データ処理装置、通信端末機器、および、データ処理装置を用いたデータ処理方法
【課題】データ処理装置にデータをセキュリティを確保した状態で入力する。
【解決手段】データ入力を行うデータ入力ユニットと、第1プロセッサと、第2プロセッサとが設けられている。第1プロセッサは、第1データ入力モード時に、データ入力ユニットに入力されたデータの受信および処理を行うように設計されている。第2プロセッサは、セキュリティ関連データを入力する第2データ入力モード時に、データ入力ユニットに入力されたデータの受信および処理を行うように設計されている。
【解決手段】データ入力を行うデータ入力ユニットと、第1プロセッサと、第2プロセッサとが設けられている。第1プロセッサは、第1データ入力モード時に、データ入力ユニットに入力されたデータの受信および処理を行うように設計されている。第2プロセッサは、セキュリティ関連データを入力する第2データ入力モード時に、データ入力ユニットに入力されたデータの受信および処理を行うように設計されている。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データ処理装置、通信端末機器、および、データ処理装置を用いたデータ処理方法に関するものである。
【背景技術】
【0002】
固定電話機器および携帯電話機器の分野において、特にデータ伝送およびデータ処理(一般的には、2つ以上の通信端末機器間のデータ通信)に関するセキュリティは、ますます重要性を増している。
【0003】
また、通信システムのユーザにとって、ユーザのプライバシーの保護および個人データの守秘を脅かさずにユーザの個人データを保護することが、ますます重要になっている。電子取引についても、データと、ビジネスの資産の構成要素と、これに関する機密情報とを確実に保護し、特に、リモートアクセス(Remote Access)を非常に確実に形成するとともに、電子ビジネストランザクションを確実に実行できるようすることが、重要である。
【0004】
コンピュータと、コンピュータ間の通信とへの多くの攻撃は、特にいわゆるオープンオペレーティングシステムに内在する弱点に基づいているか、あるいは、上記弱点を利用したものである。特に、上記攻撃は、ダウンロードされたコンピュータプログラム(ソフトウェア)をオープンオペレーティングシステムがインストールされた各コンピュータにおいて実行するという、オープンオペレーティングシステムの性能に基づいているか、あるいは、上記性能を利用したものである。これに関して、無線インタフェースを有し、オープンオペレーティングシステム(例えば、リナックス(Linux:トルヴアルドズ リヌスの登録商標)オペレーティングシステム、ユニックス(UNIX:エックス/オープン・カンパニー・リミテッドの登録商標)オペレーティングシステム、シンビアン(SYMBIAN:トルヴアルドズ リヌスの登録商標)オペレーティングシステム、ウインドウズ(WINDOWS:マイクロソフト コーポレイションの登録商標)オペレーティングシステム、または、ジャバ(JAVA:サン・マイクロシステムズ・インコーポレーテッドの登録商標)プラットフォーム)をインストールしたコンピュータ、を備えた機器は、特に危険である。
【0005】
例えば、コンピュータウイルス、コンピュータワーム、または、トロイの木馬といった、悪意のある、つまり損害を与えるコンピュータプログラム(以下では、損害を与えるコンピュータプログラムとも記載する)は、通信網において非常に早く伝播する能力を有しているので、このような脅威に対する適切な対策をとることが非常に重要である。
【0006】
1人または複数のユーザ間で金融電子トランザクションが行われる多くのアプリケーションコンピュータプログラムでは、通常、1人のユーザからその認証データ(例えば、いわゆるPINコード(個人識別番号コード)、言い換えるとユーザを一義的に識別する一連の数字)を照会する。この典型的な例は、携帯電話などの移動通信端末機器(例えば、GSM携帯電話またはUMTS携帯電話)である。この機器では、ユーザがPINコードを通信端末機器に入力する。また、この機器では、入力されたコードをスマートカード(加入者識別モジュール、SIMと呼ばれる)に格納された値と比較し、入力されたPINコードが格納されたコードと一致すると、ユーザが初めに移動通信端末機器のファンクションにアクセスする。他のアプリケーションコンピュータプログラムでは、秘密暗号鍵を用いて暗号演算を実行するために、いわゆるWIM(無線識別モジュール)を備える必要がある。
【0007】
プロセッサ(つまりコンピュータ)においてセキュリティ関連のコンピュータプログラムを実行するときには常に、プラットフォーム上では(つまり、プロセッサによっては)、損害を与えるコンピュータプログラム、例えば、認証手順において(一般的には供給されたセキュリティサービスにおいて)データを傍受するコンピュータプログラムが実行されないようにする、ということを確実にすることが重要である。そのようにできない場合には、損害を与えるコンピュータプログラムは、傍受した認証データを、意図していない無許可の電子金融トランザクションにおいて使用可能となってしまい、認証データを用いたトランザクションに対して唯一権利のある本来のユーザは、このことに気づかない。
【0008】
一般的に、上記問題は、
複数のプロセッサを備え、プロセッサのうちの少なくとも1つにオープンオペレーティングシステムがインストールされているシステムにおいて、どのように、安全な認証手順が得られるのか、と表現することができる。
【0009】
このために、従来技術では、様々なアプローチが知られている。
【0010】
一方では、認証を保護するために、厳格なソフトウェアインストールセキュリティソリューションを提供することにより、損害を与えるコンピュータプログラムがダウンロードされる可能性を低くすることができる。このソリューションは、通常、いわゆるコンピュータプログラム証明書を利用することにより、行われる。例えば、デジタル署名された正確なコンピュータプログラム(アプリケーションコンピュータプログラム)のみが、システムにインストールされ、各プロセッサによって実行される。つまり、このシステムは、各コンピュータプログラムを介して、デジタル署名が正しいことを証明し、コンピュータプログラムに対応したソフトウェア証明書の有効性を検査できる必要がある。この方法の不都合な点は、特に、用いるセキュリティモデルが複雑である点にある。証明プロセスには、ユーザに認識されない複数の様々なエンティティが関係している。これにより、結局は、各ソフトウェア証明書および各コンピュータプログラムを信頼するかしないかの決定に関して、ユーザに過大な要求をすることになる。
【0011】
他のアプローチでは、損害を与えるコンピュータプログラムからコンピュータを保護するために、いわゆるアンチウイルスソフトウェアが用いられる。つまり、損害を与えるコンピュータプログラムを認識し、それらを駆除するための適切な対策を提供するコンピュータプログラムを利用する。この構想では、システムにすでにダウンロードされた、損害を与えるコンピュータプログラムを認識し、それらを消去することを試みる。このアプローチの特に不都合な点は、知られている脅威、すなわち、知られている、損害を与えるコンピュータプログラムにしか対処できないことである。アンチウイルスコンピュータプログラムにまだ知られていない、損害を与えるコンピュータプログラムについては、アンチウイルスコンピュータプログラムがインストールされているシステムは、アンチウイルスコンピュータプログラムが更新されるまで、損害を与えるコンピュータプログラムによる危険から保護されない。このアンチウイルスコンピュータには、例えば損害を与えるコンピュータプログラムの新たな署名が保持されており、したがって、この損害を与えるコンピュータプログラムが認識され、次に、それに対して適切な措置が講じられる。
【0012】
つまり、上記2つのアプローチでは、コンピュータにダウンロードされたソフトウェアがコンピュータシステムのセキュリティを確実に侵さないようにすることは、困難である。
【0013】
[1]から、ARMのマイクロプロセッサのARMV6アーキテクチャとして、「トラストゾーン」と呼ばれるセキュリティの拡張が知られている。ここでは、[4]と同様に、単一のプロセッサが、セキュリティとは関係のない動作モードから、セキュリティ動作モードに移行することが記載されている。セキュリティ動作モードでは、データ(例えば、パスワード)を安全に入力、処理、および、表示できる。[1]および[4]では、セキュリティ動作モードに移行する、または、それから出るために、複数の命令が必要である。したがって、各コンピュータシステムのデータ処理速度が低下してしまう。さらに、これらのアプローチでは、マイクロプロセッサにおける安全でない割り込みを無効にするなどの特別な対抗措置を講じる必要がある。これにより、セキュリティ関連のデータを入力または処理する間は、セキュリティ動作モードを出ることができなくなる。パスワードまたは他のセキュリティ関連のデータを入力するために、アプリケーションコンピュータプログラムは、押されたキーを認識する、または、キーにアクセスできるようにする、または、入力されたデータの表示を操作できるようにする、ということを確実に行う必要がある。これにより、トロイの木馬の場合がそうであるように、ユーザに、そのパスワードを入力させることができるようになる。このため、データ入力またはデータ出力を安全に行うためのセキュリティ動作モードにおいて、データ入力ユニットおよびデータ表示ユニットをセキュリティ動作モードで完全に駆動する必要がある。[1]および[4]では、安全でないデータとセキュリティ関連のデータとが、同じ表示ユニット(特に同じ画面)において混合できないようになっており、これにより、アプリケーションコンピュータプログラムでは、セキュリティ関連のデータをコンピュータシステムに入力する際に、「ルック・アンド・フィール」という操作感をユーザに伝えることが、入力されるデータの表示範囲内に限って可能となる。さらに、これらのアプローチでは、マイクロプロセッサに適した割り込み操作の開発が、非常に困難で技術的にコストがかかるが可能である。これにより、リアルタイムに処理されることが重要なタスクが、それらの実行時に、ユーザの側からの例えばデータ入力によって遮断されない。それゆえに、単一のセキュリティ動作モードを供給するだけでは不十分であり、データをコンピュータシステムに入力および出力するための周辺機器の機能を改善する必要がある。
【0014】
パーソナルコンピュータのうちの1つにおいて自由度および柔軟性を維持しながらパーソナルコンピュータを保護するために、「トラスティドコンピューティンググループ(Trusted Computing Group;TCG)」が作られた。トラスティドコンピューティンググループは、全セキュリティソリューションの重要な範囲の仕様(特に、[2]に記載されているように、「トラスティドプラットフォームモジュール(Trusted Platform Module;TPM)」と呼ばれるハードウェアコンピュータチップ)に焦点を当てている。トラスティドプラットフォームモジュールは、暗号の観点から情報を格納するための安全な場所を有し、さらに、機密保護された環境において実行される一セットの暗号演算を有し、さらに、完全性のメトリクスを格納および報告する、ハードウェアデバイスである。トラスティドプラットフォームモジュールは、コンピュータシステムの全セキュリティソリューションのほんの一部である。現在の信頼できるキーボード、および、(セキュリティ特性を改善したプロセッサとそれに相当するチップセットとのような)信頼できるグラフィック表示ユニットについては、ここでは取り上げない。さらに、トラスティドコンピューティンググループがパーソナルコンピュータのトラスティドプラットフォームモジュールの仕様に焦点をあてていることが分かる。しかし、近年、トラスティドコンピューティンググループは、例えば[3]に見られるように、移動通信端末機器、ハンドヘルドコンピュータ、および、サーバコンピュータのための、トラスティドプラットフォームモジュールを規定し始めている。
【0015】
[4]から、さらに、コンピュータがセキュリティ動作モード中であるということをコンピュータシステムのユーザに通知する、セキュリティ動作モードの表示装置が知られている。しかし、そのセキュリティ表示装置は発光ダイオードであるため、ユーザが見落としてしまう可能性がある。
【0016】
[5]には、信用できるユーザインタフェースを提供するためのシステムについて記載されている。このシステムでは、信用できるデータ表示プロセッサが備えられている。ここでは、この信用できるプロセッサおよび信用できるメモリは、物理的におよび機能的に、本来のコンピュータシステムのプロセッサおよびメモリとは区別される。
【0017】
さらに、[6]のように、セキュリティコントローラがゲームコンピュータプログラムを実行し、データ表示命令のストリームをデータ表示エンジンに伝送する、コンピュータを保護するゲーム操作台が知られている。このデータ表示エンジンは、その観点から、ゲームのビデオ表示を、ビデオ出力信号を用いて生成する。ビデオ出力信号は、セキュリティコントローラ内のビデオマルチプレクサに転送される。ビデオマルチプレクサは、出力選択機能の制御により、ゲームビデオ出力と監査操作モードビデオ出力とのうちのどちらかを選択する。。出力選択機能は、セキュリティコントローラによって制御される。しかし、[6]では、データ表示(つまり、ユーザへビデオ出力)する場合に、ビデオ出力を様々な領域に分配することは不可能である。なお、分配されたデータストリームは、様々なソースによって制御される。
【0018】
[7]は、グラフィカルユーザインタフェースを用いて、キーボードによってデータを安全に入力するための装置について記載している。ここでは、ユーザは、コンピュータマウス、ディスプレイ、または、これに適した他の装置を用いて、カーソルを動かし、グラフィカルユーザインタフェース表示装置に、記号およびシンボルを選択することにより、セキュリティコードを入力する。それぞれ新しい選択を行った後、グラフィカルユーザインタフェースのシンボルおよび記号がディスプレイに新たに配置される。これにより、セキュリティコードを入力する際に、ユーザが画面のカーソルの動きを把握する場合でさえ、セキュリティコードの入力を復元できる。
【0019】
[8]に記載されたシステムでは、信用できるデータ入力ユニットがコプロセッサに連結されており、セキュリティ操作モードを表示するために、信用できないキーボードがセキュリティ情報表示装置を備えている。
【0020】
[9]は、パスワードを移動通信端末機器に入力するための方法を記載している。この方法では、数えられる数の特定の記号キーの指示に相当する(パスワード記号表の中の)特定の記号を探す。
【0021】
[10]は、チップカードインタフェースと、キーボードコントローラと、チップカードコントローラとを備えた、コンピュータキーボード配列について記載している。キーボードによって生成された信号は、コントローラから、パーソナルコンピュータまたはチップカードインタフェースに転送される。
【発明の概要】
【発明が解決しようとする課題】
【0022】
本発明の目的は、データ処理装置にデータをセキュリティを確保した状態で入力することである。
【課題を解決するための手段】
【0023】
本発明の目的は、独立請求項に記載された特徴を有するデータ処理装置、通信端末機器、および、データ処理装置を用いたデータ処理方法により達成される。
【0024】
また、従属請求項に、本発明の好適な発展形態を示す。本発明の上記発展形態は、データ処理装置、通信端末機器、およびデータ処理装置を用いたデータ処理の方法に関する。
【0025】
本発明のデータ処理装置は、データ処理装置にデータを入力するためのデータ入力ユニットを有する。さらに、データ処理装置には、第1プロセッサと、第2プロセッサとが備えられている。第1プロセッサは、第1データ入力モード(好ましくは、セキュリティ関連のデータではないデータの入力モード)において、データ入力ユニットに入力されたデータの受信および処理を行うように、設計されている。第2プロセッサは、セキュリティ関連のデータを入力する第2データ入力モードにおいて、データ入力ユニットに入力されたデータの受信および処理を行うように、設計されている。
【0026】
また、前記通信端末機器は、上述のデータ処理装置を有する。
【0027】
さらに、データ処理の方法では、データ入力ユニットを用いて、データをデータ処理装置に入力する。第1データ入力モード(好ましくは、セキュリティ関連のデータではないデータの入力モード)では、第1プロセッサが、データ入力ユニットに入力されたデータの受信および処理を行う。セキュリティ関連のデータを入力する第2データ入力モードでは、第2プロセッサが、データ入力ユニットに入力されたデータの受信および処理を行う。
【0028】
上述の従来技術の処理手順とは異なり、本発明は、オープンオペレーティングシステム環境において、機密入力データを傍受し得るような損害を与えるコンピュータプログラムまたは損害を与えるプログラムコンポーネントを、認識することも計算機システムから除去することもしない。
【0029】
従来技術とは異なり、本願の一つの発明は、機密データ(つまり慎重を期する内容のデータ)を、データ処理装置内の信頼できる部分を用いて(好ましくは第2プロセッサを用いて)、システム中すなわちデータ処理装置中に入力するように制御する点であることは明確である。第2プロセッサではトラスティドコンピュータプログラムのみが実行されている、この第2プロセッサは、「トラスティドコア」プロセッサとも呼ばれる。この第2プロセッサが存在するがゆえに、本発明の実装では、確実に、機密データを取り扱いかつ処理するために導入されたトラスティドコンピュータプログラムのみが、すなわち、信頼できるソフトウェアのみが、第2プロセッサ上で実行可能になる。
【0030】
本発明のアプローチの特徴は、ソフトウェア証明書の一般的な使用方法とは異なり、特に、コンピュータプログラムの一部分のみが、セキュリティに関連していて、対応する証明書またはその他のセキュリティ方策により保護される必要がある、ということが認識さた点である。例えば、本発明のアプローチは、第2プロセッサが、この第2プロセッサのみがアクセス可能であるメモリ中に制限された少ない数のコンピュータプログラムを保存しておき、これらのコンピュータプログラムを実行し、コンピュータプログラムによって、以下に詳細に説明するようなセキュリティ関連のサービスを実現すなわち提供する。したがって、証明済でかつ信頼できるデータ完全性を有するソフトウェアのみが第2プロセッサにより実行される、ということが保証される。
【0031】
本願の一つの発明では、PINコードあるいはパスワードなどのセキュリティ関連のデータ(すなわち、機密データ)を安全に入力するための信頼できる機構が、システムのユーザに提供される。この機構がオープンオペレーティングシステム(すなわち、オープンなコンピュータ環境)において傍受から保護されることは明確である。データ処理装置の動作を、安全な動作モード(第2のセキュリティ関連のデータ入力モード)と、安全ではない動作モード(第1のデータ入力モード)とに規定し、これらを提供するための手段が設けられている。
【0032】
データ処理装置は、以下の要素を有することが好ましい。
・例えばキーボードなどのデータ入力ユニット。このデータ入力ユニットは、通常動作モード(第1データ入力モード)では、好ましくはアプリケーションプロセッサとして設けられている第1プロセッサに割り当てられており、一時的に、データ処理装置内の第2プロセッサ(トラスティドコア)に割り当てられる。
・あるいは、通常動作モードでは、データ入力ユニットは、入力されたシンボル(例えば、押されたキーに割り当てられたデータシンボル)を、直接アプリケーションプロセッサに渡してもよい。第2プロセッサがデータ入力の受信をするようにとの問い合わせに応じて起動された後は、データ入力ユニットは、データが入力されてもこのデータを通常動作モードの場合のようにアプリケーションプロセッサに直接は伝送せず、好ましくは、各キーが押されたことに応答して、すなわち、各データシンボルが入力されたことに応答して、予め設定可能な記号/データシンボル(例えば、「*」シンボル)を、実際に入力されたデータシンボルないしはデータ記号の代わりに、アプリケーションプロセッサに伝送する。アプリケーションプロセッサは、この予め設定可能な記号/データシンボルを、例えばアプリケーションプロセッサおよび/または第2プロセッサがグラフィカルユーザインタフェース(GUI)上に準備した入力マスク内のPIN入力領域に出力する。この場合に、予め設定可能な制御キー(例えば、消去キー)の機能は、さらに、アプリケーションプロセッサへ移行されることが好ましい。入力されたデータ、すなわち、より正確には、入力された各記号ないしデータシンボルは、メモリまたはメモリの一部分に蓄積すなわち収集される。このメモリないしメモリの一部分に対しては、第2プロセッサのみが書き込みおよび読み込み可能である。すなわち、第2プロセッサのみが、このメモリないしメモリの一部分に対してアクセス権を有する。機密データの入力終了後に、入力された一連のデータは、第2プロセッサにより処理され、例えば、比較表中の1つまたは複数の対応する値と比較される。上記1つまたは複数の値は、例えば、スマートカードまたはフラッシュメモリに、プレーンテキストでまたは符号化されて保存可能である。比較データが符号化された形式で保存されている場合には、第2プロセッサは、対応する復号化に適した暗号鍵と復号化方法とにアクセス権を有する。この上述のプログラム工程の間は、マイクロプロセッサの通常の割り込みモードは無効にされ、その結果、機密データのデータ入力のためのセキュリティサービスは中断されず、これにより、データ入力が「カプセル化」されることは明らかである。一般に、このように、提供される各セキュリティサービスは「カプセル化」されている。
【0033】
・第2プロセッサは、データ処理装置が第2データ入力モードであることを、データ表示ユニット上に表示することが好ましい。この表示は、例えば、視覚的に(好ましくは、発光ダイオードを用いて、キーの背景部分を光らせるなど、または、データ表示ユニット上で示されるシンボル(印章)を用いて)、または、音声情報の提示(好ましくは、警告信号により、または、第2データ入力モードであることを明らかに特定する一連の音)により行われる。この際に、データ表示ユニット(グラフィック形式、または、音声情報の出力)の制御は、確実に第2プロセッサのみにより行われ、第1プロセッサすなわちアプリケーションプロセッサによっては行われないようにされている。これにより、ユーザは、データ処理装置が第2データ入力モード中であり、したがってユーザは疑うことなく信頼できるデータまたは機密データの入力を行うことができるとの情報を、単純で信頼できる方法で得ることができる。
【0034】
データ入力ユニットは、
・キーボード
・データ通信インタフェース
・タッチパネル
・接触感知型の表示ユニット(タッチスクリーン)
・コンピュータマウス
・音声認識ユニットを含むマイク(この音声認識ユニットは、例えば、発話者に依存する音声認識を行うユニットおよび/または発話者に依存しない音声認識を行うユニットである)
のいずれか1つである。
【0035】
このことは、本発明がいかなる種類のデータ入力にも、すなわち、データ処理装置への直接入力、あるいは、通信網(固定通信網または移動通信網)を介しての入力にも適していることを意味している。セキュリティ関連のデータの入力を保護せねばならなくなるや否や、データ処理装置は、入力された機密データを第2プロセッサで受信および処理するために切り換わる。この第2プロセッサは、入力されたデータを信頼を持って処理するために、適切に設計されており機密保護されている。
【0036】
好ましくは、第1プロセッサは、オープンオペレーティングシステム上でアプリケーションコンピュータプログラムを実行するように設計されたアプリケーションプロセッサである。ここで、上記オープンオペレーティングシステムは、好ましくは、オペレーティングシステム外との通信インタフェースを少なくとも1つ有するオペレーティングシステムである。これゆえに、このオペレーティングシステムは、例えば、コンピュータウイルス、トロイの木馬、コンピュータワーム、または、一般的に述べると、損害を与えるコンピュータプログラムの外からの攻撃により、損害を受ける可能性がある。
【0037】
オープンオペレーティングシステムの一例としては、ウインドウズオペレーティングシステム、リナックスオペレーティングシステム、ユニックスオペレーティングシステム、シンビアンオペレーティングシステム、または、ジャバプラットフォームが挙げられる。
【0038】
本発明の別の一発展形態によれば、第2プロセッサは、いわゆるトラスティドコアプロセッサとして設計されている。これにより、第2プロセッサは、1つまたは複数のトラスティドコンピュータプログラムのみを実行可能であるように設計されていることは明確である。このための実現方法としては、例えば、製造者側で、第2プロセッサのみによりアクセス可能なメモリ中に、所定の数のセキュリティ関連サービスを実現する方法手順を、コンピュータプログラムの形式で、所定の量保存しておくことが挙げられる。あるいは、第2プロセッサが、実現される各セキュリティサービスに適用されるソフトウェア証明書、すなわち、各セキュリティサービスを実現するコンピュータプログラムに割り当てられるソフトウェア証明書を、各プログラム実行の前に検査し、ソフトウェア証明書の検査に合格した場合のみ、プログラムが第2プロセッサ上で実行されるようにする。
【0039】
トラスティドコンピュータプログラムとは、完全性が保証されており(好ましくは、暗号化により完全性が保証されており)、特に、少なくとも1つのセキュリティ関連のサービス(好ましくは、暗号化によるセキュリティサービス)を行うコンピュータプログラムであることが好ましい。
【0040】
第2プロセッサは、データ処理装置を通信端末機器(特に、移動通信端末機器)として構成した場合に、特に、1つまたは複数の各セキュリティサービスを実施するように設計されたデジタル信号プロセッサである。
【0041】
好ましくは、第2プロセッサはマイクロコントローラであり、例えばこの場合に、データ処理装置中に複数のマイクロコントローラがあり、必要に応じて追加のデジタル信号プロセッサが設けられている。すなわち、例えば、アプリケーション用の1つのマイクロコントローラと、信頼できるサービス(トラスティドサービス)用の1つのマイクロコントローラと、モデムサービス用の1つのマイクロコントローラと、リアルタイムであることが重要なサービス用のデジタル信号プロセッサとが、特にデジタル信号処理用に設けられている。
【0042】
これに関連して、信頼できる、すなわち「トラスティド」な第2プロセッサの動作が、(信頼できない、すなわち「アントラスティド」な)第1プロセッサによって妨害されてはならない、ということを確実にしたほうがよい。このことは、例えば、各プロセッサ用の専用のメインメモリを用いることにより、または、1つのメインメモリを共通で用いた場合には、「トラスティド」な第2プロセッサにより制御され、所定のアドレス領域に対する明示的なアクセス権を予め設定できるメモリ制御装置を設けることにより達成される。
【0043】
好ましくは、暗号を用いたセキュリティサービスは、少なくとも1つの暗号鍵を用いて行われる。例えば、少なくとも1つの秘密(プライベート)暗号鍵および/または少なくとも1つの公開暗号鍵を用いて行われる。
【0044】
換言すれば、暗号を用いたセキュリティサービスは、各セキュリティサービスにおいて対称暗号鍵機構および非対称暗号鍵機構を用いて、実現される。
【0045】
暗号を用いたセキュリティサービスは、
・デジタル署名
・デジタル印章
・認証
・データ符号化
・ログイン
・アクセス制御
・データ通信内のトラフィック分析の阻止
・ハッシュ法
の少なくともいずれか1つである。
【0046】
基本的には、暗号を用いた各セキュリティサービスの実施、特に、ユーザによるデータ入力ユニットを介したデータ処理装置へのセキュリティ関連情報すなわち機密情報の入力は、第2プロセッサにより実行されるコンピュータプログラムとして実現される。
【0047】
このようにして、特に第2プロセッサの動作がプログラミング可能なことにより、暗号利用に関してデータ処理装置の拡張性を非常に柔軟に保ちつつ、ユーザのデータ入力の安全性を確保することができる。
【0048】
本発明の別の発展形態によれば、入力されたデータの少なくとも1部分をユーザに対して表示するためのデータ表示ユニットが備えられている。
【0049】
このようにして、セキュリティ関連データまたはセキュリティ関連データではないデータを、データ処理装置に入力する際に、特に、ユーザの操作感「ルック・アンド・フィール(見た目と感じ)」が得られる。
【0050】
データ処理装置は、第2データ入力モードでは、第2プロセッサが、入力されたデータを受信し、入力されたデータとは異なるデータであって好ましくは入力されたデータのデータシンボルと等しい数のデータシンボルを有するデータを、第1プロセッサおよび/またはデータ表示ユニットに伝送するように設計されていることが好ましい。このようにして、有用性はさらに高められ、特にユーザの操作感「ルック・アンド・フィール」はさらに改善されるが、この理由は、ユーザが、行った入力、例えばキーを押す毎に、実際に行った入力すなわち例えばどのキーを実際に押したかについては表示がなされないものの、行った入力についての領収書すなわち入力がうまくいったとの確認がユーザに示されるからである。
【0051】
第2プロセッサから、第1プロセッサおよび/またはデータ表示ユニットに伝送されるデータが、一連の所定のデータシンボルであり、特に、一連のある1つの所定のデータシンボルであり、データシンボルの数は入力されるデータのデータシンボルの数に等しいように、データ処理装置が設計されることが好ましい。
【0052】
さらに、第2プロセッサは、例えば、第2データ入力モードでは、第1プロセッサおよび/またはデータ表示ユニットに、セキュリティモード表示情報を伝送するように設計されていてもよい。このようにして、単純な方法で、信頼される形で、ユーザが危険性なくデータ入力ユニットを介してデータ処理装置に機密情報を入力できる、という情報がユーザに対して提供される。
【0053】
セキュリティモード表示情報は、視覚情報および/または音声情報であることが好ましい。
【0054】
さらに例えば、第1プロセッサから第2プロセッサへ、または、第2プロセッサから第1プロセッサへ、データ入力ユニットの制御が移行される際に、第1プロセッサと第2プロセッサとの間での通信を行うためのプロセッサ間連絡ユニットが設けられている。換言すれば、本発明のこの発展形態によれば、データ入力ユニットの制御の移行ないし入力されたデータの受信および処理の移行は、2つのプロセッサ間のプロセッサ間連絡により行われる。
【0055】
特に、この実現方法の利点は、2つのプロセッサ間の通信用にそれ自体は公知の機構を用い、権利の移行が、安全なデータ入力の枠内で、単純で安価な方法で行われる点である。
【0056】
さらに、好ましくはコンピュータプログラムとして設計されているデータ入力ユニットの駆動ユニットが備えられていてもよい。上記データ入力ユニットの駆動ユニットは、第1データ入力モードで入力されたデータを第1プロセッサに伝送し、第2データ入力モードで入力されたデータを第2プロセッサに伝送するように設計される。
【0057】
したがって、本発明のこの発展形態により、データ入力ユニットの駆動ユニットは、一種の切替ポイントのようなものとなる。このユニット中で、入力されたデータが機密性のあるものであり、それゆえに第2プロセッサに伝送されるべきか、または、入力されたデータがセキュリティ関連データではなく、それゆえにこのデータが直接、好ましくはアプリケーションプロセッサである第1プロセッサに伝送されるか否かが判断される。
【0058】
データ入力ユニットの駆動ユニットの設計において、第2データ入力モードで入力されたデータとは異なるデータであって、好ましくは第2データ入力モードで入力されたデータのデータシンボルの数と等しい数のデータシンボルを有するデータが、第1プロセッサおよび/またはデータ表示ユニットに伝送されるようにしてもよい。
【0059】
本発明のこの発展形態によれば、好ましくは第1プロセッサおよび/またはデータ表示ユニットに伝送されるデータは、一連の所定のデータシンボルであり、特に一連のすなわち複数の所定のデータシンボルであり、データシンボルの数は、入力されたデータのデータシンボルの数に等しい。
【0060】
本発明の別の一発展形態によれば、第2プロセッサは、チップカードプロセッサとして設計されている。換言すれば、第2プロセッサはチップカード上に実現されており、このチップカードは、例えばパーソナルコンピュータまたは通信装置に接続されたチップカード読み取り機により、第1プロセッサおよびデータ入力ユニットと通信接続される。このようにして、一般的なパーソナルコンピュータにおいてさえも、特に関連するセキュリティアーキテクチャで今日しばしば見受けられるチップカード読み取り機(チップカード上のプロセッサを利用したもの)を用いることにより、安全なデータ入力が行われる。これにより、例えばパーソナルコンピュータへのデータ入力も確実に安全に行われる。
【0061】
特に、データ処理装置が通信端末機器、特に移動通信端末機器として設計されている場合に、本発明の発展形態では、第2プロセッサは、通信端末機器、特に移動通信端末機器中の参加者識別モジュールに組み込まれている。本発明のある実施形態では、SIMモジュール(Subscriber Indentity Module;加入者識別モジュール)に組み込まれたプロセッサを、第2プロセッサとして用い、これにより各セキュリティサービスを実現する。
【0062】
本発明は、特に、好ましくはユーザのみが知っているパスワードまたはPINコード、すなわち一連の認証シンボルを入力する際や、データの符号化またはデジタル署名(例えば、PINコードまたはパスワードの形式でのユーザ入力が必要である暗号化手段を用いて電子メールを符号化またはデジタル署名をするなど)する際に適している。各電子メールは、例えば、通信端末機器を用いて、好ましくは無線インタフェースを介して受信機に伝送されてもよいが、自身で、計算機システム中の対応するディレクトリ中に単にバッファリングされており、ユーザまたは他のユーザにより照会があった際に、必要に応じて再び復号化されてもよい。
【発明の効果】
【0063】
本発明は、データ処理装置にデータをセキュリティを確保した状態で入力することでができるという効果を奏する。
【図面の簡単な説明】
【0064】
【図1】発明の一実施例のデータ処理装置のアーキテクチャを示すブロック図である。
【図2】本発明の一実施例の移動通信端末機器の構成を示す平面図である。
【図3】本発明の他の一実施例の移動通信端末機器の構成を示す平面図である。
【図4】本発明のさらに他の一実施例のデータ処理装置の構成を示す図である。
【図5】本発明の他の一実施例のさらに他のデータ処理装置の構成を示すブロック図である。
【図6】2つのデータ入力モード間の様々な切り替えを示すメッセージフローチャートである。
【図7】本発明の一実施例の第2データ入力モードで確実なデータ入力を提供するための個々の工程を示すフローチャートである。
【図8】データ処理装置の代替的な一実施例を示すブロック図である。
【発明を実施するための形態】
【0065】
本発明の実施例を、図に示し、以下で詳しく説明する。
【0066】
図1は、本発明の一実施例のデータ処理装置のアーキテクチャを示すブロック図である。
【0067】
図2は、本発明の一実施例の移動通信端末機器の構成を示す平面図である。
【0068】
図3は、本発明の他の一実施例の移動通信端末機器の構成を示す平面図である。
【0069】
図4は、本発明のさらに他の一実施例のデータ処理装置の構成を示す図である。
【0070】
図5は、本発明の他の一実施例のさらに他のデータ処理装置の構成を示すブロック図である。
【0071】
図6は、2つのデータ入力モード間の様々な切り替えを示すメッセージフローチャートである。
【0072】
図7は、本発明の一実施例の第2データ入力モードで確実なデータ入力を提供するための個々の工程を示すフローチャートである。
【0073】
図8は、データ処理装置の代替的な一実施例を示すブロック図である。
【0074】
図中、類似または同様の素子に、同じ参照番号が付されていることがある。
【0075】
図2に、データ処理装置としての移動通信端末機器200を示す。このモバイル無線通信端末機器200は、GSMなどのセルベースのモバイル無線標準、例えばUMTSなどの3GPP標準、に基づく通信用に設計されている。
【0076】
移動通信端末機器200は、筐体201を備えている。この筐体201に、アンテナ202、表示部203、スピーカ204、マイク205が備えられており、キーボード206に、多数のキーが備えられている。多数のキーは、数字、シンボル、または、文字を既知のように入力するための番号キーまたはシンボルキー207と、通信接続を確立または終了するための通信接続確立キー208および通信接続終了キー209などの特別機能キーとを含む。さらに、少なくとも1つの特別機能キー210が備えられている。この特別機能キー210は、例えば移動通信端末機器200に格納されたアドレス帳/電話帳を呼び出せるように割り当てられていてもよい。
【0077】
さらに、移動通信端末機器200には、SIMカード(加入者識別モジュールカード)211が含まれている。このSIMカード211に、ユーザを一義的に識別する情報(ユーザ識別子とも呼ばれる)が格納されている。
【0078】
移動式通信端末機器200は、以下で詳しく説明されるように、2つのプロセッサ(図示せず)を備えている。2つのプロセッサとはすなわち、アプリケーションプログラムを実行するための第1プロセッサ(以下ではアプリケーションプロセッサとも呼ぶ)と、例えばモバイル無線信号などを復号するために、物理的なインタフェースの機能、すなわち、無線信号伝送の機能を特に提供するための第2プロセッサとしてのデジタル信号プロセッサ(DSP)とである。さらに、メモリ(図示せず)が備えられている。双方のプロセッサとメモリとは、コンピュータバスを介して相互に接続されている。
【0079】
本発明の代替的な一発展形態では、移動通信端末機器200は、マイクロコントローラとして設計された2つのプロセッサを備えている。さらに、この代替実施例では、他の少なくとも1つの付加的なマイクロコントローラが備えられており、場合によってはさらに1つの付加的なデジタル信号プロセッサが備えられている。マイクロコントローラでは、アプリケーションコンピュータプログラムが実行される。ある1つのマイクロコントローラでは、信頼できるサービス(トラスティドサービス)、場合によっては付加的なモデムサービスが実行、すなわち、提供される。さらに、特にデジタル信号処理においては、リアルタイムであることが重要なサービスであるために、さらに1つのデジタル信号プロセッサが備えられている。
【0080】
ユーザは、移動通信端末機器200の電源を投入した後、移動通信網にログインしたいならば、ユーザは、移動通信端末機器200から、個人識別番号(Personal Identification Number, PIN)をキー207によって入力するように、要請される。ここでは、移動通信端末機器200へのPINの入力は、以下に記載のセキュリティ関連の機能または手順で処理される。
【0081】
入力された個人識別番号は、SIMカード211に格納されてあるユーザ識別子(User IDentity, UID)と比較され、参加者は、権利付与された参加者として移動通信網に受け入れられる。したがって、入力された番号がSIMカード211に格納されていたユーザ識別子に対応する場合に、ユーザは権利付与された参加者としてモバイル通信網にログインすることとなる。
【0082】
ログイン手順における、キーボード206のキー207・208・209・210の制御権、特に数字キーの間の本発明による切り替えについては、以下で詳しく説明する。
【0083】
図3に、本発明の第2実施例のデータ処理装置としての移動通信端末機器300を示す。
【0084】
移動通信端末機器300は、本発明の第1実施例の移動通信端末機器200と構造的に同じように形成されているが、前記デジタル信号プロセッサを省いてもよく、個人識別番号のセキュリティ関連のデータ入力に関連して備えられている本発明による第2プロセッサが、マイクロプロセッサとしてSIMカード301に含まれている点が異なっている。このSIMカード301は、マイクロプロセッサ302と不揮発性メモリ303とを備え、第1実施例のSIMカード211のように、ユーザ識別子を格納するための不揮発性メモリだけを備えているのではない。
【0085】
図4に、第3実施例のデータ処理装置としてのシステムブロック400を示す。システムブロック400はパーソナルコンピュータ401を含み、このパーソナルコンピュータ401は、1つのアプリケーションプロセッサ(図示せず)と、1つまたは複数のメモリ素子と、を備えている。プロセッサとメモリとは相互にコンピュータバスを介して接続されており、さらに、外部通信インタフェースと接続されており、さらに、多数の周辺機器(例えば、キーボード402、コンピュータマウス403、データ表示ユニットとしてのディスプレイ404、チップカード読み込み装置405)と接続されている。チップカード読み込み装置405を用いて、チップカード406(すなわち、チップカードに格納されている情報)を読み込み、パーソナルコンピュータ401へ伝送できる。
【0086】
図4に記載のシステムブロック400を参照して、様々な状況について以下で説明する。まず、一つの取り得る形態として、第1プロセッサがパーソナルコンピュータ401に備えられており、第2プロセッサがチップカード読み込み装置405に備えられている構成が挙げられる。これらのプロセッサは、以下で説明するサービスを提供するものである。また、これに代えて、チップカード406が独自のマイクロプロセッサを備えている構成も可能である。この独自のマイクロプロセッサは、第2プロセッサとして、後述する方法の範囲内で使用されるものである。また、他に取り得る形態として、第2プロセッサが、パーソナルコンピュータ401に備えられている構成が挙げられる。また、さらに取り得る他の形態として、1つのプロセッサが第2プロセッサとしてディスプレイ404に備えられており、機密データを保護するデータ入力において使用される。
【0087】
セキュリティ関連のデータを各周辺インタフェース407・408・409・410を介してパーソナルコンピュータ401へ入力するために、必要に応じて、図4に記載のデータ入力ユニットの1つまたは複数を使用できる。
データの入力は、キーボード402、コンピュータマウス403、例えば接触感知型ディスプレイとして構成されたディスプレイ404、または、チップカード読み込み装置405によって行える。
【0088】
図5に、本発明の第4実施例に係るデータ処理装置であるシステムブロック500を示す。
【0089】
このシステムブロック500では、複数のクライアントコンピュータ501・502・503・504・505は、キーボード506・507・508・509・510および/またはコンピュータマウス(図示せず)を、データ入力ユニットとしてそれぞれ備えている。これらのクライアントコンピュータ501・502・503・504・505は、通信網511を介して、サーバコンピュータ512と接続されている。
【0090】
この場合、セキュリティ関連のデータ(特に認証データ)は、通信網(好ましくはインターネット/イントラネット)511を介して、サーバコンピュータ512へ伝送され、このサーバコンピュータ512においてクライアントコンピュータ501〜505の認証のために使用される。この場合、サーバコンピュータ512は2つのプロセッサを備えており、上記データ入力ユニットはサーバコンピュータ512の通信網511への入出力インタフェースであって、この入出力インタフェースを介して、一連のデータシンボルがサーバコンピュータ512へ供給される。
【0091】
以下で一般的に説明する処理手順は、全ての上記使用状況に当てはまるものである。2つのプロセッサが備えられており、これらは相互に通信することができ、または、入力されたデータが、備えられている2つのプロセッサの1つに、選択的に供給されることがあってもよい、ということだけは必要である。
【0092】
上述のように、各データ入力ユニットは、キーボード;データ通信インタフェースとしての、通信網またはデータ処理装置の他の一周辺装置に接続されている入出力インタフェース;タッチパネル;接触感知型のデータ表示ユニット;コンピュータマウス;または、マイクであってもよい。マイクを介してデータ処理装置に入力される発話信号は、音声認識ユニットによって、入力されたデータとして認識可能なデータシンボルに変換される。
【0093】
したがって、全ての上記の使用状況、すなわち、織りまぜた構造は、図1に例示的に示したシステムアーキテクチャ100に鑑みたものである。
【0094】
大抵のアプリケーションコンピュータプログラムは、ユーザインタフェース(例えば、周辺機器とデータの送受信を行うための入出力インタフェース)も備えており、アプリケーションプロセッサ101(第1プロセッサ)によって実行される。アプリケーションプロセッサ101は、オープンオペレーティングシステム(好ましくはウィンドウズオペレーティングシステム)を有し、あるいは、リナックスオペレーティングシステム、ユニックスオペレーティングシステム、シンビアンオペレーティングシステム、またはジャバプラットフォームをインストールし、これを実行する。
【0095】
さらに、信頼できるモード(トラスティドモード)で動作する第2プロセッサ102が備えられている。この第2プロセッサ102は、トラスティドコアプロセッサとも呼ばれ、それゆえ、信頼できる(好ましくは暗号化によって)保護された環境で動作する。また、第2プロセッサ102は、以下ではセキュリティ関連のサービス(特に暗号化された信頼性サービス)を提供するために使用され、あるいは、または、さらに、データ伝送(特にモバイル無線データ伝送)などにおいて物理的なインタフェースの機能を提供するための他のサービスにも使用される。データ処理装置が移動通信端末機器として形成されている使用状況(図1および図2参照)では、この移動通信端末機器に、通常、2つのプロセッサ、すなわち、アプリケーションプロセッサとデジタル信号プロセッサ(DSP)とが備えられている。
【0096】
第1動作モード(通常動作モード)では、キーボード103(一般的にはデータ入力ユニット)は、アプリケーションプロセッサ101に割り当てられており、アプリケーションプロセッサ101によって制御される。したがって、アプリケーションプロセッサ101は、キーボード103(一般的には上記の代替的なデータ入力ユニット)を用いて入力されるデータ104を、キーボード周辺ブロック105を用いて制御および処理することを担当している。キーボード周辺ブロック105は、システムバス106によってアプリケーションプロセッサ101と第2プロセッサ102とに共通して接続されており、共通の集積システムコントローラ回路107に配置されていることが好ましい。
【0097】
第2プロセッサ102がアプリケーションプロセッサ101と共に1つの集積回路107に備えられていない上記使用状況では、双方のプロセッサ101・102は、例えばケーブルまたは他の通信接続方法(例えば無線通信接続)によって相互に接続されている。
【0098】
セキュリティ関連のデータが例えばユーザの認証において、ユーザによってデータ処理装置100に入力されるほうがよい場合には、データ入力ユニット(好ましくはキーボード103)の制御は、機密データの入力が終了するまで、第2プロセッサ102に委ねられる。このようにして、システム100の信頼できる環境において機密データを入力できる。
【0099】
データ処理装置が移動通信端末機器に集積されている例では、たとえばこれらのプロセッサが双方ともARM926プロセッサである、あるいは、アプリケーションプロセッサがARM11プロセッサである。
【0100】
以下に、データ処理装置の範囲内で、セキュリティ関連のデータ入力モードを実現するために選択し得るさまざまな実施例について説明する。
【0101】
第1の好ましい例では、データ入力ユニット(好ましくは、キーボード103)の制御が、アプリケーションプロセッサ101から信頼できる第2プロセッサ102へ明示的に移行し、また逆に第2プロセッサ102からアプリケーションプロセッサ101へ明示的に移行する。
【0102】
この場合、占有すなわちデータ入力ユニット(好ましくはキーボード103)の制御は、明示的なプロセッサ間連絡によって、アプリケーションプロセッサ101から第2プロセッサ102へ、または、逆にこの第2プロセッサ102からアプリケーションプロセッサ101へ明示的に移行される。
【0103】
このことは、双方のプロセッサ(すなわち、アプリケーション101と第2プロセッサ102との双方)がコンピュータプログラムをそれぞれ有しているとともにそれを実行できる、ということを前提条件とする。なお、このコンピュータプログラムは、これらのプロセッサに、現在は誰が実際にデータ入力ユニット103の制御を司っているのか、ということを伝えることができる。また、コンピュータプログラムは、データ入力ユニット103の制御を、他方のプロセッサ101または102へそれぞれ伝送(言い換えれば、移行)する。
【0104】
トラスティドコアプロセッサ(第2プロセッサ)102は、セキュリティ関連のデータ入力モードの間の制限された期間に、データ入力ユニット103の制御を司る。このデータ入力ユニット103を介して、セキュリティ関連の(すなわち、機密)データが、データ処理装置100へ入力される。一方、この期間に、トラスティドコアプロセッサ102は、安全入力表示を起動することが好ましい。なお、この安全入力表示は、データ処理装置100が第2の安全なデータ入力モードである、ということをユーザに示すものである。さらに、第2の(すなわち、セキュリティ関連の)データ入力モードの表示を実現するための様々なオプションについて、以下で詳しく説明する。
【0105】
この点に関して、第2データ入力モードをユーザに確実に表示するには、ユーザにこの情報を表示している間はアプリケーションプロセッサ101がこの表示を制御できないようにすることが望ましい。
【0106】
図6のメッセージフローチャート600に示す一例では、パスワードが一連の機密データシンボルとしてデータ処理装置へ入力され、このパスワードが、データファイルのデジタル署名に使用される。
【0107】
フローチャート600に示すフローでは、電子データファイルを署名するようにとの要求メッセージを受信することにより、トラスティドコアプロセッサ102において第2データ入力モード(ソース入力モード)が暗黙的に起動される。
【0108】
図6に示すように、この例では、アプリケーションプロセッサ101によって署名要求メッセージ601が生成され、好ましくはシステムバス106を介して、第2プロセッサ(すなわち、トラスティドコアプロセッサ)102へ伝送される。署名要求メッセージ601には、必要とされる信頼性サービス、つまり電子データファイルへのデジタル署名(サイン)602、ならびに、必要とされるサービスのパラメータとして、デジタル署名される電子データ(テキスト)603およびキー識別情報(キーID)604が示されている。
【0109】
トラスティドコアプロセッサ102は、署名要求メッセージ601を受信すると、トラスティドコアプロセッサ102だけがアクセスできる不揮発性メモリ605にプライベートキープロファイル606を問い合わせ、読み出したプライベートキープロファイル606を使用して署名要求メッセージ601を検証する(工程607)。
【0110】
この時点まで、データ処理装置100は、依然として第1データ入力モード(すなわち、安全でないデータ入力モード)である。この第1入力モードでは、依然としてアプリケーションプロセッサ101が、データ入力ユニット103の制御を司っている。
【0111】
このことは、第1データ入力モードを示す第1データ入力モード表示608により、ディスプレイ上でユーザに示される。
【0112】
次に、データ処理装置100のデータ入力モードは、第2のセキュリティ関連のデータ入力モードに変化する。
【0113】
後続の工程で、トラスティドコアプロセッサ102は、第1モード変更要求メッセージ609を、アプリケーションプロセッサ101へ送信する。なお、第1モード変更要求メッセージ609は、アプリケーションプロセッサ101のデータ入力モードを第1データ入力モードから第2データ入力モードへ変更するように、との要求をするものである。
【0114】
アプリケーションプロセッサ101は、第1モード変更要求メッセージ609を受け取った後、データ入力ユニット103(特にキーボード103)の制御を解除する(工程610)。
【0115】
アプリケーションプロセッサ101は、キーボード制御を解除したことを、第1モード変更確認メッセージ611によってトラスティドコアプロセッサ102へ伝える。
【0116】
トラスティドコアプロセッサ102は、第1モード変更確認メッセージ611を受信してから、データ入力ユニット103(特にキーボード103)の制御を引き受ける(工程612)。
【0117】
続いて、トラスティドコアプロセッサ102は、データ入力モード表示を起動し、このデータ入力モード表示を、第2データ入力モード表示614に設定する。この第2データ入力モード表示614によって、データ処理装置が第2データ入力モードである、ということが示される(工程613)。この起動は、トラスティドコアプロセッサ102による制御のみで行われる。すなわち、アプリケーションプロセッサ101は、データ入力モード表示608・614にアクセスできないし、これを制御することもできない。
【0118】
続いて、トラスティドコアプロセッサ102は、ユーザによって逐次的に入力された、機密の入力データを示す記号またはデータシンボルを収集する(工程614)。例えば、問い合わせられたパスワードの個々のシンボルは、次々と不揮発性メモリ、例えば、トラスティドコアプロセッサ102の不揮発性メモリ605にバッファリングされる。
【0119】
不揮発性メモリ中のパスワードは、「アントラスティド」な第1プロセッサのアクセスから保護されているほうがよい。あるいは、「トラスティドコア」(すなわち、第2)プロセッサは、この目的のために、専用に確保した不揮発性メモリを有している。パスワードは符号化されて不揮発性メモリに保存されており、第2プロセッサだけが「占有」しているキー(例えば、1つまたは複数の特別なハードウエアモジュールによって保証されたキー)のみによって解号できることが好ましい。このことは、第2プロセッサだけが、パスワードを解号するためのキーにアクセスできるということを意味している。
【0120】
上記例に代わり得る例、または上記例とは別の例として、処理効率を上げるために、パスワードが揮発性メモリにバッファリングされるようになっていてもよい。この目的のために、揮発性メモリは、「アントラスティド」な第1プロセッサによる操作から保護されているほうがよい。
【0121】
言い換えれば、このことは、信頼できる、すなわち「トラスティド」な第2プロセッサの動作が、確実に、(信頼できない、すなわち「アントラスティド」な)第1プロセッサによって妨害されないようにするのがよい、ということを意味している。このことは、例えば、双方のプロセッサのそれぞれに専用のメインメモリを用いることにより達成される、または、1つのメインメモリを共通で用いた場合には「トラスティド」な第2プロセッサにより制御され、特定のアドレス領域への明示的なアクセス権を予設定できるメモリ制御器を使用することにより達成される。
【0122】
以下の工程(工程615)では、トラスティドコアプロセッサ102によって読み込まれたパスワードが、不揮発性メモリ605に予め格納された秘密パスワード616と比較される。
【0123】
入力されたパスワードが、不揮発性メモリ605に格納されたユーザの秘密鍵に対するパスワード616と一致すれば、続いて、トラスティドコアプロセッサ102は、不揮発性メモリ605から、ユーザのプライベート(すなわち、秘密)キー617を読み出し、ユーザの秘密キーを使用して、要求メッセージ601中に示されたテキスト603に署名する(工程618)。
【0124】
続いて、トラスティドコアプロセッサ102は、再びデータ入力ユニット103の制御を放棄し(工程619)、第2データ入力モードを表示するために使用される第2データモード表示614を無効にし、機密でないデータを入力するための第1データ入力モードが、データモード表示608によって、ユーザに再び表示される(工程620)。
【0125】
続いて、トラスティドコアプロセッサ102は、第2モード変更要求メッセージ612を、アプリケーションプロセッサ101へ送信する。この第2モード変更要求メッセージ612は、この時点では、セキュリティ関連の第2データ入力モードから、第1データ入力モード(すなわち、機密でないデータをデータ処理装置100へ入力するための通常動作モード)へ、データ入力モードを改めて変更するように、との要求をするものである。
【0126】
アプリケーションプロセッサ101は、第2モード変更要求メッセージ612を受信した後、データ入力ユニット103の制御を再び引き受ける(工程622)。
【0127】
アプリケーションプロセッサ100は、データ入力ユニット103の制御の新たな引継ぎが完了したことを、第2モード変更確認メッセージ623によってトラスティドコアプロセッサ102へ伝え、これにより、第2データ入力モード(図6に参照番号624で示す)が終了する。
【0128】
続いて、トラスティドコアプロセッサ102は、アプリケーションプロセッサ101に、要求された信頼性サービスの結果(この例の場合は、署名要求メッセージ601中で示された電子データファイル603へのデジタル署名625)を伝送する。
【0129】
これに代わり得る例として、アプリケーションプロセッサ101のためのデータ入力ユニット(特に、キーボード103)は、アプリケーションプロセッサ101によって、また場合によってはアプリケーションプロセッサ101とトラスティドコアプロセッサ102との双方によって透過的に使用される。
【0130】
本例では、アプリケーションプロセッサ101には、第2データ入力モードにおいてはデータ入力ユニット103が一時的にトラスティドコアプロセッサ102によって使用される、ということが分かっていない。言い換えれば、アプリケーションプロセッサ101には、データ入力モードが第1データ入力モードから第2データ入力モードへ、およびその逆へと移行される、ということは知らされていない。
【0131】
第2データ入力モードの間に(すなわち、機密データの入力が終了するまでに)、次のような準備が行われる。すなわち、トラスティドコアプロセッサ102の安全な環境において実施されている、トラスティドコアプロセッサ102によって実行されるデータ入力ユニットの駆動コンピュータプログラム(好ましくはキーボードの駆動コンピュータプログラム)を用いて、入力された各記号またはデータ入力ユニット103を用いてデータ処理装置へ入力されるデータシンボルを処理および受信するための以下のメカニズムが準備される:1.データ入力ユニット103とアプリケーションプロセッサ101との間の接続を切り離す(「切断」)。2.第2データ入力モード(安全入力モード)において、入力されたデータシンボルを読み込む。3.アプリケーションプロセッサ101のためにデータシンボルの入力をシミュレーションするために、備えられているキーボード周辺レジスタに所定のシンボル(好ましくは「*」シンボル)を書き込む。4.データ入力ユニット103とアプリケーションプロセッサ101とを元のように接続する(「接続」)。
【0132】
工程3では、構造800の、図8に示すデータ入力ユニット周辺ブロック801が使用されることが好ましい、ということが分かる。
【0133】
アプリケーションプロセッサ101から見れば、トラスティドコアプロセッサ102に対する上記の、および以下で図7に関連して示す実現は、第2データ入力モードでは所定の記号だけが入力されるように、すなわち、所定のキー(例えば、シンボル「*」を有するキー)だけが押されるように作用している。したがって、アプリケーションプロセッサ101は、キーボードの駆動コンピュータプロセッサから受信する「*」シンボルを、データ入力ユニットに示す。このようにして、PINコードまたはパスワードを入力する場合に「ルック・アンド・フィール」という操作感がユーザに提供される。
【0134】
データ処理装置100が第2データ入力モードである間に、データ表示ユニットの対応する信頼性モード表示情報を任意に準備してもよい。さらに、データ表示ユニットは、対応するデータ入力モード表示614をユーザに対して出力する。その都度存在するデータ入力モードすなわちその都度起動されるデータ入力モードの表示のための、さまざまな例について、さらに、以下でより詳しく説明する。
【0135】
図7に、フローチャート700で、上述の第2の例の処理手順を記載する。
【0136】
トラスティドコアプロセッサ102は、第2データ入力モード(工程701)が起動された後、アプリケーションプロセッサによるデータ入力ユニット割り込み(特にキーボード割り込み)の実施または誘発を無効に(702)し、アプリケーションプロセッサ101によるキーボード周辺ブロック(一般的には、データ入力ユニット周辺ブロック)801へのアクセスも無効にする(工程703)。
【0137】
その後、押されたキーの情報が格納されているキーボードブロックレジスタは、第2プロセッサ(すなわち、トラスティドコアプロセッサ)102の問い合わせを受ける(工程704)。
【0138】
キーボードに予め備えられていることが好ましい安全データ入力モード終了キーが押された場合は、このことが試験工程705において試験され、安全なデータ入力が終了したとされ、問い合わせられたレジスタ値から、1つまたは複数の機密入力データ値が生成される(工程706)。
【0139】
その後、アプリケーションプロセッサ101は、キーボード周辺ブロック801(工程707)へ新たにアクセスし、キーボード割り込みがアプリケーションプロセッサ101に対して再び行われる(工程708)。
【0140】
したがって、第2データ入力モードは、再び無効にされる(工程709)。
【0141】
しかしながら、安全データ入力モード終了キーが押されない限り、押された各キーに対して、押された各キーを示す値が、トラスティドコアプロセッサ102だけがアクセスできるメモリに格納される(工程710)。
【0142】
続いて、キーボードブロックレジスタにおいて、入力された各シンボルに対して、1つの「*」シンボルが書き込まれ(工程711)、アプリケーションプロセッサ101は、キーボード周辺ブロックに再びアクセスし(工程712)、続いて、アプリケーションプロセッサ101に対するキーボード割り込みが再び任意に行われる(工程713)。続いて、アプリケーションプロセッサ101が「*」シンボルをキーボード周辺ブロックレジスタから読み出すまで待機し(工程714)、工程702に戻る。言い換えれば、アプリケーションプロセッサ101が「*」シンボルをキーボード周辺レジスタから読み出したということが保証される。
【0143】
図8から分かるように、キーボード周辺ブロック801に、スキャニングおよびキーボードのデバウンシングロジック802と、スイッチングユニット803とが備えられている。このスイッチングユニット803を用いて、スキャニングおよびキーボードのデバウンシングロジック802から入力されるシンボルを、スイッチングユニット803が第1スイッチング状態(A)である場合は、スキャニング結果レジスタ804へ供給し、または、スイッチングユニット803が第2スイッチング状態(B)である場合は、コンピュータバスインタフェース805へ直接供給する。コンピュータバスインタフェース805は、スキャニング結果レジスタ804の出力部とも接続されている。さらに、上記コンピュータバスインタフェース805は、制御レジスタ806と接続されており、制御レジスタ806に格納されたデータは、場合によっては、スイッチング状態制御信号807を生成し、このスイッチング状態制御信号807によって、スイッチングユニット803を駆動する。
【0144】
第3の例として、通常データ入力モードにおいて、キーボードまたはキーパッドが、押されたキーについての情報をアプリケーションプロセッサ101へ直接伝送するようにしてもよい。
【0145】
第2データ入力モード(安全なデータ入力モード)が起動された後、かつ、トラスティドコアプロセッサ102が機密データシンボルの入力を要求した後、キーボード周辺の駆動装置は、押されたキーについての情報の代わりに、予め定めておくことのできる交換データ記号/データシンボル(例えば、「*」シンボル)を出力する。なお、この交換データ記号/データシンボルは、データ表示ユニット103のグラフィカルユーザインタフェース上のPIN入力フィールドでユーザに表示される。
【0146】
ユーザが数字キーを押した場合は、この情報は、キー情報の交換がされずに、アプリケーションプロセッサ101へ直接転送される。したがって、アプリケーションプロセッサ101は、有効なキー情報を常に受信する。有効なキー情報を、アプリケーションプロセッサ101は、グラフィカルユーザインタフェースにおいて(すなわち、データ表示ユニット上で)ユーザに表示でき、したがって、ユーザに「ルック・アンド・フィール」という操作感を提供できる。実際に入力されるキーは、メモリまたはメモリの一部に順次に蓄積される。なお、メモリまたはメモリの一部には、トラスティドコアプロセッサ102だけがアクセス可能である。
【0147】
アプリケーションプロセッサ101は、このメモリまたはメモリの一部にアクセスしない。機密情報の入力が完全に終了した後、入力されたデータ連続は、トラスティドコアプロセッサ102によって、検証のために、さらに処理される。
【0148】
こうして、入力されたデータシーケンスは、例えばスマートカード上またはフラッシュメモリ中に格納された対応する値と比較される。
【0149】
この例では、機密データ記号/データシンボルの入力中(好ましくはパスワード入力中PIN入力中)に、アプリケーションプロセッサ101における何らかの割り込みを無効にする必要はない。割り込みは、トラスティドコアプロセッサ102によるパスワードの検証中のみ無効にされたほうがよい。しかしながら、パスワードまたはPINコードの検証は、付加的に備えられている、暗号化によって機密保護されたブロックにおいて行われてもよい。この方法では、パスワードはアプリケーションプロセッサ101によって直接調査されることはない。言い換えれば、アプリケーションプロセッサ101は、暗号化ブロックに格納されているパスワードにアクセスしない。
【0150】
パスワードを、アプリケーションプロセッサ101によって調査できない。言い換えれば、アプリケーションプロセッサ101は、暗号化ブロックに格納されているパスワードにアクセスしない。
【0151】
キーボードの駆動装置またはキーパッドの駆動装置、あるいは、その機能を、直接ハードウェアで、すなわち、特別な電子回路を用いて(例えば、FPGAまたはASICを用いて)実現してもよいし、または、多重プロセッサ環境においてソフトウェアで、コンピュータプログラムを用いて実現してもよいし、または、任意のハイブリッドフォームで(すなわち、ハードウェアおよびソフトウェアにおける任意の割り当て部分で)実現してもよい。駆動装置の機能が、コンピュータプログラムによって実現される場合、このコンピュータプログラムは、トラスティドコアプロセッサ102上で実行され、押されたキーまたは押されたキーのための交換記号についての情報は、プロセッサ間連絡(IPC)を使用してアプリケーションプロセッサ101へ伝送される。
【0152】
以下で、第2データ入力モードを起動するための様々な変形例について説明する。
【0153】
第1変形例として、第2データ入力モードが暗黙的に起動されてもよい。第2データ入力モードが暗黙的に起動される場合は、データ処理装置を第2データ入力モードにするために、ユーザが独自の行動をとる必要はない。トラスティドコアプロセッサ102によって実行されるソフトウェアは、信頼性サービスを含む(あるいは、信頼性サービス自体であってもよい)機能が呼び出された途端に、第2データ入力モードを自動的に起動し、その範囲内で、ユーザによって入力される機密情報が処理される。このことは、トラスティドコアプロセッサ102側で、アプリケーションプロセッサ101からの対応する要求メッセージが受信されることにより、図5のフローチャート500に関連して説明したように、行われてもよい。
【0154】
別の一発展形態では、第2データ入力モードの明示的な起動または無効化を、特別にこの目的のために設けられたデータ入力モード変更キーを用いて行う。この場合、データ入力モードの変更は、ユーザが特別なキーを押すことにより行われる。ここで、このキーは、トラスティドコアプロセッサ102のみの制御下にある。換言すれば、トラスティドコアプロセッサ102のみが、この特別なキーの押圧が示す情報を受信し、処理することができる。この場合、アプリケーションコンピュータプログラムは、対応するグラフィカルユーザインタフェースを用いて、ユーザにパスワードまたはPINコードを入力するよう依頼する。機密データの入力の要請を受けたユーザは、この特別なキーを押し、これにより、第1データ入力モードから第2の安全なデータ入力モードへの移行が行われる。これにしたがって、キーボード(一般的に述べるとデータ入力ユニット)の制御ないし占有は、アプリケーションプロセッサ101からトラスティドコアプロセッサ102に移る。その後、異なる実施形態に関して上で述べたように、トラスティドコアプロセッサ102は、対応するデータ入力モード表示を能動化する。これは、例えば、追加的に設けられた発光ダイオードを用いて、または、データ表示ユニット上に示されたシンボルを用いて行われる。これに引き続いて、ユーザは、安全な環境において、パスワードをデータ処理装置に入力できる。
【0155】
次に、データ処理装置が第2データ入力モード、すなわち、安全なデータ入力モードであることを、ユーザに表示するための様々な可能性ないし例を挙げて説明する。
【0156】
第1の実装例によれば、[4]に記載されているように、トラスティドコアプロセッサ102は、この目的のために特別に設けられた発光ダイオード(または、これに適した別の出力装置)を用い、ユーザに対して、第2の安全なデータ入力モードが起動されていることを表示する。
【0157】
この際、これらの使用される各データ出力装置が、トラスティドコアプロセッサ102によってのみ駆動および制御され、アプリケーションプロセッサ101によっては駆動および制御されないことが好ましい。安全なデータ入力モードであることの表示は、第2データ入力モードが起動されている限り、ユーザに提示され続ける。
【0158】
別の例では、安全なディスプレイ、または、機密保護されたGUIもしくはGUIの機密保護された部分を用いて、データ処理装置が第2データ表示モードであることを表示する。
【0159】
これは以下のように実現される。
・例えば、移動通信端末機器を用いる場合、ユーザは、移動通信端末機器に個人のコード(一連の数字またはパスワード)を入力するように要請される。
・入力されたコードは、外部のフラッシュメモリに、好ましくは符号化された形式で保存され、外部のフラッシュメモリにはフラグが立てられ、その結果、初期化状態であると検知される。機密データを安全に入力する方法が、この時点で初期化され、作動準備が完了する。これらすべては、トラスティドコアプロセッサ102の制御の下で行われる。
・作動準備が完了すれば、上述した[4]に記載された方法と同じ方法が実施されるが、[4]に記載の方法とは以下の点が異なる。ユーザが、機密保護されたトランザクションを行おうとする場合、移動通信端末機器は、自身が安全なデータ入力モードにあることを示す。この安全なデータ入力モードでは、発光ダイオードが能動化されるのではなく、ユーザに対してユーザ固有の個人的なコードないしユーザ固有のパスワードが、データ表示ユニット上で表示される。
・この後、ユーザは、機密保護されたトランザクションを行うことができる。
【0160】
さらに別の発展形態では、信頼できるディスプレイ(トラスティド・ディスプレイ)を用い、データ処理装置が安全なデータ入力モードであることを示す。
【0161】
この実施形態では、信頼できるアプリケーションデータを表示するために、および、安全なデータ入力モードが起動されているか否かを表示するために、データ表示ユニットが1つだけ設けられている。
【0162】
安全なデータ入力モードが起動されると、データ表示ユニットの1つの所定のプログラム可能な部分領域(好ましくは、GUIの1つの所定のプログラム可能な部分領域)またはデータ表示ユニット全体(好ましくは、GUI全体)のみが、トラスティドコアプロセッサ102によってのみ制御可能になる。すなわち、トラスティドコアプロセッサ102のみが、上記の部分領域または全体部分にアクセス可能になる。アプリケーションプロセッサ101は、データ表示ユニットもしくはGUI中、または、データ表示ユニットもしくはGUIの各選択された部分領域中に表示された情報の内容にアクセスする権利がない。これにより、アプリケーションプロセッサ101上にインストールされた、損害を与えるコンピュータプログラム(例えば、トロイの木馬プログラム)が、データ表示ユニット上ないしはGUI上に表示された機密情報を読んだり、操作したりすることを防ぐことができる。アプリケーションプロセッサ101が、上記の領域へアクセスすることを禁止するために、アプリケーションプロセッサ101上で実行されたコンピュータプログラムコードが、例えば、ユーザへのある種の入力要請を行って、データ表示ユニットまたはデータ表示ユニットもしくはGUIの対応する機密保護された部分領域中にあるデータを上書するために利用されないようにする。
【0163】
これは以下のように実現することができる。
・移動通信端末機器を用いる場合、ユーザは、データ入力ユニットを用いて、移動通信端末機器に個人のコード(例えば、一連の数字またはパスワード)を入力するように要請される。これに加えて、任意選択的ではあるが、デジタル印章を表すシンボルを選択するように要請され、このデジタル印章を用いて、第2データ入力モード(トラスティド入力モード)であることがユーザに表示される。ユーザが要請された入力を行うと、この入力は外部のフラッシュメモリに、好ましくは符号化された形式で保存され、外部のフラッシュメモリには、フラグが立てられる、これにより初期化状態であることが表示される。これにより、機密データを安全に入力するための工程が、初期化され、作動準備が完了する。これらすべては、トラスティドコアプロセッサ102の制御の下で行われる。アプリケーションプロセッサ101は、これらのデータに対してアクセスすることはできない。
・第2データ入力モードが能動化されれば、[4]に記載された方法と同じ方法が実施されるが、[4]に記載の方法とは以下の点が異なる。
【0164】
ユーザが、機密保護されたトランザクションを行おうとする場合、トラスティドコアプロセッサ102は、自身が機密保護された状態であることを示す。このセキュリティされた状態では、ユーザの個人的なコードないしユーザの個人的なパスワードが、ユーザに対して表示される。または、ユーザが選択したデジタル印章で示されるシンボルが、データ表示ユニットの領域中で表示される。この場合、データ表示ユニットは、トラスティドコアプロセッサ102のみにより駆動される、換言すれば、データ表示ユニットは、トラスティドコアプロセッサ102のみによりアクセス可能である。
【0165】
ユーザに対して、信頼できる領域の各領域を、データ表示ユニットまたはグラフィカルユーザインタフェース上に表示するために、シンボルまたは個人コードを、信頼できる領域の境界を示すパターンとして使用してもよいし、または、データ表示ユニットまたはグラフィカルユーザインタフェースの背景の対応して変更された色または対応して変更された変更パターンが機密保護された領域にあってもよい。[5]では、この表示は、例えば信頼できる絵を用いて実現されている。
【0166】
あるいは、カーソル(マスキング)が使用されてもよい。カーソルの絵は、この発展形態では、トラスティドコアプロセッサによってのみプログラミングされ、または、駆動される。この絵は、データ表示ユニットの範囲内またはグラフィカルユーザインタフェースの範囲内のカーソルの位置によって決まり、かつ、位置が信頼できる領域にあるかないないかによって決まる。カーソルが信頼できる領域(すなわち、機密保護された領域)にあれば、カーソルは、機密保護されたデータ入力モードを表示するためにユーザが選択した表示形状を維持し、カーソルが機密保護された領域外にあれば、通常データ入力モードを示すために使用されるデフォルトカーソルがユーザに対して表示される。
【0167】
第2データ入力モードでは、ユーザによって行われるデータの入力が、トラスティドコアプロセッサ102のみによって処理される。
【0168】
他の一発展形態では、信頼できる絵を表す画素カードを、データ表示ユニット上に表示してもよいし、または、指示を提供(すなわち、ユーザによって入力されるデータが、機密保護されていないデータ入力モードで入力され、それゆえアプリケーションプロセッサ101へ供給されるのか、それとも、データが機密保護されたデータ入力モードで入力され、トラスティドコアプロセッサ102だけに供給されるのかに応じて、ユーザに対して絵をそれぞれ異なるように表示)してもよい。
【0169】
表示形状に応じて各データ入力モードを一義的に表すプログラミング可能なグラフィカルユーザインタフェース(マスク)を使用する場合は、データ表示ユニットの範囲内に、データ表示用の機密保護された領域と機密保護されていない領域とを設けることが可能である。
【0170】
したがって、ユーザは、データ処理装置に機密データを入力することにより、機密保護された取引を行うことができ、または、ディスプレイ(一般的には、データ表示ユニット)上に表示された情報を信用できる、ということが確実となる。
本特許明細書の出典は、以下の出版物である。
[1] Tom R. Halfhill, ARM Dons Armor Microprocessor Report, 25. August 2003
[2] TPM Main Part 1 Design Principals, Specification Version 1.2, Revision 62, 2. Oktober 2003
[3] R. Meinschein, Trusted Computing Group Helping Intel Secure the PC, Technology Intel Magazine, Januar 2004-12-01
[4] EP 1 329 787 A2
[5] EP 1 056 014 A1
[6] US 2002/0068627 A1
[7] WO 02/100016 A1
[8] WO 99/61989 A1
[9] US 2003/110402 A1
[10] US 5,920,730
【符号の説明】
【0171】
100 データ処理装置
101 アプリケーションプロセッサ
102 トラスティドコアプロセッサ
103 キーボード
104 データ
105 キーボード周辺ブロック
106 システムバス
107 集積システムコントローラ
200 移動通信端末機器
201 筐体
202 アンテナ
203 データ表示ユニット
204 スピーカ
205 マイク
206 キーボード
207 番号キー
208 スイッチオンキー
209 スイッチオフキー
210 特別機能キー
211 SIMカード
300 移動通信端末機器
301 SIMカード
302 マイクロプロセッサSIMカード
303 メモリSIMカード
400 データ処理構造
401 パーソナルコンピュータ
402 キーボード
403 コンピュータマウス
404 スクリーン
405 チップカード読み込み装置
406 チップカード
407 インタフェース
408 インタフェース
409 インタフェース
410 インタフェース
500 データ処理構造
501 クライアントコンピュータ
502 クライアントコンピュータ
503 クライアントコンピュータ
504 クライアントコンピュータ
505 クライアントコンピュータ
506 キーボード
507 キーボード
508 キーボード
509 キーボード
510 キーボード
511 通信網
512 サーバコンピュータ
600 メッセージフローチャート
601 署名要求メッセージ
602 署名要求
603 電子データファイルの表示
604 キー識別の表示
605 不揮発性メモリ
606 秘密キープロファイル
607 方法の工程
608 第1データ入力モードの表示
609 第1データ入力モード変更要求メッセージ
610 方法の工程
611 確認メッセージ
612 方法の工程
613 方法の工程
614 第2データ入力モードの表示
614 方法の工程
615 方法の工程
616 秘密キー
617 方法の工程
618 方法の工程
619 方法の工程
620 第2データ入力モード変更メッセージ
621 方法の工程
622 第2確認メッセージ
623 デジタル署名
700 フローチャート
701 方法の工程
702 方法の工程
703 方法の工程
704 方法の工程
705 試験工程
706 方法の工程
707 方法の工程
708 方法の工程
709 方法の工程
710 方法の工程
711 方法の工程
712 方法の工程
713 方法の工程
714 方法の工程
800 データ処理装置
801 補正されたキーボード周辺ブロック
802 スキャニングおよびデバウンシングロジック
803 スイッチングユニット
804 スキャニング結果レジスタ
805 コンピュータバスインタフェース
806 制御レジスタ
807 選択信号
【技術分野】
【0001】
本発明は、データ処理装置、通信端末機器、および、データ処理装置を用いたデータ処理方法に関するものである。
【背景技術】
【0002】
固定電話機器および携帯電話機器の分野において、特にデータ伝送およびデータ処理(一般的には、2つ以上の通信端末機器間のデータ通信)に関するセキュリティは、ますます重要性を増している。
【0003】
また、通信システムのユーザにとって、ユーザのプライバシーの保護および個人データの守秘を脅かさずにユーザの個人データを保護することが、ますます重要になっている。電子取引についても、データと、ビジネスの資産の構成要素と、これに関する機密情報とを確実に保護し、特に、リモートアクセス(Remote Access)を非常に確実に形成するとともに、電子ビジネストランザクションを確実に実行できるようすることが、重要である。
【0004】
コンピュータと、コンピュータ間の通信とへの多くの攻撃は、特にいわゆるオープンオペレーティングシステムに内在する弱点に基づいているか、あるいは、上記弱点を利用したものである。特に、上記攻撃は、ダウンロードされたコンピュータプログラム(ソフトウェア)をオープンオペレーティングシステムがインストールされた各コンピュータにおいて実行するという、オープンオペレーティングシステムの性能に基づいているか、あるいは、上記性能を利用したものである。これに関して、無線インタフェースを有し、オープンオペレーティングシステム(例えば、リナックス(Linux:トルヴアルドズ リヌスの登録商標)オペレーティングシステム、ユニックス(UNIX:エックス/オープン・カンパニー・リミテッドの登録商標)オペレーティングシステム、シンビアン(SYMBIAN:トルヴアルドズ リヌスの登録商標)オペレーティングシステム、ウインドウズ(WINDOWS:マイクロソフト コーポレイションの登録商標)オペレーティングシステム、または、ジャバ(JAVA:サン・マイクロシステムズ・インコーポレーテッドの登録商標)プラットフォーム)をインストールしたコンピュータ、を備えた機器は、特に危険である。
【0005】
例えば、コンピュータウイルス、コンピュータワーム、または、トロイの木馬といった、悪意のある、つまり損害を与えるコンピュータプログラム(以下では、損害を与えるコンピュータプログラムとも記載する)は、通信網において非常に早く伝播する能力を有しているので、このような脅威に対する適切な対策をとることが非常に重要である。
【0006】
1人または複数のユーザ間で金融電子トランザクションが行われる多くのアプリケーションコンピュータプログラムでは、通常、1人のユーザからその認証データ(例えば、いわゆるPINコード(個人識別番号コード)、言い換えるとユーザを一義的に識別する一連の数字)を照会する。この典型的な例は、携帯電話などの移動通信端末機器(例えば、GSM携帯電話またはUMTS携帯電話)である。この機器では、ユーザがPINコードを通信端末機器に入力する。また、この機器では、入力されたコードをスマートカード(加入者識別モジュール、SIMと呼ばれる)に格納された値と比較し、入力されたPINコードが格納されたコードと一致すると、ユーザが初めに移動通信端末機器のファンクションにアクセスする。他のアプリケーションコンピュータプログラムでは、秘密暗号鍵を用いて暗号演算を実行するために、いわゆるWIM(無線識別モジュール)を備える必要がある。
【0007】
プロセッサ(つまりコンピュータ)においてセキュリティ関連のコンピュータプログラムを実行するときには常に、プラットフォーム上では(つまり、プロセッサによっては)、損害を与えるコンピュータプログラム、例えば、認証手順において(一般的には供給されたセキュリティサービスにおいて)データを傍受するコンピュータプログラムが実行されないようにする、ということを確実にすることが重要である。そのようにできない場合には、損害を与えるコンピュータプログラムは、傍受した認証データを、意図していない無許可の電子金融トランザクションにおいて使用可能となってしまい、認証データを用いたトランザクションに対して唯一権利のある本来のユーザは、このことに気づかない。
【0008】
一般的に、上記問題は、
複数のプロセッサを備え、プロセッサのうちの少なくとも1つにオープンオペレーティングシステムがインストールされているシステムにおいて、どのように、安全な認証手順が得られるのか、と表現することができる。
【0009】
このために、従来技術では、様々なアプローチが知られている。
【0010】
一方では、認証を保護するために、厳格なソフトウェアインストールセキュリティソリューションを提供することにより、損害を与えるコンピュータプログラムがダウンロードされる可能性を低くすることができる。このソリューションは、通常、いわゆるコンピュータプログラム証明書を利用することにより、行われる。例えば、デジタル署名された正確なコンピュータプログラム(アプリケーションコンピュータプログラム)のみが、システムにインストールされ、各プロセッサによって実行される。つまり、このシステムは、各コンピュータプログラムを介して、デジタル署名が正しいことを証明し、コンピュータプログラムに対応したソフトウェア証明書の有効性を検査できる必要がある。この方法の不都合な点は、特に、用いるセキュリティモデルが複雑である点にある。証明プロセスには、ユーザに認識されない複数の様々なエンティティが関係している。これにより、結局は、各ソフトウェア証明書および各コンピュータプログラムを信頼するかしないかの決定に関して、ユーザに過大な要求をすることになる。
【0011】
他のアプローチでは、損害を与えるコンピュータプログラムからコンピュータを保護するために、いわゆるアンチウイルスソフトウェアが用いられる。つまり、損害を与えるコンピュータプログラムを認識し、それらを駆除するための適切な対策を提供するコンピュータプログラムを利用する。この構想では、システムにすでにダウンロードされた、損害を与えるコンピュータプログラムを認識し、それらを消去することを試みる。このアプローチの特に不都合な点は、知られている脅威、すなわち、知られている、損害を与えるコンピュータプログラムにしか対処できないことである。アンチウイルスコンピュータプログラムにまだ知られていない、損害を与えるコンピュータプログラムについては、アンチウイルスコンピュータプログラムがインストールされているシステムは、アンチウイルスコンピュータプログラムが更新されるまで、損害を与えるコンピュータプログラムによる危険から保護されない。このアンチウイルスコンピュータには、例えば損害を与えるコンピュータプログラムの新たな署名が保持されており、したがって、この損害を与えるコンピュータプログラムが認識され、次に、それに対して適切な措置が講じられる。
【0012】
つまり、上記2つのアプローチでは、コンピュータにダウンロードされたソフトウェアがコンピュータシステムのセキュリティを確実に侵さないようにすることは、困難である。
【0013】
[1]から、ARMのマイクロプロセッサのARMV6アーキテクチャとして、「トラストゾーン」と呼ばれるセキュリティの拡張が知られている。ここでは、[4]と同様に、単一のプロセッサが、セキュリティとは関係のない動作モードから、セキュリティ動作モードに移行することが記載されている。セキュリティ動作モードでは、データ(例えば、パスワード)を安全に入力、処理、および、表示できる。[1]および[4]では、セキュリティ動作モードに移行する、または、それから出るために、複数の命令が必要である。したがって、各コンピュータシステムのデータ処理速度が低下してしまう。さらに、これらのアプローチでは、マイクロプロセッサにおける安全でない割り込みを無効にするなどの特別な対抗措置を講じる必要がある。これにより、セキュリティ関連のデータを入力または処理する間は、セキュリティ動作モードを出ることができなくなる。パスワードまたは他のセキュリティ関連のデータを入力するために、アプリケーションコンピュータプログラムは、押されたキーを認識する、または、キーにアクセスできるようにする、または、入力されたデータの表示を操作できるようにする、ということを確実に行う必要がある。これにより、トロイの木馬の場合がそうであるように、ユーザに、そのパスワードを入力させることができるようになる。このため、データ入力またはデータ出力を安全に行うためのセキュリティ動作モードにおいて、データ入力ユニットおよびデータ表示ユニットをセキュリティ動作モードで完全に駆動する必要がある。[1]および[4]では、安全でないデータとセキュリティ関連のデータとが、同じ表示ユニット(特に同じ画面)において混合できないようになっており、これにより、アプリケーションコンピュータプログラムでは、セキュリティ関連のデータをコンピュータシステムに入力する際に、「ルック・アンド・フィール」という操作感をユーザに伝えることが、入力されるデータの表示範囲内に限って可能となる。さらに、これらのアプローチでは、マイクロプロセッサに適した割り込み操作の開発が、非常に困難で技術的にコストがかかるが可能である。これにより、リアルタイムに処理されることが重要なタスクが、それらの実行時に、ユーザの側からの例えばデータ入力によって遮断されない。それゆえに、単一のセキュリティ動作モードを供給するだけでは不十分であり、データをコンピュータシステムに入力および出力するための周辺機器の機能を改善する必要がある。
【0014】
パーソナルコンピュータのうちの1つにおいて自由度および柔軟性を維持しながらパーソナルコンピュータを保護するために、「トラスティドコンピューティンググループ(Trusted Computing Group;TCG)」が作られた。トラスティドコンピューティンググループは、全セキュリティソリューションの重要な範囲の仕様(特に、[2]に記載されているように、「トラスティドプラットフォームモジュール(Trusted Platform Module;TPM)」と呼ばれるハードウェアコンピュータチップ)に焦点を当てている。トラスティドプラットフォームモジュールは、暗号の観点から情報を格納するための安全な場所を有し、さらに、機密保護された環境において実行される一セットの暗号演算を有し、さらに、完全性のメトリクスを格納および報告する、ハードウェアデバイスである。トラスティドプラットフォームモジュールは、コンピュータシステムの全セキュリティソリューションのほんの一部である。現在の信頼できるキーボード、および、(セキュリティ特性を改善したプロセッサとそれに相当するチップセットとのような)信頼できるグラフィック表示ユニットについては、ここでは取り上げない。さらに、トラスティドコンピューティンググループがパーソナルコンピュータのトラスティドプラットフォームモジュールの仕様に焦点をあてていることが分かる。しかし、近年、トラスティドコンピューティンググループは、例えば[3]に見られるように、移動通信端末機器、ハンドヘルドコンピュータ、および、サーバコンピュータのための、トラスティドプラットフォームモジュールを規定し始めている。
【0015】
[4]から、さらに、コンピュータがセキュリティ動作モード中であるということをコンピュータシステムのユーザに通知する、セキュリティ動作モードの表示装置が知られている。しかし、そのセキュリティ表示装置は発光ダイオードであるため、ユーザが見落としてしまう可能性がある。
【0016】
[5]には、信用できるユーザインタフェースを提供するためのシステムについて記載されている。このシステムでは、信用できるデータ表示プロセッサが備えられている。ここでは、この信用できるプロセッサおよび信用できるメモリは、物理的におよび機能的に、本来のコンピュータシステムのプロセッサおよびメモリとは区別される。
【0017】
さらに、[6]のように、セキュリティコントローラがゲームコンピュータプログラムを実行し、データ表示命令のストリームをデータ表示エンジンに伝送する、コンピュータを保護するゲーム操作台が知られている。このデータ表示エンジンは、その観点から、ゲームのビデオ表示を、ビデオ出力信号を用いて生成する。ビデオ出力信号は、セキュリティコントローラ内のビデオマルチプレクサに転送される。ビデオマルチプレクサは、出力選択機能の制御により、ゲームビデオ出力と監査操作モードビデオ出力とのうちのどちらかを選択する。。出力選択機能は、セキュリティコントローラによって制御される。しかし、[6]では、データ表示(つまり、ユーザへビデオ出力)する場合に、ビデオ出力を様々な領域に分配することは不可能である。なお、分配されたデータストリームは、様々なソースによって制御される。
【0018】
[7]は、グラフィカルユーザインタフェースを用いて、キーボードによってデータを安全に入力するための装置について記載している。ここでは、ユーザは、コンピュータマウス、ディスプレイ、または、これに適した他の装置を用いて、カーソルを動かし、グラフィカルユーザインタフェース表示装置に、記号およびシンボルを選択することにより、セキュリティコードを入力する。それぞれ新しい選択を行った後、グラフィカルユーザインタフェースのシンボルおよび記号がディスプレイに新たに配置される。これにより、セキュリティコードを入力する際に、ユーザが画面のカーソルの動きを把握する場合でさえ、セキュリティコードの入力を復元できる。
【0019】
[8]に記載されたシステムでは、信用できるデータ入力ユニットがコプロセッサに連結されており、セキュリティ操作モードを表示するために、信用できないキーボードがセキュリティ情報表示装置を備えている。
【0020】
[9]は、パスワードを移動通信端末機器に入力するための方法を記載している。この方法では、数えられる数の特定の記号キーの指示に相当する(パスワード記号表の中の)特定の記号を探す。
【0021】
[10]は、チップカードインタフェースと、キーボードコントローラと、チップカードコントローラとを備えた、コンピュータキーボード配列について記載している。キーボードによって生成された信号は、コントローラから、パーソナルコンピュータまたはチップカードインタフェースに転送される。
【発明の概要】
【発明が解決しようとする課題】
【0022】
本発明の目的は、データ処理装置にデータをセキュリティを確保した状態で入力することである。
【課題を解決するための手段】
【0023】
本発明の目的は、独立請求項に記載された特徴を有するデータ処理装置、通信端末機器、および、データ処理装置を用いたデータ処理方法により達成される。
【0024】
また、従属請求項に、本発明の好適な発展形態を示す。本発明の上記発展形態は、データ処理装置、通信端末機器、およびデータ処理装置を用いたデータ処理の方法に関する。
【0025】
本発明のデータ処理装置は、データ処理装置にデータを入力するためのデータ入力ユニットを有する。さらに、データ処理装置には、第1プロセッサと、第2プロセッサとが備えられている。第1プロセッサは、第1データ入力モード(好ましくは、セキュリティ関連のデータではないデータの入力モード)において、データ入力ユニットに入力されたデータの受信および処理を行うように、設計されている。第2プロセッサは、セキュリティ関連のデータを入力する第2データ入力モードにおいて、データ入力ユニットに入力されたデータの受信および処理を行うように、設計されている。
【0026】
また、前記通信端末機器は、上述のデータ処理装置を有する。
【0027】
さらに、データ処理の方法では、データ入力ユニットを用いて、データをデータ処理装置に入力する。第1データ入力モード(好ましくは、セキュリティ関連のデータではないデータの入力モード)では、第1プロセッサが、データ入力ユニットに入力されたデータの受信および処理を行う。セキュリティ関連のデータを入力する第2データ入力モードでは、第2プロセッサが、データ入力ユニットに入力されたデータの受信および処理を行う。
【0028】
上述の従来技術の処理手順とは異なり、本発明は、オープンオペレーティングシステム環境において、機密入力データを傍受し得るような損害を与えるコンピュータプログラムまたは損害を与えるプログラムコンポーネントを、認識することも計算機システムから除去することもしない。
【0029】
従来技術とは異なり、本願の一つの発明は、機密データ(つまり慎重を期する内容のデータ)を、データ処理装置内の信頼できる部分を用いて(好ましくは第2プロセッサを用いて)、システム中すなわちデータ処理装置中に入力するように制御する点であることは明確である。第2プロセッサではトラスティドコンピュータプログラムのみが実行されている、この第2プロセッサは、「トラスティドコア」プロセッサとも呼ばれる。この第2プロセッサが存在するがゆえに、本発明の実装では、確実に、機密データを取り扱いかつ処理するために導入されたトラスティドコンピュータプログラムのみが、すなわち、信頼できるソフトウェアのみが、第2プロセッサ上で実行可能になる。
【0030】
本発明のアプローチの特徴は、ソフトウェア証明書の一般的な使用方法とは異なり、特に、コンピュータプログラムの一部分のみが、セキュリティに関連していて、対応する証明書またはその他のセキュリティ方策により保護される必要がある、ということが認識さた点である。例えば、本発明のアプローチは、第2プロセッサが、この第2プロセッサのみがアクセス可能であるメモリ中に制限された少ない数のコンピュータプログラムを保存しておき、これらのコンピュータプログラムを実行し、コンピュータプログラムによって、以下に詳細に説明するようなセキュリティ関連のサービスを実現すなわち提供する。したがって、証明済でかつ信頼できるデータ完全性を有するソフトウェアのみが第2プロセッサにより実行される、ということが保証される。
【0031】
本願の一つの発明では、PINコードあるいはパスワードなどのセキュリティ関連のデータ(すなわち、機密データ)を安全に入力するための信頼できる機構が、システムのユーザに提供される。この機構がオープンオペレーティングシステム(すなわち、オープンなコンピュータ環境)において傍受から保護されることは明確である。データ処理装置の動作を、安全な動作モード(第2のセキュリティ関連のデータ入力モード)と、安全ではない動作モード(第1のデータ入力モード)とに規定し、これらを提供するための手段が設けられている。
【0032】
データ処理装置は、以下の要素を有することが好ましい。
・例えばキーボードなどのデータ入力ユニット。このデータ入力ユニットは、通常動作モード(第1データ入力モード)では、好ましくはアプリケーションプロセッサとして設けられている第1プロセッサに割り当てられており、一時的に、データ処理装置内の第2プロセッサ(トラスティドコア)に割り当てられる。
・あるいは、通常動作モードでは、データ入力ユニットは、入力されたシンボル(例えば、押されたキーに割り当てられたデータシンボル)を、直接アプリケーションプロセッサに渡してもよい。第2プロセッサがデータ入力の受信をするようにとの問い合わせに応じて起動された後は、データ入力ユニットは、データが入力されてもこのデータを通常動作モードの場合のようにアプリケーションプロセッサに直接は伝送せず、好ましくは、各キーが押されたことに応答して、すなわち、各データシンボルが入力されたことに応答して、予め設定可能な記号/データシンボル(例えば、「*」シンボル)を、実際に入力されたデータシンボルないしはデータ記号の代わりに、アプリケーションプロセッサに伝送する。アプリケーションプロセッサは、この予め設定可能な記号/データシンボルを、例えばアプリケーションプロセッサおよび/または第2プロセッサがグラフィカルユーザインタフェース(GUI)上に準備した入力マスク内のPIN入力領域に出力する。この場合に、予め設定可能な制御キー(例えば、消去キー)の機能は、さらに、アプリケーションプロセッサへ移行されることが好ましい。入力されたデータ、すなわち、より正確には、入力された各記号ないしデータシンボルは、メモリまたはメモリの一部分に蓄積すなわち収集される。このメモリないしメモリの一部分に対しては、第2プロセッサのみが書き込みおよび読み込み可能である。すなわち、第2プロセッサのみが、このメモリないしメモリの一部分に対してアクセス権を有する。機密データの入力終了後に、入力された一連のデータは、第2プロセッサにより処理され、例えば、比較表中の1つまたは複数の対応する値と比較される。上記1つまたは複数の値は、例えば、スマートカードまたはフラッシュメモリに、プレーンテキストでまたは符号化されて保存可能である。比較データが符号化された形式で保存されている場合には、第2プロセッサは、対応する復号化に適した暗号鍵と復号化方法とにアクセス権を有する。この上述のプログラム工程の間は、マイクロプロセッサの通常の割り込みモードは無効にされ、その結果、機密データのデータ入力のためのセキュリティサービスは中断されず、これにより、データ入力が「カプセル化」されることは明らかである。一般に、このように、提供される各セキュリティサービスは「カプセル化」されている。
【0033】
・第2プロセッサは、データ処理装置が第2データ入力モードであることを、データ表示ユニット上に表示することが好ましい。この表示は、例えば、視覚的に(好ましくは、発光ダイオードを用いて、キーの背景部分を光らせるなど、または、データ表示ユニット上で示されるシンボル(印章)を用いて)、または、音声情報の提示(好ましくは、警告信号により、または、第2データ入力モードであることを明らかに特定する一連の音)により行われる。この際に、データ表示ユニット(グラフィック形式、または、音声情報の出力)の制御は、確実に第2プロセッサのみにより行われ、第1プロセッサすなわちアプリケーションプロセッサによっては行われないようにされている。これにより、ユーザは、データ処理装置が第2データ入力モード中であり、したがってユーザは疑うことなく信頼できるデータまたは機密データの入力を行うことができるとの情報を、単純で信頼できる方法で得ることができる。
【0034】
データ入力ユニットは、
・キーボード
・データ通信インタフェース
・タッチパネル
・接触感知型の表示ユニット(タッチスクリーン)
・コンピュータマウス
・音声認識ユニットを含むマイク(この音声認識ユニットは、例えば、発話者に依存する音声認識を行うユニットおよび/または発話者に依存しない音声認識を行うユニットである)
のいずれか1つである。
【0035】
このことは、本発明がいかなる種類のデータ入力にも、すなわち、データ処理装置への直接入力、あるいは、通信網(固定通信網または移動通信網)を介しての入力にも適していることを意味している。セキュリティ関連のデータの入力を保護せねばならなくなるや否や、データ処理装置は、入力された機密データを第2プロセッサで受信および処理するために切り換わる。この第2プロセッサは、入力されたデータを信頼を持って処理するために、適切に設計されており機密保護されている。
【0036】
好ましくは、第1プロセッサは、オープンオペレーティングシステム上でアプリケーションコンピュータプログラムを実行するように設計されたアプリケーションプロセッサである。ここで、上記オープンオペレーティングシステムは、好ましくは、オペレーティングシステム外との通信インタフェースを少なくとも1つ有するオペレーティングシステムである。これゆえに、このオペレーティングシステムは、例えば、コンピュータウイルス、トロイの木馬、コンピュータワーム、または、一般的に述べると、損害を与えるコンピュータプログラムの外からの攻撃により、損害を受ける可能性がある。
【0037】
オープンオペレーティングシステムの一例としては、ウインドウズオペレーティングシステム、リナックスオペレーティングシステム、ユニックスオペレーティングシステム、シンビアンオペレーティングシステム、または、ジャバプラットフォームが挙げられる。
【0038】
本発明の別の一発展形態によれば、第2プロセッサは、いわゆるトラスティドコアプロセッサとして設計されている。これにより、第2プロセッサは、1つまたは複数のトラスティドコンピュータプログラムのみを実行可能であるように設計されていることは明確である。このための実現方法としては、例えば、製造者側で、第2プロセッサのみによりアクセス可能なメモリ中に、所定の数のセキュリティ関連サービスを実現する方法手順を、コンピュータプログラムの形式で、所定の量保存しておくことが挙げられる。あるいは、第2プロセッサが、実現される各セキュリティサービスに適用されるソフトウェア証明書、すなわち、各セキュリティサービスを実現するコンピュータプログラムに割り当てられるソフトウェア証明書を、各プログラム実行の前に検査し、ソフトウェア証明書の検査に合格した場合のみ、プログラムが第2プロセッサ上で実行されるようにする。
【0039】
トラスティドコンピュータプログラムとは、完全性が保証されており(好ましくは、暗号化により完全性が保証されており)、特に、少なくとも1つのセキュリティ関連のサービス(好ましくは、暗号化によるセキュリティサービス)を行うコンピュータプログラムであることが好ましい。
【0040】
第2プロセッサは、データ処理装置を通信端末機器(特に、移動通信端末機器)として構成した場合に、特に、1つまたは複数の各セキュリティサービスを実施するように設計されたデジタル信号プロセッサである。
【0041】
好ましくは、第2プロセッサはマイクロコントローラであり、例えばこの場合に、データ処理装置中に複数のマイクロコントローラがあり、必要に応じて追加のデジタル信号プロセッサが設けられている。すなわち、例えば、アプリケーション用の1つのマイクロコントローラと、信頼できるサービス(トラスティドサービス)用の1つのマイクロコントローラと、モデムサービス用の1つのマイクロコントローラと、リアルタイムであることが重要なサービス用のデジタル信号プロセッサとが、特にデジタル信号処理用に設けられている。
【0042】
これに関連して、信頼できる、すなわち「トラスティド」な第2プロセッサの動作が、(信頼できない、すなわち「アントラスティド」な)第1プロセッサによって妨害されてはならない、ということを確実にしたほうがよい。このことは、例えば、各プロセッサ用の専用のメインメモリを用いることにより、または、1つのメインメモリを共通で用いた場合には、「トラスティド」な第2プロセッサにより制御され、所定のアドレス領域に対する明示的なアクセス権を予め設定できるメモリ制御装置を設けることにより達成される。
【0043】
好ましくは、暗号を用いたセキュリティサービスは、少なくとも1つの暗号鍵を用いて行われる。例えば、少なくとも1つの秘密(プライベート)暗号鍵および/または少なくとも1つの公開暗号鍵を用いて行われる。
【0044】
換言すれば、暗号を用いたセキュリティサービスは、各セキュリティサービスにおいて対称暗号鍵機構および非対称暗号鍵機構を用いて、実現される。
【0045】
暗号を用いたセキュリティサービスは、
・デジタル署名
・デジタル印章
・認証
・データ符号化
・ログイン
・アクセス制御
・データ通信内のトラフィック分析の阻止
・ハッシュ法
の少なくともいずれか1つである。
【0046】
基本的には、暗号を用いた各セキュリティサービスの実施、特に、ユーザによるデータ入力ユニットを介したデータ処理装置へのセキュリティ関連情報すなわち機密情報の入力は、第2プロセッサにより実行されるコンピュータプログラムとして実現される。
【0047】
このようにして、特に第2プロセッサの動作がプログラミング可能なことにより、暗号利用に関してデータ処理装置の拡張性を非常に柔軟に保ちつつ、ユーザのデータ入力の安全性を確保することができる。
【0048】
本発明の別の発展形態によれば、入力されたデータの少なくとも1部分をユーザに対して表示するためのデータ表示ユニットが備えられている。
【0049】
このようにして、セキュリティ関連データまたはセキュリティ関連データではないデータを、データ処理装置に入力する際に、特に、ユーザの操作感「ルック・アンド・フィール(見た目と感じ)」が得られる。
【0050】
データ処理装置は、第2データ入力モードでは、第2プロセッサが、入力されたデータを受信し、入力されたデータとは異なるデータであって好ましくは入力されたデータのデータシンボルと等しい数のデータシンボルを有するデータを、第1プロセッサおよび/またはデータ表示ユニットに伝送するように設計されていることが好ましい。このようにして、有用性はさらに高められ、特にユーザの操作感「ルック・アンド・フィール」はさらに改善されるが、この理由は、ユーザが、行った入力、例えばキーを押す毎に、実際に行った入力すなわち例えばどのキーを実際に押したかについては表示がなされないものの、行った入力についての領収書すなわち入力がうまくいったとの確認がユーザに示されるからである。
【0051】
第2プロセッサから、第1プロセッサおよび/またはデータ表示ユニットに伝送されるデータが、一連の所定のデータシンボルであり、特に、一連のある1つの所定のデータシンボルであり、データシンボルの数は入力されるデータのデータシンボルの数に等しいように、データ処理装置が設計されることが好ましい。
【0052】
さらに、第2プロセッサは、例えば、第2データ入力モードでは、第1プロセッサおよび/またはデータ表示ユニットに、セキュリティモード表示情報を伝送するように設計されていてもよい。このようにして、単純な方法で、信頼される形で、ユーザが危険性なくデータ入力ユニットを介してデータ処理装置に機密情報を入力できる、という情報がユーザに対して提供される。
【0053】
セキュリティモード表示情報は、視覚情報および/または音声情報であることが好ましい。
【0054】
さらに例えば、第1プロセッサから第2プロセッサへ、または、第2プロセッサから第1プロセッサへ、データ入力ユニットの制御が移行される際に、第1プロセッサと第2プロセッサとの間での通信を行うためのプロセッサ間連絡ユニットが設けられている。換言すれば、本発明のこの発展形態によれば、データ入力ユニットの制御の移行ないし入力されたデータの受信および処理の移行は、2つのプロセッサ間のプロセッサ間連絡により行われる。
【0055】
特に、この実現方法の利点は、2つのプロセッサ間の通信用にそれ自体は公知の機構を用い、権利の移行が、安全なデータ入力の枠内で、単純で安価な方法で行われる点である。
【0056】
さらに、好ましくはコンピュータプログラムとして設計されているデータ入力ユニットの駆動ユニットが備えられていてもよい。上記データ入力ユニットの駆動ユニットは、第1データ入力モードで入力されたデータを第1プロセッサに伝送し、第2データ入力モードで入力されたデータを第2プロセッサに伝送するように設計される。
【0057】
したがって、本発明のこの発展形態により、データ入力ユニットの駆動ユニットは、一種の切替ポイントのようなものとなる。このユニット中で、入力されたデータが機密性のあるものであり、それゆえに第2プロセッサに伝送されるべきか、または、入力されたデータがセキュリティ関連データではなく、それゆえにこのデータが直接、好ましくはアプリケーションプロセッサである第1プロセッサに伝送されるか否かが判断される。
【0058】
データ入力ユニットの駆動ユニットの設計において、第2データ入力モードで入力されたデータとは異なるデータであって、好ましくは第2データ入力モードで入力されたデータのデータシンボルの数と等しい数のデータシンボルを有するデータが、第1プロセッサおよび/またはデータ表示ユニットに伝送されるようにしてもよい。
【0059】
本発明のこの発展形態によれば、好ましくは第1プロセッサおよび/またはデータ表示ユニットに伝送されるデータは、一連の所定のデータシンボルであり、特に一連のすなわち複数の所定のデータシンボルであり、データシンボルの数は、入力されたデータのデータシンボルの数に等しい。
【0060】
本発明の別の一発展形態によれば、第2プロセッサは、チップカードプロセッサとして設計されている。換言すれば、第2プロセッサはチップカード上に実現されており、このチップカードは、例えばパーソナルコンピュータまたは通信装置に接続されたチップカード読み取り機により、第1プロセッサおよびデータ入力ユニットと通信接続される。このようにして、一般的なパーソナルコンピュータにおいてさえも、特に関連するセキュリティアーキテクチャで今日しばしば見受けられるチップカード読み取り機(チップカード上のプロセッサを利用したもの)を用いることにより、安全なデータ入力が行われる。これにより、例えばパーソナルコンピュータへのデータ入力も確実に安全に行われる。
【0061】
特に、データ処理装置が通信端末機器、特に移動通信端末機器として設計されている場合に、本発明の発展形態では、第2プロセッサは、通信端末機器、特に移動通信端末機器中の参加者識別モジュールに組み込まれている。本発明のある実施形態では、SIMモジュール(Subscriber Indentity Module;加入者識別モジュール)に組み込まれたプロセッサを、第2プロセッサとして用い、これにより各セキュリティサービスを実現する。
【0062】
本発明は、特に、好ましくはユーザのみが知っているパスワードまたはPINコード、すなわち一連の認証シンボルを入力する際や、データの符号化またはデジタル署名(例えば、PINコードまたはパスワードの形式でのユーザ入力が必要である暗号化手段を用いて電子メールを符号化またはデジタル署名をするなど)する際に適している。各電子メールは、例えば、通信端末機器を用いて、好ましくは無線インタフェースを介して受信機に伝送されてもよいが、自身で、計算機システム中の対応するディレクトリ中に単にバッファリングされており、ユーザまたは他のユーザにより照会があった際に、必要に応じて再び復号化されてもよい。
【発明の効果】
【0063】
本発明は、データ処理装置にデータをセキュリティを確保した状態で入力することでができるという効果を奏する。
【図面の簡単な説明】
【0064】
【図1】発明の一実施例のデータ処理装置のアーキテクチャを示すブロック図である。
【図2】本発明の一実施例の移動通信端末機器の構成を示す平面図である。
【図3】本発明の他の一実施例の移動通信端末機器の構成を示す平面図である。
【図4】本発明のさらに他の一実施例のデータ処理装置の構成を示す図である。
【図5】本発明の他の一実施例のさらに他のデータ処理装置の構成を示すブロック図である。
【図6】2つのデータ入力モード間の様々な切り替えを示すメッセージフローチャートである。
【図7】本発明の一実施例の第2データ入力モードで確実なデータ入力を提供するための個々の工程を示すフローチャートである。
【図8】データ処理装置の代替的な一実施例を示すブロック図である。
【発明を実施するための形態】
【0065】
本発明の実施例を、図に示し、以下で詳しく説明する。
【0066】
図1は、本発明の一実施例のデータ処理装置のアーキテクチャを示すブロック図である。
【0067】
図2は、本発明の一実施例の移動通信端末機器の構成を示す平面図である。
【0068】
図3は、本発明の他の一実施例の移動通信端末機器の構成を示す平面図である。
【0069】
図4は、本発明のさらに他の一実施例のデータ処理装置の構成を示す図である。
【0070】
図5は、本発明の他の一実施例のさらに他のデータ処理装置の構成を示すブロック図である。
【0071】
図6は、2つのデータ入力モード間の様々な切り替えを示すメッセージフローチャートである。
【0072】
図7は、本発明の一実施例の第2データ入力モードで確実なデータ入力を提供するための個々の工程を示すフローチャートである。
【0073】
図8は、データ処理装置の代替的な一実施例を示すブロック図である。
【0074】
図中、類似または同様の素子に、同じ参照番号が付されていることがある。
【0075】
図2に、データ処理装置としての移動通信端末機器200を示す。このモバイル無線通信端末機器200は、GSMなどのセルベースのモバイル無線標準、例えばUMTSなどの3GPP標準、に基づく通信用に設計されている。
【0076】
移動通信端末機器200は、筐体201を備えている。この筐体201に、アンテナ202、表示部203、スピーカ204、マイク205が備えられており、キーボード206に、多数のキーが備えられている。多数のキーは、数字、シンボル、または、文字を既知のように入力するための番号キーまたはシンボルキー207と、通信接続を確立または終了するための通信接続確立キー208および通信接続終了キー209などの特別機能キーとを含む。さらに、少なくとも1つの特別機能キー210が備えられている。この特別機能キー210は、例えば移動通信端末機器200に格納されたアドレス帳/電話帳を呼び出せるように割り当てられていてもよい。
【0077】
さらに、移動通信端末機器200には、SIMカード(加入者識別モジュールカード)211が含まれている。このSIMカード211に、ユーザを一義的に識別する情報(ユーザ識別子とも呼ばれる)が格納されている。
【0078】
移動式通信端末機器200は、以下で詳しく説明されるように、2つのプロセッサ(図示せず)を備えている。2つのプロセッサとはすなわち、アプリケーションプログラムを実行するための第1プロセッサ(以下ではアプリケーションプロセッサとも呼ぶ)と、例えばモバイル無線信号などを復号するために、物理的なインタフェースの機能、すなわち、無線信号伝送の機能を特に提供するための第2プロセッサとしてのデジタル信号プロセッサ(DSP)とである。さらに、メモリ(図示せず)が備えられている。双方のプロセッサとメモリとは、コンピュータバスを介して相互に接続されている。
【0079】
本発明の代替的な一発展形態では、移動通信端末機器200は、マイクロコントローラとして設計された2つのプロセッサを備えている。さらに、この代替実施例では、他の少なくとも1つの付加的なマイクロコントローラが備えられており、場合によってはさらに1つの付加的なデジタル信号プロセッサが備えられている。マイクロコントローラでは、アプリケーションコンピュータプログラムが実行される。ある1つのマイクロコントローラでは、信頼できるサービス(トラスティドサービス)、場合によっては付加的なモデムサービスが実行、すなわち、提供される。さらに、特にデジタル信号処理においては、リアルタイムであることが重要なサービスであるために、さらに1つのデジタル信号プロセッサが備えられている。
【0080】
ユーザは、移動通信端末機器200の電源を投入した後、移動通信網にログインしたいならば、ユーザは、移動通信端末機器200から、個人識別番号(Personal Identification Number, PIN)をキー207によって入力するように、要請される。ここでは、移動通信端末機器200へのPINの入力は、以下に記載のセキュリティ関連の機能または手順で処理される。
【0081】
入力された個人識別番号は、SIMカード211に格納されてあるユーザ識別子(User IDentity, UID)と比較され、参加者は、権利付与された参加者として移動通信網に受け入れられる。したがって、入力された番号がSIMカード211に格納されていたユーザ識別子に対応する場合に、ユーザは権利付与された参加者としてモバイル通信網にログインすることとなる。
【0082】
ログイン手順における、キーボード206のキー207・208・209・210の制御権、特に数字キーの間の本発明による切り替えについては、以下で詳しく説明する。
【0083】
図3に、本発明の第2実施例のデータ処理装置としての移動通信端末機器300を示す。
【0084】
移動通信端末機器300は、本発明の第1実施例の移動通信端末機器200と構造的に同じように形成されているが、前記デジタル信号プロセッサを省いてもよく、個人識別番号のセキュリティ関連のデータ入力に関連して備えられている本発明による第2プロセッサが、マイクロプロセッサとしてSIMカード301に含まれている点が異なっている。このSIMカード301は、マイクロプロセッサ302と不揮発性メモリ303とを備え、第1実施例のSIMカード211のように、ユーザ識別子を格納するための不揮発性メモリだけを備えているのではない。
【0085】
図4に、第3実施例のデータ処理装置としてのシステムブロック400を示す。システムブロック400はパーソナルコンピュータ401を含み、このパーソナルコンピュータ401は、1つのアプリケーションプロセッサ(図示せず)と、1つまたは複数のメモリ素子と、を備えている。プロセッサとメモリとは相互にコンピュータバスを介して接続されており、さらに、外部通信インタフェースと接続されており、さらに、多数の周辺機器(例えば、キーボード402、コンピュータマウス403、データ表示ユニットとしてのディスプレイ404、チップカード読み込み装置405)と接続されている。チップカード読み込み装置405を用いて、チップカード406(すなわち、チップカードに格納されている情報)を読み込み、パーソナルコンピュータ401へ伝送できる。
【0086】
図4に記載のシステムブロック400を参照して、様々な状況について以下で説明する。まず、一つの取り得る形態として、第1プロセッサがパーソナルコンピュータ401に備えられており、第2プロセッサがチップカード読み込み装置405に備えられている構成が挙げられる。これらのプロセッサは、以下で説明するサービスを提供するものである。また、これに代えて、チップカード406が独自のマイクロプロセッサを備えている構成も可能である。この独自のマイクロプロセッサは、第2プロセッサとして、後述する方法の範囲内で使用されるものである。また、他に取り得る形態として、第2プロセッサが、パーソナルコンピュータ401に備えられている構成が挙げられる。また、さらに取り得る他の形態として、1つのプロセッサが第2プロセッサとしてディスプレイ404に備えられており、機密データを保護するデータ入力において使用される。
【0087】
セキュリティ関連のデータを各周辺インタフェース407・408・409・410を介してパーソナルコンピュータ401へ入力するために、必要に応じて、図4に記載のデータ入力ユニットの1つまたは複数を使用できる。
データの入力は、キーボード402、コンピュータマウス403、例えば接触感知型ディスプレイとして構成されたディスプレイ404、または、チップカード読み込み装置405によって行える。
【0088】
図5に、本発明の第4実施例に係るデータ処理装置であるシステムブロック500を示す。
【0089】
このシステムブロック500では、複数のクライアントコンピュータ501・502・503・504・505は、キーボード506・507・508・509・510および/またはコンピュータマウス(図示せず)を、データ入力ユニットとしてそれぞれ備えている。これらのクライアントコンピュータ501・502・503・504・505は、通信網511を介して、サーバコンピュータ512と接続されている。
【0090】
この場合、セキュリティ関連のデータ(特に認証データ)は、通信網(好ましくはインターネット/イントラネット)511を介して、サーバコンピュータ512へ伝送され、このサーバコンピュータ512においてクライアントコンピュータ501〜505の認証のために使用される。この場合、サーバコンピュータ512は2つのプロセッサを備えており、上記データ入力ユニットはサーバコンピュータ512の通信網511への入出力インタフェースであって、この入出力インタフェースを介して、一連のデータシンボルがサーバコンピュータ512へ供給される。
【0091】
以下で一般的に説明する処理手順は、全ての上記使用状況に当てはまるものである。2つのプロセッサが備えられており、これらは相互に通信することができ、または、入力されたデータが、備えられている2つのプロセッサの1つに、選択的に供給されることがあってもよい、ということだけは必要である。
【0092】
上述のように、各データ入力ユニットは、キーボード;データ通信インタフェースとしての、通信網またはデータ処理装置の他の一周辺装置に接続されている入出力インタフェース;タッチパネル;接触感知型のデータ表示ユニット;コンピュータマウス;または、マイクであってもよい。マイクを介してデータ処理装置に入力される発話信号は、音声認識ユニットによって、入力されたデータとして認識可能なデータシンボルに変換される。
【0093】
したがって、全ての上記の使用状況、すなわち、織りまぜた構造は、図1に例示的に示したシステムアーキテクチャ100に鑑みたものである。
【0094】
大抵のアプリケーションコンピュータプログラムは、ユーザインタフェース(例えば、周辺機器とデータの送受信を行うための入出力インタフェース)も備えており、アプリケーションプロセッサ101(第1プロセッサ)によって実行される。アプリケーションプロセッサ101は、オープンオペレーティングシステム(好ましくはウィンドウズオペレーティングシステム)を有し、あるいは、リナックスオペレーティングシステム、ユニックスオペレーティングシステム、シンビアンオペレーティングシステム、またはジャバプラットフォームをインストールし、これを実行する。
【0095】
さらに、信頼できるモード(トラスティドモード)で動作する第2プロセッサ102が備えられている。この第2プロセッサ102は、トラスティドコアプロセッサとも呼ばれ、それゆえ、信頼できる(好ましくは暗号化によって)保護された環境で動作する。また、第2プロセッサ102は、以下ではセキュリティ関連のサービス(特に暗号化された信頼性サービス)を提供するために使用され、あるいは、または、さらに、データ伝送(特にモバイル無線データ伝送)などにおいて物理的なインタフェースの機能を提供するための他のサービスにも使用される。データ処理装置が移動通信端末機器として形成されている使用状況(図1および図2参照)では、この移動通信端末機器に、通常、2つのプロセッサ、すなわち、アプリケーションプロセッサとデジタル信号プロセッサ(DSP)とが備えられている。
【0096】
第1動作モード(通常動作モード)では、キーボード103(一般的にはデータ入力ユニット)は、アプリケーションプロセッサ101に割り当てられており、アプリケーションプロセッサ101によって制御される。したがって、アプリケーションプロセッサ101は、キーボード103(一般的には上記の代替的なデータ入力ユニット)を用いて入力されるデータ104を、キーボード周辺ブロック105を用いて制御および処理することを担当している。キーボード周辺ブロック105は、システムバス106によってアプリケーションプロセッサ101と第2プロセッサ102とに共通して接続されており、共通の集積システムコントローラ回路107に配置されていることが好ましい。
【0097】
第2プロセッサ102がアプリケーションプロセッサ101と共に1つの集積回路107に備えられていない上記使用状況では、双方のプロセッサ101・102は、例えばケーブルまたは他の通信接続方法(例えば無線通信接続)によって相互に接続されている。
【0098】
セキュリティ関連のデータが例えばユーザの認証において、ユーザによってデータ処理装置100に入力されるほうがよい場合には、データ入力ユニット(好ましくはキーボード103)の制御は、機密データの入力が終了するまで、第2プロセッサ102に委ねられる。このようにして、システム100の信頼できる環境において機密データを入力できる。
【0099】
データ処理装置が移動通信端末機器に集積されている例では、たとえばこれらのプロセッサが双方ともARM926プロセッサである、あるいは、アプリケーションプロセッサがARM11プロセッサである。
【0100】
以下に、データ処理装置の範囲内で、セキュリティ関連のデータ入力モードを実現するために選択し得るさまざまな実施例について説明する。
【0101】
第1の好ましい例では、データ入力ユニット(好ましくは、キーボード103)の制御が、アプリケーションプロセッサ101から信頼できる第2プロセッサ102へ明示的に移行し、また逆に第2プロセッサ102からアプリケーションプロセッサ101へ明示的に移行する。
【0102】
この場合、占有すなわちデータ入力ユニット(好ましくはキーボード103)の制御は、明示的なプロセッサ間連絡によって、アプリケーションプロセッサ101から第2プロセッサ102へ、または、逆にこの第2プロセッサ102からアプリケーションプロセッサ101へ明示的に移行される。
【0103】
このことは、双方のプロセッサ(すなわち、アプリケーション101と第2プロセッサ102との双方)がコンピュータプログラムをそれぞれ有しているとともにそれを実行できる、ということを前提条件とする。なお、このコンピュータプログラムは、これらのプロセッサに、現在は誰が実際にデータ入力ユニット103の制御を司っているのか、ということを伝えることができる。また、コンピュータプログラムは、データ入力ユニット103の制御を、他方のプロセッサ101または102へそれぞれ伝送(言い換えれば、移行)する。
【0104】
トラスティドコアプロセッサ(第2プロセッサ)102は、セキュリティ関連のデータ入力モードの間の制限された期間に、データ入力ユニット103の制御を司る。このデータ入力ユニット103を介して、セキュリティ関連の(すなわち、機密)データが、データ処理装置100へ入力される。一方、この期間に、トラスティドコアプロセッサ102は、安全入力表示を起動することが好ましい。なお、この安全入力表示は、データ処理装置100が第2の安全なデータ入力モードである、ということをユーザに示すものである。さらに、第2の(すなわち、セキュリティ関連の)データ入力モードの表示を実現するための様々なオプションについて、以下で詳しく説明する。
【0105】
この点に関して、第2データ入力モードをユーザに確実に表示するには、ユーザにこの情報を表示している間はアプリケーションプロセッサ101がこの表示を制御できないようにすることが望ましい。
【0106】
図6のメッセージフローチャート600に示す一例では、パスワードが一連の機密データシンボルとしてデータ処理装置へ入力され、このパスワードが、データファイルのデジタル署名に使用される。
【0107】
フローチャート600に示すフローでは、電子データファイルを署名するようにとの要求メッセージを受信することにより、トラスティドコアプロセッサ102において第2データ入力モード(ソース入力モード)が暗黙的に起動される。
【0108】
図6に示すように、この例では、アプリケーションプロセッサ101によって署名要求メッセージ601が生成され、好ましくはシステムバス106を介して、第2プロセッサ(すなわち、トラスティドコアプロセッサ)102へ伝送される。署名要求メッセージ601には、必要とされる信頼性サービス、つまり電子データファイルへのデジタル署名(サイン)602、ならびに、必要とされるサービスのパラメータとして、デジタル署名される電子データ(テキスト)603およびキー識別情報(キーID)604が示されている。
【0109】
トラスティドコアプロセッサ102は、署名要求メッセージ601を受信すると、トラスティドコアプロセッサ102だけがアクセスできる不揮発性メモリ605にプライベートキープロファイル606を問い合わせ、読み出したプライベートキープロファイル606を使用して署名要求メッセージ601を検証する(工程607)。
【0110】
この時点まで、データ処理装置100は、依然として第1データ入力モード(すなわち、安全でないデータ入力モード)である。この第1入力モードでは、依然としてアプリケーションプロセッサ101が、データ入力ユニット103の制御を司っている。
【0111】
このことは、第1データ入力モードを示す第1データ入力モード表示608により、ディスプレイ上でユーザに示される。
【0112】
次に、データ処理装置100のデータ入力モードは、第2のセキュリティ関連のデータ入力モードに変化する。
【0113】
後続の工程で、トラスティドコアプロセッサ102は、第1モード変更要求メッセージ609を、アプリケーションプロセッサ101へ送信する。なお、第1モード変更要求メッセージ609は、アプリケーションプロセッサ101のデータ入力モードを第1データ入力モードから第2データ入力モードへ変更するように、との要求をするものである。
【0114】
アプリケーションプロセッサ101は、第1モード変更要求メッセージ609を受け取った後、データ入力ユニット103(特にキーボード103)の制御を解除する(工程610)。
【0115】
アプリケーションプロセッサ101は、キーボード制御を解除したことを、第1モード変更確認メッセージ611によってトラスティドコアプロセッサ102へ伝える。
【0116】
トラスティドコアプロセッサ102は、第1モード変更確認メッセージ611を受信してから、データ入力ユニット103(特にキーボード103)の制御を引き受ける(工程612)。
【0117】
続いて、トラスティドコアプロセッサ102は、データ入力モード表示を起動し、このデータ入力モード表示を、第2データ入力モード表示614に設定する。この第2データ入力モード表示614によって、データ処理装置が第2データ入力モードである、ということが示される(工程613)。この起動は、トラスティドコアプロセッサ102による制御のみで行われる。すなわち、アプリケーションプロセッサ101は、データ入力モード表示608・614にアクセスできないし、これを制御することもできない。
【0118】
続いて、トラスティドコアプロセッサ102は、ユーザによって逐次的に入力された、機密の入力データを示す記号またはデータシンボルを収集する(工程614)。例えば、問い合わせられたパスワードの個々のシンボルは、次々と不揮発性メモリ、例えば、トラスティドコアプロセッサ102の不揮発性メモリ605にバッファリングされる。
【0119】
不揮発性メモリ中のパスワードは、「アントラスティド」な第1プロセッサのアクセスから保護されているほうがよい。あるいは、「トラスティドコア」(すなわち、第2)プロセッサは、この目的のために、専用に確保した不揮発性メモリを有している。パスワードは符号化されて不揮発性メモリに保存されており、第2プロセッサだけが「占有」しているキー(例えば、1つまたは複数の特別なハードウエアモジュールによって保証されたキー)のみによって解号できることが好ましい。このことは、第2プロセッサだけが、パスワードを解号するためのキーにアクセスできるということを意味している。
【0120】
上記例に代わり得る例、または上記例とは別の例として、処理効率を上げるために、パスワードが揮発性メモリにバッファリングされるようになっていてもよい。この目的のために、揮発性メモリは、「アントラスティド」な第1プロセッサによる操作から保護されているほうがよい。
【0121】
言い換えれば、このことは、信頼できる、すなわち「トラスティド」な第2プロセッサの動作が、確実に、(信頼できない、すなわち「アントラスティド」な)第1プロセッサによって妨害されないようにするのがよい、ということを意味している。このことは、例えば、双方のプロセッサのそれぞれに専用のメインメモリを用いることにより達成される、または、1つのメインメモリを共通で用いた場合には「トラスティド」な第2プロセッサにより制御され、特定のアドレス領域への明示的なアクセス権を予設定できるメモリ制御器を使用することにより達成される。
【0122】
以下の工程(工程615)では、トラスティドコアプロセッサ102によって読み込まれたパスワードが、不揮発性メモリ605に予め格納された秘密パスワード616と比較される。
【0123】
入力されたパスワードが、不揮発性メモリ605に格納されたユーザの秘密鍵に対するパスワード616と一致すれば、続いて、トラスティドコアプロセッサ102は、不揮発性メモリ605から、ユーザのプライベート(すなわち、秘密)キー617を読み出し、ユーザの秘密キーを使用して、要求メッセージ601中に示されたテキスト603に署名する(工程618)。
【0124】
続いて、トラスティドコアプロセッサ102は、再びデータ入力ユニット103の制御を放棄し(工程619)、第2データ入力モードを表示するために使用される第2データモード表示614を無効にし、機密でないデータを入力するための第1データ入力モードが、データモード表示608によって、ユーザに再び表示される(工程620)。
【0125】
続いて、トラスティドコアプロセッサ102は、第2モード変更要求メッセージ612を、アプリケーションプロセッサ101へ送信する。この第2モード変更要求メッセージ612は、この時点では、セキュリティ関連の第2データ入力モードから、第1データ入力モード(すなわち、機密でないデータをデータ処理装置100へ入力するための通常動作モード)へ、データ入力モードを改めて変更するように、との要求をするものである。
【0126】
アプリケーションプロセッサ101は、第2モード変更要求メッセージ612を受信した後、データ入力ユニット103の制御を再び引き受ける(工程622)。
【0127】
アプリケーションプロセッサ100は、データ入力ユニット103の制御の新たな引継ぎが完了したことを、第2モード変更確認メッセージ623によってトラスティドコアプロセッサ102へ伝え、これにより、第2データ入力モード(図6に参照番号624で示す)が終了する。
【0128】
続いて、トラスティドコアプロセッサ102は、アプリケーションプロセッサ101に、要求された信頼性サービスの結果(この例の場合は、署名要求メッセージ601中で示された電子データファイル603へのデジタル署名625)を伝送する。
【0129】
これに代わり得る例として、アプリケーションプロセッサ101のためのデータ入力ユニット(特に、キーボード103)は、アプリケーションプロセッサ101によって、また場合によってはアプリケーションプロセッサ101とトラスティドコアプロセッサ102との双方によって透過的に使用される。
【0130】
本例では、アプリケーションプロセッサ101には、第2データ入力モードにおいてはデータ入力ユニット103が一時的にトラスティドコアプロセッサ102によって使用される、ということが分かっていない。言い換えれば、アプリケーションプロセッサ101には、データ入力モードが第1データ入力モードから第2データ入力モードへ、およびその逆へと移行される、ということは知らされていない。
【0131】
第2データ入力モードの間に(すなわち、機密データの入力が終了するまでに)、次のような準備が行われる。すなわち、トラスティドコアプロセッサ102の安全な環境において実施されている、トラスティドコアプロセッサ102によって実行されるデータ入力ユニットの駆動コンピュータプログラム(好ましくはキーボードの駆動コンピュータプログラム)を用いて、入力された各記号またはデータ入力ユニット103を用いてデータ処理装置へ入力されるデータシンボルを処理および受信するための以下のメカニズムが準備される:1.データ入力ユニット103とアプリケーションプロセッサ101との間の接続を切り離す(「切断」)。2.第2データ入力モード(安全入力モード)において、入力されたデータシンボルを読み込む。3.アプリケーションプロセッサ101のためにデータシンボルの入力をシミュレーションするために、備えられているキーボード周辺レジスタに所定のシンボル(好ましくは「*」シンボル)を書き込む。4.データ入力ユニット103とアプリケーションプロセッサ101とを元のように接続する(「接続」)。
【0132】
工程3では、構造800の、図8に示すデータ入力ユニット周辺ブロック801が使用されることが好ましい、ということが分かる。
【0133】
アプリケーションプロセッサ101から見れば、トラスティドコアプロセッサ102に対する上記の、および以下で図7に関連して示す実現は、第2データ入力モードでは所定の記号だけが入力されるように、すなわち、所定のキー(例えば、シンボル「*」を有するキー)だけが押されるように作用している。したがって、アプリケーションプロセッサ101は、キーボードの駆動コンピュータプロセッサから受信する「*」シンボルを、データ入力ユニットに示す。このようにして、PINコードまたはパスワードを入力する場合に「ルック・アンド・フィール」という操作感がユーザに提供される。
【0134】
データ処理装置100が第2データ入力モードである間に、データ表示ユニットの対応する信頼性モード表示情報を任意に準備してもよい。さらに、データ表示ユニットは、対応するデータ入力モード表示614をユーザに対して出力する。その都度存在するデータ入力モードすなわちその都度起動されるデータ入力モードの表示のための、さまざまな例について、さらに、以下でより詳しく説明する。
【0135】
図7に、フローチャート700で、上述の第2の例の処理手順を記載する。
【0136】
トラスティドコアプロセッサ102は、第2データ入力モード(工程701)が起動された後、アプリケーションプロセッサによるデータ入力ユニット割り込み(特にキーボード割り込み)の実施または誘発を無効に(702)し、アプリケーションプロセッサ101によるキーボード周辺ブロック(一般的には、データ入力ユニット周辺ブロック)801へのアクセスも無効にする(工程703)。
【0137】
その後、押されたキーの情報が格納されているキーボードブロックレジスタは、第2プロセッサ(すなわち、トラスティドコアプロセッサ)102の問い合わせを受ける(工程704)。
【0138】
キーボードに予め備えられていることが好ましい安全データ入力モード終了キーが押された場合は、このことが試験工程705において試験され、安全なデータ入力が終了したとされ、問い合わせられたレジスタ値から、1つまたは複数の機密入力データ値が生成される(工程706)。
【0139】
その後、アプリケーションプロセッサ101は、キーボード周辺ブロック801(工程707)へ新たにアクセスし、キーボード割り込みがアプリケーションプロセッサ101に対して再び行われる(工程708)。
【0140】
したがって、第2データ入力モードは、再び無効にされる(工程709)。
【0141】
しかしながら、安全データ入力モード終了キーが押されない限り、押された各キーに対して、押された各キーを示す値が、トラスティドコアプロセッサ102だけがアクセスできるメモリに格納される(工程710)。
【0142】
続いて、キーボードブロックレジスタにおいて、入力された各シンボルに対して、1つの「*」シンボルが書き込まれ(工程711)、アプリケーションプロセッサ101は、キーボード周辺ブロックに再びアクセスし(工程712)、続いて、アプリケーションプロセッサ101に対するキーボード割り込みが再び任意に行われる(工程713)。続いて、アプリケーションプロセッサ101が「*」シンボルをキーボード周辺ブロックレジスタから読み出すまで待機し(工程714)、工程702に戻る。言い換えれば、アプリケーションプロセッサ101が「*」シンボルをキーボード周辺レジスタから読み出したということが保証される。
【0143】
図8から分かるように、キーボード周辺ブロック801に、スキャニングおよびキーボードのデバウンシングロジック802と、スイッチングユニット803とが備えられている。このスイッチングユニット803を用いて、スキャニングおよびキーボードのデバウンシングロジック802から入力されるシンボルを、スイッチングユニット803が第1スイッチング状態(A)である場合は、スキャニング結果レジスタ804へ供給し、または、スイッチングユニット803が第2スイッチング状態(B)である場合は、コンピュータバスインタフェース805へ直接供給する。コンピュータバスインタフェース805は、スキャニング結果レジスタ804の出力部とも接続されている。さらに、上記コンピュータバスインタフェース805は、制御レジスタ806と接続されており、制御レジスタ806に格納されたデータは、場合によっては、スイッチング状態制御信号807を生成し、このスイッチング状態制御信号807によって、スイッチングユニット803を駆動する。
【0144】
第3の例として、通常データ入力モードにおいて、キーボードまたはキーパッドが、押されたキーについての情報をアプリケーションプロセッサ101へ直接伝送するようにしてもよい。
【0145】
第2データ入力モード(安全なデータ入力モード)が起動された後、かつ、トラスティドコアプロセッサ102が機密データシンボルの入力を要求した後、キーボード周辺の駆動装置は、押されたキーについての情報の代わりに、予め定めておくことのできる交換データ記号/データシンボル(例えば、「*」シンボル)を出力する。なお、この交換データ記号/データシンボルは、データ表示ユニット103のグラフィカルユーザインタフェース上のPIN入力フィールドでユーザに表示される。
【0146】
ユーザが数字キーを押した場合は、この情報は、キー情報の交換がされずに、アプリケーションプロセッサ101へ直接転送される。したがって、アプリケーションプロセッサ101は、有効なキー情報を常に受信する。有効なキー情報を、アプリケーションプロセッサ101は、グラフィカルユーザインタフェースにおいて(すなわち、データ表示ユニット上で)ユーザに表示でき、したがって、ユーザに「ルック・アンド・フィール」という操作感を提供できる。実際に入力されるキーは、メモリまたはメモリの一部に順次に蓄積される。なお、メモリまたはメモリの一部には、トラスティドコアプロセッサ102だけがアクセス可能である。
【0147】
アプリケーションプロセッサ101は、このメモリまたはメモリの一部にアクセスしない。機密情報の入力が完全に終了した後、入力されたデータ連続は、トラスティドコアプロセッサ102によって、検証のために、さらに処理される。
【0148】
こうして、入力されたデータシーケンスは、例えばスマートカード上またはフラッシュメモリ中に格納された対応する値と比較される。
【0149】
この例では、機密データ記号/データシンボルの入力中(好ましくはパスワード入力中PIN入力中)に、アプリケーションプロセッサ101における何らかの割り込みを無効にする必要はない。割り込みは、トラスティドコアプロセッサ102によるパスワードの検証中のみ無効にされたほうがよい。しかしながら、パスワードまたはPINコードの検証は、付加的に備えられている、暗号化によって機密保護されたブロックにおいて行われてもよい。この方法では、パスワードはアプリケーションプロセッサ101によって直接調査されることはない。言い換えれば、アプリケーションプロセッサ101は、暗号化ブロックに格納されているパスワードにアクセスしない。
【0150】
パスワードを、アプリケーションプロセッサ101によって調査できない。言い換えれば、アプリケーションプロセッサ101は、暗号化ブロックに格納されているパスワードにアクセスしない。
【0151】
キーボードの駆動装置またはキーパッドの駆動装置、あるいは、その機能を、直接ハードウェアで、すなわち、特別な電子回路を用いて(例えば、FPGAまたはASICを用いて)実現してもよいし、または、多重プロセッサ環境においてソフトウェアで、コンピュータプログラムを用いて実現してもよいし、または、任意のハイブリッドフォームで(すなわち、ハードウェアおよびソフトウェアにおける任意の割り当て部分で)実現してもよい。駆動装置の機能が、コンピュータプログラムによって実現される場合、このコンピュータプログラムは、トラスティドコアプロセッサ102上で実行され、押されたキーまたは押されたキーのための交換記号についての情報は、プロセッサ間連絡(IPC)を使用してアプリケーションプロセッサ101へ伝送される。
【0152】
以下で、第2データ入力モードを起動するための様々な変形例について説明する。
【0153】
第1変形例として、第2データ入力モードが暗黙的に起動されてもよい。第2データ入力モードが暗黙的に起動される場合は、データ処理装置を第2データ入力モードにするために、ユーザが独自の行動をとる必要はない。トラスティドコアプロセッサ102によって実行されるソフトウェアは、信頼性サービスを含む(あるいは、信頼性サービス自体であってもよい)機能が呼び出された途端に、第2データ入力モードを自動的に起動し、その範囲内で、ユーザによって入力される機密情報が処理される。このことは、トラスティドコアプロセッサ102側で、アプリケーションプロセッサ101からの対応する要求メッセージが受信されることにより、図5のフローチャート500に関連して説明したように、行われてもよい。
【0154】
別の一発展形態では、第2データ入力モードの明示的な起動または無効化を、特別にこの目的のために設けられたデータ入力モード変更キーを用いて行う。この場合、データ入力モードの変更は、ユーザが特別なキーを押すことにより行われる。ここで、このキーは、トラスティドコアプロセッサ102のみの制御下にある。換言すれば、トラスティドコアプロセッサ102のみが、この特別なキーの押圧が示す情報を受信し、処理することができる。この場合、アプリケーションコンピュータプログラムは、対応するグラフィカルユーザインタフェースを用いて、ユーザにパスワードまたはPINコードを入力するよう依頼する。機密データの入力の要請を受けたユーザは、この特別なキーを押し、これにより、第1データ入力モードから第2の安全なデータ入力モードへの移行が行われる。これにしたがって、キーボード(一般的に述べるとデータ入力ユニット)の制御ないし占有は、アプリケーションプロセッサ101からトラスティドコアプロセッサ102に移る。その後、異なる実施形態に関して上で述べたように、トラスティドコアプロセッサ102は、対応するデータ入力モード表示を能動化する。これは、例えば、追加的に設けられた発光ダイオードを用いて、または、データ表示ユニット上に示されたシンボルを用いて行われる。これに引き続いて、ユーザは、安全な環境において、パスワードをデータ処理装置に入力できる。
【0155】
次に、データ処理装置が第2データ入力モード、すなわち、安全なデータ入力モードであることを、ユーザに表示するための様々な可能性ないし例を挙げて説明する。
【0156】
第1の実装例によれば、[4]に記載されているように、トラスティドコアプロセッサ102は、この目的のために特別に設けられた発光ダイオード(または、これに適した別の出力装置)を用い、ユーザに対して、第2の安全なデータ入力モードが起動されていることを表示する。
【0157】
この際、これらの使用される各データ出力装置が、トラスティドコアプロセッサ102によってのみ駆動および制御され、アプリケーションプロセッサ101によっては駆動および制御されないことが好ましい。安全なデータ入力モードであることの表示は、第2データ入力モードが起動されている限り、ユーザに提示され続ける。
【0158】
別の例では、安全なディスプレイ、または、機密保護されたGUIもしくはGUIの機密保護された部分を用いて、データ処理装置が第2データ表示モードであることを表示する。
【0159】
これは以下のように実現される。
・例えば、移動通信端末機器を用いる場合、ユーザは、移動通信端末機器に個人のコード(一連の数字またはパスワード)を入力するように要請される。
・入力されたコードは、外部のフラッシュメモリに、好ましくは符号化された形式で保存され、外部のフラッシュメモリにはフラグが立てられ、その結果、初期化状態であると検知される。機密データを安全に入力する方法が、この時点で初期化され、作動準備が完了する。これらすべては、トラスティドコアプロセッサ102の制御の下で行われる。
・作動準備が完了すれば、上述した[4]に記載された方法と同じ方法が実施されるが、[4]に記載の方法とは以下の点が異なる。ユーザが、機密保護されたトランザクションを行おうとする場合、移動通信端末機器は、自身が安全なデータ入力モードにあることを示す。この安全なデータ入力モードでは、発光ダイオードが能動化されるのではなく、ユーザに対してユーザ固有の個人的なコードないしユーザ固有のパスワードが、データ表示ユニット上で表示される。
・この後、ユーザは、機密保護されたトランザクションを行うことができる。
【0160】
さらに別の発展形態では、信頼できるディスプレイ(トラスティド・ディスプレイ)を用い、データ処理装置が安全なデータ入力モードであることを示す。
【0161】
この実施形態では、信頼できるアプリケーションデータを表示するために、および、安全なデータ入力モードが起動されているか否かを表示するために、データ表示ユニットが1つだけ設けられている。
【0162】
安全なデータ入力モードが起動されると、データ表示ユニットの1つの所定のプログラム可能な部分領域(好ましくは、GUIの1つの所定のプログラム可能な部分領域)またはデータ表示ユニット全体(好ましくは、GUI全体)のみが、トラスティドコアプロセッサ102によってのみ制御可能になる。すなわち、トラスティドコアプロセッサ102のみが、上記の部分領域または全体部分にアクセス可能になる。アプリケーションプロセッサ101は、データ表示ユニットもしくはGUI中、または、データ表示ユニットもしくはGUIの各選択された部分領域中に表示された情報の内容にアクセスする権利がない。これにより、アプリケーションプロセッサ101上にインストールされた、損害を与えるコンピュータプログラム(例えば、トロイの木馬プログラム)が、データ表示ユニット上ないしはGUI上に表示された機密情報を読んだり、操作したりすることを防ぐことができる。アプリケーションプロセッサ101が、上記の領域へアクセスすることを禁止するために、アプリケーションプロセッサ101上で実行されたコンピュータプログラムコードが、例えば、ユーザへのある種の入力要請を行って、データ表示ユニットまたはデータ表示ユニットもしくはGUIの対応する機密保護された部分領域中にあるデータを上書するために利用されないようにする。
【0163】
これは以下のように実現することができる。
・移動通信端末機器を用いる場合、ユーザは、データ入力ユニットを用いて、移動通信端末機器に個人のコード(例えば、一連の数字またはパスワード)を入力するように要請される。これに加えて、任意選択的ではあるが、デジタル印章を表すシンボルを選択するように要請され、このデジタル印章を用いて、第2データ入力モード(トラスティド入力モード)であることがユーザに表示される。ユーザが要請された入力を行うと、この入力は外部のフラッシュメモリに、好ましくは符号化された形式で保存され、外部のフラッシュメモリには、フラグが立てられる、これにより初期化状態であることが表示される。これにより、機密データを安全に入力するための工程が、初期化され、作動準備が完了する。これらすべては、トラスティドコアプロセッサ102の制御の下で行われる。アプリケーションプロセッサ101は、これらのデータに対してアクセスすることはできない。
・第2データ入力モードが能動化されれば、[4]に記載された方法と同じ方法が実施されるが、[4]に記載の方法とは以下の点が異なる。
【0164】
ユーザが、機密保護されたトランザクションを行おうとする場合、トラスティドコアプロセッサ102は、自身が機密保護された状態であることを示す。このセキュリティされた状態では、ユーザの個人的なコードないしユーザの個人的なパスワードが、ユーザに対して表示される。または、ユーザが選択したデジタル印章で示されるシンボルが、データ表示ユニットの領域中で表示される。この場合、データ表示ユニットは、トラスティドコアプロセッサ102のみにより駆動される、換言すれば、データ表示ユニットは、トラスティドコアプロセッサ102のみによりアクセス可能である。
【0165】
ユーザに対して、信頼できる領域の各領域を、データ表示ユニットまたはグラフィカルユーザインタフェース上に表示するために、シンボルまたは個人コードを、信頼できる領域の境界を示すパターンとして使用してもよいし、または、データ表示ユニットまたはグラフィカルユーザインタフェースの背景の対応して変更された色または対応して変更された変更パターンが機密保護された領域にあってもよい。[5]では、この表示は、例えば信頼できる絵を用いて実現されている。
【0166】
あるいは、カーソル(マスキング)が使用されてもよい。カーソルの絵は、この発展形態では、トラスティドコアプロセッサによってのみプログラミングされ、または、駆動される。この絵は、データ表示ユニットの範囲内またはグラフィカルユーザインタフェースの範囲内のカーソルの位置によって決まり、かつ、位置が信頼できる領域にあるかないないかによって決まる。カーソルが信頼できる領域(すなわち、機密保護された領域)にあれば、カーソルは、機密保護されたデータ入力モードを表示するためにユーザが選択した表示形状を維持し、カーソルが機密保護された領域外にあれば、通常データ入力モードを示すために使用されるデフォルトカーソルがユーザに対して表示される。
【0167】
第2データ入力モードでは、ユーザによって行われるデータの入力が、トラスティドコアプロセッサ102のみによって処理される。
【0168】
他の一発展形態では、信頼できる絵を表す画素カードを、データ表示ユニット上に表示してもよいし、または、指示を提供(すなわち、ユーザによって入力されるデータが、機密保護されていないデータ入力モードで入力され、それゆえアプリケーションプロセッサ101へ供給されるのか、それとも、データが機密保護されたデータ入力モードで入力され、トラスティドコアプロセッサ102だけに供給されるのかに応じて、ユーザに対して絵をそれぞれ異なるように表示)してもよい。
【0169】
表示形状に応じて各データ入力モードを一義的に表すプログラミング可能なグラフィカルユーザインタフェース(マスク)を使用する場合は、データ表示ユニットの範囲内に、データ表示用の機密保護された領域と機密保護されていない領域とを設けることが可能である。
【0170】
したがって、ユーザは、データ処理装置に機密データを入力することにより、機密保護された取引を行うことができ、または、ディスプレイ(一般的には、データ表示ユニット)上に表示された情報を信用できる、ということが確実となる。
本特許明細書の出典は、以下の出版物である。
[1] Tom R. Halfhill, ARM Dons Armor Microprocessor Report, 25. August 2003
[2] TPM Main Part 1 Design Principals, Specification Version 1.2, Revision 62, 2. Oktober 2003
[3] R. Meinschein, Trusted Computing Group Helping Intel Secure the PC, Technology Intel Magazine, Januar 2004-12-01
[4] EP 1 329 787 A2
[5] EP 1 056 014 A1
[6] US 2002/0068627 A1
[7] WO 02/100016 A1
[8] WO 99/61989 A1
[9] US 2003/110402 A1
[10] US 5,920,730
【符号の説明】
【0171】
100 データ処理装置
101 アプリケーションプロセッサ
102 トラスティドコアプロセッサ
103 キーボード
104 データ
105 キーボード周辺ブロック
106 システムバス
107 集積システムコントローラ
200 移動通信端末機器
201 筐体
202 アンテナ
203 データ表示ユニット
204 スピーカ
205 マイク
206 キーボード
207 番号キー
208 スイッチオンキー
209 スイッチオフキー
210 特別機能キー
211 SIMカード
300 移動通信端末機器
301 SIMカード
302 マイクロプロセッサSIMカード
303 メモリSIMカード
400 データ処理構造
401 パーソナルコンピュータ
402 キーボード
403 コンピュータマウス
404 スクリーン
405 チップカード読み込み装置
406 チップカード
407 インタフェース
408 インタフェース
409 インタフェース
410 インタフェース
500 データ処理構造
501 クライアントコンピュータ
502 クライアントコンピュータ
503 クライアントコンピュータ
504 クライアントコンピュータ
505 クライアントコンピュータ
506 キーボード
507 キーボード
508 キーボード
509 キーボード
510 キーボード
511 通信網
512 サーバコンピュータ
600 メッセージフローチャート
601 署名要求メッセージ
602 署名要求
603 電子データファイルの表示
604 キー識別の表示
605 不揮発性メモリ
606 秘密キープロファイル
607 方法の工程
608 第1データ入力モードの表示
609 第1データ入力モード変更要求メッセージ
610 方法の工程
611 確認メッセージ
612 方法の工程
613 方法の工程
614 第2データ入力モードの表示
614 方法の工程
615 方法の工程
616 秘密キー
617 方法の工程
618 方法の工程
619 方法の工程
620 第2データ入力モード変更メッセージ
621 方法の工程
622 第2確認メッセージ
623 デジタル署名
700 フローチャート
701 方法の工程
702 方法の工程
703 方法の工程
704 方法の工程
705 試験工程
706 方法の工程
707 方法の工程
708 方法の工程
709 方法の工程
710 方法の工程
711 方法の工程
712 方法の工程
713 方法の工程
714 方法の工程
800 データ処理装置
801 補正されたキーボード周辺ブロック
802 スキャニングおよびデバウンシングロジック
803 スイッチングユニット
804 スキャニング結果レジスタ
805 コンピュータバスインタフェース
806 制御レジスタ
807 選択信号
【特許請求の範囲】
【請求項1】
データ処理装置であって、
前記データ処理装置にデータを入力するためのデータ入力ユニットと、
第1プロセッサと、
第2プロセッサと、
データ入力ユニット周辺ブロックと、
を有し、
前記第1プロセッサは、第1データ入力モードにおいて、前記データ入力ユニット周辺ブロックを介して前記データ入力ユニットを制御して、前記データ入力ユニットに入力されたデータの受信および処理を行い、
前記第2プロセッサは、セキュリティ関連データを入力する第2データ入力モードにおいて、前記データ入力ユニット周辺ブロックを介して前記データ入力ユニットを制御して、前記データ入力ユニットに入力されたデータの受信および処理を行い、
前記第1プロセッサおよび前記第2プロセッサは、システムバスによって、前記データ入力ユニット周辺ブロックに接続されることを特徴とするデータ処理装置。
【請求項2】
前記データ入力ユニットは、
キーボード、データ通信インタフェース、タッチパネル、接触感知型の表示ユニット、コンピュータマウス、および、マイクのいずれか1つであることを特徴とする請求項1に記載のデータ処理装置。
【請求項3】
前記第1プロセッサは、アプリケーションコンピュータプログラムを実行するアプリケーションプロセッサとして設計されていることを特徴とする請求項1または2に記載のデータ処理装置。
【請求項4】
前記第1プロセッサにより、オープンオペレーティングシステムが実行されることを特徴とする請求項1ないし3のいずれか1項に記載のデータ処理装置。
【請求項5】
前記オープンオペレーティングシステムは、オペレーティングシステム外の通信インタフェースを少なくとも1つ有することを特徴とする請求項4に記載のデータ処理装置。
【請求項6】
前記オープンオペレーティングシステムは、WINDOWS(マイクロソフト コーポレイションの登録商標)オペレーティングシステム、Linux(トルヴアルドズ リヌスの登録商標)オペレーティングシステム、UNIX(エックス/オープン・カンパニー・リミテッドの登録商標)オペレーティングシステム、SYMBIAN(シンビアン リミテッドの登録商標)、および、JAVA(サン・マイクロシステムズ・インコーポレーテッドの登録商標)プラットフォームのいずれか1つであることを特徴とする請求項4または5に記載のデータ処理装置。
【請求項7】
前記第2プロセッサは、1つまたは複数のトラスティッドコンピュータプログラムのみを実行可能であるように設計されていることを特徴とする請求項1ないし6のいずれか1項に記載のデータ処理装置。
【請求項8】
前記トラスティッドコンピュータプログラムは、完全性が保証されたコンピュータプログラムであることを特徴とする請求項7に記載のデータ処理装置。
【請求項9】
前記完全性が保証されたコンピュータプログラムは、暗号化により完全性が保証されたコンピュータプログラムであることを特徴とする請求項8に記載のデータ処理装置。
【請求項10】
トラスティッドコンピュータプログラムは、少なくとも1つのセキュリティ関連サービスを行うように設計されていることを特徴とする請求項7ないし9のいずれか1項に記載のデータ処理装置。
【請求項11】
前記セキュリティ関連サービスは、暗号を用いたセキュリティサービスであることを特徴とする請求項10に記載のデータ処理装置。
【請求項12】
前記暗号を用いたセキュリティサービスは、少なくとも1つの暗号鍵を用いて行われることを特徴とする請求項11に記載のデータ処理装置。
【請求項13】
前記暗号を用いたセキュリティサービスは、少なくとも1つの秘密暗号鍵および/または少なくとも1つの公開暗号鍵を用いて行われることを特徴とする請求項12に記載のデータ処理装置。
【請求項14】
前記暗号を用いたセキュリティサービスは、デジタル署名、デジタル印章、認証、データ符号化、ログイン、アクセス制御、データ通信内のトラフィック分析の阻止、および、ハッシュ法の少なくともいずれか1つであることを特徴とする請求項11ないし13のいずれか1項に記載のデータ処理装置。
【請求項15】
入力されたデータの少なくとも1部分を表示するためのデータ表示ユニットを備えていることを特徴とする請求項1ないし14のいずれか1項に記載のデータ処理装置。
【請求項16】
前記第2プロセッサは、前記第2データ入力モードでは入力されたデータを受信し、
入力されたデータとは異なるデータであって、入力されたデータのデータシンボルと等しい数のデータシンボルを有するデータを、前記第1プロセッサおよび/または前記データ表示ユニットに伝送するように設計されていることを特徴とする請求項15に記載のデータ処理装置。
【請求項17】
前記第2プロセッサから、前記第1プロセッサおよび/または前記データ表示ユニットに伝送されるデータは、一連の所定のデータシンボルであり、前記データシンボルの数は入力されるデータのデータシンボルの数に等しいことを特徴とする請求項16に記載のデータ処理装置。
【請求項18】
前記第2データ入力モードでは、前記第2プロセッサが、前記第1プロセッサおよび/または前記データ表示ユニットに、セキュリティモード表示情報を伝送するように、前記第2プロセッサが設計されていることを特徴とする請求項15ないし17のいずれか1項に記載のデータ処理装置。
【請求項19】
前記セキュリティモード表示情報は、視覚情報および/または音声情報であることを特徴とする請求項18に記載のデータ処理装置。
【請求項20】
前記第1プロセッサから前記第2プロセッサへ、または、前記第2プロセッサから前記第1プロセッサへ、前記データ入力ユニットの制御が移行される際に、前記第1プロセッサと前記第2プロセッサとの間での通信を行うためのプセセッサ間連絡ユニットが設けられていることを特徴とする請求項1ないし19のいずれか1項に記載のデータ処理装置。
【請求項21】
前記第1データ入力モードで入力されたデータを前記第1プロセッサに伝送し、前記第2データ入力モードで入力されたデータを前記第2プロセッサに伝送するように設計された前記データ入力ユニットの駆動ユニットが設けられていることを特徴とする請求項1ないし19のいずれか1項に記載のデータ処理装置。
【請求項22】
前記データ入力ユニットの駆動ユニットは、前記第2データ入力モードで入力されたデータとは異なるデータであって、前記第2データ入力モードで入力されたデータのデータシンボルの数と等しい数のデータシンボルを有するデータを、前記第1プロセッサおよび/または前記データ表示ユニットに伝送するように設計されていることを特徴とする請求項21に記載のデータ処理装置。
【請求項23】
前記第1プロセッサおよび/または前記データ表示ユニットに伝送されるデータは、一連の所定のデータシンボルであり、前記データシンボルの数は、入力されたデータのデータシンボルの数に等しいことを特徴とする請求項22に記載のデータ処理装置。
【請求項24】
前記第2プロセッサは、デジタル信号プロセッサであることを特徴とする請求項1ないし23のいずれか1項に記載のデータ処理装置。
【請求項25】
前記第2プロセッサは、チップカードプロセッサとして設計されていることを特徴とする請求項1ないし23のいずれか1項に記載のデータ処理装置。
【請求項26】
前記第2プロセッサは、通信端末機器中の参加者識別モジュールに組み込まれていることを特徴とする請求項1ないし23のいずれか1項に記載のデータ処理装置。
【請求項27】
請求項1ないし26のいずれか1項に記載のデータ処理装置を有する通信端末機器。
【請求項28】
データ処理装置を用いてデータ処理を行うデータ処理方法であって、
データ入力ユニットを用いて、データを前記データ処理装置に入力する工程と、
第1プロセッサが、システムバスによって前記第1プロセッサに接続されるデータ入力ユニット周辺ブロックを介して前記データ入力ユニットを制御して、前記データ入力ユニットに入力されたデータの受信および処理を行う、第1データ入力モードを実行する工程と、
第2プロセッサが、前記システムバスによって前記第2プロセッサに接続される前記データ入力ユニット周辺ブロックを介して前記データ入力ユニットを制御して、前記データ入力ユニットに入力されたデータの受信および処理を行う、セキュリティ関連データを入力する第2データ入力モードを実行する工程と、
を含む方法。
【請求項1】
データ処理装置であって、
前記データ処理装置にデータを入力するためのデータ入力ユニットと、
第1プロセッサと、
第2プロセッサと、
データ入力ユニット周辺ブロックと、
を有し、
前記第1プロセッサは、第1データ入力モードにおいて、前記データ入力ユニット周辺ブロックを介して前記データ入力ユニットを制御して、前記データ入力ユニットに入力されたデータの受信および処理を行い、
前記第2プロセッサは、セキュリティ関連データを入力する第2データ入力モードにおいて、前記データ入力ユニット周辺ブロックを介して前記データ入力ユニットを制御して、前記データ入力ユニットに入力されたデータの受信および処理を行い、
前記第1プロセッサおよび前記第2プロセッサは、システムバスによって、前記データ入力ユニット周辺ブロックに接続されることを特徴とするデータ処理装置。
【請求項2】
前記データ入力ユニットは、
キーボード、データ通信インタフェース、タッチパネル、接触感知型の表示ユニット、コンピュータマウス、および、マイクのいずれか1つであることを特徴とする請求項1に記載のデータ処理装置。
【請求項3】
前記第1プロセッサは、アプリケーションコンピュータプログラムを実行するアプリケーションプロセッサとして設計されていることを特徴とする請求項1または2に記載のデータ処理装置。
【請求項4】
前記第1プロセッサにより、オープンオペレーティングシステムが実行されることを特徴とする請求項1ないし3のいずれか1項に記載のデータ処理装置。
【請求項5】
前記オープンオペレーティングシステムは、オペレーティングシステム外の通信インタフェースを少なくとも1つ有することを特徴とする請求項4に記載のデータ処理装置。
【請求項6】
前記オープンオペレーティングシステムは、WINDOWS(マイクロソフト コーポレイションの登録商標)オペレーティングシステム、Linux(トルヴアルドズ リヌスの登録商標)オペレーティングシステム、UNIX(エックス/オープン・カンパニー・リミテッドの登録商標)オペレーティングシステム、SYMBIAN(シンビアン リミテッドの登録商標)、および、JAVA(サン・マイクロシステムズ・インコーポレーテッドの登録商標)プラットフォームのいずれか1つであることを特徴とする請求項4または5に記載のデータ処理装置。
【請求項7】
前記第2プロセッサは、1つまたは複数のトラスティッドコンピュータプログラムのみを実行可能であるように設計されていることを特徴とする請求項1ないし6のいずれか1項に記載のデータ処理装置。
【請求項8】
前記トラスティッドコンピュータプログラムは、完全性が保証されたコンピュータプログラムであることを特徴とする請求項7に記載のデータ処理装置。
【請求項9】
前記完全性が保証されたコンピュータプログラムは、暗号化により完全性が保証されたコンピュータプログラムであることを特徴とする請求項8に記載のデータ処理装置。
【請求項10】
トラスティッドコンピュータプログラムは、少なくとも1つのセキュリティ関連サービスを行うように設計されていることを特徴とする請求項7ないし9のいずれか1項に記載のデータ処理装置。
【請求項11】
前記セキュリティ関連サービスは、暗号を用いたセキュリティサービスであることを特徴とする請求項10に記載のデータ処理装置。
【請求項12】
前記暗号を用いたセキュリティサービスは、少なくとも1つの暗号鍵を用いて行われることを特徴とする請求項11に記載のデータ処理装置。
【請求項13】
前記暗号を用いたセキュリティサービスは、少なくとも1つの秘密暗号鍵および/または少なくとも1つの公開暗号鍵を用いて行われることを特徴とする請求項12に記載のデータ処理装置。
【請求項14】
前記暗号を用いたセキュリティサービスは、デジタル署名、デジタル印章、認証、データ符号化、ログイン、アクセス制御、データ通信内のトラフィック分析の阻止、および、ハッシュ法の少なくともいずれか1つであることを特徴とする請求項11ないし13のいずれか1項に記載のデータ処理装置。
【請求項15】
入力されたデータの少なくとも1部分を表示するためのデータ表示ユニットを備えていることを特徴とする請求項1ないし14のいずれか1項に記載のデータ処理装置。
【請求項16】
前記第2プロセッサは、前記第2データ入力モードでは入力されたデータを受信し、
入力されたデータとは異なるデータであって、入力されたデータのデータシンボルと等しい数のデータシンボルを有するデータを、前記第1プロセッサおよび/または前記データ表示ユニットに伝送するように設計されていることを特徴とする請求項15に記載のデータ処理装置。
【請求項17】
前記第2プロセッサから、前記第1プロセッサおよび/または前記データ表示ユニットに伝送されるデータは、一連の所定のデータシンボルであり、前記データシンボルの数は入力されるデータのデータシンボルの数に等しいことを特徴とする請求項16に記載のデータ処理装置。
【請求項18】
前記第2データ入力モードでは、前記第2プロセッサが、前記第1プロセッサおよび/または前記データ表示ユニットに、セキュリティモード表示情報を伝送するように、前記第2プロセッサが設計されていることを特徴とする請求項15ないし17のいずれか1項に記載のデータ処理装置。
【請求項19】
前記セキュリティモード表示情報は、視覚情報および/または音声情報であることを特徴とする請求項18に記載のデータ処理装置。
【請求項20】
前記第1プロセッサから前記第2プロセッサへ、または、前記第2プロセッサから前記第1プロセッサへ、前記データ入力ユニットの制御が移行される際に、前記第1プロセッサと前記第2プロセッサとの間での通信を行うためのプセセッサ間連絡ユニットが設けられていることを特徴とする請求項1ないし19のいずれか1項に記載のデータ処理装置。
【請求項21】
前記第1データ入力モードで入力されたデータを前記第1プロセッサに伝送し、前記第2データ入力モードで入力されたデータを前記第2プロセッサに伝送するように設計された前記データ入力ユニットの駆動ユニットが設けられていることを特徴とする請求項1ないし19のいずれか1項に記載のデータ処理装置。
【請求項22】
前記データ入力ユニットの駆動ユニットは、前記第2データ入力モードで入力されたデータとは異なるデータであって、前記第2データ入力モードで入力されたデータのデータシンボルの数と等しい数のデータシンボルを有するデータを、前記第1プロセッサおよび/または前記データ表示ユニットに伝送するように設計されていることを特徴とする請求項21に記載のデータ処理装置。
【請求項23】
前記第1プロセッサおよび/または前記データ表示ユニットに伝送されるデータは、一連の所定のデータシンボルであり、前記データシンボルの数は、入力されたデータのデータシンボルの数に等しいことを特徴とする請求項22に記載のデータ処理装置。
【請求項24】
前記第2プロセッサは、デジタル信号プロセッサであることを特徴とする請求項1ないし23のいずれか1項に記載のデータ処理装置。
【請求項25】
前記第2プロセッサは、チップカードプロセッサとして設計されていることを特徴とする請求項1ないし23のいずれか1項に記載のデータ処理装置。
【請求項26】
前記第2プロセッサは、通信端末機器中の参加者識別モジュールに組み込まれていることを特徴とする請求項1ないし23のいずれか1項に記載のデータ処理装置。
【請求項27】
請求項1ないし26のいずれか1項に記載のデータ処理装置を有する通信端末機器。
【請求項28】
データ処理装置を用いてデータ処理を行うデータ処理方法であって、
データ入力ユニットを用いて、データを前記データ処理装置に入力する工程と、
第1プロセッサが、システムバスによって前記第1プロセッサに接続されるデータ入力ユニット周辺ブロックを介して前記データ入力ユニットを制御して、前記データ入力ユニットに入力されたデータの受信および処理を行う、第1データ入力モードを実行する工程と、
第2プロセッサが、前記システムバスによって前記第2プロセッサに接続される前記データ入力ユニット周辺ブロックを介して前記データ入力ユニットを制御して、前記データ入力ユニットに入力されたデータの受信および処理を行う、セキュリティ関連データを入力する第2データ入力モードを実行する工程と、
を含む方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2010−92485(P2010−92485A)
【公開日】平成22年4月22日(2010.4.22)
【国際特許分類】
【出願番号】特願2009−234157(P2009−234157)
【出願日】平成21年10月8日(2009.10.8)
【分割の表示】特願2005−373541(P2005−373541)の分割
【原出願日】平成17年12月26日(2005.12.26)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(501209070)インフィネオン テクノロジーズ アクチエンゲゼルシャフト (331)
【Fターム(参考)】
【公開日】平成22年4月22日(2010.4.22)
【国際特許分類】
【出願日】平成21年10月8日(2009.10.8)
【分割の表示】特願2005−373541(P2005−373541)の分割
【原出願日】平成17年12月26日(2005.12.26)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(501209070)インフィネオン テクノロジーズ アクチエンゲゼルシャフト (331)
【Fターム(参考)】
[ Back to top ]