專利名稱:數(shù)據(jù)處理裝置����、數(shù)據(jù)處理方法和程序的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種數(shù)據(jù)處理裝置和數(shù)據(jù)處理方法,其被用于使用集成電路(IC)來提供服務(wù)�����,并且涉及一種用于執(zhí)行該數(shù)據(jù)處理方法的程序�。
背景技術(shù):
現(xiàn)在,已經(jīng)開發(fā)出用于使用IC卡通過例如互聯(lián)網(wǎng)這樣的網(wǎng)絡(luò)執(zhí)行交易的通信系統(tǒng)�。
在這種通信系統(tǒng)中,在由使用IC卡提供服務(wù)的服務(wù)提供企業(yè)發(fā)出請求時����,服務(wù)器執(zhí)行一個應(yīng)用程序�����,以執(zhí)行由該服務(wù)提供企業(yè)所規(guī)定的程序處理。
根據(jù)一般從IC卡讀取器/寫入器或者PC(個人計(jì)算機(jī))接收的處理請求����,該服務(wù)器通過執(zhí)行該應(yīng)用程序執(zhí)行例如用戶的認(rèn)證以及數(shù)據(jù)的加密和解密這樣的處理。
存在對高保密性數(shù)據(jù)的保護(hù)的需求�,該數(shù)據(jù)例如是由服務(wù)提供企業(yè)所設(shè)置的密鑰、帳戶數(shù)據(jù)和防止非法竄改的非法監(jiān)控的歷史記錄數(shù)據(jù)����。這是因?yàn)橛煞?wù)器所執(zhí)行的應(yīng)用程序處理該高度保密的數(shù)據(jù)。
另外��,隨時更新包括應(yīng)用程序的一些數(shù)據(jù)的版本�����。因此在由服務(wù)器執(zhí)行某種操作以啟動一種服務(wù)之后��,需要提供一種用于在具有已更新和未更新版本的混合數(shù)據(jù)狀態(tài)執(zhí)行操作功能�����。
另外,從確保安全的觀點(diǎn)來看���,還需要控制用戶執(zhí)行用于服務(wù)器的應(yīng)用程序的設(shè)置操作���。
發(fā)明內(nèi)容
因此,本發(fā)明的一個目的解決在上述現(xiàn)有技術(shù)中所遇到的問題���,提供能夠增加為了使用集成電路(IC)提供服務(wù)而由服務(wù)器所執(zhí)行的應(yīng)用程序的安全性的一種數(shù)據(jù)處理裝置����、由該數(shù)據(jù)處理裝置所采用的數(shù)據(jù)處理方法和執(zhí)行該數(shù)據(jù)處理方法的程序����。
本發(fā)明的另一個目的是提供一種能夠在具有多個版本的混合數(shù)據(jù)的狀態(tài)下執(zhí)行操作的數(shù)據(jù)處理裝置、由該數(shù)據(jù)處理裝置所采用的數(shù)據(jù)處理方法以及執(zhí)行該數(shù)據(jù)處理方法的程序�。
本發(fā)明的另一個目的是提供一種為了保密的目的能夠適當(dāng)?shù)乜刂茖Ψ?wù)器的應(yīng)用程序執(zhí)行設(shè)置操作的用戶的數(shù)據(jù)處理裝置、由該數(shù)據(jù)處理裝置所采用的數(shù)據(jù)處理方法以及執(zhí)行該數(shù)據(jù)處理方法的程序�����。
在執(zhí)行本發(fā)明中�����,根據(jù)其第一方面,在此提供一種數(shù)據(jù)處理裝置�����,其用于執(zhí)行包括多個第一數(shù)據(jù)的應(yīng)用程序��、與預(yù)定的集成電路交換數(shù)據(jù)����、以及與集成電路協(xié)作提供預(yù)定的服務(wù)�,其中該數(shù)據(jù)處理裝置包括存儲電路,當(dāng)該第一數(shù)據(jù)具有多個版本時���,用于存儲分別與其中一個版本相關(guān)的多個第二數(shù)據(jù)���;用于管理第一數(shù)據(jù)和第二數(shù)據(jù)之間的關(guān)系的版本管理數(shù)據(jù);以及用于管理第一數(shù)據(jù)和與第一數(shù)據(jù)相關(guān)的版本管理數(shù)據(jù)之間的關(guān)系的管理數(shù)據(jù)��;以及處理電路��,用于當(dāng)對第一數(shù)據(jù)執(zhí)行處理時����,執(zhí)行如下處理參照該管理數(shù)據(jù)來識別版本管理數(shù)據(jù)����;確定與由所述數(shù)據(jù)處理裝置的內(nèi)部或外部所指定的一個版本相關(guān)的特定第二數(shù)據(jù)���;以及在該處理中使用該特定的第二數(shù)據(jù)����。
最好����,在該數(shù)據(jù)處理裝置中,該處理電路確定與由包含在版本管理數(shù)據(jù)中的版本指定數(shù)據(jù)所指定的一個版本相關(guān)的一個第二數(shù)據(jù)����,并且通過使用所確定的第二數(shù)據(jù)來執(zhí)行處理。
最好����,在該數(shù)據(jù)處理裝置中,該處理電路確定與從該數(shù)據(jù)處理裝置內(nèi)部或外部指定的數(shù)值以及從由版本指定數(shù)據(jù)所指定的數(shù)值獲得的一個版本號相關(guān)的一個第二數(shù)據(jù)��,并且使用該第二數(shù)據(jù)執(zhí)行處理�����。
最好,在一種數(shù)據(jù)處理裝置中該版本管理數(shù)據(jù)具有一個版本標(biāo)識數(shù)據(jù)以及與處于記錄格式中的所述版本標(biāo)識數(shù)據(jù)相關(guān)的所述第二數(shù)據(jù)���;以及該處理電路通過參照該管理數(shù)據(jù)而識別該版本管理數(shù)據(jù)��,通過使用所指定的版本標(biāo)識數(shù)據(jù)作為密鑰在該版本管理數(shù)據(jù)中搜索與所指定的版本標(biāo)識數(shù)據(jù)相關(guān)的第二數(shù)據(jù)��,并且通過使用第二數(shù)據(jù)執(zhí)行該處理。
最好����,在一種數(shù)據(jù)處理裝置中該版本管理數(shù)據(jù)包括把所述版本標(biāo)識和與該版本相關(guān)的一個第二數(shù)據(jù)的標(biāo)識相關(guān)聯(lián)的表格以及該數(shù)據(jù)處理電路通過參照該管理數(shù)據(jù)而識別該版本管理數(shù)據(jù),通過使用指定的版本的標(biāo)識作為密鑰在該版本管理數(shù)據(jù)的表格中搜索與所指定的版本相關(guān)的第二數(shù)據(jù)的標(biāo)識�����,并且通過使用第二數(shù)據(jù)的標(biāo)識作為基礎(chǔ)執(zhí)行處理�,以獲得第二數(shù)據(jù)。
根據(jù)本發(fā)明的第二方面�,在此提供一種由數(shù)據(jù)處理裝置所采用的數(shù)據(jù)處理方法,用于與預(yù)定的集成電路交換數(shù)據(jù)�,以通過執(zhí)行包括多個第一數(shù)據(jù)的應(yīng)用程序而與該集成電路合作提供預(yù)定服務(wù),其中該數(shù)據(jù)處理方法包括如下步驟當(dāng)該第一數(shù)據(jù)具有多個版本時���,準(zhǔn)備分別與其中一個版本相關(guān)的多個第二數(shù)據(jù)����;用于管理第一數(shù)據(jù)和第二數(shù)據(jù)之間的關(guān)系的版本管理數(shù)據(jù);以及用于管理第一數(shù)據(jù)和與第一數(shù)據(jù)相關(guān)的版本管理數(shù)據(jù)之間的關(guān)系的管理數(shù)據(jù)���;當(dāng)對第一數(shù)據(jù)執(zhí)行處理時����,該數(shù)據(jù)處理裝置參照該管理數(shù)據(jù)來識別版本管理數(shù)據(jù)�;使該數(shù)據(jù)處理裝置使用所識別的版本管理數(shù)據(jù)來確定與由所述數(shù)據(jù)處理裝置的內(nèi)部或外部所指定的一個版本相關(guān)的特定的一個第二數(shù)據(jù);以及使該數(shù)據(jù)處理裝置使用該特定的第二數(shù)據(jù)�����。
根據(jù)本發(fā)明第三方面���,在此提供一種由數(shù)據(jù)處理裝置所采用的程序��,用于與預(yù)定的集成電路交換數(shù)據(jù)����,以通過執(zhí)行包括多個第一數(shù)據(jù)的應(yīng)用程序而與該集成電路合作提供預(yù)定服務(wù)�,其中該程序包括如下步驟當(dāng)該第一數(shù)據(jù)具有多個版本時,準(zhǔn)備分別與其中一個版本相關(guān)的多個第二數(shù)據(jù)�;用于管理第一數(shù)據(jù)和第二數(shù)據(jù)之間的關(guān)系的版本管理數(shù)據(jù)����;以及用于管理第一數(shù)據(jù)和與第一數(shù)據(jù)相關(guān)的版本管理數(shù)據(jù)之間的關(guān)系的管理數(shù)據(jù)���;當(dāng)對第一數(shù)據(jù)執(zhí)行處理時���,該數(shù)據(jù)處理裝置參照該管理數(shù)據(jù)來識別版本管理數(shù)據(jù);使該數(shù)據(jù)處理裝置使用所識別的版本管理數(shù)據(jù)來確定與由所述數(shù)據(jù)處理裝置的內(nèi)部或外部所指定的一個版本相關(guān)的特定的一個第二數(shù)據(jù)�����;以及使該數(shù)據(jù)處理裝置在處理中使用該特定的第二數(shù)據(jù)�����。
根據(jù)本發(fā)明第四方面���,在此提供一種數(shù)據(jù)處理裝置,用于通過使用多個第二數(shù)據(jù)來執(zhí)行與集成電路之間的通信����,每個第二數(shù)據(jù)包括多個第一數(shù)據(jù),該數(shù)據(jù)處理裝置包括存儲電路�,包括存儲要由與第二數(shù)據(jù)相關(guān)的第一用戶所訪問的第二數(shù)據(jù)的多個第一存儲區(qū)域�、用于存儲由多個第一用戶所共享的第二數(shù)據(jù)的第二存儲區(qū)域�、以及用于存儲僅僅可由被授權(quán)用戶所訪問的第二數(shù)據(jù)的第三存儲區(qū)域;以及處理電路�����,用于根據(jù)規(guī)定許可/不許可對存儲電路的第一����、第二和第三存儲區(qū)域進(jìn)行層級訪問的訪問管理數(shù)據(jù),確定是否允許通過使用一個第一數(shù)據(jù)的標(biāo)識和一個第二數(shù)據(jù)的標(biāo)識而訪問該存儲電路的第一�����、第二和第三存儲區(qū)域�。
根據(jù)本發(fā)明的第五方面,在此提供一種在數(shù)據(jù)處理裝置中采用的數(shù)據(jù)處理方法��,用于通過使用多個第二數(shù)據(jù)來執(zhí)行與集成電路之間的通信�����,每個第二數(shù)據(jù)包括多個第一數(shù)據(jù)�,該數(shù)據(jù)處理方法包括如下步驟準(zhǔn)備一個存儲電路,其包括存儲要由與第二數(shù)據(jù)相關(guān)的第一用戶所訪問的第二數(shù)據(jù)的多個第一存儲區(qū)域、用于存儲由多個第一用戶所共享的第二數(shù)據(jù)的第二存儲區(qū)域�、以及用于存儲僅僅可由被授權(quán)用戶所訪問的第二數(shù)據(jù)的第三存儲區(qū)域;以及根據(jù)規(guī)定許可/不許可對存儲電路的第一�、第二和第三存儲區(qū)域進(jìn)行層級訪問的訪問管理數(shù)據(jù),確定是否允許通過使用一個第一數(shù)據(jù)的標(biāo)識和一個第二數(shù)據(jù)的標(biāo)識而允許/不允許訪問該存儲電路��。
根據(jù)本發(fā)明第六方面����,在此提供一種在數(shù)據(jù)處理裝置中采用的程序,用于通過使用多個第二數(shù)據(jù)來執(zhí)行與集成電路之間的通信��,每個第二數(shù)據(jù)包括多個第一數(shù)據(jù)���,其中該程序包括如下步驟準(zhǔn)備一個存儲電路���,其包括存儲要由與第二數(shù)據(jù)相關(guān)的第一用戶所訪問的第二數(shù)據(jù)的多個第一存儲區(qū)域��、用于存儲由多個第一用戶所共享的第二數(shù)據(jù)的第二存儲區(qū)域���、以及用于存儲僅僅可由被授權(quán)用戶所訪問的第二數(shù)據(jù)的第三存儲區(qū)域�����;以及根據(jù)規(guī)定許可/不許可對存儲電路的第一�����、第二和第三存儲區(qū)域進(jìn)行層級訪問的訪問管理數(shù)據(jù)����,確定是否允許通過使用一個第一數(shù)據(jù)的標(biāo)識和一個第二數(shù)據(jù)的標(biāo)識而允許/不允許訪問該存儲電路。
從下文結(jié)合附圖的描述和所附權(quán)利要求中����,本發(fā)明的上述和其它目的、特點(diǎn)和優(yōu)點(diǎn)將變得更加清楚���,其中相同的部件或元件(element)由相同的參考標(biāo)號所表示�。
附圖簡述
圖1為示出由本發(fā)明的一個實(shí)施例所實(shí)現(xiàn)的通信系統(tǒng)的整體結(jié)構(gòu)的示意圖����;圖2為示出用于圖1中所示的通信系統(tǒng)中的IC卡的功能框圖;
圖3為示出用于圖2中所示的IC卡中的存儲器的示意圖����;圖4為示出用于圖1中所示的通信系統(tǒng)中的SAM的軟件結(jié)構(gòu)的示意圖;圖5為示出用于圖1中所示的通信系統(tǒng)中的外部存儲器的存儲區(qū)域的示意圖�;圖6為示出存儲在圖5中所示的外部存儲器中的應(yīng)用程序AP的示意圖�;圖7為示出圖6中所示的應(yīng)用程序AP的應(yīng)用程序元件APE的類型的表格���;圖8為示出圖7中所示的應(yīng)用程序元件APE的類型的版本的示意圖���;圖9為示出在用于圖1中所示的通信系統(tǒng)中的SAM中的應(yīng)用程序的版本的第一典型管理的示意圖;圖10為示出在圖1中所示的通信系統(tǒng)中所用的SAM的應(yīng)用程序的版本的第二典型管理的示意圖�;圖11為示出在圖9中所示的版本的第一典型管理的應(yīng)用的示意圖;圖12為示出日志數(shù)據(jù)的版本管理的示意圖����;圖13為示出在IC卡操作宏命令腳本程序中所用的一個命令的示意圖;圖14為示出在圖5中所示的AP管理存儲區(qū)域中存儲的詳細(xì)數(shù)據(jù)的示意圖����;圖15為示出存儲在AP管理存儲區(qū)域中作為圖14中所示的數(shù)據(jù)的一部分的AP管理表的示意圖;圖16為示出一個標(biāo)識SAM_ID的示意圖����;圖17為示出作為圖14中所示的數(shù)據(jù)的一部分而存儲的APP表格的示意圖;圖18為示出存儲在AP管理存儲區(qū)域中作為圖14中所示的數(shù)據(jù)的一部分的內(nèi)部資源分配管理表的示意圖����;圖19為示出可以由不同用戶在外部存儲器的存儲區(qū)域中設(shè)置的典型項(xiàng)目的示意圖��;圖20為示出表示使用圖18所示的內(nèi)部資源分配管理數(shù)據(jù)的用戶管理的流程圖;圖21為示出圖1中所示的通信系統(tǒng)中所用的SAM的功能框圖��;圖22為示出存儲在用于圖21中所示的SAM中所用的存儲器內(nèi)的任務(wù)�����、程序和數(shù)據(jù)的示意圖����;圖23為示出IC卡實(shí)體的格式的示意圖;圖24為示出包含在圖23中所示的格式中的實(shí)體狀態(tài)的狀態(tài)轉(zhuǎn)移的示意圖����;圖25示出由IC卡程序管理任務(wù)所執(zhí)行的處理的流程圖;圖26示出用于說明由SAM根據(jù)由應(yīng)用程序元件APE所規(guī)定的程序而執(zhí)行的處理以訪問數(shù)據(jù)����,或者由SAM根據(jù)在執(zhí)行圖25中所示的流程圖的工作的程序執(zhí)行由其它應(yīng)用程序元件APE規(guī)定的處理的流程圖;圖27示出用于說明由SAM根據(jù)由應(yīng)用程序元件APE所規(guī)定的程序而執(zhí)行的處理以訪問數(shù)據(jù)���,或者由SAM根據(jù)在執(zhí)行圖25中所示的流程圖的工作的程序執(zhí)行由其它應(yīng)用程序元件APE規(guī)定的處理的流程圖���;圖28示出用于說明圖1中所示的通信系統(tǒng)的整體操作的流程圖;圖29示出用于說明圖1中所示的通信系統(tǒng)的整體操作的上述流程圖的繼續(xù)����;圖30為示出在圖1中所示的實(shí)施例中執(zhí)行的版本管理的概況的示意圖����;圖31為示出由圖1中所示的實(shí)施例所執(zhí)行的簽名處理的概況的示意圖�����;圖32為示出在圖1中所示的實(shí)施例中在裝置之間執(zhí)行的簽名處理的概況的示意圖��;以及圖33為示出在圖1中所示的實(shí)施例中在裝置之間執(zhí)行的簽名處理的概況的示意圖��。
具體實(shí)施例方式
下文通過參照附圖描述本發(fā)明的一些優(yōu)選實(shí)施例���。
圖1為示出由本發(fā)明的實(shí)施例所執(zhí)行的通信系統(tǒng)1的整體結(jié)構(gòu)的示意圖�����。
如圖1中所示�����,圖1系統(tǒng)1通過使用安裝在商店等等中的服務(wù)器2����、IC卡3�、卡讀取器/寫入器4、個人計(jì)算機(jī)5����、ASP(應(yīng)用服務(wù)提供者)服務(wù)器19、SAM(安全應(yīng)用模塊)單元9和包括內(nèi)嵌的IC模塊42中的便攜式通信裝置41(由本發(fā)明所提供的數(shù)據(jù)處理裝置)經(jīng)過互聯(lián)網(wǎng)10執(zhí)行通信����,以使用IC卡3或便攜式通信裝置41執(zhí)行例如結(jié)算處理這樣的程序處理。
SAM單元9(由本發(fā)明所提供的數(shù)據(jù)處理裝置)包括外部存儲器7(由本發(fā)明所提供的存儲電路)和SAM8(由本發(fā)明所提供的數(shù)據(jù)處理裝置)���。
如果需要的話��,SAM8與未在該圖中示出的其它SAM交換數(shù)據(jù)�。
圖1中所示結(jié)構(gòu)的元件在下文中描述��。
圖2為示出IC卡3的功能框圖�。
如圖2中所示,IC卡3具有一個包含存儲器50和CPU51的IC(集成電路)模塊3a���。
如圖3中所示��,存儲器50包括由例如信用卡公司這樣的服務(wù)提供企業(yè)15_1所使用的存儲區(qū)域55_1�、由服務(wù)提供企業(yè)15_2所使用的存儲區(qū)域55_2以及由服務(wù)提供企業(yè)15_3所使用的存儲區(qū)域55_3。
另外�����,存儲器50用于存儲確定對存儲區(qū)域55_1的訪問權(quán)的按鍵�����、用于確定對存儲區(qū)域55_2的訪問權(quán)的按鍵以及用于確定對存儲區(qū)域55_3的訪問權(quán)的按鍵�����。該按鍵還用于相互認(rèn)證�、數(shù)據(jù)加密和數(shù)據(jù)解密的目的。
另外��,存儲卡50還用于存儲IC卡3的ID或者IC卡3的用戶的ID����。
便攜式通信裝置是41具有用于執(zhí)行與ASP服務(wù)器19的通信的通信功能單元以及如上文所述的用于與未在圖中示出的通信功能單元交換數(shù)據(jù)的IC模塊42。便攜式通信裝置41還通過天線和互聯(lián)網(wǎng)10與SAM單元9進(jìn)行通信�����。
IC模塊42具有與用于上文所述的IC卡3中的IC模塊3a相同的功能,只是該IC模塊42還與用于該便攜式通信裝置41中的通信功能單元交換數(shù)據(jù)�。
請注意,由于按照與使用IC卡3所執(zhí)行的處理相同的方式而通過使用便攜式通信裝置41執(zhí)行處理�,并且通過使用IC模塊42所執(zhí)行的處理與通過使用IC模塊3a執(zhí)行的處理的方式相同,因此在下文中僅僅說明通過使用IC卡3所執(zhí)行的處理和通過使用IC模塊3a所執(zhí)行的處理���。
SAM單元9在下文中詳細(xì)描述。
如上文中所述�,SAM單元9包括外部存儲器7(由本發(fā)明所提供的存儲電路)和SAM8(由本發(fā)明所提供的數(shù)據(jù)處理裝置)。
SAM8可以作為半導(dǎo)體電路或者由包含在一個盒子中的多個電路所構(gòu)成的設(shè)備而實(shí)現(xiàn)�����。
SAM8具有類似于圖4中所示的軟件結(jié)構(gòu)�。
如圖4中所示,SAM8包括硬件(HW)層�、驅(qū)動(OS層)、低級處理層�、高級處理層和應(yīng)用(AP)層,它們在圖中的向上方向上疊加�。OS層包括用于外圍硬件的RTOS內(nèi)核。低級處理層在邏輯定義的單元中執(zhí)行處理�。高級處理層包括對于應(yīng)用程序特定的庫。
AP層包括應(yīng)用程序AP_1�����、AP_2和AP_3(由本發(fā)明所提供的應(yīng)用程序)對例如圖1中所示的信用卡公司這樣的各個服務(wù)提供企業(yè)15_1、15_2和15_3規(guī)定使用IC卡3的程序���。應(yīng)用程序AP_1�、AP_2和AP_3從外部存儲器7裝載���,用于執(zhí)行�。
在每個應(yīng)用程序AP_1���、AP_2和AP_3中����,可以設(shè)置一個或多個宏腳本���。
在AP層����,一個防火墻FW被提供在任何兩個應(yīng)用程序AP_1��、AP_2和AP_3之間以及在應(yīng)用程序AP_1�、AP_2和AP_3與上級處理層之間。
圖5為示出外部存儲器7的存儲區(qū)域的示意圖。
如圖5中所示��,外部存儲器7的存儲區(qū)域是用于存儲服務(wù)提供企業(yè)15-1的應(yīng)用程序AP_1的AP存儲區(qū)域220_1�、用于存儲服務(wù)提供企業(yè)15-2的應(yīng)用程序AP_2的AP存儲區(qū)域220_2、用于存儲服務(wù)提供企業(yè)15-3的應(yīng)用程序AP_3的AP存儲區(qū)域220_3以及由負(fù)責(zé)SAM8的管理的人所使用的AP管理存儲區(qū)域221�����。
存儲在AP存儲區(qū)域220_1中的應(yīng)用程序AP_1(根據(jù)本發(fā)明第一至第三方面的應(yīng)用程序或者根據(jù)本發(fā)明第四至第六方面的第二數(shù)據(jù))包括要在下文中描述的多個應(yīng)用程序元件APE(根據(jù)本發(fā)明第一至第六方面的第一數(shù)據(jù))����。對AP存儲區(qū)域220_1的訪問受到防火墻FW_1的限制�。
同理,存儲在AP存儲區(qū)域220_2中的應(yīng)用程序AP_2包括要在下文中描述的多個應(yīng)用程序元件APE�����。對AP存儲區(qū)域220_2的訪問受到防火墻FW_2的限制���。
類似地��,存儲在AP存儲區(qū)域220_3中的應(yīng)用程序AP_3包括要在下文中描述的多個應(yīng)用程序元件APE��。對AP存儲區(qū)域220_3的訪問受到防火墻FW_3的限制��。
在本實(shí)施例中����,應(yīng)用程序元件APE是一般從SAM單元9外部的來源下載到外部存儲器7的最小單位。應(yīng)用程序元件APE的數(shù)目由與應(yīng)用程序相關(guān)的服務(wù)提供企業(yè)任意確定���。
另外�����,存儲在外部存儲器中的應(yīng)用程序AP_1����、AP_2和AP_3已經(jīng)被加密���、從而當(dāng)應(yīng)用程序AP_1���、AP_2和AP_3被傳送到SAM8時它們必須被解密。
另外�,應(yīng)用程序AP_1、AP_2和AP_3由服務(wù)提供企業(yè)15_1���、15_2和15_3分別使用圖1中所示的個人計(jì)算機(jī)16_1��、16_2和16_3所開發(fā)����。然后,應(yīng)用程序AP_1���、AP_2和AP_3被通過SAM8下載到外部存儲器7����。
應(yīng)用程序AP_1�����、AP_2和AP_3被詳細(xì)描述如下�。
一個應(yīng)用程序或者多個應(yīng)用程序存在于每個服務(wù)提供企業(yè)的SAM單元中��。
如圖6中所示��,應(yīng)用程序AP_1���、AP_2和AP_3(下文中簡稱為AP)包括標(biāo)識AP_ID�����、版本APP_VER����、APE計(jì)數(shù)APE_NUM和一個應(yīng)用程序元件APE或多個應(yīng)用程序元件APE。AP_ID識別該應(yīng)用程序AP���。APP_VER為應(yīng)用程序AP的版本����,這是關(guān)于應(yīng)用程序AP的產(chǎn)生的信息��。APE_NUM是在應(yīng)用程序AP中的應(yīng)用程序元件APE的數(shù)目��。
標(biāo)識AP_ID在服務(wù)提供企業(yè)之間變化���。
如釁6中所示����,應(yīng)用程序元件APE包括數(shù)據(jù)大小APE_SIZE�、標(biāo)識APE_ID、版本APE_VER�、標(biāo)簽APE_TAG、表格標(biāo)識APPT�����、選項(xiàng)OPT和主數(shù)據(jù)APE_PL。APE_SIZE是應(yīng)用程序元件APE的大小�����。APE_ID標(biāo)識該應(yīng)用程序元件APE�����。APE_VER是應(yīng)用程序元件APE的版本���。APE_TAG是應(yīng)用程序元件APE的標(biāo)識(或標(biāo)簽)����。APE_TAG可以由服務(wù)提供企業(yè)所設(shè)置���。APPT用于標(biāo)識一個APP表。OPT用于指定一個選項(xiàng)�����。APE_PL是應(yīng)用程序元件APE的實(shí)際數(shù)據(jù)����。
標(biāo)識APE_ID包括一個類型APE_TYPE和一個數(shù)字INS_NUM�。APE_TYPE是應(yīng)用程序元件APE的類型�。INS_NUM是作為應(yīng)用程序元件APE的標(biāo)識號的一個實(shí)例標(biāo)識號。INS_NUM由終端用戶或者服務(wù)提供企業(yè)所管理����。
假設(shè)應(yīng)用程序元件APE是一個文件系統(tǒng)結(jié)構(gòu)。在這種情況中����,APE_TYPE為2并且INS_NUM為1。通過使用APE_ID是每個應(yīng)用程序元件APE可以在包含于相同SAM單元中的應(yīng)用程序元件APE中唯一地識別����。
APE_VER可以由服務(wù)提供企業(yè)任意地設(shè)置。
另外���,需要在每個應(yīng)用程序AP中唯一地確定APE_TAG����。
在通過設(shè)置命令在圖5中所示的外部存儲器存儲作為應(yīng)用程序封閉APP之前�,應(yīng)用程序AP(即,AP_1�、AP_2和AP_3)被通過使用AP資源密鑰K_APR作為加密密鑰加密在SAM單元9外部的一個設(shè)備中�����。
AP資源密鑰K_APR在應(yīng)用程序之間變化�。
下文描述說明作為參照圖6而說明的應(yīng)用程序元件APE的類型��。
圖7為示出存儲在AP區(qū)域中的應(yīng)用程序元件APE的典型APE_TYPE的表格�����。更加具體來說����,圖7為示出APE_TYPE的類型名以及它們的描述的表格。
如圖7中所示���,AP區(qū)域用于存儲例如AP資源密鑰K_APR��、卡訪問密鑰����、文件系統(tǒng)配置數(shù)據(jù)����、SAM相互認(rèn)證密鑰、SAM密鑰之間的數(shù)據(jù)包密鑰�、IC卡操作宏命令腳本程序(本發(fā)明的處理程序數(shù)據(jù))、存儲器分區(qū)密鑰數(shù)據(jù)包��、區(qū)域記錄密鑰數(shù)據(jù)包�、區(qū)域刪除密鑰數(shù)據(jù)包、服務(wù)記錄密鑰數(shù)據(jù)包和服務(wù)刪除密鑰數(shù)據(jù)包����,作為應(yīng)用程序元件APE。
.AP資源密鑰K_APR在設(shè)置應(yīng)用程序元件APE時�����,AP資源密鑰K_APR被用作為加密密鑰�。分配給AP區(qū)域以設(shè)置應(yīng)用程序元件APE的AP資源密鑰K_APR在AP區(qū)域之間變化。
.卡訪問密鑰卡訪問密鑰是用于對IC模塊42中采用的IC卡3和存儲器50寫入和讀出數(shù)據(jù)的密鑰���?����?ㄔL問密鑰例如可以是IC卡系統(tǒng)密鑰�、IC卡區(qū)域密鑰、IC卡服務(wù)密鑰或IC卡退化密鑰(IC card degeneration key)����。
使用用于存儲器50并且用于相互認(rèn)證的IC系統(tǒng)密鑰和存儲區(qū)域管理密鑰產(chǎn)生IC卡退化密鑰。
另外�����,由IC卡操作宏命令腳本程序所引用的密鑰還包含在與卡訪問密鑰相同類型的應(yīng)用程序元件APE中��。
.文件系統(tǒng)配置數(shù)據(jù)文件系統(tǒng)配置數(shù)據(jù)例如可以是日志數(shù)據(jù)�����、否定數(shù)據(jù)或日記數(shù)據(jù)�����。
該日志數(shù)據(jù)一般為應(yīng)用程序元件APE的使用歷史數(shù)據(jù)�。該否定數(shù)據(jù)一般為關(guān)于IC卡的有效性的信息。該日記數(shù)據(jù)一般為在SAM單元中執(zhí)行的歷史數(shù)據(jù)��。
在文件系統(tǒng)的配置中��,例如文件訪問的標(biāo)識(規(guī)格��,記錄密鑰的排序或鏈接)被選擇。在設(shè)置記錄密鑰�、記錄大小�、記錄的整體計(jì)數(shù)、記錄的數(shù)字簽名版本��、記錄的簽名方法類型���、記錄數(shù)據(jù)大小和記錄簽名密鑰的情況中�。另外�����,當(dāng)數(shù)據(jù)被從外部來源寫入到該文件系統(tǒng)中時���,需要執(zhí)行例如指定是否執(zhí)行簽名認(rèn)證這樣的操作處理���。在這種情況中,一個記錄被確定為寫入和讀出數(shù)據(jù)文件的最小單元�����。
.SAM相互認(rèn)證密鑰SAM相互認(rèn)證密鑰還被用于在相同SAM單元中的AP之間的相互認(rèn)證�����。SAM相互認(rèn)證密鑰是用于從相同SAM單元中的另一個AP或從另一個SAM單元訪問應(yīng)用程序元件APE的密鑰。
.SAM密鑰之間的數(shù)據(jù)包密鑰SAM密鑰之間的數(shù)據(jù)包密鑰是用于在SAM單元之間的相互認(rèn)證之后交換例如卡訪問密鑰這樣的數(shù)據(jù)的操作中所使用的加密密鑰�。
.IC卡操作宏命令腳本程序由服務(wù)提供企業(yè)本身創(chuàng)建IC卡操作宏命令腳本程序。IC卡操作宏命令腳本程序規(guī)定與IC卡3相關(guān)的處理次序和與ASP服務(wù)器19交換的列表��。IC卡操作宏命令腳本程序被SAM8所翻譯����,以在被設(shè)置于SAM單元9中之后產(chǎn)生IC卡3的實(shí)體。
.存儲分區(qū)密鑰數(shù)據(jù)包存儲分區(qū)密鑰數(shù)據(jù)包是在服務(wù)提供企業(yè)使用IC卡3開始服務(wù)的操作之前用于對外部存儲器7或用于IC卡3中的存儲器的存儲區(qū)域進(jìn)行分區(qū)的數(shù)據(jù)�����。
.區(qū)域記錄密鑰數(shù)據(jù)包區(qū)域記錄密鑰數(shù)據(jù)包是在服務(wù)提供企業(yè)使用IC卡3開始服務(wù)的操作之前用于對IC卡3中所用的存儲器的存儲區(qū)域中記錄一個區(qū)域的數(shù)據(jù)�����。
.區(qū)域刪除密鑰數(shù)據(jù)包(內(nèi)部產(chǎn)生的)區(qū)域刪除密鑰數(shù)據(jù)包是可以在SAM單元內(nèi)部從卡訪問密鑰自動產(chǎn)生的數(shù)據(jù)包�。
.服務(wù)記錄密鑰數(shù)據(jù)包(內(nèi)部產(chǎn)生的)服務(wù)記錄密鑰數(shù)據(jù)包用于在服務(wù)提供企業(yè)開始使用IC卡3進(jìn)行服務(wù)操作之前把應(yīng)用程序元件APE記錄到外部存儲器7。
該服務(wù)記錄密鑰數(shù)據(jù)包是可以在SAM單元內(nèi)部從卡訪問密鑰自動產(chǎn)生的一個數(shù)據(jù)包��。
.服務(wù)刪除密鑰數(shù)據(jù)包(內(nèi)部產(chǎn)生的)服務(wù)刪除密鑰數(shù)據(jù)包被用于從外部存儲器7刪除應(yīng)用程序元件APE��。
該服務(wù)刪除密鑰數(shù)據(jù)包是可以在SAM單元內(nèi)部從卡訪問密鑰自動產(chǎn)生的一個數(shù)據(jù)包����。
圖8為示出用于圖7中所示的應(yīng)用程序元件APE的類型的版本的示意圖�。
如圖8中所示�����,如果應(yīng)用程序元件APE的類型為IC卡系統(tǒng)密鑰����、區(qū)域密鑰或服務(wù)密鑰���、在IC卡系統(tǒng)密鑰中規(guī)定的版本���,該區(qū)域密鑰或服務(wù)密鑰分別被使用。
IC卡退化密鑰的版本最初一般可以由SAM8所規(guī)定�����。
作為制造密鑰的版本��,使用該系統(tǒng)密鑰的版本����。
作為發(fā)布密鑰的版本���,使用IC模塊42的存儲區(qū)域的最近密鑰的版本。
作為擴(kuò)展的發(fā)布密鑰的版本����,使用系統(tǒng)密鑰的版本。
作為分區(qū)原始數(shù)據(jù)包和分區(qū)數(shù)據(jù)包的版本��,使用受到分區(qū)的系統(tǒng)密鑰的版本�。
作為區(qū)域記錄密鑰數(shù)據(jù)包和區(qū)域刪除密鑰數(shù)據(jù)包的版本,使用它們各自的區(qū)域密鑰的版本�。
作為服務(wù)記錄密鑰數(shù)據(jù)包和服務(wù)刪除密鑰數(shù)據(jù)包的版本,使用它們各自的服務(wù)密鑰的版本��。
作為密鑰更改數(shù)據(jù)包的版本�����,使用更改之后的新密鑰的版本�。
下文的描述說明用于管理上述應(yīng)用程序元件APE的版本和應(yīng)用程序元件APE本身的版本管理數(shù)據(jù)303。版本管理數(shù)據(jù)303被存儲在圖5中所示的外部存儲器7的AP管理存儲區(qū)域221中�����。
.版本管理的第一實(shí)施例如釁9中所示���,如果應(yīng)用程序元件APE具有多個版本��,則用于應(yīng)用程序元件APE的版本管理數(shù)據(jù)303(根據(jù)本發(fā)明第一至第三方面的管理數(shù)據(jù))被用于存儲用于應(yīng)用程序元件APE的版本管理文件VMF(根據(jù)本發(fā)明第一至第三方面的版本管理數(shù)據(jù))的標(biāo)識APE_ID��、當(dāng)前選擇的應(yīng)用程序元件APE的版本和存儲在版本管理文件VMF中的最近版本��。
在本實(shí)施例中�����,管理版本文件VMF被用作為應(yīng)用程序元件APE�����。
如圖9中所示�����,版本管理文件VMF被用于存儲應(yīng)用程序元件APE的版本的數(shù)值或者應(yīng)用程序元件APE的版本標(biāo)識數(shù)據(jù)�,其分別由標(biāo)志“版本#**”所表示�����,并且表于存儲該版本的應(yīng)用程序元件APE的元件實(shí)例體(根據(jù)本發(fā)明的第一至第三方面的第二數(shù)據(jù))�。應(yīng)用程序元件APE的元件實(shí)體例分別由標(biāo)志“元件實(shí)例體#**”所表示�。
如果使用具有多個版本的應(yīng)用程序元件APE���,則用于SAM8中的CPU使用應(yīng)用程序元件APE的標(biāo)識AP ID作為訪問版本管理數(shù)據(jù)303的基礎(chǔ)����,以使用存儲在版本管理數(shù)據(jù)303中的APE_ID作為訪問版本管理文件VMF的基礎(chǔ)�����。該CPU然后使用應(yīng)用程序元件APE的指定版本作為在版本管理文件VMF中搜索與該版本相關(guān)的應(yīng)用程序元件APE的元件實(shí)例體的密鑰���。
如圖10中所示���,用于應(yīng)用程序元件APE的版本管理數(shù)據(jù)303被用于存儲用于應(yīng)用程序元件APE的版本管理文件VMF的標(biāo)識APE_ID,當(dāng)前選擇的應(yīng)用程序元件APE的版本和存儲在版本管理文件VMF中的最近版本與圖9中所示的第一實(shí)施例的情況相同�����。
并且在第二實(shí)施例的情況中����,版本管理文件VMF被用作為一個應(yīng)用程序元件APE。
如圖10中所示�����,版本管理文件VMF被用于存儲應(yīng)用程序元件APE的版本或應(yīng)用程序元件APE的版本標(biāo)識數(shù)據(jù)的數(shù)值,其分別由標(biāo)志“版本#**”所表示����,以及用于存儲該版本的應(yīng)用程序元件APE的元件實(shí)例體(根據(jù)本發(fā)明第一至第三方面的第二數(shù)據(jù))的標(biāo)識APE_ID,作為表格305��。應(yīng)用程序元件APE的元件實(shí)例體分別由標(biāo)志“元件實(shí)例體#**”所表示����。
如果使用具有多個版本的應(yīng)用程序元件APE,則用于SAM8中的CPU使用應(yīng)用程序元件APE的標(biāo)識AP_ID作為用于訪問版本管理數(shù)據(jù)303的基礎(chǔ)��,訪問版本管理數(shù)據(jù)303���,以使用存儲在版本管理數(shù)據(jù)303中的APE_ID作為訪問版本管理文件VMF的基礎(chǔ)。然后�����,CPU使用應(yīng)用程序元件APE的指定版本作為密鑰來搜索用于與該版本相關(guān)的標(biāo)識APE_ID的版本管理文件VMF���。最后�����,CPU使用標(biāo)識APE_ID來訪問與標(biāo)識APE_ID相關(guān)的應(yīng)用程序元件APE的元件實(shí)例體���,并且利用該元件實(shí)例體����。
應(yīng)當(dāng)指出����,在第一和第二實(shí)施例中,版本規(guī)范可以由從SAM8外部的一個單元接收的命令所設(shè)置和改變�����,或者作為SAM8的內(nèi)部處理的結(jié)果�。另外,還可以提供另一種應(yīng)用�,如果沒有明確指定一個版本,則用于SAM8中的CPU自動選擇存儲在版本管理文件VMF中的最近版本�。如上文所述,在最近版本中的信息被包含在該版本管理數(shù)據(jù)303����。
作為另一個變型�����,用于SAM8中的CPU通過以由版本規(guī)范數(shù)據(jù)所表示的數(shù)值把內(nèi)部或外部指定的數(shù)值反映到SAM8而查找一個版本值���,并且使用該版本值作為搜索版本管理文件VMF的密鑰。
圖11為示出在版本管理技術(shù)被應(yīng)用于卡訪問密鑰的情況中的示意圖��。
如圖11中所示�,密鑰數(shù)據(jù)包K_P在用于SAM8中的通用寄存器內(nèi)部從用于管理卡訪問密鑰的文件產(chǎn)生。具體來說��,分別包含不同版本的卡訪問密鑰的密鑰數(shù)據(jù)包K_P1至K_P3被產(chǎn)生��。
然后���,用于SAM8的CPU通過把密鑰數(shù)據(jù)包K_P1至K_P3分別與數(shù)據(jù)包版本P_VER1至P_VER3相關(guān)聯(lián)而使用分類類型文件來把密鑰數(shù)據(jù)包K_P1至K_P3存儲在外部存儲器7中����。
例如��,存在一種情況�,其中在簽名伴隨處理中所用的簽名密鑰一般在IC卡3和IC模塊42的操作開始之后改變,從而該操作必須在RAM8中執(zhí)行���,并且新的簽名密鑰與一個被更新密鑰共存��。
在這種情況中��,簽名密鑰被按照版本而管理��。
用于SAM8中的CPU讀出包含在一個簽名文件中的簽名密鑰版本���,并且使用該簽名密鑰版本作為一個密鑰來在該簽名文件中搜索簽名密鑰。然后�����,CPU使用所獲得的簽名密鑰來創(chuàng)建一個簽名或者執(zhí)行認(rèn)證簽名的處理��。
也就是說��,在SAM8中采用的CPU識別一般在文件配置時的日志文件中的簽名密鑰版本����,并且使用該版本管理文件VMF來訪問與簽名密鑰版本相對應(yīng)的簽名密鑰文件。然后���,CPU使用存儲在該簽名密鑰文件中的簽名密鑰來創(chuàng)建一個簽名或者執(zhí)行認(rèn)證簽名的處理���。
請注意�����,上述日志文件被用于存儲要被添加簽名的數(shù)據(jù)以及在用于簽名密鑰版本的記錄格式中的簽名�����。該簽名被置于要被添加簽名的部分或所有數(shù)據(jù)上��。
另外����,用于SAM8中的CPU根據(jù)預(yù)定的加密算法對在該日志文件中的部分和所有數(shù)據(jù)產(chǎn)生一個簽名密鑰和簽名��,并且在寫入操作中把該簽名添加到要存儲于外部存儲器7的記錄中�����。另一方面����,在從日志文件讀出數(shù)據(jù)的操作中,產(chǎn)生基于預(yù)定加密算法的用于寫入操作中的簽名密鑰和簽名��,并且所產(chǎn)生的簽名與在寫入操作中添加到該記錄的簽名相比較���,以通過確定該數(shù)據(jù)是否已經(jīng)被竄改或者該數(shù)據(jù)存在缺陷而判斷該數(shù)據(jù)的有效性�。
下文的描述說明用于IC卡操作的宏命令腳本程序的細(xì)節(jié)���,在下文中簡稱為腳本程序���。
該腳本程序是規(guī)定在分別執(zhí)行服務(wù)提供企業(yè)15_1、15_2和15_3的應(yīng)用程序AP_1�����、AP_2和AP_3中要由在IC卡3中采用的IC模塊3a和在便攜式通信裝置41中采用的IC模塊42執(zhí)行的處理程序�,以及在SAM8中運(yùn)行的相應(yīng)的應(yīng)用程序。
在本實(shí)施例的情況中��,如下文中所述�����,根據(jù)在SAM8中的腳本下載任務(wù)69和腳本翻譯任務(wù)70執(zhí)行處理����,以從由圖13中所示的AP管理表和腳本程序提供的數(shù)據(jù)產(chǎn)生數(shù)據(jù)塊����。該數(shù)據(jù)塊包括要在與服務(wù)提供企業(yè)15_1�����、15_2和15_3相關(guān)的處理中使用的輸入數(shù)據(jù)塊31_x1����、輸出數(shù)據(jù)塊32_x2、日志數(shù)據(jù)塊33_x3��、處理定義數(shù)據(jù)塊34_x4和IC卡實(shí)體模版31_1��。
下文的描述說明存儲在圖5中所示的外部存儲器7的AP管理存儲區(qū)域221中的數(shù)據(jù)�。對AP管理存儲區(qū)域221的訪問受到防火墻FW_4的限制。應(yīng)當(dāng)指出�,該防火墻FW_4對應(yīng)于圖4中所示的防火墻FW���。
圖14為示出存儲在AP管理存儲區(qū)域221中的數(shù)據(jù)的詳細(xì)情況�。如釁14中所示�,管理存儲區(qū)域221用于存儲AP管理表300_1����、300_2和300_3�����、APP表301_1��、301_2和301_3����、選擇數(shù)據(jù)塊302_1��、302_2和302_3�����、版本管理數(shù)據(jù)塊303_1�����、303_2和303_3以及內(nèi)部資源分配管理數(shù)據(jù)304(根據(jù)本發(fā)明第四至第六方面的訪問管理數(shù)據(jù))���。應(yīng)當(dāng)指出���,參考標(biāo)號300是用于表示任何一個AP管理表300_1����、300_2和300_3的一般參考標(biāo)號���。同理��,參考標(biāo)號301是用于表示任何一個APP表301_1��、301_2和301_3的一般參考標(biāo)號��。并且����,參考標(biāo)號302是用于表示任何一個選擇數(shù)據(jù)塊302_1�����、302_2和302_3的一般參考標(biāo)號�����。類似地����,參考標(biāo)號303是用于表示任何一個版本管理數(shù)據(jù)塊303_1��、303_2和303_3的一般參考標(biāo)號���。
一般在設(shè)置SAM8時預(yù)先把AP管理表300_1、300_2和300_3與APP表301_1�����、301_2和301_3一同記錄����。另外�,AP管理表300_1、300_2和300_3和APP表301_1����、301_2和301_3僅僅可以被負(fù)責(zé)管理SAM8的人所改寫。
對每個應(yīng)用程序AP規(guī)定AP管理表300_1����、300_2和300_3。另外�,對每個SAM相互認(rèn)證密鑰規(guī)定APP表301_1�����、301_2和301_3���。
圖15為示出AP管理表300_1的示意圖。AP管理表300_2和300_3分別具有與AP管理表300_1相同的格式��。
如圖15中所示�,AP管理表300_1包括由IC卡操作宏命令腳本程序所使用和參照的每個應(yīng)用程序元件APE的名稱APE_N以及標(biāo)識APE_ID、內(nèi)部/外部標(biāo)識符IEI��、相對方標(biāo)識SAM_ID�����、相對方標(biāo)識AP_ID����、密鑰K_CARDA、密鑰K_SAM�、數(shù)據(jù)SET_APP、數(shù)據(jù)FLAG_IP和數(shù)據(jù)FLAG_STR�����,其與名稱APE_N相關(guān)。
每個應(yīng)用程序元件APE的名稱APE_N是給予由服務(wù)提供企業(yè)15_1����、15_2或15_3的應(yīng)用程序所提供的服務(wù)(應(yīng)用程序元件APE)。名稱APE_N是被稱為用于可以由每個服務(wù)提供企業(yè)的應(yīng)用程序所使用的服務(wù)號的代號的標(biāo)識符��。
標(biāo)識APE_ID是應(yīng)用程序元件APE的ID����。
內(nèi)部/外部標(biāo)識符IEI為表示內(nèi)部應(yīng)用程序的標(biāo)志,其意味著存在應(yīng)用程序元件APE的實(shí)體或者作為其它SAM單元參照的外部標(biāo)準(zhǔn)����。
標(biāo)識SAM_ID是當(dāng)SAM8執(zhí)行與應(yīng)用程序元件APE相關(guān)的處理時交換數(shù)據(jù)的相對方的SAM_ID�����。
圖16為示出標(biāo)識SAM_ID的示意圖�。
標(biāo)識SAM_ID具有4字節(jié)的大小,采用類似于TCP/IP的網(wǎng)絡(luò)掩碼的概念��。網(wǎng)絡(luò)掩碼的每個數(shù)位可以單獨(dú)設(shè)置����。
網(wǎng)絡(luò)掩碼一般被分為三種級別�����,即級別A��、B和C��,如圖16中所示�����、一種密鑰可以用于被分配相同網(wǎng)絡(luò)掩碼的SAM單元之間的相互認(rèn)證���。在本實(shí)施例中,例如相同的網(wǎng)址掩碼被分配給一個服務(wù)提供企業(yè)����。
在圖16中,級別A的網(wǎng)絡(luò)掩碼為“255.XX.XX.XX”�。網(wǎng)絡(luò)掩碼的高階字節(jié)被用于存儲一個預(yù)定數(shù)值255,用于表示該網(wǎng)絡(luò)掩碼屬于級別A����。在任何低階字節(jié)中的XX表示任何1字節(jié)的數(shù)字���。因此,該網(wǎng)址掩碼可以用于規(guī)定屬于級別A的16777215種不同的SAM_ID����。
級別B的網(wǎng)絡(luò)掩碼為“255.255.XX.XX”。網(wǎng)絡(luò)掩碼的前兩個高階字節(jié)被用于存儲一個預(yù)定數(shù)值“255.255”�,用于表示該網(wǎng)絡(luò)掩碼屬于級別B。在剩余的兩個低階字節(jié)用于分別表示屬于級別B的一個SAM單元�。因此,該網(wǎng)址掩碼可以用于規(guī)定屬于級別B的65535種不同的SAM_ID��。
級別C的網(wǎng)絡(luò)掩碼為“255.255.255.XX”���。網(wǎng)絡(luò)掩碼的前3個高階字節(jié)被用于存儲一個預(yù)定數(shù)值“255.255.255”�,用于表示該網(wǎng)絡(luò)掩碼屬于級別C��。在剩余的低階字節(jié)用于分別表示屬于級別C的一個SAM單元�����。因此��,該網(wǎng)址掩碼可以用于規(guī)定屬于級別C的255種不同的SAM_ID�。
標(biāo)識AP_ID為在當(dāng)SAM8執(zhí)行與應(yīng)用程序元件APE相關(guān)的處理時交換數(shù)據(jù)的相對方的SAM單元中執(zhí)行的應(yīng)用程序的標(biāo)識。
密鑰K_CARDA是當(dāng)SAM8執(zhí)行與應(yīng)用程序元件APE相關(guān)的處理時與在IC卡3中采用的存儲器50交換數(shù)據(jù)的一個密鑰���。
密鑰K_SAM為當(dāng)SAM8執(zhí)行與應(yīng)用程序元件APE相關(guān)的處理時用于與另一個SAM單元交換數(shù)據(jù)的密鑰���。
數(shù)據(jù)SET_APP是用于標(biāo)識當(dāng)SAM8執(zhí)行與應(yīng)用程序元件APE相關(guān)的處理時被使用或所引用的APP表301_1、301_2或301_3���。
圖15中所示的APE_N的“服務(wù)A”為由SAM8中的應(yīng)用程序所定義的IC卡3的一個訪問密鑰���。密鑰“服務(wù)A”被設(shè)置為一個未公開密鑰,從而該密鑰不被其它SAM單元和相同SAM單元的其它應(yīng)用程序所引用��。
服務(wù)C是由該應(yīng)用程序所定義的IC卡3的一個訪問密鑰��。如果上述級別C的網(wǎng)絡(luò)掩碼被分配給該SAM單元�,密鑰“服務(wù)C”被公開給在具有“43.17.19.XX”的SAM_ID的SAM單元中的應(yīng)用程序。在該情況中��,SAM相互認(rèn)證密鑰為“TT1...TTn”或者另一個SAM單元確定密鑰“服務(wù)C”可以被保持����,直到下一個應(yīng)用為止。如果密鑰“服務(wù)C”可以被保持直到下一個應(yīng)用為止�����,則當(dāng)另一個SAM單元在下一次應(yīng)用中對該卡使用密鑰“服務(wù)C”時,不需要再次從該SAM單元獲得卡訪問密鑰�����。訪問密鑰“服務(wù)B”不是從SAM單元獲得而是從具有“43.13.137.XX”的SAM單元獲得的���。作為SAM單元之間的一個相互認(rèn)證密鑰�����,使用密鑰“SS1...SSn”���。
由其它SAM單元所指定的一個確定標(biāo)志確定是否可以保持訪問密鑰“服務(wù)B”,直到下一次應(yīng)用時為止�。
“服務(wù)B日志”指向用于存儲被分配有“43.13.137.XX”的SAM_ID的日志數(shù)據(jù)的文件。由于“服務(wù)B日志”具有與“服務(wù)B”相同的SAM網(wǎng)絡(luò)掩碼�����,密鑰“SS1...SSn”被用作為一個相互認(rèn)證密鑰���。對于每個相互認(rèn)證密鑰�,提供一個APP表�。在該實(shí)施例中,由其它SAM單元的AP管理表所引用的另一個SAM單元的APP表301規(guī)定對“服務(wù)B日志”和“服務(wù)B”的訪問許可。
圖17為示出APP表301_1的示意圖。APP表301_2���、301_3和301具有與APP表301_1相同的格式�����。
如圖17中所示,APP表301_1包括標(biāo)識APE_ID、READ(讀取)標(biāo)志����、WRITE(寫入)標(biāo)志和EXECUTE(執(zhí)行)標(biāo)志,其被提供用于每個應(yīng)用程序元件APE��。APE_ID是應(yīng)用程序元件APE的標(biāo)識�。READ標(biāo)志表示另一個應(yīng)用程序(或者另一個應(yīng)用程序元件APE)是否具有對該應(yīng)用程序元件APE的讀取訪問權(quán)����。WRITE標(biāo)志表示另一個應(yīng)用程序(或者另一個應(yīng)用程序元件APE)是否具有對該應(yīng)用程序元件APE的寫入訪問權(quán)。EXECUTE標(biāo)志表示另一個應(yīng)用程序(或者另一個應(yīng)用程序元件APE)是否具有對該應(yīng)用程序元件APE的執(zhí)行訪問權(quán)。
例如�,圖17中所示的APP表301_1表示另一個應(yīng)用程序(或者另一個應(yīng)用程序元件APE)具有讀取訪問權(quán)和寫入訪問權(quán),但是沒有對“服務(wù)B日志”的執(zhí)行(刪除)訪問權(quán)�。
另外,圖5中所示的外部存儲器7的AP管理存儲區(qū)域221通過把AP選擇數(shù)據(jù)與IC卡類型和AP_ID相關(guān)聯(lián)而存儲AP選擇數(shù)據(jù)��。
IC卡類型是圖1中所示的IC卡3的類型��。IC卡類型的例子為具有使用IC卡3的交易結(jié)算業(yè)務(wù)的信用卡公司的標(biāo)識����。
在本實(shí)施例中,在一個IC卡操作宏命令腳本程序中的多個應(yīng)用程序元件APE被結(jié)合�����,以規(guī)定一種服務(wù)�����,并且該服務(wù)的規(guī)定被反映在下文中所述的IC卡實(shí)體(工作管理數(shù)據(jù))中。因此���,對應(yīng)于應(yīng)用程序元件APE的服務(wù)的組合可以被作為上述服務(wù)而提供���。
例如,從IC卡3讀出數(shù)據(jù)的服務(wù)與把數(shù)據(jù)寫入服務(wù)器2的服務(wù)相組合�����,以提供可以在IC卡實(shí)體中確定的組合服務(wù)。
另外,當(dāng)由服務(wù)提供企業(yè)15_1����、15_2和15_3提供的服務(wù)被處理時���,APE_N或服務(wù)號是向IC卡3發(fā)出的一個操作命令,并且可以被IC卡3所翻譯�����。
應(yīng)用程序AP_1由存儲在外部存儲器7中的IC卡操作宏命令腳本程序和AP管理表300_1所規(guī)定�。
同理,應(yīng)用程序AP_2由存儲在外部存儲器7中的IC卡操作宏命令腳本程序和AP管理表300_2所規(guī)定�。
按照相同的方式�,應(yīng)用程序AP_3由存儲在外部存儲器7中的IC卡操作宏命令腳本程序和AP管理表300_3所規(guī)定���。
另外�,圖5中所示的外部存儲器7的AP管理存儲區(qū)域221被用于存儲內(nèi)部資源分配管理數(shù)據(jù)304�,用于為每個用戶的權(quán)限或使用目的,執(zhí)行對通常在外部存儲器7的訪問管理�����。
圖18為示出內(nèi)部資源分配管理數(shù)據(jù)304的示意圖�����。在SAM8中采用的CPU根據(jù)內(nèi)部資源分配管理數(shù)據(jù)304���,對每個用戶權(quán)限或使用目的管理對外部存儲器7的存儲區(qū)域的訪問以及對在存儲區(qū)域中的數(shù)據(jù)的訪問。
通過把存儲區(qū)域分為系統(tǒng)區(qū)域和用戶區(qū)域而管理外部存儲器7的存儲區(qū)域���。
系統(tǒng)區(qū)域是用于SAM8的內(nèi)部操作中的區(qū)域��。例如���,負(fù)責(zé)運(yùn)輸SAM8的人最初設(shè)置對SAM8唯一的設(shè)備號以及在系統(tǒng)區(qū)域中的應(yīng)用程序AP的運(yùn)輸密鑰����。
另一方面����,用戶區(qū)域是SAM8的用戶設(shè)置例如應(yīng)用程序這樣的資源的區(qū)域。用戶區(qū)域被分為三大類�����,即授權(quán)用戶區(qū)(由本發(fā)明提供的第三存儲區(qū)域)���、一般用戶區(qū)(由本發(fā)明提供的第一存儲區(qū)域)以及共同用戶區(qū)(由本發(fā)明提供的第二存儲區(qū)域)�����。
授權(quán)用戶區(qū)是用于存儲操作SAM8的基本數(shù)據(jù)的區(qū)域����?���;緮?shù)據(jù)的例子是SAM8的ID。
一般用戶區(qū)是用于存儲在使用IC卡3的便攜式執(zhí)行服務(wù)中使用的例如密鑰和密鑰數(shù)據(jù)包這樣的資源的區(qū)域�。
共同用戶區(qū)是用于存儲由一般用戶所使用的對于一般用共同的網(wǎng)絡(luò)信息的區(qū)域�。該網(wǎng)絡(luò)信息的例子是SAM8的主要單元的IP地址����。
也就是說,授權(quán)用戶區(qū)是這樣一個區(qū)域����,其中的數(shù)據(jù)需要由對SAM8的操作特定的用戶來設(shè)置。共同用戶區(qū)域是可以由SAM8本身所共享的區(qū)域��,并且也是共數(shù)據(jù)可以由多個用戶所設(shè)置的區(qū)域���。
圖19為示出可以由在外部存儲器7的存儲區(qū)域中的用戶所設(shè)置的一般項(xiàng)目的示意圖���。如圖19中所示��,負(fù)責(zé)SAM8的運(yùn)輸?shù)娜嗽试S訪問對應(yīng)于0x0000至0x000F的標(biāo)識AP_ID的存儲區(qū)域����,為一般用戶設(shè)置AP資源密鑰K_APR的運(yùn)輸密鑰,以及設(shè)置對SAM8唯一的設(shè)備密鑰���。
另外���,被授權(quán)用戶允許訪問對應(yīng)于0xFFFE的標(biāo)識AP_ID的存儲區(qū)域�,設(shè)置SAM8的SAM_ID�,以及設(shè)置一個授權(quán)用戶AP區(qū)域操作密鑰。
另外���,一般用戶允許訪問由0xFFFD的標(biāo)識AP_ID所識別的區(qū)域���,作為用戶共同區(qū)域,并且允許訪問作為一般用戶區(qū)域的由0x0000至0x000F的標(biāo)識AP_ID所識別的區(qū)域�����。一般用戶允許設(shè)置SAM8的SAM_ID的網(wǎng)絡(luò)掩碼��、例如SAM8的IP地址這樣的網(wǎng)絡(luò)信息���、IP資源密鑰K_APR和在這些區(qū)域中的其它應(yīng)用程序元件APE�����。
用戶允許把對該用戶公開的一個存儲區(qū)域的所接收AP資源密鑰K_APR改變?yōu)閮H僅由該用戶所知的另一個數(shù)值����,從而其它用戶不能夠更改在該應(yīng)用程序AP內(nèi)部的資源。
另外����,用戶共同區(qū)域可以被用戶使用共同密鑰來訪問,也就是說用于在一般用戶區(qū)中設(shè)置數(shù)據(jù)的AP資源密鑰K_APR��。
外部存儲器7的上述存儲區(qū)域通過使用圖18中所示的內(nèi)部資源分配管理數(shù)據(jù)304���、標(biāo)識AP_ID和標(biāo)識APE_ID所管理�����。具體來說����,該存儲區(qū)域被通過把外部存儲日期分為形成由標(biāo)識AP_ID和APE_ID所規(guī)定的矩陣的存儲區(qū)域而管理����。
在圖18中所示的外部存儲器的情況中���,具有在范圍0x7F06至0xFFFF內(nèi)的APE_ID的存儲區(qū)域被用作為系統(tǒng)區(qū)域�����,并且具有在范圍0x0000至0x7F00內(nèi)的APE_ID的存儲區(qū)域被用作為一般用戶區(qū)域�。
另外,具有0xfffd的AP_ID的應(yīng)用程序的存儲區(qū)域被用作為一般用戶存儲區(qū)域�����。
對于應(yīng)用程序元件APE�,為區(qū)域設(shè)置的加密數(shù)據(jù)包被存儲在外部存儲器7中。在這種情況中�,可以僅僅選擇和加密所需的資源元件。
如下處理是由在SAM8中采用的CPU所執(zhí)行的處理���,以通過使用內(nèi)部資源分配管理數(shù)據(jù)304管理外部存儲器7的存儲區(qū)域(或者資源)����。
圖20為示出表示該程序的流程圖���。
步驟ST61例如�,圖1中所示的服務(wù)提供企業(yè)15_1至15_3之一的一般用戶或授權(quán)用戶操作連接到互聯(lián)網(wǎng)10的個人計(jì)算機(jī)���,并且指定訪問外部存儲器7的應(yīng)用程序AP��。應(yīng)用程序AP通過使用由該用戶所擁有的AP資源密鑰K_APR經(jīng)過ASP服務(wù)器19訪問SAM8��。
步驟ST62在SAM8中采用的CPU形成關(guān)于在步驟ST61所作的訪問的發(fā)起者是否具有適用于指定的應(yīng)用程序AP的AP資源密鑰K_APR�。如果判斷結(jié)果表明該訪問的發(fā)起者具有適合的資源密鑰K_APR,則該處理進(jìn)行到步驟ST64的處理�����。另一方面��,如果判斷結(jié)果表明該訪問的發(fā)起者沒有適合的資源密鑰K_APR�,則該程序進(jìn)行到步驟ST63的處理。
步驟ST63在SAM8中采用的CPU不允許用戶在指定的應(yīng)用程序AP中設(shè)置應(yīng)用程序元件APE�����。
步驟ST64在SAM8中采用的CPU允許用戶在指定的應(yīng)用程序AP中設(shè)置應(yīng)用程序元件APE�����。
步驟ST65在SAM8中采用的CPU形成關(guān)于該用戶是否為被授權(quán)用戶的判斷��。如果該判斷結(jié)果表明該用戶是被授權(quán)用戶�����,則該程序進(jìn)行到步驟ST66的處理�����。另一方面���,如果判斷結(jié)果表明用戶不是被授權(quán)用戶�����,則該處理進(jìn)行到步驟ST67的處理�����。
步驟ST66在SAM8采用的CPU允許用戶為被授權(quán)用戶在指定的應(yīng)用程序AP中設(shè)置一個應(yīng)用程序元件APE����。
步驟ST67在SAM8中采用的CPU形成關(guān)于該用戶是否為一般用戶的判斷��。如果該判斷結(jié)果表明該用戶是一般用戶��,則該程序進(jìn)行到步驟ST68的處理��。另一方面����,如果判斷結(jié)果表明用戶不是一般用戶�,則該處理進(jìn)行到步驟ST69的處理��。
步驟ST68在SAM8采用的CPU允許用戶為一般用戶和對一般用戶共同的應(yīng)用程序元件APE在指定的應(yīng)用程序AP中設(shè)置一個應(yīng)用程序元件APE���。
步驟ST69在SAM8中采用的CPU使用戶在該系統(tǒng)區(qū)域中設(shè)置應(yīng)用程序元件APE���。
SAM8通過SCSI或者以太網(wǎng)連接到ASP服務(wù)器19。ASP服務(wù)器19分別區(qū)域互聯(lián)網(wǎng)10連接到多個終端���,包括終端用戶的個人計(jì)算機(jī)5和服務(wù)提供企業(yè)15_1�、15_2和15_3的個人計(jì)算機(jī)16_1���、16_2和16_3�����。
個人計(jì)算機(jī)5通過串行或USB電纜連接到轉(zhuǎn)儲型卡讀取器/寫入器4�。在卡讀取器/寫入器4與IC卡3之間���,一般采用對應(yīng)于物理層的無線通信��。
對IC卡3給出的操作命令由SAM單元9所產(chǎn)生���。另一方面,由IC卡3所產(chǎn)生的響應(yīng)數(shù)據(jù)包被SAM單元9所翻譯����。因此,在IC卡3與SAM單元9之間的卡讀取器/寫入器4��、個人計(jì)算機(jī)5和ASP服務(wù)器19通過把命令和響應(yīng)存儲在數(shù)據(jù)有效負(fù)荷單元中����,而僅僅作為中繼該命令的作用。也就是說�����,卡讀取器/寫入器4�����、個人計(jì)算機(jī)5和ASP服務(wù)器19對在IC卡3中的數(shù)據(jù)的加密的解密以及認(rèn)證這樣的操作沒有貢獻(xiàn)���。
通過把在下文中描述的腳本程序下載到SAM8��,個人計(jì)算機(jī)16_1���、16_2和16_3允許它們各自的應(yīng)用程序AP_1�����、AP_2和AP_3被定制�����。
圖21為示出圖1中所示的通信系統(tǒng)的SAM8的功能框圖��。如圖21中所示�����,SAM8包括ASPS通信接口單元60����、外部存儲器通信接口單元61���、總線加擾單元62�、隨機(jī)數(shù)產(chǎn)生單元63�����、加密/解密單元64、存儲器65和CPU66����。
SAM8為一個防竄改模塊�����。
ASPS通信接口單元60為用于與圖1中所示的ASP服務(wù)器19交換數(shù)據(jù)的接口�����。
外部存儲器通信接口單元61是用于與外部存儲器7交換數(shù)據(jù)的接口���。
總線加擾單元62在一個操作中對輸出數(shù)據(jù)加擾(scramble)并且對輸入數(shù)據(jù)解擾(de-scramble)�,以通過外部存儲器接口單元61交換數(shù)據(jù)���。
隨機(jī)數(shù)產(chǎn)生單元63產(chǎn)生用于認(rèn)證的隨機(jī)數(shù)�。
加密/解密單元64對數(shù)據(jù)加密并且對所加密的數(shù)據(jù)進(jìn)行解密����。
存儲器65用于存儲由CPU66所執(zhí)行的任務(wù)和程序��,以及在執(zhí)行下文中所述的任務(wù)和程序中所使用的數(shù)據(jù)�。
CPU66執(zhí)行例如腳本下載任務(wù)���、腳本翻譯任務(wù)����、實(shí)體產(chǎn)生任務(wù)(工作管理數(shù)據(jù)創(chuàng)建任務(wù))和IC卡處理管理任務(wù)(工作管理數(shù)據(jù)管理任務(wù))這樣的任務(wù)��。這些任務(wù)將在下文中描述���。
CPU66還執(zhí)行應(yīng)用程序元件APE的版本管理以及一般用戶存儲區(qū)域��、用戶公共存儲區(qū)域和被授權(quán)用戶存儲區(qū)域的管理����。
另外����,CPU66根據(jù)在SAM單元9中的操作命令執(zhí)行在SAM單元9中指定的處理,并且根據(jù)IC模塊3a和IC模塊42的操作命令控制在IC卡3中采用的IC模塊3a以及在便攜式通信裝置41中采用的IC模塊42的處理�。
下文說明在存儲器65中的任務(wù)、程序和數(shù)據(jù)�����。
圖22為示出該任務(wù)、程序和數(shù)據(jù)的示意圖�����,其被存儲在存儲器65中����。如圖22中所示,存儲器65用于存儲上述腳本下載任務(wù)69����、上述腳本翻譯任務(wù)70�、上述實(shí)體產(chǎn)生任務(wù)71、上述IC卡程序管理任務(wù)72����、IC卡操作宏命令腳本程序21_1至21_3、AP管理表300_1至300_3����、APP表301_1至301_3、IC卡實(shí)體模板30_1至30_3���、IC卡實(shí)體73_x�����、輸入數(shù)據(jù)塊31_x1�、輸出數(shù)據(jù)塊32_x2、日志數(shù)據(jù)塊33_x3和處理定義數(shù)據(jù)塊34_x����。
如圖13中所示,腳本下載任務(wù)69一般從由每個服務(wù)提供企業(yè)所擁有的計(jì)算機(jī)把AP管理表300_1至300_3以及如果需要的話也把APP表301_1至301_3下載到SAM8����。
腳本翻譯任務(wù)70通過使用服務(wù)定義表以及在必要時還使用APP表301_1至301_3為每個服務(wù)提供企業(yè)產(chǎn)生IC卡實(shí)體73_x、輸入數(shù)據(jù)塊31_x1��、輸出數(shù)據(jù)塊3x_x2�����、日志數(shù)據(jù)塊33_x3和處理定義數(shù)據(jù)塊34_x��。
對每個服務(wù)提供企業(yè)產(chǎn)生的數(shù)據(jù)塊的數(shù)目沒有具體確定���。
當(dāng)一般從ASP服務(wù)器19接收到用于創(chuàng)建實(shí)體的請求時����,實(shí)體產(chǎn)生任務(wù)71對IC卡3進(jìn)行輪詢,然后通過使用用于服務(wù)提供企業(yè)的IC卡實(shí)體模板��,產(chǎn)生要在IC卡3與服務(wù)提供企業(yè)之間的處理中所用的IC卡實(shí)體�����。在此時��,IC卡實(shí)體模板變?yōu)橐粋€類��,并且IC卡實(shí)體被作為一個類實(shí)例而產(chǎn)生��。
在下文中將描述由實(shí)體產(chǎn)生任務(wù)71所執(zhí)行以產(chǎn)生IC卡實(shí)體的處理��。
IC卡處理管理任務(wù)72通過使用存在于存儲器65中的一個IC卡實(shí)體73_x或多個IC卡實(shí)體73_x執(zhí)行IC卡3與服務(wù)提供企業(yè)15_1至15_3之間的處理程序���。在本實(shí)施例中,在多個IC卡3與服務(wù)提供企業(yè)15_1至15_3之間的多個處理程序被同時執(zhí)行�。也就是說,IC卡程序管理任務(wù)72同時執(zhí)行這些處理程序��。該IC卡程序管理任務(wù)72刪除已經(jīng)在這種處理中所使用的IC卡實(shí)體73_x。在下文中將詳細(xì)描述由IC卡程序管理任務(wù)72所執(zhí)行的處理���。
IC卡操作宏命令腳本程序一般由腳本下載任務(wù)69從外部存儲器7獲得并且被存儲在存儲器65中��。
同理����,AP管理表300_1至300_3一般由腳本下載任務(wù)69從外部存儲器7獲得并且被存儲在存儲器65中���。
同樣�,APP表301_1至301_3一般由腳本下載任務(wù)69從外部存儲器7獲得并且被存儲在存儲器65中�。
IC卡實(shí)體模板30_1至30_3由腳本翻譯任務(wù)70所產(chǎn)生,并且將分別被用作為一個模板(類)��,其用于產(chǎn)生用于服務(wù)提供企業(yè)的程序的IC卡實(shí)體73_x��。通過使用IC卡實(shí)體模板30_1至30_3作為類�,實(shí)體產(chǎn)生任務(wù)71創(chuàng)建一個IC卡實(shí)體73_x,作為一個類實(shí)例�����。
如上文所述��,腳本翻譯任務(wù)70產(chǎn)生輸入數(shù)據(jù)塊31_x1、輸出數(shù)據(jù)塊32_x2��、日志數(shù)據(jù)塊33_x3和處理定義數(shù)據(jù)塊34_x4����。
接著,說明該IC卡實(shí)體73_x��。
當(dāng)SAM8例如從ASP服務(wù)器19接收一個用于使用IC卡3和預(yù)定服務(wù)提供企業(yè)的應(yīng)用程序進(jìn)行處理的請求時����,在SAM8中的實(shí)體產(chǎn)生任務(wù)71通過使用該服務(wù)提供企業(yè)的已經(jīng)產(chǎn)生的IC卡實(shí)體模板而產(chǎn)生一個IC卡實(shí)體73_x。
圖23為示出IC卡實(shí)體73_x的格式的示意圖�����。如圖23中所示��,IC卡實(shí)體73_x包括一個管理指針80�、實(shí)體ID81、實(shí)體狀態(tài)82��、IC卡類型83�����、APE_N規(guī)范84�、處理次序85、預(yù)處理數(shù)據(jù)86和處理后的數(shù)據(jù)87��。
管理指針80為用于管理在存儲器65中的IC卡實(shí)體73_x的雙向指針�����。實(shí)體ID81被用于涉及IC卡實(shí)體73_x的一系列處理中�����。該處理的例子是請求創(chuàng)建一個IC卡實(shí)體73_x����、確認(rèn)創(chuàng)建IC卡實(shí)體73_x的處理以及刪除IC卡實(shí)體73_x。實(shí)體ID81被作為一個返回值傳送到終端用戶�����。實(shí)體ID81對應(yīng)于在通過使用文件系統(tǒng)打開一個文件的操作中所用的描述符���。
實(shí)體狀態(tài)82是與IC卡3相關(guān)的程序處理狀態(tài)��。如圖24中所示��,IC卡實(shí)體73_x的基本狀態(tài)包括處理狀態(tài)RS����、處理狀態(tài)A1、處理狀態(tài)A2��、處理狀態(tài)R和處理狀態(tài)W�。處理狀態(tài)RS是控驗(yàn)可以由IC卡3所使用的服務(wù)的處理狀態(tài)。處理狀態(tài)A1是由SAM8所執(zhí)行以認(rèn)證該IC卡3的處理狀態(tài)���。處理狀態(tài)A2為由IC卡3所執(zhí)行以認(rèn)證SAM8的狀態(tài)���。處理狀態(tài)R為從IC卡3讀出數(shù)據(jù)的處理狀態(tài)。處理狀態(tài)W為把數(shù)據(jù)寫入到IC卡3的處理狀態(tài)����。
本實(shí)施例執(zhí)行檢驗(yàn)服務(wù)提供企業(yè)的處理、由SAM8所執(zhí)行以認(rèn)證IC卡3的處理�、由IC卡3所執(zhí)行以認(rèn)證SAM8的處理、從IC卡3讀出數(shù)據(jù)的處理以及把數(shù)據(jù)寫入到IC卡3中的處理���,每個處理作為一個工作��。
如下文中所述�����,一個工作是一個處理單元�,其次序由IC卡處理管理任務(wù)72所確定���。
應(yīng)當(dāng)指出��,IC卡3與SAM8之間的相互認(rèn)證由A1和A2狀態(tài)所表示�����。
另外���,在本實(shí)施例中,考慮到通過互聯(lián)網(wǎng)10進(jìn)行通信的時間����,通過把每個基本狀態(tài)分為后激活狀態(tài)(或者命令后狀態(tài))和完成狀態(tài)(或者響應(yīng)接收后狀態(tài))而管理上述基本狀態(tài)如圖24的狀態(tài)轉(zhuǎn)移圖所示。具體來說���,通過使用實(shí)例產(chǎn)生狀態(tài)(IC卡實(shí)體產(chǎn)生狀態(tài))����、RS激活后狀態(tài)、RS完成狀態(tài)���、A1激活后狀態(tài)�����、A1完成狀態(tài)��、A2激活后狀態(tài)����、A2完成狀態(tài)���、R激活后狀態(tài)��、R完成狀態(tài)����、W激活后狀態(tài)���、W完成狀態(tài)和實(shí)例刪除狀態(tài)(IC卡實(shí)體刪除狀態(tài))來管理使用IC卡實(shí)體73_x的處理狀態(tài)�����。
IC卡類型83是用于識別發(fā)行IC卡3的服務(wù)提供企業(yè)的數(shù)據(jù)����。IC卡類型83包括其中設(shè)置的數(shù)據(jù)�����。當(dāng)IC卡實(shí)體73_x被創(chuàng)建時��,該數(shù)據(jù)由在上述腳本命令中的CI命令所規(guī)定�。
服務(wù)類型元件84表示在使用IC卡實(shí)體73_x的處理中所用的AP管理表300_1至300_3和APP表301_1至301_3中定義的應(yīng)用程序元件APE。在服務(wù)類型元件84中�,在產(chǎn)生IC卡實(shí)體73_x時,設(shè)置由在上述腳本程序中的CS命令所指定的一個應(yīng)用程序元件APE或多個應(yīng)用程序元件APE�����。
處理次序85是在使用IC卡實(shí)體73_x的處理中所應(yīng)用的服務(wù)(即��,工作)被執(zhí)行的次序�����。也就是說��,該處理次序85是圖24中所示的轉(zhuǎn)移狀態(tài)。換句話說����,處理次序85是對于IC卡3的基本操作,以應(yīng)用程序元件APE的名稱APE_N所表示的工作的執(zhí)行次序��。
該工作對應(yīng)于圖24中所示的RS��、A1�、A2、R和W工作���。按照以工作來表達(dá)的處理次序?qū)C卡3執(zhí)行實(shí)際操作����。例如����,對于僅僅從IC卡3讀出數(shù)據(jù)而沒有相互認(rèn)證的處理,“RS’R”被設(shè)置在該處理次序85中���。在對具有相互認(rèn)證的IC卡3讀寫數(shù)據(jù)的處理的情況中�����,“RS’A1’A2’R’W”被設(shè)置在該處理次序85中�。因此,該處理次序是一個工作次序�,其對應(yīng)于在創(chuàng)建IC卡實(shí)體73_x中上文所述的腳本程序的命令指定的服務(wù)元件的次序。
在預(yù)處理數(shù)據(jù)86中��,從ASP19設(shè)置用于使用IC卡實(shí)體73_x執(zhí)行處理的管理數(shù)據(jù)���。例如,在預(yù)處理數(shù)據(jù)86中���,設(shè)置在一個SF數(shù)據(jù)塊中指定的服務(wù)(或者應(yīng)用程序元件APE)的處理平衡點(diǎn)(processing-equationpoint)�。
另外����,如果沒有定義服務(wù)間的處理功能,在該預(yù)處理數(shù)據(jù)86中�,設(shè)置所需處理的費(fèi)用。例如在結(jié)算的情況中���,設(shè)置表示費(fèi)用和附加點(diǎn)數(shù)的狀態(tài)��。
作為在ASP服務(wù)器19中所要求的數(shù)據(jù)的處理后數(shù)據(jù)87是對IC卡實(shí)體73_x執(zhí)行處理的結(jié)果�����。例如在結(jié)算的情況中��,對于表示該結(jié)算是否正常結(jié)束的數(shù)據(jù)設(shè)置處理后數(shù)據(jù)87����。
接著,說明由通信系統(tǒng)1所執(zhí)行的一般處理�。如果用于該操作的處理中的應(yīng)用程序元件APE具有多個版本,則根據(jù)由在上文參照圖9至12所述的版本管理功能根據(jù)指定的版本執(zhí)行該處理。
下文的描述說明對于多個IC卡3的處理程序�����。該程序由圖22中所示的IC卡程序管理任務(wù)通過使用多個IC卡實(shí)體73_x而執(zhí)行��。該IC卡程序管理任務(wù)72隨時在用于圖21中所示的SAM8中的CPU66上運(yùn)行�。圖25示出由IC卡程序管理任務(wù)72所執(zhí)行的處理的流程圖����。
步驟ST1IC卡程序管理任務(wù)72選擇存在于存儲器65中的多個IC卡實(shí)體73_x之一。接著將執(zhí)行與所選擇IC卡實(shí)體73_x相關(guān)的處理。作為選擇一個IC卡實(shí)體73_x的方法���,根據(jù)IC卡實(shí)體73_x設(shè)置在存儲器65中的次序選擇一個IC卡實(shí)體73_x。另外�����,一個優(yōu)先級被分配給每個IC卡實(shí)體73_x,并且根據(jù)優(yōu)選級選擇一個IC卡實(shí)體73_x����。
步驟ST2IC卡程序管理任務(wù)72判斷在步驟ST1選擇的IC卡實(shí)體73_x的工作是否已經(jīng)被激活�。如果判斷結(jié)果表明在步驟ST1所選擇的IC卡實(shí)體73_x的工作已經(jīng)被激活,則該處理進(jìn)行到步驟ST5的處理��。另一方面����,如果判斷結(jié)果表明在步驟ST1選擇的IC卡實(shí)體73_x的工作沒有被激活,該處理進(jìn)行到步驟ST3的處理�����。
步驟ST3IC卡程序管理任務(wù)72從圖23中所示的實(shí)體狀態(tài)82中識別在圖24中所示的狀態(tài)轉(zhuǎn)移圖中所示的狀態(tài)中與在步驟ST1選擇的IC卡實(shí)體73_x相關(guān)的一個處理狀態(tài),并且從該處理次序85確定要在下一步執(zhí)行的工作。如上文所述,該處理次序85規(guī)定用在AP管理表300_1至300_3中設(shè)置的服務(wù)元件來表達(dá)的工作的執(zhí)行次序����。
步驟ST4IC卡程序管理任務(wù)72激活在步驟ST3選擇的任務(wù)。然后,IC卡程序管理任務(wù)72通過使用與該工作相關(guān)的一個數(shù)據(jù)塊執(zhí)行該工作。與該工作相關(guān)的數(shù)據(jù)塊在輸入數(shù)據(jù)塊31_x1、輸出數(shù)據(jù)塊32_x2���、日志數(shù)據(jù)塊33_x3和處理定義數(shù)據(jù)塊34_x4�,它們已經(jīng)在上文中被參照圖10進(jìn)行描述�����。
在此時,如果在執(zhí)行該工作時把一個命令發(fā)送到IC卡3�,IC卡程序管理任務(wù)72使用用于該工作的服務(wù)元件作為密鑰在AP管理表300_1至300_3中搜索該服務(wù)元件的一個服務(wù)號�����。該服務(wù)號是一個操作命令,其被發(fā)送到該IC卡3�����,并且可以由該IC卡3所翻譯。然后�����,IC卡程序管理任務(wù)72通過使用該服務(wù)號把命令發(fā)送到IC卡3�����。另外��,如果在訪問IC卡3的IC模塊3a的存儲區(qū)域中需要一個密鑰���,則IC卡程序管理任務(wù)72通過使用用于該工作的一個服務(wù)元件作為密鑰在AP管理表300_1至300_3中搜索被分配給該服務(wù)元件的一個服務(wù)密鑰��。然后���,IC卡程序管理任務(wù)72通過使用該密鑰執(zhí)行處理�����,以獲得訪問IC卡3的存儲區(qū)域的權(quán)限�����。該處理包括對IC卡3的相互認(rèn)證�、數(shù)據(jù)的加密和數(shù)據(jù)的解密�。
步驟ST5IC卡程序管理任務(wù)72把一個命令發(fā)送到IC卡3。然后���,在步驟ST5��,該IC卡程序管理任務(wù)72等待由處理該命令的IC卡3所執(zhí)行的處理結(jié)果�����。當(dāng)IC卡程序管理任務(wù)72接收來自IC卡3的處理結(jié)果時��,IC卡程序管理任務(wù)72把該結(jié)果設(shè)置在IC卡實(shí)體73_x中���。
步驟ST6IC卡程序管理任務(wù)72更新IC卡實(shí)體73_x的實(shí)體狀態(tài)82���。IC卡實(shí)體73_x的實(shí)體狀態(tài)在圖23中示出。
如上文中所述�,在該實(shí)施例中,當(dāng)根據(jù)預(yù)定的次序一個接一個地順序選擇存在于SAM8中的多個IC卡的IC卡實(shí)體73_x時��,該IC卡程序管理任務(wù)72同時對該IC卡執(zhí)行處理����。因此��,即使當(dāng)接收到使用多個IC卡3的處理請求時����,SAM8能夠同時繼續(xù)執(zhí)行該處理。
圖26和27示出用于說明根據(jù)應(yīng)用程序元件APE所規(guī)定的程序由SAM8所執(zhí)行以訪問數(shù)據(jù)的處理�����,或者根據(jù)在圖25中的步驟ST4執(zhí)行一個工作的程序由SAM8所執(zhí)行的由另一個應(yīng)用程序元件APE所規(guī)定的處理的流程圖�。
步驟ST41在根據(jù)預(yù)定應(yīng)用程序元件APE執(zhí)行處理的過程中����,SAM8識別進(jìn)行訪問的一個應(yīng)用程序AP和在該應(yīng)用程序中的一個應(yīng)用程序元件APE�。另外,SAM8還判斷在一個操作中的訪問是否要讀寫該應(yīng)用程序元件APE或者執(zhí)行該應(yīng)用程序元件APE���。
步驟ST42SAM8判斷在步驟ST41所識別的應(yīng)用程序元件APE是否存在于相同的SAM8中��。如果判斷結(jié)果表明在步驟ST41所識別的應(yīng)用程序元件APE不存在于相同的SAM8中���,則該處理流程進(jìn)行到步驟ST43。另一方面�����,如果判斷結(jié)果表明在步驟ST41所識別的應(yīng)用程序元件APE存在于相同的SAM8中��,則該處理流程進(jìn)行到步驟ST45����。
步驟ST43SAM8在與被執(zhí)行的應(yīng)用程序相關(guān)的AP管理表300_1至300_3中搜索用于相應(yīng)服務(wù)(應(yīng)用程序元件APE)的密鑰K_SAM,并且通過使用該密鑰K_SAM對具有該應(yīng)用程序元件APE的SAM8a執(zhí)行相互認(rèn)證����。
步驟ST44如果在步驟ST43所執(zhí)行的相互認(rèn)證結(jié)果表明SAM8和8a為有效���,則由SAM8所執(zhí)行的處理流程進(jìn)行到步驟ST47。否則�����,該處理流程進(jìn)行到步驟ST51���。
步驟ST45SAM8在與被執(zhí)行應(yīng)用程序相關(guān)的AP管理表300_1至300_3中搜索用于相應(yīng)服務(wù)(應(yīng)用程序元件APE)的密鑰K_SAM��。另外���,SAM8還在與步驟ST41識別的應(yīng)用程序元件APE相關(guān)的AP管理表300_1至300_3中搜索用于相應(yīng)服務(wù)(應(yīng)用程序元件APE)的密鑰K_SAM���。然后�,SAM8把這兩個密鑰K_SAM相互比較�。
步驟ST46作為在步驟ST45執(zhí)行的比較結(jié)果,SAM8判斷這兩個密鑰K_SAM是否相互匹配���。如果判斷結(jié)果表明這兩個密鑰K_SAM相互匹配���,則由SAM8所執(zhí)行的處理流程進(jìn)行到步驟ST47����。否則�����,該處理流程進(jìn)行到步驟ST51��。
步驟ST47SAM8或8a在與步驟ST41識別的應(yīng)用程序相關(guān)的AP管理表300_1至300_3中搜索分別與所用的應(yīng)用程序元件APE相關(guān)的APP表301_1至301_3���。
步驟ST48SAM8或8a根據(jù)在步驟ST47識別的APP表301_1至301_3對要被使用或訪問的應(yīng)用程序元件APE的訪問權(quán)����。具體來說��,SAM8或8a判斷是否存在對應(yīng)用程序元件APE讀出或?qū)懭霐?shù)據(jù)或者執(zhí)行應(yīng)用程序元件APE的權(quán)利���。
步驟ST49如果在步驟ST48形成的判斷結(jié)果表明存在該訪問權(quán)�����,則由SAM8或8a所執(zhí)行的處理流程進(jìn)行到步驟ST50�����。否則����,該處理流程進(jìn)行到步驟ST51。
步驟ST50SAM8和8a對在步驟ST41所識別的應(yīng)用程序元件APE執(zhí)行也在步驟ST41識別的應(yīng)用程序AP��。
步驟ST51SAM8和8a不對在步驟ST41所識別的應(yīng)用程序元件APE執(zhí)行也在步驟ST41識別的應(yīng)用程序AP���。
另外�,當(dāng)在圖25中所示的流程圖的步驟ST4執(zhí)行一個工作時根據(jù)由一個應(yīng)用程序元件APE所設(shè)置的處理在SAM8和IC卡3之間交換數(shù)據(jù)時��,SAM8在圖17中所示的AP管理表300_1至300_3中搜索用于應(yīng)用程序元件APE的密鑰K_CARD�,并且使用該密鑰K_CARD為訪問IC卡3的存儲器50。
接著�����,描述圖1中所示的通信系統(tǒng)1的整體操作�。圖28和29示出用于說明圖1中所示的通信系統(tǒng)1的整體操作的流程圖�。
步驟ST21服務(wù)提供企業(yè)15_1至15_3或者從該服務(wù)提供企業(yè)15_1至15_3接收一個請求的個人在圖1中所示的個人計(jì)算機(jī)16_1、16_2和16_3上創(chuàng)建規(guī)定使用IC卡3進(jìn)行交易的腳本程序21_1�����、21_2和21_3。另外�,負(fù)責(zé)管理SAM8的人分別對服務(wù)提供企業(yè)15_1至15_3創(chuàng)建AP管理表300_1至300_3。
步驟ST22在步驟ST21創(chuàng)建的AP管理表300_1至300_3被存儲在存儲器7中��。另外���,在步驟ST21創(chuàng)建的腳本程序21_1、21_2和21_3被從個人計(jì)算機(jī)16_1��、16_2和16_3通過互聯(lián)網(wǎng)10��、ASP服務(wù)器19和SAM8下載到外部存儲器7��。如圖10中所示��,下載在步驟ST21創(chuàng)建的腳本程序21_1����、21_2和21_3的處理由SAM8的腳本下載任務(wù)69所控制。
步驟ST23如圖13中所示�,SAM8的腳本翻譯任務(wù)70通過使用AP管理表300_1至300_3和用于每個服務(wù)提供企業(yè)的腳本程序,產(chǎn)生IC卡實(shí)體73_x��、輸入數(shù)據(jù)塊31_x1、輸出數(shù)據(jù)塊32_x2��、日志數(shù)據(jù)塊33_x3和處理定義數(shù)據(jù)塊34_x4�。這些數(shù)據(jù)塊被存儲在圖21中所示的SAM8的存儲器65中。
步驟ST24一個IC卡3被發(fā)行到用戶�����。圖5中所示用于IC卡3中的IC模塊3a被用于存儲在與服務(wù)提供企業(yè)進(jìn)行交易中所用的密鑰�����,通過該密鑰用戶可以簽訂合同��。請注意���,也可以在發(fā)行該IC卡之后通過互聯(lián)網(wǎng)10在用戶與服務(wù)提供企業(yè)之間簽訂合同���。
步驟ST25例如假設(shè)用戶使用個人計(jì)算機(jī)5來通過互聯(lián)網(wǎng)10訪問服務(wù)器2,以購買一個產(chǎn)品���。在這種情況中�����,服務(wù)器2通過互聯(lián)網(wǎng)10向ASP服務(wù)器19發(fā)出一個處理請求�����。當(dāng)接收到來自服務(wù)器2的處理請求時�,該ASP服務(wù)器19通過互聯(lián)網(wǎng)10訪問個人計(jì)算機(jī)5��。使用IC卡3執(zhí)行所要求的處理��。該處理請求卡讀取器/寫入器4發(fā)出�����,并且被通過個人計(jì)算機(jī)5��、互聯(lián)網(wǎng)10和ASP服務(wù)器19發(fā)送到SAM8�����。
步驟ST26創(chuàng)建一個實(shí)體的請求被從APS服務(wù)器19輸出到SAM8��。用于創(chuàng)建一個實(shí)體的請求包括表示該請求的發(fā)出者(即IC卡3)的數(shù)據(jù)���。
步驟ST27當(dāng)接收到用于創(chuàng)建一個實(shí)體的請求時���,SAM8對IC卡3進(jìn)行輪詢�。
步驟ST28SAM8的實(shí)體產(chǎn)生任務(wù)71在輪詢之后判斷存在于SAM8中的IC卡實(shí)體73_x數(shù)目是否超過由腳本程序的SC命令所規(guī)定的最大值�����。如果IC卡實(shí)體73_x的數(shù)目不超過該最大值���,則該處理流程進(jìn)行到步驟ST29���。否則,該操作結(jié)束�。
步驟ST29實(shí)體產(chǎn)生任務(wù)71根據(jù)表示作為用于創(chuàng)建一個實(shí)體的請求的發(fā)出者的IC卡3的數(shù)據(jù),識別其IC卡實(shí)體模板要被使用的一個服務(wù)提供企業(yè)�。這種數(shù)據(jù)被包含在用于創(chuàng)建一個實(shí)體的請求中。然后���,該實(shí)體產(chǎn)生任務(wù)71通過使用所識別的服務(wù)提供企業(yè)的IC卡實(shí)體模板而產(chǎn)生一個IC卡實(shí)體73_x����。該處理對應(yīng)于在圖24中所示的實(shí)例產(chǎn)生處理���。
步驟ST30SAM8把在步驟ST29產(chǎn)生的IC卡實(shí)體73_x的實(shí)體ID輸出到ASP服務(wù)器19���。
步驟ST31SAM8的IC卡程序管理任務(wù)72通過使用IC卡3檢驗(yàn)可以被使用的服務(wù)��。該檢驗(yàn)對應(yīng)于圖24中所示的工作RS。
步驟ST32SAM8的IC卡程序管理任務(wù)72認(rèn)證該IC卡的有效性�。該認(rèn)證對應(yīng)于圖24中所示的工作A1。
步驟ST33IC卡3認(rèn)證SAM8的有效性���。該認(rèn)證對于圖24中所示的工作A2�����。在步驟ST32和ST33執(zhí)行的認(rèn)證被稱為IC卡3與SAM8之間的相互認(rèn)證�。如上文所述�����,在相互認(rèn)證過程中�����,根據(jù)在SAM8中執(zhí)行的應(yīng)用程序元件APE����,在圖15中所示的AP管理表300_1至300_3搜索要在IC卡3與SAM8中采用的CPU51之間的相互認(rèn)證中使用的密鑰K_CARD�����。
步驟ST34SAM8的IC卡程序管理任務(wù)72把該程序所需的數(shù)據(jù)寫入IC卡3以及從IC卡3讀出所需數(shù)據(jù)���。該讀寫操作對應(yīng)于圖24中所示的工作R和W。另外���,IC卡程序管理任務(wù)72還通過使用根據(jù)IC卡實(shí)體73_x的預(yù)處理數(shù)據(jù)86識別的處理平衡�����,而對從IC卡3讀出的數(shù)據(jù)執(zhí)行預(yù)定處理����。
步驟ST35SAM8的IC卡程序管理任務(wù)72把在步驟ST34執(zhí)行處理的結(jié)果輸出到ASP服務(wù)器19�。
步驟ST36一般來說,IC卡程序管理任務(wù)72刪除該IC卡實(shí)體73_x�。
如上文所述,根據(jù)通信系統(tǒng)1的SAM單元1�����,通過把版本的概念引入到應(yīng)用程序元件APE中��,可以管理卡操作密鑰和發(fā)行密鑰數(shù)據(jù)包的版本。因此���,不再需要服務(wù)提供企業(yè)使用SAM8來執(zhí)行對于每個版本分別把一個密鑰的APS_ID定義為一個AP資源�����。結(jié)果,管理負(fù)擔(dān)變小�,例如可以設(shè)想用于把一個卡邏輯分割的數(shù)據(jù)包在不同的SAM8之間交換的一種情況。
另外��,根據(jù)通信系統(tǒng)1和SAM單元9���,通過把標(biāo)簽的概念引入到應(yīng)用程序元件APE中�����,可以引用不被應(yīng)用版本管理的應(yīng)用程序元件APE����。如果APE_ID和APE_TAG被定義在一個應(yīng)用程序中�����,例如該服務(wù)提供企業(yè)可以通過使用該標(biāo)簽而引用該應(yīng)用程序元件APE。因此��,表現(xiàn)出對于不熟悉應(yīng)用程序和/或訪問方法的服務(wù)提供企業(yè)的較低閾值的可預(yù)期的影響�����。另外����,用于把一個卡進(jìn)行邏輯分割的密鑰數(shù)據(jù)包不包括用于唯一識別分割后的信息的所有信息。因此�����,為了識別包含在SAM8之間的密鑰數(shù)據(jù)包的分割信息���,在一個日志中反映由服務(wù)提供企業(yè)達(dá)成一致的信息變?yōu)橐粋€必不可少的操作�。
另外�����,根據(jù)該通信系統(tǒng)1和SAM單元9��,通過把AP_ID與APP_ID相結(jié)合,存儲區(qū)域可以被分為系統(tǒng)區(qū)域��、被授權(quán)用戶區(qū)域和一般用戶區(qū)域��。另外���,還可以提供一種機(jī)制����,根據(jù)該操作員的負(fù)責(zé)范圍����,執(zhí)行在加密模塊的運(yùn)輸時執(zhí)行設(shè)置設(shè)備號的工作����、由主要操作的操作員(一個被授權(quán)用戶)所執(zhí)行的設(shè)置例如一個加密模塊的ID這樣的信息的工作、由次要操作員(一般用戶)所執(zhí)行的使用一個未使用的卡和管理的服務(wù)�。因此,假設(shè)多個用戶被設(shè)置等級����,該加密模塊能夠執(zhí)行一個操作。
另外�����,根據(jù)該通信系統(tǒng)1和SAM單元9,通過把一個用戶區(qū)域分為普通區(qū)域和用戶唯一的區(qū)域����,可以用對屬于所有AP資源的所有企業(yè)唯一的方式來管理對所加密模塊共同的數(shù)據(jù)。共同數(shù)據(jù)的一個例子是網(wǎng)絡(luò)設(shè)置信息�����。因此���,每個用戶可以管理與該加密模塊相關(guān)的公共項(xiàng)目�����。另外��,由于在公共區(qū)域中設(shè)置的AP資源密鑰還可以被用作為一個用戶唯一的密鑰���,該服務(wù)提供企業(yè)的密鑰管理可以變得簡單。
另外����,根據(jù)該通信系統(tǒng)1和SAM單元9���,應(yīng)用程序AP通過使用多個應(yīng)用程序元件APE而構(gòu)成,并且每個應(yīng)用程序元件APE的處理通過使用AP管理表和APP表而規(guī)定�。因此可以使用IC卡來實(shí)現(xiàn)多種服務(wù)。
另外����,根據(jù)該通信系統(tǒng)1,通過使用AP管理表和APP表���,可以在相同的SAM單元中實(shí)現(xiàn)應(yīng)用程序元件APE的應(yīng)用以及在不同SAM單元之間的應(yīng)用程序元件APE的應(yīng)用����,并且保持高度的安全性�����。
另外�,根據(jù)該通系統(tǒng)�,如果一個應(yīng)用程序元件APE被用于兩個不同的SAM單元之間,執(zhí)行SAM單元之間的相互認(rèn)證�。因此,可以更好地保證應(yīng)用程序的安全性����。
另外���,根據(jù)該通信系統(tǒng)1,一個公共類的SAM_ID被分配給相同服務(wù)提供企業(yè)的應(yīng)用程序����。因此,在屬于相同的服務(wù)提供企業(yè)的應(yīng)用程序的應(yīng)用程序元件APE之間�����,可以避免復(fù)雜的相互認(rèn)證�����,因此可以減小由SAM單元所承受的密鑰管理的負(fù)擔(dān)和處理負(fù)擔(dān)�。
通過參照圖30至33,在下文中簡要地總結(jié)與本發(fā)明的特征相關(guān)的實(shí)施例的部分�。如圖30中所示,版本(代)信息被添加到一個文件系統(tǒng)500中每個文件中�����。該版本信息通過采用相同的方法而更新����。根據(jù)一種方法���,該版本信息具有一個初值,其在每次導(dǎo)入新的一個版本時增加或減小�����。根據(jù)另一種方法�����,對例如每次導(dǎo)入新的一個版本時關(guān)于所導(dǎo)入的新一個版本的日期這樣的信息更新該版本信息�����。另外����,通過采用組合的方法來更新該版本信息。
一個應(yīng)用程序501通過使用與代無關(guān)的相關(guān)文件名來訪問一個文件�����。一個選擇單元502選擇一個版本的文件���,用于由應(yīng)用程序501所訪問���。當(dāng)選擇一個文件時,需要指定一個版本���?����?梢詫γ看卧L問選擇一個版本����,或者當(dāng)前的版本被保存用于在下一次訪問中使用��。在圖30中所示的版本指定信息504是用于保持當(dāng)前版本的方法�。作為選擇除了當(dāng)前版本之外的一個版本的技術(shù),另一個版本可以被指定為目標(biāo)文件的版本與用作為參考的當(dāng)前版本之間的差別��。
另外�,在嘗試檢測文件竄改的過程中,把一個簽名放在如圖31中所示的每個版本中���。由選擇單元502所執(zhí)行以存儲一個文件的操作中���,一個簽名產(chǎn)生/認(rèn)證單元511根據(jù)預(yù)定的算法基于一個簽名密鑰510產(chǎn)生一個簽名����,并且把該簽名置于該文件中����。另一方面,在檢索文件的操作中����,該簽名產(chǎn)生/認(rèn)證單元511根據(jù)預(yù)定的算法基于該簽名密鑰510認(rèn)證一個簽名。如果發(fā)現(xiàn)該簽名無效��,則表示該簽名無效的消息被給予該應(yīng)用程序501���。
該簽名認(rèn)證使得文件竄改被檢測�����。另外���,由于硬件故障所導(dǎo)致的文件丟失部分也可以被檢測。
圖32為示出包含在文件系統(tǒng)500中的裝置連接到網(wǎng)絡(luò)520以及上級裝置521訪問文件系統(tǒng)500的一種情況�。通過把一個簽名添加到數(shù)據(jù)中,在通過網(wǎng)絡(luò)520傳輸過程中所進(jìn)行的文件竄改以及在這種傳輸過程中丟失的數(shù)據(jù)丟失部分可以被檢測�。
例如,如圖33中所示�,每個文件包括多個記錄。在這種情況中����,一個簽名可以被添加到每個記錄中,從而可以對每個記錄認(rèn)證一個簽名�。因此,特別是在允許訪問一個文件的網(wǎng)絡(luò)環(huán)境中�����,上級裝置甚至能夠在網(wǎng)絡(luò)的不穩(wěn)定狀態(tài)中執(zhí)行對包含所接收記錄的數(shù)據(jù)的處理���。
如上文所述��,根據(jù)本發(fā)明����,可以提供一種數(shù)據(jù)處理裝置及其數(shù)據(jù)處理方法��,其能夠提高在使用集成電路(IC)來提供服務(wù)的服務(wù)器中執(zhí)行的應(yīng)用程序的保密性并且提供實(shí)現(xiàn)該數(shù)據(jù)處理方法的程序�。
另外�,根據(jù)本發(fā)明�����,還可以提供一種數(shù)據(jù)處理裝置及其數(shù)據(jù)處理方法���,其能夠在具有不同版本的多個數(shù)據(jù)相混合的條件下進(jìn)行操作����,并且提供一種實(shí)現(xiàn)該數(shù)據(jù)處理方法的程序���。
另外����,根據(jù)本發(fā)明��,還可以提供一種數(shù)據(jù)處理裝置及其數(shù)據(jù)處理方法�,其能夠?yàn)榱吮C艿哪康倪m當(dāng)?shù)叵拗朴脩粼O(shè)置應(yīng)用程序,以及提供用于實(shí)現(xiàn)該數(shù)據(jù)處理方法的程序�。
盡管本發(fā)明的優(yōu)選實(shí)施例以及使用具體的術(shù)語進(jìn)行描述,但是這種描述僅僅用于說明的目的�����,應(yīng)當(dāng)知道可以作為各種改變和變化而不脫離所附權(quán)利要求的精神或范圍。
權(quán)利要求
1.一種數(shù)據(jù)處理裝置����,其用于執(zhí)行包括多個第一數(shù)據(jù)的應(yīng)用程序��、與預(yù)定的集成電路交換數(shù)據(jù)�����、以及與所述集成電路協(xié)作提供預(yù)定的服務(wù)�����,其中所述數(shù)據(jù)處理裝置包括存儲電路�,當(dāng)該第一數(shù)據(jù)具有多個版本時,用于存儲分別與其中一個版本相關(guān)的多個第二數(shù)據(jù)�;用于管理第一數(shù)據(jù)和第二數(shù)據(jù)之間的關(guān)系的版本管理數(shù)據(jù);以及用于管理第一數(shù)據(jù)和與第一數(shù)據(jù)相關(guān)的版本管理數(shù)據(jù)之間的關(guān)系的管理數(shù)據(jù)�����;以及處理電路���,用于當(dāng)對第一數(shù)據(jù)執(zhí)行處理時�,執(zhí)行如下處理參照所述管理數(shù)據(jù)來識別所述版本管理數(shù)據(jù);確定與由所述數(shù)據(jù)處理裝置的內(nèi)部或外部所指定的一個版本相關(guān)的特定第二數(shù)據(jù)���;以及在所述處理中使用所述特定的第二數(shù)據(jù)��。
2.根據(jù)權(quán)利要求1所述的數(shù)據(jù)處理裝置��,其中所述處理電路確定與由包含在所述版本管理數(shù)據(jù)中的版本指定數(shù)據(jù)所指定的一個版本相關(guān)的一個第二數(shù)據(jù)����,并且通過使用所述確定的第二數(shù)據(jù)來執(zhí)行處理��。
3.根據(jù)權(quán)利要求2所述的數(shù)據(jù)處理裝置����,其中所述處理電路確定與從所述數(shù)據(jù)處理裝置內(nèi)部或外部指定的數(shù)值以及從由所述版本指定數(shù)據(jù)所指定的數(shù)值獲得的一個版本號相關(guān)的一個第二數(shù)據(jù),并且使用所述第二數(shù)據(jù)執(zhí)行處理����。
4.根據(jù)權(quán)利要求1所述的數(shù)據(jù)處理裝置,其中所述版本管理數(shù)據(jù)具有一個版本標(biāo)識數(shù)據(jù)以及與處于記錄格式中的所述版本標(biāo)識數(shù)據(jù)相關(guān)的所述第二數(shù)據(jù)�;以及所述處理電路通過參照所述管理數(shù)據(jù)而識別所述版本管理數(shù)據(jù),通過使用所指定的版本標(biāo)識數(shù)據(jù)作為密鑰在所述版本管理數(shù)據(jù)中搜索與所指定的版本標(biāo)識數(shù)據(jù)相關(guān)的第二數(shù)據(jù)���,并且通過使用所述第二數(shù)據(jù)執(zhí)行該處理�����。
5.根據(jù)權(quán)利要求1所述的數(shù)據(jù)處理裝置��,其中所述版本管理數(shù)據(jù)包括把所述版本標(biāo)識和與所述版本相關(guān)的一個第二數(shù)據(jù)的標(biāo)識相關(guān)聯(lián)的表格以及所述數(shù)據(jù)處理電路通過參照所述管理數(shù)據(jù)而識別所述版本管理數(shù)據(jù)�,通過使用指定的版本的標(biāo)識作為密鑰在該版本管理數(shù)據(jù)的表格中搜索與所指定的版本相關(guān)的第二數(shù)據(jù)的標(biāo)識,并且通過使用所述第二數(shù)據(jù)的所述標(biāo)識作為基礎(chǔ)執(zhí)行處理����,以獲得第二數(shù)據(jù)�����。
6.根據(jù)權(quán)利要求5所述的數(shù)據(jù)處理裝置���,其中所述第二數(shù)據(jù)的標(biāo)識包括與所述第二數(shù)據(jù)相關(guān)聯(lián)的其中一個所述第一數(shù)據(jù)的標(biāo)識和與所述第二數(shù)據(jù)相關(guān)聯(lián)的一個所述版本的標(biāo)識�。
7.根據(jù)權(quán)利要求5所述的數(shù)據(jù)處理裝置����,其中所述處理電路從所述數(shù)據(jù)處理裝置外部的一個來源接收一個命令,設(shè)置每個所述第一數(shù)據(jù)的標(biāo)識�����。
8.根據(jù)權(quán)利要求5所述的數(shù)據(jù)處理裝置,其中所述處理電路從所述數(shù)據(jù)處理裝置外部的一個來源接收一個命令��,設(shè)置每個所述版本的標(biāo)識�。
9.根據(jù)權(quán)利要求5所述的數(shù)據(jù)處理裝置,其中所述第一數(shù)據(jù)是每個密鑰���,以及每個所述版本的標(biāo)識與所述密鑰的標(biāo)識相關(guān)�。
10.根據(jù)權(quán)利要求1所述的數(shù)據(jù)處理裝置�����,其中所述第一數(shù)據(jù)是每個簽名密鑰����;以及所述處理電路通過參照所述管理數(shù)據(jù)識別與所述第一數(shù)據(jù)相關(guān)聯(lián)的所述版本管理數(shù)據(jù),使用所述版本管理數(shù)據(jù)來訪問與所述數(shù)據(jù)處理裝置內(nèi)部或外部指定的版本相關(guān)聯(lián)的所述第二數(shù)據(jù)��,并且使用存儲在所述第二數(shù)據(jù)中的版本簽名密鑰來執(zhí)行簽名創(chuàng)建處理或者簽名認(rèn)證處理���。
11.根據(jù)權(quán)利要求10所述的數(shù)據(jù)處理裝置��,其中所述處理電路使用所述簽名密鑰執(zhí)行前面創(chuàng)建處理或者使用所述簽名密鑰執(zhí)行簽名認(rèn)證處理��,以認(rèn)證部分或所有所述第一數(shù)據(jù)的有效性��。
12.根據(jù)權(quán)利要求11所述的數(shù)據(jù)處理裝置��,其中當(dāng)在所述第一數(shù)據(jù)中的數(shù)據(jù)包括一個記錄或者多個記錄�����,所述處理電路通過執(zhí)行如下步驟而執(zhí)行該處理對每個所述記錄��,根據(jù)所述簽名密鑰以及根據(jù)預(yù)定的加密算法對一部分或所有包含在所述記錄中的數(shù)據(jù)創(chuàng)建一個簽名�����;在把所述記錄寫入到所述存儲電路之前�,把所述簽名添加到所述記錄中��;當(dāng)從所述存儲電路讀出所述第一數(shù)據(jù)的任何指定的一個所述記錄時����,根據(jù)用于寫入所述簽名的所述簽名密鑰以及根據(jù)所述加密算法產(chǎn)生一個簽名;以及把所述產(chǎn)生的簽名與添加到所述指定記錄中的所述簽名相比較���,以形成對所述指定記錄的有效性的判斷�����。
13.根據(jù)權(quán)利要求1所述的數(shù)據(jù)處理裝置�,其中每個所述第一數(shù)據(jù)包括如下數(shù)據(jù)之一用于使用所述數(shù)據(jù)執(zhí)行處理的歷史數(shù)據(jù);示出用于在所述存儲區(qū)域中記錄所述數(shù)據(jù)的程序的程序數(shù)據(jù)��;示出用于從所述存儲區(qū)域中刪除所述數(shù)據(jù)的記錄的程序的程序數(shù)據(jù)�;以及示出用于規(guī)定存儲所述應(yīng)用程序的所述存儲區(qū)域的程序的程序數(shù)據(jù)。
14.一種由數(shù)據(jù)處理裝置所采用的數(shù)據(jù)處理方法���,用于與預(yù)定的集成電路交換數(shù)據(jù)�,以通過執(zhí)行包括多個第一數(shù)據(jù)的應(yīng)用程序而與該集成電路合作提供預(yù)定服務(wù)���,其中該數(shù)據(jù)處理方法包括如下步驟當(dāng)所述第一數(shù)據(jù)具有多個版本時��,準(zhǔn)備分別與其中一個所述版本相關(guān)的多個第二數(shù)據(jù)���;用于管理所述第一數(shù)據(jù)和所述第二數(shù)據(jù)之間的關(guān)系的版本管理數(shù)據(jù);以及用于管理所述第一數(shù)據(jù)和與所述第一數(shù)據(jù)相關(guān)的所述版本管理數(shù)據(jù)之間的關(guān)系的管理數(shù)據(jù)��;當(dāng)對第一數(shù)據(jù)執(zhí)行處理時�,所述數(shù)據(jù)處理裝置參照所述管理數(shù)據(jù)來識別所述版本管理數(shù)據(jù);使所述數(shù)據(jù)處理裝置使用所述識別的版本管理數(shù)據(jù)來確定與由所述數(shù)據(jù)處理裝置的內(nèi)部或外部所指定的一個所述版本相關(guān)的特定的一個所述第二數(shù)據(jù)�;以及使所述數(shù)據(jù)處理裝置使用所述特定的第二數(shù)據(jù)���。
15.根據(jù)權(quán)利要求14所述的數(shù)據(jù)處理方法,其中所述版本管理數(shù)據(jù)以一種記錄格式保存所述版本的標(biāo)識和與所述版本相關(guān)聯(lián)的所述第二數(shù)據(jù)����,其中進(jìn)一步包括如下步驟使所述數(shù)據(jù)處理裝置參照所述管理數(shù)據(jù)以識別所述版本管理數(shù)據(jù);使所述數(shù)據(jù)處理裝置通過使用指定版本的標(biāo)識作為密鑰來在所述指定版本管理數(shù)據(jù)中搜索與所述指定版本相關(guān)聯(lián)的特定一個所述第二數(shù)據(jù)�;使所述數(shù)據(jù)處理裝置在處理中使用所述特定的第二數(shù)據(jù)。
16.根據(jù)權(quán)利要求14所述的數(shù)據(jù)處理方法����,其中所述版本管理數(shù)據(jù)包括把每個版本的標(biāo)識與關(guān)于所述版本的一個所述第二數(shù)據(jù)的標(biāo)識相關(guān)聯(lián)的表格,所述數(shù)據(jù)處理方法進(jìn)一步包括如下步驟使所述數(shù)據(jù)處理裝置通過參照所述管理數(shù)據(jù)而識別所述版本管理數(shù)據(jù)����;使所述數(shù)據(jù)處理裝置通過使用一個指定版本的標(biāo)識作為密鑰而在所述版本管理數(shù)據(jù)的所述表格中搜索與所述指定版本相關(guān)的所述第二數(shù)據(jù)的標(biāo)識;以及使所述數(shù)據(jù)處理裝置執(zhí)行處理���,以通過使用所述第二數(shù)據(jù)的所述標(biāo)識作為基礎(chǔ)而執(zhí)行處理,以獲得所述第二數(shù)據(jù)的所述標(biāo)識����。
17.一種由數(shù)據(jù)處理裝置所采用的程序,用于與預(yù)定的集成電路交換數(shù)據(jù)���,以通過執(zhí)行包括多個第一數(shù)據(jù)的應(yīng)用程序而與該集成電路合作提供預(yù)定服務(wù)�,其中該程序包括如下步驟當(dāng)該第一數(shù)據(jù)具有多個版本時,準(zhǔn)備分別與其中一個版本相關(guān)的多個第二數(shù)據(jù)���;用于管理第一數(shù)據(jù)和第二數(shù)據(jù)之間的關(guān)系的版本管理數(shù)據(jù)��;以及用于管理第一數(shù)據(jù)和與第一數(shù)據(jù)相關(guān)的版本管理數(shù)據(jù)之間的關(guān)系的管理數(shù)據(jù)��;當(dāng)對第一數(shù)據(jù)執(zhí)行處理時��,所述數(shù)據(jù)處理裝置參照該管理數(shù)據(jù)來識別版本管理數(shù)據(jù)�;使該數(shù)據(jù)處理裝置使用所識別的版本管理數(shù)據(jù)來確定與由所述數(shù)據(jù)處理裝置的內(nèi)部或外部所指定的一個版本相關(guān)的特定的一個第二數(shù)據(jù)�����;以及使該數(shù)據(jù)處理裝置在處理中使用該特定的第二數(shù)據(jù)���。
18.根據(jù)權(quán)利要求17所述的程序�����,其中所述版本管理數(shù)據(jù)以一種記錄格式保存所述版本的標(biāo)識和與所述版本相關(guān)聯(lián)的所述第二數(shù)據(jù)�,所述程序進(jìn)一步包括如下步驟通過使用指定版本的標(biāo)識作為密鑰來在所述指定版本管理數(shù)據(jù)中搜索與所述指定版本相關(guān)聯(lián)的特定一個所述第二數(shù)據(jù)。
19.根據(jù)權(quán)利要求17所述的程序����,其中當(dāng)所述版本管理數(shù)據(jù)包括把每個版本的標(biāo)識與關(guān)于所述版本的一個所述第二數(shù)據(jù)的標(biāo)識相關(guān)聯(lián)的表格,所述程序進(jìn)一步包括如下步驟通過使用一個指定版本的標(biāo)識作為密鑰而在所述版本管理數(shù)據(jù)的所述表格中搜索與所述指定版本相關(guān)的所述第二數(shù)據(jù)的標(biāo)識��;以及通過使用所述第二數(shù)據(jù)的所述標(biāo)識作為基礎(chǔ)而執(zhí)行處理�,以獲得所述第二數(shù)據(jù)的所述標(biāo)識。
20.一種數(shù)據(jù)處理裝置����,用于通過使用多個第二數(shù)據(jù)來執(zhí)行與集成電路之間的通信,每個第二數(shù)據(jù)包括多個第一數(shù)據(jù)�,所述數(shù)據(jù)處理裝置包括存儲電路,包括存儲要由與第二數(shù)據(jù)相關(guān)的第一用戶所訪問的第二數(shù)據(jù)的多個第一存儲區(qū)域�����、用于存儲由多個第一用戶所共享的第二數(shù)據(jù)的第二存儲區(qū)域�、以及用于存儲僅僅可由被授權(quán)用戶所訪問的第二數(shù)據(jù)的第三存儲區(qū)域;以及處理電路�,用于根據(jù)規(guī)定許可/不許可對存儲電路的第一、第二和第三存儲區(qū)域進(jìn)行層級訪問的訪問管理數(shù)據(jù)�,確定是否允許通過使用一個第一數(shù)據(jù)的標(biāo)識和一個第二數(shù)據(jù)的標(biāo)識而訪問該存儲電路的第一�����、第二和第三存儲區(qū)域。
21.根據(jù)權(quán)利要求20所述的數(shù)據(jù)處理裝置�,其中由與所述第二數(shù)據(jù)相關(guān)聯(lián)的所述第一用戶通過使用預(yù)定的密鑰,加密存儲在所述第一存儲區(qū)域中的所述第二數(shù)據(jù)����。
22.根據(jù)權(quán)利要求20所述的數(shù)據(jù)處理裝置,其中所述處理電路允許通過使用用于設(shè)置存儲在所述第一存儲區(qū)域中的所述第二數(shù)據(jù)的密鑰����,來設(shè)置存儲在所述第二存儲區(qū)域中的所述第二數(shù)據(jù)。
23.一種在數(shù)據(jù)處理裝置中采用的數(shù)據(jù)處理方法���,用于通過使用多個第二數(shù)據(jù)來執(zhí)行與集成電路之間的通信�����,每個第二數(shù)據(jù)包括多個第一數(shù)據(jù)���,該數(shù)據(jù)處理方法包括如下步驟準(zhǔn)備一個存儲電路,其包括存儲要由與第二數(shù)據(jù)相關(guān)的第一用戶所訪問的第二數(shù)據(jù)的多個第一存儲區(qū)域�、用于存儲由多個第一用戶所共享的第二數(shù)據(jù)的第二存儲區(qū)域、以及用于存儲僅僅可由被授權(quán)用戶所訪問的第二數(shù)據(jù)的第三存儲區(qū)域�;以及根據(jù)規(guī)定許可/不許可對存儲電路的第一、第二和第三存儲區(qū)域進(jìn)行層級訪問的訪問管理數(shù)據(jù),確定是否允許通過使用一個第一數(shù)據(jù)的標(biāo)識和一個第二數(shù)據(jù)的標(biāo)識而允許/不允許訪問該存儲電路�。
24.根據(jù)權(quán)利要求23所述的數(shù)據(jù)處理方法,其中由與所述第二數(shù)據(jù)相關(guān)聯(lián)的所述第一用戶通過使用預(yù)定的密鑰���,加密存儲在所述第一存儲區(qū)域中的所述第二數(shù)據(jù)���。
25.根據(jù)權(quán)利要求23所述的數(shù)據(jù)處理方法,其中允許通過使用用于設(shè)置存儲在所述第一存儲區(qū)域中的所述第二數(shù)據(jù)的密鑰�����,來設(shè)置存儲在所述第二存儲區(qū)域中的所述第二數(shù)據(jù)����。
26.一種在數(shù)據(jù)處理裝置中采用的程序,用于通過使用多個第二數(shù)據(jù)來執(zhí)行與集成電路之間的通信���,每個第二數(shù)據(jù)包括多個第一數(shù)據(jù)��,其中該程序包括如下步驟準(zhǔn)備一個存儲電路�,其包括存儲要由與第二數(shù)據(jù)相關(guān)的第一用戶所訪問的第二數(shù)據(jù)的多個第一存儲區(qū)域����、用于存儲由多個第一用戶所共享的第二數(shù)據(jù)的第二存儲區(qū)域����、以及用于存儲僅僅可由被授權(quán)用戶所訪問的第二數(shù)據(jù)的第三存儲區(qū)域�����;以及根據(jù)規(guī)定許可/不許可對存儲電路的第一�����、第二和第三存儲區(qū)域進(jìn)行層級訪問的訪問管理數(shù)據(jù)�,確定是否允許通過使用一個第一數(shù)據(jù)的標(biāo)識和一個第二數(shù)據(jù)的標(biāo)識而允許/不允許訪問該存儲電路����。
全文摘要
一種應(yīng)用程序包括多個第一應(yīng)用程序元件,每個元件具有多個版本�����。在這種情況中���,通過使用分別用于管理分別對應(yīng)于一個版本的多個第二應(yīng)用程序元件與第一應(yīng)用程序元件之間的對應(yīng)關(guān)系�,以及通過使用用于管理第一應(yīng)用程序元件與該版本管理數(shù)據(jù)之間的關(guān)系的管理數(shù)據(jù)���,來管理該版本���。結(jié)果��,可以提供一種數(shù)據(jù)處理裝置���,其能夠適當(dāng)?shù)叵拗朴脩粼谝粋€用于保密目的的服務(wù)器中設(shè)置應(yīng)用程序。
文檔編號G06F21/22GK1416054SQ02147939
公開日2003年5月7日 申請日期2002年10月30日 優(yōu)先權(quán)日2001年10月30日
發(fā)明者末吉正弘, 久保野文夫, 館野啟 申請人:索尼株式會社