專利名稱：服務提供系統、服務提供服務器以及信息終端設備的制作方法
技術領域：
本發(fā)明涉及一種服務提供系統、 一種服務提供服務器以及一種信息終 端設備。
背景技術：
近年來，接觸型或非接觸型的IC (集成電路)卡已變得更加頻繁地 應用于各種情形中。例如，這種卡包括在金融^I中使用的信用卡或現金 卡、在公共交通的檢票口處使用的IC卡、用于在餐廳或其它零售商店使 用的IC卡等等。具有這種IC卡功能的移動電話、通信終端或信息處理 器等(比如個人計算機等)也變得更加普及。
具有IC卡或IC卡功能的移動電話等在其中嵌入有被稱為安全芯片 的能夠安全地M數據的IC芯片。所迷安全芯片例如存儲有諸如結算信 息或檢票歷史之類的數據以及用于實現各種服務的應用。例如，諸如讀取 器/寫入器之類的信息處理器通過向具有IC卡或IC卡功能的移動電話等 發(fā)送指令，而使得所述移動電話等執(zhí)行存儲在安全芯片中的應用以及讀取 安全芯片中的數據和將數據寫入安全芯片中。
近年來，用于通過具有IC卡功能的移動電話等的信息處理功能或通 信功能來安全地訪問保存在安全芯片中的數據和應用的技術已經引起關 注。在許多情況下，所述移動電話等與IC卡自身相比具有更高的計算能 力和更高的通信能力。因此，為了實現高級服務，期望4吏用這些能力。然 而，安全芯片存儲有諸如電子貨幣的余額或結算信息或者重要的個人信息 之類的數據，因此要求這種數據的高安全性。因此，為了i^免存儲在安全 芯片中的數據的改變等，期望用于提高安全芯片的安全等級的訪問控制技術。
然而，在讀M儲在安全芯片中的數據或將數據寫入安全芯片中時，
傳統的具有IC卡功能的移動電話通過預先安裝在該移動電話等中的應用
來執(zhí)行該處理。該應用例如是根據用于該移動電話等的通信服務的提供商 所設置的安全方法而從信息源下載的。利用這種方法，可以防止根據來自 外部的未經授權的訪問的、用戶未預期的操作的執(zhí)行或對安全芯片的故意 鎖定。此外，對于服務提供商而言，該方法具有可以比較自由地開發(fā)應用 的優(yōu)點。

發(fā)明內容
然而，如同本發(fā)明的發(fā)明人所認識到的，當采用使用應用的訪問控制 方法時，與應用的開發(fā)或對應用的維護相關的負荷增加。因此，可以設計
通過使用諸如ECMAScript或JavaScript之類的、在應用于開發(fā)應用時 負荷比較低的腳本語言來開發(fā)應用的方法。為了實現該方法，期望用于使 安全芯片安全地執(zhí)^f亍以腳本語言(在下文中稱為"腳本")編寫的應用的 機制。其原因是在許多情況下以腳本語言描述的指令集是文本數據。因此， 例如所述指令集在網絡上被改變或者所述安全芯片被以未經授權的方式 訪問的可能性增大。
因此，鑒于上述內容而提出了本發(fā)明，并且期望提供一種新的改進的 服務提供系統、服務提供服務器以及信息終端設備，其能夠實現基于腳本 的對安全芯片的安全訪問。
為了解決上述問題，根據本發(fā)明的實施例，提供了一種包括尿存有第 一加密密鑰和與該第一加密密鑰相對應的第一解密密鑰的區(qū)域管理^L務 器的服務提供系統， 一種與所述區(qū)域管理服務器相連接的保存有第二加密 密鑰和與該第二加密密鑰相對應的第二解密密鑰的月MM1供服務器，以及 一種與所述服務提供服務器相連接的能夠訪問防墓改的安全芯片且保存 有第三解密密鑰的客戶端設備。
所述區(qū)域管理服務器可以具有生成訪問控制列表(ACL)的訪問 控制列表生成部分，在所述訪問控制列表中描述了對其的訪問被許可給所 ^戶端設備的、所述安全芯片的存儲區(qū)域；簽名生成部分，所述簽名生 成部分利用所述第一加密密鑰從所述訪問控制列表和獲得自所述服務提 供服務器的笫二解密密鑰生成第一數字簽名；以及證書生成部分，所述證書生成部分生成包括所述笫二解密密鑰、所述訪問控制列表以及所述第一 數字簽名的服務提供服務器證書。
所述服務提供服務器可以具有指令集生成部分，所述指令集生成部 分生成要由所述客戶端設備執(zhí)行的指令集；以及簽名生成部分，所述簽名 生成部分利用所述第二加密密鑰而從所述指令集生成第二數字簽名。
所ii^戶端設備可以具有獲取部分，所述獲取部分獲取區(qū)域管理服 務器證書、所述服務提供服務器證書、以及所述第二數字簽名，該區(qū)域管 理服務器證書包括所述第 一解密密鑰以及從所述第 一解密密鑰生成的可 通過所述第三解密密鑰進行解密的第三數字簽名；驗證部分，所述*汪部 分利用所述第三解密密鑰對所述區(qū)域管理服務器證書進行JiHi，利用從所 述區(qū)域管理服務器證書提取的所述第一解密密鑰對所述服務提供服務器 證書進行驗證，并利用從所述服務提供服務器證書提取的第二解密密鑰對 所述第二數字簽名進行驗證；以及訪問控制部分，所述訪問控制部分只在 所述區(qū)域管理服務器證書、所述服務提供服務器證書和所述第二數字簽名 已被所述!Hi部分正確地斷正，而且所述訪問控制部分還利用所述第二解 密密鑰從所述第二數字簽名中解密出所述指令集，并且根據所述指令集要 進##問的、所述安全芯片的存儲區(qū)域被包括在由從所述服務提供服務器 證書提取的訪問控制列表所指示的、所述安全芯片的存儲區(qū)域中時，才執(zhí) 行所述指令集。
所i4l艮務提供系統可以被配置成使得除了對其的訪問被許可給所述 客戶端設備的、所述安全芯片的存儲區(qū)域之外，在所述訪問控制列表中還 描述了以下兩者之一或者這兩者對于客戶端設備的讀處理或寫處理進行 限制的訪問權限信息，以及對于要被許可的對同一存儲區(qū)域的訪問的頻率 進行限制的訪問頻率信息；并且所述客戶端設備中具有的訪問控制部分只 在根據所述指令集對所述安全芯片的訪問處理滿足所述訪問控制列表中 描述的條件時才執(zhí)行所述指令集。
此外，為了解決上述問題，根據本發(fā)明的另一實施例，提供了一種服 務提供系統，其包括M有第一加密密鑰和與所述第一加密密鑰相對應 的第 一解密密鑰的區(qū)域管理服務器、與所述區(qū)域管理服務器相連接且M 有第二加密密鑰和與所述第二加密密鑰相對應的第二解密密鑰的服務提 供服務器、與所述區(qū)域管理服務器相連接并且M有第三加密密鑰的認證 服務器、以及與所述服務提供服務器相連接的、能夠訪問防篡改的安全芯 片iU)MNr與所述第三加密密鑰相對應的第三解密密鑰的客戶端設備。所述區(qū)域管理服務器可以具有生成訪問控制列表的訪問控制列表生 成部分，其中在所述訪問控制列表中描述了對其的訪問被許可給所^戶 端設備的、所述安全芯片的存儲區(qū)域；簽名生成部分，所述簽名生成部分 利用所述第一加密密鑰而從所述訪問控制列表和獲得自所述服務提供服 務器的第二解密密鑰生成第一數字簽名；以及證書生成部分，所述證書生
成部分生成包括所述第二解密密鑰、所述訪問控制列表和所述第 一數字簽 名的服務提供月艮務器證書。
所ili艮務提供服務器可以具有生成要由所#戶端設備執(zhí)行的指令 集的指令集生成部分；以及利用所述第二加密密鑰從所述指令集生成第二 數字簽名的簽名生成部分。
所述認證服務器可以具有簽名生成部分，所述簽名生成部分利用所 述第三加密密鑰從獲得自所述區(qū)域管理服務器的第一解密密鑰生成第三 數字簽名；以及證書生成部分，所述證書生成部分生成包括所述第一解密 密鑰和所述第三數字簽名的區(qū)域管理服務器證書。
所i^戶端設備可以具有獲取部分，所述獲取部分獲取所述區(qū)域管 理服務器證書、所述月良務提供服務器證書以及所述第二數字簽名；IHE部 分，所述驗證部分利用所述第三解密密鑰來驗證所述區(qū)域管理服務器證 書，利用從所述區(qū)域管理服務器證書提取的所述第一解密密鑰來驗證所述 服務提供服務器證書，并利用從所述服務提供月艮務器證書提取的所述第二 解密密鑰來驗證所述第二數字簽名；以及訪問控制部分，所述訪問控制部 分只在所述區(qū)域管理服務器證書、所述服務提供服務器證書和所述第二數 字簽名已被所述驗證部分正確地驗證，而且所述訪問控制部分還利用所述 第二解密密鑰從所述第二數字簽名中解密出所述指令集，并且根據所述指
令集要進^^問的、所述安全芯片的存儲區(qū)域被包括在由從所述服務提供 服務器證書提取的訪問控制列表所指示的、所述安全芯片的存儲區(qū)域中 時，才執(zhí)行所述指令集。
所^i艮務提供系統可以被配置成4吏得除了對其的訪問^L許可給所述 客戶端設備的、所述安全芯片的存儲區(qū)域之外，在所述訪問控制列表中還 描述了以下兩者之一或者這兩者對于客戶端設備的讀處理或寫處理進行 限制的訪問權限信息，以及對于要被許可的對同一存儲區(qū)域的訪問的頻率 進行限制的訪問頻率信息；并且所述客戶端設備中具有的訪問控制部分只 在根據所述指令集對所述安全芯片的訪問處理滿足所述訪問控制列表中 描述的條件時才執(zhí)行所述指令集。此外，為了解決上述問題,根據本發(fā)明的另一實施例，提供了一種服
務提供服務器，所述服務提供服務器與以下兩者相連接保存有第一解密 密鑰且能夠訪問防墓改的安全芯片的信息終端設備，以及管理對所述安全 芯片的訪問的區(qū)域管理服務器；并且所述服務提供服務器M有第二加密 密鑰和與所述第二加密密鑰相對應的第二解密密鑰；其中，所^J艮務提供 服務器具有獲取部分，所述獲取部分獲取包括所述第二解密密鑰且可通 過所述第一解密密鑰進行驗證的第一證書、以及包括訪問控制列表且可通 過所述第二解密密鑰進行miE的第二證書，其中在所述訪問控制列表中描 述了對其的訪問被許可給所述信息終端設備的、所述安全芯片的存儲區(qū) 域；指令集生成部分，所述指令集生成部分生成要由所述信息終端i殳4^L 行的指令集；以及簽名生成部分，所述簽名生成部分從所述指令集生成可 利用所述第二加密密鑰進行驗證的數字簽名；其中所述腋務提供服務器將 所迷第一證書、所述第二證書、所述數字簽名以及所述指令集發(fā)送給所述 信息終端設備。
除了對其的訪問被許可給所述信息終端設備的、所述安全芯片的存儲 區(qū)域之外，在所述訪問控制列表中還可以描述以下兩者之一或者這兩者 對于所述信息終端設備的讀處理或寫處理進行限制的訪問權限信息，以及 對于要被許可的對同 一 區(qū)域的訪問的頻率進行限制的訪問頻率信息。
此外，為了解決上述問題，根據本發(fā)明的另一實施例，提供了一種信 息終端設備，所述信息終端設備與以下兩者相連接管理對安全芯片的訪 問的區(qū)域管理服務器，以及保存有第二加密密鑰和與所述第二加密密鑰相 對應的第二解密密鑰的服務提供服務器；并且所迷信息終端i殳^Mf"有第 一加密密鑰且能夠訪問防篡改的所述安全芯片；其中所述信息終端設備具 有獲取部分，所述獲取部分獲取包括所述第二解密密鑰且可通過所述第 一解密密鑰進行驗汪的第一證書、包^問控制列^JL可利用所述第二解 密密鑰進行驗證的第二證書、以及來自要由所述信息終端設4^W亍的指令 集的可通過使用所述第二加密密鑰進行驗證的數字簽名，其中所述訪問控 制列表中描述了對其的訪問被許可的、所述安全芯片的存儲區(qū)域；驗證部 分，所述aHit部分利用所述第一解密密鑰來發(fā)遮所述第一證書，并利用從 所述第一證書中提取的所述第二解密密鑰來驗證所述第二證書和所述數 字簽名；以及訪問控制部分，所述訪問控制部分只在所述第一證書、所述 第二證書和所述數字簽名已被所述^部分正確地mi，并且根據從所述 數字簽名中解密出的所述指令集要進#^問的、所述安全芯片的存儲區(qū)域 被包括在由^U艮務提供服務器證書提取的所述訪問控制列表所指示的、所述安全芯片的存儲區(qū)域中時，才執(zhí)行所述指令集。
所述信息終端設備可以被配置成使得除了對其的訪問被許可給所述 客戶端設備的、所述安全芯片的存儲區(qū)域之外，在所述訪問控制列表中還 描述了以下兩者之一或者這兩者對于客戶端設備的讀處理或寫處理進行 限制的訪問權限信息，以及對于要被許可的對同一存儲區(qū)域的訪問的頻率 進行限制的訪問頻率信息；并且所述訪問控制部分只在才艮據所述指令集對
所述指令集。
根據上述本發(fā)明的實施例，可以實現基于腳本的對安全芯片的安全訪問。


圖l是示出了根據本發(fā)明的實施例的服務提供系統的說明圖2是示出了根據實施例的認證中心服務器的配置的說明圖3是示出了根據實施例的區(qū)域管理服務器的配置的說明圖4是示出了根據實施例的服務提供服務器的配置的說明圖5是示出了根據實施例的客戶端i殳備的配置的i兌明圖6是示出了根據實施例的發(fā)布區(qū)域管理服務器證書的處理的說明
圖7是示出了根據實施例的發(fā)布服務提供月良務器證書的處理的說明
圖8是示出了根據實施例的腳本頁的示例的說明圖9是示出了根據實施例的腳本頁的示例的說明圖10是示出了根據實施例的在腳本執(zhí)行之前的驗證處理的說明圖11是示出了根據實施例的訪問控制列表的示例的說明圖12是示出了根據實施例的標簽信息的說明圖13是示出了根據實施例的安全存儲器的數據配置的說明圖14是示出了根據實施例的安全芯片的配置的說明圖。
具體實施例方式
在下文中，將參照附圖詳細地描述本發(fā)明的優(yōu)選實施例。注意，在本 說明書及附圖中，用相同的附圖標記來表示基本上具有相同的功能和結構 的結構元件，并省略了對這些結構元件的重復說明。
首先，在詳細描述本發(fā)明的實施例之前，將簡要地描i^t根據實施例 的技術原理的概述。根據下面描述的實施例的技術涉及通過使用腳本來安 全地訪問安全芯片的技術。
到目前為止，已經設計了用于在預定的信息處理器上安全地執(zhí)行諸如 Java和ActiveX之類的在Web瀏覽器上運行的應用或在移動終端上運行 的應用的各種機制。例如，存在用于給這些應用的哈希值加上數字簽名(在 下文中稱為"簽名")并基于由所述應用的執(zhí)行環(huán)境(例如信息處理器等) 保存的數字證書(在下文中稱為"證書")來mt所述簽名的機制。然而， 在這種情況下，不存在用于使安全芯片或信息處理器等安全地執(zhí)行以各種 腳本語言及XML標簽等描述的指令(在下文中稱為"腳本等")的機制。
作為另一示例，存在安全地執(zhí)行應用而不使用數字簽名的技術。該示 例包括在未經簽名的應用的執(zhí)frR請求時向用戶顯示諸如"此應用未經簽 名。是否可以執(zhí)行該應用？"之類的消息的技術。然而，在許多情況下， 用戶不能判斷所述應用是否經過授權。因此，如果4吏用該技術，則會導致 許多未經簽名的應用不被執(zhí)行。
此外，根據現有的訪問控制技術，用戶在訪問安全芯片時不得不經歷 修改安全設置文件或安裝應用這樣的麻煩。此外，難以將如下的存儲區(qū)域 處理為用于訪問控制的單位對所述存儲區(qū)域的訪問被管理該安全芯片的 該存儲區(qū)域的區(qū)域管理器所許可。
基于當前的情況，本發(fā)明提出了一種利用協作工作的管理安全芯片的 存儲區(qū)域的區(qū)域管理器和提供服務的服務提供商來安全地執(zhí)行腳本的技 術。具體而言，本發(fā)明的發(fā)明人提出了一種安全地訪問安全芯片中的存儲 區(qū)域的訪問控制技術，其中對所述存儲區(qū)域的訪問被所速區(qū)域管理器所許 可。如同下面將詳細描述的，當應用這種技術時，變得可以安全地控制經 由腳本對安全芯片的訪問。因此，與開發(fā)或管理相關的負荷被減少，此夕卜，
變得可以將如下的存儲區(qū)域處理為用于訪問控制的單位對所述存儲區(qū)域 的訪問被管理該存儲區(qū)域的區(qū)域管理器所許可。至此已經描述了所述概 述。參照圖1，將描述根據本發(fā)明的實施例的服務提供系統1000的配置。 圖1是示出了根據本實施例的服務提供系統1000的配置示例的說明圖。
參照圖1,根據本實施例的服務提供系統1000主要配置有認證中心 服務器100、區(qū)域管理服務器200、服務提供服務器300、客戶端設備400 以及安全芯片500。服務提供服務器300和客戶端設備400經由網絡10 相連接。
網絡10是以允許雙向通信或單向通信的方式將服務提供月l務器300 與客戶端設備400相連接的通信網絡。網絡10例如包M如互聯網、電 話網絡、通信衛(wèi)星網絡或組播通信網絡之類的公共線路網絡、以及諸如廣 域網(WAN)、局域網(LAN)、互聯網協議-虛擬專用網(IP-VPN)或 無線LAN之類的專用線路網絡，并且網絡10可以是有線網絡或無線網絡。 因此，服務提供服務器300能夠經由網絡10向客戶端設備400發(fā)送信息。
此外，利用例如具有服務器功能的個人計算機(PC)來實現i^證中 心服務器IOO、區(qū)域管理服務器200和服務提供服務器300的功能?？蛻?端設備400是能夠經由網絡10來執(zhí)行與服務提供服務器300之間的接觸 式或非接觸式的通信的終端設備。通過例如各種便攜式終端來實現客戶端 設備400的功能，所述便攜式終端比如是移動電話、PHS、〗更攜式游戲機、 便攜式視頻/音頻播放器或個人數字助理(PDA)、諸如PC或家庭游戲機 之類的信息處理器、以及諸如DVD/HDD刻錄機、電視接收機或用于電 視廣播的調諧器/解碼器之類的智能家電。
首先，參照圖2，將描述認證中心服務器100的配置。圖2是示出了 根據本實施例的認證中心月良務器100的配置示例的說明圖。
認證中心服務器100主要配置有哈希生成部分102、簽名生成部分 104、證書生成部分106、通信部分108和存儲部分110。
哈希生成部分102生成包括從區(qū)域管理服務器200獲得的區(qū)域管理服 務器200的服務器名和公鑰的電子文檔。哈希生成部分102通過利用哈希 函數壓縮該電子文檔來生成哈希值。所述哈希函lbl:用于從輸入信息中提 取具有預定長度的典型數值的處理或功能。例如使用MD4、 MD5、 SHA-1等。
簽名生成部分104利用認證中心服務器100中的秘密密鑰iMt哈希生 成部分102所生成的哈希值進行加密。簽名生成部分104生成與所述哈希 值相對應的數字簽名。此時，由認證中心服務器100所保存的秘密密鑰是與客戶端設備400所保存的公鑰(在下文中稱為"根證書")相配對的密 鑰?？梢酝ㄟ^所述才艮證書來對借助于所述秘密密鑰而加密的哈希值進行解 密。當在瀏覽器等中使用諸如SSL (安全套接字層)之類的加密技術時使 用所述根證書。證書生成部分106生成包括所述數字簽名(加密的哈希 值)、區(qū)域管理服務器200的公鑰以及區(qū)域管理服務器200的月艮務器名的 區(qū)域管理服務器證書。
通信部分108向區(qū)域管理服務器200發(fā)送信息/接收來自區(qū)域管理服 務器200的信息。通信部分108獲得在簽名生成部分104和證書生成部分 106生成區(qū)域管理服務器證書時所使用的、區(qū)域管理服務器200的服務器 名和公鑰。此外，通信部分108將所生成的區(qū)域管理服務器證書發(fā)送給區(qū) 域管理服務器200。存儲部分110存儲與客戶端設備400所M的根證書 相對應的秘密密鑰。簽名生成部分104根據需要而讀取所存儲的秘密密鑰 以供使用。存儲部分110可以在預定的時間內存儲所生成的區(qū)域管理服務 器證書。
利用上述配置，可以通it^戶端設備400所M的根證書來進行B 的區(qū)域管理服務器證書被發(fā)布給區(qū)域管理服務器200。
接下來，參照圖3，將描述區(qū)域管理服務器200的配置。圖3是示出 了根據本實施例的區(qū)域管理服務器200的配置示例的i兌明圖。
如圖3所示，區(qū)域管理服務器200主要配置有密鑰生成部分202、簽 名生成部分204、證書生成部分206、訪問控制列表生成部分208、通信 部分210和存儲部分212。區(qū)域管理服務器200經由通信部分210與i人證 中心服務器100以及服務提供服務器300相連接。
密鑰生成部分202生成成對的公鑰和秘密密鑰。密鑰生成部分202 所生成的公鑰^JL送給認證中心服務器100。該公鑰被包括在認證中心服 務器100所生成的區(qū)域管理服務器證書中。在發(fā)布用于服務提供服務器 300的服務提供服務器證書時使用密鑰生成部分202所生成的秘密密鑰。
訪問控制列表生成部分208生成訪問控制列表，在所述訪問控制列表 中描述了在比如客戶端設備400基于腳本數據或標簽信息而訪問安全芯 片500時可以被訪問的服務區(qū)域的范圍、訪問權限等。訪問控制列表生成 部分208發(fā)布用于僅許可對分配給服務提供服務器300的預定服務區(qū)域的 訪問的訪問控制列表?？梢栽诮邮盏絹碜苑仗峁┓掌?00的請求之 后，基于該請求來確定對其的訪問將被許可的服務區(qū)域的范圍。所述標簽信息是變量與通過其定義了要執(zhí)行的處理的規(guī)則的字符串的組合。
這里，參照圖ll，將描述所述訪問控制列表。圖ll是示出了才艮據本 實施例的訪問控制列表的示例的說明圖。
例如，如圖ll所示，在所述訪問控制列表中描述了可以初訪問的區(qū) 域的起始地址和結束地址。在所述訪問控制列表中描述了針對可以被訪問 的服務區(qū)域的每個服務代碼而設置的訪問權限(例如讀許可、寫許可、對 被許可的對同 一 區(qū)域的訪問的頻率的限制等等)。獲得了所述訪問控制列
表的客戶端設備400只在基于腳本數據的訪問處理符合所述訪問控制列 表中描述的條件時才可以執(zhí)行所i^本數據。利用這種配置，可以防止基 于腳本數據的對服務區(qū)域的未經授權的訪問。
再參照圖3，簽名生成部分204通過以下方式來生成哈希值利用哈 希函數對包括所述訪問控制列表以及從服務提供月良務器300獲得的服務 提供服務器300的服務器名和公鑰的電子文檔進行壓縮。簽名生成部分 204利用密鑰生成部分202所生成的區(qū)域管理服務器200的秘密密鑰來對 所述哈希值進行加密。認證中心服務器206生成包括加密的哈希值、區(qū)域 管理服務器200的公鑰以及所述訪問控制列表的服務提供服務器證書。
通信部分210向認證中心服務器100和服務提供服務器300發(fā)送信息 /接收來自認證中心服務器100和服務提供服務器300的信息。此外，通
服務器證書時使用的服務提供服務器300的服務器名和公鑰。通信部分 210將所生成的服務提供月良務器證書發(fā)送給月良務提供服務器300。
密鑰以及^問控制列表i成部分208-所生成的訪問控制列表。存儲部分 212存儲由用于發(fā)布將由客戶端設備400保存的根證書的發(fā)布者(例如認 證中心服務器IOO)加上了數字簽名的區(qū)域管理服務器證書等。存儲部分 212可以存儲服務提供服務器300的服務器名和公鑰或者簽名生成部分 204和證書生成部分206所生成的服務提供服務器證書。
利用上述配置來發(fā)布可以利用區(qū)域管理月良務器200的乂i^進行!HE 的服務提供服務器證書。此外，利用所述訪問控制列表來限制對安全芯片 500的訪問。
接下來，參照圖4，將描述服務提供服務器300的配置。圖4是示出 了根據本實施例的服務提供服務器300的配置示例的說明圖。參照圖4，服務提供服務器300主要配置有密鑰生成部分302、簽名 生成部分304、腳本頁生成部分306、腳本生成部分308、通信部分310 以及存儲部分302。
密鑰生成部分302生成成對的公鑰和秘密密鑰。密鑰生成部分302 所生成的^H^M送給區(qū)域管理服務器200。所述公鑰被包括在區(qū)域管理 服務器200所生成的服務提供服務器證書中。另一方面，在生成腳^名 數據時使用密鑰生成服務器302所生成的秘密密鑰。
腳本生成部分308生成腳4*據，在所^Jfr;Mt據中描述了在服務提 供服務器300向客戶端設備400提供服務時要由客戶端設備400執(zhí)行的處 理。所#4^據是以例如嵌入在HTML文檔等中的諸如ECMAScript 或JavaScript之類的腳本語言描述的(參照圖8或9),并M送給客戶 端設備400。例如，使用包括對IC芯片的訪問控制指令的ECMAScript 等作為所，本數據。
腳本生成部分308可以被配置用于生成圖12所示的標簽信息而非所 述腳本。在下文中，盡管主要將描述使用所述腳本的情況，但是，通過用 標簽信息替代所述腳本，可以將所述情況變更為使用所述標簽信息的模 式。因此，使用標簽信息的情況也包括在本實施例的技術范圍之內。例如， 使用XML等的標簽作為標簽信息。在這種情況下，通過將對安全芯片500 的操作內容添加到標簽自身上，以及通過在標簽信息中描述指示要對其執(zhí)
行操作的存儲區(qū)域的ID等，來實現與所itJ御本的處理相類似的處理。例 如，使用服務代碼等作為所述ID。
字簽名或加密i類的數據置亂。例;，簽名生成部分304利用哈希函數對 所,4^t據進行壓縮。然后，簽名生成部分304通過利用服務提供服務 器300中的秘密密鑰對所生成的哈希值進行加密來生成腳^名數據。在 使用標簽信息的修改的示例的情況下，簽名生成部分304不是給腳本加簽 名，而是給整個標簽加簽名。
腳本頁生成部分306在腳本頁中除了描述腳本生成部分308所生成的 腳本數據之外，還描述了簽名生成部分304所生成的腳本簽名數據以及經 由通信部分310獲得的服務提供服務器證書和區(qū)域管理服務器證書。如圖 8所示，除了所i^;Mt據之夕卜，在腳本頁中還描述了腳#名數據702、 服務提供服務器證書704和區(qū)域管理服務器證書706。在圖8中，盡管示 出了在以HTML描,本頁的情況下的示例，但是本實施例并不限于這種方式。
通信部分310具有向區(qū)域管理服務器200發(fā)送信息/接收來自區(qū)域管 理服務器200的信息的功能、以及經由網絡10向客戶端設備400等發(fā)送 信息/接收來自客戶端設備400等的信息的功能。通信部分310將密鑰生 成部分302所生成的服務提供服務器300的公鑰發(fā)送給區(qū)域管理服務器 200。通信部分310從區(qū)域管理服務器200獲得區(qū)域管理服務器證書。通 信部分310除了向客戶端設備400發(fā)生所,本數據之外，還向客戶端設 備400發(fā)i^a名數據、服務提供服務器證書、區(qū)域管理服務器證書等 等。
存儲部分312存儲例如密鑰生成部分302所生成的成對的公鑰和秘密 密鑰、腳本數據、腳本頁、腳M名數據、從區(qū)域管理服務器200獲得的 區(qū)域管理服務器證書等等。
利用上述配置，生成了可以利用包括在服務提供服務器證書中的服務 提供服務器300的^^進行IHi的腳^名lt據。
接下來，參照圖5，將描^戶端設備400的配置。圖5是示出了根 據本實施例的客戶端設備400的配置示例的說明圖。
參照圖5，客戶端設備400主要配置有服務器lHi部分402、簽名驗 證部分404、訪問控制部分406、腳本解釋部分408、通信部分410和存 儲部分412。
服務器!HiE部分402對經由網絡10從服務提供服務器300獲得的服 務提供服務器證書、區(qū)域管理服務器證書、服務提供服務器300的服務器 名等等進行J!Hi。
服務器mst部分402利用客戶端設備400的瀏覽器中的根證書來!HiE 所述區(qū)域管理服務器證書。然后，服務器^部分402利用從區(qū)域管理服 務器證書獲得的區(qū)域管理服務器200的公鑰來驗證服務提供服務器證書 和訪問控制列表。此時，服務器!HiE部分402獲得包括在服務提供服務器 證書中的訪問控制列表，并將所述訪問控制列表存儲在存儲部分412中。
對每個所述證書的!Ht包括利用與加密所述證書的秘密密鑰相對應 的公鑰來對每個所述證書進行解密的處理。通過所述解密，服務器m^部 分402獲得包括在每個所述證書中的哈希值、公鑰等。服務器IHi部分 402對所連接的服務提供服務器300的服務器名以及從所驗證的服務提供 服務器證書獲得的服務器名進行比較和mt。簽名驗證部分404具有IHE腳;^名數據的功能。簽名JiHit部分404 利用服務器驗證部分402從服務提供服務器證書獲得的、服務提供服務器 300的^^來^it所,4^名數據。
訪問控制部分406基于所,;Mt據來控制對安全芯片500的訪問。 腳本解釋部分408讀取所,^據中描述的代碼作為執(zhí)行指令。
首先，訪問控制部分406僅僅在所,4^名數據已經過驗證時才基 于腳本解釋部分408所讀取的腳^lt據來訪問安全芯片500。此時，訪問 控制部分406參考服務提供服務器證書中包括的訪問控制列表。訪問控制 部分406只訪問所述訪問控制列表中描述的、對其的訪問被區(qū)域管理服務 器200所許可的服務區(qū)域.如果存在用于訪問對其的訪問未被所述訪問控 制列表所許可的服務區(qū)域的腳M據，則訪問控制部分406輸出錯誤并停 止對安全芯片500的訪問。
當在所述訪問控制列表中存在對訪問權限等的描述時，訪問控制部分 406只執(zhí)行所述訪問控制列表所許可的操作。當存在指示未被許可的操作 的腳本數據時，訪問控制部分406輸出M并停止對安全芯片500的訪問。
存儲部分412存儲從服務提供服務器300接收的腳^lt據、腳4^名 數據、服務提供服務器證書、區(qū)域管理服務器證書、根證書等。存儲部分 412可以存儲在對每個證書進行驗證時所獲得的服務提供服務器300的公 鑰、區(qū)域管理服務器200的公鑰等。存儲部分412可以根據需要而預先存 儲各種證書。
利用上述配置，通過4吏用客戶端設備400所^"的根證書來臉汪區(qū)域 管理服務器證書。利用從區(qū)域管理服務器證書獲得的區(qū)域管理服務器200 的/^來mt服務提供服務器證書。利用W良務提供服務器證書獲得的服 務提供服務器300的公鑰來!Hi腳;^名數據。因此，可以防止在網絡 10或客戶端設備400中對腳4^lt據的更改。區(qū)域管理服務器200所發(fā)布 的訪問控制列表被包括在服務提供服務器證書中。因此，只有對其的訪問 被區(qū)域管理服務器200所許可的服務區(qū)域才受到訪問。因而可以維持安全 性。
接下來，參照圖14，將描述安全芯片500的配置。圖14是示出了根 據本實施例的安全芯片500的配置示例的說明圖。
參照圖14，安全芯片500主要配置有控制部分502、 ROM504、 RAM 506、通信部分508以及安全存儲器510。注意到，這些部分經由總線512而相連接且可以向彼此發(fā)送信息。安全芯片500例如是具有防篡改性的接 觸型或非接觸型的IC芯片或IC卡等。
安全芯片500包括例如與通信部分508相連接的環(huán)形天線(未示出)， 并且向用于非接觸型IC卡的讀取器/寫入器發(fā)送栽波/接收來自用于非接 觸型IC卡的讀取器/寫入器的栽波。安全芯片500通過所述栽波來發(fā)iH/ 接收信息，同時接受從所述讀取器/寫入器供應的電力。
通信模塊508可以例如與諸如讀取器/寫入器之類的外部設備進行通 信。通信部分508主要配置有前端電路(未示出)和電源再生電路(未示 出)。所述前端電路接收來自來源于所述讀取器/寫入器的栽波的信息，同 時通過對所述載波進行分頻而再生用于驅動安全芯片500中的每個電路 的時鐘。所述電源再生電路^從所述栽波中再生用于驅動安全芯片500中的 每個電路的電源。此外，安全芯片500與客戶端設備400相連接，并且可 以將從客戶端設備400接收到的信息經由總線512發(fā)送^:個部分。
控制部分502基于存儲在ROM 504等中的程序和數據或者來自客戶 端設備400的執(zhí)行指令等來控制安全芯片500中包括的每個部分的操作。 例如，控制部分502從安全存儲器510中讀出數據或者將數據寫入安全存 儲器510中。順便提及的是，控制部分502配置有例如中央處理單元(CPU) 等。ROM 506被用作例如用于臨時存儲經由通信部分508發(fā)送或接收的 數據或臨時存儲用于控制部分502的計算處理的數據和程序的緩沖器。
這里，參照圖13,將描述安全存儲器510的數據配置。在安全存儲 器510中，系統信息(Sys)、區(qū)域信息(A1， A2)、月良務ft息(Svll， Svl2， Sv21)被存儲作為管理信息。此外，在安全存儲器510中存儲有針對服務 信息(Svll， Svl2， Sv21)中定義的每個服務的具體用戶信息(Ulll， U112， U113, U121， U122， U211 )。例如，4子細，見察圖13中的區(qū)域信息 (Al)，可以理解通過區(qū)域信息(Al)定義了服務信息(Svll)和服務 信息(Svl2)，并且針對服務器信息(Svll)而言存在用戶信息(Ulll)、 用戶信息(U112)和用戶信息(U113)。
具體而言，首先，系統信息(Sys)是包括例如系統代碼、系統密鑰 信息和系統密鑰版本信息的信息。所述系統代碼是指示系統所有者的二字 節(jié)長度的代碼。此外，所述系統密鑰信息是針對每個系統設置的，并且是 在執(zhí)行與讀取器/寫入器等之間的相互認證時所使用的信息。所述系統密 鑰版本信息是管理所述系統密鑰的生成(即版本)的信息。區(qū)域信息(Al， A2)是包括例如區(qū)域代碼、極限服務代碼(end service code)、已分配塊數量信息、空白塊數量信息、區(qū)域密鑰信息和區(qū)域密鑰 版本信息的信息。所述區(qū)域代碼是用于標識區(qū)域的代碼。安全芯片500 的系統通常管理針對每個服務的用戶信息，并且還利用用于多個服務的區(qū) 域來進行集中管理。所述區(qū)域和服務處于分級結構中，并且所述區(qū)域在所 述結構中比所iaO艮務更高級。
此外，所述極限服務代碼是定義屬于區(qū)域的服務的代碼范圍的上限的 代碼。所述已分配塊數量信息是指示已分配給所述區(qū)域的塊的數量的信 息。所述空白塊數量信息是指示尚未分配給屬于所述區(qū)域的任何服務的塊 的數量的信息。所述區(qū)域密鑰信息是為每個區(qū)域指定的、用于執(zhí)行與所述
所述區(qū)域密鑰版本信息是用于管理所述區(qū)域密鑰的生成(即版本)的信息。
接下來，服務信息(Svll， Svl2， Sv21)是包括例如服務代碼、已 分配塊數量信息、服務密鑰信息和服務密鑰版本信息的信息。所述服務代 碼是用于標識服務的代碼。所述已分配塊數量信息是指示已分配給所述服 務的用戶信息塊的數量的信息。所述服務密鑰信息是為每個服務指定的密 鑰信息。所述服務密鑰版本信息是用于管理服務密鑰的生成(即版本)的 信息。
接下來，用戶信息(Ulll， U112, U113, U121， U122， U211)是實 際讀取和寫入的信息，并且包M如客戶編號、歷史信息或電子貨幣值之 類的具體信息。
因此，安全存儲器510的數據結構形成了按照系統信息、區(qū)域信息和 服務信息的順序的分級結構。此外，針對所述服務信息所定義的每個服務 的具體用戶信息被存儲在安全存儲器510中。因此，可以針對每個系統、 每個區(qū)域或每個服務而參考每個所述用戶信息，并且可以實現有效的數據 管理。
到目前為止，已經描述了安全存儲器510的數據結構。根據本實施例 的客戶端設備400基于服務提供服務器300所生成的腳本數據而訪問安全 存儲器510中的預定區(qū)域。此時，參考區(qū)域管理服務器200所生成的訪問 控制列表(指示例如僅許可對處于區(qū)域信息(Al)的更低級別的服務的 寫處理；參照圖ll),并且實現了僅許可對預定區(qū)域的訪問的訪問控制。
接下來，參照圖6，將描述發(fā)布區(qū)域管理服務器證書的處理。圖6是示出了根據本實施例的發(fā)布區(qū)域管理服務器證書的處理的說明圖。
為了發(fā)布區(qū)域管理服務器證書，首先，區(qū)域管理服務器200中具有的 密鑰生成部分202生成成對的公鑰和秘密密鑰(S102)。然后，區(qū)域管理 服務器200將區(qū)域管理服務器200的服務器名和所述公鑰經由通信部分 210而發(fā)送給認證中心服務器100 ( S104 )。
接下來，認證中心服務器100中具有的哈希生成部分102通過生成電 子文檔并借助于哈希函數而壓縮該電子文檔來生成哈希值(S106),其中 所述電子文檔包括諸如截止日期以及區(qū)域管理服務器200的月艮務器名和 公鑰之類的信息。接著，簽名生成部分104利用認證中心服務器100所保 存的秘密密鑰來生成與所述哈希值相對應的數字簽名(S108)。然后，證 書生成部分106生成包括所述數字簽名以及認證中心服務器100中的4H^ 的區(qū)域管理服務器證書(SllO)。隨后，認證中心服務器100經由通信部 分108將所述區(qū)域管理服務器證書發(fā)送給區(qū)域管理服務器200 ( S112 )。
到目前為止，已經描述了發(fā)布區(qū)域管理服務器證書的處理。通過應用 上述處理方法，使得可以發(fā)布可利用客戶端設備400所保存的根證書進行 驗證的區(qū)域管理服務器證書。
接下來，參照圖7，將描述發(fā)布服務提供服務器證書的處理。圖7是 示出了根據本實施例的發(fā)布服務提供服務器證書的處理的說明圖。
為了發(fā)布服務提供服務器證書，首先，服務提供服務器300中具有的 密鑰生成部分302生成成對的7>^和秘密密鑰(S202)。然后，服務提供 服務器300將服務提供服務器300的服務器名和所述公鑰經由通信部分發(fā) 送給區(qū)域管理服務器200 (S204 )。
接著，區(qū)域管理服務器200的訪問控制列表生成部分208生成用于訪 問安全芯片500的訪問控制列表(S206)。然后，簽名生成部分204生成 包括諸如服務提供服務器300的服務器名和公鑰、所述訪問控制列表以及 截止日期之類的信息的電手文檔，利用哈希函數對該電子文檔進行壓縮， 然后利用區(qū)域管理服務器200所保存的秘密密鑰對所獲得的哈希值進行 加密(S208)。
也就是說，生成了與所述哈希值相對應的、區(qū)域管理服務器200的數 字簽名。接著，證書生成部分206生成包括所述數字簽名以及區(qū)域管理服 務器200所保存的公鑰的服務提供服務器證書(S210)。隨后，區(qū)域管理 服務器200將所述服務提供服務器證書經由通信部分210發(fā)送給服務提供服務器300 ( S212 )。
到目前為止，已經描述了發(fā)布服務提供服務器證書的處理。通過應用 上述處理方法，使得可以發(fā)布可利用區(qū)域管理服務器證書中包括的區(qū)域管 理服務器200的公鑰進行驗證的服務提供服務器證書。
接下來，將描述服務提供服務器300生成腳本內容的處理。
首先，服務提供服務器300中具有的腳本生成部分308生成用于向客 戶端設備400提供預定服務的腳本數據。然后，簽名生成部分304利用哈 希函數對所,^t據進行壓縮，然后利用服務提供服務器300中的秘密 密鑰對該哈希值進行加密并生成腳#名數據。
然后，腳本頁生成部分306在腳本頁中除了描述所*本數據之外， 還描述了腳;^名數據、服務提供服務器證書和區(qū)域管理服務器證書。例 如，當使用HTML作為用于描述腳本頁的語言時，如圖8所示，除了腳 本數據之外，還描述了腳^名數據702、服務提供服務器證書704和區(qū) 域管理服務器證書706。在ECMA腳本的情況下，替代基于HTML的腳 本頁地，生成如圖9所示的腳本頁。
到目前為止，已經描述了生成腳本頁的處理。通過應用上述處理方法， 生成了可利用服務提供服務器證書中包括的服務提供服務器300的公鑰 進行發(fā)逸的腳#名數據，并且生成了包括在客戶端設備400中安全地執(zhí) 行腳本數據所需要的腳^名數據、區(qū)域管理服務器證書和服務提供服務 器證書的腳本頁。
接下來，參照圖10，將描迷在腳本數據的執(zhí)行之前的,處理。圖 10是示出了根據本實施例的在腳本數據的執(zhí)行之前的驗證處理的說明 圖。
首先，客戶端設備400向服務提供服務器300發(fā)送服務請求(S302 )。 響應于此，服務提供服務器300獲得包括腳;Mt據、腳M名數據、服務 提供服務器證書和區(qū)域管理服務器證書的腳本頁(S304)。此時，服務提 供服務器300可以獲得預先生成的腳本頁，或者可以利用腳本頁生成部分 306來生成腳本頁。然后，服務提供服務器300將所述腳本頁經由通信部 分310發(fā)送給客戶端設備400 ( S306 )。
接著，客戶端設備400中具有的服務器^i部分402利用客戶端設備 400中的公鑰(根證書)來對所述區(qū)域管理服務器證書進行驗證(S308)。 此夕卜，服務器B部分402利用從區(qū)域管理服務器證書獲得的區(qū)域管理服務器200的^^來對所述服務提供月良務器證書進行m^ ( S310 )。然后， 簽名J^iiE部分404利用從服務提供服務器證書獲得的服務提供服務器300 的/iH^來對所^本簽名數據進行驗證(S312)。隨后，服務器^￡部分 402 IH^服務提供服務器證書獲得的服務提供服務器300的服務器名是 否與為了獲得所述腳本而連接的服務提供服務器300的服務器名相同。
到目前為止，已經描述了在腳4^t據的執(zhí)行之前的mt處理。通過應 用上述處理方法，使得可以檢測到腳本數據的更改并且可以防止對安全芯 片500的未經授權的訪問。
接下來，將描iM^客戶端設備400執(zhí)行所^^lt據時的處理。
通過在腳本數據的執(zhí)行之前的驗證處理，客戶端設備400僅僅在所述 區(qū)域管理服務器證書、服務提供服務器證書、腳^名數據和服務器名已 被正確地m^時，才執(zhí)行W良務提供服務器300獲得的腳^t據。此夕卜， 客戶端設備400參考v^J艮務提供服務器證書獲得的訪問控制列表，并!HiE 所^*本數據中描述了對其的訪問的安全存儲器510的區(qū)域是否在所述 訪問控制列表中描述的區(qū)域范圍之內。然后，如果所述區(qū)域在所獲得的訪 問控制列表中描述的區(qū)域范圍之內，則客戶端設備400執(zhí)行所*本數 據。另一方面，如果所述區(qū)域不在所述區(qū)域范圍之內，則客戶端設備400
產生im并且不執(zhí)行所一本數據。
此外，當在所獲得的訪問控制列表中描述了與讀/寫等相關的訪問權 限或者規(guī)定了針對同 一 區(qū)域所許可的訪問頻率等時，客戶端i殳備400對訪 問頻率或者基于所^p;^t據的處理類型進行檢查，并且只有在滿足所述 訪問控制列表中描述的條件時，客戶端設備400才執(zhí)行所i^^t據。
到目前為止，已經描述了在執(zhí)行所*本數據時的處理。通過應用上 述處理方法，使得可以防止如下的腳本數據的執(zhí)行所,;^l:據用于以 未經授權的方式訪問對其的訪問未被區(qū)域管理服務器200所許可的服務 區(qū)域，并且實現了對于利用腳^據對安全芯片500的安全訪問的控制。 此外，利用訪問控制列表，也使得可以實現對于訪問權限或對同 一 區(qū)域的 訪問頻率的詳細訪問控制，
利用上述技術，實現了允許對于利用標Hlr或腳本語言對安全芯片 的訪問的安全控制的機制，其中所itJPp本語言例如為與用ActiveX, Java 等開發(fā)的應用相比可以更容易地開發(fā)的ECMAScript或JavaScript。與給 應用的哈希值加簽名并使客戶端設備驗證所述簽名的技術不同，對于本主題的技術而言，可以說由于確保了在區(qū)域管理器和服務提供商之一不能被 信任的情況下的安全性而實現了極高的安全性。因此，通過應用根據本實 施例的技術，可以向使用應用的安全芯片的訪問控制提供更高的安全性。
此夕卜，由于向客戶端設備400授予了允許只對對其的訪問被區(qū)域管理 服務器200所許可的服務區(qū)域進行訪問的訪問權限，而不是每次檢查腳本 數據的內容或經由網絡獲得對于執(zhí)行的許可，因此，使得可以減少區(qū)域管 理服務器200的負荷。此外，即使當所iiJp本數據已在服務提供月良務器 300與客戶端設備400之間的網絡10中被更改時，由于客戶端i更備400 在^￡所,本簽名數據時可以檢測到更改的存在/不存在，因此達到了 變得無需在服務提供服務器300與客戶端設備400之間構造諸如SSL之 類的加密的通信5^的效果。
此夕卜，由于通過簽名驗證來自動地判斷腳本數據是否經過授權，因此， 用戶在利用安全芯片執(zhí)行腳本時不必判斷該腳本是否經過授權。此外，即 使在用戶連接到惡意站點時，由于在簽名發(fā)逸時執(zhí)行發(fā)溪處理，因此可以 減少未經授權的腳^2M^戶端設備400執(zhí)行的風險。不用說的是，即使在 所述腳本已被更改時，由于所述腳本不會被客戶端設備400所執(zhí)行，因此 可以維持安全性。
本領域的技術人員應當理解，可以根據設計或其它因素而進行各種修 改、組合、子組合和更改，只要這些修改、組合、子組合和更改在所附的 權利要求或其等價內容的范圍之內即可。
例如，可以預先將區(qū)域管理服務器證書和服務提供服務器證書保存在 客戶端設備400中，或者可以將先前接收的每個證書保存在客戶端設備 400中，以便在mi所一^名數據時使用。此外，在上述實施例中， 盡管認證中心服務器100被配置成與其它設^^目分離，但是認證中心服務 器100也可以與區(qū)域管理服務器200相集成。此外，本發(fā)明可以應用于對 使用替代腳本的諸如Java或ActiveX之類的應用的安全芯片的訪問控制。
權利要求
1. 一種服務提供系統，包括區(qū)域管理服務器，所述區(qū)域管理服務器保存有第一加密密鑰和與所述第一加密密鑰相對應的第一解密密鑰；服務提供服務器，所述服務提供服務器與所述區(qū)域管理服務器相連接，并保存有第二加密密鑰和與所述第二加密密鑰相對應的第二解密密鑰；以及客戶端設備，所述客戶端設備與所述服務提供服務器相連接，能夠訪問防篡改的安全芯片并且保存有第三解密密鑰，其中，所述區(qū)域管理服務器具有訪問控制列表生成裝置，所述訪問控制列表生成裝置生成訪問控制列表，其中在所述訪問控制列表中描述了對其的訪問被許可給所述客戶端設備的、所述安全芯片的存儲區(qū)域，簽名生成裝置，所述簽名生成裝置利用所述第一加密密鑰而從所述訪問控制列表和獲得自所述服務提供服務器的第二解密密鑰生成第一數字簽名，以及證書生成裝置，所述證書生成裝置生成包括所述第二解密密鑰、所述訪問控制列表以及所述第一數字簽名的服務提供服務器證書，所述服務提供服務器具有指令集生成裝置，所述指令集生成裝置生成要由所述客戶端設備執(zhí)行的指令集，以及簽名生成裝置，所述簽名生成裝置利用所述第二加密密鑰而從所述指令集生成第二數字簽名，以及所述客戶端設備具有獲取裝置，所述獲取裝置獲取區(qū)域管理服務器證書、所述服務提供服務器證書、以及所述第二數字簽名，該區(qū)域管理服務器證書包括所述第一解密密鑰以及從所述第一解密密鑰生成的能夠通過所述第三解密密鑰進行解密的第三數字簽名，驗證裝置，所述驗證裝置利用所述第三解密密鑰對所述區(qū)域管理服務器證書進行驗證，利用從所述區(qū)域管理服務器證書提取的所述第一解密密鑰對所述服務提供服務器證書進行驗證，并利用從所述服務提供服務器證書提取的所述第二解密密鑰對所述第二數字簽名進行驗證，以及訪問控制裝置，所述訪問控制裝置只在所述區(qū)域管理服務器證書、所述服務提供服務器證書和所述第二數字簽名已被所述驗證裝置正確地驗證，而且所述訪問控制裝置還利用所述第二解密密鑰從所述第二數字簽名中解密出所述指令集，并且根據所述指令集要進行訪問的、所述安全芯片的存儲區(qū)域被包括在由從所述服務提供服務器證書提取的訪問控制列表所指示的、所述安全芯片的存儲區(qū)域中時，才執(zhí)行所述指令集。
2. 根據權利要求l所述的服務提供系統，其中所述訪問控制列表描述了以下兩者之一或者這兩者對于所^戶端 設備的讀處理或寫處理進行限制的訪問權P艮信息，以及對于對所述安全芯 片的存儲區(qū)域的訪問頻率進行限制的訪問頻率信息；以及所^戶端設備中具有的訪問控制裝置只在才艮據所述指令集訪問所 述安全芯片的處理滿足所述訪問控制列表中描述的條件時才執(zhí)行所述指 令集。
3. —種服務提供系統，包括區(qū)域管理服務器，所述區(qū)域管理服務器保存有第一加密密鑰和與所述 第一加密密鑰相對應的第一解密密鑰；服務提供服務器，所述服務提供服務器與所述區(qū)域管理服務器相連 接，并且^有第二加密密鑰和與所述第二加密密鑰相對應的第二解密密鑰；認證服務器，所述認證月良務器與所述區(qū)域管理服務器相連接并且* 有第三加密密鑰；以及客戶端i更備，所述客戶端設備與所i^艮務提供服務器相連接，能夠訪 問防篡改的安全芯片，并且保存有與所述第三加密密鑰相對應的第三解密 密鑰，其中，所述區(qū)域管理服務器具有訪問控制列表生成裝置，所述訪問控制列表生成裝置生成訪問控 制列表，其中在所述訪問控制列表中描述了對其的訪問被許可給所i^戶 端設備的、所述安全芯片的存儲區(qū)域，簽名生成裝置，所述簽名生成裝置利用所述第一加密密鑰而從所述訪問控制列表和獲得自所述服務提供服務器的第二解密密鑰生成第一 數字簽名，以及證書生成裝置，所述證書生成裝置生成包括所述第二解密密鑰、 所述訪問控制列表和所述第一數字簽名的服務提供服務器證書，所述服務提供服務器具有指令集生成裝置，所述指令集生成裝置生成要由所i^戶端i殳備 執(zhí)行的指令集，以及簽名生成裝置，所述簽名生成裝置利用所述第二加密密鑰從所述 指令集生成第二數字簽名，所述認證月良務器具有簽名生成裝置，所述簽名生成裝置利用所述第三加密密鑰從獲得 自所述區(qū)域管理服務器的第一解密密鑰生成第三數字簽名；以及證書生成裝置，所述證書生成裝置生成包括所述第一解密密鑰和 所述第三數字簽名的區(qū)域管理服務器證書，以及所^戶端設備具有獲取裝置，所述獲取裝置獲取所述區(qū)域管理服務器證書、所述服 務提供服務器證書以及所述第二數字簽名；驗證裝置，所述驗證裝置利用所述第三解密密鑰來驗證所述區(qū)域 管理服務器證書，利用從所迷區(qū)域管理服務器證書提取的所述第 一解密密 鑰來驗證所^艮務提供服務器證書，并利用從所^艮務提供服務器證書提 取的所述第二解密密鑰來驗證所述第二數字簽名；以及訪問控制裝置，所述訪問控制裝置只在所迷區(qū)域管理服務器證 書、所述服務提供服務器證書和所述第二數字簽名已被所述驗證裝置正確 地驗證，而且所述訪問控制裝置還利用所述第二解密密鑰從所述第二數字 簽名中解密出所述指令集，并且根據所述指令集要進行訪問的、所述安全 芯片的存儲區(qū)域被包括在由從所述服務提供服務器證書提取的訪問控制 列表所指示的、所述安全芯片的存儲區(qū)域中時，才執(zhí)行所述指令集。
4.根據權利要求3所述的服務提供系統，其中所述訪問控制列表描述了以下兩者之一或者這兩者對于所i^戶端 設備的讀處理或寫處理進行限制的訪問權限信息，以及對于對所述安全芯片的存儲區(qū)域的訪問頻率進行限制的訪問頻率信息；以及所ii^戶端設備中具有的訪問控制裝置只在根據所述指令集訪問所令集。
5. —種服務提供服務器，包括通信裝置，被配置用于與以下兩者進行通信M有第一解密密鑰且 能夠訪問安全存儲器的信息終端設備，以及管理對所述安全存儲器的訪問 的區(qū)域管理服務器；保存裝置，被配置用于M第二加密密鑰和與所述第二加密密鑰相對 應的笫二解密密鑰；獲取裝置，所述獲取裝置獲取包括所述第二解密密鑰且能夠通過所述 第 一解密密鑰進行!Ht的第 一證書、以及包^問控制列表l能夠通過所 述第二解密密鑰進行!Hi的第二證書，其中在所述訪問控制列表中描述了對其的訪問被許可給所述信息終端設備的、所述安全存儲器的存儲區(qū)域；指令集生成裝置，所述指令集生成裝置生成要由所述信息終端設備執(zhí) 行的指令集；以及簽名生成裝置，所述簽名生成裝置從所述指令集生成能夠利用所述第 二加密密鑰進行驗證的數字簽名，其中所述服務提供服務器將所述第一證書、所述第二證書、所述數字簽名 以及所述指令集發(fā)送給所述信息終端設備。
6. 根據權利要求5所述的服務提供服務器，其中所述訪問控制列表描述了以下兩者之一或者這兩者對于信息終端設 備的讀處理或寫處理進行限制的訪問權限信息，以及對于對所述安全存儲 器的存儲區(qū)域的訪問頻率進行限制的訪問頻率信息。
7. —種信息終端i殳備，包括 安全存儲器；保存有第一解密密鑰的*裝置；通信裝置，所述通信裝置與以下兩者進行通信管理對所述安全存儲 器的訪問的區(qū)域管理服務器，以及保存有第二加密密鑰和與所述第二加密 密鑰相對應的第二解密密鑰的服務提供服務器；獲取裝置，所述獲取裝置獲取包括所述第二解密密鑰且能夠通過所述 第 一解密密鑰進行!Hi的第 一證書、包M問控制列^J^能夠利用所述第 二解密密鑰進行驗證的第二證書、以及來自要由所述信息終端設備執(zhí)行的指令集的能夠通過利用所述第二加密密鑰進行iHi的數字簽名，其中所述 訪問控制列表中描述了對其的訪問被許可的、所述安全存儲器的存儲區(qū) 域；驗證裝置，所述驗證裝置利用所述第一解密密鑰來^E所述第一證書，并利用從所述第 一證書中提取的所述第二解密密鑰來驗證所述第二證 書和所述數字簽名；以及訪問控制裝置，所述訪問控制裝置只在所述第一證書、所述第二證書 和所述數字簽名已被所述驗汪裝置正確地mit,并且根據從所述數字簽名 解密出的所述指令集要進^i^問的、所述安全存儲器的存儲區(qū)域被包括在 由從第二證書提取的訪問控制列表所指示的、所迷安全存儲器的存儲區(qū)域 中時，才執(zhí)行所述指令集。
8.根據權利要求7所述的信息終端設備，其中所述訪問控制列表描述了以下兩者之一或者這兩者對于信息終端設 備的讀處理或寫處理進行限制的訪問權P艮信息，以及對于對所述安全存儲 器的存儲區(qū)域的訪問頻率進行限制的訪問頻率信息；以及所述訪問控制裝置只在才艮據所述指令集訪問所述安全存儲器的處理 滿足所述訪問控制列表中描述的條件時才執(zhí)行所述指令集。
全文摘要
本發(fā)明提供了一種服務提供系統、服務提供服務器以及信息終端設備。所述服務提供系統包括能夠訪問防篡改的安全存儲器的客戶端設備、對所述安全存儲器的存儲區(qū)域進行管理的區(qū)域管理服務器、以及向所述客戶端設備提供利用所述安全存儲器的服務提供服務器，所述服務提供系統利用數字簽名和證書而改善了在向客戶端設備發(fā)送以下內容時的安全性區(qū)域管理服務器所提供的訪問控制列表，以及服務提供服務器所提供的指令集。
文檔編號H04W12/04GK101448255SQ200810179108
公開日2009年6月3日 申請日期2008年11月25日 優(yōu)先權日2007年11月27日
發(fā)明者關谷秀一, 竹內武, 赤鹿秀樹 申請人:飛力凱網路股份有限公司