信息更新装置及其集成电路、信息更新方法、记录装置及其集成电路

摘要

提供一种信息更新装置，能够抑制因写入对象和读出对象之间的切换引起的性能低下并且以确保针对电源断开的鲁棒性的方式对记录在非易失性记录介质中的多个信息要素进行更新。分别确保有数量相同的第一种记录区域和第二种记录区域，对由表示第一种记录区域和第二种记录区域中的某种是否是写入对象的判断信息表明为是写入对象的种类的记录区域进行写入，在结束全部的写入之后，通过更新判断信息，对写入对象的记录区域进行切换。

说明书

技术领域

本发明涉及记录在记录区域中的信息要素的更新。

背景技术

在对记录在非易失性记录介质中的信息要素进行更新时，需要确保针对电源断开的鲁棒性(robustness)。在此，信息要素是指表示1个信息的汇总的单位。针对电源断开的鲁棒性是指，使得即使在向记录介质写入新的信息要素的中途发生不可预测的电源断开，也能够正确地读出更新前的信息要素。

作为这种确保鲁棒性的方式，在专利文献1、专利文献2中公开了如下的方法，即，设置用于读出信息要素的作为读出对象的记录区域和用于写入新的信息要素的作为写入对象的记录区域，在新的信息要素向写入对象的记录区域的写入结束之后，将读出对象的记录区域作为写入对象，将写入对象的记录区域作为读出对象，由此进行信息要素的更新。

根据该方法，在将新的信息要素向写入对象的记录区域写入的期间，记录在读出对象的记录区域中的信息要素不被改变。因此，即使在将新的信息要素向写入对象的记录区域写入的中途发生了不可预测的电源断开，也能够在电源再接通后从读出对象的记录区域读出正常的信息要素。

专利文献1：日本特开平5-158805号公报

专利文献2：日本特开平7-191890号公报

以往，在现有技术中，在信息要素的更新中，由于每当1个信息要素的写入结束时对写入对象和读出对象进行切换，因此若应该更新的信息要素有多个，则切换的系统开销(over head)相对较大，从而存在使信息更新的性能降低的问题。

此外，在如由多个信息要素构成1个信息组时这样、多个应该更新的信息要素之间具有关联性的情况下，若将多个信息要素依次写入的途中发生不可预测的电源断开，则更新前的信息要素和更新后的信息要素混合存在，失去关联性，因此，存在由于在电源再接通后信息要素之间不匹配而不能够进行正常的处理的问题。

发明内容

本发明的目的在于提供一种信息更新装置，能够抑制因写入对象和读出对象之间的切换引起的性能低下并且以确保针对电源断开的鲁棒性的方式对记录在非易失性记录介质中的多个信息要素进行更新。

为了解决上述问题，本发明的控制装置是对记录在非易失性记录介质中的多个信息要素进行更新的信息更新装置，其特征在于，具备：写入单元，向由判断信息表明为是写入对象的种类的记录区域的每个记录区域，写入多个信息要素的每个信息要素，所述判断信息表示所述记录介质所具有的多个第一种记录区域和与所述多个第一种记录区域数量相同的第二种记录区域当中的某种记录区域是否是写入对象；以及更新单元，在最后更新了所述判断信息之后，所述写入单元结束对由所述判断信息表明为是写入对象的种类的全部记录区域写入时，更新所述判断信息，使得表明为由所述判断信息表明为不是写入对象的种类的记录区域成为写入对象。

发明效果

根据本发明，在对记录在记录介质中的多个信息要素进行更新之际，在这些信息要素全部写入至记录区域之后再更新判断信息，由此对写入对象的记录区域和读出对象的记录区域进行切换，因此，与每当写入信息要素时都对写入对象的记录区域和读出对象的记录区域进行切换的情况相比，能够缩短更新所需时间。

此外，即使在写入至记录区域的信息要素之间具有关联性的情况下，也能够防止成为只有一部分信息要素被更新而其余的信息要素未被更新的状况。

在此，也可以是，所述信息更新装置具备读出单元，该读出单元从由所述判断信息表明为不是写入对象的种类的记录区域，分别读出多个信息要素。

在信息更新装置读出信息要素之际，读出单元将不是写入对象的记录区域作为读出对象，因此，即使在向写入对象的记录区域写入信息要素的中途发生不可预测的电源断开，也能够整套读出更新前的信息要素的全部。

在此，也可以是，所述信息更新装置具备关联性确认单元，该关联性确认单元对记录在由所述判断信息表明为是写入对象的种类的记录区域当中的2个以上记录区域中的各信息要素之间是否具有关联性进行确认，仅在所述关联性确认单元确认为记录在由所述判断信息表明为是写入对象的种类的记录区域中的信息要素之间具有关联性的情况下，执行所述更新单元进行的所述判断信息的更新。

由于仅在确认为记录在记录区域中的各信息要素之间具有关联性的情况下更新单元才对写入对象的记录区域和读出对象的记录区域进行切换，因此在接收到了相互之间不具有关联性的非法的多个信息要素的情况下不进行更新，读出单元能够读出正确地保持了更新前的关联性的正常的信息要素。

在此，也可以是，所述信息更新装置具备：加密单元，对所述写入单元应该写入的信息要素中的至少1个进行加密；以及解密单元，对所述读出单元读出的、所述加密单元加密后的信息要素进行解密。

对写入到记录区域的信息要素进行加密，在读出之后进行解密，由此能够提高信息要素的秘密性。

在此，也可以是，所述写入单元写入的多个信息要素中包含有作为被加密的程序的信息要素、和用于对被加密的所述程序进行解密的解密密钥的信息要素，所述程序包含有用于验证所述解密密钥的数字签名，所述解密单元利用所述解密密钥对被加密的所述程序进行解密，仅在通过所述数字签名进行的所述解密密钥的验证结果为合法的情况下，所述关联性确认单元才确认为具有关联性。

能够利用公知的技术确认是否具有关联性。

在此，也可以是，所述记录介质是以分页方式管理的非易失性存储器，确保所述多个第一种记录区域的页和确保所述多个第二种记录区域的页是不同的页，所述多个第一种记录区域的各自和所述多个第二种记录区域的各自分别一对一地建立关联，建立了关联的第一种记录区域和第二种记录区域将与记录区域的起始地址的页的起始地址之间偏移设为相同。

对于在不同的页中确保的不同的种类的记录区域之间，使得与各记录区域的起始地址的页的起始地址之间的偏移相同，由此，能够在不同的种类的记录区域之间共有表示各记录区域的起始地址的1个地址表。

在此，也可以是，所述写入单元进行的写入，仅在所述关联性确认单元确认为记录在由所述判断信息表明为是写入对象的种类的记录区域当中的2个以上记录区域中的各信息要素之间具有关联性的情况下才执行。

通过在向记录区域写入信息要素之前进行是否具有关联性的确认，能够防止没有关联性的非法的信息要素被写入。

附图说明

图1是包含有本发明的信息更新装置的系统整体的结构图。

图2是实施方式一中的信息更新装置的结构图。

图3是实施方式一中的在记录介质中确保的记录区域的地址表。

图4是实施方式一中的在记录介质中确保的记录区域的地址映射图。

图5是表示实施方式一中的信息更新装置的信息更新动作的流程图。

图6是表示实施方式一中的信息更新装置的信息更新动作的图。

图7是表示实施方式一中的信息更新装置的信息更新动作中的接收命令的图。

图8是实施方式二中的信息更新装置的结构图。

图9是表示实施方式二中的信息更新装置的信息更新动作的流程图。

图10是表示实施方式二中的信息更新装置的关联性确认动作的流程图。

具体实施方式

《实施方式一》

在本实施方式中，说明以确保针对电源断开的鲁棒性的方式对记录在记录介质中的各种信息要素当中的N个特定的信息要素进行更新的信息更新装置。在此，N是预先确定的固定值，为2以上的自然数。N个特定的信息要素是相互间具有某种关联性的信息要素的组。例如可以举出，设为N＝2，特定的信息要素是被加密的程序和用于对该程序进行解密的解密密钥。这些信息要素具有被加密的程序通过解密密钥而被解密这样的关联性。特定的信息要素只要是预先确定的有用的数据组合的组即可，可以是任意的组。

(结构)

首先，在图1中示出了利用本实施方式的信息更新装置对记录在记录介质中的信息要素进行更新的系统整体的结构的框图。

在本实施方式中，成为读写装置400对包含有信息更新装置100和记录介质200的记录装置300进行读出和写入的结构。

记录装置300是以SD存储卡为代表的非易失性的半导体存储器、或内置有EEPROM(Electrically Erasable and Programmable Read Only Memory：电可擦可编程只读存储器)的LSI(Large Scale Integration：大规模集成电路)。记录介质200是非易失性的闪存器(flash memory)。信息更新装置100是根据从读写装置400发送来的命令进行记录在记录介质200中的信息要素的写入、以及将写入的信息要素的读出的LSI。

在图2中示出了表示本实施方式的信息更新装置100和记录介质200的结构的框图。

在记录介质200中，分别确保有N个隶属于第一种记录区域210和第二种记录区域220的记录区域，以便为了以确保针对电源断开的鲁棒性的方式进行更新而记录N个信息要素。此外，第一种记录区域210和第二种记录区域220之中的某个确保有判断信息记录区域202，以便记录表示是否是写入对象的判断信息D。在此，判断信息D是1位的标志，在D＝0时，表示第一种记录区域210为写入对象、第二种记录区域220为读出对象，在D＝1时，表示第二种记录区域220为写入对象、第一种记录区域210为读出对象。进而，为了记录不需要以确保针对电源断开的鲁棒性的方式进行更新的信息要素，确保有用户数据记录区域201。

记录介质200以分页方式进行地址管理，第一种记录区域210和第二种记录区域220被确保于不同的页。

在图3中示出了用于管理第一种记录区域210和第二种记录区域220的地址表。

如图3(a)所示，隶属于第一种记录区域210的记录区域M(11)、M(12)、…、M(1N)、以及隶属于第二种记录区域220的记录区域M(21)、M(22)、…、M(2N)分别被唯一地分配有页码和区域号码。在此，各记录区域利用表示写入对象的记录区域的种类的变量W和表示记录区域的号码的变量n表达为M(Wn)。

在记录介质200上，利用图3(b)所示的表管理各页的起始地址，针对起始地址对应有页码。

在各页中，利用图3(c)所示的表管理各记录区域的起始地址，针对区域号码，表示与记录区域的起始地址的页的起始地址之间的偏移的起始偏移、和该记录区域的大小建立了对应关系。

根据以上的表，隶属于第一种记录区域210的记录区域M(11)、M(12)、…、M(1N)和隶属于第二种记录区域220的记录区域M(21)、M(22)、…、M(2N)的起始地址和结束地址如图3(d)的表所示。将该表用图来表示的地址映射图为图4。

接着，对信息更新装置100的结构进行说明。

信息更新装置100是包含有收发部101、暂时缓冲器102、读出部103、写入部104、更新部105的结构。

收发部101具有接受来自读写装置400的写入命令及读出命令，进行记录在记录介质200中的信息要素的收发的功能。收发部101若接受到来自读写装置400的写入命令，则接着从读写装置400接收应写入到记录区域的信息要素，并将接收到的信息要素保存于暂时缓冲器102。此外，收发部101若接受来自读写装置400的读出命令，则将经由读出部103读出并保存于暂时缓冲器102的信息要素发送至读写装置400。

暂时缓冲器102是暂时保存信息要素的易失性存储器。从读写装置400接收到的信息要素、以及发送至读写装置400的信息要素被保存于暂时缓冲器102。此外，从记录介质200读出的信息要素、以及写入记录介质200的信息要素也被保存于暂时缓冲器102。

读出部103具有将记录在记录介质200中的信息要素读出的功能。读出部103读出记录在判断信息记录区域202中的判断信息D，从由判断信息D表明为不是写入对象的种类的记录区域即表明为是读出对象的种类的记录区域读出信息要素，并输出至暂时缓冲器102。

写入部104具有向记录介质200写入信息要素的功能。写入部104接到读出部103读出的记录在判断信息记录区域202中的判断信息D的通知，向由判断信息D表明为是写入对象的种类的记录区域写入保存于暂时缓冲器102的信息要素。

更新部105若从写入部104接到写入结束的通知，则经由读出部103读出记录在判断信息记录区域202中的判断信息D，指示写入部104将判断信息D的值反转而写入。在此，将判断信息D的值反转是指，在D＝0时变为D＝1、在D＝1时变为D＝0。

(信息更新动作)

在此，对本实施方式的信息更新装置100的动作进行说明。

信息更新装置100进行与N个特定的信息要素有关的确保针对电源断开的鲁棒性的信息更新和与其他信息要素有关的不确保针对电源断开的鲁棒性的信息更新。

首先，利用图5，对与N个特定的信息要素有关的确保针对电源断开的鲁棒性的信息更新动作进行说明。

信息更新装置100若从读写装置400接收到表示信息更新开始的更新命令，则进行以下的动作。

首先，读出部103读出记录在判断信息记录区域202中的判断信息D(S702)，若判断信息为D＝0(S703“是”)，则设定为W＝1，以使写入对象为第一种记录区域210(S704)。此外，若判断信息不是D＝0(S703“否”)，则信息更新装置100设为W＝2，以使写入对象为第二种记录区域220(S705)。

接着，写入部104将表示记录区域的号码的变量n初始化为1(S706)，收发部101接收对写入对象的记录区域当中第n个记录区域M(Wn)的写入命令(S707)。

接着，收发部101接收应当写入记录区域M(Wn)的信息要素X(n)(S708)，并将所接收的信息要素X(n)保存于暂时缓冲器102。写入部104将被保存在暂时缓冲器102中的信息要素X(n)写入记录区域M(Wn)(S709)。即，写入部104参照图3的地址表，在表示记录区域M(Wn)的地址范围内写入信息要素X(n)。

写入部104一边使变量n增加一边重复上述的处理(S711)，直到表示记录区域的号码的变量n与记录区域的数N相一致(S710“否”)。

若写入部104结束了对N个记录区域全部的写入(S710“是”)，则向更新部105通知该情况，接到通知的更新部105指示写入部104经由读出部103读出判断信息D并向判断信息记录区域写入将所读出的判断信息D的值反转后的值。即，写入部104若D＝0则将D＝1写入判断信息记录区域202、若D＝1则将D＝0写入判断信息记录区域202(S712)。

以上，结束了与N个特定的信息要素有关的确保针对电源断开的鲁棒性的信息更新。

接着，对与N个特定的信息要素以外的信息要素有关的不确保针对电源断开的鲁棒性的信息更新动作进行说明。

不确保针对电源断开的鲁棒性的信息更新利用与确保针对电源断开的鲁棒性的信息更新中所用的写入命令不同的写入命令writeU来进行。若收发部101接收写入命令writeU，则写入部104将接下来接收的信息要素写入用户数据记录区域201。

(信息更新动作例)

在此，利用图6及图7，对信息更新装置100以确保针对电源断开的鲁棒性的方式更新应该更新的信息要素时的动作进行说明。

在图6中，用粗框包围写入对象的记录区域而示出了在D＝0时第一种记录区域210为写入对象、在D＝1时第二种记录区域220为写入对象的情况。

首先，在图6(a)中，判断信息D＝0，隶属于第一种记录区域210的记录区域M(11)、M(12)、…、M(1N)为写入对象。设定在隶属于第二种记录区域220的记录区域M(21)、M(22)、…、M(2N)中记录有更新前的信息要素Y(1)、Y(2)、…、Y(N)。

为了将它们更新为信息要素X(1)、X(2)、…、X(N)，读写装置400向信息更新装置100发送图7所示的命令。即，首先发送更新命令update。其次，发送对第1个记录区域的写入命令write1，接着发送信息要素X(1)。进而，发送对第2个记录区域的写入命令write2，接着发送更新后的信息要素X(2)。以下同样，发送对第N个记录区域的写入命令writeN，接着发送更新后的信息要素X(N)。

接收了上述命令的信息更新装置100如下所述那样对所接收的信息要素进行更新。

首先，若收发部101接收写入命令write1和更新后的信息要素X(1)，则信息要素X(1)被保存于暂时缓冲器102。写入部104从暂时缓冲器102读出信息要素X(1)，向由判断信息D表明为是写入对象的第一种记录区域210的M(11)写入信息要素X(1)，记录区域的使用状態成为图6(b)所示那样。

进而，若收发部101接收写入命令write2和更新后的信息要素X(2)，则信息要素X(2)被保存于暂时缓冲器102。写入部104从暂时缓冲器102读出信息要素X(2)，向由判断信息D表明为是写入对象的第一种记录区域210的M(12)写入信息要素X(2)，记录区域的使用状態成为图6(c)所示那样。

以下同样，若收发部101接收写入命令writeN和更新后的信息要素X(N)，则信息要素X(N)被保存于暂时缓冲器102。写入部104从暂时缓冲器102读出信息要素X(N)，向由判断信息D表明为是写入对象的第一种记录区域210的M(1N)写入信息要素X(N)。

写入部104以接收到更新命令时为起点，对起点之后写入记录区域的次数进行计数，在该次数与固定值N一致时，写入部104向更新部105通知写入次数达到了N的情况。接到写入次数达到N的通知的更新部105，将经由读出部103读出的判断信息设为D＝0，因此，指示写入部104将该值反转之后的D＝1写入判断信息记录区域202。由此，写入对象从第一种记录区域210切换至第二种记录区域220，记录区域的使用状態成为图6(d)所示那样。

《实施方式二》

在本实施方式中，对如下的信息更新装置进行说明，所述信息更新装置在以确保针对电源断开的鲁棒性的方式对记录在记录介质中的相互具有关联性的2个信息要素进行更新时，在更新前确认是否具有关联性，只在确认为具有关联性的情况下才进行更新。

在此，相互具有关联性的2个信息要素是指，利用加密密钥Ke对程序P加密而得到的数据Ke(P)、和用于对该数据进行解密的解密密钥Kd。设定程序P包含有用于验证解密密钥Kd的合法性的数字签名。

程序P是为了在信息更新装置和读写装置之间的信息要素收发之中进行加密后的收发，信息更新装置从记录介质读出并执行的程序。

(结构)

在图8中示出了表示本实施方式的信息更新装置100和记录介质200的结构的框图。

本实施方式的信息更新装置100是在实施方式一的信息更新装置100中加上加密部112、解密部113、关联性确认部110之后的结构。关于信息更新装置100的其他结构要素、以及包含在记录介质200中的记录区域，由于与实施方式一相同而省略说明。

加密部112具有从暂时缓冲器102读出信息要素、对读出的信息要素进行加密并将加密后的信息要素写入暂时缓冲器102的功能。在此，设定加密部112利用AES-CBC的加密算法进行加密。关于AES-CBC的加密算法，由于是公知技术而省略说明。加密部112保持有预先设定的密钥K，指定该密钥K、或从外部取得的其他密钥，利用被指定的密钥进行加密处理。即，在为了提高写入记录区域的信息要素的秘密性而进行加密的情况下，利用加密部112所保持的密钥K进行加密，在当从信息更新装置100向读写装置400发送信息要素时基于CPRM规格生成SAC(Secure Authentication Channel：安全认证信道)的情况下，利用在SAC中的加密所使用的共同的会话密钥(session key)Ks进行加密。

解密部113具有从暂时缓冲器102读出加密后的信息要素、对所读出的信息要素进行解密并将解密后的信息要素写入暂时缓冲器102的功能。解密部113也与加密部112一样，利用AES-CBC的加密算法进行解密。解密部113保持有用于对加密部112用密钥K加密后的信息要素进行解密的密钥K，指定该密钥K或从外部取得的其他密钥，利用被指定的密钥进行解密处理。即，在从记录区域读出利用加密部112所保持的密钥K而被加密的信息要素的情况下，利用解密部113所保持的密钥K进行解密，在当信息更新装置100从读写装置400接收到信息要素时生成SAC的情况下，利用在SAC中的加密所使用的共同点会话密钥Ks进行解密，在对用加密密钥Ke加密后的程序P进行解密的情况下，利用解密密钥Kd进行解密。

关联性确认部110具有确认记录在记录区域中的信息要素之间是否具有关联性的功能。关联性确认部110具有用于利用包含在程序P中的数字签名验证解密密钥Kd的验证部111。作为数字签名的规格，设定为使用由X.509定义的证明书形式的规定。此外，作为签名验证的具体方式，设定为使用RSA的签名验证算法的方式。X.509以及RSA由于是公知技术而省略说明。

(信息更新动作)

在此，利用图9对本实施方式的信息更新装置100的动作进行说明。

信息更新装置100若从读写装置400接收表示信息更新开始的更新命令，则进行以下的动作。

首先，信息更新装置100和读写装置400基于CPRM规格生成SAC，共有共同的会话密钥Ks(S901)。关于基于CPRM规格的会话密钥Ks的共有方法，由于是公知技术而省略说明。

接着，读出部103读出记录在判断信息记录区域202中的判断信息D(S903)，若判断信息为D＝0(S904“是”)则设定为W＝1，以使写入对象为第一种记录区域210(S905)。此外，若判断信息不是D＝0(S904“否”)，则信息更新装置100设定为W＝2，以使写入对象为第二种记录区域220(S906)。

接着，写入部104经由收发部10接收对写入对象的记录区域当中的第1个记录区域M(W1)的写入命令(S907)，接着收发部101接收用会话密钥Ks对解密密钥Kd加密后的数据Ks(Kd)(S908)，并将其保存于暂时缓冲器102，其中，所述解密密钥Kd用于对用加密密钥Ke对程序P加密后的数据Ke(P)进行解密。

接着，解密部113用会话密钥Ks对暂时缓冲器102上的数据Ks(Kd)进行解密，由此取得解密密钥Kd(S909)，并将其保存于暂时缓冲器102。

接着，加密部112用密钥K对暂时缓冲器102上的解密密钥Kd进行加密，取得数据K(Kd)(S910)，并将其保存于暂时缓冲器102。

接着，写入部104将暂时缓冲器102上的数据K(Kd)写入记录区域M(W1)(S911)。

进而，接收对写入对象的记录区域当中的第2个记录区域M(W2)的写入命令(S912)，接下来收发部101接收用会话密钥Ks对数据Ke(P)进行加密之后的数据Ks(Ke(P))(S913)，并将其保存于暂时缓冲器102。

接着，解密部113用会话密钥Ks对暂时缓冲器102上的数据Ks(Ke(P))进行解密，取得数据Ke(P)，并将其保存于暂时缓冲器102。

接着，写入部104将暂时缓冲器102上的数据Ke(P)写入记录区域M(W2)(S915)。

接下来，关联性确认部110确认记录在记录区域M(W1)以及记录区域M(W2)中的信息要素之间是否具有关联性(S916)，如果能够确认为具有关联性(S917“是”)，则将判断信息D的值反转(S918)。

通过以上步骤，信息更新结束。

另外，在不能够确认为具有关联性的情况下(S917“否”)，不将判断信息D的值反转而结束信息更新。

(关联性确认动作)

在此，利用图10对关联性确认部110确认记录在记录区域中的信息要素之间是否具有关联性的动作进行说明。

首先，读出部103读出判断信息D(S1001)，若判断信息为D＝0(S1002“是”)，则设定为W＝1，以使写入对象为第一种记录区域210(S1003)。此外，若判断信息不是D＝0(S1002“否”)，则信息更新装置100设定为W＝2，以使写入对象为第二种记录区域220(S1004)。

接着，从记录区域M(W1)读出数据K(Kd)(S1005)，并将其保存于暂时缓冲器102。此外，从记录区域M(W2)读出数据Ke(P)(S1006)，并将其保存于暂时缓冲器102。

接着，解密部113用解密部113所保持的密钥K对暂时缓冲器102上的数据K(Kd)进行解密，取得解密密钥Kd(S1007)，并将其保存于暂时缓冲器102。

进而，解密部113用解密密钥Kd对暂时缓冲器102上的数据Ke(P)进行解密，取得程序P(S1008)，并将其保存于暂时缓冲器102。

接着，关联性确认部110通过包含在暂时缓冲器102上的程序P中的数字签名，验证解密密钥Kd的合法性(S1009)。

解密密钥Kd的合法性验证能够如下所示那样实现。即，预先在数字签名中包含有用加密密钥Ke对解密密钥Kd进行加密后的数据。从用解密密钥Kd对加密后的程序P进行解密而得到的数据提取数字签名，比较通过用解密密钥Kd对所抽取的数字签名中含有的数据进行解密得到的数据、和信息更新装置100所接收的解密密钥Kd之间是否一致。只有解密密钥Kd合法时两者才会一致，因此能够验证解密密钥Kd的合法性。

若通过程序P中含有的数字签名进行了验证的解密密钥Kd是合法的(S1009“是”)，则判断为具有关联性(S1010)，若不是合法的(S1009“否”)，则判断为没有关联性(S1011)。

通过以上步骤，关联性确认结束。

《补充》

也可以如下所示那样对上述实施方式进行变形。

(1)在上述的实施方式一中，说明了预先确定了应该更新的信息要素的个数N、在接收到表示信息更新开始的更新命令之后对接收的信息要素的个数进行计数、由此对是否接收了具有多个的更新后的信息要素的全部进行判断的情况，但是本发明并不限于该情况。

例如，也可以是，在各个信息要素中包含有表示其类型的信息，每当接收信息要素时对该信息要素的类型进行分析，在预先确定的类型的信息要素接收完毕时刻，判断为接收了多个新的信息要素的全部。代替通过对信息要素的数量进行计数来判断是否接收了全部信息要素，通过对信息要素的类型与规定的类型是否一致进行比较来判断信息要素的接收是否结束，由此实现该方式。

此外，也可以是，在从读写装置400发送出预先确定的特定命令的时刻，判断为接收了多个新的信息要素的全部。通过设定为，读写装置400与在信息更新开始时发送update命令一样，若发送完全部信息要素，则发送表示发送结束的情况的命令，能够实现该方式。

(2)在上述实施方式二中，设定成在将信息要素写入到写入对象的记录区域之后再确认记录在记录区域中的各信息要素之间是否具有关联性，但是也可以设定成，在写入前确认是否具有关联性，只在具有关联性的情况下才进行写入。

通过设定为，在将写入到记录区域的信息要素保持于暂时缓冲器102的阶段，关联性确认部110确认保持在暂时缓冲器102中的信息要素之间是否具有关联性，只在具有关联性的情况下指示写入部104写入到记录区域，能够实现该方式。

通过如上所述那样设定，不需要对记录介质200进行无用的访问，在没有关联性的情况下能够缩短到信息更新处理结束为止的时间。此外，能够抑制记录介质200的累年劣化。

(3)在上述实施方式二中，设定成在将信息要素写入到写入对象的记录区域之后再确认记录在记录区域中的各信息要素之间是否具有关联性，但是也可以设定成，一边一个一个地写入信息要素一边确认是否具有关联性。

通过设定成，关联性确认部110与确认保持在暂时缓冲器102中的信息要素之间是否具有关联性的动作并行，指示写入部104将保持在暂时缓冲器102中的信息要素写入记录区域，能够实现该方式。

通过如上所述那样设定，能够缩短到信息更新处理结束为止的时间。

(4)在上述实施方式二中，关于是否具有关联性的确认，说明了通过进行基于X.509的证明书验证来确认关联性的情况，但是本发明不限于该情况。

例如，也可以是，将用于对被加密的程序进行解密的解密密钥的哈希(hash)值作为签名数据来使用。在该情况下，验证部111对利用与计算签名数据中包含的哈希值的方法相同的方法计算出来的解密密钥的哈希值、与签名数据中包含的哈希值是否一致进行比较，由此能够确认是否具有关联性。

或者也可以是，将解密被加密后的程序的结果的一部分作为签名数据来使用。

在该情况下，验证部111将用解密密钥对被加密的程序解密的结果的一部分、与预先确定的固定值是否一致进行比较，由此能够确认是否具有关联性。

此外，也可以是，验证部111对信息要素的一部分与预先确定的固定值是否一致进行比较，由此能够确定是否具有关联性。

在此，预先确定的固定值可以是从读写装置400通知的值，或者也可以是预先记录在记录介质200的规定区域的值。

(5)在上述实施方式二中，对2个信息要素确认了是否具有关联性，但是也可以对3个以上的信息要素确认是否具有关联性。例如，将实施方式二中分别确保有2个的第一种记录区域和第二种记录区域改成分别确保有3个，在要记录在该3个记录区域中的3个信息要素全部写入各记录区域之后确认是否具有关联性，由此能够实现该方式。

此外，也可以是，3个信息要素中的2个是能够确认关联性的信息要素，而剩余的1个是不能够确认关联性的信息要素。在该情况下，只对能够确认关联性的2个信息要素确认是否具有关联性即可。

(6)在上述实施方式二中，在全部信息要素写入记录区域结束之后再进行关联性的确认，但是本发明不限定与此。例如，也可以是，多个信息要素当中、一部分信息要素在关联性确认之前写入，其余的信息要素只在被确认为具有关联性的情况下才写入。具体而言，容量大的信息要素在关联性确认前写入记录区域，容量小的信息要素以保持在暂时缓冲器102中的状态确认关联性。在该情况下，如果确认为具有关联性，则在将暂时缓冲器102上的信息要素全部写入记录区域之后，将判断信息D的值反转。

(7)在上述实施方式二中，读写装置400与信息更新装置100之间的各信息要素的收发经由相同的SAC进行，但是本发明不限于此。

例如，也可以是按照各信息要素来生成SAC。在该情况下，用于对从读写装置400接收的信息要素进行解密的会话密钥Ks按照每个信息要素而变化。

或者，也可以是只有任意1个信息要素经由SAC进行收发。在该情况下，需要用会话密钥Ks对从读写装置400接收的信息要素进行解密的仅是经由SAC收发的特定的1个信息要素，其他信息要素不需要用会话密钥Ks进行解密。

(8)在上述实施方式二中，具有关联性的信息要素是被加密的程序和用于对其进行解密的解密密钥，但是本发明不限于此。

例如，也可以是程序和用于执行该程序的设定信息。在该情况下，在设定信息预先包含有程序的哈希值，对利用与计算该哈希值的方法相同的方法来计算程序的哈希值的结果、与设定信息中包含的哈希值是否一致进行比较，由此能够确认是否具有关联性。

或者，也可以是将分割1个数据而得到的分割片。在该情况下，在1个分割片中预先埋入分割前的数据的哈希值，对利用与计算该哈希值的方法相同的方法来计算将分割片结合而得到的数据的哈希值的结果、与埋入的哈希值是否一致进行比较，由此能够确认是否具有关联性。

(9)在上述实施方式中，判断信息是1位的标志，但是本发明不限于该情况。例如，也可以是由多位构成的数值。在该情况下，例如预先确定规定的值，能够通过该数值是否是该规定的值来判断是否是写入对象。

(10)在上述实施方式中，在接收更新命令之后，读出判断信息，对写入对象进行判断，但是，本发明不限于该情况。即，只要实际上在将信息要素写入的阶段之前对写入对象进行判断即可。例如，能够设定成，在接收到最初的写入命令之后读出判断信息，对写入对象进行判断。此外，也可以设定成，在接收到应该更新的多个信息要素当中的、最初的信息要素的全部或部分之后，读出判断信息，对写入对象进行判断。

(11)在上述实施方式中，写入部104在各记录区域中依次写入信息，但是本发明不限于该情况。即，只要能够对全部信息要素的写入结束进行确认，写入的顺序可任意。例如，能够通过在信息更新装置100上预先连接有多个记录介质200，将多个信息要素同时写入多个记录介质200。

(12)在上述实施方式中，不同种类的记录区域被确保在不同的页中，各种类之间对应的记录区域之间的起始地址在各自的页内，与页的起始地址之间的偏移相同，但是本发明不限于该情况下。例如，也可以是，第一种记录区域的某个记录区域、和第二种记录区域的另外的记录区域被确保在同一页内。代替通过页的起始地址、与起始地址之间的偏移及大小对记录区域的位置进行管理，而按照存储区域对起始地址和大小进行管理，能够实现该方式。

(13)作为上述实施方式中的信息更新装置100的结构例，能够作为SD存储卡、USB存储器、由LSI和DVD驱动器、DVD-RAM(Digital Versatie Disk Random Access Memory)构成的组装产品、由BD驱动器、BDRE(Blu-ray Disc Rewritable)构成的组装产品、内部包含有EEPROM的LSI来得以实现。

(14)也可以是包含有实现了上述实施方式中的信息更新装置100的系统LSI的民生设备等组装产品。例如，能够将搭载有LSI的电路基板组装至数字电视、广播接收装置、保存再现装置、便携式电话、数码摄像机、音像装置、车载终端、以及搭载有车载终端的汽车等民生设备中进行利用。

(15)在上述实施方式中，加密部112和解密部113分别保持有密钥K，在对记录区域进行信息要素的写入和读出时，为了提高秘密性而用密钥K进行加密及解密，但是本发明不限于此。例如，也可以是，使读写装置400不能够访问的记录介质200的秘密区域保持密钥K。此外，也可以通过规定的加密处理对密钥K进行加密之后进行保持。在该情况下，用于实施规定的加密处理的加密密钥被另外存储在规定的区域中。作为存储加密密钥的规定的区域，例如包含有加密部112以及解密部113、或者记录介质200的规定区域。

(16)在上述实施方式中，从读写装置400接收的信息要素全部写入记录介质中，但是本发明不限于该情况。即，也可以是从读写装置400接收的信息要素以及将该信息要素解密后的数据当中的一部写入记录介质。

(17)在上述的实施方式中，第一种记录区域210和第二种记录区域220都作为不同于用户数据记录区域201的区域而被确保，但是本发明不限于此。即，隶属于第一种记录区域210的记录区域和隶属于第二种记录区域220的记录区域当中的对应的记录区域，都被确保在秘密性与其他记录区域不同的区域中。例如，将隶属于第一种记录区域210的记录区域M(11)和隶属于第二种记录区域220的记录区域M(21)确保在若不经由SAC则不能够进行写入和读出的区域中，将隶属于第一种记录区域210的记录区域M(12)和隶属于第二种记录区域220的记录区域M(22)确保在如用户数据记录区域201那样即使不经由SAC也能够进行通常的写入和读出的区域中。

工业实用性

本发明能够以确保针对电源断开的鲁棒性的方式更新多个信息要素，因此具有与现有技术相比能够缩短更新时间的效果。特别是，具有即使在多个信息要素之间具有关联性的情况下也能够保证不会出现更新前的信息要素和更新后的信息要素混合存在而丧失关联性的情况。因此，在以SD存储卡为代表的半导体存储器相关产品中是有效的。此外，在如具有记录区域、对多个信息要素进行更新这样的家电产品、个人电脑、以及便携式电话机等中也是有效的。

符号说明

100：信息更新装置

101：收发部

102：暂时存储器

103：读出部

104：写入部

105：更新部

110：关联性确认部

111：验证部

112：加密部

113：解密部

200：记录介质

201：用户数据记录区域

202：判断信息记录区域

210：第一种记录区域

220：第二种记录区域

300：记录装置

400：读写装置