安全设备的制作方法

专利名称：安全设备的制作方法
技术领域：
本发明涉及一种安全设备，该安全设备配备有防止内容的未授权使用的技术以及避免在电子商务(移动EC)过程中产生欺诈行为的技术。
背景技术：
近期，经过网络例如因特网来发布音乐内容和运动图像内容的各种类型的电子信息服务已经日趋流行。电子信息服务的实施例包括内容发布服务和移动EC服务。
这种电子信息服务需要防止内容被未授权使用的内容保护技术和如鉴定技术和记帐技术之类的在移动EC中所使用的EC保护技术支持。因此，配备有这种技术的安全设备已经发展起来并被广泛使用。
用户例如将这种安全设备安装到他们的移动电话上以从路上安全地执行内容发布服务和移动EC服务之类的服务。
关于安全设备的详细信息，2001年10月在Hitachi Hyoron上发表的由MIYAKE Jun、ISHIHARA Harutsugu和TSUNEHIRO Takashi撰写的附刊“用于内容发布和移动商务的安全多媒体卡(Securemultimedia card for content distribution and mobile commerce)”中公开了一种配备有内容保护技术和EC保护技术的安全多媒体卡(下文缩写为“SMMC”)。
还存在配备有程序下载功能的SMMC，其中一个实施例是JAVA卡(JAVA是注册商标)。这里，要下载的程序可以是例如新的应用程序和已经在卡上生效的程序的最新版本。
配备有程序下载功能的SMMC在其TRM(抗篡改模块)中包括密码处理引擎、安全密钥信息、CPU、RAM、ROM和EEPROM。SMMC还包括在TRM外部的大容量(例如存储容量在8MB到256MB范围内的)闪存。在SMMC中，CPU使用密码处理引擎和安全密钥信息控制例如鉴定过程和密码处理过程。此外，CPU从外部设备上获取要被下载的程序，并将获取的程序存储在安装在TRM内的EEPROM中，以执行该程序。
这里，TRM是配备有防止外部设备对存储在模块中的数据直接进行未授权访问、篡改之类的操作的措施的模块。
另外，闪存中存储有作为发布内容的如音乐内容和运动图像内容的各种数字数据。
安装在TRM内的EEPROM是相比于其它存储器在根据存储容量的成本方面成本较高的设备。因此，EEPROM容量的增加将强烈影响SMMC的成本。另外，从设备的特性来看，可安装到TRM的EEPROM的容量是受限的；根据当前结构构成的EEPROM的标准容量约为64MB。
同时，期望从现在开始大幅度增加要下载到SMMC的应用程序。考虑到这些情况，可以确定，在具有当前结构的TRM的EEPROM中是不可能存储必要的应用程序的。
有一种将TRM的EEPROM所不能容纳的应用程序存储到TRM外部的闪存的方法。然而，对这种方法的不加选择的使用从安全的观点来说是不实际的，有必要从每个程序的管理者得到至少一个认可。为了实现这种系统，希望采用一种确保安全的新技术。
本发明的目的在于提供一种安全设备，该设备可以下载容量超出TRM上实现的存储区的存储容量的程序，同时可以确保程序管理者所期望的安全。

发明内容
根据本发明的安全设备包括多个存储单元，每个都具有存储区；获取单元，用于获取数字数据和相应的目的地信息，所述目的地信息用于将存储单元确定为数字数据的存储目的地；和处理单元，用于将数字数据存储在基于目的地信息而确定的存储单元中。
其中，安全设备具有多个存储单元，每个存储单元都包括存储区，根据本发明，用于所述安全设备的存储方法包括获取数字数据和相应的目的地信息，所述目的地信息用于确定作为数字数据的存储目的地的存储单元；和将数字数据存储在基于目的地信息而指定的存储单元中。
通过上述结构，每条数字数据的管理者都可以为数字数据设定目的地信息。当具有高保护等级的存储单元如安装在TRM内的EEPROM缺少存储空间时，这是十分有用的。特别是，在这种情况下，如果与管理者设定的目的地信息相一致，则可以将数字数据存储在具有低保护等级的存储单元如安装在TRM之外的闪存中。因此，这种结构可以根据其数值有效存储数字数据。
因此，当下载超出安装在TRM中的存储区的存储容量的程序时，可以在确保管理者所需的安全性的同时实现下载。
此外，在所述安全设备中，多个存储单元中的每一个都可相应于一个保护等级，目的地信息可以指定数字数据所需的保护等级，可操作处理单元以将与保护等级相应的存储单元确定为数字数据的存储目的地，所述保护等级与目的地信息指定的保护等级相同。
根据这种结构，每条数字数据的管理者都可以设定数字数据所需的保护等级，以将与数字数据的保护等级相同的保护等级相应的存储单元确定作为数字数据的存储目的地。这种结构可根据其数值有效存储数字数据。
此外，在所述安全设备中，多个存储单元中的每一个都相应于一个保护等级，目的地信息可以指定数字数据所需的保护等级，可操作处理单元以将与一保护等级相应的存储单元确定为数字数据的存储目的地，所述保护等级不低于目的地信息指定的保护等级。
根据这种结构，每条数字数据的管理者都可以设定数字数据所需的保护等级，以将相应于保护等级不低于数字数据的保护等级的存储单元确定作为数字数据的存储目的地。这种结构可根据其数值有效存储数字数据。
此外，在安全设备中，处理单元还包括检索子单元，用于在相应于保护等级不低于目的地信息指定的保护等级的存储单元中检索具有可容纳数字数据的空白存储区的所有存储单元；确定子单元，用于将相应于被发现具有可容纳数字数据的空白存储区的所有存储单元中的最高保护等级的存储单元确定为数字数据的存储目的地；和存储子单元，用于将数字数据存储在由确定子单元确定的存储单元中。
上述结构可以将具有可用存储区的存储单元中的具有最高保护等级的存储单元确定为存储目的地。因此，能够尽可能安全的存储每条数字数据。
另外，在安全设备中，处理单元还包括输出子单元，用于在检索子单元没有发现存储单元的情况下输出错误信息，以告知用户数字数据不能被存储。
上述结构能够在没有可用存储区时向用户显示不能存储数字数据。
另外，在安全设备中，处理单元还包括移动子单元，用于在检索单元没有发现存储单元的情况下(1)读取相应于已经存储在保护等级不低于第一保护等级的多个存储单元中的任意一个中的每个数字数据的目的地信息，其中所述第一保护等级是由被加入到获取单元处获取的数字数据的目的地信息指定的保护等级，(2)从读取的目的地信息中提取出指定保护等级低于所述第一保护等级的目的地信息，和(3)将相应于提取出的目的地信息的数字数据移动到相应于保护等级低于第一保护等级并且不低于每个由提取出的目的地信息指定的保护等级的存储单元中，以为获取的数字数据分配存储区，和存储子单元，用于将获取的数字数据存储到移动子单元所分配的存储区内。
根据上述结构，可以根据已经存储的数字数据的目的地信息移动该已经存储的数字数据，以为新的数字数据分配存储区。因此，该结构可以根据其数值有效存储每条数字数据。
另外，在安全设备中，处理单元还包括输出子单元，如果移动子单元不能分配存储区，则可操作所述输出子单元输出错误信息，以告知用户不能存储获取的数字数据。
根据上述结构，当即使已经移走了已经存储的数字数据却仍不能分配存储区时，可以告知用户没有空间来容纳新的数字数据。
另外，在安全设备中，多个存储单元中的每一个相应于一个保护等级，目的地信息指定数字数据所需的保护等级，该信息还用于确定数字数据的存储目的地是具有与目的地信息相同的保护等级的存储单元，还是相应于保护等级不低于目的地信息所指定的保护等级的存储单元中的任意一个，可操作存储单元根据目的地信息将相应于与目的地信息保护等级相同的存储单元或相应于保护等级不低于使用目的地信息指定的保护等级的存储单元之一确定为数字数据的存储目的地。
根据上述结构，每条数字数据的的管理者可以设定数字数据是存储在保护等级与数字数据相同的存储单元中还是存储在保护等级不小于数字数据的存储单元之一中。这使得可以更为灵活的进行设定。
另外，在安全设备中，目的地信息指定是否可以在将数字数据存储到安全设备之前任意决定数字数据的存储目的地，可操作处理单元根据目的地信息将数字数据存储在任意决定的存储单元中或基于目的地信息而确定的存储单元中。
根据上述结构，每条数字数据的管理者可以设定数字数据的存储目的地是否可以在安全设备内任意确定。这使得设定方式更加灵活。
另外，在安全设备中，多个存储单元的每一个可相应于一个保护等级，目的地信息指定是否在将数字数据存储到相应于保护等级低于预定保护等级的存储单元之前加密数字数据，处理单元根据目的地信息在将数字数据存储到低保护等级存储单元之前有选择的加密数字数据。根据上述结构，每条数字数据的管理者可以设定在将数字数据存储到具有与预定保护等级相同的低保护等级的存储单元时是否加密数字数据。这使得设定方式更加灵活。
此外，如果对每个安全设备都是唯一的密钥用在这种加密过程中，则可以防止存储在具有低保护等级的存储单元如闪存中的数字数据受到第三人的攻击如试图将数字数据的未授权拷贝提取到另一安全设备。
换句话说，即使在向另一安全设备执行这种未授权拷贝时，在该另一安全设备中所使用的密钥是不同的并且不能正确解密，从而阻止了数字数据的未授权使用。
另外，在安全设备中，多个存储单元的每一个可相应于一个保护等级，目的地信息指定是否在将数字数据存储到具有保护等级低于预定保护等级的存储单元时将信息证实代码添加到数字数据中，处理单元可被操作根据目的地信息在将数字数据存储到低保护等级存储单元之前有选择的将信息证实代码添加到数字数据。
根据上述结构，每条数字数据的管理者可以设定在将数字数据存储到保护等级低于预定保护等级的存储单元时是否将信息证实代码添加到数字数据中。这使得设定方式更加灵活。
另外，如果在存储数字数据之前添加这种信息证实代码，将避免受到存储在具有低保护等级的存储单元如闪存中的数字数据被未授权使用之类的攻击，上述攻击可以通过篡改数字数据或相应的目的地信息而实现。
这意味着，即使在已经篡改了数字数据或相应的目的地信息的情况下，也可以通过执行鉴定处理而检测到这种情况。因此，当检测到篡改发生时，可以禁止数字数据的使用。
此外，在安全设备中，多个存储单元的每一个可相应于一个保护等级，目的地信息指定是否在将数字数据存储到具有比预定保护等级低的保护等级的存储单元时嵌入数字签名，处理单元可被操作以根据目的地信息在将数字数据存储到抵保护等级存储单元之前有选择的将数字签名嵌入到数字数据上。
根据上述结构，每条数字数据的管理者可以设定在将数字数据存储到具有比预定保护等级低的保护等级的存储单元时是否将数字签名嵌入到数字数据上。这使得设定方式更加灵活。
另外，如果在存储数字数据之前嵌入这种数字签名，将避免受到存储在具有低保护等级的存储单元如闪存中的数字数据的未授权使用之类的攻击，上述攻击可以通过篡改数字数据或相应的目的地信息而实现。
这意味着，即使在已经篡改了数字数据或相应的目的地信息的情况下，也可以通过执行鉴定处理而检测到这种情况。因此，当检测到篡改发生时，可以禁止数字数据的使用。
此外，在安全设备中，多个存储单元的每一个可相应于一个保护等级，目的地信息可以指定在获取单元所获取的数字数据的优先级，至少一个存储单元已经在其上存储了数字数据，已经存储的每条数字数据可相应于一个优先级，在具有较高优先级的数字数据存储在相应于较高保护等级的存储单元的状态下，已经存储的数字数据可被存储在多个存储单元中，处理单元可被操作以根据目的地信息所指定的优先级将获取的数字数据存储在存储单元中，以保持具有较高优先级的数字数据存储在相应于较高保护等级的存储单元中的状态。
根据上述结构，每条数字数据的管理者可以设定数字数据的优先级，以便可以根据优先级将数字数据存储在存储单元中。因此，上述结构实现了数字数据的有效存储。
此外，在安全设备中，已经存储的每条数字数据都可以附加一个指定优先级的目的地信息，处理单元还包括移动子单元，用于从相应于最高保护等级的存储单元开始按顺序对多个存储单元执行下述操作(1)判定多个存储单元中的任意一个是否具有容纳所获取的数字数据的空白存储区，(2)当判定结果为否定的时，读取加入到存储在存储单元中的数字数据的目的地信息，(3)提取出指定优先级低于由附加到获取的数字数据的目的地信息所指定的优先级的每条目的地信息，(4)将相应于提取出的目的地信息的数字数据移动到相应于保护等级低于由提取出的目的地信息所指定的保护等级的存储单元中，(5)重复上述(1)-(4)，直到获得肯定判定结果，以为获取的数字数据分配存储区；和存储子单元，用于将获取的数字数据存储在移动子单元所分配的存储区内。
根据上述结构，可以根据数字数据的优先级移动已经存储的数字数据，以便可以为新的数字数据分配具有尽可能高的保护等级的存储区。因此，可以尽可能安全地存储每条数字数据。
此外，在安全设备中，由移动子单元读取的目的地信息可指定相应于读取的目的地信息的数字数据在被移动的情况下是否应当被加密，移动子单元可被操作来根据附加到要被移动的数字数据的目的地信息有选择地加密要被移动的数字数据，并移动要被移动的数字数据。
根据上述结构，每条数字数据的管理者可以设定在移动时是否应对数字数据加密。这使设定方式更加灵活。
另外，如果对每个安全设备的唯一的密钥被用在这种加密过程中，则可以防止移动到具有低保护等级的存储单元如闪存中的数字数据受到第三人的攻击，如试图将数字数据的未授权拷贝提取到另一安全设备。
也就是说，即使在向另一安全设备执行这种未授权拷贝时，在该另一安全设备中所使用的密钥是不同的并且不能正确解密，从而阻止了数字数据的未授权使用。
此外，在安全设备中，由移动子单元读取的目的地信息可指定相应于读取的目的地信息的数字数据在被移动的情况下是否应当添加信息证实代码，移动子单元可被操作来根据相应于要被移动的数字数据的目的地信息有选择地将信息证实代码添加到要被移动的数字数据，并移动要被移动的数字数据。
根据上述结构，每条数字数据的管理者都可以设定在移动时是否应将信息证实代码添加到数字数据中。这使得设定方式更加灵活。
另外，如果在移动数字数据之前添加这种信息证实代码，将避免受到移动到具有低保护等级的存储单元如闪存的数字数据的未授权使用之类的攻击，上述攻击可以通过篡改数字数据或相应的目的地信息而实现。
也就是说，即使在已经篡改了数字数据或目的地信息的情况下，也可以通过执行鉴定处理而检测到这种情况。因此，当检测到篡改发生时，可以禁止数字数据的使用。
此外，在安全设备中，移动子单元读取的目的地信息可指定相应于读取的目的地信息的数字数据在被移动的情况下是否应当嵌入数字签名，移动子单元可被操作来根据相应于要被移动的数字数据的目的地信息有选择地将数字签名嵌入到数字数据，并移动要被移动的数字数据。
根据上述结构，每条数字数据的管理者都可以设定在移动时是否应将数字签名嵌入到数字数据中。这使得设定方式更加灵活。
另外，如果在移动数字数据之前嵌入这种数字签名，将避免受到移动到具有低保护等级的存储单元如闪存的数字数据的未授权使用之类的攻击，上述攻击可以通过篡改数字数据或相应的目的地信息而实现。
也就是说，即使在已经篡改了数字数据或目的地信息的情况下，也可以通过执行鉴定处理而检测到这种情况。因此，当检测到篡改发生时，可以禁止数字数据的使用。
此外，在安全设备中，目的地信息还可指定保护等级，移动子单元可不对相应于保护等级低于相应于获取的数字数据的目的地信息所指定的保护等级的存储单元执行(1)到(5)的处理过程，处理单元还可包括输出子单元，在移动子单元不能分配存储区的情况下，可操作用于输出出错信息，以告知用户不能存储获取的数字数据。
根据上述结构，每条数字数据的管理者还可以对数字数据设定保护等级，以便不对保护等级低于数字数据的存储单元执行移动处理过程。这有助于确保数字数据的安全性。
另外，当不能分配存储区时，上述结构可以向用户告知没有用于新数字数据的空间。
此外，在安全设备中，获取单元处所获取的数字数据可以是计算机程序，其包括多个子程序，每个子程序都可以添加目的地信息，可操作处理单元以将每个子程序存储在基于添加到子程序的目的地信息而确定的存储单元中。
根据上述结构，数字数据的管理者可以为每个子程序设定目的地信息，以根据相应的目的地信息对每个子程序执行存储目的地确定。这有助于根据子程序的数值有效存储每个子程序。
此外，在安全设备中，多个存储单元中的每一个可相应于一个保护等级，数字数据可以是计算机程序，其包括一个主例程和多个子例程，所述主例程和子例程每一个都添加有目的地信息，相应于主例程的目的地信息指定主例程应存储在相应于高保护等级的存储单元内，可操作处理单元以将每个例程存储在根据相应于例程的目的地信息而确定的存储单元中。
根据上述结构，数字数据的管理者可以为每个例程设定目的地信息，以根据相应的目的地信息对每个例程执行存储目的地的确定。这有助于根据例程的数值有效存储每个例程。
特别的，通过仅将主例程存储在具有高保护等级的存储元件中而将使程序难于读取。
另外，在安全设备中，数字数据可或是嵌入了数字签名或是添加了鉴定识别符，数字签名和鉴定识别符显示了1)目的地信息的正确性，或2)数字数据与目的地信息之间的一致性的正确性；和可操作处理单元以根据数字签名或鉴定识别符执行鉴定操作，并仅在成功鉴定时才存储数字数据。
根据上述结构，数字数据和相应的目的地信息将不是分离的，这提高了安全性。


图1是与本发明的第一实施方式相关的安全系统的结构图；图2是与本发明的第一实施方式相关的安全设备100的结构图；图3是本发明的第一实施方式的附加信息的示意图；图4是示出了在本发明的第一实施方式的安全设备100中如何操作程序的下载处理的示意图；图5是与本发明的第二实施方式相关的安全设备200的结构图；图6是本发明的第二实施方式的附加信息的示意图；和图7是示出了在本发明的第二实施方式的安全设备200中如何操作程序的下载处理的示意图。
具体实施例方式
(概述)在本发明中，安全设备具有多种类型的存储区，每个存储区都相应于不同的保护等级。安全设备获取数字数据和相应的用于确定应存储数字数据的存储区的位置的附加信息，根据附加信息确定存储区，并将数字数据存储在确定的存储区内。
更具体的说，SMMC包括两种存储元件具有高保护等级的EEPROM；和具有低保护等级的闪存。SMMC通过移动电话从服务器上接收程序和相应的附加信息，根据附加信息确定存储元件，并将程序下载到确定的存储元件中，其中，所述附加信息指出要存储程序的存储元件是EEPROM还是闪存。
(系统结构)图1示出了与本发明的第一实施方式相关的安全系统的结构。
如图1所示，该安全系统由服务器1、移动电话2和安全设备10构成。
服务器1预先存储用于每个程序的附加信息，并根据服务器1的操作者的指令操作或依据移动电话2的使用者的请求操作将程序和相应的附加信息经过电话线传送到移动电话2。
这里，附加信息的一个实施例是指定安装到TRM12的EEPROM19或指定安装到TRM12外部的闪存18的标记。另一个实施例是指定了保护等级的数值，每个存储元件都设定有保护等级。
移动电话2接收从服务器1经过电话线传送过来的程序和相应的附加信息。
安全设备10是配备有下载功能的SMMC，例如JAVA卡，并且可以由用户将其安装到例如移动电话2上。安全设备10接收在移动电话2所接收的程序和相应的附加信息，使用附加信息确定是存储在EEPROM19还是存储在闪存18，并将程序下载到确定的存储元件中。
安全设备的尺寸可以是例如邮票大小的传统SMMC的尺寸，或是IC卡的尺寸。安全设备还可以具有其它形式。
如图1所示，安全设备10包括TRM12外部的卡接口电路11和闪存18。在TRM12之内，安全设备10包括密码处理引擎13、安全密钥信息14、CPU15、ROM16、RAM17、EEPROM19以及附加信息处理单元20。
这里，要被下载的程序可以是例如付费应用程序、与帐单信息相关的程序以及已经安装在卡上的程序的最新版本，所有这些程序在安全设备10中使用时都需要某种安全等级。
在本说明书中，因为从任何未授权的外部设备上难于访问存储在EEPROM19上的程序，从而不能在未授权的情况下改变EEPROM19中的数据，因此，安装在TRM12中的EEPROM19被描述为具有高保护等级。
相反，由于从未授权的外部设备上访问存储在闪存18上的程序是相对容易的，因而，在本说明书中，安装在TRM12外部的闪存18被描述为具有低保护等级。
卡接口电路11与移动电话2交换数据，并从移动电话2接收程序和相应的附加信息。
TRM12是抗干扰模块，该模块配备有防止未授权访问并且防止任何外部设备直接对存储在其中的数据进行篡改的功能。
密码处理引擎13执行在将程序存储到闪存之前加密程序以及鉴定已经嵌入到程序中用于确保程序的安全性的MAC信息(信息证实代码信息)和数字签名之类的处理。
当密码处理引擎13执行密码处理、鉴定过程等处理过程时，采用了安全密钥信息14。
附加信息处理单元20分析与卡接口电路11接收的程序相应的附加信息的意义，确定应存储程序的存储元件是EEPROM19还是闪存18。
CPU15执行预先存储在ROM16中的程序，使用RAM17、闪存18和EEPROM19控制密码处理引擎13和附加信息处理单元20，和将在卡接口电路11接收的程序下载到由附加信息处理单元20所确定的存储元件中。
这里，应当注意，也可以通过用CPU15执行预先存储在ROM16中的程序实现由密码处理引擎13和附加信息处理单元20所将要执行的处理过程。
(第一实施方式)<安全设备的结构>
图2是与本发明的第一实施方式相关的安全设备100的结构图。
图2所示的安全设备100包括TRM110外部的程序获取单元101和低保护等级存储单元102，还包括TRM110内部的高保护等级存储单元118、附加信息分析单元111、区检索单元112、保护等级判定单元113、移动单元114、程序存储单元115、错误输出单元116以及密码处理单元117。
程序获取单元101相当于图1中所示的卡接口电路11，并从移动电话获取程序和相应的附加信息。
低保护等级存储单元102是具有低保护等级的存储元件，例如安装在TRM外部的闪存。
高保护等级存储单元118是具有高保护等级的存储元件，例如安装在TRM内的EEPROM。
附加信息分析单元111分析与程序获取单元11获取的程序相应的附加信息，并将执行指令发送到区检索单元112和密码处理单元117。
区检索单元112在高保护等级存储单元118和低保护等级存储单元102中查找容量足以容纳在程序获取单元101所获取的程序的空白存储区，以判定是否存在这种存储区。
通过判定区检索单元112发现的存储区是否满足附加信息的要求，保护等级判定单元113确定由程序获取单元101获取的程序的存储目的地。如果有必要，保护等级判定单元113可以指示错误输出单元116输出出错信息。
图3示出了与第一实施方式相关的附加信息。
如图3所示，在第一实施方式中，附加信息具有5个数据位。
附加信息的两个最低有效位标识四个保护等级中的一个，即，“00”、“01”、“10”和“11”中的一个。
当两个最低有效位为“00”时，表示相应的程序应当被存储在高保护等级存储单元118的空白存储区内，如果高保护等级存储单元118不具备这种存储区，则出错信息将被发送到移动电话，而程序将不被存储下来。
当两个最低有效位为“01”时，表示相应的程序应当被存储在高保护等级存储单元118的空白存储区，如果高保护等级存储单元118不具备这种存储区，则需要腾出空间使程序可以被存储下来。这里，应当注意，也可以指定两个最低有效位“01”表示其中已经存储了其它程序的高保护等级存储单元118的存储区将被相应的程序覆写。
当两个最低有效位为“10”时，表示相应的程序应当被存储在低保护等级存储单元102内，如果低保护等级存储单元102不具有任何可用存储区，则出错信息将被发送到移动电话，而程序将不被存储下来。
当两个最低有效位为“11”时，表示如果存在空间则相应的程序应被存储在高保护等级存储单元118内，如果高保护等级存储单元118内不存在这样的空间则程序应被存储在低保护等级存储单元102中。如果低保护等级存储单元102内没有能够容纳上述程序的空间，则出错信息将会被发送到移动电话。
附加信息中的第三最低有效位表示将相应的程序存储到低保护等级存储单元102之前是否应当对该程序加密。
这里，如果第三最低有效位为“0”，则表示不加密程序，如果该数据位为“1”，则表示需要对该程序加密。
第四最低有效位表示是否需要在将相应的程序存储到低保护等级存储单元102的过程中在程序内添加MAC信息和嵌入数字签名。
这里，如果第四最低有效位为“0”，则表示不需要添加MAC信息或嵌入数字签名，如果该数据位为“1”，则表示需要添加MAC信息和嵌入数字签名。
附加信息的最高有效位(即从低端算起的第五位)表示安全设备100的用户是否可以依据其自身的判断决定存储相应程序的位置(下文中有时称为“存储目的地”)。
这里，如果最高有效位为“0”，则表示用户不能自由决定存储目的地，如果最高有效位为“1”，则表示用户可以自由决定存储目的地，而不用考虑附加信息的两个最低有效位表示的保护等级。
在最高有效位为“0”，并且两个最低有效位为“00”、“01”和“11”其中之一的情况下，当在高保护等级存储单元118中发现了可用存储区时，保护等级判定单元113将高保护等级存储单元118内的存储区确定为存储目的地。
相反，在最高有效位为“0”，并且两个最低有效位为“10”的情况下，当在低保护等级存储单元102内发现了可用存储区时，保护等级判定单元113将低保护等级存储单元102内的存储区确定为存储目的地。在最高有效位为“0”，并且两个最低有效位为“11”的情况下，当在高保护等级存储单元118内没有发现可用存储区而在低保护等级存储单元102中发现了可用存储区时，保护等级判定单元113也将低保护等级存储单元102内的可用存储区确定为存储目的地。
此外，在最高有效位为“1”的情况下，当在高保护等级存储单元118和低保护等级存储单元102中的至少一个存储单元中发现了可用存储区时，保护等级判定单元113将任一个可用存储区确定为存储目的地。
另外，在最高有效位为“0”，并且两个最低有效位为“01”的情况下，当在高保护等级存储单元118中没有发现可用存储区时，保护等级判定单元113指示移动单元114在高保护等级存储单元118内腾出空间。这里，请注意，如果提前将两个最低有效位“01”指定为表示高保护等级存储单元118内的存储区可以在不考虑该存储区内是否已经存在其它程序的情况下以相应的程序对其进行覆写，则即使存储区内已经存储了不同的程序，也可以将高保护等级存储单元118内的该存储区确定为相应程序的存储目的地。
另外，保护等级判定单元113可以在下述情况下指示错误输出单元116输出出错信息在最高有效位为“0”，并且两个最低有效位为“00”的情况下，在高保护等级存储单元118中没有发现可用存储区时；在最高有效位为“0”，并且两个最低有效位为“10”的情况下，在低保护等级存储单元102中没有发现可用存储区时；在最高有效位为“1”或最高有效位为“0”并且两个最低有效位为“11”的情况下，在高保护等级存储单元118和低保护等级存储单元102的任一个中都没有发现可用存储区时。
当在高保护等级存储单元118中没有发现可用存储区和附加信息的最高有效位为“0”并且两个最低有效位为“01”时，移动单元114读取存储在高保护等级存储单元118内的附加到每个程序的附加信息，提取出其最高有效位为“0”或其两个最低有效位为“11”的附加信息，然后将具有该提取的附加信息的程序移动到低保护等级存储单元102，以在高保护等级存储单元118中腾出可用存储区，从而将在程序获取单元101获取的程序存储其中。
这里，如果没有分配具备需要的存储容量的空白存储区，则将指示错误输出单元116输出出错信息。这里，应当注意，在规定情况下，也可以将其中已经存储有其它程序的高保护等级存储单元118内的存储区确定为存储目的地。
程序存储单元115将程序获取单元101所获取的程序存储在存储目的地，所述存储目的地已经由保护等级判定单元113所确定或由已经移动单元114分配。
错误输出单元116根据已经决定输出出错信息的保护等级判定单元113发出的指令将出错信息返回到移动电话，并在移动电话的显示单元上显示不能存储数字数据。
密码处理单元117存储每个安全设备的ID信息。当在低保护等级存储单元102中存储程序获取单元101获取的程序，或将程序由高保护等级存储单元118移动到低保护等级存储单元102时，在附加信息的第四最低有效位表示“1”的情况下，密码处理单元117将MAC信息添加到程序中并将数字签名嵌入到程序中，如果附加信息的第三最低有效位为“1”，则使用存储的ID信息加密程序。
这里，应当注意，当在高保护等级存储单元118中存储程序时，如果附加信息的第四最低有效位为“1”，则也可以使密码处理单元117将MAC信息添加到程序中并将数字签名嵌入到程序中，如果附加信息的第三最低有效位表示“1”，则使用存储的ID信息加密程序。
<操作过程>
图4示出了在本发明的第一实施方式的安全设备100中如何操作程序的下载处理。
下面将详细描述程序的下载处理是如何操作的。
(1)程序获取单元101从移动电话获取程序和相应的附加信息(S1)。
(2)附加信息分析单元111分析附加信息的最高有效位是否为“0”(S2)。
(3)如果最高有效位为“1”，则区检索单元112在高保护等级存储单元118和低保护等级存储单元102中检索可以容纳程序获取单元101所获取的程序的空白存储区，以判定存储单元中的至少一个是否具有这样的可用存储区(S3)。如果这种存储区不存在，则执行出错处理过程。
(4)如果发现了至少一个存储区，则根据用户的直接指令或用户的预置指令将其中一个存储区确定为程序的存储目的地(S4)。
(5)如果最高有效位为“0”，则保护等级判定单元113判定附加信息的两个最低有效位是否为“10”(S5)。
(6)如果两个最低有效位为“10”，则区检索单元112在低保护等级存储单元102中检索足以容纳程序获取单元101所获取的程序的空白存储区，以判定低保护等级存储单元102是否具有该存储区(S6)。如果判定不存在这种存储区，则执行出错处理过程。
(7)如果判定存在可用存储区，则保护等级判定单元113将该存储区确定为存储目的地(S7)。
(8)如果两个最低有效位不是“10”，则区检索单元112在高保护等级存储单元118内检索足以在其上存储程序获取单元110所获取的程序的空白存储区(S8)。
(9)如果判定存在这种存储区，则保护等级判定单元113将高保护等级存储单元118内的存储区确定为存储目的地(S9)。
(10)如果判定这种存储区不存在，则保护等级判定单元113判定附加信息的两个最低有效位是否为“00”(S10)。如果两个最低有效位为“00”，则执行出错处理过程。
(11)如果两个最低有效位不是“00”，则保护等级判定单元113判定两个最低有效位是否为“01”(S11)。
(12)如果两个最低有效位为“01”，则移动单元114根据添加到存储程序中的附加信息将存储在高保护等级存储单元118中的程序移动到低保护等级存储单元102中，从而在高保护等级存储单元118中分配存储区(S12)。如果不能分配这种存储区，则执行出错处理过程。
这里，如果还没有对将要从高保护等级存储单元118中被移走的程序执行由密码处理单元117所执行的每个处理，则在移动程序之前，根据附加信息的第四最低有效位将MAC添加到程序中，将数字签名嵌入到程序中，并根据第三最低有效位对程序进行加密处理。
(13)如果两个最低有效位不是“01”，则意味着它们是“11”。因此，区检索单元112在低保护等级存储单元102内检索足以在其上存储程序获取单元101所获取的程序的空白存储区(S13)。如果判定不存在这种存储区，则执行出错处理过程。
(14)如果判定存在这种存储区，则保护等级判定单元113将在低保护等级存储单元102内发现的存储区确定为存储目的地(S14)。
(15)程序存储单元115将程序存储在确定的或分配的存储目的地内(S19)。
这里，在将程序存储到低保护等级存储单元102的过程中，附加信息分析单元111分析附加信息的第四和第三最低有效位，并根据分析结果，密码处理单元117添加MAC信息，嵌入数字签名，对程序加密。
(16)如果没有发现或没有分配存储目的地，则错误输出单元116将出错信息返回到移动电话(S20)。
(第二实施方式)<安全设备的结构>
图5示出了与本发明的第二实施方式相关的安全设备200的结构图。
这里，应当注意，与第一实施方式中相同的元件被赋以与第一实施方式中相同的附图标记，对这些元件的详细描述在下文中被省略。
图5中所示的安全设备200包括TRM210外部的程序获取单元101和低保护等级存储单元102，还包括TRM210内部的高保护等级存储单元118、附加信息分析单元111、区检索单元112、保护等级判定单元213、移动单元214、程序存储单元115、错误输出单元116以及密码处理单元117。
保护等级判定单元213从具有最高优先级的程序开始依次将程序存储到高保护等级存储单元118中。当在高保护等级存储单元118中不再有可用空间时，保护等级判定单元213用低保护等级存储单元102存储程序，如果有必要，还指示错误输出单元116输出出错信息。
图6示出了第二实施方式的附加信息。
如图6所示，在第二实施方式中，将附加信息设定为具有5个数据位。
附加信息的两个最低有效位为“00”、“01”、“10”和“11”其中之一，上述数值代表相应程序的优先级的四个等级。
如果两个最低有效位为“00”，则表示程序的优先级为最高。
如果两个最低有效位为“01”，则表示程序的优先级为第二高。
如果两个最低有效位为“10”，则表示程序的优先级为第三高。
如果两个最低有效位为“11”，则表示程序的优先级为四个等级中的最低等级。
附加信息的第三、第四和最高有效位与第一实施方式中的含义相同。
这里，如果在高保护等级存储单元118中发现了可用存储区，则保护等级判定单元213将高保护等级存储单元118中的已发现的存储区确定为存储目的地。
此外，当在高保护等级存储单元118中没有发现可用存储区而且附加信息的最高有效位为“0”并且其两个最低有效位为“00”、“01”和“10”其中之一时，保护等级判定单元213指示移动单元214在高保护等级存储单元118中腾出空间。
另外，在附加信息的最高有效位为“0”并且两个最低有效位为“11”的情况下，当在高保护等级存储单元118中没有发现可用存储区而在低保护等级存储单元102内发现了可用存储区时，保护等级判定单元213将低保护等级存储单元102中的已发现存储区确定为存储目的地。
在与要被存储的程序相应的附加信息的最高有效位为“0”并且两个最低有效位为“00”、“01”和“10”其中之一的情况下，当在高保护等级存储单元118中没有发现可用存储区时，移动单元214读取存储在高保护等级存储单元118中的附加到每个程序的附加信息，提取出比要被存储的程序的附加信息的优先级低的附加信息，将与提取出的附加信息相应的程序移动到低保护等级存储单元102中，以在高等级存储单元118中分配存储区，用于在其中存储在程序获取单元101获取的程序。
这里，如果在高保护等级存储单元118中不能分配存储区，则应在低保护等级存储单元102中分配存储区。
如果也不能在低保护等级存储单元102中分配存储区，则保护等级判定单元213指示错误输出单元116输出出错信息。
另外，假设已经采用了一个方案，使得如果从附加信息的低端算起第二数据位为“0”，则仅允许将程序存储到高保护等级存储单元118中。在这种情况下，移动单元214不移动与从低端算起的第二数据位为“0”的附加信息相应的程序。
当在高保护等级存储单元118中没有发现存储区时，而且当从附加信息的低端算起第二数据位为“0”时，保护等级判定单元213不将低保护等级存储单元102中已发现的存储区确定为存储目的地，而是指示错误输出单元116输出出错信息。
<操作过程>
图7示出了在与本发明的第二实施方式相关的安全设备200中是如何执行程序的下载处理的。
下文将详细描述程序的下载处理是如何操作的。
应当注意，与第一实施方式中相同的步骤被赋以相同的附图标记，其相关描述被省略。
(1)与第一实施方式中的(1)操作过程相同。
(2)与第一实施方式中的(2)操作过程相同。
(3)与第一实施方式中的(3)操作过程相同。
(4)与第一实施方式中的(4)操作过程相同。
(5)如果最高有效位为“0”，则区检索单元112在高保护等级存储单元118中检索足以容纳程序获取单元101所获取的程序的空白存储区，以判定高保护等级存储单元118是否存在这种存储区(S21)。
(6)如果存在这种存储区，则保护等级判定单元113将高保护等级存储单元118内的存储区确定为存储目的地(S22)。
(7)如果不存在这种存储区，则保护等级判定单元113将判定附加信息的两个最低有效位是否为“11”(S23)。
(8)如果两个最低有效位为“11”，则区检索单元112在低保护等级存储单元102内检索足以容纳程序获取单元101所获取的程序的空白存储区，以判定低保护等级存储单元102是否具有这种存储区(S24)。如果判定不存在这种存储区，则执行出错处理过程。
(9)如果判定存在这种存储区，则保护等级判定单元113将低保护等级存储单元102中的已发现存储区确定为存储目的地(S25)。
(10)如果两个最低有效位不是“11”，则移动单元214读取与高保护等级存储单元118中存储的每个程序相应的附加信息，提取出其优先级低于当前要被存储的程序的附加信息的附加信息，并将优先级较低的附加信息所对应的程序移动到低保护等级存储单元102中，并分配高保护等级存储单元118中的存储区，该存储区可以存储在程序获取单元101所获取的程序(S26)。
这里，如果还没有对将要从高保护等级存储单元118中移走的程序执行密码处理单元117所进行的每个处理，则在将要被移动的程序移动到低保护等级存储单元102之前，根据附加信息的第四最低有效位将MAC信息添加到要被移动的程序上，将数字签名嵌入该程序，并将根据第三最低有效位对该程序加密。
(11)如果在高保护等级存储单元118中未分配存储区，则在低保护等级存储单元102中分配存储区(S27)。如果甚至不可能在低保护等级存储单元102中分配该存储区，则执行出错处理过程。
(12)与第一实施方式中的(15)操作过程相同(S15)。
(13)与第一实施方式中的(16)操作过程相同(S16)。
(变换形式)这里，应当注意，这样一种设计方案也是可能的其中附加信息与程序ID一起存储在程序文件的标头部分并且MAC信息添加到和数字签名嵌入到包括标头在内的整个程序文件中。而且，作为下载程序的条件，安全设备执行对MAC信息以及数字签名的鉴定。或者，可以在执行程序时，输出附加信息。
此外，在本发明的第一和第二实施方式中，附加信息与程序一同存储，并在移动程序时使用。然而，由于如果附加信息因程序的未被移动而未被使用从而没必要存储附加信息。因此，在这种情况下，可以设计为仅存储程序，而不存储其附加信息。
另外，在本发明的第一和第二实施方式中，存在有两种用于存储程序的存储元件，每种存储元件都具有不同的保护等级。然而，也可以采用三个以上的存储元件，其保护等级彼此不同。
另外，在本发明的第一和第二实施方式中，每个程序都具有一条附加信息。然而，一个程序也可以具有两条或两条以上的附加信息。例如，一个程序可以分为多个子程序。在这种设计方案中，通过将一条附加信息对应到一个子程序，可以仅将最高秘密级的子程序存储在具有高保护等级的存储元件中，该子程序可以是例如与记帐程序中的记帐处理直接相关的子程序。在另一实施例中，也可以将主例程与其它子例程分开，将附加信息添加到每个例程中。通过将主例程存储在具有高保护等级的存储元件中或将最高秘密级的子例程存储在具有高保护等级的存储元件中，使得对整个程序的意义的读取困难。
此外，在第一和第二实施方式中，所下载的为程序，然而它可以是数字内容或其它数字数据。
(总结)如上所述，根据本发明的安全设备可以根据与程序相应的附加信息确定程序的存储目的地。因此，对于超过安装在TRM内的存储区的容量的程序而言，程序的管理者可以设定附加信息，以确保程序管理者在下载程序过程中所需的安全。
工业应用本发明适用于各种电子信息服务，如内容发布服务和移动EC服务，上述服务通过网络如因特网发布音乐内容和运动图像内容。
根据本发明的安全设备可以下载超过TRM上的存储区的容量的程序，同时确保程序管理者所需的安全。通过将本发明的安全设备安装到用户的移动电话上，安全设备的用户可以在路上安全地享受内容发布服务、移动EC服务等服务。
权利要求
1.一种安全设备，包括多个存储单元，每个存储单元具有存储区；获取单元，用于获取数字数据和附加到数字数据的目的地信息，所述目的地信息用于将存储单元确定为数字数据的存储目的地；和处理单元，用于将数字数据存储在基于目的地信息而确定的存储单元中。
2.根据权利要求1所述的安全设备，其中，多个存储单元中的每一个都相应于一个保护等级，目的地信息指定了数字数据所需的保护等级，可操作处理单元以将与保护等级相应的存储单元确定为数字数据的存储目的地，该保护等级与目的地信息指定的保护等级相同。
3.根据权利要求1所述的安全设备，其中，多个存储单元中的每一个相应于一个保护等级，目的地信息指定了数字数据所需的保护等级，可操作处理单元以将与保护等级相应的存储单元确定为数字数据的存储目的地，该保护等级不低于目的地信息指定的保护等级。
4.根据权利要求3所述的安全设备，其中，处理单元还包括检索子单元，用于在相应于保护等级不低于目的地信息指定的保护等级的存储单元中检索具有可容纳数字数据的空白存储区的所有存储单元；确定子单元，用于将相应于被发现具有可容纳数字数据的空白存储区的所有存储单元中的最高保护等级的存储单元确定为数字数据的存储目的地；和存储子单元，用于将数字数据存储在由确定子单元确定的存储单元中。
5.根据权利要求4所述的安全设备，其中，处理单元还包括输出子单元，用于在检索子单元没有发现存储单元的情况下输出出错信息，从而告知用户数字数据不能被存储。
6.根据权利要求4所述的安全设备，其中，处理单元还包括移动子单元，用于在检索子单元没有发现存储单元的情况下(1)读取相应于已经存储在与不低于第一保护等级的保护等级相应的多个存储单元中的任意一个中的每个数字数据的目的地信息，其中所述第一保护等级是由相应于在获取单元获取的数字数据的目的地信息指定的保护等级，(2)从读取的目的地信息中提取出指定保护等级低于所述第一保护等级的目的地信息，和(3)将相应于提取出的目的地信息的数字数据移动到相应于保护等级低于第一保护等级并且不低于由提取出的目的地信息指定的每个保护等级的存储单元中，以为获取的数字数据分配存储区，和存储子单元，用于将获取的数字数据存储到由移动子单元所分配的存储区内。
7.根据权利要求6所述的安全设备，其中，由移动子单元读取的目的地信息指定了相应于读取的目的地信息的数字数据在被移动的情况下是否应当被加密，可操作移动子单元来根据相应于要被移动的数字数据的目的地信息有选择地加密要被移动的数字数据，并移动要被移动的数字数据。
8.根据权利要求6所述的安全设备，其中，由移动子单元读取的目的地信息指定了相应于读取的目的地信息的数字数据在被移动的情况下是否应当添加信息证实代码，可操作移动子单元来根据相应于要被移动的数字数据的目的地信息有选择地将信息证实代码添加到要被移动的数字数据，并移动要被移动的数字数据。
9.根据权利要求6所述的安全设备，其中，由移动子单元读取的目的地信息指定了相应于读取的目的地信息的数字数据在被移动的情况下是否应当嵌入数字签名，可操作移动子单元来根据相应于要被移动的数字数据的目的地信息有选择地将数字签名嵌入到数字数据，并移动要被移动的数字数据。
10.根据权利要求6所述的安全设备，其中，处理单元还包括输出子单元，如果移动子单元不能分配存储区，则可操作所述输出子单元以便输出出错信息，以告知用户不能存储获取的数字数据。
11.根据权利要求1所述的安全设备，其中，多个存储单元中的每一个相应于一个保护等级，目的地信息指定数字数据所需的保护等级，该信息还用于确定数字数据的存储目的地是具有与目的地信息相同的保护等级的存储单元，还是相应于保护等级不低于目的地信息所指定的保护等级的存储单元中的任意一个，可操作处理单元以根据目的地信息将相应于与目的地信息相同的保护等级的存储单元或相应于保护等级不低于使用目的地信息指定的保护等级的存储单元中的一个确定为数字数据的存储目的地。
12.根据权利要求1所述的安全设备，其中，目的地信息指定是否可以在将数字数据存储到安全设备之前任意决定数字数据的存储目的地，可操作处理单元以根据目的地信息将数字数据存储在任意决定的存储单元中或存储在基于目的地信息而确定的存储单元中。
13.根据权利要求1所述的安全设备，其中，多个存储单元的每一个相应于一个保护等级，目的地信息指定是否在将数字数据存储到相应于保护等级低于预定保护等级的存储单元中之前加密数字数据，可操作处理单元以根据目的地信息在将数字数据存储到较低保护等级存储单元之前有选择地加密数字数据。
14.根据权利要求1所述的安全设备，其中，多个存储单元的每一个相应于一个保护等级，目的地信息指定是否在将数字数据存储到相应于保护等级低于预定保护等级的存储单元时将信息证实代码添加到数字数据中，可操作处理单元以根据目的地信息在将数字数据存储到较低保护等级存储单元中之前有选择地将信息证实代码添加到数字数据。
15.根据权利要求1所述的安全设备，其中，多个存储单元的每一个都相应于一个保护等级，目的地信息指定是否在将数字数据存储到相应于保护等级低于预定保护等级的存储单元时嵌入数字签名，可操作处理单元以根据目的地信息在将数字数据存储到较低保护等级存储单元之前有选择地将数字签名嵌入到数字数据。
16.根据权利要求1所述的安全设备，其中，多个存储单元的每一个相应于一个保护等级，目的地信息指定在获取单元处所获取的数字数据的优先级，至少一个存储单元在其中已经存储了数字数据，已经存储的每条数字数据相应于一个优先级，在相应于较高优先级的数字数据存储在相应于较高保护等级的存储单元中的状态下将已经存储的数字数据存储在多个存储单元中，可操作处理单元以根据目的地信息所指定的优先级将获取的数字数据存储在存储单元中，以保持相应于较高优先级的数字数据存储在相应于较高保护等级的存储单元中的状态。
17.根据权利要求16所述的安全设备，其中，已经存储的每条数字数据都相应于指定一个优先级的目的地信息，并且处理单元还包括移动子单元，用于从相应于最高保护等级的存储单元开始按顺序对多个存储单元执行下述操作(1)判定多个存储单元中的任意一个是否具有容纳获取的数字数据的空白存储区，(2)当判定结果为否定的时，读取相应于存储在存储单元中的数字数据的目的地信息，(3)提取出指定优先级低于由相应于获取的数字数据的目的地信息所指定的优先级的每条目的地信息，(4)将相应于提取出的目的地信息的数字数据移动到相应于保护等级低于由提取出的目的地信息所指定的保护等级的存储单元中，(5)重复上述(1)-(4)，直到获得肯定判定结果，以为获取的数字数据分配存储区；和存储子单元，用于将获取的数字数据存储在由移动子单元所分配的存储区内。
18.根据权利要求17所述的安全设备，其中，由移动子单元读取的目的地信息指定了相应于读取的目的地信息的数字数据在被移动的情况下是否应当被加密，可操作移动子单元来根据相应于要被移动的数字数据的目的地信息有选择地加密要被移动的数字数据，并移动要被移动的数字数据。
19.根据权利要求17所述的安全设备，其中，移动子单元读取的目的地信息指定了相应于读取的目的地信息的数字数据在被移动的情况下是否应当添加信息证实代码，可操作移动子单元来根据相应于要被移动的数字数据的目的地信息有选择地将信息证实代码添加到要被移动的数字数据，并移动要被移动的数字数据。
20.根据权利要求17所述的安全设备，其中，移动子单元读取的目的地信息指定了相应于读取的目的地信息的数字数据在被移动的情况下是否应当嵌入数字签名，可操作移动子单元来根据相应于要被移动的数字数据的目的地信息有选择地将数字签名嵌入到数字数据中，并移动要被移动的数字数据。
21.根据权利要求17所述的安全设备，其中，目的地信息还指定保护等级，移动子单元不对相应于保护等级低于相应于获取的数字数据的目的地信息所指定的保护等级的存储单元执行(1)到(5)的处理过程，处理单元还包括输出子单元，用于在移动子单元不能分配存储区的情况下输出出错信息，以告知用户不能存储获取的数字数据。
22.根据权利要求1所述的安全设备，其中，在获取单元所获取的数字数据是计算机程序，其包括多个子程序，每个子程序都相应于一个目的地信息，可操作处理单元以将每个子程序存储在基于相应于子程序的目的地信息而确定的存储单元中。
23.根据权利要求1所述的安全设备，其中，多个存储单元中的每一个相应于一个保护等级，数字数据是计算机程序，其包括一个主例程和多个子例程，所述主例程和子例程每一个相应于一个目的地信息，相应于主例程的目的地信息指定主例程应存储在相应于高保护等级的存储单元内，可操作处理单元以将每个例程存储在根据相应于例程的目的地信息而确定的存储单元中。
24.根据权利要求1所述的安全设备，其中，数字数据或是嵌入在数字签名中或是添加到鉴定识别符，数字签名和鉴定识别符显示了1)目的地信息的正确性，或2)数字数据与目的地信息之间的一致性的正确性；和可操作处理单元以便根据数字签名或鉴定识别符执行鉴定操作，并仅在成功鉴定时存储数字数据。
25.一种用于安全设备的存储方法，所述安全设备包括多个存储单元，每个存储单元包括存储区，所述存储方法包括获取数字数据，所述数字数据具有相应的目的地信息，所述目的地信息用于确定作为数字数据的存储目的地的存储单元；和将数字数据存储在基于目的地信息而指定的存储单元中。
26.根据权利要求1所述的安全设备，其中，可操作所述处理单元以根据目的地信息确定数字数据要被存储其中的存储单元。
27.根据权利要求1所述的安全设备，还包括CPU，用于根据目的地信息确定数字数据要被存储其中的存储单元。
28.根据权利要求1所述的安全设备，还包括用于根据目的地信息确定数字数据要被存储其中的存储单元的单元。
全文摘要
一种可以在其中存储程序并用于执行程序的安全设备，包括低保护等级存储单元；高保护等级存储单元；获取程序和相应的附加信息的程序获取单元，所述附加信息用于确定获取的程序的存储目的地；附加信息分析单元，根据附加信息将获取的程序存储在低保护等级存储单元和高保护等级存储单元的一个中；区检索单元；保护等级判定单元；和程序存储单元。
文档编号G06F21/00GK1643470SQ0380590
公开日2005年7月20日 申请日期2003年3月7日 优先权日2002年3月13日
发明者松崎枣, 佐久岛和生, 馆林诚 申请人:松下电器产业株式会社