通信方法、数据处理装置以及程序的制作方法
专利名称:通信方法、数据处理装置以及程序的制作方法
技术领域:
本发明涉及一种用于提供使用IC或其它集成电路的业务的通信方法、数据处理装置及其程序。
背景技术:
如今,通过互联网或其它网络将IC卡用于事务的通信系统正在研发之中。
在这种通信系统内,从业务提供商接收请求的应用程序由服务器装置执行,所述应用程序用于提供使用IC卡的业务并执行所述业务提供商所定义的处理。
例如,响应于来自读/写器或是PC(个人计算机)的处理请求,所述服务器装置基于上述应用程序执行诸如用户鉴权和用户加密与解密的处理。
使用SAM(安全应用模块)来执行上述的使用IC卡的业务。当多个SAM链接起来以提供使用单个IC卡的业务时,存在对于多个SAM链接起来迅速提供业务的需要。
此外,在这种情况下,存在适当地管理将对其它方保密的数据以及将被公开给SAM间公众的数据的需要,所述SAM存储与不同服务性行业的业务提供相关的数据和程序。
发明内容
本发明的目的是提供一种通信方法、一种数据处理装置以及其程序,从而使多个链接起来的SAM(数据处理装置)能够快速提供业务。
此外,本发明的目的是提供一种通信方法、一种数据处理装置以及其程序,从而能够适当管理将被对其它方保密的数据以及将被公开给SAM之间公众的数据,所述SAM存储与不同服务性企业的业务提供相关的数据和程序。
为了实现以上目的,根据本发明第一方面的通信方法是用于在执行第一应用程序的第一数据处理装置与执行第二应用程序的第二数据处理装置之间传送数据的数据处理方法,包括步骤当所述第一数据处理装置保持指示所述第一应用程序在形成所述第二应用程序的多个数据模块中所使用的数据模块的第一管理数据,且所述第二数据处理装置保持指示被允许用于所述第一应用程序的所述数据模块的第二管理数据时,所述第一数据处理装置参考所述第一管理数据,并发送指定准备用于所述数据处理装置的数据模块,所述第二数据处理装置根据所述请求参考所述第二管理数据,并在判定允许所述第一应用程序使用所述请求指定的所述数据模块时,将所述请求内指定的数据模块发送至所述第一数据处理装置。
此外,本发明的第一方面的通信方法优选的是还包括,当所述第一数据处理装置连接至第一服务器装置,所述第二数据处理装置连接至第二服务器装置,且所述第一数据处理装置与所述第二数据处理装置经由所述第一服务器装置与所述第二服务器装置通信时,使所述第一服务器装置将第一请求发送至所述第一数据处理装置,且使所述第一服务器装置根据所述第一请求参考所述第一管理数据,并将指定准备使用的所述数据模块的第二请求发送至所述第二数据处理装置。
此外,本发明的第一方面的通信方法优选地还包括,使所述第二服务器装置确认将由所述第一应用程序使用的所述数据模块是否处于可用于所述第二数据处理装置的状态,并将所确认的结果通知给所述第一服务器装置,以及使所述第一服务器装置根据所述通知将所述第一请求发送至所述第一数据处理装置。
本发明的第二方面的数据处理装置是用于借助执行第一应用程序的另一数据处理装置传送数据并执行第二应用程序的数据处理装置,包括用于借助所述的另一数据处理装置传送数据的接口,用于存储形成所述第二应用程序的多个数据模块以及指示被允许用于所述第一应用程序的数据模块的管理数据的存储装置,以及处理装置,其用于根据来自所述的另一数据处理装置的请求来参考所述管理数据,并在判断允许所述第一应用程序使用与所述请求相关的数据模块时从所述存储装置读取与所述请求相关的数据模块,并将其发送至所述的另一数据处理装置。
本发明的第三方面的程序是将由数据处理装置执行的程序,所述数据处理装置用于借助执行第一应用程序的另一数据处理装置来传送数据以及执行第二应用程序,该程序包括用于从所述的另一数据处理装置接收使用数据模块的请求的例行程序,用于根据所述请求参考指示允许所述第一应用程序使用的数据模块的管理数据并判定是否允许所述第一应用程序使用与所述请求相关的数据模块的例行程序,以及用于在判定与所述请求相关的数据模块是可允许的时将其发送至所述的另一数据处理装置。
本发明第四方面的信息处理系统包括具有多个数据的记录装置(存储媒介)以及用于存取所述记录装置内的数据的存取装置,其中所述记录装置具有与多个数据链接的记录装置密钥信息,所述的存取装置具有根据相同或特定算法而与所述记录装置密钥信息链接的存取密钥信息,所述的存取密钥信息包括用于指定拥有相同存取密钥信息的存取装置的存取装置指定信息,所述的存取装置具有能够与多个其它存取装置通信的链接通信装置,当所述的存取装置存取所述记录装置内的信息时,如果所述存取装置指定信息内的存取装置为多个其它存取装置,则从所述的链接通信装置中得到对应于上述数据的存取密钥信息,将根据特定存取算法处理所述存取密钥信息的存取处理信息从所述存取装置发射至所述记录装置,所述记录装置基于特定算法处理所述存取处理信息,且随后仅在得到与所述记录装置内对应数据的记录装置密钥信息相链接的结果时方允许从所述的存取装置存取。
在根据本发明第四方面的信息处理系统中,优选地所述存取装置将所述存取密钥信息以及所述存取算法安装在同一个半导体芯片上,所以外界难以分析和篡改。
在根据本发明第四方面的信息处理系统中,优选地所述的特定存取算法是基于DES、RSA、AES以及椭圆加密中的一个或多个解密算法。
在根据本发明第四方面的信息处理系统中,优选地链接通信装置的存取装置之间的所述通信路径由特定算法加密。
在根据本发明第四方面的信息处理系统中,优选地所述的特定算法是基于DES、RSA、AES以及椭圆加密中的一个或多个解密算法。
在根据本发明第四方面的信息处理系统中,优选地在所述的存取装置中可以选择是永久保持还是暂时保持从多个其它存取装置中得到的存取密钥信息。
在根据本发明第四方面的信息处理系统中,优选地所述记录装置与所述存取装置之间的通信是借助无线电波的无线连接、电线连接以及光连接中的一个或多个的复合连接来完成的。
在根据本发明第四方面的信息处理系统中,优选地所述存取装置与所述多个其它存取装置之间的通信是借助无线电波的无线连接、电线连接以及光连接中的一个或多个的复合连接。
根据本发明第四方面的信息处理系统优选地为一种安全信息处理系统,其包括用于基于所确定的协议来控制存取装置的控制器、存取装置以及记录装置。
图1是根据当前实施例的通信系统的全面配置图。
图2是图1所示的IC卡的功能框图。
图3用于解释图2所示的存储器。
图4用于解释图1所示的SAM模块的软件结构。
图5用于解释图1所示的外部存储器的存储区。
图6用于解释图5所示的参考者中的应用程序。
图7A和图7B用于描述图6所示的数据PT与OPT的细节。
图8用于解释图5所示的公开者中的应用程序。
图9A和图9B用于描述图8所示的数据PT与OPT的细节。
图10用于解释应用单元数据APE的类型。
图11是图1所示的SAM模块的功能框图。
图12用于解释图1所示SAM单元之间的通信方法。
图13用于解释在图12所示的SAM单元之间传送退化密钥的情况。
图14用于解释SAM单元传送指令SAMAPETC。
图15用于解释图14所示的单元属性。
图16用于解释SAM单元传送响应SAMAPETR。
图17用于解释用于SAM之间相互鉴权的例行程序。
图18用于解释之前使用图13所描述的在SAM单元之间传送退化密钥数据的操作实例。
图19用于解释生成和传送存储器分区程序包的处理。
图20用于解释为存储器分区程序包(APE)设置图8所示的标记数据APE TAG的方法。
图21用于解释图1所示的通信系统内的全面操作。
图22用于解释图1所示的通信系统内的全面操作。
图23用于解释本发明的另一实施例。
图24用于解释本发明的另一实施例。
图25用于解释本发明的另一实施例。
图26用于解释本发明的另一实施例。
图27用于解释本发明的另一实施例。
图28用于解释本发明的另一实施例。
具体实施例方式
以下将参照附图来描述执行本发明的最佳模式。
图1是当前实施例的通信系统1的全面配置图。
如图1所示,通信系统1使用安装在商店等内的服务器装置2、IC卡3、卡读/写器4、个人计算机5、ASP(应用业务提供商)服务器装置19、SAM(安全应用模块)单元9a和9b、具有内置IC模块42(本发明内的集成电路)的移动通信设备41,以便经由互联网10通信并执行结算处理以及其它使用IC卡3或移动通信设备41的程序化处理。
SAM单元9a(本发明的第一数据处理装置)具有外部存储器7(本发明的存储装置)和SAM模块8(本发明的处理装置)。
此外,SAM单元9b(本发明的第二数据处理装置)同样具有外部存储器7和SAM模块8。
所述SAM模块8根据需要借助并没有示出的另一SAM模块传送数据。
在本实施例中,图1所示的SAM单元9a的特征在于,在利用SAM单元9b的外部存储器7内存储的应用单元数据APE时,SAM单元9a与SAM单元9b之间通信。
例如,为了将SAM单元9a、9b用于不同服务性企业以提供链接在一起的业务,必须向另一服务性企业提供处于保密状态的IC卡(IC模块)操作所需的卡存取密钥以及卡发行密钥程序包。
例如,为了借助IC卡来计算不同服务性企业之间的相互鉴权密钥,需要得到卡存取密钥、卡退化密钥或是其它密钥信息。
特别地,在SAM单元9a处理货币结算,SAM单元9b购买商品,且在一个借助IC卡的相互鉴权期间内完成这两种处理时,必须将货币结算所需的密钥信息从SAM单元9a传送至SAM单元9b,并在SAM单元9b一侧生成存取IC卡所需的密钥。
在这种情况下,SAM单元9a与SAM单元9b可能会各自存取IC卡,但很难同时保证货币结算以及商品购买的操作与处理。例如,会出现货币结算完成而商品的取得尚未完成的情况。
此外,借用IC卡的共享存储区来独立提供业务的企业必须从共享存储区的管理器(存储器管理机构)取得用于在IC卡(区域登记密钥程序包等)上登记业务的密钥信息。
此外,必须传送用于将IC卡逻辑分区的卡分区密钥程序包,以生成存储器管理机构与共享区提供商(例如服务性企业)之间的共享存储区。
当多个企业提供如上所述的链接在一起的业务并传送密钥程序包和其它应用单元数据APE时,通信系统1提供一种能够在SAM单元9a、9b和其它SAM单元之间简单地建立安全通信路径的装置。
以下将描述图1所示的部件。
图2是IC卡3的功能方框图。
如图2所示,IC卡3具有IC(集成电路)模块3a,所述IC模块具有存储器50和CPU 51。
如图3所示,存储器50具有信用卡公司或其它服务性企业15_1使用的存储区55_1、服务性企业15_2使用的存储区55_2以及服务性企业15_3使用的存储区55_3。
存储器50存储用于判定对存储区55_1的存取权的密钥数据、用于判定对存储区55_2的存取权的密钥数据、用于判定对存储区55_3的存取权的密钥数据。所述密钥数据被用于相互鉴权以及数据加密和解密。
存储器50还存储IC卡3或IC卡3用户的识别数据。
移动通信设备41具有用于通过移动电话网和互联网10与ASP服务器通信的通信处理器43、能够借助通信处理器43传送数据并通过互联网10从天线与SAM单元9a通信的IC模块42。
所述IC模块42与上述IC卡3内IC模块3a的功能相同之处在于,所述IC模块42借助移动通信设备41的通信处理器43传送数据。
应当注意的是,使用移动通信设备41的处理被以与使用IC卡3的处理相同的方式执行,而使用IC模块42的处理被以与使用IC模块3a的处理相同的方式执行,所以在以下描述中示出了使用IC卡3与IC模块3a的处理。
以下将详细描述SAM单元9a、9b。
上述SAM单元9a、9b具有外部存储器7(本发明的存储装置)和SAM模块8(本发明的处理装置)。
此处,SAM模块8可能会被实现为半导体电路,且可能会被实现为保持外壳内的多个电路的装置。
SAM模块8具有如图4所示的软件配置。
如图4所示,SAM模块8从低层到高层具有软件HW层、包括对应于外设HW的RTOS核心的驱动层(OS层)、用于在逻辑成组单元内的处理的低处理器层、将特定于应用的库等集合在一起的高处理器层、AP层。
此处,在AP层内从外部存储器7读取并操作应用程序AP_1、AP_2、AP_3(本发明的应用程序),所述应用程序定义图1所示的信用卡公司或其它服务性企业15_1、15_2、15_3所使用的程序。
可借助一个或多个宏脚本来设置每一个应用程序。
在AP层内,防火墙FW被设置在应用程序AP_1、AP_2、AP_3之中,并带有高处理器层。
图5用于解释外部存储器7的存储区。
如图5所示,外部存储器7的存储区包括存储服务性企业15_1的应用程序AP_1的AP存储区220_1、存储服务性企业15_2的应用程序AP_2的AP存储区220_2、存储服务性企业15_3的应用程序AP_3的AP存储区220_3、SAM模块208的管理器所使用的AP管理存储区221。
此处,SAM单元9a的外部存储器7内存储的应用程序对应于本发明的第一应用程序,SAM单元9b的外部存储器7内存储的应用程序对应于本发明的第二应用程序。
AP存储区220_1内存储的应用程序AP_1包括多个应用单元数据APE(本发明的数据模块)。对AP存储区220_1的存取由防火墙FW1限制。
AP存储区220_2内存储的应用程序AP_2包括多个应用单元数据APE(本发明的数据模块)。对AP存储区220_2的存取由防火墙FW_2限制。
AP存储区220_3内存储的应用程序AP_3包括多个应用单元数据APE(本发明的数据模块)。对AP存储区220_31的存取由防火墙FW_3限制。
在本实施例中,应用单元数据APE例如是从SAM单元9a之外下载到外部存储器7的最小单元。形成每个应用程序的应用单元数据APE的数量可由对应的服务性企业自由确定。
外部存储器7内所存储的应用程序AP_1、AP_2、AP_3被扰频。它们在被读入SAM模块8时被解扰。
应用程序AP_1、AP_2、AP_3由服务性企业15_1、15_2、15_3使用图1所示的个人计算机16_1、16_2、16_3来准备,并被经由SAM模块8下载到外部存储器7。
以下将详细描述应用程序AP_1、AP_2、AP_3。
对于每一个服务性企业而言,SAM内都存在着一个或多个应用程序。
首先将解释图1所示的SAM单元9a(SAM_A)的外部存储器7内存储的应用程序AP。
图6用于解释图1所示SAM单元9a(SAM_A)的外部存储器7内存储的应用程序AP。
如图6所示,应用程序AP具有用于识别应用程序AP的识别数据AP_ID、用于指示应用程序(或其程序包)的版本的数据APP_VER、用于指示应用程序内包括的应用单元数据APE数量的数据APE_NUM、应用程序内包括的一个或多个应用单元数据APE的识别数据APE_ID、标记数据APE_TAG、允许数据PT、选项数据OPT、应用单元数据APE的实体APE_PL。
应当注意的是,图6和7所示的标记数据APE_TAG、允许数据PT、选项数据OPT对应于根据本发明的第一管理数据。
所述识别数据AP_ID被确定为对于每个服务性企业而言都是不同的。
所述标记数据APE_TAG是服务性企业可设置的应用单元数据APE的识别标记,且其被确定为可在应用程序AP中无歧义地指定。
在图6中,如下所述,将对应于应用程序AP内存储的四个识别数据APE_ID中以阴影示出的三个APE_ID的应用单元数据APE实体从SAM单元9b(SAM_B)传送至图1所示的SAM单元9a(SAM_A)。
换言之,所述三个应用单元数据APE的实体并不存在于SAM单元9a的外部存储器7内。
图7A用于解释图6所示的允许数据PT。
如图7A所示,所述允许数据PT具有相互鉴权密钥的数量、相互鉴权的出现、SAM_A的相互鉴权密钥的实例、SAM_A的相互鉴权密钥的应用单元数据APE、SAM_B的相互鉴权密钥的实例、SAM_B的相互鉴权密钥的应用单元数据APE、存取权数据PMSD。
此处,图7A内以阴影示出的相互鉴权的出现、SAM_B的相互鉴权密钥的实例、SAM_B的相互鉴权密钥的应用单元数据APE存在于SAM单元9b内,通过从SAM单元9b传送而得到它们。
图7B用于解释图6所示的选项数据OPT。
如图7B所示,所述选项数据OPT存储SAM_B的SAM_ID、SAM_B内所存储的应用程序的识别数据AP_ID(B)、标志数据PCF。
所述标志数据PCF具有用于指示应用单元数据APE是存在于SMA单元9a内还是存在于SMA单元9a外的第一标志、用于指示应用程序的应用单元数据APE是否将向公众公开的第二标志、用于指示在向外界公开所述APE时是将其暂时使用还是存储(永久使用)的第三标志。
在图7B所示的实例中,所述第一标志指示“外界”,并未设置所述第二和第三标识。
所述允许数据PT或选项数据OPT例如存储用于鉴权能够在应用程序AP内设置设置数据的一方的合法性的数据。基于该数据,SAM模块8a判定是否允许设置设置数据。
此外,在本实施例中定义了应用程序所使用的端口。由应用程序、应用等定义的端口所使用的权利被定义为管理数据。基于所述管理数据,SAM单元9a、9b确定为应用程序定义的端口的使用模式。
以下将描述图1所示的SAM单元9b(SAM_B)的外部存储器7内存储的应用程序AP。
图8用于解释图1所示SAM单元9b(SAM_B)的外部存储器7内存储的应用程序AP。
如图8所示,应用程序AP具有用于识别应用程序AP的识别数据AP_ID、用于指示应用程序(或其程序包)的版本的数据APP_VER、用于指示应用程序内包括的应用单元数据APE数量的数据APE_NUM、形成应用程序的一个或多个应用单元数据APE的识别数据APE_ID、标记数据APE_TAG、允许数据PT、选项数据OPT、应用单元数据APE的实体APE_PL。
应当注意的是,图8和9所示的标记数据APE_TAG、允许数据PT、选项数据OPT对应于根据本发明的第二管理数据。
此外,在图8中,对应于应用程序AP内存储的四个识别数据APE ID中以阴影示出的三个APE_ID的应用单元数据APE实体被从图1所示的SAM单元9a(SAM_A)使用。
应用单元数据APE的所述三个实体存在于SAM单元9b的外部存储器7内。
图9A用于解释图6所示的允许数据PT。
如图9A所示,所述允许数据PT具有相互鉴权密钥的数量、相互鉴权的出现、SAM_B的相互鉴权密钥的实例、SAM_B的相互鉴权密钥的应用单元数据APE、SAM_A的相互鉴权密钥的实例、SAM_A的相互鉴权密钥的应用单元数据APE、存取权数据PMSD。
此处,图9A内以阴影示出的相互鉴权的出现、SAM_A的相互鉴权密钥的实例、SAM_A的相互鉴权密钥的应用单元数据APE是通过来自SAM单元9a的传送而得到的。
存取权数据PMSD指定用于允许从外界为应用程序AP内存储的每个APE存取(使用)应用单元数据APE的模式(读取、记录或执行)。所述指定可能会通过指定预定权利来执行。
图9B用于解释图8所示的选项数据OPT。
如图9B所示,所述选项数据OPT存储SAM_A的SAM_ID、SAM_A内所存储的应用程序的识别数据AP_ID(A)、标志数据PCF。
在图9B的实例中,标志数据PCF内的第一标志指示“内部”,第二标志指示“开放”,而第三标志指示“暂时使用”。
应当注意的是,通过区域设置加密程序包,应用单元数据APE被存储在外部存储器7内。
以下将描述应用单元数据APE的类型(APE_TYPE)。
图10用于解释所述应用单元数据APE的类型。
如图10所示,应用单元数据APE的类型(APE_TYPE)、AP源密钥数据K_APR、卡存取密钥数据(IC区域密钥数据、IC退化密钥数据等)、文件系统配置数据、SAM相互鉴权密钥数据、SAM密钥程序包密钥数据、IC卡操作宏指令脚本程序、存储器分区密钥程序包、存储器分区基本密钥程序包、扩展发行密钥程序包、发行密钥程序包、区域登记密钥程序包、区域删除密钥程序包、业务登记密钥数据、业务删除密钥程序包被存储为应用单元数据APE。
以下将详细描述图10所示的应用单元数据APE的部分类型。
●AP源密钥数据K_APR所述AP资源密钥数据K_APR被用作设置应用单元数据APE时的加密密钥。不同的密钥数据K_APR被分配给每一个AP区域,以设置应用单元数据APE。
●卡存取密钥数据所述的卡存取密钥数据是用于与IC卡3和IC模块42内的存储器50相关的数据读/写操作的密钥数据。
所述的卡存取密钥数据例如包括IC卡系统密钥数据、IC卡区域密钥数据、IC卡业务密钥数据、IC卡退化密钥数据等。
此处,IC卡退化密钥数据是通过使用IC卡系统密钥数据和存储器50的存储区管理密钥数据来加密而生成的密钥数据,并被用于相互鉴权。
此外,甚至是IC卡操作宏指令脚本程序所参考的密钥数据也被包括在与卡存取密钥数据同类的应用单元数据APE内。
●文件系统配置数据至于所述文件系统配置数据,例如存在着值班记录数据、否定数据以及日志数据。
所述值班记录数据例如是应用单元数据APE的使用历史的数据,所述否定数据例如是关于IC卡无效的信息,而所述日志数据例如是SAM处的执行历史。
例如,在文件系统配置中选择文件存取(记录密钥指定、分类、振铃)的类型。在记录密钥的情况下,设置记录大小、记录总数、记录签名版本、记录签名方法类型、记录数据大小以及记录签名密钥。此外,指定在将数据写到所述文件系统时是否确认签名。此处,“记录”是用于与文件数据相关的写/读的最小单元。
●SAM相互鉴权密钥数据这也被用于同一SAM内的APS之间的相互鉴权。
所述SAM相互鉴权密钥数据是用于从相同SAM内的另一AP或是从另一SAM存取对应的应用单元数据APE的密钥数据。
●SAM密钥程序包数据所述SAM密钥程序包数据是在SAM之间相互鉴权之后交换卡存取密钥数据和其它数据时所使用的加密密钥数据。
●IC卡操作宏指令脚本程序所述IC卡操作宏指令脚本程序由服务性企业自身生成,并描述了与IC卡3相关的处理的顺序,且借助ASP服务器装置19来传送。在SAM单元9a内设置所述IC卡操作宏指令脚本程序,然后在SAM模块8内对其进行分析,以生成对应的IC卡实体数据。
●密钥存储器分区程序包所述密钥存储器分区程序包是用于在服务性企业开始使用IC卡3提供业务之前将外部存储器7或IC卡3的存储器的存储区分区的数据。
● 区域登记密钥程序包所述的区登记密钥程序包是用于在服务性企业开始使用IC卡3提供业务之前将区域登记在IC卡3的存储器的存储区内。
● 区域删除密钥程序包(内部生成)所述的区删除密钥数据包是能够在SAM内从卡存取密钥数据中自动生成的程序包。
●业务登记密钥程序包(内部生成)所述业务登记密钥程序包是用于在服务性企业开始使用IC卡3提供业务之前登记外部存储器7的应用单元数据APE的数据。
所述业务登记密钥程序包是能够在SAM内从卡存取密钥数据中自动生成的程序包。
●业务删除密钥程序包(内部生成)所述业务删除密钥程序包被用于删除外部存储器7内所登记的应用单元数据APE。
所述业务删除密钥程序包是能够在SAM内从卡存取密钥数据中自动生成的程序包。
图5所示的外部存储器7的AP管理存储区221存储用于管理上述应用程序AP_1至AP_3的AP管理数据。
对AP管理存储区221的存取由防火墙FW_4限制。
所述SAM模块8通过SCSI或以太网连接至ASP服务器装置19a、19b。所述ASP服务器装置19通过互联网10连接至终端用户的个人计算机5以及包括服务性企业15_1、15_2、15_3的个人计算机16_1、16_2、16_3的多个终端装置。
所述个人计算机5例如通过串行接口或USB接口连接至无智能型卡读/写器4。所述的卡读/写器4例如借助IC卡3(IC模块42)来实现对应于物理电平的无线通信。
对于IC卡3(IC模块42)的操作指令以及来自IC卡3(IC模块42)的响应分组在SAM单元9a、9b一侧生成和解密。因此,卡读/写器4、个人计算机5以及其间插入的ASP服务器装置19仅存储和中继数据有效负载部分内的指令和响应的内容,并不涉及IC卡3内的诸如数据加密和解密、鉴权等的实际操作。
个人计算机16_1、16_2和16_3可通过将下述脚本程序下载至SAM模块8来定制应用程序AP_1、AP_2和AP_3。
图11是图1所示的SAM模块8的功能框图。
如图11所示,所述SAM模块8具有ASPS通信接口60、外部存储器通信接口61、总线扰频器62、随机数发生器63、加密器/解密器64、存储器65和CPU 66。
所述SAM模块8是防篡改的模块。
所述ASPS通信接口60对应于本发明的接口,所述存储器65对应于本发明的存储装置,而所述CPU 66对应于本发明的处理装置。
所述ASPS通信接口60是用于借助图1所示的ASP服务器装置19a、19b输入/输出数据的接口。
外部存储通信接口61是用于借助外部存储器7输入/输出数据的接口。
总线扰频器62在经由外部存储器通信接口61输入和输出数据时扰频输出数据并将输入数据解扰。
随机数发生器63生成用于鉴权的随机数。
加密器/解密器64加密数据并解密加密后的数据。
存储器65存储下述CPU所使用的任务、程序以及数据。
CPU 66执行IC卡进程管理任务(作业管理数据管理任务)或其它任务。
CPU 66基于SAM单元9a、9b内的操作指令执行SAM单元9a、9b内所定义的处理,并且基于IC卡3的IC模块3a和移动通信设备41的IC模块4内的操作指令控制IC模块3a与IC模块42的处理。
SAM单元9a内的CPU 6和SAM单元9b内的CPU 66控制SAM单元9a与9b之间的数据传送(通信)。
以下如图12所示,将描述在SAM单元9a与9b之间传送应用单元数据APE时的通信方法。
如前所述,在通信系统1中,当SAM单元9a与9b链接以提供使用IC卡3和IC模块42的业务时,SAM单元9a与9b在其之间传送应用单元数据。
在这种情况下,SAM单元9a、服务器装置19a、服务器装置19b、SAM单元9b使用SAM单元9a、9b的图11所示的ASPS通信接口60通信。
例如,如图13所示,退化密钥数据(APE)的实体被存储在SAM单元9b的外部存储器7中存储的应用程序AP(B)内。当从SAM单元9a的外部存储器7内存储的应用程序AP(A)参考所述的退化密钥数据时,SAM单元9b成为公开者,而SAM单元9b成为参考者。
此外,退化密钥的应用单元数据APE被从SAM单元9b传送至SAM单元9a。
所述传送基于SAM单元9a和9b的应用程序AP(A)、(B)内的选项数据OPT、标志数据PCF和存取权数据PMSD将SAM单元传送指令从SAM单元9a发射至9b,并将SAM单元传送响应从SAM单元9b发射至9a作为响应。
图14用于解释SAM单元传送指令SAMAPETC。
如图14所示,SAM单元传送指令SAMAPETC具有其自身(指令的传送者)应用程序的识别数据AP_ID、另一方(指令的接收者)的应用程序的识别数据AP_ID、指令接收者的相互鉴权密钥的实例号码、为其请求传送的应用单元数据APE的号码(单元属性的号码)、用于和所述的接收者相互鉴权的管理ID(相互鉴权ID)、应用单元APE的属性列表(单元属性列表)。
此处,所述单元属性列表具有应用单元数据APE的类型和单元属性。
如图15所示,所述单元属性的不同之处在于根据为其请求传送的应用单元数据APE的类型(APE_TYPE)而设置的项目。
例如,如图15所示,当将被传送的应用单元数据APE是区域业务密钥数据时,系统码、区域/业务码和单元版本被设置为单元属性。
图16用于解释SAM单元传送响应SAMPETR。
如图16所示,SAM单元传送响应SAMAPETR包括其自身(响应的传送者)应用程序的识别数据AP_ID、另一方(响应的接收者)应用程序的识别数据AP_ID、所述的接收者(另一方)的相互鉴权密钥的实例号码、将被传送的应用单元数据APE的号码(单元属性的号码)、与响应的接收者相互鉴权的管理ID(相互鉴权管理ID)、标志数据PCF以及单元列表。
此处,所述单元列表具有应用单元数据APE的类型(APE_TYPE)、单元属性大小、单元属性、应用单元数据APE的实体。
如图15所示,所述单元属性的不同之处在于根据将被返回的应用单元数据APE的类型(APE_TYPE)而设置的项目。
例如,如图15所示,当将被返回的应用单元数据是区域/业务密钥数据时,区域密钥数据和业务密钥数据被设置为单元属性。
在SAM单元9a与9b之间的相互鉴权之后,使用以上SAM单元传送指令/响应执行SAM单元9a与9b之间的传送。
图17用于解释SAM单元9a与9b之间的相互鉴权的例行程序。
步骤ST201所述参考者的SAM单元9a内SAM模块8的CPU 66生成鉴权指令AUTH_C1,其存储SAM单元9b的SAM_ID、将被参考的应用程序的AP_ID、将被使用的AP的端口ID、SAM单元9a的相互鉴权密钥的应用单元数据APE的APE_ID、加密方法、SAM单元9a使用SAM单元9b的相互鉴权密钥数据AK_B来加密而生成的随机数RA。CPU 66将鉴权指令AUTH_C1经由服务器装置19a、19b发送至SAM单元9b。
步骤ST202提供APE一侧的SAM单元9a内SAM模块8的CPU 66使用相互鉴权密钥数据AK_B将步骤ST201内接收的鉴权指令AUTH_C1解密,以生成存储通过所述解密而得到的数据的鉴权响应AUTH_R1,以及SAM单元9b使用SAM单元9a的相互鉴权密钥数据AK_A来加密而生成的随机数RA。CPU 66将鉴权响应AUTH_R1经由服务器装置19a、19b发送至SAM单元9a。
步骤ST203SAM单元9a内的SAM模块8的CPU 66使用相互鉴权密钥数据AK_A将步骤ST202内接收的鉴权响应AUTH_R1解密,并判定通过所述解密而得到的随机数RA和步骤ST201内生成的随机数RA是否匹配,如果判定它们是匹配的,则生成存储使用相互鉴权密钥数据AK_B而加密的随机数的鉴权指令AUTH_C2。CPU 66将所述鉴权指令AUTH_C2经由服务器装置19a、19b发送至SAM单元9b。
步骤ST204SAM单元9b内的SAM模块8的CPU 66使用相互鉴权密钥数据AK_B将步骤ST203内接收的鉴权响应AUTH_C2解密,并判定通过所述解密而得到的随机数RB和在步骤ST202内生成的随机数RB是否匹配,在判定它们是匹配的时,存储相互鉴权管理ID,并生成鉴权响应AUTH_R2。CPU 66将所述鉴权响应AUTH R2经由服务器装置19b、19b发送至SBM单元9a。
由此,完成了SAM单元9a、9b之间的相互鉴权。
应当注意的是,当SAM单元9a和9b已完成相互鉴权且会话被建立时,在步骤ST201内的鉴权指令AUTH_C1的传输之后,可能会省略步骤ST202与ST203,并在步骤ST204内发送鉴权响应AUTH_R2。
换言之,如果SAM单元9a、9b在相互鉴权密钥数据的单元内管理相互鉴权且会话被建立,则可以省略相互鉴权进程。此处,在被请求者(图17内的SAM单元9b)内执行关于是否已使用对应的相互鉴权密钥数据为所请求的处理建立了会话的判定。
以下将使用图18解释SAM单元9a和9b之间的退化密钥数据传送的操作实例。
图18用于解释这种操作的实例。
步骤ST221服务器装置19b确认是否已在SAM单元9b内设置(更新)了退化密钥数据。
步骤ST222服务器装置19b向服务器装置19a通知已在SAM单元9b内设置了退化密钥数据。换言之,它向参考者通知已在SAM单元9b准备了将被传送的应用单元数据APE。
步骤ST223服务器装置19a将SAM单元9a的CPU 66的内部状态(模式)改变为使SAM之间的链接得以实现的模式。
步骤ST224服务器装置19a向SAM单元9a请求使用IC卡3(IC模块42)的处理。
步骤ST225SAM单元9a内的CPU 66基于所述请求执行处理。在所述处理期间内,如果需要存在于SAM单元9b内的应用单元数据APE的退化密钥数据,且所述退化密钥并不存在于SAM单元9a内,则CPU66执行图17所描述的与SAM单元9b的相互鉴权以建立会话。
步骤ST226SAM单元9a内的CPU 66将用于传送退化密钥数据(图18所示的SAMAPETC)的请求发送至SAM单元9a。
步骤ST227SAM单元9b内的CPU 66生成图16所示的SAM单元传送响应(SAMAPETR),所述SAM单元传送响应存储根据传送请求指定的退化密钥数据的应用单元数据APE,并将所述应用单元数据APE发送至SAM单元9a。
步骤ST228SAM单元9a内的CPU 66终止步骤ST225内建立的会话,并使用在所接收的SAM单元传送响应内存储的退化密钥数据执行关于IC卡3(IC模块42)的处理。
以下是实现借助SAM单元9a和9b之间的通信生成图10所示的存储器分区密钥程序包并将其分区的操作的实例。
例如,在此实例中,借出IC卡3和IC模块42内的存储器的存储区并执行其它操作的存储器管理者使用SAM单元9b,而存储区提供商使用SAM单元9a。
此处,存储器分区程序包是基于存储器分区基本程序包生成。
所述存储器分区基本程序包由SAM单元在管理器一侧生成,而所述存储分区程序包是在存储区提供商一侧的SAM单元9b内生成的。
因此,当SAM单元9b生成存储器分区程序包时,必需从SAM单元9a中得到存储器分区基本程序包。
图19用于解释生成与传送存储器分区程序包的处理。
步骤ST241存储器管理者的服务器装置19a将生成存储器分区基本程序包的指令发送至SAM单元9a。
响应于所述指令,SAM单元9a生成存储器分区基本程序包。
步骤ST242服务器装置19a向服务器装置19b通知已在SAM单元9a内生成了存储器分区程序包。
步骤ST243服务器装置19b将生成存储器分区程序包数据的指令发到SAM单元9b。
步骤ST244在SAM单元9a和9b执行了图17所描述的相互鉴权之后,SAM单元9b向SAM单元9a发送图14示出的格式的SAM单元传送指令,所述格式指定存储器分区基本分组数据。
步骤ST245根据SAM单元传送指令,SAM单元9a发送图16示出的SAM单元传送响应至SAM单元9b,所述SAM单元传送响应存储步骤ST241处所生成的存储器分区基本程序包。
SAM单元9b使用所接收存储器分区基本程序包生成存储器分区程序包。
步骤ST246SAM单元9b向服务器装置19b通知已生成存储器分区程序包。
步骤ST247服务器装置19b向服务器装置19a通知已生成存储器分区程序包。
步骤ST248服务器装置19a向服务器装置19a发送用于指示IC卡3和IC模块42内存储器的分区的存储器分区指令。
步骤ST249在SAM单元9a和9b执行图17所描述的相互鉴权之后,SAM单元9a将图14示出的格式的SAM单元传送指令发送至SAM单元9b,所述SAM单元传送指令指定存储器分区分组数据。
步骤ST250根据SAM单元传送指令,SAM单元9b发送图16示出的SAM单元传送响应至SAM单元9a,所述SAM单元传送响应存储步骤ST245内生成的存储器分区程序包。
步骤ST251SAM单元9b使用所接收存储器分区程序包,例如通过服务器装置19b和互联网10存取移动通信设备41内存储的IC模块42,将IC模块42内存储器的存储区分区,并使预定服务性企业使用它。
应当注意的是,SAM单元9a和9b可能会通过同时设置发射应用单元数据APE的多个通信路径来通信。
以下将解释设置图8所示的标志数据APE_TAG的方法,所述标志数据用于上述存储器分区程序包(APE)。
在将IC卡与IC模块42内存储器的存储区分为多个区时,预想借助其使用分区的存储区的名称被设置为标记数据APE_TAG。
更明确地说,如图20所示,存在着这样一种情况,即其中IC卡3或IC模块42内IC模块3a的存储器50的存储区(专用)被分为服务性企业B使用的区域(专用B)和另一服务性企业A使用的区域(公用A),然后通过将所述区域(专用B)分区为服务性企业B1使用的区域(专用B1)和服务性企业B2使用的区域(专用B2)来使用所述区域。
在这种情况下,在区域是公用区域时使用标记数据“公用”,在区域是专用区域时使用标记数据“专用B1”和“专用B2”。
在这种情况下,如果上述标记数据APE_TAG和存储器分区程序包的内容是管理SAM单元9a、9b的管理器一侧可以接受的,则可以实现指定标记数据APE_TAG的存储器分区操作。
由于存储器分区程序包的标记数据APE_TAG的命名规则预想多分区,所以使用链接发行程序包类型、存储器分区程序包或其它程序包、存储器分区区域名称、区域码或是业务码的字符串。
以下将列出在图20所示的情况下程序包的单元标记指令的实例“D¥¥PrivateB2”被用作存储器分区区域B2内的存储器分区程序包的标记数据APE TAG,“I¥¥PrivateB1”被用作存储器分区区域B1内的发行程序包的标记数据APE TAG,“S¥¥Public 100C”被用作公用区域内的业务“100C”的标记数据APE_TAG。
以下将描述图1所示的通信系统1的全面操作。
图21和图22用于描述图1所示的通信系统1的全面操作。
步骤ST21服务性企业15_1至15_3或从服务性企业接收请求方准备描述关于事务的处理的脚本程序,所述事务由服务性企业使用IC卡3在图1所示的个人计算机16_1、16_2、16_3上执行。
此外,SAM模块8的管理器准备服务性企业15_1至15_3的对应AP管理数据。
步骤ST22AP管理数据被存储在外部存储器7内。
然后,通过互联网10、ASP服务器装置19a、19b和SAM模块8将在步骤ST21内准备的脚本程序从个人计算机16_1、16_2、16_3下载到SAM单元9a、9b。如图13所示,所述下载的下载处理由SAM模块8内的脚本下载任务管理的。
步骤ST23SAM模块8内的脚本解释任务使用AP管理数据和脚本程序来生成IC卡实体模板数据、输入数据块、输出数据块、值班记录数据块以及服务性企业的操作定义数据块。
这些生成的数据被存储在图11所示的SAM模块8的存储器65内。
步骤ST24IC卡3(IC模块42)被发给用户。
图3所示的IC模块3a与IC模块42的存储器50存储用于和用户与其签订合同的服务性企业的事务的密钥数据。
在发行IC卡3之后,可能会通过互联网10等结束用户与服务性企业之间的合同。
步骤ST25例如,当用户通过使用个人计算机5经由互联网10接入服务器装置2来尝试购买商品时,服务器装置2将处理请求通过互联网10发到ASP服务器装置19a、19b。
在从服务器装置2接收处理请求时,ASP服务器装置19a、19b通过互联网10接入个人计算机5。然后,将来自卡读/写器4的IC卡3的处理请求通过个人计算机5、互联网10和ASP服务器装置19a、19b发送至SAM单元9a、9b内的SAM模块8。
步骤ST26将实体生成请求从ASP服务器装置19a、19b发到SAM模块8。所述实体生成请求存储指示IC卡3的发行者的数据。
步骤ST27SAM模块8在接收实体生成请求时借助IC卡3执行轮询。
步骤ST28SAM模块8内的实体生成任务71在轮询之后判定存在于SAM模块8内的IC卡实体数据量是否小于脚本程序的SC指令所定义的最大数量。如果小于所述最大数量,则任务前进到步骤ST29,否则所述处理结束。
步骤ST29所述实体生成任务基于所述实体生成请求内存储的指示IC卡3发行者的数据来指定使用哪一个服务性企业的IC卡实体模块数据,并使用所指定的IC卡实体模块数据来生成IC卡实体数据。
步骤ST30SAM模块8将在步骤ST29内生成的IC卡实体数据的实体ID输出至ASP服务器装置19a、19b。
步骤ST31SAM模块8内的IC卡进程管理任务搜索IC卡3可使用的业务。
步骤ST32SAM模块8内的IC卡进程管理任务鉴定IC卡3的合法性。
步骤ST33IC卡3鉴定SAM模块8的合法性。
通过步骤ST32和ST32执行IC卡3与SAM模块8之间的相互鉴权。
此时,如上所述,根据SAM模块8内执行的应用单元数据APE参考AP管理数据并得到卡存取密钥,然后使用所得到的密钥在SAM模块8与IC卡3的CPU51之间执行相互鉴权。
步骤ST34SAM模块8的IC卡进程管理任务读和写借助IC卡3的进程所需的数据。
此外,IC卡进程管理任务72使用基于IC卡实体数据而指定的方程式来执行使用从IC卡3读取的数据的预定算法处理。
步骤ST35SAM模块8内的IC卡进程管理任务输出步骤ST34的处理结果至ASP服务器装置19a、19b。
步骤ST36例如,SAM模块8的IC卡进程管理任务72删除IC卡实体数据。
如上所述,根据通信系统1和SAM单元9a、9b,通过SAM之间的通信可以接收诸如处于保密状态的卡存取密钥或卡发行程序包的应用单元数据APE。
此外,由于可以将应用单元数据APE向其它SAM公开的范围定义为SAM之间通信的设置,所以公开一侧的SAM可以定义从应用单元数据APE存取的范围。
此外,根据通信系统1和SAM单元9a、9b,由于对应用单元数据APE的存取特性可被定义为SAM之间通信的设置,公开一侧的SAM可以单独地设置对于应用单元数据APE的写入权、读取权和执行权。
此外,根据通信系统1和SAM单元9a、9b,由于可以将设置公开范围的权利以及应用单元数据APE的存取特性定义为SAM之间通信的设置,所以可以阻止违法执行设置。
此外,根据通信系统1和SAM单元9a、9b,由于应用单元数据APE的公开范围在相互鉴权密钥数据的单元内作为SAM之间通信的设置,所以可以减轻伴随着应用单元数据APE的公开的相互鉴权的负载。
根据通信系统1和SAM单元9a、9b,在SAM之间的相互鉴权中,在同一相互鉴权密钥和相互鉴权区域的情况下可以部分地省略相互鉴权处理,所以可以减少伴随着相互鉴权的通信成本,并减轻SAM内的处理。
根据通信系统1和SAM单元9a、9b,通过将标记数据APE_TAG用于指定将被在SAM之间的通信中传送的应用单元数据APE,服务性企业和存储器管理者可以各种方式管理存储器。
根据通信系统1和SAM单元9a、9b,在SAM之间的通信中,通过扩展用于传送的应用单元数据APE的类型和内容并传送与卡处理相关的值班记录等,可以向对方的SAM通知处理的开始、结束等。
根据通信系统1和SAM单元9a,通过使用多个应用单元数据APE、AP管理表数据和APP表数据形成应用程序AP来定义每个应用单元数据APE的处理内容,可以提供各种使用IC卡3的业务。
此外,根据通信系统1,可以使用AP管理表数据和APP表数据来灵活地实现同一SAM内的应用单元数据APE的使用,以及不同SAM之间的应用单元数据APE的使用,同时保持高度安全性。
根据通信系统1,当在不同SAM之间使用应用单元数据APE时,由于SAM相互鉴权,因而可以增加应用程序的安全性。
图23用于解释本发明的另一实施例。
如图23所示,在IC卡(IC模块)510内存在两个数据区,即由使用IC模块3a或IC模块42提供预定业务的服务性企业A处理的数据A,以及由提供预定业务的服务性企业B处理的数据B。
在读/写器511存取IC卡510时所需的密钥数据A与密钥数据B被分别设置。
服务性企业A具有读/写器511(A),而服务性企业B具有读/写器513(B)。
由服务性企业A保持的读/写器511保持服务性企业A所生成的能够存取IC卡510内数据A的密钥A。由服务性企业B保持的读/写器B保持服务性企业B所生成的能够存取IC卡510内数据B的密钥B。
通过利用控制器512来预先设置所述密钥数据。当控制器512发出指示密钥数据设置的指令时,所述的读/写器511保持所述密钥数据。
在图23中,仅存在一个连接至读/写器511的控制器512,但服务性企业B借助控制器512在读/写器513内预先设置密钥数据。因此,服务性企业A所生成的密钥数据A对于服务性企业B而言是未知的,反过来说,服务性企业B所生成的密钥数据B对于服务性企业A而言是未知的。
所述控制器512经由控制通信路径连接至读/写器511,并将用于存取IC卡510内的数据的指令从控制器5121发射至读/写器511。
所述指令包括IC卡510内存储器的指定区域的读操作、所指定数据到所指定区域的写操作等。在读操作的情况下,将所读取的数据经由通信路径返回至所述控制器。在写操作的情况下,不论所述的写操作是否成功都将其经由通信路径返回至所述控制器。
例如,假设存储数据A与数据B的IC卡510经由通信路径连接至读/写器511。应当注意的是,IC卡通信路径可能是有线的、无线的、光的或其它任何方法,只要其能够交换信息。此处假设所述控制器经由控制通信路径向读/写器511发出读取IC卡510内的数据和将数据A写到数据B的指令。
此时,如上所述,读/写器511具有对IC卡510内的数据A和数据B的存取。由于读/写器511仅保持能够存取数据A的密钥数据A,所以它将捕获能够存取数据B的数据B的请求发至连接单元A。
所述链接单元A经由读/写器通信路径连接至读/写器513内的链接单元B,并将上述捕获请求发射至连接单元B。应当注意的是,与上述IC卡通信路径类似,读/写器通信路径可以是有线的、无线的、光的或其它任何能够交换信息的装置。流经读/写器通信路径的信息由连接单元A和连接单元B所持有的密钥数据C加密,所以无法确定被交换的信息。接收捕获请求的读/写器B内的链接单元B借助密钥数据C来加密能够存取IC卡510内的数据B的密钥数据B,并将其经由读/写器通信路径返回至读/写器511内的链接单元A。借助以上操作,读/写器511可取得存取IC卡510内的数据A所需的密钥数据A以及存取IC卡510内的数据B所需的密钥数据B。
因此,可以读取IC卡510内的数据A并将数据A写入数据B的区域。
读/写器511和513保持各种密钥数据信息,所以无法轻易地对其进行分析。图24示出了读/写器511和513的配置实例。
CPU 532是用于全面控制的中央处理器。存储单元522包括其内存储CPU 532的算法控制例行程序的程序单元541,以及保持CPU 532所得到的算法控制结果等的数据单元542。
加密器534利用从CPU 532给出的密钥数据来加密或解密从CPU 532给出的数据。
CPU 532、存储器单元533和加密器534被经由内部总线531连接起来。由于它们处理大量需要保密的信息,所以它们被安装在同一芯片520上,从而使得外界无法分析其操作。
控制IF 523是用于与图23所示的控制器通信的接口,由此从CPU 532给出的数据被发射至控制器512,从控制器512接收的数据被输入CPU 532。
卡IF 521是用于与IC卡510通信的接口,由此从CPU 532给出的数据被发射至IC卡510,由IC卡510接收的数据被输入CPU532。
链接IF 522是用于与其它读/写器通信的接口,由此从CPU 532给出的数据被发射至其它读/写器,从其它读/写器接收的数据被输入CPU 532。
仅借助密钥数据C来提前设置图23的读/写器511和513,所以甚至无法获悉拥有所述读/写器的服务性企业。
另一方面,所述服务性企业A在使用之前生成能够存取IC卡510内的数据的密钥数据A。CPU 532从控制IF 523读取密钥数据,并借助在存储器单元533的程序单元541内存储的例行程序将所述密钥数据保持在存储器单元533的特定区域内。
此外,还存在着信息管理区,其用于管理哪些读/写器所保持的IC卡510数据当前可以进入存储器单元533的数据单元542。
所述信息管理区可以知道密钥数据,所述信息管理区以图25所示的列表自己保持所述密钥数据。图25所示的密钥数据,即8位十六进制数12345678被作为实例示出。
当其内存储数据A和数据B的IC卡510被经由IC卡IF 521连接,且控制器512经由控制IF 523发送用于将数据B写到数据A的区域的指令时,读/写器511搜索信息管理区。由于存储器单元533内的数据单元542仅包括能够存取数据A的密钥数据A,所以所述数据单元542将捕获密钥数据B的请求经由连接IF 522发送至读/写器513。接收所述请求的读/写器513内的信息管理区保持如图26所示的列表,并存储诸如8位十六进制数56789ABC的密钥数据。
接收所述请求的读/写器在搜索信息管理区时确定其持有存取数据B所需的密钥数据,所以将所述密钥数据经由连接IF 522返回至读/写器511。应当注意的是,所述连接IF 522将不会漏泄密钥数据B,所述密钥数据B由预先所设置的密钥数据C加密,并被从读/写器513返回至读/写器511。
可如下处理在从另一读/写器得到密钥数据之后的读/写器内的所述密钥数据的寿命(1)只要无明确的从控制器512删除的指令,则永久保持(2)以一个时限继续保持直至预定时间消逝(3)必要时从对应的读/写器取得在上述的实例中示出了其中在数据由另一读/写器保持时从所述的另一读/写器得到存取IC卡510内数据所需的密钥数据的情况。但是,所管理的信息不必是密钥数据,可能是各种信息。图27是其中考虑也处理密钥数据之外的数据的情况下的信息管理区实例。
图27示出了两个IC卡存取密钥数据被保持,且可存取区是数据A和数据B。属性栏显示了原始信息在哪里。“自身”指示存在于其自身的装置内。应当了解的是,数据B的IC卡存取密钥数据是从读/写器B中得到的。如上所述,从自身装置之外得到的信息根据所设置寿命的处理不同而在信息管理区内有所不同。
至此,预想了两个读/写器的实例,但可能还会有三个或更多。读/写器之间的通信也可能处于更为宽广的网络环境中。图28用于示出使用以上操作时的配置实例。
至此,链接单元一对一地连接至读/写器,但在图28中,它们被连接至互联网或其它公共网络。此处,如果读/写器611和读/写器613链接起来通信时所需的密钥数据是密钥数据AB,而读/写器611和读/写器614链接起来通信时所需的密钥数据是密钥数据AC,则不仅不可能窃听它们之间的通信,而且可以阻止其中读/写器613在未经允许情况下从读/写器C中得到信息的未经授权存取。
如上所述,根据本发明可以提供一种通信方法、一种数据处理装置以及其程序,从而使得多个数据处理装置(SAM)能够迅速地提供链接在一起的业务。
此外,根据本发明可以提供一种通信方法、一种数据处理装置以及其程序,从而使得存储与不同服务性企业的业务提供相关的数据和程序的数据处理装置(SAM)能够恰当地管理将对其它方保密的数据以及公开给公众的数据。
应用范围本发明可被应用于使用集成电路(IC)提供业务的数据处理装置及其方法、程序。
权利要求
1.一种用于将数据在执行第一应用程序的第一数据处理装置与执行第二应用程序的第二数据处理装置之间传送的数据处理方法,包括步骤当所述第一数据处理装置保持指示所述第一应用程序在形成所述第二应用程序的多个数据模块中所使用的数据模块的第一管理数据,且所述第二数据处理装置保持指示允许用于所述第一应用程序的数据模块的第二管理数据时,所述第一数据处理装置参考所述第一管理数据,并发送指定准备用于所述数据处理装置的所述数据模块的请求,以及所述第二数据处理装置根据所述请求,参考所述第二管理数据,并在判定允许所述第一应用程序使用所述请求指定的所述数据模块时,将所述请求内指定的数据模块发送至所述第一数据处理装置。
2.如权利要求1所要求的通信方法,还包括步骤,当所述第一数据处理装置连接至第一服务器装置,所述第二数据处理装置连接至第二服务器装置,且所述第一数据处理装置与所述第二数据处理装置经由所述第一服务器装置与所述第二服务器装置通信时,所述第一服务器装置将第一请求发送至所述第一数据处理装置,以及所述第一服务器装置根据所述第一请求,参考所述第一管理数据,并将指定准备使用的所述数据模块的第二请求发送所述第二数据处理装置。
3.如权利要求1所要求的通信方法,还包括步骤所述第二服务器装置确认将由所述第一应用程序使用的所述数据模块是否处于可用于所述第二数据处理装置的状态,并将确认的结果通知给所述第一服务器装置,以及所述第一服务器装置根据所述通知将所述第一请求发送至所述第一数据处理装置。
4.如权利要求1所要求的通信方法,还包括步骤使所述第一数据处理装置与所述第二数据处理装置相互鉴权,并在确认另一方的合法性之后,使所述第一处理装置将所述请求发送至所述第二数据处理装置。
5.如权利要求4所要求的通信方法,还包括步骤所述第一数据处理装置保持所述第一管理数据,以使用所述数据模块,所述第一管理数据存储用于与所述第二数据处理装置的相互鉴权的密钥数据,所述第二数据处理装置保持所述第二管理数据,从而使得所述第一应用程序使用所述数据模块,所述第二管理数据存储用于与所述第一数据处理装置的相互鉴权,以及使所述第一数据处理装置与所述第二数据处理装置使用所述第一管理数据与所述第二管理数据内存储的密钥数据来相互鉴权。
6.如权利要求4所要求的通信方法,还包括步骤使所述第一管理数据与所述第二管理数据存储用于指定是否执行所述相互鉴权的相互鉴权指令数据,以及使所述第一数据处理装置与所述第二数据处理装置参考所述相互鉴权指令数据,以确定是否执行所述相互鉴权。
7.如权利要求5所要求的通信方法,还包括步骤使所述第一数据处理装置使用所述密钥数据结束相互鉴权,随后将所述请求发送至所述第二数据处理装置,然后在再次无相互鉴权的情况下,将指定与所述密钥数据链接的另一模块的请求发送至所述第二数据处理装置。
8.如权利要求1所要求的通信方法,还包括步骤所述第二数据处理装置保持所述第二管理数据,所述第二管理数据存储定义将由所述第一应用程序使用的所述数据模块的使用模式的数据,以及使所述第二数据处理装置参考所述第二管理数据,并允许所述第一应用程序在所定义使用模式的范围内使用所述数据模块。
9.如权利要求1所要求的通信方法,还包括步骤所述第二数据处理装置保持所述第二管理数据,所述第二管理数据还定义允许设置所述第二管理数据的一方,以及所述第二数据处理装置仅允许所述第二管理数据内定义的一方设置所述第二管理数据。
10.如权利要求1所要求的通信方法,还包括步骤所述第一数据处理装置保持所述第一管理数据,所述第一管理数据包括指示形成所述第一应用程序的数据模块的内容或应用的标记数据,以及所述第二数据处理装置保持所述第二管理数据,所述第二管理数据包括指示形成所述第二应用程序的数据模块的内容或应用的标记数据。
11.如权利要求1所要求的通信方法,还包括步骤所述第一数据处理装置保持所述第一管理数据,所述第一管理数据包括用于响应于权利或应用而管理所述第一应用程序内所定义端口的使用的数据,所述第二数据处理装置保持所述第二管理数据,所述第二管理数据包括用于响应于权利或应用而管理所述第二应用程序内所定义端口的使用的数据,所述第一数据处理装置管理所述第一应用程序内所定义的端口的使用,以响应权利或应用,以及所述第二数据处理装置管理所述第二应用程序内所定义的端口的使用,以响应权利或应用。
12.如权利要求1所要求的通信方法,还包括步骤所述第一数据处理装置将指定准备使用的所述数据模块的类型的请求发送至所述第二数据处理装置,以及所述第二数据处理装置将对应于所述数据模块的指定类型的数据模块发送至所述第一数据处理装置。
13.如权利要求1所要求的通信方法,还包括步骤所述第二数据处理装置将与所述请求相关的数据模块、指示是否允许所述第一数据处理装置暂时使用或存储以及使用所述数据模块的数据一起发送至所述第一数据处理装置,以及所述第一数据处理装置基于所述数据暂时使用或存储以及使用从所述第二数据处理装置接收的数据模块。
14.如权利要求1所要求的通信方法,还包括步骤使所述第一数据处理装置和所述第二数据处理装置经由所述服务器装置与集成电路通信,以提供预定业务,以及使所述数据模块指示用于操作所述集成电路的存储区的数据或例行程序。
15.如权利要求1所要求的通信方法,还包括步骤使所述第一数据处理装置和所述第二数据处理装置同时设置多个通信路径以传送所述数据模块。
16.一种用于借助执行第一应用程序的其它数据处理装置来传送数据并执行第二应用程序的数据处理装置,包括用于借助所述的其它数据处理装置传送数据的接口,用于存储形成所述第二应用程序的多个数据模块,以及指示被允许用于所述第一应用程序的数据模块的管理数据的存储装置,以及处理装置,其用于根据来自所述的其它数据处理装置的请求来参考所述管理数据,并在判定允许所述第一应用程序使用与所述请求相关的数据模块时,从所述存储装置读取与所述请求相关的数据模块,并将其发送至所述的其它数据处理装置。
17.如权利要求16所要求的数据处理装置,其中所述处理装置执行与所述的其它数据处理装置的相互鉴权,并在它们确认彼此的合法性之后,从所述的其它数据处理装置接收请求,且将与所述请求相关的数据模块发送至所述的其它数据处理装置。
18.如权利要求16所要求的数据处理装置,其中所述存储装置存储所述管理数据,其中所述管理数据存储定义所述第一应用程序使用所述数据模块的模式的数据,以及所述处理装置参考所述管理数据,并允许所述第一应用程序在所定义使用模式的范围内使用所述数据模块。
19.如权利要求16所要求的数据处理装置,其中所述处理装置与集成电路通信,以提供预定业务,以及所述存储装置存储所述数据模块,其中所述数据模块指示用于操作所述集成电路内的存储区的数据或例行程序。
20.一种将由数据处理装置执行的程序,所述数据处理装置用于借助执行第一应用程序的其它数据处理装置来传送数据并执行第二应用程序,该程序包括从所述的其它数据处理装置接收使用数据模块的请求的例行程序,根据所述请求参考指示允许所述第一应用程序使用的数据模块的管理数据,并判定是否允许所述第一应用程序使用与所述请求相关的数据模块的例行程序,以及在判定与所述请求相关的数据模块是可允许的时将其发送至所述的其它数据处理装置的例行程序。
全文摘要
当在SAM单元9a与9b之间传送形成应用程序的单元APE时,准备指定单元的识别数据、相互鉴权的出现、参考(使用)模式以及每个单元的相互鉴权密钥的管理数据,且在SAM单元A与9b之间基于所述管理数据传送所述单元。
文档编号B42D15/10GK1481532SQ02803325
公开日2004年3月10日 申请日期2002年10月30日 优先权日2001年10月31日
发明者末吉正弘, 久保野文夫, 文夫, 馆野启 申请人:索尼株式会社
技术领域:
本发明涉及一种用于提供使用IC或其它集成电路的业务的通信方法、数据处理装置及其程序。
背景技术:
如今,通过互联网或其它网络将IC卡用于事务的通信系统正在研发之中。
在这种通信系统内,从业务提供商接收请求的应用程序由服务器装置执行,所述应用程序用于提供使用IC卡的业务并执行所述业务提供商所定义的处理。
例如,响应于来自读/写器或是PC(个人计算机)的处理请求,所述服务器装置基于上述应用程序执行诸如用户鉴权和用户加密与解密的处理。
使用SAM(安全应用模块)来执行上述的使用IC卡的业务。当多个SAM链接起来以提供使用单个IC卡的业务时,存在对于多个SAM链接起来迅速提供业务的需要。
此外,在这种情况下,存在适当地管理将对其它方保密的数据以及将被公开给SAM间公众的数据的需要,所述SAM存储与不同服务性行业的业务提供相关的数据和程序。
发明内容
本发明的目的是提供一种通信方法、一种数据处理装置以及其程序,从而使多个链接起来的SAM(数据处理装置)能够快速提供业务。
此外,本发明的目的是提供一种通信方法、一种数据处理装置以及其程序,从而能够适当管理将被对其它方保密的数据以及将被公开给SAM之间公众的数据,所述SAM存储与不同服务性企业的业务提供相关的数据和程序。
为了实现以上目的,根据本发明第一方面的通信方法是用于在执行第一应用程序的第一数据处理装置与执行第二应用程序的第二数据处理装置之间传送数据的数据处理方法,包括步骤当所述第一数据处理装置保持指示所述第一应用程序在形成所述第二应用程序的多个数据模块中所使用的数据模块的第一管理数据,且所述第二数据处理装置保持指示被允许用于所述第一应用程序的所述数据模块的第二管理数据时,所述第一数据处理装置参考所述第一管理数据,并发送指定准备用于所述数据处理装置的数据模块,所述第二数据处理装置根据所述请求参考所述第二管理数据,并在判定允许所述第一应用程序使用所述请求指定的所述数据模块时,将所述请求内指定的数据模块发送至所述第一数据处理装置。
此外,本发明的第一方面的通信方法优选的是还包括,当所述第一数据处理装置连接至第一服务器装置,所述第二数据处理装置连接至第二服务器装置,且所述第一数据处理装置与所述第二数据处理装置经由所述第一服务器装置与所述第二服务器装置通信时,使所述第一服务器装置将第一请求发送至所述第一数据处理装置,且使所述第一服务器装置根据所述第一请求参考所述第一管理数据,并将指定准备使用的所述数据模块的第二请求发送至所述第二数据处理装置。
此外,本发明的第一方面的通信方法优选地还包括,使所述第二服务器装置确认将由所述第一应用程序使用的所述数据模块是否处于可用于所述第二数据处理装置的状态,并将所确认的结果通知给所述第一服务器装置,以及使所述第一服务器装置根据所述通知将所述第一请求发送至所述第一数据处理装置。
本发明的第二方面的数据处理装置是用于借助执行第一应用程序的另一数据处理装置传送数据并执行第二应用程序的数据处理装置,包括用于借助所述的另一数据处理装置传送数据的接口,用于存储形成所述第二应用程序的多个数据模块以及指示被允许用于所述第一应用程序的数据模块的管理数据的存储装置,以及处理装置,其用于根据来自所述的另一数据处理装置的请求来参考所述管理数据,并在判断允许所述第一应用程序使用与所述请求相关的数据模块时从所述存储装置读取与所述请求相关的数据模块,并将其发送至所述的另一数据处理装置。
本发明的第三方面的程序是将由数据处理装置执行的程序,所述数据处理装置用于借助执行第一应用程序的另一数据处理装置来传送数据以及执行第二应用程序,该程序包括用于从所述的另一数据处理装置接收使用数据模块的请求的例行程序,用于根据所述请求参考指示允许所述第一应用程序使用的数据模块的管理数据并判定是否允许所述第一应用程序使用与所述请求相关的数据模块的例行程序,以及用于在判定与所述请求相关的数据模块是可允许的时将其发送至所述的另一数据处理装置。
本发明第四方面的信息处理系统包括具有多个数据的记录装置(存储媒介)以及用于存取所述记录装置内的数据的存取装置,其中所述记录装置具有与多个数据链接的记录装置密钥信息,所述的存取装置具有根据相同或特定算法而与所述记录装置密钥信息链接的存取密钥信息,所述的存取密钥信息包括用于指定拥有相同存取密钥信息的存取装置的存取装置指定信息,所述的存取装置具有能够与多个其它存取装置通信的链接通信装置,当所述的存取装置存取所述记录装置内的信息时,如果所述存取装置指定信息内的存取装置为多个其它存取装置,则从所述的链接通信装置中得到对应于上述数据的存取密钥信息,将根据特定存取算法处理所述存取密钥信息的存取处理信息从所述存取装置发射至所述记录装置,所述记录装置基于特定算法处理所述存取处理信息,且随后仅在得到与所述记录装置内对应数据的记录装置密钥信息相链接的结果时方允许从所述的存取装置存取。
在根据本发明第四方面的信息处理系统中,优选地所述存取装置将所述存取密钥信息以及所述存取算法安装在同一个半导体芯片上,所以外界难以分析和篡改。
在根据本发明第四方面的信息处理系统中,优选地所述的特定存取算法是基于DES、RSA、AES以及椭圆加密中的一个或多个解密算法。
在根据本发明第四方面的信息处理系统中,优选地链接通信装置的存取装置之间的所述通信路径由特定算法加密。
在根据本发明第四方面的信息处理系统中,优选地所述的特定算法是基于DES、RSA、AES以及椭圆加密中的一个或多个解密算法。
在根据本发明第四方面的信息处理系统中,优选地在所述的存取装置中可以选择是永久保持还是暂时保持从多个其它存取装置中得到的存取密钥信息。
在根据本发明第四方面的信息处理系统中,优选地所述记录装置与所述存取装置之间的通信是借助无线电波的无线连接、电线连接以及光连接中的一个或多个的复合连接来完成的。
在根据本发明第四方面的信息处理系统中,优选地所述存取装置与所述多个其它存取装置之间的通信是借助无线电波的无线连接、电线连接以及光连接中的一个或多个的复合连接。
根据本发明第四方面的信息处理系统优选地为一种安全信息处理系统,其包括用于基于所确定的协议来控制存取装置的控制器、存取装置以及记录装置。
图1是根据当前实施例的通信系统的全面配置图。
图2是图1所示的IC卡的功能框图。
图3用于解释图2所示的存储器。
图4用于解释图1所示的SAM模块的软件结构。
图5用于解释图1所示的外部存储器的存储区。
图6用于解释图5所示的参考者中的应用程序。
图7A和图7B用于描述图6所示的数据PT与OPT的细节。
图8用于解释图5所示的公开者中的应用程序。
图9A和图9B用于描述图8所示的数据PT与OPT的细节。
图10用于解释应用单元数据APE的类型。
图11是图1所示的SAM模块的功能框图。
图12用于解释图1所示SAM单元之间的通信方法。
图13用于解释在图12所示的SAM单元之间传送退化密钥的情况。
图14用于解释SAM单元传送指令SAMAPETC。
图15用于解释图14所示的单元属性。
图16用于解释SAM单元传送响应SAMAPETR。
图17用于解释用于SAM之间相互鉴权的例行程序。
图18用于解释之前使用图13所描述的在SAM单元之间传送退化密钥数据的操作实例。
图19用于解释生成和传送存储器分区程序包的处理。
图20用于解释为存储器分区程序包(APE)设置图8所示的标记数据APE TAG的方法。
图21用于解释图1所示的通信系统内的全面操作。
图22用于解释图1所示的通信系统内的全面操作。
图23用于解释本发明的另一实施例。
图24用于解释本发明的另一实施例。
图25用于解释本发明的另一实施例。
图26用于解释本发明的另一实施例。
图27用于解释本发明的另一实施例。
图28用于解释本发明的另一实施例。
具体实施例方式
以下将参照附图来描述执行本发明的最佳模式。
图1是当前实施例的通信系统1的全面配置图。
如图1所示,通信系统1使用安装在商店等内的服务器装置2、IC卡3、卡读/写器4、个人计算机5、ASP(应用业务提供商)服务器装置19、SAM(安全应用模块)单元9a和9b、具有内置IC模块42(本发明内的集成电路)的移动通信设备41,以便经由互联网10通信并执行结算处理以及其它使用IC卡3或移动通信设备41的程序化处理。
SAM单元9a(本发明的第一数据处理装置)具有外部存储器7(本发明的存储装置)和SAM模块8(本发明的处理装置)。
此外,SAM单元9b(本发明的第二数据处理装置)同样具有外部存储器7和SAM模块8。
所述SAM模块8根据需要借助并没有示出的另一SAM模块传送数据。
在本实施例中,图1所示的SAM单元9a的特征在于,在利用SAM单元9b的外部存储器7内存储的应用单元数据APE时,SAM单元9a与SAM单元9b之间通信。
例如,为了将SAM单元9a、9b用于不同服务性企业以提供链接在一起的业务,必须向另一服务性企业提供处于保密状态的IC卡(IC模块)操作所需的卡存取密钥以及卡发行密钥程序包。
例如,为了借助IC卡来计算不同服务性企业之间的相互鉴权密钥,需要得到卡存取密钥、卡退化密钥或是其它密钥信息。
特别地,在SAM单元9a处理货币结算,SAM单元9b购买商品,且在一个借助IC卡的相互鉴权期间内完成这两种处理时,必须将货币结算所需的密钥信息从SAM单元9a传送至SAM单元9b,并在SAM单元9b一侧生成存取IC卡所需的密钥。
在这种情况下,SAM单元9a与SAM单元9b可能会各自存取IC卡,但很难同时保证货币结算以及商品购买的操作与处理。例如,会出现货币结算完成而商品的取得尚未完成的情况。
此外,借用IC卡的共享存储区来独立提供业务的企业必须从共享存储区的管理器(存储器管理机构)取得用于在IC卡(区域登记密钥程序包等)上登记业务的密钥信息。
此外,必须传送用于将IC卡逻辑分区的卡分区密钥程序包,以生成存储器管理机构与共享区提供商(例如服务性企业)之间的共享存储区。
当多个企业提供如上所述的链接在一起的业务并传送密钥程序包和其它应用单元数据APE时,通信系统1提供一种能够在SAM单元9a、9b和其它SAM单元之间简单地建立安全通信路径的装置。
以下将描述图1所示的部件。
图2是IC卡3的功能方框图。
如图2所示,IC卡3具有IC(集成电路)模块3a,所述IC模块具有存储器50和CPU 51。
如图3所示,存储器50具有信用卡公司或其它服务性企业15_1使用的存储区55_1、服务性企业15_2使用的存储区55_2以及服务性企业15_3使用的存储区55_3。
存储器50存储用于判定对存储区55_1的存取权的密钥数据、用于判定对存储区55_2的存取权的密钥数据、用于判定对存储区55_3的存取权的密钥数据。所述密钥数据被用于相互鉴权以及数据加密和解密。
存储器50还存储IC卡3或IC卡3用户的识别数据。
移动通信设备41具有用于通过移动电话网和互联网10与ASP服务器通信的通信处理器43、能够借助通信处理器43传送数据并通过互联网10从天线与SAM单元9a通信的IC模块42。
所述IC模块42与上述IC卡3内IC模块3a的功能相同之处在于,所述IC模块42借助移动通信设备41的通信处理器43传送数据。
应当注意的是,使用移动通信设备41的处理被以与使用IC卡3的处理相同的方式执行,而使用IC模块42的处理被以与使用IC模块3a的处理相同的方式执行,所以在以下描述中示出了使用IC卡3与IC模块3a的处理。
以下将详细描述SAM单元9a、9b。
上述SAM单元9a、9b具有外部存储器7(本发明的存储装置)和SAM模块8(本发明的处理装置)。
此处,SAM模块8可能会被实现为半导体电路,且可能会被实现为保持外壳内的多个电路的装置。
SAM模块8具有如图4所示的软件配置。
如图4所示,SAM模块8从低层到高层具有软件HW层、包括对应于外设HW的RTOS核心的驱动层(OS层)、用于在逻辑成组单元内的处理的低处理器层、将特定于应用的库等集合在一起的高处理器层、AP层。
此处,在AP层内从外部存储器7读取并操作应用程序AP_1、AP_2、AP_3(本发明的应用程序),所述应用程序定义图1所示的信用卡公司或其它服务性企业15_1、15_2、15_3所使用的程序。
可借助一个或多个宏脚本来设置每一个应用程序。
在AP层内,防火墙FW被设置在应用程序AP_1、AP_2、AP_3之中,并带有高处理器层。
图5用于解释外部存储器7的存储区。
如图5所示,外部存储器7的存储区包括存储服务性企业15_1的应用程序AP_1的AP存储区220_1、存储服务性企业15_2的应用程序AP_2的AP存储区220_2、存储服务性企业15_3的应用程序AP_3的AP存储区220_3、SAM模块208的管理器所使用的AP管理存储区221。
此处,SAM单元9a的外部存储器7内存储的应用程序对应于本发明的第一应用程序,SAM单元9b的外部存储器7内存储的应用程序对应于本发明的第二应用程序。
AP存储区220_1内存储的应用程序AP_1包括多个应用单元数据APE(本发明的数据模块)。对AP存储区220_1的存取由防火墙FW1限制。
AP存储区220_2内存储的应用程序AP_2包括多个应用单元数据APE(本发明的数据模块)。对AP存储区220_2的存取由防火墙FW_2限制。
AP存储区220_3内存储的应用程序AP_3包括多个应用单元数据APE(本发明的数据模块)。对AP存储区220_31的存取由防火墙FW_3限制。
在本实施例中,应用单元数据APE例如是从SAM单元9a之外下载到外部存储器7的最小单元。形成每个应用程序的应用单元数据APE的数量可由对应的服务性企业自由确定。
外部存储器7内所存储的应用程序AP_1、AP_2、AP_3被扰频。它们在被读入SAM模块8时被解扰。
应用程序AP_1、AP_2、AP_3由服务性企业15_1、15_2、15_3使用图1所示的个人计算机16_1、16_2、16_3来准备,并被经由SAM模块8下载到外部存储器7。
以下将详细描述应用程序AP_1、AP_2、AP_3。
对于每一个服务性企业而言,SAM内都存在着一个或多个应用程序。
首先将解释图1所示的SAM单元9a(SAM_A)的外部存储器7内存储的应用程序AP。
图6用于解释图1所示SAM单元9a(SAM_A)的外部存储器7内存储的应用程序AP。
如图6所示,应用程序AP具有用于识别应用程序AP的识别数据AP_ID、用于指示应用程序(或其程序包)的版本的数据APP_VER、用于指示应用程序内包括的应用单元数据APE数量的数据APE_NUM、应用程序内包括的一个或多个应用单元数据APE的识别数据APE_ID、标记数据APE_TAG、允许数据PT、选项数据OPT、应用单元数据APE的实体APE_PL。
应当注意的是,图6和7所示的标记数据APE_TAG、允许数据PT、选项数据OPT对应于根据本发明的第一管理数据。
所述识别数据AP_ID被确定为对于每个服务性企业而言都是不同的。
所述标记数据APE_TAG是服务性企业可设置的应用单元数据APE的识别标记,且其被确定为可在应用程序AP中无歧义地指定。
在图6中,如下所述,将对应于应用程序AP内存储的四个识别数据APE_ID中以阴影示出的三个APE_ID的应用单元数据APE实体从SAM单元9b(SAM_B)传送至图1所示的SAM单元9a(SAM_A)。
换言之,所述三个应用单元数据APE的实体并不存在于SAM单元9a的外部存储器7内。
图7A用于解释图6所示的允许数据PT。
如图7A所示,所述允许数据PT具有相互鉴权密钥的数量、相互鉴权的出现、SAM_A的相互鉴权密钥的实例、SAM_A的相互鉴权密钥的应用单元数据APE、SAM_B的相互鉴权密钥的实例、SAM_B的相互鉴权密钥的应用单元数据APE、存取权数据PMSD。
此处,图7A内以阴影示出的相互鉴权的出现、SAM_B的相互鉴权密钥的实例、SAM_B的相互鉴权密钥的应用单元数据APE存在于SAM单元9b内,通过从SAM单元9b传送而得到它们。
图7B用于解释图6所示的选项数据OPT。
如图7B所示,所述选项数据OPT存储SAM_B的SAM_ID、SAM_B内所存储的应用程序的识别数据AP_ID(B)、标志数据PCF。
所述标志数据PCF具有用于指示应用单元数据APE是存在于SMA单元9a内还是存在于SMA单元9a外的第一标志、用于指示应用程序的应用单元数据APE是否将向公众公开的第二标志、用于指示在向外界公开所述APE时是将其暂时使用还是存储(永久使用)的第三标志。
在图7B所示的实例中,所述第一标志指示“外界”,并未设置所述第二和第三标识。
所述允许数据PT或选项数据OPT例如存储用于鉴权能够在应用程序AP内设置设置数据的一方的合法性的数据。基于该数据,SAM模块8a判定是否允许设置设置数据。
此外,在本实施例中定义了应用程序所使用的端口。由应用程序、应用等定义的端口所使用的权利被定义为管理数据。基于所述管理数据,SAM单元9a、9b确定为应用程序定义的端口的使用模式。
以下将描述图1所示的SAM单元9b(SAM_B)的外部存储器7内存储的应用程序AP。
图8用于解释图1所示SAM单元9b(SAM_B)的外部存储器7内存储的应用程序AP。
如图8所示,应用程序AP具有用于识别应用程序AP的识别数据AP_ID、用于指示应用程序(或其程序包)的版本的数据APP_VER、用于指示应用程序内包括的应用单元数据APE数量的数据APE_NUM、形成应用程序的一个或多个应用单元数据APE的识别数据APE_ID、标记数据APE_TAG、允许数据PT、选项数据OPT、应用单元数据APE的实体APE_PL。
应当注意的是,图8和9所示的标记数据APE_TAG、允许数据PT、选项数据OPT对应于根据本发明的第二管理数据。
此外,在图8中,对应于应用程序AP内存储的四个识别数据APE ID中以阴影示出的三个APE_ID的应用单元数据APE实体被从图1所示的SAM单元9a(SAM_A)使用。
应用单元数据APE的所述三个实体存在于SAM单元9b的外部存储器7内。
图9A用于解释图6所示的允许数据PT。
如图9A所示,所述允许数据PT具有相互鉴权密钥的数量、相互鉴权的出现、SAM_B的相互鉴权密钥的实例、SAM_B的相互鉴权密钥的应用单元数据APE、SAM_A的相互鉴权密钥的实例、SAM_A的相互鉴权密钥的应用单元数据APE、存取权数据PMSD。
此处,图9A内以阴影示出的相互鉴权的出现、SAM_A的相互鉴权密钥的实例、SAM_A的相互鉴权密钥的应用单元数据APE是通过来自SAM单元9a的传送而得到的。
存取权数据PMSD指定用于允许从外界为应用程序AP内存储的每个APE存取(使用)应用单元数据APE的模式(读取、记录或执行)。所述指定可能会通过指定预定权利来执行。
图9B用于解释图8所示的选项数据OPT。
如图9B所示,所述选项数据OPT存储SAM_A的SAM_ID、SAM_A内所存储的应用程序的识别数据AP_ID(A)、标志数据PCF。
在图9B的实例中,标志数据PCF内的第一标志指示“内部”,第二标志指示“开放”,而第三标志指示“暂时使用”。
应当注意的是,通过区域设置加密程序包,应用单元数据APE被存储在外部存储器7内。
以下将描述应用单元数据APE的类型(APE_TYPE)。
图10用于解释所述应用单元数据APE的类型。
如图10所示,应用单元数据APE的类型(APE_TYPE)、AP源密钥数据K_APR、卡存取密钥数据(IC区域密钥数据、IC退化密钥数据等)、文件系统配置数据、SAM相互鉴权密钥数据、SAM密钥程序包密钥数据、IC卡操作宏指令脚本程序、存储器分区密钥程序包、存储器分区基本密钥程序包、扩展发行密钥程序包、发行密钥程序包、区域登记密钥程序包、区域删除密钥程序包、业务登记密钥数据、业务删除密钥程序包被存储为应用单元数据APE。
以下将详细描述图10所示的应用单元数据APE的部分类型。
●AP源密钥数据K_APR所述AP资源密钥数据K_APR被用作设置应用单元数据APE时的加密密钥。不同的密钥数据K_APR被分配给每一个AP区域,以设置应用单元数据APE。
●卡存取密钥数据所述的卡存取密钥数据是用于与IC卡3和IC模块42内的存储器50相关的数据读/写操作的密钥数据。
所述的卡存取密钥数据例如包括IC卡系统密钥数据、IC卡区域密钥数据、IC卡业务密钥数据、IC卡退化密钥数据等。
此处,IC卡退化密钥数据是通过使用IC卡系统密钥数据和存储器50的存储区管理密钥数据来加密而生成的密钥数据,并被用于相互鉴权。
此外,甚至是IC卡操作宏指令脚本程序所参考的密钥数据也被包括在与卡存取密钥数据同类的应用单元数据APE内。
●文件系统配置数据至于所述文件系统配置数据,例如存在着值班记录数据、否定数据以及日志数据。
所述值班记录数据例如是应用单元数据APE的使用历史的数据,所述否定数据例如是关于IC卡无效的信息,而所述日志数据例如是SAM处的执行历史。
例如,在文件系统配置中选择文件存取(记录密钥指定、分类、振铃)的类型。在记录密钥的情况下,设置记录大小、记录总数、记录签名版本、记录签名方法类型、记录数据大小以及记录签名密钥。此外,指定在将数据写到所述文件系统时是否确认签名。此处,“记录”是用于与文件数据相关的写/读的最小单元。
●SAM相互鉴权密钥数据这也被用于同一SAM内的APS之间的相互鉴权。
所述SAM相互鉴权密钥数据是用于从相同SAM内的另一AP或是从另一SAM存取对应的应用单元数据APE的密钥数据。
●SAM密钥程序包数据所述SAM密钥程序包数据是在SAM之间相互鉴权之后交换卡存取密钥数据和其它数据时所使用的加密密钥数据。
●IC卡操作宏指令脚本程序所述IC卡操作宏指令脚本程序由服务性企业自身生成,并描述了与IC卡3相关的处理的顺序,且借助ASP服务器装置19来传送。在SAM单元9a内设置所述IC卡操作宏指令脚本程序,然后在SAM模块8内对其进行分析,以生成对应的IC卡实体数据。
●密钥存储器分区程序包所述密钥存储器分区程序包是用于在服务性企业开始使用IC卡3提供业务之前将外部存储器7或IC卡3的存储器的存储区分区的数据。
● 区域登记密钥程序包所述的区登记密钥程序包是用于在服务性企业开始使用IC卡3提供业务之前将区域登记在IC卡3的存储器的存储区内。
● 区域删除密钥程序包(内部生成)所述的区删除密钥数据包是能够在SAM内从卡存取密钥数据中自动生成的程序包。
●业务登记密钥程序包(内部生成)所述业务登记密钥程序包是用于在服务性企业开始使用IC卡3提供业务之前登记外部存储器7的应用单元数据APE的数据。
所述业务登记密钥程序包是能够在SAM内从卡存取密钥数据中自动生成的程序包。
●业务删除密钥程序包(内部生成)所述业务删除密钥程序包被用于删除外部存储器7内所登记的应用单元数据APE。
所述业务删除密钥程序包是能够在SAM内从卡存取密钥数据中自动生成的程序包。
图5所示的外部存储器7的AP管理存储区221存储用于管理上述应用程序AP_1至AP_3的AP管理数据。
对AP管理存储区221的存取由防火墙FW_4限制。
所述SAM模块8通过SCSI或以太网连接至ASP服务器装置19a、19b。所述ASP服务器装置19通过互联网10连接至终端用户的个人计算机5以及包括服务性企业15_1、15_2、15_3的个人计算机16_1、16_2、16_3的多个终端装置。
所述个人计算机5例如通过串行接口或USB接口连接至无智能型卡读/写器4。所述的卡读/写器4例如借助IC卡3(IC模块42)来实现对应于物理电平的无线通信。
对于IC卡3(IC模块42)的操作指令以及来自IC卡3(IC模块42)的响应分组在SAM单元9a、9b一侧生成和解密。因此,卡读/写器4、个人计算机5以及其间插入的ASP服务器装置19仅存储和中继数据有效负载部分内的指令和响应的内容,并不涉及IC卡3内的诸如数据加密和解密、鉴权等的实际操作。
个人计算机16_1、16_2和16_3可通过将下述脚本程序下载至SAM模块8来定制应用程序AP_1、AP_2和AP_3。
图11是图1所示的SAM模块8的功能框图。
如图11所示,所述SAM模块8具有ASPS通信接口60、外部存储器通信接口61、总线扰频器62、随机数发生器63、加密器/解密器64、存储器65和CPU 66。
所述SAM模块8是防篡改的模块。
所述ASPS通信接口60对应于本发明的接口,所述存储器65对应于本发明的存储装置,而所述CPU 66对应于本发明的处理装置。
所述ASPS通信接口60是用于借助图1所示的ASP服务器装置19a、19b输入/输出数据的接口。
外部存储通信接口61是用于借助外部存储器7输入/输出数据的接口。
总线扰频器62在经由外部存储器通信接口61输入和输出数据时扰频输出数据并将输入数据解扰。
随机数发生器63生成用于鉴权的随机数。
加密器/解密器64加密数据并解密加密后的数据。
存储器65存储下述CPU所使用的任务、程序以及数据。
CPU 66执行IC卡进程管理任务(作业管理数据管理任务)或其它任务。
CPU 66基于SAM单元9a、9b内的操作指令执行SAM单元9a、9b内所定义的处理,并且基于IC卡3的IC模块3a和移动通信设备41的IC模块4内的操作指令控制IC模块3a与IC模块42的处理。
SAM单元9a内的CPU 6和SAM单元9b内的CPU 66控制SAM单元9a与9b之间的数据传送(通信)。
以下如图12所示,将描述在SAM单元9a与9b之间传送应用单元数据APE时的通信方法。
如前所述,在通信系统1中,当SAM单元9a与9b链接以提供使用IC卡3和IC模块42的业务时,SAM单元9a与9b在其之间传送应用单元数据。
在这种情况下,SAM单元9a、服务器装置19a、服务器装置19b、SAM单元9b使用SAM单元9a、9b的图11所示的ASPS通信接口60通信。
例如,如图13所示,退化密钥数据(APE)的实体被存储在SAM单元9b的外部存储器7中存储的应用程序AP(B)内。当从SAM单元9a的外部存储器7内存储的应用程序AP(A)参考所述的退化密钥数据时,SAM单元9b成为公开者,而SAM单元9b成为参考者。
此外,退化密钥的应用单元数据APE被从SAM单元9b传送至SAM单元9a。
所述传送基于SAM单元9a和9b的应用程序AP(A)、(B)内的选项数据OPT、标志数据PCF和存取权数据PMSD将SAM单元传送指令从SAM单元9a发射至9b,并将SAM单元传送响应从SAM单元9b发射至9a作为响应。
图14用于解释SAM单元传送指令SAMAPETC。
如图14所示,SAM单元传送指令SAMAPETC具有其自身(指令的传送者)应用程序的识别数据AP_ID、另一方(指令的接收者)的应用程序的识别数据AP_ID、指令接收者的相互鉴权密钥的实例号码、为其请求传送的应用单元数据APE的号码(单元属性的号码)、用于和所述的接收者相互鉴权的管理ID(相互鉴权ID)、应用单元APE的属性列表(单元属性列表)。
此处,所述单元属性列表具有应用单元数据APE的类型和单元属性。
如图15所示,所述单元属性的不同之处在于根据为其请求传送的应用单元数据APE的类型(APE_TYPE)而设置的项目。
例如,如图15所示,当将被传送的应用单元数据APE是区域业务密钥数据时,系统码、区域/业务码和单元版本被设置为单元属性。
图16用于解释SAM单元传送响应SAMPETR。
如图16所示,SAM单元传送响应SAMAPETR包括其自身(响应的传送者)应用程序的识别数据AP_ID、另一方(响应的接收者)应用程序的识别数据AP_ID、所述的接收者(另一方)的相互鉴权密钥的实例号码、将被传送的应用单元数据APE的号码(单元属性的号码)、与响应的接收者相互鉴权的管理ID(相互鉴权管理ID)、标志数据PCF以及单元列表。
此处,所述单元列表具有应用单元数据APE的类型(APE_TYPE)、单元属性大小、单元属性、应用单元数据APE的实体。
如图15所示,所述单元属性的不同之处在于根据将被返回的应用单元数据APE的类型(APE_TYPE)而设置的项目。
例如,如图15所示,当将被返回的应用单元数据是区域/业务密钥数据时,区域密钥数据和业务密钥数据被设置为单元属性。
在SAM单元9a与9b之间的相互鉴权之后,使用以上SAM单元传送指令/响应执行SAM单元9a与9b之间的传送。
图17用于解释SAM单元9a与9b之间的相互鉴权的例行程序。
步骤ST201所述参考者的SAM单元9a内SAM模块8的CPU 66生成鉴权指令AUTH_C1,其存储SAM单元9b的SAM_ID、将被参考的应用程序的AP_ID、将被使用的AP的端口ID、SAM单元9a的相互鉴权密钥的应用单元数据APE的APE_ID、加密方法、SAM单元9a使用SAM单元9b的相互鉴权密钥数据AK_B来加密而生成的随机数RA。CPU 66将鉴权指令AUTH_C1经由服务器装置19a、19b发送至SAM单元9b。
步骤ST202提供APE一侧的SAM单元9a内SAM模块8的CPU 66使用相互鉴权密钥数据AK_B将步骤ST201内接收的鉴权指令AUTH_C1解密,以生成存储通过所述解密而得到的数据的鉴权响应AUTH_R1,以及SAM单元9b使用SAM单元9a的相互鉴权密钥数据AK_A来加密而生成的随机数RA。CPU 66将鉴权响应AUTH_R1经由服务器装置19a、19b发送至SAM单元9a。
步骤ST203SAM单元9a内的SAM模块8的CPU 66使用相互鉴权密钥数据AK_A将步骤ST202内接收的鉴权响应AUTH_R1解密,并判定通过所述解密而得到的随机数RA和步骤ST201内生成的随机数RA是否匹配,如果判定它们是匹配的,则生成存储使用相互鉴权密钥数据AK_B而加密的随机数的鉴权指令AUTH_C2。CPU 66将所述鉴权指令AUTH_C2经由服务器装置19a、19b发送至SAM单元9b。
步骤ST204SAM单元9b内的SAM模块8的CPU 66使用相互鉴权密钥数据AK_B将步骤ST203内接收的鉴权响应AUTH_C2解密,并判定通过所述解密而得到的随机数RB和在步骤ST202内生成的随机数RB是否匹配,在判定它们是匹配的时,存储相互鉴权管理ID,并生成鉴权响应AUTH_R2。CPU 66将所述鉴权响应AUTH R2经由服务器装置19b、19b发送至SBM单元9a。
由此,完成了SAM单元9a、9b之间的相互鉴权。
应当注意的是,当SAM单元9a和9b已完成相互鉴权且会话被建立时,在步骤ST201内的鉴权指令AUTH_C1的传输之后,可能会省略步骤ST202与ST203,并在步骤ST204内发送鉴权响应AUTH_R2。
换言之,如果SAM单元9a、9b在相互鉴权密钥数据的单元内管理相互鉴权且会话被建立,则可以省略相互鉴权进程。此处,在被请求者(图17内的SAM单元9b)内执行关于是否已使用对应的相互鉴权密钥数据为所请求的处理建立了会话的判定。
以下将使用图18解释SAM单元9a和9b之间的退化密钥数据传送的操作实例。
图18用于解释这种操作的实例。
步骤ST221服务器装置19b确认是否已在SAM单元9b内设置(更新)了退化密钥数据。
步骤ST222服务器装置19b向服务器装置19a通知已在SAM单元9b内设置了退化密钥数据。换言之,它向参考者通知已在SAM单元9b准备了将被传送的应用单元数据APE。
步骤ST223服务器装置19a将SAM单元9a的CPU 66的内部状态(模式)改变为使SAM之间的链接得以实现的模式。
步骤ST224服务器装置19a向SAM单元9a请求使用IC卡3(IC模块42)的处理。
步骤ST225SAM单元9a内的CPU 66基于所述请求执行处理。在所述处理期间内,如果需要存在于SAM单元9b内的应用单元数据APE的退化密钥数据,且所述退化密钥并不存在于SAM单元9a内,则CPU66执行图17所描述的与SAM单元9b的相互鉴权以建立会话。
步骤ST226SAM单元9a内的CPU 66将用于传送退化密钥数据(图18所示的SAMAPETC)的请求发送至SAM单元9a。
步骤ST227SAM单元9b内的CPU 66生成图16所示的SAM单元传送响应(SAMAPETR),所述SAM单元传送响应存储根据传送请求指定的退化密钥数据的应用单元数据APE,并将所述应用单元数据APE发送至SAM单元9a。
步骤ST228SAM单元9a内的CPU 66终止步骤ST225内建立的会话,并使用在所接收的SAM单元传送响应内存储的退化密钥数据执行关于IC卡3(IC模块42)的处理。
以下是实现借助SAM单元9a和9b之间的通信生成图10所示的存储器分区密钥程序包并将其分区的操作的实例。
例如,在此实例中,借出IC卡3和IC模块42内的存储器的存储区并执行其它操作的存储器管理者使用SAM单元9b,而存储区提供商使用SAM单元9a。
此处,存储器分区程序包是基于存储器分区基本程序包生成。
所述存储器分区基本程序包由SAM单元在管理器一侧生成,而所述存储分区程序包是在存储区提供商一侧的SAM单元9b内生成的。
因此,当SAM单元9b生成存储器分区程序包时,必需从SAM单元9a中得到存储器分区基本程序包。
图19用于解释生成与传送存储器分区程序包的处理。
步骤ST241存储器管理者的服务器装置19a将生成存储器分区基本程序包的指令发送至SAM单元9a。
响应于所述指令,SAM单元9a生成存储器分区基本程序包。
步骤ST242服务器装置19a向服务器装置19b通知已在SAM单元9a内生成了存储器分区程序包。
步骤ST243服务器装置19b将生成存储器分区程序包数据的指令发到SAM单元9b。
步骤ST244在SAM单元9a和9b执行了图17所描述的相互鉴权之后,SAM单元9b向SAM单元9a发送图14示出的格式的SAM单元传送指令,所述格式指定存储器分区基本分组数据。
步骤ST245根据SAM单元传送指令,SAM单元9a发送图16示出的SAM单元传送响应至SAM单元9b,所述SAM单元传送响应存储步骤ST241处所生成的存储器分区基本程序包。
SAM单元9b使用所接收存储器分区基本程序包生成存储器分区程序包。
步骤ST246SAM单元9b向服务器装置19b通知已生成存储器分区程序包。
步骤ST247服务器装置19b向服务器装置19a通知已生成存储器分区程序包。
步骤ST248服务器装置19a向服务器装置19a发送用于指示IC卡3和IC模块42内存储器的分区的存储器分区指令。
步骤ST249在SAM单元9a和9b执行图17所描述的相互鉴权之后,SAM单元9a将图14示出的格式的SAM单元传送指令发送至SAM单元9b,所述SAM单元传送指令指定存储器分区分组数据。
步骤ST250根据SAM单元传送指令,SAM单元9b发送图16示出的SAM单元传送响应至SAM单元9a,所述SAM单元传送响应存储步骤ST245内生成的存储器分区程序包。
步骤ST251SAM单元9b使用所接收存储器分区程序包,例如通过服务器装置19b和互联网10存取移动通信设备41内存储的IC模块42,将IC模块42内存储器的存储区分区,并使预定服务性企业使用它。
应当注意的是,SAM单元9a和9b可能会通过同时设置发射应用单元数据APE的多个通信路径来通信。
以下将解释设置图8所示的标志数据APE_TAG的方法,所述标志数据用于上述存储器分区程序包(APE)。
在将IC卡与IC模块42内存储器的存储区分为多个区时,预想借助其使用分区的存储区的名称被设置为标记数据APE_TAG。
更明确地说,如图20所示,存在着这样一种情况,即其中IC卡3或IC模块42内IC模块3a的存储器50的存储区(专用)被分为服务性企业B使用的区域(专用B)和另一服务性企业A使用的区域(公用A),然后通过将所述区域(专用B)分区为服务性企业B1使用的区域(专用B1)和服务性企业B2使用的区域(专用B2)来使用所述区域。
在这种情况下,在区域是公用区域时使用标记数据“公用”,在区域是专用区域时使用标记数据“专用B1”和“专用B2”。
在这种情况下,如果上述标记数据APE_TAG和存储器分区程序包的内容是管理SAM单元9a、9b的管理器一侧可以接受的,则可以实现指定标记数据APE_TAG的存储器分区操作。
由于存储器分区程序包的标记数据APE_TAG的命名规则预想多分区,所以使用链接发行程序包类型、存储器分区程序包或其它程序包、存储器分区区域名称、区域码或是业务码的字符串。
以下将列出在图20所示的情况下程序包的单元标记指令的实例“D¥¥PrivateB2”被用作存储器分区区域B2内的存储器分区程序包的标记数据APE TAG,“I¥¥PrivateB1”被用作存储器分区区域B1内的发行程序包的标记数据APE TAG,“S¥¥Public 100C”被用作公用区域内的业务“100C”的标记数据APE_TAG。
以下将描述图1所示的通信系统1的全面操作。
图21和图22用于描述图1所示的通信系统1的全面操作。
步骤ST21服务性企业15_1至15_3或从服务性企业接收请求方准备描述关于事务的处理的脚本程序,所述事务由服务性企业使用IC卡3在图1所示的个人计算机16_1、16_2、16_3上执行。
此外,SAM模块8的管理器准备服务性企业15_1至15_3的对应AP管理数据。
步骤ST22AP管理数据被存储在外部存储器7内。
然后,通过互联网10、ASP服务器装置19a、19b和SAM模块8将在步骤ST21内准备的脚本程序从个人计算机16_1、16_2、16_3下载到SAM单元9a、9b。如图13所示,所述下载的下载处理由SAM模块8内的脚本下载任务管理的。
步骤ST23SAM模块8内的脚本解释任务使用AP管理数据和脚本程序来生成IC卡实体模板数据、输入数据块、输出数据块、值班记录数据块以及服务性企业的操作定义数据块。
这些生成的数据被存储在图11所示的SAM模块8的存储器65内。
步骤ST24IC卡3(IC模块42)被发给用户。
图3所示的IC模块3a与IC模块42的存储器50存储用于和用户与其签订合同的服务性企业的事务的密钥数据。
在发行IC卡3之后,可能会通过互联网10等结束用户与服务性企业之间的合同。
步骤ST25例如,当用户通过使用个人计算机5经由互联网10接入服务器装置2来尝试购买商品时,服务器装置2将处理请求通过互联网10发到ASP服务器装置19a、19b。
在从服务器装置2接收处理请求时,ASP服务器装置19a、19b通过互联网10接入个人计算机5。然后,将来自卡读/写器4的IC卡3的处理请求通过个人计算机5、互联网10和ASP服务器装置19a、19b发送至SAM单元9a、9b内的SAM模块8。
步骤ST26将实体生成请求从ASP服务器装置19a、19b发到SAM模块8。所述实体生成请求存储指示IC卡3的发行者的数据。
步骤ST27SAM模块8在接收实体生成请求时借助IC卡3执行轮询。
步骤ST28SAM模块8内的实体生成任务71在轮询之后判定存在于SAM模块8内的IC卡实体数据量是否小于脚本程序的SC指令所定义的最大数量。如果小于所述最大数量,则任务前进到步骤ST29,否则所述处理结束。
步骤ST29所述实体生成任务基于所述实体生成请求内存储的指示IC卡3发行者的数据来指定使用哪一个服务性企业的IC卡实体模块数据,并使用所指定的IC卡实体模块数据来生成IC卡实体数据。
步骤ST30SAM模块8将在步骤ST29内生成的IC卡实体数据的实体ID输出至ASP服务器装置19a、19b。
步骤ST31SAM模块8内的IC卡进程管理任务搜索IC卡3可使用的业务。
步骤ST32SAM模块8内的IC卡进程管理任务鉴定IC卡3的合法性。
步骤ST33IC卡3鉴定SAM模块8的合法性。
通过步骤ST32和ST32执行IC卡3与SAM模块8之间的相互鉴权。
此时,如上所述,根据SAM模块8内执行的应用单元数据APE参考AP管理数据并得到卡存取密钥,然后使用所得到的密钥在SAM模块8与IC卡3的CPU51之间执行相互鉴权。
步骤ST34SAM模块8的IC卡进程管理任务读和写借助IC卡3的进程所需的数据。
此外,IC卡进程管理任务72使用基于IC卡实体数据而指定的方程式来执行使用从IC卡3读取的数据的预定算法处理。
步骤ST35SAM模块8内的IC卡进程管理任务输出步骤ST34的处理结果至ASP服务器装置19a、19b。
步骤ST36例如,SAM模块8的IC卡进程管理任务72删除IC卡实体数据。
如上所述,根据通信系统1和SAM单元9a、9b,通过SAM之间的通信可以接收诸如处于保密状态的卡存取密钥或卡发行程序包的应用单元数据APE。
此外,由于可以将应用单元数据APE向其它SAM公开的范围定义为SAM之间通信的设置,所以公开一侧的SAM可以定义从应用单元数据APE存取的范围。
此外,根据通信系统1和SAM单元9a、9b,由于对应用单元数据APE的存取特性可被定义为SAM之间通信的设置,公开一侧的SAM可以单独地设置对于应用单元数据APE的写入权、读取权和执行权。
此外,根据通信系统1和SAM单元9a、9b,由于可以将设置公开范围的权利以及应用单元数据APE的存取特性定义为SAM之间通信的设置,所以可以阻止违法执行设置。
此外,根据通信系统1和SAM单元9a、9b,由于应用单元数据APE的公开范围在相互鉴权密钥数据的单元内作为SAM之间通信的设置,所以可以减轻伴随着应用单元数据APE的公开的相互鉴权的负载。
根据通信系统1和SAM单元9a、9b,在SAM之间的相互鉴权中,在同一相互鉴权密钥和相互鉴权区域的情况下可以部分地省略相互鉴权处理,所以可以减少伴随着相互鉴权的通信成本,并减轻SAM内的处理。
根据通信系统1和SAM单元9a、9b,通过将标记数据APE_TAG用于指定将被在SAM之间的通信中传送的应用单元数据APE,服务性企业和存储器管理者可以各种方式管理存储器。
根据通信系统1和SAM单元9a、9b,在SAM之间的通信中,通过扩展用于传送的应用单元数据APE的类型和内容并传送与卡处理相关的值班记录等,可以向对方的SAM通知处理的开始、结束等。
根据通信系统1和SAM单元9a,通过使用多个应用单元数据APE、AP管理表数据和APP表数据形成应用程序AP来定义每个应用单元数据APE的处理内容,可以提供各种使用IC卡3的业务。
此外,根据通信系统1,可以使用AP管理表数据和APP表数据来灵活地实现同一SAM内的应用单元数据APE的使用,以及不同SAM之间的应用单元数据APE的使用,同时保持高度安全性。
根据通信系统1,当在不同SAM之间使用应用单元数据APE时,由于SAM相互鉴权,因而可以增加应用程序的安全性。
图23用于解释本发明的另一实施例。
如图23所示,在IC卡(IC模块)510内存在两个数据区,即由使用IC模块3a或IC模块42提供预定业务的服务性企业A处理的数据A,以及由提供预定业务的服务性企业B处理的数据B。
在读/写器511存取IC卡510时所需的密钥数据A与密钥数据B被分别设置。
服务性企业A具有读/写器511(A),而服务性企业B具有读/写器513(B)。
由服务性企业A保持的读/写器511保持服务性企业A所生成的能够存取IC卡510内数据A的密钥A。由服务性企业B保持的读/写器B保持服务性企业B所生成的能够存取IC卡510内数据B的密钥B。
通过利用控制器512来预先设置所述密钥数据。当控制器512发出指示密钥数据设置的指令时,所述的读/写器511保持所述密钥数据。
在图23中,仅存在一个连接至读/写器511的控制器512,但服务性企业B借助控制器512在读/写器513内预先设置密钥数据。因此,服务性企业A所生成的密钥数据A对于服务性企业B而言是未知的,反过来说,服务性企业B所生成的密钥数据B对于服务性企业A而言是未知的。
所述控制器512经由控制通信路径连接至读/写器511,并将用于存取IC卡510内的数据的指令从控制器5121发射至读/写器511。
所述指令包括IC卡510内存储器的指定区域的读操作、所指定数据到所指定区域的写操作等。在读操作的情况下,将所读取的数据经由通信路径返回至所述控制器。在写操作的情况下,不论所述的写操作是否成功都将其经由通信路径返回至所述控制器。
例如,假设存储数据A与数据B的IC卡510经由通信路径连接至读/写器511。应当注意的是,IC卡通信路径可能是有线的、无线的、光的或其它任何方法,只要其能够交换信息。此处假设所述控制器经由控制通信路径向读/写器511发出读取IC卡510内的数据和将数据A写到数据B的指令。
此时,如上所述,读/写器511具有对IC卡510内的数据A和数据B的存取。由于读/写器511仅保持能够存取数据A的密钥数据A,所以它将捕获能够存取数据B的数据B的请求发至连接单元A。
所述链接单元A经由读/写器通信路径连接至读/写器513内的链接单元B,并将上述捕获请求发射至连接单元B。应当注意的是,与上述IC卡通信路径类似,读/写器通信路径可以是有线的、无线的、光的或其它任何能够交换信息的装置。流经读/写器通信路径的信息由连接单元A和连接单元B所持有的密钥数据C加密,所以无法确定被交换的信息。接收捕获请求的读/写器B内的链接单元B借助密钥数据C来加密能够存取IC卡510内的数据B的密钥数据B,并将其经由读/写器通信路径返回至读/写器511内的链接单元A。借助以上操作,读/写器511可取得存取IC卡510内的数据A所需的密钥数据A以及存取IC卡510内的数据B所需的密钥数据B。
因此,可以读取IC卡510内的数据A并将数据A写入数据B的区域。
读/写器511和513保持各种密钥数据信息,所以无法轻易地对其进行分析。图24示出了读/写器511和513的配置实例。
CPU 532是用于全面控制的中央处理器。存储单元522包括其内存储CPU 532的算法控制例行程序的程序单元541,以及保持CPU 532所得到的算法控制结果等的数据单元542。
加密器534利用从CPU 532给出的密钥数据来加密或解密从CPU 532给出的数据。
CPU 532、存储器单元533和加密器534被经由内部总线531连接起来。由于它们处理大量需要保密的信息,所以它们被安装在同一芯片520上,从而使得外界无法分析其操作。
控制IF 523是用于与图23所示的控制器通信的接口,由此从CPU 532给出的数据被发射至控制器512,从控制器512接收的数据被输入CPU 532。
卡IF 521是用于与IC卡510通信的接口,由此从CPU 532给出的数据被发射至IC卡510,由IC卡510接收的数据被输入CPU532。
链接IF 522是用于与其它读/写器通信的接口,由此从CPU 532给出的数据被发射至其它读/写器,从其它读/写器接收的数据被输入CPU 532。
仅借助密钥数据C来提前设置图23的读/写器511和513,所以甚至无法获悉拥有所述读/写器的服务性企业。
另一方面,所述服务性企业A在使用之前生成能够存取IC卡510内的数据的密钥数据A。CPU 532从控制IF 523读取密钥数据,并借助在存储器单元533的程序单元541内存储的例行程序将所述密钥数据保持在存储器单元533的特定区域内。
此外,还存在着信息管理区,其用于管理哪些读/写器所保持的IC卡510数据当前可以进入存储器单元533的数据单元542。
所述信息管理区可以知道密钥数据,所述信息管理区以图25所示的列表自己保持所述密钥数据。图25所示的密钥数据,即8位十六进制数12345678被作为实例示出。
当其内存储数据A和数据B的IC卡510被经由IC卡IF 521连接,且控制器512经由控制IF 523发送用于将数据B写到数据A的区域的指令时,读/写器511搜索信息管理区。由于存储器单元533内的数据单元542仅包括能够存取数据A的密钥数据A,所以所述数据单元542将捕获密钥数据B的请求经由连接IF 522发送至读/写器513。接收所述请求的读/写器513内的信息管理区保持如图26所示的列表,并存储诸如8位十六进制数56789ABC的密钥数据。
接收所述请求的读/写器在搜索信息管理区时确定其持有存取数据B所需的密钥数据,所以将所述密钥数据经由连接IF 522返回至读/写器511。应当注意的是,所述连接IF 522将不会漏泄密钥数据B,所述密钥数据B由预先所设置的密钥数据C加密,并被从读/写器513返回至读/写器511。
可如下处理在从另一读/写器得到密钥数据之后的读/写器内的所述密钥数据的寿命(1)只要无明确的从控制器512删除的指令,则永久保持(2)以一个时限继续保持直至预定时间消逝(3)必要时从对应的读/写器取得在上述的实例中示出了其中在数据由另一读/写器保持时从所述的另一读/写器得到存取IC卡510内数据所需的密钥数据的情况。但是,所管理的信息不必是密钥数据,可能是各种信息。图27是其中考虑也处理密钥数据之外的数据的情况下的信息管理区实例。
图27示出了两个IC卡存取密钥数据被保持,且可存取区是数据A和数据B。属性栏显示了原始信息在哪里。“自身”指示存在于其自身的装置内。应当了解的是,数据B的IC卡存取密钥数据是从读/写器B中得到的。如上所述,从自身装置之外得到的信息根据所设置寿命的处理不同而在信息管理区内有所不同。
至此,预想了两个读/写器的实例,但可能还会有三个或更多。读/写器之间的通信也可能处于更为宽广的网络环境中。图28用于示出使用以上操作时的配置实例。
至此,链接单元一对一地连接至读/写器,但在图28中,它们被连接至互联网或其它公共网络。此处,如果读/写器611和读/写器613链接起来通信时所需的密钥数据是密钥数据AB,而读/写器611和读/写器614链接起来通信时所需的密钥数据是密钥数据AC,则不仅不可能窃听它们之间的通信,而且可以阻止其中读/写器613在未经允许情况下从读/写器C中得到信息的未经授权存取。
如上所述,根据本发明可以提供一种通信方法、一种数据处理装置以及其程序,从而使得多个数据处理装置(SAM)能够迅速地提供链接在一起的业务。
此外,根据本发明可以提供一种通信方法、一种数据处理装置以及其程序,从而使得存储与不同服务性企业的业务提供相关的数据和程序的数据处理装置(SAM)能够恰当地管理将对其它方保密的数据以及公开给公众的数据。
应用范围本发明可被应用于使用集成电路(IC)提供业务的数据处理装置及其方法、程序。
权利要求
1.一种用于将数据在执行第一应用程序的第一数据处理装置与执行第二应用程序的第二数据处理装置之间传送的数据处理方法,包括步骤当所述第一数据处理装置保持指示所述第一应用程序在形成所述第二应用程序的多个数据模块中所使用的数据模块的第一管理数据,且所述第二数据处理装置保持指示允许用于所述第一应用程序的数据模块的第二管理数据时,所述第一数据处理装置参考所述第一管理数据,并发送指定准备用于所述数据处理装置的所述数据模块的请求,以及所述第二数据处理装置根据所述请求,参考所述第二管理数据,并在判定允许所述第一应用程序使用所述请求指定的所述数据模块时,将所述请求内指定的数据模块发送至所述第一数据处理装置。
2.如权利要求1所要求的通信方法,还包括步骤,当所述第一数据处理装置连接至第一服务器装置,所述第二数据处理装置连接至第二服务器装置,且所述第一数据处理装置与所述第二数据处理装置经由所述第一服务器装置与所述第二服务器装置通信时,所述第一服务器装置将第一请求发送至所述第一数据处理装置,以及所述第一服务器装置根据所述第一请求,参考所述第一管理数据,并将指定准备使用的所述数据模块的第二请求发送所述第二数据处理装置。
3.如权利要求1所要求的通信方法,还包括步骤所述第二服务器装置确认将由所述第一应用程序使用的所述数据模块是否处于可用于所述第二数据处理装置的状态,并将确认的结果通知给所述第一服务器装置,以及所述第一服务器装置根据所述通知将所述第一请求发送至所述第一数据处理装置。
4.如权利要求1所要求的通信方法,还包括步骤使所述第一数据处理装置与所述第二数据处理装置相互鉴权,并在确认另一方的合法性之后,使所述第一处理装置将所述请求发送至所述第二数据处理装置。
5.如权利要求4所要求的通信方法,还包括步骤所述第一数据处理装置保持所述第一管理数据,以使用所述数据模块,所述第一管理数据存储用于与所述第二数据处理装置的相互鉴权的密钥数据,所述第二数据处理装置保持所述第二管理数据,从而使得所述第一应用程序使用所述数据模块,所述第二管理数据存储用于与所述第一数据处理装置的相互鉴权,以及使所述第一数据处理装置与所述第二数据处理装置使用所述第一管理数据与所述第二管理数据内存储的密钥数据来相互鉴权。
6.如权利要求4所要求的通信方法,还包括步骤使所述第一管理数据与所述第二管理数据存储用于指定是否执行所述相互鉴权的相互鉴权指令数据,以及使所述第一数据处理装置与所述第二数据处理装置参考所述相互鉴权指令数据,以确定是否执行所述相互鉴权。
7.如权利要求5所要求的通信方法,还包括步骤使所述第一数据处理装置使用所述密钥数据结束相互鉴权,随后将所述请求发送至所述第二数据处理装置,然后在再次无相互鉴权的情况下,将指定与所述密钥数据链接的另一模块的请求发送至所述第二数据处理装置。
8.如权利要求1所要求的通信方法,还包括步骤所述第二数据处理装置保持所述第二管理数据,所述第二管理数据存储定义将由所述第一应用程序使用的所述数据模块的使用模式的数据,以及使所述第二数据处理装置参考所述第二管理数据,并允许所述第一应用程序在所定义使用模式的范围内使用所述数据模块。
9.如权利要求1所要求的通信方法,还包括步骤所述第二数据处理装置保持所述第二管理数据,所述第二管理数据还定义允许设置所述第二管理数据的一方,以及所述第二数据处理装置仅允许所述第二管理数据内定义的一方设置所述第二管理数据。
10.如权利要求1所要求的通信方法,还包括步骤所述第一数据处理装置保持所述第一管理数据,所述第一管理数据包括指示形成所述第一应用程序的数据模块的内容或应用的标记数据,以及所述第二数据处理装置保持所述第二管理数据,所述第二管理数据包括指示形成所述第二应用程序的数据模块的内容或应用的标记数据。
11.如权利要求1所要求的通信方法,还包括步骤所述第一数据处理装置保持所述第一管理数据,所述第一管理数据包括用于响应于权利或应用而管理所述第一应用程序内所定义端口的使用的数据,所述第二数据处理装置保持所述第二管理数据,所述第二管理数据包括用于响应于权利或应用而管理所述第二应用程序内所定义端口的使用的数据,所述第一数据处理装置管理所述第一应用程序内所定义的端口的使用,以响应权利或应用,以及所述第二数据处理装置管理所述第二应用程序内所定义的端口的使用,以响应权利或应用。
12.如权利要求1所要求的通信方法,还包括步骤所述第一数据处理装置将指定准备使用的所述数据模块的类型的请求发送至所述第二数据处理装置,以及所述第二数据处理装置将对应于所述数据模块的指定类型的数据模块发送至所述第一数据处理装置。
13.如权利要求1所要求的通信方法,还包括步骤所述第二数据处理装置将与所述请求相关的数据模块、指示是否允许所述第一数据处理装置暂时使用或存储以及使用所述数据模块的数据一起发送至所述第一数据处理装置,以及所述第一数据处理装置基于所述数据暂时使用或存储以及使用从所述第二数据处理装置接收的数据模块。
14.如权利要求1所要求的通信方法,还包括步骤使所述第一数据处理装置和所述第二数据处理装置经由所述服务器装置与集成电路通信,以提供预定业务,以及使所述数据模块指示用于操作所述集成电路的存储区的数据或例行程序。
15.如权利要求1所要求的通信方法,还包括步骤使所述第一数据处理装置和所述第二数据处理装置同时设置多个通信路径以传送所述数据模块。
16.一种用于借助执行第一应用程序的其它数据处理装置来传送数据并执行第二应用程序的数据处理装置,包括用于借助所述的其它数据处理装置传送数据的接口,用于存储形成所述第二应用程序的多个数据模块,以及指示被允许用于所述第一应用程序的数据模块的管理数据的存储装置,以及处理装置,其用于根据来自所述的其它数据处理装置的请求来参考所述管理数据,并在判定允许所述第一应用程序使用与所述请求相关的数据模块时,从所述存储装置读取与所述请求相关的数据模块,并将其发送至所述的其它数据处理装置。
17.如权利要求16所要求的数据处理装置,其中所述处理装置执行与所述的其它数据处理装置的相互鉴权,并在它们确认彼此的合法性之后,从所述的其它数据处理装置接收请求,且将与所述请求相关的数据模块发送至所述的其它数据处理装置。
18.如权利要求16所要求的数据处理装置,其中所述存储装置存储所述管理数据,其中所述管理数据存储定义所述第一应用程序使用所述数据模块的模式的数据,以及所述处理装置参考所述管理数据,并允许所述第一应用程序在所定义使用模式的范围内使用所述数据模块。
19.如权利要求16所要求的数据处理装置,其中所述处理装置与集成电路通信,以提供预定业务,以及所述存储装置存储所述数据模块,其中所述数据模块指示用于操作所述集成电路内的存储区的数据或例行程序。
20.一种将由数据处理装置执行的程序,所述数据处理装置用于借助执行第一应用程序的其它数据处理装置来传送数据并执行第二应用程序,该程序包括从所述的其它数据处理装置接收使用数据模块的请求的例行程序,根据所述请求参考指示允许所述第一应用程序使用的数据模块的管理数据,并判定是否允许所述第一应用程序使用与所述请求相关的数据模块的例行程序,以及在判定与所述请求相关的数据模块是可允许的时将其发送至所述的其它数据处理装置的例行程序。
全文摘要
当在SAM单元9a与9b之间传送形成应用程序的单元APE时,准备指定单元的识别数据、相互鉴权的出现、参考(使用)模式以及每个单元的相互鉴权密钥的管理数据,且在SAM单元A与9b之间基于所述管理数据传送所述单元。
文档编号B42D15/10GK1481532SQ02803325
公开日2004年3月10日 申请日期2002年10月30日 优先权日2001年10月31日
发明者末吉正弘, 久保野文夫, 文夫, 馆野启 申请人:索尼株式会社
最新回复(0)