プライバシーを保護し追跡を防止しながらトランスポンダの固定の識別番号を与えるシステム
トランスポンダ(180)は、固定の識別番号を格納しており、前記識別番号を乱数で拡張し、前記拡張された番号を鍵で暗号化し、それをリーダのリクエスト時にリーダ(160)に送信する。リーダ(160)は、リクエスト時にトランスポンダ(180)から暗号化された番号を受信し、受信した暗号化された番号を前記トランスポンダ(180)でも使用された鍵で復号化し、前記トランスポンダ(180)と関連する固定の識別番号を抽出する。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、2008年5月26日出願の欧州特許出願第08104089.1号に基づいて優先権を主張するものである。上記の特許出願は参照することにより本明細書に組み込まれる。
【0002】
本発明は、固定の識別番号を格納したトランスポンダ、リクエスト時にトランスポンダから暗号化された番号を受信するリーダ、固定の識別番号をリーダに送信する方法、トランスポンダから暗号化された番号を受信する方法に関する。更に、本発明はプログラム素子にも関する。更に、本発明はコンピュータ読み取り可能な媒体にも関する。更に、本発明は通信システムにも関する。
【背景技術】
【0003】
スマートカードはユニーク識別番号(UID)を格納しておくことができ、これで各スマートカードを明確に識別できる。リーダは、特に多数のスマートカードがリーダの無線範囲内にある場合、特定のスマートカードを選択し、この選択したスマートカードと通信することができる。この識別番号は、カードを常に明確に識別できるように固定することができる。また、この識別番号は、カードを(カードがリーダの無線範囲から再び出るまで続く)セッション中に明確に識別することができるようにランダムにすることもできる。
【0004】
ランダム識別番号は、その所有者のプライバシー及び/又は追跡可能性(トレーサビリティ)を保証する必要がある場合に選択することができる。なぜなら、固定の識別番号は個人と明確に関連付けることができ、その人の位置を容易に決定することができ、追跡することもできるからである。殆どの場合、これはカード所有者にとって望ましくない。
【発明の概要】
【発明が解決しようとする課題】
【0005】
従って、本発明の目的は、安全に操作し得るリーダ及び/又はトランスポンダを提供することにある。
【課題を解決するための手段】
【0006】
本発明の目的は、独立請求項に記載されたトランスポンダ、リーダ、通信システム、方法、プログラム素子及びコンピュータ読み取り可能な媒体によって達成される。
【0007】
一つの模範的な実施の形態によれば、(リーダと通信可能に結合できる)トランスポンダが提供され、該トランスポンダは、固定の識別番号(例えば、トランスポンダがリーダの無線範囲から再び出るまで続くセッションごとに変更できないユニーク識別子)を格納しており、該トランスポンダは前記識別番号を乱数(例えばトランスポンダの乱数発生器により発生されるかトランスポンダの記憶装置に格納される真の乱数又は擬似乱数)で拡張し、前記拡張された数を(リーダにも知られている)鍵で暗号化し、暗号化された番号を(例えばリーダからトランスポンダへ送信される通信メッセージによる)リクエスト時にリーダに送信することを特徴とする。
【0008】
別の模範的な実施の形態によれば、(トランスポンダと通信可能に結合できる)リーダが提供され、該リーダは、(例えばリーダからトランスポンダへ送信される通信メッセージによる)リクエスト時に、トランスポンダから暗号化された番号を受信し、前記受信した暗号化された番号を(トランスポンダでも使用された)鍵で復号化し、トランスポンダと関連する(例えばトランスポンダを明確に識別する)固定の識別番号を抽出することを特徴とする。
【0009】
更に別の模範的な実施の形態によれば、通信システムが提供され、該通信システムは、上述した特徴を有するトランスポンダと、該トランスポンダと通信可能に結合される上述した特徴を有するリーダとを備えることを特徴とする。
【0010】
更に別の模範的な実施の形態によれば、固定の識別番号をリーダに送信する方法(トランスポンダにより実行される)が提供され、該方法は、
前記固定の識別番号を乱数で拡張するステップ、
前記拡張された数を鍵で暗号化するステップ、及び
拡張され暗号化された番号をそのリクエスト時にリーダに送信するステップ、
を備えることを特徴とする。
【0011】
更に別の模範的な実施の形態によれば、トランスポンダから固定の識別番号を受信する方法(リーダにより実行される)が提供され、該方法は、
リクエスト時に暗号化された番号を受信するステップ、
前記暗号化された番号をトランスポンダでも使用された鍵で復号化するステップ、及び
前記トランスポンダと関連する前記固定の識別番号を抽出するステップ、
を備えることを特徴とする。
【0012】
更に別の模範的な実施の形態によれば、プロセッサにより実行されると上述の特徴を有する方法を制御又は実行するプログラム素子(例えば、ソースコード又は実行可能なコードのソフトウェアルーチン)が提供される。
【0013】
更に別の実施の形態によれば、プロセッサにより実行されると上述の特徴を有する方法を制御又は実行するコンピュータプログラムが格納されたコンピュータ読み取り可能な媒体(例えば、半導体メモリ、CD、DVD、USBスティック、フロッピー(登録商標)ディスク又はハードディスク)が提供される。
【0014】
本発明の実施の形態に従って実行可能なデータ処理は、コンピュータプログラム、即ちソフトウェアにより実現でき、また一つ以上の特別の電子最適化回路、即ちハードウェアで実現でき、またハイブリッド形式、即ちソフトウェアコンポーネントとハードウェアコンポーネントにより実現できる。
【0015】
「トランスポンダ」という用語は、特にRFIDタグ又は(例えば非接触型の)スマートカードを意味し得る。より一般的には、トランスポンダは、インタロゲータからの特別信号により活性化されて所定の(例えば符号化された)データを自動的に送信し得るデバイス(例えばチップを含む)とし得る。
【0016】
「リーダ」という用語は、特にトランスポンダを読み取るために電磁放射ビームを送り、反射又は放射される信号を検出するように構成された基地局を意味し得る。リーダデバイスは、読み取り及び/又は書き込みデバイス、RFIDリーダ、非接触型チップカードリーダ、パッシブトランスポンダ及びニアフィールド通信デバイスからなる群から選ばれる一つとし得る。
【0017】
一つ以上の「アプリケーション」がトランスポンダとリーダからなる通信システムにより提供され得る。このようなアプリケーションは、特に、リーダとトランスポンダからなる通信システムにおいてトランスポンダ及び/又はリーダが貢献するサービスを意味し得る。このような貢献は、格納された又は計算されたデータを提供する、種々の処理能力を提供する等のトランスポンダの能力を含み得る。このようなサービスの例は、トランスポンダのユーザによる公共輸送機関の利用料金の支払い、無線支払いシステム、クレジットカードサービスなどによる商品購入価額の支払いなどである。
【0018】
第1のデータ項目を第2のデータ項目で「拡張する」とは、特に、第1のデータ項目に第2のデータ項目を付加することを意味する。このような拡張には様々な代替方法があり、例えば第1のデータ項目から出発して第2のデータ項目を第1のデータ項目の終わりに付加する、第2のデータ項目から出発して第1のデータ項目を第2のデータ項目の終わりに付加する、第1及び第2のデータ項目の少なくとも一方を2つ以上の部分に分割して第1及び第2のデータ項目の一方の部分を第1及び第2のデータ項目の他方の部分の間にインタリーブすることができる。第1及び第2のデータ項目を混合する他のもっと複雑なアルゴリズム又は規則が拡張として考えられる。このようなアルゴリズム又は規則はトランスポンダとリーダとの間で合意することができる。
【0019】
本発明の一実施の形態は、プライバシーを危険にさらすことなく、即ちトランスポンダと個人との関連付け及び前記トランスポンダの追跡可能性を不可能にすることによって、トランスポンダはその固定の識別番号をリーダに送信することができるという利点を提供する。これは、得られたデータブロックをリーダと合意した鍵で暗号化する前に固定の識別番号に乱数を付加することによって行うことができる。この手段を取ることによって、固定の識別番号の一意性が維持され、同時に、通信セッションごとに乱数が変化するためにアタッカにとってトランスポンダを追跡することが極めて困難になる。
【0020】
従って、本発明の一実施の形態によれば、スマートカードの固定の識別番号をリーダに提供しながら、プライバシーの保護及び追跡可能性の回避も保証される。
【0021】
以下において、トランスポンダの更なる模範的な実施の形態が記載される。しかし、これらの実施の形態はリーダにも、方法にも、プログラム素子にも、コンピュータ読み取り可能な媒体にも適用される。
【0022】
一実施の形態では、トランスポンダは、アンチコリジョンプロシージャ中に暗号化された番号の少なくとも一部分をリーダに送信するように構成された送信装置(例えばアンテナ)を備えることができる。従って、トランスポンダとリーダとの間の通信の開始時に、リーダが次の通信のためにリーダの通信範囲内のトランスポンダの一つを選択することを許すプロシージャを実行することができる。このようなアンチコリジョンプロシージャ中に、リーダはトランスポンダにそれらの識別子を送信することを要求するため、リーダはそれぞれの識別子に基づいてトランスポンダの一つを選択することができる。このようなアンチコリジョンプロシージャ中、アタッカによりトランスポンダとリーダとの間で交換される無線通信メッセージを評価して行われるセイフティアタックから通信システムを保護するのが適切である。例えば、暗号化された番号の3バイトのみをアンチコリジョンプロシージャ中に送信し、残りを後で送信することができる。従って、暗号化された番号の一部分のみがアンチコリジョン中に通信される可能性がある。
【0023】
トランスポンダの処理装置(例えば処理能力を有するトランスポンダの集積回路)は、リーダと通信する第1のセッション(該セッションはトランスポンダがリーダの無線範囲から再び出るまで継続し得る)中に識別番号を乱数で拡張し、前記拡張された数を、鍵で暗号化するように構成することができる。この拡張及び暗号化は、第1のセッションに続くトランスポンダとリーダとの間の通信の第2(後)のセッション中に拡張及び暗号化された番号を使用するために実行することができる。このような実施の形態では、第1の通信は、トランスポンダとリーダが第1のセッション中、例えばトランスポンダがリーダの通信範囲内にある最初の時間インターバル中に最初に通信するシナリオにおいて可能にすることができる。このトランスポンダがこの通信範囲から出たとき、第1のセッションを終了させることができる。このトランスポンダがその後この通信範囲に再び戻ってきたとき、安全のため及びアタッカによる追跡可能性を阻止するために新しい乱数を使用することができる。このような乱数の発生及びこの新しい乱数を伴う固定の識別番号の暗号化は時間と処理能力を必要とする。上述の実施の形態によれば、このような処理は前もって、即ち前セッションにおいて予め実行できるため、次のセッションの通信を非常に速くすることができる。
【0024】
乱数は擬似乱数とすることができる。擬似乱数と対照的に、真の乱数はいかなる発生基準とも無関係に生成される数である。暗号目的のために、物理的測定に基づく数を乱数とみなすことができる。擬似乱数は検出可能パターンをできるだけ少なくした数であるが真の乱数ではない。コンピュータプログラムは真の乱数を生成できないために擬似乱数を生成している。乱数生成器はトランスポンダ/リーダの一部分とすることができる。
乱数は擬似乱数とすることができる。
【0025】
固定の識別番号は不変とすることができる。換言すれば、ユニーク識別番号はトランスポンダの寿命中全てのセッションに対して固定されたままにすることができる。従って、トランスポンダにおいて識別番号は変更されないと規定することができる。このような固定の識別番号を暗号化前に変更可能な乱数で拡張する模範的な実施の形態の暗号化アーキテクチャのために、この組み合わせデータパケットは、固定の識別番号システムの簡単なアーキテクチャと、識別子を変更可能な乱数で隠蔽することにより得られる高度の安全性とを併合することができる。
【0026】
例えば、固定の識別番号は5バイトの長さにでき、乱数は3バイトの長さにできる。この場合、十分に長い乱数で隠蔽される十分に多数の個々の識別子が可能になるため、高度の安全性が得られる。このようなシステムは、アタッカの試行錯誤プロシージャに極めて多数回の試行を必要とするためにアタックが困難である。3バイトの長さを有する乱数と5バイトの長さを有する識別子の組み合わせは組み合わせの数を極めて多数にするので、合理的なアタックは殆ど不可能である。他方、8バイトの合計長さは、必要とされる処理能力、処理時間及びメモリ容量の観点からすれば、依然として合理的である。
【0027】
トランスポンダ(並びにリーダ)はISO14443に従って動作するように構成できる。ISO/IEC14443はID用近接型カードを規定しており、標準のクレジットカードフォームファクタを使用することができる。しかし、他のフォームファクタも可能である。この標準規格では、無線周波数識別(RFID)リーダは内臓マイクロコントローラ(固有のマイクロプロセッサ及び数種類のメモリを含む)及び13.56MHz(RFID周波数)で動作する磁気ループアンテナを使用することができる。模範的な実施の形態によるトランスポンダの一般的なアーキテクチャはISO14443に従うため、乱数を用いて識別子拡張及び暗号化プロシージャを変更するだけで十分とすることができる。これにより一実施の形態のトランスポンダはISO14443標準規格に従って動作する通信システムに実装することが可能になる。
【0028】
以下において、リーダの更なる模範的な実施の形態が説明される。しかし、これらの実施の形態はトランスポンダにも、方法にも、プロセス素子にも及びコンピュータ読み取り可能な媒体にも適用される。
【0029】
リーダは、暗号化された番号全体を単一の通信メッセージにて送信することをトランスポンダに要求するように構成されたリクエスト装置(リーダのプロセスの一部分とすることができる)を備える。このような実施の形態では、暗号化された番号全体が一つの共通の通信メッセージに含まれてトランスポンダからリーダへ送信され得るため、通信チャネル上のトラヒックを小さく維持することができ、通信に要する時間を短く維持することができる。
【0030】
代替実施の形態では、リクエスト装置(リーダのプロセッサの一部分とすることができる)は、ISO14443に従って暗号化された番号を2つの別個の通信メッセージにて送信することをトランスポンダに要求するように構成することができる。このような実施の形態では、乱数と固定の識別番号を含む暗号化されたデータ項目は2つの別個の通信メッセージに分割することができる。このようなプロシージャはISO14443に準拠する。模範的な実施の形態によるリーダ/トランスポンダシステムはこの標準規格とコンパチブルであるため、対応する通信システムの安全度を向上させることができる。
【0031】
一つの実施の形態では、暗号化すべき番号の拡張は乱数で始まり、その後にユニーク識別子を続けることができる。別の実施の形態では、暗号化すべき番号はユニーク識別子で始まり、その後に乱数を続けることができる。更に別の実施の形態では、ユニーク識別子を乱数の異なる部分間に配置することができる。更に別の実施の形態では、乱数をユニーク識別子の異なる部分間に配置することができる。これらの実施の形態の各々においては、トランスポンダとリーダは双方が乱数に対する識別番号の配置のし方を知っているものとし得る。
【0032】
乱数のいずれか一つ、識別番号及び鍵は、任意の数字の系列、文字の系列又は任意の英数字コードとすることができる。
【0033】
本発明のいくつかの実施の形態はトランスポンダ、特にスマートカード及びRFIDタグに関し、固定の識別番号とその乱数拡張を提供する。明瞭のために、本明細書は主としてスマートカードについて言及するが、本発明の実施の形態は一般にRFIDタグ及びトランスポンダに等しく関連することは当業者に明らかである。
【0034】
本発明のこれらの及び他の特徴は以下に記載する実施の形態について説明され、明らかにされる。
【図面の簡単な説明】
【0035】
【図1】本発明の模範的な実施の形態によるスマートカードを示す。
【図2】本発明の模範的な実施の形態によるスマートカード及びリーダに対するメッセージフローをウォ示す。
【図3】本発明の模範的な実施の形態による、暗号化アルゴリズムとしてフェイステル変換部を備えるスマートカードを示す。
【図4】図3のフェイステル変換部を詳細に示す。
【図5】本発明の模範的な実施の形態による可能な実装時固有機能部を示す。
【図6】本発明の模範的な実施の形態によるシステムの概略図を示す。
【図7】本発明の模範的な実施の形態によるプライバシーオプションの要約を示す。
【図8】本発明の模範的な実施の形態による通信システムを示す。
【発明を実施するための形態】
【0036】
本発明を図面に示すいくつかの実施の形態を参照して以下に詳細に説明するが、本発明はこれらの実施の形態に限定されない。図面は概略図である。種々の図において、類似又は同一の素子には同一の符号が付されている。
【0037】
以下の説明においては、特に以下の略語が使用される。
PICC 近接型カード(スマートカード)
UID ユニーク識別子
PCD 近接型結合デバイス(リーダ)
SAK 選択アクノレッジ
NVB 有効ビットの数
SEL 選択コード
【0038】
図1に示されるスマートカード(PICC)180と、図2に示されるスマートカード(PICC)180及びリーダ(PCD)160に対するメッセージフローとに基づいて、本発明の模範的な実施の形態が以下に詳細に説明される。
【0039】
図1を参照すると、ステップ1(符号102参照)において、固定の識別番号(論理ID)104が乱数106、特に擬似乱数発生器PRNGの出力から得られる一つの乱数で拡張される。
【0040】
ステップ2(符号108参照)において、ステップ1の結果として得られた拡張された番号110が備え付けの固有の鍵(ISK)130で暗号化される(符号112参照)。乱数(PRNG)160を省略すると、ステップ2の結果として得られる暗号化された番号は常に同じになるため、カード(PICC)180との関連付け及びその所有者の追跡が可能になる。乱数106による固定の識別番号(論理ID)104の拡張によって、所有者の追跡可能性を困難又は殆ど不可能にすることができる。
【0041】
ステップ3(符号114参照)において、暗号化された番号116は後の使用のためにスマートカード180に格納される。必ずしも必要ないが、各セッションにおいて新しい乱数を発生させて、それを次のセッションに対して使用できるようにするのが有利である。このようにすると、スマートカードの識別番号の読み取りを時間的に最適にすることができる。さもなければ、乱数の発生と暗号化により高速読み取りが損なわれる。
【0042】
次に図2を参照すると、ステップ4(符号118参照)において、リーダ(PCD)160は、アンチコリジョンプロシージャ中又は後に、選択コマンド(SEL)をスマートカード(PICC)180に送信する。
【0043】
ステップ5(符号120参照)において、スマートカード(PICC)180は、ランダムUID、本例では(標準規格ISO14443に従って)最初の4バイト(UID0−UID3)で、リーダ160に応答する。第1のバイトUID0は他の3バイトUID1−UID3の意味を示す(第1のバイト“0×08”は残りのバイトは「ランダムID」であることを示す)。第1のバイトUID0が“0×08”に設定されている場合、他の3バイトUID1−UID3は乱数を含む。
【0044】
ステップ6(符号122参照)において、暗号化された番号の残りのバイト(最初の3バイトを除く全て)を取得する追加のコマンドがリーダ160により要求される。
【0045】
別の有利な実施の形態では、リーダ160は暗号化された番号全体を単一のコマンドで要求することができる。しかし、ISO14443に準拠するために、本例では2つの別個のコマンドを使用している。
【0046】
ステップ7(符号124参照)において、スマートカード(PICC)180は残りのバイトをリーダ(PCD)160に送信する。
【0047】
ステップ8(符号126参照)において、リーダ(PCD)160は受信した暗号化された番号を、ステップ2においてスマートカード(PICC)180で使用された鍵と同じ鍵(ISK)130で復号化する。
【0048】
ステップ9(符号128参照)において、スマートカード(PICC)180の固定の識別番号104が抽出される。
【0049】
上記のプロシージャは次の利点を生じることができる。
・スマートカード180の固定の識別番号104は決して平文で送信されず、乱数106と組み合わされ、暗号化されて送信される。
・乱数106はセッションごとに相違するように選択できる。また、処理能力を小さく維持するために、乱数はいくつかのセッション(例えば2〜10の所定数のセッション)に対して一定に維持し、その後次のいくつかのセッションに対して変化させ、以下同様にすることもできる。
【0050】
従って、スマートカードを個人と関連付けることはできず、その所有者を位置決定することはできない。
【0051】
以下に、いくつかの更なる考察について述べる。
【0052】
模範的な実施の形態による解決策はISO14443−3と完全にコンパチブルである。スマートカードは、マイフェア動作に類似する「UID complete, PICC not compliant with 14443-4」としてコード化されたSAKバイトを提示する。この場合には、新しいコマンドがUID暗号文の残部を取り出すことができる。
【0053】
模範的な実施の形態によるランダムUIDシーケンスはカード依存とすることができる。
【0054】
PRNGシーケンス発生器はオペレータ/リーダにより知られている必要はないので、そのシーケンス発生器の設計はカードに限定することができる。
【0055】
PRNGシーケンスの長さはブロック暗号に含まれる部分より長くすることができる。この場合、オペレータでさえいかなるカードのランダムUIDシーケンスも予測することはできない。
【0056】
PRNG設計の知識はスマートカードプロバイダにランダムUIDシーケンスを予測可能にしないため、アタッカによる「追跡」はスマートカードプロバイダとオペレータとの共謀を必要とする。
【0057】
PICCは、それ自身を固定の論理UIDを返送することができるものと「タイプ識別」することができる。それゆえ、固有の独自コード値をSAKに使用することができる。
【0058】
標準ブロック暗号(例えば3DES)のブロックサイズはたった8バイトである。ランダム物理UIDの多様化に適合させるために平文空間内に3バイト(部分)のPRNGを挿入すると、約1兆の機器に対応する使用可能な5バイトの論理UID空間が残る。
【0059】
ISO14443に規定される全7バイトの論理UIDへの復帰が必要とされる場合には、10バイトのブロックサイズを実装することもできる(UID0−製造者IDを含む256兆の機器)。
【0060】
標準ブロック暗号及びフェイステル構造を用いて非標準ブロックサイズに亘る可逆変換を(トップレベルで)実行することができる。
【0061】
平文空間内に例えば72ビットのPRNGがある場合には、236(13×236バイト=832GB)の供給テーブルサイズと236のカードアクセスが適合するかもしれない。理論的には、カードはハッキングされ得るが、カードを第3者がアクセスするには約109年(1カードアクセスにつき50ms)を要するので、カードのハッキングは実際には不可能である。
【0062】
一実施の形態では、高度のプライバシー保護を可能にする通信システムを提供することができる。ISO14443−3はSELコマンドに応答して4バイトUIDを返送するオプションを規定している(ランダム値は3バイト長にすることができる)。PICCはこのとき0×08XXYYZZの形の単一サイズUIDを返送することができる。しかし、カードごとのデータキーの多様化(per-card data key diversification)のために固定のMifareUIDがしばしば使用される。この点から、固定の論理UIDを回復する機構が必要とされる。この目的のために、この機能に対して専用のコマンドを規定することができる。一実施の形態では、「論理UID」と「物理UID」とのマッピングのために可逆変換を使用することができる。ブロック暗号はこのような変換を提供でき、論理UIDへのアクセスをシステムの所有者に限定することができる。このようなアプローチによれば、高度のプライバシー保護を達成できる。
【0063】
図3について以下に説明されるように、標準のブロック暗号及びフェイステル構造を用いて非標準ブロックサイズに亘る可逆変換を(トップレベルで)実行することができる。
【0064】
図3に示すPICC180の実施の形態では、ブロック暗号の暗号化ブロック(図1の符号112参照)がフェイステル変換ブロック132と置き換えられている。
【0065】
更に、図4はフェイステル変換に関する詳細を示している。図4から明らかなように、擬似乱数106と論理UID104を結合し、擬似乱数106の開始部を省略し、符号134及び136で示す各5バイトの2つのブロックに分割することができる。次に、これらの2つのブロック134、136に対してISK鍵130を用いてフェイステル変換132を施すことができる。
【0066】
図5は可能な実装特定機能を示す。標準ブロック暗号機能/ブロックサイズ(例えばDES/3DES)と仮定すれば、実装特定機能の可能な場所はバス拡張ロジック(符号138参照)及び/又はラウンド結合機能(符号140参照)である。
【0067】
擬似乱数発生器及び対応して発生される乱数は、長さ、一方向性関数等に関して多くの異なる設計が可能である。擬似乱数の代替物として真の乱数を発生させることもできる。このような真の乱数は最初のアンチコリジョンループの時間内に十分なビットを生成することができる。例えば、フェイステル変換を十分急速に実行できないシナリオでは、その前のカードトランザクション中に応答を用意することができる。換言すれば、セッションN+1に対する処理をN番のセッション中に実行することができる。
【0068】
フェイステル設計に関しては多くの代替例が可能である。平衡型の実施が可能であり、不平衡型の実施も可能である。入力のマッピングに関しては、PRNGビットは(例えば図1〜図4に示されるように)左側で、1回のみ代わりに2回分散させることができるものと仮定してもよい。
【0069】
記載した実施の形態によれば、例えばカードの認識フェーズ中、プライバシーを維持し、権限のない第3者による追跡を阻止することができる。オペレータは常にカードを追跡することができる。このプライバシー保護手段は、 [random UID‖UID_CIPHTXT]をアクセスできる第3者による追跡のみを更なる制御なしに保護することができる。オペレータはランダムUIDシーケンスを予測することはできないが、カードの224の可能な[random UID‖UID_CIPHTXT]値を表にすることができる。この表(7×224バイト=112メガバイト)の供給は第3者による追跡を容易にし得る。第3者は単一のアクセスにより特定のカードの身元を確かめることができる。これは、オペレータがISKを暴露してはならないことを想定している。
【0070】
これを緩和するためには、UID‖UID_CIPHTXTにもっと多くの多様性を含めるのが有利である。例えば、もっと多くのPRNGビットを平文空間に与えることができ、もっと長いUID‖UID_CIPHTXTビット列を返送することができる。狙いは、ID及び/又は乱数の長さを適切に調整することによりこれを計算的に及び/又は演算的に実行不可能にすることにある。
【0071】
図6は本発明の模範的な実施の形態による通信システムの構成の概略図である。
【0072】
PRNG空間は符号142で示されている。論理UIDの平文分論理空間は符号144で示されている。更に、物理UIDの暗号文空間は符号146で示されている。
【0073】
図7は本発明の模範的な実施の形態によるプライバシーオプションを要約した表を示す。
【0074】
以下において、図8を参照して本発明の模範的な実施の形態による通信システム150を説明する。
【0075】
通信システム150は図1及び図2に示されるものに類似し、リーダ160及びトランスポンダ180を備える。リーダ160は、送信器アンテナ166及び受信器アンテナ162と通信可能に結合されたプロセッサ164(例えばマイクロプロセッサ又は中央処理装置)を備える。送信器アンテナ166は通信メッセージ168をトランスポンダ180へ送信することができる。受信器アンテナ162はトランスポンダ180からの通信メッセージ170を受信することができる。送信器アンテナ166及び受信器アンテナ162は図8では2つの異なるアンテナとして示されているが、代替実施の形態では単一の共通共用トランシーバアンテナを使用することもできる。
【0076】
アンテナ166,162はプロセッサ164と電気的に結合され、プロセッサ164からのデータは送信アンテナ166に送られ、通信メッセージ168として送信することができるとともに、受信アンテナ162により受信された通信メッセージ170はプロセッサ164により解析し、処理することができる。
【0077】
半導体メモリのような記憶装置172はプロセッサ164と結合され、プロセッサ164によりアクセス可能なデータを記憶する。更に、ユーザにリーダ装置160の操作を可能にする入力/出力装置174も示されている。入力/出力装置174はボタン、キーパッド又はジョイスティック等のような入力素子を備えることができる。コントローラのような入力素子により、ユーザはコマンドをリーダ装置160に入力することができる。更に、入力/出力装置174は、リーダ装置160の読み取り処理の結果をユーザのために可視表示し得る液晶ディスプレイ等の表示装置を備えることができる。
【0078】
更に図8から明らかなように、トランスポンダ180は送信及び受信アンテナ186、マイクロプロセッサのようなプロセッサ184及びメモリ182を備える。一実施の形態では、メモリ182及びプロセッサ184は、アンテナ186に接続でき且つ支持体188(例えば布片)に付着できる集積回路(IC)にモノリシック集積することができる。
【0079】
通信メッセージ168、170はエンティティ160,180間で無線通信することができる。また、有線通信も可能である。
【0080】
トランスポンダ180の記憶装置182は固定の識別番号104を格納している。この識別番号104は不変であり、トランスポンダ180とリーダ装置160のような任意のリーダ装置との間のすべての通信に対して固定のままである。従って、記憶装置182の対応する部分は上書きすることはできない。プロセッサ184は前記識別番号を乱数で拡張するように構成されている。この乱数は図8に符号106で示されている。乱数106はプロセッサ184により発生させることができ、この場合には擬似乱数として示すことができる。しかし、真の乱数発生器をトランスポンダ180に含めることもでき、また多数の真の乱数をメモリ182に格納することもできる。後者の場合には、各通信ごとに、格納乱数の一つを識別番号104の拡張のために使用することができる。
【0081】
識別番号104を乱数104で拡張した後、プロセッサ184は固定の暗号化鍵130を用いて暗号化された番号110を生成することができる。暗号化鍵130は同様にメモリ182に格納することができ、リーダ装置160にも知られているものとし得る。
【0082】
アンテナ186は、リーダ160のリクエスト(例えば通信メッセージ168)時に暗号化された番号を(例えば通信メッセージ170として)リーダ160に送信する。換言すれば、リーダ160は、例えばアンチコリジョンプロシージャ中に、識別要求168をトランスポンダ180に送信することができる。この要求メッセージ168の受信時に、トランスポンダ180は暗号化された番号を無線通信メッセージ170に含めて返送し、リーダ160の受信アンテナ162に受信させる。
【0083】
受信アンテナ162は通信メッセージ170に含まれる暗号化された番号を受信する。このとき、プロセッサ164は受信した番号をトランスポンダ180でも使用された鍵130で復号化する復号装置として作用する。プロセッサ164は、更に、トランスポンダ80と関連する固定の識別番号104を抽出する抽出装置として作用する。従って、リーダ160は、トランスポンダ180による識別番号104と乱数106の組み合わせ方、即ち本実施の形態では暗号化すべき番号は識別番号104で始まり、その後に乱数106が続くことも知っている。この情報によって、リーダ160は通信メッセージ170から識別番号104を導出又は抽出することができる。
【0084】
当業者は、本発明のいくつかの実施の形態によるトランスポンダ、リーダ及び方法は非接触型データ送信に限定されず、原理的には有線通信にも適用できることに留意すべきである。
【0085】
最後に、上述の実施の形態は例示であり、本発明を限定するものではなく、当業者は添付の特許請求の範囲で特定される発明の範囲を逸脱することなく多くの代替実施の形態例を設計可能であるということに留意する必要がある。特許請求の範囲において、括弧内の符号は請求項の記載を限定するものと解釈されるべきではない。「具え」および「含む」などの単語は、請求項あるいは本明細書に列記されていない要素またはステップの存在を除外するものではない。単数形で述べる要素は複数の要素を除外するものではないし、その逆も成り立つ。いくつかの手段を列挙している装置請求項において、これらの手段のいくつかは、ハードウェアあるいはソフトウェアの同一の要素によって具現化できる。特定の手段が相互に異なる従属請求項に引用されているが、このことは、これらの手段の組合せが有利に使用できないことを示すものではない。
【技術分野】
【0001】
本出願は、2008年5月26日出願の欧州特許出願第08104089.1号に基づいて優先権を主張するものである。上記の特許出願は参照することにより本明細書に組み込まれる。
【0002】
本発明は、固定の識別番号を格納したトランスポンダ、リクエスト時にトランスポンダから暗号化された番号を受信するリーダ、固定の識別番号をリーダに送信する方法、トランスポンダから暗号化された番号を受信する方法に関する。更に、本発明はプログラム素子にも関する。更に、本発明はコンピュータ読み取り可能な媒体にも関する。更に、本発明は通信システムにも関する。
【背景技術】
【0003】
スマートカードはユニーク識別番号(UID)を格納しておくことができ、これで各スマートカードを明確に識別できる。リーダは、特に多数のスマートカードがリーダの無線範囲内にある場合、特定のスマートカードを選択し、この選択したスマートカードと通信することができる。この識別番号は、カードを常に明確に識別できるように固定することができる。また、この識別番号は、カードを(カードがリーダの無線範囲から再び出るまで続く)セッション中に明確に識別することができるようにランダムにすることもできる。
【0004】
ランダム識別番号は、その所有者のプライバシー及び/又は追跡可能性(トレーサビリティ)を保証する必要がある場合に選択することができる。なぜなら、固定の識別番号は個人と明確に関連付けることができ、その人の位置を容易に決定することができ、追跡することもできるからである。殆どの場合、これはカード所有者にとって望ましくない。
【発明の概要】
【発明が解決しようとする課題】
【0005】
従って、本発明の目的は、安全に操作し得るリーダ及び/又はトランスポンダを提供することにある。
【課題を解決するための手段】
【0006】
本発明の目的は、独立請求項に記載されたトランスポンダ、リーダ、通信システム、方法、プログラム素子及びコンピュータ読み取り可能な媒体によって達成される。
【0007】
一つの模範的な実施の形態によれば、(リーダと通信可能に結合できる)トランスポンダが提供され、該トランスポンダは、固定の識別番号(例えば、トランスポンダがリーダの無線範囲から再び出るまで続くセッションごとに変更できないユニーク識別子)を格納しており、該トランスポンダは前記識別番号を乱数(例えばトランスポンダの乱数発生器により発生されるかトランスポンダの記憶装置に格納される真の乱数又は擬似乱数)で拡張し、前記拡張された数を(リーダにも知られている)鍵で暗号化し、暗号化された番号を(例えばリーダからトランスポンダへ送信される通信メッセージによる)リクエスト時にリーダに送信することを特徴とする。
【0008】
別の模範的な実施の形態によれば、(トランスポンダと通信可能に結合できる)リーダが提供され、該リーダは、(例えばリーダからトランスポンダへ送信される通信メッセージによる)リクエスト時に、トランスポンダから暗号化された番号を受信し、前記受信した暗号化された番号を(トランスポンダでも使用された)鍵で復号化し、トランスポンダと関連する(例えばトランスポンダを明確に識別する)固定の識別番号を抽出することを特徴とする。
【0009】
更に別の模範的な実施の形態によれば、通信システムが提供され、該通信システムは、上述した特徴を有するトランスポンダと、該トランスポンダと通信可能に結合される上述した特徴を有するリーダとを備えることを特徴とする。
【0010】
更に別の模範的な実施の形態によれば、固定の識別番号をリーダに送信する方法(トランスポンダにより実行される)が提供され、該方法は、
前記固定の識別番号を乱数で拡張するステップ、
前記拡張された数を鍵で暗号化するステップ、及び
拡張され暗号化された番号をそのリクエスト時にリーダに送信するステップ、
を備えることを特徴とする。
【0011】
更に別の模範的な実施の形態によれば、トランスポンダから固定の識別番号を受信する方法(リーダにより実行される)が提供され、該方法は、
リクエスト時に暗号化された番号を受信するステップ、
前記暗号化された番号をトランスポンダでも使用された鍵で復号化するステップ、及び
前記トランスポンダと関連する前記固定の識別番号を抽出するステップ、
を備えることを特徴とする。
【0012】
更に別の模範的な実施の形態によれば、プロセッサにより実行されると上述の特徴を有する方法を制御又は実行するプログラム素子(例えば、ソースコード又は実行可能なコードのソフトウェアルーチン)が提供される。
【0013】
更に別の実施の形態によれば、プロセッサにより実行されると上述の特徴を有する方法を制御又は実行するコンピュータプログラムが格納されたコンピュータ読み取り可能な媒体(例えば、半導体メモリ、CD、DVD、USBスティック、フロッピー(登録商標)ディスク又はハードディスク)が提供される。
【0014】
本発明の実施の形態に従って実行可能なデータ処理は、コンピュータプログラム、即ちソフトウェアにより実現でき、また一つ以上の特別の電子最適化回路、即ちハードウェアで実現でき、またハイブリッド形式、即ちソフトウェアコンポーネントとハードウェアコンポーネントにより実現できる。
【0015】
「トランスポンダ」という用語は、特にRFIDタグ又は(例えば非接触型の)スマートカードを意味し得る。より一般的には、トランスポンダは、インタロゲータからの特別信号により活性化されて所定の(例えば符号化された)データを自動的に送信し得るデバイス(例えばチップを含む)とし得る。
【0016】
「リーダ」という用語は、特にトランスポンダを読み取るために電磁放射ビームを送り、反射又は放射される信号を検出するように構成された基地局を意味し得る。リーダデバイスは、読み取り及び/又は書き込みデバイス、RFIDリーダ、非接触型チップカードリーダ、パッシブトランスポンダ及びニアフィールド通信デバイスからなる群から選ばれる一つとし得る。
【0017】
一つ以上の「アプリケーション」がトランスポンダとリーダからなる通信システムにより提供され得る。このようなアプリケーションは、特に、リーダとトランスポンダからなる通信システムにおいてトランスポンダ及び/又はリーダが貢献するサービスを意味し得る。このような貢献は、格納された又は計算されたデータを提供する、種々の処理能力を提供する等のトランスポンダの能力を含み得る。このようなサービスの例は、トランスポンダのユーザによる公共輸送機関の利用料金の支払い、無線支払いシステム、クレジットカードサービスなどによる商品購入価額の支払いなどである。
【0018】
第1のデータ項目を第2のデータ項目で「拡張する」とは、特に、第1のデータ項目に第2のデータ項目を付加することを意味する。このような拡張には様々な代替方法があり、例えば第1のデータ項目から出発して第2のデータ項目を第1のデータ項目の終わりに付加する、第2のデータ項目から出発して第1のデータ項目を第2のデータ項目の終わりに付加する、第1及び第2のデータ項目の少なくとも一方を2つ以上の部分に分割して第1及び第2のデータ項目の一方の部分を第1及び第2のデータ項目の他方の部分の間にインタリーブすることができる。第1及び第2のデータ項目を混合する他のもっと複雑なアルゴリズム又は規則が拡張として考えられる。このようなアルゴリズム又は規則はトランスポンダとリーダとの間で合意することができる。
【0019】
本発明の一実施の形態は、プライバシーを危険にさらすことなく、即ちトランスポンダと個人との関連付け及び前記トランスポンダの追跡可能性を不可能にすることによって、トランスポンダはその固定の識別番号をリーダに送信することができるという利点を提供する。これは、得られたデータブロックをリーダと合意した鍵で暗号化する前に固定の識別番号に乱数を付加することによって行うことができる。この手段を取ることによって、固定の識別番号の一意性が維持され、同時に、通信セッションごとに乱数が変化するためにアタッカにとってトランスポンダを追跡することが極めて困難になる。
【0020】
従って、本発明の一実施の形態によれば、スマートカードの固定の識別番号をリーダに提供しながら、プライバシーの保護及び追跡可能性の回避も保証される。
【0021】
以下において、トランスポンダの更なる模範的な実施の形態が記載される。しかし、これらの実施の形態はリーダにも、方法にも、プログラム素子にも、コンピュータ読み取り可能な媒体にも適用される。
【0022】
一実施の形態では、トランスポンダは、アンチコリジョンプロシージャ中に暗号化された番号の少なくとも一部分をリーダに送信するように構成された送信装置(例えばアンテナ)を備えることができる。従って、トランスポンダとリーダとの間の通信の開始時に、リーダが次の通信のためにリーダの通信範囲内のトランスポンダの一つを選択することを許すプロシージャを実行することができる。このようなアンチコリジョンプロシージャ中に、リーダはトランスポンダにそれらの識別子を送信することを要求するため、リーダはそれぞれの識別子に基づいてトランスポンダの一つを選択することができる。このようなアンチコリジョンプロシージャ中、アタッカによりトランスポンダとリーダとの間で交換される無線通信メッセージを評価して行われるセイフティアタックから通信システムを保護するのが適切である。例えば、暗号化された番号の3バイトのみをアンチコリジョンプロシージャ中に送信し、残りを後で送信することができる。従って、暗号化された番号の一部分のみがアンチコリジョン中に通信される可能性がある。
【0023】
トランスポンダの処理装置(例えば処理能力を有するトランスポンダの集積回路)は、リーダと通信する第1のセッション(該セッションはトランスポンダがリーダの無線範囲から再び出るまで継続し得る)中に識別番号を乱数で拡張し、前記拡張された数を、鍵で暗号化するように構成することができる。この拡張及び暗号化は、第1のセッションに続くトランスポンダとリーダとの間の通信の第2(後)のセッション中に拡張及び暗号化された番号を使用するために実行することができる。このような実施の形態では、第1の通信は、トランスポンダとリーダが第1のセッション中、例えばトランスポンダがリーダの通信範囲内にある最初の時間インターバル中に最初に通信するシナリオにおいて可能にすることができる。このトランスポンダがこの通信範囲から出たとき、第1のセッションを終了させることができる。このトランスポンダがその後この通信範囲に再び戻ってきたとき、安全のため及びアタッカによる追跡可能性を阻止するために新しい乱数を使用することができる。このような乱数の発生及びこの新しい乱数を伴う固定の識別番号の暗号化は時間と処理能力を必要とする。上述の実施の形態によれば、このような処理は前もって、即ち前セッションにおいて予め実行できるため、次のセッションの通信を非常に速くすることができる。
【0024】
乱数は擬似乱数とすることができる。擬似乱数と対照的に、真の乱数はいかなる発生基準とも無関係に生成される数である。暗号目的のために、物理的測定に基づく数を乱数とみなすことができる。擬似乱数は検出可能パターンをできるだけ少なくした数であるが真の乱数ではない。コンピュータプログラムは真の乱数を生成できないために擬似乱数を生成している。乱数生成器はトランスポンダ/リーダの一部分とすることができる。
乱数は擬似乱数とすることができる。
【0025】
固定の識別番号は不変とすることができる。換言すれば、ユニーク識別番号はトランスポンダの寿命中全てのセッションに対して固定されたままにすることができる。従って、トランスポンダにおいて識別番号は変更されないと規定することができる。このような固定の識別番号を暗号化前に変更可能な乱数で拡張する模範的な実施の形態の暗号化アーキテクチャのために、この組み合わせデータパケットは、固定の識別番号システムの簡単なアーキテクチャと、識別子を変更可能な乱数で隠蔽することにより得られる高度の安全性とを併合することができる。
【0026】
例えば、固定の識別番号は5バイトの長さにでき、乱数は3バイトの長さにできる。この場合、十分に長い乱数で隠蔽される十分に多数の個々の識別子が可能になるため、高度の安全性が得られる。このようなシステムは、アタッカの試行錯誤プロシージャに極めて多数回の試行を必要とするためにアタックが困難である。3バイトの長さを有する乱数と5バイトの長さを有する識別子の組み合わせは組み合わせの数を極めて多数にするので、合理的なアタックは殆ど不可能である。他方、8バイトの合計長さは、必要とされる処理能力、処理時間及びメモリ容量の観点からすれば、依然として合理的である。
【0027】
トランスポンダ(並びにリーダ)はISO14443に従って動作するように構成できる。ISO/IEC14443はID用近接型カードを規定しており、標準のクレジットカードフォームファクタを使用することができる。しかし、他のフォームファクタも可能である。この標準規格では、無線周波数識別(RFID)リーダは内臓マイクロコントローラ(固有のマイクロプロセッサ及び数種類のメモリを含む)及び13.56MHz(RFID周波数)で動作する磁気ループアンテナを使用することができる。模範的な実施の形態によるトランスポンダの一般的なアーキテクチャはISO14443に従うため、乱数を用いて識別子拡張及び暗号化プロシージャを変更するだけで十分とすることができる。これにより一実施の形態のトランスポンダはISO14443標準規格に従って動作する通信システムに実装することが可能になる。
【0028】
以下において、リーダの更なる模範的な実施の形態が説明される。しかし、これらの実施の形態はトランスポンダにも、方法にも、プロセス素子にも及びコンピュータ読み取り可能な媒体にも適用される。
【0029】
リーダは、暗号化された番号全体を単一の通信メッセージにて送信することをトランスポンダに要求するように構成されたリクエスト装置(リーダのプロセスの一部分とすることができる)を備える。このような実施の形態では、暗号化された番号全体が一つの共通の通信メッセージに含まれてトランスポンダからリーダへ送信され得るため、通信チャネル上のトラヒックを小さく維持することができ、通信に要する時間を短く維持することができる。
【0030】
代替実施の形態では、リクエスト装置(リーダのプロセッサの一部分とすることができる)は、ISO14443に従って暗号化された番号を2つの別個の通信メッセージにて送信することをトランスポンダに要求するように構成することができる。このような実施の形態では、乱数と固定の識別番号を含む暗号化されたデータ項目は2つの別個の通信メッセージに分割することができる。このようなプロシージャはISO14443に準拠する。模範的な実施の形態によるリーダ/トランスポンダシステムはこの標準規格とコンパチブルであるため、対応する通信システムの安全度を向上させることができる。
【0031】
一つの実施の形態では、暗号化すべき番号の拡張は乱数で始まり、その後にユニーク識別子を続けることができる。別の実施の形態では、暗号化すべき番号はユニーク識別子で始まり、その後に乱数を続けることができる。更に別の実施の形態では、ユニーク識別子を乱数の異なる部分間に配置することができる。更に別の実施の形態では、乱数をユニーク識別子の異なる部分間に配置することができる。これらの実施の形態の各々においては、トランスポンダとリーダは双方が乱数に対する識別番号の配置のし方を知っているものとし得る。
【0032】
乱数のいずれか一つ、識別番号及び鍵は、任意の数字の系列、文字の系列又は任意の英数字コードとすることができる。
【0033】
本発明のいくつかの実施の形態はトランスポンダ、特にスマートカード及びRFIDタグに関し、固定の識別番号とその乱数拡張を提供する。明瞭のために、本明細書は主としてスマートカードについて言及するが、本発明の実施の形態は一般にRFIDタグ及びトランスポンダに等しく関連することは当業者に明らかである。
【0034】
本発明のこれらの及び他の特徴は以下に記載する実施の形態について説明され、明らかにされる。
【図面の簡単な説明】
【0035】
【図1】本発明の模範的な実施の形態によるスマートカードを示す。
【図2】本発明の模範的な実施の形態によるスマートカード及びリーダに対するメッセージフローをウォ示す。
【図3】本発明の模範的な実施の形態による、暗号化アルゴリズムとしてフェイステル変換部を備えるスマートカードを示す。
【図4】図3のフェイステル変換部を詳細に示す。
【図5】本発明の模範的な実施の形態による可能な実装時固有機能部を示す。
【図6】本発明の模範的な実施の形態によるシステムの概略図を示す。
【図7】本発明の模範的な実施の形態によるプライバシーオプションの要約を示す。
【図8】本発明の模範的な実施の形態による通信システムを示す。
【発明を実施するための形態】
【0036】
本発明を図面に示すいくつかの実施の形態を参照して以下に詳細に説明するが、本発明はこれらの実施の形態に限定されない。図面は概略図である。種々の図において、類似又は同一の素子には同一の符号が付されている。
【0037】
以下の説明においては、特に以下の略語が使用される。
PICC 近接型カード(スマートカード)
UID ユニーク識別子
PCD 近接型結合デバイス(リーダ)
SAK 選択アクノレッジ
NVB 有効ビットの数
SEL 選択コード
【0038】
図1に示されるスマートカード(PICC)180と、図2に示されるスマートカード(PICC)180及びリーダ(PCD)160に対するメッセージフローとに基づいて、本発明の模範的な実施の形態が以下に詳細に説明される。
【0039】
図1を参照すると、ステップ1(符号102参照)において、固定の識別番号(論理ID)104が乱数106、特に擬似乱数発生器PRNGの出力から得られる一つの乱数で拡張される。
【0040】
ステップ2(符号108参照)において、ステップ1の結果として得られた拡張された番号110が備え付けの固有の鍵(ISK)130で暗号化される(符号112参照)。乱数(PRNG)160を省略すると、ステップ2の結果として得られる暗号化された番号は常に同じになるため、カード(PICC)180との関連付け及びその所有者の追跡が可能になる。乱数106による固定の識別番号(論理ID)104の拡張によって、所有者の追跡可能性を困難又は殆ど不可能にすることができる。
【0041】
ステップ3(符号114参照)において、暗号化された番号116は後の使用のためにスマートカード180に格納される。必ずしも必要ないが、各セッションにおいて新しい乱数を発生させて、それを次のセッションに対して使用できるようにするのが有利である。このようにすると、スマートカードの識別番号の読み取りを時間的に最適にすることができる。さもなければ、乱数の発生と暗号化により高速読み取りが損なわれる。
【0042】
次に図2を参照すると、ステップ4(符号118参照)において、リーダ(PCD)160は、アンチコリジョンプロシージャ中又は後に、選択コマンド(SEL)をスマートカード(PICC)180に送信する。
【0043】
ステップ5(符号120参照)において、スマートカード(PICC)180は、ランダムUID、本例では(標準規格ISO14443に従って)最初の4バイト(UID0−UID3)で、リーダ160に応答する。第1のバイトUID0は他の3バイトUID1−UID3の意味を示す(第1のバイト“0×08”は残りのバイトは「ランダムID」であることを示す)。第1のバイトUID0が“0×08”に設定されている場合、他の3バイトUID1−UID3は乱数を含む。
【0044】
ステップ6(符号122参照)において、暗号化された番号の残りのバイト(最初の3バイトを除く全て)を取得する追加のコマンドがリーダ160により要求される。
【0045】
別の有利な実施の形態では、リーダ160は暗号化された番号全体を単一のコマンドで要求することができる。しかし、ISO14443に準拠するために、本例では2つの別個のコマンドを使用している。
【0046】
ステップ7(符号124参照)において、スマートカード(PICC)180は残りのバイトをリーダ(PCD)160に送信する。
【0047】
ステップ8(符号126参照)において、リーダ(PCD)160は受信した暗号化された番号を、ステップ2においてスマートカード(PICC)180で使用された鍵と同じ鍵(ISK)130で復号化する。
【0048】
ステップ9(符号128参照)において、スマートカード(PICC)180の固定の識別番号104が抽出される。
【0049】
上記のプロシージャは次の利点を生じることができる。
・スマートカード180の固定の識別番号104は決して平文で送信されず、乱数106と組み合わされ、暗号化されて送信される。
・乱数106はセッションごとに相違するように選択できる。また、処理能力を小さく維持するために、乱数はいくつかのセッション(例えば2〜10の所定数のセッション)に対して一定に維持し、その後次のいくつかのセッションに対して変化させ、以下同様にすることもできる。
【0050】
従って、スマートカードを個人と関連付けることはできず、その所有者を位置決定することはできない。
【0051】
以下に、いくつかの更なる考察について述べる。
【0052】
模範的な実施の形態による解決策はISO14443−3と完全にコンパチブルである。スマートカードは、マイフェア動作に類似する「UID complete, PICC not compliant with 14443-4」としてコード化されたSAKバイトを提示する。この場合には、新しいコマンドがUID暗号文の残部を取り出すことができる。
【0053】
模範的な実施の形態によるランダムUIDシーケンスはカード依存とすることができる。
【0054】
PRNGシーケンス発生器はオペレータ/リーダにより知られている必要はないので、そのシーケンス発生器の設計はカードに限定することができる。
【0055】
PRNGシーケンスの長さはブロック暗号に含まれる部分より長くすることができる。この場合、オペレータでさえいかなるカードのランダムUIDシーケンスも予測することはできない。
【0056】
PRNG設計の知識はスマートカードプロバイダにランダムUIDシーケンスを予測可能にしないため、アタッカによる「追跡」はスマートカードプロバイダとオペレータとの共謀を必要とする。
【0057】
PICCは、それ自身を固定の論理UIDを返送することができるものと「タイプ識別」することができる。それゆえ、固有の独自コード値をSAKに使用することができる。
【0058】
標準ブロック暗号(例えば3DES)のブロックサイズはたった8バイトである。ランダム物理UIDの多様化に適合させるために平文空間内に3バイト(部分)のPRNGを挿入すると、約1兆の機器に対応する使用可能な5バイトの論理UID空間が残る。
【0059】
ISO14443に規定される全7バイトの論理UIDへの復帰が必要とされる場合には、10バイトのブロックサイズを実装することもできる(UID0−製造者IDを含む256兆の機器)。
【0060】
標準ブロック暗号及びフェイステル構造を用いて非標準ブロックサイズに亘る可逆変換を(トップレベルで)実行することができる。
【0061】
平文空間内に例えば72ビットのPRNGがある場合には、236(13×236バイト=832GB)の供給テーブルサイズと236のカードアクセスが適合するかもしれない。理論的には、カードはハッキングされ得るが、カードを第3者がアクセスするには約109年(1カードアクセスにつき50ms)を要するので、カードのハッキングは実際には不可能である。
【0062】
一実施の形態では、高度のプライバシー保護を可能にする通信システムを提供することができる。ISO14443−3はSELコマンドに応答して4バイトUIDを返送するオプションを規定している(ランダム値は3バイト長にすることができる)。PICCはこのとき0×08XXYYZZの形の単一サイズUIDを返送することができる。しかし、カードごとのデータキーの多様化(per-card data key diversification)のために固定のMifareUIDがしばしば使用される。この点から、固定の論理UIDを回復する機構が必要とされる。この目的のために、この機能に対して専用のコマンドを規定することができる。一実施の形態では、「論理UID」と「物理UID」とのマッピングのために可逆変換を使用することができる。ブロック暗号はこのような変換を提供でき、論理UIDへのアクセスをシステムの所有者に限定することができる。このようなアプローチによれば、高度のプライバシー保護を達成できる。
【0063】
図3について以下に説明されるように、標準のブロック暗号及びフェイステル構造を用いて非標準ブロックサイズに亘る可逆変換を(トップレベルで)実行することができる。
【0064】
図3に示すPICC180の実施の形態では、ブロック暗号の暗号化ブロック(図1の符号112参照)がフェイステル変換ブロック132と置き換えられている。
【0065】
更に、図4はフェイステル変換に関する詳細を示している。図4から明らかなように、擬似乱数106と論理UID104を結合し、擬似乱数106の開始部を省略し、符号134及び136で示す各5バイトの2つのブロックに分割することができる。次に、これらの2つのブロック134、136に対してISK鍵130を用いてフェイステル変換132を施すことができる。
【0066】
図5は可能な実装特定機能を示す。標準ブロック暗号機能/ブロックサイズ(例えばDES/3DES)と仮定すれば、実装特定機能の可能な場所はバス拡張ロジック(符号138参照)及び/又はラウンド結合機能(符号140参照)である。
【0067】
擬似乱数発生器及び対応して発生される乱数は、長さ、一方向性関数等に関して多くの異なる設計が可能である。擬似乱数の代替物として真の乱数を発生させることもできる。このような真の乱数は最初のアンチコリジョンループの時間内に十分なビットを生成することができる。例えば、フェイステル変換を十分急速に実行できないシナリオでは、その前のカードトランザクション中に応答を用意することができる。換言すれば、セッションN+1に対する処理をN番のセッション中に実行することができる。
【0068】
フェイステル設計に関しては多くの代替例が可能である。平衡型の実施が可能であり、不平衡型の実施も可能である。入力のマッピングに関しては、PRNGビットは(例えば図1〜図4に示されるように)左側で、1回のみ代わりに2回分散させることができるものと仮定してもよい。
【0069】
記載した実施の形態によれば、例えばカードの認識フェーズ中、プライバシーを維持し、権限のない第3者による追跡を阻止することができる。オペレータは常にカードを追跡することができる。このプライバシー保護手段は、 [random UID‖UID_CIPHTXT]をアクセスできる第3者による追跡のみを更なる制御なしに保護することができる。オペレータはランダムUIDシーケンスを予測することはできないが、カードの224の可能な[random UID‖UID_CIPHTXT]値を表にすることができる。この表(7×224バイト=112メガバイト)の供給は第3者による追跡を容易にし得る。第3者は単一のアクセスにより特定のカードの身元を確かめることができる。これは、オペレータがISKを暴露してはならないことを想定している。
【0070】
これを緩和するためには、UID‖UID_CIPHTXTにもっと多くの多様性を含めるのが有利である。例えば、もっと多くのPRNGビットを平文空間に与えることができ、もっと長いUID‖UID_CIPHTXTビット列を返送することができる。狙いは、ID及び/又は乱数の長さを適切に調整することによりこれを計算的に及び/又は演算的に実行不可能にすることにある。
【0071】
図6は本発明の模範的な実施の形態による通信システムの構成の概略図である。
【0072】
PRNG空間は符号142で示されている。論理UIDの平文分論理空間は符号144で示されている。更に、物理UIDの暗号文空間は符号146で示されている。
【0073】
図7は本発明の模範的な実施の形態によるプライバシーオプションを要約した表を示す。
【0074】
以下において、図8を参照して本発明の模範的な実施の形態による通信システム150を説明する。
【0075】
通信システム150は図1及び図2に示されるものに類似し、リーダ160及びトランスポンダ180を備える。リーダ160は、送信器アンテナ166及び受信器アンテナ162と通信可能に結合されたプロセッサ164(例えばマイクロプロセッサ又は中央処理装置)を備える。送信器アンテナ166は通信メッセージ168をトランスポンダ180へ送信することができる。受信器アンテナ162はトランスポンダ180からの通信メッセージ170を受信することができる。送信器アンテナ166及び受信器アンテナ162は図8では2つの異なるアンテナとして示されているが、代替実施の形態では単一の共通共用トランシーバアンテナを使用することもできる。
【0076】
アンテナ166,162はプロセッサ164と電気的に結合され、プロセッサ164からのデータは送信アンテナ166に送られ、通信メッセージ168として送信することができるとともに、受信アンテナ162により受信された通信メッセージ170はプロセッサ164により解析し、処理することができる。
【0077】
半導体メモリのような記憶装置172はプロセッサ164と結合され、プロセッサ164によりアクセス可能なデータを記憶する。更に、ユーザにリーダ装置160の操作を可能にする入力/出力装置174も示されている。入力/出力装置174はボタン、キーパッド又はジョイスティック等のような入力素子を備えることができる。コントローラのような入力素子により、ユーザはコマンドをリーダ装置160に入力することができる。更に、入力/出力装置174は、リーダ装置160の読み取り処理の結果をユーザのために可視表示し得る液晶ディスプレイ等の表示装置を備えることができる。
【0078】
更に図8から明らかなように、トランスポンダ180は送信及び受信アンテナ186、マイクロプロセッサのようなプロセッサ184及びメモリ182を備える。一実施の形態では、メモリ182及びプロセッサ184は、アンテナ186に接続でき且つ支持体188(例えば布片)に付着できる集積回路(IC)にモノリシック集積することができる。
【0079】
通信メッセージ168、170はエンティティ160,180間で無線通信することができる。また、有線通信も可能である。
【0080】
トランスポンダ180の記憶装置182は固定の識別番号104を格納している。この識別番号104は不変であり、トランスポンダ180とリーダ装置160のような任意のリーダ装置との間のすべての通信に対して固定のままである。従って、記憶装置182の対応する部分は上書きすることはできない。プロセッサ184は前記識別番号を乱数で拡張するように構成されている。この乱数は図8に符号106で示されている。乱数106はプロセッサ184により発生させることができ、この場合には擬似乱数として示すことができる。しかし、真の乱数発生器をトランスポンダ180に含めることもでき、また多数の真の乱数をメモリ182に格納することもできる。後者の場合には、各通信ごとに、格納乱数の一つを識別番号104の拡張のために使用することができる。
【0081】
識別番号104を乱数104で拡張した後、プロセッサ184は固定の暗号化鍵130を用いて暗号化された番号110を生成することができる。暗号化鍵130は同様にメモリ182に格納することができ、リーダ装置160にも知られているものとし得る。
【0082】
アンテナ186は、リーダ160のリクエスト(例えば通信メッセージ168)時に暗号化された番号を(例えば通信メッセージ170として)リーダ160に送信する。換言すれば、リーダ160は、例えばアンチコリジョンプロシージャ中に、識別要求168をトランスポンダ180に送信することができる。この要求メッセージ168の受信時に、トランスポンダ180は暗号化された番号を無線通信メッセージ170に含めて返送し、リーダ160の受信アンテナ162に受信させる。
【0083】
受信アンテナ162は通信メッセージ170に含まれる暗号化された番号を受信する。このとき、プロセッサ164は受信した番号をトランスポンダ180でも使用された鍵130で復号化する復号装置として作用する。プロセッサ164は、更に、トランスポンダ80と関連する固定の識別番号104を抽出する抽出装置として作用する。従って、リーダ160は、トランスポンダ180による識別番号104と乱数106の組み合わせ方、即ち本実施の形態では暗号化すべき番号は識別番号104で始まり、その後に乱数106が続くことも知っている。この情報によって、リーダ160は通信メッセージ170から識別番号104を導出又は抽出することができる。
【0084】
当業者は、本発明のいくつかの実施の形態によるトランスポンダ、リーダ及び方法は非接触型データ送信に限定されず、原理的には有線通信にも適用できることに留意すべきである。
【0085】
最後に、上述の実施の形態は例示であり、本発明を限定するものではなく、当業者は添付の特許請求の範囲で特定される発明の範囲を逸脱することなく多くの代替実施の形態例を設計可能であるということに留意する必要がある。特許請求の範囲において、括弧内の符号は請求項の記載を限定するものと解釈されるべきではない。「具え」および「含む」などの単語は、請求項あるいは本明細書に列記されていない要素またはステップの存在を除外するものではない。単数形で述べる要素は複数の要素を除外するものではないし、その逆も成り立つ。いくつかの手段を列挙している装置請求項において、これらの手段のいくつかは、ハードウェアあるいはソフトウェアの同一の要素によって具現化できる。特定の手段が相互に異なる従属請求項に引用されているが、このことは、これらの手段の組合せが有利に使用できないことを示すものではない。
【特許請求の範囲】
【請求項1】
固定の識別番号を格納している記憶装置と、
前記識別番号を乱数で拡張し、前記拡張された番号を鍵で暗号化するように構成された処理装置と、
前記暗号化された番号をリーダのリクエスト時にリーダに送信するに構成された送信装置と、
をことを特徴とするトランスポンダ。
【請求項2】
前記送信装置は、アンチコリジョンプロシージャ中に前記暗号化された番号の少なくとも一部分を前記リーダへ送信するように構成されていることを特徴とする請求項1記載のトランスポンダ。
【請求項3】
前記処理装置は、前記リーダと通信する第1のセッション時に前記識別番号を乱数で拡張し、前記拡張された番号を鍵で暗号化し、前記暗号化された番号を前記第1のセッションに続く前記リーダと通信する第2のセッション時に使用するように構成されていることを特徴とする請求項1記載のトランスポンダ。
【請求項4】
前記乱数は擬似乱数であることを特徴とする請求項1記載のトランスポンダ。
【請求項5】
前記固定の識別番号は不変であることを特徴とする請求項1記載のトランスポンダ。
【請求項6】
前記鍵は固定の鍵、特に不変の鍵であることを特徴とする請求項1記載のトランスポンダ。
【請求項7】
前記固定の識別番号は5バイトの長さを有し、前記乱数は3バイトの長さを有することを特徴とする請求項1記載のトランスポンダ。
【請求項8】
ISO14443に準拠して動作するように構成されていることを特徴とする請求項1記載のトランスポンダ。
【請求項9】
リクエスト時にトランスポンダから暗号化された番号を受信するように構成された受信装置と、
前記暗号化された番号を、前記トランスポンダでも使用された鍵で復号化し、前記トランスポンダと関連する固定の識別番号を抽出する復号装置と、
を備えることを特徴とするリーダ。
【請求項10】
前記トランスポンダに前記暗号化された番号の全体を単一の通信メッセージにて送信することを要求するように構成されたリクエスト装置を備えることを特徴とする請求項9記載のリーダ。
【請求項11】
前記トランスポンダに前記暗号化された番号をISO14443に従って2つの別個の通信メッセージにて送信することを要求するように構成されたリクエスト装置を備えることを特徴とする請求項9記載のリーダ。
【請求項12】
ISO14443に準拠して動作するように構成されていることを特徴とする請求項9記載のリーダ。
【請求項13】
請求項1記載のトランスポンダと、
前記トランスポンダと通信可能に結合された請求項9記載のリーダと、
を備えることを特徴とする通信システム。
【請求項14】
固定の識別番号をリーダに送信する方法であって、該方法は、
前記固定の識別番号を乱数で拡張するステップ、
前記拡張された番号を鍵で暗号化するステップ、及び
拡張され暗号化された番号をリーダのリクエスト時にリーダに送信するステップ、
を備えることを特徴とする方法。
【請求項15】
トランスポンダから固定の識別番号を受信する方法であって、該方法は、
リクエスト時に暗号化された番号を受信するステップ、
前記暗号化された番号をトランスポンダでも使用された鍵で復号化するステップ、及び
前記トランスポンダと関連する前記固定の識別番号を抽出するステップ、
を備えることを特徴とする方法。
【請求項16】
プロセッサにより実行されると請求項14又は15に記載された方法を制御又は実行するようにコンピュータプログラムが格納されたコンピュータ読み取り可能な媒体。
【請求項17】
プロセッサにより実行されると請求項14又は15に記載された方法を制御又は実行するように構成されたプログラム素子。
【請求項1】
固定の識別番号を格納している記憶装置と、
前記識別番号を乱数で拡張し、前記拡張された番号を鍵で暗号化するように構成された処理装置と、
前記暗号化された番号をリーダのリクエスト時にリーダに送信するに構成された送信装置と、
をことを特徴とするトランスポンダ。
【請求項2】
前記送信装置は、アンチコリジョンプロシージャ中に前記暗号化された番号の少なくとも一部分を前記リーダへ送信するように構成されていることを特徴とする請求項1記載のトランスポンダ。
【請求項3】
前記処理装置は、前記リーダと通信する第1のセッション時に前記識別番号を乱数で拡張し、前記拡張された番号を鍵で暗号化し、前記暗号化された番号を前記第1のセッションに続く前記リーダと通信する第2のセッション時に使用するように構成されていることを特徴とする請求項1記載のトランスポンダ。
【請求項4】
前記乱数は擬似乱数であることを特徴とする請求項1記載のトランスポンダ。
【請求項5】
前記固定の識別番号は不変であることを特徴とする請求項1記載のトランスポンダ。
【請求項6】
前記鍵は固定の鍵、特に不変の鍵であることを特徴とする請求項1記載のトランスポンダ。
【請求項7】
前記固定の識別番号は5バイトの長さを有し、前記乱数は3バイトの長さを有することを特徴とする請求項1記載のトランスポンダ。
【請求項8】
ISO14443に準拠して動作するように構成されていることを特徴とする請求項1記載のトランスポンダ。
【請求項9】
リクエスト時にトランスポンダから暗号化された番号を受信するように構成された受信装置と、
前記暗号化された番号を、前記トランスポンダでも使用された鍵で復号化し、前記トランスポンダと関連する固定の識別番号を抽出する復号装置と、
を備えることを特徴とするリーダ。
【請求項10】
前記トランスポンダに前記暗号化された番号の全体を単一の通信メッセージにて送信することを要求するように構成されたリクエスト装置を備えることを特徴とする請求項9記載のリーダ。
【請求項11】
前記トランスポンダに前記暗号化された番号をISO14443に従って2つの別個の通信メッセージにて送信することを要求するように構成されたリクエスト装置を備えることを特徴とする請求項9記載のリーダ。
【請求項12】
ISO14443に準拠して動作するように構成されていることを特徴とする請求項9記載のリーダ。
【請求項13】
請求項1記載のトランスポンダと、
前記トランスポンダと通信可能に結合された請求項9記載のリーダと、
を備えることを特徴とする通信システム。
【請求項14】
固定の識別番号をリーダに送信する方法であって、該方法は、
前記固定の識別番号を乱数で拡張するステップ、
前記拡張された番号を鍵で暗号化するステップ、及び
拡張され暗号化された番号をリーダのリクエスト時にリーダに送信するステップ、
を備えることを特徴とする方法。
【請求項15】
トランスポンダから固定の識別番号を受信する方法であって、該方法は、
リクエスト時に暗号化された番号を受信するステップ、
前記暗号化された番号をトランスポンダでも使用された鍵で復号化するステップ、及び
前記トランスポンダと関連する前記固定の識別番号を抽出するステップ、
を備えることを特徴とする方法。
【請求項16】
プロセッサにより実行されると請求項14又は15に記載された方法を制御又は実行するようにコンピュータプログラムが格納されたコンピュータ読み取り可能な媒体。
【請求項17】
プロセッサにより実行されると請求項14又は15に記載された方法を制御又は実行するように構成されたプログラム素子。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公表番号】特表2011−521599(P2011−521599A)
【公表日】平成23年7月21日(2011.7.21)
【国際特許分類】
【出願番号】特願2011−511117(P2011−511117)
【出願日】平成21年5月12日(2009.5.12)
【国際出願番号】PCT/IB2009/051952
【国際公開番号】WO2009/147545
【国際公開日】平成21年12月10日(2009.12.10)
【出願人】(507219491)エヌエックスピー ビー ヴィ (657)
【氏名又は名称原語表記】NXP B.V.
【住所又は居所原語表記】High Tech Campus 60, NL−5656 AG Eindhoven, Netherlands
【Fターム(参考)】
【公表日】平成23年7月21日(2011.7.21)
【国際特許分類】
【出願日】平成21年5月12日(2009.5.12)
【国際出願番号】PCT/IB2009/051952
【国際公開番号】WO2009/147545
【国際公開日】平成21年12月10日(2009.12.10)
【出願人】(507219491)エヌエックスピー ビー ヴィ (657)
【氏名又は名称原語表記】NXP B.V.
【住所又は居所原語表記】High Tech Campus 60, NL−5656 AG Eindhoven, Netherlands
【Fターム(参考)】
[ Back to top ]