DE69927643T2 - Informationsverarbeitung und Datenspeicherung - Google Patents

Informationsverarbeitung und Datenspeicherung Download PDF

Info

Publication number
DE69927643T2
DE69927643T2 DE69927643T DE69927643T DE69927643T2 DE 69927643 T2 DE69927643 T2 DE 69927643T2 DE 69927643 T DE69927643 T DE 69927643T DE 69927643 T DE69927643 T DE 69927643T DE 69927643 T2 DE69927643 T2 DE 69927643T2
Authority
DE
Germany
Prior art keywords
area
management information
key
service
data storage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69927643T
Other languages
English (en)
Other versions
DE69927643D1 (de
Inventor
Susumu Kusakabe
Masayuki Takada
Masachika Sasaki
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=16442044&utm_source=***_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE69927643(T2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Sony Corp filed Critical Sony Corp
Application granted granted Critical
Publication of DE69927643D1 publication Critical patent/DE69927643D1/de
Publication of DE69927643T2 publication Critical patent/DE69927643T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3558Preliminary personalisation for transfer to user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/357Cards having a plurality of specified features
    • G06Q20/3576Multiple memory zones on card
    • G06Q20/35765Access rights to memory zones

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Storage Device Security (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)

Description

  • Die Erfindung betrifft eine Informationsverarbeitungsvorrichtung und eine Datenspeichervorrichtung, ein Datenspeicherverfahren, ein Informationsverarbeitungsverfahren und eine Informationsverarbeitungskarte.
  • Ausführungsbeispiele der Erfindung betreffen eine Informationsverarbeitungsvorrichtung und ein Informationsverarbeitungsverfahren, die ein sicheres Hinzufügen und Ändern einer Verwaltungsinformation z.B. zum Verwalten eines in einer IC-Karte (Karte mit integrierter Schaltung) enthaltenen Speichers ermöglichen, ohne daß die IC-Karte eingezogen werden muß.
  • Es wurde z.B. eine IC-Karte (Smart Card) entwickelt, deren Benutzung in elektronischen Geldsystemen, Sicherheitssystemen usw. zu erwarten ist. Die IC-Karte besitzt eine CPU zur Ausführung verschiedener Verarbeitungen sowie einen Speicher zum Speichern der für die Verarbeitung notwendigen Daten, wobei das Senden/Empfangen der Daten zu/von der IC-Karte erfolgt, während sie elektrisch mit einer bestimmten Lese-/Schreibeinrichtung (R/W) verbunden ist, oder kontaktlos mit Hilfe elektromagnetischer Wellen. Eine IC-Karte, bei der das Senden/Empfangen von Daten mit R/W kontaktlos mit Hilfe einer elektromagnetischen Welle erfolgt, wird im allgemeinen über elektromagnetische Wellen mit der notwendigen Energie versorgt.
  • Die europäische Patentanmeldung EP-A-0 790 551 beschreibt ein Verfahren zum Modifizieren und/oder Erweitern des Instruktions-Satzes einer Smart Card. Es werden Attribut-Tabellen benutzt, die den Befehlen des vorhandenen Instruktions-Satzes zugeordnet sind, um die Funktionen der Instruktionen zu modifizieren.
  • Das US-Patent US 4,742,215 beschreibt eine TC-Informationskarte mit einem programmierten Mikroprozessor und einem nichtflüchtigen Lese-/Schreibspeicher (EPROM), die in eine Plastikkarte eingebettet sind. Der Datenspeicherteil des Speichers in der Karte ist in ein oder mehrere Datenzonen segmentierbar, die jeweils entweder keinen Zugriffscode oder einen oder mehrere Zugriffscodes erfordern, die in die Karte eingegeben werden müssen, um auf diese Zone (mit Lesen und/oder Schreiben) zuzugreifen. Zugriffscodes für Datenzonen sind auf der Karte gespeichert, und der programmierte Mikroprozessor in der Karte vergleicht ankommende Codes mit den gespeicherten Codes, um zu prüfen, ob der Zugriff auf eine spezielle Datenzone zulässig ist.
  • Das Handbuch der Chipkarten (Rankl und Effing) 1995, Seiten 14a bis 18a, beschreibt eine Vorrichtung zum Verschlüsseln einer Verwaltungsinformation.
  • Wenn die IC-Karte in dem elektronischen Geldsystem benutzt wird, sind das Sicherheitssystem oder dgl., die Geheimhaltung der Daten und die Sicherheit, wie das Verhindern von Verfälschungen usw., wichtig. Im allgemeinen wird der Zugriff auf eine IC-Karte durch einen Schlüssel ermöglicht, der von dem Verwalter (Operator) des jeweiligen Systems ausgegeben wird. Das heißt, dem Zugriff auf eine IC-Karte durch eine Person, die keinen Schlüssel hat, sind Beschränkungen auferlegt.
  • Die Sicherheit ist in ISO (International Organization For Standardization) 7816 definiert, in der die Standardisierung von IC-Karten vom Kontakttyp festgelegt ist. Demgemäß wird durch Sperren einer DF (Dedicated File [Dedizierte Datei]), die einem Verzeichnis oder Ordner entspricht, der Zugriff auf die DF, die zu der Schicht der DF oder EF (Elementary File [Elementare Datei]), die einer Datei entspricht, eingeschränkt.
  • Im allgemeinen werden IC-Karten, die an Benutzer ausgegeben und so auf den Markt gebracht wurden, von den Verwaltern oder Herstellern der IC-Karten eingezogen, und diese führen in Einrichtungen oder dgl. mit hohem Sicherheitsstandard eine Kartenausgabetätigkeit durch, bei der in jeder IC-Karte eine Datei neu hinzugefügt wird, in der Daten für die Lieferung neuer Dienste gespeichert sind oder bei der ein für den Datenzugriff erforderlicher Schlüssel geändert wird.
  • Das heißt, im allgemeinen führt ein Emittent von IC-Karten eine primäre Ausgabetätigkeit aus, wie dies in 1 dargestellt ist, und liefert funktionslose IC-Karten (IC-Karten, bei denen keine Datenlese-/-schreiboperation durchgeführt werden kann) an einen Händler-Emittent für registrierte Karten, der eine Ausgabetätigkeit für registrierte Karten durchführt. Der Händler-Emittent für registrierte Karten führt die Ausgabetätigkeit für registrierte Karten durch (sekundäre Ausgabetätigkeit), so daß ein Manager #1, der über die IC-Karten Dienste liefern möchte, die IC-Karten benutzen kann. Das heißt, der Händler-Emittent für registrierte Karten hält in jeder Karte einen Speicherbereich vor, der von dem Manager #1 benutzt werden kann (Bereich des Managers #1), und schreibt in jede IC-Karte einen für den Zugriff auf den Speicherbereich erforderlichen Schlüssel sowie weitere Informationen ein. Die Ausgabetätigkeit für registrierte Karten wird hier an einer Stelle durchgeführt, für die hohe Sicherheitsvorkehrungen getroffen sind, wie Betriebsanlagen des Händler-Emittenten für registrierte Karten oder dgl. (im folgenden als "geeigneter und sicherer Platz" bezeichnet). In 1 sind der Händler-Emittent für registrierte Karten und der Manager #1 häufig die gleiche Person.
  • Die IC-Karten, die der Ausgabetätigkeit für registrierte Karten unterzogen wurden, werden auf den Markt gebracht und an Benutzer vertrieben. Die IC-Karten werden zur Lieferung von Diensten durch den Manager #1 benutzt. Das heißt, Benutzer können die IC-Karten als elektronische Pässe oder Geldbörsen verwenden.
  • Wenn die in der oben beschriebenen Weise auf den Markt gebrachten IC-Karten multifunktionale IC-Karten sind und ein Manager #2, der nicht der Manager #1 ist, über die multifunktionalen IC-Karten einen Dienst zur Verfügung stellen möchte, zieht der Händler-Emittent für registrierte Karten die auf den Markt gebrachten IC-Karten zeitweise ein, wie dies in 2 dargestellt ist. Der Händler-Emittent für registrierte Karten führt die Ausgabetätigkeit für registrierte Karten durch, so daß der Manager #2 die IC-Karten benutzen kann. Das heißt, der Händler-Emittent für registrierte Karten hält in jeder IC-Karte einen Speicherbereich vor, der von dem Manager #2 zu benutzen ist (der Bereich des Managers #2) und schreibt außerdem in jede IC-Karte einen Schlüssel ein, den der Manager #2 benötigt, um auf den Speicherbereich zuzugreifen, sowie weitere Informationen. Danach werden die IC-Karten, die der Ausgabetätigkeit für registrierte Karten unterzogen wurden, erneut auf den Markt gebracht.
  • Ein Schlüssel, der durch die Ausgabetätigkeit für registrierte Karten in eine IC-Karte eingeschrieben wird, ist z.B. eine Information, die für die Sicherheit der IC-Karte wichtig ist, und es ist unerwünscht, daß eine solche Information an Plätzen, beispielsweise auf dem Markt usw. verteilt wird, an denen mit hoher Wahrscheinlichkeit illegale Aktionen, wie Anzapfen, Fälschen usw., stattfinden und für die keine Sicherheitsvorkehrungen getroffen sind (im folgenden als "ungeeignete und unsichere Plätze" bezeichnet. Deshalb werden die IC-Karten von dem Markt genommen und die Ausgabetätigkeit für registrierte Karten wird an einem sicheren Platz durchgeführt, wie dies oben beschrieben wurde.
  • In den anliegenden Ansprüchen sind verschiedene Aspekte der vorliegenden Erfindung angegeben.
  • Dementsprechend müssen IC-Karten jedesmal eingezogen werden, wenn die Ausgabetätigkeit für registrierte Karten durchgeführt werden soll, und dies ist lästig.
  • Ein Ausführungsbeispiel der vorliegenden Erfindung wurde im Hinblick auf eine solche Situation implementiert und soll die Möglichkeit zu verschaffen, einen für den Zugriff auf einen Speicherbereich benötigten Schlüssel und andere Informationen auch an Plätzen sicher einzuschreiben, die nicht sicher sind.
  • Verschiedene Aspekte der vorliegenden Erfindung sind in den anliegenden Ansprüchen angegeben.
  • Nach einem Aspekt der Erfindung sind eine Datenspeichervorrichtung und eine Informationsverarbeitungsvorrichtung vorgesehen,
    wobei die Informationsverarbeitungsvorrichtung aufweist:
    eine Gestaltungseinrichtung zur Erzeugung einer Verwaltungsinformation, die einen Schlüssel für den Zugriff auf einen Speicherbereich der Datenspeichervorrichtung enthält, wobei diese Verwaltungsinformation eine Information enthält, die den Speicherbereich in einer geschichteten Struktur verwaltet,
    eine Verschlüsselungseinrichtung zum Verschlüsseln der Verwaltungsinformation, wobei diese Verschlüsselungseinrichtung so ausgebildet ist, daß sie die Verwaltungsinformation einer niedrigeren Schicht unter Verwendung eines Schlüssels verschlüsselt, der in der Verwaltungsinformation einer höheren Schicht enthalten ist, und
    eine Kommunikationseinrichtung für die Übertragung der verschlüsselten Verwaltungsinformation zu der Datenspeichervorrichtung,
    wobei die Datenspeichervorrichtung aufweist:
    eine Empfangseinrichtung für den Empfang der verschlüsselten Verwaltungsinformation aus der Informationsverarbeitungsvorrichtung,
    eine Dekodiereinrichtung zum Dekodieren der verschlüsselten Verwaltungsinformation unter Verwendung des in der Verwaltungsinformation der genannten höheren Schicht enthaltenen Schlüssels,
    eine Datenspeichereinrichtung für die Speicherung von Daten für die Lieferung vorbestimmter Dienste, wobei der Zugriff auf den Speicherbereich der Datenspeichereinrichtung durch den genannten Schlüssel zur Verfügung gestellt wird,
    eine Verwaltungsinformations-Speichereinrichtung für die Speicherung der Verwaltungsinformation, die den genannten Schlüssel enthält, und
    eine Verwaltungseinrichtung zum Verwalten des Speicherbereichs der Datenspeichereinrichtung auf der Basis der Verwaltungsinformation.
  • Ein bevorzugtes Ausführungsbeispiel einer Informationsverarbeitungsvorrichtung nach einem ersten Aspekt der Erfindung enthält ferner eine Verarbeitungseinrichtung zum Verarbeiten eines Prüfcodes, um zu prüfen, ob die Verwaltungsinformation gefälscht ist oder nicht (z.B. den Verarbeitungsschritt S22 des in 30 dargestellten Programms oder dgl.), und die Verschlüsselungseinrichtung verschlüsselt den Prüfcode sowie die Verwaltungsinformation.
  • Ein weiteres Ausführungsbeispiel der Informationsverarbeitungsvorrichtung nach einem ersten Aspekt der Erfindung enthält ferner eine Übertragungseinrichtung zum Übertragen der verschlüsselten Verwaltungsinformation zu einer Datenspeichervorrichtung über ein vorgegebenes Übertragungsmedium (z.B. den Verarbeitungsschritt S24 des in 30 dargestellten Programms oder dgl.).
  • Ein Ausführungsbeispiel der Datenspeichervorrichtung nach einem Aspekt der vorliegenden Erfindung enthält eine Speichersteuereinrichtung zum Einspeichern der Verwaltungsinformation in eine Verwaltungsinformations-Speichereinrichtung (z.B. den Verarbeitungsschritt S4 des in 9 dargestellten Programms, den Verarbeitungsschritt S14 des in 10 dargestellten Programms oder dgl.).
  • Ein Ausführungsbeispiel der Datenspeichervorrichtung nach einem Aspekt der vorliegenden Erfindung enthält ferner eine Prüfeinrichtung zum Prüfen, ob die Verwaltungsinformation gefälscht ist oder nicht (z.B. den Verarbeitungsschritt S33 des in 32 dargestellten Programms oder dgl.).
  • Die Erfindung ist nicht auf die Beispiele in den vorangehend erwähnten Aspekten und Ausführungsbeispielen beschränkt.
  • Zum besseren Verständnis der vorliegenden Erfindung wird nun beispielhaft auf die anliegenden Zeichnungen Bezug genommen.
  • 1 zeigt ein Diagramm, in dem der Vertrieb von herkömmlichen IC-Karten dargestellt ist,
  • 2 zeigt ein Diagramm, in dem der Vertrieb von herkömmlichen IC-Karten dargestellt ist,
  • 3 zeigt ein Blockdiagramm eines Ausführungsbeispiels eines Kartensystems, das ein Ausführungsbeispiel einer IC-Karte benutzt, bei der die vorliegende Erfindung angewendet wird,
  • 4 zeigt ein Blockdiagramm, aus dem die Konstruktion der Lese-/Schreibeinrichtung 1 von 3 hervorgeht,
  • 5 zeigt ein Blockdiagramm, aus dem die Konstruktion der IC-Karte 2 von 3 hervorgeht,
  • 6 zeigt ein Diagramm des logischen Formats des EEPROMs 66 in 5,
  • 7 zeigt ein Diagramm der Verzeichnisstruktur des EEPROMs 66 in 5,
  • 8 zeigt ein Diagramm, aus dem der Prozeß zur Herstellung der Schichtstruktur von 7 hervorgeht,
  • 9 zeigt ein Flußdiagramm, in dem der Bereichsbildungsprozeß dargestellt ist,
  • 10 zeigt ein Flußdiagramm, in dem der Servicebildungsprozeß dargestellt ist,
  • 11 zeigt ein Diagramm, in dem der Schlüsselempfang bzw. die Schlüsselauslieferung zwischen Managern dargestellt ist,
  • 12 zeigt ein Diagramm, in dem die Information dargestellt ist, die benötigt wird, wenn ein Manager A Dienste liefert,
  • 13 zeigt ein Diagramm, in dem die Verarbeitung der IC-Karte 2 dargestellt ist, wenn der Manager A Dienste liefert,
  • 14 zeigt ein Diagramm, in dem ein Zertifizierungsverfahren der IC-Karte 2 durch eine Service-Liefermaschine 111 dargestellt ist,
  • 15 zeigt ein Diagramm, in dem das Zertifizierungsverfahren der Service-Liefermaschine 111 durch die IC-Karte 2 dargestellt ist,
  • 16 zeigt ein Diagramm, in dem die Information dargestellt ist, die benötigt wird, wenn ein Manager B2 Dienste liefert,
  • 17 zeigt ein Diagramm, in dem die Verarbeitung der IC-Karte 2 dargestellt ist, wenn der Manager B2 Dienste liefert,
  • 18 zeigt ein Diagramm, in dem die Information dargestellt ist, die benötigt wird, wenn ein Manager C Dienste liefert,
  • 19 zeigt ein Diagramm, in dem die Verarbeitung der IC-Karte 2 dargestellt ist, wenn der Manager C Dienste liefert,
  • 20 zeigt ein Diagramm, in dem die Information dargestellt ist, die benötigt wird, wenn der Manager C Dienste liefert,
  • 21 zeigt ein Diagramm, in dem die Verarbeitung der IC-Karte 2 dargestellt ist, wenn der Manager C Dienste liefert,
  • 22 zeigt ein Diagramm, in dem ein Verfahren zur Erzeugung eines ersten Zugangsschlüssels und eines zweiten Zugangsschlüssels, die für die gegenseitige Zertifizierung benutzt werden, dargestellt ist,
  • 23 zeigt ein Diagramm der Schichtstruktur des EEPROMs 66,
  • 24 zeigt ein Diagramm, in dem Schlüsselempfang bzw. die Schlüsselauslieferung zwischen Managern dargestellt ist,
  • 25 zeigt ein Diagramm, in dem die gemeinsame Nutzung von Diensten (Daten) zwischen Managern dargestellt ist,
  • 26 zeigt ein Diagramm der Schichtstruktur des EEPROMs 66,
  • 27 zeigt ein Diagramm, in dem der/die Schlüsselempfang/-auslieferung zwischen Managern dargestellt ist,
  • 28 zeigt ein Diagramm, das beispielhaft das Prinzip der vorliegenden Erfindung veranschaulicht,
  • 29 zeigt ein Blockdiagramm der Konstruktion eines Ausführungsbeispiels eines Ausgabesystems für registrierte Karten, bei dem die vorliegende Erfindung angewendet wird,
  • 30 zeigt ein Flußdiagramm, in dem die Verarbeitung zur Lieferung von Informationen für die Ausgabe registrierter Karten dargestellt ist,
  • 31 zeigt ein Diagramm des Formats der verschlüsselten Kartenausgabe-Registrierinformation,
  • 32 zeigt ein Flußdiagramm des Dekodierprozesses.
  • 3 zeigt den Aufbau eines Ausführungsbeispiels eines kontaktlosen Kartensystems, bei dem eine IC-Karte benutzt wird, auf das ein Ausführungsbeispiel der vorliegenden Erfindung angewendet wird (der Ausdruck "System" bezeichnet hier eine logische Zusammenstellung mehrerer Vorrichtungen und hängt nicht davon ab, ob die betreffenden Vorrichtungen in dem gleichen Gebäude angeordnet sind oder nicht).
  • Das kontaktlose Kartensystem umfaßt eine Lese-/Schreibeinrichtung R/W 1, ferner eine IC-Karte 2 sowie eine Steuerung 3. Das Senden/-Empfangen von Daten zwischen dem R/W 1 und der IC-Karte 2 erfolgt kontaktlos mittels einer elektromagnetischen Welle.
  • Das heißt, der R/W 1 sendet einen vorbestimmten Befehl an die IC-Karte 2, und die IC-Karte 2 empfängt den Befehl und führt die dem Befehl entsprechende Verarbeitung aus. Die IC-Karte 2 sendet die dem Verarbeitungsergebnis entsprechenden Antwortdaten an den R/W 1.
  • Der R/W 1 ist über ein vorgegebenes (mit dem Standard RS-485A oder dgl. konformes) Interface mit der Steuerung 3 verbunden, und die Steuerung 3 liefert ein vorbestimmtes Steuersignal an den R/W 1, so daß der R/W 1 eine bestimmte Verarbeitung ausführt.
  • 4 zeigt die Konstruktion des R/W 1 von 3.
  • In dem IC 21 sind eine DPU (Datenverarbeitungseinheit) 31 zur Durchführung der Datenverarbeitung, eine SPU (Signalverarbeitungseinheit) 32 für die Verarbeitung von Daten, die an die IC-Karte 2 gesendet werden sollen, und von Daten, die von der IC-Karte 2 empfangen werden, eine SCC (serielle Kommunikationssteuerung) 33, die mit der Steuerung 3 kommuniziert, und eine Speichereinheit 34 mit einem ROM-Abschnitt 41 für die im Voraus erfolgende Speicherung von für die Verarbeitung von Daten erforderlichen Informationen und einem RAM-Abschnitt 42 für die temporäre Speicherung von Daten während der Verarbeitung über einen Bus miteinander verbunden.
  • Außerdem ist ein Flash-Speicher 22 für die Speicherung vorgegebener Daten mit dem Bus verbunden.
  • Die DPU 31 gibt an die SPU 32 einen Befehl aus, der an die IC-Karte 2 gesendet werden soll, und empfängt von der SPU 32 Antwortdaten, die von der IC-Karte 2 empfangen werden.
  • Nachdem der an die IC-Karte 2 zu sendende Befehl einer vorbestimmten Verarbeitung (z.B. BPSK-(BiPhase Shift Keying)-Modulation (Kodierung in einen Manchester-Code) oder dgl.) unterzogen wurde, gibt die SPU 32 ihn an eine Modulationsschaltung 23 aus. Von einer Demodulationsschaltung 25 empfängt sie die von der IC-Karte 2 gesendeten Antwortdaten, um die Daten einer vorbestimmten Verarbeitung zu unterziehen.
  • Die Modulationsschaltung 23 unterzieht die von einem Oszillator (OSC) 26 gelieferte Trägerwelle, die eine vorbestimmte Frequenz (z.B. 13,56 MHz) hat, einer ASK-(Amplitude Shift Keying)-Modulation auf der Basis der von der SPU 32 gelieferten Daten und gibt die so erzeugte modulierte Welle als elektromagnetische Welle über eine Antenne 27 an die IC-Karte 2 aus. Die Modulationsschaltung 23 ist so konstruiert, daß der Modulationsfaktor auf einen Wert kleiner 1 gesetzt wird, und bei Durchführung der ASK-Modulation wird verhindert, daß die maximale Amplitude der modulierte Welle selbst bei niedrigem Datenpegel auf Null reduziert wird.
  • Die Demodulationsschaltung 25 demoduliert die über die Antenne 27 empfangene modulierte Welle (ASK-modulierte Welle) und liefert die demodulierten Daten an die SPU 32.
  • 5 zeigt die Konstruktion der IC-Karte 2 von 3.
  • In der IC-Karte 2 empfängt ein IC 51 die von dem R/W 1 gesendete modulierte Welle über die Antenne 53. Ein Kondensator 52 bildet zusammen mit der Antenne 53 eine LC-Schaltung, die auf eine elektromagnetische Welle mit einer vorbestimmten Frequenz (Trägerfrequenz) abgestimmt ist (mit dieser Frequenz schwingt).
  • In dem IC 51 detektiert und demoduliert eine HF-Interfaceeinheit 61 die über die Antenne 53 empfangene modulierte Welle (ASK-modulierte Welle) mit Hilfe eines ASK-Demodulators 81 und gibt die demodulierten Daten an eine BPSK-Demodulationsschaltung 62 und eine PLL-Einheit (Schaltung mit phasenverriegelter Schleife) 63 aus. Außerdem stabilisiert sie das in dem ASK-Demodulator 81 detektierte Signal mit Hilfe eines Spannungsreglers 82 und liefert es als Versorgungsgleichspannung an die einzelnen Schaltungen.
  • Die HF-Interfaceeinheit 61 läßt in einer Oszillatorschaltung 83 ein Signal mit einer Frequenz schwingen, die die gleiche ist wie die Taktfrequenz der Daten, und gibt das Signal an die PLL-Einheit 63 aus.
  • In der HF-Interfaceeinheit 61 wird die Last der Antenne 53, die als Stromversorgungsquelle der IC-Karte 2 dient, in Verbindung mit den Daten variiert, die von der Operator-Einheit 64 in dem ASK-Modulator 81 über die BPSK-Modulationsschaltung 68 zugeführt werden (z.B. wird ein Schaltelement in Verbindung mit den Daten ein-/ausgeschaltet, und nur wenn das Schaltelement eingeschaltet ist, ist der Antenne 53 eine vorbestimmte Last parallelgeschaltet), so daß die über die Antenne 53 empfangene modulierte Welle ASK-moduliert wird (wenn die Daten von der IC-Karte 2 gesendet werden (die IC-Karte 2 dient zum Senden von Daten), setzt der R/W 1 die maximale Amplitude und der von ihm ausgegebenen modulierten Welle auf einen festen Wert, und die modulierte Welle wird auf der Basis der Änderung der Last der Antenne 53 ASK-moduliert), und sendet ihre Modulationskomponenten über die Antenne 53 zu dem R/W 1 (variiert die Klemmenspannung der Antenne 27 des R/W 1).
  • Auf der Basis der von dem ASK-Demodulator 81 gelieferten Daten erzeugt die PLL-Einheit 63 ein mit den Daten synchronisiertes Taktsignal und liefert das Taktsignal an die BPSK-Demodulationsschaltung 62 und an die BPSK-Modulationsschaltung 68.
  • Wenn die in dem ASK-Demodulator 81 demodulierten Daten BPSK-moduliert sind, demoduliert die BPSK-Demodulationsschaltung 62 die Daten (dekodiert den Manchester-Code) entsprechend den von der PLL-Einheit 63 gelieferten Taktsignal und gibt die demodulierten Daten an die Operator-Einheit 64 aus.
  • Wenn die von der BPSK-Demodulationsschaltung 62 gelieferten Daten verschlüsselt werden, dekodiert die Operator-Einheit 64 die Daten in einer Verschlüsselungs-/Dekodiereinheit 92 und verarbeitet dann die Daten in einer Folgesteuerung (Sequencer) 91. Wenn die Daten nicht verschlüsselt werden, werden die von der BPSK-Demodulationsschaltung 62 gelieferten Daten dem Sequencer 91 direkt zugeführt und wandern nicht durch die Verschlüsselungs-/Dekodiereinheit 92.
  • Der Sequencer 91 führt die Verarbeitung entsprechend den Daten durch, die ihm als Befehl zugeführt werden. Das heißt, der Sequencer 91 führt z.B. das Einschreiben und Auslesen der Daten in den/aus dem EEPROM 66 sowie weitere notwendige Verarbeitungen durch. Außerdem steuert der Sequencer 91 den Zugriff auf das EEPROM 66 auf der Basis der Zertifizierung und verwaltet das EEPROM 66.
  • Ein Paritäts-Operator 93 der Operator-Einheit 64 berechnet auf der Basis der in dem EEPROM 66 gespeicherten Daten einen Reed-Solomon-Code als Parität.
  • Nachdem die Operator-Einheit 64 in dem Sequencer 91 eine vorbestimmte Verarbeitung durchgeführt hat, gibt sie die der Verarbeitung entsprechenden Antwortdaten (die Daten, die zu dem R/W 1 gesendet werden sollen) an die BPSK-Modulationsschaltung 68 aus.
  • Die BPSK-Modulationsschaltung 68 unterzieht die aus der Operator-Einheit 64 zugeführten Daten der BPSK-Modulation und gibt die modulierten Daten an den ASK-Modulator 84 der HF-Interfaceeinheit 61 aus.
  • Ein ROM (Nurlesespeicher) 65 speichert ein Programm, mit dem der Sequencer 91 seine Verarbeitung ausführt, sowie weitere notwendige Daten. Ein RAM 67 speichert temporär Daten im Verlauf der Verarbeitung in dem Sequencer 91.
  • Das EEPROM (elektrisch löschbares und programmierbares ROM) 66 ist ein nichtflüchtiger Speicher, der auch dann Daten weiter speichert, wenn die IC-Karte 2 die Verbindung mit dem R/W 1 unterbricht und die Stromversorgung beendet wird.
  • Als Nächstes wird das Senden/Empfangen von Daten zwischen dem R/W 1 und der IC-Karte 2 beschrieben.
  • Der R/W 1 (4) strahlt über die Antenne 27 eine bestimmte elektromagnetische Welle aus, überwacht den Lastzustand der Antenne 27 und wartet, bis eine Änderung des Lastzustands aufgrund der Annäherung der IC-Karte 2 detektiert wird. Der R/W 1 führt eine Verarbeitung (Polling) durch, bei der die elektromagnetische Welle ausgestrahlt wird, die mit Daten eines vorgegebenen kurzen Musters ASK-moduliert ist, um die IC-Karte 2 zu rufen, bis inner halb einer festen Zeit eine Antwort aus der IC-Karte 2 empfangen wird.
  • Wenn der R/W 1 die Annäherung der IC-Karte 2 detektiert, erzeugt die SPU 32 des R/W 1 eine Rechteckwelle mit einer vorbestimmten Frequenz (z.B. einer Frequenz, die doppelt so hoch ist wie die Taktfrequenz der Daten) als Trägerwelle, unterzieht diese einer BPSK-Modulation auf der Basis der an die IC-Karte 2 zu sendenden Daten (des Befehls, der der in der IC-Karte 2 auszuführenden Verarbeitung entspricht, von Einschreibdaten, die in die IC-Karte 2 eingeschrieben werden sollen usw.) und gibt die so erzeugte modulierte Welle (BPSK-Modulationssignal) (Manchester-Code) an die Modulationsschaltung 23 aus.
  • Bei der BPSK-Modulation können die Daten, durch die Anwendung einer differentiellen Umwandlung mit der Phasenänderung der modulierte Welle verknüpft werden, und in diesem Fall kann das BPSK-Modulationssignal auch dann in die ursprünglichen Daten demoduliert werden, wenn es invertiert ist. Es ist deshalb nicht notwendig, die Polarität der modulierte Welle bei der Demodulation zu berücksichtigen.
  • Auf der Basis des zugeführten BPSK-Modulationssignals unterzieht die Modulationsschaltung 23 die vorgegebene Trägerwelle der ASK-Modulation mit einem Modulationsfaktor (= maximale Amplitude des Datensignals/maximale Amplitude der Trägerwelle), der kleiner ist als 1 (z.B. 0,1) und sendet die so erzeugte modulierte Welle (ASK-modulierte Welle) über die Antenne 27 an die IC-Karte 2.
  • Wenn kein Senden stattfindet, erzeugt die Modulationsschaltung 23 die modulierte Welle z.B. mit dem höheren von zwei Pegeln (hoher Pegel und niedriger Pegel) von digitalen Signalen.
  • In der IC-Karte 2 (5) wird ein Teil der von der Antenne 27 des R/W 1 ausgestrahlten elektromagnetischen Welle in einer LC-Schaltung, die aus einer Antenne 53 und einem Kondensator 52 besteht, in ein elektrisches Signal umgewandelt, und das elektrische Signal (modulierte Welle) wird an das HF-Interface 61 des IC 51 ausgegeben. Der ASK-Demodulator 81 des HF-Interface 61 detek tiert eine Hüllkurve durch Gleichrichten und Glätten der modulierten Welle und liefert das so erzeugte Signal an den Spannungsregler 82. Außerdem unterdrückt er die Gleichstromkomponente des Signals, um das Datensignal zu extrahieren, und gibt das Datensignal an die BPSK-Demodulationsschaltung 62 und die PLL-Einheit 63 aus.
  • Die Klemmenspannung V0 der Antenne 53 ist V0 = V10(1 + k × Vs(t))cos(ωt)worin V10cos(ωt) die Trägerwelle, k den Modulationsfaktor, und Vs(t) die von der SPU 32 ausgegebenen Daten repräsentieren.
  • Der niedrige Pegelwert VLR der Spannung V1 nach der Gleichrichtung durch den ASK-Demodulator 81 ist VLR = V10(1 + k × (–1)) – Vf.
  • Hier repräsentiert Vf den Spannungsabfall an einer (nicht dargestellten) Diode in dem ASK-Demodulator 81, die eine Gleichrichterschaltung zur Gleichrichtung und Glättung bildet, und beträgt im allgemeinen etwa 0,7 Volt.
  • Wenn der Spannungsregler 82 das von dem ASK-Demodulator 81 gleichgerichtete und geglättete Signal empfängt, stabilisiert er das Signal und liefert es als Versorgungsgleichspannung an die einzelnen Schaltungen sowie an die Operator-Einheit 64. Da der Modulationsfaktor k der modulierten Welle in diesem Fall kleiner als 1 ist, wie dies oben beschrieben wurde, ist die Spannungsänderung (die Differenz zwischen dem hohen Pegel und dem niedrigen Pegel) nach der Gleichrichtung klein. Deshalb stellt die Erzeugung der Versorgungsgleichspannung in dem Spannungsregler 82 kein Problem dar.
  • Wenn die mit dem Modulationsfaktor k von 5% modulierte Welle empfangen wird, so daß V10 etwa 3 Volt beträgt, ist die Niederpegel-Spannung VLR nach der Gleichrichtung gleich 2,15 (= 3 × (1 – 0,05) – 0,7) Volt oder größer, und der Spannungsregler 82 kann an alle Schaltungen eine ausreichende Spannung als Versorgungsspannung liefern. In diesem Fall ist die Amplitude 2 × k × V10 (Wert von Spitze zu Spitze) der Wechselkomponente (Datenkomponente) der Spannung V1 nach der Gleichrichtung gleich 0,3 (= 2 × 0,05 × 3) Volt oder größer, und der ASK-Demodulator 81 kann die Daten mit einem ausreichend großen S/N-Verhältnis demodulieren.
  • Durch die Verwendung der ASK-modulierte Welle mit einem Modulationsfaktor k kleiner als 1 ist eine Kommunikation mit niedriger Fehlerrate (mit einem hohen S/N-Verhältnis) möglich, wie dies oben beschrieben wurde, und der IC-Karte 2 kann eine ausreichend große Gleichspannung als Versorgungsleistung zugeführt werden.
  • Wenn die BPSK-Demodulationsschaltung 62 das Datensignal (BPSK-Demodulationssignal) aus dem ASK-Demodulator 81 empfängt, demoduliert sie das Datensignal mit dem aus der PLL-Einheit 63 zugeführten Taktsignal und gibt die demodulierten Daten an die Operator-Einheit 64 aus.
  • Wenn die von der BPSK-Modulationsschaltung 62 gelieferten Daten verschlüsselt sind, dekodiert die Operator-Einheit 64 die Daten in der Verschlüsselungs-/Dekodiereinheit 92 und führt die Daten (den Befehl) dann dem Sequencer 91 zu, um die Daten zu verarbeiten. Während dieser Zeitperiode, d.h. während der Periode von der Zeit, in der die Daten an die IC-Karte 2 gesendet werden, bis zu der Zeit, in der eine Antwort auf das Senden empfangen wird, sendet der R/W 1 Daten mit dem Wert 1 und ist in Bereitschaft. Deshalb empfängt die IC-Karte 2 während dieser Zeit die modulierte Welle, deren maximale Amplitude konstant ist.
  • Wenn die Bearbeitung beendet ist, liefert der Sequencer 91 die Daten zu dem Verarbeitungsergebnis usw. (die Daten, die zu dem R/W 1 gesendet werden sollen) an die BPSK-Modulationsschaltung 68. Die BPSK-Modulationsschaltung 68 unterzieht die Daten der BPSK-Modulation (Kodierung in einen Manchester-Code) wie im Fall der SPU 32 des R/W 1 und gibt die modulierten Daten dann an den ASK-Modulator 84 der HF-Interfaceeinheit 61 aus.
  • Der ASK-Modulator 84 variiert die mit den beiden Enden der Antenne 53 verbundene Last nach Maßgabe der Daten aus der BPSK-Modulationsschaltung 68, wobei er ein Schaltelement oder dgl. benutzt, so daß die empfangene modulierte Welle (die maximale Amplitude der von dem R/W 1 ausgegebenen modulierten Welle ist während der Sendezeit der Daten aus der IC-Karte 2, wie oben beschrieben, konstant) mit den zu sendenden Daten ASK-moduliert wird, um die Klemmenspannung der Antenne 27 des R/W 1 zu variieren und sendet die modulierten Daten dann an den R/W 1.
  • Während die Daten aus der IC-Karte 2 empfangen werden fährt die Modulationsschaltung 23 des R/W 1 mit dem Senden der Daten mit dem Wert 1 (hoher Pegel) fort. Die von der IC-Karte 2 gesendeten Daten werden in der Demodulationsschaltung 25 auf der Basis einer sehr kleinen Änderung (z.B. einige 10 Mikrovolt) der Klemmenspannung der Antenne 27 detektiert, die mit der Antenne 53 der IC-Karte 2 elektromagnetisch gekoppelt ist.
  • Außerdem wird das detektierte Signal (ASK-modulierte Welle) in der Demodulationsschaltung 25 von einem (nicht dargestellten) Verstärker mit hohem Verstärkungsgrad verstärkt und moduliert, und die so gewonnenen digitalen Daten werden an die SPU 32 ausgegeben. Die SPU 32 demoduliert die Daten (BPSK-Modulationssignal) und gibt sie an die DPU 31 aus. Die DPU 31 verarbeitet die Daten aus der SPU 32 und prüft auf der Basis des Verarbeitungsergebnisses, ob die Kommunikation beendet werden sollte oder nicht. Wenn sie feststellt, daß die Kommunikation erneut durchgeführt wird, wird die Kommunikation zwischen dem R/W 1 und der IC-Karte 2 wie in dem obigen Fall durchgeführt. Wenn sie hingegen feststellt, daß die Kommunikation beendet ist, beendet der R/W 1 die Kommunikation mit der IC-Karte 2.
  • Wie oben beschrieben wurde, sendet der R/W 1 Daten an die IC-Karte 2, wobei er ASK-Modulation benutzt, bei der der Modulationsfaktor k kleiner ist als 1, und die IC-Karte 2 empfängt die Daten, um die den Daten entsprechende Verarbeitung durchzuführen, und gibt die dem Verarbeitungsergebnis entsprechenden Daten an den R/W 1 zurück.
  • 6 zeigt ein logisches Format des EEPROMs 66 von 5.
  • Das EEPROM 66 ist auf einer Blockbasis aufgebaut, und in dem Ausführungsbeispiel von 6 besteht ein Block z.B. aus 16 Bytes.
  • Außerdem ist in dem Ausführungsbeispiel von 6 die logische Adresse des obersten Blocks auf #0000h gesetzt (h repräsentiert eine hexadezimale Zahl), und weitere logische Adressen sind in aufsteigender numerischer Reihenfolge zugeordnet. In 6 sind #0000h bis #FFFFh als logische Adressen zugeordnet und auf diese Weise werden 65536 (= 216) Blöcke konstruiert.
  • Die Blöcke sind so konstruiert, daß sie als Benutzerblock oder als Systemblock verwendet werden. Die Blöcke des EEPROMs 66 sind den Benutzerblöcken in aufsteigender numerischer Reihenfolge der logischen Adressen zugeordnet und den Systemblöcken in absteigender numerischer Reihenfolge der logischen Adressen zugeordnet. Das heißt, in 6 werden die Benutzerblöcke nach unten größer, und die Systemblöcke werden nach oben größer. Wenn kein freier Block vorhanden ist, können der Benutzerblock und der Systemblock nicht gebildet werden. Dementsprechend ist die Grenze zwischen den Benutzerblöcken und den Systemblöcken nicht fest, und bezüglich der Zahl der Benutzerblöcke und der Zahl der Systemblöcke ist keine Beschränkung auferlegt (in dem Ausführungsbeispiel von 6 ist die Gesamtzahl der Benutzerblöcke und der Systemblöcke jedoch auf 65536 oder weniger beschränkt).
  • Die Systemblöcke werden nach fünf Typen klassifiziert, einem Herstellungs-ID-(Identifikations)-Block, einem Ausgabe-ID-Block, einem System-Definitionsblock, einem Bereichs-Definitionsblock und einem Service-Definitionsblock. In dem Ausführungsbeispiel von 6 ist der als Bereichs-Definitionsblock oder Service-Definitionsblock dienende Block als Bereichs-/Service-Definitionsblock dargestellt.
  • Außer den Systemblöcken wurden in der IC-Karte 2 zur Ausgabezeit grundsätzlich die drei Blockarten Herstellungs-ID-Block, Ausgabe-ID-Block und System-Definitionsblock angeordnet, die an den logischen Adressen #FFFFh, #FFFEh bzw. #FFFDh angeordnet sind. Die Bereichs-/Service-Definitionsblöcke sind in der Reihenfolge ihrer Erzeugung an logischen Adressen angeordnet, die höher sind als die logische Adresse #FFFCh.
  • Die Information über die Herstellung der IC-Karte 2 ist in dem Herstellungs-ID-Block angeordnet. Das heißt in dem Herstellungs-ID-Block sind z.B. eine eindeutige Herstellungs-ID, ein Herstellungs-Datum, ein Herstellungs-Code usw. angeordnet.
  • Die Information über die Ausgabe der IC-Karte 2 ist in dem Ausgabe-ID-Block angeordnet. Das heißt, in dem Ausgabe-ID-Block sind Codes zu einem Ausgabe-Datum der IC-Karte 2, zur Ausgabe-Reihenfolge der IC-Karte 2 usw. angeordnet.
  • In dem System-Definitionsblock sind angeordnet: Die Zahl der Systemblöcke oder Benutzerblöcke, die dem EEPROM 66 angehören, ein System-Schlüssel und dgl.. Der System-Schlüssel wird benutzt, wenn zwischen der IC-Karte 2, dem R/W 1 und der Steuerung 3 eine gegenseitige Zertifizierung durchgeführt wird.
  • Der Bereichs-Definitionsblock wird gebildet, indem dem Manager ein Speicherbereich (Bereich) des EEPROMs 66 zugeteilt wird. In dem Bereichs-Definitionsblock sind eine Information zur Verwaltung des dem Manager zugeteilten Speicherbereichs selbst usw. angeordnet. Das heißt, in dem Bereichs-Definitionsblock sind z.B. ein weiter unten beschriebener Codebereich, ferner die freie Kapazität, ein Bereichs-Schlüssel usw. angeordnet.
  • In dem Service-Definitionsblock sind eine Information zum Verwalten eines weiter unten beschriebenen Service-Bereichs (die Kapazität eines Service-Bereichs, ein Service-Schlüssel usw.) usw. angeordnet.
  • Der Sequencer 91 verwaltet den Speicherbereich des EEPROMs 66 in Schichten.
  • 7 zeigt die Verzeichnisstruktur des EEPROMs 66.
  • Der Speicherbereich des EERPOM 66 ist in einer geschichteten Struktur ausgebildet, in welcher der Bereichs-Definitionsbereich geschichtet und der Bereichs-Definitionsbereich so ausgebildet ist, daß er einen Bereichs-Definitionsbereich und einen Service-Definitionsbereich aufweisen kann.
  • Der Bereichs-Definitionsbereich ist dem Manager zugeordnet. In dem Bereichs-Definitionsbereich sind angeordnet: Ein Codebereich, der einen Bereich von Identifikations-Codes repräsentiert, die der Manager als Namen für die Identifizierung des Bereichs-Definitionsbereichs und des Service-Definitionsbereichs benutzen kann, ferner die freie Kapazität, die die Zahl der verfügbaren freien Blöcke repräsentiert, ein Bereichs-Schlüssel zur Erzeugung eines weiter unten beschriebenen Zugriffsschlüssels, der für die Zertifikation usw. benutzt wird. Hier entspricht der Bereichs-Definitionsbereich 1 dem Bereichs-Definitionsblock 1, der anhand von 6 beschrieben wurde.
  • In dem Ausführungsbeispiel von 7 bildet der dem Manager A zugeteilte Bereichs-Definitionsbereich die oberste Schicht. Die Bereichs-Definitionsbereiche der Manager B1 und B2 werden gebildet, indem der Definitionsbereich des Managers A als Parent-Schicht gesetzt wird. Der Bereichs-Definitionsbereich des Managers C wird gebildet, indem der Definitionsbereich des Managers B1 als Parent-Schicht gesetzt wird.
  • Der Service-Definitionsbereich ist einem von dem Manager gelieferten Service zugeteilt, und die Kapazität eines Service-Bereichs zum Speichern der für die Lieferung der Services notwendigen Daten, ein Service-Schlüssel zur Erzeugung eines Zugangsschlüssels usw. sind in dem Service-Definitionsbereich angeordnet. Der Service-Definitionsbereich 1 entspricht hier dem anhand von 6 beschriebenen Service-Definitionsblock 1.
  • Der Service-Bereich ist ein Speicherbereich zum Speichern von Daten, die für die Lieferung von Diensten erforderlich sind, und er entspricht dem Benutzerblock von 6. Das heißt der Service-Bereich wird aus Benutzer-Blöcken über 0 konstruiert. Die Zahl der Benutzerblöcke, die den Service-Bereich bilden, ist als Kapazität des Service-Definitionsbereichs zum Verwalten des Service-Bereichs vorgesehen.
  • In dem Bereichs-Definitionsbereich und dem Service-Definitionsbereich sind Identifikations-Codes zum Identifizieren dieser Bereiche angeordnet. Die Identifikations-Codes zum Identifizieren des Bereichs-Definitionsbereichs und des Service-Definitionsbereichs werden im folgenden als Bereichs-Code bzw. als Service-Code bezeichnet. Der Service-Code dient zum Identifizieren des Service-Definitionsbereichs für die Verwaltung eines Service-Bereichs und kann so als Identifikations-Code (Service-Bereich-Identifikations-Code) zum Identifizieren des betreffenden Service-Bereichs betrachtet werden.
  • In dem Ausführungsbeispiel von 7 ist der Bereichs-Definitionsbereich der obersten Schicht dem Manager A zugeordnet. 0000h bis FFFFh sind als Bereich von verwendbaren Identifikations-Codes definiert (Codebereich), und 0123456789abcdef sind als Bereichs-Schlüssel definiert. Hier kann jeder beliebige Identifikations-Code als Bereichs-Code des Bereichs-Definitionsbereichs benutzt werden, falls es ein Identifikations-Code innerhalb des Codebereichs in dem Bereichs-Definitionsbereich ist. In diesem Ausführungsbeispiel wird der minimale Wert des Codebereichs des Bereichs-Definitionsbereichs als dessen Bereichs-Code benutzt. Dementsprechend ist der Bereichs-Code des Bereichs-Definitionsbereichs, dessen Codebereich von 0000h bis FFFFh geht, d.h. des dem Manager A zugeteilten Bereichs-Definitionsbereichs, auf 0000h gesetzt. Der Bereichs-Definitionsbereich, dessen Bereichs-Code auf #xxxxh gesetzt ist, wird im folgenden als Bereichs-Definitionsbereich #xxxxh beschrieben.
  • Die Schicht des Bereichs-Definitionsbereichs #0000h des Managers A weist einen Service-Definitionsbereich auf, in dem der Manager A Dienste liefert. 0008h des Codebereichs von 0000h bis FFFFh des Bereichs-Definitionsbereichs #0000h ist als Service-Code dem Service-Definitionsbereich zugeteilt. Der Service-Definitionsbereich des Service-Codes #xxxxh wird im folgenden als Service-Definitionsbereich #xxxxh beschrieben.
  • Die Kapazität des Service-Definitionsbereichs #0008h ist auf 8 gesetzt, und so ist der aus acht Benutzerblöcken konstruierte Service-Bereich benutzbar. Der Service-Schlüssel des Service-Definitionsbereichs #0008h ist auf 0101010101010101 gesetzt.
  • Die Schicht des Bereichs-Definitionsbereichs #0000h des Managers A ist mit einem Bereichs-Definitionsbereich #0100h des Managers B1 und einem Bereichs-Definitionsbereich #1000h des Managers B2 als Child-Schichten versehen. Die Schicht des Bereichs-Definitionsbereichs #0000h ist mit (nicht dargestellten) anderen Bereichs-Definitionsbereichen versehen, und so ist die Zahl der Blöcke (freie Kapazität), die von dem Bereichs-Definitionsbereich #0000h benutzbar sind, z.B. auf 37 Blöcke gesetzt.
  • Als Codebereich des Bereichs-Definitionsbereichs #0100h des Managers B1 sind 0100h bis 03FFh in dem Codebereich von 0000h bis FFFFh des Bereichs-Definitionsbereichs #0000h zugeteilt, der die Parent-Schicht des Bereichs-Definitionsbereichs #0100h darstellt. Da der Codebereich des Bereichs-Definitionsbereichs des Managers B1 von 0100h bis 03FFh geht, ist hier 0100h, der kleinste Wert des Codebereichs, als Bereichs-Code des Bereichs-Definitionsbereichs des Managers B1 gesetzt. Die freie Kapazität und der Bereichs-Schlüssel des Bereichs-Definitionsbereichs #0100h sind auf 14 bzw. a0a0a0a0a0a0a0a0 gesetzt.
  • Die Schicht des Bereichs-Definitionsbereichs #0100h des Managers B1 ist mit dem Bereichs-Definitionsbereich #0300h des Managers C als dessen Child-Schicht versehen. Als Codebereich des Bereichs-Definitionsbereichs #0300h des Managers C sind 0300h bis 03FFh in dem Codebereich von 0100h bis 03FFh des Bereichs-Definitionsbereichs #100h zugeteilt, der dessen Parent-Schicht ist. Da der Codebereich des Bereichs-Definitionsbereichs des Managers C von 0300h bis 03FFh geht, ist hier 0300h, der kleinste Wert des Codebereichs, als Bereichs-Code des Bereichs-Definitionsbereichs des Managers C gesetzt.
  • Die freie Kapazität und der Bereichs-Schlüssel des Bereichs-Definitionsbereichs #03j00h sind auf 0 bzw. auf b0b0b0b0b0b0b0b0 gesetzt.
  • Die Schicht des Bereichs-Definitionsbereichs #0300h des Managers C weist einen Service-Definitionsbereich für die Service-Lieferung durch den Manager C auf. 030Ch in dem Codebereich von 0300h bis 03FFh des Bereichs-Definitionsbereichs #0300h ist als Service-Code dem Service-Definitionsbereich zugeteilt.
  • Die Kapazität des Service-Definitionsbereichs, dem der Service-Code 030Ch zugeteilt ist, d.h. des Service-Definitionsbereichs #030Ch ist auf 16 gesetzt, und so kann der aus 16 Benutzerblöcken konstruierte Service-Bereich benutzt werden. Der Service-Schlüssel des Service-Definitionsbereichs #030Ch ist auf 0202020202020202 gesetzt.
  • Die Kapazität des von dem Service-Definitionsbereich #030Ch verwalteten Service-Bereichs ist gleich 16, wobei der Service-Definitionsbereich #030Ch selbst einen Block als Service-Definitionsblock benutzt, so daß die Zahl der benutzten Blöcke 17 (= 16 + 1) ist, weil der Service-Definitionsbereich #030Ch existiert. Die Zahl der Blöcke, die von dem Bereichs-Definitionsbereich #0300h einer Schicht benutzbar sind, zu der der Service-Definitionsbereich #030Ch gehört, ist gleich Null Blöcke, weil dessen freie Kapazität gleich Null ist. Der Bereichs-Definitionsbereich #0300h benutzt selbst einen Block als Bereichs-Definitionsblock. Deshalb ist in der Schicht des Bereichs-Definitionsbereichs #0300h die Zahl der Blöcke, die benutzt werden, 18 (= 17 + 1), und die Zahl der benutzbaren Blöcke ist gleich Null. Deshalb ist die Zahl der Blöcke, die aus dem Bereichs-Definitionsbereich #0100h zugeteilt werden, der als dessen Parent-Schicht (obere Schicht) dient, gleich 18 (= 18 + 0).
  • Bezüglich der Schicht des Bereichs-Definitionsbereichs #0100h werden 18 Blöcke in dem Bereichs-Definitionsbereich #0300h benutzt, der als Child-Schicht (untere Schicht) des Bereichs-Definitionsbereichs #0100h dient, wie dies oben beschrieben wurde. Der Bereichs-Definitionsbereich #0100h selbst benutzt einen Block als Bereichs-Definitionsblock. Die freie Kapazität des Bereichs-Definitionsbereichs #0100h ist gleich 14, wie dies oben beschrieben wurde. Dementsprechend ist in der Schicht des Bereichs-Defini tionsbereichs #0100h die Zahl der Blöcke, die benutzt werden, gleich 19 (= 18 + 1), und die Zahl der benutzbaren Blöcke ist gleich 14. Deshalb ist die Zahl der Blöcke, die aus dem Bereichs-Definitionsbereich #0000h zugeteilt werden, der als dessen Parent-Schicht dient, gleich 33 (= 19 + 14).
  • Auf der anderen Seite sind als Codebereich des Bereichs-Definitionsbereichs #1000h des Managers B2 1000h bis 1FFFh in dem Codebereich von 0000h bis FFFFh des Bereichs-Definitionsbereichs #0000h zugeteilt, der als dessen Parent-Schicht dient. Da der Codebereich des Bereichs-Definitionsbereichs des Managers B von 1000h bis 1FFFh geht, ist hier 1000h, der minimale Wert des obigen Codebereichs, als Bereichs-Code des Bereichs-Definitionsbereichs des Managers B2 gesetzt.
  • Die freie Kapazität und der Bereichs-Schlüssel des Bereichs-Definitionsbereichs #1000h sind auf 43 bzw. c0c0c0c0c0c0c0c0 gesetzt.
  • Die Schicht des Bereichs-Definitionsbereichs #1000h des Managers B2 weist einen Service-Definitionsbereich für die Service-Lieferung des Managers B2 auf. 1022h in dem Codebereich von 1000h bis 1FFFh des Code-Definitionsbereichs #1000h ist als Service-Code dem Service-Definitionsbereich zugeteilt.
  • Die Kapazität des Service-Definitionsbereichs, dem der Service-Code 1022h zugeteilt ist, d.h. der Service-Definitionsbereich #1022h ist auf 4 gesetzt, und so kann ein aus vier Benutzerblöcken aufgebauter Service-Bereich benutzt werden. Der Service-Schlüssel des Service-Definitionsbereichs #1022h ist auf 0303030303030303 gesetzt.
  • Die Kapazität des von dem Service-Definitionsbereich #1022h verwalteten Service-Bereichs ist hier gleich 4, und der Service-Definitionsbereich #1022h selbst benutzt einen Block als Service-Definitionsblock, so daß wegen des Vorhandenseins des Service-Definitionsbereichs #1022h die Zahl der benutzten Blöcke 5 (= 4 + 1) ist. Die Zahl der Blöcke, die von dem Bereichs-Definitionsbereich #1000h einer Schicht benutzbar sind, zu dem der Service-Definitionsbereich #1022h gehört, ist gleich 43, weil dessen freie Kapazität gleich 43 ist. Der Bereichs-Definitionsbereich #1000h selbst benutzt einen Block als Bereichs-Definitionsblock. Deshalb ist in der Schicht des Bereichs-Definitionsbereichs #1000h die Zahl der benutzten Blöcke gleich 6 (= 5 + 1), und die Zahl der benutzbaren Blöcke ist gleich 43, so daß die Zahl der dem Bereichs-Definitionsbereich #1000h zugeteilten Blöcke 49 (= 6 + 43) ist.
  • Da der Codebereich, der als Bereich für die Identifikationscodes dient, die einem zu verwaltenden Bereichs-Definitionsbereich zugeteilt werden können, in dem Bereichs-Definitionsbereich gespeichert ist, wie dies oben beschrieben wurde, kann auf der Basis des Codebereichs eine Schichtstruktur definiert werden, wie sie in 7 dargestellt ist, in der ein Bereichs-Definitionsbereich eines Management-Ziels als Child-Schicht und ein Bereichs-Definitionsbereich zum Verwalten des Bereichs-Definitionsbereichs als Parent-Schicht gesetzt ist.
  • Als Nächstes wird anhand von 8 ein Prozeß für den Aufbau der in 7 dargestellten Schichtstruktur beschrieben, wobei angenommen wird, daß der Manager A, dem der Bereichs-Definitionsbereich #0000h der obersten Schicht zugeteilt ist, der Herausgeber einer IC-Karte 2 ist.
  • Der Manager A gibt die IC-Karte 2 entsprechend der Anforderung des Benutzers aus (1). In der IC-Karte 2 ist nur der Bereichs-Definitionsbereich #000h in der Schichtstruktur von 7 ausgebildet.
  • Wenn der Manager A mit der Lieferung eines bestimmten Dienstes beginnt, indem er den durch den Service-Definitionsbereich #0008h verwalteten Service-Bereich benutzt, registriert der Manager A in der Ausgabemaschine 101 für registrierte Karten die Information, die zur Ausbildung des Service-Definitionsbereichs #0008h benötigt wird (2).
  • Die Ausgabemaschine 101 für registrierte Karten besteht hier z.B. aus dem R/W 1 und der Steuerung 3, die in 3 dargestellt sind. Die Ausgabemaschine 101 für registrierte Karten kann in einer Eisenbahnstation, einem Einzelhandelsgeschäft oder in anderen Einrichtungen angeordnet sein.
  • Wenn ein Benutzer eine IC-Karte 2 in eine Ausgabemaschine 101 für registrierte Karten einführt (wenn die IC-Karte 2 so eingestellt ist, daß sie mit dem in der Ausgabemaschine 101 für registrierte Karten enthaltenen R/W 1 kommunizieren darf), führt die Ausgabemaschine 101 für registrierte Karten die Ausgabetätigkeit für registrierte Karten aus, d.h., sie sendet auf der Basis der registrierten Information einen Befehl und die notwendigen Daten an die IC-Karte 2, um den Service-Definitionsbereich #0008h zu erzeugen. Diese Operation ermöglicht es, daß der Benutzer mit dem Service des Managers A beliefert wird, indem er den von dem Service-Definitionsbereich #0008h verwalteten Service-Bereich benutzt.
  • Wenn andererseits die Manager B1, B2 mit dem Service beliefert werden möchten, der die IC-Karte 2 benutzt, schließt jeder von ihnen einen Vertrag mit dem Manager A, so daß der Manager A in der Ausgabemaschine 101 für registrierte Karten die für die Bildung der Bereichs-Definitionsbereiche #0100h und #1000h erforderliche Information registriert (3), (4). Wenn ein Benutzer eine IC-Karte 2 in die Ausgabemaschine 101 für registrierte Karten einführt, führt die Ausgabemaschine 101 für registrierte Karten die Tätigkeit zur Ausgabe registrierter Karten durch, d.h. sie sendet auf der Basis der registrierten Information einen Befehl und die notwendigen Daten an die IC-Karte 2, um die Bereichs-Definitionsbereiche #0100h und #1000h zu erzeugen, so daß die Manager B1 oder B2 die Ressource der IC-Karte 2 in dem in dem Bereichs-Definitionsbereich #0100h oder #1000h definierten Bereich nutzen können. In diesem Fall ist der Manager A für die Manager B1 und B2 der Händler-Emittent für registrierte Karten.
  • Wenn der Manager B2 anschließend mit der Lieferung eines bestimmten Dienstes beginnt, indem er den von dem Service-Definitionsbereich #1022h verwalteten Service-Bereich benutzt, registriert der Manager B2 in der Ausgabemaschine 101 für registrierte Karten die Information, die notwendig ist, um den Service-Definitionsbereich #1022h zu erzeugen (5). Wenn ein Benutzer eine IC-Karte 2 in die Ausgabemaschine 101 für registrierte Karten einführt, sendet die Ausgabemaschine 101 für registrierte Karten auf der Basis der registrierten Information einen Befehl und die notwendigen Daten an die IC-Karte 2, um den Service-Definitionsbereich #1022h zu erzeugen. Deshalb kann der Benutzer mit dem Dienst des Managers B2 beliefert werden, indem er den von dem Service-Definitionsbereich #1022h verwalteten Service-Bereich benutzt.
  • Wenn der Manager C unter der Kontrolle des Managers B1 einen Service über die IC-Karte 2 liefern möchte, schließt der Manager C einen Vertrag mit dem Manager B1, so daß der Manager B1 in der Ausgabemaschine 101 für registrierte Karten die für die Erzeugung des Bereichs-Definitionsbereichs #0300h benötigte Information registriert (6). Wenn ein Benutzer eine IC-Karte 2 in die Ausgabemaschine 101 für registrierte Karten einführt, sendet die Ausgabemaschine 101 für registrierte Karten auf der Basis der registrierten Information einen Befehl und die notwendigen Daten an die IC-Karte 2, um den Bereichs-Definitionsbereich #0300h zu bilden, so daß der Manager C die Ressource der IC-Karte 2 in dem Umfang benutzen kann, der in dem Bereichs-Definitionsbereich #0300h definiert ist. In diesem Fall ist der Manager B1 für den Manager C der Händler-Emittent für registrierte Karten.
  • Wenn der Manager C anschließend unter Verwendung des von dem Service-Definitionsbereich #030Ch verwalteten Service-Bereichs mit der Lieferung eines bestimmten Service beginnt, registriert der Manager C in der Ausgabemaschine 101 für registrierte Karten die zur Bildung des Service-Definitionsbereichs #030Ch benötigte Information (7). Wenn ein Benutzer eine IC-Karte 2 in die Ausgabemaschine 101 für registrierte Karten einführt, sendet die Ausgabemaschine 101 für registrierte Karten auf der Basis der registrierten Information einen Befehl und die notwendigen Daten an die IC-Karte 2, um den Service-Definitionsbereich #030Ch zu erzeugen, so daß der Benutzer die Lieferung des Service durch den Manager C akzeptieren kann, wobei der durch den Service-Definitionsbereich #030Ch verwaltete Service-Bereich benutzt wird.
  • In der IC-Karte 2 werden der Bereichs-Definitionsbereich und der Service-Definitionsbereich entsprechend dem Befehl aus der Ausgabemaschine 101 für registrierte Karten erzeugt, wie dies oben beschrieben wurde. Der Bereichsbildungsprozeß zur Bildung des Bereichs-Definitionsbereichs und der Servicebildungsprozeß zur Bildung des Service-Definitionsbereichs werden z.B. von dem Sequencer 91 durchgeführt. Der Bereichsbildungsprozeß und der Servicebildungsprozeß werden anhand von 9 und 10 beschrieben.
  • Zunächst wird anhand des Flußdiagramms von 9 der Bereichsbildungsprozeß beschrieben.
  • Wenn die IC-Karte 2 in die Ausgabemaschine 101 für registrierte Karten eingeführt wird, sendet die Ausgabemaschine 101 für registrierte Karten an die IC-Karte 2 einen Befehl, der die Bildung eines Bereichs-Definitionsbereichs anweist (im folgenden als Definitions-, Bereichsgestaltungsbefehl bezeichnet), ferner die zur Bildung des Bereichs-Definitionsbereichs erforderliche Information, d.h. z.B. den Codebereich des zu bildenden Bereichs-Definitionsbereichs, die Zahl der Blöcke, die dem Bereichs-Definitionsbereich zugeteilt werden (im folgenden als Zuteilungsblockzahl bezeichnet) sowie einen Bereichsschlüssel.
  • Wenn die IC-Karte 2 (Sequencer 91) den Bereichsgestaltungsbefehl empfängt, erkennt sie den Codebereich des zu bildenden Bereichs-Definitionsbereichs, eine Zuteilungsblockzahl, einen Bereichsschlüssel usw., die zusammen mit dem Bereichsgestaltungsbefehl gesendet werden. Außerdem wird in der IC-Karte 2 der Bereichs-Code des zu bildenden Bereichs-Definitionsbereichs erkannt. Das heißt, in diesem Fall wird der minimale Wert des Codebereichs des zu bildenden Bereichs-Definitionsbereichs als dessen Bereichs-Code erkannt. Außerdem wird in der IC-Karte 2 der Bereichs-Definitionsbereich mit dem Codebereich, der den Codebereich des zu bildenden Bereichs-Definitionsbereichs enthält, als Bereichs-Definitionsbereich der Parent-Schicht des zu bildenden Bereichs-Definitionsbereichs erkannt.
  • In der IC-Karte 2 wird in dem Schritt S1 geprüft, ob der zu bildende Bereichs-Definitionsbereich in dem EEPROM 66 bereits gebildet wurde. Das heißt, in dem Schritt S1 wird geprüft, ob der Bereichs-Definitionsbereich, der den gleichen Bereichs-Code hat wie der Bereichs-Code des zu bildenden Bereichs-Definitionsbereichs, bereits gebildet wurde.
  • Wenn in dem Schritt S1 festgestellt wird, daß der zu bildende Bereichs-Definitionsbereich bereits gebildet wurde, wird der Bereichsbildungsprozeß beendet. Das heißt, wenn der zu bildende Bereichs-Definitionsbereich bereits gebildet wurde, erfolgt keine weitere Verarbeitung, weil es nicht notwendig ist, den gleichen Bereichs-Definitionsbereich doppelt zu bilden.
  • Wenn in dem Schritt S1 hingegen festgestellt wird, daß der zu bildende Bereichs-Definitionsbereich noch nicht gebildet wurde, geht die Verarbeitung weiter zu dem Schritt S2, um zu prüfen, ob der Codebereich des zu bildenden Bereichs-Definitionsbereichs und die Zahl der zugeteilten Blöcke (Kapazität) geeignet sind oder nicht. Das heißt, in dem Schritt S2 wird geprüft, ob der Codebereich des zu bildenden Bereichs-Definitionsbereichs in dem Codebereich enthalten ist, ob der in dem Bereichs-Definitionsbereich der Parent-Schicht gespeichert ist, und ob die Zuteilungsblockzahl des zu bildenden Bereichs-Definitionsbereichs kleiner ist als die freie Kapazität, die in dem Bereichs-Definitionsbereich der Parent-Schicht gespeichert ist.
  • Wenn in dem Schritt S2 festgestellt wird, daß der Codebereich des zu bildenden Bereichs-Definitionsbereichs und die Zuteilungsblockzahl nicht geeignet sind, d.h., wenn der Codebereich des zu bildenden Bereichs-Definitionsbereichs in dem Codebereich enthalten ist, der in dem Bereichs-Definitionsbereich der Parent-Schicht gespeichert ist, oder die Zuteilungsblockzahl des zu bildenden Bereichs-Definitionsbereichs die in dem Bereichs-Definitionsbereich der Parent-Schicht gespeicherte freie Kapazität übersteigt, wird in dem Schritt S3 eine Fehlerverarbeitung durchgeführt und dann der Bereichsbildungsprozeß beendet. Das heißt, in dem Schritt S3 wird an die Ausgabemaschine 101 für registrierte Karten eine Nachricht gesendet, daß kein Bereichs-Definitionsbereich als Child-Schicht des Bereichs-Definitionsbereichs der Parent-Schicht gebildet werden kann. Deshalb wird in diesem Fall kein Bereichs-Definitionsbereich gebildet (es wird keine registrierte Karte ausgegeben).
  • Wenn in dem Schritt S2 hingegen festgestellt wird, daß der Codebereich des zu bildenden Bereichs-Definitionsbereichs und die Zuteilungsblockzahl geeignet sind, d.h. wenn festgestellt wird, daß der Codebereich des zu bildenden Bereichs-Definitionsbereichs und die Zuteilungsblockzahl geeignet sind, d.h. wenn festgestellt wird, daß der Codebereich des zu bildenden Bereichs-Definitionsbereichs in dem Codebereich enthalten ist, der in dem Bereichs-Definitionsbereich der Parent-Schicht gespeichert ist, und die Zuteilungsblockzahl des zu bildenden Bereichs-Definitionsbereichs kleiner ist als die in dem Bereichs-Definitionsbereich der Parent-Schicht gespeicherte freie Kapazität, wird der zu bildende Bereichs-Definitionsbereich in dem Schritt S4 als Child-Schicht des Bereichs-Definitionsbereichs der Parent-Schicht gebildet.
  • Das heißt, in dem Schritt S4 wird der unterste Block (der freie Block mit der höchsten logischen Adresse) in den freien Blöcken des EEPROMs 66 (6) als Bereichs-Definitionsblock gesichert, der dem zu bildenden Bereichs-Definitionsbereich entspricht. Außerdem werden der Codebereich, die freie Kapazität, der Bereichsschlüssel usw. in den Bereichs-Definitionsblock eingeschrieben (gespeichert). In dem Schritt S4 werden die von der Ausgabemaschine 101 für registrierte Karten gesendeten Daten direkt als Codebereich und Bereichsschlüssel eingeschrieben. Der Wert, den man erhält, indem man den Wert 1 von der aus der Ausgabemaschine 101 für registrierte Karten gesendeten Zuteilungsblockzahl subtrahiert, wird als freie Kapazität eingeschrieben. Der Wert, den man durch Subtrahieren des Werts 1 von der Zuteilungsblockzahl erhält, wird eingeschrieben, weil der so gebildete Bereichs-Definitionsbereich selbst einen Block benutzt.
  • Die Verarbeitung geht dann weiter zu dem Schritt S5, um die freie Kapazität des Bereichs-Definitionsbereichs der Parent-Schicht neu einzuschreiben, und dann wird der Bereichsbildungsprozeß beendet. Das heißt, in dem Schritt S5 wird der Wert, den man durch Subtrahieren der Zuteilungsblockzahl von der freien Kapazität des Bereichs-Definitionsbereichs der Parent-Schicht erhält, als freie Kapazität des Bereichs-Definitionsbereichs der Parent-Schicht neu eingeschrieben.
  • Durch den oben beschriebenen Bereichsbildungsprozeß werden die in 7 dargestellten Bereichs-Definitionsbereiche #0100h, #1000h, #0300h der Manager B1, B2, C gebildet.
  • Das heißt, unter der Annahme, daß zur Ausgabezeit der IC-Karte 2 der Manager A, der auch der Emittent der IC-Karte 2 ist, alle Ressourcen der IC-Karte 2 besitzt und daß die Identifikations-Codes oder die von der IC-Karte 2 benutzbare Kapazität von 0000h bis FFFFh oder über 65533 Blöcke reichen, existiert zur Ausgabezeit der IC-Karte 2 als Bereichs-Definitionsbereich nur der Bereichs-Definitionsbereich #0000hh der obersten Schicht, deren Codebereich von 0000h bis FFFFh reicht, und die freie Kapazität ist gleich 65532.
  • Wie 6 zeigt, hat das EEPROM 66 im vorliegenden Ausführungsbeispiel 65536 Blöcke, die nutzbare Kapazität beträgt jedoch 65533 Blöcke, ihre Zahl ist nach der Ausgabe der IC-Karte 2 also um 3 kleiner als 65536, weil der Herstellungs-ID-Block, der Ausgabe-ID-Block und der System-Definitionsblock vorhanden sind.
  • Außerdem umfaßt die freie Kapazität des Bereichs-Definitionsbereichs #0000h der obersten Schicht 65532 Blöcke, ihre Zahl also um einen Block kleiner als die nutzbare Kapazität von 65533 Blöcken, weil der Bereichs-Definitionsbereich #0000h selbst einen Block benutzt.
  • Wenn der Manager A mit dem Manager B1 die Identifikations-Codes in dem Bereich von 0100h bis 03FFh und 33 Blöcke in dessen Ressourcen teilt, wird der Bereichsbildungsprozeß durchgeführt, um den Bereichs-Definitionsbereich #0100h zu erzeugen. Das heißt, in diesem Fall werden 0100h bis 03FFh und 32 Blöcke als Codebereich bzw. als freie Kapazität in den Bereichs-Definitionsbereich #0100h eingeschrieben. Die freie Kapazität ist um einen Block kleiner als die Zahl der 33 Blöcke, die von dem Manager A geteilt werden, weil der Bereichs-Definitionsbereich #0100h selbst einen Block benutzt.
  • Wenn der Bereichs-Definitionsbereich #0100h gebildet wird, wird die freie Kapazität des Bereichs-Definitionsbereichs #0000h des Managers A um 33 Blöcke reduziert, die mit dem Manager B1 geteilt werden.
  • Wenn der Manager A mit dem Manager B2 die Identifikations-Codes des Bereichs von 1000h bis 1FFFh und 49 Blöcke teilt, wird der Bereichsbildungsprozeß ausgeführt, um den Bereichs-Definitionsbereich #1000h zu erzeugen. Das heißt, in diesem Fall werden 1000h bis 1FFFh und 48 Blöcke als Codebereich bzw. als freie Kapazität in den Bereichs-Definitionsbereich #1000h eingeschrieben. Die freie Kapazität ist um einen Block kleiner als die Zahl von 49 Blöcken, die von dem Manager A geteilt werden, weil der Bereichs-Definitionsbereich #1000h selbst einen Block benutzt.
  • Wenn der Bereichs-Definitionsbereich #1000h gebildet wird, wird die freie Kapazität des Bereichs-Definitionsbereich #0000h des Managers A um 33 Blöcke reduziert, die mit dem Manager B2 geteilt werden.
  • Wenn der Bereichs-Definitionsbereich #0100h oder #1000h in der oben beschriebenen Weise gebildet wird, wird es dem Manager B1 oder B2 ermöglicht, in der Schicht des Bereichs-Definitionsbereichs #0100h oder #1000h einen Bereichs-Definitionsbereich und einen Service-Definitionsbereich als Child-Schichten der obigen Schicht zu bilden.
  • Wenn der Manager B1 z.B. mit dem Manager C die Identifikations-Codes des Bereichs von 0300h bis 03FFh und 18 Blöcke teilt, wird der Bereichsbildungsprozeß durchgeführt, um den Bereichs-Definitionsbereich #0300h zu erzeugen. Das heißt, in diesem Fall werden 0300h bis 03FFh und 17 Blöcke als Codebereich bzw. als freie Kapazität in den Bereichs-Definitionsbereich #0300h eingeschrieben. Die freie Kapazität ist um einen Block kleiner als die Zahl von 18 Blöcken, die von dem Manager B1 geteilt werden, weil der Bereichs-Definitionsbereich #0300h selbst einen Block benutzt.
  • Wenn der Bereichs-Definitionsbereich #0300h gebildet wird, wird die freie Kapazität des Bereichs-Definitionsbereichs #0100h des Managers B1 um eine Anzahl von 18 Blöcken reduziert, die von dem Manager C geteilt werden. Das heißt, die freie Kapazität des Bereichs-Definitionsbereichs #0100h umfaßt, wie oben beschrieben, 32 Blöcke, wenn der Bereichs-Definitionsbereich #0100h gebildet wird. Allerdings wird, wie in 7 dargestellt, die freie Kapazität um 18 Blöcke reduziert, so daß die freie Kapazität 14 Blöcke beträgt.
  • Als Nächstes wird anhand des Flußdiagramms von 10 der Servicebildungsprozeß beschrieben.
  • Wenn die IC-Karte 2 in die Ausgabemaschine 101 für registrierte Karten eingeführt wird, sendet die Ausgabemaschine 101 für registrierte Karten an die IC-Karte 2 einen Befehl mit der Anweisung, einen Service-Definitionsbereich zu bilden (im folgenden als Servicebildungsbefehl bezeichnet), ferner die zur Bildung des Service-Definitionsbereichs benötigte Information, d.h. einen Service-Code des zu bildenden Service-Definitionsbereichs, die Zahl der dem Service-Definitionsbereich zugeteilten Blöcke (im folgenden als Zuteilungsblockzahl bezeichnet) und einen Service-Schlüssel usw.
  • Wenn der Servicebildungsbefehl empfangen wird, erkennt die IC-Karte 2 (Sequencer 91) den Service-Code des zu bildenden Service-Definitionsbereichs, die Zuteilungsblockzahl, den Service-Schlüssel usw.. Außerdem wird in der IC-Karte 2 der Bereichs-Definitionsbereich mit dem Codebereich, der den Service-Code des zu bildenden Service-Definitionsbereichs enthält, als Bereichs-Definitionsbereich der Parent-Schicht des zu bildenden Service-Definitionsbereichs erkannt.
  • In der IC-Karte 2 wird in dem Schritt S11 geprüft, ob der zu bildende Service-Definitionsbereich in dem EEPROM 66 bereits gebildet wurde. Das heißt, in dem Schritt S11 wird geprüft, ob ein Service-Definitionsbereich, der den gleichen Service-Code hat wie der zu bildende Service-Definitionsbereich, bereits gebildet wurde.
  • Wenn in dem Schritt S11 festgestellt wird, daß der zu bildende Service-Definitionsbereich bereits gebildet wurde, wird der Servicebildungsprozeß beendet. Das heißt, wenn der zu bildende Service-Definitionsbereich bereits gebildet wurde, wird die nachfol gende Bearbeitung nicht ausgeführt, weil es nicht notwendig ist, den gleichen Service-Definitionsbereich doppelt zu bilden.
  • Wenn in dem Schritt S11 hingegen festgestellt wird, daß der zu bildende Service-Definitionsbereich noch nicht gebildet wurde, geht die Verarbeitung weiter zu dem Schritt S12, um zu prüfen, ob der Service-Code des zu bildenden Service-Definitionsbereichs und die Zuteilungsblockzahl (Kapazität) geeignet sind oder nicht. Das heißt, in dem Schritt S12 wird geprüft, ob der Service-Code des zu bildenden Service-Definitionsbereichs in dem Codebereich enthalten ist, der in dem Bereichs-Definitionsbereich der Parent-Schicht gespeichert ist, und ob die Zuteilungsblockzahl des zu bildenden Service-Definitionsbereichs unter der freien Kapazität liegt, die in dem Bereichs-Definitionsbereich der Parent-Schicht gespeichert ist.
  • Wenn in dem Schritt S12 festgestellt wird, daß der Service-Code des zu bildenden Service-Definitionsbereichs und die Zuteilungsblockzahl nicht geeignet sind, d.h. wenn der Service-Code des zu bildenden Service-Definitionsbereichs nicht in dem Codebereich enthalten ist, der in dem Bereichs-Definitionsbereich der Parent-Schicht enthalten ist, oder wenn die Zuteilungsblockzahl des zu bildenden Service-Definitionsbereichs, die in dem Bereichs-Definitionsbereich der Parent-Schicht gespeicherte freie Kapazität übersteigt, geht die Verarbeitung weiter zu dem Schritt S13, um die Fehlerverarbeitung durchzuführen, und anschließend wird der Bereichsbildungsprozeß beendet. Das heißt, in dem Schritt S33 wird an die Ausgabemaschine 101 für registrierte Karten die Nachricht gesendet, daß in der Schicht des Bereichs-Definitionsbereichs der Parent-Schicht kein Service-Definitionsbereich gebildet werden kann. In diesem Fall kann also kein Service-Definitionsbereich gebildet werden.
  • Wenn in dem Schritt S12 hingegen festgestellt wird, daß der Service-Code des zu bildenden Service-Definitionsbereichs und die Zuteilungsblockzahl geeignet sind, d.h. wenn der Service-Code des zu bildenden Service-Definitionsbereichs in dem Codebereich enthalten ist, der in dem Bereichs-Definitionsbereich der Parent-Schicht gespeichert ist, und die Zuteilungsblockzahl des zu bildenden Service-Definitionsbereichs unter der freien Kapazität liegt, die in dem Bereichs-Definitionsbereich der Parent-Schicht gespeichert ist, geht die Verarbeitung weiter zu dem Schritt S14, in welchem der zu bildende Service-Definitionsbereich in der Schicht des Bereichs-Definitionsbereichs der Parent-Schicht erzeugt wird.
  • Das heißt, in dem Schritt S14 wird der unterste Block (ein freier Block mit der höchsten logischen Adresse) der freien Blöcke des EEPROMs 66 (6) als Service-Definitionsblock gesichert, der dem zu bildenden Service-Definitionsbereich entspricht. Außerdem werden der Service-Code, die Kapazität, der Service-Schlüssel usw. in den Service-Definitionsblock eingeschrieben. In diesem Fall werden in dem Schritt S14 der Service-Code und der Service-Schlüssel, die von der Ausgabemaschine 101 für registrierte Karten gesendet werden, direkt eingeschrieben. Der Wert, der gewonnen wird, indem von der aus der Ausgabemaschine 101 für registrierte Karten gesendeten Zuteilungsblockzahl der Wert 1 subtrahiert wird, wird als Kapazität eingeschrieben. Der Wert, der durch Verringern der Zuteilungsblockzahl um 1 gewonnen wird, wird eingeschrieben, weil der zu bildende Service-Definitionsbereich selbst einen Block benutzt.
  • In dem Schritt S14 werden freie Blöcke, deren Zahl der in den so gebildeten Service-Definitionsbereich eingeschriebenen Kapazität entspricht, in aufsteigender Reihenfolge ihrer logischen Adressen eingeschrieben und als Benutzerblöcke gesichert, die den von dem Service-Definitionsbereich verwalteten Service-Bereich bilden. Anschließend geht der Prozeß weiter zu dem Schritt S15.
  • In dem Schritt S15 wird die freie Kapazität des Bereichs-Definitionsbereichs der Parent-Schicht neu eingeschrieben, und der Servicebildungsprozeß wird beendet. Das heißt, in dem Schritt S15 wird der Wert, der durch Subtrahieren der Zuteilungsblockzahl von der freien Kapazität des Bereichs-Definitionsbereichs der Parent-Schicht gewonnen wird, als freie Kapazität des Bereichs-Definitionsbereichs neu eingeschrieben.
  • Die in 7 dargestellten Service-Definitionsbereiche #0008h, #1022h, #030Ch der Manager A, B2, C werden durch die Ausführung des oben beschriebenen Servicebildungsprozesses gebildet.
  • Das heißt, wenn der Manager A seine Dienste unter Verwendung des Identifikations-Codes 0008h und der Kapazität von 9 Blöcken in seinen Ressourcen liefert, wird der Servicebildungsprozeß ausgeführt, um den Service-Definitionsbereich #0008h zu bilden, indem 8 Blöcke als Kapazität in den Service-Definitionsbereich #0008h eingeschrieben werden. Außerdem werden acht freie Blöcke als Benutzerblöcke gesichert und als Service-Bereich gesetzt, der von dem Bereichs-Definitionsbereich #0008h verwaltet wird. Die in den Service-Definitionsbereich #0008h eingeschriebene Kapazität ist um einen Block kleiner als die Zahl von 9 Blöcken, weil der Service-Definitionsbereich #0008h selbst einen Block benutzt.
  • Wenn der Service-Definitionsbereich #0008h gebildet wird, wird die freie Kapazität des Bereichs-Definitionsbereichs #0000h des Managers A um neun Blöcke reduziert, die mit dem Service-Definitionsbereich #0008h geteilt werden.
  • Wie oben beschrieben wurde, kann der Manager A Dienste liefern, indem er den Service-Bereich von acht Blöcken benutzt, die von dem Service-Definitionsbereich #0008h verwaltet werden.
  • Wenn der Manager B2 Dienste liefert, indem er den Identifikations-Code 1022h und eine Kapazität von 5 Blöcken in seinen Ressourcen benutzt, wird der Servicebildungsprozeß so ausgeführt, daß der Service-Definitionsbereich #1022h gebildet wird, indem 4 Blöcke als Kapazität in den Service-Definitionsbereich #1022h eingeschrieben werden. Außerdem werden vier freie Blöcke als Benutzerblöcke gesichert und als Service-Bereich gesetzt, der von dem Bereichs-Definitionsbereich #1022h verwaltet wird. Die in den Service-Definitionsbereich #1022h eingeschriebene Kapazität ist um einen Block kleiner als die Zahl von 5 Blöcken, weil der Service-Definitionsbereich #1022h selbst einen Block benutzt.
  • Wenn der Service-Definitionsbereich #1022h gebildet wird, wird die freie Kapazität des Bereichs-Definitionsbereichs #1000h des Mana gers B2 um 5 Blöcke reduziert, die mit dem Service-Definitionsbereich #1022h geteilt werden. Das heißt, die freie Kapazität umfaßt, wie oben beschrieben, 48 Blöcke. Wenn der Bereichs-Definitionsbereich #1000h gebildet wird, wird sie jedoch um 5 Blöcke reduziert und umfaßt so 43 Blöcke, wie dies in 7 dargestellt ist.
  • Wie oben beschrieben wurde, darf der Manager B2 Dienste liefern, indem er den Service-Bereich von 4 Blöcken benutzt, die von dem Service-Definitionsbereich #1022h verwaltet werden.
  • Wenn der Manager C Dienste liefert, indem er z.B. den Identifikations-Code 030Ch und die Kapazität von 17 Blöcken in dessen Ressourcen benutzt, wird der Servicebildungsprozeß so ausgeführt, daß der Service-Definitionsbereich #030Ch gebildet wird und 16 Blöcke als Kapazität in den Service-Definitionsbereich #030Ch eingeschrieben werden. Weiterhin werden 16 freie Blöcke als Benutzerblöcke gesichert und als Service-Bereich gesetzt, der von dem Service-Definitionsbereich #030Ch verwaltet wird. Die Kapazität in dem Service-Definitionsbereich #030Ch ist um einen Block kleiner als die Zahl von 17 Blöcken, weil der Service-Definitionsbereich #030Ch selbst einen Block benutzt.
  • Wenn der Service-Definitionsbereich #030Ch gebildet wird, wird die freie Kapazität des Bereichs-Definitionsbereichs #0300h des Managers C um 17 Blöcke reduziert, die mit dem Service-Definitionsbereich #030Ch geteilt werden. Das heißt, die freie Kapazität umfaßt, wie oben beschrieben, 17 Blöcke, wird jedoch um 17 Blöcke reduziert, wenn der Bereichs-Definitionsbereich #0300h gebildet wird, und ist somit gleich Null, wie dies in 7 dargestellt ist.
  • Wie oben beschrieben wurde, darf der Manager C Dienste liefern, indem er den Service-Bereich von 16 Blöcken benutzt, die von dem Service-Definitionsbereich #030Ch verwaltet werden.
  • Das EEPROM 66 wird, wie oben beschrieben, auf der Basis des Bereichs-Definitionsbereichs verwaltet, in welchem der Codebereich und die freie Kapazität gespeichert sind, so daß das Ressourcen- Management der IC-Karte 2 durchgeführt werden kann. Das heißt, die Kapazität und die Identifikations-Codes, die in der Schicht eines Bereichs-Definitionsbereichs nutzbar sind, können eingeschränkt sein. Dies hat zur Folge, daß selbst dann, wenn ein Manager einen Teil der ihm zugeteilten Ressourcen (in diesem Fall nutzbare Kapazität und Identifikations-Codes) mit einem anderen Manager teilt, so daß die IC-Karte 2 gemeinsam nutzbar ist, verhindert werden kann, daß der Identifikations-Code zwischen verschiedenen Managern überlappt, und es kann verhindert werden, daß die Manager das EEPROM 66 benutzen und dabei die durch einen Kontrakt oder dgl. festgelegte Kapazität überschreiten.
  • In der IC-Karte 2 hat der Speicherbereich des EEPROMs 66 eine Schichtstruktur, in der der Bereichs-Definitionsbereich so geschichtet ist, wie dies anhand von 7 beschrieben wurde, und in dem Bereichs-Definitionsbereich bzw. in dem Service-Definitionsbereich sind Schlüssel für die Zertifizierung gespeichert (im vorliegenden Ausführungsbeispiel ein Schlüssel für einen Bereichs-Definitionsbereich und ein Schlüssel für einen Service-Definitionsbereich, die als Bereichs-Schlüssel bzw. als Service-Schlüssel bezeichnet werden), so daß eine Zugangskontrolle für die IC-Karte 2 möglich ist, die hohe Flexibilität und Sicherheit gewährleistet.
  • Das heißt, es läßt sich eine Zugangskontrolle für den Zugriff auf die IC-Karte 2 implementieren, die hohe Flexibilität und Sicherheit gewährleistet, indem die Information, wie in 11 dargestellt, zwischen Managern geliefert wird.
  • Im speziellen Fall legt der Manager A, der auch als Emittent der IC-Karte 2 fungiert, einen in dem System-Definitionsblock des EEPROMs 66 (6) zu speichernden System-Schlüssel und einen Bereichs-Schlüssel des Bereichs-Definitionsbereichs #0000h selbst fest und speichert den System-Schlüssel in dem System-Definitionsblock, während er den Bereichs-Schlüssel #0000h in dem Bereichs-Definitionsbereich #0000h speichert. Der Bereichs-Schlüssel des Bereichs-Definitionsbereichs #xxxxh wird im folgenden als Bereichs-Schlüssel #xxxxh bezeichnet.
  • Weiterhin verschlüsselt der Manager A den System-Schlüssel mit dem Bereichs-Schlüssel #0000h und generiert einen Bereichs-Zwischenschlüssel KA. Als Verschlüsselungsverfahren kann DES (Data Encryption Standard), FEAL (Fast Data Encipherment Algorithm) oder dgl. benutzt werden.
  • Wenn der Manager A die Ressourcen mit dem Manager B1 teilt, gibt der Manager A den Bereichs-Zwischenschlüssel KA an den Manager B1. Außerdem legt der Manager A den Bereichs-Schlüssel #0100h des Managers B1 fest und gibt (verteilt) ihn an den Manager B1 zusammen mit dem Bereichs-Code #0000h.
  • Deshalb kann der Manager B1 den Bereichs-Zwischenschlüssel KA und seinen Bereichs-Schlüssel #0100h erkennen, er kann jedoch nicht den System-Schlüssel und den Bereichs-Schlüssel #0000h des Managers A erkennen, der ein sogenannter Parent ist. Der Bereichs-Schlüssel #0100h des Managers B1 wird jedoch von dem als Parent fungierenden Manager A an den Manager B1 übergeben der als sogenanntes Child fungiert, so daß der Manager A, der als Parent fungiert, den Bereichs-Schlüssel #0100h des als Child fungierenden Managers B1 kennt.
  • Der von dem Manager A an den Manager B1 übergebene Bereichs-Schlüssel #0100h wird durch den Bereichsbildungsprozeß (9) des Bereichs-Definitionsbereichs #0100h des Managers B1 in den des Bereichs-Definitionsbereich #0100h eingeschrieben.
  • Der Manager B1 verschlüsselt den Bereichs-Zwischenschlüssel KA, den er von dem als Parent fungierenden Manager A erhalten hat, auf der Basis des von dem Manager A erhaltenen Bereichs-Schlüssels #0100h, um einen Bereichs-Zwischenschlüssel KB1 zu erzeugen.
  • Der Manager A gibt auch den Bereichs-Zwischenschlüssel KA an den Manager B2, wenn er seine Ressourcen mit dem Manager B2 teilt. Außerdem legt der Manager A den Bereichs-Schlüssel #1000h des Managers B2 fest und übergibt ihn zusammen mit dessen Bereichs-Code #0000h an den Manager B2.
  • Deshalb kann der Manager B2 den Bereichs-Zwischenschlüssel KA und seinen Bereichs-Schlüssel #1000h erkennen, er kann jedoch nicht den System-Schlüssel und den Bereichs-Schlüssel #0000h des als Parent fungierenden Managers A erkennen. Da der Bereichs-Schlüssel #1000h des Managers B2 jedoch von dem als Parent fungierenden Manager A an den als Child fungierenden Manager B2 gegeben wird, erkennt der als Parent fungierende Manager A den Bereichs-Schlüssel #1000h des als Child fungierenden Managers B2.
  • Der von dem Manager A an den Manager B2 gegebene Bereichs-Schlüssel #1000h wird in dem Bereichsbildungsprozeß für den Bereichs-Definitionsbereich #1000h des Managers B2 in dessen Bereichs-Definitionsbereich #1000h eingeschrieben.
  • Der Manager B2 verschlüsselt den Bereichs-Zwischenschlüssel KA, den er von dem als Parent fungierenden Manager A erhält, auf der Basis des von dem Manager A erhaltenen Bereichs-Schlüssels #1000h, um einen Bereichs-Zwischenschlüssel KB2 zu erzeugen.
  • Aus der anderen Seite gibt der Manager B1 den Bereichs-Zwischenschlüssel KB1 an den Manager C, wenn der Manager B1 seine Ressourcen mit dem Manager C teilt. Außerdem legt der Manager B1 den Bereichs-Schlüssel #0300h des Managers C fest und übergibt ihn an den Manager C zusammen mit dessen Bereichs-Code #0100h und dem Bereichs-Code #0000h des als Parent fungierenden Managers A.
  • Deshalb kann der Manager C den Bereichs-Zwischenschlüssel KB1 und seinen Bereichs-Schlüssel #0300h erkennen, er kann jedoch nicht den Bereichs-Schlüssel #0100h des als Parent fungierenden Managers B1 erkennen. Da jedoch der Bereichs-Schlüssel #0100h von dem als Parent fungierenden Manager B1 an den als Child fungierenden Manager C gegeben wird, kennt der als Parent fungierende Manager B1 den Bereichs-Schlüssel #0300h des als Child fungierenden Managers C.
  • Der von dem Manager B1 an den Manager C gegebene Bereichs-Schlüssel #0300h wird durch den Bereichsbildungsprozeß des Bereichs-Definitionsbereichs #0300h des Managers C in seinen Bereichs-Definitionsbereich #0300h eingeschrieben.
  • Der Manager C verschlüsselt den Bereichs-Zwischenschlüssel KB1, den er von dem als Parent fungierenden Manager B1 erhält, auf der Basis des Bereichs-Schlüssels #0300h, den er von dem Manager B1 erhält, um einen Bereichs-Zwischenschlüssel KC zu erzeugen.
  • Wenn der Manager A seine Dienste liefert, wobei er den Service-Bereich benutzt, der von dem in der Schicht seines Bereichs-Definitionsbereichs #0000h gebildeten Service-Definitionsbereich #0008h verwaltet wird, wie dies in 12 dargestellt ist, verchlüsselt der Manager A den in dem Service-Definitionsbereich #0008h gespeicherten Service-Schlüssel (der in dem Service-Definitionsbereich #xxxxh gespeicherte Service-Schlüssel wird im folgenden als Service-Schlüssel #xxxxh bezeichnet) auf der Basis des Bereichs-Zwischenschlüssels KA, um einen Service-Zwischenchlüssel K#0008h zu erzeugen, und registriert ihn in einer Service-Liefermaschine 111 zusammen mit dem Bereichs-Zwischenschlüssel KA. Außerdem registriert der Manager A den Bereichs-Code #0000h seines Bereichs-Definitionsbereichs #0000h und den Service-Code #0008h des in der Schicht des Bereichs-Definitionsbereichs #0000h gebildeten Service-Definitionsbereichs #0008h in der Service-Liefermaschine 111.
  • Die Service-Liefermaschine 111 besteht hier z.B. aus dem R/W 1 und der Steuerung 3, die in 3 dargestellt sind, und Daten werden aus/in einem vorbestimmten Bereich ausgelesen/eingeschrieben, um einen vorbestimmten Service zu liefern.
  • Wenn in diesem Fall die IC-Karte 2 in die Service-Liefermaschine 111 eingeführt wird, wird folgende gegenseitige Zertifizierung zwischen der Service-Liefermaschine 111 und der IC-Karte 2 durchgeführt.
  • Die Service-Liefermaschine 111 sendet, wie in 13 dargestellt, den Bereichs-Code #0000h und den Service-Code #0008h, die in der IC-Karte 2 registriert sind. In der IC-Karte 2 (Sequencer 91) werden der Bereichs-Code #0000h und der Service-Code #0008h aus der Service-Liefermaschine 111 empfangen.
  • In der IC-Karte 2 wird der in dem System-Definitionsblock (6) gespeicherte System-Schlüssel ausgelesen, und außerdem wird der Bereichs-Schlüssel #0000h aus dem Bereichs-Definitionsbereich ausgelesen, der den aus der Service-Liefermaschine 111 empfangenen Bereichs-Code #0000h hat. Außerdem wird der System-Schlüssel auf der Basis des Bereichs-Schlüssels #0000h verschlüsselt, so daß der gleiche Schlüssel generiert wird wie der Bereichs-Zwischenschlüssel KA, der in der Service-Liefermaschine 111 von 12 gespeichert ist. Der gleiche Schlüssel wie der Bereichs-Zwischenschlüssel KA wird als erster Zugangsschlüssel (Zertifizierungsschlüssel) Kbc gesetzt, der für die Zertifizierung benutzt wird.
  • In der IC-Karte 2 wird der Service-Schlüssel #0008h aus dem Service-Definitionsbereich ausgelesen, der den aus der Service-Liefermaschine 111 empfangenen Service-Code #0008h hat. Der Bereichs-Zwischenschlüssel KA wird auf der Basis des Service-Schlüssels #0008h verschlüsselt, so daß der gleiche Schlüssel wie der in der Service-Liefermaschine 111 von 12 registrierte Service-Zwischenschlüssel K#0008h generiert wird. Der gleiche Schlüssel wie der Service-Zwischenschlüssel K#0008h wird als zweiter Zugangsschlüssel Kac gesetzt, der für die Zertifizierung benutzt wird.
  • In diesem Fall ist also der Bereichs-Zwischenschlüssel KA oder der Service-Zwischenschlüssel K#0008h, der als erster Zugangsschlüssel Kbc oder als zweiter Zugangsschlüssel Kac fungiert, in der Service-Liefermaschine 111 registriert, wodurch der Bereichs-Zwischenschlüssel KA oder der Service-Zwischenschlüssel K#0008h, die als erster Zugangsschlüssel Kbc oder als zweiter Zugangsschlüssel Kac fungieren, in der IC-Karte 2 generiert wird.
  • Die Service-Liefermaschine 111 zertifiziert die IC-Karte 2, wie dies z.B. in 14 dargestellt ist.
  • In der Service-Liefermaschine 111 wird eine Zufallszahl generiert, und diese wird nach einem Algorithmus E1 umgewandelt. Das heißt, die Zufallszahl wird auf der Basis des zweiten Zugangsschlüssels Kac verschlüsselt (z.B. DES-verschlüsselt), und das Verschlüsselungsergebnis wird auf der Basis des ersten Zugangsschlüssels Kbc dekodiert (z.B. DES-dekodiert). Das Dekodierungsergebnis wird auf der Basis des zweiten Zugangsschlüssels Kac verschlüsselt. Das Umwandlungsergebnis der Zufallszahl auf der Basis des Algorithmus E1 wird an die IC-Karte 2 gesendet.
  • In der IC-Karte 2 wird das auf dem Algorithmus E1 basierende Umwandlungsergebnis der Zufallszahl aus der Service-Vorrichtung 111 nach dem Algorithmus D1 umgewandelt. Das heißt, das auf dem Algorithmus E1 basierende Umwandlungsergebnis wird auf der Basis des zweiten Zugangsschlüssels Kac dekodiert, und das Dekodierungsergebnis wird auf der Basis des ersten Zugangsschlüssels Kbc verschlüsselt. Das Verschlüsselungsergebnis wird auf der Basis des zweiten Schlüssels Kac dekodiert.
  • In der IC-Karte 2 wird das auf dem Algorithmus D1 basierende Umwandlungsergebnis nach dem Algorithmus E2 weiter umgewandelt. Und zwar wird das auf dem Algorithmus D1 basierende Umwandlungsergebnis auf der Basis des ersten Zugangsschlüssels Kbc verschlüsselt, und der erste Zugangsschlüssel Kbc wird auf der Basis des zweiten Zugangsschlüssels Kac verschlüsselt. Das auf dem ersten Zugangsschlüssel Kbc basierende Verschlüsselungsergebnis für das auf dem Algorithmus D1 basierende Umwandlungsergebnis wird auf der Basis des auf dem zweiten Zugangsschlüssel Kac basierenden Verschlüsselungsergebnisses des ersten Zugangsschlüssels Kbc dekodiert. Das Dekodierungsergebnis wird auf der Basis des ersten Zugangsschlüssels Kbc verschlüsselt und an die Service-Liefermaschine 111 gesendet.
  • In der Service-Liefermaschine 111 wird das auf dem Algorithmus E2 basierende Umwandlungsergebnis aus der IC-Karte 2 nach dem Algorithmus D2 umgewandelt. Das heißt, das auf dem Algorithmus E2 basierende Umwandlungsergebnis wird auf der Basis des ersten Zugangsschlüssels Kbc kodiert, und der erste Zugangsschlüssel Kbc wird auf der Basis des zweiten Zugangsschlüssels Kac verschlüsselt. Das auf dem ersten Zugangsschlüssel Kbc basierende Dekodierergebnis für das auf dem Algorithmus E2 basierende Umwandlungsergebnis wird auf der Basis des Verschlüsselungsergebnisses des ersten Zugangsschlüssels Kbc, das auf dem zweiten Zugangsschlüssel Kac basiert, verschlüsselt. Das Verschlüsselungsergebnis wird auf der Basis des ersten Zugangsschlüssels Kbc dekodiert.
  • In der Service-Liefermaschine 111 werden die ursprüngliche Zufallszahl und das auf dem Algorithmus D2 basierende Umwandlungsergebnis miteinander verglichen, um die IC-Karte 2 zu zertifizieren. Wenn die ursprüngliche Zahl mit dem auf dem Algorithmus D2 basierenden Umwandlungsergebnis übereinstimmt, wird gefolgert, daß die IC-Karte 2 richtig ist. Wenn sie hingegen nicht miteinander überstimmen, wird die IC-Karte 2 als unrichtig betrachtet (sie ist z.B. gefälscht).
  • Wenn die IC-Karte 2 als richtig erkannt wird, wird die Zertifizierung der Service-Liefermaschine 111 in der IC-Karte 2 durchgeführt, wie dies z.B. in 15 dargestellt ist.
  • Das heißt, in der IC-Karte 2 wird die Zufallszahl generiert, und die Zufallszahl wird nach dem Algorithmus E2 umgewandelt und an die Service-Liefermaschine 111 gesendet.
  • In der Service-Liefermaschine 111 wird das auf dem Algorithmus E2 basierende Umwandlungsergebnis der Zufallszahl aus der IC-Karte 2 nach dem Algorithmus D2 umgewandelt. Ferner wird das auf dem Algorithmus D2 basierende Umwandlungsergebnis nach dem Algorithmus E1 umgewandelt und an die IC-Karte 2 gesendet.
  • In der IC-Karte 2 wird das auf dem Algorithmus E2 basierende Umwandlungsergebnis aus der Service-Liefermaschine 111 nach dem Algorithmus D1 umgewandelt, und das Umwandlungsergebnis und die ursprüngliche Zufallszahl werden miteinander verglichen, um die Zertifizierung für die Service-Liefermaschine 111 durchzuführen. Das heißt, wenn die ursprüngliche Zufallszahl mit dem auf dem Algorithmus D2 basierenden Umwandlungsergebnis übereinstimmt, wird die Service-Liefermaschine 111 als richtig erkannt. Wenn sie hingegen nicht miteinander übereinstimmen, wird die Service-Liefermaschine 111 als unrichtig (z.B. modifiziert) erkannt.
  • Wenn sowohl die IC-Karte 2 als auch die Service-Liefermaschine 111 als richtig erkannt werden, wird in der IC-Karte 2 ein Zugriff nur auf den Service-Bereich mit dem aus der Service-Liefermaschine 111 gesendeten Service-Definitionsbereich erlaubt. Dementsprechend ist in dem anhand von 12 und 13 beschriebenen Fall ein Zugriff nur auf den Service-Bereich möglich, der von dem Service-Definitionsbereich #0008h verwaltet wird.
  • Das heißt, der Manager A, der den Bereichs-Zwischenschlüssel KA, den Bereichs-Code #0000h, den Service-Schlüssel #0008h und den Service-Code #0008h kennt, kann auf den von dem Service-Definitionsbereich #0008h verwalteten Service-Bereich zugreifen. Der Manager A kennt jedoch weder den Service-Schlüssel #1022h noch den Service-Schlüssel #030Ch, so daß er grundsätzlich nicht auf den Service-Bereich zugreifen kann, der von dem Service-Definitionsbereich #1022h oder #030Ch verwaltet wird.
  • Wenn der Manager B2 seine Dienste unter Benutzung des Service-Bereichs liefert, der von dem in der Schicht des Bereichs-Definitionsbereichs #1000h gebildeten Service-Definitionsbereich #1022h verwaltet wird, verschlüsselt er den Service-Schlüssel #1022h, der in dem Service-Definitionsbereich #1022h gespeichert ist, auf der Basis des Bereichs-Zwischenschlüssels KB2, wie dies in 16 dargestellt ist, um einen Service-Zwischenschlüssel K#1022h zu erzeugen, und registriert ihn zusammen mit dem Bereichs-Zwischenschlüssel KB2 in der Service-Liefermaschine 111. Der Manager B2 registriert in der Service-Liefermaschine 111 den Bereichs-Code des Bereichs-Definitionsbereichs einer oberen Schicht über der Schicht des Bereichs-Definitionsbereichs #1000h, d.h. in diesem Fall den Bereichs-Code #0000h des Bereichs-Definitionsbereichs #0000h des Managers A und den Bereichs-Code #1000h des Bereichs-Definitionsbereichs #1000h und den Service-Code #1022h des Service-Definitionsbereichs #1022h, der in der in der Schicht des Bereichs-Definitionsbereichs #1000h ausgebildet ist.
  • Wenn in diesem Fall die IC-Karte 2 in die Service-Liefermaschine 111 eingeführt wird, wird zwischen der Service-Liefermaschine 111 und der IC-Karte 2 die folgende gegenseitige Zertifikation durchgeführt.
  • Die Service-Liefermaschine 111 sendet, wie in 17 dargestellt, die registrierten Bereichs-Codes #0000h und #1000h und den Service-Code 1022h an die IC-Karte 2. In der IC-Karte 2 (Sequencer 91) werden die Bereichs-Codes #0000h und #1000h und der Service-Code #1022h aus der Service-Liefermaschine 111 empfangen.
  • In der IC-Karte 2 wird der in dem System-Definitionsblock (6) gespeicherte System-Schlüssel ausgelesen, und der Bereichs-Schlüssel #0000h oder #1000h wird aus dem Bereichs-Definitionsbereich mit dem Bereichs-Code #0000h oder #1000h ausgelesen, die aus der Service-Liefermaschine 111 empfangen werden. Ferner wird der System-Schlüssel auf der Basis des Bereichs-Schlüssels #0000h verschlüsselt, so daß der gleiche Schlüssel wie der Bereichs-Zwischenschlüssel KA generiert wird. Der gleiche Schlüssel wie der Bereichs-Zwischenschlüssel KA wird auf der Basis des Bereichsschlüssels #1000h verschlüsselt, so daß der gleiche Schlüssel wie der in der Service-Liefermaschine 111 registrierte Bereichs-Zwischenschlüssel KB2 von 16 generiert wird. Der gleiche Schlüssel wie der Bereichs-Zwischenschlüssel KB2 wird als erster Zugangsschlüssel Kbc gesetzt, der für die Zertifizierung benutzt wird.
  • In der IC-Karte 2 wird der Service-Schlüssel #1022h aus dem Service-Definitionsbereich mit dem aus der Service-Liefermaschine 111 empfangenen Service-Code #1022h ausgelesen. Der gleiche Schlüssel wie der Bereichs-Zwischenschlüssel KB2 wird auf der Basis des Service-Schlüssels #1022h verschlüsselt, so daß der gleiche Schlüssel wie der in der Service-Liefermaschine 111 von 16 registrierte Service-Zwischenschlüssel K#1022h generiert wird. Der gleiche Schlüssel wie der Service-Zwischenschlüssel K#1022h wird als zweiter Zugangsschlüssel Kac gesetzt, der für die Zertifizierung benutzt wird.
  • Dementsprechend wird in diesem Fall der Bereichs-Zwischenschlüssel KB2 oder der Service-Zwischenschlüssel K#1022h, der der erste Zugangsschlüssel Kbc oder der zweite Zugangsschlüssel Kac ist, in der Service-Liefermaschine 111 registriert, und in der IC-Karte 2 wird der Bereichs-Zwischenschlüssel KB2 oder der Service-Zwischenschlüssel K#1022h generiert, der der erste Zugangsschlüssel Kbc oder der zweite Zugangsschlüssel Kac ist.
  • Die gegenseitige Zertifizierung wird zwischen der IC-Karte 2 und der Service-Liefermaschine 111 in der gleichen Weise wie in dem anhand von 14 und 15 beschriebenen Fall durchgeführt.
  • Als Ergebnis der gegenseitigen Zertifizierung, wenn sowohl die IC-Karte 2 als auch die Service-Liefermaschine 111 als richtig erkannt sind, wird in der IC-Karte 2 der Zugriff lediglich auf den Service-Bereich erlaubt, der von dem Service-Definitionsbereich mit dem von der Service-Liefermaschine 111 gesendeten Service-Code verwaltet wird. Im Fall von 16 und 17 ist also nur der Zugriff auf den Service-Bereich möglich, der von dem Service-Definitionsbereich #1022h verwaltet wird.
  • Das heißt, der Manager B2, der den Bereichs-Zwischenschlüssel KB2, die Bereichs-Codes #0000h, #1000h, den Service-Schlüssel #1022h und den Service-Code #1022h kennt, kann auf den Service-Bereich zugreifen, der von dem Service-Definitionsbereich #1022h verwaltet wird. Der Manager B2 kennt jedoch weder den Service-Schlüssel #0008h noch #030Ch und kann somit grundsätzlich nicht auf die Service-Bereiche zugreifen, die von den Service-Definitionsbereichen #0008h und #030Ch verwaltet werden.
  • Wenn der Manager C Dienste liefert, indem er den Service-Bereich benutzt, der von dem in der Schicht seines Bereichs-Definitionsbereichs #0300h gebildeten Service-Definitionsbereich #030Ch verwaltet wird, verschlüsselt er den in dem Service-Definitionsbereich #030Ch gespeicherten Service-Schlüssel #030Ch auf der Basis des Bereichs-Zwischenschlüssels KC, wie dies in 18 dargestellt ist, um einen Service-Zwischenschlüssel K#030Ch zu erzeugen, und registriert diesen zusammen mit dem Bereichs-Zwischenschlüssel KC in der Service-Liefermaschine 111. Der Manager C registriert in der Service-Liefermaschine 111 auch den Bereichs-Code des Bereichs-Definitionsbereichs einer oberen Schicht über der Schicht seines Bereichs-Definitionsbereichs #0300h, d.h. in diesem Fall den Bereichs-Code #0000h des Bereichs-Definitionsbereichs #0000h des Managers A, den Bereichs-Code 0100h des Bereichs-Definitionsbereichs #0100h des Managers B1, den Bereichs-Code #0300h des Bereichs-Definitionsbereichs #0300h und den Service-Code #030Ch des Service-Definitionsbereichs #030Ch, der in der Schicht des Bereichs-Definitionsbereichs #0300h ausgebildet ist.
  • Wenn in diesem Fall die IC-Karte 2 in die Service-Liefermaschine 111 eingeführt wird, wird zwischen der Service-Liefermaschine 111 und der IC-Karte 2 die folgende gegenseitige Zertifizierung durchgeführt.
  • Die registrierten Bereichs-Codes #0000h, #0100h und #0300h und der Service-Code #030Ch werden, wie in 19 dargestellt, an die IC-Karte 2 gesendet. In der IC-Karte 2 (Sequencer 91) werden die Bereichs-Codes #0000h, #0100h und #0300h und der Service-Code #030Ch aus der Service-Liefermaschine 111 empfangen.
  • In der IC-Karte 2 wird der in dem System-Definitionsblock (6) gespeicherte System-Schlüssel ausgelesen, und auch der Bereichs-Schlüssel #0000h, #0100h oder #0300h wird aus dem Bereichs-Definitionsbereich mit dem Bereichs-Code #0000h, #0100h oder #0300h ausgelesen, der aus der Service-Liefervorrichtung 111 empfangen wird. Der System-Schlüssel wird auf der Basis des Bereichs-Schlüssels #0000h verschlüsselt, so daß der gleiche Schlüssel wie der Bereichs-Zwischenschlüssel KA generiert wird. Der gleiche Schlüssel wie der Bereichs-Zwischenschlüssel KA wird auf der Basis des Bereichs-Schlüssels #0100h verschlüsselt, so daß der gleiche Schlüssel wie der Bereichs-Zwischenschlüssel KB1 generiert wird. Der gleiche Schlüssel wie der Bereichs-Zwischenschlüssel KB1 wird auf der Basis des Bereichs-Schlüssels #0300h verschlüsselt, so daß der gleiche Schlüssel wie der in der Service-Liefermaschine 111 registrierte Bereichs-Zwischenschlüssel KC generiert wird. Der gleiche Schlüssel wie der Bereichs-Zwischenschlüssel KC wird als erster Zugangsschlüssel Kbc gesetzt, der für die Zertifizierung benutzt wird.
  • In der IC-Karte 2 wird der Service-Schlüssel #030Ch aus dem Service-Definitionsbereich mit dem aus der Service-Liefermaschine 111 empfangenen Service-Code #030Ch ausgelesen. Der Bereichs-Zwischenschlüssel KC wird auf der Basis des Service-Schlüssels #030Ch verschlüsselt und dadurch der gleiche Schlüssel generiert wie der Service-Zwischenschlüssel K#030Ch, der in der Service-Liefermaschine 111 von 18 registriert ist. Der gleiche Schlüssel wie der Service-Zwischenschlüssel K#030Ch wird als zweiter Zugangsschlüssel Kac gesetzt, der für die Zertifizierung benutzt wird.
  • In dem obigen Fall wird also der Bereichs-Zwischenschlüssel KC oder der Service-Zwischenschlüssel K#030Ch der der erste Zugangsschlüssel Kbc oder der zweite Zugangsschlüssel Kac ist, in der Service-Liefermaschine 111 registriert, und der Bereichs-Zwischenschlüssel KC oder der Service-Zwischenschlüssel K#030Ch der der erste Zugangsschlüssel Kbc oder der zweite Zugangsschlüssel Kac ist, wird in der IC-Karte 2 generiert.
  • Die gegenseitige Zertifizierung wird zwischen der IC-Karte 2 und der Service-Liefermaschine 111 in der gleichen Weise wie in dem anhand von 14 und 15 beschriebenen Fall durchgeführt.
  • Wenn als Ergebnis der gegenseitigen Zertifizierung sowohl die IC-Karte 2 als auch die Service-Liefermaschine 111 als richtig erkannt werden, wird in der IC-Karte 2 der Zugriff nur auf den Service-Bereich erlaubt, der von dem Service-Definitionsbereich verwaltet wird, der den aus der Service-Liefermaschine 111 gesendeten Service-Code hat. In dem Fall von 18 und 19 ist der Zugriff also nur auf den Service-Bereich möglich, der von dem Service-Definitionsbereich #030Ch verwaltet wird.
  • Das heißt, der Manager C, der den Bereichs-Zwischenschlüssel KC, die Bereichs-Codes #0000h, #0100h, #0300h, den Service-Schlüssel #030Ch und den Service-Code #030Ch kennt, kann auf den von dem Service-Definitionsbereich #030Ch verwalteten Service-Bereich zugreifen. Der Manager C kennt jedoch weder den Service-Schlüssel #0008h noch den Service-Schlüssel #1022Ch und kann grundsätzlich nicht auf den Service-Bereich zugreifen, der von dem Service-Definitionsbereich #0008h oder #1022Ch verwaltet wird.
  • Der Manager kann, wie oben beschrieben, selbst dann auf seinen Service-Bereich zugreifen, wenn er nicht den Bereichs-Schlüssel der oberen Schicht kennt.
  • Wie oben beschrieben wurde, können die einzelnen Manager nicht auf einen Service-Bereich zugreifen, der von einem Service-Definitionsbereich verwaltet wird, für die der Manager nicht den Service-Schlüssel besitzt. Es gibt jedoch z.B. den Fall, daß der Manager C nicht nur Dienste unter Verwendung des Service-Bereichs ausführen möchte, der von seinem Service-Definitionsbereich #030Ch verwaltet wird, sondern auch Dienste, die den Service-Bereich benutzen, der von dem Service-Definitionsbereich #1022h des Managers B verwaltet wird.
  • Damit der Manager C in diesem Fall auf den Service-Bereich zugreifen kann, der von dem Service-Definitionsbereich #1022h verwaltet wird, muß der Manager C den Bereichs-Zwischenschlüssel KB2, die Bereichs-Codes #0000h, #1000h, den Service-Schlüssel #1022h und den Service-Code #1022h kennen, wie dies oben anhand von 16 und 17 beschrieben wurde. Es ist also notwendig, diese Informationen von dem Manager B2 zu erwerben.
  • Den Service-Schlüssel #1022h, der dem Manager B2 bekannt ist, kennt jedoch nicht einmal der Manager A, der als Parent des Managers B2 fungiert, und somit ist es vom Standpunkt der Sicherheit ungünstig, wenn der Service-Schlüssel #1022h, dessen Kenntnis nur dem Manager B2 erlaubt ist, dem Manager C mitgeteilt wird.
  • Damit der Manager C in diesem Fall auf die beiden Service-Bereiche zugreifen kann, die von dem Service-Definitionsbereich #030Ch bzw. #1022h verwaltet werden, ist es, selbst bei Vernachlässigung des Sicherheitsproblems, notwendig, in der IC-Karte 2 den in 17 dargestellten Prozeß auszuführen, um den ersten Zugangsschlüssel Kbc und den zweiten Zugangsschlüssel Kac zu generieren, und die gegenseitige Zertifizierung für einen Zugriff auf den Service-Bereich durchzuführen, der von dem Service-Definitionsbereich #1022h verwaltet wird.
  • Wenn für einen Zugriff auf einen Service-Bereich für jeden Service-Bereich eine gegenseitige Zertifikation durchgeführt wird, ist es schwierig, schnell auf den Service-Bereich zuzugreifen. Wenn das Kartensystem von 3 für die Prüfung von Fahrkarten in einer Station benutzt wird, ist es deshalb schwierig, auf einen vorbestimmten Service-Bereich der IC-Karte 2 zuzugreifen und während der relativ kurzen Zeitperiode, in der ein Zeitkarteninhaber durch eine als Fahrkartenschranke dienende Sperre hindurchgeht, Daten einzuschreiben oder auszulesen.
  • In einem Fall, in dem der Manager C nicht nur Dienste unter Benutzung des von seinem Service-Definitionsbereich #030Ch verwalteten Service-Bereichs liefert sondern auch Dienste, die den von dem Service-Definitionsbereich #1022h des Managers B2 verwalteten Service-Bereich benutzen, wird deshalb die Informationslieferung, wie sie in 20 dargestellt ist, zwischen den Managern C und B2 durchgeführt und in der Service-Liefermaschine 111 registriert, um das Sicherheitsproblem zu lösen und einen schnellen Zugriff auf den Service-Bereich zu gewährleisten.
  • Das heißt, der Manager C verschlüsselt den in dem Service-Definitionsbereich #030Ch gespeicherten Service-Schlüssel #030Ch auf der Basis des Bereichs-Zwischenschlüssels KC wie in dem Fall von 18, um den Service-Zwischenschlüssel K#030Ch zu erzeugen. Weiterhin liefert der Manager C den Service-Zwischenschlüssel K#030Ch an den Manager B2, um ihn auf der Basis des Service-Schlüssels #1022h zu verschlüsseln. Der Manager C empfängt den Service-Zwischenschlüssel K#1022h, der das Verschlüsselungsergebnis des Service-Zwischenschlüssels K#030Ch auf der Basis des Service-Schlüssels #1022h ist, zusammen mit dem Service-Code #1022h.
  • Deshalb werden nur die Service-Zwischenschlüssel K#030Ch und K#1022h, zwischen den Managern C und B2 ausgeliefert, und es tritt weder der Fall auf, daß der Service-Schlüssel #030Ch, der nur dem Manager C bekannt ist, dem Manager B2 bekannt wird, noch der Fall, daß der Service-Schlüssel #1022h, der nur dem Manager B2 bekannt ist, dem Manager C bekannt wird. Das heißt es gibt kein Sicherheitsproblem.
  • Der Manager C, der von dem Manager B2 den Service-Zwischenschlüssel K#1022h und den Service-Code #1022h empfängt, registriert in der Service-Liefermaschine 111 die Bereichs-Codes der Bereichs-Definitionsbereiche in den oberen Schichten über der Schicht seines Bereichs-Definitionsbereichs #0300h, d.h. in diesem Fall den Bereichs-Code #0000h des Bereichs-Definitionsbereichs #0000h des Managers A, den Bereichs-Code #0100h des Bereichs-Definitionsbereichs #0100h des Managers B1 und den Bereichs-Code #0300h des Bereichs-Definitionsbereichs #0300h des Managers C. Außerdem registriert der Manager C in der Service-Liefermaschine 111 den Bereichs-Zwischenschlüssel KC und den Service-Code #030Ch des Service-Definitionsbereichs #030Ch, der in der Schicht des Bereichs-Definitionsbereichs #0300h ausgebildet ist.
  • Wenn in diesem Fall die IC-Karte 2 in die Service-Liefermaschine 111 eingeführt wird, wird zwischen der Service-Liefermaschine 111 und der IC-Karte 2 die folgende gegenseitige Zertifizierung durchgeführt.
  • Die Service-Liefermaschine 111 sendet an die IC-Karte 2, wie in 21 dargestellt, die registrierten Bereichs-Codes #0000h, #0100h und #0300h und die Service-Codes #030Ch und #1022h. In der IC-Karte 2 (Sequencer 91) werden die Bereichs-Codes #0000h, #0100h und #0300h und die Service-Codes #030Ch und #1022h aus der Service-Liefermaschine 111 empfangen.
  • In der IC-Karte 2 wird der in dem System-Definitionsblock (6) gespeicherte System-Schlüssel ausgelesen, und der Bereichs-Schlüssel #0000h, #0100h oder #0300h wird aus dem Bereichs-Definitionsbereich mit dem Bereichs-Code #0000h, #0100h oder #0300h ausgelesen, der aus der Service-Liefermaschine 111 empfangen wird, und wie in dem Fall von 19 wird der gleiche Schlüssel wie der in der Service-Liefermaschine 111 von 20 registrierte Bereichs-Zwischenschlüssel KC generiert. Der gleiche Schlüssel wie der Bereichs-Zwischenschlüssel KC wird als erster Zugangsschlüssel Kbc gesetzt, der für die Zertifizierung benutzt wird.
  • In der IC-Karte 2 wird der Service-Schlüssel #030Ch oder #1022h aus dem Service-Definitionsbereich ausgelesen, der den aus der Service-Liefermaschine 111 empfangenen Service-Code #030Ch bzw. #1022h hat. Der Bereichs-Zwischenschlüssel KC wird auf der Basis des Service-Schlüssels #030Ch verschlüsselt, und als Ergebnis wird der gleiche Schlüssel wie der Service-Zwischenschlüssel K#030Ch generiert. Außerdem wird der gleiche Schlüssel wie der Service-Zwi schenschlüssel K#030Ch auf der Basis des Service-Schlüssels #1022h verschlüsselt, und der gleiche Schlüssel wie der in der Service-Liefermaschine 111 von 20 registrierte Service-Zwischenschlüssel K#1022h wird generiert. Der gleiche Schlüssel wie der Service-Zwischenschlüssel K#1022h wird als zweiter Zugangsschlüssel Kac gesetzt, der für die Zertifizierung benutzt wird.
  • Dementsprechend wird in dem obigen Fall der Bereichs-Zwischenschlüssel KC oder der Service-Zwischenschlüssel K#1022h, der der erste Zugangsschlüssel Kbc oder der zweite Zugangsschlüssel Kac ist, in der Service-Liefermaschine 111 registriert, und in der IC-Karte 2 wird der Bereichs-Zwischenschlüssel KC oder der Service-Zwischenschlüssel K#1022h generiert, der der erste Zugangsschlüssel Kbc oder der zweite Zugangsschlüssel Kac ist.
  • Die gegenseitige Zertifizierung wird zwischen der IC-Karte 2 und der Service-Liefermaschine 111 in der gleichen Weise wie in dem anhand von 14 und 15 beschriebenen Fall durchgeführt.
  • Wenn als Ergebnis der gegenseitigen Zertifizierung sowohl die IC-Karte 2 als auch die Service-Liefermaschine 111 als richtig bewertet werden, ist in der IC-Karte 2 ein Zugriff nur auf den Service-Bereich erlaubt, der von dem Service-Definitionsbereich mit dem aus der Service-Liefermaschine 111 gesendeten Service-Code verwaltet wird. In dem Fall von 20 und 21 ist also der Zugriff auf den Service-Bereich erlaubt, der von dem Service-Definitionsbereich #030Ch verwaltet wird, und auf den Service-Bereich, der von dem Service-Definitionsbereich #1022Ch verwaltet wird.
  • Wie oben beschrieben wurde, werden durch die Verschlüsselung des System-Schlüssels auf der Basis der zwei oder mehr Bereichs-Schlüssel oder Service-Schlüssel die zwei oder mehr Bereichs-Schlüssel oder Service-Schlüssel in die beiden Schlüssel des ersten Zugangsschlüssels Kbc und des zweiten Zugangsschlüssels Kac zerlegt (zusammengesetzt), und die gegenseitige Zertifizierung, die den Zugriff auf den Service-Bereich ermöglicht, der von dem Service-Definitionsbereich mit dem von der Service-Liefermaschine 111 gesendeten Service-Code verwaltet wird, wird unter Benutzung des ersten Zugangsschlüssels Kbc und des zweiten Zugangsschlüssels Kac durchgeführt. Deshalb kann die gegenseitige Zertifizierung selbst dann in kurzer Zeit abgeschlossen werden, wenn Zugriff auf mehrere Service-Definitionsbereiche anvisiert wird, so daß ein rascher Zugriff auf den Service-Bereich gewährleistet wird.
  • In dem Fall von 14 und 15 wird der Prozeß der gegenseitigen Zertifizierung durch die Verwendung der beiden Schlüssel des ersten Zugangsschlüssels Kbc und des zweiten Zugangsschlüssels Kac durchgeführt, wobei es jedoch auch möglich ist, den Prozeß der gegenseitigen Zertifizierung unter Benutzung z.B. nur des zweiten Zugangsschlüssels Kac durchzuführen. In diesem Fall werden in der IC-Karte 2 die zwei oder mehr Bereichs-Schlüssel oder Service-Schlüssel in einen einzigen zweiten Zugangsschlüssel Kac zerlegt, indem der System-Schlüssel auf der Basis der zwei oder mehr Bereichs-Schlüssel oder Service-Schlüssel verschlüsselt wird.
  • Wie 22 zeigt, ist es ferner möglich, ein Verschlüsselungsergebnis zu benutzen, das durch Verschlüsseln des ersten Zugangsschlüssels Kbc und des zweiten Zugangsschlüssels Kac z.B. auf der Basis der Herstellungs-ID gewonnen wird, die in dem Herstellungs-ID-Block gespeichert ist und einen inhärenten Wert für die IC-Karte 2 darstellt. Hier in 22 wird bezüglich des ersten Zugangsschlüssels Kbc die Verschlüsselung durchgeführt, indem der erste Zugangsschlüssel Kbc und die Herstellungs-ID einer EXOR-Verknüpfung unterzogen werden. Bezüglich des zweiten Zugangsschlüssels Kac wird die Verschlüsselung auf der Basis des DES-Systems durchgeführt. Bezüglich des zweiten Zugangsschlüssels Kac kann die Verschlüsselung auf der Basis des DES-Systems unter Verwendung des EXOR-Ergebnisses des ersten Zugangsschlüssels Kbc und der Herstellungs-ID als Schlüssel durchgeführt werden.
  • Wie oben beschrieben wurde, kann die Sicherheit weiter verbessert werden, wenn für die gegenseitige Zertifizierung das durch Verschlüsseln des ersten Zugangsschlüssels Kbc und des zweiten Zugangsschlüssels Kac gewonnene Verschlüsselungsergebnis benutzt wird. In diesem Fall wird in der Service-Liefermaschine 111 die Herstellungs-ID benötigt, die aus der IC-Karte 2 gesendet werden kann.
  • Der Speicherbereich des EEPROMs 66 hat eine Schichtstruktur, in der der Bereichs-Definitionsbereich schichtweise angeordnet ist und alle Bereichs-Definitionsbereiche und alle Service-Definitionsbereiche so ausgebildet sind, daß sie einen Bereichs-Schlüssel und einen Service-Schlüssel für die Zertifizierung speichern. Deshalb kann die folgende Zugangskontrolle durchgeführt werden, die flexibel ist.
  • Wenn ein Manager als Parent-Manager fungiert und eine Service-Lieferung durch einen Child-Manager, der eine Ressource des Parent-Managers teilt, beenden möchte, weil der Child-Manager einen unberechtigten Service ausführt, kann der Parent-Manager unterbinden, daß der Child-Manager auf die IC-Karte 2 zugreift, indem er den in dem Bereichs-Definitionsbereich gespeicherten Bereichs-Schlüssel ändert.
  • Wenn z.B. der Manager B1 die Service-Lieferung des Managers C in 7 beendet, ändert der Manager B1 den in dem Bereichs-Definitionsbereich #0100h der IC-Karte 2 gespeicherten Bereichs-Schlüssel #0100h. In diesem Fall werden der in der IC-Karte 2 ausgebildete Bereichs-Zwischenschlüssel KB1 und der Bereichs-Zwischenschlüssel KC in 19 ebenfalls geändert, so daß der Manager C, der nur den Bereichs-Zwischenschlüssel KC aus der Zeit vor der Änderung kennt, nicht auf den Service-Definitionsbereich #030Ch zugreifen kann.
  • Der Manager A, der der Parent-Manager des Managers B1 ist, der als Parent-Manager des Managers C fungiert, kann den in dem Bereichs-Definitionsbereich #0000h gespeicherten Bereichs-Schlüssel #0000h ändern, um den Zugriff auf den Service-Definitionsbereich #030Ch zu unterbinden. In diesem Fall kann der Manager B2, der ein Child des Managers A ist, jedoch nicht auf den Service-Bereich zugreifen, der von dem Service-Definitionsbereich #1022h des Managers B2 verwaltet wird. Das heißt, wenn ein Manager seinen Bereichs-Schlüssel ändert, ist es unmöglich, auf Service-Definitionsbereiche zuzugreifen, die von Bereichs-Definitionsbereichen in Schichten (Child-Schicht, Grandchild-Schicht, ...) des Bereichs-Definitionsbereichs verwaltet werden, der dem Bereichs-Schlüssel entspricht.
  • In 20 und 21 benutzt der Manager C (den Service-Bereich, der verwaltet wird durch) den Service-Definitionsbereich #1022h des Managers B2 gemeinsam mit dem Manager B2. Für einige Schlüsselverwaltungstypen ist jedoch eine komplexere gemeinsame Nutzung des Service-Definitionsbereichs zwischen Managern möglich.
  • Es sei z.B. angenommen, daß in dem EEPROM 66 eine Schichtstruktur aufgebaut ist, wie sie in 23 dargestellt ist. Das heißt, in 23 sind ein Bereichs-Definitionsbereich #5000h eines Managers E und ein Bereichs-Definitionsbereich #7000h eines Managers G als Child-Schichten der Schicht des Bereichs-Definitionsbereichs #0000h des Managers A ausgebildet, der als Emittent der IC-Karte 2 füngiert. Ferner sind in der Schicht des Bereichs-Definitionsbereichs #5000h des Managers E Service-Definitionsbereiche #5008h, #5048h, #5088h und 50C8h ausgebildet, und es ist ein Bereichs-Definitionsbereich #6000h eines Managers F ausgebildet.
  • In der Schicht des Bereichs-Definitionsbereichs #6000h des Managers F sind außerdem Service-Definitionsbereiche #6008h und #6048h ausgebildet, und in der Schicht des Bereichs-Definitionsbereichs #7000h des Managers G sind Service-Definitionsbereiche #7008h und #70C8h ausgebildet.
  • In der oben erwähnten Schichtstruktur verschlüsselt der Manager A den System-Schlüssel auf der Basis des Bereichs-Schlüssels #0000h, wie dies in (A) von 24 dargestellt ist, und liefert das Verschlüsselungsergebnis an die Manager E und G, die als Child-Manager fungieren.
  • Wie in (B) von 24 dargestellt ist, verschlüsselt der Manager E auf der Basis des Bereichs-Schlüssels #5000h das Verschlüsselungsergebnis des auf dem Bereichs-Schlüssel #0000h des Managers A basierenden System-Schlüssels und benutzt das Verschlüsselungsergebnis als ersten Zugangsschlüssel KE1. Außerdem verschlüsselt der Manager E den ersten Zugangsschlüssel KE1 (das Verschlüsselungsergebnis auf der Basis des Bereichs-Schlüssels #5000h) sukzessiv auf der Basis der einzelnen Service-Schlüssel #5008h, #5048h, #5088h und #50C8h und benutzt das endgültige Verschlüsselungsergebnis als zweiten Zugangsschlüssel KE2.
  • Wie in (C) von 24 dargestellt ist, wird der Manager F von dem Manager E mit dem ersten Zugangsschlüssel KE1 (dem Verschlüsselungsergebnis auf der Basis des Bereichs-Schlüssels #5000h) beliefert, verschlüsselt ihn auf der Basis des Bereichs-Schlüssels #6000h und setzt das Verschlüsselungsergebnis als ersten Zugangsschlüssel KF1. Weiterhin verschlüsselt der Manager F den ersten Zugangsschlüssel KF1 (das Verschlüsselungsergebnis auf der Basis des Bereichs-Schlüssels #6000h) sukzessiv auf der Basis der einzelnen Service-Schlüssel #6008h und #6048h und liefert das Verschlüsselungsergebnis an den Manager E, um es sukzessiv auf der Basis der einzelnen Service-Schlüssel #5048h und #5088h zu verschlüsseln. Anschließend wird der Manager F von dem Manager E mit dem Verschlüsselungsergebnis beliefert und gibt dieses an den Manager G aus, um es auf der Basis des Service-Schlüssels #70C8h zu verschlüsseln. Der Manager F wird von dem Manager G mit dem Verschlüsselungsergebnis beliefert und benutzt es als zweiten Zugangsschlüssel KF2.
  • Wie in (D) von 24 dargestellt ist, verschlüsselt der Manager G das Verschlüsselungsergebnis des auf dem Bereichs-Schlüssel #0000h basierenden System-Schlüssel von dem Manager A auf der Basis des Bereichs-Schlüssels #7000h und benutzt das Verschlüsselungsergebnis als ersten Zugangsschlüssel KG1. Außerdem verschlüsselt der Manager G den ersten Zugangsschlüssel KG1 (das auf dem Bereichs-Schlüssel #7000h basierende Verschlüsselungsergebnis) sukzessiv auf der Basis der einzelnen Service-Schlüssel #7008h und #70C8h und liefert das endgültige Verschlüsselungsergebnis an den Manager F, um es auf der Basis des Service-Schlüssels #6048h zu verschlüsseln. Anschließend liefert der Manager G an den Manager E das Verschlüsselungsergebnis unter Verwendung des Service-Schlüssels #6048h durch den Manager F, um das Verschlüsselungsergebnis anschließend auf der Basis der einzelnen Service-Schlüssel #5088h und #50C8h zu verschlüsseln. Der Manager G wird von dem Manager E mit dem Verschlüsselungsergebnis beliefert und benutzt es als zweiten Zugangsschlüssel KG2.
  • In diesem Fall wird in der IC-Karte 2 der System-Schlüssel unter Verwendung des Bereichs-Schlüssels und des in dem EEPROM 66 gespeicherten Service-Schlüssels nach der gleichen Prozedur verschlüsselt wie in dem Fall von 24, um den ersten Zugangsschlüssel und den zweiten Zugangsschlüssel zu generieren, wodurch die gemeinsame gegenseitige Nutzung des Service-Definitionsbereichs unter den Managern E, F und G möglich ist, wie dies in 25 dargestellt ist.
  • Das heißt, der Manager E kann nur auf seine Service-Definitionsbereiche #5008h, #5048h, #5088h und #50C8h zugreifen. Der Manager F kann nicht nur auf seine Service-Definitionsbereiche #j6008h und #6048h, sondern auch auf die Service-Definitionsbereiche #5048h und #5088h des Managers E und den Service-Definitionsbereich #70C8h des Managers G zugreifen. Der Manager G kann nicht nur auf seine Service-Definitionsbereiche #7008h und #70C8h, sondern auch auf die Service-Definitionsbereiche #5088h und #50C8h des Managers E und den Service-Definitionsbereich #6048h des Managers F zugreifen.
  • Bei der Schlüsselauslieferung, wie sie in 24 dargestellt ist, gibt es keinen Fall, in welchem der Service-Schlüssel eines Managers einem anderen Manager bekannt ist. Das heißt, die Service-Schlüssel #5008h, #5048h, #5088h und #50C8h des Managers E werden niemals weder dem Parent-Manager A noch den Managern F und G bekannt. In gleicher Weise werden die Service-Schlüssel #6008h und #6048h des Managers F niemals den Managern E und G bekannt, und die Service-Schlüssel #7008h und #70C8h des Managers G werden niemals den Managern E und F bekannt.
  • Wenn ein Manager seinen Bereichs-Schlüssel, wie oben beschrieben, ändert, ist der Zugriff auf alle Service-Definitionsbereiche unmöglich, die von dem Bereichs-Definitionsbereich der Schicht in der Schicht des Bereichs-Definitionsbereichs verwaltet werden, d.h. wenn der Parent-Manager den Bereichs-Schlüssel ändert, können die Child-Manager nicht auf die IC-Karte 2 zugreifen. Jedoch kann nach einer spezifischen Schlüsselverwaltungsmethode ein Zugriff auf einen spezifischen Child-Manager gesperrt werden.
  • Es sei z.B. angenommen, daß in dem EEPROM 66 eine Schichtstruktur ausgebildet ist, wie sie in 26 dargestellt ist. Das heißt, in 26 sind ein Bereichs-Definitionsbereich #8000h eines Managers H, ein Bereichs-Definitionsbereich #9000h eines Managers I und ein Bereichs-Definitionsbereichs #A000h eines Managers J als Child-Schichten der Schicht des Bereichs-Definitionsbereichs #0000h des Managers A ausgebildet, der als Emittent der IC-Karte 2 fungiert. Außerdem sind in der Schicht des Bereichs-Definitionsbereichs #8000h des Managers H die Service-Definitionsbereiche #8008h, #8104h und #8105h ausgebildet.
  • In dieser Schichtstruktur verschlüsselt der Manager A, wie in (A) von 27 dargestellt, den System-Schlüssel auf der Basis des Bereichs-Schlüssels #0000h und liefert das Verschlüsselungsergebnis an die Manager I und J, die als seine Child-Manager fungieren.
  • Wie in (C) von 27 dargestellt ist, verschlüsselt der Manager I das auf dem Bereichs-Schlüssel #0000h basierende Verschlüsselungsergebnis des System-Schlüssels des Managers A auf der Basis des Bereichs-Schlüssels #9000h und benutzt das Verschlüsselungsergebnis als ersten Zugangsschlüssel KI1. Der Manager I liefert den ersten Zugangsschlüssel KI1 (das Verschlüsselungsergebnis auf der Basis des Bereichs-Schlüssels #9000h) an den Manager H, um ihn sukzessiv auf der Basis der einzelnen Service-Schlüssel #8008h und #8104h zu verschlüsseln, wie dies in (B) von 27 dargestellt ist. Dann benutzt der Manager I das Verschlüsselungsergebnis als zweiten Zugangsschlüssel KI2, wie dies in (C) von 27 dargestellt ist.
  • Wie in (D) von 27 dargestellt ist, verschlüsselt der Manager J das auf dem Bereichs-Schlüssel #0000h basierende Verschlüsselungsergebnis des System-Schlüssels des Managers A auf der Basis des Bereichs-Schlüssels #A000h und benutzt das Verschlüsselungsergebnis als ersten Zugangsschlüssel KJ1. Außerdem liefert der Manager J den ersten Zugangsschlüssel KJ1 (das Verschlüsselungsergebnis auf der Basis des Bereichs-Schlüssels #A000h) an den Manager H, um das Verschlüsselungsergebnis sukzessiv auf der Basis der einzelnen Service-Schlüssel #8008h und #8105h zu verschlüsseln, wie dies in (B) von 27 dargestellt ist. Der Manager J benutzt das Ver schlüsselungsergebnis als zweiten Zugangsschlüssel KJ2, wie dies in (D) von 27 dargestellt ist.
  • In diesem Fall wird der System-Schlüssel in der IC-Karte 2 unter Verwendung des Bereichs-Schlüssels und des Service-Schlüssels, die in dem EEPROM 66 gespeichert sind, nach der gleichen Prozedur verschlüsselt wie in dem Fall von 27, um den ersten Zugangsschlüssel und den zweiten Zugangsschlüssel zu generieren, wodurch der Manager I auf die Service-Definitionsbereiche #8008h und #8104h des Managers H und der Manager J auf die Service-Definitionsbereiche #8008h und #8105h des Managers H zugreifen kann.
  • Der Manager H erzeugt den Service-Definitionsbereich #8008h so, daß dessen Daten von den Managern I und J gemeinsam benutzt werden können, und erzeugt den Service-Definitionsbereich #8104h oder #8105h als sogenannten Dummy-Service-Definitionsbereich, um den Zugriff auf den Service-Definitionsbereich #8008h durch jeden der Manager I oder J zu steuern. Deshalb werden die von den Service-Definitionsbereichen #8104h und #8105h verwalteten Service-Bereiche nicht benötigt, und deren Kapazität kann gleich Null sein.
  • Wenn in diesem Fall z.B. der Manager H den Service-Schlüssel #8104h ändert, kann der Manager I, bei dem der zweite Zugangsschlüssel KI2 unter Verwendung des Service-Schlüssels #8104h generiert wird, um den Zertifizierungsprozeß in der IC-Karte 2 durchzuführen, nicht auf den Service-Definitionsbereich #8008h zugreifen. Das heißt, es ist nur der Zugriff auf den Service-Definitionsbereich #8008h durch den Manager I gesperrt. Wenn andererseits z.B. der Manager H den Service-Schlüssel #8105h ändert, kann der Manager J, bei dem der zweite Zugangsschlüssel KJ2 unter Verwendung des Service-Schlüssels #8105h generiert wird, um den Zertifizierungsprozeß in der IC-Karte 2 durchzuführen, nicht auf den Service-Definitionsbereich #8008h zugreifen. Das heißt, es ist nur der Zugriff auf den Service-Definitionsbereich #8008h durch den Manager J gesperrt.
  • Wie oben beschrieben wurde, kann ein spezifischer Child-Manager durch Benutzung eines Dummy-Service-Definitionsbereichs am Zugriff gehindert werden.
  • Wenn die Ausgabemaschine 101 für registrierte Karten in einer Station, in einem Einzelhandelsgeschäft oder an anderen nicht sicheren Plätzen angeordnet ist, ist in dem Fall, daß die (im folgenden als Kartenausgabe-Registrierinformation bezeichnete) Verwaltungsinformation zum Verwalten von Benutzerblöcken, wie dem Codebereich, der Zuteilungsblockzahl, dem Bereichs-Schlüssel, dem Service-Schlüssel usw., die der Manager benötigt, um den Bereichs-Definitionsbereich und den Service-Definitionsbereich zu bilden, wie dies anhand von 8 beschrieben wurde, wie dies anhand von 8 beschrieben wurde, in der Ausgabemaschine 101 für registrierte Karten registriert ist und die Verarbeitung für die Ausgabe von registrierten Karten durchgeführt wird, die Wahrscheinlichkeit unredlicher Maßnahmen, wie Abzapfen, Verfälschen oder dgl. groß, was für das Sicherheitsmanagement ungünstig ist.
  • Deshalb verschlüsselt in diesem Fall, wie in 28 dargestellt, ein Manager, der einen Bereichs-Definitionsbereich und einen Service-Definitionsbereich bilden möchte (im folgenden als Händler bezeichnet, der registrierte Karten herausgibt) die Kartenausgabe-Registrierinformation und sendet die verschlüsselte Kartenausgabe-Registrierinformation über ein Übertragungsmedium 121, z.B. eine öffentliche Leitung, das Internet, eine Bodenwelle, eine Satellitenverbindung, ein CATV-(Kabelfernseh)-Netz oder dgl. an die Ausgabemaschine 101 für registrierte Karten, um die Information in der Ausgabemaschine 101 für registrierte Karten zu registrieren. In der Ausgabemaschine 101 für registrierte Karten wird die verschlüsselte Kartenausgabe-Registrierinformation an die IC-Karte 2 gesendet, und in der IC-Karte 2 wird die verschlüsselte Kartenausgabe-Registrierinformation dekodiert, um den Bereichs-Definitionsbereich und den Service-Definitionsbereich zu bilden.
  • 28 zeigt einen Zustand, in dem ein Speicherbereich zur Lieferung von Diensten durch einen Manager #2 in der oben beschriebenen Weise in einer IC-Karte 2 aufgebaut wird, in der nur ein Speicherbereich zur Lieferung von Diensten durch einen Manager #1 aufgebaut ist (ein Zustand, in dem die Tätigkeit für die Ausgabe von registrierten Karten durchgeführt wird).
  • 29 zeigt die Konstruktion eines Ausführungsbeispiels eines Verarbeitungssystems für die Ausgabe von registrierten Karten zur Durchführung der oben beschriebenen Tätigkeit für die Ausgabe von registrierten Karten.
  • Ein Gerät 131 zur Lieferung der Kartenausgabe-Registrierinformation sendet die Kartenausgabe-Registrierinformation (im folgenden als verschlüsselte Kartenausgabe-Registrierinformation bezeichnet) über ein Übertragungsmedium 121 an die Ausgabemaschine 101 für registrierte Karten, indem es den weiter unten beschriebenen Prozeß zur Lieferung der Kartenausgabe-Registrierinformation durchführt. Die Ausgabemaschine 101 für registrierte Karten empfängt und registriert die verschlüsselte Kartenausgabe-Registrierinformation aus dem Gerät 131 zur Lieferung der Kartenausgabe-Registrierinformation. Wenn die IC-Karte 2 in die Ausgabemaschine 101 für registrierte Karten eingeführt wird, sendet die Ausgabemaschine 101 für registrierte Karten die verschlüsselte Kartenausgabe-Registrierinformation an die IC-Karte 2. Die IC-Karte 2 empfängt die verschlüsselte Kartenausgabe-Registrierinformation aus der Ausgabemaschine 101 für registrierte Karten und führt den weiter unten beschriebenen Dekodierprozeß durch, um die verschlüsselte Kartenausgabe-Registrierinformation in die ursprüngliche Kartenausgabe-Registrierinformation zu dekodieren. Anschließend führt die IC-Karte 2 den oben beschriebenen Bereichsbildungsprozeß (9) oder Servicebildungsprozeß (10) durch, um auf der Basis der dekodierten Kartenausgabe-Registrierinformation den Bereichs-Definitionsbereich oder den Service-Definitionsbereich zu erzeugen.
  • Im folgenden wird anhand des Flußdiagramms von 30 der Prozeß zur Lieferung der Kartenausgabe-Registrierinformation beschrieben, der von dem Gerät 131 zur Lieferung der Kartenausgabe-Registrierinformation ausgeführt wird.
  • Dem Gerät 131 zur Lieferung der Kartenausgabe-Registrierinformation werden ein Codebereich, eine Zuteilungsblockzahl und ein Bereichs-Schlüssel zugeliefert, die benötigt werden, um einen Bereichs-Definitionsbereich oder einen Service-Code, eine Zuteilungsblockzahl und einen Service-Schlüssel zu generieren, die für die Erzeugung eines Service-Definitionsbereichs benötigt werden.
  • In dem Schritt S21 wird auf der Basis dieser Zugangsinformation die Kartenausgabe-Registrierinformation generiert.
  • Das heißt, wenn der Codebereich, die Zuteilungszahl und der Bereichs-Schlüssel, die zur Bildung des Bereichs-Definitionsbereichs benötigt werden, eingegeben werden, werden diese Daten miteinander verknüpft, um die Kartenausgabe-Registrierinformation zu generieren. Wenn der Service-Code, die Zuteilungszahl und der Service-Schlüssel, die zur Bildung des Service-Definitionsbereichs benötigt werden, eingegeben werden, werden diese Daten miteinander verknüpft, um die Kartenausgabe-Registrierinformation zu generieren.
  • Die Verarbeitung geht weiter zu dem Schritt S22, um einen Fehlerkorrekturcode für die in dem Schritt S21 gebildete Kartenausgabe-Registrierinformation zu berechnen, und das Rechenergebnis ist als Prüfcode zum Prüfen von Fälschungen in der Kartenausgabe-Registrierinformation enthalten.
  • Anschließend wird die Kartenausgabe-Registrierinformation in dem Schritt S23 verschlüsselt. Das heißt, in dem Schritt S23 wird die Kartenausgabe-Registrierinformation auf der Basis des Bereichs-Schlüssels des Bereichs-Definitionsbereichs der Parent-Schicht eines Bereichs-Definitionsbereichs oder Service-Definitionsbereichs verschlüsselt, der auf der Basis der Kartenausgabe-Registrierinformation gebildet werden soll, und als verschlüsselte Kartenausgabe-Registrierinformation gesetzt.
  • Anschließend geht der Prozeß weiter zu dem Schritt S24, um zu der verschlüsselten Kartenausgabe-Registrierinformation einen Identifikations-Code als Header hinzuzufügen (wenn die verschlüsselte Kartenausgabe-Registrierinformation dazu benutzt wird, einen Bereichs-Definitionsbereich zu bilden, ist der Identifikations-Code der Bereichs-Code des betroffenen Bereichs-Definitionsbereichs, und wenn er benutzt wird, um einen Service-Definitionsbereich zu bilden, ist der Identifikations-Code dessen Service-Code). Der Identifikations-Code wird über das Übertragungsmedium 121 an die Ausgabemaschine 101 für registrierte Karten gesendet.
  • Danach ist der Prozeß zur Lieferung der Kartenausgabe-Registrierinformation abgeschlossen.
  • Wenn also z.B. der Parent-Manager A den Bereichs-Definitionsbereich #0100h des Child-Managers B1 in 7 erzeugt, wird die verschlüsselte Kartenausgabe-Registrierinformation, wie in (A) von 31 dargestellt, von dem Gerät 131 zur Lieferung der Kartenausgabe-Registrierinformation ausgesendet. Das heißt, der Bereichs-Code #0100h des Bereichs-Definitionsbereichs #0100h wird als Header am Kopf der verschlüsselten Kartenausgabe-Registrierinformation von (A) in 31 angeordnet. Der Bereichs-Code #0100h wird in der IC-Karte 2 nicht verschlüsselt, weil er zum Erkennen der Parent-Schicht benutzt wird. Der Bereichs-Code #0100h wird auf der Basis des Codebereichs der Eingangsinformation in dem Gerät 131 zur Lieferung der Kartenausgabe-Registrierinformation erkannt. Dies liegt daran, daß bei diesem Ausführungsbeispiel der minimale Wert des Codebereichs des Bereichs-Definitionsbereichs als Bereichs-Code gesetzt ist und so der Bereichs-Code auf der Basis des Codebereichs erkannt werden kann, wie dies oben beschrieben wurde.
  • Ein Codebereich von #100h bis #03FFh, der in dem Bereich-Definitionsbereich #0100h gespeichert werden soll, eine Zuteilungsblockzahl 33, a0a0a0a0a0a0a0a0 als Bereichs-Schlüssel #0100h und ein Prüfcode werden sukzessiv im Anschluß an den nichtverschlüsselten Bereichs-Code #0100h als Header angeordnet. Sie werden auf der Basis von 0123456789abcdef als Bereichs-Schlüssel #0000h des als Parent-Schicht dienenden Bereichs-Definitionsbereichs #0000h verschlüsselt (in 31(A) schraffiert dargestellt).
  • Wenn der Manager B2 seinen Service-Definitionsbereich #1022h in 7 erzeugt, wird die verschlüsselte Kartenausgabe-Registrierinformation, wie in (B) von 31 dargestellt, von dem Gerät 131 zur Lieferung der Kartenausgabe-Registrierinformation ausgesendet. Das heißt, der Service-Code #1022h des Service-Definitionsbereichs #1022h wird als Header am Kopf der verschlüsselten Kartenausgabe-Registrierinformation in (B) von 31 angeordnet. Der Service-Code #0122h wird in der IC-Karte 2 nicht verschlüs selt, weil er dazu benutzt wird, die Parent-Schicht (die Schicht, zu der der Service-Definitionsbereich gehört) zu erkennen.
  • Der in dem Service-Definitionsbereich #1022h zu speichernde Service-Code #1022h, eine Zuteilungsblockzahl 5, 0303030303030303 als Bereichs-Schlüssel #1022h und ein Prüfcode werden sukzessiv im Anschluß an den nichtverschlüsselten Service-Code #1022h als Header angeordnet. Sie werden auf der Basis von c0c0c0c0c0c0c0c0 als Bereichs-Schlüssel #1000h des als Parent-Schicht dienenden Bereichs-Definitionsbereichs #1000h verschlüsselt (in (B) von 31 schraffiert dargestellt).
  • Da die Kartenausgabe-Registrierinformation auf der Basis des Bereichs-Schlüssels der Parent-Schicht verschlüsselt wird, wie dies oben beschrieben wurde, kann der Inhalt der Kartenausgabe-Registrierinformation nicht bekannt sein, soweit ihr Bereichs-Schlüssel bekannt ist. Deshalb kann selbst dann, wenn die verschlüsselte Kartenausgabe-Registrierinformation, wie oben beschrieben, an einen nicht sicheren Platz gesendet wird, ein Durchsickern ihres Inhalts verhindert werden. Es ist also möglich, die verschlüsselte Kartenausgabe-Registrierinformation zu verteilen und die dritte Partei aufzufordern, sie in der Ausgabemaschine 101 für registrierte Karten zu registrieren oder sie an die IC-Karte 2 zu senden.
  • In diesem Fall ist die Kartenausgabe-Registrierinformation auf der Basis des Bereichs-Schlüssels der Parent-Schicht verschlüsselt, und so ist es im Grunde vorteilhaft, wenn der Prozeß zur Lieferung der Kartenausgabe-Registrierinformation unter der Kontrolle ihres Parent-Managers durchgeführt wird. Das heißt, wenn der Prozeß zur Lieferung der Kartenausgabe-Registrierinformation von einer dritten Partei durchgeführt wird, muß der Bereichs-Schlüssel der Parent-Schicht, der für die Verschlüsselung benutzt wird, der dritten Partei öffentlich bekannt gegeben werden, was für die Sicherheit ungünstig ist. Deshalb ist es günstig, den Prozeß zur Lieferung der Kartenausgabe-Registrierinformation unter der Kontrolle des Parent-Managers durchzuführen.
  • Als Nächstes wird anhand des Flußdiagramms von 32 der Dekodierprozeß beschrieben, der von der IC-Karte 2 ausgeführt wird.
  • Wenn die verschlüsselte Kartenausgabe-Registrierinformation in der oben beschriebenen Weise von dem Gerät 131 zur Lieferung der Kartenausgabe-Registrierinformation gesendet wird, empfängt und registriert die Maschine 101 für die Ausgabe registrierter Karten die verschlüsselte Kartenausgabe-Registrierinformation. Wenn die IC-Karte 2 eingeführt wird, sendet die Ausgabemaschine 101 für registrierte Karten die verschlüsselte Kartenausgabe-Registrierinformation an die IC-Karte 2. Die IC-Karte 2 empfängt die verschlüsselte Kartenausgabe-Registrierinformation aus der Ausgabemaschine 101 für registrierte Karten, und erkannt in dem Schritt S31 den Bereichs-Definitionsbereich als Parent-Schicht eines Bereichs-Definitionsbereichs oder Service-Definitionsbereichs, der auf der Basis der verschlüsselten Kartenausgabe-Registrierinformation erzeugt werden soll.
  • Das heißt, in dem Schritt S31 wird der Bereichs-Code oder der Service-Code des zu erzeugenden Bereichs-Definitionsbereichs oder Service-Definitionsbereichs unter Bezugnahme auf den Header der verschlüsselten Kartenausgabe-Registrierinformation erkannt. In dem Schritt S31 wird der so erkannte Bereichs-Definitionsbereich, der den Bereichs-Code oder den Service-Code enthält, von dem EEPROM 66 in dem Codebereich erkannt, und der Bereichs-Definitionsbereich wird als Parent-Schicht erkannt.
  • Die Verarbeitung geht weiter zu dem Schritt S32, um die verschlüsselte Kartenausgabe-Registrierinformation auf der Basis des Bereichs-Schlüssels zu dekodieren, der in dem Bereichs-Definitionsbereich der in dem Schritt S31 erkannten Parent-Schicht gespeichert ist, und die Verarbeitung geht dann weiter zu dem Schritt S33. In dem Schritt S33 wird auf der Basis des in der dekodierten Kartenausgabe-Registrierinformation enthaltenen Prüfcodes geprüft, ob die Kartenausgabe-Registrierinformation gefälscht wurde. Wenn in dem Schritt S33 festgestellt wird, daß die Kartenausgabe-Registrierinformation gefälscht wurde, geht die Verarbeitung weiter zu dem Schritt S34, um der Ausgabemaschine 101 für registrierte Karten eine Nachricht zuzusenden, die anzeigt, daß die Kartenausgabe-Registrierinformation gefälscht wurde, und eine Fehlerverarbeitung durchzuführen, bei der die dekodierte Kartenausgabe-Registrierinformation verworfen wird oder dgl. und dadurch der Dekodierprozeß beendet wird. In diesem Fall wird der Dekodierprozeß anormal beendet, und der Bereichs-Definitionsbereich oder der Service-Definitionsbereich wird nicht erzeugt.
  • Wenn in dem Schritt S33 hingegen festgestellt wird, daß die Kartenausgabe-Registrierinformation nicht gefälscht wurde, wird der Dekodierprozeß beendet. In diesem Fall wird der Dekodierprozeß normal beendet, und dann wird der Prozeß zur Speicherung der dekodierten Kartenausgabe-Registrierinformation in dem EEPROM 66, d.h. es wird der Bereichs-Bildungsprozeß (9) zur Erzeugung des Bereichs-Definitionsbereichs oder der Service-Definitionsbereichs oder der Servicebildungsprozeß (10) ausgeführt.
  • Die Prüfung bezüglich der Fälschung der Kartenausgabe-Registrierinformation kann durchgeführt werden, indem anstelle des Prüfcodes der Header der verschlüsselten Kartenausgabe-Registrierinformation benutzt wird. Das heißt, wenn die verschlüsselte Kartenausgabe-Registrierinformation zur Erzeugung des Bereichs-Definitionsbereichs benutzt wird, ist der Bereichs-Code in deren Header angeordnet, wie dies in 31(A) dargestellt ist, und der Bereichs-Code kann mit dem minimalen Wert des verschlüsselten Codebereichs übereinstimmen, der im Anschluß an den Bereichs-Code angeordnet ist. Das Verfälschen oder Nichtverfälschen der verschlüsselten Kartenausgabe-Registrierinformation kann deshalb geprüft werden, indem der an dem Header angeordnete Bereichs-Code mit dem Minimalwert des Codebereichs verglichen wird, der im Anschluß an den Bereichs-Code angeordnet ist. Wenn die verschlüsselte Kartenausgabe-Registrierinformation zur Bildung des Service-Definitionsbereichs benutzt wird, wie dies in 31(B) dargestellt ist, ist der Service-Code in dem Header angeordnet, und der Service-Code kann mit dem verschlüsselten Service-Code übereinstimmen, der im Anschluß an den Service-Code angeordnet ist. Deshalb kann das Verfälschen oder Nichtverfälschen der verschlüsselten Kartenausgabe-Registrierinformation geprüft werden, indem der in dem Header angeordnete Service-Code mit dem in Anschluß an den Service-Code angeordneten Service-Code vergleichen wird.
  • Wie oben beschrieben wurde, wird in dem Gerät 131 zur Lieferung der Kartenausgabe-Registrierinformation die Kartenausgabe-Registrierinformation verschlüsselt, um die verschlüsselte Kartenausgabe-Registrierinformation zu gewinnen, und die verschlüsselte Kartenausgabe-Registrierinformation wird in der IC-Karte 2 dekodiert. Dadurch können unredliche Maßnahmen, wie Abzapfen, Verfälschen oder dgl. selbst dann verhindert werden, wenn die Ausgabemaschine 101 für registrierte Karten an einem nicht sicheren Platz angeordnet ist und über das Übertragungsmedium 121 sendet.
  • Wenn eine Ausgabetätigkeit für registrierte Karten durchgeführt wird, um die Lieferung eines neuen Service unter Verwendung der IC-Karte 2 zu starten, ist es also nicht notwendig, die IC-Karte 2 einzuziehen, so daß die durch das Einziehen entstehenden Kosten eliminiert werden können. Wenn die Lieferung eines Service gestartet wird, kann der Benutzer die IC-Karte 2 an eine Stelle bringen, an der die Ausgabemaschine 101 für registrierte Karten aufgestellt ist, und die Ausgabetätigkeit für registrierte Karten durchführen, ohne daß die IC-Karte 2 eingezogen wird, so daß der Benutzer unmittelbar mit dem neuen Service beliefert werden kann.
  • In der vorangehenden Beschreibung wird die Erfindung auf ein kontaktloses Kartensystem angewendet, in dem die Kommunikation kontaktlos erfolgt. Die Erfindung kann jedoch auch auf ein Kartensystem angewendet werden, in dem die Kommunikation mit Kontaktgabe durchgeführt wird. Außerdem ist der Anwendungsbereich der Erfindung nicht auf ein Kartensystem beschränkt.
  • Im vorliegenden Ausführungsbeispiel wird die Zertifizierung durch ein sogenanntes geheimes Schlüsselsystem durchgeführt, sie kann jedoch auch durch ein sogenanntes System mit öffentlichem Schlüssel durchgeführt werden.
  • Wenn in dem vorliegenden Ausführungsbeispiel auf den Service-Definitionsbereich der Schicht eines Bereichs-Definitionsbereichs zugegriffen wird, wird der erste Zugangsschlüssel generiert, indem sukzessiv die Bereichs-Schlüssel der Bereichs-Definitionsbereiche auf dem Bus von der Schicht des Bereichs-Definitionsbereichs bis zu der obersten Schicht benutzt werden. Das Verfahren zur Erzeugung des ersten Zugangsschlüssel ist jedoch nicht hierauf beschränkt. Ferner wird bei dem vorliegenden Ausführungsbeispiel der zweite Schlüssel generiert, indem sukzessiv die Service-Schlüssel des Service-Definitionsbereichs benutzt werden, auf den zugegriffen werden soll. Das Verfahren zur Erzeugung des zweiten Zugangsschlüssels ist jedoch nicht hierauf beschränkt. Das heißt, der erste Zugangsschlüssel und der zweite Zugangsschlüssel können auch generiert werden, indem sukzessiv zwei oder mehr beliebige Bereichs-Schlüssel oder Service-Schlüssel benutzt werden.
  • Ferner sind im vorliegenden Ausführungsbeispiel sowohl der. Benutzerblock als auch der Systemblock in dem EEPROM 66 gespeichert, der einen einzigen Speicher darstellt. Der Benutzerblock und der Systemblock können jedoch auch in physikalisch getrennten Speichern gespeichert sein.
  • Im vorliegenden Ausführungsbeispiel werden Daten in dem EEPROM gespeichert, die Daten können jedoch statt in einem EEPROM auch in einem Halbleiterspeicher, auf einer magnetischen Platte oder dgl. gespeichert sein.
  • Im vorliegenden Ausführungsbeispiel wird die Kartenausgabe-Registrierinformation in dem Prozeß zur Lieferung der Kartenausgabe-Registrierinformation auf der Basis des Bereichs-Schlüssels in dem Bereichs-Definitionsbereich der Parent-Schicht verschlüsselt. Der für die Verschlüsselung der Kartenausgabe-Registrierinformation benutzte Schlüssel ist jedoch nicht auf den Bereichs-Schlüssel der Parent-Schicht beschränkt. Da es jedoch notwendig ist, die verschlüsselte Kartenausgabe-Registrierinformation zu entschlüsseln, muß der für die Entschlüsselung der Kartenausgabe-Registrierinformation benutzte Schlüssel in der IC-Karte 2 gespeichert sein. Wenn der Bereichs-Schlüssel der Parent-Schicht zur Verschlüsselung der Kartenausgabe-Registrierinformation benutzt wird, wurde der Bereichs-Schlüssel der Parent-Schicht bereits in der IC-Karte 2 gespeichert, so daß ein Schlüssel, der zum Dekodieren (Verschlüsseln) der Kartenausgabe-Registrierinformation benutzt wird, nicht zusätzlich zu dem Schlüssel der Parent-Schicht in der IC-Karte 2 gespeichert werden muß.
  • In dem vorliegenden Ausführungsbeispiel wird ferner der in Schichtstruktur aufgebaute Speicherbereich des EEPROMs 66 verwaltet. Die vorliegende Erfindung ist jedoch auch auf Fälle anwendbar, in denen der Speicherbereich des EEPROM 66 nicht in Schichtstruktur verwaltet wird.
  • Ferner wird in dem vorliegenden Ausführungsbeispiel die verschlüsselte Kartenausgabe-Registrierinformation über das Übertragungsmedium 121 zu der Ausgabemaschine 101 für registrierte Karten gesendet, um in der Ausgabemaschine 101 für registrierte Karten registriert zu werden. Die verschlüsselte Kartenausgabe-Registrierinformation kann jedoch auch in einem Aufzeichnungsmedium (Speichermedium), wie einer magnetischen Platte, einer magneto-optischen Platte, einer optischen Platte, einer Speicherkarte, einem Magnetband oder dgl. gespeichert werden, die direkt zu der Ausgabemaschine 101 für registrierte Karten gebracht werden, um die verschlüsselte Kartenausgabe-Registrierinformation zu registrieren.
  • Bei der Informationsverarbeitungsvorrichtung nach dem ersten Aspekt der vorliegenden Erfindung und dem Informationsverarbeitungsverfahren nach dem zweiten Aspekt der Erfindung wird die Verwaltungsinformation, die zum Verwalten eines Speicherbereichs einer Datenspeichereinrichtung benutzt wird und einen für den Zugriff auf den Speicherbereich erforderlichen Schlüssel enthält, verschlüsselt. Dadurch kann verhindert werden, daß der Inhalt der Verwaltungsinformation zu einer dritten Partei durchsickert.
  • Bei der Informationsverarbeitungsvorrichtung nach dem dritten Aspekt der Erfindung und dem Informationsverarbeitungsverfahren nach dem vierten Aspekt der Erfindung wird die Verwaltungsinformation dekodiert, die zum Verwalten eines Speicherbereichs einer Datenspeichereinrichtung benutzt wird, die einen für den Zugriff auf den Speicherbereich benötigten Schlüssel enthält und verschlüsselt ist. Dadurch kann verhindert werden, daß die Verwaltungsinformation zu einer dritten Partei durchsickert.

Claims (40)

  1. Informationsverarbeitungssystem mit einer Datenspeichervorrichtung (2) und einer Informationsverarbeitungsvorrichtung (131), wobei die Informationsverarbeitungsvorrichtung (131) aufweist: eine Gestaltungseinrichtung zur Erzeugung einer Verwaltungsinformation, die einen Schlüssel für den Zugriff auf einen Speicherbereich der Datenspeichervorrichtung (2) enthält, wobei diese Verwaltungsinformation eine Information enthält, die den Speicherbereich in einer geschichteten Struktur verwaltet, eine Verschlüsselungseinrichtung zum Verschlüsseln der Verwaltungsinformation, wobei diese Verschlüsselungseinrichtung so ausgebildet ist, daß sie die Verwaltungsinformation einer niedrigeren Schicht unter Verwendung eines Schlüssels verschlüsselt, der in der Verwaltungsinformation einer höheren Schicht enthalten ist, und eine Kommunikationseinrichtung (27, 101) für die Übertragung der verschlüsselten Verwaltungsinformation zu der Datenspeichervorrichtung, wobei die Datenspeichervorrichtung (2) aufweist: eine Empfangseinrichtung (53) für den Empfang der verschlüsselten Verwaltungsinformation aus der Informationsverarbeitungsvorrichtung (131), eine Dekodiereinrichtung (92) zum Dekodieren der verschlüsselten Verwaltungsinformation unter Verwendung des in der Verwaltungsinformation der genannten höheren Schicht enthaltenen Schlüssels, eine Datenspeichereinrichtung (66) für die Speicherung von Daten für die Lieferung vorbestimmter Dienste, wobei der Zugriff auf den Speicherbereich der Datenspeichereinrichtung durch den genannten Schlüssel zur Verfügung gestellt wird, eine Verwaltungsinformations-Speichereinrichtung (66) für die Speicherung der Verwaltungsinformation, die den genannten Schlüssel enthält, und eine Verwaltungseinrichtung (91) zum Verwalten des Speicherbereichs der Datenspeichereinrichtung (66) auf der Basis der Verwaltungsinformation.
  2. Informationsverarbeitungssystem nach Anspruch 1, bei dem die Kommunikationseinrichtung so ausgebildet ist, daß sie die verschlüsselte Verwaltungsinformation über ein vorbestimmtes Übertragungsmedium (121) überträgt.
  3. Informationsverarbeitungssystem nach Anspruch 1 oder 2, bei dem die Gestaltungseinrichtung so ausgebildet ist, daß sie die Verwaltungsinformation in der Weise erzeugt, daß die Verwaltungsinformation ferner einen Speicherbereich-Identifizierungscode enthält, der dem zu verwaltenden Speicherbereich zugeordnet werden kann und zur Identifizierung des Speicherbereichs benutzt wird.
  4. Informationsverarbeitungssystem nach Anspruch 1, 2 oder 3, bei dem die Gestaltungseinrichtung so ausgebildet ist, daß sie die Verwaltungsinformation in der Weise erzeugt, daß die Verwaltungsinformation ferner eine Information über die Größe der freien Kapazität des zu verwaltenden Speicherbereichs enthält.
  5. Informationsverarbeitungssystem nach einem der vorhergehenden Ansprüche, bei dem die Informationsverarbeitungsvorrichtung (131) ferner eine Einrichtung enthält, die so ausgebildet ist, daß sie einen Prüfcode verarbeitet und daß die Verschlüsselungseinrichtung den Prüfcode zusammen mit der Verwaltungsinformation verschlüsselt, und bei dem die Datenspeichervorrichtung ferner eine Verarbeitungseinrichtung enthält, die so ausgebildet ist, daß sie den Prüfcode verarbeitet, um zu prüfen, ob die Verwaltungsinformation verfälscht wurde oder nicht, wobei die Dekodiereinrichtung den Prüfcode zusammen mit der Verwaltungsinformation dekodiert.
  6. Informationsverarbeitungssystem nach einem der vorhergehenden Ansprüche, bei dem die Verwaltungseinrichtung (91) die Speichereinrichtung (66) in Abhängigkeit von einem Befehl aus der Informationsverarbeitungsvorrichtung verwaltet.
  7. Informationsverarbeitungssystem nach einem der vorhergehenden Ansprüche, bei dem die Kommunikationseinrichtung und die Empfangseinrichtung (53) so angeordnet sind, daß sie in einem kontaktierenden Zustand oder in einem kontaktlosen Zustand kommunizieren.
  8. Informationsverarbeitungssystem nach einem der vorhergehenden Ansprüche, bei dem die Datenspeichervorrichtung ferner eine Speichersteuereinrichtung aufweist, die so ausgebildet ist, daß sie die Verwaltungsinformations-Speichereinrichtung in der Weise steuert, daß die Verwaltungsinformation in der Verwaltungsinformations-Speichereinrichtung gespeichert wird.
  9. Informationsverarbeitungssystem nach einem der vorhergehenden Ansprüche, bei dem die Datenspeichervorrichtung eine Informationsverarbeitungskarte ist.
  10. Datenspeichervorrichtung, die aufweist: eine Datenspeichereinrichtung (66) für die Speicherung von Daten zur Lieferung vorbestimmter Dienste, wobei der Zugriff auf den Speicherbereich der Datenspeichereinrichtung durch den genannten Schlüssel zur Verfügung gestellt wird, eine Verwaltungsinformations-Speichereinrichtung (66) für die Speicherung einer Verwaltungsinformation, die den Schlüssel enthält, wobei die Verwaltungsinformation eine Information enthält, um den Speicherbereich in einer geschichteten Struktur zu verwalten, eine Verwaltungseinrichtung (91) zum Verwalten des Speicherbereichs der Datenspeichereinrichtung (66) auf der Basis der Verwaltungsinformation, eine Empfangseinrichtung (53) für den Empfang einer verschlüsselten Verwaltungsinformation aus einem externen Gerät, wobei die verschlüsselte Verwaltungsinformation eine Verwaltungsinformation einer niedrigeren Schicht ist, die unter Verwendung des in der Verwaltungsinformation einer höheren Schicht enthaltenen Schlüssels entschlüsselt wird, eine Dekodiereinrichtung (92) zum Dekodieren der verschlüsselten Verwaltungsinformation unter Verwendung des in der Verwaltungsinformation der genannten höheren Schicht enthaltenen Schlüssels.
  11. Datenspeichervorrichtung nach Anspruch 10, bei der die Empfangsvorrichtung (53) den Zugriff auf das externen Gerät über ein vorbestimmtes Medium zur Verfügung stellt.
  12. Datenspeichervorrichtung nach Anspruch 10, oder 11, bei der die Verwaltungseinrichtung (91) so ausgebildet ist, daß sie die Speichereinrichtung (66) in Abhängigkeit von einem Befehl aus dem externen Gerät verwaltet.
  13. Datenspeichervorrichtung nach Anspruch 12, bei der die Empfangseinrichtung (53) so ausgebildet ist, daß sie die Kommunikationen mit dem externen Gerät in einem kontaktierenden Zustand oder in einem kontaktlosen Zustand verwaltet.
  14. Datenspeichervorrichtung nach Anspruch 10, bei der die Empfangseinrichtung (53) so ausgebildet ist, daß sie die verschlüsselte Verwaltungsinformation aus einer externen Informationsverarbeitungsvorrichtung empfängt.
  15. Datenspeichervorrichtung nach einem der Ansprüche 10 bis 14, bei der die Verwaltungsinformation ferner einen Speicherbereich-Identifizierungscode enthält, der dem zu verwaltenden Speicherbereich zugeordnet werden kann und zur Identifizierung des Speicherbereichs benutzt wird.
  16. Datenspeichervorrichtung nach einem der Ansprüche 10 bis 15, bei der die Verwaltungsinformation ferner eine Information über die Größe der freien Kapazität des zu verwaltenden Speicherbereichs enthält.
  17. Datenspeichervorrichtung nach einem der Ansprüche 10 bis 16, ferner mit einer Speichersteuereinrichtung, die so ausgebildet ist, daß sie die Verwaltungsinformations-Speichereinrichtung in der Weise steuert, daß die Verwaltungsinformation in der Verwaltungsinformations-Speichereinrichtung gespeichert wird.
  18. Datenspeichervorrichtung nach einem der Ansprüche 10 bis 17, ferner mit Betriebsmitteln zur Verarbeitung eines Prüfcodes, um zu prüfen, ob die Verwaltungsinformation verfälscht wurde oder nicht, wobei die Dekodiereinrichtung den Prüfcode zusammen mit der Verwaltungsinformation dekodiert.
  19. Datenspeichervorrichtung nach einem der Ansprüche 10 bis 18, bei der die Speichervorrichtung eine Informationsverarbeitungskarte ist.
  20. Informationsverarbeitungsvorrichtung (131) zur Lieferung einer Verwaltungsinformation an eine Datenspeichervorrichtung (2), wobei die Informationsverarbeitungsvorrichtung (131) aufweist: eine Gestaltungseinrichtung zur Erzeugung einer Verwaltungsinformation, die einen Schlüssel für den Zugriff auf einen Speicherbereich der Datenspeichervorrichtung enthält, wobei diese Verwaltungsinformation eine Information enthält, die den Speicherbereich in einer geschichteten Struktur verwaltet, eine Verschlüsselungseinrichtung zum Verschlüsseln der Verwaltungsinformation, wobei diese Verschlüsselungseinrichtung so ausgebildet ist, daß sie die Verwaltungsinformation einer niedrigeren Schicht unter Verwendung eines Schlüssels verschlüsselt, wobei dieser Schlüssel in der Verwaltungsinformation einer höheren Schicht enthalten ist, und eine Kommunikationseinrichtung (27, 101) für die Übertragung der verschlüsselten Verwaltungsinformation zu der Datenspeichervorrichtung,
  21. Informationsverarbeitungsvorrichtung (131) nach Anspruch 20, bei der die Kommunikationseinrichtung so ausgebildet ist, daß sie die verschlüsselte Verwaltungsinformation über ein vorbestimmtes Übertragungsmedium (121) überträgt.
  22. Informationsverarbeitungsvorrichtung nach Anspruch 20 oder 21, bei der die Gestaltungseinrichtung so ausgebildet ist, daß sie die Verwaltungsinformation in der Weise erzeugt, daß die Verwaltungsinformation ferner einen Speicherbereich-Identifizierungscode enthält, der dem zu verwaltenden Speicherbereich zugeordnet werden kann und zur Identifizierung des Speicherbereichs benutzt wird.
  23. Informationsverarbeitungsvorrichtung nach Anspruch 20, 21 oder 22, bei der die Gestaltungseinrichtung so ausgebildet ist, daß sie die Verwaltungsinformation in der Weise erzeugt, daß die Verwaltungsinformation ferner eine Information über die Größe der freien Kapazität des zu verwaltenden Speicherbereichs enthält.
  24. Informationsverarbeitungsvorrichtung nach einem der Ansprüche 20 bis 23, mit Betriebsmitteln zur Verarbeitung eines Prüfcodes, um zu prüfen, ob die Verwaltungsinformation verfälscht wurde oder nicht, wobei die Verschlüsselungseinrichtung den Prüfcode zusammen mit der Verwaltungsinformation verschlüsselt.
  25. Informationsverarbeitungsverfahren mit den Verfahrensschritten: Erzeugen (S21) einer Verwaltungsinformation in einer geschichteten Struktur, Verschlüsseln (S23) der Verwaltungsinformation, wobei bei diesem Verschlüsseln die Verwaltungsinformation einer niedrigeren Schicht unter Verwendung eines in der Verwaltungsinformation einer höheren Schicht enthaltenen Schlüssels verschlüsselt wird, Übertragen der verschlüsselten Verwaltungsinformation zu einer Datenspeichervorrichtung (2), Empfangen der verschlüsselten Verwaltungsinformation in der Datenspeichervorrichtung, Dekodieren der verschlüsselten Verwaltungsinformation einer niedrigeren Schicht mit der Datenspeichervorrichtung unter Verwendung des Schlüssels, wobei der Schlüssel in der Verwaltungsinformation einer höheren Schicht enthalten ist, Speichern von Daten für die Lieferung vorbestimmter Dienste in einer Datenspeichereinrichtung (66) der Datenspeichervorrichtung, wobei der Zugriff auf einen Speicherbereich der Datenspeichereinrichtung durch den genannten Schlüssel zur Verfügung gestellt wird, Speichern der Verwaltungsinformation in einer Verwaltungsinformations-Speichereinrichtung (66) der Datenspeichervorrichtung, Ausbilden des Speicherbereichs der Datenspeichereinrichtung (66) in einer geschichteten Struktur auf der Basis der Verwaltungsinformation und Verwalten des Speicherbereichs der Datenspeichereinrichtung (66) auf der Basis der Verwaltungsinformation.
  26. Informationsverarbeitungsverfahren nach Anspruch 25, bei dem bei dem in dem Verfahrensschritt des Übertragens die verschlüsselte Verwaltungsinformation über ein vorbestimmtes Übertragungsmedium übertragen wird.
  27. Informationsverarbeitungsverfahren nach Anspruch 25 und 26, bei dem die Verwaltungsinformation in dem Verfahrensschritt des Erzeugens in der Weise gebildet wird, daß die Verwaltungsinformation ferner einen Code zur Identifizierung des Speicherbereichs enthält, der dem zu verwaltenden Speicherbereich zugeordnet werden und zur Identifizierung des Speicherbereichs benutzt wird.
  28. Informationsverarbeitungsverfahren nach Anspruch 25, 26 oder 27, bei dem die Verwaltungsinformation in dem Verfahrensschritt des Erzeugens in der Weise gebildet wird, daß die Verwaltungsinformation ferner eine Information über die Größe der freien Kapazität des zu verwaltenden Speicherbereichs enthält.
  29. Informationsverarbeitungsverfahren nach einem der Ansprüche 25 bis 28 mit den weiteren Verfahrensschritten: Verarbeiten eines Prüfcodes, wobei bei in dem Verfahrensschritt des Verschlüsselns sowohl der Prüfcode als auch die Verwaltungsinformation verschlüsselt werden, und Verarbeiten des Prüfcodes, um zu prüfen, ob die Verwaltungsinformation verfälscht wurde oder nicht, wobei bei in dem Verfahrensschritt des Dekodierens der Prüfcode zusammen mit der Verwaltungsinformation dekodiert wird.
  30. Informationsverarbeitungsverfahren nach einem der Ansprüche 25 oder 29, bei dem der Speicherbereich in dem Verfahrensschritt des Verwaltens in Abhängigkeit von einem Befehl aus Informationsverarbeitungsvorrichtung verwaltet wird.
  31. Informationsverarbeitungsverfahren nach einem der Ansprüche 25 bis 30, bei dem in dem Verfahrensschritt des Übertragens das Empfangen in einem kontaktierenden Zustand oder in einem kontaktlosen Zustand erfolgt.
  32. Informationsverarbeitungsverfahren nach einem der Ansprüche 25 bis 31, bei dem die Datenspeichereinrichtung eine Informationsverarbeitungskarte ist.
  33. Datenspeicherungsverfahren zur Speichern von Daten für die Lieferung eines vorbestimmten Dienstes in einer Datenspeichereinrichtung (66), wobei das Datenspeicherungsverfahren die Verfahrensschritte umfaßt: Empfangen einer verschlüsselten Verwaltungsinformation aus einem externen Gerät, wobei die Verwaltungsinformation eine geschichtete Struktur besitzt und einen Schlüssel enthält, Dekodieren der verschlüsselten Verwaltungsinformation einer niedrigeren Schicht unter Verwendung eines Schlüssels, wobei dieser Schlüssel in der Verwaltungsinformation einer höheren Schicht enthalten ist, Speichern von Daten für die Lieferung eines vorbestimmten Dienstes in einer Datenspeichereinrichtung (66), wobei der Zugriff auf einen Speicherbereich der Datenspeichereinrichtung durch den genannten Schlüssel zur Verfügung gestellt wird, Speichern der Verwaltungsinformation in einer Verwaltungsinformations-Speichereinrichtung (66), Ausbilden des Speicherbereichs der Datenspeichereinrichtung (66) in einer geschichteten Struktur auf der Basis der Verwaltungsinformation und Verwalten des Speicherbereichs der Datenspeichereinrichtung (66) auf der Basis der Verwaltungsinformation.
  34. Datenspeicherungsverfahren nach Anspruch 33, bei dem das Empfangen über ein vorbestimmtes Übertragungsmedium erfolgt.
  35. Datenspeicherungsverfahren nach Anspruch 33 oder 34, bei dem die Datenspeichereinrichtung (66) in dem Verfahrensschritt des Verwaltens in Abhängigkeit von einem Befehl aus einem externen Gerät verwaltet wird.
  36. Datenspeicherungsverfahren nach Anspruch 33, 34 oder 35, bei dem das Empfangen in einem kontaktierenden Zustand oder in einem kontaktlosen Zustand erfolgt
  37. Datenspeicherungsverfahren nach Anspruch 33, 34, 35 oder 36, bei dem das externe Gerät einer externe Informationsverarbeitungsvorrichtung ist.
  38. Datenspeicherungsverfahren nach einem der Ansprüche 33 bis 37, bei dem die Verwaltungsinformation ferner einen Speicherbereich-Identifizierungscode enthält, der dem zu verwaltenden Speicherbereich zugeordnet werden kann und zur Identifizierung des Speicherbereichs benutzt wird.
  39. Datenspeicherungsverfahren nach einem der Ansprüche 33 bis 36, bei dem die Verwaltungsinformation ferner eine Information über die Größe der freien Kapazität des zu verwaltenden Speicherbereichs enthält.
  40. Datenspeicherungsverfahren nach einem der Ansprüche 33 bis 39, bei dem die Datenspeichereinrichtung eine Informationsverarbeitungskarte ist.
DE69927643T 1998-07-16 1999-07-13 Informationsverarbeitung und Datenspeicherung Expired - Lifetime DE69927643T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP20149798 1998-07-16
JP20149798A JP4029234B2 (ja) 1998-07-16 1998-07-16 情報処理装置および情報処理方法

Publications (2)

Publication Number Publication Date
DE69927643D1 DE69927643D1 (de) 2006-02-23
DE69927643T2 true DE69927643T2 (de) 2006-07-13

Family

ID=16442044

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69927643T Expired - Lifetime DE69927643T2 (de) 1998-07-16 1999-07-13 Informationsverarbeitung und Datenspeicherung

Country Status (9)

Country Link
US (1) US7003671B1 (de)
EP (1) EP0973135B1 (de)
JP (1) JP4029234B2 (de)
KR (1) KR100627989B1 (de)
CN (1) CN1279457C (de)
DE (1) DE69927643T2 (de)
HK (1) HK1029404A1 (de)
SG (1) SG94329A1 (de)
TW (1) TW475126B (de)

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010034838A1 (en) * 2000-01-14 2001-10-25 Motoshi Ito Control program, device including the control program, method for creating the control program, and method for operating the control program
EP1202208A4 (de) * 2000-04-06 2006-04-12 Sony Corp Verfahren zur speicherbereichsteillung für tragbares gerät
CN1996351B (zh) * 2000-04-28 2010-04-21 株式会社日立制作所 集成电路卡
JP4538909B2 (ja) * 2000-06-15 2010-09-08 ソニー株式会社 データ記憶装置および情報処理装置
JP4765174B2 (ja) * 2001-02-16 2011-09-07 ソニー株式会社 アプリケーション実行装置、通信システム、およびアプリケーション実行方法
JP2002298105A (ja) 2001-03-30 2002-10-11 Sony Corp データ記憶装置および方法、情報処理装置および方法、記録媒体、並びにプログラム
JP3526287B2 (ja) * 2001-08-29 2004-05-10 株式会社東芝 携帯可能電子装置及びそのデータ書込方法
DE10142351A1 (de) 2001-08-30 2003-03-20 Giesecke & Devrient Gmbh Initialisieren einer Chipkarte
JP4969745B2 (ja) * 2001-09-17 2012-07-04 株式会社東芝 公開鍵基盤システム
KR20030087201A (ko) * 2002-05-07 2003-11-14 주식회사 한국데이타비지네스 알에프카드 발급용 엔코더기 및 그 운영 방법
KR20030087203A (ko) * 2002-05-07 2003-11-14 주식회사 한국데이타비지네스 엠에스카드 리더기 및 그 운용 방법
EP1492061A1 (de) * 2003-06-25 2004-12-29 Nagracard S.A. Verfahren zur Zuweisung von gesicherten Ressourcen in einem Sicherheitsmodul
US20050036620A1 (en) * 2003-07-23 2005-02-17 Casden Martin S. Encryption of radio frequency identification tags
US20060248595A1 (en) * 2003-08-08 2006-11-02 Koninklijke Philips Electronics N.V. Reproducing encrypted content using region keys
JP2005196412A (ja) * 2004-01-06 2005-07-21 Sony Corp データ通信装置及びデータ通信装置のメモリ管理方法
KR100474142B1 (ko) * 2004-02-06 2005-03-14 에스케이 텔레콤주식회사 선후불카드 발급 인증에 필요한 암호화된 인증 데이터전달 장치, 선후불카드 발급 인증 시스템 및 그 인증 방법
JP2005352963A (ja) * 2004-06-14 2005-12-22 Sony Corp 情報管理装置及びその制御方法
JP4706220B2 (ja) 2004-09-29 2011-06-22 ソニー株式会社 情報処理装置および方法、記録媒体、並びにプログラム
PE20060707A1 (es) * 2004-12-22 2006-07-07 Transporte De Pasajeros Metro S A Empresa De Dispositivo de control y seguridad que registra la carga y el cobro electronico de tarifas respecto de una tarjeta de proximidad con un monto determinado en un sistema de transporte de pasajeros
JP4239988B2 (ja) * 2005-03-07 2009-03-18 ソニー株式会社 通信システム、通信装置、有線通信装置、および通信方法
JP4670585B2 (ja) 2005-10-26 2011-04-13 ソニー株式会社 設定装置および方法、並びにプログラム
JP4745131B2 (ja) * 2006-05-29 2011-08-10 株式会社日立製作所 通信カード
CN100535935C (zh) * 2006-12-26 2009-09-02 北京握奇数据***有限公司 Cpu与逻辑加密双用智能卡及其数据同步方法
EP2128803A4 (de) * 2007-02-07 2012-01-25 Toshiba Kk Informationsspeichermedium und mediumverarbeitungssystem
JP2009276916A (ja) 2008-05-13 2009-11-26 Sony Corp 通信装置、通信方法、リーダライタ及び通信システム
JP4631935B2 (ja) 2008-06-06 2011-02-16 ソニー株式会社 情報処理装置、情報処理方法、プログラム及び通信システム
JP5272637B2 (ja) 2008-10-14 2013-08-28 ソニー株式会社 情報処理装置、暗号切替方法、及びプログラム
KR101698100B1 (ko) * 2014-11-27 2017-01-19 엘지전자 주식회사 리니어 압축기의 제어 장치, 이를 포함한 압축기 및 제어 방법
JPWO2019026372A1 (ja) * 2017-08-04 2020-06-18 ソニー株式会社 情報処理装置、情報処理方法およびプログラム
US11921868B2 (en) 2021-10-04 2024-03-05 Bank Of America Corporation Data access control for user devices using a blockchain

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4742215A (en) * 1986-05-07 1988-05-03 Personal Computer Card Corporation IC card system
US5050213A (en) * 1986-10-14 1991-09-17 Electronic Publishing Resources, Inc. Database usage metering and protection system and method
US5280614A (en) * 1990-08-21 1994-01-18 International Business Machines Corporation Apparatus and method for controlling access to data using domains
EP0583006B2 (de) * 1992-08-13 2006-11-29 Matsushita Electric Industrial Co., Ltd. IC-Karte mit hierarchischer Dateienstruktur
GB9307623D0 (en) * 1993-04-13 1993-06-02 Jonhig Ltd Data writing to eeprom
WO1997014147A1 (fr) * 1995-10-09 1997-04-17 Matsushita Electric Industrial Co., Ltd. Support, appareil et procede d'enregistrement d'informations
ATE221677T1 (de) * 1996-02-09 2002-08-15 Digital Privacy Inc Zugriffssteuerungs/verschlüsselungssystem
EP0790551A1 (de) * 1996-02-16 1997-08-20 Koninklijke KPN N.V. Verfahren zur Änderung des Befehlssatzes einer Chipkarte
JPH104403A (ja) 1996-06-17 1998-01-06 N T T Data Tsushin Kk 暗号化装置、復号化装置およびその方法
EP0818761A1 (de) * 1996-07-12 1998-01-14 Koninklijke KPN N.V. Chipkarte, gesicherter Anwendungsmodul, System mit einem gesicherten Anwendungsmodul und ein Endgerät und ein Verfahren zum Steuern von Dienstleistungsaktionen die durch den gesicherten Anwendungsmodul auf der Chipkarte durchgeführt werden
EP0825739A1 (de) * 1996-08-15 1998-02-25 Koninklijke KPN N.V. Verfahren zum Laden von Befehlen in ein Sicherheitsmodul eines Endgerätes
DE19650549A1 (de) * 1996-12-05 1998-06-10 Ods Gmbh & Co Kg Verfahren zum gesicherten nachträglichen Programmieren einer Mikroprozessorkarte für eine zusätzliche Anwendung
US5988510A (en) * 1997-02-13 1999-11-23 Micron Communications, Inc. Tamper resistant smart card and method of protecting data in a smart card
JPH10327147A (ja) * 1997-05-21 1998-12-08 Hitachi Ltd 電子認証公証方法およびシステム
WO2000013089A1 (fr) * 1998-08-31 2000-03-09 Sony Corporation Memoire, processeur et procede de traitement

Also Published As

Publication number Publication date
CN1279457C (zh) 2006-10-11
SG94329A1 (en) 2003-02-18
JP4029234B2 (ja) 2008-01-09
EP0973135B1 (de) 2005-10-12
CN1242547A (zh) 2000-01-26
EP0973135A2 (de) 2000-01-19
HK1029404A1 (en) 2001-03-30
EP0973135A3 (de) 2001-11-07
JP2000036014A (ja) 2000-02-02
US7003671B1 (en) 2006-02-21
KR100627989B1 (ko) 2006-09-27
KR20000011792A (ko) 2000-02-25
DE69927643D1 (de) 2006-02-23
TW475126B (en) 2002-02-01

Similar Documents

Publication Publication Date Title
DE69927643T2 (de) Informationsverarbeitung und Datenspeicherung
DE69920342T2 (de) Datenspeichervorrichtung und -verfahren
DE69814406T2 (de) Tragbare elektronische vorrichtung für systeme zur gesicherten kommunikation und verfahren zur initialisierung der parameter
DE69730712T2 (de) Kommunikationssystem mit gesicherter, unabhängiger verwaltung mehrerer anwendungen pro gebraucherkarte, gebraucherkarte und verwaltungsverfahren dafür
DE3780571T2 (de) Sicherheitssystem fuer den datenbestand eines tragbaren datentraegers.
DE69623893T2 (de) Ein gesichertes Chiffrierprotokoll verwendendes Wertspeichersystem
DE60021465T2 (de) Sicherheitsverwaltungssystem, Datenverteilungsvorrichtung und tragbares Terminalgerät
DE69925810T2 (de) Verfahren und vorrichtung für eine reisebezogene multifunktionelle chipkarte
DE69823649T2 (de) Multi-anwendungs ic-kartensystem
DE3780002T2 (de) System fuer einen tragbaren datentraeger.
DE69805155T2 (de) Integrierte Schaltung und Chipkarte mit einer solchen Schaltung
DE69215501T2 (de) Werttransfersystem
DE69901585T2 (de) Kartenausgabe für ein Mehrzahl von Veranstaltungen mit Chipkarten
DE69836633T2 (de) Datentransportschlüsselsatz für chipkarten
DE3044463C2 (de)
DE69735166T2 (de) Verfahren und einrichtung zur sicherung der ferndienstleistungen der finanzinstitute
DE69029921T2 (de) Verfahren zum Schutz gegen betrügerischen Gebrauch einer Mikroprozessor-Karte und Vorrichtung zur Durchführung
DE60133542T2 (de) Authentifizierungsverfahren
DE3103514A1 (de) Verfahren und vorrichtung zum steuern einer gesicherten transaktion
DE60035852T2 (de) Verfahren und System zur elektronischen Authentifizierung
DE60120945T2 (de) System und Verfahren zum Bereitstellen von Dienstleistungen
DE60203041T2 (de) Verfahren und vorrichtung zum beglaubigen einer transaktion
EP2272025B1 (de) System und verfahren zum bereitstellen von benutzermedien
DE69825410T2 (de) Verfahren zur Kompression von digitalen Zertifikaten zur Verwendung in einer Chipkarte
EP0203543B1 (de) Verfahren und Anordnung zum Überprüfen von Chipkarten

Legal Events

Date Code Title Description
8364 No opposition during term of opposition