安全設備的製作方法

2023-05-29 18:21:16 3

專利名稱：安全設備的製作方法
技術領域：
本發明涉及一種安全設備，該安全設備配備有防止內容的未授權使用的技術以及避免在電子商務(移動EC)過程中產生欺詐行為的技術。
背景技術：
近期，經過網絡例如網際網路來發布音樂內容和運動圖像內容的各種類型的電子信息服務已經日趨流行。電子信息服務的實施例包括內容發布服務和移動EC服務。
這種電子信息服務需要防止內容被未授權使用的內容保護技術和如鑑定技術和記帳技術之類的在移動EC中所使用的EC保護技術支持。因此，配備有這種技術的安全設備已經發展起來並被廣泛使用。
用戶例如將這種安全設備安裝到他們的行動電話上以從路上安全地執行內容發布服務和移動EC服務之類的服務。
關於安全設備的詳細信息，2001年10月在Hitachi Hyoron上發表的由MIYAKE Jun、ISHIHARA Harutsugu和TSUNEHIRO Takashi撰寫的附刊「用於內容發布和移動商務的安全多媒體卡(Securemultimedia card for content distribution and mobile commerce)」中公開了一種配備有內容保護技術和EC保護技術的安全多媒體卡(下文縮寫為「SMMC」)。
還存在配備有程序下載功能的SMMC，其中一個實施例是JAVA卡(JAVA是註冊商標)。這裡，要下載的程序可以是例如新的應用程式和已經在卡上生效的程序的最新版本。
配備有程序下載功能的SMMC在其TRM(抗篡改模塊)中包括密碼處理引擎、安全密鑰信息、CPU、RAM、ROM和EEPROM。SMMC還包括在TRM外部的大容量(例如存儲容量在8MB到256MB範圍內的)快閃記憶體。在SMMC中，CPU使用密碼處理引擎和安全密鑰信息控制例如鑑定過程和密碼處理過程。此外，CPU從外部設備上獲取要被下載的程序，並將獲取的程序存儲在安裝在TRM內的EEPROM中，以執行該程序。
這裡，TRM是配備有防止外部設備對存儲在模塊中的數據直接進行未授權訪問、篡改之類的操作的措施的模塊。
另外，快閃記憶體中存儲有作為發布內容的如音樂內容和運動圖像內容的各種數字數據。
安裝在TRM內的EEPROM是相比於其它存儲器在根據存儲容量的成本方面成本較高的設備。因此，EEPROM容量的增加將強烈影響SMMC的成本。另外，從設備的特性來看，可安裝到TRM的EEPROM的容量是受限的；根據當前結構構成的EEPROM的標準容量約為64MB。
同時，期望從現在開始大幅度增加要下載到SMMC的應用程式。考慮到這些情況，可以確定，在具有當前結構的TRM的EEPROM中是不可能存儲必要的應用程式的。
有一種將TRM的EEPROM所不能容納的應用程式存儲到TRM外部的快閃記憶體的方法。然而，對這種方法的不加選擇的使用從安全的觀點來說是不實際的，有必要從每個程序的管理者得到至少一個認可。為了實現這種系統，希望採用一種確保安全的新技術。
本發明的目的在於提供一種安全設備，該設備可以下載容量超出TRM上實現的存儲區的存儲容量的程序，同時可以確保程序管理者所期望的安全。

發明內容
根據本發明的安全設備包括多個存儲單元，每個都具有存儲區；獲取單元，用於獲取數字數據和相應的目的地信息，所述目的地信息用於將存儲單元確定為數字數據的存儲目的地；和處理單元，用於將數字數據存儲在基於目的地信息而確定的存儲單元中。
其中，安全設備具有多個存儲單元，每個存儲單元都包括存儲區，根據本發明，用於所述安全設備的存儲方法包括獲取數字數據和相應的目的地信息，所述目的地信息用於確定作為數字數據的存儲目的地的存儲單元；和將數字數據存儲在基於目的地信息而指定的存儲單元中。
通過上述結構，每條數字數據的管理者都可以為數字數據設定目的地信息。當具有高保護等級的存儲單元如安裝在TRM內的EEPROM缺少存儲空間時，這是十分有用的。特別是，在這種情況下，如果與管理者設定的目的地信息相一致，則可以將數字數據存儲在具有低保護等級的存儲單元如安裝在TRM之外的快閃記憶體中。因此，這種結構可以根據其數值有效存儲數字數據。
因此，當下載超出安裝在TRM中的存儲區的存儲容量的程序時，可以在確保管理者所需的安全性的同時實現下載。
此外，在所述安全設備中，多個存儲單元中的每一個都可相應於一個保護等級，目的地信息可以指定數字數據所需的保護等級，可操作處理單元以將與保護等級相應的存儲單元確定為數字數據的存儲目的地，所述保護等級與目的地信息指定的保護等級相同。
根據這種結構，每條數字數據的管理者都可以設定數字數據所需的保護等級，以將與數字數據的保護等級相同的保護等級相應的存儲單元確定作為數字數據的存儲目的地。這種結構可根據其數值有效存儲數字數據。
此外，在所述安全設備中，多個存儲單元中的每一個都相應於一個保護等級，目的地信息可以指定數字數據所需的保護等級，可操作處理單元以將與一保護等級相應的存儲單元確定為數字數據的存儲目的地，所述保護等級不低於目的地信息指定的保護等級。
根據這種結構，每條數字數據的管理者都可以設定數字數據所需的保護等級，以將相應於保護等級不低於數字數據的保護等級的存儲單元確定作為數字數據的存儲目的地。這種結構可根據其數值有效存儲數字數據。
此外，在安全設備中，處理單元還包括檢索子單元，用於在相應於保護等級不低於目的地信息指定的保護等級的存儲單元中檢索具有可容納數字數據的空白存儲區的所有存儲單元；確定子單元，用於將相應於被發現具有可容納數字數據的空白存儲區的所有存儲單元中的最高保護等級的存儲單元確定為數字數據的存儲目的地；和存儲子單元，用於將數字數據存儲在由確定子單元確定的存儲單元中。
上述結構可以將具有可用存儲區的存儲單元中的具有最高保護等級的存儲單元確定為存儲目的地。因此，能夠儘可能安全的存儲每條數字數據。
另外，在安全設備中，處理單元還包括輸出子單元，用於在檢索子單元沒有發現存儲單元的情況下輸出錯誤信息，以告知用戶數字數據不能被存儲。
上述結構能夠在沒有可用存儲區時向用戶顯示不能存儲數字數據。
另外，在安全設備中，處理單元還包括移動子單元，用於在檢索單元沒有發現存儲單元的情況下(1)讀取相應於已經存儲在保護等級不低於第一保護等級的多個存儲單元中的任意一個中的每個數字數據的目的地信息，其中所述第一保護等級是由被加入到獲取單元處獲取的數字數據的目的地信息指定的保護等級，(2)從讀取的目的地信息中提取出指定保護等級低於所述第一保護等級的目的地信息，和(3)將相應於提取出的目的地信息的數字數據移動到相應於保護等級低於第一保護等級並且不低於每個由提取出的目的地信息指定的保護等級的存儲單元中，以為獲取的數字數據分配存儲區，和存儲子單元，用於將獲取的數字數據存儲到移動子單元所分配的存儲區內。
根據上述結構，可以根據已經存儲的數字數據的目的地信息移動該已經存儲的數字數據，以為新的數字數據分配存儲區。因此，該結構可以根據其數值有效存儲每條數字數據。
另外，在安全設備中，處理單元還包括輸出子單元，如果移動子單元不能分配存儲區，則可操作所述輸出子單元輸出錯誤信息，以告知用戶不能存儲獲取的數字數據。
根據上述結構，當即使已經移走了已經存儲的數字數據卻仍不能分配存儲區時，可以告知用戶沒有空間來容納新的數字數據。
另外，在安全設備中，多個存儲單元中的每一個相應於一個保護等級，目的地信息指定數字數據所需的保護等級，該信息還用於確定數字數據的存儲目的地是具有與目的地信息相同的保護等級的存儲單元，還是相應於保護等級不低於目的地信息所指定的保護等級的存儲單元中的任意一個，可操作存儲單元根據目的地信息將相應於與目的地信息保護等級相同的存儲單元或相應於保護等級不低於使用目的地信息指定的保護等級的存儲單元之一確定為數字數據的存儲目的地。
根據上述結構，每條數字數據的的管理者可以設定數字數據是存儲在保護等級與數字數據相同的存儲單元中還是存儲在保護等級不小於數字數據的存儲單元之一中。這使得可以更為靈活的進行設定。
另外，在安全設備中，目的地信息指定是否可以在將數字數據存儲到安全設備之前任意決定數字數據的存儲目的地，可操作處理單元根據目的地信息將數字數據存儲在任意決定的存儲單元中或基於目的地信息而確定的存儲單元中。
根據上述結構，每條數字數據的管理者可以設定數字數據的存儲目的地是否可以在安全設備內任意確定。這使得設定方式更加靈活。
另外，在安全設備中，多個存儲單元的每一個可相應於一個保護等級，目的地信息指定是否在將數字數據存儲到相應於保護等級低於預定保護等級的存儲單元之前加密數字數據，處理單元根據目的地信息在將數字數據存儲到低保護等級存儲單元之前有選擇的加密數字數據。根據上述結構，每條數字數據的管理者可以設定在將數字數據存儲到具有與預定保護等級相同的低保護等級的存儲單元時是否加密數字數據。這使得設定方式更加靈活。
此外，如果對每個安全設備都是唯一的密鑰用在這種加密過程中，則可以防止存儲在具有低保護等級的存儲單元如快閃記憶體中的數字數據受到第三人的攻擊如試圖將數字數據的未授權拷貝提取到另一安全設備。
換句話說，即使在向另一安全設備執行這種未授權拷貝時，在該另一安全設備中所使用的密鑰是不同的並且不能正確解密，從而阻止了數字數據的未授權使用。
另外，在安全設備中，多個存儲單元的每一個可相應於一個保護等級，目的地信息指定是否在將數字數據存儲到具有保護等級低於預定保護等級的存儲單元時將信息證實代碼添加到數字數據中，處理單元可被操作根據目的地信息在將數字數據存儲到低保護等級存儲單元之前有選擇的將信息證實代碼添加到數字數據。
根據上述結構，每條數字數據的管理者可以設定在將數字數據存儲到保護等級低於預定保護等級的存儲單元時是否將信息證實代碼添加到數字數據中。這使得設定方式更加靈活。
另外，如果在存儲數字數據之前添加這種信息證實代碼，將避免受到存儲在具有低保護等級的存儲單元如快閃記憶體中的數字數據被未授權使用之類的攻擊，上述攻擊可以通過篡改數字數據或相應的目的地信息而實現。
這意味著，即使在已經篡改了數字數據或相應的目的地信息的情況下，也可以通過執行鑑定處理而檢測到這種情況。因此，當檢測到篡改發生時，可以禁止數字數據的使用。
此外，在安全設備中，多個存儲單元的每一個可相應於一個保護等級，目的地信息指定是否在將數字數據存儲到具有比預定保護等級低的保護等級的存儲單元時嵌入數字籤名，處理單元可被操作以根據目的地信息在將數字數據存儲到抵保護等級存儲單元之前有選擇的將數字籤名嵌入到數字數據上。
根據上述結構，每條數字數據的管理者可以設定在將數字數據存儲到具有比預定保護等級低的保護等級的存儲單元時是否將數字籤名嵌入到數字數據上。這使得設定方式更加靈活。
另外，如果在存儲數字數據之前嵌入這種數字籤名，將避免受到存儲在具有低保護等級的存儲單元如快閃記憶體中的數字數據的未授權使用之類的攻擊，上述攻擊可以通過篡改數字數據或相應的目的地信息而實現。
這意味著，即使在已經篡改了數字數據或相應的目的地信息的情況下，也可以通過執行鑑定處理而檢測到這種情況。因此，當檢測到篡改發生時，可以禁止數字數據的使用。
此外，在安全設備中，多個存儲單元的每一個可相應於一個保護等級，目的地信息可以指定在獲取單元所獲取的數字數據的優先級，至少一個存儲單元已經在其上存儲了數字數據，已經存儲的每條數字數據可相應於一個優先級，在具有較高優先級的數字數據存儲在相應於較高保護等級的存儲單元的狀態下，已經存儲的數字數據可被存儲在多個存儲單元中，處理單元可被操作以根據目的地信息所指定的優先級將獲取的數字數據存儲在存儲單元中，以保持具有較高優先級的數字數據存儲在相應於較高保護等級的存儲單元中的狀態。
根據上述結構，每條數字數據的管理者可以設定數字數據的優先級，以便可以根據優先級將數字數據存儲在存儲單元中。因此，上述結構實現了數字數據的有效存儲。
此外，在安全設備中，已經存儲的每條數字數據都可以附加一個指定優先級的目的地信息，處理單元還包括移動子單元，用於從相應於最高保護等級的存儲單元開始按順序對多個存儲單元執行下述操作(1)判定多個存儲單元中的任意一個是否具有容納所獲取的數字數據的空白存儲區，(2)當判定結果為否定的時，讀取加入到存儲在存儲單元中的數字數據的目的地信息，(3)提取出指定優先級低於由附加到獲取的數字數據的目的地信息所指定的優先級的每條目的地信息，(4)將相應於提取出的目的地信息的數字數據移動到相應於保護等級低於由提取出的目的地信息所指定的保護等級的存儲單元中，(5)重複上述(1)-(4)，直到獲得肯定判定結果，以為獲取的數字數據分配存儲區；和存儲子單元，用於將獲取的數字數據存儲在移動子單元所分配的存儲區內。
根據上述結構，可以根據數字數據的優先級移動已經存儲的數字數據，以便可以為新的數字數據分配具有儘可能高的保護等級的存儲區。因此，可以儘可能安全地存儲每條數字數據。
此外，在安全設備中，由移動子單元讀取的目的地信息可指定相應於讀取的目的地信息的數字數據在被移動的情況下是否應當被加密，移動子單元可被操作來根據附加到要被移動的數字數據的目的地信息有選擇地加密要被移動的數字數據，並移動要被移動的數字數據。
根據上述結構，每條數字數據的管理者可以設定在移動時是否應對數字數據加密。這使設定方式更加靈活。
另外，如果對每個安全設備的唯一的密鑰被用在這種加密過程中，則可以防止移動到具有低保護等級的存儲單元如快閃記憶體中的數字數據受到第三人的攻擊，如試圖將數字數據的未授權拷貝提取到另一安全設備。
也就是說，即使在向另一安全設備執行這種未授權拷貝時，在該另一安全設備中所使用的密鑰是不同的並且不能正確解密，從而阻止了數字數據的未授權使用。
此外，在安全設備中，由移動子單元讀取的目的地信息可指定相應於讀取的目的地信息的數字數據在被移動的情況下是否應當添加信息證實代碼，移動子單元可被操作來根據相應於要被移動的數字數據的目的地信息有選擇地將信息證實代碼添加到要被移動的數字數據，並移動要被移動的數字數據。
根據上述結構，每條數字數據的管理者都可以設定在移動時是否應將信息證實代碼添加到數字數據中。這使得設定方式更加靈活。
另外，如果在移動數字數據之前添加這種信息證實代碼，將避免受到移動到具有低保護等級的存儲單元如快閃記憶體的數字數據的未授權使用之類的攻擊，上述攻擊可以通過篡改數字數據或相應的目的地信息而實現。
也就是說，即使在已經篡改了數字數據或目的地信息的情況下，也可以通過執行鑑定處理而檢測到這種情況。因此，當檢測到篡改發生時，可以禁止數字數據的使用。
此外，在安全設備中，移動子單元讀取的目的地信息可指定相應於讀取的目的地信息的數字數據在被移動的情況下是否應當嵌入數字籤名，移動子單元可被操作來根據相應於要被移動的數字數據的目的地信息有選擇地將數字籤名嵌入到數字數據，並移動要被移動的數字數據。
根據上述結構，每條數字數據的管理者都可以設定在移動時是否應將數字籤名嵌入到數字數據中。這使得設定方式更加靈活。
另外，如果在移動數字數據之前嵌入這種數字籤名，將避免受到移動到具有低保護等級的存儲單元如快閃記憶體的數字數據的未授權使用之類的攻擊，上述攻擊可以通過篡改數字數據或相應的目的地信息而實現。
也就是說，即使在已經篡改了數字數據或目的地信息的情況下，也可以通過執行鑑定處理而檢測到這種情況。因此，當檢測到篡改發生時，可以禁止數字數據的使用。
此外，在安全設備中，目的地信息還可指定保護等級，移動子單元可不對相應於保護等級低於相應於獲取的數字數據的目的地信息所指定的保護等級的存儲單元執行(1)到(5)的處理過程，處理單元還可包括輸出子單元，在移動子單元不能分配存儲區的情況下，可操作用於輸出出錯信息，以告知用戶不能存儲獲取的數字數據。
根據上述結構，每條數字數據的管理者還可以對數字數據設定保護等級，以便不對保護等級低於數字數據的存儲單元執行移動處理過程。這有助於確保數字數據的安全性。
另外，當不能分配存儲區時，上述結構可以向用戶告知沒有用於新數字數據的空間。
此外，在安全設備中，獲取單元處所獲取的數字數據可以是電腦程式，其包括多個子程序，每個子程序都可以添加目的地信息，可操作處理單元以將每個子程序存儲在基於添加到子程序的目的地信息而確定的存儲單元中。
根據上述結構，數字數據的管理者可以為每個子程序設定目的地信息，以根據相應的目的地信息對每個子程序執行存儲目的地確定。這有助於根據子程序的數值有效存儲每個子程序。
此外，在安全設備中，多個存儲單元中的每一個可相應於一個保護等級，數字數據可以是電腦程式，其包括一個主例程和多個子例程，所述主例程和子例程每一個都添加有目的地信息，相應於主例程的目的地信息指定主例程應存儲在相應於高保護等級的存儲單元內，可操作處理單元以將每個例程存儲在根據相應於例程的目的地信息而確定的存儲單元中。
根據上述結構，數字數據的管理者可以為每個例程設定目的地信息，以根據相應的目的地信息對每個例程執行存儲目的地的確定。這有助於根據例程的數值有效存儲每個例程。
特別的，通過僅將主例程存儲在具有高保護等級的存儲元件中而將使程序難於讀取。
另外，在安全設備中，數字數據可或是嵌入了數字籤名或是添加了鑑定識別符，數字籤名和鑑定識別符顯示了1)目的地信息的正確性，或2)數字數據與目的地信息之間的一致性的正確性；和可操作處理單元以根據數字籤名或鑑定識別符執行鑑定操作，並僅在成功鑑定時才存儲數字數據。
根據上述結構，數字數據和相應的目的地信息將不是分離的，這提高了安全性。


圖1是與本發明的第一實施方式相關的安全系統的結構圖；圖2是與本發明的第一實施方式相關的安全設備100的結構圖；圖3是本發明的第一實施方式的附加信息的示意圖；圖4是示出了在本發明的第一實施方式的安全設備100中如何操作程序的下載處理的示意圖；圖5是與本發明的第二實施方式相關的安全設備200的結構圖；圖6是本發明的第二實施方式的附加信息的示意圖；和圖7是示出了在本發明的第二實施方式的安全設備200中如何操作程序的下載處理的示意圖。
具體實施例方式
(概述)在本發明中，安全設備具有多種類型的存儲區，每個存儲區都相應於不同的保護等級。安全設備獲取數字數據和相應的用於確定應存儲數字數據的存儲區的位置的附加信息，根據附加信息確定存儲區，並將數字數據存儲在確定的存儲區內。
更具體的說，SMMC包括兩種存儲元件具有高保護等級的EEPROM；和具有低保護等級的快閃記憶體。SMMC通過行動電話從伺服器上接收程序和相應的附加信息，根據附加信息確定存儲元件，並將程序下載到確定的存儲元件中，其中，所述附加信息指出要存儲程序的存儲元件是EEPROM還是快閃記憶體。
(系統結構)圖1示出了與本發明的第一實施方式相關的安全系統的結構。
如圖1所示，該安全系統由伺服器1、行動電話2和安全設備10構成。
伺服器1預先存儲用於每個程序的附加信息，並根據伺服器1的操作者的指令操作或依據行動電話2的使用者的請求操作將程序和相應的附加信息經過電話線傳送到行動電話2。
這裡，附加信息的一個實施例是指定安裝到TRM12的EEPROM19或指定安裝到TRM12外部的快閃記憶體18的標記。另一個實施例是指定了保護等級的數值，每個存儲元件都設定有保護等級。
行動電話2接收從伺服器1經過電話線傳送過來的程序和相應的附加信息。
安全設備10是配備有下載功能的SMMC，例如JAVA卡，並且可以由用戶將其安裝到例如行動電話2上。安全設備10接收在行動電話2所接收的程序和相應的附加信息，使用附加信息確定是存儲在EEPROM19還是存儲在快閃記憶體18，並將程序下載到確定的存儲元件中。
安全設備的尺寸可以是例如郵票大小的傳統SMMC的尺寸，或是IC卡的尺寸。安全設備還可以具有其它形式。
如圖1所示，安全設備10包括TRM12外部的卡接口電路11和快閃記憶體18。在TRM12之內，安全設備10包括密碼處理引擎13、安全密鑰信息14、CPU15、ROM16、RAM17、EEPROM19以及附加信息處理單元20。
這裡，要被下載的程序可以是例如付費應用程式、與帳單信息相關的程序以及已經安裝在卡上的程序的最新版本，所有這些程序在安全設備10中使用時都需要某種安全等級。
在本說明書中，因為從任何未授權的外部設備上難於訪問存儲在EEPROM19上的程序，從而不能在未授權的情況下改變EEPROM19中的數據，因此，安裝在TRM12中的EEPROM19被描述為具有高保護等級。
相反，由於從未授權的外部設備上訪問存儲在快閃記憶體18上的程序是相對容易的，因而，在本說明書中，安裝在TRM12外部的快閃記憶體18被描述為具有低保護等級。
卡接口電路11與行動電話2交換數據，並從行動電話2接收程序和相應的附加信息。
TRM12是抗幹擾模塊，該模塊配備有防止未授權訪問並且防止任何外部設備直接對存儲在其中的數據進行篡改的功能。
密碼處理引擎13執行在將程序存儲到快閃記憶體之前加密程序以及鑑定已經嵌入到程序中用於確保程序的安全性的MAC信息(信息證實代碼信息)和數字籤名之類的處理。
當密碼處理引擎13執行密碼處理、鑑定過程等處理過程時，採用了安全密鑰信息14。
附加信息處理單元20分析與卡接口電路11接收的程序相應的附加信息的意義，確定應存儲程序的存儲元件是EEPROM19還是快閃記憶體18。
CPU15執行預先存儲在ROM16中的程序，使用RAM17、快閃記憶體18和EEPROM19控制密碼處理引擎13和附加信息處理單元20，和將在卡接口電路11接收的程序下載到由附加信息處理單元20所確定的存儲元件中。
這裡，應當注意，也可以通過用CPU15執行預先存儲在ROM16中的程序實現由密碼處理引擎13和附加信息處理單元20所將要執行的處理過程。
(第一實施方式)安全設備的結構
圖2是與本發明的第一實施方式相關的安全設備100的結構圖。
圖2所示的安全設備100包括TRM110外部的程序獲取單元101和低保護等級存儲單元102，還包括TRM110內部的高保護等級存儲單元118、附加信息分析單元111、區檢索單元112、保護等級判定單元113、移動單元114、程序存儲單元115、錯誤輸出單元116以及密碼處理單元117。
程序獲取單元101相當於圖1中所示的卡接口電路11，並從行動電話獲取程序和相應的附加信息。
低保護等級存儲單元102是具有低保護等級的存儲元件，例如安裝在TRM外部的快閃記憶體。
高保護等級存儲單元118是具有高保護等級的存儲元件，例如安裝在TRM內的EEPROM。
附加信息分析單元111分析與程序獲取單元11獲取的程序相應的附加信息，並將執行指令發送到區檢索單元112和密碼處理單元117。
區檢索單元112在高保護等級存儲單元118和低保護等級存儲單元102中查找容量足以容納在程序獲取單元101所獲取的程序的空白存儲區，以判定是否存在這種存儲區。
通過判定區檢索單元112發現的存儲區是否滿足附加信息的要求，保護等級判定單元113確定由程序獲取單元101獲取的程序的存儲目的地。如果有必要，保護等級判定單元113可以指示錯誤輸出單元116輸出出錯信息。
圖3示出了與第一實施方式相關的附加信息。
如圖3所示，在第一實施方式中，附加信息具有5個數據位。
附加信息的兩個最低有效位標識四個保護等級中的一個，即，「00」、「01」、「10」和「11」中的一個。
當兩個最低有效位為「00」時，表示相應的程序應當被存儲在高保護等級存儲單元118的空白存儲區內，如果高保護等級存儲單元118不具備這種存儲區，則出錯信息將被發送到行動電話，而程序將不被存儲下來。
當兩個最低有效位為「01」時，表示相應的程序應當被存儲在高保護等級存儲單元118的空白存儲區，如果高保護等級存儲單元118不具備這種存儲區，則需要騰出空間使程序可以被存儲下來。這裡，應當注意，也可以指定兩個最低有效位「01」表示其中已經存儲了其它程序的高保護等級存儲單元118的存儲區將被相應的程序覆寫。
當兩個最低有效位為「10」時，表示相應的程序應當被存儲在低保護等級存儲單元102內，如果低保護等級存儲單元102不具有任何可用存儲區，則出錯信息將被發送到行動電話，而程序將不被存儲下來。
當兩個最低有效位為「11」時，表示如果存在空間則相應的程序應被存儲在高保護等級存儲單元118內，如果高保護等級存儲單元118內不存在這樣的空間則程序應被存儲在低保護等級存儲單元102中。如果低保護等級存儲單元102內沒有能夠容納上述程序的空間，則出錯信息將會被發送到行動電話。
附加信息中的第三最低有效位表示將相應的程序存儲到低保護等級存儲單元102之前是否應當對該程序加密。
這裡，如果第三最低有效位為「0」，則表示不加密程序，如果該數據位為「1」，則表示需要對該程序加密。
第四最低有效位表示是否需要在將相應的程序存儲到低保護等級存儲單元102的過程中在程序內添加MAC信息和嵌入數字籤名。
這裡，如果第四最低有效位為「0」，則表示不需要添加MAC信息或嵌入數字籤名，如果該數據位為「1」，則表示需要添加MAC信息和嵌入數字籤名。
附加信息的最高有效位(即從低端算起的第五位)表示安全設備100的用戶是否可以依據其自身的判斷決定存儲相應程序的位置(下文中有時稱為「存儲目的地」)。
這裡，如果最高有效位為「0」，則表示用戶不能自由決定存儲目的地，如果最高有效位為「1」，則表示用戶可以自由決定存儲目的地，而不用考慮附加信息的兩個最低有效位表示的保護等級。
在最高有效位為「0」，並且兩個最低有效位為「00」、「01」和「11」其中之一的情況下，當在高保護等級存儲單元118中發現了可用存儲區時，保護等級判定單元113將高保護等級存儲單元118內的存儲區確定為存儲目的地。
相反，在最高有效位為「0」，並且兩個最低有效位為「10」的情況下，當在低保護等級存儲單元102內發現了可用存儲區時，保護等級判定單元113將低保護等級存儲單元102內的存儲區確定為存儲目的地。在最高有效位為「0」，並且兩個最低有效位為「11」的情況下，當在高保護等級存儲單元118內沒有發現可用存儲區而在低保護等級存儲單元102中發現了可用存儲區時，保護等級判定單元113也將低保護等級存儲單元102內的可用存儲區確定為存儲目的地。
此外，在最高有效位為「1」的情況下，當在高保護等級存儲單元118和低保護等級存儲單元102中的至少一個存儲單元中發現了可用存儲區時，保護等級判定單元113將任一個可用存儲區確定為存儲目的地。
另外，在最高有效位為「0」，並且兩個最低有效位為「01」的情況下，當在高保護等級存儲單元118中沒有發現可用存儲區時，保護等級判定單元113指示移動單元114在高保護等級存儲單元118內騰出空間。這裡，請注意，如果提前將兩個最低有效位「01」指定為表示高保護等級存儲單元118內的存儲區可以在不考慮該存儲區內是否已經存在其它程序的情況下以相應的程序對其進行覆寫，則即使存儲區內已經存儲了不同的程序，也可以將高保護等級存儲單元118內的該存儲區確定為相應程序的存儲目的地。
另外，保護等級判定單元113可以在下述情況下指示錯誤輸出單元116輸出出錯信息在最高有效位為「0」，並且兩個最低有效位為「00」的情況下，在高保護等級存儲單元118中沒有發現可用存儲區時；在最高有效位為「0」，並且兩個最低有效位為「10」的情況下，在低保護等級存儲單元102中沒有發現可用存儲區時；在最高有效位為「1」或最高有效位為「0」並且兩個最低有效位為「11」的情況下，在高保護等級存儲單元118和低保護等級存儲單元102的任一個中都沒有發現可用存儲區時。
當在高保護等級存儲單元118中沒有發現可用存儲區和附加信息的最高有效位為「0」並且兩個最低有效位為「01」時，移動單元114讀取存儲在高保護等級存儲單元118內的附加到每個程序的附加信息，提取出其最高有效位為「0」或其兩個最低有效位為「11」的附加信息，然後將具有該提取的附加信息的程序移動到低保護等級存儲單元102，以在高保護等級存儲單元118中騰出可用存儲區，從而將在程序獲取單元101獲取的程序存儲其中。
這裡，如果沒有分配具備需要的存儲容量的空白存儲區，則將指示錯誤輸出單元116輸出出錯信息。這裡，應當注意，在規定情況下，也可以將其中已經存儲有其它程序的高保護等級存儲單元118內的存儲區確定為存儲目的地。
程序存儲單元115將程序獲取單元101所獲取的程序存儲在存儲目的地，所述存儲目的地已經由保護等級判定單元113所確定或由已經移動單元114分配。
錯誤輸出單元116根據已經決定輸出出錯信息的保護等級判定單元113發出的指令將出錯信息返回到行動電話，並在行動電話的顯示單元上顯示不能存儲數字數據。
密碼處理單元117存儲每個安全設備的ID信息。當在低保護等級存儲單元102中存儲程序獲取單元101獲取的程序，或將程序由高保護等級存儲單元118移動到低保護等級存儲單元102時，在附加信息的第四最低有效位表示「1」的情況下，密碼處理單元117將MAC信息添加到程序中並將數字籤名嵌入到程序中，如果附加信息的第三最低有效位為「1」，則使用存儲的ID信息加密程序。
這裡，應當注意，當在高保護等級存儲單元118中存儲程序時，如果附加信息的第四最低有效位為「1」，則也可以使密碼處理單元117將MAC信息添加到程序中並將數字籤名嵌入到程序中，如果附加信息的第三最低有效位表示「1」，則使用存儲的ID信息加密程序。
操作過程
圖4示出了在本發明的第一實施方式的安全設備100中如何操作程序的下載處理。
下面將詳細描述程序的下載處理是如何操作的。
(1)程序獲取單元101從行動電話獲取程序和相應的附加信息(S1)。
(2)附加信息分析單元111分析附加信息的最高有效位是否為「0」(S2)。
(3)如果最高有效位為「1」，則區檢索單元112在高保護等級存儲單元118和低保護等級存儲單元102中檢索可以容納程序獲取單元101所獲取的程序的空白存儲區，以判定存儲單元中的至少一個是否具有這樣的可用存儲區(S3)。如果這種存儲區不存在，則執行出錯處理過程。
(4)如果發現了至少一個存儲區，則根據用戶的直接指令或用戶的預置指令將其中一個存儲區確定為程序的存儲目的地(S4)。
(5)如果最高有效位為「0」，則保護等級判定單元113判定附加信息的兩個最低有效位是否為「10」(S5)。
(6)如果兩個最低有效位為「10」，則區檢索單元112在低保護等級存儲單元102中檢索足以容納程序獲取單元101所獲取的程序的空白存儲區，以判定低保護等級存儲單元102是否具有該存儲區(S6)。如果判定不存在這種存儲區，則執行出錯處理過程。
(7)如果判定存在可用存儲區，則保護等級判定單元113將該存儲區確定為存儲目的地(S7)。
(8)如果兩個最低有效位不是「10」，則區檢索單元112在高保護等級存儲單元118內檢索足以在其上存儲程序獲取單元110所獲取的程序的空白存儲區(S8)。
(9)如果判定存在這種存儲區，則保護等級判定單元113將高保護等級存儲單元118內的存儲區確定為存儲目的地(S9)。
(10)如果判定這種存儲區不存在，則保護等級判定單元113判定附加信息的兩個最低有效位是否為「00」(S10)。如果兩個最低有效位為「00」，則執行出錯處理過程。
(11)如果兩個最低有效位不是「00」，則保護等級判定單元113判定兩個最低有效位是否為「01」(S11)。
(12)如果兩個最低有效位為「01」，則移動單元114根據添加到存儲程序中的附加信息將存儲在高保護等級存儲單元118中的程序移動到低保護等級存儲單元102中，從而在高保護等級存儲單元118中分配存儲區(S12)。如果不能分配這種存儲區，則執行出錯處理過程。
這裡，如果還沒有對將要從高保護等級存儲單元118中被移走的程序執行由密碼處理單元117所執行的每個處理，則在移動程序之前，根據附加信息的第四最低有效位將MAC添加到程序中，將數字籤名嵌入到程序中，並根據第三最低有效位對程序進行加密處理。
(13)如果兩個最低有效位不是「01」，則意味著它們是「11」。因此，區檢索單元112在低保護等級存儲單元102內檢索足以在其上存儲程序獲取單元101所獲取的程序的空白存儲區(S13)。如果判定不存在這種存儲區，則執行出錯處理過程。
(14)如果判定存在這種存儲區，則保護等級判定單元113將在低保護等級存儲單元102內發現的存儲區確定為存儲目的地(S14)。
(15)程序存儲單元115將程序存儲在確定的或分配的存儲目的地內(S19)。
這裡，在將程序存儲到低保護等級存儲單元102的過程中，附加信息分析單元111分析附加信息的第四和第三最低有效位，並根據分析結果，密碼處理單元117添加MAC信息，嵌入數字籤名，對程序加密。
(16)如果沒有發現或沒有分配存儲目的地，則錯誤輸出單元116將出錯信息返回到行動電話(S20)。
(第二實施方式)安全設備的結構
圖5示出了與本發明的第二實施方式相關的安全設備200的結構圖。
這裡，應當注意，與第一實施方式中相同的元件被賦以與第一實施方式中相同的附圖標記，對這些元件的詳細描述在下文中被省略。
圖5中所示的安全設備200包括TRM210外部的程序獲取單元101和低保護等級存儲單元102，還包括TRM210內部的高保護等級存儲單元118、附加信息分析單元111、區檢索單元112、保護等級判定單元213、移動單元214、程序存儲單元115、錯誤輸出單元116以及密碼處理單元117。
保護等級判定單元213從具有最高優先級的程序開始依次將程序存儲到高保護等級存儲單元118中。當在高保護等級存儲單元118中不再有可用空間時，保護等級判定單元213用低保護等級存儲單元102存儲程序，如果有必要，還指示錯誤輸出單元116輸出出錯信息。
圖6示出了第二實施方式的附加信息。
如圖6所示，在第二實施方式中，將附加信息設定為具有5個數據位。
附加信息的兩個最低有效位為「00」、「01」、「10」和「11」其中之一，上述數值代表相應程序的優先級的四個等級。
如果兩個最低有效位為「00」，則表示程序的優先級為最高。
如果兩個最低有效位為「01」，則表示程序的優先級為第二高。
如果兩個最低有效位為「10」，則表示程序的優先級為第三高。
如果兩個最低有效位為「11」，則表示程序的優先級為四個等級中的最低等級。
附加信息的第三、第四和最高有效位與第一實施方式中的含義相同。
這裡，如果在高保護等級存儲單元118中發現了可用存儲區，則保護等級判定單元213將高保護等級存儲單元118中的已發現的存儲區確定為存儲目的地。
此外，當在高保護等級存儲單元118中沒有發現可用存儲區而且附加信息的最高有效位為「0」並且其兩個最低有效位為「00」、「01」和「10」其中之一時，保護等級判定單元213指示移動單元214在高保護等級存儲單元118中騰出空間。
另外，在附加信息的最高有效位為「0」並且兩個最低有效位為「11」的情況下，當在高保護等級存儲單元118中沒有發現可用存儲區而在低保護等級存儲單元102內發現了可用存儲區時，保護等級判定單元213將低保護等級存儲單元102中的已發現存儲區確定為存儲目的地。
在與要被存儲的程序相應的附加信息的最高有效位為「0」並且兩個最低有效位為「00」、「01」和「10」其中之一的情況下，當在高保護等級存儲單元118中沒有發現可用存儲區時，移動單元214讀取存儲在高保護等級存儲單元118中的附加到每個程序的附加信息，提取出比要被存儲的程序的附加信息的優先級低的附加信息，將與提取出的附加信息相應的程序移動到低保護等級存儲單元102中，以在高等級存儲單元118中分配存儲區，用於在其中存儲在程序獲取單元101獲取的程序。
這裡，如果在高保護等級存儲單元118中不能分配存儲區，則應在低保護等級存儲單元102中分配存儲區。
如果也不能在低保護等級存儲單元102中分配存儲區，則保護等級判定單元213指示錯誤輸出單元116輸出出錯信息。
另外，假設已經採用了一個方案，使得如果從附加信息的低端算起第二數據位為「0」，則僅允許將程序存儲到高保護等級存儲單元118中。在這種情況下，移動單元214不移動與從低端算起的第二數據位為「0」的附加信息相應的程序。
當在高保護等級存儲單元118中沒有發現存儲區時，而且當從附加信息的低端算起第二數據位為「0」時，保護等級判定單元213不將低保護等級存儲單元102中已發現的存儲區確定為存儲目的地，而是指示錯誤輸出單元116輸出出錯信息。
操作過程
圖7示出了在與本發明的第二實施方式相關的安全設備200中是如何執行程序的下載處理的。
下文將詳細描述程序的下載處理是如何操作的。
應當注意，與第一實施方式中相同的步驟被賦以相同的附圖標記，其相關描述被省略。
(1)與第一實施方式中的(1)操作過程相同。
(2)與第一實施方式中的(2)操作過程相同。
(3)與第一實施方式中的(3)操作過程相同。
(4)與第一實施方式中的(4)操作過程相同。
(5)如果最高有效位為「0」，則區檢索單元112在高保護等級存儲單元118中檢索足以容納程序獲取單元101所獲取的程序的空白存儲區，以判定高保護等級存儲單元118是否存在這種存儲區(S21)。
(6)如果存在這種存儲區，則保護等級判定單元113將高保護等級存儲單元118內的存儲區確定為存儲目的地(S22)。
(7)如果不存在這種存儲區，則保護等級判定單元113將判定附加信息的兩個最低有效位是否為「11」(S23)。
(8)如果兩個最低有效位為「11」，則區檢索單元112在低保護等級存儲單元102內檢索足以容納程序獲取單元101所獲取的程序的空白存儲區，以判定低保護等級存儲單元102是否具有這種存儲區(S24)。如果判定不存在這種存儲區，則執行出錯處理過程。
(9)如果判定存在這種存儲區，則保護等級判定單元113將低保護等級存儲單元102中的已發現存儲區確定為存儲目的地(S25)。
(10)如果兩個最低有效位不是「11」，則移動單元214讀取與高保護等級存儲單元118中存儲的每個程序相應的附加信息，提取出其優先級低於當前要被存儲的程序的附加信息的附加信息，並將優先級較低的附加信息所對應的程序移動到低保護等級存儲單元102中，並分配高保護等級存儲單元118中的存儲區，該存儲區可以存儲在程序獲取單元101所獲取的程序(S26)。
這裡，如果還沒有對將要從高保護等級存儲單元118中移走的程序執行密碼處理單元117所進行的每個處理，則在將要被移動的程序移動到低保護等級存儲單元102之前，根據附加信息的第四最低有效位將MAC信息添加到要被移動的程序上，將數字籤名嵌入該程序，並將根據第三最低有效位對該程序加密。
(11)如果在高保護等級存儲單元118中未分配存儲區，則在低保護等級存儲單元102中分配存儲區(S27)。如果甚至不可能在低保護等級存儲單元102中分配該存儲區，則執行出錯處理過程。
(12)與第一實施方式中的(15)操作過程相同(S15)。
(13)與第一實施方式中的(16)操作過程相同(S16)。
(變換形式)這裡，應當注意，這樣一種設計方案也是可能的其中附加信息與程序ID一起存儲在程序文件的標頭部分並且MAC信息添加到和數字籤名嵌入到包括標頭在內的整個程序文件中。而且，作為下載程序的條件，安全設備執行對MAC信息以及數字籤名的鑑定。或者，可以在執行程序時，輸出附加信息。
此外，在本發明的第一和第二實施方式中，附加信息與程序一同存儲，並在移動程序時使用。然而，由於如果附加信息因程序的未被移動而未被使用從而沒必要存儲附加信息。因此，在這種情況下，可以設計為僅存儲程序，而不存儲其附加信息。
另外，在本發明的第一和第二實施方式中，存在有兩種用於存儲程序的存儲元件，每種存儲元件都具有不同的保護等級。然而，也可以採用三個以上的存儲元件，其保護等級彼此不同。
另外，在本發明的第一和第二實施方式中，每個程序都具有一條附加信息。然而，一個程序也可以具有兩條或兩條以上的附加信息。例如，一個程序可以分為多個子程序。在這種設計方案中，通過將一條附加信息對應到一個子程序，可以僅將最高秘密級的子程序存儲在具有高保護等級的存儲元件中，該子程序可以是例如與記帳程序中的記帳處理直接相關的子程序。在另一實施例中，也可以將主例程與其它子例程分開，將附加信息添加到每個例程中。通過將主例程存儲在具有高保護等級的存儲元件中或將最高秘密級的子例程存儲在具有高保護等級的存儲元件中，使得對整個程序的意義的讀取困難。
此外，在第一和第二實施方式中，所下載的為程序，然而它可以是數字內容或其它數字數據。
(總結)如上所述，根據本發明的安全設備可以根據與程序相應的附加信息確定程序的存儲目的地。因此，對於超過安裝在TRM內的存儲區的容量的程序而言，程序的管理者可以設定附加信息，以確保程序管理者在下載程序過程中所需的安全。
工業應用本發明適用於各種電子信息服務，如內容發布服務和移動EC服務，上述服務通過網絡如網際網路發布音樂內容和運動圖像內容。
根據本發明的安全設備可以下載超過TRM上的存儲區的容量的程序，同時確保程序管理者所需的安全。通過將本發明的安全設備安裝到用戶的行動電話上，安全設備的用戶可以在路上安全地享受內容發布服務、移動EC服務等服務。
權利要求
1.一種安全設備，包括多個存儲單元，每個存儲單元具有存儲區；獲取單元，用於獲取數字數據和附加到數字數據的目的地信息，所述目的地信息用於將存儲單元確定為數字數據的存儲目的地；和處理單元，用於將數字數據存儲在基於目的地信息而確定的存儲單元中。
2.根據權利要求1所述的安全設備，其中，多個存儲單元中的每一個都相應於一個保護等級，目的地信息指定了數字數據所需的保護等級，可操作處理單元以將與保護等級相應的存儲單元確定為數字數據的存儲目的地，該保護等級與目的地信息指定的保護等級相同。
3.根據權利要求1所述的安全設備，其中，多個存儲單元中的每一個相應於一個保護等級，目的地信息指定了數字數據所需的保護等級，可操作處理單元以將與保護等級相應的存儲單元確定為數字數據的存儲目的地，該保護等級不低於目的地信息指定的保護等級。
4.根據權利要求3所述的安全設備，其中，處理單元還包括檢索子單元，用於在相應於保護等級不低於目的地信息指定的保護等級的存儲單元中檢索具有可容納數字數據的空白存儲區的所有存儲單元；確定子單元，用於將相應於被發現具有可容納數字數據的空白存儲區的所有存儲單元中的最高保護等級的存儲單元確定為數字數據的存儲目的地；和存儲子單元，用於將數字數據存儲在由確定子單元確定的存儲單元中。
5.根據權利要求4所述的安全設備，其中，處理單元還包括輸出子單元，用於在檢索子單元沒有發現存儲單元的情況下輸出出錯信息，從而告知用戶數字數據不能被存儲。
6.根據權利要求4所述的安全設備，其中，處理單元還包括移動子單元，用於在檢索子單元沒有發現存儲單元的情況下(1)讀取相應於已經存儲在與不低於第一保護等級的保護等級相應的多個存儲單元中的任意一個中的每個數字數據的目的地信息，其中所述第一保護等級是由相應於在獲取單元獲取的數字數據的目的地信息指定的保護等級，(2)從讀取的目的地信息中提取出指定保護等級低於所述第一保護等級的目的地信息，和(3)將相應於提取出的目的地信息的數字數據移動到相應於保護等級低於第一保護等級並且不低於由提取出的目的地信息指定的每個保護等級的存儲單元中，以為獲取的數字數據分配存儲區，和存儲子單元，用於將獲取的數字數據存儲到由移動子單元所分配的存儲區內。
7.根據權利要求6所述的安全設備，其中，由移動子單元讀取的目的地信息指定了相應於讀取的目的地信息的數字數據在被移動的情況下是否應當被加密，可操作移動子單元來根據相應於要被移動的數字數據的目的地信息有選擇地加密要被移動的數字數據，並移動要被移動的數字數據。
8.根據權利要求6所述的安全設備，其中，由移動子單元讀取的目的地信息指定了相應於讀取的目的地信息的數字數據在被移動的情況下是否應當添加信息證實代碼，可操作移動子單元來根據相應於要被移動的數字數據的目的地信息有選擇地將信息證實代碼添加到要被移動的數字數據，並移動要被移動的數字數據。
9.根據權利要求6所述的安全設備，其中，由移動子單元讀取的目的地信息指定了相應於讀取的目的地信息的數字數據在被移動的情況下是否應當嵌入數字籤名，可操作移動子單元來根據相應於要被移動的數字數據的目的地信息有選擇地將數字籤名嵌入到數字數據，並移動要被移動的數字數據。
10.根據權利要求6所述的安全設備，其中，處理單元還包括輸出子單元，如果移動子單元不能分配存儲區，則可操作所述輸出子單元以便輸出出錯信息，以告知用戶不能存儲獲取的數字數據。
11.根據權利要求1所述的安全設備，其中，多個存儲單元中的每一個相應於一個保護等級，目的地信息指定數字數據所需的保護等級，該信息還用於確定數字數據的存儲目的地是具有與目的地信息相同的保護等級的存儲單元，還是相應於保護等級不低於目的地信息所指定的保護等級的存儲單元中的任意一個，可操作處理單元以根據目的地信息將相應於與目的地信息相同的保護等級的存儲單元或相應於保護等級不低於使用目的地信息指定的保護等級的存儲單元中的一個確定為數字數據的存儲目的地。
12.根據權利要求1所述的安全設備，其中，目的地信息指定是否可以在將數字數據存儲到安全設備之前任意決定數字數據的存儲目的地，可操作處理單元以根據目的地信息將數字數據存儲在任意決定的存儲單元中或存儲在基於目的地信息而確定的存儲單元中。
13.根據權利要求1所述的安全設備，其中，多個存儲單元的每一個相應於一個保護等級，目的地信息指定是否在將數字數據存儲到相應於保護等級低於預定保護等級的存儲單元中之前加密數字數據，可操作處理單元以根據目的地信息在將數字數據存儲到較低保護等級存儲單元之前有選擇地加密數字數據。
14.根據權利要求1所述的安全設備，其中，多個存儲單元的每一個相應於一個保護等級，目的地信息指定是否在將數字數據存儲到相應於保護等級低於預定保護等級的存儲單元時將信息證實代碼添加到數字數據中，可操作處理單元以根據目的地信息在將數字數據存儲到較低保護等級存儲單元中之前有選擇地將信息證實代碼添加到數字數據。
15.根據權利要求1所述的安全設備，其中，多個存儲單元的每一個都相應於一個保護等級，目的地信息指定是否在將數字數據存儲到相應於保護等級低於預定保護等級的存儲單元時嵌入數字籤名，可操作處理單元以根據目的地信息在將數字數據存儲到較低保護等級存儲單元之前有選擇地將數字籤名嵌入到數字數據。
16.根據權利要求1所述的安全設備，其中，多個存儲單元的每一個相應於一個保護等級，目的地信息指定在獲取單元處所獲取的數字數據的優先級，至少一個存儲單元在其中已經存儲了數字數據，已經存儲的每條數字數據相應於一個優先級，在相應於較高優先級的數字數據存儲在相應於較高保護等級的存儲單元中的狀態下將已經存儲的數字數據存儲在多個存儲單元中，可操作處理單元以根據目的地信息所指定的優先級將獲取的數字數據存儲在存儲單元中，以保持相應於較高優先級的數字數據存儲在相應於較高保護等級的存儲單元中的狀態。
17.根據權利要求16所述的安全設備，其中，已經存儲的每條數字數據都相應於指定一個優先級的目的地信息，並且處理單元還包括移動子單元，用於從相應於最高保護等級的存儲單元開始按順序對多個存儲單元執行下述操作(1)判定多個存儲單元中的任意一個是否具有容納獲取的數字數據的空白存儲區，(2)當判定結果為否定的時，讀取相應於存儲在存儲單元中的數字數據的目的地信息，(3)提取出指定優先級低於由相應於獲取的數字數據的目的地信息所指定的優先級的每條目的地信息，(4)將相應於提取出的目的地信息的數字數據移動到相應於保護等級低於由提取出的目的地信息所指定的保護等級的存儲單元中，(5)重複上述(1)-(4)，直到獲得肯定判定結果，以為獲取的數字數據分配存儲區；和存儲子單元，用於將獲取的數字數據存儲在由移動子單元所分配的存儲區內。
18.根據權利要求17所述的安全設備，其中，由移動子單元讀取的目的地信息指定了相應於讀取的目的地信息的數字數據在被移動的情況下是否應當被加密，可操作移動子單元來根據相應於要被移動的數字數據的目的地信息有選擇地加密要被移動的數字數據，並移動要被移動的數字數據。
19.根據權利要求17所述的安全設備，其中，移動子單元讀取的目的地信息指定了相應於讀取的目的地信息的數字數據在被移動的情況下是否應當添加信息證實代碼，可操作移動子單元來根據相應於要被移動的數字數據的目的地信息有選擇地將信息證實代碼添加到要被移動的數字數據，並移動要被移動的數字數據。
20.根據權利要求17所述的安全設備，其中，移動子單元讀取的目的地信息指定了相應於讀取的目的地信息的數字數據在被移動的情況下是否應當嵌入數字籤名，可操作移動子單元來根據相應於要被移動的數字數據的目的地信息有選擇地將數字籤名嵌入到數字數據中，並移動要被移動的數字數據。
21.根據權利要求17所述的安全設備，其中，目的地信息還指定保護等級，移動子單元不對相應於保護等級低於相應於獲取的數字數據的目的地信息所指定的保護等級的存儲單元執行(1)到(5)的處理過程，處理單元還包括輸出子單元，用於在移動子單元不能分配存儲區的情況下輸出出錯信息，以告知用戶不能存儲獲取的數字數據。
22.根據權利要求1所述的安全設備，其中，在獲取單元所獲取的數字數據是電腦程式，其包括多個子程序，每個子程序都相應於一個目的地信息，可操作處理單元以將每個子程序存儲在基於相應於子程序的目的地信息而確定的存儲單元中。
23.根據權利要求1所述的安全設備，其中，多個存儲單元中的每一個相應於一個保護等級，數字數據是電腦程式，其包括一個主例程和多個子例程，所述主例程和子例程每一個相應於一個目的地信息，相應於主例程的目的地信息指定主例程應存儲在相應於高保護等級的存儲單元內，可操作處理單元以將每個例程存儲在根據相應於例程的目的地信息而確定的存儲單元中。
24.根據權利要求1所述的安全設備，其中，數字數據或是嵌入在數字籤名中或是添加到鑑定識別符，數字籤名和鑑定識別符顯示了1)目的地信息的正確性，或2)數字數據與目的地信息之間的一致性的正確性；和可操作處理單元以便根據數字籤名或鑑定識別符執行鑑定操作，並僅在成功鑑定時存儲數字數據。
25.一種用於安全設備的存儲方法，所述安全設備包括多個存儲單元，每個存儲單元包括存儲區，所述存儲方法包括獲取數字數據，所述數字數據具有相應的目的地信息，所述目的地信息用於確定作為數字數據的存儲目的地的存儲單元；和將數字數據存儲在基於目的地信息而指定的存儲單元中。
26.根據權利要求1所述的安全設備，其中，可操作所述處理單元以根據目的地信息確定數字數據要被存儲其中的存儲單元。
27.根據權利要求1所述的安全設備，還包括CPU，用於根據目的地信息確定數字數據要被存儲其中的存儲單元。
28.根據權利要求1所述的安全設備，還包括用於根據目的地信息確定數字數據要被存儲其中的存儲單元的單元。
全文摘要
一種可以在其中存儲程序並用於執行程序的安全設備，包括低保護等級存儲單元；高保護等級存儲單元；獲取程序和相應的附加信息的程序獲取單元，所述附加信息用於確定獲取的程序的存儲目的地；附加信息分析單元，根據附加信息將獲取的程序存儲在低保護等級存儲單元和高保護等級存儲單元的一個中；區檢索單元；保護等級判定單元；和程序存儲單元。
文檔編號G06F21/00GK1643470SQ0380590
公開日2005年7月20日 申請日期2003年3月7日 優先權日2002年3月13日
發明者松崎棗, 佐久島和生, 館林誠 申請人:松下電器產業株式會社