实施方式
图1表示本发明的概念图。
具备发布多媒体信息(例如,文本数据、音乐数据、图像数据或由中央处理装置执行用的应用程序等)用的信息发布装置100;可存放来自信息发布装置100的多媒体信息的存储装置140;可与信息发布装置100通信且可与存储装置140连接、从信息发布装置100接收多媒体信息并把该多媒体信息存放到存储装置140用的信息终端120;可与存储装置140连接、从存储装置140读出多媒体信息用的信息终端160;可与信息终端160通信、阅览(再生)多媒体信息用的信息阅览装置180。
在本发明实施例中,其特征是:存储装置140可除多媒体信息以外存放存储装置140的用户所利用的任意信息(例如,用户或雇佣该用户的人作成的文本数据、音乐数据或图像数据等),该任意信息可基于用户或雇佣该用户的人设定在存储装置140的PIN(PersonalIdentifyizg Number)读出。
依据本发明实施例,因为可存放由证明书允许读出的多媒体信息及其特许和由用户等决定的PIN允许读出的任意信息,所以对用户等来说可以起到扩大存储装置140利用用途的效果。进一步通过共享由证明书允许访问用的协议的一部分和由用户等决定的PIN允许访问用的协议的一部分,可以起到减少执行这些协议用的应用程序容量的效果。
作为存储装置140相当于存储卡。作为信息终端120及信息终端160相当于PC、便携电话、PDA、亭式终端等。作为信息发布装置100或信息阅览装置180相当于服务器、信息终端上的软件、访问点、其它信息终端等。信息发布装置100与信息终端120通过网络实现通信。信息终端120装有特许管理软件,进行对信息发布装置100的访问及对存储装置140的访问,并进行特许的收发和根据特许状态的内容的执行控制。所谓特许是使被限制利用的多媒体信息(例如,被加密的多媒体信息)可以利用的东西(例如,解密用的密钥)。
当从信息发布装置100下载多媒体信息并把其多媒体信息存放到存储装置140时,首先信息终端120向存储装置140请求证明书,从存储装置140受取证明书,并把该证明书送到信息发布装置100。证明书是对存储装置140的权限进行证明的信息发布装置100可验证的信息。作为证明书相当于认证局发行的公钥证明书以及存储装置140和信息发布装置100共同保持的信息或由该信息作成的信息。作为存储装置140和信息发布装置100共同保持的信息或由该信息作成的信息相当于暗号、个人识别号、IP地址或公用密钥等。
信息发布装置100、存储装置140和信息阅览装置180作成各自不同的公钥和与其公钥对应的私钥,把其中公钥注册到认证局,接受各自不同的证明书和共通公钥的提供。这里认证局是具有下述特征的机关,即对用户、设备或其它认证局提供使某对象与其个体或类别固有的识别信息相关联,本身不会改变地保持该唯一性达到第3者可确认状态用的手段。然而,在利用该系统时,接受了认证的各装置的私钥希望在各装置内安全保管。而且认证局可以分成用于进行证明书的注册及检索的机关和进行证明书的发行及证明书失效表的发行的机关。
信息发布装置100对证明书130进行验证,如果其正确则通过信息终端120把特许110、参照符112及参照符114发送给存储装置140。此时的特许110、参照符112及参照符114可以利用基于证明书130的信息进行加密或编码。特许110是证明对个人或媒体提供的利用权限用的信息。特许110相当于信用卡号、驾照号、用于音乐·映像等内容利用的特许、计算机的访问关键字、暗号、证件、生物体识别信息、证明书号等。而且,参照符112是信息阅览装置180利用特许时的条件,相当于有效期限、年龄限制、再生许诺字节数、容许误差、有关数据的编辑·复制的限制等。而且,参照符114是存储装置140读出数据时承担的条件,相当于可利用次数、有关复制·移动的限制次数、读出本身的限制、有关读出时所利用的证明书的种类的限制、有关认证方式的限制等。参照符112及参照符114可以都由特许作成者或认证局设定。而且特许110可以预先存放在存储装置140的状态进行出货·发行。而且特许110可以不被外部读出,而是以对从外部送来的数据进行运算的目的来利用。而且作为运算结果,特许的值可以重写。作为以在存储装置140预先存放特许的状态进行发行的情形,相当于服务经营商把用户单独的特许存放存储装置140进行出货的情况等。作为以对从外部送来的数据进行运算的目的的利用,相当于利用特许数据只有特许所有者才能进行数据的解密或加密,或作成以相互认证等的目的所利用的数据的情况等。而且,作为把运算结果盖写在当前的特许信息上的情形,相当于把利用了特许的处理日志数据埋入特许本身,或作为一次或数次的运算结果可利用特许的情况、基于PIN、证明书或公用密钥等认证信息的变更而特许发生变化的情况等。
当作为参照符114包括证明书固有或表示其类别的识别符时,存储装置140可进行根据为了认证而被利用的证明书固有或表示其类别的识别符的访问限制。存储装置140保持认证成功的证明书识别符,在基于其证明书的对话中进行数据读出时,对所读出的数据识别符利用所保持的识别符进行验证,判断读出的可否。有关读出可否的判断,相当于只在特定证明书的情况下允许读出、只在特定证明书的情况下不允许读出、只在特定类别的情况下允许读出、只在特定类别的情况下不允许读出等,这些可以任意组合并包含在参照符114中。作为有这种特征的识别符,相当于认证局发行的公钥证明书中记载的证明书系列号等。认证局通过对根据证明书发行对象所提供的系列号附加规则,可以与类别相关联和单独进行判定。作为这样的机制有效的情形,相当于用通常的PC可读取但用游戏机一类的特定设备不可读取的情况、为在信息发布服务中只可以阅览签约的信道而保持信息阅览装置180签约的信道对应的证明书的情况、通过对按地区销售的信息阅览装置180的证明书系列号附加与地区对应的规则进行设定来限制面向特定区域销售的内容数据不能在其它地区利用一类的情况。而且,作为证明书各个用户可以利用不同的ID,此时可按用户设定特许读出的可否。这样通过在特许设定证明书固有的识别符而可以在同一存储区域保持不同安全要求的数据同时可单独置位安全要求对应的访问限制。这些识别符通常是在特许存放时决定的,但在特许存放后也可以由具有特许操作权限的对象单独进行设定。
信息终端160在把存放在存储装置140的数据读入信息阅览装置180时请求信息阅览装置180的证明书150。信息终端160一收取到证明书150就将其送给存储装置140。存储装置140验证证明书150,如果其正确则经过信息终端160向信息阅览装置180发送特许110及参照符112。
此时的特许110及参照符112可以由基于证明书150的信息加密或编码。而且特许110及参照符112可以由基于参照符114的条件进行访问控制。而且,存储装置140可以利用参照符112进行访问限制。作为存储装置140进行的利用参照符112的访问限制,相当于有效期间对应的访问限制、基于加密解密规模的访问限制等。
由存储装置140向信息阅览装置180读入特许时,可以不读出参照符114。只是从信息存放装置140向其它信息存放装置读出或移动特许时,可以一起发送参照符114的信息。
信息发布装置100、信息终端120、信息终端160、信息阅览装置180分别可以是由多台组成的构成。例如,可构成为信息发布装置100与存储装置140之间的通信经过多台信息终端120。而且信息终端120的构成可以是与多个存储装置140连接或与多个信息发布装置100连接。信息发布装置100、信息终端120、信息终端160及信息阅览装置180可以在一个装置具有多个功能。例如,信息终端120和信息终端160是同一终端,相当于把由拥有信息发布装置的服务器送来的特许存到存储装置140,对此利用配备在信息终端120的具有信息阅览装置180功能的软件来进行阅览的情况等。进行了信息发布的信息发布装置100具有信息阅览装置180的功能,可以由接受了信息提供的存储装置140读出信息。
图2表示基于本发明实施例的存储装置结构图。
存储装置140由用于连接信息终端120或160的输入输出接口410、可重写的非易失性存储器430、对这些实施控制的控制器芯片420组成。作为输入输出接口410有接触型和非接触型。作为接触型的接口相当于袖珍闪存(R)接口、USB(Universal Serial Bus)等。而且,作为非接触型,相当于无线通信接口、BlueTooth接口、红外线接口等。另外,非易失性存储器430具有数据读出需要认证的安全区域440、读出或写入时无需认证的通常区域450、为认证操作或加密/解密操作而利用的密钥信息区域460。这些存储区域可以在单一的非易失性存储器430上,也可以在多个非易失性存储器430上。作为非易失性存储器430,相当于HDD(Hard Disk Drive)、闪存、NROM(NitrideROM)、EEPROM(Electronic Erasable Programable ROM)等。非易失性存储器可以由单一存储器构成,也可以由多个存储器的组合构成。而且,控制器芯片最好具有CPU(Central Processor Unit)、RAM(Randam Access MEMORY)、ROM(Read Only MEMORY)和EEPROM等。
安全区域440分成基本特许区域和3个扩充特许区域。各个特许区域分别可以存放128个特许。基本特许区域是数据读出时需要基于证明书150认证的区域。扩充特许区域是数据读出时需要基于PIN认证的区域。密钥信息区域460具有访问基本特许区域用的基本特许区域用密钥信息区域、分别访问3个扩充特许区域用的3个扩充特许区域用密钥信息区域。各特许区域用密钥信息区域可存放认证局公钥、认证局PIN、媒体种类私钥、媒体种类密钥证明书、主PIN、用户PIN、重试计数、CRL(Certificte Revocation List)、媒体单独私钥、媒体单独公钥、随机数种。只是存储装置140可以具有4个以上的扩充区域,也可以只具有2个以下。而且,在各特许区域可以存放129个以上的特许,也可以只存放127个以下的特许。而且可在各个区域存放的特许数可以不同。而且即使存储装置140具有可以存放更多特许的功能认证局也可以对其进行限制,使之只存放更少的特许。
图3表示基于本发明实施例的信息终端构成图。
信息终端120具有控制输入输出用的输入装置控制器385、控制显示用的液晶显示装置控制器315、ROM364、控制与存储装置140连接用的存储卡接口控制器325、与信息发布装置100通信用的通信装置控制器395、外部连接接口控制器335、RAM362、CPU360、EEPROM366,这些由总线350或相当其功能的连接装置连接。通信装置控制器395与无线LAN适配器或PHS调制解调器适配器等的通信装置390连接。输入装置控制器385与按钮、拨号盘、键盘、鼠标、触板、输入板等的输入装置380连接。液晶显示装置控制器315与液晶显示装置310连接。存储卡接口控制器325与MMC接口等的存储卡接口320连接。外部连接接口控制器335与RS232接口、USB接口等的外部连接接口330连接。这些设备对来自时钟发生器370的时钟如果需要在进行了分频、倒相等的操作后进行接收以实现动作。这些设备对来自充电池345的电力如果需要在进行了直流/交流转换、分频、电压变换、电流变换等的操作后进行接收以实现动作。信息终端120可以构成为不搭载通信部(通信装置390、通信装置控制器395)和外部连接部(外部连接接口330、外部连接接口控制器335)。
用户在利用特许存放或阅览任意信息时,利用PIN190使存储装置140成为可利用状态。存储装置140在PIN验证成功后接受执行所指定的功能的VERIFY_PIN命令。信息终端120或信息终端160发行VERIFY_PIN命令。VERIFY_PIN命令可以具有的构成为在数据取指令、第1参数和第2参数。此时,指令由2字节组成,前头1字节表示应用程序的种类,接着的1字节表示应用程序的执行操作。当存储装置140具有成为VERIFY_PIN命令操作对象的多个内存区域的情况下,可以把指令后半部的1字节表示为内存区域和功能的组合。第1参数可以由32字节组成,也可以为了存放验证用的PIN而使用。第2参数可以由基于指令决定的字节长组成,也可以作为交给由指令执行的功能的参数来处理。
图4表示在本发明实施例的VERIFY_PIN命令有效的指令一览。存储装置140可以安装图4记载的应用程序的一部分或全部。而且,有应用程序追加时可进行新的追加。这时,应用程序的种类由指令的前头字节指定。VERIFY_PIN命令具有用户认证应用程序、随机数生成应用程序、认证局应用程序、单独应用程序的4个应用程序类型。用户认证应用程序可以具有区域选择功能(无PIN验证)、选择区域实施特许操作协议(下载、读出、移动、再送)的功能、进行PIN190更新的功能、更新验证次数限制值的功能、初始化特许区域并设定新PIN的功能、初始化重试计数的功能等。而且随机数生成应用程序可以具有随机数生成功能等。而且认证局应用程序可以具有更新认证局公钥的功能、更新证明书的功能、更新在存储装置140保持的单独密码密钥的功能、更新有关特许区域的信息的功能、更新CRL的功能等。而且作为单独应用程序可以设定存储装置140单独的应用程序。指令对以Ch开始的内容,即使是在其它存储装置140相同的指令也不保证执行相同的功能。在向VERIFY_PIN命令新追加命令时,通过在参照符114设定对应认证方式的标志,使读出成为可能。在此最好是当在设定于参照符114的标志不存在相应的认证方式时,不能读出其特许。
图5表示本发明实施例的存储装置功能判别的流程。通过输入输出接410从信息终端120或信息终端160输入到存储装置140的命令1110和数据1120,由命令判定部1130判定命令,并传递各命令。在该命令1110中相当于CMD24的被发送到安全命令判定部1140,基于命令1110分支到各安全命令。在该命令1110中相当于VERIFY_PIN的发送到基于指令的应用程序判定部1150。基于指令的应用程序判定部1150参照数据中的指令部。指令前头字节为00h时的处理交给用户认证应用程序,为10h时交给PIN生成应用程序,为80h时交给认证局应用程序,其前头4位为Ch时交给单独应用程序。而且此时当指定了其它值时在存储装置140如果存在与其指令相关联的应用程序则可执行之。如果没有则返回错误信号。在此假如所选择的是用户应用程序,则处理交给基于指令的功能判别部1160。基于指令的功能判别部利用指令最低4位交给各功能。该值为0h时交给特许区域选择功能(无PIN验证),该值为1h时交给特许区域选择功能(有PIN验证),该值为2h时交给PIN更新功能,该值为3h时交给验证次数限制值更新功能,该值为4h时交给特许区域初始化功能,该值为5h时交给重试计数复位功能。功能分配后,由特许区域的选择部1170针对利用指令低字节的高4位指定的特许区域,执行基于功能的处理。
特许区域选择功能(无PIN验证)是选择所指定的特许区域的功能。但认证局在特许区域的访问条件中可以使该功能无效。在此所谓选择特许区域意味着变换成为以后的除VERIFY_PIN命令外的安全处理命令操作对象的区域。该功能中对第1参数及第2参数都无需特别设定。以后对由该功能开始的特许操作协议的详细内容进行说明。
特许区域选择功能(有PIN验证)是利用与所指定的特许区域相关联的参照PIN来进行PIN的验证的功能。只是当重试计数达到验证次数限制值时,如果验证次数限制值不为0则可以返回错误信号。如果其正确则使重试计数回到初始值,设定PIN验证通过标志,可以选择由指令指定的特许区域。在此当由认证局设定了无需特别设备认证时,接着可以使之成为接受进行对话密钥交换用的命令的状态。否则,之后可以使之需要对证明书进行验证的命令。当验证失败时可以使重试计数增加1。但如果验证次数限制值为0时则可不增加重试计数。而且在此阶段当重试计数达到验证次数限制值时,如果由认证局设定了存储装置140的非法使用防止功能则可以把初始化标志设定成ON并删除存储装置140内的用户数据,之后设初始化标志为OFF。假如在该处理中途存储装置140被拔出,则初始化标志保持ON状态,接着在存储装置140被使用的阶段去读该标志,ON时可以重新开始存储装置140初始化作业。在此功能中作为第1参数设定验证用的PIN。对第2参数不作特别设定。以后对由该功能开始的特许操作协议的详细内容进行说明。
PIN更新命令是利用与所指定的特许区域相关联的参照PIN来进行PIN的验证,如果验证成功则进行PIN变更的功能。只是当重试计数达到验证次数限制值时,如果验证次数限制值不为0则可以返回错误信号。如果其正确则使重试计数回到初始值,可以利用设定在第2参数的值来变更PIN。当验证失败时可以使重试计数增加1。但如果验证次数限制值为0时则可不增加重试计数。在此功能中对第1参数设定验证用的PIN,对第2参数设定新的PIN。
验证次数限制值更新命令是利用与所指定的特许区域相关联的参照PIN来进行PIN的验证,如果验证成功则进行验证次数限制值变更的功能。只是当重试计数达到验证次数限制值时,如果验证次数限制值不为0则可以返回错误信号。如果其正确则使重试计数回到初始值,可以利用设定在第2参数的值来变更验证次数限制值。但由认证局对验证次数限制值的更新进行了限制时可以返回错误信号。当验证失败时可以使重试计数增加1。但如果验证次数限制值为0时则可不增加重试计数。在此功能中对第1参数设定验证用的PIN,对第2参数设定新的验证次数限制值。
特许区域初始化功能是使所有与所指定的特许区域相关联的特许无效化,进行新的PIN设定的功能。只是在特许的访问条件中,如果基于初始化的特许删除没必要则可以不删除。可以在删除所有特许后利用所输入的数据进行PIN的再设定,而且也进行对主PIN的再设定,使重试计数回到初始值。只是如果由认证局把特许区域初始化功能的主PIN初始化设定成无效,则可以不进行主PIN的初始化而返回错误信号。并且如果由认证局把特许区域初始化功能设定成无效,则可以不进行特许区域的初始化而返回错误信号。在此功能中可以不对第1参数设定验证用的PIN。而且对第2参数设定新的PIN。
复位重试计数功能是利用与所指定的特许区域相关联的参照主PIN来进行主PIN验证的功能。如果验证成功则可以使重试计数回到初始值并利用所输入的数据对主PIN进行更新。如果由认证局指示也对参照PIN进行更新时则可以把参照PIN设定成0000等的特定值。在此功能中对第1参数设定PIN,对第2参数设定新的主PIN。
在这些用户认证应用程序的功能中,如果由认证局把特许区域设定成无效时则可以返回错误信号。
随机数生成应用程序可以有在成为从外部输入的种子数据中含有认证信息的部分和非此情况的部分。作为含在种子中的认证信息相当于设备的MAC地址、IP地址、用户单独的识别符、证明书单独的识别符或时间等。在成为种子的数据中含有认证信息的情况下,存储装置140在特许读出时利用这些信息进行验证。进行验证用的参照数据存放在特许、指定的特许区域或与存储装置140本身相关联的内存区域。
随机数生成功能是利用与所指定的特许区域相关联的参照PIN来进行PIN的验证,如果验证成功则使重试计数回到初始值,并把第2参数包含的数据保存到存储器,利用存储装置140的信息生成随机数的功能。只是当重试计数达到验证次数限制值时,如果验证次数限制值不为0则可以返回错误信号。但由认证局对随机数的生成进行了限制时可以返回错误信号。当验证失败时可以使重试计数增加1。以后对随机数生成功能中的协议进行说明。
以下,对认证局应用程序的功能进行说明。认证局应用程序中有认证局公钥更新功能、证明书更新功能、区域关联信息更新功能、认证信息更新功能、CRL更新功能。
认证局公钥更新功能是利用与所指定的特许区域相关联的参照认证局PIN来进行认证局PIN的验证,如果验证成功则进行认证局公钥变更的功能。这种情况下,可以利用输入数据对由输入数据指定的号码的公钥的、由输入数据指定的块进行更新。但可以是在此时被写入的数据由专用的公用密钥加密,在存放到存储装置140的阶段进行解密的机制。
证明书更新功能是利用与所指定的特许区域相关联的参照认证局PIN来进行认证局PIN的验证,如果其正确则进行证明书更新的功能。如果验证成功则可以利用输入数据对由输入数据指定的号码的证明书的、由输入数据指定的块进行更新。但可以是在此时被写入的数据由专用的公用密钥加密,在存放到存储装置140的阶段进行解密的机制。
区域关联信息更新功能是利用与所指定的特许区域相关联的参照认证局PIN来进行认证局PIN的验证,如果其正确则进行区域关联信息更新的功能。如果验证成功则可以利用输入的数据对区域关联信息进行更新。区域关联信息有特许区域的访问条件、认证局PIN、卡公钥、卡非法使用防止用的验证次数限制值等。但可以是在此时被写入的数据由专用的公用密钥加密,在存放到存储装置140的阶段进行解密的机制。
认证信息更新功能是利用与所指定的特许区域相关联的参照认证局PIN来进行认证局PIN的验证,如果其正确则进行认证信息更新的功能。如果验证成功则可以利用输入数据对认证信息进行更新。认证信息有基于服务种类而不同的公钥、各存储装置140不同的公钥、私钥、公用密钥、认证局公钥的系列号等。但可以是在此时被写入的数据由专用的公用密钥加密,在存放到存储装置140的阶段进行解密的机制。
CRL更新功能是利用与所指定的特许区域相关联的参照认证局PIN来进行认证局PIN的验证,如果其正确则进行CRL更新的功能。如果验证成功则可以利用输入数据对CRL进行更新。但可以是在此时被写入的数据由专用的公用密钥加密,在存放到存储装置140的阶段进行解密的机制。
在这些认证局应用程序的功能中,如果认证局应用程序被设定成无效时则可以返回错误信号。
在由认证局设定的信息中,特许区域的访问条件是可按各特许区域设定的信息,用于在由制造者提供的功能中选择满足认证局发行的存储装置140的安全要求的功能。作为特许区域的访问条件相当于初始化命令的有效·无效、主PIN的有效·无效、非法使用防止功能的有效·无效、存储装置140发行后的特许写入的可否、无PIN验证区域选择选择的可否、区域本身的有效·无效、用户认证应用程序、认证局应用程序以外的应用程序的有效·无效、存储装置140发行后的认证局应用程序的利用可否等。在此作为非法使用防止功能是在锁定功能使用时提供验证次数限制,如果其达到了限制值则在内存区域460置位非法使用标志,删除存储装置140内的所有数据的功能。该功能有效时,在存储装置140初始化时判断非法使用标志的状态,如果在进行了非法使用的状态下存储装置140初始化未完成,则重新开始存储装置140的初始化。存储装置140在初始化完成的阶段解除非法使用标志。而且该操作时删除的数据可以被认证局选择。作为数据类别可以是存放在安全区域440内的数据全部或一部分、存放在通常区域450内的数据全部或一部分、存放在密钥信息区域460的数据全部或一部分、以及各内存区域的任意组合。如果这些可以设定,则这些设定可以由存储装置140的制造者、认证局、用户全部或任一来进行。而且可以对这些设定的权限置位限制,对存储装置140的制造者、认证局、用户可进行设定的权限置位限制。当可单独进行这种设定时,最好可以是存储装置140的制造者在制造时或由制造者用的应用程序、认证局由认证局应用程序、用户从用户认证功能应用程序进行这些设定。
通过利用VERIFY_PIN命令,具有可提供高安全功能的效果。作为高安全功能是通过最初在对其有要求的的所有的安全处理中追加利用VERIFY_PIN命令的认证,具有仅对知道PIN的个人或组存储装置140可实现其安全处理的效果和通过具有多个特许存放区域,具有在不同的用户、不同的安全要求、存放特许数的增大或不同的服务的条件下可以利用的效果。
图6表示特许的数据结构。
特许按照表示数据种类的标记(Tag)、表示数据字节长的长度(Len)和实际数据(Value)的顺序构成,Value可以是在其中具有多个Tag、Len和Value的结构。该数据结构的编码最好符合ASN.1(Abstruct Syntax Notation One)。特许作为Value具有LID1820、TID1830、ACm1840、K11860、ACp1870、ExtendACm1880和Reserved1890。LID1820是License Identification的简略,对特许单独分配的识别符。TID1830是Trasaction Identification的简略,对特许的下载处理单独分配的识别符。ACm1840是读出装置读出所存放的特许时的访问限制,相当于图1中参照符140的参照符。K11860是特许数据,相当于图1的特许110的数据。ACp1870是读出装置内的访问限制,相当于图1的参照符120。ExtendACm是VERIFY_PIN命令使用时的特许读出装置读出特许之际的识别符。
由VERIFY_PIN命令开始的处理可以准备从信息发布装置100及信息终端120向存储装置140的特许存放有关的内容(特许下载协议)、从存储装置140读出特许有关的内容(特许读出协议)、从存储装置140向其它存储装置的特许移动有关的内容(特许移动协议)、向存储装置140的特许存放之际处理中断后的处理再开始有关的内容(特许再送协议)等。理想的是这些协议与针对存储装置140的多个数据发送命令及数据接收命令相关联,可以通过以特定的顺序执行各个命令,来实现向存储装置140的数据的存放、读出及安全运算。如果以该特定顺序以外的顺序发行命令,则存储装置140可以对所存储命令的执行顺序有关的数据进行初始化,返回错误信号。而且,在命令中,特别是未确定执行顺序或在处理过程前头的命令,可以准备通过执行来对存储在存储装置140的执行顺序有关的数据进行初始化返回错误信号的规格,而且即使是特许操作用协议所包含的命令,在不同的过程和安全要求中不问处理过程而可以进行利用。
以下对各个协议进行说明。
图7是对特许下载协议进行说明的流程图。如果开始特许的下载则信息终端120对存储装置140发送数据1270(1210)。数据1270是包含成为处理对象的特许区域的号码和PIN190的数据。存储装置140根据存放在存储装置140的信息对该PIN190进行验证(1230)。理想的是此时为了进行验证,用户预先利用PIN更新功能进行PIN190的设定,或利用验证次数限制值更新功能进行验证次数限制值的设定,或利用复位重试计数功能进行主PIN190的设定。验证成功时,存储装置140置位所指定的特许区域,进行接受下一命令的准备(1232)。信息终端120在PIN190的验证成功时,对存储装置140请求证明书的送出(1212)。在此,如果由认证局认可无PIN190的特许区域的选择,则信息终端120可以不含PIN190于数据1270而进行发送。此时存储装置140无PIN190验证地选择特许区域,同时保持未进行PIN190验证而选择了特许区域的信息。存储装置140选择证明书向信息终端120发送(1234)。信息终端120把发送来的数据1272如果需要附加上附带信息向信息发布装置100发送(1214)。信息发布装置100在发送来的数据1274中取出证明书,根据所存放的信息进行验证(1250)。验证成功后,信息发布装置100则生成第1对话密钥,利用所验证的公钥对其进行加密并发送(1252)。信息终端120把发送来的数据1276如果需要进行信息的附加或删除向存储装置140发送(1216)。存储装置140从发送来的数据1278取出密码数据,利用送出的证明书的公钥所对应的私钥对其解密取出对话密钥(1236)。信息终端120确认了前面的命令成功后,对存储装置140请求第2对话密钥的送出(1218)。存储装置140生成第2对话密钥,对其和存储装置140单独公钥用第1对话密钥进行加密并发送(1238)。信息终端120如果由存储装置140接受到数据1280,则如果需要对其进行信息的附加或删除之后向信息发布装置100发送(1220)。信息发布装置100利用第1对话密钥对发送来的数据1282解密,得到存储装置140单独公钥和第2对话密钥(1254)。如果该处理顺利完成,则用存储装置140单独公钥对存放在存储装置140的特许加密,进一步用第2对话密钥对其进行加密并发送(1256)。信息终端120把送来的数据1284如果需要进行信息的附加或删除之后向存储装置140发送(1222)。存储装置140用第2对话密钥对送来的数据1286解密,进一步用存储装置140单独公钥对其解密(1240)。信息终端120确认该处理成功后,向存储装置140发送数据1288(1224)。数据1288记述着存放特许用的块号码。存储装置140在数据1288指定的特许块存放特许(1242)。信息终端120确认处理成功后,把下载结束的信息同事务相关的数据一起向信息发布装置100发送(1226)。信息发布装置100收取数据1290,结束下载过程(1258)。
图8是对基于本发明实施例的特许读出协议进行说明的流程图。
当开始特许读出时,信息终端160对存储装置140发送数据1370(1310)。数据1370是包含成为处理对象的特许区域号码和PIN190的数据。存储装置140根据存放在存储装置140的信息来验证该PIN190(1330)。理想的是此时为了进行验证,用户预先利用PIN更新功能进行PIN190的设定,或利用验证次数限制值更新功能进行验证次数限制值的设定,或利用复位重试计数功能进行主PIN的设定。验证成功时,存储装置140置位所指定的特许区域,进行接受下一命令的准备(1332)。信息终端160在PIN190的验证成功时,对特许管理软件发送特许的利用请求(1312)。在此,如果由认证局210认可无PIN190的特许区域的选择,则信息终端160可以不含PIN190于数据1370而进行发送。此时存储装置140无PIN190验证地选择特许区域,同时保持未进行PIN验证而选择了特许区域的信息。特许管理软件受取包含证明书指定的数据1372后选择证明书向信息终端160发送(1350)。信息终端160把发送来的数据1374如果需要在进行信息的附加或删除后向存储装置140发送(1314)。存储装置140从发送来的数据1376中取出证明书,根据存放在存储装置140的信息进行验证(1334)。验证成功后,存储装置140则生成第1对话密钥,利用所验证的公钥对其进行加密并发送(1336)。信息终端160把发送来的数据1378如果需要进行信息的附加或删除向特许管理软件发送(1316)。特许管理软件从发送来的数据1380取出密码数据,利用送出的证明书的公钥所对应的私钥对其解密取出对话密钥(1352)。在此特许的安全要求如果不特别需要基于证明书的验证则可以省略从步骤1350到步骤1336的处理。在这种情况下,存储装置140可以在步骤1332生成第1对话密钥,利用预先存放在存储装置140内部的特许管理软件的公钥对其进行加密并发送。接着,特许管理软件生成第2对话密钥,对其用第1对话密钥进行加密并发送(1354)。信息终端160如果收取到数据1382,则如果需要在进行信息的附加或删除之后对存储装置140请求第2对话密钥的接收(1318)。存储装置140收取到数据1384后利用第1对话密钥进行解密,得到第2对话密钥(1338)。如果该处理顺利完成,则信息终端160对存储装置140指定读出的特许号码(1320)。存储装置140根据由数据1386指定的号码从特许区域读出特许(1340)。在此如果认证局认可使用,则存储装置140可以利用参照符140进行特许的读出限制。该处理成功后,信息终端160向存储装置140请求特许的送出(1322)。存储装置140用第2对话密钥对特许进行加密并发送(1342)。信息终端160把送来的数据1388如果需要在进行信息的附加或删除后向特许管理软件发送(1324)。特许管理软件用第2对话密钥对送来的数据1390解密,取出特许数据(1356)。
图9是对特许移动协议进行说明的流程图。当开始特许移动时,信息终端对存储装置140发送数据1470(1410)。数据1470是包含成为处理对象的特许区域号码和PIN190的数据。存储装置140根据存放在存储装置140的信息来验证该PIN190(1430)。理想的是此时为了进行验证,用户预先利用PIN更新功能进行PIN的设定,或利用验证次数限制值更新功能进行验证次数限制值的设定,或利用复位重试计数功能进行主PIN的设定。验证成功时,存储装置140置位所指定的特许区域,进行接受下一命令的准备(1432)。信息终端在PIN190的验证成功时,等待从其它信息终端的移动开始请求。在此,如果由认证局210认可无PIN190的特许区域的选择,则信息终端可以不含PIN190于数据1470而进行发送。此时存储装置140可以无PIN190验证地选择特许区域,这种情况下存储装置140保持未进行PIN验证而选择了特许区域的信息。其它的信息终端处于与其它存储装置连接的环境,以下的其它信息终端和其它存储装置的操作与图7中信息终端和存储装置140相同基于特许下载协议动作。
图10是对特许再送协议进行说明的流程图。如果开始特许的再送则信息终端120对存储装置140发送数据1570(1510)。数据1570是包含成为处理对象的特许区域的号码和PIN190的数据。存储装置140根据存放在存储装置140的信息对该PIN190进行验证(1530)。理想的是此时为了进行验证,用户预先利用PIN更新功能进行PIN190的设定,或利用验证次数限制值更新功能进行验证次数限制值的设定,或利用复位重试计数功能进行主PIN的设定。验证成功时,存储装置140置位所指定的特许区域,进行接受下一命令的准备(1532)。信息终端120在PIN190的验证成功时,对信息发布装置100进行再连接请求(1512)。为了进行再连接而向信息发布装置100发送数据1572。信息发布装置100在收到数据1572后,生成第1对话密钥,利用从数据1572取出的特定对话的识别符来对通信对方的存储装置140单独公钥进行检索,用其对第1对话密钥进行加密并发送(1552)。信息终端120如果由信息发布装置100收取到数据1574,则如果需要在进行信息的附加或删除之后对存储装置140进行第1对话密钥接收请求(1514)。存储装置140用存储装置140单独私钥对由信息终端120送来的数据1576中包含的加密数据解密,取出第1对话密钥(1534)。该命令成功后,信息终端120对存储装置140发送特许再发送确认请求(1516)。存储装置140利用根据从信息终端120送来的数据1578特定对话的识别符来调查成为再连接对象的特许是否有效,如果是有效状态则由于特许已经被存放,所以中断处理。如果是无效,则由于特许还未被存放所以继续以下处理(1536)。接着,信息终端120对存储装置140请求日志的发送(1518)。存储装置140利用第1对话密钥对日志和日志的哈什值加密,并把其发送给信息终端120(1538)。信息终端120由存储装置140收到数据1580后,把其保存到存储器,这次对存储装置140发送第2对话密钥发送请求(1520)。存储装置140用第1对话密钥对第2对话密钥和存储装置140单独公钥加密,并把其发送给信息终端120(1540)。信息终端120如果接收到数据1582,则对其附加数据1580,进一步如果需要在进行信息的附加和删除后向信息发布装置100发送特许送出请求(1522)。信息发布装置100由信息终端120收取到数据1584后,进行数据1580的验证,当判断其为正确时,进行继续图7步骤1254的处理(1554)。
接着对随机数生成应用程序利用时的协议进行说明。随机数生成应用程序是利用由外部输入的种子数据和特许区域存放的特许生成随机数向主机发送的应用程序。作为种子数据在此采用时间。随机数生成应用程序由特许下载协议和随机数生成协议的2个组成。特许下载协议与前面说明过的图12记载的协议相同,随机数生成协议也只是存储装置140内的动作不同,没有接口的不同。
图11是对随机数生成协议进行说明的流程图。当开始读出特许时,信息终端120对存储装置140发送数据1670(1610)。数据1670是包含成为处理对象的特许区域号码、PIN190和时刻的数据。存储装置140根据存放在存储装置140的信息来验证该PIN190(1630)。理想的是此时为了进行验证,用户预先利用PIN更新功能进行PIN190的设定,或利用验证次数限制值更新功能进行验证次数限制值的设定,或利用复位重试计数功能进行主PIN的设定。验证成功后,存储装置140置位所指定的特许区域,而且把所输入的时刻保持到存储器,进行接受下一命令的准备(1632)。信息终端120在PIN190的验证成功后,对特许管理软件发送特许的利用请求(1612)。在此,如果由认证局认可无PIN190的特许区域的选择及该应用程序的利用,则信息终端120可以不含PIN190于数据1670而进行发送。此时存储装置140无PIN190验证地选择特许区域,同时保持未进行PIN验证而选择了特许区域的信息。特许管理软件受取包含证明书指定的数据1672后选择证明书向信息终端120发送(1650)。信息终端120把发送来的数据1674如果需要在进行信息的附加或删除后向存储装置140发送(1614)。存储装置140从发送来的数据1676中取出证明书,根据存放在存储装置140的信息进行验证(1634)。验证成功后,存储装置140则生成第1对话密钥,利用所验证的公钥对其进行加密并发送(1636)。信息终端120把发送来的数据1678如果需要进行信息的附加或删除向特许管理软件发送(1616)。特许管理软件从发送来的数据1680取出密码数据,利用送出的证明书的公钥所对应的私钥对其解密取出对话密钥(1652)。接着,特许管理软件生成第2对话密钥,对其用第1对话密钥进行加密并发送(1654)。信息终端120如果收取到数据1682则如果需要在进行信息的附加或删除之后对存储装置140请求第2对话密钥的接收(1618)。存储装置140收取到数据1684后利用第1对话密钥进行解密,得到第2对话密钥(1638)。如果该处理顺利完成,则信息终端120对存储装置140指定读出的特许号码(1620)。存储装置140根据由数据1686指定的号码从特许区域读出特许(1640)。在此如果认证局认可使用,则存储装置140可以利用参照符140进行特许的移动限制。该处理成功后,信息终端120向存储装置140请求随机数的生成(1622)。存储装置140把所读出的特许附带的有效期限与所保持的时刻进行比较,如果达到时刻则返回错误信息(1642)。如果未达到时刻则根据时刻和特许数据生成随机数(1644)。存储终端140把所得到的的随机数用第2对话密钥进行加密并发送(1646)。信息终端120把送来的数据1688如果需要在进行信息的附加或删除后向特许管理软件发送(1624)。特许管理软件用第2对话密钥对送来的数据1690解密,取出随机数。特许管理软件可以把用该手段得到的随机数作为作成密码密钥和PIN的手段来利用。
接着对可单独设定的应用程序进行说明。作为可单独设定的应用程序相当于密码处理应用程序、生物体认证应用程序等。
作为密码处理用应用程序是利用存储装置140内保持着的特许对从存储装置140送来的数据或安全区域440内的数据进行加密或解密的应用程序。该应用程序可以作为随机数生成应用程序的一部分来安装。作为密码应用程序中包含的功能相当于密码处理功能、解密处理功能、特许下载功能。理想的是在密码处理用应用程序所利用的特许作为存储装置140内的访问条件具有关于可否密码处理及可否解密处理的标志。而且,理想的是根据安全要求,这些特许按每一特许关于读出及移动设有限制,特许区域本身也可以有这种限制。当利用该应用程序时,用VERIFY_PIN命令是利用密码处理功能还是利用解密处理功能由指令来指定,进一步把PIN设定到第1参数,把希望加密或解密的数据设定到第2参数向存储装置140发送。当PIN的验证成功后,存储装置140把设定成第2参数的希望加密或解密的数据保持在存储器,置位成为对象的特许区域。这以后的操作与随机数生成应用程序相同,遵循图11的步骤。只是可以取代步骤1642及步骤1644进行以下处理。存储装置140由特许附带的参照符112或特许区域关联信息参照所指定的数据加密·解密的可否,来判断所请求的处理是否可执行。如果判断为处理可执行,则利用特许对与VERIFY_PIN一起输入的数据加密或解密。
作为生物体认证应用程序是取代通常的PIN认证而利用表示从生物体信息抽出的特征的识别符组进行认证的应用程序。作为生物体信息相当于签字、眼球的虹彩、指纹、声纹等。
这些单独信息应用程序也可以分配成CXh(X的意思是0h~Fh中之一)以外的号码。
而且,作为认证手段之一,如果认证局请求基于相互认证的特许操作,则可以在特许操作时,进行与通信对方的相互认证。
存储装置140当下载时,在对认证特许服务器510进行认证的情况下,其步骤遵循图12。
图12是对相互认证特许下载协议进行说明的流程图。当开始特许的相互认证下载时,信息终端120对存储装置140发送数据1770(1710)。数据1770是包含成为处理对象的特许区域号码和PIN的数据。存储装置140根据存放在存储装置140的信息来验证该PIN(1730)。理想的是此时为了进行验证,用户预先利用PIN更新功能进行PIN190的设定,或利用验证次数限制值更新功能进行验证次数限制值的设定,或利用复位重试计数功能进行主PIN的设定。验证成功后,存储装置140置位所指定的特许区域,进行接受下一命令的准备(1732)。信息终端120在PIN190的验证成功后,对信息发布装置100发送相互认证下载请求(1712)。在此,如果由认证局210认可无PIN190的特许区域的选择,则信息终端120可以不含PIN190于数据1770而进行发送。此时存储装置140无PIN190验证地选择特许区域,同时保持未进行PIN验证而选择了特许区域的信息。信息发布装置100受取包含证明书指定的数据1772后选择证明书向信息终端120发送(1750)。信息终端120把发送来的数据1774如果需要在进行信息的附加或删除后向存储装置140发送(1714)。存储装置140从发送来的数据1776中取出证明书,根据存放在存储装置140的信息进行验证(1734)。如果验证成功,则存储装置140保持验证过的密钥(1736)。验证成功后,信息终端120向存储装置140发送证明书发送请求(1716)。存储装置140选择证明书并向信息终端120发送(1738)。信息终端120把送来的数据1778如果需要附加附带信息后向信息发布装置100发送(1718)。信息发布装置100在送来的数据1780中取出证明书,并根据所存放的信息进行验证(1752)。如果验证成功,则信息发布装置100生成第1对话密钥,利用验证过的公钥对此加密,并进一步利用本身的私钥对其进行加密并发送(1754)。信息终端120把送来的数据1782如果需要进行信息的附加或删除向存储装置140发送(1720)。存储装置140从发送来的数据1784取出密码数据,用验证过的证明书公钥对此解密,进一步利用送出的证明书公钥所对应的私钥对此解密并取出对话密钥(1740)。信息终端120在确认了前面的命令成功后,对存储装置140请求第2对话密钥的发送(1722)。存储装置140生成第2对话密钥,并用第1对话密钥对此和存储装置140单独公钥进行加密并发送(1742)。信息终端120一旦由存储装置140收取到数据1786,如果需要在对其进行信息的附加或删除后就向信息发布装置100发送(1724)。信息发布装置100利用第1对话密钥对送来的数据1788解密,得到存储装置140单独公钥和第2对话密钥(1756)。此处理成功后,用存储装置140单独公钥对存放在存储装置140的特许加密,并进一步用第2对话密钥对其进行加密并发送(1758)。信息终端120把送来的数据1790如果需要在进行了信息的附加或删除后向存储装置140发送(1726)。SMMC1240用第2对话密钥对送来的数据1792解密,并进一步用存储装置140单独私钥对此解密(1744)。信息终端120在确认该处理成功后,向存储装置140发送数据1794(1728)。数据1794假设记述有用于存放特许的块号码。存储装置140在由数据1794指定的块存放特许(1746)。信息终端120在确认了处理成功后,与事务有关的数据一起向信息发布装置100发送下载的结束(1729)。信息发布装置100收取数据1796,结束下载过程(1760)。
当认证局在特许下载时请求相互认证的情况下,理想的是存储装置140对相同特许区域不认可基于相互认可以外方法的特许下载。而且对特许的读出或移动也可以利用相互认证。
依据本发明实施例,在通过以PIN取代公钥的证明书,可以使用户或设备的一方或双方只在合法的情况下才能读出数据的设备中,可以追加认证方式,对在多个用户、多个服务、多个认证局或多个设备中利用的数据,采用具有共通部分的程序,能起到根据其安全要求进行访问控制的效果。
依据本发明,通过存放基于证明书允许读出的信息和基于由用户等决定的信息允许读出的信息,可以起到对用户等来说扩大利用用途的效果。