無線周波数識別タグセキュリティシステム
RFIDに基づいたシステムにおけるタグ情報のセキュリティ及びプライバシーは、一方向ハッシュ関数に基づいて生成される仮名を使用することにより達成できる。2分岐一方向ツリーに基づいたシステムは、タグアイデンティティに対するアクセスを取得するために認証キーのスケラブルな生成及び復号を可能にする。説明されている装置及び方法は、タグ情報に対する限られたアクセスを読取装置に提供するためにも適応できる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、概してRFID(無線周波数識別)技術に関し、特にこのような技術の使用において安全で個人的なシステムを動作するための装置及び方法を説明する。
【背景技術】
【0002】
無線周波数識別(RFID)は、物理的世界において情報が収集される方法を革新的に変更し得る実現可能性の高い技術である。RFIDタグは、典型的には、視認または人手の介入を必要とせずに複数の対象物を識別するために使用される。RFIDを用いると、供給チェーン(chain)内の製品のパレットを、降ろしたり、梱包を解いたりすることなく在庫管理することができる。RFIDが消費製品に埋め込まれることにより、消費者はレジで待たなくてよく、偽造が抑制された新しい買い物を体験することができる。当初の販売時点の後、RFIDタグは、消費者によって自宅の中でサービスを使用可能にするために使用され得るし、あるいは製品の返却、リサイクル及び中古販売のためにも使用され得る。自動識別装置は、図書館及び媒体レンタル会社において、在庫システムの回転効率を高めるために既に成功している。将来、さらに多くの商品がタグを付けられ、多くの新しいアプリケーションが使用可能になるのを目にするであろう。RFIDの展開は消費者の購買習慣に影響を及ぼす可能性が高い。消費者はインターネット上でタグIDを参照することによりより良い製品情報を取得できる。RFIDによれば、受領書のない返却や、販売後の盗難の低減を可能とすることが約束される。しかしながら、これらの予期される優位点はあるが、RFID技術はプライバシーに関する懸念を提起している。RFIDシステム、その構成要素及び、動作の紹介のため、読者は、出版物が以下に参照され、この参照により組み込まれているSama、Weis及びEngelsによる論文を参照されたい。
【発明の開示】
【0003】
RFIDタグは、視認を必要とせずに読み取ることができ、消費製品に不可視に埋め込むことができるため、プライバシーの管理が困難である。ユビキタスアプリケーションの場合、タグは安価でなければならず(したがって、セキュリティに関するタグの能力を譲歩し)、同時にタグは高速で読み取られなければならない(したがって、複雑な通知及び認証を命令することが困難になる)。プライバシーのリスクにより、2つの根本的な要件――つまり、情報の漏洩防止、及び追跡防止―が必要となる。さらに、タグは、タグの性質上、単一の所有権領域にとどまらず、タグは譲渡可能でなければならないが、タグの所有が通過する現在の(及び過去の)所有者のそれぞれのプライバシーを保護しなければならない。RFIDの適用においては、所有権が移動しなくても、複数の団体が同じタグを読み取らなければならないので、RFIDシステムは、二次的な団体にタグに対するアクセスを委任する能力を含むことが理想的である。
【0004】
もし、同じRFIDタグが製品寿命を通して使用されれば、あるいは変更されない秘密鍵でIDが暗号化されれば、製品は供給チェーンに沿って追跡され得る。タグにアクセスできるいかなる団体も、現在の所有者のプライバシーを無視して、タグの寿命の間、タグを追跡することができる。このようなタグは、例えば産業スパイ活動またはさらに悪いもの等の状況に照らして、非認証のアクセスに対して脆弱である。
【0005】
したがって、RFIDタグの使用におけるセキュリティのレベルを高めることが望ましい。特に、タグはタグが付けられた商品の保持者のプライバシーを危険にさらしてはならない。これは、非認証の団体はタグ情報にアクセスできてはならないことを意味する。この1つの態様は―特に供給チェーンに照らして関連する―過去に認証された(が、現在は非認証である)読出者による追跡を許すような長期の関連付けがあってはならないということである。
【0006】
本発明は、セキュリティ及びプライバシーが改善されたRFIDに基づいたシステムを動作するための装置及び方法を説明している。例示を目的として、以下の説明は消費者商品の供給チェーンに照らして行われるが、本発明は広範囲の適用が可能であり、したがって特定の状況に制限されないことが理解されよう。
【0007】
以下は、前述されたプライバシー及びセキュリティの問題に対処するためのいくつかの公知の方法である。
【0008】
1つの方法はタグに書かれた情報量を最小限に抑えることである。供給チェーンの業務を可能にするが、望まれない団体に対する情報の開示を制限できるように、製品情報が符号化されている。EPCglobal規格及びISO−18000規格によるタグは、アクセス制御能力を提供するために、パスワードで保護されている「キル(kill)」コマンド及び48ビット読み取りパスワードを組み込んだプライバシー保護コマンドをサポートしている。ここでの着想は、タグを見つけ、使用不可にすることができることであり、これによりタグ及びタグが付けられた商品がその後匿名になる。例えば、小売の状況では、タグは売り渡し時点で「キル」することができる。この解決策の1つの問題は、柔軟性が欠如していることである。すなわち、「キル」される前には誰でもタグに無差別にアクセスできるが、「キル」された後は誰もアクセスできない。これは、例えば消費者が販売後に欠陥のある商品の返却を希望するときには不便となるであろう。キルコマンド方式は、タグの読取範囲内にあるいかなる団体も自由に、タグIDにアクセスできることを前提としている。タグがキルコマンドを発行される前に、供給チェーン内の団体間の、あるいは他の団体からのプライバシーに対する規定はない。
【0009】
別の公知の方法は、タグを再コード化することである。現在、タグを付けられた製品が販売されるとき、小売業者は、該タグが付けられた商品の制御が自分から離れてしまっても該タグが付けられた商品を依然として追跡調査できる。タグの再コード化には、書き込み可能タグの使用、及び製品の所有者が変わる際の再コード化処理を実行することが含まれる。この場合、読取装置が、新しい情報のセットでタグを書き換え、元の電子製品コード(EPC)と新しいコードの間にマッピングを保持するであろう。製品の過去の所有者または将来の所有者は、マッピングにアクセスできなければタグ情報にアクセスすることはできない。該マッピングへのアクセスは、該マッピングを保持するデータベースによって強制されるプライバシー方針により制御できる―すなわち、セキュリティを強制するタスクはリソースが制限されているタグからデータベースに移る。この方式の欠点はインフラストラクチャを使用するコスト及び管理である。タグが付けられた商品の所有者または制御が変わるたびに、供給チェーン上の各団体は、再コード化処理を実行するために必要な装置を有さなければならない―これは追加のコストを表す。さらに、再コード化は、何らかの形式のアクセス制御が提供されない限り、悪意のある団体による再コード化に対して脆弱である。
【0010】
さらに別の公知の手法は、タグが読取装置によって照会されるたびにタグの識別子を修正することである。製品識別子と製品情報の間の関連は安全なデータベース内に維持されている。したがって、タグはハッシュ関数の使用によりその識別子を新たにすることによって読取装置に予想通りに応答しない。安全なデータベースはタグ出力のシーケンスを生成するために使用される秘密値にアクセスできるため、該データベースはタグ出力を製品情報にマッピングできる。
【0011】
以下を含むセキュリティを改善するための多様な提案が行われている。
【0012】
−A Juels及びR Pappu:「密告するユーロ:RFIDが使用可能にされた紙幣におけるプライバシー保護(Squealing Euros:Privacy−Protection in RFID−Enabled Banknotes)」、(金融暗号法2003年(Financial Cryptography‘03)、103〜121ページ、R.Wright編集。Springer−Verlag.2003年、LNCS第2742号)
−Sanjay E Sarma、Stephen A Weis及びDaniel W Engels:「RFIDシステムと、セキュリティ及びプライバシーとの係わり合い(RFID Systems and Security and Privacy Implications)」、(暗号ハードウェア及び埋め込みシステムに関するワークショップ(Workshop on Cryptographic Hardware and Embedded Systems)、454〜470ページ、コンピュータサイエンスのレクチャーノート(Lecture Notes in Computer Science)、2002年)
−A Juels「RFIDタグのための最小主義暗号法(Minimalist Cryptography for RFID Tags)」、(通信ネットワークのセキュリティ(Security of Communication Network)(SCN)、C.Blundo編集、2004年)
本発明の第1の態様によると、問い合わせ試行を検出すると、少なくとも2分岐のハッシュツリーのリーフまたはノードである、あるいは少なくとも2分岐のハッシュツリーのリーフまたはノードに基づく、識別子である出力を提供することによって反応するように構成されており、提供される前記識別子は、検出される問い合わせ試行ごとに異なる無線周波数識別トランスポンダが提供される。
【0013】
本発明の第2の態様によると、問い合わせ試行を検出すると、少なくとも2分岐のハッシュツリーのリーフまたはノードである、あるいは少なくとも2分岐のハッシュツリーのリーフまたはノードに基づく、識別子である出力を提供することによって反応するように構成されており、提供される前記識別子は、検出される問い合わせ試行ごとに異なり、検出される一連の問い合わせ試行のそれぞれに応えて、識別子の所定のシーケンスの内の1つの識別子を提供し、前記シーケンスは、前記ハッシュツリーのリーフの所定のシーケンスである、もしくは前記ハッシュツリーのリーフの所定のシーケンスに基づくものである無線周波数識別トランスポンダが提供される。
【0014】
本発明の第3の態様によると、所定の回数の読み取り試行の間だけある特定のトランスポンダを読み取る権利をRFIDトランスポンダの読取装置に与えるためのシステムが提供される。該システムは、
前記認証装置と、
認証手段と、
問い合わせ試行を検出すると、少なくとも2分岐のハッシュツリーのリーフまたはノードである識別子、あるいは少なくとも2分岐のハッシュツリーのリーフまたはノードに基づく識別子である出力を提供することにより反応するように構成された認証手段であって、提供される前記識別子が検出される問い合わせ試行ごとに異なるものを備え、前記認証手段と前記トランスポンダは前記タグのハッシュツリーの知識であって前記読取装置には知られていないものを共有し、
前記読取装置は、
(i)前記トランスポンダによって出力される識別子を取得するために前記トランスポンダに問い合わせるように構成され、
(ii)前記認証手段にコンタクトし、前記読取装置自体のアイデンティティ及び前記取得された識別子を明らかにするように構成され、
前記認証手段は、前記トランスポンダを読み取るための前記読取装置の資格をチェックし、前記読取装置が前記トランスポンダを読み取る資格がある場合に、前記ハッシュツリーについての情報を前記読取装置に提供し、前記所定の回数の問い合わせ試行にわたって/前記所定の回数の問い合わせ試行の間前記読取装置が前記トランスポンダを読み取ることを認めるように構成される。
【0015】
本発明のさらなる態様によると、無線周波数識別トランスポンダの読取装置に、所定の回数の読み取り試行の間だけある特定のトランスポンダを読み取る権利を与えるための方法が提供される。前記トランスポンダは、問い合わせ試行を検出すると、少なくとも2分岐のハッシュツリーのリーフまたはノードである、もしくは少なくとも2分岐のハッシュツリーのリーフまたはノードに基づく、識別子である出力を提供することによって反応するように構成されており、提供される前記識別子は、検出される問い合わせ試行ごとに異なる。該方法は、
(i)前記トランスポンダによって出力される識別子を取得するために前記読取装置で前記トランスポンダに問い合わせすることと、
(ii)前記読取装置から、認証機関に前記読取装置のアイデンティティ及び前記取得されたトランスポンダの識別子とを提供することと、を含む。
【0016】
前記認証機関が、前記トランスポンダを読み取るための前記読取装置の資格をチェックし、前記読取装置が前記トランスポンダを読み取る資格がある場合には、前記読取装置に前記ハッシュツリーについての情報を提供し、前記読取装置が前記所定の回数の問い合わせ試行にわたって/前記所定の回数の問い合わせ試行の間前記トランスポンダを読み取ることを許可する。
【0017】
本発明は、供給チェーン(chain)上を、あるいは複数の所有者の間で移動する商品(items)上のRFIDタグであって、認証された団体によってのみ、及び限られた回数の読取動作のためだけに識別されるべきRFIDタグの使用により生じるプライバシー及びセキュリティの問題に取り組む。これは、タグと読取装置間の結合をより短期的なものとすることによる仮名方式の使用、及び、読取装置に与えられるキーを信頼できるサードパーティによって準備することにより達成される。
【0018】
すべての読み取りのたびに読取装置がサードパーティに問い合わせることを必要とすることが従来の技術により考えられる手法であったが、代わりに、読取装置は、指定された数の読取動作の後に期限切れとなる一時的なキーを与えられる。これにより、商品が供給チェーンに沿って移動するにつれて、所望されるとおりに認証された読取装置を追加または削除できる柔軟なシステムが可能になる。
【0019】
本発明はこのようなRFIDシステムで使用可能な非常に限られたリソースも考慮に入れる。コスト検討のため、最も基本的なタグのみが、例えば消費者商品供給チェーンにおけるユビキタス展開のために検討される可能性が高い。このため、簡単な機能のみがタグで実施されなければならない。本発明は、タグ装置内での一方向ハッシュ関数、または擬似ランダム関数、あるいは一方向ハッシュ関数と擬似ランダム関数の組み合わせを使用することを必要とするであろう。
【0020】
ここで、本発明の実施形態は、添付図面に関して単なる一例として説明される。
【発明を実施するための最良の形態】
【0021】
図1は、本発明によるRFIDシステムの3つの主要な構成要素間の関係及び通信を示す、本発明の一実施形態の全体概略図である。多くのやり取りE1からE5が、イベントの過程において、タグ、読取装置、及びサードパーティ認証機関の間で行われる。
【0022】
図2は、典型的な読取及びアクセスのセッションのステップを説明するフローチャートである。
【0023】
本発明の実施形態は、図1及び図2に関連してここで説明される。
【0024】
図2のステップS1では、読取装置(4)が、適切な無線周波数の放射によりタグを走査することによりタグ(2)との初期接触する。これは、図1のE1とラベルが付けられた矢印で描かれている。
【0025】
ステップ2では、タグは該読取装置に対して、「仮名」を組み込んだ出力E2を送信することによって応答する。
【0026】
ステップ3では、読取装置が仮名(出力E2)を受け取る。読取装置が該読取装置の中に、読取装置が仮名を「復号する」ことを可能にする情報を有する場合(「イエス」)、読取装置はサードパーティ認証機関から復号キー(本説明の中では「シード」と呼ばれることもある)を求める必要はない。読取装置がこの情報を有さない場合(「ノー」)、プロセスは認証段階に進む。
【0027】
ステップ4は、認証プロセスの開始を表す。これはオプションのステップであり、読取装置からの異なるコマンドに応えて生成され得る。この段階の読取装置は、復号動作を可能にするためにタグからさらに多くの情報を取得してもよい。この情報は「ヒントメッセージ」の形であってもよいし、あるいはさらに長い仮名の形であってもよい。
【0028】
ステップ5では、読取装置は、読取装置(6)によって必要とされる情報を有するサードパーティ認証機関に認証要求(E5)を送信する。認証要求は、仮名、読取装置の信用証明書、及びオプションとしてヒントメッセージの組み合わせを含むことができる。読取装置の信用証明書は、特定の読取装置にタグの実際のIDに対する認証及びアクセスを認めるべきかどうかを判断する目的でサードパーティ認証機関が受け入れるであろう事前に合意された事項であってもよい。例えば、信用証明書は、読取装置自体のIDを含むか、読取装置自体のIDであろう。信用証明書は、加えて、または代わりに、供給チェーンにおける以前の団体によって読取装置に、電子請求書等によって渡される情報であろう。サードパーティ認証機関は、情報をリリースする前に読取装置を認証するために、証明書等の信用証明書をチェックする。読取装置がいったん認証されると、読取装置に許可されたアクセス権を検索することができ、これらの権利に従って情報をリリースされることができる。
【0029】
ステップ6では、サードパーティ認証機関は、該認証要求(E5)の有効性を判断する。読取装置が認証されるべきであることを確信すると、サードパーティ認証機関は読取装置に復号キー及びタグID(E6)をリリースしてもよい。読取装置によって接触される認証機関が、読取装置によって渡される情報を理解するほど十分なキーを有さない、あるいは読取装置のためのアクセスキー(複数の場合がある)を生成しない場合がある。この場合、認証機関はさらに大きなアクセス権を有する別の認証機関に該要求を渡してもよい。
【0030】
ステップ7では、読取装置はここで復号キーを有する。これにより読取装置は仮名を復号し、後述される方法によって実際のタグIDを取得することができる。ステップS3と関連して前述されたように、読取装置がその段階でキーを既に有している場合には、該読取装置は認証プロセス(ステップS1からS6)を迂回し、S7の復号プロセスに直接進むことができる。
【0031】
図1のやり取りE7とE8は、図4に関連して後述される。これらのやり取りは、使用においてさらに大きなセキュリティを提供する、タグと読取装置の相互認証のオプションのステップに関係する。
【0032】
本発明のこの実施形態では、読取装置はタグに対する一時的なアクセスのみを有するだろう。これは、限られた回数の読取だけを読取装置に認めることによって達成される。この制限に達し、読取装置がさらなるアクセスを必要とすると、新しい認証段階が申請されなければならない。
【0033】
サードパーティ認証機関の役割は、前述されたようにタグ製造者、もしくは発行者、あるいはタグの第1のユーザによって実現できる。該役割は、本願出願人の同時係属特許出願GB第0428543.3号に説明されている装置によっても実行できるであろう。少なくとも1つの認証機関がタグによって生成され得る仮名の全体的な集合の知識を有さなければならないが、追加の認証機関は、追加の認証機関がタグの寿命のうち一定期間だけアクセスを認めることが可能となる該知識の部分集合を委任されてもよい。認証機関を階層状につなげることにより、一次的な認証機関に課される負荷を削減できる。
【0034】
サードパーティ認証機関は、限られた回数、ある特定のタグ用の仮名を復号する能力を読取装置に与える時限秘密を計算できる。特に、サードパーティ認証機関は次のn回の仮名の識別を可能にする秘密を計算することが許され、ここで、nは適用方針によって指定される。秘密は安全なチャネルを通じて読取装置に通信される。
【0035】
問題は、過剰に複雑にすることなく、どのように大多数のタグに対して仮名システムを拡大させるのかである。n個のタグのデータベースでは、仮名を復号する1つの方法はn個すべてのタグを通して線形走査を実施することである。本発明の方式では、所有権及び時限秘密を移行させる追加の特長によっては復号の複雑さは増加せず、現在のRFID仮名解決策における複雑さと同程度のままである。
【0036】
図3は、前述のステップ4に関連して簡略に説明される、タグからヒントメッセージを生成する方法の表示である。読取装置がタグ(E3)からヒントメッセージを要求すると、次の仮名(E1)に対する要求からの異なるコマンドが使用されてよい。代わりに、単一の読取装置コマンドを使用でき、タグが周期的に―例えば、n個の仮名が生成されるたびに1つのヒントメッセージを―リリースできる。
【0037】
タグの出力(図1のやり取りE2)は読取動作ごとに変化する。特に、タグの各出力を、非認証の読取装置によって他のいかなる以前のタグまたは将来のタグと相互に関連付けることはできない。これは追跡を防止するために重要な特性であり、ヒントメッセージは同様に繰り返されてはならない。これは、(コマンドE3を通して)ヒントメッセージを特に必要とする読取装置は、ヒントがリリースされる前に、タグ仮名を(例えば複数の読取動作を行うことにより)n個のステップまで前進させなければならない。他の読取装置が該タグに対する同時アクセスを所望する場合は、ヒントを出力するこの方法が最も効率的ではない可能性がある。図10に関連する後述の説明は、ヒントメッセージに関して別の解決策も提供する。
【0038】
以下は、図1及び図2に説明されている該方法がどのようにして製薬業界の供給チェーンの状況で適用できるのかを示す図である。
【0039】
(薬物等の)医薬商品は、医薬商品の製造時にタグを固定される。タグは本発明による安全な方式を実現する。このような医薬商品は、通常複数一緒に梱包され、供給チェーンの次の団体―例えば販売業者―に送られる。各商品上のタグは、タグが供給チェーンを離れて、消費者領域に入る前に異なる団体によって複数回読み取られる。
【0040】
医薬商品が製造領域と卸売り領域の間を移動するとき、通常、請求書は移動先(例えば卸売業者)に送られる。請求書は製品の説明(例えば、製品のEPC)及びサードパーティ認証機関の場所(例えばユニフォームリソースロケータ)を含むことができる。これのみで、あるいは他の情報と結合されて、前述のステップS5で参照される読取装置の信用証明書のすべてまたは一部としての役割を果たす。商品が卸売業者に達すると、読取装置はタグの出力を読み取り、サードパーティ認証機関からのアクセス認証を要求するであろう。アクセスが認められた後、卸売業者はタグIDにアクセスできるであろう。このようなアクセスがあれば、卸売業者は次に請求書に一覧表示されたすべての製品が到着したことを検証できる。さらに、卸売業者は、データベースのタグと関連付けられる情報であって商品の製造日等の事柄についての情報を示し得る情報も調べることができるであろう。このようなデータベースは該卸売業者に局所的であってもよいし、あるいは、例えば、製造メーカによって維持され、最新の製品情報等を提供できるであろう、集中データベースであってもよい。
【0041】
薬局が医薬商品を注文すると、卸売業者は出荷及び請求書発行を手配する。該卸売業者は該薬局に該製品のEPC及び該サードパーティ認証機関の(URL等の)連絡先詳細を渡す。この情報は再び電子請求書に含まれてもよい。これらの詳細は、商品が該卸売業者から該薬局に出荷されるときに該商品に添付されてもよいが、もし、これらの詳細が別個に、好ましくは安全な方法で送信されれば、セキュリティが強化される。該医薬商品は該卸売業者から該薬局への該請求書または他のメッセージ上にも表示されるであろう包装IDまたは出荷IDを有し、これにより商品のEPC及び関連するURLは薬局によって受け取られる出荷品と明確に関連付けることができる。
【0042】
商品が薬局に到達すると、タグは再び読み取られ、サードパーティ認証機関から認証が再び要求される。
【0043】
もちろん、前述のプロセスのいかなる段階における出荷者もタグに対するアクセスを必要とする可能性があり、これはサードパーティ認証機関に要求を送信することによって同じように取得できるであろう。
【0044】
小売薬局に到達後、該商品は次に販売のために該薬局の棚の上に置かれる。商品が販売されると、所有権はエンドユーザに渡される。本発明によるセキュリティ解決策は、タグに対する該薬局のアクセスを無効にし、制御をユーザに渡す方法を含む。これは、システムの重要な特長である。例えば、3TCを処方された人はヒト免疫不全ウィルスを有する可能性が高く、このような情報が秘密に保持されることを望む可能性がある。
【0045】
ここで、タグは消費者領域内にある。消費者は2つのオプションを有する。第1のオプションは、ユーザは、さらなるサービスのためにタグを利用する必要がないというものである。この場合、本発明による解決策はユーザのプライバシーを保証する―、医療情報の追跡及び読み取りは不可能である。復号キーを使用しないでタグを読み取ろうとするいかなる試みも失敗するであろう。しかしながら、消費者はタグのIDにアクセスする必要がある場合がある。例えば、消費者は、特定の薬物が摂取されなければならないときを消費者に通知するような「知的棚(intelligent shelf)」上に商品を載せる場合がある。この場合、消費者の読み取り装置はサードパーティ認証機関からタグIDアクセスを要求する必要があるであろう。
【0046】
ユーザが未使用の薬物の入った薬物容器を処分するとき、処分会社はリサイクル目的でタグを使用できるであろう。この場合、本方式は消費者のプライバシーを保護するが、処分会社自体のデータベースに関する情報を追跡し、リンクする目的のタグの機能も維持する。
【0047】
図4は、ハッシュに基づいた仮名方式で発生するタグと読取装置の間のやり取りを描いている。例えば「HMAC:メッセージ認証のための鍵付きハッシュ法(HMAC:Keyed−Hashing for Message Authentication)」(RFC2104、1997年9月)にKrawczyk、H.Bellare、M and R Canettiによって説明されている鍵付きハッシュメッセージの使用に基づいた非認証の追跡及びタグの識別を防ぐことができる。
【0048】
セットアップ時、タグには一意の識別子の組(YID,ID)が与えられている。YIDはタグと認証された読取装置の間で共有される(ビットのシーケンスを含む)秘密である。Gは一方向関数(例えば、SHA1、あるいは擬似ランダム関数)であり、関数の作用は、関数の出力が入力についての情報をまったく明らかにしないというものである。照会時、タグは秘密「YID」に対する一方向関数の適用から生じる新しい要素を生成し、複数回の読み取りで一連の要素YID 1、YID 2...YID n−1、YID nを取得する。処理ごとに仮名Sk=r1、G(r1,G(r1,YID k))が生成され、タグによって読取装置に送信される。
【0049】
読取装置は、タグメッセージがオプションで、ID XOR G(r1,YID k)でタグに返答してもよいことを立証する組(YID,ID)を特定する。該タグと同じ組(YID,ID)を共有する読取装置によってだけG(r1,YID k)が生成できるので、この情報はタグに対して読取装置のIDを認証し、相互認証を可能にする。
【0050】
該組(YID,ID)を知らない読取装置にとっては、該タグの単一の出力は乱数値から区別することができず、以前の出力または将来の出力と相互に関連付けることができない。該タグと読取装置間の通信上の盗聴者は、該タグについて、いかなるさらなる情報をも獲得することはできない。
【0051】
前述された相互認証方法によれば、悪意のあるユーザがハッシュチェーン(hash chain)に沿ってタグ値を循環させる可能性や、またはタグもしくは本出願人の同時係属中の特許出願番号GB第0428543.3号に説明されている装置のような装置が合法的な読取装置を特定する可能性を制限することができる。
【0052】
前述されたような一方向関数によってタグ識別子を生成する公知の認証方法は、効率的な解決策であるとはいえない。第1に、該方法では、読取装置が、ハッシュ値を取得する際に、考えられるタグのすべての組み合わせを調べなければならないので、スケーラビリティの問題がある。第2に、該方法では、所有権の安全な移動をサポートしていない。以前にタグに対するアクセスが認められた読取装置は該タグを読み取り続けることができる。しかしながら、本発明の装置及び方法は両方の問題に対処する。
【0053】
図5は、2つの一方向関数を有する2分岐一方向ツリーを示している。該関数はここではそれぞれ「左」関数と「右」関数と呼ばれている。通常、該関数はSH1またはMD5アルゴリズム等の一方向ハッシュ関数を使用して構築できるであろう。
【0054】
ツリーにおけるキーのシーケンスは以下のように構築できる。初期のルートシード「S(ルート)」はツリーと関連付けられており、深さDのパラメータはツリーのリーフの数N=2d−1を表している。
【0055】
中間値は以下のように生成される。
【0056】
1.Dレベルのキー値は、Z(0)=左{Z(root)}、Z(1)=右{Z(root)}である。
【0057】
2.キーのD−1レベルは、Z(00)=左{Z(0)}、Z(01)=右{Z(0)}、Z(10)=左{Z(1)}、Z(11)=右{Z(1)}となるであろう。
【0058】
3.ツリーのD−2レベルは以下のとおりになるであろう。Z(000)=左{Z(00)}、Z(001)=右{Z(00)}、Z(010)=左{Z(01)}、Z(011)=右{Z(01)}、Z(100)=左{Z(10)}、Z(101)=右{Z(10)}、Z(110)=左{Z(11)}、Z(111)=右{Z(11)}等であり、Dレベルの深さに対して中間シード値の2分岐ツリーを作成する。
【0059】
この例では、以下が確認される。
【0060】
・レベル「i」でのシードはレベルの2^(i−1)個のリーフを生成する。
【0061】
・シードの子供たちは、「左」一方向関数と「右」一方向関数のおかげで互いに似ていない。
【0062】
・親は2倍の数のリーフを生成することができ、その結果、タグ識別子により大きなアクセスを与えるという点で、ツリーの中の子供は、親の半分の重要度である。ツリーの一部に対するアクセスが認められる場合、開示されるツリーの中のすべてのキーの計算を可能にするリーフに最も近いシードの、より小さな方の集合へのアクセスが与えられる。シードに対するアクセスが与えられると、受信機は、シードがツリーの中のどこに存在するのかを知る必要がある。
【0063】
例えば、D=8というツリーでは、アクセスがレベル3のシード(例えばS001)に与えられると、受信機は4つのリーフキーを生成できるであろう。他のすべてのキーは隠されたままとなる。レベルの選択が開示されるキーの数を制限する。読取装置によってさらに多くのキーがアクセスされる必要がある場合、読取装置アクセスを拡張するために1つまたは複数の新しいキーが開示されてもよい。
【0064】
前述のツールは、図4で前述されたハッシュに基づいた認証方式に適用することにより、読取装置に一時的なアクセスを認めるために使用され得るが、読取装置にとって使用可能な読み取り動作の数を制限する。かつていったん認証されたが、もはや認証されていない読取装置によるタグアクセスを制限する目的を達成することに加えて、これは読取装置にとって計算の複雑さを削減するのに役立つ。
【0065】
本発明のこの態様によると、認証プロトコルで使用されるシードYID kは2分岐一方向ツリーのリーフである。前述されたように、YID kは読み取り動作ごとに変更される。YID kはツリーのリーフに沿って進行する。
【0066】
本発明によるとこのように実現される方式の優位点は以下のとおりである。
【0067】
・明確なシーケンスが読取装置に提示されることにより、読取装置と該シーケンスの知識を共有するタグとが通信できる。
【0068】
・ツリーの中の中間値を明らかにすると、読み取り装置にサブシーケンスを明らかにすることができる。(読取装置は、読取装置が理解するツリーリーフ値を使い果たすので)読取装置は限られた数の読取動作に対するタグを認証し、アクセスできるにすぎない。
【0069】
「n」回の動作のためのタグへのアクセスを得るために、読取装置は、log(n)+1のレベルでのわずか1シードが与えられればよい。例えば、レベル4での単一のシード値を知ることによって8回の読み取り動作を認めることができる。代わりに、8回の読み取り動作は、それぞれがレベル3での2つのシードによって認められてもよい。「n」回の動作のために付与されなければならないキーの数は、ツリーの中の開始位置に応じて変化する。
【0070】
ツリーの値を知っている読取装置は、今及び十分なシードが分かっている読み取り動作の間だけ、タグに緩やかに結合されている。すべてのタグは、読み取り照会ごとに新しい仮名を生成する。読取装置は、該読取装置に認められている読み取り動作の回数だけ、該タグを追跡し、アクセスすることができるにすぎないため、商品の所有者が変わるときにタグ再コード化処理は必要とされない。読取装置が該読取装置に認められている、認められた数の動作の最後に達すると、該読取装置の該タグに対するアクセスは自動的に終了する。読み取り動作が以前の団体によって未使用なまま、ある団体から供給チェーン上の次の団体にタグが移動する場合、これらの動作を廃棄することが可能である。これは、該タグの複数回の読み取りによって達成でき、あるいは読み取りプロトコルが拡張される場合は、ツリーのリーフに沿っていくらかの距離にある値まで直接的にスキップすることが可能となる。これは、該タグに新しい秘密を書き込む必要なく、該タグに対する以前のアクセス権を取り消すために役立つ。
【0071】
読取装置とタグの間の結合はサードパーティ認証機関に任されている。考えられるシナリオでは、元の製造者が組(YID,ID)を制御し、タグが読取装置の信用証明書を記憶し、アクセスを認める、もしくは拒否するためのサードパーティ認証機関としての機能を果たす。読取装置が特定のタグにアクセスする必要があるときには、それはシードの集合(またはツリーの要素)を要求する。集合は、要求された回数の読み取り動作のアクセスを与える、ツリーの中間ノードからなる。許可された動作の回数は、新しい認証要求によって拡大され得る。
【0072】
認証を要求するとき、新たな読取装置はサードパーティ認証機関にタグの現在の状態を知らせなければならない。これは、サードパーティ認証機関がタグの現在の状態、及びタグがどのリーフ(leaf)の値を使用しているのかを知らないためである。サードパーティ認証機関は、タグIDとツリーシーケンスの現在の状態の両方を、タグによって生成される該仮名値から計算できるであろう。
【0073】
サードパーティ認証機関はある特定の読取装置に対し、該読取装置が該タグのIDを事前に知ることなく、どのシードを分配するべきかを知る必要がある。該タグが現在認証されていない読取装置に、該タグIDについての情報をリリースできない場合、タグID/現在のキー値の組の単一化(singulation)を助けるために、ツリーシーケンスの状態についての情報を代わりにリリースすることができる。
【0074】
1つの手法は、読取装置が、アクセス要求する際に、サードパーティ認証機関に対して、現在のタグメッセージ及びルートから現在使用されているリーフの値までの経路に沿って仮名ツリーの中の中間ノードから生成されるヒントメッセージとともに、通常の信用証明書を提供することである。
【0075】
前述された方式を用いる場合、サードパーティ認証機関がタグから仮名だけを受け取るならば、その特定のタグの正しいIDを特定するためのプロセスはO((n)(N))のオーダーの複雑さを有し、ここで、nはツリーによって生成されているリーフの数を表し、Nはサードパーティ認証機関によって管理されているタグの数を表す。
【0076】
ヒントメッセージを使用することにより、タグを特定するための計算の複雑さをO(N)のオーダーの複雑さにまで削減できる。本発明の方式においては、すべての考えられる仮名空間を検索するよりも迅速にタグを特定するためにヒントが使用され得る。ツリー場所ヒント及びルートからリーフへのヒントという2つの異なるヒント機構解決策が提案される。
【0077】
一例として、セットアップ時、タグには再び一意の組(YID,ID)が提供され、ここで、YIDはそのタグのためのツリーのルートシードである。ツリー深さがlog(n)+1である場合に「n」回の読み取り動作のためのツリーがあると仮定される。
【0078】
n=4096のタグは、深さd=12+1のツリーを必要とする。タグが中間ノード値を維持するならば、2個の一方向ハッシュ関数の平均(最小1,最大log(n))が、読み取り動作ごとに計算される必要がある。ツリーを維持するために、タグは、例えばカウンタを用いて、ツリーの中の現在の位置を記憶することが要求される。照会時、タグは新しいリーフ「Yleaf」(以前はYID kと呼ばれていた)を生成し、メッセージSk=G(r1,G(r1,(Yleaf))を生成する。
【0079】
認証された読取装置はツリーの部分集合に対するアクセスを認められていると仮定する。タグは組(Yi,ID)により読取装置によって特定され、ここでYiはレベル「i」でのツリーの要素である。レベル「i」(i=1がツリーのリーフである)での秘密は2(i−1)回の読み取り動作に対するアクセスを認める。効率化のために、読取装置によって特定のタグにアクセスするために実行される必要のある作業量(2(2(i−1))−2回までのハッシュ関数評価)を制限するよう、「i」は小さい値を選ばれる。タグメッセージを受け取る際、読取装置は、タグメッセージを検証する組(Yi,ID)を見つける。
【0080】
平均して、タグに対して4回の一方向ハッシュ関数の呼び出し(つまり、2分岐ツリーに対して2回とGに対して2回)が、読み出しサイクルごとに必要とされる。ツリー情報はサイクルごとに更新される必要がある。この例は2分岐一方向ツリーを使用し、タグはルート秘密からツリーの現在のリーフまでlog(n)+1の秘密を記憶することができる。
【0081】
読取装置がタグのアイデンティティを知らないときに、タグアイデンティティがどのようにして特定できるのかという問題でスケーラビリティの問題が生じる。例えば、読取装置は新しいタグを受け取り、該読取装置は仮名を復号するためにどの秘密が使用されなければならないのかを知らない。サードパーティ認証機関はアクセスを認めることができるが、そのためにはサードパーティ認証機関はタグによって使用されている現在のツリーのリーフについての何らかの情報を有している必要がある。
【0082】
図7は本発明による解決策を描いている。
【0083】
タグは、ツリー場所ヒントを生成できる。ヒントメッセージは、2分岐一方向ツリーの中のシードを指す情報を含んでいる。したがって、該ヒントは、該ツリーのどの部分が現在使用されているのかを示すインジケータとして機能することができる。ヒントメッセージを利用することにより、サードパーティ認証機関はタグを特定し、認証されている読取装置に、その時点から有効な、該タグにアクセスするためのシードの有効な集合を開示することができる。ヒントメッセージは、仮名を生成するために使用されるルートシードと、現在の仮名自体の間の異なるレベルでリリースできる。
【0084】
ここで説明されている方式においては、図3で前述されたように仮名値は、ツリーの中間ノードから生成されるヒントとインタリーブされる。実際には、レベルがタグの出力によって明確に示されている限り多くのレベルを使用することができるが、この例では、中間ノードの1つのレベルだけがヒントメッセージを生成するために使用されている。(異なるレベルの)ヒントと仮名をインタリーブすることの欠点の1つは、何らかのシーケンス情報が非認証の読取装置にとって明らかとなり、制限された範囲でのタグの追跡に使用される可能性があるという点である。別の欠点は、タグの仮名はヒント値を取得するために慎重に前進されなければならないという点である。これらの問題点は、図10に関連して後述されるヒントメッセージを提供する代替方法によって対処される。
【0085】
以下のステップでは、現在のタグを特定するためにヒントメッセージがどのように使用され得るのかを示す。
【0086】
2i回の読み取り動作ごとに、タグはヒントメッセージを開示する。ヒントはH(Yi)であってもよく、ここで、Yiは、2(i−1)回の動作へのアクセスを認めるレベルiにおけるシードであり、Hはハッシュ関数である。H(Yi)は一方向関数であるため、ツリーについてのいかなる情報をも敵対者に開示しない。H(Yi)はサードパーティ認証機関によって共有されて(知られて)いる。
【0087】
このヒントは、アクセスを要求するために読取装置により使用される。読取装置が新しいタグを受け取ると、読取装置はH(Yi)を取り出す必要がある。図3に示されている方式による読取装置は、ヒント値が開示されるまで繰り返しタグを読み取る。この時点で、読取装置はサードパーティ認証機関にアクセスし、認証機関にヒントメッセージを提供することによりアクセスを要求できるであろう。
【0088】
読取装置が認証されると、サードパーティ認証機関は次に該シード値Yiを読取装置に通信する。読取装置は一時的にアクセスが認められる。
【0089】
ヒントメッセージの使用は、使用によって複雑さが極端に削減されるため、有益である。ヒントメッセージを使用しない場合、以下のどちらかのときに問題が発生する。
【0090】
・タグが、新しい所有者に予期せずに到達し、タグとともに情報が転送されない。
【0091】
・タグが特定の読取装置によって前回走査されて以来、他の団体が該タグに対して未知数の読み取りを実行した。
【0092】
これらの例では、読取装置は、考えられるタグごとに仮名チェーンに沿って制限されたチェックを行った後にあきらめ、該タグは知らされていないものであると結論付けなければならない。読取装置は、知らされていないタグに対する応答と、知らされているタグからの仮名であるが、読取装置がチェックした点を越えているものとを区別できない。
【0093】
ヒントメッセージを用いると、複雑さはO((k)(N))にまで削減され、ここでkは開示されているシードのレベルに依存している。レベルが高い場合(ヒントがルートに近い場合)、サードパーティ認証機関は、正しいツリーを見つけ、タグを特定するために限られた数のハッシュ動作を実行しなければならないであろう。例えば、d=10(ツリーディメンジョン)、i=8であれば、キー認証機関はタグを特定するため2(d−i)=4個の秘密にわたって処理する。検索の複雑さはO(4*N)である。
【0094】
この第1の実施形態では、プロセスは以下のように働く。
【0095】
1.該読取装置は、タグから現在の仮名を読み取り、該仮名を、予想される仮名値の空間に突き合わせようと試みる。
【0096】
2.この突き合わせが失敗すると、読取装置はタグからヒント値を取得する。これは、ヒント値が得られるまで反復的に読み取ることによって、あるいはヒント値が与えられるまでタグを自動的に前進させる特別な指令によって取得できる。
【0097】
3.ヒント値が、読取装置に知らされているキーによってカバーされることができる、ハッシュツリー中のあるレベルにある場合、読取装置はヒント値を知らされているタグと付き合わせようと試みることができる。例えば、ツリーのリーフから4レベル分上のヒント値に突き合わせようと試みることは、ツリーのリーフに沿って32個の仮名の空間を検索することに同等である。したがって、より高レベルの知らされているヒント値に沿って検索することによって、タグが知らされている場合には読取装置は迅速に特定できる。タグは、使用されているヒントのレベルについての情報を読取装置に提供しなければならない。
【0098】
4.取得されたヒント値が、読取装置が知らされているよりツリーの中で高い場合、あるいはヒント値が読取装置に知らされているシーケンスを越えて下にあるためにヒント値を突き合わせることができない場合には、読取装置はサードパーティ認証機関に尋ねなければならない。この認証機関はルートシードを知っている可能性があり、したがってツリーのすべて、あるいはツリーの一部にすぎないが、読取装置自体が知らされているより多くのシードを有する部分を知っている可能性がある。
【0099】
5.前述の認証機関がヒントメッセージを復号できない場合、要求は、該ヒント値を復号するために、ツリー全体の知識を有するルート認証機関のような別の認証機関に問い合わされてよい。
【0100】
ルート認証機関は、認証機関がツリーのルート秘密を知っているためにタグを常に復号することができる。ルート認証機関の場合、ヒント値を復号する経費はツリーにおけるヒントのレベルに依存している。ヒントがルート値自体である場合には、認証機関はルートシードの一覧表示の中の値を即座に調べることができる。ルートからいくらかのレベルだけ下の場合、タグごとに考えられる値のすべてを事前に計算しておき、即座に調べることもできる。この突き合わせが失敗する場合、タグは認証機関に知らされていないものである。ツリーの中のさらに低いヒント値の場合、認証機関はツリーの中の最新の知らされている位置を記憶し、値の限られた空間に沿ってチェックする。この検索が失敗すると、タグは知られていないものであるか、あるいは仮名ツリーに沿って、識別が失敗するほど十分に前進されたものである可能性がある。ヒントメッセージの限られた集合を検索することは、ツリーのリーフに沿ってはるかに大きな仮名空間を検索することに同等であることが再び留意されるべきである。
【0101】
ツリーの中の複数のレベルが、本発明によるシステムにおけるヒント値として使用され得ることが留意されるべきである。実際には、1つの解決策は、「ルートからリーフまでのヒント」を提供することによってツリーの中のすべてのレベルを使用することである。ヒントをすべてのレベルでリリースする1つの適用は以下のように説明される。
【0102】
インタリーブされた仮名値及びヒントメッセージは、読取装置の要求に応えて生成され得る。タグは両方の場合で同じ方式で応えることができるが、リーフにおけるハッシュ値の代わりに、ツリーの中の中間ノードの、すなわち該リーフよりルートにさらに近いノードのハッシュ値を使用する。ヒントメッセージのリリースは、このようにして仮名シーケンスに一体化され得る。例えば、ハッシュ値は、図5に描かれているツリーの中の値であって左から右へ明らかにされるものであってもよい。
【0103】
この図では、タグ応答を生成するために使用されるハッシュ値は以下のように進行してよい。つまり、Z000、Z00、Z001、Z0、Z010、Z01、Z011等である。読取装置がどのハッシュ値と一致させようと試みるのかを突き止められるように、各リリースは、使用されるレベルで特定されなければならない。
【0104】
本発明のシステムにおいてヒントメッセージを含むことの費用の利点がここで説明される。上記において留意されたように、仮名を受け取っている読取装置は、ヒントメッセージなしでタグを特定するのに困難を感じることがある。仮名は予想される仮名及びタグの集合に突き合わされる。タグの集合は(どの製品が、その日に、ある特定の読取装置の前に到達するのか等についてのプロセス/在庫知識等の)知識によって制限され得る。しかしながら、前回知られている仮名値から検索を開始することによって、仮名検索は制限できる。ヒントメッセージを使用することにより、ツリーの中の中間レベルでの、はるかに小さな値の集合にわたって検索を実行することが可能となる。さらに、ツリーの複数のレベルから取得されるヒントは、(高レベルヒントから)タグの迅速な識別と、現在のリーフの仮名まで下る(しかし、中間レベルのヒントに一致する)ナビゲーションの容易化の両方を同時に可能にすることができる。
【0105】
ここで、仮名を、結合されたタグメッセージ中のヒントと結合することによって、該タグ読み取り動作の効率を改善する第2の実施形態を提示する。
【0106】
(図8、図9及び図10に示されている)この手法は、ヒント情報を、仮名とともにタグ応答の一体化した一部としてリリースする。タグ応答がより大きくなっても、上記において図3との関連で説明されている実施形態のために必要とされるように、ヒント値を取得するために読取装置によって仮名を前進させる必要がないため、優位点は相当である。また、仮名と同時にリリースされたヒント値によって、読取装置(または認証機関)は、突き合わせのために空間を検索する代わりに仮名まで直接にナビゲーションできる。
【0107】
該代替手法は、バックエンドシステムの複雑さを減ずるが、読取装置とタグの間でやり取りされるメッセージという点では通信の複雑さを大きくする。
【0108】
ここでは、Hは一方向ハッシュ関数として定義され、Rは擬似乱数として定義されている。タグは1組の識別子(YID,ID)により特定され、ここでYIDは秘密であり、IDがタグ識別子である。読み取り動作中、読取装置は乱数R1を送信し、応えてタグはメッセージR1、R2、H(R1,R2,YID)を送信する。該組(YID,ID)にアクセスできる読取装置だけが該タグを特定できる。
【0109】
乱数の生成は、(i)乱数発生器によって、または(ii)一方向ハッシュ関数によっての2通りで行うことができる。一方向ハッシュ関数の使用では、乱数であるRをR=H(CNT,S)によって生成し、ここで、CNTは読み取り動作ごとに増分されるカウンタであり、Sは128ビットの(共有されていない)秘密であり、Hは一方向ハッシュ関数または擬似乱数−関数である。
【0110】
この方式は、David Molnar、David Wagnerによる出版物、「ライブラリRFID問題におけるプライバシーとセキュリティ、実践及びアーキテクチャ(Privacy and security in library RFID issues、Practices and Architectures)」(2004年ACMコンピュータ及び通信セキュリティ会議に提案されている示唆のいくつかを実現する。しかしながら、Molnar及びWagnerの方式は、タグの付けられている商品の制御者または所有者が変わることを許さないのに対して、2分岐一方向ハッシュツリーを適用する本発明者らの手法はタグアイデンティティに対する制限されたアクセスの提供を可能にする。
【0111】
上記に提示された一方向2分岐ツリーツールを適用する際に、バックエンドシステムの計算の複雑さは削減される。秘密YIDは2分岐一方向ツリーにおけるシードと関連付けられている。前述された第1の方式とは異なり、タグは、ツリーのリーフと関連付けられている単一の出力を生じさせるのではなく、ツリーのルートからリーフまでの異なる秘密と関連付けられている複数の出力を生じさせる。
【0112】
図8に図示されているように、該タグは、セットアップ時に識別子の一意の組(Z−Root,ID)を提供され、ここで、YID=ZRootはツリーのルートシードである。その結果、「n」回の読み取り動作のためのツリーがあり、ここで、ツリー深さD=log(n)である。2個の一方向ハッシュ関数の平均が読み取り動作ごとに計算される必要があるであろう。
【0113】
読取装置によって問い合わせられるとき、タグは新しい枝を含むツリーの新しいリーフを生成する。読取装置は乱数R1を送信し、タグはメッセージR1、R2、H(R1,R2,Z−root)、H(R1,R2,Zi)、H(R1,R2,Zi+1)、H(R1,R2,Zlog(n))のシーケンスを送信する。シーケンスのメッセージは、ツリーのルートからリーフまでの異なるシードと関連付けられている。
【0114】
この場合、タグはリーフから生成される単一の仮名で特定されるのではなく、メッセージのシーケンスで特定される。読取装置またはサードパーティ認証機関は、共有されているシードから複雑さO(N.log(n))を有するリーフまでタグの認証を進める必要はなく、複雑さO(N)を有するシードに直接にアクセスする。
【0115】
前述された場合におけるのと同様に、認証された読取装置はツリーの部分集合に対するアクセスを与えられたと仮定できる。図9では、タグは1組(Yi,ID)を通して読取装置によって特定され、ここでYiはレベル「i」でのツリーの要素である。レベル「i」での秘密は2(i−1)回の読み取り動作のためのアクセスを与える。タグメッセージを受け取ると、バックエンドシステムはタグメッセージを検証する組(Yi,ID)を見つける。
【0116】
本方式は前述されたのと同程度にプライベートなものであるが、該方式は限られたコストのタグの認証を可能にする。タグの数O(N)に線形なコスト、及び通信コストは、O(log(n))の複雑さを有している。この方式では、異なるメッセージの出力を少ないビットに切り捨てることができ、通信コストを改善できることができることに留意することが重要である。
【0117】
図10は、本実施形態におけるヒントメッセージの役割を描いている。
【0118】
例えば図1に関連して説明されている前記の第1の方式では、タグがいくつかの明白なヒントを生成する。ヒントメッセージを利用することにより、サードパーティ認証機関はタグを特定し、タグにアクセスするために有効なシードを認証されている読取装置に開示できる。
【0119】
しかしながら、この場合、明白なヒントメッセージを生成する必要はない。読取装置が認証されないメッセージを受信すると、読取装置はメッセージを、ルートシードを検証し、タグを識別できるサードパーティ認証機関に渡す。この場合、タグの出力は暗示的にインデックス情報を含む。タグを特定後、サードパーティ認証機関は特定の回数の読み取り動作のための特定のタグへのアクセスを認める。
【0120】
スケーラビリティという点でのさらなる改善は、本方式を、上記に引用された論文の中でMolnar及びWagnerによって提案された仮名ツリーを用いて実現することによって達成できる。結合方式のためのサードパーティの検索のコストはO(log(N))となり、該方式は所有権の制御及び該タグアイデンティティに対する制限されたアクセスを可能にするであろう。分岐因子が2の場合の方式を説明してきたが、実際にははるかに大きな因数(例えば10)を使用できるであろう。分岐因子がさらに大きくなると、タグの記憶及び該タグのための計算費用が削減されるであろう。
【0121】
本発明は、認証された読取装置だけが、限られた期間、該読取装置に関連する情報にアクセスできるようにする安全で効率的な方法を説明している。これは、タグ識別子を絶えず変更し、タグアクセスを制御するためのさらに多くの柔軟性を与えることにより達成される。
【0122】
当業者は、本発明を実現する他の方法があってよく、したがって本発明が、本明細書に説明されている特定の実現例に制限されておらず、本発明が説明されている特定の状況での使用に制限されていないことも理解するであろう。例えば、前述されたツリー構造の使用は2分岐のツリーに制限されていない―さらに多くの分岐のあるツリーも使用できるであろう。
【図面の簡単な説明】
【0123】
【図1】RFIDシステム内のタグに対する一時アクセスを読取装置に提供するための本発明の一実施形態を描く。
【図2】図1に描かれている方法のステップを説明するフローチャートである。
【図3】どのように、タグがタグ仮名及びヒントメッセージを生成できるのかの第1の実施形態を描く。
【図4】ハッシュ方式に基づいたプライベート認証方式を描く。
【図5】2分岐一方向ツリーを描く。
【図6】一方向2分岐ツリーを有するハッシュ方式に基づいたプライベート認証方式を描く。
【図7】一方向2分岐ツリーと関連してタグにアクセスするためにヒントメッセージがどのようにして使用されるのかを描く。
【図8】本発明の代替実施形態における一方向2分岐ツリーの使用を描く。
【図9】本発明の代替実施形態における読取動作を描く。
【図10】本発明の代替実施形態のヒントメッセージの処理を描く。
【技術分野】
【0001】
本発明は、概してRFID(無線周波数識別)技術に関し、特にこのような技術の使用において安全で個人的なシステムを動作するための装置及び方法を説明する。
【背景技術】
【0002】
無線周波数識別(RFID)は、物理的世界において情報が収集される方法を革新的に変更し得る実現可能性の高い技術である。RFIDタグは、典型的には、視認または人手の介入を必要とせずに複数の対象物を識別するために使用される。RFIDを用いると、供給チェーン(chain)内の製品のパレットを、降ろしたり、梱包を解いたりすることなく在庫管理することができる。RFIDが消費製品に埋め込まれることにより、消費者はレジで待たなくてよく、偽造が抑制された新しい買い物を体験することができる。当初の販売時点の後、RFIDタグは、消費者によって自宅の中でサービスを使用可能にするために使用され得るし、あるいは製品の返却、リサイクル及び中古販売のためにも使用され得る。自動識別装置は、図書館及び媒体レンタル会社において、在庫システムの回転効率を高めるために既に成功している。将来、さらに多くの商品がタグを付けられ、多くの新しいアプリケーションが使用可能になるのを目にするであろう。RFIDの展開は消費者の購買習慣に影響を及ぼす可能性が高い。消費者はインターネット上でタグIDを参照することによりより良い製品情報を取得できる。RFIDによれば、受領書のない返却や、販売後の盗難の低減を可能とすることが約束される。しかしながら、これらの予期される優位点はあるが、RFID技術はプライバシーに関する懸念を提起している。RFIDシステム、その構成要素及び、動作の紹介のため、読者は、出版物が以下に参照され、この参照により組み込まれているSama、Weis及びEngelsによる論文を参照されたい。
【発明の開示】
【0003】
RFIDタグは、視認を必要とせずに読み取ることができ、消費製品に不可視に埋め込むことができるため、プライバシーの管理が困難である。ユビキタスアプリケーションの場合、タグは安価でなければならず(したがって、セキュリティに関するタグの能力を譲歩し)、同時にタグは高速で読み取られなければならない(したがって、複雑な通知及び認証を命令することが困難になる)。プライバシーのリスクにより、2つの根本的な要件――つまり、情報の漏洩防止、及び追跡防止―が必要となる。さらに、タグは、タグの性質上、単一の所有権領域にとどまらず、タグは譲渡可能でなければならないが、タグの所有が通過する現在の(及び過去の)所有者のそれぞれのプライバシーを保護しなければならない。RFIDの適用においては、所有権が移動しなくても、複数の団体が同じタグを読み取らなければならないので、RFIDシステムは、二次的な団体にタグに対するアクセスを委任する能力を含むことが理想的である。
【0004】
もし、同じRFIDタグが製品寿命を通して使用されれば、あるいは変更されない秘密鍵でIDが暗号化されれば、製品は供給チェーンに沿って追跡され得る。タグにアクセスできるいかなる団体も、現在の所有者のプライバシーを無視して、タグの寿命の間、タグを追跡することができる。このようなタグは、例えば産業スパイ活動またはさらに悪いもの等の状況に照らして、非認証のアクセスに対して脆弱である。
【0005】
したがって、RFIDタグの使用におけるセキュリティのレベルを高めることが望ましい。特に、タグはタグが付けられた商品の保持者のプライバシーを危険にさらしてはならない。これは、非認証の団体はタグ情報にアクセスできてはならないことを意味する。この1つの態様は―特に供給チェーンに照らして関連する―過去に認証された(が、現在は非認証である)読出者による追跡を許すような長期の関連付けがあってはならないということである。
【0006】
本発明は、セキュリティ及びプライバシーが改善されたRFIDに基づいたシステムを動作するための装置及び方法を説明している。例示を目的として、以下の説明は消費者商品の供給チェーンに照らして行われるが、本発明は広範囲の適用が可能であり、したがって特定の状況に制限されないことが理解されよう。
【0007】
以下は、前述されたプライバシー及びセキュリティの問題に対処するためのいくつかの公知の方法である。
【0008】
1つの方法はタグに書かれた情報量を最小限に抑えることである。供給チェーンの業務を可能にするが、望まれない団体に対する情報の開示を制限できるように、製品情報が符号化されている。EPCglobal規格及びISO−18000規格によるタグは、アクセス制御能力を提供するために、パスワードで保護されている「キル(kill)」コマンド及び48ビット読み取りパスワードを組み込んだプライバシー保護コマンドをサポートしている。ここでの着想は、タグを見つけ、使用不可にすることができることであり、これによりタグ及びタグが付けられた商品がその後匿名になる。例えば、小売の状況では、タグは売り渡し時点で「キル」することができる。この解決策の1つの問題は、柔軟性が欠如していることである。すなわち、「キル」される前には誰でもタグに無差別にアクセスできるが、「キル」された後は誰もアクセスできない。これは、例えば消費者が販売後に欠陥のある商品の返却を希望するときには不便となるであろう。キルコマンド方式は、タグの読取範囲内にあるいかなる団体も自由に、タグIDにアクセスできることを前提としている。タグがキルコマンドを発行される前に、供給チェーン内の団体間の、あるいは他の団体からのプライバシーに対する規定はない。
【0009】
別の公知の方法は、タグを再コード化することである。現在、タグを付けられた製品が販売されるとき、小売業者は、該タグが付けられた商品の制御が自分から離れてしまっても該タグが付けられた商品を依然として追跡調査できる。タグの再コード化には、書き込み可能タグの使用、及び製品の所有者が変わる際の再コード化処理を実行することが含まれる。この場合、読取装置が、新しい情報のセットでタグを書き換え、元の電子製品コード(EPC)と新しいコードの間にマッピングを保持するであろう。製品の過去の所有者または将来の所有者は、マッピングにアクセスできなければタグ情報にアクセスすることはできない。該マッピングへのアクセスは、該マッピングを保持するデータベースによって強制されるプライバシー方針により制御できる―すなわち、セキュリティを強制するタスクはリソースが制限されているタグからデータベースに移る。この方式の欠点はインフラストラクチャを使用するコスト及び管理である。タグが付けられた商品の所有者または制御が変わるたびに、供給チェーン上の各団体は、再コード化処理を実行するために必要な装置を有さなければならない―これは追加のコストを表す。さらに、再コード化は、何らかの形式のアクセス制御が提供されない限り、悪意のある団体による再コード化に対して脆弱である。
【0010】
さらに別の公知の手法は、タグが読取装置によって照会されるたびにタグの識別子を修正することである。製品識別子と製品情報の間の関連は安全なデータベース内に維持されている。したがって、タグはハッシュ関数の使用によりその識別子を新たにすることによって読取装置に予想通りに応答しない。安全なデータベースはタグ出力のシーケンスを生成するために使用される秘密値にアクセスできるため、該データベースはタグ出力を製品情報にマッピングできる。
【0011】
以下を含むセキュリティを改善するための多様な提案が行われている。
【0012】
−A Juels及びR Pappu:「密告するユーロ:RFIDが使用可能にされた紙幣におけるプライバシー保護(Squealing Euros:Privacy−Protection in RFID−Enabled Banknotes)」、(金融暗号法2003年(Financial Cryptography‘03)、103〜121ページ、R.Wright編集。Springer−Verlag.2003年、LNCS第2742号)
−Sanjay E Sarma、Stephen A Weis及びDaniel W Engels:「RFIDシステムと、セキュリティ及びプライバシーとの係わり合い(RFID Systems and Security and Privacy Implications)」、(暗号ハードウェア及び埋め込みシステムに関するワークショップ(Workshop on Cryptographic Hardware and Embedded Systems)、454〜470ページ、コンピュータサイエンスのレクチャーノート(Lecture Notes in Computer Science)、2002年)
−A Juels「RFIDタグのための最小主義暗号法(Minimalist Cryptography for RFID Tags)」、(通信ネットワークのセキュリティ(Security of Communication Network)(SCN)、C.Blundo編集、2004年)
本発明の第1の態様によると、問い合わせ試行を検出すると、少なくとも2分岐のハッシュツリーのリーフまたはノードである、あるいは少なくとも2分岐のハッシュツリーのリーフまたはノードに基づく、識別子である出力を提供することによって反応するように構成されており、提供される前記識別子は、検出される問い合わせ試行ごとに異なる無線周波数識別トランスポンダが提供される。
【0013】
本発明の第2の態様によると、問い合わせ試行を検出すると、少なくとも2分岐のハッシュツリーのリーフまたはノードである、あるいは少なくとも2分岐のハッシュツリーのリーフまたはノードに基づく、識別子である出力を提供することによって反応するように構成されており、提供される前記識別子は、検出される問い合わせ試行ごとに異なり、検出される一連の問い合わせ試行のそれぞれに応えて、識別子の所定のシーケンスの内の1つの識別子を提供し、前記シーケンスは、前記ハッシュツリーのリーフの所定のシーケンスである、もしくは前記ハッシュツリーのリーフの所定のシーケンスに基づくものである無線周波数識別トランスポンダが提供される。
【0014】
本発明の第3の態様によると、所定の回数の読み取り試行の間だけある特定のトランスポンダを読み取る権利をRFIDトランスポンダの読取装置に与えるためのシステムが提供される。該システムは、
前記認証装置と、
認証手段と、
問い合わせ試行を検出すると、少なくとも2分岐のハッシュツリーのリーフまたはノードである識別子、あるいは少なくとも2分岐のハッシュツリーのリーフまたはノードに基づく識別子である出力を提供することにより反応するように構成された認証手段であって、提供される前記識別子が検出される問い合わせ試行ごとに異なるものを備え、前記認証手段と前記トランスポンダは前記タグのハッシュツリーの知識であって前記読取装置には知られていないものを共有し、
前記読取装置は、
(i)前記トランスポンダによって出力される識別子を取得するために前記トランスポンダに問い合わせるように構成され、
(ii)前記認証手段にコンタクトし、前記読取装置自体のアイデンティティ及び前記取得された識別子を明らかにするように構成され、
前記認証手段は、前記トランスポンダを読み取るための前記読取装置の資格をチェックし、前記読取装置が前記トランスポンダを読み取る資格がある場合に、前記ハッシュツリーについての情報を前記読取装置に提供し、前記所定の回数の問い合わせ試行にわたって/前記所定の回数の問い合わせ試行の間前記読取装置が前記トランスポンダを読み取ることを認めるように構成される。
【0015】
本発明のさらなる態様によると、無線周波数識別トランスポンダの読取装置に、所定の回数の読み取り試行の間だけある特定のトランスポンダを読み取る権利を与えるための方法が提供される。前記トランスポンダは、問い合わせ試行を検出すると、少なくとも2分岐のハッシュツリーのリーフまたはノードである、もしくは少なくとも2分岐のハッシュツリーのリーフまたはノードに基づく、識別子である出力を提供することによって反応するように構成されており、提供される前記識別子は、検出される問い合わせ試行ごとに異なる。該方法は、
(i)前記トランスポンダによって出力される識別子を取得するために前記読取装置で前記トランスポンダに問い合わせすることと、
(ii)前記読取装置から、認証機関に前記読取装置のアイデンティティ及び前記取得されたトランスポンダの識別子とを提供することと、を含む。
【0016】
前記認証機関が、前記トランスポンダを読み取るための前記読取装置の資格をチェックし、前記読取装置が前記トランスポンダを読み取る資格がある場合には、前記読取装置に前記ハッシュツリーについての情報を提供し、前記読取装置が前記所定の回数の問い合わせ試行にわたって/前記所定の回数の問い合わせ試行の間前記トランスポンダを読み取ることを許可する。
【0017】
本発明は、供給チェーン(chain)上を、あるいは複数の所有者の間で移動する商品(items)上のRFIDタグであって、認証された団体によってのみ、及び限られた回数の読取動作のためだけに識別されるべきRFIDタグの使用により生じるプライバシー及びセキュリティの問題に取り組む。これは、タグと読取装置間の結合をより短期的なものとすることによる仮名方式の使用、及び、読取装置に与えられるキーを信頼できるサードパーティによって準備することにより達成される。
【0018】
すべての読み取りのたびに読取装置がサードパーティに問い合わせることを必要とすることが従来の技術により考えられる手法であったが、代わりに、読取装置は、指定された数の読取動作の後に期限切れとなる一時的なキーを与えられる。これにより、商品が供給チェーンに沿って移動するにつれて、所望されるとおりに認証された読取装置を追加または削除できる柔軟なシステムが可能になる。
【0019】
本発明はこのようなRFIDシステムで使用可能な非常に限られたリソースも考慮に入れる。コスト検討のため、最も基本的なタグのみが、例えば消費者商品供給チェーンにおけるユビキタス展開のために検討される可能性が高い。このため、簡単な機能のみがタグで実施されなければならない。本発明は、タグ装置内での一方向ハッシュ関数、または擬似ランダム関数、あるいは一方向ハッシュ関数と擬似ランダム関数の組み合わせを使用することを必要とするであろう。
【0020】
ここで、本発明の実施形態は、添付図面に関して単なる一例として説明される。
【発明を実施するための最良の形態】
【0021】
図1は、本発明によるRFIDシステムの3つの主要な構成要素間の関係及び通信を示す、本発明の一実施形態の全体概略図である。多くのやり取りE1からE5が、イベントの過程において、タグ、読取装置、及びサードパーティ認証機関の間で行われる。
【0022】
図2は、典型的な読取及びアクセスのセッションのステップを説明するフローチャートである。
【0023】
本発明の実施形態は、図1及び図2に関連してここで説明される。
【0024】
図2のステップS1では、読取装置(4)が、適切な無線周波数の放射によりタグを走査することによりタグ(2)との初期接触する。これは、図1のE1とラベルが付けられた矢印で描かれている。
【0025】
ステップ2では、タグは該読取装置に対して、「仮名」を組み込んだ出力E2を送信することによって応答する。
【0026】
ステップ3では、読取装置が仮名(出力E2)を受け取る。読取装置が該読取装置の中に、読取装置が仮名を「復号する」ことを可能にする情報を有する場合(「イエス」)、読取装置はサードパーティ認証機関から復号キー(本説明の中では「シード」と呼ばれることもある)を求める必要はない。読取装置がこの情報を有さない場合(「ノー」)、プロセスは認証段階に進む。
【0027】
ステップ4は、認証プロセスの開始を表す。これはオプションのステップであり、読取装置からの異なるコマンドに応えて生成され得る。この段階の読取装置は、復号動作を可能にするためにタグからさらに多くの情報を取得してもよい。この情報は「ヒントメッセージ」の形であってもよいし、あるいはさらに長い仮名の形であってもよい。
【0028】
ステップ5では、読取装置は、読取装置(6)によって必要とされる情報を有するサードパーティ認証機関に認証要求(E5)を送信する。認証要求は、仮名、読取装置の信用証明書、及びオプションとしてヒントメッセージの組み合わせを含むことができる。読取装置の信用証明書は、特定の読取装置にタグの実際のIDに対する認証及びアクセスを認めるべきかどうかを判断する目的でサードパーティ認証機関が受け入れるであろう事前に合意された事項であってもよい。例えば、信用証明書は、読取装置自体のIDを含むか、読取装置自体のIDであろう。信用証明書は、加えて、または代わりに、供給チェーンにおける以前の団体によって読取装置に、電子請求書等によって渡される情報であろう。サードパーティ認証機関は、情報をリリースする前に読取装置を認証するために、証明書等の信用証明書をチェックする。読取装置がいったん認証されると、読取装置に許可されたアクセス権を検索することができ、これらの権利に従って情報をリリースされることができる。
【0029】
ステップ6では、サードパーティ認証機関は、該認証要求(E5)の有効性を判断する。読取装置が認証されるべきであることを確信すると、サードパーティ認証機関は読取装置に復号キー及びタグID(E6)をリリースしてもよい。読取装置によって接触される認証機関が、読取装置によって渡される情報を理解するほど十分なキーを有さない、あるいは読取装置のためのアクセスキー(複数の場合がある)を生成しない場合がある。この場合、認証機関はさらに大きなアクセス権を有する別の認証機関に該要求を渡してもよい。
【0030】
ステップ7では、読取装置はここで復号キーを有する。これにより読取装置は仮名を復号し、後述される方法によって実際のタグIDを取得することができる。ステップS3と関連して前述されたように、読取装置がその段階でキーを既に有している場合には、該読取装置は認証プロセス(ステップS1からS6)を迂回し、S7の復号プロセスに直接進むことができる。
【0031】
図1のやり取りE7とE8は、図4に関連して後述される。これらのやり取りは、使用においてさらに大きなセキュリティを提供する、タグと読取装置の相互認証のオプションのステップに関係する。
【0032】
本発明のこの実施形態では、読取装置はタグに対する一時的なアクセスのみを有するだろう。これは、限られた回数の読取だけを読取装置に認めることによって達成される。この制限に達し、読取装置がさらなるアクセスを必要とすると、新しい認証段階が申請されなければならない。
【0033】
サードパーティ認証機関の役割は、前述されたようにタグ製造者、もしくは発行者、あるいはタグの第1のユーザによって実現できる。該役割は、本願出願人の同時係属特許出願GB第0428543.3号に説明されている装置によっても実行できるであろう。少なくとも1つの認証機関がタグによって生成され得る仮名の全体的な集合の知識を有さなければならないが、追加の認証機関は、追加の認証機関がタグの寿命のうち一定期間だけアクセスを認めることが可能となる該知識の部分集合を委任されてもよい。認証機関を階層状につなげることにより、一次的な認証機関に課される負荷を削減できる。
【0034】
サードパーティ認証機関は、限られた回数、ある特定のタグ用の仮名を復号する能力を読取装置に与える時限秘密を計算できる。特に、サードパーティ認証機関は次のn回の仮名の識別を可能にする秘密を計算することが許され、ここで、nは適用方針によって指定される。秘密は安全なチャネルを通じて読取装置に通信される。
【0035】
問題は、過剰に複雑にすることなく、どのように大多数のタグに対して仮名システムを拡大させるのかである。n個のタグのデータベースでは、仮名を復号する1つの方法はn個すべてのタグを通して線形走査を実施することである。本発明の方式では、所有権及び時限秘密を移行させる追加の特長によっては復号の複雑さは増加せず、現在のRFID仮名解決策における複雑さと同程度のままである。
【0036】
図3は、前述のステップ4に関連して簡略に説明される、タグからヒントメッセージを生成する方法の表示である。読取装置がタグ(E3)からヒントメッセージを要求すると、次の仮名(E1)に対する要求からの異なるコマンドが使用されてよい。代わりに、単一の読取装置コマンドを使用でき、タグが周期的に―例えば、n個の仮名が生成されるたびに1つのヒントメッセージを―リリースできる。
【0037】
タグの出力(図1のやり取りE2)は読取動作ごとに変化する。特に、タグの各出力を、非認証の読取装置によって他のいかなる以前のタグまたは将来のタグと相互に関連付けることはできない。これは追跡を防止するために重要な特性であり、ヒントメッセージは同様に繰り返されてはならない。これは、(コマンドE3を通して)ヒントメッセージを特に必要とする読取装置は、ヒントがリリースされる前に、タグ仮名を(例えば複数の読取動作を行うことにより)n個のステップまで前進させなければならない。他の読取装置が該タグに対する同時アクセスを所望する場合は、ヒントを出力するこの方法が最も効率的ではない可能性がある。図10に関連する後述の説明は、ヒントメッセージに関して別の解決策も提供する。
【0038】
以下は、図1及び図2に説明されている該方法がどのようにして製薬業界の供給チェーンの状況で適用できるのかを示す図である。
【0039】
(薬物等の)医薬商品は、医薬商品の製造時にタグを固定される。タグは本発明による安全な方式を実現する。このような医薬商品は、通常複数一緒に梱包され、供給チェーンの次の団体―例えば販売業者―に送られる。各商品上のタグは、タグが供給チェーンを離れて、消費者領域に入る前に異なる団体によって複数回読み取られる。
【0040】
医薬商品が製造領域と卸売り領域の間を移動するとき、通常、請求書は移動先(例えば卸売業者)に送られる。請求書は製品の説明(例えば、製品のEPC)及びサードパーティ認証機関の場所(例えばユニフォームリソースロケータ)を含むことができる。これのみで、あるいは他の情報と結合されて、前述のステップS5で参照される読取装置の信用証明書のすべてまたは一部としての役割を果たす。商品が卸売業者に達すると、読取装置はタグの出力を読み取り、サードパーティ認証機関からのアクセス認証を要求するであろう。アクセスが認められた後、卸売業者はタグIDにアクセスできるであろう。このようなアクセスがあれば、卸売業者は次に請求書に一覧表示されたすべての製品が到着したことを検証できる。さらに、卸売業者は、データベースのタグと関連付けられる情報であって商品の製造日等の事柄についての情報を示し得る情報も調べることができるであろう。このようなデータベースは該卸売業者に局所的であってもよいし、あるいは、例えば、製造メーカによって維持され、最新の製品情報等を提供できるであろう、集中データベースであってもよい。
【0041】
薬局が医薬商品を注文すると、卸売業者は出荷及び請求書発行を手配する。該卸売業者は該薬局に該製品のEPC及び該サードパーティ認証機関の(URL等の)連絡先詳細を渡す。この情報は再び電子請求書に含まれてもよい。これらの詳細は、商品が該卸売業者から該薬局に出荷されるときに該商品に添付されてもよいが、もし、これらの詳細が別個に、好ましくは安全な方法で送信されれば、セキュリティが強化される。該医薬商品は該卸売業者から該薬局への該請求書または他のメッセージ上にも表示されるであろう包装IDまたは出荷IDを有し、これにより商品のEPC及び関連するURLは薬局によって受け取られる出荷品と明確に関連付けることができる。
【0042】
商品が薬局に到達すると、タグは再び読み取られ、サードパーティ認証機関から認証が再び要求される。
【0043】
もちろん、前述のプロセスのいかなる段階における出荷者もタグに対するアクセスを必要とする可能性があり、これはサードパーティ認証機関に要求を送信することによって同じように取得できるであろう。
【0044】
小売薬局に到達後、該商品は次に販売のために該薬局の棚の上に置かれる。商品が販売されると、所有権はエンドユーザに渡される。本発明によるセキュリティ解決策は、タグに対する該薬局のアクセスを無効にし、制御をユーザに渡す方法を含む。これは、システムの重要な特長である。例えば、3TCを処方された人はヒト免疫不全ウィルスを有する可能性が高く、このような情報が秘密に保持されることを望む可能性がある。
【0045】
ここで、タグは消費者領域内にある。消費者は2つのオプションを有する。第1のオプションは、ユーザは、さらなるサービスのためにタグを利用する必要がないというものである。この場合、本発明による解決策はユーザのプライバシーを保証する―、医療情報の追跡及び読み取りは不可能である。復号キーを使用しないでタグを読み取ろうとするいかなる試みも失敗するであろう。しかしながら、消費者はタグのIDにアクセスする必要がある場合がある。例えば、消費者は、特定の薬物が摂取されなければならないときを消費者に通知するような「知的棚(intelligent shelf)」上に商品を載せる場合がある。この場合、消費者の読み取り装置はサードパーティ認証機関からタグIDアクセスを要求する必要があるであろう。
【0046】
ユーザが未使用の薬物の入った薬物容器を処分するとき、処分会社はリサイクル目的でタグを使用できるであろう。この場合、本方式は消費者のプライバシーを保護するが、処分会社自体のデータベースに関する情報を追跡し、リンクする目的のタグの機能も維持する。
【0047】
図4は、ハッシュに基づいた仮名方式で発生するタグと読取装置の間のやり取りを描いている。例えば「HMAC:メッセージ認証のための鍵付きハッシュ法(HMAC:Keyed−Hashing for Message Authentication)」(RFC2104、1997年9月)にKrawczyk、H.Bellare、M and R Canettiによって説明されている鍵付きハッシュメッセージの使用に基づいた非認証の追跡及びタグの識別を防ぐことができる。
【0048】
セットアップ時、タグには一意の識別子の組(YID,ID)が与えられている。YIDはタグと認証された読取装置の間で共有される(ビットのシーケンスを含む)秘密である。Gは一方向関数(例えば、SHA1、あるいは擬似ランダム関数)であり、関数の作用は、関数の出力が入力についての情報をまったく明らかにしないというものである。照会時、タグは秘密「YID」に対する一方向関数の適用から生じる新しい要素を生成し、複数回の読み取りで一連の要素YID 1、YID 2...YID n−1、YID nを取得する。処理ごとに仮名Sk=r1、G(r1,G(r1,YID k))が生成され、タグによって読取装置に送信される。
【0049】
読取装置は、タグメッセージがオプションで、ID XOR G(r1,YID k)でタグに返答してもよいことを立証する組(YID,ID)を特定する。該タグと同じ組(YID,ID)を共有する読取装置によってだけG(r1,YID k)が生成できるので、この情報はタグに対して読取装置のIDを認証し、相互認証を可能にする。
【0050】
該組(YID,ID)を知らない読取装置にとっては、該タグの単一の出力は乱数値から区別することができず、以前の出力または将来の出力と相互に関連付けることができない。該タグと読取装置間の通信上の盗聴者は、該タグについて、いかなるさらなる情報をも獲得することはできない。
【0051】
前述された相互認証方法によれば、悪意のあるユーザがハッシュチェーン(hash chain)に沿ってタグ値を循環させる可能性や、またはタグもしくは本出願人の同時係属中の特許出願番号GB第0428543.3号に説明されている装置のような装置が合法的な読取装置を特定する可能性を制限することができる。
【0052】
前述されたような一方向関数によってタグ識別子を生成する公知の認証方法は、効率的な解決策であるとはいえない。第1に、該方法では、読取装置が、ハッシュ値を取得する際に、考えられるタグのすべての組み合わせを調べなければならないので、スケーラビリティの問題がある。第2に、該方法では、所有権の安全な移動をサポートしていない。以前にタグに対するアクセスが認められた読取装置は該タグを読み取り続けることができる。しかしながら、本発明の装置及び方法は両方の問題に対処する。
【0053】
図5は、2つの一方向関数を有する2分岐一方向ツリーを示している。該関数はここではそれぞれ「左」関数と「右」関数と呼ばれている。通常、該関数はSH1またはMD5アルゴリズム等の一方向ハッシュ関数を使用して構築できるであろう。
【0054】
ツリーにおけるキーのシーケンスは以下のように構築できる。初期のルートシード「S(ルート)」はツリーと関連付けられており、深さDのパラメータはツリーのリーフの数N=2d−1を表している。
【0055】
中間値は以下のように生成される。
【0056】
1.Dレベルのキー値は、Z(0)=左{Z(root)}、Z(1)=右{Z(root)}である。
【0057】
2.キーのD−1レベルは、Z(00)=左{Z(0)}、Z(01)=右{Z(0)}、Z(10)=左{Z(1)}、Z(11)=右{Z(1)}となるであろう。
【0058】
3.ツリーのD−2レベルは以下のとおりになるであろう。Z(000)=左{Z(00)}、Z(001)=右{Z(00)}、Z(010)=左{Z(01)}、Z(011)=右{Z(01)}、Z(100)=左{Z(10)}、Z(101)=右{Z(10)}、Z(110)=左{Z(11)}、Z(111)=右{Z(11)}等であり、Dレベルの深さに対して中間シード値の2分岐ツリーを作成する。
【0059】
この例では、以下が確認される。
【0060】
・レベル「i」でのシードはレベルの2^(i−1)個のリーフを生成する。
【0061】
・シードの子供たちは、「左」一方向関数と「右」一方向関数のおかげで互いに似ていない。
【0062】
・親は2倍の数のリーフを生成することができ、その結果、タグ識別子により大きなアクセスを与えるという点で、ツリーの中の子供は、親の半分の重要度である。ツリーの一部に対するアクセスが認められる場合、開示されるツリーの中のすべてのキーの計算を可能にするリーフに最も近いシードの、より小さな方の集合へのアクセスが与えられる。シードに対するアクセスが与えられると、受信機は、シードがツリーの中のどこに存在するのかを知る必要がある。
【0063】
例えば、D=8というツリーでは、アクセスがレベル3のシード(例えばS001)に与えられると、受信機は4つのリーフキーを生成できるであろう。他のすべてのキーは隠されたままとなる。レベルの選択が開示されるキーの数を制限する。読取装置によってさらに多くのキーがアクセスされる必要がある場合、読取装置アクセスを拡張するために1つまたは複数の新しいキーが開示されてもよい。
【0064】
前述のツールは、図4で前述されたハッシュに基づいた認証方式に適用することにより、読取装置に一時的なアクセスを認めるために使用され得るが、読取装置にとって使用可能な読み取り動作の数を制限する。かつていったん認証されたが、もはや認証されていない読取装置によるタグアクセスを制限する目的を達成することに加えて、これは読取装置にとって計算の複雑さを削減するのに役立つ。
【0065】
本発明のこの態様によると、認証プロトコルで使用されるシードYID kは2分岐一方向ツリーのリーフである。前述されたように、YID kは読み取り動作ごとに変更される。YID kはツリーのリーフに沿って進行する。
【0066】
本発明によるとこのように実現される方式の優位点は以下のとおりである。
【0067】
・明確なシーケンスが読取装置に提示されることにより、読取装置と該シーケンスの知識を共有するタグとが通信できる。
【0068】
・ツリーの中の中間値を明らかにすると、読み取り装置にサブシーケンスを明らかにすることができる。(読取装置は、読取装置が理解するツリーリーフ値を使い果たすので)読取装置は限られた数の読取動作に対するタグを認証し、アクセスできるにすぎない。
【0069】
「n」回の動作のためのタグへのアクセスを得るために、読取装置は、log(n)+1のレベルでのわずか1シードが与えられればよい。例えば、レベル4での単一のシード値を知ることによって8回の読み取り動作を認めることができる。代わりに、8回の読み取り動作は、それぞれがレベル3での2つのシードによって認められてもよい。「n」回の動作のために付与されなければならないキーの数は、ツリーの中の開始位置に応じて変化する。
【0070】
ツリーの値を知っている読取装置は、今及び十分なシードが分かっている読み取り動作の間だけ、タグに緩やかに結合されている。すべてのタグは、読み取り照会ごとに新しい仮名を生成する。読取装置は、該読取装置に認められている読み取り動作の回数だけ、該タグを追跡し、アクセスすることができるにすぎないため、商品の所有者が変わるときにタグ再コード化処理は必要とされない。読取装置が該読取装置に認められている、認められた数の動作の最後に達すると、該読取装置の該タグに対するアクセスは自動的に終了する。読み取り動作が以前の団体によって未使用なまま、ある団体から供給チェーン上の次の団体にタグが移動する場合、これらの動作を廃棄することが可能である。これは、該タグの複数回の読み取りによって達成でき、あるいは読み取りプロトコルが拡張される場合は、ツリーのリーフに沿っていくらかの距離にある値まで直接的にスキップすることが可能となる。これは、該タグに新しい秘密を書き込む必要なく、該タグに対する以前のアクセス権を取り消すために役立つ。
【0071】
読取装置とタグの間の結合はサードパーティ認証機関に任されている。考えられるシナリオでは、元の製造者が組(YID,ID)を制御し、タグが読取装置の信用証明書を記憶し、アクセスを認める、もしくは拒否するためのサードパーティ認証機関としての機能を果たす。読取装置が特定のタグにアクセスする必要があるときには、それはシードの集合(またはツリーの要素)を要求する。集合は、要求された回数の読み取り動作のアクセスを与える、ツリーの中間ノードからなる。許可された動作の回数は、新しい認証要求によって拡大され得る。
【0072】
認証を要求するとき、新たな読取装置はサードパーティ認証機関にタグの現在の状態を知らせなければならない。これは、サードパーティ認証機関がタグの現在の状態、及びタグがどのリーフ(leaf)の値を使用しているのかを知らないためである。サードパーティ認証機関は、タグIDとツリーシーケンスの現在の状態の両方を、タグによって生成される該仮名値から計算できるであろう。
【0073】
サードパーティ認証機関はある特定の読取装置に対し、該読取装置が該タグのIDを事前に知ることなく、どのシードを分配するべきかを知る必要がある。該タグが現在認証されていない読取装置に、該タグIDについての情報をリリースできない場合、タグID/現在のキー値の組の単一化(singulation)を助けるために、ツリーシーケンスの状態についての情報を代わりにリリースすることができる。
【0074】
1つの手法は、読取装置が、アクセス要求する際に、サードパーティ認証機関に対して、現在のタグメッセージ及びルートから現在使用されているリーフの値までの経路に沿って仮名ツリーの中の中間ノードから生成されるヒントメッセージとともに、通常の信用証明書を提供することである。
【0075】
前述された方式を用いる場合、サードパーティ認証機関がタグから仮名だけを受け取るならば、その特定のタグの正しいIDを特定するためのプロセスはO((n)(N))のオーダーの複雑さを有し、ここで、nはツリーによって生成されているリーフの数を表し、Nはサードパーティ認証機関によって管理されているタグの数を表す。
【0076】
ヒントメッセージを使用することにより、タグを特定するための計算の複雑さをO(N)のオーダーの複雑さにまで削減できる。本発明の方式においては、すべての考えられる仮名空間を検索するよりも迅速にタグを特定するためにヒントが使用され得る。ツリー場所ヒント及びルートからリーフへのヒントという2つの異なるヒント機構解決策が提案される。
【0077】
一例として、セットアップ時、タグには再び一意の組(YID,ID)が提供され、ここで、YIDはそのタグのためのツリーのルートシードである。ツリー深さがlog(n)+1である場合に「n」回の読み取り動作のためのツリーがあると仮定される。
【0078】
n=4096のタグは、深さd=12+1のツリーを必要とする。タグが中間ノード値を維持するならば、2個の一方向ハッシュ関数の平均(最小1,最大log(n))が、読み取り動作ごとに計算される必要がある。ツリーを維持するために、タグは、例えばカウンタを用いて、ツリーの中の現在の位置を記憶することが要求される。照会時、タグは新しいリーフ「Yleaf」(以前はYID kと呼ばれていた)を生成し、メッセージSk=G(r1,G(r1,(Yleaf))を生成する。
【0079】
認証された読取装置はツリーの部分集合に対するアクセスを認められていると仮定する。タグは組(Yi,ID)により読取装置によって特定され、ここでYiはレベル「i」でのツリーの要素である。レベル「i」(i=1がツリーのリーフである)での秘密は2(i−1)回の読み取り動作に対するアクセスを認める。効率化のために、読取装置によって特定のタグにアクセスするために実行される必要のある作業量(2(2(i−1))−2回までのハッシュ関数評価)を制限するよう、「i」は小さい値を選ばれる。タグメッセージを受け取る際、読取装置は、タグメッセージを検証する組(Yi,ID)を見つける。
【0080】
平均して、タグに対して4回の一方向ハッシュ関数の呼び出し(つまり、2分岐ツリーに対して2回とGに対して2回)が、読み出しサイクルごとに必要とされる。ツリー情報はサイクルごとに更新される必要がある。この例は2分岐一方向ツリーを使用し、タグはルート秘密からツリーの現在のリーフまでlog(n)+1の秘密を記憶することができる。
【0081】
読取装置がタグのアイデンティティを知らないときに、タグアイデンティティがどのようにして特定できるのかという問題でスケーラビリティの問題が生じる。例えば、読取装置は新しいタグを受け取り、該読取装置は仮名を復号するためにどの秘密が使用されなければならないのかを知らない。サードパーティ認証機関はアクセスを認めることができるが、そのためにはサードパーティ認証機関はタグによって使用されている現在のツリーのリーフについての何らかの情報を有している必要がある。
【0082】
図7は本発明による解決策を描いている。
【0083】
タグは、ツリー場所ヒントを生成できる。ヒントメッセージは、2分岐一方向ツリーの中のシードを指す情報を含んでいる。したがって、該ヒントは、該ツリーのどの部分が現在使用されているのかを示すインジケータとして機能することができる。ヒントメッセージを利用することにより、サードパーティ認証機関はタグを特定し、認証されている読取装置に、その時点から有効な、該タグにアクセスするためのシードの有効な集合を開示することができる。ヒントメッセージは、仮名を生成するために使用されるルートシードと、現在の仮名自体の間の異なるレベルでリリースできる。
【0084】
ここで説明されている方式においては、図3で前述されたように仮名値は、ツリーの中間ノードから生成されるヒントとインタリーブされる。実際には、レベルがタグの出力によって明確に示されている限り多くのレベルを使用することができるが、この例では、中間ノードの1つのレベルだけがヒントメッセージを生成するために使用されている。(異なるレベルの)ヒントと仮名をインタリーブすることの欠点の1つは、何らかのシーケンス情報が非認証の読取装置にとって明らかとなり、制限された範囲でのタグの追跡に使用される可能性があるという点である。別の欠点は、タグの仮名はヒント値を取得するために慎重に前進されなければならないという点である。これらの問題点は、図10に関連して後述されるヒントメッセージを提供する代替方法によって対処される。
【0085】
以下のステップでは、現在のタグを特定するためにヒントメッセージがどのように使用され得るのかを示す。
【0086】
2i回の読み取り動作ごとに、タグはヒントメッセージを開示する。ヒントはH(Yi)であってもよく、ここで、Yiは、2(i−1)回の動作へのアクセスを認めるレベルiにおけるシードであり、Hはハッシュ関数である。H(Yi)は一方向関数であるため、ツリーについてのいかなる情報をも敵対者に開示しない。H(Yi)はサードパーティ認証機関によって共有されて(知られて)いる。
【0087】
このヒントは、アクセスを要求するために読取装置により使用される。読取装置が新しいタグを受け取ると、読取装置はH(Yi)を取り出す必要がある。図3に示されている方式による読取装置は、ヒント値が開示されるまで繰り返しタグを読み取る。この時点で、読取装置はサードパーティ認証機関にアクセスし、認証機関にヒントメッセージを提供することによりアクセスを要求できるであろう。
【0088】
読取装置が認証されると、サードパーティ認証機関は次に該シード値Yiを読取装置に通信する。読取装置は一時的にアクセスが認められる。
【0089】
ヒントメッセージの使用は、使用によって複雑さが極端に削減されるため、有益である。ヒントメッセージを使用しない場合、以下のどちらかのときに問題が発生する。
【0090】
・タグが、新しい所有者に予期せずに到達し、タグとともに情報が転送されない。
【0091】
・タグが特定の読取装置によって前回走査されて以来、他の団体が該タグに対して未知数の読み取りを実行した。
【0092】
これらの例では、読取装置は、考えられるタグごとに仮名チェーンに沿って制限されたチェックを行った後にあきらめ、該タグは知らされていないものであると結論付けなければならない。読取装置は、知らされていないタグに対する応答と、知らされているタグからの仮名であるが、読取装置がチェックした点を越えているものとを区別できない。
【0093】
ヒントメッセージを用いると、複雑さはO((k)(N))にまで削減され、ここでkは開示されているシードのレベルに依存している。レベルが高い場合(ヒントがルートに近い場合)、サードパーティ認証機関は、正しいツリーを見つけ、タグを特定するために限られた数のハッシュ動作を実行しなければならないであろう。例えば、d=10(ツリーディメンジョン)、i=8であれば、キー認証機関はタグを特定するため2(d−i)=4個の秘密にわたって処理する。検索の複雑さはO(4*N)である。
【0094】
この第1の実施形態では、プロセスは以下のように働く。
【0095】
1.該読取装置は、タグから現在の仮名を読み取り、該仮名を、予想される仮名値の空間に突き合わせようと試みる。
【0096】
2.この突き合わせが失敗すると、読取装置はタグからヒント値を取得する。これは、ヒント値が得られるまで反復的に読み取ることによって、あるいはヒント値が与えられるまでタグを自動的に前進させる特別な指令によって取得できる。
【0097】
3.ヒント値が、読取装置に知らされているキーによってカバーされることができる、ハッシュツリー中のあるレベルにある場合、読取装置はヒント値を知らされているタグと付き合わせようと試みることができる。例えば、ツリーのリーフから4レベル分上のヒント値に突き合わせようと試みることは、ツリーのリーフに沿って32個の仮名の空間を検索することに同等である。したがって、より高レベルの知らされているヒント値に沿って検索することによって、タグが知らされている場合には読取装置は迅速に特定できる。タグは、使用されているヒントのレベルについての情報を読取装置に提供しなければならない。
【0098】
4.取得されたヒント値が、読取装置が知らされているよりツリーの中で高い場合、あるいはヒント値が読取装置に知らされているシーケンスを越えて下にあるためにヒント値を突き合わせることができない場合には、読取装置はサードパーティ認証機関に尋ねなければならない。この認証機関はルートシードを知っている可能性があり、したがってツリーのすべて、あるいはツリーの一部にすぎないが、読取装置自体が知らされているより多くのシードを有する部分を知っている可能性がある。
【0099】
5.前述の認証機関がヒントメッセージを復号できない場合、要求は、該ヒント値を復号するために、ツリー全体の知識を有するルート認証機関のような別の認証機関に問い合わされてよい。
【0100】
ルート認証機関は、認証機関がツリーのルート秘密を知っているためにタグを常に復号することができる。ルート認証機関の場合、ヒント値を復号する経費はツリーにおけるヒントのレベルに依存している。ヒントがルート値自体である場合には、認証機関はルートシードの一覧表示の中の値を即座に調べることができる。ルートからいくらかのレベルだけ下の場合、タグごとに考えられる値のすべてを事前に計算しておき、即座に調べることもできる。この突き合わせが失敗する場合、タグは認証機関に知らされていないものである。ツリーの中のさらに低いヒント値の場合、認証機関はツリーの中の最新の知らされている位置を記憶し、値の限られた空間に沿ってチェックする。この検索が失敗すると、タグは知られていないものであるか、あるいは仮名ツリーに沿って、識別が失敗するほど十分に前進されたものである可能性がある。ヒントメッセージの限られた集合を検索することは、ツリーのリーフに沿ってはるかに大きな仮名空間を検索することに同等であることが再び留意されるべきである。
【0101】
ツリーの中の複数のレベルが、本発明によるシステムにおけるヒント値として使用され得ることが留意されるべきである。実際には、1つの解決策は、「ルートからリーフまでのヒント」を提供することによってツリーの中のすべてのレベルを使用することである。ヒントをすべてのレベルでリリースする1つの適用は以下のように説明される。
【0102】
インタリーブされた仮名値及びヒントメッセージは、読取装置の要求に応えて生成され得る。タグは両方の場合で同じ方式で応えることができるが、リーフにおけるハッシュ値の代わりに、ツリーの中の中間ノードの、すなわち該リーフよりルートにさらに近いノードのハッシュ値を使用する。ヒントメッセージのリリースは、このようにして仮名シーケンスに一体化され得る。例えば、ハッシュ値は、図5に描かれているツリーの中の値であって左から右へ明らかにされるものであってもよい。
【0103】
この図では、タグ応答を生成するために使用されるハッシュ値は以下のように進行してよい。つまり、Z000、Z00、Z001、Z0、Z010、Z01、Z011等である。読取装置がどのハッシュ値と一致させようと試みるのかを突き止められるように、各リリースは、使用されるレベルで特定されなければならない。
【0104】
本発明のシステムにおいてヒントメッセージを含むことの費用の利点がここで説明される。上記において留意されたように、仮名を受け取っている読取装置は、ヒントメッセージなしでタグを特定するのに困難を感じることがある。仮名は予想される仮名及びタグの集合に突き合わされる。タグの集合は(どの製品が、その日に、ある特定の読取装置の前に到達するのか等についてのプロセス/在庫知識等の)知識によって制限され得る。しかしながら、前回知られている仮名値から検索を開始することによって、仮名検索は制限できる。ヒントメッセージを使用することにより、ツリーの中の中間レベルでの、はるかに小さな値の集合にわたって検索を実行することが可能となる。さらに、ツリーの複数のレベルから取得されるヒントは、(高レベルヒントから)タグの迅速な識別と、現在のリーフの仮名まで下る(しかし、中間レベルのヒントに一致する)ナビゲーションの容易化の両方を同時に可能にすることができる。
【0105】
ここで、仮名を、結合されたタグメッセージ中のヒントと結合することによって、該タグ読み取り動作の効率を改善する第2の実施形態を提示する。
【0106】
(図8、図9及び図10に示されている)この手法は、ヒント情報を、仮名とともにタグ応答の一体化した一部としてリリースする。タグ応答がより大きくなっても、上記において図3との関連で説明されている実施形態のために必要とされるように、ヒント値を取得するために読取装置によって仮名を前進させる必要がないため、優位点は相当である。また、仮名と同時にリリースされたヒント値によって、読取装置(または認証機関)は、突き合わせのために空間を検索する代わりに仮名まで直接にナビゲーションできる。
【0107】
該代替手法は、バックエンドシステムの複雑さを減ずるが、読取装置とタグの間でやり取りされるメッセージという点では通信の複雑さを大きくする。
【0108】
ここでは、Hは一方向ハッシュ関数として定義され、Rは擬似乱数として定義されている。タグは1組の識別子(YID,ID)により特定され、ここでYIDは秘密であり、IDがタグ識別子である。読み取り動作中、読取装置は乱数R1を送信し、応えてタグはメッセージR1、R2、H(R1,R2,YID)を送信する。該組(YID,ID)にアクセスできる読取装置だけが該タグを特定できる。
【0109】
乱数の生成は、(i)乱数発生器によって、または(ii)一方向ハッシュ関数によっての2通りで行うことができる。一方向ハッシュ関数の使用では、乱数であるRをR=H(CNT,S)によって生成し、ここで、CNTは読み取り動作ごとに増分されるカウンタであり、Sは128ビットの(共有されていない)秘密であり、Hは一方向ハッシュ関数または擬似乱数−関数である。
【0110】
この方式は、David Molnar、David Wagnerによる出版物、「ライブラリRFID問題におけるプライバシーとセキュリティ、実践及びアーキテクチャ(Privacy and security in library RFID issues、Practices and Architectures)」(2004年ACMコンピュータ及び通信セキュリティ会議に提案されている示唆のいくつかを実現する。しかしながら、Molnar及びWagnerの方式は、タグの付けられている商品の制御者または所有者が変わることを許さないのに対して、2分岐一方向ハッシュツリーを適用する本発明者らの手法はタグアイデンティティに対する制限されたアクセスの提供を可能にする。
【0111】
上記に提示された一方向2分岐ツリーツールを適用する際に、バックエンドシステムの計算の複雑さは削減される。秘密YIDは2分岐一方向ツリーにおけるシードと関連付けられている。前述された第1の方式とは異なり、タグは、ツリーのリーフと関連付けられている単一の出力を生じさせるのではなく、ツリーのルートからリーフまでの異なる秘密と関連付けられている複数の出力を生じさせる。
【0112】
図8に図示されているように、該タグは、セットアップ時に識別子の一意の組(Z−Root,ID)を提供され、ここで、YID=ZRootはツリーのルートシードである。その結果、「n」回の読み取り動作のためのツリーがあり、ここで、ツリー深さD=log(n)である。2個の一方向ハッシュ関数の平均が読み取り動作ごとに計算される必要があるであろう。
【0113】
読取装置によって問い合わせられるとき、タグは新しい枝を含むツリーの新しいリーフを生成する。読取装置は乱数R1を送信し、タグはメッセージR1、R2、H(R1,R2,Z−root)、H(R1,R2,Zi)、H(R1,R2,Zi+1)、H(R1,R2,Zlog(n))のシーケンスを送信する。シーケンスのメッセージは、ツリーのルートからリーフまでの異なるシードと関連付けられている。
【0114】
この場合、タグはリーフから生成される単一の仮名で特定されるのではなく、メッセージのシーケンスで特定される。読取装置またはサードパーティ認証機関は、共有されているシードから複雑さO(N.log(n))を有するリーフまでタグの認証を進める必要はなく、複雑さO(N)を有するシードに直接にアクセスする。
【0115】
前述された場合におけるのと同様に、認証された読取装置はツリーの部分集合に対するアクセスを与えられたと仮定できる。図9では、タグは1組(Yi,ID)を通して読取装置によって特定され、ここでYiはレベル「i」でのツリーの要素である。レベル「i」での秘密は2(i−1)回の読み取り動作のためのアクセスを与える。タグメッセージを受け取ると、バックエンドシステムはタグメッセージを検証する組(Yi,ID)を見つける。
【0116】
本方式は前述されたのと同程度にプライベートなものであるが、該方式は限られたコストのタグの認証を可能にする。タグの数O(N)に線形なコスト、及び通信コストは、O(log(n))の複雑さを有している。この方式では、異なるメッセージの出力を少ないビットに切り捨てることができ、通信コストを改善できることができることに留意することが重要である。
【0117】
図10は、本実施形態におけるヒントメッセージの役割を描いている。
【0118】
例えば図1に関連して説明されている前記の第1の方式では、タグがいくつかの明白なヒントを生成する。ヒントメッセージを利用することにより、サードパーティ認証機関はタグを特定し、タグにアクセスするために有効なシードを認証されている読取装置に開示できる。
【0119】
しかしながら、この場合、明白なヒントメッセージを生成する必要はない。読取装置が認証されないメッセージを受信すると、読取装置はメッセージを、ルートシードを検証し、タグを識別できるサードパーティ認証機関に渡す。この場合、タグの出力は暗示的にインデックス情報を含む。タグを特定後、サードパーティ認証機関は特定の回数の読み取り動作のための特定のタグへのアクセスを認める。
【0120】
スケーラビリティという点でのさらなる改善は、本方式を、上記に引用された論文の中でMolnar及びWagnerによって提案された仮名ツリーを用いて実現することによって達成できる。結合方式のためのサードパーティの検索のコストはO(log(N))となり、該方式は所有権の制御及び該タグアイデンティティに対する制限されたアクセスを可能にするであろう。分岐因子が2の場合の方式を説明してきたが、実際にははるかに大きな因数(例えば10)を使用できるであろう。分岐因子がさらに大きくなると、タグの記憶及び該タグのための計算費用が削減されるであろう。
【0121】
本発明は、認証された読取装置だけが、限られた期間、該読取装置に関連する情報にアクセスできるようにする安全で効率的な方法を説明している。これは、タグ識別子を絶えず変更し、タグアクセスを制御するためのさらに多くの柔軟性を与えることにより達成される。
【0122】
当業者は、本発明を実現する他の方法があってよく、したがって本発明が、本明細書に説明されている特定の実現例に制限されておらず、本発明が説明されている特定の状況での使用に制限されていないことも理解するであろう。例えば、前述されたツリー構造の使用は2分岐のツリーに制限されていない―さらに多くの分岐のあるツリーも使用できるであろう。
【図面の簡単な説明】
【0123】
【図1】RFIDシステム内のタグに対する一時アクセスを読取装置に提供するための本発明の一実施形態を描く。
【図2】図1に描かれている方法のステップを説明するフローチャートである。
【図3】どのように、タグがタグ仮名及びヒントメッセージを生成できるのかの第1の実施形態を描く。
【図4】ハッシュ方式に基づいたプライベート認証方式を描く。
【図5】2分岐一方向ツリーを描く。
【図6】一方向2分岐ツリーを有するハッシュ方式に基づいたプライベート認証方式を描く。
【図7】一方向2分岐ツリーと関連してタグにアクセスするためにヒントメッセージがどのようにして使用されるのかを描く。
【図8】本発明の代替実施形態における一方向2分岐ツリーの使用を描く。
【図9】本発明の代替実施形態における読取動作を描く。
【図10】本発明の代替実施形態のヒントメッセージの処理を描く。
【特許請求の範囲】
【請求項1】
問い合わせ試行を検出すると、少なくとも2分岐のハッシュツリーのリーフまたはノードである、あるいは少なくとも2分岐のハッシュツリーのリーフまたはノードに基づく、識別子である出力を提供することによって反応するように構成されており、提供される前記識別子は、検出される問い合わせ試行ごとに異なる、無線周波数識別トランスポンダ。
【請求項2】
問い合わせ試行を検出すると、少なくとも2分岐のハッシュツリーのリーフまたはノードである、あるいは少なくとも2分岐のハッシュツリーのリーフまたはノードに基づいている、識別子である出力を提供することによって反応するように構成されており、提供される前記識別子は、検出される問い合わせ試行ごとに異なる、無線周波数識別トランスポンダであって、検出される一連の問い合わせ試行のそれぞれに応えて、識別子の所定のシーケンスの内の1つの識別子を提供し、前記シーケンスは、前記ハッシュツリーのリーフの所定のシーケンスである、もしくは前記ハッシュツリーのリーフの所定のシーケンスに基づくものである、無線周波数識別トランスポンダ。
【請求項3】
問い合わせ試行の検出に応えて前記トランスポンダにより出力される各識別子は、(i)前記ハッシュツリーのリーフ、もしくは前記ハッシュツリーのリーフに基づくもの、または(ii)前記ハッシュツリーのノード、もしくは前記ハッシュツリーのノードに基づくものの組み合わせである、またはこのような組み合わせに基づく、請求項1または請求項2に記載の無線周波数識別トランスポンダ。
【請求項4】
問い合わせ試行の検出に応えて前記トランスポンダにより出力される各識別子は、(i)前記ハッシュツリーのリーフ、もしくは前記ハッシュツリーのリーフに基づく、または(ii)前記ハッシュツリーのノード、もしくは前記ハッシュツリーのノードに基づくかのいずれかである、請求項1または請求項2に記載の無線周波数識別トランスポンダ。
【請求項5】
問い合わせ試行の検出に応えて前記トランスポンダにより出力される各識別子が、前記ハッシュツリーのリーフである、もしくは前記ハッシュツリーのリーフに基づく、請求項4に記載の無線周波数識別トランスポンダ。
【請求項6】
前記ハッシュツリーは一方向バイナリハッシュツリーである、請求項1乃至請求項5のいずれか1項に記載の無線周波数識別トランスポンダ。
【請求項7】
RFIDトランスポンダの読取装置に、所定の回数の読み取り試行の間だけある特定のトランスポンダを読み取る権利を与えるためのシステムであって、
前記認証装置と、
認証手段と、
問い合わせ試行を検出すると、少なくとも2分岐のハッシュツリーのリーフまたはノードである識別子、あるいは少なくとも2分岐のハッシュツリーのリーフまたはノードに基づく識別子である出力を提供することにより反応するように構成されており、提供される前記識別子が検出される問い合わせ試行ごとに異なる無線周波数識別トランスポンダとを備え、前記タグのハッシュツリーの知識であって前記読取装置には知られていないものを前記認証手段と前記トランスポンダは共有し、
前記読取装置は、
(i)前記トランスポンダによって出力される識別子を取得するために前記トランスポンダに問い合わせるように構成され、
(ii)前記認証手段にコンタクトし、前記読取装置自体のアイデンティティ及び前記取得された識別子を明らかにするように構成され、
前記認証手段は、前記トランスポンダを読み取るための前記読取装置の資格をチェックし、前記読取装置が前記トランスポンダを読み取る資格がある場合に、前記ハッシュツリーについての情報を前記読取装置に提供し、前記所定の回数の問い合わせ試行にわたって又は前記所定の回数の問い合わせ試行の間に前記読取装置が前記トランスポンダを読み取ることを認めるように構成された、システム。
【請求項8】
無線周波数識別トランスポンダの読取装置に、所定の回数の読み取り試行の間だけある特定のトランスポンダを読み取る権利を与えるための方法であって、前記トランスポンダは、問い合わせ試行を検出すると、少なくとも2分岐のハッシュツリーのリーフまたはノードである、もしくは少なくとも2分岐のハッシュツリーのリーフまたはノードに基づく、識別子である出力を提供することによって反応するように構成されており、提供される前記識別子は、検出される問い合わせ試行ごとに異なり、
(i)前記トランスポンダによって出力される識別子を取得するために前記読取装置で前記トランスポンダに問い合わせすることと、
(ii)前記読取装置から、認証機関に前記読取装置の前記アイデンティティ及び前記取得されたトランスポンダ識別子を提供することと、
(iii)前記認証機関が、前記トランスポンダを読み取るための前記読取装置の資格をチェックし、前記読取装置が前記トランスポンダを読み取る資格がある場合には、前記読取装置に前記ハッシュツリーについての情報を提供して、前記読取装置が前記所定の回数の問い合わせ試行にわたって又は前記所定の回数の問い合わせ試行の間前記トランスポンダを読み取ることを許可することと、を備える方法。
【請求項1】
問い合わせ試行を検出すると、少なくとも2分岐のハッシュツリーのリーフまたはノードである、あるいは少なくとも2分岐のハッシュツリーのリーフまたはノードに基づく、識別子である出力を提供することによって反応するように構成されており、提供される前記識別子は、検出される問い合わせ試行ごとに異なる、無線周波数識別トランスポンダ。
【請求項2】
問い合わせ試行を検出すると、少なくとも2分岐のハッシュツリーのリーフまたはノードである、あるいは少なくとも2分岐のハッシュツリーのリーフまたはノードに基づいている、識別子である出力を提供することによって反応するように構成されており、提供される前記識別子は、検出される問い合わせ試行ごとに異なる、無線周波数識別トランスポンダであって、検出される一連の問い合わせ試行のそれぞれに応えて、識別子の所定のシーケンスの内の1つの識別子を提供し、前記シーケンスは、前記ハッシュツリーのリーフの所定のシーケンスである、もしくは前記ハッシュツリーのリーフの所定のシーケンスに基づくものである、無線周波数識別トランスポンダ。
【請求項3】
問い合わせ試行の検出に応えて前記トランスポンダにより出力される各識別子は、(i)前記ハッシュツリーのリーフ、もしくは前記ハッシュツリーのリーフに基づくもの、または(ii)前記ハッシュツリーのノード、もしくは前記ハッシュツリーのノードに基づくものの組み合わせである、またはこのような組み合わせに基づく、請求項1または請求項2に記載の無線周波数識別トランスポンダ。
【請求項4】
問い合わせ試行の検出に応えて前記トランスポンダにより出力される各識別子は、(i)前記ハッシュツリーのリーフ、もしくは前記ハッシュツリーのリーフに基づく、または(ii)前記ハッシュツリーのノード、もしくは前記ハッシュツリーのノードに基づくかのいずれかである、請求項1または請求項2に記載の無線周波数識別トランスポンダ。
【請求項5】
問い合わせ試行の検出に応えて前記トランスポンダにより出力される各識別子が、前記ハッシュツリーのリーフである、もしくは前記ハッシュツリーのリーフに基づく、請求項4に記載の無線周波数識別トランスポンダ。
【請求項6】
前記ハッシュツリーは一方向バイナリハッシュツリーである、請求項1乃至請求項5のいずれか1項に記載の無線周波数識別トランスポンダ。
【請求項7】
RFIDトランスポンダの読取装置に、所定の回数の読み取り試行の間だけある特定のトランスポンダを読み取る権利を与えるためのシステムであって、
前記認証装置と、
認証手段と、
問い合わせ試行を検出すると、少なくとも2分岐のハッシュツリーのリーフまたはノードである識別子、あるいは少なくとも2分岐のハッシュツリーのリーフまたはノードに基づく識別子である出力を提供することにより反応するように構成されており、提供される前記識別子が検出される問い合わせ試行ごとに異なる無線周波数識別トランスポンダとを備え、前記タグのハッシュツリーの知識であって前記読取装置には知られていないものを前記認証手段と前記トランスポンダは共有し、
前記読取装置は、
(i)前記トランスポンダによって出力される識別子を取得するために前記トランスポンダに問い合わせるように構成され、
(ii)前記認証手段にコンタクトし、前記読取装置自体のアイデンティティ及び前記取得された識別子を明らかにするように構成され、
前記認証手段は、前記トランスポンダを読み取るための前記読取装置の資格をチェックし、前記読取装置が前記トランスポンダを読み取る資格がある場合に、前記ハッシュツリーについての情報を前記読取装置に提供し、前記所定の回数の問い合わせ試行にわたって又は前記所定の回数の問い合わせ試行の間に前記読取装置が前記トランスポンダを読み取ることを認めるように構成された、システム。
【請求項8】
無線周波数識別トランスポンダの読取装置に、所定の回数の読み取り試行の間だけある特定のトランスポンダを読み取る権利を与えるための方法であって、前記トランスポンダは、問い合わせ試行を検出すると、少なくとも2分岐のハッシュツリーのリーフまたはノードである、もしくは少なくとも2分岐のハッシュツリーのリーフまたはノードに基づく、識別子である出力を提供することによって反応するように構成されており、提供される前記識別子は、検出される問い合わせ試行ごとに異なり、
(i)前記トランスポンダによって出力される識別子を取得するために前記読取装置で前記トランスポンダに問い合わせすることと、
(ii)前記読取装置から、認証機関に前記読取装置の前記アイデンティティ及び前記取得されたトランスポンダ識別子を提供することと、
(iii)前記認証機関が、前記トランスポンダを読み取るための前記読取装置の資格をチェックし、前記読取装置が前記トランスポンダを読み取る資格がある場合には、前記読取装置に前記ハッシュツリーについての情報を提供して、前記読取装置が前記所定の回数の問い合わせ試行にわたって又は前記所定の回数の問い合わせ試行の間前記トランスポンダを読み取ることを許可することと、を備える方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公表番号】特表2008−527556(P2008−527556A)
【公表日】平成20年7月24日(2008.7.24)
【国際特許分類】
【出願番号】特願2007−550836(P2007−550836)
【出願日】平成18年1月11日(2006.1.11)
【国際出願番号】PCT/GB2006/000085
【国際公開番号】WO2006/075150
【国際公開日】平成18年7月20日(2006.7.20)
【出願人】(390028587)ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー (104)
【氏名又は名称原語表記】BRITISH TELECOMMUNICATIONS PUBLIC LIMITED COMPANY
【Fターム(参考)】
【公表日】平成20年7月24日(2008.7.24)
【国際特許分類】
【出願日】平成18年1月11日(2006.1.11)
【国際出願番号】PCT/GB2006/000085
【国際公開番号】WO2006/075150
【国際公開日】平成18年7月20日(2006.7.20)
【出願人】(390028587)ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー (104)
【氏名又は名称原語表記】BRITISH TELECOMMUNICATIONS PUBLIC LIMITED COMPANY
【Fターム(参考)】
[ Back to top ]