專利名稱:信息處理設(shè)備���、信息處理方法和程序的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息處理設(shè)備�、信息處理方法和程序。更具體地說�����,本發(fā)明涉及一個信息處理設(shè)備��,一個信息處理方法和一個程序�����,它們能夠容易地控制(管理)由作為服務(wù)供應(yīng)者的操作者執(zhí)行的操作�����,用于與加密有關(guān)的密碼處理�����,以通過設(shè)備(包括集成電路(IC)芯片如IC卡)的使用來提供服務(wù)�����。
背景技術(shù):
近年來,使用IC芯片的所謂電子貨幣已經(jīng)廣泛用于支付�。
例如,用戶可以保持含有IC芯片的IC卡���,在連接到個人計算機(jī)(PC)的讀寫器(R/W)上支付在IC芯片中所充值的電子貨幣��,用于在因特網(wǎng)的購物站點中所購買的物品���。用戶還可以將含有IC芯片的移動電話靠近在店鋪中提供的讀寫器(R/W)來為在該店鋪中所購買的物品支付在IC芯片中所充值的電子貨幣。在為物品支付時�����,PC����、R/W和IC卡(IC芯片)��,或者含有IC芯片的移動電話�,它們用作客戶機(jī),響應(yīng)于服務(wù)器發(fā)出的指令來完成支付���。
換言之�����,服務(wù)器完成支付處理���,這包括對在IC芯片中充值的電子貨幣余額的管理和從余額中減去物品價錢����,來提供電子貨幣服務(wù)��,其中為用戶即客戶支付物品的電子貨幣��。
不僅電子貨幣服務(wù)而且各種其它服務(wù)也可以提供給用戶����,取決于不同的支付處理。
在服務(wù)器與客戶機(jī)之間傳送加密的數(shù)據(jù)���,客戶機(jī)使用IC芯片來提供如上所述的服務(wù)�����,以便保證安全�,包括防止泄露信息給第三人�。
在服務(wù)器與客戶機(jī)之間,在數(shù)據(jù)加密和密碼處理(包括通過使用數(shù)據(jù)的加密和解密所進(jìn)行的簽名的認(rèn)證和創(chuàng)建)時所使用的密鑰(加密密鑰)的管理,例如涉及數(shù)據(jù)的加密和解密的管理���,是在防篡改設(shè)備中執(zhí)行的����,以便保證安全�。對防篡改設(shè)備的外部訪問僅在認(rèn)證成功時才被準(zhǔn)許。因此�����,防止了密鑰���,加密算法等被泄露到外部設(shè)備中�����。
在計算機(jī)系統(tǒng)中這樣一種訪問控制技術(shù)在例如日本未檢查專利申請公布號2003-524252中揭示���,該計算機(jī)系統(tǒng)具有資源����、認(rèn)證單元和執(zhí)行與簽名相關(guān)聯(lián)的程序代碼的執(zhí)行引擎。在這種技術(shù)中,與資源相關(guān)聯(lián)的加密密鑰用于在執(zhí)行引擎加載程序代碼時執(zhí)行對簽名的認(rèn)證�,而與資源相關(guān)聯(lián)的加密密鑰用于在執(zhí)行引擎中的代碼請求對資源訪問時進(jìn)一步對簽名進(jìn)行認(rèn)證,以便保護(hù)計算機(jī)系統(tǒng)中的資源�。
發(fā)明概述當(dāng)服務(wù)供應(yīng)者使用上述服務(wù)器提供服務(wù)時,有必要的是�,例如,注冊用于在防篡改設(shè)備中提供服務(wù)的新密鑰�����。
新密鑰的注冊是由操作者完成的����,操作者是服務(wù)供應(yīng)者并且操作外部設(shè)備來對防篡改設(shè)備訪問���。過去��,操作者對防篡改設(shè)備訪問的控制,即操作者對防篡改設(shè)備的訪問權(quán)限已經(jīng)由操作決定��。
因此��,難以防止惡意操作者企圖執(zhí)行的欺騙行為。
所想要的是易于控制由操作者執(zhí)行的操作���,用于包括密鑰注冊在內(nèi)的密碼處理�����。
按照本發(fā)明的一個實施例����,信息處理設(shè)備包括認(rèn)證操作外部設(shè)備的操作者的認(rèn)證裝置�����;存儲裝置,存儲具有標(biāo)識信息的訪問控制列表����,標(biāo)識信息標(biāo)識與表示操作者被許可的密碼處理的信息相關(guān)聯(lián)的操作者�����;確認(rèn)裝置��,參考訪問控制列表以確認(rèn)是否許可經(jīng)認(rèn)證的操作者所請求的密碼處理��;以及密碼處理裝置�,在許可操作者所請求的密碼處理時進(jìn)行密碼處理。
按照本發(fā)明的另一個實施例�,一種信息處理方法包括下列步驟認(rèn)證操作外部設(shè)備的操作者;參考具有標(biāo)識信息的訪問控制列表����,標(biāo)識信息標(biāo)識操作者,操作者與表示操作者被許可的密碼處理的信息相關(guān)聯(lián)�,以確認(rèn)是否許可經(jīng)認(rèn)證的操作者所請求的密碼處理;以及在許可操作者所請求的密碼處理時進(jìn)行密碼處理�。
按照又一實施例,一種程序包括下列步驟認(rèn)證操作外部設(shè)備的操作者��;參考具有標(biāo)識信息的訪問控制列表,標(biāo)識信息標(biāo)識與表示操作者被許可的密碼處理的信息相關(guān)聯(lián)的操作者�,以確認(rèn)是否許可經(jīng)認(rèn)證的操作者所請求的密碼處理;以及在許可操作者所請求的密碼處理時進(jìn)行密碼處理�。
按照本發(fā)明,認(rèn)證操作外部設(shè)備的操作者���。通過參考具有標(biāo)識信息的訪問控制列表��,進(jìn)行對是否許可經(jīng)認(rèn)證的操作者所請求的密碼處理的確認(rèn)��,標(biāo)識信息標(biāo)識與表示操作者被許可的密碼處理的信息相關(guān)聯(lián)的操作者��。在許可操作者所請求的密碼處理時進(jìn)行密碼處理��。
按照本發(fā)明�,有可能容易地控制由操作者進(jìn)行的用于密碼處理的操作�。
圖1示出應(yīng)用本發(fā)明的服務(wù)器-客戶機(jī)系統(tǒng)結(jié)構(gòu)的例子;圖2是方框圖�����,示出客戶機(jī)端設(shè)備和服務(wù)器端設(shè)備功能結(jié)構(gòu)的例子�;圖3是方框圖,示出客戶機(jī)端設(shè)備和服務(wù)器端設(shè)備特定硬件結(jié)構(gòu)的例子;圖4是方框圖�����,示出客戶機(jī)端設(shè)備和服務(wù)器端設(shè)備特定硬件結(jié)構(gòu)的另一個例子�;圖5是方框圖,示出其中安裝了客戶機(jī)應(yīng)用的PC硬件結(jié)構(gòu)的例子����;圖6是方框圖���,示出其中安裝了服務(wù)器應(yīng)用和安全服務(wù)器的計算機(jī)硬件結(jié)構(gòu)的例子��;圖7是方框圖�,示出安全芯片硬件結(jié)構(gòu)的例子���;圖8示出存儲器目錄結(jié)構(gòu)的例子�;圖9是方框圖��,示出安全服務(wù)器詳細(xì)結(jié)構(gòu)的例子�����;圖10A和10B示出一個流程圖,例示客戶機(jī)端設(shè)備和服務(wù)器端設(shè)備的操作�;圖11是方框圖,示出安全芯片處理模塊結(jié)構(gòu)的例子�����;圖12例示從操作者對安全芯片處理模塊的訪問�;圖13例示從操作者對安全芯片處理模塊的訪問;圖14示出在訪問控制列表中描述的例子��;圖15是流程圖����,示出密鑰管理應(yīng)用和安全芯片處理模塊的操作;圖16是流程圖���,示出密鑰管理應(yīng)用和安全芯片處理模塊的另一個操作�;圖17是流程圖�,示出密鑰管理應(yīng)用和安全芯片處理模塊的又一操作;以及圖18是流程圖�����,示出密鑰管理應(yīng)用和安全芯片處理模塊的還有的另一操作�。
具體實施方法在描述本發(fā)明的實施例之前���,下面先討論權(quán)利要求書的特征與在本發(fā)明實施例中所揭示的特定元素之間的一致性。這個說明旨在保證在本說明書中的描述支持所要求的本發(fā)明的實施例�����。因而��,即使在下列實施例中的元素沒有被描述為與本發(fā)明的某個特征有關(guān)�,也并不表示該元素不與權(quán)利要求書的該特征有關(guān)。相反��,即使在此將一個元素描述為與權(quán)利要求書的某個特征有關(guān)���,也并不表示該元素不與權(quán)利要求書的其它特征有關(guān)。
而且�,這個說明不應(yīng)該解釋為有這樣的限制,即在權(quán)利要求書中要描述實施例中所揭示的本發(fā)明所有方面���。也就是說��,這個說明不否認(rèn)在實施例中所描述的���、但沒有在本申請的發(fā)明中被要求的本發(fā)明的一些方面的存在,即在將來可能由分案申請的或者可能通過修正來附加地要求的本發(fā)明一些方面的存在。
按照本發(fā)明實施例��,一種信息處理設(shè)備(例如���,在圖11中的安全芯片處理模塊23)��,為通過使用集成電路芯片提供服務(wù)進(jìn)行密碼處理�����,該設(shè)備包括認(rèn)證操作外部設(shè)備的操作者的認(rèn)證單元(例如��,執(zhí)行圖15的步驟S101的認(rèn)證器112)���;存儲單元,存儲具有標(biāo)識信息的訪問控制列表(例如�����,圖11中的訪問控制列表存儲單元113)��,標(biāo)識信息標(biāo)識表示操作者被許可的密碼處理的信息相關(guān)聯(lián)的操作者�����;確認(rèn)單元(例如,圖11中執(zhí)行圖15的步驟S132的認(rèn)證器112)�����,參考訪問控制列表����,以確認(rèn)是否許可經(jīng)認(rèn)證操作者所請求的密碼處理;以及密碼處理單元(例如���,圖11中的密碼處理器114)����,在許可操作者所請求的密碼處理時進(jìn)行密碼處理����。
按照本發(fā)明的另一實施例����,一種在信息處理設(shè)備(例如,圖11中安全芯片處理模塊23)中的信息處理方法��,通過使用集成電路芯片為提供服務(wù)進(jìn)行密碼處理�,該方法包括下列步驟認(rèn)證操作外部設(shè)備的操作者(例如�����,圖15中的步驟S101)����;參考具有標(biāo)識信息的訪問控制列表�����,標(biāo)識信息標(biāo)識與表示操作者被許可的密碼處理的信息相關(guān)聯(lián)的操作者��,以確認(rèn)是否許可經(jīng)認(rèn)證操作者所請求的密碼處理(例如�����,圖15中的步驟S132)��;以及在許可操作者所請求的密碼處理時進(jìn)行密碼處理(例如���,圖15中的步驟S142)�����。
按照本發(fā)明的又一實施例�,一種使計算機(jī)通過使用集成電路芯片為提供服務(wù)進(jìn)行密碼處理的程序,包括下列步驟認(rèn)證操作外部設(shè)備的操作者(例如��,圖15中的步驟S101)�;參考具有標(biāo)識信息的訪問控制列表,標(biāo)識信息標(biāo)識與表示操作者被許可的密碼處理的信息相關(guān)聯(lián)的操作者�����,以確認(rèn)是否許可經(jīng)認(rèn)證操作者所請求的密碼處理(例如���,圖15中的步驟S132)��;以及在許可操作者所請求的密碼處理時進(jìn)行密碼處理(例如�����,圖15中的步驟S142)�����。
下面將參考附圖描述本發(fā)明的實施例����。
圖1示出應(yīng)用本發(fā)明的服務(wù)器-客戶機(jī)系統(tǒng)結(jié)構(gòu)的例子(系統(tǒng)指多個設(shè)備的邏輯集合��,并且這些設(shè)備沒有必要包含在同一包裝中)��。
圖1中的服務(wù)器-客戶機(jī)系統(tǒng)被結(jié)構(gòu)成�,使得各種客戶機(jī)端設(shè)備1,即所謂的客戶機(jī)�����,連接到服務(wù)器端設(shè)備2�����,即所謂的服務(wù)器���,如果需要的話����,通過網(wǎng)絡(luò)3如因特網(wǎng)和網(wǎng)絡(luò)4如移動通信網(wǎng)絡(luò)���。
每個客戶機(jī)端設(shè)備1包括一個安全芯片�����。安全芯片是防篡改安全I(xiàn)C芯片并且能夠執(zhí)行與其它設(shè)備的接觸或非接觸數(shù)據(jù)通信���。
客戶機(jī)端設(shè)備1包括移動終端�,如移動電話或個人數(shù)字助理(PDA)�����、PC�����、銷售點(POS)寄存器(POS系統(tǒng)的寄存器)���、自動購貨機(jī)和手持終端�����。包括在每個客戶機(jī)端設(shè)備1中的安全芯片����,例如是Suica中采用的Felica等用作電子通勤車票�。
服務(wù)器端設(shè)備2發(fā)送數(shù)據(jù)(包括命令)到客戶機(jī)端設(shè)備1或者從其接收數(shù)據(jù)(包括命令),以提供各種服務(wù)���,如果需要的話�����,通過網(wǎng)絡(luò)3和網(wǎng)絡(luò)4�����。例如���,當(dāng)電子貨幣存儲在客戶機(jī)端設(shè)備1的安全芯片中時,相應(yīng)的服務(wù)器端設(shè)備2通過控制從客戶機(jī)端設(shè)備1中的電子貨幣減去物品的價錢來提供電子貨幣服務(wù)��,并且將客戶機(jī)端設(shè)備1中的電子貨幣的余額更新為減去后的余額�����。
客戶機(jī)端設(shè)備1加密要發(fā)送到服務(wù)器端設(shè)備2的數(shù)據(jù)并且將加密的數(shù)據(jù)發(fā)送到服務(wù)器端設(shè)備2��。服務(wù)器端設(shè)備2加密要發(fā)送到客戶機(jī)端設(shè)備1的數(shù)據(jù)并且發(fā)送加密的數(shù)據(jù)到客戶機(jī)端設(shè)備1����。
與數(shù)據(jù)加密(安全)有關(guān)的密碼處理,包括數(shù)據(jù)的加密和解密����,在加密和解密時使用的密鑰的產(chǎn)生和管理�,認(rèn)證(用于認(rèn)證的數(shù)據(jù)的加密和解密)��,以及在認(rèn)證時使用的隨機(jī)數(shù)的產(chǎn)生��,該密碼處理在客戶機(jī)端設(shè)備1中是在防篡改安全芯片中進(jìn)行的�����。相反�����,在服務(wù)器端設(shè)備2中的密碼處理在硬件安全模塊(HSM)(它是專用的防篡改硬件)中進(jìn)行��,或者在實現(xiàn)服務(wù)器端設(shè)備2的軟件中進(jìn)行�,而不使用防篡改HSM。
密碼處理被劃分成要求較高機(jī)密性的密碼處理和其它密碼處理��。當(dāng)服務(wù)器端設(shè)備2具有HSM時�,只有要求較高機(jī)密性的密碼處理在HSM中進(jìn)行,而其它密碼處理在實現(xiàn)服務(wù)器端設(shè)備2的軟件中進(jìn)行�。
圖2是方框圖,示出客戶機(jī)端設(shè)備1和服務(wù)器端設(shè)備2的功能結(jié)構(gòu)的例子����。
客戶機(jī)端設(shè)備1�,如果必要的話包括安全芯片11���,客戶機(jī)應(yīng)用12和讀寫器(R/W)13����。
安全芯片11是防篡改安全I(xiàn)C芯片�,并且能夠執(zhí)行與其它設(shè)備的接觸或非接觸數(shù)據(jù)通信����。
明確地說,例如�����,安全芯片11��,按照客戶機(jī)應(yīng)用12通過通信發(fā)送的命令直接或者通過R/W 13與客戶機(jī)應(yīng)用12通信以進(jìn)行處理�����。在處理之后���,安全芯片11響應(yīng)于命令��,直接或者通過R/W 13發(fā)送響應(yīng)數(shù)據(jù)到客戶機(jī)應(yīng)用12����。安全芯片11還進(jìn)行對發(fā)送和接收數(shù)據(jù)的密碼處理,以便保證安全�����。
例如���,客戶機(jī)應(yīng)用12是由作為硬件的計算機(jī)執(zhí)行的軟件��?����?蛻魴C(jī)應(yīng)用12用作下面在服務(wù)器端設(shè)備2中描述的服務(wù)器應(yīng)用21的客戶機(jī)��??蛻魴C(jī)應(yīng)用12從服務(wù)器應(yīng)用21收發(fā)數(shù)據(jù)(包括命令)�,并且直接或者通過R/W 13提供命令給安全芯片11以從安全芯片11讀寫數(shù)據(jù),以便實現(xiàn)各種服務(wù)�。
例如����,當(dāng)客戶機(jī)應(yīng)用12和服務(wù)器應(yīng)用21是提供電子貨幣服務(wù)的軟件并且在安全芯片11中為電子貨幣服務(wù)分配存儲區(qū)時���,電子貨幣服務(wù)所要求的數(shù)據(jù)(包括命令)在客戶機(jī)應(yīng)用12與服務(wù)器應(yīng)用21之間傳送��。數(shù)據(jù)通信包括從存儲在安全芯片11中的電子貨幣減去物品的價錢并且將存儲在安全芯片11中的電子貨幣的余額更新為減去后的余額����。
客戶機(jī)應(yīng)用12如果需要的話����,包括控制與服務(wù)器應(yīng)用21通信的模塊��。
R/W 13執(zhí)行與安全芯片11的非接觸或接觸通信����,以發(fā)送由客戶機(jī)應(yīng)用12提供的命令到安全芯片11。另外���,R/W 13接收從安全芯片11發(fā)送的數(shù)據(jù)并且提供所接收的數(shù)據(jù)到客戶機(jī)應(yīng)用12�。
例如��,服務(wù)器應(yīng)用21是由作為硬件的計算機(jī)執(zhí)行的軟件。服務(wù)器應(yīng)用21用作客戶機(jī)端設(shè)備1中客戶機(jī)應(yīng)用12的服務(wù)器���。服務(wù)器應(yīng)用21從客戶機(jī)應(yīng)用12收發(fā)數(shù)據(jù)(包括命令)�����,以實現(xiàn)各種服務(wù)���,包括上述電子貨幣服務(wù)。
服務(wù)器應(yīng)用21請求安全服務(wù)器22對收發(fā)的數(shù)據(jù)進(jìn)行密碼處理以保證安全��。
服務(wù)器應(yīng)用21如果需要的話�,包括控制與客戶機(jī)應(yīng)用12通信的模塊。
例如��,安全服務(wù)器22是由作為硬件的計算機(jī)執(zhí)行的軟件���。安全服務(wù)器22進(jìn)行密碼處理或者請求安全芯片處理模塊23進(jìn)行密碼處理�,以響應(yīng)來自服務(wù)器應(yīng)用21的密碼處理請求��。
明確地說���,安全服務(wù)器22請求安全芯片處理模塊23進(jìn)行服務(wù)器應(yīng)用21所請求的密碼處理之中要求較高機(jī)密性的密碼處理�����,并且自己來進(jìn)行其它密碼處理����。
安全芯片處理模塊23響應(yīng)于來自安全服務(wù)器22的請求,進(jìn)行密碼處理(要求較高機(jī)密性的密碼處理)�����。
這里假定安全芯片處理模塊23被裝在例如專用的防篡改硬件中����。然而,安全芯片處理模塊23可以是安全服務(wù)器22中的一個模塊(軟件)��。
圖3是方框圖��,示出客戶機(jī)端設(shè)備1和服務(wù)器端設(shè)備2的特定硬件結(jié)構(gòu)的例子����。
參考圖3�����,客戶機(jī)端設(shè)備1包括R/W 13,R/W 13是硬件����,以及集成電路(IC)卡31和個人計算機(jī)(PC)32。
IC卡31包括安全芯片11����,安全芯片11是硬件。例如�����,IC卡31相應(yīng)于一張卡����,如Edy,存儲電子貨幣�。PC 32例如是由IC卡31的用戶所擁有的?���?蛻魴C(jī)應(yīng)用12安裝在PC 32中。用戶操作PC 32���,例如����,來查詢IC卡31中存儲的電子貨幣的余額,充值電子貨幣�,以及支付電子貨幣。
參考圖3��,服務(wù)器端設(shè)備2包括安全芯片處理模塊23和計算機(jī)33�����,安全芯片處理模塊23是硬件����。
計算機(jī)33例如是服務(wù)器(機(jī)器),它是硬件����。服務(wù)器應(yīng)用21和安全服務(wù)器22安裝在計算機(jī)33中。
圖4是方框圖���,示出客戶機(jī)端設(shè)備1和服務(wù)器端設(shè)備2的特定硬件結(jié)構(gòu)的另一個例子。圖4中的服務(wù)器端設(shè)備2的硬件結(jié)構(gòu)與圖3中的相似��。
參考圖4�,客戶機(jī)端設(shè)備1是移動電話34��,它是硬件���。
移動電話34包括安全芯片11,安全芯片11是硬件��?����?蛻魴C(jī)應(yīng)用12安裝在移動電話34中�。用戶操作移動電話34,例如���,來查詢存儲在安全芯片11中的電子貨幣的余額���,充值電子貨幣,以及支付電子貨幣��。
對包含在移動電話34中的安全芯片11的外部訪問可通過使用移動電話34的通信功能來完成��,或者可通過將移動電話34(包含在移動電話34中的安全芯片11)靠近R/W 13(在圖4中未示出)來完成��。
圖5是方框圖,示出圖3的PC 32硬件結(jié)構(gòu)的例子�,其中安裝了客戶機(jī)應(yīng)用12。
PC 32包括中央處理單元(CPU)42��。輸入-輸出接口50通過總線41連接到CPU 42���。CPU 42響應(yīng)于由用戶用輸入單元47輸入并且通過輸入-輸出接口50提供的指令���,執(zhí)行存儲在只讀存儲器(ROM)43中的程序,輸入單元47包括鍵盤���、鼠標(biāo)��、話筒等�����。CPU 42將存儲在硬盤45中的程序�����、通過衛(wèi)星或網(wǎng)絡(luò)傳送并由通信單元48接收的程序和安裝在硬盤45中的程序�����、或者從加載在驅(qū)動器49中的可移動介質(zhì)51讀出并且安裝在硬盤45中的程序加載到隨機(jī)存取存儲器(RAM)44中���,并且執(zhí)行所加載的程序。CPU 42以上述方式進(jìn)行各種處理��。CPU 42從輸出單元46輸出處理結(jié)果��,輸出單元46包括液晶顯示器(LCD)��、揚聲器等����,發(fā)送來自通信單元48的處理結(jié)果,和/或在需要時通過輸入-輸出接口50將處理結(jié)果存儲在硬盤45中�。
輸入-輸出接口50具有例如通用串行總線(USB)端口,并且圖3中的R/W 13能夠被連接到這個USB端子��。CPU 42(由CPU 42執(zhí)行客戶機(jī)應(yīng)用12)通過連接到輸入-輸出接口50的R/W 13訪問安全芯片(圖3)����。
包括客戶機(jī)應(yīng)用12的程序可預(yù)先記錄在硬盤45或者ROM 43中,后者用作記錄介質(zhì)并且包含在PC 32中��。
可供替換地���,程序可臨時或永久地存儲(記錄)在可移動記錄介質(zhì)51中����,諸如軟盤、只讀光盤(CD-ROM)���、磁光(MO)盤��、數(shù)字多功能盤(DVD)���、磁盤或者半導(dǎo)體存儲器?�?梢苿佑涗浗橘|(zhì)51可作為軟件包提供�����。
程序除了從上述可移動介質(zhì)51安裝到PC 32之外�����,可經(jīng)由用于數(shù)字衛(wèi)星廣播的人造衛(wèi)星通過無線電波從下載站點傳送到PC 32�����,或者可經(jīng)由網(wǎng)絡(luò)3如局域網(wǎng)(LAN)或因特網(wǎng)通過線路傳送到PC 32。PC 32接收通信單元48中被傳送的程序并且將所接收的程序安裝在硬盤45中�。
圖6是方框圖,示出圖3的計算機(jī)33硬件結(jié)構(gòu)的例子����,其中安裝了服務(wù)器應(yīng)用21和安全服務(wù)器22����。
參考圖6,在計算機(jī)33中從總線61到可移動記錄介質(zhì)71的組件是以與圖5中從總線41到可移動記錄介質(zhì)51的組件相同的方式構(gòu)造的����。在此省略了圖6中這類組件的描述。
在圖3和4的例子中�,安全芯片處理模塊23通過通信單元68或者輸入-輸出接口70連接到計算機(jī)33。
圖7是方框圖��,示出圖2中安全芯片11硬件結(jié)構(gòu)的例子�����。
安全芯片11主要包括通信處理單元81和數(shù)據(jù)處理單元82��。通信處理單元81進(jìn)行與安全芯片11外部的設(shè)備接觸或非接觸通信所要求的處理來提供數(shù)據(jù)(包括命令)��,該數(shù)據(jù)(包括命令)在外部被發(fā)送到數(shù)據(jù)處理單元82并且將從數(shù)據(jù)處理單元82提供的數(shù)據(jù)發(fā)送到外部設(shè)備。
由安全芯片11進(jìn)行的外部通信所要求的處理���,包括數(shù)據(jù)的編碼和解碼等以及它們的調(diào)制和解調(diào)��。當(dāng)安全芯片11沒有電源時��,通信處理單元81還進(jìn)行從外部信號產(chǎn)生電源��。
數(shù)據(jù)處理單元82包括�,例如CPU91�,密碼處理器92和存儲器93。數(shù)據(jù)處理單元82按照通信處理單元81提供的命令進(jìn)行各種處理�。
明確地說,CPU 91控制密碼處理器92并且管理存儲器93��。CPU 91按照通信處理單元81提供的命令從存儲器93讀寫數(shù)據(jù)���,并且對存儲在存儲器93中的數(shù)據(jù)進(jìn)行數(shù)據(jù)處理���。CPU 91執(zhí)行存儲在存儲器93中的程序,以進(jìn)行各種處理���。
密碼處理器92在CPU 91的控制下進(jìn)行密碼處理��。密碼處理除了數(shù)據(jù)(包括命令)的加密與解密之外����,還包括在詢問-與-應(yīng)答方法中的雙向認(rèn)證(包括,例如在雙向認(rèn)證中使用的隨機(jī)數(shù)的產(chǎn)生)和在加密與解密中使用的密鑰(有關(guān)密碼密鑰的信息)的產(chǎn)生����。
非易失性存儲器93存儲數(shù)據(jù)和程序���。在物理上��,存儲器93可以是一個存儲器或者可包括多個存儲器����。當(dāng)存儲器93包括多個存儲器時����,非易失性存儲器可用作部分存儲器。例如�,要臨時存儲的用于CPU 91的操作所要求的數(shù)據(jù)存儲在非易失性存儲器中。
CPU 91將存儲器93的存儲區(qū)分層以管理分層的存儲區(qū)��。
圖8示出存儲器93目錄結(jié)構(gòu)的例子�����。
存儲器93的存儲區(qū)的一部分用作數(shù)據(jù)存儲區(qū),存儲提供各種服務(wù)所使用的數(shù)據(jù)��。數(shù)據(jù)存儲區(qū)具有分層的結(jié)構(gòu)���,其中相應(yīng)于目錄的區(qū)定義區(qū)域被分層�����。每個區(qū)定義區(qū)域能夠包括相應(yīng)于較低層目錄的區(qū)定義區(qū)域和相應(yīng)于下述文件和管理服務(wù)區(qū)域的服務(wù)定義區(qū)域����。
區(qū)定義區(qū)域是存儲器93的數(shù)據(jù)存儲區(qū)的一些部分�����,并且被分配給管理提供服務(wù)的服務(wù)供應(yīng)者的管理者(管理者可以是服務(wù)供應(yīng)者)�。在每個區(qū)定義區(qū)域中,分配作為用作標(biāo)識區(qū)定義區(qū)域名字的標(biāo)識碼的區(qū)碼表示可用的空閑塊數(shù)量的空閑空間和作為取得對區(qū)定義區(qū)域(包括區(qū)定義區(qū)域和在區(qū)定義區(qū)域之下的服務(wù)定義區(qū)域)的訪問所要求的密鑰的區(qū)密鑰���。
CPU 91以存儲容量的固定塊單元來管理存儲器93的數(shù)據(jù)存儲區(qū)����。在區(qū)定義區(qū)域中管理的數(shù)據(jù)存儲區(qū)的空閑空間是基于塊的數(shù)量來管理的。
在圖8所示的實施例中���,分配給管理器A的區(qū)定義區(qū)域相應(yīng)于頂層�����,而管理器B1和B2的區(qū)定義區(qū)域是在分配給管理器A的區(qū)定義區(qū)域之下創(chuàng)建的�。管理器C的區(qū)定義區(qū)域是在管理器B1的區(qū)定義區(qū)域之下創(chuàng)建的���。
服務(wù)定義區(qū)域是存儲器93的數(shù)據(jù)存儲區(qū)的一些部分,用于管理下述服務(wù)區(qū)域并且被分配給服務(wù)供應(yīng)者提供的服務(wù)�����。在每個服務(wù)定義區(qū)域中����,分配作為用于標(biāo)識服務(wù)定義區(qū)域的標(biāo)識碼的服務(wù)碼表示其中存儲提供服務(wù)所要求數(shù)據(jù)的服務(wù)區(qū)域容量的塊數(shù)量和作為取得對服務(wù)定義區(qū)域(包括由服務(wù)定義區(qū)域管理的服務(wù)區(qū)域)的訪問所要求的密鑰的服務(wù)密鑰。
服務(wù)區(qū)域是數(shù)據(jù)存儲區(qū)的一些部分�,并且每個服務(wù)區(qū)域包括零或多個塊,其中存儲提供服務(wù)所要求的數(shù)據(jù)���。將構(gòu)成服務(wù)區(qū)域的塊數(shù)量描述為管理服務(wù)區(qū)域的服務(wù)定義區(qū)域的容量�。
服務(wù)供應(yīng)者在由一個管理器管理的區(qū)定義區(qū)域之下創(chuàng)建服務(wù)定義區(qū)域,并且使用在服務(wù)定義區(qū)域中管理的服務(wù)區(qū)域來提供各種服務(wù)�����。例如����,在提供電子貨幣服務(wù)的裝置中,電子貨幣的余額���、有關(guān)為其支付電子貨幣的物品的信息(例如��,物品的名字和/或價錢)��、和購買物品的日期被存儲在服務(wù)區(qū)域中��。
圖9是方框圖��,示出圖2中安全服務(wù)器22詳細(xì)結(jié)構(gòu)的例子�����。
例如安全服務(wù)器22包括安全芯片命令模塊101和安全芯片管理器模塊102�。
安全芯片命令模塊101,響應(yīng)于來自服務(wù)器應(yīng)用21的創(chuàng)建命令的請求為安全芯片11創(chuàng)建一個命令�,并且提供所創(chuàng)建的命令給服務(wù)器應(yīng)用21。
換言之���,當(dāng)服務(wù)器應(yīng)用21命令客戶機(jī)端設(shè)備1中的安全芯片11進(jìn)行某種處理時��,服務(wù)器應(yīng)用21請求安全芯片命令模塊101創(chuàng)建相應(yīng)于該處理的命令��。安全芯片命令模塊101響應(yīng)于來自服務(wù)器應(yīng)用21的請求�,為安全芯片11創(chuàng)建命令�,并且提供所創(chuàng)建的命令給服務(wù)器應(yīng)用21。
因此����,甚至在各種命令系統(tǒng)中存在安全芯片(安全芯片在用作命令的操作碼方面、在命令的參數(shù)方面和在命令的種類方面不同)時����,沒有必要在各種命令系統(tǒng)中為每個安全芯片創(chuàng)建服務(wù)器應(yīng)用21��,因為服務(wù)器應(yīng)用21不需要知道安全芯片11的命令(服務(wù)器應(yīng)用21可能知道命令)�。
換言之,對于服務(wù)器應(yīng)用21使用能夠翻譯安全芯片命令模塊101的命令系統(tǒng)��,這是足夠的了。
安全芯片命令模塊101響應(yīng)于來自服務(wù)器應(yīng)用21的請求為安全芯片11創(chuàng)建命令���,并且提供所創(chuàng)建的命令給服務(wù)器應(yīng)用21����。然而���,在提供所創(chuàng)建命令給服務(wù)器應(yīng)用21之前�����,安全芯片命令模塊101提供命令給安全芯片管理器模塊102來請求對命令的加密�。安全芯片命令模塊101響應(yīng)于對服務(wù)器應(yīng)用21的請求����,提供由安全芯片管理器模塊102提供的密碼信息(例如,加密的命令)��。
安全芯片管理器模塊102響應(yīng)于來自安全芯片命令模塊101的請求�����,進(jìn)行包括對命令的加密在內(nèi)的密碼處理��,或者請求安全芯片處理模塊23進(jìn)行密碼處理。安全芯片管理器模塊102隨后提供在安全芯片管理器模塊102或者安全芯片處理模塊23中密碼處理所產(chǎn)生的密碼信息給安全芯片命令模塊101�。
安全芯片管理器模塊102進(jìn)行安全芯片11的密碼處理或者請求安全芯片處理模塊23進(jìn)行安全芯片11的密碼處理。
例如��,安全芯片11只能夠處理已經(jīng)為其進(jìn)行了安全芯片11的加密的命令(數(shù)據(jù))�����。明確地說�����,數(shù)據(jù)(包括命令)的加密是按各種算法進(jìn)行的����,并且在安全芯片11中采用按照某種算法的加密。假定表示在安全芯片11中所采用的算法的信息(包括表示在按照算法的加密中使用的密鑰信息)稱為加密類型��,安全芯片管理器模塊102進(jìn)行具有相應(yīng)于安全芯片11的加密類型的加密或者請求安全芯片處理模塊23進(jìn)行具有相應(yīng)于安全芯片11的加密類型的加密��。
安全芯片管理器模塊102可以構(gòu)造成進(jìn)行具有不同于安全芯片的加密類型的加密����。對于安全芯片處理模塊23也是一樣的���。
盡管為了例如認(rèn)證����、下述通信路徑的加密或者下述包的創(chuàng)建進(jìn)行加密,但有可能為用于認(rèn)證�、通信路徑的加密或者包的創(chuàng)建的每個加密設(shè)置加密類型。加密類型可包含有關(guān)認(rèn)證��、通信路徑的加密或者包的創(chuàng)建的信息���,例如��,表示進(jìn)行雙向認(rèn)證還是單向認(rèn)證的信息�。
圖10A和10B示出一個流程圖�,例示客戶機(jī)端設(shè)備1和服務(wù)器端設(shè)備2的操作。
在啟用客戶機(jī)應(yīng)用12之后�,在步驟S21,客戶機(jī)應(yīng)用12發(fā)送一個命令以請求有關(guān)安全芯片11的安全芯片信息給安全芯片11�。
在步驟S11,安全芯片11接收從客戶機(jī)應(yīng)用12發(fā)送的命令����。在步驟S12,安全芯片11發(fā)送安全芯片信息作為對到客戶機(jī)應(yīng)用12的響應(yīng)命令�。
在步驟S22���,客戶機(jī)應(yīng)用12接收來自安全芯片11的安全芯片信息。在步驟S23�����,客戶機(jī)應(yīng)用12發(fā)送服務(wù)器連接請求連同包括安全芯片信息的初始信息到服務(wù)器端設(shè)備2��。
除安全芯片信息之外�,初始信息還包括有關(guān)客戶機(jī)應(yīng)用12的客戶機(jī)信息和服務(wù)器應(yīng)用規(guī)格(server application specification),后者指定客戶機(jī)應(yīng)用12要連接的服務(wù)器端設(shè)備2中的服務(wù)器應(yīng)用21��。
安全芯片信息包括表示安全芯片11類型的安全芯片類型�����,表示在安全芯片11中采用的操作系統(tǒng)(OS)的安全芯片OS類型�����,以及安全芯片文件結(jié)構(gòu)���,這是有關(guān)安全芯片11中數(shù)據(jù)管理的信息(文件格式����,區(qū)碼列表�����,和服務(wù)碼(存儲器格式)列表)��。用安全類型�,有可能標(biāo)識一種在認(rèn)證、通信路徑的加密和執(zhí)行權(quán)限的密碼處理中使用的加密和簽名算法(數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)����,三重DES(T-DES),Rivest Shamir Adieman(RSA)�,橢圓曲線數(shù)字簽名算法(EC-DSA)等等);標(biāo)識一種在認(rèn)證中的詢問-與-應(yīng)答方法�;以及標(biāo)識加密和簽名的目標(biāo)的格式和填充規(guī)則。
客戶機(jī)信息包括表示客戶機(jī)端設(shè)備1的硬件的客戶機(jī)類型(例如�,表示客戶機(jī)端設(shè)備1是移動電話、PC或者POS寄存器的信息)���,表示在客戶機(jī)端設(shè)備1中采用的OS的客戶機(jī)OS類型����,標(biāo)識客戶機(jī)應(yīng)用12的客戶機(jī)應(yīng)用ID����,以及表示客戶機(jī)應(yīng)用12的版本號的應(yīng)用版本�。
客戶機(jī)應(yīng)用12可響應(yīng)于對初始信息的請求�,從安全芯片11獲得安全芯片信息,初始信息包括來自提交請求(例如在連接到服務(wù)器應(yīng)用21之后)的服務(wù)器應(yīng)用21的安全芯片信息��,并且可包括初始信息中所獲得的安全芯片信息以發(fā)送初始信息到服務(wù)器應(yīng)用21���。
然而�,從安全芯片11獲得安全芯片信息���,并且隨后發(fā)送包括安全芯片信息的初始信息以及客戶機(jī)應(yīng)用12的服務(wù)器連接請求到服務(wù)器應(yīng)用21���,在圖10A和10B中所示,在客戶機(jī)應(yīng)用12與服務(wù)器應(yīng)用21之間要求較少的通信���,因而減少了處理時間�。
另外��,由于服務(wù)器端設(shè)備2接收客戶機(jī)信息�,同時開始來自客戶機(jī)端設(shè)備1的訪問,服務(wù)器端設(shè)備2能夠基于客戶機(jī)信息發(fā)收和接收適合于客戶機(jī)應(yīng)用12的命令和消息(例如,圖形用戶接口(GUI)諸如屏幕)����。適合于客戶機(jī)應(yīng)用12的命令和消息指其內(nèi)容適合于客戶機(jī)應(yīng)用12的命令或消息,或者指其長度或數(shù)量適合于客戶機(jī)應(yīng)用12的命令和消息����。
在步驟S41��,服務(wù)器應(yīng)用21從客戶機(jī)應(yīng)用12接收服務(wù)器連接請求和初始信息����,啟用用于提供客戶機(jī)端設(shè)備1要求的服務(wù)的應(yīng)用(軟件),并且前進(jìn)到步驟S42��。
在步驟S42�����,服務(wù)器應(yīng)用21提供包括在步驟S41所接收的初始信息中的安全芯片信息和客戶機(jī)信息給安全服務(wù)器22中的安全芯片管理器模塊102����。在步驟S61,安全芯片管理器模塊102接收由服務(wù)器應(yīng)用21提供的安全芯片信息和客戶機(jī)信息����,并且提供安全芯片信息給安全芯片處理模塊23��。
在步驟S81���,安全芯片處理模塊23基于由安全芯片管理器模塊102提供的安全芯片信息,設(shè)置從安全芯片11訪問的處理范圍��。
明確地說�,安全芯片處理模塊23能夠進(jìn)行各種安全芯片和服務(wù)的密碼處理,并且包括各種安全芯片和服務(wù)的密碼處理所要求的密鑰����。當(dāng)安全芯片11只接收例如電子貨幣服務(wù)的裝置時,安全芯片處理模塊23只進(jìn)行(許可)為安全芯片11提供電子貨幣服務(wù)所要求的密碼處理����。當(dāng)預(yù)先設(shè)置了電子貨幣服務(wù)中數(shù)據(jù)的加密與解密時使用的密鑰時,安全芯片處理模塊23允許安全芯片11只使用電子貨幣服務(wù)中數(shù)據(jù)的加密與解密時使用的密鑰并�����,且不允許安全芯片11使用在其它服務(wù)中數(shù)據(jù)的加密與解密時使用的密鑰�。
相反,安全芯片管理器模塊102準(zhǔn)備好基于安全芯片信息和在步驟S61從服務(wù)器應(yīng)用21接收的客戶機(jī)信息進(jìn)行適合于安全芯片11和客戶機(jī)應(yīng)用12的處理�����。
明確地說,由于安全芯片管理器模塊102能夠進(jìn)行適合于各種安全芯片和客戶機(jī)應(yīng)用的處理���,因此安全芯片管理器模塊102準(zhǔn)備好基于在步驟S61從服務(wù)器應(yīng)用21接收的安全芯片信息和客戶機(jī)信息進(jìn)行適合于安全芯片11和客戶機(jī)應(yīng)用12的處理�����。
例如,安全芯片管理器模塊102分配進(jìn)行安全芯片11的處理所要求的資源并且從安全芯片信息識別命令類型和安全芯片11的密碼處理類型等等���。命令類型表示相應(yīng)于客戶機(jī)端設(shè)備1中安全芯片11的類型(例如��,包括在IC卡中的安全芯片或者包括在移動電話中的安全芯片)的命令系統(tǒng)���。然后,安全芯片管理器模塊102準(zhǔn)備好進(jìn)行相應(yīng)于要被發(fā)送到客戶機(jī)端設(shè)備1的命令等的安全芯片的密碼處理類型的加密等�。
在步驟S62,安全芯片管理器模塊102發(fā)送初始化指令����,以及安全芯片11的命令類型到安全芯片命令模塊101。在步驟S51��,安全芯片命令模塊101接收初始化指令和命令類型,并且初始化自己以便進(jìn)行適合于安全芯片11的處理����。換言之,安全芯片命令模塊101準(zhǔn)備好響應(yīng)于來自服務(wù)器應(yīng)用21的創(chuàng)建命令的請求為安全芯片11創(chuàng)建命令(在由安全芯片11的命令類型表示的命令系統(tǒng)中的命令)����。
服務(wù)器應(yīng)用21對例如安全芯片處理模塊23進(jìn)行認(rèn)證,以防止網(wǎng)絡(luò)釣魚(phishing)(指在網(wǎng)絡(luò)上的仿冒欺詐行為�����,譯者注)��。如果認(rèn)證成功�,則防止網(wǎng)絡(luò)釣魚(phishing)的認(rèn)證也在安全芯片11與安全芯片處理模塊23之間進(jìn)行。
在安全芯片11與安全芯片處理模塊23之間的認(rèn)證是基于安全芯片11的密碼處理類型進(jìn)行的�。當(dāng)安全芯片11的密碼處理類型表示例如詢問-與-應(yīng)答方法的雙向認(rèn)證時,詢問-與-應(yīng)答方法的雙向認(rèn)證是在安全芯片11與安全芯片處理模塊23之間進(jìn)行的����。在詢問-與-應(yīng)答方法中,安全芯片處理模塊23(安全芯片11)產(chǎn)生一個隨機(jī)數(shù)��,加密這個隨機(jī)數(shù)����,并且從安全芯片11收發(fā)這個加密的隨機(jī)數(shù)來進(jìn)行雙向認(rèn)證���。如果雙向認(rèn)證成功,則由安全芯片處理模塊23在雙向認(rèn)證中產(chǎn)生的隨機(jī)數(shù)被用作標(biāo)識安全芯片11與安全芯片處理模塊23之間的會話的會話密鑰�。
然而,在服務(wù)器端設(shè)備2中���,要發(fā)送到安全芯片11的命令(包括伴隨命令的參數(shù)和其它數(shù)據(jù))通過使用所生成的會話密鑰作為密鑰來加密����,并且加密的命令被發(fā)送到客戶機(jī)端設(shè)備1�����。還是在客戶機(jī)端設(shè)備1中�,要從安全芯片11發(fā)送到服務(wù)器端設(shè)備2的數(shù)據(jù)等通過使用會話密鑰作為密鑰來加密�����,并且加密的數(shù)據(jù)被發(fā)送到服務(wù)器端設(shè)備2�����。
在客戶機(jī)端設(shè)備1和服務(wù)器端設(shè)備2兩者中通過使用會話密鑰作為密鑰對數(shù)據(jù)等的加密和以上述方式發(fā)送加密的數(shù)據(jù),使得客戶機(jī)端設(shè)備1與服務(wù)器端設(shè)備2之間的通信路徑被加密��,即�,使得虛擬專有網(wǎng)絡(luò)(VPN)被實現(xiàn)。使用會話密鑰作為密鑰的加密是按照安全芯片11的密碼處理類型表示的算法來進(jìn)行的��。
在步驟S43���,服務(wù)器應(yīng)用21發(fā)送創(chuàng)建一個要發(fā)送到安全芯片11的命令的請求到安全芯片命令模塊101���。在步驟S52,安全芯片命令模塊101從服務(wù)器應(yīng)用21接收創(chuàng)建命令的請求��。
在步驟S53����,安全芯片命令模塊101響應(yīng)于來自服務(wù)器應(yīng)用21的創(chuàng)建命令的請求,創(chuàng)建用于安全芯片11的命令�����,并且提供加密所創(chuàng)建命令的請求以產(chǎn)生密碼信息的請求給安全芯片管理器模塊102�。在步驟S63,安全芯片管理器模塊102從安全芯片命令模塊101接收加密命令以產(chǎn)生密碼信息的請求����。在步驟S64�,安全芯片管理器模塊102發(fā)送該請求到安全芯片處理模塊23�����。
由于在對通信路徑的加密時使用的會話密鑰保存在安全芯片處理模塊23中�����,因此安全芯片管理器模塊102請求安全芯片處理模塊23用所保存的會話密鑰加密命令��。
在步驟S82,安全芯片處理模塊23從安全芯片管理器模塊102接收請求并且響應(yīng)于該請求加密命令。在步驟S83,安全芯片處理模塊23發(fā)送由加密產(chǎn)生的密碼信息到安全芯片管理器模塊102。在步驟S85��,安全芯片管理器模塊102從安全芯片處理模塊23接收密碼信息到安全芯片命令模塊101。
在步驟S66��,安全芯片管理器模塊102發(fā)送從安全芯片處理模塊23接收的密碼信息到安全芯片命令模塊101。
在步驟S54��,安全芯片命令模塊101接收由安全芯片管理器模塊102提供的密碼信息�����。在步驟S55,安全芯片命令模塊101發(fā)送密碼信息(加密的命令)到服務(wù)器應(yīng)用21��。
在步驟S44����,服務(wù)器應(yīng)用21接收由安全芯片命令模塊101提供的密碼信息。在步驟S45����,服務(wù)器應(yīng)用21發(fā)送密碼信息(加密的命令)以及設(shè)備數(shù)據(jù),到客戶機(jī)應(yīng)用12�,它是給客戶機(jī)端設(shè)備1的消息。
在步驟S24�����,客戶機(jī)應(yīng)用12接收由服務(wù)器應(yīng)用21發(fā)送的密碼信息和設(shè)備數(shù)據(jù)����。在步驟S25,客戶機(jī)應(yīng)用12發(fā)送密碼信息到安全芯片11�。
在步驟S13,安全芯片11接收由客戶機(jī)應(yīng)用12發(fā)送的密碼信息并且用會話密鑰將密碼信息解密成命令�����。安全芯片11進(jìn)行相應(yīng)于解密的命令的處理。在步驟S14�,安全芯片11響應(yīng)于命令發(fā)送響應(yīng)數(shù)據(jù)到客戶機(jī)應(yīng)用12。響應(yīng)數(shù)據(jù)是在安全芯片11中用會話密鑰加密的���。
在步驟S26����,客戶機(jī)應(yīng)用12接收由安全芯片11發(fā)送的響應(yīng)數(shù)據(jù)��。在步驟S27�,客戶機(jī)應(yīng)用12發(fā)送響應(yīng)數(shù)據(jù)到服務(wù)器應(yīng)用21。
服務(wù)器應(yīng)用21接收由客戶機(jī)應(yīng)用12發(fā)送的響應(yīng)數(shù)據(jù)并且進(jìn)行相應(yīng)于響應(yīng)數(shù)據(jù)的處理���??晒┨鎿Q地�����,服務(wù)器應(yīng)用21發(fā)送響應(yīng)數(shù)據(jù)到安全芯片命令模塊101和安全芯片管理器模塊102���。
當(dāng)用戶操作客戶機(jī)端設(shè)備1輸入任何數(shù)據(jù)(用戶輸入數(shù)據(jù))時,客戶機(jī)應(yīng)用12發(fā)送數(shù)據(jù)到服務(wù)器應(yīng)用21�����。
在步驟S67,安全芯片管理器模塊102發(fā)送對會話密鑰的請求到安全芯片處理模塊23����。
在步驟S84,安全芯片處理模塊23從安全芯片管理器模塊102接收對會話密鑰的請求���。在步驟S85�,安全芯片處理模塊23響應(yīng)于該請求�,發(fā)送通過對安全芯片11的認(rèn)證所產(chǎn)生的會話密鑰到安全芯片管理器模塊102。
在步驟S68�,安全芯片管理器模塊102接收由安全芯片處理模塊23發(fā)送的會話密鑰并且保存該會話密鑰。
然后�����,用會話密鑰的加密是在安全芯片管理器模塊102中進(jìn)行的����,并且只有要求較高機(jī)密性的加密是在安全芯片處理模塊23中進(jìn)行的。
在安全芯片管理器模塊102中進(jìn)行用會話密鑰的加密和在安全芯片處理模塊23中只進(jìn)行要求較高機(jī)密性的加密(包括通過使用包的加密和創(chuàng)建進(jìn)行的雙向認(rèn)證)���,可以減少安全芯片處理模塊23上的負(fù)載����,這是與所有的加密(密碼處理)都是在安全芯片處理模塊23中進(jìn)行的情況相比較而言的。因此�,有可能減少安全芯片處理模塊23中的處理時間。
可提供多個防篡改安全芯片處理模塊23并且可將用于不同安全芯片的密碼處理分布在多個安全芯片處理模塊23上���,以便減少每個安全芯片處理模塊23上的負(fù)載�。
在步驟46��,服務(wù)器應(yīng)用21發(fā)送創(chuàng)建要發(fā)送到安全芯片11的命令的請求到安全芯片命令模塊101����。在步驟S56,安全芯片命令模塊101從服務(wù)器應(yīng)用21接收創(chuàng)建命令的請求���。
在步驟S57�����,響應(yīng)于來自服務(wù)器應(yīng)用21的創(chuàng)建命令的請求����,安全芯片命令模塊101創(chuàng)建用于安全芯片11的命令,并且提供加密所創(chuàng)建命令的請求以產(chǎn)生密碼信息的請求給安全芯片管理器模塊102�����。在步驟S69����,安全芯片管理器模塊102從安全芯片命令模塊101接收加密命令以產(chǎn)生密碼信息的請求��。
如果來自安全芯片命令模塊101的請求是加密不同于一個特殊命令的命令的請求�,則安全芯片管理器模塊102用保存的會話密鑰加密命令。在步驟S72���,安全芯片管理器模塊102發(fā)送通過加密產(chǎn)生的密碼信息到安全芯片命令模塊101�����。
相反�����,如果來自安全芯片命令模塊101的請求是加密一個特殊命令的請求���,則在步驟S70��,安全芯片管理器模塊102發(fā)送對表示特殊命令的執(zhí)行權(quán)限的授權(quán)(關(guān)于授權(quán)的數(shù)據(jù))的請求到安全芯片處理模塊23����。
特殊命令�,例如是請求安全芯片11注冊區(qū)定義區(qū)域或服務(wù)定義區(qū)域(圖8)的命令,或者是請求安全芯片11刪除區(qū)定義區(qū)域或服務(wù)定義區(qū)域的命令�����。
在步驟S86�����,安全芯片處理模塊23從安全芯片管理器模塊102接收請求�����。安全芯片處理模塊23響應(yīng)于請求�,創(chuàng)建表示該特殊命令的執(zhí)行權(quán)限的授權(quán)(關(guān)于授權(quán)的數(shù)據(jù))并且加密所創(chuàng)建的授權(quán)。另外���,安全芯片處理模塊23添加驗證授權(quán)的有效性的證書(關(guān)于證書的數(shù)據(jù))到授權(quán)的加密結(jié)果�����。在步驟S87���,安全芯片處理模塊23發(fā)送授權(quán)的證書和(加密結(jié)果)的包到安全芯片管理器模塊102�����。
安全芯片處理模塊23存儲已經(jīng)創(chuàng)建的包。當(dāng)來自安全芯片管理器模塊102的請求請求創(chuàng)建的授權(quán)和包括授權(quán)的包被存儲在安全芯片處理模塊23中時����,安全芯片處理模塊23發(fā)送所存儲的包到安全芯片管理器模塊102。
在步驟S71��,安全芯片管理器模塊102接收由安全芯片處理模塊23發(fā)送的包���。在步驟S72��,安全芯片管理器模塊102用會話密鑰加密特殊命令�����,并且發(fā)送包括加密結(jié)果和包的集合的密碼信息到安全芯片命令模塊101�����。
在步驟S58����,安全芯片命令模塊101接收由安全芯片管理器模塊102提供的密碼信息。在步驟S59����,安全芯片命令模塊101發(fā)送密碼信息到服務(wù)器應(yīng)用21。
在步驟S47�,服務(wù)器應(yīng)用21接收由安全芯片命令模塊101發(fā)送的密碼信息。在步驟S48����,服務(wù)器應(yīng)用21發(fā)送密碼信息以及設(shè)備數(shù)據(jù)到客戶機(jī)應(yīng)用12,它是給客戶機(jī)端設(shè)備1的消息�。
在步驟S28,客戶機(jī)應(yīng)用12接收由服務(wù)器應(yīng)用21發(fā)送的密碼信息和設(shè)備數(shù)據(jù)��。在步驟S29���,客戶機(jī)應(yīng)用12發(fā)送該密碼信息到安全芯片11����。
在步驟S15���,安全芯片11接收由客戶機(jī)應(yīng)用12發(fā)送的密碼信息并且用會話密鑰解密該密碼信息成命令����。另外,若需要安全芯片11在確認(rèn)命令的執(zhí)執(zhí)行權(quán)限之后進(jìn)行相應(yīng)于命令的處理����。在步驟S16,安全芯片11響應(yīng)于命令發(fā)送數(shù)據(jù)到客戶機(jī)應(yīng)用12��。
在步驟S30�,客戶機(jī)應(yīng)用12接收由安全芯片11發(fā)送的響應(yīng)數(shù)據(jù)�。在步驟S31,客戶機(jī)應(yīng)用12發(fā)送該響應(yīng)數(shù)據(jù)到服務(wù)器應(yīng)用21��。
在步驟S49�,服務(wù)器應(yīng)用21接收由客戶機(jī)應(yīng)用12發(fā)送的響應(yīng)數(shù)據(jù),并且進(jìn)行相應(yīng)于響應(yīng)數(shù)據(jù)的處理���。
如果服務(wù)器應(yīng)用21終止與客戶機(jī)端設(shè)備1的通信�,則在步驟S50����,服務(wù)器應(yīng)用21發(fā)送終止通知到客戶機(jī)應(yīng)用12�����。在步驟S32���,客戶機(jī)應(yīng)用12接收由服務(wù)器應(yīng)用21發(fā)送的終止通知����。
如上所述�,有可能構(gòu)造安全服務(wù)器22(安全芯片命令模塊101和安全芯片管理器模塊102)和安全芯片處理模塊23�����,使得相應(yīng)于多個在規(guī)格方面例如在密碼處理類型方面不同的安全芯片11�����。相應(yīng)于安全芯片的處理是在安全服務(wù)器22和安全芯片處理模塊23中按照由客戶機(jī)端設(shè)備1發(fā)送的有關(guān)安全芯片11的安全芯片信息進(jìn)行的�����,以消除對于每個在例如密碼處理類型的規(guī)格方面不同的每個安全芯片11改變服務(wù)器應(yīng)用21的需求�����。換言之���,有可能將同一服務(wù)器應(yīng)用21用于具有不同規(guī)格的安全芯片11�����。
圖11是方框圖����,示出安全芯片處理模塊23結(jié)構(gòu)的例子���。
安全芯片處理模塊23包括安全芯片處理器111���,認(rèn)證器112��,訪問控制列表存儲單元113����,密碼處理器114和密鑰管理器115。
安全芯片處理器111控制整個安全芯片處理模塊23�����。安全芯片處理模塊23管理例如從外部設(shè)備輸入和輸出數(shù)據(jù)��,并且響應(yīng)于來自外部設(shè)備的請求進(jìn)行響應(yīng)��。
例如�,安全芯片處理器111使認(rèn)證器112確認(rèn)由服務(wù)器應(yīng)用21、安全服務(wù)器22或者其他外部設(shè)備請求的密碼處理是否被準(zhǔn)許。僅當(dāng)準(zhǔn)許密碼處理時����,安全芯片處理器111使密碼處理器114進(jìn)行所請求的密碼處理����。當(dāng)密碼處理的結(jié)果是由密碼處理器114提供的時候�,安全芯片處理器111發(fā)送密碼處理的結(jié)果到外部設(shè)備���。
響應(yīng)于來自安全芯片處理器111的請求,認(rèn)證器112參考存儲在下述訪問控制列表存儲單元113中的訪問控制列表���,以確認(rèn)由外部設(shè)備向安全芯片處理器請求的訪問(密碼處理)是否被準(zhǔn)許。將在認(rèn)證器112中的確認(rèn)結(jié)果提供給安全芯片處理器111����。認(rèn)證器112還進(jìn)行與任何進(jìn)行訪問的外部設(shè)備有關(guān)的認(rèn)證�����。認(rèn)證器112還產(chǎn)生隨機(jī)數(shù),用作上述會話密鑰���。
認(rèn)證器112可與安全芯片處理器11集成在一起���,形成一個功能單元。在這種情況下,包括安全芯片處理器111和認(rèn)證器112的功能單元進(jìn)行安全芯片處理器11中的處理和上述認(rèn)證器112中的處理����。
訪問控制列表存儲單元113存儲訪問控制列表��。
準(zhǔn)予一個應(yīng)用訪問(密碼處理)的內(nèi)容��,(這個應(yīng)用是向安全芯片處理模塊23請求訪問的外部設(shè)備�����,或者是操作外部設(shè)備的操作者)����,在與標(biāo)識這個應(yīng)用或者操作者的標(biāo)識(ID)相關(guān)聯(lián)的訪問控制列表中描述���。訪問控制列表的內(nèi)容將在下面詳細(xì)描述����。
密碼處理器114在安全芯片處理器111請求密碼處理器114進(jìn)行密碼處理(例如,密鑰的注冊或刪除����,或者數(shù)據(jù)的加密和解密)時進(jìn)行密碼處理。密碼處理器114向安全芯片處理器111表示密碼處理的結(jié)果���。
密碼處理器114在由安全芯片處理器111請求的密碼處理需要密鑰時,從密鑰管理器115獲得密鑰���,并且使用該密鑰進(jìn)行密碼處理���。當(dāng)從密鑰管理器115獲得的密鑰被加密時��,密碼處理器114解密加密過的密鑰���,并且使用解密的密鑰來進(jìn)行安全芯片處理器111所請求的密碼處理����。
密鑰管理器115管理密鑰����。明確地說����,密鑰管理器115加密密鑰并且將加密過的密鑰存儲在密鑰DB(數(shù)據(jù)庫)116中�����。例如����,響應(yīng)于來自密碼處理器114的請求,密鑰管理器115提供存儲在密鑰DB 116中的加密過的密鑰���,無需任何處理。
密鑰DB 116存儲由密鑰管理器115提供的加密過的密鑰等等。
盡管圖13中�,密鑰DB 116在安全芯片處理模塊23之外作為外部存儲設(shè)備來提供���,但密鑰DB 116可在安全芯片處理模塊23中提供�����。
當(dāng)密鑰DB 116作為外部存儲設(shè)備提供時��,從密鑰DB 116獲得所要求的密鑰��,這是用能夠訪問密鑰DB 116的預(yù)定應(yīng)用(軟件)來進(jìn)行的����,而不使用密鑰管理器115,并且將用預(yù)定應(yīng)用獲得的密鑰提供給安全芯片處理模塊23。
當(dāng)密鑰DB 116是在安全芯片處理模塊23中提供的時候��,密鑰DB 116能夠保存不被加密的密鑰。在這種情況下,密鑰管理器115提供保存在密鑰DB 116中的未加密的密鑰(所謂的明文)給密碼處理器114�,而無需任何處理�����。
對于通過使用服務(wù)器端設(shè)備2來提供服務(wù)的服務(wù)供應(yīng)者�����,有必要在密鑰DB116中通過安全芯片處理模塊23注冊在客戶機(jī)端設(shè)備1與服務(wù)器端設(shè)備2之間傳送的數(shù)據(jù)加密時所使用的密鑰��,以便提供服務(wù),這個密鑰用作用于訪問安全芯片11中的區(qū)定義區(qū)域(服務(wù)定義區(qū)域)���。
密鑰DB 116中的密鑰的注冊是由操作者進(jìn)行的,操作者是服務(wù)供應(yīng)者并且操作用于管理密鑰的密鑰管理應(yīng)用121����,如在圖12中所示���。
密鑰管理應(yīng)用121是軟件���,并且安裝在例如以與圖6的計算機(jī)33相同方式構(gòu)造的計算機(jī)中。如果有必要的話�,由密鑰管理應(yīng)用121對安全芯片處理模塊23的訪問是通過應(yīng)用編程接口(API)進(jìn)行的。
作為服務(wù)供應(yīng)者的操作者����,包括作為助理的操作者和作為密鑰管理器的操作者����,助理按照從服務(wù)供應(yīng)者發(fā)出的指令進(jìn)行注冊密鑰的操作,而密鑰管理器管理助理和密鑰���。作為密鑰管理器的操作者還能夠通過密鑰管理應(yīng)用121訪問安全芯片處理模塊23����,如圖13所示����。
圖14示出在圖11的訪問控制列表存儲單元中存儲的訪問控制列表中描述的例子���。
“訪問控制信息”����、“格式信息”����、“密鑰訪問信息”��、“應(yīng)用的認(rèn)證信息”和“操作者訪問的認(rèn)證信息”在訪問控制列表中描述。
“訪問控制信息”示出有關(guān)訪問控制列表的基本信息���。在“訪問控制信息”中描述有效期(到期日)和訪問數(shù)量的限制����。
“格式信息”具有與其它格式信息相關(guān)聯(lián)的格式名字(格式的ID)���。格式名字是表示例如安全芯片的規(guī)格的信息�。其它格式信息包括區(qū)定義區(qū)域的區(qū)碼和服務(wù)定義區(qū)域的服務(wù)碼、在具有由與其它格式信息相關(guān)聯(lián)的格式名字標(biāo)識的規(guī)格的安全芯片中形成的區(qū)定義區(qū)域和服務(wù)定義區(qū)域�����、標(biāo)識用于訪問區(qū)定義區(qū)域和服務(wù)定義區(qū)域的密鑰ID�����、和表示密鑰的版本號的密鑰版本�����。
“密鑰訪問信息”表示對于應(yīng)用(外部軟件����,如服務(wù)器應(yīng)用21或密鑰管理應(yīng)用121)和操作者公共的訪問權(quán)限。
“應(yīng)用的認(rèn)證信息”具有標(biāo)識應(yīng)用的應(yīng)用ID�、與有關(guān)由應(yīng)用ID標(biāo)識的應(yīng)用的認(rèn)證的“應(yīng)用認(rèn)證信息”相關(guān)聯(lián)?��!皯?yīng)用認(rèn)證信息”包括有關(guān)在認(rèn)證中使用的密鑰的信息�、表示在認(rèn)證中使用的加密(解密)算法的信息�、以及在用公開密鑰進(jìn)行認(rèn)證時的公開密鑰的證書。與“應(yīng)用的認(rèn)證信息”中的應(yīng)用ID相關(guān)聯(lián)的信息還包括有關(guān)由應(yīng)用ID標(biāo)識的應(yīng)用被準(zhǔn)許的密碼處理的信息(認(rèn)證����,密鑰的改變,執(zhí)行權(quán)限(用于執(zhí)行命令)的創(chuàng)建����,通信路徑的加密(命令的加密),等等)�����。
由應(yīng)用ID標(biāo)識的應(yīng)用例如是客戶機(jī)應(yīng)用12����、服務(wù)器應(yīng)用21或者密鑰管理應(yīng)用121。由于客戶機(jī)應(yīng)用12和服務(wù)器應(yīng)用21的集合提供服務(wù)��,因此一個應(yīng)用ID既標(biāo)識客戶機(jī)應(yīng)用12�,又標(biāo)識服務(wù)器應(yīng)用21。
“操作者訪問的認(rèn)證信息”具有標(biāo)識操作者的操作者ID��,與有關(guān)由操作者ID標(biāo)識的操作者的認(rèn)證的“操作者認(rèn)證信息”相關(guān)聯(lián)���?����!安僮髡哒J(rèn)證信息”包括有關(guān)在認(rèn)證中使用的密鑰的信息�、表示在認(rèn)證中使用的加密(解密)算法的信息,和在用公開密鑰進(jìn)行認(rèn)證時的公開密鑰的證書�。與“操作者訪問的認(rèn)證信息”中的操作者ID相關(guān)聯(lián)的信息還包括由操作者ID標(biāo)識的操作者被準(zhǔn)許的行為,即有關(guān)操作者被準(zhǔn)許的密碼處理的信息(密鑰的注冊(添加)�、引用、改變����、刪除等)。
如上所述��,標(biāo)識應(yīng)用的應(yīng)用ID與表示訪問控制列表中應(yīng)用被準(zhǔn)許的密碼處理的信息相關(guān)聯(lián)�����。另外����,標(biāo)識操作者的操作者ID(標(biāo)識信息)與表示訪問控制列表中操作者被準(zhǔn)許的密碼處理的信息相關(guān)聯(lián)。
圖15是流程圖���,示出密鑰管理應(yīng)用121和安全芯片處理模塊23在操作者操作密鑰管理應(yīng)用121以在安全芯片處理模塊23中注冊密鑰/訪問權(quán)限(表示對密鑰的訪問權(quán)限的信息)時的操作����。
為了作為服務(wù)供應(yīng)者的操作者在密鑰DB 116中注冊在用于提供服務(wù)的密碼處理中使用的密鑰/訪問權(quán)限��,操作者操作密鑰管理應(yīng)用121(其中安裝了密鑰管理應(yīng)用121的計算機(jī))來訪問安全芯片處理模塊23并且輸入例如預(yù)先分配給操作者的操作者ID。
密鑰管理應(yīng)用121發(fā)送由操作者ID輸入的操作者ID到安全芯片處理模塊23����。安全芯片處理模塊23中的認(rèn)證器112接收由密鑰管理應(yīng)用121發(fā)送的操作者ID��。在步驟S101���,認(rèn)證器112參考訪問控制列表(圖14)來按照與由密鑰管理應(yīng)用121發(fā)送的操作者ID相關(guān)聯(lián)的“操作者認(rèn)證信息”認(rèn)證操作密鑰管理應(yīng)用121的操作者(由從客戶機(jī)應(yīng)用12發(fā)送的操作者ID標(biāo)識的操作者)���。
如果操作者的認(rèn)證在認(rèn)證器112中成功,則在認(rèn)證成功的操作者具有對安全芯片處理模塊23的訪問權(quán)限時��,安全芯片處理模塊23準(zhǔn)備好進(jìn)行預(yù)定允許范圍內(nèi)的處理�����。
換言之��,安全芯片處理模塊23只進(jìn)行操作者(由操作者操作的密鑰管理應(yīng)用121)被準(zhǔn)許的密碼處理��,并且準(zhǔn)備好只準(zhǔn)予對密鑰的訪問����,這個密鑰的使用是按照訪問控制列表(圖14)中與認(rèn)證成功的操作者ID相關(guān)聯(lián)的信息而被準(zhǔn)許的�����。
如果操作者的認(rèn)證在認(rèn)證器112中失敗���,則安全芯片處理模塊23不進(jìn)行后續(xù)的處理。
當(dāng)操作者操作密鑰管理應(yīng)用121以便請求注冊密鑰/訪問權(quán)限時�,在步驟S102,密鑰管理應(yīng)用121發(fā)送注冊密鑰/訪問權(quán)限的請求以及連同要注冊的密鑰/訪問權(quán)限到安全芯片處理模塊23���。
要注冊的密鑰/訪問權(quán)限是由操作密鑰管理應(yīng)用121的操作者輸入的���,并且被發(fā)送到安全芯片處理模塊23。密鑰/訪問權(quán)限可存儲在其中將密鑰管理應(yīng)用121安裝為文件的計算機(jī)中�����,并且所存儲的密鑰/訪問權(quán)限可被發(fā)送到安全芯片處理模塊23�。
在步驟S111,安全芯片處理模塊23中的安全芯片處理器111接收由密鑰管理應(yīng)用121發(fā)送的密鑰/訪問權(quán)限和注冊密鑰/訪問權(quán)限的請求�����。在步驟S112����,安全芯片處理器111向認(rèn)證器112查詢是否準(zhǔn)許經(jīng)認(rèn)證的操作者(操作密鑰管理應(yīng)用121的操作者)注冊要被注冊的密鑰/訪問權(quán)限�����。
在步驟S131,認(rèn)證器112接收由安全芯片處理器111提供的查詢����。在步驟S132,認(rèn)證器112響應(yīng)于查詢�,參考訪問控制列表來確認(rèn)是否許可經(jīng)認(rèn)證的操作者注冊密鑰/訪問權(quán)限。
如果認(rèn)證器112確認(rèn)許可注冊密鑰/訪問權(quán)限���,則在步驟S133�,認(rèn)證器112向安全芯片處理器111表示許可注冊密鑰/訪問權(quán)限�。
如果認(rèn)證器112不確認(rèn)許可注冊密鑰/訪問權(quán)限,則認(rèn)證器112向安全芯片處理器111表示確認(rèn)結(jié)果����,并且安全芯片處理模塊23不進(jìn)行后續(xù)的處理。
在步驟S113���,安全芯片處理器111從認(rèn)證器112接收許可注冊密鑰/訪問權(quán)限的指示��。在步驟S114�����,安全芯片處理器111發(fā)送由密鑰管理應(yīng)用121發(fā)送的密鑰/訪問權(quán)限到密碼處理器114���,以請求密碼處理器114注冊密鑰/訪問權(quán)限��。
在步驟S141��,密碼處理器144接收由安全芯片處理器111發(fā)送的密鑰/訪問權(quán)限����。在步驟S142��,密碼處理器114解密密鑰/訪問權(quán)限并且將解密的密鑰/訪問權(quán)限提供給密鑰管理器115����。
由密鑰管理應(yīng)用121發(fā)送到安全芯片處理模塊23的密鑰/訪問權(quán)限通過用于密鑰注冊的密鑰來加密。當(dāng)密鑰/訪問權(quán)限在公開密鑰系統(tǒng)中被加密時�,用于密鑰注冊的密鑰是公開密鑰,而密碼處理器114使用與這個公開密鑰配對的秘密密鑰來解密加密過的密鑰/訪問權(quán)限�����。當(dāng)在對稱密鑰(公共密鑰)系統(tǒng)中加密密鑰/訪問權(quán)限時,用于密鑰注冊的密鑰是公共密鑰��,而密碼處理器114使用公共密鑰(與該公共密鑰相同的公共密鑰)來解密加密過的密鑰/訪問權(quán)限�。
在解密加密過的密鑰/訪問權(quán)限時使用的密鑰(秘密密鑰或者公共密鑰)存儲在密鑰DB 116中。密碼處理器114向密鑰管理器115請求解密密鑰/訪問權(quán)限時使用的密鑰以從密鑰管理器115獲得密鑰���。
在步驟S151��,密鑰管理器115加密由密碼處理器114提供的密鑰/訪問權(quán)限并且將加密過的密鑰/訪問權(quán)限提供給存儲加密過的密鑰/訪問權(quán)限的密鑰DB116���。
在步驟S143�,密碼處理器114發(fā)送表示密鑰/訪問權(quán)限的注冊結(jié)束的消息到安全芯片處理器111。在步驟S115�,安全芯片處理器111從密碼處理器114接收表示密鑰/訪問權(quán)限注冊結(jié)束的消息。在步驟S116�����,安全芯片處理器111發(fā)送消息到密鑰管理應(yīng)用121�。在步驟S103,密鑰管理應(yīng)用121接收由安全芯片處理器111發(fā)送的消息����。
圖16是流程圖�,示出密鑰管理應(yīng)用121和安全芯片處理模塊23在操作者操作密鑰管理應(yīng)用121以從安全芯片處理模塊23刪除密鑰/訪問權(quán)限時的操作���。
為了作為服務(wù)供應(yīng)者的操作者從密鑰DB 116刪除在密碼處理時使用的密鑰/訪問權(quán)限�,操作者操作密鑰管理應(yīng)用121訪問安全芯片處理模塊23���,并且輸入例如預(yù)先分配給操作者的操作者ID����,就如在參考圖15描述的注冊密鑰/訪問權(quán)限一樣��。
密鑰管理應(yīng)用121發(fā)送操作者輸入的操作者ID到安全芯片處理模塊23����。安全芯片處理模塊23中的認(rèn)證器112接收由密鑰管理應(yīng)用121發(fā)送的操作者ID。在步驟S171����,認(rèn)證器112參考訪問控制列表(圖14)來按照與由密鑰管理應(yīng)用121發(fā)送的操作者ID相關(guān)聯(lián)的“操作者認(rèn)證信息”認(rèn)證操作密鑰管理應(yīng)用121的操作者。
如果操作者的認(rèn)證在認(rèn)證器112中成功���,則在認(rèn)證成功的操作者具有訪問安全芯片處理模塊23的權(quán)限時����,安全芯片處理模塊23準(zhǔn)備好進(jìn)行預(yù)定允許范圍內(nèi)的處理。
換言之�,安全芯片處理模塊23只進(jìn)行操作者(由操作者操作的密鑰管理應(yīng)用121)被準(zhǔn)許的密碼處理并且準(zhǔn)備好只準(zhǔn)予對該密鑰的訪問,這個密鑰的使用是按照與訪問控制列表(圖14)中認(rèn)證成功的操作者ID相關(guān)聯(lián)的信息而被準(zhǔn)許的�����。
如果操作者的認(rèn)證在認(rèn)證器112中失敗�����,則安全芯片處理模塊23不進(jìn)行后續(xù)的處理��。
當(dāng)操作者操作密鑰管理應(yīng)用121以便請求刪除密鑰/訪問權(quán)限時���,在步驟S172,密鑰管理應(yīng)用121發(fā)送刪除密鑰/訪問權(quán)限的請求以及有關(guān)要被刪除的密鑰的密鑰信息(例如����,密鑰ID和密鑰版本)到安全芯片處理模塊23。
有關(guān)要被刪除的密鑰的密鑰信息是由操作密鑰管理應(yīng)用121的操作者輸入的�。
在步驟S181,安全芯片處理模塊23中的安全芯片處理器111接收由密鑰管理應(yīng)用121發(fā)送的刪除密鑰/訪問權(quán)限和密鑰信息的請求����。在步驟S182�����,安全芯片處理器111向認(rèn)證器112查詢是否準(zhǔn)許經(jīng)認(rèn)證的操作者刪除要被刪除的密鑰/訪問權(quán)限��。
在步驟S201����,認(rèn)證器112接收由安全芯片處理器111提供的查詢����。在步驟S202,認(rèn)證器112響應(yīng)于查詢��,參考訪問控制列表以確認(rèn)是否準(zhǔn)許經(jīng)認(rèn)證的操作者刪除密鑰/訪問權(quán)限�。
如果認(rèn)證器112確認(rèn)許可刪除密鑰/訪問權(quán)限,則在步驟S203����,認(rèn)證器112向安全芯片處理器111表示許可刪除密鑰/訪問權(quán)限。
如果認(rèn)證器112不確認(rèn)許可刪除密鑰/訪問權(quán)限�,認(rèn)證器112向安全芯片處理器111表示確認(rèn)結(jié)果并且安全芯片處理模塊23不進(jìn)行后續(xù)的處理。
在步驟S183�����,安全芯片處理器111從認(rèn)證器112接收許可刪除密鑰/訪問權(quán)限的指示。在步驟S184����,安全芯片處理器111發(fā)送由密鑰管理應(yīng)用121發(fā)送的密鑰信息到密碼處理器114,以請求密碼處理器114刪除由密鑰信息標(biāo)識的密鑰/訪問權(quán)限��。
在步驟S211����,密碼處理器114接收由安全芯片處理器111發(fā)送的密鑰信息。在步驟S212���,密碼處理器114請求密鑰管理器115刪除由密鑰信息標(biāo)識的密鑰/訪問權(quán)限����。
除由安全芯片處理器111發(fā)送的密鑰信息所標(biāo)識的密鑰/訪問權(quán)限之外�����,如果有必要的話密碼處理器114請求密鑰管理器115刪除與這個密鑰/訪問權(quán)限有關(guān)的密鑰/訪問權(quán)限���。換言之�����,當(dāng)由安全芯片處理器111發(fā)送的密鑰信息所標(biāo)識的密鑰是例如用于訪問某個層中的區(qū)定義區(qū)域的區(qū)密鑰時��,密碼處理器114請求密鑰管理器115除這個區(qū)密鑰之外�,如果有必要的話��,還要刪除在這個區(qū)定義區(qū)域之下的區(qū)定義區(qū)域的區(qū)密鑰和服務(wù)定義區(qū)域的服務(wù)密鑰��。
密鑰/訪問權(quán)限的刪除可直接由安全芯片處理器111而不是由密碼處理器114向密鑰管理器115請求�。
在步驟S221中,密鑰管理器115從密鑰DB 116刪除由密碼處理器114請求的密鑰/訪問權(quán)限�����。
在步驟S213���,密碼處理器114發(fā)送表示密鑰/訪問權(quán)限刪除結(jié)束的消息到安全芯片處理器111����。在步驟S185��,安全芯片處理器111從密碼處理器114接收表示密鑰/訪問權(quán)限刪除結(jié)束的消息���。在步驟S186�����,安全芯片處理器111發(fā)送消息到密鑰管理應(yīng)用121���。在步驟S173����,密鑰管理應(yīng)用121接收由安全芯片處理器111發(fā)送的消息�����。
圖17是流程圖��,示出密鑰管理應(yīng)用121和安全芯片處理模塊23在操作者操作密鑰管理應(yīng)用121以請求安全芯片處理模塊23產(chǎn)生包括表示用于執(zhí)行某個命令的執(zhí)行權(quán)限的授權(quán)的包和注冊在加密包括在包中的授權(quán)時使用的密鑰密鑰/訪問權(quán)限時的操作�����。
假定在圖17中�,參考圖15和16描述的操作密鑰管理應(yīng)用121的操作者的認(rèn)證已經(jīng)在安全芯片處理模塊23中的認(rèn)證器112中完成了,并且操作者的認(rèn)證成功�。
當(dāng)操作者操作密鑰管理應(yīng)用121以便請求產(chǎn)生包括表示執(zhí)行某個命令的執(zhí)行權(quán)限的授權(quán)的包和注冊在認(rèn)證包括在包中的授權(quán)時使用的密鑰的密鑰/訪問權(quán)限時,則在步驟S231�,密鑰管理應(yīng)用121發(fā)送產(chǎn)生包和注冊密鑰/訪問權(quán)限的請求,以及要被注冊的密鑰/訪問權(quán)限到安全芯片處理模塊23���。
要被注冊的密鑰/訪問權(quán)限是由操作密鑰管理應(yīng)用121的操作者輸入的���,并且被發(fā)送到安全芯片處理模塊23。密鑰/訪問權(quán)限可存儲在將密鑰管理應(yīng)用121安裝為文件的計算機(jī)中���,并且所存儲的密鑰/訪問權(quán)限可被發(fā)送到安全芯片處理模塊23���。
在步驟S241,安全芯片處理模塊23中的安全芯片處理器111接收由密鑰管理應(yīng)用121發(fā)送的密鑰/訪問權(quán)限����、注冊密鑰/訪問權(quán)限的請求和產(chǎn)生包的請求。在步驟S242���,安全芯片處理器111向認(rèn)證器112查詢是否準(zhǔn)許經(jīng)認(rèn)證的操作者(操作密鑰管理應(yīng)用121的操作者)注冊要被注冊的密鑰/訪問權(quán)限和產(chǎn)生要被產(chǎn)生的包��。
在步驟S261�����,認(rèn)證器112接收由安全芯片處理器111提供的查詢�。在步驟S262,認(rèn)證器112響應(yīng)于該查詢�,參考訪問控制列表以確認(rèn)是否準(zhǔn)許經(jīng)認(rèn)證的操作者注冊密鑰/訪問權(quán)限和產(chǎn)生包。
如果認(rèn)證器112確認(rèn)準(zhǔn)許注冊密鑰/訪問權(quán)限和產(chǎn)生包����,則在步驟S263,認(rèn)證器112向安全芯片處理器111表示準(zhǔn)許注冊密鑰/訪問權(quán)限和產(chǎn)生包����。
如果認(rèn)證器112不確認(rèn)準(zhǔn)許注冊密鑰/訪問權(quán)限和產(chǎn)生包,則認(rèn)證器112向安全芯片處理器111表示確認(rèn)結(jié)果并且安全芯片處理模塊23不進(jìn)行后續(xù)的處理���。
在步驟S243����,安全芯片處理器111從認(rèn)證器112接收準(zhǔn)許注冊密鑰/訪問權(quán)限和產(chǎn)生包的指示�����。在步驟S244�����,安全芯片處理器111發(fā)送由密鑰管理應(yīng)用121發(fā)送的密鑰/訪問權(quán)限到密鑰管理器115以請求密鑰管理器115注冊密鑰/訪問權(quán)限。
在步驟S281����,密鑰管理器115接收由安全芯片處理器111發(fā)送的密鑰/訪問權(quán)限并且加密所接收的密鑰/訪問權(quán)限��。密鑰管理器115提供加密過的密鑰/訪問權(quán)限給存儲加密過的密鑰/訪問權(quán)限的密鑰DB 116����。
在步驟S282,密鑰管理器115發(fā)送表示密鑰/訪問權(quán)限注冊結(jié)束的消息到安全芯片處理器111����。在步驟S245,安全芯片處理器111從密鑰管理器115接收表示密鑰/訪問權(quán)限注冊結(jié)束的消息����。在步驟S246,安全芯片處理器111請求密碼處理器114產(chǎn)生包�。
在步驟S271,密碼處理器114從安全芯片處理器111接收產(chǎn)生包的請求��。在步驟S272�����,密碼處理114產(chǎn)生表示執(zhí)行某個命令的執(zhí)行權(quán)限的授權(quán)和驗證授權(quán)有效性的證書。密碼處理器114在步驟S281向密鑰管理器115請求注冊(存儲)在密鑰DB 116中的密鑰以獲得密鑰并且使用該密鑰加密授權(quán)����。密碼處理器114隨后提供授權(quán)的加密結(jié)果和證書的集合作為包給密鑰管理器115。
在步驟S283�,密鑰管理器115將由密碼處理器114提供的包存儲在密鑰DB116中。
在步驟S273����,密碼處理器114發(fā)送表示包產(chǎn)生結(jié)束的消息給安全芯片處理器111。在步驟S247�����,安全芯片處理器111從密碼處理器114接收表示包產(chǎn)生結(jié)束的消息���。在步驟S248����,安全芯片處理器111發(fā)送表示密鑰/訪問權(quán)限注冊和包產(chǎn)生結(jié)束的消息到密鑰管理應(yīng)用121�����。在步驟S232���,密鑰管理應(yīng)用121接收由安全芯片處理器111發(fā)送的消息����。
圖18是流程圖,示出密鑰管理應(yīng)用121和安全芯片處理模塊23在操作者操作密鑰管理應(yīng)用121以請求安全芯片處理模塊23產(chǎn)生用于上面參考圖15描述的密鑰注冊的密鑰時的操作����。
在圖1 8中也假定參考圖15和16描述的操作密鑰管理應(yīng)用121的操作者的認(rèn)證已經(jīng)在安全芯片處理模塊23中的認(rèn)證器112中完成���,并且操作者的認(rèn)證成功�����。在圖18中還假定安全芯片處理模塊23已經(jīng)通過參考訪問控制列表確認(rèn)許可經(jīng)認(rèn)證的操作者產(chǎn)生用于密鑰注冊的密鑰�����。
當(dāng)操作者操作密鑰管理應(yīng)用121以便請求產(chǎn)生用于密鑰注冊的密鑰時�,在步驟S301�����,密鑰管理應(yīng)用121發(fā)送產(chǎn)生用于密鑰注冊的密鑰的請求到安全芯片處理模塊23��。
在步驟S311,在安全芯片處理模塊23中的安全芯片處理器111接收由密鑰管理應(yīng)用121發(fā)送的產(chǎn)生用于密鑰注冊的密鑰的請求����。在步驟S312,安全芯片處理器111提供該請求給密碼處理器114���。
在步驟S321��,密碼處理器114從安全芯片處理器111接收產(chǎn)生用于密鑰注冊的密鑰的請求�。在步驟S322���,密碼處理器114產(chǎn)生上述公開密鑰系統(tǒng)中的公開密鑰和秘密密鑰或者對稱密鑰系統(tǒng)中的公共密鑰�,作為用于密鑰注冊的密鑰�。密碼處理器114提供用于密鑰注冊的密鑰(秘密密鑰或者公共密鑰)給密鑰管理器115。
在步驟S341�����,密鑰管理器115加密由密碼處理器114提供的用于密鑰注冊的密鑰����,并且提供加密過的用于密鑰注冊的密鑰給存儲加密過的用于密鑰注冊的密鑰的密鑰DB 116。
在步驟S323��,密碼處理器114發(fā)送用于密鑰注冊的密鑰(公開密鑰或者公共密鑰)到安全芯片處理器111。密碼處理器114可加密用于密鑰注冊的密鑰以發(fā)送加密過的用于密鑰注冊的密鑰到安全芯片處理器111���。
在步驟S313����,安全芯片處理器111從密碼處理器114接收用于密鑰注冊的密鑰�。在步驟S314,安全芯片處理器111發(fā)送用于密鑰注冊的密鑰到密鑰管理應(yīng)用121�。在S302,密鑰管理應(yīng)用121從安全芯片處理器111接收用于密鑰注冊的密鑰并且保存所接收的用于密鑰注冊的密鑰�。
有這樣的情況,其中作為服務(wù)供應(yīng)者的操作者包括作為助理的操作者和作為密鑰管理器的操作者����,作為助理的操作者按照由服務(wù)供應(yīng)者發(fā)出的指令進(jìn)行注冊密鑰的操作���,而作為密鑰管理器的操作者管理助理和密鑰�����,如上所述����。
當(dāng)助理進(jìn)行參考圖15所述的注冊密鑰/訪問權(quán)限的操作時,如果將要被注冊的密鑰以明文的形式提供給助理有可能知道密鑰的內(nèi)容��。
密鑰管理器進(jìn)行參考圖18描述的注冊用于密鑰注冊的密鑰的操作��,使用已注冊的用于密鑰注冊的密鑰加密要在安全芯片處理模塊23中注冊的密鑰�����,并且提供加密過的密鑰給助理����,以便防止助理知道要被注冊的密鑰。
如上所述���,在安全芯片處理模塊23中�,有可能通過準(zhǔn)備訪問控制列表(包括密鑰信息的分組(密鑰ID和密鑰版本)�、密鑰信息的用法(密鑰的操作(注冊、改變����、刪除等)和密碼處理(認(rèn)證,加密����,授權(quán)的創(chuàng)建等))��、使用密鑰信息和軟件的人員(操作者)的認(rèn)證方法和認(rèn)證所要求的密鑰信息(密鑰ID���,密鑰版本,證書等))以及通過按照訪問控制列表共同地管理密鑰信息(密鑰ID����,密鑰版本和密鑰的值)、以及密鑰信息的用法(密鑰的操作(注冊���,改變���,刪除等)以及密碼處理(認(rèn)證,加密��,授權(quán)的創(chuàng)建等))和操作者與軟件的認(rèn)證方法��,來容易地管理在認(rèn)證操作者時許可操作者的操作��。
另外��,將負(fù)責(zé)有關(guān)由服務(wù)供應(yīng)者提供的服務(wù)的操作的操作者的操作者ID與在訪問控制列表中只許可有關(guān)該服務(wù)的操作的信息相關(guān)聯(lián)���,使得能夠以靈活的等級在各服務(wù)單元中許可訪問密鑰信息的分組(密鑰ID和密鑰版本)���,注冊或者刪除密鑰等等。
由應(yīng)用對安全芯片處理模塊23的訪問可獨立于由進(jìn)行有關(guān)密鑰操作的操作的操作者對安全芯片處理模塊23的訪問而受管理���。然而��,這樣的訪問的獨立管理使得統(tǒng)一管理與統(tǒng)一的達(dá)到安全是困難的���。而且,必需獨立于由操作者對安全芯片處理模塊23訪問的維護(hù)��,進(jìn)行由應(yīng)用對安全芯片處理模塊23訪問的維護(hù)���。
因此���,安全芯片處理模塊23通過訪問控制列表共同地管理由應(yīng)用對安全芯片處理模塊23的訪問和由操作者對安全芯片處理模塊23的訪問。這樣的通過訪問控制列表共同管理可以改善與訪問密鑰有關(guān)的安全性和維護(hù)�����。
本領(lǐng)域的熟練技術(shù)人員應(yīng)該理解����,在所附權(quán)利要求書或其等價方案的范圍內(nèi)�����,各種修改���、組合、子組合或改變可取決于設(shè)計要求和其它因素而出現(xiàn)��。
權(quán)利要求
1.一種信息處理設(shè)備�����,通過使用集成電路芯片為提供服務(wù)進(jìn)行密碼處理�,所述信息處理設(shè)備包括認(rèn)證裝置,用于認(rèn)證操作外部設(shè)備的操作者���;存儲裝置�,用于存儲具有標(biāo)識信息的訪問控制列表�,該標(biāo)識信息標(biāo)識所述操作者,該操作者與表示操作者被許可的密碼處理的信息相關(guān)聯(lián)�;確認(rèn)裝置��,用于參考訪問控制列表以確認(rèn)是否許可經(jīng)認(rèn)證的操作者所請求的密碼處理�;以及密碼處理裝置���,用于在許可操作者所請求的密碼處理時進(jìn)行密碼處理。
2.一種在信息處理設(shè)備中的信息處理方法����,該方法通過使用集成電路芯片為提供服務(wù)進(jìn)行密碼處理,所述信息處理方法包括下列步驟認(rèn)證操作外部設(shè)備的操作者���;參考具有標(biāo)識信息的訪問控制列表��,該標(biāo)識信息標(biāo)識所述操作者�,該操作者與表示操作者被許可的密碼處理的信息相關(guān)聯(lián)�,以確認(rèn)是否許可經(jīng)認(rèn)證的操作者所請求的密碼處理;以及在許可操作者所請求的密碼處理時�,進(jìn)行密碼處理。
3.一種程序����,使計算機(jī)通過使用集成電路芯片為提供服務(wù)執(zhí)行密碼處理,所述程序包括下列步驟認(rèn)證操作外部設(shè)備的操作者��;參考具有標(biāo)識信息的訪問控制列表��,該標(biāo)識信息標(biāo)識所述操作者,該操作者與表示操作者被許可的密碼處理的信息相關(guān)聯(lián)����,以確認(rèn)是否準(zhǔn)許經(jīng)認(rèn)證的操作者所請求的密碼處理;以及在許可操作者所請求的密碼處理時進(jìn)行密碼處理�����。
4.一種信息處理設(shè)備����,該設(shè)備通過使用集成電路芯片為提供服務(wù)進(jìn)行密碼處理,所述信息處理設(shè)備包括認(rèn)證單元����,認(rèn)證操作外部設(shè)備的操作者;存儲單元����,存儲具有標(biāo)識信息的訪問控制列表,該標(biāo)識信息標(biāo)識所述操作者���,該操作者與表示操作者被許可的密碼處理的信息相關(guān)聯(lián)���;確認(rèn)單元���,參考訪問控制列表以確認(rèn)是否許可經(jīng)認(rèn)證的操作者所請求的密碼處理����;以及密碼處理單元,在許可操作者所請求的密碼處理時進(jìn)行密碼處理���。
全文摘要
一種信息處理設(shè)備��,通過使用集成電路芯片為提供服務(wù)進(jìn)行密碼處理�����,該設(shè)備包括認(rèn)證操作外部設(shè)備的操作者的認(rèn)證單元���;存儲單元,存儲具有標(biāo)識信息的訪問控制列表���,標(biāo)識信息標(biāo)識操作者���,與表示該操作者被許可的密碼處理的信息相關(guān)聯(lián);確認(rèn)單元��,參考訪問控制列表確認(rèn)是否許可經(jīng)認(rèn)證的操作者所請求的密碼處理;以及密碼處理單元�����,在許可操作者所請求的密碼處理時進(jìn)行密碼處理�����。
文檔編號G06F21/34GK1758589SQ20051010886
公開日2006年4月12日 申請日期2005年9月30日 優(yōu)先權(quán)日2004年10月8日
發(fā)明者赤鹿秀樹, 荻嵨淳, 花木直文 申請人:飛力凱網(wǎng)路股份有限公司