トランスポンダからデータを安全に読み取る方法
本発明は、第1トランスポンダ(TAG1)からトランシーバ(REA)内へのデータ(dat)を読み取る方法を開示する。この(dat)が第1トランスポンダ(TAG1)からトランシーバ(REA)に送信されるのは、第2トランスポンダ(TAG2)がトランシーバ(REA)のRFID通信範囲内に存在し、2個のトランスポンダ(TAG1,TAG2)間に肯定的な認証手順がトランシーバ(REA)のRFID通信範囲内で行われたときのみである。第2トランスポンダ(TAG2)は、好適には固定トランスポンダ(TAG2)とし、第1トランスポンダ(TAG1)はモバイル型のトランスポンダとすることができる。本発明は、さらに、データ(dat)を読み取るこのような方法に用いられるトランスポンダ(TAG1,TAG2)ならびにトランシーバ(REA)に関する。更に本発明は、第1トランスポンダ(TAG1)を取り付けたポスター(POS)、ならびに、このようなポスター(POS)および第2トランスポンダ(TAG2)を取り付けるポスター壁(WAL)に関する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、第1トランスポンダからトランシーバにデータを読み込む方法、トランシーバを介して他のトランスポンダと相互通信するトランスポンダ、2個のトランスポンダ間の通信を制御するトランシーバ、トランスポンダを装備するポスター、ならびにポスターおよびトランスポンダを装備するポスター壁に関するものである。
【背景技術】
【0002】
スマートカード及びRFID(無線周波数識別)タグ(本明細書では「トランスポンダ」と称する)のような識別製品は、輸送(発券業務、道路料金支払い、荷物へのタグ付け)、金融(デビット及びクレジットカード、電子マネー、商取引カード)、通信(GSM電話用のSIMカード)及び追跡管理(アクセス制御、在庫管理、資産管理)の業界で広く用いられている。国際標準ISO14443Aは、非接触のスマートカード用の工業規格である。MIFARE(登録商標)のようなISO14443A規格の製品は、カードもしくはタグと読み取りデバイス(本明細書では「トランシーバ」と称する)と間のデータ送信用の、RF通信技術を提供する。例えば、公共交通機関用の電子発券業務において、旅行者は回転式改札口または入場地点でリーダ(読み取り機)上にカードをかざすだけでよく、発券処理が以前よりも便利で迅速となった恩恵が得られる。このような製品は、道路料金、航空券、アクセス制御、および他の多くの様々なアプリケーションを支え、将来的には個人の移動性向上の鍵となるであろう。
【0003】
非接触識別及びネットワーク技術の組み合わせから発展してきたニアフィールドコミュニケーション(NFC)は、数センチ内の距離での極めて近距離レンジのワイヤレス技術であり、分かりやすく簡便で信頼性が高く、様々なデバイス間でユーザー設定を必要としない通信用に最適化されている。2個のデバイスを通信させるために、ユーザーは両デバイスを近接させるか、もしくは互いに接触させる。これらデバイスのNFCインタフェースは、自動的に接続し、ピアツーピアネットワークを形成するよう構成される。NFCは、Bluetooth(登録商標)またはワイヤレス・イーサネット(WiFi)(「イーサネット」は登録商標)のような他のプロトコルも、設定及びセッションのデータを相互交換することで、ブートストラップすることができる。NFCは非接触スマートカードのプラットフォームと互換性がある。このため、NFCデバイスはこれらのカードから情報を読み込むことができ、非接触のスマートカードを情報や伝票をNFCの世界へ持ち込む理想的な手法にする。最近では、NFCインタフェースは携帯電話や他の携帯デバイスに広く用いられている。
【0004】
例えば、「スマートポスター」は任意のもしくは公告用のプラカードとして知られており、受動型RFIDタグのような、トランスポンダを備えている。トランスポンダに格納されたデータはトランシーバを用いることで読み取ることができ、従来のスマートカードリーダ/ライタ、または携帯電話のようなNFCが有効なモバイル型デバイスとして、実用化することができる。
【0005】
データは直接トランスポンダに格納するか、または、典型的なスマートポスターのアプリケーションにおいては「データ」をURL(「Uniform Resource Locator」)の形態で格納する。URLは、指定のサービス、情報源、または「リアル」データへのリンクもしくはリファレンスを表す。トランシーバでスマートポスターにタッチすることで、電話は自動的にリモートWebサーバに接続(例えばGPRS接続)を成立させ、URLによって参照されるコンテンツ/データをトランシーバにロードする。
【0006】
特定ソリューションでは、しばしば、上述したRFIDタグまたは非接触スマートカードのようなトランスポンダが、特定の位置/ロケーションもしくは特別に規定した領域内でしか動作しないようにすることが必要となる。とくに、上述したスマートポスターは、特定の指定ロケーションでのみ動作し、他の場所では動作してはならない。例えば、トランスポンダ(または対応するスマートポスター)が公共交通システムでシステム内への搭乗手続き用に使用される場合、利用者は搭乗手続きをするためにスマートポスターに「タッチ」しなければならない。この手順を用いて、利用者は公共交通システム用のチケットを「購入」する。
【0007】
そのような用途(アプリケーション)のためには、公共交通の運用者によりスマートポスターが設置されている特定ロケーションにおいてのみ、搭乗手続きの処理が動作することが必要である。この必要条件が満たされない場合、悪意のある使用者が搭乗手続き用のトランスポンダを備えたスマートポスターを(またはトランスポンダをポスターから)取り外して公共交通システムに入場したり、係員を見つけたとしても、盗んだスマートポスターまたは盗んだスマートポスターのトランスポンダをタッチしたりすることで、搭乗手続きをすることができる。そのような状況では、スマートポスターまたはスマートポスター用トランスポンダは、指定ロケーションから取り外された場合に動作しないことが保証されねばならず、また搭乗手続きの処理が指定ロケーションに限定されることも保証されねばならない。
【0008】
(例えばポスターにおける)トランスポンダが特定ロケーションでのみ動作する必要がある他の事例としては、例えば異なる消費者ごとの所定情報を格納するトランスポンダの運用者が、そのようなトランスポンダまたはポスターを設置するのに魅力的なロケーションを見出すために、特定ロケーションにおける特定のトランスポンダに対する接触回数および/または接触頻度を測定および評価することに関心がある場合がある。この場合、スマートポスターのタグの機能性が設置ロケーションに依存するはずである。
【0009】
特定の指定ロケーションでのみ稼動せねばならない、このようなトランスポンダまたはスマートポスターの誤用を防止する従来技術の方法は、スマートポスターまたは少なくともトランスポンダを、構造的(ハードウェア)手段により違法な盗難から保護する。例えば、強化ガラスの形式として盗難防止を施すことで、スマートポスター/トランスポンダを盗難および破壊行為から保護する。この従来の手法は、トランスポンダの運用者にとって非常にコストがかかるという欠点がある。
【0010】
とくに、スマートポスターのアプリケーションが期間限定のアプリケーション、すなわちトランスポンダにより得られるデータが一定期間しか有効でない場合等の際、スマートポスターのアプリケーションが終わった際に、スマートポスターまたはトランスポンダを取り外すか、または少なくともトランスポンダを停止させる必要がある。トランスポンダ/スマートポスターを盗難から保護するための構造的(ハードウェア)手段は、この観点からも考慮しなければならず、この点もまた運用コストに影響する。
【発明の開示】
【発明が解決しようとする課題】
【0011】
本発明の目的は、上述の欠点を解決することができる、冒頭で述べたタイプの方法、トランスポンダ、トランシーバ、ポスター、及びポスター壁を得ることにある。
【0012】
とくに、本発明の目的は、特定の指定ロケーションでのみ動作しなければならないトランスポンダまたはスマートポスターの悪用(誤用)を防止する、廉価で導入しやすい解決法(ソリューション)を得ることにある。
【0013】
上述の目的を達成するために、本発明による方法は、以下の特徴を有する。すなわち、本発明は、
第1トランスポンダからトランシーバ内にデータを読み込む方法において、前記トランシーバは、前記第1トランスポンダおよび第2トランスポンダが同時にトランシーバのRFID通信範囲内に存在するとき、以下のステップを行う、すなわち、
‐データを送信するよう依頼する要求を前記第1トランスポンダに送信した後、前記第1トランスポンダから交換情報を受信するステップと、
‐前記交換情報を前記第2トランスポンダに送信するステップと、
‐前記第2トランスポンダから暗号化情報を受信するステップであって、この暗号化情報は、前記第2トランスポンダのキーにより暗号化された、前記第1トランスポンダの交換情報を表すものとした該暗号化情報を受信するステップと、
‐前記第1トランスポンダに前記暗号化情報を送信するステップと、
‐前記第1トランスポンダがデータへのアクセスを許可される場合に、第1トランスポンダから要求したデータを受信するステップと
を行うことを特徴とする。
【0014】
トランシーバを介して他のトランスポンダと通信するトランスポンダによっても、本発明の目的達成され、このトランスポンダにおいては、
‐交換情報を作成する交換情報作成手段と、
‐前記交換情報を前記トランシーバに送信する送信手段と、
‐前記トランシーバから暗号化情報を受信する暗号化情報受信手段と、
‐前記暗号化情報を解読情報に復号化する復号化手段と、
‐前記暗号化情報の復号化結果から得られる解読情報と、作成手段により生成された交換情報との比較手段と
を備えたことを特徴とする。
【0015】
トランシーバを介して他のトランスポンダと通信するトランスポンダによっても、本発明の目的は達成でき、このトランスポンダにおいては、
‐前記トランシーバから交換情報を受信する受信手段と、
‐前記交換情報を暗号化する暗号化手段と、
‐前記交換情報を暗号化することにより得られた暗号化情報をトランシーバに送信する送信手段と
を備えたことを特徴とする。
【0016】
トランシーバを介して他のトランスポンダと通信するトランスポンダによっても、本発明による他の目的を達成でき、このこのトランスポンダにおいては、
‐交換情報を生成する交換情報生成手段と、
‐前記交換情報を前記トランシーバに送信し、また前記受信した交換情報を暗号化することによって得られた暗号化情報をトランシーバに送信する送信手段と、
‐トランシーバからの暗号化情報の受信し、またトランシーバからの交換情報を受信する受信手段と、
‐前記暗号化情報を解読情報に復号する復号化手段と、
‐暗号化情報を復号化することにより得られる解読情報’と、前記交換情報生成手段により生成された交換情報とを比較する比較手段と、
‐前記交換情報を暗号化する暗号化手段と
を備えたことを特徴とする。
【0017】
発明の目的を達成するために、2個のトランスポンダ間の通信を制御するトランシーバも開示し、このトランシーバにおいては、
‐前記第1および第2のトランスポンダからの交換情報および暗号化情報を受信する受信手段と、
‐前記第1および第2のトランスポンダより受信した、交換情報および暗号化情報を前記第2および第1のトランスポンダに送信し、前記交換情報および暗号化情報は、前記第2および第1のトランスポンダに送信することを意図したものとした送信手段と
を備えたことを特徴とする。
【0018】
本発明の他の課題解決手段としては、トランスポンダのうちの一方からデータを受信する受信手段を有するトランシーバがある。
【0019】
最後に、本発明の目的は、トランスポンダを取り付けたポスター、ならびにこのようなポスターを有するポスター壁により解決される。
【発明の効果】
【0020】
本発明による独自の特徴によれば、第1トランスポンダが第2トランスポンダに近接する場合、すなわち双方のトランスポンダがトランシーバの通信範囲内に存在する場合のみ、トランシーバは、第1トランスポンダからデータを提供されるという利点が生まれる。この場合、トランシーバを介する双方のトランスポンダ間の相互通信は、トランシーバが双方のトランスポンダに近接したときの生ずる。データを担持する第1トランスポンダは、第2トランスポンダが存在することを確認し、第2トランスポンダの存在が確認できる場合のみ、第1トランスポンダ上に格納したデータへのアクセスが許可される。第1トランスポンダ上に格納されたデータへのアクセスは、第1トランスポンダが第2トランスポンダから取り外されたときは、自動的に無効となる。
【0021】
本発明によれば、構造手段のような他のコストのかかる手法を用いて、窃盗から第1トランスポンダを保護する必要がないという利点が得られる。したがって、本発明によれば、第1トランスポンダの移動可能性をもたらす。
【0022】
本発明による課題解決法は、トランスポンダとトランシーバと間の標準化された通信、ならびに、トランスポンダとトランシーバと間の従来技術としてよく知られる標準的認証手順を用いるものであり、したがって、本発明は、既存のトランシーバに関するインフラ内で実現できる。しかしこのような認証は、トランスポンダとトランシーバが互いに近接していれば、いかなる場所でも動作してしまうため、認証は、双方のトランスポンダが同時にトランシーバの通信範囲内に存在する場合にのみ可能となるよう第2トランスポンダを使用する。
【0023】
トランシーバを介したトランスポンダとの通信を可能にする、他のサーバを認証手順に用いる従来技術も知られており、米国特許第6,717,507号にはリーダ(読み取り機)でトランスポンダから情報を読み取ることでメディアソースにアクセスしまた制御する方法が記載されている。
【0024】
しかし、これら既知の手法は全て、特定ロケーションからトランスポンダを取り外すことを防ぐのに適していない。何故なら、トランスポンダの認証機能、またはメディアソースへのアクセスもしくは制御は、サーバに対するトランスポンダの位置またはトランスポンダの位置に対するメディアソースの位置に依存しないからである。
【0025】
しかし、特許請求の範囲に係る本発明によれば、認証手順が動作するには、双方のトランスポンダが同時にRFID通信範囲内にある必要がある。トランスポンダをその位置から取り外すとき、認証はもはや動作せず、第1トランスポンダ上に格納されたデータにアクセスできない。
【0026】
好適には、トランシーバが、第1トランスポンダに要求を送信した後で、かつ第1トランスポンダから前記交換情報を受信する前に、以下のステップを行う、すなわち、
‐前記第2トランスポンダから他の第1交換情報を受信するステップと、
この第1交換情報を‐前記第1トランスポンダに送信するステップと、
‐前記第1トランスポンダから第1暗号化情報を受信するステップであって、この第1暗号化情報は、前記第1トランスポンダのキーにより暗号化した前記第2トランスポンダの交換情報を表すものとした、該第1暗号化情報受信ステップと、
‐前記第1暗号化情報を前記第2トランスポンダに送信するステップと
を行うようにする。
【0027】
これにより、2個のトランスポンダ間における、追加の認証手順が得られる。この認証手順によれば、第1トランスポンダおよび第2トランスポンダを異なる人員、組織、もしくは事業者により運用することが可能となる。これは、すなわち、第1トランスポンダは、第2トランスポンダが第1トランスポンダに近接するときにのみデータをリーダ(読み取り機)に供給するだけであり、第2トランスポンダにより供されるサービスは、第1トランスポンダがそれ自体を第2トランスポンダに認証させる場合にのみ要求されるためである。
【0028】
第2トランスポンダは、固定の非移動トランスポンダとしても利点がある。このようにすると、悪意のある人間が第1および第2のトランスポンダを共に取り外すことができないという利点をもたらす。第2トランスポンダを盗難から保護する構造手段を設けることは、余分なコストがかかる。しかし、第1トランスポンダとは異なり、第2トランスポンダは、通常ただ一度導入されるだけであるため、これらの措置によれば比較的低コストで安全性を増すことができる。
【0029】
さらにもう一つの有益な課題解決は、交換情報を乱数とする方法である。交換情報としての乱数の使用はいわゆる「リプレーアタック」ができないという利点をもたらすため、それにより通信の安全性を向上させることができる。
【0030】
さらには、双方のトランスポンダを受動型トランスポンダとする場合および/または、第1および第2のトランスポンダを同一とする場合、利点がある。この場合、低コストという利点が得られる。
【0031】
トランスポンダが、データを蓄積するため、および/または交換情報/暗号化情報の暗号化/復号化で用いたキーを格納するための記憶手段を有する場合にも有益である。キーを遠隔ロケーションからフェッチしなくてもよいため、認証プロセスは極めて迅速に行われる。
【0032】
トランシーバが、一方のトランスポンダからデータを受信する手段を有する場合にも利点がある。
【0033】
本発明の上述のおよび他の特徴は、以下に説明する実施形態を参照することにより、明らかになるであろう。
【発明を実施するための最良の形態】
【0034】
図1に、公共交通システムのスケジュールを告示するポスターPOSを示す。このポスターPOSに第1トランスポンダTAG1を取り付ける。公共交通システムのチケットを購入するため、ユーザーは所有するトランシーバ(リーダ)REAを第トランスポンダTAG1に近づけると、関連データdat(図2参照)が第1トランスポンダTAG1からトランシーバREAに転送される。
【0035】
関連データdatは、第1トランスポンダTAG1上に直接格納できることに留意されたい。しかし、このデータdatへのURLのような、リファレンスのみを第1トランスポンダTAG1上に格納し、またデータ自体はリモートサーバ上に格納することもできる。この場合、リーダREAは、URLのようなリファレンスを使用して、例えばリファレンスへのGPRS接続を確立させることにより、サーバから上述のデータを得ることができる。本明細書では、「第1トランスポンダTAG1上に格納したデータdat」という語句には、双方の状況が含まれる。
【0036】
ポスターPOSはポスター壁WAL上に取り付ける。このポスター壁WALに第2トランスポンダTAG2を取り付け、第1トランスポンダTAG1および第2トランスポンダTAG2は互いに近接させる。双方のトランスポンダTAG1,TAG2は、好適にはパッシブ(受動)型のRFIDタグとする。さらに、同一のトランスポンダTAG1,TAG2を用いることができる。
【0037】
第1トランスポンダTAG1からデータdatを読み取りたいユーザーは、第1トランスポンダTAG1に、所有するトランシーバREAで「タッチ(接触)」しなければならない。つまり、ユーザー、所有するトランシーバREAを第1トランスポンダTAG1に近接させ、第1トランスポンダTAG1がトランシーバREAのRFID通信範囲内にあるようにする必要がある。
【0038】
第1トランスポンダTAG1および第2トランスポンダTAG2は互いに近接しているため、双方のトランスポンダTAG1,TAG2は、トランシーバREAによって生ずる一つの電磁場内で電力供給されて動作する。トランシーバREAは各トランスポンダTAG1,TAG2と個別に通信することができ、2個のトランスポンダTAG1,TAG2の通信はトランシーバREAを介して実現される。このようにして、トランシーバREAは2個のトランスポンダTAG1,TAG2の通信を制御する。
【0039】
第2トランスポンダTAG2は、第2トランスポンダTAG2に対する盗難および破壊行為から保護されたポスター壁WAL上に、取り外し不能に取り付ける。例えば、第2トランスポンダTAG2はポスター壁WALのコンクリートブロック内に配置する、または第2トランスポンダTAG2を、強化ガラスのような他の構造手段によって盗難および/または破壊行為から保護する。
【0040】
本発明の基本的な技術的思想は、第2トランスポンダTAG2が第1トランスポンダTAG1を認証していない限り、第1トランスポンダTAG1は、トランシーバREAへの通信アクセスを拒否することにある。このようにして、第2トランスポンダTAG2が適正な暗号プロトコルを適用することで、第1トランスポンダTAG1を認証した場合にのみ、第1トランスポンダTAG1は自身に格納したデータへのアクセスを許可する。この構成は、構造的な手段ではなく論理的な手段によって、第1トランスポンダTAG1を指定ロケーションに結びつける。
【0041】
ポスターPOSおよび対応する第1トランスポンダTAG1および、第2トランスポンダTAG2を有するポスター壁WALは、同一オペレータにより運用することができる。しかし、ポスターPOSおよびポスター壁WALは通常、異なるオペレータにより運用される。第1トランスポンダTAG1上に、この第1トランスポンダから読み取ることができる対応するデータdatを格納することで、特定のアプリケーションを提供する第1事業者(「アプリケーションプロバイダ」)によって、第1トランスポンダTAG1は運用される。この場合、アプリケーションプロバイダは、公共交通システム用のモバイルチケット購入を許可するものである。第2トランスポンダTAG2は第2事業者(「サービスプロバイダ」)により運用される。
【0042】
本発明による通信を確立する前には、異なるトランスポンダを「個別化する」必要がある。このことは、肯定的な認証手順に必要な「アプリケーションプロバイダ」および「サービスプロバイダ」のキーが、対応するトランスポンダ上に格納されていなければならない。
【0043】
第1トランスポンダTAG1の個別化は、安全で信頼性のある環境内、例えばポスター印刷工場内、ポスター配送ステーション内、ポスターPOSをポスター壁WALに掲示する間に行うべきである(「信頼性のある安全環境内での出荷前個別化」)。
【0044】
図2は、トランシーバREAを介して通信する第1トランスポンダTAG1および第2トランスポンダTAG2を、より詳細に示す。第1トランスポンダTAG1は、交換情報C2および暗号化情報R1のような情報をトランシーバREAに送信する送信/受信手段SER1を有する。更に、この送信/受信手段SER1は、交換情報C1および暗号化情報R2のような情報をトランシーバREAから受信し得るようにする。
【0045】
第1トランスポンダTAG1は、通常乱数である交換情報C2を生成する交換情報生成手段RAN1も有する。さらにまた、暗号化/復号化手段ENC/DEC1を設け、この暗号化/復号化手段ENC/DEC1は、トランシーバREAを介して第2トランスポンダTAG2から受信した交換情報C1を暗号化情報R1に暗号化し、またトランシーバREAを介して第2トランスポンダTAG2から受信した暗号化情報R2を解読情報C2′に復号する。
【0046】
第1トランスポンダTAG1は、さらに、交換情報生成手段RAN1により生成された交換情報C2と、上述の解読情報C2′とを比較する比較手段COMP1を有する。最終的に、データdatおよび本発明による認証手順に必要なキーK1s、K2pを格納する記憶手段MEM1を設ける。
【0047】
第2トランスポンダTAG2は、交換情報C1および暗号化情報R2のような情報をトランシーバREAに送信する送信/受信手段SER2を有する。さらに、この送信/受信手段SER2は、交換情報C2および暗号化情報R1のような情報をトランシーバREAから受信し得るようにする。
【0048】
第2トランスポンダTAG2は、通常乱数である交換情報C1を生成する交換情報手段RAN2も有する。さらに、暗号化/復号化手段ENC/DEC2を設け、この暗号化/復号化手段ENC/DEC2は、トランシーバREAを介して第1トランシーバTAG1から受信した交換情報C2を暗号化情報R2に暗号化し、またトランシーバREAを介して第1トランスポンダTAG1から受信した暗号化情報R1を解読情報C1′に復号する。
【0049】
第2トランスポンダTAG2は、さらに、交換情報生成手段RAN2により生成された交換情報C1と、上述の解読情報C1′とを比較する比較手段COMP2を有する。最終的に、本発明による認証手順に必要なキーK1p、K2sを格納する記憶手段MEM2を設ける。
【0050】
2個のトランスポンダTAG1,TAG2間の通信プロセスにおいて、非対称暗号化ならびに対称暗号化を使用することができる。対称暗号化の場合、暗号化および復号化のためのキーは同一とし、信頼性のある環境でキーを交換する必要がある。対称暗号化によれば、僅かな「計算処理能力」しか必要とせず、またトランスポンダのメモリに関する限り僅かなメモリしか必要としない利点がある。しかし、非対称暗号化によれば、キーを信頼性のある環境で交換する必要がないという利点がある。
【0051】
図2においては、第1トランスポンダTAG1の公開キーK1pおよび秘密キーK1sからなる第1キーペア、ならびに、第2トランスポンダTAG2の公開キーK2p及び秘密キーK2sからなる第2キーペアを有して、非対称暗号化を使用するものと仮定する。第1トランスポンダTAG1の秘密キーK1sおよび第2トランスポンダTAG2の公開キーK2pを、第1トランスポンダTAG1上に格納し、第2トランスポンダTAG2の秘密キーK2sおよび第1トランスポンダTAG1の公開キーK1pを、第トランスポンダTAG2上に蓄積される。
【0052】
図2には、さらに、第1、第2のトランスポンダTAG1,TAG2からの情報C1,C2,R1,R2ならびにデータdatを送受信するよう設計した送信/受信手段SERを有するトランシーバREAも記載する。
【0053】
図3は、本発明による方法の主要な態様を、簡単に示す。まず、トランシーバREAは、第1トランスポンダTAG1上に格納されているデータdatを送るように依頼する要求reqを、第1トランスポンダTAG1に送信する。第1トランスポンダTAG1は、この要求を拒否して交換情報C2を生成し、つぎに、この交換情報C2をトランシーバREAに送信する。トランシーバREAは、この交換情報C2を第2トランスポンダTAG2に送信し、この第2トランスポンダTAG2で上記交換情報C2を暗号化情報R2に暗号化する。この暗号化情報R2を、トランシーバREAを介して第1トランスポンダTAG1に送信する。
【0054】
第1トランスポンダTAG1は、この暗号化情報R2を解読情報C2′に復号する。この解読情報C2′を、オリジナルの交換情報C2と比較する。オリジナル情報C2と解読情報C2′とが同一ならば、第1トランスポンダTAG1は要求されたデータdatをトランシーバREAに送信する。
【0055】
この認証手順は、1トランスポンダTAG1および第2トランスポンダTAG2がともにトランシーバREAのRFID通信範囲内で接近しているときのみ動作するため、第1トランスポンダTAG1は、自身に格納したデーdatを特定の明確に規定された領域内でのみ、トランシーバREAに提供する。
【0056】
図3中に記載した方法は、双方のトランスポンダTAG1,TAG2が同一の「プロバイダ」によって運用されているときに使用する。とくに、対称暗号化が用いられ、暗号化および復号化に使用するキーが秘密であるとき、「第1トランスポンダTAG1を特定ロケーションに結びつける」サービスは、秘密キーの所有者にのみ提供することができる。
【0057】
トランスポンダTAG1,TAG2が異なるプロバイダによって運用されるとき、図4中に詳述するように、追加の認証手順を行うと有利である。図4においては、非対称暗号化を適用するものと仮定する。図4に示す方法によれば、トランシーバREAは要求reqを第1トランスポンダTAG1に送信する。第1トランスポンダTAG1は、トランシーバREAを介して第2トランスポンダTAG2に取得信号getを送信することにより、第2トランスポンダTAG2から交換情報を取得することを要求する。第2トランスポンダTAG2は、トランシーバREAを介して第1トランスポンダTAG1に交換情報C1を送信する。
【0058】
第1トランスポンダTAG1は、この交換情報C1を秘密キーK1sにより暗号化情報R1に暗号化する。この暗号化情報R1を、トランシーバREAを介して第2トランスポンダTAG2に送信する。さらに、第1トランスポンダTAG1の交換情報C2を第2トランスポンダTAG2に送信する。
【0059】
第2トランスポンダTAG2は、まず、第1トランスポンダTAG1からの暗号化情報R1を、公開キーK1pにより解読情報C1′に復号する。つぎにこの解読情報C1′を、第1トランスポンダTAG1に送信したオリジナルの交換情報C1と比較する。両情報C1およびC1′が同一であるとき、第2トランスポンダTAG2に対する第1トランスポンダTAG1の認証は成功する。認証に成功した場合、第2トランスポンダTAG2は、第1トランスポンダTAG1から受信した交換情報C2を、秘密キーK2sにより暗号化情報R2に暗号化する。この暗号化情報R2を第1トランスポンダTAG1にトランシーバREAを介して送信する。
【0060】
第1トランスポンダTAG1は、この暗号化情報R2を公開キーK2pにより解読情報C2′に復号する。上記解読情報C2′は、オリジナルの交換情報C2と比較する。オリジナルの情報C2と解読情報C2′が同一ならば、第1トランスポンダTAG1はトランシーバREAに要求されたデータdatを送信する。
【0061】
この認証手順は、第1トランスポンダTAG1および第2トランスポンダTAG2が互いに近接しトランシーバREAの通信範囲内に存在するときのみ動作するため、第1トランスポンダTAG1は、自身に格納したデータdatを、特定の明確に規定された領域内でのみ、をトランシーバREAに提供する。
【0062】
以下に、従来技術の方法と比較して、本発明方法により得られる利点は、以下の通りである。すなわち、
‐すべてのトランスポンダを受動型タグとすることができるため低コストである。
‐第2トランスポンダTAG2がアプリケーション固有のデータを蓄積する必要がない、したがって、第2トランスポンダTAG2のアプリケーションに固有の個別化が不要である。第2トランスポンダTAG2の運用コストは最小限に抑えられる。
‐第1トランスポンダTAG1のアプリケーションに固有の個別化は、生産時間内に行うことができる。第1トランスポンダTAG1を現場で個別化する(出荷後個別化)必要がない。これにより。現場での誤った個別化が起こり得なくなるという利点がある。
‐単純化、すなわちキー管理が単純である。簡単なキー管理により、第1トランスポンダTAG1および第2トランスポンダTAG2のプロバイダを別々のにすることができる。第1トランスポンダTAG1の運用者、および第2トランスポンダTAG2の運用者は、同一信頼モデルの下で動作する必要がない、すなわち共通の秘密キーを共有する必要がない。セキュリティ関連のキー交換および複雑なキー交換プロセスが不要である。
‐単純化、すなわち(スマート)ポスターPOSの設置は機械的な保護が必要ではない。
‐セキュリティ、すなわちポスターPOSは、指定ポスター配置場所から取り外すことができないよう保護される。本発明は、望ましくない配置場所にポスターを設置できないよう保護する。
【0063】
上述の実施例は、本発明を限定するものではなく例示的なものであり、また当業者であれば、添付の特許請求の範囲に定義した本発明の範囲から逸脱することなく、多くの変更した実施例として設計することができるものであることに留意されたい。特許請求の範囲における、括弧内のあらゆる参照符号は、特許請求の範囲を制限するものではない。「〜から成る」という動詞及びその活用形の使用は、全ての請求項もしくは明細内で述べられたものとは別の要素もしくは段階の存在を、除外するものではない。1つの要素の参照は、複数のそのような要素の参照等を除外するものではない。複数の手段を列挙したデバイス請求項内では、複数あるそれらの手段はハードウェアもしくはソフトウェアの同一のアイテムによる実施形態に集約されている。特定の措置が互いに異なる独立した請求項で列挙されている事実は、それらの措置を組み合わせて使用しても利点が生じないことを示しているわけではない。
【図面の簡単な説明】
【0064】
【図1】本発明のあり得る実施例を示す説明図である。
【図2】本発明による、トランシーバを介して通信する第1及び第2のトランスポンダを示すブロック図である。
【図3】本発明による方法における第1実施例のフローチャートである。
【図4】本発明による方法にとける第2の実施例のフローチャートである。
【技術分野】
【0001】
本発明は、第1トランスポンダからトランシーバにデータを読み込む方法、トランシーバを介して他のトランスポンダと相互通信するトランスポンダ、2個のトランスポンダ間の通信を制御するトランシーバ、トランスポンダを装備するポスター、ならびにポスターおよびトランスポンダを装備するポスター壁に関するものである。
【背景技術】
【0002】
スマートカード及びRFID(無線周波数識別)タグ(本明細書では「トランスポンダ」と称する)のような識別製品は、輸送(発券業務、道路料金支払い、荷物へのタグ付け)、金融(デビット及びクレジットカード、電子マネー、商取引カード)、通信(GSM電話用のSIMカード)及び追跡管理(アクセス制御、在庫管理、資産管理)の業界で広く用いられている。国際標準ISO14443Aは、非接触のスマートカード用の工業規格である。MIFARE(登録商標)のようなISO14443A規格の製品は、カードもしくはタグと読み取りデバイス(本明細書では「トランシーバ」と称する)と間のデータ送信用の、RF通信技術を提供する。例えば、公共交通機関用の電子発券業務において、旅行者は回転式改札口または入場地点でリーダ(読み取り機)上にカードをかざすだけでよく、発券処理が以前よりも便利で迅速となった恩恵が得られる。このような製品は、道路料金、航空券、アクセス制御、および他の多くの様々なアプリケーションを支え、将来的には個人の移動性向上の鍵となるであろう。
【0003】
非接触識別及びネットワーク技術の組み合わせから発展してきたニアフィールドコミュニケーション(NFC)は、数センチ内の距離での極めて近距離レンジのワイヤレス技術であり、分かりやすく簡便で信頼性が高く、様々なデバイス間でユーザー設定を必要としない通信用に最適化されている。2個のデバイスを通信させるために、ユーザーは両デバイスを近接させるか、もしくは互いに接触させる。これらデバイスのNFCインタフェースは、自動的に接続し、ピアツーピアネットワークを形成するよう構成される。NFCは、Bluetooth(登録商標)またはワイヤレス・イーサネット(WiFi)(「イーサネット」は登録商標)のような他のプロトコルも、設定及びセッションのデータを相互交換することで、ブートストラップすることができる。NFCは非接触スマートカードのプラットフォームと互換性がある。このため、NFCデバイスはこれらのカードから情報を読み込むことができ、非接触のスマートカードを情報や伝票をNFCの世界へ持ち込む理想的な手法にする。最近では、NFCインタフェースは携帯電話や他の携帯デバイスに広く用いられている。
【0004】
例えば、「スマートポスター」は任意のもしくは公告用のプラカードとして知られており、受動型RFIDタグのような、トランスポンダを備えている。トランスポンダに格納されたデータはトランシーバを用いることで読み取ることができ、従来のスマートカードリーダ/ライタ、または携帯電話のようなNFCが有効なモバイル型デバイスとして、実用化することができる。
【0005】
データは直接トランスポンダに格納するか、または、典型的なスマートポスターのアプリケーションにおいては「データ」をURL(「Uniform Resource Locator」)の形態で格納する。URLは、指定のサービス、情報源、または「リアル」データへのリンクもしくはリファレンスを表す。トランシーバでスマートポスターにタッチすることで、電話は自動的にリモートWebサーバに接続(例えばGPRS接続)を成立させ、URLによって参照されるコンテンツ/データをトランシーバにロードする。
【0006】
特定ソリューションでは、しばしば、上述したRFIDタグまたは非接触スマートカードのようなトランスポンダが、特定の位置/ロケーションもしくは特別に規定した領域内でしか動作しないようにすることが必要となる。とくに、上述したスマートポスターは、特定の指定ロケーションでのみ動作し、他の場所では動作してはならない。例えば、トランスポンダ(または対応するスマートポスター)が公共交通システムでシステム内への搭乗手続き用に使用される場合、利用者は搭乗手続きをするためにスマートポスターに「タッチ」しなければならない。この手順を用いて、利用者は公共交通システム用のチケットを「購入」する。
【0007】
そのような用途(アプリケーション)のためには、公共交通の運用者によりスマートポスターが設置されている特定ロケーションにおいてのみ、搭乗手続きの処理が動作することが必要である。この必要条件が満たされない場合、悪意のある使用者が搭乗手続き用のトランスポンダを備えたスマートポスターを(またはトランスポンダをポスターから)取り外して公共交通システムに入場したり、係員を見つけたとしても、盗んだスマートポスターまたは盗んだスマートポスターのトランスポンダをタッチしたりすることで、搭乗手続きをすることができる。そのような状況では、スマートポスターまたはスマートポスター用トランスポンダは、指定ロケーションから取り外された場合に動作しないことが保証されねばならず、また搭乗手続きの処理が指定ロケーションに限定されることも保証されねばならない。
【0008】
(例えばポスターにおける)トランスポンダが特定ロケーションでのみ動作する必要がある他の事例としては、例えば異なる消費者ごとの所定情報を格納するトランスポンダの運用者が、そのようなトランスポンダまたはポスターを設置するのに魅力的なロケーションを見出すために、特定ロケーションにおける特定のトランスポンダに対する接触回数および/または接触頻度を測定および評価することに関心がある場合がある。この場合、スマートポスターのタグの機能性が設置ロケーションに依存するはずである。
【0009】
特定の指定ロケーションでのみ稼動せねばならない、このようなトランスポンダまたはスマートポスターの誤用を防止する従来技術の方法は、スマートポスターまたは少なくともトランスポンダを、構造的(ハードウェア)手段により違法な盗難から保護する。例えば、強化ガラスの形式として盗難防止を施すことで、スマートポスター/トランスポンダを盗難および破壊行為から保護する。この従来の手法は、トランスポンダの運用者にとって非常にコストがかかるという欠点がある。
【0010】
とくに、スマートポスターのアプリケーションが期間限定のアプリケーション、すなわちトランスポンダにより得られるデータが一定期間しか有効でない場合等の際、スマートポスターのアプリケーションが終わった際に、スマートポスターまたはトランスポンダを取り外すか、または少なくともトランスポンダを停止させる必要がある。トランスポンダ/スマートポスターを盗難から保護するための構造的(ハードウェア)手段は、この観点からも考慮しなければならず、この点もまた運用コストに影響する。
【発明の開示】
【発明が解決しようとする課題】
【0011】
本発明の目的は、上述の欠点を解決することができる、冒頭で述べたタイプの方法、トランスポンダ、トランシーバ、ポスター、及びポスター壁を得ることにある。
【0012】
とくに、本発明の目的は、特定の指定ロケーションでのみ動作しなければならないトランスポンダまたはスマートポスターの悪用(誤用)を防止する、廉価で導入しやすい解決法(ソリューション)を得ることにある。
【0013】
上述の目的を達成するために、本発明による方法は、以下の特徴を有する。すなわち、本発明は、
第1トランスポンダからトランシーバ内にデータを読み込む方法において、前記トランシーバは、前記第1トランスポンダおよび第2トランスポンダが同時にトランシーバのRFID通信範囲内に存在するとき、以下のステップを行う、すなわち、
‐データを送信するよう依頼する要求を前記第1トランスポンダに送信した後、前記第1トランスポンダから交換情報を受信するステップと、
‐前記交換情報を前記第2トランスポンダに送信するステップと、
‐前記第2トランスポンダから暗号化情報を受信するステップであって、この暗号化情報は、前記第2トランスポンダのキーにより暗号化された、前記第1トランスポンダの交換情報を表すものとした該暗号化情報を受信するステップと、
‐前記第1トランスポンダに前記暗号化情報を送信するステップと、
‐前記第1トランスポンダがデータへのアクセスを許可される場合に、第1トランスポンダから要求したデータを受信するステップと
を行うことを特徴とする。
【0014】
トランシーバを介して他のトランスポンダと通信するトランスポンダによっても、本発明の目的達成され、このトランスポンダにおいては、
‐交換情報を作成する交換情報作成手段と、
‐前記交換情報を前記トランシーバに送信する送信手段と、
‐前記トランシーバから暗号化情報を受信する暗号化情報受信手段と、
‐前記暗号化情報を解読情報に復号化する復号化手段と、
‐前記暗号化情報の復号化結果から得られる解読情報と、作成手段により生成された交換情報との比較手段と
を備えたことを特徴とする。
【0015】
トランシーバを介して他のトランスポンダと通信するトランスポンダによっても、本発明の目的は達成でき、このトランスポンダにおいては、
‐前記トランシーバから交換情報を受信する受信手段と、
‐前記交換情報を暗号化する暗号化手段と、
‐前記交換情報を暗号化することにより得られた暗号化情報をトランシーバに送信する送信手段と
を備えたことを特徴とする。
【0016】
トランシーバを介して他のトランスポンダと通信するトランスポンダによっても、本発明による他の目的を達成でき、このこのトランスポンダにおいては、
‐交換情報を生成する交換情報生成手段と、
‐前記交換情報を前記トランシーバに送信し、また前記受信した交換情報を暗号化することによって得られた暗号化情報をトランシーバに送信する送信手段と、
‐トランシーバからの暗号化情報の受信し、またトランシーバからの交換情報を受信する受信手段と、
‐前記暗号化情報を解読情報に復号する復号化手段と、
‐暗号化情報を復号化することにより得られる解読情報’と、前記交換情報生成手段により生成された交換情報とを比較する比較手段と、
‐前記交換情報を暗号化する暗号化手段と
を備えたことを特徴とする。
【0017】
発明の目的を達成するために、2個のトランスポンダ間の通信を制御するトランシーバも開示し、このトランシーバにおいては、
‐前記第1および第2のトランスポンダからの交換情報および暗号化情報を受信する受信手段と、
‐前記第1および第2のトランスポンダより受信した、交換情報および暗号化情報を前記第2および第1のトランスポンダに送信し、前記交換情報および暗号化情報は、前記第2および第1のトランスポンダに送信することを意図したものとした送信手段と
を備えたことを特徴とする。
【0018】
本発明の他の課題解決手段としては、トランスポンダのうちの一方からデータを受信する受信手段を有するトランシーバがある。
【0019】
最後に、本発明の目的は、トランスポンダを取り付けたポスター、ならびにこのようなポスターを有するポスター壁により解決される。
【発明の効果】
【0020】
本発明による独自の特徴によれば、第1トランスポンダが第2トランスポンダに近接する場合、すなわち双方のトランスポンダがトランシーバの通信範囲内に存在する場合のみ、トランシーバは、第1トランスポンダからデータを提供されるという利点が生まれる。この場合、トランシーバを介する双方のトランスポンダ間の相互通信は、トランシーバが双方のトランスポンダに近接したときの生ずる。データを担持する第1トランスポンダは、第2トランスポンダが存在することを確認し、第2トランスポンダの存在が確認できる場合のみ、第1トランスポンダ上に格納したデータへのアクセスが許可される。第1トランスポンダ上に格納されたデータへのアクセスは、第1トランスポンダが第2トランスポンダから取り外されたときは、自動的に無効となる。
【0021】
本発明によれば、構造手段のような他のコストのかかる手法を用いて、窃盗から第1トランスポンダを保護する必要がないという利点が得られる。したがって、本発明によれば、第1トランスポンダの移動可能性をもたらす。
【0022】
本発明による課題解決法は、トランスポンダとトランシーバと間の標準化された通信、ならびに、トランスポンダとトランシーバと間の従来技術としてよく知られる標準的認証手順を用いるものであり、したがって、本発明は、既存のトランシーバに関するインフラ内で実現できる。しかしこのような認証は、トランスポンダとトランシーバが互いに近接していれば、いかなる場所でも動作してしまうため、認証は、双方のトランスポンダが同時にトランシーバの通信範囲内に存在する場合にのみ可能となるよう第2トランスポンダを使用する。
【0023】
トランシーバを介したトランスポンダとの通信を可能にする、他のサーバを認証手順に用いる従来技術も知られており、米国特許第6,717,507号にはリーダ(読み取り機)でトランスポンダから情報を読み取ることでメディアソースにアクセスしまた制御する方法が記載されている。
【0024】
しかし、これら既知の手法は全て、特定ロケーションからトランスポンダを取り外すことを防ぐのに適していない。何故なら、トランスポンダの認証機能、またはメディアソースへのアクセスもしくは制御は、サーバに対するトランスポンダの位置またはトランスポンダの位置に対するメディアソースの位置に依存しないからである。
【0025】
しかし、特許請求の範囲に係る本発明によれば、認証手順が動作するには、双方のトランスポンダが同時にRFID通信範囲内にある必要がある。トランスポンダをその位置から取り外すとき、認証はもはや動作せず、第1トランスポンダ上に格納されたデータにアクセスできない。
【0026】
好適には、トランシーバが、第1トランスポンダに要求を送信した後で、かつ第1トランスポンダから前記交換情報を受信する前に、以下のステップを行う、すなわち、
‐前記第2トランスポンダから他の第1交換情報を受信するステップと、
この第1交換情報を‐前記第1トランスポンダに送信するステップと、
‐前記第1トランスポンダから第1暗号化情報を受信するステップであって、この第1暗号化情報は、前記第1トランスポンダのキーにより暗号化した前記第2トランスポンダの交換情報を表すものとした、該第1暗号化情報受信ステップと、
‐前記第1暗号化情報を前記第2トランスポンダに送信するステップと
を行うようにする。
【0027】
これにより、2個のトランスポンダ間における、追加の認証手順が得られる。この認証手順によれば、第1トランスポンダおよび第2トランスポンダを異なる人員、組織、もしくは事業者により運用することが可能となる。これは、すなわち、第1トランスポンダは、第2トランスポンダが第1トランスポンダに近接するときにのみデータをリーダ(読み取り機)に供給するだけであり、第2トランスポンダにより供されるサービスは、第1トランスポンダがそれ自体を第2トランスポンダに認証させる場合にのみ要求されるためである。
【0028】
第2トランスポンダは、固定の非移動トランスポンダとしても利点がある。このようにすると、悪意のある人間が第1および第2のトランスポンダを共に取り外すことができないという利点をもたらす。第2トランスポンダを盗難から保護する構造手段を設けることは、余分なコストがかかる。しかし、第1トランスポンダとは異なり、第2トランスポンダは、通常ただ一度導入されるだけであるため、これらの措置によれば比較的低コストで安全性を増すことができる。
【0029】
さらにもう一つの有益な課題解決は、交換情報を乱数とする方法である。交換情報としての乱数の使用はいわゆる「リプレーアタック」ができないという利点をもたらすため、それにより通信の安全性を向上させることができる。
【0030】
さらには、双方のトランスポンダを受動型トランスポンダとする場合および/または、第1および第2のトランスポンダを同一とする場合、利点がある。この場合、低コストという利点が得られる。
【0031】
トランスポンダが、データを蓄積するため、および/または交換情報/暗号化情報の暗号化/復号化で用いたキーを格納するための記憶手段を有する場合にも有益である。キーを遠隔ロケーションからフェッチしなくてもよいため、認証プロセスは極めて迅速に行われる。
【0032】
トランシーバが、一方のトランスポンダからデータを受信する手段を有する場合にも利点がある。
【0033】
本発明の上述のおよび他の特徴は、以下に説明する実施形態を参照することにより、明らかになるであろう。
【発明を実施するための最良の形態】
【0034】
図1に、公共交通システムのスケジュールを告示するポスターPOSを示す。このポスターPOSに第1トランスポンダTAG1を取り付ける。公共交通システムのチケットを購入するため、ユーザーは所有するトランシーバ(リーダ)REAを第トランスポンダTAG1に近づけると、関連データdat(図2参照)が第1トランスポンダTAG1からトランシーバREAに転送される。
【0035】
関連データdatは、第1トランスポンダTAG1上に直接格納できることに留意されたい。しかし、このデータdatへのURLのような、リファレンスのみを第1トランスポンダTAG1上に格納し、またデータ自体はリモートサーバ上に格納することもできる。この場合、リーダREAは、URLのようなリファレンスを使用して、例えばリファレンスへのGPRS接続を確立させることにより、サーバから上述のデータを得ることができる。本明細書では、「第1トランスポンダTAG1上に格納したデータdat」という語句には、双方の状況が含まれる。
【0036】
ポスターPOSはポスター壁WAL上に取り付ける。このポスター壁WALに第2トランスポンダTAG2を取り付け、第1トランスポンダTAG1および第2トランスポンダTAG2は互いに近接させる。双方のトランスポンダTAG1,TAG2は、好適にはパッシブ(受動)型のRFIDタグとする。さらに、同一のトランスポンダTAG1,TAG2を用いることができる。
【0037】
第1トランスポンダTAG1からデータdatを読み取りたいユーザーは、第1トランスポンダTAG1に、所有するトランシーバREAで「タッチ(接触)」しなければならない。つまり、ユーザー、所有するトランシーバREAを第1トランスポンダTAG1に近接させ、第1トランスポンダTAG1がトランシーバREAのRFID通信範囲内にあるようにする必要がある。
【0038】
第1トランスポンダTAG1および第2トランスポンダTAG2は互いに近接しているため、双方のトランスポンダTAG1,TAG2は、トランシーバREAによって生ずる一つの電磁場内で電力供給されて動作する。トランシーバREAは各トランスポンダTAG1,TAG2と個別に通信することができ、2個のトランスポンダTAG1,TAG2の通信はトランシーバREAを介して実現される。このようにして、トランシーバREAは2個のトランスポンダTAG1,TAG2の通信を制御する。
【0039】
第2トランスポンダTAG2は、第2トランスポンダTAG2に対する盗難および破壊行為から保護されたポスター壁WAL上に、取り外し不能に取り付ける。例えば、第2トランスポンダTAG2はポスター壁WALのコンクリートブロック内に配置する、または第2トランスポンダTAG2を、強化ガラスのような他の構造手段によって盗難および/または破壊行為から保護する。
【0040】
本発明の基本的な技術的思想は、第2トランスポンダTAG2が第1トランスポンダTAG1を認証していない限り、第1トランスポンダTAG1は、トランシーバREAへの通信アクセスを拒否することにある。このようにして、第2トランスポンダTAG2が適正な暗号プロトコルを適用することで、第1トランスポンダTAG1を認証した場合にのみ、第1トランスポンダTAG1は自身に格納したデータへのアクセスを許可する。この構成は、構造的な手段ではなく論理的な手段によって、第1トランスポンダTAG1を指定ロケーションに結びつける。
【0041】
ポスターPOSおよび対応する第1トランスポンダTAG1および、第2トランスポンダTAG2を有するポスター壁WALは、同一オペレータにより運用することができる。しかし、ポスターPOSおよびポスター壁WALは通常、異なるオペレータにより運用される。第1トランスポンダTAG1上に、この第1トランスポンダから読み取ることができる対応するデータdatを格納することで、特定のアプリケーションを提供する第1事業者(「アプリケーションプロバイダ」)によって、第1トランスポンダTAG1は運用される。この場合、アプリケーションプロバイダは、公共交通システム用のモバイルチケット購入を許可するものである。第2トランスポンダTAG2は第2事業者(「サービスプロバイダ」)により運用される。
【0042】
本発明による通信を確立する前には、異なるトランスポンダを「個別化する」必要がある。このことは、肯定的な認証手順に必要な「アプリケーションプロバイダ」および「サービスプロバイダ」のキーが、対応するトランスポンダ上に格納されていなければならない。
【0043】
第1トランスポンダTAG1の個別化は、安全で信頼性のある環境内、例えばポスター印刷工場内、ポスター配送ステーション内、ポスターPOSをポスター壁WALに掲示する間に行うべきである(「信頼性のある安全環境内での出荷前個別化」)。
【0044】
図2は、トランシーバREAを介して通信する第1トランスポンダTAG1および第2トランスポンダTAG2を、より詳細に示す。第1トランスポンダTAG1は、交換情報C2および暗号化情報R1のような情報をトランシーバREAに送信する送信/受信手段SER1を有する。更に、この送信/受信手段SER1は、交換情報C1および暗号化情報R2のような情報をトランシーバREAから受信し得るようにする。
【0045】
第1トランスポンダTAG1は、通常乱数である交換情報C2を生成する交換情報生成手段RAN1も有する。さらにまた、暗号化/復号化手段ENC/DEC1を設け、この暗号化/復号化手段ENC/DEC1は、トランシーバREAを介して第2トランスポンダTAG2から受信した交換情報C1を暗号化情報R1に暗号化し、またトランシーバREAを介して第2トランスポンダTAG2から受信した暗号化情報R2を解読情報C2′に復号する。
【0046】
第1トランスポンダTAG1は、さらに、交換情報生成手段RAN1により生成された交換情報C2と、上述の解読情報C2′とを比較する比較手段COMP1を有する。最終的に、データdatおよび本発明による認証手順に必要なキーK1s、K2pを格納する記憶手段MEM1を設ける。
【0047】
第2トランスポンダTAG2は、交換情報C1および暗号化情報R2のような情報をトランシーバREAに送信する送信/受信手段SER2を有する。さらに、この送信/受信手段SER2は、交換情報C2および暗号化情報R1のような情報をトランシーバREAから受信し得るようにする。
【0048】
第2トランスポンダTAG2は、通常乱数である交換情報C1を生成する交換情報手段RAN2も有する。さらに、暗号化/復号化手段ENC/DEC2を設け、この暗号化/復号化手段ENC/DEC2は、トランシーバREAを介して第1トランシーバTAG1から受信した交換情報C2を暗号化情報R2に暗号化し、またトランシーバREAを介して第1トランスポンダTAG1から受信した暗号化情報R1を解読情報C1′に復号する。
【0049】
第2トランスポンダTAG2は、さらに、交換情報生成手段RAN2により生成された交換情報C1と、上述の解読情報C1′とを比較する比較手段COMP2を有する。最終的に、本発明による認証手順に必要なキーK1p、K2sを格納する記憶手段MEM2を設ける。
【0050】
2個のトランスポンダTAG1,TAG2間の通信プロセスにおいて、非対称暗号化ならびに対称暗号化を使用することができる。対称暗号化の場合、暗号化および復号化のためのキーは同一とし、信頼性のある環境でキーを交換する必要がある。対称暗号化によれば、僅かな「計算処理能力」しか必要とせず、またトランスポンダのメモリに関する限り僅かなメモリしか必要としない利点がある。しかし、非対称暗号化によれば、キーを信頼性のある環境で交換する必要がないという利点がある。
【0051】
図2においては、第1トランスポンダTAG1の公開キーK1pおよび秘密キーK1sからなる第1キーペア、ならびに、第2トランスポンダTAG2の公開キーK2p及び秘密キーK2sからなる第2キーペアを有して、非対称暗号化を使用するものと仮定する。第1トランスポンダTAG1の秘密キーK1sおよび第2トランスポンダTAG2の公開キーK2pを、第1トランスポンダTAG1上に格納し、第2トランスポンダTAG2の秘密キーK2sおよび第1トランスポンダTAG1の公開キーK1pを、第トランスポンダTAG2上に蓄積される。
【0052】
図2には、さらに、第1、第2のトランスポンダTAG1,TAG2からの情報C1,C2,R1,R2ならびにデータdatを送受信するよう設計した送信/受信手段SERを有するトランシーバREAも記載する。
【0053】
図3は、本発明による方法の主要な態様を、簡単に示す。まず、トランシーバREAは、第1トランスポンダTAG1上に格納されているデータdatを送るように依頼する要求reqを、第1トランスポンダTAG1に送信する。第1トランスポンダTAG1は、この要求を拒否して交換情報C2を生成し、つぎに、この交換情報C2をトランシーバREAに送信する。トランシーバREAは、この交換情報C2を第2トランスポンダTAG2に送信し、この第2トランスポンダTAG2で上記交換情報C2を暗号化情報R2に暗号化する。この暗号化情報R2を、トランシーバREAを介して第1トランスポンダTAG1に送信する。
【0054】
第1トランスポンダTAG1は、この暗号化情報R2を解読情報C2′に復号する。この解読情報C2′を、オリジナルの交換情報C2と比較する。オリジナル情報C2と解読情報C2′とが同一ならば、第1トランスポンダTAG1は要求されたデータdatをトランシーバREAに送信する。
【0055】
この認証手順は、1トランスポンダTAG1および第2トランスポンダTAG2がともにトランシーバREAのRFID通信範囲内で接近しているときのみ動作するため、第1トランスポンダTAG1は、自身に格納したデーdatを特定の明確に規定された領域内でのみ、トランシーバREAに提供する。
【0056】
図3中に記載した方法は、双方のトランスポンダTAG1,TAG2が同一の「プロバイダ」によって運用されているときに使用する。とくに、対称暗号化が用いられ、暗号化および復号化に使用するキーが秘密であるとき、「第1トランスポンダTAG1を特定ロケーションに結びつける」サービスは、秘密キーの所有者にのみ提供することができる。
【0057】
トランスポンダTAG1,TAG2が異なるプロバイダによって運用されるとき、図4中に詳述するように、追加の認証手順を行うと有利である。図4においては、非対称暗号化を適用するものと仮定する。図4に示す方法によれば、トランシーバREAは要求reqを第1トランスポンダTAG1に送信する。第1トランスポンダTAG1は、トランシーバREAを介して第2トランスポンダTAG2に取得信号getを送信することにより、第2トランスポンダTAG2から交換情報を取得することを要求する。第2トランスポンダTAG2は、トランシーバREAを介して第1トランスポンダTAG1に交換情報C1を送信する。
【0058】
第1トランスポンダTAG1は、この交換情報C1を秘密キーK1sにより暗号化情報R1に暗号化する。この暗号化情報R1を、トランシーバREAを介して第2トランスポンダTAG2に送信する。さらに、第1トランスポンダTAG1の交換情報C2を第2トランスポンダTAG2に送信する。
【0059】
第2トランスポンダTAG2は、まず、第1トランスポンダTAG1からの暗号化情報R1を、公開キーK1pにより解読情報C1′に復号する。つぎにこの解読情報C1′を、第1トランスポンダTAG1に送信したオリジナルの交換情報C1と比較する。両情報C1およびC1′が同一であるとき、第2トランスポンダTAG2に対する第1トランスポンダTAG1の認証は成功する。認証に成功した場合、第2トランスポンダTAG2は、第1トランスポンダTAG1から受信した交換情報C2を、秘密キーK2sにより暗号化情報R2に暗号化する。この暗号化情報R2を第1トランスポンダTAG1にトランシーバREAを介して送信する。
【0060】
第1トランスポンダTAG1は、この暗号化情報R2を公開キーK2pにより解読情報C2′に復号する。上記解読情報C2′は、オリジナルの交換情報C2と比較する。オリジナルの情報C2と解読情報C2′が同一ならば、第1トランスポンダTAG1はトランシーバREAに要求されたデータdatを送信する。
【0061】
この認証手順は、第1トランスポンダTAG1および第2トランスポンダTAG2が互いに近接しトランシーバREAの通信範囲内に存在するときのみ動作するため、第1トランスポンダTAG1は、自身に格納したデータdatを、特定の明確に規定された領域内でのみ、をトランシーバREAに提供する。
【0062】
以下に、従来技術の方法と比較して、本発明方法により得られる利点は、以下の通りである。すなわち、
‐すべてのトランスポンダを受動型タグとすることができるため低コストである。
‐第2トランスポンダTAG2がアプリケーション固有のデータを蓄積する必要がない、したがって、第2トランスポンダTAG2のアプリケーションに固有の個別化が不要である。第2トランスポンダTAG2の運用コストは最小限に抑えられる。
‐第1トランスポンダTAG1のアプリケーションに固有の個別化は、生産時間内に行うことができる。第1トランスポンダTAG1を現場で個別化する(出荷後個別化)必要がない。これにより。現場での誤った個別化が起こり得なくなるという利点がある。
‐単純化、すなわちキー管理が単純である。簡単なキー管理により、第1トランスポンダTAG1および第2トランスポンダTAG2のプロバイダを別々のにすることができる。第1トランスポンダTAG1の運用者、および第2トランスポンダTAG2の運用者は、同一信頼モデルの下で動作する必要がない、すなわち共通の秘密キーを共有する必要がない。セキュリティ関連のキー交換および複雑なキー交換プロセスが不要である。
‐単純化、すなわち(スマート)ポスターPOSの設置は機械的な保護が必要ではない。
‐セキュリティ、すなわちポスターPOSは、指定ポスター配置場所から取り外すことができないよう保護される。本発明は、望ましくない配置場所にポスターを設置できないよう保護する。
【0063】
上述の実施例は、本発明を限定するものではなく例示的なものであり、また当業者であれば、添付の特許請求の範囲に定義した本発明の範囲から逸脱することなく、多くの変更した実施例として設計することができるものであることに留意されたい。特許請求の範囲における、括弧内のあらゆる参照符号は、特許請求の範囲を制限するものではない。「〜から成る」という動詞及びその活用形の使用は、全ての請求項もしくは明細内で述べられたものとは別の要素もしくは段階の存在を、除外するものではない。1つの要素の参照は、複数のそのような要素の参照等を除外するものではない。複数の手段を列挙したデバイス請求項内では、複数あるそれらの手段はハードウェアもしくはソフトウェアの同一のアイテムによる実施形態に集約されている。特定の措置が互いに異なる独立した請求項で列挙されている事実は、それらの措置を組み合わせて使用しても利点が生じないことを示しているわけではない。
【図面の簡単な説明】
【0064】
【図1】本発明のあり得る実施例を示す説明図である。
【図2】本発明による、トランシーバを介して通信する第1及び第2のトランスポンダを示すブロック図である。
【図3】本発明による方法における第1実施例のフローチャートである。
【図4】本発明による方法にとける第2の実施例のフローチャートである。
【特許請求の範囲】
【請求項1】
第1トランスポンダからトランシーバ内にデータを読み込む方法において、前記トランシーバは、前記第1トランスポンダおよび第2トランスポンダが同時にトランシーバのRFID通信範囲内に存在するとき、以下のステップを行う、すなわち、
‐データを送信するよう依頼する要求を前記第1トランスポンダに送信した後、前記第1トランスポンダから交換情報を受信するステップと、
‐前記交換情報を前記第2トランスポンダに送信するステップと、
‐前記第2トランスポンダから暗号化情報を受信するステップであって、この暗号化情報は、前記第2トランスポンダのキーにより暗号化された、前記第1トランスポンダの交換情報を表すものとした該暗号化情報を受信するステップと、
‐前記第1トランスポンダに前記暗号化情報を送信するステップと、
‐前記第1トランスポンダがデータへのアクセスを許可される場合に、第1トランスポンダから要求したデータを受信するステップと
を行うことを特徴とするデータ読み込み方法。
【請求項2】
請求項1に記載の方法において、トランシーバが、第1トランスポンダに要求を送信した後で、かつ第1トランスポンダから前記交換情報を受信する前に、以下のステップを行う、すなわち、
‐前記第2トランスポンダから他の第1交換情報を受信するステップと、
この第1交換情報を‐前記第1トランスポンダに送信するステップと、
‐前記第1トランスポンダから第1暗号化情報を受信するステップであって、この第1暗号化情報は、前記第1トランスポンダのキーにより暗号化した前記第2トランスポンダの交換情報を表すものとした、該第1暗号化情報受信ステップと、
‐前記第1暗号化情報を前記第2トランスポンダに送信するステップと
を行う方法。
【請求項3】
請求項1または2に記載した方法において、前記第2トランスポンダは、固定の非移動トランスポンダとした方法。
【請求項4】
請求項1または2記載の方法において、前記交換情報を乱数とした方法。
【請求項5】
請求項1または2記載の方法において、前記第1および第2のトランスポンダを受動型のトランスポンダとした方法。
【請求項6】
請求項1または2記載の方法において、前記第1および第2のトランスポンダを同一のものとした方法。
【請求項7】
トランシーバを介して他のトランスポンダと相互に通信するトランスポンダにおいて、
‐交換情報を作成する交換情報作成手段と、
‐前記交換情報を前記トランシーバに送信する送信手段と、
‐前記トランシーバから暗号化情報を受信する暗号化情報受信手段と、
‐前記暗号化情報を解読情報に復号化する復号化手段と、
‐前記暗号化情報の復号化結果から得られる解読情報と、作成手段により生成された交換情報との比較手段と
を備えたことを特徴とするトランスポンダ。
【請求項8】
トランシーバを介して他のトランスポンダと相互に通信するトランスポンダにおいて、
‐前記トランシーバから交換情報を受信する受信手段と、
‐前記交換情報を暗号化する暗号化手段と、
‐前記交換情報を暗号化することにより得られた暗号化情報をトランシーバに送信する送信手段と
を備えたことを特徴とするトランスポンダ。
【請求項9】
トランシーバを介して他のトランスポンダと相互に通信するトランスポンダにおいて、
‐交換情報を生成する交換情報生成手段と、
‐前記交換情報を前記トランシーバに送信し、また前記受信した交換情報を暗号化することによって得られた暗号化情報をトランシーバに送信する送信手段と、
‐トランシーバからの暗号化情報の受信し、またトランシーバからの交換情報を受信する受信手段と、
‐前記暗号化情報を解読情報に復号する復号化手段と、
‐暗号化情報を復号化することにより得られる解読情報’と、前記交換情報生成手段により生成された交換情報とを比較する比較手段と、
‐前記交換情報を暗号化する暗号化手段と
を備えたことを特徴とするトランスポンダ。
【請求項10】
2個のトランスポンダの通信を制御するトランシーバにおいて、
‐前記第1および第2のトランスポンダからの交換情報および暗号化情報を受信する受信手段と、
‐前記第1および第2のトランスポンダより受信した、交換情報および暗号化情報を前記第2および第1のトランスポンダに送信し、前記交換情報および暗号化情報は、前記第2および第1のトランスポンダに送信することを意図したものとした送信手段と
を備えたことを特徴とするトランシーバ。
【請求項11】
請求項7〜9のうちいずれか一項に記載のトランスポンダを取り付けることを特徴とするポスター。
【請求項12】
請求項11記載のポスター、および請求項8または9記載のトランスポンダを取り付けることを特徴とするポスター壁。
【請求項1】
第1トランスポンダからトランシーバ内にデータを読み込む方法において、前記トランシーバは、前記第1トランスポンダおよび第2トランスポンダが同時にトランシーバのRFID通信範囲内に存在するとき、以下のステップを行う、すなわち、
‐データを送信するよう依頼する要求を前記第1トランスポンダに送信した後、前記第1トランスポンダから交換情報を受信するステップと、
‐前記交換情報を前記第2トランスポンダに送信するステップと、
‐前記第2トランスポンダから暗号化情報を受信するステップであって、この暗号化情報は、前記第2トランスポンダのキーにより暗号化された、前記第1トランスポンダの交換情報を表すものとした該暗号化情報を受信するステップと、
‐前記第1トランスポンダに前記暗号化情報を送信するステップと、
‐前記第1トランスポンダがデータへのアクセスを許可される場合に、第1トランスポンダから要求したデータを受信するステップと
を行うことを特徴とするデータ読み込み方法。
【請求項2】
請求項1に記載の方法において、トランシーバが、第1トランスポンダに要求を送信した後で、かつ第1トランスポンダから前記交換情報を受信する前に、以下のステップを行う、すなわち、
‐前記第2トランスポンダから他の第1交換情報を受信するステップと、
この第1交換情報を‐前記第1トランスポンダに送信するステップと、
‐前記第1トランスポンダから第1暗号化情報を受信するステップであって、この第1暗号化情報は、前記第1トランスポンダのキーにより暗号化した前記第2トランスポンダの交換情報を表すものとした、該第1暗号化情報受信ステップと、
‐前記第1暗号化情報を前記第2トランスポンダに送信するステップと
を行う方法。
【請求項3】
請求項1または2に記載した方法において、前記第2トランスポンダは、固定の非移動トランスポンダとした方法。
【請求項4】
請求項1または2記載の方法において、前記交換情報を乱数とした方法。
【請求項5】
請求項1または2記載の方法において、前記第1および第2のトランスポンダを受動型のトランスポンダとした方法。
【請求項6】
請求項1または2記載の方法において、前記第1および第2のトランスポンダを同一のものとした方法。
【請求項7】
トランシーバを介して他のトランスポンダと相互に通信するトランスポンダにおいて、
‐交換情報を作成する交換情報作成手段と、
‐前記交換情報を前記トランシーバに送信する送信手段と、
‐前記トランシーバから暗号化情報を受信する暗号化情報受信手段と、
‐前記暗号化情報を解読情報に復号化する復号化手段と、
‐前記暗号化情報の復号化結果から得られる解読情報と、作成手段により生成された交換情報との比較手段と
を備えたことを特徴とするトランスポンダ。
【請求項8】
トランシーバを介して他のトランスポンダと相互に通信するトランスポンダにおいて、
‐前記トランシーバから交換情報を受信する受信手段と、
‐前記交換情報を暗号化する暗号化手段と、
‐前記交換情報を暗号化することにより得られた暗号化情報をトランシーバに送信する送信手段と
を備えたことを特徴とするトランスポンダ。
【請求項9】
トランシーバを介して他のトランスポンダと相互に通信するトランスポンダにおいて、
‐交換情報を生成する交換情報生成手段と、
‐前記交換情報を前記トランシーバに送信し、また前記受信した交換情報を暗号化することによって得られた暗号化情報をトランシーバに送信する送信手段と、
‐トランシーバからの暗号化情報の受信し、またトランシーバからの交換情報を受信する受信手段と、
‐前記暗号化情報を解読情報に復号する復号化手段と、
‐暗号化情報を復号化することにより得られる解読情報’と、前記交換情報生成手段により生成された交換情報とを比較する比較手段と、
‐前記交換情報を暗号化する暗号化手段と
を備えたことを特徴とするトランスポンダ。
【請求項10】
2個のトランスポンダの通信を制御するトランシーバにおいて、
‐前記第1および第2のトランスポンダからの交換情報および暗号化情報を受信する受信手段と、
‐前記第1および第2のトランスポンダより受信した、交換情報および暗号化情報を前記第2および第1のトランスポンダに送信し、前記交換情報および暗号化情報は、前記第2および第1のトランスポンダに送信することを意図したものとした送信手段と
を備えたことを特徴とするトランシーバ。
【請求項11】
請求項7〜9のうちいずれか一項に記載のトランスポンダを取り付けることを特徴とするポスター。
【請求項12】
請求項11記載のポスター、および請求項8または9記載のトランスポンダを取り付けることを特徴とするポスター壁。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2008−541289(P2008−541289A)
【公表日】平成20年11月20日(2008.11.20)
【国際特許分類】
【出願番号】特願2008−511855(P2008−511855)
【出願日】平成18年5月19日(2006.5.19)
【国際出願番号】PCT/IB2006/051593
【国際公開番号】WO2006/123316
【国際公開日】平成18年11月23日(2006.11.23)
【出願人】(507219491)エヌエックスピー ビー ヴィ (657)
【Fターム(参考)】
【公表日】平成20年11月20日(2008.11.20)
【国際特許分類】
【出願日】平成18年5月19日(2006.5.19)
【国際出願番号】PCT/IB2006/051593
【国際公開番号】WO2006/123316
【国際公開日】平成18年11月23日(2006.11.23)
【出願人】(507219491)エヌエックスピー ビー ヴィ (657)
【Fターム(参考)】
[ Back to top ]