暗号化データを用いる装置及び方法
本発明は、装置(DEV)と、装置(DEV)の第1のメモリ(MEM1)に記憶された暗号化データ(DATenc)を用いる、対応する方法に関する。装置(DEV)は、更に耐タンパリング性が高い第2のメモリ(MEM2)を更に備える。暗号化データ(DATenc)が第1のメモリ(MEM1)から読み取られ、暗号化データ(DATenc)が、関連した鍵(K)によって復号され、復号データ(DAT)が第2のメモリ(MEM2)に記憶される。よって、装置(DEV)上に記憶された暗号化データ(DATenc)は、復号データ(DAT)のアクセスを装置(DEV)の所有者に許可することなく復号形式で用いることが可能である。1つのアプリケーションは、モバイル装置による多数のスマート・カード・アプリケーションのエミュレーションである。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、第1のメモリと、耐タンパリング性が更に高い第2のメモリとを備える装置に関する。更に、本発明は、第1のメモリに記憶された暗号化データを用いる方法に関する。
【背景技術】
【0002】
認可された個人のみに機密データのアクセスを可能にすることは、従来技術において周知の課題である。解決策の1つは、耐タンパリング性領域に(すなわち、事実上読み出すことが可能でないメモリに)機密データを記憶することである。前述の領域には例えば、スマート・カードがある。スマート・カードは、特に金融アプリケーションにおける機密データに、広く用いられている。ここでは、データ担体の所有者は、データ自体の所有者でない。このデータは例えば、銀行が所有するものである。メモリを、耐タンパリング性の高いものにするには多くの技術的な機能を必要とするので、スマート・カードや前述のメモリは比較的高価である。よって、非常にセキュアなメモリに大量のデータを記憶することは経済的でない。
【0003】
前述のアプリケーションの場合、解決策には、大量記憶装置上に暗号化データを記憶し、認可された個人に、関連した鍵を供給することがある。一般に、別個のデータ記憶手段をこの理由で用いる。よって、鍵を、例えば、電子アクセス・カードの形態で供給することが可能である。あるいは、鍵がフロッピー(登録商標)・ディスク上に供給されるか、又は単に紙上に印刷される一方、暗号化データは例えば、公にアクセス可能なサーバ上に記憶される。上記鍵が犯罪者の手に渡らないものとすれば、データはセキュアである。
【0004】
特定の状況下では、記憶装置上のデータが、復号形式でアクセス可能であることが有用である一方、データ担体の所有者は、データを変更することを認可されていないか、又はデータを読むことも認可されていない。一例には、実行することが可能な状態になる前に復号しなければならない実行可能な暗号化コードがある。しかし、このことにはセキュリティ・リスクが伴う。データが復号されているからである。更に、例えば、ハード・ディスクの耐タンパリング性を高くすることが極めて不可能であるからである。よって、アクセスを有することが可能でない、データ担体の所有者がデータをアクセスすることが可能になる。よって、この場合、データ担体として、セキュアなメモリ(例えば、スマート・カードなど)を選んでいる。データ(例えば、コード化された命令)は、そのまま記憶することが可能であり、いずれにせよセキュアであるからである。一方、データの容量の一層の増加によって、技術上の労力、及び、耐タンパリング性が高い大容量メモリの生産コストが増える。
【発明の開示】
【発明が解決しようとする課題】
【0005】
ここで、本発明の課題は、前述の欠点を解決し、復号データのアクセスを装置の所有者に可能にすることなく、装置上に記憶された暗号化データを復号形式で用いることが可能な装置及び方法を提供することである。
【課題を解決するための手段】
【0006】
本発明の課題は、
第1のメモリと、
耐タンパリング性が更に高い第2のメモリと、
暗号化データを第1のメモリから読み取る手段と、
関連した鍵によって暗号化データを復号する手段と、
復号データを第2のメモリに記憶する手段とを備える装置によって解決される。
【0007】
上記課題は、装置の第1のメモリに記憶された暗号化データを用いる方法によって更に解決される。この装置は、耐タンパリング性が更に高い第2のメモリを更に備え、上記方法は、
暗号化データを第1のメモリから読み取る工程と、
暗号化データを、関連した鍵によって復号する工程と、
復号データを第2のメモリに記憶する工程とを備える。
【0008】
このようにして、従来技術の制約を解決することが可能である。一方で、暗号化データを永久的に記憶する、大容量で、安価な(、かつセキュアでない)第1のメモリを用い、用いる予定の場合に復号データを一時的に記憶する、小容量で、安価な(、かつセキュアな)第2のメモリを用いることが可能である。この第2のメモリは、いくつかのアプリケーションによって共有し、それによって、技術上の労力及び費用を減らすことが可能である。
【0009】
これは、第2のメモリ及び復号手段がNFCインタフェースの一部である場合に効果的である。NFC(近距離通信)技術は、非接触型識別(すなわち、RFID技術)と相互接続技術との組み合わせから発展している。NFCは、13.56MHz周波数領域において、通常数センチメートルの距離にわたって動作するものであるが、技術者は、更に長距離(最大1m)で動作するシステムにも取り組んでいる。NFC技術は、ISO18092、ECMA340及びETSI TS102190において標準化されている。NFCは、ISO14443に基づいて大まかに定められた非接触型スマート・カード・インフラストラクチャにも準拠する。NFCインタフェースは今日、携帯電話機及び他のモバイル装置において広く用いられている。前述のインタフェースは通常、耐タンパリング性メモリ及び暗号化/復号モジュールも既に備えている。よって、前述のモジュールを本発明に用いることが好ましい。
【0010】
本発明のアプリケーションとして想定されるものの1つには、いくつかのスマート・カードをエミュレートする装置がある。前述の装置は一般に、例えば、国際公開第01/93212号パンフレット及び国際公開第04/57890号パンフレットによって知られている。用いる対象のスマート・カード・データがNFCインタフェースに供給されると、装置はリーダ(通常、データの書き込みも行うようにした、NFC/RFID通信用の受電読み取り装置)と通信することが可能である。本発明によれば、スマート・カード・アプリケーションを表す暗号化データがここで復号され、効果的には、NFCインタフェースの第2のメモリにロードされる。
【0011】
上記装置を動作させる機能を記憶するよう第1のメモリが更に形成された場合に更に効果的である。装置は通常、装置のオペレーティング・システムを記憶する、セキュアでない主メモリを備える。この実施例では、オペレ―ティング・システムの暗号化データ及び機能が第1のメモリに記憶される。よって、第1のメモリは、共同作用的に用いられる。
【0012】
最後に、上記鍵を記憶するよう第2のメモリが形成される場合に効果的である。一部のアプリケーションの場合、暗号化データを復号する鍵が装置自体に記憶されている場合に有利である。この場合、上記鍵は、暗号化データの悪用がないようにするために耐タンパリング性が高い第2のメモリに記憶すべきである。
【0013】
本発明の方法の効果的な実施例を更に表す。この実施例では、データがもう用いられていない場合に、
データを第2のメモリから読み取る工程と、
データを、関連した鍵によって暗号化する工程と、
暗号化データを第1のメモリに記憶する工程が行われる。
【0014】
ここでは、変更されたデータを、後の使用のために記憶することが可能である。よって、データを第2のメモリから読み取り、暗号化し、もう一度、第1のメモリに書き込んで、一方で、別のアプリケーションのために第2のメモリを空け、他方で、変更されたデータを永久的に記憶する。
【0015】
上記鍵が遠隔装置によって供給される場合にも有利である。この場合、装置は、暗号化スマート・カード・アプリケーションなどの暗号化データしか記憶しない。暗号化データを用いる予定の場合には、関連した鍵がリーダから装置に送出され、暗号化データを復号するためにそこで用いられる。
【0016】
本発明の効果的な実施例は、方法によって表す。この方法では、以下の工程を、暗号化データを構成する多数の暗号化データ組のうちの1つを用いるために行う。
【0017】
a)乱数を生成する工程と、
b)暗号化データ組に関連した鍵によって乱数を暗号化し、これを遠隔装置に送信する工程と、
c)復号した数を遠隔装置から受信する工程と、
d)生成された乱数を、復号した受信数と比較する工程と、
e)暗号化データ組を、上記関連した鍵によって復号し、比較の結果が真の場合、復号データ組を第2のメモリに記憶し、比較の結果が偽の場合、更なる暗号化データ組に関連した鍵によって工程a)乃至e)を行う工程。
【0018】
例えば、複数のスマート・カード・アプリケーションを表す多数のデータ組の場合、暗号化データ組のどれを用いることとするか(すなわち、どのスマート・カード・アプリケーションをリーダに提示することとするか)を決定する必要がある。暗号化データ組に関連した鍵が装置内に記憶され、リーダ内にも記憶されるものとすれば(更に、対称暗号を前提とする)、前述の手順は、どの暗号化データ組を選ぶものとするかを判定するうえで有利な手順である。非対称暗号を用いる場合、同一の鍵の代わりに秘密鍵及び公開鍵を用いなければならない。よって、乱数を秘密鍵によって暗号化することが可能であり、公開鍵によって復号することが可能であり、逆も同様である。この手順の利点は、鍵が無線通信には全く現れないことである。さもなければ、理論上は、かぎ出すことが可能である。
【0019】
非常に類似した実施例を方法によって表す。この方法では、以下の工程を、暗号化データを構成する多数の暗号化データ組のうちの1つを用いるために行う。
【0020】
a)乱数を生成し、これを遠隔装置に送信する工程と、
b)暗号化された数を遠隔装置から受信する工程と、
c)暗号化データ組に関連した鍵によって、暗号化された数を復号する工程と、
d)生成された乱数を、復号した受信数と比較する工程と、
e)暗号化データ組を、上記関連した鍵によって復号し、比較の結果が真の場合、復号データ組を第2のメモリに記憶し、比較の結果が偽の場合、更なる暗号化データ組に関連した鍵によって工程c)乃至e)を行う工程。
【0021】
簡単に言えば、乱数の暗号化の場所と、乱数の復号の場所は変わる。このケースでは、乱数がリーダ内で暗号化され、装置内でもう一度復号される。一方、前述の実施例では、乱数が装置内で暗号化され、リーダ内でもう一度復号される。乱数はここでは1度のみ暗号化されるので、処理速度における利点が存在する。yが、適切な鍵を見つけるのに必要なサイクル数を示す整数である場合、このケースでは、y+1個の暗号化工程又は復号工程が存在しているが、先行する方法が用いられる場合、2y個の工程が必要である。
【0022】
なお別の効果的な実施例として、暗号化データを構成する多数の暗号化データ組のうちの1つを用いるために以下の工程が行われる方法がある。
【0023】
装置の位置を判定する工程と、
この位置に関連した暗号化データ組を判定する工程と、
暗号化データ組を関連した鍵によって復号し、復号データ組を第2のメモリに記憶する工程。
【0024】
ここでは、装置の地理的場所が、用いる対象の暗号化データ組の決定の役目を担う。位置を判定する手段は例えば、GPS受信器である。更に、結果として生じる更に大きな領域が特定のアプリケーションに対してやはり十分である場合に、GSMネットワーク又はUMTSネットワークのセル識別を、装置の場所を判定するのに用いることが可能である。最後に、いくつかの基地局からの無線信号の強度を評価して位置をより正確に判定することが可能である。好ましい実施例は、必要な情報が互いにリンクされたテーブルを備える。
【0025】
更に効果的なものとして、暗号化データを構成する多数の暗号化データ組のうちの1つを用いるために以下の工程が行われる方法がある。
【0026】
識別情報を遠隔装置から受信する工程と、
識別情報に関連した暗号化データ組を判定する工程と、
暗号化データ組を、関連した鍵によって復号し、復号データ組を第2のメモリに記憶する工程。
【0027】
リーダから装置に暗号化データ組の識別情報を単に送出することによって特定の暗号化データ組を選ぶ可能性が更に存在している。公共輸送機関のサービスが「ロンドン地下鉄」と呼ばれるものとすれば、この情報は装置に送出されることになる。テーブルによって、適切な暗号化データ組を容易に見つけることが可能である。
【0028】
本発明の方法が以下の初期工程を備える場合には更に有利である。
【0029】
暗号化データを第1のメモリに記憶する工程と、
暗号化鍵を復号する鍵を第2のメモリに記憶する工程。
【0030】
サービスを設定するために、暗号化データが、遠隔装置から上記装置に送信され、第1のメモリに記憶される。暗号化データは、セキュリティ・リスクを通常、有しないので、セキュアでない接続を介して(例えば、セキュアでないインターネット接続を介して)送信することが可能である。GPRSダウンロードも適用可能である。鍵は、サービス・プロバイダの店舗において供給することが可能である。「ロンドン地下鉄」に戻れば、このことは、自らの装置を顧客が店舗に持ち込み、店舗では、ロンドン地下鉄の従業員が鍵を装置に記憶することを意味することになる。よって、暗号化データの不正使用は、ほとんど不可能である。
【0031】
更に有利な方法は、以下の初期工程を備える。
【0032】
復号形式におけるデータを遠隔装置から受信する初期工程と、
装置においてランダム鍵を生成する初期工程と、
データを上記鍵によって暗号化し、暗号化データを第1のメモリに記憶する初期工程と、
上記鍵を第2のメモリに記憶する初期工程。
【0033】
この場合、セキュアな接続を介してデータを送信する必要がある。データが暗号化されていないからである。想定される可能性としては、セキュア・インターネット接続及び近距離通信がある。更に想定可能なものとしては、前述のような店舗におけるサービス初期化がある。データは、受信されると、ランダム鍵によって暗号化される。その後、暗号化データが第1のメモリに記憶され、鍵が第2のメモリに記憶され、それをもってサービス初期化が完了する。
【0034】
最後に、本発明の方法が以下の初期工程を備えることが効果的である。
【0035】
暗号化データを遠隔装置から受信する初期工程と、
耐タンパリング性が高い通信チャネルを介して鍵を受信する初期工程と、
暗号化データを第1のメモリに記憶する初期工程と、
鍵を第2のメモリに記憶する初期工程。
【0036】
前述の通り、暗号化データを、セキュアでない接続を介して送信することが可能である。対照的に、関連した鍵は、セキュア接続を介して送信し、後に、セキュアな第2のメモリに記憶すべきである。よって、前述の接続の範囲が限定されることが理由で、かぎ出すことが容易に可能な訳でない近距離無線通信が好ましい。暗号化鍵が装置に送信され、装置で、それが秘密アルゴリズムによって(特に、ユーザ入力によって更に)復号される。よって、コードを顧客に向けて「通常」郵便によって送出することが可能である。その後、顧客は暗号化データ及び暗号化鍵をダウンロードすることが可能である。耐タンパリング性が高い領域において実行するのでかぎ出すことが可能でない秘密アルゴリズムに暗号化鍵もコードも入力される。この復号の結果は、暗号化データを復号する鍵であり、これは後に第2のメモリに記憶される。
【0037】
暗号化データ組の鍵が第2のメモリに記憶されると、暗号化データ組の更新は簡単である。「ロンドン地下鉄」がソフトウェアのアップグレードを行ったとした場合、顧客は、自らの装置を、サービス・プロバイダの店舗にもう一度持ち込むことなく、更新された暗号化データを、セキュアでない接続を介してダウンロードすることが可能である。
【発明を実施するための最良の形態】
【0038】
本発明を次に更に詳細に、本発明の効果的な実施例を示す添付図面によって説明する。なお、本願記載例は、本発明の広い範囲を狭くする役目を担うものでない。
【実施例】
【0039】
図1は、装置DEV、並びにサーバSER及びリーダRDによって構成される2つの遠隔装置を備える配置を示す。装置DEVは、この例では、携帯電話機又はPDAであり、第1のメモリMEM1、及び耐タンパリング性が更に高い第2のメモリMEM2、並びに暗号化/復号モジュールENC/DECを備える。第1のメモリMEM1はこの例では、装置DEVの利用に必要なオペレ―ティング・システム及びその他のデータのためのメモリであるものとする。通常、装置DEVの主メモリを悪用から保護する手順がないか、又は軽微なものしかないので、前述のメモリに記憶されたデータを変更することが通常、極めて容易である。よって、機密データ(例えば、携帯電話機の場合、IMSI(国際移動体加入者識別情報)が、耐タンパリング性メモリ(例えば、SIM(加入者識別モジュール))に記憶される。更なる例は、携帯電話機の一部であるものと、携帯電話機によってエミュレートされるものとのそれぞれに一層なってきているスマート・カードである。この意味合いでは、近距離通信(NFC)の標準によって動作するインタフェースについても述べなければならない。このインタフェースは、リーダRDとの近距離通信を達成し、通常、耐タンパリング性メモリ、及び暗号化及び復号の手段も備える。よって、この例では、第2のメモリMEM2及び暗号化/復号モジュールENC/DECは、NFC(近距離通信)インタフェースINTの一部である。
【0040】
配置の機能は以下の通りである。第1の工程では、リーダRDは、NFC標準によって通信することもでき、暗号化データDATencを装置DEVに送信する(実線)。このケースでは、暗号化データDATencは、用いることが可能な状態になる前に装置DEVにインストールしなければならない、公共輸送機関における切符販売のアプリケーションを表す。受信すると、暗号化データDATencはよって、第1のメモリMEM1に記憶される。
【0041】
あるいは、暗号化データDATencもサーバSERによって供給することが可能である。これは、サーバSERから装置DEVへの破線によって示す。この場合、サーバSERがインターネットの一部であり、前述のアプリケーションを保持するものとする。要求によって、相対的に高速な(、かつ、セキュアでない)インターネット接続を介してダウンロードすることが可能である。上記要求は、装置DEVによって直接、又はリーダRDによってサーバSERに送出することが可能である。
【0042】
基本的には、装置DEVはもう用いることができる。よって、装置DEVがリーダRD付近にある場合、鍵Kが、第2の工程で、リーダRDから装置DEVに送出される(実線)。第3の工程では、暗号化データDATencが第1のメモリMEM1から読み取られ、暗号化/復号モジュールENC/DEC、及びリーダRDから受信される鍵Kによって復号される。第4の工程では、この復号の結果であるデータDATが第2のメモリMEM2に記憶される。ここで、装置DEVとリーダRDとの間の通信が、従来技術のシステムから分かるので行われ得る。データDATは、変数及びコードも備え得る。
【0043】
別の実施例では、鍵Kは、サービスの初期化中に(すなわち、暗号化データDATAencがリーダRD又はサーバSERから受信されると)装置DEVに記憶される。暗号化データDATAencは、前述のセキュアでない通信チャネルを介して送信することが可能である。唯一の制約は、鍵Kの秘密を保つことである。よって、小容量鍵Kが、低速であるがセキュアな近距離通信(破点線)を介して送信され、第2のメモリMEM2に記憶される。
【0044】
基本的には、装置DEVはやはり、もう用いることができる。この手順は、リーダRDによって遠隔で開始する代わりに、例えば、手作業で開始することが可能である。更に、前述の方法とは対照的に、鍵KはリーダRDから受信されないが、第2のメモリMEM2から暗号化/復号モジュールENC/DECに送信される。やはり、暗号化データDATencが復号され、この復号の結果であるデータDATが第2のメモリMEM2に記憶される。装置DEVとリーダRDとの間の通信は前述のように行われ得る。
【0045】
装置DEVとリーダRDとの間の通信チャネルはセキュアであるものとする。更に、第2のメモリMEM2は前述の通り、耐タンパリング性を有する。よって、暗号化データDATAencをみだりに用いるために鍵Kを不正使用し、例えば、支払うことなくチケットを購入することは可能でない。この方法の利点は、一般に、太容量のメモリ空間を用いるアプリケーションを安価な標準的なメモリに記憶することが可能であり、耐タンパリング性を有する高価な第2メモリMEM2に一時的にロードされる。このようにして、以下に更に詳細に説明するようにいくつかのサービス間での共有が可能である。
【0046】
図2はやはり、サーバSER及びリーダRDによって構成される2つの遠隔装置と組み合わせて示す、本発明の装置DEVの別の実施例を示す。図1に加えて、装置DEVは、NFCインタフェースINTの一部である乱数生成器RANDを備える。
【0047】
図2の配置の機能は以下の通りである。まず、非暗号化データDATがリーダRDから装置DEVに近距離通信を介して送信され(実線)、第2のメモリMEM2に記憶される。第2の工程では、ランダム鍵Kが乱数生成器RANDによって生成され、第2のメモリMEM2に記憶され、更に、暗号化/復号モジュールENC/DECに送出される。第3の工程では、データDATが鍵Kによって、暗号化/復号モジュールENC/DECによって暗号化される。最後に、この工程の結果、暗号化データDATencが第1のメモリMEM1に第4の工程で記憶される。
【0048】
やはり、データDATは、サーバSERによっても送信することが可能である(破線)。図1の実施例とは対照的に、ここでは、セキュアな通信チャネルがサーバSERと装置DEVとの間で存在すべきである。データDATが暗号化されていないからである。データDATが耐タンパリング性通信チャネルを介して(例えば、社内ネットワークによって)サーバSERからリーダRDに送信され(破点線)、次いで、短距離無線通信リンクを介して装置DEVに送信されることも想定可能である。
【0049】
最後に、図3は、暗号化データ組(DS1enc..DSxenc)を用いることが可能な方法を示す。この例の場合、暗号化データDATencが、別々のスマート・カード・アプリケーション(すなわち、公共輸送機関に1つ、映画チケット販売に1つ、企業のIDカードに1つ等)を表すいくつかの暗号化データ組(DS1enc..DSnenc)に分けられるものとする。これらの暗号化データ組(DS1enc..DSnenc)は、図1又は図2に示す初期化ルーチン中に予め記憶されている。アプリケーションが別のやり方で(例えば、装置DEV(例えば、携帯電話機)のプロバイダによって直接)記憶されていることも考えられる。各暗号化データ組(DS1enc..DSnenc)は、第2のメモリMEM2に記憶された、関連した鍵K1..Knを有する。図2と対照的に、装置DEVは比較器COMPを更に備え、リーダRDは暗号化/復号モジュールENC/DEC’を更に備える。
【0050】
図3の配置の機能は以下の通りである。装置DEVは、リーダRD付近にある場合、暗号化データ組(DS1enc..DSnenc)によって表されるアプリケーションのどれを選ばなければならないかを定めなければならない。このことは、手作業による選択によって行うことが可能である。しかし、装置DEVのユーザを楽にするために、以下の手順を提案する。
【0051】
第1の工程では、乱数Rが乱数生成器RANDによって生成される。第2の工程では、この乱数Rは鍵Kxによって暗号化される。この鍵Kxは、関連した暗号化データ組DSxの復号にも用いられる。後に、暗号化された乱数Rencがリーダに第3の工程で送信される。第4の工程では、暗号化された乱数Rencがリーダ鍵Krdによって、暗号化/復号モジュールENC/DEC’によって復号される。この処理の結果、第5の工程で、リーダ乱数Rrdは次いでもう一度装置DEVに送出され、比較器COMPによって元の乱数Rと比較される。
【0052】
比較の結果が真である(すなわち、乱数R及びリーダ乱数Rrdが同一である)場合、正しい鍵Kxが見出される(正しい処理には、対称暗号化、並びに同一の暗鍵Kx及びKrdを前提とする)。次いで、第6の工程では、鍵Kxに関連した暗号化データ組Dsxencが、暗号化/復号モジュールENC/DEC、及び鍵Kxによって復号される。第7の工程では、復号の結果(データDSx)が第2のメモリMEM2に記憶される(破線)。ここで、装置DEVは、例えば、公共輸送機関に用いることができる。
【0053】
比較の結果が偽である(乱数R及びリーダ乱数Rrdが同一でない)場合、新たな乱数Rが生成され、サイクルが、次の暗号化データ組DSx+1enc及び次の関連鍵Kx+1によってやはり開始される。上記サイクルは、前述の比較の結果が真になるまで再帰的に行われる。
【0054】
第2のメモリMEM2に記憶された順序で鍵(K1..Kn)が試されることは必須でない。用いられる頻度によって別々の重みを鍵K1..Knが有するようにし、それによってサーチ時間を削減することも可能である。ここでは、サーチは、正しいものである可能性が最大の鍵Kxによって開始される。
【0055】
関連した暗号化デ―タ組DSxを復号するための鍵Kxとは別の鍵を、適切なアプリケーションを選ぶのに用いることも想定可能である。よって、各暗号化データ組DSxが2つの鍵(復号のための1つ、及びリーダ鍵Krdと同一である1つ)と関連付けられる。
【0056】
更に、対称暗号化を用いることは必要でない。公開鍵及び秘密鍵を用いた非対称暗号化を用いることも想定可能である。
【0057】
暗号化/復号モジュールENC/DEC、乱数生成器RAND及び比較器COMPがNFCインタフェースINTの一部でなくてもよいことも分かる。いずれにせよ、上記配置が好ましいが、それは、NFCインタフェースINTが全体として、耐タンパリング性を有しているか、又は、装置DEVの残りの部分よりも耐タンパリング性が少なくとも高いからである。
【0058】
更に、乱数RがリーダRDに直接送出され、暗号化/復号モジュールENC/DEC’及びリーダ鍵Krdによって暗号化される。後に、暗号化リーダ乱数Rrdは装置DEVにもう一度送出される。装置DEVでは、暗号化データ組DSxencに関連付けられた鍵Kxによって復号される。元の乱数R及び復号リーダ乱数Rrdが同じ場合、やはり、適切な暗号化データ組DSxencが見出される。
【0059】
最後に、多数の暗号化データ組(DS1enc..DSnenc)のうちの1つを選ぶために、識別IDをリーダ装置RDから装置RDに送出することが可能である(破点線)。装置DEVは識別IDを受信し、関連した暗号化データ組DSx及び関連した鍵Kxを判定する。暗号化データ組DSxは、用いるために、前述のように第2のメモリMEM2にロードされる。
【0060】
最後の実施例では、アプリケーションを選ぶことは別のやり方で行われる。ここでは、装置DEVの(地理的)位置が第1の工程で判定される。これは、携帯電話機の場合、セル識別を用いることによって達成することが可能であり、GPS受信器が利用可能な場合、緯度経度を用いることによって達成することが可能である。第2の工程では、上記位置と関係付けられる暗号化データ組DSxencが判定され、第3の工程では、暗号化データ組DSxencが、関連付けられた鍵Kxによって復号される。最後に、復号データDSxがやはり第2のメモリMEM2に記憶される。
【0061】
好ましくは、テーブルが、前述のリンク全てを備える装置DEVに記憶される。よって、テーブル内の線(すなわち、別個のアプリケーションを表す各線)は3つのフィールド(暗号化データ組DSxへのリンクのための1つ、鍵Kxのための1つ、及び位置のための1つ)を有する。アプリケーションの時間依存性実行も想定可能である(図3による方法の場合も可能である)。
【0062】
次に図4は、サービスの識別ID、第1のメモリMEM1内の暗号化データ組DSx(エミュレートされたスマート・カード)のアドレスADDR、鍵K、無線ネットワークのセル識別ID、緯度LAT及び経度LON、並びに時間範囲TIMを備える例示的なテーブルを示す。2つのアプリケーション(1つは公共輸送機関用、もう1つは映画チケット販売用)が現在記憶されている。テーブルは、鍵Kを備えているので、好ましくは。第2のメモリMEM2に記憶される。何れにせよ、テーブルは2つの部分(重要でないデータは、第1のメモリMEM1に記憶され、機密データは第2のメモリMEM2に記憶される)に分離することが可能である。
【0063】
テーブルの第1の行は、地下鉄の事業者である「ロンドン地下鉄」のデータを備える。第1のメモリMEM1における適切な暗号化データ組DSxencのアドレスADDRは「0F01」であり、暗号化データ組DSxencを復号する鍵Kは「A15B」であり、何れも16進数形式である。ロンドン地下鉄の場合、アプリケーションの選択が、GPS受信器によって行われるものとする。よって、セル識別IDは省略している。アプリケーションが選択される場所は、その代わりに、緯度LAT0°12’10’’及び経度LON85°52’60’’によって示される。図4は、単純化したテーブルを示しているに過ぎない。一般に、別々の地下鉄駅を示す、より多くの行が存在することになる。あるいは、緯度LAT及び経度LONの範囲は、特定のアプリケーションと関連付けることが可能である。ロンドン地下鉄は一日中営業しているので、時間範囲TIMのフィールドは省略している。よって、装置DEVが、前述の場所に来る都度、関連付けられた暗号化データ組DSxencが復号され、第2のメモリMEM2に記憶される。このことは、場所の変更によって、又は関連したリーダRDの要求によって起こり得る。
【0064】
テーブルの第2の行は、映画会社である「ユニバーサル・ピクチャーズ」のデータを有する。第1のメモリMEM1における適切な暗号化データ組DSxencのアドレスADDRは「0FFA」であり、暗号化データ組DSxencを復号するための鍵Kは「3421」であり、やはり何れも16進数形式である。この場合、移動体ネットワークのセル識別が評価される。よって、フィールド・セル識別IDは、ネットワーク・プロバイダであるブリティッシュ・テレコム社のセルID06を示す。よって、緯度LAT及び経度LONは省略している。行1のサービスと対照的に、ユニバーサル・ピクチャーズのアプリケーションが、19:00から24:00までの営業時間中にのみ選ばれる。要するに、関連した暗号化データ組DSxencは、装置DEVが19:00と24:00との間にセルID06内にある場合に、復号され、第2のメモリMEM2に記憶される。
【0065】
暗号化データ組DSxの選択は手作業でも行うことが可能であることが分かる。特に、適切なデータ組DSxを自動的に選ぶことが可能でない場合、これは、貴重な更なる可能性である。
【0066】
更に、本発明がスマート・カードのアプリケーションに限定されるものでないことを更に述べる。むしろ、暗号化データを復号しなければならない装置(特に、セキュアな第2メモリを有する特定の適合PC)が適切である。装置DEVがリーダRDと通信することは必要でない。2つの同様な装置DEV(例えば、2つのNFC互換携帯電話機)間で通信が行われることが想定可能である。一アプリケーションは、それぞれが暗号化アカウントを備えた、2つの電話機間の(ディジタル)マネーの交換であり得る。
【0067】
なお、上記実施例は本発明を限定するよりも例証するものであり、特許請求の範囲記載の範囲から逸脱することなく別の多くの実施例を当業者が企図することができるであろう。特許請求の範囲では、括弧内にある参照符号は何れも、本特許請求の範囲を限定するものとして解釈されないものとする。「comprising」、「comprises」の語、及び同様な語は、特許請求の範囲又は明細書全体に記載のもの以外の構成要素若しくは工程が存在することを排除するものでない。構成要素の単数形の記載は、前述の構成要素の複数形の記載を排除するものでなく、逆も同様である。いくつかの手段を列挙した装置クレームでは、これらの手段のいくつかを、同一のハードウェア・アイテム又はソフトウェア・アイテムによって実施することができる。単に特定の方策が互いに別々の従属請求項に記載されていることは、こうした方策の組み合わせを利用することができないことを示すものでない。
【図面の簡単な説明】
【0068】
【図1】サービス初期化、及び暗号化データの利用を示す図である。
【図2】サービスを設定するための別の実施例を示す図である。
【図3】多数の暗号化データ組のうちの1つを選ぶ方法を示す図である。
【図4】暗号化データ組を特定の場所に割り当てるテーブルを示す図である。
【技術分野】
【0001】
本発明は、第1のメモリと、耐タンパリング性が更に高い第2のメモリとを備える装置に関する。更に、本発明は、第1のメモリに記憶された暗号化データを用いる方法に関する。
【背景技術】
【0002】
認可された個人のみに機密データのアクセスを可能にすることは、従来技術において周知の課題である。解決策の1つは、耐タンパリング性領域に(すなわち、事実上読み出すことが可能でないメモリに)機密データを記憶することである。前述の領域には例えば、スマート・カードがある。スマート・カードは、特に金融アプリケーションにおける機密データに、広く用いられている。ここでは、データ担体の所有者は、データ自体の所有者でない。このデータは例えば、銀行が所有するものである。メモリを、耐タンパリング性の高いものにするには多くの技術的な機能を必要とするので、スマート・カードや前述のメモリは比較的高価である。よって、非常にセキュアなメモリに大量のデータを記憶することは経済的でない。
【0003】
前述のアプリケーションの場合、解決策には、大量記憶装置上に暗号化データを記憶し、認可された個人に、関連した鍵を供給することがある。一般に、別個のデータ記憶手段をこの理由で用いる。よって、鍵を、例えば、電子アクセス・カードの形態で供給することが可能である。あるいは、鍵がフロッピー(登録商標)・ディスク上に供給されるか、又は単に紙上に印刷される一方、暗号化データは例えば、公にアクセス可能なサーバ上に記憶される。上記鍵が犯罪者の手に渡らないものとすれば、データはセキュアである。
【0004】
特定の状況下では、記憶装置上のデータが、復号形式でアクセス可能であることが有用である一方、データ担体の所有者は、データを変更することを認可されていないか、又はデータを読むことも認可されていない。一例には、実行することが可能な状態になる前に復号しなければならない実行可能な暗号化コードがある。しかし、このことにはセキュリティ・リスクが伴う。データが復号されているからである。更に、例えば、ハード・ディスクの耐タンパリング性を高くすることが極めて不可能であるからである。よって、アクセスを有することが可能でない、データ担体の所有者がデータをアクセスすることが可能になる。よって、この場合、データ担体として、セキュアなメモリ(例えば、スマート・カードなど)を選んでいる。データ(例えば、コード化された命令)は、そのまま記憶することが可能であり、いずれにせよセキュアであるからである。一方、データの容量の一層の増加によって、技術上の労力、及び、耐タンパリング性が高い大容量メモリの生産コストが増える。
【発明の開示】
【発明が解決しようとする課題】
【0005】
ここで、本発明の課題は、前述の欠点を解決し、復号データのアクセスを装置の所有者に可能にすることなく、装置上に記憶された暗号化データを復号形式で用いることが可能な装置及び方法を提供することである。
【課題を解決するための手段】
【0006】
本発明の課題は、
第1のメモリと、
耐タンパリング性が更に高い第2のメモリと、
暗号化データを第1のメモリから読み取る手段と、
関連した鍵によって暗号化データを復号する手段と、
復号データを第2のメモリに記憶する手段とを備える装置によって解決される。
【0007】
上記課題は、装置の第1のメモリに記憶された暗号化データを用いる方法によって更に解決される。この装置は、耐タンパリング性が更に高い第2のメモリを更に備え、上記方法は、
暗号化データを第1のメモリから読み取る工程と、
暗号化データを、関連した鍵によって復号する工程と、
復号データを第2のメモリに記憶する工程とを備える。
【0008】
このようにして、従来技術の制約を解決することが可能である。一方で、暗号化データを永久的に記憶する、大容量で、安価な(、かつセキュアでない)第1のメモリを用い、用いる予定の場合に復号データを一時的に記憶する、小容量で、安価な(、かつセキュアな)第2のメモリを用いることが可能である。この第2のメモリは、いくつかのアプリケーションによって共有し、それによって、技術上の労力及び費用を減らすことが可能である。
【0009】
これは、第2のメモリ及び復号手段がNFCインタフェースの一部である場合に効果的である。NFC(近距離通信)技術は、非接触型識別(すなわち、RFID技術)と相互接続技術との組み合わせから発展している。NFCは、13.56MHz周波数領域において、通常数センチメートルの距離にわたって動作するものであるが、技術者は、更に長距離(最大1m)で動作するシステムにも取り組んでいる。NFC技術は、ISO18092、ECMA340及びETSI TS102190において標準化されている。NFCは、ISO14443に基づいて大まかに定められた非接触型スマート・カード・インフラストラクチャにも準拠する。NFCインタフェースは今日、携帯電話機及び他のモバイル装置において広く用いられている。前述のインタフェースは通常、耐タンパリング性メモリ及び暗号化/復号モジュールも既に備えている。よって、前述のモジュールを本発明に用いることが好ましい。
【0010】
本発明のアプリケーションとして想定されるものの1つには、いくつかのスマート・カードをエミュレートする装置がある。前述の装置は一般に、例えば、国際公開第01/93212号パンフレット及び国際公開第04/57890号パンフレットによって知られている。用いる対象のスマート・カード・データがNFCインタフェースに供給されると、装置はリーダ(通常、データの書き込みも行うようにした、NFC/RFID通信用の受電読み取り装置)と通信することが可能である。本発明によれば、スマート・カード・アプリケーションを表す暗号化データがここで復号され、効果的には、NFCインタフェースの第2のメモリにロードされる。
【0011】
上記装置を動作させる機能を記憶するよう第1のメモリが更に形成された場合に更に効果的である。装置は通常、装置のオペレーティング・システムを記憶する、セキュアでない主メモリを備える。この実施例では、オペレ―ティング・システムの暗号化データ及び機能が第1のメモリに記憶される。よって、第1のメモリは、共同作用的に用いられる。
【0012】
最後に、上記鍵を記憶するよう第2のメモリが形成される場合に効果的である。一部のアプリケーションの場合、暗号化データを復号する鍵が装置自体に記憶されている場合に有利である。この場合、上記鍵は、暗号化データの悪用がないようにするために耐タンパリング性が高い第2のメモリに記憶すべきである。
【0013】
本発明の方法の効果的な実施例を更に表す。この実施例では、データがもう用いられていない場合に、
データを第2のメモリから読み取る工程と、
データを、関連した鍵によって暗号化する工程と、
暗号化データを第1のメモリに記憶する工程が行われる。
【0014】
ここでは、変更されたデータを、後の使用のために記憶することが可能である。よって、データを第2のメモリから読み取り、暗号化し、もう一度、第1のメモリに書き込んで、一方で、別のアプリケーションのために第2のメモリを空け、他方で、変更されたデータを永久的に記憶する。
【0015】
上記鍵が遠隔装置によって供給される場合にも有利である。この場合、装置は、暗号化スマート・カード・アプリケーションなどの暗号化データしか記憶しない。暗号化データを用いる予定の場合には、関連した鍵がリーダから装置に送出され、暗号化データを復号するためにそこで用いられる。
【0016】
本発明の効果的な実施例は、方法によって表す。この方法では、以下の工程を、暗号化データを構成する多数の暗号化データ組のうちの1つを用いるために行う。
【0017】
a)乱数を生成する工程と、
b)暗号化データ組に関連した鍵によって乱数を暗号化し、これを遠隔装置に送信する工程と、
c)復号した数を遠隔装置から受信する工程と、
d)生成された乱数を、復号した受信数と比較する工程と、
e)暗号化データ組を、上記関連した鍵によって復号し、比較の結果が真の場合、復号データ組を第2のメモリに記憶し、比較の結果が偽の場合、更なる暗号化データ組に関連した鍵によって工程a)乃至e)を行う工程。
【0018】
例えば、複数のスマート・カード・アプリケーションを表す多数のデータ組の場合、暗号化データ組のどれを用いることとするか(すなわち、どのスマート・カード・アプリケーションをリーダに提示することとするか)を決定する必要がある。暗号化データ組に関連した鍵が装置内に記憶され、リーダ内にも記憶されるものとすれば(更に、対称暗号を前提とする)、前述の手順は、どの暗号化データ組を選ぶものとするかを判定するうえで有利な手順である。非対称暗号を用いる場合、同一の鍵の代わりに秘密鍵及び公開鍵を用いなければならない。よって、乱数を秘密鍵によって暗号化することが可能であり、公開鍵によって復号することが可能であり、逆も同様である。この手順の利点は、鍵が無線通信には全く現れないことである。さもなければ、理論上は、かぎ出すことが可能である。
【0019】
非常に類似した実施例を方法によって表す。この方法では、以下の工程を、暗号化データを構成する多数の暗号化データ組のうちの1つを用いるために行う。
【0020】
a)乱数を生成し、これを遠隔装置に送信する工程と、
b)暗号化された数を遠隔装置から受信する工程と、
c)暗号化データ組に関連した鍵によって、暗号化された数を復号する工程と、
d)生成された乱数を、復号した受信数と比較する工程と、
e)暗号化データ組を、上記関連した鍵によって復号し、比較の結果が真の場合、復号データ組を第2のメモリに記憶し、比較の結果が偽の場合、更なる暗号化データ組に関連した鍵によって工程c)乃至e)を行う工程。
【0021】
簡単に言えば、乱数の暗号化の場所と、乱数の復号の場所は変わる。このケースでは、乱数がリーダ内で暗号化され、装置内でもう一度復号される。一方、前述の実施例では、乱数が装置内で暗号化され、リーダ内でもう一度復号される。乱数はここでは1度のみ暗号化されるので、処理速度における利点が存在する。yが、適切な鍵を見つけるのに必要なサイクル数を示す整数である場合、このケースでは、y+1個の暗号化工程又は復号工程が存在しているが、先行する方法が用いられる場合、2y個の工程が必要である。
【0022】
なお別の効果的な実施例として、暗号化データを構成する多数の暗号化データ組のうちの1つを用いるために以下の工程が行われる方法がある。
【0023】
装置の位置を判定する工程と、
この位置に関連した暗号化データ組を判定する工程と、
暗号化データ組を関連した鍵によって復号し、復号データ組を第2のメモリに記憶する工程。
【0024】
ここでは、装置の地理的場所が、用いる対象の暗号化データ組の決定の役目を担う。位置を判定する手段は例えば、GPS受信器である。更に、結果として生じる更に大きな領域が特定のアプリケーションに対してやはり十分である場合に、GSMネットワーク又はUMTSネットワークのセル識別を、装置の場所を判定するのに用いることが可能である。最後に、いくつかの基地局からの無線信号の強度を評価して位置をより正確に判定することが可能である。好ましい実施例は、必要な情報が互いにリンクされたテーブルを備える。
【0025】
更に効果的なものとして、暗号化データを構成する多数の暗号化データ組のうちの1つを用いるために以下の工程が行われる方法がある。
【0026】
識別情報を遠隔装置から受信する工程と、
識別情報に関連した暗号化データ組を判定する工程と、
暗号化データ組を、関連した鍵によって復号し、復号データ組を第2のメモリに記憶する工程。
【0027】
リーダから装置に暗号化データ組の識別情報を単に送出することによって特定の暗号化データ組を選ぶ可能性が更に存在している。公共輸送機関のサービスが「ロンドン地下鉄」と呼ばれるものとすれば、この情報は装置に送出されることになる。テーブルによって、適切な暗号化データ組を容易に見つけることが可能である。
【0028】
本発明の方法が以下の初期工程を備える場合には更に有利である。
【0029】
暗号化データを第1のメモリに記憶する工程と、
暗号化鍵を復号する鍵を第2のメモリに記憶する工程。
【0030】
サービスを設定するために、暗号化データが、遠隔装置から上記装置に送信され、第1のメモリに記憶される。暗号化データは、セキュリティ・リスクを通常、有しないので、セキュアでない接続を介して(例えば、セキュアでないインターネット接続を介して)送信することが可能である。GPRSダウンロードも適用可能である。鍵は、サービス・プロバイダの店舗において供給することが可能である。「ロンドン地下鉄」に戻れば、このことは、自らの装置を顧客が店舗に持ち込み、店舗では、ロンドン地下鉄の従業員が鍵を装置に記憶することを意味することになる。よって、暗号化データの不正使用は、ほとんど不可能である。
【0031】
更に有利な方法は、以下の初期工程を備える。
【0032】
復号形式におけるデータを遠隔装置から受信する初期工程と、
装置においてランダム鍵を生成する初期工程と、
データを上記鍵によって暗号化し、暗号化データを第1のメモリに記憶する初期工程と、
上記鍵を第2のメモリに記憶する初期工程。
【0033】
この場合、セキュアな接続を介してデータを送信する必要がある。データが暗号化されていないからである。想定される可能性としては、セキュア・インターネット接続及び近距離通信がある。更に想定可能なものとしては、前述のような店舗におけるサービス初期化がある。データは、受信されると、ランダム鍵によって暗号化される。その後、暗号化データが第1のメモリに記憶され、鍵が第2のメモリに記憶され、それをもってサービス初期化が完了する。
【0034】
最後に、本発明の方法が以下の初期工程を備えることが効果的である。
【0035】
暗号化データを遠隔装置から受信する初期工程と、
耐タンパリング性が高い通信チャネルを介して鍵を受信する初期工程と、
暗号化データを第1のメモリに記憶する初期工程と、
鍵を第2のメモリに記憶する初期工程。
【0036】
前述の通り、暗号化データを、セキュアでない接続を介して送信することが可能である。対照的に、関連した鍵は、セキュア接続を介して送信し、後に、セキュアな第2のメモリに記憶すべきである。よって、前述の接続の範囲が限定されることが理由で、かぎ出すことが容易に可能な訳でない近距離無線通信が好ましい。暗号化鍵が装置に送信され、装置で、それが秘密アルゴリズムによって(特に、ユーザ入力によって更に)復号される。よって、コードを顧客に向けて「通常」郵便によって送出することが可能である。その後、顧客は暗号化データ及び暗号化鍵をダウンロードすることが可能である。耐タンパリング性が高い領域において実行するのでかぎ出すことが可能でない秘密アルゴリズムに暗号化鍵もコードも入力される。この復号の結果は、暗号化データを復号する鍵であり、これは後に第2のメモリに記憶される。
【0037】
暗号化データ組の鍵が第2のメモリに記憶されると、暗号化データ組の更新は簡単である。「ロンドン地下鉄」がソフトウェアのアップグレードを行ったとした場合、顧客は、自らの装置を、サービス・プロバイダの店舗にもう一度持ち込むことなく、更新された暗号化データを、セキュアでない接続を介してダウンロードすることが可能である。
【発明を実施するための最良の形態】
【0038】
本発明を次に更に詳細に、本発明の効果的な実施例を示す添付図面によって説明する。なお、本願記載例は、本発明の広い範囲を狭くする役目を担うものでない。
【実施例】
【0039】
図1は、装置DEV、並びにサーバSER及びリーダRDによって構成される2つの遠隔装置を備える配置を示す。装置DEVは、この例では、携帯電話機又はPDAであり、第1のメモリMEM1、及び耐タンパリング性が更に高い第2のメモリMEM2、並びに暗号化/復号モジュールENC/DECを備える。第1のメモリMEM1はこの例では、装置DEVの利用に必要なオペレ―ティング・システム及びその他のデータのためのメモリであるものとする。通常、装置DEVの主メモリを悪用から保護する手順がないか、又は軽微なものしかないので、前述のメモリに記憶されたデータを変更することが通常、極めて容易である。よって、機密データ(例えば、携帯電話機の場合、IMSI(国際移動体加入者識別情報)が、耐タンパリング性メモリ(例えば、SIM(加入者識別モジュール))に記憶される。更なる例は、携帯電話機の一部であるものと、携帯電話機によってエミュレートされるものとのそれぞれに一層なってきているスマート・カードである。この意味合いでは、近距離通信(NFC)の標準によって動作するインタフェースについても述べなければならない。このインタフェースは、リーダRDとの近距離通信を達成し、通常、耐タンパリング性メモリ、及び暗号化及び復号の手段も備える。よって、この例では、第2のメモリMEM2及び暗号化/復号モジュールENC/DECは、NFC(近距離通信)インタフェースINTの一部である。
【0040】
配置の機能は以下の通りである。第1の工程では、リーダRDは、NFC標準によって通信することもでき、暗号化データDATencを装置DEVに送信する(実線)。このケースでは、暗号化データDATencは、用いることが可能な状態になる前に装置DEVにインストールしなければならない、公共輸送機関における切符販売のアプリケーションを表す。受信すると、暗号化データDATencはよって、第1のメモリMEM1に記憶される。
【0041】
あるいは、暗号化データDATencもサーバSERによって供給することが可能である。これは、サーバSERから装置DEVへの破線によって示す。この場合、サーバSERがインターネットの一部であり、前述のアプリケーションを保持するものとする。要求によって、相対的に高速な(、かつ、セキュアでない)インターネット接続を介してダウンロードすることが可能である。上記要求は、装置DEVによって直接、又はリーダRDによってサーバSERに送出することが可能である。
【0042】
基本的には、装置DEVはもう用いることができる。よって、装置DEVがリーダRD付近にある場合、鍵Kが、第2の工程で、リーダRDから装置DEVに送出される(実線)。第3の工程では、暗号化データDATencが第1のメモリMEM1から読み取られ、暗号化/復号モジュールENC/DEC、及びリーダRDから受信される鍵Kによって復号される。第4の工程では、この復号の結果であるデータDATが第2のメモリMEM2に記憶される。ここで、装置DEVとリーダRDとの間の通信が、従来技術のシステムから分かるので行われ得る。データDATは、変数及びコードも備え得る。
【0043】
別の実施例では、鍵Kは、サービスの初期化中に(すなわち、暗号化データDATAencがリーダRD又はサーバSERから受信されると)装置DEVに記憶される。暗号化データDATAencは、前述のセキュアでない通信チャネルを介して送信することが可能である。唯一の制約は、鍵Kの秘密を保つことである。よって、小容量鍵Kが、低速であるがセキュアな近距離通信(破点線)を介して送信され、第2のメモリMEM2に記憶される。
【0044】
基本的には、装置DEVはやはり、もう用いることができる。この手順は、リーダRDによって遠隔で開始する代わりに、例えば、手作業で開始することが可能である。更に、前述の方法とは対照的に、鍵KはリーダRDから受信されないが、第2のメモリMEM2から暗号化/復号モジュールENC/DECに送信される。やはり、暗号化データDATencが復号され、この復号の結果であるデータDATが第2のメモリMEM2に記憶される。装置DEVとリーダRDとの間の通信は前述のように行われ得る。
【0045】
装置DEVとリーダRDとの間の通信チャネルはセキュアであるものとする。更に、第2のメモリMEM2は前述の通り、耐タンパリング性を有する。よって、暗号化データDATAencをみだりに用いるために鍵Kを不正使用し、例えば、支払うことなくチケットを購入することは可能でない。この方法の利点は、一般に、太容量のメモリ空間を用いるアプリケーションを安価な標準的なメモリに記憶することが可能であり、耐タンパリング性を有する高価な第2メモリMEM2に一時的にロードされる。このようにして、以下に更に詳細に説明するようにいくつかのサービス間での共有が可能である。
【0046】
図2はやはり、サーバSER及びリーダRDによって構成される2つの遠隔装置と組み合わせて示す、本発明の装置DEVの別の実施例を示す。図1に加えて、装置DEVは、NFCインタフェースINTの一部である乱数生成器RANDを備える。
【0047】
図2の配置の機能は以下の通りである。まず、非暗号化データDATがリーダRDから装置DEVに近距離通信を介して送信され(実線)、第2のメモリMEM2に記憶される。第2の工程では、ランダム鍵Kが乱数生成器RANDによって生成され、第2のメモリMEM2に記憶され、更に、暗号化/復号モジュールENC/DECに送出される。第3の工程では、データDATが鍵Kによって、暗号化/復号モジュールENC/DECによって暗号化される。最後に、この工程の結果、暗号化データDATencが第1のメモリMEM1に第4の工程で記憶される。
【0048】
やはり、データDATは、サーバSERによっても送信することが可能である(破線)。図1の実施例とは対照的に、ここでは、セキュアな通信チャネルがサーバSERと装置DEVとの間で存在すべきである。データDATが暗号化されていないからである。データDATが耐タンパリング性通信チャネルを介して(例えば、社内ネットワークによって)サーバSERからリーダRDに送信され(破点線)、次いで、短距離無線通信リンクを介して装置DEVに送信されることも想定可能である。
【0049】
最後に、図3は、暗号化データ組(DS1enc..DSxenc)を用いることが可能な方法を示す。この例の場合、暗号化データDATencが、別々のスマート・カード・アプリケーション(すなわち、公共輸送機関に1つ、映画チケット販売に1つ、企業のIDカードに1つ等)を表すいくつかの暗号化データ組(DS1enc..DSnenc)に分けられるものとする。これらの暗号化データ組(DS1enc..DSnenc)は、図1又は図2に示す初期化ルーチン中に予め記憶されている。アプリケーションが別のやり方で(例えば、装置DEV(例えば、携帯電話機)のプロバイダによって直接)記憶されていることも考えられる。各暗号化データ組(DS1enc..DSnenc)は、第2のメモリMEM2に記憶された、関連した鍵K1..Knを有する。図2と対照的に、装置DEVは比較器COMPを更に備え、リーダRDは暗号化/復号モジュールENC/DEC’を更に備える。
【0050】
図3の配置の機能は以下の通りである。装置DEVは、リーダRD付近にある場合、暗号化データ組(DS1enc..DSnenc)によって表されるアプリケーションのどれを選ばなければならないかを定めなければならない。このことは、手作業による選択によって行うことが可能である。しかし、装置DEVのユーザを楽にするために、以下の手順を提案する。
【0051】
第1の工程では、乱数Rが乱数生成器RANDによって生成される。第2の工程では、この乱数Rは鍵Kxによって暗号化される。この鍵Kxは、関連した暗号化データ組DSxの復号にも用いられる。後に、暗号化された乱数Rencがリーダに第3の工程で送信される。第4の工程では、暗号化された乱数Rencがリーダ鍵Krdによって、暗号化/復号モジュールENC/DEC’によって復号される。この処理の結果、第5の工程で、リーダ乱数Rrdは次いでもう一度装置DEVに送出され、比較器COMPによって元の乱数Rと比較される。
【0052】
比較の結果が真である(すなわち、乱数R及びリーダ乱数Rrdが同一である)場合、正しい鍵Kxが見出される(正しい処理には、対称暗号化、並びに同一の暗鍵Kx及びKrdを前提とする)。次いで、第6の工程では、鍵Kxに関連した暗号化データ組Dsxencが、暗号化/復号モジュールENC/DEC、及び鍵Kxによって復号される。第7の工程では、復号の結果(データDSx)が第2のメモリMEM2に記憶される(破線)。ここで、装置DEVは、例えば、公共輸送機関に用いることができる。
【0053】
比較の結果が偽である(乱数R及びリーダ乱数Rrdが同一でない)場合、新たな乱数Rが生成され、サイクルが、次の暗号化データ組DSx+1enc及び次の関連鍵Kx+1によってやはり開始される。上記サイクルは、前述の比較の結果が真になるまで再帰的に行われる。
【0054】
第2のメモリMEM2に記憶された順序で鍵(K1..Kn)が試されることは必須でない。用いられる頻度によって別々の重みを鍵K1..Knが有するようにし、それによってサーチ時間を削減することも可能である。ここでは、サーチは、正しいものである可能性が最大の鍵Kxによって開始される。
【0055】
関連した暗号化デ―タ組DSxを復号するための鍵Kxとは別の鍵を、適切なアプリケーションを選ぶのに用いることも想定可能である。よって、各暗号化データ組DSxが2つの鍵(復号のための1つ、及びリーダ鍵Krdと同一である1つ)と関連付けられる。
【0056】
更に、対称暗号化を用いることは必要でない。公開鍵及び秘密鍵を用いた非対称暗号化を用いることも想定可能である。
【0057】
暗号化/復号モジュールENC/DEC、乱数生成器RAND及び比較器COMPがNFCインタフェースINTの一部でなくてもよいことも分かる。いずれにせよ、上記配置が好ましいが、それは、NFCインタフェースINTが全体として、耐タンパリング性を有しているか、又は、装置DEVの残りの部分よりも耐タンパリング性が少なくとも高いからである。
【0058】
更に、乱数RがリーダRDに直接送出され、暗号化/復号モジュールENC/DEC’及びリーダ鍵Krdによって暗号化される。後に、暗号化リーダ乱数Rrdは装置DEVにもう一度送出される。装置DEVでは、暗号化データ組DSxencに関連付けられた鍵Kxによって復号される。元の乱数R及び復号リーダ乱数Rrdが同じ場合、やはり、適切な暗号化データ組DSxencが見出される。
【0059】
最後に、多数の暗号化データ組(DS1enc..DSnenc)のうちの1つを選ぶために、識別IDをリーダ装置RDから装置RDに送出することが可能である(破点線)。装置DEVは識別IDを受信し、関連した暗号化データ組DSx及び関連した鍵Kxを判定する。暗号化データ組DSxは、用いるために、前述のように第2のメモリMEM2にロードされる。
【0060】
最後の実施例では、アプリケーションを選ぶことは別のやり方で行われる。ここでは、装置DEVの(地理的)位置が第1の工程で判定される。これは、携帯電話機の場合、セル識別を用いることによって達成することが可能であり、GPS受信器が利用可能な場合、緯度経度を用いることによって達成することが可能である。第2の工程では、上記位置と関係付けられる暗号化データ組DSxencが判定され、第3の工程では、暗号化データ組DSxencが、関連付けられた鍵Kxによって復号される。最後に、復号データDSxがやはり第2のメモリMEM2に記憶される。
【0061】
好ましくは、テーブルが、前述のリンク全てを備える装置DEVに記憶される。よって、テーブル内の線(すなわち、別個のアプリケーションを表す各線)は3つのフィールド(暗号化データ組DSxへのリンクのための1つ、鍵Kxのための1つ、及び位置のための1つ)を有する。アプリケーションの時間依存性実行も想定可能である(図3による方法の場合も可能である)。
【0062】
次に図4は、サービスの識別ID、第1のメモリMEM1内の暗号化データ組DSx(エミュレートされたスマート・カード)のアドレスADDR、鍵K、無線ネットワークのセル識別ID、緯度LAT及び経度LON、並びに時間範囲TIMを備える例示的なテーブルを示す。2つのアプリケーション(1つは公共輸送機関用、もう1つは映画チケット販売用)が現在記憶されている。テーブルは、鍵Kを備えているので、好ましくは。第2のメモリMEM2に記憶される。何れにせよ、テーブルは2つの部分(重要でないデータは、第1のメモリMEM1に記憶され、機密データは第2のメモリMEM2に記憶される)に分離することが可能である。
【0063】
テーブルの第1の行は、地下鉄の事業者である「ロンドン地下鉄」のデータを備える。第1のメモリMEM1における適切な暗号化データ組DSxencのアドレスADDRは「0F01」であり、暗号化データ組DSxencを復号する鍵Kは「A15B」であり、何れも16進数形式である。ロンドン地下鉄の場合、アプリケーションの選択が、GPS受信器によって行われるものとする。よって、セル識別IDは省略している。アプリケーションが選択される場所は、その代わりに、緯度LAT0°12’10’’及び経度LON85°52’60’’によって示される。図4は、単純化したテーブルを示しているに過ぎない。一般に、別々の地下鉄駅を示す、より多くの行が存在することになる。あるいは、緯度LAT及び経度LONの範囲は、特定のアプリケーションと関連付けることが可能である。ロンドン地下鉄は一日中営業しているので、時間範囲TIMのフィールドは省略している。よって、装置DEVが、前述の場所に来る都度、関連付けられた暗号化データ組DSxencが復号され、第2のメモリMEM2に記憶される。このことは、場所の変更によって、又は関連したリーダRDの要求によって起こり得る。
【0064】
テーブルの第2の行は、映画会社である「ユニバーサル・ピクチャーズ」のデータを有する。第1のメモリMEM1における適切な暗号化データ組DSxencのアドレスADDRは「0FFA」であり、暗号化データ組DSxencを復号するための鍵Kは「3421」であり、やはり何れも16進数形式である。この場合、移動体ネットワークのセル識別が評価される。よって、フィールド・セル識別IDは、ネットワーク・プロバイダであるブリティッシュ・テレコム社のセルID06を示す。よって、緯度LAT及び経度LONは省略している。行1のサービスと対照的に、ユニバーサル・ピクチャーズのアプリケーションが、19:00から24:00までの営業時間中にのみ選ばれる。要するに、関連した暗号化データ組DSxencは、装置DEVが19:00と24:00との間にセルID06内にある場合に、復号され、第2のメモリMEM2に記憶される。
【0065】
暗号化データ組DSxの選択は手作業でも行うことが可能であることが分かる。特に、適切なデータ組DSxを自動的に選ぶことが可能でない場合、これは、貴重な更なる可能性である。
【0066】
更に、本発明がスマート・カードのアプリケーションに限定されるものでないことを更に述べる。むしろ、暗号化データを復号しなければならない装置(特に、セキュアな第2メモリを有する特定の適合PC)が適切である。装置DEVがリーダRDと通信することは必要でない。2つの同様な装置DEV(例えば、2つのNFC互換携帯電話機)間で通信が行われることが想定可能である。一アプリケーションは、それぞれが暗号化アカウントを備えた、2つの電話機間の(ディジタル)マネーの交換であり得る。
【0067】
なお、上記実施例は本発明を限定するよりも例証するものであり、特許請求の範囲記載の範囲から逸脱することなく別の多くの実施例を当業者が企図することができるであろう。特許請求の範囲では、括弧内にある参照符号は何れも、本特許請求の範囲を限定するものとして解釈されないものとする。「comprising」、「comprises」の語、及び同様な語は、特許請求の範囲又は明細書全体に記載のもの以外の構成要素若しくは工程が存在することを排除するものでない。構成要素の単数形の記載は、前述の構成要素の複数形の記載を排除するものでなく、逆も同様である。いくつかの手段を列挙した装置クレームでは、これらの手段のいくつかを、同一のハードウェア・アイテム又はソフトウェア・アイテムによって実施することができる。単に特定の方策が互いに別々の従属請求項に記載されていることは、こうした方策の組み合わせを利用することができないことを示すものでない。
【図面の簡単な説明】
【0068】
【図1】サービス初期化、及び暗号化データの利用を示す図である。
【図2】サービスを設定するための別の実施例を示す図である。
【図3】多数の暗号化データ組のうちの1つを選ぶ方法を示す図である。
【図4】暗号化データ組を特定の場所に割り当てるテーブルを示す図である。
【特許請求の範囲】
【請求項1】
装置であって、
第1のメモリと、
耐タンパリング性が更に高い第2のメモリと、
暗号化デ―タを前記第1のメモリから読み取る手段と、
前記暗号化データを、関連した鍵によって復号する手段と、前記復号データを前記第2のメモリに記憶する手段とを備えることを特徴とする装置。
【請求項2】
請求項1記載の装置であって、前記第2のメモリ及び前記復号する手段は、NFCインタフェースの一部であることを特徴とする装置。
【請求項3】
請求項1記載の装置であって、前記第1のメモリは、前記装置を動作させる機能を記憶するよう更に形成されることを特徴とする装置。
【請求項4】
請求項1乃至3の何れかに記載の装置であって、前記第2のメモリは、前記鍵を記憶するよう形成されることを特徴とする装置。
【請求項5】
装置の第1のメモリに記憶された暗号化データを用いる方法であって、前記装置は、耐タンパリング性が更に高い第2のメモリを更に備え、前記方法は、
前記暗号化データを前記第1のメモリから読み取る工程と、
前記暗号化データを、関連した鍵によって復号する工程と、
復号データを前記第2のメモリに記憶する工程とを備えることを特徴とする方法。
【請求項6】
請求項5記載の方法であって、データはもう用いられず、
前記データを前記第2のメモリから読み取る工程と、
前記データを、前記関連した鍵によって暗号化する工程と、
暗号化データを前記第1のメモリに記憶する工程が行われることを特徴とする方法。
【請求項7】
請求項5記載の方法であって、前記鍵が遠隔装置によって供給されることを特徴とする方法。
【請求項8】
請求項5記載の方法であって、前記暗号化データを構成する多数の暗号化データ組のうちの1つを用いるために、
a)乱数を生成する工程と、
b)暗号化データ組に関連した鍵によって前記乱数を暗号化し、該暗号化結果を遠隔装置に送信する工程と、
c)復号された数を前記遠隔装置から受信する工程と、
d)前記生成された乱数を前記復号された受信数と比較する工程と、
e)前記暗号化データ組を前記関連した鍵によって復号し、前記比較の結果が真の場合に前記復号データ組を前記第2のメモリに記憶し、前記結果が偽の場合に、更なる暗号化データ組に関連した鍵によって工程a)乃至e)を行う工程が行われることを特徴とする方法。
【請求項9】
請求項5記載の方法であって、前記暗号化データを構成する多数の暗号化データ組のうちの1つを用いるために、
a)乱数を生成し、該生成の結果を遠隔装置に送信する工程と、
b)暗号化された数を前記遠隔装置から受信する工程と、
c)前記暗号化された数を、暗号化データ組に関連した鍵によって復号する工程と、
d)前記生成された乱数を、前記復号された受信数と比較する工程と、
e)前記比較の結果が真の場合に、前記暗号化データ組を前記関連した鍵によって復号し、前記復号データ組を前記第2のメモリに記憶し、前記結果が偽の場合に、更なる暗号化データ組に関連した鍵によって工程c)乃至e)を行う工程が行われることを特徴とする方法。
【請求項10】
請求項5記載の方法であって、前記暗号化データを構成する多数の暗号化データ組のうちの1つを用いるために、
前記装置の位置を判定する工程と、
前記位置に関連した暗号化データ組を判定する工程と、
前記暗号化データ組を関連した鍵によって復号し、前記復号データ組を前記第2のメモリに記憶する工程が行われることを特徴とする方法。
【請求項11】
請求項5記載の方法であって、前記暗号化データを構成する多数の暗号化データ組のうちの1つを用いるために、
識別情報を遠隔装置から受信する工程と、
前記識別情報に関連した暗号化データ組を判定する工程と、
前記暗号化データ組を関連した鍵によって復号し、前記復号データ組を前記第2のメモリに記憶する工程が行われることを特徴とする方法。
【請求項12】
請求項5乃至11の何れかに記載の方法であって、
前記暗号化データを前記第1のメモリに記憶する初期工程と、
前記暗号化データを復号するための鍵を前記第2のメモリに記憶する初期工程とを備えることを特徴とする方法。
【請求項13】
請求項5乃至11の何れかに記載の方法であって、
復号形式におけるデータを遠隔装置から受信する初期工程と、
前記装置においてランダム鍵を生成する初期工程と、
前記データを前記鍵によって暗号化し、前記暗号化データを前記第1のメモリに記憶する初期工程と、
前記鍵を前記第2のメモリに記憶する初期工程とを備えることを特徴とする方法。
【請求項14】
請求項5乃至11の何れかに記載の方法であって、
前記暗号化データを遠隔装置から受信する初期工程と、
耐タンパリング性が高い通信チャネルを介して前記鍵を受信する初期工程と、
前記暗号化データを前記第1のメモリに記憶する初期工程と、
前記鍵を前記第2のメモリに記憶する初期工程とを備えることを特徴とする方法。
【請求項1】
装置であって、
第1のメモリと、
耐タンパリング性が更に高い第2のメモリと、
暗号化デ―タを前記第1のメモリから読み取る手段と、
前記暗号化データを、関連した鍵によって復号する手段と、前記復号データを前記第2のメモリに記憶する手段とを備えることを特徴とする装置。
【請求項2】
請求項1記載の装置であって、前記第2のメモリ及び前記復号する手段は、NFCインタフェースの一部であることを特徴とする装置。
【請求項3】
請求項1記載の装置であって、前記第1のメモリは、前記装置を動作させる機能を記憶するよう更に形成されることを特徴とする装置。
【請求項4】
請求項1乃至3の何れかに記載の装置であって、前記第2のメモリは、前記鍵を記憶するよう形成されることを特徴とする装置。
【請求項5】
装置の第1のメモリに記憶された暗号化データを用いる方法であって、前記装置は、耐タンパリング性が更に高い第2のメモリを更に備え、前記方法は、
前記暗号化データを前記第1のメモリから読み取る工程と、
前記暗号化データを、関連した鍵によって復号する工程と、
復号データを前記第2のメモリに記憶する工程とを備えることを特徴とする方法。
【請求項6】
請求項5記載の方法であって、データはもう用いられず、
前記データを前記第2のメモリから読み取る工程と、
前記データを、前記関連した鍵によって暗号化する工程と、
暗号化データを前記第1のメモリに記憶する工程が行われることを特徴とする方法。
【請求項7】
請求項5記載の方法であって、前記鍵が遠隔装置によって供給されることを特徴とする方法。
【請求項8】
請求項5記載の方法であって、前記暗号化データを構成する多数の暗号化データ組のうちの1つを用いるために、
a)乱数を生成する工程と、
b)暗号化データ組に関連した鍵によって前記乱数を暗号化し、該暗号化結果を遠隔装置に送信する工程と、
c)復号された数を前記遠隔装置から受信する工程と、
d)前記生成された乱数を前記復号された受信数と比較する工程と、
e)前記暗号化データ組を前記関連した鍵によって復号し、前記比較の結果が真の場合に前記復号データ組を前記第2のメモリに記憶し、前記結果が偽の場合に、更なる暗号化データ組に関連した鍵によって工程a)乃至e)を行う工程が行われることを特徴とする方法。
【請求項9】
請求項5記載の方法であって、前記暗号化データを構成する多数の暗号化データ組のうちの1つを用いるために、
a)乱数を生成し、該生成の結果を遠隔装置に送信する工程と、
b)暗号化された数を前記遠隔装置から受信する工程と、
c)前記暗号化された数を、暗号化データ組に関連した鍵によって復号する工程と、
d)前記生成された乱数を、前記復号された受信数と比較する工程と、
e)前記比較の結果が真の場合に、前記暗号化データ組を前記関連した鍵によって復号し、前記復号データ組を前記第2のメモリに記憶し、前記結果が偽の場合に、更なる暗号化データ組に関連した鍵によって工程c)乃至e)を行う工程が行われることを特徴とする方法。
【請求項10】
請求項5記載の方法であって、前記暗号化データを構成する多数の暗号化データ組のうちの1つを用いるために、
前記装置の位置を判定する工程と、
前記位置に関連した暗号化データ組を判定する工程と、
前記暗号化データ組を関連した鍵によって復号し、前記復号データ組を前記第2のメモリに記憶する工程が行われることを特徴とする方法。
【請求項11】
請求項5記載の方法であって、前記暗号化データを構成する多数の暗号化データ組のうちの1つを用いるために、
識別情報を遠隔装置から受信する工程と、
前記識別情報に関連した暗号化データ組を判定する工程と、
前記暗号化データ組を関連した鍵によって復号し、前記復号データ組を前記第2のメモリに記憶する工程が行われることを特徴とする方法。
【請求項12】
請求項5乃至11の何れかに記載の方法であって、
前記暗号化データを前記第1のメモリに記憶する初期工程と、
前記暗号化データを復号するための鍵を前記第2のメモリに記憶する初期工程とを備えることを特徴とする方法。
【請求項13】
請求項5乃至11の何れかに記載の方法であって、
復号形式におけるデータを遠隔装置から受信する初期工程と、
前記装置においてランダム鍵を生成する初期工程と、
前記データを前記鍵によって暗号化し、前記暗号化データを前記第1のメモリに記憶する初期工程と、
前記鍵を前記第2のメモリに記憶する初期工程とを備えることを特徴とする方法。
【請求項14】
請求項5乃至11の何れかに記載の方法であって、
前記暗号化データを遠隔装置から受信する初期工程と、
耐タンパリング性が高い通信チャネルを介して前記鍵を受信する初期工程と、
前記暗号化データを前記第1のメモリに記憶する初期工程と、
前記鍵を前記第2のメモリに記憶する初期工程とを備えることを特徴とする方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2008−504787(P2008−504787A)
【公表日】平成20年2月14日(2008.2.14)
【国際特許分類】
【出願番号】特願2007−518756(P2007−518756)
【出願日】平成17年6月23日(2005.6.23)
【国際出願番号】PCT/IB2005/052062
【国際公開番号】WO2006/003558
【国際公開日】平成18年1月12日(2006.1.12)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
【公表日】平成20年2月14日(2008.2.14)
【国際特許分類】
【出願日】平成17年6月23日(2005.6.23)
【国際出願番号】PCT/IB2005/052062
【国際公開番号】WO2006/003558
【国際公開日】平成18年1月12日(2006.1.12)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
[ Back to top ]