WO2009031244A1

WO2009031244A1 - 書込み領域セキュリティシステム

Info

Publication number: WO2009031244A1
Application number: PCT/JP2007/067559
Authority: WO
Inventors: Shinji Kurimoto; Masashi Seiki
Original assignee: Nintendo Co., Ltd.
Priority date: 2007-09-04
Filing date: 2007-09-04
Publication date: 2009-03-12
Also published as: US20100287380A1; EP2738680A1; US9176897B2; JP5177696B2; JPWO2009031244A1; EP2187313A1; EP2187313A4

Abstract

書込み領域セキュリティシステム(10)は、ＣＰＵ(34)、フラッシュメモリ(64)およびメモリコントローラ(62)を含む。メモリコントローラ(62)は、フラッシュメモリ(64)の所定領域に記憶されたデータのリードコマンドをＣＰＵ(34)から受けると、たとえば当該読み出したデータのパリティチェックを行う。メモリコントローラ(62)は、当該読み出したデータのパリティが正しいときのみ、当該データをＣＰＵ(34)に出力する。

Description

明細書

書込み領域セキュリティシステム技術分野

この発明は、書込み領域セキュリティシステムに関し、特にたとえば書込み領域を不正利用から保護するための書込み領域セキュリティシステムに関する。また、この発明は、書込み領域セキュリティシステムに用いられるメモリコントローラおよびセキユリティ方法に関する。背景技術

サーバからデータを携帯端末の I Cカードにダウンロードする技術の一例が、たとえば 2 0 0 2年 9月 2 7日付けで出願公開された特開 2 0 0 2 - 2 8 1 1 8 1号公報（特許文献 1 ) に開示されている。具体的には、特許文献 1の技術では、 I Cカードはファィル毎のアクセスキーで保護されたファイル構造を有しており、 I Cカードにアクセスしてファイルの内容を読みかつ書き換える際のリード ·アンド 'ライト可能キーは、ホストサーバのみによって管理される。 I Cカードに書かれている内容の追加 ·変更は、携帯端末を通してホストサーバとのオンライン接続後に、ホストサーバからの書き込み命令のみによって行うことが可能であり、つまり、命令に付加されて送られるリード · アンド ·ライト可能キーが I Cカード側で照合され、照合が一致する場合にのみ当該フアイルにアクセス可能にされる。また、携帯端末の有するリード可能キーによって、 I Cカードに書き込んだデータが読み出される。

特許文献 1の技術では、 I Cカードに対する書き込みのセキュリティがファイルごとにリード ·アンド ·ライト可能キーによってかけられるだけであり、また、特許文献 1 には、リード ·アンド ·ライト可能キーによってセキュリティがかけられる領域と別の領域とに分けるというような発想がない。したがって、このセキュリティが破られてしまうと、 I Cカードに大量のデータを書き込むことが可能になってしまう。また、書き込まれたデータが正規のデータであるかを確認する仕組みがないので、そのデータが不正に書き込まれたデータであっても、携帯端末で利用されてしまう。発明の概要

それゆえに、この発明の主たる目的は、新規な、書込み領域セキュリティシステム、ならびにそれに用いられるメモリコントローラおよびセキュリティ方法を提供することである。

この発明の他の目的は、書き込み領域に意図しないデータが書き込まれても^正に利用されるのを防止することができる、書込み領域セキュリティシステム、ならびにそれ 7 067559 に用いられるメモリコントローラおよびセキュリティ方法を提供することである。この発明は、上記の課題を解決するために、以下の構成を採用した。なお、括弧内の参照符号および補足説明等は、この発明の理解を助けるために後述する実施形態との対応関係を示したものであって、この発明を何ら限定するものではない。

第 1の発明は、所定の書込み領域を有する記憶手段、記憶手段の書込みと読出しを制御する制御手段、および制御手段に接続されるホストを含む、書込み領域セキュリティシステムである。ホストは、所定の書込み領域に記憶されたデータの読出し命令を制御手段に送信する命令送信手段を含む。制御手段は、読出し命令に応じて所定の書込み領域から読み出したデータが所定のフォーマツ卜であるか否かを判定するフォーマツト判定手段、およびフォーマット判定手段によってデ一夕が所定のフォーマットであると判定されたときのみ、データをホストに出力する出力手段を含む。

第 1の発明では、書込み領域セキュリティシステム（1 0、 1 0 0 )は、記憶手段（6 4 )、制御手段（6 2 ) およびホスト（3 4 ) を含む。記憶手段には、所定の書込み領域 ( 2 0 6 )が設けられる。制御手段は記憶手段に対する書込みおよび読出しを制御する。ホストは、このシステムを全体的に制御するホストコンピュータ、ホスト C P Uまたはホストプロセッサ等であり、制御手段に接続され制御手段を制御することができる。ホストは、命令送信手段（S 5 0 7 ) を含み、所定の書込み領域に記憶されたデータの読出し命令を制御手段に送信する。制御手段は、フォーマット判定手段（S 6 2 1、 S 6 2 3 ) を含み、読出し命令に応じて所定の書込み領域から読み出したデータが、所定のフォーマットであるか否かを判定する。制御手段は、出力手段（S 6 2 5 ) をさらに含み、フォーマット判定手段によって、読み出したデータが所定のフォーマットであると判定されたときのみ、当該読み出したデータをホストに出力する。

第 1の発明によれば、所定の書込み領域から読み出したデータが所定のフォーマツトであるか否かを判定し、所定のフォーマツトを有するデータのみをホストに出力するようにした。したがって、所定のフォーマットを有しないデータが所定の書込み領域に書込まれていても、当該データはホストに出力されないので、意図しないデータが不正に使用されるのを防止できる。

第 2の発明は、第 1の発明に従属する書込み領域セキュリティシステムであって、記憶手段は、第 1領域および第 2領域を有していて、制御手段は、第 1遷移コマンドに応じて遷移された書込み可能なモードにおいてデ一夕を第 1領域に書き込む第 1書込み手段をさらに.含み、フォーマット判定手段は、所定の書込み領域としての第 2領域から読み出したデータに対してのみ、データが所定のフォーマツ卜であるか否かを判定する。第 2の発明では、記憶手段には、第 1領域（2 0 4 ) と第 2領域（2 0 6 ) とが設けられる。制御手段は、第 1書込み手段（S 8 3、 S 2 6. 7 ) をさらに含み、第 1遷移コマンドに応じて遷移された書込み可能なモードにおいて、データを第 1領域に書き込む。また、フォーマット判定手段は、所定の書込み領域としての第 2領域から読み出したデ —夕に対してのみ、当該データが所定のフォーマツ卜であるか否かを判定する。

第 2の発明によれば、記憶手段のうちの所定の書込み領域に対してのみ、フォーマツト判定によるセキュリティをかけることができるとともに、他の領域には書込み可能なモードへの遷移によってセキュリティのかけられる書込みを行うことができる。したがつて、書込みの用途に応じて書込み領域を使い分けて、適切な書込みを行うことができる。

第 3の発明は、第 1の発明に従属する書込み領域セキュリティシステムであって、制御手段は、ホストから指定された読出しアドレスが所定の書込み領域のうちのアクセス可能な領域内であるか否かを判定するァドレス判定手段をさらに含み、ァドレス判定手段によって読出しアドレスが領域内であると判定されるとき、フォーマツト判定手段は、読み出したデータが所定のフォーマツトであるか否かを判定する。

第 3の発明では、制御手段は、アドレス判定手段（S 6 1 9 ) をさらに含み、ホス卜力 ^指定された読出しアドレスが所定の書込み領域のうちのアクセス可能な領域内であるか否かを判定する。読出しアドレスがアクセス可能な領域内であると判定されるときに、当該読み出したデータが所定のフォーマットであるか否かを判定する。

第 3の発明によれば、適切な読出し指定が行われたデータに対してのみ、所定のフォ一マットであるか否かを判定することができる。

第 4の発明は、第 1の発明に従属する書込み領域セキュリティシステムであって、フォーマツト判定手段は、読み出したデータのパリティチェックによって判定を行う。第 4の発明では、読み出したデータのパリティチェックによって、所定のフォーマツ卜であるか否かが判定される。したがって、正当なデータであるか否かを簡単にチエツクすることができる。

第 5の発明は、第 1の発明に従属する書込み領域セキュリティシステムであって、制御手段は、読み出したデータが所定のフォーマットではないとフォーマット判定手段によって判定されるとき、イリ一ガルモードに遷移する。

第 5の発明では、読み出したデータが所定のフォーマツトではないと判定されるとき、制御手段がイリーガルモードに遷移する。したがって、所定の書込み領域からのデータの読出しが行われないようにすることができ、不正に書込まれたデータが使用されるのを防止できる。

第 6の発明は、第 1の発明に従属する書込み領域セキュリティシステムであって、ホストは、パリティビットの付加されたデータを生成する書込みデータ生成手段を含み、制御手段は、書込みデータ生成手段によって生成されたデータを所定の書込み領域に書き込む第 2書込み手段を含む。

第 6の発明では、ホストは、書込みデータ生成手段（S 4 0 3 ) を含み、パリティビ 9 ットの付加されたデータを生成する。たとえば、各バイトの先頭 7ビットは、所定の書込み領域に書き込むために生成されたデータであり、最終ビットに先頭 7ビットのパリティが追加される。制御手段は、第 2書込み手段（S 4 0 9 ) をさらに含み、生成されたパリティ付きデータを所定の書込み領域に書き込む。

第 6の発明によれば、所定の書込み領域への書込みの際には、書込みデータをパリティビットの追加されたデータに変換してから、当該所定の領域に書き込むことができる。したがって、所定の書込み領域から読み出す際には、当該デ一夕は所定のフォーマットを有する正当なデータであると判定されて、ホストに出力されることとなる。

第 7の発明は、第 2の発明に従属する書込み領域セキュリティシステムであって、記憶手段は、第 1領域および第 2領域の境界データを記憶する。

第 7の発明では、記憶手段には、第 1領域および第 2領域の境界データが記憶される。制御手段は、第 1領域の境界データおよび第 2領域の境界データをそれぞれ参照することによって、第 1領域および第 2領域のそれぞれを把握して、アクセスすることができる。

第 8の発明は、第 2の発明に従属する書込み領域セキュリティシステムであって、サーバおよびサーバからデータをダウンロードする情報処理装置を含んでいる。情報処理装置は、記憶手段、制御手段およびホストを含む。サーバは、記憶手段の第 1領域に書込み可能なモードに制御手段を遷移させるための第 1遷移コマンドを情報処理装置に送信する遷移コマンド送信手段、およびダウンロードするデータを情報処理装置に送信するデータ送信手段を含む。

第 8の発明では、システム（1 0 0 ) は、サーバ（1 0 2 ) および情報処理装置（1 0 ) を含む。情報処理装置は、上述の記憶手段、制御手段およびホストを含んでいて、サーバからデータをダウンロードする。ダウンロードされたデータが書き込まれるのは、記憶手段の第 1領域である。つまり、第 1書込み手段が、第 1遷移コマンドに応じて遷移された書込み可能なモードにおいて、データを第 1領域に書き込む。サーバは、遷移コマンド送信手段（S 3 3、 S 3 2 3 ) を含み、第 1領域に書込み可能なモードに制御手段を遷移させる第 1遷移コマンドを情報処理装置に送信する。サ一パ、は、データ送信手段（S 6 7、 S 3 4 1 ) をさらに含み、ダウンロードするデータを情報処理装置に送信する。

第 8の発明によれば、第 1領域に対して、サーバからの第 1遷移コマンドに応じた書込み可能なモードへの遷移によって段階的なセキュリティのかけられるデータ書込みを行うことができ、一方、第 2領域に対しては、フォーマット判定によるセキュリティをかけることができる。

第 9の発明は、第 8の発明に従属する書込み領域セキュリティシステムであって、サーバは、第 1遷移コマンドを暗号化する暗号化手段をさらに含む。遷移コマンド送信手段は、暗号化手段によって暗号化された第 1遷移コマンドを送信し、制御手段は、暗号化された第 1遷移コマンドを復号化する復号化手段をさらに含む。

第 9の発明では、サーバは暗号化手段（S 3 1 ) をさらに含み、第 1遷移コマンドを暗号化する。この暗号化された第 1遷移コマンドが遷移コマンド送信手段によって送信される。制御手段は復号化手段（S 3 7、 S 2 2 7 ) をさらに含み、暗号化された第 1 遷移コマンドを復号化する。

第 9の発明によれば、第 1領域に対する書込みについて、第 1遷移コマンドを暗号化して送信することができるので、モード遷移に対するセキュリティ度を高めることができる。

第 1 0の発明は、第 8の発明に従属する書込み領域セキュリティシステムであって、第 1遷移コマンドは、ダウンロードするデータを書き込むために指定されたアドレスを含む。制御手段は、第 1遷移コマンドに応じて第 1領域に書込み可能なモードに遷移したとき、第 1領域のうち指定されたアドレスのみ書込み可能にする書込み可能化手段をさらに含む。

第 1 0の発明では、第 1遷移コマンドにおいて、データを書き込むためのアドレスを指定することができる。制御手段は書込み可能化手段（S 4 5、 S 2 3 7 ) をさらに含み、第 1領域のうち指定されたァドレスのみ書込み可能にする。

第 1 0の発明によれば、第 1遷移コマンドによって、書込み可能なモードに遷移させることができるとともに、当該コマンドで指定したアドレスのみを書込み可能にすることができる。

第 1 1の発明は、第 1 0の発明に従属する書込み領域セキュリティシステムであって、書込み可能化手段は、第 1領域のうち指定されたァドレスから一定範囲を書込み可能にする。

第 1 1の発明では、第 1遷移コマンドで書込み可能なモードに遷移させることができるとともに、第 1領域のうち指定したァドレスから一定範囲を書込み可能にすることができる。

第 1 2の発明は、第 9の発明に従属する書込み領域セキュリティシステムであって、制御手段は、第 1領域に書込み可能なモードの 1つ前の段階で遷移される通常よりセキユリティ度の高いセキュアモードにおいて、暗号化された第 1遷移コマンドを復号化手段によって復号化する。

第 1 2の発明では、書込み可能なモードの 1つ前に、通常よりもセキュリティ度の高ぃセキュアモードが設けられており、このセキュアモードにおいて、暗号化された第 1 遷移コマンドの復号化が行われる。

第 1 2の発明によれば、第 1遷移コマンドの復号化をセキュアモードで行うことができるので、セキュリティ度をより高めることができる。第 1 3の発明は、第 9の発明に従属する書込み領域セキュリティシステムであって、サーバは、第 1遷移コマンドの暗号のための第 1キー、および第 1キーと異なるダウンロードするデータの暗号のための第 2キーを記憶する。暗号化手段は、第 1キーを用いて第 1遷移コマンドを暗号化する。データ送信手段は、第 2キーを用いて暗号化されたダウンロードするデータを送信する。記憶手段は、第 1キーおよび第 2キーを記憶する。復号化手段は、暗号化された第 1遷移コマンドを第 1キーを用いて復号化する。第 1書込み手段は、第 1領域に書込み可能なモードにおいて、暗号化されたダウンロードするデータを第 2キーを用いて復号化して第 1領域に書き込む。

第 1 3の発明では、第 1遷移コマンドの暗号のための第 1キーと、第 1キーとは異なり、ダウンロードするデータの暗号のための第 2キーとが、サーバおよび記憶手段に記憶される。つまり、サーバと制御手段は、第 1遷移コマンドのための共通キー（第 1キ一）と、ダウンロードするデータのための共通キー（第 2キー）とを有している。サ一バによって第 1キーで暗号化されて送信された第 1遷移コマンドは、制御手段によって第 1キーで復号化され、制御手段は当該第 1遷移コマンドによって書込み可能なモードに遷移する。また、サーバによって第 2キーで暗号化されて送信されたダウンロードデ一夕は、制御手段によって第 2キーで復号化され、書込み可能モードにおいて第 1領域に書込まれる。

第 1 3の発明によれば、モード遷移およびダウンロードデータに対して別々のセキュリティをかけることができ、セキュリティ度をより高めることができる。

第 1 4の発明は、第 1 3の発明に従属する書込み領域セキュリティシステムであって、サーバは、ダウンロードするデータのメッセージダイジエスト認証用の第 3キーをさらに記憶する。データ送信手段は、第 3キーを用いて生成された認証記号を付加したダウンロードするデータを、第 2キーを用いて暗号化して、当該暗号化されたデータを送信する。記憶手段は、第 3キーをさらに記憶する。制御手段は、第 1領域に書込み可能なモードにおいて、暗号化されたデータを第 2キーを用いて復号化する。第 1書込み手段は、復号化したデータが第 3キーを用いて認証されたとき、当該データを第 1領域に書き込む。

第 1 4の発明では、ダウンロードするデータのメッセージダイジェスト認証用の第 3 キーが、サーバおよび記憶手段に記憶される。サーバは、第 3キーを用いて生成された認証記号（M I C)を付加したデータを、第 2キーで暗号化して送信する。制御手段は、書込み可能モードにおいて、暗号化されたデータを第 2キーで復号化する。そして、当該復号化したデータが第 3キーを用いて認証されたときには、当該データが第 1領域に書込まれる。

第 1 4の発明によれば、ダウンロードするデータについてメッセージダイジエスト認証を行うことができる。第 1 5の発明は、第 1 4の発明に従属する書込み領域セキュリティシステムであって、第 3キーは、第 2キーの一部を置き換えることによって得られるキーである。

第 1 5の発明では、メッセージダイジェスト認証用の第 3キ一は、ダウンロードするデータの暗号のための第 2キーの一部置換によって得られるキーである。したがって、第 2キーと第 3キーとで同一部分を共用するようにすれば、キーを記憶しておくための領域のサイズを抑制することができ、コストを低減することができる。

第 1 6の発明は、第 1 2の発明に従属する書込み領域セキュリティシステムであって、記憶手段は、暗号化された第 1キ一および第 2キーを記憶している。制御手段は、セキユアモードに遷移したとき、暗号化された第 1キーを復号化して R AMに展開し、第 1 領域に書込み可能なモードに遷移したとき、暗号化された第 2キーを復号化して R AM に展開する。

第 1 6の発明では、記憶手段には、第 1キーおよび第 2キーが暗号化されて記憶されている。セキュアモードに遷移したときには、制御手段によって、第 1キーが復号化されて RAMに自動的に展開され、書込み可能なモードに遷移したときには、制御手段によって、第 2キーが復号化されて RAMに自動的に展開される。

第 1 6の発明によれば、モード遷移時に、当該モードに対応する第 1キーまたは第 2 キーを復号化して RAMに展開することができる。

第 1 7の発明は、第 1 6の発明に従属する書込み領域セキュリティシステムであって、制御手段は、セキュアモードに遷移するための第 2遷移コマンドに応じて第 1キーを展開し、第 1遷移コマンドに応じて第 2キーを展開する。

第 1 7の発明では、制御手段によって、遷移コマンドに応じてモードが遷移されるときに、第 1キーまたは第 2キーが復号化されて展開される。

第 1 7の発明によれば、遷移コマンドに応じて、モードに対応する第 1キーまたは第 2キーを復号化して展開することができる。

第 1 8の発明は、第 8の発明に従属する書込み領域セキュリティシステムであって、ホストは、通常モードにおいて、制御手段に対するコマンドを、処理負担の比較的軽いァルゴリズムに従つて暗号化する通常暗号化手段をさらに含む。

第 1 8の発明では、通常暗号化手段によって、通常モードにおいて制御手段に対して発行されるコマンドを処理負担の比較的軽いアルゴリズムに従つて暗号化することができる。

第 1 9の発明は、第 8の発明に従属する書込み領域セキュリティシステムであって、ホストは、制御手段に書込みを指示するための書込みコマンドを発行する書込み発行手段をさらに含み、制御手段は、第 1領域に書込み可能なモードにおいて、書込みコマンドに応じて、ダウンロードするデータを第 1領域に書き込む。

第 1 9の発明では、ホストは、書込み発行手段（S 7 3、 S I 4 3 ) をさらに含み、 T JP2007/067559 書込みコマンドを制御手段に発行する。制御手段は、書込み可能なモードにおいて書込みコマンドに応じてデータの書込みを行う。 '

第 1 9の発明によれば、ホストからの書込み指示によって、サーバからダウンロードしたデータを第 1領域に書き込むことができる。データの送信と書込みとを分けて処理するので、セキュリティ度を高めることができる。

第 2 0の発明は、第 9の発明に従属する書込み領域セキュリティシステムであって、記憶手段は、当該記憶手段の識別情報を記憶している。情報処理装置は、記憶手段に記憶された識別情報をサーバに送信する識別情報送信手段を含む。サーバは、複数の識別情報に対応付けられた、第 1遷移コマンドの暗号のための複数の第 1キーを記憶している。暗号化手段は、記憶手段の識別情報に対応する第 1キーを用いて、第 1遷移コマンドを暗号化する。

第 2 0の発明では、記憶手段は、当該記憶手段の識別情報を記憶している。この識別情報は、識別情報送信手段（S 5、 S 1 0 5 ) によってサーバに送信される。一方、サ —バは、複数の識別情報に対応付けられた複数の第 1キーを記憶している。つまり、第 1遷移コマンドの暗号のための第 1キーは、記憶手段ごとに準備されて、当該記憶手段およびサーバに記憶されている。暗号化手段によって、第 1遷移コマンドは、受信した識別情報に対応する第 1キーを用いて暗号化される。

第 2 0の発明によれば、記憶手段ごとの第 1キーによって第 1遷移コマンドを暗号化することができ、当該第 1遷移コマンドによって制御手段を書込み可能なモードに遷移させることができるので、セキュリティ度を高めることができる。

第 2 1の発明は、第 9の発明に従属する書込み領域セキュリティシステムであって、記憶手段は、当該記憶手段に記憶されるアプリケーションプログラムの識別情報を記憶する。情報処理装置は、記億手段に記憶された識別情報をサーバに送信する識別情報送信手段を含む。サーバは、複数の識別情報に対応付けられた、第 1遷移コマンドの暗号のための複数の第 1キーを記憶している。暗号化手段は、受信したアプリケーションプログラムの識別情報に対応する第 1キーを用いて、第 1遷移コマンドを暗号化する。第 2 1の発明では、記憶手段は、当該記憶手段に記憶されるアプリケーションプログラムの識別情報を記憶している。この識別情報は、識別情報送信手段（S 1 0 5 ) によつてサーバに送信される。一方、サーバは、複数の識別情報に対応付けられた複数の第 1キーを記憶している。つまり、第 1遷移コマンドの暗号のための第 1キーは、アプリケーシヨン（ゲーム）ごとに準備されて、記憶手段およびサーバに記憶されている。暗号化手段によって、第遷移コマンドは、受信した識別情報に対応する第 1キーを用いて暗号化される。

第 2 1の発明によれば、アプリケーションごとの第 1キーによって第 1遷移コマンドを暗号化することができ、当該第 1遷移コマンドによって制御手段を書込み可能なモードに遷移させることができるので、セキュリティ度を高めることができる。第 2 2の発明は、、第 1の発明に従属する書込み領域セキュリティシステムであって、 ' 記憶手段および制御手段は、装着可能な記憶媒体に設けられた。

第 2 2の発明では、記憶手段および制御手段が、当該システムに装着可能な記憶媒体 ( 2 8 ) に設けられる。したがって、記憶媒体に設けられた記憶手段の所定の書込み領域に対して、フォーマツト判定によるセキュリティをかけることができる。

第 2 3の発明は、所定の書込み領域を有する記憶手段とホストとを含む書込み領域セキユリティシステムにおいて用いられ、記憶手段に対する書込みと読出しを制御するメモリコントローラである。メモリコントローラは、ホストからの読出し命令に応じて所定の書込み領域から読み出したデータが所定のフォーマツ卜であるか否かを判定するフォーマツト判定手段、およびフォーマツト判定手段によってデータが所定のフォーマツトであると判定されたときのみ、データをホストに出力する出力手段を備える。

第 2 3の発明では、メモリコントローラ（6 2 ) は、記憶手段（6 4 ) およびホスト ( 3 4 )を含む書込み領域セキュリティシステム（1 0、 1 0 0 )において使用される。メモリコントローラは、所定の書込み領域（2 0 6 ) を有する記憶手段に対する書込みと読出しを制御する。具体的には、メモリコントローラは、フォーマット判定手段（S 6 2 1、 S 6 2 3 ) を含み、ホストからの読出し命令に応じて所定の書込み領域から読み出したデータが所定のフォーマットであるか否かを判定する。メモリコントローラは、出力手段（S 6 2 5 ) をさらに含み、データが所定のフォーマットであると判定されたときのみ、当該データをホストに出力する。

第 2 3の発明によれば、上述の第 1の発明のような、意図しないデータが書込まれても使用されない書込み領域セキュリティシステムを実現できる。

第 2 4の発明は、所定の書込み領域を有する記憶手段、記憶手段に対する書込みと読出しを制御する制御手段、および制御手段に接続されるホストを含む書込み領域セキュリティシステムにおけるセキュリティ方法である。セキュリティ方法は、制御手段がホストからの読出し命令に応じて所定の書込み領域から読み出したデータは所定のフォーマツ卜であるか否かを判定するステップ、およびデータが所定のフォーマツ卜であると判定されるときのみ、制御手段がホストにデータを出力するステップを含む。

第 2 4の発明では、セキュリティ方法は、記憶手段（6 4 )、制御手段（6 2 ) およびホスト（3 4 ) を含む書込み領域セキュリティシステム（1 0、 1 0 0 ) において、所定の書込み領域（2 0 6 ) に対するセキュリティ方法である。この方法において、制御手段は、ホストからの読出し命令に応じて所定の書込み領域から読み出したデータが所定のフォーマツ卜であるか否かを判定する（S 6 2 1、 S 6 2 3 )。そして、制御手段は、データが所定のフォーマツトであると判定されるときのみ、当該データをホス卜に出力する（S 6 2 5 )。第 2 4の発明によれば、上述の第 1の発明のような書込み領域セキュリティシステムを実現できる。

この発明によれば、所定の書込み領域からデータを読み出す際に、当該データが所定のフォーマツトであるか否かを判定して、当該データが所定のフォーマツトであるときのみホストに出力するようにしたので、所定の書込み領域に意図しないデ一夕が書き込まれた場合には、当該データはホストに出力されない。したがって、所定の書込み領域に意図しないデータが書込まれたとしても、当該データが不正に使用されるのを防止することができる。

この発明の上述の目的，その他の目的，特徴および利点は、図面を参照して行う以下の実施例の詳細な説明から一層明らかとなろう。図面の簡単な説明

図 1はこの発明のセキュリティシステムの一実施例を示す図解図である。

図 2は図 1に示すゲーム装置を示す図解図である。

図 3は図 2に示すゲーム装置の電気的構成の一例を示すブロック図である。

図 4は図 3に示すフラッシュメモリのメモリマツプの一例を示す図解図である。

図 5は図 3に示すメモリコントローラのモード遷移の概要を示す図解図である。

図 6はダウンロードモードに遷移する場合のフラッシュメモリのメモリマツプの変化を示す図解図である。

図 7はバックアツプモ一ドに遷移する場合のフラッシュメモリのメモリマツプの変化を示す図解図である。

図 8は図 4に示すィンフオメーション領域のメモリマップの一例を示す図解図である。図 9はメモリコントローラの内部 R AMのメモリマップの一例を示す図解図である。図 1 0は図 9に示すキー記憶領域のメモリマップの変化を示す図解図である。

図 1 1は図 1に示すサーバのデ一夕ベースの一例を示す図解図である。

図 1 2はサーバの RAMのメモリマップの一例を示す図解図である。

図 1 3はダウンロード処理時のゲーム装置の R AMのメモリマツプの一例を示す図解図である。

図 1 4はバックアツプ処理時のゲーム装置の RAMのメモリマツプの一例を示す図解図である。

図 1 5はバックァップ領域に書き込まれるパリティ付きデ一夕の一例を示す図解図である。

図 1 6はダウンロード処理時のシステムの動作の一例の一部を示すフロー図である。図 1 7は図 1 6の続きの一部を示すフロー図である。

図 1 8は図 1 7の続きの一部を示すフロー図である。 7559 図 1 9は図 1 8の続きを示すフロー図である。

図 2 0はダウンロード処理時のゲーム装置の動作の一例の一部を示すフロ—図である。図 2 1は図 2 0の続きの一部を示すフロー図である。

図 2 2は図 2 1の続きを示すフロー図である。

図 2 3はダウンロード処理時のメモリコントローラの動作の一例の一部を示すフロー図である。

図 2 4は図 2 3の続きの一部を示すフロー図である。

図 2 5は図 2 4の続きの一部を示すフロー図である。

図 2 6は図 2 5の続きを示すフロー図である。

図 2 7はダウンロード処理時のサーバの動作の一例の一部を示すフロー図である。図 2 8は図 2 7の続きの一部を示すフロー図である。

図 2 9は図 2 8の続きを示すフロー図である。

図 3 0はバックアツプ書込み時のゲーム装置の動作の一例を示すフロー図である。図 3 1はバックアップ読出し時のゲーム装置の動作の一例を示すフロー図である。図 3 2はバックアップモードのメモリコントローラの動作の一例の一部を示すフロー図である。

図 3 3は図 3 2の続きを示すフロー図である。発明を実施するための最良の形態

図 1を参照して、この発明の実施例のセキュリティシステム（以下、単に「システム」という。） 1 0 0は、情報処理装置 1 0およびサーバ 1 0 2を含む。情報処理装置 1 0は、サーバ 1 0 2からデータをダウンロードして、当該データを所定の記憶領域に保存する。この実施例のシステム 1 0 0は、ダウンロードセキュリティシステムであり、ダウン口ードしたデータを書き込むための所定の記憶領域が不正なダウンロードによって利用されるのを防止しょうとするものである。また、情報処理装置 1 0は、バックアップデ一夕のための書込み領域セキュリティシステムとしても機能し、バックアツプデータを書き込むための所定の記憶領域が不正利用されるのを防止するものでもある。なお、システム 1 0 0がバックアツプデータのための書込み領域セキュリティシステムとして機能する場合もある。

なお、情報処理装置 1 0は、この実施例では携帯型ゲーム装置の形態で実現されるが、他の実施例では、携帯情報端末、携帯電話機、パーソナルコンピュータまたは据え置き型ゲーム装置等のような他の形態のコンピュータであってよい。また、サーバ 1 0 2はコンピュータであり、図示は省略するが、 C P U、 R AM, R OM, HD D, 通信装置等を備えている。

情報処理装置すなわちゲーム装置 1 0は、アクセスポイント 1 0 4およびネットヮー 67559 ク 106を介してサ一バ 102に接続可能である。ネットワーク 106は、たとえば、ワイドエリアネットワーク（WAN) やインターネット等であり、あるいはローカルェリアネットワーク（LAN) であってもよい。ゲーム装置 10は、サーバ 102からデ一夕をダウンロードする際には、無線（または有線）によってアクセスポイント 104 に接続し、当該アクセスポイント 104を介してネットワーク 106上のサーバ 102 と通信する。なお、ゲーム装置 10は、ユーザの入力またはリスト選択等によってァクセスポイント 104およびサーバ 102の I Pアドレスを取得する。

図 2を参照して、ゲーム装置 10は、第 1の液晶表示器（LCD) 12および第 2の LCD 14を含む。 LCD 12および LCD 14は、所定の配置位置となるようにハウジング 16に収納される。この実施例では、ハウジング 16は、上側ハウジング 16 a と下側ハウジング 16 bとによって構成され、 LCD12は上側ハウジング 16 aに収納され、 LCD 14は下側ハウジング 16 bに収納される。したがって、 LCD12と LCD14とは縦（上下）に並ぶように近接して配置される。

なお、この実施例では、表示器として LCDを用いるようにしてあるが、 LCDに代えて、 EL (Electronic Luminescence)ディスプレイやプラズマディスプレイを用いるようにしてもよい。

図 2からも分かるように、上側ハウジング 16 aは、 LCD 12の平面形状よりも少し大きな平面形状を有し、一方主面から LCD 12の表示面を露出するように開口部が形成される。一方、下側ハウジング 16 bの平面形状およびサイズも上側ハウジング 1 6 aと同等に選ばれ、横方向の略中央部に LCD 14の表示面を露出するように開口部が形成される。下側ハウジング 16 bの右側面には電源スィッチ 18が設けられる。また、上側ハウジング 16 aには、 LCD 12を挟んで左右に、スピーカ 36 aおよび 36 b (図 3参照）のための音抜き孔 20 aおよび 20 bが形成される。

上側ハウジング 16 aと下側ハウジング 16 bとは、上側ハウジング 16 aの下辺（下端）と下側ハウジング 16 bの上辺（上端）の一部とが回動可能に連結されている。したがって、たとえば、ゲームをプレイしない場合には、 LCD 12の表示面と LCD 1 4の表示面とが対面するように、上側ハウジング 16 aを回動させて折りたたんでおけば、 L C D 12の表示面および L CD 14の表示面に傷がつくなどの破損を防止することができる。ただし、上側ハウジング 16 aと下側ハウジング 16 bとは、回動可能に連結せずに、それらを一体的（固定的）に設けたハウジング 16を形成するようにしてもよい。

そして、上側ハウジング 16 aと下側ハウジング 16 bとの連結部の中央には、マイク（図示せず）のためのマイク孔 20 cが形成される。マイクから取り込んだ音、音声または息などによる音声信号に基づいてゲーム処理を行うことが可能である。

また、下側ハウジング 16 bには、操作スィッチ 22 (22 a, 22 b, 22 c, 2 2 d , 2 2 e , 2 2 Lおよび 2 2 R) が設けられる。操作スィッチ 2 2は、方向指示スイッチ（十字スィッチ） 2 2 a , スタートスィッチ 2 2 b、セレクトスィッチ 2 2 c、動作スィッチ（Aボタン） 2 2 d、動作スィッチ（Bボタン） 2 2 e、動作スィッチ（X ポタン） 2 2 f、動作スィッチ（Yボタン） 2 2 g、動作スィッチ（Lポタン） 2 2 L および動作スィッチ（Rボタン） 2 2 Rを含む。

スィッチ 2 2 aは、下側ハウジング 1 6 bの一方主面であり、 L C D 1 4の左側に配置される。その他のスィッチ 2 2 b— 2 2 gは、下側ハウジング 1 6 bの一方主面であり、 L C D 1 4の右側に配置される。さらに、動作スィッチ 2 2 Lおよび 2 2 Rは、それぞれ下側ハウジング 1 6 bの上端面の左右角部に配置される。なお、動作スィッチ 2 2 Lおよび 2 2 Rは下側ハウジング 1 6 bの背面に設けられており、図 2のような正面視では連結部の背後に隠れているので破線で示されている。

方向指示スィッチ 2 2 aは、ディジタルジョイスティックとして機能し、 4つの押圧部の 1つを操作することによって、ユーザないしプレイヤによつて操作可能なプレイャオブジェクト（またはプレイヤキャラクタ）の進行方向（移動方向）を指示したり、カーソルの進行方向を指示したりする等のために用いられる。また、各押圧部には、特定の役割を割り当てることができ、 4つの押圧部の 1つを操作することによって、割り当てられた役割を指示（指定）することができる。

スタートスィッチ 2 2 bは、プッシュボタンで構成され、ゲームを開始（再開）したり、一時停止 (Pause)したりする等に用いられる。また、セレクトスィッチ 2 2 cは、プッシュポタンで構成され、ゲームモードの選択等に用いられる。

動作スィッチ 2 2 dすなわち Aポタンは、プッシュボタンで構成され、方向指示以外の動作、すなわち、プレイヤオブジェクトに打つ（パンチ)、投げる、つかむ（取得)、乗る、ジャンプするなどの任意のアクションをさせることができる。たとえば、ァクシヨンゲームにおいては、ジャンプ、パンチ、武器を動かす等を指示することができる。また、ロールプレイングゲーム（R P G)やシミュレーション R P Gにおいては、アイテムの取得、武器やコマンドの選択および決定等を指示することができる。動作スィッチ 2 2 eすなわち Bポタンは、プッシュボタンで構成され、セレクトスィッチ 2 2 cで選択したゲームモードの変更や Aボタン 2 2 dで決定したアクションの取り消し等のために用いられる。

動作スィッチ 2 2 fすなわち Xポタン、および動作スィッチ 2 2 gすなわち Yボタンは、プッシュポタンで構成され、 Aボタン 2 2 dと Bポタン 2 2 eだけでは、ゲーム進行ができないときに、補助的な操作に用いられる。ただし、 Xポタン 2 2 fおよび Yポタン 2 2 gは、 Aポタン 2 2 dおよび Bポタン 2 2 eと同様の操作に用いることも可能である。もちろん、ゲームプレイにおいて Xボタン 2 2 f と Yポタン 2 2 gとを必ずしも使用しなくてよい。動作スィッチ 22L (左押しポタン）および動作スィッチ 22 R (右押しボタン）は、プッシュポタンで構成され：左押しボタン（Lポタン） 22Lおよび右押しポタン（R ポタン） 22Rは、 Aボタン 22 dおよび Bボタン 22 eと同様の操作に用いることができ、また、 Aボタン 22 dおよび Bボタン 22 eの補助的な操作に用いることができる。さらに、 Lポタン 22Lおよび Rボタン 22Rは、方向スィッチ 22 a， Aボタン 22 d, Bボタン 22 e， Xボタン 22 f， Yボタン 22 gに割り当てられた役割を、他の役割に変更することができる。

また、 LCD 14の上面には、夕ツチパネル 24が装着される。夕ツチパネル 24としては、たとえば、抵抗膜方式、光学式 (赤外線方式)および静電容量結合式のいずれかの種類のものを用いることができる。また、夕ツチパネル 24は、その上面をステイツク 26ないしはペン（スタイラスペン）或いは指（以下、これらを「スティック 26等」という場合がある。）で、押圧したり、撫でたり、触れたりすることにより操作（タツチ入力）すると、スティック 26等の操作位置の座標を検出して、当該検出座標に対応する座標データを出力する。

なお、この実施例では、 LCD 14 (LCD 12も同じ、または略同じ。）の表示面の解像度は 256do t x i 92 do tである。夕ツチパネル 24の検出精度も表示画面に対応して 256 do t X 192 do tとしてあるが、夕ツチパネル 24の検出精度は表示画面の解像度よりも低くてもよく、高くてもよい。

LCD 12および LCD 14には異なるゲーム画面を表示することができる。たとえば、レースゲームでは一方の LCDに運転席からの視点による画面を表示し、他方の L CDにレース（コース）全体の画面を表示することができる。また、 RPGでは、一方の LCDにマップやプレイヤオブジェク小等のキャラクタを表示し、他方の LCDにプレイヤオブジェクトが所有するアイテムを表示することができる。さらに、一方の LC Dにプレイヤオブジェクトゃノンプレイヤオブジェクトなどを含むゲーム画面を表示し、他方の LCDに当該プレイヤオブジェクトゃノンプレイヤオブジェク卜に関する情報を含む他のゲーム画面または当該プレイヤオブジェクトを操作するための操作画面を表示することができる。さらには、 2つの LCD 12および LCD 14を合わせて 1つの画面として用いることにより、プレイヤオブジェクトが倒さなければならない巨大な怪物 (敵オブジェクト）を表示することもできる。

したがって、プレイヤはスティック 26等で夕ツチパネル 24を操作することにより、 LCD 14の画面に表示されるプレイヤオブジェクト、敵オブジェクト、アイテムォブジェクト、操作オブジェクトなどの画像を指示（操作）したり、コマンドを選択（入力）したりすることができる。また、仮想ゲーム空間（3次元ゲーム空間）に設けられる仮想カメラ（視点）の方向（視線の向き）を変化させたり、ゲーム画面（マップ）のスク口ール (徐々に移動表示)方向を指示したりすることもできる。なお、ゲームの種類によっては、夕ツチパネル 24を用いることにより、その他の入力指示も可能である。たとえば、 LCD 14上の夕ツチパネル 24において文字，数字，記号等を手書き入力することができる。

このように、ゲーム装置 10は、 2画面分の表示部となる LCD 12および LCD 1 4を有し、いずれか一方（この実施例では、 LCD 14) の上面に夕ツチパネル 24が設けられるので、 2画面（12, 14) と 2系統の操作部（22， 24) とを有する構成になっている。

なお、この実施例では、第 1の LCD 12と第 2の LCD 14とを縦方向に並べて配置するようにしているが、 2つの LCDの配置は適宜に変更され得る。他の実施例では、第 1の LCD 12と第 2の LCD 14とを横方向に並べて配置するようにしてもよい。また、この実施例では、 2つの LCDを設けるようにしていたが、表示手段としての LCDの数は適宜変更され得る。他の実施例では、縦長形状の 1つの LCDを設けて、表示領域を上下に分けて、 2つのゲーム画面をそれぞれの表示領域に表示するようにしてもよいし、あるいは、横長形状の 1つの LCDを設けて、表示領域を左右に分割し、 2つゲーム画面をそれぞれの表示領域に表示するようにしてもよい。

また、スティック 26は、たとえば下側ハウジング 16 bに設けられる収納部（図示せず）に収納することができ、必要に応じて取り出される。ただし、スティック 26を設けない場合には、その収納部も設ける必要はない。

さらに、ゲーム装置 10はメモリカード（またはカートリッジ） 28を含み、このメモリカード 28はゲーム装置 10に装着可能な記憶媒体であり、下側ハウジング 16b の上端面に設けられる挿入部 30 (図 2では点線で示す）に挿入される。挿入部 30の奥部には、メモリカード 28の揷入方向先端部に設けられるコネクタ 60と接合するためのコネクタ 32 (図 3参照）が設けられており、したがって、メモリカード 28が挿入部 30に挿入されると、コネクタ同士が接合され、ゲーム装置 10の CPU34 (図 3参照）がメモリカード 28にアクセス可能となる。

なお、図 1では省略するが、たとえば、下側ハウジング 16 bにおいて、その裏面には電池収容ボックスが設けられ、下端面（底面）には、音量スィッチおよびィャフォンジャックなどが設けられ、上端面（天面）には、外部拡張コネクタなどが設けられる。図 3はゲーム装置 10の電気的な構成を示すプロック図である。この図 3を参照して、ゲーム装置 10は電子回路基板 38を含み、この電子回路基板 38には上述の C P U 3 4等の回路コンポーネントが実装される。 CPU 34は、ノス 40を介して前述のコネクタ 32に接続されるととともに、 RAM42、第 1のグラフィック処理ユニット（G PU) 44、第 2の GPU46、入出力インタ一フェース回路（以下、「IZF回路」という。） 48、 LCDコントローラ 50および無線通信部 58に接続される。

コネクタ 32には、上述したように、メモリカード 28が着脱自在に接続される。メモリカード 28は、メモリコントローラ 62およびフラッシュメモリ 64を含み、メモリコントローラ 62はバスを介してフラッシュメモリ 64およびコネクタ 60と接続される。したがって、上述したように、 CPU34は、メモリコントローラ 62を介してフラッシュメモリ 64にアクセスすることができる。

メモリコントローラ 62は、フラッシュメモリ 64の書込みおよび読出しを制御する制御装置である。メモリコントローラ 66は内部メモリとして RAM66を有する。フラッシュメモリ 64は、ゲーム装置 10で実行すべきゲームのためのゲームプログラム、画像データ（文字ゃォブジェクトの画像、背景画像、アイテム画像、アイコン（ポタン）画像、メッセジ画像など）およびゲームに必要な音（音楽）のデータ（音デ一夕）等を予め記憶する。また、後述するように、フラッシュメモリ 64には、ダウン口ードしたデータを保存するための領域や、そのゲームの途中データやゲームの結果デー夕などのバックアップデータを記憶するための領域が設けられている。また、この実施例ではフラッシュメモリ 64として NAND型フラッシュメモリが適用される。他の実施例では、他の不揮発性メモリが適用されてよい。

ゲーム装置 10の RAM42は、バッファメモリやワーキングメモリとして使用される。つまり、 CPU34は、メモリカード 28に記憶されたゲームプログラム、画像デ一夕および音データ等を RAM42にロードし、ロードしたゲームプログラムを実行する。また、 CPU34は、ゲームの進行に応じて一時的に生成するデータ（ゲームデー夕やフラグデ一夕）を RAM 42に記憶しつつゲーム処理を実行する。

なお、ゲームプログラム、画像データおよび音データ等は、メモリカード 28から一度に全部または部分的にかつ順次的に読み出され、 RAM42に記憶される。

ただし、ゲーム装置 10ではゲーム以外の他のアプリケーションが実行されてよく、この場合、メモリカード 28のフラッシュメモリ 64には、当該アプリケーションについてのプログラムおよび画像デ一夕等の必要なデータが記憶されてよい。また、必要に応じて、音（音楽）データが記憶されてもよい。

GPU44および GPU46は、それぞれ、描画手段の一部を形成し、たとえばシンダルチップ AS I Cで構成され、 CPU 34からのグラフィックスコマンド（作画命令）を受け、そのグラフィックスコマンドに従って画像データを生成する。ただし、 CPU

34は、グラフィックスコマンドに加えて、画像データの生成に必要な画像生成プログラム（ゲームプログラムに含まれる。）を GPU44および GPU46のそれぞれに与える。

また、 GPU44には、第 1のビデオ RAM (以下、「VRAM」という。） 52が接続され、 GPU46には、第 2の VRAM54が接続される。 GPU44および GPU

46が作画コマンドを実行するにあたって必要なデータ（画像データ：ポリゴンやテクスチヤ等のデータ）は、 GPU44および GPU46が、それぞれ、第 1の VRAM 5 7559

2および第 2の VRAM54にアクセスして取得する。

なお、 CPU3'4は、描画に必要な画像データを GPU44および GPU46を介して第 1の VRAM 52および第 2の VRAM 54に書き込む。 0?1144は¥1^八1^5 2にアクセスして描画のための画像データを作成し、その画像データを VRAM 52の描画バッファに記憶する。 GPU46は VRAM 54にアクセスして描画のための画像データを作成し、その画像データを VRAM 54の描画バッファに記憶する。描画バッファとしてはフレームバッファまたはラインバッファ等が採用されてよい。

VRAM52および VRAM54は、 L CDコントローラ 50に接続される。 LCD コントローラ 50はレジス夕 56を含み、レジスタ 56はたとえば 1ビッ卜で構成され、 CPU34の指示によって「0」または「1」の値（データ値）を記憶する。 LCDコントローラ 50は、レジスタ 56のデータ値が「0」である場合には、 GPU44によつて作成された画像データを LCD 12に出力し、 GPU46によって作成された画像データを LCD 14に出力する。また、 LCDコントローラ 50は、レジスタ 56のデ一夕値が「1」である場合には、 GPU44によって作成された画像データを LCD 1 4に出力し、 GPU46によって作成された画像データを LCD 12に出力する。

なお、 LCDコントローラ 50は、 VRAM 52および VRAM 54から直接画像デ一夕を読み出したり、 GPU44および GPU46を介して VRAM52および VRA M 54から画像データを読み出したりする。

また、 VRAM52および VRAM54は RAM42に設けられてもよいし、あるいはその描画バッファおよび Zバッファが RAM42に設けられてもよい。

1ノ回路48には、操作スィッチ 22，夕ツチパネル 24およびスピーカ 36 a， 36 bが接続される。ここで、操作スィッチ 22は、上述したスィッチ 22 a, 22 b, 22 c, 22 d, 22 e, 22 g, 22 Lおよび 22 Rであり、操作スィッチ 22が操作されると、対応する操作信号（操作データ）が Iノ F回路 48を介してじ？1；34に入力される。また、夕ツチパネル 24からの座標データが IZF回路 48を介して CP U34に入力される。さらに、 CPU 34は、ゲーム音楽（BGM)、効果音またはゲ一ムキャラクタの音声（擬制音）などのゲームに必要な音データを RAM42から読み出し、 IZF回路 48を介してスピーカ 36 a, 36 bから当該音を出力する。

無線通信部 58は他のゲーム装置 10や通信機器等との間で無線によってデータを送受信するための通信手段である。なお、ゲーム装置 10が送受信する微弱電波は、電波法による規制のかからない強度に設定されている。 CPU 34がゲームデータゃコマンドなどのデータを無線通信部 58に与えると、無線通信部 58は、相手方へのデ一夕を無線信号に変調してアンテナから送信する。また、無線通信部 58は、相手方からの無線信号を同じアンテナで受信してデータに復調し、当該データを CPU 34に与える。この無線通信部 58を用いて、ゲーム装置 10は、他のゲーム装置 10との間でデ一夕を通信しつつ通信ゲームを実行することが可能である。また、ゲーム装置 1 0は、上述のように、無線通信部 5 8を介してアクセスポイント 1 0 4—およびネットワーク 1 0 6 に接続することができ、ネットワーク 1 0 6上のサーバ 1 0 2からプログラムやデータをダウンロードしたり、ネットワーク 1 0 6を介して他のゲーム装置 1 0と通信したりすることが可能である。

このシステム 1 0では、サーバ 1 0 2からダウンロードしたデータを書き込むための所定の領域がメモリカード 2 8のフラッシュメモリ 6 4に設けられる。また、ゲーム（ァプリケ一シヨン）の実行中に生成されるバックアップデータを書き込むための所定の領域がフラッシュメモリ 6 4に設けられる。図 4にフラッシュメモリ 6 4のメモリマップの一例が示される。フラッシュメモリ 6 4にはインフォメーション領域 2 0 0、ゲーム領域 2 0 2、ダウンロード領域 2 0 4およびバックアップ領域 2 0 .6等が設けられる。なお、図 4はメモリマップの一部を示しており、他の領域が設けられ得る。

ダウンロード領域 2 0 4がサーバ 1 0 2からダウンロードしたデータを書き込むための領域であり、バックアツプ領域 2 0 6がバックアツプデ一夕を書き込むための領域である。なお、インフォメーション領域 2 0 0には、後述の図 8のように、フラッシュメモリ 6 4のヘッダ情報や所定のデータが予め記憶される。また、ゲーム領域 2 0 2には、ゲームプログラムやデータが予め記憶される。ゲームプログラムは、たとえば、ゲーム処理プログラム、ダウンロード処理プログラム、およびバックアップ処理プログラムなどを含んでいる。

このフラッシュメモリ 6 4に設けられた書込み領域に対して段階的なセキュリティをかけることができるように、メモリコントローラ 6 2の動作をモードに応じて制御するようにしている。各モードではメモリコントローラ 6 2の実行可能な動作が限られ、必要な動作を実行するためにはモードを切替える必要がある。メモリコントローラ 6 2のモード遷移の概要が図 5に示されている。メモリコントローラ 6 2は、この実施例では、ゲームモード、 D L (Downl oad) セキュアモード、ダウンロードモードおよびバックァップモード等を有する。メモリコントローラ 6 2は、外部（ホストである C P U 3 4、またはネットワーク 1 0 6上のサーバ 1 0 2 ) から与えられる各種の遷移コマンドに応じて、そのモードを遷移させるようになつている。なお、 C P U 3 4は、メモリカード 2 8に記憶されるアプリケーションプログラム（ゲーム装置 1 0内に記憶されるプログラムでもよい）を実行することにより遷移コマンドを発行する。

ゲームモードは、通常のモードである。メモリコントローラ 6 2は、たとえばゲーム装置 1 0の電源がオンされたときに、当該ゲーム装置 1 0から電力が供給されてメモリコントローラ 6 2が起動する。メモリコントローラ 6 2は、起動すると、このゲームモードに置かれ、ゲーム実行中も基本的には（より具体的には、フラッシュメモリにデータを書き込む必要がないときには）このゲームモードにある。ゲーム実行中はフラッシュメモリ 64からプログラムおよびデータを必要に応じて読み出す必要があるので、このゲームモードでは、フラッシュメモリ 64からの読出しが高速に行えるようにするのが望ましい。このため、このゲームモードでは、メモリコントローラ 62に与えられるコマンドは、暗号化されなくてもよいが、コマンドを暗号化する場合でも、処理負担の軽いアルゴリズムで暗号化する程度のセキュリティがかけられればよい。なお、ゲームモードでは、たとえホスト（CPU 34) がフラッシュメモリ 64へのデータ書込みコマンドを発行したとしても、メモリコントローラ 62は当該コマンドを受け付けないため、フラッシュメモリ 64にデータを書き込むことはできない。

ゲーム実行中にプレイヤの選択またはプログラムに従ってサーバ 102からデータをダウンロードする場合のために、フラッシュメモリ 64にはダウンロードしたデータを書き込むためのダウンロード領域 204が設けられている。ダウンロードする場合、フラッシュメモリ 64を不正アクセスから保護するために、セキュリティ度を高める必要がある。そこで、メモリコントローラ 62を、フラッシュメモリ 64へのアクセスが容易なゲームモードから、セキュリティ度の高いモードに遷移させる。

また、ダウンロードデータを書き込むことのできるダウンロードモードにゲームモードからいきなり遷移させるのではなく、この実施例では、ダウンロードの際に 2段階のセキュリティをかけることができるように、別のモード、すなわち、 DLセキュアモードを介在させるようにしている。

具体的には、ゲームモードにおいて gCHG—DL— MODEコマンドがメモリコントロ一ラ 62に与えられると、メモリコントローラ 62はゲームモードから DLセキュアモードに遷移する。なお、 gCHG— DL— MODEコマンドは、ゲームモードから DLセキュアモードへ遷移させるための遷移コマンドであり、ゲーム装置 10の CPU 34によって発行される。

DLセキュアモードは、ダウンロードの際のセキュリティ度を高めるために設けられたモードである。この DLセキュアモードで、メモリコントローラ 62に与えられるコマンドは暗号化される。具体的には、暗号化された d s CHG— MODEコマンドがメモリコントローラ 62に与えられる。なお、 d s CHG— MODEコマンドは、 DLセキュアモードからダウンロードモードに遷移するための遷移コマンドである。このダウンロードモードへの遷移コマンドは、ゲーム装置 10の CPU 34から発行されるのではなく、サーバ 102で暗号化されてサーバ 102から送信される。なお、ゲーム装置 10の CPU34は d s CHG— MODEコマンドを生成することができない。なぜなら、 d s CHG— MODEコマンドは暗号化された状態でメモリコントローラ 62に与えられるべきものであり、ゲーム装置 10の CPU 34は当該暗号化のための鍵デ一夕を有しないためである。メモリコントローラ 62は、 DLセキュアモードで受信したコマンドを復号化し、そのコマンドが d s CHG MODEコマンドであれば、ダウン口ードモードに遷移する。この遷移コマンドの暗号のために、サーバ 102およびメモリカード 28は共通キーを記憶している。

このように、 DLセキュアモードからダウンロードモードへの遷移に対してセキユリティをかけることができる。また、 DLセキュアモードへの遷移コマンドをホストである CPU 34から発行し、ダウンロードモードへの遷移コマンドをサーバ 102から発行するようにしており、つまり、 CPU34とサーバ 102の協働によってダウンロードモードへの遷移を可能にしているので、さらにセキュリティ度を高めることができる。ダウンロードモードでは、サーバからダウンロードしたデータがダウンロード領域 2 04に書き込まれることとなる。ダウンロードされるデータはサーバで暗号化されて送信され、受信したデータはメモリコントローラ 62によって復号化される。このように、ダウンロードするデータに対してセキュリティをかけることができる。また、 DLセキユアモードでの暗号のキーとダウンロードモードでの暗号のキーとを変えるので、 2段階のセキュリティが存在することとなり、遷移コマンドとデ一夕とに別々のセキュリティをかけることができる。

ダウンロードデータは、上述のようにサーバで暗号化されており、 CPU34は、当該暗号化されたデータを受信するとメモリコントローラ 62に転送する。このデータの書込みのために、 CPU 34は、書込みコマンド（dWR— PAGEコマンド）を発行する。当該書込みコマンドに応じて、メモリコントローラ 62は、データの復号化など、データを書き込むための処理を実行する。受信したデ一夕が正当なデータであることが認証されれば、メモリコントローラ 62は、当該データをダウンロード領域 204に書き込む。このダウンロード領域 204への書込みは、ダウンロードモードにおいてのみ可能である。メモリコントローラ 62は、 CPU 34の発行する書込みコマンドをダウンロードモードにおいてのみ受け付けるようになつており、したがって、他のモードではダウンロード領域 204への書込みは行えない。

所定のデータを書き込んだ後に、 d 1 CHG— MODEコマンドに応じてメモリコントローラ 62はゲームモードに遷移する。なお、 d 1 CHG— MODEコマンドは、ダゥンロードモードからゲームモードに遷移させるための遷移コマンドであり、 CPU 3 4から発行される。

このようなダウンロードの場合のモードの遷移において、フラッシュメモリ 64に対するアクセスの可否状態が変化される。図 6には、ダウンロードモードに遷移する場合のフラッシュメモリ 64のメモリマップの変化が示されている。まず、ゲームモードにおいては、ゲーム領域 202およびダウンロード領域 204は読出しのみ可能にされている。そして、 gCHG—DL— MODEコマンドに応じて DLセキュアモードに遷移したとき、全領域が読出しおよび書込みの不可能な状態にされる。このようなフラッシュメモリ 64の全領域へのアクセスが不可能にされた状態で、暗号化された d s CHG 67559

—MODEコマンドの処理が行われることとなる。そして、 d s CHG_MODEコマンドに応じてダウンロードモードに遷移したときには、ダウンロード領域 202がァクセス可能な状態にされる。しかも、この実施例では、ダウンロード領域 202のうち、 d s CHG— MODEコマンドで指定されたブロックのみがアクセス可能にされる。このように、モードの遷移に応じて、フラッシュメモリ 64の各領域に対して、読出しおよび書込み可能な状態を変化させ、つまり、モードごとにメモリマップを変化させるようにしたので、セキュリティ度を高めることができる。

一方、ゲーム実行中には CPU 34はゲームのバックアップデータを生成する。このバックアツプデータを書き込むためのバックアツプ領域 206がフラッシュメモリ 64 に設けられている。バックアップ領域 206への書込み自体は本来ローカルなものであるが、このバックアップ領域 206に対して、たとえばネットワーク 106上から不正に入手したプログラムデータが書き込まれてしまうおそれがある。このバックアップ領域 206の不正利用を防止するために、バックアップ領域 206のセキュリティ度を上げる。

図 5に示すように、バックアップ領域 206に対する書込みまたは読出しのために、メモリコントローラ 62は、 gCHG—BK— MODEコマンドに応じて、ゲームモードからバックアップモードに遷移される。なお、この gCHG— BK一 MODEコマンドは、ゲームモ一ドからバックアップモードに遷移させるための遷移コマンドであり、ホストである CPU34がメモリコントローラ 62に発行する。また、 bCHG— MO DEコマンドに応じて、メモリコントローラ 62はゲームモードに遷移する。なお、この b C H G_M〇 D Eコマンドは、バックァップモードからゲームモ一ドに遷移させるための遷移コマンドであり、ホストである CPU34がメモリコントローラ 62に発行する。

バックアップモードでは、データを書き込む際には、 CPU 34によって書込みデー夕が所定のフォーマットに変換され、当該所定のフォーマットのデータがメモリコントローラ 62によってバックアップ領域 206に書き込まれる。一方、データを読み出す際には、メモリコントローラ 62によって、読み出したデータが所定のフォーマットであるか否かが判定される。データが所定のフォーマツトであると判定される場合には当該データは CPU 34に出力される。

しかし、データが所定のフォーマットでないと判定される場合には、当該データはバックアツプ領域に不正に書き込まれたデータであるとみなされ、メモリコントローラ 6 2はイリーガルモードに遷移する。イリ一ガルモードに遷移すると、当該データは出力されず、したがって、バックアップ領域の不正利用を防止することができる。

なお、この実施例では、書込まれていたデータが所定のフォーマツ卜でないと判定されるとき、メモリコントローラ 62が何らデータを出力しないようにしているが、他の実施例では、メモリコントローラ 6 2が、不正データであることを示す所定のデータを C P U 3 4に出力するようにして、不正な書込みデータであることを C P U 3 4が認識できるようにしてもよい。この場合にも、書込まれていたデ一夕が正常に出力されないので、バックアップ領域 2 0 6を不正利用から保護することができる。

このようなパックアップの場合のモードの遷移においても、フラッシュメモリ 6 4に対するアクセスの可否状態が変化される。図 7には、バックアップモードに遷移する場合のフラッシュメモリ 6 4のメモリマップの変化が示されている。ゲームモードでは、ゲーム領域 2 0 2は読出しのみ可能な状態にされており、バックァップ領域 2 0 6は、読出しおよび書込みともに不可能な状態にされている。そして、 g C HG— B K— M〇 D Eコマンドに応じて、バックアップモードに遷移したとき、ゾックアップ領域 2 0 6 のみがアクセス可能な状態にされる。しかも、この実施例では、バックアップ領域 2 0 6のうち、 g C H G_B K— MOD Eコマンドで指定されたブロックのみがアクセス可能にされる。ダウンロードの場合と同様に、モードの遷移に応じて、フラッシュメモリ 6 4の各領域に対して、読出しおよび書込み可能な状態を変化させ、つまり、モードごとにメモリマップを変化させるようにしたので、セキュリティ度を高めることができる。なお、本実施例においては、バックアツプモ一ドに遷移した後でないとバックアップ領域 2 0 6に書込みできないようにした。これは、例えば工場出荷時などにおいて一度書き込んだデータを間違って上書きしてしまわないようにするためである。しかしながら、変形例としては、フラッシュメモリ 6 4のうちバックアップ領域 2 0 6はゲームモードでも書き込み可能にしてもよい。

図 8にはフラッシュメモリ 6 4のインフォメーション領域 2 0 0のメモリマップの一例が示される。なお、図 8はインフォメーション領域 2 0 0の一部であり、ゲーム領域 2 0 2の開始アドレスなど他の必要なデータも記憶されている。

記憶領域 2 1 0にはダウンロード領域 2 0 4の開始アドレスが予め記憶され、記憶領域 2 1 2にはバックアップ領域 2 0 6の開始アドレスが予め記憶されている。その他にダウンロード領域 2 0 4およびバックアップ領域 2 0 6のサイズまたは終了アドレスなどが記憶されてもよい。ヘッダ情報としては、ダウンロード領域 2 0 4およびバックァップ領域 2 0 6のそれぞれと他の領域とを区別することのできるデータ、すなわち、各領域の境界データが記憶されればよい。メモリコントローラ 6 2は、各領域の境界デ一夕を参照することによって、各領域を把握してアクセスすることができる。

記憶領域 2 1 4には、暗号化されたキー 1が予め記憶されている。キー 1は、 D Lセキュアモード用のキー（暗号鍵)、つまり、 D Lセキュアモードにおいて使用されるキーである。このキー 1によって、サーバ 1 0 2で暗号化された d s C H G— MO D Eコマンドが復号化される。

なお、フラッシュメモリ 6 4には暗号化されたキーを記憶するようにしているので、メモリカード 2 8からフラッシュメモリ 6 4が抜き取られてデータが不正に読み出されても、キーの内容を読み取られないようにすることができる。

記憶領域 2 1 6には、暗号化されたキー 2が予め記憶されている。キ一2はダウン口ードモード用のキー（暗号鍵）、つまり、ダウンロードモードにおいて使用されるキーである。このキー 2によって、サーバ 1 0 2で暗号化されたダウンロード用データが復号化される。

記憶領域 2 1 8には、暗号化されたキー 3が予め記憶されている。キ一3は、ダウンロード用データのメッセージダイジェスト認証用のキー（暗号鍵）であり、つまり、ダゥンロード用データの認証記号としてのメッセージ完全性コード（M I C : Message Integri ty Code) を算出するためのキーである。ただし、この実施例では、キー 3の一部がキー 2の一部と同一になるような構成を採用している。つまり、キ一 3は、キー 2 の一部（同一部分を除いた部分）を置き換えることによって得られるキーである。そして、この記憶領域 2 1 8には、上述のようなキ一3の残りの部分（キー 2との同一部分を除いた部分）だけを暗号化して記憶するようにしている。 M I C算出のために完全なキー 3を必要とするときは、記憶領域 2 1 8のキー 3とキー 2の同一部分とが使用されるようにしている。

記憶領域 2 2 0には、メモリカード 2 8 (フラッシュメモリ 6 4 ) の識別情報を示すユニーク I Dが記憶される。また、記憶領域 2 2 2には、メモリカード 2 8のゲームないしアプリケーションの識別情報を示すゲーム I Dが記憶される。ゲーム I Dはゲームのタイトルや種類であってよい。

なお、この実施例では、フラッシュメモリ 6 4には、メモリカード 2 8に固有のキーが記憶される。つまり、ユニーク I Dに対応するキー 1、 2および 3が記憶されている。他の実施例では、ゲームタイトルに固有のキー、すなわち、ゲーム I Dに対応するキー 1、 2および 3が記憶されてもよい。

図 9にはメモリコントローラ 6 2の内部 RAM 6 6のメモリマップの一例が示される。なお、図 9は当該内部 RAM 6 6のメモリマップの一部である。

記憶領域 3 0 0には現在のモードが記憶される。このモードデータによってメモリコントローラ 6 2は現在のモードを把握することが可能である。コマンドを受信したときには、メモリコントローラ 6 2は、たとえば、当該コマンドの実行の前に、当該コマンドが現在のモードで発行されることを規定されたコマンドであるか否かを判定するようにしてよい。これによつて、正規に発行されたコマンドを判別することができる。

記憶領域 3 0 2はキー記憶領域である。現在のモードに応じたキーが記憶される。上述のように、この実施例では、各キーは暗号化されてフラッシュメモリ 6 4のインフォメ一シヨン領域 2 0 0に記憶されているので、メモリコントローラ 6 2は、内部 RAM 6 6のワークエリアにキーを読み出して復号化し、当該復号化したキーを記憶領域 3 0 2に記憶する。また、各キーは、各遷移コマンドに応じて各モードに遷移したときに、この記憶領域 3 0 2に展開されてよい。

具体的には、図 1 0に示すように、 D Lセキュアモードにおいては、キー記憶領域 3 0 2には、復号化済みのキー 1および復号化済みのキー 3 (この実施例では、厳密にはキー 3の一部）が記憶される。なお、キー 1は D Lセキュアモード用のキーであるが、この実施例では、ゲームモードにおいても、このキー 1を使用して所定のデータ（乱数およびユニーク I Dもしくはゲーム I D) を暗号化するようにしているので、ゲームモードのときから既にキー 1を記憶領域 3 0 2に記憶するようにしている。また、キー 3 は電源オフまで常駐された状態になる。このキー 3の一部は、キー 2と共用される部分に比べて小さいので、予め展開されるようにしている。なお、ゲームモードから D Lセキュアモードに遷移する際には、キー 1を再度フラッシュメモリ 6 4から読み出して復号化して、その後記憶領域 3 0 2に展開するようにしている。これは、何らかの事故で内部 RAM 6 6上のデ一夕が書き換わってしまう場合を考慮し、念の為の再展開である。ダウンロードモードに遷移すると、キー 1がキー 2に置き換えられる。つまり、キー 1が記憶領域 3 0 2から消去されるとともに、フラッシュメモリ 6 4からキー 2をヮ一クエリアに読み出して復号化し、当該復号化したキーを記憶領域 3 0 2に記憶する。また、キ一3はそのまま記憶される。上述のように、キー 2は、ダウンロードモードにおけるダウンロード用のデータの暗号のために使用され、一方、キー 3は、ダウンロード用のデータの M I C算出のために使用される。この実施例のように、キー 2とキー 3とで一部を共用することによって、キー記憶領域 3 0 2のために確保すべき領域のサイズを抑えることができ、結果として内部 RAM 6 6の容量を抑制して、コストを低減することができる。

なお、他の実施例では、完全なキ一 3を予め記憶しておき、当該キー 3をキー記憶領域 3 0 2に展開するようにしてよい。

図 9に戻って、記憶領域 3 0 4には乱数が記憶される。乱数は疑似乱数であり、メモリコントローラ 6 2で所定の処理が実行されるときに発生される。また、記憶領域 3 0 6にはライトプロテクトを示すフラグが記憶される。このライ卜プロテク卜がオンされているときには、フラッシュメモリ 6 4のダウンロード領域 2 0 4に対する書込みが禁止される。

図 1 1にはサーバ 1 0 2のデータベースに記憶されるデータの一例を示す。なお、このデータベースは、サーバ 1 0 2の HD Dまたは R OMなどに記憶されている。

データベースには、ダウンロード用データが記憶されている。ダウンロード用データは、メモリカード 2 8のダウンロード領域 2 0 4に記憶するためのデ一夕である。たとえばゲームタイトルごとに、つまり、ゲーム I Dに対応付けられたダウンロード用のフアイルが準備されてよい。また、データベースにはキーデータが記憶される。この実施例では、上述のようにメモリカード 2 8ごとに固有のキーを準備しているので、ユニーク I Dに対応付けて、キ一 1、キー 2およびキー 3が記憶されている。なお、メモリカード 2 8と同様に、キー 3としては、一部がキー 2と共用のため、残りの一部のみが記憶されてもよいし、または、完全なキー 3を記憶するようにしてもよい。

なお、他の実施例では、ゲームタイトルごとのキーが準備されてもよく、つまり、ゲーム I Dに対応付けてキー 1、 2および 3が記憶されてもよい。

図 1 2にはサーバ 1 0 2の R AMのメモリマップの一例が示される。なお、このメモリマップは一部を示しており、他の必要なプログラムおよびデータも記憶される。記憶領域 4 0 0はプログラム記憶領域であり、当該サーバ 1 0 2のダウンロード処理を実行するためのプログラムが記憶される。プログラムは R 0Mまたは HD D等から読み出される。

記憶領域 4 0 2はデータ記憶領域であり、 R OMまたは HD D等から読み出されたデ一夕、 C P Uによって生成されたデータ、ゲーム装置 1 0から受信したデータ等が記憶される。

記憶領域 4 0 4には、最初に受信したユニーク I Dが記憶され、記憶領域 4 0 6には、ゲーム I Dが記憶される。具体的には、ダウンロード処理が開始されると、最初にゲーム装置 1 0からユニーク I Dとゲーム I Dが送信されてくるので、当該ユニーク I Dおよびゲーム I Dが記憶領域 4 0 4および 4 0 6に記憶される。

記憶領域 4 0 8には、データベースから読み出されたキーが記憶される。この実施例では、ユニーク I Dに対応するキー 1、 2および 3が記憶される。

記憶領域 4 1 0には乱数およびユニーク I Dが記憶される。具体的には、ゲーム装置 1 0から最初のユニーク I Dの後に、乱数およびユニーク I Dをキー 1で暗号化したデ一夕がゲーム装置 1 0から送信されてくるので、当該受信データをキー 1で復号化して得られた乱数およびユニーク I Dがこの記憶領域 4 1 0に記憶される。

記憶領域 4 1 2にはブロックアドレスが記憶される。具体的には、上述の乱数およびユニーク I Dの後に、ゲーム装置 1 0から書込みを行うブロックァドレスが送信されてくるので、当該ブロックアドレスがこの記憶領域 4 1 2に記憶される。この実施例では、サーバ 1 0 2は、ブロックアドレスを指定した遷移コマンドをゲーム装置 1 0経由でメモリコントローラ 6 2に送信し、ダウンロードするファイルを書き込むブロックァドレスを指示する。

記憶領域 4 1 4には書込みファイルが記憶される。具体的には、データベースから読み出されたダウンロード用デ一夕のファイルが記憶される。ゲームタイトルごとにダウンロードデータが準備される場合、ゲーム I Dに対応するデ一夕が記憶される。なお、ユニーク I Dに対応するデータ、つまり、メモリカード 2 8ごとのデータが読み出されてもよいし、ゲーム I Dやユニーク I Dにかかわらず所定のデータが読み出されてもよレ^ この書込みファイルから所定量のデータが順に取り出されて、ゲーム装置 1 0に送信される。

図 1 3には、ダウンロード処理を実行する際のゲーム装置 1 0の RAM 4 2のメモリマップの一例が示される。なお、図 1 3はメモリマップの一部を示しており、他に必要なデータが記憶される。

記憶領域 5 0 0はプログラム記憶領域であり、ゲーム装置 1 0の処理を実行するためのプログラムがメモリカード 2 8から読み出されて記憶される。プログラムは、ゲーム処理プログラムやダウンロード処理プログラム等を含む。

記憶領域 5 0 2はデータ記憶領域であり、メモリカード 2 8から取得されたデータ、 C P U 3 4によって生成されたデータ、サーバ 1 0 2から受信したデータ等が記憶される。

記憶領域 5 0 4はゲーム I Dが記憶される。ゲーム I Dは、たとえば電源オンの際にフラッシュメモリ 6 4のインフォメーション領域 2 0 0の記憶領域 2 2 2からメモリコントローラ 6 2によって読み出されて出力され、コネクタ 6 0およびコネクタ 3 2等を介して C P U 3 4に与えられる。このゲーム I Dは、最初にユニーク I Dをサーバ 1 0 2に送信する際に、一緒に送信される。

記憶領域 5 0 6にはダウンロードしたデータを書き込むブロックアドレスが記憶される。ゲーム装置 1 0では、ダウンロード領域 2 0 4の空き領域が確保され、当該空き領域から書き込むブロックアドレスが決定される。このブロックアドレスはサーバ 1 0 2 に送信される。

記憶領域 5 0 8にはサーバ 1 0 2からダウンロードされるファイルデータ量が記憶される。ダウンロードされるファイルのファイルデータ量はサーバ 1 0 2から送信されてくるので、当該受信したファイルデータ量がこの記憶領域 5 0 8に記憶される。このデ一夕ファイル量によって、 C P U 3 4は、書込みファイルのすべてを書き込んだか否かを判定することができる。

図 1 4には、バックアップ処理の際のゲーム装置 1 0の RAM 4 2のメモリマップの一例が示される。なお、この図 1 4も図 1 3と同様にメモリマップの一部のみを示す。記憶領域 5 0 0はプログラム記憶領域であり、メモリカード 2 8から読み出されたゲーム処理プログラムおよびバックアツプ処理プログラム等が記憶される。

データ記憶領域 5 0 2の記憶領域 5 0 4には、図 1 3のダウンロード処理の場合と同様に、メモリカード 2 8から読み出したゲーム I Dが記憶される。

記憶領域 5 1 0には書き込むデータが記憶される。つまり、 C P U 3 4がゲーム（ァプリケーシヨン）実行中に生成したバックアップデータが記憶される。

記憶領域 5 1 2にはパリティ付きデータが記憶される。書き込むデータは、 C P U 3 4によって所定のフォ一マツ卜に変換されてバックアップ領域 2 0 6に書き込まれる。この実施例では、バックアツプデータにはパリティビットが付加される。このパリティ付きデータがバックアップ領域 2 0 6に書き込まれる。

図 1 5にパリティ付きデータの一例が示される。図 1 5は、バックアップ領域 2 0 6 のページデータ（5 1 2バイト）の構成例であり、この実施例では、各バイトのデータの構成が、「7ビットのデ一夕」 + 「7ビットのデ一夕のパリティ（1ビット）」にされる。つまり、書き込むデータについて、 7ビットごとに 1ビットのパリティビットを付加することによって、パリティ付きデータを生成する。たとえば、ビット 0— 6のビット列において「1」が偶数個あった場合、ビット 7には「1」が書かれ、一方、ビット列において「1」が奇数個あった場合、ビット 7には「0」が書かれる。

記憶領域 5 1 4には書き込むブロックアドレスが記憶される。ゲーム装置 1 0の C P U 3 4は、バックアップ領域 2 0 6の空き領域を確保し、パリティ付きデータを書き込むブロックアドレスを決定し、この記憶領域 5 1 4に記憶する。この書き込むブロックァドレスは、バックアツプモ一ドに遷移させるための遷移コマンドにおいて指定される。記憶領域 5 1 6には読み出すプロックアドレスが記憶される。 C P U 3 4は、バックアップ領域 2 0 6の読み出すデータの格納場所を確認して、読み出すブロックアドレスを決定し、この記憶領域 5 1 6に記憶する。この読み出すブロックアドレスは、バックアップモードに遷移させるための遷移コマンドにおいて指定される。

記憶領域 5 1 8には、メモリカード 2 8のバックァップ領域 2 0 6から読み出したデ —夕が記憶される。バックアップ領域 2 0 6から読み出そうとしているデータがパリティ付きデータであるか否かは、読み出す際にメモリコントローラ 6 2によってチェックされる。バックアップ領域 2 0 6からデータが読み出されれば、当該データは正規にバックアップ領域 2 0 6に書き込まれたデータであるので、 C P U 3 4は、当該読み出したデータからパリティを除去して元のデータに変換して、当該データを利用することができる。一方、パリティチェックの結果、バックアップ領域 2 0 6のデータが不正に書き込まれたデータと判断される場合、メモリコントローラ 6 2はイリ一ガルモードに遷移し、当該データを出力しない。したがって、バックアップデ一夕の読出し処理が完了せず、正常な動作が行われなくなる。

ダウンロード処理の際のシステム 1 0の全体的な動作を図 1 6から図 1 9を参照しながら簡単に説明する。なお、ダウンロード処理の際の、ゲーム装置 1 0、メモリコントローラ 6 2およびサーバ 1 0 2のそれぞれの動作は、個別のフロー図を用いて後に説明する。

ダウンロード処理は、メモリカード 2 8のメモリコントローラ 6 2がゲームモードにあるときに開始される。図 1 6を参照して、ダウンロード処理が開始されると、まずステツプ S 1で、ゲーム装置 1 0の C P U 3 4は、 g R D U I Dコマンドをメモリ力一ド 28に発行する。この gRD一 U I Dコマンドは、メモリカード 28からユニーク I Dを読むためのコマンドである。これに応じて、メモリコントローラ 62は、ステップ S 3でユニーク I Dをフラッシュメモリ 64から読み出してゲーム装置 10に出力する。 CPU34は、受信したユニーク IDを、ステップ S 5でサーバ 102に転送し、サ一バ 102の CPUは受信したユニーク I Dを RAMに記憶する。このようにして、メモリカード 28のユニーク I Dがサーバ 102に送信される。このユニーク IDは、メモリカード 28の認証のために、後に受信されるユニーク I Dと比較される。

続いて、ゲーム装置 10の CPU34は、ステップ S 9で gRD一 I Fコマンドをメモリカード 28に発行する。この gRD— I Fコマンドは、メモリカード 28の乱数およびユニーク I Dを読むためのコマンドである。これに応じて、メモリコントローラ 6 2は、ステップ S 11で、発生した乱数およびフラッシュメモリ 64から読み出したュニーク I Dをゲーム装置 10に出力する。ただし、舌し数およびユニーク I Dは、内部 R AM 66に展開されているキー 1で暗号化される。 CPU 34は、ステップ S 13で、受信したデータをサーバ 102に転送する。サーバ 102の CPUは、ステップ S 15 で、受信したデータをキー 1で復号化する。使用されるキー 1はユニーク IDに対応するキー 1である。そして、サーバ 102の CPUはステップ S 17で、ステップ S 15 で復号化したユニーク I Dとステップ S 7で最初に受信したユニーク I Dとが一致するか否かを判定する。ステップ S 17で "NO" の場合、つまり、ユニーク IDが'最初に受信したユニーク IDと異なる場合には、メモリカード 28が正規のカードであるとは認められないので、サーバ 102の CPUはステップ S 19でダウンロード書込み処理を終了する。

一方、ステップ S 17で " YES" の場合、つまり、メモリカード 28が正規の力一ドであるとサーバ 102で判定された場合には、ゲーム装置 10の CPU 34は、ステップ S 21で、ダウンロード領域 204のうち、ダウンロードするデータを書込むブロックアドレスを決定する。また、 CPU 34は、ステップ S 23で、 gCHG_DL_ MODEコマンドをメモリカード 28に発行する。この gCHG— DL_MODEコマンドは、ゲームモードから DLセキュアモードに遷移させるための遷移コマンドである。これに応じて、メモリコントローラ 62は、ステップ S 25で、 DLセキュアモードに遷移する。

また、ステップ S 27で、ゲーム装置 10の CPU 34は、ステップ S 21で決定したブロックアドレスをサーバ 102に送信する。これに応じて、サーバ 102の CPU は、ステップ S 29で、 d s CHG— MODEコマンドを生成する。この d s CHG— MODEコマンドは、 DLセキュアモードからダウンロードモードの遷移させるための遷移コマンドである。この遷移コマンドは、ステップ S 15で取得した乱数およびュニーク IDと、このステップ S 29で受信したブロックアドレスを用いて生成される。なお、乱数およびユニーク I Dはメモリコントローラ 62での認証のために使用され、また、ブロックアドレスによって、ダウンロードデ一夕を書き込むブロックアドレスが指定される。

続いて、図 17のステップ S 31で、サーバ 102の CPUは、生成した d s CHG —MODEコマンドをキー 1で暗号化する。そして、ステップ S 33で、サーバ 102 の CPUは、暗号化された d s CHG— MODEコマンドをゲーム装置 10に送信する。ゲーム装置 10の CPU34は、ステップ S 35で、受信したデータをメモリカード 2 8に転送する。メモリコントローラ 62は、データを受信し、ステップ S 37で、受信したデータをキー 1で復号化する。したがって、 d s CHG一 MODEコマンドから乱数およびユニーク I Dを取得することができ、また、指定されたブロックアドレスも取得できる。

メモリコントローラ 62は、ステップ S39で、コマンドから取得したユニーク I D および乱数は、メモリカード 28内の乱数およびユニーク IDと一致するか否かを判断する。ステップ S 39で "N〇" の場合、つまり、受信したコマンドが正当なコマンドでなかった場合には、メモリコントローラ 62は、ステップ S 41でイリーガルモードに遷移する。これによつて、ダウンロード処理が進まなくなり、不正なダウンロードが行われない。

一方、ステップ S 39で "YES" の場合、つまり、受信したコマンドが'正当なコマンドである場合には、メモリコントローラ 62は、ステップ S 43でダウンロードモードに遷移し、ステップ S 45で指定ブロックのみをアクセス可能にする。これによつて、ダウンロードモードへの遷移コマンドで指定されたブロックへの書込みが可能になる。また、このとき、ダウンロードモード用のキ一 2が復号化されて内部 RAM 66に展開される。

また、ステップ S47で、ゲーム装置 10の CPU 34は、 d l RD— I Fコマンドをメモリカード 28に発行する。この d 1 RD— I Fコマンドは、乱数およびユニーク I Dを読むためのコマンドである。このコマンドに応じて、メモリコントローラ 62は、ステップ S 49で、乱数およびユニーク I Dをキー 2で暗号化してゲーム装置 10へ出力する。ゲーム装置 10の CPU 34は、このデータを受信し、ステップ S 51で当該受信データをサーバ 102に転送する。これに応じて、サーバ 102の CPUは、デー夕を受信し、ステップ S 53で当該データをキー 2を用いて複号化する。これによつて、サーバ 102は、メモリカード 28からの乱数およびユニーク I Dを取得する。この乱数およびユニーク I Dは、この後、ダウンロードするデータの M I Cを算出する際の初期値として使用され、また、サーバ 102から送信するデータの暗号化の初期値としても使用される。

さらに、図 18のステップ S 55で、ゲーム装置 10の CPU34は、 d l PRT OFFコマンドをメモリカード 28に発行する。 d 1 PRT一 OFFコマンドは、ライトプロテクトを解除するためのコマンドである。このコマンドに応じて、メモリコントローラ 62は、ライトプロテクトをオフにし、これによつて、ダウンロード領域 204 の指定プロックへの書込みを実行することが可能になる。

続いて、ステップ S 59で、サーバ 102の CPUは、ダウンロードするデータ、つまり、書込みファイルを準備する。そして、ステップ S 61で、サーバ 102の CPU は、書込みファイルから所定サイズ（この実施例では 2KBy t e) のデータを取り出す。サーバ 102からゲーム装置 10 (メモリカード 28) への書込みファイルの送信は、この所定のサイズごとに行われる。

そして、ステップ S 63で、サーバ 102の CPUは、キ一 3を用いて 2 KB y t e のデ一夕から所定サイズ（この実施例では 8 By t e) の MI Cを算出する。なお、 M I C算出の初期値として、ステップ S 53で取得された舌し数およびユニーク I Dが用いられる。さらに、サーバ 102の CPUは、ステップ S 65で、 2 KBy t eのデータに 8By t eの MI Cを追加したデータを生成し、当該生成したデータをキー 2で暗号化する。よお、この暗号化の初期値として、ステップ S 53で取得された乱数およびュニーク IDが用いられる。そして、ステップ S 67で、サーバ 102の CPUは、当該暗号化されたデータをゲーム装置 10に送信する。

これに応じて、ステップ S 69で、ゲーム装置 10の CPU 34は、受信したデータとともに書き込むページアドレスをメモリカード 28に送信する。これに応じて、ステップ S 71で、メモリコントローラ 62はデータを受信する。

続いて、ステップ S 73で、ゲーム装置 10の CPU34は、 dWR— PAGEコマンドをメモリカード 28に発行する。 dWR— PAGEコマンドは、メモリカード 28 に送信したデータをダウンロード領域 204に書き込むためのコマンドである。このコマンドに応じて、ステップ S 75で、メモリコントローラ 62は、ステップ S 71で受信したデータをキー 2で復号化する。これによつて、 2KBy t eのデータに 8 By t eの MI Cを追加したデータを取得することができる。

さらに、ステップ S 77で、メモリコントローラ 62は、取得した 2KBy t eのデ —夕に対してキー 3で 8 By t eの M I Cを算出する。この M I Cの算出の際には、ステツプ S 49で送信した乱数およびユニーク I Dが初期値として使用される。

そして、ステップ S 79で、メモリコントローラ 62は、算出した MI Cと復号化によって取得した MI Cとが一致するか否かを判断する。ステップ S 79で "NO" の場合、つまり、正当なダウンロードデータを受信しなかった場合には、メモリコント口一ラ 62は、ステップ S 81で、書込みを行わない。これによつて、不正なデータがダウンロード領域 204に書込まれない。

一方、ステップ S 79で "YES" の場合、つまり、正当なデータを受信した場合には、メモリコントローラ 62は、ステップ S 83で、受信した 2Kb y t eのデータを ' ダウンロード領域 204の指定ブロックに書き込む。

続いて、ゲーム装置 10の CPU34は、ステップ S 85で、ファイルの書込みが終了したか、または、 1ブロックの書込みが終了したかを判断する。この実施例のダウンロードモードでは、指定ブロックアドレスの一定範囲（この実施例では 1ブロック）内であれば、サーバ 102からの遷移コマンドなしに、データを書き込むことができる。したがって、 1ブロックの書込みが終わるまで、または 1ブロック未満のファイルの書込みが終わるまでは、サーバ 102の CPUが暗号化したデータを送信し、メモリコントロ一ラ 62が当該データを復号化して書き込むという動作を繰返す。すなわち、ステップ S 85で "NO" の場合には、図 18のステップ S 61に戻って、処理が繰返される。このように、一定範囲内の書込みにおいてサーバ 102からの遷移コマンドを不要にすることによって、サーバ 102の負荷を軽減することができ、ゲーム装置 10側での処理も短くできるという利点がある。

一方、 1ブロック以上のファイルの書込み行う必要がある場合には、一旦、ダウン口ードモードを終了してゲームモードに遷移する。そして、再びサーバ 102から遷移コマンドを送信して、メモリコントローラ 62のモードをダウンロードモードに遷移させて、データのダウンロードを行う。

すなわち、ステップ S 85で " YES" の場合、ゲーム装置 10の CPU 34は、ステツプ S 87で d 1 CHG— MODEコマンドをメモリカード 28に発行する。この d 1 CHG— MODEコマンドは、ダウンロードモードからゲームモードに遷移させるための遷移コマンドである。これに応じて、メモリコントローラ 62は、ステップ S 89 でゲームモードに遷移する。

さらに、ゲーム装置 10の CPU34は、ステップ S 91で、ファイルの書込みが終了したか否かを判断する。ステップ S 91で "NO" の場合、つまり、書込みファイルのうち未書込みのデータが残っている場合には、図 16のステップ S 9に戻って、ゲームモードからの処理が繰返される。一方、ステップ S 91で" YES"の場合、つまり、書込みファイルのすべてのデータを書込んだ場合には、このダウンロード処理を終了する。

続いて、ダウンロード処理におけるゲーム装置 10、メモリコントローラ 62およびサーバ 102の個別の動作を説明する。

図 20から図 22にはダウンロード処理におけるゲーム装置 10の動作の一例が示される。ダウンロード処理を開始すると、図 20のステップ S 101で、 CPU 34は、 gRD— U I Dコマンドをメモリカード 28に発行する。 gRD— UIDコマンドは、ユニーク I Dを読むためのコマンドである。また、この gRD— U I Dコマンドは、メモリコントローラ 62がゲームモードにある場合に発行されるので、処理負担の比較的軽いアルゴリズム（たとえばスクランブル）で暗号化してメモリカード 28に出力するようにしてよい。

なお、ゲーム装置 10からメモリカード 28にコマンドやデータを送信する際には、 CPU34は、当該コマンドやデータをコネクタ 32に与え、したがって、当該コマンドゃデータはコネクタ 60を介してメモリコントローラ 62に与えられる。

次にステップ S 103で、 CPU 34はユニーク I Dをメモリカー 28から受信したか否かを判断する。 gRD— U I Dコマンドに応じてメモリコントローラ 62はュニーク I Dを返すので、コネクタ 32を介したメモリコントローラ 62からのデータの受信を待機する。

ステップ S 103で " YES" の場合、つまり、メモリコントローラ 62からのュニ —ク I Dを受信した場合には、 CPU 34は、ステップ S 105でユニーク I Dとゲーム I Dとをサーバ 102に送信する。具体的には、受信したユニーク I Dを RAM42 のデータ記憶領域 502に記憶し、記憶領域 504に記憶されているゲーム I Dを読み出して、ユニーク I Dとゲーム I Dとを含むデータを送信する。

なお、ゲーム装置 10からサーバ 102にデータを送信する際には、 CPU 34は、無線通信部 58に当該データを与え、したがって、当該データは、無線通信部 58からアクセスポイント 104およびネットワーク 106を介してサーバ 102に与えられる。続いて、 CPU34は、ステップ S 107で、 gRD— I Fコマンドをメモリカード 28に発行する。なお、この gRD— I Fコマンドは乱数およびユニーク I Dを読むためのコマンドである。また、この gRD— I Fコマンドも、スクランブルのような比較的処理負担の軽いアルゴリズムで暗号化されて送信されてよい。そして、ステップ S 1 09で、 CPU34は、データ（暗号化された乱数およびユニーク I D) をメモリ力一ド 28から受信したか否かを判断する。 gRD— I Fコマンドに応じてメモリコント口ーラ 62が上記データを返すので、当該データの受信を待機する。

ステップ S 109で " YES" の場合、つまり、メモリコントローラ 62からのデー夕を受信した場合には、 CPU34は、ステップ S 111で、当該受信したデータ（暗号化された乱数およびユニーク I D) をサーバ 102に送信する。

続いて、ステップ S 1 13および S 115で、メモリカード 28が正当なカードか否かの結果を、無線通信部 58を介してサーバ 102から受信したかどうかを判断する。ステップ S 111でのデータの送信に応じてサーバ 102はメモリカード 28の認証の結果を返すので、サーバ 102からの当該データの受信を待機する。具体的には、ステップ S 113で、 CPU 34はメモリカード 28が正規カードであることをサーバ 10 2から受信したか否かを判断する。ステップ S 113で "NO" の場合、 CPU 34はステップ S 115でメモリカード 28が正規カードでないことを受信したか否かを判断する。ステップ S 115で "NO" の場合は、処理はステップ S 113に戻る。ステップ S 115で " YES" の場合には、つまり、不正なメモリカード 28が装着されているとみなされる場合には、ダウンロード処理を終了する。したがって、不正なメモリカード 28へのダウンロードを回避できる。

一方、ステップ S I 13で " YES" の場合、つまり、正規なメモリカード 28が装着されている場合には、 CPU 34は、ステップ S 117で、ダウンロード領域 204 の空き領域を確保し、書き込むブロックアドレスを決定する。なお、フラッシュメモリ 64の記憶領域のうち、どの領域が使用され、またはどの領域が空き領域であるかなどの情報は、たとえばインフォメーション領域 200にヘッダ情報として記憶されているので、 CPU 34は当該ヘッダ情報に基づいてフラッシュメモリ 64の管理データを生成し、当該管理データに基づいて、空き領域を確保して、書き込むブロックアドレスを決定する。決定したブロックアドレスは、記憶領域 506に記憶される。ステップ S 1 17を終了すると、処理は図 21のステップ S 119に進む。

図 21のステップ S 119では、 CPU34は、 g CHG—DL— MOD Eコマンドをメモリカード 28に発行する。この gCHG— DL— MODEコマンドは、 DLセキユアモードに遷移させるための遷移コマンドである。なお、この gCHG— DL— MO D Eコマンドは、スクランブルなどの比較的処理負担の軽いアルゴリズムに従つて暗号化されて送信されてよい。続いて、ステップ S 121で、 CPU34は、ステップ S 1 17で決定したプロックアドレスをサーバ 102に送信する。

そして、ステップ S 123で、 CPU 34は、データ（暗号化された d s CHG— M ODEコマンド）をサーバ 102から受信したか否かを判断する。ステップ S 121の送信に応じてサーバ 102がデ一夕を返すので、当該データの受信を待機する。

ステップ S 123で "YES" の場合、つまり、上記データを受信した場合には、 C PU34は、ステップ S 125で、受信したデータ（暗号化された d s CHG— MOD Eコマンド）をメモリカード 28に送信する。これによつて、メモリコントローラ 62 はダウンロードモードに遷移することとなる。

さらに、ステップ S 127で、 CPU34は d 1 RD— I Fコマンドをメモリカード 28に発行する。この d 1 RD— I Fコマンドは、乱数およびユニーク IDを読むためのコマンドである。そして、ステップ S 129で、 CPU 34は、データ（暗号化された乱数およびユニーク I D) をメモリカード 28から受信したか否かを判断する。 d l RD— I Fコマンドに応じてメモリコントローラ 62は暗号化された乱数およびュニ一ク IDを返すので、当該データの受信を待機する。

ステップ S 129で "YES" の場合、つまり、上記データを受信した場合には、 C PU34は、ステップ S 131で当該受信したデータ（暗号化された乱数およびュニ一ク I D) をサーバ 102に送信する。

続いて、ステップ S 133で、 CPU34は d l PRT OFFコマンドをメモリ力 —ド 28に発行する。この d 1 PRT— OFFコマンドは、ライトプロテクトを解除するためのコマンドである。ステップ S 133を終了すると、処理は図 22のステップ S 135に進む。

図 22のステップ S 135では、 CPU34は、ファイルデータ量に関するデータをサーバ 102から受信したか否かを判断する。ステップ S 131におけるデータ送信に応じて、サーバ 102は、ダウンロードするデータ（書込みファイル）を準備し、まず当該ファイルデータ量を送信してくるので、このステップ S 135では当該ファイルデ一夕量の受信を待機する。ステップ S 135で " YES" の場合、 CPU34はステツプ S 137で受信したファイルデータ量を記憶領域 508に記憶する。

続いて、ステップ S 139で、 CPU 34は、データ（暗号化された 2 KB y t e + 8By t eのデータ）をサーバ 102から受信したか否かを判断する。なお、ファイルデータ量の送信の後、サーバ 102は、書込みファイルから所定サイズずつデータを送信する。具体的には、サーバ 102は、 2KBy t eのデータに 8 By t eの M I Cを付加したデ一夕を暗号化して送信するので、このステップ S 139では当該デ一夕の受信を待機する。

ステップ S 139で " YES" の場合、つまり、上記データを受信した場合には、 C PU34は、ステップ S 141で、受信したデ一夕とともに書き込むページアドレスをメモリカード 28に送信する。なお、サーバ 102からは所定サイズごとのデータが送信されてくるので、 CPU 34は、フラッシュメモリ 64の管理データやブロックアドレス等に基づいて、データを受信するごとに、当該デ一夕を書き込むページアドレスを決定することができる。続くステップ S 143で、 CPU34は、 dWR— PAGEコマンドをメモリカード 28に発行する。この dWR— PAGEコマンドは、ステップ S 141で送信したデータを指定ページアドレスに書き込むこと指示するコマンドである。そして、ステップ S 145で、 CPU34は、ファイルの書込みが終了したか、または、 1ブロックの書込みが終了したかを判断する。上述のように所定サイズごとにデー夕がサーバ 102から送信されてくるので、 CPU34は、書き込んだデータ量（メモリカード 28に送信したデータ量）を算出することができる。したがって、 CPU 34 は、当該書き込んだデータ量がファイルデータ量に達したか、または 1ブロックに達したかを判断することができる。ステップ S 145で "NO" の場合、処理はステップ S 139に戻り、ファイルの書込みが終了し、または 1ブロックの書込みが終了するまで、データの書込みが繰り返される。

一方、ステップ S 145で " YES" の場合には、 CPU 34は、ステップ S 147 で d 1 CHG— MODEコマンドをメモリカード 28に発行する。この d 1 CHG— M O D Eコマンドは、ダウンロードモードからゲームモードに遷移させるための遷移コマンドである。そして、ステップ S 149で、 CPU 34はファイルの書込みが終了したか否かを判断する。ステップ S 1 4 9で "NO" の場合、つまり、 1ブロックの書込みが終了したが、書込みファイルのすべてを書き終えていない場合には、処理は図 2 0のステップ S 1 0 7に戻り、残りのデータを書き込むために、ゲームモードにおけるステップ S 1 0 7からの処理が再び行われる。一方、ステップ S 1 4 9で " Y E S " の場合には、このダウンロード処理を終了する。

図 2 3から図 2 6には、ダウンロード処理におけるメモリコントローラ 6 2の動作の一例が示される。なお、上述のように、ダウンロード処理はゲームモードにおいて開始されるので、図 2 3では、電源がオンされてメモリコントローラ 6 2がゲームモードに置かれるまでの処理を、ステップ S 2 0 1から S 2 0 5として記載している。

処理が開始されると、図 2 3のステップ S 2 0 1で、メモリコントローラ 6 2はモードをゲームモードにする。内部 RAM 6 6のモード記憶領域 3 0 0にはゲームモードを示すデータが記憶される。

次に、ステップ S 2 0 3で、メモリコントローラ 6 2は、ダウンロード領域 2 0 4およびゲーム領域 2 0 2を読み出しのみ可能な状態にする。たとえば、メモリコントローラ 6 2は、フラッシュメモリ 6 4の各領域に対するアクセスの状態を示すデータを内部 RAM 6 6に生成しておく。そして、当該データにおいて、ダウンロード領域 2 0 4およびゲーム領域 2 0 2について、読出しのみ可能な状態であることを示すデータを設定する。

続いて、ステップ S 2 0 5で、メモリコントローラ 6 2は、キ一1およびキー 3をフラッシュメモリ 6 4のインフォメーション領域 2 0 0から内部 RAM 6 6のワークエリァに読み出して復号化し、キー 1およびキ一3をキー記憶領域 3 0 2に展開する。

続くステップ S 2 0 7以降の処理がメモリコントローラ 6 2のダウンロード処理に相当する。メモリコントローラ 6 2は、ステップ S 2 0 7で、 g R D— U I Dコマンドをコネクタ 6 0を介して受信したか否かを判断する。ステップ S 2 0 7で "Y E S " の場合、つまり、ユニーク I Dを読み取るためのコマンドを受信した場合には、メモリコントローラ 6 2は、ステップ S 2 0 9で、インフォメーション領域 2 0 0の記憶領域 2 2 0からユニーク I Dを読み出して、当該ユニーク I Dをコネクタ 6 0に出力する。なお、 g R D—U I Dコマンドがスクランブルなどで暗号化して送信される場合には、受信したデータを復号化して、当該データが g R D— U I Dコマンドであるか否かを判断する。また、メモリコントローラ 6 2がコネクタ 6 0に出力したデ一夕は、コネクタ 3 2等を介して C P U 3 4に与えられる。

ステップ S 2 0 9を終了し、またはステップ S 2 0 7で " NO" の場合、メモリコントローラ 6 2は、ステップ S 2 1 1で g RD— I Fコマンドを受信したか否かを判断する。なお、 g R D— I Fコマンドがスクランブルなどで暗号化される場合、受信したデ一夕を復号化して、当該デ一夕が g R D— I Fコマンドであるか否かを判断する。ステップ S 211で "NO" の場合、処理はステップ S 207へ戻る。

一方、ステップ S 211で " YES" の場合、つまり、乱数およびユニーク I Dを読み取るためのコマンドを受信した場合には、メモリコントローラ 62は、ステップ S 2 13で、乱数およびユニーク I Dをキー 1で暗号化する。なお、メモリコントローラ 6 2は、記憶領域 304に乱数を発生し、また、メモリコントローラ 62はインフォメーション領域 200の記憶領域 220からユニーク I Dをワークエリアに読み出す。また、暗号化に使用されるキ一 1は、記憶領域 302に既に展開されている。続くステップ S 215で、メモリコントローラ 62は、暗号化された乱数およびユニーク IDを出力する。

続いて、ステップ S 217で、メモリコントローラ 62は、 gCHG— DL— MOD Eコマンドを受信したか否かを判断する。この gCHG— DL— MODEコマンドは、サーバ 102でメモリカード 28が正規なカードであると判断された場合に CPU 34 から発行されるので、ステップ S 217で当該コマンドの受信を待機する。なお、 gC H G_D L— M〇 D Eコマンドがスクランブルなどで暗号化される場合、受信したデー夕を復号化して、当該デ一夕が gCHG—DL— MODEコマンドであるか否かを判断する。

ステップ S 217で " YES" の場合、つまり、 DLセキュアモードに遷移するための遷移コマンドを受信した場合には、メモリコントローラ 62は、ステップ S 219でゲームモードから DLセキュアモードに遷移する。モード記憶領域 300には DLセキユアモードを示すデ一夕を記憶する。

続いて、図 24のステップ S 221で、メモリコントローラ 62は、インフォメーシヨン領域 200の記憶領域 214からキー 1を読み出して復号化し、内部 RAM 66の記憶領域 302に展開する。なお、キー記憶領域 302には既にキー 1が展開されているが、事故によるデータの置き換わり等を回避するために、このステップ S 221の処理でキー 1を展開し直す。

また、ステップ S 224で、メモリコントローラ 62は、フラッシュメモリ 64の全領域をアクセス不可状態にする。たとえば、メモリコントローラ 62は、フラッシュメモリ 64の各領域に対するアクセスの状態を示すデータにおいて、全領域について、ァクセス不可能な状態であることを示すデータを設定する。

そして、ステップ S 225で、メモリコントローラ 62はデータ（暗号化された d s CHG— MODEコマンド）を受信したか否かを判断する。 DLセキュアモードに遷移した後に、この暗号化された d s CHG— MODEコマンドがサーバ 102から送信されるので、このステップ S 225で、当該データの受信を待機する。

ステップ S 225で " YES" の場合、つまり、データ（暗号化された d s CHG— MODEコマンド）を受信した場合には、メモリコントローラ 62は、ステップ S 22 7で、受信したデータをキ一 1で復号化する。 d s CHG— MODEコマンドは、サ一バ 102において、このメモリカード 28のユニーク I Dに対応するキ一 1を用いて暗号化されているので、記憶領域 302のキー 1を用いて復号化を行う。

続いて、ステップ S 229で、メモリコントローラ 62は、 d s CHG一 MODEコマンドからブロックアドレスならびにユニーク I Dおよび乱数を取得する。 d s CHG —M〇 D Eコマンドには、ダウンロードしたデータを書き込むブロックアドレスが指定されており、また、先にステップ S 215で出力した乱数およびユニーク IDが埋め込まれている。

そして、ステップ S 231で、メモリコントローラ 62は、取得したユニーク I Dおよび乱数が、メモリカード 28内のユニーク I Dおよび乱数、つまり、内部 RAM66 に記憶されているユニーク I Dおよび記憶領域 304に記憶されている乱数と一致するか否かを判断する。

ステップ S 231で "N〇" の場合、つまり、ダウンロードモードへの遷移コマンドが正当なコマンドではない場合には、メモリコントローラ 62は、ステップ S 233でィリ一ガルモードに遷移する。モード記憶領域 300にはィリーガルモードを示すデー夕が記憶される。イリーガルモードに遷移すると、メモリコントローラ 62はダウン口ード処理を行わないので、不正な書込みを防止できる。

一方、ステップ S 231で "YES" の場合、つまり、ダウンロードモードへの遷移コマンドが正当なコマンドである場合には、メモリコントローラ 62は、ステップ S 2 35で、 DLセキュアモードからダウンロードモードに遷移する。モード記憶領域 30 0にはダウンロードモードを示すデータが記憶される。

また、ステップ S 237で、メモリコントローラ 62は、 d s CHG— MODEコマンドで指定されたブロックのみをアクセス可能状態にする。たとえば、メモリコント口ーラ 62は、フラッシュメモリ 64の各領域に対するアクセスの状態を示すデータにおいて、ダウンロード領域のメモリマップを指定ブロックのみに変更するとともに、当該ダウンロード領域のみについて、アクセス可能状態であることを示すデータを設定する。さらに、ステップ S 239で、メモリコントローラ 62は、インフォメーション領域 200の記憶領域 216からキ一 2を読み出して復号化し、キー 1に代えて内部 RAM 66の記憶領域 302に展開する。なお、キー 2の展開前に、キー記億領域 302からキー 1を消去しておく。

続いて、図 25のステップ S 241で、メモリコントローラ 62は、 d l RD— I F コマンドを受信したか否かを判断する。この d 1 RD— I Fコマンドは、暗号化された d s CHG— MODEコマンドの転送後に、 C P U 34によって発行されるので、このステップ S 241で当該 d 1 RD— I Fコマンドの受信を待機する。

ステップ S 241で "YES" の場合、つまり、乱数およびユニーク I Dを読むためのコマンドを受信した場合には、メモリコントローラ 62は、ステップ S 243で、乱数およびユニーク I Dをキ一 2で暗号化する。なお、メモリコントローラ 62は、記憶領域 304に乱数を発生し、インフォメーション領域 200の記憶領域 220からュニーク I Dを読み出す。そして、乱数およびユニーク I Dを記憶領域 302に展開されているキ一 2で暗号化する。ステップ S 245で、メモリコントローラ 62は、暗号化された乱数およびユニーク I Dを出力する。

続いて、ステップ S 247で、メモリコントローラ 62は、 d l PRT_〇FFコマンドを受信したか否かを判断する。 CPU34は、ステップ S 245で出力された暗号化された乱数およびユニーク I Dをサーバ 102に転送後に、この d 1 PRT— OFF コマンドを発行するので、ステップ S 247で当該コマンドの受信を待機する。

ステップ S 247で " YES" の場合、つまり、ライトプロテクトを解除するためのコマンドを受信した場合には、メモリコントローラ 62は、ステップ S 249でフラッシュメモリ 64のダウンロード領域 204に対するライトプロテクトをオフにする。具体的には、メモリコントローラ 62は、内部 RAM66の記憶領域 306に記憶されるライトプロテクトを示すフラグをオフにする。

続いて、ステップ S 251で、メモリコントローラ 62は、データ（暗号化された 2 KBy t e + 8By t eのデ一夕）を受信したか否かを判断する。このデータは、サ一バ 102から送信されたダウンロードデータである。また、受信データには、ゲーム装置 10の CPU34によって、書き込むページアドレスが追加されている。

ステップ S 251で " YES" の場合、メモリコントローラ 62は、ステップ S 25 3で、受信したデ一夕とページァドレスを内部 RAM 66のワークエリアに記憶する。一方、ステップ S 251で "NO" の場合、処理は図 26のステップ S 269に進む。続いて、ステップ S 255では、メモリコントローラ 62は、 dWR— PAGEコマンドを受信したか否かを判断する。この dWR— PAGEコマンドは、ゲーム装置 10 の CPU34によって、ダウンロードデータの転送後に発行されるので、ステップ S 2 55で当該 dWR— PAGEコマンドの受信を待機する。

ステップ S 255で" YES"の場合、つまり、書込みコマンドを受信した場合には、処理は図 26のステップ S 257に進む。ステップ S 257では、メモリコントローラ 62は、記憶領域 306のライトプロテクトがオフであるか否かを判断する。

ステップ S 257で "YES" の場合、つまり、ダウンロードしたデータの書込みが許可されている場合には、メモリコントローラ 62は、ステップ S 259で、受信したデータ（暗号化された 2KBy t e + 8By t eのデータ）をキー 2で復号化する。なお、受信したデータは、サーバ 102において、メモリカード 28のユニーク I Dに対応するキー 2で暗号化されている。この復号化によって、 2KBy t eのダウンロード用データおよび 8 By t eの MI Cを取得できる。続いて、ステップ S 261で、メモリコントローラ 62は、復号化した 2KBy t e のデータに対して、キー 3で 8 By t eの M I Cを算出する。なお、この MI C算出の際には、内部 RAM66に記憶されているユニーク I Dおよび乱数を初期値として使用する。また、算出用のキー 3は、記憶領域 302に記憶されているキ一2の一部（共用部分）とキー 3とによって構成される。

そして、ステップ S 263で、メモリコントローラ 62は、算出した M I Cが、復号匕した MI Cと一致するか否かを判断する。ステップ S 263で" N〇"の場合、つまり、ダウンロードしたデ一夕が不正なデータと認められる場合には、処理はステップ S 26 5へ進む。ステップ S 265では、メモリコントローラ 62は、書込みを実行しない。したがって、不正なデータがダウンロード領域 204に書込まれるのを防止できる。ステツプ S 265を終了すると、このダウンロード処理を終了する。

一方、ステップ S 263で "YES" の場合、つまり、ダウンロードしたデータが正規なデ一夕である場合には、メモリコントローラ 62は、ステップ S 267で、復号化した 2KBy t eのデータを、指定されたページに書き込む。

続いて、ステップ S 269で、メモリコントローラ 62は、 d 1 CHG— MODEコマンドを受信したか否かを判断する。この d 1 CHG— MODEコマンドは、ファイルの書込みが終了したか、または、 1ブロックの書込みが終了したときに、 CPU34によって発行される。ステップ S 269で "NO" の場合、処理は図 25のステップ S 2 51に戻る。したがって、ファイルの書込みが終了するか、または 1ブロックの書込みが終了するまでは、ダウンロードされた所定サイズ（2KBy t e) のデータのダウンロード領域 204への書込みが繰返される。

一方、ステップ S 269で " YES" の場合、つまり、ゲームモードに遷移させる遷移コマンドを受信した場合には、メモリコントローラ 62は、ステップ S 271で、ダゥンロードモードからゲームモードに遷移する。モード記憶領域 300には、ゲームモ ——ドを示すデータが記憶される。また、ステップ S 273で、メモリコントローラ 62 は、ステップ S 203と同様にして、ダウンロード領域 204およびゲーム領域 202 を読出しのみ可能状態にする。なお、ダウンロード領域のメモリマップが指定ブロックに変更されているので、インフォメーション領域 200に規定された各領域の境界デー夕（開始アドレス）に基づいて、ダウンロード領域 204を元に戻し、当該ダウンロード領域 204に対して読出しのみ可能状態を示すデータを設定する。

さらに、ステップ S 275で、メモリコントローラ 62は、インフォメーション領域 200の記憶領域 214から読み出したキー 1を復号化して、キー 2に代えて内部 R A M66のキー記憶領域 302にキ一 1を展開する。ステップ S 275を終了すると、処理はステップ S 207に戻る。ダウンロードするファイルの書込みが終了していない場合には、ダウンロード処理がゲームモードから再び実行されて、残りのデータの書込みが行われることとなる。

図 27から図 29には、ダウンロード処理におけるサーバ 102の動作の一例が示される。ダウンロード処理を開始すると、サーバ 102の CPUは、ステップ S 301で、ユニーク IDとゲーム IDとを受信したか否かを判断する。ダウンロード処理では、最初にゲーム装置 10からメモリカード 28のユニーク I Dとゲーム I Dとがネットヮ一ク 106を介して送信されるので、このステップ S 301でその受信を待機する。ステップ S 301で "YES" の場合、サーバ 102の CPUは、ステップ S 303 で、受信したユニーク I Dおよびゲーム I Dを RAMの記憶領域 404および記憶領域 406に記憶する。

続いて、ステップ S 305で、サーバ 102の CPUは、データ（暗号化された乱数およびユニーク I D)を受信したか否かを判断する。メモリカード 28の認証のために、最初のユニーク I Dの送信の後にゲーム装置 10から上記データが送信されるので、このステップ S 305でその受信を待機する。

ステップ S 305で "YES" の場合には、サーバ 102の CPUは、ステップ S 3 07で、受信したデータ（暗号化された乱数およびユニーク I D) を、ユニーク IDに対応するキ一 1で復号化する。具体的には、受信データは、メモリカード 28のメモリコントローラ 62によってキー 1で暗号化されているので、 CPUは、記憶領域 404 の最初に受信したユニーク IDに対応するキー 1、 2および 3をデータベースから読み出して、記憶領域 408に記憶する。そして、そのキー 1で受信データを復号化する。これによつて、乱数およびユニーク I Dを取得することができ、取得された乱数およびユニーク I Dは記憶領域 410に記憶される。

そして、ステップ S 309で、サーバ 102の CPUは、記憶領域 410に記憶された復号化されたユニーク I Dが、記憶領域 404に記憶された初めのユニーク I Dと一致するか否かを判断する。

ステップ S 309で " YES" の場合、つまり、メモリカード 28が正規のカードであると認められる場合には、サーバ 102の CPUは、ステップ S 311でメモリカード 28が正規カードであることを示すデータをネットワーク 106を介してゲーム装置 10に送信する。ステップ S 311を終了すると、処理は図 28のステップ S 315へ進む。

一方、ステップ S 309で "NO" の場合、つまり、メモリカード 28が正規のカードであるとは認められない場合には、サーバ 102の CPUは、ステップ S 313でメモリカード 28が正規力一ドではないことを示すデータをゲーム装置 10に送信する。そして、このダウンロード処理を終了する。

図 28のステップ S 315では、サーバ 102の CPUは、ステップ S 315でブロックアドレスを受信したか否かを判断する。ステップ S 311の送信に応じて、ゲーム装置 10からブロックアドレスが送信されるので、ステップ S 315でその受信を待機する。

ステップ S 315で " YES" の場合、サーバ 102の CPUは、ステップ S 317 で受信したブロックアドレスを記憶領域 412に記憶する。続いて、ステップ S 319 で、サーバ 102の CPUは、ブロックアドレスならびにユニーク I Dおよび舌し数を用いて、 d s CHG— MODEコマンドを生成する。この d s CHG— MOD Eコマンドは、ダウン口一ドモードに遷移させるための遷移コマンドである。 d s CHG— MOD Eコマンドにおいてはブロックアドレスが指定され、ダウンロードモードでは、この指定されたブロックアドレスへの書込みが可能にされることとなる。また、 d s CHG— MODEコマンドには、記憶領域 410の乱数およびユニーク I Dが含められる。また、ステップ S 321で、サーバ 102の CPUは、生成した d s CHG一 MOD Eコマンドを、ユニーク I Dに対応するキ一 1を用いて暗号化する。そして、ステップ S 323で、サーバ 102の CPUは、暗号化された d s CHG— MODEコマンドをゲーム装置 10に送信する。

続いて、ステップ S 325で、サーバ 102の CPUは、データ（暗号化された乱数およびユニーク ID) をゲーム装置 10から受信したか否かを判断する。メモリコントローラ 62はダウンロードモードに遷移すると、乱数およびユニーク I Dをキ一 2で暗号化してサーバ 102に送信するので、このステップ S 325でその受信を待機する。ステップ S 325で " YES" の場合、' つまり、上記デ一夕（暗号化された乱数およびユニーク I D)を受信した場合には、サーバ 102の CPUは、ステップ S 327で、受信したデータ（暗号化された乱数およびユニーク I D) を、ユニーク IDに対応するキ一2で復号化する。これによつて取得された乱数およびユニーク I Dは、記憶領域 4 10に記憶される。ステップ S 327を終了すると、処理は図 29のステップ S 329 へ進む。

図 29のステップ S 329では、サーバ 102の CPUは、書込みファイルを準備する。具体的には、データベースに記憶されたダウンロード用データから所定のデータを読み出して、 RAMの記憶領域 414に記憶する。書込みファイルは、たとえば、ュニーク I Dに対応するファイルであってよいし、ゲーム I Dに対応するファイルであってよいし、あるいは、ユニーク I Dやゲーム I Dによらない所定のファイルであってよい。ステップ S 331では、サーバ 102の CPUは、書込みファイルのファイルデ一夕量をゲーム装置 10に送信する。

続いて、ステップ S 333で、サーバ 102の CPUは、書込みファイルから所定サィズ（この実施例では 2KBy t e) のデータを取り出す。書込みファイルのデータは所定サイズごとに分けて送信される。

ステップ S 335で、サ一バ 102の CPUは、 2 KB y t eのデ一夕について、 8 67559

By t eの MI Cを、ユニーク I Dに対応するキー 3で算出する。なお、 M I C算出の初期値として、記憶領域 410の乱数およびユニーク I Dが使用される。続くステップ S 337で、サーバ 102の CPUは、 2KBy t eのデータに 8 By t eの M I Cを追加する。そして、ステップ S 339で、サーバ 102の CPUは、 2KBy t e + 8 By t eのデータを、ユニーク I Dに対応するキー 2で暗号化する。なお、暗号化の初期値として、記憶領域 410のユニーク I Dおよび乱数が使用される。ステップ S 34 1で、サーバ 102の CPUは、暗号化された 2KB y t e + 8 By t eのデータをゲーム装置 10に送信する。

続くステップ S 343で、サーバ 102の CPUは、ファイルの送信が終了したか、または、 1ブロックの送信が終了したかを判断する。なお、ファイルの送信か終了したかは、書込みファイルのデータ量とデータ送信量の累積とに基づいて判断することができる。ステップ S 343で" NO"の場合には、つまり、 1ブロックの送信が終了せず、または、ファイルの送信が終了していない場合には、処理はステップ S 333に戻って、所定サイズのデータの送信のための処理を繰返す。

一方、ステップ S 343で " YES" の場合には、サーバ 102の CPUは、ステツプ S 345でファイルの送信が終了したか否かを判断する。ステップ S 345で "NO" の場合、つまり、 1ブロック単位のデータの送信を終了したが書込みファイルのすべてのデータの送信を終えていない場合には、処理は図 27のステップ S 305に戻る。メモリコントローラ 62がゲームモードにある場合のダウンロード処理から繰返すことによって、次のブロックへのファイルの書込みを行う。一方、ステップ S 345で "YE S" であれば、ファイルの書込みを終了したので、ダウンロード処理を終了する。

バックアップ領域 206に対するセキュリティシステムとしてのゲーム装置 10のバックアップ処理の動作について図 30から図 33のフロー図を参照しながら説明する。図 30はバックアップ書込み処理におけるゲーム装置 10の動作の一例を示す。バックアップ領域 206への書込み処理を開始すると、ステップ S 401で、 CPU34は、書き込むデータを RAM42に準備する。この書き込むデータは、 CPU 34がゲーム処理で生成したバックアップデータであり、記憶領域 510に記憶される。

次に、ステップ S 403で、 CPU 34は、書き込むデータにパリティを付ける。図 15に示したように、この実施例では、各バイトデータが「7ビットのデータ」 + 「パリティビット（1ビット）」のフォーマツ卜となるようにして、パリティ付きデータが生成される。つまり、各バイ卜の先頭 7ビットは、生成されたバックアップデ一夕であり、最終ビッ卜に先頭 7ビットのパリティが追加される。生成されたパリティ付きデ一夕は、記憶領域 512に記憶される。

続いて、ステップ S 405で、 CPU 34は、バックアップ領域 206の空き領域を確認し、書き込むブロックアドレスを決定する。なお、フラッシュメモリ 64の記憶領域のうち、どの領域が使用され、またはどの領域が空き領域であるかなどの情報は、たとえばインフォメーション領域 200にヘッダ情報として記憶されているので、 CPU 34は当該ヘッダ情報に基づいてフラッシュメモリ 64の管理データを生成し、当該管理デ一夕に基づいて、バックアップ領域 206における空き領域を確保して、書き込むプロックアドレスを決定する。決定されたプロックアドレスは、記憶領域 514に記億される。

そして、ステップ S 407で、 CPU34は、 gCHG_BK_M〇DEコマンドをメモリカード 28に発行する。この gCHG_BK一 MODEコマンドは、バックアツプモードに遷移させるための遷移コマンドである。この遷移コマンドにおいて、書き込むブロックアドレスが指定される。なお、メモリコントローラ 62は、この遷移コマンドに応じてバックアップモードに遷移し、バックアップ領域 206のうち指定ブロックのみがアクセス可能にされる。

続くステップ S 409で、 CPU34は、パリティ付きデ一夕を書き込むためのライトコマンドをメモリカード 28に発行する。このライトコマンドは、書き込もうとしているパリティ付きデータを含む。上述のダウンロード領域 204への書込みの場合と同様に所定サイズずつデータが書き込まれるように、たとえば、ライトコマンドには所定サイズのデータを添付する。このライトコマンドに応じて、メモリコントローラ 62は、デ一夕をバックアツプ領域 206の指定プロックに書き込む。

そして、ステップ S411で、 CPU34は、用意したデータを全て書き終えたか、または、 1ブロックのデータを書き終えたかを判断する。なお、用意したデータ（パリティ付きデータ）の書込みか終了したかは、記憶領域 512に記憶したパリティ付きデ一夕のデータ量とライトコマンドによるデータ送信量の累積とに基づいて判断することができる。ステップ S 411で" NO"の場合には、処理はステップ S 409に戻って、ライトコマンドによる書込みを繰返す。

一方、ステップ S 411で " YES" の場合には、 CPU 34は、ステップ S413 で bCHG— MODEコマンドをメモリカード 28に発行する。この bCHG— MOD Eコマンドは、ノソクアツプモ一ドからゲームモードに遷移するための遷移コマンドである。なお、この遷移コマンドに応じて、メモリコントローラ 62はゲームモードに遷移する。

そして、ステップ S 415で、 CPU34は、用意したデータ（パリティ付きデータ）を全て書き終えたか否かを判断する。ステップ S 45で "N〇" の場合には、つまり、 1ブロックのデータを書き終えたが書込みしていないパリティ付きデータが残っている場合には、処理はステップ S 405に戻って、次のブロックへの書込みのための処理を実行する。一方、ステップ S 415で "YES" であれば、このバックァヅプ書込み処理を終了する。図 31はバックアップ読出し処理におけるゲーム装置 10の動作の一例を示す。バックアップ領域 206からの読出し処理を開始すると、ステップ S 501で、 CPU34 は、読み出すバックアップデータの格納場所を確認する。なお、読み出すバックアップデ一夕は、ユーザの操作またはプログラム等に従って選択される。各バックアップデー夕の格納場所に関する情報は、たとえばフラッシュメモリ 64のヘッダ情報に含まれる。次に、ステップ S 503で、 CPU 34は、読み出すブロックアドレスを決定する。読み出すバックアップデータの格納場所から、読み出すブロックアドレスを決定し、記憶領域 516に記憶する。

続いて、ステップ S 505で、 CPU34は gCHG— BK— MODEコマンドをメモリカード 28に発行する。この gCHG— BK— MODEコマンドは、バックアップモ一ドに遷移するための遷移コマンドである。この遷移コマンドではステップ S 503 で決定された読み出すブロックアドレスが指定される。この遷移コマンドに応じて、メモリコントローラ 62はバックアツプモードに遷移し、指定プロックのみァクセス可能にされる。

ステップ S 507では、 CPU34は、読み出すページアドレスを指定してリードコマンドをメモリカード 28に発行する。このリードコマンドは、データの読出しを指示するためのコマンドである。たとえば、指定されたページのデータの読出しを指示することができる。なお、このリードコマンドに応じて、メモリコントローラ 62は、指定ページのデ一夕をバックアップ領域 206から読み出す。そして、当該読み出したデー夕が正当なデータであれば、当該データが CPU34に出力される。

ステップ S 509では、 CPU34は、データをメモリカード 28から受信したか否かを判断する。上述のように、読み出したデータが正当であれば当該データが出力されるので、このステップ S 509では、その受信を待機する。なお、メモリコントローラ 62の読み出したデータが正当でないと判定される場合、ィリーガルモードに遷移してデータが出力されないので、このバックアップ読出し処理は正常に動作しなくなる。ステップ S 509で " YES" の場合には、 CPU 34は、ステップ S 511で、受信したデータ、すなわち読み出したデータを RAM42の記憶領域 518に記憶する。そして、ステップ S 513で、 CPU34は、読み出すデータをすベて読み出したか、または、 1ブロックの読出しが終了したかを判断する。なお、読み出すデータを全て読み出したかどうかは、読み出すデータのデータ量とリードコマンドによる読出しデ一夕量の累積とに基づいて判断することができる。ステップ S 513で" NO"の場合には、処理はステップ S 507に戻り、リードコマンドによる読出し処理を繰返す。

一方、ステップ S 513で " YES" の場合には、 CPU 34は、ステップ S 515 で、 bCHG— MODEコマンドをメモリカード 28に発行する。この bCHG— MO DEコマンドは、ゲームモ一ドに遷移するための遷移コマンドである。この遷移コマンドに応じて、メモリコントローラ 62はゲームモードに遷移する。

そして、ステップ S 517で、 CPU34は、読み出すデータを全て読み出したか否かを判断する。ステップ S 517で "NO" の場合、つまり、 1ブロックの読出しを終了したが読み出すべきデータが残っている場合には、処理はステップ S 503に戻って、次のブロックの読出しのための処理を実行する。一方、ステップ S 517で "YES" であれば、このバックアツプ読出し処理を終了する。

図 32および図 33はバックアップ処理におけるメモリコントローラ 62の動作の一例を示す。図 32のステップ S 601で、メモリコントローラ 62は、 gCHG一 BK —MODEコマンドを受信したか否かを判断する。この gCHG— BK— MODEコマンドは、バックアップモードへの遷移コマンドである。ステップ S 601で "NO" の場合、このバックアップ処理を終了する。

一方、ステップ S 601で " YES" の場合、メモリコントローラ 62は、ステップ S 603でゲームモードからバックアップモードに遷移する。内部 RAM 66のモード記憶領域 300にはバックアップモードを示すデータが記憶される。続くステップ S 6 05で、メモリコントローラ 62は、ノソクアップ領域 206のうち、 gCHG— BK — M〇 D Eコマンドで指定されたブロックのみをァクセス可能状態にする。たとえば、メモリコントローラ 62は、フラッシュメモリ 64の各領域に対するアクセスの状態を示すデータを内部 RAM 66に記憶しておき、当該データにおいて、バックアップ領域 206のメモリマップを指定ブロックのみに変更するとともに、当該バックアップ領域のみについて、アクセス可能状態であることを示すデータを設定する。

そして、メモリコントローラ 62は、バックアップモードで受信したコマンドに応じた処理を実行する。すなわち、ステップ S 607で、メモリコントローラ 62は、ライトコマンドを受信したか否かを判断する。ステップ S 607で "YES" の場合、メモリコントローラ 62は、ステップ S 609で、ライトコマンドとともに受信したデータを、遷移コマンドで指定されたバックアップ領域 206のブロックに書き込む。

ステップ S 609を終了し、または、ステップ S 607で " N〇" の場合、ステップ S 611で、メモリコントローラ 62は、 bCHG— MODEコマンドを受信したか否かを判断する。ステップ S 611で "YES" の場合、つまり、ゲームモードへの遷移コマンドを受信した場合には、メモリコントローラ 62は、ステップ S 613で、バックアップモードからゲームモードに遷移する。モード記憶領域 300には、ゲームモードを示すデ一夕を記憶する。続いて、ステップ S 615で、メモリコントローラ 62は、バックアップ領域 206をアクセス不可状態にする。たとえば、フラッシュメモリ 64 の各領域に対するアクセスの状態を示すデー夕において、バックアツプ領域のメモリマップを元に戻すととともに、当該バックアップ領域 206に対してアクセス不可能状態であることを示すデータを設定する。ステップ S 615を終了すると、このバックアツプ処理を終了する。

一方、ステップ S 6 1 1で " NO" の場合、図 3 3のステップ S 6 1 7で、メモリコントローラ 6 2は、リードコマンドを受信したか否かを判断する。ステップ S 6 1 7で "Y E S " の場合、メモリコントローラ 6 2は、ステップ S 6 1 9で、リードコマンドで指定されたページがアクセス可能なブロック内であるか否かを判断する。アクセス可能なブロックは、バックアップモードへの遷移コマンドで指定されたバックアツプ領域 2 0 6内のブロックである。この判定によって、適切な読出し指定が行われたデ一夕に対してのみ、パリティチェックを行うようにすることができ、不正な読出し命令を排除することができる。

ステップ S 6 1 9で " Y E S " の場合、メモリコントローラ 6 2は、ステップ S 6 2 1で、リードコマンドで指定されたページのパリティをチェックする。具体的には、メモリコントローラ 6 2は、指定されたページデータを内部 RAM 6 6のワークエリアに読出し、各バイトの先頭 7ビットのパリティを算出し、当該計算結果を各バイトの最終ビットと比較する。

そして、ステップ S 6 2 3で、メモリコントローラ 6 2は、パリティチェックの結果が正しいか否かを判断する。ステップ S 6 2 3で "Y E S " の場合、つまり、全バイトについて、算出されたパリティビットと最終ビットとが等しい場合には、メモリコントローラ 6 2は、ステップ S 6 2 5で、指定されたページのデータを C P U 3 4に出力する。

一方、ステップ S 6 2 3で "N O" の場合、つまり、算出されたパリティビットと最終ビットとが等しくないバイトが 1つでも検出された場合には、読み出そうとしているデータが不正であると認められるので、メモリコントローラ 6 2は、ステップ S 6 2 7 でィリーガルモードに遷移する。モード記憶領域 3 0 0にはィリーガルモードを示すデ一夕が記憶される。イリーガルモードに遷移すると、メモリコントローラ 6 2は、読み出したデータを出力しない。したがって、不正データが読み出されて利用されるのを防止できる。

なお、ステップ S 6 1 7で "N〇" の場合、ステップ S 6 1 9で "N O" の場合、またはステップ S 6 2 5を終了すると、処理は図 3 2のステップ S 6 0 7に戻る。

なお、上述の実施例では、ゲーム装置 1 0に装着可能なメモリカード 2 8のフラッシュメモリ 6 4にダウンロード領域 2 0 4を設けるようにしたが、他の実施例では、ゲーム装置 1 0のハウジング 1 6内にフラッシュメモリ 6 4を設けて、当該フラッシュメモリ 6 4にダウンロード領域 2 0 4を設けるようにしてもよい。その場合、メモリコントローラ 6 2もハウジング 1 6内に設けられる。また、バックアップ領域 2 0 6に関しても、同様に、ゲーム装置 1 0のハウジング 1 6内のフラッシュメモリ 6 4に設けるようにしてよい。なお、フラッシュメモリ 6 4をゲーム装置 1 0のハウジング 1 6に内蔵す P T/JP2007/067559 る場合、ユニーク I Dはゲーム装置 1 0の識別情報であってもよい。

また、上述の各実施例では、メモリカード 2 8ごとの暗号とするために、メモリカード 2 8のユニーク I Dに対応するキー 1、 2および 3を準備して、フラッシュメモリ 6 4およびサーバ 1 2に予め記憶するようにした。しかし、他の実施例では、ゲームタイトル（ゲームプログラム）またはアプリケーションの種類（アプリケーションプロダラム）ごとの暗号とするようにしてもよく、その場合には、ゲーム I D (アプリケーション I D) に対応するキー 1、 2および 3を準備して、フラッシュメモリ 6 4およびサーバ 1 2に予め記憶する。そして、暗号化および復号化の際には、ゲーム I Dに対応するキーを用いるようにする。

また、上述の各実施例では、フラッシュメモリ 6 4にダウンロード領域 2 0 4とバックアップ領域 2 0 6の 2つの書込み領域を設けて、一方のダウンロード領域 2 0 4に対してモード遷移と書込みデータの暗号化による段階的なセキュリティをかけ、他方のバックアップ領域 2 0 6に対しては書込みデータのフォ一マツトによってセキュリティをかけるようにしていた。しかし、他の実施例では、フラッシュメモリ 6 4にはいずれか一方の書込み領域のみを設けるようにしてよい。

この発明が詳細に説明され図示されたが、それは単なる図解および一例として用いたものであり、限定であると解されるべきではないことは明らかであり、この発明の精神および範囲は添付されたクレームの文言によってのみ限定される。

Claims

請求の範囲

1 . 所定の書込み領域を有する記憶手段、前記記憶手段の書込みと読出しを制御する制御手段、および前記制御手段に接続されるホストを含む、書込み領域セキュリティシステムであって、

前記ホストは、前記所定の書込み領域に記憶されたデータの読出し命令を前記制御手段に送信する命令送信手段を含み、

前記制御手段は、

前記読出し命令に応じて前記所定の書込み領域から読み出したデータが所定のフォ一マツ卜であるか否かを判定するフォーマツト判定手段、および

前記フォーマツト判定手段によって前記データが前記所定のフォーマツ卜であると判定されたときのみ、前記データを前記ホストに出力する出力手段を含む、書込み領域セキュリティシステム。

2 . 前記記憶手段は、第 1領域および第 2領域を有していて、

前記制御手段は、第 1遷移コマンドに応じて遷移された書込み可能なモードにおいてデータを前記第 1領域に書き込む第 1書込み手段をさらに含み、

前記フォーマツト判定手段は、前記所定の書込み領域としての前記第 2領域から読み出したデータに対してのみ、前記データが所定のフォーマツ卜であるか否かを判定する、請求項 1記載の書込み領域セキュリティシステム。

3 . 前記制御手段は、前記ホストから指定された読出しアドレスが前記所定の書込み領域のうちのアクセス可能な領域内であるか否かを判定するアドレス判定手段をさらに含み、

前記アドレス判定手段によって前記読出しアドレスが前記領域内であると判定されるとき、前記フォーマット判定手段は、読み出したデータが所定のフォーマットであるか否かを判定する、請求項 1記載の書込み領域セキュリティシステム。

4. 前記フォーマット判定手段は、前記読み出したデ一夕のパリティチェックによって判定を行う、請求項 1記載の書込み領域セキュリティシステム。

5 . 前記制御手段は、前記読み出したデータが前記所定のフォーマットではないと前記フォーマット判定手段によって判定されるとき、イリーガルモードに遷移する、請求項 1記載の書込み領域セキュリティシステム。

6 . 前記ホストは、パリティビットの付加されたデ一夕を生成する書込みデータ生成手段を含み、

前記制御手段は、前記書込みデータ生成手段によって生成されたデータを前記所定の書込み領域に書き込む第 2書込み手段を含む、請求項 1記載の書込み領域セキュリティシステム。

7 . 前記記憶手段は、前記第 1領域および前記第 2領域の境界データを記憶する、請求項 2記載の書込み領域セキュリティシステム。

8 .サーバおよび前記サーバからデータをダウンロードする情報処理装置を含んでいて、前記情報処理装置は、前記記憶手段、前記制御手段および前記ホストを含み、前記サーバは、

前記記憶手段の前記第 1領域に書込み可能なモードに前記制御手段を遷移させるための前記第 1遷移コマンドを前記情報処理装置に送信する遷移コマンド送信手段、および

ダウンロードするデータを前記情報処理装置に送信するデータ送信手段を含む、請求項 2記載の書込み領域セキュリティシステム。

9 . 前記サーバは、前記第 1遷移コマンドを暗号化する暗号化手段をさらに含み、前記遷移コマンド送信手段は、前記暗号化手段によつて暗号化された前記第 1遷移コマンドを送信し、

前記制御手段は、前記暗号化された第 1遷移コマンドを復号化する復号化手段をさらに含む、請求項 8記載の書込み領域セキュリティシステム。

1 0 . 前記第 1遷移コマンドは、前記ダウンロードするデータを書き込むために指定されたアドレスを含み、

前記制御手段は、前記第 1遷移コマンドに応じて前記第 1領域に前記書込み可能なモ一ドに遷移したとき、前記第 1領域のうち前記指定されたァドレスのみ書込み可能にする書込み可能化手段をさらに含む、請求項 8記載の書込み領域セキュリティシステム。

1 1 . 前記書込み可能化手段は、前記第 1領域のうち前記指定されたアドレスから一定範囲を書込み可能にする、請求項 1 0記載の書込み領域セキュリティシステム。

1 2 . 前記制御手段は、前記第 1領域に書込み可能なモードの 1つ前の段階で遷移される通常よりセキュリティ度の高いセキュアモードにおいて、暗号化された前記第 1遷移コマンドを前記復号化手段によつて復号化する、請求項 9記載の書込み領域セキュリティシステム。

1 3 . 前記サーバは、前記第 1遷移コマンドの暗号のための第 1キー、および前記第 1 キーと異なる前記ダウンロードするデータの暗号のための第 2キーを記憶し、

前記暗号化手段は、前記第 1キーを用いて前記第 1遷移コマンドを暗号化し、前記データ送信手段は、前記第 2キーを用いて暗号化された前記ダウンロードするデ —夕を送信し、

前記記憶手段は、前記第 1キーおよび前記第 2キーを記憶し、

前記復号化手段は、暗号化された前記第 1遷移コマンドを前記第 1キーを用いて復号化し、

前記第 1書込み手段は、前記第 1領域に書込み可能なモードにおいて、前記暗号化されたダウンロードするデータを前記第 2キーを用いて復号化して前記第 1領域に書き込む、請求項 9記載の書込み領域セキュリティシステム。

1 4. 前記サーバは、前記ダウンロードするデータのメッセージダイジェスト認証用の第 3キーをさらに記憶し、

前記データ送信手段は、前記第 3キーを用いて生成された認証記号を付加した前記ダゥンロードするデータを、前記第 2キーを用いて暗号化して、当該暗号化されたデータを送信し、

前記記憶手段は、前記第 3キーをさらに記憶し、

前記制御手段は、前記第 1領域に書込み可能なモードにおいて、前記暗号化されたデ一夕を前記第 2キーを用いて復号化し、

前記第 1書込み手段は、前記復号化したデータが前記第 3キーを用いて認証されたとき、当該データを前記第 1領域に書き込む、請求項 1 3記載の書込み領域セキュリティシステム。

1 5 . 前記第 3キーは、前記第 2キーの一部を置き換えることによって得られるキーである、請求項 1 4記載の書込み領域セキュリティシステム。

1 6 .前記記憶手段は、暗号化された前記第 1キーおよび前記第 2キーを記憶していて、前記制御手段は、前記セキュアモードに遷移したとき、暗号化された前記第 1キーを復号化して RAMに展開し、前記第 1領域に書込み可能なモードに遷移したとき、暗号化された前記第 2キーを復号化して RAMに展開する、請求項 1 2記載の書込み領域セキユリティシステム。

1 7 . 前記制御手段は、前記セキュアモードに遷移するための第 2遷移コマンドに応じて前記第 1キーを展開し、前記第 1遷移コマンドに応じて前記第 2キーを展開する、請求項 1 6記載の書込み領域セキュリティシステム。

1 8 . 前記ホストは、通常モードにおいて、前記制御手段に対するコマンドを、処理負担の比較的軽いアルゴリズムに従って暗号化する通常暗号化手段をさらに含む、請求項 8記載の書込み領域セキュリティシステム。

1 9 . 前記ホストは、前記制御手段に書込みを指示するための書込みコマンドを発行する書込み発行手段をさらに含み、

前記制御手段は、前記第 1領域に書込み可能なモードにおいて、前記書込みコマンドに応じて、前記ダウンロードするデータを前記第 1領域に書き込む、請求項 8記載の書込み領域セキュリティシステム。

2 0 . 前記記憶手段は、当該記憶手段の識別情報を記憶していて、

前記情報処理装置は、前記記憶手段に記憶された前記識別情報を前記サーバに送信する識別情報送信手段を含み、

前記サーバは、複数の前記識別情報に対応付けられた、前記第 1遷移コマンドの暗号のための複数の第 1キーを記憶していて、前記暗号化手段は、前記記憶手段の識別情報に対応する前記第 1キーを用いて、前記第 1遷移コマンドを暗号化する、請求項 9記載の書込み領域セキュリティシステム。

2 1 . 前記記億手段は、当該記憶手段に記憶されるアプリケーションプログラムの識別情報を記憶し、

前記サーバは、複数の前記識別情報に対応付けられた、前記第 1遷移コマンドの暗号のための複数の第 1キーを記憶していて、

前記暗号化手段は、受信した前記アプリケーションプログラムの識別情報に対応する前記第 1キーを用いて、前記第 1遷移コマンドを暗号化する、請求項 9記載の書込み領域セキュリティシステム。

2 2 . 前記記憶手段および前記制御手段は、装着可能な記憶媒体に設けられた、請求項 1記載の書込み領域セキュリティシステム。

2 3 . 所定の書込み領域を有する記憶手段とホストとを含む書込み領域セキュリティシステムにおいて用いられ、前記記憶手段に対する書込みと読出しを制御するメモリコン卜ローラであって、

前記ホストからの読出し命令に応じて前記所定の書込み領域から読み出したデータが所定のフォーマツ卜であるか否かを判定するフォーマツト判定手段、および

前記フォーマツト判定手段によって前記データが前記所定のフォーマツトであると判定されたときのみ、前記データを前記ホストに出力する出力手段を備える、メモリコントローラ。

2 4. 所定の書込み領域を有する記憶手段、前記記憶手段に対する書込みと読出しを制御する制御手段、および前記制御手段に接続されるホストを含む書込み領域セキユリティシステムにおけるセキュリティ方法であって、

前記制御手段が前記ホストからの読出し命令に応じて前記所定の書込み領域から読み出したデータは所定のフォーマツ卜であるか否かを判定するステップ、および

前記データが所定のフォーマツトであると判定されるときのみ、前記制御手段が前記ホストに前記データを出力するステツプを含む、セキュリティ方法。