JP4457240B2 - データ管理システム、管理サーバ、データ管理方法、およびプログラム - Google Patents

データ管理システム、管理サーバ、データ管理方法、およびプログラム Download PDF

Info

Publication number
JP4457240B2
JP4457240B2 JP2007124773A JP2007124773A JP4457240B2 JP 4457240 B2 JP4457240 B2 JP 4457240B2 JP 2007124773 A JP2007124773 A JP 2007124773A JP 2007124773 A JP2007124773 A JP 2007124773A JP 4457240 B2 JP4457240 B2 JP 4457240B2
Authority
JP
Japan
Prior art keywords
link information
service area
chip
information
processing terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007124773A
Other languages
English (en)
Other versions
JP2008282157A (ja
Inventor
光宏 木村
智治 疋田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Felica Networks Inc
Original Assignee
Felica Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Felica Networks Inc filed Critical Felica Networks Inc
Priority to JP2007124773A priority Critical patent/JP4457240B2/ja
Priority to US12/116,034 priority patent/US20080282044A1/en
Priority to CN2008100953007A priority patent/CN101303740B/zh
Publication of JP2008282157A publication Critical patent/JP2008282157A/ja
Application granted granted Critical
Publication of JP4457240B2 publication Critical patent/JP4457240B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K7/00Methods or arrangements for sensing record carriers, e.g. for reading patterns
    • G06K7/0008General problems related to the reading of electronic memory record carriers, independent of its reading method, e.g. power transfer

Description

本発明は、データ管理システム、管理サーバ、データ管理方法、およびプログラムに関する。
近年、非接触式IC(Integrated Circuit)カードや、非接触式ICチップを搭載した携帯電話など、リーダ/ライタと非接触式に通信可能な情報処理端末が普及している。
上記のようなリーダ/ライタと非接触式に通信可能な情報処理端末は、耐タンパ性を有するICチップを備えることにより、例えば、電子マネーなどデータの改竄が問題となるデータの送受信や更新を安全に行うことができる。したがって、上記のようなリーダ/ライタと非接触式に通信可能な非接触式ICチップを搭載した情報処理端末を利用した様々なサービスの提供が社会的に広がっている。そして、サービスの提供の広がりに伴い、非接触式ICチップを搭載した携帯電話などの情報処理端末の普及がさらに進んでいる。
このような中、例えば、携帯電話の機種変更時に変更前の携帯電話に搭載されたICチップ(移動元ICチップ)のデータを、変更後の携帯電話に搭載されたICチップ(移動先ICチップ)へとデータ移動させるサービスの提供などが登場している。移動元のICチップから移動先のICチップへのデータの移動に係る技術としては、例えば、特許文献1が挙げられる。
ここで、従来のICチップが有するメモリは、図1に示すような少なくとも1以上の領域(サービス領域A、B、…)を含む階層構造を持つ1のメモリ領域(サービス領域Z)を有する(例えば、特許文献1を参照。)。ここで、領域とは、階層構造においていわゆるフォルダに相当するものである。リーダ/ライタが、例えば、各領域(サービス領域A、B、…)に付与された識別コードを指定することにより、ICチップでは各領域(サービス領域A、B、…)に保持されるデータ(サービスデータa、b、…)の読み込み、または、書き込みが行われる。
また、移動元のICチップから移動先のICチップへのデータの移動は、移動元のICチップに保持される全てのデータが移動先のICチップへと移動される場合に限られず、移動元のICチップに保持される一部のデータが移動先のICチップへと移動されない場合もある。ここで、移動元のICチップに保持される一部のデータが移動先のICチップへと移動されない場合としては、例えば、移動元のICチップに保持されるデータに対して、データの移動を許可しない旨の付加情報が付されている場合が挙げられる。
上記のように、従来の移動元のICチップから移動先のICチップへのデータの移動に係る技術では、移動元のICチップに保持される一部のデータが移動先のICチップへと移動されない場合も起こり得る。従来のICチップは、図1に示すような少なくとも1以上の領域を含む階層構造を持つ1のメモリ領域からなるため、移動元のICチップに保持される一部のデータが移動先のICチップへと移動されない場合が生じたとしても特段問題は生じていなかった。
特開2006−338423号公報
しかしながら、ICチップが有するメモリの構成は、少なくとも1以上の領域を含む階層構造を持つ1のメモリ領域に限られず、互いに関連する2のメモリ領域を有することもある。ここで、互いに関連する2のメモリ領域を有するICチップでは、移動元のICチップに保持される一部のデータが移動先のICチップへと移動されない場合、データの移動先のICチップにおいて一の領域と他の領域との間で不整合な状態が生じることがある。しかしながら、従来の移動元のICチップから移動先のICチップへのデータの移動に係る技術は、互いに関連する2のメモリ領域を有するICチップを対象としていないため、データの移動後に一の領域と他の領域との間で生じ得る不整合な状態を整合性がとれた正常な状態に回復させることはできなかった。
本発明は、上記問題に鑑みてなされたものであり、本発明の目的とするところは、移動元のICチップから移動先のICチップへとデータの移動が行われた場合において、互いに関連する2のメモリ領域を有する、リーダ/ライタと非接触通信可能な移動先のICチップ内のメモリ領域の整合性を回復させることが可能な、新規かつ改良されたデータ管理システム、管理サーバ、データ管理方法、およびプログラムを提供することにある。
上記目的を達成するために、本発明の第1の観点によれば、リーダ/ライタと非接触通信可能なICチップを搭載した情報処理端末と、上記情報処理端末と通信可能な管理サーバとからなるデータ管理システムであって、上記情報処理端末は、上記リーダ/ライタを介して提供されるサービスに対応するサービスデータを保持する1または2以上のサービス領域と、各サービス領域にアクセスするための上記サービス領域ごとのリンク情報を保持するインデックス領域とを有する、上記ICチップの内部に設けられる内部メモリと、上記ICチップとは異なる移動元ICチップから上記ICチップへとデータの移動が行われた後に、上記インデックス領域と上記サービス領域との整合性を確認する整合性確認要求を上記管理サーバへ送信する整合性確認要求部とを備え、上記管理サーバは、上記情報処理端末からの上記整合性確認要求に応じて、上記情報処理端末の上記インデックス領域から少なくとも1以上の上記リンク情報を取得するデータ取得部と、上記データ取得部において取得される上記リンク情報に基づいて、上記リンク情報ごとにアクセス可能なサービス領域を示しているか否かを判定する領域判定部と、上記領域判定部において、上記リンク情報がアクセス可能なサービス領域を示していると判定された場合に、上記リンク情報が示すサービス領域を読み出す読み出し部と、上記読み出し部において上記リンク情報が示すサービス領域が読み出せない場合には、上記リンク情報をアクセス先が指定されない情報へと更新させるデータ更新部とを備えるデータ管理システムが提供される。
データ管理システムを構成するICチップを搭載した情報処理端末は、例えば、ICチップの内部に設けられる内部メモリと、整合性確認要求部とを備える。内部メモリは、1または2以上のサービス領域と、インデックス領域とを有することができる。サービス領域それぞれは、リーダ/ライタを介して提供されるサービスに対応するサービスデータを保持することができ、また、インデックス領域は、各サービス領域にアクセスするためのサービス領域ごとのリンク情報を保持することができる。また、整合性確認要求部は、情報処理端末が備えるICチップ(移動先ICチップ)とは異なる移動元ICチップから、情報処理端末が備えるICチップ(移動先ICチップ)へとデータの移動が行われた後に、情報処理端末が備えるICチップ(移動先ICチップ)のインデックス領域に保持されるリンク情報とサービス領域との整合性を確認する整合性確認要求を管理サーバへ送信することができる。
データ管理システムを構成する管理サーバは、例えば、データ取得部と、領域判定部と、読み出し部と、データ更新部とを備える。データ取得部は、情報処理端末からの上記整合性確認要求に応じて、情報処理端末の上記インデックス領域から少なくとも1以上の上記リンク情報を取得することができる。領域判定部は、データ取得部において取得される少なくとも1以上のリンク情報に基づいて、リンク情報ごとにアクセス可能なサービス領域を示しているか否かを判定することができる。読み出し部は、領域判定部において、リンク情報がアクセス可能なサービス領域を示していると判定された場合に、リンク情報が示すサービス領域を読み出してサービス領域の実在を確認することができる。データ更新部は、読み出し部においてリンク情報が示すサービス領域が読み出せない場合には、リンク情報をアクセス先が指定されない情報へと更新させることができる。
かかる構成により、移動元のICチップから移動先のICチップへとデータの移動が行われた場合において、互いに関連する2のメモリ領域を有する、リーダ/ライタと非接触通信可能な移動先のICチップ内のメモリ領域の整合性を回復させることが可能なデータ管理システムが実現される。
また、上記目的を達成するために、本発明の第2の観点によれば、リーダ/ライタと非接触通信可能なICチップ内に、上記リーダ/ライタを介して提供されるサービスに対応するサービスデータを保持する1または2以上のサービス領域と、各サービス領域にアクセスするための上記サービス領域ごとのリンク情報を保持するインデックス領域とを有する内部メモリを備え、上記ICチップとは異なる移動元ICチップから上記ICチップへとデータの移動が行われた後に、上記インデックス領域と上記サービス領域との整合性を確認する整合性確認要求を送信可能な情報処理端末と通信可能な管理サーバであって、上記情報処理端末からの上記整合性確認要求に応じて、上記情報処理端末の上記インデックス領域から少なくとも1以上の上記リンク情報を取得するデータ取得部と、上記データ取得部において取得される上記リンク情報に基づいて、上記リンク情報ごとにアクセス可能なサービス領域を示しているか否かを判定する領域判定部と、上記領域判定部において、上記リンク情報がアクセス可能なサービス領域を示していると判定された場合に、上記リンク情報が示すサービス領域を読み出す読み出し部と、上記読み出し部において上記リンク情報が示すサービス領域が読み出せない場合には、上記リンク情報をアクセス先が指定されない情報へと更新させるデータ更新部とを備える管理サーバが提供される。
管理サーバは、リーダ/ライタと非接触通信可能なICチップを搭載した情報処理端末と通信を行うことができる。ここで、情報処理端末は、リーダ/ライタと非接触通信可能なICチップ内に、リーダ/ライタを介して提供されるサービスに対応するサービスデータを保持する1または2以上のサービス領域と、各サービス領域にアクセスするためのサービス領域ごとのリンク情報を保持するインデックス領域とを有する内部メモリを備えることができる。また、情報処理端末は、情報処理端末が備えるICチップ(移動先ICチップ)とは異なる移動元ICチップから情報処理端末が備えるICチップ(移動先ICチップ)へとデータの移動が行われた後に、情報処理端末が備えるICチップ(移動先ICチップ)のインデックス領域に保持されるリンク情報とサービス領域との整合性を確認する整合性確認要求を送信することができる。
また、管理サーバは、例えば、データ取得部と、領域判定部と、読み出し部と、データ更新部とを備える。データ取得部は、情報処理端末からの整合性確認要求に応じて、情報処理端末のインデックス領域から少なくとも1以上のリンク情報を取得することができる。領域判定部は、データ取得部において取得される少なくとも1以上のリンク情報に基づいて、リンク情報ごとにアクセス可能なサービス領域を示しているか否かを判定することができる。読み出し部は、領域判定部において、リンク情報がアクセス可能なサービス領域を示していると判定された場合に、リンク情報が示すサービス領域を読み出してサービス領域の実在を確認することができる。データ更新部は、読み出し部においてリンク情報が示すサービス領域が読み出せない場合には、リンク情報をアクセス先が指定されない情報へと更新させることができる。
かかる構成により、管理サーバは、移動元のICチップから移動先のICチップへとデータの移動が行われた場合において、互いに関連する2のメモリ領域を有する、リーダ/ライタと非接触通信可能な移動先のICチップ内のメモリ領域の整合性を回復させることができる。
また、上記情報処理端末の各サービス領域には、上記サービス領域の読み出しを不能とする属性情報が設定可能であり、上記読み出し部において上記リンク情報が示すサービス領域が読み出せない場合に、上記リンク情報が示すサービス領域に上記属性情報が設定されているか否かを判定する属性判定部をさらに備え、データ更新部は、上記属性判定部において上記属性情報が設定されていると判定された場合には、上記インデックス領域内に保持される上記リンク情報を更新させないとしてもよい。
かかる構成により、情報処理端末が備えるICチップ(移動先ICチップ)内のメモリ領域に、領域の読み出しを不能とする属性情報が設定可能であった場合にも、リンク情報が示すサービス領域の実在を確認してICチップ内のメモリ領域の整合性を回復させることができる。
また、上記目的を達成するために、本発明の第3の観点によれば、リーダ/ライタと非接触通信可能なICチップ内に、上記リーダ/ライタを介して提供されるサービスに対応するサービスデータを保持する1または2以上のサービス領域と、各サービス領域にアクセスするための上記サービス領域ごとのリンク情報を保持するインデックス領域とを有する内部メモリを備え、上記ICチップとは異なる移動元ICチップから上記ICチップへとデータの移動が行われた後に、上記インデックス領域と上記サービス領域との整合性を確認する整合性確認要求を送信可能な情報処理端末と通信可能な管理サーバにおけるデータ管理方法であって、上記情報処理端末からの上記整合性確認要求に応じて、上記情報処理端末の上記インデックス領域から少なくとも1以上の上記リンク情報を取得するステップと、上記取得するステップにおいて取得される上記リンク情報に基づいて、上記リンク情報ごとにアクセス可能なサービス領域を示しているか否かを判定するステップと、上記判定するステップにおいて、上記リンク情報がアクセス可能なサービス領域を示していると判定された場合に、上記リンク情報が示すサービス領域を読み出すステップと、上記読み出すステップにおいて上記リンク情報が示すサービス領域が読み出せない場合には、上記リンク情報をアクセス先が指定されない情報へと更新させるステップとを有するデータ管理方法が提供される。
かかる方法を用いることにより、移動元のICチップから移動先のICチップへとデータの移動が行われた場合において、互いに関連する2のメモリ領域を有する、リーダ/ライタと非接触通信可能な移動先のICチップ内のメモリ領域の整合性を回復させることができる。
また、上記目的を達成するために、本発明の第4の観点によれば、リーダ/ライタと非接触通信可能なICチップ内に、上記リーダ/ライタを介して提供されるサービスに対応するサービスデータを保持する1または2以上のサービス領域と、各サービス領域にアクセスするための上記サービス領域ごとのリンク情報を保持するインデックス領域とを有する内部メモリを備え、上記ICチップとは異なる移動元ICチップから上記ICチップへとデータの移動が行われた後に、上記インデックス領域と上記サービス領域との整合性を確認する整合性確認要求を送信可能な情報処理端末と通信可能な管理サーバに係るプログラムであって、上記情報処理端末からの上記整合性確認要求に応じて、上記情報処理端末の上記インデックス領域から少なくとも1以上の上記リンク情報を取得する手段、上記取得するステップにおいて取得される上記リンク情報に基づいて、上記リンク情報ごとにアクセス可能なサービス領域を示しているか否かを判定する手段、上記判定するステップにおいて、上記リンク情報がアクセス可能なサービス領域を示していると判定された場合に、上記リンク情報が示すサービス領域を読み出す手段、上記読み出すステップにおいて上記リンク情報が示すサービス領域が読み出せない場合には、上記リンク情報をアクセス先が指定されない情報へと更新させる手段としてコンピュータを機能させるためのプログラムが提供される。
かかるプログラムによって、移動元のICチップから移動先のICチップへとデータの移動が行われた場合において、互いに関連する2のメモリ領域を有する、リーダ/ライタと非接触通信可能な移動先のICチップ内のメモリ領域の整合性を回復させることができる。
本発明によれば、移動元のICチップから移動先のICチップへとデータの移動が行われた場合において、互いに関連する2のメモリ領域を有する、リーダ/ライタと非接触通信可能な移動先のICチップ内のメモリ領域の整合性を回復させることができる。
以下に添付図面を参照しながら、本発明の好適な実施の形態について詳細に説明する。なお、本明細書および図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。
(本発明の実施形態に係るメモリ領域の構成の一例)
まず、本発明の実施形態に係るICチップ内のメモリ領域の構成について説明する。図2は、本発明の実施形態に係るICチップ内のメモリ領域の構成の一例を示す説明図である。
図2を参照すると、本発明の実施形態に係るICチップ内のメモリ領域は、サービス領域A、Bと、サービス領域A、Bそれぞれと互いに関連するインデックス領域Xとを有する。サービス領域A、Bそれぞれは、図1に示す従来のメモリ領域の構成と同様に、階層構造をとることができる。ここで、領域とは、階層構造においていわゆるフォルダに相当するものである。以下では、サービス領域として、サービス領域Aについて説明するが、サービス領域Bも同様である。
サービス領域Aは、情報処理端末が有する機能を有効とするためのデータ、または、情報処理端末が備えるICチップを用いてサービスを受けるためのデータ(以下、「サービスデータ」という。)が保持される、各種サービスに対応する領域である。ここで、サービスデータとしては、例えば、電子マネーバリューのデータ、個人認証のためのデータ、チケットのデータ、割引券に相当するデータなどが挙げられるが、上記に限られない。
また、サービス領域Aは、例えば、サービス領域に保持されるサービスデータに対する処理が途中の状態であるのか(あるいは、トランザクションが未完の状態であるのか)、または、サービスデータに対する処理が完了した状態であるのか(あるいは、トランザクションが完了した状態であるのか)を示す管理情報を保持することもできる。ここで、サービスデータに対する処理としては、例えば、サービスデータの書き込み処理などが挙げられるが、上記に限られない。なお、図2では、管理情報aがサービス領域Aに保持されているが、本発明の実施形態に係るサービス領域には、管理情報が保持されていなくてもよい。
インデックス領域Xは、リーダ/ライタが各サービス領域へとアクセスするために参照する領域である。インデックス領域Xには、サービス領域にアクセスするためにサービス領域の場所を指し示す情報(以下、「リンク情報」という。)がサービス領域ごとに保持される。ここで、リンク情報としては、例えば、サービス領域を特定するアドレスやコード、サービス領域へアクセスするための暗号鍵((Encryption Key))などが挙げられるが、上記に限られない。図2では、サービス領域Aへアクセスするためのリンク情報aと、サービス領域Bへアクセスするためのリンク情報bとがインデックス領域Xに保持されている。
また、リンク情報は、例えば、以下の(1)、(2)に示す2つの状態をとることができる。
(1)リンク情報が「サービス領域のアドレス」を示す場合
(2)リンク情報が「Null」を示す場合:どのサービス領域も示していない状態(以下、「初期化された状態」という。)
なお、上記(2)では、リンク情報の値を「Null」とした例を示しているが、本発明の実施形態に係る初期化された状態において設定されるリンク情報の値が、「Null」に限らないことは、言うまでもない。
(データの移動の概要)
次に、本発明の実施形態に係るデータの移動の概要について説明する。図3は、本発明の実施形態に係るデータの移動の概要を示す説明図である。ここで、図3(a)は、移動元ICチップから移動先ICチップへとデータの移動が行われる前の状態を示した図であり、図3(b)は、移動元ICチップから移動先ICチップへとデータの移動が行われた後の一の状態を示した図である。また、図3(c)は、移動元ICチップから移動先ICチップへとデータの移動が行われた後の他の状態を示した図である。なお、図3では、データの移動の概要を説明するために、図2に示す本発明の実施形態に係るメモリ領域の構成は省略し、サービス領域のみを示している。
[データの移動前の状態:図3(a)]
データの移動前において移動元ICチップは、データの移動が可能な移動可能領域C(サービス領域)と、データの移動が許可されていない移動不能領域D(サービス領域)を有している。また移動先ICチップには、何らの領域も設けられていない。
[データの移動後の第1の状態:図3(b)]
移動元ICチップから移動先ICチップへとデータの移動が行われると、移動可能な移動可能領域C(サービス領域)のみが移動元ICチップから移動先ICチップへ移動され、データの移動が許可されていない移動不能領域D(サービス領域)は、移動元ICチップから削除される。したがって、データの移動後において移動先ICチップは、移動可能領域C(サービス領域)を有し、移動元ICチップには、何らの領域も残らない。
[データの移動後の第2の状態:図3(c)]
移動元ICチップから移動先ICチップへとデータの移動が行われると、移動可能な移動可能領域C(サービス領域)のみが移動元ICチップから移動先ICチップへ移動され、データの移動が許可されていない移動不能領域D(サービス領域)は、移動元ICチップから削除される。
このとき、移動元ICチップから移動先ICチップへと移動された移動可能領域C(サービス領域)には、領域の属性を示す属性情報として、領域の読み出しを不能とする旨の属性情報が付加されてもよい。ここで、本発明の実施形態に係る“領域の読み出しを不能とする”とは、領域の読み出しが不可能という意味ではなく、特殊な読み出し手段(例えば、特定の読み出し命令が発せられた場合のみ読み出し可能となる。)により読み出されることを指す。したがって、図3(c)に示すデータの移動後の第2の状態は、移動先ICチップ内に移動可能領域C(サービス領域)が存在するにも関わらず、通常の手段では読み出せない状態を示している。
以下では、図3(c)に示すような領域に対して領域の読み出しを不能とする旨の属性情報が付加されている状態を、「プライバシ状態」という。
(本発明の実施形態が対象とする整合性に係る問題の一例)
本発明の実施形態では、図3に示すようなデータの移動が行われる。次に、本発明の実施形態が対象とする整合性に係る問題について、一例を挙げて説明する。
図4は、本発明の実施形態に係るデータの移動前と移動後のICチップの状態の一例を示す説明図である。ここで、図4(a)は、移動元ICチップから移動先ICチップへとデータの移動が行われる前の状態を示した図であり、図4(b)は、移動元ICチップから移動先ICチップへとデータの移動が行われた後の状態を示した図である。
[データの移動前の状態:図4(a)]
データの移動前において移動元ICチップは、サービス領域A、Bと、サービス領域A、Bそれぞれと互いに関連するインデックス領域Xとを有する。インデックス領域Xは、データの移動が可能な移動可能領域として設定され、サービス領域Aを示すリンク情報aおよびサービス領域Bを示すリンク情報bが保持されている。
サービス領域Aは、データの移動が可能な移動可能領域として設定され、管理情報aとサービスデータaとが保持されている。また、サービス領域Bは、データの移動が許可されていない移動不能領域として設定され、管理情報bとサービスデータbとが保持されている。
また、データの移動前において移動先ICチップには、何らの領域も設けられていない。
[データの移動後の状態:図4(b)]
移動元ICチップから移動先ICチップへとデータの移動が行われると、移動可能領域であるインデックス領域Xとサービス領域Aとが移動され、また、移動が許可されていない移動不能領域であるサービス領域Bは移動されずに移動元ICチップから削除される。
しかしながら、図4(b)に示すように、移動先のICチップでは、サービス領域Bを示すリンク情報bが移動されているにも関わらず、サービス領域Bは、移動されていない。したがって、図4(b)は、リンク情報bが存在しないサービス領域を指し示している状態、すなわち、インデックス領域とサービス領域との間における整合性が不正な状態である。上記の場合、例えば、リーダ/ライタがリンク情報bを読み込んだ場合、存在しないサービス領域Bへアクセスを行ってしまうなど、望ましくない動作が起こってしまう。
(第1の実施形態)
そこで次に、図4(b)に示すようなインデックス領域とサービス領域との間における整合性が不正な状態を、整合性が正常な状態へと回復させることが可能な本発明の第1の実施形態に係るデータ管理システムについて説明する。
図5は、本発明の第1の実施形態に係るデータ管理システムを示すブロック図である。
図5を参照すると、第1の実施形態に係るデータ管理システムは、情報処理端末100と、リーダ/ライタ150と、管理サーバ200と、セキュリティモジュール250とを有する。なお、図5では、情報処理端末として、情報処理端末100しか図示していないが、第1の実施形態に係るデータ管理システムは、2以上の情報処理端末を有してもよい。
情報処理端末100とリーダ/ライタ150とは、例えば13.56MHzなど特定の周波数の磁界(搬送波)を用いて非接触式に通信を行うことができる。リーダ/ライタ150は、搬送波を用いることにより、非接触式に情報処理端末100が備えるICチップ102(後述する)内のデータの読み込み、または書き込みを行うことができる。
また、情報処理端末100と管理サーバ200とは、ネットワーク回線300で接続される。ここで、ネットワーク回線300は、例えば、LAN(Local Area Network)やWAN(Wide Area Network)など有線ネットワークであってもよいし、もしくは、MIMO(Multiple-Input Multiple-Output)を用いたWLAN(Wireless Local Area Network)などの無線ネットワーク、あるいは、TCP/IP(Transmission Control Protocol/Internet Protocol)などの通信プロトコルを用いたインターネット(Internet)であってもよい。また、ネットワーク回線300は、例えば、いわゆる無線LANアクセスポイント(Wireless LAN Access Point)としての役割を果たす基地局(図示せず)などを介すものや、赤外線、IEEE802.11(「Wi−Fi」とも呼ばれる。)、IEEE802.15.1などのいわゆる近距離無線通信に係るものであってもよいが、上記に限られない。
[情報処理端末100]
情報処理端末100は、ICチップ102と、端末側通信部106と、整合性確認要求部108と、データ管理部110とを備えることができる。また、情報処理端末100は、MPU(Micro Processing Unit)などで構成され情報処理端末100全体を制御する端末側制御部(図示せず)や、情報処理端末100が実行可能なアプリケーションやデータを保持する端末側記憶部(図示せず)、ユーザが操作可能な操作部(図示せず)などを備えてもよい。ここで、端末側記憶部(図示せず)としては、例えば、RAM(Random Access Memory)やROM(Read Only Memory)などのメモリ、ハードディスク(Hard Disk)などの磁気記録媒体などが挙げられるが、上記に限られない。また、操作部(図示せず)としては、例えば、ボタン、方向キー、ジョグダイヤルなどの回転型セレクター、あるいは、これらの組み合わせなどが挙げられる。
ICチップ102は、リーダ/ライタ150との通信に係る様々な部を集積回路にて実現したものであり、耐タンパ性を有することができる。ICチップ102は、例えば、内部メモリ104や内部通信部(図示せず)を備えることができる。
内部メモリ104は、ICチップ102内に備わる記憶部であり、耐タンパ性を有することができる。また、内部メモリ104は、図2に示すように、インデックス領域と、インデックス領域と対応するサービス領域との互いに関連する2つの領域を有する。ここで、図5では、内部メモリ104の構成の一例として、インデックス領域Xと、サービス領域A、Bとが示されている。
内部通信部(図示せず)は、例えば、送受信アンテナとしての所定のインダクタンスをもつコイルと、所定の静電容量をもつキャパシタとからなる共振回路を有し、リーダ/ライタ150から送信される搬送波を受信することができる。また、内部通信部(図示せず)は、例えば、負荷変調を行いリーダ/ライタ150からみた情報処理端末100のインピーダンスを変化させることにより、搬送波を介してリーダ/ライタ150と通信を行うことができる。
端末側通信部106は、ネットワーク回線300を介して管理サーバ200などの外部装置と通信を行うための部であり、ネットワーク回線300の種類(すなわち、外部装置との通信の形態)に応じた形状、機能を有することができる。
整合性確認要求部108は、ICチップ102とは異なる移動元ICチップからICチップ102へとデータの移動が行われた後に、ICチップ102(移動先ICチップ)が備える内部メモリ104のインデックス領域とサービス領域との整合性を確認する整合性確認要求を生成することができる。そして、整合性確認要求部108は、生成した整合性確認要求を管理サーバ200へ送信させる。
ここで、整合性確認要求部108が生成する整合性確認要求は、管理サーバ200が、情報処理端末100のICチップ102が備える内部メモリ104のインデックス領域とサービス領域との整合性を確認するための処理を開始するためのいわゆるトリガとなる情報である。整合性確認要求としては、例えば、予め定められた処理番号が挙げられるが、上記に限られない。
また、整合性確認要求部108は、例えば、ユーザ入力に基づいて整合性確認要求を生成することができる。ここで、ユーザ入力とは、例えば、情報処理端末100を使用する使用者が操作部(図示せず)を用いて所定の操作することであってもよいし、または、情報処理端末100において実行可能なアプリケーションにより生成命令が発せられることであってもよい。さらに、整合性確認要求部108は、例えば、情報処理端末100以外の外部装置から取得する生成命令に応じて整合性確認要求を生成することもできる。
データ管理部110は、内部メモリ104内の領域の登録や削除、データの読み出しや書き込みを行うことが可能な部であり、管理サーバ200の各種指示(後述する)に基づいて、内部メモリ104に対する処理を行うことができる。
[管理サーバ200]
管理サーバ200は、サーバ側通信部202と、データ取得部204と、領域判定部206と、読み出し部208と、属性判定部210と、データ更新部212とを備えることができる。また、管理サーバ200は、MPUなどで構成され管理サーバ200全体を制御する管理側制御部(図示せず)や、管理サーバ200が実行可能なアプリケーションやデータを保持する管理側記憶部(図示せず)などを備えてもよい。ここで、管理側記憶部(図示せず)としては、例えば、RAMやROMなどのメモリ、ハードディスクなどの磁気記録媒体などが挙げられるが、上記に限られない。
また、管理サーバ200は、情報処理端末100の内部メモリ104にアクセスするための暗号鍵を保持するセキュリティモジュール250を備えることができる。図5では、セキュリティモジュール250を管理サーバ200とは別体として図示しているが、管理サーバ200内部に備えることもできる。管理サーバ200は、セキュリティモジュール250に保持される情報処理端末100の内部メモリ104にアクセスするための暗号鍵を用いることにより、情報処理端末100の内部メモリ104に(直接的に、または間接的に)アクセスすることができる。
サーバ側通信部202は、ネットワーク回線300を介して情報処理端末100などの外部装置と通信を行うための部であり、ネットワーク回線300の種類(すなわち、外部装置との通信の形態)に応じた形状、機能を有する。
データ取得部204は、情報処理端末100から整合性確認要求を取得すると、整合性確認要求に応じて、情報処理端末100のICチップ102が備える内部メモリ104のインデックス領域Xに保持される少なくとも1以上のリンク情報を取得する。ここで、データ取得部204におけるリンク情報を取得手段としては、例えば、データ取得部204がリンク情報取得指示を情報処理端末100へ送信し、情報処理端末100のデータ管理部110が当該リンク情報取得指示に基づいてリンク情報を読み出して管理サーバ200へ返信することが挙げられるが、上記に限られない。
また、データ取得部204は、リンク情報取得指示をまずセキュリティモジュール250へ送信し、セキュリティモジュール250において暗号化されたリンク情報取得指示を情報処理端末100へ送信することもできる。セキュリティモジュール250と、情報処理端末100のICチップ102において共通の暗号鍵を用いることにより、管理サーバ200と情報処理端末100との間の通信を暗号化された暗号通信とすることができる。なお、以下では、特に暗号通信について触れないが、同様に管理サーバ200と情報処理端末100との間の通信は、暗号化された通信とすることができる。
領域判定部206は、データ取得部204により情報処理端末100から取得された少なくとも1以上のリンク情報を用いて、リンク情報ごとに、リンク情報がサービス領域の場所を指し示しているか(すなわち、リンク情報がアクセス可能なサービス領域を示しているか)否かを判定することができる(第1の領域判定)。ここで、領域判定部206におけるリンク情報を用いた判定は、例えば、リンク情報が初期化された状態であるか否かを判定することにより行うことができるが、上記に限られない。また、以下では、リンク情報に「Null」が設定されることを、リンク情報の「初期化」とする。なお、本発明の実施形態に係る初期化が、リンク情報に「Null」が設定されることに限られないことは、言うまでもない。
読み出し部208は、領域判定部206において、リンク情報がサービス領域の場所を指し示していると判定された場合には、当該リンク情報が示すサービス領域を読み出す。ここで、読み出し部208におけるサービス領域の読み出し手段としては、例えば、読み出し部208がサービス領域読み出し指示を情報処理端末100へ送信し、情報処理端末100のデータ管理部110が当該サービス領域読み出し指示に基づいてサービス領域を読み出して管理サーバ200へ返信することが挙げられる。なお、読み出し部208により読み出される読み出し結果は、例えば、サービス領域が読み出せたか否かを示す1ビットのデータ(例えば「0」が読み出し失敗、「1」が読み出し成功)とすることができるが、上記に限られず、サービス領域そのものであってもよい。
属性判定部210は、読み出し部208においてサービス領域が読み出されなかった場合に、当該サービス領域がプライバシ状態であるか否かを判定する。ここで、属性判定部210におけるプライバシ状態の判定手段としては、例えば、属性判定部210がサービス領域に設定された属性情報を確認するための属性情報確認指示を情報処理端末100へ送信し、情報処理端末100のデータ管理部110が当該属性情報確認指示に基づいて読み出し部208が読み出せなかったサービス領域の属性情報を確認して管理サーバ200へ返信することが挙げられる。なお、属性判定部210により確認される結果は、例えば、サービス領域がプライバシ状態であるか否かを示す1ビットのデータ(例えば「0」がプライバシ状態ではない、「1」がプライバシ状態である)とすることができるが、上記に限られない。
また、属性判定部210は、読み出し部208においてサービス領域が読み出されなかったサービス領域がプライバシ状態である場合には、サービス領域が存在する、すなわち、整合性が正常であると判定することができる。また、属性判定部210は、読み出し部208においてサービス領域が読み出されなかったサービス領域がプライバシ状態ではない場合には、サービス領域が存在しない、すなわち、整合性が不正であると判定することができる(第2の領域判定)。
データ更新部212は、属性判定部210において整合性が不正であると判定された場合には、整合性を回復させるための「整合性回復処理」(後述する)を実行し、情報処理端末100のICチップ102が備える内部メモリ104のインデックス領域に保持されるリンク情報を更新させる。また、データ更新部212は、属性判定部210において整合性が正常であると判定された場合には、「整合性回復処理」を実行しない。
また、データ更新部212は、データ取得部204において取得された1以上のリンク情報において、整合性が不正であると判定された全てのリンク情報に対して更新が完了すると、更新が完了し整合性が正常な状態となった旨の結果情報を情報処理端末100へ送信させ、整合性確認要求に基づく処理を完了させることができる。
[データ管理方法]
次に、本発明の実施形態に係るデータ管理方法に係る「整合性回復処理」がどのようにしてインデックス領域とサービス領域との整合性を回復させるのかについて説明する。
図6は、本発明の実施形態に係る整合性回復処理の一例を示す説明図である。なお、本発明の実施形態に係る「整合性回復処理」が図6に限られないことは、言うまでもない。また、図6において、特段示していないが、管理サーバ200と情報処理端末100との間の通信は、セキュリティモジュール250により暗号化された通信とすることができる。
まず、情報処理端末100から管理サーバ200へ処理の要求がなされる(S100)。ここで、ステップS100における処理の要求とは、インデックス領域とサービス領域との整合性を確認する整合性確認要求を指す。整合性確認要求の送信は、例えば、情報処理端末100を使用するユーザの操作により行われてもよいし、または、移動元ICチップから情報処理端末100のICチップ102(移動先ICチップ)へとデータの移動が行われた後に、情報処理端末100が外部装置から取得する生成命令に応じて行うことできる。
ステップS100において情報処理端末100から送信された整合性確認要求を受信した管理サーバ200は、整合性確認要求に基づいて、情報処理端末100のICチップ102が備える内部メモリ104のインデックス領域Xに保持される少なくとも1以上のリンク情報を取得するためのリンク情報取得指示を情報処理端末100へ送信する(S102)。ステップS102におけるリンク情報取得指示の送信は、データ取得部204が行うことができる。
ステップS102において管理サーバ200から送信されたリンク情報取得指示を受信した情報処理端末100は、リンク情報取得指示に基づいてインデックス領域Xに保持されるリンク情報を読み出す(S104)。そして、ステップS104において読み出した少なくとも1以上のリンク情報を管理サーバ200へ送信する(S106)。ここで、ステップS104における読み出し処理は、例えば、情報処理端末100のデータ管理部110が行うことができる。以下、情報処理端末100において行われる各処理は、データ管理部110が行うものとして説明を省略するが、情報処理端末100において行われる各処理を行う構成要素がデータ管理部110に限られないことは、言うまでもない。
ステップS106において情報処理端末100から送信された少なくとも1以上のリンク情報を受信した管理サーバ200は、受信されたリンク情報ごとに以下に示すステップS108〜S132の処理を行い、受信されたリンク情報の数だけ処理を繰り返す。
<処理の概要>
ここで、図6を用いてステップS108〜S132の処理について説明する前に、ステップS108〜S132における処理の概要について図7を参照して説明する。図7は、本発明の実施形態に係る整合性回復処理における処理の概要を示す説明図であり、一のリンク情報に係る処理の概要を示している。
まず、リンク情報が示すサービス領域を読み出す(S200)。なお、図7では特に示していないが、初期化されたリンク情報である場合には、当該リンク情報についての処理は終了し、全てのリンク情報についてサービス領域を確認したか否かを判定する(S204)。ステップS204において、全てのリンク情報についてサービス領域を確認していない場合には、次のリンク情報についてステップS200からの処理を行い、また、全てのリンク情報についてサービス領域を確認した場合は、処理を終了する。
ステップS200において読み出したサービス領域が存在するか否かを判定する(S202)。ステップS202における判定は、例えば、サービス領域が読み出せたか否かで行うことができる。ステップS202においてサービス領域が存在すると判定された場合には、リンク情報とサービス領域との整合性は正常であるので、全てのリンク情報についてサービス領域を確認したか否かを判定する(S204)。
また、ステップS202においてサービス領域が存在しないと判定された場合には、リンク情報が示すサービス領域の属性情報を確認する(S206)。そして、ステップS206における属性情報の確認結果に基づいて、サービス領域にプライバシ状態が設定されているか否かを判定する(S208)。
ステップS208においてサービス領域にプライバシ状態が設定されていると判定された場合には、リンク情報とサービス領域との整合性は正常であるので、全てのリンク情報についてサービス領域を確認したか否かを判定する(S204)。
また、ステップS208においてサービス領域にプライバシ状態が設定されていないと判定された場合には、リンク情報とサービス領域との整合性は不正な状態であるので、リンク情報を初期化する(S210)。ステップS210において、リンク情報を初期化することにより、当該リンク情報は、どのサービス領域をも指し示さなくなるので、当該リンク情報とサービス領域との整合性を正常な状態へと回復させることができる。そして、全てのリンク情報についてサービス領域を確認したか否かを判定する(S204)。
以上、図7を用いて概要を示したように、本発明の実施形態に係る整合性回復処理は、リンク情報ごとにサービス領域の存在を確認し、サービス領域が存在しない場合には、整合性が不正な状態であるとして、リンク情報の初期化を行うことによって、整合性を正常な状態へと回復させる。
再度、図6を参照して、整合性回復処理に係るステップS108〜S132の処理について説明する。なお、以下に示すステップS108〜S132の処理は、ステップS106において情報処理端末100から送信されたリンク情報の数分行われ、全てのリンク情報に対して処理が終了するまで繰り返される。
ステップS106において情報処理端末100から送信された少なくとも1以上のリンク情報のうちの一のリンク情報について、管理サーバ200は、当該リンク情報がサービス領域を指し示しているか否かを判定する(S108)。ここで、ステップS108における判定は、例えば、リンク情報が初期化されているか否かで判定することができる。ステップS108において、リンク情報がサービス領域を指し示していない場合には、次のリンク情報についてステップS108の処理を行う。ステップS108における判定は、領域判定部206が行うことができる。
ステップS108においてリンク情報がサービス領域を指し示していると判定された場合には、管理サーバ200は、リンク情報が示すサービス領域を読み出す読み出し指示を情報処理端末100へ送信する(S110)。ステップS110における読み出し指示の送信は、読み出し部208が行うことができる。
ステップS110においてリンク情報が示すサービス領域を読み出す読み出し指示を受信した情報処理端末100は、読み出し指示に基づいて読み出し指示が指定するサービス領域を読み出す(S112)。そして、ステップS112における読み出し処理の結果を管理サーバ200へ送信する(S114)。ここで、ステップS112における読み出し処理の結果は、例えば、サービス領域が読み出せたか否かを示す1ビットのデータ(例えば「0」が読み出し失敗、「1」が読み出し成功)とすることができるが、上記に限られない。
ステップS114において送信された読み出し処理の結果を受信した管理サーバ200は、当該読み出し処理の結果に基づいて、サービス領域が読み出せたか否かを判定する(S116)。ステップS116において、サービス領域が読み出せたと判定された場合には、次のリンク情報についてステップS108の処理を行う。ステップS116における判定は、例えば、データ更新部212が行うことができる。
また、ステップS116において、サービス領域が読み出せないと判定された場合には、リンク情報が示すサービス領域がプライバシ状態であるか否かを判定するための属性情報確認指示を情報処理端末100へ送信する(S118)。ステップS118における属性情報確認指示の送信は、属性判定部210が行うことができる。
ステップS118において送信された属性情報確認指示を受信した情報処理端末100は、属性情報確認指示に基づいて属性情報確認指示が指定するサービス領域に属性情報が設定されているか否かを確認する(S120)。そして、ステップS120における属性情報確認処理の結果を管理サーバ200へ送信する(S122)。ここで、ステップS122における属性情報確認処理の結果は、例えば、サービス領域がプライバシ状態であるか否かを示す1ビットのデータ(例えば「0」がプライバシ状態ではない、「1」がプライバシ状態である)とすることができるが、上記に限られない。
ステップS122において送信された属性情報確認処理の結果を受信した管理サーバ200は、当該属性情報確認処理の結果に基づいて、リンク情報が示すサービス領域がプライバシ状態であるか否かを判定する(S124)。ステップS124において、リンク情報が示すサービス領域がプライバシ状態であると判定された場合には、次のリンク情報についてステップS108の処理を行う。ステップS124における判定は、属性判定部210が行うことができる。
また、ステップS124において、リンク情報が示すサービス領域がプライバシ状態ではないと判定された場合には、リンク情報を初期化するリンク情報初期化指示を情報処理端末100へ送信する(S126)。ステップS126におけるリンク情報初期化指示の送信は、データ更新部212が行うことができる。
ステップS126において送信されたリンク情報初期化指示を受信した情報処理端末100は、リンク情報初期化指示に基づいてリンク情報を初期化する(S128)。そして、ステップS128における初期化処理の結果を管理サーバ200へ送信する(S130)。ここで、ステップS130における初期化処理の結果は、例えば、初期化が成功したか否かを示す1ビットのデータ(例えば「0」が初期化失敗、「1」が初期化成功)とすることができるが、上記に限られない。
ステップS130において送信された初期化処理の結果を受信した管理サーバ200は、当該初期化処理の結果に基づいて、リンク情報の初期化が正常に行われたか否かを判定する(S132)。ステップS132において、リンク情報の初期化が正常に行われなかったと判定された場合には、再度ステップS126の処理を行うことができ、または、整合性確認要求に基づく処理が失敗した旨のエラー情報を情報処理端末100へ送信して整合性確認要求に基づく処理を終了させてもよい。ステップS132における判定は、データ更新部212が行うことができる。
また、ステップS132においてリンク情報の初期化が正常に行われた場合には、次のリンク情報についてステップS108の処理を行う。
管理サーバ200は、上記のようなステップS108〜S132の処理をリンク情報ごとに繰り返す。そして、管理サーバ200は、ステップS106において情報処理端末100から送信された少なくとも1以上のリンク情報のすべてについて処理が行われると、整合性確認要求に基づく処理が完了し整合性が正常な状態となった旨の結果情報を情報処理端末100へ送信させて、整合性確認要求に基づく処理を完了させる(S134)。ステップS134における結果情報の送信は、データ更新部212が行うことができる。
図6に示す本発明の実施形態に係る整合性回復処理は、管理サーバ200が主体となって情報処理端末100のICチップ102に保持されるリンク情報ごとにリンク情報が指し示すサービス領域の実在を確認する。そして、リンク情報が指し示すサービス領域が実在しない場合には、管理サーバ200は、整合性が不正な状態であるとして当該リンク情報を初期化させる。整合性が不正な状態が生じていたリンク情報を初期化することによって、初期化されたリンク情報はいずれのサービス領域をも示さなくなるので、整合性の不正な状態は解消する。
よって、移動元ICチップから情報処理端末100のICチップ102(移動先ICチップ)へとデータの移動が行われた場合において、例えば、情報処理端末100のICチップ102(移動先ICチップ)が図4(b)に示す状態となったとしても、管理サーバ200は、リンク情報bを初期化させることによって、リンク情報bへアクセスしたリーダ/ライタ150が実在しないサービス領域に対して読み出しなどの各種処理を行うことを防止させることができる。
以上のように、本発明の第1の実施形態に係るデータ管理システムは、情報処理端末100が管理サーバ200へ整合性確認要求を送信し、当該整合性確認要求を受信した管理サーバ200が、情報処理端末100のICチップ102に保持される少なくとも1以上のリンク情報ごとにリンク情報が指し示すサービス領域の実在を確認する。そして、リンク情報が指し示すサービス領域が実在しない場合には、管理サーバ200は、整合性が不正な状態であるとして当該リンク情報を初期化させて、当該リンク情報に係る整合性の不正な状態を解消させる。したがって、管理サーバ200が、情報処理端末100のICチップ102に保持される少なくとも1以上のリンク情報それぞれに対して、サービス領域の実在を確認することによりリンク情報に係る整合性の不正な状態を判定し、整合性の不正な状態を解消させることによって、管理サーバ200は、移動元ICチップからデータの移動が行われた情報処理端末100が備えるICチップ102(移動先ICチップ)のインデックス領域に保持されるリンク情報とサービス領域との整合性を回復させることができる。
また、本発明の第1の実施形態に係るデータ管理システムは、管理サーバ200が主体となって情報処理端末100のICチップ102におけるインデックス領域とサービス領域との整合性の回復を制御することができる。したがって、情報処理端末100は、管理サーバ200からの指示に従って処理しさえすればよいので、情報処理端末100側における整合性の回復に係る負荷を小さくすることができる。
また、本発明の第1の実施形態に係るICチップ内のメモリ領域の構成は、図1に示す従来のメモリ領域の構成とは異なり、インデックス領域と、インデックス領域と対応するサービス領域という互いに関連する2つの領域を有する。本発明の実施形態に係る整合性回復処理が行われることによって、移動元ICチップからデータの移動が行われた情報処理端末100のICチップ102(移動先ICチップ)におけるインデックス領域とサービス領域との整合性が保たれるので、リーダ/ライタ150は、インデックス領域に保持されるリンク情報を読み出せば、リンク情報に対応するサービスが情報処理端末において提供されているか否かを判定することができる。したがって、本発明の第1の実施形態に係るデータ管理システムでは、リーダ/ライタ150が、データの移動が行われていないサービス領域、すなわち実在しないサービス領域からサービスデータを読み出すなどの各種処理を行うことを防止することもできる。
本発明の第1の実施形態に係るデータ管理システムを構成する構成要素として、情報処理端末100を挙げて説明したが、本発明の第1の実施形態は、係る形態に限られず、ICチップを搭載した携帯電話などの携帯型通信装置、ICチップを搭載したUMPC(Ultra Mobile Personal Computer)などのコンピュータなどに適用することができる。
また、本発明の第1の実施形態に係るデータ管理システムを構成する構成要素として、管理サーバ200を挙げて説明したが、本発明の第1の実施形態は、係る形態に限られず、例えば、PC(Personal Computer)やサーバ(Server)などのコンピュータなどに適用することができる。

(第1の実施形態に係るプログラム)
第1の実施形態に係る管理サーバ200をコンピュータとして機能させるためのプログラムによって、インデックス領域とサービス領域という互いに関連する2つの領域を有するICチップを備える情報処理端末100から送信される整合性確認要求に応じて、移動元ICチップからデータの移動が行われた情報処理端末100が備えるICチップ102(移動先ICチップ)のインデックス領域に保持されるリンク情報とサービス領域との整合性を回復させることができる。
(第2の実施形態)
上記では、第1の実施形態として、管理サーバ200が、データの移動が行われた情報処理端末100のICチップ102(移動先ICチップ)に保持される少なくとも1以上のリンク情報それぞれに対して、サービス領域の実在を確認することによりリンク情報に係る整合性の不正な状態を判断し、整合性の不正な状態を解消させる構成について説明した。しかしながら、例えば、正常に更新されていない不完全なサービスデータを保持する移動元ICチップから、情報処理端末100のICチップ102(移動先ICチップ)へとデータの移動が行われた場合には、情報処理端末100のICチップ102(移動先ICチップ)のサービス領域に保持されるサービスデータが、正常に更新されていない不完全なサービスデータとなることもあり得る。上記の場合には、たとえリンク情報が指し示すサービス領域が実在していたとしても、望ましい状態ではない(整合性が不正な状態の一例であるといえる。)。
本発明の実施形態は、上記の望ましくない状態を解消するために、例えば、サービス領域の実在に加えて、さらに当該サービス領域に保持されるサービスデータが正常に更新されたデータであるか否かに基づいて、リンク情報に係る整合性の不正な状態を判断することができる(第2の実施形態)。
ここで、サービス領域に保持されるサービスデータが正常に更新されたデータであるか否かの判断は、例えば、サービス領域に保持されるサービスデータに対する処理が途中の状態であるのか(あるいは、トランザクションが未完の状態であるのか)、または、サービスデータに対する処理が完了した状態であるのか(あるいは、トランザクションが完了した状態であるのか)を示す管理情報(図2参照)を用いて行うことができる。
第2の実施形態に係る管理サーバは、リンク情報が指し示すサービス領域が実在していたとしても、管理情報が、例えば、処理の途中の状態であることを示している場合には、整合性が不正な状態であると判断し、整合性の不正な状態を解消させる。このとき、第2の実施形態に係る管理サーバが、例えば、移動元のICチップから移動されてきたデータが不正であった旨のログ情報を情報処理端末100へ送信することができることは、言うまでもない。
以上のように、第2の実施形態に係る管理サーバは、情報処理端末のICチップに保持される少なくとも1以上のリンク情報それぞれに対して、サービス領域の実在およびサービスデータが正常なデータであるか否かによりリンク情報に係る整合性の不正な状態を確認する。そして、第2の実施形態に係る管理サーバは、不正な状態が確認された場合には、整合性の不正な状態を解消させる。したがって、第2の実施形態に係る管理サーバは、移動元ICチップからデータの移動が行われた情報処理端末が備えるICチップ(移動先ICチップ)のインデックス領域に保持されるリンク情報とサービス領域との整合性を回復させることができる。
(第2の実施形態に係るプログラム)
第2の実施形態に係る管理サーバをコンピュータとして機能させるためのプログラムによって、インデックス領域とサービス領域という互いに関連する2つの領域を有するICチップを備える情報処理端末100から送信される整合性確認要求に応じて、移動元ICチップからデータの移動が行われた情報処理端末が備えるICチップ(移動先ICチップ)のインデックス領域に保持されるリンク情報とサービス領域との整合性を回復させることができる。
(第3の実施形態)
上述した第1、第2の実施形態では、管理サーバが情報処理端末のICチップ(移動先ICチップ)におけるインデックス領域とサービス領域との整合性を回復させる構成について説明した。しかしながら、本発明の実施形態は、管理サーバが情報処理端末が備えるICチップ(移動先ICチップ)のインデックス領域に保持されるリンク情報とサービス領域との整合性を回復させる構成に限られず、例えば、情報処理端末のインデックス領域に保持されるリンク情報とサービス領域との整合性を、情報処理端末自身が主体的に回復させることもできる。
情報処理端末自身が、移動元ICチップからデータの移動が行われた情報処理端末が備えるICチップ(移動先ICチップ)のインデックス領域に保持されるリンク情報とサービス領域との整合性を回復させる手段としては、例えば、情報処理端末が、整合性回復処理において処理の経過を示すステータス情報を保持して処理を行うことが挙げられる。
以上、添付図面を参照しながら本発明の好適な実施形態について説明したが、本発明は係る例に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
例えば、図5に示す情報処理端末100は、ICチップ102(移動先ICチップ)しか図示されていないが、かかる構成に限られず、移動元ICチップおよびICチップ102(移動先ICチップ)の2以上のICチップを備えることもできる。上記の構成であっても、一のICチップ(移動元ICチップ)から他のICチップ(移動先ICチップ)へとデータの移動が行われた場合に、移動先ICチップ内のメモリ領域の整合性を回復させることができる。
また、本発明の実施形態に係るデータ管理方法として、図6、図7に示す「整合性回復処理」を示したが、本発明の実施形態に係るデータ管理方法は、図6、図7に示す方法に限られない。本発明の実施形態に係るデータ管理方法は、例えば、以下の(イ)〜(ニ)のステップに示す方法により、移動先ICチップ内のメモリ領域の整合性を回復させることができる。
(イ)リンク情報を全て読み出し(集合1)、
(ロ)リンク情報に対するサービス領域を全て読み出し(集合2)、
(ハ)読み出せなかったもの(集合1−集合2)に対して属性チェックを行い、
(ニ)属性チェックの結果不整合と判定されたリンク情報に対して更新を行う
上述した構成は、当業者が容易に変更し得る程度のことであり、本発明の等価範囲に属するものと理解すべきである。
従来のICチップ内のメモリ領域の構成の一例を示す説明図である。 本発明の実施形態に係るICチップ内のメモリ領域の構成の一例を示す説明図である。 本発明の実施形態に係るデータの移動の概要を示す説明図である。 本発明の実施形態に係るデータの移動前と移動後のICチップの状態の一例を示す説明図である。 本発明の第1の実施形態に係るデータ管理システムを示すブロック図である。 本発明の実施形態に係る整合性回復処理の一例を示す説明図である。 本発明の実施形態に係る整合性回復処理における処理の概要を示す説明図である。
符号の説明
100 情報処理端末
102 ICチップ
104 内部メモリ
106 端末側通信部
108 整合性確認要求部
110 データ管理部
150 リーダ/ライタ
200 管理サーバ
202 サーバ側通信部
204 データ取得部
206 領域判定部
208 読み出し部
210 属性判定部
212 データ更新部

Claims (5)

  1. リーダ/ライタと非接触通信可能なICチップを搭載した情報処理端末と、前記情報処理端末と通信可能な管理サーバとからなるデータ管理システムであって:
    前記情報処理端末は、
    前記リーダ/ライタを介して提供されるサービスに対応するサービスデータを保持する1または2以上のサービス領域と、各サービス領域にアクセスするための前記サービス領域ごとのリンク情報を保持するインデックス領域とを有する、前記ICチップの内部に設けられ耐タンパ性を有する内部メモリと;
    前記ICチップとは異なる移動元ICチップから前記ICチップへとデータの移動が行われた後に、前記インデックス領域と前記サービス領域との整合性を確認する整合性確認要求を前記管理サーバへ送信する整合性確認要求部と;
    前記整合性確認要求に応じて前記管理サーバから送信される前記内部メモリに対する処理を規定する指示に基づいて、前記内部メモリに対する前記指示に応じた処理を行うデータ管理部と;
    を備え、
    前記管理サーバは、
    前記情報処理端末からの前記整合性確認要求に応じて、前記内部メモリから前記リンク情報を取得するための取得指示を前記情報処理端末へ送信し、前記情報処理端末の前記インデックス領域から少なくとも1以上の前記リンク情報を取得するデータ取得部と;
    前記データ取得部において取得される前記リンク情報に基づいて、前記リンク情報ごとにアクセス可能なサービス領域を示しているか否かを判定する領域判定部と;
    前記領域判定部において、前記リンク情報がアクセス可能なサービス領域を示していると判定された場合に、前記リンク情報が示すサービス領域を読み出す読み出し指示を前記情報処理端末へ送信し、前記リンク情報が示すサービス領域を読み出す読み出し部と;
    前記読み出し部において前記リンク情報が示すサービス領域が読み出せない場合には、前記リンク情報をアクセス先が指定されない情報へと更新させる初期化指示を前記情報処理端末へ送信し、前記リンク情報をアクセス先が指定されない情報へと更新させるデータ更新部と;
    を備えることを特徴とする、データ管理システム。
  2. リーダ/ライタと非接触通信可能なICチップ内に、前記リーダ/ライタを介して提供されるサービスに対応するサービスデータを保持する1または2以上のサービス領域と、各サービス領域にアクセスするための前記サービス領域ごとのリンク情報を保持するインデックス領域とを有し、耐タンパ性を有する内部メモリを備え、前記ICチップとは異なる移動元ICチップから前記ICチップへとデータの移動が行われた後に、前記インデックス領域と前記サービス領域との整合性を確認する整合性確認要求を送信可能であり、前記整合性確認要求に応じて外部装置から送信される指示に基づいて前記内部メモリに対する前記指示に応じた処理を行う情報処理端末と通信可能な管理サーバであって:
    前記情報処理端末からの前記整合性確認要求に応じて、前記内部メモリから前記リンク情報を取得するための取得指示を前記情報処理端末へ送信し、前記情報処理端末の前記インデックス領域から少なくとも1以上の前記リンク情報を取得するデータ取得部と;
    前記データ取得部において取得される前記リンク情報に基づいて、前記リンク情報ごとにアクセス可能なサービス領域を示しているか否かを判定する領域判定部と;
    前記領域判定部において、前記リンク情報がアクセス可能なサービス領域を示していると判定された場合に、前記リンク情報が示すサービス領域を読み出す読み出し指示を前記情報処理端末へ送信し、前記リンク情報が示すサービス領域を読み出す読み出し部と;
    前記読み出し部において前記リンク情報が示すサービス領域が読み出せない場合には、前記リンク情報をアクセス先が指定されない情報へと更新させる初期化指示を前記情報処理端末へ送信し、前記リンク情報をアクセス先が指定されない情報へと更新させるデータ更新部と;
    を備えることを特徴とする、管理サーバ。
  3. 前記情報処理端末の各サービス領域には、前記サービス領域の読み出しを不能とする属性情報が設定可能であり、
    前記読み出し部において前記リンク情報が示すサービス領域が読み出せない場合に、前記リンク情報が示すサービス領域に前記属性情報が設定されているか否かを判定する属性判定部をさらに備え、
    データ更新部は、前記属性判定部において前記属性情報が設定されていると判定された場合には、前記インデックス領域内に保持される前記リンク情報を更新させないことを特徴とする、請求項2に記載の管理サーバ。
  4. リーダ/ライタと非接触通信可能なICチップ内に、前記リーダ/ライタを介して提供されるサービスに対応するサービスデータを保持する1または2以上のサービス領域と、各サービス領域にアクセスするための前記サービス領域ごとのリンク情報を保持するインデックス領域とを有し、耐タンパ性を有する内部メモリを備え、前記ICチップとは異なる移動元ICチップから前記ICチップへとデータの移動が行われた後に、前記インデックス領域と前記サービス領域との整合性を確認する整合性確認要求を送信可能であり、前記整合性確認要求に応じて外部装置から送信される指示に基づいて前記内部メモリに対する前記指示に応じた処理を行う情報処理端末と通信可能な管理サーバにおけるデータ管理方法であって:
    前記情報処理端末からの前記整合性確認要求に応じて、前記内部メモリから前記リンク情報を取得するための取得指示を前記情報処理端末へ送信し、前記情報処理端末の前記インデックス領域から少なくとも1以上の前記リンク情報を取得するステップと;
    前記取得するステップにおいて取得される前記リンク情報に基づいて、前記リンク情報ごとにアクセス可能なサービス領域を示しているか否かを判定するステップと;
    前記判定するステップにおいて、前記リンク情報がアクセス可能なサービス領域を示していると判定された場合に、前記リンク情報が示すサービス領域を読み出す読み出し指示を前記情報処理端末へ送信し、前記リンク情報が示すサービス領域を読み出すステップと;
    前記読み出すステップにおいて前記リンク情報が示すサービス領域が読み出せない場合には、前記リンク情報をアクセス先が指定されない情報へと更新させる初期化指示を前記情報処理端末へ送信し、前記リンク情報をアクセス先が指定されない情報へと更新させるステップと;
    を有することを特徴とする、データ管理方法。
  5. リーダ/ライタと非接触通信可能なICチップ内に、前記リーダ/ライタを介して提供されるサービスに対応するサービスデータを保持する1または2以上のサービス領域と、各サービス領域にアクセスするための前記サービス領域ごとのリンク情報を保持するインデックス領域とを有し、耐タンパ性を有する内部メモリを備え、前記ICチップとは異なる移動元ICチップから前記ICチップへとデータの移動が行われた後に、前記インデックス領域と前記サービス領域との整合性を確認する整合性確認要求を送信可能であり、前記整合性確認要求に応じて外部装置から送信される指示に基づいて前記内部メモリに対する前記指示に応じた処理を行う情報処理端末と通信可能な管理サーバに係るプログラムであって:
    前記情報処理端末からの前記整合性確認要求に応じて、前記内部メモリから前記リンク情報を取得するための取得指示を前記情報処理端末へ送信し、前記情報処理端末の前記インデックス領域から少なくとも1以上の前記リンク情報を取得する手段;
    前記取得するステップにおいて取得される前記リンク情報に基づいて、前記リンク情報ごとにアクセス可能なサービス領域を示しているか否かを判定する手段;
    前記判定するステップにおいて、前記リンク情報がアクセス可能なサービス領域を示していると判定された場合に、前記リンク情報が示すサービス領域を読み出す読み出し指示を前記情報処理端末へ送信し、前記リンク情報が示すサービス領域を読み出す手段;
    前記読み出すステップにおいて前記リンク情報が示すサービス領域が読み出せない場合には、前記リンク情報をアクセス先が指定されない情報へと更新させる初期化指示を前記情報処理端末へ送信し、前記リンク情報をアクセス先が指定されない情報へと更新させる手段;
    としてコンピュータを機能させるためのプログラム。
JP2007124773A 2007-05-09 2007-05-09 データ管理システム、管理サーバ、データ管理方法、およびプログラム Active JP4457240B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2007124773A JP4457240B2 (ja) 2007-05-09 2007-05-09 データ管理システム、管理サーバ、データ管理方法、およびプログラム
US12/116,034 US20080282044A1 (en) 2007-05-09 2008-05-06 Data control system, control server, data control method, and program
CN2008100953007A CN101303740B (zh) 2007-05-09 2008-05-09 数据控制系统、控制服务器和数据控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007124773A JP4457240B2 (ja) 2007-05-09 2007-05-09 データ管理システム、管理サーバ、データ管理方法、およびプログラム

Publications (2)

Publication Number Publication Date
JP2008282157A JP2008282157A (ja) 2008-11-20
JP4457240B2 true JP4457240B2 (ja) 2010-04-28

Family

ID=39970596

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007124773A Active JP4457240B2 (ja) 2007-05-09 2007-05-09 データ管理システム、管理サーバ、データ管理方法、およびプログラム

Country Status (3)

Country Link
US (1) US20080282044A1 (ja)
JP (1) JP4457240B2 (ja)
CN (1) CN101303740B (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5266160B2 (ja) 2009-08-11 2013-08-21 フェリカネットワークス株式会社 情報処理装置、プログラム、および情報処理システム
JP5893258B2 (ja) 2011-03-31 2016-03-23 フェリカネットワークス株式会社 情報処理装置および方法、並びにプログラム
US9304709B2 (en) 2013-09-06 2016-04-05 Western Digital Technologies, Inc. High performance system providing selective merging of dataframe segments in hardware
WO2020218051A1 (ja) 2019-04-26 2020-10-29 フェリカネットワークス株式会社 情報処理装置、サーバ装置、情報処理システム、情報処理方法及びコンピュータプログラム
CN112866406B (zh) * 2021-02-04 2023-03-24 中国建设银行股份有限公司 一种数据存储方法、系统、装置、设备及存储介质

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5226161A (en) * 1987-08-21 1993-07-06 Wang Laboratories, Inc. Integration of data between typed data structures by mutual direct invocation between data managers corresponding to data types
US6557091B2 (en) * 1997-08-22 2003-04-29 Koninklijke Philips Electronics N.V. Data processor with localized memory reclamation
JP3578913B2 (ja) * 1997-09-29 2004-10-20 松下電器産業株式会社 データ一致検出装置,及びデータ選別装置
JP3820999B2 (ja) * 2002-01-25 2006-09-13 ソニー株式会社 近接通信システム及び近接通信方法、データ管理装置及びデータ管理方法、記憶媒体、並びにコンピュータ・プログラム
US7469321B2 (en) * 2003-06-25 2008-12-23 International Business Machines Corporation Software process migration between coherency regions without cache purges
US7260746B2 (en) * 2003-10-21 2007-08-21 Massachusetts Institute Of Technology Specification based detection and repair of errors in data structures
US7657186B2 (en) * 2004-03-05 2010-02-02 Finisar Corporation Consistency checking over internal information in an optical transceiver
WO2005088474A1 (en) * 2004-03-17 2005-09-22 Abb Research Ltd Service for verifying consistency of replicated data
US20060010173A1 (en) * 2004-06-30 2006-01-12 Kilday Roger W Methods and systems for client-side, on-disk caching
GB2434723B (en) * 2004-08-12 2009-07-08 Techfirm Inc Mobile communication terminal and program
JP3884049B1 (ja) * 2005-08-17 2007-02-21 インターナショナル・ビジネス・マシーンズ・コーポレーション システム、判断方法およびプログラム
US7865570B2 (en) * 2005-08-30 2011-01-04 Illinois Institute Of Technology Memory server
US8255887B2 (en) * 2006-11-29 2012-08-28 International Business Machines Corporation Method and apparatus for re-using memory allocated for data structures used by software processes

Also Published As

Publication number Publication date
JP2008282157A (ja) 2008-11-20
CN101303740A (zh) 2008-11-12
US20080282044A1 (en) 2008-11-13
CN101303740B (zh) 2010-06-23

Similar Documents

Publication Publication Date Title
JP4631974B2 (ja) 情報処理装置、情報処理方法、プログラム、および情報処理システム
US8291085B2 (en) Value information transfer system and value information transfer method
US7886970B2 (en) Data communicating apparatus and method for managing memory of data communicating apparatus
US20070075133A1 (en) Method, System and Computer-Readable Medium for Radio Frequency Identification Device
US20080039134A1 (en) Mobile Device, and Access Control Method
US20060101280A1 (en) Authentication method and system, and information processing method and apparatus
JP4681314B2 (ja) 無線通信システム,リーダ/ライタ装置,鍵管理方法,およびコンピュータプログラム
JP4457240B2 (ja) データ管理システム、管理サーバ、データ管理方法、およびプログラム
EP1450297A1 (en) Data management system, data management method, virtual memory device, virtual memory control method, reader/writer device, ic module access device, and ic module access control method
JP4468407B2 (ja) データ管理システム、管理サーバ、データ管理方法、およびプログラム
US11055696B2 (en) Portable terminal, terminal function management system, terminal function management method, terminal function management program, and computer-readable recording medium upon which said program has been recorded
CN105556492A (zh) 近场通信(nfc)数据传送
JP4228567B2 (ja) データ転送システム及びデータ転送方法、価値情報移動サービス装置及び価値情報移動サービス方法、並びにコンピュータ・プログラム
JP2010033193A (ja) 認証システム及び認証用サーバ装置
US20070033406A1 (en) Information processing apparatus and method, and program
JP2007041921A (ja) 非接触ic、情報処理装置、リーダライタおよび利用制限方法
US11775956B2 (en) Non-contact communication method and communication device
JP4548473B2 (ja) 情報処理装置、および情報処理方法
JP4457241B2 (ja) 情報処理システム、リーダ/ライタ、情報処理装置、アクセス制限管理方法、およびプログラム
US10536280B2 (en) RFID tag for secure access to a service from an access terminal
US20080272187A1 (en) Electronic Money System, Information Storage Medium, and Mobile Terminal Device
JP4799058B2 (ja) Icカード、並びにコンピュータ・プログラム
US8117448B2 (en) Information processing apparatus, information processing method, and program
US20110215907A1 (en) Radio frequency identifcation (rfid) tag and operation method thereof, and system and method for controlling network access based on mobile rfid
JP2008245215A (ja) データ処理システム、リーダライタおよびプログラム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090406

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090519

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090716

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100112

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100121

R150 Certificate of patent or registration of utility model

Ref document number: 4457240

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130219

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130219

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140219

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250