CN100474323C

CN100474323C - 防篡改装置及文件生成方法

Info

Publication number: CN100474323C
Application number: CNB200610064897XA
Authority: CN
Inventors: 森谦作; 寺田雅之; 石井一彦; 本乡节之
Original assignee: NTT Docomo Inc
Current assignee: NTT Docomo Inc
Priority date: 2005-03-18
Filing date: 2006-03-20
Publication date: 2009-04-01
Anticipated expiration: 2026-03-20
Also published as: CN1834975A; EP1710688A3; US7500605B2; KR20060101343A; EP1710688A2; JP2006262393A; KR100774859B1; US20060214006A1

Abstract

生成票证信息等权利价值信息的防篡改装置及文件生成方法。本发明目的在于提供在存储票证信息等权利价值信息的同时，不进行数字签名处理而能够保证该权利价值信息的正当性的防篡改装置及文件生成方法。在安装于便携终端(100)中的IC卡(102)中，从应用程序(101)接收表示权利价值的权利价值信息以及表示权利文件的生成的文件生成消息。在权利价值信息中包含表示权利价值的文件数据、数据尺寸等。在IC卡(102)中，当判断为接收了文件生成消息时，生成包含预先存储在IC卡(102)中的IC卡识别ID和权利价值信息的权利文件。

Description

防篡改装置及文件生成方法

技术领域

本发明涉及生成票证信息等权利价值信息的防篡改(tamperresistant)装置及文件生成方法。

背景技术

现有的IC卡是接收来自外部应用程序的作为文件生成消息的WriteRecord指令，将该WriteRecord指令的数据部的值写入到WEF(working elementaryfile：工作基础文件)的记录区域中，从而能够将数据部作为一个文件来生成。在将该数据部作为表示权利价值的权利价值信息时，IC卡能够存储具有权利价值信息的文件。例如，IC卡对活动入场券等的票证信息进行存储作为权利价值信息，持有该IC卡的持有人在活动场所入口通过读取器读取IC卡的权利价值信息。由此，IC卡能够发挥作为票证的功能。

这里，只要知道权利价值信息的数据结构等数据内容，谁都能够生成具有票证价值的权利价值信息，因此IC卡有必要对权利价值信息进行签名。例如日本特开2005-11239号公报中记载的票证授受系统，能够对票证和终端ID等权利价值信息进行数字签名，将其存储于便携终端中。

但是，当配置在活动场所入口的读取器要对经过数字签名的权利价值信息进行验证时，需要对经数字签名的权利价值信息进行解密。该解密处理需要一定的时间。因此，考虑到包含解密处理在内的验证时间，存在无法在能预料到将很混杂的活动场所入口等处，将存储有经数字签名的权利价值信息的IC卡作为票证使用的问题。另外，在希望使权利价值信息流通的情况下，在使用所述数字签名的方法中，能够使从权利价值信息去除数字签名而重新实施了数字签名后的权利价值信息流通，实质上没有起到签名的作用。

发明内容

因此，本发明目的在于提供防篡改装置及文件生成方法，在存储票证信息等权利价值信息的同时，不进行数字签名处理而能够保证该权利价值信息的正当性。

为了解决所述课题，本发明的防篡改装置存储能够唯一地指定防篡改装置的识别符，所述防篡改装置包括：接收单元，其接收包含表示权利价值的权利价值信息、以及指示权利文件的生成的指示信息的文件生成消息，其中所述权利文件包含该权利价值信息和所述识别符；消息判断单元，其判断在通过所述接收单元接收的文件生成消息中，是否包含表示权利价值的权利价值信息、以及指示包含该权利价值信息和所述识别符的权利文件的生成的指示信息；文件生成单元，当通过所述消息判断单元判断为通过所述接收单元接收的文件生成消息包含有所述权利价值信息以及所述指示信息时，其生成包含所述识别符和所述权利价值信息的权利文件；以及存储单元，其存储通过所述文件生成单元而生成的权利文件。另外，防篡改装置是具有防篡改性的存储装置，是具有阻止来自被许可人以外的访问(非法访问)的能力的存储装置。作为防篡改装置，例如可以举出IC存储器、IC卡等。

另外，本发明的文件生成方法是防篡改装置的文件生成方法，该防篡改装置存储能够唯一地指定防篡改装置的识别符，所述文件生成方法包括：接收步骤，接收包含表示权利价值的权利价值信息、以及指示权利文件生成的指示信息的文件生成消息，其中所述权利文件包含该权利价值信息和所述识别符；消息判断步骤，判断在通过所述接收步骤接收的文件生成消息中，是否包含表示权利价值的权利价值信息、以及指示包含该权利价值信息和所述识别符的权利文件的生成的指示信息；文件生成步骤，当通过所述消息判断步骤判断为在通过所述接收步骤接收的文件生成消息中包含有所述权利价值信息以及所述指示信息时，生成包含所述识别符和所述权利价值信息的权利文件；以及存储步骤，存储通过所述文件生成步骤生成的权利文件。

根据本发明，能够对包含表示权利价值的权利价值信息、以及指示权利文件的生成的指示信息的文件生成消息进行接收，对所接收的文件生成消息中是否包含表示权利价值的权利价值信息以及指示权利文件的生成的指示信息进行判断，当判断为所接收的消息包含权利价值信息以及指示信息时，生成包含识别符和权利价值信息的权利文件并进行存储。由此，能够生成包含识别符和权利价值信息的权利文件，不对权利价值信息实施签名处理，而能够使用包含于权利文件中的识别符，保证权利价值信息的生成源及其正当性。

例如，在该防篡改装置向具有IC卡的其它便携终端输出了包含权利价值信息和识别符的权利文件时，在接收到生成的权利文件的其它便携终端中，权利价值信息的验证通过外部读取器来实现。并且，仅通过外部读取器对权利价值信息和识别符的核对进行验证这种简单处理，能够确认权利价值信息的正当性的同时，与进行签名处理的情况相比能够迅速地进行该处理。

本发明能够生成包含识别符和权利价值信息的权利文件，不对权利价值信息实施签名处理，而能够使用包含于权利文件中的识别符，保证权利价值信息的生成源及其正当性。

附图说明

图1是本实施方式的由便携终端100和便携终端200组成的系统的结构图。

图2是具有作为防篡改装置的IC卡102的便携终端100的结构框图。

图3是文件生成消息的概念图。

图4是说明权利价值信息的概要的概念图。

图5是IC卡102的结构框图。

图6是存储于IC卡102中的文件夹的概念图。

图7是表示应用程序101和IC卡102的动作的流程图。

具体实施方式

通过参照用于表示一个实施方式的附图、考虑以下详细说明能够容易地理解本发明。下面边参照附图边说明本发明的实施方式。在可能的情况下对相同的部分赋予相同的标号，省略重复的说明。

首先使用图1对本发明实施方式的概要进行说明。图1是本实施方式的由便携终端100和便携终端200组成的系统的结构图。便携终端100是生成作为活动入场券等票证信息的权利价值信息的便携终端。便携终端100能够对便携终端200发送权利价值信息(例如票证信息)，接收到权利价值信息的便携终端200的用户能够利用该权利价值信息。

例如，便携终端100是活动举办者等票证销售商所持有的便携终端，该便携终端100构成为可安装作为防篡改装置的IC卡。另外，防篡改装置是具有防篡改性的存储装置，具有阻止来自被许可人以外的访问(非法访问)的能力。作为防篡改装置，例如可以举出IC存储器、IC卡等。并且，便携终端100在通过票证销售商的操作而生成作为电子票证信息的权利价值信息时，生成对权利价值信息赋予了IC卡固有的IC卡识别ID(识别符)的权利文件。该IC卡固有的IC卡识别ID是能够在网络上唯一地指定IC卡的识别信息。

另一方面，便携终端200具有非接触型IC卡，能够通过网络获取便携终端100所生成的权利价值信息。便携终端200的用户通过将装有非接触型IC卡的便携终端200与配置在活动场所入口的非接触型读取器接近，通过非接触型读取器读取在便携终端200中存储的包含权利价值信息和IC卡识别ID的权利文件。另外，便携终端200中具有的IC卡也可以通过红外线通信或蓝牙通信来发送权利价值信息。

在非接触型读取器侧，预先将权利价值信息和IC卡识别ID对应起来存储，通过从便携终端200的非接触型IC卡读出权利价值信息和IC卡识别ID，与预先存储的权利价值信息和IC卡识别ID进行核对，能够判断权利价值信息是否是正当的。在本实施方式中，存储于便携终端100的IC卡中的权利文件使用在具有防篡改性的IC卡之间进行直接通信连接的通信协议，由于被直接转送给便携终端200的IC卡，所以不存在被第三者篡改的余地，在能够判断为IC卡识别ID一致的情况下，能够作为正当的权利价值信息来起作用。另外，由于作为验证对象的识别符没有被加密，所以能够迅速地进行该验证处理。

根据该系统，存储于IC卡中的权利价值信息能够发挥作为票证信息的功能，并且不使用签名技术而能保证权利价值信息的正当性。以下，对能够生成由权利价值信息和IC卡识别ID构成的权利文件的防篡改装置及文件生成方法进行详细说明。

图2是具有作为防篡改装置的IC卡102的便携终端100的结构框图。该便携终端100构成为包括：应用程序101、IC卡102、CPU 103、以及通信部104。

应用程序101是用于生成权利价值信息的应用程序，通过便携终端100的用户进行操作，执行包含权利价值信息和IC卡识别ID的权利文件的生成处理请求。并且，应用程序101根据用户的操作而生成文件生成消息，将该文件生成消息向IC卡102输出。并且，应用程序101能够接收表示已由IC卡102生成了包含权利价值信息和IC卡识别ID的权利文件的完成通知。

关于文件生成消息，在这里使用图3对其具体例进行说明。图3是文件生成消息的概念图。文件生成消息由以下部分构成：表示应用程序101的发送源的应用程序识别ID“ap_id”；作为发送目的地、在每个IC卡中固有地存储的IC卡102的IC卡识别ID“icc_id”；表示文件生成指示的编号信息“mtype”；表示权利价值的数据内容的权利价值信息“data”；以及表示权利价值信息“data”的数据尺寸的“LEN”。另外，应用程序识别ID“ap_id”是在便携终端100内唯一地决定的识别符，IC卡识别ID“icc_id”是在网络上唯一地决定的识别符。

另外，在这里对包含于权利价值信息中的信息进行说明。图4是说明权利价值信息的概要的概念图。如图4所示，在权利价值信息中包含：构成于IC卡102内的多个文件夹中存储该权利价值信息的存储目的地文件夹“folder”；表示权利价值的数据内容的文件数据“fileDATA”；表示权利价值的数据内容“fileDATA”的尺寸的数据尺寸“fileLEN”；访问权限“fileACL”；以及权利价值的个数“fileCNT”。另外，表示访问权限的信息是许可复制权利价值信息的权限信息或者是许可颁布权利信息的权限信息，能够将这些权限信息设定为访问权限。另外，权利价值的个数例如与票证的张数相当。

返回到图2继续说明。IC卡102是存储有在网络上唯一地决定的IC卡识别ID“icc_id”的部分，当该IC卡102接收到从应用程序101发送的文件生成消息时，生成包含在文件生成消息中所包含的权利价值信息、和在IC卡102中存储的IC卡识别ID“icc_id”的权利文件，并存储所生成的权利文件。

以下使用图5对作为防篡改装置的IC卡102的结构进行说明。图5是IC卡102的结构框图。如图5所示，IC卡102构成为包括：接口部102a(接收单元)；CPU 102b(消息判断单元、文件生成单元)；以及存储部102c(存储单元)。

接口部102a是与便携终端100连接成能够进行数据通信的部分，能够从便携终端100接收文件生成消息。

CPU 102b是对IC卡102进行控制的部分，在本实施方式中，CPU 102b是当判断为在文件生成消息中包含权利价值信息“data”和编号信息“mtype”时，生成包含权利价值信息和IC卡识别ID的权利文件的部分。

另外，在存储权利文件时，CPU 102b判断将要存储的权利文件的尺寸是否比形成于IC卡102中的文件夹的一个记录区域的尺寸大，其中该将要存储的权利文件的尺寸是根据包含于权利价值信息中的权利价值的数据尺寸、作为其它参数的访问权限、权利价值的个数等参数的尺寸、以及IC卡识别ID的尺寸而计算的。当权利文件的尺寸比一个记录区域的尺寸小时，CPU 102b将权利文件存储于存储部102c中。

另外，在生成并已存储了权利文件时，CPU 102b经由接口部102a向应用程序101输出表示所生成的权利文件的存储已结束的完成通知。

并且，CPU 102b在判断为权利文件的尺寸比一个记录区域的尺寸大时，判断在生成权利文件时是否发生了异常。具体而言，CPU 102b对由权利价值信息的数据尺寸“LEN”所表示的数值与权利价值信息“data”的实际尺寸是否不同进行判断。另外，CPU 102b判断是否没有在IC卡102中预先将作为发送源的应用程序101的应用程序识别ID存储为所有者、而不能够进行验证。另外，CPU 102b判断由存储目的地文件夹“folder”表示的文件夹是否存在于IC卡102中。另外，CPU 102b判断权利价值的个数“fileCNT”是否为0。另外，CPU 102b判断由权利价值的数据尺寸“fileLEN”表示的数值是否超过最大存储文件尺寸。另外，CPU 102b判断是否有用于新生成文件的空余容量。另外，CPU 102b判断权利文件生成时的权利价值的个数“fileCNT”是否大于规定值。

CPU 102b在判断为生成权利文件时发生了异常的情况下，将与异常对应的错误消息经由接口部102a向应用程序101输出。例如，CPU 102b在由权利价值信息的数据尺寸“LEN”表示的数值与权利价值信息“data”的实际尺寸不同的情况下，输出表示该意思的非法错误消息。另外，CPU102b在没有预先将作为发送源的应用程序101的应用程序识别ID作为所有者而存储、没有正常验证时，输出表示该意思的访问违法错误消息。另外，CPU 102b在IC卡102中不存在由存储目的地文件夹“folder”表示的文件夹时，输出表示文件夹不存在的意思的错误消息。另外，CPU102b在权利价值的个数“fileCNT”为0时，输出表示该意思的非法错误消息。另外，CPU 102b在由权利价值的数据尺寸“fileLEN”表示的数值超过最大存储文件尺寸时，在没有用于新生成文件的空余容量时，输出表示存储器溢出的错误消息。另外，CPU 102b在权利文件生成时的权利价值的个数“fileCNT”比规定值大时，输出表示该意思的错误消息。

存储部102c是存储数据的部分，包含多个文件夹。另外，在该存储部102c中，预先存储有IC卡识别ID。

这里，对表示构成于IC卡102的存储部102c中的存储区域的多个文件夹结构进行说明。图6是存储于IC卡102中的文件夹的概念图。如图6所示，在IC卡102中构成有多个文件夹。文件夹构成为进一步划分成多个记录区域，能够在一个记录区域中存储一个数据(一个文件)。由此，在该一个记录区域中存储一个包含权利价值信息“data”和IC卡102的IC卡识别ID“icc_id”的权利文件。另外，权利文件被赋予在文件夹内唯一决定的文件ID。通过使用该文件ID，能够指定文件夹内的权利文件。另外，在IC卡102中，在所述文件夹之外的区域内预先存储有作为被分配给每个IC卡的识别ID的、能够唯一地识别IC卡102的IC卡识别ID“icc_id”。

返回到图2，CPU 103是对包括应用程序101的便携终端100整体进行控制的控制部分。另外，通信部104是通过网络与通信对方进行通信的部分，能够将存储于IC卡102中的权利文件发送到便携终端200。

对这样构成的便携终端100中的应用程序101和IC卡102的动作进行说明。图7是表示应用程序101和IC卡102的动作的流程图。

应用程序101中，通过便携终端100的用户的操作而进行权利文件生成的意旨的指示，生成文件生成消息(参照图3)(S101)。并且，应用程序101中，以IC卡102为发送目的地而将文件生成消息输出(S102)。

IC卡102中，接收由应用程序101生成的文件生成消息(S201)。另外，判断要在IC卡102中存储的权利文件的尺寸是否比形成于IC卡102的文件夹中的一个记录区域大(S202)。另外，要存储的权利文件的尺寸是根据权利价值信息“data”、和作为发送目的地而记述的IC卡102的IC卡识别ID及文件ID而计算出的。

在IC卡102中，当判断为权利文件的尺寸比一个记录区域小时，通过CPU 102b判断在权利文件生成时是否发生了异常(S203)。例如，在以下情况下通过CPU 102b判断为发生了异常：由权利价值信息的数据尺寸“LEN”表示的数值与权利价值信息“data”的实际尺寸不同时；没有预先将作为发送源的应用程序101的应用程序识别ID作为所有者存储在IC卡102中、而不能够验证时；IC卡102中不存在由存储目的地文件夹“folder”表示的文件夹时；权利价值的个数“fileCNT”为0时；由权利价值的数据尺寸“fileLEN”表示的数值超过最大存储文件尺寸时；没有用于新生成文件的空余容量时；或者权利文件生成时的权利价值的个数“fileCNT”比规定值大时。

在这样通过CPU 102b判断为发生了异常时，通过CPU 102b进行错误处理，输出错误消息(S205)，结束处理。例如，在由权利价值信息的数据尺寸“LEN”表示的数值与权利价值信息“data”的实际尺寸不同的情况下，输出表示该意思的非法错误消息。另外，在没有预先将作为发送源的应用程序101的应用程序识别ID作为所有者而存储、不能够正常验证的情况下，输出表示该意思的访问违法错误消息。另外，在IC卡102中不存在由存储目的地文件夹“folder”表示的文件夹时，输出表示文件夹不存在的意思的错误消息。另外，在权利价值的个数“fileCNT”为0时，输出表示该意思的非法错误消息。另外，在由权利价值的数据尺寸“fileLEN”表示的数值超过最大存储文件尺寸时，在没有用于新生成文件的空余容量时，输出表示存储器溢出的错误消息。另外，在权利文件生成时的权利价值的个数“fileCNT”比规定值大时，输出表示该意思的错误消息(S205)。

在IC卡102中，当判断为未发生异常时，对包含IC卡102的IC卡识别ID和权利价值信息的权利文件赋予文件ID，存储于与权利价值信息中所记述的存储目的地文件夹对应的文件夹的一个记录区域中(S204)。另外，在存储于一个记录区域中时，当存储目的地文件夹中已存在具有相同的权利价值信息的文件数据和IC卡102的识别ID的权利文件时，通过增加权利价值信息中所记述的权利价值的个数，进行权利文件的更新处理。

另外，在IC卡102中，当判断为权利文件的尺寸不小于一个记录区域时，不生成权利文件，进行错误处理后结束(S205)。另外，IC卡102向应用程序101通知发生了错误的意旨。

在储存完成后(或者更新处理后)，在IC卡102中，对应用程序101输出完成通知(S206)。在应用程序101中，接收完成通知，能够把握权利文件的生成已结束的情况(S103)。

这样，在便携终端100的IC卡102中，存储权利价值信息和IC卡102的识别ID作为权利文件。因此，通过用户所持有的便携终端200具有的IC卡从便携终端100取得权利文件，从而该便携终端200的用户能够将权利文件作为票证信息来使用。

这里，在从便携终端100向作为用户的便携终端200输出权利文件时，或者进行与存储于便携终端200中的电子货币的交换交易时，为了不使IC卡102的IC卡识别ID泄露到网络上，有必要对IC卡102的IC卡识别ID进行加密后输出。此时，在接收侧的便携终端200中需要有将被加密的IC卡识别ID解密后存储的功能。

另外，便携终端100通过使用能够进行IC卡间的权利价值的直接通信的预定通信协议(例如Optimistic Fair Exchange Protocol：权利价值的乐观交易协议)，能够进行权利文件的安全交易。通过使用这样的协议，能够防止被第三者篡改等，能够保证赋予给权利价值信息的IC卡识别ID的唯一性。作为权利价值的乐观交换协议，在日本特开2001-143009号公报中有其详细记载。

接下来，对本实施方式的作为防篡改装置的IC卡102的作用效果进行说明。本实施方式的IC卡102通过接口部102a接收包含表示权利价值的权利价值信息和指示权利文件的生成的编号信息的文件生成消息。另外，由CPU 102b判断在所接收的文件生成消息中是否包含表示权利价值的权利价值信息和指示权利文件的生成的编号信息。当通过CPU 102b判断为经由接口部102a接收的文件生成消息包含权利价值信息和编号信息时，CPU 102b可以生成包含IC卡识别ID和权利价值信息的权利文件，存储部102c存储所生成的权利文件。由此，CPU 102b能够生成包含IC卡识别ID和权利价值信息的权利文件，不对权利价值信息实施签名处理，而能够使用包含于权利文件中的IC卡识别ID来保证权利价值信息的生成源及其正当性。

例如，当该作为防篡改装置的IC卡102将包含权利价值信息和IC卡识别编号的权利文件向具有IC卡的其它便携终端200输出时，对于接收到生成的权利文件的其它便携终端200而言，能够通过外部读取器受理来实现权利价值信息的验证。另外，外部读取器仅通过对权利价值信息和识别符的核对进行验证这样的简单处理，即能够确认权利价值信息的正当性，并且与进行签名处理的情况相比能够迅速地进行该处理。

Claims

1、一种防篡改装置，其特征在于，所述防篡改装置包括：

存储单元，其具有存储能够唯一地指定防篡改装置的识别符的区域和存储文件的记录区域；

接收单元，其接收由应用程序根据用户的操作而生成的文件生成消息，该文件生成消息包含表示权利价值的权利价值信息、表示权利文件生成指示的信息以及应用程序识别符，其中所述权利文件包含该权利价值信息和所述识别符；

消息判断单元，其判断在通过所述接收单元接收的文件生成消息中是否包含表示权利价值的权利价值信息、表示权利文件生成指示的信息以及预先存储的应用程序识别符；以及

文件生成单元，当通过所述消息判断单元判断为通过所述接收单元接收的文件生成消息中包含有所述权利价值信息、表示权利文件生成指示的信息以及所述应用程序识别符时，其生成包含所述识别符和所述权利价值信息的权利文件，

其中，所述存储单元将通过所述文件生成单元而生成的权利文件存储到所述记录区域中，以能够将该权利文件发送到外部。

2.一种文件生成方法，其特征在于，包括：

存储步骤，存储能够唯一地指定防篡改装置的识别符和存储文件；

接收步骤，接收由应用程序根据用户的操作而生成的文件生成消息，该文件生成消息包含表示权利价值的权利价值信息、表示权利文件生成指示的信息以及应用程序识别符，其中所述权利文件包含该权利价值信息和所述识别符；

消息判断步骤，判断在通过所述接收步骤接收的文件生成消息中是否包含表示权利价值的权利价值信息、表示权利文件生成指示的信息以及预先存储的应用程序识别符；以及

文件生成步骤，当通过所述消息判断步骤判断为在通过所述接收步骤接收的文件生成消息中包含有所述权利价值信息、表示权利文件生成指示的信息以及所述应用程序识别符时，生成包含所述识别符和所述权利价值信息的权利文件，

其中，所述存储步骤存储通过所述文件生成步骤而生成的权利文件，以能够将该权利文件发送到外部。