データ交換の制御
団体と、制御装置(20)とに関連付けられる商品識別装置(10)の間のデータ交換を制御する制御装置(20)、方法及びシステム。前記団体は、商品識別装置(10)とデータを交換するための関連付けられたデータ交換手段(30)を有し、前記データ交換手段(30)は、前記データ交換手段が関連付けられている該団体を示す認証データを提供するように構成されており、前記制御装置(20)は、前記商品識別装置(10)と、前記データ交換手段(30)が団体のために適用可能なアクセス方針に従って関連付けられている該団体との間のデータの交換を可能にするための手段を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、RFIDタグ読み取り装置及び/又は書き込み装置等のデータ交換手段を介した商業組織等の団体と、RFIDタグのような商品識別装置の間でのデータ交換の制御に関する。
【背景技術】
【0002】
無線周波数識別(RFID)は、現在、情報を処理する方法を根本的に変更し得る、実現可能性の高い技術として提示されている。RFIDタグは主に、読み取り動作中に視認を必要とせず、識別プロセスを自動化するためにサプライチェーンで使用されている。アイデンティティ情報は多くの適用の領域で潜在的な利点を有するであろう。
【発明の開示】
【0003】
通常、RFIDタグは小さな記憶容量及びアンテナを備えた集積回路から成る。「アクティブタグ」と呼ばれる、内蔵電源を有するタグもあり、通常は処理回路網に電力を供給し、出力信号を生成させるために使用される。「パッシブタグ」と呼ばれる他のタグは、内蔵電源を有していない。パッシブタグは、一般的には、読み取り装置によって生成される電磁場から電力を収集することによって、入信信号に応答し、出力信号を発生させるために必要とされるエネルギーを取得する。また、「準アクティブ」(またあるいはときには「準パッシブ」)タグとして知られる、タグも存在し、一般的には、小さな電源を有し、タグの処理回路網が絶えず電力の供給を受けることができるようにする。したがって、これらのタグは任意の処理を開始する前に入信信号から電力を収集する必要はなく、通常これらのタグはパッシブタグよりも速い応答を提供できる。
【0004】
RFIDタグは、通常、商用製品のような、関連付けられた物理オブジェクトに関するアイデンティティ情報を保持する。読み取り装置によって照会されると、タグは通常、有効期限、製造場所、現在位置等のオブジェクトについての詳細な情報を記憶するバックエンドデータベース上の一意の位置を指すことができるアイデンティティ情報で応答する。この情報は、本来リアルタイムでユーザに利用可能とすることができる。
【0005】
調査において、商用製品にタグを付けるためのRFID技術の展開に関連している最も重要な懸案事項の1つとして、プライバシーが繰り返し挙げられてきた。簡略には、オブジェクトにタグが付けられると、RFID読み取り装置を持った誰もが該オブジェクト、該オブジェクトの所有者、又は該オブジェクトのユーザに関する情報を、該所有者又は該ユーザの許可なしに発見できる可能性がある。RFIDタグを保持する個人は不正な追跡によって影響を受け、タグ情報は、個人情報を収集し、ユーザの好みを分析するために使用され得るであろう。同様に、RFIDタグ付き製品を所有する企業はスパイ行為に対して弱くなるであろう。競合他社はタグIDを監視するだけで該企業の製品を追跡できるであろう。
【0006】
すべてのRFIDタグは、範囲内の誰もが受信できる無線スペクトルを通して動作する。タグの現在の生成の多くはアクセス制御機能が欠け、したがって悪意のあるユーザを含む誰もがタグに記憶されている情報を読み取ることができる。タグに記憶されている静的な「一意識別子」は、タグが付けられているオブジェクトを該オブジェクトを所有している個人又は企業と関連付ける。RFIDタグのプライバシー懸念の具体的な証拠は主に以下の問題点に関する。
【0007】
−トレーサビリティ:一意の識別番号は、製品がある読み取り装置から別の読み取り装置に移動するにつれ、認証されていない読み取り装置が該製品を追跡することを可能にする。
【0008】
−情報漏洩:RFIDタグは、タグが関連付けられている製品についての情報を伝える。悪意のある、隠れた読み取り装置が所有者の承認なしに製品情報を収集できるであろう(例えば、ユーザによって所有されるRFIDタグ付き製品は、このようにしてユーザの好みについての潜在的に貴重な情報を提供する)。
【0009】
研究者及び産業活動家はRFIDプライバシー問題を軽減するための異なる手法を研究してきた。手法のほとんどは、何らかの追加の機能をタグに組み込み、読み取り装置−タグ通信プロトコルを変更し、あるいは暗号化装置又は特殊タグ等の新しいインフラストラクチャを追加することによりタグに負担をかける。理想的には、解決策は最小の費用で適切なプライバシーの保護を提供するべきである。
【0010】
Juels及びPappu[1]は、RFIDが使用可能にされた紙幣のための方法を提案した。「ユーロ」紙幣の連続番号がRFIDタグによって伝えられ、暗号化方式によって保護されている。連続番号は計算装置による再暗号化を受け、これにより紙幣のトレーサビリティが難しくなる。この方式は単一の認証団体を必要とし、サプライチェーンのシナリオでよくあるような、複数ドメインシステムには合わない。
【0011】
[1]A.Juels及びR.Pappu。「密告するユーロ:RFIDが使用可能にされた紙幣におけるプライバシー保護(Squealing Euros: Privacy-Protection in RFID-Enabled Banknotes)」。R.Write編集の、金融暗号学(Financial Cryptography)2003年、103から121ページ、Springer−Verlag。2003年。LNCS第2742番。
【0012】
Weis、Sarma、Rivest及びEngels[2]は、RFIDシステムにおいてセキュリティを改善するための複数のセキュリティ機構を提案してきた。彼らは盗聴に基づいた攻撃の問題を特定し、タグから読み取り装置への通信の電力が読み取り装置からタグへの通信の電力よりはるかに弱いことを認識した。提案された方式には、タグ上でのハッシュ関数及び擬似乱数生成器の使用が含まれる。該システムは、バックエンドサーバで実行される逆ハッシュ関数探索に基づく。
【0013】
これらの特性に起因して、該方式は大規模な小売業者にとっては実用的ではなく、比較的少数のタグの所有者にとってのみ有効であり得る。さらに、擬似乱数生成器は現在のRFIDタグ技術では実現できない。
【0014】
[2]Sanjay E.Sarma、Stephen A.Weis、及びDaniel W.Engels。「RFIDシステム及びセキュリティとプライバシーの影響(RFID Systems and Security and Privacy Implications)」。暗号ハードウェア及び埋め込みシステムに関するワークショップ(Workshop on Cryptographic Hardware and Embedded Systems)において、454から470ページ。コンピュータサイエンスの講義ノート、2002年。
【0015】
「必要最低限度の暗号学(minimalist cryptography)」[3a]の中で、Juelsは、タグが、異なる、事前にプログラミングされた仮名を含む方法を提案している。各読み取り動作の間に異なる匿名を開示することによって、追跡を回避することができる。認証された読み取り装置は、匿名を正しいIDに関連付けるデータベースにリンクされる必要がある。この方式の主要な弱点は、タグ内の匿名の集合を更新する必要性である。NTT実験室(NTT laboratories)からのさらに複雑な手法[3b]は、タグに含まれている秘密情報を自動的に更新するためにセキュアハッシュチェーン(secure hash chain)機能を使用することを含む。この方式の背景にある論理的根拠は、タグが読み取り装置の照会に予想通りに応答してはならないという点である。タグは、2つのハッシュ(HとG)関数を使用することにより自立的にタグの識別子をリフレッシュし、読み取りのたびに異なる匿名を出力する。セキュアなデータベースは、タグ出力のシーケンスを生成するために使用される秘密値にアクセスできるため、該データベースは、タグ出力を製品情報にマッピングできる。明示された階層的な命名構造なしに匿名を正しいIDにリンクさせることが高価であるため、この解決策にはスケーラビリティの問題がある。
【0016】
[3a]A.Jules、「RFIDタグのための必要最低限度の暗号学(Minimalist Cryptography for RFID Tags)」、C.Blundo編集において、通信ネットワークのセキュリティ(Security of Communication Networks)(SCN)、2004年
[3b]Miyako Ohkubo、Koutarou Suzuki及びShingo Kinoshita:2003年11月にMITで提示されたと考えられている「「プライバシーフレンドリ」なタグに対する暗号手法(Cryptographic Approach to “Privacy-Friendly" Tags)」。http://lasecwww.epfl.ch/~gavoine/download/papers/OhkuboSK-2003-mit-paper.pdfを参照せよ。
【0017】
これらの方式はアクセス制御が欠如していることに対処するためにタグに何らかの追加の機能を組み込む。しかしながら、該方式の技術の想定は明らかに適用できるものではない。RFIDタグ、特に広範に配置される可能性があるものは、リソースとアーキテクチャのさまざまな制約がある。
【0018】
(1)「Juels及びPappu」の提案は、信頼できるサードパーティ手法を必要とするが、これは非常に限られた状況でのみ有効であり得る。
【0019】
(2)「Weisら」の解決策は、現在のパッシブRFIDタグにおいて使用できるリソースの量が制限されていることにより、制限される。
【0020】
(3)匿名解決策は、タグ上に追加のメモリを必要とする。
【0021】
RFIDタグが遭遇するプライバシーとセキュリティの問題に対する2つの代替手法は、RFIDブロッカータグに関するJuels、Rivest及びSzydloの研究[4]、及びソフトブロッキング手法に関するJuels及びBrainardの研究[5]に概略されている。該研究はともに、特定の潜在的なプライバシー問題を軽減できるプライバシー機能強化解決策を説明している。
【0022】
「ブロッカータグ」は、RFIDタグの大きな集合の存在をシミュレーションすることによって読み取り動作を妨害する破壊的な方式である。ブロッカータグは、「木探索(tree-walking)」方式又はALOHA方式と相互作用する現在のタグ読み取り基準で実現されるシンギュレーション(singulation)プロセスに作用する。ブロッカータグは、ユーザがプライバシー保護のために持ち歩く特定目的装置であり、該装置は個人的な(private)タグが読み取られるのを防ぐ。この解決策の主要な欠点は読み取り動作が破壊されることである。この弱点は該解決策の実用性を傷つける。
【0023】
[4]「ブロッカータグ:消費者のプライバシーのためのRFIDタグの選択的ブロッキング(The Blocker Tag:Selective Blocking of RFID Tags for Consumer Privacy)」。V.Atluri編集において、第8回コンピュータ及び通信セキュリティに関するACM会議(8th ACM Conference on Computer and Communications Security)、103から111ページ。ACM出版、2003年。
【0024】
「ソフトブロッカー」手法は、RFIDタグのプライバシー優先度を読み取り装置に表明する単純な手法である。これは、読み取り装置にプライバシーエージェントを必要とし、またタグの分類を必要とする。例えば、プライベートと分類されるタグは、読み取り装置上のプライバシーエージェントにタグの値を開示させない。同じ状況で、ブロッカーと分類されたタグが読み取られると、プライバシーエージェントは秘密のタグデータをフィルタで除去する。この解決策の主要な優位点は、方針の実現に関する柔軟性である。異なるシナリオに対して新しいプライバシー方針が任意に作成できるであろう。主要な弱点は、読み取り装置で実現されるプライバシーエージェントがタグ分類を遵守することを検証する監査機構又は機能強化サービスが必要とされることである。
【0025】
[5]A.Juels及びJ.Brainard:「ソフトブロッキング:安価で柔軟なブロッカータグ(Soft Blocking:Flexible Blocker Tag on the Cheap)」。S.De Capitani di Vimercati及びP.Syverson、編集において、電子社会におけるプライバシーに関するワークショップ(Workshop on Privacy in the Electronic Society)(WPES)、2004年
「監視(watchdog)」タグと呼ばれる別の手法がFloerkemeier、Schneider及びLangheinrichによって説明されている[6]。これは、読み取り装置とタグの間の通信を立ち聞きするアクティブタグである。監視タグは読み取り装置、読み取り動作の目的及び、おそらくは読み取り装置の位置に関する識別情報を記録できる。収集されたデータは、検査及び検証の目的のために最終的なユーザに使用されることができる。監視タグはプライバシー強化方法を提供しないが、読み取り装置−タグ間のやり取りの可視性を強化することができる。
【0026】
[6]「目的のある走査−RFIDプロトコルにおける公正な情報の原則のサポート (Scanning with a Purpose-Supporting the Fair Information Principles in RFID Protocols)」、Christian Floerkemeier、Roland Schneider、Marc Langheinrich、パーベイシブコンピューティング研究所(Institute for Pervasive Computing)ETH、スイス、チューリッヒ(Zurich, Switzerland)
国際特許出願第2004/086290号は、「認証装置」と呼ばれる装置を使用して、RFIDシステム内のトランスポンダ等のトランスポンダを認証するための方法及びシステムに関する。電子「ウォーターマーク」がトランスポンダのために計算され、トランスポンダに書き込まれる。トランスポンダは、読み取られるときにウォーターマークとともにトランスポンダ自体のデータを提供する。別の装置は、無関係に正しいウォーターマークを計算する。トランスポンダを認証するために、認証装置が該2つを比較し、読み取り装置に知らせるか、あるいは読み取り装置自体が比較を行うかのどちらかである。
【0027】
本発明によると、請求項1に述べられているような制御装置が提供される。
【0028】
また、本発明によると、請求項20に述べられているようなデータ交換を制御するための方法が提供される。
【0029】
さらに本発明によると、請求項21に述べられているようなデータ交換を制御するためのシステムが提供される。
【0030】
本発明の実施形態によると、前述された従来のシステムの不利な点はなく、特にありとあらゆる商品識別装置に複雑さを付加する必要なく、必要なセキュリティとプライバシーの要件を維持することが可能である。本発明の好ましい実施形態による制御装置を有するシステムは柔軟であり、異なるRFIDタグ方式と互換性があるという優位点を有することができる。該システムは異なる領域間での製品の輸送(例えば、出荷)又は取引の間に有効なプライバシー保護を提供することができ、秘密の読み取り及び製品スパイ行為を防ぐために大規模なサプライチェーンのシナリオに関して特に有効であり得る。
【0031】
本発明の好ましい実施形態は、公知の種々のRFIDタグ等のRFID商品識別装置と関連して使用される制御装置に関するが、本発明のある実施形態による制御装置が他のタイプの商品識別装置と関連して使用され得ることは予測できる。
【0032】
現在のRFIDタグの不利な点の1つは、有用なレベルの処理を実行できるアクティブタグのコストが、アクティブタグを大量の低コストの商品に個々に適用するには高すぎると考えられているのに対し、より安価で使用可能なパッシブRFIDタグは、所定の応答で特定の照会に応答する等の、はるかに基本的な機能しかを実行できないという点である。本発明の特に有利な実施形態によれば、商品識別装置は簡単で低コストのパッシブタグであってもよいが、本発明による制御装置の機能のため、セキュリティ、プライバシー等のレベルは、各商品識別装置が、あたかもより複雑なアクティブタグの機能を有するかのように制御可能且つ柔軟であることができる。
【0033】
特定の好ましい実施形態に関連して、制御装置はRFIDタグ自体であってもよく、その場合、該タグは制御タグと呼ばれることができる。このような実施形態によれば、該タグが制御タグの必要な機能を実行できるため、該タグは一般的には、アクティブ、あるいは少なくとも準アクティブなタグとなるが、本発明がアクティブ又は準アクティブな制御装置に限定されることは意図されていない。
【0034】
前述された従来の技術のシステムの多くの問題が、多くの場合プライバシーという言葉で表されるが、実際には制御の問題とみなすことができることに留意すべきである。
【0035】
本発明による制御装置は、「ブロッカータグ(blocker tag)」によって使用される「オプトアウト(opt-out)」手法とは対照的に「オプトイン(opt-in)」手法を実現すると考えることができる。制御装置は、団体がパッシブタグのような大多数の商品識別装置に含まれている情報に対するアクセスを得るために有効にオプトインすることを可能にするアクセス制御を提供するものと考えられ得る。該制御装置は、アクセス制御機能を信頼できるサードパーティシステムから、制御装置に置き換えることを可能にし、該制御装置は、信頼できるサードパーティとは異なり、商品識別装置が関連付けられている商品とともに便利に(物理的に)移動することができる。
【0036】
本発明の実施形態による制御装置の役割は、製品に付けられているパッシブタグのグループに記憶されているアイデンティティ情報と、バックエンドデータベースに記憶され得る該製品の実際のアイデンティティもしくは該アイデンティティに関係する他の情報との間のリンクをセキュアにするための方法を提供することであってもよい。タグアイデンティティ情報は、暗号化又は匿名等のセキュアな方式を通して保護され得る。制御装置は、最初に読み取り装置を認証してから、該読み取り装置にパッシブタグに含まれている情報にアクセスするために必要とされるプロトコル情報を与えてもよい。
【0037】
タグ又は他のこのような商品識別装置は、「プライベート」又は「パブリック」として分類できると考えることができる。該分類によって、読み取り装置は、どのプライバシー方針が特定のタグに利用できるのかを判断できる。パブリックタグは、該パブリックタグが制御装置とやり取りすることを必要とせずに該パブリックタグ自体の情報を読み取り装置に送信してよい。プライベートタグは、暗号化されたフォーマットでアイデンティティ情報を送信してよい。読み取り装置は、暗号化された情報にアクセスできるようになる前に該制御装置によって読み取り装置自体が認証される必要があるであろう。
【0038】
以下の2つのシナリオは、本発明の実施形態がどのようにして2つの例の状況、つまり「出荷環境」及び「消費者環境」に適用できるのかを図解するために役立つ。
【0039】
出荷環境
配置例として、「A」社から「B」社に出荷されている100個の製品を有するパレットを考えてもよい。それぞれの製品にはRFIDタグでタグが付けられている。「A」社はパレット上に含まれたすべてのタグをプライベートと分類するであろう。プライベートタグは認証された読み取り装置にだけ情報を開示するであろうことを念頭に置かなければならない。本発明の実施形態による制御装置は、物理的にパレットの上に取り付けられている。制御装置の主要な役割は、認証された読み取り装置がタグ上の情報にアクセスできるようにすることである。
【0040】
A社は、制御装置をプログラミングする。A社は「B」社の証明書、及び製品アイデンティティにアクセスするために必要とされるデータで制御装置をプログラミングするであろう。パレットが「B」社に届けられると、制御装置は該証明書を使用して「B」社の読み取り装置を認証し、セキュアな情報を開示する。この動作により、パレットに含まれたタグを読み取るために必要な情報が「B」社に提供されるであろう。トランザクションの間にプライベートと分類されたタグは、もはや「B」社の領域内でパブリックと分類され得る。
【0041】
もちろん、制御装置の挙動はこれよりもさらに複雑ともなり得る。例えば、税関当局及び輸送会社は、制御及び出荷情報のために製品又は製品に関する情報にアクセスできるであろう。このためには、「A」社が制御装置を通して部分的な情報に対するアクセスを委任することを必要としてもよい。
【0042】
消費者環境
Juelsによる研究[5]は別として、過去のプライバシー技法は「オプトイン」手法に何の解決策も提供しない。制御装置手法は、販売時に(暗号化を通じて)タグをブロックできるようにし、タグが消費者領域に入るとタグをアンブロックできるようにする。このようにして、当初ブロックされていたタグが再利用できる。新しいサービスの潜在的な範囲は、消費者環境で使用可能にされるであろう。
【0043】
図1を参照して医薬品小売環境を考えることができる。医薬品環境の内部では、すべてのタグはプライベートであって、在庫のために使用されることができる。製品が購入されると、該タグの「所有権」が小売業者から消費者に渡されることができる。そして、消費者の制御装置は、タグにアクセスするために必要とされる情報で更新されることができる。すると、ユーザは、医療や遠隔医療への適用においてタグを使用できるであろう。
【0044】
このシナリオでは、制御装置は、ユーザのプライバシー及びタグの機能を維持しながら、医療情報及び健康記録の認証されていない関係者への開示を妨げることができる。
【0045】
前記シナリオを考慮して、RFIDタグのための以前のプライバシー強化技術を振り返り、該技術がなぜ失敗したのかを評価することが有益である。該技術は多くの場合、実際には実現できない機能、及び単一の制御団体を想定した解決策に依存している。さらに優れた解決策がより簡単に利用できるようになるまで、小売業者は販売時点でタグを「キルする」オプションをサポートしなければならない。しかしながら、このオプションはタグをキルするための技術に対する投資を必要とし、販売後の適用の機会を妨げるため、高価である。さらに、ユーザは、タグがキルされたことを手動で検証することはできず、製品情報を制御するオプションを有することを好む可能性がある。
【0046】
製品はサプライチェーンに沿って分散されるので、複数の関係者が在庫のために、あるいは販売後の応用のために製品タグにアクセスし、再利用することを希望する可能性がある。会社は、該会社がある特定の製品を在庫情報に自動的にリンクさせるのに役立つレガシー識別子で自らの所有物にタグを付けることを希望することがある。例えば、薬物製造者は特定の薬物情報とともに一意の薬物識別子をタグの中に記憶できるであろう。この情報は、薬局、医療サービス、最終ユーザ及び処理会社等の特定の関係者によってだけアクセス可能であるべきである。複数の関係者(例えば、薬局、病院等)がタグによりプライベートな在庫情報を追加することを希望する場合がある。問題は、タグが許可された関係者によってだけアクセスされ、読み取られることができることをどのように保証するか、及びプライバシーが維持されていることをどのように保証するかという点である。
【0047】
現在の解決策が何をできるのかを評価しよう。
【0048】
(1)1つの手法は、チェックされるたびに情報の新しい集合でタグを書き換え、次のオーナだけがこの情報にアクセスできるようにすることであろう。これは約束できる解決策であるが、図書館、レンタル事業、又は在庫が回転するサプライチェーン向けのオプションではない。製造情報はリサイクル会社に対しても依然として有用となるであろうため、この情報は消去されるべきではない。
【0049】
(2)別の手法は、読み取り者を認証するパスワードを導入することであるが、残念なことにパスワードの立ち聞きや収集が可能である。また、パスワード方式は他の問題も提起する。つまり、タグの集合に対する単一のパスワードは容易に打ち負かすことができ、回復するのが困難である。
【0050】
上記の理由から、現在の解決策は複数の関係者にわたってタグの制御を移動させるのには実際的ではない。製品の所有権は製品のライフサイクルに沿って複数回変化することがあるため、製品情報を開示するためのセキュリティ及びプライバシーの要件も変化するであろう。必要な範囲までオーナとタグの間の関連はセキュア(secure)である必要がある。上記に開示されたプライバシー保護の実現例によれば、タグは、ID及び製品情報を含み得る「データセット」と、該データセットの開示を制御するためのプライバシー方針を含み得る「制御セット」の組み合わせを有するとみなすことができる。
【0051】
本発明の実施形態は、制御装置を通してRFIDタグのプライバシーを管理する。該制御装置は「制御セット」(アクセス方針又はプライバシー方針)をアップロードしてよく、タグ情報の開示及び/又は解釈を制御する。タグ及び/又は製品の所有権が変更される、又は一時的に移管されるとき、制御装置は新たに認証された読み取り装置をタグと関連付けてもよい。このモデルは種々の異なる状況で使用することができ、現在のRFIDプライバシー解決策及びセキュリティ解決策と比較して一連の優位点を導入することができる。
【0052】
以下のいくつかのパラグラフは、セキュリティに関連性のあるRFIDタグの特性、及びこれらが本発明の実施形態にどのように関連しているのかに関する。
【0053】
1.関連付け及びデータ秘密性 タグは、アイデンティティ、製品又は在庫の情報を不正な又は認証されていないリーダー(reader)に漏洩してはならない。好ましい実施形態よれば、読み取り装置(reader device)はタグ情報にアクセスできるようになる前に制御装置によって認証されなければならず、その後関連のあるプライバシー方針を遵守させられる。
【0054】
2.経済的実現可能性 手法のほとんどは、何らかの追加の機能をタグに組み込み、読み取り装置−タグ通信、プロトコルを変更し、あるいは暗号化装置又は特殊タグ等の新しいインフラストラクチャを追加することによってタグに負担をかける。これらの方式はパッシブ(passive)タグのコストを大幅に増加させ得る。理想的には、プライバシー解決策は、追加コストを加算することなく追加の保護を提供するべきである。本発明の実施形態による制御装置の2つの重要な特長は以下の通りである。
【0055】
(1)制御装置は、タグに技術的な複雑さを付加することなくアクセス制御機能を提供するためのすべてのセキュリティプリミティブを実現することができる。
【0056】
(2)制御装置は大多数のパッシブタグを「保護」することができる。制御装置が通常のパッシブタグよりはるかに高価であっても、この特性はその経済的な優位点を維持する。
【0057】
(3)制御装置は、サプライチェーンの任意の点で取り外すことができる。読み取り装置が特定のタグにアクセスすることを認証されているとき、該タグは該読み取り装置にとってパブリックとみなすことができる。
【0058】
3.信頼性 追加の装置又は前述された「ブロッカータグ」提案等の特殊なタグを組み込む従来の手法はタグの向き(orientation)に敏感である場合がある。走査時のタグの伝送電力は、アンテナに垂直な領域であって、該タグが存在する領域に依存する。ブロッカータグ等のプライバシー機能強化装置がうまく整列されていない場合には、該装置は失敗することがあり、パッシブタグはそのアイデンティティ情報を漏洩する可能性がある。本発明の好ましい実施形態による制御装置を使用するシステムは、タグをデフォルトで「保護」できるようにする。もし走査問題が存在するとすれば、情報は開示されないであろう。この手法はプライバシーを保護するが、「プライベート」タグが使用されるのを妨げるケースもあるであろう。
【0059】
4.柔軟なプライバシー方針 タグ情報は製品のライフサイクルに沿って異なるプレーヤ(会社、ユーザ等)によってアクセス可能となることがある。特定の適用では、特定の読み取り装置が限られた量のタグ情報にアクセスすることだけを認証されている可能性が高い。制御装置は同時に複数の関係者に対するアクセス方針を伝えるように構成されてもよい。ある実施形態によれば、制御装置があるプレーヤから別のプレーヤに移される際に新しいアクセス方針がアップロードされ得る。アイデンティティが認証され、アクセス方針によって(委任の目的のために、又はそれ以外のために)アクセス方針の書き込みが許される読み取り装置によって、追加のアクセス方針が制御装置に書き込まれることができるようにシステムが構築されてもよい。
【0060】
RFIDタグ/読み取り装置通信の性質は、多くの場合、有効なプライバシー機能強化解決策の作成を困難にしてきた。RFIDのやり取りがオンラインのやり取りと根本的に異なる1つの点は、アクセス制御、認証及びキー確立等の機能がないことである。RFID規格はタグ読み取り装置の識別を可能にしない。識別プロセスの実施なしには、タグ情報の開示を制御することは不可能であった。
【0061】
一般的には、読み取り装置は、近傍のタグを検出し、パブリックタグに関する平文情報にアクセスしてもよいが、プライベートタグに関する情報にアクセスすることはできない。プライベートタグは暗号化されている、及び/又は保護されている情報を含み得る。タグは、通常、一意のID(UDI)及び該IDが(物理的に又は単に概念的に)関連付けられている製品についての情報を記憶する。概して2つの手法を区別できる。
【0062】
(i)タグが一意のIDだけを伝え、製造者及び製品タイプについての情報はこの識別子に符号化されているEPC手法、及び
(ii)タグメモリが製品を識別するID、及び該タグが付けられているオブジェクトについての情報を記憶するための追加フィールドを含む分割メモリ手法
本発明の実施形態によると、読み取り装置はプライベートタグに対するアクセス(「読み取り」アクセス、「書き込み」アクセス、あるいは「読み書きアクセス」さえも)を取得するために制御装置とのセキュアな通信を確立する。すると制御装置は認証方式に基づいて役割を実現し、プライバシー方針を検証することができる。これは、「RFID読み取り装置」のアイデンティティ及び役割についての情報を記憶することを必要とする。役割は組織との関連における機能のセットを表す。このような機能は、タグの中の情報を読み取り、書き込み、追加、あるいは修正する能力を含み得て、タグのプライバシー方針に依存する。例えば、出荷のシナリオでは、国の国境にある税関当局は製品情報を制御し、支払われた税金又は関税についての情報を追加する権利及び能力を与えられるであろう。輸送会社の役割は、輸送及び目的地情報にアクセスするが、出荷された荷物についての情報を修正しない機能を含み得る。
【0063】
したがって、制御装置はRFIDシステムにおける追加の機能を可能にする大きな柔軟性を提供し得る。例えば、プライバシー方針は、タグ情報にアクセスしたことのある異なる組織のログファイルを維持することを制御装置に要求し得る。これは、出荷先又は監査役が製品の出荷を検証することを可能にし、認証されていない読み取り装置がプライベート情報にアクセスしていないことを保証することを可能にする。タグ読み取りにおける将来の規制及び制約を考慮すると、このロギング機能は不正な走査動作を防止し、制御するインセンティブを生じさせることができるであろう。
【0064】
前述されたように、役割に基づく方針は、タグ付きの製品がサプライチェーンに沿って移動するにつれて、異なる役割に異なるアクセス権を与えることができる。さらに、製品が新しいオーナのところへ行く(visit)と、新しいセキュアな方針が制御装置に追加され、新しい製品情報が1つ以上の製品タグに追加され得る。これにより、ネスト化された(nested)領域が、タグ情報にアクセスできる読み取り装置を有することを可能にする。この委任機能は、承認された読み取り装置は信頼できるという仮定の元でセキュアである。
【0065】
役割のアクセス権は、製品が組織及びカスタマの領域を変更するにつれて、制御装置によって、又はシステム管理者によって直接的に許可され、取り消され得る。読み取り装置が限られた時間の間、タグにアクセスできることが必要とされるケースがある。この場合には、制御装置は、限られた時間の間、有効であり、数回の読み取り動作の後に無効となる特定のキーを配布してもよい。
【0066】
本発明の実施形態の主要な特性のいくつかは以下のように要約される。
【0067】
−制御装置は、標準的なRFIDタグ−読み取り装置間のやり取りを拡張し、RFIDタグで、前述された「ブロッカータグ」によって使用される「オプトアウト」手法とは対照的な「オプトイン」手法を実現してよい。
【0068】
−セキュアで、短期的な関連。パッシブタグは、該タグが認証されていない領域を渡るときに保護され得るが、制御装置によって実行される役割に基づく認証プロセスを通して承認された読み取り装置と容易に関連付けられ得る。
【0069】
−制御装置は、役割に基づいた認証方式を実現してよい。さらなる任意のアクセス制御手法のかわりに、役割に対してアクセスを許可し、機能を指定する動作によって、アクセス制御権のさらにスケーラブルな管理が可能になる。役割は、複数の組織及び複数の機能に関連付けることができる。
【0070】
−制御装置は、(前述された)ロギング等の追加の機能を実現する基本的なセキュリティプラットホーム、走査プロセスに関連付けらた追加情報の開示、及び特定の役割に対するアクセスを許可し、取り消す機能を提供することができる。
【0071】
本発明による制御装置の概念は、無線センサネットワーク及び低リソース装置を含むさまざまな応用例に適用可能であることが留意されるべきである。例えば軍事応用例における秘密の読み取り値を収集する複数のノードから構成されている無線センサネットワークでは、該概念は、これらのノードが、敵ではない、正当な受信機だけにデータを配信することを保証するために使用され得る。
【0072】
センサネットワーク上の情報にアクセスする前に、読み取り装置は制御装置によって認証される必要があるであろう。認証段階の際、制御装置はセンサネットワーク内の情報にアクセスするために必要なセキュアな情報を配信するであろう。
【発明を実施するための最良の形態】
【0073】
前述の図に関して、本発明の好ましい実施形態がさらに詳細に説明される。ここで説明される実施形態によれば、制御装置は制御タグと呼ばれ、後述されるRFIDシステムに関して説明される。第1に、制御タグ特性に関する具体的な説明、及びアクセス−制御プロセスがどのように行なわれるかの説明を提供する。第2の部分は技術設計に関する。
【0074】
(前述された)図1は2つの態様、つまりデータと制御の分離を描いている。一般的には、商品識別タグは、商品のアイデンティティ、価格、日付、原産地、目的地等の商品の特徴、商品の現在の状況、商品に関する履歴データ等の属性に関する、商品についてのデータ又は情報を含んでもよい。情報がパスワードで保護されているか、もしくは符号化されているか、又は別の方法で保護されているか、守られているのかに応じて、タグ読み取り装置が情報にアクセスできる場合とできない場合とがある。従来技術のシステムによれば、正しいパスワード、復号キー、又は他のアクセスデータを有する任意の読み取り装置はタグに記憶されている情報を読み取り、及び/又は復号/解読することができる。単純で、安価な、特にパッシブRFIDタグ等の識別タグは、一般的には、異なるタグ読み取り装置を認識したり、識別したり、異なるタグ読み取り装置に異なる応答を提供したりするための十分な処理能力を備えていない。本発明の実施形態による制御装置を、このような単純な識別タグに関連付け、このような制御装置は、異なる読み取り装置が該識別タグとデータを交換すること(つまり、読み取り及び/又は書き込み)ができる範囲を管理できる。該「範囲」は、異なるレベルのデータへのアクセス、あるいは異なる属性又は属性の組み合わせに関するデータへのアクセスを異なる読み取り装置に許可することを含んでもよい。代わりに、該「範囲」は「読み取り専用」、「読み書き」、「委任」(以下を参照すること)等の異なるタイプの権利を異なる読み取り装置に許可することを含んでもよい。
【0075】
制御タグの詳細及び特性
図2に関して、以下の4つの要素から成るRFIDシステムが図示されている。
【0076】
(1)それぞれが製品(不図示)に取り付けられている、あるいはそれ以外の場合製品と関連付けられており、それぞれが一意のID(UID)及び該製品についての情報を伝える複数の無線周波数IDタグ10。IDタグは好ましくは安価であり、したがってパッシブタグである可能性が高い。該タグは暗号化又は匿名方式によってデータの秘密性を維持してもよい。
【0077】
(2)IDタグ10に関するデータに対するアクセスを制御する機能を有する、アクティブタグである制御タグ20。制御タグ20は読み取り装置30を認証する暗号プリミティブを含み、パッシブタグ上の情報の読み取り及び/又は書き込みアクセスを可能にすることがある暗号化キーを選択的に分配できる。
【0078】
(3)IDタグデータの読み取り、及び/又は書き込み、及び、制御タグを用いて適切な認証手順を実行できる読み取り装置、又は読み取り装置/書き込み装置30。
【0079】
(4)該読み取り装置は、読み取り装置によって収集されるIDタグ情報と記録を関連付け得るバックエンドデータベース40と連絡を取ってもよい。
【0080】
制御タグ方式はIDタグ−読み取り装置間のやり取りを拡張し、IDタグの情報を保護するために低リソースIDタグによって要求されるアクセス制御機能を実現する。読み取り装置30は、認証を得るため、及び、IDタグ上の秘密の(private)情報にアクセスすることを可能にするデータ又はコードを受け取るために制御タグ20と保護された通信を確立する必要がある。
【0081】
制御タグ20は、考えられる読み取り装置30のアイデンティティ及び役割についての情報を記憶することによって役割に基づいた認証を実現する。アクセスが許可されると、IDタグ情報にアクセスすること、及び/又は復号することができる。
【0082】
制御タグがアクセス方針の適切なセットをどのようにして実現する及び/又は施行してよいかをさらに説明する前に、「サプライチェーンシナリオ」を示す図3に関して商品の出荷を再び検討することは有益である。
【0083】
この例では、制御タグ方式によって、製品が製品に関連付けられたIDタグとともに複数の領域にわたり移動する際に製品情報をリリースする制御が可能となる。アクセス情報は製品と組み合わされてサプラインチェーンに沿って配布される。製品情報にアクセスする権利は、役割をベースにした認証プロセスを利用する制御タグによって制御される。制御タグは、アクセスの許可又は拒否に関する規則の組を含み、該アクセスには読み取り及び/又は書き込みアクセスが含まれ得る。
【0084】
ここで図4を参照すると、初期の団体(entity)から最終的な団体に、輸送組織、倉庫、税関当局等の他の団体を介して出荷される商業製品のような商品(個別に図示されていない)の積送品1が示されている。商品のそれぞれは、商品に付けられている、あるいはそうでなければ商品と関連付けられているRFIDタグ等の商品識別装置10を有する。積送品1には制御装置20が関連付けられている。現在積送品1を保有している団体(不図示)は、RFID読み取り装置/書き込み装置、又はRF通信手段32とデータ処理手段34とを有する「データ交換装置」30を有する。通信手段32は送信機21及び受信機322を備える。制御装置20は同様に、送信機221と受信機222を備えるRF通信手段22を有し、データ認証装置26とアクセス方針記憶装置28も有する。アクセス方針記憶装置は1以上の団体に対する、あるいは団体のカテゴリに対するものでもあり得る「アクセス方針」を示すデータを記憶し、該「アクセス方針」は、団体(又は団体のカテゴリ)が、制御装置20が関連付けられている商品識別装置10とデータを交換するのを許されるべき範囲に関する。
【0085】
データ交換装置30の送信機321は、自身を「認証する」ために、データ交換装置30が関連付けられている団体を示す認証データを制御装置20に提供する。これは制御装置20の受信機222によって受信される。該認証データから、認証装置26は、アクセス方針記憶装置を参照し、どのアクセス方針が現在の団体(又は団体のカテゴリ)に適用できるのかを確立する。通信手段22の送信機221は、次に、関連付けられている団体の代りに、その団体に対して適用可能なアクセス方針に従って、データ交換装置30が商品識別装置10とデータを交換できるようにするほど十分なアクセスデータをデータ交換装置30に提供する。意図された範囲のアクセスを可能にするために適切なアクセスデータを、制御装置20とのやり取りから取得することで、データ交換装置30は、許可されている範囲まで商品識別装置10と直接的にやり取りすることができる。該許可されている範囲には、読み取り及び/又は書き込み要求を該商品識別装置10に送信すること、商品識別装置10から応答を受信すること、又は他の考えられるやり取りが含まれ得る。
【0086】
制御装置20によって提供されるアクセスデータは、秘密の「パスワード」の形式であってもよく、該「パスワード」は、商品識別装置10からの応答を「トリガする」ために、又は該「パスワード」なしにはセキュアなデータを公開しない商品識別装置10をアンロックするために必要なものである。この場合、データ交換装置30と制御装置20の間の上記のやり取りは、データ交換装置30と商品識別装置10間のやり取りの前に発生する。代わりに、制御装置20によって提供されるアクセスデータは、秘密「キー」の形であってもよく、該「キー」は該「キー」を持たない読み取り装置及び/又は団体にとって意味のない形式でしかデータを明らかにしない商品識別装置10からからの応答を復号するために必要なものである。この場合には、データ交換装置30と制御装置20の間の上記やり取りは、データ交換装置30と商品識別装置10間のやり取りの前又は後に発生してよい。さらに高いセキュリティのために、アクセスデータは、上記タイプのデータの両方を備えてもよいし、もしくは他の形式のセキュリティ保護を可能にする他のタイプを含んでよい。
【0087】
図5は、読み取り装置Rと制御タグAの間、及び読み取り装置Rと複数のIDタグTのどれかの間で発生し得るやり取りのプロセスをさらに詳細に描いている。本実施形態によれば、読み取り装置Rは、制御タグAとのやり取りの後ではなくむしろ前にIDタグTとやり取りしてもよい。
【0088】
図5aは、以下に使用されるラベルS1、S2、S3及びS4を導入し、これらのやり取りが図4に関して前述されたやり取りとそれぞれのどのように対応するのかを示している。やり取りS3とS4は読み取り装置Rと制御タグAの間の交換に関する。やり取りS1とS2は、読み取り装置Rと、制御タグAが関連付けられている複数のIDタグTのどれかの間の交換に関する。
【0089】
図5bは、図5aをさらに説明するための流れ図を示す。この流れ図のステップがここで説明される。
【0090】
ステップZ1.第1の接続S1が、読み取り装置RとIDタグTのそれぞれの通信手段の間で確立される。
【0091】
ステップZ2.情報コードワードS2が保護されているIDタグTから読み取り装置Rに送信される。
【0092】
送信されたコードワードがセキュリティ方式によって保護されるべきことが判明すると、プロセスは認証ステップに移行する。
【0093】
ステップZ3.ステップS3では、例えばタグによって送信されたコードワードに関連付けられている読み取り装置Rの役割証明書情報によって認証要求が生成される。しかしながら、コードワードの一部を送信することだけが必要な場合もある。
【0094】
ステップZ4.認証要求は読み取り装置Rから制御装置Aに送信される。
【0095】
ステップZ5.以後のステップでは、ステップS3の情報が有効であると制御装置Aにより判明されると、アクセスデータが制御装置Aによって読み取り装置Rにリリースされる。
【0096】
ステップZ6.すると、データ又は関数に対するこのアクセスは、読み取り装置Rによって実行されることができる。
【0097】
図5cは、アクセスデータが制御装置Aによって読み取り装置Rに対してすでにリリースされた状況を描いている。
【0098】
図5dは、読み取り装置Rが1回以上ID−タグTの1つにアクセスしようとするときに、あるいは1以上のIDタグにアクセスしようとするときに必要とされる動作を描いている。
【0099】
図5dに示されているように、制御装置Aとの認証プロセスは最初のときだけ実行される必要がある実施形態もある。この場合、読み取り装置Rは制御装置Aと複数回接触する必要がなく、したがって読み取り動作の効率が改善される。
【0100】
それぞれのやり取りに対して、異なるレベルのセキュリティが選択され得るし、又は必要とされ得る。例えば、以下のレベルのセキュリティが使用されてもよい。
【0101】
−S1接続及び平文(セキュリティは使用されていない)のメッセージ
−S2コードワードがセキュリティ付きで送信される
−ID情報のための匿名
−他のデータ情報のための暗号化
−S3及びS4は保護された通信チャネルを通して送信される。使用されてるプロトコルは制御タグの通信プロトコルに依存する。制御タグは、802.11a,b,g、ブルーツース、802.15.4又はその他のプロトコルを使用できるであろう。
【0102】
制御タグ要約
最初に、制御タグはIDタグの制御を取得する。方針及びIDタグと関連づけられた共有される秘密は、制御タグ内にアップロードされる。方針の関連が制御タグをIDタグの制御下に入れる。方針は異なる方法でアップロードされ得る。例えば、制御タグはブルーツースの装置のようであると仮定してよい。制御タグが無線通信チャネルを通して関連付けられると仮定できる。この場合、認証交換プロトコルが必要とされる。したがって、制御タグをIDタグに関連付けるための機構を必要とする。消費者シナリオの適用では、タグは、IDタグを検証し、データベースに関する、又は以前の制御タグに関する方針を調べる特殊な読み取り装置の近くにくるであろう。その結果、新しい制御タグは無線チャネルを通して正しい情報を取得する。
【0103】
第2に、制御タグはアクセスを委任する。制御タグの主要な特長はアクセスを委任し、アクセス制御を管理する能力である。タグが読み取り装置によって読み取られる必要があるとき、該読み取り装置は制御タグから、可変量の時間の間、タグを読み取る権利を受け取ることができる。例えば、アクセスパスワード又は暗号化によって保護されているIDタグの場合、制御タグはパスワード又は暗号化キーに対するアクセスを委任できる。この方式は、タグが新しい読み取り装置に委任されるたびに制御タグ及び読み取り装置がタグのアクセスパスワードを書き換えることをサポートする。
【0104】
RFIDタグ特性
制御タグのさらなる詳細を説明する前に、RFIDタグ技術のいくつかの一般的な特性及び特長が図6に関して説明される。現在の適用では、UHFバンド(860から960MHz)のRFIDシステムは約7メートまでの範囲を有することができる。HFバンド(13.56MHz)では、この範囲は1又は2メートルに下がる。いったんタグが読み取り装置の範囲内に入ると、タグは自らのメモリに記憶されている情報を送信する準備を完了することができる。複数のタグが存在する場合、読み取り動作を可能にするために、衝突防止アルゴリズムが必要とされる場合がある。現在の技術には、「Aloha」タイプの手法、又は「バイナリツリーウォーキング(binary-tree walking)」プロトコル等の決定論的方法を使用するものもある。
【0105】
ISO/IEC 18000規格により説明されているように、タグは、質問機(interrogator)によって書き込み、読み取ることのできるレジスタのセット、及び特定の目的のために使用できるであろうフラグのセット(sleep、write_err、write_prot等)を含むであろう。読み取りコマンドはタグに記憶されている情報にアクセスするためにスキャナによって使用され得る。
【0106】
1つのレジスタが「session_id」(又はpolicy_id)情報を含むと仮定してよい。該情報は商品識別タグと制御タグの間のリンクを維持することができる。その他のレジスタは暗号化されたフォーマットの製品情報及び汎用IDコードを含んでもよい。フラグは読み取り装置に、情報がパブリックであるのか、あるいはプライベートであるのかを通知することができる。
【0107】
RFIDタグに含まれているフィールドは制御タグと結び付けられる必要があり、したがってタグの中の情報は、セキュアな関係が確立されるまでプライベートとして維持されてよい。次の項目で分かるように、異なるレベルのセキュリティ及びプライバシーが、実現されている機構に応じて使用可能である。
【0108】
制御タグ−プライバシー方針アップロード
前述されたように、読み取り装置がタグ上の情報にアクセスを希望するとき、制御タグにコンタクトしなければならない。いったん読み取り装置のアイデンティティが認証されると、読み取り装置はタグにアクセスするためにセキュアな情報を要求できる。
【0109】
制御タグとIDタグのオーナが、制御タグにIDタグを制御させることを望むと、制御タグは制御動作を実行するために必要なすべての情報を取得しなければならない。この情報は暗号化/匿名のためのキー、アクセス制御のためのパスワード、コマンドをキルするためのキリング(killing)パスワード、及び読み取り装置のためのアクセス制御方針を含むことができ、安全な方式で転送されなければならない。
【0110】
読み取り装置の適用のためのアクセス権を管理する、役割に基づいた認証方式が使用されてよい。各読み取り装置は1つ以上の役割に関連付けられることができ、各役割は、IDタグ内の情報の1つ以上のタイプ又はフィールドに関するデータの読み取り、又は書き込みに割り当てることができる。読み取り装置証明書は読み取り装置のアイデンティティ、該読み取り装置の役割、及び該読み取り装置の物理的なオペレータ(例えば、会社又は他のこのような団体)についての情報を運ぶことができる。この証明書は大局的に一意である必要があり、これにより制御タグが読み取り装置とセキュアな関係性を確立できる。
【0111】
読み取り装置と制御タグの間の通信は、Zigbee又はブルーツース等の低電力装置用の標準的な通信プロトコル、あるいは十分な電池電力が利用できる場合には802.11a/b/g上で行なわれてもよい。通信チャネルは保護されていると仮定されている(秘密性及び認証特性)。
【0112】
制御タグが作成される、あるいは例えば商品の積送品に割り当てられると、ルート証明書がインストールされる必要がある。このようなルート証明書は管理目的のために常に存在する必要がある。ルート証明書の「オーナ」は信頼できるサードパーティであってもよい。したがって、異なるプライバシー方針及び異なるタグのキー情報をアップロードすることが必要となり得る。特定のRFIDタグに対するアクセスを必要とする役割は、該証明書がロードされ、該特定のタグと関連付けられていることを必要とし得る。
【0113】
制御タグは、一連の関連する方法を備えたオブジェクト、つまりRFIDタグにアクセスする権利とみなされ得る。役割に基づいた方針は、RFIDタグ情報に対するアクセスを許可するように制御タグを説得するために、読み取り装置/スキャナがどの信用証明物を提供する必要があるのかを、使用可能なアクションのそれぞれに指定する命令文である。
【0114】
委任
図7に関して、特定のIDタグ及び/又は該IDタグの情報に関して権利を有する役割が、別の役割に対して該権利の一部又はすべてを委任する権利を与えられてよい。この委任の権限は注意して管理される必要がある。新しい方針をアップロードするときの役割は、一般的には該役割がアクセスできる情報に対するアクセス、あるいは役割が自身で有する権利を委任できるに過ぎない。したがって、委任される役割は一般的には、許可側の役割と比較して同じ(又はより少ない)量の権利、あるいは情報に対するアクセスを許可されるに過ぎない。この手法はピア間のやり取りを可能にし、提案されている方式の柔軟性を強化する。
【0115】
図3に関して前述された出荷環境では、例えば「A」社は個々の製品上のIDタグのプライバシー方針をアップロードしてもよい。
【0116】
(1)「A」社は、「Session_id」情報に関連付けられた「B」社の証明書及びタグにアクセスするためのセキュアな情報とともに制御タグをアップロードできるであろう。「B」社は最終的な目的地であるので、おそらくB社がA社と同じアクセス権を有するであろうと想像できるであろう。
【0117】
(2)プライバシー方針は輸送会社に対するアクセスも許可できるであろう。輸送会社がどの情報にアクセスするべきであるのかを指定する役割証明書がアップロードされる。輸送会社はサードパーティ輸送会社にこのアクセスを委任できるであろう。
【0118】
(3)プライバシー方針は、製品が国境を越えるときに自動的にチェックされ得るように税関当局にアクセス権利を与えてもよい。この役割は、例えば、関税又は税金が支払われていることを示すために、例えばIDタグの中に情報を書き込む権利を与えてよい。
【0119】
読み取り装置認証及びデータ開示
前述されたように、本発明者らのシステムの好ましい実施形態では、個々の商品のタグ上のタグ情報が別々のセキュリティキーによって保護されており、制御タグが読み取り装置に正しいデータにアクセスするための正しいキー又はパスワードを与えていると仮定している。図8に関して、該方式は以下のように動作し得る。
【0120】
セットアップ時、Session_IDが各商品タグに与えられ、これは在庫情報又は製品情報という点では意味がないが、制御タグと商品タグをリンクすることを可能にする番号である。これにより、どのキーを開示べきであるかを知らなければならないという問題が解決される。session_IDは商品タグと制御タグの間のリンクを維持するために使用されることができる。静的なsession_IDが追跡を可能にしてよいことが考えられる。追跡が問題とみなされる場合、読み取り動作のたびに、前記[3]に概略されている「匿名」手法にいくつかの点で類似したようにリフレッシュする動的なsesson_IDが使用できるであろう。
【0121】
(1)読み取り動作中、(RFID商品タグのような)IDタグは「Session_ID」情報から成るメッセージ(S_ID,Private)を送信する。
【0122】
(2)読み取り装置は、次に、「組」(証明書、S_ID)(つまり、2種類の情報:アクセス方針に対応する証明書、及び「Session_ID」情報であるS_ID)を用いてセキュアな通信チャネルを通して制御タグを照会するであろう。証明書が認識されると、制御タグはIDタグに記憶されている秘密情報にアクセスするためのキー(S_ID,K1,K2,K3,...,Kn)を開示するであろう。
【0123】
(3)次に、読み取り装置は異なるレジスタに含まれている情報を取得するためにIDタグ(S_ID)を照会するであろう。該情報は暗号化された形式で送信され、該情報は読み取り動作で開示されないであろう(S_ID,data−1,data−2,data−3,...,data−n)。情報を受信すると、読み取り装置は制御タグによって開示されたキーを使用して情報を復号するであろう。
【0124】
要約すれば、好ましい実施形態による制御タグは、タグ−読み取り装置間のやり取りを拡張できるようにし、IDタグに記憶されている情報を保護するために「オプトイン」手法を実現する。このようにして、セキュアで、短期的な関連を確立するための方法が提供され、これにより、タグ情報は、認証される役割によってだけアクセスされ得る。この方式の特に優位な点は、現在のRFID技術に対する修正が必要ではないという点である。適切な方法は、RFIDタグのクラス0、1、2等と互換性があるように使用され得る。
【0125】
さらなる注意が必要ないくつかの問題点がある。静的な「Session_ID」フィールドとレジスタに記憶されている静的なデータ情報の両方を通してタグ付きの製品を追跡することも可能である。さらに、取り消し問題はこれまで対処されてこなかった。制御タグがセキュアなキー情報を開示するとき、IDタグは、該IDタグを受け取る読み取り装置に公開され、この権利を取り消すことはできない。
【0126】
局所キー手法−追跡保護及び取り消し制御に対して
前述の問題を解決するために、該方式に何らかの形の動的処理が加えられ得る。これは商品IDタグに何らかの基本的なセキュア機能を追加する必要がある。タグは、追加のキーを記憶し、簡略な暗号化機能を実行できるであろう。
【0127】
図9を参照すると、解決策は、読み取り装置、制御タグ、及び商品タグの間で共有される局所キーを追加することである。商品タグが新しい領域に移管されると(タグ所有権の変更)、局所キーは変更される。この手法の基本的な考え方は、タグの「暗号文テキスト(cyphetexts)」の外観を変化させるために再暗号化を利用しつつ、暗号文テキストの元である平文は同じままとすることである。この手法を利用すると、タグ情報は局所キーを共有する読み取り装置にだけ開示され得る。
【0128】
局所キーは、セキュアな通信チャネルを介して読み取り装置と制御タグの間で容易に共有され得る。それにも関わらず、商品タグと秘密を共有することはさらに困難な問題であり得る。
【0129】
「秘密」を共有することの問題の1つは、受動的な盗聴者がキー共有動作を立ち聞きすることができるという点である。ここに概略されているのは、この問題に対する2つの考えられる解決策である。
【0130】
−読み取り装置は非常に短い範囲のプロトコルを通してタグの読み取り専用レジスタにパスワードを書き込む(表面接触読み取り装置)。したがって、盗聴者はこの通信を立ち聞きすることはできない。
【0131】
−Molnar及びWagner[7]は、タグと読み取り装置間の非対称通信を利用する方法を提案した。タグは、読み取り装置のみが聞くことができる乱数を用いて通信を開始し、この乱数に基づいて、局所キーが共有される。
【0132】
この手法は以下の特長を提供し得る。
【0133】
(1)読み取り装置とタグの間の1対1のセキュアな通信が可能となる。他の役割に対するアクセス権は一時的に取り消される。
【0134】
(2)局所キーを変更により、追跡の防止が改善される。局所キーを頻繁に変更すればするほど、追跡の可能性が下がる。
【0135】
ここで、局所キーXが読み取り装置、商品IDタグ、及び制御タグの間で共有されていると仮定してみよう。Xを局所レジスタに記憶させ、EがIDタグで実現される単純な低リソース暗号化関数であると仮定する。
【0136】
従来のプロトコルは次のように修正できるであろう。
【0137】
a.読み取り動作中、IDタグは局所キーXで暗号化されている「Session_ID」情報から成るメッセージ(E(S_ID),Private)を送信する。局所的なキーXは、前記説明された2つの方法の一方を使用して読み取り装置とIDタグの間で共有されている。
【0138】
b.次に、読み取り装置は組(certificate,S_ID)を用いてセキュアな通信チャネルを通して制御タグを照会する。読み取り装置は(S_ID,K1,K2,K3,...,Kn)を取得する。K1,K2,...,Knはdata−1,data−2,...,data−nに含まれている情報を復号するために使用されるキーであることに留意する。
【0139】
c.(3)次に読み取り装置はIDタグを照会する。IDタグは、悪意のある読み取り装置が該タグを追跡できないように、局所キーで再暗号化された情報を送信する。IDタグはメッセージ、つまり(E(S_ID),E(data−1),E(data−2),E(data−3,...,E(data−n))を送信する。情報を受信すると、読み取り装置は制御タグによって開示されているキーを使用して情報を復号する。
【0140】
[7]ライブラリRFIDにおけるプライバシー及びセキュリティ(Privacy and Security in Library RFID)、David Molnar、David Wagner、カリフォルニア大学バークレー校(University of California of Berkeley)
【図面の簡単な説明】
【0141】
【図1】医薬品又は他の消費者製品等の商品に関連して「データ」及び「制御」情報の考え方を描く。
【図2】制御タグ、複数のIDタグ、読み取り装置、及びバックエンドデータベースを含むシステム内の主要な要素及びやり取りを描く。
【図3】サプライチェーンシナリオ、又は出荷環境における制御タグの可能な使用を描く。
【図4】本発明の好ましい実施形態による制御装置を含むシステムを描く。
【図5】読み取り装置と制御タグの間、及び読み取り装置と複数のIDタグの間で発生し得るやり取りのプロセスをさらに詳細に描く。
【図6】RFIDタグの可能な特性を示す図である。
【図7】制御タグに記憶されているアクセス方針の可能な構造を示す。
【図8】本発明の実施形態による制御タグを使用する読み取り装置認証及びデータ開示のための可能なシステムを示す。
【図9】局所的な領域を保護するための局所的なキーの使用を描く。
【技術分野】
【0001】
本発明は、RFIDタグ読み取り装置及び/又は書き込み装置等のデータ交換手段を介した商業組織等の団体と、RFIDタグのような商品識別装置の間でのデータ交換の制御に関する。
【背景技術】
【0002】
無線周波数識別(RFID)は、現在、情報を処理する方法を根本的に変更し得る、実現可能性の高い技術として提示されている。RFIDタグは主に、読み取り動作中に視認を必要とせず、識別プロセスを自動化するためにサプライチェーンで使用されている。アイデンティティ情報は多くの適用の領域で潜在的な利点を有するであろう。
【発明の開示】
【0003】
通常、RFIDタグは小さな記憶容量及びアンテナを備えた集積回路から成る。「アクティブタグ」と呼ばれる、内蔵電源を有するタグもあり、通常は処理回路網に電力を供給し、出力信号を生成させるために使用される。「パッシブタグ」と呼ばれる他のタグは、内蔵電源を有していない。パッシブタグは、一般的には、読み取り装置によって生成される電磁場から電力を収集することによって、入信信号に応答し、出力信号を発生させるために必要とされるエネルギーを取得する。また、「準アクティブ」(またあるいはときには「準パッシブ」)タグとして知られる、タグも存在し、一般的には、小さな電源を有し、タグの処理回路網が絶えず電力の供給を受けることができるようにする。したがって、これらのタグは任意の処理を開始する前に入信信号から電力を収集する必要はなく、通常これらのタグはパッシブタグよりも速い応答を提供できる。
【0004】
RFIDタグは、通常、商用製品のような、関連付けられた物理オブジェクトに関するアイデンティティ情報を保持する。読み取り装置によって照会されると、タグは通常、有効期限、製造場所、現在位置等のオブジェクトについての詳細な情報を記憶するバックエンドデータベース上の一意の位置を指すことができるアイデンティティ情報で応答する。この情報は、本来リアルタイムでユーザに利用可能とすることができる。
【0005】
調査において、商用製品にタグを付けるためのRFID技術の展開に関連している最も重要な懸案事項の1つとして、プライバシーが繰り返し挙げられてきた。簡略には、オブジェクトにタグが付けられると、RFID読み取り装置を持った誰もが該オブジェクト、該オブジェクトの所有者、又は該オブジェクトのユーザに関する情報を、該所有者又は該ユーザの許可なしに発見できる可能性がある。RFIDタグを保持する個人は不正な追跡によって影響を受け、タグ情報は、個人情報を収集し、ユーザの好みを分析するために使用され得るであろう。同様に、RFIDタグ付き製品を所有する企業はスパイ行為に対して弱くなるであろう。競合他社はタグIDを監視するだけで該企業の製品を追跡できるであろう。
【0006】
すべてのRFIDタグは、範囲内の誰もが受信できる無線スペクトルを通して動作する。タグの現在の生成の多くはアクセス制御機能が欠け、したがって悪意のあるユーザを含む誰もがタグに記憶されている情報を読み取ることができる。タグに記憶されている静的な「一意識別子」は、タグが付けられているオブジェクトを該オブジェクトを所有している個人又は企業と関連付ける。RFIDタグのプライバシー懸念の具体的な証拠は主に以下の問題点に関する。
【0007】
−トレーサビリティ:一意の識別番号は、製品がある読み取り装置から別の読み取り装置に移動するにつれ、認証されていない読み取り装置が該製品を追跡することを可能にする。
【0008】
−情報漏洩:RFIDタグは、タグが関連付けられている製品についての情報を伝える。悪意のある、隠れた読み取り装置が所有者の承認なしに製品情報を収集できるであろう(例えば、ユーザによって所有されるRFIDタグ付き製品は、このようにしてユーザの好みについての潜在的に貴重な情報を提供する)。
【0009】
研究者及び産業活動家はRFIDプライバシー問題を軽減するための異なる手法を研究してきた。手法のほとんどは、何らかの追加の機能をタグに組み込み、読み取り装置−タグ通信プロトコルを変更し、あるいは暗号化装置又は特殊タグ等の新しいインフラストラクチャを追加することによりタグに負担をかける。理想的には、解決策は最小の費用で適切なプライバシーの保護を提供するべきである。
【0010】
Juels及びPappu[1]は、RFIDが使用可能にされた紙幣のための方法を提案した。「ユーロ」紙幣の連続番号がRFIDタグによって伝えられ、暗号化方式によって保護されている。連続番号は計算装置による再暗号化を受け、これにより紙幣のトレーサビリティが難しくなる。この方式は単一の認証団体を必要とし、サプライチェーンのシナリオでよくあるような、複数ドメインシステムには合わない。
【0011】
[1]A.Juels及びR.Pappu。「密告するユーロ:RFIDが使用可能にされた紙幣におけるプライバシー保護(Squealing Euros: Privacy-Protection in RFID-Enabled Banknotes)」。R.Write編集の、金融暗号学(Financial Cryptography)2003年、103から121ページ、Springer−Verlag。2003年。LNCS第2742番。
【0012】
Weis、Sarma、Rivest及びEngels[2]は、RFIDシステムにおいてセキュリティを改善するための複数のセキュリティ機構を提案してきた。彼らは盗聴に基づいた攻撃の問題を特定し、タグから読み取り装置への通信の電力が読み取り装置からタグへの通信の電力よりはるかに弱いことを認識した。提案された方式には、タグ上でのハッシュ関数及び擬似乱数生成器の使用が含まれる。該システムは、バックエンドサーバで実行される逆ハッシュ関数探索に基づく。
【0013】
これらの特性に起因して、該方式は大規模な小売業者にとっては実用的ではなく、比較的少数のタグの所有者にとってのみ有効であり得る。さらに、擬似乱数生成器は現在のRFIDタグ技術では実現できない。
【0014】
[2]Sanjay E.Sarma、Stephen A.Weis、及びDaniel W.Engels。「RFIDシステム及びセキュリティとプライバシーの影響(RFID Systems and Security and Privacy Implications)」。暗号ハードウェア及び埋め込みシステムに関するワークショップ(Workshop on Cryptographic Hardware and Embedded Systems)において、454から470ページ。コンピュータサイエンスの講義ノート、2002年。
【0015】
「必要最低限度の暗号学(minimalist cryptography)」[3a]の中で、Juelsは、タグが、異なる、事前にプログラミングされた仮名を含む方法を提案している。各読み取り動作の間に異なる匿名を開示することによって、追跡を回避することができる。認証された読み取り装置は、匿名を正しいIDに関連付けるデータベースにリンクされる必要がある。この方式の主要な弱点は、タグ内の匿名の集合を更新する必要性である。NTT実験室(NTT laboratories)からのさらに複雑な手法[3b]は、タグに含まれている秘密情報を自動的に更新するためにセキュアハッシュチェーン(secure hash chain)機能を使用することを含む。この方式の背景にある論理的根拠は、タグが読み取り装置の照会に予想通りに応答してはならないという点である。タグは、2つのハッシュ(HとG)関数を使用することにより自立的にタグの識別子をリフレッシュし、読み取りのたびに異なる匿名を出力する。セキュアなデータベースは、タグ出力のシーケンスを生成するために使用される秘密値にアクセスできるため、該データベースは、タグ出力を製品情報にマッピングできる。明示された階層的な命名構造なしに匿名を正しいIDにリンクさせることが高価であるため、この解決策にはスケーラビリティの問題がある。
【0016】
[3a]A.Jules、「RFIDタグのための必要最低限度の暗号学(Minimalist Cryptography for RFID Tags)」、C.Blundo編集において、通信ネットワークのセキュリティ(Security of Communication Networks)(SCN)、2004年
[3b]Miyako Ohkubo、Koutarou Suzuki及びShingo Kinoshita:2003年11月にMITで提示されたと考えられている「「プライバシーフレンドリ」なタグに対する暗号手法(Cryptographic Approach to “Privacy-Friendly" Tags)」。http://lasecwww.epfl.ch/~gavoine/download/papers/OhkuboSK-2003-mit-paper.pdfを参照せよ。
【0017】
これらの方式はアクセス制御が欠如していることに対処するためにタグに何らかの追加の機能を組み込む。しかしながら、該方式の技術の想定は明らかに適用できるものではない。RFIDタグ、特に広範に配置される可能性があるものは、リソースとアーキテクチャのさまざまな制約がある。
【0018】
(1)「Juels及びPappu」の提案は、信頼できるサードパーティ手法を必要とするが、これは非常に限られた状況でのみ有効であり得る。
【0019】
(2)「Weisら」の解決策は、現在のパッシブRFIDタグにおいて使用できるリソースの量が制限されていることにより、制限される。
【0020】
(3)匿名解決策は、タグ上に追加のメモリを必要とする。
【0021】
RFIDタグが遭遇するプライバシーとセキュリティの問題に対する2つの代替手法は、RFIDブロッカータグに関するJuels、Rivest及びSzydloの研究[4]、及びソフトブロッキング手法に関するJuels及びBrainardの研究[5]に概略されている。該研究はともに、特定の潜在的なプライバシー問題を軽減できるプライバシー機能強化解決策を説明している。
【0022】
「ブロッカータグ」は、RFIDタグの大きな集合の存在をシミュレーションすることによって読み取り動作を妨害する破壊的な方式である。ブロッカータグは、「木探索(tree-walking)」方式又はALOHA方式と相互作用する現在のタグ読み取り基準で実現されるシンギュレーション(singulation)プロセスに作用する。ブロッカータグは、ユーザがプライバシー保護のために持ち歩く特定目的装置であり、該装置は個人的な(private)タグが読み取られるのを防ぐ。この解決策の主要な欠点は読み取り動作が破壊されることである。この弱点は該解決策の実用性を傷つける。
【0023】
[4]「ブロッカータグ:消費者のプライバシーのためのRFIDタグの選択的ブロッキング(The Blocker Tag:Selective Blocking of RFID Tags for Consumer Privacy)」。V.Atluri編集において、第8回コンピュータ及び通信セキュリティに関するACM会議(8th ACM Conference on Computer and Communications Security)、103から111ページ。ACM出版、2003年。
【0024】
「ソフトブロッカー」手法は、RFIDタグのプライバシー優先度を読み取り装置に表明する単純な手法である。これは、読み取り装置にプライバシーエージェントを必要とし、またタグの分類を必要とする。例えば、プライベートと分類されるタグは、読み取り装置上のプライバシーエージェントにタグの値を開示させない。同じ状況で、ブロッカーと分類されたタグが読み取られると、プライバシーエージェントは秘密のタグデータをフィルタで除去する。この解決策の主要な優位点は、方針の実現に関する柔軟性である。異なるシナリオに対して新しいプライバシー方針が任意に作成できるであろう。主要な弱点は、読み取り装置で実現されるプライバシーエージェントがタグ分類を遵守することを検証する監査機構又は機能強化サービスが必要とされることである。
【0025】
[5]A.Juels及びJ.Brainard:「ソフトブロッキング:安価で柔軟なブロッカータグ(Soft Blocking:Flexible Blocker Tag on the Cheap)」。S.De Capitani di Vimercati及びP.Syverson、編集において、電子社会におけるプライバシーに関するワークショップ(Workshop on Privacy in the Electronic Society)(WPES)、2004年
「監視(watchdog)」タグと呼ばれる別の手法がFloerkemeier、Schneider及びLangheinrichによって説明されている[6]。これは、読み取り装置とタグの間の通信を立ち聞きするアクティブタグである。監視タグは読み取り装置、読み取り動作の目的及び、おそらくは読み取り装置の位置に関する識別情報を記録できる。収集されたデータは、検査及び検証の目的のために最終的なユーザに使用されることができる。監視タグはプライバシー強化方法を提供しないが、読み取り装置−タグ間のやり取りの可視性を強化することができる。
【0026】
[6]「目的のある走査−RFIDプロトコルにおける公正な情報の原則のサポート (Scanning with a Purpose-Supporting the Fair Information Principles in RFID Protocols)」、Christian Floerkemeier、Roland Schneider、Marc Langheinrich、パーベイシブコンピューティング研究所(Institute for Pervasive Computing)ETH、スイス、チューリッヒ(Zurich, Switzerland)
国際特許出願第2004/086290号は、「認証装置」と呼ばれる装置を使用して、RFIDシステム内のトランスポンダ等のトランスポンダを認証するための方法及びシステムに関する。電子「ウォーターマーク」がトランスポンダのために計算され、トランスポンダに書き込まれる。トランスポンダは、読み取られるときにウォーターマークとともにトランスポンダ自体のデータを提供する。別の装置は、無関係に正しいウォーターマークを計算する。トランスポンダを認証するために、認証装置が該2つを比較し、読み取り装置に知らせるか、あるいは読み取り装置自体が比較を行うかのどちらかである。
【0027】
本発明によると、請求項1に述べられているような制御装置が提供される。
【0028】
また、本発明によると、請求項20に述べられているようなデータ交換を制御するための方法が提供される。
【0029】
さらに本発明によると、請求項21に述べられているようなデータ交換を制御するためのシステムが提供される。
【0030】
本発明の実施形態によると、前述された従来のシステムの不利な点はなく、特にありとあらゆる商品識別装置に複雑さを付加する必要なく、必要なセキュリティとプライバシーの要件を維持することが可能である。本発明の好ましい実施形態による制御装置を有するシステムは柔軟であり、異なるRFIDタグ方式と互換性があるという優位点を有することができる。該システムは異なる領域間での製品の輸送(例えば、出荷)又は取引の間に有効なプライバシー保護を提供することができ、秘密の読み取り及び製品スパイ行為を防ぐために大規模なサプライチェーンのシナリオに関して特に有効であり得る。
【0031】
本発明の好ましい実施形態は、公知の種々のRFIDタグ等のRFID商品識別装置と関連して使用される制御装置に関するが、本発明のある実施形態による制御装置が他のタイプの商品識別装置と関連して使用され得ることは予測できる。
【0032】
現在のRFIDタグの不利な点の1つは、有用なレベルの処理を実行できるアクティブタグのコストが、アクティブタグを大量の低コストの商品に個々に適用するには高すぎると考えられているのに対し、より安価で使用可能なパッシブRFIDタグは、所定の応答で特定の照会に応答する等の、はるかに基本的な機能しかを実行できないという点である。本発明の特に有利な実施形態によれば、商品識別装置は簡単で低コストのパッシブタグであってもよいが、本発明による制御装置の機能のため、セキュリティ、プライバシー等のレベルは、各商品識別装置が、あたかもより複雑なアクティブタグの機能を有するかのように制御可能且つ柔軟であることができる。
【0033】
特定の好ましい実施形態に関連して、制御装置はRFIDタグ自体であってもよく、その場合、該タグは制御タグと呼ばれることができる。このような実施形態によれば、該タグが制御タグの必要な機能を実行できるため、該タグは一般的には、アクティブ、あるいは少なくとも準アクティブなタグとなるが、本発明がアクティブ又は準アクティブな制御装置に限定されることは意図されていない。
【0034】
前述された従来の技術のシステムの多くの問題が、多くの場合プライバシーという言葉で表されるが、実際には制御の問題とみなすことができることに留意すべきである。
【0035】
本発明による制御装置は、「ブロッカータグ(blocker tag)」によって使用される「オプトアウト(opt-out)」手法とは対照的に「オプトイン(opt-in)」手法を実現すると考えることができる。制御装置は、団体がパッシブタグのような大多数の商品識別装置に含まれている情報に対するアクセスを得るために有効にオプトインすることを可能にするアクセス制御を提供するものと考えられ得る。該制御装置は、アクセス制御機能を信頼できるサードパーティシステムから、制御装置に置き換えることを可能にし、該制御装置は、信頼できるサードパーティとは異なり、商品識別装置が関連付けられている商品とともに便利に(物理的に)移動することができる。
【0036】
本発明の実施形態による制御装置の役割は、製品に付けられているパッシブタグのグループに記憶されているアイデンティティ情報と、バックエンドデータベースに記憶され得る該製品の実際のアイデンティティもしくは該アイデンティティに関係する他の情報との間のリンクをセキュアにするための方法を提供することであってもよい。タグアイデンティティ情報は、暗号化又は匿名等のセキュアな方式を通して保護され得る。制御装置は、最初に読み取り装置を認証してから、該読み取り装置にパッシブタグに含まれている情報にアクセスするために必要とされるプロトコル情報を与えてもよい。
【0037】
タグ又は他のこのような商品識別装置は、「プライベート」又は「パブリック」として分類できると考えることができる。該分類によって、読み取り装置は、どのプライバシー方針が特定のタグに利用できるのかを判断できる。パブリックタグは、該パブリックタグが制御装置とやり取りすることを必要とせずに該パブリックタグ自体の情報を読み取り装置に送信してよい。プライベートタグは、暗号化されたフォーマットでアイデンティティ情報を送信してよい。読み取り装置は、暗号化された情報にアクセスできるようになる前に該制御装置によって読み取り装置自体が認証される必要があるであろう。
【0038】
以下の2つのシナリオは、本発明の実施形態がどのようにして2つの例の状況、つまり「出荷環境」及び「消費者環境」に適用できるのかを図解するために役立つ。
【0039】
出荷環境
配置例として、「A」社から「B」社に出荷されている100個の製品を有するパレットを考えてもよい。それぞれの製品にはRFIDタグでタグが付けられている。「A」社はパレット上に含まれたすべてのタグをプライベートと分類するであろう。プライベートタグは認証された読み取り装置にだけ情報を開示するであろうことを念頭に置かなければならない。本発明の実施形態による制御装置は、物理的にパレットの上に取り付けられている。制御装置の主要な役割は、認証された読み取り装置がタグ上の情報にアクセスできるようにすることである。
【0040】
A社は、制御装置をプログラミングする。A社は「B」社の証明書、及び製品アイデンティティにアクセスするために必要とされるデータで制御装置をプログラミングするであろう。パレットが「B」社に届けられると、制御装置は該証明書を使用して「B」社の読み取り装置を認証し、セキュアな情報を開示する。この動作により、パレットに含まれたタグを読み取るために必要な情報が「B」社に提供されるであろう。トランザクションの間にプライベートと分類されたタグは、もはや「B」社の領域内でパブリックと分類され得る。
【0041】
もちろん、制御装置の挙動はこれよりもさらに複雑ともなり得る。例えば、税関当局及び輸送会社は、制御及び出荷情報のために製品又は製品に関する情報にアクセスできるであろう。このためには、「A」社が制御装置を通して部分的な情報に対するアクセスを委任することを必要としてもよい。
【0042】
消費者環境
Juelsによる研究[5]は別として、過去のプライバシー技法は「オプトイン」手法に何の解決策も提供しない。制御装置手法は、販売時に(暗号化を通じて)タグをブロックできるようにし、タグが消費者領域に入るとタグをアンブロックできるようにする。このようにして、当初ブロックされていたタグが再利用できる。新しいサービスの潜在的な範囲は、消費者環境で使用可能にされるであろう。
【0043】
図1を参照して医薬品小売環境を考えることができる。医薬品環境の内部では、すべてのタグはプライベートであって、在庫のために使用されることができる。製品が購入されると、該タグの「所有権」が小売業者から消費者に渡されることができる。そして、消費者の制御装置は、タグにアクセスするために必要とされる情報で更新されることができる。すると、ユーザは、医療や遠隔医療への適用においてタグを使用できるであろう。
【0044】
このシナリオでは、制御装置は、ユーザのプライバシー及びタグの機能を維持しながら、医療情報及び健康記録の認証されていない関係者への開示を妨げることができる。
【0045】
前記シナリオを考慮して、RFIDタグのための以前のプライバシー強化技術を振り返り、該技術がなぜ失敗したのかを評価することが有益である。該技術は多くの場合、実際には実現できない機能、及び単一の制御団体を想定した解決策に依存している。さらに優れた解決策がより簡単に利用できるようになるまで、小売業者は販売時点でタグを「キルする」オプションをサポートしなければならない。しかしながら、このオプションはタグをキルするための技術に対する投資を必要とし、販売後の適用の機会を妨げるため、高価である。さらに、ユーザは、タグがキルされたことを手動で検証することはできず、製品情報を制御するオプションを有することを好む可能性がある。
【0046】
製品はサプライチェーンに沿って分散されるので、複数の関係者が在庫のために、あるいは販売後の応用のために製品タグにアクセスし、再利用することを希望する可能性がある。会社は、該会社がある特定の製品を在庫情報に自動的にリンクさせるのに役立つレガシー識別子で自らの所有物にタグを付けることを希望することがある。例えば、薬物製造者は特定の薬物情報とともに一意の薬物識別子をタグの中に記憶できるであろう。この情報は、薬局、医療サービス、最終ユーザ及び処理会社等の特定の関係者によってだけアクセス可能であるべきである。複数の関係者(例えば、薬局、病院等)がタグによりプライベートな在庫情報を追加することを希望する場合がある。問題は、タグが許可された関係者によってだけアクセスされ、読み取られることができることをどのように保証するか、及びプライバシーが維持されていることをどのように保証するかという点である。
【0047】
現在の解決策が何をできるのかを評価しよう。
【0048】
(1)1つの手法は、チェックされるたびに情報の新しい集合でタグを書き換え、次のオーナだけがこの情報にアクセスできるようにすることであろう。これは約束できる解決策であるが、図書館、レンタル事業、又は在庫が回転するサプライチェーン向けのオプションではない。製造情報はリサイクル会社に対しても依然として有用となるであろうため、この情報は消去されるべきではない。
【0049】
(2)別の手法は、読み取り者を認証するパスワードを導入することであるが、残念なことにパスワードの立ち聞きや収集が可能である。また、パスワード方式は他の問題も提起する。つまり、タグの集合に対する単一のパスワードは容易に打ち負かすことができ、回復するのが困難である。
【0050】
上記の理由から、現在の解決策は複数の関係者にわたってタグの制御を移動させるのには実際的ではない。製品の所有権は製品のライフサイクルに沿って複数回変化することがあるため、製品情報を開示するためのセキュリティ及びプライバシーの要件も変化するであろう。必要な範囲までオーナとタグの間の関連はセキュア(secure)である必要がある。上記に開示されたプライバシー保護の実現例によれば、タグは、ID及び製品情報を含み得る「データセット」と、該データセットの開示を制御するためのプライバシー方針を含み得る「制御セット」の組み合わせを有するとみなすことができる。
【0051】
本発明の実施形態は、制御装置を通してRFIDタグのプライバシーを管理する。該制御装置は「制御セット」(アクセス方針又はプライバシー方針)をアップロードしてよく、タグ情報の開示及び/又は解釈を制御する。タグ及び/又は製品の所有権が変更される、又は一時的に移管されるとき、制御装置は新たに認証された読み取り装置をタグと関連付けてもよい。このモデルは種々の異なる状況で使用することができ、現在のRFIDプライバシー解決策及びセキュリティ解決策と比較して一連の優位点を導入することができる。
【0052】
以下のいくつかのパラグラフは、セキュリティに関連性のあるRFIDタグの特性、及びこれらが本発明の実施形態にどのように関連しているのかに関する。
【0053】
1.関連付け及びデータ秘密性 タグは、アイデンティティ、製品又は在庫の情報を不正な又は認証されていないリーダー(reader)に漏洩してはならない。好ましい実施形態よれば、読み取り装置(reader device)はタグ情報にアクセスできるようになる前に制御装置によって認証されなければならず、その後関連のあるプライバシー方針を遵守させられる。
【0054】
2.経済的実現可能性 手法のほとんどは、何らかの追加の機能をタグに組み込み、読み取り装置−タグ通信、プロトコルを変更し、あるいは暗号化装置又は特殊タグ等の新しいインフラストラクチャを追加することによってタグに負担をかける。これらの方式はパッシブ(passive)タグのコストを大幅に増加させ得る。理想的には、プライバシー解決策は、追加コストを加算することなく追加の保護を提供するべきである。本発明の実施形態による制御装置の2つの重要な特長は以下の通りである。
【0055】
(1)制御装置は、タグに技術的な複雑さを付加することなくアクセス制御機能を提供するためのすべてのセキュリティプリミティブを実現することができる。
【0056】
(2)制御装置は大多数のパッシブタグを「保護」することができる。制御装置が通常のパッシブタグよりはるかに高価であっても、この特性はその経済的な優位点を維持する。
【0057】
(3)制御装置は、サプライチェーンの任意の点で取り外すことができる。読み取り装置が特定のタグにアクセスすることを認証されているとき、該タグは該読み取り装置にとってパブリックとみなすことができる。
【0058】
3.信頼性 追加の装置又は前述された「ブロッカータグ」提案等の特殊なタグを組み込む従来の手法はタグの向き(orientation)に敏感である場合がある。走査時のタグの伝送電力は、アンテナに垂直な領域であって、該タグが存在する領域に依存する。ブロッカータグ等のプライバシー機能強化装置がうまく整列されていない場合には、該装置は失敗することがあり、パッシブタグはそのアイデンティティ情報を漏洩する可能性がある。本発明の好ましい実施形態による制御装置を使用するシステムは、タグをデフォルトで「保護」できるようにする。もし走査問題が存在するとすれば、情報は開示されないであろう。この手法はプライバシーを保護するが、「プライベート」タグが使用されるのを妨げるケースもあるであろう。
【0059】
4.柔軟なプライバシー方針 タグ情報は製品のライフサイクルに沿って異なるプレーヤ(会社、ユーザ等)によってアクセス可能となることがある。特定の適用では、特定の読み取り装置が限られた量のタグ情報にアクセスすることだけを認証されている可能性が高い。制御装置は同時に複数の関係者に対するアクセス方針を伝えるように構成されてもよい。ある実施形態によれば、制御装置があるプレーヤから別のプレーヤに移される際に新しいアクセス方針がアップロードされ得る。アイデンティティが認証され、アクセス方針によって(委任の目的のために、又はそれ以外のために)アクセス方針の書き込みが許される読み取り装置によって、追加のアクセス方針が制御装置に書き込まれることができるようにシステムが構築されてもよい。
【0060】
RFIDタグ/読み取り装置通信の性質は、多くの場合、有効なプライバシー機能強化解決策の作成を困難にしてきた。RFIDのやり取りがオンラインのやり取りと根本的に異なる1つの点は、アクセス制御、認証及びキー確立等の機能がないことである。RFID規格はタグ読み取り装置の識別を可能にしない。識別プロセスの実施なしには、タグ情報の開示を制御することは不可能であった。
【0061】
一般的には、読み取り装置は、近傍のタグを検出し、パブリックタグに関する平文情報にアクセスしてもよいが、プライベートタグに関する情報にアクセスすることはできない。プライベートタグは暗号化されている、及び/又は保護されている情報を含み得る。タグは、通常、一意のID(UDI)及び該IDが(物理的に又は単に概念的に)関連付けられている製品についての情報を記憶する。概して2つの手法を区別できる。
【0062】
(i)タグが一意のIDだけを伝え、製造者及び製品タイプについての情報はこの識別子に符号化されているEPC手法、及び
(ii)タグメモリが製品を識別するID、及び該タグが付けられているオブジェクトについての情報を記憶するための追加フィールドを含む分割メモリ手法
本発明の実施形態によると、読み取り装置はプライベートタグに対するアクセス(「読み取り」アクセス、「書き込み」アクセス、あるいは「読み書きアクセス」さえも)を取得するために制御装置とのセキュアな通信を確立する。すると制御装置は認証方式に基づいて役割を実現し、プライバシー方針を検証することができる。これは、「RFID読み取り装置」のアイデンティティ及び役割についての情報を記憶することを必要とする。役割は組織との関連における機能のセットを表す。このような機能は、タグの中の情報を読み取り、書き込み、追加、あるいは修正する能力を含み得て、タグのプライバシー方針に依存する。例えば、出荷のシナリオでは、国の国境にある税関当局は製品情報を制御し、支払われた税金又は関税についての情報を追加する権利及び能力を与えられるであろう。輸送会社の役割は、輸送及び目的地情報にアクセスするが、出荷された荷物についての情報を修正しない機能を含み得る。
【0063】
したがって、制御装置はRFIDシステムにおける追加の機能を可能にする大きな柔軟性を提供し得る。例えば、プライバシー方針は、タグ情報にアクセスしたことのある異なる組織のログファイルを維持することを制御装置に要求し得る。これは、出荷先又は監査役が製品の出荷を検証することを可能にし、認証されていない読み取り装置がプライベート情報にアクセスしていないことを保証することを可能にする。タグ読み取りにおける将来の規制及び制約を考慮すると、このロギング機能は不正な走査動作を防止し、制御するインセンティブを生じさせることができるであろう。
【0064】
前述されたように、役割に基づく方針は、タグ付きの製品がサプライチェーンに沿って移動するにつれて、異なる役割に異なるアクセス権を与えることができる。さらに、製品が新しいオーナのところへ行く(visit)と、新しいセキュアな方針が制御装置に追加され、新しい製品情報が1つ以上の製品タグに追加され得る。これにより、ネスト化された(nested)領域が、タグ情報にアクセスできる読み取り装置を有することを可能にする。この委任機能は、承認された読み取り装置は信頼できるという仮定の元でセキュアである。
【0065】
役割のアクセス権は、製品が組織及びカスタマの領域を変更するにつれて、制御装置によって、又はシステム管理者によって直接的に許可され、取り消され得る。読み取り装置が限られた時間の間、タグにアクセスできることが必要とされるケースがある。この場合には、制御装置は、限られた時間の間、有効であり、数回の読み取り動作の後に無効となる特定のキーを配布してもよい。
【0066】
本発明の実施形態の主要な特性のいくつかは以下のように要約される。
【0067】
−制御装置は、標準的なRFIDタグ−読み取り装置間のやり取りを拡張し、RFIDタグで、前述された「ブロッカータグ」によって使用される「オプトアウト」手法とは対照的な「オプトイン」手法を実現してよい。
【0068】
−セキュアで、短期的な関連。パッシブタグは、該タグが認証されていない領域を渡るときに保護され得るが、制御装置によって実行される役割に基づく認証プロセスを通して承認された読み取り装置と容易に関連付けられ得る。
【0069】
−制御装置は、役割に基づいた認証方式を実現してよい。さらなる任意のアクセス制御手法のかわりに、役割に対してアクセスを許可し、機能を指定する動作によって、アクセス制御権のさらにスケーラブルな管理が可能になる。役割は、複数の組織及び複数の機能に関連付けることができる。
【0070】
−制御装置は、(前述された)ロギング等の追加の機能を実現する基本的なセキュリティプラットホーム、走査プロセスに関連付けらた追加情報の開示、及び特定の役割に対するアクセスを許可し、取り消す機能を提供することができる。
【0071】
本発明による制御装置の概念は、無線センサネットワーク及び低リソース装置を含むさまざまな応用例に適用可能であることが留意されるべきである。例えば軍事応用例における秘密の読み取り値を収集する複数のノードから構成されている無線センサネットワークでは、該概念は、これらのノードが、敵ではない、正当な受信機だけにデータを配信することを保証するために使用され得る。
【0072】
センサネットワーク上の情報にアクセスする前に、読み取り装置は制御装置によって認証される必要があるであろう。認証段階の際、制御装置はセンサネットワーク内の情報にアクセスするために必要なセキュアな情報を配信するであろう。
【発明を実施するための最良の形態】
【0073】
前述の図に関して、本発明の好ましい実施形態がさらに詳細に説明される。ここで説明される実施形態によれば、制御装置は制御タグと呼ばれ、後述されるRFIDシステムに関して説明される。第1に、制御タグ特性に関する具体的な説明、及びアクセス−制御プロセスがどのように行なわれるかの説明を提供する。第2の部分は技術設計に関する。
【0074】
(前述された)図1は2つの態様、つまりデータと制御の分離を描いている。一般的には、商品識別タグは、商品のアイデンティティ、価格、日付、原産地、目的地等の商品の特徴、商品の現在の状況、商品に関する履歴データ等の属性に関する、商品についてのデータ又は情報を含んでもよい。情報がパスワードで保護されているか、もしくは符号化されているか、又は別の方法で保護されているか、守られているのかに応じて、タグ読み取り装置が情報にアクセスできる場合とできない場合とがある。従来技術のシステムによれば、正しいパスワード、復号キー、又は他のアクセスデータを有する任意の読み取り装置はタグに記憶されている情報を読み取り、及び/又は復号/解読することができる。単純で、安価な、特にパッシブRFIDタグ等の識別タグは、一般的には、異なるタグ読み取り装置を認識したり、識別したり、異なるタグ読み取り装置に異なる応答を提供したりするための十分な処理能力を備えていない。本発明の実施形態による制御装置を、このような単純な識別タグに関連付け、このような制御装置は、異なる読み取り装置が該識別タグとデータを交換すること(つまり、読み取り及び/又は書き込み)ができる範囲を管理できる。該「範囲」は、異なるレベルのデータへのアクセス、あるいは異なる属性又は属性の組み合わせに関するデータへのアクセスを異なる読み取り装置に許可することを含んでもよい。代わりに、該「範囲」は「読み取り専用」、「読み書き」、「委任」(以下を参照すること)等の異なるタイプの権利を異なる読み取り装置に許可することを含んでもよい。
【0075】
制御タグの詳細及び特性
図2に関して、以下の4つの要素から成るRFIDシステムが図示されている。
【0076】
(1)それぞれが製品(不図示)に取り付けられている、あるいはそれ以外の場合製品と関連付けられており、それぞれが一意のID(UID)及び該製品についての情報を伝える複数の無線周波数IDタグ10。IDタグは好ましくは安価であり、したがってパッシブタグである可能性が高い。該タグは暗号化又は匿名方式によってデータの秘密性を維持してもよい。
【0077】
(2)IDタグ10に関するデータに対するアクセスを制御する機能を有する、アクティブタグである制御タグ20。制御タグ20は読み取り装置30を認証する暗号プリミティブを含み、パッシブタグ上の情報の読み取り及び/又は書き込みアクセスを可能にすることがある暗号化キーを選択的に分配できる。
【0078】
(3)IDタグデータの読み取り、及び/又は書き込み、及び、制御タグを用いて適切な認証手順を実行できる読み取り装置、又は読み取り装置/書き込み装置30。
【0079】
(4)該読み取り装置は、読み取り装置によって収集されるIDタグ情報と記録を関連付け得るバックエンドデータベース40と連絡を取ってもよい。
【0080】
制御タグ方式はIDタグ−読み取り装置間のやり取りを拡張し、IDタグの情報を保護するために低リソースIDタグによって要求されるアクセス制御機能を実現する。読み取り装置30は、認証を得るため、及び、IDタグ上の秘密の(private)情報にアクセスすることを可能にするデータ又はコードを受け取るために制御タグ20と保護された通信を確立する必要がある。
【0081】
制御タグ20は、考えられる読み取り装置30のアイデンティティ及び役割についての情報を記憶することによって役割に基づいた認証を実現する。アクセスが許可されると、IDタグ情報にアクセスすること、及び/又は復号することができる。
【0082】
制御タグがアクセス方針の適切なセットをどのようにして実現する及び/又は施行してよいかをさらに説明する前に、「サプライチェーンシナリオ」を示す図3に関して商品の出荷を再び検討することは有益である。
【0083】
この例では、制御タグ方式によって、製品が製品に関連付けられたIDタグとともに複数の領域にわたり移動する際に製品情報をリリースする制御が可能となる。アクセス情報は製品と組み合わされてサプラインチェーンに沿って配布される。製品情報にアクセスする権利は、役割をベースにした認証プロセスを利用する制御タグによって制御される。制御タグは、アクセスの許可又は拒否に関する規則の組を含み、該アクセスには読み取り及び/又は書き込みアクセスが含まれ得る。
【0084】
ここで図4を参照すると、初期の団体(entity)から最終的な団体に、輸送組織、倉庫、税関当局等の他の団体を介して出荷される商業製品のような商品(個別に図示されていない)の積送品1が示されている。商品のそれぞれは、商品に付けられている、あるいはそうでなければ商品と関連付けられているRFIDタグ等の商品識別装置10を有する。積送品1には制御装置20が関連付けられている。現在積送品1を保有している団体(不図示)は、RFID読み取り装置/書き込み装置、又はRF通信手段32とデータ処理手段34とを有する「データ交換装置」30を有する。通信手段32は送信機21及び受信機322を備える。制御装置20は同様に、送信機221と受信機222を備えるRF通信手段22を有し、データ認証装置26とアクセス方針記憶装置28も有する。アクセス方針記憶装置は1以上の団体に対する、あるいは団体のカテゴリに対するものでもあり得る「アクセス方針」を示すデータを記憶し、該「アクセス方針」は、団体(又は団体のカテゴリ)が、制御装置20が関連付けられている商品識別装置10とデータを交換するのを許されるべき範囲に関する。
【0085】
データ交換装置30の送信機321は、自身を「認証する」ために、データ交換装置30が関連付けられている団体を示す認証データを制御装置20に提供する。これは制御装置20の受信機222によって受信される。該認証データから、認証装置26は、アクセス方針記憶装置を参照し、どのアクセス方針が現在の団体(又は団体のカテゴリ)に適用できるのかを確立する。通信手段22の送信機221は、次に、関連付けられている団体の代りに、その団体に対して適用可能なアクセス方針に従って、データ交換装置30が商品識別装置10とデータを交換できるようにするほど十分なアクセスデータをデータ交換装置30に提供する。意図された範囲のアクセスを可能にするために適切なアクセスデータを、制御装置20とのやり取りから取得することで、データ交換装置30は、許可されている範囲まで商品識別装置10と直接的にやり取りすることができる。該許可されている範囲には、読み取り及び/又は書き込み要求を該商品識別装置10に送信すること、商品識別装置10から応答を受信すること、又は他の考えられるやり取りが含まれ得る。
【0086】
制御装置20によって提供されるアクセスデータは、秘密の「パスワード」の形式であってもよく、該「パスワード」は、商品識別装置10からの応答を「トリガする」ために、又は該「パスワード」なしにはセキュアなデータを公開しない商品識別装置10をアンロックするために必要なものである。この場合、データ交換装置30と制御装置20の間の上記のやり取りは、データ交換装置30と商品識別装置10間のやり取りの前に発生する。代わりに、制御装置20によって提供されるアクセスデータは、秘密「キー」の形であってもよく、該「キー」は該「キー」を持たない読み取り装置及び/又は団体にとって意味のない形式でしかデータを明らかにしない商品識別装置10からからの応答を復号するために必要なものである。この場合には、データ交換装置30と制御装置20の間の上記やり取りは、データ交換装置30と商品識別装置10間のやり取りの前又は後に発生してよい。さらに高いセキュリティのために、アクセスデータは、上記タイプのデータの両方を備えてもよいし、もしくは他の形式のセキュリティ保護を可能にする他のタイプを含んでよい。
【0087】
図5は、読み取り装置Rと制御タグAの間、及び読み取り装置Rと複数のIDタグTのどれかの間で発生し得るやり取りのプロセスをさらに詳細に描いている。本実施形態によれば、読み取り装置Rは、制御タグAとのやり取りの後ではなくむしろ前にIDタグTとやり取りしてもよい。
【0088】
図5aは、以下に使用されるラベルS1、S2、S3及びS4を導入し、これらのやり取りが図4に関して前述されたやり取りとそれぞれのどのように対応するのかを示している。やり取りS3とS4は読み取り装置Rと制御タグAの間の交換に関する。やり取りS1とS2は、読み取り装置Rと、制御タグAが関連付けられている複数のIDタグTのどれかの間の交換に関する。
【0089】
図5bは、図5aをさらに説明するための流れ図を示す。この流れ図のステップがここで説明される。
【0090】
ステップZ1.第1の接続S1が、読み取り装置RとIDタグTのそれぞれの通信手段の間で確立される。
【0091】
ステップZ2.情報コードワードS2が保護されているIDタグTから読み取り装置Rに送信される。
【0092】
送信されたコードワードがセキュリティ方式によって保護されるべきことが判明すると、プロセスは認証ステップに移行する。
【0093】
ステップZ3.ステップS3では、例えばタグによって送信されたコードワードに関連付けられている読み取り装置Rの役割証明書情報によって認証要求が生成される。しかしながら、コードワードの一部を送信することだけが必要な場合もある。
【0094】
ステップZ4.認証要求は読み取り装置Rから制御装置Aに送信される。
【0095】
ステップZ5.以後のステップでは、ステップS3の情報が有効であると制御装置Aにより判明されると、アクセスデータが制御装置Aによって読み取り装置Rにリリースされる。
【0096】
ステップZ6.すると、データ又は関数に対するこのアクセスは、読み取り装置Rによって実行されることができる。
【0097】
図5cは、アクセスデータが制御装置Aによって読み取り装置Rに対してすでにリリースされた状況を描いている。
【0098】
図5dは、読み取り装置Rが1回以上ID−タグTの1つにアクセスしようとするときに、あるいは1以上のIDタグにアクセスしようとするときに必要とされる動作を描いている。
【0099】
図5dに示されているように、制御装置Aとの認証プロセスは最初のときだけ実行される必要がある実施形態もある。この場合、読み取り装置Rは制御装置Aと複数回接触する必要がなく、したがって読み取り動作の効率が改善される。
【0100】
それぞれのやり取りに対して、異なるレベルのセキュリティが選択され得るし、又は必要とされ得る。例えば、以下のレベルのセキュリティが使用されてもよい。
【0101】
−S1接続及び平文(セキュリティは使用されていない)のメッセージ
−S2コードワードがセキュリティ付きで送信される
−ID情報のための匿名
−他のデータ情報のための暗号化
−S3及びS4は保護された通信チャネルを通して送信される。使用されてるプロトコルは制御タグの通信プロトコルに依存する。制御タグは、802.11a,b,g、ブルーツース、802.15.4又はその他のプロトコルを使用できるであろう。
【0102】
制御タグ要約
最初に、制御タグはIDタグの制御を取得する。方針及びIDタグと関連づけられた共有される秘密は、制御タグ内にアップロードされる。方針の関連が制御タグをIDタグの制御下に入れる。方針は異なる方法でアップロードされ得る。例えば、制御タグはブルーツースの装置のようであると仮定してよい。制御タグが無線通信チャネルを通して関連付けられると仮定できる。この場合、認証交換プロトコルが必要とされる。したがって、制御タグをIDタグに関連付けるための機構を必要とする。消費者シナリオの適用では、タグは、IDタグを検証し、データベースに関する、又は以前の制御タグに関する方針を調べる特殊な読み取り装置の近くにくるであろう。その結果、新しい制御タグは無線チャネルを通して正しい情報を取得する。
【0103】
第2に、制御タグはアクセスを委任する。制御タグの主要な特長はアクセスを委任し、アクセス制御を管理する能力である。タグが読み取り装置によって読み取られる必要があるとき、該読み取り装置は制御タグから、可変量の時間の間、タグを読み取る権利を受け取ることができる。例えば、アクセスパスワード又は暗号化によって保護されているIDタグの場合、制御タグはパスワード又は暗号化キーに対するアクセスを委任できる。この方式は、タグが新しい読み取り装置に委任されるたびに制御タグ及び読み取り装置がタグのアクセスパスワードを書き換えることをサポートする。
【0104】
RFIDタグ特性
制御タグのさらなる詳細を説明する前に、RFIDタグ技術のいくつかの一般的な特性及び特長が図6に関して説明される。現在の適用では、UHFバンド(860から960MHz)のRFIDシステムは約7メートまでの範囲を有することができる。HFバンド(13.56MHz)では、この範囲は1又は2メートルに下がる。いったんタグが読み取り装置の範囲内に入ると、タグは自らのメモリに記憶されている情報を送信する準備を完了することができる。複数のタグが存在する場合、読み取り動作を可能にするために、衝突防止アルゴリズムが必要とされる場合がある。現在の技術には、「Aloha」タイプの手法、又は「バイナリツリーウォーキング(binary-tree walking)」プロトコル等の決定論的方法を使用するものもある。
【0105】
ISO/IEC 18000規格により説明されているように、タグは、質問機(interrogator)によって書き込み、読み取ることのできるレジスタのセット、及び特定の目的のために使用できるであろうフラグのセット(sleep、write_err、write_prot等)を含むであろう。読み取りコマンドはタグに記憶されている情報にアクセスするためにスキャナによって使用され得る。
【0106】
1つのレジスタが「session_id」(又はpolicy_id)情報を含むと仮定してよい。該情報は商品識別タグと制御タグの間のリンクを維持することができる。その他のレジスタは暗号化されたフォーマットの製品情報及び汎用IDコードを含んでもよい。フラグは読み取り装置に、情報がパブリックであるのか、あるいはプライベートであるのかを通知することができる。
【0107】
RFIDタグに含まれているフィールドは制御タグと結び付けられる必要があり、したがってタグの中の情報は、セキュアな関係が確立されるまでプライベートとして維持されてよい。次の項目で分かるように、異なるレベルのセキュリティ及びプライバシーが、実現されている機構に応じて使用可能である。
【0108】
制御タグ−プライバシー方針アップロード
前述されたように、読み取り装置がタグ上の情報にアクセスを希望するとき、制御タグにコンタクトしなければならない。いったん読み取り装置のアイデンティティが認証されると、読み取り装置はタグにアクセスするためにセキュアな情報を要求できる。
【0109】
制御タグとIDタグのオーナが、制御タグにIDタグを制御させることを望むと、制御タグは制御動作を実行するために必要なすべての情報を取得しなければならない。この情報は暗号化/匿名のためのキー、アクセス制御のためのパスワード、コマンドをキルするためのキリング(killing)パスワード、及び読み取り装置のためのアクセス制御方針を含むことができ、安全な方式で転送されなければならない。
【0110】
読み取り装置の適用のためのアクセス権を管理する、役割に基づいた認証方式が使用されてよい。各読み取り装置は1つ以上の役割に関連付けられることができ、各役割は、IDタグ内の情報の1つ以上のタイプ又はフィールドに関するデータの読み取り、又は書き込みに割り当てることができる。読み取り装置証明書は読み取り装置のアイデンティティ、該読み取り装置の役割、及び該読み取り装置の物理的なオペレータ(例えば、会社又は他のこのような団体)についての情報を運ぶことができる。この証明書は大局的に一意である必要があり、これにより制御タグが読み取り装置とセキュアな関係性を確立できる。
【0111】
読み取り装置と制御タグの間の通信は、Zigbee又はブルーツース等の低電力装置用の標準的な通信プロトコル、あるいは十分な電池電力が利用できる場合には802.11a/b/g上で行なわれてもよい。通信チャネルは保護されていると仮定されている(秘密性及び認証特性)。
【0112】
制御タグが作成される、あるいは例えば商品の積送品に割り当てられると、ルート証明書がインストールされる必要がある。このようなルート証明書は管理目的のために常に存在する必要がある。ルート証明書の「オーナ」は信頼できるサードパーティであってもよい。したがって、異なるプライバシー方針及び異なるタグのキー情報をアップロードすることが必要となり得る。特定のRFIDタグに対するアクセスを必要とする役割は、該証明書がロードされ、該特定のタグと関連付けられていることを必要とし得る。
【0113】
制御タグは、一連の関連する方法を備えたオブジェクト、つまりRFIDタグにアクセスする権利とみなされ得る。役割に基づいた方針は、RFIDタグ情報に対するアクセスを許可するように制御タグを説得するために、読み取り装置/スキャナがどの信用証明物を提供する必要があるのかを、使用可能なアクションのそれぞれに指定する命令文である。
【0114】
委任
図7に関して、特定のIDタグ及び/又は該IDタグの情報に関して権利を有する役割が、別の役割に対して該権利の一部又はすべてを委任する権利を与えられてよい。この委任の権限は注意して管理される必要がある。新しい方針をアップロードするときの役割は、一般的には該役割がアクセスできる情報に対するアクセス、あるいは役割が自身で有する権利を委任できるに過ぎない。したがって、委任される役割は一般的には、許可側の役割と比較して同じ(又はより少ない)量の権利、あるいは情報に対するアクセスを許可されるに過ぎない。この手法はピア間のやり取りを可能にし、提案されている方式の柔軟性を強化する。
【0115】
図3に関して前述された出荷環境では、例えば「A」社は個々の製品上のIDタグのプライバシー方針をアップロードしてもよい。
【0116】
(1)「A」社は、「Session_id」情報に関連付けられた「B」社の証明書及びタグにアクセスするためのセキュアな情報とともに制御タグをアップロードできるであろう。「B」社は最終的な目的地であるので、おそらくB社がA社と同じアクセス権を有するであろうと想像できるであろう。
【0117】
(2)プライバシー方針は輸送会社に対するアクセスも許可できるであろう。輸送会社がどの情報にアクセスするべきであるのかを指定する役割証明書がアップロードされる。輸送会社はサードパーティ輸送会社にこのアクセスを委任できるであろう。
【0118】
(3)プライバシー方針は、製品が国境を越えるときに自動的にチェックされ得るように税関当局にアクセス権利を与えてもよい。この役割は、例えば、関税又は税金が支払われていることを示すために、例えばIDタグの中に情報を書き込む権利を与えてよい。
【0119】
読み取り装置認証及びデータ開示
前述されたように、本発明者らのシステムの好ましい実施形態では、個々の商品のタグ上のタグ情報が別々のセキュリティキーによって保護されており、制御タグが読み取り装置に正しいデータにアクセスするための正しいキー又はパスワードを与えていると仮定している。図8に関して、該方式は以下のように動作し得る。
【0120】
セットアップ時、Session_IDが各商品タグに与えられ、これは在庫情報又は製品情報という点では意味がないが、制御タグと商品タグをリンクすることを可能にする番号である。これにより、どのキーを開示べきであるかを知らなければならないという問題が解決される。session_IDは商品タグと制御タグの間のリンクを維持するために使用されることができる。静的なsession_IDが追跡を可能にしてよいことが考えられる。追跡が問題とみなされる場合、読み取り動作のたびに、前記[3]に概略されている「匿名」手法にいくつかの点で類似したようにリフレッシュする動的なsesson_IDが使用できるであろう。
【0121】
(1)読み取り動作中、(RFID商品タグのような)IDタグは「Session_ID」情報から成るメッセージ(S_ID,Private)を送信する。
【0122】
(2)読み取り装置は、次に、「組」(証明書、S_ID)(つまり、2種類の情報:アクセス方針に対応する証明書、及び「Session_ID」情報であるS_ID)を用いてセキュアな通信チャネルを通して制御タグを照会するであろう。証明書が認識されると、制御タグはIDタグに記憶されている秘密情報にアクセスするためのキー(S_ID,K1,K2,K3,...,Kn)を開示するであろう。
【0123】
(3)次に、読み取り装置は異なるレジスタに含まれている情報を取得するためにIDタグ(S_ID)を照会するであろう。該情報は暗号化された形式で送信され、該情報は読み取り動作で開示されないであろう(S_ID,data−1,data−2,data−3,...,data−n)。情報を受信すると、読み取り装置は制御タグによって開示されたキーを使用して情報を復号するであろう。
【0124】
要約すれば、好ましい実施形態による制御タグは、タグ−読み取り装置間のやり取りを拡張できるようにし、IDタグに記憶されている情報を保護するために「オプトイン」手法を実現する。このようにして、セキュアで、短期的な関連を確立するための方法が提供され、これにより、タグ情報は、認証される役割によってだけアクセスされ得る。この方式の特に優位な点は、現在のRFID技術に対する修正が必要ではないという点である。適切な方法は、RFIDタグのクラス0、1、2等と互換性があるように使用され得る。
【0125】
さらなる注意が必要ないくつかの問題点がある。静的な「Session_ID」フィールドとレジスタに記憶されている静的なデータ情報の両方を通してタグ付きの製品を追跡することも可能である。さらに、取り消し問題はこれまで対処されてこなかった。制御タグがセキュアなキー情報を開示するとき、IDタグは、該IDタグを受け取る読み取り装置に公開され、この権利を取り消すことはできない。
【0126】
局所キー手法−追跡保護及び取り消し制御に対して
前述の問題を解決するために、該方式に何らかの形の動的処理が加えられ得る。これは商品IDタグに何らかの基本的なセキュア機能を追加する必要がある。タグは、追加のキーを記憶し、簡略な暗号化機能を実行できるであろう。
【0127】
図9を参照すると、解決策は、読み取り装置、制御タグ、及び商品タグの間で共有される局所キーを追加することである。商品タグが新しい領域に移管されると(タグ所有権の変更)、局所キーは変更される。この手法の基本的な考え方は、タグの「暗号文テキスト(cyphetexts)」の外観を変化させるために再暗号化を利用しつつ、暗号文テキストの元である平文は同じままとすることである。この手法を利用すると、タグ情報は局所キーを共有する読み取り装置にだけ開示され得る。
【0128】
局所キーは、セキュアな通信チャネルを介して読み取り装置と制御タグの間で容易に共有され得る。それにも関わらず、商品タグと秘密を共有することはさらに困難な問題であり得る。
【0129】
「秘密」を共有することの問題の1つは、受動的な盗聴者がキー共有動作を立ち聞きすることができるという点である。ここに概略されているのは、この問題に対する2つの考えられる解決策である。
【0130】
−読み取り装置は非常に短い範囲のプロトコルを通してタグの読み取り専用レジスタにパスワードを書き込む(表面接触読み取り装置)。したがって、盗聴者はこの通信を立ち聞きすることはできない。
【0131】
−Molnar及びWagner[7]は、タグと読み取り装置間の非対称通信を利用する方法を提案した。タグは、読み取り装置のみが聞くことができる乱数を用いて通信を開始し、この乱数に基づいて、局所キーが共有される。
【0132】
この手法は以下の特長を提供し得る。
【0133】
(1)読み取り装置とタグの間の1対1のセキュアな通信が可能となる。他の役割に対するアクセス権は一時的に取り消される。
【0134】
(2)局所キーを変更により、追跡の防止が改善される。局所キーを頻繁に変更すればするほど、追跡の可能性が下がる。
【0135】
ここで、局所キーXが読み取り装置、商品IDタグ、及び制御タグの間で共有されていると仮定してみよう。Xを局所レジスタに記憶させ、EがIDタグで実現される単純な低リソース暗号化関数であると仮定する。
【0136】
従来のプロトコルは次のように修正できるであろう。
【0137】
a.読み取り動作中、IDタグは局所キーXで暗号化されている「Session_ID」情報から成るメッセージ(E(S_ID),Private)を送信する。局所的なキーXは、前記説明された2つの方法の一方を使用して読み取り装置とIDタグの間で共有されている。
【0138】
b.次に、読み取り装置は組(certificate,S_ID)を用いてセキュアな通信チャネルを通して制御タグを照会する。読み取り装置は(S_ID,K1,K2,K3,...,Kn)を取得する。K1,K2,...,Knはdata−1,data−2,...,data−nに含まれている情報を復号するために使用されるキーであることに留意する。
【0139】
c.(3)次に読み取り装置はIDタグを照会する。IDタグは、悪意のある読み取り装置が該タグを追跡できないように、局所キーで再暗号化された情報を送信する。IDタグはメッセージ、つまり(E(S_ID),E(data−1),E(data−2),E(data−3,...,E(data−n))を送信する。情報を受信すると、読み取り装置は制御タグによって開示されているキーを使用して情報を復号する。
【0140】
[7]ライブラリRFIDにおけるプライバシー及びセキュリティ(Privacy and Security in Library RFID)、David Molnar、David Wagner、カリフォルニア大学バークレー校(University of California of Berkeley)
【図面の簡単な説明】
【0141】
【図1】医薬品又は他の消費者製品等の商品に関連して「データ」及び「制御」情報の考え方を描く。
【図2】制御タグ、複数のIDタグ、読み取り装置、及びバックエンドデータベースを含むシステム内の主要な要素及びやり取りを描く。
【図3】サプライチェーンシナリオ、又は出荷環境における制御タグの可能な使用を描く。
【図4】本発明の好ましい実施形態による制御装置を含むシステムを描く。
【図5】読み取り装置と制御タグの間、及び読み取り装置と複数のIDタグの間で発生し得るやり取りのプロセスをさらに詳細に描く。
【図6】RFIDタグの可能な特性を示す図である。
【図7】制御タグに記憶されているアクセス方針の可能な構造を示す。
【図8】本発明の実施形態による制御タグを使用する読み取り装置認証及びデータ開示のための可能なシステムを示す。
【図9】局所的な領域を保護するための局所的なキーの使用を描く。
【特許請求の範囲】
【請求項1】
団体と、制御装置に関連付けられている商品識別装置との間のデータ交換を制御する前記制御装置であって、前記団体のそれぞれには、前記制御装置が関連付けられている複数の商品識別装置の1以上とデータを交換するデータ交換手段を関連付けられており、前記データ交換手段は、前記データ交換手段が関連付けられている前記団体を示す、あるいは前記データ交換手段が関連付けられている団体のカテゴリを示す認証データを提供するように構成されており、
1つ以上の団体、又は団体のカテゴリのためのアクセス方針を示すデータを記憶するアクセス方針記憶手段であって、前記アクセス方針は、団体又は団体のカテゴリが、前記制御装置が関連付けられている複数の商品識別装置の1つ以上とデータを交換するのを許されるべき範囲に関するものと、
データ交換手段から認証データを受信する通信受信手段と、
受信された認証データから、及び前記アクセス方針記憶手段から、前記データ交換手段が関連付けられている前記団体又は団体のカテゴリに適用可能なアクセス方針を確立する認証手段と、
前記商品識別装置と、前記団体との間でデータの交換を可能にするのに十分なアクセスデータを前記データ交換手段に提供する通信提供手段であって、該団体には該団体のために前記適用可能なアクセス方針に従って前記データ交換手段が関連付けられているものと、
を備える制御装置。
【請求項2】
前記制御装置は、無線周波数データを提供する、及び/又は受信するように構成されている、請求項1に記載の制御装置。
【請求項3】
前記制御装置はアクティブRFID装置である、請求項1又は請求項2に記載の制御装置。
【請求項4】
前記商品識別装置は無線周波数装置である、請求項1乃至請求項3のいずれか1項に記載の制御装置。
【請求項5】
前記商品識別装置はパッシブRFID装置又は準アクティブRFID装置である、請求項1乃至請求項4のいずれか1項に記載の制御装置。
【請求項6】
前記商品識別装置は、前記商品識別装置が関連付けられている1つ以上の商品に関係するデータを提供するように構成されている、請求項1乃至請求項5のいずれか1項に記載の制御装置。
【請求項7】
前記商品識別装置は商品識別データを提供するように構成されている、請求項6に記載の制御装置。
【請求項8】
前記商品識別装置は商品ステータスデータを提供するように構成されている、請求項6又は請求項7に記載の制御装置。
【請求項9】
前記商品識別装置は他のタイプのデータを提供するように構成されている、請求項6、請求項7又は請求項8に記載の制御装置。
【請求項10】
前記データ交換手段はRF読み取り装置である、請求項1乃至請求項9のいずれか1項に記載の制御装置。
【請求項11】
前記データ交換手段はRF書き込み装置である、請求項1乃至請求項9のいずれか1項に記載の制御装置。
【請求項12】
前記データ交換手段はRF読み取り/書き込み装置である、請求項1乃至請求項9のいずれか1項に記載の制御装置。
【請求項13】
提供される前記アクセスデータは、商品識別装置により提供された符号化データの復号を可能にするのに十分である、請求項1乃至請求項12のいずれか1項に記載の制御装置。
【請求項14】
提供される前記アクセスデータは、商品識別装置にデータを提供させることをできるようにするのに十分である、請求項1乃至請求項13のいずれか1項に記載の制御装置。
【請求項15】
提供されている前記アクセスデータは、前記商品識別装置にデータを記憶させるのに十分である、請求項1乃至請求項14のいずれか1項に記載の制御装置。
【請求項16】
商品識別装置と団体の間で交換される前記データは複数の属性の1つ以上に関するデータを備える、請求項1乃至請求項15のいずれか1項に記載の制御装置。
【請求項17】
前記アクセス方針は、どの団体又は団体のカテゴリが、前記制御装置が関連付けられている商品識別装置とデータを交換するのを許されるべきかについての前記属性又は前記属性の組み合わせを示す、請求項16に記載の制御装置。
【請求項18】
前記アクセス方針は、団体又は団体のカテゴリが、前記1つ以上の属性に関するデータに関して読み取り、書き込み、又は読み書きのアクセスを許されるべきかどうかを示す、請求項16に記載の制御装置。
【請求項19】
前記アクセス方針は、団体又は団体のカテゴリが権利を委任することを許されるべきかどうかを示す、請求項1乃至請求項18のいずれか1項に記載の制御装置。
【請求項20】
団体と、制御装置に関連付けられている商品識別装置との間のデータ交換を制御する方法であって、前記団体のそれぞれには、前記制御装置が関連付けられている複数の商品識別装置の1つ以上とデータを交換するデータ交換手段が関連付けられており、前記データ交換手段は、前記データ交換手段が関連付けられている前記団体を示す、あるいは前記データ交換手段が関連付けられている前記団体のカテゴリを示す認証データを提供するように構成されており、
1つ以上の団体あるいは団体のカテゴリのためのアクセス方針を示すデータを記憶するステップであって、前記アクセス方針は、団体又は団体のカテゴリが、前記制御装置が関連付けられている複数の商品識別装置の1つ以上とデータを交換するのを許されるべき範囲に関するものと、
データ交換手段から認証データを受信するステップと、
受信された認証データから、及び記憶されているアクセス方針から、前記データ交換手段が関連付けられている前記団体又は該団体のカテゴリに適用可能なアクセス方針を、確立するステップと、
前記商品識別装置と、前記団体との間でデータの交換を可能にするのに十分なアクセスデータを前記データ交換手段に提供するステップであって、該団体には該団体のために前記適用可能なアクセス方針に従って前記データ交換手段が関連付けられているものと、
を備える方法。
【請求項21】
団体と商品識別装置との間のデータ交換を制御するシステムであって、前記システムは、複数の商品識別装置と関連付けられている制御装置と、それぞれが1つ以上の団体又は団体のカテゴリと関連付けられている1つ以上のデータ交換手段とを備え、
前記データ交換手段又はデータ交換手段の各々は、
前記制御装置が関連付けられている複数の商品識別装置の1つ以上とデータを交換する手段と、
前記データ交換手段が関連付けられている団体を示す、あるいは前記データ交換手段が関連付けられている団体のカテゴリを示す認証データを提供する手段と、
を備え、
前記制御装置は、
1つ以上の団体あるいは団体のカテゴリに関するアクセス方針を示すデータを記憶するアクセス方針記憶手段であって、前記アクセス方針は、団体又は団体のカテゴリが、前記制御装置が関連付けられている前記商品識別装置の1つ以上とデータを交換するのを許されるべき範囲に関するものと、
前記データ交換手段から認証データを受信する通信受信手段と、
受信された認証データから、及び前記アクセス方針記憶手段から、前記データ交換手段が関連付けられている団体又は団体のカテゴリに適用可能なアクセス方針を、確立する認証手段と、
前記商品識別装置と、前記団体との間でデータの交換を可能にするのに十分なアクセスデータを前記データ交換手段に提供する通信提供手段であって、該団体には該団体のために適用可能なアクセス方針に従って前記データ交換手段が関連付けられているものと、を備える、システム。
【請求項1】
団体と、制御装置に関連付けられている商品識別装置との間のデータ交換を制御する前記制御装置であって、前記団体のそれぞれには、前記制御装置が関連付けられている複数の商品識別装置の1以上とデータを交換するデータ交換手段を関連付けられており、前記データ交換手段は、前記データ交換手段が関連付けられている前記団体を示す、あるいは前記データ交換手段が関連付けられている団体のカテゴリを示す認証データを提供するように構成されており、
1つ以上の団体、又は団体のカテゴリのためのアクセス方針を示すデータを記憶するアクセス方針記憶手段であって、前記アクセス方針は、団体又は団体のカテゴリが、前記制御装置が関連付けられている複数の商品識別装置の1つ以上とデータを交換するのを許されるべき範囲に関するものと、
データ交換手段から認証データを受信する通信受信手段と、
受信された認証データから、及び前記アクセス方針記憶手段から、前記データ交換手段が関連付けられている前記団体又は団体のカテゴリに適用可能なアクセス方針を確立する認証手段と、
前記商品識別装置と、前記団体との間でデータの交換を可能にするのに十分なアクセスデータを前記データ交換手段に提供する通信提供手段であって、該団体には該団体のために前記適用可能なアクセス方針に従って前記データ交換手段が関連付けられているものと、
を備える制御装置。
【請求項2】
前記制御装置は、無線周波数データを提供する、及び/又は受信するように構成されている、請求項1に記載の制御装置。
【請求項3】
前記制御装置はアクティブRFID装置である、請求項1又は請求項2に記載の制御装置。
【請求項4】
前記商品識別装置は無線周波数装置である、請求項1乃至請求項3のいずれか1項に記載の制御装置。
【請求項5】
前記商品識別装置はパッシブRFID装置又は準アクティブRFID装置である、請求項1乃至請求項4のいずれか1項に記載の制御装置。
【請求項6】
前記商品識別装置は、前記商品識別装置が関連付けられている1つ以上の商品に関係するデータを提供するように構成されている、請求項1乃至請求項5のいずれか1項に記載の制御装置。
【請求項7】
前記商品識別装置は商品識別データを提供するように構成されている、請求項6に記載の制御装置。
【請求項8】
前記商品識別装置は商品ステータスデータを提供するように構成されている、請求項6又は請求項7に記載の制御装置。
【請求項9】
前記商品識別装置は他のタイプのデータを提供するように構成されている、請求項6、請求項7又は請求項8に記載の制御装置。
【請求項10】
前記データ交換手段はRF読み取り装置である、請求項1乃至請求項9のいずれか1項に記載の制御装置。
【請求項11】
前記データ交換手段はRF書き込み装置である、請求項1乃至請求項9のいずれか1項に記載の制御装置。
【請求項12】
前記データ交換手段はRF読み取り/書き込み装置である、請求項1乃至請求項9のいずれか1項に記載の制御装置。
【請求項13】
提供される前記アクセスデータは、商品識別装置により提供された符号化データの復号を可能にするのに十分である、請求項1乃至請求項12のいずれか1項に記載の制御装置。
【請求項14】
提供される前記アクセスデータは、商品識別装置にデータを提供させることをできるようにするのに十分である、請求項1乃至請求項13のいずれか1項に記載の制御装置。
【請求項15】
提供されている前記アクセスデータは、前記商品識別装置にデータを記憶させるのに十分である、請求項1乃至請求項14のいずれか1項に記載の制御装置。
【請求項16】
商品識別装置と団体の間で交換される前記データは複数の属性の1つ以上に関するデータを備える、請求項1乃至請求項15のいずれか1項に記載の制御装置。
【請求項17】
前記アクセス方針は、どの団体又は団体のカテゴリが、前記制御装置が関連付けられている商品識別装置とデータを交換するのを許されるべきかについての前記属性又は前記属性の組み合わせを示す、請求項16に記載の制御装置。
【請求項18】
前記アクセス方針は、団体又は団体のカテゴリが、前記1つ以上の属性に関するデータに関して読み取り、書き込み、又は読み書きのアクセスを許されるべきかどうかを示す、請求項16に記載の制御装置。
【請求項19】
前記アクセス方針は、団体又は団体のカテゴリが権利を委任することを許されるべきかどうかを示す、請求項1乃至請求項18のいずれか1項に記載の制御装置。
【請求項20】
団体と、制御装置に関連付けられている商品識別装置との間のデータ交換を制御する方法であって、前記団体のそれぞれには、前記制御装置が関連付けられている複数の商品識別装置の1つ以上とデータを交換するデータ交換手段が関連付けられており、前記データ交換手段は、前記データ交換手段が関連付けられている前記団体を示す、あるいは前記データ交換手段が関連付けられている前記団体のカテゴリを示す認証データを提供するように構成されており、
1つ以上の団体あるいは団体のカテゴリのためのアクセス方針を示すデータを記憶するステップであって、前記アクセス方針は、団体又は団体のカテゴリが、前記制御装置が関連付けられている複数の商品識別装置の1つ以上とデータを交換するのを許されるべき範囲に関するものと、
データ交換手段から認証データを受信するステップと、
受信された認証データから、及び記憶されているアクセス方針から、前記データ交換手段が関連付けられている前記団体又は該団体のカテゴリに適用可能なアクセス方針を、確立するステップと、
前記商品識別装置と、前記団体との間でデータの交換を可能にするのに十分なアクセスデータを前記データ交換手段に提供するステップであって、該団体には該団体のために前記適用可能なアクセス方針に従って前記データ交換手段が関連付けられているものと、
を備える方法。
【請求項21】
団体と商品識別装置との間のデータ交換を制御するシステムであって、前記システムは、複数の商品識別装置と関連付けられている制御装置と、それぞれが1つ以上の団体又は団体のカテゴリと関連付けられている1つ以上のデータ交換手段とを備え、
前記データ交換手段又はデータ交換手段の各々は、
前記制御装置が関連付けられている複数の商品識別装置の1つ以上とデータを交換する手段と、
前記データ交換手段が関連付けられている団体を示す、あるいは前記データ交換手段が関連付けられている団体のカテゴリを示す認証データを提供する手段と、
を備え、
前記制御装置は、
1つ以上の団体あるいは団体のカテゴリに関するアクセス方針を示すデータを記憶するアクセス方針記憶手段であって、前記アクセス方針は、団体又は団体のカテゴリが、前記制御装置が関連付けられている前記商品識別装置の1つ以上とデータを交換するのを許されるべき範囲に関するものと、
前記データ交換手段から認証データを受信する通信受信手段と、
受信された認証データから、及び前記アクセス方針記憶手段から、前記データ交換手段が関連付けられている団体又は団体のカテゴリに適用可能なアクセス方針を、確立する認証手段と、
前記商品識別装置と、前記団体との間でデータの交換を可能にするのに十分なアクセスデータを前記データ交換手段に提供する通信提供手段であって、該団体には該団体のために適用可能なアクセス方針に従って前記データ交換手段が関連付けられているものと、を備える、システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公表番号】特表2008−527484(P2008−527484A)
【公表日】平成20年7月24日(2008.7.24)
【国際特許分類】
【出願番号】特願2007−548894(P2007−548894)
【出願日】平成17年12月23日(2005.12.23)
【国際出願番号】PCT/GB2005/005075
【国際公開番号】WO2006/070189
【国際公開日】平成18年7月6日(2006.7.6)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ZIGBEE
【出願人】(390028587)ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー (104)
【氏名又は名称原語表記】BRITISH TELECOMMUNICATIONS PUBLIC LIMITED COMPANY
【Fターム(参考)】
【公表日】平成20年7月24日(2008.7.24)
【国際特許分類】
【出願日】平成17年12月23日(2005.12.23)
【国際出願番号】PCT/GB2005/005075
【国際公開番号】WO2006/070189
【国際公開日】平成18年7月6日(2006.7.6)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ZIGBEE
【出願人】(390028587)ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー (104)
【氏名又は名称原語表記】BRITISH TELECOMMUNICATIONS PUBLIC LIMITED COMPANY
【Fターム(参考)】
[ Back to top ]