專利名稱:數(shù)據(jù)存儲設備和數(shù)據(jù)存儲方法
技術領域:
本發(fā)明涉及數(shù)據(jù)存儲設備和數(shù)據(jù)存儲方法����,并且涉及能夠管理IC卡資源以及在多個管理者通過使用一IC(Integrated Circuit���,集成電路)卡提供其服務的情況下�����、用高度的靈活性和安全性執(zhí)行對IC卡訪問控制的數(shù)據(jù)存儲設備和數(shù)據(jù)存儲方法���。
例如,已經(jīng)研制出期望用在電子貨幣系統(tǒng)�����、安全系統(tǒng)等方面的IC卡(智能卡)�����。
IC卡有用于執(zhí)行各種處理的CPU(Central Processing Unit��,中央處理單元)和用于存儲處理所需數(shù)據(jù)的存儲器,并且當IC卡電連接到預定的讀出器/寫入器(R/W)或在非接觸狀態(tài)下使用電磁波時����,執(zhí)行向IC卡發(fā)送數(shù)據(jù)及接收IC卡的數(shù)據(jù)。在非接觸狀態(tài)下使用電磁波用R/W執(zhí)行數(shù)據(jù)發(fā)送/接收的IC卡通常通過電磁波提供必要的動力�����。
例如���,在ISO(International Organization for Standardization��,國際標準化組織)7816中����,定義了接觸型IC卡標準�����。按照此標準����,例如基于用于存儲數(shù)據(jù)的EF(Elementary File,基本文件)(對應于所說的文件)���、和用于存儲EF和DF(Dedicated File����,專用文件)(對應于所說的目錄(文件夾))能夠執(zhí)行數(shù)據(jù)管理�。因此,通過設定某DF為父層并且提供其子層的DF����,能夠進行基于層結(jié)構(gòu)的數(shù)據(jù)管理。
當IC卡用于由多個管理者提供服務時����,可考慮這樣一種方法,將DF作為一層分配給多個管理者中的每一個�����,并且將EF作為要提供用于每個管理者的服務供給的數(shù)據(jù)存儲在DF中���。
然而�,在ISO7816中難以對每個DF限制IC卡資源諸如可使用容量和用于識別DF和EF(對應于一文件名和一目錄名)的識別碼����。
因此���,難以防止在不同的管理者之間復制識別碼,并且難以限制管理者按超過預定容量的容量使用包含于IC卡內(nèi)的存儲器����,所述預定容量是通過合同等確定的。
此外�,在IC卡用在電子貨幣系統(tǒng)或安全系統(tǒng)的情況下,安全諸如數(shù)據(jù)保密�、防止IC卡的偽造等是重要的,并且例如ISO7816�����,通過加鎖DF限制對DF和屬于DF的EF的訪問���。即�,在ISO7816中���,為了訪問某DF���,需要知道在延伸到所需DF的總線上的上層(父層)的所有DF密鑰。
因此����,例如�,當作為父管理者的某管理者將分配給它的一部分資源分享給作為子管理者的另一管理者�����,并且在由父管理者管理的DF中形成由子管理者管理的DF�����,以使子管理者訪問其DF���,子管理者需要知道訪問父層的DF(即父管理者的DF)的密鑰,并且出現(xiàn)了安全性方面的問題��。
鑒于這種情況實現(xiàn)了本發(fā)明��,并且本發(fā)明的目的是使資源管理能夠存儲數(shù)據(jù)����,并且對數(shù)據(jù)具有高度靈活性和安全性的訪問控制。
按照本發(fā)明的一個方面��,數(shù)據(jù)存儲設備特征在于其包括存儲裝置�,具有一區(qū)定義區(qū)�����,用于儲存存儲區(qū)識別碼的范圍����,該存儲區(qū)識別碼能被分配到要管理的存儲區(qū)�����,并且用于識別該存儲區(qū)和要管理的所述存儲區(qū)的空容量��;管理裝置��,用于根據(jù)所述區(qū)定義區(qū)的存儲內(nèi)容����,管理所述存儲裝置。所述存儲裝置有所述區(qū)定義區(qū)��,用于存儲所述存儲區(qū)識別碼的范圍���,該存儲區(qū)識別碼能被分配到要管理的所述存儲區(qū)���,并且用于識別該存儲區(qū)和要管理的所述存儲區(qū)的所述空容量��,并且所述管理裝置根據(jù)所述區(qū)定義區(qū)的所述存儲內(nèi)容�,管理所述存儲裝置�。
按照本發(fā)明的另一方面,數(shù)據(jù)存儲方法特征在于其包括根據(jù)所述存儲裝置的區(qū)定義區(qū)的存儲內(nèi)容�、管理存儲裝置的管理步驟,所述存儲裝置具有一區(qū)定義區(qū)�����,用于儲存存儲區(qū)識別碼的范圍����,該存儲區(qū)識別碼能被分配到要管理的存儲區(qū)�����,并且用于識別該存儲區(qū)和要管理的存儲區(qū)的空容量���。根據(jù)所述存儲裝置的所述區(qū)定義區(qū)的所述存儲內(nèi)容�����,管理所述存儲裝置����,所述存儲裝置具有所述區(qū)定義區(qū),用于存儲所述存儲區(qū)識別碼的范圍��,該存儲區(qū)識別碼能被分配到要管理的所述存儲區(qū)��,并且用于識別該存儲區(qū)和要管理的所述存儲區(qū)的所述空容量�。
根據(jù)本發(fā)明的另一方面,數(shù)據(jù)存儲設備特征在于其包括管理裝置���,用于管理數(shù)據(jù)存儲裝置的所述存儲區(qū)��,同時設定層結(jié)構(gòu)中的存儲區(qū)���;層密鑰存儲裝置,用于存儲層密鑰�,該層密鑰用于所述數(shù)據(jù)存儲裝置的所述存儲區(qū)的每一層;數(shù)據(jù)存儲區(qū)密鑰存儲裝置�����,用于存儲一存儲區(qū)的數(shù)據(jù)存儲區(qū)密鑰���,該存儲區(qū)中存儲數(shù)據(jù)����;產(chǎn)生裝置,用于通過使用兩個或更多個層密鑰或數(shù)據(jù)存儲區(qū)密鑰��,產(chǎn)生一個或更多個用于認證的認證密鑰�����,以訪問所述存儲區(qū)�����;認證裝置����,用于根據(jù)所述認證密鑰執(zhí)行所述認證����。所述管理裝置管理所述數(shù)據(jù)存儲裝置的所述存儲區(qū),同時設定層結(jié)構(gòu)中的所述存儲區(qū)��,并且所述層密鑰存儲裝置存儲所述層密鑰��,用于所述數(shù)據(jù)存儲裝置的所述存儲區(qū)的每個層。所述數(shù)據(jù)存儲區(qū)密鑰存儲裝置存儲所述數(shù)據(jù)存儲區(qū)密鑰��,用于其中存儲數(shù)據(jù)的所述存儲區(qū)�����,并且產(chǎn)生裝置通過使用兩個或更多個層密鑰或數(shù)據(jù)存儲區(qū)密鑰��,產(chǎn)生一個或更多個用于認證的認證密鑰����,以訪問所述存儲區(qū)。認證裝置根據(jù)所述認證密鑰執(zhí)行所述認證����。
按照本發(fā)明的另一方面,數(shù)據(jù)存儲方法特征在于其包括產(chǎn)生步驟���,通過使用兩個或更多個層密鑰或數(shù)據(jù)存儲區(qū)密鑰��,產(chǎn)生一個或更多個用于認證的認證密鑰���,以訪問所述存儲區(qū);認證步驟���,用于根據(jù)所述認證密鑰執(zhí)行所述認證�。由兩個或更多個層密鑰或數(shù)據(jù)存儲區(qū)密鑰產(chǎn)生用于認證的一個或更多個認證密鑰,訪問所述存儲區(qū)�。根據(jù)所述認證密鑰執(zhí)行所述認證。
附圖的簡要說明
圖1是使用應用本發(fā)明的IC卡的卡系統(tǒng)實施例的結(jié)構(gòu)方框圖�����;圖2是圖1的讀出器/寫入器1的結(jié)構(gòu)方框圖�����;圖3是圖1的IC卡2的結(jié)構(gòu)方框圖�;圖4是圖3的EEPROM 66的邏輯格式圖;圖5是圖3的EEPROM 66的目錄結(jié)構(gòu)圖��;圖6是構(gòu)造圖5的層結(jié)構(gòu)的過程圖���;圖7是區(qū)形成處理的流程圖;圖8是服務形成處理的流程圖�;圖9是管理者之間密鑰接收/傳送圖;圖10是當管理者A提供服務時所需信息的圖��;圖11是當管理者A提供服務時IC卡2的處理圖����;圖12是通過服務提供裝置111對IC卡2的認證方法圖��;圖13是通過IC卡2對服務提供裝置111的認證方法圖��;圖14是當管理者B2提供服務時所需信息的圖�;圖15是當管理者B2提供服務時IC卡2的處理圖�����;圖16是當管理者C提供服務時所需信息的圖��;圖17是當管理者C提供服務時IC卡2的處理圖�����;圖18是當管理者C提供服務時所需信息的圖��;圖19是當管理者C提供服務時IC卡2的處理圖20是產(chǎn)生用于互相認證的第一訪問密鑰和第二訪問密鑰的方法圖�����;圖21是EEPROM 66的層結(jié)構(gòu)圖����;圖22是管理者之間密鑰接收/傳送圖��;圖23是管理者之間服務(數(shù)據(jù))的共同使用圖�;圖24是EEPROM 66的層結(jié)構(gòu)圖���;圖25是管理者之間密鑰接收/傳送圖���;以下參照附圖將詳細描述按照本發(fā)明的優(yōu)選實施例。
圖1示出應用本發(fā)明的非接觸卡系統(tǒng)的實施例的結(jié)構(gòu)(所述系統(tǒng)意指多個設備的邏輯組合����,并且它與是否各設備位于同一殼體內(nèi)無關)。
所述非接觸卡系統(tǒng)包括R/W1��、IC卡2和控制器3���,并且在非接觸狀態(tài)下通過使用電磁波在R/W1和IC卡2之間執(zhí)行數(shù)據(jù)發(fā)送/接收�。
即�����,R/W1向IC卡2發(fā)送預定命令�����,IC卡2接收該命令��,以執(zhí)行對應于該命令的處理�。IC卡2向R/W1發(fā)送對應于處理結(jié)果的響應數(shù)據(jù)。
R/W1通過預定接口(遵循RS-485A標準等)連接到控制器3���,并且控制器3向R/W1提供預定控制信號���,由此R/W1執(zhí)行預定處理。
圖2示出圖1的R/W1的結(jié)構(gòu)���。
在IC21中�,DPU(Data Processing Unit�����,數(shù)據(jù)處理單元)31�����,用于執(zhí)行數(shù)據(jù)處理��;SPU(Signal Processing Unit��,信號處理單元)32,用于處理要發(fā)送到IC卡2的數(shù)據(jù)和從IC卡2接收的數(shù)據(jù)��;SCC(串行通信控制器)33�,與控制器3通信;存儲單元34����,包括ROM部分41和RAM部分42,ROM部分41用于預先儲存處理數(shù)據(jù)所需的信息��,RAM部分42用于在處理過程中臨時存儲數(shù)據(jù)��,DPU 31�����、SPU 32����、SCC 33、存儲單元34通過總線彼此連接��。
此外���,用于存儲預定數(shù)據(jù)的快閃存儲器(flash memory)22也連接到總線��。
DPU 31向SPU 32輸出要發(fā)送到IC卡2的命令��,并且從SPU 32接收從IC卡2接收的響應數(shù)據(jù)��。
對于要發(fā)送到IC卡2的命令執(zhí)行預定處理(例如��,BPSK(BiPhase ShiftKeying��,雙相相移鍵控))調(diào)制(編碼成Manchester碼)等)之后����,SPU 32將其輸出到調(diào)制電路23��,并且SPU 32從解調(diào)電路25接收由IC卡2發(fā)送的響應數(shù)據(jù)�����,對數(shù)據(jù)執(zhí)行預定處理��。
調(diào)制電路23根據(jù)從SPU 32提供的數(shù)據(jù)����,對具有從振蕩器(OSC)26提供的預定頻率(例如13.56MHz)的載波執(zhí)行ASK(Amplitude Shift Keying,振幅偏移鍵控),并且將如此產(chǎn)生的調(diào)制波作為電磁波通過天線27輸出到IC卡2��。此時���,設計調(diào)制電路23使得調(diào)制因子設定到小于1����,并且執(zhí)行ASK調(diào)制��,這樣即使在數(shù)據(jù)的低電平處���,也可防止調(diào)制波的最大振幅減小到零�。
解調(diào)電路25對通過天線27接收的調(diào)制波(ASK-modulated wave�,ASK調(diào)制波)解調(diào),并且將如此解調(diào)的數(shù)據(jù)輸出到SPU 32��。
圖3示出圖1的IC卡2的結(jié)構(gòu)�����。
在IC卡2中�����,IC 51通過天線53接收從R/W 1發(fā)送的調(diào)制波。電容52與天線53一起構(gòu)成LC電路���,對其進行設計以便對具有預定頻率(載波頻率)的電磁波調(diào)諧(振蕩)�����。
在IC 51中,RF接口單元61(通信裝置)由ASK解調(diào)器81檢波和解調(diào)通過天線53接收的調(diào)制波(ASK調(diào)制波)��,并且將如此解調(diào)的數(shù)據(jù)輸出到BPSK解調(diào)電路62和PLL(Phase Locked Loop��,鎖相環(huán))單元63����。此外,由電壓調(diào)節(jié)器82穩(wěn)定在ASK解調(diào)器81中檢波的信號�,并且作為DC電源將其提供到每個電路。
RF接口單元61在振蕩電路83中振蕩具有與所述數(shù)據(jù)的時鐘頻率相同頻率的信號�����,并且將該信號輸出到PLL單元63��。
在RF接口單元61中����,在ASK調(diào)制器81中���,根據(jù)從運算單元64通過BPSK調(diào)制電路68提供的數(shù)據(jù),來改變作為IC卡2電源的天線53的負載(例如���,根據(jù)數(shù)據(jù)����,一規(guī)定的切換元件被接通/斷開�,并且僅當切換元件接通時,預定負載并聯(lián)連接到天線53)�����,由此通過天線53接收的調(diào)制波進行ASK調(diào)制(當從IC卡2發(fā)送數(shù)據(jù)時(使IC卡2發(fā)送數(shù)據(jù))��,R/W1設定所輸出的調(diào)制波的最大振幅到固定值���,并且此調(diào)制波根據(jù)天線53的負載的變化進行ASK調(diào)制)����,并且通過天線53將其調(diào)制分量發(fā)送到R/W1(改變R/W1的天線27的端電壓)��。
根據(jù)從ASK解調(diào)器81提供的數(shù)據(jù),PLL單元63產(chǎn)生與所述數(shù)據(jù)同步的時鐘信號�,并且將時鐘信號輸出到BPSK解調(diào)電路62和BPSK調(diào)制電路68。
當在ASK解調(diào)電路81中解調(diào)的數(shù)據(jù)被BPSK調(diào)制時���,BPSK解調(diào)電路62按照從PLL單元63提供的時鐘信號�,解調(diào)所述數(shù)據(jù)(對Manchester碼解碼)�����,并且將如此解調(diào)的數(shù)據(jù)輸出到運算單元64���。
當從BPSK解調(diào)電路62提供的數(shù)據(jù)被加密時,運算單元64對在加密/解碼單元92中的數(shù)據(jù)解碼����,然后處理在定序器(sequencer)91中的數(shù)據(jù)。當所述數(shù)據(jù)沒加密時��,從BPSK解調(diào)電路62提供的數(shù)據(jù)不通過加密/解碼單元92而直接到定序器91�。
設計定序器91(管理裝置)(產(chǎn)生裝置)(認證裝置)以執(zhí)行對應于作為要提供給其的命令的數(shù)據(jù)的處理。即���,例如定序器91執(zhí)行對EEPROM 6的數(shù)據(jù)寫入和讀出操作及其它所需的操作處理�����。此外�,定序器91根據(jù)認證執(zhí)行對EEPROM 66的訪問控制,并且也管理EEPROM 66���。
運算單元64的奇偶運算部分93根據(jù)存儲在EEPROM 66中的數(shù)據(jù)���,計算Reed Solomon碼作為奇偶校驗。
在運算單元64執(zhí)行定序器91中的預定處理后��,它將對應于所述處理的響應數(shù)據(jù)(要發(fā)送到R/W1的數(shù)據(jù))輸出到BPSK調(diào)制電路68���。
BPSK調(diào)制電路68使從運算單元64提供的數(shù)據(jù)進行BPSK調(diào)制���,并且將如此調(diào)制的數(shù)據(jù)輸出到RF接口單元61的ASK調(diào)制器。
ROM(Read Only Memory����,只讀存儲器)65存儲定序器91執(zhí)行其處理的程序和其它所需數(shù)據(jù)。RAM 67臨時存儲在定序器91等的處理過程中的數(shù)據(jù)���。
EEPROM(Electrically Erasable and Programmable ROM�����,電可擦除可編程ROM)66(存儲裝置)(數(shù)據(jù)存儲裝置)是非易失性存儲器�,并且即使當IC卡完成與R/W1通信并且當電源停止時,它仍繼續(xù)存儲數(shù)據(jù)�。
下面將描述R/W1和IC卡2之間的數(shù)據(jù)發(fā)送/接收處理。
R/W1(圖2)從天線27輻射預定電磁波����,監(jiān)測天線27的負載狀態(tài),并且等待直到檢測到由于IC卡2的靠近引起負載狀態(tài)的變化��。R/W1可執(zhí)行輻射電磁波以呼叫IC卡2的處理(查詢)���,直到在固定時間內(nèi)從IC卡2獲得響應,其中所述電磁波根據(jù)預定短圖案的數(shù)據(jù)被ASK調(diào)制���。
當在R/W1中檢測到IC卡2的靠近時�����,R/W1的SPU 32以預定頻率(例如���,為所述數(shù)據(jù)時鐘頻率的兩倍大)的矩形波作為載波����,根據(jù)要發(fā)送到IC卡2的數(shù)據(jù)(對應于要由IC卡2執(zhí)行的處理的命令�����,寫入數(shù)據(jù)要寫入到IC卡2中等)對其執(zhí)行BPSK調(diào)制�����,并且將如此產(chǎn)生的調(diào)制波(BPSK調(diào)制信號)(Manchester碼)輸出到調(diào)制電路23���。
在BPSK調(diào)制處理中����,通過使用差分變換����,所述數(shù)據(jù)能與調(diào)制波的相位變化相關聯(lián),在這種情況下����,BPSK調(diào)制信號能夠被解調(diào)到原始數(shù)據(jù),即使當它被反相時也如此�����。因此,在解調(diào)操作中不需考慮調(diào)制波的極性�。
根據(jù)BPSK調(diào)制信號輸入,調(diào)制電路23使預定載波進行小于1(例如0.1)的調(diào)制因子(=數(shù)據(jù)信號的最大振幅/載波的最大振幅)的ASK調(diào)制���,并且將如此產(chǎn)生的調(diào)制波(ASK調(diào)制波)通過天線27發(fā)送到IC卡2�。
當不執(zhí)行發(fā)送時�,調(diào)制電路23產(chǎn)生例如數(shù)字信號兩個電平(高電平和低電平)的高電平處的調(diào)制波。
在IC卡2中(圖3)��,從R/W1的天線27輻射的部分電磁波在包括天線53和電容52的LC電路中轉(zhuǎn)換成電信號�,該電信號(調(diào)制波)輸出到IC 51的RF接口61。RF接口61的ASK解調(diào)器81通過整流和平滑調(diào)制波來檢測包絡���,并且將如此產(chǎn)生的信號提供到電壓調(diào)節(jié)器82�。此外�����,其抑制了信號的DC分量��,提取數(shù)據(jù)信號�����,并且將數(shù)據(jù)信號輸出到BPSK解調(diào)電路62和PLL單元63��。
此時�����,天線53的端電壓V0如下V0=V10(1+k×Vs(t))cos(ωt)然而����,V10cos(ωt)表示載波,k表示調(diào)制因子����,Vs(t)表示從SPU 32輸出的數(shù)據(jù)。
通過ASK解調(diào)器81整流之后���,電壓V1中低電平值VLR如下VLR=V10(1+k×(-1))-Vf在此�����,在ASK解調(diào)器81中���,Vf表示構(gòu)成用于整流和平滑的整流電路的二極管(未示出)中的電壓降�,通常約為0.7伏��。
當電壓調(diào)節(jié)器82接收到由ASK解調(diào)器81整流和平滑的信號之后���,穩(wěn)定該信號�,并且將其作為DC電源提供給各電路以及操作電路64�。在此情況下,由于調(diào)制波的調(diào)制因子k如上所述小于1��,整流之后電壓變化(高電平和低電平之間的差值)小����。因此,在電壓調(diào)節(jié)器82中容易產(chǎn)生DC電源�。
在此,當接收具有5%調(diào)制因子k的調(diào)制波時���,V10大于3伏�,整流之后低電平電壓VLR等于或大于2.15(=3×(1-0.05)-0.7)伏����,電源調(diào)節(jié)器82能夠提供足夠的電壓作為給每個電路的電源。在此情況下�����,整流之后電壓V1的AC分量(數(shù)據(jù)分量)的振幅2×k×V10(峰-峰值)等于或大于0.3(=2×0.05×3)伏���,并且ASK解調(diào)器81能夠以足夠高的S/N比解調(diào)所述數(shù)據(jù)����。
如上所述����,通過使用具有小于1的調(diào)制因子k的ASK調(diào)制波,能夠執(zhí)行具有低差錯率(在高S/N比狀態(tài))的通信����,并且足夠的DC電壓作為電源能夠提供給IC卡2。
當BPSK解調(diào)電路62接收到來自ASK解調(diào)器81的數(shù)據(jù)信號(BPSK解調(diào)信號)時�����,其按照從PLL單元63提供的時鐘信號解調(diào)數(shù)據(jù)信號���,并且將如此解調(diào)的數(shù)據(jù)輸出到操作電路64���。
當從BPSK解調(diào)電路62提供的數(shù)據(jù)被加密�,操作單元64在加密/解碼單元92中對該數(shù)據(jù)解碼����,然后將該數(shù)據(jù)(命令)提供到定序器91,以處理該數(shù)據(jù)�。在此時間段期間,即��,從數(shù)據(jù)被發(fā)送到IC卡2的時刻直到接收到該發(fā)送的響應的時間段期間���,R/W1發(fā)送值為1的數(shù)據(jù)�,并且是在等待狀態(tài)����。因此,在此期間��,IC卡2接收最大振幅恒定的調(diào)制波���。
所述處理完成之后�,定序器91將關于處理結(jié)果等數(shù)據(jù)(要發(fā)送到R/W1的數(shù)據(jù))輸出到BPSK調(diào)制電路68����。BPSK調(diào)制電路68使數(shù)據(jù)進行BPSK調(diào)制(編碼成Manchester碼)如同在R/W1的SPU 32的情況�����,然后將所調(diào)制的數(shù)據(jù)輸出到RF接口單元61的ASK調(diào)制器84。
ASK調(diào)制器84通過使用切換元件等按照來自BPSK調(diào)制電路68的數(shù)據(jù)�����,變化連接到天線53兩端的負載�,由此所接收的調(diào)制波(如上所述在從IC卡2的數(shù)據(jù)發(fā)送時刻,從R/W1輸出的調(diào)制波的最大振幅是恒定的)按照要發(fā)送的數(shù)據(jù)進行ASK調(diào)制���,以變化R/W1的天線27的端電壓��,然后���,將如此調(diào)制的數(shù)據(jù)發(fā)送到R/W1。
R/W1的調(diào)制電路23在接收來自IC卡2的數(shù)據(jù)時刻��,繼續(xù)發(fā)送值為1(高電平)的數(shù)據(jù)��。在解調(diào)電路25中���,根據(jù)天線27的端電壓的微小變化(例如���,幾十微伏)檢測從IC卡2發(fā)送的數(shù)據(jù)�����,其中天線27電磁耦合到IC卡2的天線53���。
此外,在解調(diào)電路25中���,由高增益放大器(未示出)放大并且調(diào)制所檢測的信號(ASK調(diào)制波)�,并且如此獲得的數(shù)字數(shù)據(jù)輸出到SPU 32�。SPU 32解調(diào)該數(shù)據(jù)(BPSK調(diào)制信號)并且將其輸出到DPU 31。DPU 31處理來自SPU 32的數(shù)據(jù)�,并且根據(jù)處理結(jié)果判斷所述通信是否完成。如果判定該通信還執(zhí)行���,如上所述執(zhí)行R/W1和IC卡2之間的通信���。另一方面,如果判定該通信完成�����,則R/W1完成與IC卡2的通信處理。
如上所述�,R/W1通過使用調(diào)制因子k小于1的ASK調(diào)制,將數(shù)據(jù)發(fā)送到IC卡2�,IC卡2接收該數(shù)據(jù)以執(zhí)行對應于該數(shù)據(jù)的處理,并且將對應于該處理結(jié)果的數(shù)據(jù)返回到R/W1����。
圖4示出了圖3的EEPROM 66的邏輯格式�。
EEPROM 66以塊為基礎構(gòu)成,并且在圖4的實施例中����,例如一個塊由16個字節(jié)構(gòu)成。
此外���,在圖4的實施例中����,最上面塊的邏輯地址設定為#0000h(h表示十六進制)��,其它邏輯地址以上升的數(shù)字順序分配��。在圖4中#0000h到#FFFFh被分配為邏輯地址,這樣構(gòu)建65536(=216)個塊�����。
構(gòu)建所述塊以便被用作用戶塊或系統(tǒng)塊�。EEPROM 66的塊以邏輯地址上升的數(shù)字順序分配給用戶塊,并且以邏輯地址下降的數(shù)字順序分配給系統(tǒng)塊��。即�����,在圖4中����,用戶塊向下增加,系統(tǒng)塊向上增加���。在沒有空塊的時候�����,不能形成用戶塊和系統(tǒng)塊�。因此,用戶塊和系統(tǒng)塊之間的邊界不是固定的�����,對用戶塊的數(shù)目和系統(tǒng)塊的數(shù)目不加限制(然而�����,在圖4的實施例中����,用戶塊和系統(tǒng)塊的總數(shù)限制到65536或更少)。
系統(tǒng)塊分類成五種塊制造ID(識別)塊�、發(fā)行ID塊系統(tǒng)定義塊��、區(qū)定義塊和服務定義塊����。在圖4的實施例中,用作區(qū)定義塊或服務定義塊的塊作為區(qū)/服務定義塊示出����。
系統(tǒng)塊中,制造ID塊���、發(fā)行ID塊和系統(tǒng)定義塊這三種塊在IC卡2發(fā)行時已基本放置���,它們分別放置在邏輯地址#FFFFh�、#FFFEh和#FFFDh處���。區(qū)/服務定義塊以高于邏輯地址#FFFCh的邏輯地址形成順序放置��。
關于IC卡2的制造信息放置在制造ID塊中����。即��,例如唯一的制造ID����、制造日期、制造代碼等放置在制造ID塊中�。
關于IC卡2的發(fā)行信息放置在發(fā)行D塊中。即����,在發(fā)行ID塊中放置IC卡2的發(fā)行日期代碼、IC卡2的發(fā)行次序等�。
在系統(tǒng)定義塊中放置EEPROM 66擁有的系統(tǒng)塊或用戶塊的數(shù)目、系統(tǒng)密鑰等。當在IC卡2�����、R/W1和控制器3中執(zhí)行相互認證時�,使用該系統(tǒng)密鑰。
通過將EEPROM 66的存儲區(qū)(區(qū))分配給管理者����,形成區(qū)定義塊,并且管理分配給管理者自身的存儲區(qū)的信息等放置在區(qū)定義塊中��。即����,例如在區(qū)定義塊中放置后面描述的代碼范圍���、空容量�����、區(qū)密鑰等。
在服務定義塊中放置管理后面描述的服務區(qū)的信息(服務區(qū)容量�、服務密鑰等)等。
在定序器91中用分層管理EEPROM 66的存儲區(qū)����。
下面圖5示出了EEPROM 66的目錄結(jié)構(gòu)。
EEPROM 66的存儲區(qū)設計成分層結(jié)構(gòu)�����,其中區(qū)定義區(qū)被分層��,并且設計區(qū)定義區(qū)以便能夠具有區(qū)定義區(qū)和服務定義區(qū)��。
區(qū)定義區(qū)(層密鑰存儲裝置)被分配給管理者。在區(qū)定義區(qū)中放置表示識別碼的范圍的代碼范圍�����,該識別碼可用作由管理者識別區(qū)定義區(qū)和服務定義區(qū)的名稱�����,在區(qū)定義區(qū)中還放置表示可用空塊的數(shù)目的空容量��、產(chǎn)生用于認證的后面描述的訪問密鑰的區(qū)密鑰�����。在此,1區(qū)定義區(qū)對應于參照圖4描述的1區(qū)定義塊。
在圖5的實施例中���,分配給管理者A的區(qū)定義區(qū)構(gòu)成最上層,將管理者A的定義區(qū)設為父層,形成管理者B1和B2的區(qū)定義區(qū)����。此外�,將管理者B1的定義區(qū)設為父層�,形成管理者C的區(qū)定義區(qū)�。
服務定義區(qū)(數(shù)據(jù)存儲區(qū)密鑰存儲裝置)分配給管理者提供的服務���,用于存儲提供服務所需數(shù)據(jù)的服務區(qū)容量�、產(chǎn)生訪問密鑰的服務密鑰等放置在服務定義區(qū)中���。在此�,1服務定義區(qū)對應于參照圖4描述的1服務定義塊��。
該服務區(qū)是用于存儲提供服務所需數(shù)據(jù)的存儲區(qū)�,它對應于圖4的用戶塊。即����,由0之上的用戶塊構(gòu)成服務區(qū),并且構(gòu)成服務區(qū)的用戶塊數(shù)目作為管理該服務區(qū)的所述服務定義區(qū)的容量放置�����。
此外���,在區(qū)定義區(qū)和服務定義區(qū)中放置用于識別這些區(qū)的識別碼��。在此���,識別區(qū)定義區(qū)和服務定義區(qū)的識別碼以下稱為區(qū)代碼和服務代碼�����。服務代碼識別用于管理一服務區(qū)的服務定義區(qū)����,這樣它能被看作是用于識別所需服務區(qū)的識別碼(服務區(qū)識別碼)�����。
在圖5的實施例中�,最上層的區(qū)定義區(qū)分配給管理者A。0000h到FFFFh定義為可用的識別碼的范圍(代碼范圍)�,并且0123456789abcdef定義為區(qū)密鑰。在此����,任何識別碼如果它是區(qū)定義區(qū)中代碼范圍內(nèi)的識別碼都可用作區(qū)定義區(qū)的區(qū)代碼。在此實施例中���,區(qū)定義區(qū)的代碼范圍的最小值用作其區(qū)代碼�。因此����,代碼范圍從0000h到FFFFh的區(qū)定義區(qū),即分配給管理者A的區(qū)定義區(qū)的區(qū)代碼設定到0000h����。在此,區(qū)代碼設定到#xxxxh的區(qū)定義區(qū)�,以下作為區(qū)定義區(qū)#xxxxh描述。
管理者A的區(qū)定義區(qū)#0000h的層提供有管理者A提供服務的服務定義區(qū)�。區(qū)定義區(qū)#0000h的從0000h到FFFFh代碼范圍的0008h,作為服務代碼分配給該服務定義區(qū)����。在此,服務代碼#xxxxh的服務定義區(qū)����,以下作為服務定義區(qū)#xxxxh描述。
服務定義區(qū)#0008h的容量設定為8���,于是���,由8用戶塊構(gòu)成的服務區(qū)是可用的。此外���,服務定義區(qū)#0008h的服務密鑰設定到0101010101010101��。
管理者A的區(qū)定義區(qū)#0000h的層提供有作為子層的管理者B1的區(qū)定義區(qū)#0100h和管理者B2的區(qū)定義區(qū)#1000h��。此外�,區(qū)定義區(qū)#0000h的層提供有其它區(qū)定義區(qū)(未示出),這樣����,例如由區(qū)定義區(qū)#0000h可用的塊數(shù)目(空容量)設定到37塊。
在是區(qū)定義區(qū)#0100h的父層的區(qū)定義區(qū)#0000h的從0000h到FFFFh代碼范圍中�,管理者B1的區(qū)定義區(qū)#0100h的代碼范圍被分配0100h到03FFh。在此����,因為管理者B1的區(qū)定義區(qū)的代碼范圍是從0100h到03FFh,是代碼范圍最小值的0100h設定為管理者B1的區(qū)定義區(qū)的區(qū)代碼���。
此外�����,區(qū)定義區(qū)#0100h的空容量和區(qū)密鑰分別設定為14和a0a0a0a0a0a0a0a0����。
此外,管理者B1的區(qū)定義區(qū)#0100h的層提供有作為子層的管理者C的區(qū)定義區(qū)#0300h�����。在是區(qū)定義區(qū)#0300h的父層的區(qū)定義區(qū)#0100h的從0100h到03FFh代碼范圍中�����,管理者C的區(qū)定義區(qū)#0300h的代碼范圍被分配0300h到03FFh����。在此�,因為管理者C的區(qū)定義區(qū)的代碼范圍是從0300h到03FFh,是代碼范圍最小值的0300h設定為管理者C的區(qū)定義區(qū)的區(qū)代碼�����。
區(qū)定義區(qū)#0300h的空容量和區(qū)密鑰分別設定為0和b0b0b0b0b0b0b0b0��。
管理者C的區(qū)定義區(qū)#0300h的層提供有服務定義區(qū)��,用于管理者C的服務提供��。在區(qū)定義區(qū)#0300h的從0300h到03FFh代碼范圍中的030Ch作為服務代碼分配到服務定義區(qū)。
服務代碼030Ch所分配到的服務定義區(qū)����,即服務定義區(qū)#030Ch的容量設定到16,這樣能夠使用由16用戶塊構(gòu)成的服務區(qū)���。此外����,服務定義區(qū)#030Ch的服務密鑰設定到0202020202020202�����。
在此����,由服務定義區(qū)#030Ch管理的服務區(qū)容量等于16,服務定義區(qū)#030Ch自身使用一個塊作為服務定義塊���,這樣因為存在服務定義區(qū)#030Ch����,所使用的塊的數(shù)目等于17(1+16)����。由服務定義區(qū)#030Ch所屬層的區(qū)定義區(qū)#0300h可用的塊數(shù)目等于0塊���,因為該區(qū)的空容量等于0。此外����,區(qū)定義區(qū)#0300h自身使用一個塊作為區(qū)定義塊。因此�,在區(qū)定義區(qū)#0300h的層中�,所使用的塊數(shù)目等于18(=17+1),并且可用塊的數(shù)目等于0����。因此,發(fā)現(xiàn)從作為其父層(上層)的區(qū)定義區(qū)#0100h分配的塊數(shù)目等于18(=18+0)�����。
對于區(qū)定義區(qū)#0100h的層��,如上所述���,18塊用在區(qū)定義區(qū)#0300h中�,該區(qū)定義區(qū)#0300h作為區(qū)定義區(qū)#0100h的子層(低層)。此外��,區(qū)定義區(qū)#0100h自身使用一個塊作為區(qū)定義塊���。如上所述區(qū)定義區(qū)#0100h的空容量等于14��。因此�����,在區(qū)定義區(qū)#0100h的層中���,所使用的塊數(shù)目等于19(=18+1),可用塊的數(shù)目等于14��。因此�����,從作為其父層的區(qū)定義區(qū)#0000h分配的塊數(shù)目等于33(=19+14)�����。
另一方面����,在作為其父層的區(qū)定義區(qū)#0000h的從0000h到FFFFh代碼范圍中���,管理者B2的區(qū)定義區(qū)#1000h的代碼范圍被分配1000h到1FFFh。在此����,因為管理者B2的區(qū)定義區(qū)的代碼范圍是從1000h到1FFFh,是上述代碼范圍最小值的1000h設定為管理者B2的區(qū)定義區(qū)的區(qū)代碼�����。此外��,區(qū)定義區(qū)#1000h的空容量和區(qū)密鑰分別設定為43和c0c0c0c0c0c0c0c0���。
管理者B2的區(qū)定義區(qū)#1000h的層提供有服務定義區(qū),用于管理者B2的服務提供�。在區(qū)定義區(qū)#1000h的從1000h到1FFFh代碼范圍中的1022h作為服務代碼分配到服務定義區(qū)。
服務代碼1022h所分配到的服務定義區(qū)���,即服務定義區(qū)#1022h的容量設定到4���,這樣能夠使用由4用戶塊構(gòu)成的服務區(qū)�。此外���,服務定義區(qū)#1022h的服務密鑰設定到0303030303030303���。
在此,由服務定義區(qū)#1022h管理的服務區(qū)容量等于4�,服務定義區(qū)#1022h自身使用一個塊作為服務定義塊,這樣因為存在服務定義區(qū)#1022h�,所使用的塊的數(shù)目等于5(=4+1)。此外��,由服務定義區(qū)#1022h所屬層的區(qū)定義區(qū)#1000h可用的塊數(shù)目等于43�,因為該區(qū)的空容量等于43。此外�����,區(qū)定義區(qū)#1000h自身使用一個塊作為區(qū)定義塊���。因此��,在區(qū)定義區(qū)#1000h的層中�����,所使用的塊數(shù)目等于6(=5+1)�����,并且可用塊的數(shù)目等于43�。因此,分配給區(qū)定義區(qū)#1000h的塊數(shù)目等于49(=6+43)���。
因為如上所述�,作為能被分配給要管理的區(qū)定義區(qū)的識別碼范圍的代碼范圍存儲在區(qū)定義區(qū)中����,根據(jù)代碼范圍定義示于圖5的這種層結(jié)構(gòu),其中管理目標的區(qū)定義區(qū)設定為子層�,并且用于管理區(qū)定義區(qū)的區(qū)定義區(qū)設定為父層。
下面�����,將參照圖6描述構(gòu)成示于圖5的層結(jié)構(gòu)的處理���,假定管理者A是IC卡2的提供商,最上層的區(qū)定義區(qū)#0000h分配給管理者A����。
管理者A按照用戶請求(1)發(fā)行IC卡2���。僅圖5的層結(jié)構(gòu)中的區(qū)定義區(qū)#0000h形成于IC卡2中。
當管理者A通過使用由服務定義區(qū)#0008h管理的服務區(qū)�,開始提供預定服務時,管理者A將形成服務定義區(qū)#0008h(2)所需信息登記進登記卡發(fā)行機101����。
在此,例如通過示于圖1的R/W1和控制器3構(gòu)成登記卡發(fā)行機101�����。登記卡發(fā)行機101可放置在火車站���、零售店或其它場所�。
下面���,當用戶將IC卡2插入登記卡發(fā)行機101時(當設定IC卡2允許與包含在登記卡發(fā)行機101中的R/W1通信時)����,登記卡發(fā)行機101根據(jù)所登記的信息將命令和所需數(shù)據(jù)發(fā)送到IC卡2�����,以形成服務定義區(qū)#0008h。經(jīng)上述操作���,用戶通過使用由服務定義區(qū)#0008h管理的服務區(qū)���,允許被提供管理者A的服務。
另一方面���,當管理者B1��、B2想使用IC卡2被提供服務�,每個管理者與管理者A簽定一合同�����,這樣��,管理者A將形成區(qū)定義區(qū)#0100h(3)和#1000h(4)所需信息登記進登記卡發(fā)行機101�����。當用戶將IC卡2插入登記卡發(fā)行機101中時�,登記卡發(fā)行機101根據(jù)登記的信息將命令和所需數(shù)據(jù)發(fā)送到IC卡2,以形成區(qū)定義區(qū)#0100h和#1000h���,由此管理者B1或B2能夠在區(qū)定義區(qū)#0100h或#1000h中定義的范圍內(nèi)��,使用IC卡2的資源����。
以下���,當管理者B2通過使用由服務定義區(qū)#1022h管理的服務區(qū)����,開始提供預定服務時�,管理者B2將形成服務定義區(qū)#1022h(5)所需信息登記進登記卡發(fā)行機101。當用戶將IC卡2插入登記卡發(fā)行機101時���,登記卡發(fā)行機101根據(jù)登記的信息�����,將命令和所需數(shù)據(jù)發(fā)送到IC卡2���,以形成服務定義區(qū)#1022h���。因此,用戶使用由服務定義區(qū)#1022h管理的服務區(qū)����,被提供管理者B2的服務。
此外��,當管理者C希望在管理者B1的管理下通過IC卡2提供服務�,管理者C與管理者B1簽定一合同,這樣����,管理者B1將形成區(qū)定義區(qū)#0300h(6)所需信息登記進登記卡發(fā)行機101。當用戶將IC卡2插入登記卡發(fā)行機101中時�,登記卡發(fā)行機101根據(jù)登記的信息將命令和所需數(shù)據(jù)發(fā)送到IC卡2,以形成區(qū)定義區(qū)#0300h�,由此管理者C能夠在區(qū)定義區(qū)#0300h中定義的范圍內(nèi),使用IC卡2的資源����。
以下,當管理者C通過使用由服務定義區(qū)#030Ch管理的服務區(qū)時����,開始提供預定服務時���,管理者C將形成服務定義區(qū)#030Ch(7)所需信息登記進登記卡發(fā)行機101��。當用戶將IC卡2插入登記卡發(fā)行機101時�,登記卡發(fā)行機101根據(jù)登記的信息,將命令和所需數(shù)據(jù)發(fā)送到IC卡2���,以形成服務定義區(qū)#030Ch���。由此,用戶可以使用由服務定義區(qū)#030Ch管理的服務區(qū)����,接受管理者C的服務提供。
在IC卡2中�,如上所述,根據(jù)來自登記卡發(fā)行機101的命令�,形成區(qū)定義區(qū)和服務定義區(qū)。例如通過定序器91執(zhí)行形成區(qū)定義區(qū)的區(qū)形成處理���、和形成服務定義區(qū)的服務形成處理�。將參照圖7和圖8描述區(qū)形成處理和服務形成處理。
首先�����,將參照圖7的流程圖描述區(qū)形成處理�。
當IC卡2插入登記卡發(fā)行機101時,登記卡發(fā)行機101向IC卡2發(fā)送指示形成一區(qū)定義區(qū)的命令(以下稱為定義��,區(qū)形成命令)����,以及形成區(qū)定義區(qū)所需信息,即例如要形成的區(qū)定義區(qū)的代碼范圍����、分配給區(qū)定義區(qū)的塊數(shù)目(以下稱為分配塊數(shù))、區(qū)密鑰和作為父層的區(qū)定義區(qū)的區(qū)代碼(以下稱為父區(qū)代碼)�����。
在此�����,從安全性方面來看���,最好形成一區(qū)定義區(qū)所需的信息發(fā)送到IC卡2的同時進行加密����。例如可通過使用與存儲在具有父區(qū)代碼的區(qū)定義區(qū)中的區(qū)密鑰相同的密鑰,執(zhí)行加密��。存儲在具有父區(qū)代碼的區(qū)定義區(qū)中的區(qū)密鑰存儲在EEPROM 66中���,這樣加密的信息能夠在IC卡2中解碼。
當IC卡2(定序器91)接收到區(qū)形成命令時��,對與區(qū)形成命令一起發(fā)送的加密信息執(zhí)行解碼��,由此識別出父區(qū)代碼和代碼范圍�����、分配塊和要形成的區(qū)定義區(qū)的區(qū)密鑰�����。此外�����,在IC卡2中,識別出要形成的區(qū)定義區(qū)的區(qū)代碼����。即,在這種情況下�����,將要形成的區(qū)定義區(qū)的代碼范圍的最小值識別為其區(qū)代碼��。
在IC卡2中����,在步驟S1判斷要形成的區(qū)定義區(qū)是否已經(jīng)在EEPROM 66中形成。即���,在步驟S1中�����,判斷具有與要形成的區(qū)定義區(qū)的區(qū)代碼相同區(qū)代碼的區(qū)定義區(qū)是否已經(jīng)形成����。
如果在步驟S1中判定要形成的區(qū)定義區(qū)已經(jīng)形成����,則完成區(qū)形成處理����。在要形成的區(qū)定義區(qū)已經(jīng)形成的情況下�����,沒有后續(xù)處理執(zhí)行����,因為不需重復形成相同的區(qū)定義區(qū)�����。
如果在步驟S1中判定還沒形成要形成的區(qū)定義區(qū)�,則該處理進行到步驟S2,判斷要形成的區(qū)定義區(qū)的代碼范圍和分配塊數(shù)(容量)是否合適�����。即�,在步驟S2判斷要形成的區(qū)定義區(qū)的代碼范圍是否包含在存儲于具有父代碼的區(qū)定義區(qū)中的代碼范圍中,以及要形成的區(qū)定義區(qū)的分配塊數(shù)是否在存儲于具有父區(qū)代碼的區(qū)定義區(qū)中的空容量以下����。
當在步驟S2中判定要形成的區(qū)定義區(qū)的代碼范圍和分配塊數(shù)是不合適的��,即����,當要形成的區(qū)定義區(qū)的代碼范圍不包含在存儲于具有父區(qū)代碼的區(qū)定義區(qū)中的代碼范圍中時����,或當要形成的區(qū)定義區(qū)的分配塊數(shù)超過存儲于具有父區(qū)代碼的區(qū)定義區(qū)中的空容量時,在步驟S3執(zhí)行差錯處理��,然后完成區(qū)形成處理�����。即�,在步驟S3,其中具有父區(qū)代碼的區(qū)定義區(qū)設定為父層��、但是沒有作為其子層的區(qū)定義區(qū)能夠形成的消息發(fā)送到登記卡發(fā)行機101�。因此,在這種情況下�����,沒有區(qū)定義區(qū)形成。
另一方面�����,如果在步驟S2判定要形成的區(qū)定義區(qū)的代碼范圍和分配塊數(shù)合適����,即,判定要形成的區(qū)定義區(qū)的代碼范圍包含在存儲于具有父區(qū)代碼的區(qū)定義區(qū)中的代碼范圍中時�,并且當要形成的區(qū)定義區(qū)的分配塊數(shù)低于存儲于具有父區(qū)代碼的區(qū)定義區(qū)中的空容量時,在步驟S4����,要形成的區(qū)定義區(qū)形成為具有父區(qū)代碼的區(qū)定義區(qū)的層(父層)的子層。
即在步驟S4�,在EEPROM 66的空塊(圖4)中的最低塊(具有最大邏輯地址的空塊)保證作為對應于要形成的區(qū)定義區(qū)的區(qū)定義塊�����。此外�,代碼范圍、空容量�、區(qū)密鑰等寫入?yún)^(qū)定義塊中。在此�����,在步驟S4,從登記卡發(fā)行機101發(fā)送的數(shù)據(jù)作為代碼范圍和區(qū)密鑰直接寫入����。通過將從登記卡發(fā)行機101發(fā)送的分配塊數(shù)減1獲得的值作為空容量寫入。將分配塊數(shù)減1獲得的值寫入����,因為如此形成的區(qū)定義區(qū)使用一個塊。
下面���,處理進行到步驟S5�,重寫父區(qū)代碼的區(qū)定義區(qū)的空容量��,然后完成區(qū)形成處理�。即,在步驟S5中�����,通過從具有父區(qū)代碼的區(qū)定義區(qū)的空容量中減去分配塊數(shù)獲得的值����,作為具有父區(qū)代碼的區(qū)定義區(qū)的空容量新寫入��。
通過上述區(qū)形成處理�,形成示于圖5中的管理者B1���、B2�����、C的區(qū)定義區(qū)#0100h����、#1000h�、#0300h。
即���,假定在IC卡2發(fā)行的時候����,而且是IC卡2的發(fā)行者的管理者A有IC卡2的所有資源�����,并且識別碼或由IC卡2可用的容量是從0000h到FFFFh或65533個塊�,僅其中代碼范圍是從0000h到FFFFh并且空容量等于65532的最上層的區(qū)定義區(qū)#0000h,作為在IC卡2發(fā)行時的區(qū)定義區(qū)存在�。
在此實施例中,如圖4所示���,EEPROM 66有65536個塊�,然而����,在發(fā)行IC卡2之后,可用容量等于65533個塊�����,其數(shù)目僅比65536少3��,因為制造ID塊����、發(fā)行ID塊、系統(tǒng)定義塊存在�����。
此外,最上層的區(qū)定義區(qū)#0000h的空容量等于65532塊��,其數(shù)目比65533塊少1個塊���,這是因為區(qū)定義區(qū)#0000h自身使用一個塊�����。
當管理者A與管理者B1分享從0100h到03FFh范圍內(nèi)的識別碼和其資源中的33個塊時��,執(zhí)行區(qū)形成處理����,以形成區(qū)定義區(qū)#0100h���。即���,在這種情況下,0100h到03FFh和32個塊作為代碼范圍和空容量分別寫入?yún)^(qū)定義區(qū)#0100h��?���?杖萘勘葟墓芾碚逜分享的33個塊的數(shù)目少一個塊,因為區(qū)定義區(qū)#0100h自身使用一個塊����。
當形成區(qū)定義區(qū)#0100h時,管理者A的區(qū)定義區(qū)#0000h的空容量減少分享給管理者B1的33個塊���。
當管理者A與管理者B2分享從1000h到1FFFh范圍的識別碼和49個塊時�,執(zhí)行區(qū)形成處理�����,以形成區(qū)定義區(qū)#1000h�。即,在這種情況下����,1000h到1FFFh和48個塊作為代碼范圍和空容量分別寫入?yún)^(qū)定義區(qū)#1000h??杖萘勘葟墓芾碚逜分享的49個塊的數(shù)目少一個塊,因為區(qū)定義區(qū)#1000h自身使用一個塊����。
當形成區(qū)定義區(qū)#1000h時,管理者A的區(qū)定義區(qū)#0000h的空容量減少從管理者B2分享的33個塊�����。
當如上所述形成區(qū)定義區(qū)#0100h或#1000h時,允許管理者B1或B2在區(qū)定義區(qū)#0100h或#1000h的層中形成作為上述層的子層的區(qū)定義區(qū)和服務定義區(qū)�。
例如,當管理者B1與管理者C分享從0300h到03FFh范圍的識別碼和18個塊時���,執(zhí)行區(qū)形成處理�,以形成區(qū)定義區(qū)#0300h����。即,在這種情況下����,0300h到03FFh和17個塊作為代碼范圍和空容量分別寫入?yún)^(qū)定義區(qū)#0300h?����?杖萘勘葟墓芾碚連1分享的18個塊的數(shù)目少一個塊�,因為區(qū)定義區(qū)#0300h自身使用一個塊。
當形成區(qū)定義區(qū)#0300h時����,管理者B1的區(qū)定義區(qū)#0100h的空容量減少從管理者C分享的18個塊的數(shù)目���。即,如上所述�����,當形成區(qū)定義區(qū)#0100h時����,區(qū)定義區(qū)#0100h的空容量等于32個塊����。然而,如圖5所示��,從空容量中減少18個塊����,于是空容量等于14個塊。
下面����,將參考圖8的流程圖,描述服務形成處理��。
當IC卡2插入登記卡發(fā)行機101時,登記卡發(fā)行機101向IC卡2發(fā)送指示形成一服務定義區(qū)的命令(以下稱為服務形成命令)��,以及形成服務定義區(qū)所需信息���,即要形成的服務定義區(qū)的服務代碼�、分配給服務定義區(qū)的塊數(shù)目(以下稱為分配塊數(shù))���、服務密鑰和其中形成服務定義區(qū)的層的區(qū)定義區(qū)的區(qū)代碼(以下稱為父區(qū)代碼)等���。
在此,從安全性方面來看�����,最好如同區(qū)形成處理的情況�����,通過使用與存儲在具有父區(qū)代碼的區(qū)定義區(qū)中的區(qū)密鑰相同的密鑰��,在形成一服務定義區(qū)所需的信息發(fā)送到IC卡2的同時進行加密�。
當接收到服務形成命令時,IC卡2(定序器91)將與服務形成命令一起發(fā)送的加密的信息進行解碼��,由此識別出父區(qū)代碼和服務代碼��、分配塊數(shù)和要形成的服務定義區(qū)的服務密鑰。
在IC卡2中,在步驟S11判斷要形成的服務定義區(qū)是否已經(jīng)在EEPROM66中形成。即,在步驟S11中��,判斷具有與要形成的服務定義區(qū)有相同服務代碼的服務定義區(qū)是否已經(jīng)形成��。
當在步驟S11中判定要形成的服務定義區(qū)已經(jīng)形成,則完成服務形成處理。即,當要形成的服務定義區(qū)已經(jīng)形成的情況下,不執(zhí)行后續(xù)處理,因為不需重復形成相同的服務定義區(qū)。
此外,如果在步驟S11中判定還沒形成要形成的服務定義區(qū),則該處理進行到步驟S12���,判斷要形成的服務定義區(qū)的服務代碼和分配塊數(shù)(容量)是否合適。即����,在步驟S12判斷要形成的服務定義區(qū)的服務代碼是否包含在存儲于具有父區(qū)代碼的區(qū)定義區(qū)中的代碼范圍中,以及要形成的服務定義區(qū)的分配塊數(shù)是否在存儲于具有父區(qū)代碼的區(qū)定義區(qū)中的空容量以下�����。
如果在步驟S12中判定要形成的服務定義區(qū)的服務代碼和分配塊數(shù)是不合適的,即��,如果要形成的服務定義區(qū)的服務代碼不包含在存儲于父層的區(qū)定義區(qū)中的代碼范圍中時�����,或當要形成的服務定義區(qū)的分配塊數(shù)超過存儲于父層的區(qū)定義區(qū)中的空容量時�����,則處理進行到步驟S13��,以執(zhí)行差錯處理�����,然后完成服務形成處理����。即���,其中在父層的區(qū)定義區(qū)的層中不能形成服務定義區(qū)的消息發(fā)送到登記卡發(fā)行機101���。因此�����,在這種情況下��,不能形成服務定義區(qū)���。
另一方面,如果在步驟S12判定要形成的服務定義區(qū)的服務代碼和分配塊數(shù)合適���,即����,判定要形成的服務定義區(qū)的服務代碼包含在存儲于具有父區(qū)代碼的區(qū)定義區(qū)中的代碼中時����,并且當要形成的服務定義區(qū)的分配塊數(shù)低于存儲于父區(qū)代碼的區(qū)定義區(qū)中的空容量時,處理進行到步驟S14����,其中在具有父區(qū)代碼的區(qū)定義區(qū)的層中形成要形成的服務定義區(qū)。
即在步驟S14����,在EEPROM 66的空塊(圖4)中的最低塊(具有最大邏輯地址的空塊)保證作為對應于要形成的服務定義區(qū)的服務定義塊����。此外�,服務代碼、容量��、服務密鑰等寫入服務定義塊中�����。在此情況下��,在步驟S14���,從登記卡發(fā)行機101發(fā)送的服務代碼和服務密鑰被直接寫入。通過將從登記卡發(fā)行機101發(fā)送的分配塊數(shù)減1獲得的值作為容量寫入����。將分配塊數(shù)減1獲得的值寫入,因為要形成的服務定義區(qū)使用一個塊���。
在步驟S14�,以邏輯地址增加的順序選擇空塊,空塊的數(shù)目對應于寫入如此形成的服務定義區(qū)中的容量�,并且空塊保證作為構(gòu)成由服務定義區(qū)管理的服務區(qū)的用戶塊。接著�,處理進行到步驟S15。
在步驟S15���,重寫入具有父區(qū)代碼的區(qū)定義區(qū)的空容量�����,完成服務形成處理����。即���,在步驟S15中���,通過從具有父區(qū)代碼的區(qū)定義區(qū)的空容量中減去分配塊數(shù)獲得的值,作為區(qū)定義區(qū)的空容量新寫入�。
通過執(zhí)行上述服務形成處理,形成示于圖5中的管理者A���、B2�����、C的服務定義區(qū)#0008h���、#1022h���、#030Ch。
即����,當管理者A通過使用0008h的識別碼和其資源中9個塊的容量、提供服務時�����,執(zhí)行服務形成處理��,以形成服務定義區(qū)#0008h���,并且8個塊作為容量寫入服務定義區(qū)#0008h���。此外�,保證8個空塊作為用戶塊�����,并且8個塊設定為由服務定義區(qū)#0008h管理的服務區(qū)�。寫入服務定義區(qū)#0008h的容量比9個塊的數(shù)目少一個塊�����,因為服務定義區(qū)#0008h使用一個塊��。
當形成服務定義區(qū)#0008h時�����,管理者A的區(qū)定義區(qū)#0000h的空容量減少9塊���,此9塊被服務定義區(qū)#0008h分享����。
如上所述�,管理者A能夠通過使用由服務定義區(qū)#0008h管理的8個塊的服務區(qū),提供服務��。
當管理者B2通過使用1022h的識別碼和其資源中5塊的容量提供服務時����,執(zhí)行服務形成處理��,以形成服務定義區(qū)#1022h�����,并且將4塊作為容量寫入服務定義區(qū)#1022h����。此外��,保證4個空塊作為用戶塊�,并且設定為由服務定義區(qū)#1022h管理的服務區(qū)。寫入服務定義區(qū)#1022h的容量比5塊的數(shù)目少1塊����,因為服務定義區(qū)#1022h自身使用一個塊。
當形成服務定義區(qū)#1022h時����,管理者B2的區(qū)定義區(qū)#1000h的空容量減少分享給服務定義區(qū)#1022h的5塊。即�����,如上所述����,在形成區(qū)定義區(qū)#1000h的時候,空容量等于48塊���,然而����,它減少5塊����,于是等于43塊,如圖5所示�����。
如上所述�,允許管理者B2通過使用由服務定義區(qū)#1022h管理的4塊服務區(qū),提供服務���。
此外�����,當管理者C例如通過使用030Ch的識別碼和其資源中17塊容量提供服務時��,執(zhí)行服務形成處理�,以形成服務定義區(qū)#030Ch,并且將16塊作為容量寫入服務定義區(qū)#030Ch���。此外�,保證16個空塊作為用戶塊�,并且設定為由服務定義區(qū)#030Ch管理的服務區(qū)。寫入服務定義區(qū)#030Ch的容量比17塊的數(shù)目少1塊���,因為服務定義區(qū)#030Ch自身使用一個塊����。
當形成服務定義區(qū)#030Ch時��,管理者C的區(qū)定義區(qū)#0300h的空容量減少分享給服務定義區(qū)#030Ch的17塊�����。即�,如上所述�,在形成區(qū)定義區(qū)#0300h的時候�,空容量等于17塊,然而�����,它減少17塊���,于是等于0,如圖5所示��。
如上所述�����,允許管理者C通過使用由服務定義區(qū)#030Ch管理的16塊服務區(qū)�,提供服務。
如上所述���,根據(jù)代碼范圍和空容量存儲于其中的區(qū)定義區(qū)�����,管理EEPROM66��,使得能夠進行IC卡2的資源管理����。即,能夠限制在區(qū)定義區(qū)的層中可用的容量和識別碼���。結(jié)果����,甚至當一管理者分享分配給另一個管理者一部分資源(在此情況下��,是可用容量和識別碼)時��,使得IC卡2可共同使用�,能夠防止識別碼在不同管理者之間重疊,并且能夠防止管理者使用超過經(jīng)合同等預定的容量的EEPROM 66����。
在IC卡2中,EEPROM 66的存儲區(qū)具有層結(jié)構(gòu)�,其中區(qū)定義區(qū)被分層,如參照圖5所描述的��,用于認證的密鑰(在此實施例中�����,分別將用于區(qū)定義區(qū)的密鑰和用于服務定義區(qū)的密鑰稱為區(qū)密鑰和服務密鑰)分別存儲在區(qū)定義區(qū)和服務定義區(qū)中,使得能夠執(zhí)行對IC卡2高度靈活性和安全性的訪問控制�����。
即�����,通過圖9所示管理者之間傳送信息�,能夠?qū)崿F(xiàn)對IC卡2的高度靈活性和安全性的訪問控制����。
特別是,也是IC卡2的發(fā)行者的管理者A確定要存儲在EEPROM 66的系統(tǒng)定義塊(圖4)中的系統(tǒng)密鑰和其自身的區(qū)定義區(qū)#0000h的區(qū)密鑰���,并且將系統(tǒng)密鑰存儲在系統(tǒng)定義塊中����,同時將區(qū)密鑰#0000h存儲在區(qū)定義區(qū)#0000h中���。在此��,將區(qū)定義區(qū)#xxxxh的區(qū)密鑰稱為區(qū)密鑰#xxxxh���。
此外���,管理者A用區(qū)密鑰#0000h加密系統(tǒng)密鑰,以產(chǎn)生區(qū)中間密鑰KA��。DES(Data Encryption Standard�����,數(shù)據(jù)加密標準)�、FEAL(Fast Data EnciphermentAlgorithm,快速數(shù)據(jù)加密算法)等可用作加密方法�����。
當管理者A將其資源分享給管理者B1時��,管理者A將區(qū)中間密鑰KA給予管理者B1�。此外,管理者A確定管理者B1的區(qū)密鑰#0100h�����,并且將該區(qū)密鑰與其區(qū)代碼#0000h一起給予(分配)B1。
因此���,管理者B1能夠識別出區(qū)中間密鑰KA和其區(qū)密鑰#0100h��,然而�,它不能識別出稱其為父的管理者A的系統(tǒng)密鑰和區(qū)密鑰#0000h���。然而��,由作為父的管理者A將管理者B1的區(qū)密鑰#0100h給予作為所說的子的管理者B1�����,于是,作為父的管理者A識別出作為子的管理者B1的區(qū)密鑰#0100h����。
由管理者A給予管理者B1的區(qū)密鑰#0100h通過管理者B1的區(qū)定義區(qū)#0100h的區(qū)形成處理(圖7),寫入?yún)^(qū)定義區(qū)#0100h����。
管理者B1根據(jù)從管理者A獲得的區(qū)密鑰#0100h,將從作為其父的管理者A獲得的區(qū)中間密鑰KA加密�,以產(chǎn)生區(qū)中間密鑰KB1�����。
管理者A當將其資源分享給管理者B2時��,也將區(qū)中間密鑰KA給予管理者B2��。此外���,管理者A確定管理者B2的區(qū)密鑰#1000h,并且將該區(qū)密鑰與其區(qū)代碼#0000h一起給予管理者B2�。
因此,管理者B2能夠識別出區(qū)中間密鑰KA和其區(qū)密鑰#1000h�����,然而��,它不能識別出作為父的管理者A的系統(tǒng)密鑰和區(qū)密鑰#0000h�。然而,由于通過作為父的管理者A將管理者B2的區(qū)密鑰#1000h給予作為子的管理者B2�����,于是�,作為父的管理者A識別出作為子的管理者B2的區(qū)密鑰#1000h���。
由管理者A給予管理者B2的區(qū)密鑰#1000h,在管理者B2的區(qū)定義區(qū)#1000h的區(qū)形成處理中寫入其區(qū)定義區(qū)#1000h��。
管理者B2根據(jù)從管理者A獲得的區(qū)密鑰#1000h,將從作為其父的管理者A獲得的區(qū)中間密鑰KA加密,以產(chǎn)生區(qū)中間密鑰KB2�。
另一方面���,當管理者B1將其資源分享給管理者C時,將區(qū)中間密鑰KB1給予管理者C����。此外,管理者B1確定管理者C的區(qū)密鑰#0300h���,并且將該區(qū)密鑰與其區(qū)代碼#0100h和作為父的管理者A的區(qū)代碼#0000h一起給予管理者C��。
因此,管理者C能夠識別出區(qū)中間密鑰KB1和其區(qū)密鑰#03000h���,然而��,它不能識別出作為父的管理者B1的區(qū)密鑰#0100h�����。然而�����,由于通過作為父的管理者B1將區(qū)密鑰#0100h給予作為子的管理者C�,于是,作為父的管理者B1識別出作為子的管理者C的區(qū)密鑰#0300h����。
由管理者B1給予管理者C的區(qū)密鑰#0300h,通過管理者C的區(qū)定義區(qū)#0300h的區(qū)形成處理��,寫入其區(qū)定義區(qū)#0300h����。
管理者C根據(jù)從管理者B1獲得的區(qū)密鑰#0300h,將從作為父的管理者B1獲得的區(qū)中間密鑰KB1加密��,以產(chǎn)生區(qū)中間密鑰KC���。
如圖10所示�,當管理者A通過使用由在其區(qū)定義區(qū)#0000h的層中形成的服務定義區(qū)#0008h管理的服務區(qū)、提供服務時��,管理者A根據(jù)區(qū)中間密鑰KA����,將存儲在服務定義區(qū)#0008h中的服務密鑰(存儲在服務定義區(qū)#xxxxh中的服務密鑰以下稱為服務密鑰#xxxxh)加密,以產(chǎn)生服務中間密鑰K#0008h�����,并且將其與區(qū)中間密鑰KA一起登記進服務提供機111��。此外�����,管理者A將其區(qū)定義區(qū)#0000h的區(qū)代碼#0000h�、及其在區(qū)定義區(qū)#0000h的層中形成的服務定義區(qū)#0008h的服務代碼#0008h登記進服務提供機111。
在此����,例如由示于圖1的R/W1和控制器3構(gòu)成服務提供機111,并且將數(shù)據(jù)從預定服務區(qū)讀出或?qū)?shù)據(jù)寫入預定服務區(qū)����,提供預定服務。
在此情況下�,當IC卡2插入服務提供機111中時,在服務提供機111和IC卡2之間執(zhí)行下面的相互認證���。
即��,示于圖11的服務提供機111將登記的區(qū)代碼#0000h和服務代碼#0008h發(fā)送到IC卡2����。在IC卡2(定序器91)中���,接收來自服務提供機111的區(qū)代碼#0000h和服務代碼#0008h����。
在IC卡2中�����,讀出存儲在系統(tǒng)定義塊(圖4)中的系統(tǒng)密鑰�,并且還從具有從服務提供機111接收的區(qū)代碼#0000h的區(qū)定義區(qū)中讀出區(qū)密鑰#0000h。此外�����,根據(jù)區(qū)密鑰#0000h加密系統(tǒng)密鑰,使得產(chǎn)生與登記進圖10的服務提供機111的區(qū)中間密鑰KA相同的密鑰�。與區(qū)中間密鑰KA相同的密鑰設定為用于認證的第一訪問密鑰(認證密鑰)Kbc。
在IC卡2中����,對具有從服務提供機111接收的服務代碼#0008h的服務定義區(qū),從中讀出服務密鑰#0008h���。根據(jù)服務密鑰#0008h加密區(qū)中間密鑰KA����,使得產(chǎn)生與登記進圖10的服務提供機111中的服務中間密鑰K#0008h相同的密鑰���。將與服務中間密鑰K#0008h相同的密鑰設定為用于認證的第二訪問密鑰Kac�����。
因此����,在此情況下����,作為第一訪問密鑰Kbc的區(qū)中間密鑰KA或作為第二訪問密鑰Kac的服務中間密鑰K#0008h登記進服務提供機111中����,由此在IC卡2中產(chǎn)生作為第一訪問密鑰Kbc的區(qū)中間密鑰KA或作為第二訪問密鑰Kac的服務中間密鑰K#0008h���。
例如,如圖12所示�,服務提供機111認證IC卡2。
即����,在服務提供機111中,產(chǎn)生隨機數(shù)�,按照算法E1對其轉(zhuǎn)換。即�,根據(jù)第二訪問密鑰Kac對隨機數(shù)加密(例如DES加密),并且根據(jù)第一訪問密鑰Kbc對加密結(jié)果解碼(例如DES解碼)��。根據(jù)第二訪問密鑰Kac對解碼結(jié)果加密�。基于算法E1的隨機數(shù)的轉(zhuǎn)換結(jié)果發(fā)送到IC卡2�。
在IC卡2中,來自服務設備111的基于算法E1的隨機數(shù)的轉(zhuǎn)換結(jié)果按照算法D1轉(zhuǎn)換�。即,基于算法E1的轉(zhuǎn)換結(jié)果根據(jù)第二訪問密鑰Kac解碼���,并且解碼結(jié)果根據(jù)第一訪問密鑰Kbc加密�。此外,加密結(jié)果根據(jù)第二密鑰Kac解碼���。
在IC卡2中��,基于算法D1的轉(zhuǎn)換結(jié)果根據(jù)算法E2再轉(zhuǎn)換��。即�,基于算法D1的轉(zhuǎn)換結(jié)果根據(jù)第一訪問密鑰Kbc加密�����,并且第一訪問密鑰Kbc根據(jù)第二服務密鑰Kac加密��。用于基于算法D1的轉(zhuǎn)換結(jié)果的����、基于第一訪問密鑰Kbc的加密結(jié)果,根據(jù)第一訪問密鑰Kbc的基于第二訪問密鑰Kac的加密結(jié)果�����,進行解碼�����。解碼結(jié)果根據(jù)第一訪問密鑰Kbc加密,并且發(fā)送到服務提供機111�。
在服務提供機111中,來自卡2的基于算法E2的轉(zhuǎn)換結(jié)果根據(jù)算法D2轉(zhuǎn)換�����。即�����,基于算法E2的轉(zhuǎn)換結(jié)果根據(jù)第一訪問密鑰Kbc解碼����,并且第一訪問密鑰Kbc根據(jù)第二訪問密鑰Kac加密�����。用于基于算法E2的轉(zhuǎn)換結(jié)果的�、基于第一訪問密鑰Kbc的解碼結(jié)果,根據(jù)基于第二訪問密鑰Kac的第一訪問密鑰Kbc的加密結(jié)果���,進行加密��。加密結(jié)果根據(jù)第一訪問密鑰Kbc解碼����。
在服務提供機111中,原始隨機數(shù)和基于算法D2的轉(zhuǎn)換結(jié)果相互比較�,以認證IC卡2。即��,當原始數(shù)與基于算法D2的轉(zhuǎn)換結(jié)果一致時���,識別出IC卡2是合適的��。另一方面���,如果它們互相不一致,則認為IC卡2是不合適的(例如�,它是偽造的)。
例如��,如果IC卡2識別為合適的���,在IC卡2中執(zhí)行服務提供機111的認證�,如圖13所示。
即�����,在IC卡2中���,產(chǎn)生隨機數(shù)�,該隨機數(shù)按照算法E2轉(zhuǎn)換����,并且發(fā)送到服務提供機111。
在服務提供機111中�����,來自IC卡2的基于算法E2的隨機數(shù)的轉(zhuǎn)換結(jié)果按照算法D2轉(zhuǎn)換��。此外����,基于算法D2的轉(zhuǎn)換結(jié)果按照算法E1轉(zhuǎn)換����,并且發(fā)送到IC卡2。
在IC卡2中���,來自服務提供機111的基于算法E1的轉(zhuǎn)換結(jié)果���,按照算法D1轉(zhuǎn)換�,并且轉(zhuǎn)換結(jié)果和原始隨機數(shù)相互比較�,以執(zhí)行服務提供機111的認證。即���,當原始隨機數(shù)與基于算法D2的轉(zhuǎn)換結(jié)果一致時�,服務提供機111識別為合適的����。另一方面,如果它們互相不一致��,則服務提供機111識別為不合適的(例如���,修改的)�����。
當IC卡2和服務提供機111二者識別為合適的時���,在IC卡2中允許僅對由具有從服務提供機111發(fā)送的服務代碼的服務定義區(qū)管理的服務區(qū)訪問�����。因此����,在參照圖10和圖11描述的情況下����,能夠僅對由服務定義區(qū)#0008h管理的服務區(qū)訪問。
即���,知道區(qū)中間密鑰KA�、區(qū)代碼#0000h���、服務密鑰#0008h和服務代碼#0008h的管理者A能夠訪問由服務定義區(qū)#0008h管理的服務區(qū)。然而��,管理者A既不知道服務密鑰#1022h也不知道服務密鑰#030Ch�����,使得管理者A基本不能訪問由服務定義區(qū)#1022h或#030Ch管理的服務區(qū)。
下面�,當管理者B2通過使用由形成在其區(qū)定義區(qū)#1000h的層中的服務定義區(qū)#1022h管理的服務區(qū)、提供其服務時��,如圖14所示��,它根據(jù)區(qū)中間密鑰KB2���,將存儲在服務定義區(qū)#1022h中的服務密鑰#1022h加密�����,以產(chǎn)生服務中間密鑰K#1022h���,并且將其與區(qū)中間密鑰KB2一起登記進服務提供機111。管理者B2將其區(qū)定義區(qū)#1000h的層之上的一上層的區(qū)定義區(qū)的區(qū)代碼�����、即在此情況下為管理者A的區(qū)定義區(qū)#0000h的區(qū)代碼#0000h�、以及其區(qū)定義區(qū)#1000h的區(qū)代碼#1000h、和形成在區(qū)定義區(qū)#1000h的層中的服務定義區(qū)#1022h的服務代碼#1022h也登記進服務提供機111中���。
在此情況下���,當IC卡2插入服務提供機111中時����,在服務提供機111和IC卡2之間執(zhí)行下面的相互認證�����。
即����,如圖15所示,服務提供機111將登記的區(qū)代碼#0000h��、#1000h和服務代碼#1022h發(fā)送到IC卡2����。在IC卡2(定序器91)中,從服務提供機111中接收區(qū)代碼#0000h�、#1000h和服務代碼#1022h。
在IC卡2中�����,讀出存儲在系統(tǒng)定義塊(圖4)中的系統(tǒng)密鑰����,從具有區(qū)代碼#0000h或#1000h的區(qū)定義區(qū)中讀出區(qū)密鑰#0000h或#1000h,其中區(qū)代碼#0000h或#1000h是從服務提供機111接收的���。此外���,系統(tǒng)密鑰根據(jù)區(qū)密鑰#0000h加密,使得產(chǎn)生與區(qū)中間密鑰KA相同的密鑰�。與區(qū)中間密鑰KA相同的密鑰根據(jù)區(qū)密鑰#1000h加密,使得產(chǎn)生與登記在圖14的服務提供機111中的區(qū)中間密鑰KB2相同的密鑰��。與區(qū)中間密鑰KB2相同的密鑰設定為用于認證的第一訪問密鑰Kbc�。
在IC卡2中,對具有從服務提供機111接收的服務代碼#1022h的服務定義區(qū)����,從中讀出服務密鑰#1022h。根據(jù)服務密鑰#1022h加密與區(qū)中間密鑰KB2相同的密鑰����,使得產(chǎn)生與登記進圖14的服務提供機111中的服務中間密鑰K#1022h相同的密鑰。將與服務中間密鑰K#1022h相同的密鑰設定為用于認證的第二訪問密鑰Kac����。
因此��,在此情況下��,是第一訪問密鑰Kbc或是第二訪問密鑰Kac的區(qū)中間密鑰KB2或服務中間密鑰K#1022h登記進服務提供機111中����,由此在IC卡2中產(chǎn)生是第一訪問密鑰Kbc或是第二訪問密鑰Kac的區(qū)中間密鑰KB2或服務中間密鑰K#1022h����。
在IC卡2和服務提供機111之間執(zhí)行相互認證,如同參照圖12和13描述的情況�����。
作為相互認證的結(jié)果���,當IC卡2和服務提供機111二者識別為合適的時��,在IC卡2中允許僅對由具有從服務提供機111發(fā)送的服務代碼的服務定義區(qū)管理的服務區(qū)訪問����。因此�,在圖14和圖15的情況下,能夠僅對由服務定義區(qū)#1022h管理的服務區(qū)訪問�。
即,知道區(qū)中間密鑰KB2��、區(qū)代碼#0000h��、#1000h��、服務密鑰#1022h和服務代碼#1022h的管理者B2能夠訪問由服務定義區(qū)#1022h管理的服務區(qū)����。然而,管理者B2既不知道服務密鑰#0008h也不知道服務密鑰#030Ch��,于是管理者B2基本不能訪問由服務定義區(qū)#0008h和#030Ch管理的服務區(qū)����。
下面,當管理者C通過使用由形成在其區(qū)定義區(qū)#0300h的層中的服務定義區(qū)#030Ch管理的服務區(qū)��、提供其服務時�,如圖16所示,它根據(jù)區(qū)中間密鑰KC�,將存儲在服務定義區(qū)#030Ch中的服務密鑰#030Ch加密,以產(chǎn)生服務中間密鑰K#030Ch�����,并且將其與區(qū)中間密鑰KC一起登記進服務提供機111。管理者C還將其區(qū)定義區(qū)#0300h的層之上的一上層的區(qū)定義區(qū)的區(qū)代碼��、即在此情況下為管理者A的區(qū)定義區(qū)#0000h的區(qū)代碼#0000h�����、以及管理者B1的區(qū)定義區(qū)#0100h的區(qū)代碼0100h���、其區(qū)定義區(qū)#0300h的區(qū)代碼#0300h�、和形成在區(qū)定義區(qū)#0300h的層中的服務定義區(qū)#030Ch的服務代碼#030Ch也登記進服務提供機111中�����。
在此情況下����,當IC卡2插入服務提供機111中時,在服務提供機111和IC卡2之間執(zhí)行下面的相互認證��。
即�,如圖17所示,登記的區(qū)代碼#0000h���、#0100h����、#0300h和服務代碼#030Ch發(fā)送到IC卡2。在IC卡2(定序器91)中��,從服務提供機111中接收區(qū)代碼#0000h����、#0100h���、#0300h和服務代碼#030Ch����。
在IC卡2中����,讀出存儲在系統(tǒng)定義塊(圖4)中的系統(tǒng)密鑰,也從具有區(qū)代碼#0000h��、#0100h或#0300h的區(qū)定義區(qū)中讀出區(qū)密鑰#0000h�����、#0100h或#0300h,其中區(qū)代碼#0000h��、#0100h或#0300h是從服務提供機111接收的��。此外����,系統(tǒng)密鑰根據(jù)區(qū)密鑰#0000h加密,使得產(chǎn)生與區(qū)中間密鑰KA相同的密鑰�����。與區(qū)中間密鑰KA相同的密鑰根據(jù)區(qū)密鑰#0100h加密���,使得產(chǎn)生與區(qū)中間密鑰KB1相同的密鑰�。與區(qū)中間密鑰KB1相同的密鑰根據(jù)區(qū)密鑰#0300h加密����,使得產(chǎn)生與登記在圖16的服務提供機111中的區(qū)中間密鑰KC相同的密鑰。與區(qū)中間密鑰KC相同的密鑰設定為用于認證的第一訪問密鑰Kbc����。
在IC卡2中,對具有從服務提供機111接收的服務代碼#030Ch的服務定義區(qū)��,從中讀出服務密鑰#030Ch。根據(jù)服務密鑰#030Ch加密區(qū)中間密鑰KC���,使得產(chǎn)生與登記進圖16的服務提供機111中的服務中間密鑰K#030Ch相同的密鑰���。將與服務中間密鑰K#030Ch相同的密鑰設定為用于認證的第二訪問密鑰Kac。
因此���,在上述情況下,是第一訪問密鑰Kbc或是第二訪問密鑰Kac的區(qū)中間密鑰KC或服務中間密鑰K#030Ch登記進服務提供機111中��,在IC卡2中產(chǎn)生是第一訪問密鑰Kbc或是第二訪問密鑰Kac的區(qū)中間密鑰KC或服務中間密鑰K#030Ch���。
在IC卡2和服務提供機111之間執(zhí)行相互認證�,如同圖12和13的情況��。
作為相互認證的結(jié)果�,如果IC卡2和服務提供機111二者識別為合適的,在IC卡2中允許僅對由具有從服務提供機111發(fā)送的服務代碼的服務定義區(qū)管理的服務區(qū)訪問�����。因此����,在圖16和圖17的情況下����,能夠僅對由服務定義區(qū)#030Ch管理的服務區(qū)訪問����。
即,知道區(qū)中間密鑰KC����、區(qū)代碼#0000h、#0100h�、#0300h、服務密鑰#030Ch和服務代碼#030Ch的管理者C能夠訪問由服務定義區(qū)#030Ch管理的服務區(qū)��。然而����,管理者C既不知道服務密鑰#0008h也不知道服務密鑰#1022Ch,管理者C基本不能訪問由服務定義區(qū)#0008h或#1022h管理的服務區(qū)��。
如上所述�����,甚至當管理者不知道上層的區(qū)密鑰時,也能夠訪問其服務區(qū)�。
如上所述,每個管理者不能訪問由該管理者不知道服務密鑰的服務定義區(qū)管理的任何服務區(qū)���。然而�����,例如����,有一種情況�,管理者C不僅希望執(zhí)行使用由其服務定義區(qū)#030Ch管理的服務區(qū)的服務����,而且希望執(zhí)行使用由管理者B的服務定義區(qū)#1022h管理的服務區(qū)的服務。
在這種情況下�,為了管理者C訪問由服務定義區(qū)#1022h管理的服務區(qū),管理者C必須知道區(qū)中間密鑰KB2�、區(qū)代碼#0000h、#1000h�����、服務密鑰#1022h和服務代碼#1022h,如參照圖14和15所描述的����。因此,需要從管理者B2獲得這些信息�����。
然而��,甚至作為管理者B2之父的管理者A也不知道由管理者B2知道的服務密鑰#1022h���,這樣��,從安全性方面看���,允許僅由管理者B2知道的服務密鑰#1022h告訴管理者C是不利的。
在這種情況下��,甚至當忽略安全性問題時�����,為了管理者C訪問分別由服務定義區(qū)#030Ch或#1022h管理的兩個服務區(qū)��,需要執(zhí)行示于圖15的IC卡2中的處理,以產(chǎn)生第一訪問密鑰Kbc和第二訪問密鑰Kac并且執(zhí)行相互認證���,用于對由服務定義區(qū)#030Ch管理的服務區(qū)訪問����,還執(zhí)行示于圖17的處理��,以產(chǎn)生第一訪問密鑰Kbc和第二訪問密鑰Kac并且執(zhí)行相互認證�,用于對由服務定義區(qū)#1022h管理的服務區(qū)訪問。
因此��,當對每個服務區(qū)執(zhí)行用于訪問一服務區(qū)的相互認證時����,難以立即訪問該服務區(qū)。結(jié)果���,當圖1的卡系統(tǒng)應用到車站中檢查票時,在持票者通過設置在查票處的門的相對短時間內(nèi)�,難以訪問IC卡2的預定服務區(qū)并且寫入或讀出數(shù)據(jù)。
因此���,在管理者C不僅提供使用由其服務定義區(qū)#030Ch管理的服務區(qū)的服務��,而且提供使用由管理者B2的服務定義區(qū)#1022h管理的服務區(qū)的服務��,為了解決安全性問題和保證對服務區(qū)的立即訪問�����,在管理者C和B2之間執(zhí)行示于圖18的信息傳送����,并且所述信息登記進服務提供機111。
即�����,管理者C根據(jù)區(qū)中間密鑰KC����,對存儲在服務定義區(qū)#030Ch中的服務密鑰#030Ch加密,如同圖16的情況�,以產(chǎn)生服務中間密鑰K#030Ch。此外�,管理者C將服務中間密鑰K#030Ch傳送到管理者B2,以根據(jù)服務密鑰#1022h加密�。管理者C接收服務信息K#1022h′和服務代碼#1022h,服務信息K#1022h′是根據(jù)服務密鑰#1022h的���、服務中間密鑰K#030Ch的加密結(jié)果�。
因此,在管理者C和B2之間僅傳送服務中間密鑰K#030Ch和K#1022h′���,既不存在僅由管理者C知道的服務密鑰#030Ch被管理者B2知道的情況�����,也不存在僅由管理者B2知道的服務密鑰#1022h被管理者C知道的情況�。即不存在安全性方面的問題����。
從管理者B2接收服務中間密鑰K#1022h′和服務代碼#1022h的管理者C,將其區(qū)定義區(qū)#0300h的層之上的上層中的區(qū)定義區(qū)的區(qū)代碼����,即,在此情況下�����,管理者A的區(qū)定義區(qū)#0000h的區(qū)代碼#0000h��、管理者B1的區(qū)定義區(qū)#0100h的區(qū)代碼0100h��、管理者C的區(qū)定義區(qū)#0300h的區(qū)代碼#0300h登記進服務提供機111中����。此外,管理者C將區(qū)中間密鑰KC和形成在區(qū)定義區(qū)#0300h的層中的服務定義區(qū)#030Ch的服務代碼#030Ch���,登記進服務提供機111中�����。
在此情況下�,當IC卡2插入服務提供機111中時����,在服務提供機111和IC卡2之間執(zhí)行下面的相互認證。
即�,如圖19所示,服務提供機111將登記的區(qū)代碼#0000h����、#0100h、#0300h及其服務代碼#030Ch和#1022h發(fā)送到IC卡2����。在IC卡2(定序器91)中�����,從服務提供機111接收區(qū)代碼#0000h�����、#0100h�、#0300h及服務代碼#030Ch和#1022h���。
在IC卡2中�,讀出存儲在系統(tǒng)定義塊(圖4)中的系統(tǒng)密鑰�����,從具有區(qū)代碼#0000h����、#0100h、#0300h的區(qū)定義區(qū)中讀出區(qū)密鑰#0000h�、#0100h、#0300h��,其中區(qū)代碼#0000h、#0100h�、#0300h是從服務提供機111接收的��,并且產(chǎn)生與登記在圖18的服務提供機111中的區(qū)中間密鑰KC相同的密鑰�,如同圖17的情況。與區(qū)中間密鑰KC相同的密鑰設定為用于認證的第一訪問密鑰Kbc���。
在IC卡2中��,對具有從服務提供機111接收的服務代碼#030Ch或#1022h的服務定義區(qū)�,從中分別讀出服務密鑰#030Ch或#1022h��。根據(jù)服務密鑰#030Ch加密區(qū)中間密鑰KC��,結(jié)果產(chǎn)生與服務中間密鑰K#030Ch相同的密鑰�����。此外����,根據(jù)服務密鑰#1022h加密與服務中間密鑰K#030Ch相同的密鑰,產(chǎn)生與登記在圖18的服務提供機111中的服務中間密鑰K#1022h′相同的密鑰���。將與服務中間密鑰K#1022h′相同的密鑰設定為用于認證的第二訪問密鑰Kac�����。
因此�����,在上述情況下�,是第一訪問密鑰Kbc或是第二訪問密鑰Kac的區(qū)中間密鑰KC或服務中間密鑰K#1022h′登記進服務提供機111中,在IC卡2中產(chǎn)生是第一訪問密鑰Kbc或是第二訪問密鑰Kac的區(qū)中間密鑰KC或服務中間密鑰K#1022h′���。
在IC卡2和服務提供機111之間執(zhí)行相互認證�����,如同圖12和13的情況���。
作為相互認證的結(jié)果,如果IC卡2和服務提供機111二者判定為合適的�����,在IC卡2中允許僅對由具有從服務提供機111發(fā)送的服務代碼的服務定義區(qū)管理的服務區(qū)訪問����。因此�,在圖18和圖19的情況下�����,允許對由服務定義區(qū)#030Ch管理的服務區(qū)和對由服務定義區(qū)#1022Ch管理的服務區(qū)訪問��。
如上所述����,通過根據(jù)兩個或更多個區(qū)密鑰或服務密鑰加密系統(tǒng)密鑰�,兩個或更多個區(qū)密鑰或服務密鑰簡并(degenerate)成(組成)第一訪問密鑰Kbc和第二訪問密鑰Kac這兩個密鑰,通過使用第一訪問密鑰Kbc和第二訪問密鑰Kac�,執(zhí)行對由具有從服務提供機111發(fā)送的服務代碼的服務定義區(qū)管理的服務區(qū)允許訪問的相互認證。因此�����,即使當準備對多個服務定義區(qū)訪問時��,能夠在短時間內(nèi)完成相互認證��,由此保證對服務區(qū)的快速訪問����。
在圖12和13的情況下��,通過使用第一訪問密鑰Kbc和第二訪問密鑰Kac兩個密鑰�����,執(zhí)行相互認證處理�����,然而�,例如僅通過使用第二訪問密鑰Kac����,能夠執(zhí)行相互認證處理。在此情況下�,在IC卡2中,通過根據(jù)兩個或更多個區(qū)密鑰或服務密鑰加密系統(tǒng)密鑰����,兩個或更多個區(qū)密鑰或服務密鑰簡并成一個第二訪問密鑰Kac。
此外��,如圖20所示�,能夠例如根據(jù)存儲在制造ID塊中����、并且是IC卡2的固有值的制造ID�,使用通過加密第一訪問密鑰Kbc和第二訪問密鑰Kac獲得的加密結(jié)果。在此����,在圖20中,對于第一訪問密鑰Kbc���,通過使第一訪問密鑰Kbc和制造ID進行EXOR,執(zhí)行加密�。對于第二訪問密鑰Kac,執(zhí)行基于DES系統(tǒng)的加密�。對于第二訪問密鑰Kac,通過使用第一訪問密鑰Kbc和制造ID的EXOR結(jié)果作為一密鑰�,執(zhí)行基于DES系統(tǒng)的加密。
如上所述�,當通過加密第一訪問密鑰Kbc和第二訪問密鑰Kac獲得的加密結(jié)果用于相互認證時,更提高了安全性����。在此情況下,在服務提供機111中需要制造ID�����,制造ID可從IC卡2發(fā)送。
下面�����,EEPROM 66的存儲區(qū)有一個分層的結(jié)構(gòu)�����,其中區(qū)定義區(qū)被分層��,并且設計每個區(qū)定義區(qū)和每個服務定義區(qū)���,以存儲區(qū)密鑰和服務密鑰用于認證����。結(jié)果�,能夠執(zhí)行具有靈活性的下面的訪問控制。
即�,當一管理者作為父管理者、并且希望停止由分享父管理者資源的子管理者的服務提供時����,因為子管理者進行了不正當服務���,父管理者能夠通過改變存儲在區(qū)定義區(qū)中的區(qū)密鑰,禁止子管理者訪問IC卡2��。
特別是����,例如當管理者B1停止圖5中管理者C的服務提供時,管理者B1改變存儲在IC卡2的區(qū)定義區(qū)#0100h中的區(qū)密鑰#0100h����。在此情況下,在IC卡2中形成區(qū)中間密鑰KB1�����,此外���,在圖17中還改變區(qū)中間密鑰KC,改變之前僅知道區(qū)中間密鑰KC的管理者C不能訪問服務定義區(qū)#030Ch�����。
管理者A可以改變存儲在區(qū)定義區(qū)#0000h中的區(qū)密鑰#0000h���,以禁止訪問服務定義區(qū)#030Ch��,其中管理者A是管理者B1的父管理者���,而管理者B1作為管理者C的父管理者�。然而�,在此情況下,是管理者A之子的管理者B2不能訪問由管理者B2的服務定義區(qū)#1022h管理的服務區(qū)�����。即�,當管理者改變其區(qū)密鑰時,不能訪問由在對應于該區(qū)密鑰的區(qū)定義區(qū)的層(子層�、孫層…)中的區(qū)定義區(qū)管理的服務定義區(qū)。
在圖18和19中����,管理者C使用與管理者B2共用的管理者B2的服務定義區(qū)#1022h。然而��,在管理者之間能夠有服務定義區(qū)的更復雜的共同使用�,用于某些類型的密鑰管理。
具體地說,例如��,假定在EEPROM 66中構(gòu)造示于圖21中的層結(jié)構(gòu)�。即,在圖21中���,管理者E的區(qū)定義區(qū)#5000h和管理者G的區(qū)定義區(qū)#7000h�����,形成為管理者A的區(qū)定義區(qū)#0000h的層的子層����,其中管理者A作為IC卡2的發(fā)行者��。此外�����,在管理者E的區(qū)定義區(qū)#5000h的層中�,形成服務定義區(qū)#5008h���、#5048h�、#5088h和#50C8h,并且形成管理者F的區(qū)定義區(qū)#6000h����。
此外,在管理者F的區(qū)定義區(qū)#6000h的層中���,形成服務定義區(qū)#6008h和#6048h���,在管理者G的區(qū)定義區(qū)#7000h的層中,形成服務定義區(qū)#7008h和#70C8h�。
在上述的層結(jié)構(gòu)中,管理者A根據(jù)區(qū)密鑰#0000h加密系統(tǒng)密鑰��,如圖22的(A)中所示�����,并且將加密結(jié)果傳送到作為子管理者的管理者E和G�。
如圖22的(B)所示,管理者E根據(jù)區(qū)密鑰#5000h��,對基于來自管理者A的區(qū)密鑰#0000h的系統(tǒng)密鑰加密結(jié)果進行加密����,并且使用加密結(jié)果作為第一訪問密鑰KE1�。此外�����,管理者E依次根據(jù)服務密鑰#5008h�、#5048h、#5088h和#50C8h中的每一個�,對第一訪問密鑰KE1(基于區(qū)密鑰#5000h的加密結(jié)果)加密,并且使用最終加密結(jié)果作為第二訪問密鑰KE2��。
如圖22的(C)所示����,給管理者F提供有來自管理者E的第一訪問密鑰KE1(基于區(qū)密鑰#5000h的加密結(jié)果),根據(jù)區(qū)密鑰#6000h對其加密�����,并且將加密結(jié)果設定為第一訪問密鑰KF1�。此外,管理者F依次根據(jù)服務密鑰#6008h����、#6048h中的每一個�����,對第一訪問密鑰KF1(基于區(qū)密鑰#6000h的加密結(jié)果)加密,并且將加密結(jié)果傳送給管理者E���,以依次根據(jù)服務密鑰#5048h和#5088h中的每一個對該加密結(jié)果加密���。此后,給管理者F提供有來自管理者E的加密結(jié)果��,并且將其傳送給管理者G����,以根據(jù)服務密鑰#70C8h對其加密。給管理者F提供有來自管理者G的加密結(jié)果�����,并且將它用作第二訪問密鑰KF2��。
如圖22的(D)所示��,管理者G根據(jù)區(qū)密鑰#7000h�����,將來自管理者A的基于區(qū)密鑰#0000h的系統(tǒng)密鑰加密結(jié)果加密,并且將該加密結(jié)果用作第一訪問密鑰KG1�����。此外��,管理者G依次根據(jù)服務密鑰#7008h��、#70C8h中的每一個�,對第一訪問密鑰KG1(基于區(qū)密鑰#7000h的加密結(jié)果)加密,并且將最終加密結(jié)果傳送給管理者F�����,以根據(jù)服務密鑰#6048h對其加密����。此后,管理者G將管理者F使用服務密鑰#6048h的加密結(jié)果傳送給管理者E�����,以依次根據(jù)服務密鑰#5088h和#50C8h中的每一個��,對該加密結(jié)果加密�。給管理者G提供有來自管理者E的加密結(jié)果���,并且將其用作第二訪問密鑰KG2�����。
在此情況下�����,在IC卡2中�����,按照與圖22情況相同的過程���,通過使用存儲在EEPROM 66中的區(qū)密鑰和服務密鑰���,對系統(tǒng)密鑰加密,以產(chǎn)生第一訪問密鑰和第二訪問密鑰�����,由此在管理者E�、F和G中能夠相互執(zhí)行服務定義區(qū)的共同使用�,如圖23所示��。
即��,管理者E僅能訪問其服務定義區(qū)#5008h���、#5048h���、#5088h和#50C8h。管理者F不僅能夠訪問其服務定義區(qū)#6008h����、#6048h,而且能夠訪問管理者E的服務定義區(qū)#5048h����、#5088h、以及管理者G的服務定義區(qū)#70C8h�。管理者G不僅能夠訪問其服務定義區(qū)#7008h和#70C8h,而且能夠訪問管理者E的服務定義區(qū)#5088h和#50C8h��、管理者F的服務定義區(qū)#6048h����。
在示于圖22的密鑰傳送中�,沒有管理者的服務密鑰自身被其它管理者知道的情況��。即���,管理者E的服務密鑰#5008h�����、#5048h、#5088h和#50C8h從不被管理者A和管理者F及管理者G知道�����。同樣��,管理者F的服務密鑰#6008h和#6048h從不被管理者E和G知道�,管理者G的服務密鑰#7008h和#70C8h從不被管理者E和F知道。
此外�����,如上所述���,當某管理者改變其服務密鑰時�,不能訪問由區(qū)定義區(qū)的層中層的區(qū)定義區(qū)管理的所有服務定義區(qū),即當父管理者改變區(qū)密鑰時����,子管理者不能訪問IC卡2。然而�,按照特別的密鑰管理方法能夠禁止特別的子管理者的訪問。
特別是��,例如��,假定在EEPROM 66中構(gòu)造如圖24所示的層結(jié)構(gòu)����。即,在圖24中��,管理者H的區(qū)定義區(qū)#8000h��、管理者I的區(qū)定義區(qū)#9000h��、管理者J的區(qū)定義區(qū)#A000h形成為管理者A的區(qū)定義區(qū)#0000h的層的子層���,其中管理者A作為IC卡2的發(fā)行者��。此外���,在管理者H的區(qū)定義區(qū)#8000h的層中形成服務定義區(qū)#8008h����、#8104h和#8105h�。
在上述層結(jié)構(gòu)中,如圖25的(A)所示����,管理者A根據(jù)區(qū)密鑰#0000h對系統(tǒng)密鑰加密�,并且將加密結(jié)果傳送給作為其子管理者的管理者I和J。
如圖25的(C)中所示��,管理者I根據(jù)區(qū)密鑰#9000h��,將來自管理者A的基于區(qū)密鑰#0000h的系統(tǒng)密鑰加密結(jié)果進行加密����,并且將該加密結(jié)果用作第一訪問密鑰KI1。此外�,管理者I將第一訪問密鑰KI1(基于區(qū)密鑰#9000h的加密結(jié)果)傳送給管理者H,以依次根據(jù)服務密鑰#8008h和#8104h中的每一個�����,將第一訪問密鑰KI1加密,如圖25中(B)所示���。然后�,管理者I將加密結(jié)果用作第二訪問密鑰KI2���,如圖25中(C)所示����。
如圖25的(D)中所示�����,管理者J根據(jù)區(qū)密鑰#A000h�����,將來自管理者A的基于區(qū)密鑰#0000h的系統(tǒng)密鑰加密結(jié)果進行加密���,并且將該加密結(jié)果用作第一訪問密鑰KJ1����。此外,管理者J將第一訪問密鑰KJ1(基于區(qū)密鑰#A000h的加密結(jié)果)傳送給管理者H�,以依次根據(jù)服務密鑰#8008h和#8105h中的每一個,將加密結(jié)果加密����,如圖25中(B)所示。然后�����,管理者J將加密結(jié)果用作第二訪問密鑰KJ2���,如圖25中(D)所示��。
在此情況下���,在IC卡2中��,按照與圖25情況相同的過程��,通過使用存儲在EEPROM 66中的區(qū)密鑰和服務密鑰���,對系統(tǒng)密鑰加密���,以產(chǎn)生第一訪問密鑰和第二訪問密鑰��,由此管理者I能夠訪問管理者H的服務定義區(qū)#8008h和#8104h��,并且管理者J能夠訪問管理者H的服務定義區(qū)#8008h和#8015h��。
管理者H形成服務定義區(qū)#8008h��,以便在管理者I和J之間共同使用其數(shù)據(jù)�����,并且管理者H形成服務定義區(qū)#8104h或#8105h作為所說的虛擬(dummy)服務定義區(qū)�����,以控制由管理者I或J每個訪問服務定義區(qū)#8008h�。因此����,由服務定義區(qū)#8014h和#8015h管理的服務區(qū)是不必要的,其容量可等于零�����。
在此情況下,例如當管理者H改變服務密鑰#8104h時���,通過使用服務密鑰#8104h產(chǎn)生第二訪問密鑰KI2�����、以在IC卡2中執(zhí)行認證處理的管理者I�����,不能訪問服務定義區(qū)#8008h�。即僅禁止管理者I訪問服務定義區(qū)#8008h��。另一方面�����,例如當管理者H改變服務密鑰#8105h時�����,通過使用服務密鑰#8105h產(chǎn)生第二訪問密鑰KJ2����、以在IC卡2中執(zhí)行認證處理的管理者J,不能訪問服務定義區(qū)#8008h��。即僅禁止管理者J訪問服務定義區(qū)#8008h����。
如上所述,通過使用虛擬服務定義區(qū)能夠禁止特別的子管理者訪問�。
在前面描述中,本發(fā)明應用于非接觸卡系統(tǒng)���,其中在沒有接觸的狀態(tài)下進行通信�����。然而�����,本發(fā)明可應用到在接觸狀態(tài)下進行通信的卡系統(tǒng)��。此外�,本發(fā)明的應用范圍不限于卡系統(tǒng)�。
在此實施例,通過所說秘密密鑰系統(tǒng)執(zhí)行認證�,然而�����,可通過公開密鑰系統(tǒng)執(zhí)行�。
在此實施例中�,當訪問區(qū)定義區(qū)的層的服務定義區(qū)時,通過依次使用在從區(qū)定義區(qū)層到最上層的總線上的區(qū)定義區(qū)的區(qū)密鑰�,產(chǎn)生第一訪問密鑰,然而���,第一訪問密鑰的產(chǎn)生方法不限于上述方式�����。此外��,按照本實施例�,通過依次使用要訪問的服務定義區(qū)的服務密鑰���,產(chǎn)生第二訪問密鑰�。然而�����,第二訪問密鑰的產(chǎn)生方法不限于上述方式��。即�����,通過依次使用任何兩個或更多個區(qū)密鑰或服務密鑰�,能夠產(chǎn)生第一訪問密鑰和第二訪問密鑰。
此外�����,在此實施例中�,每個用戶塊和系統(tǒng)塊存儲在是一個存儲器的EEPROM 66中,然而�,用戶塊和系統(tǒng)塊可存儲在物理上不同的存儲器中。
在此實施例��,數(shù)據(jù)存儲在EEPROM中�,然而,所述數(shù)據(jù)可存儲在半導體存儲器中���、除了EEPROM之外的磁盤等��。
按照本發(fā)明的數(shù)據(jù)存儲設備和數(shù)據(jù)存儲方法�,根據(jù)具有區(qū)定義區(qū)的存儲裝置的區(qū)定義區(qū)的存儲內(nèi)容管理存儲裝置,該區(qū)定義區(qū)用于儲存存儲區(qū)識別碼的范圍��,該存儲區(qū)識別碼能被分配給要管理的存儲區(qū)���,并且用于識別存儲區(qū)�����,并且區(qū)定義區(qū)用于存儲要管理的存儲區(qū)的空容量�����。因此��,能夠進行存儲裝置的資源管理���。
按照本發(fā)明的數(shù)據(jù)存儲設備和數(shù)據(jù)存儲方法,管理數(shù)據(jù)存儲裝置的存儲區(qū)����,同時將所述存儲區(qū)設計在層結(jié)構(gòu)中,通過對數(shù)據(jù)存儲裝置的存儲區(qū)的每層使用兩個或更多個層密鑰�,或?qū)ζ渲写鎯?shù)據(jù)的存儲區(qū)使用數(shù)據(jù)存儲區(qū)密鑰����,產(chǎn)生用于認證的一個或更多個認證密鑰��,并且根據(jù)認證密鑰執(zhí)行認證����。因此�����,能夠?qū)?shù)據(jù)存儲裝置執(zhí)行具有靈活性和高度安全性的訪問控制�。
權(quán)利要求
1.一種數(shù)據(jù)存儲設備,用于存儲數(shù)據(jù)以提供預定服務���,其特征在于包括數(shù)據(jù)存儲裝置����,用于存儲所述數(shù)據(jù)���;管理裝置�,用于管理所述數(shù)據(jù)存儲裝置的存儲區(qū)�,同時在分層結(jié)構(gòu)中設定所述存儲區(qū);層密鑰存儲裝置,用于存儲所述數(shù)據(jù)存儲裝置的所述存儲區(qū)的每一層的層密鑰�����;數(shù)據(jù)存儲區(qū)密鑰存儲裝置�,用于存儲其中存儲所述數(shù)據(jù)的所述存儲區(qū)的數(shù)據(jù)存儲區(qū)密鑰;產(chǎn)生裝置��,通過使用兩個或更多個層密鑰或數(shù)據(jù)存儲區(qū)密鑰�����,產(chǎn)生用于認證的一個或更多個認證密鑰�����,以訪問所述存儲區(qū)����;認證裝置,用于根據(jù)所述認證密鑰執(zhí)行認證��。
2.如權(quán)利要求1所述的數(shù)據(jù)存儲設備����,其中���,所述認證裝置根據(jù)所述認證密鑰執(zhí)行加密或解碼。
3.如權(quán)利要求1所述的數(shù)據(jù)存儲設備��,其中����,所述產(chǎn)生裝置根據(jù)預定層的所述層密鑰,對預定信息加密�。
4.如權(quán)利要求3所述的數(shù)據(jù)存儲設備�����,其中��,根據(jù)所述預定層的所述父層的所述層密鑰��,對所述預定信息加密��。
5.如權(quán)利要求1所述的數(shù)據(jù)存儲設備���,其中所述產(chǎn)生裝置通過依次使用總線上的層的層密鑰直到預定層����,對預定信息加密,通過使用所述數(shù)據(jù)存儲區(qū)密鑰����,對所述加密結(jié)果加密����,由此產(chǎn)生所述認證密鑰。
6.如權(quán)利要求1所述的數(shù)據(jù)存儲設備�,還包括通信裝置,用于執(zhí)行與外部設備的通信����,其中,所述產(chǎn)生裝置根據(jù)來自所述外部設備的信息����,識別用于產(chǎn)生所述認證密鑰的兩個或更多個層密鑰或數(shù)據(jù)存儲區(qū)密鑰。
7.如權(quán)利要求1所述的數(shù)據(jù)存儲設備����,其中,所述產(chǎn)生裝置根據(jù)所述設備固有的信息�����,轉(zhuǎn)換所述認證密鑰,并且所述認證設備根據(jù)基于所述固有信息的所述認證密鑰的所述轉(zhuǎn)換結(jié)果��,執(zhí)行認證�。
8.如權(quán)利要求1所述的數(shù)據(jù)存儲設備,其中��,所述存儲裝置是非易失性的�。
9.如權(quán)利要求1所述的數(shù)據(jù)存儲設備,還包括通信裝置���,用于執(zhí)行與外部設備的通信����,并且所述認證裝置執(zhí)行與所述外部設備的認證��。
10.如權(quán)利要求9所述的數(shù)據(jù)存儲設備��,其中��,所述通信裝置在接觸或非接觸狀態(tài)下�,執(zhí)行與所述外部設備的通信��。
11.一種數(shù)據(jù)存儲設備�����,用于存儲數(shù)據(jù)以提供預定服務,其特征在于包括存儲裝置�����,具有一區(qū)定義區(qū)���,用于至少儲存存儲區(qū)識別碼的范圍�,該存儲區(qū)識別碼能被分配給要管理的存儲區(qū)��,并且用于識別該存儲區(qū)����;和管理裝置,用于根據(jù)所述區(qū)定義區(qū)的所述存儲內(nèi)容����,管理所述存儲裝置的所述存儲區(qū),同時在層結(jié)構(gòu)中設計所述存儲區(qū)����,其中所述區(qū)定義區(qū)設定為層。
12.如權(quán)利要求11所述的數(shù)據(jù)存儲設備����,其中����,所述管理裝置將預定區(qū)定義區(qū)設定為父層�����,并且形成所述父層的子層的區(qū)定義區(qū)�,并且管理所述區(qū)定義區(qū),同時在層結(jié)構(gòu)中設定所述區(qū)定義區(qū)�����。
13.如權(quán)利要求12所述的數(shù)據(jù)存儲設備���,其中,當在所述子層的所述區(qū)定義區(qū)中的所述存儲區(qū)識別碼的范圍是在所述父層的所述區(qū)定義區(qū)的所述存儲區(qū)識別碼的范圍內(nèi)時���,所述管理裝置形成所述子層的所述區(qū)定義區(qū)���。
14.如權(quán)利要求11所述的數(shù)據(jù)存儲設備,其中�,所述區(qū)定義區(qū)還存儲要管理的所述存儲區(qū)的空容量�。
15.如權(quán)利要求14所述的數(shù)據(jù)存儲設備��,其中�����,當分配給所述子層的所述區(qū)定義區(qū)的所述存儲區(qū)的容量是在所述父層的所述區(qū)定義區(qū)的所述空容量的范圍內(nèi)時���,所述管理裝置形成所述子層的所述區(qū)定義區(qū)����。
16.如權(quán)利要求11所述的數(shù)據(jù)存儲設備���,其中�����,所述區(qū)定義區(qū)存儲預定密鑰��,而所述管理裝置還通過使用所述密鑰執(zhí)行認證����。
17.如權(quán)利要求11所述的數(shù)據(jù)存儲設備,其中�,所述存儲裝置還包括服務區(qū),用于存儲對應于所述預定服務的數(shù)據(jù)����;服務定義區(qū),存儲服務區(qū)識別碼以識別所述服務區(qū)��,并且管理所述服務區(qū)�����。
18.如權(quán)利要求17所述的數(shù)據(jù)存儲設備���,其中���,所述管理裝置將預定定義區(qū)設定為層,并且形成屬于所述層的所述服務定義區(qū)����。
19.如權(quán)利要求18所述的數(shù)據(jù)存儲設備,其中�,當在所述服務定義區(qū)中的所述服務區(qū)識別碼是在所述區(qū)定義區(qū)的所述存儲區(qū)識別碼的范圍內(nèi)時�,所述管理裝置形成所述服務定義區(qū)。
20.如權(quán)利要求17所述的數(shù)據(jù)存儲設備,其中���,所述服務定義區(qū)還存儲所述服務區(qū)的容量���。
21.如權(quán)利要求20所述的數(shù)據(jù)存儲設備,其中�,當分配給所述服務定義區(qū)的所述存儲區(qū)的容量是在所述區(qū)定義區(qū)中的所述空容量的范圍內(nèi)時,所述管理裝置形成所述服務區(qū)�����。
22.如權(quán)利要求1所述的數(shù)據(jù)存儲設備�,其中,所述存儲裝置還包括服務區(qū)���,存儲對應于所述預定服務的所述數(shù)據(jù)���;服務定義區(qū),存儲服務區(qū)識別碼�����,以識別所述服務區(qū)�����,并且所述服務定義區(qū)屬于某層的所述區(qū)定義區(qū)。
23.如權(quán)利要求17所述的數(shù)據(jù)存儲設備����,其中,所述服務定義區(qū)還存儲預定密鑰����,而所述管理裝置還通過使用所述密鑰執(zhí)行認證。
24.如權(quán)利要求23所述的數(shù)據(jù)存儲設備��,其中��,所述管理裝置通過根據(jù)存儲在所述兩個或更多個區(qū)定義區(qū)或服務定義區(qū)中的所述密鑰加密或解碼�,執(zhí)行認證。
25.如權(quán)利要求23所述的數(shù)據(jù)存儲設備���,其中���,所述管理裝置將存儲在所述兩個或更多個區(qū)定義區(qū)或服務定義區(qū)中的密鑰簡并成一個或更多個密鑰,由此產(chǎn)生一簡并密鑰����,并且通過使用所述一個或更多個簡并密鑰����,執(zhí)行所述認證�。
26.如權(quán)利要求11所述的數(shù)據(jù)存儲設備���,其中���,所述管理裝置根據(jù)存儲在所述區(qū)定義區(qū)中的所述存儲區(qū)識別碼的范圍,管理所述區(qū)定義區(qū)��,同時在層結(jié)構(gòu)中設定區(qū)定義區(qū)��。
27.如權(quán)利要求11所述的數(shù)據(jù)存儲設備���,其中��,所述存儲裝置是非易失性的����。
28.如權(quán)利要求11所述的數(shù)據(jù)存儲設備���,還包括通信裝置���,用于執(zhí)行與外部設備的通信��,其中所述管理裝置響應于來自外部設備的指令��,管理所述存儲裝置�。
29.如權(quán)利要求28所述的數(shù)據(jù)存儲設備���,其中�,所述通信裝置在接觸或非接觸狀態(tài)下�����,執(zhí)行與所述外部設備的所述通信��。
30.一種用于數(shù)據(jù)存儲設備的數(shù)據(jù)存儲方法��,用于存儲數(shù)據(jù)以提供預定服務�����,其特征在于��,所述數(shù)據(jù)存儲設備包括數(shù)據(jù)存儲裝置��,用于存儲數(shù)據(jù);管理裝置��,用于管理所述數(shù)據(jù)存儲裝置的存儲區(qū)�,同時在層結(jié)構(gòu)中設定所述存儲區(qū);層密鑰存儲裝置����,用于存儲所述數(shù)據(jù)存儲裝置的所述存儲區(qū)的每一層的層密鑰���;以及數(shù)據(jù)存儲區(qū)密鑰存儲裝置��,用于存儲其中存儲所述數(shù)據(jù)的所述存儲區(qū)的數(shù)據(jù)存儲區(qū)密鑰�����,并且所述方法包括產(chǎn)生步驟�����,通過使用兩個或更多個層密鑰或數(shù)據(jù)存儲區(qū)密鑰�����,產(chǎn)生用于認證的一個或更多個認證密鑰���,以訪問所述存儲區(qū)����;認證步驟��,用于根據(jù)所述認證密鑰執(zhí)行認證�����。
31.如權(quán)利要求30所述的數(shù)據(jù)存儲方法���,其中���,所述認證步驟根據(jù)所述認證密鑰,執(zhí)行加密或解碼�。
32.如權(quán)利要求30所述的數(shù)據(jù)存儲方法,其中�����,所述產(chǎn)生步驟通過根據(jù)用于預定層的所述層密鑰對預定信息加密����,產(chǎn)生所述認證密鑰���。
33.如權(quán)利要求32所述的數(shù)據(jù)存儲方法,其中��,所述預定信息根據(jù)用于所述預定層的所述父層的所述層密鑰�,對所述預定信息加密。
34.如權(quán)利要求30所述的數(shù)據(jù)存儲方法��,其中��,所述產(chǎn)生步驟通過依次使用總線上的層的所述層密鑰直到預定層����,對預定信息加密����,并且通過使用所述數(shù)據(jù)存儲區(qū)密鑰,對所述加密結(jié)果加密��,由此產(chǎn)生所述認證密鑰�。
35.如權(quán)利要求30所述的數(shù)據(jù)存儲方法,其中�����,所述數(shù)據(jù)存儲設備還包括通信裝置,用于執(zhí)行與外部設備的通信�����,并且所述產(chǎn)生步驟根據(jù)來自所述外部設備的所述信息���,識別用于產(chǎn)生所述認證密鑰的兩個或更多個層密鑰或數(shù)據(jù)存儲區(qū)密鑰����。
36.如權(quán)利要求30所述的數(shù)據(jù)存儲方法��,其中�,所述產(chǎn)生步驟根據(jù)所述設備固有的信息,轉(zhuǎn)換所述認證密鑰���,并且所述認證步驟根據(jù)基于所述設備固有信息的所述認證密鑰的所述轉(zhuǎn)換結(jié)果�,執(zhí)行所述認證�����。
37.如權(quán)利要求30所述的數(shù)據(jù)存儲方法��,其中,所述存儲裝置是非易失性的����。
38.如權(quán)利要求30所述的數(shù)據(jù)存儲方法,其中�����,所述數(shù)據(jù)存儲設備還包括通信裝置�����,用于執(zhí)行與外部設備的通信����,并且所述認證步驟執(zhí)行與所述外部設備的認證�。
39.如權(quán)利要求38所述的數(shù)據(jù)存儲方法,其中���,所述通信裝置在接觸或非接觸狀態(tài)下����,執(zhí)行與所述外部設備的通信��。
40.一種用于數(shù)據(jù)存儲設備的數(shù)據(jù)存儲方法,用于存儲數(shù)據(jù)以提供預定服務��,其特征在于�����,所述數(shù)據(jù)存儲設備包括存儲裝置��,具有區(qū)定義區(qū)�����,用于至少儲存存儲區(qū)識別碼的范圍��,所述存儲區(qū)識別碼能夠分配給要管理的存儲區(qū)��,并且用于識別所述存儲區(qū)��,并且所述方法包括管理步驟����,根據(jù)所述區(qū)定義區(qū)的所述存儲內(nèi)容,管理所述存儲裝置的所述區(qū)定義區(qū)��,同時在層結(jié)構(gòu)中設定所述區(qū)定義區(qū)���。
41.如權(quán)利要求40所述的數(shù)據(jù)存儲方法��,其中�����,所述管理步驟將預定區(qū)定義區(qū)設定為父層���,并且形成作為所述父層的子層的區(qū)定義區(qū)����,并且管理所述區(qū)定義區(qū)���,同時在層結(jié)構(gòu)中設定所述區(qū)定義區(qū)����。
42.如權(quán)利要求41所述的數(shù)據(jù)存儲方法����,其中���,當在所述子層的所述區(qū)定義區(qū)中的所述存儲區(qū)識別碼的范圍是在所述父層的所述區(qū)定義區(qū)的所述存儲區(qū)識別碼的范圍內(nèi)時�,所述管理步驟形成所述子層的所述區(qū)定義區(qū)。
43.如權(quán)利要求40所述的數(shù)據(jù)存儲方法���,其中��,所述區(qū)定義區(qū)還存儲要管理的所述存儲區(qū)的所述空容量��。
44.如權(quán)利要求43所述的數(shù)據(jù)存儲方法��,其中����,當分配給所述子層的所述區(qū)定義區(qū)的所述存儲區(qū)的容量是在所述父層的所述區(qū)定義區(qū)中的所述空容量的范圍內(nèi)時�����,所述管理步驟形成所述子層的所述區(qū)定義區(qū)��。
45.如權(quán)利要求40所述的數(shù)據(jù)存儲方法���,其中�,所述區(qū)定義區(qū)還存儲預定密鑰����,而所述管理裝置還通過使用所述密鑰執(zhí)行認證���。
46.如權(quán)利要求40所述的數(shù)據(jù)存儲方法,其中�,所述存儲裝置還包括服務區(qū),用于存儲對應于所述預定服務的數(shù)據(jù)���;服務定義區(qū)�,存儲服務區(qū)識別碼以識別所述服務區(qū)�����,并且管理所述服務區(qū)���。
47.如權(quán)利要求46所述的數(shù)據(jù)存儲方法�,其中����,所述管理步驟將預定區(qū)定義區(qū)設定為層,并且形成屬于所述層的所述服務預定區(qū)���。
48.如權(quán)利要求47所述的數(shù)據(jù)存儲方法����,其中����,當在所述服務定義區(qū)中的所述服務區(qū)識別碼是在所述區(qū)定義區(qū)的所述存儲區(qū)識別碼的范圍內(nèi)時,所述管理步驟形成所述服務定義區(qū)�����。
49.如權(quán)利要求47所述的數(shù)據(jù)存儲方法���,其中���,當分配給所述服務定義區(qū)的所述存儲區(qū)的容量是在所述區(qū)定義區(qū)中的所述空容量的范圍內(nèi)時,所述管理步驟形成所述服務區(qū)�。
50.如權(quán)利要求46所述的數(shù)據(jù)存儲方法,其中��,所述服務定義區(qū)還存儲所述服務區(qū)的容量��。
51.如權(quán)利要求40所述的數(shù)據(jù)存儲方法���,其中所述存儲裝置包括服務區(qū)����,存儲對應于所述預定服務的所述數(shù)據(jù);服務定義區(qū)�,存儲服務區(qū)識別碼,以識別所述服務區(qū)����,并且所述服務定義區(qū)屬于某層的所述區(qū)定義區(qū)。
52.如權(quán)利要求46所述的數(shù)據(jù)存儲方法�����,其中�����,所述服務定義區(qū)還存儲預定密鑰��,并且所述管理裝置還通過使用所述密鑰執(zhí)行認證���。
53.如權(quán)利要求52所述的數(shù)據(jù)存儲方法����,其中����,所述管理步驟通過根據(jù)存儲在所述兩個或更多個區(qū)定義區(qū)或服務定義區(qū)中的所述密鑰加密或解碼���,執(zhí)行認證���。
54.如權(quán)利要求52所述的數(shù)據(jù)存儲方法����,其中���,所述管理步驟將存儲在所述兩個或更多個區(qū)定義區(qū)或服務定義區(qū)中的密鑰簡并成一個或更多個密鑰��,以產(chǎn)生一簡并密鑰�,并且通過使用所述一個或更多個簡并密鑰���,執(zhí)行所述認證����。
55.如權(quán)利要求40所述的數(shù)據(jù)存儲方法���,其中���,所述管理步驟根據(jù)存儲在所述區(qū)定義區(qū)中的所述存儲區(qū)識別碼的范圍����,管理所述區(qū)定義區(qū)�����,同時在分層結(jié)構(gòu)中設定所述區(qū)定義區(qū)��。
56.如權(quán)利要求1所述的數(shù)據(jù)存儲方法��,其中����,所述存儲裝置是非易失性的。
57.如權(quán)利要求40所述的數(shù)據(jù)存儲方法�����,其中所述數(shù)據(jù)存儲設備還包括通信裝置��,用于執(zhí)行與外部設備的通信��,并且所述管理步驟響應于來自所述外部設備的指令����,管理所述存儲裝置�。
58.如權(quán)利要求57所述的數(shù)據(jù)存儲方法���,其中�,所述通信裝置在接觸或非接觸狀態(tài)下��,執(zhí)行與所述外部設備的通信����。
全文摘要
公開了一種數(shù)據(jù)存儲設備和數(shù)據(jù)存儲方法,在對應于一目錄的區(qū)定義區(qū)中存儲可用識別碼(對應于文件名或目錄名)的代碼范圍,根據(jù)代碼范圍構(gòu)建層結(jié)構(gòu),其中相關區(qū)定義區(qū)設定為父層,其它區(qū)定義區(qū)設定為子層;在區(qū)定義區(qū)中存儲可用存儲區(qū)的容量(空容量),由空容量和代碼范圍限制可用在區(qū)定義區(qū)的層中的容量和識別碼����。
文檔編號G06F12/14GK1245925SQ9911037
公開日2000年3月1日 申請日期1999年7月16日 優(yōu)先權(quán)日1998年7月16日
發(fā)明者日下部進, 高田昌幸, 佐佐木將央 申請人:索尼公司