少なくとも2つの表示デバイスを備えるセキュリティ文書または重要文書
【課題】 少なくとも2つの表示デバイスを有するセキュリティ文書または重要文書を提供する。
【解決手段】 本発明は、少なくとも第1および第2の表示デバイス(118、128)と、少なくとも第1および第2の表示デバイスを駆動するプロセッサ(102、108)と、外部電源(114、136)からプロセッサに対して電力を供給するインターフェース(112)とを備えるセキュリティ文書または重要文書に関する。
【解決手段】 本発明は、少なくとも第1および第2の表示デバイス(118、128)と、少なくとも第1および第2の表示デバイスを駆動するプロセッサ(102、108)と、外部電源(114、136)からプロセッサに対して電力を供給するインターフェース(112)とを備えるセキュリティ文書または重要文書に関する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はセキュリティ文書または重要文書に関する。また、本発明は該文書のデータメモリに対して書込みアクセスを実行する書込みデバイスに関する。
【背景技術】
【0002】
先行技術によれば、さまざまな形態の電子回路が集積化された文書が本質的に知られている。例えば、この種の文書には主に紙ベースの形態のものがある。例えば、電子パスポートの形態、またはチップカードの形態、特にいわゆるスマートカードがあり、コンタクト有/コンタクト無またはデュアルインターフェースのものがある。
【0003】
そのような文書について、特に、無線識別(RFID)システムとも呼ばれるさまざまな無線検出システムが、先行技術では知られている。従来公知のRFIDシステムは一般的に、少なくとも1つのトランスポンダーおよび送受信部を備える。トランスポンダーは、RFIDシール、RFIDチップ、RFIDタグ、RFIDラベルまたは無線ラベルとも呼ばれ、送受信部は読出しデバイスまたはリーダとも呼ばれる。さらに、いわゆるミドルウェアを用いて、サーバ、サービス等の他のシステム、例えば、レジシステムまたは商品管理システムと統合されることが多い。
【0004】
RFIDトランスポンダーに格納されているデータは、電波によって利用可能となる。低周波数の場合は、近距離場に基づいて誘導的に実現され、高周波数の場合は、電磁遠距離場に基づいて実現される。RFIDトランスポンダーがアドレス特定可能で読出し可能となる距離は、数センチメートルから1キロメートル超の間で変化し、設計(受動型/能動型)、使用周波数帯域、通信強度およびその他の環境の影響によって決まる。
【0005】
RFIDトランスポンダーは通常、マイクロチップとアンテナとを有し、該マイクロチップおよびアンテナは担体または筐体の内部に収納されているか、または、基板に印刷されている。能動型RFIDトランスポンダーはさらに、例えば電池等の電源を有する。
【0006】
RFIDトランスポンダーは、例えば電子財布または電子発券を実現するべく、ほかの文書について、特にチップカードにおいて利用され得る。さらに、RFIDトランスポンダーは、紙またはプラスチック、例えばセキュリティ文書または重要文書に一体化される。セキュリティ文書または重要文書とは特に、紙幣および身分証明書類である。
【0007】
例えば、DE 201 00 158 U1では、プラスチックを積層および/または注入することによって形成されており、RFID法を実行するためのアンテナを有する半導体が集積化されている、身分証明用および社会保障用カードが開示されている。DE 10 2004 008 841 A1では、トランスポンダー部を備える、パスポートブックによって例示される本の形状を持つセキュリティ文書が開示されている。
【0008】
こういった重要文書またはセキュリティ文書は、先行技術では、一部分がチップカードの形態で実施されている。チップカードは、例えばEP第0920675号、WO第2004/080100号およびUS第6,019,284号で開示されている集積化表示デバイスを有するとしてもよい。
【0009】
またUS第6,340,965B1号では、再利用可能な形態を実現するために用いられる電子ペーパーが開示されている。
【0010】
例えば、US第6,019,284号およびEP第0920675号では、ディスプレイを備えるフレキシブルカードが開示されている。しかし、これらのカードは片面表示素子を1つ備えるのみである。
【0011】
AUオプトロニクス(Optronics)社は、正面と裏面に個別に2つのカラー画像を表示することができる2面型OLEDディスプレイを開発した。このようなディスプレイは、携帯電話での使用を想定している。
【0012】
重要文書またはセキュリティ文書には、例えばRFIDインターフェースなどのコンタクト有/コンタクト無のインターフェースが設けられるとしてもよいし、またはチップカード端末との有線通信および無線通信を可能とするインターフェースが設けられるとしてもよい。後者のタイプは、デュアルインターフェースチップカードとも呼ばれる。チップカード用の通信プロトコルおよび通信方法は、例えばISO14443規格において定義されている。
【0013】
このようなRFID機能を持つ文書には、該文書が例えば所有者の財布に入っている場合、所有者の合意なしにRFIDインターフェースがアドレス特定され得るという問題がある。そのような文書のデータの不正読出しに対抗する保護機構は、「ベーシックアクセスコントロール(Basic Access Control)と呼ばれる。この点については、「機械可読旅行文書(Machine Readable Travel Document)、テクニカルリポート(Technical Report)、ICCリードオンリーアクセスを提供する機械可読旅行用文書用のPKI(PKI for Machine Readable Travel Documents Offering ICC Read−Only Access)、バージョン1.1、2004年10月1日、国際民間航空機関(ICAO)、
(http://www.icao.int/mrtd/download/documents/TR-PKI%20mrtds%20ICC%20read-only%20access%20v1_1.pdf)」を参照されたい。
【0014】
先行技術分野では、暗号化による保護を用いてデータを電子的に格納するための方法が開示されている。ISO7816のパート1から4によって規格化されている電子チップカードは、過去20年間で多用されるようになった形態の保護メモリである。チップカード技術は、特に全世界の航空業界における乗客確認において安全性および効率を高めると期待されている、機械可読旅行用文書の導入に利用され得る。
【発明の開示】
【発明が解決しようとする課題】
【0015】
現在のところ、セキュリティ文書または重要文書の個人情報を更新する方法としてはいくつかが利用可能であるのみである。一方、文書の安全性を保証し、変更および改ざんを防ぐべく、文書を再発行する必要が生じる場合がある。しかし、このような処理は複雑で、最新型個人認証文書の場合は高コストである。このため、例えばドイツでは、シールを用いて新住所を文書に貼り付ける。文書のセキュリティおよび変更禁止sは保証されているままであるが、更新後のデータ、つまり新住所の表示は元々のデータと同様に変更または削除に対して保護されているわけではない。
【0016】
これに対し本発明は、当局等の正当な立場からは個人データを変更できつつ、そのようなデータを不正な人物によって変更または改ざんされないように保護することができるセキュリティ文書および重要文書を提供することを目的とする。また、本発明は、当該文書のデータメモリに対して外部書込みアクセスを実行するための書込みデバイスを実現することを目的とする。
【0017】
本発明の目的はそれぞれ、独立請求項に記載の特徴によって実現される。本発明の好ましい実施形態は、独立請求項で説明されている。
【課題を解決するための手段】
【0018】
本発明に係るセキュリティ文書または重要文書の実施形態によると、2つの表示デバイスを備えるセキュリティ文書または重要文書については、操作または複写が不可能または困難であるので、操作および/または改ざんに対する保護を高めることができる。一方、本発明に係るセキュリティ文書または重要文書の実施形態によると、正当な立場であれば個人化データ、特に個人情報を更新することが可能で、変更または削除については、元々のデータと本質的に同様の保護を更新後のデータについても提供することができる。
【0019】
本発明によると、セキュリティ文書または重要文書が例えば電池等の電源を自ら備える必要がなく、セキュリティ文書または重要文書のインターフェースを介して電力が供給されるという大きな利点が得られる。これは、耐用期間を通してセキュリティ文書または重要文書の機能を保証するという点に関して大きな利点となる。この場合、インターフェースがコンタクトを有さないインターフェースの形態である場合に、セキュリティ文書または重要文書の耐用期間におけるインターフェースのコンタクトに関する腐食の問題がなくなるので、特に大きな利点が得られる。
【0020】
本発明の一実施形態によると、セキュリティ文書または重要文書の表示デバイスのうち少なくとも1つは、情報を表示する場合に電力を消費する必要がないように設計される。そのような表示デバイスは、例えば、双安定表示技術を用いて実施されるとしてもよい。このような構成とすることによって、どのような場合であっても、セキュリティ文書または重要文書のこの表示デバイスに表示される情報は、利用可能な読出しデバイスがない場合でも読出し可能となる、という利点が得られる。
【0021】
本発明の一実施形態によると、複数の表示デバイスは同一技術に基づいて作成されている。特に、双安定表示技術が好ましいが、例えば、電気泳動素子、エレクトロクロミック素子または回転素子に基づく表示技術であってもよい。
【0022】
少なくとも第1および第2の表示デバイスが同一プロセッサによって駆動されるので、セキュリティ文書または重要文書内のこれら2つの表示デバイスをこの単一のプロセッサに対して接触させて接続する必要が生じる。このような構成とすることによって、改ざんおよび操作に対してある程度の安全が与えられる。
【0023】
本発明の一実施形態によると、セキュリティ文書または重要文書の厚みは、最大で2mmであり、好ましくは最大で1mm、特に最大で840μmである。そのような平坦なセキュリティ文書または重要文書の実施形態によれば、ある程度の柔軟性が得られるので取り扱いに関して利点が得られると共に、改ざんおよび操作をある程度防止するという利点が得られる。
【0024】
本発明の一実施形態によると、セキュリティ文書または重要文書は両側にそれぞれ少なくとも1つの表示デバイスを備え、該表示デバイスにはそれぞれ異なる情報を静的に、準静的に、または可変的に、表示することができる。特に、このような構成とすることによって、本発明によると、ICAOの規定に準拠し、対応する表示デバイスを用いて両側に静的、準静的、および/または可変的な情報を出力することができる、国際的に相互利用可能なセキュリティ文書または重要文書を実現することが可能となる。
【0025】
本発明の一実施形態によると、個人化データを格納するためのデータメモリを備える文書が提供される。当該文書は、個人化データを表示するための少なくとも1つの第1の表示デバイスと、暗号プロトコルを実行する手段と、個人化データを変更するためのデータメモリに対する外部書込みアクセス用のインターフェースとを備える。ここで、外部書込みアクセスは暗号プロトコルが実行済みであることを前提とする。
【0026】
本発明によれば、セキュリティ文書または重要文書に表示される変更可能な個人データを安全に変更することができるようになる。この目的を実現するべく、変更可能な個人データは、暗号プロトコルを用いて文書のデータメモリに送信され、データメモリから表示素子に表示される。このような構成とすることによって、新しい文書を発行する必要、または操作に対する安全対策を減じて個人化データを更新する必要がなくなる。
【0027】
先行技術と比較すると、このような構成とすることによって、個人化データが変更になっても、文書を新しいものと交換する必要がなくなるという利点が得られる。また、本発明によると、例えば正当な当局が刻印またはシールを追加することによって文書を修正する必要もなく、個人化データは外部書込みアクセスによって単に電子的に更新され得る。
【0028】
本発明に係るセキュリティ文書または重要文書の実施形態について相互利用可能性を実現することを目的として、例えば書込みおよび/または読出しデバイス等の端末と文書との間での安全なデータのやり取りは、ICAOが定めている国際安全基準、特にベーシックアクセスコントロール(BAC)および拡張アクセスコントロール(EAC)に準拠して行われるのが好ましい。
【0029】
本発明の一実施形態によると、文書には個人化データおよび/または識別子を出力することができる表示デバイスが備えられる。この場合、原則的には、任意の所望の表示技術を用いることができる。例を挙げると、液晶ディスプレイ(LCD)、有機発光ダイオード(OLED)、回転素子ディスプレイ、エレクトロクロミック、電気泳動および/またはエレクトロウェッティング(electrowetting)表示技術がある。本発明の実施形態によると、ディスプレイは少なくとも部分的に印刷技術を用いて塗布される。この点において、エレクトロクロミックディスプレイおよび電気泳動ディスプレイと同様にOLEDディスプレイは特に適している。
【0030】
本発明の一実施形態によると、少なくとも個人化データが、個人化データを表示する場合に電力を常時消費する必要がない双安定の表示デバイスに表示される。このような構成とすることによって、文書上に電源がなくても個人化データを読み出すことができるという利点が得られる。このような構成とすることによってさらに、文書内に集積化される電源、例えば電池または太陽電池を省略することができるという利点が得られる。
【0031】
本発明によれば、識別子、使い捨てパスワード、乱数等が表示素子に表示されると、使用されている表示技術および/または適切なプロトコルに基づいて表示された内容がトランザクション後は表示素子に表示されないようにすることが好ましい。双安定表示素子を用いる場合には、例えばトランザクションが完了した後で、その前に表示された情報を消去するべく、定義状態(「空状態」)または任意の所望の無関係の情報が表示され得る。
【0032】
本発明の一実施形態によると、文書は変更不可能な個人化データを格納するメモリ領域を有する。変更不可能な個人化データの例を挙げると、名前、生年月日、有効期限、文書番号、パスポート写真およびさらにはバイオメトリクスデータであってよい。変更不可能な個人化データは、文書上に印刷されているとしてもよく、および/または、表示デバイスのうち1つ、好ましくは双安定表示デバイスを用いて出力されるとしてもよい。変更不可能な個人化データは、暗号プロトコルが問題なく実行された後も、データメモリにおいて変更することができない。
【0033】
このようなデータは、文書が最初に発行される際にのみ、正当な当局によって文書に入力されるとしてもよい。このようなデータをディスプレイで表示すると、文書をまとめてあらかじめ大量生産することができ、後で別個に各個人用にできるという利点が得られる。これは、各個人用とするためのプロセスにセキュリティ印刷システムが必要ないためである。
【0034】
本発明の一実施形態によると、第1および第2の表示デバイスは該文書の互いに対向する面から見えるように構成されている。第1および/または第2の表示デバイスは、文書の表側または裏側の面積すべてをほぼ占めるとしてもよい。文書に個人データをまったく印刷しない場合には、このような構成から特に大きな利点が得られる。しかし、表示デバイスは、文書の表側または裏側の一部のみを占めるとしてもよい。また、静的セキュリティ印刷部分、例えば、いわゆるギロシェ(guilloches)を印刷技術を用いて文書に塗布するとしてもよい。
【0035】
本発明の一実施形態によると、表示デバイスを接触接続するための導体配線がその上または中に形成されているインレーが文書にあるとしてもよい。特に、メッキ貫通孔、いわゆるビアが、文書の異なる面から見えるように構成されている表示デバイス同士を接触接続するべく、インレー上またはインレー内に形成されているとしてもよい。
【0036】
別の実施形態によると、両側に異なる情報を表示するフレキシブルディスプレイが、文書の本体またはその一部を構成している。
【0037】
本発明の一実施形態によると、プロセッサ、データメモリ、暗号プロトコルを実行する手段、および/または、インターフェースは、集積化されて電子回路、例えば、マイクロコントローラを形成するとしてもよい。このような電子回路はインレー上またはインレー内に配置されるとしてもよい。
【0038】
本発明の一実施形態によると、当該文書は、身分証明書、パスポート、IDカード、査証、運転免許証、会社用IDカード、認証許可証等である。
【0039】
特に、当該文書は、紙ベースおよび/またはプラスチックベースおよび/またはチップカードであってもよい。
【図面の簡単な説明】
【0040】
本発明の好ましい実施形態を、添付図面を参照しつつ以下でより詳細に説明する。図面は以下の通りである。
【0041】
【図1】本発明に係る文書の一実施形態の正面を示す図である。
【0042】
【図2】図1に示した実施形態の裏側を示す図である。
【0043】
【図3】本発明に係る文書の一実施形態の正面を示す図である。
【0044】
【図4】図3に示した実施形態の裏側を示す図である。
【0045】
【図5】本発明に係る文書の一実施形態を示す断面図である。
【0046】
【図6】本発明に係る文書および本発明に係る書込みデバイスの別の実施形態を示すブロック図である。
【0047】
【図7】読出しデバイスと共に、本発明に係る文書および本発明に係る書込みデバイスの別の実施形態を示すブロック図である。
【発明を実施するための最良の形態】
【0048】
以下に記載する実施形態において、互いに対応する構成要素は同じ参照符号を用いて示す。
【0049】
図1は、文書100の正面を示す。文書100は本実施形態において身分証明書である。文書100は紙ベースおよび/またはプラスチックベースである。文書100の所有者の顔画像144ならびにそれ以外の個人化データ、例えば、文書100の所有者の名前および文書100の有効性、さらに文書100の所有者の署名例のコピーが文書100に印刷されている。文書100は、下側の縁部にいわゆるMRZ(機械可読ゾーン)ライン134を備える。表示デバイス128は、文書が生成する識別子が、文書100の正面のICAOラインの一部として、光学的に読めるようにICAOラインの内側に配置されている。
【0050】
図2は、図1に示す文書100の裏側を示す。表示デバイス118は文書100の裏側において見えるように構成されている。表示デバイス118は、例えば、文書100の所有者の住所を表示するための住所フィールドを有する。さらに、変更不可能な個人化データ、例えば署名は文書100の裏側に印刷するとしてもよい。
【0051】
図3は、文書100の別の実施形態の正面を示す。本実施形態によると、表示デバイス128は全面にわたって形成されるので、文書100の正面をほぼすべて被覆している。したがって、個人データ、好ましくは個人データすべて、例えば顔画像144、名前、有効性、署名、およびMRZ134全体は、表示デバイス128を用いて出力される。
【0052】
文書100の裏側はこのような構成に対応したものとなる(図4を参照のこと)。つまり、文書100の裏側は表示デバイス118によって形成される。表示デバイス118は、変更可能な個人化データ、つまり住所を表示すると共に、別のデータ、例えば、変更不可能な個人化データを表示するべく用いられる。さらに、静的なラベルもまた表示デバイス118によって表示され得る。例えば、データフィールドに対して対応するフィールドを指定するラベルを与える。一例を挙げると、名字フィールドに対して「名前/名字/名」といったフィールド指定を与える。このようなフィールド指定は、表示デバイス118によって表示されない場合には、例えば印刷技術に基づいて作成され得る。
【0053】
図5は、本発明に係る文書100の一実施形態の断面を示す。文書100のこの実施形態は、いわゆるスマートカードである。該文書は複数の層146、148および150から構成されている。
【0054】
層146は、インレーと呼ばれる膜から成り、インレー上には電子デバイス102が設けられている。電子デバイス102は、例えば集積化電子回路、例えばマイクロコントローラとして構成されるとしてもよい。さらに、外部端末、例えば書込みデバイスまたは読出しデバイスとの非接触式通信に用いられるアンテナ152は、層146のインレー上に設けられる。このような構成に代えて、もしくはこのような構成に加えて、電子デバイス102はコンタクトを含むインターフェースまたはデュアルインターフェースを有するとしてもよい。
【0055】
表示デバイス128および118は、層146のインレーに設置されている。これらのデバイスを電子デバイス102に接触させて接続するべく、導体配線116および130がインレーに設置されて、いわゆるビア154および156をそれぞれ用いて表示デバイス128および118を接触させて接続する。
【0056】
2つの表示デバイス118および128は、必須ではないが、同一の表示技術を用いて形成されるとしてもよい。本発明の一実施形態によると、表示デバイス128は格納機能を持たず、または限られた格納機能を持つのみで、表示画像の持続時間が比較的短い。一方、住所フィールド用の表示デバイス118は双安定ディスプレイである。このような構成に代えて、もしくはこのような構成に加えて、適切な駆動ロジックを用いて表示デバイス128が格納機能を有さないようにするとしてもよい。
【0057】
電子デバイス102によって決定される識別子が表示デバイス128に表示されることによって、光学的に読み出されるMRZ134内のデータに含まれている対応付けられた追加可変パラメータに基づいて、電子デバイス102と読出しデバイスまたは書込みデバイスとの間のデータのやり取りのための暗号化のセキュリティを改善することができる。表示デバイス128が通常の状態で画像を表示していない場合には、読出しデバイスは表示デバイス128に本当に情報が表示されていないかどうかまず確認するとしてもよい。プロトコルが双安定表示デバイスに対して実行されるとしてもよく、この場合、表示機能を持たなくても、例えばあらかじめ定められた内容がまず表示されて、その後でのみ実際の情報が表示される。このため、読出しデバイスは表示デバイスの機能を確認することができる。プロトコルの終了時においては、表示デバイスはほかの情報によって上書きされるとしてもよいし、または、情報がそれ以上表示されないとしてもよい。このような構成とすることによって、許可されていない人物は情報を読み出すことができないようにできる。このような構成によればさらに、例えば表示デバイス上にシールを貼ることによって、文書を操作することができるようになる。これは、シールが実際には静的情報を示すのみであるからである。
【0058】
住所フィールド用の表示デバイス118は、文書が読出しデバイス内になくても、つまり、電力供給を受けていなくても、何年にもわたって安定して住所を表示するべく設計されている。このため、双安定表示技術は表示デバイス118を実現するのに特に適した技術である。
【0059】
表示デバイス128も同様に双安定ディスプレイとして実現され得る。情報の操作を防ぐべく、読出しデバイスはまず特定の情報、例えば時間を電子デバイス102によって表示するように要求するとしてもよい。このような構成とすることによって、読出しデバイスは表示デバイス128の機能を確認することができる。続いて、読出しデバイスは電子デバイス102に対して識別子を生成して表示デバイス128に表示するように要求する。
【0060】
図6は、本発明に係る文書100の別の実施形態を示す。文書100は例えば紙ベースの文書またはチップカードであってよい。文書100は、個人化データ106を格納するためのデータメモリ104を有する電子デバイス102を備える。
【0061】
電子デバイス102は、文書100に関する暗号プロトコルの段階を実行するために利用されるプログラム命令110を実行するためのプロセッサ108を有する。
【0062】
電子デバイス102はさらに、書込みデバイス114の対応するインターフェース112´と通信するインターフェース112を有する。インターフェース112および112´はコンタクトを含むとしてもよく、無線型であってもよいし、デュアルインターフェースとして実現されていてもよい。特に、書込みデバイス114と文書100とによってRFIDシステムが形成されるとしてもよい。書込みデバイス114は、電子デバイス102、特にプロセッサ108に対して、インターフェース112´を介して電力を供給することができる。
【0063】
電子デバイス102は、導体配線116を用いて、表示デバイス118に接続される。表示デバイス118は、文書100上に、個人化データ106または個人化データ106の一部を表示するべく利用される。表示デバイス118は、両面型表示素子であってもよく、正面と裏面に情報が複写され得る。この場合、2つの表示デバイスは1つの両面型表示素子を用いて実現される。このような構成に代えて、もしくはこのような構成に加えて、図2から図7に示した実施形態のように、表示デバイス118に加えて少なくとも1つの別の表示デバイスが設けられるとしてもよい。
【0064】
電子デバイス102またはその一部は、集積化電子回路、例えばマイクロコントローラとして構成されるとしてもよい。
【0065】
文書100を両面型表示素子または少なくとも2つの表示デバイスによって設計することによって、特に文書100が平坦で厚みが例えば最大で2mmの場合等、文書100の構造に基づいて、改ざんに対してある程度の保護が実現される。文書100には永久的に電力が供給されるので、文書内に電源を集積化しなくてもすむようになる。このような構成は、比較的長期間にわたって文書100の機能を保証する上で利点となる。
【0066】
インターフェース112´および112は、コンタクト無しまたはデュアルインターフェースの形態をとるのが好ましい。このような構成とすることによって、上記と同様に、文書100の機能を長期間にわたって保証できるという利点が得られ、特に、インターフェース112´および112のコンタクトの腐食という問題を解決することができる。
【0067】
書込みデバイス114は、書込みデバイス114に関する暗号プロトコルの段階を実行するために利用されるプログラム命令110´を実行するためのプロセッサ120を有する。書込みデバイス114は、暗号プロトコルを実行する際には鍵122を必要とする。
【0068】
個人化データ106または個人化データの可変部分は、以下の手順に従って更新される。
【0069】
プログラム命令110および110´の実行は、暗号プロトコルを実行するために開始される。例えば、まず書込みデバイス114に対するプログラム命令110´の実行が開始され、続いて、インターフェース112´および112を介して書込みデバイス114から電子デバイス102へ制御信号が送信され、続いて、該電子デバイスにおいてプログラム命令110の実行が開始される。
【0070】
続いて、鍵122を用いて暗号プロトコルを実行する。暗号プロトコルが問題なく実行された後、プロセッサ108がデータメモリ104に対する書込みアクセスを許可して、書込みデバイス114は更新後の個人化データをインターフェース112´および112を介して電子デバイス102に送信することができる。この結果、更新後の個人化データが該電子デバイス102のデータメモリ104に格納される。この場合、個人化データ106は更新後の個人化データによって上書きされるとしてもよい。
【0071】
この結果、更新後の個人化データが表示デバイス118に表示され、文書100はこれ以外は不変のままとできる。このような構成とすることによって特に、個人化データ106を更新する際に文書100を新しいものと交換する必要がなくなる一方、暗号プロトコルによる保護のおかげで、文書100の信頼性が低減することがないように個人化データ106が更新されるという利点が得られる。
【0072】
図7は、本発明に係る文書100の別の実施形態を示す。本実施形態によると、データメモリ104は、変更可能な個人化データ106を格納することに加え、変更不可能な個人化データ124およびバイオメトリクスデータ126を格納するためにも用いられる。文書が身分証明書の場合、データメモリ104は、文書の所有者の名前および現住所は、例えば変更可能な個人化データ106として格納し、身長、生年月日および性別は変更不可能な個人化データ124として格納するとしてもよい。バイオメトリクスデータ126は、顔画像、顔の特徴、指紋データ、虹彩スキャン、または文書100の所有者に関する同様のバイオメトリクスデータであってよい。
【0073】
表示デバイス128については、双安定表示技術または他の表示技術が同様に選択されるとしてもよい。例えば、表示デバイス128はLCDまたはOLED表示デバイスとして構成されるとしてもよい。後者の場合、表示デバイス128を動作させて表示を行わせるためには電力が必要となる。
【0074】
本実施形態例によると、書込みデバイス114に変更可能な個人化データ106を更新するための権限が与えられる。このため、鍵122は書込みアクセス動作に対する「一般鍵(general key)」として構成される。鍵122は、書込みデバイス114に格納されるとしてもよいし、書込みデバイス114に挿入され得るチップカードに格納されるとしてもよいし、書込みデバイス114が通信可能な外部のサーバコンピュータに格納されるとしてもよい。
【0075】
書込みデバイス114は、キーボード140と、例えばスクリーンである表示デバイス142とを備える。
【0076】
変更不可能な個人化データ106は、以下の手順に従って更新される。
【0077】
文書100が書込みデバイス114に近づけられ、インターフェース112´および112を介して書込みデバイス114と文書100との間でデータがやり取りされ得る。このようなデータのやり取りのために、文書100は例えば、書込みデバイス114に挿入されたり、または書込みデバイス114上に載置されたりする。
【0078】
書込みデバイス114の認証ユーザは、キーボード140を用いて表示デバイス142に表示される更新後の個人化データを入力する。プログラム命令110´の実行は、キーボード140上の入力キーを操作することによって開始される。
【0079】
プロセッサ120は続いて、インターフェース112´および112を介して電子デバイス102に送信される制御信号を生成する。文書100の構成によっては、制御信号は、データメモリに対する即時アクセスを通知するべく起動信号として文書に送信される必要がある場合もある。プログラム命令132の実行が続いて開始され、例えば乱数である識別子が生成される。
【0080】
当該識別子は、表示デバイス128を用いてMRZ134の領域に出力される。ICAOライン135の領域に出力される識別子は、光センサ132を用いて書込みデバイス114によって検出される。続いてプロセッサ120によって、プログラム命令110´を実行することによって、識別子および鍵122から別の鍵を取得する。当該別の鍵は、暗号プロトコルを実行するべく用いられる。例えば、このようにして、予定されている書込みアクセスのための暗号プロトコルを問題なく実行するために必要な対称鍵または非対称鍵は生成される。
【0081】
本発明の一実施形態によると、秘密鍵と公共鍵とを含む非対称な対の鍵を、例えば、識別子と鍵122とから生成する。続いて公共鍵が、インターフェース112´および112を介して、書込みデバイス114から電子デバイス102に送信される。公共鍵によって暗号化された別の乱数を、プログラム命令132を実行することによって生成する。
【0082】
暗号化によって得られる暗号文を、インターフェース112および112´を介して電子デバイス102から書込みデバイス114に送信する。書込みデバイス114は、秘密鍵を用いて暗号文を復号化する。復号の結果は、インターフェース112´および112を介して、書込みデバイス114から電子デバイス102に送信される。
【0083】
続いて、復号結果が元々生成された乱数に対応するかどうか判断するべく、プログラム命令110を実行することによって、比較を行う。一致する場合、書込みアクセスを実行する書込みデバイス114の認証が証明され、書込みアクセスが可能となる。書込みアクセスが行われると、その結果、キーボード140を用いて先に入力された更新後の個人化データが、文書100に送信されて、データメモリ104に格納される。
【0084】
本実施形態によると、読出しデバイス136は国境警備に利用される。読出しデバイス136は基本的に、書込みデバイス114と同様に構成されている。読出しデバイス136は、プログラム命令110´´を実行するためのプロセッサ144を有する。プログラム命令110´´は、読出しデバイス136に関する暗号プロトコルの段階を実行するべく用いられる。この暗号プロトコルは、書込みデバイス114のプログラム命令110´によって実施される段階と同一であってもよいし、相違するとしてもよい。
【0085】
暗号プロトコルを実行するべく、読出しデバイス136は、読出しデバイス136に対してバイオメトリクスデータ126に対する読出しアクセスを認証する鍵122´を利用する。鍵122´は、読出しデバイス136に格納されているとしてもよいし、例えばネットワークを介してアドレス指定され得るチップカードまたはサーバコンピュータである外部の暗号化素子に格納されているとしてもよい。チップカードおよびサーバコンピュータの場合には、暗号プロトコルを実行するための暗号化アルゴリズムは、チップカードまたはサーバコンピュータにおいて実行されるのが好ましい。
【0086】
読出しデバイス136の操作方法は、書込みデバイス114の操作方法に対応し、バイオメトリクスデータ126の読出しを許可するのみの鍵122´に基づいて暗号プロトコルを実行する。暗号プロトコルが問題なく実行されると、読出しデバイス126はインターフェース112および112´´を介してバイオメトリクスデータ126を受け取ることができる。
【技術分野】
【0001】
本発明はセキュリティ文書または重要文書に関する。また、本発明は該文書のデータメモリに対して書込みアクセスを実行する書込みデバイスに関する。
【背景技術】
【0002】
先行技術によれば、さまざまな形態の電子回路が集積化された文書が本質的に知られている。例えば、この種の文書には主に紙ベースの形態のものがある。例えば、電子パスポートの形態、またはチップカードの形態、特にいわゆるスマートカードがあり、コンタクト有/コンタクト無またはデュアルインターフェースのものがある。
【0003】
そのような文書について、特に、無線識別(RFID)システムとも呼ばれるさまざまな無線検出システムが、先行技術では知られている。従来公知のRFIDシステムは一般的に、少なくとも1つのトランスポンダーおよび送受信部を備える。トランスポンダーは、RFIDシール、RFIDチップ、RFIDタグ、RFIDラベルまたは無線ラベルとも呼ばれ、送受信部は読出しデバイスまたはリーダとも呼ばれる。さらに、いわゆるミドルウェアを用いて、サーバ、サービス等の他のシステム、例えば、レジシステムまたは商品管理システムと統合されることが多い。
【0004】
RFIDトランスポンダーに格納されているデータは、電波によって利用可能となる。低周波数の場合は、近距離場に基づいて誘導的に実現され、高周波数の場合は、電磁遠距離場に基づいて実現される。RFIDトランスポンダーがアドレス特定可能で読出し可能となる距離は、数センチメートルから1キロメートル超の間で変化し、設計(受動型/能動型)、使用周波数帯域、通信強度およびその他の環境の影響によって決まる。
【0005】
RFIDトランスポンダーは通常、マイクロチップとアンテナとを有し、該マイクロチップおよびアンテナは担体または筐体の内部に収納されているか、または、基板に印刷されている。能動型RFIDトランスポンダーはさらに、例えば電池等の電源を有する。
【0006】
RFIDトランスポンダーは、例えば電子財布または電子発券を実現するべく、ほかの文書について、特にチップカードにおいて利用され得る。さらに、RFIDトランスポンダーは、紙またはプラスチック、例えばセキュリティ文書または重要文書に一体化される。セキュリティ文書または重要文書とは特に、紙幣および身分証明書類である。
【0007】
例えば、DE 201 00 158 U1では、プラスチックを積層および/または注入することによって形成されており、RFID法を実行するためのアンテナを有する半導体が集積化されている、身分証明用および社会保障用カードが開示されている。DE 10 2004 008 841 A1では、トランスポンダー部を備える、パスポートブックによって例示される本の形状を持つセキュリティ文書が開示されている。
【0008】
こういった重要文書またはセキュリティ文書は、先行技術では、一部分がチップカードの形態で実施されている。チップカードは、例えばEP第0920675号、WO第2004/080100号およびUS第6,019,284号で開示されている集積化表示デバイスを有するとしてもよい。
【0009】
またUS第6,340,965B1号では、再利用可能な形態を実現するために用いられる電子ペーパーが開示されている。
【0010】
例えば、US第6,019,284号およびEP第0920675号では、ディスプレイを備えるフレキシブルカードが開示されている。しかし、これらのカードは片面表示素子を1つ備えるのみである。
【0011】
AUオプトロニクス(Optronics)社は、正面と裏面に個別に2つのカラー画像を表示することができる2面型OLEDディスプレイを開発した。このようなディスプレイは、携帯電話での使用を想定している。
【0012】
重要文書またはセキュリティ文書には、例えばRFIDインターフェースなどのコンタクト有/コンタクト無のインターフェースが設けられるとしてもよいし、またはチップカード端末との有線通信および無線通信を可能とするインターフェースが設けられるとしてもよい。後者のタイプは、デュアルインターフェースチップカードとも呼ばれる。チップカード用の通信プロトコルおよび通信方法は、例えばISO14443規格において定義されている。
【0013】
このようなRFID機能を持つ文書には、該文書が例えば所有者の財布に入っている場合、所有者の合意なしにRFIDインターフェースがアドレス特定され得るという問題がある。そのような文書のデータの不正読出しに対抗する保護機構は、「ベーシックアクセスコントロール(Basic Access Control)と呼ばれる。この点については、「機械可読旅行文書(Machine Readable Travel Document)、テクニカルリポート(Technical Report)、ICCリードオンリーアクセスを提供する機械可読旅行用文書用のPKI(PKI for Machine Readable Travel Documents Offering ICC Read−Only Access)、バージョン1.1、2004年10月1日、国際民間航空機関(ICAO)、
(http://www.icao.int/mrtd/download/documents/TR-PKI%20mrtds%20ICC%20read-only%20access%20v1_1.pdf)」を参照されたい。
【0014】
先行技術分野では、暗号化による保護を用いてデータを電子的に格納するための方法が開示されている。ISO7816のパート1から4によって規格化されている電子チップカードは、過去20年間で多用されるようになった形態の保護メモリである。チップカード技術は、特に全世界の航空業界における乗客確認において安全性および効率を高めると期待されている、機械可読旅行用文書の導入に利用され得る。
【発明の開示】
【発明が解決しようとする課題】
【0015】
現在のところ、セキュリティ文書または重要文書の個人情報を更新する方法としてはいくつかが利用可能であるのみである。一方、文書の安全性を保証し、変更および改ざんを防ぐべく、文書を再発行する必要が生じる場合がある。しかし、このような処理は複雑で、最新型個人認証文書の場合は高コストである。このため、例えばドイツでは、シールを用いて新住所を文書に貼り付ける。文書のセキュリティおよび変更禁止sは保証されているままであるが、更新後のデータ、つまり新住所の表示は元々のデータと同様に変更または削除に対して保護されているわけではない。
【0016】
これに対し本発明は、当局等の正当な立場からは個人データを変更できつつ、そのようなデータを不正な人物によって変更または改ざんされないように保護することができるセキュリティ文書および重要文書を提供することを目的とする。また、本発明は、当該文書のデータメモリに対して外部書込みアクセスを実行するための書込みデバイスを実現することを目的とする。
【0017】
本発明の目的はそれぞれ、独立請求項に記載の特徴によって実現される。本発明の好ましい実施形態は、独立請求項で説明されている。
【課題を解決するための手段】
【0018】
本発明に係るセキュリティ文書または重要文書の実施形態によると、2つの表示デバイスを備えるセキュリティ文書または重要文書については、操作または複写が不可能または困難であるので、操作および/または改ざんに対する保護を高めることができる。一方、本発明に係るセキュリティ文書または重要文書の実施形態によると、正当な立場であれば個人化データ、特に個人情報を更新することが可能で、変更または削除については、元々のデータと本質的に同様の保護を更新後のデータについても提供することができる。
【0019】
本発明によると、セキュリティ文書または重要文書が例えば電池等の電源を自ら備える必要がなく、セキュリティ文書または重要文書のインターフェースを介して電力が供給されるという大きな利点が得られる。これは、耐用期間を通してセキュリティ文書または重要文書の機能を保証するという点に関して大きな利点となる。この場合、インターフェースがコンタクトを有さないインターフェースの形態である場合に、セキュリティ文書または重要文書の耐用期間におけるインターフェースのコンタクトに関する腐食の問題がなくなるので、特に大きな利点が得られる。
【0020】
本発明の一実施形態によると、セキュリティ文書または重要文書の表示デバイスのうち少なくとも1つは、情報を表示する場合に電力を消費する必要がないように設計される。そのような表示デバイスは、例えば、双安定表示技術を用いて実施されるとしてもよい。このような構成とすることによって、どのような場合であっても、セキュリティ文書または重要文書のこの表示デバイスに表示される情報は、利用可能な読出しデバイスがない場合でも読出し可能となる、という利点が得られる。
【0021】
本発明の一実施形態によると、複数の表示デバイスは同一技術に基づいて作成されている。特に、双安定表示技術が好ましいが、例えば、電気泳動素子、エレクトロクロミック素子または回転素子に基づく表示技術であってもよい。
【0022】
少なくとも第1および第2の表示デバイスが同一プロセッサによって駆動されるので、セキュリティ文書または重要文書内のこれら2つの表示デバイスをこの単一のプロセッサに対して接触させて接続する必要が生じる。このような構成とすることによって、改ざんおよび操作に対してある程度の安全が与えられる。
【0023】
本発明の一実施形態によると、セキュリティ文書または重要文書の厚みは、最大で2mmであり、好ましくは最大で1mm、特に最大で840μmである。そのような平坦なセキュリティ文書または重要文書の実施形態によれば、ある程度の柔軟性が得られるので取り扱いに関して利点が得られると共に、改ざんおよび操作をある程度防止するという利点が得られる。
【0024】
本発明の一実施形態によると、セキュリティ文書または重要文書は両側にそれぞれ少なくとも1つの表示デバイスを備え、該表示デバイスにはそれぞれ異なる情報を静的に、準静的に、または可変的に、表示することができる。特に、このような構成とすることによって、本発明によると、ICAOの規定に準拠し、対応する表示デバイスを用いて両側に静的、準静的、および/または可変的な情報を出力することができる、国際的に相互利用可能なセキュリティ文書または重要文書を実現することが可能となる。
【0025】
本発明の一実施形態によると、個人化データを格納するためのデータメモリを備える文書が提供される。当該文書は、個人化データを表示するための少なくとも1つの第1の表示デバイスと、暗号プロトコルを実行する手段と、個人化データを変更するためのデータメモリに対する外部書込みアクセス用のインターフェースとを備える。ここで、外部書込みアクセスは暗号プロトコルが実行済みであることを前提とする。
【0026】
本発明によれば、セキュリティ文書または重要文書に表示される変更可能な個人データを安全に変更することができるようになる。この目的を実現するべく、変更可能な個人データは、暗号プロトコルを用いて文書のデータメモリに送信され、データメモリから表示素子に表示される。このような構成とすることによって、新しい文書を発行する必要、または操作に対する安全対策を減じて個人化データを更新する必要がなくなる。
【0027】
先行技術と比較すると、このような構成とすることによって、個人化データが変更になっても、文書を新しいものと交換する必要がなくなるという利点が得られる。また、本発明によると、例えば正当な当局が刻印またはシールを追加することによって文書を修正する必要もなく、個人化データは外部書込みアクセスによって単に電子的に更新され得る。
【0028】
本発明に係るセキュリティ文書または重要文書の実施形態について相互利用可能性を実現することを目的として、例えば書込みおよび/または読出しデバイス等の端末と文書との間での安全なデータのやり取りは、ICAOが定めている国際安全基準、特にベーシックアクセスコントロール(BAC)および拡張アクセスコントロール(EAC)に準拠して行われるのが好ましい。
【0029】
本発明の一実施形態によると、文書には個人化データおよび/または識別子を出力することができる表示デバイスが備えられる。この場合、原則的には、任意の所望の表示技術を用いることができる。例を挙げると、液晶ディスプレイ(LCD)、有機発光ダイオード(OLED)、回転素子ディスプレイ、エレクトロクロミック、電気泳動および/またはエレクトロウェッティング(electrowetting)表示技術がある。本発明の実施形態によると、ディスプレイは少なくとも部分的に印刷技術を用いて塗布される。この点において、エレクトロクロミックディスプレイおよび電気泳動ディスプレイと同様にOLEDディスプレイは特に適している。
【0030】
本発明の一実施形態によると、少なくとも個人化データが、個人化データを表示する場合に電力を常時消費する必要がない双安定の表示デバイスに表示される。このような構成とすることによって、文書上に電源がなくても個人化データを読み出すことができるという利点が得られる。このような構成とすることによってさらに、文書内に集積化される電源、例えば電池または太陽電池を省略することができるという利点が得られる。
【0031】
本発明によれば、識別子、使い捨てパスワード、乱数等が表示素子に表示されると、使用されている表示技術および/または適切なプロトコルに基づいて表示された内容がトランザクション後は表示素子に表示されないようにすることが好ましい。双安定表示素子を用いる場合には、例えばトランザクションが完了した後で、その前に表示された情報を消去するべく、定義状態(「空状態」)または任意の所望の無関係の情報が表示され得る。
【0032】
本発明の一実施形態によると、文書は変更不可能な個人化データを格納するメモリ領域を有する。変更不可能な個人化データの例を挙げると、名前、生年月日、有効期限、文書番号、パスポート写真およびさらにはバイオメトリクスデータであってよい。変更不可能な個人化データは、文書上に印刷されているとしてもよく、および/または、表示デバイスのうち1つ、好ましくは双安定表示デバイスを用いて出力されるとしてもよい。変更不可能な個人化データは、暗号プロトコルが問題なく実行された後も、データメモリにおいて変更することができない。
【0033】
このようなデータは、文書が最初に発行される際にのみ、正当な当局によって文書に入力されるとしてもよい。このようなデータをディスプレイで表示すると、文書をまとめてあらかじめ大量生産することができ、後で別個に各個人用にできるという利点が得られる。これは、各個人用とするためのプロセスにセキュリティ印刷システムが必要ないためである。
【0034】
本発明の一実施形態によると、第1および第2の表示デバイスは該文書の互いに対向する面から見えるように構成されている。第1および/または第2の表示デバイスは、文書の表側または裏側の面積すべてをほぼ占めるとしてもよい。文書に個人データをまったく印刷しない場合には、このような構成から特に大きな利点が得られる。しかし、表示デバイスは、文書の表側または裏側の一部のみを占めるとしてもよい。また、静的セキュリティ印刷部分、例えば、いわゆるギロシェ(guilloches)を印刷技術を用いて文書に塗布するとしてもよい。
【0035】
本発明の一実施形態によると、表示デバイスを接触接続するための導体配線がその上または中に形成されているインレーが文書にあるとしてもよい。特に、メッキ貫通孔、いわゆるビアが、文書の異なる面から見えるように構成されている表示デバイス同士を接触接続するべく、インレー上またはインレー内に形成されているとしてもよい。
【0036】
別の実施形態によると、両側に異なる情報を表示するフレキシブルディスプレイが、文書の本体またはその一部を構成している。
【0037】
本発明の一実施形態によると、プロセッサ、データメモリ、暗号プロトコルを実行する手段、および/または、インターフェースは、集積化されて電子回路、例えば、マイクロコントローラを形成するとしてもよい。このような電子回路はインレー上またはインレー内に配置されるとしてもよい。
【0038】
本発明の一実施形態によると、当該文書は、身分証明書、パスポート、IDカード、査証、運転免許証、会社用IDカード、認証許可証等である。
【0039】
特に、当該文書は、紙ベースおよび/またはプラスチックベースおよび/またはチップカードであってもよい。
【図面の簡単な説明】
【0040】
本発明の好ましい実施形態を、添付図面を参照しつつ以下でより詳細に説明する。図面は以下の通りである。
【0041】
【図1】本発明に係る文書の一実施形態の正面を示す図である。
【0042】
【図2】図1に示した実施形態の裏側を示す図である。
【0043】
【図3】本発明に係る文書の一実施形態の正面を示す図である。
【0044】
【図4】図3に示した実施形態の裏側を示す図である。
【0045】
【図5】本発明に係る文書の一実施形態を示す断面図である。
【0046】
【図6】本発明に係る文書および本発明に係る書込みデバイスの別の実施形態を示すブロック図である。
【0047】
【図7】読出しデバイスと共に、本発明に係る文書および本発明に係る書込みデバイスの別の実施形態を示すブロック図である。
【発明を実施するための最良の形態】
【0048】
以下に記載する実施形態において、互いに対応する構成要素は同じ参照符号を用いて示す。
【0049】
図1は、文書100の正面を示す。文書100は本実施形態において身分証明書である。文書100は紙ベースおよび/またはプラスチックベースである。文書100の所有者の顔画像144ならびにそれ以外の個人化データ、例えば、文書100の所有者の名前および文書100の有効性、さらに文書100の所有者の署名例のコピーが文書100に印刷されている。文書100は、下側の縁部にいわゆるMRZ(機械可読ゾーン)ライン134を備える。表示デバイス128は、文書が生成する識別子が、文書100の正面のICAOラインの一部として、光学的に読めるようにICAOラインの内側に配置されている。
【0050】
図2は、図1に示す文書100の裏側を示す。表示デバイス118は文書100の裏側において見えるように構成されている。表示デバイス118は、例えば、文書100の所有者の住所を表示するための住所フィールドを有する。さらに、変更不可能な個人化データ、例えば署名は文書100の裏側に印刷するとしてもよい。
【0051】
図3は、文書100の別の実施形態の正面を示す。本実施形態によると、表示デバイス128は全面にわたって形成されるので、文書100の正面をほぼすべて被覆している。したがって、個人データ、好ましくは個人データすべて、例えば顔画像144、名前、有効性、署名、およびMRZ134全体は、表示デバイス128を用いて出力される。
【0052】
文書100の裏側はこのような構成に対応したものとなる(図4を参照のこと)。つまり、文書100の裏側は表示デバイス118によって形成される。表示デバイス118は、変更可能な個人化データ、つまり住所を表示すると共に、別のデータ、例えば、変更不可能な個人化データを表示するべく用いられる。さらに、静的なラベルもまた表示デバイス118によって表示され得る。例えば、データフィールドに対して対応するフィールドを指定するラベルを与える。一例を挙げると、名字フィールドに対して「名前/名字/名」といったフィールド指定を与える。このようなフィールド指定は、表示デバイス118によって表示されない場合には、例えば印刷技術に基づいて作成され得る。
【0053】
図5は、本発明に係る文書100の一実施形態の断面を示す。文書100のこの実施形態は、いわゆるスマートカードである。該文書は複数の層146、148および150から構成されている。
【0054】
層146は、インレーと呼ばれる膜から成り、インレー上には電子デバイス102が設けられている。電子デバイス102は、例えば集積化電子回路、例えばマイクロコントローラとして構成されるとしてもよい。さらに、外部端末、例えば書込みデバイスまたは読出しデバイスとの非接触式通信に用いられるアンテナ152は、層146のインレー上に設けられる。このような構成に代えて、もしくはこのような構成に加えて、電子デバイス102はコンタクトを含むインターフェースまたはデュアルインターフェースを有するとしてもよい。
【0055】
表示デバイス128および118は、層146のインレーに設置されている。これらのデバイスを電子デバイス102に接触させて接続するべく、導体配線116および130がインレーに設置されて、いわゆるビア154および156をそれぞれ用いて表示デバイス128および118を接触させて接続する。
【0056】
2つの表示デバイス118および128は、必須ではないが、同一の表示技術を用いて形成されるとしてもよい。本発明の一実施形態によると、表示デバイス128は格納機能を持たず、または限られた格納機能を持つのみで、表示画像の持続時間が比較的短い。一方、住所フィールド用の表示デバイス118は双安定ディスプレイである。このような構成に代えて、もしくはこのような構成に加えて、適切な駆動ロジックを用いて表示デバイス128が格納機能を有さないようにするとしてもよい。
【0057】
電子デバイス102によって決定される識別子が表示デバイス128に表示されることによって、光学的に読み出されるMRZ134内のデータに含まれている対応付けられた追加可変パラメータに基づいて、電子デバイス102と読出しデバイスまたは書込みデバイスとの間のデータのやり取りのための暗号化のセキュリティを改善することができる。表示デバイス128が通常の状態で画像を表示していない場合には、読出しデバイスは表示デバイス128に本当に情報が表示されていないかどうかまず確認するとしてもよい。プロトコルが双安定表示デバイスに対して実行されるとしてもよく、この場合、表示機能を持たなくても、例えばあらかじめ定められた内容がまず表示されて、その後でのみ実際の情報が表示される。このため、読出しデバイスは表示デバイスの機能を確認することができる。プロトコルの終了時においては、表示デバイスはほかの情報によって上書きされるとしてもよいし、または、情報がそれ以上表示されないとしてもよい。このような構成とすることによって、許可されていない人物は情報を読み出すことができないようにできる。このような構成によればさらに、例えば表示デバイス上にシールを貼ることによって、文書を操作することができるようになる。これは、シールが実際には静的情報を示すのみであるからである。
【0058】
住所フィールド用の表示デバイス118は、文書が読出しデバイス内になくても、つまり、電力供給を受けていなくても、何年にもわたって安定して住所を表示するべく設計されている。このため、双安定表示技術は表示デバイス118を実現するのに特に適した技術である。
【0059】
表示デバイス128も同様に双安定ディスプレイとして実現され得る。情報の操作を防ぐべく、読出しデバイスはまず特定の情報、例えば時間を電子デバイス102によって表示するように要求するとしてもよい。このような構成とすることによって、読出しデバイスは表示デバイス128の機能を確認することができる。続いて、読出しデバイスは電子デバイス102に対して識別子を生成して表示デバイス128に表示するように要求する。
【0060】
図6は、本発明に係る文書100の別の実施形態を示す。文書100は例えば紙ベースの文書またはチップカードであってよい。文書100は、個人化データ106を格納するためのデータメモリ104を有する電子デバイス102を備える。
【0061】
電子デバイス102は、文書100に関する暗号プロトコルの段階を実行するために利用されるプログラム命令110を実行するためのプロセッサ108を有する。
【0062】
電子デバイス102はさらに、書込みデバイス114の対応するインターフェース112´と通信するインターフェース112を有する。インターフェース112および112´はコンタクトを含むとしてもよく、無線型であってもよいし、デュアルインターフェースとして実現されていてもよい。特に、書込みデバイス114と文書100とによってRFIDシステムが形成されるとしてもよい。書込みデバイス114は、電子デバイス102、特にプロセッサ108に対して、インターフェース112´を介して電力を供給することができる。
【0063】
電子デバイス102は、導体配線116を用いて、表示デバイス118に接続される。表示デバイス118は、文書100上に、個人化データ106または個人化データ106の一部を表示するべく利用される。表示デバイス118は、両面型表示素子であってもよく、正面と裏面に情報が複写され得る。この場合、2つの表示デバイスは1つの両面型表示素子を用いて実現される。このような構成に代えて、もしくはこのような構成に加えて、図2から図7に示した実施形態のように、表示デバイス118に加えて少なくとも1つの別の表示デバイスが設けられるとしてもよい。
【0064】
電子デバイス102またはその一部は、集積化電子回路、例えばマイクロコントローラとして構成されるとしてもよい。
【0065】
文書100を両面型表示素子または少なくとも2つの表示デバイスによって設計することによって、特に文書100が平坦で厚みが例えば最大で2mmの場合等、文書100の構造に基づいて、改ざんに対してある程度の保護が実現される。文書100には永久的に電力が供給されるので、文書内に電源を集積化しなくてもすむようになる。このような構成は、比較的長期間にわたって文書100の機能を保証する上で利点となる。
【0066】
インターフェース112´および112は、コンタクト無しまたはデュアルインターフェースの形態をとるのが好ましい。このような構成とすることによって、上記と同様に、文書100の機能を長期間にわたって保証できるという利点が得られ、特に、インターフェース112´および112のコンタクトの腐食という問題を解決することができる。
【0067】
書込みデバイス114は、書込みデバイス114に関する暗号プロトコルの段階を実行するために利用されるプログラム命令110´を実行するためのプロセッサ120を有する。書込みデバイス114は、暗号プロトコルを実行する際には鍵122を必要とする。
【0068】
個人化データ106または個人化データの可変部分は、以下の手順に従って更新される。
【0069】
プログラム命令110および110´の実行は、暗号プロトコルを実行するために開始される。例えば、まず書込みデバイス114に対するプログラム命令110´の実行が開始され、続いて、インターフェース112´および112を介して書込みデバイス114から電子デバイス102へ制御信号が送信され、続いて、該電子デバイスにおいてプログラム命令110の実行が開始される。
【0070】
続いて、鍵122を用いて暗号プロトコルを実行する。暗号プロトコルが問題なく実行された後、プロセッサ108がデータメモリ104に対する書込みアクセスを許可して、書込みデバイス114は更新後の個人化データをインターフェース112´および112を介して電子デバイス102に送信することができる。この結果、更新後の個人化データが該電子デバイス102のデータメモリ104に格納される。この場合、個人化データ106は更新後の個人化データによって上書きされるとしてもよい。
【0071】
この結果、更新後の個人化データが表示デバイス118に表示され、文書100はこれ以外は不変のままとできる。このような構成とすることによって特に、個人化データ106を更新する際に文書100を新しいものと交換する必要がなくなる一方、暗号プロトコルによる保護のおかげで、文書100の信頼性が低減することがないように個人化データ106が更新されるという利点が得られる。
【0072】
図7は、本発明に係る文書100の別の実施形態を示す。本実施形態によると、データメモリ104は、変更可能な個人化データ106を格納することに加え、変更不可能な個人化データ124およびバイオメトリクスデータ126を格納するためにも用いられる。文書が身分証明書の場合、データメモリ104は、文書の所有者の名前および現住所は、例えば変更可能な個人化データ106として格納し、身長、生年月日および性別は変更不可能な個人化データ124として格納するとしてもよい。バイオメトリクスデータ126は、顔画像、顔の特徴、指紋データ、虹彩スキャン、または文書100の所有者に関する同様のバイオメトリクスデータであってよい。
【0073】
表示デバイス128については、双安定表示技術または他の表示技術が同様に選択されるとしてもよい。例えば、表示デバイス128はLCDまたはOLED表示デバイスとして構成されるとしてもよい。後者の場合、表示デバイス128を動作させて表示を行わせるためには電力が必要となる。
【0074】
本実施形態例によると、書込みデバイス114に変更可能な個人化データ106を更新するための権限が与えられる。このため、鍵122は書込みアクセス動作に対する「一般鍵(general key)」として構成される。鍵122は、書込みデバイス114に格納されるとしてもよいし、書込みデバイス114に挿入され得るチップカードに格納されるとしてもよいし、書込みデバイス114が通信可能な外部のサーバコンピュータに格納されるとしてもよい。
【0075】
書込みデバイス114は、キーボード140と、例えばスクリーンである表示デバイス142とを備える。
【0076】
変更不可能な個人化データ106は、以下の手順に従って更新される。
【0077】
文書100が書込みデバイス114に近づけられ、インターフェース112´および112を介して書込みデバイス114と文書100との間でデータがやり取りされ得る。このようなデータのやり取りのために、文書100は例えば、書込みデバイス114に挿入されたり、または書込みデバイス114上に載置されたりする。
【0078】
書込みデバイス114の認証ユーザは、キーボード140を用いて表示デバイス142に表示される更新後の個人化データを入力する。プログラム命令110´の実行は、キーボード140上の入力キーを操作することによって開始される。
【0079】
プロセッサ120は続いて、インターフェース112´および112を介して電子デバイス102に送信される制御信号を生成する。文書100の構成によっては、制御信号は、データメモリに対する即時アクセスを通知するべく起動信号として文書に送信される必要がある場合もある。プログラム命令132の実行が続いて開始され、例えば乱数である識別子が生成される。
【0080】
当該識別子は、表示デバイス128を用いてMRZ134の領域に出力される。ICAOライン135の領域に出力される識別子は、光センサ132を用いて書込みデバイス114によって検出される。続いてプロセッサ120によって、プログラム命令110´を実行することによって、識別子および鍵122から別の鍵を取得する。当該別の鍵は、暗号プロトコルを実行するべく用いられる。例えば、このようにして、予定されている書込みアクセスのための暗号プロトコルを問題なく実行するために必要な対称鍵または非対称鍵は生成される。
【0081】
本発明の一実施形態によると、秘密鍵と公共鍵とを含む非対称な対の鍵を、例えば、識別子と鍵122とから生成する。続いて公共鍵が、インターフェース112´および112を介して、書込みデバイス114から電子デバイス102に送信される。公共鍵によって暗号化された別の乱数を、プログラム命令132を実行することによって生成する。
【0082】
暗号化によって得られる暗号文を、インターフェース112および112´を介して電子デバイス102から書込みデバイス114に送信する。書込みデバイス114は、秘密鍵を用いて暗号文を復号化する。復号の結果は、インターフェース112´および112を介して、書込みデバイス114から電子デバイス102に送信される。
【0083】
続いて、復号結果が元々生成された乱数に対応するかどうか判断するべく、プログラム命令110を実行することによって、比較を行う。一致する場合、書込みアクセスを実行する書込みデバイス114の認証が証明され、書込みアクセスが可能となる。書込みアクセスが行われると、その結果、キーボード140を用いて先に入力された更新後の個人化データが、文書100に送信されて、データメモリ104に格納される。
【0084】
本実施形態によると、読出しデバイス136は国境警備に利用される。読出しデバイス136は基本的に、書込みデバイス114と同様に構成されている。読出しデバイス136は、プログラム命令110´´を実行するためのプロセッサ144を有する。プログラム命令110´´は、読出しデバイス136に関する暗号プロトコルの段階を実行するべく用いられる。この暗号プロトコルは、書込みデバイス114のプログラム命令110´によって実施される段階と同一であってもよいし、相違するとしてもよい。
【0085】
暗号プロトコルを実行するべく、読出しデバイス136は、読出しデバイス136に対してバイオメトリクスデータ126に対する読出しアクセスを認証する鍵122´を利用する。鍵122´は、読出しデバイス136に格納されているとしてもよいし、例えばネットワークを介してアドレス指定され得るチップカードまたはサーバコンピュータである外部の暗号化素子に格納されているとしてもよい。チップカードおよびサーバコンピュータの場合には、暗号プロトコルを実行するための暗号化アルゴリズムは、チップカードまたはサーバコンピュータにおいて実行されるのが好ましい。
【0086】
読出しデバイス136の操作方法は、書込みデバイス114の操作方法に対応し、バイオメトリクスデータ126の読出しを許可するのみの鍵122´に基づいて暗号プロトコルを実行する。暗号プロトコルが問題なく実行されると、読出しデバイス126はインターフェース112および112´´を介してバイオメトリクスデータ126を受け取ることができる。
【特許請求の範囲】
【請求項1】
少なくとも第1および第2の表示デバイス(118、128)と、
前記少なくとも第1および第2の表示デバイスを駆動するプロセッサ(102、108)と、
外部電源(114、136)から前記プロセッサに対して電力を供給するインターフェース(112)と
を備えるセキュリティ文書または重要文書。
【請求項2】
前記インターフェースは、コンタクトを有さないか、コンタクトを有するか、またはデュアルインターフェースである
請求項1に記載のセキュリティ文書または重要文書。
【請求項3】
前記第1および第2の表示デバイスは、前記セキュリティ文書または重要文書の互いに対向する側に配置されている
請求項1または2に記載のセキュリティ文書または重要文書。
【請求項4】
厚みが最大で2mmであり、最大で1mmであるのが好ましく、特に最大で850μmである
請求項1から3のいずれかに記載のセキュリティ文書または重要文書。
【請求項5】
前記第1および第2の表示デバイスのうち少なくとも1つは、前記インターフェースと前記外部電源との接続が切断されても情報を表示する
請求項1から4のいずれかに記載のセキュリティ文書または重要文書。
【請求項6】
個人化データを格納するデータメモリ(106)と、暗号プロトコルを実行する手段(108、110)とを備え、前記インターフェースは、前記データメモリに対する外部書込みアクセスを行って前記個人化データを変更し、前記外部書込みアクセスは、前記暗号プロトコルが実行済みであることを前提とする
請求項1から5のいずれかに記載のセキュリティ文書または重要文書。
【請求項7】
前記暗号プロトコルに利用される識別子を生成する手段(108、132)
を備える、請求項6に記載のセキュリティ文書または重要文書。
【請求項8】
前記識別子および第1の鍵(122)から、前記暗号プロトコルを実行する第2の鍵を生成することができる
請求項7に記載のセキュリティ文書または重要文書。
【請求項9】
前記識別子を生成する前記手段は、前記識別子がある時間間隔で変化するように設計されている
請求項7または8に記載のセキュリティ文書または重要文書。
【請求項10】
前記識別子を生成する前記手段は、外部書込みおよび/または読出しアクセス毎に識別子が生成されるように設計されている
請求項7または8に記載のセキュリティ文書または重要文書。
【請求項11】
前記識別子は乱数を含む
請求項7から10のいずれかに記載のセキュリティ文書または重要文書。
【請求項12】
前記識別子は時間を含む
請求項7から11のいずれかに記載のセキュリティ文書または重要文書。
【請求項13】
前記第1および/または第2の表示デバイスは前記識別子を表示する
請求項7から12のいずれかに記載のセキュリティ文書または重要文書。
【請求項14】
前記データメモリを用いて変更不可能な個人化データ(124)を格納し、前記第1および/または第2の表示デバイスは前記変更不可能な個人化データを表示する
請求項6から13のいずれかに記載のセキュリティ文書または重要文書。
【請求項15】
前記第1および/または第2の表示デバイスは、電気泳動ディスプレイ、エレクトロクロミックディスプレイ、エレクトロウェッティングディスプレイ、双安定ディスプレイ、回転素子ディスプレイ、LCDディスプレイまたはOLEDディスプレイである
請求項1から14のいずれかに記載のセキュリティ文書または重要文書。
【請求項16】
前記第1および/または第2の表示デバイスの一部またはすべては、印刷技術を用いて塗布される
請求項15に記載のセキュリティ文書または重要文書。
【請求項17】
前記第1および/または第2の表示デバイスは、前記識別子を表示するためには電力を消費する必要がある
請求項6から16のいずれかに記載のセキュリティ文書または重要文書。
【請求項18】
前記第1および/または第2の表示デバイスは、前記文書の面のうち1つの面の略全体を占める
請求項1から17のいずれかに記載のセキュリティ文書または重要文書。
【請求項19】
インレー(146)と前記インレーの内部または上に配置される導体配線(116、130)とを備え、前記導体配線は前記第1および/または第2の表示デバイスを前記プロセッサに接触させて接続する
請求項1から18のいずれかに記載のセキュリティ文書または重要文書。
【請求項20】
前記プロセッサ、前記データメモリ、前記暗号プロトコルを実行する前記手段、および/または前記インターフェースは、回路(102)に集積化されて、前記回路は前記インレーの内部または上に配置されている
請求項1から19のいずれかに記載のセキュリティ文書または重要文書。
【請求項21】
前記第1および/または第2の表示デバイスは、メッキ貫通孔(154、156)を用いて接触して接続されている
請求項19または20のいずれかに記載のセキュリティ文書または重要文書。
【請求項22】
前記文書は、身分証明書、パスポート、IDカード、査証、運転免許証、会社IDカード、または認証許可証等である
請求項1から21のいずれかに記載のセキュリティ文書または重要文書。
【請求項23】
前記文書は紙ベースの文書である
請求項1から22のいずれかに記載のセキュリティ文書または重要文書。
【請求項24】
前記文書はチップカードである
請求項1から23のいずれかに記載のセキュリティ文書または重要文書。
【請求項25】
前記第1および第2の表示デバイスは、単一の表示素子を用いて実現され、前記表示素子は両面に異なる情報を表示する
請求項1から24のいずれかに記載のセキュリティ文書または重要文書。
【請求項26】
請求項1から25のいずれかに記載のセキュリティ文書または重要文書(100)用の書込みデバイスであって、
前記暗号プロトコルを実行する手段(110´、120)と、
前記文書の前記データメモリ(104)に対して外部書込みアクセスを行って前記データメモリに格納されている前記個人化データを変更するインターフェース(112´)と
を備え、
前記インターフェースは前記セキュリティ文書または重要文書のプロセッサに対して電力を供給する
書込みデバイス。
【請求項27】
暗号部にアクセスして暗号アルゴリズムを実行する手段
を備える請求項26に記載の書込みデバイス。
【請求項28】
前記暗号プロトコルを実行する手段は、前記識別子と第1の鍵(122)とから形成される第2の鍵を用いて前記暗号プロトコルを実行する
請求項26または27に記載の書込みデバイス。
【請求項1】
少なくとも第1および第2の表示デバイス(118、128)と、
前記少なくとも第1および第2の表示デバイスを駆動するプロセッサ(102、108)と、
外部電源(114、136)から前記プロセッサに対して電力を供給するインターフェース(112)と
を備えるセキュリティ文書または重要文書。
【請求項2】
前記インターフェースは、コンタクトを有さないか、コンタクトを有するか、またはデュアルインターフェースである
請求項1に記載のセキュリティ文書または重要文書。
【請求項3】
前記第1および第2の表示デバイスは、前記セキュリティ文書または重要文書の互いに対向する側に配置されている
請求項1または2に記載のセキュリティ文書または重要文書。
【請求項4】
厚みが最大で2mmであり、最大で1mmであるのが好ましく、特に最大で850μmである
請求項1から3のいずれかに記載のセキュリティ文書または重要文書。
【請求項5】
前記第1および第2の表示デバイスのうち少なくとも1つは、前記インターフェースと前記外部電源との接続が切断されても情報を表示する
請求項1から4のいずれかに記載のセキュリティ文書または重要文書。
【請求項6】
個人化データを格納するデータメモリ(106)と、暗号プロトコルを実行する手段(108、110)とを備え、前記インターフェースは、前記データメモリに対する外部書込みアクセスを行って前記個人化データを変更し、前記外部書込みアクセスは、前記暗号プロトコルが実行済みであることを前提とする
請求項1から5のいずれかに記載のセキュリティ文書または重要文書。
【請求項7】
前記暗号プロトコルに利用される識別子を生成する手段(108、132)
を備える、請求項6に記載のセキュリティ文書または重要文書。
【請求項8】
前記識別子および第1の鍵(122)から、前記暗号プロトコルを実行する第2の鍵を生成することができる
請求項7に記載のセキュリティ文書または重要文書。
【請求項9】
前記識別子を生成する前記手段は、前記識別子がある時間間隔で変化するように設計されている
請求項7または8に記載のセキュリティ文書または重要文書。
【請求項10】
前記識別子を生成する前記手段は、外部書込みおよび/または読出しアクセス毎に識別子が生成されるように設計されている
請求項7または8に記載のセキュリティ文書または重要文書。
【請求項11】
前記識別子は乱数を含む
請求項7から10のいずれかに記載のセキュリティ文書または重要文書。
【請求項12】
前記識別子は時間を含む
請求項7から11のいずれかに記載のセキュリティ文書または重要文書。
【請求項13】
前記第1および/または第2の表示デバイスは前記識別子を表示する
請求項7から12のいずれかに記載のセキュリティ文書または重要文書。
【請求項14】
前記データメモリを用いて変更不可能な個人化データ(124)を格納し、前記第1および/または第2の表示デバイスは前記変更不可能な個人化データを表示する
請求項6から13のいずれかに記載のセキュリティ文書または重要文書。
【請求項15】
前記第1および/または第2の表示デバイスは、電気泳動ディスプレイ、エレクトロクロミックディスプレイ、エレクトロウェッティングディスプレイ、双安定ディスプレイ、回転素子ディスプレイ、LCDディスプレイまたはOLEDディスプレイである
請求項1から14のいずれかに記載のセキュリティ文書または重要文書。
【請求項16】
前記第1および/または第2の表示デバイスの一部またはすべては、印刷技術を用いて塗布される
請求項15に記載のセキュリティ文書または重要文書。
【請求項17】
前記第1および/または第2の表示デバイスは、前記識別子を表示するためには電力を消費する必要がある
請求項6から16のいずれかに記載のセキュリティ文書または重要文書。
【請求項18】
前記第1および/または第2の表示デバイスは、前記文書の面のうち1つの面の略全体を占める
請求項1から17のいずれかに記載のセキュリティ文書または重要文書。
【請求項19】
インレー(146)と前記インレーの内部または上に配置される導体配線(116、130)とを備え、前記導体配線は前記第1および/または第2の表示デバイスを前記プロセッサに接触させて接続する
請求項1から18のいずれかに記載のセキュリティ文書または重要文書。
【請求項20】
前記プロセッサ、前記データメモリ、前記暗号プロトコルを実行する前記手段、および/または前記インターフェースは、回路(102)に集積化されて、前記回路は前記インレーの内部または上に配置されている
請求項1から19のいずれかに記載のセキュリティ文書または重要文書。
【請求項21】
前記第1および/または第2の表示デバイスは、メッキ貫通孔(154、156)を用いて接触して接続されている
請求項19または20のいずれかに記載のセキュリティ文書または重要文書。
【請求項22】
前記文書は、身分証明書、パスポート、IDカード、査証、運転免許証、会社IDカード、または認証許可証等である
請求項1から21のいずれかに記載のセキュリティ文書または重要文書。
【請求項23】
前記文書は紙ベースの文書である
請求項1から22のいずれかに記載のセキュリティ文書または重要文書。
【請求項24】
前記文書はチップカードである
請求項1から23のいずれかに記載のセキュリティ文書または重要文書。
【請求項25】
前記第1および第2の表示デバイスは、単一の表示素子を用いて実現され、前記表示素子は両面に異なる情報を表示する
請求項1から24のいずれかに記載のセキュリティ文書または重要文書。
【請求項26】
請求項1から25のいずれかに記載のセキュリティ文書または重要文書(100)用の書込みデバイスであって、
前記暗号プロトコルを実行する手段(110´、120)と、
前記文書の前記データメモリ(104)に対して外部書込みアクセスを行って前記データメモリに格納されている前記個人化データを変更するインターフェース(112´)と
を備え、
前記インターフェースは前記セキュリティ文書または重要文書のプロセッサに対して電力を供給する
書込みデバイス。
【請求項27】
暗号部にアクセスして暗号アルゴリズムを実行する手段
を備える請求項26に記載の書込みデバイス。
【請求項28】
前記暗号プロトコルを実行する手段は、前記識別子と第1の鍵(122)とから形成される第2の鍵を用いて前記暗号プロトコルを実行する
請求項26または27に記載の書込みデバイス。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公表番号】特表2009−541883(P2009−541883A)
【公表日】平成21年11月26日(2009.11.26)
【国際特許分類】
【出願番号】特願2009−517190(P2009−517190)
【出願日】平成19年6月27日(2007.6.27)
【国際出願番号】PCT/EP2007/056416
【国際公開番号】WO2008/000764
【国際公開日】平成20年1月3日(2008.1.3)
【出願人】(599147447)ブンデスドルケライ ゲーエムベーハー (21)
【氏名又は名称原語表記】BUNDESDRUKEREI GMBH
【Fターム(参考)】
【公表日】平成21年11月26日(2009.11.26)
【国際特許分類】
【出願日】平成19年6月27日(2007.6.27)
【国際出願番号】PCT/EP2007/056416
【国際公開番号】WO2008/000764
【国際公開日】平成20年1月3日(2008.1.3)
【出願人】(599147447)ブンデスドルケライ ゲーエムベーハー (21)
【氏名又は名称原語表記】BUNDESDRUKEREI GMBH
【Fターム(参考)】
[ Back to top ]