JP2007034946A - Information processor and method, and program - Google Patents

Information processor and method, and program Download PDF

Info

Publication number
JP2007034946A
JP2007034946A JP2005220962A JP2005220962A JP2007034946A JP 2007034946 A JP2007034946 A JP 2007034946A JP 2005220962 A JP2005220962 A JP 2005220962A JP 2005220962 A JP2005220962 A JP 2005220962A JP 2007034946 A JP2007034946 A JP 2007034946A
Authority
JP
Japan
Prior art keywords
access
service
area
memory area
restricted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005220962A
Other languages
Japanese (ja)
Other versions
JP4722610B2 (en
Inventor
Toshiharu Takemura
俊治 竹村
Toyoichi Ota
豊一 太田
Yasumasa Nakatsugawa
泰正 中津川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Felica Networks Inc
Original Assignee
Felica Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Felica Networks Inc filed Critical Felica Networks Inc
Priority to JP2005220962A priority Critical patent/JP4722610B2/en
Publication of JP2007034946A publication Critical patent/JP2007034946A/en
Application granted granted Critical
Publication of JP4722610B2 publication Critical patent/JP4722610B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To rapidly access a service memory area imposed with access restriction. <P>SOLUTION: The service memory area accessed by one service is configured by at least one data block, and a definition block storing prescribed definition information for defining the service is associated. Inside the definition information of each the definition block, PIN setting ineffectiveness information showing that execution of the service is not restricted, or PIN setting effectiveness information showing that the execution of the service is restricted is set, and a secret code necessary for authentication of the execution of the service is also set when the PIN setting effectiveness information is set. The PIN setting information is referred to, and it is decided whether the access is restricted or not. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、情報処理装置および方法、並びにプログラムに関し、特に、ICチップにおけるサービスメモリ領域へのアクセスを迅速に行うことができるようにする情報処理装置および方法、並びにプログラムに関する。   The present invention relates to an information processing device and method, and a program, and more particularly, to an information processing device and method, and a program that enable quick access to a service memory area in an IC chip.

近年、FeliCa(登録商標)などの非接触ICチップが組み込まれた携帯電話機等が普及し、ユーザは、例えば、その携帯電話機を店舗に設置された端末(リーダライタ)にかざすだけで、電子マネーによる代金支払いを、簡単に行うことができる。 In recent years, cellular phones and the like in which a non-contact IC chip such as FeliCa (registered trademark) is incorporated have become widespread. For example, a user can simply hold an electronic money by holding the cellular phone over a terminal (reader / writer) installed in a store. You can easily make payments with.

ところでこのようなICチップにおける処理(例えば電子マネーによる代金支払い処理)は、ICチップ内の、所定のメモリ領域がアクセスされ、そこに格納されているデータに対する読み出しや書き込み等が適宜行われることで実現されるが、扱われるデータによってはメモリ領域へのアクセスが制限されている。   By the way, such processing in the IC chip (for example, payment processing by electronic money) is performed by accessing a predetermined memory area in the IC chip and appropriately reading and writing data stored therein. Although implemented, access to the memory area is restricted depending on the data to be handled.

すなわち処理が実際に開始される際には、はじめにアクセスが必要となるメモリ領域のうちの、アクセスが制限されているメモリ領域について、それに割り当てられた所定の暗証コード等に基づいてそのメモリ領域へのアクセスが認証されてから処理が開始される。そして処理中は、メモリ領域へのアクセスの認証結果が随時確認されてメモリ領域へのアクセスが行われる。   That is, when the process is actually started, the memory area to which access is restricted among the memory areas that need to be accessed first is transferred to the memory area based on a predetermined password assigned to the memory area. The process is started after the access is authenticated. During processing, the authentication result of access to the memory area is confirmed at any time, and the memory area is accessed.

なお以下において、アクセスされるメモリ領域(処理に必要なアクセス対象のデータが格納されているメモリ領域)を、サービスメモリ領域と称し、サービスメモリ領域へアクセスする処理動作のことを、サービスと称する。   In the following, a memory area to be accessed (a memory area in which data to be accessed necessary for processing is stored) is referred to as a service memory area, and a processing operation for accessing the service memory area is referred to as a service.

1つのサービスによってアクセスされるサービスメモリ領域は、読み出し又は書き込み等されるデータが格納されている、1個以上のデータブロックで構成される。またサービスメモリ領域には、サービスを定義する所定の定義情報が格納されている定義ブロックが対応付けられている。   A service memory area accessed by one service is composed of one or more data blocks in which data to be read or written is stored. The service memory area is associated with a definition block storing predetermined definition information for defining a service.

暗証コードへのアクセスも1つのサービス(以下、PINサービスと称する)であり、そのPINサービスによってアクセスされるサービスメモリ領域は、暗証データ等が格納されるデータブロックから構成され、そのサービスメモリ領域には、PINサービスを定義する定義ブロックが対応付けられている。   Access to the personal identification code is also one service (hereinafter referred to as PIN service), and the service memory area accessed by the PIN service is composed of data blocks in which personal identification data and the like are stored. Is associated with a definition block that defines a PIN service.

このような定義ブロックおよびデータブロックの設定は、サービスを登録することによって行われるが、サービスが複数存在する場合、図1に示すように、階層的にサービスが登録される(特許文献1参照)。   Such definition blocks and data blocks are set by registering services. When there are a plurality of services, the services are registered hierarchically as shown in FIG. 1 (see Patent Document 1). .

この例では、「システム」および「エリア」という概念的範囲が設けられ、「システム」に従属して、「エリアA0」が設けられ、「エリアA0」に従属して、「エリアA1」および「エリアA2」が設けられている。また「エリアA1」に従属して「エリアA1」のPINサービスS1−1(「エリアA1」に従属するサービスを利用するための認証に必要なサービス)とサービスS1−2がそれぞれ登録されている。   In this example, conceptual ranges of “system” and “area” are provided, and “area A0” is provided subordinate to “system”, and “area A1” and “area” are subordinate to “area A0”. Area A2 "is provided. In addition, a PIN service S1-1 (service required for authentication for using a service subordinate to "Area A1") and a service S1-2 subordinate to "Area A1" are registered respectively. .

「エリアA2」には、サービスS2−1とサービスS2−1のPINサービスS2−2(サービス2−1の実行の認証に必要なサービス)が登録されている。   In the “area A2”, the service S2-1 and the PIN service S2-2 of the service S2-1 (services necessary for authentication of the execution of the service 2-1) are registered.

このようにサービスを階層的に登録することにより、一連のトランザクションに実行されるサービスを所定の「エリア」にまとめて登録することができるので、サービスの管理を容易にすることができる。   By registering services hierarchically in this way, services executed in a series of transactions can be registered together in a predetermined “area”, so that service management can be facilitated.

ここで「エリア」およびサービスの登録(以下、適宜、「サービスの登録」と略称する)処理を、図2を参照して簡単に説明する。   Here, the “area” and service registration (hereinafter abbreviated as “service registration” where appropriate) processing will be briefly described with reference to FIG.

所定のブロックコードが割り当てられて生成されたサービスに対応するブロック(定義ブロック、データブロック)は、図2に示すように、ICチップ内の不揮発性メモリの所定のメモリ領域(以下、データ領域と称する)1Aの所定の物理アドレス&に記憶される。   As shown in FIG. 2, a block (definition block, data block) corresponding to a service generated by assigning a predetermined block code is a predetermined memory area (hereinafter referred to as a data area) of a non-volatile memory in the IC chip. Stored in a predetermined physical address & of 1A.

サービスに対応する各ブロックの、例えばブロックコードは、図2に示すように、ICチップ内の不揮発性メモリの所定のメモリ領域(以下、管理ファイル2)に、階層構造に応じた順番に論理アドレス#が対応付けられる。   As shown in FIG. 2, for example, the block code of each block corresponding to the service is stored in a predetermined memory area (hereinafter referred to as management file 2) of the nonvolatile memory in the IC chip in a logical address in the order corresponding to the hierarchical structure. # Is associated.

図2の例では、各サービスの定義ブロックには、論理アドレス#が、階層構造の順番に、先頭の論理アドレス#から対応付けられ、データブロックには、階層構造の順番に、最後尾の論理アドレス#から対応付けられる。   In the example of FIG. 2, the logical address # is associated with the definition block of each service in the hierarchical structure order from the top logical address #, and the data block is the last logical address in the hierarchical structure order. Corresponding from address #.

すなわち、定義ブロックについては、図1の例において最上位の「システム」の定義ブロックのブロックコードには、先頭(第1番目)の論理ブロック#00が対応付けられ、「システム」に従属する「エリアA0」の定義ブロックのブロックコードには、第2番目の論理ブロック#01が対応付けられ、そして「エリアA0」に従属する「エリアA1」の定義ブロックのブロックコードには、第3番目の論理ブロック#02が対応付けられる。   That is, for the definition block, the top (first) logical block # 00 is associated with the block code of the topmost “system” definition block in the example of FIG. The block code of the definition block of “Area A0” is associated with the second logical block # 01, and the block code of the definition block of “Area A1” subordinate to “Area A0” Logical block # 02 is associated.

そして「エリアA1」に従属するPINサービスS1−1およびサービスS1−2の定義ブロックのブロックコードには、第4番目の論理ブロック#03および第5番目の論理ブロック#04がそれぞれ対応付けられる。   Then, the fourth logical block # 03 and the fifth logical block # 04 are associated with the block codes of the definition blocks of the PIN service S1-1 and service S1-2 subordinate to “area A1”, respectively.

「エリアA0」に従属するもう1つの「エリアA2」の定義ブロックのブロックコードには、第6番目の論理ブロック#05が対応付けられ、「エリアA2」に従属するサービスS2−1およびPINサービスS2−2の定義ブロックには、第7番目の論理ブロック#06および第8番目の論理ブロック#07がそれぞれ対応付けられる。   The block code of the definition block of another “area A2” subordinate to “area A0” is associated with the sixth logical block # 05, and service S2-1 and PIN service subordinate to “area A2” The definition block of S2-2 is associated with the seventh logical block # 06 and the eighth logical block # 07, respectively.

データブロックについては、「エリアA1」に属するPINサービスS1−1のデータブロックには、それより上位の「システム」、「エリアA0」、および「エリアA1」にデータブロックが存在しないので、最後尾の論理アドレス#20が対応付けられ、サービスS1−2のデータブロックには、論理アドレス#19が対応付けられる。   As for the data block, the data block of the PIN service S1-1 belonging to “area A1” does not have a data block in “system”, “area A0”, and “area A1” higher than that, so Is associated with logical address # 20, and the data block of service S1-2 is associated with logical address # 19.

また「エリアA2」に属するPINサービスS2−2のデータブロックには、論理アドレス#18が対応付けられる。   Further, the logical address # 18 is associated with the data block of the PIN service S2-2 belonging to “area A2”.

このように各サービスのブロックコードには、階層構造に応じた順番に論理アドレス#が対応付けられるが、各ブロックの物理アドレス&は、図2に示すように、ICチップ内の不揮発性メモリの所定のメモリ領域(以下、管理領域と称する)1Bに(図2)、ブロックコードに対応付けられた論理アドレス#の順番に応じた位置にある記憶部11に記憶される。   As described above, the logical address # is associated with the block code of each service in the order according to the hierarchical structure. However, as shown in FIG. 2, the physical address & of each block is stored in the nonvolatile memory in the IC chip. A predetermined memory area (hereinafter referred to as a management area) 1B (FIG. 2) is stored in the storage unit 11 at a position corresponding to the order of the logical address # associated with the block code.

図2の例では、例えば第1番目の論理アドレス#00が対応付けられた「システム」(その定義ブロック)の物理アドレス&01が、管理領域1Bの第1番目の記憶部11に記憶される。また第2番目の論理アドレス#01が対応付けられた「エリアA0」(その定義ブロック)の物理アドレス&10が、管理領域1Bの第2番目の記憶部11に記憶される。   In the example of FIG. 2, for example, the physical address & 01 of “system” (its definition block) associated with the first logical address # 00 is stored in the first storage unit 11 of the management area 1B. Also, the physical address & 10 of “area A0” (its definition block) associated with the second logical address # 01 is stored in the second storage unit 11 of the management area 1B.

このように、所定のブロック(定義ブロック、データブロック)がデータ領域1Aの所定の物理アドレス&に記憶され、例えばブロックコードに、階層構造に対応した論理アドレス#が対応付けられ、そして物理アドレス&が、論理アドレス#に対応付けられて記憶されることで、サービスが登録される。   In this way, a predetermined block (definition block, data block) is stored at a predetermined physical address & in the data area 1A. For example, a logical address # corresponding to a hierarchical structure is associated with a block code, and a physical address & Is stored in association with the logical address #, so that the service is registered.

次に、サービスメモリ領域へのアクセス処理(サービスの実行)を、図3のフローチャートを参照して説明する。なおアクセスが制限されているサービスメモリ領域の認証は、すでに行われているものとする。   Next, access processing (service execution) to the service memory area will be described with reference to the flowchart of FIG. It is assumed that the service memory area to which access is restricted has already been authenticated.

ステップS1において、いまからアクセスするサービスメモリ領域(以下、対象サービスメモリ領域と称する)が検出される。この処理の詳細は、図4のフローチャートに示されている。   In step S1, a service memory area to be accessed (hereinafter referred to as a target service memory area) is detected. Details of this processing are shown in the flowchart of FIG.

ステップS21において、対象サービスメモリ領域へアクセスするためのサービス(以下、対象サービスと称する)の、例えばサービスコードが入力される。入力されるサービスコードは、処理(例えば、電子マネーによる代金支払処理)の実行によって適宜決定される。   In step S21, for example, a service code of a service for accessing the target service memory area (hereinafter referred to as a target service) is input. The input service code is appropriately determined by executing a process (for example, a payment process using electronic money).

この場合、対象サービスメモリ領域は、図1および図2に示したように登録されたサービスの中のサービスS1−2のデータブロックとし、ここでは、サービスS1−2の定義ブロックのブロックコードが、サービスS1−2のサービスコードとして入力されるものとする。   In this case, the target service memory area is the data block of the service S1-2 in the registered service as shown in FIGS. 1 and 2, and here, the block code of the definition block of the service S1-2 is It is assumed that the service code is input as the service S1-2.

ステップS22において、入力された定義ブロックのブロックコードに対応する論理アドレス#が検出される。   In step S22, a logical address # corresponding to the block code of the input definition block is detected.

サービスS1−2の定義ブロックのブロックコードは、図2に示したように、論理アドレス#04に対応付けられて論理ファイル2に管理されているので、論理アドレス#04が検出される。   Since the block code of the definition block of the service S1-2 is managed in the logical file 2 in association with the logical address # 04 as shown in FIG. 2, the logical address # 04 is detected.

ステップS23において、管理領域1Bの、検出された論理アドレス#04に対応する位置にある記憶部11に記憶されている物理アドレス&が検出される。   In step S23, the physical address & stored in the storage unit 11 at the position corresponding to the detected logical address # 04 in the management area 1B is detected.

管理領域1Bの、論理アドレス#04(第5番目の論理アドレス#)に対応する第5番目の記憶部11には、サービスS1−2の定義ブロックの物理アドレス&04が記憶されているので、物理アドレス&04が検出される。   The fifth storage unit 11 corresponding to the logical address # 04 (fifth logical address #) in the management area 1B stores the physical address & 04 of the definition block of the service S1-2. Address & 04 is detected.

ステップS24において、検出された、データ領域1Aの物理アドレス&04に記憶されているブロック(サービスS1−2の定義ブロック)が検出され、その中の定義情報が読み出される。   In step S24, the detected block (definition block of service S1-2) stored in the physical address & 04 of the data area 1A is detected, and the definition information therein is read out.

ステップS25において、読み出されたサービスS1−2の定義情報からサービスS1−2のデータブロックのブロックコードが検出され、そのコードに対応する論理アドレス#19が検出される。   In step S25, the block code of the data block of the service S1-2 is detected from the read definition information of the service S1-2, and the logical address # 19 corresponding to the code is detected.

ステップS26において、管理領域1Bの、検出された論理アドレス#19(後ろから第2番目の論理ブロック#)に対応する位置にある記憶部11(後から第2番目の記憶部11)に記憶されているデータブロックの物理アドレス&17が検出される。   In step S26, the information is stored in the storage unit 11 (the second storage unit 11 from the back) at the position corresponding to the detected logical address # 19 (the second logical block # from the back) in the management area 1B. The physical address & 17 of the current data block is detected.

このように対象サービスメモリ領域のデータブロックが検出されると(その物理アドレス&が検出されると)、図3に戻りステップS2において、対象サービスメモリ領域へのアクセス(サービスS1−2の実行)が制限されているかが判定される。   When a data block in the target service memory area is detected in this way (when its physical address & is detected), returning to FIG. 3, in step S2, access to the target service memory area (execution of service S1-2) It is determined whether or not is restricted.

サービスの実行が制限されている場合、そのサービスの実行には、暗証コードに基づく認証が必要となるので、認証コードが格納されているメモリ領域へのアクセス(PINサービス)が登録されている。   When execution of a service is restricted, authentication based on a personal identification code is required for execution of the service, so access to a memory area in which the authentication code is stored (PIN service) is registered.

PINサービスのサービスコード(その定義ブロックのブロックコード)には、認証されるサービスのサービスコード(その定義ブロックのブロックコード)から導き出せる所定のコードが割り当てられている。   A predetermined code that can be derived from the service code of the service to be authenticated (block code of the definition block) is assigned to the service code of the PIN service (block code of the definition block).

例えばサービスS1−2のブロックコードが、16ビットで構成され、「1008」である場合、PINサービスには、その第6ビットが1になる「1028」のブロックコード(サービスコード)が割り当てられる。   For example, when the block code of the service S1-2 is composed of 16 bits and is “1008”, a block code (service code) of “1028” in which the sixth bit is 1 is assigned to the PIN service.

すなわちここでは、ステップS21で入力されたサービスコードから導き出せるPINサービスのサービスコードが論理ファイル2(図2)に設定されているかが判定される。   That is, here, it is determined whether the service code of the PIN service that can be derived from the service code input in step S21 is set in the logical file 2 (FIG. 2).

いまの例の場合、サービスS1−2の実行は制限されていないので、サービスS1−2のサービスコードに対応するPINサービスのコードは、論理ファイル2に存在しない。   In the present example, since the execution of the service S1-2 is not restricted, the PIN service code corresponding to the service code of the service S1-2 does not exist in the logical file 2.

ステップS2で、対象サービスメモリ領域へのアクセス(対象サービスの実行)が制限されていると判定された場合、ステップS3に進み、アクセスが許可されているか否かが判定される。   If it is determined in step S2 that access to the target service memory area (execution of the target service) is restricted, the process proceeds to step S3 to determine whether or not access is permitted.

対象サービスの実行が許可されている場合、対応するPINサービスのサービスコードが、ICチップ内の揮発性メモリの所定のメモリ領域(以下、認証済みサービス記憶領域と称する)に記憶されるようになされているので、いまの場合、その認証済みサービス記憶領域に、ステップS2で求められたPINサービスのサービスコードが記憶されているかが判定される。   When execution of the target service is permitted, the service code of the corresponding PIN service is stored in a predetermined memory area (hereinafter referred to as an authenticated service storage area) of the volatile memory in the IC chip. Therefore, in this case, it is determined whether the service code of the PIN service obtained in step S2 is stored in the authenticated service storage area.

ステップS2で、対象サービスのPINサービスは存在しないと判定された場合、またはステップS3で、アクセスが許可されていると判定された場合、ステップS4に進む。   If it is determined in step S2 that the PIN service of the target service does not exist, or if it is determined in step S3 that access is permitted, the process proceeds to step S4.

ステップS4において、対象サービスに「親エリア」が存在するか否かが判定される(対象サービスが所定の「エリア」に従属して登録されているか否かが判定される)。   In step S4, it is determined whether or not the “parent area” exists in the target service (determining whether or not the target service is registered depending on a predetermined “area”).

具体的には、サービスが所定の「エリア」に従属して登録されている場合、そのサービスの定義ブロックの定義情報(ステップS24で読み出された定義情報)には「親エリア」のコード(「親エリア」の定義ブロックのブロックコード)が設定されているので、定義情報に「親エリア」のコードが設定されているかが判定される。   Specifically, when a service is registered subordinate to a predetermined “area”, the definition information (definition information read in step S24) of the definition block of the service includes the code “parent area” ( Since the block code of the definition block of “parent area” is set, it is determined whether the code of “parent area” is set in the definition information.

図1の例では、サービスS1−2は、「エリアA1」に従属して登録されているので、「親エリア」が存在し、サービスS1−2の定義ブロックの定義情報には、「A1エリア」のコードが設定されている。   In the example of FIG. 1, since the service S1-2 is registered subordinate to the “area A1”, the “parent area” exists, and the definition information of the definition block of the service S1-2 includes “A1 area”. "Is set.

ステップS4で、「親エリア」が存在すると判定された場合、ステップS5に進み、「親エリア」へのアクセスが制限されているか否かが判定される。すなわち「親エリア」のコードから導き出せるPINサービスのコードが論理ファイル2に設定されているか否かが判定される。   If it is determined in step S4 that the “parent area” exists, the process proceeds to step S5 to determine whether or not access to the “parent area” is restricted. That is, it is determined whether or not the PIN service code that can be derived from the “parent area” code is set in the logical file 2.

いまの場合、「エリアA1」へのアクセスは制限されており、「エリアA1」のPINサービスS1−1が存在する。   In this case, access to “Area A1” is restricted, and the PIN service S1-1 of “Area A1” exists.

なおこのとき「親エリア」のコードから論理アドレス#が求められ、そしてその論理アドレス#から、その定義ブロックの物理アドレス&が検出され、データ領域1Aの、検出された物理アドレス&に記憶されている「親エリア」の定義情報が読み出される。   At this time, the logical address # is obtained from the code of the “parent area”, and the physical address & of the definition block is detected from the logical address # and stored in the detected physical address & of the data area 1A. The definition information of the “parent area” is read.

ステップS5で、「親エリア」へのアクセスが制限されていると判定された場合、ステップS6に進み、そのアクセスは許可されているか否か(PINサービスS1−1のコードが認証済みサービス記憶領域に記憶されているか否か)が判定される。   If it is determined in step S5 that access to the “parent area” is restricted, the process proceeds to step S6, and whether or not the access is permitted (the PIN service S1-1 code is an authenticated service storage area). Or not) is determined.

ステップS5で、「親エリア」へのアクセスが制限されていないと判定された場合、またはステップS6で、アクセスが許可されていると判定された場合、ステップS7に進み、アクセスの制限を確認していない「親エリア」がまだ存在するか否かが判定され、存在すると判定された場合、ステップS5に戻り、より上位の「親エリア」に対して同様の処理が行われる。   If it is determined in step S5 that access to the “parent area” is not restricted, or if it is determined in step S6 that access is permitted, the process proceeds to step S7, where the access restriction is confirmed. It is determined whether or not a “parent area” that does not exist still exists. If it is determined that the “parent area” still exists, the process returns to step S5, and the same processing is performed on the upper “parent area”.

図1の例では、「エリアA1」は、「エリアA0」および「システム」に従属しているので、「エリアA0」および「システム」に対して、アクセスが制限されているか(ステップS5)、制限されている場合はそれが許可されているか(ステップS6)がそれぞれ判定される。このとき「エリアA0」および「システム」の定義情報も読み出される。   In the example of FIG. 1, since “area A1” is subordinate to “area A0” and “system”, is access restricted to “area A0” and “system” (step S5)? If it is restricted, it is determined whether it is permitted (step S6). At this time, definition information of “area A0” and “system” is also read.

ステップS3で対象サービスが許可されていないと判定された場合、またはステップS6で「親エリア」へのアクセスが許可されていないと判定された場合、ステップS8に進み、例えばアクセスに失敗した旨がユーザに提示されるようなエラー処理が実行される。   If it is determined in step S3 that the target service is not permitted, or if it is determined in step S6 that access to the “parent area” is not permitted, the process proceeds to step S8, for example, that the access has failed. Error processing as presented to the user is executed.

ステップS4で、「親エリア」が存在しないと判定された場合、またはステップS7で、全ての「親エリア」のアクセス制限が確認されたと判定された場合(すべての制限が認証されているとき)、ステップS9に進み、ステップS1(図4のステップS26)で検出されたデータブロックにアクセスされる。   If it is determined in step S4 that the “parent area” does not exist, or if it is determined in step S7 that access restrictions for all “parent areas” have been confirmed (when all restrictions are authenticated). In step S9, the data block detected in step S1 (step S26 in FIG. 4) is accessed.

ステップS8でエラー処理が行われたとき、またはステップS9でサービスメモリ領域へのアクセスが行われたとき、処理は終了する。   When an error process is performed in step S8, or when a service memory area is accessed in step S9, the process ends.

このようにして対象サービスメモリ領域へのアクセスが行われる。   In this way, access to the target service memory area is performed.

特開2004−310557号公報JP 2004-310557 A

しかしながら、上述した方法では、「エリア」のアクセス制限の確認は(ステップS5)、制限がなされていれば存在する、「エリア」のコードから導かれるPINサービスのコードが論理ファイル2に設定されているか否かを判定することで行われる。すなわち階層が深くなり、論理ファイル2を検索する回数が増えると、その検索に時間を要し、アクセス処理を迅速に行うことができなかった。   However, in the method described above, the access restriction of “area” is confirmed (step S5). If the restriction is made, the PIN service code derived from the “area” code is set in the logical file 2. This is done by determining whether or not. That is, when the hierarchy becomes deeper and the number of times of searching for the logical file 2 increases, the search takes time, and the access processing cannot be performed quickly.

本発明は、このような状況に鑑みてなされたものであり、サービスが階層的に登録されている場合においても、アクセス処理を迅速に行うことができるようにするものである。   The present invention has been made in view of such a situation, and makes it possible to perform access processing quickly even when services are registered hierarchically.

本発明の情報処理装置は、メモリ空間と、メモリ空間に確保されたアクセス対象のデータが記憶されるサービスメモリ領域に、サービスメモリ領域へのアクセスが制限されているか否かを示すアクセス制限情報を含む定義情報を対応付ける定義手段と、サービスメモリ領域へのアクセスが制限されているサービスメモリ領域へのアクセスを認証する認証手段と、
サービスメモリ領域へのアクセスを実行する実行手段とを備え、実行手段は、定義情報に含まれるアクセス制限情報に基づいて、サービスメモリ領域へのアクセスが制限されているか否かを判定し、そのアクセスが制限されている場合、そのアクセスが許可されているか否かを判定し、許可されている場合、サービスメモリ領域にアクセスすることを特徴とする。 The information processing apparatus according to the present invention includes access restriction information indicating whether access to a service memory area is restricted in a memory space and a service memory area in which data to be accessed secured in the memory space is stored. Definition means for associating definition information to be included; authentication means for authenticating access to a service memory area where access to the service memory area is restricted;
Execution means for executing access to the service memory area, and the execution means determines whether or not access to the service memory area is restricted based on the access restriction information included in the definition information. When the access is restricted, it is determined whether or not the access is permitted. When the access is permitted, the service memory area is accessed.

サービスメモリ領域は、エリアに従属させてメモリ空間に確保されており、定義手段は、エリアに、エリアへのアクセスが制限されているか否かを示すアクセス制限情報を含む定義情報を対応付け、認証手段は、エリアへのアクセスが制限されている場合、そのエリアへのアクセスを認証し、実行手段は、定義情報に含まれるアクセス制限情報に基づいて、サービスメモリ領域およびエリアへのアクセスが制限されているか否かを判定し、そのアクセスが制限されている場合、そのアクセスが許可されているか否かを判定し、許可されている場合、サービスメモリ領域およびエリアにアクセスすることを特徴とする。   The service memory area is secured in the memory space depending on the area, and the definition means associates the area with definition information including access restriction information indicating whether or not access to the area is restricted, and performs authentication. When access to the area is restricted, the means authenticates access to the area, and the execution means restricts access to the service memory area and the area based on the access restriction information included in the definition information. If the access is restricted, it is judged whether the access is permitted. If the access is permitted, the service memory area and the area are accessed.

本発明の情報処理方法は、メモリ空間に確保されたアクセス対象のデータが記憶されるサービスメモリ領域に、サービスメモリ領域へのアクセスが制限されているか否かを示すアクセス制限情報を含む定義情報を対応付ける定義ステップと、サービスメモリ領域へのアクセスが制限されているサービスメモリ領域へのアクセスを認証する認証ステップと、サービスメモリ領域へのアクセスを実行する実行ステップとを含み、実行ステップは、定義情報に含まれるアクセス制限情報に基づいて、サービスメモリ領域へのアクセスが制限されているか否かを判定し、そのアクセスが制限されている場合、そのアクセスが許可されているか否かを判定し、許可されている場合、サービスメモリ領域にアクセスすることを特徴とする。   According to the information processing method of the present invention, definition information including access restriction information indicating whether or not access to a service memory area is restricted in a service memory area in which data to be accessed secured in a memory space is stored. A definition step for associating, an authentication step for authenticating access to the service memory area where access to the service memory area is restricted, and an execution step for executing access to the service memory area, wherein the execution step includes definition information On the basis of the access restriction information included in the file, it is determined whether or not access to the service memory area is restricted, and if the access is restricted, it is determined whether or not the access is permitted. If it is, the service memory area is accessed.

本発明のプログラムは、メモリ空間に確保されたアクセス対象のデータが記憶されるサービスメモリ領域に、サービスメモリ領域へのアクセスが制限されているか否かを示すアクセス制限情報を含む定義情報を対応付ける定義ステップと、サービスメモリ領域へのアクセスが制限されているサービスメモリ領域へのアクセスを認証する認証ステップと、サービスメモリ領域へのアクセスを実行する実行ステップとを含み、実行ステップは、定義情報に含まれるアクセス制限情報に基づいて、サービスメモリ領域へのアクセスが制限されているか否かを判定し、そのアクセスが制限されている場合、そのアクセスが許可されているか否かを判定し、許可されている場合、サービスメモリ領域にアクセスすることを特徴とする。   The program of the present invention is a definition for associating definition information including access restriction information indicating whether or not access to a service memory area is restricted with a service memory area in which data to be accessed secured in a memory space is stored. An authentication step for authenticating access to the service memory area where access to the service memory area is restricted; and an execution step for executing access to the service memory area. The execution step is included in the definition information On the basis of the access restriction information, whether or not access to the service memory area is restricted. If the access is restricted, whether or not the access is permitted is permitted. If it is, the service memory area is accessed.

本発明の情報処理装置および方法、並びプログラムにおいては、メモリ空間に確保されたアクセス対象のデータが記憶されるサービスメモリ領域に、サービスメモリ領域へのアクセスが制限されているか否かを示すアクセス制限情報を含む定義情報が対応付けられ、サービスメモリ領域へのアクセスが制限されているサービスメモリ領域へのアクセスが認証され、定義情報に含まれるアクセス制限情報に基づいて、サービスメモリ領域へのアクセスが制限されているか否かが判定され、そのアクセスが制限されている場合、そのアクセスが許可されているか否かが判定され、許可されている場合、サービスメモリ領域にアクセスされる。   In the information processing apparatus and method and the side-by-side program of the present invention, access restriction indicating whether or not access to the service memory area is restricted in the service memory area in which data to be accessed secured in the memory space is stored Definition information including information is associated, access to the service memory area to which access to the service memory area is restricted is authenticated, and access to the service memory area is performed based on the access restriction information included in the definition information. It is determined whether or not the access is restricted. If the access is restricted, it is determined whether or not the access is permitted. If the access is permitted, the service memory area is accessed.

本発明によれば、例えばICチップにおけるサービスメモリ領域へのアクセスを迅速にすることができる。   According to the present invention, for example, access to a service memory area in an IC chip can be speeded up.

以下に本発明の実施の形態を説明するが、請求項に記載の構成要件と、発明の実施の形態における具体例との対応関係を例示すると、次のようになる。この記載は、請求項に記載されている発明をサポートする具体例が、発明の実施の形態に記載されていることを確認するためのものである。従って、発明の実施の形態中には記載されているが、構成要件に対応するものとして、ここには記載されていない具体例があったとしても、そのことは、その具体例が、その構成要件に対応するものではないことを意味するものではない。逆に、具体例が構成要件に対応するものとしてここに記載されていたとしても、そのことは、その具体例が、その構成要件以外の構成要件には対応しないものであることを意味するものでもない。   Embodiments of the present invention will be described below. Correspondences between constituent elements described in the claims and specific examples in the embodiments of the present invention are exemplified as follows. This description is to confirm that specific examples supporting the invention described in the claims are described in the embodiments of the invention. Therefore, even if there are specific examples that are described in the embodiment of the invention but are not described here as corresponding to the configuration requirements, the specific examples are not included in the configuration. It does not mean that it does not correspond to a requirement. On the contrary, even if a specific example is described here as corresponding to a configuration requirement, this means that the specific example does not correspond to a configuration requirement other than the configuration requirement. not.

さらに、この記載は、発明の実施の形態に記載されている具体例に対応する発明が、請求項に全て記載されていることを意味するものではない。換言すれば、この記載は、発明の実施の形態に記載されている具体例に対応する発明であって、この出願の請求項には記載されていない発明の存在、すなわち、将来、分割出願されたり、補正により追加される発明の存在を否定するものではない。   Further, this description does not mean that all the inventions corresponding to the specific examples described in the embodiments of the invention are described in the claims. In other words, this description is an invention corresponding to the specific example described in the embodiment of the invention, and the existence of an invention not described in the claims of this application, that is, in the future, a divisional application will be made. Nor does it deny the existence of an invention added by amendment.

請求項1に記載の情報処理装置は、
メモリ空間(例えば、図5のデータ領域41A)と、
メモリ空間に確保されたアクセス対象のデータが記憶されるサービスメモリ領域に、サービスメモリ領域へのアクセスが制限されているか否かを示すアクセス制限情報(例えば、PIN設定情報)を含む定義情報を対応付ける定義手段(例えば、図5の制御部21)と、
サービスメモリ領域へのアクセスが制限されているサービスメモリ領域へのアクセスを認証する認証手段(例えば、図5の認証部24)と、
サービスメモリ領域へのアクセスを実行する実行手段(例えば、図5の制御部21)と
を備え、
実行手段は、定義情報に含まれるアクセス制限情報に基づいて、サービスメモリ領域へのアクセスが制限されているか否かを判定し、そのアクセスが制限されている場合、そのアクセスが許可されているか否かを判定し、許可されている場合、サービスメモリ領域にアクセスする(例えば、図8のステップS53)
ことを特徴とする。 An information processing apparatus according to claim 1 is provided.
A memory space (for example, the data area 41A in FIG. 5);
Definition information including access restriction information (for example, PIN setting information) indicating whether or not access to the service memory area is restricted is associated with the service memory area in which the access target data secured in the memory space is stored. Defining means (for example, the control unit 21 in FIG. 5);
Authentication means (for example, the authentication unit 24 in FIG. 5) for authenticating access to the service memory area where access to the service memory area is restricted;
Execution means for executing access to the service memory area (for example, the control unit 21 in FIG. 5),
The execution means determines whether access to the service memory area is restricted based on the access restriction information included in the definition information. If the access is restricted, whether the access is permitted If it is permitted, the service memory area is accessed (for example, step S53 in FIG. 8).
It is characterized by that.

請求項2に記載の情報処理装置は、
サービスメモリ領域は、エリアに従属させてメモリ空間に確保されており(例えば、図6および図7)、
定義手段は、エリアに、エリアへのアクセスが制限されているか否かを示すアクセス制限情報を含む定義情報を対応付け(例えば、図6および図7)、
認証手段は、エリアへのアクセスが制限されている場合、そのエリアへのアクセスを認証し、
実行手段は、定義情報に含まれるアクセス制限情報に基づいて、サービスメモリ領域およびエリアへのアクセスが制限されているか否かを判定し、そのアクセスが制限されている場合、そのアクセスが許可されているか否かを判定し、許可されている場合、サービスメモリ領域およびエリアにアクセスする
ことを特徴とする。 The information processing apparatus according to claim 2
The service memory area is secured in the memory space depending on the area (for example, FIG. 6 and FIG. 7),
The definition unit associates definition information including access restriction information indicating whether or not access to the area is restricted (for example, FIGS. 6 and 7),
The authentication means authenticates access to the area when access to the area is restricted,
The execution means determines whether or not access to the service memory area and the area is restricted based on the access restriction information included in the definition information. If the access is restricted, the access is permitted. If it is permitted, the service memory area and the area are accessed.

請求項3に記載の情報処理方法および請求項4に記載のプログラムは、
メモリ空間に確保されたアクセス対象のデータが記憶されるサービスメモリ領域に、サービスメモリ領域へのアクセスが制限されているか否かを示すアクセス制限情報を含む定義情報を対応付ける定義ステップと、
サービスメモリ領域へのアクセスが制限されているサービスメモリ領域へのアクセスを認証する認証ステップと、
サービスメモリ領域へのアクセスを実行する実行ステップと
を含み、
実行ステップは、定義情報に含まれるアクセス制限情報に基づいて、サービスメモリ領域へのアクセスが制限されているか否かを判定し、そのアクセスが制限されている場合、そのアクセスが許可されているか否かを判定し、許可されている場合、サービスメモリ領域にアクセスする(例えば、図8のステップS53)
ことを特徴とする。 The information processing method according to claim 3 and the program according to claim 4 are:
A definition step of associating definition information including access restriction information indicating whether or not access to the service memory area is restricted with a service memory area in which data to be accessed secured in the memory space is stored;
An authentication step for authenticating access to the service memory area where access to the service memory area is restricted;
An execution step for performing access to the service memory area, and
The execution step determines whether or not access to the service memory area is restricted based on the access restriction information included in the definition information. If the access is restricted, whether or not the access is permitted If it is permitted, the service memory area is accessed (for example, step S53 in FIG. 8).
It is characterized by that.

図5は、本発明を適用したICチップ11の構成例を示している。ICチップ11は、例えばICカードや携帯電話機等に組み込まれて利用される。   FIG. 5 shows a configuration example of the IC chip 11 to which the present invention is applied. The IC chip 11 is used by being incorporated in, for example, an IC card or a mobile phone.

RF部22は、図示せずアンテナを介して、図示せぬリーダライタとの無線通信を行う。   The RF unit 22 performs wireless communication with a reader / writer (not shown) via an antenna (not shown).

メモリ23は、不揮発性メモリ31と揮発性メモリ32から構成されており、不揮発性メモリ31には、サービスを構成する各ブロックが記憶されるデータ領域41A、ブロックの物理アドレス&が記憶される管理領域41B、およびブロックの、例えばブロックコードが論理アドレス#に対応付けられて設定されている論理ファイル42が設けられている。   The memory 23 includes a nonvolatile memory 31 and a volatile memory 32. The nonvolatile memory 31 stores a data area 41A in which each block constituting the service is stored, and a management in which a physical address & of the block is stored. An area 41B and a logical file 42 in which, for example, a block code of a block is set in association with a logical address # are provided.

揮発性メモリ32には、その実行が許可されたサービスの、例えばサービスコードが記憶される認証済みサービス記憶領域51が設けられている。   The volatile memory 32 is provided with an authenticated service storage area 51 in which, for example, a service code of a service permitted to be executed is stored.

認証部24は、その実行が制限されているサービスの認証を、サービスに割り当てられた暗証コードに基づいて実行し、認証したサービスのサービスコードを、メモリ23の認証済みサービス記憶領域51に記憶する。   The authentication unit 24 executes authentication of the service whose execution is restricted based on the password assigned to the service, and stores the service code of the authenticated service in the authenticated service storage area 51 of the memory 23. .

制御部21は、各部を制御する。   The control unit 21 controls each unit.

本発明においても、1つのサービスによってアクセスされるサービスメモリ領域は、従来の場合と同様に、1個以上のデータブロックで構成され、そのサービスメモリ領域には、サービスを定義する所定の定義情報が格納されている定義ブロックが対応付けられている。   Also in the present invention, the service memory area accessed by one service is composed of one or more data blocks as in the conventional case, and predetermined definition information for defining the service is stored in the service memory area. Stored definition blocks are associated.

しかしながら、従来におけるPINサービスは設けられておらず、各定義ブロックの定義情報の中に、そのサービスの実行が制限されていないことを示す情報(以下、PIN設定無効情報と称する)またはサービスの実行が制限されていることを示す情報(以下、PIN設定有効情報)(以下、PIN設定無効情報およびPIN設定有効情報を、区別する必要がない場合、PIN設定情報と称する)が設定され、またPIN設定有効情報が設定されている場合には、そのサービスの実行の認証に必要な暗証コードも設定されるようになされている。   However, a conventional PIN service is not provided, and information indicating that the execution of the service is not restricted in the definition information of each definition block (hereinafter referred to as PIN setting invalid information) or service execution Is set (hereinafter referred to as PIN setting valid information) (hereinafter referred to as PIN setting information if there is no need to distinguish between PIN setting invalid information and PIN setting valid information) When the setting valid information is set, a password code required for authentication of the execution of the service is also set.

すなわち本発明によれば、各サービスは、図6に示すように階層的に登録される。この例は、図1に示したように登録されたサービスを、本発明に対応させて登録したものであるが、図1におけるPINサービスの定義ブロックおよびそのデータブロックは存在せず、各定義ブロックの定義情報にPIN設定情報等が設定されている。   That is, according to the present invention, each service is registered hierarchically as shown in FIG. In this example, the service registered as shown in FIG. 1 is registered according to the present invention, but the PIN service definition block and its data block in FIG. PIN setting information is set in the definition information.

「システム」、「エリアA0」、サービスS1−2、および「エリアA2」の定義ブロックの定義情報に、PIN設定無効情報が設定されている。「エリアA1」およびサービスS2−1については、図1におけるPINサービスS2−1およびPINサービスS2−2は存在せず、その定義情報に、PIN設定有効情報と暗証コードが設定されている。   PIN setting invalid information is set in the definition information of the definition blocks of “system”, “area A0”, service S1-2, and “area A2”. For "Area A1" and service S2-1, the PIN service S2-1 and PIN service S2-2 in FIG. 1 do not exist, and PIN setting valid information and a password are set in its definition information.

図7は、図6のようにサービスが登録された場合の、ICチップ11内のデータ領域41A、管理領域41B、および論理ファイル42に記憶されているデータの例を示している。   FIG. 7 shows an example of data stored in the data area 41A, the management area 41B, and the logical file 42 in the IC chip 11 when the service is registered as shown in FIG.

データ領域41Aには、例えば所定のブロックコードが割り当てられて生成された、「システム」、「エリアA0」、「エリアA1」、サービスS1−2、「エリアA2」、サービスS2−1(図1におけるPINサービスS1−1およびS2−2は存在しない)に対応するブロックが、所定の物理アドレス&に記憶される。   In the data area 41A, for example, “system”, “area A0”, “area A1”, service S1-2, “area A2”, service S2-1 (FIG. 1) generated by allocating a predetermined block code are generated. The block corresponding to the PIN services S1-1 and S2-2 does not exist) is stored at a predetermined physical address &.

サービスに対応する各ブロックのブロックコードは、階層構造に応じた順番に論理アドレス#が対応付けられて、論理ファイル42に設定される。   The block code of each block corresponding to the service is set in the logical file 42 in association with the logical address # in the order corresponding to the hierarchical structure.

図7の例では、各サービスの定義ブロックの、例えばブロックコードには、論理アドレス#が、階層構造の順番に、先頭の論理アドレス#から対応付けられ、データブロックのブロックコードには、階層構造の順番に、最後尾の論理アドレス#から対応付けられる。   In the example of FIG. 7, the logical address # is associated with, for example, the block code of each service definition block in the order of the hierarchical structure from the top logical address #, and the hierarchical code is included in the block code of the data block. In this order from the last logical address #.

定義ブロックについては、最上位の「システム」の定義ブロックのブロックコードに、第1番目の論理ブロック#00が対応付けられ、「システム」に従属する「エリアA0」の定義ブロックのブロックコードに、第2番目の論理ブロック#01が対応付けられ、そして「エリアA0」に従属する「エリアA1」の定義ブロックのブロックコードに、第3番目の論理ブロック#02が対応付けられる。   For the definition block, the first logical block # 00 is associated with the block code of the definition block of the highest “system”, and the block code of the definition block of “area A0” subordinate to “system” The second logical block # 01 is associated, and the third logical block # 02 is associated with the block code of the definition block of “area A1” subordinate to “area A0”.

そして「エリアA1」に従属するサービスS1−2の定義ブロックのブロックコードに、第4番目の論理ブロック#03が対応付けられる。   Then, the fourth logical block # 03 is associated with the block code of the definition block of the service S1-2 subordinate to “area A1”.

「エリアA0」に従属するもう1つの「エリアA2」の定義ブロックのブロックコードには、第5番目の論理ブロック#04が対応付けられ、「エリアA2」に従属するサービスS2−1の定義ブロックには、第6番目の論理ブロック#05が対応付けられる。   The block code of another definition block of “area A2” subordinate to “area A0” is associated with the fifth logical block # 04, and the definition block of service S2-1 subordinate to “area A2” Is associated with the sixth logical block # 05.

データブロックについては、「エリアA1」に属するサービスS1−2のデータブロックに、最後尾の論理アドレス#20が対応付けられる。   For the data block, the last logical address # 20 is associated with the data block of the service S1-2 belonging to “area A1”.

各ブロックの物理アドレス&は、ICチップ11内の管理領域41Bに、例えばブロックコードに対応付けられた論理アドレス#の順番に応じた位置にある記憶部61に記憶される。   The physical address & of each block is stored in the management area 41B in the IC chip 11, for example, in the storage unit 61 at a position corresponding to the order of the logical address # associated with the block code.

図7の例では、例えば第1番目の論理アドレス#00が対応付けられた「システム」(その定義ブロック)の物理アドレス&01が、管理領域41Bの第1番目の位置の記憶部61に記憶される。また第2番目の論理アドレス#01が対応付けられた「エリアA0」(その定義ブロック)の物理アドレス&10が、管理領域41Bの第2番目の記憶部61に記憶される。   In the example of FIG. 7, for example, the physical address & 01 of “system” (its definition block) associated with the first logical address # 00 is stored in the storage unit 61 at the first position in the management area 41B. The Also, the physical address & 10 of “area A0” (its definition block) associated with the second logical address # 01 is stored in the second storage unit 61 of the management area 41B.

このように、所定のブロック(定義ブロック、データブロック)がデータ領域41Aの所定の物理アドレス&に記憶され、例えばブロックコードに、階層構造に対応した論理アドレス#が対応付けられ、そして物理アドレス&が、論理アドレス#に対応付けられて記憶されることで、サービスが登録される。   In this way, a predetermined block (definition block, data block) is stored at a predetermined physical address & in the data area 41A. For example, a logical address # corresponding to a hierarchical structure is associated with a block code, and a physical address & Is stored in association with the logical address #, so that the service is registered.

次に、サービスメモリ領域へのアクセス処理(サービスの実行)を、図8のフローチャートを参照して説明する。なおアクセスが制限されているサービスメモリ領域の認証は、既に行われているものとする。   Next, access processing (service execution) to the service memory area will be described with reference to the flowchart of FIG. It is assumed that the service memory area to which access is restricted has already been authenticated.

ステップS51において、対象サービスメモリ領域が検出される。ここでの処理は、図9のフローチャートに示されている。   In step S51, the target service memory area is detected. This process is shown in the flowchart of FIG.

ステップS71において、制御部21は、アクセスするサービスメモリ領域(対象サービスメモリ領域)へアクセスするためのサービス(対象サービス)のサービスコードを入力する。入力されるサービスコードは、処理(例えば、電子マネーによる代金支払処理)の実行によって適宜決定される。   In step S71, the control unit 21 inputs a service code of a service (target service) for accessing a service memory area (target service memory area) to be accessed. The input service code is appropriately determined by executing a process (for example, a payment process using electronic money).

この場合、対象サービスメモリは、図6および図7に示したように登録されたサービスの中のサービスS1−2のデータブロックとし、ここでは、サービスS1−2の定義ブロックのブロックコードが、サービスS1−2のサービスコードとして入力されるものとする。   In this case, the target service memory is a data block of the service S1-2 in the registered service as shown in FIGS. 6 and 7, and here, the block code of the definition block of the service S1-2 is the service It is assumed that the service code is input as S1-2.

ステップS72において、制御部21は、入力した定義ブロックのブロックコードに対応する論理アドレス#を検出する。   In step S72, the control unit 21 detects a logical address # corresponding to the block code of the input definition block.

サービスS1−2の定義ブロックのブロックコードは、図7に示すように、論理アドレス#03に対応付けられて論理ファイル42に設定されているので、論理アドレス#03が検出される。   Since the block code of the definition block of the service S1-2 is set in the logical file 42 in association with the logical address # 03 as shown in FIG. 7, the logical address # 03 is detected.

ステップS73において、制御部21は、管理領域41Bの、検出した論理アドレス#03に対応する位置にある記憶部61に記憶されている物理アドレス&を検出する。   In step S73, the control unit 21 detects the physical address & stored in the storage unit 61 at the position corresponding to the detected logical address # 03 in the management area 41B.

管理領域41Bの、論理アドレス#03(第4番目の論理アドレス#)に対応する第4番目の記憶部61には、サービスS1−2の定義ブロックの物理アドレス&03が記憶されているので、物理アドレス&03が検出される。   The fourth storage unit 61 corresponding to the logical address # 03 (fourth logical address #) in the management area 41B stores the physical address & 03 of the definition block of the service S1-2. Address & 03 is detected.

ステップS74において、制御部21は、検出した、データ領域41Aの物理アドレス&03に記憶されているサービスS1−2の定義ブロックを検出し、その中の定義情報を読み出す。   In step S74, the control unit 21 detects the definition block of the service S1-2 that is stored in the detected physical address & 03 of the data area 41A, and reads the definition information therein.

ステップS75において、制御部21は、読み出したサービス1−2の定義情報からサービスS1−2のデータブロックのブロックコードを読み出し、それに対応する論理アドレス#20を論理ファイル42から検出する。   In step S75, the control unit 21 reads the block code of the data block of the service S1-2 from the read definition information of the service 1-2, and detects the corresponding logical address # 20 from the logical file 42.

ステップS76において、制御部21は、管理領域41Bの、検出した論理アドレス#20(最後尾の論理アドレス#)に対応する位置にある記憶部61(最後尾の記憶部61)に記憶されているデータブロックの物理アドレス&19を検出する。   In step S76, the control unit 21 is stored in the storage unit 61 (the last storage unit 61) at the position corresponding to the detected logical address # 20 (the last logical address #) in the management area 41B. The physical address & 19 of the data block is detected.

このように対象サービスメモリ領域のデータブロックが検出されると(その物理アドレス&が検出されると)、図8に戻りステップS52において、制御部21は、対象サービスメモリ領域へのアクセス(サービスS1−2の実行)が制限されているかを判定する。   When the data block in the target service memory area is detected in this way (when its physical address & is detected), returning to FIG. 8, in step S52, the control unit 21 accesses the target service memory area (service S1). -2 execution) is restricted.

本発明では、定義情報に、PIN設定有効情報またはPIN設定無効情報のいずれかのPIN設定情報が設定されているので、ステップS74で読み出された定義情報にいずれのPIN設定情報が設定されているかに基づいて、対象サービスメモリ領域へのアクセスが制限されているか否かが判定される。   In the present invention, since any PIN setting information of PIN setting valid information or PIN setting invalid information is set in the definition information, any PIN setting information is set in the definition information read in step S74. Whether or not access to the target service memory area is restricted is determined.

いまの例の場合、サービスS1−2の実行は制限されていないので、その定義情報には、制限されていない旨を示すPIN設定無効情報(図6)が設定されている。   In the present example, since the execution of the service S1-2 is not restricted, PIN definition invalid information (FIG. 6) indicating that the service S1-2 is not restricted is set in the definition information.

ステップS52で、対象サービスメモリ領域へのアクセス(対象サービスの実行)が制限されていると判定された場合、ステップS53に進み、アクセスが許可されているか否かが判定される。   If it is determined in step S52 that access to the target service memory area (execution of the target service) is restricted, the process proceeds to step S53, where it is determined whether access is permitted.

サービスの実行が許可されている場合、そのサービスのサービスコードが、ICチップ11の認証済みサービス記憶領域51に記憶されるようになされているので、認証済みサービス記憶領域51に、対象サービスのサービスコードが記憶されているかが判定される。   If execution of the service is permitted, the service code of the service is stored in the authenticated service storage area 51 of the IC chip 11, so the service of the target service is stored in the authenticated service storage area 51. It is determined whether the code is stored.

ステップS52で、対象サービスの実行が制限されていないと判定された場合、またはステップS53で、アクセスが許可されていると判定された場合、ステップS54に進む。   If it is determined in step S52 that the execution of the target service is not restricted, or if it is determined in step S53 that access is permitted, the process proceeds to step S54.

ステップS54において、制御部21は、対象サービスに「親エリア」が存在するか否かを判定する(対象サービスが所定の「エリア」に従属して登録されているか否かを判定する)。   In step S54, the control unit 21 determines whether or not the “parent area” exists in the target service (determines whether or not the target service is registered depending on the predetermined “area”).

サービスに「親エリア」が存在する場合、サービスの定義ブロックの定義情報には「親エリア」のコード(その定義ブロックのブロックコード)が設定されているので、定義情報に「親エリア」のコードが設定されているかが判定される。   If there is a “parent area” in the service, the “parent area” code (the block code of that definition block) is set in the definition information of the service definition block, so the “parent area” code in the definition information It is determined whether or not is set.

図6の例の場合、サービスS1−2は「エリアA1」に従属して登録されているので、「親エリア」が存在し、サービスS1−2の定義ブロックの定義情報には、「エリアA1」のコードが設定されている。   In the case of the example in FIG. 6, since the service S1-2 is registered subordinate to the “area A1”, the “parent area” exists, and the definition information of the definition block of the service S1-2 includes “area A1”. "Is set.

ステップS54で、「親エリア」が存在すると判定された場合、ステップS55に進み、制御部21は、「親エリア」へのアクセスが制限されているか否かを判定する。   If it is determined in step S54 that the “parent area” exists, the process proceeds to step S55, and the control unit 21 determines whether or not access to the “parent area” is restricted.

具体的には、「親エリア」(例えば、「エリアA1」)のコードから、それに対応する論理アドレス#(論理アドレス#02)が求められ、その論理アドレス#から、その定義ブロックの物理アドレス&(物理アドレス&18)が検出される。そして、データ領域41Aの、検出された物理アドレス&にある「親エリア」の定義情報(エリアA1の定義情報)が読み出され、そこに設定されているPIN設定情報に基づいて、その「親エリア」(エリアA1)へのアクセスが制限されているかが判定される。   Specifically, the logical address # (logical address # 02) corresponding to the code of the “parent area” (for example, “area A1”) is obtained, and from the logical address #, the physical address & (Physical address & 18) is detected. Then, the definition information of the “parent area” at the detected physical address & in the data area 41A (definition information of the area A1) is read, and based on the PIN setting information set therein, the “parent” It is determined whether access to “Area” (area A1) is restricted.

「エリアA1」へのアクセスは制限されているので、その定義情報にはPIN設定有効情報が設定されている(図6および図7)。   Since access to “area A1” is restricted, PIN setting valid information is set in the definition information (FIGS. 6 and 7).

ステップS55で、「親エリア」へのアクセスが制限されていると判定された場合、ステップS56に進み、制御部21は、そのアクセスは許可されているか否かを判定する。   When it is determined in step S55 that access to the “parent area” is restricted, the process proceeds to step S56, and the control unit 21 determines whether or not the access is permitted.

例えば「エリアA1」のコードが、認証済みサービス記憶領域51に記憶されているか否かが判定される。   For example, it is determined whether or not the code of “area A1” is stored in the authenticated service storage area 51.

ステップS55で、「親エリア」へのアクセスが制限されていないと判定された場合、またはステップS56で、アクセスが許可されていると判定された場合、ステップS57に進み、制御部21は、アクセス制限を確認していない「親エリア」がまだ存在するか否かを判定し、存在すると判定した場合、ステップS55に戻り、より上位の「親エリア」に対して同様の処理を行う。   If it is determined in step S55 that access to the “parent area” is not restricted, or if it is determined in step S56 that access is permitted, the process proceeds to step S57, and the control unit 21 It is determined whether or not the “parent area” for which the restriction has not been confirmed still exists. If it is determined that the restriction exists, the process returns to step S55, and the same processing is performed on the higher-order “parent area”.

図6の例では、「エリアA1」は、「エリアA0」および「システム」に従属しているので、「エリアA0」および「システム」に対して、アクセスが制限されているか(ステップS55)、制限されている場合はそれが許可されているか(ステップS56)がそれぞれ判定される。   In the example of FIG. 6, since “area A1” is subordinate to “area A0” and “system”, is access restricted to “area A0” and “system” (step S55)? If it is restricted, it is determined whether it is permitted (step S56).

ステップS53で、対象サービスが許可されていないと判定された場合、またはステップS56で「親エリア」へのアクセスが許可されていないと判定された場合、ステップS58に進み、制御部21は、例えばアクセスに失敗した旨がユーザに提示されるようなエラー処理を実行する。   If it is determined in step S53 that the target service is not permitted, or if it is determined in step S56 that access to the “parent area” is not permitted, the process proceeds to step S58, and the control unit 21 Error processing is performed so that the user is notified that the access has failed.

ステップS57で、全ての「親エリア」のアクセス制限が確認されたと判定されたとき(すべての制限が認証されているとき)、ステップS59に進み、制御部21は、ステップS51で検出されたデータブロックにアクセスする。   When it is determined in step S57 that access restrictions for all “parent areas” have been confirmed (when all restrictions are authenticated), the process proceeds to step S59, and the control unit 21 detects the data detected in step S51. Access the block.

以上のようにサービスメモリ領域へのアクセスを実行するようにし、PIN設定情報に基づいて、アクセスが制限されているか否かを判定するようにしたので、従来のように、サービス、およびそれが従属する「エリア」のPINサービスの存在を、論理ファイル42を検索して検出する必要がなく、迅速にサービスメモリ領域へのアクセスを行うことができる。   As described above, access to the service memory area is executed, and whether or not access is restricted is determined based on the PIN setting information. Therefore, it is not necessary to search the logical file 42 to detect the presence of the PIN service in the “area”, and the service memory area can be quickly accessed.

またサービスの階層構造を簡単にものにすることができるので、記憶容量の節約することができる。   In addition, since the service hierarchy can be simplified, the storage capacity can be saved.

なお、本明細書において、フローチャートに記述されたステップは、記載された順序に沿って時系列的に行われる処理はもちろん、必ずしも時系列的に処理されなくとも、並列的あるいは個別に実行される処理をも含むものである。   In the present specification, the steps described in the flowcharts are executed in parallel or individually even if they are not necessarily processed in time series, as well as processes performed in time series in the described order. It also includes processing.

従来のサービス登録を説明する図である。It is a figure explaining the conventional service registration. 従来のサービス登録を説明する他の図である。It is another figure explaining the conventional service registration. 従来の、サービスメモリ領域へのアクセス処理を説明するフローチャートである。It is a flowchart explaining the access process to the conventional service memory area. 図3のステップS1の処理を説明するフローチャートである。It is a flowchart explaining the process of step S1 of FIG. 本発明を適用したICチップの構成例を示すブロック図である。It is a block diagram which shows the structural example of the IC chip to which this invention is applied. 本発明におけるサービス登録を説明する図である。It is a figure explaining the service registration in this invention. 図5のメモリ31のデータ構造を示す図である。It is a figure which shows the data structure of the memory 31 of FIG. 本発明にかかるサービスメモリ領域へのアクセス処理を説明するフローチャートである。It is a flowchart explaining the access process to the service memory area concerning this invention. 図8のステップS51の処理を説明するフローチャートである。It is a flowchart explaining the process of step S51 of FIG.

符号の説明Explanation of symbols

11 ICチップ, 21 制御部, 22 RF部, 23 メモリ, 24 認証部,41A データ領域, 41B 管理領域, 42 論理フィアル   11 IC chip, 21 control unit, 22 RF unit, 23 memory, 24 authentication unit, 41A data area, 41B management area, 42 logical file

Claims (4)

メモリ空間と、
前記メモリ空間に確保されたアクセス対象のデータが記憶されるサービスメモリ領域に、前記サービスメモリ領域へのアクセスが制限されているか否かを示すアクセス制限情報を含む定義情報を対応付ける定義手段と、
アクセスが制限されている前記サービスメモリ領域へのアクセスを認証する認証手段と、
前記サービスメモリ領域へのアクセスを実行する実行手段と
を備え、
前記実行手段は、前記定義情報に含まれる前記アクセス制限情報に基づいて、前記サービスメモリ領域へのアクセスが制限されているか否かを判定し、そのアクセスが制限されている場合、そのアクセスが許可されているか否かを判定し、許可されている場合、前記サービスメモリ領域にアクセスする
ことを特徴とする情報処理装置。 Memory space,
Definition means for associating definition information including access restriction information indicating whether or not access to the service memory area is restricted with a service memory area in which data to be accessed secured in the memory space is stored;
Authentication means for authenticating access to the service memory area to which access is restricted;
Execution means for executing access to the service memory area,
The execution means determines whether or not access to the service memory area is restricted based on the access restriction information included in the definition information. If the access is restricted, the access is permitted. The information processing apparatus is characterized by determining whether or not the service memory area has been permitted and, if permitted, accessing the service memory area. 前記サービスメモリ領域は、エリアに従属されて前記メモリ空間に確保されており、
前記定義手段は、前記エリアに、前記エリアへのアクセスが制限されているか否かを示すアクセス制限情報を含む定義情報を対応付け、
前記認証手段は、アクセスが制限されている前記エリアへのアクセスを認証し、
前記実行手段は、前記定義情報に含まれる前記アクセス制限情報に基づいて、前記サービスメモリ領域および前記エリアへのアクセスが制限されているか否かを判定し、そのアクセスが制限されている場合、そのアクセスが許可されているか否かを判定し、許可されている場合、前記サービスメモリ領域および前記エリアにアクセスする
ことを特徴とする請求項1に記載の情報処理装置。 The service memory area is secured in the memory space depending on the area,
The definition means associates the area with definition information including access restriction information indicating whether or not access to the area is restricted;
The authentication means authenticates access to the area where access is restricted,
The execution means determines whether or not access to the service memory area and the area is restricted based on the access restriction information included in the definition information, and if the access is restricted, The information processing apparatus according to claim 1, wherein it is determined whether or not access is permitted, and when the access is permitted, the service memory area and the area are accessed. メモリ空間に確保されたアクセス対象のデータが記憶されるサービスメモリ領域に、前記サービスメモリ領域へのアクセスが制限されているか否かを示すアクセス制限情報を含む定義情報を対応付ける定義ステップと、
前記サービスメモリ領域へのアクセスが制限されている前記サービスメモリ領域へのアクセスを認証する認証ステップと、
前記サービスメモリ領域へのアクセスを実行する実行ステップと
を含み、
前記実行ステップは、前記定義情報に含まれる前記アクセス制限情報に基づいて、前記サービスメモリ領域へのアクセスが制限されているか否かを判定し、そのアクセスが制限されている場合、そのアクセスが許可されているか否かを判定し、許可されている場合、前記サービスメモリ領域にアクセスする
ことを特徴とする情報処理方法。 A definition step of associating definition information including access restriction information indicating whether or not access to the service memory area is restricted with a service memory area in which data to be accessed secured in the memory space is stored;
An authentication step of authenticating access to the service memory area where access to the service memory area is restricted;
An execution step of executing access to the service memory area,
The execution step determines whether or not access to the service memory area is restricted based on the access restriction information included in the definition information. If the access is restricted, the access is permitted. The information processing method is characterized in that it is determined whether or not the service memory area has been permitted and, if permitted, the service memory area is accessed. メモリ空間に確保されたアクセス対象のデータが記憶されるサービスメモリ領域にアクセスする情報処理装置を制御するプロセッサに実行させるプログラムであって、
前記メモリ空間に確保されたアクセス対象のデータが記憶されるサービスメモリ領域に、前記サービスメモリ領域へのアクセスが制限されているか否かを示すアクセス制限情報を含む定義情報を対応付ける定義ステップと、
前記サービスメモリ領域へのアクセスが制限されている前記サービスメモリ領域へのアクセスを認証する認証ステップと、
前記サービスメモリ領域へのアクセスを実行する実行ステップと
を含み、
前記実行ステップは、前記定義情報に含まれる前記アクセス制限情報に基づいて、前記サービスメモリ領域へのアクセスが制限されているか否かを判定し、そのアクセスが制限されている場合、そのアクセスが許可されているか否かを判定し、許可されている場合、前記サービスメモリ領域にアクセスする
ことを特徴とするプログラム。 A program executed by a processor that controls an information processing apparatus that accesses a service memory area in which data to be accessed secured in a memory space is stored,
A definition step of associating definition information including access restriction information indicating whether or not access to the service memory area is restricted with a service memory area in which data to be accessed secured in the memory space is stored;
An authentication step of authenticating access to the service memory area where access to the service memory area is restricted;
An execution step of executing access to the service memory area,
The execution step determines whether or not access to the service memory area is restricted based on the access restriction information included in the definition information. If the access is restricted, the access is permitted. A program for determining whether or not the service memory area is permitted and, if permitted, accessing the service memory area.
JP2005220962A 2005-07-29 2005-07-29 Information processing apparatus and method, and program Active JP4722610B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005220962A JP4722610B2 (en) 2005-07-29 2005-07-29 Information processing apparatus and method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005220962A JP4722610B2 (en) 2005-07-29 2005-07-29 Information processing apparatus and method, and program

Publications (2)

Publication Number Publication Date
JP2007034946A true JP2007034946A (en) 2007-02-08
JP4722610B2 JP4722610B2 (en) 2011-07-13

Family

ID=37794087

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005220962A Active JP4722610B2 (en) 2005-07-29 2005-07-29 Information processing apparatus and method, and program

Country Status (1)

Country Link
JP (1) JP4722610B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015525384A (en) * 2012-05-24 2015-09-03 ▲華▼▲為▼終端有限公司Huawei Device Co., Ltd. Method and apparatus for media information access control and digital home multimedia system

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05346977A (en) * 1992-06-15 1993-12-27 Matsushita Electric Ind Co Ltd Ic card
JPH06274397A (en) * 1993-03-24 1994-09-30 Toshiba Corp File control system
JP2000155715A (en) * 1998-11-19 2000-06-06 Ntt Data Corp System and method for directory access control by computer
JP2003016403A (en) * 2001-06-27 2003-01-17 Sony Corp Information storage medium, ic chip equipped with memory area, information processor having ic chip equipped with memory area, and memory managing method for information storage medium
JP2004334542A (en) * 2003-05-08 2004-11-25 Dainippon Printing Co Ltd Ic card, ic card program, and allocation method fpr memory area of ic card

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05346977A (en) * 1992-06-15 1993-12-27 Matsushita Electric Ind Co Ltd Ic card
JPH06274397A (en) * 1993-03-24 1994-09-30 Toshiba Corp File control system
JP2000155715A (en) * 1998-11-19 2000-06-06 Ntt Data Corp System and method for directory access control by computer
JP2003016403A (en) * 2001-06-27 2003-01-17 Sony Corp Information storage medium, ic chip equipped with memory area, information processor having ic chip equipped with memory area, and memory managing method for information storage medium
JP2004334542A (en) * 2003-05-08 2004-11-25 Dainippon Printing Co Ltd Ic card, ic card program, and allocation method fpr memory area of ic card

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015525384A (en) * 2012-05-24 2015-09-03 ▲華▼▲為▼終端有限公司Huawei Device Co., Ltd. Method and apparatus for media information access control and digital home multimedia system

Also Published As

Publication number Publication date
JP4722610B2 (en) 2011-07-13

Similar Documents

Publication Publication Date Title
US8391837B2 (en) Method, system and trusted service manager for securely transmitting an application to a mobile phone
US9971895B2 (en) Method and apparatus for supporting dynamic change of authentication means secure booting
US8261098B2 (en) Method and apparatus for encrypting and processing data in flash translation layer
KR20130091347A (en) Secure application directory
JP6471130B2 (en) Semiconductor device and security system
JPH0440587A (en) Portable electronic equipment
US9195847B2 (en) Storage system for supporting use of multiple keys
JP5011738B2 (en) IC card, program
US20190347446A1 (en) Chip fingerprint management based upon one-time programmable memory
JP4722610B2 (en) Information processing apparatus and method, and program
CN105303115A (en) Detection method and apparatus for out-of-bounds access bug of Java card
JP4394413B2 (en) Information storage device and information processing system
US20090235365A1 (en) Data access system
CN112560121A (en) Monotonic counter and root key processing method thereof
CN112446059A (en) Using fuses to prevent row activation
JP7439847B2 (en) Electronic information storage medium, key data setting method, and program
JP7444197B2 (en) Electronic information storage medium, cryptographic operation method selection method, and program
JP2014182467A (en) Information storage medium, data selection processing program and data selection processing method
JP6948021B2 (en) Electronic information storage media, information processing methods, and information processing programs
WO2009016542A2 (en) Mobile communication device and method for defragging mifare memory
CN108537068B (en) Apparatus and method for generating information inherent in integrated circuit
JP2003150913A (en) Portable electronic device, file selecting method of portable electronic device and host device
JP2008146343A (en) Ic card, and method for calling update program
JP2008299416A (en) Portable electronic device, file access method in portable electronic device, and ic card
JP2006172005A (en) Portable electronic instrument

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080722

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101222

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110113

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110304

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110405

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110406

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140415

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4722610

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250