一种用于将数据发送到数据存储装置的服务提供设备,所述数据存储装置包括存储部件,所述存储部件具有多个区定义区,所述区定义区的每一个存储用于管理服务定义区的区密钥,和用于存储与该服务对应的数据的服务区,所述服务区由对应的服务定义区管理,所述服务提供设备包括: 用于通过使用与该区定义区和服务定义区对应的至少两个区密钥而产生服务区的存取密钥的部件; 用于通过使用该存取密钥来认证该服务区的部件;和 用于基于该认证结果而存取该服务区的部件。(*该技术在2019年保护过期,可自由使用*)
【技术实现步骤摘要】
本专利技术涉及,并且涉及能够管理IC卡资源以及在多个管理者通过使用一IC(Integrated Circuit,集成电路)卡提供其服务的情况下、用高度的灵活性和安全性执行对IC卡访问控制的。
技术介绍
例如,已经研制出期望用在电子货币系统、安全系统等方面的IC卡(智能卡)。IC卡有用于执行各种处理的CPU(Central Processing Unit,中央处理单元)和用于存储处理所需数据的存储器,并且当IC卡电连接到预定的读出器/写入器(R/W)或在非接触状态下使用电磁波时,执行向IC卡发送数据及接收IC卡的数据。在非接触状态下使用电磁波用R/W执行数据发送/接收的IC卡通常通过电磁波提供必要的动力。例如,在ISO(International Organization for Standardization,国际标准化组织)7816中,定义了接触型IC卡标准。按照此标准,例如基于用于存储数据的EF(Elementary File,基本文件)(对应于所说的文件)、和用于存储EF和DF(Dedicated File,专用文件)(对应于所说的目录(文件夹))能够执行数据管理。因此,通过设定某DF为父层并且提供其子层的DF,能够进行基于层结构的数据管理。当IC卡用于由多个管理者提供服务时,可考虑这样一种方法,将DF作为一层分配给多个管理者中的每一个,并且将EF作为要提供用于每个管理者的服务供给的数据存储在DF中。然而,在ISO7816中难以对每个DF限制IC卡资源诸如可使用容量和用于识别DF和EF(对应于一文件名和一目录名)的识别码。因此,难以防止在不同的管理者之间复制识别码,并且难以限制管理者按超过预定容量的容量使用包含于IC卡内的存储器,所述预定容量是通过合同等确定的。此外,在IC卡用在电子货币系统或安全系统的情况下,安全诸如数据保密、防止IC卡的伪造等是重要的,并且例如ISO7816,通过加锁DF限制对DF和属于DF的EF的访问。即,在ISO7816中,为了访问某DF,需要知道在延伸到所需DF的总线上的上层(父层)的所有DF密钥。因此,例如,当作为父管理者的某管理者将分配给它的一部分资源分享给作为子管理者的另一管理者,并且在由父管理者管理的DF中形成由子管理者管理的DF,以使子管理者访问其DF,子管理者需要知道访问父层的DF(即父管理者的DF)的密钥,并且出现了安全性方面的问题。
技术实现思路
鉴于这种情况实现了本专利技术,并且本专利技术的目的是使资源管理能够存储数据,并且对数据具有高度灵活性和安全性的访问控制。按照本专利技术的一个方面,数据存储设备特征在于其包括存储装置,具有一区定义区,用于储存存储区识别码的范围,该存储区识别码能被分配到要管理的存储区,并且用于识别该存储区和要管理的所述存储区的空容量;管理装置,用于根据所述区定义区的存储内容,管理所述存储装置。所述存储装置有所述区定义区,用于存储所述存储区识别码的范围,该存储区识别码能被分配到要管理的所述存储区,并且用于识别该存储区和要管理的所述存储区的所述空容量,并且所述管理装置根据所述区定义区的所述存储内容,管理所述存储装置。按照本专利技术的另一方面,数据存储方法特征在于其包括根据所述存储装置的区定义区的存储内容、管理存储装置的管理步骤,所述存储装置具有一区定义区,用于储存存储区识别码的范围,该存储区识别码能被分配到要管理的存储区,并且用于识别该存储区和要管理的存储区的空容量。根据所述存储装置的所述区定义区的所述存储内容,管理所述存储装置,所述存储装置具有所述区定义区,用于存储所述存储区识别码的范围,该存储区识别码能被分配到要管理的所述存储区,并且用于识别该存储区和要管理的所述存储区的所述空容量。根据本专利技术的另一方面,数据存储设备特征在于其包括管理装置,用于管理数据存储装置的所述存储区,同时设定层结构中的存储区;层密钥存储装置,用于存储层密钥,该层密钥用于所述数据存储装置的所述存储区的每一层;数据存储区密钥存储装置,用于存储一存储区的数据存储区密钥,该存储区中存储数据;产生装置,用于通过使用两个或更多个层密钥或数据存储区密钥,产生一个或更多个用于认证的认证密钥,以访问所述存储区;认证装置,用于根据所述认证密钥执行所述认证。所述管理装置管理所述数据存储装置的所述存储区,同时设定层结构中的所述存储区,并且所述层密钥存储装置存储所述层密钥,用于所述数据存储装置的所述存储区的每个层。所述数据存储区密钥存储装置存储所述数据存储区密钥,用于其中存储数据的所述存储区,并且产生装置通过使用两个或更多个层密钥或数据存储区密钥,产生一个或更多个用于认证的认证密钥,以访问所述存储区。认证装置根据所述认证密钥执行所述认证。按照本专利技术的另一方面,数据存储方法特征在于其包括产生步骤,通过使用两个或更多个层密钥或数据存储区密钥,产生一个或更多个用于认证的认证密钥,以访问所述存储区;认证步骤,用于根据所述认证密钥执行所述认证。由两个或更多个层密钥或数据存储区密钥产生用于认证的一个或更多个认证密钥,访问所述存储区。根据所述认证密钥执行所述认证。按照本专利技术的另一方面,提出了一种用于将数据发送到数据存储装置的服务提供设备,所述数据存储装置包括存储部件,所述存储部件具有多个区定义区,所述区定义区的每一个存储用于管理服务定义区的区密钥,和用于存储与该服务对应的数据的服务区,所述服务区由对应的服务定义区管理,所述服务提供设备包括用于通过使用与该区定义区和服务定义区对应的至少两个区密钥而产生服务区的存取密钥的部件;用于通过使用该存取密钥来认证该服务区的部件;和用于基于该认证结果而存取该服务区的部件。按照本专利技术的另一方面,提出了一种用于存取数据存储装置的方法,该数据存储装置包括存储部件,该存储部件具有多个区定义区,所述区定义区的每一个存储用于管理服务定义区的区密钥,和用于存储与该服务对应的数据的服务区,所述服务区由对应的服务定义区管理,所述方法包括通过使用与该区定义区和服务定义区对应的至少两个区密钥而产生服务区的存取密钥;通过使用该存取密钥来认证该服务区;和基于该认证结果而存取该服务区。附图说明图1是使用应用本专利技术的IC卡的卡系统实施例的结构方框图;图2是图1的读出器/写入器1的结构方框图;图3是图1的IC卡2的结构方框图;图4是图3的EEPROM 66的逻辑格式图;图5是图3的EEPROM 66的目录结构图;图6是构造图5的层结构的过程图;图7是区形成处理的流程图;图8是服务形成处理的流程图;图9是管理者之间密钥接收/传送图;图10是当管理者A提供服务时所需信息的图;图11是当管理者A提供服务时IC卡2的处理图;图12是通过服务提供装置111对IC卡2的认证方法图;图13是通过IC卡2对服务提供装置111的认证方法图;图14是当管理者B2提供服务时所需信息的图;图15是当管理者B2提供服务时IC卡2的处理图;图16是当管理者C提供服务时所需信息的图;图17是当管理者C提供服务时IC卡2的处理图;图18是当管理者C提供服务时所需信息的图;图19是当管理者C提供服务时IC卡2的处理图;图20是产生用于互相认证的第一访问密钥和第二访问密钥的方法图;图21是EEPROM 66的层结构图;图22是管理者本文档来自技高网...
【技术保护点】
【技术特征摘要】
【专利技术属性】
技术研发人员:日下部进,高田昌幸,佐佐木将央,
申请(专利权)人:索尼公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。