カード管理装置およびカード管理システム
【課題】不正なカード装置の製造を抑止することが可能で、ひいてはコンテンツの不正コピーを防止することが可能なカード管理装置およびカード管理システムを提供する。
【解決手段】コントローラ30は、接続状態にある個別情報書き込み装置70との暗号認証を行うための認証情報が暗号IPとして設定され、個別情報書き込み装置との認証処理で肯定的な認証結果が得られると、個別情報書き込み装置から与えられる個別情報を個別情報用不揮発性メモリに暗号化して書き込む機能を有し、個別情報書き込み装置70は、接続状態にあるカード装置のコントローラ30との間で認証処理を行う機能を有し、認証処理で肯定的な認証結果が得られると、カード装置の個別情報をコントローラに転送し、転送した個別情報を個別情報用不揮発性メモリに書き込ませる。
【解決手段】コントローラ30は、接続状態にある個別情報書き込み装置70との暗号認証を行うための認証情報が暗号IPとして設定され、個別情報書き込み装置との認証処理で肯定的な認証結果が得られると、個別情報書き込み装置から与えられる個別情報を個別情報用不揮発性メモリに暗号化して書き込む機能を有し、個別情報書き込み装置70は、接続状態にあるカード装置のコントローラ30との間で認証処理を行う機能を有し、認証処理で肯定的な認証結果が得られると、カード装置の個別情報をコントローラに転送し、転送した個別情報を個別情報用不揮発性メモリに書き込ませる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、メモリカード等のカード装置が、不正に製造されないように管理するためのメモリ管理装置およびカード管理システムに関するものである。
【背景技術】
【0002】
一般的に、動画や音楽などのコンテンツを不正コピーできないようにメモリカードに記録するためには、メモリカードのコンテンツ保護機能を利用する。
【0003】
図1に示すように、メモリカード製造者MM1は、メモリカードを製造するために必要なデータは、メモリカードライセンサML1からすべて受け取っている。
メモリカード製造者MM1側は、たとえば、メディアの個別情報ではユニークID(Media ID)や、コンテンツ保護機能に使用する秘密鍵などについても受け取っている。
当然ながら、一般的に、メモリカードを不正に製造できないことは、メモリカードのライセンス契約によって義務付けられている。
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、もし、メモリカード製造者MM1が、次のような行為を行うことにより、コンテンツ保護機能とは別に不正なコピーを可能にするメモリカードを製造すれば、コンテンツの不正コピーを行うことが技術的に可能である。
その行為とは、メモリカード製造者MM1が、不正にメモリカードのクローン、すなわちメモリカードの個別情報が全く同一のメモリカードを製造したり、コンテンツ保護機能に何らかの不正コピーを可能とするバックドアを設けるなどの行為を含む。
【0005】
上述したように、メモリカードを不正に製造できないことは、メモリカードのライセンス契約によって義務付けられている。
しかし、メモリカード製造者MM1は、上述したようにメモリカードを製造するために必要なデータはすべて受け取っている。
そのため、契約違反になるが、たとえば同じ秘密情報を持ったメモリカードを不正に製造することが可能であり、また、ライセンス契約が無効になったとしても不正なメディアを製造し続けることが原理的に可能である。
【0006】
本発明は、不正なカード装置の製造を抑止することが可能で、ひいてはコンテンツの不正コピーを防止することが可能なカード管理装置およびカード管理システムを提供することにある。
【課題を解決するための手段】
【0007】
本発明の第1の観点のカード管理装置は、あらかじめ暗号IPが実装されたコントローラを含むカード装置と、上記カード装置がデータ転送可能に接続可能で、当該カード装置にあらかじめ割り当てられた個別情報が設定され、当該個別情報を接続状態にあるカード装置に書き込み可能な個別情報書き込み装置と、を有し、上記カード装置は、上記コントローラに、上記個別情報書き込み装置から与えられた上記個別情報が書き込まれる個別情報記録用不揮発性メモリが形成され、上記コントローラは、接続状態にある上記個別情報書き込み装置との暗号認証を行うための認証情報が上記暗号IPとして設定され、上記個別情報書き込み装置との認証処理で肯定的な認証結果が得られると、上記個別情報書き込み装置から与えられる個別情報を上記個別情報用不揮発性メモリに暗号化して書き込む機能を有し、上記個別情報書き込み装置は、接続状態にある上記カード装置のコントローラとの間で上記認証処理を行う機能を有し、当該認証処理で肯定的な認証結果が得られると、上記カード装置の個別情報を当該カード装置の上記コントローラに転送し、当該転送した個別情報を上記個別情報用不揮発性メモリに書き込ませる。
【0008】
本発明の第2の観点のカード管理システムは、少なくともアクティベート情報の通信が可能なアクティベーションサーバと、あらかじめ暗号IPが実装されたコントローラを含むカード装置と、上記カード装置がデータ転送可能に接続可能で、当該カード装置にあらかじめ割り当てられた個別情報が設定され、当該個別情報を接続状態にあるカード装置に書き込み可能で、上記アクティベーションサーバと通信可能な個別情報書き込み装置と、を有し、上記カード装置は、上記コントローラに、上記個別情報書き込み装置から与えられた上記個別情報が書き込まれる個別情報記録用不揮発性メモリが形成され、上記コントローラは、接続状態にある上記個別情報書き込み装置との暗号認証を行うための認証情報が上記暗号IPとして設定され、上記個別情報書き込み装置との認証処理で肯定的な認証結果が得られると、上記個別情報書き込み装置から与えられる個別情報を上記個別情報記録用不揮発性メモリに暗号化して書き込む機能を有し、上記個別情報書き込み装置は、接続状態にある上記カード装置のコントローラとの間で上記認証処理を行う機能を有し、当該認証処理で肯定的な認証結果が得られると、上記カード装置の個別情報を当該カード装置の上記コントローラに転送し、当該転送した個別情報を上記個別情報記録用不揮発性メモリに書き込ませる。
【発明の効果】
【0009】
本発明によれば、不正なカード装置の製造を抑止することが可能で、ひいてはコンテンツの不正コピーを防止することができる。
【図面の簡単な説明】
【0010】
【図1】一般的なメモリカード製造の制御フローを模式的に示す図である。
【図2】本発明の第1の実施形態に係るカード装置の製造管理にかかわるカード管理システムの構成例を示す図である。
【図3】本発明の実施形態に係るメモリカードの構成例を示す図である。
【図4】本発明の実施形態に係る個別情報書き込み治具の構成例を示すブロック図である。
【図5】本実施形態に係る個別情報書き込み治具の個別情報の書き込み処理フローを示す図である。
【図6】本実施形態に係る有効条件確認部の有効確認処理フローを示す図である。
【図7】有効条件記録部の有効条件記述例を示す図である。
【図8】本実施形態に係る個別情報管理部の個別情報の空き確認処理フローを示す図である。
【図9】本実施形態に係る個別情報の構成例を示す図である。
【図10】本実施形態に係る認証およびセッション鍵の生成処理フローを示す図である。
【図11】認証鍵の一例を示す図である。
【図12】個別情報の暗号化および転送処理フローを示す図である。
【図13】本実施形態に係る個別情報管理部における発行完了処理フローを示す図である。
【図14】ログ記録部のログの構成例を示す図である。
【図15】本発明の実施形態に係る個別情報書き込み治具の第2の構成例を示すブロック図である。
【図16】本実施形態に係る個別情報書き込み治具のアクティベート処理フローを示す図である。
【図17】本実施形態に係る個別情報書き込み治具とアクティベーションサーバとの認証フローを示す図である。
【図18】本実施形態に係るデータ更新部のリボーク処理フローを示す図である。
【図19】リボーク情報例を模式的に示す図である。
【図20】複数のコントローラ製造者に異なる認証鍵を与える認証鍵の運用例を示す図である。
【図21】図20のシステムにおいてリボークする場合の一例を示す図である。
【発明を実施するための形態】
【0011】
以下、本発明の実施形態を図面に関連付けて説明する。
なお、説明は以下の順序で行う。
1.カード管理システムの第1の構成例
2.カード管理装置のメモリカードの構成例
3.カード管理装置の個別情報(MediaID)書き込み装置(治具)の第1構成例
4.カード管理装置の個別情報(MediaID)書き込み装置(治具)の第2構成例
【0012】
<1.カード管理システムの構成例>
図2は、本発明の実施形態に係るカード装置の製造管理にかかわるカード管理システムの構成例を示す図である。
【0013】
本カード管理システム10は、カード装置としてのメモリカード20の製造を管理可能なシステムとして構成されている。
カード管理システム10は、基本的に、メモリカード製造および管理にかかわる、メモリカードライセンサ部ML11、コントローラ製造者側部CM11、およびメモリカード製造者側部MM11を含んで形成される。
【0014】
メモリカードライセンサ部ML11は、メモリカード20のコントローラ30に形成される暗号処理機能部としての暗号IP(Intellectual Property)40の製造を行う。
メモリカードライセンサ部ML11で製造された暗号IP40は、信頼できる数社の一つであるコントローラ製造者側部CM11に供給される。
メモリカードライセンサ部ML11は、不正なコントローラ製造者をリボーク(revoke)する機能を有する。
【0015】
メモリカードライセンサ部ML11は、アクティベーションサーバ50を有する。
アクティベーションサーバ50は、専用線や公衆回線により形成されるネットワーク60を介してオンラインで、メモリカード製造者側部MM11に与えられるメディアID等の個別情報書き込み治具70を有効化する(アクティベートする)機能を有する。
個別情報には、メディア(Media)ID等が含まれる。すなわち、個別情報はメディアIDのみに限定されるものではない。ただし、図2では、理解を容易にするために、メディアIDとして示している。
アクティベーションサーバ50は、ネットワーク60を介して個別情報(メディアID)書き込み治具70に対して、暗号IP40に含まれる認証鍵の更新、リボーク情報の伝播、個別情報(メディアID等)の追加発行等の機能を有する。
このように、アクティベーションサーバ50は、カード管理装置100を形成する個別情報書き込み治具70をオンラインで管理する機能を有する。
【0016】
コントローラ製造者側部CM11では、メモリカードライセンサ部ML11から供給される暗号IP40を含む、耐タンパ性のあるコントローラ30が製造される。
ただし、コントローラ製造者側部CM11で製造されるコントローラ30には、メディアIDは記録されていない。
コントローラ製造者側部CM11で製造されるコントローラ30は、メモリカード製造者側部MM11に供給される。
【0017】
メモリカード製造者側部MM11では、コントローラ製造者側部CM11で製造されるコントローラ30を用いてメモリカード20が製造される。
メモリカード製造者側部MM11においては、メモリカード製造時に、個別情報(メディアID)書き込み治具70により個別情報(メディアID等)がコントローラ30に記録される(書き込まれる)。
このように、メモリカード製造者側部MM11で製造されるメモリカード20およびメディアID書き込み治具70により、本発明の実施形態に係るカード管理装置100が形成される。
【0018】
以上説明したような構成を有するカード管理システム10は、以下の特徴を有する。
カード管理システム10は、コントローラ製造者とメモリカード製造者を分離することにより、メモリカード製造者が不正なメモリカード20を製造することを困難にしている。
コントローラ製造者に対しては、ビジネス上、信頼できる数社に限定することにより不正を行うリスクを低減できるが、万一、コントローラ製造者が不正を働いた場合に対しても、コントローラ製造者をリボークして製造を止めることが可能である。
さらに、メモリカード製造者が何らかの不正行為があったとしても、コントローラ30の供給を止めるか、メディア(Media)ID書き込み治具70をアクティベートしないことにより、メモリカード20の製造を止めることが可能である。
また、付帯的な効果として、コントローラ製造時には個別の情報を書き込む必要性がないため、コントローラの製造コストを低減できるという利点がある。
さらに、たとえばメモリカードライセンサ部ML11は、メモリカード製造者から、直接、個別情報、たとえばメディアID発行費用を徴収することが可能である。
このため、コントローラ製造者にとっては、メディアID発行費用分をコントローラ30の価格に上積みせずに、コントローラ30に対し弾力的な価格を設定することができる。
【0019】
以下に、本カード管理システム10の上記特徴を実現するための主構成部であるカード管理装置100の具体的な構成および機能について説明する。
カード管理装置100は、上述したように、カード装置としてのメモリカード20および個別情報書き込み治具70により構成される。
まず、メモリカード20の構成および機能について説明する。
【0020】
<2.カード管理装置のメモリカードの構成例>
図3は、本発明の実施形態に係るメモリカードの構成例を示す図である。
【0021】
メモリカード20は、コントローラ製造者側部CM11であらかじめ製造され、供給されるコントローラ30、ストレージ用不揮発性メモリであるフラッシュメモリ210、およびホストまたは個別情報書き込み治具70とのメモリインタフェース220を有する。
メモリインタフェース220は、接続端子221を含んで構成される。ただし、図3においては、メモリインタフェース220の機能ブロックは省略されている。
メモリカード20は、メモリインタフェース220を通してホストや個別情報書き込み治具70とデータ転送可能に接続可能である。
【0022】
なお、ホストとしては、パーソナルコンピュータ(PC)、ビデオカメラ、デジタルカメラ等の高性能機器を例示することができる。
換言すると、メモリカード20は、PC、ビデオカメラ、デジタルカメラ等の高性能機器のリムーバブルメディアとして用いられる。
メモリカード20は、フラッシュメモリ210をメインストレージ領域として有している。
【0023】
コントローラ30は、ホストまたは個別情報書き込み治具70とのインタフェースの制御、フラッシュメモリ210のアクセス制御機能を有する。
【0024】
そして、コントローラ30は、メモリカードライセンサ部ML11からコントローラ製造者側部CM11に供給された暗号IP40および個別情報(メディアID等)記録用不揮発性メモリ310を含んで構成されている。
【0025】
暗号IP40は、暗号処理機能部として機能する。
暗号IP40は、メモリカードライセンサ部ML11においてあらかじめ与えられた認証機能や秘密鍵等を含んで形成されている。
暗号IP40は、図3に示すように、個別情報書き込み治具70との認証機能および個別情報(メディアID等)取得機能部410、およびコンテンツ保護機能部420を有する。
暗号IP40は、さらにメディアID書き込み治具70との認証用秘密鍵430、およびメディアID等の個別情報記録用秘密鍵440を有する。
【0026】
このように、コントローラ30は、個別情報としてのメディアID等を書き込む個別情報書き込み治具70との暗号認証を行うための機能および認証情報としての秘密鍵が、コントローラ製造者側部CM11であらかじめ設定されている。
コントローラ30は、メモリカード20がメディアID書き込み治具70に接続されると、メモリインタフェース220を通してメディアID書き込み治具70との認証を行うための乱数などのデータの授受を行う。
コントローラ30は、暗号認証処理において肯定的な認証結果が得られると、メディアID書き込み治具70から与えられるメディアID(個別情報)を個別情報(メディアID)記録用不揮発性メモリ310に暗号化して書き込む。
【0027】
個別情報記録用不揮発性メモリ310に記録されるデータは、メディアIDだけでなく、暗号IP40の暗号アプリケーションで使用される秘密鍵など、メディア個別に記録されるデータを含む。
【0028】
<3.カード管理装置の個別情報書き込み治具の第1の構成例>
図4は、本発明の実施形態に係る個別情報書き込み治具の第1の構成例を示すブロック図である。
図4は、個別情報書き込み治具70の書き込み機能ブロックの構成例を示している。
なお、個別情報書き込み治具70は、専用の個別治具として形成することも可能であるが、たとえばPCをベースにした装置であっても、USBドングルのような装置であってもよい。
【0029】
図4の個別情報書き込み治具70は、メモリカード20の端子221が接続されるコネクタ部701、個別情報書き込み制御部702、有効条件確認部703、有効条件記録部704、暗号処理部705、および認証鍵記録部706を有する。
メディアID書き込み治具70は、個別情報管理部707、個別情報記録部708、ログ記録部709、および外部から改ざんが不可能な時計であるセキュアクロック710を有する。
【0030】
個別情報書き込み制御部702は、コネクタ部701にメモリカード20の端子221が接続されたことを確認すると、有効条件確認部703に対しての有効条件の確認要求、個別情報管理部707を通して個別情報の空きがあるか否かの確認を行う機能を有する。
個別情報書き込み制御部702は、個別情報の空き確認すると、暗号処理部705を通して認証を開始し、認証プロトコルに従ったメモリカード20のコントローラ30の暗号IP40との間での認証処理の制御を行う。この認証処理は暗号処理部705が行う。
個別情報書き込み制御部702は、肯定的な認証結果が得られると、個別情報管理部707を通して個別情報(メディアIDなど)の取得処理を行い、暗号処理部705による個別情報の暗号化制御を行う。
個別情報書き込み制御部702は、個別情報が暗号化された後、暗号化された個別情報をメモリカード20に転送して不揮発性メモリ231に書き込ませる制御を行う。
【0031】
有効条件確認部703は、個別情報書き込み制御部702により有効条件の確認要求を受けて、現状が有効条件記録部704に記録されている有効条件を満足しているか否かを判定し、その結果を個別情報書き込み制御部702に報知する。
【0032】
暗号処理部705は、個別情報書き込み制御部702による認証開始指令を受けると、次の暗号化処理を行う。
暗号処理部705は、認証鍵記録部706の記録データを参照して認証プロトコルに従ったメモリカード20のコントローラ30の暗号IP40との間での認証処理を行い、認証結果を個別情報書き込み制御部702に報知する。
暗号処理部705は、認証プロトコルに従って認証およびセッション鍵の生成を行う。
【0033】
個別情報管理部707は、個別情報書き込み制御部702からの個別情報の空き確認要求を受けると、個別情報記録部708における個別情報の使用状況を確認し、個別情報に空きがあるか否かを確認し、その結果を個別情報書き込み制御部702に報知する。
個別情報管理部707は、個別情報書き込み制御部702からの個別情報の取得要求を受けると、個別情報記録部708の未使用のメディアID等の個別情報を個別情報書き込み制御部702に出力する。
個別情報管理部707は、個別情報書き込み制御部702から個別情報の発行が完了した旨の情報を受けると、個別情報記録部708の発行した個別情報を使用済みに更新し、ログ記録部709にログを記録する。
個別情報管理部707は、たとえばログ記録部709のログをインクリメントする。
【0034】
[個別情報書き込み治具の書き込み処理]
次に、本実施形態に係る個別情報書き込み治具70の個別情報の書き込み処理について、図5〜図14に関連付けて説明する。
図5は、本実施形態に係る個別情報書き込み治具の個別情報の書き込み処理フローを示す図である。
【0035】
コネクタ部701にメモリカード20の端子221が接続されたことを確認すると、個別情報書き込み制御部702が、有効条件確認部703に対して有効条件の確認要求を行う(ST1)。
個別情報書き込み制御部702から有効条件の確認要求を受けると、有効条件確認部703は、現状が有効条件記録部704に記録されている有効条件を満足しているか否かを判別し、判別結果を個別情報書き込み制御部702に報知する(ST2)。
【0036】
図6は、本実施形態に係る有効条件確認部の有効確認処理フローを示す図である。
図7は、有効条件記録部の有効条件記述例を示す図である。
図7では、有効条件として、有効期限および個別情報の最大発行回数が例示されている。この例では、有効期限は「2009/05/15、23:59:59」に設定され、最大発行回数は「100000」回に設定されている。
【0037】
個別情報書き込み制御部702から有効条件の確認要求を受けると、有効条件確認部703は、有効条件記録部704から有効条件を取得する(ST21)。
有効条件確認部703は、セキュアクロック710から現在時刻を取得し(ST22)、ログ記録部709からログを取得する(ST23)。
次に、有効条件確認部703は、セキュアクロック710から取得した現在時刻が有効期限内か否かを判別する(ST24)。
ステップST24において、取得した現在時刻が有効期限内であると判別すると、有効条件確認部703は、ログによる発行済み回数が、最大発行回数未満か否かを判別する(ST25)。
ステップST25において、発行済み回数が最大発行回数未満であると判別すると、有効条件確認部703は、現状は有効条件を満足し、有効(OK)である旨を個別情報書き込み制御部702に報知する。
ステップST23において、現在時刻が有効期限内でないと判別した場合、または発行済み回数が最大発行回数未満でないと判別すると、有効条件確認部703は、現状は有効条件を満足せず、無効(NG)である旨を個別情報書き込み制御部702に報知する。
【0038】
図5の処理に戻る。
有効条件が有効である旨を報知された個別情報書き込み制御部702は、個別情報管理部707に対して個別情報に未使用のものがあり空きがあるかの確認要求を行う(ST3)。
個別情報の空き確認要求を受けると、個別情報管理部707は、個別情報記録部708における個別情報の使用状況を確認し、個別情報に空きがあるか否かを確認し、その結果を個別情報書き込み制御部702に報知する(ST4)。
【0039】
図8は、本実施形態に係る個別情報管理部の個別情報の空き確認処理フローを示す図である。
【0040】
個別情報管理部707は、個別情報記録部708に記録されている個別情報を調べ(ST41)、未使用の個別情報があるか否かを判別する(ST42)。
ステップST42において、未使用の個別情報があると判別すると、個別情報管理部707は、個別情報を発行可能(OK)である旨を個別情報書き込み制御部702に報知する。
一方、ステップST42において、未使用の個別情報がないと判別すると、個別情報管理部707は、個別情報を発行不可能(NG)である旨を個別情報書き込み制御部702に報知する。
【0041】
図9(A)および(B)は、本実施形態に係る個別情報の構成例を示す図である。
【0042】
図9(A)は、個別情報の第1の構成例を示している。
この例では、個別情報として、「メディアID」7081と「コンテンツ保護用秘密鍵」7082を含む。
また、個別情報が使用済みであるかを示す情報の書き込みフィールド7083を含む。
【0043】
図9(A)では、メディアIDが「00000000 FFFFFFFF 12345678 00000001」で、コンテンツ保護用秘密鍵が「AD124EDC EFFF7721 90821AB4 ED0081AD」で、この個別情報は使用済みであることを示している。
メディアIDが「00000000 FFFFFFFF 12345678 00000002」で、コンテンツ保護用秘密鍵が「CC326478 D910AC34 BD482DA0 C8E3E45B」で、この個別情報は使用済みであることを示している。
メディアIDが「00000000 FFFFFFFF 12345678 00000003」で、コンテンツ保護用秘密鍵が「910ADF64 EF55ACB1 89ADCBE1 33AADDFF」で、この個別情報は未使用であることを示している。
【0044】
図9(B)では、個別情報がメディアIDだけのシンプルなパターンを示している。
この例では、割り当て可能なメディアIDのプレフィックス値が「00000000 FFFFFFFF 12345678 」の固定値に設定されている。
そして、次に割り当てるメディアIDは、「00000002」で発行済み処理時にインクリメントする。この場合、「FFFFFFFFh」まで発行すると使用不可とする。
発行されるメディアIDは、「00000000 FFFFFFFF 12345678 00000002」である。
【0045】
図5の処理に戻る。
個別情報の空きが確認されると、個別情報書き込み制御部702は、暗号処理部705に対して認証開始指示を出す(ST5)。
個別情報書き込み制御部702による認証開始指令を受けると、暗号処理部705は、認証鍵記録部706の記録データを参照して認証プロトコルに従ったメモリカード20のコントローラ30の暗号IP40との間での認証処理を行う(ST6)。
暗号処理部705は、認証プロトコルに従って認証およびセッション鍵の生成を行う。
暗号処理部705は、認証結果を個別情報書き込み制御部702に報知する(ST7)。
【0046】
図10は、本実施形態に係る認証およびセッション鍵の生成処理フローを示す図である。
図11は、認証鍵の一例を示す図である。
【0047】
この場合、個別情報書き込み治具70は、メモリカード20との認証用秘密鍵Ka_n、Knの識別番号n({Ka_n. n}は複数持ってよい)、使用可能なMedia ID(k:1-m個持っている)Media ID_kを有している。
同様に、メモリカード20は、個別情報書き込み治具70との認証用秘密鍵Ka_n、Knの識別番号n({Ka_n. n}は複数持ってよい)、個別情報(メディアID)記録用秘密鍵Ksを有している。
【0048】
図11の例では、鍵番号K1の認証用秘密鍵は「9C234EDC AACC7721 90821AB4 ED3381A1」である。
鍵番号K2の認証用秘密鍵は「012AE34B CE357212 899ADDFF EE43e521」である。
鍵番号K3の認証用秘密鍵は「12174626 AF8812AC BEEE4467 33E3FFA1」である。
【0049】
図10の処理において、前提として、個別情報書き込み治具70がアクティベーションサーバ50により有効化(アクティベート)されているものとする。
【0050】
個別情報書き込み治具70において、暗号処理部705が乱数R1を生成し、また、使用する認証用秘密鍵nを選択してメモリカード20に転送する(ST61)。
メモリカード20においては、コントローラ30が乱数R2を生成し、指定されたnに対応する認証用秘密鍵Ka_nを探す。無ければ最初からやり直す。
次に、メモリカード20のコントローラ30はMACを作成する(MAC1 = MAC(Ka_n, R1||R2))。
メモリカード20のコントローラ30は、生成した乱数R2およびMAC1を個別情報書き込み治具70に転送する。(ST62)。
【0051】
個別情報書き込み治具70の暗号処理部705は、MACの検証を行う。
ここで、暗号処理部705は、MAC1' = MAC(Ka_n, R1||R2)でMAC1' = MAC1ならば認証が成功したものと判断する。
暗号処理部705は、MAC2を生成する。この場合、MAC2 = MAC(Ka_n, ||R2||R1)である。
暗号処理部705は、Media ID_kを発行する。暗号処理部705は、1回発行すれば使用済みにする。暗号処理部705は、メディアID記録用秘密鍵KsをMAC2に関連付け暗号化する(Ks = Enc(Ka_n, MAC1 || MAC2) )。
そして、暗号処理部705は、生成したMAC2をメモリカード20に転送する(ST63)
【0052】
メモリカード20のコントローラ30は、MACの検証を行う。
ここで、コントローラ30は、MAC2' = MAC(Ka_n, R2||R1)でMAC2' = MAC2ならば認証が成功したものと判断する。また、コントローラ30は、メディアID記録用秘密鍵Ksを暗号化する(Ks = Enc(Ka_n, MAC1 || MAC2))。
【0053】
図5の処理に戻る。
個別情報書き込み制御部702は、暗号処理部705から認証がとれたことが報知されると、個別情報の取得要求を個別情報管理部707に出す(ST8)。
個別情報の取得要求を受けた個別情報管理部707は、個別情報記録部708の未使用の個別情報(メディアIDなど)を個別情報書き込み制御部702に出力する(ST9)。
個別情報を受け取った個別情報書き込み制御部702は、その個別情報の暗号化要求を暗号処理部705に出す(ST10)。
これに応じて暗号処理部705は、セッション鍵で暗号化した個別情報を個別情報書き込み制御部702に出力する(ST11)。
個別情報書き込み制御部702は、個別情報の発行完了を個別情報管理部707に通知し(ST12)、メモリカード20にセッション鍵で暗号化された個別情報を転送する(ST13)。個別情報管理部707は、個別情報の発行完了通知を受けて発行完了処理を行う。
メモリカード20のコントローラ30では、個別情報書き込み治具70から転送された個別情報が不揮発性メモリ310に記録される。
そして、コントローラ30は、個別情報の書き込みが完了したことを個別情報書き込み治具70に通知する(ST14)。
【0054】
図12は、個別情報の暗号化および転送処理フローを示す図である。
【0055】
この場合も、個別情報書き込み治具70は、メモリカード20との認証用秘密鍵Ka_n、Knの識別番号n({Ka_n. n}は複数持ってよい)、使用可能なMedia ID(k:1-m個持っている)Media ID_kを有している。
同様に、メモリカード20は、個別情報書き込み治具70との認証用秘密鍵Ka_n、Knの識別番号n({Ka_n. n}は複数持ってよい)、メディアID記録用秘密鍵Ksを有している。
【0056】
この場合、個別情報書き込み治具70およびメモリカード20は、セッション鍵Ksを共有している。
個別情報書き込み治具70の暗号処理部705は、個別情報およびセッション鍵Ksを暗号化して、MAC3を生成して、生成した暗号化データおよびMAC3をメモリカード20に転送する(ST131)。
この場合、暗号化データは、EncData = Enc(Ks, Media ID) であり、MAC3はMAC3 = MAC(Ks, EncData)である。
【0057】
メモリカード20のコントローラ30では、MACの検証を行う。
ここで、コントローラ30は、MAC3' = MAC(Ks, EncData)で MAC3' = MACならば成功しものと判断する。
コントローラ30は、個別情報であるメディアIDをデコードし(Media ID =Dec(Ks, EncData))、メディアIDをメディアID(Media ID)暗号鍵で暗号化して、暗号化したメディアIDを不揮発性メモリ310に記録する。
【0058】
図13は、本実施形態に係る個別情報管理部における発行完了処理フローを示す図である。
図14は、ログ記録部のログの構成例を示す図である。
【0059】
個別情報管理部707は、発行完了通知を受けると、個別情報記録部708の発行した個別情報を使用済みに更新する(ST121)。
そして、個別情報管理部707は、ログ記録部709に対してログの記録を行う(ST122)。
図14の例では、個別情報管理部707は、発行済み回数をインクリメントする。
この収集したログ情報は、たとえばメディアIDなどの個別情報を払い出した代価として課金などに応用される。
【0060】
<4.カード管理装置の個別情報書き込み治具の第2の構成例>
図15は、本発明の実施形態に係る個別情報書き込み治具の第2の構成例を示すブロック図である。
図15は、個別情報書き込み治具70Aのアクティベート機能ブロックの構成例を示している。
なお、図15において、図4の構成と同一構成部分は同一符号をもって表している。
【0061】
図15の個別情報書き込み治具70Aは、アクティベート処理制御部711、暗号処理部712、アクティベート用認証鍵記録部713、データ更新部714、およびセキュアクロック設定部715を有する。
個別情報書き込み治具70Aは、有効条件記録部704、認証鍵記録部706、個別情報記録部708、ログ記録部709、および外部から改ざんが不可能な時計であるセキュアクロック710を有する。
【0062】
アクティベート処理制御部711は、ネットワーク60を介してアクティベーションサーバ50との通信制御を行う機能を有する。
アクティベート処理制御部711は、アクティベート処理を行う場合、アクティベーションサーバ50との認証処理を行うように、暗号処理部712に対して認証開始指示を出す。
アクティベート処理制御部711は、暗号処理部712により認証処理の結果を受けて、肯定的な認証結果が得られると、アクティベーションサーバ50とのネットワーク60を介した通信処理を行う。
なお、アクティベート処理制御部711がアクティベーションサーバ50と送受信するデータは暗号化され、受信データは暗号処理部712で復号される。
【0063】
アクティベート処理制御部711は、たとえばアクティベーションサーバ50に対してリボーク情報要求を出し、リボーク情報が送信されてくると、リボーク情報をデータ更新部714に供給し、認証鍵記録部706の認証鍵のリボーク(無効化)を行わせる。
アクティベート処理制御部711は、たとえばアクティベーションサーバ50に対して認証鍵追加要求を出し、追加認証鍵が送信されてくると、追加認証鍵情報をデータ更新部714に供給し、認証鍵記録部706の認証鍵の追加を行わせる。
アクティベート処理制御部711は、たとえばアクティベーションサーバ50に対してセキュアクロック更新要求を出し、現在時刻情報が送信されてくると、現在時刻情報をセキュアクロック設定部715に供給し、セキュアクロック710の設定を行わせる。
【0064】
アクティベート処理制御部711は、たとえばアクティベーションサーバ50に対して有効条件更新要求を出し、有効条件情報が送信されてくると、有効条件情報をデータ更新部714に供給し、有効条件記録部704の有効条件を更新させる。
なお、誤差の小さいクロックであれば、通信ごとの毎回更新する必要はない。
アクティベート処理制御部711は、たとえばアクティベーションサーバ50に対して個別情報の更新要求を出し、個別情報が送信されてくると、個別情報をデータ更新部714に供給し、個別情報記録部708の個別情報を更新させる。
アクティベート処理制御部711は、データ更新部714にログ取得要求を出し、その結果得られたログ情報をアクティベーションサーバ50に対して送信する機能を有する。
【0065】
なお、アクティベート処理制御部711は、リボーク情報、認証鍵追加、セキュアクロック更新、有効条件更新、個別情報更新の各要求機能をうち、最小限、有効条件を更新する機能を持つように構成することも可能である。
この場合、リボークなどがある場合には、アクティベートせずに、個別情報書き込み治具70Aごと入れ替えるようにすることも可能である。
【0066】
暗号処理部712は、アクティベート処理制御部711による認証開始指令を受けると、アクティベーションサーバ50との認証処理を行う。
暗号処理部712は、アクティベート用認証鍵記録部713の記録データを参照して認証プロトコルに従ったアクティベーションサーバ50との間での認証処理を行い、認証結果をアクティベート処理制御部711に報知する。
暗号処理部712は、認証プロトコルに従って認証およびセッション鍵の生成を行う。
【0067】
データ更新部714は、アクティベート処理制御部711を通してアクティベーションサーバ50から転送されてきたリボーク情報を受けると、認証鍵記録部706の認証鍵のリボーク(無効化)を行う。
データ更新部714は、アクティベート処理制御部711を通してアクティベーションサーバ50から転送されてきた追加認証鍵情報を受けるとし、認証鍵記録部706の認証鍵の追加を行う。
データ更新部714は、アクティベート処理制御部711を通してアクティベーションサーバ50から転送されてきた有効条件情報を受けると、有効条件記録部704の有効条件を更新する。
データ更新部714は、アクティベート処理制御部711を通してアクティベーションサーバ50から転送されてきた個別情報を受けると、個別情報記録部708の個別情報を更新する。
【0068】
セキュアクロック設定部715は、アクティベート処理制御部711を通してアクティベーションサーバ50から転送されてきた現在時刻情報を受けると、セキュアクロック710の設定を行う。
【0069】
[個別情報書き込み治具のアクティベート処理]
次に、本実施形態に係る個別情報書き込み治具70Aのアクティベート処理について、図16〜図19に関連付けて説明する。
図16は、本実施形態に係る個別情報書き込み治具のアクティベート処理フローを示す図である。
【0070】
アクティベート処理制御部711は、アクティベート処理を行う場合、アクティベーションサーバ50との認証処理を行うように、暗号処理部712に対して認証開始指示を出す(ST101)。
暗号処理部712は、アクティベート処理制御部711による認証開始指令を受けるとアクティベート用認証鍵記録部713の記録データを参照して認証プロトコルに従ったアクティベーションサーバ50との間での認証処理を行う(ST102)。
暗号処理部712は、認証プロトコルに従って認証およびセッション鍵の生成を行う。
暗号処理部712は、認証結果をアクティベート処理制御部711に報知する(ST103)。
【0071】
図17は、本実施形態に係る個別情報書き込み治具とアクティベーションサーバとの認証フローを示す図である。
【0072】
この場合、個別情報書き込み治具70とアクティベーションサーバ50は、相互認証および鍵共有(SSLなど)を前提としている。
個別情報書き込み治具70とアクティベーションサーバ50は、認証後はすべて暗号通信を行う。
認証によって、アクティベーションサーバ50側はどの個別情報(Media ID)書き込み治具かも認識することができる。
【0073】
アクティベート処理制御部711は、暗号処理部712により認証処理の結果を受けて、肯定的な認証結果が得られると、アクティベーションサーバ50とのネットワーク60を介した通信処理を行う。
【0074】
アクティベート処理制御部711は、たとえばアクティベーションサーバ50に対してリボーク情報要求を出す(ST104)。
アクティベート処理制御部711が、リボーク情報が転送されてくると、リボーク情報をデータ更新部714に供給する(ST105)。
【0075】
以下に、リボーク情報に関する個別情報書き込み治具70とアクティベーションサーバ50間のデータ形式例を示す。
【0076】
[リボーク情報例]
<keys operation="revoke">
<key number = "2" />
<key hash = "3ACDFE729492A0188811AD342CBEAA" />
</keys>
【0077】
リボークする鍵は鍵の番号を指定する。上記例ではnumber属性が例示されている。
もしくは、SHA-1などによる鍵のハッシュ値で指定してもよい。上記例ではhash属性が例示されている。
【0078】
データ更新部714は、リボーク情報を受けて認証鍵記録部706における認証鍵のリボーク(無効化)を行う。
【0079】
図18は、本実施形態に係るデータ更新部のリボーク処理フローを示す図である。
図19は、リボーク情報例を模式的に示す図である。
【0080】
図18に示すように、データ更新部714は、リボーク情報に合致する認証鍵を認証鍵記録部706の記録データから削除する。
【0081】
また、アクティベート処理制御部711は、たとえばアクティベーションサーバ50に対して認証鍵追加要求を出す(ST107)。
アクティベート処理制御部711は、追加認証鍵が転送されてくると、追加認証鍵情報をデータ更新部714に供給する(ST108)。
データ更新部714は、認証鍵記録部706における認証鍵の追加を行う(ST109)。
【0082】
以下に、追加認証鍵に関する個別情報書き込み治具70とアクティベーションサーバ50間のデータ形式例を示す。
【0083】
[追加認証鍵例]
<keys operation="add">
<key number = "4">
AD7E3901 ADCB38A9 001ACC34 00BE5452
</key>
<key number = "5">
CC012AAE 843CBD91 EE32AFFE 33918CCD
</key>
</keys>
【0084】
また、アクティベート処理制御部711は、たとえばアクティベーションサーバ50に対してセキュアクロック更新要求を出す(ST110)。
アクティベート処理制御部711は、現在時刻情報が転送されてくると、現在時刻情報をセキュアクロック設定部715に供給する(ST111)。
セキュアクロック設定部715は、供給された現在時刻情報によりセキュアクロック710の設定を行う(ST112)。
【0085】
以下に、セキュアクロック設定用の現在時刻に関する個別情報書き込み治具70とアクティベーションサーバ50間のデータ形式例を示す。
【0086】
[セキュアクロック設定用の現在時刻]
<trustedtime>
2009-05-10T10:00:00Z
</trustedtime>
【0087】
なお、アクティベーションサーバ50と個別情報書き込み冶具70の間の通信がhttps(http over SSL)の場合には、httpのヘッダに含まれるデート(Date)フィールドを利用してもよい。
【0088】
アクティベート処理制御部711は、たとえばアクティベーションサーバ50に対して有効条件更新要求を出す(ST113)。
アクティベート処理制御部711は、有効条件情報が転送されてくると、有効条件情報をデータ更新部714に供給する(ST114)。
データ更新部714は、有効条件記録部704の有効条件を更新する(ST115)。
【0089】
以下に、有効条件に関する個別情報書き込み治具70とアクティベーションサーバ50間のデータ形式例を示す。
【0090】
[有効条件]
<validity>
<expire>2010-10-10T23:59:59Z
</expire>
<maxcount>100000</maxcount>
</validity>
【0091】
また、アクティベート処理制御部711は、たとえばアクティベーションサーバ50に対して個別情報の更新要求を出す(ST116)。
アクティベート処理制御部711は、個別情報が転送されてくると、個別情報をデータ更新部714に供給する(ST117)。
データ更新部714は、個別情報記録部708の個別情報を更新する(ST118)。
【0092】
以下に、個別情報に関する個別情報書き込み治具70とアクティベーションサーバ50間のデータ形式例を示す。
【0093】
[個別情報 例1]
<cardinfolist>
<cardinfo>
<mediaid>00000000FFFFFFFF1234567800000001</mediaid>
<cps>
<secretkey>AC3248A190CbE91244AE229102FDDE0AC32</secretkey>
<certificate>6IKqifyR2IK1gr2BQg0KICAgrGC6oLngsy5oLo
4mQ4OTggsaNbIKgsSCooLpIa0DQqIyI/jDQo=</certificate>
</cps>
</cardinfo>
<cardinfo>
<mediaid>00000000FFFFFFFF1234567800000001</mediaid>
<cps>
<secretkey>AC3248A190CbE91244AE2291E269DE0AC32</secretkey>
<certificate>AIKqifyR2IK1gc2BQgeKICAgqqC643Lng2y5o1o
g4gQ6OTgSsaNbIKgsSCooLAIa0DqIDyI/jDQo=</certificate>
</cps>
</cardinfo>
:
</cardinfolist>
【0094】
この例1では、個別情報としてメディアID、秘密鍵を含む。
【0095】
[個別情報 例2 (Media IDだけのシンプルなもの)]
<cardinfo>
<mediaid>
<prefix>00000000FFFFFFFF12345678</prefix>
</mediaid>
</cardinfo>
【0096】
この例2は、個別情報がメディアIDだけのシンプルなものが例示されている。
例2は、Prefix + 00000000 〜 Prefix + FFFFFFFF まで連続的に発行して良い場合の例を示している。
【0097】
また、アクティベート処理制御部711は、データ更新部714にログ取得要求を出す(ST119)。
アクティベート処理制御部711は、その結果得られたログ情報をアクティベーションサーバ50に対して送信する(ST120)。
【0098】
以上のように、図2に示すカード管理システム10は、不正にメモリカード20を製造できなくすることが可能である。
メモリカード製造者MM11のリボークは、図2に示すように、アクティベーションサーバ50と通信した際に更新しないか、もしくは個別情報書き込み冶具70をこれ以上提供しなければリボークできる。
【0099】
コントローラ製造者CM11のリボークについて、図20および図21に関連付けて説明する。
【0100】
図20は、複数のコントローラ製造者に異なる認証鍵を与える認証鍵の運用例を示す図である。
図21は、図20のシステムにおいてリボークする場合の一例を示す図である。
【0101】
図20のカード管理システムでは、メモリカードライセンサ部ML11がそれぞれ異なる認証鍵 Ka_1、Ka_2、Ka_3 を含む暗号IP40を、それぞれ異なるコントローラ製造者CM11−1,CM11−2,CM11−3に供給する。
コントローラ製造者CM11−1はコントローラ30−1を製造し、コントローラ製造者CM11−2はコントローラ30−2を製造し、コントローラ製造者CM11−3はコントローラ30−3を製造する。
メモリカード製造者MM11は、コントローラ30−1、コントローラ30−2、コントローラ30−3のうちのいずれのコントローラを用いてもメモリカードを製造することができる。
個別情報書き込み治具70は、認証鍵 Ka_1、Ka_2、Ka_3のいずれも使用可能に形成されている。
【0102】
このようなメモリ管理システムにおいて、たとえば図21に示すように、コントローラ製造者CL11−1が不正なコントローラを製造したとする。
この場合、アクティベーションサーバ50から認証鍵Ka_1をリボーク情報が個別情報書き込み治具70に転送される。このとき、アクティベーションサーバ50は、アクティベートするタイミングでリボーク情報を個別情報書き込み治具70に伝播させることにより、確実にリボークすることができる。
そして、個別情報書き込み治具70のデータ更新部714により認証鍵記録部706に記録されていた認証鍵Ka_1が削除される。
これにより、個別情報書き込み治具70は、認証鍵 Ka_1は無効になり、認証鍵Ka_2、Ka_3を使用可能となる。
したがって、メモリカード製造者MM11は、コントローラ30−2、コントローラ30−3のうちのいずれのコントローラを用いてもメモリカードを製造することができる。
これに対して、コントローラ製造者CM11−1が製造したコントローラ30−1は、その暗号IPの認証鍵Ka_1が個別情報書き込み治具70で対応していない。
このため、メモリカード製造者MM11は、そのコントローラ30−1を使用することができない。
【0103】
[応用例(課金)]
メモリカードライセンサ部ML11が、メディアID(個別情報)の書き込み数に応じてメモリカード製造者MM11から直接課金することができる。
メモリカード製造者M11がコンテンツ保護機能のような付加機能を使用するメモリカードを製造する場合だけ課金できる。これにより、無駄に課金されることはない。
コントローラ製造者にとっては、コントローラ自体に金額を上乗せする必要がないため、コントローラの価格を低減できる。
【符号の説明】
【0104】
10,10A・・・メモリ管理システム、ML11・・・メモリカードライセンサ、CM11・・・コントローラ製造者側部、MM11・・・メモリカード製造者側部、20・・・メモリカード、210・・・フラッシュメモリ、30・・・コントローラ、310・・・個別情報記録用不揮発性メモリ、40・・・暗号IP、50・・・アクティベーションサーバ、60・・・ネットワーク、70,70A・・・個別情報書き込み装置(治具)、701・・・コネクタ部、702・・・個別情報書き込み制御部、703・・・有効条件確認部、704・・・有効条件記録部、705・・・暗号処理部、706・・・認証鍵記録部、707・・・個別情報管理部・・・個別情報記録部、709・・・ログ記録部、710・・・セキュアクロック、711・・・アクティベート処理制御部、712・・・暗号処理部、713・・・アクティベート用認証鍵記録部、714・・・データ更新部、715・・・セキュアクロック設定部。
【技術分野】
【0001】
本発明は、メモリカード等のカード装置が、不正に製造されないように管理するためのメモリ管理装置およびカード管理システムに関するものである。
【背景技術】
【0002】
一般的に、動画や音楽などのコンテンツを不正コピーできないようにメモリカードに記録するためには、メモリカードのコンテンツ保護機能を利用する。
【0003】
図1に示すように、メモリカード製造者MM1は、メモリカードを製造するために必要なデータは、メモリカードライセンサML1からすべて受け取っている。
メモリカード製造者MM1側は、たとえば、メディアの個別情報ではユニークID(Media ID)や、コンテンツ保護機能に使用する秘密鍵などについても受け取っている。
当然ながら、一般的に、メモリカードを不正に製造できないことは、メモリカードのライセンス契約によって義務付けられている。
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、もし、メモリカード製造者MM1が、次のような行為を行うことにより、コンテンツ保護機能とは別に不正なコピーを可能にするメモリカードを製造すれば、コンテンツの不正コピーを行うことが技術的に可能である。
その行為とは、メモリカード製造者MM1が、不正にメモリカードのクローン、すなわちメモリカードの個別情報が全く同一のメモリカードを製造したり、コンテンツ保護機能に何らかの不正コピーを可能とするバックドアを設けるなどの行為を含む。
【0005】
上述したように、メモリカードを不正に製造できないことは、メモリカードのライセンス契約によって義務付けられている。
しかし、メモリカード製造者MM1は、上述したようにメモリカードを製造するために必要なデータはすべて受け取っている。
そのため、契約違反になるが、たとえば同じ秘密情報を持ったメモリカードを不正に製造することが可能であり、また、ライセンス契約が無効になったとしても不正なメディアを製造し続けることが原理的に可能である。
【0006】
本発明は、不正なカード装置の製造を抑止することが可能で、ひいてはコンテンツの不正コピーを防止することが可能なカード管理装置およびカード管理システムを提供することにある。
【課題を解決するための手段】
【0007】
本発明の第1の観点のカード管理装置は、あらかじめ暗号IPが実装されたコントローラを含むカード装置と、上記カード装置がデータ転送可能に接続可能で、当該カード装置にあらかじめ割り当てられた個別情報が設定され、当該個別情報を接続状態にあるカード装置に書き込み可能な個別情報書き込み装置と、を有し、上記カード装置は、上記コントローラに、上記個別情報書き込み装置から与えられた上記個別情報が書き込まれる個別情報記録用不揮発性メモリが形成され、上記コントローラは、接続状態にある上記個別情報書き込み装置との暗号認証を行うための認証情報が上記暗号IPとして設定され、上記個別情報書き込み装置との認証処理で肯定的な認証結果が得られると、上記個別情報書き込み装置から与えられる個別情報を上記個別情報用不揮発性メモリに暗号化して書き込む機能を有し、上記個別情報書き込み装置は、接続状態にある上記カード装置のコントローラとの間で上記認証処理を行う機能を有し、当該認証処理で肯定的な認証結果が得られると、上記カード装置の個別情報を当該カード装置の上記コントローラに転送し、当該転送した個別情報を上記個別情報用不揮発性メモリに書き込ませる。
【0008】
本発明の第2の観点のカード管理システムは、少なくともアクティベート情報の通信が可能なアクティベーションサーバと、あらかじめ暗号IPが実装されたコントローラを含むカード装置と、上記カード装置がデータ転送可能に接続可能で、当該カード装置にあらかじめ割り当てられた個別情報が設定され、当該個別情報を接続状態にあるカード装置に書き込み可能で、上記アクティベーションサーバと通信可能な個別情報書き込み装置と、を有し、上記カード装置は、上記コントローラに、上記個別情報書き込み装置から与えられた上記個別情報が書き込まれる個別情報記録用不揮発性メモリが形成され、上記コントローラは、接続状態にある上記個別情報書き込み装置との暗号認証を行うための認証情報が上記暗号IPとして設定され、上記個別情報書き込み装置との認証処理で肯定的な認証結果が得られると、上記個別情報書き込み装置から与えられる個別情報を上記個別情報記録用不揮発性メモリに暗号化して書き込む機能を有し、上記個別情報書き込み装置は、接続状態にある上記カード装置のコントローラとの間で上記認証処理を行う機能を有し、当該認証処理で肯定的な認証結果が得られると、上記カード装置の個別情報を当該カード装置の上記コントローラに転送し、当該転送した個別情報を上記個別情報記録用不揮発性メモリに書き込ませる。
【発明の効果】
【0009】
本発明によれば、不正なカード装置の製造を抑止することが可能で、ひいてはコンテンツの不正コピーを防止することができる。
【図面の簡単な説明】
【0010】
【図1】一般的なメモリカード製造の制御フローを模式的に示す図である。
【図2】本発明の第1の実施形態に係るカード装置の製造管理にかかわるカード管理システムの構成例を示す図である。
【図3】本発明の実施形態に係るメモリカードの構成例を示す図である。
【図4】本発明の実施形態に係る個別情報書き込み治具の構成例を示すブロック図である。
【図5】本実施形態に係る個別情報書き込み治具の個別情報の書き込み処理フローを示す図である。
【図6】本実施形態に係る有効条件確認部の有効確認処理フローを示す図である。
【図7】有効条件記録部の有効条件記述例を示す図である。
【図8】本実施形態に係る個別情報管理部の個別情報の空き確認処理フローを示す図である。
【図9】本実施形態に係る個別情報の構成例を示す図である。
【図10】本実施形態に係る認証およびセッション鍵の生成処理フローを示す図である。
【図11】認証鍵の一例を示す図である。
【図12】個別情報の暗号化および転送処理フローを示す図である。
【図13】本実施形態に係る個別情報管理部における発行完了処理フローを示す図である。
【図14】ログ記録部のログの構成例を示す図である。
【図15】本発明の実施形態に係る個別情報書き込み治具の第2の構成例を示すブロック図である。
【図16】本実施形態に係る個別情報書き込み治具のアクティベート処理フローを示す図である。
【図17】本実施形態に係る個別情報書き込み治具とアクティベーションサーバとの認証フローを示す図である。
【図18】本実施形態に係るデータ更新部のリボーク処理フローを示す図である。
【図19】リボーク情報例を模式的に示す図である。
【図20】複数のコントローラ製造者に異なる認証鍵を与える認証鍵の運用例を示す図である。
【図21】図20のシステムにおいてリボークする場合の一例を示す図である。
【発明を実施するための形態】
【0011】
以下、本発明の実施形態を図面に関連付けて説明する。
なお、説明は以下の順序で行う。
1.カード管理システムの第1の構成例
2.カード管理装置のメモリカードの構成例
3.カード管理装置の個別情報(MediaID)書き込み装置(治具)の第1構成例
4.カード管理装置の個別情報(MediaID)書き込み装置(治具)の第2構成例
【0012】
<1.カード管理システムの構成例>
図2は、本発明の実施形態に係るカード装置の製造管理にかかわるカード管理システムの構成例を示す図である。
【0013】
本カード管理システム10は、カード装置としてのメモリカード20の製造を管理可能なシステムとして構成されている。
カード管理システム10は、基本的に、メモリカード製造および管理にかかわる、メモリカードライセンサ部ML11、コントローラ製造者側部CM11、およびメモリカード製造者側部MM11を含んで形成される。
【0014】
メモリカードライセンサ部ML11は、メモリカード20のコントローラ30に形成される暗号処理機能部としての暗号IP(Intellectual Property)40の製造を行う。
メモリカードライセンサ部ML11で製造された暗号IP40は、信頼できる数社の一つであるコントローラ製造者側部CM11に供給される。
メモリカードライセンサ部ML11は、不正なコントローラ製造者をリボーク(revoke)する機能を有する。
【0015】
メモリカードライセンサ部ML11は、アクティベーションサーバ50を有する。
アクティベーションサーバ50は、専用線や公衆回線により形成されるネットワーク60を介してオンラインで、メモリカード製造者側部MM11に与えられるメディアID等の個別情報書き込み治具70を有効化する(アクティベートする)機能を有する。
個別情報には、メディア(Media)ID等が含まれる。すなわち、個別情報はメディアIDのみに限定されるものではない。ただし、図2では、理解を容易にするために、メディアIDとして示している。
アクティベーションサーバ50は、ネットワーク60を介して個別情報(メディアID)書き込み治具70に対して、暗号IP40に含まれる認証鍵の更新、リボーク情報の伝播、個別情報(メディアID等)の追加発行等の機能を有する。
このように、アクティベーションサーバ50は、カード管理装置100を形成する個別情報書き込み治具70をオンラインで管理する機能を有する。
【0016】
コントローラ製造者側部CM11では、メモリカードライセンサ部ML11から供給される暗号IP40を含む、耐タンパ性のあるコントローラ30が製造される。
ただし、コントローラ製造者側部CM11で製造されるコントローラ30には、メディアIDは記録されていない。
コントローラ製造者側部CM11で製造されるコントローラ30は、メモリカード製造者側部MM11に供給される。
【0017】
メモリカード製造者側部MM11では、コントローラ製造者側部CM11で製造されるコントローラ30を用いてメモリカード20が製造される。
メモリカード製造者側部MM11においては、メモリカード製造時に、個別情報(メディアID)書き込み治具70により個別情報(メディアID等)がコントローラ30に記録される(書き込まれる)。
このように、メモリカード製造者側部MM11で製造されるメモリカード20およびメディアID書き込み治具70により、本発明の実施形態に係るカード管理装置100が形成される。
【0018】
以上説明したような構成を有するカード管理システム10は、以下の特徴を有する。
カード管理システム10は、コントローラ製造者とメモリカード製造者を分離することにより、メモリカード製造者が不正なメモリカード20を製造することを困難にしている。
コントローラ製造者に対しては、ビジネス上、信頼できる数社に限定することにより不正を行うリスクを低減できるが、万一、コントローラ製造者が不正を働いた場合に対しても、コントローラ製造者をリボークして製造を止めることが可能である。
さらに、メモリカード製造者が何らかの不正行為があったとしても、コントローラ30の供給を止めるか、メディア(Media)ID書き込み治具70をアクティベートしないことにより、メモリカード20の製造を止めることが可能である。
また、付帯的な効果として、コントローラ製造時には個別の情報を書き込む必要性がないため、コントローラの製造コストを低減できるという利点がある。
さらに、たとえばメモリカードライセンサ部ML11は、メモリカード製造者から、直接、個別情報、たとえばメディアID発行費用を徴収することが可能である。
このため、コントローラ製造者にとっては、メディアID発行費用分をコントローラ30の価格に上積みせずに、コントローラ30に対し弾力的な価格を設定することができる。
【0019】
以下に、本カード管理システム10の上記特徴を実現するための主構成部であるカード管理装置100の具体的な構成および機能について説明する。
カード管理装置100は、上述したように、カード装置としてのメモリカード20および個別情報書き込み治具70により構成される。
まず、メモリカード20の構成および機能について説明する。
【0020】
<2.カード管理装置のメモリカードの構成例>
図3は、本発明の実施形態に係るメモリカードの構成例を示す図である。
【0021】
メモリカード20は、コントローラ製造者側部CM11であらかじめ製造され、供給されるコントローラ30、ストレージ用不揮発性メモリであるフラッシュメモリ210、およびホストまたは個別情報書き込み治具70とのメモリインタフェース220を有する。
メモリインタフェース220は、接続端子221を含んで構成される。ただし、図3においては、メモリインタフェース220の機能ブロックは省略されている。
メモリカード20は、メモリインタフェース220を通してホストや個別情報書き込み治具70とデータ転送可能に接続可能である。
【0022】
なお、ホストとしては、パーソナルコンピュータ(PC)、ビデオカメラ、デジタルカメラ等の高性能機器を例示することができる。
換言すると、メモリカード20は、PC、ビデオカメラ、デジタルカメラ等の高性能機器のリムーバブルメディアとして用いられる。
メモリカード20は、フラッシュメモリ210をメインストレージ領域として有している。
【0023】
コントローラ30は、ホストまたは個別情報書き込み治具70とのインタフェースの制御、フラッシュメモリ210のアクセス制御機能を有する。
【0024】
そして、コントローラ30は、メモリカードライセンサ部ML11からコントローラ製造者側部CM11に供給された暗号IP40および個別情報(メディアID等)記録用不揮発性メモリ310を含んで構成されている。
【0025】
暗号IP40は、暗号処理機能部として機能する。
暗号IP40は、メモリカードライセンサ部ML11においてあらかじめ与えられた認証機能や秘密鍵等を含んで形成されている。
暗号IP40は、図3に示すように、個別情報書き込み治具70との認証機能および個別情報(メディアID等)取得機能部410、およびコンテンツ保護機能部420を有する。
暗号IP40は、さらにメディアID書き込み治具70との認証用秘密鍵430、およびメディアID等の個別情報記録用秘密鍵440を有する。
【0026】
このように、コントローラ30は、個別情報としてのメディアID等を書き込む個別情報書き込み治具70との暗号認証を行うための機能および認証情報としての秘密鍵が、コントローラ製造者側部CM11であらかじめ設定されている。
コントローラ30は、メモリカード20がメディアID書き込み治具70に接続されると、メモリインタフェース220を通してメディアID書き込み治具70との認証を行うための乱数などのデータの授受を行う。
コントローラ30は、暗号認証処理において肯定的な認証結果が得られると、メディアID書き込み治具70から与えられるメディアID(個別情報)を個別情報(メディアID)記録用不揮発性メモリ310に暗号化して書き込む。
【0027】
個別情報記録用不揮発性メモリ310に記録されるデータは、メディアIDだけでなく、暗号IP40の暗号アプリケーションで使用される秘密鍵など、メディア個別に記録されるデータを含む。
【0028】
<3.カード管理装置の個別情報書き込み治具の第1の構成例>
図4は、本発明の実施形態に係る個別情報書き込み治具の第1の構成例を示すブロック図である。
図4は、個別情報書き込み治具70の書き込み機能ブロックの構成例を示している。
なお、個別情報書き込み治具70は、専用の個別治具として形成することも可能であるが、たとえばPCをベースにした装置であっても、USBドングルのような装置であってもよい。
【0029】
図4の個別情報書き込み治具70は、メモリカード20の端子221が接続されるコネクタ部701、個別情報書き込み制御部702、有効条件確認部703、有効条件記録部704、暗号処理部705、および認証鍵記録部706を有する。
メディアID書き込み治具70は、個別情報管理部707、個別情報記録部708、ログ記録部709、および外部から改ざんが不可能な時計であるセキュアクロック710を有する。
【0030】
個別情報書き込み制御部702は、コネクタ部701にメモリカード20の端子221が接続されたことを確認すると、有効条件確認部703に対しての有効条件の確認要求、個別情報管理部707を通して個別情報の空きがあるか否かの確認を行う機能を有する。
個別情報書き込み制御部702は、個別情報の空き確認すると、暗号処理部705を通して認証を開始し、認証プロトコルに従ったメモリカード20のコントローラ30の暗号IP40との間での認証処理の制御を行う。この認証処理は暗号処理部705が行う。
個別情報書き込み制御部702は、肯定的な認証結果が得られると、個別情報管理部707を通して個別情報(メディアIDなど)の取得処理を行い、暗号処理部705による個別情報の暗号化制御を行う。
個別情報書き込み制御部702は、個別情報が暗号化された後、暗号化された個別情報をメモリカード20に転送して不揮発性メモリ231に書き込ませる制御を行う。
【0031】
有効条件確認部703は、個別情報書き込み制御部702により有効条件の確認要求を受けて、現状が有効条件記録部704に記録されている有効条件を満足しているか否かを判定し、その結果を個別情報書き込み制御部702に報知する。
【0032】
暗号処理部705は、個別情報書き込み制御部702による認証開始指令を受けると、次の暗号化処理を行う。
暗号処理部705は、認証鍵記録部706の記録データを参照して認証プロトコルに従ったメモリカード20のコントローラ30の暗号IP40との間での認証処理を行い、認証結果を個別情報書き込み制御部702に報知する。
暗号処理部705は、認証プロトコルに従って認証およびセッション鍵の生成を行う。
【0033】
個別情報管理部707は、個別情報書き込み制御部702からの個別情報の空き確認要求を受けると、個別情報記録部708における個別情報の使用状況を確認し、個別情報に空きがあるか否かを確認し、その結果を個別情報書き込み制御部702に報知する。
個別情報管理部707は、個別情報書き込み制御部702からの個別情報の取得要求を受けると、個別情報記録部708の未使用のメディアID等の個別情報を個別情報書き込み制御部702に出力する。
個別情報管理部707は、個別情報書き込み制御部702から個別情報の発行が完了した旨の情報を受けると、個別情報記録部708の発行した個別情報を使用済みに更新し、ログ記録部709にログを記録する。
個別情報管理部707は、たとえばログ記録部709のログをインクリメントする。
【0034】
[個別情報書き込み治具の書き込み処理]
次に、本実施形態に係る個別情報書き込み治具70の個別情報の書き込み処理について、図5〜図14に関連付けて説明する。
図5は、本実施形態に係る個別情報書き込み治具の個別情報の書き込み処理フローを示す図である。
【0035】
コネクタ部701にメモリカード20の端子221が接続されたことを確認すると、個別情報書き込み制御部702が、有効条件確認部703に対して有効条件の確認要求を行う(ST1)。
個別情報書き込み制御部702から有効条件の確認要求を受けると、有効条件確認部703は、現状が有効条件記録部704に記録されている有効条件を満足しているか否かを判別し、判別結果を個別情報書き込み制御部702に報知する(ST2)。
【0036】
図6は、本実施形態に係る有効条件確認部の有効確認処理フローを示す図である。
図7は、有効条件記録部の有効条件記述例を示す図である。
図7では、有効条件として、有効期限および個別情報の最大発行回数が例示されている。この例では、有効期限は「2009/05/15、23:59:59」に設定され、最大発行回数は「100000」回に設定されている。
【0037】
個別情報書き込み制御部702から有効条件の確認要求を受けると、有効条件確認部703は、有効条件記録部704から有効条件を取得する(ST21)。
有効条件確認部703は、セキュアクロック710から現在時刻を取得し(ST22)、ログ記録部709からログを取得する(ST23)。
次に、有効条件確認部703は、セキュアクロック710から取得した現在時刻が有効期限内か否かを判別する(ST24)。
ステップST24において、取得した現在時刻が有効期限内であると判別すると、有効条件確認部703は、ログによる発行済み回数が、最大発行回数未満か否かを判別する(ST25)。
ステップST25において、発行済み回数が最大発行回数未満であると判別すると、有効条件確認部703は、現状は有効条件を満足し、有効(OK)である旨を個別情報書き込み制御部702に報知する。
ステップST23において、現在時刻が有効期限内でないと判別した場合、または発行済み回数が最大発行回数未満でないと判別すると、有効条件確認部703は、現状は有効条件を満足せず、無効(NG)である旨を個別情報書き込み制御部702に報知する。
【0038】
図5の処理に戻る。
有効条件が有効である旨を報知された個別情報書き込み制御部702は、個別情報管理部707に対して個別情報に未使用のものがあり空きがあるかの確認要求を行う(ST3)。
個別情報の空き確認要求を受けると、個別情報管理部707は、個別情報記録部708における個別情報の使用状況を確認し、個別情報に空きがあるか否かを確認し、その結果を個別情報書き込み制御部702に報知する(ST4)。
【0039】
図8は、本実施形態に係る個別情報管理部の個別情報の空き確認処理フローを示す図である。
【0040】
個別情報管理部707は、個別情報記録部708に記録されている個別情報を調べ(ST41)、未使用の個別情報があるか否かを判別する(ST42)。
ステップST42において、未使用の個別情報があると判別すると、個別情報管理部707は、個別情報を発行可能(OK)である旨を個別情報書き込み制御部702に報知する。
一方、ステップST42において、未使用の個別情報がないと判別すると、個別情報管理部707は、個別情報を発行不可能(NG)である旨を個別情報書き込み制御部702に報知する。
【0041】
図9(A)および(B)は、本実施形態に係る個別情報の構成例を示す図である。
【0042】
図9(A)は、個別情報の第1の構成例を示している。
この例では、個別情報として、「メディアID」7081と「コンテンツ保護用秘密鍵」7082を含む。
また、個別情報が使用済みであるかを示す情報の書き込みフィールド7083を含む。
【0043】
図9(A)では、メディアIDが「00000000 FFFFFFFF 12345678 00000001」で、コンテンツ保護用秘密鍵が「AD124EDC EFFF7721 90821AB4 ED0081AD」で、この個別情報は使用済みであることを示している。
メディアIDが「00000000 FFFFFFFF 12345678 00000002」で、コンテンツ保護用秘密鍵が「CC326478 D910AC34 BD482DA0 C8E3E45B」で、この個別情報は使用済みであることを示している。
メディアIDが「00000000 FFFFFFFF 12345678 00000003」で、コンテンツ保護用秘密鍵が「910ADF64 EF55ACB1 89ADCBE1 33AADDFF」で、この個別情報は未使用であることを示している。
【0044】
図9(B)では、個別情報がメディアIDだけのシンプルなパターンを示している。
この例では、割り当て可能なメディアIDのプレフィックス値が「00000000 FFFFFFFF 12345678 」の固定値に設定されている。
そして、次に割り当てるメディアIDは、「00000002」で発行済み処理時にインクリメントする。この場合、「FFFFFFFFh」まで発行すると使用不可とする。
発行されるメディアIDは、「00000000 FFFFFFFF 12345678 00000002」である。
【0045】
図5の処理に戻る。
個別情報の空きが確認されると、個別情報書き込み制御部702は、暗号処理部705に対して認証開始指示を出す(ST5)。
個別情報書き込み制御部702による認証開始指令を受けると、暗号処理部705は、認証鍵記録部706の記録データを参照して認証プロトコルに従ったメモリカード20のコントローラ30の暗号IP40との間での認証処理を行う(ST6)。
暗号処理部705は、認証プロトコルに従って認証およびセッション鍵の生成を行う。
暗号処理部705は、認証結果を個別情報書き込み制御部702に報知する(ST7)。
【0046】
図10は、本実施形態に係る認証およびセッション鍵の生成処理フローを示す図である。
図11は、認証鍵の一例を示す図である。
【0047】
この場合、個別情報書き込み治具70は、メモリカード20との認証用秘密鍵Ka_n、Knの識別番号n({Ka_n. n}は複数持ってよい)、使用可能なMedia ID(k:1-m個持っている)Media ID_kを有している。
同様に、メモリカード20は、個別情報書き込み治具70との認証用秘密鍵Ka_n、Knの識別番号n({Ka_n. n}は複数持ってよい)、個別情報(メディアID)記録用秘密鍵Ksを有している。
【0048】
図11の例では、鍵番号K1の認証用秘密鍵は「9C234EDC AACC7721 90821AB4 ED3381A1」である。
鍵番号K2の認証用秘密鍵は「012AE34B CE357212 899ADDFF EE43e521」である。
鍵番号K3の認証用秘密鍵は「12174626 AF8812AC BEEE4467 33E3FFA1」である。
【0049】
図10の処理において、前提として、個別情報書き込み治具70がアクティベーションサーバ50により有効化(アクティベート)されているものとする。
【0050】
個別情報書き込み治具70において、暗号処理部705が乱数R1を生成し、また、使用する認証用秘密鍵nを選択してメモリカード20に転送する(ST61)。
メモリカード20においては、コントローラ30が乱数R2を生成し、指定されたnに対応する認証用秘密鍵Ka_nを探す。無ければ最初からやり直す。
次に、メモリカード20のコントローラ30はMACを作成する(MAC1 = MAC(Ka_n, R1||R2))。
メモリカード20のコントローラ30は、生成した乱数R2およびMAC1を個別情報書き込み治具70に転送する。(ST62)。
【0051】
個別情報書き込み治具70の暗号処理部705は、MACの検証を行う。
ここで、暗号処理部705は、MAC1' = MAC(Ka_n, R1||R2)でMAC1' = MAC1ならば認証が成功したものと判断する。
暗号処理部705は、MAC2を生成する。この場合、MAC2 = MAC(Ka_n, ||R2||R1)である。
暗号処理部705は、Media ID_kを発行する。暗号処理部705は、1回発行すれば使用済みにする。暗号処理部705は、メディアID記録用秘密鍵KsをMAC2に関連付け暗号化する(Ks = Enc(Ka_n, MAC1 || MAC2) )。
そして、暗号処理部705は、生成したMAC2をメモリカード20に転送する(ST63)
【0052】
メモリカード20のコントローラ30は、MACの検証を行う。
ここで、コントローラ30は、MAC2' = MAC(Ka_n, R2||R1)でMAC2' = MAC2ならば認証が成功したものと判断する。また、コントローラ30は、メディアID記録用秘密鍵Ksを暗号化する(Ks = Enc(Ka_n, MAC1 || MAC2))。
【0053】
図5の処理に戻る。
個別情報書き込み制御部702は、暗号処理部705から認証がとれたことが報知されると、個別情報の取得要求を個別情報管理部707に出す(ST8)。
個別情報の取得要求を受けた個別情報管理部707は、個別情報記録部708の未使用の個別情報(メディアIDなど)を個別情報書き込み制御部702に出力する(ST9)。
個別情報を受け取った個別情報書き込み制御部702は、その個別情報の暗号化要求を暗号処理部705に出す(ST10)。
これに応じて暗号処理部705は、セッション鍵で暗号化した個別情報を個別情報書き込み制御部702に出力する(ST11)。
個別情報書き込み制御部702は、個別情報の発行完了を個別情報管理部707に通知し(ST12)、メモリカード20にセッション鍵で暗号化された個別情報を転送する(ST13)。個別情報管理部707は、個別情報の発行完了通知を受けて発行完了処理を行う。
メモリカード20のコントローラ30では、個別情報書き込み治具70から転送された個別情報が不揮発性メモリ310に記録される。
そして、コントローラ30は、個別情報の書き込みが完了したことを個別情報書き込み治具70に通知する(ST14)。
【0054】
図12は、個別情報の暗号化および転送処理フローを示す図である。
【0055】
この場合も、個別情報書き込み治具70は、メモリカード20との認証用秘密鍵Ka_n、Knの識別番号n({Ka_n. n}は複数持ってよい)、使用可能なMedia ID(k:1-m個持っている)Media ID_kを有している。
同様に、メモリカード20は、個別情報書き込み治具70との認証用秘密鍵Ka_n、Knの識別番号n({Ka_n. n}は複数持ってよい)、メディアID記録用秘密鍵Ksを有している。
【0056】
この場合、個別情報書き込み治具70およびメモリカード20は、セッション鍵Ksを共有している。
個別情報書き込み治具70の暗号処理部705は、個別情報およびセッション鍵Ksを暗号化して、MAC3を生成して、生成した暗号化データおよびMAC3をメモリカード20に転送する(ST131)。
この場合、暗号化データは、EncData = Enc(Ks, Media ID) であり、MAC3はMAC3 = MAC(Ks, EncData)である。
【0057】
メモリカード20のコントローラ30では、MACの検証を行う。
ここで、コントローラ30は、MAC3' = MAC(Ks, EncData)で MAC3' = MACならば成功しものと判断する。
コントローラ30は、個別情報であるメディアIDをデコードし(Media ID =Dec(Ks, EncData))、メディアIDをメディアID(Media ID)暗号鍵で暗号化して、暗号化したメディアIDを不揮発性メモリ310に記録する。
【0058】
図13は、本実施形態に係る個別情報管理部における発行完了処理フローを示す図である。
図14は、ログ記録部のログの構成例を示す図である。
【0059】
個別情報管理部707は、発行完了通知を受けると、個別情報記録部708の発行した個別情報を使用済みに更新する(ST121)。
そして、個別情報管理部707は、ログ記録部709に対してログの記録を行う(ST122)。
図14の例では、個別情報管理部707は、発行済み回数をインクリメントする。
この収集したログ情報は、たとえばメディアIDなどの個別情報を払い出した代価として課金などに応用される。
【0060】
<4.カード管理装置の個別情報書き込み治具の第2の構成例>
図15は、本発明の実施形態に係る個別情報書き込み治具の第2の構成例を示すブロック図である。
図15は、個別情報書き込み治具70Aのアクティベート機能ブロックの構成例を示している。
なお、図15において、図4の構成と同一構成部分は同一符号をもって表している。
【0061】
図15の個別情報書き込み治具70Aは、アクティベート処理制御部711、暗号処理部712、アクティベート用認証鍵記録部713、データ更新部714、およびセキュアクロック設定部715を有する。
個別情報書き込み治具70Aは、有効条件記録部704、認証鍵記録部706、個別情報記録部708、ログ記録部709、および外部から改ざんが不可能な時計であるセキュアクロック710を有する。
【0062】
アクティベート処理制御部711は、ネットワーク60を介してアクティベーションサーバ50との通信制御を行う機能を有する。
アクティベート処理制御部711は、アクティベート処理を行う場合、アクティベーションサーバ50との認証処理を行うように、暗号処理部712に対して認証開始指示を出す。
アクティベート処理制御部711は、暗号処理部712により認証処理の結果を受けて、肯定的な認証結果が得られると、アクティベーションサーバ50とのネットワーク60を介した通信処理を行う。
なお、アクティベート処理制御部711がアクティベーションサーバ50と送受信するデータは暗号化され、受信データは暗号処理部712で復号される。
【0063】
アクティベート処理制御部711は、たとえばアクティベーションサーバ50に対してリボーク情報要求を出し、リボーク情報が送信されてくると、リボーク情報をデータ更新部714に供給し、認証鍵記録部706の認証鍵のリボーク(無効化)を行わせる。
アクティベート処理制御部711は、たとえばアクティベーションサーバ50に対して認証鍵追加要求を出し、追加認証鍵が送信されてくると、追加認証鍵情報をデータ更新部714に供給し、認証鍵記録部706の認証鍵の追加を行わせる。
アクティベート処理制御部711は、たとえばアクティベーションサーバ50に対してセキュアクロック更新要求を出し、現在時刻情報が送信されてくると、現在時刻情報をセキュアクロック設定部715に供給し、セキュアクロック710の設定を行わせる。
【0064】
アクティベート処理制御部711は、たとえばアクティベーションサーバ50に対して有効条件更新要求を出し、有効条件情報が送信されてくると、有効条件情報をデータ更新部714に供給し、有効条件記録部704の有効条件を更新させる。
なお、誤差の小さいクロックであれば、通信ごとの毎回更新する必要はない。
アクティベート処理制御部711は、たとえばアクティベーションサーバ50に対して個別情報の更新要求を出し、個別情報が送信されてくると、個別情報をデータ更新部714に供給し、個別情報記録部708の個別情報を更新させる。
アクティベート処理制御部711は、データ更新部714にログ取得要求を出し、その結果得られたログ情報をアクティベーションサーバ50に対して送信する機能を有する。
【0065】
なお、アクティベート処理制御部711は、リボーク情報、認証鍵追加、セキュアクロック更新、有効条件更新、個別情報更新の各要求機能をうち、最小限、有効条件を更新する機能を持つように構成することも可能である。
この場合、リボークなどがある場合には、アクティベートせずに、個別情報書き込み治具70Aごと入れ替えるようにすることも可能である。
【0066】
暗号処理部712は、アクティベート処理制御部711による認証開始指令を受けると、アクティベーションサーバ50との認証処理を行う。
暗号処理部712は、アクティベート用認証鍵記録部713の記録データを参照して認証プロトコルに従ったアクティベーションサーバ50との間での認証処理を行い、認証結果をアクティベート処理制御部711に報知する。
暗号処理部712は、認証プロトコルに従って認証およびセッション鍵の生成を行う。
【0067】
データ更新部714は、アクティベート処理制御部711を通してアクティベーションサーバ50から転送されてきたリボーク情報を受けると、認証鍵記録部706の認証鍵のリボーク(無効化)を行う。
データ更新部714は、アクティベート処理制御部711を通してアクティベーションサーバ50から転送されてきた追加認証鍵情報を受けるとし、認証鍵記録部706の認証鍵の追加を行う。
データ更新部714は、アクティベート処理制御部711を通してアクティベーションサーバ50から転送されてきた有効条件情報を受けると、有効条件記録部704の有効条件を更新する。
データ更新部714は、アクティベート処理制御部711を通してアクティベーションサーバ50から転送されてきた個別情報を受けると、個別情報記録部708の個別情報を更新する。
【0068】
セキュアクロック設定部715は、アクティベート処理制御部711を通してアクティベーションサーバ50から転送されてきた現在時刻情報を受けると、セキュアクロック710の設定を行う。
【0069】
[個別情報書き込み治具のアクティベート処理]
次に、本実施形態に係る個別情報書き込み治具70Aのアクティベート処理について、図16〜図19に関連付けて説明する。
図16は、本実施形態に係る個別情報書き込み治具のアクティベート処理フローを示す図である。
【0070】
アクティベート処理制御部711は、アクティベート処理を行う場合、アクティベーションサーバ50との認証処理を行うように、暗号処理部712に対して認証開始指示を出す(ST101)。
暗号処理部712は、アクティベート処理制御部711による認証開始指令を受けるとアクティベート用認証鍵記録部713の記録データを参照して認証プロトコルに従ったアクティベーションサーバ50との間での認証処理を行う(ST102)。
暗号処理部712は、認証プロトコルに従って認証およびセッション鍵の生成を行う。
暗号処理部712は、認証結果をアクティベート処理制御部711に報知する(ST103)。
【0071】
図17は、本実施形態に係る個別情報書き込み治具とアクティベーションサーバとの認証フローを示す図である。
【0072】
この場合、個別情報書き込み治具70とアクティベーションサーバ50は、相互認証および鍵共有(SSLなど)を前提としている。
個別情報書き込み治具70とアクティベーションサーバ50は、認証後はすべて暗号通信を行う。
認証によって、アクティベーションサーバ50側はどの個別情報(Media ID)書き込み治具かも認識することができる。
【0073】
アクティベート処理制御部711は、暗号処理部712により認証処理の結果を受けて、肯定的な認証結果が得られると、アクティベーションサーバ50とのネットワーク60を介した通信処理を行う。
【0074】
アクティベート処理制御部711は、たとえばアクティベーションサーバ50に対してリボーク情報要求を出す(ST104)。
アクティベート処理制御部711が、リボーク情報が転送されてくると、リボーク情報をデータ更新部714に供給する(ST105)。
【0075】
以下に、リボーク情報に関する個別情報書き込み治具70とアクティベーションサーバ50間のデータ形式例を示す。
【0076】
[リボーク情報例]
<keys operation="revoke">
<key number = "2" />
<key hash = "3ACDFE729492A0188811AD342CBEAA" />
</keys>
【0077】
リボークする鍵は鍵の番号を指定する。上記例ではnumber属性が例示されている。
もしくは、SHA-1などによる鍵のハッシュ値で指定してもよい。上記例ではhash属性が例示されている。
【0078】
データ更新部714は、リボーク情報を受けて認証鍵記録部706における認証鍵のリボーク(無効化)を行う。
【0079】
図18は、本実施形態に係るデータ更新部のリボーク処理フローを示す図である。
図19は、リボーク情報例を模式的に示す図である。
【0080】
図18に示すように、データ更新部714は、リボーク情報に合致する認証鍵を認証鍵記録部706の記録データから削除する。
【0081】
また、アクティベート処理制御部711は、たとえばアクティベーションサーバ50に対して認証鍵追加要求を出す(ST107)。
アクティベート処理制御部711は、追加認証鍵が転送されてくると、追加認証鍵情報をデータ更新部714に供給する(ST108)。
データ更新部714は、認証鍵記録部706における認証鍵の追加を行う(ST109)。
【0082】
以下に、追加認証鍵に関する個別情報書き込み治具70とアクティベーションサーバ50間のデータ形式例を示す。
【0083】
[追加認証鍵例]
<keys operation="add">
<key number = "4">
AD7E3901 ADCB38A9 001ACC34 00BE5452
</key>
<key number = "5">
CC012AAE 843CBD91 EE32AFFE 33918CCD
</key>
</keys>
【0084】
また、アクティベート処理制御部711は、たとえばアクティベーションサーバ50に対してセキュアクロック更新要求を出す(ST110)。
アクティベート処理制御部711は、現在時刻情報が転送されてくると、現在時刻情報をセキュアクロック設定部715に供給する(ST111)。
セキュアクロック設定部715は、供給された現在時刻情報によりセキュアクロック710の設定を行う(ST112)。
【0085】
以下に、セキュアクロック設定用の現在時刻に関する個別情報書き込み治具70とアクティベーションサーバ50間のデータ形式例を示す。
【0086】
[セキュアクロック設定用の現在時刻]
<trustedtime>
2009-05-10T10:00:00Z
</trustedtime>
【0087】
なお、アクティベーションサーバ50と個別情報書き込み冶具70の間の通信がhttps(http over SSL)の場合には、httpのヘッダに含まれるデート(Date)フィールドを利用してもよい。
【0088】
アクティベート処理制御部711は、たとえばアクティベーションサーバ50に対して有効条件更新要求を出す(ST113)。
アクティベート処理制御部711は、有効条件情報が転送されてくると、有効条件情報をデータ更新部714に供給する(ST114)。
データ更新部714は、有効条件記録部704の有効条件を更新する(ST115)。
【0089】
以下に、有効条件に関する個別情報書き込み治具70とアクティベーションサーバ50間のデータ形式例を示す。
【0090】
[有効条件]
<validity>
<expire>2010-10-10T23:59:59Z
</expire>
<maxcount>100000</maxcount>
</validity>
【0091】
また、アクティベート処理制御部711は、たとえばアクティベーションサーバ50に対して個別情報の更新要求を出す(ST116)。
アクティベート処理制御部711は、個別情報が転送されてくると、個別情報をデータ更新部714に供給する(ST117)。
データ更新部714は、個別情報記録部708の個別情報を更新する(ST118)。
【0092】
以下に、個別情報に関する個別情報書き込み治具70とアクティベーションサーバ50間のデータ形式例を示す。
【0093】
[個別情報 例1]
<cardinfolist>
<cardinfo>
<mediaid>00000000FFFFFFFF1234567800000001</mediaid>
<cps>
<secretkey>AC3248A190CbE91244AE229102FDDE0AC32</secretkey>
<certificate>6IKqifyR2IK1gr2BQg0KICAgrGC6oLngsy5oLo
4mQ4OTggsaNbIKgsSCooLpIa0DQqIyI/jDQo=</certificate>
</cps>
</cardinfo>
<cardinfo>
<mediaid>00000000FFFFFFFF1234567800000001</mediaid>
<cps>
<secretkey>AC3248A190CbE91244AE2291E269DE0AC32</secretkey>
<certificate>AIKqifyR2IK1gc2BQgeKICAgqqC643Lng2y5o1o
g4gQ6OTgSsaNbIKgsSCooLAIa0DqIDyI/jDQo=</certificate>
</cps>
</cardinfo>
:
</cardinfolist>
【0094】
この例1では、個別情報としてメディアID、秘密鍵を含む。
【0095】
[個別情報 例2 (Media IDだけのシンプルなもの)]
<cardinfo>
<mediaid>
<prefix>00000000FFFFFFFF12345678</prefix>
</mediaid>
</cardinfo>
【0096】
この例2は、個別情報がメディアIDだけのシンプルなものが例示されている。
例2は、Prefix + 00000000 〜 Prefix + FFFFFFFF まで連続的に発行して良い場合の例を示している。
【0097】
また、アクティベート処理制御部711は、データ更新部714にログ取得要求を出す(ST119)。
アクティベート処理制御部711は、その結果得られたログ情報をアクティベーションサーバ50に対して送信する(ST120)。
【0098】
以上のように、図2に示すカード管理システム10は、不正にメモリカード20を製造できなくすることが可能である。
メモリカード製造者MM11のリボークは、図2に示すように、アクティベーションサーバ50と通信した際に更新しないか、もしくは個別情報書き込み冶具70をこれ以上提供しなければリボークできる。
【0099】
コントローラ製造者CM11のリボークについて、図20および図21に関連付けて説明する。
【0100】
図20は、複数のコントローラ製造者に異なる認証鍵を与える認証鍵の運用例を示す図である。
図21は、図20のシステムにおいてリボークする場合の一例を示す図である。
【0101】
図20のカード管理システムでは、メモリカードライセンサ部ML11がそれぞれ異なる認証鍵 Ka_1、Ka_2、Ka_3 を含む暗号IP40を、それぞれ異なるコントローラ製造者CM11−1,CM11−2,CM11−3に供給する。
コントローラ製造者CM11−1はコントローラ30−1を製造し、コントローラ製造者CM11−2はコントローラ30−2を製造し、コントローラ製造者CM11−3はコントローラ30−3を製造する。
メモリカード製造者MM11は、コントローラ30−1、コントローラ30−2、コントローラ30−3のうちのいずれのコントローラを用いてもメモリカードを製造することができる。
個別情報書き込み治具70は、認証鍵 Ka_1、Ka_2、Ka_3のいずれも使用可能に形成されている。
【0102】
このようなメモリ管理システムにおいて、たとえば図21に示すように、コントローラ製造者CL11−1が不正なコントローラを製造したとする。
この場合、アクティベーションサーバ50から認証鍵Ka_1をリボーク情報が個別情報書き込み治具70に転送される。このとき、アクティベーションサーバ50は、アクティベートするタイミングでリボーク情報を個別情報書き込み治具70に伝播させることにより、確実にリボークすることができる。
そして、個別情報書き込み治具70のデータ更新部714により認証鍵記録部706に記録されていた認証鍵Ka_1が削除される。
これにより、個別情報書き込み治具70は、認証鍵 Ka_1は無効になり、認証鍵Ka_2、Ka_3を使用可能となる。
したがって、メモリカード製造者MM11は、コントローラ30−2、コントローラ30−3のうちのいずれのコントローラを用いてもメモリカードを製造することができる。
これに対して、コントローラ製造者CM11−1が製造したコントローラ30−1は、その暗号IPの認証鍵Ka_1が個別情報書き込み治具70で対応していない。
このため、メモリカード製造者MM11は、そのコントローラ30−1を使用することができない。
【0103】
[応用例(課金)]
メモリカードライセンサ部ML11が、メディアID(個別情報)の書き込み数に応じてメモリカード製造者MM11から直接課金することができる。
メモリカード製造者M11がコンテンツ保護機能のような付加機能を使用するメモリカードを製造する場合だけ課金できる。これにより、無駄に課金されることはない。
コントローラ製造者にとっては、コントローラ自体に金額を上乗せする必要がないため、コントローラの価格を低減できる。
【符号の説明】
【0104】
10,10A・・・メモリ管理システム、ML11・・・メモリカードライセンサ、CM11・・・コントローラ製造者側部、MM11・・・メモリカード製造者側部、20・・・メモリカード、210・・・フラッシュメモリ、30・・・コントローラ、310・・・個別情報記録用不揮発性メモリ、40・・・暗号IP、50・・・アクティベーションサーバ、60・・・ネットワーク、70,70A・・・個別情報書き込み装置(治具)、701・・・コネクタ部、702・・・個別情報書き込み制御部、703・・・有効条件確認部、704・・・有効条件記録部、705・・・暗号処理部、706・・・認証鍵記録部、707・・・個別情報管理部・・・個別情報記録部、709・・・ログ記録部、710・・・セキュアクロック、711・・・アクティベート処理制御部、712・・・暗号処理部、713・・・アクティベート用認証鍵記録部、714・・・データ更新部、715・・・セキュアクロック設定部。
【特許請求の範囲】
【請求項1】
あらかじめ暗号IPが実装されたコントローラを含むカード装置と、
上記カード装置がデータ転送可能に接続可能で、当該カード装置にあらかじめ割り当てられた個別情報が設定され、当該個別情報を接続状態にあるカード装置に書き込み可能な個別情報書き込み装置と、を有し、
上記カード装置は、
上記コントローラに、上記個別情報書き込み装置から与えられた上記個別情報が書き込まれる個別情報記録用不揮発性メモリが形成され、
上記コントローラは、
接続状態にある上記個別情報書き込み装置との暗号認証を行うための認証情報が上記暗号IPとして設定され、上記個別情報書き込み装置との認証処理で肯定的な認証結果が得られると、上記個別情報書き込み装置から与えられる個別情報を上記個別情報記録用不揮発性メモリに暗号化して書き込む機能を有し、
上記個別情報書き込み装置は、
接続状態にある上記カード装置のコントローラとの間で上記認証処理を行う機能を有し、当該認証処理で肯定的な認証結果が得られると、上記カード装置の個別情報を当該カード装置の上記コントローラに転送し、当該転送した個別情報を上記個別情報記録用不揮発性メモリに書き込ませる
カード管理装置。
【請求項2】
上記個別情報書き込み装置は、
上記個別情報の上記カード装置への書き込む制御を行う個別情報書き込み制御部を含み、
上記個別情報書き込み制御部は、
保持している個別情報の使用状況から個別情報に空きがあるか否か確認し、当該個別情報の空きを確認すると、認証を開始し、認証プロトコルに従った上記カード装置のコントローラとの間での認証処理の制御を行う
請求項1記載のカード管理装置。
【請求項3】
個別情報書き込み制御部は、
肯定的な認証結果が得られると、転送する個別情報の暗号化制御を行い、暗号化された個別情報を上記カード装置に転送して上記不揮発性メモリに書き込ませる制御を行う
請求項2記載のカード管理装置。
【請求項4】
上記個別情報書き込み装置は、
個別情報の発行回数を管理可能なログ記録部を含む
請求項1から3のいずれか一に記載のカード管理装置。
【請求項5】
上記個別情報書き込み装置は、
個別情報の発行回数があらかじめ設定された発行回数に達すると当該個別情報の発行を無効にする機能を有する
請求項1から4のいずれか一に記載のカード管理装置。
【請求項6】
上記個別情報書き込み装置は、
通信により少なくともアクティベート情報を授受可能なアクティベート処理制御部を含み、
上記アクティベート処理制御部は、
アクティベート処理を行う場合、通信先との認証処理制御を行う機能を有する
請求項1から5のいずれか一に記載にカード管理装置。
【請求項7】
上記アクティベート処理制御部は、
肯定的な認証結果が得られると、通信処理を暗号化データにより行い、受信データの復号制御を行う
請求項6記載のカード管理装置。
【請求項8】
上記アクティベート処理制御部は、
リボーク情報要求を出し、リボーク情報が送信されてくると、対応する認証情報をリボーク(無効化)する機能を有する
請求項6または7記載のカード管理装置。
【請求項9】
上記アクティベート処理制御部は、
認証情報追加要求を出し、追加認証情報が送信されてくると、追加認証情報を追加する機能を有する
請求項6から8のいずれか一に記載のカード管理装置。
【請求項10】
上記アクティベート処理制御部は、
個別情報の更新要求を出し、個別情報が送信されてくると、受信した個別情報を更新する機能を有する
請求項6から9のいずれか一に記載のカード管理装置。
【請求項11】
少なくともアクティベート情報の通信が可能なアクティベーションサーバと、
あらかじめ暗号IPが実装されたコントローラを含むカード装置と、
上記カード装置がデータ転送可能に接続可能で、当該カード装置にあらかじめ割り当てられた個別情報が設定され、当該個別情報を接続状態にあるカード装置に書き込み可能で、上記アクティベーションサーバと通信可能な個別情報書き込み装置と、を有し、
上記カード装置は、
上記コントローラに、上記個別情報書き込み装置から与えられた上記個別情報が書き込まれる個別情報記録用不揮発性メモリが形成され、
上記コントローラは、
接続状態にある上記個別情報書き込み装置との暗号認証を行うための認証情報が上記暗号IPとして設定され、上記個別情報書き込み装置との認証処理で肯定的な認証結果が得られると、上記個別情報書き込み装置から与えられる個別情報を上記個別情報記録用不揮発性メモリに暗号化して書き込む機能を有し、
上記個別情報書き込み装置は、
接続状態にある上記カード装置のコントローラとの間で上記認証処理を行う機能を有し、当該認証処理で肯定的な認証結果が得られると、上記カード装置の個別情報を当該カード装置の上記コントローラに転送し、当該転送した個別情報を上記個別情報記録用不揮発性メモリに書き込ませる
カード管理システム。
【請求項12】
上記個別情報書き込み装置は、
上記個別情報の上記カード装置への書き込む制御を行う個別情報書き込み制御部を含み、
上記個別情報書き込み制御部は、
保持している個別情報の使用状況から個別情報に空きがあるか否か確認し、当該個別情報の空きを確認すると、認証を開始し、認証プロトコルに従った上記カード装置のコントローラとの間での認証処理の制御を行う
請求項11記載のカード管理システム。
【請求項13】
個別情報書き込み制御部は、
肯定的な認証結果が得られると、転送する個別情報の暗号化制御を行い、暗号化された個別情報を上記カード装置に転送して上記不揮発性メモリに書き込ませる制御を行う
請求項12記載のカード管理システム。
【請求項14】
上記個別情報書き込み装置は、
個別情報の発行回数を管理可能なログ記録部を含む
請求項11から13のいずれか一に記載のカード管理システム。
【請求項15】
上記個別情報書き込み装置は、
個別情報の発行回数があらかじめ設定された発行回数に達すると当該個別情報の発行を無効にする機能を有する
請求項11から14のいずれか一に記載のカード管理システム。
【請求項16】
上記個別情報書き込み装置は、
上記アクティベーションサーバと通信により少なくともアクティベート情報を授受可能なアクティベート処理制御部を含み、
上記アクティベート処理制御部は、
アクティベート処理を行う場合、上記アクティベーションサーバとの認証処理制御を行う機能を有する
請求項11から15のいずれか一に記載にカード管理システム。
【請求項17】
上記アクティベート処理制御部は、
肯定的な認証結果が得られると、通信処理を暗号化データにより行い、受信データの復号制御を行う
請求項16記載のカード管理システム。
【請求項18】
上記アクティベート処理制御部は、
上記アクティベーションサーバにリボーク情報要求を出し、リボーク情報が送信されてくると、対応する認証情報をリボーク(無効化)する機能を有する
請求項16または17記載のカード管理システム。
【請求項19】
上記アクティベート処理制御部は、
上記アクティベーションサーバに認証情報追加要求を出し、追加認証情報が送信されてくると、追加認証情報を追加する機能を有する
請求項116から8のいずれか一に記載のカード管理装置。
【請求項20】
上記アクティベート処理制御部は、
上記アクティベーションサーバに個別情報の更新要求を出し、個別情報が送信されてくると、受信した個別情報を更新する機能を有する
請求項16から19のいずれか一に記載のカード管理システム。
【請求項1】
あらかじめ暗号IPが実装されたコントローラを含むカード装置と、
上記カード装置がデータ転送可能に接続可能で、当該カード装置にあらかじめ割り当てられた個別情報が設定され、当該個別情報を接続状態にあるカード装置に書き込み可能な個別情報書き込み装置と、を有し、
上記カード装置は、
上記コントローラに、上記個別情報書き込み装置から与えられた上記個別情報が書き込まれる個別情報記録用不揮発性メモリが形成され、
上記コントローラは、
接続状態にある上記個別情報書き込み装置との暗号認証を行うための認証情報が上記暗号IPとして設定され、上記個別情報書き込み装置との認証処理で肯定的な認証結果が得られると、上記個別情報書き込み装置から与えられる個別情報を上記個別情報記録用不揮発性メモリに暗号化して書き込む機能を有し、
上記個別情報書き込み装置は、
接続状態にある上記カード装置のコントローラとの間で上記認証処理を行う機能を有し、当該認証処理で肯定的な認証結果が得られると、上記カード装置の個別情報を当該カード装置の上記コントローラに転送し、当該転送した個別情報を上記個別情報記録用不揮発性メモリに書き込ませる
カード管理装置。
【請求項2】
上記個別情報書き込み装置は、
上記個別情報の上記カード装置への書き込む制御を行う個別情報書き込み制御部を含み、
上記個別情報書き込み制御部は、
保持している個別情報の使用状況から個別情報に空きがあるか否か確認し、当該個別情報の空きを確認すると、認証を開始し、認証プロトコルに従った上記カード装置のコントローラとの間での認証処理の制御を行う
請求項1記載のカード管理装置。
【請求項3】
個別情報書き込み制御部は、
肯定的な認証結果が得られると、転送する個別情報の暗号化制御を行い、暗号化された個別情報を上記カード装置に転送して上記不揮発性メモリに書き込ませる制御を行う
請求項2記載のカード管理装置。
【請求項4】
上記個別情報書き込み装置は、
個別情報の発行回数を管理可能なログ記録部を含む
請求項1から3のいずれか一に記載のカード管理装置。
【請求項5】
上記個別情報書き込み装置は、
個別情報の発行回数があらかじめ設定された発行回数に達すると当該個別情報の発行を無効にする機能を有する
請求項1から4のいずれか一に記載のカード管理装置。
【請求項6】
上記個別情報書き込み装置は、
通信により少なくともアクティベート情報を授受可能なアクティベート処理制御部を含み、
上記アクティベート処理制御部は、
アクティベート処理を行う場合、通信先との認証処理制御を行う機能を有する
請求項1から5のいずれか一に記載にカード管理装置。
【請求項7】
上記アクティベート処理制御部は、
肯定的な認証結果が得られると、通信処理を暗号化データにより行い、受信データの復号制御を行う
請求項6記載のカード管理装置。
【請求項8】
上記アクティベート処理制御部は、
リボーク情報要求を出し、リボーク情報が送信されてくると、対応する認証情報をリボーク(無効化)する機能を有する
請求項6または7記載のカード管理装置。
【請求項9】
上記アクティベート処理制御部は、
認証情報追加要求を出し、追加認証情報が送信されてくると、追加認証情報を追加する機能を有する
請求項6から8のいずれか一に記載のカード管理装置。
【請求項10】
上記アクティベート処理制御部は、
個別情報の更新要求を出し、個別情報が送信されてくると、受信した個別情報を更新する機能を有する
請求項6から9のいずれか一に記載のカード管理装置。
【請求項11】
少なくともアクティベート情報の通信が可能なアクティベーションサーバと、
あらかじめ暗号IPが実装されたコントローラを含むカード装置と、
上記カード装置がデータ転送可能に接続可能で、当該カード装置にあらかじめ割り当てられた個別情報が設定され、当該個別情報を接続状態にあるカード装置に書き込み可能で、上記アクティベーションサーバと通信可能な個別情報書き込み装置と、を有し、
上記カード装置は、
上記コントローラに、上記個別情報書き込み装置から与えられた上記個別情報が書き込まれる個別情報記録用不揮発性メモリが形成され、
上記コントローラは、
接続状態にある上記個別情報書き込み装置との暗号認証を行うための認証情報が上記暗号IPとして設定され、上記個別情報書き込み装置との認証処理で肯定的な認証結果が得られると、上記個別情報書き込み装置から与えられる個別情報を上記個別情報記録用不揮発性メモリに暗号化して書き込む機能を有し、
上記個別情報書き込み装置は、
接続状態にある上記カード装置のコントローラとの間で上記認証処理を行う機能を有し、当該認証処理で肯定的な認証結果が得られると、上記カード装置の個別情報を当該カード装置の上記コントローラに転送し、当該転送した個別情報を上記個別情報記録用不揮発性メモリに書き込ませる
カード管理システム。
【請求項12】
上記個別情報書き込み装置は、
上記個別情報の上記カード装置への書き込む制御を行う個別情報書き込み制御部を含み、
上記個別情報書き込み制御部は、
保持している個別情報の使用状況から個別情報に空きがあるか否か確認し、当該個別情報の空きを確認すると、認証を開始し、認証プロトコルに従った上記カード装置のコントローラとの間での認証処理の制御を行う
請求項11記載のカード管理システム。
【請求項13】
個別情報書き込み制御部は、
肯定的な認証結果が得られると、転送する個別情報の暗号化制御を行い、暗号化された個別情報を上記カード装置に転送して上記不揮発性メモリに書き込ませる制御を行う
請求項12記載のカード管理システム。
【請求項14】
上記個別情報書き込み装置は、
個別情報の発行回数を管理可能なログ記録部を含む
請求項11から13のいずれか一に記載のカード管理システム。
【請求項15】
上記個別情報書き込み装置は、
個別情報の発行回数があらかじめ設定された発行回数に達すると当該個別情報の発行を無効にする機能を有する
請求項11から14のいずれか一に記載のカード管理システム。
【請求項16】
上記個別情報書き込み装置は、
上記アクティベーションサーバと通信により少なくともアクティベート情報を授受可能なアクティベート処理制御部を含み、
上記アクティベート処理制御部は、
アクティベート処理を行う場合、上記アクティベーションサーバとの認証処理制御を行う機能を有する
請求項11から15のいずれか一に記載にカード管理システム。
【請求項17】
上記アクティベート処理制御部は、
肯定的な認証結果が得られると、通信処理を暗号化データにより行い、受信データの復号制御を行う
請求項16記載のカード管理システム。
【請求項18】
上記アクティベート処理制御部は、
上記アクティベーションサーバにリボーク情報要求を出し、リボーク情報が送信されてくると、対応する認証情報をリボーク(無効化)する機能を有する
請求項16または17記載のカード管理システム。
【請求項19】
上記アクティベート処理制御部は、
上記アクティベーションサーバに認証情報追加要求を出し、追加認証情報が送信されてくると、追加認証情報を追加する機能を有する
請求項116から8のいずれか一に記載のカード管理装置。
【請求項20】
上記アクティベート処理制御部は、
上記アクティベーションサーバに個別情報の更新要求を出し、個別情報が送信されてくると、受信した個別情報を更新する機能を有する
請求項16から19のいずれか一に記載のカード管理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【公開番号】特開2010−287005(P2010−287005A)
【公開日】平成22年12月24日(2010.12.24)
【国際特許分類】
【出願番号】特願2009−139809(P2009−139809)
【出願日】平成21年6月11日(2009.6.11)
【出願人】(000002185)ソニー株式会社 (34,172)
【Fターム(参考)】
【公開日】平成22年12月24日(2010.12.24)
【国際特許分類】
【出願日】平成21年6月11日(2009.6.11)
【出願人】(000002185)ソニー株式会社 (34,172)
【Fターム(参考)】
[ Back to top ]