專利名稱:Ic芯片�����、信息處理裝置�、系統(tǒng)、方法和程序的制作方法
技術(shù)領(lǐng)域:
本申請涉及IC芯片�、信息處理裝置、系統(tǒng)�����、方法和程序����。
背景技術(shù):
近年來�,諸如包括具有抗篡改性的IC芯片(在下文中稱為“安全芯片(secure chip)”)的便攜式電話的信息處理裝置已得到了廣泛使用���。例如����,用戶僅通過將這種信息 處理裝置在讀取器/寫入器(reader/writer)上方經(jīng)過就能傳送數(shù)據(jù)�。因此,該信息處理 裝置非常方便���。例如當(dāng)將該信息處理裝置應(yīng)用于電子貨幣系統(tǒng)時(shí)���,僅通過將信息處理裝置 在讀取器/寫入器經(jīng)過,用戶就能在商店等處立即進(jìn)行支付�����。存儲在安全芯片的非易失性存儲器中的信息通過加密的方式來保護(hù)����。因此,很難 篡改信息��。然而,如果允許任何應(yīng)用程序自由地使用信息處理裝置中的安全芯片�,則存在應(yīng) 用程序可以在用戶不知情的情況下使用安全芯片以及應(yīng)用程序可以自己執(zhí)行臨時(shí)中止使 用安全芯片的命令的可能性,這會(huì)導(dǎo)致安全方面的問題���。為了克服這一問題��,具有普通安全芯片的信息處理裝置通常具有當(dāng)應(yīng)用程序使用 安全芯片時(shí)防止應(yīng)用程序直接操作安全芯片的機(jī)構(gòu)��。更具體地��,當(dāng)應(yīng)用程序操作安全芯片 時(shí)��,該結(jié)構(gòu)總是強(qiáng)制應(yīng)用程序經(jīng)由預(yù)定的安全芯片控制模塊來操作安全芯片�。安全芯片控 制模塊限制能夠由該應(yīng)用程序執(zhí)行的安全芯片命令���,從而防止濫用。
發(fā)明內(nèi)容
然而����,在上述的防止濫用方法中,必須利用防止應(yīng)用程序直接操作安全芯片的機(jī) 構(gòu)來實(shí)現(xiàn)信息處理裝置的平臺�。另一方面,當(dāng)該機(jī)構(gòu)遭到攻擊(hack)時(shí)�����,存在如下的可能 性,即��,通過開發(fā)一種繞過安全芯片控制模塊工作以直接操作安全芯片的方法�,來非法使用 安全芯片。鑒于上述���,期望提供一種能夠可靠地防止應(yīng)用程序非法訪問IC芯片的新穎的且 改進(jìn)的IC芯片�����、信息處理裝置���、系統(tǒng)、方法和程序���。在示例性實(shí)施方式中��,集成電路芯片包括配置為使用認(rèn)證信息對請求進(jìn)行認(rèn)證的 認(rèn)證控制單元��,其中從集成電路芯片外部接收請求和認(rèn)證信息中的至少一個(gè)���。在示例性實(shí)施方式中����,請求包括可執(zhí)行命令��、訪問區(qū)域��、發(fā)布者識別碼中的至少一 個(gè)�����。在示例性實(shí)施方式中�����,認(rèn)證信息包括哈希值����。在示例性實(shí)施方式中��,集成電路芯片的發(fā)布設(shè)備產(chǎn)生請求和認(rèn)證信息中的至少一 個(gè)����。4
在示例性實(shí)施方式中,發(fā)布設(shè)備向應(yīng)用程序生成者發(fā)布請求和認(rèn)證信息中的至少一個(gè)�。在示例性實(shí)施方式中��,發(fā)布設(shè)備將與請求的訪問區(qū)域相關(guān)的信息注冊到訪問區(qū)域 發(fā)布服務(wù)器��。在示例性實(shí)施方式中���,發(fā)布設(shè)備將與請求的訪問區(qū)域相關(guān)的PIN值注冊到訪問區(qū) 域發(fā)布服務(wù)器。在示例性實(shí)施方式中��,集成電路芯片基于下列各項(xiàng)執(zhí)行命令關(guān)于允許應(yīng)用程序 執(zhí)行的命令的信息���;以及關(guān)于允許應(yīng)用程序訪問的集成電路芯片的存儲區(qū)域的信息���。在示例性實(shí)施方式中,芯片控制模塊從應(yīng)用程序接收請求��,開啟集成電路芯片�����,向 集成電路芯片發(fā)布認(rèn)證命令����,并且將請求發(fā)送至集成電路芯片。在示例性實(shí)施方式中���,在集成電路芯片處接收請求����,并且響應(yīng)于請求,集成電路芯 片引導(dǎo)對存儲位置的訪問��。在示例性實(shí)施方式中�����,對請求進(jìn)行認(rèn)證以判定請求是否合法��,判定請求合法����,接受 請求,集成電路芯片向芯片控制模塊通知已經(jīng)接受請求�����,并且芯片控制模塊向應(yīng)用程序通 知已經(jīng)認(rèn)證請求��。在示例性實(shí)施方式中����,應(yīng)用程序調(diào)用用于使用集成電路芯片的芯片操作AP,芯片 控制模塊將可執(zhí)行命令發(fā)布至集成電路芯片�,認(rèn)證控制單元檢查是否允許執(zhí)行可執(zhí)行命 令,以及是否允許訪問可執(zhí)行命令的訪問區(qū)域�����。在示例性實(shí)施方式中�����,集成電路芯片執(zhí)行可執(zhí)行命令�,集成電路芯片向芯片控制 模塊通知可執(zhí)行模塊的執(zhí)行結(jié)果,芯片控制模塊向應(yīng)用程序通知可執(zhí)行命令的執(zhí)行結(jié)果�, 應(yīng)用程序請求芯片控制模塊終止使用集成電路芯片,并且芯片控制模塊關(guān)閉集成電路芯 片�。在示例性實(shí)施方式中,擦除請求和認(rèn)證信息�。在示例性實(shí)施方式中,在認(rèn)證請求之后����,將由請求合法訪問的信息顯示在顯示單 兀上。在示例性實(shí)施方式中���,信息處理裝置包括集成電路芯片���,集成電路芯片包括配置 為使用認(rèn)證信息對請求進(jìn)行認(rèn)證的認(rèn)證控制單元�,其中從集成電路芯片外部接收請求和認(rèn) 證信息中的至少一個(gè)���。在示例性實(shí)施方式中���,信息處理裝置是便攜式電話。在示例性實(shí)施方式中����,信息處理系統(tǒng)包括信息處理裝置,信息處理裝置包括集成 電路芯片����,集成電路芯片包括配置為使用認(rèn)證信息對請求進(jìn)行認(rèn)證的認(rèn)證控制單元,其中 從集成電路芯片外部接收請求和認(rèn)證信息中的至少一個(gè)�。在示例性實(shí)施方式中,一種方法包括由包括認(rèn)證控制單元的集成電路芯片使用 認(rèn)證信息對請求進(jìn)行認(rèn)證���,其中從集成電路芯片外部接收請求和認(rèn)證信息中的至少一個(gè)����。在示例性實(shí)施方式中,存儲介質(zhì)存儲程序��,其中在執(zhí)行該程序時(shí)���,使包括認(rèn)證控制 單元的集成電路芯片使用認(rèn)證信息對請求進(jìn)行認(rèn)證,其中從集成電路芯片外部接收請求和 認(rèn)證信息中的至少一個(gè)��。根據(jù)上述的示例性實(shí)施方式�,可以可靠地防止應(yīng)用程序非法訪問IC芯片。根據(jù)下面的詳細(xì)描述以及附圖�,這里描述的附加的特性和優(yōu)勢將變得顯而易見。
圖1是示出在相關(guān)的信息處理裝置中應(yīng)用程序?qū)Π踩酒脑L問控制實(shí)例的說 明圖��。圖2是示出根據(jù)示例性實(shí)施方式的信息處理系統(tǒng)的示例性概略構(gòu)造的說明圖����。圖3是示出用作圖2的信息處理裝置的客戶端100的示例性概略構(gòu)造的說明圖。圖4是示出示例性芯片訪問權(quán)證(chip access ticket)的示例性概略構(gòu)造的說 明圖���。圖5是詳細(xì)示出示例性芯片訪問權(quán)證的構(gòu)造的說明圖�����。圖6是由圖2的信息處理系統(tǒng)1000執(zhí)行的用于客戶端100的訪問控制的第一預(yù) 備處理的示例性的順序圖����。圖7是由圖2的信息處理系統(tǒng)1000中的示例性客戶端100和訪問區(qū)域發(fā)布服務(wù) 器500執(zhí)行的用于客戶端100訪問控制的第二預(yù)備處理的示例性順序圖。圖8是示出由圖3的客戶端100執(zhí)行的訪問控制處理的示例性順序圖�����。圖9是示出在圖8的步驟S308中執(zhí)行的示例性芯片訪問權(quán)證認(rèn)證處理的流程圖�。圖10是示出圖8的訪問控制處理的細(xì)節(jié)的流程圖。圖11是示出在圖2的信息處理系統(tǒng)1000中由訪問區(qū)域發(fā)布服務(wù)器500和客戶端 100執(zhí)行的PIN值變更處理的示例性順序圖��。圖12是示出圖8的步驟S308中執(zhí)行的芯片訪問權(quán)證認(rèn)證處理的示例性變形例的 流程圖��。圖13是示出由圖3的客戶端100執(zhí)行的根據(jù)錯(cuò)誤代碼(error code)進(jìn)行的示例 性處理的流程圖�。
具體實(shí)施例方式在下文中,將參考附圖對示例性實(shí)施方式進(jìn)行詳細(xì)說明�����。需要注意的是�����,在說明書 和附圖中�,用相同的參考標(biāo)號來表示具有實(shí)質(zhì)上相同功能和結(jié)構(gòu)的結(jié)構(gòu)元素,并省略對這 些結(jié)構(gòu)元素的重復(fù)說明�。按照下列順序通過實(shí)施例來進(jìn)行說明��。1.相關(guān)信息處理裝置的訪問控制2.信息處理系統(tǒng)的構(gòu)造3.信息處理裝置的構(gòu)造4.芯片訪問權(quán)證的構(gòu)造5.用于訪問控制的第一預(yù)備處理6.用于訪問控制的第二預(yù)備處理7.訪問控制處理8.芯片訪問權(quán)證認(rèn)證處理9.訪問控制處理的細(xì)節(jié)10PIN值變更處理11芯片訪問權(quán)證認(rèn)證處理的變形
12.根據(jù)錯(cuò)誤代碼執(zhí)行的處理[1.相關(guān)信息處理裝置的訪問控制]在說明根據(jù)示例性實(shí)施方式的信息處理系統(tǒng)和信息處理裝置之前���,將首先描述在 相關(guān)的信息處理裝置中應(yīng)用程序?qū)Π踩酒脑L問控制。圖1是示出在相關(guān)的信息處理裝 置中應(yīng)用程序?qū)Π踩酒脑L問控制的實(shí)例的示例性說明圖�����。在圖1中��,用作相關(guān)信息處理裝置的諸如便攜式電話的客戶端(client) 10包括安 全芯片控制模塊16��、安全芯片22���、顯示控制單元28和諸如LED的顯示單元30。在客戶端 10上安裝有非法應(yīng)用程序12和應(yīng)用程序14�����。安全芯片控制模塊16包括API (應(yīng)用程序接口)18和安全芯片訪問控制單元20�����。 安全芯片22包括命令執(zhí)行單元M和非易失性存儲器26����。例如����,客戶端10允許應(yīng)用程序14使用存儲在安全芯片22的非易失性存儲器沈 的區(qū)域中的信息����,從而為用戶提供諸如電子貨幣服務(wù)的各種服務(wù)。在客戶端10中�����,當(dāng)應(yīng)用程序14通過API 18請求安全芯片控制模塊16允許應(yīng)用 程序14訪問安全芯片22時(shí)���,安全芯片訪問控制單元20控制應(yīng)用程序14對安全芯片22的 訪問��。由于應(yīng)用程序14是合法的應(yīng)用程序���,因此安全芯片訪問控制單元20允許應(yīng)用程序 14訪問安全芯片22,如圖1中的圓圈所示���。安全芯片訪問控制單元20還能限制可以由應(yīng) 用程序14執(zhí)行的命令����。在客戶端10中,當(dāng)非法應(yīng)用程序12通過API 18請求安全芯片控制模塊16允許 非法應(yīng)用程序12訪問安全芯片22時(shí)�,安全芯片訪問控制單元20不允許非法應(yīng)用程序12 訪問安全芯片22。通過使安全芯片訪問控制單元20驗(yàn)證附加在應(yīng)用程序上的應(yīng)用程序簽 名來區(qū)分合法應(yīng)用程序14和非法應(yīng)用程序12�。因此,能夠防止非法應(yīng)用程序非法訪問安 全芯片22��。當(dāng)安全芯片控制模塊16接收來自非法應(yīng)用程序12對安全芯片22的訪問請求 時(shí)�����,安全芯片控制模塊16控制顯示控制單元觀并使用顯示單元30向用戶通知訪問情況�����。 因此�����,用戶能夠識別非法應(yīng)用程序12對安全芯片22的非法訪問請求�。然而���,在上述的示例性訪問控制中����,客戶端10的平臺必須具有用于防止應(yīng)用程序 直接操作安全芯片22的機(jī)構(gòu)。當(dāng)該機(jī)構(gòu)遭到攻擊時(shí)����,可開發(fā)下列方法如圖1左側(cè)的X所 示,可繞過安全芯片控制模塊16而工作��,可以直接操作安全芯片22 �����;并如圖1右側(cè)的X所 示�,顯示控制單元觀可能被非法操作,并且顯示控制單元觀的功能失效���。在這種情況下�, 存在非法使用安全芯片22的可能性��。當(dāng)僅限制命令時(shí)�����,應(yīng)用程序可掃描非易失性存儲器沈以收集個(gè)人信息�����,例如,用 戶使用何種服務(wù)�,從而存在如下問題,即���,難以防止應(yīng)用程序進(jìn)行這種對安全芯片22的非 法訪問���。為了解決上述問題,安全芯片22自身可具有限制使用的機(jī)構(gòu)�。然而,在日本專利 申請公開第2001-56848號和日本專利申請公開第2005-56292號所公開的技術(shù)中��,存在如 下問題�����,即��,難以將靈活的訪問控制應(yīng)用到客戶端上接連(one after another)執(zhí)行的各種 應(yīng)用程序��。在日本專利申請公開第2001-56848號所公開的技術(shù)中���,可以為在IC卡上執(zhí)行的 每個(gè)命令設(shè)置訪問權(quán)限(access permission)。然而����,由于必須通過從外部輸入用于重寫命 令的訪問權(quán)限的口令來設(shè)置命令權(quán)限��,因此平臺側(cè)必須具有設(shè)置功能�。因此�����,安全芯片自己很難為每個(gè)所使用的應(yīng)用程序設(shè)置不同的訪問權(quán)限���,并且難以將命令的訪問權(quán)限永久保存 在安全芯片上����。由于這個(gè)原因�,在終端上接連執(zhí)行不同應(yīng)用程序的情況下,存在如下問題��, 即��,例如�����,當(dāng)終端意外關(guān)機(jī)而應(yīng)用程序仍在運(yùn)行時(shí)�,之前執(zhí)行的應(yīng)用程序的權(quán)限可能會(huì)留下 來而未被刪除���。在日本專利申請公開第2005-56292號所公開的技術(shù)中,設(shè)置了多種認(rèn)證手段�����,并 能夠向用戶通知終端上的應(yīng)用程序正試圖使用安全芯片�。盡管用戶能夠控制是否將訪問權(quán) 限給予每個(gè)應(yīng)用程序,但是用戶僅能設(shè)置是否允許執(zhí)行存在于安全芯片上的所有命令���,或 者完全全部禁止執(zhí)行它們���,并且用戶很難為每個(gè)應(yīng)用程序設(shè)置不同的訪問權(quán)限。此外����,用戶 需要在每個(gè)場合進(jìn)行判斷,并且存在使用過程繁瑣的問題���。因此,稍后描述的根據(jù)本實(shí)施方式的信息處理系統(tǒng)執(zhí)行用于稍后描述的訪問控制 的第一預(yù)備處理和第二預(yù)備處理���。然后����,根據(jù)本實(shí)施方式的信息處理裝置執(zhí)行稍后描述的 訪問控制處理。因此�����,信息處理裝置能夠可靠防止應(yīng)用程序?qū)C芯片進(jìn)行非法訪問��。[2.信息處理系統(tǒng)的構(gòu)造]隨后�����,將描述根據(jù)示例性實(shí)施方式的信息處理系統(tǒng)�。圖2是示出根據(jù)示例性實(shí)施 方式描述信息處理系統(tǒng)的概略構(gòu)造的說明圖。在圖2中�,信息處理系統(tǒng)1000包括用作信息處理裝置的諸如便攜式電話的客戶端 100、應(yīng)用程序公開服務(wù)器(application disclosure server) 200���、應(yīng)用程序生成者的PC 300���、安全芯片發(fā)布者的PC 400和訪問區(qū)域發(fā)布服務(wù)器500?�?蛻舳?00、服務(wù)器200����、500、 PC 300����、400分別連接至通信網(wǎng)絡(luò)600?�?蛻舳?00能夠下載由應(yīng)用程序公開服務(wù)器200公開的應(yīng)用程序����。當(dāng)客戶端100 從所安裝的應(yīng)用程序接受稍后描述的訪問區(qū)域發(fā)布請求時(shí),客戶端100請求訪問區(qū)域發(fā)布 服務(wù)器500執(zhí)行在線處理�。應(yīng)用程序公開服務(wù)器200公開在應(yīng)用程序生成者的PC 300上產(chǎn)生的應(yīng)用程序。應(yīng) 用程序生成者的PC 300產(chǎn)生應(yīng)用程序�。當(dāng)應(yīng)用程序生成者的PC 300產(chǎn)生使用稍后描述的 安全芯片114的應(yīng)用程序時(shí),應(yīng)用程序生成者的PC 300請求安全芯片發(fā)布者的PC 400允 許使用安全芯片114����。當(dāng)安全芯片發(fā)布者的PC 400發(fā)布稍后描述的芯片訪問權(quán)證時(shí),應(yīng)用 程序生成者的PC 300將所發(fā)布的芯片訪問權(quán)證嵌入到所產(chǎn)生的應(yīng)用程序中����。然后,應(yīng)用程 序生成者的PC 300將所產(chǎn)生的應(yīng)用程序發(fā)送至應(yīng)用程序公開服務(wù)器200����。在安全芯片發(fā)布者的PC 400從應(yīng)用程序生成者的PC 300接收用于允許應(yīng)用程序 生成者的PC 300使用安全芯片114的請求之后,安全芯片發(fā)布者的PC 400產(chǎn)生芯片訪問 權(quán)證�����,并將所產(chǎn)生的芯片訪問權(quán)證發(fā)布至應(yīng)用程序生成者的PC 300����。在安全芯片發(fā)布者的 PC400產(chǎn)生芯片訪問權(quán)證之后,安全芯片發(fā)布者的PC 400將關(guān)于所產(chǎn)生的芯片訪問權(quán)證的 訪問區(qū)域的信息注冊到訪問區(qū)域發(fā)布服務(wù)器500���,并將關(guān)于PIN值的信息(用于所產(chǎn)生的芯 片訪問權(quán)證的每個(gè)訪問區(qū)域)�����,即�,保密信息(secret information)���,注冊到訪問區(qū)域發(fā)布 服務(wù)器500��。例如����,當(dāng)訪問區(qū)域發(fā)布服務(wù)器500從客戶端100接收用于發(fā)布訪問區(qū)域的在線處 理請求時(shí),訪問區(qū)域發(fā)布服務(wù)器500通過在線處理發(fā)布在稍后描述的客戶端100的安全芯 片114的非易失性存儲器120中的訪問區(qū)域���,并為非易失性存儲器120中的每個(gè)發(fā)布的訪 問區(qū)域注冊PIN值��。
信息處理系統(tǒng)1000執(zhí)行稍后描述的圖6的用于訪問控制的第一預(yù)備處理和圖7 的用于訪問控制的第二預(yù)備處理�����。然后���,客戶端100通過執(zhí)行稍后描述的圖8的訪問控制 處理能夠可靠地防止客戶端100的應(yīng)用程序非法訪問安全芯片。在根據(jù)本實(shí)施方式的信息處理系統(tǒng)1000中�,訪問區(qū)域發(fā)布服務(wù)器500和安全芯 片114都具有密鑰,并通過加密的在線通信相互通信����,從而確保重要處理(例如發(fā)布安全區(qū) 域)的安全性。需要注意的是��,客戶端100中的程序沒有密鑰���,從而密鑰不會(huì)泄露����。然而,例如����,即使當(dāng)客戶端100在服務(wù)區(qū)域之外時(shí)��,應(yīng)用程序也必須能夠檢查電子 貨幣的余額��。因此�,安全芯片114具有非加密區(qū)域和非加密命令。然而����,如果應(yīng)用程序可自由操作非加密區(qū)域和命令,則可取消用戶鎖���,并可掃描服 務(wù)����。為了防止這一點(diǎn)���,除了加密通信之外�����,還必須設(shè)置用于限制使用安全芯片114的機(jī)構(gòu)�。已經(jīng)利用普通的安全芯片控制模塊實(shí)現(xiàn)了該機(jī)構(gòu)。然而��,在本實(shí)施方式中����,通過利 用使用可靠的芯片訪問權(quán)證的更可靠的方法來實(shí)現(xiàn)該機(jī)構(gòu)。[3.信息處理裝置的構(gòu)造]隨后�,將描述作為圖2的信息處理裝置的示例性客戶端100。圖3是示出用作圖2 的信息處理裝置的客戶端100的示例性概略構(gòu)造的說明圖�。在圖3中,諸如便攜式電話的客戶端100是信息處理裝置的實(shí)例�,并具有安全芯片 控制模塊110、安全芯片114��、顯示單元122�����。此外����,應(yīng)用程序102�����、106安裝在客戶端100上�。 在本實(shí)施方式中�,客戶端100具有安全芯片控制模塊110,但是當(dāng)安裝在客戶端100上的應(yīng) 用程序(例如應(yīng)用程序106)具有安全芯片控制模塊110的功能時(shí)����,客戶端100可以不具有 安全芯片控制模塊110���。將芯片訪問權(quán)證104嵌入到應(yīng)用程序102中��,并將芯片訪問權(quán)證108嵌入到應(yīng)用 程序106中�。應(yīng)用程序106中具有安全芯片控制模塊111��。安全芯片控制模塊110具有API 112�。安全芯片控制模塊110適于從安全芯片114 接收所發(fā)送的信息。安全芯片控制模塊110�����、111連接至顯示單元122��。此外,安全芯片114 連接至顯示單元122���。安全芯片控制模塊110�、111和安全芯片114可連接至不同的顯示單兀�。安全芯片114具有訪問控制單元116、命令執(zhí)行單元118��、非易失性存儲器120����。訪 問控制單元116適于從具有訪問安全芯片114的芯片訪問權(quán)證的應(yīng)用程序接收芯片訪問權(quán) 證。另一方面�,訪問控制單元116適于認(rèn)證從應(yīng)用程序接收的芯片訪問權(quán)證。此外���,當(dāng)芯片 訪問權(quán)證合法時(shí)��,基于允許應(yīng)用程序執(zhí)行命令的信息�、并且基于允許應(yīng)用程序訪問的IC芯 片的存儲區(qū)域的信息��,訪問控制單元116適于允許應(yīng)用程序執(zhí)行命令�����。關(guān)于命令的信息和 關(guān)于存儲器區(qū)域的信息包括在芯片訪問權(quán)證中。當(dāng)芯片訪問權(quán)證非法時(shí)�,訪問控制單元116 適于向外部發(fā)送關(guān)于為何判定芯片訪問權(quán)證不合法的原因的信息。此外�����,訪問控制單元116 適于存儲芯片訪問權(quán)證的內(nèi)容���,例如�,臨時(shí)存儲存儲器功能�����,并適于擦除所存儲的芯片訪問 權(quán)證的內(nèi)容����。當(dāng)由應(yīng)用程序發(fā)布的命令是可執(zhí)行的時(shí)���,命令執(zhí)行單元118適于執(zhí)行命令���。需 要注意的是,安全芯片114是具有優(yōu)秀的抗篡改特性的IC芯片��。例如,當(dāng)安全芯片控制模塊110從應(yīng)用程序102接收到芯片訪問權(quán)證104并接受 用于開始使用安全芯片114的請求時(shí)�����,安全芯片控制模塊110開啟安全芯片114�����。然后���,安 全芯片控制模塊110向安全芯片114的訪問控制單元116發(fā)布權(quán)證認(rèn)證命令�����,并將芯片訪9問權(quán)證104發(fā)送至安全芯片114的訪問控制單元116���。訪問控制單元116允許執(zhí)行權(quán)證認(rèn) 證命令,并向命令執(zhí)行單元118發(fā)布權(quán)證認(rèn)證命令��。命令執(zhí)行單元118執(zhí)行由訪問控制單元116發(fā)布的權(quán)證認(rèn)證命令�����。當(dāng)命令執(zhí)行單 元118執(zhí)行權(quán)證認(rèn)證命令時(shí),訪問控制單元116認(rèn)證從安全芯片控制模塊110接收的芯片 訪問權(quán)證104�。當(dāng)訪問控制單元116確定芯片訪問權(quán)證合法時(shí),安全芯片114向安全芯片控制模 塊110通知安全芯片114已經(jīng)接受了芯片訪問權(quán)證104�����。然后���,安全芯片控制模塊110向應(yīng) 用程序102通知已經(jīng)認(rèn)證了芯片訪問權(quán)證104�。在向應(yīng)用程序102通知對芯片訪問權(quán)證104的認(rèn)證完成之后�,應(yīng)用程序102調(diào)用 安全芯片控制模塊Iio的API 112,并請求安全芯片控制模塊110執(zhí)行命令�。當(dāng)安全芯片控制模塊110接受用于執(zhí)行來自應(yīng)用程序102的命令的請求時(shí)��,安全 芯片控制模塊Iio將命令發(fā)布至安全芯片114的訪問控制單元116���。訪問控制單元116檢查由安全芯片控制模塊110發(fā)布的命令是否是依據(jù)芯片訪問 權(quán)證104的認(rèn)證而允許執(zhí)行的命令,并檢查由安全芯片控制模塊110發(fā)布的命令的訪問區(qū) 域是否是依據(jù)芯片訪問權(quán)證104的認(rèn)證而允許訪問的區(qū)域����。在訪問控制單元116判定由安 全芯片控制模塊110發(fā)布的命令是允許執(zhí)行的命令��、并判定命令的訪問區(qū)域是允許訪問的 區(qū)域之后���,訪問控制單元116允許執(zhí)行命令�,并向命令執(zhí)行單元118發(fā)布命令。命令執(zhí)行單 元118執(zhí)行由訪問控制單元116發(fā)布的命令����。當(dāng)訪問控制單元116判定芯片訪問權(quán)證104合法時(shí),非易失性存儲器120將芯片 訪問權(quán)證104的內(nèi)容存儲到存儲區(qū)域中�����。當(dāng)關(guān)閉安全芯片114時(shí)�,非易失性存儲器120擦 除存儲在存儲區(qū)域中的芯片訪問權(quán)證104的內(nèi)容。[4.芯片訪問權(quán)證的構(gòu)造]隨后�����,將描述示例性的芯片訪問權(quán)證����。圖4是示出示例性芯片訪問權(quán)證的示例性 概略構(gòu)造的說明圖。圖5是詳細(xì)示出示例性芯片訪問權(quán)證的構(gòu)造的示例性說明圖��。在圖4和圖5中��,芯片訪問權(quán)證104包括哈希值(hash value) 130�、可執(zhí)行命令 132�����、訪問區(qū)域134���、發(fā)布者識別碼136。為每個(gè)訪問區(qū)域134設(shè)置PIN值138����,例如,PIN值 138可由安全芯片發(fā)布者的PC 400產(chǎn)生����,并可由應(yīng)用程序生成者的PC 300產(chǎn)生?��?蓤?zhí)行命令132是關(guān)于由應(yīng)用程序102執(zhí)行的安全芯片114的一列命令的信息�。 訪問區(qū)域134是關(guān)于由應(yīng)用程序102使用的安全芯片114的非易失性存儲器120中的區(qū)域 的信息���。發(fā)布者識別碼136是用于識別安全芯片114的發(fā)布者的信息。哈希值130是基于 可執(zhí)行命令132����、訪問區(qū)域134���、發(fā)布者識別碼136、PIN值138而產(chǎn)生的哈希值���。[5.用于訪問控制的第一預(yù)備處理]下面將描述由圖2的信息處理系統(tǒng)1000執(zhí)行的用于客戶端100的訪問控制的第 一預(yù)備處理�。圖6是由圖2的信息處理系統(tǒng)1000執(zhí)行的用于客戶端100的訪問控制的第 一預(yù)備處理的示例性的順序圖��。在圖6中����,首先,應(yīng)用程序生成者的PC 300向安全芯片發(fā)布者的PC 400發(fā)布使用 安全芯片114的請求��,從而所產(chǎn)生的應(yīng)用程序102能夠使用客戶端100的安全芯片114(步 驟S102)�����。例如��,應(yīng)用程序生成者的PC 300向安全芯片發(fā)布者的PC 400報(bào)告由產(chǎn)生的應(yīng)用 程序102執(zhí)行的安全芯片114的期望的一系列命令�,以及由產(chǎn)生的應(yīng)用程序102使用(即,訪問)的安全芯片114的非易失性存儲器120中的期望的一系列區(qū)域�����。隨后,根據(jù)請求使用的內(nèi)容�����,已經(jīng)接收到使用安全芯片114的請求的安全芯片發(fā) 布者的PC 400產(chǎn)生如圖4和圖5所示的芯片訪問權(quán)證(步驟S104)����。然后,安全芯片發(fā)布 者的PC 400將所產(chǎn)生的芯片訪問權(quán)證發(fā)布至應(yīng)用程序生成者的PC 300(步驟S106)��。隨后�,應(yīng)用程序生成者的PC 300將在步驟S106中發(fā)布的芯片訪問權(quán)證嵌入到所 產(chǎn)生的應(yīng)用程序102中(步驟S108)。隨后�,應(yīng)用程序生成者的PC 300將嵌入有芯片訪問權(quán)證的應(yīng)用程序102發(fā)送至應(yīng) 用程序公開服務(wù)器200(步驟S110)。然后�����,應(yīng)用程序公開服務(wù)器200公開在其中嵌入有芯 片訪問權(quán)證的應(yīng)用程序102(步驟S112)����。結(jié)果,客戶端100能夠從應(yīng)用程序公開服務(wù)器200 下載應(yīng)用程序102���。在安全芯片發(fā)布者的PC 400執(zhí)行步驟S104的處理之后��,安全芯片發(fā)布者的PC 400將關(guān)于所產(chǎn)生的芯片訪問權(quán)證的訪問區(qū)域的信息注冊到訪問區(qū)域發(fā)布服務(wù)器500(步 驟S114)�����,并且為所產(chǎn)生的芯片訪問權(quán)證的每個(gè)訪問區(qū)域?qū)㈥P(guān)于所配置的PIN值的信息注 冊到訪問區(qū)域發(fā)布服務(wù)器500(步驟Sl 16)�。[6.用于訪問控制的第二預(yù)備處理]下面將描述由圖2的信息處理系統(tǒng)1000中的訪問區(qū)域發(fā)布服務(wù)器500和客戶端 100執(zhí)行的用于客戶端100訪問控制的第二預(yù)備處理��。圖7是由圖2的信息處理系統(tǒng)1000 中的訪問區(qū)域發(fā)布服務(wù)器500和客戶端100執(zhí)行的用于客戶端100訪問控制的第二預(yù)備處 理的示例性順序圖����。在執(zhí)行圖6所示的用于客戶端100的訪問控制的第一預(yù)備處理之后, 客戶端100下載應(yīng)用程序102��,將應(yīng)用程序102安裝在客戶端100上并進(jìn)行執(zhí)行��。從而����,執(zhí) 行該處理。在圖7中���,當(dāng)應(yīng)用程序102在客戶端100中啟動(dòng)時(shí)����,應(yīng)用程序102請求安全芯片控 制模塊110發(fā)布安全芯片114的非易失性存儲器120中的訪問區(qū)域(步驟S202)。隨后����,安全芯片控制模塊110開啟安全芯片114 (步驟S204),并請求訪問區(qū)域發(fā)布 服務(wù)器500執(zhí)行在線處理以發(fā)布安全芯片114的非易失性存儲器120中的訪問區(qū)域����,并為 每個(gè)訪問區(qū)域注冊PIN值(步驟S206)。隨后�����,已經(jīng)接受在線處理請求的訪問區(qū)域發(fā)布服務(wù)器500通過在線處理經(jīng)由安全 芯片控制模塊Iio發(fā)布安全芯片114的非易失性存儲器120中由應(yīng)用程序102使用的訪問 區(qū)域(步驟S208)���。此外���,訪問區(qū)域發(fā)布服務(wù)器500通過在線處理經(jīng)由安全芯片控制模塊 110為安全芯片114的非易失性存儲器120中的每個(gè)所發(fā)布的訪問區(qū)域注冊PIN值(步驟 S210)。隨后����,安全芯片控制模塊110向應(yīng)用程序102通知在線處理的結(jié)果(步驟S212)。[7.訪問控制處理]下面將描述由圖3中所示的客戶端100執(zhí)行的示例性訪問控制處理��。圖8是示出 由圖3的客戶端100執(zhí)行的訪問控制處理的示例性順序圖。該處理在圖7的用于客戶端 100的訪問控制的第二預(yù)備處理之后執(zhí)行�����。在圖8中�����,首先���,應(yīng)用程序102將芯片訪問權(quán)證104發(fā)送至安全芯片控制模塊110, 并請求開始使用安全芯片114(步驟S302)��。隨后�,安全芯片控制模塊110開啟安全芯片114 (步驟S304),將權(quán)證認(rèn)證命令發(fā)布至安全芯片114���,并發(fā)送芯片訪問權(quán)證104(步驟S306)��。隨后�,安全芯片114執(zhí)行圖9所示的稍后描述的芯片訪問權(quán)證認(rèn)證處理���,并執(zhí)行認(rèn) 證以判定所接收的芯片訪問權(quán)證是否合法(步驟S308)�����。隨后�,當(dāng)在步驟S308中判定芯片訪問權(quán)證104合法時(shí),安全芯片114存儲芯片 訪問權(quán)證104的內(nèi)容����,并向安全芯片控制模塊110通知已經(jīng)接受芯片訪問權(quán)證104(步驟 S310)。然后�,安全芯片控制模塊110向應(yīng)用程序102通知芯片訪問權(quán)證104已得到認(rèn)證 (步驟 S312)。隨后�����,應(yīng)用程序102調(diào)用用于使用安全芯片114的芯片操作API (步驟S314)���。然 后�����,當(dāng)應(yīng)用程序102請求安全芯片控制模塊110執(zhí)行安全芯片114的命令時(shí)����,安全芯片控制 模塊110將命令發(fā)布至安全芯片114(步驟S316)�����。隨后,安全芯片114使訪問控制單元116檢查由安全芯片控制模塊110發(fā)布的命 令是否是在步驟S308中依據(jù)芯片訪問權(quán)證104的認(rèn)證而允許執(zhí)行的命令�����,還檢查由安全芯 片控制模塊110發(fā)布的命令的訪問區(qū)域是否是在步驟S308中依據(jù)芯片訪問權(quán)證104的認(rèn) 證而允許訪問的區(qū)域(步驟S318)�。隨后,在步驟S318中�����,安全芯片114判定允許執(zhí)行的命令��,以及允許訪問的命令的 訪問區(qū)域��。因此����,命令執(zhí)行單元118執(zhí)行命令(步驟S320)��。隨后�,安全芯片114向安全芯片控制模塊110通知命令的執(zhí)行結(jié)果(步驟S322)。 然后�����,安全芯片控制模塊Iio向應(yīng)用程序102通知在步驟S322中通知的命令的執(zhí)行結(jié)果 (步驟 S324)。隨后����,應(yīng)用程序102請求安全芯片控制模塊110終止安全芯片114的使用(步驟 S326)。隨后�����,安全芯片控制模塊110關(guān)閉安全芯片114(步驟��。當(dāng)關(guān)閉安全芯片114 時(shí)��,擦除在步驟S310中存儲的芯片訪問權(quán)證104的內(nèi)容�。可選地��,安全芯片控制模塊110將 用于擦除在步驟S310中存儲的芯片訪問權(quán)證104的內(nèi)容的命令單獨(dú)發(fā)布至安全芯片114�����。[8.芯片訪問權(quán)證認(rèn)證處理]圖9是示出在圖8的步驟S308中執(zhí)行的芯片訪問權(quán)證認(rèn)證處理的流程圖�����。在圖9中,首先�����,安全芯片114的訪問控制單元116判定從安全芯片控制模塊110 接收的芯片訪問權(quán)證104的格式是否正確(步驟S402)��。例如���,安全芯片114的訪問控制單 元116判定芯片訪問權(quán)證104的格式是否是如圖4所示的格式�����,其中該格式是在由圖6的 步驟S104中的安全芯片發(fā)布者的PC 400產(chǎn)生的芯片訪問權(quán)證104的產(chǎn)生中所定義的。當(dāng)芯片訪問權(quán)證104的格式作為在步驟S402中判定的結(jié)果被判定為正確(步驟 S402中的“是”)時(shí)�����,安全芯片114的訪問控制單元116檢驗(yàn)芯片訪問權(quán)證104的哈希值 130(步驟S404)��。例如�,安全芯片114的訪問控制單元116通過將芯片訪問權(quán)證104的哈 希值130和基于所接收的芯片訪問權(quán)證104中的可執(zhí)行的命令132、訪問區(qū)域134和發(fā)布者 識別碼136以及基于非易失性存儲器120中對應(yīng)于訪問區(qū)域134的訪問區(qū)域中注冊的PIN 值所產(chǎn)生的哈希值進(jìn)行比較來執(zhí)行驗(yàn)證�����。可選地����,安全芯片114的訪問控制單元116可以 通過將芯片訪問權(quán)證104的哈希值130與基于所接收的芯片訪問權(quán)證104中的可執(zhí)行命令 132和訪問區(qū)域134,基于安全芯片114中注冊的發(fā)布者識別碼��,以及基于非易失性存儲器 120中對應(yīng)于訪問區(qū)域134的訪問區(qū)域中注冊的PIN值所產(chǎn)生的哈希值進(jìn)行比較來執(zhí)行驗(yàn)證����。隨后,安全芯片114的訪問控制單元116基于步驟S404的檢驗(yàn)結(jié)果來判定芯片訪 問權(quán)證104的哈希值130是否正確(步驟S406)����。當(dāng)判定芯片訪問權(quán)證104的哈希值130作為步驟S406中的判定結(jié)果為正確(步 驟S406中的“是”)時(shí),安全芯片114的訪問控制單元116判定芯片訪問權(quán)證104的發(fā)布者 識別碼136是否與安全芯片114的發(fā)布者識別碼一致(步驟S408)����。當(dāng)判定芯片訪問權(quán)證104的發(fā)布者識別碼136與安全芯片114的發(fā)布者識別碼一 致(作為步驟S408中的判定的結(jié)果)(步驟S408中的“是”)時(shí),安全芯片114的訪問控制 單元116認(rèn)證芯片訪問權(quán)證104為合法的芯片訪問權(quán)證(步驟S410)����。從而,允許應(yīng)用程序 102執(zhí)行芯片訪問權(quán)證104的可執(zhí)行命令132的命令��,并且允許使用對應(yīng)于訪問區(qū)域134的 訪問區(qū)域�。在下列情況下安全芯片114的訪問控制單元116判定芯片訪問權(quán)證104是非法的 芯片訪問權(quán)證(步驟S412):當(dāng)判定芯片訪問權(quán)證104的格式不正確(作為步驟S402中判 定的結(jié)果)(步驟S402中的“否”)時(shí)���;當(dāng)判定芯片訪問權(quán)證104的哈希值130不正確(作 為步驟S406中判定的結(jié)果)(步驟S406中的“否”)時(shí);或者當(dāng)判定芯片訪問權(quán)證104的 發(fā)布者識別碼136與安全芯片114的發(fā)布者識別碼不一致(作為步驟S408中判定的結(jié)果) (步驟S408中的“否”)時(shí)��。根據(jù)圖8的訪問控制處理��,認(rèn)證從應(yīng)用程序發(fā)送的芯片訪問權(quán)證�����,并且當(dāng)判定芯 片訪問權(quán)證合法時(shí)��,基于關(guān)于允許執(zhí)行應(yīng)用程序的命令的信息以及基于關(guān)于允許應(yīng)用程序 訪問的安全芯片的存儲區(qū)域的信息����,允許執(zhí)行應(yīng)用程序給出的命令。關(guān)于命令的信息和關(guān) 于存儲區(qū)域的信息包括在芯片訪問權(quán)證中����。因此�,能夠可靠地防止應(yīng)用程序?qū)Π踩酒?14 進(jìn)行非法訪問。在安全芯片發(fā)布者在訪問區(qū)域134中為管理安全芯片114的應(yīng)用程序設(shè)置特別的 訪問區(qū)域的情況下���,安全芯片114每次可以允許使用所有的訪問區(qū)域����,并且可適于僅給出 用于命令的許可。在安全芯片發(fā)布者在訪問區(qū)域134中設(shè)置特殊訪問區(qū)域(設(shè)置為用于僅使用安全 芯片114的功能而不依賴于訪問區(qū)域的(例如�,具有包括在安全芯片114中的與外部信息 終端的無線通信功能)的應(yīng)用程序)的情況下,安全芯片114可禁止使用所有的訪問區(qū)域�����, 并且可適于僅給出用于命令的許可�����。當(dāng)在芯片訪問權(quán)證中未指定訪問區(qū)域134時(shí)����,安全芯片114可判定安全芯片發(fā)布 者已經(jīng)進(jìn)行了用于管理安全芯片134的應(yīng)用程序的設(shè)置,或者判定安全芯片發(fā)布者已經(jīng)進(jìn) 行了用于使用安全芯片114的功能而不依賴于訪問區(qū)域的應(yīng)用程序的設(shè)置����,并且安全芯片 114可適于用特殊訪問區(qū)域的PIN值自動(dòng)執(zhí)行認(rèn)證。[9.訪問控制處理的細(xì)節(jié)]隨后�����,將描述圖8的訪問控制處理的細(xì)節(jié)����。圖10是示出圖8的訪問控制處理的細(xì) 節(jié)的流程圖��。在圖10中�,首先��,由安全芯片控制模塊110開啟安全芯片114(步驟S502)��。安全 芯片114接受由安全芯片控制模塊110發(fā)布的權(quán)證認(rèn)證命令�,并接收芯片訪問權(quán)證104 (步 驟 S504)。
隨后�,安全芯片114的訪問控制單元116判定所接收的芯片訪問權(quán)證104是否是 合法的芯片訪問權(quán)證(步驟S506)。當(dāng)判定所接收的芯片訪問權(quán)證104是合法的芯片訪問權(quán)證(作為步驟S506中判 定的結(jié)果)(步驟S506中的“是”)時(shí)���,安全芯片114的訪問控制單元116設(shè)置安全芯片114 的狀態(tài)�����,從而允許操作(enable)芯片訪問權(quán)證104的可執(zhí)行命令132的命令�,并允許對應(yīng) 于訪問區(qū)域134的訪問區(qū)域的使用(步驟S508)���,并向安全芯片控制模塊110通知已經(jīng)接受 芯片訪問權(quán)證104(步驟S510)。隨后�,安全芯片114接受由安全芯片控制模塊110給出的命令�����,其中安全芯片控 制模塊Iio已經(jīng)從應(yīng)用程序102接受用于執(zhí)行安全芯片114的命令的執(zhí)行的請求(步驟 S512)�。隨后���,安全芯片114的訪問控制單元116判定由安全芯片控制模塊110發(fā)布的命 令是否是依據(jù)芯片訪問權(quán)證104的認(rèn)證而允許執(zhí)行的命令��,并判定由安全芯片控制模塊 110發(fā)布的命令的訪問區(qū)域是否是依據(jù)芯片訪問權(quán)證104的認(rèn)證而允許訪問的區(qū)域(步驟 S514)�����。當(dāng)判定由安全芯片控制模塊110發(fā)布的命令是允許執(zhí)行的命令�����,并且判定命令的 訪問區(qū)域是允許訪問的區(qū)域(作為步驟S514中判定的結(jié)果)(步驟S514中的“是”)時(shí)���,安 全芯片114的訪問控制單元116允許命令的執(zhí)行,并使用顯示單元122向用戶顯示安全芯 片114的正常使用�。例如,安全芯片114的訪問控制單元116可通過顯示單元122的LED 的發(fā)光來顯示正常使用���,并根據(jù)命令改變LED發(fā)光的顏色和類型�����。隨后���,安全芯片114的命令執(zhí)行單元118執(zhí)行命令(其執(zhí)行由安全芯片114的訪 問控制單元116允許)(步驟S518)�。然后��,安全芯片114將命令的執(zhí)行結(jié)果回復(fù)至安全芯 片控制模塊110(步驟S520)�。當(dāng)判定所接收的芯片訪問權(quán)證104不是合法的芯片訪問權(quán)證(作為步驟S506中 判定的結(jié)果)(步驟S506中的“否”)時(shí),安全芯片114將指示芯片訪問權(quán)證104認(rèn)證失敗 的信息回復(fù)至安全芯片控制模塊110(步驟S522)�����。當(dāng)判定由安全芯片控制模塊110發(fā)布的命令不是允許執(zhí)行的命令�,或者判定命令 的訪問區(qū)域不是允許訪問的區(qū)域(作為步驟S514中判定的結(jié)果)(步驟S514中的“否”) 時(shí),安全芯片114的訪問控制單元116禁止命令的執(zhí)行���,并使用顯示單元122向用戶顯示安 全芯片114的非法使用(步驟S524)���。例如,安全芯片14的訪問控制單元116可通過顯示 單元122的LED的發(fā)光來顯示非法使用�����,并可根據(jù)命令改變LED發(fā)光的顏色和類型��。[10. PIN值變更處理]下面將描述由圖2的信息處理系統(tǒng)1000中的訪問區(qū)域發(fā)布服務(wù)器500和客戶端 100執(zhí)行的PIN值變更處理�。圖11是示出由在圖2的信息處理系統(tǒng)1000中訪問區(qū)域發(fā)布 服務(wù)器500和客戶端100執(zhí)行的PIN值變更處理的順序圖。執(zhí)行該處理以防止當(dāng)PIN值 138泄露或被盜時(shí)通過使用泄露的或被盜的PIN值138來非法訪問安全芯片114���。在執(zhí)行 下列步驟之后執(zhí)行該處理客戶端100下載更新的應(yīng)用程序150 ����;并且隨后將更新的應(yīng)用程 序150安裝在客戶端100上�����。在圖11中�,首先,當(dāng)激活客戶端100中更新的應(yīng)用程序150時(shí)���,更新的應(yīng)用程序 150請求安全芯片控制模塊110變更為安全芯片114的非易失性存儲器120中的每個(gè)訪問區(qū)域注冊的PIN值(步驟S602)�。
隨后���,安全芯片控制模塊110開啟安全芯片114 (步驟S604)���,并請求訪問區(qū)域發(fā)布 服務(wù)器500執(zhí)行在線處理以更新為安全芯片114的非易失性存儲器120中的每個(gè)訪問區(qū)域 注冊的PIN值(步驟S606)����。隨后��,已經(jīng)接受在線處理請求的訪問區(qū)域發(fā)布服務(wù)器500確認(rèn)是否已經(jīng)通過在線 處理經(jīng)由安全芯片控制模塊110在安全芯片114的非易失性存儲器120中發(fā)布了由應(yīng)用程 序102使用的訪問區(qū)域(步驟S608)��。此外����,訪問區(qū)域發(fā)布服務(wù)器500通過在線處理經(jīng)由安 全芯片控制模塊110來更新為安全芯片114的非易失性存儲器120中的每個(gè)訪問區(qū)域注冊 的PIN值(步驟S610)。隨后�����,安全芯片控制模塊110向應(yīng)用程序150通知在線處理的結(jié)果(步驟S612)�。根據(jù)圖11的PIN值變更處理,當(dāng)PIN值138泄露或被盜時(shí)���,能夠變更PIN值138�����。 因此����,PIN值變更處理防止通過使用PIN值138非法訪問安全芯片114。[11.芯片訪問權(quán)證認(rèn)證處理的變形例]下面將描述在圖8的步驟S308中執(zhí)行的芯片訪問權(quán)證認(rèn)證處理的變形例��。圖12 是示出圖8的步驟S308中執(zhí)行的芯片訪問權(quán)證認(rèn)證處理的示例性變形例的流程圖��。在圖12中���,安全芯片114判定從安全芯片控制模塊110接收的芯片訪問權(quán)證104 的格式是否正確(步驟S702)。當(dāng)判定芯片訪問權(quán)證104的格式正確(作為步驟S702中判定的結(jié)果)(步驟S702 中的“是”)時(shí)�����,安全芯片114判定芯片訪問權(quán)證104的發(fā)布者識別碼136與安全芯片114 的發(fā)布者識別碼是否一致(步驟S704)�。當(dāng)判定芯片訪問權(quán)證104的發(fā)布者識別碼136與安全芯片114的發(fā)布者識別碼一 致(作為步驟S704中判定的結(jié)果)(步驟S704中的“是”)時(shí),安全芯片114判定在非易失 性存儲器120中是否存在芯片訪問權(quán)證104的訪問區(qū)域134(步驟S706)����。當(dāng)判定在非易失性存儲器120中存在芯片訪問權(quán)證104的訪問區(qū)域134(作為步 驟S706中判定的結(jié)果)(步驟S706中的“是”)時(shí),安全芯片114檢驗(yàn)芯片訪問權(quán)證104的 哈希值130(步驟S708)�。隨后,安全芯片114判定芯片訪問權(quán)證104的哈希值130(作為步驟S708的檢驗(yàn) 結(jié)果)是否正確(步驟S710)����。當(dāng)判定芯片訪問權(quán)證104的哈希值130正確(作為在步驟S710中判定的結(jié)果) (步驟S710中的“是”)時(shí)�,安全芯片114將芯片訪問權(quán)證104認(rèn)證為合法的芯片訪問權(quán)證����, 并將指示“認(rèn)證成功”的信息回復(fù)至安全芯片控制模塊110(步驟S712)。當(dāng)判定芯片訪問權(quán)證104的格式不正確(作為步驟S702中判定的結(jié)果)(步驟 S702中的“否”)時(shí)�,安全芯片114將指示“非法權(quán)證”的錯(cuò)誤代碼回復(fù)至安全芯片控制模 塊 110(步驟 S714)。當(dāng)判定芯片訪問權(quán)證104的發(fā)布者識別碼136與安全芯片114的發(fā)布者識別碼不 一致(作為步驟S704中判定的結(jié)果)(步驟S704中的“否”)時(shí)����,安全芯片114將指示“錯(cuò) 誤發(fā)布者”的錯(cuò)誤代碼和安全芯片114的發(fā)布者識別碼回復(fù)至安全芯片控制模塊110(步驟 S716)?����?蛇x地����,在步驟S716中,僅將指示“錯(cuò)誤發(fā)布者”的錯(cuò)誤代碼發(fā)送至安全芯片控制 模塊110�。
當(dāng)判定在非易失性存儲器120中不存在芯片訪問權(quán)證104的訪問區(qū)域134(作為 步驟S706中判定的結(jié)果)(步驟S706中的“否”)時(shí),安全芯片114將指示“沒有區(qū)域”的 錯(cuò)誤代碼回復(fù)至安全芯片控制模塊110(步驟S718)�����。當(dāng)判定芯片訪問權(quán)證104的哈希值130不正確(作為步驟S710中判定的結(jié)果) (步驟S710中的“否”)時(shí)��,安全芯片114將指示“錯(cuò)誤哈希值”的錯(cuò)誤代碼回復(fù)至安全芯 片控制模塊110(步驟S720)。根據(jù)圖12的芯片訪問權(quán)證認(rèn)證處理���,當(dāng)安全芯片114中的芯片訪問權(quán)證104的認(rèn) 證失敗時(shí)����,安全芯片114將錯(cuò)誤代碼回復(fù)至安全芯片控制模塊110��。然后�,安全芯片控制模 塊110根據(jù)所接收的錯(cuò)誤代碼執(zhí)行下列處理�����。[12.根據(jù)錯(cuò)誤代碼的處理]下面將描述圖3的客戶端100根據(jù)錯(cuò)誤代碼所執(zhí)行的處理��。圖13是示出由圖3 的客戶端100所執(zhí)行的根據(jù)錯(cuò)誤代碼而執(zhí)行的示例性處理的流程圖�。在圖12的芯片訪問 權(quán)證認(rèn)證處理中安全芯片114將錯(cuò)誤代碼回復(fù)至安全芯片控制模塊110之后執(zhí)行該處理。在圖13中�,首先,客戶端100的安全芯片控制模塊110判定從安全芯片114接收 的錯(cuò)誤代碼是否是指示“非法權(quán)證”的錯(cuò)誤代碼(步驟S802)�����。當(dāng)判定錯(cuò)誤代碼是指示“非法權(quán)證”的錯(cuò)誤代碼(作為步驟S802中判定的結(jié)果) (步驟S802中的“是”)時(shí)���,安全芯片控制模塊110利用顯示單元122向用戶警告正在運(yùn)行 的非法應(yīng)用程序要操作安全芯片114(步驟S804)��。在步驟S804中�,可強(qiáng)制停止已經(jīng)發(fā)送了 芯片訪問權(quán)證104的非法應(yīng)用程序的操作,并可強(qiáng)制刪除非法應(yīng)用程序�����。因此�����,能夠預(yù)先防 止對安全芯片114的非法訪問�����。當(dāng)判定錯(cuò)誤代碼不是指示“非法權(quán)證”的錯(cuò)誤代碼(作為步驟S802中判定的結(jié)果) (步驟S802中的“否”)時(shí)���,安全芯片控制模塊110判定錯(cuò)誤代碼是否是指示“錯(cuò)誤發(fā)布者” 的錯(cuò)誤代碼(步驟S806)���。當(dāng)判定錯(cuò)誤代碼是指示“錯(cuò)誤發(fā)布者”的錯(cuò)誤代碼(作為步驟S806中判定的結(jié) 果)(步驟S806中的“是”)時(shí),安全芯片控制模塊110使用顯示單元122向用戶通知應(yīng)用 程序的發(fā)布者與要操作的安全芯片114的發(fā)布者不同(步驟S808)�����。在步驟S808中,當(dāng)安 全芯片控制模塊110接收指示“錯(cuò)誤發(fā)布者”的錯(cuò)誤代碼和安全芯片114的發(fā)布者識別碼 時(shí)���,安全芯片控制模塊110可基于發(fā)布者識別碼來檢索源(source)(從該源可下載為安全 芯片114的當(dāng)前發(fā)布者提供相同服務(wù)的應(yīng)用程序)�,并可使得瀏覽器來顯示源以提示用戶 更換或更新應(yīng)用程序�����,或可自動(dòng)下載應(yīng)用程序以更換或者更新應(yīng)用程序�。當(dāng)判定錯(cuò)誤代碼不是指示“錯(cuò)誤發(fā)布者”的錯(cuò)誤代碼(作為步驟S806中判定的結(jié) 果)(步驟S806中的“否”)時(shí),安全芯片控制模塊110判定錯(cuò)誤代碼是否是指示“沒有區(qū) 域”的錯(cuò)誤代碼(步驟S810)��。當(dāng)判定錯(cuò)誤代碼是指示“沒有區(qū)域”的錯(cuò)誤代碼(作為步驟S810中判定的結(jié)果) (步驟S810中的“是”)時(shí)���,安全芯片控制模塊110使用顯示單元120向用戶通知在安全芯 片114中尚未發(fā)布該區(qū)域(步驟S812)。在步驟S812中��,安全芯片控制模塊110可與應(yīng)用 程序102交換信息��,并可通過請求訪問區(qū)域發(fā)布服務(wù)器500執(zhí)行用于發(fā)布訪問區(qū)域的在線 處理來發(fā)布區(qū)域��。當(dāng)判定錯(cuò)誤代碼不是指示“沒有區(qū)域”的錯(cuò)誤代碼(作為步驟S810中判定的結(jié)果)(步驟S810中的“否”)時(shí)��,錯(cuò)誤代碼是指示“錯(cuò)誤哈?!钡腻e(cuò)誤代碼���。在這種情況下,應(yīng)用 程序102的芯片訪問權(quán)證104或者安全芯片114中的PIN值可能不是最新的����。因此,安全 芯片控制模塊110向用戶通知可能需要更新應(yīng)用程序102或者PIN值(步驟S814)����。在步 驟S814中,安全芯片控制模塊110可與應(yīng)用程序102交換信息����,并檢查是否已經(jīng)出版應(yīng)用 程序的最新版本。當(dāng)已經(jīng)出版應(yīng)用程序的最新版本時(shí)�����,安全芯片控制模塊110可下載并更 新應(yīng)用程序�。安全芯片控制模塊110可通過請求訪問區(qū)域發(fā)布服務(wù)器500執(zhí)行變更PIN值 的在線處理來更新PIN值。根據(jù)圖13所示的對應(yīng)于錯(cuò)誤代碼而執(zhí)行的處理��,用戶能夠理解為什么判定芯片 訪問權(quán)證非法���。此后�����,能夠自動(dòng)執(zhí)行所請求的處理�����。因此���,提高了用戶的可用性�。當(dāng)在根據(jù)圖13所示的錯(cuò)誤代碼執(zhí)行處理中��,更新了應(yīng)用程序����、發(fā)布了區(qū)域或者更 新了 PIN值時(shí),安全芯片控制模塊110可將芯片訪問權(quán)證的權(quán)證認(rèn)證命令再次發(fā)布至安全 芯片114�,并使安全芯片114再次執(zhí)行芯片訪問權(quán)證認(rèn)證處理。在這種情況下�����,當(dāng)安全芯片 控制模塊110從安全芯片114接收到與之前的錯(cuò)誤代碼相同的錯(cuò)誤代碼時(shí)�����,安全芯片控制 模塊110使用顯示單元122向用戶通知發(fā)生異常�����,并終止應(yīng)用程序����。可通過向系統(tǒng)或裝置提供存儲有用于實(shí)現(xiàn)每個(gè)上述示例性實(shí)施方式的功能的軟 件的程序代碼的存儲介質(zhì)�,并使系統(tǒng)或者裝置的計(jì)算機(jī)(或者CPU,MPU等)讀取并執(zhí)行存 儲在存儲介質(zhì)中的程序代碼���,來實(shí)現(xiàn)本發(fā)明的實(shí)施方式�。在這種情況下���,從存儲介質(zhì)中讀取的程序代碼實(shí)現(xiàn)每個(gè)上述示例性實(shí)施方式的功 能��。用于提供程序代碼的存儲介質(zhì)的實(shí)例包括軟(注冊商標(biāo))盤���、硬盤、磁光盤����、光盤 (諸如 CD-ROM���、CD-R、CD-RW���、DVD-ROM���、DVD-RAM、DVD-RW 和 DVD+RW)�����、磁帶�、非易失性存儲卡、 ROM���?��?蛇x地,可通過網(wǎng)絡(luò)下載程序代碼��。此外����,不僅通過執(zhí)行由計(jì)算機(jī)讀出的程序代碼,而且通過使(在計(jì)算機(jī)上運(yùn)行的) OS(操作系統(tǒng))等基于程序代碼的指令執(zhí)行實(shí)際處理的一部分或者全部�����,來完成每個(gè)上述 的示例性實(shí)施方式的功能����。此外,通過將從存儲介質(zhì)中讀出的程序代碼寫入到(插入計(jì)算機(jī)中的)功能擴(kuò)展 板上設(shè)置的存儲器�,或者寫入到與計(jì)算機(jī)相連接的功能擴(kuò)展單元中,并然后使擴(kuò)展板或者 擴(kuò)展單元中設(shè)置的CPU等根據(jù)程序代碼的指令執(zhí)行實(shí)際處理的一部分或者全部�����,來完成每 個(gè)上述的示例性實(shí)施方式的功能�����?�?梢岳斫獾氖?���,對這里描述的優(yōu)選實(shí)施方式進(jìn)行的各種變化和修改�,對于本領(lǐng)域 技術(shù)人員來說是顯而易見的���?����?梢栽诓幻撾x本發(fā)明主題的精神和范圍�,并不會(huì)減小其預(yù)期 的優(yōu)勢的情況下��,進(jìn)行這樣的變化和修改�����。因此���,旨在將這樣的變化和修改包括在所附的權(quán) 利要求中����。
權(quán)利要求
1.一種集成電路芯片��,包括認(rèn)證控制單元����,被配置為使用認(rèn)證信息對請求進(jìn)行認(rèn)證�����, 其中,所述請求和所述認(rèn)證信息中的至少一個(gè)從所述集成電路芯片外部接收�。
2.根據(jù)權(quán)利要求1所述的集成電路芯片,其中�,所述請求包括可執(zhí)行命令、訪問區(qū)域��、 發(fā)布者識別碼中的至少一個(gè)����。
3.根據(jù)權(quán)利要求1所述的集成電路芯片,其中�,所述認(rèn)證信息包括哈希值。
4.根據(jù)權(quán)利要求1所述的集成電路芯片���,其中�,所述集成電路芯片的發(fā)布設(shè)備產(chǎn)生所 述請求和所述認(rèn)證信息中的至少一個(gè)����。
5.根據(jù)權(quán)利要求4所述的集成電路芯片,其中���,所述發(fā)布設(shè)備向應(yīng)用程序生成者發(fā)布 所述請求和所述認(rèn)證信息中的至少一個(gè)���。
6.根據(jù)權(quán)利要求4所述的集成電路芯片�����,其中�����,所述發(fā)布設(shè)備將與所述請求的訪問區(qū) 域相關(guān)的信息注冊到訪問區(qū)域發(fā)布服務(wù)器��。
7.根據(jù)權(quán)利要求4所述的集成電路芯片����,其中����,所述發(fā)布設(shè)備將與所述請求的訪問區(qū) 域相關(guān)的PIN值注冊到訪問區(qū)域發(fā)布服務(wù)器。
8.根據(jù)權(quán)利要求1所述的集成電路芯片�����,其中,所述集成電路芯片基于下列各項(xiàng)來執(zhí) 行命令(i)關(guān)于應(yīng)用程序被允許執(zhí)行的命令的信息�;以及( )關(guān)于應(yīng)用程序被允許訪問的所述集成電路芯片的存儲區(qū)域的信息。
9.根據(jù)權(quán)利要求1所述的集成電路芯片�,其中,芯片控制模塊 從應(yīng)用程序接收所述請求�����,開啟所述集成電路芯片�����, 向所述集成電路芯片發(fā)布認(rèn)證命令����,以及 將所述請求發(fā)送至所述集成電路芯片���。
10.根據(jù)權(quán)利要求9所述的集成電路芯片�,其中��,在所述集成電路芯片處接收所述請 求�,并且響應(yīng)于所述請求,所述集成電路芯片弓I導(dǎo)對存儲位置的訪問���。
11.根據(jù)權(quán)利要求9所述的集成電路芯片���,其中 認(rèn)證所述請求以判定所述請求是否合法����, 判定所述請求合法����,接受所述請求,所述集成電路芯片向所述芯片控制模塊通知已經(jīng)接受所述請求�,以及 所述芯片控制模塊向所述應(yīng)用程序通知已經(jīng)認(rèn)證所述請求。
12.根據(jù)權(quán)利要求11所述的集成電路芯片����,其中所述應(yīng)用程序調(diào)用用于使用集成電路芯片的芯片操作API, 所述芯片控制模塊將可執(zhí)行命令發(fā)布至所述集成電路芯片�����,所述認(rèn)證控制單元檢查是否允許執(zhí)行所述可執(zhí)行命令���,以及是否允許訪問所述可執(zhí)行 命令的訪問區(qū)域�。
13.根據(jù)權(quán)利要求12所述的集成電路芯片�����,其中 所述集成電路芯片執(zhí)行所述可執(zhí)行命令,所述集成電路芯片向所述芯片控制模塊通知所述可執(zhí)行命令的執(zhí)行結(jié)果��,所述芯片控制模塊向所述應(yīng)用程序通知所述可執(zhí)行命令的執(zhí)行結(jié)果���, 所述應(yīng)用程序請求所述芯片控制模塊終止使用所述集成電路芯片��,以及 所述芯片控制模塊關(guān)閉所述集成電路芯片�。
14.根據(jù)權(quán)利要求13所述的集成電路芯片����,其中�����,擦除所述請求和所述認(rèn)證信息����。
15.根據(jù)權(quán)利要求1所述的集成電路芯片,其中���,在所述請求被認(rèn)證之后�����,由請求合法 訪問的信息被顯示在顯示單元上���。
16.一種信息處理裝置�,包括集成電路芯片�,包括配置為使用認(rèn)證信息對請求進(jìn)行認(rèn)證的認(rèn)證控制單元, 其中���,從所述集成電路芯片外部接收所述請求和所述認(rèn)證信息中的至少一個(gè)���。
17.根據(jù)權(quán)利要求16所述的信息處理裝置,其中����,所述信息處理裝置是便攜式電話。
18.一種信息處理系統(tǒng)�����,包括信息處理裝置�����,包括集成電路芯片,所述集成電路芯片包括配置為使用認(rèn)證信息對請 求進(jìn)行認(rèn)證的認(rèn)證控制單元��,其中���,所述請求和所述認(rèn)證信息中的至少一個(gè)從所述集成電路芯片外部接收���。
19.一種方法,包括由包括認(rèn)證控制單元的集成電路芯片使用認(rèn)證信息對請求進(jìn)行認(rèn)證�����, 其中���,所述請求和所述認(rèn)證信息中的至少一個(gè)從所述集成電路芯片外部接收�。
20.一種存儲程序的存儲介質(zhì)�����,其中�,當(dāng)執(zhí)行所述程序時(shí)�,使得包括認(rèn)證控制單元的集 成電路芯片使用認(rèn)證信息對請求進(jìn)行認(rèn)證,其中�����,所述請求和所述認(rèn)證信息中的至少一個(gè)從所述集成電路芯片外部接收。
全文摘要
本發(fā)明涉及一種IC芯片���、信息處理裝置���、系統(tǒng)、方法和程序�����。IC芯片包括配置為使用認(rèn)證信息對請求進(jìn)行認(rèn)證的認(rèn)證控制單元���。從IC芯片的外部接收請求和/或認(rèn)證信息�����。
文檔編號G06K19/073GK102043978SQ20101051017
公開日2011年5月4日 申請日期2010年10月8日 優(yōu)先權(quán)日2009年10月16日
發(fā)明者關(guān)谷秀一, 加藤晉一, 神野五月, 花木直文 申請人:飛力凱網(wǎng)路股份有限公司