵 * Kdut_PAR2 :データ更新用暗号鍵 * Kdut_PAR3 : データアップデートチケット(DUT)
のMAC検証用鍵 * Kdut_PAR4 :データ更新用暗号鍵 * Kfrt :ファイル登録チケット(FRT)のMAC検証
用鍵
【0543】また、 * PUB_PAR :パーティション(Partition)の公開鍵 * PRI_PAR :パーティション(Partition)の秘密鍵 が、デバイスにおいて生成されて書き込まれる。
【0544】また、 * PARAM_PAR :パーティション(Partition)の公開鍵パ
ラメータ * PUB_CA(PAR) :認証局CA(PAR)の公開鍵 共通鍵系パーティション鍵情報ブロック(Partition Ke
y Definition Block(Common)) 公開鍵系パーティション鍵情報ブロック(Partition Ke
y Definition Block(PUB)) パーティション管理情報ブロック(Partition Manageme
nt Information Block) の各データは、パーティションの生成時(処理フロー図
60、図61参照)に書き込まれるデータである。
【0545】[B4.2.パーティションマネージャ管
理下における公開鍵証明書発行処理]次に図66以下を
用いて、パーティションマネージャによるパーティショ
ン対応公開鍵証明書の発行処理について説明する。デバ
イスには、デバイス全体の認証、デバイスを単位とした
処理に適用可能なデバイス対応公開鍵証明書(CERT
DEV)と、デバイス内の特定のパーティションに対
する処理の際の認証その他検証処理等に適用可能なパー
ティション対応公開鍵証明書(CERT PAR)が格
納され得る。パーティション対応公開鍵証明書(CER
T PAR)は、デバイスに設定されたパーティション
毎に設定格納可能である。
【0546】パーティション対応公開鍵証明書(CER
T PAR)は、パーティションマネージャの管轄する
登録局を介して認証局(CA for PM)(図2、図
3参照)の発行した公開鍵証明書をデバイスに付与する
手続きにより発行され、登録局はパーティションマネー
ジャの管轄登録局が発行した公開鍵証明書(CERTP
AR)についての管理(データベース332(図9参
照))を実行する。
【0547】図66および図67に従って、パーティシ
ョンマネージャの管轄登録局による設定パーティション
に対するパーティション対応公開鍵証明書(CERT
PAR)の発行処理の手順を説明する。図66,図67
において、左側がパーティションマネージャの管轄登録
局のCERT(公開鍵証明書)発行装置、具体的には、
図9に示すパーティションマネージャの構成図における
制御手段331の処理、右側がデバイスの処理である。
【0548】まずステップS721において、CERT
発行装置は、パーティション対応公開鍵証明書(CER
T PAR)の発行対象となるデバイスのユーザ情報を
取得し、証明書発行の許可(判定)を行ない発行対象と
なるデバイスとの通信路を確保する。パーティション対
応公開鍵証明書(CERT PAR)の発行対象となる
デバイスのユーザ情報は、例えばデバイスの初期登録時
に生成したデータから取得可能である。なお、ユーザ情
報はデバイスとの通信路設定後、デバイスから取得して
もよい。通信路は、有線、無線を問わずデータ送受信可
能な通信路として確保されればよい。
【0549】次にCERT発行装置は、ステップS72
2において、乱数Rを含む認証データ生成コマンドをデ
バイスに対して送信する。認証データ生成コマンドを受
信(S731)したデバイスは、受信乱数Rと、デバイ
ス識別子(IDm)の結合データにデバイス秘密鍵(P
RI PAR)を適用してデジタル署名(S)の生成処
理(図12参照)を実行(S732)する。デバイス
は、デバイスの識別データ(IDm)と署名(S)をC
ERT発行装置に送信する。
【0550】デバイスから識別データ(IDm)と署名
(S)を受信(S723)したCERT発行装置は、受
信したデバイス識別データ(IDm)を検索キーとして
データベースDB(PAR)332から格納済みのデバ
イス公開鍵(PUB PAR)を取得する。さらに、取
得したデバイス公開鍵(PUB PAR)を適用して署
名(S)の検証処理(図13参照)を実行(S725)
する。検証に成功しなかった場合は、デバイスからの送
信データは不正なデータであると判定し処理は終了す
る。
【0551】検証に成功した場合は、認証局(CA f
or PM)620に対してパーティション対応公開鍵
証明書(CERT PAR)の発行処理を依頼(S72
7)する。パーティションマネージャは認証局620の
発行したパーティション対応公開鍵証明書(CERT
PAR)を受信(S728)してデバイスに送信(S7
29)する。
【0552】パーティションマネージャ(登録局)から
パーティション対応公開鍵証明書(CERT PAR)
を受信したデバイスは、予めパーティション鍵領域(図
23参照)に格納済みの認証局の公開鍵(PUB CA
(PAR))を用いて受信したパーティション対応公開
鍵証明書(CERT PAR)の署名検証を実行する。
すなわち公開鍵証明書には認証局の秘密鍵で実行され署
名があり(図11参照)、この署名検証(S735)を
行なう。
【0553】署名検証に失敗した場合は、正当な公開鍵
証明書でないと判定し、エラー通知をCERT発行装置
に対して実行(S745)する。
【0554】署名検証に成功した場合は、パーティショ
ン対応公開鍵証明書(CERT PAR)に格納された
デバイス公開鍵(PUB PAR)と自デバイスに保管
されたデバイス公開鍵(PUB PAR)の比較を実行
(S741)し、一致しない場合はエラー通知を実行
し、一致した場合は、受信したパーティション対応公開
鍵証明書(CERT PAR)をパーティション鍵領域
(図23参照)に格納(S743)する。なお、パーテ
ィション対応公開鍵証明書(CERT PAR)の発行
以前は、この領域に自デバイスで生成した公開鍵(PU
B PAR)を格納し、正当なパーティション対応公開
鍵証明書(CERT PAR)が発行された時点で、パ
ーティション対応公開鍵証明書(CERT PAR)に
より上書きする処理として格納する。
【0555】パーティション対応公開鍵証明書(CER
T PAR)の格納が終了すると格納処理終了通知をC
ERT発行装置に送信(S744)する。CERT発行
装置は、格納処理終了通知を受信(S751)し、格納
成功を確認(S752)して処理を終了する。格納成功
の確認が得られない場合はエラーとして処理が終了す
る。
【0556】[B4.3.パーティション生成処理各方
式における処理手順]上述したように、パーティション
の設定登録処理において、パーティションマネージャの
管理するデバイスアクセス機器としてのリーダライタと
デバイス間において、相互認証が実行され、パーティシ
ョン登録チケット(PRT)に基づくパーティションの
設定がなされる。上述したように相互認証処理の態様
は、公開鍵相互認証、共通鍵相互認証の2種類のいずれ
かであり、またチケット(PRT)の検証処理も公開鍵
系の署名検証、共通鍵系のMAC検証の2種類のいずれ
かが実行されることになる。すなわち処理態様としては
大きく分けて、 (A)相互認証(公開鍵)、チケット(PRT)検証
(公開鍵) (B)相互認証(公開鍵)、チケット(PRT)検証
(共通鍵) (C)相互認証(共通鍵)、チケット(PRT)検証
(共通鍵) (D)相互認証(共通鍵)、チケット(PRT)検証
(公開鍵) の4態様がある。
【0557】これらの4態様についての処理を、認証局
(CA(DM))、デバイスマネージャ(DM)、パー
ティションマネージャ(PM)、デバイス、各エンティ
テイ間において実行されるデータ転送処理を中心として
図を用いて簡潔に説明する。
【0558】(A)相互認証(公開鍵)、チケット(P
RT)検証(公開鍵) まず、相互認証処理に公開鍵方式を適用し、チケット
(PRT)検証に公開鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図68を用いて説明す
る。なお以下では、説明を簡略化するために図68に示
すように、認証局(CA)を1つとし、登録局をデバイ
スマネージャ内に1つ設定し、デバイスマネージャ公開
鍵証明書(Cert.DM)、パーティションマネージ
ャ公開鍵証明書(Cert.PM)の双方をこれらの各
登録局、認証局を介して発行する構成とした。またパー
ティション登録チケット(PRT)の発行手段はデバイ
スマネージャ(DM)であり、パーティション登録チケ
ット(PRT)に対する署名はデバイスマネージャの秘
密鍵を用いて実行される。
【0559】図に示す番号順に各エンティテイ間でデー
タ転送が実行される。以下、各番号に従って処理を説明
する。 (1)デバイスマネージャ(DM)の公開鍵証明書(C
ert.DM)の発行、 公開鍵証明書(Cert.DM)は、認証局(CA)に
よってデバイスマネージャの発行要求により、登録局を
介した証明書発行手続きによってデバイスマネージャに
対して発行される。 (2)パーティションマネージャ(PM)の公開鍵証明
書(Cert.PM)の発行、 公開鍵証明書(Cert.PM)は、認証局(CA)に
よってパーティションマネージャの発行要求により、登
録局を介した証明書発行手続きによってパーティション
マネージャに対して発行される。
【0560】(3)パーティション登録チケット(PR
T)の発行処理 パーティション登録チケット(PRT)は、デバイスマ
ネージャの管理するパーティション登録チケット発行手
段(PRT Ticket Issuer)によりパーティションマネ
ージャ(PM)に対して発行される。この場合、公開鍵
方式の署名生成、検証を実行するため、デバイスマネー
ジャの秘密鍵による署名(Signature)が生成(図12参
照)されてPRTに付加される。 (4)PRTおよびDM公開鍵証明書(Cert.D
M)のPMに対する供給 デバイスマネージャの管理するパーティション登録チケ
ット発行手段(PRTTicket Issuer)により発行され
たパーティション登録チケット(PRT)は、DM公開
鍵証明書(Cert.DM)とともにパーティションマ
ネージャに対して送信される。
【0561】(5)PMとデバイス間の相互認証 発行されたPRTに従ったパーティションを生成しよう
とする対象のデバイスと、パーティションマネージャ
(具体的にはチケットユーザであるデバイスアクセス機
器としてのリーダライタ)は、公開鍵方式の相互認証
(図50参照)を実行する。
【0562】(6)PRTおよびDM公開鍵証明書(C
ert.DM)のデバイスに対する供給 PMとデバイス間の相互認証が成立すると、パーティシ
ョンマネージャ(PM)は、デバイスに対してパーティ
ション登録チケット(PRT)、およびDM公開鍵証明
書(Cert.DM)を送信する。デバイスは、受信し
たパーティション登録チケット(PRT)について、
(1)チケット発行者(Ticket Issuer)=DMの公開
鍵証明書(CERT)が改竄されたものでない正当な公
開鍵証明書(CERT)であること、(2)チケット発
行者(Ticket Issuer)の公開鍵証明書(CERT)の
オプション領域に記録されたコードと、デバイス内のD
KDB(Device Key Definition Block)(PUB)に記録さ
れたチケット発行手段コード(PRTIC:PRT Issuer
Code)の一致、(3)チケット発行手段(Ticket Issu
er)がリボークされていないこと、(4)受信チケット
(PRT)の署名(Signature)の検証によりチケット
が改竄のないことの確認を実行し、さらに、PRTチケ
ットに格納されたPRTユーザ(この場合はPM:チケ
ットユーザであるデバイスアクセス機器としてのリーダ
ライタ)と受信したパーティションマネージャの公開鍵
証明書の識別データ(DN)として記録された識別子ま
たはカテゴリまたはシリアル(SN)の一致を確認し、
相互認証済みであることを確認することによりPRTユ
ーザ(PM:デバイスアクセス機器としてのリーダライ
タ)の検証(図57、図58参照)を実行する。
【0563】(7)パーティションの生成 パーティション登録チケット(PRT)の検証、PRT
発行者(PRT Issuer)、PRTユーザの検証に成功する
と、パーティション登録チケット(PRT)に記述され
たルールに従ってパーティションがデバイスのメモリ部
に生成(図60、図61参照)される。
【0564】(8)鍵データ書き込み パーティションがデバイスのメモリ部に生成されると、
生成されたパーティション内に対する各種鍵の格納処理
が実行される。 (9)公開鍵の読み出し、 (10)公開鍵証明書の発行 生成パーティションに対する各種サービス時の認証処理
(パーティション生成、ファイル生成、ファイルアクセ
ス、データアップデート等のサービス利用時の認証処
理)に際し、公開鍵認証を行なう場合、デバイスは公開
鍵、秘密鍵の鍵ペアを生成し、生成した公開鍵をパーテ
ィションマネージャに送信し、登録局、認証局を介して
公開鍵証明書の発行処理を行ない、発行された公開鍵証
明書をパーティション鍵領域(図23参照)に格納す
る。この際、生成した公開鍵の格納領域に対して発行さ
れた公開鍵証明書を格納する。なお、この(9)、(1
0)の処理は、作成パーティションに対する各種サービ
ス時の認証処理(パーティション生成、ファイル生成、
ファイルアクセス、データアップデート等のサービス利
用時の認証処理)の際に公開鍵認証を行なう構成の場合
に実行すればよい。
【0565】以上の処理によって、相互認証(公開
鍵)、チケット(PRT)検証(公開鍵)の各方式に従
ったパーティションの生成処理が実行される。
【0566】(B)相互認証(公開鍵)、チケット(P
RT)検証(共通鍵) 次に、相互認証処理に公開鍵方式を適用し、チケット
(PRT)検証に共通鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図69を用いて説明す
る。図に示す番号順に各エンティテイ間でデータ転送が
実行される。以下、各番号に従って処理を説明する。
【0567】(1)パーティションマネージャ(PM)
の公開鍵証明書(Cert.PM)の発行、 公開鍵証明書(Cert.PM)は、認証局(CA)に
よってパーティションマネージャの発行要求により、登
録局を介した証明書発行手続きによってデバイスマネー
ジャに対して発行される。
【0568】(2)パーティション登録チケット(PR
T)の発行処理 パーティション登録チケット(PRT)は、デバイスマ
ネージャの管理するパーティション登録チケット発行手
段(PRT Ticket Issuer)によりパーティションマネ
ージャ(PM)に対して発行される。この場合、共通鍵
方式の検証値としてMAC(Message Authentication Co
de)(図59参照)がPRTに付加される。 (3)PRTのPMに対する供給 デバイスマネージャの管理するパーティション登録チケ
ット発行手段(PRTTicket Issuer)により発行され
たパーティション登録チケット(PRT)は、パーティ
ションマネージャに対して送信される。
【0569】(4)PMとデバイス間の相互認証 発行されたPRTに従ったパーティションを生成しよう
とする対象のデバイスと、パーティションマネージャ
(具体的にはチケットユーザであるデバイスアクセス機
器としてのリーダライタ)は、公開鍵方式の相互認証
(図50参照)を実行する。
【0570】(5)PRTの送信 パーティションマネージャは発行されたパーティション
登録チケット(PRT)をデバイスに送付する。デバイ
スは、受信したパーティション登録チケット(PRT)
についてMAC検証処理を実行し、PRT発行者(PRT
Issuer)の検証、さらに、PRTチケットに格納された
PRTユーザ(この場合はPM:チケットユーザである
デバイスアクセス機器としてのリーダライタ)と受信し
たパーティションマネージャの公開鍵証明書の識別デー
タ(DN)として記録された識別子またはカテゴリまた
はシリアル(SN)の一致を確認し相互認証済みである
ことを確認することによりPRTユーザ(PM:デバイ
スアクセス機器としてのリーダライタ)の検証(図5
7、図58参照)を実行する。
【0571】(6)パーティションの生成 パーティション登録チケット(PRT)の検証、PRT
発行者(PRT Issuer)、PRTユーザの検証に成功する
と、パーティション登録チケット(PRT)に記述され
たルールに従ってパーティションがデバイスのメモリ部
に生成(図60、図61参照)される。 (7)鍵データ書き込み パーティションがデバイスのメモリ部に生成されると、
生成されたパーティション内に対する各種鍵の格納処理
が実行される。
【0572】(8)公開鍵の読み出し、 (9)公開鍵証明書の発行 生成パーティションに対する各種サービス時の認証処理
(パーティション生成、ファイル生成、ファイルアクセ
ス、データアップデート等のサービス利用時の認証処
理)に際し、公開鍵認証を行なう場合、デバイスは公開
鍵、秘密鍵の鍵ペアを生成し、生成した公開鍵をパーテ
ィションマネージャに送信し、登録局、認証局を介して
公開鍵証明書の発行処理を行ない、発行された公開鍵証
明書をパーティション鍵領域(図23参照)に格納す
る。この際、生成した公開鍵の格納領域に対して発行さ
れた公開鍵証明書を格納する。なお、この(8)、
(9)の処理は、作成パーティションに対する各種サー
ビス時の認証処理(パーティション生成、ファイル生
成、ファイルアクセス、データアップデート等のサービ
ス利用時の認証処理)の際に公開鍵認証を行なう構成の
場合に実行すればよい。
【0573】以上の処理によって、相互認証(公開
鍵)、チケット(PRT)検証(共通鍵)の各方式に従
ったパーティションの生成処理が実行される。
【0574】(C)相互認証(共通鍵)、チケット(P
RT)検証(共通鍵) 次に、相互認証処理に共通鍵方式を適用し、チケット
(PRT)検証に共通鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図70を用いて説明す
る。図に示す番号順に各エンティテイ間でデータ転送が
実行される。以下、各番号に従って処理を説明する。
【0575】(1)パーティション登録チケット(PR
T)の発行処理 パーティション登録チケット(PRT)は、デバイスマ
ネージャの管理するパーティション登録チケット発行手
段(PRT Ticket Issuer)によりパーティションマネ
ージャ(PM)に対して発行される。この場合、共通鍵
方式の検証値としてMAC(図59参照)がPRTに付
加される。
【0576】(2)PRTのPMに対する供給 デバイスマネージャの管理するパーティション登録チケ
ット発行手段(PRTTicket Issuer)により発行され
たパーティション登録チケット(PRT)は、パーティ
ションマネージャに対して送信される。
【0577】(3)PMとデバイス間の相互認証 発行されたPRTに従ったパーティションを生成しよう
とする対象のデバイスと、パーティションマネージャ
(具体的にはチケットユーザであるデバイスアクセス機
器としてのリーダライタ)は、共通鍵方式の相互認証
(図53、図54参照)を実行する。
【0578】(4)PRTの送信 パーティションマネージャは発行されたパーティション
登録チケット(PRT)をデバイスに送付する。デバイ
スは、受信したパーティション登録チケット(PRT)
についてMAC検証処理を実行し、PRT発行者(PRT
Issuer)の検証、さらに、PRTチケットに格納された
PRTユーザ(この場合はPM:チケットユーザである
デバイスアクセス機器としてのリーダライタ)とパーテ
ィションマネージャの識別子の一致を確認し、相互認証
済みであることを確認することによりPRTユーザ(P
M:デバイスアクセス機器としてのリーダライタ)の検
証(図57、図58参照)を実行する。
【0579】(5)パーティションの生成 パーティション登録チケット(PRT)の検証、PRT
発行者(PRT Issuer)、PRTユーザの検証に成功する
と、パーティション登録チケット(PRT)に記述され
たルールに従ってパーティションがデバイスのメモリ部
に生成(図60、図61参照)される。
【0580】(6)鍵データ書き込み パーティションがデバイスのメモリ部に生成されると、
生成されたパーティション内に対する各種鍵の格納処理
が実行される。 (7)公開鍵の読み出し、 (8)公開鍵証明書の発行 生成パーティションに対する各種サービス時の認証処理
(パーティション生成、ファイル生成、ファイルアクセ
ス、データアップデート等のサービス利用時の認証処
理)に際し、公開鍵認証を行なう場合、デバイスは公開
鍵、秘密鍵の鍵ペアを生成し、生成した公開鍵をパーテ
ィションマネージャに送信し、登録局、認証局を介して
公開鍵証明書の発行処理を行ない、発行された公開鍵証
明書をパーティション鍵領域(図23参照)に格納す
る。この際、生成した公開鍵の格納領域に対して発行さ
れた公開鍵証明書を格納する。なお、この(7)、
(8)の処理は、作成パーティションに対する各種サー
ビス時の認証処理(パーティション生成、ファイル生
成、ファイルアクセス、データアップデート等のサービ
ス利用時の認証処理)の際に公開鍵認証を行なう構成の
場合に実行すればよい。
【0581】以上の処理によって、相互認証(共通
鍵)、チケット(PRT)検証(公開鍵)の各方式に従
ったパーティションの生成処理が実行される。
【0582】(D)相互認証(共通鍵)、チケット(P
RT)検証(公開鍵) 次に、相互認証処理に共通鍵方式を適用し、チケット
(PRT)検証に公開鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図71を用いて説明す
る。図に示す番号順に各エンティテイ間でデータ転送が
実行される。以下、各番号に従って処理を説明する。
【0583】(1)デバイスマネージャ(DM)の公開
鍵証明書(Cert.DM)の発行、 公開鍵証明書(Cert.DM)は、認証局(CA)に
よってデバイスマネージャの発行要求により、登録局を
介した証明書発行手続きによってデバイスマネージャに
対して発行される。
【0584】(2)パーティション登録チケット(PR
T)の発行処理 パーティション登録チケット(PRT)は、デバイスマ
ネージャの管理するパーティション登録チケット発行手
段(PRT Ticket Issuer)によりパーティションマネ
ージャ(PM)に対して発行される。この場合、公開鍵
方式の署名生成、検証を実行するため、デバイスマネー
ジャの秘密鍵による署名(Signature)が生成(図12参
照)されてPRTに付加される。 (3)PRTおよびDM公開鍵証明書(Cert.D
M)のPMに対する供給 デバイスマネージャの管理するパーティション登録チケ
ット発行手段(PRTTicket Issuer)により発行され
たパーティション登録チケット(PRT)は、DM公開
鍵証明書(Cert.DM)とともにパーティションマ
ネージャに対して送信される。
【0585】(4)PMとデバイス間の相互認証 発行されたPRTに従ったパーティションを生成しよう
とする対象のデバイスと、パーティションマネージャ
(具体的にはチケットユーザであるデバイスアクセス機
器としてのリーダライタ)は、共通鍵方式の相互認証
(図53、図54参照)を実行する。
【0586】(5)PRTおよびDM公開鍵証明書(C
ert.DM)のデバイスに対する供給 PMとデバイス間の相互認証が成立すると、パーティシ
ョンマネージャ(PM)は、デバイスに対してパーティ
ション登録チケット(PRT)、およびDM公開鍵証明
書(Cert.DM)を送信する。デバイスは、受信し
たパーティション登録チケット(PRT)について、
(1)チケット発行者(Ticket Issuer)=DMの公開
鍵証明書(CERT)が改竄されたものでない正当な公
開鍵証明書(CERT)であること、(2)チケット発
行者(Ticket Issuer)の公開鍵証明書(CERT)の
オプション領域に記録されたコードと、デバイス内のD
KDB(Device Key Definition Block)(PUB)に記録さ
れたチケット発行手段コード(PRTIC:PRT Issuer
Code)の一致、(3)チケット発行手段(Ticket Issu
er)がリボークされていないこと、(4)受信チケット
(PRT)の署名(Signature)の検証によりチケット
が改竄のないことの確認を実行し、さらに、PRTチケ
ットに格納されたPRTユーザ(この場合はPM:チケ
ットユーザであるデバイスアクセス機器としてのリーダ
ライタ)とパーティションマネージャの公開鍵証明書中
の識別データ(DN)として記録された識別子またはカ
テゴリまたはシリアル(SN)の一致を確認し、相互認
証済みであることを確認することによりPRTユーザ
(PM:デバイスアクセス機器としてのリーダライタ)
の検証(図57、図58参照)を実行する。
【0587】(6)パーティションの生成 パーティション登録チケット(PRT)の検証、PRT
発行者(PRT Issuer)、PRTユーザの検証に成功する
と、パーティション登録チケット(PRT)に記述され
たルールに従ってパーティションがデバイスのメモリ部
に生成(図60、図61参照)される。
【0588】(7)鍵データ書き込み パーティションがデバイスのメモリ部に生成されると、
生成されたパーティション内に対する各種鍵の格納処理
が実行される。 (8)公開鍵の読み出し、 (9)公開鍵証明書の発行 生成パーティションに対する各種サービス時の認証処理
(パーティション生成、ファイル生成、ファイルアクセ
ス、データアップデート等のサービス利用時の認証処
理)に際し、公開鍵認証を行なう場合、デバイスは公開
鍵、秘密鍵の鍵ペアを生成し、生成した公開鍵をパーテ
ィションマネージャに送信し、登録局、認証局を介して
公開鍵証明書の発行処理を行ない、発行された公開鍵証
明書をパーティション鍵領域(図23参照)に格納す
る。この際、生成した公開鍵の格納領域に対して発行さ
れた公開鍵証明書を格納する。なお、この(8)、
(9)の処理は、作成パーティションに対する各種サー
ビス時の認証処理(パーティション生成、ファイル生
成、ファイルアクセス、データアップデート等のサービ
ス利用時の認証処理)の際に公開鍵認証を行なう構成の
場合に実行すればよい。
【0589】以上の処理によって、相互認証(共通
鍵)、チケット(PRT)検証(公開鍵)の各方式に従
ったパーティションの生成処理が実行される。
【0590】[B4.4.ファイル登録チケット(FR
T)を利用したファイル生成、削除処理]次に、デバイ
スに生成したパーティション内にファイル登録チケット
(FRT)を適用してファイルを生成、または削除する
処理について説明する。図72以下のフロー他の図面を
参照して説明する。なお、ファイル作成、削除処理に
は、デバイスとデバイスアクセス機器としてのリーダラ
イタ(パーティションマネージャ)間における相互認証
処理(デバイス認証またはパーティション認証)、パー
ティション登録チケット(FRT:File Registration
Ticket)の正当性検証処理が含まれる。
【0591】図72に示すファイル生成、削除処理フロ
ーについて説明する。図72において、左側がパーティ
ションマネージャのファイル作成・削除装置、右側がデ
バイス(図5参照)の処理を示す。なお、パーティショ
ンマネージャのファイル作成・削除装置は、デバイスに
対するデータ読み取り書き込み処理可能な装置(ex.
デバイスアクセス機器としてのリーダライタ、PC)で
あり、図10のデバイスアクセス機器としてのリーダラ
イタに相当する。まず、図72を用いて、ファイル作
成、削除処理の概要を説明し、その後、当処理に含まれ
るファイル作成、削除操作の詳細を図73のフローを用
いて説明する。
【0592】まず、図72のステップS801とS81
0において、ファイル作成・削除装置とデバイス間にで
の相互認証処理が実行される。データ送受信を実行する
2つの手段間では、相互に相手が正しいデータ通信者で
あるか否かを確認して、その後に必要なデータ転送を行
なうことが行われる。相手が正しいデータ通信者である
か否かの確認処理が相互認証処理である。相互認証処理
時にセッション鍵の生成を実行して、生成したセッショ
ン鍵を共有鍵として暗号化処理を実行してデータ送信を
行なう。
【0593】相互認証処理については、先のパーティシ
ョン生成、削除処理の欄で説明したと同様の処理であ
り、パーティション認証が実行される。それぞれについ
て共通鍵方式認証、あるいは公開鍵方式認証処理のいず
れかが適用される。この相互認証処理は、前述の図48
〜図56を用いて説明したと同様の処理であるので説明
を省略する。
【0594】なお、相互認証処理として実行すべき処理
は、適用するファイル登録チケット(FRT)(図27
参照)の * Authentication Flag :チケット(Ticket)の利用処
理においてデバイス(Device)との相互認証が必要か否
かを示すフラグ * Authentication Type :デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any))によって決定される。
【0595】認証処理に失敗した場合(S802,S8
11でNo)は、相互が正当な機器、デバイスであるこ
との確認がとれないことを示し、以下の処理は実行され
ずエラーとして処理は終了する。
【0596】認証処理に成功すると、ファイル作成・削
除装置は、デバイスに対してファイル登録チケット(F
RT:File Registration Ticket)を送信する。ファイ
ル登録チケット(FRT)は、パーティションマネージ
ャの管理下のファイル登録チケット(FRT)発行手段
(FRT Issuer)により発行されるチケットである。ファ
イル登録チケット(FRT)は、デバイスに対するアク
セス制御チケットであり、先に説明した図27のデータ
フォーマット構成を持つチケットである。
【0597】なお、ファイル登録チケット(FRT)
を、チケットユーザに対して送信する際には、公開鍵方
式の場合、ファイル登録チケット(FRT)発行手段
(FRT Issuer)の公開鍵証明書(CERT_FRTI)も一緒に
送信する。FRT発行手段の公開鍵証明書(CERT_FRT
I)の属性(Attribute)は、、ファイル登録チケット
(FRT)発行手段(FRT Issuer)の識別子(FRTIC)
と一致する。
【0598】ファイル登録チケット(FRT)を受信
(S812)したデバイスは、受信したチケット(FR
T)の正当性と利用者チェック処理を実行(S813)
する。チケットの正当性の検証処理は、共通鍵方式によ
るMAC検証、あるいは公開鍵方式による署名検証処理
のいずれかを適用して実行される。利用者チェックは、
チケットを送信してきた機器(チケット利用者)の正当
性をチェックする処理であり、相互認証が成立済みであ
り、認証相手の識別データと、チケットに記録されてい
るチケットユーザ識別子(図27参照)との一致等を検
証する処理として実行される。これらの処理は、先のパ
ーティション登録チケット(PRT)の適用処理につい
ての説明中、図57〜図59を用いて説明したと同様の
処理であるので説明を省略する。
【0599】デバイスにおいて、受信チケット(FR
T)の正当性と利用者チェック処理の結果、チケットお
よび利用者の正当なことが確認できなかった場合(S8
14でNo)は、ファイル登録チケット(FRT)受理
エラーをファイル作成・削除装置に通知(S818)す
る。チケットおよび利用者の正当なことが確認できた場
合(S814でYes)は、受信したファイル登録チケ
ット(FRT)に記述されたルールに従いデバイス内の
メモリ部におけるファイルの生成、または削除処理を実
行する。この処理の詳細については、別フローを用いて
後段で詳述する。
【0600】ファイル登録チケット(FRT)の記述に
従って、ファイルの生成または削除処理に成功(S81
6でYes)すると、FRT受理成功をファイル作成・
削除装置に通知(S817)する。一方、ファイルの生
成または削除処理に失敗(S816でNo)した場合
は、FRT受理エラーをファイル作成・削除装置に通知
(S818)する。
【0601】ファイル作成・削除装置は、FRT受理結
果を受信(S804)し、FRT処理結果を判定し、F
RT受理結果がエラーである場合(S805でNo)
は、エラーとして処理を終了し、FRT受理結果が成功
(S805でYes)である場合はセッションクリアコ
マンドの送受信(S806,S819)を実行し、デバ
イス側に生成した認証テーブルを破棄(S820)し、
処理を終了する。認証テーブルは、ステップS801,
S810の相互認証処理において生成されるテーブルで
あり、前述したパーティション登録チケット(PRT)
の適用処理の項目において説明した構成、すなわち、図
51の構成と同様のものである。
【0602】このようにファイル登録チケット(FR
T)を利用して、デバイス内に設定されたパーティショ
ン内にファイルの生成、または生成済みのファイルの削
除処理が実行される。以下、当処理に含まれるファイル
の生成、削除処理(S815)について、図73を用い
て説明する。
【0603】(ファイル作成・削除処理)図72のフロ
ーに示すステップS815において実行されるファイル
登録チケット(FRT)に基づくパーティションの作
成、削除処理の詳細について、図73の処理フローを用
いて説明する。ファイルの作成、削除処理は、チケット
ユーザ(ex.デバイスアクセス機器としてのリーダラ
イタ、PC等)からファイル登録チケット(FRT)を
受信したデバイスが、ファイル登録チケット(FRT)
に基づいて実行する処理である。
【0604】図73のステップS821において、デバ
イスは、受信したファイル登録チケット(FRT:File
Registration ticket)に記録された処理タイプ、すな
わちOperation Type(パーティション(Partition)作
成か削除かの指定 (作成(Generate) / 削除(Delet
e)))を検証する。処理タイプ(Operation Type)が、
ファイル作成である場合、ステップS822以下を実行
し、ファイル削除である場合、ステップS841以下を
実行する。
【0605】まず、ファイル作成処理について説明す
る。デバイスはステップS822において、ファイル登
録チケット(FRT)に記述されたファイル識別子(I
D)と同一IDのファイルがデバイスの処理対象パーテ
ィション内に存在するか否かを検証する。この判定は、
デバイスのメモリ部に設定されたパーティション領域の
ファイル定義ブロック(図24参照)に受信チケット
(FRT)に記述されたファイルIDと同一のファイル
IDが記述されているか否かを検証することによって判
定可能である。
【0606】すでにデバイスに同一IDのファイルが存
在する場合は、同一IDを持つ重複ファイルを同一のパ
ーティション内に存在させることは許されないので、フ
ァイルの生成は実行せず、エラー終了とする。同一ID
のファイルが処理対象パーティション内に存在しない場
合は、ステップS823において、パーティション管理
情報ブロック(図20参照)のパーティション内の空き
ブロック数(Free Block Number in Partition)と、フ
ァイル登録チケット(FRT)に記述されたファイルサ
イズ(File Size)とを比較し、チケット(FRT)に
記述されたファイルサイズ(File Size)以上の空きブ
ロック領域がデバイスの処理対象パーティション内に存
在するか否かを判定する。存在しない場合は、FRTに
記述されたサイズのファイルの生成はできないので、エ
ラー終了とする。
【0607】チケット(FRT)に記述されたファイル
サイズ(File Size)以上の空きブロック領域がデバイ
スのメモリ部の処理対象パーティション内に存在すると
判定された場合は、ステップS824に進み、パーティ
ション管理情報ブロックの空き領域ポインタ(Pointer
of Free Area)を参照してパーティションの空き領域
(Free Area in Partition)の最上位ブロックにファイ
ル定義ブロック(FDB)エリア(図24参照)を確保
する。
【0608】次に、デバイスは、確保したファイル定義
ブロック(FDB)エリアに、ファイル登録チケット
(FRT)に記述されたファイルIDのコピーを実行
(S825)し、さらに、ファイル定義ブロック(FD
B)エリアのファイルスタート位置(File Start Posit
ion)に、パーティション管理情報ブロック(図20参
照)の空き領域ポインタ(Pointer of Free Area)のコ
ピー処理を実行(S826)する。
【0609】さらに、ステップS827において、ファ
イル定義ブロック(FDB)のファイルサイズ(File S
ize)、サービス許可チケット発行手段コード(SPT
IC)、およびバージョン、(SPTIC Version)、
ファイル構造タイプ(File Structure Type Code)、フ
ァイルアクセスを行う際に、指定する認証方式(Accept
able Authentication Type)、指定する検証方式(Acce
ptable VerificztionType)のそれぞれに、ファイル登
録チケット(FRT)に記述された各対応データをコピ
ーする。
【0610】次に、ステップS828において、ファイ
ル登録チケット(FRT)に格納されたKspt_Encrypted
(ファイル定義ブロック(File Definition Block)に
記載されるサービス許可チケット(SPT)のMAC検
証用鍵 Kspt を そのパーティションのファイル登録チ
ケットのMAC検証用鍵 Kfrt で暗号化したデータKfrt
(Kspt))をファイル登録チケットのMAC検証用鍵 K
frtを用いて復号してファイル定義ブロック(FDB)
に格納する。なお、ファイル登録チケットのMAC検証
用鍵 Kfrtは、パーティションの生成時にパーティショ
ン鍵領域に格納済みである。
【0611】次に、ステップS829において、パーテ
ィション管理情報ブロック(図20参照)のパーティシ
ョン(Partition)内の空きブロック数(Free Block Nu
mberin Partition)からファイルサイズ(File Size)
+1を減算する。なお、+1は、ファイル定義ブロック
(FDB)用のブロックを意味する。
【0612】次に、ステップS830において、パーテ
ィション管理情報ブロック(図20参照)の空き領域ポ
インタ(Pointer of Free Area)に生成したファイルサ
イズ(File Size)を加算し、ステップS831におい
て、パーティション管理情報ブロックのファイル数(Fi
le Number)に1を加算、すなわち生成したファイル数
(1)を加算する。
【0613】次に、ステップS832において、ファイ
ル登録チケット(FRT)に格納されたFile Structure
(生成するファイル(File)のファイル構造(Structur
e))に応じた初期化処理を実行する。例えばファイル
構造がランダム(Random)であれば、0リセット、サイク
リック(Cyslic)であれば、ポインタ、データを0リセ
ットするなどの処理を実行する。これらの処理により、
生成したパーティション内に新たなファイルが生成され
る。
【0614】次に図73のステップS841〜S848
のファイル削除処理について説明する。ステップS84
1では、ファイル登録チケット(FRT)に記述された
ファイルIDと同一IDのファイルがデバイスのメモリ
部の処理対象パーティション内に存在するか否かを検証
する。この判定は、デバイスのメモリ部のファイル定義
ブロック(図24参照)に受信チケット(FRT)に記
述されたファイルIDと同一のファイルIDが記述され
ているか否かを検証することによって判定可能である。
【0615】デバイスの処理対象パーティション内に同
一ファイルIDのファイルが存在しない場合は、ファイ
ルの削除は不可能であるので、エラー終了とする。同一
IDのファイルがデバイスの処理対象パーティション内
に存在する場合は、ステップS842において、削除対
象のファイルより後に生成されたファイルが処理対象パ
ーティション内に存在するか否かを判定する。存在しな
い場合は、削除対象のファイルが最新のファイルであ
り、ステップS849において削除対象のファイルのフ
ァイル定義ブロック(FDB)(図24参照)を削除す
る。
【0616】ステップS842において、削除対象のフ
ァイルより後に生成されたファイルが処理対象パーティ
ション内に存在すると判定された場合は、後に生成され
たファイル(後ファイル)のデータを削除対象のファイ
ルのサイズ(FS)分、下位にずらす処理を実行(S8
43)し、さらに、後ファイルのファイル定義ブロック
(FDB)を1ブロック上位にずらす処理を実行(S8
44)する。また、後ファイルのファイル定義ブロック
(FDB)に記録されたファイル開始位置(File Start
Portion)から削除ファイルのサイズ(FS)を減算す
る処理を実行する(S845)。
【0617】ステップS845またはS849の処理の
後、ステップS846において、パーティション管理情
報ブロック(PMIB)(図20参照)のパーティショ
ン内の空きブロック数(Free Block Number in Partiti
on)に削除ファイルのサイズ(FS)+1を加算する。
+1は、削除ファイルのファイル定義ブロック(FD
B)用のブロックを意味する。
【0618】次にステップS847において、パーティ
ション管理情報ブロック(PMIB)(図20参照)の
空き領域ポインタ(Pointer of Free Area)の値から削
除ファイルのサイズ(FS)を減算する。さらに、ステ
ップS848において、パーティション管理情報ブロッ
ク(PMIB)(図20参照)のファイル数(File Num
ber)から1を減算、すなわち削除したファイル数
(1)を減算してファイル登録チケット(FRT)に基
づくファイル削除処理が終了する。
【0619】以上が、図72の処理フローにおけるステ
ップS815のファイル登録チケット(FRT)に基づ
くファイル生成、削除処理である。
【0620】パーティションマネージャによるファイル
生成処理が完了した状態のデバイスのメモリ内格納デー
タ構成例を図74に示す。図74に示すパーティション
(Partion)領域中、 ファイル定義ブロック(1〜N)(File Definition Blo
ck) パーティション鍵領域(Partition Key Area) 共通鍵系パーティション鍵情報ブロック(Partition Ke
y Definition Block(Common)) 公開鍵系パーティション鍵情報ブロック(Partition Ke
y Definition Block(PUB)) パーティション管理情報ブロック(Partition Manageme
nt Information Block) の各データは、ファイル生成時、またはパーティション
生成時に書き込まれるデータである。ファイル領域(Fil
e Data Area 1〜N)は、ファイル生成処理によって処
理対象パーティション内にファイル領域として確保され
る。
【0621】[B4.5.ファイル生成処理各方式にお
ける処理手順]上述したファイルの設定登録処理におい
て、パーティションマネージャが管理し、ファイル登録
チケットユーザであるデバイスアクセス機器としてのリ
ーダライタとデバイス間において、相互認証が実行さ
れ、ファイル登録チケット(FRT)に基づくファイル
の設定がなされる。相互認証処理の態様は、公開鍵相互
認証、共通鍵相互認証の2種類のいずれかであり、また
チケット(FRT)の検証処理も公開鍵系の署名検証、
共通鍵系のMAC検証の2種類のいずれかが実行される
ことになる。すなわち処理態様としては大きく分けて、 (A)相互認証(公開鍵)、チケット(FRT)検証
(公開鍵) (B)相互認証(公開鍵)、チケット(FRT)検証
(共通鍵) (C)相互認証(共通鍵)、チケット(FRT)検証
(共通鍵) (D)相互認証(共通鍵)、チケット(FRT)検証
(公開鍵) の4態様がある。
【0622】これらの4態様についての処理を、認証局
(CA(PM))、パーティションマネージャ(P
M)、デバイス、各エンティテイ間において実行される
データ転送処理を中心として図を用いて簡潔に説明す
る。
【0623】(A)相互認証(公開鍵)、チケット(F
RT)検証(公開鍵) まず、相互認証処理に公開鍵方式を適用し、チケット
(FRT)検証に公開鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図75を用いて説明す
る。
【0624】図に示す番号順に各エンティテイ間でデー
タ転送が実行される。以下、各番号に従って処理を説明
する。 (1)ファイル登録チケット発行手段(FRT Issue
r)の公開鍵証明書(Cert.FRT Issuer)の発
行、 ファイル登録チケット発行手段(FRT Issuer)の公
開鍵証明書(Cert.FRT Issuer)は、ファイル
登録チケット発行手段(FRT Issuer)からの発行要
求により、登録局(RA)を介した証明書発行手続きに
よってパーティション対応認証局(CA(PAR))か
ら発行される。なお、パーティションマネージャがファ
イル登録チケット発行手段(FRT Issuer)を兼ねる
構成も可能であり、その場合は、ファイル登録チケット
発行手段(FRT Issuer)の公開鍵証明書としてパー
ティションマネージャ(PM)の公開鍵証明書を使用可
能である。
【0625】(2)ファイル登録チケットユーザ(FR
T User)の公開鍵証明書(Cert.FRT User)の
発行、 ファイル登録チケットユーザ(FRT User:具体的に
は、デバイスに対してチケットを送信するデバイスアク
セス機器としてのリーダライタ)の公開鍵証明書(Ce
rt.FRT User)は、ファイル登録チケットユーザ
(FRT User)からの発行要求により、登録局(R
A)を介した証明書発行手続きによってパーティション
対応認証局(CA(PAR))によって発行される。な
お、パーティションマネージャがファイル登録チケット
ユーザ(FRT User)を兼ねる構成も可能であり、そ
の場合は、ファイル登録チケットユーザ(FRT Use
r)の公開鍵証明書としてパーティションマネージャ
(PM)の公開鍵証明書を使用可能である。
【0626】(3)ファイル登録チケット(FRT)の
生成処理 ファイル登録チケット(FRT)は、パーティションマ
ネージャの管理するファイル登録チケット発行手段(F
RT Ticket Issuer)により生成される。この場合、公
開鍵方式の署名生成、検証を実行するため、ファイル登
録チケット発行手段(FRT Ticket Issuer)の秘密鍵
による署名(Signature)が生成(図12参照)されてF
RTに付加される。
【0627】(4)FRTおよびファイル登録チケット
発行手段(FRT Ticket Issuer)公開鍵証明書(Ce
rt.FRT Issuer)のファイル登録チケットユーザ
(FRT User)に対する供給 パーティションマネージャの管理するファイル登録チケ
ット発行手段(FRTTicket Issuer)により発行され
たファイル登録チケット(FRT)は、ファイル登録チ
ケット発行手段(FRT Ticket Issuer)公開鍵証明書
(Cert.FRT Issuer)とともにファイル登録チ
ケットユーザ(FRT User)すなわち、デバイスに対
してチケットを送信する機器(ex.デバイスアクセス
機器としてのリーダライタ)に対して送信される。
【0628】(5)ファイル登録チケット発行手段とデ
バイス間の相互認証 パーティションマネージャ(具体的にはファイル登録チ
ケットユーザ(FRTUser)であるデバイスアクセス機
器としてのリーダライタ)は、ファイル登録チケット発
行手段(FRT Ticket Issuer)の発行したファイル登
録チケット(FRT)に従ったファイルを生成しようと
する対象のデバイスに対し、チケットユーザ(FRT U
ser)の公開鍵証明書(Cert.FRT User)をデバ
イスに送信し、公開鍵方式の相互認証(図50参照)を
実行する。
【0629】(6)FRTおよびファイル登録チケット
発行手段(FRT Ticket Issuer)公開鍵証明書(Ce
rt.FRT Issuer)のデバイスに対する供給 パーティションマネージャ(PM)とデバイス間の相互
認証が成立すると、パーティションマネージャ(PM)
(具体的にはファイル登録チケットユーザ(FRT Use
r)であるデバイスアクセス機器としてのリーダライ
タ)は、デバイスに対してファイル登録チケット(FR
T)、およびファイル登録チケット発行手段(FRT T
icket Issuer)公開鍵証明書(Cert.FRT Issue
r)を送信する。
【0630】デバイスは、受信したファイル登録チケッ
ト(FRT)について、(1)チケット発行者(Ticket
Issuer)の公開鍵証明書(CERT FRT Issuer)が改
竄されたものでない正当な公開鍵証明書(CERT)で
あること、(2)チケット発行者(Ticket Issuer)の
公開鍵証明書(CERTFRT Issuer)のオプション領域
に記録されたコードと、デバイス内のPKDB(Partit
ion Key Definition Block)(PUB)に記録されたチケッ
ト発行手段コード(FRTIC:FRT Issuer Category)の一
致、(3)チケット発行手段(Ticket Issuer)がリボ
ークされていないこと、(4)受信チケット(FRT)
の署名(Signature)の検証によりチケットが改竄のな
いことの確認を実行し、さらに、FRTチケットに格納
されたFRTユーザ(チケットユーザであるデバイスア
クセス機器としてのリーダライタ)とチケットユーザ
(FRT User)の公開鍵証明書(Cert.FRT Us
er)の識別データ(DN)として記録された識別子また
はカテゴリまたはシリアル(SN)名(DN)の一致を
確認し、相互認証済みであることを確認することにより
FRTユーザ(デバイスアクセス機器としてのリーダラ
イタ)の検証(図57、図58参照)を実行する。
【0631】(7)FDBにSPTICおよびKspt
を登録 デバイスは、ファイル定義ブロック(FDB:File Def
inition Block)にサービス許可チケット(SPT)ユ
ーザ(SPTIC)(ex.デバイスのファイル内のデ
ータにアクセスを実行するデバイスアクセス機器として
のリーダライタ)とKspt(サービス許可チケット(SP
T)のMAC検証用鍵(Kspt))を登録する(図73のフ
ローにおけるステップS827,S828)。
【0632】(8)ファイルデータ領域の確保 デバイスは、処理対象パーティションにファイル登録チ
ケット(FRT)に記述されたサイズを持つファイル領
域を確保する。
【0633】以上の処理によって、相互認証(公開
鍵)、チケット(FRT)検証(公開鍵)の各方式に従
ったファイルの生成処理が実行される。
【0634】(B)相互認証(公開鍵)、チケット(F
RT)検証(共通鍵) 次に、相互認証処理に公開鍵方式を適用し、チケット
(FRT)検証に共通鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図76を用いて説明す
る。
【0635】図に示す番号順に各エンティテイ間でデー
タ転送が実行される。以下、各番号に従って処理を説明
する。
【0636】(1)ファイル登録チケットユーザ(FR
T User)の公開鍵証明書(Cert.FRT User)の
発行、 ファイル登録チケットユーザ(FRT User:具体的に
は、デバイスに対してチケットを送信するデバイスアク
セス機器としてのリーダライタ)の公開鍵証明書(Ce
rt.FRT User)は、ファイル登録チケットユーザ
(FRT User)からの発行要求により、登録局(R
A)を介した証明書発行手続きによってパーティション
対応認証局(CA(PAR))によって発行される。な
お、パーティションマネージャがファイル登録チケット
ユーザ(FRT User)を兼ねる構成も可能であり、そ
の場合は、ファイル登録チケットユーザ(FRT Use
r)の公開鍵証明書としてパーティションマネージャ
(PM)の公開鍵証明書を使用可能である。
【0637】(2)ファイル登録チケット(FRT)の
生成処理 ファイル登録チケット(FRT)は、パーティションマ
ネージャの管理するファイル登録チケット発行手段(F
RT Ticket Issuer)により生成される。この場合、共
通鍵方式の検証値としてMAC(Message Authenticatio
n Code)(図59参照)がFRTに付加される。
【0638】(3)FRTのファイル登録チケットユー
ザ(FRT User)に対する供給 パーティションマネージャの管理するファイル登録チケ
ット発行手段(FRTTicket Issuer)により発行され
たファイル登録チケット(FRT)は、ファイル登録チ
ケットユーザ(FRT User)すなわち、デバイスに対
してチケットを送信する機器(ex.デバイスアクセス
機器としてのリーダライタ)に対して送信される。
【0639】(4)ファイル登録チケット発行手段とデ
バイス間の相互認証 パーティションマネージャ(具体的にはファイル登録チ
ケットユーザ(FRTUser)であるデバイスアクセス機
器としてのリーダライタ)は、ファイル登録チケット発
行手段(FRT Ticket Issuer)の発行したファイル登
録チケット(FRT)に従ったファイルを生成しようと
する対象のデバイスに対し、チケットユーザ(FRT U
ser)の公開鍵証明書(Cert.FRT User)をデバ
イスに送信し、公開鍵方式の相互認証(図50参照)を
実行する。
【0640】(5)FRTのデバイスに対する供給 パーティションマネージャ(PM)とデバイス間の相互
認証が成立すると、パーティションマネージャ(PM)
(具体的にはファイル登録チケットユーザ(FRT Use
r)であるデバイスアクセス機器としてのリーダライ
タ)は、デバイスに対してファイル登録チケット(FR
T)を送信する。デバイスは、受信したファイル登録チ
ケット(FRT)についてMAC検証処理を実行し、F
RT発行者(FRT Issuer)の検証、さらに、FRTチケ
ットに格納されたFRTユーザ(チケットユーザである
デバイスアクセス機器としてのリーダライタ)と受信し
たパーティションマネージャの公開鍵証明書の識別デー
タ(DN)として記録された識別子またはカテゴリまた
はシリアル(SN)名(DN)の一致を確認し相互認証
済みであることを確認することによりFRTユーザ(P
M:デバイスアクセス機器としてのリーダライタ)の検
証(図57、図58参照)を実行する。
【0641】(6)FDBにSPTICおよびKspt
を登録 デバイスは、ファイル定義ブロック(FDB:File Def
inition Block)にサービス許可チケット(SPT)発
行者カテゴリ(SPTIC)(ex.デバイスのファイ
ル内のデータにアクセスを実行するデバイスアクセス機
器としてのリーダライタ)とKspt(サービス許可チケッ
ト(SPT)のMAC検証用鍵(Kspt))を登録する(図
73のフローにおけるステップS827,S828)。
【0642】(8)ファイルデータ領域の確保 デバイスは、処理対象パーティションにファイル登録チ
ケット(FRT)に記述されたサイズを持つファイル領
域を確保する。
【0643】以上の処理によって、相互認証(公開
鍵)、チケット(FRT)検証(共通鍵)の各方式に従
ったファイルの生成処理が実行される。
【0644】(C)相互認証(共通鍵)、チケット(F
RT)検証(共通鍵) 次に、相互認証処理に共通鍵方式を適用し、チケット
(FRT)検証に共通鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図77を用いて説明す
る。
【0645】図に示す番号順に各エンティテイ間でデー
タ転送が実行される。以下、各番号に従って処理を説明
する。
【0646】(1)ファイル登録チケット(FRT)の
生成処理 ファイル登録チケット(FRT)は、パーティションマ
ネージャの管理するファイル登録チケット発行手段(F
RT Ticket Issuer)により生成される。この場合、共
通鍵方式の検証値としてMAC(Message Authenticatio
n Code)(図59参照)がFRTに付加される。
【0647】(2)FRTのファイル登録チケットユー
ザ(FRT User)に対する供給 パーティションマネージャの管理するファイル登録チケ
ット発行手段(FRTTicket Issuer)により発行され
たファイル登録チケット(FRT)は、ファイル登録チ
ケットユーザ(FRT User)すなわち、デバイスに対
してチケットを送信する機器(ex.デバイスアクセス
機器としてのリーダライタ)に対して送信される。
【0648】(3)ファイル登録チケット発行手段とデ
バイス間の相互認証 パーティションマネージャ(具体的にはファイル登録チ
ケットユーザ(FRTUser)であるデバイスアクセス機
器としてのリーダライタ)は、ファイル登録チケット発
行手段(FRT Ticket Issuer)の発行したファイル登
録チケット(FRT)に従ったファイルを生成しようと
する対象のデバイスとの間で、共通鍵方式の相互認証
(図53、図54参照)を実行する。
【0649】(4)FRTのデバイスに対する供給 パーティションマネージャ(PM)とデバイス間の相互
認証が成立すると、パーティションマネージャ(PM)
(具体的にはファイル登録チケットユーザ(FRT Use
r)であるデバイスアクセス機器としてのリーダライ
タ)は、デバイスに対してファイル登録チケット(FR
T)を送信する。デバイスは、受信したファイル登録チ
ケット(FRT)についてMAC検証処理を実行し、F
RT発行者(FRT Issuer)の検証、さらに、FRTチケ
ットに格納されたFRTユーザ(チケットユーザである
デバイスアクセス機器としてのリーダライタ)と受信し
たパーティションマネージャの識別子の一致を確認し相
互認証済みであることを確認することによりFRTユー
ザ(PM:デバイスアクセス機器としてのリーダライ
タ)の検証(図57、図58参照)を実行する。
【0650】(6)FDBにSPTICおよびKspt
を登録 デバイスは、ファイル定義ブロック(FDB:File Def
inition Block)にサービス許可チケット(SPT)発
行者カテゴリ(SPTIC)(ex.デバイスのファイ
ル内のデータにアクセスを実行するデバイスアクセス機
器としてのリーダライタ)とKspt(サービス許可チケッ
ト(SPT)のMAC検証用鍵(Kspt))を登録する(図
73のフローにおけるステップS827,S828)。
【0651】(8)ファイルデータ領域の確保 デバイスは、処理対象パーティションにファイル登録チ
ケット(FRT)に記述されたサイズを持つファイル領
域を確保する。
【0652】以上の処理によって、相互認証(共通
鍵)、チケット(FRT)検証(共通鍵)の各方式に従
ったファイルの生成処理が実行される。
【0653】(D)相互認証(共通鍵)、チケット(F
RT)検証(公開鍵) 次に、相互認証処理に共通鍵方式を適用し、チケット
(FRT)検証に公開鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図78を用いて説明す
る。
【0654】図に示す番号順に各エンティテイ間でデー
タ転送が実行される。以下、各番号に従って処理を説明
する。 (1)ファイル登録チケット発行手段(FRT Issue
r)の公開鍵証明書(Cert.FRT Issuer)の発
行、 ファイル登録チケット発行手段(FRT Issuer)の公
開鍵証明書(Cert.FRT Issuer)は、ファイル
登録チケット発行手段(FRT Issuer)からの発行要
求により、登録局(RA)を介した証明書発行手続きに
よってパーティション対応認証局(CA(PAR))か
ら発行される。なお、パーティションマネージャがファ
イル登録チケット発行手段(FRT Issuer)を兼ねる
構成も可能であり、その場合は、ファイル登録チケット
発行手段(FRT Issuer)の公開鍵証明書としてパー
ティションマネージャ(PM)の公開鍵証明書を使用可
能である。
【0655】(2)ファイル登録チケット(FRT)の
生成処理 ファイル登録チケット(FRT)は、パーティションマ
ネージャの管理するファイル登録チケット発行手段(F
RT Ticket Issuer)により生成される。この場合、公
開鍵方式の署名生成、検証を実行するため、ファイル登
録チケット発行手段(FRT Ticket Issuer)の秘密鍵
による署名(Signature)が生成(図12参照)されてF
RTに付加される。
【0656】(3)FRTおよびファイル登録チケット
発行手段(FRT Ticket Issuer)公開鍵証明書(Ce
rt.FRT Issuer)のファイル登録チケットユーザ
(FRT User)に対する供給 パーティションマネージャの管理するファイル登録チケ
ット発行手段(FRTTicket Issuer)により発行され
たファイル登録チケット(FRT)は、ファイル登録チ
ケット発行手段(FRT Ticket Issuer)公開鍵証明書
(Cert.FRT Issuer)とともにファイル登録チ
ケットユーザ(FRT User)すなわち、デバイスに対
してチケットを送信する機器(ex.デバイスアクセス
機器としてのリーダライタ)に対して送信される。
【0657】(4)ファイル登録チケット発行手段とデ
バイス間の相互認証 パーティションマネージャ(具体的にはファイル登録チ
ケットユーザ(FRTUser)であるデバイスアクセス機
器としてのリーダライタ)は、ファイル登録チケット発
行手段(FRT Ticket Issuer)の発行したファイル登
録チケット(FRT)に従ったファイルを生成しようと
する対象のデバイスとの間で、共通鍵方式の相互認証
(図53、図54参照)を実行する。
【0658】(5)FRTおよびファイル登録チケット
発行手段(FRT Ticket Issuer)公開鍵証明書(Ce
rt.FRT Issuer)のデバイスに対する供給 パーティションマネージャ(PM)とデバイス間の相互
認証が成立すると、パーティションマネージャ(PM)
(具体的にはファイル登録チケットユーザ(FRT Use
r)であるデバイスアクセス機器としてのリーダライ
タ)は、デバイスに対してファイル登録チケット(FR
T)、およびファイル登録チケット発行手段(FRT T
icket Issuer)公開鍵証明書(Cert.FRT Issue
r)を送信する。
【0659】デバイスは、受信したファイル登録チケッ
ト(FRT)について、(1)チケット発行者(Ticket
Issuer)の公開鍵証明書(CERT FRT Issuer)が改
竄されたものでない正当な公開鍵証明書(CERT)で
あること、(2)チケット発行者(Ticket Issuer)の
公開鍵証明書(CERTFRT Issuer)のオプション領域
に記録されたコードと、、デバイス内のPKDB(Part
ition Key DefinitionBlock)(PUB)に記録されたチケッ
ト発行手段コード(FRTIC:FRT Issuer Category)の一
致、(3)チケット発行手段(Ticket Issuer)がリボ
ークされていないこと、(4)受信チケット(FRT)
の署名(Signature)の検証によりチケットが改竄のな
いことの確認を実行し、さらに、FRTチケットに格納
されたFRTユーザ(チケットユーザであるデバイスア
クセス機器としてのリーダライタ)とチケットユーザ
(FRT User)の識別子の一致を確認し、相互認証済
みであることを確認することによりFRTユーザ(デバ
イスアクセス機器としてのリーダライタ)の検証(図5
7、図58参照)を実行する。
【0660】(6)FDBにSPTICおよびKspt
を登録 デバイスは、ファイル定義ブロック(FDB:File Def
inition Block)にサービス許可チケット(SPT)発
行者カテゴリ(SPTIC)(ex.デバイスのファイ
ル内のデータにアクセスを実行するデバイスアクセス機
器としてのリーダライタ)とKspt(サービス許可チケッ
ト(SPT)のMAC検証用鍵(Kspt))を登録する(図
73のフローにおけるステップS827,S828)。
【0661】(7)ファイルデータ領域の確保 デバイスは、処理対象パーティションにファイル登録チ
ケット(FRT)に記述されたサイズを持つファイル領
域を確保する。
【0662】以上の処理によって、相互認証(共通
鍵)、チケット(FRT)検証(公開鍵)の各方式に従
ったファイルの生成処理が実行される。
【0663】[B4.6.サービス許可チケット(SP
T)を利用したサービス(ファイルアクセス)処理]次
に、サービス許可チケット(SRT)(図28、図31
参照)を利用したファイルアクセス処理について説明す
る。図79以下のフロー他の図面を参照して説明する。
なお、ファイルアクセス処理には、デバイスとファイル
アクセス装置間における相互認証処理(デバイス認証ま
たはパーティション認証)、サービス許可チケット(S
PT:Service Parmission Ticket)の正当性検証処理
が含まれる。
【0664】図79のフローにおいて、左側がファイル
アクセス装置、右側がデバイス(図5参照)の処理を示
す。なお、ファイルアクセス装置は、パーティションマ
ネージャの管理装置であり、デバイスに対するデータ読
み取り書き込み処理可能な装置(ex.デバイスアクセ
ス機器としてのリーダライタ、PC)であり、図10の
デバイスアクセス機器としてのリーダライタに相当す
る。まず、図79を用いて、ファイルアクセス装置によ
るファイルアクセス処理の概要を説明し、その後、当処
理に含まれる各処理の詳細を図80以下のフローを用い
て順次説明する。
【0665】まず、図79のステップS851とS86
0において、ファイルアクセス装置とデバイス間にでの
相互認証処理が実行される。データ送受信を実行する2
つの手段間では、相互に相手が正しいデータ通信者であ
るか否かを確認して、その後に必要なデータ転送を行な
うことが行われる。相手が正しいデータ通信者であるか
否かの確認処理が相互認証処理である。相互認証処理時
にセッション鍵の生成を実行して、生成したセッション
鍵を共有鍵として暗号化処理を実行してデータ送信を行
なう。
【0666】相互認証処理については、先のパーティシ
ョン生成、削除処理の欄で説明したと同様の処理であ
り、パーティション認証が実行される。それぞれについ
て共通鍵方式認証、あるいは公開鍵方式認証処理のいず
れかが適用される。この相互認証処理は、前述の図48
〜図56を用いて説明したと同様の処理であるので説明
を省略する。
【0667】なお、相互認証処理として実行すべき処理
は、適用するサービス許可チケット(SPT)(図2
8、図31参照)の * Authentication Flag :チケット(Ticket)の利用処
理においてデバイス(Device)との相互認証が必要か否
かを示すフラグ * Authentication Type :デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any))によって決定される。
【0668】認証処理に失敗した場合(S852,S8
61でNo)は、相互が正当な機器、デバイスであるこ
との確認がとれないことを示し、以下の処理は実行され
ずエラーとして処理は終了する。
【0669】デバイスは、複数のサービス許可チケット
(SPT)に基づく複数の異なるパーティション内のフ
ァイルアクセスを許容する処理も可能である。例えば、
デバイス認証の成立を条件として、複数のサービス許可
チケット(SPT)に基づく複数の異なるパーティショ
ン内のファイルアクセスを許容することが可能である。
各パーティション毎のファイルアクセスルールは、アク
セス制御データとして構成されるサービス許可チケット
(SPT)に記述され、デバイスは、アクセス機器から
複数のサービス許可チケット(SPT)を受領し、各チ
ケットがデバイス認証を要求している場合は、記述に従
ってデバイス認証が成立したことを条件として各パーテ
ィション内のファイルアクセスを許容する。
【0670】また、デバイスは、複数のサービス許可チ
ケット(SPT)の各々が異なる認証条件を定めている
場合は、各サービス許可チケット(SPT)に設定され
たパーティション認証の認証成立を条件として、複数の
サービス許可チケット(SPT)の指定ファイルに対す
るアクセスを許容する。
【0671】次にステップS853において、ファイル
アクセス装置は、デバイスに対してサービス許可チケッ
ト(SPT:Service Parmission Ticket)を送信す
る。サービス許可チケット(SPT)は、パーティショ
ンマネージャの管理下のサービス許可チケット(SP
T)発行手段(SPT Issuer)により発行されるチケット
である。サービス許可チケット(SPT)は、デバイス
に対するアクセス制御チケットであり、先に説明した図
28、図31のデータフォーマット構成を持つチケット
である。
【0672】なお、サービス許可チケット(SPT)
を、チケットユーザに対して送信する際には、公開鍵方
式の場合、サービス許可チケット(SPT)発行手段
(SPT Issuer)の公開鍵証明書(CERT_SPTI)も一緒に
送信する。SPT発行手段の公開鍵証明書(CERT_SPT
I)の属性(Attribute)は、デバイス内のFDB(File
Definition Block)に記録されたチケット発行手段コ
ード(SPTIC)と一致する。
【0673】ファイル登録チケット(SPT)を受信
(S862)したデバイスは、受信したチケット(SR
T)の正当性と利用者チェック処理を実行(S863)
する。チケットの正当性の検証処理は、共通鍵方式によ
るMAC検証、あるいは公開鍵方式による署名検証処理
のいずれかを適用して実行される。利用者チェックは、
チケットを送信してきた機器(チケット利用者)の正当
性をチェックする処理であり、相互認証が成立済みであ
り、認証相手の識別データと、チケットに記録されてい
るチケットユーザ識別子(図28、図31参照)との一
致等を検証する処理として実行される。これらの処理
は、先のパーティション登録チケット(PRT)の適用
処理についての説明中、図57〜図59を用いて説明し
たと同様の処理であるので説明を省略する。
【0674】デバイスにおいて、受信チケット(SP
T)の正当性と利用者チェック処理の結果、チケットお
よび利用者の正当なことが確認できなかった場合(S8
64でNo)は、サービス許可チケット(SPT)受理
エラーをファイルアクセス装置に通知(S868)す
る。チケットおよび利用者の正当なことが確認できた場
合(S864でYes)は、受信したサービス許可チケ
ット(SPT)に記述されたルールに従いデバイス内の
メモリ部に格納されたファイルオープン処理が実行され
る。この処理の詳細については、別フローを用いて後段
で詳述する。
【0675】サービス許可チケット(SPT)の記述に
従って、ファイルのオープン処理に成功(S866でY
es)すると、SPT受理成功をファイルアクセス装置
に通知(S867)する。一方、ファイルのオープン処
理に失敗(S866でNo)した場合は、SPT受理エ
ラーをファイルアクセス装置に通知(S868)する。
【0676】ファイルアクセス装置は、SPT受理結果
を受信(S854)し、SPT処理結果を判定し、SP
T受理結果がエラーである場合(S855でNo)は、
エラーとして処理を終了し、SPT受理結果が成功(S
855でYes)である場合は、すべてのSPT送信が
終了したか否かを判定(S856)し、未送信SPTが
ある場合は、ステップS853以下を繰り返し実行す
る。
【0677】すべてのSPT送信が終了した場合は、ス
テップS857、S869においてサービス許可チケッ
ト(SPT)に従ったファイルアクセスを実行し、ファ
イルアクセス処理の終了の後、セッションクリアコマン
ドの送受信(S858,S870)を実行し、デバイス
側に生成した認証テーブルを破棄(S871)し、処理
を終了する。ファイルアクセス処理の詳細については、
別フローを用いて後段で詳述する。なお、認証テーブル
は、ステップS851,S860の相互認証処理におい
て生成されるテーブルであり、前述したパーティション
登録チケット(PRT)の適用処理の項目において説明
した構成、すなわち、図51の構成と同様のものであ
る。
【0678】このようにサービス許可チケット(SP
T)を利用して、デバイス内に設定されたパーティショ
ン内のファイルに対するアクセス処理が実行される。以
下、当処理に含まれるファイルオープン処理(S86
5)、各種ファイルアクセス処理(S857,S86
9)について説明する。
【0679】(ファイルオープン処理)図80のフロー
に従って、ファイルオープン処理(図79、S865)
について説明する。ファイルオープン処理は、デバイス
が受信したサービス許可チケット(SPT)に従って実
行する処理である。
【0680】ステップS881において、デバイスは、
受信したサービス許可チケット(SPT)に指定された
ファイルがデバイス内に生成されて存在しているか否か
を判定する。サービス許可チケット(SPT)には処理
対象ファイルのファイルIDが記録(図28、図31参
照)されており、同一のIDを持つファイルの有無を例
えばファイル定義ブロック(図24)を参照して判定す
る。チケットに記述されたIDと同一IDのファイルが
存在しない場合は、処理が不可能であるのでエラー終了
する。
【0681】チケットに記述されたIDと同一IDのフ
ァイルが存在する場合は、ステップS882において、
ファイルオープンテーブルにサービス許可チケット(S
PT)に記述されたチケット発行手段(Ticket issuer
=PMC:Partition managerCode)と、サービス許可チ
ケット(SPT)に記述されたファイルIDとを対応付
けたエントリを書き込む。
【0682】さらに、ステップS883において、ファ
イルオープンテーブルに生成したエントリに対応付けて
サービス許可チケット(SPT)に記述されたファイル
アクセスモード[File Access Mode :アクセスを許諾す
るファイル(File)へのアクセスモード(Access Mod
e)]を書き込み、ステップS884において、サービ
ス許可チケット(SPT)に記述されたアクセス許可グ
ループファイル[Groupof Target File :アクセスを許
すファイル(File)のグループ(Group)]を書き込
み、ステップS885において、サービス許可チケット
(SPT)に記述されたアクセス許可ファイル識別子
[Target File ID :アクセスを許すファイル(File)の
識別子(ID)]の書き込み、さらにステップS886
において、サービス許可チケット(SPT)に記述され
たターゲットファイル(Target File))に対する処理
態様データ[Read/Write Permission : アクセスを許す
ファイル(File)(ターゲットファイル(Target Fil
e))に対する処理態様(読み出し(Read),書き込み
(Write)の許可)]の書き込み処理を行なう。なお、
ターゲットファイルに対する処理としては、読み出し
(Read),書き込み(Write)に限らず、様々な処理を設
定可能である。
【0683】ファイルオープンテーブルの構成例を図8
1、図82に示す。ファイルオープンテーブルは、デバ
イスにおいてアクセス処理状態にあるファイルおよびア
クセスモード他の情報を記録したテーブルであり、デバ
イスが受信したサービス許可チケット(SPT)の記述
情報を記録してデバイスの記憶手段に格納する。
【0684】チケットが唯一のファイルに対してのみア
クセスを許可する形式のサービス許可チケット(図28
参照)である場合は、ファイルオープンテーブルは、 *Ticket Issuer :チケット発行手段(Ticket Issuer)
の識別子 * File ID :パーティション内のアクセスファイル(Fil
e)の識別子(ID) * File Access Mode :アクセスを許諾するファイル(Fi
le)へのアクセスモード(Access Mode) の情報を格納する。この場合のファイルオープンテーブ
ルの構成例を図81に示す。
【0685】図81に示すように、ファイルオープンテ
ーブルにはグループ情報であるTicket Issuer :チケッ
ト発行手段(Ticket Issuer)の識別子として、パーテ
ィションマネージャコード(PMC)が記述され、パー
ティションが判別され、ファイルIDによりファイルが
識別され、ファイルアクセスモードにより実行可能なア
クセス態様(ex.読み取り(READ)、書き込み
(Write)、暗号化復号化(Enc,Dec))が
判定可能となる。
【0686】また、サービス許可チケット(SPT)が
パーティションに設定されたファイル中の複数ファイル
に対してアクセスを許可する形式のサービス許可チケッ
ト(図31参照)の場合は、上記情報に加えて * Group of Target File :アクセスを許すファイル(Fi
le)のグループ(Group) * Target File ID :アクセスを許すファイル(File)の
識別子(ID) * Read/Write Permission : アクセスを許すファイル
(File)(ターゲットファイル(Target File))に対
する処理態様(読み出し(Read),書き込み(Write))
の許可 の各情報がテーブルに書き込まれる。この場合のファイ
ルオープンテーブルの構成例を図82に示す。
【0687】図82に示すように、複数ファイルに対し
てアクセスを許可する形式のサービス許可チケットに対
応して設定されるファイルオープンテーブルには、図8
1に示すデータの他に、アクセスを許すターゲットファ
イル(File)のグループとしてのパーティション識別デ
ータとしてのパーティションマネージャコード(PM
C)と、アクセスを許すターゲットファイル(File)の
識別子(ID)としてのファイルIDと、ターゲットフ
ァイル(Target File))に対する処理態様を示す[Rea
d/Write Permission]データが格納され、複数ファイル
に対する実行可能な処理が判定可能となる。
【0688】複数のファイルに対してアクセスを実行す
る処理とは、例えばファイルAに格納された鍵を用い
て、ファイルBに格納されたデータを暗号化する処理を
実行する場合などである。このためには、ファイルBは
ファイルAの読み出し要求に対して許可を与える必要が
ある。この場合、ファイルBのことをソースファイル、
許可を与える相手のファイルのことをターゲットファイ
ルと呼ぶ。
【0689】このように、デバイスは、アクセス機器と
のセッション中に受領したサービス許可チケット(SP
T)に基づいて、チケット発行手段(Ticket Issuer(PM
C))としてのパーティションマネージャコード(PM
C)、ファイルオープン処理を実行したファイルの識別
データとしてのファイル識別子と、サービス許可チケッ
ト(SPT)に記述されたアクセスモードを対応付けた
ファイルオープンテーブルを生成し、該ファイルオープ
ンテーブルを参照して前記アクセス機器からの受領コマ
ンドの実行の可否の判定が可能となる。
【0690】(ファイルアクセス処理)次に、図79の
ステップS857、S869において実行されるファイ
ルアクセス処理の詳細について説明する。
【0691】まず、図81に示すファイルオープンテー
ブルが生成された場合のアクセス処理について、図83
を用いて説明する。図の左側に2つのファイルアクセス
装置(R/W:デバイスアクセス機器としてのリーダラ
イタ)750、760を示し、右側にファイルの生成さ
れたデバイス100のパーティション部分を示す。
【0692】ファイルアクセス装置(R/W:リーダラ
イタ)750は、デバイスとの相互認証の後、 ファイルID:[0x0002] ファイルアクセスモード:[読み取り:Read] のアクセス許可チケットをデバイス100に送信し、チ
ケットの正当性検証、チケット発行者、利用者検証に成
功したとする。
【0693】このとき、デバイスには図81に示すファ
イルオープンテーブルの第2行のエントリが生成され
る。このエントリは、パーティションマネージャコード
(PMC1)で識別されるパーティション内のファイル
ID[0x0002]に対してアクセスモード[読み取
り:Read]の処理が実行可能であることを示してい
る。
【0694】このとき、ファイルアクセス装置(R/
W:リーダライタ)750は、コマンドを生成してデバ
イスに対して送信する。例えばファイルID[0x00
02]のデータ読み取りコマンド:Read Comm
and(0x0002)をデバイスが受信すると、デバ
イスはファイルオープンテーブルのエントリを確認し、
ファイルID[0x0002]に対してアクセスモード
[読み取り:Read]の処理が実行可能であることを
確認し、読み取り処理を実行する。
【0695】また、ファイルアクセス装置(R/W:リ
ーダライタ)750が、例えばファイルID[0x00
02]のデータ書き込みコマンド:Write Com
mand(0x0002)、あるいはファイルID[0
x0001]のデータの暗号化処理コマンド:Encr
yption Command(0x0001)をデバ
イスに送信した場合は、コマンドを受信したデバイスは
ファイルオープンテーブルのエントリを確認し、ファイ
ルID[0x0002]に対する[書き込み:Writ
e]の処理、および、ファイルID[0x0001]の
[暗号化処理]が、ファイルアクセス装置(R/W:リ
ーダライタ)750から受領したサービス許可チケット
(SPT)によって許可されていないことを確認し、処
理を停止する。
【0696】また、ファイルアクセス装置(R/W:リ
ーダライタ)760は、デバイスとの相互認証の後、 ファイルID:[0x0001] ファイルアクセスモード:[暗号化復号化処理:Enc
&Dec] のアクセス許可チケットをデバイス100に送信し、チ
ケットの正当性検証、チケット発行者、利用者検証に成
功したとする。
【0697】このとき、デバイスには図81に示すファ
イルオープンテーブルの第1行のエントリが生成され
る。このエントリは、パーティションマネージャコード
(PMC1)で識別されるパーティション内のファイル
ID[0x0001]に対してアクセスモード[暗号化
復号化処理:Enc&Dec]の処理が実行可能である
ことを示している。
【0698】このとき、ファイルアクセス装置(R/
W:リーダライタ)760は、コマンドを生成してデバ
イスに対して送信する。例えばファイルID[0x00
01]の暗号化コマンド[Encryption Co
mmand(0x0001)]をデバイスが受信する
と、デバイスはファイルオープンテーブルのエントリを
確認し、ファイルID:0x0001に対してアクセス
モード[暗号化復号化処理:Enc&Dec]の処理が
実行可能であることを確認し、暗号化処理を実行する。
【0699】また、ファイルアクセス装置(R/W:リ
ーダライタ)760が、例えばファイルID[0x00
02]のデータ読み取りコマンド:Read Comm
and(0x0002)をデバイスに送信した場合は、
コマンドを受信したデバイスはファイルオープンテーブ
ルのエントリを確認し、ファイルID[0x0002]
に対する[読み取り:Read]の処理が、ファイルア
クセス装置(R/W:リーダライタ)760から受領し
たサービス許可チケット(SPT)によって許可されて
いないことを確認し、処理を停止する。
【0700】このように、サービス許可チケットユーザ
であるデバイスアクセス機器としてのリーダライタから
デバイスが受信したサービス許可チケット(SPT)に
基づいて、デバイスは、前述の図80の処理フローに従
ってファイルオープンテーブルを生成し、生成したファ
イルオープンテーブルに基づいてファイルアクセス装置
であるリーダライタからの各コマンドの実行可否を決定
し、決定に従って処理を実行する。
【0701】次に、2つのファイルに対する処理を実行
する場合のアクセス処理について、図84を用いて説明
する。図の左側に2つのファイルアクセス装置(R/
W:リーダライタ)770、780を示し、右側にファ
イルの生成されたデバイス100のパーティション部分
を示す。
【0702】まず、ターゲットファイルを指定したサー
ビス許可チケット(SPT)(図31参照)を使用した
処理の実行例を説明する。
【0703】ファイルアクセス装置(R/W:リーダラ
イタ)770は、デバイスとの相互認証の後、 SPTフォーマット1 ファイルID:[0x0001] ファイルアクセスモード:[暗号化復号化処理:Enc
&Dec] および、SPTフォーマット2 ファイルID:[0x0002] ターゲットファイル・グループ:[PMC1] ターゲットファイルID:[0x0001] 読書き許可:[読み取り:Read] の2つのアクセス許可チケットをデバイス100に送信
し、チケットの正当性検証、チケット発行者、利用者検
証に成功したとする。
【0704】このとき、デバイスには図82に示すファ
イルオープンテーブルのエントリが生成される。このエ
ントリは、パーティションマネージャコード(PMC
1)で識別されるパーティション内のファイルID[0
x0001]は、鍵のファイルであり、暗号化、復号化
が可能になるようにオープンされる。ファイルID[0
x0002]は、データのファイルであり、外部からの
読み出しはファイルアクセスモード(File Access Mod
e)の欄が空白のため不可能であり、ファイルID[0
x0001]に対して[読み取り:Read]を実行可
能とする目的のためにオープンされて、ファイルオープ
ンテーブルのエントリとして設定されていることを示し
ている。
【0705】このとき、ファイルアクセス装置(R/
W:リーダライタ)770は、コマンドを生成してデバ
イスに対して送信する。例えばファイルID[0x00
02]の読み取り、ファイルID[0x0001]によ
る内部暗号化コマンド:Internal Encry
ption Command(0x0001,0x00
02)を送信し、デバイスがコマンドを受信すると、デ
バイスはファイルオープンテーブルのエントリを確認
し、ファイルID[0x0002]に対して、ターゲッ
トファイルグループ[PMC1]、ターゲットファイル
[0x0001]の[暗号化処理]に対して[読み取
り:Read]を実行可能であることを判定し、ファイ
ルID[0x00002]のデータを読み取り、ファイ
ルID[0x00001]の鍵(key)による暗号化
を実行して暗号化データをアクセス装置に送信する。
【0706】このターゲットファイルを指定したサービ
ス許可チケット(SPT)(図31参照)を使用した処
理によればあるファイルから読み出したデータを他のフ
ァイルに格納された暗号化鍵を用いて暗号化したデータ
を取得する処理が可能となり、復号データが外部に漏れ
るおそれがない。
【0707】次に、ターゲットファイルを指定したサー
ビス許可チケット(SPT)(図31参照)ではなく、
唯一のファイルに対する処理を指定したサービス許可チ
ケット(SPT)(図28参照)を複数用いた場合の処
理について説明する。
【0708】ファイルアクセス装置(R/W:リーダラ
イタ)780は、デバイスとの相互認証の後、SPTフ
ォーマット1として、 ファイルID:[0x0002] ファイルアクセスモード:[読み取り:Read] またSPTフォーマット2として、 ファイルID:[0x0001] ファイルアクセスモード:[暗号化復号化処理:Enc
&Dec] の2つのアクセスチケットをデバイス100に送信し、
チケットの正当性検証、チケット発行者、利用者検証に
成功したとする。
【0709】このとき、デバイスには図81に示すファ
イルオープンテーブルの第1行および第2行の各エント
リが生成される。このエントリは、パーティションマネ
ージャコード(PMC1)で識別されるパーティション
内のファイルID[0x0001]に対してアクセスモ
ード[暗号化復号化処理:Enc&Dec]の処理が実
行可能であり、パーティションマネージャコード(PM
C1)で識別されるパーティション内のファイルID:
0x0002に対してアクセスモード[読み取り:Re
ad]の処理が実行可能であることを示している。
【0710】このとき、ファイルアクセス装置(R/
W:リーダライタ)780は、コマンドを生成してデバ
イスに対して送信する。まず、ファイルID:[0x0
002]のデータ読み取りコマンド:Read Com
mand(0x0002)をデバイスが受信すると、デ
バイスはファイルオープンテーブルのエントリを確認
し、ファイルID:0x0002に対してアクセスモー
ド[読み取り:Read]の処理が実行可能であること
を確認し、読み取り処理を実行し、ファイルアクセス装
置に読み取りデータを送信する。
【0711】次に、ファイルアクセス装置(R/W:リ
ーダライタ)780は、さらにコマンドを生成してデバ
イスに対して送信する。ファイルID[0x0001]
によるデータ(Data)の暗号化コマンド[Encr
yption Command(0x0001,Dat
a)]をデバイスが受信すると、デバイスはファイルオ
ープンテーブルのエントリを確認し、ファイルID[0
x0001]に対してアクセスモード[暗号化復号化処
理:Enc&Dec]の処理が実行可能であることを確
認し、暗号化処理を実行し暗号化データ[Encryp
tion Data]をファイルアクセス装置(R/
W:リーダライタ)780に送信する。
【0712】このように、ターゲットファイルを指定し
たサービス許可チケット(SPT)(図31参照)では
なく、唯一のファイルに対する処理を指定したサービス
許可チケット(SPT)(図28参照)を複数用いた場
合は、暗号化対象データの読み出し処理が実行され、フ
ァイルアクセス装置780とデバイス間におけるデータ
転送処理の回数が増加することになる。また、データが
暗号化されずにデバイスの外に読み出されてしまう。
【0713】一方、サービス許可チケット(SPT)
(図31参照)に、アクセス対象とした複数のデータフ
ァイルを識別する複数のファイル識別子を含ませ、該複
数のファイル識別子中、一方はターゲットファイル識別
子として設定するとともにターゲットファイルに対する
読み取りまたは書き込み許可データを格納し、他方のデ
ータファイルのアクセスモードとして該データファイル
に格納した暗号鍵を用いた暗号化処理を設定した構成と
すれば、メモリ搭載デバイスは、アクセス機器からサー
ビス許可チケット(SPT)を受領して、指定アクセス
モードに従った処理として、ターゲットファイルの読み
取りおよび暗号鍵による暗号化処理を実行することにな
り、メモリ搭載デバイス内における内部暗号化処理を実
行することが可能となる。また、データが暗号化されず
にデバイスの外に流出することを防止することができ
る。
【0714】サービス許可チケット(SPT)を発行す
るチケット発行手段は、メモリ搭載デバイスのメモリ領
域を管理するエンティテイであるパーティションマネー
ジャの管理下にあるチケット発行手段であり、各アクセ
ス機器に応じて各種のアクセスモードを設定したサービ
ス許可チケット(SPT)を個別に発行することによ
り、各アクセス機器に応じて異なる態様のアクセスを実
行可能とした構成が実現される。
【0715】(セッション鍵の使用態様)なお、ファイ
ルアクセス装置とデバイス間において送受信されるデー
タは、デバイスのユーザ情報、あるいは金額情報など外
部に対する漏洩を防止すべきデータであることが多い。
従ってファイルアクセス装置とデバイス間において送受
信されるデータは、暗号化処理を実行し、また改竄チェ
ック値としてのMAC(Message Authentication Cod
e)を付加したデータとするのが望ましい。
【0716】データの暗号化には、ファイルアクセス装
置とデバイス間において実行される相互認証処理におい
て生成されるセッション鍵を用いることが可能である。
前述したように相互認証には、デバイスに対するデバイ
ス認証、各パーティションに対する認証としてのパーテ
ィション認証がある。パーティションに生成済みのファ
イルに対するアクセスを実行する場合、データ転送の際
に適用する暗号化鍵としていずれを適用するかはいくつ
かの選択肢がある。
【0717】例えば図85に示すように、デバイス10
0とアクセス装置800との間において、デバイス認証
によって生成されたセッション鍵Kses1、パーティ
ションマネージャコード(PMC1)に対応するパーテ
ィションとのパーティション認証によって生成されたセ
ッション鍵Kses2、パーティションマネージャコー
ド(PMC2)に対応するパーティションとのパーティ
ション認証によって生成されたセッション鍵Kses3
がある場合がある。
【0718】これらは、相互認証の際に生成される認証
テーブル(図51、図52参照)にセッションクリアま
で格納される。
【0719】デバイスとデバイスとの通信を実行するデ
バイスアクセス機器としてのリーダライタ(PC他の通
信装置)は、これら複数のセッション鍵のいずれを適用
して暗号化通信を実行するかを、ルールとして予め取り
決めておき、決定されたルールに従ってセッション鍵を
適用する構成が可能である。
【0720】複数の異なるパーティション内のファイル
アクセスを、複数の異なるパーティション各々に対応し
て設定された認証条件であるパーティション認証または
デバイス認証のすべての認証成立を条件として許容する
場合、複数の認証処理の結果、取得された複数のセッシ
ョン鍵に基づいて唯一の統合セッション鍵を生成し、該
統合セッション鍵に基づいてアクセス機器との通信デー
タの暗号処理を実行する。
【0721】統合セッション鍵生成手法としての1つの
方法は、デバイスとデバイスとの通信を実行するデバイ
スアクセス機器としてのリーダライタ(PC他の通信装
置)間における相互認証処理によって複数のセッション
鍵Kses1〜KsesNが生成された場合、これら複
数のセッション鍵Kses1〜KsesNの排他論理和
処理(ex.8バイト処理)を実行し演算結果を通信デ
ータの暗号化用セッション鍵とする方法である。すなわ
ち、 Kses=Kses1 XOR Kses2 XOR Kses3… XOR:排他論理和処理(ex.8バイト処理) によって算出されたKsesをセッション鍵として用い
る。
【0722】デバイスとデバイスとの通信を実行するデ
バイスアクセス機器としてのリーダライタ(PC他の通
信装置)間では、双方の認証テーブルに格納されたセッ
ション鍵を排他論理和演算しその出力値をセッション鍵
として使用するというルールを定め、該ルールに基づい
てセッション鍵を算出して通信データの暗号化に用いる
構成とする。また、同様にして、相互認証時に同時に共
有した別のセッション鍵、例えば公開鍵認証時において
生成したセッション鍵、あるいはセッション鍵生成デー
タ、例えばY座標の下位64ビットを用いてセッション
中の通信データにMAC値を付加することができる。こ
のMAC値を通信データ(暗号化データである場合もあ
る)とともに送信し、受信側でMAC検証処理を行なう
ことで、通信路上のデータ改竄を防止することが可能と
なる。MAC生成、検証処理については先に説明した図
59を参照されたい。
【0723】あるいは、デバイスとデバイスとの通信を
実行するデバイスアクセス機器としてのリーダライタ
(PC他の通信装置)間における相互認証処理によって
取得された複数のセッション鍵Kses1〜KsesN
の中で、いずれかの1つの鍵(ex.最新のセッション
鍵)を選択してその後の通信処理におけるデータ暗号化
鍵として適用するというルールを設定し、該ルールに従
って、セッション鍵を選択して通信データの暗号化に用
いる構成としてもよい。
【0724】なお、上述した複数のセッション鍵の演算
による算出、あるいは選択処理は、ファイルアクセス装
置とデバイス間の暗号化通信のみならず、すべてのチケ
ット(PRT,FRT,SPT,DUT)ユーザ(デバ
イスアクセス機器としてのリーダライタなどのデバイス
とのデータ通信を実行する機器)とデバイス間の暗号化
通信処理において、相互認証により複数のセッション鍵
が生成された場合に適用できる。各チケットユーザとデ
バイス相互において、どのようなルールに従って、適用
するセッション鍵を複数のセッション鍵から算出するか
または選択するかについては予めルールとして取り決
め、相互にルールを確認した後実行するか、あるいは各
チケットにルールを記録しておくなどの措置が採用可能
である。
【0725】次に、図86、図87を用いてファイルア
クセス装置によるデバイスに対するアクセス処理(図7
9の処理フローにおけるステップS857,869)手
順の代表的例について説明する。
【0726】図86を用いて1つのファイルのみに対し
てアクセスを実行する場合の処理(Normal)につ
いて説明し、図87を用いて複数ファイルに対してアク
セスを行なう場合の処理(Combination)に
ついて説明する。
【0727】まず、図86の1つのファイルのみに対し
てアクセスを実行する場合の処理(Normal)につ
いて説明する。図86のフローにおいて、左側がファイ
ルアクセス装置、右側がデバイス(図5参照)の処理を
示す。なお、ファイルアクセス処理において、ファイル
アクセス装置とデバイス間におけるデータ転送の際に
は、相互認証処理において取得したセッション鍵Kse
s、あるいは複数のセッション鍵から演算マタは選択さ
れたセッション鍵を用いて暗号化され、また改竄チェッ
ク用のMACの生成、検証処理が実行される。
【0728】ファイルアクセス装置は、ステップS89
1において、アクセスコマンドをデバイスに送信する。
このコマンドは、アクセス対象のファイルID、アクセ
スモードを指定したコマンドであり、例えば先に図83
を用いて説明したようなファイルID[0x0002]
のデータ読み取りコマンド:Read Command
(0x0002)、あるいは、ファイルID[0x00
01]の暗号化コマンド[Encryption Co
mmand(0x0001)]などである。
【0729】デバイスは、ファイルアクセス装置からの
コマンドを受信(S901)すると、コマンドに含まれ
るファイルID、アクセスモードがファイルオープンテ
ーブルに許可されたエントリとして記録されているか否
かを判定(S902)する。ファイルオープンテーブル
にコマンドに対応するファイルID、アクセスモードの
エントリが存在しない場合は、コマンドに従った処理を
実行せず、アクセスエラーをファイルアクセス装置に送
信(S908)する。
【0730】ファイルオープンテーブルにコマンドに対
応するファイルID、アクセスモードのエントリが存在
した場合は、ステップS903において、デバイスのメ
モリ内の対応パーティションのファイル定義ブロック
(FDB)(図24参照)に記録されたファイルアクセ
ス認証方式(Acceptable Authentication Type :特定の
ファイル(File)アクセスを行う際に、指定する認証方
式)を参照し、アクセス対象のファイルに対するアクセ
スコマンドの実行に必要な認証レベル(公開鍵認証を必
要とするか)を確認する。
【0731】ステップS903において、ファイル定義
ブロック(FDB)のファイルアクセス認証方式(Acce
ptable Authentication Type)が公開鍵認証を必要とす
る設定である場合は、ステップS904において、アク
セスコマンドに必要な認証レベルの認証としての公開鍵
認証が済んでいるか否かを判定し、認証未了の場合は、
コマンドに従った処理を実行せず、アクセスエラーをフ
ァイルアクセス装置に送信(S908)する。認証の終
了または未了は、相互認証時に設定される認証テーブル
(図51参照)に基づいて判定される。
【0732】ステップS903において、ファイル定義
ブロック(FDB)のファイルアクセス認証方式(Acce
ptable Authentication Type)が公開鍵認証を必要とす
る設定であり、ステップS904において、公開鍵認証
が済んでいると判定された場合、あるいは、ファイル定
義ブロック(FDB)のファイルアクセス認証方式(Ac
ceptable Authentication Type)が公開鍵認証を必要と
しない設定である場合は、次に、ステップS905にお
いて、デバイスのメモリ内の対応パーティションのファ
イル定義ブロック(FDB)(図24参照)に記録され
たファイルアクセス検証方式(Acceptable Verificatio
n Type :特定のファイル(File)アクセスを行う際に、
指定する検証方式)を参照し、アクセス対象のファイル
に対するアクセスコマンドの実行に必要な検証レベル
(公開鍵方式の検証を必要とするか)を確認する。
【0733】ステップS905において、ファイル定義
ブロック(FDB)のファイルアクセス検証方式(Acce
ptable Verification Type)が公開鍵方式のチケット検
証を必要とする設定である場合は、ステップS906に
おいて、アクセスコマンドに必要な検証レベルの検証と
しての公開鍵方式のチケット検証が済んでいるか否かを
判定し、検証未了の場合は、コマンドに従った処理を実
行せず、アクセスエラーをファイルアクセス装置に送信
(S908)する。
【0734】ステップS905において、ファイル定義
ブロック(FDB)のファイルアクセス検証方式(Acce
ptable Verification Type)が公開鍵方式のチケット検
証を必要とする設定であり、ステップS906におい
て、公開鍵方式のチケット検証が済んでいると判定され
た場合、あるいは、ファイル定義ブロック(FDB)の
ファイルアクセス検証方式(Acceptable Verification
Type)が公開鍵方式のチケット検証を必要としない設定
である場合は、ステップS907において、ファイルア
クセス装置から受信したアクセスコマンドの処理を実行
し、結果をファイルアクセス装置に送信する。
【0735】アクセスコマンド結果を受信(S892)
したファイルアクセス装置は、さらに他のファイルアク
セスを実行するか否かを判定(S893)し、他のファ
イルアクセスを実行する場合は、ステップS891以下
を繰り返し実行し、他にファイルアクセスを実行しない
場合は処理を終了する。
【0736】次に、図87を用いて複数ファイルに対し
てアクセスを行なう場合の処理(Combinatio
n)について説明する。図87のフローにおいて、左側
がファイルアクセス装置、右側がデバイス(図5参照)
の処理を示す。なお、ファイルアクセス処理において、
ファイルアクセス装置とデバイス間におけるデータ転送
の際には、相互認証処理において取得したセッション鍵
Kses、あるいは複数のセッション鍵から演算または
選択されたセッション鍵を用いて暗号化され、また改竄
チェック用のMACの生成、検証処理が実行される。
【0737】ファイルアクセス装置は、ステップS91
1において、アクセスコマンドをデバイスに送信する。
このコマンドは、アクセス対象のファイルID(ソー
ス)、ターゲットファイルID、アクセスモードを指定
したコマンドであり、例えば先に図84を用いて説明し
たような、ソースファイルID[0x0002]に対し
て、ターゲットファイルID[0x0001]の鍵によ
る内部暗号化処理の実行を指定するコマンド[Inte
rnal Encryption Command(0x
0001,0x0002)]などである。
【0738】デバイスは、ファイルアクセス装置からの
コマンドを受信(S921)すると、ファイルオープン
テーブルのターゲットファイルIDのエントリにアクセ
スコマンドの許可があるか否かを判定(S922)す
る。ファイルオープンテーブルのターゲットファイルI
Dのエントリにアクセスコマンドの許可が存在しない場
合は、コマンドに従った処理を実行せず、アクセスエラ
ーをファイルアクセス装置に送信(S934)する。
【0739】ファイルオープンテーブルのターゲットフ
ァイルIDのエントリにアクセスコマンドの許可が存在
した場合は、ステップS923において、デバイスのメ
モリ内の対応パーティションのファイル定義ブロック
(FDB)(図24参照)に記録されたファイルアクセ
ス認証方式(Acceptable Authentication Type :特定の
ファイル(File)アクセスを行う際に、指定する認証方
式)を参照し、アクセス対象のターゲットファイルに対
するアクセスコマンドの実行に必要な認証レベル(公開
鍵認証を必要とするか)を確認する。
【0740】ステップS923において、アクセス対象
のターゲットファイルに対して設定されたファイル定義
ブロック(FDB)のファイルアクセス認証方式(Acce
ptable Authentication Type)が公開鍵認証を必要とす
る設定である場合は、ステップS924において、アク
セスコマンドに必要な認証レベルの認証としての公開鍵
認証が済んでいるか否かを判定し、認証未了の場合は、
コマンドに従った処理を実行せず、アクセスエラーをフ
ァイルアクセス装置に送信(S934)する。認証の終
了または未了は、相互認証時に設定される認証テーブル
(図51参照)に基づいて判定される。
【0741】ステップS923において、アクセス対象
のターゲットファイルに対して設定されたファイル定義
ブロック(FDB)のファイルアクセス認証方式(Acce
ptable Authentication Type)が公開鍵認証を必要とす
る設定であり、ステップS924において、公開鍵認証
が済んでいると判定された場合、あるいは、ファイル定
義ブロック(FDB)のファイルアクセス認証方式(Ac
ceptable Authentication Type)が公開鍵認証を必要と
しない設定である場合は、次に、ステップS925にお
いて、デバイスのメモリ内の対応パーティションのファ
イル定義ブロック(FDB)(図24参照)に記録され
たファイルアクセス検証方式(Acceptable Verificatio
n Type :特定のファイル(File)アクセスを行う際に、
指定する検証方式)を参照し、アクセス対象のターゲッ
トファイルに対するアクセスコマンドの実行に必要な検
証レベル(公開鍵方式の検証を必要とするか)を確認す
る。
【0742】ステップS925において、アクセス対象
のターゲットファイルに対して設定されたファイル定義
ブロック(FDB)のファイルアクセス検証方式(Acce
ptable Verification Type)が公開鍵方式のチケット検
証を必要とする設定である場合は、ステップS926に
おいて、アクセスコマンドに必要な検証レベルの検証と
しての公開鍵方式のチケット検証が済んでいるか否かを
判定し、検証未了の場合は、コマンドに従った処理を実
行せず、アクセスエラーをファイルアクセス装置に送信
(S934)する。
【0743】ステップS925において、アクセス対象
のターゲットファイルに対して設定されたファイル定義
ブロック(FDB)のファイルアクセス検証方式(Acce
ptable Verification Type)が公開鍵方式のチケット検
証を必要とする設定であり、ステップS926におい
て、公開鍵方式のチケット検証が済んでいると判定され
た場合、あるいは、ファイル定義ブロック(FDB)の
ファイルアクセス検証方式(Acceptable Verification
Type)が公開鍵方式のチケット検証を必要としない設定
である場合は、次に、ステップS927において、アク
セスコマンドに含まれるターゲットファイルIDによっ
て指定されるファイルのアクセス方法(Read/Write)を
コマンドに基づいて確認する。
【0744】デバイスは、ファイルアクセス装置からの
コマンドに含まれるソースファイルIDによって指定さ
れるファイルがアクセスコマンドに含まれるアクセス方
法(Read/Write)に対してオープンしているか否かを判
定(S928)する。ファイルオープンテーブルにコマ
ンド実行のためのアクセス方法(Read/Write)が存在し
ない場合は、コマンドに従った処理を実行せず、アクセ
スエラーをファイルアクセス装置に送信(S934)す
る。
【0745】ファイルオープンテーブルにコマンドに対
応するアクセス方法(Read/Write)が存在した場合は、
ステップS929において、デバイスのメモリ内の対応
パーティションのファイル定義ブロック(FDB)(図
24参照)に記録されたファイルアクセス認証方式(Ac
ceptable Authentication Type :特定のファイル(Fil
e)アクセスを行う際に、指定する認証方式)を参照
し、アクセス対象のソースファイルに対するアクセスコ
マンドの実行に必要な認証レベル(公開鍵認証を必要と
するか)を確認する。
【0746】ステップS929において、アクセス対象
のソースファイルに対して設定されたファイル定義ブロ
ック(FDB)のファイルアクセス認証方式(Acceptab
le Authentication Type)が公開鍵認証を必要とする設
定である場合は、ステップS930において、アクセス
コマンドに必要な認証レベルの認証としての公開鍵認証
が済んでいるか否かを判定し、認証未了の場合は、コマ
ンドに従った処理を実行せず、アクセスエラーをファイ
ルアクセス装置に送信(S934)する。認証の終了ま
たは未了は、相互認証時に設定される認証テーブル(図
51参照)に基づいて判定される。
【0747】ステップS929において、アクセス対象
のソースファイルに対して設定されたファイル定義ブロ
ック(FDB)のファイルアクセス認証方式(Acceptab
le Authentication Type)が公開鍵認証を必要とする設
定であり、ステップS930において、公開鍵認証が済
んでいると判定された場合、あるいは、ファイル定義ブ
ロック(FDB)のファイルアクセス認証方式(Accept
able AuthenticationType)が公開鍵認証を必要としな
い設定である場合は、次に、ステップS931におい
て、デバイスのメモリ内の対応パーティションのファイ
ル定義ブロック(FDB)(図24参照)に記録された
ファイルアクセス検証方式(Acceptable Verification
Type :特定のファイル(File)アクセスを行う際に、指
定する検証方式)を参照し、アクセス対象のソースファ
イルに対するアクセスコマンドの実行に必要な検証レベ
ル(公開鍵方式の検証を必要とするか)を確認する。
【0748】ステップS931において、アクセス対象
のソースファイルに対して設定されたファイル定義ブロ
ック(FDB)のファイルアクセス検証方式(Acceptab
le Verification Type)が公開鍵方式のチケット検証を
必要とする設定である場合は、ステップS932におい
て、アクセスコマンドに必要な検証レベルの検証として
の公開鍵方式のチケット検証が済んでいるか否かを判定
し、検証未了の場合は、コマンドに従った処理を実行せ
ず、アクセスエラーをファイルアクセス装置に送信(S
934)する。
【0749】ステップS931において、アクセス対象
のソースファイルに対して設定されたファイル定義ブロ
ック(FDB)のファイルアクセス検証方式(Acceptab
le Verification Type)が公開鍵方式のチケット検証を
必要とする設定であり、ステップS932において、公
開鍵方式のチケット検証が済んでいると判定された場
合、あるいは、ファイル定義ブロック(FDB)のファ
イルアクセス検証方式(Acceptable Verification Typ
e)が公開鍵方式のチケット検証を必要としない設定で
ある場合は、ステップS933において、ファイルアク
セス装置から受信したアクセスコマンドの処理を実行
し、結果をファイルアクセス装置に送信する。
【0750】アクセスコマンド結果を受信(S912)
したファイルアクセス装置は、さらに他のファイルアク
セスを実行するか否かを判定(S913)し、他のファ
イルアクセスを実行する場合は、ステップS911以下
を繰り返し実行し、他にファイルアクセスを実行しない
場合は処理を終了する。
【0751】上述したファイルアクセス処理は、ファイ
ル内にある1つのファイル構造によって指定されるデー
タが格納された場合の処理を想定して説明しているが、
異なるファイル構造データを1つのファイル内に格納
し、1つのファイルに対する1つのコマンドにより、上
述の複数ファイルに対するシーケンシャル処理と同様の
処理を実行する構成も可能である。
【0752】図88に1つのファイルに対する1つのコ
マンドにより、1ファイル内のデータに対してシーケン
シャル処理を実行する構成を説明する図を示す。
【0753】ファイルは図に示すように、電子マネーフ
ァイルであり、金額データとしての[Purse]、利
用ログデータとしての「Log」、データに対する暗号
化または復号用の鍵データとしての[Key]から構成
される。
【0754】例えば、図88(a)に示すように、預け
入れコマンド(Deposit Command)を規定し、ファイル
内の金額データとしての[Purse]にX円を加算
(S941)し、さらに、ファイル内の利用ログデータ
としての「Log」に[Purse]にX円を加算した
記録を書き込む(S942)という2つの処理を実行さ
せる構成とすることが可能である。
【0755】先に説明したファイルアクセスモード(図
29参照)の入金系に対応する許容コマンド(図30参
照)として、上述の預け入れコマンド(Deposit Comman
d)を定義し、アクセス許可チケットのファイルアクセ
スモード(File Access Mode)に[入金系]を設定し、
ファイルID(File ID)として、電子マネーを構成する
複合ファイルを指定したアクセス許可チケット(SP
T)を生成して、ファイルアクセス装置からデバイスに
対して送信した後、預け入れコマンド(DepositComman
d)とともに、預け入れ金額データを送信することによ
り、図88(a)に示すようなデバイスにおいて1つの
ファイル内のデータに対するシーケンシャル処理を実行
させることが可能となる。
【0756】また、図88(b)に示すように、レシー
ト生成コマンド(Make Receipt Command)を規定し、フ
ァイル内の金額データとしての[Purse]からX円
を減算(S945)し、さらに、ファイル内の利用ログ
データとしての「Log」に[Purse]からX円を
減算した記録を書き込み(S946)、さらに「Lo
g」にデータに対する暗号化鍵データとしての[Ke
y]を適用して署名をつけて送信する(S947)とい
う3ステップの処理を実行させる構成とすることも可能
である。
【0757】この場合はファイルアクセスモード(図2
9参照)の出金系に対応する許容コマンド(図30参
照)として、上述のレシート生成コマンド(Make Recei
pt Command)を定義し、アクセス許可チケットのファイ
ルアクセスモード(File Access Mode)に[出金系]を
設定し、ファイルID(File ID)として、電子マネーを
構成する複合ファイルを指定したアクセス許可チケット
(SPT)を生成して、ファイルアクセス装置からデバ
イスに対して送信した後、レシート生成コマンド(Make
Receipt Command)とともに、引き出し金額データを送
信することにより、図88(b)に示すようなデバイス
において1つのファイル内のデータに対するシーケンシ
ャル処理を実行させることが可能となる。
【0758】このようにデバイスは、サービス許可チケ
ット(SPT)に指定された処理ファイルが複合ファイ
ルである場合、アクセス機器からの受領コマンドの処理
対象ファイルを複合ファイル内から選択して処理を実行
する。アクセス機器からのデータ処理コマンドが一連の
複数の処理を含むシーケンス処理コマンドである場合
は、デバイスは、シーケンス処理コマンドに含まれる各
コマンドの処理対象ファイルを、サービス許可チケット
(SPT)によって指定された複合ファイル内から順次
選択して実行する。
【0759】[B4.7.サービス許可チケット(SP
T)を利用したアクセス処理各方式における処理手順]
上述したサービス許可チケット(SPT)を利用したア
クセス処理ファイルの設定登録処理において、パーティ
ションマネージャが管理し、サービス許可チケット(S
PT)ユーザであるデバイスアクセス機器としてのリー
ダライタとデバイス間において、相互認証が実行され、
サービス許可チケット(SPT)に基づくファイルアク
セスがなされる。相互認証処理の態様は、公開鍵相互認
証、共通鍵相互認証の2種類のいずれかであり、またチ
ケット(SPT)の検証処理も公開鍵系の署名検証、共
通鍵系のMAC検証の2種類のいずれかが実行されるこ
とになる。すなわち処理態様としては大きく分けて、 (A)相互認証(公開鍵)、チケット(SPT)検証
(公開鍵) (B)相互認証(公開鍵)、チケット(SPT)検証
(共通鍵) (C)相互認証(共通鍵)、チケット(SPT)検証
(共通鍵) (D)相互認証(共通鍵)、チケット(SPT)検証
(公開鍵) の4態様がある。
【0760】これらの4態様についての処理を、認証局
(CA(PM))、パーティションマネージャ(P
M)、SPTチケットユーザであるデバイスアクセス機
器としてのリーダライタ、デバイス、各エンティテイ間
において実行されるデータ転送処理を中心として図を用
いて簡潔に説明する。
【0761】(A)相互認証(公開鍵)、チケット(S
PT)検証(公開鍵) まず、相互認証処理に公開鍵方式を適用し、チケット
(SPT)検証に公開鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図89を用いて説明す
る。
【0762】図に示す番号順に各エンティテイ間でデー
タ転送が実行される。以下、各番号に従って処理を説明
する。 (1)パーティションマネージャ(PM)の公開鍵証明
書(Cert.PM)の発行、 パーティションマネージャ(PM)の公開鍵証明書(C
ert.PM)は、パーティションマネージャ(PM)
からの発行要求により、登録局(RA)を介した証明書
発行手続きによってパーティション対応認証局(CA
(PAR))から発行される。なお、本構成は、パーテ
ィションマネージャがサービス許可チケット発行手段
(SPT Issuer)を兼ねる構成であり、サービス許可
チケット発行手段(SPT Issuer)の公開鍵証明書と
してパーティションマネージャ(PM)の公開鍵証明書
を使用する構成である。
【0763】(2)サービス許可チケットユーザ(SP
T User)であるデバイスアクセス機器としてのリーダ
ライタ(R/W)の公開鍵証明書(Cert.RW)の
発行、 サービス許可チケットユーザ(SPT User:具体的に
は、デバイスに対してチケットを送信するデバイスアク
セス機器としてのリーダライタ(R/W))の公開鍵証
明書(Cert.R/W)は、サービス許可チケットユ
ーザ(SPT User)であるリーダライタ(R/W)か
らの発行要求により、登録局(RA)を介した証明書発
行手続きによってパーティション対応認証局(CA(P
AR))によって発行される。なお、パーティションマ
ネージャがサービス許可チケットユーザ(SPT Use
r)を兼ねる構成も可能であり、その場合は、サービス
許可チケットユーザ(SPT User)の公開鍵証明書と
してパーティションマネージャ(PM)の公開鍵証明書
を使用可能である。
【0764】(3)サービス許可チケット(SPT)の
生成処理 サービス許可チケット(SPT)は、パーティションマ
ネージャの管理するサービス許可チケット発行手段(S
PT Ticket Issuer)により生成される。この場合、公
開鍵方式の署名生成、検証を実行するため、サービス許
可チケット発行手段(SPT Ticket Issuer)の秘密鍵
による署名(Signature)が生成(図12参照)されてS
PTに付加される。
【0765】(4)SPTおよびサービス許可チケット
発行手段(SPT Ticket Issuer)としてのパーティシ
ョンマネージャ公開鍵証明書(Cert.PM)のサー
ビス許可チケットユーザ(SPT User)であるデバイ
スアクセス機器としてのリーダライタ(R/W)に対す
る供給 パーティションマネージャの管理するサービス許可チケ
ット発行手段(SPTTicket Issuer)により発行され
たサービス許可チケット(SPT)は、サービス許可チ
ケット発行手段(SPT Ticket Issuer)としてのパー
ティションマネージャ公開鍵証明書(Cert.PM)
とともにサービス許可チケットユーザ(SPT User)
であるデバイスアクセス機器としてのリーダライタ(R
/W)に対して送信される。
【0766】(5)デバイスアクセス機器としてのリー
ダライタ(R/W)とデバイス間の相互認証 サービス許可チケットユーザ(SPT User)であるリ
ーダライタは、サービス許可チケット発行手段(SPT
Ticket Issuer)の発行したサービス許可チケット(S
PT)に従ったファイルアクセスを実行しようとする対
象のデバイスに対し、チケットユーザ(SPT User)
としてのリーダライタ(R/W)の公開鍵証明書(Ce
rt.RW)をデバイスに送信し、公開鍵方式の相互認
証(図50参照)を実行する。
【0767】(6)SPTおよびサービス許可チケット
発行手段(SPT Ticket Issuer)としてのパーティシ
ョンマネージャ公開鍵証明書(Cert.PM)のデバ
イスに対する供給 デバイスアクセス機器としてのリーダライタ(R/W)
とデバイス間の相互認証が成立すると、チケットユーザ
(SPT User)としてのリーダライタ(R/W)は、
デバイスに対してサービス許可チケット(SPT)、お
よびサービス許可チケット発行手段(SPT Ticket Is
suer)としてのパーティションマネージャ公開鍵証明書
(Cert.PM)を送信する。
【0768】デバイスは、受信したサービス許可チケッ
ト(SPT)について、(1)チケット発行者(Ticket
Issuer)としてのパーティションマネージャ公開鍵証
明書(Cert.PM)が改竄されたものでない正当な
公開鍵証明書(CERT)であること、(2)チケット
発行者(Ticket Issuer)の公開鍵証明書(CERTP
M)のオプション領域に記録されたコードと、デバイス
内のFDB(File Definition Block)に記録された(S
PTIC)の一致、(3)チケット発行手段(Ticket Issue
r)がリボークされていないこと、(4)受信チケット
(SPT)の署名(Signature)の検証によりチケット
が改竄のないことの確認を実行し、さらに、SPTチケ
ットに格納されたSPTユーザ(チケットユーザとして
のリーダライタ)とチケットユーザ(SPT User)の
公開鍵証明書(Cert.RW)の識別データ(DN)
として記録された識別子またはカテゴリまたはシリアル
(SN)名(DN)の一致を確認し、相互認証済みであ
ることを確認することによりSPTユーザ(デバイスア
クセス機器としてのリーダライタ)の検証(図57、図
58参照)を実行する。
【0769】(7)ファイルアクセス デバイスは、処理対象ファイルにサービス許可チケット
(SPT)に記述されたルールに従ってアクセスを実行
する。
【0770】以上の処理によって、相互認証(公開
鍵)、チケット(SPT)検証(公開鍵)の各方式に従
ったファイルアクセス処理が実行される。
【0771】(B)相互認証(公開鍵)、チケット(S
PT)検証(共通鍵) 次に、相互認証処理に公開鍵方式を適用し、チケット
(SPT)検証に共通鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図90を用いて説明す
る。
【0772】図に示す番号順に各エンティテイ間でデー
タ転送が実行される。以下、各番号に従って処理を説明
する。
【0773】(1)サービス許可チケットユーザ(SP
T User)であるデバイスアクセス機器としてのリーダ
ライタ(R/W)の公開鍵証明書(Cert.RW)の
発行、 サービス許可チケットユーザ(SPT User:具体的に
は、デバイスに対してチケットを送信するデバイスアク
セス機器としてのリーダライタ(R/W))の公開鍵証
明書(Cert.R/W)は、サービス許可チケットユ
ーザ(SPT User)であるリーダライタ(R/W)か
らの発行要求により、登録局(RA)を介した証明書発
行手続きによってパーティション対応認証局(CA(P
AR))によって発行される。なお、パーティションマ
ネージャがサービス許可チケットユーザ(SPT Use
r)を兼ねる構成も可能であり、その場合は、サービス
許可チケットユーザ(SPT User)の公開鍵証明書と
してパーティションマネージャ(PM)の公開鍵証明書
を使用可能である。
【0774】(2)サービス許可チケット(SPT)の
生成処理 サービス許可チケット(SPT)は、パーティションマ
ネージャの管理するサービス許可チケット発行手段(S
PT Ticket Issuer)により生成される。この場合、共
通鍵方式の検証値としてMAC(Message Authenticatio
n Code)(図59参照)がSPTに付加される。
【0775】(3)SPTのサービス許可チケットユー
ザ(SPT User)であるデバイスアクセス機器として
のリーダライタ(R/W)に対する供給 パーティションマネージャの管理するサービス許可チケ
ット発行手段(SPTTicket Issuer)により発行され
たサービス許可チケット(SPT)は、サービス許可チ
ケットユーザ(SPT User)としてのリーダライタ
(R/W)に対して送信される。
【0776】(4)リーダライタ(R/W)とデバイス
間の相互認証 サービス許可チケットユーザ(SPT User)であるデ
バイスアクセス機器としてのリーダライタは、サービス
許可チケット発行手段(SPT Ticket Issuer)の発行
したサービス許可チケット(SPT)に従ったファイル
アクセスを実行しようとする対象のデバイスに対し、チ
ケットユーザ(SPT User)としてのリーダライタ
(R/W)の公開鍵証明書(Cert.RW)をデバイ
スに送信し、公開鍵方式の相互認証(図50参照)を実
行する。パーティションマネージャ(PM)の公開鍵証
明書を使用可能である。
【0777】(5)SPTのデバイスに対する供給 デバイスアクセス機器としてのリーダライタ(R/W)
とデバイス間の相互認証が成立すると、サービス許可チ
ケットユーザ(SPT User)であるリーダライタは、
デバイスに対してサービス許可チケット(SPT)を送
信する。デバイスは、受信したサービス許可チケット
(SPT)についてMAC検証処理を実行し、SPT発
行者(SPT Issuer)の検証、さらに、SPTチケットに
格納されたSPTユーザ(チケットユーザとしてのリー
ダライタ)とチケットユーザ(SPT User)の公開鍵
証明書(Cert.RW)の識別データ(DN)として
記録された識別子またはカテゴリまたはシリアル(S
N)名(DN)の一致を確認し、相互認証済みであるこ
とを確認することによりSPTユーザ(デバイスアクセ
ス機器としてのリーダライタ)の検証(図57、図58
参照)を実行する。
【0778】(6)ファイルアクセス デバイスは、処理対象ファイルにサービス許可チケット
(SPT)に記述されたルールに従ってアクセスを実行
する。
【0779】以上の処理によって、相互認証(公開
鍵)、チケット(SPT)検証(共通鍵)の各方式に従
ったファイルアクセス処理が実行される。
【0780】(C)相互認証(共通鍵)、チケット(S
PT)検証(共通鍵) 次に、相互認証処理に共通鍵方式を適用し、チケット
(SPT)検証に共通鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図91を用いて説明す
る。
【0781】図に示す番号順に各エンティテイ間でデー
タ転送が実行される。以下、各番号に従って処理を説明
する。
【0782】(1)サービス許可チケット(SPT)の
生成処理 サービス許可チケット(SPT)は、パーティションマ
ネージャの管理するサービス許可チケット発行手段(S
PT Ticket Issuer)により生成される。この場合、共
通鍵方式の検証値としてMAC(Message Authenticatio
n Code)(図59参照)がSPTに付加される。
【0783】(2)SPTのサービス許可チケットユー
ザ(SPT User)に対する供給 パーティションマネージャの管理するサービス許可チケ
ット発行手段(SPTTicket Issuer)により発行され
たサービス許可チケット(SPT)は、サービス許可チ
ケットユーザ(SPT User)であるデバイスアクセス
機器としてのリーダライタに対して送信される。
【0784】(3)デバイスアクセス機器としてのリー
ダライタ(R/W)とデバイス間の相互認証 サービス許可チケットユーザ(SPT User)であるデ
バイスアクセス機器としてのリーダライタ(R/W)
は、サービス許可チケット発行手段(SPT Ticket Is
suer)の発行したサービス許可チケット(SPT)に従
ったファイルを生成しようとする対象のデバイスとの間
で、共通鍵方式の相互認証(図53、図54参照)を実
行する。
【0785】(4)SPTのデバイスに対する供給 デバイスアクセス機器としてのリーダライタ(R/W)
とデバイス間の相互認証が成立すると、サービス許可チ
ケットユーザ(SPT User)であるリーダライタは、
デバイスに対してサービス許可チケット(SPT)を送
信する。デバイスは、受信したサービス許可チケット
(SPT)についてMAC検証処理を実行し、SPT発
行者(SPT Issuer)の検証、さらに、SPTチケットに
格納されたSPTユーザ(チケットユーザとしてのリー
ダライタ)とチケットユーザ(SPT User)の識別子
の一致を確認し、相互認証済みであることを確認するこ
とによりSPTユーザ(デバイスアクセス機器としての
リーダライタ)の検証(図57、図58参照)を実行す
る。
【0786】(5)ファイルアクセス デバイスは、処理対象ファイルにサービス許可チケット
(SPT)に記述されたルールに従ってアクセスを実行
する。
【0787】以上の処理によって、相互認証(共通
鍵)、チケット(SPT)検証(共通鍵)の各方式に従
ったファイルアクセス処理が実行される。
【0788】(D)相互認証(共通鍵)、チケット(S
PT)検証(公開鍵) 次に、相互認証処理に共通鍵方式を適用し、チケット
(SPT)検証に公開鍵方式を適用する場合の各エンテ
ィテイ間のデータ転送について図92を用いて説明す
る。
【0789】図に示す番号順に各エンティテイ間でデー
タ転送が実行される。以下、各番号に従って処理を説明
する。 (1)パーティションマネージャ(PM)の公開鍵証明
書(Cert.PM)の発行、 パーティションマネージャ(PM)の公開鍵証明書(C
ert.PM)は、パーティションマネージャ(PM)
からの発行要求により、登録局(RA)を介した証明書
発行手続きによってパーティション対応認証局(CA
(PAR))から発行される。なお、本構成は、パーテ
ィションマネージャがサービス許可チケット発行手段
(SPT Issuer)を兼ねる構成であり、サービス許可
チケット発行手段(SPT Issuer)の公開鍵証明書と
してパーティションマネージャ(PM)の公開鍵証明書
を使用する構成である。
【0790】(2)サービス許可チケット(SPT)の
生成処理 サービス許可チケット(SPT)は、パーティションマ
ネージャの管理するサービス許可チケット発行手段(S
PT Ticket Issuer)により生成される。この場合、公
開鍵方式の署名生成、検証を実行するため、サービス許
可チケット発行手段(SPT Ticket Issuer)の秘密鍵
による署名(Signature)が生成(図12参照)されてS
PTに付加される。
【0791】(3)SPTおよびサービス許可チケット
発行手段(SPT Ticket Issuer)としてのパーティシ
ョンマネージャ公開鍵証明書(Cert.PM)のサー
ビス許可チケットユーザ(SPT User)であるデバイ
スアクセス機器としてのリーダライタ(R/W)に対す
る供給 パーティションマネージャの管理するサービス許可チケ
ット発行手段(SPTTicket Issuer)により発行され
たサービス許可チケット(SPT)は、サービス許可チ
ケット発行手段(SPT Ticket Issuer)としてのパー
ティションマネージャ公開鍵証明書(Cert.PM)
とともにサービス許可チケットユーザ(SPT User)
すなわち、デバイスに対してチケットを送信する機器
(ex.デバイスアクセス機器としてのリーダライタ)
に対して送信される。
【0792】(4)デバイスアクセス機器としてのリー
ダライタ(R/W)とデバイス間の相互認証 サービス許可チケットユーザ(SPT User)であるデ
バイスアクセス機器としてのリーダライタは、サービス
許可チケット発行手段(SPT Ticket Issuer)の発行
したサービス許可チケット(SPT)に従ったファイル
アクセスを実行しようとする対象のデバイスとの間で、
共通鍵方式の相互認証(図53、図54参照)を実行す
る。
【0793】(5)SPTおよびサービス許可チケット
発行手段(SPT Ticket Issuer)としてのパーティシ
ョンマネージャ公開鍵証明書(Cert.PM)のデバ
イスに対する供給 リーダライタ(R/W)とデバイス間の相互認証が成立
すると、サービス許可チケットユーザ(SPT User)
であるデバイスアクセス機器としてのリーダライタは、
デバイスに対してサービス許可チケット(SPT)、お
よびサービス許可チケット発行手段(SPT Ticket Is
suer)としてのパーティションマネージャ公開鍵証明書
(Cert.PM)を送信する。
【0794】デバイスは、受信したサービス許可チケッ
ト(SPT)について、(1)チケット発行者(Ticket
Issuer)としてのパーティションマネージャ公開鍵証
明書(Cert.PM)が改竄されたものでない正当な
公開鍵証明書(CERT)であること、(2)チケット
発行者(Ticket Issuer)としてのパーティションマネ
ージャ公開鍵証明書(Cert.PM)のオプション領
域に記録されたコードと、デバイス内のFDB(File D
efinition Block)に記録されたチケット発行手段コー
ド(SPTIC)の一致、(3)チケット発行手段(Ticket
Issuer)がリボークされていないこと、(4)受信チケ
ット(SPT)の署名(Signature)の検証によりチケ
ットが改竄のないことの確認を実行し、さらに、SPT
チケットに格納されたSPTユーザ(チケットユーザと
してのリーダライタ)とチケットユーザ(SPT Use
r)の識別子の一致を確認し、相互認証済みであること
を確認することによりSPTユーザ(リーダライタ)の
検証(図57、図58参照)を実行する。
【0795】(6)ファイルアクセス デバイスは、処理対象ファイルにサービス許可チケット
(SPT)に記述されたルールに従ってアクセスを実行
する。
【0796】以上の処理によって、相互認証(共通
鍵)、チケット(SPT)検証(公開鍵)の各方式に従
ったファイルアクセス処理が実行される。
【0797】[B5.データアップデートチケット(D
UT)を利用したデバイスのデータ更新処理]次に、デ
ータアップデートチケット(DUT:Data Update Tick
et)を利用したデバイスのデータ更新処理について説明
する。データアップデートチケット(DUT:Data Upd
ate Ticket)は、デバイスに格納された様々なデータの
更新処理を実行する際に適用されるアクセスコントロー
ルチケットである。正当なデータアップデートチケット
(DUT)発行手段(Ticket Issuer)の発行したDU
Tを用い、DUTに記録された手続きに従ってチケット
ユーザ(ex.デバイスアクセス機器としてのリーダラ
イタ)によりデバイスにアクセスすることで、DUTに
記録された制限内でデータ処理を実行することができ
る。
【0798】なお、前述したように、データアップデー
トチケット(DUT:Data UpdateTicket)は、デバイ
スマネージャの管理するデータ項目の更新処理を実行す
るために適用されるチケットDUT(DEV)と、パー
ティションマネージャの管理するパーティション内のデ
ータ項目の更新処理を実行するために適用されるチケッ
トDUT(PAR)(図32参照)がある。
【0799】デバイスに格納したデータにデータアップ
デートチケット(DUT)を適用してデータ更新を実行
する処理について説明する。図93以下のフロー他の図
面を参照して説明する。なお、データ更新処理には、デ
バイスとデータ更新を実行するデバイスアクセス機器と
してのリーダライタ間における相互認証処理(デバイス
認証またはパーティション認証)、データアップデート
チケット(DUT:Data Update Ticket)の正当性検証
処理が含まれる。
【0800】図93に示すデータ更新処理フローについ
て説明する。図93において、左側がデータ更新装置、
右側がデバイス(図5参照)の処理を示す。なお、デー
タ更新装置は、デバイスに対するデータ読み取り書き込
み処理可能な装置(ex.デバイスアクセス機器として
のリーダライタ、PC)であり、図10のデバイスアク
セス機器としてのリーダライタに相当する。まず、図9
3を用いて、データ更新処理の概要を説明し、その後、
当処理に含まれるデータ更新操作の詳細を図94のフロ
ーを用いて説明する。
【0801】まず、図93のステップS951とS96
0において、データ更新装置とデバイス間にでの相互認
証処理が実行される。データ送受信を実行する2つの手
段間では、相互に相手が正しいデータ通信者であるか否
かを確認して、その後に必要なデータ転送を行なうこと
が行われる。相手が正しいデータ通信者であるか否かの
確認処理が相互認証処理である。相互認証処理時にセッ
ション鍵の生成を実行して、生成したセッション鍵を共
有鍵として暗号化処理を実行してデータ送信を行なう。
【0802】相互認証処理については、先のパーティシ
ョン生成、削除処理の欄で説明したと同様の処理であ
り、デバイス認証またはパーティション認証のいずれか
が実行される。それぞれについて共通鍵方式認証、ある
いは公開鍵方式認証処理のいずれかが適用される。この
相互認証処理は、前述の図48〜図56を用いて説明し
たと同様の処理であるので説明を省略する。
【0803】なお、相互認証処理として実行すべき処理
は、適用するデータアップデートチケット(DUT)
(図32参照)の * Authentication Type :デバイス(Device)の相互認
証のタイプ(公開鍵認証、または、共通鍵認証、また
は、いずれでも可(Any))によって決定される。
【0804】認証処理に失敗した場合(S952,S9
61でNo)は、相互が正当な機器、デバイスであるこ
との確認がとれないことを示し、以下の処理は実行され
ずエラーとして処理は終了する。
【0805】認証処理に成功すると、データ更新装置
は、デバイスに対してデータアップデートチケット(D
UT:Data Update Ticket)を送信する。データアップ
デートチケット(DUT)は、デバイスマネージャまた
はパーティションマネージャの管理下のデータアップデ
ートチケット(DUT)発行手段(DUT Issuer)により
発行されるチケットである。データアップデートチケッ
ト(DUT)は、デバイスに対するアクセス制御チケッ
トであり、先に説明した図32のデータフォーマット構
成を持つチケットである。
【0806】なお、データアップデートチケット(DU
T)を、チケットユーザに対して送信する際には、公開
鍵方式の場合、データアップデートチケット(DUT)
発行手段(DUT Issuer)の公開鍵証明書(CERT_DUTI)
も一緒に送信する。DUT発行手段の公開鍵証明書(CE
RT_DUTI)の属性(Attribute)は、デバイス内のDKD
B(PUB)(Device Key Definition Block)に記録さ
れたチケット発行手段コード(DUTIC_DEV)やPKDB
(PUB)(Partition Key Definition Block)に記録さ
れたチケット発行手段コード(DUTIC_PAR)の識別子(D
UTIC)と一致する。
【0807】データアップデートチケット(DUT)を
受信(S962)したデバイスは、受信したチケット
(DUT)の正当性と利用者チェック処理を実行(S9
63)する。チケットの正当性の検証処理は、共通鍵方
式によるMAC検証、あるいは公開鍵方式による署名検
証処理のいずれかを適用して実行される。利用者チェッ
クは、チケットを送信してきた機器(チケット利用者)
の正当性をチェックする処理であり、相互認証が成立済
みであり、認証相手の識別データと、チケットに記録さ
れているチケットユーザ識別子(図32参照)との一致
等を検証する処理として実行される。これらの処理は、
先のパーティション登録チケット(PRT)の適用処理
についての説明中、図57〜図59を用いて説明したと
同様の処理であるので説明を省略する。
【0808】デバイスにおいて、受信チケット(DU
T)の正当性と利用者チェック処理の結果、チケットお
よび利用者の正当なことが確認できなかった場合(S9
64でNo)は、データアップデートチケット(DU
T)受理エラーをデータ更新装置に通知(S968)す
る。チケットおよび利用者の正当なことが確認できた場
合(S964でYes)は、受信したデータアップデー
トチケット(DUT)に記述されたルールに従いデバイ
ス内のメモリ部に格納されたデータ(図33参照)の更
新処理を実行する。この処理の詳細については、別フロ
ーを用いて後段で詳述する。
【0809】データアップデートチケット(DUT)の
記述に従って、データの更新処理に成功(S966でY
es)すると、DUT受理成功をデータ更新装置に通知
(S967)する。一方、データの更新処理に失敗(S
966でNo)した場合は、DUT受理エラーをデータ
更新装置に通知(S968)する。
【0810】データ更新装置は、DUT受理結果を受信
(S954)し、DUT処理結果を判定し、DUT受理
結果がエラーである場合(S955でNo)は、エラー
として処理を終了し、DUT受理結果が成功(S955
でYes)である場合はセッションクリアコマンドの送
受信(S956,S969)を実行し、デバイス側に生
成した認証テーブルを破棄(S970)し、処理を終了
する。認証テーブルは、ステップS951,S960の
相互認証処理において生成されるテーブルであり、前述
したパーティション登録チケット(PRT)の適用処理
の項目において説明した構成、すなわち、図51の構成
と同様のものである。
【0811】このようにデータアップデートチケット
(DUT)を利用して、デバイス内に格納されたデータ
の更新処理が実行される。以下、当処理に含まれるデー
タ更新操作(S965)について、図94を用いて説明
する。
【0812】図94の処理フローは、データアップデー
トチケット(DUT)を受理したデバイスにおいて実行
される処理であり、データアップデートチケット(DU
T)を送信してきた機器との相互認証が成立し、チケッ
トの検証にも成功した以後に実行される。
【0813】まず、ステップS971において、デバイ
スは、データアップデートチケット(DUT)の更新さ
れる古いデータのコード(Old Data Code)から更新対
象データのバージョンを検索する。バージョンは、例え
ば更新対象がデバイスマネージャコード(DMC)であ
れば、デバイス管理情報ブロック(図15参照)にバー
ジョンが記録され、また、パーティションマネージャコ
ード(PMC)であれば、パーティション管理情報ブロ
ック(図20参照)にバージョンが記録されている。ま
た、パーティション登録チケット(PRT)発行手段
(PRT Issuer)のバージョンはデバイス定義ブロッ
ク(図16参照)に含まれる。さらに、リボケーション
リスト(IRL DEV,CRL DEV)などは、リボ
ケーションリスト中にバージョン情報が含まれる。この
ように情報に応じてバージョン情報の格納先が決まって
おり、デバイスは、更新される古いデータのコード(Ol
d Data Code)から更新対象データのバージョンを検索
する。
【0814】次に、デバイスは、ステップS972にお
いて、データアップデートチケット(DUT)に記録さ
れたデータ更新をする時のバージョン条件[Data Versi
on Rule]を参照し、設定が[Any]であるか否かを
判定する。
【0815】前述したように、データ更新をする時のバ
ージョン条件[Data Version Rule]は、Any, Exact, O
lder の3種類が存在する。Any はバージョン(Versio
n)条件に無関係でデータ更新が可能、Exact は、続く
[Data Version Condition]に指定された値と同じ場合
にデータ更新が可能、Older は、New Data Versionの方
が新しい場合にのみデータ更新が可能となる。なお、バ
ージョン条件[DataVersion Rule]がAny,または Older
の場合は、[Data Version Condition]は使用しない
かもしくは無視する。
【0816】データアップデートチケット(DUT)の
[Data Version Rule]の設定が[Any]でない場合
は、バージョン条件[Data Version Rule]に従った処
理を実行する。このステップがS973〜S975であ
る。
【0817】ステップS973では、データアップデー
トチケット(DUT)のバージョン条件[Data Version
Rule]を参照し、設定が[EXACT]であるか否か
を判定する。[EXACT]は、[Data Version Condi
tion]に指定された値と同じ場合にデータ更新が可能な
ことを示す。設定が[EXACT]である場合、ステッ
プS974で、更新対象データ[Old Data]の
バージョンがデータアップデートチケット(DUT)の
[Data Version Condition]に記録されたバージョン値
と一致するか否かを判定する。一致する場合にのみ次ス
テップに進み、一致しない場合は、更新処理を実行せず
エラー終了とする。
【0818】ステップS973で、データアップデート
チケット(DUT)のバージョン条件[Data Version R
ule]が[EXACT]でないと判定された場合は、設
定は[Older]である。[Older]の設定は、
更新対象データ[Old Data]のバージョンよ
り、データアップデートチケット(DUT)の新規デー
タ[New Data]のバージョンを示す[New Data Versio
n]の方が新しい場合にのみ更新をする設定である。こ
の[Older]の設定の場合、ステップS975にお
いて、更新対象データ[Old Data]のバージョ
ンより、データアップデートチケット(DUT)の新規
データ[New Data]のバージョンを示す[New Data Ver
sion]の方が新しいか否かを判定し、新しい場合にのみ
次ステップに進み、一致しない場合は、更新処理を実行
せずエラー終了とする。
【0819】次にデバイスは、ステップS976におい
て、データアップデートチケット(DUT)の[Encryp
ted Flag]を検証する。[Encrypted Flag]は、更新さ
れるデータが暗号化されているか否か(暗号化:Encrypt
ed /非暗号化:none)を示すデータである。[Encrypted
Flag]が更新対象データが非暗号化データであること
を示している場合は、ステップS977において、デー
タアップデートチケット(DUT)の新規データ[New
Data]をデバイスのメモリ部に格納された更新対象旧デ
ータ[Old Data]に置き換える処理を実行し、処理終了
とする。なお、更新対象データに対してバージョンが付
加されている場合は、データアップデートチケット(D
UT:Data Update Ticket)に格納されている更新する
データのバージョン(New Data Version)を、デバイス
内の更新データに対応して設定されているバージョン格
納領域に格納する処理を実行する。
【0820】また、ステップS976において、データ
アップデートチケット(DUT)の[Encrypted Flag]
が、更新されるデータが暗号化されている(暗号化:Enc
rypted)ことを示していると判定された場合は、ステッ
プS978において、データアップデートチケット(D
UT)の[Ticket Type]を検証する。[Ticket Type]
は、チケット(Ticket)の種別(DUT(DEV)/D
UT(PAR))を示すデータである。DUT(DE
V)は、データアップデートチケット(DUT)が、デ
バイスマネージャの管理するデータ項目の更新処理を実
行するチケットあることを示し、DUT(PAR)は、
パーティションマネージャの管理するパーティション内
のデータ項目の更新処理を実行するために適用されるチ
ケットであることを示してる。
【0821】チケットタイプ[Ticket Type]が、DU
T(DEV)を示している場合、ステップS979〜S
982を実行し、DUT(PAR)を示している場合、
ステップS983〜S986を実行する。
【0822】チケットタイプ[Ticket Type]が、DU
T(DEV)を示している場合、ステップS979にお
いて、データアップデートチケット(DUT(DE
V))に記述されたOld Data Code(更新される古いデ
ータのコード)の示すデータがデバイス鍵領域(図18
参照)に格納されたKdut_DEV1(データアップデートチ
ケット(DUT)のMAC検証用鍵)または、Kdut_DEV
2(データ更新用暗号鍵)であるか否かを判定する。
【0823】データアップデートチケット(DUT(D
EV))に記述されたOld Data Code(更新される古い
データのコード)の示すデータがデバイス鍵領域(図1
8参照)に格納されたKdut_DEV1(データアップデート
チケット(DUT)のMAC検証用鍵)、Kdut_DEV2
(データ更新用暗号鍵)である場合は、ステップS98
0において、デバイスのデバイス鍵領域(図18参照)
に格納されたKdut_DEV4(データ更新用暗号鍵)を用い
て、データアップデートチケット(DUT(DEV))
に格納された新規データ[New Data]としてのKdut_DEV
1、Kdut_DEV2を復号し、デバイスのデバイス鍵領域に格
納されたKdut_DEV1、Kdut_DEV2に上書きする。なお、デ
ータアップデートチケット(DUT(DEV))に格納
されている更新するデータのバージョン(New Data Ver
sion)を、デバイス内の更新データに対応して設定され
ているバージョン格納領域、この場合は、デバイスのデ
バイス鍵領域(図18参照)に格納する処理を併せて実
行する。
【0824】次に、ステップS981において、デバイ
スのデバイス鍵領域(図18参照)に格納されたKdut_D
EV1(データアップデートチケット(DUT)のMAC
検証用鍵)と、Kdut_DEV3(データアップデートチケッ
ト(DUT)のMAC検証用鍵)とのスワップ、すなわ
ち入れ替え処理を行ない、また、Kdut_DEV2(データ更
新用暗号鍵)と、Kdut_DEV4(データ更新用暗号鍵)と
のスワップ、すなわち入れ替え処理を行なって処理を終
了する。
【0825】なお、Kdut_DEV1と、Kdut_DEV3とのスワッ
プ、および、Kdut_DEV2と、Kdut_DEV4とのスワップ処理
によって、常にKdut_DEV3(データアップデートチケッ
ト(DUT)のMAC検証用鍵)、Kdut_DEV4(データ
更新用暗号鍵)のペアがKdut_DEV1(データアップデー
トチケット(DUT)のMAC検証用鍵)、Kdut_DEV2
(データ更新用暗号鍵)のペアよりも新しいバージョン
のものに維持され、書き換え対象を、常にKdut_DEV1、K
dut_DEV2として設定した処理が可能となる。
【0826】なお、ステップS979において、データ
アップデートチケット(DUT(DEV))に記述され
たOld Data Code(更新される古いデータのコード)の
示すデータがデバイス鍵領域(図18参照)に格納され
たKdut_DEV1(データアップデートチケット(DUT)
のMAC検証用鍵)、Kdut_DEV2(データ更新用暗号
鍵)でない場合は、ステップS982において、デバイ
スのデバイス鍵領域(図18参照)に格納されたKdut_D
EV2(データ更新用暗号鍵)を用いて、データアップデ
ートチケット(DUT(DEV))に格納された新規デ
ータ[New Data]を復号し、データアップデートチケッ
ト(DUT(DEV))のOld Data code(更新される
古いデータのコード)の示すエリアに上書きする。な
お、更新対象データに対してバージョンが付加されてい
る場合は、データアップデートチケット(DUT(DE
V))に格納されている更新するデータのバージョン
(New Data Version)を、デバイス内の更新データに対
応して設定されているバージョン格納領域に格納する処
理を実行する。
【0827】一方、ステップS978において、チケッ
トタイプ[Ticket Type]が、DUT(PAR)を示し
ている場合、ステップS983〜S986を実行する。
【0828】チケットタイプ[Ticket Type]が、DU
T(PAR)を示している場合、ステップS983にお
いて、データアップデートチケット(DUT(PA
R))に記述されたOld Data Code(更新される古いデ
ータのコード)の示すデータがパーティション鍵領域
(図23参照)に格納されたKdut_PAR1(データアップ
デートチケット(DUT)のMAC検証用鍵)または、
Kdut_PAR2(データ更新用暗号鍵)であるか否かを判定
する。
【0829】データアップデートチケット(DUT(P
AR))に記述されたOld Data Code(更新される古い
データのコード)の示すデータがパーティション鍵領域
(図23参照)に格納されたKdut_PAR1(データアップ
デートチケット(DUT)のMAC検証用鍵)、Kdut_P
AR2(データ更新用暗号鍵)である場合は、ステップS
984において、デバイスのパーティション鍵領域(図
23参照)に格納されたKdut_PAR4(データ更新用暗号
鍵)を用いて、データアップデートチケット(DUT
(PAR))に格納された新規データ[New Data]とし
てのKdut_PAR1、Kdut_PAR2を復号し、デバイスのパーテ
ィション鍵領域に格納されたKdut_PAR1、Kdut_PAR2に上
書きする。なお、データアップデートチケット(DUT
(PAR))に格納されている更新するデータのバージ
ョン(New Data Version)を、デバイス内の更新データ
に対応して設定されているバージョン格納領域、この場
合は、デバイスのパーティション鍵領域(図23参照)
に格納する処理を併せて実行する。
【0830】次に、ステップS985において、デバイ
スのパーティション鍵領域(図23参照)に格納された
Kdut_PAR1(データアップデートチケット(DUT)の
MAC検証用鍵)と、Kdut_PAR3(データアップデート
チケット(DUT)のMAC検証用鍵)とのスワップ、
すなわち入れ替え処理を行ない、また、Kdut_PAR2(デ
ータ更新用暗号鍵)と、Kdut_PAR4(データ更新用暗号
鍵)とのスワップ、すなわち入れ替え処理を行なって処
理を終了する。
【0831】なお、Kdut_PAR1と、Kdut_PAR3とのスワッ
プ、および、Kdut_ PARV2と、Kdut_PAR4とのスワップ処
理によって、常にKdut_PAR3(データアップデートチケ
ット(DUT)のMAC検証用鍵)、Kdut_PAR4(デー
タ更新用暗号鍵)のペアがKdut_PAR1(データアップデ
ートチケット(DUT)のMAC検証用鍵)、Kdut_PAR
2(データ更新用暗号鍵)のペアよりも新しいバージョ
ンのものに維持され、書き換え対象を、常にKdut_PAR
1、Kdut_PAR2として設定した処理が可能となる。
【0832】なお、ステップS983において、データ
アップデートチケット(DUT(PAR))に記述され
たOld Data Code(更新される古いデータのコード)の
示すデータがデバイス鍵領域(図18参照)に格納され
たKdut_DEV1(データアップデートチケット(DUT)
のMAC検証用鍵)、Kdut_DEV2(データ更新用暗号
鍵)でない場合は、ステップS986において、デバイ
スのパーティション鍵領域(図23参照)に格納された
Kdut_PAR2(データ更新用暗号鍵)を用いて、データア
ップデートチケット(DUT(PAR))に格納された
新規データ[NewData]を復号し、データアップデート
チケット(DUT(PAR))のOld DataCode(更新さ
れる古いデータのコード)の示すエリアに上書きする。
なお、更新対象データに対してバージョンが付加されて
いる場合は、データアップデートチケット(DUT(P
AR))に格納されている更新するデータのバージョン
(New Data Version)を、デバイス内の更新データに対
応して設定されているバージョン格納領域に格納する処
理を実行する。
【0833】以上の処理がデバイスにおいて実行される
データフップデートチケットに基づくデータ更新操作で
ある。
【0834】上述したフローから理解されるように、更
新対象データがデバイス鍵領域に格納された Kdut_DEV1(データアップデートチケット(DUT)の
MAC検証用鍵) Kdut_DEV2(データ更新用暗号鍵) または、パーティション鍵領域に格納された Kdut_PAR1(データアップデートチケット(DUT)の
MAC検証用鍵) Kdut_PAR2(データ更新用暗号鍵) である場合には、他の更新処理と異なる処理を実行す
る。
【0835】これらのKdut_DEV1(データアップデート
チケット(DUT)のMAC検証用鍵)、Kdut_DEV2
(データ更新用暗号鍵)、Kdut_PAR1(データアップデ
ートチケット(DUT)のMAC検証用鍵)、Kdut_PAR
2(データ更新用暗号鍵)についての更新処理を簡潔に
まとめた図を図95に示し、処理について説明する。図
95の(1)〜(3)の順に説明する。なお、処理は、
Kdut_DEV1,2と、Kdut_PAR1,2とで同様のものであるの
で、Kdut_DEV1,2を更新する場合について説明する。
【0836】(1)データアップデートチケット(DU
T)に格納する新規データ[New Data]としてのKdut_D
EV1、Kdut_DEV2をデバイスのデバイス鍵領域(図18参
照)に格納されたKdut_DEV4(データ更新用暗号鍵)を
用いて暗号化した後、データアップデートチケット(D
UT)に格納し、データアップデートチケット(DU
T)をデバイスに送信する。このとき、Kdut_DEV1、Kdu
t_DEV2を更新できるチケット発行者はKdut_DEV3、Kdut_
DEV4を知らなくてはならない。
【0837】(2)データアップデートチケット(DU
T)を受信したデバイスは、デバイスのデバイス鍵領域
に格納されたKdut_DEV4(データ更新用暗号鍵)を用い
て、データアップデートチケット(DUT)の格納新規
データ[New Data]としてのKdut_DEV1、Kdut_DEV2を復
号し、デバイスのデバイス鍵領域に格納されたKdut_DEV
1、Kdut_DEV2に上書きする。
【0838】(3)次に、デバイスは、デバイスのデバ
イス鍵領域(図18参照)に新規に格納されたKdut_DEV
1(データアップデートチケット(DUT)のMAC検
証用鍵)と、以前に格納済みのKdut_DEV3(データアッ
プデートチケット(DUT)のMAC検証用鍵)とのス
ワップ、すなわち入れ替え処理を行なう。さらに、新規
に格納されたKdut_DEV2(データ更新用暗号鍵)と、以
前に格納済みのKdut_DEV4(データ更新用暗号鍵)との
スワップ、すなわち入れ替え処理を行なう。
【0839】この、Kdut_DEV1と、Kdut_DEV3とのスワッ
プ、および、Kdut_DEV2と、Kdut_DEV4とのスワップ処理
によって、常にKdut_DEV3(データアップデートチケッ
ト(DUT)のMAC検証用鍵)、Kdut_DEV4(データ
更新用暗号鍵)のペアがKdut_DEV1(データアップデー
トチケット(DUT)のMAC検証用鍵)、Kdut_DEV2
(データ更新用暗号鍵)のペアよりも新しいバージョン
のものに維持される。つまり、Kdut_DEV1と、Kdut_DEV2
の鍵は常に使用される鍵で、Kdut_DEV3と、Kdut_DEV4
は、非常時にKdut_DEV1と、Kdut_DEV2を更新するととも
に、現在使用されているKdut_DEV1と、Kdut_DEV2の鍵に
置き換えられるバックアップ用の鍵としての役割があ
る。
【0840】なお、Kdut_DEV1(データアップデートチ
ケット(DUT)のMAC検証用鍵)、Kdut_DEV2(デ
ータ更新用暗号鍵)はペアとして使用され、また、Kdut
_DEV3(データアップデートチケット(DUT)のMA
C検証用鍵)、Kdut_DEV4(データ更新用暗号鍵)もペ
アとして使用される。
【0841】以上、特定の実施例を参照しながら、本発
明について詳解してきた。しかしながら、本発明の要旨
を逸脱しない範囲で当業者が該実施例の修正や代用を成
し得ることは自明である。すなわち、例示という形態で
本発明を開示してきたのであり、限定的に解釈されるべ
きではない。本発明の要旨を判断するためには、冒頭に
記載した特許請求の範囲の欄を参酌すべきである。
【0842】なお、明細書中において説明した一連の処
理はハードウェア、またはソフトウェア、あるいは両者
の複合構成によって実行することが可能である。ソフト
ウェアによる処理を実行する場合は、処理シーケンスを
記録したプログラムを、専用のハードウェアに組み込ま
れたコンピュータ内のメモリにインストールして実行さ
せるか、あるいは、各種処理が実行可能な汎用コンピュ
ータにプログラムをインストールして実行させることが
可能である。
【0843】例えば、プログラムは記録媒体としてのハ
ードディスクやROM(Read OnlyMemory)に予め記録し
ておくことができる。あるいは、プログラムはフロッピ
ーディスク、CD−ROM(Compact Disc Read Only Me
mory),MO(Magneto optical)ディスク,DVD(Digit
al Versatile Disc)、磁気ディスク、半導体メモリなど
のリムーバブル記録媒体に、一時的あるいは永続的に格
納(記録)しておくことができる。このようなリムーバ
ブル記録媒体は、いわゆるパッケージソフトウエアとし
て提供することができる。
【0844】なお、プログラムは、上述したようなリム
ーバブル記録媒体からコンピュータにインストールする
他、ダウンロードサイトから、コンピュータに無線転送
したり、LAN(Local Area Network)、インターネット
といったネットワークを介して、コンピュータに有線で
転送し、コンピュータでは、そのようにして転送されて
くるプログラムを受信し、内蔵するハードディスク等の
記録媒体にインストールすることができる。
【0845】なお、明細書に記載された各種の処理は、
記載に従って時系列に実行されるのみならず、処理を実
行する装置の処理能力あるいは必要に応じて並列的にあ
るいは個別に実行されてもよい。また、本明細書におい
てシステムとは、複数の装置の論理的集合構成であり、
各構成の装置が同一筐体内にあるものには限らない。
【0846】
【発明の効果】上述したように、本発明のデータ処理シ
ステム、メモリ搭載デバイス、およびデータ処理方法、
並びにプログラム記憶媒体によれば、複数のパーティシ
ョンに分割されたメモリ領域のアクセスに対して、様々
な種類のアクセス制御チケットを各デバイスまたはパー
ティション管理エンティテイの管理の下に発行し、各チ
ケットに記述されたルールに基づく処理をメモリ搭載デ
バイスにおいて実行する構成が可能となり、各パーティ
ション内データの独立した管理構成が実現される。
【0847】さらに、本発明のデータ処理システム、メ
モリ搭載デバイス、およびデータ処理方法、並びにプロ
グラム記憶媒体によれば、パーティション対応の認証、
デバイス対象の認証を公開鍵、共通鍵のいずれか指定方
式に従って実行することが可能なデバイスとし、様々な
環境下においてデバイスおよびアクセス装置間のセキュ
アなデータ通信が実行可能となる。
【0848】さらに、本発明のデータ処理システム、メ
モリ搭載デバイス、およびデータ処理方法、並びにプロ
グラム記憶媒体によれば、メモリ搭載デバイスが、アク
セス機器からの指定または受領したアクセス制御チケッ
トの記述に基づいて、アクセス機器との相互認証の方式
として例えば公開鍵方式、または共通鍵方式のいずれか
を決定して実行するとともに、受領したアクセス制御チ
ケットの記述に基づいて、アクセス制御チケットの検証
方式についても例えば公開鍵方式、または共通鍵方式の
いずれかを決定して実行する構成としたことにより、様
々な環境下において、また様々なアクセス制御チケット
の態様に対して、デバイスおよびアクセス装置間のセキ
ュアなデータ通信が可能となる。
【図面の簡単な説明】
【図1】本発明のシステム構成の概要を説明するシステ
ム構成概略図(その1)である。
【図2】本発明のシステム構成の概要を説明するシステ
ム構成概略図(その2)である。
【図3】本発明のシステム構成の具体例を説明するシス
テム構成概略図(その3)である。
【図4】本発明のシステムにおけるアクセス制御チケッ
トの発行手段および利用手段との関係を説明する図であ
る。
【図5】本発明のシステムにおけるメモリ部を有するデ
バイス構成を示す図である。
【図6】本発明のデバイスのメモリフォーマットを示す
図である。
【図7】本発明のシステムにおけるデバイスマネージャ
構成を示す図である。
【図8】本発明のシステムにおけるデバイスマネージャ
の制御手段構成を示す図である。
【図9】本発明のシステムにおけるパーティションマネ
ージャ構成を示す図である。
【図10】本発明のシステムにおけるリーダライタ(R
/W)構成を示す図である。
【図11】本発明のシステムにおいて利用可能な公開鍵
証明書のフォーマットを説明する図である。
【図12】本発明のシステムにおいて利用可能な公開鍵
方式の署名生成処理フローを示す図である。
【図13】本発明のシステムにおいて利用可能な公開鍵
方式の署名検証処理フローを示す図である。
【図14】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中の製造情報ブロックのデータ構成を示す図
である。
【図15】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中のデバイス管理情報ブロックのデータ構成
を示す図である。
【図16】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中の公開鍵系デバイス鍵定義ブロックのデー
タ構成を示す図である。
【図17】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中の共通鍵系デバイス鍵定義ブロックのデー
タ構成を示す図である。
【図18】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中のデバイス鍵領域のデータ構成を示す図で
ある。
【図19】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中のパーティション定義ブロックのデータ構
成を示す図である。
【図20】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中のパーティション管理情報ブロックのデー
タ構成を示す図である。
【図21】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中の公開鍵系パーティション鍵定義ブロック
のデータ構成を示す図である。
【図22】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中の共通鍵系パーティション鍵定義ブロック
のデータ構成を示す図である。
【図23】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中のパーティション鍵領域のデータ構成を示
す図である。
【図24】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中のファイル定義ブロックのデータ構成を示
す図である。
【図25】本発明のデバイスにおけるメモリ部に格納さ
れるデータ中のファイルの構造のタイプについて説明す
る図である。
【図26】本発明のシステムにおいて適用されるアクセ
ス制御チケットとしてのパーティション登録チケット
(PRT)のフォーマットを示す図である。
【図27】本発明のシステムにおいて適用されるアクセ
ス制御チケットとしてのファイル登録チケット(FR
T)のフォーマットを示す図である。
【図28】本発明のシステムにおいて適用されるアクセ
ス制御チケットとしてのサービス許可チケット(SP
T)のフォーマット(例1)を示す図である。
【図29】本発明のシステムにおいて適用されるアクセ
ス制御チケットとしてのサービス許可チケット(SP
T)を利用したファイルアクセスのモードの種別を説明
する図である。
【図30】本発明のシステムにおいて適用されるアクセ
ス制御チケットとしてのサービス許可チケット(SP
T)を利用したアクセス対象となるファイル構造を説明
する図である。
【図31】本発明のシステムにおいて適用されるアクセ
ス制御チケットとしてのサービス許可チケット(SP
T)のフォーマット(例2)を示す図である。
【図32】本発明のシステムにおいて適用されるアクセ
ス制御チケットとしてのデータアップデートチケット
(DUT)のフォーマットを示す図である。
【図33】本発明のシステムにおいて適用されるアクセ
ス制御チケットとしてのデータアップデートチケット
(DUT)を利用した更新対象となるデータを説明する
図である。
【図34】本発明のシステムにおけるデバイス利用まで
の処理概略を説明する図である。
【図35】本発明のシステムにおけるデバイス製造エン
ティテイによるデバイスの初期登録処理フローを示す図
である。
【図36】本発明のシステムにおけるデバイスマネージ
ャによるデバイスの初期登録処理フロー(その1)を示
す図である。
【図37】本発明のシステムにおけるデバイスマネージ
ャによるデバイスの初期登録処理フロー(その2)を示
す図である。
【図38】本発明のシステムにおけるデバイスマネージ
ャによるデバイスの初期登録処理フロー(その3)を示
す図である。
【図39】本発明のシステムにおけるデバイスマネージ
ャによるデバイスの初期登録処理フロー(その4)を示
す図である。
【図40】本発明のシステムにおけるデバイスマネージ
ャによるデバイスの初期登録処理フロー(その5)を示
す図である。
【図41】本発明のシステムにおけるデバイスマネージ
ャによるデバイスの初期登録処理の後のデバイスの格納
データを説明する図である。
【図42】本発明のシステムにおけるデバイスマネージ
ャによる公開鍵証明書発行処理フロー(その1)を示す
図である。
【図43】本発明のシステムにおけるデバイスマネージ
ャによる公開鍵証明書発行処理フロー(その2)を示す
図である。
【図44】本発明のシステムにおけるデバイスマネージ
ャによる公開鍵証明書発行処理を説明する図である。
【図45】本発明のシステムにおけるデバイスマネージ
ャによる公開鍵証明書発行処理を説明する図である。
【図46】本発明のシステムにおけるデバイスマネージ
ャによる公開鍵証明書発行処理後のデバイスの格納デー
タを説明する図である。
【図47】本発明のシステムにおけるデバイスに対する
パーティション生成、削除処理フローを示す図である。
【図48】本発明のシステムにおけるデバイスとの相互
認証処理について説明するフロー(その1)である。
【図49】本発明のシステムにおけるデバイスとの相互
認証処理(デバイス認証)について説明するフロー(そ
の2)である。
【図50】本発明のシステムにおけるデバイスとの公開
鍵方式の相互認証処理について説明する図である。
【図51】本発明のシステムにおけるデバイスとの相互
認証処理後にデバイスに生成される認証テーブルの構成
を説明する図である。
【図52】本発明のシステムにおけるデバイスとの相互
認証処理後にリーダライタに生成される認証テーブルの
構成を説明する図である。
【図53】本発明のシステムにおけるデバイスとの共通
鍵方式の相互認証処理について説明する図である。
【図54】本発明のシステムにおけるデバイスとの共通
鍵方式の相互認証処理について説明する図である。
【図55】本発明のシステムにおけるデバイスとの相互
認証処理(パーティション認証)について説明するフロ
ー(その3)である。
【図56】本発明のシステムにおけるデバイスとの相互
認証処理(パーティション認証)について説明するフロ
ー(その4)である。
【図57】本発明のシステムにおけるチケットの正当
性、利用者チェック処理について説明するフロー(その
1)である。
【図58】本発明のシステムにおけるチケットの正当
性、利用者チェック処理について説明するフロー(その
2)である。
【図59】本発明のシステムにおけるチケットの正当性
で適用可能なMAC生成方式について説明するフロー
(その1)である。
【図60】本発明のシステムにおけるパーティションの
作成、削除操作について説明するフロー(その1)であ
る。
【図61】本発明のシステムにおけるパーティションの
作成、削除操作について説明するフロー(その2)であ
る。
【図62】本発明のシステムにおけるパーティションの
初期登録処理について説明するフロー(その1)であ
る。
【図63】本発明のシステムにおけるパーティションの
初期登録処理について説明するフロー(その2)であ
る。
【図64】本発明のシステムにおけるパーティションの
初期登録処理について説明するフロー(その3)であ
る。
【図65】本発明のシステムにおけるパーティションの
初期登録処理後のデバイス格納データについて説明する
図である。
【図66】本発明のシステムにおけるパーティションマ
ネージャによる公開鍵証明書発行処理を説明する図(そ
の1)である。
【図67】本発明のシステムにおけるパーティションマ
ネージャによる公開鍵証明書発行処理を説明する図(そ
の2)である。
【図68】本発明のシステムにおけるパーティションマ
ネージャによるパーティション生成処理において、公開
鍵方式認証、公開鍵方式チケット検証を実行した場合の
処理を説明する図である。
【図69】本発明のシステムにおけるパーティションマ
ネージャによるパーティション生成処理において、公開
鍵方式認証、共通鍵方式チケット検証を実行した場合の
処理を説明する図である。
【図70】本発明のシステムにおけるパーティションマ
ネージャによるパーティション生成処理において、共通
鍵方式認証、共通鍵方式チケット検証を実行した場合の
処理を説明する図である。
【図71】本発明のシステムにおけるパーティションマ
ネージャによるパーティション生成処理において、共通
鍵方式認証、公開鍵方式チケット検証を実行した場合の
処理を説明する図である。
【図72】本発明のシステムにおけるファイル登録チケ
ット(FRT)を適用したファイル生成消去処理につい
て説明するフロー図である。
【図73】本発明のシステムにおけるファイル登録チケ
ット(FRT)を適用したファイル生成削除操作につい
て説明するフロー図である。
【図74】本発明のシステムにおけるファイル登録チケ
ット(FRT)を適用したファイル生成後のデバイス格
納データを説明する図である。
【図75】本発明のシステムにおけるファイル登録チケ
ット(FRT)によるファイル生成処理において、公開
鍵方式認証、公開鍵方式チケット検証を実行した場合の
処理を説明する図である。
【図76】本発明のシステムにおけるファイル登録チケ
ット(FRT)によるファイル生成処理において、公開
鍵方式認証、共通鍵方式チケット検証を実行した場合の
処理を説明する図である。
【図77】本発明のシステムにおけるファイル登録チケ
ット(FRT)によるファイル生成処理において、共通
鍵方式認証、共通鍵方式チケット検証を実行した場合の
処理を説明する図である。
【図78】本発明のシステムにおけるファイル登録チケ
ット(FRT)によるファイル生成処理において、共通
鍵方式認証、公開鍵方式チケット検証を実行した場合の
処理を説明する図である。
【図79】本発明のシステムにおけるサービス許可チケ
ット(SPT)を適用したファイルアクセス処理フロー
を示す図である。
【図80】本発明のシステムにおけるサービス許可チケ
ット(SPT)を適用したファイルオープン操作フロー
を示す図である。
【図81】本発明のシステムにおけるサービス許可チケ
ット(SPT)を適用したファイルオープン操作により
生成されるファイルオープンテーブル構成を説明する図
(例1)である。
【図82】本発明のシステムにおけるサービス許可チケ
ット(SPT)を適用したファイルオープン操作により
生成されるファイルオープンテーブル構成を説明する図
(例2)である。
【図83】本発明のシステムにおけるサービス許可チケ
ット(SPT)を適用したファイルアクセス処理例を説
明する図(例1)である。
【図84】本発明のシステムにおけるサービス許可チケ
ット(SPT)を適用したファイルアクセス処理例を説
明する図(例2)である。
【図85】本発明のシステムにおける認証により生成さ
れるセッション鍵の取扱について説明する図である。
【図86】本発明のシステムにおけるサービス許可チケ
ット(SPT)を適用したファイルアクセス処理例を説
明するフロー図(例1)である。
【図87】本発明のシステムにおけるサービス許可チケ
ット(SPT)を適用したファイルアクセス処理例を説
明するフロー図(例2)である。
【図88】本発明のシステムにおけるサービス許可チケ
ット(SPT)を適用した複合ファイルのアクセス処理
例を説明する図である。
【図89】本発明のシステムにおけるサービス許可チケ
ット(SPT)によるファイルアクセス処理において、
公開鍵方式認証、公開鍵方式チケット検証を実行した場
合の処理を説明する図である。
【図90】本発明のシステムにおけるサービス許可チケ
ット(SPT)による処理において、公開鍵方式認証、
共通鍵方式チケット検証を実行した場合の処理を説明す
る図である。
【図91】本発明のシステムにおけるサービス許可チケ
ット(SPT)による処理において、共通鍵方式認証、
共通鍵方式チケット検証を実行した場合の処理を説明す
る図である。
【図92】本発明のシステムにおけるサービス許可チケ
ット(SPT)による処理において、共通鍵方式認証、
公開鍵方式チケット検証を実行した場合の処理を説明す
る図である。
【図93】本発明のシステムにおけるデータアップデー
トチケット(DUT)によるデータ更新処理フローを示
す図である。
【図94】本発明のシステムにおけるデータアップデー
トチケット(DUT)によるデータ更新操作フローを示
す図である。
【図95】本発明のシステムにおけるデータアップデー
トチケット(DUT)によるデータ更新処理例を説明す
る図である。
【図96】従来のメモリ構造を示す図である。
【図97】従来のメモリ管理者、利用者の関係を説明す
る図である。
【図98】従来のメモリ領域確保処理について説明する
図である。
【図99】従来のメモリアクセス方式について説明する
図である。
【符号の説明】
100 デバイス 200 デバイスマネージャ 300 パーティションマネージャ 400 コード管理機関 500 デバイス製造エンティテイ 210 パーティション登録チケット(PRT)発行手
段 220 登録局(RA) 310 ファイル登録チケット(FRT)発行手段 320 サービス許可チケット(SPT)発行手段 330 登録局(RA) 610,620 認証局(CA) 711〜714 リーダライタ(R/W) 721〜722 チケットユーザ 101 CPU 102 通信IF 103 ROM 104 RAM 105 暗号処理部 106 メモリ部(EEPROM) 211,221 制御手段 212,222 データベース 2111 制御部 2112 ROM 2113 RAM 2114 表示部 2115 入力部 2116 HDD 2117 ドライブ 2118 通信I/F 311,321,331 制御手段 312,322,332 データベース 701 CPU 702 通信IF 703 ROM 704 RAM 705 暗号処理部 706 メモリ部(EEPROM)
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 9/00 673E 675B (72)発明者 白井 太三 東京都品川区北品川6丁目7番35号 ソニ ー株式会社内 (72)発明者 高田 昌幸 東京都品川区北品川6丁目7番35号 ソニ ー株式会社内 Fターム(参考) 5J104 AA07 AA08 AA09 AA16 EA05 KA02 KA06 LA01 LA03 LA06 NA02 NA03 NA35 NA36 NA37 NA40

Claims (22)

    【特許請求の範囲】
  1. 【請求項1】データ格納可能なメモリ部を有するメモリ
    搭載デバイスに対するアクセス機器からのアクセス要求
    に応じて、前記メモリ部に対するデータ処理を実行する
    データ処理システムであり、 前記メモリ搭載デバイスは、前記メモリ部に対するデー
    タ処理に対応して構成されるアクセス制御チケットを前
    記アクセス機器から受領して、該アクセス制御チケット
    に記述されたルールに基づくデータ処理を実行する構成
    であるとともに、 前記アクセス機器からの指定または受領したアクセス制
    御チケットの記述に基づいて、前記アクセス機器との相
    互認証の方式を決定して実行するとともに、受領したア
    クセス制御チケットの記述に基づいて、アクセス制御チ
    ケットの検証方式を決定して実行し、相互認証およびチ
    ケット検証の双方の成立を条件として前記アクセス機器
    からのアクセス要求に応じる構成を有することを特徴と
    するデータ処理システム。
  2. 【請求項2】前記相互認証の方式は、公開鍵方式または
    共通鍵方式のいずれかであり、アクセス制御チケットの
    検証方式は、公開鍵方式または共通鍵方式のいずれかで
    あることを特徴とする請求項1に記載のデータ処理シス
    テム。
  3. 【請求項3】前記メモリ搭載デバイスは、 前記アクセス制御チケットの検証を実行するためのMA
    C検証用鍵を保有し、前記アクセス機器から受領したア
    クセス制御チケットの検証を共通鍵方式に従って実行す
    る場合には、該MAC検証用鍵を適用した改竄チェック
    処理を実行し、 アクセス制御チケットの検証を公開鍵方式に従って実行
    する場合には、チケット発行手段の公開鍵証明書から取
    得したチケット発行手段の公開鍵に基づく署名検証処理
    を実行する構成であることを特徴とする請求項1に記載
    のデータ処理システム。
  4. 【請求項4】前記メモリ搭載デバイスは、 前記アクセス制御チケットの検証を実行するためのMA
    C検証用鍵を複数保有し、前記アクセス機器から受領し
    たアクセス制御チケットに記録された情報に従って適用
    すべきMAC検証用鍵を選択する構成であることを特徴
    とする請求項1に記載のデータ処理システム。
  5. 【請求項5】前記アクセス制御チケットには、 前記メモリ搭載デバイスのメモリ部内の格納データの更
    新処理を許容するデータアップデートチケット(DU
    T)を含み、 前記メモリ搭載デバイスは、前記アクセス制御チケット
    の検証を実行するためのMAC検証用鍵を複数保有し、 前記メモリ搭載デバイスは、 前記アクセス機器から受領したデータアップデートチケ
    ット(DUT)に指定された更新対象データがアクセス
    制御チケットの検証を実行するためのMAC検証用鍵で
    ある場合は、複数のMAC検証用鍵から更新対象に該当
    しないMAC検証用鍵を選択して受領したデータアップ
    デートチケット(DUT)の検証処理を実行することを
    特徴とする請求項1に記載のデータ処理システム。
  6. 【請求項6】前記メモリ搭載デバイスのメモリ部は、 各々が対応するパーティションマネージャによって管理
    されるメモリ領域としての1以上のパーティション領域
    を有し、 前記メモリ搭載デバイスは、 前記アクセス機器からの各パーティション内のデータに
    対するアクセス要求に対する処理を、各パーティション
    マネージャの管理下のチケット発行手段が発行し、チケ
    ット利用手段としての前記アクセス機器から前記メモリ
    搭載デバイスに対して入力されるアクセス制御チケット
    の記述に基づいて実行する構成であることを特徴とする
    請求項1に記載のデータ処理システム。
  7. 【請求項7】前記メモリ搭載デバイスのメモリ部は、 各々が対応するパーティションマネージャによって管理
    されるメモリ領域としての1以上のパーティション領域
    を有し、 前記メモリ搭載デバイスは、 前記アクセス機器とのセッション中に実行したパーティ
    ション認証またはデバイス認証によって取得した公開鍵
    方式認証情報およびセッション鍵、または共通鍵方式認
    証情報およびセッション鍵を対応付けた認証テーブルを
    生成して、当該セッション期間、保持する構成を有する
    ことを特徴とする請求項1に記載のデータ処理システ
    ム。
  8. 【請求項8】データ格納可能なメモリ部を有するメモリ
    搭載デバイスであり、 アクセス機器からのアクセス要求に応じて、前記メモリ
    部に対するデータ処理を実行する制御手段を有し、 前記制御手段は、前記メモリ部に対するデータ処理に対
    応して構成されるアクセス制御チケットを前記アクセス
    機器から受領して、該アクセス制御チケットに記述され
    たルールに基づくデータ処理を実行する構成であるとと
    もに、 前記アクセス機器からの指定または受領したアクセス制
    御チケットの記述に基づいて、前記アクセス機器との相
    互認証の方式を決定して実行するとともに、受領したア
    クセス制御チケットの記述に基づいて、アクセス制御チ
    ケットの検証方式を決定して実行し、相互認証およびチ
    ケット検証の双方の成立を条件として前記アクセス機器
    からのアクセス要求に応じる構成を有することを特徴と
    するメモリ搭載デバイス。
  9. 【請求項9】前記制御手段は、 前記相互認証の方式として、公開鍵方式または共通鍵方
    式のいずれかを選択的に実行し、 アクセス制御チケットの検証方式として、公開鍵方式ま
    たは共通鍵方式のいずれかを選択的に実行する構成であ
    ることを特徴とする請求項8に記載のメモリ搭載デバイ
    ス。
  10. 【請求項10】前記メモリ搭載デバイスは、 前記アクセス制御チケットの検証を実行するためのMA
    C検証用鍵を保有し、前記制御手段は、 前記アクセス機器から受領したアクセス制御チケットの
    検証を共通鍵方式に従って実行する場合には、該MAC
    検証用鍵を適用した改竄チェック処理を実行し、 アクセス制御チケットの検証を公開鍵方式に従って実行
    する場合には、チケット発行手段の公開鍵証明書から取
    得したチケット発行手段の公開鍵に基づく署名検証処理
    を実行する構成であることを特徴とする請求項8に記載
    のメモリ搭載デバイス。
  11. 【請求項11】前記メモリ搭載デバイスは、 前記アクセス制御チケットの検証を実行するためのMA
    C検証用鍵を複数保有し、 前記制御手段は、 前記アクセス機器から受領したアクセス制御チケットに
    記録された情報に従って適用すべきMAC検証用鍵を選
    択する構成であることを特徴とする請求項8に記載のメ
    モリ搭載デバイス。
  12. 【請求項12】前記アクセス制御チケットには、 前記メモリ搭載デバイスのメモリ部内の格納データの更
    新処理を許容するデータアップデートチケット(DU
    T)を含み、 前記メモリ搭載デバイスは、前記アクセス制御チケット
    の検証を実行するためのMAC検証用鍵を複数保有し、 前記制御手段は、 前記アクセス機器から受領したデータアップデートチケ
    ット(DUT)に指定された更新対象データがアクセス
    制御チケットの検証を実行するためのMAC検証用鍵で
    ある場合は、複数のMAC検証用鍵から更新対象に該当
    しないMAC検証用鍵を選択して受領したデータアップ
    デートチケット(DUT)の検証処理を実行することを
    特徴とする請求項8に記載のメモリ搭載デバイス。
  13. 【請求項13】前記メモリ搭載デバイスのメモリ部は、 各々が対応するパーティションマネージャによって管理
    されるメモリ領域としての1以上のパーティション領域
    を有し、 前記制御手段は、 前記アクセス機器からの各パーティション内のデータに
    対するアクセス要求に対する処理を、各パーティション
    マネージャの管理下のチケット発行手段が発行し、チケ
    ット利用手段としての前記アクセス機器から前記メモリ
    搭載デバイスに対して入力されるアクセス制御チケット
    の記述に基づいて実行する構成であることを特徴とする
    請求項8に記載のメモリ搭載デバイス。
  14. 【請求項14】前記メモリ搭載デバイスのメモリ部は、 各々が対応するパーティションマネージャによって管理
    されるメモリ領域としての1以上のパーティション領域
    を有し、 前記制御手段は、 前記アクセス機器とのセッション中に実行したパーティ
    ション認証またはデバイス認証によって取得した公開鍵
    方式認証情報およびセッション鍵、または共通鍵方式認
    証情報およびセッション鍵を対応付けた認証テーブルを
    生成して、当該セッション期間、保持する構成を有する
    ことを特徴とする請求項8に記載のメモリ搭載デバイ
    ス。
  15. 【請求項15】データ格納可能なメモリ部を有するメモ
    リ搭載デバイスに対するアクセス機器からのアクセス要
    求に応じて、前記メモリ部に対するデータ処理を実行す
    るデータ処理方法であり、 前記メモリ搭載デバイスにおいて、 前記メモリ部に対するデータ処理に対応して構成される
    アクセス制御チケットを前記アクセス機器から受領し
    て、該アクセス制御チケットに記述されたルールに基づ
    くデータ処理を実行し、 前記アクセス機器からの指定または受領したアクセス制
    御チケットの記述に基づいて、前記アクセス機器との相
    互認証の方式を決定して実行するとともに、受領したア
    クセス制御チケットの記述に基づいて、アクセス制御チ
    ケットの検証方式を決定して実行し、相互認証およびチ
    ケット検証の双方の成立を条件として前記アクセス機器
    からのアクセス要求を実行することを特徴とするデータ
    処理方法。
  16. 【請求項16】前記相互認証の方式は、公開鍵方式また
    は共通鍵方式のいずれかであり、アクセス制御チケット
    の検証方式は、公開鍵方式または共通鍵方式のいずれか
    であることを特徴とする請求項15に記載のデータ処理
    方法。
  17. 【請求項17】前記メモリ搭載デバイスは、 前記アクセス制御チケットの検証を実行するためのMA
    C検証用鍵を保有し、前記アクセス機器から受領したア
    クセス制御チケットの検証を共通鍵方式に従って実行す
    る場合には、該MAC検証用鍵を適用した改竄チェック
    処理を実行し、 アクセス制御チケットの検証を公開鍵方式に従って実行
    する場合には、チケット発行手段の公開鍵証明書から取
    得したチケット発行手段の公開鍵に基づく署名検証処理
    を実行することを特徴とする請求項15に記載のデータ
    処理方法。
  18. 【請求項18】前記メモリ搭載デバイスは、 前記アクセス制御チケットの検証を実行するためのMA
    C検証用鍵を複数保有し、前記アクセス機器から受領し
    たアクセス制御チケットに記録された情報に従って適用
    すべきMAC検証用鍵を選択することを特徴とする請求
    項15に記載のデータ処理方法。
  19. 【請求項19】前記アクセス制御チケットには、 前記メモリ搭載デバイスのメモリ部内の格納データの更
    新処理を許容するデータアップデートチケット(DU
    T)を含み、 前記メモリ搭載デバイスは、前記アクセス制御チケット
    の検証を実行するためのMAC検証用鍵を複数保有し、 前記メモリ搭載デバイスは、 前記アクセス機器から受領したデータアップデートチケ
    ット(DUT)に指定された更新対象データがアクセス
    制御チケットの検証を実行するためのMAC検証用鍵で
    ある場合は、複数のMAC検証用鍵から更新対象に該当
    しないMAC検証用鍵を選択して受領したデータアップ
    デートチケット(DUT)の検証処理を実行することを
    特徴とする請求項15に記載のデータ処理方法。
  20. 【請求項20】前記メモリ搭載デバイスのメモリ部は、 各々が対応するパーティションマネージャによって管理
    されるメモリ領域としての1以上のパーティション領域
    を有し、 前記メモリ搭載デバイスは、 前記アクセス機器からの各パーティション内のデータに
    対するアクセス要求に対する処理を、各パーティション
    マネージャの管理下のチケット発行手段が発行し、チケ
    ット利用手段としての前記アクセス機器から前記メモリ
    搭載デバイスに対して入力されるアクセス制御チケット
    の記述に基づいて実行することを特徴とする請求項15
    に記載のデータ処理方法。
  21. 【請求項21】前記メモリ搭載デバイスのメモリ部は、 各々が対応するパーティションマネージャによって管理
    されるメモリ領域としての1以上のパーティション領域
    を有し、 前記メモリ搭載デバイスは、 前記アクセス機器とのセッション中に実行したパーティ
    ション認証またはデバイス認証によって取得した公開鍵
    方式認証情報およびセッション鍵、または共通鍵方式認
    証情報およびセッション鍵を対応付けた認証テーブルを
    生成して、当該セッション期間、保持することを特徴と
    する請求項15に記載のデータ処理方法。
  22. 【請求項22】データ格納可能なメモリ部を有するメモ
    リ搭載デバイスに対するアクセス機器からのアクセス要
    求に応じて、前記メモリ部に対するデータ処理をコンピ
    ュータ・システム上で実行せしめるコンピュータ・プロ
    グラムを提供するプログラム記憶媒体であって、前記コ
    ンピュータ・プログラムは、 前記メモリ部に対するデータ処理に対応して構成される
    アクセス制御チケットを前記アクセス機器から受領する
    ステップと、 前記アクセス機器からの指定または受領したアクセス制
    御チケットの記述に基づいて、前記アクセス機器との相
    互認証の方式を決定して実行するステップと、受領した
    アクセス制御チケットの記述に基づいて、アクセス制御
    チケットの検証方式を決定して実行するステップと、 相互認証およびチケット検証の双方の成立を条件として
    前記アクセス機器からのアクセス要求を実行するステッ
    プと、 を有することを特徴とするプログラム記憶媒体。
JP2001073600A 2001-03-15 2001-03-15 データ処理システム、メモリ搭載デバイス、およびデータ処理方法、並びにプログラム記憶媒体 Abandoned JP2002281023A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001073600A JP2002281023A (ja) 2001-03-15 2001-03-15 データ処理システム、メモリ搭載デバイス、およびデータ処理方法、並びにプログラム記憶媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001073600A JP2002281023A (ja) 2001-03-15 2001-03-15 データ処理システム、メモリ搭載デバイス、およびデータ処理方法、並びにプログラム記憶媒体

Publications (1)

Publication Number Publication Date
JP2002281023A true JP2002281023A (ja) 2002-09-27

Family

ID=18930998

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001073600A Abandoned JP2002281023A (ja) 2001-03-15 2001-03-15 データ処理システム、メモリ搭載デバイス、およびデータ処理方法、並びにプログラム記憶媒体

Country Status (1)

Country Link
JP (1) JP2002281023A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003316461A (ja) * 2002-04-23 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> 共通テナント管理者によるicカード相互運用方法及びシステム
EP1492106A2 (en) 2003-06-26 2004-12-29 Samsung Electronics Co., Ltd. A method to authenticate a data processing apparatus having a recording device and apparatuses therefor
JP2005341519A (ja) * 2003-07-28 2005-12-08 Giken Shoji International Co Ltd Usbトークン電子証明書格納システム

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003316461A (ja) * 2002-04-23 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> 共通テナント管理者によるicカード相互運用方法及びシステム
EP1492106A2 (en) 2003-06-26 2004-12-29 Samsung Electronics Co., Ltd. A method to authenticate a data processing apparatus having a recording device and apparatuses therefor
EP1492106A3 (en) * 2003-06-26 2005-06-22 Samsung Electronics Co., Ltd. A method to authenticate a data processing apparatus having a recording device and apparatuses therefor
US7620813B2 (en) 2003-06-26 2009-11-17 Samsung Electronics Co., Ltd. Method to authenticate a data processing apparatus having a recording device and apparatuses therefor
JP2005341519A (ja) * 2003-07-28 2005-12-08 Giken Shoji International Co Ltd Usbトークン電子証明書格納システム

Similar Documents

Publication Publication Date Title
KR100874061B1 (ko) 액세스 제어 티켓을 이용한 메모리 액세스 제어 시스템 및관리 방법
KR100860162B1 (ko) 액세스 제어 티켓을 이용한 데이터 액세스 관리 시스템 및관리 방법
TWI701572B (zh) 資料存取的方法、系統及裝置
EP3816923B1 (en) Blockchain-based private transactions and usage method and apparatus therefor
US8756415B2 (en) Memory device, host device, and memory system
CN100511329C (zh) 数据处理设备和数据处理方法
TW514844B (en) Data processing system, storage device, data processing method and program providing media
US11405198B2 (en) System and method for storing and managing keys for signing transactions using key of cluster managed in trusted execution environment
JP2003016397A (ja) データ処理システム、メモリデバイス、データ処理装置、およびデータ処理方法、並びにプログラム
JPWO2005117336A1 (ja) 親子カード認証システム
KR20200133881A (ko) 분산 환경에서의 신원 인증 방법
US9400876B2 (en) Content data management system and method
CN107563207A (zh) 加密方法、装置及解密方法、装置
JPWO2019082442A1 (ja) データ登録方法、データ復号方法、データ構造、コンピュータ、及びプログラム
JP2002279390A (ja) データアクセス制御システム、メモリ搭載デバイス、およびデータアクセス制御方法、並びにプログラム記憶媒体
JP2002281009A (ja) 相互認証システム、相互認証方法、およびメモリ搭載デバイス、メモリアクセス機器、並びにプログラム記憶媒体
JP2002281023A (ja) データ処理システム、メモリ搭載デバイス、およびデータ処理方法、並びにプログラム記憶媒体
CN113836516B (zh) 一种打印机硒鼓防伪与打印次数保护系统、方法
JP2002278842A (ja) メモリアクセス制御システム、メモリ搭載デバイス、およびメモリアクセス制御方法、並びにプログラム記憶媒体
CN109871678A (zh) 采购业务数据加密方法、装置、设备及存储介质
JP2002278841A (ja) データアクセス処理システム、メモリ搭載デバイス、およびデータアクセス処理方法、並びにプログラム記憶媒体
JP7439261B2 (ja) 分散環境でのキャンセルされたリクエストのためのアクセス管理
KR20220167936A (ko) 보안 프로세서를 포함하는 시스템 온 칩과 이를 포함하는 반도체 시스템
JP5076546B2 (ja) コンテンツデータ管理システム及び装置
KR20200011735A (ko) 블록체인 환경에서 개인정보 관리 방법 및 시스템

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080304

A762 Written abandonment of application

Free format text: JAPANESE INTERMEDIATE CODE: A762

Effective date: 20090817