存储介质访问控制方法

专利名称：存储介质访问控制方法
技术领域：
本发明涉及能够装卸的存储介质的访问(access)控制方法。
背景技术：
近年来，在个人计算机、PDA、便携电话和数字照相机等中，作为用于存储数字数据的存储设备，使用了固定盘和可装卸的存储介质，例如SD(Secure Digital)存储卡等。另外，也广泛利用了光磁盘等。
这些存储介质例如安装到数字照相机中，存储摄影图像数据。存储了图像数据的SD存储卡例如能够与个人计算机的读卡器(cardreader)连接，能够在个人计算机中阅览图像数据。因此，重要的是这些存储介质能够同样地在安装有连接接口的所有设备中进行读写，即设备互换性。
在这样的设备互换性的背景下被广泛利用的存储介质有以下问题。即，在为了发布多媒体内容和固件(firmware)升级数据等有商品价值的数据而利用存储介质的情况下，有容易进行不正当复制的问题。
为了对应该问题，现在常用的是例如作为个人计算机中的OS(操作系统)的Windows2000 Professional(美国微软公司的商标)等的方法。就是用户购买权限(license)，如果没有取得序列号(serialnumber)，则无法利用存储介质内的数据的方法。但是，在该方法中，由于如果权限是一个，则可以在不特定多个设备中使用，所以使得容易不正当地利用对一个设备必须有一个权限的软件等。
另外，例如在SD存储卡等具有能够进行访问限制的数据区域的存储介质中，还适用其他方法。即，对能够进行访问限制的区域设置数据的可读出次数，每次利用数据时都减少可读出次数，如果成为0则无法进行数据的读出的方法。但是，在该方法中，要对应该许可访问的设备也限制读出次数，无法适用于多少次都能够利用的数据。进而，由于到读出次数成为0为止，在任意的设备中都能够读出，所以成为在不特定多个信息设备中能够利用。
除了这些方法以外，例如作为在特开平09-115241号公报中介绍的方法，有根据存储介质固有的信息对数据进行加密存储的方法。但是，在该方法中，由于能够取得数据加密所需要的存储介质固有的信息，所以如果知道了解密方法，则谁都能够利用数据，并不能适用于有商品价值的数据的发布。
另外，还有对数据进行加密存储并限制能够解密的设备的方法(例如参考特开平10-293725号公报、特开2000-048479号公报、特开2001-076425号公报、特开2002-084271号公报)。
例如，在特开平10-293725号公报所记载的方法中，进一步用秘密密钥对在加密中利用了的密钥进行加密，并与数据一起进行存储。用从外部无法取得的方法将秘密密钥存储在存储介质中。由此，只能在具有取得秘密密钥的装置的被称为解密单元的特殊装置中取得数据。但是，在该方法中，由于只能在被称为解密单元的特殊装置中取得数据，所以会损失设备互换性。
特开2000-048479号公报所揭示的方法是以下这样的数据保护方法，即通过用记录装置固有的ID对数据进行加密存储，使得只能在同一记录装置中重放数据。但是，在该方法中，由于只能在同一记录装置中重放数据，所以为了适用于以固件升级数据等的发布为目的开发出的数据，必须与数字数据一起也发布记录装置。这样，就损失了设备互换性，增加了成本。
在特开2001-076425号公报所记载的方法中，首先，用内容密钥对数据进行加密，如果将该内容密钥和加密了的数据传送到存储装置，则用该数据存储装置固有的保存密钥对内容密钥进行加密，并与数据一起保存。由此，只能在数据存储装置中重放数据。但是，在该方法中，与在特开2000-048479号公报中介绍的方法一样，必须与数字数据一起发布数据存储装置，损失了设备互换性，增加了成本。
在特开2002-084271号公报所记载的方法中，对数据进行加密使得只能通过秘密信息和介质密钥的组合进行解密，同时将数据和秘密信息存储在记录介质中。由此，是只能在具有介质密钥的设备中重放数据的所谓数据保护方法。但是，在该方法中，如果是具有介质密钥的信息设备，则在任意的设备中都能够无限制地利用数据，因此能够在不特定多个信息设备中进行不正当利用。
进而，还有采用权限方式，将解密密钥存储在只能由取得了权限的设备进行访问的区域中的方法，例如，在特开2001-057019号公报所记载的方法中，用公开密钥加密方式对数据进行加密，将秘密密钥存储在通常不能访问的区域中。然后，通过取得权限而取得秘密密钥，根据该秘密密钥能够解密数据。但是，在该方法中，由于利用了权限方式，所以如果有一个权限，则能够在不特定多个设备中进行利用，容易进行不正当利用。
在特开2003-099729号公报中，针对SD存储卡，记载了认证功能、能够与认证对应地控制访问的2种存储区域。
在设备互换性高的记录介质中，希望不损失设备互换性，将有商品价值的数字数据存储到该记录介质中进行发布，并能够只在一个信息设备中利用存储在一个记录介质中的数字数据。但是，如以上说明的那样，不存在这样的能够适当地保护有商品价值的数字数据的方法。

发明内容
本发明就是用于解决上述问题点的技术，其目的在于提供一种使得只能够在单一的设备中利用可自由装卸的存储介质的存储介质访问控制方法。
为了达到该目的，根据本发明的一个方面，本发明的方法控制来自存储介质的数字数据的读出，该存储介质存储了加密了的数字数据和用于对上述数字数据的加密进行解密的解密密钥，该方法包含读出解密密钥的解密密钥读出步骤；在解密密钥读出步骤后，从存储介质中删除解密密钥的解密密钥删除步骤；读出加密了的数字数据的数字数据读出步骤；根据在解密密钥读出步骤中读出的解密密钥，对加密了的数字数据的加密进行解密的数字数据解密步骤。
根据以下的附图和基于附图的详细说明，能够了解本发明的上述目的。


图1是本发明的一个实施例的概要结构框图。
图2是表示存储在快闪(flash)ROM213、SD存储卡的保护区域和用户数据区域中的数据例子的图。
图3是表示存储在快闪ROM213、SD存储卡的保护区域和用户数据区域中的数据例子的图。
图4是表示存储在快闪ROM213、SD存储卡的保护区域和用户数据区域中的数据例子的图。
图5是表示存储在快闪ROM213、SD存储卡的保护区域和用户数据区域中的数据例子的图。
图6是表示存储在快闪ROM213、SD存储卡的保护区域和用户数据区域中的数据例子的图。
图7是固件升级处理步骤的流程图。
图8是表示未使用的SD存储卡的保护区域和用户数据区域的存储数据的图。
图9是表示初次访问步骤的流程图。
图10是第二次以后的访问步骤的流程图。
图11是表示初次访问步骤的另一个动作例子的流程图。
图12是第二次以后的访问步骤的另一个动作例子的流程图。
图13是表示与图11和图12对应的快闪ROM213和SD存储卡的数据配置例子的图。
图14是表示与图11和图12对应的快闪ROM213和SD存储卡的数据配置例子的图。
图15是表示与图11和图12对应的快闪ROM213和SD存储卡的数据配置例子的图。
具体实施例方式
以下，参照附图，详细说明本发明的实施例。
实施例1图1是本发明的实施例1的照相机系统的概要结构框图。本实施例的照相机系统由电子照相机、作为能够在其上装卸的外部存储介质而经由卡接口216与电子照相机连接的SD存储卡217。
201的镜头，202是通过镜头201将光作为电信号输出的CCD单元。203是A/D转换器，将来自CCD单元202的模拟信号转换为数字信号。204是SSG单元，向CCD单元202和A/D转换器203供给同步信号。205是CPU，实现本照相机系统中的各种控制。
206是信号处理加速器，高速地实现信号处理。207是电池，208是将来自电池207的电力供给到电子照相机全体的DC/DC转换器。209是电源控制单元，控制DC/DC转换器208。210是进行面板操作、显示装置、电源的控制的副CPU、211是向用户显示各种信息的装置，使用液晶板等。212是控制面板，包含用户直接操作的点动开关(release switch)和菜单按键。
213是快闪(flash)ROM，存储电子照相机固有的设备固有密钥、在电子照相机的机种中是共通的设备密钥、固件程序。将在后面详细说明设备固有密钥和设备密钥。快闪ROM213进而由于与电源供给无关地存储数据不会消失，所以作为固件升级处理中的数据暂时保存区域和处理状况保存区域被利用。将在后面详细说明其动作。214是DRAM，是该电子照相机的主存储。216是SD卡等的卡接口部件，217是作为外部存储介质的SD存储卡。另外，218是DMA控制器，219是频闪观测器(strobo)。
220是编码器，用于根据所设置的加密密钥对快闪ROM213内的指定数据进行加密，并写回到快闪ROM213中。221是解码器，与编码器220相反，用于根据所设置的解密密钥对快闪ROM213内的指定数据进行解密，并写回到快闪ROM213中。
接着，参照图7，说明电子照相机的通常的固件升级动作。该升级动作的前提是存储有升级用固件数据的SD存储卡217被安装在卡接口部件216中。首先，用户一边看着液晶面板211一边操作控制面板212，选择固件升级的开始菜单(步骤301)。CPU205检测到它，开始升级动作。在没有特别明确说明的情况下，以下的处理全部在CPU205的控制下执行。
进而，如果从菜单中选择了固件升级，则CPU205在步骤302中在快闪ROM213中设置固件升级处理中标志。固件升级处理中标志是表示正在执行固件升级处理的标志。由于该标志被存储在非易失性ROM的快闪ROM213中，所以即使在正在执行固件升级的过程中停止电力供给，也不会被清除。在正在执行固件升级的过程中停止了电力供给的情况下，在下一次接通电源时(步骤303)，在步骤304中，检查固件升级处理中标志是否被设置。然后，在设置了的情况下，重新开始固件升级处理。在没有设置的情况下，进行通常启动。
在步骤302中设置了固件升级处理中标志后，或者在步骤304中设置了固件升级处理中标志的情况下，在步骤305中从快闪ROM213中读出固件升级用程序，并展开到DRAM214中。固件升级用程序是能够对快闪ROM213进行写入，并能够通过卡接口部件216读出SD存储卡217内的数据的程序。
CPU205通过执行该固件升级用程序，来执行以下的步骤。即，首先，CPU205在步骤S306中检查在快闪ROM213中是否存在固件升级数据。该步骤306是在执行固件升级处理过程中停止电力供给，从步骤303经过步骤304进行了启动的情况下进行的处理。在步骤306中判断出不存在固件升级数据的情况下，在步骤307中从SD存储卡217中读出固件升级数据。
接着，在步骤308中，将启动后执行的程序的地址(跳转目的地地址)，从现在的固件开头地址变更为在步骤307中读出的新的固件开头地址。
最后，在步骤309中从快闪ROM213中删除所存在的固件数据，在步骤310中对快闪ROM213的固件升级处理中标志进行复位。进而，在步骤311中切断电子照相机的电源，结束升级动作。
在升级结束后，如果接通电源，则跳转到新改写了的固件的开头地址并启动。即使在升级动作中意外地停止了电力供给的情况下，可以根据固件升级处理中标志，从处理的中途重新开始。因此，即使在中途停止了电力供给的情况下，升级动作也不会失败，能够重新开始固件升级处理并完成。
说明在本实施例中使用的SD存储卡217的结构和功能。SD存储卡217具有在特开2003-099729号公报的第0032～0042段落中所记载的结构和保密功能。即，SD存储卡217由存储器部分、控制对存储器部件的写入和读出的存储控制器构成，存储器部分由屏蔽ROM和EEPROM构成。在屏蔽ROM的内部设置有系统区域和隐藏区域，在EEPROM22的内部设置有保护区域和用户数据区域。在系统区域中存储有介质密钥模块(Media Key BlockMKB)和介质ID，它们不能被改写。SD存储卡与其他设备连接，由其他设备读出MKB和介质ID。这时，如果读出它们的其他设备使用MKB和介质ID、设置在自身的应用程序中的设备密钥Kd正确地进行规定的运算，则能够具有正确的加密密钥Kmu。
在隐藏区域中存储有作为正确值的加密密钥Kmu，即在其他设备使用正常的设备密钥Kd进行了正常的运算的情况下所应该得到的加密密钥Kmu。在保护区域中存储有使用条件信息。
用户数据区域不论是否认证了设备的正当性，都能够从安装有SD存储卡的设备进行访问。在用户数据区域中存储加密内容。
对保护区域的写入的协议和对用户数据区域的写入协议有很大不同。依照来自安装有SD存储卡的装置的写入指令，执行对用户数据区域的数据写入。与此相对，对于对保护区域的写入，在发出写入指令前，必须预先基于保密协议取得认证。具体地说，从系统区域读出MKB，通过设置在应用程序中的设备密钥Kd和MKB的运算，生成56比特的加密密钥Km。从系统区域读出介质ID(MID)，将使用该MID和Km进行规定的运算而得到的64比特的运算结果内的低位56比特作为加密密钥Kmu。通过认证和密钥交换(Authenticationand Key ExchangeAKE)处理相互进行认证，使用加密密钥Kmu而共有会话密钥(session key)Ks。使用该会话密钥Ks对数据进行加密，并写入到保护区域中。
另外，存储在快闪ROM213中的设备密钥是能够访问SD存储卡的设备各自固有的密钥信息。在与建议了SD存储卡中的著作权保护技术等的标准化的团体、开发了应用程序的软件设计商签订了正式的合同的条件下，由该团体交付该设备密钥。该合同包含不许开发依照用户的操作自由地改写保护区域那样的应用程序的禁止条例。因此，即使希望将数据写入到保护区域中，并从用户发出指令，进行数字著作物的权限管理和收费管理以及个人信息的管理的程序也不能自由地将数据写入到保护区域中。存储在快闪ROM213中的固件程序被作成为不能依照用户的操作自由地改写保护区域。
在本实施例中，将SD存储卡217作为用于发布电子照相机的固件升级数据的存储介质使用。图8表示在未使用状态下存储在SD存储卡217的用户数据区域中的固件升级数据、存储在保护区域中的解密密钥的模式图。在图8中，101是加密了的固件升级数据，用“InitialNewFirm.bin”这样的文件名存储在用户数据区域中。102是解密密钥，用“InitialKey.dat”这样的文件名存储在保护区域中。固件升级数据101可以用解密密钥102进行解密。
如前面说明的那样，写入到保护区域中的数据能够指定是否在多个应用程序中共有。在本实施例中，将解密密钥102作为不在多个应用程序中共有的数据而写入。因此，能够保证如果不是保存有上述设备密钥并且通过上述应用程序而动作的电子照相机，则无法访问解密密钥102。这时，电子照相机不是表示具有特定制造编号的电子照相机，而是指具备上述设备密钥并通过上述应用程序进行动作的所有电子照相机。以下，在没有特别明确指出的情况下，“电子照相机”是指能够对加密密钥102进行访问的所有电子照相机。
说明本实施例的初次访问步骤。初次访问步骤是指到安装有SD存储卡的电子照相机在检测出用户选择了固件升级的开始菜单时，在SD存储卡处于未使用状态的情况下，对解密密钥102和固件升级数据101进行访问的步骤。图2～图6表示存储在快闪ROM213和SD存储卡的保护区域和用户数据区域中的数据例子，转移到图2、图3、图4、图5和图6。
图9表示初次访问步骤的流程图。初次访问步骤是SD存储卡对所有来自电子照相机的访问进行应答那样的电子照相机主导的动作。另外，在读出固件升级数据时(图7中的步骤307)，由应用程序自动地进行初次访问步骤，用户在初次访问步骤的中途，无法指定其他的动作。进而，与固件升级动作一样，由于能够与处理中途的电力供给停止对应，所以将不会消失的数据存储在快闪ROM213中。在以下的流程图的说明中，在意外的电力供给停止后的再启动时利用被表示为存储在快闪ROM213中的数据，在电源开/关时不会自动消失。
在图9中，在步骤601中，电子照相机对SD存储卡217执行AKE(权限和密钥交换)处理。在步骤602中，判断AKE处理是否成功，在失败了的情况下，结束初次访问步骤。进而，由于固件升级数据的读出失败了，所以固件升级处理自身也失败，并结束。
在步骤602中AKE处理成功了的情况下，在步骤603中访问保护区域，确认是否存在解密密钥102(文件“InitialKey.dat”)。如果不存在，则判断为SD存储卡217不是未使用状态，结束初次访问步骤。在存在的情况下，在步骤604中读出解密密钥102(文件“InitialKey.dat”)并存储到快闪ROM213中。在步骤605中，从SD存储卡217的保护区域删除解密密钥102(文件“InitialKey.dat”)。
接着，在步骤606中，访问用户数据区域，读出固件升级数据101(文件“InitialNewfirm.bin”)并存储到快闪ROM213中。在步骤607中，与解密密钥102一样，从SD存储卡217的用户数据区域删除固件升级数据101。图3表示该时刻的存储在电子照相机的快闪ROM213、以及SD存储卡的保护区域和用户数据区域中的数据。由于解密密钥102和固件升级数据101都已经被删除，所以该时刻在保护区域和用户数据区域中没有存储任何数据。
然后，在步骤608中对解码器221设置解密密钥102，对固件升级数据101进行解密。在该时刻，不需要解密密钥102，因此在步骤609中，从电子照相机的快闪ROM213中删除解密密钥102。
在步骤610中，编码器220使用设备固有密钥再次对解密了的固件升级数据101进行加密。设备固有密钥与前面的设备密钥不同，由各个电子照相机所固有的值构成。因此，用设备固有密钥加密了的固件升级数据101只能在进行了加密的电子照相机中解密，无法在同机种的其他电子照相机中进行解密。加密了的固件升级数据101被写回到快闪ROM213中。图4表示该时刻的存储在电子照相机的快闪ROM213和SD存储卡217的保护区域和用户数据区域中的数据。在图4中，107是用解密密钥102对固件升级数据101进行了解密后的数据，108是进而用设备固有密钥对其进行了加密后的数据。
如果步骤610的加密结束，则在步骤611中，用“EncodedNewFirm.bin”这样的文件名，将再加密了的固件升级数据108写入到SD存储卡217的用户数据区域中。在步骤612中，从快闪ROM213中删除加密了的固件升级数据108，结束初次访问步骤。图5表示这时的存储在SD存储卡的保护区域和用户数据区域中的数据。在用户数据区域中，存储有读出了固件升级数据101后的用电子照相机的设备固有密钥加密了的固件升级数据108(文件“EncodedNewFirm.bin”)。然后，使用在步骤608中解密并存储在快闪ROM213中的固件升级数据107，从图7的步骤308开始继续进行固件升级处理。
接着，说明在初次访问步骤中，针对被判断为不是未使用状态，即对存储数据进行了一次访问的SD存储卡，电子照相机试着进行访问的情况下的访问步骤，即第二次以后的访问步骤。第二次以后的访问步骤是在初次访问步骤的图9的步骤603中，判断为不存在解密密钥102的情况下执行的步骤。
图10表示第二次以后的访问步骤的流程图。第二次以后的访问步骤与初次访问步骤一样，在读出固件升级数据101时(图7中的步骤307)由固件程序自动地执行，用户不能在中途指定其他的动作。进而，与固件升级动作一样，由于能够与处理中途的电力供给的停止对应，所以将不会消失的数据存储在快闪ROM213中。在以下的流程图的说明中，在意外的电力供给停止后的再启动时，利用明确说明为存储在快闪ROM213中的数据，在电源开/关时不会自动消失。
在图9的步骤603中确认出在保护区域中不存在解密密钥102的情况下，前进到图10的步骤701。在步骤701中，访问用户数据区域，读出用设备固有密钥加密了的固件升级数据108(文件“EncodedNewFirm.bin”)，并存储到快闪ROM213中。通过初次访问步骤一次访问了固件升级数据108，这时，根据进行了访问的电子照相机的设备固有密钥进行再加密。电子照相机在步骤702中将自身的设备固有密钥设置到解码器221中，进行固件升级数据108的解密，然后，使用解密后的固件升级数据，执行固件升级处理。在安装有SD存储卡的电子照相机不是初次访问的那个电子照相机的情况下，在步骤702的解密处理中，由解码器221产生解码错误，在该时刻，结束第二次以后的访问步骤。由于固件升级数据的读出失败，所以固件升级处理自身也失败，并结束(步骤703)。
实施例2以下，说明本实施例的其他动作形式。与上述动作相比只在初次访问步骤和第二次以后访问步骤上不同。图11表示初次访问步骤的流程图，图12表示第二次以后访问步骤的流程图。图13～图15表示存储在快闪ROM213和SD存储卡的保护区域和用户数据区域中的数据例子，转移到图13、图14和图15。
在图11所示的初次访问步骤中，进行由SD存储卡对来自电子照相机的访问进行应答那样的电子照相机主导的动作。另外，在读出固件升级数据时(图7中的步骤307)，由应用程序自动地执行初次访问步骤，用户不能在中途指定其他的动作。进而，与固件升级动作一样，由于能够与处理中途的电力供给停止对应，所以将不消失的数据存储在快闪ROM213中。在以下的流程图的说明中，在意外的电力供给停止后的再启动时，利用明确说明为存储在快闪ROM213中的数据，在电源开/关时不会自动消失。
在图11中，在步骤801中，电子照相机对SD存储卡执行AKE处理。在步骤802中判断AKE处理是否成功，在失败了的情况下，结束初次访问步骤。由于固件升级数据的读出失败，所以固件升级处理自身也失败，并结束。
在步骤802中AKE处理成功了的情况下，在步骤803中访问保护区域，检查所存储的解密密钥的文件名。在表示SD存储卡未使用状态的存储数据的图8中，由于数据102的文件名是“InitialKey.dat”，所以如果存在“InitialKey.dat”这样的名字的文件，则判断为一次都没有访问过。但是，在不存在“InitialKey.dat”这样的名字的文件，而存在“EncodedKey.dat”这样的名字的文件的情况下，判断为已经访问过。这是因为在执行初次访问的步骤中，在读出“InitialKey.dat”并删除后，存储了“EncodedKey.dat”这样的名字的文件。
在确认了存在文件“EncodedKey.dat”的情况下，判断为已经访问过SD存储卡，结束初次访问步骤。
在步骤803中确认了存在文件“InitialKey.dat”的情况下，判断为一次也没有访问过SD存储卡。所以，在步骤804中，从保护区域读出解密密钥102(文件“InitialKey.dat”)。进而，在步骤805中，从SD存储卡的保护区域中删除所读出的解密密钥102(文件“InitialKey.dat”)。图14表示该时刻的保存在电子照相机的快闪ROM213、SD存储卡的保护区域和用户数据区域中的数据例子。
接着，在步骤806中，对编码器220设置设备固有密钥，对解密密钥102自身进行加密，与解密密钥102不同地，新生成加密了的解密密钥102。在步骤807中，用“EncodedKey.dat”这样的文件名，将加密了的解密密钥102写入到保护区域中。由此，只有保存有该设备固有密钥的电子照相机能够对加密了的解密密钥102进行解密。进而，在步骤808中，从快闪ROM213中删除加密了的解密密钥102。图15表示该时刻的保存在电子照相机的快闪ROM213、SD存储卡的保护区域和用户数据区域中的数据例子。与图13所示的未使用状态不同，在SD存储卡的保护区域中，用“EncodedKey.dat”这样的文件名，存储有对解密密钥102进行了加密而作成的解密密钥109。
然后，在步骤809中，从用户数据区域中读出固件升级数据101(文件“InitialNewFirm.bin”)，在步骤804中，对解码器221设置所读出的解密密钥102，在步骤810中对固件升级数据101进行解密。然后，在步骤811中，从快闪ROM213中删除解密密钥102。从图7中的步骤308开始，使用存储在快闪ROM213中的在步骤810中解密了的固件升级数据101，继续执行固件升级处理。
接着，说明第二次以后的访问步骤。在初次访问步骤的步骤803中，判断出在SD存储卡的保护区域中不存在“InitialKey.dat”这样的名字的文件的情况下，执行第二次以后的访问步骤。图12表示该第二次以后的访问步骤的流程图。
与初次访问步骤一样，在读出固件升级数据时(图7中的步骤307)由固件程序自动地执行第二次以后的访问步骤，用户在中途不能指定其他的动作。进而，与固件升级动作一样，由于能够与处理中途的电力供给停止对应，所以将不会消失的数据存储在快闪ROM213中。在以下的流程图的说明中，在意外的电力供给停止后的再启动时，利用明确说明为存储在快闪ROM213中的数据，在电源开/关时不会自动消失。
在图11的步骤803中，确认了在保护区域中不存在“InitialKey.dat”这样的名字的文件的情况下，前进到图12的步骤901。在步骤901中，访问保护区域，读出加密了的解密密钥109(文件“EncodedKey.dat”)。根据第一次访问过的电子照相机所保存的设备固有密钥，对该解密密钥109进行加密。在步骤902中，对解码器221设置设备固有密钥，并对加密了的解密密钥109进行解密。在步骤904中，访问用户数据区域，读出固件升级数据101并存储到快闪ROM213中。在步骤905中，用解密了的解密密钥102对固件升级数据101进行解密。然后，使用解密了的固件升级数据，执行固件升级处理。
在安装有SD存储卡的电子照相机不是初次访问过的电子照相机的情况下，在步骤903中由解码器221产生解码错误，在该时刻结束第二次以后的访问步骤。由于固件升级数据的读出失败，所以固件升级处理自身也失败，并结束。
如以上说明的那样，在一次也没有访问固件升级数据发布用的SD存储卡的情况下，在能够访问解密密钥102(保存有上述设备密钥)的所有设备中，都能够利用固件升级数据101。另外，在已经访问过SD存储卡的情况下，只有进行了第一次访问的设备能够在第二次以后任意地进行访问，对于其他设备，即使保存有指定的设备密钥，也不能利用固件升级数据。这样，不损失存储介质的设备互换性，就能够防止固件升级数据的不正当利用和不正当复制。
以上，通过理想的实施例说明了本发明，但本发明并不只限于上述实施例，在权利要求所示的范围内可以有各种变更。
当然可以通过将记录了实现上述实施例的功能的软件的代码的存储介质(或记录介质)提供给系统或装置，由该系统或装置的计算机(或CPU、MPU)读出并执行存储在记录介质中的程序代码，来达到本发明的目的。
在该情况下，从记录介质中读出的程序代码自身实现了上述实施例的功能，存储了该程序代码的存储介质构成了本发明。
作为用于提供程序的记录介质，例如可以是软盘、硬盘、光磁盘、CD-ROM、CD-R、磁带、非易失性存储卡、其他的ROM等能够存储上述程序的设备。另外，可以通过从与因特网、商用网络或局域网等连接的未图示的其他计算机或数据库等下载，来提供上述程序。
另外，不只能够通过由计算机执行读出的程序代码来实现上述实施例的功能，当然还包含以下的情况根据该程序代码，由在计算机上运行的操作系统(OS)等执行实际处理的一部分或全部，通过该处理实现上述实施例的功能。
进而，当然还包含以下的情况将从记录介质中读出的程序代码写入到插入计算机的功能扩展卡或与计算机连接的功能扩展单元所具备的存储器中后，根据该程序代码的指示，由该功能扩展卡和功能扩展单元所具备的CPU等执行实际处理的一部分或全部，通过该处理实现上述实施例的功能。
另外，可以通过存储有实现与图7、9和10的流程图或图7、11和12的流程图所示的实施例的代码的存储介质，来实现本发明所提供的存储介质。
权利要求
1.一种方法，它控制从存储了加密了的数字数据和用于解密上述数字数据的加密的解密密钥的能够装卸的存储介质中读出上述数字数据，其特征在于包括读出上述解密密钥的解密密钥读出步骤；在上述解密密钥读出步骤后，从上述存储介质中删除上述解密密钥的解密密钥删除步骤；读出上述加密了的数字数据的数字数据读出步骤；根据在上述解密密钥读出步骤中读出的上述解密密钥，对上述加密了的数字数据的加密进行解密的数字数据解密步骤。
2.根据权利要求1所述的方法，其特征在于还包括在上述数字数据读出步骤后，从上述存储介质中删除上述加密了的数字数据的数字数据删除步骤；根据作为上述信息设备所固有的信息的设备固有密钥，对上述数字数据进行加密的数字数据加密步骤；将在上述数字数据加密步骤中被加密了的数字数据写回到上述存储介质中的数字数据写回步骤。
3.根据权利要求1所述的方法，其特征在于还包括根据作为上述信息设备所固有的信息的设备固有密钥，对在上述解密密钥读出步骤中读出的上述解密密钥进行加密的解密密钥加密步骤；将在上述加密密钥解密步骤中加密了的解密密钥写回到上述存储介质中的解密密钥写回步骤。
4.一种方法，控制从在用户存储区域中存储有加密了的数字数据并且在保密存储区域中存储有用于上述加密了的数字数据的解密的解密密钥的存储介质中读出上述数字数据，其中该存储介质具备认证功能；只在使用上述认证功能的认证成功了的情况下能够访问的上述保密存储区域；与认证无关地能够访问的上述用户存储区域，该方法的特征在于包括基于上述认证功能，对上述存储介质进行认证的认证步骤；在上述认证步骤中认证成功了的情况下，从上述保密存储区域中读出上述解密密钥的解密密钥读出步骤；在上述解密密钥读出步骤后，从上述保密存储区域中删除上述解密密钥的解密密钥删除步骤；从上述用户存储区域中读出上述加密了的数字数据的数字数据读出步骤；根据在上述解密密钥读出步骤中读出的上述解密密钥，对上述加密了的数字数据进行解密的数字数据解密步骤。
5.根据权利要求4所述的方法，其特征在于还包括在上述数字数据读出步骤后，从上述用户存储区域中删除上述加密了的数字数据的数字数据删除步骤；在上述数字数据解密步骤后，根据作为上述信息设备所固有的信息的设备固有密钥，对在上述数字数据解密步骤中解密了的上述数字数据进行加密的数字数据加密步骤；将在上述数字数据加密步骤中加密了的数字数据写回到上述用户存储区域中的数字数据写回步骤。
6.根据权利要求4所述的方法，其特征在于还包括在上述解密密钥读出步骤后，根据作为上述信息设备所固有的信息的设备固有密钥，对上述解密密钥进行加密的解密密钥加密步骤；将在上述加密密钥解密步骤中加密了的解密密钥写回到上述保密存储区域中的解密密钥写回步骤。
7.一种记录介质，使计算机可读取地存储有用于使计算机执行权利要求1～3中的任意一个所记载的控制方法。
8.一种记录介质，使计算机可读取地存储有用于使计算机执行权利要求4～6中的任意一个所记载的控制方法。
全文摘要
本发明提供一种存储介质访问控制方法，它控制从存储有加密了的数字数据和用于解密数字数据的加密的解密密钥的能够装卸的存储介质中读出数字数据。在读出时，在读出解密密钥后，从存储介质中删除解密密钥，读出加密了的数字数据，用读出的解密密钥对加密了的数字数据的加密进行解密。
文档编号H04L9/08GK1767033SQ20051009884
公开日2006年5月3日 申请日期2005年9月9日 优先权日2004年9月10日
发明者大岛浩义, 饭岛克己, 田川阳次郎 申请人:佳能株式会社