管理系统、管理方法、终端设备和管理服务器

暂无

技术领域\n本发明涉及管理系统、管理方法、终端设备、管理服务器和程序，更具体地，涉及适用于精确管理固件更新情况的管理系统、管理方法、终端设备、管理服务器和程序。 \n背景技术\n近年来，具有内置IC(集成电路)芯片的卡(IC卡)逐渐被广泛应用。 \n这种IC卡在内置IC芯片中包含诸如账目信息之类的数据。因此，为了执行针对IC卡中所包含的数据的操作(更新)，具有IC卡读出器/写入器的终端设备在连接到适合于将信息分发到终端设备的服务器并在具有IC卡读出器/写入器的终端设备与服务器之间进行了相互认证之后，对IC卡中所包含的数据执行操作。 \n例如，公开了一种用于从在线的IC卡中读出数据的技术(参见日本专利申请公开(KOKAI)2003-141063)。 \n具有IC卡读出器/写入器的终端设备还包含应用程序，并且在固件(firmware)上执行所包含的应用程序。 \n这种固件是终端设备的基础程序，并且当新的附加功能被提供给终端设备自身时通过更新被改变为较新版本的固件。通过对固件进行更新，终端设备允许执行提供更先进功能的应用程序。 \n发明内容\n顺便提及，在线执行固件更新已成为常识问题。 \n图1示出相关技术中的固件管理系统。 \n每个店铺1-1到1-n具有终端设备11，该终端设备11包括适合于从 IC卡13中读出信息或将信息记录到IC卡13上的读出器/写入器单元21。每个店铺1-1到1-n设有相同类型的终端设备11。应用程序22是用于实现适用于各种类型的IC卡13的处理的程序，其实现与已发行IC卡13的卡发行公司相应的处理。固件23是终端设备11的基础程序，其允许执行应用程序22。应注意虽然在图1中示出使用单个应用程序22，然而使用不止一个应用程序也是允许的。因此，认为增加应用程序22的数目将使得可适用的IC卡13的类型及/或功能增多。 \n销售点(POS)寄存器12是店铺中在支付时使用的寄存器。具体地，在与物品购买相关的支付中，POS寄存器12基于通过终端设备11在IC卡13中收费的总和的信息接受支付。POS寄存器12还用作用于控制并管理终端设备11的信息输入/输出终端。具体地，当提出更新固件23的请求时，例如，操作POS寄存器12以基于适用于操作内容的信息，通过网络2向固件管理服务器3发送对固件23进行版本升级(version-up)(分发)的请求。 \n固件管理服务器3是由固件研发/管理经营者操作的服务器，并通过诸如互联网之类的网络2连接到每个店铺1-1到1-n的终端设备11以执行固件的分发。 \n现描述图1所示的固件管理系统的操作。 \n首先，如果通过负责店铺1-1的店员(使用者)操作POS寄存器12输入了请求对固件进行更新的命令，则对固件23进行版本升级的请求通过网络2被发送到固件管理服务器3。 \n响应于版本升级请求，固件管理服务器3通过网络2向店铺1-1分发最新的固件。 \n根据此处理，终端设备11通过网络2接收到从固件管理服务器3分发的固件，从而通过重写来用新版本的固件更新固件23，进而导致处理结束。 \n在相关技术中，通过以上的处理更新固件。 \n基于如上所述所执行的对固件23的更新(版本升级)，固件管理服务器3只能允许固件23(包括每个店铺1-2到1-n中的固件23)一下子被 连续地依次更新。然而，固件被假定为仅在每个店铺1的终端设备11提出固件版本升级请求时才被更新，因此对于所有店铺1-1到1-n中的终端设备11而言并不总是可得到对固件23的更新。出于该原因，掌握店铺1-1到1-n中的某个店铺的终端设备11是否实行了对固件23的更新变得很困难。因此，固件管理服务器3的管理经营者无法掌握在店铺1-1到1-n中已经执行了对固件23的更新的一个或多个店铺，然而成本必须算入固件的研发及/或管理中，进而导致很难对固件研发所涉及的费用进行补偿。 \n本发明已经考虑到上述情况，并且特别希望精确掌握不同用户的固件更新情况，从允许而根据不同店铺(不同的终端设备)的固件更新情况执行诸如清算账目之类的处理，同时仅向待更新的终端设备分发固件。 \n本发明的第一方面中的管理系统涉及一种具有终端设备和适合于管理上述终端设备的终端固件的管理服务器的管理系统。终端设备包括存储装置、固件更新装置和版本信息更新装置。存储装置存储能够被终端设备的使用者更新的固件，并存储不能够被所述使用者更新的固件的版本信息。固件更新装置向管理服务器发送版本信息，并利用从管理服务器发送的较新版本的固件更新存储在存储装置中的固件。版本信息更新装置用通过固件更新装置更新了的固件的版本信息更新存储在存储装置中的版本信息。管理服务器包括第二存储装置、判断装置和发送装置。第二存储装置存储所述终端设备中的固件的版本信息。判断装置基于从终端设备发送的终端固件的版本信息判断版本信息是否是非法的以及版本信息是否是最新的。如果判断装置判断出版本信息不是非法的并且所述版本信息不是最新的，则发送装置将较新版本的固件发送到终端设备。在管理服务器中，判断装置在从终端设备发送的版本信息与在第二存储装置中存储的版本信息不同时，判断从终端设备发送的版本信息是非法的。 \n存储装置被使得能够将固件版本信息存储在安全区域中，在该安全区域禁止终端设备的使用者对版本信息进行更新。版本信息更新装置被使得能够用通过固件更新装置更新了的固件的版本信息更新存储在存储装置的安全区域中的版本信息。 \n就管理服务器而言，如果判断装置判断出所述版本信息不是非法的并 且所述版本信息不是最新的，则发送装置被使得能够在利用其自身的管理服务器的密钥对固件版本信息进行加密之后，将意图发送的上述固件版本信息与固件一起发送到终端设备。就终端设备而言，版本信息更新装置被使得能够用加密的版本信息来更新固件版本信息。存储装置还被使得能够通过以加密的状态存储版本信息来执行对版本信息的存储从而禁止所存储的版本信息被终端设备的使用者更新。 \n固件更新装置被允许发送终端设备的标识信息；并且第二存储装置被允许存储终端设备中的固件的版本信息和终端设备的标识信息。 \n根据本发明的第一方面的管理系统的管理方法涉及一种具有终端设备和适合于管理终端设备的固件的管理服务器的管理系统的管理方法。应用到终端设备的管理方法包括存储步骤、固件更新步骤和版本信息更新步骤。存储步骤用于在终端设备的使用者可以更新固件的情况下存储固件，同时在使用者不能够更新所存储的版本信息的情况下存储固件的版本信息。固件更新步骤用于向管理服务器发送版本信息，并利用从管理服务器发送的较新版本的固件更新通过存储步骤中的处理而存储的固件。版本信息更新步骤用于用通过固件更新步骤中的处理所更新的固件的版本信息来更新通过存储步骤中的处理而存储的版本信息。应用于管理服务器的管理方法包括第二存储步骤、判断步骤和发送步骤。第二存储步骤存储终端设备中的固件的版本信息。判断步骤用于基于从上述终端设备发送的终端固件的版本信息判断版本信息是否是非法的以及所述版本信息是否是最新的。发送步骤用于如果通过判断步骤中的处理判断出版本信息不是非法的并且所述版本信息不是最新的则将较新版本的固件发送到终端设备。在应用于管理服务器的管理方法中，判断步骤在从终端设备发送的版本信息与在第二存储步骤中存储的版本信息不同时，判断从终端设备发送的版本信息是非法的。 \n根据本发明的第二方面的一种终端设备包括存储装置、固件更新装置和版本信息更新装置。存储装置存储固件以允许所存储的固件被其自身的终端设备的使用者更新，同时存储固件的版本信息以禁止所存储的版本信息被所述使用者更新。固件更新装置向管理服务器发送版本信息，并且在从管理服务器接收到未显示版本信息是非法的通知并且接收到显示需要版本升级的通知之后，基于版本信息用从管理服务器发送的较新版本的固件更新存储在存储装置中的固件。版本信息更新装置用通过固件更新装置更新后的固件的版本信息更新存储在存储装置中的版本信息。其中，管理服务器在从终端设备发送的版本信息与在管理服务器的第二存储装置中存储的终端设备中固件的版本信息不同时，判断从终端设备发送的版本信息是非法的。 \n根据本发明的第三方面的一种管理服务器包括第二存储装置、判断装置和发送装置。第二存储装置存储终端设备中的固件的版本信息。判断装置基于从终端设备发送的终端固件的版本信息判断版本信息是否是非法的以及版本信息是否是最新的。如果判断装置判断出版本信息不是非法的并且版本信息不是最新的则发送装置将较新版本的固件发送到终端设备。其中，判断装置在从终端设备发送的版本信息与在第二存储装置中存储的版本信息不同时，判断从终端设备发送的版本信息是非法的。 \n就根据本发明的第一方面的管理系统和管理方法而言，终端设备适合于确保固件被存储以允许所存储的固件被终端设备的使用者更新，固件的版本信息被存储以禁止所存储的版本信息被所述使用者更新，基于版本信息用从管理服务器发送的较新版本的固件更新所存储的固件，并且用更新后的固件版本信息更新所存储的版本信息。管理服务器适用于确保基于从终端设备发送的终端固件的版本信息判断是否需要更新固件，并且如果判断固件需要被更新则将较新版本的固件发送到终端设备。 \n就根据本发明的第二方面的终端设备而言，其确保存储固件以允许所存储的固件被其自身的终端设备的使用者更新，存储固件版本信息以禁止所存储的版本信息被所述使用者更新，基于版本信息用从管理服务器发送的较新版本的固件更新所存储的固件，并且用更新后的固件的版本信息更新所存储的版本信息。 \n就根据本发明的第三方面的管理服务器而言，其确保基于从终端设备发送的终端固件的版本信息判断是否需要更新固件，并且如果判断固件需要被更新则将较新版本的固件发送到终端设备。 \n可独立配置根据本发明的管理系统、终端设备和管理服务器，或者， 也可以按照适合于执行管理处理的功能块的形式配置根据本发明的管理系统、终端设备和管理服务器。 \n以下在随后的具体实施方式中将参考附图详细阐明本发明的这些及其他特征和方面。 \n附图说明\n图1是示出相关技术中的固件管理系统的一种配置的外观的视图； \n图2是示出应用了本发明的固件管理系统的实施例的视图； \n图3是用于说明图2所示的固件管理系统的版本升级处理的流程图； \n图4是示出固件管理DB的视图； \n图5是示出应用了本发明的固件管理系统的另一实施例的视图； \n图6是用于说明图5所示的固件管理系统的版本升级处理的流程图； \n图7是示出个人计算机的一种配置的视图。 \n具体实施方式\n虽然在下文中描述了本发明的实施例，但是在此说明书中阐明的主题与本发明的实施例之间的对应关系被说明如下。以下描述用于确认在此说明书中还阐明了支持在此说明书中所提出的主题的实施例。因此，假定虽然在本发明的实施例中阐明了某些具体实例，然而在此并未将这些具体实例作为与主题相对应的那些实例来阐明，此事实并不意味着这些具体实例未被指定为与主题相对应的那些实例。相反，假定在此阐明具体实例作为与主题相对应的实例，此事实也并不意味着这些具体实例被指定为应该与除上述主题外的任何主题不相对应的那些实例。 \n此外，给出以下描述并非暗示在此说明书中阐明了所有与在本发明的实施例中阐明的具体实例相对应的主题。换言之，给出以下描述并不是否认如下事实：虽然被指定为与在本发明的实施例中阐明的具体实例相对应的那些主题，然而存在尚未在本申请的权利要求书中阐明的主题，也就是说，将来通过修改得到的分案申请或附加申请的预期主题。 \n就是说，本发明的第一方面的管理系统涉及具有终端设备(例如图2 中所示的终端设备101)和适合于管理终端设备的终端固件的管理服务器(例如图2中所示的固件管理服务器53)的管理系统。终端设备包括存储装置(例如图2或图5中所示的存储单元124)，固件更新装置(例如图2中所示的固件更新单元132a或图5中所示的固件更新单元241a)以及版本信息更新装置(例如图2中所示的版本信息更新单元132b或图5中所示的版本信息更新单元241b)。存储装置存储固件以允许所存储的固件被终端设备的使用者更新，同时存储固件的版本信息以禁止所存储的版本信息被所述使用者更新。固件更新装置基于版本信息用从管理服务器发送的较新版本的固件更新存储在存储装置中的固件。版本信息更新装置用通过固件更新装置更新后的固件的版本信息更新存储在存储装置中的版本信息。管理服务器包括判断装置(例如图2中所示的版本比较单元221)和发送装置(例如图2或图5中所示的通信单元202)。判断装置基于从终端设备发送的终端固件的版本信息判断是否需要更新固件。如果判断装置判断固件需要被更新，则发送装置向终端设备发送上述较新版本的固件。 \n存储装置(例如图2中所示的存储单元124)被使得能够将固件版本信息存储在安全区域(例如图2中所示的安全区域142)中，在该安全区域中禁止终端设备的使用者更新版本信息。版本信息更新装置还被使得能够用通过固件更新装置更新后的固件的版本信息更新存储在存储装置的安全区域中的版本信息。 \n就管理服务器而言，如果判断装置判断出固件需要被更新，则发送装置被使得能够在利用其自身的管理服务器的密钥(例如图5中所示的密钥291)对版本信息进行加密之后，将意图发送的固件版本信息与固件一起发送到终端设备。就终端设备而言，版本信息更新装置被使得能够用加密的版本信息(例如图5中所示的电子证书261)更新固件版本信息。存储装置(例如图5所示的存储单元124)还被使得能够通过以加密的状态存储版本信息来执行对版本信息的存储，从而禁止所存储的版本信息被终端设备的使用者更新。 \n本发明的第一方面的管理系统的管理方法涉及一种具有终端设备和用于管理终端设备的固件的管理服务器的管理系统的管理方法。应用到终端 设备的管理方法包括存储步骤(例如图3中所示的步骤S10和S11)，固件更新步骤(例如图3中所示的步骤S10)以及版本信息更新步骤(例如图3中所示的步骤S11)。存储步骤用于存储固件以允许所存储的固件被终端设备的使用者更新，同时存储固件的版本信息以禁止所存储的版本信息被所述使用者更新。固件更新步骤用于基于版本信息用从管理服务器发送的较新版本的固件更新通过存储步骤中的处理而存储的固件。版本信息更新步骤用于用通过固件更新步骤中的处理更新后的固件的版本信息更新通过存储步骤中的处理而存储的版本信息。应用于管理服务器的管理方法包括判断步骤(例如图3中所示的步骤S28)和发送步骤(例如图3中所示的步骤S30)。判断步骤用于基于从终端设备发送的终端固件的版本信息判断是否需要更新固件。发送步骤用于如果通过判断步骤中的处理判断出固件需要被更新则将较新版本的固件发送到终端设备。 \n图2示出应用了本发明的固件管理系统的一个实施例的配置。 \n每个店铺51-1到51-n具有接受IC卡的支付的终端设备101。每个店铺51-1到51-n的终端设备101还通过网络52向固件管理服务器53发送固件版本升级(更新)请求，并同时获取并更新响应于请求而分发的固件。在以下的描述中，应注意除非另有说明，否则将店铺51-1到51-n简单地称为店铺51，并且对于其他配置而言也是一样。 \n终端设备101连接到销售点(POS)寄存器102。因此，在将物品价格输入POS寄存器102之后支付与物品价格相对应的总和时，终端设备101通过读出在上述未示出的IC卡(等同于图1中所示的IC卡13)中记录的(收取的)账目信息来执行支付处理，并同时将支付后剩余的账目信息记录在未示出的IC卡中。 \n终端设备101的控制单元121基于通过接口单元125从诸如POS寄存器102的键盘之类的输入单元173提供的操作信号，执行对终端设备101的总体运作的管理。终端设备101基于通过接口单元125从输入单元173提供的操作信号，控制读出器/写入器单元123从IC卡中读出账目信息，并同时通过接口单元125将账目信息提供到POS寄存器102以使得账目信息被显示在装配有LCD(液晶显示器)等的显示单元172上。 \n控制单元121还控制配置有网络接口等的通信单元122以通过网络52在终端设备和固件管理服务器53之间传送各种数据。此外，控制单元121通过实现存储在配置有硬盘和闪存等的存储单元124中的被指定为基础程序的固件141，使得存储在存储单元124的一般区域中的应用程序161-1到161-n能够在固件141上被执行。 \n针对于每个终端设备101的唯一的设备ID 131被存储在控制单元121中。如果通过POS寄存器102的输入单元173的操作命令对固件141进行版本升级，则控制单元121的固件管理单元132读出设备ID 131，并同时在存储单元124的区域中读出禁止被终端设备101的使用者处理的(或识别的)、存储在安全区域142中的固件版本信息151，随后控制通信单元122通过网络52向固件管理服务器53发送固件版本升级请求。 \n如果最新的固件(或版本信息较新的固件)响应于固件版本升级请求而从固件管理服务器53被分发，则固件管理单元132控制固件更新单元132a以用新提供的固件231(存储在固件管理服务器53的存储单元203中)来更新固件141。此时，版本信息更新单元132b执行对安全区域142的访问以基于所发送的固件231的最新版本信息221a和更新后的固件141来更新固件版本信息151。 \nPOS寄存器102由配置有键盘的输入单元173、配置有LCD的显示单元172和接口单元171组成。接口单元171向终端设备101提供通过操作输入单元173而生成的操作信号，并同时获取从终端设备101提供的各种信息以使得所获取的信息被显示在显示单元172上。应注意因为终端设备101自身不能够接受从使用者输入的信息，所以通过POS寄存器102进行所有的终端设备动作。 \n固件管理服务器53的控制单元201执行对固件管理服务器53的总体操作的控制。如果店铺51的终端设备101提出固件版本升级请求，则控制单元201控制通信单元202以获取这个版本升级请求，并同时从存储单元203中读出最新的(或较新的)固件231，以通过通信单元202将所读出的固件发送到店铺51的终端设备101。 \n在从终端设备101接收到固件版本升级请求之后，控制单元201向固 件管理单元211提供包含在所接收的请求中的固件版本信息151。固件管理单元211执行对固件管理DB 232的访问以基于设备ID判断是否包含支持固件141的契约(contract)。也就是说，当接收到固件版本升级请求时，固件管理单元211判断是否包含用于分发最新固件的契约。如果包含，则固件管理单元211控制版本比较单元221以将最新版本信息221a与固件版本信息151进行比较。然后，如果最新版本信息221a与固件版本信息151不同，换言之，固件版本信息151具有比最新固件231的最新版本信息221a更旧的版本，则固件管理单元211执行对存储单元203的访问以读出最新固件231，随后控制通信单元202以向提出固件版本升级请求的终端设备101发送所读出的固件。 \n现参考图3中的流程图描述图2所示的固件管理系统的固件版本升级处理。 \n在步骤S1，控制单元121控制固件管理单元132以判断是否通过接口单元125从POS寄存器102请求了固件版本升级，或重复相同的处理直到固件版本升级被请求。然后，在步骤S1，如果通过使用者(例如负责店铺51的店员)对输入单元173的操作，基于显示单元172上的信息命令了固件版本升级请求，则相应的操作信号被生成。如果通过接口单元171和125将所生成的操作信号提供到控制单元121，则判断出现了固件版本升级请求，并且处理前进到步骤S2。 \n在步骤S2，控制单元121控制通信单元122以执行与固件管理服务器53的相互认证处理。 \n根据步骤S2中的处理，固件管理服务器53的控制单元201也在步骤S21中控制通信单元202以执行相互认证处理。 \n如果相互认证处理被包括在那些适合于在终端设备101和固件管理服务器53之间提供相互认证的处理中，则认证方法不被限制，并且认证方法可以是诸如质询-响应之类的方法或使用密钥和公钥的方法。如果上述相互认证处理成功，则起动后续处理。应注意如果上述相互认证处理失败，则处理结束。 \n在步骤S3，固件管理单元132执行对安全区域142的访问，安全区域 142被设置在存储单元124中以禁止响应于来自POS寄存器102的用于从上述安全区域中读出当前固件141的固件版本信息151的使用者操作而重写数据。 \n在步骤S4，固件管理单元132控制通信单元122以在将用于识别终端设备101的设备ID 131添加到所读出的固件版本信息151之后，通过网络52向固件管理服务器53发送固件版本升级请求。 \n在步骤S22，控制单元201控制通信单元202以判断是否接收到固件版本升级请求，或重复相同处理直到固件版本升级请求被接收。如果在步骤S22中判断接收到通过步骤S4中的处理而生成的固件版本升级请求，则处理前进到步骤S23。 \n在步骤S23中，控制单元201控制固件管理单元211以访问存储在存储单元203中的固件管理DB 232，使得关于提出固件版本升级请求的终端设备101的支持契约信息被读出并基于与固件版本升级请求一起发送的设备ID 131被确认。 \n固件管理DB 232例如以图4中所示的数据库的形式存在，其包含支持契约信息、版本信息和账目管理信息，每个信息均与设备ID相关联。对于图4中所示的数据库，从左侧起记录设备ID、支持契约信息、版本信息和账目管理信息。设备ID具有从顶部起以1、2、3、...和X为顺序的记录。版本信息具有从顶部起以版本1-1、-、版本2-1、...和版本1-3为顺序的记录。账目管理信息具有从顶部起以1、-、0、...和1为顺序的记录。在图4中，“1”被指定给包含支持契约的情况，而“0”被指定给不包含支持契约的情况。就账目管理信息而言，“1”被指定给通过账目处理单元212中的处理接收了支付的情况，而“0”被指定给账目仍然未被支付的情况。 \n也就是说，对于与设备ID＝1相对应的终端设备101，显示包含支持契约，当前版本信息为版本1-1，并且对账目的管理有效。对于与设备ID＝2相对应的终端设备101，显示不包含支持契约，因为对版本信息的管理尚无效，所以当前版本信息仍为未知并因此被显示为“-”，并且因为对账目的管理尚无效，所以账目也仍为未知并因此被示出为“-”。对于与设 备ID＝3相对应的终端设备101，显示不包含支持契约，当前版本信息为版本2-1，并且对账目的管理尚无效。对于与设备ID＝X相对应的终端设备101，显示包含支持契约，当前版本信息为版本1-3，并且对账目的管理有效。在图4中，应注意从最早的版本信息开始的版本信息的顺序被假设为版本1-1、版本1-2、版本1-3、版本2-1...。 \n因此，例如在具有设备ID＝2的终端设备101提出固件版本升级请求的情况下，在步骤S24判断出“0”被当作支持契约信息。因此，固件管理单元211认为不包含支持契约，随后执行步骤S25的处理。在步骤S25，控制单元201控制通信单元202以向终端设备101发送通知，该通知显示由于没有支持契约导致版本升级请求未能被接受，并且处理返回到步骤S21。 \n另一方面，例如在具有设备ID＝1的终端设备101提出固件版本升级请求的情况下，在步骤S24中判断出“1”被当作支持契约信息。因此，固件管理单元211认为包含支持契约，并且处理前进到步骤S26。 \n在步骤S26，固件管理单元211通过将从终端设备101发送的固件版本信息151与从固件管理DB 232读出的版本信息进行比较，判断是否包含非法行为(illegality)。也就是说，从终端设备101发送的固件版本信息151正常地应该与从固件管理DB 232中读出的版本信息相同。然而，在如下的情况下，即为了禁止在终端设备101侧更新所存储的版本信息而应该在安全区域142中进行管理的固件版本信息151被利用某些非法手段伪造的情况下，两个版本信息可能彼此不同。因此，固件管理单元211对固件版本信息151是否非法作出判断。 \n在图4的情况下，例如当来自具有设备ID＝1的终端设备101的固件版本信息151具有版本1-2时，因为从终端设备101发送的固件版本信息151(版本1-2)与从固件管理DB 232读出的版本信息(版本1-1)彼此不同，所以在步骤S26判断出固件版本信息151是非法的，并且随后进行步骤S27的处理。 \n在步骤S27，固件管理单元211控制通信单元202以向终端设备101发送通知，该通知显示由于非法的固件版本信息151导致固件版本升级请 求未能被接受。 \n另一方面，在步骤S26，在图4的情况下，例如当来自具有设备ID＝1的终端设备101的固件版本信息151具有版本1-1时，因为从终端设备101发送的固件版本信息151(版本1-1)与从固件管DB 232读出的版本信息(版本1-1)彼此相同，所以认为固件版本信息151是合法的，并且处理前进到步骤S28。 \n在步骤S28，固件管理单元211控制版本比较单元221以通过将从终端设备101发送的固件版本信息151与被指定为存储在存储单元203中的固件231的版本信息的最新版本信息221a进行比较，来判断固件版本信息151是否是最新的。 \n在步骤S28，如果例如最新的版本信息具有版本2-1，则在图4的情况下当具有设备ID＝3的终端设备101发出固件版本升级请求时固件版本信息151也具有版本2-1，使得固件版本信息151与最新版本信息221a相同。因此，认为固件版本信息151具有最新的版本，并且随后进行步骤S29的处理。在步骤S29，控制单元201控制通信单元202向提出固件版本升级请求的终端设备101发送通知，该通知显示不需要进行固件版本升级，换言之，没有固件需要被更新。 \n另一方面，在步骤S28，如果例如最新版本信息具有版本2-1，则因为在图4的情况下当具有设备ID＝1的终端设备101提出固件版本升级请求时固件版本信息151具有版本1-1，所以认为固件版本信息151比最新版本信息221a更早，也就是说，固件版本信息151不具有最新的版本。在步骤S30，固件管理单元211执行对存储单元203的访问，以读出所存储的二进制数据形式的最新固件231，随后控制通信单元202以将所读出的固件发送到提出固件版本升级请求的终端设备101。此时，固件管理单元211使得最新版本信息221a以及诸如固件版本升级请求的接受时间之类信息以二进制数据的形式与最新固件231一起被发送。 \n在步骤S31，固件管理单元211执行对存储单元203的访问以根据固件141的版本升级更新固件管DB 232，并且处理返回到步骤S21。也就是说，如果例如最新版本信息具有版本2-1，则在图4的情况下当具有设 备ID＝1的终端设备101提出固件版本升级请求时，通过固件更新将具有设备ID＝1的终端设备101的固件141从版本1-1改变到版本2-1。 \n顺便提及，就终端设备101而言，在步骤S5中，固件管理单元132控制通信单元122以接收响应于针对固件141的版本升级请求而从固件管理服务器53发送的通知。 \n在步骤S6，固件管理单元132判断通知的内容是否显示由于非法的固件版本信息151或没有支持契约而导致未能执行固件141的版本升级。 \n例如，在步骤S6，如果通知是通过上述步骤S25或S27的处理而发送的通知，则通知的内容显示由于非法的固件版本信息151或没有支持契约而导致未能执行固件141的版本升级，随后进行步骤S7的处理。在步骤S7，固件管理单元132通过接口单元125向POS寄存器102提供对如下通知的确认，该通知显示由于非法的固件版本信息151或没有支持契约而导致未能执行固件141的版本升级。根据此处理，POS寄存器102在显示单元172上显示示出了由于非法的固件版本信息151或没有支持契约而导致未能执行固件141的版本升级的信息，进而导致处理结束。 \n在步骤S6，如果通知的内容既未显示由于没有支持契约而导致未能执行固件141的版本升级，也未显示固件版本信息151是非法的，则在步骤S8，固件管理单元132判断通知的内容是否显示不需要版本升级。 \n如果在步骤S8，通知是通过步骤S29中的处理而发送的通知，并且其内容显示不需要版本升级，则在步骤S9，固件管理单元132通过接口单元125向POS寄存器102提供显示不需要对固件141进行版本升级的信息。根据此处理，POS寄存器102显示示出不需要对固件141进行版本升级的信息，进而导致处理结束。 \n如果在步骤S8，通知的内容显示通过步骤S30中的处理而发送的二进制数据形式的最新版本固件231，则在步骤S10中，固件管理单元132控制通信单元122以获得与最新版本信息221a一起发送的固件231，并且同时控制固件更新单元132a来用固件231更新存储单元124中的固件141。 \n在步骤S11，固件管理单元132控制版本信息更新单元132b来用更新后的固件231的最新版本信息221a更新存储单元124的安全区域142中的 固件版本信息151，并且处理返回步骤S1。此时，固件版本信息151包含如下的信息，例如与最新版本信息221a一起发送的固件版本升级请求的发送时间。 \n利用上述处理，因为固件版本信息151被存储在存储单元124的安全区域142中，所以能够禁止固件版本信息151被终端设备101的使用者伪造，从而实现对非法的固件版本升级的阻止。还能够掌握每个设备ID也就是每个终端设备101的固件版本升级情况，因为固件231是利用图4所示的固件管理DB来更新的。因此，对版本升级情况的掌握使得能够精确收取与固件版本升级有关的报酬。 \n以上描述了与适合于管理被包含在存储单元124中的安全区域142中的固件版本信息151的一个实施例有关的内容。然而，只需通过存储固件版本信息来禁止所存储的版本信息被终端设备101的使用者伪造。因此，例如以电子证书的形式执行对固件版本信息的管理也是允许的。 \n参考图5描述均适合于以电子证书的形式管理固件版本信息的终端设备101和固件管理服务器53的配置。应注意对于图5中所示的终端设备101和固件管理服务器53而言，与图2中所示的终端设备101和固件管理服务器53的那些配置类似的配置被赋予相同的标号，并且必要时省略对它们的描述。 \n图5中所示的终端设备101与图2中所示的终端设备101的区别在于：前者具有固件管理单元241作为对固件管理单元132的替代。此外，就前者中的存储单元124而言，其不具有安全区域142，并且区域被整个设置为适合于由使用者给出描述的一般区域251。此外，一般区域251包含电子证书261和公钥262，电子证书261包括固件版本信息261a。图5中所示的固件管理服务器53与图2中所示的固件管理服务器53的区别在于：前者具有固件管理单元281作为对固件管理单元211的替代。 \n固件管理单元241具有固件更新单元241a和版本信息更新单元241b，并提供与固件管理单元132的功能相同的基本功能。此外，版本信息更新单元241b获取包含附加在从图5中所示的固件管理服务器53发送的固件上的、利用密钥291加密的(电子签名的)固件版本信息261a的电 子证书261，随后将所获取的电子证书存储在存储单元124的一般区域251中。电子证书261包含电子签名的固件版本信息261a(利用固件管理服务器53的密钥291进行加密)。换言之，电子证书261本质上就是固件版本信息本身。 \n为了识别以电子证书261的形式存储的固件版本信息261a，固件管理单元241通过利用与密钥291成对的公钥262对利用固件管理服务器53的密钥291加密的固件版本信息261a进行解码，获得实际固件141的固件版本信息261a，并使所获得的固件版本信息显示在POS寄存器102的显示单元172上。 \n此外，固件管理单元241控制通信单元122以在对固件141的版本升级被请求时将电子证书261与设备ID 131一起发送到固件管理服务器53。 \n虽然固件管理单元281的功能基本上类似于固件管理单元211的功能，但是固件管理单元281除了包括版本比较单元221之外还包括密钥291、与密钥291相对应的公钥292和电子证书发出单元293。当通过向终端设备101发送固件231来执行版本升级时，电子证书发出单元293在利用密钥291将固件231的固件版本信息加密(电子签名)之后，发出固件版本信息的电子证书。当对固件的版本升级被请求时，固件管理单元281还在利用公钥292解码与固件版本升级请求一起提供的电子证书261之后，读出固件版本信息261a。 \n也就是说，固件版本信息基本上以利用密钥291加密的电子证书261的形式被分发。因此，即使通过利用公钥262进行解码而伪造了固件版本信息261a，也不可能将伪造的固件版本信息261a作为利用密钥291重新加密之后的电子证书进行分发，因为终端设备101的使用者没有与公钥262对应的密钥291，从而导致很难伪造固件版本信息261a。 \n现参考图6中的流程图来描述图5中所示的固件管理系统的版本升级处理。应注意由于步骤S51、S52、S55到S59、S81、S82和S84到S90中的处理类似于图3中的步骤S1、S2、S5到S9、S21、S22和S23到S29中的那些处理，所以省略对它们的描述。 \n在步骤S53，固件管理单元241执行对被设置在存储单元124中的一般区域251的访问以从一般区域251中读出包括当前固件版本信息261a的电子证书261。 \n在步骤S54，固件管理单元241控制通信单元122以在将用于标识终端设备101的设备ID 131附加到所读出的电子证书261之后，通过网络52向固件管理服务器53发送固件版本升级请求。 \n在步骤S82，如果通过步骤S54中的处理而发送的固件版本升级请求例如被接收到，则随后进行步骤S83的处理。 \n在步骤S83，控制单元201控制固件管理单元281以在固件版本升级被请求时利用公钥292解码与固件版本升级请求一起发送的电子证书261之后，读出提出固件版本升级请求的终端设备101的固件141的固件版本信息261a。 \n在步骤S84，固件管理单元281访问存储在存储单元203中的固件管理DB 232以基于与固件版本升级请求一起发送的设备ID 131读出并确认关于提出固件版本升级请求的终端设备101的契约信息。 \n如果在步骤S85例如认为不包含支持契约，则在步骤S86，控制单元201控制通信单元202以向终端设备101发送通知，该通知示出由于没有支持契约而导致未能接受版本升级请求，并且处理返回步骤S81。 \n另一方面，如果在步骤S85例如认为包含支持契约，则处理前进到步骤S87。在步骤S87，固件管理单元281通过将从终端设备101发送的电子证书261中所包含的固件版本信息261a与从固件管理DB 232中读出的版本信息进行比较，来判断是否包含非法行为。 \n在步骤S87，如果从终端设备101发送的电子证书261中所包含的固件版本信息261a与从固件管理DB 232中读出的版本信息不同，则固件管理单元281认为固件版本信息261a是非法的，并且处理前进到步骤S88。在步骤S88，固件管理单元281控制通信单元202以向终端设备101发送通知，该通知示出由于非法的固件版本信息261a而导致未能接受版本升级请求，并且处理返回步骤S81。 \n另一方面，在步骤S87，如果从终端设备101发送的电子证书261中 所包含的固件版本信息261a与从固件管理DB 232中读出的版本信息相同，换言之，固件版本信息261a合法，则处理前进到步骤S89。在步骤S89，固件管理单元281控制版本比较单元221通过将从终端设备101发送的固件版本信息261a与最新版本信息221a进行比较来判断固件版本信息261a是否是最新版本。 \n如果在步骤S89例如认为固件版本信息261a是最新版本，则在步骤S90，控制单元201控制通信单元202以向提出固件版本升级请求的终端设备101发送示出不需要进行固件版本升级的通知，换言之，没有固件需要被更新，并且处理返回到步骤S81。 \n另一方面，如果在步骤S89例如认为固件版本信息261a不是最新版本，则在步骤S91，固件管理单元281执行对存储单元203的访问以读出以二进制数据形式存储的最新固件231。电子证书发出单元293通过利用密钥291对被指定为所读出固件231的版本信息的最新版本信息221a进行加密，发出具有固件版本信息的新的电子证书。此时，电子证书发出单元293通过利用密钥291对最新版本信息221a和诸如固件版本升级请求的接受时间之类的信息进行加密，与二进制数据形式的最新固件231一起发出固件版本信息的新的电子证书。 \n在步骤S92，固件管理单元281控制通信单元202以将新近发出的电子证书与二进制数据形式的固件231一起发送到提出固件版本升级请求的终端设备101。 \n在步骤S93，固件管理单元281访问存储单元203以根据固件141的版本升级来更新固件管理DB 232，并且处理返回步骤S81。 \n顺便提及，就终端设备101而言，固件管理单元241在步骤S55控制通信单元122以接收响应于针对固件141的版本升级请求而从固件管理服务器53发送的通知。 \n在步骤S56，固件管理单元241判断通知的内容是否显示由于非法的固件版本信息261a或没有支持契约而导致未能执行固件141的版本升级。 \n如果在步骤S56例如通知的内容显示由于非法的固件版本信息261a(非法的电子证书261)或没有支持契约而导致未能执行固件的版本升 级，则处理前进到步骤S57。在步骤S57，固件管理单元241通过接口单元125向POS寄存器102提供对显示由于非法的固件版本信息261a(非法的电子证书261)或没有支持契约而导致未能执行固件141的版本升级的通知的确认。根据此处理，POS寄存器102在显示单元172上显示示出由于非法的固件版本信息261a(非法的电子证书261)或没有支持契约而导致未能执行固件141的版本升级的信息，进而导致处理结束。 \n另一方面，如果在步骤S56通知的内容既未示出由于没有支持契约而导致未能执行固件141的版本升级，也未示出固件版本信息261a是非法的，则处理前进到步骤S58。在步骤S58，固件管理单元241判断通知的内容是否示出不需要版本升级。 \n如果在步骤S58例如通知的内容示出不需要版本升级，则随后进行步骤S59的处理。在步骤S59，固件管理单元241通过接口单元125向POS寄存器102提供示出不需要对固件141进行版本升级的信息。根据此处理，POS寄存器102显示示出不需要对固件141进行版本升级的信息，进而导致处理结束。 \n如果在步骤S58，通知是通过步骤S92中的处理而发送的通知，并且其内容显示二进制数据形式的最新版本固件231，则处理前进到步骤S60。在步骤S60，固件管理单元241控制通信单元122以获取所发送的固件231，并且同时控制固件更新单元241a以用固件231更新存储单元124中的固件141。 \n在步骤S61，固件管理单元241控制版本信息更新单元241b以通过用与更新后的固件231一起发送的电子证书更新存储单元124的一般区域251中的电子证书261，来执行对固件版本信息261a的更新，并且处理返回步骤S51。 \n利用上述处理，因为以电子证书的形式将版本信息存储在存储单元124的一般区域251中，所以能够禁止固件版本信息261a被终端设备101的使用者伪造，从而实现对非法的固件版本升级的阻止。此外，与前述情况类似，还能够掌握每个设备ID也就是每个终端设备101的固件更新情况，因为固件231被利用图4所示的固件管理DB 232进行更新。因此， 掌握固件更新情况使得能够精确收取与固件版本升级有关的报酬。 \n可通过硬件或通过软件来实现上述的一系列处理。对于通过软件来实现一系列处理的情况，将软件中包含的程序从程序记录介质安装到例如内置专用硬件的计算机中，或安装到诸如能够通过安装各种程序来执行各种功能的通用个人计算机之类的计算机中。 \n图7是示出适合于基于程序执行上述一系列处理的个人计算机的一个硬件配置的框图。 \n在计算机中，中央处理单元(CPU)1001、只读存储器(ROM)1002和随机存取存储器(RAM)1003通过总线1004互连。 \n输入/输出接口1005也连接到总线1004。连接到输入/输出接口1005的有被配置有键盘、鼠标和麦克风等的输入单元1006，被配置有显示器和扬声器等的输出单元1007，被配置有硬盘和非易失性存储器等的存储单元1008，被配置有网络接口等的通信单元1009，和适合于驱动可移动介质1011的驱动器1010，可移动介质1011例如磁盘、光盘、磁光盘和半导体存储器。 \n在具有以上配置的计算机中，通过使得CPU 1001能够在通过输入/输出接口1005和总线1004将程序载入RAM 1003之后执行存储在存储单元1008中的程序，来执行上述一系列处理。 \n通过将程序记录到可移动介质1011中，或者通过诸如局域网、互联网和数字卫星广播之类的有线或无线传输介质来提供要被计算机(CPU1001)执行的程序，可移动介质1011被包含在诸如磁盘(包括软盘)、光盘(CD-ROM(致密盘只读存储器))、DVD(数字多功能光盘)之类的封装介质中。 \n可通过将可移动介质1011装入驱动器1010，经由输入/输出接口1005将程序安装到存储单元1008中。可替代地，可经由有线或无线传输介质通过通信单元1009接收程序以安装到存储单元1008中。另外，也可将程序预先安装到ROM 1002或存储单元1008中。 \n应注意，要由计算机执行的程序可以是适合于以根据本说明书中描述的次序的时序来执行处理的那些程序，或者是适合于并行地或根据定时来 执行处理的那些程序，例如在进行呼叫时所必需的那些程序。 \n在本说明书中，术语系统的含义是由不止一个设备或装置等组成的整个系统。 \n根据本发明的一个方面，能够精确管理通过网络连接的终端设备的固件更新情况。 \n本领域的技术人员应理解，根据设计需求和其他因素可想到各种修改、组合、子组合和变更，只要它们落入随附权利要求或其等同物的范围之内。 \n相关申请的交叉引用 \n本发明包含与2007年1月23日递交到日本专利局的日本专利申请JP2007-012898相关的主题，该日本专利申请的全部内容通过引用被结合于此。