特許 7563181 電子情報記憶媒体、パッチプログラムの書き込み方法、及びプログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2024-09-30

(45)【発行日】2024-10-08

(54)【発明の名称】電子情報記憶媒体、パッチプログラムの書き込み方法、及びプログラム

(51)【国際特許分類】

   G06F 11/14 20060101AFI20241001BHJP

   G06F 8/65 20180101ALI20241001BHJP

   G06K 19/07 20060101ALI20241001BHJP

【ＦＩ】

G06F11/14 641A

G06F8/65

G06K19/07

【請求項の数】 7

(21)【出願番号】P 2021001439

(22)【出願日】2021-01-07

(65)【公開番号】P2022106442

(43)【公開日】2022-07-20

【審査請求日】2023-11-28

(73)【特許権者】

【識別番号】000002897

【氏名又は名称】大日本印刷株式会社

(74)【代理人】

【識別番号】110000958

【氏名又は名称】弁理士法人インテクト国際特許事務所

(74)【代理人】

【識別番号】100120189

【弁理士】

【氏名又は名称】奥 和幸

(72)【発明者】

【氏名】木下 靖夫

【審査官】坂庭 剛史

(56)【参考文献】

【文献】国際公開第２０１８／１５０８２０（ＷＯ，Ａ１）

【文献】特開２０１０－１３４６４４（ＪＰ，Ａ）

【文献】特開２０１７－１３８７６３（ＪＰ，Ａ）

【文献】特開平０２－１９４４３４（ＪＰ，Ａ）

【文献】特開２００２－１８９６０９（ＪＰ，Ａ）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０６Ｆ １１／１４

Ｇ０６Ｆ ８／６５

Ｇ０６Ｋ １９／０７

(57)【特許請求の範囲】

【請求項1】

アプリケーションプログラムを記憶するための第１記憶領域と、前記アプリケーションプログラムに対して適用されるパッチプログラムを記憶するための第２記憶領域と、前記パッチプログラムの呼び出し時に参照されるパッチテーブルを記憶するための第３記憶領域と、前記パッチプログラムの呼び出し時に参照されないパッチテーブルを記憶するための第４記憶領域とを有するメモリを備える電子情報記憶媒体であって、
外部端末から送信された前記パッチプログラム及び前記パッチテーブルを前記メモリに書き込む前に前記パッチプログラム及び前記パッチテーブルの状態を初期状態に設定し、その後、前記パッチプログラムの前記第２記憶領域への書き込み、且つ、前記パッチテーブルの前記第４記憶領域への書き込みが完了した後に、前記状態を待機状態に設定する設定手段と、
前記電子情報記憶媒体のリセット後に外部端末からコマンドが受信されたとき、前記状態が初期状態である場合に前記第３記憶領域及び前記第４記憶領域を初期化する一方、前記状態が待機状態である場合に前記第４記憶領域から前記第３記憶領域に前記パッチテーブルを書き込む書き込み手段と、
を備えることを特徴とする電子情報記憶媒体。

【請求項2】

前記設定手段は、前記第３記憶領域及び前記第４記憶領域が初期化された場合、または前記第４記憶領域から前記第３記憶領域に前記パッチテーブルが書き込まれた場合に、前記状態を通常状態に設定することを特徴とする請求項１に記載の電子情報記憶媒体。

【請求項3】

前記設定手段は、前記状態が待機状態である場合に前記第４記憶領域から前記第３記憶領域に前記パッチテーブルが書き込まれる前に前記状態を初期状態に設定することを特徴とする請求項１または２に記載の電子情報記憶媒体。

【請求項4】

前記リセット後に外部端末からコマンドが受信されたとき、前記状態が通常状態である場合に前記パッチプログラム及び前記パッチテーブルを検証し、当該検証が成功した場合に前記コマンドに応じた処理を実行させる制御手段を更に備えることを特徴とする請求項２または３に記載の電子情報記憶媒体。

【請求項5】

前記パッチプログラムが前記第２記憶領域に書き込まれる際に、前記書き込み手段は、前記外部端末から送信されたバージョンデータであって当該パッチプログラムのバージョンを示すバージョンデータを前記メモリにおける所定の記憶領域に書き込み、
前記外部端末からの要求に応じて、前記所定の記憶領域からバージョンデータを読み出して当該外部端末へ送信する送信手段を更に備えることを特徴とする請求項１乃至４の何れか一項に記載の電子情報記憶媒体。

【請求項6】

アプリケーションプログラムを記憶するための第１記憶領域と、前記アプリケーションプログラムに対して適用されるパッチプログラムを記憶するための第２記憶領域と、前記パッチプログラムの呼び出し時に参照されるパッチテーブルを記憶するための第３記憶領域と、前記パッチプログラムの呼び出し時に参照されないパッチテーブルを記憶するための第４記憶領域とを有するメモリを備える電子情報記憶媒体により実行されるパッチプログラムの書き込み方法であって、
外部端末から送信された前記パッチプログラム及び前記パッチテーブルを前記メモリに書き込む前に前記パッチプログラム及び前記パッチテーブルの状態を初期状態に設定し、その後、前記パッチプログラムの前記第２記憶領域への書き込み、且つ、前記パッチテーブルの前記第４記憶領域への書き込みが完了した後に、前記状態を待機状態に設定するステップと、
前記電子情報記憶媒体のリセット後に外部端末からコマンドが受信されたとき、前記状態が初期状態である場合に前記第３記憶領域及び前記第４記憶領域を初期化する一方、前記状態が待機状態である場合に前記第４記憶領域から前記第３記憶領域に前記パッチテーブルを書き込むステップと、
を含むことを特徴とするパッチプログラムの書き込み方法。

【請求項7】

アプリケーションプログラムを記憶するための第１記憶領域と、前記アプリケーションプログラムに対して適用されるパッチプログラムを記憶するための第２記憶領域と、前記パッチプログラムの呼び出し時に参照されるパッチテーブルを記憶するための第３記憶領域と、前記パッチプログラムの呼び出し時に参照されないパッチテーブルを記憶するための第４記憶領域とを有するメモリを備える電子情報記憶媒体に含まれるコンピュータを、
外部端末から送信された前記パッチプログラム及び前記パッチテーブルを前記メモリに書き込む前に前記パッチプログラム及び前記パッチテーブルの状態を初期状態に設定し、その後、前記パッチプログラムの前記第２記憶領域への書き込み、且つ、前記パッチテーブルの前記第４記憶領域への書き込みが完了した後に、前記状態を待機状態に設定する設定手段と、
前記電子情報記憶媒体のリセット後に外部端末からコマンドが受信されたとき、前記状態が初期状態である場合に前記第３記憶領域及び前記第４記憶領域を初期化する一方、前記状態が待機状態である場合に前記第４記憶領域から前記第３記憶領域に前記パッチテーブルを書き込む書き込み手段として機能させることを特徴とするプログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、セキュアエレメント等の電子情報記憶媒体に記憶されるアプリケーションプログラムに対してパッチプログラムを適用する方法等の技術に関する。

【背景技術】

【0002】

従来、アプリケーションプログラムに対してパッチプログラムを適用する方法として、関数の呼出アドレスに関連付けてパッチプログラムの呼出アドレスが記憶されるパッチテーブルを用いた技術が知られている。例えば特許文献１に開示された技術では、関数を呼び出すとき割り込みを発生させ、呼び出された関数の呼出アドレスに関連付けられたパッチプログラムの呼出アドレスを利用して当該パッチプログラムを呼び出すように構成される。このようなパッチプログラムは、例えば工場においてＩＣカードに書き込まれることでアプリケーションプログラムに対して適用することが可能である。

【先行技術文献】

【特許文献】

【0003】

【文献】特開２０１０－１３４６４４号公報

【発明の概要】

【発明が解決しようとする課題】

【0004】

ところで、例えばeUICC（Embedded Universal Integrated Circuit Card）のような組み込み型のセキュアエレメントでは、運用中にオンライン（例えばOTA）により不具合修正や機能変更をするため、パッチプログラムを書き込む場合がある。かかる場合において、パッチプログラムの書き込みが予期せぬノイズや電源断などで中断されてもセキュアエレメントが復旧可能であることが要求される。

【0005】

そこで、本発明は、上記点に鑑みてなされたものであり、パッチプログラムの書き込みが予期せぬノイズや電源断などで中断されても正常に復旧することが可能な電子情報記憶媒体、パッチプログラムの書き込み方法、及びプログラムを提供することを課題とする。

【課題を解決するための手段】

【0006】

上記課題を解決するために、請求項１に記載の発明は、アプリケーションプログラムを記憶するための第１記憶領域と、前記アプリケーションプログラムに対して適用されるパッチプログラムを記憶するための第２記憶領域と、前記パッチプログラムの呼び出し時に参照されるパッチテーブルを記憶するための第３記憶領域と、前記パッチプログラムの呼び出し時に参照されないパッチテーブルを記憶するための第４記憶領域とを有するメモリを備える電子情報記憶媒体であって、外部端末から送信された前記パッチプログラム及び前記パッチテーブルを前記メモリに書き込む前に前記パッチプログラム及び前記パッチテーブルの状態を初期状態に設定し、その後、前記パッチプログラムの前記第２記憶領域への書き込み、且つ、前記パッチテーブルの前記第４記憶領域への書き込みが完了した後に、前記状態を待機状態に設定する設定手段と、前記電子情報記憶媒体のリセット後に外部端末からコマンドが受信されたとき、前記状態が初期状態である場合に前記第３記憶領域及び前記第４記憶領域を初期化する一方、前記状態が待機状態である場合に前記第４記憶領域から前記第３記憶領域に前記パッチテーブルを書き込む書き込み手段と、を備えることを特徴とする。

【0007】

請求項２に記載の発明は、請求項１に記載の電子情報記憶媒体において、前記設定手段は、前記第３記憶領域及び前記第４記憶領域が初期化された場合、または前記第４記憶領域から前記第３記憶領域に前記パッチテーブルが書き込まれた場合に、前記状態を通常状態に設定することを特徴とする。

【0008】

請求項３に記載の発明は、請求項１または２に記載の電子情報記憶媒体において、前記設定手段は、前記状態が待機状態である場合に前記第４記憶領域から前記第３記憶領域に前記パッチテーブルが書き込まれる前に前記状態を初期状態に設定することを特徴とする。

【0009】

請求項４に記載の発明は、請求項２または３に記載の電子情報記憶媒体において、前記リセット後に外部端末からコマンドが受信されたとき、前記状態が通常状態である場合に前記パッチプログラム及び前記パッチテーブルを検証し、当該検証が成功した場合に前記コマンドに応じた処理を実行させる制御手段を更に備えることを特徴とする。

【0010】

請求項５に記載の発明は、請求項１乃至４の何れか一項に記載の電子情報記憶媒体において、前記パッチプログラムが前記第２記憶領域に書き込まれる際に、前記書き込み手段は、前記外部端末から送信されたバージョンデータであって当該パッチプログラムのバージョンを示すバージョンデータを前記メモリにおける所定の記憶領域に書き込み、前記外部端末からの要求に応じて、前記所定の記憶領域からバージョンデータを読み出して当該外部端末へ送信する送信手段を更に備えることを特徴とする。

【0011】

請求項６に記載の発明は、アプリケーションプログラムを記憶するための第１記憶領域と、前記アプリケーションプログラムに対して適用されるパッチプログラムを記憶するための第２記憶領域と、前記パッチプログラムの呼び出し時に参照されるパッチテーブルを記憶するための第３記憶領域と、前記パッチプログラムの呼び出し時に参照されないパッチテーブルを記憶するための第４記憶領域とを有するメモリを備える電子情報記憶媒体により実行されるパッチプログラムの書き込み方法であって、外部端末から送信された前記パッチプログラム及び前記パッチテーブルを前記メモリに書き込む前に前記パッチプログラム及び前記パッチテーブルの状態を初期状態に設定し、その後、前記パッチプログラムの前記第２記憶領域への書き込み、且つ、前記パッチテーブルの前記第４記憶領域への書き込みが完了した後に、前記状態を待機状態に設定するステップと、前記電子情報記憶媒体のリセット後に外部端末からコマンドが受信されたとき、前記状態が初期状態である場合に前記第３記憶領域及び前記第４記憶領域を初期化する一方、前記状態が待機状態である場合に前記第４記憶領域から前記第３記憶領域に前記パッチテーブルを書き込むステップと、を含むことを特徴とする。

【0012】

請求項７に記載の発明は、アプリケーションプログラムを記憶するための第１記憶領域と、前記アプリケーションプログラムに対して適用されるパッチプログラムを記憶するための第２記憶領域と、前記パッチプログラムの呼び出し時に参照されるパッチテーブルを記憶するための第３記憶領域と、前記パッチプログラムの呼び出し時に参照されないパッチテーブルを記憶するための第４記憶領域とを有するメモリを備える電子情報記憶媒体に含まれるコンピュータを、外部端末から送信された前記パッチプログラム及び前記パッチテーブルを前記メモリに書き込む前に前記パッチプログラム及び前記パッチテーブルの状態を初期状態に設定し、その後、前記パッチプログラムの前記第２記憶領域への書き込み、且つ、前記パッチテーブルの前記第４記憶領域への書き込みが完了した後に、前記状態を待機状態に設定する設定手段と、前記電子情報記憶媒体のリセット後に外部端末からコマンドが受信されたとき、前記状態が初期状態である場合に前記第３記憶領域及び前記第４記憶領域を初期化する一方、前記状態が待機状態である場合に前記第４記憶領域から前記第３記憶領域に前記パッチテーブルを書き込む書き込み手段として機能させることを特徴とする。

【発明の効果】

【0013】

本発明によれば、パッチプログラムの書き込みが予期せぬノイズや電源断などで中断されても正常に復旧することができる。

【図面の簡単な説明】

【0014】

【図1】ＳＥ１の概要構成例を示す図である。

【図2】ＮＶＭ１２のメモリマップの一例を示す図である。

【図3】ＯＳにより管理される初期状態、待機状態、及び通常状態を示す概念図である。

【図4】パッチ状態の遷移例を示す図である。

【図5】パッチプログラム及びパッチテーブルのダウンロード時におけるＳＥ１と外部端末２とのやり取りの一例を示すシーケンス図である。

【図6】ＳＥ１のリセット時におけるＳＥ１の処理を示すフローチャートである。

【図7】パッチプログラムのバージョン確認時におけるＳＥ１と外部端末２とのやり取りの一例を示すシーケンス図である。

【発明を実施するための形態】

【0015】

以下、図面を参照して本発明の実施形態について詳細に説明する。以下に説明する実施形態は、セキュアエレメント（以下、「ＳＥ」という）に対して本発明を適用した場合の実施の形態である。

【0016】

［１．ＳＥ１の構成及び機能］
先ず、図１を参照して、本実施形態に係るＳＥ１の構成及び機能について説明する。図１は、ＳＥ１の概要構成例を示す図である。ＳＥ１は、本発明の電子情報記憶媒体の一例である。図１に示すように、ＳＥ１は、ＣＰＵ（Central Processing Unit）１０、ＲＡＭ（Random Access Memory）１１、ＮＶＭ（Nonvolatile Memory）１２（不揮発性メモリ）、及びＩ／Ｏ回路１３などを備えて構成される（ＲＯＭが備えられる場合もある）。ＳＥ１は、例えば各種カード（例えば、クレジットカードやデビットカード）、またはスマートフォン等の端末に搭載されて使用される。なお、ＳＥ１は、着脱可能な小型のＩＣカードとして端末に搭載されてもよいし、eUICC（Embedded Universal Integrated Circuit Card）として端末から容易に取り外しや取り換えができないように組み込み基盤上に搭載（つまり、端末と一体的に形成）されてもよい。

【0017】

Ｉ／Ｏ回路１３は、外部端末２との間のインターフェースを担う。外部端末２の例として、後述するパッチプログラムを提供するホスト（コンピュータ）、及びＳＥ１の機能を利用する機器（例えば、上記各種カードの通信相手や上記端末のコントローラ）が挙げられる。インターフェースの例として、SPI（Serial Peripheral Interface)、I²C（Inter-Integrated Circuit）、及びISO7816のインターフェースなどが挙げられる。ＳＥ１と外部端末２との間の通信は、直接的に行われてもよいし、上記端末の無線通信部を介して間接的に行われてもよい。後者の場合、当該端末の無線通信部によりプロトコル変換が行われる。なお、ＳＥ１と上記ホストとの間の通信は、相互認証を実行して確立したセキュアチャネルを通じて行われることが望ましい。

【0018】

また、外部端末２から送信されたコマンド（コマンドＡＰＤＵ）は、Ｉ／Ｏ回路１３を通じて受信される。受信されるコマンドは、少なくともヘッダ（ＣＬＡ（命令クラス）、ＩＮＳ（命令コード）、Ｐ１及びＰ２（パラメータ）からなる）を含むＡＰＤＵ（Application Protocol Data Unit）により構成される。さらに、コマンドは、上記ヘッダに加えて、プログラム（例えば、パッチプログラム）やデータ（例えば、パッチテーブル）等を有するボディを含む場合もある。また、コマンドに対するレスポンス（レスポンスＡＰＤＵ）は、Ｉ／Ｏ回路１３を通じて外部端末２へ送信される。ここで、レスポンスは、少なくとも処理結果を示すＳＷ（ステータスワード）からなり、データを含む場合もある。

【0019】

ＣＰＵ１０は、ＮＶＭ１２に記憶された各種プログラムを実行するプロセッサ（コンピュータ）である。ＲＡＭ１１は、作業用メモリとして利用され、例えば、後入れ先出しの構造を有するスタック領域を有する。スタック領域には、例えば、ローカル変数、引数、戻り値などがフレーム単位で書き込まれ、その後、フレーム単位で取得される。なお、スタック領域は、ＮＶＭ１２に設けられてもよい。ＮＶＭ１２は、記憶部の一例であり、例えばフラッシュメモリが適用される。ＮＶＭ１２は、「Electrically Erasable Programmable Read-Only Memory」であってもよい。ＮＶＭ１２には、各種プログラム（本発明のプログラムを含む）が予め記憶（例えば、ＳＥ１の出荷前に記憶）される。各種プログラムには、オペレーティングシステム（以下、「ＯＳ」という）、アプリケーションプログラム（以下、「アプリケーション」という）などが含まれる。なお、ＯＳまたはアプリケーションは、本発明における設定手段、書き込み手段、制御手段、及び送信手段の一例である。

【0020】

また、ＮＶＭ１２には、アプリケーションに対して適用されるパッチプログラムが後から書き込まれる（例えば、ＳＥ１の出荷後の運用中に書き込まれる）ようになっている。パッチプログラムにより、アプリケーションの不具合修正や機能を変更または追加することができる。かかる機能には、例えば、暗号演算機能や生体認証（例えば、指紋認証や掌紋認証）機能などがある。さらに、ＮＶＭ１２には、パッチプログラムの呼び出し時に参照されるパッチテーブルが後から書き込まれる。パッチテーブルには、パッチプログラムの呼び出しアドレスが格納される。例えば、パッチプログラムの呼び出しアドレスは、アプリケーションにより呼び出される関数の呼び出しアドレスに関連付けられて格納される。

【0021】

図２は、ＮＶＭ１２のメモリマップの一例を示す図である。図２の例では、ＮＶＭ１２は、プログラム記憶領域１２１（第１記憶領域の一例）、パッチ記憶領域１２２（第２記憶領域の一例）、第１テーブル記憶領域１２３（第３記憶領域の一例）、第２テーブル記憶領域１２４（第４記憶領域の一例）、及びデータ記憶領域１２５を有する。プログラム記憶領域１２１は、ＯＳ、及びアプリケーションを記憶するための領域である。パッチ記憶領域１２２は、パッチプログラムを記憶するための領域である。外部端末２から送信（ダウンロード）されたパッチプログラムは、パッチ記憶領域１２２に書き込まれる。

【0022】

第１テーブル記憶領域１２３は、パッチプログラムの呼び出し時（アプリケーションの動作時）にＯＳにより参照されるパッチテーブルを記憶するための領域である。第２テーブル記憶領域１２４は、パッチプログラムの呼び出し時にＯＳにより参照されないパッチテーブルを記憶するための領域である。ただし、後述する通常状態において、第１テーブル記憶領域１２３及び第２テーブル記憶領域１２４には、同じパッチテーブルが記憶されるようになっている。外部端末２から送信されるパッチテーブルは、第１テーブル記憶領域１２３には書き込まれずに、先ずは第２テーブル記憶領域１２４に書き込まれようになっている。その後、第２テーブル記憶領域１２４に記憶されているパッチテーブルは、第１テーブル記憶領域１２３に書き込まれる。つまり、パッチテーブルは、第２テーブル記憶領域１２４から第１テーブル記憶領域１２３にコピーされるようになっている。

【0023】

データ記憶領域１２５には、セキュアチャネルを確立するための認証処理に用いられる認証用データ、及びパッチ記憶領域１２２に記憶されているパッチプログラムのバージョンを示すバージョンデータが記憶される。なお、バージョンデータは、第１テーブル記憶領域１２３及び第２テーブル記憶領域１２４に記憶されてもよい。データ記憶領域１２５は、各種データを記憶するための領域である。

【0024】

ＯＳは、ＳＥ１におけるパッチプログラム及びパッチテーブルの状態（以下、「パッチ状態」という）を、「初期状態」、「待機状態」、及び「通常状態」の３つの状態で管理する。図３（Ａ）～図３（Ｄ）は、ＯＳにより管理される初期状態、待機状態、及び通常状態を示す概念図である。図４は、パッチ状態の遷移例を示す図である。パッチ状態は、図４の矢印で示すように遷移する。

【0025】

初期状態とは、第１テーブル記憶領域１２３及び第２テーブル記憶領域１２４がＳＥ１の出荷時の状態である。初期状態では、図３（Ａ）に示すように、第１テーブル記憶領域１２３及び第２テーブル記憶領域１２４に記憶されるパッチテーブルが不定値となっている。ここで、不定値とは、パッチテーブルとして正常に利用可能であるか否かが定まっていない値を意味し、その値が破損（換言すると、パッチテーブルが破損）している場合もある。そのため、初期状態では、第１テーブル記憶領域１２３にパッチテーブルが記憶されているか否かに関わらず、ＯＳは、第１テーブル記憶領域１２３にパッチテーブルが記憶されていないと判断して処理を行う。例えば破損されたパッチテーブルが参照されてパッチプログラムの呼び出しが行われると、ＳＥ１が動作不能に陥り復旧（復帰）不可になる可能性がある。従って、初期状態において、第１テーブル記憶領域１２３はＯＳにより参照されない。

【0026】

待機状態は、外部端末２から送信されるパッチテーブルが第２テーブル記憶領域１２４に書き込まれたが、当該パッチテーブルがまだ第１テーブル記憶領域１２３には書き込まれていない状態である。待機状態では、図３（Ｂ）に示すように、第２テーブル記憶領域１２４に記憶されるパッチテーブルは正常値になっているが、第１テーブル記憶領域１２３に記憶されるパッチテーブルは初期値になっている。ここで、正常値とは、パッチテーブルとして正常に利用可能である値を意味し、その値はパッチプログラムの呼び出しアドレスを示す。一方、初期値とは、パッチプログラムの呼び出しアドレスではないことをＯＳが判断可能な値である。換言すると、初期値は、パッチプログラムが充てられていないことを示す値である。従って、待機状態において、第１テーブル記憶領域１２３はＯＳにより参照されるが、パッチプログラムの呼び出しは行われない。

【0027】

通常状態は、パッチプログラムの呼び出し時にＯＳにより第１テーブル記憶領域１２３のパッチテーブルが参照可能な状態である。通常状態では、アプリケーションに対してパッチプログラムが適用されていない状態もあるし、アプリケーションに対してパッチプログラムが適用されている状態もある。ここで、アプリケーションに対してパッチプログラムが適用されていない状態とは、図３（Ｃ）に示すように、パッチプログラムが書き込まれておらず、第１テーブル記憶領域１２３及び第２テーブル記憶領域１２４に初期値が書き込まれている（つまり、初期化されている）状態である。一方、アプリケーションに対してパッチプログラムが適用されている状態とは、パッチプログラム及びパッチテーブルが書き込まれ、その後、第２テーブル記憶領域１２４から第１テーブル記憶領域１２３にコピーされることで、図３（Ｄ）に示すように、第１テーブル記憶領域１２３のパッチテーブル（正常値）がＯＳにより参照されて当該パッチプログラムの呼び出しが可能になっている状態である。

【0028】

以上の構成において、ＳＥ１は、外部端末２から送信されたパッチプログラム及びパッチテーブルをＮＶＭ１２に書き込む前にパッチ状態を初期状態に設定する。これにより、以降の処理中に予期せぬノイズや電源断などで例えばパッチテーブルが破損してもＳＥ１が動作不能に陥り復旧不可になることを回避することができる。パッチ状態が初期状態に設定された後、ＳＥ１は、パッチプログラムのパッチ記憶領域１２２への書き込み、且つ、パッチテーブルの第２テーブル記憶領域１２４への書き込みが完了した後に、パッチ状態を待機状態に設定する。そして、ＳＥ１のリセット後に外部端末２からコマンドが受信されたとき、パッチ状態が初期状態である場合に、ＳＥ１は、第１テーブル記憶領域１２３及び第２テーブル記憶領域１２４を初期化する。こうして、第１テーブル記憶領域１２３及び第２テーブル記憶領域１２４が初期化された場合に、パッチ状態は通常状態に設定される。

【0029】

一方、ＳＥ１のリセット後に外部端末２からコマンドが受信されたとき、パッチ状態が待機状態である場合に、ＳＥ１は、第２テーブル記憶領域１２４から第１テーブル記憶領域１２３にパッチテーブルを書き込む（コピーする）。ここで、第２テーブル記憶領域１２４から第１テーブル記憶領域１２３にパッチテーブルが書き込まれる前に、パッチ状態は初期状態に設定されるとよい。これにより、以降の処理中に予期せぬノイズや電源断などで例えばパッチテーブルが破損してもＳＥ１が動作不能に陥り復旧不可になることを回避することができる。こうして、第２テーブル記憶領域１２４から第１テーブル記憶領域１２３にパッチテーブルが書き込まれた場合に、パッチ状態は通常状態に設定される。

【0030】

一方、ＳＥ１のリセット後に外部端末２からコマンドが受信されたとき、パッチ状態が通常状態である場合に、ＳＥ１は、パッチプログラム及びパッチテーブルを検証し、当該検証が成功した場合に、コマンドに応じた処理をアプリケーションに実行させる。なお、パッチ状態が通常状態である場合、パッチテーブルが破損している可能性は低いので、パッチプログラム及びパッチテーブルが検証されずに、コマンドに応じた処理が実行されてもよい。

【0031】

なお、外部端末２から送信されたパッチプログラムがパッチ記憶領域１２２に書き込まれる際に（例えば、パッチプログラムの書き込みの直前または直後に）、ＳＥ１は、外部端末２から送信されたバージョンデータであって当該パッチプログラムのバージョンを示すバージョンデータをＮＶＭ１２における所定の記憶領域（例えば、データ記憶領域１２５または第２テーブル記憶領域１２４）に書き込み、外部端末２からの要求に応じて、当該所定の記憶領域からバージョンデータを読み出して当該外部端末２へ送信するとよい。

【0032】

［２．ＳＥ１の動作］
（２．１．パッチプログラム及びパッチテーブルのダウンロード時の動作）
次に、図５を参照して、パッチプログラム及びパッチテーブルのダウンロード時の動作について説明する。図５は、パッチプログラム及びパッチテーブルのダウンロード時におけるＳＥ１と外部端末２とのやり取りの一例を示すシーケンス図である。図５において、外部端末２は、パッチプログラムを書き込むアプリケーションを選択するためのSELECTコマンドをＳＥ１へ送信する（ステップＳ１）。ＳＥ１（ＯＳ）は、SELECTコマンドを受信すると、SELECTコマンドで指定されたアプリケーションを選択し（ステップＳ２）、正常終了（SW:9000）及びFCI(File Control Information)を含むレスポンスを外部端末２へ送信する（ステップＳ３）。

【0033】

次いで、外部端末２は、ＳＥ１からのレスポンスを受信すると、ＳＥ１との間で相互認証（ステップＳ４）を開始する。かかる相互認証が開始されると、外部端末２は、INITALIZE UPDATEコマンドをＳＥ１へ送信する。ＳＥ１は、外部端末２からのINITALIZE UPDATEコマンドを受信すると、セッション鍵を生成し、認証用データを含むレスポンスを外部端末２へ送信する。外部端末２は、ＳＥ１からのレスポンスを受信すると、セッション鍵を生成し、ＳＥ１の正当性を検証する。そして、外部端末２は、ＳＥ１の正当性検証に成功すると、認証用データを含むEXTERNAL AUTHENTICATEコマンドをＳＥ１へ送信する。ＳＥ１は、外部端末２からのEXTERNAL AUTHENTICATEコマンドを受信すると、外部端末２の正当性を検証する。そして、ＳＥ１は、外部端末２の正当性検証に成功すると、認証成功を示すレスポンスを外部端末２へ送信する。これにより、セキュアチャネルを確立するための相互認証が終了し、ＳＥ１と外部端末２との間のセキュアチャネルが確立する。セキュアチャネルの確立後、相互認証で生成されたセッション鍵を用いて、後述するように、外部端末２がＳＥ１へ送信するコマンドが保護される。

【0034】

次いで、外部端末２は、パッチ状態を設定させるためのSET STATUSコマンドをＳＥ１へ送信する（ステップＳ５）。ＳＥ１は、SET STATUSコマンドを受信すると、パッチ状態を初期状態に設定し（ステップＳ６）、正常終了（SW:9000）を含むレスポンスを外部端末２へ送信する（ステップＳ７）。次いで、外部端末２は、ＳＥ１からのレスポンスを受信すると、パッチプログラムを含むSTORE DATAコマンドをＳＥ１へ送信する（ステップＳ８）。ＳＥ１は、STORE DATAコマンドを受信すると、ステップＳ２で選択されたアプリケーションによりパッチプログラムをパッチ記憶領域１２２に書き込み（ステップＳ９）、正常終了（SW:9000）を含むレスポンスを外部端末２へ送信する（ステップＳ１０）。なお、パッチプログラムのデータ長が１度に送信可能なデータ長を超える場合、当該パッチプログラムは分割され、分割されたパッチプログラムを含むSTORE DATAコマンドとそのレスポンスの送受信が複数回実施される。

【0035】

パッチプログラムの書き込みが完了し、外部端末２は、ＳＥ１からのレスポンスを受信すると、パッチテーブルを含むSTORE DATAコマンドをＳＥ１へ送信する（ステップＳ１１）。ＳＥ１は、STORE DATAコマンドを受信すると、ステップＳ２で選択されたアプリケーションによりパッチテーブルを第２テーブル記憶領域１２４に書き込み（ステップＳ１２）、正常終了（SW:9000）を含むレスポンスを外部端末２へ送信する（ステップＳ１３）。なお、パッチテーブルのデータ長が１度に送信可能なデータ長を超える場合、当該パッチテーブルは分割され、分割されたパッチテーブルを含むSTORE DATAコマンドとそのレスポンスの送受信が複数回実施される。

【0036】

パッチテーブルの書き込みが完了し、外部端末２は、ＳＥ１からのレスポンスを受信すると、ステップＳ９でパッチ記憶領域１２２に書き込まれたパッチプログラムのバージョンを示すバージョンデータを含むSTORE DATAコマンドをＳＥ１へ送信する（ステップＳ１４）。ＳＥ１は、STORE DATAコマンドを受信すると、ステップＳ２で選択されたアプリケーションによりバージョンデータをデータ記憶領域１２５に書き込み（ステップＳ１５）、正常終了（SW:9000）を含むレスポンスを外部端末２へ送信する（ステップＳ１６）。ここで、データ記憶領域１２５に過去に書き込まれたバージョンデータが記憶されている場合、当該バージョンデータは後から受信された最新のバージョンデータにより上書きされる。これにより、新しいパッチプログラムがパッチ記憶領域１２２に書き込まれる度に、そのバージョンを示すバージョンデータがデータ記憶領域１２５に書き込まれる。なお、バージョンデータは、第２テーブル記憶領域１２４に書き込まれてもよい。

【0037】

バージョンデータの書き込みが完了し、外部端末２は、ＳＥ１からのレスポンスを受信すると、パッチ状態を設定させるためのSET STATUSコマンドをＳＥ１へ送信する（ステップＳ１７）。ＳＥ１は、SET STATUSコマンドを受信すると、パッチ状態を待機状態に設定し（ステップＳ１８）、正常終了（SW:9000）を含むレスポンスを外部端末２へ送信する（ステップＳ１９）。なお、上述したように、この時点ではパッチプログラムは動作しない。

【0038】

（２．２．ＳＥ１のリセット時の動作）
次に、図６を参照して、ＳＥ１のリセット時の動作について説明する。図６は、ＳＥ１のリセット時におけるＳＥ１（ＯＳ）の処理を示すフローチャートである。図６に示す処理は、外部端末２からリセットが受信された場合に開始される。図６に示す処理が開始されると、ＳＥ１は、初期応答情報（例えば、プロトコル形式及び通信速度など）を含むATR（Answer To Reset）を外部端末２へ送信する（ステップＳ２１）。外部端末２は、ＳＥ１からのレスポンスを受信すると、所定のコマンドをＳＥ１へ送信する。ここで受信されるコマンドは、リセット後の最初のコマンド（以下、「初回コマンド」という）であり、そのコマンドの種類は不問とする。そして、ＳＥ１は、外部端末２からの初回コマンドを受信すると（ステップＳ２２）、ステップＳ２３へ進む。

【0039】

ステップＳ２３では、ＳＥ１は、パッチ状態を判定する。パッチ状態が初期状態であると判定された場合（ステップＳ２３：初期状態）、処理はステップＳ２４へ進む。一方、パッチ状態が待機状態であると判定された場合（ステップＳ２３：待機状態）、処理はステップＳ２７へ進む。一方、パッチ状態が通常状態であると判定された場合（ステップＳ２３：通常状態）、処理はステップＳ３０へ進む。なお、ステップＳ２３～Ｓ３４の処理は、初回コマンドが受信された場合にのみ実行されればよく、リセット後、初回コマンドの後に受信されたコマンドの場合、ステップＳ２３～Ｓ３４の処理は実行されずに、当該受信されたコマンドに応じた処理が実行され、その処理の結果を示すレスポンスが外部端末２へ送信されるように構成すればよい。

【0040】

ステップＳ２４では、ＳＥ１は、第１テーブル記憶領域１２３に初期値を書き込む。次いで、ＳＥ１は、第２テーブル記憶領域１２４に初期値を書き込む（ステップＳ２５）。次いで、ＳＥ１は、パッチ状態を通常状態に設定し（ステップＳ２６）、ステップＳ３４へ進む。

【0041】

ステップＳ２７では、ＳＥ１は、パッチ状態を初期状態に設定する。次いで、ＳＥ１は、第２テーブル記憶領域１２４から第１テーブル記憶領域１２３にパッチテーブルをコピーする（ステップＳ２８）。なお、バージョンデータが第２テーブル記憶領域１２４に記憶されている場合、当該バージョンデータは、パッチテーブルとともに第１テーブル記憶領域１２３にコピーされる。次いで、ＳＥ１は、パッチ状態を通常状態に設定し（ステップＳ２９）、ステップＳ３４へ進む。

【0042】

ステップＳ３０では、ＳＥ１は、パッチ記憶領域１２２のパッチプログラム、及び第１テーブル記憶領域１２３のパッチテーブルの検証を行う。かかる検証では、例えばチェックサム等を用いてパッチプログラム及びパッチテーブルそれぞれの同一性が確認される。次いで、ＳＥ１は、ステップＳ３０の検証が成功したか否かを判定する（ステップＳ３１）。そして、検証成功であると判定された場合（ステップＳ３１：ＹＥＳ）、ステップＳ３４へ進む。一方、検証失敗であると判定された場合（ステップＳ３１：ＮＯ）、処理はステップＳ３２へ進む。

【0043】

ステップＳ３２では、ＳＥ１は、第２テーブル記憶領域１２４から第１テーブル記憶領域１２３にパッチテーブルをコピーする。なお、バージョンデータが第２テーブル記憶領域１２４に記憶されている場合、当該バージョンデータは、パッチテーブルとともに第１テーブル記憶領域１２３にコピーされる。次いで、ＳＥ１は、復旧が成功したか否かを判定する（ステップＳ３３）。例えば、第１テーブル記憶領域１２３にパッチテーブルを用いて正常にパッチプログラムを呼び出することができ、当該パッチプログラムを実行可能であれば復旧が成功したと判定される。そして、復旧が成功したと判定された場合（ステップＳ３３：ＹＥＳ）、処理はステップＳ３４へ進む。一方、復旧が成功していないと判定された場合（ステップＳ３３：ＮＯ）、処理はステップＳ２４へ移行する。

【0044】

ステップＳ３４では、ＳＥ１は、初回コマンドに応じた処理を実行する。次いで、ＳＥ１は、ステップＳ３４での処理の結果を示すレスポンスを外部端末２へ送信し（ステップＳ３５）、処理を終了する。

【0045】

（２．３．パッチプログラムのバージョン確認時の動作）
次に、図７を参照して、パッチプログラムのバージョン確認時の動作について説明する。図７は、パッチプログラムのバージョン確認時におけるＳＥ１と外部端末２とのやり取りの一例を示すシーケンス図である。図７において、外部端末２は、定期的または不定期に、任意のアプリケーションを選択するためのSELECTコマンドをＳＥ１へ送信する（ステップＳ４１）。ＳＥ１（ＯＳ）は、SELECTコマンドを受信すると、SELECTコマンドで指定されたアプリケーションを選択し（ステップＳ４２）、正常終了（SW:9000）及びFCIを含むレスポンスを外部端末２へ送信する（ステップＳ４３）。

【0046】

次いで、外部端末２は、ＳＥ１からのレスポンスを受信すると、バージョンデータを取得するためのGETコマンドをＳＥ１へ送信する（ステップＳ４４）。ＳＥ１は、GETコマンドを受信すると、GETコマンドにより特定されるバージョンデータをデータ記憶領域１２５または第１テーブル記憶領域１２３から読み出し（ステップＳ４５）、正常終了（SW:9000）及び読み出されたバージョンデータを含むレスポンスを外部端末２へ送信する（ステップＳ４６）。

【0047】

次いで、外部端末２は、ＳＥ１からのレスポンスを受信すると、当該レスポンスに含まれるバージョンデータが示すバージョンの更新確認が実施される。例えば、外部端末２は、当該バージョンが更新されているか否かを判定する。そして、当該バージョンが更新されている（例えば、バージョンが最新である）と判定された場合、パッチプログラムの適用に成功したと判断される。一方、バージョンが更新されていないと判定された場合、図５に示す処理（シーケンス）が再実施される。これにより、パッチプログラムを最新の状態に保つことができる。

【0048】

以上説明したように、上記実施形態によれば、ＳＥ１は、外部端末２から送信されたパッチプログラム及びパッチテーブルをＮＶＭ１２に書き込む前にパッチ状態を初期状態に設定し、パッチプログラムのパッチ記憶領域１２２への書き込み、且つ、パッチテーブルの第２テーブル記憶領域１２４への書き込みが完了した後に、パッチ状態を待機状態に設定する。その後、ＳＥ１のリセット後に外部端末２から初回コマンドが受信されたとき、ＳＥ１は、パッチ状態が初期状態である場合に、第１テーブル記憶領域１２３及び第２テーブル記憶領域１２４を初期化する一方、ＳＥ１のリセット後に外部端末２からコマンドが受信されたとき、パッチ状態が待機状態である場合に、ＳＥ１は、第２テーブル記憶領域１２４から第１テーブル記憶領域１２３にパッチテーブルをコピーするように構成したので、パッチプログラムの書き込みが予期せぬノイズや電源断などで中断されても正常に復旧することができる。

【符号の説明】

【0049】

１ ＳＥ
２ 外部端末
１０ ＣＰＵ
１１ ＲＡＭ
１２ ＮＶＭ
１３ Ｉ／Ｏ回路
１２１ プログラム記憶領域
１２２ パッチ記憶領域
１２３ 第１テーブル記憶領域
１２４ 第２テーブル記憶領域
１２５ データ記憶領域

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】