物品情報の取得
【解決手段】 物品(10)に関する物品情報をユーザに取得させるための方法および装置。物品は物品と関連付けされた物品識別手段(12)と、現在適用可能なトリガ信号にさらされた際に所定の応答を提供するように構成されているRFID応答手段(14)と、を有している。上述の方法は、物品識別手段(12)から物品識別情報を確立する工程と、物品識別情報を用いて物品情報源(30)からRFID応答手段のための現在適用可能なトリガ信号を決定する工程と、RFID応答手段を現在適用可能なトリガ信号にさらす工程と、RFID応答手段から所定の応答を受け取る工程と、所定の応答を用いて物品情報源から物品情報を得る工程と、を備え、記RFID応答手段は、RFID応答手段を現在適用可能なトリガ信号にさらす工程に続いて、新たな現在適用可能なトリガ信号およびこれに関連付けられている新たな所定の応答を生成するように構成されている。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、物品情報データベースのような物品情報源から、商品のような物品についての情報を取得するための方法およびシステムに関する。より具体的には、本発明は、物品識別情報を提供する視覚的に可読なラベルのような物品識別手段と、RFIDタグのような現在適用可能なトリガ信号にさらされた際に所定の応答を提供するように構成されたRFID応答手段と、によって物品情報源から物品情報を取得するための方法およびシステムに関する。
【背景技術】
【0002】
RFID技術
無線周波数識別(RFID)は、RFIDタグと呼ばれる装置を用いてデータを保存および検索することに依存する識別技術である。RFIDは、一般に、ラベルとして機能することが可能な、製品、動物、人間のような物品に取り付けられたりあるいは埋め込まれたりすることが可能な小さな物体である。
【0003】
典型的には、RFIDタグは、小さな記憶機能と無線アンテナとを有する小さな集積回路からなっている。「アクティブ・タグ」と呼ばれるタグは、内部電力源を有しており、この内部電力源は、あらゆる処理回路に電力を供給するとともに出行する信号を生成するために一般的に用いられる。「パッシブ・タグ」と呼ばれる別のタグは、内部電力源を全く有さない。パッシブ・タグは、一般に入来信号に応答するとともに出行信号を生成するのに必要なエネルギーを、リーダが生成する電磁場から受け取ることによって得る。「セミ・アクティブ(または時には「セミ・パッシブ」)タグ」として知られているタグも存在する。セミ・アクティブ・タグは、一般に、タグの処理回路に常に電力を供給するように小さな電力源を有している。したがって、これらのタグは、処理を開始する前に入来信号から電力を受け取る必要がなく、一般にパッシブ・タグより速い応答を提供することが可能になるが、アクティブおよびセミ・アクティブ・タグは、一般に、パッシブ・タグより高価である。
【0004】
RFIDタグは、一般に、RFIDと関連付けられている物品に少なくとも関連する識別情報を保持している。現在のRFIDタグは、典型的には、地球規模上で固有で且つ特定されることが可能な96ビットの識別子番号を提供する。リーダによって照会されると、タグは、一般に、物品についての詳細な情報を保持しているデータベースにおける一意的な(unique)位置を指し得る識別情報で応答する。識別情報には、製品特性、物品の出所についてのデータ、製造者の身元、他の製造についての詳細、価格情報、ありとあらゆる適当な期限日等が含まれ得る。
【0005】
RFID技術は、バーコード技術の少なくとも一部を置き換え得るものと考えられている。バーコード技術については、統一商品コード(UPC)と呼ばれる規格が存在する。RFIDタグは、バーコードと同様に識別番号を提供することができるが、バーコードとは異なり、視野内になければならないという要件無しに離れた位置からまたは人間が介在することなく読み取ることが可能である。このこと、および大きさが小さいことから、RFIDタグは、箱の中に入れることが可能であり、消費財の中に入れられることさえ可能であり、衣服に取り付けることが可能であり、他の様々な用途に用いることが可能である。
【0006】
RFIDタグ技術は、長年に亘って用いられてきており、主要技術の発展は、過去数年の間に、特にオートIDセンター(Auto-ID Center)によってMITとの協力を通じて、行なわれてきた。目的の1つは、RFIDタグをできるだけ簡略化することであり、微細なチップで且つタグ単価を0.1米ドル未満とすることである。このレベルであれば、RFIDタグが多くの消費財に対して現在用いられているバーコードを置き換え始めることが現実的になると考えられており、続いて、スケールメリットによって新たな用途の研究が可能になるであろう。十分に小さな大きさであるとともに上記のように十分に安価な最初のタグは、パッシブ・タグであろう。
【0007】
偽造の検知および防止におけるRFID技術
RFID技術がバーコード技術および可視的な表示のみに基づく他のラベル・システムを即座に改善し得る側面は、製品の虚偽のラベルを検出することである。このことは、偽医薬品や、製造時からの経過時間や「消費期限」によって市場から取り去られるべきであった医薬品およびその他の傷みやすい物品や、衣服および宝石などの偽造ファッション品や、家電品や、その他の品物のような偽造品に基づいた違法な市場を除去することに役立つ。バーコードは読み取られたり「スキャンされたり」すると、簡単にコピーすることが本質的に可能であり、コピーされたものが原物と同じデータを提供する一方、RFIDタグは簡単には複製することができない。RFIDタグは、一般に、正しいハードウェア以外で「スキャン」することができず、様々なレベルおよびタイプの符号化および認証技術を用いてRFIDタグが保存していたりこれに関連付けられているデータを保護することができる。この特徴によって、RFIDタグを用いて製品と関連付けられることが可能な一意的な製品コードや、流通しているデータベースが提供し得る電子的な「ペディグリー(pedigree)」との協働で、一般に、偽造品が本物であるかのように、本物と思わせるような形でラベル付けすることが、より困難に且つより高価となる。
【0008】
偽造のまたは消費期限切れの医薬品は、特に、消費者の安全に対して重大な危険をもたらす。世界保健機関(WHO)は、世界で7乃至8%の薬が偽造品であると見積もっており、幾つかの国の報告書は、これらの国の薬の半分もが偽造品であることを示唆している。医薬品の安全性を保証することについて政府から委託されている米国の食品医薬品局(FDA)のような医療当局は、このような問題に対抗する真剣な取り組みを既に行っており、RFID技術によって医薬品を複製することをより困難なものあるいは儲からないものにすることが可能であることが示唆されている。2004年2月にインターネット上で公開されたFDAの報告書「Combating Counterfeit Drugs」は、医薬業界においてRFIDを用いることを強く支持しており、また、薬の各パッケージ、パレット、箱に一意的な番号を割り当てて製品に関する全ての取引についての情報を記録して製造の時点から販売の時点までの電子「ペディグリー」を提供することを提案している。RFIDタグによって生成されるペディグリーまたは情報を監視することによって、薬の購入者は、この薬の真正さを直ちに確認できる。この情報によって、サプライ・チェーンの完全な透明性をもたらすことが可能である。
【0009】
偽造防止策に対する市場は、もちろん医療分野に限られない。世界貿易の約7パーセントは偽造品であると考えられている。音楽、ソフトウェア、贅沢品産業は、偽造品によって多大な損害をこうむっている。その他の市場もひどく影響を受けている。ヨーロッパで商品化されている自動車部品の最大10パーセントおよび玩具の最大12パーセントは複製であると考えられている。この結果の使用者に対するものには、安全性が脅かされること、経済的に損害を受けること、粗悪品を手にすることが含まれる。製造業者にとっては、状況はよりひどい。その結果には、責任について不当に要求されること、ブランドの評判に対して悪い影響があること、収入が減少すること、製品および研究開発に対して悪い影響があることが含まれる。
【0010】
識別子を偽造防止機構として用いる幾つかのアプローチがある。ここでは、そのようなアプローチの2つについて簡単に説明する。安全対策を有している光学ラベル(例えばホログラム)に含まれている一意的な識別子を用いること、RFIDタグに含まれている一意的な識別子を用いることである。
【0011】
この1つ目のアプローチは、容易に複製することができないラベルまたはホログラムを介して特定の製品を認証することに基づいている。貨幣、パスポート、小切手、銀行カード、クレジット・カード、光学ディスク等のような物品の偽造の防止は、これらの物品を光学的な安全対策を有するラベルと関連付けることによって、および光学的手段によってのみ解読可能な形に光学データを符号化することによって対処することができる。このラベルは、相違する光学的特性で製造することができる。例えば、ラベル膜は、相違する色および相違する光学特性を有する複数の基板から構成することができる。このラベルによって生成される像は、視角によって変化し得る。このラベルは、人間が読むことが可能であるか、特定の光学読み取り機によってのみ読み取ることが可能である。同様のアプローチは、光を異なる方法で反射するラベルを作成することである。反射性ラベルは、所定の波長の光放射を反射する一方でラベル表面の同じ場所を照らす別の所定の波長の光放射は実質的に吸収または伝送するように設計することができる。
【0012】
以下の2つの特許公報は、ラベルの認証に関する。「Optical Recording Media Having Optically-Variable Security Properties」と題されたUS5,549,953(Li)と、「Authenticating System」と題されたUS5,568,251(Davies et al.)である。
【0013】
より最近のアプローチでは、RFIDを偽造防止技術として用いており、その主たる考え方は、一意的な番号を用いて製品を認証することである。一意的なIDを用いて、製品のライフ・サイクルの一端から一端までを見渡すことを可能にする電子ペディグリー・システムを構築することができる。薬品の瓶またはパッケージに、一意的な識別子を生成するRFIDタグを含めることができる。この識別子は、平文の番号とすることが可能で、または暗号化された番号とすることもできる。Verysignによって提案されている解決策は、1024ビットの暗号鍵を含んでいるタグに基づいており、またスマート・カードの問題解決手法によって提案されているのと同じ暗号化技術を用いている。
【0014】
近時、医薬業界は、医薬品のサプライ・チェーンにおける流通の詳細を示す電子薬ペディグリー・システムを構築した。その概念は、RFIDタグまたは簡単なバーコードを用いてある特定された製品を製造工場から卸売業者や続く小売業者までその足取りを追うことができることである。ペディグリー・システムは、各物品についての具体的なデータを保持する具体的なデータ・ファイルを利用する。このシステムは、偽医薬品がサプライ・チェーンに持ち込まれる危険を減少することができると思われる。泥棒や偽造者は、工場と卸売り業者との間や卸売業者と小売業者との間との間の弱い繋がりを多くの場合利用するので、このようなペディグリー・モデルと統合されたRFID解決策によって、安価にまた現在のサプライ・チェーン工程を不要に妨害することなく、薬や品物の足取りを追ったり認証したりすることが可能になる。
【0015】
欧州製薬業界団体連合会(EEPIA)による、「Anti-Counterfeiting of Medicines」についての2005年の白書は、医薬サプライ・チェーンの異なる複数の株主の視点から上記の問題を論じており、サプライ・チェーンの透明性を確保するとともに犯罪者に対向するために「トラック・アンド・トレース(track and trace)」情報システムを確立することを提案している。技術の点からは、この提案は、このシステムの基礎をパンヨーロッパ・バーコード規格(pan-European Barcode standard)に置くことである。この規格がEPC(電子製品コード)に基づいて機能できるべきであること、およびその他のバーコード規格およびRFID技術と両立できることが提案されている。さらに、このような計画が採用されるためには、パッケージ当たりの費用に対する影響が非常に小さいべきであるといわれている。この白書は、この影響はパッケージ当たり1ユーロ・セントを超えないべきであると提案している。この最後の考慮事項は、偽造品対策を適用することが、パッシブRFIDタグが提供し得る機能を用いることを目指すことが好ましいことを示している。
【0016】
上記されているように、RFIDタグを複製することは、バーコードやその他の可視的な表示に基づいているシステムに従ったラベルを複製するよりも概して困難かつ高価であるが、不可能ではない。読み取り機および何も入っていないタグのような適当な装置を用いて、標準的なタグ(例えばEPC第2世代タグ)を複製することはものの数分で行なえる。読み取り機は、原物のタグを読み取って、得られた情報を何も入っていないタグに書き込むだけである。
【0017】
複製作業は、プロプライエタリー(proprietary)・タグが用いられるとともにタグ情報を読み取るのに特定の「トリガ」信号が印加される場合、一層困難である。この場合、犯罪者が目指すのは、一般に、タグが機能するのに依存するトリガ応答アルゴリズムを「リバース・エンジニアリング」することである。場合によっては、「トリガ」信号は、悪意あるユーザによって検出されて保護されているタグ上の情報にアクセスすることに用いられ得る。これを行なう1つの方法は、「盗聴」、つまりRFIDタグおよび読み取り機からの信号を受動的に聞くこと、を行なうことである。これを行なう別の方法は、互いに異なる「トリガ」信号の集まりを用いて、タグに能動的に問い合わせを行なうことである。このアプローチの成否は、幾つかの要素のうち、タグの暗号化アルゴリズムの複雑度、および一方向関数が用いられているか否か、に依存している。
【0018】
タグへの攻撃の最後の種類は、ハードウェアのリバース・エンジニアリングである。この場合、犯罪者は、顕微鏡またはタグ回路から発せられる無線信号を用いてタグを物理的に調べる。
【0019】
パッシブ・タグは、アクティブ・タグよりも複製の危険に対して脆弱である。内部電源が無いゆえに回路がアクティブ・タグの回路よりも単純だからである。この結果、パッシブ・タグが、顕微鏡、無線信号、その他を用いてより容易に調べられるということになり得る。また、このことは、読み取りプロトコルを通じて提供されているあらゆるアクセス制御の安全性が、「RSA」またはアクティブ・タグで用いられている楕円曲線暗号のような機構よりも劣りがちであることを意味する。
【0020】
「Security and Privacy Aspects of Low-Cost Radio Frequency Identification Systems」と題されたStephen Weisらによる論文(Security in Pervasive Computing, vol.2802/2004、 2004年1月、201乃至212ページ)は、RFIDシステムとその動作を簡単に説明しており、プライバシーおよびセキュリティー上の危険性およびこれらが低コストRFID装置との関連でどのように適用するかを記述している。この論文は、アクセス鍵のハッシュがタグ上でメタIDとして用いられるハッシュ・ロック計画を記述している。読み取り機は、このメタIDを取得して正しい鍵を参照し、この正しい鍵がタグに渡されてから、タグがタグIDで応答する。この計画は、上述の方法と類似しており、盗聴の被害を受け、アタック・アンド・トラッキングに応答する(メタIDは公開されているからである)。
【0021】
「Hash-based Enhancement of Location Privacy for Radio-Frequency Identification Devices using Varying Identifiers」と題されたDirk Henriciらによる論文(Proceedings of 2nd IEEE Annual Conference on Pervasive Computing、2004年4月、149乃至153ページ)は、RFID装置に関し、一方向ハッシュ関数を基にして追跡可能な識別子を読み取りごとに変えることによって位置のプライバシーを強化することを紹介している。IDはバックエンド・システムによって変更され、バックエンド・システムは、タグIDを変更したことをタグに対する最後の通信として伝える。これが失敗すると、バックエンド・システムおよびタグは、同期を失う。
【0022】
「RFID: Verbraucherangste und Verbraucherschutz」と題されたOliver Bertholdらによる論文(Wirtschaftsinformatik no.47、2005年、422乃至430ページ)は、RFID技術に関連する消費者の不安および消費者保護について論じており、サービス強化されたバックエンド・インフラと無線通信するチップを各物品に付することによって物理的環境をより双方向的および支持的なものにすること可能なことを説明している。この論文は、RFIDの導入に関連する主要な不安を紹介しており、これらの不安が政党である程度について論じており、RFIDの機能が可能にされたITインフラに対する一層の支配権をユーザに与えるための幾つかのシステム要件を導き出すことを目指している。
【0023】
2005年9月にhttp://portal.acm.org/citation.cfm?id=1080793.1080805においてAri Juelsによってオンライン上で公開された「Strengthening EPC Tags Against Cloning」と題された論文は、EPCタグの初歩的な複製の脅威に対する耐性を高め得る技術について論じている。
【0024】
「Extending the EPC network: the potential of RFID in anti-counterfeiting」と題されたThorsten Staakeらによる論文(Procs. of 2005 ACM Symposium on Applied Computing、2005年3月17日、1607乃至1612ページ)は、インターネット上でRFIDに関するデータを共有するためのインフラとともに用いられる一意的な製品識別番号によって「トラック・アンド・トレース」用途の効率的な基礎がもたらされ得るかについ論じている。この論文は、EPCネットワークを用いて製品のペディグリー情報を提供したり信頼度チェックを可能にすることに言及し、トラック・アンド・トレースの上を行く認証機構を必要とする製品のための解決策を提案している。
【特許文献1】米国特許第5,549,953号明細書
【特許文献2】米国特許第5,568,251号明細書
【発明の開示】
【0025】
本発明によれば、物品(10)に関する物品情報を物品情報源(30)から得るための方法であって、前記物品は前記物品と関連付けされた物品識別情報を提供する物品識別手段(12)と、現在適用可能なトリガ信号を受けた際に所定の応答を提供するように構成されたRFID応答手段(14)と、を有し、
前記方法は、
前記物品識別手段(12)から物品識別情報を確立する工程と、
前記物品識別情報を用いて前記物品情報源(30)から前記RFID応答手段(14)のための現在適用可能なトリガ信号を決定する工程と、
前記RFID応答手段を前記現在適用可能なトリガ信号にさらす工程と、
前記RFID応答手段(14)から所定の応答を受け取る工程と、
前記所定の応答を用いて前記物品情報源(30)から物品情報を得る工程と、
を備え、
前記RFID応答手段(14)は、前記RFID応答手段(14)を前記現在適用可能なトリガ信号にさらす工程に続いて、新たな現在適用可能なトリガ信号およびこれに関連付けられている新たな所定の応答を生成するように構成されている、方法が提供される。
【0026】
また、本発明によれば、物品(10)に関する物品情報を物品情報源(30)からユーザに取得させるための装置であって、物品識別情報を提供するための物品識別手段(12)とRFID応答手段(14)とを備え、
前記物品識別手段(12)は、前記RFID応答手段(14)のための現在適用可能なトリガ信号を前記物品情報源(30)から決定する際に依拠する物品識別情報を確立するための手段を備え、
前記RFID応答手段(14)は、前記物品情報源(30)から所定の応答物品情報を得る際に依拠する前記現在適用可能なトリガ信号にさらされた際に所定の応答を提供するように構成されている手段を備え、
前記RFID応答手段(14)は、前記RFID応答手段(14)が前記現在適用可能なトリガ信号にさらされたことに続いて新たな現在適用可能トリガ信号を生成するように構成されている手段を備える、
装置が提供される。
【0027】
RFID応答手段および情報源が、RFID応答手段が現在適用可能なトリガ信号にさらされたことに続いて同じ新たな現在適用可能なトリガ信号および所定の応答を生成する際に相互に独立して動作し得ることが理解されるであろう。また、このことは、基本的なプロセスが(a)読み取り、(b)タグの更新である上述のWeisらおよびHenriciらのような従来技術とは異なることが理解されるであろう。本発明の実施形態は、出来事の順序が、(a)トリガ、(b)読み取りおよび更新、と要約可能なプロセスを用いている。これは、RFID応答手段が、更新された情報を用いて情報源からさらなる通信を受け取ることを当てにするのではなく原則的に自身を更新することによって可能になっている。
【0028】
好ましい実施形態によれば、RFID応答手段は、バックエンド・システムと同時にまたはこれと同じプロセス段階で新たな読み取り鍵を独立して算出または選択し得、RFID応答手段が首尾よく読み取られれば物品識別情報を首尾よく更新することが保障され得る。
【0029】
本発明の実施形態によって、製品のような物品が原物であることや、真正なものであることや、本物であることや、「有効」であることや、例えば「海賊版」でないことの保証を少なくとも間接的にユーザが取得することが可能になっている。具体的には、本発明の実施形態によって、物品に取り付けられるか物品と関連付けされているとともにRFID部を有するラベルや、タグや、他のそのような印または情報手段が原物であることや、真正なものであることや、本物であることや、有効であること、特にRFID部そのものが複製でないことをユーザが確認すること、および物品自体の出所および(または)真正さに関する保証をユーザが得ることが可能になっている。
【0030】
好ましい実施形態によれば、物品識別情報は、物品または物品と関連付けられているラベルに印刷されたバーコードによって提供され得、物品情報源から取得可能なアクセス制限パスワード情報を有効に参照する。このアクセス制限パスワード情報は、認証手続のより後の段階で、保存されているアクセス制限された(restricted-access)一意的識別情報にRFIDタグのようなラベルのRFID部分を用いてアクセスする際に要求されるものである。しかしながら、最初の物品識別情報は、裸眼でも見ることができ、あらゆるユーザにとって理解可能な形で提供されていたりさえするが、この段階でさらなるセキュリティーまたはプライバシーが要求される場合、物品識別情報自体が隠されたり、符号化されたり、暗号化されてもよい。最初の物品識別情報は、例えば同じまたは別のRFID部によって提供されてもよい。
【0031】
好ましい実施形態は、例えば信頼できる「第三者機関」によって提供されるセキュアなデータベースを参照して製品の真正さをチェックするために用いられ得る。これは、公共がアクセス可能なまたはアクセス制限されたオンライン・データベースとすることができる。このことは、パスワード保護または別の方法によって達成され得る。物品情報源が参照される度の物品情報源へのアクセス制御を通じて、要求されるセキュリティーのレベルにさらなる柔軟性をもたらすことができる。
【0032】
ユーザがRFID応答手段のための現在適用可能なトリガ信号を一旦割り出すと、このトリガ信号が用いられてRFID部にこのトリガ信号に対する所定の応答を提供させる。トリガ信号および応答信号が「盗聴者」によって検出または記録される危険があるのは、手続のこの段階である。しかしながら、本発明の実施形態は、首尾よく「盗聴された」情報のいずれをも、即座に、盗聴者にとって無用なものにするように構成されている。これは、現在適用可能なトリガ信号および所定の応答が、盗聴されたトリガ信号にRFID応答手段をさらす機会を盗聴者が持つ前に、変更されることによってなされている。
【0033】
本発明の好ましい実施形態は、一方向関数またはハッシュ関数を用いる暗号化の仕組みを利用して、一連のパスワードおよび(または)認証コードを首尾よく盗聴した盗聴者であっても依然適用可能なさらなるパスワードおよび(または)認証コードをある期間に亘って推測することが非常に困難または不可能となるようにワンタイム・アクセス・パスワードおよび認証コードを生成することを可能にしている。
【0034】
物品(例えばインターネットで購入した物品)の真正さをエンド・ユーザが確認することを可能にすることに加えて、幾つかの実施形態によって、製造工場から卸売業者、そして小売業者へのサプライ・チェーンに沿って物品の足取りを追うことが可能である。また、幾つかの実施形態によって、例えば医薬品の場合に適用可能なセキュアな「ペディグリー」による解決策をサポートすることができる。
【0035】
本発明の実施形態によって、以下を含む、従来システムに対する様々なその他の向上点が提供される。
【0036】
第1に、信頼できる第三者機関データベースへのアクセスを有する者だけがRFIDタグ内の情報にアクセスできるように構成することができる。このアプローチによって、悪意あるユーザが、「正しい」情報を生成するタグの複製を作成することが防止される。犯罪者が、読み取りパスワードを、ひいてはタグにより生成される一意的な識別子を盗聴できるとしても、この情報によって犯罪者がタグを複製できることにはならない。読み取りパスワードおよび一意的な識別子は一度だけ用いられることが可能になっており、「ワンタイム・パスワード」と等価なものとみなすことができるからである。
【0037】
第2に、「ワンタイム・パスワード」によって、セキュアなペディグリー・モデルを可能にする方法が提供される。信頼できる第三者機関がアクセスされて製品が確認される度に、この情報は特定の製品についての特定の情報を保持する特定のデータ・ファイルにおいてログを記録される。このデータ・ファイルは、製品の履歴を表わし、また、製品が観察された相違する複数の場所について記述し得る。悪意あるユーザが、製品がある特定の位置にあったと主張することによって偽りのペディグリーを作り出すことが防止される。信頼できる第三者機関がアクセス・パスワードおよびタグによって生成される一意的な識別子を管理しているからである。このことによって、認証された者のみが信頼できる第三者機関のデータベースにアクセスするということが必要である。
【0038】
第3に、RFIDタグが、物品が正しい読み取りパスワードを用いてユーザによって有効にチェックされているときを除いて何も発信しないので、望ましくない者によって製品の足取りを追われることは阻止される。このことによって、多くの既存のRFID技術によって存在しているプライバシーの問題が回避される。プライバシーは、例えばHIV/AIDSのような病気に対処する特定の薬との関係で非常に重要なテーマであり、このような病気と関連付けられ得る特定の薬を所有するユーザにとって重要である。
【0039】
まとめると、本発明の好ましい実施形態によって、以下に概要を例示する目的のいずれかまたは全てに貢献する。
【0040】
・製品が原物であること、および(または)改竄されていないことを確認すること
・製品情報をサプライ・チェーンの中でセキュアに分布させてセキュアな製品ペディグリーの構築を可能にすること
・RFID、光学的、その他の識別子を読み取り機/ユーザの資格と組み合わせて読み取り機/ユーザに公開される情報を制御すること
・盗聴、不正な読み取り、タグの複製に対向するシステムの安全性を高めること
・システムと信頼できる読み取り機(例えば信頼できるソフトウェアを用いる読み取り機)とを、必要な場合にオフラインの手続きで製品が確認され得るように相互に適用させること
本発明のさらなる特徴および利点は、以下にあくまで例として示されている本発明の実施形態の記述から、また添付の図面を参照して、明らかになるであろう。図面において、同様の参照符号は同様の部分を指している。
【発明を実施するための最良の形態】
【0041】
次に、本発明の実施形態が、添付の図面を参照して記述される。図1(a)および図1(b)は、医薬品が包装およびラベル付与される2つのやり方を示している。図1(a)において、錠剤11の「ブリスター包装」10が光学ラベル12およびRFIDタグ14を付されていることが示されている。光学ラベル12は、バーコード、2次元コード、行列コード、例えば物品識別番号が印刷されたラベル、とすることができる。図1(b)において、同様のブリスター包装10が示されているが、光学ラベル12はこのブリスター包装10に関連する外箱16に印刷されている。光学ラベル12がブリスター包装10上にも印刷されていることが示されているが、図1(b)は、光学ラベルが一般的に読めるように目に見える必要がある一方、RFIDタグは箱の中に位置している場合や物体自体の中に位置している場合でさえも読み取られ得る点を示している。光学ラベルもRFIDタグも対象の物品に物理的に取り付けられることは必須ではないことに留意されたい。図1(b)によって示されているように、一方が別の方法で結びついていてもよい。
【0042】
次に、図2を参照すると、この図は、物品10と関連付けされている(光学的物品識別部として役立つ)バーコード12およびRFID14を有する複合ラベルと、この図ではバーコード読み取り機およびRFID読み取り機としての機能を有する複合情報転送装置として描かれている確認機(verifier)20と、信頼できる第三者機関データベース30と、を示している。完全な「認証」動作は、以下のステップを含んでいる。これらのステップは図2において囲みによって示されておいるとともに図3のフローチャートに示されているものと一致している。
【0043】
ステップ1:「光学的読み取り」:物品の真正さを確認することを望む者(本明細書では「ユーザ」と称される」は、物品と関連付けされているバーコードから物品の身元(identity)を確かなものとするために確認機20のバーコード読み取り機能を用いて光学ラベル12を読み取る。(ラベルのバーコード部12からの身元情報は物品10を一意的に特定するはずであるが、これは複製であるかもしれないし、物品が真正なものであるという保証をどのようなレベルかを問わず提供しないかもしれない。この例でバーコードによって提供される保証のレベルは、上に概説したような従来システムにおけるペディグリー・データベース上で製品をチェックするのに用いられる簡単なRFIDタグによって提供される保証のレベルと同じであると考えられる。)
ステップ2:「オンライン・アクセス」:ユーザが、適切な何らかのパスワードまたは他のセキュリティー・チェックを用いてデータベース30と通信した後、物品身元情報はデータベース30に送られる。物品身元情報は、確認機20のバーコード読み取り機の部分から電気的に送信されてもよいし、ユーザによって手動で入力されてもよいし、その他であってもよい。
【0044】
ステップ3:「読み取りパスワードの提供」:物品身元情報がデータベースにおいて表わされている物品と一致し、且つ当該物品についての読み取りパスワードをユーザが取得しようとすることを阻害する理由が無いことを条件に、ユーザはRFIDタグ14についての現在適用可能な読み取りパスワードを受け取る。このパスワードは、確認機20内に電気的に保存されてもよいし、別の方法で受け取られてもよい。こうすることによって、ラベルを完全に読み取る権利を有する確認機のみに読み取りパスワードが提供されることが保証され、RFIDタグ14を介して関連する製品情報に望ましくない形でアクセスしようとする回数を制限する。
【0045】
ステップ4および5:「RFIDタグにアクセス」:ユーザは、読み取りパスワードを用いて、RFID14にある特定された読み取り動作についてのみ有効な一意的な識別子を明かさせる。
【0046】
ステップ6および7:「物品の確認」RFIDタグ14によって明かされた一意的な識別子は、次いで、データベース30に渡されることが可能である。データベース30は、識別子がRFIDタグ14に対して現在正しい識別子であるという認証を提供することができる。
【0047】
確認機の認証および確認機と信頼できる第三者機関との間のセキュアな通信には、既存のインターネット・セキュリティー技術を利用することができることに留意されたい。
【0048】
「認証」動作が成功したことに続いて、より詳しくは一旦RFIDタグ14が現在利用可能な読み取りパスワードの対象とされる(ステップ4)とともに現在の一意的な識別子が明かされる(ステップ5)と、RFIDタグの内部ロジックは、現在使われている読み取りパスワードおよび一意的な識別子を新たな読み取りパスワードおよび一意的な識別子と置き換える。例えば以前の読み取りパスワードを盗聴によって得た悪意あるユーザによって、以前の読み取りパスワードにさらされた場合、RFIDタグは応答しない。
【0049】
RFIDから一意的なIDを生成するための考えられる仕組みが次に記述される。この仕組みによって、タグがアクセスされるたびに別の一意的なIDを生成できるように暗号化の仕組みがタグ内で実行される。この暗号化の仕組みは、正しい読み取りパスワードがタグに供給される度に、悪意ある者がタグ内に保存されているシークレットを知ること無しに正しい暗号を生成することが困難または不可能であるように構成された別の暗号文が生成される暗号化の仕組みである。悪意ある者がタグの出力を長期間に亘って観察することができるとしても、最初の、次の、さらに次の出力は全く異なるものであるとともに相互に関連を有さない(unlinkable)ものである。このため、悪意ある者は読み取りパスワードまた(または)以前に観察した順序においてこの読み取りパスワードに続く出力を推測することが防止される。
【0050】
偽造防止用途についての要件に対処するために、Ohkubo, Suzuki and Kinoshitaによって提案されているのと同様の以下のハッシュ・チェインの仕組みが開発された。(Miyako Ohkubo, Koutarou Suzuki & Shingo Kinoshita: 「Efficient Hash-Chain Based RFID Privacy Protection Scheme」, International Conference on Ubiquitous Computing, Workshop Privacy, 2004年9月を参照されたい)
次に、図4を参照すると、タグは、最初、(例えば128ビット数の)ローカル・シークレット(local secret)「S」を内部に持っている。そのうちの一部(例えば最初の48ビット)は、読み取りパスワードとして用いられる。読み取り機が、タグに、正しい読み取りパスワードで照会を行なうと、ローカル・シークレット「S」は更新される。ローカル・シークレット「S」は、ハッシュ関数Hへ入力として提供され、タグ内の「S」を保存しているメモリ・レジスタは出力「S1」へと更新される。したがって、読み取りパスワードは(例えば「S1」の最初の48ビットの)「RS1」へと更新される。タグの出力は、シークレット「S1」を関数Gへの入力として提供することによって生成される。関数Gも一方向関数またはハッシュ関数であり得る。出力値「O1」が読み取り機に転送されて、製品の真正さを確認するために用いられることができるのはこの値である。続く動作では、正しいパスワード「RS1」が提供された結果、ローカル・シークレットは「S2」へと更新され、出力値「O2」が読み取り機に転送される。
【0051】
一方向関数またはハッシュ関数H、Gの特性に基づいて、出力「O」、ローカル・シークレット「S」、読み取りパスワード「RS」の値は、異なるとともに相互に関連を有さない。この関数が一方向性であるため、出力から入力および読み取りパスワードを取り出すことは不可能である(すなわち、算出不可能である)。現実的に可能な唯一の攻撃は、タグの情報を改竄することである。この場合、犯罪者は、タグ内のシークレットにアクセスできるかもしれない。しかしながら、上記の仕組みは、ハッシュ・チェインの特徴(特に一方向性という特徴)のおかげで、フォワード・セキュリティー特性をもたらす。タグが以前のステップで発行した情報は、依然、複製することができない。したがって、この特徴によって、ペディグリー情報のセキュリティーがもたらされる。
【0052】
読み取り機が一意的な出力値「O」を一旦受け取ると、読み取り機は、このシークレットを、製品が原物であるかを判断するための確認に向けて信頼できる第三者機関に渡すことができる。すると、製品の状態が、確認機20を介して、またはその他の方法でユーザに提示される。信頼できる第三者機関は、通常、タグとの同期を保っていること留意することは重要である。この結果、信頼できる第三者機関は、読み取りパスワードおよびタグの出力を完全に見渡せる唯一の存在である。信頼できる第三者機関は読み取り機からの要求を複雑度o(1)で解決することができるのだが、検索処理時間は無視可能であるということができる。
【0053】
信頼できる第三者機関は、「通常」、タグとの同期を保っていると述べた。同期が失われるのは、例えば、ユーザが(正当にまたは悪意を持って)タグの読み取り動作を首尾よく行ってタグに読み取りパスワードを更新させたのだが出力または一意的な識別子を信頼できる第三者機関に渡すことによる認証手続を完了しない場合に起こり得ることがわかるであろう。しかしながら、本システムは、このシステムがシーケンスにおいて読み取りパスワード1つと同期しない状態だけが許されるようなやり方で設定することが可能である。これに続く、認証手続を完了しようとする試みは失敗するからである。タグは、信頼できる第三者機関によって提供されたパスワードの(順番において)1つ前の読み取りパスワードを受けたときだけ動作するように設定される。この結果、読み出しの試みは失敗し、タグは自分自身をこれ以上更新しない。したがって、本システムは、本システムのセキュリティーのレベルを実質的に一切下げることなく、第三者機関またはタグを介した再同期または再設定を可能にするように設定することが可能である。
【0054】
オンラインで信頼できる第三者機関を用いた本アプローチは、幾つかの点で不都合なものとみなされ得る。このアプローチによって、ユーザがオンラインでの「参照」動作を行なう(この動作は、製品を確認する必要がある度に行なう必要があるかもしれない)ことが必要になるからである。しかしながら、このことは、利点も提供する。例えば、幾つかの医薬品および他の傷みやすい物品の場合、本当の出所からの物品は、古くなり過ぎると、効果がなくなっていたり、危険なものになりさえし、したがって、所定の「品質保証」期限を過ぎた後は「無効な」ものとして扱われるべきである。物品の真正さを明らかにする際にユーザにオンライン・データベースに照会することを強いることによって、ユーザに、「品質保証」期限が過ぎたという指摘がユーザに提供され、物品に印刷されている「品質保証」期限を不正に改変することによって悪意ある第三者が期限切れをごまかして期限切れの物品を有効なものとしようとするのを阻害する。
【0055】
上記の理由および他の理由によって、オンラインで信頼できる第三者機関を用いた本発明の実施形態によって、特に中央集権化されている製品ペディグリーが必要な場合に、セキュリティーと簡便さにおいて良好なトレードオフが可能になるものと考えられる。
【0056】
本仕組みが信頼できる読み取り機(すなわち、認証された信頼できるソフトウェアとともに動作する読み取り機)とともに実施されれば、信頼できる第三者機関は、ある物品へのアクセスを特定の証明当局に委任してもよいことが理解されるであろう。そして、証明機関は、タグにアクセスするための適切な読み取りパスワードを選択するとともにタグをオフライン動作で確認する。しかしながら、信頼できる証明者と信頼できる第三者機関とを同期させるための方法が依然必要である。このことは、読み取り機が信頼できれば、認証サービスを代理することが、選択されたタグについて読み取り機が実行可能である(すなわち、あるシークレットを読み取り機に公開して、この結果、読み取り機はパスコード(passcode)を決定するとともにタグの応答を確認できる)。
【0057】
例として、医薬品の状況について再度検討する。上記のように、医薬業界および様々な政府組織は、瓶や錠剤の箱のような個別の製品がこれらの出所を確認できるように一意的な識別子を用いてその足取りを追うことを可能にする仕組みを取り入れることに熱心である。このことによって、消費者の安全の観点から利点が提供され、また企業が偽造品に勝利することが可能になり、企業の製品の安価なおよび場合によっては危険な複製品の流入から市場が保護される。
【0058】
本発明の実施形態に従った認証を可能にする仕組みを実行するために、医薬品が製造されるとともに卸売り業者に送られる際に、RFIDタグを伴った適切なラベルが各箱または瓶に付される。外箱もRFIDタグを伴った適切なラベルを有していて、この箱が原物であるとともに認証された製品を収容していること卸売業者がチェックできるようにしてもよい。箱がいったん確認され、開封されると、各製品は、確認されてから、売り出されたり、小売業者に配送されたりする。その後、各製品は、医薬品小売業者に配送されて、最終的なユーザへと売られる。
【0059】
サプライ・チェーンにおける全ステップの各々において、製品を確認するとともにペディグリー情報を更新してもよい。各ステップにおいて、確認者は、製品のペディグリー情報にアクセスしてこの製品が原物である確信を得ることができる。
【図面の簡単な説明】
【0060】
【図1】医薬品が包装およびラベル付与される2つのやり方を示している。
【図2】本発明の好ましい実施形態に従って行なわれる「認証」動作に関与する要素を示している。
【図3】本発明の好ましい実施形態に従って行なわれる「認証」動作に関与するステップを示すフローチャートである。
【図4】RFIDタグ用のただ1つのIDの組を生成するための計画を示している。
【技術分野】
【0001】
本発明は、物品情報データベースのような物品情報源から、商品のような物品についての情報を取得するための方法およびシステムに関する。より具体的には、本発明は、物品識別情報を提供する視覚的に可読なラベルのような物品識別手段と、RFIDタグのような現在適用可能なトリガ信号にさらされた際に所定の応答を提供するように構成されたRFID応答手段と、によって物品情報源から物品情報を取得するための方法およびシステムに関する。
【背景技術】
【0002】
RFID技術
無線周波数識別(RFID)は、RFIDタグと呼ばれる装置を用いてデータを保存および検索することに依存する識別技術である。RFIDは、一般に、ラベルとして機能することが可能な、製品、動物、人間のような物品に取り付けられたりあるいは埋め込まれたりすることが可能な小さな物体である。
【0003】
典型的には、RFIDタグは、小さな記憶機能と無線アンテナとを有する小さな集積回路からなっている。「アクティブ・タグ」と呼ばれるタグは、内部電力源を有しており、この内部電力源は、あらゆる処理回路に電力を供給するとともに出行する信号を生成するために一般的に用いられる。「パッシブ・タグ」と呼ばれる別のタグは、内部電力源を全く有さない。パッシブ・タグは、一般に入来信号に応答するとともに出行信号を生成するのに必要なエネルギーを、リーダが生成する電磁場から受け取ることによって得る。「セミ・アクティブ(または時には「セミ・パッシブ」)タグ」として知られているタグも存在する。セミ・アクティブ・タグは、一般に、タグの処理回路に常に電力を供給するように小さな電力源を有している。したがって、これらのタグは、処理を開始する前に入来信号から電力を受け取る必要がなく、一般にパッシブ・タグより速い応答を提供することが可能になるが、アクティブおよびセミ・アクティブ・タグは、一般に、パッシブ・タグより高価である。
【0004】
RFIDタグは、一般に、RFIDと関連付けられている物品に少なくとも関連する識別情報を保持している。現在のRFIDタグは、典型的には、地球規模上で固有で且つ特定されることが可能な96ビットの識別子番号を提供する。リーダによって照会されると、タグは、一般に、物品についての詳細な情報を保持しているデータベースにおける一意的な(unique)位置を指し得る識別情報で応答する。識別情報には、製品特性、物品の出所についてのデータ、製造者の身元、他の製造についての詳細、価格情報、ありとあらゆる適当な期限日等が含まれ得る。
【0005】
RFID技術は、バーコード技術の少なくとも一部を置き換え得るものと考えられている。バーコード技術については、統一商品コード(UPC)と呼ばれる規格が存在する。RFIDタグは、バーコードと同様に識別番号を提供することができるが、バーコードとは異なり、視野内になければならないという要件無しに離れた位置からまたは人間が介在することなく読み取ることが可能である。このこと、および大きさが小さいことから、RFIDタグは、箱の中に入れることが可能であり、消費財の中に入れられることさえ可能であり、衣服に取り付けることが可能であり、他の様々な用途に用いることが可能である。
【0006】
RFIDタグ技術は、長年に亘って用いられてきており、主要技術の発展は、過去数年の間に、特にオートIDセンター(Auto-ID Center)によってMITとの協力を通じて、行なわれてきた。目的の1つは、RFIDタグをできるだけ簡略化することであり、微細なチップで且つタグ単価を0.1米ドル未満とすることである。このレベルであれば、RFIDタグが多くの消費財に対して現在用いられているバーコードを置き換え始めることが現実的になると考えられており、続いて、スケールメリットによって新たな用途の研究が可能になるであろう。十分に小さな大きさであるとともに上記のように十分に安価な最初のタグは、パッシブ・タグであろう。
【0007】
偽造の検知および防止におけるRFID技術
RFID技術がバーコード技術および可視的な表示のみに基づく他のラベル・システムを即座に改善し得る側面は、製品の虚偽のラベルを検出することである。このことは、偽医薬品や、製造時からの経過時間や「消費期限」によって市場から取り去られるべきであった医薬品およびその他の傷みやすい物品や、衣服および宝石などの偽造ファッション品や、家電品や、その他の品物のような偽造品に基づいた違法な市場を除去することに役立つ。バーコードは読み取られたり「スキャンされたり」すると、簡単にコピーすることが本質的に可能であり、コピーされたものが原物と同じデータを提供する一方、RFIDタグは簡単には複製することができない。RFIDタグは、一般に、正しいハードウェア以外で「スキャン」することができず、様々なレベルおよびタイプの符号化および認証技術を用いてRFIDタグが保存していたりこれに関連付けられているデータを保護することができる。この特徴によって、RFIDタグを用いて製品と関連付けられることが可能な一意的な製品コードや、流通しているデータベースが提供し得る電子的な「ペディグリー(pedigree)」との協働で、一般に、偽造品が本物であるかのように、本物と思わせるような形でラベル付けすることが、より困難に且つより高価となる。
【0008】
偽造のまたは消費期限切れの医薬品は、特に、消費者の安全に対して重大な危険をもたらす。世界保健機関(WHO)は、世界で7乃至8%の薬が偽造品であると見積もっており、幾つかの国の報告書は、これらの国の薬の半分もが偽造品であることを示唆している。医薬品の安全性を保証することについて政府から委託されている米国の食品医薬品局(FDA)のような医療当局は、このような問題に対抗する真剣な取り組みを既に行っており、RFID技術によって医薬品を複製することをより困難なものあるいは儲からないものにすることが可能であることが示唆されている。2004年2月にインターネット上で公開されたFDAの報告書「Combating Counterfeit Drugs」は、医薬業界においてRFIDを用いることを強く支持しており、また、薬の各パッケージ、パレット、箱に一意的な番号を割り当てて製品に関する全ての取引についての情報を記録して製造の時点から販売の時点までの電子「ペディグリー」を提供することを提案している。RFIDタグによって生成されるペディグリーまたは情報を監視することによって、薬の購入者は、この薬の真正さを直ちに確認できる。この情報によって、サプライ・チェーンの完全な透明性をもたらすことが可能である。
【0009】
偽造防止策に対する市場は、もちろん医療分野に限られない。世界貿易の約7パーセントは偽造品であると考えられている。音楽、ソフトウェア、贅沢品産業は、偽造品によって多大な損害をこうむっている。その他の市場もひどく影響を受けている。ヨーロッパで商品化されている自動車部品の最大10パーセントおよび玩具の最大12パーセントは複製であると考えられている。この結果の使用者に対するものには、安全性が脅かされること、経済的に損害を受けること、粗悪品を手にすることが含まれる。製造業者にとっては、状況はよりひどい。その結果には、責任について不当に要求されること、ブランドの評判に対して悪い影響があること、収入が減少すること、製品および研究開発に対して悪い影響があることが含まれる。
【0010】
識別子を偽造防止機構として用いる幾つかのアプローチがある。ここでは、そのようなアプローチの2つについて簡単に説明する。安全対策を有している光学ラベル(例えばホログラム)に含まれている一意的な識別子を用いること、RFIDタグに含まれている一意的な識別子を用いることである。
【0011】
この1つ目のアプローチは、容易に複製することができないラベルまたはホログラムを介して特定の製品を認証することに基づいている。貨幣、パスポート、小切手、銀行カード、クレジット・カード、光学ディスク等のような物品の偽造の防止は、これらの物品を光学的な安全対策を有するラベルと関連付けることによって、および光学的手段によってのみ解読可能な形に光学データを符号化することによって対処することができる。このラベルは、相違する光学的特性で製造することができる。例えば、ラベル膜は、相違する色および相違する光学特性を有する複数の基板から構成することができる。このラベルによって生成される像は、視角によって変化し得る。このラベルは、人間が読むことが可能であるか、特定の光学読み取り機によってのみ読み取ることが可能である。同様のアプローチは、光を異なる方法で反射するラベルを作成することである。反射性ラベルは、所定の波長の光放射を反射する一方でラベル表面の同じ場所を照らす別の所定の波長の光放射は実質的に吸収または伝送するように設計することができる。
【0012】
以下の2つの特許公報は、ラベルの認証に関する。「Optical Recording Media Having Optically-Variable Security Properties」と題されたUS5,549,953(Li)と、「Authenticating System」と題されたUS5,568,251(Davies et al.)である。
【0013】
より最近のアプローチでは、RFIDを偽造防止技術として用いており、その主たる考え方は、一意的な番号を用いて製品を認証することである。一意的なIDを用いて、製品のライフ・サイクルの一端から一端までを見渡すことを可能にする電子ペディグリー・システムを構築することができる。薬品の瓶またはパッケージに、一意的な識別子を生成するRFIDタグを含めることができる。この識別子は、平文の番号とすることが可能で、または暗号化された番号とすることもできる。Verysignによって提案されている解決策は、1024ビットの暗号鍵を含んでいるタグに基づいており、またスマート・カードの問題解決手法によって提案されているのと同じ暗号化技術を用いている。
【0014】
近時、医薬業界は、医薬品のサプライ・チェーンにおける流通の詳細を示す電子薬ペディグリー・システムを構築した。その概念は、RFIDタグまたは簡単なバーコードを用いてある特定された製品を製造工場から卸売業者や続く小売業者までその足取りを追うことができることである。ペディグリー・システムは、各物品についての具体的なデータを保持する具体的なデータ・ファイルを利用する。このシステムは、偽医薬品がサプライ・チェーンに持ち込まれる危険を減少することができると思われる。泥棒や偽造者は、工場と卸売り業者との間や卸売業者と小売業者との間との間の弱い繋がりを多くの場合利用するので、このようなペディグリー・モデルと統合されたRFID解決策によって、安価にまた現在のサプライ・チェーン工程を不要に妨害することなく、薬や品物の足取りを追ったり認証したりすることが可能になる。
【0015】
欧州製薬業界団体連合会(EEPIA)による、「Anti-Counterfeiting of Medicines」についての2005年の白書は、医薬サプライ・チェーンの異なる複数の株主の視点から上記の問題を論じており、サプライ・チェーンの透明性を確保するとともに犯罪者に対向するために「トラック・アンド・トレース(track and trace)」情報システムを確立することを提案している。技術の点からは、この提案は、このシステムの基礎をパンヨーロッパ・バーコード規格(pan-European Barcode standard)に置くことである。この規格がEPC(電子製品コード)に基づいて機能できるべきであること、およびその他のバーコード規格およびRFID技術と両立できることが提案されている。さらに、このような計画が採用されるためには、パッケージ当たりの費用に対する影響が非常に小さいべきであるといわれている。この白書は、この影響はパッケージ当たり1ユーロ・セントを超えないべきであると提案している。この最後の考慮事項は、偽造品対策を適用することが、パッシブRFIDタグが提供し得る機能を用いることを目指すことが好ましいことを示している。
【0016】
上記されているように、RFIDタグを複製することは、バーコードやその他の可視的な表示に基づいているシステムに従ったラベルを複製するよりも概して困難かつ高価であるが、不可能ではない。読み取り機および何も入っていないタグのような適当な装置を用いて、標準的なタグ(例えばEPC第2世代タグ)を複製することはものの数分で行なえる。読み取り機は、原物のタグを読み取って、得られた情報を何も入っていないタグに書き込むだけである。
【0017】
複製作業は、プロプライエタリー(proprietary)・タグが用いられるとともにタグ情報を読み取るのに特定の「トリガ」信号が印加される場合、一層困難である。この場合、犯罪者が目指すのは、一般に、タグが機能するのに依存するトリガ応答アルゴリズムを「リバース・エンジニアリング」することである。場合によっては、「トリガ」信号は、悪意あるユーザによって検出されて保護されているタグ上の情報にアクセスすることに用いられ得る。これを行なう1つの方法は、「盗聴」、つまりRFIDタグおよび読み取り機からの信号を受動的に聞くこと、を行なうことである。これを行なう別の方法は、互いに異なる「トリガ」信号の集まりを用いて、タグに能動的に問い合わせを行なうことである。このアプローチの成否は、幾つかの要素のうち、タグの暗号化アルゴリズムの複雑度、および一方向関数が用いられているか否か、に依存している。
【0018】
タグへの攻撃の最後の種類は、ハードウェアのリバース・エンジニアリングである。この場合、犯罪者は、顕微鏡またはタグ回路から発せられる無線信号を用いてタグを物理的に調べる。
【0019】
パッシブ・タグは、アクティブ・タグよりも複製の危険に対して脆弱である。内部電源が無いゆえに回路がアクティブ・タグの回路よりも単純だからである。この結果、パッシブ・タグが、顕微鏡、無線信号、その他を用いてより容易に調べられるということになり得る。また、このことは、読み取りプロトコルを通じて提供されているあらゆるアクセス制御の安全性が、「RSA」またはアクティブ・タグで用いられている楕円曲線暗号のような機構よりも劣りがちであることを意味する。
【0020】
「Security and Privacy Aspects of Low-Cost Radio Frequency Identification Systems」と題されたStephen Weisらによる論文(Security in Pervasive Computing, vol.2802/2004、 2004年1月、201乃至212ページ)は、RFIDシステムとその動作を簡単に説明しており、プライバシーおよびセキュリティー上の危険性およびこれらが低コストRFID装置との関連でどのように適用するかを記述している。この論文は、アクセス鍵のハッシュがタグ上でメタIDとして用いられるハッシュ・ロック計画を記述している。読み取り機は、このメタIDを取得して正しい鍵を参照し、この正しい鍵がタグに渡されてから、タグがタグIDで応答する。この計画は、上述の方法と類似しており、盗聴の被害を受け、アタック・アンド・トラッキングに応答する(メタIDは公開されているからである)。
【0021】
「Hash-based Enhancement of Location Privacy for Radio-Frequency Identification Devices using Varying Identifiers」と題されたDirk Henriciらによる論文(Proceedings of 2nd IEEE Annual Conference on Pervasive Computing、2004年4月、149乃至153ページ)は、RFID装置に関し、一方向ハッシュ関数を基にして追跡可能な識別子を読み取りごとに変えることによって位置のプライバシーを強化することを紹介している。IDはバックエンド・システムによって変更され、バックエンド・システムは、タグIDを変更したことをタグに対する最後の通信として伝える。これが失敗すると、バックエンド・システムおよびタグは、同期を失う。
【0022】
「RFID: Verbraucherangste und Verbraucherschutz」と題されたOliver Bertholdらによる論文(Wirtschaftsinformatik no.47、2005年、422乃至430ページ)は、RFID技術に関連する消費者の不安および消費者保護について論じており、サービス強化されたバックエンド・インフラと無線通信するチップを各物品に付することによって物理的環境をより双方向的および支持的なものにすること可能なことを説明している。この論文は、RFIDの導入に関連する主要な不安を紹介しており、これらの不安が政党である程度について論じており、RFIDの機能が可能にされたITインフラに対する一層の支配権をユーザに与えるための幾つかのシステム要件を導き出すことを目指している。
【0023】
2005年9月にhttp://portal.acm.org/citation.cfm?id=1080793.1080805においてAri Juelsによってオンライン上で公開された「Strengthening EPC Tags Against Cloning」と題された論文は、EPCタグの初歩的な複製の脅威に対する耐性を高め得る技術について論じている。
【0024】
「Extending the EPC network: the potential of RFID in anti-counterfeiting」と題されたThorsten Staakeらによる論文(Procs. of 2005 ACM Symposium on Applied Computing、2005年3月17日、1607乃至1612ページ)は、インターネット上でRFIDに関するデータを共有するためのインフラとともに用いられる一意的な製品識別番号によって「トラック・アンド・トレース」用途の効率的な基礎がもたらされ得るかについ論じている。この論文は、EPCネットワークを用いて製品のペディグリー情報を提供したり信頼度チェックを可能にすることに言及し、トラック・アンド・トレースの上を行く認証機構を必要とする製品のための解決策を提案している。
【特許文献1】米国特許第5,549,953号明細書
【特許文献2】米国特許第5,568,251号明細書
【発明の開示】
【0025】
本発明によれば、物品(10)に関する物品情報を物品情報源(30)から得るための方法であって、前記物品は前記物品と関連付けされた物品識別情報を提供する物品識別手段(12)と、現在適用可能なトリガ信号を受けた際に所定の応答を提供するように構成されたRFID応答手段(14)と、を有し、
前記方法は、
前記物品識別手段(12)から物品識別情報を確立する工程と、
前記物品識別情報を用いて前記物品情報源(30)から前記RFID応答手段(14)のための現在適用可能なトリガ信号を決定する工程と、
前記RFID応答手段を前記現在適用可能なトリガ信号にさらす工程と、
前記RFID応答手段(14)から所定の応答を受け取る工程と、
前記所定の応答を用いて前記物品情報源(30)から物品情報を得る工程と、
を備え、
前記RFID応答手段(14)は、前記RFID応答手段(14)を前記現在適用可能なトリガ信号にさらす工程に続いて、新たな現在適用可能なトリガ信号およびこれに関連付けられている新たな所定の応答を生成するように構成されている、方法が提供される。
【0026】
また、本発明によれば、物品(10)に関する物品情報を物品情報源(30)からユーザに取得させるための装置であって、物品識別情報を提供するための物品識別手段(12)とRFID応答手段(14)とを備え、
前記物品識別手段(12)は、前記RFID応答手段(14)のための現在適用可能なトリガ信号を前記物品情報源(30)から決定する際に依拠する物品識別情報を確立するための手段を備え、
前記RFID応答手段(14)は、前記物品情報源(30)から所定の応答物品情報を得る際に依拠する前記現在適用可能なトリガ信号にさらされた際に所定の応答を提供するように構成されている手段を備え、
前記RFID応答手段(14)は、前記RFID応答手段(14)が前記現在適用可能なトリガ信号にさらされたことに続いて新たな現在適用可能トリガ信号を生成するように構成されている手段を備える、
装置が提供される。
【0027】
RFID応答手段および情報源が、RFID応答手段が現在適用可能なトリガ信号にさらされたことに続いて同じ新たな現在適用可能なトリガ信号および所定の応答を生成する際に相互に独立して動作し得ることが理解されるであろう。また、このことは、基本的なプロセスが(a)読み取り、(b)タグの更新である上述のWeisらおよびHenriciらのような従来技術とは異なることが理解されるであろう。本発明の実施形態は、出来事の順序が、(a)トリガ、(b)読み取りおよび更新、と要約可能なプロセスを用いている。これは、RFID応答手段が、更新された情報を用いて情報源からさらなる通信を受け取ることを当てにするのではなく原則的に自身を更新することによって可能になっている。
【0028】
好ましい実施形態によれば、RFID応答手段は、バックエンド・システムと同時にまたはこれと同じプロセス段階で新たな読み取り鍵を独立して算出または選択し得、RFID応答手段が首尾よく読み取られれば物品識別情報を首尾よく更新することが保障され得る。
【0029】
本発明の実施形態によって、製品のような物品が原物であることや、真正なものであることや、本物であることや、「有効」であることや、例えば「海賊版」でないことの保証を少なくとも間接的にユーザが取得することが可能になっている。具体的には、本発明の実施形態によって、物品に取り付けられるか物品と関連付けされているとともにRFID部を有するラベルや、タグや、他のそのような印または情報手段が原物であることや、真正なものであることや、本物であることや、有効であること、特にRFID部そのものが複製でないことをユーザが確認すること、および物品自体の出所および(または)真正さに関する保証をユーザが得ることが可能になっている。
【0030】
好ましい実施形態によれば、物品識別情報は、物品または物品と関連付けられているラベルに印刷されたバーコードによって提供され得、物品情報源から取得可能なアクセス制限パスワード情報を有効に参照する。このアクセス制限パスワード情報は、認証手続のより後の段階で、保存されているアクセス制限された(restricted-access)一意的識別情報にRFIDタグのようなラベルのRFID部分を用いてアクセスする際に要求されるものである。しかしながら、最初の物品識別情報は、裸眼でも見ることができ、あらゆるユーザにとって理解可能な形で提供されていたりさえするが、この段階でさらなるセキュリティーまたはプライバシーが要求される場合、物品識別情報自体が隠されたり、符号化されたり、暗号化されてもよい。最初の物品識別情報は、例えば同じまたは別のRFID部によって提供されてもよい。
【0031】
好ましい実施形態は、例えば信頼できる「第三者機関」によって提供されるセキュアなデータベースを参照して製品の真正さをチェックするために用いられ得る。これは、公共がアクセス可能なまたはアクセス制限されたオンライン・データベースとすることができる。このことは、パスワード保護または別の方法によって達成され得る。物品情報源が参照される度の物品情報源へのアクセス制御を通じて、要求されるセキュリティーのレベルにさらなる柔軟性をもたらすことができる。
【0032】
ユーザがRFID応答手段のための現在適用可能なトリガ信号を一旦割り出すと、このトリガ信号が用いられてRFID部にこのトリガ信号に対する所定の応答を提供させる。トリガ信号および応答信号が「盗聴者」によって検出または記録される危険があるのは、手続のこの段階である。しかしながら、本発明の実施形態は、首尾よく「盗聴された」情報のいずれをも、即座に、盗聴者にとって無用なものにするように構成されている。これは、現在適用可能なトリガ信号および所定の応答が、盗聴されたトリガ信号にRFID応答手段をさらす機会を盗聴者が持つ前に、変更されることによってなされている。
【0033】
本発明の好ましい実施形態は、一方向関数またはハッシュ関数を用いる暗号化の仕組みを利用して、一連のパスワードおよび(または)認証コードを首尾よく盗聴した盗聴者であっても依然適用可能なさらなるパスワードおよび(または)認証コードをある期間に亘って推測することが非常に困難または不可能となるようにワンタイム・アクセス・パスワードおよび認証コードを生成することを可能にしている。
【0034】
物品(例えばインターネットで購入した物品)の真正さをエンド・ユーザが確認することを可能にすることに加えて、幾つかの実施形態によって、製造工場から卸売業者、そして小売業者へのサプライ・チェーンに沿って物品の足取りを追うことが可能である。また、幾つかの実施形態によって、例えば医薬品の場合に適用可能なセキュアな「ペディグリー」による解決策をサポートすることができる。
【0035】
本発明の実施形態によって、以下を含む、従来システムに対する様々なその他の向上点が提供される。
【0036】
第1に、信頼できる第三者機関データベースへのアクセスを有する者だけがRFIDタグ内の情報にアクセスできるように構成することができる。このアプローチによって、悪意あるユーザが、「正しい」情報を生成するタグの複製を作成することが防止される。犯罪者が、読み取りパスワードを、ひいてはタグにより生成される一意的な識別子を盗聴できるとしても、この情報によって犯罪者がタグを複製できることにはならない。読み取りパスワードおよび一意的な識別子は一度だけ用いられることが可能になっており、「ワンタイム・パスワード」と等価なものとみなすことができるからである。
【0037】
第2に、「ワンタイム・パスワード」によって、セキュアなペディグリー・モデルを可能にする方法が提供される。信頼できる第三者機関がアクセスされて製品が確認される度に、この情報は特定の製品についての特定の情報を保持する特定のデータ・ファイルにおいてログを記録される。このデータ・ファイルは、製品の履歴を表わし、また、製品が観察された相違する複数の場所について記述し得る。悪意あるユーザが、製品がある特定の位置にあったと主張することによって偽りのペディグリーを作り出すことが防止される。信頼できる第三者機関がアクセス・パスワードおよびタグによって生成される一意的な識別子を管理しているからである。このことによって、認証された者のみが信頼できる第三者機関のデータベースにアクセスするということが必要である。
【0038】
第3に、RFIDタグが、物品が正しい読み取りパスワードを用いてユーザによって有効にチェックされているときを除いて何も発信しないので、望ましくない者によって製品の足取りを追われることは阻止される。このことによって、多くの既存のRFID技術によって存在しているプライバシーの問題が回避される。プライバシーは、例えばHIV/AIDSのような病気に対処する特定の薬との関係で非常に重要なテーマであり、このような病気と関連付けられ得る特定の薬を所有するユーザにとって重要である。
【0039】
まとめると、本発明の好ましい実施形態によって、以下に概要を例示する目的のいずれかまたは全てに貢献する。
【0040】
・製品が原物であること、および(または)改竄されていないことを確認すること
・製品情報をサプライ・チェーンの中でセキュアに分布させてセキュアな製品ペディグリーの構築を可能にすること
・RFID、光学的、その他の識別子を読み取り機/ユーザの資格と組み合わせて読み取り機/ユーザに公開される情報を制御すること
・盗聴、不正な読み取り、タグの複製に対向するシステムの安全性を高めること
・システムと信頼できる読み取り機(例えば信頼できるソフトウェアを用いる読み取り機)とを、必要な場合にオフラインの手続きで製品が確認され得るように相互に適用させること
本発明のさらなる特徴および利点は、以下にあくまで例として示されている本発明の実施形態の記述から、また添付の図面を参照して、明らかになるであろう。図面において、同様の参照符号は同様の部分を指している。
【発明を実施するための最良の形態】
【0041】
次に、本発明の実施形態が、添付の図面を参照して記述される。図1(a)および図1(b)は、医薬品が包装およびラベル付与される2つのやり方を示している。図1(a)において、錠剤11の「ブリスター包装」10が光学ラベル12およびRFIDタグ14を付されていることが示されている。光学ラベル12は、バーコード、2次元コード、行列コード、例えば物品識別番号が印刷されたラベル、とすることができる。図1(b)において、同様のブリスター包装10が示されているが、光学ラベル12はこのブリスター包装10に関連する外箱16に印刷されている。光学ラベル12がブリスター包装10上にも印刷されていることが示されているが、図1(b)は、光学ラベルが一般的に読めるように目に見える必要がある一方、RFIDタグは箱の中に位置している場合や物体自体の中に位置している場合でさえも読み取られ得る点を示している。光学ラベルもRFIDタグも対象の物品に物理的に取り付けられることは必須ではないことに留意されたい。図1(b)によって示されているように、一方が別の方法で結びついていてもよい。
【0042】
次に、図2を参照すると、この図は、物品10と関連付けされている(光学的物品識別部として役立つ)バーコード12およびRFID14を有する複合ラベルと、この図ではバーコード読み取り機およびRFID読み取り機としての機能を有する複合情報転送装置として描かれている確認機(verifier)20と、信頼できる第三者機関データベース30と、を示している。完全な「認証」動作は、以下のステップを含んでいる。これらのステップは図2において囲みによって示されておいるとともに図3のフローチャートに示されているものと一致している。
【0043】
ステップ1:「光学的読み取り」:物品の真正さを確認することを望む者(本明細書では「ユーザ」と称される」は、物品と関連付けされているバーコードから物品の身元(identity)を確かなものとするために確認機20のバーコード読み取り機能を用いて光学ラベル12を読み取る。(ラベルのバーコード部12からの身元情報は物品10を一意的に特定するはずであるが、これは複製であるかもしれないし、物品が真正なものであるという保証をどのようなレベルかを問わず提供しないかもしれない。この例でバーコードによって提供される保証のレベルは、上に概説したような従来システムにおけるペディグリー・データベース上で製品をチェックするのに用いられる簡単なRFIDタグによって提供される保証のレベルと同じであると考えられる。)
ステップ2:「オンライン・アクセス」:ユーザが、適切な何らかのパスワードまたは他のセキュリティー・チェックを用いてデータベース30と通信した後、物品身元情報はデータベース30に送られる。物品身元情報は、確認機20のバーコード読み取り機の部分から電気的に送信されてもよいし、ユーザによって手動で入力されてもよいし、その他であってもよい。
【0044】
ステップ3:「読み取りパスワードの提供」:物品身元情報がデータベースにおいて表わされている物品と一致し、且つ当該物品についての読み取りパスワードをユーザが取得しようとすることを阻害する理由が無いことを条件に、ユーザはRFIDタグ14についての現在適用可能な読み取りパスワードを受け取る。このパスワードは、確認機20内に電気的に保存されてもよいし、別の方法で受け取られてもよい。こうすることによって、ラベルを完全に読み取る権利を有する確認機のみに読み取りパスワードが提供されることが保証され、RFIDタグ14を介して関連する製品情報に望ましくない形でアクセスしようとする回数を制限する。
【0045】
ステップ4および5:「RFIDタグにアクセス」:ユーザは、読み取りパスワードを用いて、RFID14にある特定された読み取り動作についてのみ有効な一意的な識別子を明かさせる。
【0046】
ステップ6および7:「物品の確認」RFIDタグ14によって明かされた一意的な識別子は、次いで、データベース30に渡されることが可能である。データベース30は、識別子がRFIDタグ14に対して現在正しい識別子であるという認証を提供することができる。
【0047】
確認機の認証および確認機と信頼できる第三者機関との間のセキュアな通信には、既存のインターネット・セキュリティー技術を利用することができることに留意されたい。
【0048】
「認証」動作が成功したことに続いて、より詳しくは一旦RFIDタグ14が現在利用可能な読み取りパスワードの対象とされる(ステップ4)とともに現在の一意的な識別子が明かされる(ステップ5)と、RFIDタグの内部ロジックは、現在使われている読み取りパスワードおよび一意的な識別子を新たな読み取りパスワードおよび一意的な識別子と置き換える。例えば以前の読み取りパスワードを盗聴によって得た悪意あるユーザによって、以前の読み取りパスワードにさらされた場合、RFIDタグは応答しない。
【0049】
RFIDから一意的なIDを生成するための考えられる仕組みが次に記述される。この仕組みによって、タグがアクセスされるたびに別の一意的なIDを生成できるように暗号化の仕組みがタグ内で実行される。この暗号化の仕組みは、正しい読み取りパスワードがタグに供給される度に、悪意ある者がタグ内に保存されているシークレットを知ること無しに正しい暗号を生成することが困難または不可能であるように構成された別の暗号文が生成される暗号化の仕組みである。悪意ある者がタグの出力を長期間に亘って観察することができるとしても、最初の、次の、さらに次の出力は全く異なるものであるとともに相互に関連を有さない(unlinkable)ものである。このため、悪意ある者は読み取りパスワードまた(または)以前に観察した順序においてこの読み取りパスワードに続く出力を推測することが防止される。
【0050】
偽造防止用途についての要件に対処するために、Ohkubo, Suzuki and Kinoshitaによって提案されているのと同様の以下のハッシュ・チェインの仕組みが開発された。(Miyako Ohkubo, Koutarou Suzuki & Shingo Kinoshita: 「Efficient Hash-Chain Based RFID Privacy Protection Scheme」, International Conference on Ubiquitous Computing, Workshop Privacy, 2004年9月を参照されたい)
次に、図4を参照すると、タグは、最初、(例えば128ビット数の)ローカル・シークレット(local secret)「S」を内部に持っている。そのうちの一部(例えば最初の48ビット)は、読み取りパスワードとして用いられる。読み取り機が、タグに、正しい読み取りパスワードで照会を行なうと、ローカル・シークレット「S」は更新される。ローカル・シークレット「S」は、ハッシュ関数Hへ入力として提供され、タグ内の「S」を保存しているメモリ・レジスタは出力「S1」へと更新される。したがって、読み取りパスワードは(例えば「S1」の最初の48ビットの)「RS1」へと更新される。タグの出力は、シークレット「S1」を関数Gへの入力として提供することによって生成される。関数Gも一方向関数またはハッシュ関数であり得る。出力値「O1」が読み取り機に転送されて、製品の真正さを確認するために用いられることができるのはこの値である。続く動作では、正しいパスワード「RS1」が提供された結果、ローカル・シークレットは「S2」へと更新され、出力値「O2」が読み取り機に転送される。
【0051】
一方向関数またはハッシュ関数H、Gの特性に基づいて、出力「O」、ローカル・シークレット「S」、読み取りパスワード「RS」の値は、異なるとともに相互に関連を有さない。この関数が一方向性であるため、出力から入力および読み取りパスワードを取り出すことは不可能である(すなわち、算出不可能である)。現実的に可能な唯一の攻撃は、タグの情報を改竄することである。この場合、犯罪者は、タグ内のシークレットにアクセスできるかもしれない。しかしながら、上記の仕組みは、ハッシュ・チェインの特徴(特に一方向性という特徴)のおかげで、フォワード・セキュリティー特性をもたらす。タグが以前のステップで発行した情報は、依然、複製することができない。したがって、この特徴によって、ペディグリー情報のセキュリティーがもたらされる。
【0052】
読み取り機が一意的な出力値「O」を一旦受け取ると、読み取り機は、このシークレットを、製品が原物であるかを判断するための確認に向けて信頼できる第三者機関に渡すことができる。すると、製品の状態が、確認機20を介して、またはその他の方法でユーザに提示される。信頼できる第三者機関は、通常、タグとの同期を保っていること留意することは重要である。この結果、信頼できる第三者機関は、読み取りパスワードおよびタグの出力を完全に見渡せる唯一の存在である。信頼できる第三者機関は読み取り機からの要求を複雑度o(1)で解決することができるのだが、検索処理時間は無視可能であるということができる。
【0053】
信頼できる第三者機関は、「通常」、タグとの同期を保っていると述べた。同期が失われるのは、例えば、ユーザが(正当にまたは悪意を持って)タグの読み取り動作を首尾よく行ってタグに読み取りパスワードを更新させたのだが出力または一意的な識別子を信頼できる第三者機関に渡すことによる認証手続を完了しない場合に起こり得ることがわかるであろう。しかしながら、本システムは、このシステムがシーケンスにおいて読み取りパスワード1つと同期しない状態だけが許されるようなやり方で設定することが可能である。これに続く、認証手続を完了しようとする試みは失敗するからである。タグは、信頼できる第三者機関によって提供されたパスワードの(順番において)1つ前の読み取りパスワードを受けたときだけ動作するように設定される。この結果、読み出しの試みは失敗し、タグは自分自身をこれ以上更新しない。したがって、本システムは、本システムのセキュリティーのレベルを実質的に一切下げることなく、第三者機関またはタグを介した再同期または再設定を可能にするように設定することが可能である。
【0054】
オンラインで信頼できる第三者機関を用いた本アプローチは、幾つかの点で不都合なものとみなされ得る。このアプローチによって、ユーザがオンラインでの「参照」動作を行なう(この動作は、製品を確認する必要がある度に行なう必要があるかもしれない)ことが必要になるからである。しかしながら、このことは、利点も提供する。例えば、幾つかの医薬品および他の傷みやすい物品の場合、本当の出所からの物品は、古くなり過ぎると、効果がなくなっていたり、危険なものになりさえし、したがって、所定の「品質保証」期限を過ぎた後は「無効な」ものとして扱われるべきである。物品の真正さを明らかにする際にユーザにオンライン・データベースに照会することを強いることによって、ユーザに、「品質保証」期限が過ぎたという指摘がユーザに提供され、物品に印刷されている「品質保証」期限を不正に改変することによって悪意ある第三者が期限切れをごまかして期限切れの物品を有効なものとしようとするのを阻害する。
【0055】
上記の理由および他の理由によって、オンラインで信頼できる第三者機関を用いた本発明の実施形態によって、特に中央集権化されている製品ペディグリーが必要な場合に、セキュリティーと簡便さにおいて良好なトレードオフが可能になるものと考えられる。
【0056】
本仕組みが信頼できる読み取り機(すなわち、認証された信頼できるソフトウェアとともに動作する読み取り機)とともに実施されれば、信頼できる第三者機関は、ある物品へのアクセスを特定の証明当局に委任してもよいことが理解されるであろう。そして、証明機関は、タグにアクセスするための適切な読み取りパスワードを選択するとともにタグをオフライン動作で確認する。しかしながら、信頼できる証明者と信頼できる第三者機関とを同期させるための方法が依然必要である。このことは、読み取り機が信頼できれば、認証サービスを代理することが、選択されたタグについて読み取り機が実行可能である(すなわち、あるシークレットを読み取り機に公開して、この結果、読み取り機はパスコード(passcode)を決定するとともにタグの応答を確認できる)。
【0057】
例として、医薬品の状況について再度検討する。上記のように、医薬業界および様々な政府組織は、瓶や錠剤の箱のような個別の製品がこれらの出所を確認できるように一意的な識別子を用いてその足取りを追うことを可能にする仕組みを取り入れることに熱心である。このことによって、消費者の安全の観点から利点が提供され、また企業が偽造品に勝利することが可能になり、企業の製品の安価なおよび場合によっては危険な複製品の流入から市場が保護される。
【0058】
本発明の実施形態に従った認証を可能にする仕組みを実行するために、医薬品が製造されるとともに卸売り業者に送られる際に、RFIDタグを伴った適切なラベルが各箱または瓶に付される。外箱もRFIDタグを伴った適切なラベルを有していて、この箱が原物であるとともに認証された製品を収容していること卸売業者がチェックできるようにしてもよい。箱がいったん確認され、開封されると、各製品は、確認されてから、売り出されたり、小売業者に配送されたりする。その後、各製品は、医薬品小売業者に配送されて、最終的なユーザへと売られる。
【0059】
サプライ・チェーンにおける全ステップの各々において、製品を確認するとともにペディグリー情報を更新してもよい。各ステップにおいて、確認者は、製品のペディグリー情報にアクセスしてこの製品が原物である確信を得ることができる。
【図面の簡単な説明】
【0060】
【図1】医薬品が包装およびラベル付与される2つのやり方を示している。
【図2】本発明の好ましい実施形態に従って行なわれる「認証」動作に関与する要素を示している。
【図3】本発明の好ましい実施形態に従って行なわれる「認証」動作に関与するステップを示すフローチャートである。
【図4】RFIDタグ用のただ1つのIDの組を生成するための計画を示している。
【特許請求の範囲】
【請求項1】
物品(10)に関する物品情報を物品情報源(30)から得るための方法であって、前記物品は前記物品と関連付けされた物品識別情報を提供する物品識別手段(12)と、現在適用可能なトリガ信号にさらされた際に所定の応答を提供するように構成されているRFID応答手段(14)と、を有し、
前記方法は、
前記物品識別手段(12)から物品識別情報を確立する工程と、
前記物品識別情報を用いて前記物品情報源(30)から前記RFID応答手段(14)のための現在適用可能なトリガ信号を決定する工程と、
前記RFID応答手段を前記現在適用可能なトリガ信号にさらす工程と、
前記RFID応答手段(14)から所定の応答を受け取る工程と、
前記所定の応答を用いて前記物品情報源(30)から物品情報を得る工程と、
を備え、
前記RFID応答手段(14)は、前記RFID応答手段(14)を前記現在適用可能なトリガ信号にさらす工程に続いて、新たな現在適用可能なトリガ信号およびこれに関連付けられている新たな所定の応答を生成するように構成されている、方法。
【請求項2】
前記RFID応答手段(14)および物品情報源(30)が、各々、前記新たな現在適用可能なトリガ信号およびこれに関連付けられている所定の応答を生成するように構成されている、請求項1の方法。
【請求項3】
前記物品情報源(30)が少なくとも1つのオンライン・データベースを備えている、請求項1または2の方法。
【請求項4】
前記物品情報源(30)が制限つきでアクセス可能な(limited-access)物品情報源を備えている、請求項1乃至3のいずれか1項の方法。
【請求項5】
前記物品情報源(30)がアクセス制限された(restricted-access)トリガ信号を保持している、請求項1乃至4のいずれか1項の方法。
【請求項6】
前記物品情報源(30)がアクセス制限された(restricted-access)物品情報を保持している、請求項1乃至5のいずれか1項の方法。
【請求項7】
前記物品識別手段(12)および前記RFID応答手段(14)が、物品パッケージ(16)と関連してまたは前記物品(10)自体と関連して物品ラベル上に設けられている、請求項1乃至6のいずれか1項の方法。
【請求項8】
前記物品識別手段(12)が視覚的に観察可能な物品識別情報を提供する、請求項1乃至7のいずれか1項の方法。
【請求項9】
前記物品識別手段(12)が電気的に読み取り可能な物品識別情報を提供する、請求項1乃至8のいずれか1項の方法。
【請求項10】
前記電気的に読み取り可能な物品識別情報が前記RFID手段(14)または第2RFID応答手段によって提供される、請求項9の方法。
【請求項11】
前記物品識別手段(12)がバーコード、2次元コード、または行列コードによって物品識別情報を提供する、請求項1乃至10のいずれか1項の方法。
【請求項12】
前記RFID応答手段(14)がパッシブRFIDタグである、請求項1乃至11のいずれか1項の方法。
【請求項13】
前記所定の応答が、前記RFID応答手段(14)が現在適用可能なトリガ信号にさらされたときのみ前記RFID応答手段(14)によって提供される、請求項1乃至12の方法。
【請求項14】
前記RFID応答手段(14)が新たな現在適用可能なトリガ信号を生成する工程が、前記RFID応答手段(14)が、
所定の一連の現在適用可能なトリガ信号から次の要素を選択および用いること、
所定の一方向関数またはハッシュ関数を前記現在適用可能なトリガ信号に適用すること、
擬似ランダム関数を前記現在適用可能なトリガ信号に適用すること、
の少なくとも1つを実行することを備える、請求項1乃至13のいずれか1項の方法。
【請求項15】
前記RFID応答手段(14)が新たな応答を生成する工程が、前記RFID応答手段(14)が、
所定の一連の所定の応答から次の要素を選択および用いること、
所定の一方向関数またはハッシュ関数を既存の所定の応答に適用すること、
擬似ランダム関数を既存の所定の応答に適用すること、
の少なくとも1つを実行することを備える、請求項1乃至14のいずれか1項の方法。
【請求項16】
物品(10)に関する物品情報を物品情報源(30)からユーザに取得させるための装置であって、物品識別情報を提供するための物品識別手段(12)とRFID応答手段(14)とを備え、
前記物品識別手段(12)は、前記RFID応答手段(14)のための現在適用可能なトリガ信号を前記物品情報源(30)から決定する際に依拠する物品識別情報を確立するための手段を備え、
前記RFID応答手段(14)は、前記物品情報源(30)から所定の応答物品情報を得る際に依拠する前記現在適用可能なトリガ信号にさらされた際に所定の応答を提供するように構成されている手段を備え、
前記RFID応答手段(14)は、前記RFID応答手段(14)が前記現在適用可能なトリガ信号にさらされたことに続いて新たな現在適用可能トリガ信号を生成するように構成されている手段を備える、
装置。
【請求項17】
前記物品情報源(30)が少なくとも1つのオンライン・データベースを備えている、請求項16の装置。
【請求項18】
前記物品情報源(30)が制限つきでアクセス可能な(limited-access)物品情報源を備えている、請求項16または17の装置。
【請求項19】
前記物品情報源(30)がアクセス制限された(restricted-access)トリガ信号を保持している、請求項16乃至18のいずれか1項の装置。
【請求項20】
前記物品情報源(30)がアクセス制限された(restricted-access)物品情報を保持している、請求項16乃至19のいずれか1項の装置。
【請求項21】
前記物品識別手段(12)および前記RFID応答手段(14)が、物品パッケージ(16)と関連してまたは前記物品(10)自体と関連して物品ラベル上に設けられている、請求項16乃至20のいずれか1項の装置。
【請求項22】
前記物品識別手段(12)が視覚的に観察可能な物品識別情報を提供する、請求項16乃至21のいずれか1項の装置。
【請求項23】
前記物品識別手段(12)が電気的に読み取り可能な物品識別情報を提供する、請求項16乃至22のいずれか1項の装置。
【請求項24】
前記電気的に読み取り可能な物品識別情報が前記RFID手段(14)または第2RFID応答手段によって提供される、請求項23の装置。
【請求項25】
前記物品識別手段(12)がバーコード、2次元コード、または行列コードを備えている、請求項16乃至24のいずれか1項の装置。
【請求項26】
前記RFID応答手段(14)がパッシブRFIDタグである、請求項16乃至25のいずれか1項の装置
【請求項27】
前記RFID応答手段(14)が、前記RFID応答手段(14)が現在適用可能なトリガ信号にさらされたときのみ前記所定の応答を提供するように構成されている、請求項16乃至26の装置。
【請求項28】
前記RFID応答手段(14)が、
所定の一連の現在適用可能なトリガ信号から次の要素を選択および用いること、
所定の一方向関数またはハッシュ関数を前記現在適用可能なトリガ信号に適用すること、
擬似ランダム関数を前記現在適用可能なトリガ信号に適用すること、
の少なくとも1つを実行するように構成されている手段を備えている、請求項16乃至27のいずれか1項の方法。
【請求項29】
前記RFID応答手段(14)が、
所定の一連の所定の応答から次の要素を選択および用いること、
所定の一方向関数またはハッシュ関数を既存の所定の応答に適用すること、
擬似ランダム関数を既存の所定の応答に適用すること、
の少なくとも1つを実行するように構成されている手段を備えている、請求項16乃至28のいずれか1項の方法。
【請求項1】
物品(10)に関する物品情報を物品情報源(30)から得るための方法であって、前記物品は前記物品と関連付けされた物品識別情報を提供する物品識別手段(12)と、現在適用可能なトリガ信号にさらされた際に所定の応答を提供するように構成されているRFID応答手段(14)と、を有し、
前記方法は、
前記物品識別手段(12)から物品識別情報を確立する工程と、
前記物品識別情報を用いて前記物品情報源(30)から前記RFID応答手段(14)のための現在適用可能なトリガ信号を決定する工程と、
前記RFID応答手段を前記現在適用可能なトリガ信号にさらす工程と、
前記RFID応答手段(14)から所定の応答を受け取る工程と、
前記所定の応答を用いて前記物品情報源(30)から物品情報を得る工程と、
を備え、
前記RFID応答手段(14)は、前記RFID応答手段(14)を前記現在適用可能なトリガ信号にさらす工程に続いて、新たな現在適用可能なトリガ信号およびこれに関連付けられている新たな所定の応答を生成するように構成されている、方法。
【請求項2】
前記RFID応答手段(14)および物品情報源(30)が、各々、前記新たな現在適用可能なトリガ信号およびこれに関連付けられている所定の応答を生成するように構成されている、請求項1の方法。
【請求項3】
前記物品情報源(30)が少なくとも1つのオンライン・データベースを備えている、請求項1または2の方法。
【請求項4】
前記物品情報源(30)が制限つきでアクセス可能な(limited-access)物品情報源を備えている、請求項1乃至3のいずれか1項の方法。
【請求項5】
前記物品情報源(30)がアクセス制限された(restricted-access)トリガ信号を保持している、請求項1乃至4のいずれか1項の方法。
【請求項6】
前記物品情報源(30)がアクセス制限された(restricted-access)物品情報を保持している、請求項1乃至5のいずれか1項の方法。
【請求項7】
前記物品識別手段(12)および前記RFID応答手段(14)が、物品パッケージ(16)と関連してまたは前記物品(10)自体と関連して物品ラベル上に設けられている、請求項1乃至6のいずれか1項の方法。
【請求項8】
前記物品識別手段(12)が視覚的に観察可能な物品識別情報を提供する、請求項1乃至7のいずれか1項の方法。
【請求項9】
前記物品識別手段(12)が電気的に読み取り可能な物品識別情報を提供する、請求項1乃至8のいずれか1項の方法。
【請求項10】
前記電気的に読み取り可能な物品識別情報が前記RFID手段(14)または第2RFID応答手段によって提供される、請求項9の方法。
【請求項11】
前記物品識別手段(12)がバーコード、2次元コード、または行列コードによって物品識別情報を提供する、請求項1乃至10のいずれか1項の方法。
【請求項12】
前記RFID応答手段(14)がパッシブRFIDタグである、請求項1乃至11のいずれか1項の方法。
【請求項13】
前記所定の応答が、前記RFID応答手段(14)が現在適用可能なトリガ信号にさらされたときのみ前記RFID応答手段(14)によって提供される、請求項1乃至12の方法。
【請求項14】
前記RFID応答手段(14)が新たな現在適用可能なトリガ信号を生成する工程が、前記RFID応答手段(14)が、
所定の一連の現在適用可能なトリガ信号から次の要素を選択および用いること、
所定の一方向関数またはハッシュ関数を前記現在適用可能なトリガ信号に適用すること、
擬似ランダム関数を前記現在適用可能なトリガ信号に適用すること、
の少なくとも1つを実行することを備える、請求項1乃至13のいずれか1項の方法。
【請求項15】
前記RFID応答手段(14)が新たな応答を生成する工程が、前記RFID応答手段(14)が、
所定の一連の所定の応答から次の要素を選択および用いること、
所定の一方向関数またはハッシュ関数を既存の所定の応答に適用すること、
擬似ランダム関数を既存の所定の応答に適用すること、
の少なくとも1つを実行することを備える、請求項1乃至14のいずれか1項の方法。
【請求項16】
物品(10)に関する物品情報を物品情報源(30)からユーザに取得させるための装置であって、物品識別情報を提供するための物品識別手段(12)とRFID応答手段(14)とを備え、
前記物品識別手段(12)は、前記RFID応答手段(14)のための現在適用可能なトリガ信号を前記物品情報源(30)から決定する際に依拠する物品識別情報を確立するための手段を備え、
前記RFID応答手段(14)は、前記物品情報源(30)から所定の応答物品情報を得る際に依拠する前記現在適用可能なトリガ信号にさらされた際に所定の応答を提供するように構成されている手段を備え、
前記RFID応答手段(14)は、前記RFID応答手段(14)が前記現在適用可能なトリガ信号にさらされたことに続いて新たな現在適用可能トリガ信号を生成するように構成されている手段を備える、
装置。
【請求項17】
前記物品情報源(30)が少なくとも1つのオンライン・データベースを備えている、請求項16の装置。
【請求項18】
前記物品情報源(30)が制限つきでアクセス可能な(limited-access)物品情報源を備えている、請求項16または17の装置。
【請求項19】
前記物品情報源(30)がアクセス制限された(restricted-access)トリガ信号を保持している、請求項16乃至18のいずれか1項の装置。
【請求項20】
前記物品情報源(30)がアクセス制限された(restricted-access)物品情報を保持している、請求項16乃至19のいずれか1項の装置。
【請求項21】
前記物品識別手段(12)および前記RFID応答手段(14)が、物品パッケージ(16)と関連してまたは前記物品(10)自体と関連して物品ラベル上に設けられている、請求項16乃至20のいずれか1項の装置。
【請求項22】
前記物品識別手段(12)が視覚的に観察可能な物品識別情報を提供する、請求項16乃至21のいずれか1項の装置。
【請求項23】
前記物品識別手段(12)が電気的に読み取り可能な物品識別情報を提供する、請求項16乃至22のいずれか1項の装置。
【請求項24】
前記電気的に読み取り可能な物品識別情報が前記RFID手段(14)または第2RFID応答手段によって提供される、請求項23の装置。
【請求項25】
前記物品識別手段(12)がバーコード、2次元コード、または行列コードを備えている、請求項16乃至24のいずれか1項の装置。
【請求項26】
前記RFID応答手段(14)がパッシブRFIDタグである、請求項16乃至25のいずれか1項の装置
【請求項27】
前記RFID応答手段(14)が、前記RFID応答手段(14)が現在適用可能なトリガ信号にさらされたときのみ前記所定の応答を提供するように構成されている、請求項16乃至26の装置。
【請求項28】
前記RFID応答手段(14)が、
所定の一連の現在適用可能なトリガ信号から次の要素を選択および用いること、
所定の一方向関数またはハッシュ関数を前記現在適用可能なトリガ信号に適用すること、
擬似ランダム関数を前記現在適用可能なトリガ信号に適用すること、
の少なくとも1つを実行するように構成されている手段を備えている、請求項16乃至27のいずれか1項の方法。
【請求項29】
前記RFID応答手段(14)が、
所定の一連の所定の応答から次の要素を選択および用いること、
所定の一方向関数またはハッシュ関数を既存の所定の応答に適用すること、
擬似ランダム関数を既存の所定の応答に適用すること、
の少なくとも1つを実行するように構成されている手段を備えている、請求項16乃至28のいずれか1項の方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2009−531251(P2009−531251A)
【公表日】平成21年9月3日(2009.9.3)
【国際特許分類】
【出願番号】特願2009−502183(P2009−502183)
【出願日】平成19年3月12日(2007.3.12)
【国際出願番号】PCT/GB2007/000851
【国際公開番号】WO2007/113464
【国際公開日】平成19年10月11日(2007.10.11)
【出願人】(390028587)ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー (104)
【氏名又は名称原語表記】BRITISH TELECOMMUNICATIONS PUBLIC LIMITED COMPANY
【Fターム(参考)】
【公表日】平成21年9月3日(2009.9.3)
【国際特許分類】
【出願日】平成19年3月12日(2007.3.12)
【国際出願番号】PCT/GB2007/000851
【国際公開番号】WO2007/113464
【国際公開日】平成19年10月11日(2007.10.11)
【出願人】(390028587)ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー (104)
【氏名又は名称原語表記】BRITISH TELECOMMUNICATIONS PUBLIC LIMITED COMPANY
【Fターム(参考)】
[ Back to top ]