ワンタイム認証システム
認証システムは、固有の各身元IDにそれぞれ関連づけられた複数の電子タグ(120、122、124)を含んでいる。これらのタグは、事前に計算されたチャレンジを記憶するための第1のメモリ・ロケーション(222)と、そのチャレンジに関連づけられた事前に計算されたレスポンスを記憶するための第2のメモリ・ロケーション(224)とを有するメモリ(220)を含んでいる。第1のメモリ・ロケーション(222)は、タグの外側からは読取り可能ではない。アクセス回路(210)は、第1のメモリ・ロケーションに記憶されたチャレンジと一致するチャレンジを受信した後に、レスポンスを供給するだけである。リーダ局(110)は、タグに関連づけられた身元を取得する。次いでリーダ局は、対応するチャレンジを決定し、そのチャレンジをそのタグに送信する。リーダ局は、そのタグからレスポンスを受信し、チャレンジに対応するレスポンスと受信されたレスポンスを比較することによりそのタグの信ぴょう性を検証する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、複数の電子タグと、電子タグの信ぴょう性を検証するための少なくとも1つのリーダ局を含む認証システムに関する。本発明は、さらにかかるシステム中で使用するための電子タグに関する。
【背景技術】
【0002】
スマート・タグ・システムは、現在では公共輸送機関、道路通行料、および乗客のチケットから航空路線手荷物のタグ付けまでの範囲にまたがる用途で使用されている。将来においては、衣料品やスーパー・マーケットの商品などもっと多くの商品に、スマート・タグが装備されるようになるものと予想される。このような用途においては、タグ・リーダとスマート・タグの間の情報のやり取りが、ますます接触がないように行われる。これは、処理時間と正確さを向上させ、待ち時間を低減させる。このようなタグはまた、時にRF−ID(Radio Frequency Identification無線識別)と称されることもある。
【0003】
これらの市場における様々なスマート・タグのハードウェア機能は、非常に多種多様である。これらの電子タグの一部は、(バー・コードに匹敵する)タグ・リーダによって読み取られることが可能なデータを記憶することだけが可能である。このようなタグの一例が、Philips Semiconductor社のMIFARE(登録商標)ウルトラライト(ultralight)である。読取り専用メモリ、追記(write−once)メモリ、および再書込み可能(例えば、EE−PROM、フラッシュ)メモリを含めて、異なるタイプのメモリが、このようなタグによって使用されてもよい。他のタグは、高度な暗号保護を提供する。例えば、Philips Semiconductor社のMIFARE(登録商標)PROXレンジは、セキュリティ保護された8−ビットの80C51コアに基づいている。このコアは、オンチップ・メモリをセキュリティ保護する、カスタマイズされたパラメータを有する高機能のメモリ保護スキームと、アプリケーションをセキュリティ保護により保護する高度なメモリ管理ユニットとを提供する。MIFARE(登録商標)PROX ICは、高集積されたプロセス技術と設計方法に基づいており、これらのチップをどのような種類の物理解析に対しても極めて耐性があるようにしている。そのデータは、トリプルDES(triple−DES)コプロセッサを使用して保護される。MIFARE(登録商標)PROX PKIコントローラはまた、RSAやECCなどの公開鍵アルゴリズムのために最適化された、埋め込まれた32−ビット暗号コプロセッサを含んでいる。
【0004】
これらの異なる種類のスマート・タグの間の処理能力の違いは、コストにおけるかなりの違いをもたらす。データは、暗号により保護されないので、これらの簡単なタグによってもたらされるセキュリティは、比較的低い。これは、不正なパーティが、例えばオリジナルのリーダおよびタグを取得し、そのタグからデータを読み取り、そのリーダとタグの間の相互作用を観察することにより、本物のタグを偽造/シミュレートすることを可能にする。この場合には、例えばリーダとのRF通信のための、アンテナなどのハードウェアと、PDAを本物のタグとして動作させるプログラムとが装備されたPDA(Personal Digital Assistant携帯型個人情報端末)を使用して本物のタグをシミュレートすることは比較的簡単である。このような不正なタグを使用することによって得られる利点は低いはずで、または検出の可能性が高く、あるいはその両方の場合には、このような努力は、価値がないはずである。検出の可能性は、タグの目視検査のような追加のセキュリティ対策によって増大される可能性がある。しかし、このような検出システムの多くは、かなりの努力を必要とし、したがって必ずしも適しているとは限らない。
【0005】
ある種の用途では、これらの簡単なタグによって提供されるセキュリティは、十分ではない。他方で、暗号プロセッサを有するタグの追加コストは、見合うものにならない可能性がある。例えば、これは、ポップ・コンサートまたはサッカー試合への入場券としての適用の場合である。このような用途においては、電子タグが使用されて、そのイベントへの入場を制御することができ、すなわち、支払いの済んでいる人々だけが入場する権利が与えられる。さらに、あらゆる人の安全を保証するセキュリティ要件は、かなり厳しい。
【0006】
認証を行うよく知られている方法は、暗号のチャレンジ−レスポンス・プロトコルを使用することによるものである。これは、タグ・リーダとスマート・タグそれ自体の両方の側における1つ(または複数)の暗号アルゴリズムの実装を必要とする。これを行うことは、簡単なスマート・タグを複雑でより高価なスマート・タグに変化させるはずである。
【発明の開示】
【発明が解決しようとする課題】
【0007】
本発明の一目的は、本物のスマート・タグから偽のスマート・タグを区別することができる、すなわち、タグ中に暗号プロセッサを必要とせずにこれらのタグを認証する認証システムと、その述べられた種類の電子タグとを提供することである。本発明のさらなる目的は、かかるシステム中で使用するための電子タグを提供することである。
【課題を解決するための手段】
【0008】
本発明の目的を満たすために、認証システムは、各電子タグが、固有の各身元に関連づけられ、事前に計算されたチャレンジを記憶するための、そのタグの外側から読取り可能でない第1のメモリ・ロケーションとそのチャレンジに関連づけられた事前に計算されたレスポンスを記憶するための第2のメモリ・ロケーションとを含む複数の電子タグと、電子タグの信ぴょう性を検証するための少なくとも1つのリーダ局と、第1のメモリ・ロケーションに記憶されたチャレンジと一致するチャレンジを受信することに応じて、第2のメモリ・ロケーションに記憶されたレスポンスを供給するためだけのアクセス回路を含んでおり、各リーダ局は、電子タグについて、関連づけられた固有の身元を取得し、その身元について対応するチャレンジを決定し、そのタグに対してそのチャレンジを送信し、そのタグからレスポンスを受信し、そのチャレンジに関連づけられたレスポンスとその受信されたレスポンスを比較することにより、そのタグの信ぴょう性を検証するように動作可能である。
【0009】
スマート・タグに簡単な認証プロトコルを実施する可能性を追加することにより、タグ・リーダは、暗号のチャレンジ−レスポンス・システムに基づいて本物のスマート・タグを偽のスマート・タグから区別することが可能である。暗号検査のための必要とされる値は、事前に計算され、タグ上に記憶される。これらの事前に計算された値は、認証作業を行うために秘密に保たれる必要がある。スマート・タグが秘密データをうっかり解放してしまわないようにするために、スマート・タグは、正しいチャレンジがリーダによってそのスマート・タグに送信された場合にそのレスポンスを送信するだけである。したがって、悪意のあるリーダがそのレスポンスを簡単に取得して、そのタグのコピーを生成することはできない。チャレンジは、タグに関連づけられた固有の識別子(ID)に基づいている。本物のリーダだけがこのIDについてのチャレンジを生成することができるように保証することにより、スマート・タグとタグ・リーダの両方の相互認証が達成される。暗号処理がそのタグにおいては必要とされず、そのタグを非常に低コストにしている。レスポンスは、従来のチャレンジ−レスポンス・プロトコルを介してチャレンジに関連づけられてもよい。チャレンジとレスポンスの間で他の関連づけを有することもまた可能である。例えば、両者は、ランダム数であってもよい。そのランダム数がタグ中に記憶され、リーダは、ランダム数に対してアクセスすることができ、そのタグIDに基づいてこれらの位置を見出すことができる。
【0010】
本システムは、所与のIDに関連づけられた第1のタグが本物であるという暗号セキュリティの従来のレベルを提供する。タグとリーダの間の通信を盗聴することにより、偽のタグが後から生成され/シミュレートされることが可能になることもある。そのタグが(例えば、入場ゲートにおいて)一度だけ使用されることが可能である場合には、本システムは、暗号的に十分にセキュリティ保護されたものである。これは、例えばどのタグがすでに使用されているかを記録し、コピー(すなわち、同じIDに関連づけられたタグ)に対する入場を拒否する入場システムによって簡単に達成される可能性がある。セキュリティ要件があまり厳しくないシステムでは、理論上は一部のコピーが生成され得ることが許容可能である。追加のステップが行われて、この出来事が起こる可能性を低減させることができる。例えば、タグが主要イベントへの入場のために使用されるような場合、最初の有効なタグの入場と最後の人の入場の間の時間は非常に限られており、大規模なコピーの可能性をなくしている。PDAなどの装置を使用してタグをシミュレートする可能性は、タグの簡単な目視検査により低減させられてもよい。
【0011】
本従属請求項2の対策によれば、電子タグのメモリは、そのタグに関連づけられた固有の身元を記憶するための第3のメモリ・ロケーションを含んでおり、その第3のメモリ・ロケーションは、読取り専用タイプであり、リーダは、タグのメモリからその身元を読み取ることにより、電子タグに関連づけられた固有の身元を取得するように動作可能である。このようにして、リーダは、固有のIDを簡単で信頼性のある方法で取得することができ、そのIDに基づいてチャレンジ−レスポンスを実施することができる。IDは、(通常のタグが、例えばそのIDに書込みを行うことにより、他のタグのIDを有するように簡単に修正されることが可能ではないという意味において、そのIDを固有であり続けるように保証して)そのIDが改ざんされる可能性がない方法で、製造中にそのタグ中にロードされることが好ましい。固有のIDを取得するためのどのようなスキームが使用されてもよい。完全に固有なIDを製造することに対する代替形態として、例えば1つのイベントのために使用されるタグのグループについて固有となるグループIDを用いてタグが生産されてもよい。その場合には、このようなグループのタグは、その集合内でこれらのタグを固有に識別するシリアル番号など、さらなる識別子を追加することにより、完全に固有にされてもよい。このような追加のIDは、そのタグに書き込まれてもよく、その後この追加のIDを有するストレージ・ロケーションを読取り専用形式にロックすることにより続けられる。次いで、これらの2つのIDの組合せは、すべての集合のすべての可能性のあるタグについて固有のタグを生成する。
【0012】
本従属請求項3の対策によれば、そのメモリは、チャレンジを記憶するための第4のメモリ・ロケーションを含んでおり、その第4のメモリ・ロケーションは、タグの外側から書込み可能であり、そのアクセス回路は、タグの外側からの第2のメモリ・ロケーションに対する読取りアクセスに応じて、第4のメモリ・ロケーションに記憶されたチャレンジを第1のメモリ・ロケーションに記憶されたチャレンジと比較し、その比較が一致をもたらす場合に、第2のメモリ・ロケーションに記憶されたレスポンスを供給することだけを行うように構成される。この構成においては、タグは、完全にその動作を非常に簡単にするメモリのように動作する。チャレンジは、メモリ・ロケーションに書き込まれ、レスポンスは、メモリ・ロケーションから読み取られる。書き込まれたチャレンジがすでに記憶されているものと一致する場合だけに、事前に計算されたチャレンジが、実際に提供されるレスポンスとなる。
【0013】
本従属請求項4の対策によれば、第1および第2のメモリ・ロケーションは追記型であり、本システムは、電子タグについて、
関連づけられた固有の身元を取得し、
その身元について対応するチャレンジを決定し、
その電子タグの第1のメモリ・ロケーションにそのチャレンジを記憶し、
所定の暗号アルゴリズムに基づいてそのチャレンジに関連づけられたレスポンスを決定し、
そのタグの第2のメモリ・ロケーションにそのレスポンスを記憶する
ように動作可能なアクチベータをさらに含んでいる。
【0014】
原理的には、この活性化は、製造中にすでに行われてもよい。好ましい実施形態においては、活性化は、例えばイベントごとに活性化を可能にする別々のステップである。このような状況においては、これらの関連づけられたチャレンジ−レスポンス対は、イベントごとに選択されてもよい。例えば、セキュリティ保護されていると考えられる1つのチャレンジ−レスポンス・アルゴリズムを使用して、イベントごとに異なる鍵が選択されてもよい。このようにして、IDがイベントごとに固有(すなわち、1つの目的ごとにタグの組)であることが十分であり、そのチャレンジ−レスポンス・アルゴリズムは、イベントおよびチャレンジについて固有のレスポンスを行うことができる。チャレンジは、前述のように追記型であるべきで、レスポンスは条件によって読取り可能であるべきであることが理解されよう。これは、望ましくない動作についてそのアクチベータによってロックがかけられることが可能なメモリ・ロケーションにチャレンジおよびレスポンスを記憶することにより達成されてもよい。そのロッキングは、そのメモリ・ロケーションに書き込まれる値に応じて自動的であることが好ましい。このようにして、完了されていない活性化に起因してチャレンジおよび/またはレスポンスが読取り可能になるはずである可能性は、低下させられてもよい。
【0015】
本従属請求項5の対策によれば、その身元についての対応するチャレンジは、少なくともその身元と暗号鍵との上で動作する、さらなる所定の暗号アルゴリズムを使用して決定される。これは、セキュリティ保護されたチャレンジを生成するだけでなく、それはまた、このアルゴリズムおよび鍵をリーダにただ記憶して、そのシステムのすべてのタグについてリーダを動作可能にすることも可能にする。暗号が使用されて、例えば2つの疑似ランダム数を生成することにより、2つの固有の数(チャレンジおよびレスポンス)を生成し、そのチャレンジと、関連するレスポンスとしてこれらを使用することも可能になる。そのアルゴリズムおよび鍵を記憶することに対する代替アプローチは、(例えば、テーブルを使用して)これらのIDに関連したシステム中で可能になるすべてのチャレンジを(またはすべてのチャレンジ−レスポンス対さえも)記憶することになるはずである。多数のタグを用いたシステムでは、この後者のアプローチの方が、より大容量のストレージを必要とする。どのような影響を受けやすいデータ/動作も、例えば暗号スマート・カードを使用してセキュリティ保護されるように実施されることが可能であることが好ましい。
【0016】
本従属請求項6の対策によれば、そのアクセス回路は、そのタグの外側から第2のメモリ・ロケーションに記憶されたレスポンスに対するアクセスを最大1回だけ提供するように構成される。このようにして、暗号的にセキュリティ保護されたワンタイム認証システムが、もたらされる。ある種のシステムでは、このような厳しい要件が必要とされないことが理解されよう。このようなシステムでは、使用回数を所定の回数、例えば3回だけに制限する(例えば、そのリーダおよび/またはそのタグ中の)カウンタを使用してもよい。これらのシステムは、十分にセキュリティ保護されていない(そのタグの2回以上の使用は、実際には不正なタグによって実施されることが防止されない可能性がある)はずであるが、ある種の用途では、また他の条件(例えば、目視検査、イベントの限られた存続時間など)を考慮して許容可能となることもある。
【0017】
本従属請求項7の対策によれば、メモリは、複数のメモリ・ロケーション対を含んでおり、各対は、所定のチャレンジを記憶するための第1の各メモリ・ロケーションと、同じ対の第1のメモリ・ロケーション中のチャレンジに関連づけられた所定のレスポンスを記憶する対についての第2の各メモリ・ロケーションとを含んでおり、第1のメモリ・ロケーションのそれぞれは、そのタグの外側から読取り可能ではなく、そのアクセス回路は、同じ対の第1のメモリ・ロケーションに記憶されたチャレンジと一致するチャレンジを受信することに応じて対の第2のメモリ・ロケーションに記憶されたレスポンスだけを提供するように構成される。このようにして、いくつかの動作について(メモリ対が存在するのと同数の動作について)セキュリティ保護されたタグが、生成される。多数の用途が、このようなタグからの恩恵を受けることができる。1つの用途は、(1つのメモリ・ロケーション対を使い果たすたびに)同じタイプの旅行(trip)について数回使用されてもよい、あるいはユーザがゾーンごとに支払いを行うゾーン−機構体(zone−mechanism)を使用した電子公共輸送機関チケットであってもよい。後者のシステムにおいては、各メモリ・ロケーション対は、ユーザによって移動されるゾーンに対応していてもよい。例えば、ユーザが取得される商品/サービスごとに支払いを行う必要がある場合に、他の多数の用途が、このようなタグからの恩恵を受けることもできる。例えば、ユーザがバーで飲み物を購入するたびに1つのメモリ対が使用される。その夜の終わりに、次いでユーザは、チェックアウトで支払いを行う。チェックアウトは、どれだけ多くのメモリ・ロケーションが使用されているかを検査し、それに応じて課金を行う。プリペイド用途においてこのようなタグを使用することも可能であり、この場合には、ユーザが商品/サービスを使用するたびに、1つのメモリ対が使用される。低コストのタグに結合された高いセキュリティ・レベルが、多数の新しい用途を切り開く。
【0018】
本従属請求項8の対策によれば、これらのメモリ・ロケーション対は、逐次的に構成され、そのアクセス回路は、これらのメモリ対のうちの第1のメモリ対から開始され、レスポンスが受信されたチャレンジに応じて提供されるたびに、後続のアクセス動作のための次の対を逐次的に選択するように動作可能である。このようにして、リーダは、どのメモリ対が使用されてもよいかを管理し、あるいはどの対が依然として使用されていないかを検査する必要はない。タグは、そのタグそれ自体の世話をする。タグ(例えば、カウンタ)によって必要とされるどのようなデータも、そのタグ中にセキュリティ保護されるように記憶される必要があり、そのタグの外側からの再書込みを防止していることが理解されよう。
【0019】
本発明の一目的を満たすために、認証システム中で使用するための電子タグは、固有の身元に関連づけられ、
事前に計算されたチャレンジを記憶するための、そのタグの外側から読取り可能ではない第1のメモリ・ロケーションと、所定の暗号アルゴリズムに基づいたチャレンジに対応する事前に計算されたレスポンスを記憶するための第2のメモリ・ロケーションとを含むメモリと、
第1のメモリ・ロケーションに記憶されたチャレンジと一致するチャレンジを受信することに応じて第2のメモリ・ロケーション中に記憶されたレスポンスを供給するためだけのアクセス回路と
を含んでいる。
【0020】
本発明のこれらの態様および他の態様は、以降に説明される本実施形態から明らかであり、本実施形態に関連して明らかにされることになる。
【発明を実施するための最良の形態】
【0021】
図1は、本発明によるシステム100のブロック図を示している。本システムは、リーダ局110と(120、122、および124で示される)複数の電子タグとを含んでいる。そのように望まれる場合、複数のリーダ局が、使用されてもよい。そのリーダ局と電子タグは、互いに情報をやり取りすることができる。データは、いずれの方向に交換されてもよい。その通信は、Philips Mifareシステムのような無線/無接触のIDカードから知られているように、またはこれらのIDカードと同様に無線/無接触であることが好ましい。このようなシステムにおいては、リーダ局およびタグにはそれぞれ、アンテナが装備される。一般的に、リーダ局は、そのアンテナを経由してタグに電力も供給する。通信を不可能にせずに、複数のタグがリーダ局の近くに存在することができるようにする通信技法が有利に使用される。このような通信システムおよび通信技法は、よく知られており、本発明の主題ではないが、本発明によるシステム中で使用されてもよい。そのように望まれる場合、その通信は、例えば従来のスマート・カード接点を使用して接触を行うことに基づいていてもよい。したがって、無接触通信システムと接触ベースの通信システムの両方が、代替形態として、または一緒に使用されてもよい。
【0022】
図2は、本発明による電子タグ200のブロック図を示している。本発明について関連する要素だけが、より詳細に示されていることが理解されよう。アンテナ、電源回路、通信回路などの要素が、ブロック230を使用して示されており、それ自体よく知られている。各電子タグ200は、メモリ220を含んでいる。メモリ220は、事前に計算されたチャレンジを記憶するための第1のメモリ・ロケーション222と、例えば所定の暗号のチャレンジ−レスポンス・アルゴリズムに基づいて、または本システムによって互いに関連づけられた2つの(疑似)ランダム数であることにより、チャレンジに関連づけられた事前に計算されたレスポンスを記憶するための第2のメモリ・ロケーション224とを含んでいる。タグ200は、第1のメモリ・ロケーション222に記憶されたチャレンジと一致するチャレンジを受信することに応じて第2のメモリ・ロケーション224に記憶されたレスポンスを供給するためだけのアクセス回路210も含んでいる。アクセス回路210は、適切な任意の方法で実装されてもよい。例えば、タグは、コマンド駆動型であってもよい。1パラメータとしてチャレンジを伝えるコマンド「レスポンスを供給する」を受信するとすぐに、アクセス回路は、メモリ・ロケーション222中に記憶されたチャレンジに対して受信されたパラメータを検査するコンパレータを使用することができる。これが一致する場合、アクセス回路は、従来の読取り回路を使用して、メモリ・ロケーション224からのレスポンス値を読み取り、このレスポンス値をそのコマンドに対するレスポンスとして提供する。そのコマンド復号化/レスポンス符号化は、アクセス回路の一部分であってもよく、またタグ200の異なる一部分中にあってもよい。コマンド/レスポンスの符号化/復号化については、よく知られており、これ以上は説明しないことにする。第1のメモリ・ロケーション222は、タグの外側からは読取り可能ではない。これは、例えばそのメモリ・ロケーションが、タグの外側へのインターフェイスに結線され/切り換えられないことを保証することにより、適切な任意の方法で達成されてもよい。アクセス回路210は、例えばステートマシンを使用して、第1のメモリ・ロケーションへのアクセスを制御する責任もあることが好ましい。このようなステートマシンは、恒久的に記憶された状態パラメータを使用して動作させられてもよい。この目的のためにメモリ220は、その状態を記憶するために一部のビットを用いて拡張されてもよい。この記述されたデータは、たぶん長期間にわたって記憶される必要があることが理解されよう。この目的を達成するために、EEPROMやフラッシュ・メモリなどの不揮発性メモリが使用されることが好ましい。MRAMなど他の適切なメモリ・タイプも使用されてもよい。
【0023】
図3は、例示のリーダ局300のブロック図を示している。ブロック310は、通信のために、またオプションとして電子タグに電力を供給するために使用される、アンテナ、電源回路、通信回路などの要素を示している。したがって、ブロック310は、図2のブロック230についての対応する部分である。このような要素は、それ自体よく知られており、ここでこれ以上は説明しないことにする。リーダ局300は、例えば選択されたチャレンジ−レスポンス・プロトコルを実施することにより、あるいは受信されたレスポンスが、本システムに従ってチャレンジに関連づけられたレスポンスと一致するかどうかを検査することにより、チャレンジ−レスポンス検証を実現する。この目的を達成するために、リーダ局300には、適切なプログラムの制御下で動作させられるプロセッサ320が装備されてもよい。例えばパーソナル・コンピュータ中で使用されるプロセッサのような適切な任意のプロセッサが、使用されてもよい。プログラムは、ハード・ディスク、光学的ストレージ媒体(例えば、CD−ROM、DVD−ROM、DVD+RWなど)、ROM、フラッシュまたは他の適切な不揮発性ストレージなどのソリッド・ステート・メモリなどのストレージ330に記憶されてもよい。重要な暗号計算およびデータ(例えば、鍵)は、暗号スマート・カードなどのセキュリティ保護モジュール340中において実施され/記憶されることが好ましい。リーダ局それ自体は、モジュール310および340を用いて機能拡張されたデスクトップPCやラップトップPCなどの従来のコンピュータに基づいていてもよい。
【0024】
各電子タグは、固有の身元(ID)に関連づけられる。このIDの目的は、本システムの範囲内でタグを一意的に識別可能にすることである。これは、タグごとに普遍的に固有のIDを使用することにより達成されてもよい。図4の実施形態においては、このようなIDは、タグそれ自体の中のメモリ・ロケーション402に記憶される。これは、(例えば、メモリ・ロケーション402に対応する所定のメモリアドレス上で読取り動作を単に実施することにより)リーダ局が、そのIDを取得することを非常に簡単にする。このロケーションに対する書込みアクセスは、外側から可能とすべきではない。原理的に、そのIDは、自由に読み取られてもよい。タグの製造中に、固有のIDは、そのタグ中の読取り専用であるメモリの一部分に記憶されることが好ましい。
【0025】
IDは、普遍的に固有である必要はない。原理的には、タグが使用される実際のシステムの境界内で(例えば、タグが使用されるイベントについて)タグが固有である場合、それで十分である。(例えば、タグ上での視覚的な識別を使用して)タグが1つのシステムのためだけに使用され得ることを保証するために、他の対策が取られてもよい。好ましい実施形態においては、暗号技法が使用されて、タグが1つのシステム内で固有であるにすぎないが、チャレンジがそれにもかかわらず普遍的に固有であることを保証している。例えば、IDは、そのシステムについて固有である鍵の制御の下に暗号化される。その場合には、チャレンジは、暗号化されたIDに基づいている。適切などのような暗号システムが使用されてもよい。その鍵は、ランダムに、または適切な疑似ランダム・ジェネレータを使用して選択されてもよい。
【0026】
また普遍的に固有のIDが、2つの(またはそれ以上の)フィールドを組み合わせることにより生成されてもよい。その場合には第1のフィールドが使用されて、そのシステム/アプリケーションを識別することができ、またその第1のフィールドは製造中に設定されてもよく、1群の同じタグがもたらされる。第2のフィールドが使用されて、そのシステム/アプリケーション内で固有の識別子を記憶することもできる。このフィールドは、後ろのステージで書き込まれてもよい。その場合には、このようなフィールドは、追記型である必要がある(または、そのアクセス回路の介入を介して追記型に見える)はずである。
【0027】
IDがタグ内のメモリから取得されることは、これによってリーダ局による完全に自動的で高速な認証が可能になるので、便利である。そのように望まれる場合、タグに関連づけられた固有のIDが、他の方法で取得されてもよい。例えば、IDは、(例えば、数字またはバー・コードを使用して)視覚的に読取り可能なようにタグ上に印刷されてもよい。IDは、タグを保持する人の識別子、例えばパスポートまたは運転免許証上の識別コードであってもよい。
【0028】
リーダ局は、(例えばメモリ・ロケーション404から固有の身元を読み取ることにより)電子タグについて関連づけられた固有の身元を取得する。次いで、リーダ局はその身元について対応するチャレンジを決定する。暗号チャレンジ−レスポンス・システムにおいては、他の誰かの身元を確証したいと思うパーティ(ベリファイヤ(verifier)、すなわちリーダ局)は、他のパーティ(プルーバ(prover)、すなわち電子タグ)にメッセージを送信する。このメッセージは、「チャレンジ」と呼ばれる。このチャレンジに対しては、たった1つの有効なレスポンスしか存在しない。有効なレスポンスが受信されているとき、ベリファイヤは、他のパーティの身元について確信している。このシステムが機能するためには、発行されるチャレンジは、(また異なるレスポンスを必要とする)そのプロトコルが実施されるたびに異なっている必要があり、そうでなければ、攻撃者は簡単にプルーバのふりをすることができる。チャレンジ−レスポンス・システムは、公開鍵技法と対称秘密鍵技法の両方を使用して、実装されてもよい。第1のケースにおいては、ベリファイヤは、(例えば、公開鍵証明書から)あらかじめプルーバに属する公開鍵を知っている必要がある。第2のケースにおいては、ベリファイヤとプルーバは、秘密鍵を共有している必要がある。その場合には、認証は、プルーバが、ベリファイヤからのチャレンジを「暗号解読する」ことができ、またプライベート/秘密鍵に基づいて有効なレスポンスを生成することができることに基づいている。チャレンジ−レスポンス・システムのよく知られている例が、Guillou−Quisquarter識別プロトコル(Philipsによる米国特許第5140634号)である。このアルゴリズムが使用されてもよいが、他の適切なアルゴリズムもまた使用されてもよい。チャレンジ−レスポンス・プロトコルが選択された後に、チャレンジについて必要とされる正確なビット数は、知られていてもよく、あるいはこのシステムのオペレータによって選択可能であってもよい。本システム100は、システム中で使用されるべき、可能なタグごとに1つの、十分な固有のチャレンジ数を生成していてもよい。次いで本システムは、そのタグのIDをその関連づけられたチャレンジにマッチングさせる表を生成することができる。IDを取得することにより、対応するチャレンジが、このようにしてその表から読み取られてもよい。このような構成においては、このような表は、(例えば、モジュール340中に)セキュリティ保護されて保持されることが好ましい。その表は、チャレンジに関連づけられたレスポンスを加えることにもよって、さらに拡張されてもよい。レスポンスは、選択されたチャレンジ−レスポンス・プロトコルを経由して関連づけられてもよいが、また2つのランダム数を関連づけることなど他の関連付けが存在していてもよい。このような表が図5に示されている。タグごとにこの表中の1行が使用される。第1のフィールドは、タグに関連づけられたIDを示している。リーダ局がタグについてこのIDを取得した後に、このリーダ局は、このIDを使用して第1の列を介して検索し、それに関与する行を見出す。次いでリーダ局は、そのタグにチャレンジを送信する。この実施形態においては、その位置が突き止められた行の第2の列からチャレンジを取得することができる。タグが、チャレンジを許容可能と考える場合、リーダ局は、そのタグからレスポンスを受信する。次いでリーダ局は、選択された暗号チャレンジ−レスポンス・プロトコルに基づいてそのチャレンジに対応するレスポンスと受信されたレスポンスを比較することにより、そのタグの証明書を検証する。図5の表を使用して、リーダ局は、その行の第3のフィールドから簡単にその予想される(許容可能な)レスポンスを取り出すことができる。
【0029】
図4はまた、好ましい実施形態を示しており、この実施形態ではメモリ220は、チャレンジを記憶するための第4のメモリ・ロケーション404を含んでいる。第4のメモリ・ロケーション404は、(実際には、リーダ局により)タグの外側から書込み可能である。アクセス回路210は、(実際には、リーダ局による)タグの外側からの第2のメモリ・ロケーション224に対する読取りアクセスに応じて、第1のメモリ・ロケーション222に記憶された事前に計算されたチャレンジと第4のメモリ・ロケーション404に記憶されたチャレンジを比較し、その比較が一致をもたらす場合だけに第2のメモリ・ロケーション224に記憶されたレスポンスを供給するように構成される。このようにして、リーダ局は、電子タグを単なる通常のメモリとして見る。当業者なら、このようなアクセス回路を簡単に設計することができる。
【0030】
図6は、リーダ局(左側)およびタグ(右側)の動作と前述の実施形態についてのデータの交換の例示のフロー・チャートを示すものである。ステップ610において、リーダ局は、この実施例においてはタグから固有の識別子を読み取ることにより、固有の識別子を取得する。リーダ局は、IDを保持するメモリ・ロケーションのアドレス(ID addr)をタグに送信する。ステップ612において、タグは、記憶された識別子(ID)を獲得し、そのIDを逆に供給する。その全体の動作は、例えば従来のメモリ読取り動作であってもよい。ステップ615において、リーダ局は、IDに関連づけられたチャレンジを取得する。図5において以上で説明されたように、リーダ局は、テーブルからチャレンジを読み取ることによりそれを行ってもよい。代わりに、チャレンジは、タグID上で動作する暗号機能とリーダ局中の内部に記憶される秘密暗号鍵kとを使用してリーダ局によって実行中に計算されてもよい。このような実施形態においては、リーダ局は、チャレンジと対応するレスポンスの長いリストを記憶する必要はないが、その鍵kを秘密に保つ必要だけはある。標準ブロック暗号アルゴリズムのトリプルDESやAESなどの適切な任意の暗号アルゴリズムが、使用されてもよい。ステップ620において、リーダ局は、この実施例においてはメモリ書込み動作の形態で、タグにチャレンジを供給する。すなわち、リーダ局は、供給されたチャレンジを記憶するために使用されるメモリ・ロケーションのアドレス(chal addr)を供給し、またリーダ局は、実際のチャレンジ値(chal)を供給する。ステップ622において、タグは、その値を記憶する。ステップ630において、リーダ局は、この実施例においてはタグからレスポンスを読み取ることにより、タグからレスポンスを獲得しようと試みる。リーダ局は、レスポンスを保持するメモリ・ロケーションのアドレス(Resp addr)をタグに送信する。タグは、レスポンス・アドレスの読取り動作によってトリガされる。前述のように、タグは、条件付きでレスポンスを供給するだけである。テストは、アクセス回路210によって行われる。この実施例においては、そのテストは、供給されるアドレスがレスポンスを保持するメモリ・ロケーションのアドレスであることを検査するテスト632によって示される。もしそうなら、ステップ634において、タグは、ステップ622において受信されたチャレンジが、ロケーション222に記憶された事前に記憶されたチャレンジと一致するかどうかを検査する。もしそうなら、ステップ636において、タグは、ロケーション224から事前に記憶されたレスポンスを獲得し、そのレスポンスを戻す。ステップ640において、リーダ局は、(所定のチャレンジ−レスポンス・プロトコルに従って)受信済みのレスポンスが予想されるレスポンスと一致するかどうかを検査する。その予想されるレスポンスは、図5に示されるように事前に計算されていてもよく、あるいはそのプロトコルを使用して実行中に生成されてもよい。受信されたレスポンスと予想されるレスポンスが一致する場合、タグは、本物であると考えられ、イベントに対するアクセスを認可するなど、このようなタグについてのさらなるステップ650が行われてもよい。レスポンスが一致しない場合には、タグは、ステップ660において拒絶される。
【0031】
図7は、本発明によるシステムのさらなる実施形態のブロック図を示している。この実施形態においては、固有の識別子は、すでにタグに関連づけられ(例えば、すでに製造中にタグに記憶され)ている。この実施形態においては、本システムは、アクチベータ710を含んでいる。アクチベータ710は、さらにこれらのタグを「プログラム」する。専用のアクチベータ710は、イベント/アプリケーションごとに使用されてもよい。アクチベータ710は、例えばメモリ・ロケーション402から身元を読み取ることにより、電子タグについて関連づけられた固有の身元を取得する。この目的を達成するために、アクチベータ710は、その場合にはタグと情報をやり取りし、適用可能な場合にはタグに電力を供給するハードウェア/ソフトウェアを必要とするはずである。アクチベータ710は、その場合にはその身元について対応するチャレンジを決定する。そのチャレンジは、(仮にも使用される場合には)その選択されたチャレンジ−レスポンス・プロトコルについて適切でなければならず、またランダムに選択されてもよい。次いでアクチベータは、電子タグ200の第1のメモリ・ロケーション222にチャレンジを記憶する。このメモリ・ロケーションは、追記型であることが好ましい。追記型の適切な任意の実装が使用されてもよい。そのように望まれる場合、アクセス回路210中のステートマシンが使用されて、ロケーション222が書き込まれていることを登録し、このロケーションに対するさらなるどのような書込みアクセスおよび読取りアクセスもロックすることができる。アクチベータ710はまた、(例えば、所定のチャレンジ−レスポンス・アルゴリズムに基づいて)チャレンジに関連づけられたレスポンスを決定する。アクチベータ710は、タグの第2のメモリ・ロケーション224に計算済みのレスポンスを記憶する。このメモリ・ロケーション224はまた、追記型であることが好ましい。アクチベータ710は、本システムのタグごとにリーダ局110に対して以降の情報、すなわちIDおよびチャレンジを供給する。リーダ局がレスポンスそれ自体を計算しない場合には、アクチベータ710はまた、レスポンスをリーダ局110に対して供給することが好ましい。
【0032】
アクセス回路は、タグの外側から第2のメモリ・ロケーション224中に記憶されたレスポンスに対してたった1回のアクセスだけを実現するように構成され、最大のセキュリティを保証することが好ましい。アクセス回路は、すでに正常なアクセスが、ロケーション224中のレスポンスに対して認可されているかどうかを登録するステートマシンを使用することにより、これを行うことができる。もしそうなら、さらなるアクセスは、常に拒絶される。減少させられたセキュリティ要件を有するシステムでは、例えば3回などさらに多数のアクセス数が認可されてもよい。アクセスが認可されてもよい最大回数が、その外部から書き込まれることができない(または、その数を設定するために1回のみ)メモリ・ロケーションに記憶されてもよい。カウンタが使用されて正常なアクセスの回数を登録することができ、またステートマシンは、その最大許容可能数が到達されている後のさらなるアクセスを拒絶することができる。
【0033】
図8は、本発明によるシステムのさらなる実施形態のブロック図を示しており、ここで電子タグのメモリ220は、複数対のメモリ・ロケーションを含んでいる。これらの対810、820および830が示されている。各対の第1のメモリ・ロケーション812、822、832は、所定のチャレンジを記憶するために使用され、各対の第2のメモリ・ロケーション814、824、834は、所定のレスポンスを記憶するために使用される。レスポンスは、(例えば所定の暗号のチャレンジ−レスポンス・アルゴリズムに基づいて)チャレンジに関連づけられる。図1を参照して説明されたのと同様に、第1のメモリ・ロケーション812、822、832は、タグの外側から読取り可能ではない。アクセス回路210は、同じ対の第1のメモリ・ロケーションに記憶されたチャレンジと一致するチャレンジを受信することに応じてのみ、1対のうちの第2のメモリ・ロケーションに記憶されたレスポンスを供給するように構成される。したがって、そのアクセス回路は、今では対ごとに図2に説明されるのと同じ動作を実施することができる。これらの対は、完全に独立であるものとして見られてよく、例えば、リーダ局は、それ自体の選択においてどの対に対しても自由にアクセスするはずである。これは、(例えば、それぞれが主要イベントの異なる区域に対してアクセスを実現する)これらの対がそれ自体の特定の機能を有し、規定されたシーケンスが存在しない用途では特に有用な可能性がある。
【0034】
好ましい実施形態においては、これらのメモリ・ロケーション対は、これらが逐次的に使用されるという意味で逐次的に構成される。アクセス回路は、メモリ対の第1の対のレスポンスに対して進んでアクセスを行うことから開始される。受信された有効なチャレンジに応じてレスポンスが供給されるたびに、アクセス回路は、後続のアクセス動作のために次の対を逐次的に自動的に選択する。
【0035】
チャレンジとレスポンスは、野蛮な力の攻撃を回避するために適切なビット・サイズである必要があることが理解されよう。アプリケーションに応じて、当業者なら、そのサイズを選択することができる。これに影響を及ぼすファクタは、タグが実際に使用される前に攻撃者に使用可能である存続期間(例えば、タグは、そのイベントの1ヶ月前に配布される)と、タグの通信および処理の速度と、攻撃者によって並列に解析され得るタグ数である。当業者なら、その場合にセキュリティの許容可能なレベルを提供するはずのビット数を簡単に計算することができる。当業者なら、タイミング攻撃が防止されるべきであることも知ることになろう。このような攻撃においては、攻撃者は、タグに対してランダム・チャレンジを送信する。タグは、このチャレンジを記憶された事前に計算されたチャレンジと比較することを含めて、このチャレンジを処理する。そのレスポンス時間が、タグの処理(例えば、一致するビット数)に依存する場合には、これは、攻撃者に対して情報を提供する。増大されたレスポンス時間は、より多数のビットが正しいことを意味することもある。したがって、そのレスポンス時間は固定されていることが望ましい。暗号回路の技術分野の当業者は、これについて知っており、適切な回路をどのように設計すべきかを知っている。
【0036】
本発明はまた、本発明を実用化するために適合させられたコンピュータ・プログラム、特にキャリア上、またはキャリア中のコンピュータ・プログラムにも拡張されることが理解されよう。そのプログラムは、ソース・コード、オブジェクト・コード、部分コンパイルされた形態など、コード中間ソースおよびオブジェクト・コードの形態であってもよく、あるいは本発明による方法の実装において使用するために適した他の任意の形態であってもよい。キャリアは、プログラムを搬送することができる任意のエンティティまたはデバイスであってもよい。例えば、キャリアは、ROM、例えばCD ROMまたは半導体ROMや、磁気記録媒体、例えばフロッピー・ディスクまたはハード・ディスクなどのストレージ媒体を含んでいてもよい。さらに、キャリアは、電気ケーブルまたは光ケーブル、あるいは無線手段または他の手段を経由して搬送されてもよい、電気信号や光信号などの伝送可能キャリアであってもよい。プログラムが、このような信号で実施されるときには、キャリアは、このようなケーブルまたは他のデバイス、あるいは手段によって構成されてもよい。代わりに、キャリアは、プログラムが埋め込まれた、その関連する方法を実施するために、あるいはその方法の実施において使用するために適合させられた集積回路であってもよい。
【0037】
上述の実施形態は、本発明を限定するものでなく本発明を例証するものであることに、また当業者なら、添付の特許請求の範囲の範囲を逸脱することなく多数の代替実施形態を設計することができるようになることに留意されたい。本特許請求の範囲においては、括弧内に配置された任意の参照符号もその請求項を限定するものと解釈されるべきではない。動詞「含む(comprise)」とその活用形の使用は、請求項中に述べられている以外の要素またはステップの存在を除外するものではない。要素に先行する冠詞「1つの(a)」または「1つの(an)」は、複数のかかる要素の存在を除外するものではない。本発明は、いくつかの異なる要素を含むハードウェアを用いて、また適切にプログラムされたコンピュータを用いて実装されてもよい。いくつかの手段を列挙したデバイス/システムの請求項において、これらの手段のいくつかは、1つのハードウェア、および同じ項目のハードウェアによって実施されてもよい。ある種の対策が、相互に異なる従属請求項中で列挙されるという単なる事実は、これらの対策の組合せが利益をもたらすために使用されることが不可能であることを示すものではない。
【図面の簡単な説明】
【0038】
【図1】本発明によるシステムのブロック図である。
【図2】本発明による電子タグの一実施形態のブロック図である。
【図3】本発明によるリーダ局の一実施形態のブロック図である。
【図4】本発明による電子タグの第2の実施形態のブロック図である。
【図5】リーダ局中で使用されてもよい表を示す図である。
【図6】好ましい一実施形態のフロー・チャートを示す図である。
【図7】本発明によるシステムの一実施形態のブロック図である。
【図8】本発明による電子タグの第3の実施形態のブロック図である。
【技術分野】
【0001】
本発明は、複数の電子タグと、電子タグの信ぴょう性を検証するための少なくとも1つのリーダ局を含む認証システムに関する。本発明は、さらにかかるシステム中で使用するための電子タグに関する。
【背景技術】
【0002】
スマート・タグ・システムは、現在では公共輸送機関、道路通行料、および乗客のチケットから航空路線手荷物のタグ付けまでの範囲にまたがる用途で使用されている。将来においては、衣料品やスーパー・マーケットの商品などもっと多くの商品に、スマート・タグが装備されるようになるものと予想される。このような用途においては、タグ・リーダとスマート・タグの間の情報のやり取りが、ますます接触がないように行われる。これは、処理時間と正確さを向上させ、待ち時間を低減させる。このようなタグはまた、時にRF−ID(Radio Frequency Identification無線識別)と称されることもある。
【0003】
これらの市場における様々なスマート・タグのハードウェア機能は、非常に多種多様である。これらの電子タグの一部は、(バー・コードに匹敵する)タグ・リーダによって読み取られることが可能なデータを記憶することだけが可能である。このようなタグの一例が、Philips Semiconductor社のMIFARE(登録商標)ウルトラライト(ultralight)である。読取り専用メモリ、追記(write−once)メモリ、および再書込み可能(例えば、EE−PROM、フラッシュ)メモリを含めて、異なるタイプのメモリが、このようなタグによって使用されてもよい。他のタグは、高度な暗号保護を提供する。例えば、Philips Semiconductor社のMIFARE(登録商標)PROXレンジは、セキュリティ保護された8−ビットの80C51コアに基づいている。このコアは、オンチップ・メモリをセキュリティ保護する、カスタマイズされたパラメータを有する高機能のメモリ保護スキームと、アプリケーションをセキュリティ保護により保護する高度なメモリ管理ユニットとを提供する。MIFARE(登録商標)PROX ICは、高集積されたプロセス技術と設計方法に基づいており、これらのチップをどのような種類の物理解析に対しても極めて耐性があるようにしている。そのデータは、トリプルDES(triple−DES)コプロセッサを使用して保護される。MIFARE(登録商標)PROX PKIコントローラはまた、RSAやECCなどの公開鍵アルゴリズムのために最適化された、埋め込まれた32−ビット暗号コプロセッサを含んでいる。
【0004】
これらの異なる種類のスマート・タグの間の処理能力の違いは、コストにおけるかなりの違いをもたらす。データは、暗号により保護されないので、これらの簡単なタグによってもたらされるセキュリティは、比較的低い。これは、不正なパーティが、例えばオリジナルのリーダおよびタグを取得し、そのタグからデータを読み取り、そのリーダとタグの間の相互作用を観察することにより、本物のタグを偽造/シミュレートすることを可能にする。この場合には、例えばリーダとのRF通信のための、アンテナなどのハードウェアと、PDAを本物のタグとして動作させるプログラムとが装備されたPDA(Personal Digital Assistant携帯型個人情報端末)を使用して本物のタグをシミュレートすることは比較的簡単である。このような不正なタグを使用することによって得られる利点は低いはずで、または検出の可能性が高く、あるいはその両方の場合には、このような努力は、価値がないはずである。検出の可能性は、タグの目視検査のような追加のセキュリティ対策によって増大される可能性がある。しかし、このような検出システムの多くは、かなりの努力を必要とし、したがって必ずしも適しているとは限らない。
【0005】
ある種の用途では、これらの簡単なタグによって提供されるセキュリティは、十分ではない。他方で、暗号プロセッサを有するタグの追加コストは、見合うものにならない可能性がある。例えば、これは、ポップ・コンサートまたはサッカー試合への入場券としての適用の場合である。このような用途においては、電子タグが使用されて、そのイベントへの入場を制御することができ、すなわち、支払いの済んでいる人々だけが入場する権利が与えられる。さらに、あらゆる人の安全を保証するセキュリティ要件は、かなり厳しい。
【0006】
認証を行うよく知られている方法は、暗号のチャレンジ−レスポンス・プロトコルを使用することによるものである。これは、タグ・リーダとスマート・タグそれ自体の両方の側における1つ(または複数)の暗号アルゴリズムの実装を必要とする。これを行うことは、簡単なスマート・タグを複雑でより高価なスマート・タグに変化させるはずである。
【発明の開示】
【発明が解決しようとする課題】
【0007】
本発明の一目的は、本物のスマート・タグから偽のスマート・タグを区別することができる、すなわち、タグ中に暗号プロセッサを必要とせずにこれらのタグを認証する認証システムと、その述べられた種類の電子タグとを提供することである。本発明のさらなる目的は、かかるシステム中で使用するための電子タグを提供することである。
【課題を解決するための手段】
【0008】
本発明の目的を満たすために、認証システムは、各電子タグが、固有の各身元に関連づけられ、事前に計算されたチャレンジを記憶するための、そのタグの外側から読取り可能でない第1のメモリ・ロケーションとそのチャレンジに関連づけられた事前に計算されたレスポンスを記憶するための第2のメモリ・ロケーションとを含む複数の電子タグと、電子タグの信ぴょう性を検証するための少なくとも1つのリーダ局と、第1のメモリ・ロケーションに記憶されたチャレンジと一致するチャレンジを受信することに応じて、第2のメモリ・ロケーションに記憶されたレスポンスを供給するためだけのアクセス回路を含んでおり、各リーダ局は、電子タグについて、関連づけられた固有の身元を取得し、その身元について対応するチャレンジを決定し、そのタグに対してそのチャレンジを送信し、そのタグからレスポンスを受信し、そのチャレンジに関連づけられたレスポンスとその受信されたレスポンスを比較することにより、そのタグの信ぴょう性を検証するように動作可能である。
【0009】
スマート・タグに簡単な認証プロトコルを実施する可能性を追加することにより、タグ・リーダは、暗号のチャレンジ−レスポンス・システムに基づいて本物のスマート・タグを偽のスマート・タグから区別することが可能である。暗号検査のための必要とされる値は、事前に計算され、タグ上に記憶される。これらの事前に計算された値は、認証作業を行うために秘密に保たれる必要がある。スマート・タグが秘密データをうっかり解放してしまわないようにするために、スマート・タグは、正しいチャレンジがリーダによってそのスマート・タグに送信された場合にそのレスポンスを送信するだけである。したがって、悪意のあるリーダがそのレスポンスを簡単に取得して、そのタグのコピーを生成することはできない。チャレンジは、タグに関連づけられた固有の識別子(ID)に基づいている。本物のリーダだけがこのIDについてのチャレンジを生成することができるように保証することにより、スマート・タグとタグ・リーダの両方の相互認証が達成される。暗号処理がそのタグにおいては必要とされず、そのタグを非常に低コストにしている。レスポンスは、従来のチャレンジ−レスポンス・プロトコルを介してチャレンジに関連づけられてもよい。チャレンジとレスポンスの間で他の関連づけを有することもまた可能である。例えば、両者は、ランダム数であってもよい。そのランダム数がタグ中に記憶され、リーダは、ランダム数に対してアクセスすることができ、そのタグIDに基づいてこれらの位置を見出すことができる。
【0010】
本システムは、所与のIDに関連づけられた第1のタグが本物であるという暗号セキュリティの従来のレベルを提供する。タグとリーダの間の通信を盗聴することにより、偽のタグが後から生成され/シミュレートされることが可能になることもある。そのタグが(例えば、入場ゲートにおいて)一度だけ使用されることが可能である場合には、本システムは、暗号的に十分にセキュリティ保護されたものである。これは、例えばどのタグがすでに使用されているかを記録し、コピー(すなわち、同じIDに関連づけられたタグ)に対する入場を拒否する入場システムによって簡単に達成される可能性がある。セキュリティ要件があまり厳しくないシステムでは、理論上は一部のコピーが生成され得ることが許容可能である。追加のステップが行われて、この出来事が起こる可能性を低減させることができる。例えば、タグが主要イベントへの入場のために使用されるような場合、最初の有効なタグの入場と最後の人の入場の間の時間は非常に限られており、大規模なコピーの可能性をなくしている。PDAなどの装置を使用してタグをシミュレートする可能性は、タグの簡単な目視検査により低減させられてもよい。
【0011】
本従属請求項2の対策によれば、電子タグのメモリは、そのタグに関連づけられた固有の身元を記憶するための第3のメモリ・ロケーションを含んでおり、その第3のメモリ・ロケーションは、読取り専用タイプであり、リーダは、タグのメモリからその身元を読み取ることにより、電子タグに関連づけられた固有の身元を取得するように動作可能である。このようにして、リーダは、固有のIDを簡単で信頼性のある方法で取得することができ、そのIDに基づいてチャレンジ−レスポンスを実施することができる。IDは、(通常のタグが、例えばそのIDに書込みを行うことにより、他のタグのIDを有するように簡単に修正されることが可能ではないという意味において、そのIDを固有であり続けるように保証して)そのIDが改ざんされる可能性がない方法で、製造中にそのタグ中にロードされることが好ましい。固有のIDを取得するためのどのようなスキームが使用されてもよい。完全に固有なIDを製造することに対する代替形態として、例えば1つのイベントのために使用されるタグのグループについて固有となるグループIDを用いてタグが生産されてもよい。その場合には、このようなグループのタグは、その集合内でこれらのタグを固有に識別するシリアル番号など、さらなる識別子を追加することにより、完全に固有にされてもよい。このような追加のIDは、そのタグに書き込まれてもよく、その後この追加のIDを有するストレージ・ロケーションを読取り専用形式にロックすることにより続けられる。次いで、これらの2つのIDの組合せは、すべての集合のすべての可能性のあるタグについて固有のタグを生成する。
【0012】
本従属請求項3の対策によれば、そのメモリは、チャレンジを記憶するための第4のメモリ・ロケーションを含んでおり、その第4のメモリ・ロケーションは、タグの外側から書込み可能であり、そのアクセス回路は、タグの外側からの第2のメモリ・ロケーションに対する読取りアクセスに応じて、第4のメモリ・ロケーションに記憶されたチャレンジを第1のメモリ・ロケーションに記憶されたチャレンジと比較し、その比較が一致をもたらす場合に、第2のメモリ・ロケーションに記憶されたレスポンスを供給することだけを行うように構成される。この構成においては、タグは、完全にその動作を非常に簡単にするメモリのように動作する。チャレンジは、メモリ・ロケーションに書き込まれ、レスポンスは、メモリ・ロケーションから読み取られる。書き込まれたチャレンジがすでに記憶されているものと一致する場合だけに、事前に計算されたチャレンジが、実際に提供されるレスポンスとなる。
【0013】
本従属請求項4の対策によれば、第1および第2のメモリ・ロケーションは追記型であり、本システムは、電子タグについて、
関連づけられた固有の身元を取得し、
その身元について対応するチャレンジを決定し、
その電子タグの第1のメモリ・ロケーションにそのチャレンジを記憶し、
所定の暗号アルゴリズムに基づいてそのチャレンジに関連づけられたレスポンスを決定し、
そのタグの第2のメモリ・ロケーションにそのレスポンスを記憶する
ように動作可能なアクチベータをさらに含んでいる。
【0014】
原理的には、この活性化は、製造中にすでに行われてもよい。好ましい実施形態においては、活性化は、例えばイベントごとに活性化を可能にする別々のステップである。このような状況においては、これらの関連づけられたチャレンジ−レスポンス対は、イベントごとに選択されてもよい。例えば、セキュリティ保護されていると考えられる1つのチャレンジ−レスポンス・アルゴリズムを使用して、イベントごとに異なる鍵が選択されてもよい。このようにして、IDがイベントごとに固有(すなわち、1つの目的ごとにタグの組)であることが十分であり、そのチャレンジ−レスポンス・アルゴリズムは、イベントおよびチャレンジについて固有のレスポンスを行うことができる。チャレンジは、前述のように追記型であるべきで、レスポンスは条件によって読取り可能であるべきであることが理解されよう。これは、望ましくない動作についてそのアクチベータによってロックがかけられることが可能なメモリ・ロケーションにチャレンジおよびレスポンスを記憶することにより達成されてもよい。そのロッキングは、そのメモリ・ロケーションに書き込まれる値に応じて自動的であることが好ましい。このようにして、完了されていない活性化に起因してチャレンジおよび/またはレスポンスが読取り可能になるはずである可能性は、低下させられてもよい。
【0015】
本従属請求項5の対策によれば、その身元についての対応するチャレンジは、少なくともその身元と暗号鍵との上で動作する、さらなる所定の暗号アルゴリズムを使用して決定される。これは、セキュリティ保護されたチャレンジを生成するだけでなく、それはまた、このアルゴリズムおよび鍵をリーダにただ記憶して、そのシステムのすべてのタグについてリーダを動作可能にすることも可能にする。暗号が使用されて、例えば2つの疑似ランダム数を生成することにより、2つの固有の数(チャレンジおよびレスポンス)を生成し、そのチャレンジと、関連するレスポンスとしてこれらを使用することも可能になる。そのアルゴリズムおよび鍵を記憶することに対する代替アプローチは、(例えば、テーブルを使用して)これらのIDに関連したシステム中で可能になるすべてのチャレンジを(またはすべてのチャレンジ−レスポンス対さえも)記憶することになるはずである。多数のタグを用いたシステムでは、この後者のアプローチの方が、より大容量のストレージを必要とする。どのような影響を受けやすいデータ/動作も、例えば暗号スマート・カードを使用してセキュリティ保護されるように実施されることが可能であることが好ましい。
【0016】
本従属請求項6の対策によれば、そのアクセス回路は、そのタグの外側から第2のメモリ・ロケーションに記憶されたレスポンスに対するアクセスを最大1回だけ提供するように構成される。このようにして、暗号的にセキュリティ保護されたワンタイム認証システムが、もたらされる。ある種のシステムでは、このような厳しい要件が必要とされないことが理解されよう。このようなシステムでは、使用回数を所定の回数、例えば3回だけに制限する(例えば、そのリーダおよび/またはそのタグ中の)カウンタを使用してもよい。これらのシステムは、十分にセキュリティ保護されていない(そのタグの2回以上の使用は、実際には不正なタグによって実施されることが防止されない可能性がある)はずであるが、ある種の用途では、また他の条件(例えば、目視検査、イベントの限られた存続時間など)を考慮して許容可能となることもある。
【0017】
本従属請求項7の対策によれば、メモリは、複数のメモリ・ロケーション対を含んでおり、各対は、所定のチャレンジを記憶するための第1の各メモリ・ロケーションと、同じ対の第1のメモリ・ロケーション中のチャレンジに関連づけられた所定のレスポンスを記憶する対についての第2の各メモリ・ロケーションとを含んでおり、第1のメモリ・ロケーションのそれぞれは、そのタグの外側から読取り可能ではなく、そのアクセス回路は、同じ対の第1のメモリ・ロケーションに記憶されたチャレンジと一致するチャレンジを受信することに応じて対の第2のメモリ・ロケーションに記憶されたレスポンスだけを提供するように構成される。このようにして、いくつかの動作について(メモリ対が存在するのと同数の動作について)セキュリティ保護されたタグが、生成される。多数の用途が、このようなタグからの恩恵を受けることができる。1つの用途は、(1つのメモリ・ロケーション対を使い果たすたびに)同じタイプの旅行(trip)について数回使用されてもよい、あるいはユーザがゾーンごとに支払いを行うゾーン−機構体(zone−mechanism)を使用した電子公共輸送機関チケットであってもよい。後者のシステムにおいては、各メモリ・ロケーション対は、ユーザによって移動されるゾーンに対応していてもよい。例えば、ユーザが取得される商品/サービスごとに支払いを行う必要がある場合に、他の多数の用途が、このようなタグからの恩恵を受けることもできる。例えば、ユーザがバーで飲み物を購入するたびに1つのメモリ対が使用される。その夜の終わりに、次いでユーザは、チェックアウトで支払いを行う。チェックアウトは、どれだけ多くのメモリ・ロケーションが使用されているかを検査し、それに応じて課金を行う。プリペイド用途においてこのようなタグを使用することも可能であり、この場合には、ユーザが商品/サービスを使用するたびに、1つのメモリ対が使用される。低コストのタグに結合された高いセキュリティ・レベルが、多数の新しい用途を切り開く。
【0018】
本従属請求項8の対策によれば、これらのメモリ・ロケーション対は、逐次的に構成され、そのアクセス回路は、これらのメモリ対のうちの第1のメモリ対から開始され、レスポンスが受信されたチャレンジに応じて提供されるたびに、後続のアクセス動作のための次の対を逐次的に選択するように動作可能である。このようにして、リーダは、どのメモリ対が使用されてもよいかを管理し、あるいはどの対が依然として使用されていないかを検査する必要はない。タグは、そのタグそれ自体の世話をする。タグ(例えば、カウンタ)によって必要とされるどのようなデータも、そのタグ中にセキュリティ保護されるように記憶される必要があり、そのタグの外側からの再書込みを防止していることが理解されよう。
【0019】
本発明の一目的を満たすために、認証システム中で使用するための電子タグは、固有の身元に関連づけられ、
事前に計算されたチャレンジを記憶するための、そのタグの外側から読取り可能ではない第1のメモリ・ロケーションと、所定の暗号アルゴリズムに基づいたチャレンジに対応する事前に計算されたレスポンスを記憶するための第2のメモリ・ロケーションとを含むメモリと、
第1のメモリ・ロケーションに記憶されたチャレンジと一致するチャレンジを受信することに応じて第2のメモリ・ロケーション中に記憶されたレスポンスを供給するためだけのアクセス回路と
を含んでいる。
【0020】
本発明のこれらの態様および他の態様は、以降に説明される本実施形態から明らかであり、本実施形態に関連して明らかにされることになる。
【発明を実施するための最良の形態】
【0021】
図1は、本発明によるシステム100のブロック図を示している。本システムは、リーダ局110と(120、122、および124で示される)複数の電子タグとを含んでいる。そのように望まれる場合、複数のリーダ局が、使用されてもよい。そのリーダ局と電子タグは、互いに情報をやり取りすることができる。データは、いずれの方向に交換されてもよい。その通信は、Philips Mifareシステムのような無線/無接触のIDカードから知られているように、またはこれらのIDカードと同様に無線/無接触であることが好ましい。このようなシステムにおいては、リーダ局およびタグにはそれぞれ、アンテナが装備される。一般的に、リーダ局は、そのアンテナを経由してタグに電力も供給する。通信を不可能にせずに、複数のタグがリーダ局の近くに存在することができるようにする通信技法が有利に使用される。このような通信システムおよび通信技法は、よく知られており、本発明の主題ではないが、本発明によるシステム中で使用されてもよい。そのように望まれる場合、その通信は、例えば従来のスマート・カード接点を使用して接触を行うことに基づいていてもよい。したがって、無接触通信システムと接触ベースの通信システムの両方が、代替形態として、または一緒に使用されてもよい。
【0022】
図2は、本発明による電子タグ200のブロック図を示している。本発明について関連する要素だけが、より詳細に示されていることが理解されよう。アンテナ、電源回路、通信回路などの要素が、ブロック230を使用して示されており、それ自体よく知られている。各電子タグ200は、メモリ220を含んでいる。メモリ220は、事前に計算されたチャレンジを記憶するための第1のメモリ・ロケーション222と、例えば所定の暗号のチャレンジ−レスポンス・アルゴリズムに基づいて、または本システムによって互いに関連づけられた2つの(疑似)ランダム数であることにより、チャレンジに関連づけられた事前に計算されたレスポンスを記憶するための第2のメモリ・ロケーション224とを含んでいる。タグ200は、第1のメモリ・ロケーション222に記憶されたチャレンジと一致するチャレンジを受信することに応じて第2のメモリ・ロケーション224に記憶されたレスポンスを供給するためだけのアクセス回路210も含んでいる。アクセス回路210は、適切な任意の方法で実装されてもよい。例えば、タグは、コマンド駆動型であってもよい。1パラメータとしてチャレンジを伝えるコマンド「レスポンスを供給する」を受信するとすぐに、アクセス回路は、メモリ・ロケーション222中に記憶されたチャレンジに対して受信されたパラメータを検査するコンパレータを使用することができる。これが一致する場合、アクセス回路は、従来の読取り回路を使用して、メモリ・ロケーション224からのレスポンス値を読み取り、このレスポンス値をそのコマンドに対するレスポンスとして提供する。そのコマンド復号化/レスポンス符号化は、アクセス回路の一部分であってもよく、またタグ200の異なる一部分中にあってもよい。コマンド/レスポンスの符号化/復号化については、よく知られており、これ以上は説明しないことにする。第1のメモリ・ロケーション222は、タグの外側からは読取り可能ではない。これは、例えばそのメモリ・ロケーションが、タグの外側へのインターフェイスに結線され/切り換えられないことを保証することにより、適切な任意の方法で達成されてもよい。アクセス回路210は、例えばステートマシンを使用して、第1のメモリ・ロケーションへのアクセスを制御する責任もあることが好ましい。このようなステートマシンは、恒久的に記憶された状態パラメータを使用して動作させられてもよい。この目的のためにメモリ220は、その状態を記憶するために一部のビットを用いて拡張されてもよい。この記述されたデータは、たぶん長期間にわたって記憶される必要があることが理解されよう。この目的を達成するために、EEPROMやフラッシュ・メモリなどの不揮発性メモリが使用されることが好ましい。MRAMなど他の適切なメモリ・タイプも使用されてもよい。
【0023】
図3は、例示のリーダ局300のブロック図を示している。ブロック310は、通信のために、またオプションとして電子タグに電力を供給するために使用される、アンテナ、電源回路、通信回路などの要素を示している。したがって、ブロック310は、図2のブロック230についての対応する部分である。このような要素は、それ自体よく知られており、ここでこれ以上は説明しないことにする。リーダ局300は、例えば選択されたチャレンジ−レスポンス・プロトコルを実施することにより、あるいは受信されたレスポンスが、本システムに従ってチャレンジに関連づけられたレスポンスと一致するかどうかを検査することにより、チャレンジ−レスポンス検証を実現する。この目的を達成するために、リーダ局300には、適切なプログラムの制御下で動作させられるプロセッサ320が装備されてもよい。例えばパーソナル・コンピュータ中で使用されるプロセッサのような適切な任意のプロセッサが、使用されてもよい。プログラムは、ハード・ディスク、光学的ストレージ媒体(例えば、CD−ROM、DVD−ROM、DVD+RWなど)、ROM、フラッシュまたは他の適切な不揮発性ストレージなどのソリッド・ステート・メモリなどのストレージ330に記憶されてもよい。重要な暗号計算およびデータ(例えば、鍵)は、暗号スマート・カードなどのセキュリティ保護モジュール340中において実施され/記憶されることが好ましい。リーダ局それ自体は、モジュール310および340を用いて機能拡張されたデスクトップPCやラップトップPCなどの従来のコンピュータに基づいていてもよい。
【0024】
各電子タグは、固有の身元(ID)に関連づけられる。このIDの目的は、本システムの範囲内でタグを一意的に識別可能にすることである。これは、タグごとに普遍的に固有のIDを使用することにより達成されてもよい。図4の実施形態においては、このようなIDは、タグそれ自体の中のメモリ・ロケーション402に記憶される。これは、(例えば、メモリ・ロケーション402に対応する所定のメモリアドレス上で読取り動作を単に実施することにより)リーダ局が、そのIDを取得することを非常に簡単にする。このロケーションに対する書込みアクセスは、外側から可能とすべきではない。原理的に、そのIDは、自由に読み取られてもよい。タグの製造中に、固有のIDは、そのタグ中の読取り専用であるメモリの一部分に記憶されることが好ましい。
【0025】
IDは、普遍的に固有である必要はない。原理的には、タグが使用される実際のシステムの境界内で(例えば、タグが使用されるイベントについて)タグが固有である場合、それで十分である。(例えば、タグ上での視覚的な識別を使用して)タグが1つのシステムのためだけに使用され得ることを保証するために、他の対策が取られてもよい。好ましい実施形態においては、暗号技法が使用されて、タグが1つのシステム内で固有であるにすぎないが、チャレンジがそれにもかかわらず普遍的に固有であることを保証している。例えば、IDは、そのシステムについて固有である鍵の制御の下に暗号化される。その場合には、チャレンジは、暗号化されたIDに基づいている。適切などのような暗号システムが使用されてもよい。その鍵は、ランダムに、または適切な疑似ランダム・ジェネレータを使用して選択されてもよい。
【0026】
また普遍的に固有のIDが、2つの(またはそれ以上の)フィールドを組み合わせることにより生成されてもよい。その場合には第1のフィールドが使用されて、そのシステム/アプリケーションを識別することができ、またその第1のフィールドは製造中に設定されてもよく、1群の同じタグがもたらされる。第2のフィールドが使用されて、そのシステム/アプリケーション内で固有の識別子を記憶することもできる。このフィールドは、後ろのステージで書き込まれてもよい。その場合には、このようなフィールドは、追記型である必要がある(または、そのアクセス回路の介入を介して追記型に見える)はずである。
【0027】
IDがタグ内のメモリから取得されることは、これによってリーダ局による完全に自動的で高速な認証が可能になるので、便利である。そのように望まれる場合、タグに関連づけられた固有のIDが、他の方法で取得されてもよい。例えば、IDは、(例えば、数字またはバー・コードを使用して)視覚的に読取り可能なようにタグ上に印刷されてもよい。IDは、タグを保持する人の識別子、例えばパスポートまたは運転免許証上の識別コードであってもよい。
【0028】
リーダ局は、(例えばメモリ・ロケーション404から固有の身元を読み取ることにより)電子タグについて関連づけられた固有の身元を取得する。次いで、リーダ局はその身元について対応するチャレンジを決定する。暗号チャレンジ−レスポンス・システムにおいては、他の誰かの身元を確証したいと思うパーティ(ベリファイヤ(verifier)、すなわちリーダ局)は、他のパーティ(プルーバ(prover)、すなわち電子タグ)にメッセージを送信する。このメッセージは、「チャレンジ」と呼ばれる。このチャレンジに対しては、たった1つの有効なレスポンスしか存在しない。有効なレスポンスが受信されているとき、ベリファイヤは、他のパーティの身元について確信している。このシステムが機能するためには、発行されるチャレンジは、(また異なるレスポンスを必要とする)そのプロトコルが実施されるたびに異なっている必要があり、そうでなければ、攻撃者は簡単にプルーバのふりをすることができる。チャレンジ−レスポンス・システムは、公開鍵技法と対称秘密鍵技法の両方を使用して、実装されてもよい。第1のケースにおいては、ベリファイヤは、(例えば、公開鍵証明書から)あらかじめプルーバに属する公開鍵を知っている必要がある。第2のケースにおいては、ベリファイヤとプルーバは、秘密鍵を共有している必要がある。その場合には、認証は、プルーバが、ベリファイヤからのチャレンジを「暗号解読する」ことができ、またプライベート/秘密鍵に基づいて有効なレスポンスを生成することができることに基づいている。チャレンジ−レスポンス・システムのよく知られている例が、Guillou−Quisquarter識別プロトコル(Philipsによる米国特許第5140634号)である。このアルゴリズムが使用されてもよいが、他の適切なアルゴリズムもまた使用されてもよい。チャレンジ−レスポンス・プロトコルが選択された後に、チャレンジについて必要とされる正確なビット数は、知られていてもよく、あるいはこのシステムのオペレータによって選択可能であってもよい。本システム100は、システム中で使用されるべき、可能なタグごとに1つの、十分な固有のチャレンジ数を生成していてもよい。次いで本システムは、そのタグのIDをその関連づけられたチャレンジにマッチングさせる表を生成することができる。IDを取得することにより、対応するチャレンジが、このようにしてその表から読み取られてもよい。このような構成においては、このような表は、(例えば、モジュール340中に)セキュリティ保護されて保持されることが好ましい。その表は、チャレンジに関連づけられたレスポンスを加えることにもよって、さらに拡張されてもよい。レスポンスは、選択されたチャレンジ−レスポンス・プロトコルを経由して関連づけられてもよいが、また2つのランダム数を関連づけることなど他の関連付けが存在していてもよい。このような表が図5に示されている。タグごとにこの表中の1行が使用される。第1のフィールドは、タグに関連づけられたIDを示している。リーダ局がタグについてこのIDを取得した後に、このリーダ局は、このIDを使用して第1の列を介して検索し、それに関与する行を見出す。次いでリーダ局は、そのタグにチャレンジを送信する。この実施形態においては、その位置が突き止められた行の第2の列からチャレンジを取得することができる。タグが、チャレンジを許容可能と考える場合、リーダ局は、そのタグからレスポンスを受信する。次いでリーダ局は、選択された暗号チャレンジ−レスポンス・プロトコルに基づいてそのチャレンジに対応するレスポンスと受信されたレスポンスを比較することにより、そのタグの証明書を検証する。図5の表を使用して、リーダ局は、その行の第3のフィールドから簡単にその予想される(許容可能な)レスポンスを取り出すことができる。
【0029】
図4はまた、好ましい実施形態を示しており、この実施形態ではメモリ220は、チャレンジを記憶するための第4のメモリ・ロケーション404を含んでいる。第4のメモリ・ロケーション404は、(実際には、リーダ局により)タグの外側から書込み可能である。アクセス回路210は、(実際には、リーダ局による)タグの外側からの第2のメモリ・ロケーション224に対する読取りアクセスに応じて、第1のメモリ・ロケーション222に記憶された事前に計算されたチャレンジと第4のメモリ・ロケーション404に記憶されたチャレンジを比較し、その比較が一致をもたらす場合だけに第2のメモリ・ロケーション224に記憶されたレスポンスを供給するように構成される。このようにして、リーダ局は、電子タグを単なる通常のメモリとして見る。当業者なら、このようなアクセス回路を簡単に設計することができる。
【0030】
図6は、リーダ局(左側)およびタグ(右側)の動作と前述の実施形態についてのデータの交換の例示のフロー・チャートを示すものである。ステップ610において、リーダ局は、この実施例においてはタグから固有の識別子を読み取ることにより、固有の識別子を取得する。リーダ局は、IDを保持するメモリ・ロケーションのアドレス(ID addr)をタグに送信する。ステップ612において、タグは、記憶された識別子(ID)を獲得し、そのIDを逆に供給する。その全体の動作は、例えば従来のメモリ読取り動作であってもよい。ステップ615において、リーダ局は、IDに関連づけられたチャレンジを取得する。図5において以上で説明されたように、リーダ局は、テーブルからチャレンジを読み取ることによりそれを行ってもよい。代わりに、チャレンジは、タグID上で動作する暗号機能とリーダ局中の内部に記憶される秘密暗号鍵kとを使用してリーダ局によって実行中に計算されてもよい。このような実施形態においては、リーダ局は、チャレンジと対応するレスポンスの長いリストを記憶する必要はないが、その鍵kを秘密に保つ必要だけはある。標準ブロック暗号アルゴリズムのトリプルDESやAESなどの適切な任意の暗号アルゴリズムが、使用されてもよい。ステップ620において、リーダ局は、この実施例においてはメモリ書込み動作の形態で、タグにチャレンジを供給する。すなわち、リーダ局は、供給されたチャレンジを記憶するために使用されるメモリ・ロケーションのアドレス(chal addr)を供給し、またリーダ局は、実際のチャレンジ値(chal)を供給する。ステップ622において、タグは、その値を記憶する。ステップ630において、リーダ局は、この実施例においてはタグからレスポンスを読み取ることにより、タグからレスポンスを獲得しようと試みる。リーダ局は、レスポンスを保持するメモリ・ロケーションのアドレス(Resp addr)をタグに送信する。タグは、レスポンス・アドレスの読取り動作によってトリガされる。前述のように、タグは、条件付きでレスポンスを供給するだけである。テストは、アクセス回路210によって行われる。この実施例においては、そのテストは、供給されるアドレスがレスポンスを保持するメモリ・ロケーションのアドレスであることを検査するテスト632によって示される。もしそうなら、ステップ634において、タグは、ステップ622において受信されたチャレンジが、ロケーション222に記憶された事前に記憶されたチャレンジと一致するかどうかを検査する。もしそうなら、ステップ636において、タグは、ロケーション224から事前に記憶されたレスポンスを獲得し、そのレスポンスを戻す。ステップ640において、リーダ局は、(所定のチャレンジ−レスポンス・プロトコルに従って)受信済みのレスポンスが予想されるレスポンスと一致するかどうかを検査する。その予想されるレスポンスは、図5に示されるように事前に計算されていてもよく、あるいはそのプロトコルを使用して実行中に生成されてもよい。受信されたレスポンスと予想されるレスポンスが一致する場合、タグは、本物であると考えられ、イベントに対するアクセスを認可するなど、このようなタグについてのさらなるステップ650が行われてもよい。レスポンスが一致しない場合には、タグは、ステップ660において拒絶される。
【0031】
図7は、本発明によるシステムのさらなる実施形態のブロック図を示している。この実施形態においては、固有の識別子は、すでにタグに関連づけられ(例えば、すでに製造中にタグに記憶され)ている。この実施形態においては、本システムは、アクチベータ710を含んでいる。アクチベータ710は、さらにこれらのタグを「プログラム」する。専用のアクチベータ710は、イベント/アプリケーションごとに使用されてもよい。アクチベータ710は、例えばメモリ・ロケーション402から身元を読み取ることにより、電子タグについて関連づけられた固有の身元を取得する。この目的を達成するために、アクチベータ710は、その場合にはタグと情報をやり取りし、適用可能な場合にはタグに電力を供給するハードウェア/ソフトウェアを必要とするはずである。アクチベータ710は、その場合にはその身元について対応するチャレンジを決定する。そのチャレンジは、(仮にも使用される場合には)その選択されたチャレンジ−レスポンス・プロトコルについて適切でなければならず、またランダムに選択されてもよい。次いでアクチベータは、電子タグ200の第1のメモリ・ロケーション222にチャレンジを記憶する。このメモリ・ロケーションは、追記型であることが好ましい。追記型の適切な任意の実装が使用されてもよい。そのように望まれる場合、アクセス回路210中のステートマシンが使用されて、ロケーション222が書き込まれていることを登録し、このロケーションに対するさらなるどのような書込みアクセスおよび読取りアクセスもロックすることができる。アクチベータ710はまた、(例えば、所定のチャレンジ−レスポンス・アルゴリズムに基づいて)チャレンジに関連づけられたレスポンスを決定する。アクチベータ710は、タグの第2のメモリ・ロケーション224に計算済みのレスポンスを記憶する。このメモリ・ロケーション224はまた、追記型であることが好ましい。アクチベータ710は、本システムのタグごとにリーダ局110に対して以降の情報、すなわちIDおよびチャレンジを供給する。リーダ局がレスポンスそれ自体を計算しない場合には、アクチベータ710はまた、レスポンスをリーダ局110に対して供給することが好ましい。
【0032】
アクセス回路は、タグの外側から第2のメモリ・ロケーション224中に記憶されたレスポンスに対してたった1回のアクセスだけを実現するように構成され、最大のセキュリティを保証することが好ましい。アクセス回路は、すでに正常なアクセスが、ロケーション224中のレスポンスに対して認可されているかどうかを登録するステートマシンを使用することにより、これを行うことができる。もしそうなら、さらなるアクセスは、常に拒絶される。減少させられたセキュリティ要件を有するシステムでは、例えば3回などさらに多数のアクセス数が認可されてもよい。アクセスが認可されてもよい最大回数が、その外部から書き込まれることができない(または、その数を設定するために1回のみ)メモリ・ロケーションに記憶されてもよい。カウンタが使用されて正常なアクセスの回数を登録することができ、またステートマシンは、その最大許容可能数が到達されている後のさらなるアクセスを拒絶することができる。
【0033】
図8は、本発明によるシステムのさらなる実施形態のブロック図を示しており、ここで電子タグのメモリ220は、複数対のメモリ・ロケーションを含んでいる。これらの対810、820および830が示されている。各対の第1のメモリ・ロケーション812、822、832は、所定のチャレンジを記憶するために使用され、各対の第2のメモリ・ロケーション814、824、834は、所定のレスポンスを記憶するために使用される。レスポンスは、(例えば所定の暗号のチャレンジ−レスポンス・アルゴリズムに基づいて)チャレンジに関連づけられる。図1を参照して説明されたのと同様に、第1のメモリ・ロケーション812、822、832は、タグの外側から読取り可能ではない。アクセス回路210は、同じ対の第1のメモリ・ロケーションに記憶されたチャレンジと一致するチャレンジを受信することに応じてのみ、1対のうちの第2のメモリ・ロケーションに記憶されたレスポンスを供給するように構成される。したがって、そのアクセス回路は、今では対ごとに図2に説明されるのと同じ動作を実施することができる。これらの対は、完全に独立であるものとして見られてよく、例えば、リーダ局は、それ自体の選択においてどの対に対しても自由にアクセスするはずである。これは、(例えば、それぞれが主要イベントの異なる区域に対してアクセスを実現する)これらの対がそれ自体の特定の機能を有し、規定されたシーケンスが存在しない用途では特に有用な可能性がある。
【0034】
好ましい実施形態においては、これらのメモリ・ロケーション対は、これらが逐次的に使用されるという意味で逐次的に構成される。アクセス回路は、メモリ対の第1の対のレスポンスに対して進んでアクセスを行うことから開始される。受信された有効なチャレンジに応じてレスポンスが供給されるたびに、アクセス回路は、後続のアクセス動作のために次の対を逐次的に自動的に選択する。
【0035】
チャレンジとレスポンスは、野蛮な力の攻撃を回避するために適切なビット・サイズである必要があることが理解されよう。アプリケーションに応じて、当業者なら、そのサイズを選択することができる。これに影響を及ぼすファクタは、タグが実際に使用される前に攻撃者に使用可能である存続期間(例えば、タグは、そのイベントの1ヶ月前に配布される)と、タグの通信および処理の速度と、攻撃者によって並列に解析され得るタグ数である。当業者なら、その場合にセキュリティの許容可能なレベルを提供するはずのビット数を簡単に計算することができる。当業者なら、タイミング攻撃が防止されるべきであることも知ることになろう。このような攻撃においては、攻撃者は、タグに対してランダム・チャレンジを送信する。タグは、このチャレンジを記憶された事前に計算されたチャレンジと比較することを含めて、このチャレンジを処理する。そのレスポンス時間が、タグの処理(例えば、一致するビット数)に依存する場合には、これは、攻撃者に対して情報を提供する。増大されたレスポンス時間は、より多数のビットが正しいことを意味することもある。したがって、そのレスポンス時間は固定されていることが望ましい。暗号回路の技術分野の当業者は、これについて知っており、適切な回路をどのように設計すべきかを知っている。
【0036】
本発明はまた、本発明を実用化するために適合させられたコンピュータ・プログラム、特にキャリア上、またはキャリア中のコンピュータ・プログラムにも拡張されることが理解されよう。そのプログラムは、ソース・コード、オブジェクト・コード、部分コンパイルされた形態など、コード中間ソースおよびオブジェクト・コードの形態であってもよく、あるいは本発明による方法の実装において使用するために適した他の任意の形態であってもよい。キャリアは、プログラムを搬送することができる任意のエンティティまたはデバイスであってもよい。例えば、キャリアは、ROM、例えばCD ROMまたは半導体ROMや、磁気記録媒体、例えばフロッピー・ディスクまたはハード・ディスクなどのストレージ媒体を含んでいてもよい。さらに、キャリアは、電気ケーブルまたは光ケーブル、あるいは無線手段または他の手段を経由して搬送されてもよい、電気信号や光信号などの伝送可能キャリアであってもよい。プログラムが、このような信号で実施されるときには、キャリアは、このようなケーブルまたは他のデバイス、あるいは手段によって構成されてもよい。代わりに、キャリアは、プログラムが埋め込まれた、その関連する方法を実施するために、あるいはその方法の実施において使用するために適合させられた集積回路であってもよい。
【0037】
上述の実施形態は、本発明を限定するものでなく本発明を例証するものであることに、また当業者なら、添付の特許請求の範囲の範囲を逸脱することなく多数の代替実施形態を設計することができるようになることに留意されたい。本特許請求の範囲においては、括弧内に配置された任意の参照符号もその請求項を限定するものと解釈されるべきではない。動詞「含む(comprise)」とその活用形の使用は、請求項中に述べられている以外の要素またはステップの存在を除外するものではない。要素に先行する冠詞「1つの(a)」または「1つの(an)」は、複数のかかる要素の存在を除外するものではない。本発明は、いくつかの異なる要素を含むハードウェアを用いて、また適切にプログラムされたコンピュータを用いて実装されてもよい。いくつかの手段を列挙したデバイス/システムの請求項において、これらの手段のいくつかは、1つのハードウェア、および同じ項目のハードウェアによって実施されてもよい。ある種の対策が、相互に異なる従属請求項中で列挙されるという単なる事実は、これらの対策の組合せが利益をもたらすために使用されることが不可能であることを示すものではない。
【図面の簡単な説明】
【0038】
【図1】本発明によるシステムのブロック図である。
【図2】本発明による電子タグの一実施形態のブロック図である。
【図3】本発明によるリーダ局の一実施形態のブロック図である。
【図4】本発明による電子タグの第2の実施形態のブロック図である。
【図5】リーダ局中で使用されてもよい表を示す図である。
【図6】好ましい一実施形態のフロー・チャートを示す図である。
【図7】本発明によるシステムの一実施形態のブロック図である。
【図8】本発明による電子タグの第3の実施形態のブロック図である。
【特許請求の範囲】
【請求項1】
各電子タグが、固有の各身元に関連づけられ、事前に計算されたチャレンジを記憶するための第1のメモリ・ロケーションと前記チャレンジに関連づけられた事前に計算されたレスポンスを記憶するための第2のメモリ・ロケーションとを含むメモリと、電子タグの信ぴょう性を検証するための少なくとも1つのリーダ局と、前記第1のメモリ・ロケーションに記憶された前記チャレンジと一致するチャレンジを受信することに応じて、前記第2のメモリ・ロケーションに記憶された前記レスポンスを供給するためだけのアクセス回路とを含む複数の電子タグを備えた認証システムであって、
前記第1のメモリ・ロケーションが、前記タグの外側から読取り可能ではなく、
前記各リーダ局が、電子タグについて、
前記関連づけられた固有の身元を取得し、
前記身元について対応するチャレンジを決定し、
前記タグに対して前記チャレンジを送信し、
前記タグからレスポンスを受信し、
前記チャレンジに関連づけられたレスポンスと前記受信されたレスポンスを比較することにより、前記タグの前記信ぴょう性を検証するように動作可能であるシステム。
【請求項2】
前記電子タグの前記メモリが、前記タグに関連づけられた前記固有の身元を記憶するための第3のメモリ・ロケーションを含み、前記第3のロケーションは、読取り専用タイプであり、前記リーダが、前記タグの前記メモリから前記身元を読み取ることにより、電子タグに関連づけられた前記固有の身元を取得するように動作可能である、請求項1に記載のシステム。
【請求項3】
前記メモリが、チャレンジを記憶するための第4のメモリ・ロケーションを含み、前記第4のメモリ・ロケーションが、前記タグの外側から書込み可能であり、前記アクセス回路が、前記タグの外側から前記第2のメモリ・ロケーションに対する読取りアクセスに応じて、前記第1のメモリ・ロケーションに記憶された前記チャレンジと前記第4のメモリ・ロケーションに記憶された前記チャレンジを比較し、前記比較が一致をもたらす場合にのみ、前記第2のメモリ・ロケーションに記憶された前記レスポンスを供給する、請求項1に記載のシステム。
【請求項4】
前記第1および第2のメモリ・ロケーションが、追記型であり、前記システムが、電子タグについて、
前記関連づけられた固有の身元を取得し、
前記身元について対応するチャレンジを決定し、
前記電子タグの前記第1のメモリ・ロケーションに前記チャレンジを記憶し、
前記チャレンジに関連づけられたレスポンスを決定し、
前記タグの前記第2のメモリ・ロケーションに前記レスポンスを記憶する
ように動作可能なアクチベータをさらに含む、請求項1に記載のシステム。
【請求項5】
前記身元についての前記対応するチャレンジが、少なくとも前記身元および暗号鍵の上で動作する所定の暗号アルゴリズムを使用して決定される、請求項1または4に記載のシステム。
【請求項6】
前記アクセス回路が、前記タグの外側から前記第2のメモリ・ロケーションに記憶された前記レスポンスに対して最大1回、アクセスを行うように構成された、請求項1に記載のシステム。
【請求項7】
前記メモリが、複数対のメモリ・ロケーションを含み、各対が、所定のチャレンジを記憶するための第1の各メモリ・ロケーションと、同じ対の前記第1のメモリ・ロケーション中の前記チャレンジに関連づけられた所定のレスポンスを記憶するための第2の各メモリ・ロケーションとを含み、前記第1の各メモリ・ロケーションは、前記タグの外側から読取り可能ではなく、前記アクセス回路が、同じ対の前記第1のメモリ・ロケーションに記憶された前記チャレンジと一致するチャレンジを受信することに応じてのみ、1対のうちの前記第2のメモリ・ロケーションに記憶された前記レスポンスを供給するように構成されている、請求項1に記載のシステム。
【請求項8】
前記メモリ・ロケーション対が、逐次的に構成され、前記アクセス回路が、前記メモリ対のうちの第1の対から開始されて、受信されたチャレンジに応じてレスポンスが供給されるたびに後続のアクセス動作のために逐次的な次の1対を選択するように動作可能である、請求項6および7のいずれか一項に記載のシステム。
【請求項9】
前記電子タグが、固有の身元に関連づけられ、事前に計算されたチャレンジを記憶するための第1のメモリ・ロケーションと前記チャレンジに関連づけられた事前に計算されたレスポンスを記憶するための第2のメモリ・ロケーションとを含むメモリと、前記第1のメモリ・ロケーションに記憶された前記チャレンジと一致するチャレンジを受信することに応じて前記第2のメモリ・ロケーションに記憶された前記レスポンスを供給するためだけのアクセス回路とを含み、前記第1のメモリ・ロケーションが、前記タグの外側から読取り可能でない、請求項1に記載の認証システム中で使用するための電子タグ。
【請求項1】
各電子タグが、固有の各身元に関連づけられ、事前に計算されたチャレンジを記憶するための第1のメモリ・ロケーションと前記チャレンジに関連づけられた事前に計算されたレスポンスを記憶するための第2のメモリ・ロケーションとを含むメモリと、電子タグの信ぴょう性を検証するための少なくとも1つのリーダ局と、前記第1のメモリ・ロケーションに記憶された前記チャレンジと一致するチャレンジを受信することに応じて、前記第2のメモリ・ロケーションに記憶された前記レスポンスを供給するためだけのアクセス回路とを含む複数の電子タグを備えた認証システムであって、
前記第1のメモリ・ロケーションが、前記タグの外側から読取り可能ではなく、
前記各リーダ局が、電子タグについて、
前記関連づけられた固有の身元を取得し、
前記身元について対応するチャレンジを決定し、
前記タグに対して前記チャレンジを送信し、
前記タグからレスポンスを受信し、
前記チャレンジに関連づけられたレスポンスと前記受信されたレスポンスを比較することにより、前記タグの前記信ぴょう性を検証するように動作可能であるシステム。
【請求項2】
前記電子タグの前記メモリが、前記タグに関連づけられた前記固有の身元を記憶するための第3のメモリ・ロケーションを含み、前記第3のロケーションは、読取り専用タイプであり、前記リーダが、前記タグの前記メモリから前記身元を読み取ることにより、電子タグに関連づけられた前記固有の身元を取得するように動作可能である、請求項1に記載のシステム。
【請求項3】
前記メモリが、チャレンジを記憶するための第4のメモリ・ロケーションを含み、前記第4のメモリ・ロケーションが、前記タグの外側から書込み可能であり、前記アクセス回路が、前記タグの外側から前記第2のメモリ・ロケーションに対する読取りアクセスに応じて、前記第1のメモリ・ロケーションに記憶された前記チャレンジと前記第4のメモリ・ロケーションに記憶された前記チャレンジを比較し、前記比較が一致をもたらす場合にのみ、前記第2のメモリ・ロケーションに記憶された前記レスポンスを供給する、請求項1に記載のシステム。
【請求項4】
前記第1および第2のメモリ・ロケーションが、追記型であり、前記システムが、電子タグについて、
前記関連づけられた固有の身元を取得し、
前記身元について対応するチャレンジを決定し、
前記電子タグの前記第1のメモリ・ロケーションに前記チャレンジを記憶し、
前記チャレンジに関連づけられたレスポンスを決定し、
前記タグの前記第2のメモリ・ロケーションに前記レスポンスを記憶する
ように動作可能なアクチベータをさらに含む、請求項1に記載のシステム。
【請求項5】
前記身元についての前記対応するチャレンジが、少なくとも前記身元および暗号鍵の上で動作する所定の暗号アルゴリズムを使用して決定される、請求項1または4に記載のシステム。
【請求項6】
前記アクセス回路が、前記タグの外側から前記第2のメモリ・ロケーションに記憶された前記レスポンスに対して最大1回、アクセスを行うように構成された、請求項1に記載のシステム。
【請求項7】
前記メモリが、複数対のメモリ・ロケーションを含み、各対が、所定のチャレンジを記憶するための第1の各メモリ・ロケーションと、同じ対の前記第1のメモリ・ロケーション中の前記チャレンジに関連づけられた所定のレスポンスを記憶するための第2の各メモリ・ロケーションとを含み、前記第1の各メモリ・ロケーションは、前記タグの外側から読取り可能ではなく、前記アクセス回路が、同じ対の前記第1のメモリ・ロケーションに記憶された前記チャレンジと一致するチャレンジを受信することに応じてのみ、1対のうちの前記第2のメモリ・ロケーションに記憶された前記レスポンスを供給するように構成されている、請求項1に記載のシステム。
【請求項8】
前記メモリ・ロケーション対が、逐次的に構成され、前記アクセス回路が、前記メモリ対のうちの第1の対から開始されて、受信されたチャレンジに応じてレスポンスが供給されるたびに後続のアクセス動作のために逐次的な次の1対を選択するように動作可能である、請求項6および7のいずれか一項に記載のシステム。
【請求項9】
前記電子タグが、固有の身元に関連づけられ、事前に計算されたチャレンジを記憶するための第1のメモリ・ロケーションと前記チャレンジに関連づけられた事前に計算されたレスポンスを記憶するための第2のメモリ・ロケーションとを含むメモリと、前記第1のメモリ・ロケーションに記憶された前記チャレンジと一致するチャレンジを受信することに応じて前記第2のメモリ・ロケーションに記憶された前記レスポンスを供給するためだけのアクセス回路とを含み、前記第1のメモリ・ロケーションが、前記タグの外側から読取り可能でない、請求項1に記載の認証システム中で使用するための電子タグ。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公表番号】特表2008−502068(P2008−502068A)
【公表日】平成20年1月24日(2008.1.24)
【国際特許分類】
【出願番号】特願2007−526626(P2007−526626)
【出願日】平成17年5月31日(2005.5.31)
【国際出願番号】PCT/IB2005/051768
【国際公開番号】WO2005/122071
【国際公開日】平成17年12月22日(2005.12.22)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.フロッピー
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
【公表日】平成20年1月24日(2008.1.24)
【国際特許分類】
【出願日】平成17年5月31日(2005.5.31)
【国際出願番号】PCT/IB2005/051768
【国際公開番号】WO2005/122071
【国際公開日】平成17年12月22日(2005.12.22)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.フロッピー
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
[ Back to top ]