專利名稱:服務(wù)執(zhí)行模塊的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種使用安全模塊的服務(wù)提供方法����,一種用于使用電子價值(electronic value)的系統(tǒng),一種使用方法���,一種程序���,一種裝置和一種其上記錄所述程序的存儲介質(zhì)�����,其中所述電子價值例如作為服務(wù)之一的電子票證的購買、使用和傳送(transfer)�����。
背景技術(shù):
為了安全地提供移動服務(wù)�,存在一種技術(shù),即向蜂窩電話��、PDA插入一個安全元件(SE)以改善安全性����,所述安全元件是抗干擾安全模塊,諸如IC芯片等���。作為通過被插入蜂窩電話而被使用的IC芯片的示例����,操作員傳統(tǒng)上在例如用于GSM的SIM的情況下執(zhí)行發(fā)放和管理�����。而且,在WAP(無線應(yīng)用協(xié)議)中���,具有被稱為WIN(WAP標(biāo)識符模塊)的簽字功能的安全模塊的規(guī)格被公布于眾��。作為WIN的安裝方法之一�,存在一種模式�����,即其中WIM被安裝在作為SIM的同一芯片上的SWIN�,并且對于這個情況,操作員也可能執(zhí)行發(fā)放和管理�。
在此,電子票證服務(wù)被主要劃分成兩種類型��。一種是如下的發(fā)出電子票證的系統(tǒng)���,它預(yù)先包括插入到其中的蜂窩電話����、PDA和SE的保密信息本身����,另一種是如下的發(fā)出電子票證的系統(tǒng)�����,它不包括這些器件本身的保密信息(例如�����,NEC,新聞稿(2002年10月3日)���,2003年1月14日搜索的用于移動(mobile)��、移動電子票證和會員卡服務(wù)基礎(chǔ)的基本技術(shù)�,因特網(wǎng)<統(tǒng)一資源定位符http//www.nec.co.jp/press/ja/0210/0303-01.html�,http//www.nec.co.jp/press/ja/0210/0303-06.html,http//www.nec.co.jp/press/ja/0210/0303-07.html>)����。
在票證的傳送和存儲的操作中,在這些電子票證服務(wù)系統(tǒng)之間存在很大差別��。
首先���,對于傳送���,因為前者包括在票證中的SE特有的信息����,因此需要在將所述信息傳送給其它的情況下執(zhí)行由服務(wù)器進行的諸如重新發(fā)放的處理�����。與此相比較�,后者可以不經(jīng)由服務(wù)器來在線執(zhí)行傳送。
接著�����,對于存儲�,在前者的情況下,在票證中包括SE專用的信息��,并且即使第三人簽封了票證數(shù)據(jù)�,他/她也不能在沒有SE的情況下執(zhí)行穿孔處理,從而導(dǎo)致僅僅可能防止SE擁有者的非法復(fù)制�����。為此,以如下的方式來加入一個檢測SE處理器的非法復(fù)制的裝置�,即在穿孔時間在對于票證要穿孔的TRM中存儲正確票證數(shù)據(jù)的散列值,因此使得有可能不加密而存儲票證數(shù)據(jù)�。在后者的情況下,因為這可以用于除了SE擁有者之外的人���,因此必須加密票證數(shù)據(jù)以將票證存儲到存儲器中��。
但是�,其中留下下列問題��。即��,首先��,因為諸如SE的抗干擾安全模塊是昂貴的�,因此存在當(dāng)SE被安裝在蜂窩電話和PDA上以證明服務(wù)時共享SE發(fā)放成本的問題��。當(dāng)服務(wù)提供者承受發(fā)放成本時�����,需要一個防止未承受所述成本的服務(wù)提供者使用SE的系統(tǒng)����。而且�,需要可以由除了操作員之外的人自由地進行SE的發(fā)放和管理的商業(yè)模型����。
第二,當(dāng)服務(wù)管理器向服務(wù)提供者提供對SE的訪問時����,存在一個問題,即對SE的訪問必須限于與服務(wù)相關(guān)的每個部分����。例如,需要一個系統(tǒng)�,它限制處理的權(quán)利,以便作為票證穿孔機從服務(wù)管理器接收許可的一個實體可以接收票證穿孔服務(wù)�����,但是不能發(fā)放一個新的票證���。
第三���,為了防止第三個人非法地使用可以本地傳送的電子票證����,票證數(shù)據(jù)必須被加密和存儲到除了諸如SE的抗干擾器之外的存儲器��。為此����,每次當(dāng)執(zhí)行存儲、顯示和使用的時候需要解碼�,并且與所有處理時間相關(guān)地花費與解碼相對應(yīng)的額外時間。另外�,在其中不需要在除了諸如SE的抗干擾器之外的存儲器加密票證數(shù)據(jù)的現(xiàn)有技術(shù)中,存在一個發(fā)放其中包括SE內(nèi)在信息的票證的系統(tǒng)�。但是,這個系統(tǒng)具有一個問題�,即必須在傳送時經(jīng)由服務(wù)器接收重新發(fā)放�。
第四,為了改善在票證發(fā)放時間的支付處理的負(fù)荷分配�����,必須當(dāng)首先分發(fā)一個編號的票證和進行支付時發(fā)放和管理兩種數(shù)據(jù)��,其后發(fā)放一個票證。
第五�,當(dāng)遠(yuǎn)程執(zhí)行傳送處理時,必須通過電話�����、郵件和傳真等來發(fā)送票證的內(nèi)容�����,以便告訴在通信的另一端的一方期望傳送什么票證���。
第六���,在安全模塊的功能中有改進的情況下,必須改變在服務(wù)器端的系統(tǒng)����。服務(wù)器端需要可以支持具有不同性能的器件的協(xié)議。
發(fā)明內(nèi)容
本發(fā)明的一個目的是提供一種服務(wù)執(zhí)行模塊�����,它用于一種安全移動服務(wù)系統(tǒng)中�����,所述安全移動服務(wù)系統(tǒng)包括利用安全元件來限制對安全元件的訪問的裝置。而且�����,本發(fā)明的另一個目的是提供使用這個安全移動服務(wù)系統(tǒng)的具有可擴縮性的票證服務(wù)�。
為了實現(xiàn)上述目的,按照本發(fā)明���,提供了一種服務(wù)執(zhí)行模塊���,它是存儲用于執(zhí)行服務(wù)的信息的模塊,其中所述模塊包括抗干擾存儲介質(zhì)��;比較服務(wù)應(yīng)用存儲裝置�,用于存儲用以執(zhí)行服務(wù)的應(yīng)用;服務(wù)管理器證書存儲裝置���,用于存儲服務(wù)管理器證書��,這是管理所述服務(wù)的服務(wù)管理器的證書;服務(wù)項目存儲裝置��,用于存儲服務(wù)項目,所述服務(wù)項目是執(zhí)行所述服務(wù)所需要的信息��。
即���,按照本發(fā)明����,首先����,服務(wù)管理器的證書被存儲到SE和銷售,并且僅僅具有其中可以由所述證書驗證的簽字的一個證書的服務(wù)服務(wù)器可以利用SE的服務(wù)專用的一個區(qū)域來提供服務(wù)�。即使當(dāng)在SE上產(chǎn)生一個新的服務(wù)區(qū)域的時候,使用用于這個目的的服務(wù)管理器的證書��。這使得有可能防止第三人使用SE來提供這個服務(wù)��。
在上述的結(jié)構(gòu)中�����,“抗干擾”指示(物理地)保證在軟件和硬件上的安全(安全性)的裝置�,一個抗干擾模塊對應(yīng)于作為在社會上使用的IC卡的IC卡。上述結(jié)構(gòu)可以被解釋如下�����。即,在軟件方面�,使得對于在IC芯片的存儲區(qū)域中的數(shù)據(jù)的軟件類型的訪問不可能,除非存在法律上的保證��,以便可以實現(xiàn)安全性��。而且�����,在硬件方面����,對于對例如IC芯片的硬件類型的訪問,諸如所述卡被分解并且一條信號線連接到存儲器區(qū)域以讀取數(shù)據(jù)的強制行為�,在存儲器中的數(shù)據(jù)被刪除或數(shù)據(jù)被自動破壞以便使得不可能非法地獲得數(shù)據(jù),從而可以實現(xiàn)安全性���。
第二���,在SE中提供了一個通信伙伴存儲區(qū)域以使得有可能限制對于由在證書中所述的服務(wù)管理器所識別的每個角色的可執(zhí)行處理。在通信的開始�����,驗證通信伙伴的證書����,并且由所述證書所指定的角色被存儲到在SE中提供的通信伙伴存儲區(qū)域中。當(dāng)從ME(mobile element)(諸如蜂窩電話和PDA等的移動元件)接收到一個處理請求時�����,SE判斷是否這可以參照通信伙伴存儲區(qū)域的值來被執(zhí)行��。
第三���,在SE中專用于所述服務(wù)的區(qū)域中提供了一個服務(wù)項目登記區(qū)域�。而且����,提供了如下的協(xié)議,即不與簽字交換消息就不能執(zhí)行服務(wù)��,以便利用服務(wù)項目登記區(qū)域的數(shù)據(jù)來執(zhí)行服務(wù)��。
第四�,提供了如下的處理協(xié)議����,即沒有在SE中提供的服務(wù)項目登記區(qū)域中登記的登記數(shù)據(jù)就不能使用票證�����。為此����,例如,在票證處理中�����,編號的票證和票證數(shù)據(jù)可以是相同的����。因為除非執(zhí)行一個正確的登記協(xié)議以便在支付處理之后執(zhí)行在SE中提供的對票證登記區(qū)域(服務(wù)項目登記區(qū)域)的登記,否則票證無效���,因此編號的票證的發(fā)放和管理是不必要的��。
第五���,提供了如下的處理協(xié)議����,即每個都具有正確證書的多個SE與SE的簽字相互交換消息���,并且不能使用除了被登記到在SE中提供的票證登記區(qū)域中的票證之外的票證,因此有可能將票證數(shù)據(jù)附加到郵件上并且在傳送處理之前將其發(fā)送到傳送伙伴�����。所述伙伴可以顯示票證數(shù)據(jù)以確認(rèn)整體內(nèi)容����,并且確定是否應(yīng)當(dāng)購買這個票證。
第六�,提供了如下的協(xié)議,即安全性不僅僅通過加密整個消息來保證�,還使用服務(wù)項目登記區(qū)域和簽名功能來進行處理。為此���,通過提高SE的速度��、提高容量和降低成本來改變與ME共享的處理��,使得有可能不改變其來支持在服務(wù)服務(wù)器端的服務(wù)系統(tǒng)�����。
圖1是圖解通過建模的���、按照本發(fā)明的實施例1的使用SE的安全移動服務(wù)系統(tǒng)的示意結(jié)構(gòu)的方框圖��;圖2是按照本發(fā)明的實施例1的�����、服務(wù)管理器發(fā)放的SE的模型圖���;圖3是按照本發(fā)明的實施例1的、向所發(fā)放的SE添加服務(wù)區(qū)域的服務(wù)的模型圖��;圖4是按照本發(fā)明的實施例1的����、在服務(wù)管理器執(zhí)行票證服務(wù)的管理的情況下的模型圖;圖5是圖解按照本發(fā)明的實施例2的SE驗證處理消息的示例的視圖����;圖6是圖解按照本發(fā)明的實施例2的、在SE執(zhí)行服務(wù)服務(wù)器的驗證的情況下的消息的示例的視圖;圖7是圖解按照本發(fā)明的實施例2的���、在SE和服務(wù)服務(wù)器執(zhí)行相互驗證的情況下的消息的示例的視圖��;圖8是圖解按照本發(fā)明的實施例2的���、使用公鑰加密的服務(wù)器驗證處理的消息示例的視圖;圖9是圖解按照本發(fā)明的實施例2的����、使用公鑰加密的相互驗證的消息示例的視圖����;圖10是按照本發(fā)明的實施例3的安全移動服務(wù)系統(tǒng)的票證服務(wù)中使用的票證數(shù)據(jù)的模型圖;圖11是按照本發(fā)明的實施例3的票證存儲的模型圖�;圖12是圖解按照本發(fā)明的實施例3的、與發(fā)放服務(wù)器對應(yīng)的SE的消息示例的視圖��;圖13是圖解按照本發(fā)明的實施例3的下載處理的消息示例的視圖�;圖14是圖解按照本發(fā)明的實施例3的、使用確認(rèn)消息與簽名的下載處理的消息示例的視圖����;圖15是按照本發(fā)明的實施例3的、使用交付密鑰的下載處理的消息示例的視圖;圖16是圖解按照本發(fā)明的實施例3的����、使用公鑰加密的下載處理的消息示例的視圖;圖17是圖解按照本發(fā)明的實施例3的登記證明處理的消息示例的視圖����;圖18是圖解按照本發(fā)明的實施例3的票證穿孔處理的消息示例的視圖;圖19是圖解按照本發(fā)明的實施例3的�、在被檢查之前的票證的模型圖;圖20是按照本發(fā)明的實施例3的��、在SE之間的票證移動的SE的消息示例的視圖�;圖21是圖解按照本發(fā)明的實施例3的、在SE之間的票證移動處理的消息示例的視圖�����;圖22是圖解按照本發(fā)明的實施例3的����、使用公鑰加密的在SE之間的票證移動處理的消息示例的視圖;圖23是圖解按照本發(fā)明的實施例4的�����、安全移動服務(wù)系統(tǒng)的服務(wù)器驗證和票證下載處理和混合處理的消息示例的視圖;圖24是圖解按照本發(fā)明的實施例4的���、服務(wù)器驗證處理和票證穿孔處理的混合消息示例的視圖�����;圖25是圖解按照本發(fā)明的實施例4的���、在SE之間的相互票證處理和票證移動處理的混合消息示例的視圖;圖26是圖解按照本發(fā)明的實施例5的����、使用具有低處理能力的SE的服務(wù)器驗證處理和在安全移動服務(wù)系統(tǒng)中的下載處理的混合消息示例的視圖�;圖27是圖解按照本發(fā)明的實施例5的、使用具有低處理能力的SE的服務(wù)器驗證處理和票證穿孔處理的混合消息示例的視圖���;圖28是圖解按照本發(fā)明的實施例5的�、在SE之間的使用具有低處理能力的SE的相互驗證處理和票證移動處理的混合消息示例的視圖�����;圖29是圖解按照本發(fā)明的實施例6的�、安全移動服務(wù)系統(tǒng)的票證下載處理的消息示例的視圖����;圖30是圖解按照本發(fā)明的實施例6的��、票證穿孔處理的消息示例的視圖�����;圖31是圖解按照本發(fā)明的實施例6的�、票證移動處理的消息示例的視圖;圖32是圖解按照本發(fā)明的實施例7的��、與圖29對應(yīng)的票證下載處理的消息示例的視圖�;圖33是圖解按照本發(fā)明的實施例7的、與圖30對應(yīng)的票證穿孔處理的消息示例的視圖���;圖34是圖解按照本發(fā)明的實施例7的����、與圖31對應(yīng)的票證移動處理的消息示例的視圖���;圖35是在本發(fā)明的實施例8中的下載處理的說明視圖�;圖36是圖解按照本發(fā)明的實施例8的票證證明處理的說明視圖�����;圖37是按照本發(fā)明的實施例8的票證穿孔處理的說明視圖;圖38是按照本發(fā)明的實施例8的票證穿孔處理(退出處理)的說明視圖���;圖39是按照本發(fā)明的實施例8的票證移動處理的說明視圖��;圖40是按照本發(fā)明的實施例9的通信伙伴管理功能處理的說明視圖�;圖41是按照本發(fā)明的實施例9的差錯恢復(fù)處理的說明視圖��。
具體實施例方式
下面將參照附圖來具體說明本發(fā)明的實施例��。
<實施例1>
將依序給出對下列的說明作為工作示例1的SE的發(fā)放模型��,作為工作示例2的SE的驗證系統(tǒng)和服務(wù)服務(wù)器��,作為工作示例4的與驗證綜合的票證服務(wù)�����,作為工作示例5的在使用具有低處理能力的SE的情況下的票證服務(wù)�����。實施例1將使用圖1-圖4說明在安全移動服務(wù)系統(tǒng)中的SE的發(fā)放模型��。圖1是圖1是圖解通過建模的�、按照本發(fā)明的實施例1的安全移動服務(wù)系統(tǒng)的示意結(jié)構(gòu)的方框圖。諸如蜂窩電話和PDA的移動器件ME100包括ME服務(wù)應(yīng)用102�����、SE101和服務(wù)數(shù)據(jù)存儲區(qū)域109����,其中SE101是具有加密處理功能和簽字處理的抗干擾模塊。
另外�����,對于在SE101和服務(wù)數(shù)據(jù)存儲區(qū)域109之間的關(guān)系�����,它們的任何一種/兩者可以是可附接的和可卸除的����,并且它們的任何一種/兩者可以具有兩個或更多。而且��,它們不可以物理地存在于同一介質(zhì)中�。
進一步����,對于其間的數(shù)據(jù)交換��,當(dāng)在同一介質(zhì)中物理地存在101和109時,即使經(jīng)由諸如ME服務(wù)應(yīng)用102的外部部分來執(zhí)行發(fā)送和接收�����,也可以經(jīng)由外部部分來執(zhí)行發(fā)送和接收�����,或者可以不經(jīng)由外部部分而直接執(zhí)行發(fā)送和接收����。而且,按照本發(fā)明�,任何服務(wù)數(shù)據(jù)存儲區(qū)域109都是不可能的。
SE101包括執(zhí)行和管理具體服務(wù)的服務(wù)區(qū)域103����。SE101存儲用于簽字的加密密鑰對104。所述加密密鑰對104可以是對于SE101公用的����,或指定給服務(wù)區(qū)域103。服務(wù)區(qū)域103存儲服務(wù)管理器證書105�,這是管理服務(wù)區(qū)域103的服務(wù)的服務(wù)管理器的證書。服務(wù)管理器證書105可以是對SE101公用的�,或?qū)Ψ?wù)區(qū)域103特定的。SE證書110是這樣一個證書�,它是當(dāng)SE期望執(zhí)行特定服務(wù)時從服務(wù)管理器113被獲得的,并且它是在服務(wù)執(zhí)行時間的驗證所需要的�����。
在此���,對于在服務(wù)管理器證書105����、SE證書和服務(wù)區(qū)域103之間的關(guān)系�,根據(jù)服務(wù)的形式可能有各種組合。換句話說�����,當(dāng)SE擁有者僅僅登記一個服務(wù)時���,服務(wù)區(qū)域103的數(shù)量是1(當(dāng)如后所述不存在區(qū)域增加的可能性時[圖3])����,并且在這種情況下,不可提供任何SE證書110�����。同時��,當(dāng)?shù)怯浂鄠€服務(wù)時�����,呈現(xiàn)了多個服務(wù)區(qū)域103��,并且105和110的組合可以指定每個服務(wù)����。在這個情況下,當(dāng)由發(fā)放服務(wù)管理器證書105的服務(wù)管理器管理的服務(wù)的數(shù)量僅僅是1的時候��,不可提供任何SE證書110�����。同時,即使對于同一服務(wù)管理器管理的服務(wù)�����,也可以提供一個不同的服務(wù)管理器證書105�。
SE服務(wù)應(yīng)用106執(zhí)行與ME服務(wù)應(yīng)用102的通信����,并且執(zhí)行服務(wù)服務(wù)器111的驗證和對服務(wù)項目登記區(qū)域108的數(shù)據(jù)處理,所述服務(wù)項目登記區(qū)域108由每個服務(wù)處理定義��。所述服務(wù)項目登記區(qū)域108是用于向服務(wù)區(qū)域103登記特定信息的區(qū)域��。
通信伙伴存儲區(qū)域107是這樣的一個區(qū)域����,其中在SE服務(wù)應(yīng)用106執(zhí)行服務(wù)處理之前執(zhí)行服務(wù)服務(wù)器的驗證,并且存儲由服務(wù)服務(wù)器擁有的服務(wù)服務(wù)器證書驗證的值���。
SE服務(wù)應(yīng)用106在執(zhí)行作為服務(wù)處理的服務(wù)項目登記區(qū)域108的數(shù)據(jù)操作之前�����,確認(rèn)是否參照通信伙伴存儲區(qū)域107的值來許可處理����。
服務(wù)管理器113發(fā)放這個SE并且管理要利用SE101提供的服務(wù)。服務(wù)服務(wù)器111從服務(wù)管理器113獲得一個服務(wù)服務(wù)器證書112�����,并且向SE101提供服務(wù)�。服務(wù)服務(wù)器111和ME100雖然可以執(zhí)行電纜通信,但是也可以利用無線電公共網(wǎng)絡(luò)或諸如IrDA�、藍(lán)牙之類的本地?zé)o線電技術(shù)來執(zhí)行無線電通信。作為服務(wù)服務(wù)器111的示例����,有POS終端、公用電話亭終端�、自動販賣機、在網(wǎng)絡(luò)上的虛擬商店和票證穿孔機等等�����。
以這種方式�,在獲得對服務(wù)項目登記區(qū)域108的訪問之前,SE服務(wù)應(yīng)用106執(zhí)行引用存儲由服務(wù)證書認(rèn)可的權(quán)利的���、通信伙伴存儲區(qū)域107的值的驗證處理�����,并且僅僅當(dāng)存在匹配時執(zhí)行處理���,以便僅僅具有由服務(wù)管理器113發(fā)放的服務(wù)證書的服務(wù)服務(wù)器可以利用SE101的服務(wù)項目存儲區(qū)域108來執(zhí)行安全服務(wù)��。
圖2圖解了由服務(wù)管理器113發(fā)放的SE101的模型圖。服務(wù)管理器113可以管理多個服務(wù)(201�����、202和203)��。與各個服務(wù)相關(guān)地����,有可能按照在服務(wù)中的角色來發(fā)放多種服務(wù)服務(wù)器證書112。在SE101中提供了對于各個服務(wù)指定的服務(wù)區(qū)域(103a���,103b����,103c)以用于各個服務(wù)��。可以發(fā)放具有多個服務(wù)區(qū)域(103a����,103b,103c)的SE 101�����?����?梢杂煞?wù)區(qū)域103發(fā)放SE證書110����。可以由服務(wù)區(qū)域103加密密鑰對104�����。服務(wù)管理器證書105和加密密鑰對104可以是對SE101公用的���。而且��,不可根據(jù)服務(wù)來提供任何SE證書110��。
因此����,通過提供限制可以獲得對在SE101上的服務(wù)項目登記區(qū)域108的訪問的服務(wù)服務(wù)器111的功能,服務(wù)管理器113向服務(wù)服務(wù)器111發(fā)放服務(wù)服務(wù)器證書112�,并且服務(wù)服務(wù)器111可以共享SE發(fā)放和管理成本。
圖3圖解了這樣一個服務(wù)的實施例��,對于這個服務(wù)�����,服務(wù)管理器113在所發(fā)放的SE101上添加服務(wù)區(qū)域103���。假定服務(wù)管理器113d管理一個區(qū)域增加服務(wù)301和其它服務(wù)(302,303)�。服務(wù)管理器113d可以僅僅向SE101建立區(qū)域增加服務(wù)301并且銷售它,或增加區(qū)域增加服務(wù)301和諸如服務(wù)303之類的多個其它服務(wù)并且銷售它們����。例如,當(dāng)已經(jīng)購買了這個SE101的一個用戶經(jīng)由網(wǎng)絡(luò)獲得對服務(wù)管理器113d的訪問并且對服務(wù)E302進行應(yīng)用時���,SE101利用區(qū)域增加服務(wù)管理器證書105�,經(jīng)由SE區(qū)域增加服務(wù)應(yīng)用106a,驗證服務(wù)管理器����,并且當(dāng)這是正確的時候,新產(chǎn)生一個服務(wù)E區(qū)域103e���。
以這種方式����,作為SE服務(wù)應(yīng)用106之一�����,在發(fā)放時提供用于執(zhí)行用以增加服務(wù)的處理的應(yīng)用(SE區(qū)域增加服務(wù)應(yīng)用106a)����,使得服務(wù)管理器113有可能在發(fā)放之后經(jīng)由網(wǎng)絡(luò)向SE101安全地增加和產(chǎn)生服務(wù)區(qū)域103。結(jié)果���,服務(wù)管理器靈活地發(fā)放SE101�����。因為用戶可以在以后僅僅增加一個必要的服務(wù)��,因此改善了方便性�。而且,因為服務(wù)服務(wù)器可以向用戶已經(jīng)擁有的SE101增加一個以后開始的服務(wù)�����,因此擴展了市場��。
圖4是在服務(wù)管理器執(zhí)行票證服務(wù)的管理的情況下的模型圖�����。提供票證服務(wù)的服務(wù)管理器113g以票證服務(wù)區(qū)域103g來發(fā)放票證服務(wù)SE101g�����。而且�,發(fā)放了三種服務(wù)服務(wù)器證書112�,包括用于票證發(fā)放器的發(fā)放服務(wù)器證書112g-2;用于票證穿孔機的票證穿孔機證書112g-1��;用于SE的SE證書110g�����。在此,SE表示可以執(zhí)行用于在SE之間移動票證的處理的SE����。在需要在SE之間移動票證的情況下,可能不發(fā)放SE票證110g���。
當(dāng)從服務(wù)管理器113g獲得票證穿孔機證書112g-1的時候���,票證穿孔機111g-1可以僅僅對SE101g的票證登記區(qū)域108a執(zhí)行與票證穿孔有關(guān)的處理。當(dāng)從服務(wù)管理器113g獲得發(fā)放服務(wù)器證書112g-2時��,發(fā)放服務(wù)器111g-2可以僅僅對SE101g的票證登記區(qū)域108a執(zhí)行下述處理�����,包括發(fā)放新票證�、交換票證和退回。當(dāng)從服務(wù)管理器113g獲得SE證書110g時�����,SE101g可以僅僅對由SE證書110g擁有的SE101g執(zhí)行與票證移動有關(guān)的處理�。
以這種方式,有可能將對SE101g的票證登記區(qū)域108g的訪問僅僅限制到從服務(wù)管理器發(fā)放的發(fā)放服務(wù)器證書112g-2、票證穿孔機證書112g-1和SE證書110g����。而且,對于多個角色中的每個發(fā)放服務(wù)服務(wù)器證書112��,使得有可能按照本發(fā)明的在服務(wù)中的角色來將處理限制到票證登記區(qū)域108g�����。而且�,服務(wù)管理器113g可以按照要發(fā)放的服務(wù)服務(wù)器證書112的種類來執(zhí)行靈活的管理,諸如發(fā)放費用的改變���。
<實施例2>
實施例2參照圖5-9來說明SE101和服務(wù)服務(wù)器111的驗證的結(jié)構(gòu)����。
圖5是圖解SE驗證處理消息的示例的視圖�����。這個驗證處理消息主要被劃分成三種�,即“驗證開始”����、“驗證執(zhí)行”和“通信結(jié)束”�����。當(dāng)驗證在驗證執(zhí)行成功時���,由服務(wù)服務(wù)器證書112驗證的權(quán)利被存儲到通信伙伴存儲區(qū)域107。在通信結(jié)束時��,刪除通信伙伴存儲區(qū)域107的值����。
以這種方式,用于訪問服務(wù)項目登記區(qū)域108的服務(wù)特有的服務(wù)處理和驗證處理被彼此分離�,使得有可能在具有多個服務(wù)區(qū)域103的SE101的情況下共享驗證處理和執(zhí)行有效的安裝。
圖6是在SE101執(zhí)行服務(wù)服務(wù)器的驗證的情況下的消息的示例的視圖�。在這個驗證處理操作中,首先在(1)中��,當(dāng)ME100向SE101發(fā)送請求開始驗證的消息Start Access(開始訪問)時��,在(2)中SE101產(chǎn)生一個隨機數(shù)Challenge(詢問)并且將其發(fā)送回ME100�����。在(3)中,ME100向服務(wù)服務(wù)器111發(fā)送所述隨機數(shù)Challenge���。在(4)中��,服務(wù)服務(wù)器111對隨機數(shù)Challenge(Sign_SErver(Challenge))簽字���,并且用服務(wù)器證書112(Cert_SErver)將被簽字的隨機數(shù)Chanllenge(Sign_SErver(Challenge))發(fā)送到ME100。在(5)中�����,ME100向SE101發(fā)送從服務(wù)服務(wù)器111接收的Sign_SErver(Challenge)和Cert_SErver�����。已經(jīng)從服務(wù)服務(wù)器111接收到Sign_SErver(Challenge)和Cert_SErver的SE101利用服務(wù)管理器證書105驗證Cert_SErver以驗證Challenge的簽字和值����,并且當(dāng)它們正確時,SE101向通信伙伴存儲區(qū)域107存儲由Cert_Server驗證的服務(wù)服務(wù)器111的權(quán)利�。其后,在(6)中����,SE101向ME100發(fā)送報告處理結(jié)果的消息。在(7)中�,ME100可以向服務(wù)服務(wù)器111確認(rèn)驗證結(jié)果。其后���,執(zhí)行服務(wù)特有的處理��。當(dāng)服務(wù)的處理結(jié)束或在通信中有連接斷開時�����,在(E1)�����,ME100發(fā)送指示通信結(jié)束的消息����。與此相反��,SE101刪除通信伙伴存儲區(qū)域107的值并且在(E2)向ME100確認(rèn)處理結(jié)果��。
圖7是圖解在SE101和服務(wù)服務(wù)器111執(zhí)行相互驗證的情況下的消息的示例的視圖���。
這個相互驗證處理操作與圖6的直到(3)的部分相同����。在(4)中,服務(wù)服務(wù)器111除了Sign_SErver(Challenge)和Cert_SErver之外��,還向ME100發(fā)送隨機數(shù)Challenge_2�����。在(5)中��,ME100向SE101發(fā)送從服務(wù)服務(wù)器111接收的隨機數(shù)Challenge_2�、Sign_SErver(Challenge)和Cert_SErver。已經(jīng)接收了這些參數(shù)的SE101利用服務(wù)管理器證書105來驗證Cert_SErver����,以便驗證Challenge的簽字和值,并且當(dāng)它們正確時��,SE101向通信伙伴存儲區(qū)域107存儲由Cert_Server驗證的服務(wù)服務(wù)器111的權(quán)利���。另外在(6)中�����,服務(wù)服務(wù)器111對隨機數(shù)Challenge_2(Sign_SErver(Challenge_2))進行簽字�,并且利用SE證書110(Cert_SE)將其向ME 100發(fā)送。在(7)中�,ME100向服務(wù)服務(wù)器111發(fā)送這些參數(shù)。已經(jīng)在(7)中接收到這些參數(shù)的服務(wù)服務(wù)器111驗證Cert_SErver以驗證Challenge_2的簽字和值���。服務(wù)服務(wù)器111可以在(8)中向ME100確認(rèn)處理結(jié)果。而且���,ME100可以在(9)中向SE101確認(rèn)處理結(jié)果��。其后的通信結(jié)束處理與圖6相同����。換句話說�����,當(dāng)服務(wù)的處理結(jié)束或在通信中存在斷開時��,ME100在(E1)向SE101發(fā)送指示通信結(jié)束的消息�。與此相反,SE101刪除通信伙伴存儲區(qū)域107的值并且向ME100確認(rèn)處理結(jié)果���。
圖8是圖解使用公鑰加密的服務(wù)器驗證處理的消息示例的視圖����。在服務(wù)器驗證處理操作中,服務(wù)服務(wù)器111經(jīng)由ME100向SE101發(fā)送服務(wù)服務(wù)器證書112(Cert_SErver)((1)和(2))���。SE通過從所發(fā)送的Cert_SErver獲得的公鑰來加密所產(chǎn)生的隨機數(shù)Challenge和SE證書110(Cert_SE)((3)和(4))��。服務(wù)服務(wù)器111解碼消息�,通過從Cert_SE獲得的SE的公鑰來加密Challenge����,并且經(jīng)由ME100向SE101發(fā)送它((5)和(6))。SE101可以向ME100確認(rèn)處理結(jié)果���。通信結(jié)束處理((E1)和(E2))與圖6相同��。
圖9是圖解使用公鑰加密的相互驗證處理的消息示例的視圖�����。這個相互驗證處理操作與圖8中直到(4)的部分相同���。在(5)中的消息中,服務(wù)服務(wù)器111通過SE的公鑰來加密Challenge和隨機數(shù)Challenge_2�����,并且將它們發(fā)送到SE101。SE101解碼消息���,驗證Challenge�,通過服務(wù)服務(wù)器111的公鑰來加密Challenge_2�,并且發(fā)送它((7)和(8))���。通信結(jié)束處理((E1)和(E2))與圖6相同�����。
以這種方式����,服務(wù)管理器113利用所發(fā)放的服務(wù)服務(wù)器證書112來以SE101執(zhí)行驗證���,使得有可能限制對SE101的訪問�。
<實施例3>
實施例3將參照圖10-22來說明利用安全移動服務(wù)系統(tǒng)票證服務(wù)��。工作示例1將利用圖10和11來說明票證數(shù)據(jù)�����,工作示例2將利用圖12-16來說明票證下載,工作示例3將利用圖17說明用于驗證所存儲的票證數(shù)據(jù)的存儲的處理�,工作示例4將利用圖18和19來說明票證穿孔處理,工作示例5將利用圖20-22來說明票證移動處理����。
(工作示例1)將利用圖10和11來說明票證數(shù)據(jù)和向SE101的存儲。首先��,將利用圖10來說明票證數(shù)據(jù)����。票證數(shù)據(jù)1000(票證)包括票證穿孔必要部分1001(Ticket_Variable)、票證靜態(tài)部分1004(Ticket_S)�����、發(fā)放器信息部分1005(Issuer_info)和票證穿孔信息部分1006(Punch_info)�����。每個部分具有公用票證ID(TicketID)����。票證穿孔必要部分1001(Ticket_Variable)包括票證穿孔必要信息1002(Ticket_Variable)和與其相關(guān)的簽字1003�����。簽字1003可以是SE101之一�����、票證穿孔機111g-1之一或發(fā)放器111g-2之一���。票證穿孔必要部分1001包括票證ID(TicketID)、有效次數(shù)的數(shù)量(ValidTime)��、有效期間(ValidPeriod)和票證穿孔所必要的其它信息(otherInfo)�����。關(guān)于票證穿孔所必要的其它信息(otherInfo)����,例如���,在火車車票中�,包括進入站及其時間等。以這種方式���,按照票證穿孔處理的內(nèi)容而適當(dāng)?shù)匕ㄖT如有效次數(shù)的數(shù)量和有效期間等的時間信息�����、諸如進入站和音樂會地址等的空間信息����。
票證穿孔必要部分1001(Ticket_Variable)是票證數(shù)據(jù)1000(票證)所需要的���,但是可以不提供票證靜態(tài)部分1004(Ticket_S)���、發(fā)放器信息部分1005(Issuer_info)和票證穿孔信息部分1006(Punch_info),或者可以提供這些項的每種的多個����。
票證靜態(tài)部分1004(Ticket_S)是當(dāng)發(fā)放服務(wù)器111g-2向票證靜態(tài)信息(TicketStatic)進行簽字時獲得的那個部分。票證靜態(tài)信息(TicketStatic)包括這個票證的信息和向用戶的顯示信息等��。
發(fā)放器信息部分1005(Issuer_info)是當(dāng)發(fā)放服務(wù)器111g-2向附加信息(additionalInfo)進行簽字時獲得的那個部分�����。附加信息(additionalInfo)包括對要從發(fā)放器發(fā)送的票證的附加信息、對具有這個票證的用戶的其它服務(wù)指南���。發(fā)放器信息部分1005(Issuer_info)被包括在發(fā)放時的票證中��、或以后通過郵件從發(fā)放器被發(fā)送���、或用戶可以將其下載后添加。
票證穿孔信息部分1006(Punch_info)是當(dāng)票證穿孔機111g-1向附加信息(additionalInfo)進行簽字時獲得的那個部分�����?����?梢哉J(rèn)為附加信息(additionalInfo)包括來自票證穿孔機的附加信息�,例如不僅是票證穿孔的日志記錄�����,而且是音樂會中的最新演員表或在娛樂部分中的每個吸引點的混合信息���。
上述內(nèi)容可以說明如下票證數(shù)據(jù)Ticket=Ticket_S���、Ticket_V�����、Punch_info����、Issuer_Info�����,票證靜態(tài)部分Ticket_S=Sign_Issuer(TicketStatic)�,票證必要部分Ticket_Variable=Sign_Issuer(TicketVariable)或Sign_Verifier(Ticket_Variable)或Sign_SE(TicketVariable),發(fā)放器信息部分Issuer_Info=Sign_Issuer(additionalInfo)�����,穿孔信息部分Punch_info=Sign_Verifier(additionalInfo)�,票證必要信息TicketVariable=TicketID、Validtime�����、ValidPeriod�����、otherInfo。
以這種方式��,票證數(shù)據(jù)1000包括具有公共票證ID的發(fā)放服務(wù)器111g-2��、SE101g和具有票證穿孔機111g-1的簽字的數(shù)據(jù)�,并且被構(gòu)造成靈活地執(zhí)行增加和減少。
下面使用圖11來說明向SE101存儲票證數(shù)據(jù)���。當(dāng)向SE101g的票證數(shù)據(jù)1000(票證)的存儲處理成功時�����,票證穿孔必要信息1002(TicketVariable)被存儲到票證登記區(qū)域(108g)�,并且票證數(shù)據(jù)1000被存儲到票證存儲區(qū)域109g���。
以這種方式�,票證穿孔必要信息1002(Ticket_Variable)被存儲到SE101的票證登記區(qū)域(108g)�,即使當(dāng)票證數(shù)據(jù)1000(票證)被存儲到不抗干擾的存儲器時也消除了加密票證數(shù)據(jù)1000(票證)的必要�����。原因是不能執(zhí)行票證穿孔處理,除非存在一個證明對票證登記區(qū)域(108g)的存儲的消息���,并且不能使用復(fù)制的票證����。
為此����,用戶可以自由地復(fù)制票證數(shù)據(jù)1000(票證)和將其附到郵件以發(fā)送給朋友。當(dāng)希望將票證移交到朋友時�,他/她可以通過郵件等來將票證發(fā)送到朋友并且在朋友查看數(shù)據(jù)之后執(zhí)行票證移動的實際處理。
而且����,在票證發(fā)放時間,在發(fā)放器信息部分1005(Issuer_info)中���,發(fā)放服務(wù)器111g-2描述指示當(dāng)在指定期間內(nèi)進行支付時這個票證有效的信息�����、包括支付訪問地址的信息��。然后�,票證數(shù)據(jù)通過郵件被發(fā)送到用戶。當(dāng)希望購買票證數(shù)據(jù)1000的用戶按照在發(fā)放器信息部分1005(Issuer_info)中描述的信息來結(jié)束支付處理時���,執(zhí)行SE101對票證登記區(qū)域(108g)的登記處理��,以便獲得有效的票證�。在登記處理時��,不必下載票證數(shù)據(jù)1000(票證)���,僅僅可以執(zhí)行登記處理�。
因此當(dāng)發(fā)放服務(wù)器111g-2促銷票證時提高了自由度����。而且,發(fā)放服務(wù)器111g-2不必分別發(fā)放和管理在支付之前的編號的票證和在支付之后的票證����。
(工作示例2)下面將利用圖12-16來說明票證下載?���?梢栽谙螺d票證之前執(zhí)行定購和購買的處理。可以從服務(wù)器執(zhí)行諸如PUSH(推送)服務(wù)這樣的訪問�����。在開始下載處理之前�����,可以通過發(fā)放服務(wù)器111g-2和ME100g執(zhí)行由于詢問和響應(yīng)而導(dǎo)致的驗證��??梢允褂迷趯嵤├?中說明的驗證方法���。
圖12是圖解用于由SE101g和發(fā)放服務(wù)器111g-2執(zhí)行的處理的接口的示例的視圖�����。這大致地具有三種功能��。它們是向票證登記區(qū)域108g登記新票證�����、證明已經(jīng)對票證登記區(qū)域108g進行了登記���、改變被登記到票證登記區(qū)域108g的票證�。在這些功能中��,將在工作示例3中說明改變被登記到票證登記區(qū)域108g的票證�。
圖13是圖解其中新票證被下載和登記到票證登記區(qū)域108g的消息示例的視圖。在這個附圖中�,假定在實施例2中說明的驗證處理已經(jīng)成功。而且�,假定在發(fā)放服務(wù)器111g-2和ME之間保證了傳送層的安全通信路徑。
首先��,票證數(shù)據(jù)1000經(jīng)由ME100g從發(fā)放服務(wù)器111g-2被發(fā)送到SE101g((1)和(2))����,并且SE101g向SE101的票證登記區(qū)域108g登記票證穿孔必要信息1002(TicketVariable)。SE101g可以發(fā)送登記處理結(jié)果的確認(rèn)((3)和(4))��。
圖14是圖解其中SE101g發(fā)送具有對登記處理結(jié)果的確認(rèn)的簽字的消息的示例的視圖�����。在這個附圖中�,假定在實施例2中說明的驗證處理已經(jīng)成功。而且�,假定在發(fā)放服務(wù)器111g-2和ME之間保證了傳送層的安全通信路徑。
首先,票證數(shù)據(jù)1000和隨機數(shù)Challenge經(jīng)由ME 100g從發(fā)放服務(wù)器111g-2被發(fā)送到SE101g((1)和(2))�,并且SE101g驗證票證數(shù)據(jù)1000和向SE101的票證登記區(qū)域108g登記票證穿孔必要信息1002(TicketVariable)??梢杂蒑E100g執(zhí)行票證的驗證。SE101g對指示對票證登記請求的響應(yīng)的標(biāo)志����、登記的票證穿孔必要信息1002(CurrentTicketVariable)和Challenge(Sign_SE(REGSTERTICKE�����,CurrentTicketVariable�,Challenge))進行簽字,并且將其發(fā)送回去((3)和(4))�����。發(fā)放服務(wù)器111g-2驗證SE的簽字以驗證CurrentTicketVariable和Challenge的值��。ME100g可以在(4)中的發(fā)送之后向票證存儲區(qū)域109g存儲票證����。
以這種方式,發(fā)放服務(wù)器111g-2可以確認(rèn)在SE101g中登記的票證穿孔必要信息1002(CurrentTicketVariable)�����。而且,因為其中包括隨機數(shù)Challenge���,因此可以確認(rèn)這是當(dāng)前的登記信息����。
圖15是使用交付密鑰的下載消息的示例的視圖���。在這個示例中�,票證數(shù)據(jù)1000被交付(delivery)密鑰(Key_Deliver)加密��,交付密鑰(Key_Deliver)被SE101的公鑰104d加密并且從發(fā)放服務(wù)器111g-2被下載到SE101((1)和(2))����。SE101g在解密交付密鑰之后解密票證數(shù)據(jù)1000,并且驗證票證和向SE101的票證登記區(qū)域(108g)登記票證穿孔必要信息1002(3)�����。在(4)中�����,當(dāng)從SE101g接收解密的票證時,ME100g向票證存儲區(qū)域109g存儲票證���。
圖16是圖解使用公鑰加密的下載消息的示例的視圖����。在這個示例中���,首先,SE證書110g從ME100被發(fā)送到發(fā)放服務(wù)器111g-2(0)�����。發(fā)放器111g-2通過SE101的公鑰加密隨機數(shù)Challenge和票證數(shù)據(jù)1000以便發(fā)送((1)和(2))����。
(工作示例3)下面將利用圖17來說明用于證明在票證登記區(qū)域108g中登記的票證數(shù)據(jù)的處理。在圖17中�����,當(dāng)接收到在由于來自SE的通信差錯而導(dǎo)致的登記處理中失誤時引起的票證的重新登記請求的時候��,發(fā)放服務(wù)器111g-2示出用于確認(rèn)是否確實不存在對票證登記區(qū)域108g的登記的處理�����。當(dāng)從發(fā)放服務(wù)器111g-2接收票證ID和Challenge((1)和(2))以搜索與票證登記區(qū)域108g相對應(yīng)的票證ID并且存在登記的時候,SE101g對當(dāng)前登記數(shù)據(jù)(CurrentTicketVariable)�����、Challenge和指示響應(yīng)于登記證明請求的消息的標(biāo)志(Sign_SE(PROVETICKET�����,CurrentTicketVariable����,Challenge))放置簽字,并且將它們發(fā)送到發(fā)放服務(wù)器111g-2((3)和(4))���。發(fā)放服務(wù)器111g-2驗證簽字以驗證CurrentTicketVariable和Challenge的值��。
以這種方式�,即使當(dāng)從SE101g發(fā)送重新登記請求的時候���,這個功能的使用也使得發(fā)放服務(wù)器111g-2有可能確認(rèn)是否登記確實失敗�。而且���,這個功能使得有可能省略圖14所示的消息(3)和(4)����,并且在發(fā)放時的下載處理中加快速度。
不僅僅發(fā)放服務(wù)器111g-2而且票證穿孔機111g-1可以用于確認(rèn)是否存在要支持的票證���。
在這個示例中����,指定了票證ID����,但是可以認(rèn)為能夠通過向票證ID提供模式匹配指示來一次獲得多個登記證明��。
而且���,在這個示例中���,對當(dāng)前的登記數(shù)據(jù)(CurrentTicketVariable)、Challenge和指示響應(yīng)于登記證明請求的消息的標(biāo)志進行簽字并且將其轉(zhuǎn)發(fā)(turn)�����,但是可以考慮僅僅票證ID的情況或僅僅票證ID和Challenge的情況。
而且�����,可以考慮在其中根據(jù)訪問服務(wù)器111的種類來改變數(shù)據(jù)種類的情況�����。例如��,在發(fā)放服務(wù)器111g-2中����,對當(dāng)前的登記數(shù)據(jù)(CurrentTicketVariable)、Challenge和指示響應(yīng)于登記證明請求的消息的標(biāo)志進行簽字并且將其轉(zhuǎn)發(fā)�����,并且在票證穿孔機中�����,可以考慮對票證ID��、Challenge和指示響應(yīng)于登記證明請求的消息的標(biāo)志進行簽字并且將其轉(zhuǎn)發(fā)�。因為在簽字?jǐn)?shù)據(jù)中包括指示響應(yīng)于登記證明請求的消息的標(biāo)志���,因此在其它處理中不能使用它。
這個功能使得服務(wù)服務(wù)器111有可能知道當(dāng)前的登記數(shù)據(jù)而不改變在票證登記區(qū)域108g中登記的內(nèi)容����。
(工作示例4)下面將利用圖18和圖19來說明票證穿孔處理。圖18是圖解票證穿孔處理的消息示例的視圖�。在這個示例中,首先�����,票證穿孔機111g-1產(chǎn)生穿孔命令(punch order)(Punch_Order)��。穿孔命令(Order)是這樣的數(shù)據(jù)�,即票證穿孔機111g-1的簽字以它被放到PunchOrder。在此�����,假定PunchOrder是指定更新的票證穿孔必要信息的值(UpdatedTicketVariable)的數(shù)據(jù)�。除此之外����,還可以考慮一種用于指定增加或減少的數(shù)量的方法�。
首先����,票證穿孔機111g-1向ME100g發(fā)送穿孔命令(Punch_Order)、隨機數(shù)Challenge和票證穿孔信息部分1006(Punch_info)((1))�。ME100g可以不向SE101g發(fā)送票證穿孔信息部分1006。SE101g驗證在(2)中接收的穿孔命令(Punch_Order)的簽字��,并且更新由穿孔命令(Punch_Order)指定的票證登記區(qū)域108g中登記的對應(yīng)數(shù)據(jù)��。SE101g向票證穿孔機111g-1發(fā)送登記到票證登記區(qū)域的更新數(shù)據(jù)(CurrentTicketVariable)���、隨機數(shù)Challenge���、被簽字到指示響應(yīng)于改變的請求的消息的標(biāo)志的數(shù)據(jù)(Sign_SE(VERIFYTICKET,CurrentTicketVariable����,Challenge))、隨機數(shù)Challenge_2((3)和(4))����。票證穿孔機111g-1驗證簽字以驗證CurrentTicketVariable和Challenge的值,將簽字放到隨機數(shù)Challenge_2、PunchOrder和作為確認(rèn)響應(yīng)于改變請求的消息的消息的標(biāo)志��,并且將它們發(fā)送回SE101g((5)和(6))�����。在此�����,可以不包括PunchOrder�����。而且����,可以不包括作為確認(rèn)響應(yīng)于改變請求的消息的消息的標(biāo)志。進一步�,在(3)和(4)中,可以提供Challenge_2�。在這個情況下,可以不提供(5)和(6)����。
圖19將說明在票證穿孔處理前后的票證的存儲模型。在這個示例中�,在票證穿孔之前的狀態(tài)中,票證穿孔必要信息部分1002a被登記在票證存儲區(qū)域109a中���,并且作為票證數(shù)據(jù)1000的一部分的票證靜態(tài)部分1004���、票證穿孔信息必要部分1003a和發(fā)放器信息部分1005被存儲到票證存儲區(qū)域109g。登記的票證數(shù)據(jù)1000可以不包括票證穿孔信息必要部分1003���、或保持為在發(fā)放時的原樣��、或?qū)τ诿總€登記更新被替換為SE101g的簽字?jǐn)?shù)據(jù)�、或被替換為從票證穿孔機111g-1發(fā)送的Punch-Order�����。為了向用戶顯示票證數(shù)據(jù)1000的狀態(tài)��,期望提供票證登記區(qū)域108g的信息����。在這個示例中,當(dāng)在票證穿孔之后在票證登記區(qū)域108g中更新票證穿孔必要信息部分1002b的時候�����,也更新票證穿孔信息必要部分1003b。然后����,新增加票證穿孔信息部分1006(Punch_info)??梢钥紤]在一個票證穿孔增加多個票證穿孔信息部分1006(Punch_info)。
(工作示例5)下面將使用圖20-22來說明在SE之間移動票證的處理����。除了一個票證的整體(所有的有效值)的移動之外,這個處理操作可以執(zhí)行這樣的處理�����,其中在例如票證的定購的情況下執(zhí)行剩下的有效次數(shù)中的n次移動�。
圖20是圖解在SE之間的票證移動處理的SE的消息示例的視圖。這可以大致被劃分為兩種�����,一種是從其他SE移動的票證的登記���,另一種是移動到另一個SE的票證的刪除(更新)�����。
圖21是圖解其中票證在SE之間移動的消息示例的視圖����。在圖21中��,假定票證登記源的ME是ME1(100g-1)���,票證目的地的ME是ME2(100g-2)���。類似地,假定票證登記源的SE是SE1(101g-1)�,票證登記目的地的SE是SE2(101g-2)。而且�����,在圖21中��,假定在SE之間的相互驗證成功����。
首先�,當(dāng)用戶指定要移動的票證并且執(zhí)行移動處理的確認(rèn)操作時���,ME1(100g-1)產(chǎn)生一個要移動的服務(wù)項目MoveOffer�����。在此���,假定MoveOffer是要登記到票證目的地的票證登記區(qū)域108g中的票證穿孔必要信息(MovedTicketVariable)。另外�����,可以考慮一種指定要剩余的票證穿孔必要信息(TicketVariable)的值的方法���。在MoveOffer中包括票證ID�����。當(dāng)在(1)中接收MoveOffer時����,SE1從在票證登記區(qū)域108g中登記的票證穿孔必要信息(TicketVariable)移動通過MoveOffer指定的服務(wù)項目���。當(dāng)MoveOffer的值等于當(dāng)前的票證穿孔必要信息(TicketVariable)時���,可以從票證登記區(qū)域108g刪除它����。SE1按照MoveOffer對一個標(biāo)志進行簽字(Sign_SE(MOVEOUTTICKET��,MoveOffer))��,并且將其發(fā)送到ME2((2)���、(3)和(4)),所述標(biāo)志示出指示MoveOffer的消息和作為指示在票證登記區(qū)域108g中登記的票證穿孔必要信息(TicketVariable)的消息的隨機數(shù)Challenge的移動的處理��。接著�����,SE2按照MoveOffer驗證一個簽字和將其登記到SE2的票證登記區(qū)域108g中�����。然后�,向SE1發(fā)送回其中一個簽字被放置到登記的票證必要信息����、Challenge和指示響應(yīng)于移動處理的消息(Sign_SE(MOVEINTICKET����,current_TicketVariable,Challenge))的標(biāo)志的項目以及隨機數(shù)Challenge_2((5)����、(6)和(7))。SE1驗證所述簽字以驗證current_TicketVariable和Challenge的值��,并且當(dāng)它們正確時�,對Challenge_2放置簽字并且將其發(fā)送回SE2((8)、(9)(10))���。
當(dāng)沒有(7)時SE1不能完成移動�,并且取消移動處理和處理流程返回原點�。當(dāng)沒有(10)時SE2不能完成移動處理,并且取消移動處理和處理流程返回原點��。
以這種方式����,移動源的SE101發(fā)送數(shù)據(jù)����,所述數(shù)據(jù)證明在減少要從登記的值向移動目的地移動的值信息之后已經(jīng)進行了移動(例如一個簽字被放置到移動的服務(wù)項目)����,移動源的SE101并且根據(jù)證明已經(jīng)移動了移動目的地的SE的數(shù)據(jù)來進行登記處理,并且向移動源的SE返回發(fā)送證明登記的數(shù)據(jù)(例如一個簽字被放置到登記的內(nèi)容上)���,于是移動源的SE可以完成移動處理����。而且����,當(dāng)接收到證明完成移動源的移動處理的數(shù)據(jù)時���,移動目的地的SE也完成處理�。
結(jié)果�����,取代SE1和SE2都同時具有服務(wù)項目�,有可能在SE之間移動服務(wù)項目�。
圖22是圖解使用公鑰加密系統(tǒng)的傳送處理操作的模型圖�����。在這個處理操作中��,消息的內(nèi)容與圖21的基本相同�����,但是通過公鑰加密來加密以執(zhí)行通信���。
<實施例4>
實施例4使用圖23-25示出了驗證處理和票證服務(wù)特有的處理的消息的組合的工作示例�。圖23是圖解服務(wù)器驗證和票證下載處理的混合處理的消息示例的視圖�。這個視解了其中組合了圖6和圖13的消息的示例。在圖23的(4)�、(5)和(6)中,圖6的(4)��、(5)���、(6)與圖13的(1)����、(2)和(3)組合。而且�����,在圖23的(4)中��,以如下的方式來進行發(fā)放����,即使得在票證數(shù)據(jù)1000的票證穿孔必要部分1001中包括Challenge,因此使得SE101g有可能執(zhí)行對從已經(jīng)接收到Challenge的目的地發(fā)送的票證的驗證���。對于圖23的(5)中的消息���,可以發(fā)送票證數(shù)據(jù)1000��,或者可以僅僅發(fā)送票證穿孔必要部分1001����。
結(jié)果,可以有效地進行處理���,并且與分別執(zhí)行服務(wù)器驗證和票證下載處理的情況一樣地保持安全性��。
圖24是圖解服務(wù)器驗證和票證穿孔處理的混合處理的消息示例的視圖�����。這個視解了其中組合了圖6和圖18的消息示例��。在圖24的(4)���、(5)���、(6)中,圖6的(4)�、(5)、(6)與圖18的(1)����、(2)和(3)組合。而且�,在圖24的(4)中,以如下的方式來進行發(fā)放�,即在Punch_Order中包括Challenge_0,因此使得SE101g有可能進行對從已經(jīng)接收到Challenge的目的地發(fā)送的更新請求的驗證�。
結(jié)果���,可以有效地進行處理,并且與分別執(zhí)行服務(wù)器驗證和票證下載處理的情況一樣地保持安全性��。
圖25是圖解在SE之間的相互驗證和票證移動處理的混合消息的示例的視圖��。這個視解了圖7和圖21的組合���,并且根據(jù)圖7的(4)組合圖6的(4)和圖18的(1)�����。在圖25中����,除了在(8)中可以發(fā)送SE證書110外�,在(2)中也發(fā)送SE證書110。
這個附圖示出了一個示例����,其中當(dāng)移動目的地的用戶進行移動開始處理時���,向移動源的ME1發(fā)送對于移動處理的驗證處理����,并且移動源的用戶執(zhí)行移動處理開始操作,而且處理因此繼續(xù)�����。
在圖25的(4)中��,以如下的方式來進行發(fā)放���,即使得在Move_Offer中包括Challenge_0���,因此使得SE101g有可能進行對從已經(jīng)接收到Challenge的SE發(fā)送的移動證明的驗證。結(jié)果�����,可以有效地進行處理���,并與分別執(zhí)行服務(wù)器驗證和票證移動處理的情況一樣地保持安全性���。
如上所述,利用簽字和Challenge來交換消息�,以便在驗證的同時防止重新使用消息數(shù)據(jù)�,并且可以通過具有簽字的消息來防止批準(zhǔn)或不批準(zhǔn)�����。結(jié)果����,有可能即使具有較小數(shù)量的消息也安全地執(zhí)行處理。
<實施例5>
實施例5使用圖26-28示出了使用具有低處理能力的SE的工作示例�����。圖26-28分別對應(yīng)于圖23-25的消息示例��。
必須使用沒有如此高的處理能力的SE�����,直到具有高處理能力和低成本的SE得到廣泛的使用��。為此�,下面示出了一個工作示例,其中由ME執(zhí)行要由SE執(zhí)行的處理��,并且只有被保持為最小的處理由SE執(zhí)行�。即使混合沒有如此高的處理能力的SE和具有高處理能力的SE,也期望共享服務(wù)服務(wù)器的接口(interface)��。
這個實施例示出了一個示例����,其中由ME執(zhí)行證書的驗證和簽字的驗證,并且由SE執(zhí)行Challenge的驗證和對票證登記區(qū)域的訪問�。圖26是圖解對應(yīng)于圖23的下載處理的示例的視圖。在圖26中�,ME100g執(zhí)行發(fā)放服務(wù)器證書112g-2的驗證和票證的驗證。
圖27是圖解對應(yīng)于圖24的票證穿孔處理的消息示例的視圖�����。在圖27中��,ME100g再現(xiàn)票證穿孔機證書112g-1的驗證和Punch_Order的驗證����。
圖28是圖解對應(yīng)于圖25的在SE之間的票證移動處理的消息示例的視圖。類似地��,在圖28中�����,傳送源的ME100g和傳送目的地的ME100g執(zhí)行證書的驗證和消息簽字的驗證。結(jié)果���,由ME執(zhí)行SE的處理直到具有高處理能力的SE得到廣泛的使用���,并且雖然在向具有高處理能力的SE的廣泛使用的過渡期間混合了具有各種性能的SE,但是有可能在不改變在服務(wù)服務(wù)器端的接口的情況下論及性能(performance)����。
<實施例6>
實施例6使用圖29-31來說明當(dāng)不加密通信路徑的傳送層時的票證處理。在通信路徑?jīng)]有任何加密的情況下�,有可能引發(fā)對隨機數(shù)的窺視,以使得有可能模仿���。為此���,將說明一個示例,其中利用公鑰(public key)加密僅僅發(fā)送隨機數(shù)�����。另外��,可以考慮使用公用密鑰(common key)。
使用圖29來說明票證下載處理���。首先���,從發(fā)放服務(wù)器111g-2向SE101g發(fā)送發(fā)放服務(wù)器證書112g-2((1)和(2))�。SE101g驗證所發(fā)送的證書和當(dāng)它是正確的發(fā)放服務(wù)器證書的時候?qū)⑵涞怯浀酵ㄐ呕锇榇鎯^(qū)域。而且���,SE101g產(chǎn)生一個隨機數(shù)Challenge����,通過發(fā)生器服務(wù)器的公鑰加密它(Encryt_Issuer{Challenge})�,并且將其發(fā)回((3)和(4))。
發(fā)放服務(wù)器111g-2解密Encryt_Issuer{Challenge}�����,并且提取Challenge�����。發(fā)放服務(wù)器111g-2使得在票證穿孔必要信息1002中包括Challenge�,并且將發(fā)生器服務(wù)器的簽字放置到那里以產(chǎn)生票證的票證穿孔必要部分1003(Ticket_V)。發(fā)放服務(wù)器111g-2將其與提前產(chǎn)生的票證的其他部分一起作為票證數(shù)據(jù)1000(Ticket)發(fā)送((5)和(6))��。ME可以直接向SE發(fā)送Ticket。它可以僅僅發(fā)送票證數(shù)據(jù)1000的票證穿孔必要部分1003��。
SE驗證票證穿孔必要部分1003的簽字和當(dāng)它是正確的時向票證登記區(qū)域108g登記TicketVariable的值���。當(dāng)該處理成功時�,向發(fā)放服務(wù)器發(fā)送處理成功的確認(rèn)((7)和(8))����。(7)和(8)可以使用具有簽字的數(shù)據(jù)。(7)和(8)可以使用具有證明當(dāng)前使用的票證穿孔必要信息的SE的簽字的數(shù)據(jù)���。
以這種方式��,在發(fā)送時僅僅加密隨機數(shù)�����,即使未加密消息的整體也可以安全地執(zhí)行票證的下載��。
使用圖30來說明票證穿孔處理�����。首先����,票證穿孔機111g-1向SE101g發(fā)送票證穿孔機證書112g-1(1)。ME發(fā)送要穿孔的票證的票證ID和票證穿孔機證書112g-1(2)�����?��?梢詮钠弊C穿孔機111g-1發(fā)送票證ID,并且在ME由用戶的操作來增加票證ID���。
SE101g驗證所發(fā)送的證書并且當(dāng)它是正確的票證穿孔機證書時將其登記到通信伙伴存儲區(qū)域���。而且,SE101g產(chǎn)生隨機數(shù)Challenge_0��,并且通過票證穿孔機的公鑰將其加密(Encrypt_Verifier{Challenge_0})�。SE對登記到與指定的票證ID對應(yīng)的票證登記區(qū)域中的票證信息(CurrentTicketVariable)和包括一個標(biāo)志的數(shù)據(jù)放置簽字(Sign_SE(SHOWTICKET,CurrentTicketVariable))�,所述標(biāo)志指示向發(fā)放服務(wù)器提供由CurrentTicketVariable指定的票證的消息。
而且���,Encrypt_Verifier{Challenge_0}����、Sign_SE(SHOWTICKET,CurrentTicketVariable)與SE證書一起被發(fā)回((3)和(4))��。在此���,SE證書可以是SE公鑰�����。
票證穿孔機111g-1解密Encrypt_Verifier(Challenge_0)以提取Challenge_0����。而且��,票證穿孔機111g-1驗證Sign_SE(SHOWTICKET��,CurrentTicketVariable)的簽字�,并且確定是否它是可用的票證。當(dāng)它是可用的票證時��,票證穿孔機111g-1產(chǎn)生Punch_Order����。Punch_Order是通過對PunchOrder放置票證穿孔機的簽字而獲得的���,但是在這個實施例中,這表示下面的Punch_Order��,即���,向除了票證ID和諸如在穿孔之后的有效期間和剩余次數(shù)的數(shù)值這樣的信息之外還包括Challenge_0的數(shù)據(jù)放置票證穿孔機的簽字���。在此,PunchOrder指定在票證穿孔之后的票證的票證穿孔必要信息����。在票證穿孔之后或必要時產(chǎn)生Punch_Info�。可以不提供Punch_Info�����,也可以提供多個Punch_Info��。而且����,產(chǎn)生Challenge并由SE的公鑰對其加密(Encrypt_SE(Challenge))�。這個由票證穿孔機產(chǎn)生的數(shù)據(jù)�����,即Punch_Order�、Punch_Info和Encrypt_SE(Challenge)被發(fā)送到SE((5)和(6))。
SE101解密Encrypt_SE(Challenge)并提取Challenge�����。而且���,SE101驗證Punch_Order的簽字�。SE101還驗證包括在PunchOrder中的Challenge_0和在(3)中發(fā)送的Challenge_0�����,并且當(dāng)它是正確的時執(zhí)行改變處理��。SE101將由PunchOrder指定的票證登記區(qū)域108g的票證ID的數(shù)據(jù)重寫為由PunchOrder指定的數(shù)據(jù)����。SE_101向由票證登記區(qū)域108g更新的票證穿孔必要信息(CurrentTicketVariable)�、Challenge和指示證明票證登記區(qū)域108g的數(shù)據(jù)更新的數(shù)據(jù)的標(biāo)志放置對SE101g的簽字�,并且將其向票證穿孔機111g-1發(fā)回((7)和(8))。
票證穿孔機111g-1將Challenge與在(5)中發(fā)送的值相比較��,并且當(dāng)它正確時將CurrentTicketVariable與在(5)中發(fā)送的PunchOrder相比較。這個消息可以被存儲為證據(jù)(proof)。當(dāng)它正確時��,票證穿孔機111g-1將票證穿孔機111g-1的簽字放置到作為示出已經(jīng)確認(rèn)了對CurrentTicketVariable的值的改變的證據(jù)的CurrentTicketVariable、包括指示已經(jīng)確認(rèn)了改變的證據(jù)的消息的數(shù)據(jù)(Sign_SE(VERIFYTICKETCONF���,CurrentTicketVariable))�����,并且將其發(fā)回((9)和(10))�����。
SE101g驗證Sign_SE(VERIFYTICKETCONF,CurrentTicketVariable)的簽字�,比較CurrentTicketVariable與在(7)中發(fā)送的值,當(dāng)它正確時完成改變處理���。這個消息可以被存儲為改變確認(rèn)的證據(jù)�。
其后,票證穿孔機111g-1可以在接收到處理成功確認(rèn)后向用戶提供服務(wù)�����?�?梢圆惶峁?11)和(12)�����。
以這種方式���,僅僅通過在發(fā)送時加密隨機數(shù)��,可以安全地執(zhí)行票證穿孔處理而不用加密消息整體�。
現(xiàn)在使用圖31來說明票證移動處理���。在這個票證移動處理中���,移動源的ME1產(chǎn)生MoveOffer,這是示出使用哪個票證值和進行多遠(yuǎn)的移動的信息���。用戶可以輸入和確定它或從通信伙伴指定它�。MoveOffer在移動目的地變?yōu)槠弊CID和包括有效期和票證次數(shù)數(shù)量的票證穿孔必要信息?��?梢栽诎l(fā)送(4)中的消息之前建立MoveOffer����。
首先�����,移動源的ME1從移動源的SE1獲得SE1證書((1)和(2))�����,并且將其發(fā)送到移動目的地的SE2((3)和(4))���。
移動目的地的SE2驗證SE1證書并當(dāng)它正確時將其登記到通信伙伴存儲區(qū)域�����。而且,SE2產(chǎn)生隨機數(shù)Challenge_0���,通過SE1的公鑰來將其加密(Encrypt_SE1(Challenge_0))�����,并且將其與SE2證書一起發(fā)回((5)和(6))��。移動源的ME1除了Encrypt_SE1(Challenge_0)和SE2證書之外還向SE1發(fā)送MoveOffer(7)�����。
SE1驗證SE2證書并當(dāng)它正確時將其登記到通信伙伴存儲區(qū)域�。而且,SE1解密Encrypt_SE1(Challenge_0)�����。
而且�����,可以通過將由MoveOffer指定的票證ID的數(shù)據(jù)與在票證登記區(qū)域中登記的數(shù)據(jù)相比較來進行驗證���。例如���,有可能驗證是否MoveOffer具有較大數(shù)量的有效次數(shù)。SE1對下列放置SE1的簽字MoveOffer、當(dāng)前票證區(qū)域的數(shù)據(jù)(CurrentTicketVariable)��、Challenge_0和包括一個標(biāo)志的數(shù)據(jù)���,所述標(biāo)志示出了證明可以移動指定的票證的值的數(shù)據(jù)(Sign_SE(MOVEOUTTICKET���,MoveOffer,CurrentTicketVariable�����,Challenge_0))�����。
而且����,SE1產(chǎn)生一個隨機數(shù)Challenge。SE1可以將Challenge存儲為對應(yīng)于票證登記區(qū)域108g的更新的票證ID的數(shù)據(jù)����。SE1通過SE2的公鑰來加密Challenge(Encrypt_SE2(Challenge))。
SE1向SE2發(fā)送Sign_SE(MOVEOUTTICKET����,MoveOffef,CurrentTicketVariable���,Challenge_0)((8)���、(9)和(10))。SE2解密Encrypt_SE2(Challenge)����。SE2驗證Sign_SE(MOVEOUTTICKET,MoveOffer��,CurrentTicketVariable���,Challenge_0)的簽字�。SE2驗證Challenge_0和在(5)中發(fā)送的值�,并且當(dāng)它正確時向票證登記區(qū)域108b登記MoveOffer的信息。SE2向登記到SE2的票證登記區(qū)域108g的票證穿孔必要信息(CurrentTicketVariableSE2)����、示出證明如CurrentTicketVariableSE2所指定的已經(jīng)進行了登記的消息的標(biāo)志、包括Challenge的數(shù)據(jù)放置SE2的簽字(Sign_SE2(MOVEINTICKET��,CurrentTicketVariableSE2,Challenge))���,并且將其發(fā)送到SE1((11)���、(12)和(13))。
SE1驗證Sign_SE2(MOVEINTICKET���,CurrentTicketVariableSE2��,Challenge)的簽字��。SE比較Challenge和在(7)中發(fā)送的值�����。當(dāng)它正確時�,SE1驗證CurrentTicketVariableSE2和在(7)中發(fā)送的MoveOffer�。當(dāng)它正確時,如果在MoveOffer中存在次數(shù)數(shù)量則降低指定的次數(shù)數(shù)量�����,從而改變證登記區(qū)域的數(shù)據(jù)以使得具有對應(yīng)于按照MoveOffer的值移動后的值�����。
SE1對當(dāng)前票證穿孔必要信息(CurrentTicketVariableSE1)和包括一個標(biāo)志的數(shù)據(jù)放置簽字(Sign_SE1(MOVEOUTCONF,CurrentTicketVariableSE1))����,并且將其發(fā)送到SE2((13)��、(14)和(15))��,所述標(biāo)志示出了證明已經(jīng)完成了移動處理以便被移動的數(shù)據(jù)是CurrentTicketVariableSE1的消息����。
SE2驗證Sign_SE1(MOVEOUTCONF,CurrentTicketVariableSE1)的簽字����。SE2在CurrentTicketVariableSE1、在(10)中接收的MoveOffer����、CurrentTicketVariable的值中進行比較來驗證。當(dāng)它正確時�����,SE2發(fā)送處理成功確認(rèn)(ACK)((16)、(17)和(18))并且完成移動處理�����。當(dāng)這個處理未成功時�,取消移動處理,并且取消由移動處理登記的票證����。處理成功確認(rèn)可以是具有SE2的簽字的數(shù)據(jù)。
當(dāng)接收處理成功確認(rèn)(ACK)時����,SE1完成移動處理。當(dāng)未接收到處理成功確認(rèn)時����,取消移動處理。
在這個實施例中�����,對于SE1���,在(8)中的消息發(fā)送之前不執(zhí)行實際的移動處理��,在(14)中消息發(fā)送之前執(zhí)行移動處理�����。但是����,可以考慮通過增加在實施例3的工作示例中示出的處理流程來在(8)中的消息發(fā)送之前執(zhí)行實際的移動處理。
以這種方式�����,僅僅通過在發(fā)送時加密隨機數(shù)���,可以不用加密消息的整體而安全地執(zhí)行票證移動處理。而且��,即使當(dāng)不存在通信路徑的傳送層的加密時���,也可以不用大加密能力就能夠執(zhí)行安全服務(wù)處理�����。
<實施例7>
實施例7使用圖32-34來說明當(dāng)沒有加密通信路徑的傳送層時使用不具有高處理能力的SE的票證處理����。在實施例7中,ME執(zhí)行在實施例6中由SE執(zhí)行的����、諸如證書的驗證、隨機數(shù)的加密�、解密、簽字的驗證這樣的處理���。
圖32是圖解與實施例6的圖29對應(yīng)的下載處理的示例的視圖�。圖33是圖解與圖30對應(yīng)的票證穿孔處理的示例的視圖�����。圖34是圖解與圖31對應(yīng)的在SE之間的票證移動處理的示例的視圖�����。
在實施例7中�����,雖然SE執(zhí)行隨機數(shù)的產(chǎn)生�、隨機數(shù)的驗證�、票證的登記��,但是可以考慮SE僅僅執(zhí)行票證的登記和簽字的產(chǎn)生以便簡化處理���。
以這種方式����,即使當(dāng)沒有加密通信路徑的傳送層時���,與ME共享的處理被按照SE的性能調(diào)整���,使得有可能即使在向?qū)嵤├?所針對的環(huán)境過渡期間不改變在服務(wù)器端的系統(tǒng)而繼續(xù)服務(wù)�����。
<實施例8>
實施例8使用圖35-39示出了包括相互驗證處理的工作示例�����。圖35�����、36、37和38����、39分別對應(yīng)于圖23、圖17��、圖24和圖25的消息示例��。雖然它們的說明部分有改變����,但每個發(fā)放器對應(yīng)于圖23的發(fā)放服務(wù)器111g-2。隨機數(shù)(Random)對應(yīng)于圖23的Challenge�。TicketV對應(yīng)于票證穿孔必要信息1002,并且示出了票證穿孔處理所需要的信息�,諸如票證ID、有效程度�、有效期等。
而且��,TicketID包括一些種類�����,諸如示出執(zhí)行這種票證處理的票證應(yīng)用的種類的票證系統(tǒng)ID,諸如事件票證���、票證冊等的票證類型ID�����,示出特定事件���、逐個唯一地置于票證上的序號等的票證種類ID,并且可以由這些組合來指定����。這使得有可能有效地指定按照位置和環(huán)境確認(rèn)的票證。
圖35示出了對應(yīng)于圖23的下載處理的示例��。在圖35中���,服務(wù)器除了圖23之外還進行驗證在消息(1)和(3)中的SE的處理���。這使得有可能對正確的SE執(zhí)行票證登記處理��。
在圖35中����,存在下面兩種SE的原語����。通過定義下載處理的原語����,可以保證在ME和SE之間的兼容性。
(下載處理的原語1)原語名稱...StartRegistration輸入(2)的消息...Cert_Issuer����,Random1輸出(3)的消息...Sign_SE(STARTREG,Randoml)�����,Random2處理...驗證輸入的發(fā)放服務(wù)器證書112g-2(Cert_I)�����。當(dāng)它正確時�,轉(zhuǎn)發(fā)下述數(shù)據(jù)(Sign_I(STARTREG,RANDOM1))����,在所述數(shù)據(jù)中,一個簽字被放置到作為簽字目標(biāo)被輸入的隨機數(shù)和新產(chǎn)生的隨機數(shù)(Random2)。證書的公鑰和隨機數(shù)值(random2)被存儲�����。
(下載處理的原語(primitive)2)原語名稱...登記輸入(6)的消息...Sign_I(TicketV�����,Random2)輸出(7)的消息...ACK處理對于由StartRegistration產(chǎn)生的隨機數(shù)(Random2)來查看Random2�����,并且當(dāng)它正確時���,通過由StartRegistration獲得的公鑰來驗證輸入數(shù)據(jù)的簽字����。當(dāng)它正確時�,存儲TicketV。當(dāng)處理正常結(jié)束時����。返回ACK���。
在(3)中����,包括Random2,它要被包括在類似于圖23而發(fā)放的票證中�����。因為由SE101g-2產(chǎn)生的Random2被簽字和產(chǎn)生以被包括在要發(fā)放的票證的票證穿孔必要信息1002中���,因此有可能防止在通信中替換票證數(shù)據(jù)1000�。原因如下�。即,除了可以在概率上忽略Challenge值的重疊部分的事實外���,當(dāng)Challenge不同時�����,簽字也不同�����,并且不知道發(fā)放服務(wù)器的密鑰的人不能建立簽字�,因此不能獲得同一簽字,并且不能執(zhí)行用被復(fù)制到某處的值來進行替換���。即使票證數(shù)據(jù)1000被竊聽�����,這也導(dǎo)致安全的處理����,僅僅已經(jīng)產(chǎn)生包括在其中的Random2的SE101g-1可以登記所述票證����。
而且,在具有(3)的簽字的隨機數(shù)中也包括簽字的目標(biāo)(在此��,用于開始票證登記的驗證處理)����,惡意的用戶不能重新使用這個消息來用于其他對象。
與ME100g-1相關(guān)地���,在(5)中��,在接收時間�����,SE負(fù)責(zé)票證穿孔必要部分1001的驗證���,但是由ME執(zhí)行其他驗證,如票證靜態(tài)部分1004的驗證����。以這種方式,分散了處理以使得最小化SE的處理�����,從而有可能執(zhí)行快速處理�。即使偽造了票證靜態(tài)部分1004的簽字驗證,這也不過是騷擾而非實際的損害�,因此存在不向票證靜態(tài)部分放置簽字的情況。這使得有可能縮短票證數(shù)據(jù)長度并省略票證靜態(tài)部分1004的簽字驗證處理�。
圖36示出了對應(yīng)于圖17的票證證據(jù)處理的示例。雖然消息的名稱不同�����,但是處理精確地相同����。
在圖35中�����,存在一個SE的原語�,如下所述����。
通過定義證據(jù)處理的原語,可以保證在ME和SE之間的兼容性�。
(證明處理的原語)原語名稱...查看輸入(2)的消息...TicketID,Random1輸出(3)的消息...Sign_SE(CHECK����,TicketV,Random1)���,處理...搜索是否存儲了包括輸入的TicketID的值的TicketV��。當(dāng)它被存儲時����,在包括簽字的目標(biāo)���、TicketV和輸入的Random1的值中產(chǎn)生一個簽字����,并且將其作為返回值返回。
這個流程可以用于票證穿孔處理��,諸如季節(jié)票證和ID卡等����,其中通過票證穿孔處理不改變票證數(shù)據(jù)�。當(dāng)這被用于票證穿孔處理時,圖36的發(fā)放器被改變?yōu)槠弊C穿孔機(驗證器)111g-1��。
而且����,向向在SE101g-1和票證穿孔機111g-1之間的通信時間通過限制時間。這防止下列的非法行為(1)作為正常程序�,一個非法的終端從票證穿孔機獲得Challenge和TicketID。
(2)(通過哄騙SE好像它們來自票證穿孔機)向正常終端輸入上述的Challenge和TicketID���,以產(chǎn)生與Challenge相關(guān)的簽字和值部分����。
(3)非法終端接收由正常終端產(chǎn)生的簽字,并且將其發(fā)送到票證穿孔機以通過票證穿孔�����。
圖37示出了對應(yīng)于圖24的票證穿孔處理�����。票證穿孔處理包括其中在票證穿孔時不降低任何值的服務(wù)��,諸如圖36中所述的季節(jié)票證�、會員卡;諸其中一次結(jié)束票證穿孔處理的服務(wù)�,諸如票證冊、預(yù)付卡���;其中需要進入和退出的處理的服務(wù)����,諸如火車預(yù)付卡����。以這種方式,對每個服務(wù)劃分原語,因此使得有可能優(yōu)化處理和高速執(zhí)行處理���。
圖37僅僅示出了其中一次結(jié)束票證穿孔處理的服務(wù)�����,諸如票證冊�����、預(yù)付卡��;其中需要進入的處理的服務(wù),諸如火車預(yù)付卡�。
在圖37中,存在兩種SE的原語��,如下所述�。通過定義票證穿孔處理的原語,可以保證在ME和SE之間的兼容性�����。
(票證穿孔處理的原語1)原語名稱...StartTransaction輸入(2)的消息...Cert_Verifier���,TicketID���,Min_V輸出(3)的消息...Random1�,處理...驗證輸入的發(fā)放器票證穿孔證書Cert_Verifier 112g-1�����。當(dāng)它正確時����,搜索是否存儲了包括指定的TicketID的值的TicketV。當(dāng)諸如Min_V作為有效程度時�,驗證是否被搜索的TicketV的有效程度大于Min_V。當(dāng)它正確時����,返回新產(chǎn)生的隨機數(shù)。證書的公鑰和所產(chǎn)生的隨機數(shù)的值(Random1)被存儲���。TicketID和Min_V被用作選用功能��。
(票證穿孔處理的原語2)原語名稱...事務(wù)輸入(6)的消息...Tran_Order�,Random2�,T輸出(7)的消息...Sign_SE(TRANSACTION�����,TicketV��,Random2�����,T)處理執(zhí)行在由StartTransaction或PreSEntation產(chǎn)生的Random1和在Tran_Order中包括的隨機數(shù)的值之間的比較來驗證�����。當(dāng)它正確時�,通過由StartTransaction或PreSEntation獲得的公鑰來驗證具有輸入的簽字的數(shù)據(jù)(Trans_Order)的簽字�����。當(dāng)它正確時�����,將由Trans_Order指定的TicketV的值降低指定的值����,并且當(dāng)存在GateInfo時,執(zhí)行重寫�����。返回其中在數(shù)據(jù)(TRANSACTION�,TicketV,Random2����,T)中產(chǎn)生電子簽字的數(shù)據(jù),所述數(shù)據(jù)(TRANSACTION�,TicketV,Random2����,T)包括簽字的目標(biāo)、更新的TicketV的值�����、輸入的Random2和T��。
在圖37中����,因為除了圖24的處理之外還從票證穿孔機(驗證器)111g-1發(fā)送TicketID���,因此即使用戶不提前選擇票證,也自動執(zhí)行所有的票證穿孔處理�。而且,因為在(1)的消息中發(fā)送Min_V(最小無效程度等)����,因此可以在實際的票證穿孔處理(事務(wù))之前迅速地執(zhí)行對例如不足的程度的情況的判斷。
而且��,在(5)中����,票證穿孔機(驗證器)111g-1的時間信息被發(fā)送,并且這樣的數(shù)據(jù)被包括在(6)的數(shù)據(jù)中����,使得有可能在確定操作中產(chǎn)生的故障處理時參考時間信息,以便可以容易地執(zhí)行判斷����。
包括在(6)的消息中的Tran_Order是如下的數(shù)據(jù)����,其中驗證器對包括由降低的值(有效次數(shù)被降低的次數(shù)���,有效程度被降低的程度等等)StartTransaction產(chǎn)生的TicketID和Random1的值放置簽字。在一些情況下�����,當(dāng)需要其他信息(GateInfo進入和退出信息)時���,這被包括在要簽字的數(shù)據(jù)中��。
本實施例已經(jīng)示出了每個票證穿孔處理執(zhí)行降低的處理���,但是存在一種方法,其中分別準(zhǔn)備示出時間的限制和限制程度的值����,以及示出累計值的值,以在每個處理中提高累計值�。以這種方式,分別提供初始值和累計值����,以便可以在任何時間確認(rèn)初始值和累計值。
而且�����,因為從伙伴發(fā)送的隨機數(shù)被包括在(5)和(7)的每個消息中,因此防止了在通信路徑上的替換性附加�����,并且可以獲得安全的通信�。
ME100g-1存儲在(5)的消息中包括的Trans_Order和在(7)的消息綜合包括的Sign_SE(TRANSACTION,TicketV���,Random2����,T)�。因此,通過示出這些消息�����,有可能即使當(dāng)票證穿孔機故障時也證明使用了哪個票證穿孔機和執(zhí)行了什么樣的票證穿孔處理�����。
圖38也圖解了對應(yīng)于圖24的票證穿孔處理��,但是僅僅在圖38中示出了裝入的火車預(yù)付卡的服務(wù)的退出處理�。
不像圖37中圖解的處理那樣,因為增加了PreSEntation���,因此向票證穿孔機111g-1提供了進入時間的信息�����,并且票證穿孔機111g-1根據(jù)所提供的進入信息來執(zhí)行對帳目清算的計算�,以便使得有可能產(chǎn)生Tran_Order�。
在圖37中,存在兩種SE的原語�����。下面示出了第一種原語���。通過定義票證穿孔處理的原語��,可以保證在SE和ME之間的兼容性����。
(票證穿孔處理的原語1)原語名稱...PreSEntation輸入(2)的消息...Cert_Verifier��,TicketID,Random輸出(3)的消息...Sign_SE(PRESENTATION���,TicketV��,Random3)��,Random1處理...驗證輸入的票證穿孔機證書Cert_Verifier 112g-11�����。當(dāng)它正確時�����,搜索是否存儲了包括輸入的TicketID的值的TicketV�。當(dāng)它被存儲時��,返回如下數(shù)據(jù)���,其中一個簽字被放置到包括簽字的目標(biāo)的值(PRESENTATION�,TicketV�,Random3)、指定的TicketV和Random3和新產(chǎn)生的隨機數(shù)(Random1)。證書的公鑰和所產(chǎn)生的隨機數(shù)的值(Random1)被存儲���。
第二種原語是圖37中所述的Transaction原語�����。在圖37和圖38中,(5)到(7)的消息精確地相同�����。因為可以以相同的原語來安裝兩種服務(wù)��,因此改善了效率�����。例如�,即使在至今僅僅支持票證冊的服務(wù)的SE101g-1中,只有安裝了PreSEntation原語����,才可能實現(xiàn)需要象在預(yù)付火車卡中一樣,在退出時間參照進入時間的信息的計算處理的服務(wù)�。
而且,因為在(4)的每個消息中包括從伙伴發(fā)送的隨機數(shù),因此防止了在通信路徑上的替換性附加��,并且可以獲得安全的通信�����。
ME100g-1存儲在(5)的消息中包括的Tran_Order和在(7)的消息中包括的Sign_SE(TRAANSACTION�,TicketV,Random2����,T)。因此��,通過示出這些消息�,有可能即使當(dāng)票證穿孔機故障時也證明使用了哪個票證穿孔機和執(zhí)行了什么樣的票證穿孔處理。另外�,可以向消息(4)增加指定人的數(shù)量的參數(shù)。這使得驗證器有可能即使當(dāng)驗證器沒有自動檢測人數(shù)的功能時����,按照諸如多個人、成人和兒童這樣的詳細(xì)請求而產(chǎn)生Trans_Order�。
圖39圖解了對應(yīng)于圖25的在SE之間的票證移動處理的示例。不像圖25那樣��,圖39中示出了包括SE1的證書的發(fā)送的消息視圖。而且�����,這被優(yōu)化并且省略確認(rèn)消息��。
在圖39中���,如下所述提供了四種原語。兩種被提供到發(fā)送端�,另外兩種被提供到接收端。通過定義移動處理的原語���,可以保證在ME和SE之間的兼容性���。(移動處理的原語1)原語名稱...StartTransfer輸入(2)的消息...Cert_SE1輸出(3)的消息...Random1處理...票證接收端的SE2的處理。輸入的SE1(發(fā)送端的SE)的證書Cert_SE1被驗證����。當(dāng)它正確時,返回新產(chǎn)生的隨機數(shù)(Random1)��。證書的公鑰和所產(chǎn)生的隨機數(shù)的值(Random1)被存儲�����。
消息的(5)中所示的Movedata指示TicketV的值,它被移動和登記到伙伴的SE���。假定利用ME100g-1的應(yīng)用通過用戶的操作來產(chǎn)生這個數(shù)據(jù)�。當(dāng)這個數(shù)據(jù)的使用不限于一次時����,這樣的移動票證的一部分的制定是可能的。而且����,根據(jù)票證,根本不允許移動的票證和僅僅部分不允許移動的票證是可能的�。在這種情況下,示出這被包括在票證穿孔必要信息1002中的信息�。這使得服務(wù)提供者有可能提供具有靈活性的服務(wù)。
(移動處理的原語2)原語名稱...Instruction輸入(5)的消息...Movedata����,Random1,Cert_SE2輸出(6)的消息...MoveOffer��,Random2處理...票證發(fā)送端的SE2的處理����。驗證輸入SE2的證書Cert_SE2(接收斷的SE)101g-2�。當(dāng)它正確時����,確認(rèn)是否存儲由輸入的Movedata所示的TicketV。當(dāng)它被存儲時���,從TicketV中減去由Movedata指定的一個數(shù)量以更新TicketV���。當(dāng)處理正常結(jié)束時,返回數(shù)據(jù)MoveOffer=Sign_SE1(Movedata�,TicketV��,Random1�����,T1)�,其中向在更新之前的TicketV的值、Movedata�、具有Random1與由SE1管理的時間信息的組合的數(shù)據(jù)放置一個簽字;以及新產(chǎn)生的隨機數(shù)(Random2)�����。證書的公鑰和所產(chǎn)生的隨機數(shù)的值(Random2)被存儲。
當(dāng)處理未正常結(jié)束時���,操作員使用時間信息T1來判斷故障的起因���。但是,當(dāng)在SE中未安裝任何實時的時鐘時���,可以不提供時間信息�。
在提前刪除了值信息之后向接收端發(fā)放一個移動命令�,從而提供了一個沒有雙值(double value)信息并且惡意的用戶不能獲得益處的機制,以便服務(wù)公司可以安全地提供服務(wù)�����。
(移動處理的原語3)原語名稱...Transfer輸入(7)的消息...MoveOffer���,Random2輸出(8)的消息...Sign_SE2(TRANSFER�����,TicketV���,Random2����,T2)處理...票證發(fā)送端的SE2的處理���。執(zhí)行在包括在MoveOffer中的Random1的值和由StartTransfer產(chǎn)生的值之間的比較來驗證����。當(dāng)它正確時����,通過由StartTransfer獲得的公鑰來驗證MoveOffer的簽字。當(dāng)它正確時�����,將在MoveOffer中包括的Movedata的值存儲為新的TicketV�。當(dāng)處理正常結(jié)束時��,返回數(shù)據(jù)(TRANSFER���,TicketV�����,Random2����,T2),其中一個簽字被放置到簽字目標(biāo)�����、登記的TicketV�����、輸入的Random2��、與由SE2管理的時間信息T2組合的數(shù)據(jù)�。
當(dāng)處理未正常結(jié)束時,操作員使用時間信息T2來判斷故障的起因�。但是,當(dāng)在SE中未安裝實時時鐘時���,可以不提供時間信息����。
(移動處理的原語4)原語名稱...Receipt輸入(9)的消息...Sign_SE2(TRANSFER,TicketV���,Random2�����,T2)輸出(10)的消息...ACK處理...票證接收端的SE1的處理����。執(zhí)行在包括在輸入數(shù)據(jù)中的Random2和TicketV的值與由Instruction產(chǎn)生的值之間的比較來驗證���。當(dāng)它正確時���,驗證包括在輸入數(shù)據(jù)中的簽字的目標(biāo)。當(dāng)它正確時���,通過由Instruction獲得的公鑰來驗證輸入數(shù)據(jù)的簽字�。當(dāng)處理正常結(jié)束時�����,返回ACK����。
這四種原語被安裝,使得有可能不經(jīng)由服務(wù)器來傳送票證�����。而且�����,利用電子簽字和SE保證了安全��,并且執(zhí)行了傳送���,結(jié)果���,不留下傳送源的信息,并且這使得有可能提供匿名的安全傳送�����。
按照諸如下載�����、票證穿孔、傳送這樣的處理來劃分原語�,并且在所產(chǎn)生的數(shù)據(jù)中包括的簽字目標(biāo)不同,以便用戶不能使用數(shù)據(jù)來用于其他目標(biāo)�����。
而且�,作為發(fā)送者和接收者的ME101存儲MoveOffer和Sign_SE2(TRANSFER,TicketV�����,Random2����,T2)。這使得即使當(dāng)發(fā)生故障時也證明已經(jīng)進行了什么樣的存儲處理和已經(jīng)按照什么樣的移動命令進行了這樣的存儲處理���。
<實施例9>
實施例9將使用圖40和41來說明如下的機制���,其中不能在實施例6中被判斷的一個差錯被自動恢復(fù)。為此�,在圖11的SE101g中新提供了差錯恢復(fù)功能和處理歷史使能(enable)部分����。當(dāng)僅僅執(zhí)行在圖356中所示的下載處理和在圖36中所示的證明處理時����,這個實施例不必要�����。
首先�,使用圖40來說明在SE中執(zhí)行的通信伙伴管理功能的處理流程。這個流程在每個操作執(zhí)行時間開始�����,并且在完成時間結(jié)束�。例如,在圖35的下載處理中�����,在接收(2)的消息時開始步驟400�,在步驟406的處理中執(zhí)行圖35的下載處理中所述的票證處理,在(7)的消息發(fā)送時執(zhí)行步驟407��,在步驟408完成處理。在SE中提供了處理歷史使能部分�,在步驟404或407存儲在通信伙伴存儲區(qū)域107g中的信息和處理的狀態(tài)被存儲在那里作為歷史信息。為此����,用戶不能方便地獲得未經(jīng)授權(quán)的訪問以重寫,使得有可能防止非法行為��。而且�,分別管理與同一票證相關(guān)的下載處理、票證穿孔處理和傳送處理的信息項��,使得有可能在處理中檢測非法行為���。而且��,在步驟401��,可以執(zhí)行對于諸如在票證穿孔處理中的差錯票證之類的事件不能進行移動處理的控制����,使得有可能提前防止故障����。
存儲在通信伙伴存儲區(qū)域107g中的信息包括票證ID��、操作的類型(原語)�、通信伙伴的類型(發(fā)放器����、驗證器等的類型信息)�、通信伙伴的公鑰、處理中的數(shù)據(jù)(所產(chǎn)生的隨機數(shù))�����、提供證據(jù)的消息�����。在這些中��,全部都可以存儲到處理歷史使能部分�����,或者其中一部分可以存儲到那里����。這使得有可能按照SE的存儲器大小來提供差錯恢復(fù)功能�����。
如果當(dāng)接通PTD或插入SE或開始票證應(yīng)用(application)時����,在SE的通信伙伴存儲區(qū)域中存在未完成處理的數(shù)據(jù)��,則在一些情況下提供存儲數(shù)據(jù)到未完成的歷史的功能�����。
關(guān)于何時應(yīng)當(dāng)存儲歷史信息����,用戶可以設(shè)置它、確定時段或確定最大的存儲量���??梢钥紤]其中票證服務(wù)提供者定期提取這個歷史信息以提供備份服務(wù)的服務(wù)�����。這使得用戶有可能接收服務(wù)而不意識到存儲器管理�����。而且,票證服務(wù)提供者可以匯總用戶的使用歷史�����。
接著使用圖41來說明用于自動執(zhí)行差錯恢復(fù)的處理���。在圖40中,執(zhí)行差錯恢復(fù)的服務(wù)終端被稱為驗證器111g-1����。這個處理使用SE具有的通信伙伴管理功能和ME100g-1具有的在處理中管理消息的功能。ME100g-1在票證處理中存儲消息����,諸如在圖37和38的票證穿孔處理中的Tran_Order和(7)的消息以及在圖39的票證移動處理中的MoveOffer和(8)的消息,并且ME100g-1具有可以當(dāng)指定TicketID的值時搜索包括所述值的數(shù)據(jù)的功能�。因為這些歷史數(shù)據(jù)項在ME上,因此可以考慮用戶根據(jù)他/她的判斷來刪除它們�,但是如果用戶刪除了它們,則這將給他/她帶來差錯恢復(fù)處理方面的很大不利���,以至于不能考慮用戶根據(jù)他/她的判斷來刪除它們����。
在這個處理中,使用了兩個原語���。通過定義差錯恢復(fù)的原語����,可以保證在應(yīng)用和SE之間的兼容性�。
(差錯恢復(fù)的原語1)原語名稱StartRecovery輸入(2)的消息...Cert_Verifier,TicketID��,Random3輸出(3)的消息...Sign_SE(STARTRECOVER�����,TicketV�,TicketV的Status_data,Random3)���,Random1處理...驗證輸入證書�����。當(dāng)它正確時�����,返回其中在數(shù)據(jù)(STARTRECOVER�����,TicketV�����,狀態(tài)���,Random3)中產(chǎn)生電子簽字的數(shù)據(jù)和新產(chǎn)生的隨機數(shù)Random1,所述產(chǎn)生電子簽字的數(shù)據(jù)包括簽字目標(biāo)����、由TicketID指定的TicketV的值、與TicketV相關(guān)的TicketV的處理歷史Status_data和輸入的Random3�。證書的公鑰和所產(chǎn)生的隨機數(shù)(Random2)的值被存儲。
已經(jīng)接收到(3)的消息的ME 100g-1搜索包括由TicketID從存儲在ME中的票證處理數(shù)據(jù)的歷史指定的值的數(shù)據(jù)����,并且當(dāng)搜索到它時,作為消息的(4)的歷史數(shù)據(jù)(TicketV的日志)和SE的證書與(3)的數(shù)據(jù)一起被發(fā)送到驗證器。
驗證器驗證包括在Sign_SE(STARTRECOVER�����,TicketV���,TicketV的Status data����,Random3)中的Random3的值�����,并且當(dāng)它正確時�����,驗證器驗證簽字��。當(dāng)它正確時����,從包括在Sign_SE(STARTRECOVER,TicketV�����,TicketV的Status_data,Random3)的TicketV�����、TicketV的Status_data和歷史數(shù)據(jù)隔離差錯的起因����。
在隔離圖37所示的票證移動處理的差錯的情況下,消息(1)和消息(4)被提供到作為移動源的SE和作為移動目的地的SE�。因此,與移動處理相關(guān)地��,可以正確地掌握差錯的情況以判斷���。
在此�����,在一些情況下,可以判斷目標(biāo)TicketV不存儲在這個SE中�����,因為在票證下載處理的正常存儲之后立即執(zhí)行了傳送處理?;蛘撸梢悦靼?,存儲處理在下載時因為一些原因存儲處理確實失敗,并且TicketV未被存儲在SE中���。
類似地�,在一些情況下����,可以判斷在票證穿孔處理中正常地執(zhí)行票證處理,并且人們因為票證穿孔機的機械故障而不能通過票證門(gate)���?����;蛘?,可以明白���,還未執(zhí)行票證穿孔處理����。
類似地,可以明白����,在傳送處理中正常地執(zhí)行票證移動處理,但是作為接收端的SE還執(zhí)行傳送處理并且目標(biāo)TicketV被正確地登記到作為發(fā)送端的SE和作為接收端的SE��?����;蛘?����,可以明白����,發(fā)送端已經(jīng)執(zhí)行了移動處理但是由于一些差錯而未向作為接收端的SE進行存儲?���;蛘撸梢悦靼?���,還沒有開始移動處理。
驗證器按照故障的起因來產(chǎn)生Recovery_Order��。
Recovery_Order可以被表達(dá)為Sign_Verifier(RECOVER�����,TicketV�,TicketV的Status_data,Random1)�����。當(dāng)需要在SE的TicketV中的改變時�����,放置校正的TicketV的值���。當(dāng)不需要在SE的TicketV中的改變時�����,放置與當(dāng)前值相同的值���。當(dāng)需要TicketV的Status_data中的改變時���,向TicketV的改變的Status_data加入變化。
驗證器還產(chǎn)生隨機數(shù)Random2����,并且將其作為消息(5)與由驗證器管理的時間信息T和Recovery_Order一起發(fā)送到ME。
在消息(5)中�����,可以_包括向用戶說明差錯的內(nèi)容的數(shù)據(jù)Recovery_Info����。存在一種情況,其中Recovery_Info是具有簽字的數(shù)據(jù)�。當(dāng)包括Recovery_Info時,ME提供用于向用戶作說明的數(shù)據(jù)���。這使得用戶有可能知道差錯的起因何在和將執(zhí)行什么恢復(fù)處理�,并且安全地接收服務(wù)����。
(差錯恢復(fù)的原語2)原語名稱...Recovery輸入(6)的消息...Recovery_Order,Random2,T輸出(7)的消息...Sign_SE(RECOVER����,TicketV��,Random2���,T)處理...通過將在由StartRecovery產(chǎn)生的Random1和包括在Recovery_Order中的隨機數(shù)的值之間進行比較來驗證����。當(dāng)它正確時�����,用由StartRecovery獲得的公鑰來驗證具有輸入簽字的數(shù)據(jù)(Recovery_Order)的簽字���。當(dāng)它正確時�,將由Recovery_Order指定的TicketV的值更新為一個指定的值���,并且將對應(yīng)的處理狀態(tài)的歷史信息也重寫為TicketV的Status_data���。返回如下的數(shù)據(jù),其中一個電子簽字被放置到數(shù)據(jù)(RECOVER�,TicketV����,Random2����,T),數(shù)據(jù)(RECOVER�,TicketV,Random2����,T)包括簽字目標(biāo)、更新的TicketV的值�、輸入的Random2和T。
因為與隨機數(shù)值相關(guān)地執(zhí)行處理��,因此可以防止在通信路徑上的替換攻擊����,并且可以執(zhí)行安全恢復(fù)處理。因為這個處理分析各種故障的起因以實現(xiàn)恢復(fù)�����,因此這是有效的。而且��,可以將這個處理的驗證器作為差錯恢復(fù)終端來被安裝��,用戶可以通過這個終端來移動到近距離并且執(zhí)行服務(wù)��,并且這可以作為在網(wǎng)絡(luò)上的一個服務(wù)器來被安裝���,以便服務(wù)提供者可以在安裝中具有靈活程度,用戶也可以按照情況來選擇方便的一個�。而且,因為定義了差錯恢復(fù)的原語�����,因此可以保證在應(yīng)用和SE之間的兼容性�����。
<實施例10>
現(xiàn)在使用圖35-41說明使用與票證ID相關(guān)的公用密鑰的示例��。
實施例8和9已經(jīng)提出了使用公鑰加密系統(tǒng)的方法��,但是���,也可以考慮使用公用密鑰的方法���。當(dāng)公用密鑰是一個公用秘密密鑰時�����,在發(fā)送目的地通過公鑰來加密密鑰信息�����,并且發(fā)送結(jié)果��。在具有實施例9中所述的簽字的數(shù)據(jù)由取代簽字的公用密鑰進行加密����,并且接收和發(fā)送結(jié)果���。當(dāng)公用密鑰是一個公用公開密鑰對時�����,通過加密或簽字來接收和發(fā)送數(shù)據(jù)��。在任何一種情況下��,當(dāng)發(fā)送公用密鑰時�,在發(fā)送目的地通過秘密密鑰來加密公用秘密密鑰信息,并且發(fā)送結(jié)果�����。通過伙伴的公鑰來加密數(shù)據(jù)并且發(fā)送結(jié)果����。另外,可以不加密公用公開密鑰�。在具有實施例9中所述的簽字的數(shù)據(jù)由取代簽字的公用公開密鑰或公用秘密密鑰加密�����,并且接收和發(fā)送結(jié)果���。
在圖35的下載處理的情況下���,由SE的公鑰加密的公用密鑰信息被包括在具有消息(5)的發(fā)放器的簽字的票證數(shù)據(jù)中。已經(jīng)接收到消息(6)的SE解密公用密鑰��,并且將其與對應(yīng)的票證相關(guān)聯(lián)地存儲�����。結(jié)果,SE不必在使用這個票證的以后的處理中使用諸如證書驗證的PKI(公鑰基礎(chǔ)設(shè)施)來處理����。
在使用驗證器來執(zhí)行相互的鑒別之后,發(fā)放器發(fā)送要與票證ID相關(guān)聯(lián)的�、由驗證器的公鑰加密的公用密鑰。這消除了在票證穿孔時驗證每個SE的SE證書的必要����。
在圖36的處理的情況下,消息(3)可以輸出由取代SE的簽字的�、對應(yīng)于票證ID的公用密鑰加密的數(shù)據(jù)或被簽字的數(shù)據(jù)。
在圖37的票證穿孔處理的情況下��,消息(1)和(4)是不必要的��?����;蛘?���,可以提供消息(3)的Random和消息(4)的Random�?���;蛘撸瑑H僅在消息(1)和消息(2)中發(fā)送票證ID����,通過與票證ID相關(guān)聯(lián)的公用密鑰來加密Random,并且可以在(3)和(4)中發(fā)送結(jié)果���。
消息(5)的Trans_Order可以是由取代由驗證器密鑰的簽字的�、對應(yīng)于票證ID的公鑰加密的Trans_Order����,或者是被增加簽字的Trans_Order���。而且�����,由SE產(chǎn)生的消息(7)可以是取代加上SE的簽字的��、對應(yīng)的公用密鑰加密的消息(7)�、或加上簽字的消息(7)。這使得有可能將消息的數(shù)量降低4�,并且執(zhí)行高速的處理。
在圖38的票證穿孔處理中�,消息(2)的Cert_Verifier是不必要的。而且�,消息(3)的數(shù)據(jù)Sig_SE(PRESENTATION,TicketV����,Random3)可以是由取代通過SE的密鑰的簽字的、對應(yīng)于票證ID的公用密鑰加密的數(shù)據(jù)Sig_SE(PRESENTATION��,TicketV�,Random3),或是加上簽字的數(shù)據(jù)Sig_SE(PRESENTATION�,TicketV,Random3)�����。消息(5)-(7)與圖37的說明相同����。這使得有可能省略諸如證書的驗證的沉重負(fù)荷處理。
在圖39的移動處理的情況下���,處理與直到消息(5)的部分相同���。在接收到消息(5)之后�,SE產(chǎn)生一個公用密鑰�����,并且執(zhí)行向MoveOffer的包括由SE2的秘密密鑰加密的公用密鑰的數(shù)據(jù)的發(fā)送��。已經(jīng)接收到消息(7)的SE2解密由SE2的秘密密鑰解密的公用密鑰�,并且可以由取代由SE2的秘密密鑰的簽字的、所接收的公用密鑰來加密消息(8)�����,或者可以向那里增加簽字����。消息(10)與上述的相同��。
在圖41的情況下���,消息(2)的Cert_Verifier是不必要的�。而且,消息(3)的數(shù)據(jù)Sig_SE可以是對應(yīng)于由取代經(jīng)SE的密鑰的簽字的票證ID的公用密鑰加密的數(shù)據(jù)Sig_SE�����,或是加上簽字的數(shù)據(jù)Sig_SE�����。消息(5)的Recovery_Order可以是對應(yīng)于由取代經(jīng)驗證器的密鑰的簽字的票證ID的公用密鑰加密的Recovery_Order�,或是加上簽字的Recovery_Order。而且����,由SE產(chǎn)生的消息(7)可以是由取代SE的簽字的對應(yīng)公用密鑰加密的消息(7),或是加上簽字的消息(7)��。
以這種方式���,與票證ID相關(guān)聯(lián)的公用密鑰的使用使得有可能省略通過SE的�����、諸如證書驗證之類的公鑰加密處理�,并且提供對SE的負(fù)荷輕并且處理快的票證服務(wù)。
<實施例11>
實施例8�、9、10已經(jīng)示出了示例�����,其中自生的隨機數(shù)根據(jù)這樣的被數(shù)據(jù)分別發(fā)送��,在所述數(shù)據(jù)中�����,一個簽字被放置到包括從伙伴發(fā)送的隨機數(shù)的處理數(shù)據(jù)中�����,或者在處理消息中對其提供了加密�����。但是��,除了包括從伙伴發(fā)送的隨機數(shù)的處理數(shù)據(jù)之外����,還有可能不僅發(fā)送自生的隨機數(shù),而且發(fā)送被簽字和加密的數(shù)據(jù)��。
例如����,圖35的消息(3)已經(jīng)示出了Sig_SE(STARTREG,Random1)和Random2�,但是Sig_SE(STARTREG,Random1�����,Random2)也是可能的�����。這使得有可能檢測隨機數(shù)的替代����。
如上所述,按照本發(fā)明��,多個服務(wù)服務(wù)器操作員共享發(fā)放成本的SE以使得容易利用SE來提供安全的移動服務(wù)���。而且���,因為僅僅具有由服務(wù)管理器發(fā)放的證書的人可以利用SE來提供服務(wù)��,因此有可能防止未支付SE的成本的用戶使用SE��。
而且����,按照本發(fā)明���,因為可以通過由服務(wù)管理器發(fā)放的證書的種類來限制對SE的服務(wù)項目登記區(qū)域的訪問�,因此可以由公司來設(shè)置權(quán)利的限制�。而且,有可能按照要發(fā)放的服務(wù)證書的種類來執(zhí)行靈活的管理�,諸如改變發(fā)放費用。
而且�,按照本發(fā)明,服務(wù)公司可以遠(yuǎn)程安全地向一次發(fā)放的SE增加用戶請求的服務(wù)��。結(jié)果��,服務(wù)管理器可以靈活地執(zhí)行SE101的發(fā)放管理����。因為用戶也能夠以后僅僅增加必要的服務(wù)�����,因此可以改善方便性���。而且�����,因為服務(wù)服務(wù)器也可以向用戶已經(jīng)擁有的SE101增加以后開始的服務(wù)��,因此擴展了市場����。
而且,按照本發(fā)明�,因為SE的接口是公開的,因此用戶可以利用任何能夠使用SE的蜂窩電話通過向其插入所購買的SE來接收喜好的服務(wù)���。
而且��,按照本發(fā)明����,對于甚至不包括SE特有的信息的票證,票證數(shù)據(jù)的主體可以被存儲到除了SE之外的存儲器中而不被加密���。
而且��,按照本發(fā)明�����,用戶可以自由地復(fù)制票證數(shù)據(jù)并將其附加到郵件上�,向朋友發(fā)送它��。當(dāng)希望將票證傳遞給朋友時��,操作員首先通過郵件等向朋友發(fā)送票證��,并且可以在朋友查看數(shù)據(jù)之后執(zhí)行票證移動的實際處理����。
而且,按照本發(fā)明�,因為當(dāng)希望購買這樣的數(shù)據(jù)的用戶結(jié)束支付處理時,可以獲得有效的票證來作為在票證發(fā)放時通過郵件等向用戶發(fā)送票證數(shù)據(jù)之后指定的信息����,因此可以提高票證促銷的自由度�。而且����,發(fā)放服務(wù)器不必分別發(fā)放和管理在支付之前被編號的票證和在支付之后的票證。
而且����,按照本發(fā)明����,當(dāng)服務(wù)服務(wù)器希望確認(rèn)是否在SE中登記了特定的服務(wù)項目時,可以通過包括具有由服務(wù)服務(wù)器發(fā)送的隨機數(shù)的SE的簽字的數(shù)據(jù)來執(zhí)行確認(rèn)��。
而且�,按照本發(fā)明,關(guān)于票證處理和在SE之間的服務(wù)項目移動處理��,僅僅可以發(fā)送在服務(wù)登記區(qū)域中登記的信息�,因此可以減少數(shù)據(jù)通信的數(shù)量。
而且���,按照本發(fā)明��,在SE之間的服務(wù)項目移動處理中�����,在SE之間的服務(wù)項目的移動在同時沒有在移動目的地和移動源的兩個SE中的服務(wù)項目的情況下是可能的����。
而且,按照本發(fā)明��,即使在按照SE的功能中的提高而混合具有多種性能的SE的市場中�,也有可能處理性能而不改變在服務(wù)服務(wù)器端的接口。
而且�����,按照本發(fā)明����,有可能不經(jīng)由服務(wù)器來執(zhí)行在SE之間的安全票證傳送。即使執(zhí)行了傳送��,仍然保留了秘密�����,并且因為未增加傳送歷史而不增加票證數(shù)據(jù)的量����。
而且�����,按照本發(fā)明�,在票證發(fā)放時�,由SE產(chǎn)生的隨機數(shù)被發(fā)放而包括在票證數(shù)據(jù)的價值信息部分中。這提供了一種機制�����,它能夠處理經(jīng)由通信路徑的電話竊聽和替換攻擊���。
而且,按照本發(fā)明��,執(zhí)行對SE的存儲以排除加到票證穿孔必要信息的發(fā)送端的簽字����,并且在票證使用時加上SE的簽字。為此����,曾經(jīng)存儲到SE的票證數(shù)據(jù)不能沒有SE的簽字而被向外輸出���。而且,在具有簽字的數(shù)據(jù)中��,包括處理的目標(biāo)��。為此�����,有可能通過使用開放的PKI機制來實現(xiàn)使用小數(shù)量的SE區(qū)域的服務(wù)���。
而且�,按照本發(fā)明�����,在銷售受歡迎的票證時�,存在支付處理的負(fù)荷的問題。按照這個系統(tǒng)��,因為除非執(zhí)行用于向SE登記票證穿孔必要部分的處理��,否則票證不變?yōu)橛行В虼丝梢栽诰幪柕钠弊C和現(xiàn)有的票證之間共同使用票證數(shù)據(jù)(用戶顯示部分)��。為此����,可以使用編號的票證來延展支付處理的負(fù)荷而不在發(fā)放管理中增加時間和勞動強度。
而且�,按照本發(fā)明,可以使用SE使用差錯恢復(fù)的協(xié)議來自動執(zhí)行差錯恢復(fù)處理�,以使得有可能減少維護的時間和勞動。按照差錯恢復(fù)的協(xié)議��,有可能在票證操作中檢測差錯和非法行為并且恢復(fù)它們��。而且��,有可能本地和遠(yuǎn)程提供差錯恢復(fù)服務(wù)�。
本申請基于日本專利申請2002年3月13日提交的第2002-069362號和2003年1月15日提交的第2003-007684號,在此以引用方式將它們的整體內(nèi)容明確引入���。
權(quán)利要求
1.一種服務(wù)執(zhí)行模塊,它是存儲用于執(zhí)行服務(wù)的信息的模塊����,其中所述模塊由抗干擾的存儲介質(zhì)形成,包括服務(wù)應(yīng)用存儲裝置,用于存儲用以執(zhí)行所述服務(wù)的應(yīng)用��;服務(wù)管理器證書存儲裝置�,用于存儲服務(wù)管理器證書,它是管理所述服務(wù)的服務(wù)管理器的證書�����;以及服務(wù)項目存儲裝置����,用于存儲一個服務(wù)項目,所述服務(wù)項目是執(zhí)行所述服務(wù)所需要的信息����。
2.按照權(quán)利要求1的服務(wù)執(zhí)行模塊,其中從作為服務(wù)提供源的服務(wù)服務(wù)器接收服務(wù)服務(wù)器證書�,使用服務(wù)管理器證書來驗證所述服務(wù)服務(wù)器證書,并且當(dāng)驗證成功時����,使用服務(wù)項目來執(zhí)行相關(guān)的服務(wù)。
3.按照權(quán)利要求1的服務(wù)執(zhí)行模塊��,其中所述服務(wù)應(yīng)用存儲裝置存儲關(guān)于附加服務(wù)信息的附加服務(wù)信息存儲應(yīng)用�,所述附加服務(wù)信息是用于執(zhí)行新增加的附加服務(wù)的信息;所述服務(wù)管理器證書存儲裝置存儲附加服務(wù)信息發(fā)放管理器證書,它是管理附加服務(wù)信息的發(fā)放的附加服務(wù)信息發(fā)放管理器的證書�;所述服務(wù)項目存儲裝置存儲對存儲附加服務(wù)信息所需要的附加服務(wù)信息存儲項目,并且從作為附加服務(wù)信息的提供源的附加服務(wù)信息提供服務(wù)器接收附加服務(wù)信息提供服務(wù)器證書���,使用附加服務(wù)信息發(fā)放管理器證書來驗證附加的服務(wù)信息通過服務(wù)器證書�����,當(dāng)驗證成功時���,使用附加服務(wù)信息存儲項目來存儲用于執(zhí)行附加服務(wù)的附加服務(wù)應(yīng)用、作為管理附加服務(wù)的附加服務(wù)管理器的證書的附加服務(wù)管理器證書和執(zhí)行附加服務(wù)所需要的附加服務(wù)項目�����。
4.按照權(quán)利要求1的服務(wù)執(zhí)行模塊����,其中從發(fā)放票證數(shù)據(jù)的發(fā)放服務(wù)器接收發(fā)放服務(wù)器證書,使用服務(wù)管理器證書來驗證該發(fā)放服務(wù)器證書��,并且當(dāng)驗證成功時����,在票證數(shù)據(jù)中描述的信息的一部分或全部被存儲到服務(wù)項目存儲裝置中。
5.按照權(quán)利要求4的服務(wù)執(zhí)行模塊�,其中能夠直接或間接地執(zhí)行針對服務(wù)數(shù)據(jù)存儲區(qū)域的數(shù)據(jù)發(fā)送和針對服務(wù)數(shù)據(jù)存儲區(qū)域的數(shù)據(jù)接收,所述服務(wù)數(shù)據(jù)存儲區(qū)域是不抗干擾的存儲介質(zhì)�,所發(fā)放的票證數(shù)據(jù)被存儲在服務(wù)存儲區(qū)域中,并且在票證數(shù)據(jù)中�,票證穿孔處理所需要的信息被存儲到服務(wù)項目存儲裝置中。
6.按照權(quán)利要求4的服務(wù)執(zhí)行模塊�����,其中從執(zhí)行票證數(shù)據(jù)的票證穿孔處理的票證穿孔機接收票證穿孔機證書�����,使用服務(wù)管理器證書驗證票證穿孔機���,并且當(dāng)驗證成功時����,使用服務(wù)項目執(zhí)行相關(guān)的票證穿孔處理��。
7.按照權(quán)利要求4的服務(wù)執(zhí)行模塊�,其中票證數(shù)據(jù)具有票證穿孔必要信息,其中包括票證ID����、票證穿孔的時間信息和/或票證穿孔的空間信息���,向票證穿孔必要信息放置已經(jīng)發(fā)放票證數(shù)據(jù)的發(fā)放器的簽字、對票證數(shù)據(jù)執(zhí)行票證穿孔處理的票證穿孔機的簽字或服務(wù)執(zhí)行模塊本身的簽字之中的任何一個��。
8.一種服務(wù)執(zhí)行模塊�����,它是具有安全區(qū)域的模塊����,所述安全區(qū)域是抗干擾的存儲區(qū)域,并且執(zhí)行任意服務(wù)�����,包括公鑰存儲裝置�����,用于存儲服務(wù)管理器公鑰����,這是管理服務(wù)的服務(wù)管理器的公鑰�����;項目存儲裝置,用于存儲服務(wù)項目���,它是執(zhí)行服務(wù)所需要的信息�����;處理控制裝置����,用于控制在所述公鑰存儲裝置�、所述項目存儲裝置和相關(guān)的模塊中的處理。
9.按照權(quán)利要求8的服務(wù)執(zhí)行模塊�����,其中當(dāng)從發(fā)放關(guān)于服務(wù)的信息的服務(wù)信息的發(fā)放主體接收服務(wù)信息的登記請求時��,所述處理控制裝置使用服務(wù)管理器公鑰驗證包括在登記請求中并且由服務(wù)管理器簽字的發(fā)放器證書��,以便其后接收該服務(wù)信息��,并且在利用所述穿孔控制裝置本身的秘密密鑰來驗證包括在服務(wù)信息中的簽字信息之后,提取包括在服務(wù)信息中的服務(wù)項目以存儲到所述項目存儲裝置中�。
10.按照權(quán)利要求9的服務(wù)執(zhí)行模塊,還包括正常區(qū)域�,它是不抗干擾的存儲區(qū)域;第二信息存儲裝置�,用于在所述正常區(qū)域中存儲第二信息,所述第二信息是在服務(wù)信息中除了至少所述服務(wù)項目之外的信息���。
11.按照權(quán)利要求10的服務(wù)執(zhí)行模塊�����,其中當(dāng)傳送作為某個服務(wù)項目的所有或部分的信息的傳送信息時�����,對應(yīng)于服務(wù)項目的第二信息在傳送信息的傳送處理之前被發(fā)送到傳送處理的伙伴�����。
12.按照權(quán)利要求10的服務(wù)執(zhí)行模塊����,其中當(dāng)購買作為某個服務(wù)項目的所有或部分的信息的購買信息時���,在購買信息的購買處理之前從購買處理的伙伴接收對應(yīng)于所述服務(wù)項目的第二信息�����。
13.按照權(quán)利要求10的服務(wù)執(zhí)行模塊���,還包括在安全區(qū)域中的通信伙伴存儲裝置,用于存儲關(guān)于通信伙伴的信息以執(zhí)行和處理服務(wù)����;處理歷史存儲裝置,用于向通信伙伴存儲處理的歷史��。
14.按照權(quán)利要求13的服務(wù)執(zhí)行模塊���,還包括消息歷史存儲裝置��,用于在正常區(qū)域中存儲來自通信伙伴的處理消息的歷史��。
15.按照權(quán)利要求14的服務(wù)執(zhí)行模塊����,其中當(dāng)檢測到某個處理差錯時�,所述控制裝置從所述消息歷史存儲裝置獲得處理消息�,并且再次響應(yīng)于所述消息����。
全文摘要
在SE中提供一個服務(wù)項目登記區(qū)域,以使得僅僅具有特定證書的服務(wù)服務(wù)器才能使用SE的服務(wù)項目登記區(qū)域來提供服務(wù)��。當(dāng)執(zhí)行使用服務(wù)項目登記區(qū)域的數(shù)據(jù)的處理時�����,交換簽字的消息�����。
文檔編號G06Q30/00GK1507601SQ0380017
公開日2004年6月23日 申請日期2003年3月12日 優(yōu)先權(quán)日2002年3月13日
發(fā)明者川口京子, 司, 高山久, 一, 大森基司, 布田裕一, 橫田薰 申請人:松下電器產(chǎn)業(yè)株式會社