專利名稱:安全設(shè)備和中繼終端的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及含有抗竄改區(qū)(tamper-resistant area)的安全設(shè)備、和將數(shù)據(jù)寫入安全設(shè)備的中繼終端。
背景技術(shù):
到目前為止,應(yīng)用例如IC(集成電路)卡的方法已經(jīng)被用作安全地存儲數(shù)字內(nèi)容的方法。IC卡包括只可從抗竄改模塊訪問和不能被未授權(quán)裝置讀取的安全存儲區(qū)。但是,由于安全存儲區(qū)的容量小,所以用存儲在安全存儲區(qū)中的解密密鑰加密受保護(hù)的數(shù)字內(nèi)容,并且將加密數(shù)字內(nèi)容存儲在終端的常規(guī)存儲區(qū)中或存儲卡中。在采用這樣存儲方式的情況下,正如,例如,JP-A-2002-124960所公開的那樣,通過應(yīng)用加密通信信道將用于解密數(shù)字內(nèi)容的密鑰分配給安全存儲器,并且隨后將加密數(shù)字內(nèi)容分配給常規(guī)存儲區(qū)。
發(fā)明內(nèi)容
本發(fā)明要解決的問題隨著近年來IC卡的存儲器容量不斷增大,非常希望將數(shù)字內(nèi)容本身存儲在安全存儲器中。但是,從外部接收的數(shù)據(jù)不能直接寫入安全存儲區(qū),并且這個安全存儲區(qū)只可從抗竄改模塊訪問。于是,在抗竄改模塊正在進(jìn)行任何其它大負(fù)載處理等的情況下,可能無法保留分配的信息。
為了防止這樣的缺陷,需要考慮以下過程,即,在抗竄改模塊正在進(jìn)行任何其它處理的情況下,也就是說,當(dāng)它處在忙狀態(tài)時,將數(shù)據(jù)暫時保留在中繼終端中,隨后,在適當(dāng)定時,通過抗竄改模塊將暫時保留的數(shù)據(jù)移動到安全存儲器。
但是,對于這個過程,當(dāng)將IC卡移動到不同的卡讀寫器時,不能將暫時保留的數(shù)據(jù)移動到作為最終存儲區(qū)的安全存儲器。也不能掌握保留在卡讀寫器中的數(shù)據(jù)是否是暫時保留的數(shù)據(jù)。這增加了卡讀寫器的負(fù)擔(dān),并且還存在卡讀寫器繼續(xù)存儲要傳送到抗竄改模塊的信息的安全問題。
鑒于上述背景,本發(fā)明的目的是提供能夠與抗竄改模塊的狀況無關(guān),安全可靠地將數(shù)據(jù)寫入安全存儲區(qū)的安全設(shè)備和中繼終端。
解決問題的手段在本發(fā)明的一個方面中,通過具有信息寫入功能的中繼終端接收從服務(wù)終端發(fā)送的數(shù)據(jù)的安全設(shè)備包含包括至少一個應(yīng)用程序、和控制安全設(shè)備的操作的設(shè)備控制單元的抗竄改模塊;只可從抗竄改模塊訪問的安全存儲器;和與服務(wù)終端通信的通信單元;其中,設(shè)備控制單元生成和保存存儲指令信息,存儲指令信息包括像指示數(shù)據(jù)的寫入?yún)^(qū)那樣的安全存儲器的地址、和在不能將數(shù)據(jù)寫入安全存儲器的情況下有關(guān)防范措施的信息;并且通信單元將存儲指令信息發(fā)送到服務(wù)終端。
在本發(fā)明的另一個方面中,有關(guān)防范措施的信息可以包括像指示暫時保存數(shù)據(jù)的保存區(qū)那樣的安全設(shè)備或中繼終端的(非安全)常規(guī)存儲器的地址、和將保存在常規(guī)存儲器中的數(shù)據(jù)移動到安全存儲器中的應(yīng)用程序的標(biāo)識符。
在本發(fā)明的另一個方面中,有關(guān)防范措施的信息可以包括指示至少繼續(xù)預(yù)留暫時保存數(shù)據(jù)的保存區(qū)或與數(shù)據(jù)的寫入?yún)^(qū)有關(guān)的存儲區(qū)的項目的存儲區(qū)預(yù)留項。
在本發(fā)明的另一個方面中,安全設(shè)備的通信單元可以接收從服務(wù)終端發(fā)送的數(shù)據(jù)的屬性信息;設(shè)備控制單元根據(jù)屬性信息確定轉(zhuǎn)發(fā)從服務(wù)終端發(fā)送的數(shù)據(jù)的中繼終端,并且設(shè)備控制單元使確定中繼終端的地址包括在存儲指令信息中。
在本發(fā)明的另一個方面中,安全設(shè)備的通信單元可以接收從服務(wù)終端發(fā)送的數(shù)據(jù)的屬性信息;設(shè)備控制單元根據(jù)屬性信息確定中繼終端和服務(wù)終端之間的通信方法,并且設(shè)備控制單元使通信方法包括在存儲指令信息中。
在本發(fā)明的另一個方面中,將從服務(wù)終端發(fā)送的數(shù)據(jù)寫入可通信連接的安全設(shè)備的中繼終端包含數(shù)據(jù)接收單元,用于從服務(wù)終端接收數(shù)據(jù)和存儲指令信息,其中,存儲指令信息包括像指示數(shù)據(jù)的寫入?yún)^(qū)那樣的安全設(shè)備的安全存儲器的地址、和在不能將數(shù)據(jù)寫入安全存儲器的情況下有關(guān)防范措施的信息;命令發(fā)送單元,用于向安全設(shè)備發(fā)送將接收數(shù)據(jù)寫入如存儲指令信息所指定的安全存儲器的地址中的命令,和從安全設(shè)備接收對命令的響應(yīng);和控制單元,用于根據(jù)響應(yīng),判斷將數(shù)據(jù)寫入安全存儲器的適當(dāng)性,并且在判斷不可能寫入的情況下,根據(jù)存儲指令信息指定的有關(guān)防范措施的信息,將數(shù)據(jù)寫入安全設(shè)備或中繼終端的常規(guī)存儲器中。
在本發(fā)明的另一個方面中,將從服務(wù)終端發(fā)送的數(shù)據(jù)寫入可通信連接的安全設(shè)備中的中繼終端包含數(shù)據(jù)接收單元,用于從服務(wù)終端接收數(shù)據(jù)和存儲指令信息,其中,存儲指令信息包括像指示數(shù)據(jù)的寫入?yún)^(qū)那樣的安全設(shè)備的安全存儲器的地址、和在不能將數(shù)據(jù)寫入安全存儲器的情況下有關(guān)防范措施的信息;和控制單元,用于管理安全設(shè)備的處理狀態(tài),以便根據(jù)處理狀態(tài),判斷將數(shù)據(jù)寫入安全存儲器的適當(dāng)性,并且在判斷不可能寫入的情況下,根據(jù)存儲指令信息指定的有關(guān)防范措施的信息,將數(shù)據(jù)寫入安全設(shè)備或中繼終端的常規(guī)存儲器中。
在本發(fā)明的另一個方面中,中繼終端可以進(jìn)一步包含刪除單元,用于在完成了將數(shù)據(jù)寫入存儲指令信息指定的常規(guī)存儲器的地址之后,刪除存儲指令信息。
在本發(fā)明的另一個方面中,有關(guān)防范措施的信息可以包括像指示暫時保存數(shù)據(jù)的保存區(qū)那樣的安全設(shè)備或中繼終端的常規(guī)存儲器的地址、和將保存在常規(guī)存儲器中的數(shù)據(jù)移動到安全存儲器中的應(yīng)用程序的標(biāo)識符。
在本發(fā)明的另一個方面中,有關(guān)防范措施的信息可以包括指示至少繼續(xù)預(yù)留暫時保存數(shù)據(jù)的保存區(qū)或作為數(shù)據(jù)的寫入?yún)^(qū)的存儲區(qū)的項目的存儲區(qū)預(yù)留項。
在本發(fā)明的另一個方面中,中繼終端的指令發(fā)送單元可以根據(jù)如存儲指令信息所指定的應(yīng)用程序的標(biāo)識符,將激活命令發(fā)送到與應(yīng)用程序標(biāo)識符相對應(yīng)的應(yīng)用程序;并且指令發(fā)送單元向激活的應(yīng)用程序發(fā)送將暫時保存在常規(guī)存儲器中的數(shù)據(jù)移動到安全存儲器的地址中的數(shù)據(jù)移動命令。
在本發(fā)明的另一個方面中,中繼終端的指令發(fā)送單元可以根據(jù)如存儲指令信息所指定的應(yīng)用程序的標(biāo)識符,將激活命令發(fā)送到與應(yīng)用程序標(biāo)識符相對應(yīng)的應(yīng)用程序;和激活的應(yīng)用程序參照存儲指令信息,將暫時保存在常規(guī)存儲器中的數(shù)據(jù)移動到安全存儲器的地址中。
在本發(fā)明的另一個方面中,中繼終端可以進(jìn)一步包含數(shù)據(jù)讀出單元,用于訪問存儲指令信息指定的常規(guī)存儲器的地址,以便讀出暫時保存在常規(guī)存儲器中的數(shù)據(jù);其中,指令發(fā)送單元根據(jù)如存儲指令信息所指定的應(yīng)用程序的標(biāo)識符,將激活命令發(fā)送到與應(yīng)用程序標(biāo)識符相對應(yīng)的應(yīng)用程序;和指令發(fā)送單元向激活的應(yīng)用程序發(fā)送指令應(yīng)用程序?qū)?shù)據(jù)讀出單元讀出的數(shù)據(jù)寫入安全存儲器的地址的寫入命令。
在本發(fā)明的另一個方面中,通過具有信息寫入功能的中繼終端接收從服務(wù)終端發(fā)送的數(shù)據(jù)的操作安全設(shè)備的方法包含安全設(shè)備生成存儲指令信息的步驟,存儲指令信息包括像指示數(shù)據(jù)的寫入?yún)^(qū)那樣的安全存儲器的地址、和在不能將數(shù)據(jù)寫入安全存儲器的情況下有關(guān)防范措施的信息;和安全設(shè)備將存儲指令信息發(fā)送到服務(wù)終端的步驟。
在本發(fā)明的另一個方面中,提供了用于通過具有信息寫入功能的中繼終端接收從服務(wù)終端發(fā)送的數(shù)據(jù)的程序,該程序可被安全設(shè)備讀取,該程序使安全設(shè)備執(zhí)行生成存儲指令信息的步驟,存儲指令信息包括像指示數(shù)據(jù)的寫入?yún)^(qū)那樣的安全存儲器的地址、和在不能將數(shù)據(jù)寫入安全存儲器的情況下有關(guān)防范措施的信息;和將存儲指令信息發(fā)送到服務(wù)終端的步驟。
如下所述,在本發(fā)明中還存在其它方面。于是,本發(fā)明的這個公開意在提供本發(fā)明的一些方面,而無意限制本發(fā)明的要求范圍。
圖1是示出第一實施例中的IC卡系統(tǒng)的配置的圖形。
圖2是示出第一實施例中的IC卡系統(tǒng)的操作概況的圖形。
圖3是示出IC卡和服務(wù)終端的處理細(xì)節(jié)的圖形。
圖4是示出存儲指令信息的生成操作的圖形。
圖5是示出用在發(fā)送目的地的確定中的表格例子的圖形。
圖6是示出用在發(fā)送目的地的確定中的表格例子的圖形。
圖7是示出存儲指令信息的例子的圖形。
圖8是示出包含在存儲指令信息中的發(fā)送目的地信息的例子的圖形。
圖9是示出存儲指令信息的例子的圖形。
圖10是示出中繼終端和服務(wù)終端的處理的圖形。
圖11A是示出從服務(wù)終端發(fā)送到中繼終端的數(shù)據(jù)的格式的圖形。
圖11B是示出首標(biāo)的內(nèi)容的圖形。
圖12是示出將數(shù)據(jù)寫入IC卡的操作的圖形。
圖13是示出將數(shù)據(jù)寫入IC卡的過程中的數(shù)據(jù)流動的圖形。
圖14是示出在IC卡忙的情況下寫入數(shù)據(jù)的操作的圖形。
圖15是示出在IC卡忙的情況下數(shù)據(jù)寫入過程中的數(shù)據(jù)流動的圖形。
圖16是示出將數(shù)據(jù)從常規(guī)存儲區(qū)移動到安全存儲區(qū)的操作的圖形。
圖17是示出將數(shù)據(jù)從常規(guī)存儲區(qū)移動到安全存儲區(qū)的情況下的數(shù)據(jù)流動的圖形。
圖18是示出將數(shù)據(jù)從常規(guī)存儲區(qū)移動到安全存儲區(qū)的操作的圖形。
圖19是示出將數(shù)據(jù)從常規(guī)存儲區(qū)移動到安全存儲區(qū)的情況下的數(shù)據(jù)流動的圖形。
圖20是示出用在第二實施例中的IC卡的配置的圖形。
圖21是示出第二實施例中的數(shù)據(jù)移動操作的圖形。
圖22是示出第二實施例中的數(shù)據(jù)移動過程中的數(shù)據(jù)流動的圖形。
圖23是示出第二實施例中的數(shù)據(jù)移動操作的圖形。
圖24是示出第二實施例中的數(shù)據(jù)移動過程中的數(shù)據(jù)流動的圖形。
圖25是示出入修正實施例中的將數(shù)據(jù)寫IC卡中的操作的圖形。
圖26是示出修正實施例中的將數(shù)據(jù)寫入IC卡的操作的圖形。
圖27是示出在存儲區(qū)預(yù)留項已經(jīng)到期的情況下刪除數(shù)據(jù)的操作的圖形。
具體實施例方式
下面給出本發(fā)明的詳細(xì)描述。但是,如下的詳細(xì)描述和附圖不應(yīng)該限制本發(fā)明。本發(fā)明的范圍將由所附權(quán)利要求書來限定。
通過具有信息寫入功能的中繼終端接收從服務(wù)終端發(fā)送的數(shù)據(jù)的實施例的安全設(shè)備包含抗竄改模塊,其包括至少一個應(yīng)用程序、和控制安全設(shè)備的操作的設(shè)備控制單元;只可從抗竄改模塊訪問的安全存儲器;和與服務(wù)終端通信的通信單元;其中,設(shè)備控制單元生成和保存存儲指令信息,存儲指令信息包括像指示數(shù)據(jù)的寫入?yún)^(qū)那樣的安全存儲器的地址、和在不能將數(shù)據(jù)寫入安全存儲器的情況下有關(guān)防范措施的信息;和通信單元將存儲指令信息發(fā)送到服務(wù)終端。
由于以這種方式生成存儲指令信息和將存儲指令信息發(fā)送到服務(wù)終端,所以可以通過安全設(shè)備指定的中繼終端接收數(shù)據(jù)。在不可能寫入的情況下有關(guān)防范措施的信息包含在存儲指令信息中,從而當(dāng)不能將數(shù)據(jù)寫入安全存儲器時,安全設(shè)備可以參照有關(guān)防范措施的信息,采取將接收數(shù)據(jù)保留在預(yù)定位置中的步驟,作為緊急措施。
在不可能寫入的情況下有關(guān)防范措施的信息可以包括像指示暫時保存數(shù)據(jù)的保存區(qū)那樣的安全設(shè)備或中繼終端的常規(guī)存儲器的地址、和將保存在常規(guī)存儲器中的數(shù)據(jù)移動到安全存儲器中的應(yīng)用程序的標(biāo)識符。
由于包含了用于暫時保存數(shù)據(jù)的常規(guī)存儲器的地址,所以當(dāng)不能將數(shù)據(jù)寫入安全存儲器時,可以一次性地將它們寫入常規(guī)存儲器。于是,在可以將數(shù)據(jù)寫入安全存儲器之后,可以通過讀取常規(guī)存儲器當(dāng)中的數(shù)據(jù)將數(shù)據(jù)寫入安全存儲器。因此,甚至在暫時不能將數(shù)據(jù)寫入安全存儲器的情況下,也可以可靠地將它們寫入安全存儲器。
在不可能寫入的情況下有關(guān)防范措施的信息可以包括指示至少繼續(xù)預(yù)留暫時保存數(shù)據(jù)的保存區(qū)或與數(shù)據(jù)的寫入?yún)^(qū)有關(guān)的存儲區(qū)的項目的存儲區(qū)預(yù)留項。
由于包括了存儲器的預(yù)留項,所以可以釋放甚至在項目到期之后也不能存儲數(shù)據(jù)的存儲器,以防止存儲容量因不恰當(dāng)?shù)乩^續(xù)預(yù)留存儲區(qū)而下降。
在安全設(shè)備中,通信單元可以接收從服務(wù)終端發(fā)送的數(shù)據(jù)的屬性信息;和設(shè)備控制單元根據(jù)屬性信息確定轉(zhuǎn)發(fā)從服務(wù)終端發(fā)送的數(shù)據(jù)的中繼終端,并且設(shè)備控制單元可以使確定中繼終端的地址包括在存儲指令信息中。
由于這種配置,可以按照從服務(wù)終端接收的屬性信息確定適當(dāng)中繼終端。這里,“屬性信息”包括,例如,要發(fā)送的數(shù)據(jù)的數(shù)據(jù)量和擴展碼、以及中繼終端的類別。例如,按照數(shù)據(jù)量的屬性,當(dāng)數(shù)據(jù)量大時,將本地PC確定為中繼終端,并且當(dāng)數(shù)據(jù)量小時,將便攜式終端確定為中繼終端。因此,在大數(shù)據(jù)量的情況下,可以避免在接收到所有數(shù)據(jù)之前不能在便攜式終端中進(jìn)行處理帶來的不便。
在安全設(shè)備中,通信單元可以接收從服務(wù)終端發(fā)送的數(shù)據(jù)的屬性信息;和設(shè)備控制單元可以根據(jù)屬性信息確定中繼終端和服務(wù)終端之間的通信方法,并且設(shè)備控制單元可以使通信方法包括在存儲指令信息中。
由于這種配置,可以按照從服務(wù)終端接收的屬性信息確定適當(dāng)通信方法。
將從服務(wù)終端發(fā)送的數(shù)據(jù)寫入可通信連接的安全設(shè)備的實施例的中繼終端包含數(shù)據(jù)接收單元,用于接收數(shù)據(jù)和保存存儲指令信息,其中,存儲指令信息包括像指示數(shù)據(jù)的寫入?yún)^(qū)那樣的安全設(shè)備的安全存儲器的地址、和在不能將數(shù)據(jù)寫入安全存儲器的情況下有關(guān)防范措施的信息;命令發(fā)送單元,用于向安全設(shè)備發(fā)送將接收數(shù)據(jù)寫入如存儲指令信息所指定的安全存儲器的地址的命令,和從安全設(shè)備接收對命令的響應(yīng);和控制單元,用于根據(jù)響應(yīng),判斷將數(shù)據(jù)寫入安全存儲器的適當(dāng)性,并且在判斷不可能寫入的情況下,根據(jù)存儲指令信息指定的有關(guān)防范措施的信息,將數(shù)據(jù)寫入安全設(shè)備或中繼終端的常規(guī)存儲器中。
這樣,當(dāng)不能將數(shù)據(jù)寫入安全存儲器時,將它們寫入常規(guī)存儲器,從而當(dāng)以后可以將數(shù)據(jù)寫入安全存儲器時,可以將數(shù)據(jù)從常規(guī)存儲器移動到安全存儲器。因此,甚至在暫時不能將數(shù)據(jù)寫入安全存儲器的情況下,也可以可靠地將它們寫入安全存儲器。
將從服務(wù)終端發(fā)送的數(shù)據(jù)寫入可通信連接的安全設(shè)備的實施例的中繼終端包含數(shù)據(jù)接收單元,用于從服務(wù)終端接收數(shù)據(jù)和存儲指令信息,其中,存儲指令信息包括像指示數(shù)據(jù)的寫入?yún)^(qū)那樣的安全設(shè)備的安全存儲器的地址、和在不能將數(shù)據(jù)寫入安全存儲器的情況下有關(guān)防范措施的信息;和控制單元,用于管理安全設(shè)備的處理狀態(tài),以便根據(jù)處理狀態(tài),判斷將數(shù)據(jù)寫入安全存儲器的適當(dāng)性,和在判斷不可能寫入的情況下,根據(jù)存儲指令信息指定的有關(guān)防范措施的信息,將數(shù)據(jù)寫入安全設(shè)備或中繼終端的常規(guī)存儲器。
這樣,控制單元管理安全設(shè)備的處理狀態(tài),并且在根據(jù)處理狀態(tài)判斷不可能寫入的情況下,將數(shù)據(jù)寫入常規(guī)存儲器,從而當(dāng)以后可以將數(shù)據(jù)寫入安全存儲器時,可以將數(shù)據(jù)從常規(guī)存儲器移動到安全存儲器。因此,甚至在暫時不能將數(shù)據(jù)寫入安全存儲器的情況下,也可以可靠地將它們寫入安全存儲器。
該實施例的中繼終端被配置成包含刪除單元,用于在完成了將數(shù)據(jù)寫入存儲指令信息指定的常規(guī)存儲器的地址之后,刪除存儲指令信息。
因此,可以降低非法地從中繼終端中讀出存儲指令信息的風(fēng)險,并且可以提高安全性。
有關(guān)防范措施的信息可以包含像指示暫時保存數(shù)據(jù)的保存區(qū)那樣的安全設(shè)備或中繼終端的常規(guī)存儲器的地址、和將保存在常規(guī)存儲器中的數(shù)據(jù)移動到安全存儲器中的應(yīng)用程序的標(biāo)識符。
因此,包含了暫時保存數(shù)據(jù)的常規(guī)存儲器的地址,從而當(dāng)不能將數(shù)據(jù)寫入安全存儲器時,可以一次性地將它們寫入常規(guī)存儲器。于是,在可以將數(shù)據(jù)寫入安全存儲器之后,可以通過讀取常規(guī)存儲器當(dāng)中的數(shù)據(jù)將數(shù)據(jù)寫入安全存儲器。因此,甚至在暫時不能將數(shù)據(jù)寫入安全存儲器的情況下,也可以可靠地將它們寫入安全存儲器。
有關(guān)防范措施的信息可以包含指示至少繼續(xù)預(yù)留暫時保存數(shù)據(jù)的保存區(qū)或與數(shù)據(jù)的寫入?yún)^(qū)有關(guān)的存儲區(qū)的項目的存儲區(qū)預(yù)留項。
因此,可以釋放甚至在項目到期之后也不能存儲數(shù)據(jù)的存儲器,以防止存儲容量因不恰當(dāng)?shù)乩^續(xù)預(yù)留存儲區(qū)而下降。
在中繼終端中,指令發(fā)送單元可以根據(jù)如存儲指令信息所指定的應(yīng)用程序的標(biāo)識符,為與應(yīng)用程序標(biāo)識符相對應(yīng)的應(yīng)用程序發(fā)送激活命令;和指令發(fā)送單元可以向激活的應(yīng)用程序發(fā)送將暫時保存在常規(guī)存儲器中的數(shù)據(jù)移動到安全存儲器的地址中的數(shù)據(jù)移動命令。
這樣,與如從安全設(shè)備當(dāng)中讀出的存儲指令信息所指定的應(yīng)用程序的標(biāo)識符一起,將數(shù)據(jù)從常規(guī)存儲器移動到安全存儲器的命令發(fā)送到安全設(shè)備,從而,安全設(shè)備可以從常規(guī)存儲器當(dāng)中讀出數(shù)據(jù),然后將讀出數(shù)據(jù)存儲在安全存儲器中。因此,可以將暫時保存在常規(guī)存儲器中的數(shù)據(jù)移動到安全存儲器。
在中繼終端中,指令發(fā)送單元可以根據(jù)如存儲指令信息所指定的應(yīng)用程序的標(biāo)識符,為與應(yīng)用程序標(biāo)識符相對應(yīng)的應(yīng)用程序發(fā)送激活命令;和激活的應(yīng)用程序參照存儲指令信息,將暫時保存在常規(guī)存儲器中的數(shù)據(jù)移動到安全存儲器的地址。
這樣,將如從安全設(shè)備當(dāng)中讀出的存儲指令信息所指定的應(yīng)用程序的標(biāo)識符發(fā)送到安全設(shè)備,從而,安全設(shè)備激活指定的應(yīng)用程序。此外,激活的應(yīng)用程序參照保存在安全設(shè)備本身中的存儲指令信息,讀出存儲在常規(guī)存儲器中的數(shù)據(jù),然后將數(shù)據(jù)存儲在安全存儲器中。從而可以將暫時保存在常規(guī)存儲器中的數(shù)據(jù)移動到安全存儲器。
該中繼終端可以進(jìn)一步包含數(shù)據(jù)讀出單元,用于訪問存儲指令信息指定的常規(guī)存儲器的地址,以便讀出暫時保存在常規(guī)存儲器中的數(shù)據(jù);其中,指令發(fā)送單元根據(jù)如存儲指令信息所指定的應(yīng)用程序的標(biāo)識符,將激活命令發(fā)送到與應(yīng)用程序標(biāo)識符相對應(yīng)的應(yīng)用程序;和指令發(fā)送單元向激活的應(yīng)用程序發(fā)送指令應(yīng)用程序?qū)?shù)據(jù)讀出單元讀出的數(shù)據(jù)寫入安全存儲器的地址的寫入命令。
這樣,根據(jù)從安全設(shè)備當(dāng)中讀出的存儲指令信息指定的常規(guī)存儲器的地址讀出存儲在常規(guī)存儲器中的數(shù)據(jù),和與讀出數(shù)據(jù)一起,將數(shù)據(jù)寫入安全存儲器中的命令被發(fā)送到安全存儲器,從而可以將暫時保存在常規(guī)存儲器中的數(shù)據(jù)移動到安全存儲器。
在通過具有信息寫入功能的中繼終端接收從服務(wù)終端發(fā)送的數(shù)據(jù)的實施例中操作安全設(shè)備的方法包含安全設(shè)備生成存儲指令信息的步驟,存儲指令信息包括像指示數(shù)據(jù)的寫入?yún)^(qū)那樣的安全設(shè)備的安全存儲器的地址、和在不能將數(shù)據(jù)寫入安全存儲器的情況下有關(guān)防范措施的信息;和安全設(shè)備將存儲指令信息發(fā)送到服務(wù)終端的步驟。
由于這種配置,與該實施例的安全設(shè)備一樣,甚至在暫時不能將數(shù)據(jù)寫入安全存儲器的情況下,也可以根據(jù)存儲指令信息可靠地將它們寫入安全存儲器。還可以將該實施例的安全設(shè)備的各種配置應(yīng)用于該實施例中操作安全設(shè)備的方法。
本發(fā)明提供了用于通過具有信息寫入功能的中繼終端,接收從服務(wù)終端發(fā)送的數(shù)據(jù)的操作安全設(shè)備的實施例的程序,該程序使安全設(shè)備執(zhí)行生成存儲指令信息的步驟,存儲指令信息包括像指示數(shù)據(jù)的寫入?yún)^(qū)那樣的安全存儲器的地址、和在不能將數(shù)據(jù)寫入安全存儲器的情況下有關(guān)防范措施的信息;和將存儲指令信息發(fā)送到服務(wù)終端的步驟。
由于這種配置,與該實施例的安全設(shè)備一樣,甚至在暫時不能將數(shù)據(jù)寫入安全存儲器的情況下,也可以根據(jù)存儲指令信息可靠地將它們寫入安全存儲器。還可以將該實施例的安全設(shè)備的各種配置應(yīng)用于該實施例的程序。
現(xiàn)在,參照附圖描述體現(xiàn)本發(fā)明的安全設(shè)備和中繼終端。在如下的描述中,將描述將數(shù)據(jù)從服務(wù)終端60發(fā)送到中繼終端40和中繼終端40將數(shù)據(jù)寫入作為安全設(shè)備的IC卡10的IC卡系統(tǒng)。這個系統(tǒng)按如下所述的流程工作。內(nèi)容的購買通過服務(wù)終端60和IC卡10之間的通信確定,并且待管理的已購內(nèi)容數(shù)據(jù)被從服務(wù)終端60分配到中繼終端40。此外,中繼終端40將內(nèi)容數(shù)據(jù)存儲在IC卡10的安全存儲區(qū)18中。
圖1是示出本發(fā)明的第一實施例中包括IC卡和中繼終端的IC卡系統(tǒng)的圖形。IC卡系統(tǒng)配有IC卡10、將信息提供給IC卡10的服務(wù)終端60、和將信息寫入IC卡10的中繼終端40。
IC卡10配有抗竄改模塊(下文稱為“TRM”)12、以及包括安全存儲區(qū)18和常規(guī)存儲區(qū)20的存儲器22。安全存儲區(qū)18是只可通過TRM 12訪問的區(qū)域。常規(guī)存儲區(qū)20是可從TRM 12和接觸式接口26訪問的區(qū)域。
TRM 12包括控制IC卡10的操作的卡控制單元14、和一個或多個卡應(yīng)用程序16。TRM 12的硬件是配有CPU(中央處理單元)和ROM(只讀存儲器)的單個模塊??☉?yīng)用程序16被存儲在ROM中,并且CPU從ROM中讀出卡應(yīng)用程序16并執(zhí)行這個卡應(yīng)用程序,從而控制IC卡10的操作。
IC卡10含有非接觸式接口24和接觸式接口26。在本實施例中,與服務(wù)終端60的通信通過非接觸式接口24進(jìn)行,而與中繼終端40的通信通過接觸式接口26進(jìn)行。
接觸式接口26與TRM 12和常規(guī)存儲區(qū)20連接。在接觸式接口26從外部接收到存儲器訪問命令的情況下,這個接觸式接口26訪問常規(guī)存儲區(qū)20,而在接觸式接口26接收到IC卡訪問命令的情況下,這個接觸式接口26通過TRM 12訪問安全存儲區(qū)18。接觸式接口26總是接收存儲器訪問命令,而在IC卡10處在忙狀態(tài)的情況下不接收IC卡訪問命令,接觸式接口26將錯誤返回給接觸式接口52。IC卡10處在忙狀態(tài)的例子是非接觸式接口24正在進(jìn)行這個非接觸式接口24和接觸式接口26不能同時工作的IC卡10中的任何處理的情況、和單信道的IC卡10中任何其它處理正在進(jìn)行的情況。
除了通過將IC卡訪問命令發(fā)送到IC卡10然后接收錯誤來感測忙狀態(tài)的方面之外,中繼終端40的卡訪問控制單元54可以在非接觸式處理的開頭和在接觸式處理的開頭管理IC卡10,以便當(dāng)這些處理之一正在進(jìn)行時,卡訪問控制單元54可以停止向IC卡10發(fā)送啟動其它通信處理的請求。此外,在在接觸式處理期間連接數(shù)超過最大信道數(shù)的情況下,卡訪問控制單元54可以判斷為忙狀態(tài),以防將進(jìn)一步訪問請求發(fā)到送IC卡10。
非接觸式接口24與TRM 12連接。這個非接觸式接口24將從外部輸入的信息發(fā)送到TRM 12,并且非接觸式接口24將從TRM 12傳送的信息發(fā)送到外部。非接觸式接口24的例子是ISO/IEC 14443,JICSAP 2.0的A類或B類的接口、紅外通信、或藍(lán)牙。在如圖1所示的例子中,假設(shè)非接觸式接口24配備在IC卡10中,但這不是限制性的,一部分或全部非接觸接口可以配備在中繼終端40這一側(cè),從而,IC卡10通過接觸式接口26和52與服務(wù)終端60進(jìn)行非接觸式通信。
除了一般計算機都配有的終端控制單元42、RAM 44、ROM 46、顯示單元48和通信單元50的配置之外,中繼終端40還配有用于讀寫IC卡10的信息的接觸式接口52和卡訪問控制單元54。中繼終端40的例子是帶有便攜式電話功能的便攜式終端、與因特網(wǎng)相連的PC或與因特網(wǎng)相連的電視機。
除了一般計算機都配有的控制單元62、RAM 64、ROM 66、通信控制單元68和通信接口70的配置之外,服務(wù)終端60還配有與IC卡10進(jìn)行無線電通信的非接觸式接口72。要發(fā)送到IC卡10的內(nèi)容數(shù)據(jù)被存儲在服務(wù)終端60的ROM 66中。
接著,描述第一實施例中的IC卡系統(tǒng)的操作。首先描述IC卡10不忙并且可以正常地將數(shù)據(jù)寫入安全存儲區(qū)18的情況下的操作,接著描述TRM 12忙情況下的操作。
圖2是示出在IC卡10、服務(wù)終端60和中繼終端40之間發(fā)送和接收的數(shù)據(jù)的流動的圖形。首先,在IC卡10和服務(wù)終端60之間進(jìn)行非接觸式通信,從而建立起會話(S10)。
圖3是詳細(xì)示出IC卡10和服務(wù)終端60的處理的圖形。首先,IC卡10和服務(wù)終端60激活卡應(yīng)用程序16(S40)。此后,在IC卡10和服務(wù)終端60之間進(jìn)行交叉驗證(S42),并且生成安全通信信道,以便共享會話密鑰(S44)。由于到此為止所述的操作,在IC卡10和服務(wù)終端60中繼續(xù)進(jìn)行如圖2所示的直到保留公用會話密鑰的處理(S12)。
隨后,如圖3所示,在IC卡10和服務(wù)終端60之間進(jìn)行支付處理(S46)。這里,IC卡10將對內(nèi)容數(shù)據(jù)的購買請求發(fā)送到服務(wù)終端60,并且服務(wù)終端60根據(jù)購買請求確定內(nèi)容數(shù)據(jù)的分配。因此,在IC卡10和服務(wù)終端60之間進(jìn)行購買內(nèi)容數(shù)據(jù)的支付處理。然后,服務(wù)終端60將內(nèi)容數(shù)據(jù)的屬性信息發(fā)送到IC卡10(S48)。
當(dāng)IC卡10接收到從服務(wù)終端60發(fā)送的屬性信息時(S50),IC卡10根據(jù)接收的屬性信息生成存儲指令信息30(S52)。這里,將描述IC卡10生成的存儲指令信息30。
圖4是示出IC卡10生成存儲指令信息30和將信息30發(fā)送到服務(wù)終端60的操作的圖形。首先,服務(wù)終端60將數(shù)據(jù)的屬性信息發(fā)送到IC卡10(S60)。數(shù)據(jù)的屬性信息的例子是數(shù)據(jù)量、數(shù)據(jù)類型等。當(dāng)IC卡10的卡應(yīng)用程序16接收到從服務(wù)終端60發(fā)送的屬性信息時,卡應(yīng)用程序16將接收的屬性信息傳送到卡控制單元14(S62)。卡控制單元14根據(jù)屬性信息,確定要從服務(wù)終端60發(fā)送的數(shù)據(jù)的發(fā)送目的地和發(fā)送路徑(S64)??刂茊卧獜牟襟ES64到步驟S74的處理可以以庫的形式內(nèi)置在卡OS中,或者,可以以卡應(yīng)用程序的形式保存在TRM中。
圖5是示出為了當(dāng)接收到數(shù)據(jù)大小作為屬性信息時,在出現(xiàn)寫入錯誤的情況下、確定發(fā)送目的地和暫時保存區(qū),卡控制單元保存的表格的例子的圖形。如圖5所示,該表格與數(shù)據(jù)大小相聯(lián)系地含有發(fā)送目的地信息和指示防止錯誤的防范措施的信息。在如圖5所示的表格中,在數(shù)據(jù)大小小于100KB的情況下,將便攜式終端的設(shè)備地址指定成中繼終端,而在數(shù)據(jù)大小等于或大于100KB的情況下,將本地服務(wù)器的設(shè)備地址指定成中繼終端。因此,通過便攜式終端可以接收并且流暢地使用少量數(shù)據(jù),并且使大量數(shù)據(jù)由大存儲容量的本地服務(wù)器接收。關(guān)于防止錯誤的防范措施,將小于100KB的數(shù)據(jù)指定成保存在IC卡10內(nèi)的常規(guī)存儲區(qū)20中。因此,可避免便攜式終端存儲器的抑制。將等于或大于100KB和小于100MB的數(shù)據(jù)指定成保存在本地服務(wù)器的常規(guī)存儲器中。因此,可以將通常容量大的本地服務(wù)器的常規(guī)存儲器用作暫時保存區(qū)。這樣,利用如圖5所示的表格,可以按照數(shù)據(jù)大小確定適當(dāng)發(fā)送目的地和暫時保存區(qū)??梢灾付ǚ乐姑糠N錯誤的兩種或多個防范措施。例如,將將數(shù)據(jù)保存到IC卡10內(nèi)的常規(guī)存儲區(qū)20被指定為第一防范措施,而將數(shù)據(jù)保存到中繼終端40內(nèi)的常規(guī)存儲區(qū)被指定為第二防范措施。這樣,甚至在未將IC卡插入中繼終端中的情況下,也可以通過第二防范措施使數(shù)據(jù)暫時保留在中繼終端40內(nèi)的常規(guī)存儲器中。從服務(wù)終端60接收的屬性信息不局限于數(shù)據(jù)大小,例如,也可以接收數(shù)據(jù)類型作為屬性信息。在這種情況下,例如,包括如圖6所示的表格,并且按照數(shù)據(jù)類型確定發(fā)送目的地。
關(guān)于出錯情況下的防范措施,在核實了空閑存儲區(qū)(圖4中的S66、S68、S70和S72)之后,可以由IC卡10的卡控制單元14按照存儲區(qū)的空閑狀態(tài)動態(tài)地確定暫時保存區(qū)。在那種情況下,在如圖5和圖6所示的每個表格中可以省略出錯情況下的防范措施那一列。
如圖4所示,在確定了發(fā)送目的地之后,卡控制單元14核實安全存儲區(qū)18的空閑區(qū)(S66)和預(yù)留數(shù)據(jù)的存儲區(qū)(S68)。因此,不能將其它數(shù)據(jù)寫入用于存儲數(shù)據(jù)的預(yù)留區(qū),并且可以可靠地將這些數(shù)據(jù)存儲在安全存儲區(qū)18中。隨后,卡控制單元14檢驗常規(guī)存儲區(qū)20中的空閑區(qū)(S70)和為數(shù)據(jù)的暫時保存區(qū)預(yù)留區(qū)域(S72)。因此,不能將其它數(shù)據(jù)寫入用于暫時保留的預(yù)留區(qū),并且甚至在IC卡10處在忙狀態(tài)的情況下,也可以可靠地將數(shù)據(jù)保存在常規(guī)存儲區(qū)20中,因此,不能將數(shù)據(jù)存儲在安全存儲區(qū)18中。但是,對于用于數(shù)據(jù)的暫時保存區(qū)的常規(guī)存儲區(qū)20,可以無需指定寫入?yún)^(qū)域或預(yù)留存儲區(qū)地將這些數(shù)據(jù)寫入空閑區(qū)。也就是說,可以省略步驟S72。接著,卡控制單元14創(chuàng)建存儲指令信息30(S74)。
圖7是示出存儲指令信息30的例子的圖形。如圖7所示,存儲指令信息30包含“發(fā)送目的地信息”、“卡應(yīng)用程序ID”、“存儲區(qū)地址”、“出錯情況下的保存區(qū)”和“數(shù)據(jù)大小”的信息項。發(fā)送目的地信息是在發(fā)送目的地的步驟中確定的發(fā)送目的地的地址。在如圖7所示的例子中,發(fā)送目的地信息不僅包含作為發(fā)送目的地的中繼終端的便攜式終端的設(shè)備地址,而且包含指示通信方法是藍(lán)牙的信息“blt”。在通信方法是紅外輻射、IP和文件傳送的情況下,如圖8所示的信息項分別包含在發(fā)送目的地信息中??☉?yīng)用程序ID是識別進(jìn)行數(shù)據(jù)接收處理的卡應(yīng)用程序16的信息。存儲區(qū)地址是指示在步驟S68中預(yù)留的存儲區(qū)的區(qū)域地址的信息。出錯情況下的保存區(qū)是指示在步驟S72中預(yù)留的保存區(qū)的區(qū)域地址的信息。數(shù)據(jù)大小是指示預(yù)留區(qū)的數(shù)據(jù)大小的信息。當(dāng)未預(yù)留出錯情況下的保存區(qū)時,只將出錯情況下的保存區(qū)指定成常規(guī)存儲區(qū)。
存儲指令信息30可以進(jìn)一步包含“存儲區(qū)預(yù)留項”?!按鎯^(qū)預(yù)留項”是指示繼續(xù)預(yù)留在步驟S68和S72中預(yù)留的區(qū)域的項目的日期和時間。
如圖4所示,IC卡10的卡控制單元14將創(chuàng)建的存儲指令信息30發(fā)送到卡應(yīng)用程序16(S76)??☉?yīng)用程序16保留接收的存儲指令信息30,并且將這個存儲指令信息30發(fā)送到服務(wù)終端60(S78和S80)。如圖9所示,保留在IC卡10中的存儲指令信息30不需要包含發(fā)送目的地信息。發(fā)送目的地信息是掌控服務(wù)終端60打算將數(shù)據(jù)發(fā)送給它的中繼終端40、以便不需要包含在從服務(wù)終端60發(fā)送到中繼終端40的數(shù)據(jù)中的信息。到此為止,已經(jīng)描述了存儲指令信息。
如圖3所示,IC卡10將存儲指令信息30發(fā)送到服務(wù)終端60(S54)。服務(wù)終端60接收從IC卡10發(fā)送的存儲指令信息30,從而完成IC卡10和服務(wù)終端60之間的通信(S56)。
如圖2所示,當(dāng)服務(wù)終端60接收從IC卡10發(fā)送的存儲指令信息30時(S20),服務(wù)終端60將IC卡10請求的內(nèi)容數(shù)據(jù)發(fā)送到存儲指令信息30指定的中繼終端40(S22-S28)。
圖10是詳細(xì)示出服務(wù)終端60和中繼終端40的處理的圖形。首先,服務(wù)終端60用會話密鑰加密要發(fā)送的數(shù)據(jù),從而生成加密數(shù)據(jù)(S90)。當(dāng)加密結(jié)束時,服務(wù)終端60刪除用在加密中的會話密鑰(S92)。隨后,服務(wù)終端60將首標(biāo)附在加密數(shù)據(jù)上并且將這些數(shù)據(jù)發(fā)送到中繼終端40(S94)。
圖11A和圖11B是示出從服務(wù)終端60發(fā)送到中繼終端40的數(shù)據(jù)的例子的圖形。如圖11A所示,這里要發(fā)送的數(shù)據(jù)是將首標(biāo)附在加密數(shù)據(jù)上那樣的數(shù)據(jù)。TLV格式最好應(yīng)該適用于首標(biāo)。圖11B例示了包含在首標(biāo)中的數(shù)據(jù)的內(nèi)容。指定中繼終端40的終端中間件(MW)ID、和存儲指令信息30被包含在首標(biāo)中。此外,如圖11B所示,在首標(biāo)中還可以包含會話ID、數(shù)據(jù)ID和R/WID。
中繼終端40的通信單元50接收從服務(wù)終端60發(fā)送的加密數(shù)據(jù)(S96)。此外,中繼終端40向服務(wù)終端60發(fā)送有關(guān)加密數(shù)據(jù)的接收處理的響應(yīng)信號(S98),并且服務(wù)終端60接收響應(yīng)信號,從而完成服務(wù)終端60和中繼終端40之間的通信(S100)。由于到此為止所述的操作,完成了如圖2所示的直到發(fā)送加密數(shù)據(jù)和發(fā)送對此所作的響應(yīng)的處理(S26和S28)。
隨后,中繼終端40將接收的加密數(shù)據(jù)發(fā)送到IC卡10(S30)。
圖12是詳細(xì)示出中繼終端40和IC卡10的處理的圖形,而圖13是示出在將數(shù)據(jù)寫入IC卡10中的方式下數(shù)據(jù)的流動的圖形。如圖12所示,當(dāng)中繼終端40接收從服務(wù)終端60發(fā)送的存儲指令信息30和加密數(shù)據(jù)時(S110),中繼終端40指示IC卡10通過指定應(yīng)用程序ID激活卡應(yīng)用程序16(S112)。具體地說,中繼終端40的卡訪問控制單元54發(fā)送激活卡應(yīng)用程序16的IC訪問命令。當(dāng)IC卡10的卡控制單元14接收到從中繼終端40發(fā)送的IC訪問命令時,IC卡10激活指定的卡應(yīng)用程序和將處理結(jié)果發(fā)送到中繼終端40(S114)。
隨后,中繼終端40的卡訪問控制單元54將加密數(shù)據(jù)發(fā)送到IC卡10,并且中繼終端40給出將加密數(shù)據(jù)存儲在存儲指令信息30指定的存儲區(qū)地址中的指令(S116)。IC卡10的卡應(yīng)用程序16用會話密鑰解密接收的加密數(shù)據(jù)(S118),并且將解密數(shù)據(jù)傳送到卡控制單元14(S120)??刂茊卧?4用存儲密鑰加密解密數(shù)據(jù)(S122),并且將加密數(shù)據(jù)存儲在安全存儲區(qū)18中(S124)。當(dāng)卡控制單元14接收到指示加密數(shù)據(jù)正確存儲結(jié)果的OK通知時(S126),它將存儲處理結(jié)果通知卡應(yīng)用程序16(S128)。當(dāng)卡應(yīng)用程序16接收到指示數(shù)據(jù)正確存儲結(jié)果的OK通知時,它刪除會話密鑰(S130)和將結(jié)果發(fā)送到卡控制單元14(S132)。當(dāng)卡控制單元14從卡應(yīng)用程序16接收到OK通知時,它釋放在出錯情況下作為暫時保存區(qū)預(yù)留的保存區(qū)存儲器(S133)。此外,卡控制單元14還刪除存儲指令信息30(S134)和將數(shù)據(jù)存儲處理結(jié)果發(fā)送到中繼終端40(S136)。當(dāng)中繼終端40接收到指示數(shù)據(jù)存儲處理結(jié)果的OK通知時,中繼終端40刪除存儲指令信息30(S138)。順便提一下,會話密鑰的刪除處理(S128-S132)和保存區(qū)存儲器的釋放處理(S133)的處理順序不局限于如上所述的,也可以倒過來。在未預(yù)留出錯情況下的暫時保存區(qū)和將數(shù)據(jù)暫時保留在空閑區(qū)中的情況下,可以省略步驟S133。到此為止,已經(jīng)描述了IC卡10未處在忙狀態(tài)和正常地寫入數(shù)據(jù)的操作。
接著,描述IC卡10的TRM 12在將數(shù)據(jù)寫入安全存儲區(qū)18的模式下處在忙狀態(tài)情況下的操作。我們將概述該操作。在TRM 12忙的情況下,中繼終端40暫時將加密數(shù)據(jù)保存在常規(guī)存儲區(qū)20中,并且中繼終端40在適當(dāng)?shù)亩〞r從IC卡10中讀出存儲指令信息30,以便根據(jù)存儲指令信息30將數(shù)據(jù)從常規(guī)存儲區(qū)20移動安全存儲區(qū)18。在訪問這個IC卡10的情況下,可以通過出錯通知檢測IC卡10的忙狀態(tài),或可以由中繼終端40的卡訪問控制單元54來判斷。
圖14是示出中繼終端40和IC卡10的處理的圖形,而圖15是示出在IC卡10在將數(shù)據(jù)寫入安全存儲器的模式下處在忙狀態(tài)的情況下的數(shù)據(jù)流動的圖形。如圖14所示,當(dāng)中繼終端40從服務(wù)終端60接收到存儲指令信息30和加密數(shù)據(jù)時(S140),中繼終端40指令I(lǐng)C卡10通過指定應(yīng)用程序ID激活卡應(yīng)用程序16(S142)。具體地說,中繼終端40的卡訪問控制單元54發(fā)送激活卡應(yīng)用程序16的IC訪問命令。由于IC卡10處在忙狀態(tài),IC卡10將指示激活應(yīng)用程序失敗的NG處理結(jié)果通知中繼終端40(S144)。
當(dāng)中繼終端40從IC卡10接收到NG處理結(jié)果時,中繼終端40將加密數(shù)據(jù)存儲在IC卡10的常規(guī)存儲區(qū)20中(S146)。具體地說,中繼終端40的卡訪問控制單元54通過指定存儲指令信息30指定的暫時保存區(qū)的地址發(fā)送存儲器訪問命令。IC卡10總是接受存儲器訪問命令,并且在常規(guī)存儲區(qū)20中預(yù)留保存數(shù)據(jù)的區(qū)域,以便可以可靠地將加密數(shù)據(jù)存儲在常規(guī)存儲區(qū)20中。這里,如圖15所示,中繼終端40接收的加密數(shù)據(jù)按原樣保存在常規(guī)存儲區(qū)20中。在只將常規(guī)存儲器指定成存儲指令信息30中出錯情況下的保存區(qū)的情況下,通過卡控制單元動態(tài)地確定保存區(qū)的地址。此外,卡控制單元還將已經(jīng)保存了數(shù)據(jù)的地址加入保存在這個卡控制單元中的存儲指令信息30中出錯情況下的保存區(qū)中。在卡的忙狀態(tài)可以由卡訪問控制單元54來判斷的中繼終端40的情況下,無需執(zhí)行卡應(yīng)用程序16的激活指令(S142)和接收NG處理結(jié)果(S144),直接將加密數(shù)據(jù)存儲在IC卡10的常規(guī)存儲器20中(S146)。
當(dāng)中繼終端40從IC卡10接收到指示成功地將加密數(shù)據(jù)存儲到常規(guī)存儲區(qū)20的OK處理結(jié)果時(S148),中繼終端40刪除存儲指令信息30。由于上述操作,在IC卡10處在忙狀態(tài)下的情況下,可以暫時將數(shù)據(jù)存儲在常規(guī)存儲區(qū)20中。
接著,描述在適當(dāng)定時將保存在常規(guī)存儲區(qū)20中的數(shù)據(jù)移動到安全存儲區(qū)18的操作。
圖16是示出中繼終端40和IC卡10的處理的圖形,而圖17是示出將保存在常規(guī)存儲區(qū)20中的數(shù)據(jù)移動到安全存儲區(qū)18的情況下的數(shù)據(jù)流動的圖形。如圖16所示,中繼終端40向IC卡10發(fā)送獲取存儲指令信息30的請求(S160)。發(fā)送獲取存儲指令信息30的請求的定時可以是自檢測到IC卡10的忙狀態(tài)以來經(jīng)過了預(yù)定時間間隔的時間,或可以是在向這個IC卡10發(fā)送了監(jiān)視IC卡10的狀態(tài)的IC卡訪問命令之后接收到OK響應(yīng)的時間。
當(dāng)IC卡10的卡控制單元14從中繼終端40接收到獲取存儲指令信息30的請求時,IC卡10將存儲指令信息30發(fā)送到中繼終端40(S162)。隨后,中繼終端40指定由獲取存儲指令信息30指定的應(yīng)用程序ID,并且中繼終端40將激活卡應(yīng)用程序16的IC訪問命令發(fā)送到IC卡10(S164)。當(dāng)IC卡10的卡控制單元14接收到IC訪問命令時,IC卡10進(jìn)行激活指定卡應(yīng)用程序16的處理和將處理結(jié)果發(fā)送到中繼終端40(S166)。在如圖16所示的例子中,正常地激活卡應(yīng)用程序16,并且作為處理結(jié)果,將OK發(fā)送到中繼終端40。
在激活卡應(yīng)用程序16之后,中繼終端40向IC卡10發(fā)送將數(shù)據(jù)從常規(guī)存儲區(qū)20移動到安全存儲區(qū)18的命令(S168)。具體地說,從存儲指令信息30中提取暫時保存加密數(shù)據(jù)的地址、和與加密數(shù)據(jù)的存儲區(qū)有關(guān)的安全存儲器18的地址,并且向IC卡10發(fā)送包含提取地址信息項的IC訪問命令。當(dāng)IC卡10的卡應(yīng)用程序16從中繼終端40接收到數(shù)據(jù)移動命令時,IC卡10根據(jù)接收的數(shù)據(jù)移動命令移動數(shù)據(jù)。更具體地說,卡應(yīng)用程序16根據(jù)指定的保存區(qū)地址訪問常規(guī)存儲區(qū)20,并且卡應(yīng)用程序16讀出存儲在常規(guī)存儲區(qū)20中的加密數(shù)據(jù)(S170和S172)。隨后,卡應(yīng)用程序16用會話密鑰解密讀出的加密數(shù)據(jù)(S174),并且卡應(yīng)用程序16將解密數(shù)據(jù)和數(shù)據(jù)的存儲區(qū)地址傳送到卡控制單元14(S176)。
卡控制單元14用會話密鑰加密從卡應(yīng)用程序16傳送的數(shù)據(jù)(S178),并且卡控制單元14將加密數(shù)據(jù)存儲在由指定存儲區(qū)地址所指的安全存儲區(qū)18中(S180)。當(dāng)卡控制單元14。當(dāng)卡控制單元14接收到指示成功地存儲了加密數(shù)據(jù)的OK響應(yīng)時(S182),卡控制單元14將OK響應(yīng)發(fā)送到卡應(yīng)用程序16(S184)。一旦接收到這個OK響應(yīng),卡應(yīng)用程序16就刪除會話密鑰(S186),并且卡應(yīng)用程序16將OK響應(yīng)發(fā)送到卡控制單元14(S188)。一旦接收到這個OK響應(yīng),卡控制單元14就刪除存儲指令信息30(S190),并且卡控制單元14將OK響應(yīng)發(fā)送到中繼終端40(S192)。當(dāng)中繼終端40從IC卡10接收到指示數(shù)據(jù)移動正常完成的OK通知時,中繼終端40刪除存儲指令信息30(S194)。由于數(shù)據(jù)被移動了(S170和S172),所以釋放像在步驟S72中預(yù)留那樣的數(shù)據(jù)的暫時保存區(qū)的存儲區(qū)。這樣,可以通過如圖16和17所示的操作,將暫時保存在常規(guī)存儲區(qū)20中的數(shù)據(jù)移動到安全存儲區(qū)18。
接著,將描述不能在適當(dāng)定時將保存在常規(guī)存儲區(qū)20中的數(shù)據(jù)移動到安全存儲區(qū)18,并且在存儲指令信息30中指示的“存儲區(qū)預(yù)留項”已經(jīng)到期的情況。
圖27是示出在存儲區(qū)預(yù)留項已經(jīng)到期的情況下中繼終端40和IC卡10的處理的圖形。中繼終端40的卡訪問控制單元54通過來自卡控制單元14的通知,或以中繼終端40獲取保存在卡控制單元14中的存儲指令信息30那樣的方式,感測已到在“存儲區(qū)預(yù)留項”中指示的日期和時間。在通過來自卡控制單元14的通知感測已到的情況下,中繼終端40在感測之后馬上從IC卡10中獲取存儲指令信息30。由于獲取存儲指令信息30與如圖16所示的過程相同,所以在圖27中省略了。
當(dāng)中繼終端40的卡訪問控制單元40感測到已到在“存儲區(qū)預(yù)留項”中指示的日期和時間時(S271),中繼終端40再次進(jìn)行將保存在常規(guī)存儲區(qū)20中的數(shù)據(jù)移動到安全存儲區(qū)18的處理。具體地說,卡訪問控制單元54向IC卡10發(fā)送指定在存儲指令信息30中指定的應(yīng)用程序ID和激活卡應(yīng)用程序16的IC訪問命令(S272)。在激活卡應(yīng)用程序16失敗的情況下(S273),或在進(jìn)行如圖16所示的數(shù)據(jù)移動處理的過程中發(fā)生錯誤,并且不能正常地移動數(shù)據(jù)的情況下,中繼終端40的卡訪問控制單元54將消除命令發(fā)送到卡控制單元14(S274)。一旦接收到清除命令,卡控制單元14就刪除暫時保存在常規(guī)存儲區(qū)中的數(shù)據(jù)(S275-S277),刪除保留在卡應(yīng)用程序中的會話密鑰(S278-S280),并且釋放在步驟S68中預(yù)留的安全存儲區(qū)18(S281)。此外,卡控制單元14還刪除存儲指令信息30(S282)和通知中繼終端40清除成功了(S283)。一旦接收到通知,中繼終端40就刪除事先獲取的存儲指令信息(S284)。暫時保存在常規(guī)存儲器中的數(shù)據(jù)的刪除處理、保存在卡應(yīng)用程序中的會話密鑰的刪除處理、和安全存儲區(qū)18的釋放處理的處理順序不局限于如上所述的,而是可以改變。
這樣,由于如圖27所示的操作,可防止盡管未存儲數(shù)據(jù),但繼續(xù)預(yù)留安全存儲區(qū),從而使其余存儲量變小的情況。
此外,在將加密數(shù)據(jù)從服務(wù)終端60發(fā)送到中繼終端40(圖2中的S26)失敗和在存儲指令信息30中指示的“存儲區(qū)預(yù)留項”已到期的情況下,如圖27所示,中繼終端40的卡訪問控制單元54也將清除命令發(fā)送到卡控制單元14(S274)。但是,在這種情況下,可以省略刪除暫時保存在常規(guī)存儲區(qū)中的數(shù)據(jù)的步驟(S275-S277)。
在本發(fā)明的該實施例中,在IC卡10已經(jīng)插入中繼終端40中和將執(zhí)行這個IC卡10的初始化處理的情況下,中繼終端40的卡訪問控制單元54絕對無誤地檢驗存儲指令信息30是否保留在卡控制單元14中。在保留了存儲指令信息30的情況下,進(jìn)行如上所述的保留數(shù)據(jù)移動處理。在存儲區(qū)保留項已經(jīng)到期的情況下,進(jìn)行如圖27所示的清除處理。
到此為止,已經(jīng)描述了本發(fā)明第一實施例中的IC卡10和中繼終端40。
第一實施例中的IC卡10存儲指定數(shù)據(jù)的存儲區(qū)和暫時保存區(qū)的存儲指令信息30,并且將存儲指令信息30保留在卡控制單元14中。此外,在IC卡10的TRM 12在將數(shù)據(jù)從中繼終端40寫入IC卡10的安全存儲區(qū)18的過程中處在忙狀態(tài)的情況下,將數(shù)據(jù)暫時保存在作為暫時保存區(qū)的常規(guī)存儲區(qū)20中,并且以后將數(shù)據(jù)從暫時保存區(qū)移動到作為最后存儲區(qū)的安全存儲區(qū)18。因此,即使TRM 12處在忙狀態(tài),也可以可靠地將數(shù)據(jù)存儲在IC卡10的安全存儲區(qū)18中。
在暫時將數(shù)據(jù)保存在常規(guī)存儲區(qū)20中之后,中繼終端40刪除存儲指令信息30,并且中繼終端40在以后移動數(shù)據(jù)的過程中從IC卡10中讀出存儲指令信息30。因此,可以降低從中繼終端40中讀出包含數(shù)據(jù)的暫時保存區(qū)的地址的存儲指令信息30的風(fēng)險,并且可以提高安全性。
作為數(shù)據(jù)發(fā)送目的地的中繼終端40是按照數(shù)據(jù)的屬性信息確定的,并且包含指定具體中繼終端40的發(fā)送目的地信息的存儲指令信息30被發(fā)送到服務(wù)終端60。因此,服務(wù)終端60可以將數(shù)據(jù)發(fā)送到適當(dāng)中繼終端40。
由于卡控制單元14在安全存儲區(qū)18中預(yù)留了存儲區(qū),所以不會導(dǎo)致存儲空間不足地將數(shù)據(jù)存儲在安全存儲區(qū)18。此外,中繼終端40使卡控制單元14按照存儲區(qū)預(yù)留項進(jìn)行清除處理,從而防止了安全存儲區(qū)的可用區(qū)因繼續(xù)預(yù)留存儲區(qū)而減小。
當(dāng)重新插入IC卡10時,中繼終端40絕對無誤地檢驗存儲指令信息30是否存在,以防止希望保留在安全存儲區(qū)中的數(shù)據(jù)繼續(xù)保存在常規(guī)存儲區(qū)20中,因此,可以提高安全性。
接著,描述第一實施例的IC卡系統(tǒng)的一個修正實施例。盡管根據(jù)修正實施例的IC卡系統(tǒng)的基本配置與第一實施例的IC卡系統(tǒng)相同,但是,它在將數(shù)據(jù)從常規(guī)存儲區(qū)20移動到安全存儲區(qū)18的情況下的操作是不同的。
圖18是示出中繼終端40和IC卡10的處理的圖形,而圖19是示出將保存在常規(guī)存儲區(qū)20中的數(shù)據(jù)移動到安全存儲區(qū)18的情況下的數(shù)據(jù)流動的圖形。在根據(jù)修正實施例的IC卡系統(tǒng)中,將數(shù)據(jù)從常規(guī)存儲區(qū)20移動到安全存儲區(qū)18的操作基本上與第一實施例相同,但不同之處在于,暫時保存區(qū)地址和存儲區(qū)地址未包含在IC卡10發(fā)送的數(shù)據(jù)移動命令中。當(dāng)IC卡10的卡應(yīng)用程序16從中繼終端40接收到數(shù)據(jù)移動命令時(S208),IC卡10讀出存儲在IC卡10的卡控制單元14中的存儲指令信息30(S210和S212),并且卡控制單元14獲取暫時保存區(qū)地址和存儲區(qū)地址。在獲得暫時保存區(qū)地址和存儲區(qū)地址之后修正實施例的IC卡系統(tǒng)的操作與第一實施例的IC卡系統(tǒng)相同。
接著,描述本發(fā)明第二實施例中的IC卡系統(tǒng)。盡管第二實施例的IC卡系統(tǒng)的基本配置與第一實施例的IC卡系統(tǒng)相同,但第二實施例中的IC卡10的配置與第一實施例中的IC卡不同。因此,將暫時保存在常規(guī)存儲區(qū)20中的數(shù)據(jù)移動到安全存儲區(qū)的過程與第一實施例不同。
圖20是示出用在第二實施例中的IC卡10的配置的圖形。與第一實施例不同,第二實施例中的IC卡10是這樣的,它的TRM 12不能訪問常規(guī)存儲區(qū)20。由于這種配置,TRM 12和安全存儲區(qū)18與常規(guī)存儲區(qū)20分離,從而可以進(jìn)一步提高安全性。
圖21是示出中繼終端40和IC卡10的處理的圖形,而圖22是示出在將保存在常規(guī)存儲區(qū)20中的數(shù)據(jù)移動到安全存儲區(qū)18的情況下數(shù)據(jù)流動的圖形。
如圖21所示,中繼終端40在適當(dāng)定時從IC卡10中獲取存儲指令信息30直到激活卡應(yīng)用程序16的操作(S240-S246)與第一實施例相同。在第二實施例中,在激活了卡應(yīng)用程序16之后,中繼終端40訪問IC卡10的常規(guī)存儲區(qū)20和讀出暫時保存的數(shù)據(jù)。具體地說,中繼終端40發(fā)送從在存儲指令信息30中指定的保存區(qū)地址中讀出加密數(shù)據(jù)的存儲器訪問命令,并且中繼終端40接收來自IC卡10的數(shù)據(jù)(S250)。
隨后,中繼終端40將從常規(guī)存儲區(qū)20當(dāng)中讀出的加密數(shù)據(jù)發(fā)送到IC卡10,并且中繼終端40還發(fā)送用于存儲加密數(shù)據(jù)的IC訪問命令(S252)。IC卡10的卡應(yīng)用程序16用會話密鑰解密接收的加密數(shù)據(jù)(S254),并且卡應(yīng)用程序16將解密數(shù)據(jù)傳送到IC卡10的卡控制單元14(S256)。卡控制單元14用存儲密鑰加密從卡應(yīng)用程序16傳送的數(shù)據(jù)(S258),并且卡控制單元14將加密數(shù)據(jù)存儲在安全存儲區(qū)18中(S260)??刂茊卧?4將數(shù)據(jù)存儲在安全存儲區(qū)18中之后的操作(S262-S274)與第一實施例相同。
到此為止,已經(jīng)描述了本發(fā)明第二實施例中的IC卡10和中繼終端40。
第二實施例中的中繼終端40讀出暫時保存在IC卡10的常規(guī)存儲區(qū)20中的數(shù)據(jù),并且將讀出數(shù)據(jù)寫入安全存儲區(qū)18。這種配置帶來的優(yōu)點是,甚至在TRM 12不能訪問常規(guī)存儲區(qū)20那種類型的IC卡10中,也可以以與第一實施例相同的方式可靠地接收數(shù)據(jù)。
接著,描述第二實施例的IC卡系統(tǒng)的修正實施例。根據(jù)修正實施例的IC卡系統(tǒng)與第二實施例的不同之處在于,由終端存儲區(qū)(RAM)44暫時保存中繼終端40接收的數(shù)據(jù)。
圖23是示出中繼終端40和IC卡10的處理的圖形,而圖24是示出將保存在終端存儲區(qū)44中的數(shù)據(jù)移動到安全存儲區(qū)18的情況下的數(shù)據(jù)流動的圖形。
如圖23所示,中繼終端40在適當(dāng)定時從IC卡10中獲取存儲指令信息30直到激活卡應(yīng)用程序16的操作(S280-S286)與第二實施例相同。在修正實施例中,在激活了卡應(yīng)用程序16之后,中繼終端40的卡訪問控制單元54訪問終端存儲區(qū)44(S288)并讀出暫時保存的數(shù)據(jù)(S290)。讀出了暫時保存的數(shù)據(jù)之后的操作(S292-S314)與第二實施例相同。
由于以這種方式暫時將接收數(shù)據(jù)保存在終端存儲區(qū)44中以便將數(shù)據(jù)從終端存儲區(qū)44移動到安全存儲區(qū)18的配置,數(shù)據(jù)移動不受IC卡10的常規(guī)存儲區(qū)20的剩余容量的限制。也就是說,甚至在常規(guī)存儲區(qū)20的剩余容量較小的情況下,也可以使IC卡10可靠地接收數(shù)據(jù)。
雖然上面通過論述實施例詳細(xì)描述了本發(fā)明的安全設(shè)備和中繼終端,但不局限于前述這些實施例。
在前述每個實施例中,在將數(shù)據(jù)從中繼終端40寫入IC卡10的過程中,可以用會話密鑰進(jìn)行簽名核實。
圖25是示出包括基于會話密鑰的簽名核實的步驟S330的數(shù)據(jù)寫入處理的圖形。如圖25所示,在IC卡10接收到加密數(shù)據(jù)之后,進(jìn)行基于會話密鑰的簽名核實,從而可以進(jìn)一步提高安全。
在前述每個實施例中,還允許采用按每個會話ID管理會話密鑰的配置。
圖26是示出包括按照會話ID選擇會話密鑰的步驟S332的數(shù)據(jù)寫入處理的圖形。如圖26所示,在IC卡10接收到加密數(shù)據(jù)之后,從首標(biāo)中讀出會話ID,并且選擇與會話ID相對應(yīng)的會話密鑰。此外,IC卡10通過利用所選會話密鑰解密數(shù)據(jù)。由于這種配置,可以按照會話ID選擇適當(dāng)會話密鑰,因此,甚至在存在數(shù)個將數(shù)據(jù)從服務(wù)終端60發(fā)送到IC卡10的會話的情況下,也可以適當(dāng)?shù)靥幚頂?shù)據(jù)。
在前述實施例中,將IC卡10作為例子對安全設(shè)備作了描述,但是,本發(fā)明也可應(yīng)用于除了IC卡之外的任何安全設(shè)備。
如上所述,根據(jù)本發(fā)明,暫時保存數(shù)據(jù)的常規(guī)存儲器的地址被包含在存儲指令信息中,從而,當(dāng)不能將數(shù)據(jù)寫入安全存儲區(qū)時,一次性地將它們寫入常規(guī)存儲器,并且在允許將數(shù)據(jù)寫入安全存儲區(qū)之后,使寫入變成可執(zhí)行的,從而甚至在暫時不能將數(shù)據(jù)寫入安全存儲區(qū)的情況下,也可以可靠地將它們寫入安全存儲區(qū)。
雖然上面描述了當(dāng)前設(shè)想的本發(fā)明優(yōu)選實施例,但應(yīng)該明白,可以對這些實施例作各種各樣的修改。所附權(quán)利要求書將涵蓋在本發(fā)明的實際精神和范圍內(nèi)的所有修改。
工業(yè)可應(yīng)用性本發(fā)明具有可以可靠地將數(shù)據(jù)寫入安全存儲器的優(yōu)點,并且本發(fā)明可用作包括抗竄改區(qū)的安全設(shè)備等。
權(quán)利要求
1.一種通過具有信息寫功能的中繼終端接收從服務(wù)終端發(fā)送的數(shù)據(jù)的安全設(shè)備,包括抗竄改模塊,其包括至少一個應(yīng)用程序、和控制安全設(shè)備的操作的設(shè)備控制單元;只可從所述抗竄改模塊訪問的安全存儲器;和與服務(wù)終端通信的通信單元;其中,所述設(shè)備控制單元生成和保存存儲指令信息,該存儲指令信息包括像指示數(shù)據(jù)的寫入?yún)^(qū)那樣的所述安全存儲器的地址、和在不能將數(shù)據(jù)寫入所述安全存儲器的情況下有關(guān)防范措施的信息;和所述通信單元將存儲指令信息發(fā)送到服務(wù)終端。
2.根據(jù)權(quán)利要求1所述的安全設(shè)備,其中,有關(guān)防范措施的信息包括像指示暫時保存數(shù)據(jù)的保存區(qū)那樣的所述安全設(shè)備或中繼終端的常規(guī)存儲器的地址、和將保存在常規(guī)存儲器中的數(shù)據(jù)移動到所述安全存儲器的應(yīng)用程序的標(biāo)識符。
3.根據(jù)權(quán)利要求2所述的安全設(shè)備,其中,有關(guān)防范措施的信息包括存儲區(qū)預(yù)留項,其指示至少繼續(xù)預(yù)留用于暫時保存數(shù)據(jù)的保存區(qū)或與數(shù)據(jù)的寫入?yún)^(qū)有關(guān)的存儲區(qū)的項。
4.根據(jù)權(quán)利要求1所述的安全設(shè)備,其中所述通信單元接收從服務(wù)終端發(fā)送的數(shù)據(jù)的屬性信息;和所述設(shè)備控制單元根據(jù)屬性信息確定轉(zhuǎn)發(fā)將要從服務(wù)終端發(fā)送的數(shù)據(jù)的中繼終端,并且所述設(shè)備控制單元使所確定的中繼終端的地址包括在存儲指令信息中。
5.根據(jù)權(quán)利要求1所述的安全設(shè)備,其中所述通信單元接收從服務(wù)終端發(fā)送的數(shù)據(jù)的屬性信息;和所述設(shè)備控制單元根據(jù)屬性信息確定中繼終端和服務(wù)終端之間的通信方法,并且所述設(shè)備控制單元使通信方法包括在存儲指令信息中。
6.一種將從服務(wù)終端發(fā)送的數(shù)據(jù)寫入可通信連接的安全設(shè)備的中繼終端,包括數(shù)據(jù)接收單元,用于從服務(wù)終端接收數(shù)據(jù)和存儲指令信息,其中,所述存儲指令信息包括像指示數(shù)據(jù)的寫入?yún)^(qū)那樣的安全設(shè)備的安全存儲器的地址、和在不能將數(shù)據(jù)寫入安全存儲器的情況下有關(guān)防范措施的信息;命令發(fā)送單元,用于向安全設(shè)備發(fā)送用于將接收數(shù)據(jù)寫入如存儲指令信息所指定的安全存儲器的地址的命令,并且從安全設(shè)備接收對該命令的響應(yīng);和控制單元,用于根據(jù)響應(yīng),判斷將數(shù)據(jù)寫入安全存儲器的適當(dāng)性,并且在判斷不可能寫入的情況下,根據(jù)存儲指令信息指定的有關(guān)防范措施的信息,將數(shù)據(jù)寫入安全設(shè)備或中繼終端的常規(guī)存儲器。
7.一種將從服務(wù)終端發(fā)送的數(shù)據(jù)寫入可通信連接的安全設(shè)備的中繼終端,包括數(shù)據(jù)接收單元,用于從服務(wù)終端接收數(shù)據(jù)和存儲指令信息,其中,所述存儲指令信息包括像指示數(shù)據(jù)的寫入?yún)^(qū)那樣的安全設(shè)備的安全存儲器的地址、和在不能將數(shù)據(jù)寫入安全存儲器的情況下有關(guān)防范措施的信息;和控制單元,用于管理安全設(shè)備的處理狀態(tài),以便根據(jù)處理狀態(tài),判斷將數(shù)據(jù)寫入安全存儲器的適當(dāng)性,并且在判斷不可能寫入的情況下,根據(jù)存儲指令信息指定的有關(guān)防范措施的信息,將數(shù)據(jù)寫入安全設(shè)備或中繼終端的常規(guī)存儲器。
8.根據(jù)權(quán)利要求6或7所述的中繼終端,進(jìn)一步包含刪除單元,用于在完成了將數(shù)據(jù)寫入存儲指令信息指定的常規(guī)存儲器的地址之后,刪除存儲指令信息。
9.根據(jù)權(quán)利要求6所述的中繼終端,其中,有關(guān)防范措施的信息包括像指示暫時保存數(shù)據(jù)的保存區(qū)那樣的安全設(shè)備或中繼終端的常規(guī)存儲器的地址、和將保存在常規(guī)存儲器中的數(shù)據(jù)移動到安全存儲器的應(yīng)用程序的標(biāo)識符。
10.根據(jù)權(quán)利要求9所述的中繼終端,其中所述指令發(fā)送單元根據(jù)如存儲指令信息所指定的應(yīng)用程序的標(biāo)識符,將激活命令發(fā)送到與應(yīng)用程序標(biāo)識符相對應(yīng)的應(yīng)用程序;和所述指令發(fā)送單元向激活的應(yīng)用程序發(fā)送將暫時保存在常規(guī)存儲器中的數(shù)據(jù)移動到安全存儲器的地址的數(shù)據(jù)移動命令。
11.根據(jù)權(quán)利要求7所述的中繼終端,其中,有關(guān)防范措施的信息包括像指示暫時保存數(shù)據(jù)的保存區(qū)那樣的安全設(shè)備或中繼終端的常規(guī)存儲器的地址、和將保存在常規(guī)存儲器中的數(shù)據(jù)移動到安全存儲器的應(yīng)用程序的標(biāo)識符。
12.根據(jù)權(quán)利要求11所述的中繼終端,其中,有關(guān)防范措施的信息包括存儲區(qū)預(yù)留項,其指示至少繼續(xù)預(yù)留暫時保存數(shù)據(jù)的保存區(qū)或作為數(shù)據(jù)的寫入?yún)^(qū)的存儲區(qū)的項。
13.根據(jù)權(quán)利要求9或權(quán)利要求11所述的中繼終端,其中所述指令發(fā)送單元根據(jù)如存儲指令信息所指定的應(yīng)用程序的標(biāo)識符,將激活命令發(fā)送到與應(yīng)用程序標(biāo)識符相對應(yīng)的應(yīng)用程序;和激活的應(yīng)用程序參照存儲指令信息,將暫時保存在常規(guī)存儲器中的數(shù)據(jù)移動到安全存儲器的地址。
14.根據(jù)權(quán)利要求9或權(quán)利要求11所述的中繼終端,進(jìn)一步包含數(shù)據(jù)讀出單元,用于訪問存儲指令信息指定的常規(guī)存儲器的地址,以便讀出暫時保存在常規(guī)存儲器中的數(shù)據(jù);其中所述指令發(fā)送單元根據(jù)如存儲指令信息所指定的應(yīng)用程序的標(biāo)識符,將激活命令發(fā)送到與應(yīng)用程序標(biāo)識符相對應(yīng)的應(yīng)用程序;和所述指令發(fā)送單元向激活的應(yīng)用程序發(fā)送指示應(yīng)用程序?qū)⑺鰯?shù)據(jù)讀出單元讀出的數(shù)據(jù)寫入安全存儲器的地址的寫入命令。
15.根據(jù)權(quán)利要求12所述的中繼終端,其中,所述指令發(fā)送單元通過參照存儲指令信息指定的存儲區(qū)預(yù)留項,刪除暫時保存在常規(guī)存儲器中的數(shù)據(jù)。
16.一種通過具有信息寫入功能的中繼終端接收從服務(wù)終端發(fā)送的數(shù)據(jù)的操作安全設(shè)備的方法,包含安全設(shè)備生成存儲指令信息的步驟,該存儲指令信息包括像指示數(shù)據(jù)的寫入?yún)^(qū)那樣的安全設(shè)備的安全存儲器的地址、和在不能將數(shù)據(jù)寫入安全存儲器的情況下有關(guān)防范措施的信息;和安全設(shè)備將存儲指令信息發(fā)送到服務(wù)終端的步驟。
17.一種用于通過具有信息寫入功能的中繼終端接收從服務(wù)終端發(fā)送的數(shù)據(jù)的程序,該程序可被安全設(shè)備讀取,該程序使安全設(shè)備執(zhí)行生成存儲指令信息的步驟,該存儲指令信息包括像指示數(shù)據(jù)的寫入?yún)^(qū)那樣的安全設(shè)備的安全存儲器的地址、和在不能將數(shù)據(jù)寫入安全存儲器的情況下有關(guān)防范措施的信息;和將存儲指令信息發(fā)送到服務(wù)終端的步驟。
全文摘要
IC卡(10)包括抗竄改模塊(12),其含有一個或多個應(yīng)用程序(16)和控制IC卡(10)的操作的卡控制部分(14);只可從抗竄改模塊(12)訪問的安全存儲區(qū)(18);和用于與服務(wù)終端(60)通信的非接觸式接口(24)。卡控制部分(14)生成存儲指令信息,并且非接觸式接口(24)將存儲指令信息發(fā)送到服務(wù)終端(60)。存儲指令信息包括寫入目的地的安全存儲區(qū)(18)的地址、指示暫時保存數(shù)據(jù)的保存目的地的常規(guī)存儲區(qū)(20)的地址、進(jìn)行從常規(guī)存儲區(qū)(20)到安全存儲區(qū)(18)的數(shù)據(jù)傳送的應(yīng)用程序的標(biāo)識符、和轉(zhuǎn)發(fā)數(shù)據(jù)的中繼終端(40)的地址。
文檔編號G06K17/00GK101048779SQ20058003724
公開日2007年10月3日 申請日期2005年11月2日 優(yōu)先權(quán)日2004年11月8日
發(fā)明者古山純子 申請人:松下電器產(chǎn)業(yè)株式會社