数据通信设备和用于管理数据通信设备的存储器的方法

专利名称：数据通信设备和用于管理数据通信设备的存储器的方法
技术领域：
本发明涉及一种包括相对大容量的存储器的数据通信设备和一种用于管理数据通信设备的存储器的方法，特别涉及用于把电子价值信息存储在存储区中和传送包括电子支付信息的保密信息的数据通信设备，以及用于管理所述数据通信设备的存储器的方法。
更具体地，本发明涉及一种数据通信设备和一种用于管理数据通信设备的存储器的方法，用于在一个存储区中为服务提供者分配文件系统，并允许多个服务提供者共享数据通信设备，以用所述数据通信设备提供多个服务。特别地，本发明涉及一种数据通信设备和一种用于管理所述数据通信设备的存储器的方法，用于管理在数据通信设备和用于多个文件系统的每个的外部设备之间的会话，以及分析、管理和处理对安全的威胁以保证每个文件系统的独立。
背景技术：
仅仅可在局部区域中应用的无线通信装置的例子包括无接触的IC卡。
通常，这个类型的无线通信是基于电磁感应的原理实现的。也就是，无线通信是由具有存储功能的IC卡和用于访问IC卡的存储器以对存储器读出/写入信息的卡读写器执行的。所述IC卡的环形线圈充当初级线圈，所述卡读写器的天线充当次级线圈，以便形成作为系统的变压器。卡读写器使用电磁感应发送电能和信息到所述IC卡。所述IC卡可以使用所提供的电能而操作，以便响应来自卡读写器的查询信号。
当卡读写器调制经过天线的电流时，所述IC卡环形线圈的感应电压被调制。使用这个效应，所述卡读写器可以发送数据到所述IC卡。另外，当在所述IC卡环形线圈的终端之间的负载变化时，在所述IC卡读写器的天线端子之间的阻抗变化，因此所述天线的通过电流或者电压变化。使用这个效应，所述IC卡可以发送响应到所述卡读写器。
包括IC卡的无接触短程通信系统由于操作简单而已经广泛应用。例如，保密码、其它个人识别信息和电子价值信息(例如电子票据)可以存储在IC卡上。所述卡读写器是在自动付款机中、在音乐厅的出口/入口处、和在铁路车站的检票口处理的。当用户把IC卡放置在卡读写器上时，IC卡可以非接触地访问所述卡读写器。由此，可以执行验证处理。
最近，由于好的处理技术的改善，已经实现了具有相对大容量存储器空间的IC卡。由于具有大容量存储器的IC卡可以同时存储多个应用程序，所述IC卡可以用于多个目的。例如，存储多个应用程序(例如，用于特定音乐厅的电子货币和电子票据)的一个IC卡可以用于多个目的。这里，所述术语“电子货币”和“电子票据”是指使用根据由用户或者这种电子数据本身提供的资金流入用户的电子数据的支付(电子支付)系统。
通常，所述卡是由用户把IC卡放置在卡读写器上而使用的。所述卡读写器始终轮询IC卡。当卡读写器发现外部IC卡时，开始在IC卡和卡读写器之间的通信。
那时，用户把保密码输入到卡读写器。卡读写器比较输入的保密码和存储在IC卡中的保密码。由此，个人身份验证或者验证处理是在IC卡和卡读写器之间执行的。(在访问IC卡期间使用的这个保密码称为“个人识别号(PIN)”。)如果个人身份验证或者验证处理是成功的，那么用户可以使用例如存储在IC卡中的应用程序。也就是，用户可以访问分配给应用程序(以下简称“服务存储区”)的服务存储区。当访问服务存储区时，依据应用程序的保密等级执行适当的加密通信。
而且，如果IC卡和卡读写器(卡读写器设备)除无线非接触接口之外还包括用于与外部设备通信的有线接口(未示出)，可以对诸如蜂窝电话、个人数字助理(PDA)和个人计算机设备提供或者IC卡和卡读写器之一或者二者的功能。在这种情况下，所述IC卡技术可以应用于普通的双向短程通信接口。
例如，当在计算机和家庭信息装置之中执行短程通信时，在之间使用IC卡执行，一对一通信。另外，一些设备可以与不同于非接触IC卡的设备通信。在这种情况下，应用程序中可以提供有在一个设备和多个卡之间执行的一对多通信。
另外，使用为了外部地传送电子价值信息(诸如电子支付)的IC卡的多个应用程序可以运行在信息处理设备上。例如，通过使用在信息处理设备上的键盘和显示器，用户可以与IC卡通信。由于IC卡连接到蜂窝电话，用户可以经由电话线路发送存储在IC卡中的信息。而且，使用所述IC卡，用户可以从蜂窝电话经由因特网发送支付。
由此，如果用于服务提供者的文件系统分配在IC卡的内部存储器中，和用于服务提供者的服务信息(例如，用户验证/认证信息，关于剩余价值的信息或者使用历史(日志))是在文件系统中管理的，可以根据的非接触短程通信实现有效的服务，这是已知预付费卡和由每个存储器提供的服务卡的替代。
传统上，每个服务提供者对用户发行IC卡，以提供其服务。因此，用户具有多个的卡并且携带它们，每个用于一个服务。相反，根据具有相对大容量存储器空间的IC卡，所述IC卡可以在内部存储器中提供用于存储器关于多个服务的信息的足够的存储空间。
对于预支付类型的卡，诸如预付费卡，为了确保对于发行卡的恰当的服务行为、保护卡的购买者和确保卡的可信性，已经建立了“关于预支付类型卡等的规范的法”(称作“purika”法)，以便预支付类型卡的发行者必须向官方登记和由所述法调节。此外，根据所述法，为了对用户提供便利的服务和维持市场秩序，诸如商标和联络地址的预定项必须印刷在预付费卡上(在所述卡的表面上)(见所述法的第12部分)。
当提供在其存储器中存储预付费信息的预付费卡时，提供服务的数量由于有关由所述法所规定的媒介的信息的印刷是受限制的。相反，当IC卡功能是在具有显示功能的移动设备(例如蜂窝电话)上使用的时，所述法的规定的要求可以通过显示与期待价值信息相关的信息而满足(参考参考专利文献1)。由此，多个服务提供者可以共享IC卡功能。因此，对于服务提供者，尽管减少了发行卡的工作负荷，但对于用户而言，减少了用户应该携带的IC卡的数量。
不幸地，当多个服务提供者共享一个存储区、以及每个服务提供者允许自由地访问共享存储器的不同服务提供者的存储区时，对于每个服务提供者的价值信息集可以由不同的未经批准的服务提供者使用。结果，服务提供者不能提供可靠的服务。此外，由于高的流动性，用户所述价值信息有泄漏的危险，由此会受到经济损失。
因此，在多个服务提供者共享IC卡的情形中，当用户使用服务时，需要有用户可以考虑所述IC卡是每个服务提供者起初发行的卡。另外，所述IC卡要求具有安全管理在存储区中用于每个服务提供者的信息的特征。
日文未审专利申请公开No.2003-141434发明内容本发明要解决的问题本发明提供了一种优秀的数据通信设备和用于管理数据通信设备的存储器的方法，所述数据通信设备可以在存储区中存储电子价值信息、以及安全地交换例如用于电子支付的信息。
本发明还提供了一种优秀的数据通信设备和用于管理数据通信设备的存储器的方法，可以给用户提供容易的使用，好象IC卡是直接由用户当前所使用服务的服务提供者发行的，以及具有在存储区中安全地管理关于多个服务提供者的信息的机制，以便多个服务提供者可以共享一个IC卡。
本发明还提供了一种优秀的数据通信设备和一种用于管理所述数据通信设备的存储器的方法，其中服务提供者的文件系统分配在存储区中，当多个服务提供者共享数据通信设备时，对于每个文件系统管理在文件系统和外部设备之间的会话。由此，安全性的威胁是对于每个文件系统独立地分析、管理和处理的。
解决问题的方法根据本发明，具有存储空间和通过把存储空间分隔为一个或多个文件系统来管理存储空间的数据通信设备包括认证装置，用于对于要从外部设备或者程序访问的每个文件系统请求相互认证和保密码的验证之一的执行；认证信息管理装置，用于对每个文件系统，管理所述文件系统是在需要认证的状态中还是在释放状态中，在需要认证的状态中，请求对于所述相互认证和所述保密码的验证之一的执行，在释放状态中，在对于所述相互认证和所述保密码的验证之一完成之后允许所述访问；和状态管理装置，用于响应于预定事件的出现，把所述文件系统从所述释放状态返回到所述需要认证的状态。如在这里使用的，术语“数据通信设备”是指非接触IC卡，包括无线通信单元和具有数据接收/发送功能和数据处理单元的IC芯片、其表面上具有端子的接触IC卡、或者包括具有与接触/非接触IC卡相同功能的IC芯片的信息通信设备(例如蜂窝电话、个人手持固话系统(PHS)、或者个人数字助理(PDA))。这个数据通信设备具有包括数据累加存储器(例如EEPROM)和数据处理单元的存储区。这个数据通信设备还具有数据通信功能。在例如蜂窝电话的情况下，诸如结合IC芯片的IC卡的外部存储器介质可以可移动地安装到蜂窝电话。另外，所述IC芯片可以包括用于存储由蜂窝电话载体提供的用户信息的用户身份模块(SIM)功能。数据通信设备可以经由诸如因特网的信息通信网络执行数据通信，或者可以和有线或无线的外部设备直接地通信数据。
本发明提供了例如使用IC卡的抗篡改和认证功能的价值信息交换的确保安全性的服务。更特别地，本发明通过允多个个服务共享IC卡内部一个存储空间而减少了服务提供者的发行负担。此外，本发明减少了用户携带和管理的卡的数量。
当多个服务提供者共享一个存储区、以及一些服务提供者允许自由地访问不同提供者的存储空间时，对于每个服务提供者的价值信息集可以由其它未经批准的服务提供者访问。
相反，根据本发明用于多个服务提供者的文件系统分配在一个存储空间中，一个数据通信设备可以由服务提供者共享，以便提供多个服务。通过把存储区分隔为多个文件系统，在文件系统之间的边界起防火墙的作用，由此适当地防止文件系统之一(即，服务提供者之一)被其他文件系统的访问(侵入)。
起初，在IC卡中的整个存储区是由IC卡原来的卡片发行人管理的。当不同于原来IC卡发行者的服务提供者分隔存储区以产生新文件系统时，服务提供者需要有分隔存储区和由原来的IC卡发行者认证的权限。
通过重复这种分隔操作，多个文件系统同时存地于IC卡的存储区中。文件系统的分隔被认为是虚拟卡发行操作。
在存储空间分隔之后，为了访问文件系统，需要由文件系统的服务提供者进行的认证以代替原来的IC卡发行者认证。也就是，为访问文件系统，需要使用文件系统的发行者密钥的相互认证。而且，通过根据保密等级对文件系统中的每个文件系统或者目录(或者文件)分配保密码，也就是PIN，当起动服务时可以验证PIN。
对于其中IC卡的存储区分成用于服务提供者的多个文件系统并且由服务提供者共享的系统，当尝试对给定文件系统的访问和执行相互认证与PIN验证时，以及当系统进入释放状态和会话建立时，其他文件系统的安全性变得重要。这是因为，如果保持会话的状态，在会话期间出现对其他文件系统的安全性的威胁。
因此，根据本发明，通过使用把存储区分隔为多个文件系统的功能和每个文件系统中目录与文件的保密码验证功能，可以独立地分析、管理与处理每个文件系统的安全性的威胁。
也就是，当多个逻辑文件系统在IC卡的存储区中处理、以及外部设备或者程序改变了要访问的文件系统时，复位保持在每个存储区中的系统管理信息(包括相互认证信息)与PIN释放信息。而且，从IC卡加电过去某些一段时间(例如，其中所使用的会话加密方案不能基于现代攻击技术与现代计算机的速度而解密的一段时间周期)之后，复位IC卡的供电，类似地，复位系统管理信息与PIN释放信息。
由此，通过适当地在需要认证的状态与释放状态之间进行切换，所述系统可以消除由连续地保持会话状态所引起的裂缝的威胁。
优点根据本发明，可以提供优秀的数据通信设备与用于管理数据通信设备的存储器的方法，可以在存储区中存储电子价值信息，以及安全地交换例如用于电子支付的信息。
另外，根据本发明，提供了一种优秀的数据通信设备和用于管理数据通信设备的存储器的方法，可以对用户提供容易的使用，好象IC卡是直接由用户当前所使用服务的服务提供者发行的，以及具有在存储区中安全地管理的关于多个服务提供者的信息的机制，以便多个服务提供者可以共享一个IC卡。
根据本发明，还提供了优秀的数据通信设备和用于管理数据通信设备的存储器的方法，其中服务提供者的文件系统分配在存储区中，当多个服务提供者共享数据通信设备时，对于每个文件系统，管理在文件系统与外部设备之间的会话。由此，安全性的威胁是对于每个文件系统独立地分析、管理和处理的。
根据本发明，通过使用把存储区分隔为多个文件系统的功能和每个文件系统中目录与文件的保密码验证功能，可以独立地分析、管理与处理每个文件系统的安全性的威胁。
本发明的进一步特征与优点将从以下参照附图的具体实施方式
而变得清楚。
具体实施例方式
在这里现在参照附图详细说明本发明的实施例。
本发明提供了例如使用IC卡的抗篡改和认证功能的价值信息交换的确保安全性的服务。更特别地，本发明通过允许多个服务共享IC卡内部一个存储空间而减少了服务提供者的发行负荷。此外，本发明减少了用户携带和管理的卡的数量。
这里，当多个服务提供者共享一个存储区、以及一些服务提供者允许访问不同提供者的存储空间时，对于每个服务提供者的价值信息集可以由其它未经批准的服务提供者访问。
根据本发明，用于多个服务提供者的文件系统分配在一个存储空间中，一个数据通信设备可以由服务提供者共享，以便提供多个服务。通过把存储区分隔为多个文件系统，在文件系统之间的边界起防火墙的作用，由此适当地防止文件系统之一(即，服务提供者之一)被其他文件系统的访问(侵入)。
起初，在IC卡中的整个存储区是由IC卡原来的卡片发行人管理的。当不同于原来IC卡发行者的服务提供者分隔存储区以产生新文件系统时，服务提供者需要有分隔存储区的权限和原来的IC卡发行者的认证。
在存储空间分隔之后，为了访问文件系统，需要有由文件系统的服务提供者的认证以代替原来的IC卡发行者的认证。因此，当使用每个服务时，IC卡的用户可以获得容易的使用，就好象IC卡是直接由用户当前使用服务的服务提供者发行的那样。
而且，通过使用把存储区分隔为多个文件系统的功能和每个文件系统中目录与文件的保密码验证功能，可以独立地分析、管理与处理每个文件系统的安全性的威胁。
其次参照图1与2描述在IC卡与卡读写器之间无触点数据通信的基本概念。
在卡读写器与IC卡之间的无线数据通信是基于电磁感应的原理实现的。图1示意地说明了在卡读写器与IC卡之间的无线数据通信的基本概念。读卡机包括由环形线圈组成的天线LRW。通过把电流IRW应用到天线LRW，在天线LRW周围产生磁场。另一方面，环形线圈Lc是电子形成于所述IC卡周围的。在IC卡的环形线圈Lc的终端，感应电压是由卡读写器的环形天线Lc产生的磁场所引起的。感应电压输入到与环形线圈Lc的终端连接的IC卡的终端。
在卡读写器的LRW与IC卡的环形线圈Lc之间的耦合比是根据它们之间的位置关系变化的。然而，从系统的观点，卡读写器的天线LRW与IC卡的环形线圈Lc形成一个变压器。因此，IC卡的读写操作可以模型为如图2所示。
卡读写器调制应用于天线LRW的电流IRW，以便调制IC芯片的环形线圈Lc中产生的电压V0。使用这个现象，所述卡读写器可以发送数据到所述IC卡。
另外，所述IC卡具有根据返回到卡读写器(负载开关)的数据改变在环形线圈Lc的终端之间的负载的功能。当在环形线圈Lc的终端之间的负载变化时，在卡读写器的天线的终端之间的阻抗变化。由此，产生了在经过天线LRW电流IRW或者天线LRW的电压VRW的变化。通过解调这个变化，卡读写器可以从IC卡接收返回的数据。
也就是，通过根据对来自卡读写器的查询信号的响应信号而变化天线的负载，所述IC卡可以调制在卡读写器的接收电路中出现的信号幅度。由此，IC卡可以与卡读写器通信。
所述IC卡可以是卡数据通信设备或者可以是结合具有IC卡功能的集成电路芯片的信息通信设备(例如，蜂窝电话)。为简单起见，如在这里使用的，结合IC卡的设备与IC卡可移动安装于其中的设备中的任一个也称作为“IC卡”。另外，为了和外部设备通信数据，具有IC卡功能的集成电路芯片安装在移动设备(例如蜂窝电话或者PDA)与信息处理设备(例如个人计算机(PC))上。在这种情况下，IC卡除用于与卡读写器有线或无线通信的接口之外还包括外部的外围接口。
图3说明了根据本发明的数据通信设备的硬件配置。数据通信设备具有IC卡功能，允许当附加有通信天线时其内部的非易失存储器被访问，以及具有读写器功能，为了实现数据交换而提供具有电能的IC卡功能的外部设备。数据通信设备结合有包括卡功能模拟电路30、数据处理单元40与卡读写器功能模拟电路50的IC芯片。在附图示出的例子中，所述IC卡具有卡读/写功能。然而，这个卡读/写功能不是本发明的必要特征。
在卡功能模拟电路30中，由天线32接收的载波由整流器31校正并且经由串行调节器33传递到数据处理单元40的信号处理单元44和逻辑电路38。
逻辑电路38响应于从起动信号输入端子P0n输入的起始信号而启动。逻辑电路38控制来自串行调节器33的电压和从供电终端VDD输入的电压，以便提供适合于IC卡的供电电压。
串行调节器33保持输出电压恒定，无论输入电压的电平如何。也就是，如果输入电压是高的，那么串行调节器33增加内部的阻抗，以便保持电压恒定。相反，如果输入电压是低的，那么串行调节器33降低了内部的阻抗，以便保持电压恒定。
电压检测器39监视来自连接到逻辑电路38的电源监控电路连接终端VBT的输入终端电压。如果外部电源的电压降得低于预定电压，那么电压检测器39输出用于禁用外部电源的信号到逻辑电路38。
另外，在卡功能模拟电路30中，载波检测器34确定来自天线32的无线电波输入是否包括载波。如果来自天线32的无线电波包括载波，那么载波检测信号VR输出到逻辑电路38。逻辑电路38还可以输出指示检测到载波的信号到数据处理单元40。
时钟提取器35从由天线32输入到的无线电波提取时钟，并且把这个时钟传送到时钟选择器36。时钟振荡器37例如由IC卡外部处理的石英谐振器组成。时钟振荡器37产生用于IC卡的驱动频率的时钟，并且把所述时钟传送到时钟选择器36。时钟选择器36选择从时钟提取器35传送的时钟和从时钟振荡器37传送的时钟之一，并且把所选择的时钟传送到IC卡的每个组件。
卡读写器功能模拟电路50包括发送放大器51、接收信号检测器53、接收放大器滤波器54和与接收天线52和55。
当发送数据时，数据处理单元40的信号处理单元44调制D/A转换所述数据，以产生上变频为模拟基带的发送信号。发送信号从天线51经由发送放大器输出。由天线52接收的信号是由接收信号检测器53检测的，以及是由接收放大器54放大的。信号然后传送到信号处理单元44。信号处理单元44把所述信号下变频为模拟基带信号。信号处理单元44然后D/A转换并解调所述信号，以再现数字数据。
在相对于图1与图2描述的IC卡与卡读写器之间的卡读写操作是相同的。
除上述信号处理单元44之外，数据处理单元40包括中央处理器(CPU)45、使用例如数据加密标准(DES)的数据加密机46、使用例如循环冗余校验(CRC)的纠错单元47、随机存取存储器(RAM)41、只读存储器(ROM)42、电可擦除与可编程ROM(EEPROM)43、UART接口48与I2C接口49。所有上述组件经由内部总线相互连接。
所述CPU45充当执行IC卡操作的全面控制的主控制器。所述CPU45执行例如存储在由IC卡的操作系统(OS)提供的执行环境(以下描述)中的ROM42(或者EEPROM 43)中的程序代码。例如，所述CPU45执行关于经由卡功能模拟电路30与卡读写器功能模拟电路50要发送的数据和接收的数据的应用。
信号处理单元44调制、D/A转换并上变频要经由卡功能模拟电路30与卡读写器功能模拟电路50发送的数据。信号处理单元44还上变频、A/D转换并解调所接收的数据。
所述DES机46使用根据公众可知的算法的密钥加密方案加密与解密经由卡功能模拟电路30与卡读写器功能模拟电路50要发送的数据与接收的数据。
所述CRC47在经由卡功能模拟电路30与卡读写器功能模拟电路50接收的数据上执行循环冗余校验。
所述UART 48与I2C接口充当用于把IC卡连接到外部设备的外部有线接口，外部设备诸如蜂窝电话、PDA或者个人计算机(在图11中未示出)。所述UART(通用异步收发器)48在计算机中把并行信号转换为串行信号，或者把串行信号转换为并行信号。
所述RAM 41是可写的存储器单元。所述CPU 41使用作为工作区的RAM 41执行程序。由RAM 41提供的存储空间是可寻址的。CPU41与在内部总线上的每个组件可以访问存储空间。
所述EEPROM 43是非易失存储器单元，对于其可以执行擦除操作与新的数据写入。如这里使用的，在IC卡中的存储区基本上相当于在EEPROM 43中的可写入区域。
存储区包括至少一个文件系统。在初始状态中，存储区是由初始IC卡发行者管理的一个文件系统管理的。随后，不同于IC卡发行者的服务提供者分隔存储区，以产生新的文件系统。以下详细描写在EEPROM 43中存储空间的文件分隔与在文件分隔之后的访问操作。
图4是根据本发明在IC卡中的存储区的控制系统的结构的示意图。如图4所示，这个控制系统基本上以操作系统的子系统的形式实现。所述控制系统包括协议接口模块、OS核心模块与文件系统。
所述协议接口组件处理经由诸如UART 48的外部外围接口的来自外部设备的对文件系统的访问请求，以及经由非接触IC卡接口的来自卡读写器的对文件系统的访问请求。
所述OS核心模块编码与解码与文件系统交换的数据，使用CRC校正数据的错误，管理对于EEPROM 43的每个块更新的数据的数量，检查PIN，并执行相互认证。
而且，所述OS核心模块提供用于访问文件系统的几个应用编程接口(API)(例如，用于在文件访问期间PIN校验与相互认证的API和用于文件读取/写入的API)。
对充当文件系统实体的EEPROM 43执行物理访问。对包括EEPROM的存储设备的物理存储器访问操作是对所属领域技术人员所熟知的。因此，这里不提供其说明。
在EEPROM 43上的存储区包括至少一个文件系统。在初始状态中，存储区是由初始IC卡发行者管理的一个文件系统管理的。当不同于原来IC卡发行者的服务提供者分隔存储区以创建新文件系统时，服务提供者需要有分隔存储区的权限和由原来的IC卡发行者的认证。在存储空间分隔之后，为了访问服务提供者，需要由服务提供者进行的文件系统的认证以代替由原来的IC卡发行者进行的认证。文件系统的分隔被认为是虚拟卡发行操作。
所述OS管理用于允许所述分隔的各自的授权密钥Kd。另外，所述OS管理所述发行者(初始IC卡发行者或者已经分隔文件的服务提供者)的发行者密钥Kr，系统码和用于标识每个文件系统的文件区的区域ID。
为了访问所述文件系统，需要有包括通过轮询而请求区域ID的和相互认证的过程。文件系统的发行者(对于初始文件的卡片发行人或者在分隔之后使用文件系统的服务提供者)使用所述的发行者具有的参数的形式的系统码轮循文件系统，以便获得对应于文件系统的存储区的区域ID。随后，相互认证是使用这个区域ID和发行者密钥KI执行的。如果相互认证成功地执行，那么允许对文件系统的访问。对文件系统的访问是通过使用发行者密钥KI的加密的通信来执行的，发行者密钥KI对发行者的文件系统是唯一的。因此，不同的文件系统不能从文件系统未经允许读取数据。另外，不同于文件系统发行者的发行者不能未经允许对文件系统读取和写入数据。
图5是提供用于使用相对大容量IC卡管理电子货币、电子票据和其它价值信息的服务的结构的示意图。
如图5所示，例如，系统1包括由IC卡发行者21使用的发行者通信设备11，由卡存储区管理者22使用的管理者通信设备，由设备的制造商23使用的制造商通信设备13，和由卡存储区用户24使用的存储区分隔设备14和管理文件注册设备15。
在系统1中，当IC卡发行者21向持卡者26发行IC卡16时，与由卡存储区用户24提供的服务相关的文件数据基于预定条件存储在IC卡16中。由此，持卡者26可以使用一个IC卡16接收来自IC卡发行者21和卡存储区用户24的服务。
如图1所示，在系统1中，发行者通信设备11、管理者通信设备12、制造商通信设备13、存储区分隔设备14和管理文件注册设备15经由网络17相互连接。
IC卡发行者21发行IC卡16，以使用IC卡16提供其自己的服务。
一旦从IC卡21接收到请求，卡存储区管理者22就执行提供由IC卡发行者21在IC卡16的存储单元(半导体存储器)中未使用的存储区的服务，所述IC卡16是由IC卡发行者21对卡存储区用户24发行的。
制造商23响应于来自卡存储区管理者22的请求制造存储区分隔设备14，以及把存储区分隔设备14传送到卡存储区用户24。
卡存储区用户24请求卡存储区管理者22允许卡存储区用户24使用IC卡16的存储区，以及提供卡存储区用户24的服务。卡存储区用户24相当于上述的服务提供者，其分隔存储区和创建新的文件系统。卡存储区用户24通过使用其自己的文件系统提供其自己的服务。
持卡者26从IC卡发行者21接收IC卡16，以便使用由IC卡发行者21提供的服务。当持卡者26希望在IC卡16发行之后接收由卡存储区用户24提供的服务时，持卡者26在IC卡16中使用存储区分隔设备14和管理文件注册设备15存储与由卡存储区用户24提供的服务相关的文件数据。此后，持卡者26可以开始使用由卡存储区用户24提供的服务。
为了使用一个IC卡16提供来自IC卡发行者21的服务和来自卡存储区用户24的服务，所述系统1具有配置以便未授权的人不能对存储区读取数据和写入数据，所述存储区存储有与由IC卡发行者21和卡存储区用户24提供的服务相关的文件数据。
如其名称所暗示的，所述IC卡16可以是卡类型的数据通信设备。可选地，所述IC卡16可以实现为结合具有IC卡功能的半导体芯片的蜂窝电话(或者不同的移动设备)。
尽管以前的说明是参照图5中的一个IC卡发行者21、一个卡存储区用户24和一个持卡者26进行的，但是每个部分可以是多个。
在这个实施例中，用于多个服务提供者的文件系统分配在IC卡的一个存储区中。此外，一个数据通信设备是由服务提供者共享的，以便提供多个服务。这个分隔文件系统配置可以提供可用于特定服务提供者的存储区的管理，特定的服务提供者具有对初始卡发行者的许可和用于多个服务提供者的存储区，所述服务提供者具有来自初始卡发行者的许可、以及可用于初始卡发行者的存储区。
特别地，当可以用于服务提供者的多个文件系统的每个是除可用于初始卡发行者的文件系统之外所管理的，在文件系统之间的边界起防火墙的作用，由此适当地防止文件系统之一(即，服务提供者之一)被其他文件系统的访问(侵入)。
现在在这里参照图6至9描述用于管理所述IC卡的存储区的方法。
图6说明了其中初始卡发行者仅仅管理初始卡发行者的文件系统的存储区。系统码SC1是由系统码的管理机制分配给初始的卡发行者。当外部设备或者程序访问卡发行者的文件系统时，所述外部设备或者程序使用“SC1”作为标识码(即，请求命令的参数)。
图7是说明卡发行者可以允许另一存储区管理者租用或者购买在卡发行者的文件系统中的一定量自由空间。在这个阶段中，在存储空间中的文件系统还没有被分隔。只要卡发行者在卡发行者的文件系统中具有空间，卡发行者可以允许多个区域管理者去租用或者购买一定量的自由空间。例如，在其中文件系统是由比特系统码标识的实施中，所述文件系统可以分隔成最大十六个的单独区域(文件系统可以被分隔十五次)。
图8是其中另一服务提供者分隔由卡发行者许可的存储区、以产生新的文件系统的图。系统码SC2是由系统码的管理机制分配给新的文件系统的。当外部设备或者程序访问由存储区管理者(服务提供者)管理的文件系统时，所述外部设备或者程序使用“SC2”作为标识码(即，请求命令的参数)。
图9是其中公共区域管理者使用公共区域的系统码SC0分隔由卡发行者许可的存储区的图。当外部设备或者程序访问文件系统时，所述文件系统是由公共区域管理者所管理的，所述外部设备或者程序使用系统码SC0作为标识码(即，请求命令的参数)。
为了分隔在图6中示出的初始存储区和产生对于另一服务提供者的文件系统，所述服务提供者对卡发行者请求使用存储区的许可。随后，为了给出使用存储区的许可(即，许可去分隔文件系统)，卡发行者从分隔工程师管理者获得对于分隔文件系统所需要的“单独的元件封装”。所述卡发行者还加密包括所接收的单独的元件封装和所分隔的区域的大小(块的数量)的数据块，所述分隔的区域是使用专门属于卡发行者的发行者密钥KT允许新服务提供者所使用的区域，以便产生单独的封装。卡发行者然后使用单独的封装发出文件系统的单独的请求。
分隔存储区和产生新文件系统的过程不是本发明的关键特征。因而，不提供其详细的说明。
图10是其中通过重复分隔操作而同时存在多个文件系统的IC卡的存储区的结构的示意图。
如附图所示，系统码SC和区域ID是对于每个文件系统所设置的。另外，可以使用服务提供者(包括初始卡发行者)的发行者密钥KI执行相互认证，服务提供者是使用存储区的。由此，分配文件系统的服务提供者可以独立于初始卡发行者和单独的工程师而分析、管理和处理对服务提供者的文件系统的安全性的威胁。
另外，当服务提供者访问服务提供者的文件系统时，基本上需要包括对于区域ID的请求和相互认证的过程。服务提供者使用服务提供者具有的参数形式的系统码在文件系统上执行轮询，以便获得用于相应的文件系统的存储区的区域ID。随后，相互认证是使用这个区域ID和发行者密钥KI执行的。如果相互认证成功地完成，那么允许服务提供者访问文件系统。
图11是在外部设备和IC卡之间交换的请求命令的结构的示意图。如图11所示，每个服务提供者(包括初始卡发行者)使用专门属于服务提供者的文件系统的发行者密钥KI封装请求命令(例如，读取请求，写入请求，数据删除请求，或者如下所述的区域/服务注册请求)，以及使用这个封装执行加密通信。因此，不同的文件系统不能检索来自请求命令的无关的数据，第三方不能未经允许对文件系统读取和写入数据。
通过重复IC卡的存储区的分隔操作，如图10所示，同时存在多个文件系统。如以下描述的，在具有初始卡发行者的许可下，在IC卡上获得服务提供者的文件系统的服务提供者可以使用文件系统排列区域和服务。由此，服务提供者可以使用IC卡发展商业计划，如同服务提供者是卡发行者一样。
以下描述在一个文件系统中的管理。基本上，相同的操作应用于每个文件系统。为了操作文件系统，假定已经预先通过轮询和相互认证而执行了上述的区域ID请求。
在文件系统中，分配一个或多个应用，诸如包括电子支付的外部电子有价交换。分配给应用的存储区称为“服务存储区”。此外，应用的使用，也就是访问对应于应用的服务存储区的操作，称为“服务”。服务的例子包括对于读取存储器的访问、对于写入存储器的访问、和价值信息(例如，电子货币)的增加和减少。
为了限制应用的用户，也就是依据用户是否具有访问权限的服务的激活，对应用分配有保密码。所述保密码是在服务启动时间验证的。另外，对服务存储区的访问是根据应用的保密等级用适当加密的通信来保密的。
为了限制应用的用户，也就是依据用户是否具有访问权限的服务的激活，向应用分配保密码(即，PIN)。所述PIN是在服务启动时间验证的。另外，对服务存储区的访问是根据应用的保密等级用适当加密的通信来保密的。
在这个实施例中，类似于“目录”的分级结构引入到在IC卡的存储区中的每个文件系统集中。分配在存储区中的每个应用可以注册到所期望层中的“区域”。例如，包含在一系列事务中的多个应用或者非常有关的应用注册到在相同区域中的服务存储区(非常有关的应用还注册到相同的父区域)。由此，组织了在存储区中的应用和所述区域。对于用户，所述应用是有效地分类和组织的。
另外，为了控制对分级方式中的文件系统的访问权限，PIN可以对每个应用设置。而且，PIN可以对每个区域而设置。例如，通过对一些区域输入PIN，在成功地执行验证处理和相互认证之后，用户可以获得对在这个区域中所有应用的访问权限。因此，例如，由于通过对一些区域仅仅输入一次PIN，用户可以获得对包含在一系列事务中的所有应用的访问权限，可以提供有效的访问控制。另外，可以改善设备的操作容易度。
而且，可以对服务存储区设置多个访问权限，对每个权限、即对在服务存储区中执行的每个服务设置保密码。例如，对在相同服务存储区中的服务(例如，“读”服务和“读与写”服务)设置不同的PIN。在另一个例子中，对电子货币或者其它价值信息的“增加”服务和“减少”服务设置不同的PIN。而且，对于一些存储区，以下设置是可能的PIN的输入对读操作是不需要的；然而，PIN的输入对写操作是需要的。
图12是所述文件系统的数据结构的示意图。在图12示出的例子中，类似于“目录”的分级结构引入文件系统的存储空间。也就是说，分配给存储区的每个应用可以注册到作为服务存储区的期望的分级区域。例如，非常相关的应用(例如，用于一系列事务的应用)可以注册到相同的区域(非常相关的区域还可以注册到相同的父区域)。
另外，每个应用(即，服务存储区)和分配给文件系统的区域具有保密码定义块。因此，可以对每个应用或者每个区域设置PIN。而且，可以在应用基础和在区域基础上设置对于文件系统的访问权限。
而且，代替对服务存储区设置一个权限，可以对每个执行的服务设置PIN。例如，对相同服务存储区所激活的“读”和“读与写”服务设置不同的PIN。此外，对电子货币或者其它价值信息的“增加”和“减少”服务设置不同的PIN。
验证单元把经由协议接口(诸如根据电磁感应或者UART 48、或者I2C 49的短程通信)发送的PIN和对分配给每个应用的区域设置的保密码比较、或者和对服务存储区设置的保密码比较，以便允许对具有相等保密码的存储区的访问。允许访问的存储区是经由协议接口可访问的。
如上所述，在文件系统中，分配要分配给应用的多个服务存储区，设置适用于每个服务存储区的一个或多个服务。在这个实施例中，在区域基础和设置在应用基础上设置访问限制。另外，对施加到应用的服务类型设置PIN，以便可以在服务基础上设置访问限制。
图13说明了文件系统的基本结构。如图12所描述的，类似于“目录”的分级结构引入每个文件系统。分配给应用的服务存储区可以注册到在期望的层中的区域。在图13示出的例子中，一个服务存储区注册在由区域定义块0000定义的区域0000中。
图13中的服务存储区由至少一个用户块组成。术语“用户块”是指确保访问操作的最小数据单元。由服务0100定义块定义的服务，即，服务0108可以应用于服务存储区。
除在区域基础上和在应用基础上的访问限制之外，可以通过对每个服务类型设置保密码而在服务基础上设置访问限制。用于应用访问限制的服务的保密码设置信息定义为专用于保密码(即，保密码服务)的服务。在图13示出的例子中，用于服务0108的保密码定义为保密码服务0128定义块。保密码服务的细节存储在保密码服务数据块中。
当用于服务0108的保密码服务被使能时，要求在激活服务0108和在服务0108的用户块上执行读取或者写入操作之前，使用保密码服务0128验证保密码。更具体地，当使用具有加密的读/写命令时，对于服务0108的保密码，即，对于服务0108的PIN是在执行相互认证之前验证的。
另外，分配的服务存储区可以注册在期望层中的区域中，所述区域可以是分层的(非常相关的区域注册在相同的父区域中)。在这种情况下，通过对每个区域设置PIN，所述区域可以充当访问限制的单元。图14说明了在IC卡50的存储空间中分层的区域。在图14示出的例子中，由区域1000定义块定义的不同的区域1000注册在由区域0000定义块定义的区域0000中。
在图14示出的例子中，两个服务存储区还注册在区域1000中。对于两个服务存储区之一，可以应用由服务1108定义块定义的服务1108和由服务HOB定义块定义的服务HOB。如在这里使用的，对一个服务存储区定义多个不同的服务称为“重叠服务”。在重叠服务中，依据输入的PIN不同的服务被应用于相同的服务区域中。另外，对于两个服务存储区的另一个，可以应用由服务110C定义块定义的服务110C。
在激活设置在服务存储区中的服务之后，可以在服务存储区的用户块上执行读取或者写入操作。如相对于图13描述的，可以对每个服务定义保密码服务。在这种情况下，如果激活了对所述服务的保密码服务，在使用保密码服务的PIN验证完成之后，允许所述服务的激活。
当要求对多个服务设置公共的PIN时，可以产生包括这些服务的区域，以及公共的保密码服务可以应用于这个区域。
在图14示出的例子中，对于区域1000的保密码定义为保密码服务1020定义块。保密码服务的细节存储在保密码服务数据块中。
当对于区域1000的保密码服务使能(如以下将描述的)时，使用保密码服务1020验证保密码。此后，激活在区域1000中的每个服务。由此，可以在所述服务的用户块上执行读取或者写入操作。
这里，当保密码服务应用于区域1000中的服务、以及所述保密码服务被使能时，不能在所述服务的用户块上执行读取或者写入操作，直到使用保密码服务的保密码验证完成。
如图13和14所示，提供了对应于所述区域的唯一的保密码服务和对于保密码验证的服务。
把区域和服务注册在文件系统中的过程不是直接与本发明的关键特征相关的。因而，不提供其详细的说明。
如图13和14所示，通过把PIN应用到注册在文件系统中的区域或者服务中，可以在区域基础上或者在服务基础上执行访问控制。另外，当多个服务(重叠服务)注册在一个服务存储区中时，可以通过把PIN应用到每个服务而对相同的服务存储区定义多个访问方法。
然而，在这个实施例中，当访问文件访问时，使用发行者密钥的相互认证(如上所述)是必需的，PIN验证处理是可选的。也就是，只有当对服务或者区域的保密码服务被使能时，在开始服务或者访问区域之前需要保密码验证。相反，当保密码服务中止时，不需要PIN验证。
所述PIN的细节是写入在保密码服务定义块的保密码服务数据块中的。图15是保密码服务数据块的数据结构的示意图。如图15所示，保密码服务数据块包括保密码区域、用于失败的认证尝试的次数的存储器区域、最多允许的失败认证尝试的设置区域、保密码使用选择区域和访问许可标记。
只有当成功地验证由用户输入的PIN时，设置在用于对应服务或者区域的保密码服务数据块中的访问许可标记，以便允许对服务或者区域的访问。
访问许可标记是指示是否允许对相应的应用或者目录的访问的标记。设置访问许可标记的服务或者区域是可访问的。作为缺省，需要PIN的服务或者区域的访问许可标记设置为“不可访问的”。在成功地执行使用文件系统的发行者密钥的PIN验证操作和相互认证操作之后，设置访问许可标记，以便允许访问。另外，如果访问许可标记是连续设置的、以及IC卡丢失或者被盗，由于服务或者区域的无授权使用，用户可能受到金钱损失。因此，IC卡可以具有例如响应于缺少电磁波而从可访问状态自动改变到不可访问状态的特征。
另外，当输入无效的PIN时，更新失败的认证尝试的次数。如果失败的认证尝试的次数超过在最多允许的失败认证尝试的设置区域中设置的最多允许的失败认证尝试时，禁止相应服务的起动或者对相应区域的访问。
通常，一旦PIN的输入是成功的，应该清除失败认证尝试的次数。由此，阻止了恶意的用户搜索保密码。如果来自用户的PIN的输入次数偶然超出最多允许的失败认证尝试、以及验证失败时，仅仅IC卡的管理者(例如，分隔工程师管理者或者原始的卡发行者)可以清除失败认证尝试的次数。为了认证管理者，例如可以采用如下所述的使用专用密钥的认证。
图16以流程图的形式说明了根据从用户输入的保密码来控制服务的开始或者对区域的访问的过程。
当用户输入保密码时(步骤S11)，访问保密码服务定义块的保密码服务数据块(步骤S12)以验证保密码。
如果在保密码服务数据块中的PIN等于由用户输入的PIN，设置在保密码服务数据块中的访问许可标记(步骤S13)，以便相应的服务或者区域变得可访问。
例如，通过在读写器之上放置IC芯片，可以使用根据电磁感应的非接触短程通信接口把经由连接到读写器的外部设备(未示出)的用户接口输入的PIN发送到IC卡。
如图16所示，当使用PIN控制所述应用和所述目录的访问权限时，恶意的用户可能通过搜索PIN破坏安全墙(特别地，在使用短数字号码作为保密码的情况下)。因此，在这个实施例中，在保密码定义区域中设置最多允许的失败认证尝试，以便失败认证尝试的次数超出最多允许的失败认证尝试的那些应用或者目录变得不可访问。由此，提供了访问控制。
图17以流程图的形式说明了使用失败认证尝试的次数控制对服务和区域的访问权限的过程。
当用户输入PIN时(步骤S21)，访问每个保密码服务定义块(步骤S22)以验证PIN。
如果由用户输入的PIN等于在保密码服务定义块中的PIN，设置在保密码服务数据块中的访问许可标记(步骤S23)，以便相应的服务或者区域变得可访问。
然而，如果由用户输入的PIN与所有保密码服务定义块中的PIN不同，更新在保密码定义区域中的失败认证尝试的次数(步骤S24)。另外，如果由用户输入的PIN等于在所有保密码服务定义块中的PIN、以及所述认证是成功的，把失败认证尝试的次数清除为零。
在步骤S25，确定是否更新的失败认证尝试的次数超出设置在保密码定义区域中的最多允许的失败认证尝试(步骤S25)。
如果失败认证尝试的次数超出最多允许的失败认证尝试，那么清除在保密码定义区域中的访问许可标记。由此，相应的服务或者区域变得不可访问(步骤S26)。结果，阻止了恶意的用户搜索PIN。
相反，如果来自用户的PIN的输入次数偶然超出最多允许的失败认证尝试、以及保密码的验证失败，那么仅仅IC卡的管理者(例如，分隔工程师管理者或者初始的卡发行者)可以清除失败认证尝试的次数。为了认证管理者，例如可以采用使用专用密钥的认证。
如上所述，在这个实施例中，对每个文件系统管理在数据通信设备与外部设备之间的会话，以便对每个文件系统独立地分析、管理与处理安全性的威胁。
例如，当请求经由基于电磁感应的非接触短距离通信接口或经由有线接口(例如，UART 48或I2C 49)访问文件系统时，执行使用发行者密钥KI的相互认证和文件系统的PIN验证。如果这些过程是成功完成的，所述文件系统解锁，以便能够执行允许的访问操作(例如读/写操作)。上述的使用发行者密钥KI的相互认证是必需的，尽管PIN验证是可选的。只有当PIN验证使能时，执行匹配处理。另外，即使当相互认证和PIN验证顺利地完成、以及文件系统解锁时，如果对各个区域和服务设置了各自的PIN验证，那么还继续需要PIN验证。
对于其中IC卡的存储区分成用于服务提供者的多个文件系统并且由服务提供者共享的系统，当尝试对给定文件系统的访问和执行相互认证与PIN验证时，以及当系统进入释放状态和会话建立时，其他文件系统的安全性变得重要。这是因为，如果保持会话的状态，在会话期间出现对其他文件系统的安全性的威胁。
因此，在这个实施例中，通过使用把存储区分隔为多个文件系统的功能和每个文件系统中目录与文件的保密码验证功能，可以独立地分析、管理与处理每个文件系统的安全性的威胁。
也就是，当多个逻辑文件系统是在IC卡(例如见图10)的存储区中处理、以及外部设备或者程序改变了要访问的文件系统时，复位保持在每个存储区中的系统管理信息(包括相互认证信息)与PIN释放信息。而且，通过从IC卡加电过去某些一段时间(例如，其中所使用的会话加密方案不能基于现代攻击技术与现代计算机的速度而解密的一段时间周期)之后，复位IC卡的供电，类似地，复位系统管理信息与PIN释放信息。
图18说明了由IC卡(见图4)的操作系统管理的系统管理信息与PIN释放信息的状态转移。
当系统加电或者OS启动时，需要认证的状态开始，其中当访问文件系统时需要相互认证与PIN验证。然而，使用发行者密钥(如上所述)的相互认证是必需的，尽管PIN验证处理是可选的。只有当PIN验证被使能时，才需要PIN验证处理。
这里，在外部设备(或者程序)与数据通信设备之间使用根据电磁感应的非接触短程通信接口或者使用诸如UART 48或者12C 49的有线接口执行相互认证处理。而且，执行PIN验证处理。如果这些处理成功地完成，那么系统解锁，因此，能够使能允许的访问操作(例如读/写操作)。
在释放状态中，通过在IC卡加电的一段时间(例如，其中所使用的会话加密方案不能基于现代的攻击技术与现代计算机的速度而解密的时间段)过去之后复位对IC卡的加电，所述IC卡返回到需要认证的状态。
另外，当文件系统解锁以及文件系统切换到另一文件系统时，所述IC卡返回到需要认证的状态。当文件系统切换时，需要轮询过程以获得文件系统的区域ID。由此，操作系统可以标识状态改变。操作系统在返回区域ID之前执行相互认证(如上所述)。
由此，通过适当地在需要认证的状态与释放状态之间进行切换，所述系统可以消除由连续地保持会话状态所引起的攻击的威胁。
其次参照图19至21描述在IC卡的存储区中的系统管理和PIN功能管理的协作。这里，在所述附图中，存储区分隔成三个文件系统。
图19说明了存储区的初始状态(即，在复位之后的瞬时状态)。每个文件系统可以存放充当标识符的系统码，所述标识符用于外部设备或者程序去访问文件系统、系统管理信息(包括认证信息)和PIN释放信息。
图20说明了当外部设备或者程序使用标识符SC1访问文件系统#1时的存储器的状态。外部设备或者程序可以接收作为返回值的区域ID。当文件系统#1变为有效时，系统管理信息#1和充当保密信息的PIN释放信息#1存储在存储区中。
图21说明了在外部设备或者程序已经在图20示出的状态中使用系统码SC2访问文件系统#2之后的瞬时存储器状态。在这种情况下，发生文件系统的切换。
执行作为在所有逻辑功能之中的最高优先级的功能的活动文件系统的切换。激活文件系统#2的同时，清除保持在存储区中的系统管理信息#1和PIN释放信息#1。代替地，系统管理信息#2和PIN释放信息#2保持在存储器中。
由此，通过一起使用把单独的物理存储器区分隔为多个文件系统的功能、以及在每个文件系统中目录与文件的PIN功能，可以独立地和安全地管理与处理文件系统。
工业实用性尽管已经参照特定实施例示出与详细描写了本发明，但是对所属领域技术人员显而易见的是，可以在不脱离权利要求中定义的本发明的精神与范围的前提下，对本发明形成供选择的实施例。
虽然已经参照IC卡中结合的存储区的信息管理方法描述了本发明的实施例，但是本发明不限制于此。本发明适用于以同样方式管理在不同于IC卡的设备中结合一个存储装置的安全性的方法。
也就是，当前仅仅为了例示与说明的目的说明了本发明的优选实施例，但是不意味着是详尽的、或者限制本发明于上述公开的具体形式。因此，本发明的范围应当是由附加的权利要求所确定的。


图1是在卡读写器与基于电磁感应的IC卡之间无线数据通信的基本概念的示意图；图2是包括卡读写器与IC卡的系统模块化为变压器的图；图3说明了根据本发明实施例的数据通信设备的硬件配置；图4是根据本发明实施例的在IC卡中存储区的控制系统的结构的示意图；图5是提供使用IC卡的系统的服务的结构的示意图；图6说明了其中初始卡发行者仅仅管理初始卡发行者的文件系统的存储区；图7是说明卡发行者可以允许区域管理者租用或者购买卡发行者的文件系统中的一定量自由空间的图；图8是其中另一服务提供者分隔由卡发行者允许的存储区、以产生新的文件系统的图；图9是其中公共区域管理者使用公共区域的系统码SC0分隔由卡发行者许可的存储区的图；图10是其中通过重复分隔操作而同时存在多个文件系统的IC卡的存储区的结构的示意图；图11是在外部设备和IC卡之间交换的请求命令的结构的示意图；
图12是在文件系统中的目录结构的示意图；图13说明了文件系统的基本结构；图14说明了在IC卡50的存储空间中分层的区域；图15是保密码服务数据块的数据结构的示意图；图16是说明了根据从用户输入的保密码来控制服务或者区域的激活的过程的流程图；图17是说明了基于失败PIN输入尝试的次数控制对服务和区域的访问权限的过程的流程图；图18说明了由IC卡(见图4)的操作系统管理的相互认证信息与PIN验证信息的状态转移；图19说明了分隔成多个文件系统的存储区的初始状态；图20说明了当外部设备或者程序使用标识符SC1访问文件系统#1时的存储器的状态；和图21说明了在外部设备或者程序已经使用图20示出的状态中的系统码SC2访问文件系统#2之后的瞬时存储器状态。
标号11发行者通信设备12管理者通信设备13制造商通信设备14存储区分隔设备15管理文件注册设备16 IC卡17网络21卡发行者22卡存储区管理者23设备的制造商24卡存储区用户26持卡者
30卡功能模拟电路31整流器32天线33串行调节器34载波检测器35时钟提取器36时钟选择器37时钟振荡器38逻辑电路39电压检测器40数据处理单元41 RAM42 ROM43 EEPROM44信号处理单元45 CPU46数据加密机47纠错单元48 UART接口49 I2C接口50读写器功能模拟电路51发送放大器52发送天线53接收信号检测器54接收放大器滤波器55接收天线100数据通信设备
权利要求
1.一种具有存储空间的数据通信设备，所述数据通信设备通过把所述存储空间分隔为一个或多个文件系统来管理所述存储空间，所述设备包括认证装置，用于对于要从外部设备或者程序访问的每个文件系统请求相互认证和保密码的验证之一的执行；认证信息管理装置，用于对每个文件系统，管理所述文件系统是在需要认证的状态中还是在释放状态中，在需要认证的状态中，请求对于所述相互认证和所述保密码的验证之一的执行，在释放状态中，在对于所述相互认证和所述保密码的验证之一完成之后允许所述访问；和状态管理装置，用于响应于预定事件的出现，把所述文件系统从所述释放状态返回到所述需要认证的状态。
2.根据权利要求1的数据通信设备，其中，当所述外部设备和所述程序之一改变所述访问的文件系统到另一文件系统时，所述状态管理装置把所述初始访问的文件系统的所述释放状态复位到需要认证的状态。
3.根据权利要求1的数据通信设备，其中从所述文件系统改变为所述释放状态已经过去预定的一段时间之后，或者从所述数据通信设备加电已经过去预定的一段时间之后，所述状态管理装置把所述初始访问的文件系统的所述释放状态复位到所述需要认证的状态。
4.一种用于管理数据通信设备的存储器的方法，所述数据通信设备具有存储空间，并且通过把所述存储空间分隔为一个或多个文件系统来管理所述存储空间，所述方法包括以下步骤(a)对要从外部设备或者程序访问的每个文件系统请求相互认证和保密码的验证之一的执行；(b)对每个文件系统，管理所述文件系统是在需要认证的状态中还是在释放状态中，在需要认证的状态中，请求对于所述相互认证和所述保密码的验证之一的执行，在释放状态中，在对于所述相互认证和所述保密码的验证之一完成之后允许所述访问；以及(c)响应于预定事件的出现，把所述文件系统从所述释放状态返回到所述需要认证的状态。
5.根据权利要求4的用于管理数据通信设备的存储器的方法，其中，当所述外部设备和所述程序之一改变所述访问的文件系统到另一文件系统时，步骤(c)把所述初始访问的文件系统的所述释放状态复位到需要认证的状态。
6.根据权利要求4的用于管理数据通信设备的存储器的方法，其中从所述文件系统改变为所述释放状态已经过去预定的一段时间之后，或者从所述数据通信设备加电已经过去预定的一段时间之后，步骤(c)把所述初始访问的文件系统的所述释放状态复位到所述需要认证的状态。
全文摘要
提供了一种安全管理在存储区中的每个提供者的信息的机制，并且由多个服务提供者共享单个IC卡。对于每个服务提供者的文件系统分配在单个存储区中，单个信息记录介质由多个提供者共享。存储区可分成文件系统。在文件系统之间的每个边界起防火墙的作用，以很少地拒绝恶意访问。而且，对文件系统的划分功能与对每个文件系统的锁码验证功能相结合，从而对每个文件系统实现独立的安全性管理。
文档编号G06K19/073GK1902604SQ200480039958
公开日2007年1月24日 申请日期2004年12月21日 优先权日2004年1月6日
发明者栗田太郎 申请人:索尼株式会社