安装在终端设备上的电子装置的制作方法

专利名称：安装在终端设备上的电子装置的制作方法
技术领域：
本发明与一种安装在一个能通过通信网络进行通信的诸如移动电话机之类的终端设备上的诸如IC卡之类的电子装置、装有这种电子装置的终端设备以及通信系统有关。
背景技术：
近来，业已提出或付诸实施了一种通信公司为用户的终端设备提供各种服务的系统。作为这种系统的一个应用形式，提出了一种通信公司方面为装有一个具有用户个人验证功能的IC卡的终端设备提供各种服务的系统。在上述应用形式中，IC卡执行对终端设备和通信公司方面系统的验证过程。在对终端设备和通信公司方面系统的验证过程成功执行时，通信公司方面系统为装有这个IC卡的终端设备提供各种服务。
作为上述系统的一个具体例子，提出了一种通信公司方面为装有一个称为用户标识模块(SIM)卡或通用用户标识模块(USIM)的IC卡的移动电话机提供各种服务的系统。例如，在许多国家内，采用全球移动通信系统(GSM)作为移动电话系统。在GSM系统内，必需在移动电话机内配置一个为一种IC卡的SIM卡。此外，在日本，近来已逐渐普及采用第三代伙伴计划(3GPP)标准的移动电话。在一个3GPP标准的移动电话机内，一个USIM卡作为IC卡是不可缺少的。
在GSM系统或3GPP标准内所用的SIM卡或USIM卡插在移动电话机内使用。在SIM卡或USIM卡内记录有用来与通信公司系统连接的验证信息。在装有SIM卡或USIM卡的移动电话机内，用记录在SIM卡或USIM卡内的信息进行通信公司的验证。如果验证过程成功通过，移动电话机就能得到通信公司提供的各种服务。
此外，对于移动电话机和通信公司的验证来说，例如在日本专利申请公报No.2004-133848中揭示了根据保存在装在移动电话机上的一个存储器内的设备信息的信息表执行验证过程的技术。
然而，在如上所述的传统系统内存在一个问题不能随着多功能化终端设备和多样化服务而足够安全地防止基于不正当改造终端设备或伪造数据的越权使用。
特别是，近些年来用终端设备执行电子交易渐趋普及。例如，业已提出通过移动电话机使用电子货币功能或电子清算帐目功能的各种业务。必须在高度安全下提供以上这些服务。因此，所希望的是安全而高效地执行对移动电话机的验证过程。

发明内容
本发明的一个目的是提供一种能在保持安全的同时高效地执行验证过程的电子装置、终端设备和通信系统。
按照本发明的一个方面提出的装在一个具有与外部系统通信的功能的终端设备上的电子装置包括一个存储验证信息的存储器；一个根据存储在存储器内的验证信息执行对终端设备的相互验证的设备验证部；以及一个使外部系统可以根据由设备验证部执行的对终端设备的相互验证的结果和存储在存储器内的验证信息验证电子装置的外部系统验证部。
按照本发明的另一方面提出的具有与外部系统通信的功能的终端设备包括一个安装一个电子装置的接口；一个存储验证信息的存储器；一个根据存储在存储器内的验证信息执行对装在接口上的电子装置的相互验证过程的电子装置验证部；以及一个通信控制部，用来控制电子装置与外部系统之间的数据通信，以便利用外部系统根据电子装置和终端设备的相互验证的结果和电子装置的验证信息执行对电子装置的验证过程。
按照本发明的又一个方面设计的一种通信系统包括一个具有与外部系统通信的功能的终端设备和一个装在终端设备上的电子装置，其中所述终端设备包括一个安装电子装置的接口、一个存储验证信息的第一存储器、一个根据存储在第一存储器内的验证信息执行对装在终端设备上的电子装置的相互验证过程的电子装置验证部和一个响应电子装置的请求与外部系统进行数据通信的通信部，而所述电子装置包括一个存储验证信息的第二存储器、一个根据存储在第二存储器内的验证信息执行对终端设备的相互验证过程的设备验证部和一个通过使终端设备的通信部与外部系统进行数据通信而使外部系统可以根据由设备验证部执行的对终端设备的相互验证的结果和存储在第二存储器内的验证信息执行对电子装置的验证过程的外部系统验证部。
本发明的其他目的和优点将在以下说明中给出，部分可以从说明中清楚看到，或可以通过实践本发明了解。可以通过以下具体指出的手段和组合来获得和实现本发明的这些目的和优点。


作为本说明书的一个组成部分的这些附图例示了本发明的一些实施例，与以上给出的一般说明和下面给出的对这些实施例的详细说明一起用来说明本发明的原理。在这些附图中图1为示出按照本发明的一个实施例设计的通信系统的配置的一个例子的示意图；图2为示出作为终端设备的移动电话机的配置的一个例子的示意图；图3为示出装在移动电话机上的IC卡的配置的一个例子的图；图4为示出IC卡的功能配置的图；图5为例示第一种操作实例的流程图；图6为例示相互验证过程的一个例子的流程图；以及图7和8为例示第二种操作实例的流程图。
具体实施例方式
下面将结合附图对本发明的优选实施例进行说明。
图1为示出按照本发明的一个实施例设计的包括终端设备的通信系统的配置的一个例子的示意图。
在图1所示的通信系统中，用作装有一个IC卡C的终端设备的移动电话机11、个人计算机12、移动信息终端(以下称为PDA)13和电子游戏机14与通信公司的系统(通信公司系统)20进行通信。
IC卡C是一个包括一个具有控制单元的LSI、存储器和接口的电子装置。IC卡C存有各种控制程序、数据之类。例如，IC卡内存有验证数据、用户个人信息之类。IC卡具有与终端设备相互验证的功能、与通信公司系统相互验证的功能以及与接到终端设备上的设备和终端设备内的各个模块相互验证的功能，如稍后所说明的。
终端设备11、12、13、14具有与通信公司系统20通信的功能。终端设备11、12、13、14用所设的IC卡C与通信公司系统20通信。此外，每个终端设备存有验证其自身设备的信息(设备证书)、作为验证信息的密钥信息、预置的编码逻辑之类。
通信公司系统20具有通信设施21、空中(Over-The-Air，OTA)服务器22、管理服务器23、验证服务器24等。通信设施21用来与终端设备11、12、13、14通信。OTA服务器22是一个控制通过通信设施21与以上终端设备通信的服务器设备。管理服务器23是一个管理与终端设备11、12、13、14和插在终端设备11、12、13、14内的IC卡C关联的数据的服务器设备。验证服务器24是一个执行对IC卡C的验证的服务器设备。
有一个外部服务器25与通信公司系统20连接。外部服务器25是一个提供诸如通信公司之外的公司提供的内容之类的服务器设备。外部服务器25与OTA服务器22连接，通过OTA服务器22和通信设施21为终端设备11、12、13、14提供诸如内容之类的服务。
在IC卡C插入终端设备11、12、13或14时，IC卡C与终端设备11、12、13或14执行相互验证过程。如果相互验证过程证实终端设备11、12、13或14与IC卡C相互有效，IC卡C再执行对通信公司系统20的验证过程。如果通信公司系统20和IC卡C的验证成功通过，终端设备11、12、13或14就被设置成可以得到通信公司系统20的服务的状态。
下面，作为一个例子详细说明移动电话机11用作终端设备的情况。
图2为示出作为终端设备的移动电话机11的配置的一个例子的示意图。
如图2所示，移动电话机11包括控制单元30、接口31、IC芯片32、环形天线33、接口部34和天线38。IC卡C是一个可卸地装在移动电话机11上的电子装置。在图2中，示出了IC卡C已装在移动电话机11上的情况。
控制单元30是一个控制整个移动电话机11的单元。控制单元30包括控制器35、存储部36、通信控制器37、显示控制器(未示出)和音频控制器(未示出)。
控制器35为移动电话机11的主体的各个部分执行控制过程和数据过程。控制器35根据存储在存储部36内的程序和控制数据执行各个过程。
存储部36配有RAM、ROM、非易失性存储器等。各个数据项存储在存储部36内。例如，在存储部36的安全非易失性存储器内存有诸如稍后要说明的验证信息之类的密钥信息和设备信息。
通信控制器37控制利用通过天线38发送或接收无线电波进行的通信。在图1所示的系统配置中，通信控制器37控制通过天线38与通信公司系统20进行的通信。也就是说，通信控制器37用来控制移动电话机11的数据通信或电话通信。
IC卡C装在接口31上。控制单元30和IC卡C通过接口31进行数据通信。
IC芯片32是一个包括一个起非接触的IC卡作用的控制电路、存储器、接口等的IC芯片。环形天线33与IC芯片32连接。IC芯片32具有基于一个与通信控制器37控制的通信系统(移动电话机11的数据通信或电话通信)不同的通信系统的无线电通信的功能。也就是说，IC芯片32具有根据非接触IC卡的通信系统利用通过环形天线33发送或接收的无线电波进行无线电通信的功能。
例如，有些通用的非接触IC卡用作电子货币。在移动电话机11内实现用以上非接触IC卡实现的电子货币功能时，与非接触IC卡用作电子货币相同的功能并入IC芯片32内。在这种情况下，例如在IC芯片32内配置了执行对非接触IC卡用作电子货币的相同的通信控制的功能、保存可用作电子货币的货币量信息(电子值)的功能等。
此外，对于诸如IC芯片32所实现的电子货币功能之类的功能，要求高度安全。因此，证明IC芯片32的有效性的数据存储在IC芯片32的内部存储器(未示出)内。
接口部34用来在移动电话机11上安装一个作为外部设备的设备D，诸如存储卡之类。通过在移动电话机11的主体内形成的插入端口34a插入的设备D装在接口部34上。因此，通过插入端口34a插入的设备D处在通过如图2中虚线所示的接口部34与移动电话机11的控制单元30连接的状态。在这种情况下，假设设备D是一个具有安全功能的存储器。
此外，用作验证数据的设备信息41和密钥信息42存储在控制单元30的存储部36内。此外，在控制单元30内还配有一个编码模块43。编码模块43可以通过使控制器35执行一个存储在存储部36内的用来执行编码过程和解码过程的程序来实现。编码模块43也可以配置成一个执行编码过程和解码过程的处理器(硬件)。
设备信息41是与移动电话机11的主体关联的信息。例如，设备信息41是诸如移动电话机11的主体的基本规格、制造商、型号之类的信息。此外，设备信息41用作执行对IC卡C的相互验证的验证数据。密钥信息42是用于执行对IC卡C的验证过程的密钥信息。编码模块43根据预置的编码逻辑按照一个算法执行编码过程或解码过程。
此外，IC芯片32是一个包含在移动电话机11内的具有与IC卡C相互验证功能的模块的一个例子。IC芯片32具有一个存储器(未示出)，其中存储用作与IC卡C相互验证的验证数据的设备信息45和密钥信息46。此外，在IC芯片32内还配置了一个执行对IC卡C相互验证的编码模块47。
设备信息45是与由IC芯片32所实现的非接触IC的功能关联的信息。例如，设备信息45是诸如IC芯片32的基本规格、制造商、型号之类的信息。此外，设备信息45也作为验证数据用于执行对IC卡C的相互验证。密钥信息46是执行IC卡C的验证过程的密钥信息。编码模块47根据预置的编码逻辑按照一个算法执行编码过程或解码过程。
此外，IC卡C具有一个存储设备信息(验证数据)51和密钥信息52的存储器(未示出)。在IC卡C内，配置了一个编码模块53。此外，IC卡C还具有一个存储含有与已执行相互验证的另一方设备关联的信息的数据(相互验证结果数据)54的存储器(未示出)。
设备信息51是与IC卡C关联的指出IC卡C的基本规格、制造商、型号等的信息。此外，设备信息51也作为验证数据，用来执行对移动电话机11的主体、IC芯片32或设备D的相互验证。设备信息51也作为验证数据，用来执行验证服务器24的网络验证。
密钥信息52是执行配置在移动电话机11或移动电话机11的主体上的各种功能(模块)或者执行对连接到移动终端11上的设备D的相互验证所需的信息。此外，密钥信息还用作使通信公司系统20的验证服务器24可以执行网络验证过程的密钥信息。
编码模块53根据预置的编码逻辑按照一个算法执行编码过程或解码过程。
此外，设备D是接到移动电话机11的接口部34上的具有与IC卡相互验证功能的外部设备的一个例子。设备D具有一个存储作为用于执行对IC卡C的相互验证的验证信息的设备信息55和密钥信息56的存储器(未示出)。此外，在设备D内配置了一个用于执行对IC卡C的相互验证的编码模块57。
设备信息55是与设备D关联的信息。例如，设备信息55是诸如设备D的基本规格、制造商、型号之类的信息。设备信息55也作为验证数据用于执行对IC卡C相互验证。密钥信息56是用于执行对IC卡C的验证过程的密钥信息。编码模块57根据预置的编码逻辑按照一个算法执行编码过程或解码过程。
下面，将详细说明IC卡C的配置的一个例子。
图3示意性地示出了一个装在诸如移动电话机11之类的终端设备上的IC卡的硬件配置的一个例子。
如图3所示，IC卡C包括控制单元61、随机存取存储器(RAM)62、只读存储器(ROM)63、非易失性存储器64和通信部65。
控制单元61、RAM 62、ROM 63和非易失性存储器64用一个IC芯片(LSI)Ca之类配置。此外，IC芯片Ca和通信部65集成为一个模块Cb。模块Cb嵌入一个外壳Cc内，形成IC卡C。也就是说，IC卡C配置成嵌入了含有控制单元61、RAM 62、ROM 63、非易失性存储器64和通信部65的模块Cb的外壳Cc。
控制单元61控制IC卡C的整个部分。控制单元61按照存储在ROM63或非易失性存储器64内的程序进行操作，执行各种功能。RAM 62是一个起工作存储器作用的易失性存储器。ROM 63是一个预先存有控制程序和控制数据的非易失性存储器。
非易失性存储器64是一个可重写非易失性存储器，用来存储各种数据项和应用(应用程序)。在非易失性存储器64内存有诸如验证程序或密钥信息之类的验证数据。
通信部65执行对诸如移动电话机11之类的终端设备的数据通信。通信部65还起着获取使IC卡C工作的电源的装置的作用。也就是说，IC卡C由诸如移动电话机11之类的终端设备通过通信部65提供的工作时钟和工作电源电压激活(设置成可工作状态)。
图4为示出IC卡C的功能配置的图。
如图4所示，IC卡C包括平台(LSI)71、操作系统(OS)72、卡管理器73、卡应用数据库74、验证数据库75等。
平台71控制IC卡C的基本功能。例如，将平台71配置成控制单元61。此外，可以考虑将平台71配置成具有控制单元61、RAM 62、ROM63、非易失性存储器64和通信部65的模块Cb。
操作系统72是一个用作使平台71执行各种应用程序(应用)的根基。卡管理器73管理各个应用。在卡应用数据库74内存储诸如一些基于要装在移动电话机11上的IC卡C的规格的应用之类的数据。操作系统72和卡管理器73是通过使用作平台71的控制单元61执行存储在ROM 63或非易失性存储器64内的程序而实现的功能。
在验证数据库75内，存有诸如用来执行对移动电话机11的主体、移动电话机11内的IC芯片32或接到移动电话机11的主体上的设备D的相互验证的应用程序(验证程序)和应用数据之类的数据。此外，在验证数据库75内还存有诸如执行通信公司系统20的验证服务器24的网络验证所用的应用程序和应用数据之类的数据。例如，诸如在验证数据库75内的应用程序之类的数据是从通信公司系统20下载的。
此外，在验证数据库75内还存有验证数据(设备信息)51、验证密钥信息52、验证编码模块53等。而且，在验证数据库75内也存有用来控制验证过程的控制程序(验证应用)。编码模块53可以通过一个应用程序接口(API)运用一个下层的编码模块。可以容许每个通信公司各自确定验证数据51的格式。
此外，在验证应用中，可以用验证数据51和密钥信息52在数据库76内形成IC卡C的设备证书信息。作为密钥信息52，可以准备每当需验证的第三方改变时按照第三方形成的多个密钥信息项，或者也可以用单个密钥信息实现。
此外，密钥信息52还可以用通信公司系统20的OTA服务器22周期性更新。因此，可以防止伪造IC卡C的密钥信息，从而提高安全度。此外，作为验证应用，还可以提供利用诸如编码号码信息之类的个人验证信息的用户验证功能作为任选功能。通过使用个人验证信息增添用户功能，可以执行对用户的验证，从而可以实现用户和通信公司的验证，提高安全度。
下面说明在具有以上配置的通信系统内移动电话机11和IC卡C的工作情况。
在本实施例中，说明第一种和第二种操作实例。第一种操作实例是IC卡C和作为终端设备的移动电话机11执行相互验证的例子。第二种操作实例是除了IC卡C和作为终端设备的移动电话机11的相互验证之外还执行IC卡C和在移动电话机11内需要验证的功能块(例如，IC芯片32)的相互验证或者IC卡C和一个接到移动电话机11上的需要验证的设备(例如，设备D)的相互验证的例子。
首先，说明第一种操作实例。
图5为例示第一种操作实例的流程图。
首先，在IC卡C装到移动电话机11上或者移动电话机11的电源接通时，IC卡C执行启动过程(步骤S11)。在启动装在移动电话机11上的IC卡C时，IC卡C和IC卡C所装的移动电话机11的主体执行相互验证过程(步骤S12)。
移动电话机11的主体和IC卡C的相互验证过程是移动电话机11的主体和IC卡C根据它们的密钥信息项和编码算法执行相互验证的过程。因此，在移动电话机11的主体和IC卡C的相互验证过程中，执行一个使移动电话机11的主体验证IC卡C的过程和一个使IC卡C验证移动电话机11的主体的过程。
也就是说，在移动电话机11的主体内，控制器35用密钥信息42和编码模块43根据从装在移动电话机11上的IC卡C接收到的验证信息执行验证IC卡C的验证过程。此外，在IC卡C内，按照验证应用用密钥信息52和编码模块53根据从移动电话机11的主体接收到的验证信息执行验证移动电话机11的主体的验证过程。
如果移动电话机11的主体和IC卡C用以上相互验证过程进行的相互验证失败(步骤S13判定结果为NG)，在IC卡C内确定相互验证过程执行次数n是否超过一个预置的重试数N。如果在上面的确定过程中确定相互验证过程执行次数n不等于或大于预置的重试数N(步骤S13的判定结果为NGn＜N)，IC卡C和IC卡C所装的移动电话机11的主体再试步骤S12的相互验证过程。
此外，如果在以上的确定过程中确定相互验证过程执行次数n等于或大于预置的重试数N(步骤S13的判定结果为NGn≥N)，IC卡就假设与移动电话机11的主体的相互验证完全失败，形成出错信息(步骤S14)。例如，可以将出错信息作为一个出错消息在移动电话机11的主体的显示部(未示出)上显示。此外，可以将出错信息存储在IC卡C的一个存储器(未示出)内。
如果移动电话机11的主体和IC卡C用以上相互验证过程进行的相互验证成功通过(步骤S13判定结果为OK)，IC卡C就用验证应用形成指出与移动电话机11的主体的相互验证结果的数据54(步骤S15)。数据54根据相互验证过程的结果、移动电话机11的主体的设备信息等形成。
也就是说，如果与IC卡C的相互验证成功，移动电话机11的主体的控制器35就将由设备信息41配置的规定数据之类发送给IC卡C的验证应用。结果，在IC卡C的验证应用内，除了指出IC卡C和移动电话机11的相互验证已执行的信息之外还形成由执行相互验证过程所用的时间、移动电话终端的制造商、型号等组成的数据54。
如果在相互验证成功后形成数据54，IC卡C通过移动电话机11的主体执行通信公司系统20的网络验证过程(外部系统验证过程)(步骤S16)。网络验证过程是一个由通信公司系统20执行的验证过程，验证IC卡C或插有IC卡C的移动电话机11的主体(移动电话机11的主体和IC卡C的组合)。例如，在图1所示的系统配置中，通信公司系统20内的验证服务器24根据来自IC卡C的网络验证数据验证IC卡C。网络验证过程的结果从通信公司系统20发送给IC卡C。
在验证服务器24用网络验证过程验证IC卡C成功通过(步骤S17的判定结果为OK)时，IC卡C将作为IC卡C和装有IC卡C的移动电话机11的主体的相互验证的结果得到的数据54发送给通信公司系统20的验证服务器24(步骤S19)。
也就是说，通信公司系统20所验证的IC卡C将含有移动电话机11的主体的设备信息41和IC卡C的设备信息的数据54发送给通信公司系统20。通信公司系统20接收到数据54，就获得所验证的IC卡C和装有这个IC卡C的移动电话机11的主体的设备信息。结果，在通信公司系统20内就可以识别装有所验证的IC卡C的终端设备的类型。
如果在步骤S16的网络验证过程失败而且网络验证过程执行次数n小于预置的重试数N(步骤S17的判定结果为NGn＜N)，IC卡C就再试步骤S16的网络验证过程。如果网络验证过程执行次数n等于或大于预置的重试数N(步骤S17的判定结果为NGn≥N)，IC卡C就执行一个网络验证出错过程(步骤S18)。作为网络验证出错过程，例如形成指出网络验证过程已失败的出错信息。例如，可以将出错信息作为一个出错消息在移动电话机11的主体的显示部(未示出)上显示，或存储在一个存储器(未示出)内。
下面，详细说明移动电话机11的主体和IC卡C的相互验证过程。
图6为例示移动电话机11的主体和IC卡C的相互验证过程。
首先，执行一个使移动电话机11的主体验证IC卡C的过程(移动电话机11的主体对IC卡C的验证过程)(步骤S20至S27)。
在移动电话机11对IC卡C的验证过程中，首先，移动电话机11的控制器35通过编码模块43用密钥信息42对作为移动电话机11的主体的设备信息的验证数据41编码(步骤S20)。在对验证数据41编码后，移动电话机11的控制器35将经编码的验证数据(编码数据)发送给IC卡C(步骤S21)。
IC卡C接收到编码数据后通过编码模块53用存储在存储器64内的密钥信息52对所接收的编码数据解码(步骤S22)。在对从移动电话机11接收到的编码数据解码后，IC卡C将经解码的数据(解码数据)作为移动电话机11的主体的设备信息保存在一个诸如RAM 12之类的存储器内(步骤S23)。然后，IC卡C将经解码的数据发送给移动电话机11的主体(步骤S24)。
在这种情况下，验证数据41为移动电话机11的主体的设备信息。此外，通过编码模块43用密钥信息42对验证数据41编码得到编码数据。因此，如果密钥信息52和编码模块53的算法与密钥信息42和编码模块43的算法相同(也就是说，如果验证成功通过)，解码数据就用作移动电话机11的主体的设备信息。于是，IC卡C将解码数据保存在一个诸如RAN 12之类的存储器内，作为移动电话机11的主体的设备信息。
从IC卡C接收到解码数据后，移动电话机11根据所接收的解码数据验证IC卡C(步骤S25)。也就是说，移动电话机11的控制器35按照从IC卡C接收到的解码数据是否与验证数据一致确定对IC卡C的验证是否可以成功通过。
例如，如果通过编码模块43用密钥信息42编码的验证数据41与通过编码模块53用密钥信息52解码的解码数据一致，就意味着移动电话机11的密钥信息42和编码模块43的编码算法与IC卡C的密钥信息52和编码模块53的编码算法一致。在这种情况下，移动电话机11的控制器35确定这个IC卡C合格(确定对IC卡的验证成功通过)。
如果通过编码模块43用密钥信息42编码的验证数据41与通过编码模块53用密钥信息52解码的解码数据不一致，就意味着移动电话机11的密钥信息42和编码模块43的编码算法与IC卡C的密钥信息52和编码模块53的编码算法不一致。在这种情况下，移动电话机11的控制器35确定这个IC卡C不合格(确定对IC卡的验证失败)。
在移动电话机11的主体对IC卡C的验证失败时，移动电话机11的控制器35将指示出错数的出错计数器(未示出)加1。出错计数器加1后，控制器35确定出错计数器的读数(n)是否等于或大于预置的重试数(N)。如果出错数小于预置的重试数，也就是说确定必须重试对IC卡C的验证过程(步骤S26的确定结果为“是”)，控制器35就再执行步骤S20至S26的对IC卡C的验证过程。
如果确定出错数等于或大于预置的重试数(步骤S26的确定结果为“否”)，控制器将指示验证失败的验证结果通知IC卡C。此时，IC卡C使过程进至步骤S13，执行步骤S14的出错消息形成过程。
在移动电话机11的主体对IC卡C的验证成功通过时，移动电话机11的控制器35提供一个验证成功的通知，作为移动电话机11的主体对IC卡C验证的结果(步骤S27)。IC卡C接收到通知后，执行一个验证移动电话机11的主体的过程(IC卡C对移动电话机11的主体的验证过程)(步骤S28至S35)。
在IC卡C对移动电话机11的主体的验证过程中，首先，IC卡C的控制器61通过编码模块53用密钥信息52对作为IC卡C的设备信息的验证数据51编码(步骤S28)。在对验证数据51编码后，IC卡C的控制单元61将经编码的验证数据(编码数据)发送给移动电话机11的主体(步骤S29)。移动电话机11的主体接收到编码数据后通过编码模块43用密钥信息42对所接收的编码数据解码(步骤S30)。移动电话机11的主体对从IC卡C接收到的编码数据解码后，将经解码的数据(解码数据)作为IC卡C的设备信息保存在控制单元30的存储部36内(步骤S31)。移动电话机11的主体的控制器35将解码数据发送给IC卡C(步骤S32)。
在这种情况下，验证数据51为IC卡C的设备信息。此外，编码数据是通过编码模块53用密钥信息52对验证数据51编码得到的。因此，解码数据用作IC卡C的设备信息，如果密钥信息42和编码模块43的算法与密钥信息52和编码模块53的算法相同(也就是说，对移动电话机11的主体验证成功通过)的话。于是，移动电话机11的主体将经解码的数据作为IC卡C的设备信息保存在存储部36。
IC卡C从移动电话机11的主体接收到经解码的数据后，根据所接收到的解码数据验证移动电话机11的主体(步骤S33)。也就是说，IC卡C的控制单元61按照从移动电话机11的主体接收到的解码数据是否与验证数据51一致确定验证是否成功通过。
例如，如果通过编码模块53用密钥信息52编码的验证数据51与通过编码模块43用密钥信息42解码的解码数据一致，就意味着IC卡C的密钥信息52和编码模块53的编码算法与移动电话机11的密钥信息42和编码模块43的编码算法一致。在这种情况下，IC卡C的控制单元61确定移动电话机11的主体合格(确定对移动电话机11的主体验证成功通过)。
如果通过编码模块53用密钥信息52编码的验证数据51与通过编码模块43用密钥信息42解码的解码数据不一致，就意味着IC卡C的密钥信息52和编码模块53的编码算法与移动电话机11的主体的的密钥信息42和编码模块43的编码算法不一致。在这种情况下，IC卡C的控制单元61确定移动电话机11的主体不合格(确定对移动电话机11的主体验证失败)。
在IC卡C对移动电话机11的主体的验证失败时，IC卡C的控制单元61将指示出错数的出错计数器(未示出)加1。出错计数器加1后，控制单元61确定出错计数器的读数(n)是否成为等于或大于预置的重试数(N)。如果出错数小于预置的重试数，也就是说确定必须重试对移动电话机11的主体的验证过程(步骤S34的确定结果为“是”)，控制单元61就再执行步骤S28至S34的对移动电话机11的主体的验证过程。
在IC卡C对移动电话机11的主体的验证成功通过时，IC卡C的控制单元61提供验证成功的通知，作为IC卡C对移动电话机11的主体的验证结果(步骤S35)。
移动电话机11的主体和IC卡C的相互验证过程不局限于步骤S20至S35的过程。移动电话机11的主体和IC卡C的相互验证过程可以是相互验证移动电话机11的主体和IC卡C的过程，使IC卡C可以获得作为相互验证过程的结果的移动电话机11的主体的设备信息项。
按照这个第一操作实例，装在终端设备上的IC卡执行对终端设备的主体的相互验证，而对IC卡的网络验证过程由通信公司系统根据相互验证的结果和IC卡的验证信息执行。
因此，通信公司系统20不必逐个验证IC卡和终端设备的主体。结果，为了使通信公司系统20可以在保持装有IC卡的终端设备的安全亦即IC卡使用环境的安全的同时逐个验证IC卡和移动电话机的主体，不必增加通信业务量也不必用长的处理时间执行对IC卡和终端设备的主体的验证过程。
此外，按照这个第一种操作实例，在IC卡由通信公司系统验证时，它将与经相互验证的终端设备关联的信息发送给通信公司系统。因此，通信公司系统可以很容易获得与装有IC卡的终端设备的主体关联的信息和与IC卡关联的信息。
也就是说，按照这个第一操作实例，通信公司系统20不必单独从移动电话机获得与移动电话机的主体关联的信息。因此，为了使通信公司系统20单独从移动电话机的主体获得信息，不必增大通信业务量。结果，本通信系统可以在保持IC卡的使用环境安全的同时执行高效的数据通信。
此外，在通信公司系统管理与每个用户的IC卡关联的信息时通信公司可以根据从验证成功的IC卡获得的与装有IC卡的设备关联的信息获得有关用户(IC卡C的持有人)运用通信系统的情况(根据与装有IC卡的设备关联的信息确定的运用情况)的信息。例如，在通信公司为一个用户提供各种服务时，通信公司系统可以很容易获得有关用户运用服务的信息。
此外，即使具有IC卡的用户使用各种终端设备，通信公司系统也可以适当地得到与用户运用的终端设备关联的信息。也就是说，通信公司可以提供一个环境，使具有IC卡的用户可以通过使用用户的各种终端设备有效地运用通信公司系统。结果，通信公司可以为用户提供细致和精确的服务。
如上所述，移动电话机11是终端设备的一个例子。也就是说，第一种操作实例可以应用于可以用所装有的IC卡C与通信公司系统20通信的终端设备，诸如个人计算机12、PDA 13、电子游戏机14之类。
下面，说明第二种操作实例。
作为第二种操作实例，首先说明在启动装在移动电话机11的主体上的IC卡C时执行的操作。
图7为作为第二种操作实例例示在启动装在移动电话机11的主体上的IC卡C时执行的操作的流程图。图7中所示的步骤S41至S45的过程与图5中所示的步骤S11至S15的过程相同。此外，图7中所示的步骤S52至S55的过程与图5中所示的步骤S16至S19的过程相同。
也就是说，在启动装在用作终端设备的移动电话机11上的IC卡C(步骤S41)时，IC卡C和IC卡C所装的移动电话机11的主体执行相互验证过程(步骤S42)。如上所述，移动电话机11的主体和IC卡C的相互验证过程是使移动电话机11的主体和IC卡C根据它们的密钥信息项和编码算法执行相互验证的过程。例如移动电话机11的主体和IC卡C的相互验证过程按照图6所示的过程执行。
如果确定移动电话机11和IC卡C的相互验证过程的执行次数n(相互验证过程失败的次数n)不等于或大于预置的限制数N(步骤S43的判定结果为NGn＜N)，IC卡C再试步骤S42的相互验证过程。
此外，如果在以上的确定过程中确定相互验证过程执行次数n(相互验证过程失败次数n)成为等于或大于预置的数N(步骤S43的判定结果为NGn≥N)，IC卡就假设与移动电话机11的主体的相互验证完全失败，于是执行一个出错过程(步骤S44)。例如，如步骤S14，在出错过程中执行一个形成出错信息的过程。
如果用以上相互验证过程对移动电话机11的主体和IC卡C的相互验证成功通过(步骤S43的判定结果为OK)，IC卡C就根据验证应用形成指出与移动电话机11的主体的相互验证结果的数据(步骤S45)。指出与移动电话机11的相互验证结果的数据根据相互验证过程的结果、移动电话机11的主体的设备信息51等形成。例如，指示与移动电话机11的主体的相互验证结果的数据含有执行对移动电话机11的主体相互验证过程所用的时间、与移动电话机11的主体关联的信息(例如，移动电话机11的主体的规格、制造商、型号)等。
指出与移动电话机11的相互验证结果的数据保存在IC卡C内，作为要发送给通信公司系统20的数据54。
如果与移动电话机11的主体的相互验证过程成功通过，IC卡C的控制单元61就执行一个搜索过程，搜索移动电话机11的主体之外的需要执行对IC卡C的相互验证的设备(移动电话机11的主体的部件)(步骤S46和S47)。
在这种情况下，移动电话机11的主体之外的设备(移动电话机11的主体的部件)是一个诸如接到移动电话机11的主体上的外部设备或移动电话机11的主体具有的功能块(模块)之类的设备。也就是说，在搜索过程中，从诸如接到移动电话机11的主体上的外部设备和移动电话机11的主体具有的功能块之类的设备中提取一个需要执行对IC卡C的相互验证的设备。
例如，在图2所示的配置例子中，配置在移动电话机11的主体内的IC芯片32、接到移动电话机11的主体上的设备D等是移动电话机11的主体之外的设备(移动电话机11的主体的部件)。在这种情况下，成功通过了与移动电话机11的主体相互验证的IC卡C用搜索过程识别出IC芯片32和设备D是需要执行对IC卡C的相互验证的设备。
移动电话机11的主体具有的模块和接到移动电话机11的主体上的外部设备由移动电话机11的主体的设备管理功能识别。设备管理功能由与移动电话机11的主体具有的模块或接到移动电话机11的主体上的外部设备相应的设备驱动器实现。也就是说，设备管理功能是容许控制器35执行对各自设备相应的设备驱动器的程序实现的功能。例如，将指出设备管理功能所识别的每个设备的信息存储在移动电话机11的主体的存储部36内，作为指出移动电话机11的当前系统配置的系统信息的一部分。
在搜索过程中，IC卡C的控制单元61从移动电话机11的主体获得含有指出设备管理功能所识别的每个设备的信息的系统信息。IC卡C的控制单元61根据从移动电话机11的主体获得的系统信息识别指出设备管理功能所识别的每个设备的信息，提取需要执行对IC卡C的相互验证过程的设备。
步骤S46的搜索过程可以由移动电话机11的主体执行，而搜索结果可以发送给IC卡。在这种情况下，成功执行了与IC卡C相互验证的移动电话机11的主体的控制器35从设备管理功能所识别的设备中搜索需要执行对IC卡C的相互验证的设备。移动电话机11的主体的控制器35将指出在搜索过程中搜索到的需要执行对IC卡C的相互验证的设备的信息发送给IC卡C。
在搜索过程确定配置有一个需要执行相互验证过程的设备(步骤S47的确定结果为“是”)时，IC卡C的控制单元61执行对每个确定为需要执行相互验证过程的设备的相互验证过程(步骤S48)。
例如，如图2所示，如果IC芯片32装在移动电话机11的主体上，而且设备D也已装上，于是IC芯片32和设备D就被识别为需要执行对IC卡C的相互验证的设备。在这种情况下，IC卡C执行对IC芯片32的相互验证过程和与设备D的相互验证过程。
此外，IC卡C和每个设备的相互验证过程含有一个使每个功能块或每个设备验证IC卡C的过程和一个使IC卡C验证每个功能块或每个设备的过程。例如，IC卡和每个功能块或每个设备的相互验证过程的流程可以用与如图6所示的IC卡和移动电话机11的主体的相互验证过程的流程相同的方式实现。例如，IC卡和每个设备的相互验证过程可以用一个确定IC卡的密钥信息和编码算法是否与每个设备的密钥信息和编码算法一致的过程实现。
如果确定IC卡C和设备的相互验证过程的执行次数n(相互验证过程失败的次数n)不等于或大于预置的限制数N(步骤S49的判定结果为NGn＜N)，IC卡C再试步骤S48的与设备的相互验证过程。
此外，如果在以上的确定过程中确定次数n(相互验证过程失败次数n)成为等于或大于预置的数N(步骤S49的判定结果为NGn≥N)，IC卡就假设与设备的相互验证完全失败，于是执行一个出错过程(步骤S50)。例如，在出错过程中，执行一个形成指出相互验证过程失败的功能或设备的出错信息的过程。出错信息可以作为一个出错消息在移动电话机11的主体的显示部(未示出)上显示，或者存储在一个存储器(未示出)内。
如果与作为移动电话机11的主体的部件使用的设备的相互验证失败，可以将IC卡C设置成IC卡C不能工作的状态，或者将IC卡C设置成仍可工作而将在相互验证中失败的设备设置成无法使用的状态。
此外，在相互验证过程执行的对设备的相互验证成功通过(步骤S49的判定结果为OK)时，IC卡C形成指出用验证应用执行的对设备的相互验证成功通过的结果的数据(步骤S51)。指出相互验证结果的数据根据相互验证过程的结果和设备的设备信息形成。指出与设备的相互验证结果的数据保存在IC卡C内，作为要发送给通信公司系统20的数据54。
例如，在IC卡C和IC芯片32的相互验证成功通过时，IC卡C形成含有IC芯片32的设备信息的数据，作为指出与IC芯片32的相互验证结果的数据。在这种情况下，指出与IC芯片32的相互验证结果的数据含有例如IC卡C和IC芯片32执行相互验证过程所用的时间、IC芯片32的设备信息(例如，设备的规格、制造商和型号)等。
在IC卡C和设备D的相互验证成功通过时，IC卡C形成含有设备D的设备信息的数据，作为指出与设备D的相互验证结果的数据。在这种情况下，指出与设备D的相互验证结果的数据含有例如IC卡C和设备D执行相互验证过程所用的时间、设备D的设备信息(例如，设备的规格、制造商和型号)等。
在图7所示的操作实例中，在步骤S45形成的指出与移动电话机11的主体的相互验证结果的数据保存在IC卡C内，作为要发送给通信公司系统20的数据54。因此，在步骤S51形成的指出与每个设备的相互验证结果的每个数据与指出与移动电话机11的主体的相互验证结果的数据一起保存在IC卡C内，作为要发送给通信公司系统20的数据54。也就是说，在要发送给通信公司系统20的数据54内，除了与已成功通过与IC卡C的相互验证的移动电话机的主体关联的信息之外还含有与每个成功通过与IC卡C的相互验证的设备关联的信息。
为所有的需要执行对IC卡C的相互验证的设备执行步骤S47至S51的过程。因此，在步骤S47至S51的过程结束时，与成功通过与IC卡C的相互验证的每个设备和移动电话机11的主体关联的信息就包含在数据54内。
在完成IC卡C和所有设备的相互验证过程(步骤S47的确定结果为“否”)时，IC卡C通过移动电话机11的主体执行通信公司系统20的网络验证过程(步骤S52)。如同步骤S16的过程，网络验证过程是一个使通信公司系统20可以验证插入移动电话机11的主体的IC卡C的过程。
如果网络验证过程对IC卡C和验证服务器24的验证成功通过(步骤S53的确定结果为OK)，IC卡C就将数据54发送给通信公司系统20的验证服务器24(步骤S55)。
因此，在通信公司系统20内，可以获得与已成功通过与IC卡C的相互验证的移动电话机的主体、功能块和设备关联的信息。也就是说，在通信公司系统20内，可以获得与装有IC卡C的终端设备的主体、终端设备的功能块和接到终端设备上的外部设备关联的信息。
如果在步骤S52的网络验证过程失败而且网络验证过程执行次数n小于预置的重试数N(步骤S53的判定结果为NGn＜N)，IC卡C就再试步骤S52的网络验证过程。此外，如果网络验证过程执行次数n成为等于或大于预置的重试数N(步骤S53的判定结果为NGn≥N)，IC卡C就执行一个网络验证出错过程(步骤S54)。在网络验证出错过程中，例如形成指出网络验证失败的出错信息。例如，可以将出错信息作为一个出错消息在移动电话机11的主体的显示部(未示出)上显示，或存储在一个存储器(未示出)内。
在通信公司系统20内，可以从已经在步骤S41至S55的过程中执行了网络验证的IC卡获得与IC卡所装的终端设备的主体(移动电话机的主体)关联的信息、与安装在终端设备(移动电话机)内的每个功能块(所含模块)关联的信息和与接到终端设备(移动电话机)上的每个外部设备关联的信息。
下面，作为第二种操作实例，说明移动电话机11的主体的系统配置在移动电话机11的主体和IC卡正在工作时被修改时执行的操作。
图8为作为第二种操作实例例示移动电话机11的主体的系统配置在移动电话机11的主体和IC卡正被操作时被修改时执行的操作的流程图。图8中所示的步骤S63至S65的过程与图7中所示的步骤S48至S51的过程相同。
在一个诸如移动电话机11之类的终端设备内，有时可以在终端设备正在工作期间修改它的系统配置。例如，在图2所示的配置例子中，有时可以在移动电话机11的主体的电源接通后(即在工作期间)再将设备D接到接口部34上(插入接口部34)。接到接口部34上的设备D由移动电话机11的主体根据设备管理功能识别。
在这样一个情况下，在第二种操作实例中，如果设备D需要执行对IC卡C的相互验证过程，IC卡C就执行对设备D的相互验证过程，将指出与设备D的相互验证结果的数据发送给通信公司系统20。也就是说，在第二种操作实例中，在给正在工作的终端设备添加一个设备时，IC卡C就执行对这个设备的相互验证，将含有与这个设备关联的信息的数据发送给通信公司系统20。
下面，说明假设设备D插入正在工作的移动电话机11的主体的情况。也就是说，在设备D接到移动电话机11上(插入移动电话机11)时，移动电话机11的控制器35根据设备管理功能确定设备D已接上。移动电话机11控制器35将指出设备D接上的信息提供给装在移动电话机11上IC卡C。
在接收到以上信息后，IC卡C的控制单元61知道设备D接到移动电话机11的主体上(步骤S61)。在知道设备D接到移动电话机11的主体上(步骤S61的确定结果为“是”)后，IC卡C确定设备D是否为一个需要执行对IC卡C的相互验证的设备(步骤S62)。
在识别设备D接上时，移动电话机11的控制器35可以确定设备D是否需要执行对IC卡C的相互验证。也就是说，在确定所得知的设备D是一个需要执行对IC卡C的相互验证的设备时，移动电话机11的控制器35可以将设备D接上的情况通知IC卡C。
在确定接到移动电话机11上的设备D需要执行相互验证(步骤S62的确定结果为“是”)时，IC卡C的控制单元61用与步骤S48至S51的过程相同的过程执行对设备D的相互验证(步骤S63至S66)。
如果和设备D的相互验证成功通过(步骤S64的确定结果为“是”)，IC卡C就形成含有设备D的设备信息55的数据54，作为指出与设备D的相互验证结果的数据(步骤S66)。在这种情况下，在指出与设备D的相互验证结果的数据54内含有例如IC卡C和设备D执行相互验证过程所用的时间、设备D的设备信息(例如，设备的规格、制造商和型号)等。
在形成指出与设备D的相互验证结果的数据54后，IC卡C通过移动电话机11的主体将数据54发送给通信公司系统20的验证服务器24(步骤S67)。
因此，与在IC卡C工作期间添加给移动电话机11的设备D关联的信息在设备D接到移动电话机11上时就可发送给通信公司系统20的验证服务器24。结果，在通信公司系统20的验证服务器24内，就将与在IC卡C工作期间添加给移动电话机11的设备D关联的信息添加给在IC卡C启动时获得的信息(与在启动时受到相互验证的每个设备和移动电话机11的主体关联的信息)，从而得到注册。
在移动电话机11和IC卡C工作期间修改移动电话机11的系统配置(添加一个设备)时，IC卡C通过执行步骤S61至S67的过程可以安全地执行对添加给移动电话机11的设备的相互验证，向通信公司系统20提供与所添加的设备关联的信息。
如上所述，按照第二种操作实例，IC卡C执行对不仅需要执行对终端设备的相互验证而且需要执行对IC卡C的相互验证的每个设备(包含在终端设备内的模块和接到终端设备上的外部设备)的相互验证。然后，由通信公司系统根据以上相互验证过程的结果和IC卡的验证信息执行对IC卡C的网络验证。
因此，通信公司系统20不必逐个验证终端设备的主体和添加给终端设备的每个设备(包含在终端设备内的模块和接到终端设备上的外部设备)。结果，为了使通信公司系统20在保持终端设备的主体和每个设备的安全的同时逐个验证终端设备的主体和每个设备，不必增大通信业务量也不必用长的处理时间执行对终端设备的主体和每个设备的验证过程。
此外，按照第二种操作实例，在通信公司系统20内，不仅可以容易获得与装有IC卡C的终端设备的主体关联的信息，而且还可以容易获得与已成功通过与IC卡C的相互验证的每个设备(包含在终端设备内的模块和接到终端设备上的外部设备)关联的信息。
也就是说，按照第二操作实例，通信公司系统20内，不必逐个从相应设备获得与移动电话机的主体和装在移动电话机上的每个设备关联的信息。因此，为了使通信公司系统20从移动电话机的主体或每个设备逐个获得信息，不必增大通信业务量，也不必用长的处理时间执行对终端设备的主体或每个设备的验证过程。结果，本通信系统可以在保持高度安全的同时实现高效的数据通信。
此外，在通信公司系统内，可以根据从IC卡获得的与装有IC卡的移动电话机关联的信息和与装在移动电话机上的设备关联的信息获得用户(IC卡C的持有人)运用通信系统的情况(根据与装有IC卡的终端设备和设备关联的信息确定的运用情况)。例如，在通信公司为一个用户提供各种服务时，在通信公司系统内利用来自IC卡的信息可以很容易获得有关用户运用服务的信息。
此外，即使具有IC卡的用户使用各种终端设备，在通信公司系统内也可以适当地获得与用户所用的终端设备关联的信息和与装在这终端设备上的设备关联的信息。也就是说，具有得到通信公司系统验证的IC卡的用户可以通过使用各种终端设备来利用通信公司系统。此外，即使具有IC卡的用户使用各种终端设备，也能为通信公司系统内的用户提供细致和精确的服务。
如上所述，移动电话机11是终端设备的一个例子，而第二种操作实例可以应用于具有通信功能的终端设备，诸如个人计算机、PDA或电子游戏机之类。
熟悉该技术的人员很容易想到其他一些优点和变型。因此，本发明就它的较广意义来说并不局限于在这里所示出和说明的这些具体情况和典型实施例。因此，可以有各种并不背离如由所附权利要求书及其等效表示所给出的本发明的精神实质或专利保护范围的变型。
权利要求
1.一种装在一个具有与一个外部系统通信的功能的终端设备上的电子装置，其特征是所述电子装置包括一个存储验证信息的存储器；一个根据存储在存储器内的验证信息执行对终端设备的相互验证的设备验证部；以及一个利用外部系统根据存储在存储器内的验证信息和由设备验证部执行的对终端设备的相互验证的结果来验证电子装置的外部系统验证部。
2.按照权利要求1所述的电子装置，其特征是所述电子装置还包括一个发送部，所述发送部在所述电子装置由外部系统验证部关于外部系统验证时，将与设备验证部相互验证的终端设备关联的信息发送给外部系统。
3.按照权利要求1所述的电子装置，其特征是所述电子装置还包括一个用密钥信息执行编码过程和解码过程之一的编码模块，其中所述存储器存有编码模块用来执行编码过程和解码过程之一的密钥信息，而所述设备验证部根据通过编码模块用存储在存储器内的密钥信息解码的数据和编码的数据之一执行对终端设备的相互验证。
4.按照权利要求1所述的电子装置，其特征是所述电子装置还包括一个执行对终端设备具有的一个模块的相互验证的模块验证部，其中所述外部系统验证部用外部系统根据设备验证部执行的对终端设备的相互验证的结果、由模块验证部执行的对模块的相互验证的结果和存储在存储器内的验证信息来验证所述电子装置。
5.按照权利要求4所述的电子装置，其特征是所述电子装置还包括一个发送部，所述发送部在所述电子装置由外部系统验证部关于外部系统验证时，将与由设备验证部相互验证的终端设备关联的信息和与由模块验证部相互验证的模块关联的信息发送给外部系统。
6.按照权利要求4所述的电子装置，其特征是所述电子装置还包括一个搜索部，所述搜索部在由设备验证部执行的对终端设备相互验证成功通过时，在终端设备的各个模块中搜索一个要对电子装置相互验证的模块，其中所述模块验证部执行对搜索部所搜索到的模块的相互验证。
7.按照权利要求1所述的电子装置，其特征是所述电子装置还包括一个执行对一个接到终端设备上的外部设备的相互验证的外部设备验证部，其中所述外部系统验证部用外部系统根据由设备验证部执行的对终端设备的相互验证的结果、由外部设备验证部执行的对接到终端设备上的外部设备的相互验证的结果和存储在存储器内的验证信息来验证所述电子装置。
8.按照权利要求7所述的电子装置，其特征是所述电子装置还包括一个发送部，所述发送部在所述电子装置由外部系统验证部关于外部系统验证时，将与由设备验证部相互验证的终端设备关联的信息和与由外部设备验证部相互验证的外部设备关联的信息发送给外部系统。
9.按照权利要求7所述的电子装置，其特征是所述电子装置还包括一个搜索部，所述搜索部在由设备验证部执行的对终端设备的相互验证成功通过时，在接到终端设备上的各个外部设备中搜索一个要对电子装置相互验证的外部设备，其中所述外部设备验证部执行对搜索部所搜索到的外部设备的相互验证。
10.按照权利要求7所述的电子装置，其特征是所述电子装置还包括一个在外部系统验证部执行关于外部系统的验证后一个需要执行对所述电子装置的相互验证的外部设备接到终端设备上时执行对这个外部设备的相互验证的第二外部设备验证部，以及一个将与由第二外部设备验证部执行的相互验证成功通过的外部设备关联的信息发送给外部系统的发送部。
11.一种具有与外部系统通信的功能的终端设备，其特征是所述终端设备包括一个安装一个电子装置的接口；一个存储验证信息的存储部；一个根据存储在存储器内的验证信息执行对装在接口上的电子装置的相互验证的过程的控制部；以及一个通信控制部，用来控制与电子装置和外部系统的数据通信，以便由外部系统根据电子装置和终端设备的相互验证的结果和电子装置的验证信息执行一个对电子装置的验证过程。
12.按照权利要求11所述的终端设备，其特征是所述终端设备还包括一个具有对电子装置相互验证功能的模块，其中所述通信控制部执行对电子装置和外部系统的数据通信，以便由外部系统根据电子装置和终端设备的相互验证的结果、电子装置和模块的相互验证的结果和电子装置的验证信息执行一个对电子装置的验证过程。
13.按照权利要求11所述的终端设备，其特征是所述终端设备还包括一个连接一个具有对电子装置相互验证功能的外部设备的外部接口，其中所述通信控制部执行对电子装置和外部系统的数据通信，以便由外部系统根据电子装置和终端设备的相互验证的结果、电子装置和接到外部接口上的外部设备的相互验证的结果和电子装置的验证信息执行一个对电子装置的验证过程。
14.按照权利要求13所述的终端设备，其特征是所述控制部对接到外部接口上的外部设备进行识别，而所述通信控制部在控制部识别出接到外部接口上的外部设备时将电子装置和外部设备的相互验证的结果从电子装置发送给外部系统。
15.一种通信系统，其特征是所述通信系统包括一个具有与外部系统通信的功能的终端设备；以及一个装在终端设备上的电子装置，其中，所述终端设备包括一个安装电子装置的接口，一个存储验证信息的第一存储器，一个根据存储在存储器内的验证信息执行对装在终端设备上的电子装置的相互验证的过程的控制部，以及一个响应电子装置的请求与外部系统进行数据通信的通信控制部；以及所述电子装置包括一个存储验证信息的第二存储器，一个根据存储在第二存储器内的验证信息执行对终端设备的相互验证的设备验证部，以及一个按照终端设备执行的对外部系统的数据通信，利用外部系统根据由设备验证部执行的对终端设备的相互验证的结果和存储在第二存储器内的验证信息来验证电子装置的外部系统验证部。
16.按照权利要求15所述的通信系统，其特征是所述终端设备还包括一个具有对电子装置相互验证功能的模块，所述电子装置还包括一个执行对该模块相互验证的模块验证部，而所述电子装置的外部系统验证部按照终端设备执行的对外部系统的数据通信，利用外部系统根据由设备验证部执行的对终端设备的相互验证的结果、由模块验证部执行的对模块的相互验证的结果和存储在第二存储器内的验证信息来验证电子装置。
17.按照权利要求15所述的通信系统，其特征是所述终端设备还包括一个连接一个具有对电子装置相互验证功能的外部设备的外部接口，所述电子装置还包括一个执行对接到终端设备的外部接口上的外部设备相互验证的外部设备验证部，而所述电子装置的外部系统验证部按照终端设备执行的对外部系统的数据通信，利用外部系统根据由设备验证部执行的相互验证的结果、由外部设备验证部执行的对外部设备相互验证的结果和存储在第二存储器内的验证信息来验证电子装置。
18.按照权利要求17所述的通信系统，其特征是所述终端设备的控制部对接到外部接口上的外部设备进行识别，而所述电子装置还包括一个在外部系统验证部执行了外部系统的验证后在接到外部接口上的外部设备被终端设备的控制部识别时执行对外部设备相互验证的第二外部设备验证部，以及一个按照终端设备执行的对外部系统的数据通信发送与由第二外部设备验证部执行的相互验证成功通过的外部设备关联的信息的发送部。
全文摘要
装在终端设备(11，12，13，14)上的用作电子装置(C)的IC卡(C)执行对终端设备的主体的相互验证过程。在IC卡(C)和终端设备(11，12，13，14)主体的相互验证成功通过时，IC卡(C)形成含有与终端设备(11，12，13，14)的主体关联的信息和指出与终端设备(11，12，13，14)的主体相互验证的结果的信息的数据(54)发送给外部系统(20)。含有与终端设备(11，12，13，14)的主体关联的信息和指出与终端设备(11，12，13，14)的主体相互验证的结果的信息的数据(54)在外部系统(20)验证了IC卡(C)时从IC卡(C)经终端设备(11，12，13，14)的主体传送给外部系统(20)。
文档编号G07F7/10GK1805340SQ20061000633
公开日2006年7月19日 申请日期2006年1月13日 优先权日2005年1月13日
发明者石桥孝信 申请人:株式会社东芝