专利名称:信息处理设备、信息处理方法和程序的制作方法
技术领域:
本发明涉及信息处理设备、信息处理方法和程序。
背景技术:
在电子货币系统、安全系统等中,正广泛使用其上安装读取器/写入器和非接触可通信IC芯片的信息处理设备,如非接触IC卡、便携式终端等。在这些信息处理设备中, 使用各种类型的服务所需的数据被安全地发送并且在存储区域中管理。这里,已经提出多种加密方案作为用于安全发送数据的加密方案。最近,加密方案正从现有的数据加密标准(DES)方案转换为具有高安全性强度的加密方案,如先进加密标准(AES)方案。如果加密方案从现有加密方案转换为新的加密方案,则读取器/写入器与信息处理设备之间的协议应该改变。另一方面,不可能立即替换分发到用户的现有信息处理设备。 因此,如在日本专利申请公开No. 2008-149824中公开的,分发与现有的和新的加密方案兼容的信息处理设备,并且与两种加密方案兼容的系统目前在运行中。
发明内容
然而,在现有技术中,在要存储区域中执行的预定操作中,不可能禁止使用具有低安全性强度的加密方案在存储区域中执行操作。因此,例如通过使用现有加密方案的未授权操作,当初始化存储区域的格式时,服务的使用可能是困难的,并且当服务信息添加到存储区域时,可能不必要地消耗存储区域。鉴于前述,希望提供一种信息处理设备、信息处理方法和程序,其能够禁止使用具有低安全性强度的加密方案在存储区域中执行未授权的操作。根据本公开的实施例,提供一种信息处理设备,其与第一加密方案和第二加密方案兼容,所述第二加密方案具有与所述第一加密方案的安全性强度不同的安全性强度,所述设备包括禁止信息接收部分,用于使用所述第二加密方案从外部设备接收禁止信息,所述禁止信息用于禁止使用所述第一加密方案在信息处理设备的存储区域中执行预定操作; 禁止处理部分,用于通过所述禁止信息执行用于禁止所述预定操作的禁止处理;操作请求接收部分,用于从所述外部设备或另一外部设备接收操作请求;以及操作执行部分,用于如果请求的操作不对应于由所述禁止信息禁止的所述预定操作,则执行所述请求的操作。所述存储区域可以划分为分别由不同运行主体可用的多个逻辑区域,并且可以通过能够使用所述逻辑区域的每一个的运行主体的授权设置所述禁止信息,以便禁止使用所述第一加密方案在所述逻辑区域的每一个中执行预定操作。所述禁止信息可以包括将所述存储区域的格式初始化操作指定为所述预定操作的信息。所述禁止信息可以包括将到所述存储区域的服务信息的添加指定为所述预定操作的信息。根据本公开的另一实施例,提供一种信息处理方法,其应用于与第一加密方案和第二加密方案兼容的信息处理设备,所述第二加密方案具有与所述第一加密方案的安全性强度不同的安全性强度,所述方法包括以下步骤使用所述第二加密方案从外部设备接收禁止信息,所述禁止信息用于禁止使用所述第一加密方案在信息处理设备的存储区域中执行预定操作;通过所述禁止信息执行用于禁止所述预定操作的禁止处理;从所述外部设备或另一外部设备接收操作请求;以及如果请求的操作不对应于由所述禁止信息禁止的所述预定操作,则执行所述请求的操作。 根据本公开的另一实施例,提供一种程序,用于使得计算机执行所述信息处理方法。这里,程序可以通过使用计算机可读记录介质提供并且可以经由通信部件提供。根据如上所述的本公开,可以提供一种信息处理设备、信息处理方法和程序,其能够禁止使用具有低安全性强度的加密方案在存储区域中执行未授权的操作。
图1是示出根据本公开的实施例的IC卡系统的示意图;图2是示出IC卡系统的主要配置的框图;图3是示出对应于每个IC卡的加密方案的说明图;图4是示出IC卡的主要配置的框图;图5是示出IC卡的控制部分和存储器部分的框图;图6是示出IC卡的存储区域的配置的说明图;图7是示出IC卡的发布(issuance)的过程的序列图;图8是示出与禁止处理有关的主要配置的框图;图9是示出禁止处理过程的序列图;图10是示出禁止信息检查过程的流程图;图11是示出对应于第一使用情况的存储区域的配置的说明图;图12是示出对应于第二使用情况的存储区域的配置的说明图;图13是示出对应于第一使用情况和第二使用情况的IC卡的发布的过程的序列图;图14是示出在第一使用情况下禁止未授权操作的执行的过程的序列图;以及图15是示出在第二使用情况下禁止未授权操作的执行的过程的序列图。
具体实施例方式下文中,将参照附图详细描述本公开的优选实施例。在本说明书和附图中,具有基本相同功能配置的元件用相同的参考标号表示,并且省略其冗余描述。在本说明书中,将以以下顺序描述本公开的优选实施例。1. IC 卡系统2. IC卡的配置3. IC卡的存储区域和发布处理4.操作禁止处理5. IC卡的使用情况6.总结
[l.IC 卡系统] 首先,将参照图1到3描述根据本公开的实施例的IC卡系统。图1示出IC卡系统,并且图2示出IC卡系统的主要配置。图3示出对应于每个IC卡的加密方案。如图1所示,IC卡系统具有信息处理设备(非接触IC卡1、便携式终端2等)和外部设备(服务提供设备3、发布设备5等)。信息处理设备是非接触IC卡1 (下文中,也称为IC卡1)、便携式终端2等,并且具有非接触通信IC芯片。外部设备是连接到读取器/写入器4的服务提供设备3、连接到读取器/写入器6的发布设备5等。IC卡1具有用于与外部设备3或5的读取器/写入器4或6执行非接触通信的天线,以及用于执行预定算术处理的IC芯片。IC卡1可以与外部设备3或5的读取器/写入器4或6执行非接触通信。结果,如果IC卡1保持在读取器/写入器4或6之上,则可能从IC卡1读取数据和将输入写入IC卡1。IC卡1应用于提供各种服务的IC卡系统。IC卡1应用于电子货币系统、交通工具的检票系统、用于进入/允许进入到建筑物、登录到个人计算机等的安全性系统、电子支付系统等。作为IC卡1,实践中正在使用与多种服务兼容的多应用型的卡。便携式终端2是具有与IC卡1相同IC芯片的信息处理设备,或者如便携式电话、 手表、便携式信息终端、便携式游戏机或便携式视频/音频播放器的移动设备。类似IC卡 1,便携式终端2也可以与读取器/写入器4或6执行非接触通信,并且使用各种类型的服务。服务提供设备3是用于使用信息处理设备1或2提供预定服务的主机设备。服务提供设备3是交通工具的自动检票机、商店的登记设备、用于电子商务的终端设备、自动贩卖机、POS终端、售货亭、金融机构的ATM等。服务提供设备3具有用于与信息处理设备1或 2执行非接触通信的读取器/写入器4。读取器/写入器4可以内置在服务提供设备3中, 或者可以以有线或无线方式作为分离设备连接到服务提供设备3。如果将信息处理设备1或2保持在服务提供设备3的读取器/写入器4之上,则以非接触通信在两个设备之间通信关于预定服务的信息。从而,信息处理设备1和2的用户可以使用各种类型的服务。发布设备5生成用于发布管理信息的发布信息,并且将发布信息提供到信息处理设备1或2。管理信息是用于管理要在各种服务中使用的用户数据的信息,并且发布信息是用于发布管理信息的信息。在使用预定加密方案加密发布信息的状态下提供发布信息。因此,发布设备5具有用于与信息处理设备1或2的非接触通信的读取器/写入器6。读取器/写入器6可以内置在发布设备5中,或者可以以有线或无线方式作为分离设备连接到发布设备5。发布设备5可经由网络7与便携式终端2通信。IC卡1执行与发布设备5的读取器/写入器6的非接触通信,并且从发布设备5 获取加密的发布信息(加密发布信息)。从而,例如,如果在卡制造工厂中IC卡1的封装时将IC卡1保持在发布设备5的读取器/写入器6之上,则可以将加密发布信息从发布设备 5提供到IC卡1。便携式终端2经由网络7与发布设备5通信,并且从发布设备5获取加密发布信息。发布设备5包括可与网络通信的服务器设备,并且经由网络7将发布信息发送到便携式终端2。从而,可以在便携式终端2经由网络7访问发布设备5时的任何时间点,将加密发布信息从发布设备5提供到便携式终端2。如图2所示,IC卡系统的主要部分包括信息处理设备(如IC卡1或便携式终端 2)的IC卡部分8、外部设备(如服务提供设备3或发布设备5)的控制器9、以及外部设备 3或5的读取器/写入器4或6。 IC卡部分8具有用于与读取器/写入器4或6、IC芯片和存储器(图4的存储器部分30)非接触通信的天线(图4的天线部分10)。IC卡部分8可以是卡形IC卡,可以嵌入便携式终端2,或者可以以任何形式实现。IC卡部分8和读取器/写入器4或6通过如 "IS0/IEC 18092”的预定通信方案执行有线或无线通信。读取器/写入器4/6可以以有线或无线方式连接到控制器9。控制器9经由读取器/写入器4或6发送读取命令到IC卡部分8,响应于读取命令从存储器读取用户数据,并且经由读取器/写入器4或6将用户数据发送到控制器9。IC卡系统配置为这样的系统,其中在IC卡1或便携式终端2的IC卡部分8与外部设备3或5的读取器/写入器4或6之间执行非接触通信。读取器/写入器4或6生成射频(RF)操作相关的磁场,将功率发送到IC卡部分8,并且响应于命令、数据等调制RF操作相关的磁场。从而,通过非接触通信在读取器/写入器4或6和IC卡部分8之间通信数据。在IC卡系统中,读取器/写入器4或6发布各种类型的命令到IC卡部分8,并且IC卡部分8响应命令,使得执行交易并且执行与预定服务有关的数据通信。在如图3所示的该实施例中,假设使用与多种加密方案兼容的IC卡1。也就是说, 现有技术的IC卡1A、1B和IC按照点对点对应对应于加密方案A、B、C,但是根据本实施例的IC卡ID按照点对多点对应对应于多种加密方案,例如,加密方案A、B和C。应用如DES、AES、Camellia、CLEFIA等的公共密钥加密方案或RivestShamir Adleman(RSA)等的私人密钥加密方案的任何加密方案作为加密方案。在安全性或加密处理时处理负荷方面的可靠性上,各个加密方案互有上下。[2. IC卡的配置]接下来,将参照图4和5描述根据本发明实施例的IC卡1的配置。图4示出IC 卡1的主要配置,并且图5示出IC卡1的控制部分20和存储器部分30的配置。如图4所示,IC卡部分8具有天线部分10、接收部分11、解密部分12、加密部分 13、发送部分14、控制部分20和存储器部分30。天线部分10是用于与读取器/写入器4或6的非接触通信的天线。接收部分11 解调来自读取器/写入器4或6的接收数据。解密部分12解密解调的接收数据。加密部分13加密指向读取器/写入器4或6的发送数据。发送部分14调制加密的发送数据。控制部分20控制IC卡部分8的每个部分。存储器部分30是保持用户数据和管理信息的数据等的存储器。接收部分11、解密部分12、加密部分13、发送部分14、控制部分20和存储器部分 30包括预定电路,并且安装在小尺寸IC芯片上。天线部分10包括沿着IC卡1的外沿排列的线圈天线,并且连接到接收部分11和发送部分14。接收部分11和发送部分14包括没有示出的调制解调器电路、前端电路、功率发生电路等。调制解调器电路通过ASK调制方案等调制/解调数据。功率发生电路从通过天线部分10接收的载波的RF操作相关磁场生成感生电动势,并且引入功率发生电路作为IC卡部分8的电源。前端电路调制通过天线部分10接收的载波,从读取器/写入器4或6获取命令或数据,并且将命令或数据提供到控制部分20。前端电路频率划分载波,并且生成用于驱动 IC卡部分8的时钟。此外,前端电路响应于关于预定服务的命令或数据来调制载波,并且将调制的载波从天线部分10发送到读取器/写入器4或6。解密部分12和加密部分13构成加密处理部分,并且例如包括具有加密处理功能的加密处理器等的专用硬件。解密部分12和加密部分13与多种不同加密方案兼容。从而, IC卡部分8能够使用多种加密方案与外部读取器/写入器4或6非接触通信。控制部分20包括未示出的如微处理器的算术处理设备、R0M、RAM等,控制IC卡部分8的每个部分,并且还执行预定的算术处理。控制部分20根据存储器部分30、ROM等中存储的程序操作,并且控制预定算术处理、命令生成、用于发送/接收和读取/写入各种类型的信息的控制等。例如,当控制部分20关于预定服务与读取器/写入器4或6通信时, 从存储器部分30读取关于服务的用户数据/将关于服务的用户数据写入存储器部分30。 控制部分20控制通过解密部分12和加密部分13的数据加密/解密处理。控制部分20确定加密/解密处理是否必要,使得对于预定的发送/接收数据执行加密/解密处理。存储器部分30包括半导体存储器,如闪存、电可擦除和可编程ROM(EEPROM)、或者铁电RAM(FeRAM)。存储器部分30用作稍后要描述的数据存储部分31,并且存储用于通过非接触通信使用预定服务的用户数据和用于管理用户数据的数据。存储器部分30安全地保持用于解密加密发布信息的认证密钥。存储器部分30可以包括如不同于半导体存储器的HDD的存储设备。如图5所示,存储器部分30具有包括逻辑文件结构部分32的数据存储部分31,在逻辑文件结构部分32中分级地构造管理信息和用户数据。逻辑文件结构部分32具有这样的逻辑文件结构,其中逻辑地和分级地构造作为管理信息的存储区域的定义区域,并且分级地保持各种类型的定义信息。如稍后将描述的,在逻辑文件结构部分32中提供用于多个逻辑卡(逻辑卡50A、50B等)的存储区域33A和33B。如图5所示,控制部分20具有一个感测/响应部分21、多个加密兼容单元22A和 22B、禁止处理部分23和操作处理部分24。为与解密部分12和加密部分13 (加密处理部分)兼容的每个加密方案提供加密兼容单元22A和22B。例如,如果加密处理部分与DES和 AES兼容,则提供DES的加密兼容单元22A和AES的加密兼容单元22B。可以提供三个或更多加密兼容单元作为加密兼容单元22A、22B、22C.......每个加密兼容单元22A、22B等具有认证密钥生成部分25A、25B等、相互认证部分 26A、26B等、通信信道加密部分27A、27B等、以及读取/写入部分28A、28B等。也就是说,为每个加密方案提供每个加密兼容单元22A、22B等,并且每个加密兼容单元22A、22B等是其中组合使用每个加密方案的通信所需的多个功能部分的单元。控制部分20的每个部分通过安装用于执行信息处理设备1或2上每个部分的功能的程序并且使得控制部分20的处理器执行程序来实现。程序经由存储介质或通信介质提供到信息处理设备1或2。然而,控制部分20的每个部分可以通过安装具有信息处理设备1或2上每个部分的功能的硬件来实现。
感测/响应部分21具有对应于在“IS0/IEC 18092”等中提出的轮询命令等的功能。在从读取器/写入器4或6接收与预定IC卡系统有关的轮询命令时,感测/响应部分 21生成相应的响应命令,并且将响应命令发送到读取器/写入器4或6。感测/响应部分 21通常在多种加密方案中提供。认证密钥生成部分25A、25B等生成IC卡部分8和读取器/写入器4或6之间的相互认证所需的认证密钥。认证密钥生成部分25A、25B等从由要用作使用对象的服务访问的存储区域的服务密钥和对于IC卡部分8唯一的ID(卡ID)生成认证密钥。如果多个服务同时用作要使用的对象,则从多个服务密钥生成退化密钥(degenerate key),并且从退化密钥和卡ID生成认证密钥。在相互认证处理中使用认证密钥。相互认证部分26A、26B等执行IC卡部分8和读取器/写入器4或6之间的相互认证。相互认证部分26A、26B等使用由认证密钥生成部分25A、25B等生成的认证密钥,解密并且重新加密从读取器/写入器4或6接收的随机数,并且将重新加密的随机数发送到读取器/写入器4或6。相互认证部分26A、26B等使用认证密钥加密生成的随机数,发送加密的随机数到读取器/写入器4或6,从读取器/写入器4或6接收其响应,并且确定它是否与发送的随机数相同。通过检查由读取器/写入器4或6和IC卡部分8相互生成的随机数是否准确,执行相互认证。通过从读取器/写入器4或6指定的加密方案执行相互认证处理。通信信道加密部分27A、27B等使用在“NIST SP 800-38”中规定的块加密方案加密IC卡1和读取器/写入器4或6之间的通信信道。在相互认证处理之后,通信信道加密部分27A、27B等使用在相互检查的随机数作为通信信道加密密钥的情况下生成的会话密钥加密通信信道,并且发送/接收各种类型的数据。读取/写入部分28A、28B等从存储器部分30读取各种类型的数据,或者将各种类型的数据写入存储器部分30。读取/写入部分28A、28B等从读取器/写入器4或6接收对于预定服务的用户数据读取请求,并且将用户数据读取请求写入到数据存储部分31的预定服务定义区域。读取/写入部分28A、28B等将基于发布信息发布的管理信息写入到数据存储部分31的预定存储区域。如之后所述,读取/写入部分28A、28B等从预定存储区域读取禁止标记52A、52B等/将禁止标记52A、52B等写入到预定存储区域,并且读取/写入对于稍后描述的每个逻辑卡50A、50B等的格式初始化操作和服务发布操作所需的数据。如下面详细所述,禁止处理部分23执行用于禁止在每个逻辑卡50A、50B等的存储区域中执行预定操作的禁止处理。在禁止处理中,禁止使用具有低安全性强度(DES等)的加密方案执行如格式初始化操作和服务发布操作的操作。操作处理部分24执行要在每个逻辑卡50A、50B等的存储区域中执行的预定操作所需的处理。例如,在操作处理中,执行如要使用不同加密方案(AES、DES等)执行的格式初始化操作、服务发布操作、数据访问等的操作所需的处理。[3. IC卡的存储区域和发布处理]接下来,将参照图6和7描述IC卡1的存储区域和IC卡1的发布处理。图6示出IC卡1的存储区域的配置,并且图7示出IC卡1的发布处理。下文中,IC卡1将描述为信息处理设备的示例。图6仅示出与禁止处理有关的存储区域的部分的配置。如图6所示,在IC卡1中形成一个或多个逻辑卡(例如,逻辑卡50A和50B)。在数据存储部分31中,为各个逻辑卡50A、50B等分配用于存储根密钥51A、51B等、禁止标记 52A、52B等、以及管理信息53A和53B等的唯一存储区域(图5所示的存储区域33A、33B等)。各个逻辑卡50A、50B等对应于如DES和AES的具有不同安全性强度的多种加密方案。根密钥51A、51B等是分别对应于不同加密方案的加密密钥(DES根密钥、AES根密钥等)。在每个根密钥51A、51B等中,使用由外部设备3或5的读取器/写入器4或6指定的加密方案的根密钥51A、51B等执行相互认证、密码通信和数据存取。禁止标记52A、52B等用于禁止在存储区域中执行预定操作。管理信息53A和53B 等用于管理要在使用每个逻辑卡50A、50B等的服务中使用的用户数据。在每个逻辑卡50A、50B等中,在服务中要使用的存储区域中执行如逻辑卡初始化、服务发布和数据存取的操作。在每个逻辑卡中,使用禁止标记52A、52B等禁止如逻辑卡初始化或服务发布的对于存储区域的预定操作。在每个逻辑卡50A、50B等中,在操作时检查禁止标记52A、52B等的状态,并且如果禁止操作,则禁止操作的执行。在逻辑卡初始化操作中,初始化对于每个逻辑卡50A、50B等唯一的存储区域的格式。在服务发布操作中,发布用于接收使用每个逻辑卡50A、50B等的服务的服务信息,并且将关于服务的数据添加到预定存储区域。在数据存取操作中,读取/写入在使用逻辑卡 50A、50B等的服务中要使用的数据。每个操作对应于每个不同加密方案。如果不禁止操作,则可以使用任何加密方案执行每个操作。也就是说,可以执行格式初始化操作、服务发布操作和数据存取操作,而不取决于加密方案。另一方面,如果禁止操作,则例如禁止通过具有低安全性强度(例如, DES)的加密方案的逻辑卡初始化操作和/或禁止通过相同加密方案的服务发布操作。在通过卡发布器的物理发布之后,IC卡1分为逻辑卡50A、50B等,对其分配唯一的存储区域。这里,IC卡1配置为允许具有不同服务操作方案的操作者可操作使用每个逻辑卡50A、50B等的服务。例如,在IC卡1中,通过卡发布器操作使用逻辑卡50A的服务,并且通过不同于卡发布器的操作者操作使用逻辑卡50B的服务。如图7所示,在外部设备3或5的读取器/写入器4或6和IC卡系统中的IC卡 1之间执行零级到次级发布(步骤S11、S13和S15)。下面将描述通过发布设备5执行零级到次级发布的情况,但是可以通过服务提供设备3的外部设备等执行至少部分处理。在零级发布中(Sll),将IC卡1的制造信息/包括封装密钥的信息发送到IC卡 1,并且存储在预定存储区域中。在初级发布中(S13),将包括各种类型的服务的格式的信息发送到IC卡1,并且存储在预定存储区域中。在次级发布中(S15),将用于写入用户数据的信息和用于写入关于服务的数据的初始值的信息发送到IC卡1,并且存储在预定存储区域中。这里,以IC卡1为单位执行零级发布(Sll),并且以逻辑块50A、50B等为单位执行初级和次级发布(S13和S15)。以逻辑卡50A、50B等为单位在零级发布时间、初级发布时间和次级发布时间的任一执行用于禁止预定操作的禁止处理(S12、S14和S16)。[4.操作禁止处理]接下来,将参照图8到10描述要在IC卡1和外部设备3或5之间执行的操作禁止处理。图8示出与禁止处理有关的主要配置,图9示出禁止处理过程,并且图10示出禁止信息检查过程。 如图8所示,外部设备5具有禁止信息生成部分61、禁止信息加密部分62、禁止信息发送部分63和操作请求发送部分64。这里,通过图3所示的控制器9实现禁止信息生成部分61,并且通过图3所示的读取器/写入器6实现禁止信息加密部分62、禁止信息发送部分63和操作请求发送部分64。 另一方面,IC卡1具有禁止信息接收部分71、禁止信息解密部分72、禁止信息检查部分73、禁止标记设置部分74、操作请求接收部分75、操作请求检查部分76和操作执行部分77。这里,通过图4所示的接收部分11实现禁止信息接收部分71和操作请求接收部分 75,并且通过解密部分12实现禁止信息解密部分72。通过图4和5所示的控制部分20实现禁止信息检查部分73、禁止标记设置部分74、操作请求检查部分76和操作执行部分77。 外部设备5可以分开配置为处理禁止信息的第一设备和处理操作请求的第二设备。在外部设备5中,禁止信息生成部分61生成用于禁止对于IC卡1的存储区域的预定操作的禁止信息。如下面将详细所述,在禁止信息中指定要禁止的操作。要禁止的操作被指定为要通过具有低安全性强度的加密方案(DES等)执行的预定操作。禁止信息加密部分62通过具有高安全性强度的加密方案(AES等)加密至少部分禁止信息(加密信息)。 禁止信息发送部分63将包括加密信息的禁止信息发送到IC卡1。如果用户请求外部设备 5执行操作,则禁止信息发送部分63将对应于请求的操作的操作命令发送到IC卡1。另一方面,在IC卡1中,禁止信息接收部分71从外部设备5接收包括加密信息的禁止信息。加密信息解密部分72通过具有高安全性强度的加密方案解密加密信息。禁止信息检查部分73检查包括解密的加密信息的禁止信息的有效性。如果检查了禁止信息的有效性,则禁止标记设置部分74使用禁止信息设置用于禁止预定操作的禁止标记52。禁止标记设置部分74起作用为禁止处理部分。操作请求接收部分75从外部设备5接收对应于由用户请求的操作的操作命令。操作请求检查部分76通过参照禁止标记52,检查对应于操作命令的操作是否对应于要禁止的预定操作。只有如果对应于操作命令的操作不对应于要禁止的预定操作,操作执行部分 77才执行操作。下文中,将参照图9描述禁止处理过程的示例。可以根据其它过程执行禁止处理。 在禁止处理中,如图9所示首先执行感测处理(S21)。读取器/写入器6发送指定特定逻辑卡50A、50B等的轮询命令。如果用户将IC卡1持有在读取器/写入器6之上,则读取器/ 写入器6发送指定特定逻辑卡50A、50B等的响应命令作为感测响应到IC卡1。如果做出感测响应,则使用具有高安全性强度的加密方案(AES等)生成在读取器 /写入器6和IC卡1之间的相互认证所需的认证密钥(S22),并且使用认证密钥执行相互认证(S23)。如果执行相互认证,则读取器/写入器6通过指定预定操作执行禁止处理(S24)。 禁止信息生成部分61例如生成如下所述的禁止信息,用于在通过每个逻辑卡50A、50B等的操作者的指令的禁止处理中使用(其中括号中的数字是每个数据的比特数字的示例)。禁止信息的配置仅是示例性的,并且可以应用其它配置。·对象加密(1)·对象操作(1)
·包(32) 对象加密(包内)(1) 对象操作(包内)(1)·填充(Padding) (14) 包 MAC (16)“对象加密”指示用作禁止处理的对象的加密方案。例如,如果对象是DES加密方案,则“对象加密”指定为“Olh”。“对象操作”指示用作对于存储区域的预定处理项目中的禁止处理的对象的操作。例如,如果禁止逻辑卡初始化操作,则“对象操作”指定为“Olh”, 并且如果禁止服务发布操作,则“对象操作”指定为“02h”。“包”包括“对象加密(包内)”、“对象操作(包内)”、“填充”和“包MAC”,并且通过特定AES加密密钥加密“包”。禁止信息加密部分62通过AES加密密钥加密“包”。“对象加密(包内)”和“对象操作(包内)”分别是与“对象加密”和“对象操作”相同的信息。 在“包”的加密时使用“填充”,并且在“包”的认证时使用“包MAC”。这里,每个逻辑卡50A、50B等的操作者确定对于逻辑卡50A、50B等是否执行对于预定操作的禁止处理。另一方面,通常,在零级到次级发布时间中通过卡制造者执行禁止处理。因此,通过实践者(practitioner)不知道的AES加密密钥加密“包”,使得通过操作者的授权适当地执行禁止处理,因为逻辑块50A、50B等的操作者可以不同于禁止处理的实践者ο如果生成禁止信息,则禁止信息发送部分63将禁止信息发送到IC卡1。IC卡1 通过图10所示的过程检查禁止信息的有效性。在禁止信息的检查处理中,首先,禁止信息接收部分71从外部设备5接收禁止信息,并且禁止信息解密部分72通过AES加密密钥解密“包”(S31)。可以在稍后描述的步骤 S34的处理开始之前的任何时间点解密“包”。禁止信息检查部分73检查预定加密方案和预定操作是否分别被指定为“对象加密”和“对象操作”(S32和S33)。具体来说,使用上述数据示例,检查“Olh”是否指定为“对象加密”,并且“Olh”或“02h”是否指定为“对象操作”。禁止信息检查部分73检查是否适当地执行解密(S34)。使用“包MAC”对于数据操作验证“包”的解密结果。此外,检查“对象加密(包内)”和“对象操作(包内)”是否分别与“对象加密”和“对象操作”相同(S35和S36)。如果检查到所有上述项目,则禁止标记设置部分74继续禁止处理(S37),并且如果没有检查到任何上述项目,则停止禁止处理(S38)。IC卡1发送指示检查或没有检查禁止信息的有效性的响应到读取器/写入器6 (S39)。如果继续禁止处理,则禁止标记设置部分74在特定逻辑卡50A、50B等中通过“对象加密”和“对象操作”设置禁止标记52。例如,如果在逻辑卡50A中禁止通过DES的逻辑卡初始化操作,则禁止标记52的状态在操作中设为“禁止”。[5. IC卡的使用情况]接下来,将参照图11到13描述IC卡1的使用情况。图11和12分别示出对应于第一和第二使用情况的存储区域的配置。图13和14分别示出在第一和第二使用情况中禁止未授权操作的过程。在图11和12中,标志“/”添加到要禁止的操作的禁止标记52。图13示出对应于第一和第二使用情况的IC卡1的发布过程。图11和12仅示出与禁止处理有关的存储区域的部分的配置。在第一使用情况中,假设逻辑卡50A对应于使用AES和DES的服务,并且IC卡1 的用户添加仅对应于DES的服务信息。在第二使用情况下,假设逻辑卡50B仅对应于使用 AES的服务。作为使用情况的示例,逻辑卡50A、50B等可以仅对应于使用DES的服务。在第一使用情况中,使用AES,并且此外通过操作主体使用逻辑卡50A操作可用服务,该操作主体通过DES执行服务发布。也就是说,在与通过DES的服务发布操作兼容的同时,逻辑卡50A需要禁止通过DES的逻辑卡初始化操作的未授权执行。结果,如图11所示, 在逻辑卡50A中,不禁止通过DES的服务发布操作,并且禁止通过DES的逻辑卡初始化操作。从而,在与通过DES的服务发布操作兼容的同时,逻辑卡50A的操作主体可以禁止通过 DES的逻辑卡初始化操作的未授权执行。在第二使用情况中,仅通过使用AES的操作主体使用逻辑卡50B操作可用服务。也就是说,因为逻辑卡50B不与通过DES的服务发布操作兼容,所以需要禁止通过DES的逻辑卡初始化操作和服务发布操作的未授权执行。结果,如图12所示,禁止通过DES的逻辑卡初始化操作和服务发布操作。从而,逻辑卡50B的操作主体可以禁止通过DES的逻辑卡初始化操作和服务发布操作的未授权执行。图13示出当发布对应于第一和第二使用情况IC卡1时的发布过程。如图13所示,首先,在零级中发布IC卡1 (S41),也就是说,物理地发布IC卡1。在IC卡1的存储区域中,存储如IC卡1的制造信息的对于IC卡1唯一的信息。在IC卡1中,通过零级发布形成逻辑卡50A,并且分配对于逻辑卡50A唯一的存储区域33A。接下来,与第一使用情况对应,初级发布逻辑卡50A(S42),并且包括使用逻辑卡 50A的各种类型的可用服务的格式的信息存储在预定存储区域中。接下来,执行用于禁止逻辑卡初始化操作的禁止处理(S43)。在逻辑卡50A,禁止通过DES的逻辑卡初始化操作。接下来,次级发布逻辑卡50A(S44)。用于写入用户数据和关于使用逻辑卡50A可用服务的数据的初始值的信息存储在预定存储区域中。代替初级发布时间,可以在零级发布时间或次级发布时间中执行逻辑卡50A的禁止处理(S43)。此外,与第二使用情况对应,在任何时间点创建逻辑卡50B(S45)。接下来,初级发布逻辑卡50B (S46)。接下来,执行用于禁止通过DES的逻辑卡初始化操作的禁止处理和用于禁止通过DES的服务发布操作的禁止处理(S47和S48)。可以以相反顺序执行步骤S47 和S48的处理。从而,在逻辑卡50B中,禁止通过DES的逻辑卡初始化操作和服务发布操作。 接下来,次级发布逻辑卡50B。代替初级发布时间,可以在次级发布时间中执行逻辑卡50B的禁止操作(S47和 S48)。可以在初级发布时间和次级发布时间中划分和执行禁止处理。在此情况下,例如,可以在初级发布时间中执行用于禁止逻辑卡初始化操作的禁止处理(S47),并且可以在次级发布时间中执行用于禁止服务发布操作的禁止处理(S48)。下文中,将描述使用禁止标记52在第一和第二使用情况下禁止未授权操作的执行的过程。首先,将描述对应于第一使用情况的示例。如图14所示,在逻辑卡50A中,通过禁止标记52预先禁止通过DES的逻辑卡初始化操作(S51和S52)。如服务提供设备3的外部设备的读取器/写入器4发送指定逻辑卡50A的轮询命令。如果未授权用户持有IC卡1 在读取器/写入器4之上,则读取器/写入器4发送指定逻辑卡50A的响应命令作为感测响应到IC卡1 (S53)。如果感测响应发送到IC卡1,则读取器/写入器4执行认证密钥生成处理和与IC卡1的相互认证(S54和S55)。这里,假设这样的情况,其中因为读取器/写入器4不与AES加密方案兼容或者 AES加密无效,所以仅仅DES加密方案可用。在此情况下,通过读取器/写入器4指定DES 加密方案,并且使用DES加密方案在读取器/写入器4和IC卡1之间执行相互认证。如果执行相互认证,则未授权用户通过预定操作输入指示外部设备3执行通过 DES的逻辑卡初始化操作。操作请求发送部分64发送对应于该操作的操作命令到IC卡 1(S56)。操作请求接收部分75接收操作命令。操作请求检查部分76参照逻辑卡50A的禁止标记52,并且检查是否禁止操作的执行(S57)。在此情况下,IC卡1发送指示不可能执行操作的响应命令到读取器/写入器4,因为通过禁止标记52禁止操作的执行(S58)。如果接收响应命令,则外部设备3将禁止操作的执行的事实通知给未授权用户。从而,可以禁止通过DES的逻辑卡初始化操作的未授权执行。如果不禁止操作,则操作执行部分77执行该操作。接下来,将描述对应于第二使用情况的示例。如图15所示,在逻辑卡50B中通过设置禁止标记52预先禁止逻辑卡初始化操作和服务发布操作(S61到S64)。读取器/写入器4发送指定逻辑卡50B的轮询命令。如果未授权用户持有IC卡1在读取器/写入器4 之上,则读取器/写入器4发送指定逻辑卡50B的响应命令作为感测响应到IC卡1 (S65)。 如果进行感测响应,则使用DES加密方案在读取器/写入器4和IC卡1之间执行认证密钥生成处理和相互认证,如在第一使用情况下(S66和S67)。如果执行相互认证,则未授权用户通过预定操作输入指示外部设备3执行逻辑卡初始化操作或服务发布操作。操作请求发送部分64发送对应于操作的操作命令到IC卡 1(S68和S71)。操作请求接收部分75接收操作命令。操作请求检查部分76参照逻辑卡 50B的禁止标记52,并且检查是否禁止操作(S69和S72)。在此情况下,IC卡1发送指示不可能执行操作的响应命令到读取器/写入器4,因为通过禁止标记52禁止操作(S70和S73)。如果接收到响应命令,则外部设备3将禁止操作的执行的事实通知给未授权用户。从而,可能禁止通过DES的逻辑卡初始化操作或服务发布操作的未授权执行。如果不禁止操作,则操作执行部分77执行该操作。[6.总结]根据与如上所述的本公开的实施例有关的信息处理设备,使用第二加密方案从外部设备接收禁止信息,该禁止信息用于禁止使用第一加密方案在信息处理设备的存储区域中执行预定操作,并且执行用于通过禁止信息禁止预定操作的禁止处理。如果从该外部设备或另一外部设备接收操作请求,并且请求的操作不对应于通过禁止信息禁止的预定操作,则执行请求的操作。从而,可能禁止使用具有低安全性强度的加密方案在存储区域中执行未授权的操作。存储区域划分为分别有不同操作主体可用的多个逻辑区域,并且通过能够使用每个逻辑区域的操作主体的认证设置禁止信息,以便禁止使用第一加密方案在每个逻辑区域中执行预定操作。从而,可能确保对于能够由在多个逻辑区域之间的每个操作主体使用的数据的安全性特性。已经参照附图详细描述了本公开的优选实施例,但是本发明不限于此。本领域的技术人员应该理解,取决于设计要求和其它因素,可以出现各种修改、组合、子组合和替换, 只要它们在权利要求和其等价物的范围内。例如,上面已经描述了信息处理设备1或2与包括DES和AES方案的两个加密方案兼容的情况,但是信息处理设备1或2可以与三个或更多加密方案兼容。上面已经描述了信息处理设备1或2具有两个逻辑卡50A和50B的情况,但是信息处理设备1或2可以具有三个或更多逻辑卡50A、50B、50C...。上面已经描述了以逻辑卡50A、50B等为单位禁止对于存储区域的预定操作的情况。然而,代替逻辑卡50A、50B等的单位,可以以使用逻辑卡50A、50B等的可用服务为单位禁止预定操作。也就是说,可以在使用相同逻辑卡50A、50B等的可用服务A和B的服务A 中禁止预定操作,并且可以在服务B中允许预定操作。本申请包含涉及于2010年4月13日向日本专利局提交的日本优先权专利申请JP 2010-92062中公开的主题,在此通过引用并入其全部内容。
权利要求
1.一种信息处理设备,其与第一加密方案和第二加密方案兼容,所述第二加密方案具有与所述第一加密方案的安全性强度不同的安全性强度,所述设备包括禁止信息接收部分,用于使用所述第二加密方案从外部设备接收禁止信息,所述禁止信息用于禁止使用所述第一加密方案在信息处理设备的存储区域中执行预定操作; 禁止处理部分,用于通过所述禁止信息执行用于禁止所述预定操作的禁止处理; 操作请求接收部分,用于从所述外部设备或另一外部设备接收操作请求;以及操作执行部分,用于如果请求的操作不对应于由所述禁止信息禁止的所述预定操作, 则执行所述请求的操作。
2.如权利要求1所述的信息处理设备,其中所述存储区域划分为分别由不同运行主体可用的多个逻辑区域,并且通过能够使用所述逻辑区域的每一个的运行主体的授权设置所述禁止信息,以便禁止使用所述第一加密方案在所述逻辑区域的每一个中执行预定操作。
3.如权利要求1所述的信息处理设备,其中所述禁止信息包括将所述存储区域的格式初始化操作指定为所述预定操作的信息。
4.如权利要求1所述的信息处理设备,其中所述禁止信息包括将到所述存储区域的服务信息的添加指定为所述预定操作的信息。
5.一种信息处理方法,其应用于与第一加密方案和第二加密方案兼容的信息处理设备,所述第二加密方案具有与所述第一加密方案的安全性强度不同的安全性强度,所述方法包括以下步骤使用所述第二加密方案从外部设备接收禁止信息,所述禁止信息用于禁止使用所述第一加密方案在信息处理设备的存储区域中执行预定操作;通过所述禁止信息执行用于禁止所述预定操作的禁止处理; 从所述外部设备或另一外部设备接收操作请求;以及如果请求的操作不对应于由所述禁止信息禁止的所述预定操作,则执行所述请求的操作。
6.一种程序,用于使得计算机执行权利要求5所述的信息处理方法。
全文摘要
一种与DES方案和AES方案兼容的IC卡,AES方案具有与DES方案的安全性强度不同的安全性强度,该IC卡包括禁止信息接收部分,用于使用DES加密方案从发布设备接收禁止信息,所述禁止信息用于禁止使用DES加密方案在IC卡的存储区域中执行预定操作;禁止标记设置部分,用于通过所述禁止信息执行用于禁止所述预定操作的禁止处理;操作请求接收部分,用于从服务提供设备或发布设备接收操作请求;以及操作执行部分,用于如果请求的操作不对应于由所述禁止信息禁止的所述预定操作,则执行所述请求的操作。
文档编号G06K19/073GK102222243SQ20111009227
公开日2011年10月19日 申请日期2011年4月13日 优先权日2010年4月13日
发明者下地克弥, 中津川泰正, 坂本和之, 森田直, 椎木大辅, 滨田宏昭, 竹村俊治 申请人:索尼公司