專利名稱:存儲(chǔ)裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及諸如半導(dǎo)體存儲(chǔ)卡之類的存儲(chǔ)裝置,更具體而言,涉及試圖對(duì)具有機(jī)密性的區(qū)域進(jìn)行更快速的數(shù)據(jù)寫入和讀取。
背景技術(shù):
近年來(lái)在電子商務(wù)中越來(lái)越多地使用的智能卡與簡(jiǎn)單的存儲(chǔ)卡不同,其具有卡載(on board)的CPU,并且可以執(zhí)行智能處理。智能卡在具有防篡改(tamper resistance)功能的模塊(防篡改模塊TRM)中具有存儲(chǔ)區(qū)域;因此,它們可以確保數(shù)據(jù)機(jī)密并且嚴(yán)防偽造和復(fù)制。然而,智能卡的存儲(chǔ)容量約為幾萬(wàn)字節(jié),并且它們不能存儲(chǔ)像用于數(shù)據(jù)存儲(chǔ)的存儲(chǔ)卡可以存儲(chǔ)的那樣多的數(shù)據(jù)。
通過使用終端應(yīng)用程序(以下,術(shù)語(yǔ)“應(yīng)用程序”簡(jiǎn)稱為“應(yīng)用”)啟動(dòng)合并在智能卡中的卡應(yīng)用,來(lái)起動(dòng)由智能卡執(zhí)行的處理。該處理在進(jìn)行通信的同時(shí)進(jìn)行,在通信過程中,終端應(yīng)用發(fā)送命令并且卡應(yīng)用向其發(fā)回應(yīng)答。國(guó)際標(biāo)準(zhǔn)ISO/IEC 7816規(guī)定了關(guān)于命令和應(yīng)答的交換的國(guó)際標(biāo)準(zhǔn),其規(guī)定命令采取被稱為APDU的形式(應(yīng)用協(xié)議數(shù)據(jù)單元)。(參見非專利參考文件1“interface”March 2003,CQ Shuppansha,pp.49-50。)申請(qǐng)人先前開發(fā)了一種存儲(chǔ)卡(以下將此卡稱為“安全存儲(chǔ)卡”),其具有智能卡的智能特性和可與存儲(chǔ)卡相比的存儲(chǔ)容量二者(日本專利申請(qǐng)第2003-042288號(hào))。此安全存儲(chǔ)卡包括第一非防篡改存儲(chǔ)器,其具有可以從終端訪問的普通區(qū)域和不可以從終端直接訪問的安全區(qū)域,和第二防篡改存儲(chǔ)器,不可以從終端直接對(duì)其進(jìn)行訪問;并且將此安全存儲(chǔ)卡配置為只能通過用于管理對(duì)第二存儲(chǔ)器的訪問的安全控制部分來(lái)訪問第一存儲(chǔ)器的安全區(qū)域。
這樣,即使存儲(chǔ)區(qū)域的配置是非防篡改的,也可以將安全區(qū)域作為具有大容量的機(jī)密區(qū)域來(lái)利用,并且此安全區(qū)域可以處理幾十兆字節(jié)的大量數(shù)據(jù),比第二防篡改存儲(chǔ)器可以處理的字節(jié)多得多。
然而,當(dāng)根據(jù)ISO/IEC 7816規(guī)定的APDU將卡應(yīng)用使用的大容量數(shù)據(jù)寫入安全區(qū)域時(shí)出現(xiàn)以下問題。該標(biāo)準(zhǔn)將從終端到卡一次可以傳送的數(shù)據(jù)量限制到最多約為64KB(用許多智能卡時(shí)約為256字節(jié)),因此當(dāng)寫入幾十兆字節(jié)的數(shù)據(jù)量時(shí),必須將數(shù)據(jù)分割并處理幾百到幾千次,所以到寫入完成時(shí)需要幾分鐘到幾小時(shí)。當(dāng)在發(fā)貨(shipment)前將相同的數(shù)據(jù)寫入大量安全存儲(chǔ)器例如多于1000個(gè)存儲(chǔ)器時(shí),這樣冗長(zhǎng)的寫入時(shí)間成為巨大的障礙。
發(fā)明內(nèi)容
本發(fā)明解決了這樣的問題,其目的在于提供一種存儲(chǔ)裝置,該存儲(chǔ)裝置可以在短時(shí)間內(nèi)將大容量數(shù)據(jù)寫入安全區(qū)域并從其讀取大容量數(shù)據(jù)。
因此,本發(fā)明提供一種固定地或可分離地連接到電子裝置上的存儲(chǔ)裝置,其包括存儲(chǔ)區(qū)域,從電子裝置不可直接對(duì)其進(jìn)行訪問;安全控制部分,其管理對(duì)存儲(chǔ)區(qū)域的訪問;和裝置控制部分,其與電子裝置進(jìn)行通信并且將來(lái)自電子裝置的請(qǐng)求傳送至安全控制部分,其中,如果有來(lái)自已認(rèn)證的(authenticated)電子裝置的對(duì)大容量數(shù)據(jù)進(jìn)行寫或讀的請(qǐng)求,那么安全控制部分臨時(shí)授予裝置控制部分對(duì)存儲(chǔ)區(qū)域的訪問權(quán)限,并且已經(jīng)被授予訪問權(quán)限的裝置控制部分通過突發(fā)傳送(burst transfer)將從電子裝置發(fā)送的數(shù)據(jù)寫入存儲(chǔ)區(qū)域,或者通過突發(fā)傳送將從存儲(chǔ)區(qū)域讀取的數(shù)據(jù)發(fā)送至電子裝置。
因此,由于數(shù)據(jù)的突發(fā)傳送而減少了命令交換的次數(shù),從而使處理加快。
而且,用按照APDU標(biāo)準(zhǔn)化的命令來(lái)執(zhí)行安全控制部分的處理,因此,此存儲(chǔ)裝置具有與現(xiàn)有的智能卡的國(guó)際標(biāo)準(zhǔn)的高度兼容性。通過在APDU的幀內(nèi)設(shè)置有關(guān)裝置控制部分的處理的命令,該存儲(chǔ)裝置可以支持現(xiàn)有的智能卡的國(guó)際標(biāo)準(zhǔn)而無(wú)需改進(jìn)。即使當(dāng)設(shè)置了專用命令時(shí),該存儲(chǔ)卡也可以保持與終端應(yīng)用中的微小變化的兼容性。
圖1是示出根據(jù)本發(fā)明的第一實(shí)施例的安全存儲(chǔ)卡的配置的方框圖;圖2是示意性地示出根據(jù)本發(fā)明的第一實(shí)施例的安全存儲(chǔ)卡的操作的圖解;圖3是示出根據(jù)本發(fā)明的第一實(shí)施例的安全存儲(chǔ)卡的操作過程的流程圖;
圖4是示出根據(jù)本發(fā)明的第一實(shí)施例的安全存儲(chǔ)卡的詳細(xì)操作過程的流程圖;圖5是示出根據(jù)本發(fā)明的第二實(shí)施例的安全存儲(chǔ)卡的操作過程的流程圖;圖6是示出根據(jù)本發(fā)明的第二實(shí)施例的單-芯片配置的圖解;圖7是示出根據(jù)本發(fā)明的第二實(shí)施例的雙-芯片配置的圖解;圖8是示出根據(jù)本發(fā)明的第二實(shí)施例的雙-芯片配置中的加密轉(zhuǎn)換過程的圖解。
附圖中的附圖標(biāo)記分別表示如下10--安全存儲(chǔ)卡;20--控制部分;21--安全區(qū)域大容量訪問功能;40--防篡改模塊;41--內(nèi)部非易失性存儲(chǔ)器;42--安全控制部分;43--智能卡功能軟件程序;44--內(nèi)部CPU;50--大容量非易失性存儲(chǔ)器;51--安全區(qū)域;52--非認(rèn)證(non-authentication)區(qū)域;和60--終端設(shè)備的外部CPU。
具體實(shí)施例方式
(第一實(shí)施例)如圖1所示,根據(jù)本發(fā)明的第一實(shí)施例的安全存儲(chǔ)卡包括防篡改模塊40,其包括內(nèi)部非易失性存儲(chǔ)器41和安全控制部分42;大容量非易失性存儲(chǔ)器50,其包括非認(rèn)證區(qū)域52和安全區(qū)域51;和控制部分(裝置控制部分)20,其與終端裝置(讀/寫裝置)的外部CPU 60通信,并且控制對(duì)終端裝置的存儲(chǔ)區(qū)域的訪問。
安全控制部分42包括內(nèi)部CPU 44,其包括CPU、ROM、RAM和解密引擎;卡應(yīng)用軟件程序43,用于實(shí)施智能卡功能,并且安全控制部分42可以訪問內(nèi)部非易失性存儲(chǔ)器41和安全區(qū)域51。
控制部分20具有一種卡應(yīng)用,其實(shí)施安全區(qū)域大容量訪問功能21,以便將大容量數(shù)據(jù)寫入安全區(qū)域51(或從其讀出該數(shù)據(jù))。當(dāng)作為通信一方(partner)的終端裝置的外部CPU 60請(qǐng)求對(duì)非認(rèn)證區(qū)域52的訪問時(shí),控制部分20無(wú)條件地允許該訪問,而當(dāng)終端裝置的請(qǐng)求是對(duì)于內(nèi)部非易失性存儲(chǔ)器41或安全區(qū)域51的時(shí),控制部分將該請(qǐng)求傳送至安全控制部分42。此外,當(dāng)從安全控制部分42對(duì)安全區(qū)域51授予訪問權(quán)限時(shí),控制部分執(zhí)行安全區(qū)域大容量訪問功能21。
TRM 40的內(nèi)部非易失性存儲(chǔ)器41包括可以按照16字節(jié)擦/寫數(shù)據(jù)的EEPROM,并且大容量非易失性存儲(chǔ)器50包括例如能夠以512字節(jié)等的塊進(jìn)行擦除的快閃存儲(chǔ)器,并且快閃存儲(chǔ)器能夠以1字節(jié)來(lái)寫數(shù)據(jù)。
安全區(qū)域51和內(nèi)部非易失性存儲(chǔ)器41之間的差別在于安全區(qū)域51設(shè)在非防篡改大容量非易失性存儲(chǔ)器50中,而內(nèi)部非易失性存儲(chǔ)器41設(shè)在TRM 40中。由于這個(gè)原因,安全區(qū)域51可以比內(nèi)部非易失性存儲(chǔ)器41具有更大的存儲(chǔ)容量,但是另一方面,其安全級(jí)別低于設(shè)在TRM 40中的內(nèi)部非易失性存儲(chǔ)器41。三個(gè)區(qū)域的安全級(jí)別為非認(rèn)證區(qū)域52的安全級(jí)別最低,安全區(qū)域51較高,內(nèi)部非易失性存儲(chǔ)器41更高。
控制部分20解釋從外部CPU 60接收的命令,并且確定該命令是請(qǐng)求對(duì)非認(rèn)證區(qū)域52的訪問還是請(qǐng)求由智能卡功能進(jìn)行的處理。如果請(qǐng)求對(duì)非認(rèn)證區(qū)域52的訪問,那么控制部分無(wú)條件地允許該訪問請(qǐng)求,然而如果請(qǐng)求由智能卡功能進(jìn)行的處理,那么控制部分將該命令傳送至安全控制部分42。
在安全控制部分42上執(zhí)行的智能卡功能43解釋從控制部分20發(fā)送的命令,并且確定該處理請(qǐng)求是請(qǐng)求向內(nèi)部非易失性存儲(chǔ)器41寫入或從其讀出數(shù)據(jù);向安全區(qū)域51寫入或從其讀出數(shù)據(jù);認(rèn)證;還是其它處理。
當(dāng)該命令請(qǐng)求認(rèn)證時(shí),執(zhí)行認(rèn)證處理。另一方面,當(dāng)該命令請(qǐng)求向內(nèi)部非易失性存儲(chǔ)器41寫入或從其讀出數(shù)據(jù),或該命令請(qǐng)求向安全區(qū)域51寫入或從其讀出數(shù)據(jù)時(shí),控制部分確認(rèn)認(rèn)證處理是否已經(jīng)完成,并且如果認(rèn)證處理已經(jīng)完成則允許該請(qǐng)求。用由內(nèi)部非易失性存儲(chǔ)器41保持的加密密鑰來(lái)加密寫入數(shù)據(jù),并且將其寫入內(nèi)部非易失性存儲(chǔ)器41或安全區(qū)域51。相反,當(dāng)讀出時(shí),從內(nèi)部非易失性存儲(chǔ)器41或安全區(qū)域51讀出數(shù)據(jù),并且用由內(nèi)部非易失性存儲(chǔ)器41保持的解密密鑰對(duì)其進(jìn)行解密,并且將該數(shù)據(jù)通過控制部分20傳送至終端裝置。
同時(shí),如圖2中示意性地示出的那樣,當(dāng)有一個(gè)該終端裝置發(fā)出的對(duì)大容量數(shù)據(jù)的寫入(或讀入)請(qǐng)求時(shí),在安全控制部分42中執(zhí)行的智能卡功能43認(rèn)證諸如移動(dòng)電話之類的終端裝置60([1]),并且如果認(rèn)證成功完成,那么向控制部分20臨時(shí)授予對(duì)安全區(qū)域51的訪問權(quán)限(和使用加密密鑰的權(quán)利)([2])。已經(jīng)接收此授權(quán)的控制部分20啟動(dòng)安全區(qū)域大容量訪問功能21,加密從終端裝置60發(fā)送的大容量數(shù)據(jù),并將該數(shù)據(jù)寫入安全區(qū)域51(或者其從安全區(qū)域51讀出大容量數(shù)據(jù),解密該數(shù)據(jù),并且將該數(shù)據(jù)發(fā)送至終端裝置60)([3])。
圖3示出在此情況下終端60和安全存儲(chǔ)卡的處理流程。
終端60請(qǐng)求認(rèn)證,并且在安全控制部分42中執(zhí)行的智能卡功能43執(zhí)行與終端60的相互認(rèn)證([1])。隨后,它們交換僅用于此通信的會(huì)話密鑰([2])。
作為交換會(huì)話密鑰的一種方法,例如,DH(Diffie-Hellman)方法是眾所周知的。利用此密鑰交換方法,當(dāng)在終端60和安全控制部分42之間交換會(huì)話密鑰K時(shí),終端60和安全控制部分42首先利用共享信息,例如當(dāng)前日期的月份(p)和日期(z),通過計(jì)算公式e=Zmodp、根據(jù)p和z來(lái)計(jì)算e。隨后,終端60產(chǎn)生并保持隨機(jī)數(shù)a,通過計(jì)算公式m=e^a產(chǎn)生m,并且將結(jié)果得到的m發(fā)送至安全控制部分42。同時(shí),安全控制部分42產(chǎn)生并保持隨機(jī)數(shù)b,通過計(jì)算公式n=e^b產(chǎn)生n,并且將結(jié)果得到的n發(fā)送至終端60。
已經(jīng)接收n的終端60通過公式K=n^a=e^ab來(lái)產(chǎn)生會(huì)話密鑰K,并且已經(jīng)接收m的安全控制部分42通過公式K=m^b=e^ab來(lái)產(chǎn)生與終端60的密鑰相同的會(huì)話密鑰K。
已經(jīng)執(zhí)行密鑰交換的終端60發(fā)送對(duì)安全區(qū)域51的訪問請(qǐng)求,并且智能卡功能43返回一個(gè)應(yīng)答([3])。智能卡功能43向控制部分20授予對(duì)安全區(qū)域51的訪問權(quán)限,并將該會(huì)話密鑰和用于存儲(chǔ)在安全區(qū)域51中的數(shù)據(jù)的加密密鑰(安全區(qū)域密鑰)傳遞至控制部分20??刂撇糠?0啟動(dòng)安全區(qū)域大容量訪問功能21([3]′)。
在寫請(qǐng)求的情況下,終端60發(fā)送由會(huì)話密鑰加密的大容量數(shù)據(jù)??刂撇糠?0的安全區(qū)域大容量訪問功能21用該會(huì)話密鑰解密依次接收的大容量數(shù)據(jù),用安全區(qū)域密鑰對(duì)它們進(jìn)行加密,并且將它們寫入安全區(qū)域51([4])。當(dāng)完成大容量數(shù)據(jù)的寫入時(shí),終端60發(fā)送終止請(qǐng)求,并且智能卡功能43返回一個(gè)應(yīng)答,并使被給予控制部分20的訪問權(quán)限無(wú)效([5])。
應(yīng)當(dāng)注意,安全區(qū)域大容量訪問功能21可以將數(shù)據(jù)寫入安全區(qū)域51而無(wú)需對(duì)它們進(jìn)行加密,并且智能卡功能43可以稍后對(duì)已經(jīng)寫入安全區(qū)域51的數(shù)據(jù)進(jìn)行加密。在此情況下,在授予訪問權(quán)限中智能卡功能43不需要將安全區(qū)域密鑰傳遞至控制部分20。
另一方面,當(dāng)終端60請(qǐng)求讀取大容量數(shù)據(jù)時(shí),已經(jīng)在步驟[3]′啟動(dòng)的控制部分20的安全區(qū)域大容量訪問功能21從安全區(qū)域51讀出作為讀請(qǐng)求的對(duì)象的數(shù)據(jù);其用安全區(qū)域密鑰解密該數(shù)據(jù),由此用會(huì)話密鑰加密該數(shù)據(jù),并將該數(shù)據(jù)發(fā)送至終端60。終端60用會(huì)話密鑰解密該已加密的數(shù)據(jù)并使用該數(shù)據(jù)([4])。當(dāng)完成作為讀請(qǐng)求的對(duì)象的大容量數(shù)據(jù)的獲取時(shí),終端60確認(rèn)(acknowledge)讀取終止,智能卡功能43返回一個(gè)應(yīng)答并使被給予控制部分20的訪問權(quán)限無(wú)效([5])。
圖4的流程圖示出在此過程中在智能卡功能43、安全區(qū)域大容量訪問功能21和安全區(qū)域(管理機(jī)制)51中執(zhí)行的詳細(xì)處理過程的一個(gè)示例,當(dāng)已經(jīng)完成認(rèn)證和密鑰交換([1]、[2])的終端60發(fā)送訪問請(qǐng)求時(shí)([3]),智能卡功能43請(qǐng)求發(fā)放(issue)用于認(rèn)證安全區(qū)域51的訪問權(quán)限的訪問權(quán)證(access ticket)([3]-1),并且安全區(qū)域51發(fā)放附加會(huì)話ID的權(quán)證([3]-2)。智能卡功能43將權(quán)證、會(huì)話密鑰和安全區(qū)域密鑰傳遞至安全區(qū)域大容量訪問功能21,并且向其授予訪問權(quán)限([3]-3)。當(dāng)接收到這些時(shí),安全區(qū)域大容量訪問功能21設(shè)置訪問ID和數(shù)據(jù)尺寸([3]-4),并且將這些訪問ID和尺寸包括在對(duì)訪問請(qǐng)求的應(yīng)答中,并且將它們發(fā)送至終端60([3])。
終端60將對(duì)大容量數(shù)據(jù)的寫/讀命令發(fā)送至安全區(qū)域大容量訪問功能21,同時(shí)指定訪問ID([4]-1),并且安全區(qū)域大容量訪問功能21使用訪問權(quán)證和密鑰(安全區(qū)域密鑰和會(huì)話密鑰)將大容量數(shù)據(jù)寫入安全區(qū)域51或者從其讀取大容量數(shù)據(jù)([4]-2)。
當(dāng)終端60作出終止請(qǐng)求時(shí)([5]),智能卡功能43請(qǐng)求安全區(qū)域51使該權(quán)證無(wú)效([5]-1)。應(yīng)當(dāng)注意,當(dāng)檢測(cè)到寫/讀的結(jié)束時(shí),安全區(qū)域51可以自動(dòng)使該權(quán)證無(wú)效。
因此,在執(zhí)行大容量數(shù)據(jù)的寫或讀的情況下,此安全存儲(chǔ)卡10通過智能卡功能43執(zhí)行該處理(相互認(rèn)證、密鑰交換),通過安全區(qū)域大容量訪問功能21執(zhí)行該處理,并最后通過智能卡功能43執(zhí)行終止處理。
在安全區(qū)域大容量訪問功能21的處理中,通過突發(fā)傳送來(lái)傳送數(shù)據(jù)。因此,通過減少命令交換的次數(shù),可以減少開銷(不直接用于指定的任務(wù)的時(shí)間),從而使處理加快。突發(fā)傳送一次可以處理MB(兆字節(jié))級(jí)的數(shù)據(jù),從而可以將該數(shù)據(jù)量的寫時(shí)間縮短到幾秒鐘至幾分鐘。
此外,當(dāng)然用按照APDU標(biāo)準(zhǔn)化的命令來(lái)執(zhí)行由安全存儲(chǔ)卡10的智能卡功能43進(jìn)行的相互認(rèn)證、密鑰交換處理和終止處理,但是通過在APDU的幀(frame)中設(shè)置有關(guān)由安全區(qū)域大容量訪問功能21進(jìn)行的大容量數(shù)據(jù)的寫-讀處理的命令,存儲(chǔ)卡可以支持現(xiàn)有的智能卡的國(guó)際標(biāo)準(zhǔn),而無(wú)需改進(jìn)。
而且,也可以提供用于大容量數(shù)據(jù)的寫-讀處理的專用命令,并且同樣在此情況下,安全存儲(chǔ)卡10僅通過微小的改進(jìn)就可以用于與現(xiàn)有的智能卡的國(guó)際標(biāo)準(zhǔn)相兼容的終端裝置的終端應(yīng)用。
而且,通過用會(huì)話密鑰加密大容量數(shù)據(jù),可以防止在傳送過程中大容量數(shù)據(jù)的泄漏的意外發(fā)生。應(yīng)當(dāng)注意,當(dāng)在確保安全的環(huán)境中(例如,在安全存儲(chǔ)卡的制造過程中)執(zhí)行大容量數(shù)據(jù)的寫和讀時(shí),可以省去用會(huì)話密鑰的加密。
(第二實(shí)施例)本發(fā)明的第二實(shí)施例描述一種方案,其當(dāng)將對(duì)安全區(qū)域的訪問權(quán)限給予控制部分時(shí)避免已預(yù)料的事故。在此描述中,使用與圖1中的標(biāo)號(hào)相同的標(biāo)號(hào)。
可以預(yù)見到當(dāng)根據(jù)第一實(shí)施例的方法執(zhí)行大容量數(shù)據(jù)的寫-讀時(shí),可能發(fā)生這樣的事故,即在控制部分20保持對(duì)安全區(qū)域51的訪問權(quán)限期間,通過控制部分20從安全區(qū)域51不合法地讀出數(shù)據(jù),將數(shù)據(jù)不合法地寫入安全區(qū)域51,或者要傳遞到控制部分20的安全區(qū)域密鑰泄漏。
為了防止這種情況,對(duì)于給出訪問權(quán)限的定時(shí)來(lái)講,有必要在執(zhí)行大容量數(shù)據(jù)的實(shí)際寫和讀的緊前面向控制部分20給予安全區(qū)域51的訪問權(quán)限,并且該處理一旦完成就使該訪問權(quán)限無(wú)效。
也可以給予控制部分20訪問權(quán)限,利用該訪問權(quán)限限制在安全區(qū)域51中的可訪問區(qū)域,以便即使當(dāng)不期望的情況發(fā)生時(shí)也防止損害擴(kuò)大。
圖5示出在此情況下的處理流程。智能卡功能43執(zhí)行與終端60的相互認(rèn)證([1]),并執(zhí)行密鑰交換([2])。響應(yīng)于來(lái)自終端60的訪問請(qǐng)求([3]),智能卡功能向控制部分20授予對(duì)在安全區(qū)域51中的指定區(qū)域511的訪問權(quán)限([3]′)。
此時(shí),在圖4的流程中,智能卡功能43請(qǐng)求安全區(qū)域51發(fā)放指定文件或區(qū)域的訪問權(quán)證([3]-1),并將獲得的權(quán)證傳遞至控制部分20。
在寫請(qǐng)求的情況下,終端60發(fā)送由會(huì)話密鑰加密的大容量數(shù)據(jù);控制部分20的安全區(qū)域大容量訪問功能21用該會(huì)話密鑰解密依次接收的大容量數(shù)據(jù),并用安全區(qū)域密鑰對(duì)該數(shù)據(jù)進(jìn)行加密,并且將該數(shù)據(jù)寫入安全區(qū)域51中的指定區(qū)域511([4])。
另一方面,當(dāng)終端60請(qǐng)求讀取大容量數(shù)據(jù)時(shí),控制部分20的安全區(qū)域大容量訪問功能21從安全區(qū)域51中的指定區(qū)域511讀出受到讀請(qǐng)求的數(shù)據(jù)。其用安全區(qū)域密鑰解密該數(shù)據(jù),由此用會(huì)話密鑰加密該數(shù)據(jù),并將該數(shù)據(jù)發(fā)送至終端60。
后面的處理與圖3的情形中的處理相同。
因此,通過限制被給予控制部分20的對(duì)安全區(qū)域51的訪問權(quán)限,來(lái)阻止對(duì)除指定區(qū)域之外的其它區(qū)域的訪問,即使發(fā)生不太可能的事故,也可以防止毀壞存儲(chǔ)在安全區(qū)域51中的其它位置的數(shù)據(jù)。
而且,如圖6所示,當(dāng)將控制部分20的軟件程序20和智能卡功能的軟件程序43實(shí)現(xiàn)在單個(gè)芯片(TRM)40中時(shí),可以通過在軟件程序20和43之間的內(nèi)部通信,將對(duì)安全區(qū)域51的訪問權(quán)限授予控制部分20,并且可以在控制部分20和智能卡功能43之間共享由控制部分20使用的加密引擎。因此,在使用單-芯片實(shí)現(xiàn)的情況下,由與用于智能卡功能43的硬件保護(hù)同等的硬件保護(hù)來(lái)保護(hù)控制部分軟件程序20,可以簡(jiǎn)單并安全地將訪問權(quán)限授予控制部分20。
另一方面,如圖7所示,在由分離的芯片實(shí)現(xiàn)控制部分20和智能卡功能43的情況下,當(dāng)授予訪問權(quán)限時(shí),通過監(jiān)控芯片之間的連接,可能導(dǎo)致從智能卡功能43向控制部分20傳遞的安全區(qū)域密鑰的泄漏。為了防止此情況發(fā)生,最好將智能卡功能43和控制部分20之間的通信加密。對(duì)于此加密,使用在制造過程中預(yù)先設(shè)置的共享密鑰,或使用被動(dòng)態(tài)地密鑰交換的公用密鑰。
而且,可以將記錄在安全區(qū)域51中的數(shù)據(jù)用作安全區(qū)域密鑰,以便不必在芯片之間傳送密鑰信息。在此情況下,已經(jīng)訪問安全區(qū)域51的控制部分20讀取要作為安全區(qū)域密鑰的數(shù)據(jù)并使用該數(shù)據(jù),其加密大容量數(shù)據(jù)并將它們寫入安全區(qū)域51。
而且,可以想象,如果控制部分20不合法地保持了令人高興的訪問權(quán)限,那么安全區(qū)域51中的數(shù)據(jù)可能被修改。為了防止這種情況,最好在將對(duì)安全區(qū)域51的訪問權(quán)限給予控制部分20之前和之后轉(zhuǎn)換安全區(qū)域密鑰。圖8示出在此情況下的過程。
首先,智能卡功能43將用于加密存儲(chǔ)在安全區(qū)域51中的數(shù)據(jù)的加密密鑰A轉(zhuǎn)換成安全區(qū)域密鑰B??梢詫?huì)話密鑰用作此安全區(qū)域密鑰B([1])。在從安全區(qū)域51讀取大容量數(shù)據(jù)的情況下,解密已經(jīng)用加密密鑰A加密的安全區(qū)域51的數(shù)據(jù),并且用安全區(qū)域密鑰B再次對(duì)其加密。
接下來(lái),向控制部分20授予對(duì)安全區(qū)域51的訪問權(quán)限,并向其傳遞安全區(qū)域密鑰B([2])。已經(jīng)被授予訪問權(quán)限的控制部分20訪問安全區(qū)域51;在寫入大容量數(shù)據(jù)的情況下,控制部分用安全區(qū)域密鑰B加密該大容量數(shù)據(jù)并將該數(shù)據(jù)寫入安全區(qū)域51。在讀取大容量數(shù)據(jù)的情況下,其用安全區(qū)域密鑰B解密從安全區(qū)域51讀取的大容量數(shù)據(jù)([3])。在完成對(duì)大容量數(shù)據(jù)的寫入/讀取時(shí),智能卡功能43執(zhí)行轉(zhuǎn)換,其中將安全區(qū)域密鑰B轉(zhuǎn)換回加密密鑰A,并用加密密鑰A再次對(duì)存儲(chǔ)在安全區(qū)域51中的數(shù)據(jù)加密([4])。
在此處理后,即使控制部分20試圖使用安全區(qū)域密鑰B訪問安全區(qū)域51中的數(shù)據(jù),因?yàn)槊荑€不同所以數(shù)據(jù)讀取也會(huì)失敗([5])。
因此,即使當(dāng)控制部分20和智能卡功能43設(shè)在不同的芯片中,也能通過加密轉(zhuǎn)換阻止未授權(quán)的使用。
實(shí)施例已經(jīng)描述了向安全存儲(chǔ)卡的安全區(qū)域?qū)懭牖驈钠渥x取大容量數(shù)據(jù)。然而,在安全存儲(chǔ)卡10的內(nèi)部非易失性存儲(chǔ)器41的容量增加的情況下,或在智能卡的存儲(chǔ)區(qū)域增加的情況下,當(dāng)對(duì)于這些存儲(chǔ)器執(zhí)行大容量數(shù)據(jù)的寫入/讀取時(shí),本發(fā)明也是適用的。
盡管已經(jīng)參照本發(fā)明的特定優(yōu)選實(shí)施例詳細(xì)描述了本發(fā)明,但是對(duì)于本領(lǐng)域的技術(shù)人員來(lái)講很明顯,在不偏離本發(fā)明的范圍和精神的情況下,可以在此進(jìn)行各種改變和修改。
本申請(qǐng)是基于2003年3月26日提交的日本專利申請(qǐng)第2003-085298號(hào)提出的,在此通過引用合并其內(nèi)容。
工業(yè)上的可用性從前面的描述明顯看出,本發(fā)明的存儲(chǔ)裝置可以在短時(shí)間內(nèi)并安全地執(zhí)行大容量數(shù)據(jù)的寫入/讀取。
而且,本發(fā)明的存儲(chǔ)裝置具有與現(xiàn)有的智能卡的國(guó)際標(biāo)準(zhǔn)的高度兼容性。
權(quán)利要求
1.一種固定地或可分離地連接到電子裝置上的存儲(chǔ)裝置,其包括存儲(chǔ)區(qū)域,從電子裝置不可直接對(duì)其進(jìn)行訪問;安全控制部分,其管理對(duì)存儲(chǔ)區(qū)域的訪問;和裝置控制部分,其與電子裝置進(jìn)行通信并且將來(lái)自電子裝置的請(qǐng)求傳送至安全控制部分,其中,如果有來(lái)自已認(rèn)證的電子裝置的對(duì)大容量數(shù)據(jù)進(jìn)行寫或讀的請(qǐng)求,那么安全控制部分臨時(shí)授予裝置控制部分對(duì)存儲(chǔ)區(qū)域的訪問權(quán)限;并且已經(jīng)被授予訪問權(quán)限的裝置控制部分通過突發(fā)傳送將從電子裝置發(fā)送的數(shù)據(jù)寫入存儲(chǔ)區(qū)域,或者通過突發(fā)傳送將從存儲(chǔ)區(qū)域讀取的數(shù)據(jù)發(fā)送至電子裝置。
2.根據(jù)權(quán)利要求1所述的存儲(chǔ)裝置,其中,安全控制部分給予被授予訪問權(quán)限的裝置控制部分用于加密或解碼存儲(chǔ)區(qū)域的數(shù)據(jù)的安全區(qū)域密鑰,并且其中,裝置控制部分用安全區(qū)域密鑰加密要被寫入存儲(chǔ)區(qū)域的數(shù)據(jù),或者用安全區(qū)域密鑰解密從存儲(chǔ)區(qū)域讀出的數(shù)據(jù)。
3.根據(jù)權(quán)利要求2所述的存儲(chǔ)裝置,其中,安全控制部分加密安全區(qū)域密鑰,并將該密鑰發(fā)送至裝置控制部分,并且其中,裝置控制部分解密該安全區(qū)域密鑰并使用該密鑰。
4.根據(jù)權(quán)利要求2所述的存儲(chǔ)裝置,其中,安全控制部分給予裝置控制部分已經(jīng)經(jīng)過轉(zhuǎn)換處理的安全區(qū)域密鑰,并且其中,安全控制部分使已經(jīng)授予裝置控制部分的訪問權(quán)限無(wú)效,并且由此將該安全區(qū)域密鑰再轉(zhuǎn)換為原始狀態(tài)。
5.根據(jù)權(quán)利要求1所述的存儲(chǔ)裝置,其中,裝置控制部分使用存儲(chǔ)在存儲(chǔ)區(qū)域中的數(shù)據(jù)加密要被寫入存儲(chǔ)區(qū)域的數(shù)據(jù),或者解密從存儲(chǔ)區(qū)域讀出的數(shù)據(jù)。
6.根據(jù)權(quán)利要求1至5的任何一項(xiàng)所述的存儲(chǔ)裝置,其中,安全控制部分與已經(jīng)被認(rèn)證的電子裝置交換會(huì)話密鑰,并將該會(huì)話密鑰給予被授予訪問權(quán)限的裝置控制部分,并且其中,裝置控制部分用該會(huì)話密鑰解密從電子裝置接收的數(shù)據(jù),或者用該會(huì)話密鑰加密要被發(fā)送到電子裝置的數(shù)據(jù)。
7.根據(jù)權(quán)利要求1至6的任何一項(xiàng)所述的存儲(chǔ)裝置,其中,安全控制部分授予限于存儲(chǔ)區(qū)域的部分區(qū)域的訪問權(quán)限作為訪問權(quán)限。
8.根據(jù)權(quán)利要求1、4、6或7所述的存儲(chǔ)裝置,其中將安全控制部分和裝置控制部分形成在同一芯片上。
9.根據(jù)權(quán)利要求1至7的任何一項(xiàng)所述的存儲(chǔ)裝置,其中,將安全控制部分和裝置控制部分形成在分離的芯片上。
全文摘要
提供一種能夠在短時(shí)間內(nèi)對(duì)安全區(qū)域中的大容量數(shù)據(jù)進(jìn)行寫/讀的存儲(chǔ)裝置。存儲(chǔ)裝置(10)包括存儲(chǔ)區(qū)域(51),從電子裝置(60)不可直接對(duì)其進(jìn)行訪問;安全控制部分(42),用于管理對(duì)存儲(chǔ)區(qū)域(51)的訪問;和裝置控制部分(20),用于與電子裝置進(jìn)行通信并且將來(lái)自電子裝置的請(qǐng)求傳送至安全控制部分(42)。當(dāng)從已認(rèn)證的(authenticated)電子裝置(60)請(qǐng)求對(duì)大容量數(shù)據(jù)寫/讀時(shí),安全控制部分(42)向裝置控制部分(20)臨時(shí)傳送用于訪問存儲(chǔ)區(qū)域(51)的訪問權(quán)限。已經(jīng)收到此訪問權(quán)限的裝置控制部分(20)突發(fā)傳送從電子裝置(60)發(fā)送的數(shù)據(jù)并在存儲(chǔ)區(qū)域(51)中執(zhí)行寫/讀。數(shù)據(jù)突發(fā)傳送減少命令的往返次數(shù),從而使增加處理速度。
文檔編號(hào)G06K19/07GK1764908SQ20048000828
公開日2006年4月26日 申請(qǐng)日期2004年3月23日 優(yōu)先權(quán)日2003年3月26日
發(fā)明者中西良明, 高木佳彥 申請(qǐng)人:松下電器產(chǎn)業(yè)株式會(huì)社