説明

認証コンポーネント、被認証コンポーネントおよびその認証方法

【課題】中間者攻撃に対する耐性を向上できる認証コンポーネント、被認証コンポーネントおよびその認証方法を提供する。
【解決手段】実施形態によれば、データ構造がそれぞれ鍵遷移レコードで構成された鍵情報、マトリックス状の秘密情報XY、および前記秘密情報XYが暗号化された秘密情報XYEとを記憶する被認証コンポーネント10と、前記被認証コンポーネントを認証する認証コンポーネント20との間における認証方法は、前記認証コンポーネントが、前記被認証コンポーネントから受領した前記鍵情報に対して、自身のデバイスインデックスに対応するレコードを選択し、前記レコードをデバイス鍵によって復号して鍵遷移を取り出すステップS33と、前記認証コンポーネントが、前記被認証コンポーネントから受領した前記秘密情報XYEに対して、対応する鍵遷移を用いて、復号処理を行い、前記秘密情報XYを共有するステップS13とを具備する。

【発明の詳細な説明】
【技術分野】
【0001】
認証コンポーネント、被認証コンポーネントおよびその認証方法に関するものである。
【背景技術】
【0002】
一般に、セキュリティを要する分野において、自己の正当性を証明する手段として暗号器と共有した秘密に基づく手法が採られている。
【0003】
例えば、電子決済に用いるICカード等では、カード内のICに対して個別化されたID及び秘密情報が保持されており、更にICカードは、ID及び秘密情報に基づく認証を行うための暗号処理機能を有している。別の例では、コンテンツの著作権保護において、SD(登録商標)カードの正当性を証明する手段などもある。
【0004】
上記の例は、いずれも被認証コンポーネントが、秘密鍵と暗号器とを保有していることが必要である。しかしながら、暗号器の実装は比較的大きな回路規模を要求されるため、回路規模上の制約が同時に課せられる環境においては自己の正当性を証明するのは非常に困難である。回路規模上の制約が課せられる代表例としては、例えば、RFID(Radio Frequency Identification)等があげられる。そのため、近年では、益々実装上の必要性が高まっているという背景がある。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】米国公開特許公報2010/0161988 A1
【特許文献2】特開2000−357213号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
中間者攻撃に対する耐性を向上させる。
【課題を解決するための手段】
【0007】
実施形態によれば、データ構造がそれぞれ鍵遷移レコードで構成された鍵情報、マトリックス状の秘密情報XY、および前記秘密情報XYが暗号化された秘密情報XYEとを記憶する被認証コンポーネントと、前記被認証コンポーネントを認証する認証コンポーネントとの間における認証方法は、前記認証コンポーネントが、前記被認証コンポーネントから受領した前記鍵情報に対して、自身のデバイスインデックスに対応するレコードを選択し、前記レコードをデバイス鍵によって復号して鍵遷移を取り出すステップと、前記認証コンポーネントが、前記被認証コンポーネントから受領した前記秘密情報XYEに対して、対応する鍵遷移を用いて、復号処理を行い、前記秘密情報XYを共有するステップとを具備する。
【図面の簡単な説明】
【0008】
【図1】比較例1に係るプロトコルを示すブロック図。
【図2】比較例2に係るプロトコルを示すブロック図。
【図3】第1実施形態に係る構成例を示すブロック図。
【図4】第1実施形態に係る認証フローを示すフロー図。
【図5】第2実施形態に係る構成例を示すブロック図。
【図6】第2実施形態に係る認証フローを示すフロー図。
【図7】第3実施形態に係る構成例を示すブロック図。
【図8】第3実施形態に係る認証フローを示すフロー図。
【図9】第3実施形態に係る秘密情報のデータ転送を示すブロック図。
【図10】第4実施形態に係る構成例を示すブロック図。
【図11】第4実施形態に係る認証フローを示すフロー図。
【図12】第5実施形態に係る構成例を示すブロック図。
【図13】第5実施形態に係る認証フローを示すフロー図。
【図14】第6実施形態に係る構成例を示すブロック図。
【図15】第6実施形態に係る認証フローを示すフロー図。
【図16】第7実施形態に係る構成例を示すブロック図。
【図17】第7実施形態に係る認証フローを示すフロー図。
【図18】第8実施形態に係る構成例を示すブロック図。
【図19】第8実施形態に係るマトリックス状のデータ構造例を示す図。
【図20】第8実施形態に係るマトリックス状のデータの利用方法を示す図。
【図21】第8実施形態に係るKey Sequence Informationのデータ配布の一例を示す図。
【図22A】第8実施形態に係る認証フローを示すフロー図。
【図22B】第8実施形態および第2実施形態の場合における時間と秘密許容度との関係を示す図。
【図23】第9実施形態に係る構成例を示すブロック図。
【図24】第9実施形態に係るマトリックス状のデータ構造例(1)を示す図。
【図25】第9実施形態に係るマトリックス状のデータ構造例(2)を示す図。
【図26】第9実施形態に係るマトリックス状のデータ構造例(3)を示す図。
【図27】第9実施形態に係る認証フローを示すフロー図。
【図28】第10実施形態に係る構成例を示すブロック図。
【図29】図28中の一方向性関数の構成例を示すブロック図。
【図30】図29中のCrypto boxの構成例を示すブロック図。
【図31】第10実施形態に係る認証フローを示すフロー図。
【図32】第11実施形態に係るID retrieval process(1)を示すブロック図。
【図33】第11実施形態に係るID retrieval process(2)を示すブロック図。
【図34】第11実施形態に係るID retrieval process(3)を示すブロック図。
【図35】第11実施形態に係るID retrieval process(4)を示すブロック図。
【図36】第12実施形態に係るID biding process(1)を示すブロック図。
【図37】第12実施形態に係るID biding process(2)を示すブロック図。
【図38】第13実施形態に係る構成例を示すブロック図。
【図39】第14実施形態に係る構成例を示すブロック図。
【図40】第15実施形態に係る構成例を示すブロック図。
【図41】第16実施形態に係るNAND型フラッシュメモリの構成例を示すブロック図。
【図42】図41中のブロック(BLOCK)を示す等価回路図。
【図43】2値メモリセル(SLC)の閾値分布を示す図。
【図44】多値メモリセル(MLC)の閾値分布を示す図。
【発明を実施するための形態】
【0009】
[比較例1(HB+プロトコルの一例)]
まず、図1を用い、比較例1について説明する。この比較例1は、HB+プロトコルの一例に関するものである。
【0010】
HB+プロトコルは、2000年にHopper とBlumらによって提案された、軽量の認証プロトコルであるHBプロトコルの改良プロトコルである。HBプロトコルは、雑音下におけるパリティ値の同定が困難であるということ(LPN:Learning Parity with Noise)に基づいており、受動攻撃に対する安全性が証明されている。ただし、HBプロトコルは、リーダー(Reader)へのなりすましといった能動攻撃に対して脆弱性がある。この点を解決するために、2005年にJuelsらにより、HB+プロトコルとして提案されたものである。
【0011】
HB+プロトコルの概要は、図1のように図示される。ここで、図1中の、a,b,x,yはベクトルであり、ν,zはビットである。
【0012】
図示するように、HB+プロトコルでは、被認証コンポーネントであるタグ(Tag)と、認証コンポーネントであるリーダー(Reader)とが、各々秘密情報ベクトルx, yを共有する。
【0013】
タグは、リーダーに対して一時乱数ベクトルbを渡す。
【0014】
続いて、リーダーは、タグに対して一時乱数ベクトルaを渡す。
【0015】
続いて、タグは、乱数aと秘密情報ベクトルxの内積(a・x)および乱数bと秘密情報ベクトルyとの内積(b・y)を計算する。さらに、タグは、ηの確率で1となる変数νを生成する。そして、内積(a・x)、内積(b・y)、変数νをそれぞれ加算して、z= ax(+)by(+)νを算出する。ここで、axは内積(a・x)を意味し、(+)は排他的論理和を意味する。
【0016】
続いて、タグは、算出したzを、リーダーへと送信する。
【0017】
続いて、リーダーは、受領したzと、自身で計算したax(+)byとを比較し、一致不一致を検査する。上記一連の処理を1単位として1ラウンドと称することもある。
【0018】
これら上記1ラウンドの処理を複数回(例えば、数十回〜数万回程度)繰り返し、前述の不一致確率が、所定値tを下回った場合、タグが秘密情報を保持しているとみなし、認証が成功する。
【0019】
尚、ax(+)byは、秘密情報x,yと、結合ベクトルa,bとのそれぞれの内積である。そのため、x,yの結合ベクトルxyを秘密情報とおき、a,bの結合ベクトルをConcat(a,b)とした場合、ax(+)byをConcat(a,b)xyと表現することも可能である。
【0020】
[比較例2(Random HB#プロトコルの一例)]
次に、図2を用い、比較例2について説明する。この比較例2は、Random HB#プロトコルの一例に関するものである。Random HB#プロトコルは、上記比較例1に示したHB+プロトコルが更に改良されたプロトコルである。
【0021】
上記HB+プロトコルは、受動的な攻撃と能動的な攻撃に対して解決策を提供したものの、Gilbertらによって提案された中間者攻撃に対して脆弱性がある傾向にある。この点を解決するために、GilbertらによりHB+プロトコルの改良方式プロトコルとして、Random HB#プロトコルとして提案されたものである。
【0022】
Random HB#プロトコルの概要は、図2のように図示される。ここで、図2中のX,Yは行列であり、a,b,z,νはベクトルである。
図示するように、Random HB#プロトコルでは、タグ(Tag)とリーダー(Reader)とが、各々秘密情報行列X, Yを共有する。
【0023】
まず、タグは、リーダーに対して一時乱数ベクトルbを渡す。
【0024】
続いて、リーダーは、タグに対して一時乱数ベクトルaを渡す。
【0025】
続いて、タグは、乱数aと秘密情報行列xとの内積(aX)および乱数bと秘密情報行列yとの内積(bY)を計算する。ここで、X, Yは行列、a, bはベクトルであることから、各々の内積結果は、ベクトルとなる。また、タグは、ηの確率で1となる変数ベクトルνを生成する。そして、タグは、上記の値を加算して、z= aX(+)bY(+)νを算出する。ここでzはベクトルである。
【0026】
続いて、タグは、算出したzを、リーダーへと送信する。
【0027】
続いて、リーダーは、受領したzと自身で計算したaX(+)bYとのビット加算、すなわち排他的論理和演算を行った結果を用い、aX(+)bY(+)zのハミング重みHwt(aX(+)bY(+)z)を計算する。ハミング重みHwt(aX(+)bY(+)z)が、所定値t*clenを下回った場合、タグが秘密情報を保持しているとみなし、認証が成功する。ただし、η≦t<0.5、clenはAX(+)BYのビット長とする。
【0028】
尚、aX(+)bYは秘密情報XとYの結合行列とaとbの結合ベクトルの内積であることから、X,Yの結合行列XYを秘密情報とおき、aとbの結合ベクトルをConcat(a,b)とした場合、aX(+)bYをConcat(a,b)XYと表現することも可能である。
【0029】
<実装上の改善点>
しかしながら、上記比較例1、2に係るプロトコルでは、例えば、NAND型フラッシュメモリ等に具体的に実装しようとした場合等に、以下(I)〜(IV)のような改善点が考えられる。
【0030】
(I)秘密情報X及びYの共有手段
前述のように、上記比較例1、2では、リーダーとタグとは、秘密情報X, Yを共有している必要がある。しかしながら、上記比較例1、2では、秘密情報X, Yを共有するための具体的な共有方法が提示されていない。
【0031】
そのため、仮にすべてのリーダーとタグとで同一のX, Yを事前に共有していた場合、一旦X, Yが露見してしまうと、システム全てに致命的な影響を与える。一方でタグ毎に異なるX, Yを適用した場合、リーダー側では全てのタグに適用されているX, Yを保持している、もしくはそれを統合的に管理しているデータベースへのアクセスなどが要求される。
その結果、リーダー側への負担が大きくなる。
【0032】
尚、これに関連する先行技術として、特開2000−357213号公報において、演算処理機能を有する記録媒体に複製コンテンツを記録する記録装置と該記録媒体との間の相互認証方法において、前記記録媒体は、少なくとも該記録媒体に依存する第1の情報と、前記記録装置と相互認証を行う際に該記録装置と共有すべき該記録媒体に依存する第2の情報とを記憶し、前記記録装置は、前記記録媒体から得られた前記第1の情報に基づき該記録媒体との間の相互認証を行う際に用いる認証情報を生成し、この生成された認証情報と前記第2の情報とを用いて前記記録装置と前記記録媒体との間で相互認証を行うことを特徴とする方法が提案されている。
【0033】
(II)コンポーネントPに対し、秘密情報X及びYを効率的に記録する手段
上記HB+プロトコル、Random HB#プロトコルにおいては、いわゆる上記LPN問題を現実的な計算量で同定を困難とするためには相応の秘密情報量、すなわちX, Yは相応のデータサイズである必要がある。ここで、X, Yが全てのタグで共通であれば、ハードワイヤードロジックで構成することも可能であるが、X,Yをタグ毎に異ならせる場合、タグはX, Yを保持するために十分なメモリ容量を持つ必要がある。また、これと同時にタグ製造において同データを個別に記録する必要性があり、記録時間はすなわち製造時間へと反映される。
【0034】
その結果、メモリ容量の増加と記録時間の増加により、タグのコスト増大を招く。
【0035】
(III)コンポーネントPが保持する秘密情報X及びY損傷に対する保護手段
コンポーネントPが内部メモリにてX, Yを保持している場合、認証に用いる場合は同X, Yのデータ完全性が要求されるが、先行文献ではこれらについて言及されていない。データ完全性を保証するには、タグ内部のメモリにはエラー訂正符号を付与したX, Yを保有し、認証時に訂正処理を行うなどの方法が考えられる。しかしながら、一般に廉価メモリは必ずしも訂正機能を有しているわけではなく、メモリ側に訂正機能がない場合はメモリ以外のタグ内コンポーネントとして同訂正機能を有す必要がある。
その結果、タグのコスト増大を招く。
【0036】
(IV)秘密情報X及びY露見時の秘密情報更新手段
上記Random HB#コンポーネントは、各々受動攻撃、能動攻撃、一定条件下での中間者攻撃に対する耐性が認められているものの、近年では一般化された中間者攻撃に対する脆弱性が報告されるなど、X, Yが露見する可能性を排除することはできない。X, Yの露見には、それ相応の攻撃コストが要求されるものの、一旦X,Yが露見した場合、同X,Yを用いた偽造タグなどの製造が可能となるため、仮にX, Yが露見した場合でも新たなX, Yへと移行できるように、秘密情報の更新手段がある方が望ましい。
【0037】
そこで、上記の点を考慮し、以下において、実施形態について図面を参照して説明する。なお、これまでRFIDのリーダーとタグとを一例にとって説明をした。しかしながら、同様の要件はNAND型フラッシュメモリなどの回路面積が即座にコストに直結するメモリチップにおいても同様である。そのため、以下実施形態では、認証コンポーネントとしてのリーダー(Reader)としてNAND型フラッシュメモリを認証するホストデバイス(Host)、被認証コンポーネントとしてのタグ(Tag)としてNAND型フラッシュメモリ(NAND chip)を、一例に挙げて説明する。しかし、これに限られることはない。例えば、NOR型フラッシュメモリ、抵抗変化式メモリ(ReRAM: Resistive Random Access Memory)、磁気抵抗メモリ(MRAM: Magnetoresistive Random Access Memory)、相変化メモリ(PRAM: Phase change Random Access Memory)、および強誘電体メモリ(FeRAM: Ferroelectric Random Access Memory)、ハードディスクドライブやソリッドステートドライブなどの演算機能及びメモリを有するストレージデバイス、RFIDやICカードなどの認証を要するコンポーネント、汎用演算素子と汎用メモリを有した計算器とソフトウェアから構成されるシステムなど、多様な実装形態に適用できる。尚、この説明においては、全図にわたり共通の部分には共通の参照符号を付す。
【0038】
[第1実施形態]
図1および図2を用い、第1実施形態に係る認証コンポーネント、被認証コンポーネントおよびその認証方法について説明する。
【0039】
<1.構成例(メモリシステム)>
まず、図3を用い、第1実施形態に係る構成例について説明する。
図3に示すメモリシステムは、被認証コンポーネントであるNANDフラッシュメモリ10、認証コンポーネントであるホスト装置20、両者を仲介するコントローラ19を備える。図示するように、ホスト装置20は、コントローラ19と呼ばれるNAND型フラッシュメモリ10に対するアクセス機能を有したデバイスを経由してNAND型フラッシュメモリにアクセスする。
【0040】
ここで、半導体製品の製造工程について記載する。半導体製品の製造工程は、主に基板ウエハー上に回路を形成する前工程と、前記ウエハーを個片に切り分けた後、配線や樹脂パッケージ封入などを行う後工程に分けられる。ここで、コントローラ19は、前工程においてNAND型フラッシュメモリ10内に包含されるよう構成される場合、前工程においては包含されないが後工程において同一パッケージに包含されるよう構成される場合、NAND型フラッシュメモリ10とは異なるチップの形態をとる場合、など様々な場合がある。図3を含め、以下ではコントローラ19は、NAND型フラッシュメモリ10とは異なるチップの形態をとる場合を例にとっている。しかしながら、本実施形態は、上記いずれのケースにおいても適用可能である。以下、特に断りのない限り、ホスト装置20とNAND型フラッシュメモリ10間のデータや命令のやり取りにおいては、多くの場合コントローラが仲介するものであるが、これは省略することとする。なお、NAND型フラッシュメモリ10およびコントローラ19の構成例については、後述する。
【0041】
図3に示す各コンポーネント、データ処理については、以下の通り説明する。図示するように、秘密情報X, Yを共有する方法と、同方法をNAND型フラッシュメモリ10に適用する場合の構成が示される。
【0042】
1−1.NAND型フラッシュメモリ
NAND型フラッシュメモリ10は、被認証コンポーネントである。本例に係るNAND型フラッシュメモリ10は、セルアレイ11、およびセルアレイ11の周辺領域に配置されるデータキャッシュ12、圧縮演算回路13、バイアスドRNG14、出力部15、乱数生成器16、順序交換回路18、ビット毎加算回路C1等を備える。
【0043】
セルアレイ(Cell array)11には、図示しないビット線およびワード線の交差位置にマトリックス状に複数のメモリセルが配置される。メモリセルは、半導体基板上に順次、トンネル絶縁膜、浮遊ゲート、層間絶縁膜、およびワード線と接続される制御ゲートをそれぞれ備える。ビット線方向のメモリセルの電流経路は直列接続され、セルユニットを形成する。セルユニットは、ビット線、ソース線に接続される選択トランジスタにより選択される。ワード線方向の複数のメモリセルは、データ読み出しおよびデータ書き込みの単位である1ページ(Page)を形成する。また、複数のページはデータ消去の単位であるブロック(Block)を形成する。
【0044】
セルアレイ(Cell array)11は、ロム領域11−1、秘匿領域11−2、一般領域11−3を備える。
ロム領域(Rom area)11−1は、データ記録が禁止され、データ読み出しが許可される領域である。本例に係るロム領域11−1には、秘密情報XYを暗号化し、更に訂正符号が付与されたデータXYE(xe bits)が記録される。暗号化には、対称鍵暗号であるAES(Advanced Encryption Standard)などの暗号器を、暗号モードはCTR(Counter)、CBC(Cipher block chain)などを利用しても良いし、非対称暗号であるECDSA(楕円曲線暗号)やRSAなどを利用しても良い。また誤り訂正符号としては、BCH符号、Reed Solomon符号、LDPC(Low density parity check)符号などを利用してもよい。このように、本例は、いずれの暗号方法、訂正符号にも適用することが可能である。ここで、XYEとは、秘密情報XYが暗号化され、更に訂正符号が付与されたものとして表記される。また、(xe bits)とは、ビット数を表記する。
【0045】
秘匿領域(Hidden area)11−2は、NAND型フラッシュメモリ10の外に対してはデータ記録が禁止され、データ読出も禁止される領域である(Read Program inhibit)。本例に係る秘匿領域11−2には、上記認証に用いるX, Yに対応するデータXYが記録される。
【0046】
一般領域(User area)11−3は、データ記録およびデータ読み出しのいずれも自由に可能な領域である。一般領域11−3には、例えば、写真などの画像データや、動画データ等が記録される。
【0047】
尚、上記におけるロム領域、秘匿領域、一般領域は、物理的構成を異ならせることで実現してもよいし、物理的構成は同一であるがNAND型フラッシュメモリ内の論理的制御で実現してもよい。ここで、論理的制御とは、領域ごとにNAND型フラッシュメモリ外からのアクセスを制御する識別子を設け、これを保持し、NAND型フラッシュメモリが外部から当該領域へのアクセスを受領した際に、同識別子によってアクセス制御を行う、などの方法である。
【0048】
また、セルアレイ(Cell array)11を構成する個々のメモリセルは、複数ビットを記憶するものであってもよいし(MLC: Multi Level Cell)、1ビットを記憶するものであってもよい(SLC: Single Level Cell)。更に、ロム領域及び秘匿領域についてはSLCで利用する構成とし、一般領域についてはMLCで利用する構成としてもよい。この時、SLC領域とMLC領域とはセルアレイの物理的構成が異なっていてもよいし、MLCとして利用可能なメモリセルの一部のビットのみを使用して、疑似的なSLC領域として利用してもよい。
【0049】
データキャッシュ(Data Cache)12は、セルアレイ11から読出したデータを一時的に記憶する。
【0050】
バイアスドRNG(Biased RNG)14は、所定確率ηにて1となる乱数νを生成する。尚、バイアスドRNGの入力元として下記の乱数生成器を用いてもよく、その場合乱数生成器から出力される複数の乱数列に対して、論理積や論理和などの演算を行うことで所定確率ηに対応した乱数を生成することが可能である。
【0051】
乱数生成器(RNG: Random Number Generator)16は、認証に用いる乱数Nonce_N(a bit)を生成する。
【0052】
順序交換回路(Permutation & Concatenation)18は、両者が共有したXYを用いて、ホスト装置20から入力される乱数Nonce_Hと、メモリ10から入力される乱数Nonce_Nとから構成した乱数Nonce(c bits)を生成する。ここで、aはNonce_Nのビット長を意味し、bはNonce_Hのビット長を意味し、cは圧縮演算回路の1処理当たりに入力されるビット長を意味する。すなわち、順序交換回路(Permutation & Concatenation)から出力される個々の乱数Nonceは圧縮演算回路の1処理用のデータであり、1処理用にNonce_NとNonceHの総ビットを用いてもよいし、部分ごとに選択的に用いてもよい。
【0053】
圧縮演算回路(Compress (ex. inner product))13は、データキャッシュ12の出力XY(c bit each)と順序交換回路13の出力(c bits)について内積演算などの所定の演算を行い、データCを出力する。
【0054】
ビット毎加算回路C1は、圧縮演算回路13の出力ビットに対して、バイアスドRNGによって生成されたνを付与したz=C+νを、出力部15へ出力する。尚、前述の通り、ビット加算とは排他的論理和を意味する。すなわち、ビット毎加算回路は、2入力データのビット毎の排他的論理和を出力する。
【0055】
出力部15は、ビット毎加算回路C1の結果(z=C+ν)を、コントローラ19を介してホスト装置20に出力する。
【0056】
なお、上記セルアレイ11以外のデータキャッシュ12等の構成要素は、メモリコントローラ19に配置されることも同様に可能である。
【0057】
1−2.ホスト
本例に係るホスト(Host)20は、訂正処理部21、暗号の復号部22、鍵保持部23、データ一時記憶部25、圧縮演算部26、乱数生成部27、順序交換部29、判定部30等を備える。
【0058】
訂正処理部(ECC)21は、NAND型フラッシュメモリ10のロム領域11−1から読み出されたデータXYEに誤り訂正処理(ECC)を行う。
【0059】
復号部(Decrypt)22は、読み出したデータXYEに対してエラー訂正処理を行った後、鍵保持部23が保持する鍵KEYによりデータXYEを復号して、XYを得る。
【0060】
データ一時記憶部(Data cache)25は、復号したXYを一時的に保持する。これにより、ホスト装置20とNAND型フラッシュメモリ20は、秘密情報XYを共有できる。
【0061】
圧縮演算部(Compress (ex inner product))26は、データキャッシュ25の出力(c bit each)と順序交換回路29の出力(c bits)とについて内積演算などの所定の演算を行い、データCを出力する。
【0062】
乱数生成部(RNG)27は、ホストの一時乱数Nonce_H (b bit)を生成する。
【0063】
順序交換部(Permutation & Concatenation)29は、両者は共有したXYを用いて、ホスト装置20から入力される乱数Nonce_Hと、メモリ10から入力される乱数Nonce_Nとから構成した乱数Nonce(c bits)を生成する。
【0064】
判定部(Accept if Hwt(z(+)C) ≦ t*clen)30は、圧縮演算部26の出力Cおよび出力部15の出力zについて、上記のようにハミング重みHwt(z(+)C)を行い、ハミング重みHwt(z(+)C)が、所定値t*clenを下回った場合、秘密情報を保持しているとみなし、認証成功と判定する。ただし、η≦t<0.5、clenはz(+)Cのビット長とする。
【0065】
このように、ホスト装置20は、バイアスドRNG処理27を除き、判定部30により同様の処理によって得られたCとzとを比較することで、被認証コンポーネントであるNAND型フラッシュメモリ10の正当性を確認する。
【0066】
尚、上記構成による同様の処理を複数回行うことで最終的に正当性を確認することも可能である。例えば、本図では、Cが複数ビットである場合を例としており、比較判定方法はzとCの加算ビット系列におけるハミング重みを判定に用いている。もし、Cが単一ビットであった場合、前述のHB+プロトコルと同様に、前述の処理は複数回行う必要があり、この場合はHB+プロトコルと同様にエラー変数の生起確率に基づいてzとCの不一致率を検査すればよい。
【0067】
1−3.変形例
上記に限られず、本例の構成は、以下のように必要に応じて、変形することが可能である。
【0068】
圧縮処理について、図1及び図2で示した比較例1、2に係る内積計算に対応しても良いが、必ずしも内積計算でなくともよい。例えば、圧縮処理を、LFSR(Linear Feedback Shift Registor)で構成する演算器に対してXYを基とするデータとNonce_H及びNonce_Nを基とするデータを入力し、全入力後のLFSR中のレジスタ値の一部もしくは全てを圧縮結果として用いてもよい。または、LFSRとしてCRC演算器を用いてもよい。更に、圧縮処理に用いる関数としてハッシュ関数を用いてもよい。ハッシュ関数は暗号器に基づいていてもよく、基づいていなくてもよい。いずれの演算方法を用いても本実施例にて提案している方法を適用することが可能である。また安全性の根拠となっているLPN問題に属していることに変わりはない。尚、ここで圧縮処理とは可逆圧縮であるか、非可逆圧縮であるか、は問わず、少なくとも入力されたデータよりも小さく、かつ入力データに依存するデータを出力する処理を意味する。
【0069】
また、圧縮計算部に対してNonce_HとNonceNを元に生成したNonceを送出する処理について説明する。NonceはNonce_HとNonceNを所定の順序によって結合し送出されるデータであり、結合・送出方法としては、単純な順送りデータ結合・送出、互いのデータを交互に挿入したインターリーブデータ結合・送出などの方法であってよく、また前述の方法により複数回データを送出しても良い。いずれにせよ、Nonceは、Nonce_N及びNonceHの少なくとも一部のデータより生成されたデータであり、cビット長のデータとなる。ここで、Nonce_Nのデータ長はaとおき、Nonce_Hのデータ長はbとおき、両者の合計データ長をdとおく。仮にc=dであり、かつデータを複数回送出しない場合、圧縮計算部からの出力は1ビットとなる。仮にc=dであり、かつデータを複数回送出する場合、圧縮計算部からの出力は1ビットが複数回出力される。仮にc<dであり、かつデータを複数回送出する場合、圧縮計算部からの出力は1ビットが複数回出力される。
【0070】
一方、Nonceとの圧縮を計算するXYにおいても、XY中のデータがcビット単位で圧縮計算部へと送出される。ここで、XYデータのビットサイズxはcと等しいもしくは整数倍である。cと等しい場合、圧縮計算部の出力は1ビットとなる。cの整数倍である場合、圧縮計算部の出力は1ビットが複数回となる。代表的な組み合わせについて記すと、
・c=d=xの場合、圧縮計算部の出力は1ビット
・c=d<xの場合、圧縮計算部の出力は1ビットが複数回
・c<d, c<xの場合、圧縮計算部の出力は1ビットが複数回
となる。尚、前記は圧縮計算部が2入力を1ビットに圧縮する場合の例であり、圧縮計算部が2入力を複数ビットに圧縮する場合は、1回あたりの出力値自体も複数ビットとなる。
【0071】
<2.認証フロー>
次に、図4に沿って、図3に示した構成におけるメモリシステムの認証フローについて説明する。
【0072】
認証開始(Start)すると、ステップS11の際、ホストデバイス10は、NAND型フラッシュメモリ10へXYEの読出し命令(Read XYE)を送出する。
【0073】
続いて、ステップS12の際、NAND型フラッシュメモリ10は、上記読出し命令に従って、XYEをセルアレイ11−1よりロード(load XYE)し、これをホスト装置20へと送出する。
【0074】
続いて、ステップS13の際、ホスト装置20は、受領したXYEに対して、上記復号処理を行い、XYを得る(Retrieve XY)。
【0075】
続いて、ステップS14の際、ホスト装置20は、認証要求(Request authentication)を、NAND型フラッシュメモリ10へ送出する。ここで、認証要求にはNonce_Hを含んでいてもよい。
【0076】
続いて、ステップS15の際、NAND型フラッシュメモリ10は、Nonce_Hを受領し、XYをロードする(Load XY (if required))。
【0077】
続いて、ステップS16の際、NAND型フラッシュメモリ10は、Nonce_Nおよびνを生成する(Create Nonce_N, Create ν)。
【0078】
続いて、ステップS17の際、NAND型フラッシュメモリ10は、上記のように、生成されたνを付与し、zを計算する。NAND型フラッシュメモリ10は、Nonce_N及びzをホスト装置20へと送出する。
【0079】
続いて、ステップS18の際、ホスト装置20は、それらデータNonce_N及びzを受領後、内積演算などの所定の演算を行い、データCを計算する。
【0080】
続いて、ステップS19の際、ホスト装置20は、zとCのビット毎XOR値の系列に対してハミング重みHwt(z(+)C)を計算し、これが所定値t*clenを下回るか否かの判定処理(Check Hwt(z(+)C) ≦ t*clen)を行う。ここで、上記のように、tはNANDフラッシュメモリ10がzの算出時に用いたエラービットもしくはエラーベクトルνにおけるエラー付与確率(もしくはデータ中の1の出現確率)ηに基づく値であり、η≦t<0.5であるとする。またclenはCのビット長とする。
【0081】
続いて、ステップS20の際、上記ステップST19の判定結果が所定を下回らなかった場合(fail)、ホスト装置20は、失敗としてこの動作を停止する。
【0082】
続いて、ステップS21の際、上記ステップST19の判定結果が所定を下回った場合(Success)、ホスト装置20は、あらかじめ定められたラウンド数に達しているか否かを判定する(Enough round ?)。ここで、ラウンド数とは前記認証要求処理から前記判定処理までの一連の処理を指す。ラウンド数に達していない場合(No)には、再度認証要求処理(S14〜)を繰り返す。
【0083】
続いて、ステップS22の際、ラウンド数に達している場合(Yes)には、認証が成功したとみなし、ホストデバイス10は、必要に応じて、前記XYに基づきMedia IDを算出する処理を行う。Media IDの算出処理、Media IDの利用方法(S23以下)については後述する。
【0084】
以上の動作により、第1実施形態に係る認証フローを終了する(End)。
【0085】
尚、Nonce_N、Nonce_H、νのパラメータは、ラウンド毎に異なるものを用いる必要がある。また、NAND型フラッシュメモリ10が認証要求を受領した際、前認証要求時のXYがData Cacheにロードされたままであった場合、セルアレイからのXYのロードを省略し、Data cache内の値を用いてもよい。また、ステップS17の後、Data cache内のXYを消去してもよい。特に、NAND型フラッシュメモリ10がData cacheへのアクセス機能を外部に提供している場合、認証に要するデータzを計算した段階でData cache内の秘密情報XYを消去することはセキュリティ上有用である。
【0086】
<3.作用効果>
第1実施形態に係る構成およびその認証方法によれば、上記(I)〜(IV)を改善でき、少なくとも下記(1)の効果が得られる。
【0087】
(1)認証コンポーネント、被認証コンポーネント間で、異なる秘密情報XYの秘密状態を維持したまま共有でき、共有した秘密情報に基づく軽量な計算によって認証できる。
【0088】
本例に係るNAND型フラッシュメモリ10は、秘密情報XYを記録禁止・読出禁止領域である秘匿領域11−2に保持し、同秘密情報XYを暗号化し更に訂正符号を付与したXYEを記録禁止・読出許可領域であるロム領域11−1に保持する。さらに、ホスト装置20は、XYEを読み出してエラー訂正処理21、復号化処理22をする機能、および復号に用いる鍵23により、NAND型フラッシュメモリ10およびホスト装置20の両者で、秘密情報XYを共有することができる。そのため、認証・被認証コンポーネントは、共有した秘密情報XYで、認証を行うことができる(ST11〜ST23)。
【0089】
また、NAND型フラッシュメモリ10とホスト装置20は、各々一時乱数を生成するRNG16,17、順序交換部18,29、圧縮計算部13,26、一時乱数のビット毎加算部C1,26、送出部15を備える。また、NAND型フラッシュメモリ10は、バイアスドRNG14を備える。ホスト装置20は、NAND型フラッシュメモリ20から送出されたzとホストデバイス内部で計算したCとを比較し認証を行う判定部30を備える。
【0090】
このように、第1実施形態では、秘密情報XYを記録禁止・読出禁止領域である秘匿領域11−2に保持し、これを用いてデータzを生成するため、秘匿性を保持できる。さらに、秘密情報XYを暗号化し更に訂正符号を付与したXYEを記録禁止・読出許可領域であるロム領域11−1に保持する。ホスト装置20は、ここから読み出したXYEに対して、エラー訂正処理21、および鍵23を用いた復号化処理22を行うことで、XYを共有する。そのため、認証・被認証コンポーネント間で、異なるXYを秘密状態を維持したまま共有できる。
【0091】
従って、第1実施形態に係る構成およびその認証方法によれば、認証・被認証コンポーネント間で、異なるXYを秘密状態を維持したまま共有でき、共有した秘密情報に基づく軽量な計算によって認証できる点で有利である。
【0092】
[第2実施形態]
次に、図5および図6を用い、第2実施形態に係る認証・被認証コンポーネントおよびその認証方法について説明する。なお、以下の説明において、上記第1実施形態と重複する部分の説明については、省略する。
【0093】
<構成例(メモリシステム)>
図5を用い、第2実施形態に係る構成例について説明する。
図示するように、第2実施形態に係る構成例では、NAND型フラッシュメモリ10が、ロム領域11−1,秘匿領域11−2に、それぞれ複数のXYEおよび複数のXYを記憶する点で、上記第1実施形態と相違する。ここで、iとjが異なる場合、XY[i]≠XY[j]、XYE[i]≠XYE[j]である。
【0094】
このように、複数のXYEおよび複数のXYの組を保持することで、秘密情報X及びY露見時の秘密情報の更新手段を提供することができる。仮にある1つのXYとXYEの組が中間者攻撃その他によって露見し、露見したXY及びXYEを流用した偽造デバイスが製造された場合でも、本例では、ホスト装置20が保持するKEY[1]23を更新(例えば、KEY[1]=> 更新KEY[2])することができる。このように、露見したXY及びXYE以外の組を利用することで、偽造デバイスの排除が可能となる。各XY[i]の暗号化に用いられるKEYはiが異なる場合、異なるものである方が望ましい。
【0095】
その他は、上記第1実施形態と実質的に同様であるため、詳細な説明を省略する。
【0096】
<認証フロー>
次に、図6に沿って、第2実施形態に係る認証動作について説明する。
第2実施形態では、NAND型フラッシュメモリ10内には複数のXY及び複数のXYEが記録されているため、ホスト装置20がいずれのXYを用いるかを選択することで、認証を行う。
【0097】
そのため、第2実施形態では、ステップS14の際に、ホスト装置20が、認証を要求する(Request authentication)場合、いずれのXYを用いるかを指定するパラメータiを、乱数Nonce_Hとともに、NAND型フラッシュメモリ10に送出する点で、相違する。
【0098】
その他は、上記第1実施形態と実質的に同様であるため、詳細な説明を省略する。
【0099】
<作用効果>
第2実施形態に係る認証・被認証コンポーネントおよびその認証方法によれば、上記(I)〜(IV)を改善でき、少なくとも上記(1)の効果が得られる。
【0100】
さらに、第2実施形態では、NAND型フラッシュメモリ10が、ロム領域11−1、秘匿領域11−2に、それぞれ複数のXYEおよび複数のXYを記憶する点で、上記第1実施形態と相違する。
【0101】
このように、複数のXYEおよび複数のXYの組を保持することで、秘密情報X及びY露見時の秘密情報の更新手段を提供することができる。仮にある1つのXYとXYEの組が中間者攻撃その他によって露見し、露見したXY及びXYEを流用した偽造デバイスが製造された場合でも、本例では、ホスト装置20が保持するKEY[1]23を更新(例えば、KEY[1]=> 更新KEY[2])することができる。
【0102】
そのため、第2実施形態に係る認証フローでは、ステップS14の際に、ホスト装置20が、認証を要求する(Request authentication)場合、いずれのXYを用いるかを指定するパラメータiを、乱数Nonce_Hとともに、NAND型フラッシュメモリ10に送出する。
【0103】
このように、第2実施形態では、NAND型フラッシュメモリ10が、複数のXY及び複数のXYEを有し、ホストデバイスからの命令によりXYEを選択的に送出する機能を有し、ホストデバイスからの命令により認証に用いるXYを選択的に設定する。また、ホストデバイスは、自身が保持する鍵に対応するXYEを選択的に読み出す機能を有し、それを復号する機能を有し、また自身が保持する鍵を所定の条件下で更新する機能を有する。
【0104】
その結果、露見したXY及びXYE以外の組を利用することで、偽造デバイスの排除が可能となる点で有利である。
【0105】
[第3実施形態]
次に、図7乃至図9を用い、第3実施形態に係る認証・被認証コンポーネントおよびその認証方法について説明する。
【0106】
<構成例(メモリシステム)>
図7を用い、第3実施形態に係る構成例について説明する。
図示するように、本例に係るNAND型フラッシュメモリ10は、ロム領域11−1B、秘匿領域11−2Bに、複数のXYsubEおよび複数のXYsubをそれぞれ記憶する点で、上記第2実施形態と相違する。ここで、iとjが異なる場合、XYsub[i]≠XYsub[j]、XYsubE[i]≠XYsubE[j]である。XYsubEはXYsubを暗号化した後、訂正符号を付与したデータである。
【0107】
XYsubは、XYと同様に記録禁止・読出禁止領域(秘匿領域)11−2Bに記録され、XYsubEは、XYEと同様に記録禁止・読出許可領域(ロム領域)11−1Bに記録される。
【0108】
ここで、XYmainのデータサイズは、XYsubよりも大きい(データサイズ:XYmain > XYsub)。また、XYmainとXYsubから構成されるデータが、前述の秘密情報XYに対応する。
【0109】
このように、第3実施形態では、XYの組に加え、XYsub[i], XYsubE[i]の組を更に備えるため、秘密情報X及びYを効率的に記録することができる点で有利である。詳細については、後述する。
【0110】
さらに、NAND型フラッシュメモリ10は、上記XYsubを格納するためのデータキャッシュ12B、およびXYmainと XYsubとをビット毎加算するためのビット毎加算部C2を備える。ビット毎加算部C2の出力値が、前述の認証に用いられるXY値に相当する。ここで、XYmainとXYsubのビット長が異なることから、ビット加算C2においては、XYsubの繰り返しデータが適用される。
【0111】
例えば、本図にあるように所定の演算としては、ビット加算が考えられ、XYmainのデータサイズがXYsubのデータサイズの整数倍であった場合、XYmainのデータを保持するData cacheからはXYmainが順送りに送出され、XYsubのデータを保持するData cacheからはXYsubが順送りかつ繰り返し送出される構成が考えられる。XYsubを保持するData cacheはリングバッファと考えてもよい。また、ビット毎加算以外にもXYmainとXYsubの結合値をXYとしてもよいし、XYmainとXYsubのインターリーブ結合値をXYとしてもよいし、XYmainとXYsubをLFSRに入力しLFSRの所定レジスタの値をXYとしてもよい。すなわち、本実施例ではビット毎加算部としているが、2入力から構成したデータをXYとして用いるいずれの演算方法も適用可能である。
【0112】
同様に、ホスト装置20は、読み出したXYsubEに対応するための、訂正処理部21B、暗号の復号部22B、鍵保持部23B、データ記憶部25B、加算部C3を更に備える。ホスト装置20は、上記構成により、同様に、エラー訂正処理を行い、対応するKEY_XYsubにより復号することでXYsubを得る。これにより、ホストデバイスとNAND型フラッシュメモリ間で、秘密情報XYmain及びXYsubを共有できる。ここで、本図においてはKEY_XYmainとKEY_XYsubは異なるオブジェクトとして描かれているが、実際には同じ鍵であっても良い。また、各XYsub[i]の暗号化に用いられるKEY_XYsubはiが異なる場合、異なるものである方が望ましい。さらに、ホスト装置20、メモリ10は、XYmainとXYsubを用いて所定の演算を行ったXY値により、認証処理を行う。
【0113】
<認証フロー>
次に、図8に沿って、第3実施形態に係る認証動作について説明する。
第3実施形態では、NAND型フラッシュメモリ10内にはXYmainに加えてXYsubが、またそれらを暗号化したXYmainE及びXYsubEが記録される。
【0114】
そのため、図示するように、対応するステップS13において、ホスト10は、XYmainE , XYsubEを更に読み出して復号をし、秘密情報XYmain,XYsubに基づく秘密情報XYを生成する(Create XY)。続いて、ホスト装置20は、秘密情報XYmainとXYsubから導出された情報を用いて、同様の認証を行う。
【0115】
また、NAND型フラッシュメモリ10側においても同様に、ステップS15において、読み出した秘密情報XYmain,XYsubに基づいて秘密情報XYを生成する(Create XY)点で、上記第2実施形態と相違する。
【0116】
<作用効果>
第3実施形態に係る認証・被認証コンポーネントおよびその認証方法によれば、上記(I)〜(IV)を改善でき、少なくとも上記(1)の効果が得られる。さらに、第3実施形態では、(2)の効果が得られる。
【0117】
(2)秘密情報X,Yを効率的に記録することができ、記録時間を高速化できる点で有利である。
【0118】
第3実施形態では、NAND型フラッシュメモリ10が、複数のXYsub及び複数のXYsubEを有し、ホスト装置20からの命令によりXYsubEを選択的に送出し、ホスト装置20からの命令により認証に用いるXYsubを選択的に設定し、選択されたXYsubとXYを所定の演算で導出した値により認証を行う。
【0119】
また、ホストデバイスは、自身が保持する鍵23Bに対応するXYsubEを選択的に読み出し、それを復号する機能22Bを有し、また自身が保持する鍵23Bを所定の条件下で更新する機能を更に有し、選択したXYsubとXYmainを所定の演算で導出した値により認証30を行う。
【0120】
このように、XYmainの組に加え、XYsub[i], XYsubE[i]の組を更に備えるため、秘密情報X及びYを効率的に記録することができる点で有利である。
【0121】
より具体的には、例えば、図9のように示される。図示するように、NAND型フラッシュメモリの製造工程において、XYmain、XYmainE、XYsub、XYsubEの複数の組は、XY発生装置(XY GEN)により生成され、書き込み装置(Writer)により、複数のNAND型フラッシュメモリ(ここでは、Chip1〜Chip4)にデータ書き込みがされる。
【0122】
ここで、XYmain及びXYmainEのデータは、複数のチップChip1〜Chip4から構成される集団内(例えばロット)で同一のデータで良い。一方、XYsub及びXYsubEは、チップChip1〜Chip4毎に異なるデータ(XYsub1〜XYsub4及びXYsubE1〜XYsubE4)とする必要がある。
【0123】
このように、第3実施形態では、データ書き込み動作において、データ量の多いXYmain及びXYmainEを複数のチップChip1〜Chip4で共通化することにより、メモリへのデータ書き込みプロセスを最適化でき、効率的に記録することが可能となる。
【0124】
仮に、XYmain及びXYmainEをハードワイヤードで構成する場合、実際に記録するデータは、データサイズが小さいXYsub及びXYsubEとなり記録時間を短縮できる。また、仮にXYmain及びXYmainEをセル上に記録する場合において、集団内で同一であることにより、NAND型フラッシュメモリへのデータ記録装置に対して記録データを転送する時間を短縮できる。先に述べたように、記録時間の増加は、コストの増加となるため、第3実施形態によれば、製造コストを低減することができるというメリットも大きい。
【0125】
[第4実施形態(多重記録される一例)]
次に、図10および図11を用い、第4実施形態に係る認証・被認証コンポーネントおよびその認証方法について説明する。
【0126】
<構成例(メモリシステム)>
図10を用い、第4実施形態に係る構成例について説明する。
第4実施形態では、メモリ10の秘匿領域11−2に、複数のXY[i]を多重に複製した情報11−2A,11−2B,11−2Cを更に有する点で、上記第2実施形態と相違する。
【0127】
すなわち、第2実施形態におけるXY[i]を複製したデータは、図10において、XY[i,1],XY[i,2],...,XY[i,n]によって示され、1≦i≦mに対しXY[i,1]=XY[i,2]=…=XY[i,n]である。また、1≦j≦nに対しXY[1,j]≠XY[2,j]≠…≠XY[m,j]である。
【0128】
ここで、XYEがECCが付与されている一方で、XYにはECCが付与されていないため、NAND型フラッシュメモリ内でセルから読み出したデータにエラーが含まれている場合、NAND型フラッシュメモリが認証に用いるXYの完全性が失われることも考えられる。しかしながら、本例のように、複数のXY[i]を複製した情報11−2A,11−2B,11−2Cを更に有することにより、検査・選択部12−0により、前記エラーが含まれているかどうかを複製データ間でのデータ比較により検出することができる。
【0129】
そのため、本例のメモリは、XY[i]を複製した情報11−2A,11−2B,11−2Cに対応するための検査・選択部(Check sum & select)12−0を更に備える点で、第2実施形態と相違する。
【0130】
図10において、セル11−2からロードされた少なくとも2つ以上のXYのデータセットは所定の上記同様の方法により比較を行うことでエラーが含まれているか否かを検査する。仮にエラーが含まれていた場合もしくはエラーが除去できない場合、異なる2つ以上のXYのデータセットを再度ロードし、同様に検査する。これをエラーが含まれていないもしくは除去できるデータセットが見つかるまで繰り返し、同データセットが見つかった場合それを認証に用いる。上記所定の方法の例としては、2つのXYをロードし、ビット毎にXOR値を算出した後、XOR値がすべて0であるかどうか、により検査する方法が考えられる。また、3つ以上のXYをロードし、多数決判定によってビット毎にエラーを除去したXYを得る方法も考えられる。また、本図においては、XYの複製データはすべて同一データとしているが、複製データのうち奇数番号のデータと偶数番号のデータの極性が反転しているように相補関係にあるデータを構成して事前に記録しておく方法も考えられる。この場合、前記相補関係にある2つのXYをロードし、ビット毎にXOR値を算出した後、XOR値がすべて1であるかどうか、により検査することが可能である。
【0131】
<認証フロー>
次に、図11に沿って、第4実施形態に係る認証動作について説明する。
図示するように、第4実施形態では、NAND型フラッシュメモリ10の秘匿領域11−2内に、複数のXYが多重記録される。
【0132】
そのため、ステップS15の際、NAND型フラッシュメモリ10は、少なくとも2つ以上のXYを読み出し、比較し、エラーを含んでいないXYを用いて認証を行う(Load / compare XYs)。
【0133】
<作用効果>
第4実施形態に係る認証・被認証コンポーネントおよびその認証方法によれば、上記(I)〜(IV)を改善でき、少なくとも上記(1)の効果が得られる。
【0134】
さらに、第4実施形態によれば、メモリ10の秘匿領域11−2に、複数のXY[i]を複製した情報11−2A,11−2B,11−2Cを更に有する。
【0135】
ここで、XYEがECCが付与されている一方で、XYにはECCが付与されていないため、NAND型フラッシュメモリ内でセルから読み出したデータにエラーが含まれている場合、NAND型フラッシュメモリが認証に用いるXYの完全性が失われることも考えられる。
【0136】
しかしながら、第4実施形態によれば、複数のXY[i]を複製した情報11−2A,11−2B,11−2Cを更に有することにより、検査・選択部12−0により、前記エラーが含まれているかどうかを複製データ間でのデータ比較により検出することができる。結果、メモリ10内でセルから読み出したデータにエラーが含まれている場合であっても、メモリ10が認証に用いるXYの完全性が失われることを防止できる点で更に有利である。
【0137】
[第5実施形態]
次に、図12および図13を用い、第5実施形態に係る認証・被認証コンポーネントおよびその認証方法について説明する。
【0138】
<構成例(メモリシステム)>
図12を用い、第5実施形態に係る構成例について説明する。第5実施形態に係る構成例は、上記第3、第4実施形態を組み合わせたものに関する一例である。
【0139】
図示するように、第5実施形態に係るNAND型フラッシュメモリ10は、秘匿領域11−2に、XYsub及びXYsubEについても複製データXYsub[i,j]及びXYsubE[i,j]を記録する点で、上記第4実施形態と相違する。
【0140】
また、上記に対応するための検査・選択部12−0Bおよびデータキャッシュ12Bを更に備える。
【0141】
<認証フロー>
次に、図13に沿って、第5実施形態に係る認証動作について説明する。
第5実施形態では、NAND型フラッシュメモリ10内に、更にXYsubも多重記録される(XYsub[i,j]及びXYsubE[i,j])。
【0142】
そのため、ステップS15の際、NAND型フラッシュメモリ10は、更に少なくとも2つ以上のXYsubを読み出し、比較し、エラーを含んでいないXYsubを用いて認証を行う(Load / compare XYs and XYsubs)。
【0143】
<作用効果>
第5実施形態に係る認証・被認証コンポーネントおよびその認証方法によれば、上記(I)〜(IV)を改善でき、少なくとも上記(1)の効果が得られる。
【0144】
さらに、第5実施形態によれば、NAND型フラッシュメモリ10は、秘匿領域11−2に、XYsub及びXYsubEについても複製データXYsub[i,j]及びXYsubE[i,j]を記録する。
【0145】
必要に応じて、本例のような構成および方法を適用することが可能である。
【0146】
[第6実施形態]
次に、図14および図15を用い、第6実施形態に係る認証・被認証コンポーネントおよびその認証方法について説明する。
【0147】
<構成例(メモリシステム)>
図14を用い、第6実施形態に係る構成例について説明する。
第6実施形態でも同様に、NAND型フラッシュメモリ10が、更に複数のXY[i]を複製した情報を有する。すなわち、先の第2実施形態におけるXY[i]を複製したデータは本図においてXY[i,1],XY[i,2],...,XY[i,n]によって示され、1≦i≦mに対しXY[i,1]=XY[i,2]=…=XY[i,n]である。また、1≦j≦nに対しXY[1,j]≠XY[2,j]≠…≠XY[m,j]である。
【0148】
ここで、XYデータを複製することは第4実施形態と同様であるが、本第6実施形態においては、NAND型フラッシュメモリ10側では複製データの比較処理を行わず、その代わりにホスト装置20で比較処理を行う点で、相違する。そのため、本例では、ホスト装置20が、多数決判定部(Majority check)30を備える点で、相違する。
【0149】
すなわち、NAND型フラッシュメモリ10は、ホスト装置20により指定されたiに応じ、XY[i,1],XY[i,2],...,XY[i,n]のうち少なくとも2つ以上をロードし、各々のXYに対して前述の認証処理を行う。ここで、各々のXYに対しては同一のNonce_N及び同一のNonce_Hを利用し、またバイアスドRNGによって生成されたνについても同一のものを適用する。
【0150】
NAND型フラッシュメモリ10の送信部15は、複数のXYに対して、他のパラメータが同一な条件で複数のz(z[i,1],z[i,2],…,z[i,n])を計算し、ホスト装置20に送出する。
【0151】
ホストデバイスは、複数のz(z[i,1],z[i,2],…,z[i,n])を受領した後、多数決判定部31により、多数決判定を行い、単一のzを得る。ここで、各zが複数のビット要素で構成されていた場合、圧縮計算部の出力が複数ビットからなる場合、前記多数決判定はビット要素毎に行う。
【0152】
ホストデバイスは、多数決判定によってエラーを除去したzを得たのち、前述と同様の判定処理30を行うことで、NAND型フラッシュメモリ10を認証する。
【0153】
<認証フロー>
次に、図15に沿って、第6実施形態に係る認証動作について説明する。
第6実施形態では、NAND型フラッシュメモリ10内に多重記録されているXYを用いて、NAND型フラッシュメモリが複数のzを計算し、送出し、ホストデバイスは複数のzを多数決処理することで単一のzを得て、認証を行う。
【0154】
そのため、ステップS17の際、NAND型フラッシュメモリ10は、計算した複数のz,jをホスト装置20に送信する。
【0155】
続いて、ステップS18の際、ホスト装置20は、複数のzの多数決判定部(Majority check)を更に行う点で、相違する。
【0156】
<作用効果>
第6実施形態に係る認証・被認証コンポーネントおよびその認証方法によれば、上記(I)〜(IV)を改善でき、少なくとも上記(1)の効果が得られる。
【0157】
さらに、第6実施形態では、NAND型フラッシュメモリ10が、更に複数のXY[i]を複製した情報を有する。さらに、ホスト装置20が、多数決判定部(Majority check)30を備える。
【0158】
そのため、計算資源に制約のあるNAND型フラッシュメモリ10での比較処理を軽減でき、計算資源に余裕のあるホスト装置20に比較処理(多数決処理)30を依頼することができる。結果、NAND型フラッシュメモリ10へのコスト増加を抑制することができ、エラーの除去が可能となる点で有利である。
【0159】
[第7実施形態]
次に、図16および図17を用い、第7実施形態に係る認証・被認証コンポーネントおよびその認証方法について説明する。
【0160】
<構成例(メモリシステム)>
図16を用い、第7実施形態に係る構成例について説明する。第7実施形態は、上記第3、第6実施形態を組み合わせたものの一例に関する。
【0161】
図示するように、NAND型フラッシュメモリ10は、XYsub及びXYsubEについても複製データ11−2B,11−1Bを更に記録する。上記第6実施形態と同様に、複数のXYに対する認証用データzを算出して算出部15でホスト装置20に送信し、ホスト装置20側で多数決処理30を行う。
【0162】
<認証フロー>
次に、図17に沿って、第7実施形態に係る認証動作について説明する。
第7実施形態では、NAND型フラッシュメモリ10内に、多重記録されているXYmain及びXYsubを用いて、NAND型フラッシュメモリが複数のzを計算し、送出し、ホストデバイスは複数のzを多数決処理することで単一のzを得て、認証を行う。
【0163】
そのため、ステップS11の際、ホスト装置20は、多重記録されているXYmain及びXYsubの読み出し要求(Read XYmainE and XYsubE)を行う。
【0164】
続いて、ステップS12の際、NAND型フラッシュメモリ10は、多重記録されているXYmain及びXYsubを読み出し(Load XYmainE and XYsubE)、ホスト装置20に送信(XYmainE and XYsubE)する。
【0165】
<作用効果>
第7実施形態に係る認証・被認証コンポーネントおよびその認証方法によれば、上記(I)〜(IV)を改善でき、少なくとも下記(1)の効果が得られる。
【0166】
さらに、第7実施形態では、NAND型フラッシュメモリ10が、XYsub及びXYsubEについても複製データ11−2B,11−1Bを更に記録する。上記第6実施形態と同様に、複数のXYに対する認証用データzを算出して算出部15でホスト装置20に送信し、ホスト装置20側で多数決処理30を行う。
【0167】
このように、必要に応じ、本例を適用することが可能である。
【0168】
[第8実施形態]
次に、図18至図22を用い、第8実施形態に係る認証・被認証コンポーネントおよびその認証方法について説明する。
【0169】
<構成例(メモリシステム)>
図18を用い、第8実施形態に係る構成例について説明する。第8実施形態は、第6実施形態に対して、ホスト装置20毎に用いるXY値の組み合わせを異ならせる方法を提供する。
【0170】
図示するように、NAND型フラッシュメモリ10は、データ構造が鍵遷移レコードで構成された鍵情報(Key Sequence Information)80をユーザ領域(Other area)11−3に更に保持する点で、上記第6実施形態と相違する。なお、鍵情報(Key Sequence Information)80は必ずしもユーザ領域11−3に格納される必要はなく、ロム領域11−1に格納されていても良いし、あるいは書き込み及び消去動作の少なくとも一方が禁止された領域に格納されていても良い。
【0171】
また、ロム領域11−1に記録されているContainerは、第6実施形態と同様に複数のXYEを保持する構造を採るが、第6実施形態とは異なり複数のXYEはマトリックス状のデータ構造を有し、ホスト装置20での利用方法が異なるため、以下の説明ではXYE Matrix81と称する。なお、ここでデータ構造はマトリックス状であることを想定するが、セルアレイ11での現実のデータ配置がマトリックス状である必要はない。下記XY Matrix82についても同様である。
【0172】
また、秘匿領域11−2に記録されているXYデータ群も、第6実施形態と同様に複数のXYを保持する構造を採るが、第6実施形態とは異なり複数のXYはマトリックス状のデータ構造を有し、ホスト装置20での利用方法が異なるため、以下の説明ではXY Matrix82と称する。ここで、XY Matrix82は、必要に応じて多重記録(Recorded multiple times)される。多重記録の目的は、先に示した通り、データの信頼性を保証するためであり、その利用方法も同様である。また、多重記録されたそれぞれのXY Matrix82は、互いに異なるページ、または異なるブロックに配置されていても良い。
【0173】
ホスト装置20は、上記鍵情報(Key Sequence Information)80を取り扱うために、解析選択部84、選択復号部86、検査部88等を更に備え、デバイスインデックス83及びデバイス鍵(Device Key)23を利用して、スロット鍵(Slot Keys corresponding Device Index)85及びスロットインデックスシーケンス(Slot Index Sequence)87を得る点において、上記実施形態と相違する。
【0174】
デバイスインデックス(Device Index)83は、NAND型フラッシュメモリ10から読み出される鍵情報(Key Sequence Information)80の中から、このホスト装置20に対応するデータレコードを選択するためのインデックスである。ホスト装置20においてデバイスインデックス(Device Index)83の格納場所は任意であるが、容易に露見しない場所に格納することが要求される。
【0175】
解析選択部84は、NAND型フラッシュメモリ10から読み出される鍵情報(Key Sequence Information)80の中から、自身のデバイスインデックス(Device Index)83に対応するデータレコードを選択する。選択されたデータレコードは、復号部22に出力され、デバイス鍵(Device Key)23を用いて復号される。ホスト装置20においてデバイス鍵(Device Key)23の格納場所は任意であるが、容易に露見しない場所に格納することが要求される。
【0176】
スロット鍵(Slot Keys corresponding Device Index)85は、デバイスインデックス(Device Index)83に対応するデータレコードをデバイス鍵(Device Key)23で復号して得られたデータに含まれるものであり、デバイスインデックス83に対応するスロット鍵データである。
【0177】
スロットインデックスシーケンス(Slot Index Sequence)87は、スロット鍵(Slot Keys corresponding Device Index)85と同様にデバイスインデックス(Device Index)83に対応するデータレコードをデバイス鍵(Device Key)23で復号して得られたデータに含まれるものであり、それぞれのスロット鍵(Slot Keys corresponding Device Index)85に対応するインデックスデータである。
【0178】
選択復号部86は、NAND型フラッシュメモリ10から読み出したECC処理後のXYE Matrix81からスロットインデックスシーケンス(Slot Index Sequence)87に対応する要素を選択し、スロット鍵(Slot Keys corresponding Device Index)85を用いて復号処理を行う。これにより、ホスト装置20は秘密情報XY Sequence 24を取得する。
【0179】
検査部88は、NAND型フラッシュメモリ10から受領した演算結果のうち、前記データレコード中のスロットインデックスシーケンス(Slot Index Sequence)87に対応する演算結果z[i]を選択する。
【0180】
判定部30は、生成したデータCと検査部88により選択された演算結果z[i]とを用いて、判定処理を行う。
【0181】
<データ構造について>
上記鍵情報(Key Sequence Information)80、XYE Matrix81、XY Matrix82のデータ構造について、図19を用いて説明する。
【0182】
まず(a)に示す、秘匿領域11−2に記録されるXY Matrix82について説明する。XY Matrix82は、所定データ単位毎に番号付けされた複数のXYデータ(XY(1,1) - XY(n,m))からなる。図示する例では、XY Matrix82は、16 x 16の配列構造を有し、各要素が単一のXYデータを構成する。仮に単一のXYデータが64 bytesから構成されている場合、XY Matrix82は、64 x 16 x 16 bytesから構成される。
【0183】
次に、(b)に示す、Container内に保持されているXYE Matrix81について説明する。同Containerは、前記XY Matrixの各要素を暗号化した複数の暗号化XYデータ(Enc(Ks(1,1),XY(1,1)) - Enc(Ks(n,m),XY(n,m)))から構成される。XY Matrix82と同様に、XYE Matrix81は、16 x 16の配列構造を有し、各要素が単一のXYEデータを構成する。また、各要素は異なる鍵によって暗号化されている。ここで、暗号化に用いる鍵をスロット鍵(Slot Key(Ks))と呼び、同一番号(Index)が付与されたスロット鍵(Slot Key(Ks))は同一番号(Index)が付与されたXYデータの暗号化に用いられる。すなわち、XYE Matrix81内の各要素XYE(i,j)は、XYE(i,j)=Enc(Ks(i,j), XY(i,j))の関係を有する。
【0184】
次に、(c)に示す、鍵情報(Key Sequence Information)80について説明する。鍵情報(Key Sequence Information)80は、ホスト装置20が有するデバイス鍵(Device Key(Kd))23及びデバイスインデックス(Device Index)83に対応する複数のデータレコードから構成される。各データレコードには、デバイスインデックス(Device Index)83に相当するデータと同デバイスインデックス(Device Index)83に対応するデバイス鍵(Device Key(Kd))23によって暗号化された暗号化スロット鍵シーケンス(Encrypted Slot Key Sequence)が含まれる。
【0185】
暗号化スロット鍵シーケンス(Encrypted Slot Key Sequence)は、スロットインデックス(Slot Index)をデバイス鍵(Device Key(Kd))23によって暗号化したデータEnc(Kd, Index)と、同インデックスに対応するスロット鍵(Slot Key(Ks))をデバイス鍵(Device Key(Kd))23によって暗号化したデータEnc(Kd, Ks)からなり、本例においてはXYE Matrix81の各行から一つのスロットインデックス(Slot Index)及びスロット鍵(Slot key(Ks))を選択する構造を採る。
【0186】
なお、XY Matrix82において単一のXYデータのサイズは任意であり、上記64 bytesに限定されない。従ってXY Matrix82全体のサイズも任意であり、サイズに応じてセルアレイ11上で同一ページ内に格納しても良いし、複数ページに跨って記憶しても良いし、あるいは同一ブロック内に記憶しても良いし、複数ブロックに跨って記憶しても良い。同様にXYE Matrix81についてもそのサイズに応じてセルアレイ11上で同一ページ内に格納しても良いし、複数ページに跨って記憶しても良いし、あるいは同一ブロック内に記憶しても良いし、複数ブロックに跨って記憶しても良い。
【0187】
<秘密情報共有方法の具体例>
次に、上記鍵情報(Key Sequence Information)80を利用して秘密情報を共有する方法の具体例について、図20を用いて説明する。ホスト装置20は、自身が有するデバイスインデックス(Device Index)83に相当するデータレコードを、NAND型フラッシュメモリ10から読み出した鍵情報(Key Sequence Information)80より選択する。本例では、読み出した鍵情報(Key Sequence Information)80の中から、デバイスインデックス(Device index 1)に相当する暗号化されたデータレコード(Encrypted Slot Key Sequence 1)が選択される。
【0188】
続いて、復号部22は、デバイス鍵(Kd1)23を用いて、選択されたデータレコード(Encrypted Slot Key Sequence 1)を復号する。その結果、スロットインデックス(Slot Index)及びスロット鍵(Slot Key(Ks))のシーケンスであるSequence((1, m, ,,,2) : (XY(1,1), XY(2,m), ,,,XY(n,2)))が得られる。ここで、スロットインデックス(Slot Index)の遷移を示すSequence(1, m, ,,2)がスロットインデックスシーケンス(Slot Index Sequence)87となる。
【0189】
続いて、選択復号部86は、図中の破線で示すように、NAND型フラッシュメモリ10から送信されるXYE Matrix81の各行から、スロットインデックスシーケンス(Slot Index Sequence)87に対応する要素を選択して、スロットインデックス(Slot Index)に対応するスロット鍵(Slot Key(Ks))により復号し、XY Sequence24を取得する。
【0190】
続いて、ここで得られたXY Sequence24に基づき、ホスト装置20中の検査部88は、NAND型フラッシュメモリ10から返答されたzを検証する。この検証において、NAND型フラッシュメモリ10は、ホスト装置20が取得したXY Sequence24に対応するzのみを返答するのではなく、XY Matrix82中の全ての要素に対応するzを返答する。そのため、検査部88は、自身が得たXY Sequence24及びスロットインデックスシーケンス(Slot Index Sequence)87に相当するzのみをフィルタリングして選出し、同zに対してのみ、判定部30での認証処理を行う。
【0191】
<鍵情報(Key Sequence Information)80の配布方法について>
次に、鍵情報(Key Sequence Information80)の配布方法について、図21を用いて説明する。NAND型フラッシュメモリ10には、NAND型フラッシュメモリ10の製造時にXY Matrix82及びXYE Matrix81が記録される。製造時とは広義であり、前工程においてウエハー状態で全チップに対して並列に書き込んでも良いし、後工程において個片化、パッケージングされた各チップに対して書き込んでも良い。XY Matrix82及びXYE Matrix81に対応する鍵情報(Key Sequence Information)80は、XY Matrix82及びXYE Matrix81と同時に記録しても良いし、別のタイミングで記録しても良い。
【0192】
例えば、NAND型フラッシュメモリ10を購入し、メモリカードを製造するカード製造会社が、鍵情報(Key Sequence Information)80をNAND型フラッシュメモリ10に書き込んでも良いし、鍵情報(Key Sequence Information)80を配布するサーバ(Key Matrix Distributor)がネットワークを介して、鍵情報(Key Sequence Information)80をNAND型フラッシュメモリ10に書き込んでも良い。
【0193】
いずれにおいても、NAND型フラッシュメモリ10内部には、XY Matrix82及びXYE Matrix81に紐付いたIDmが記録されており、カード製造会社もしくはサーバは同IDmに応じたKey Sequence Information80をデータベース(Key Matrix data base)より選択し、NAND型フラッシュメモリ10へと書き込む。ここで、IDmとはNAND型フラッシュメモリ10の識別子であり、Key Sequence Information80と紐づいた情報である。NAND型フラッシュメモリ10の製造とメモリカードの製造とが同一会社で行われるが、NAND型フラッシュメモリ10の製造場所とメモリカードの製造場所とが異なる場合も上記と同様である。
【0194】
ここで、ホスト装置のクラックが生じていない場合、鍵情報(Key Sequence Information)80は全てのホスト装置のデータレコードを含んでいる。一方、ホスト装置のクラックが生じた場合、ここでは、仮にホスト装置B(Host B)がクラックされた場合は、当該装置向けのレコードを鍵情報(Key Sequence Information)80には含めない形で配布する(Exclude the recorded hacked device B)。これにより、クラックされたホスト装置(Host B)から、更にXY Sequenceが流出することを防止できる。
【0195】
上記の例では、XY Sequenceを異ならせる単位としてホスト装置(デバイス)を例に挙げたが、実際の運用においては、複数のデバイスから構成されるグループ、例えば同一モデルナンバーのデバイスグループ、同一製造者によって製造されたデバイスグループ、デバイスの実装方法(ハードウェア実装、ソフトウェア実装、ハードウェア及びソフトウェア実装)によりカテゴリ分けされたデバイスグループ、デバイスの使用者(一般ユーザ、業務ユーザ、サーバ内の処理装置)によりカテゴリ分けされたデバイスグループ、または上記の組み合わせ、などであっても良い。
【0196】
<認証フロー>
次に、図22Aに沿って、第8実施形態に係る認証動作について説明する。
第8実施形態では、ホスト装置20は、NAND型フラッシュメモリ10内に記録される鍵情報(Key Sequence Information)80を読み出し、自身のデバイスインデックス(Device Index)に対応するデータレコードを選択後、当該レコードをデバイス鍵(Device Key)によって復号して、スロット鍵(Slot Keys)及びスロットインデックス(Slot Indexes)を取得する。
【0197】
認証開始(Start)すると、ステップS31の際、ホスト装置20は、NAND型フラッシュメモリ10へ鍵情報(Key Sequence Information)80の読出し命令(Read Key Sequence Information)を送出する。ここではコントローラがホスト装置20とNAND型フラッシュメモリ10とを仲介する例を示しているため、ホスト装置20がコントローラに送出する命令と、コントローラが実際にNAND型フラッシュメモリに送出する命令とはコマンド体系が異なっていても良いし、同じであっても良い。
【0198】
続いて、ステップS32の際、NAND型フラッシュメモリ10は、上記読出し命令に従って、鍵情報(Key Sequence Information)80をユーザ領域11−3よりロードし(Load Key Sequence Information)、これをホスト装置20へと送出する。読出し命令は鍵情報(Key Sequence Information)80の記録されているアドレスを含んでいても良いし、含んでいなくとも良い。含んでいない場合、NAND型フラッシュメモリは自身で所定の内部アドレスを生成し鍵情報(Key Sequence Information)80を取得する。
【0199】
続いて、ステップS33の際、ホスト装置20は、送信された鍵情報(Key Sequence Information)80から、自身のデバイスインデックス(Device Index)に対応するデータレコードを選択後、当該レコードをデバイス鍵(Device Key)によって復号して、スロット鍵(Slot Keys)とスロットインデックス(Slot Indexes)を取り出す(Retrieve Key Sequence)。
【0200】
続いて、ステップS11の際、ホスト装置20は、NAND型フラッシュメモリ10へXYE Matrix81の読出し命令(Read XYE)を送出する。読出し命令(Read XYE)は読出し命令(Read Key Sequence Information)と異なるコマンドであっても良いし、同一コマンドを使用して異なるアドレスを入力することで両者を区別しても良い。
【0201】
続いて、ステップS12の際、NAND型フラッシュメモリ10は、上記読出し命令に従って、XYE Matrix81をロム領域11−1よりロードし(Load XYE)、これをホスト装置20へと送出する。
【0202】
続いて、ステップS13の際、ホスト装置20は、前記スロットインデックス(Slot Indexes)に相当するXYE要素を対応するスロット鍵(Slot Key)で復号し、XY Sequence24を得る。
【0203】
続いて、ステップS14の際、ホスト装置20は、XY Matrix80のIndex番号(i)と乱数(Nonce_H)とともに、NAND型フラッシュメモリ10に認証要求を送出する(Request authentication)。ここで、Index番号とはスロットインデックス、もしくはXY Matrixの行、もしくは列に相当する番号である。
【0204】
続いて、ステップS15〜S17の際、NAND型フラッシュメモリ10は、秘匿領域11−2に記録されているXY Matrix80を用いて、前記XY Matrix80のIndex番号に相当するXYを用いて、複数のzを計算し、乱数(Nonce_N)とともにホスト装置20に送出する。
【0205】
続いて、ステップS18〜S23の際、ホスト装置20は、自身が保持する前記スロットインデックスシーケンス(Slot Index Sequence)に従って、読みだしたデータをフィルタリングすることで単一のzを得て、同様の認証を行う。
【0206】
<作用効果>
第8実施形態に係る認証・被認証コンポーネントおよびその認証方法によれば、上記(I)〜(IV)を改善でき、少なくとも更に下記の効果が得られる。
【0207】
第8実施形態では、NAND型フラッシュメモリ10が、ホスト装置20に使用される鍵遷移レコードで構成されたデータ構造の鍵情報(Key Sequence Information)80を備える。NAND型フラッシュメモリ10は、鍵情報(Key Sequence Information)80に対応するように、マトリックス状のデータ構造の秘密情報XY Matrix82およびこれが暗号化されたXYE Matrix81を備える。
【0208】
そのため、まず、第一に、ホスト装置20毎に用いる鍵情報(Key Sequence Information)80値を変更することができるため、中間者攻撃に対する耐性を向上できる。すなわちいずれのXYデータを認証に用いているかを不可視化する効果がある点で有利である。
【0209】
第二に、万が一に、ホスト装置20からXYE Matrix81を復号する鍵が流出し、次いでXY Matrix82値が暴露された場合でも、ホスト装置20毎に用いている鍵情報(Key Sequence Information)80が異なるため、認証システム全体に与えるセキュリティ保護の影響を低減できる点で有利である。
【0210】
具体的には、他の実施例においてはいずれのホスト装置20も、XYE Matrixの各行を復号するためのKEY[i]を有す、すなわちグローバルシークレットとして扱われていた。そのため、仮に一つのホスト装置20がクラックされて鍵が流出した場合、同鍵を用いて暗号化されたXYE Matrixの行のXY値は全て露見してしまう。この場合に備え、XYEは、複数の行及びそれら行に対応するKEYで暗号化されているものの、秘密を保持できるのは行数分のホスト装置のクラックまでであり、行数分に達してしまった場合は認証システム全体が崩壊することとなる。
【0211】
しかしながら、第8実施形態では、行数 x 列数の要素から認証に用いるXY Sequenceを選択できる組み合わせとして、最大(16*16)!/(16*16-16)!分が確保できるため、仮にホスト装置20がクラックされ、同デバイスのXY Sequenceデータが暴露された場合でも、他のホスト装置に対する影響は低減でき、また認証システム全体が崩壊するまでのクラックマージンが向上する。
【0212】
より具体的に、第8実施形態と第2実施形態の場合における時間とシステムマージンとの関係を示す図22Bを用いて説明する。図中の破線で示す第2実施形態の場合、秘密情報がL回(例えば、数回程度)漏洩したときの漏洩度は、リニアに増えていく。一方で、実線で示す第8実施形態では、デバイス毎に秘密情報の重複分があることから第2実施形態よりも低い。また、秘密情報がM回(例えば、10回程度)漏洩したときのシステムマージンは、第2実施形態ではM回が秘密情報の行数上限数とした場合全ての秘密が漏洩したことに相当し、この場合置き換えることができる秘密情報が欠乏するためシステムが破綻する。一方、実線で示す第8実施形態の場合、秘密情報がM回(例えば、10回程度)漏洩したときであっても、秘密漏洩度の上昇はリニアではないため、破線で示す参考例よりも十分なシステムマージンを保持し、製品としての秘密保持のセキュリティの許容度を十分に満たすことが可能である。
【0213】
このように、本例では、秘密漏洩の危険度を分散することができる点で、上記実施形態と相違する。そのため、例えば、実線で示す第8実施形態の場合、秘密情報がN回(例えば、数10回程度)漏洩し、製品としての許容度が満足できなくなる製品寿命の時刻t3の際(例えば、10年程度)までに、その製品の世代のセキュリティの漏洩度を十分に満たすように設計すれば良い。
【0214】
更に、暴露されたXY Sequenceによりクラックされたホスト装置(デバイス)の同定も可能である。一方、クラックされたデバイスが判明した場合、鍵情報(Key Sequence Information)80から同デバイスが有するデバイス鍵で暗号化されたデータレコードを含めないことで、クラックされたデバイスの無効化が可能となり、新規に製造されたNAND型フラッシュメモリ10のXY Matrixの秘匿性は担保できる。このように、秘密が露呈したデータレコードを含めないことで、次世代への秘密漏洩を防止でき、世代間の秘匿性を向上できる点で有利である。
【0215】
このように、第8実施形態によれば、中間者攻撃に対する耐性向上、デバイス毎に導出できるXY Sequenceを個別化することによるXY値露見時の影響低減、クラックされたホストデバイスの同定、クラックされたホストデバイス鍵の無効化などの点で有利である。
【0216】
[第9実施形態]
次に、図23至図27を用い、第9実施形態に係る認証・被認証コンポーネントおよびその認証方法について説明する。
【0217】
<構成例(メモリシステム)>
まず、図23を用い、第9実施形態に係るメモリシステムの構成例について説明する。第9実施形態は、上記第7実施形態と同様に、XYsub82B及びXYsub E81Bを用いる点で、第8実施形態と相違する。
【0218】
図示するように、NAND型フラッシュメモリ10は、第8実施形態に対して、更にXYsub82B及びXYsub E81Bを保持する点で相違する。ここで、XYsub82B及びXYsub E81B等は各々一つの場合、複数の場合があり、更に複数の場合も列構造を採る場合と行列構造を採る場合が可能である。
【0219】
Matrix データ(1)(単一の場合)
次に、図24を用い、XYsub82B及びXYsub E81B等が、単一の場合について説明する。
【0220】
(a)に示すように、単一のXYsub82Bが、NAND型フラッシュメモリ10内部処理用に秘匿領域11−2に記録されている。
【0221】
(b)に示すように、Containerには、同XYsubをスロット鍵(Ks_sub)によって暗号化した単一のデータXYsub E(Enc(Ks_sub, XYsub))81Bが記録されている。
【0222】
(c)に示すように、鍵情報(Key Sequence Information)80には同スロット鍵(Ks_sub)をデバイス鍵によって暗号化した単一のデータ(Encrypted Sub Slot Key)80Bが含まれる。
【0223】
Matrix データ(2)(列構造の場合)
次に、図25を用い、列構造を採る複数のXYsubを用いる場合について説明する。
【0224】
(a)に示すように、本例において、列構造をとる複数のXYsub (XYsub(1), XYsub(2), ,,, XYsub(n))82Bが、NAND型フラッシュメモリ10の内部処理用に秘匿領域11−2に記録されている。
【0225】
(b)に示すように、Container11−1には、各XYsubをスロット鍵(Ks_sub)によって暗号化した複数列のデータXYsubE(Enc(Ks_sub(1), XYsub(1)),,, Enc(Ks_sub(n), XYsub(n)))81Bが記録されている。
【0226】
(c)に示すように、鍵情報(Key Sequence Information)80には、同スロット鍵(Ks_sub)をデバイス鍵によって暗号化した列構造のデータ(Encrypted Sub Slot Key 1,,, Encrypted Sub Slot Key n)80Bが含まれる。
【0227】
Matrix データ(3)(行列構造の場合)
次に、図26を用い、行列構造を採る複数のXYsubを用いる場合について説明する。
【0228】
(a)に示すように、第8実施形態において説明したXYに付随する形で、XYsub Matrix82Bが、NAND型フラッシュメモリ10内部処理用の秘匿領域11−2に記録されている。
【0229】
(b)に示すように、Container11−1には、各XYsub(i,j)を、XY(i,j)の暗号化に用いたスロット鍵Ks(i,j)によって暗号化した行列構造のデータXYsubE Array(Enc(Ks(1,1), XYsub(1,1)),,, Enc(Ks (n,m), XYsub(n,m)))81Bが記録されている。
【0230】
(c)に示すように、鍵情報(Key Sequence Information)80は既にXY(i,j)の暗号化に用いたスロット鍵Ks(i,j)を含んでいるため、XYsub専用のスロット鍵を新たに含める必要はない。
【0231】
このように、XYsub82B及びXYsub E81B等は、必要に応じて、各々一つの場合、や複数の場合の行列構造等を適用することができる。
【0232】
<認証フロー>
次に、図27に沿って、第9実施形態に係る認証動作について説明する。
第9実施形態でも、ステップS31〜S33の際、同様にして、ホスト装置20は、NAND型フラッシュメモリ10内に記録されている鍵情報(Key Sequence Information)80を読み出し、自身のデバイスインデックス(Device Index)に対応するデータレコードを選択後、当該レコードをデバイス鍵(Device Key)によって復号して、スロット鍵(Slot Keys)とスロットインデックス(Slot Indexes)を得る。
【0233】
続いて、ステップS13の際、ホスト装置20はNAND型フラッシュメモリ10からXYE Matrixを読み出し、前記スロットインデックス(Slot Index)に相当するXYE要素、およびXYsubE要素を対応するスロット鍵(Slot Key)で復号し、XY SequenceおよびXYsubを得る。
【0234】
続いて、ステップS14の際、ホスト装置20は、XY MatrixのIndex番号(i)と乱数(Nonce_H)とともに、NAND型フラッシュメモリ10に認証要求を送出する。
【0235】
続いて、ステップS15〜S17の際、NAND型フラッシュメモリ10内は、秘匿領域11−2に記録されているXY Matrixesを用いて、前記XY MatrixのIndex番号に相当するXYおよびXYsubを用いて、複数のzを計算し、乱数(Nonce_N)とともにホスト装置20に送信する。
【0236】
以後、同様に、ホスト装置20は、自身が保持する前記スロットインデックスシーケンス(Slot Index Sequence)に従って読みだしたデータをフィルタリングすることで単一のzを得て、認証を行う。
【0237】
<作用効果>
第9実施形態に係る認証・被認証コンポーネントおよびその認証方法によれば、上記(I)〜(IV)を改善でき、上記第8実施形態と同様の効果を得ることができる。更に少なくとも、記録時間の短縮化できる点で有利である。
【0238】
[第10実施形態]
次に、図28乃至図31を用い、第10実施形態に係る認証・被認証コンポーネントおよびその認証方法について説明する。
【0239】
ここで、上記実施形態においては、ホスト装置20が、NAND型フラッシュメモリ10の秘密情報を得るためのデバイス鍵23を有することで、NAND型フラッシュメモリ10の暗号化された秘密情報XYEを読み出し、秘密情報XYをNAND型フラッシュメモリ10とホスト装置20との間で共有する。
【0240】
これに対して、この第10実施形態では、ホスト装置20は、NAND型フラッシュメモリ10からは一切の秘密情報を受領せず、かつホスト装置20が有する秘密情報であるDevice Unique XY(90H)は、ホスト装置20毎に異なるものである。これにより、NAND型フラッシュメモリ10が有する秘密情報が、ホスト装置20から流出することはない。さらに、ホスト装置20から秘密が流出したとしても、その影響はDevice Unique XY(90H)の流出にとどまり、異なるDevice Unique XYを有する他のホストデバイスにおいては影響を与えるものではない。これは、後述するように、Device Unique XY(90H)が、XY(90M)とDevice ID(89H)との一方向性関数処理部91による結果であることに起因する。すなわち、Device Unique XY(90H)およびDevice ID(89H)が、たとえ露見したとしても、XY(90M)を導出するための逆方向関数処理ができないためである。
【0241】
<構成例(メモリシステム)>
まず、図28を用い、第10実施形態に係るメモリシステムの構成例について説明する。第10実施形態では、以下の点で、上記実施形態と相違する。
【0242】
まず、NAND型フラッシュメモリ10は、一方向性関数処理部91、および非線形処理部92Mを備える。また、ロム領域11−1には、NAND型フラッシュメモリ10の固有IDであるMemory ID(89M)が記録される。秘匿領域11−2には、XY値(90M)が記録される点で、上記実施形態と相違する。
【0243】
ホスト装置20は、このホスト装置20の固有IDであるDevice ID(89H)、ホスト装置20の固有のXY値であるDevice Unique XY(90H)、エラー訂正部95、および非線形処理部92Hを備える点で、上記実施形態と相違する。
【0244】
上記構成において、ホスト装置20は、Device ID(89H)を読みだし、NAND型フラッシュメモリ10に対して読み出したDevice ID(89H)を送出する。
【0245】
ホスト装置20は、NAND型フラッシュメモリ10から読み出されたMemory ID(ECC or recorded multiple times)(89M)に対して、エラー訂正部95にて、エラー訂正処理を行う。
【0246】
続いて、ホスト装置20は、自身が有するDevice Unique XY(90H)と読み出したエラー訂正後のMemory ID(89M)とを、非線形処理部92Hにて、非線形処理することで、固有値Unique XY for Memory and Deviceを得る。
【0247】
一方、NAND型フラッシュメモリ10は、ホスト装置20から受領したDevice ID(89H)とキャッシュ12Bから読み出した自身のXY値(90M)とを、一方向性関数処理部91にて、一方向性関数処理する。そのことで、ホスト装置20が有するDevice Unique XYと同じ値を得る。その後、キャッシュ12Aから読み出した自身のMemory ID(89M)と前記Device Unique XYとを、非線形処理部92Mで非線形処理することで、ホスト装置と同様の固有値Unique XY for Memory and Deviceを得ることができる。
【0248】
その後、NAND型フラッシュメモリ10とホスト装置20との両者は、Unique XY for Memory and Deviceを用いて、同様の認証処理を行う。
【0249】
<一方向性関数処理部(One way function)91について>
次に、図29を用い、一方向性関数処理部(One way function)91について説明する。
【0250】
図示するように、本例に係る一方向性関数処理部91は、Crypto Box 96および排他的論理和回路C8を備える。
【0251】
Crypto Box 96は、Inputに対してKeyを用いて解読処理を行う。排他的論理和回路C8は、前記InputとCrypto Box 96の出力との排他的論理和処理を行い、Outputを出力する。
【0252】
ここでは、Inputが一方向性関数処理部91の対象のデータであり、Outputが処理結果である。Inputとして前述のXY値を、Keyとして前述のDevice ID値を用いてもよいし、Inputとして前述のDevice ID値を、Keyとして前述のXY値を用いてもよい。
【0253】
<Crypto Box 96について>
次に、図30を用い、Crypto Box 96について説明する。
図示するように、本例のCrypto Box 96は、複数の排他的論理和回路C9−0〜C9−n、複数のS-Box and Permutation97−1〜97−n、および複数のUpdate処理部98−1〜98−nを備える。
【0254】
複数の排他的論理和回路C9−0〜C9−nは、Input及びKey、またはUpdate処理部98−1〜98−nにより更新されたKeyおよび複数のS-Box and Permutation97−1〜97−nを入力として、その排他的論理和値を出力する。
【0255】
S-Box and Permutation97−1〜97−nは、前段の排他的論理和回路C9−0〜C9−nの出力に対して、非線形の処理を行う。ここで、S-Boxとは、データ置き換えテーブルによる入力値の変換処理であり、Permutationとは、置き換え処理後の値についてビットの並び替えである。
【0256】
Update処理部98−1〜98−nは、前段のKeyを更新する。また、Updateとは、置き換え処理、並び替え処理した結果を別途生成もしくは外部入力された更新値と更新演算を行うことに相当し、更新値としてはカウンタによって生成された値を、更新演算としては排他的論理和処理を用いてもよい。
【0257】
このように、本例に係るCrypt box96における処理は並列に行われ、各々の1処理を1ラウンドと称する。この場合、各ラウンド毎の出力値は、次ラウンドの入力値として用いられる。そして、非線形の前記処理を複数ラウンド処理された結果が、Outputとして出力される。そのため、非線形に係る1ラウンドであっても複雑系の処理であるため、これらを複数ラウンドしかも更新して行うことで、一方向性関数処理部91として求められる一方向性関数処理を実行することが可能である。
【0258】
尚、前述の置き換え処理、並び替え処理はいずれも非線形処理であるため、これら置き換え処理、並び替え処理のいずれか一方、もしくはその組み合わせを前述の非線形処理部の構成要素として用いてもよい。
【0259】
<認証フロー>
次に、図31に沿って、第10実施形態に係る認証動作について説明する。
ステップS41の際、ホスト装置20は、NAND型フラッシュメモリ10内に記録されているMemory ID(89M)の読み出しを要求する。
【0260】
続いて、ステップS42の際、NAND型フラッシュメモリ10は、ホストの要求に応じて、ロム領域11−1内に記録されるMemory ID(89M)を読み出し、ホスト装置20に送信する。
【0261】
続いて、ステップS43の際、ホスト装置20は、取得したMemory ID(89M)と自身が有するDevice Unique ID(90H)とに対して非線形処理を行い、Unique XY for Memory and Deviceを得る。
【0262】
続いて、ステップS44の際、ホスト装置20は、ホスト乱数(Nonce_H)およびDevice ID(89H)とともに認証要求をNAND型フラッシュメモリ10に送出する。
【0263】
続いて、ステップS45の際、NAND型フラッシュメモリ10は、送信されたDevice ID(89H)、および自身の有するXY(90M)、Memory ID(89M)を用いて、上記の処理により、Unique XY for Memory and Deviceを得る。
【0264】
その後、上記と同様の認証処理を行う。
【0265】
<作用効果>
第10実施形態に係る認証・被認証コンポーネントおよびその認証方法によれば、上記(I)〜(IV)を改善でき、更に下記の効果が得られる。
【0266】
ここで、上記実施形態においては、ホスト装置20が、NAND型フラッシュメモリ10の秘密情報を得るためのデバイス鍵23を有することで、NAND型フラッシュメモリ10の暗号化された秘密情報XYEを読み出し、秘密情報XYをNAND型フラッシュメモリ10とホスト装置20との間で共有する。
【0267】
これに対して、この第10実施形態では、ホスト装置20は、NAND型フラッシュメモリ10からは一切の秘密情報を受領せず、かつホスト装置20が有する秘密情報であるDevice Unique XY(90H)は、ホスト装置20毎に異なるものである。これにより、NAND型フラッシュメモリ10が有する秘密情報が、ホスト装置20から流出することはない。さらに、ホスト装置20から秘密が流出したとしても、その影響はDevice Unique XY(90H)の流出にとどまり、異なるDevice Unique XYを有する他のホストデバイスにおいては影響を与えるものではない。これは、上記のように、Device Unique XY(90H)が、XY(90M)とDevice ID(89H)との一方向性関数処理部91による結果であることに起因する。すなわち、Device Unique XY(90H)およびDevice ID(89H)がたとえ露見したとしても、一方向性関数処理であるために、XYを導出するための逆方向関数処理ができないためである。
【0268】
また、本例では、非線形処理部92M、92Hにおいて、Unique XY for Memory and Deviceを得るために、Memory ID(89M)とDevice Unique XY(89H)とに対して、非線形処理を行う。そのため、可換則が成立する恐れが少ない点でも有利である。例えば、認証方法として内積演算を採用した場合、内積演算は線形処理であることから、仮にUnique XY for Memory and Deviceを得るために、Memory IDとDevice Unique XYに対して線形処理を行った場合は、可換則が成立する恐れがある。この場合、Memory IDの偽装がなされる恐れがあることから、少なくともいずれか一方に非線形処理を設けるのが望ましい。本例では、ホスト装置20およびNAND型フラッシュメモリ10のいずれも非線形処理部92M、92Hにおいて、非線形処理をおこなっているため、可換則が成立することを防止している。
【0269】
さらに、認証に用いる情報が、Unique XY for Memory and Deviceと、認証するNAND型フラッシュメモリ10とホスト装置20の組み合わせによって異なることから、中間者攻撃の脅威を低減することができる点でも有利である。これは、仮に中間者攻撃によってUnique XY for Memory and Deviceが露見した場合でも、同値を利用できる環境は非常に限られている。すなわち、当該ホスト装置20に対してのみ認証を偽装することができるためである。
【0270】
そのため、第10実施形態によれば、中間者攻撃に対する耐性向上、デバイス毎に対して配布する秘密情報をデバイス固有とすることによる秘密情報露見時の影響低減、クラックされたホストデバイスの同定、クラックされたホストデバイス鍵の無効化などの有利な効果を有することが可能である。
【0271】
[第11実施形態(Media ID retrieve process)]
次に、図32乃至図35を用い、第11実施形態について説明する。第8の実施形態は、上記ステップS22において、メディアID(Media ID)を算出する種々の処理(Media ID retrieve process)に関するものである。
【0272】
ID retrieve process(1)
ID retrieve process(1)は、図32のように示される。図示するように、この例(1)では、ステップRS1の際、上記の認証に用いられたXYmain及びXYsubに対して、各々一方向性関数処理(One-way function)が行われる。その結果が、Media IDとして扱われる。
【0273】
ここで、一方向性関数処理としては、例えば、SHA-1、SHA-256、AEG-Hなどの暗号に基づく一方向性演算を用いることが可能である。
【0274】
ID retrieve process(2)
ID retrieve process(2)は、図33のように示される。図示するように、この例(2)では、ステップRS1,RS2の際、上記認証に用いられたXYmain及びXYsubは、前述の認証処理においてXYmainE及びXYsubEの復号に用いられたKEY_XYmainとKEY_XYsubのいずれか一方に相当するKEY_XYを用いて、更に復号処理(Decode)が行われる。
【0275】
続いて、ステップRS3の際、同様の一方向性関数処理(One-way function)が行われ、その結果がMedia IDとして扱われる。
【0276】
ID retrieve process(3)
ID retrieve process(3)は、図34のように示される。図示するように、この例(3)では、ステップRS1,RS2の際、上記の認証に用いられたXYmain及びXYsubは、上記認証処理においてXYmainE及びXYsubEの復号に用いられたKEY_XYmain及びKEY_XYsubを用いて、更に復号処理(Decode)が行われる。
【0277】
続いて、ステップRS3の際、同様の一方向性関数処理(One-way function)が行われ、その結果がMedia IDとして扱われる。
【0278】
ID retrieve process(4)
ID retrieve process(4)は、図35のように示される。図示するように、この例(4)では、ステップRS1,RS2の際、ステップRS1,RS2の際、上記の認証に用いられたXYmain及びXYsubは、上記認証処理においてXYmainE及びXYsubEの復号に用いられたKEY_XYmain及びKEY_XYsub と異なるKEY_XYmain2及びKEY_XYsub2を用いて、更に復号処理(Decode)が行われる。ここで、KEY_XYmain2及びKEY_XYsub2は同一の値であってもよい。
【0279】
続いて、ステップRS3の際、同様の一方向性関数処理(One-way function)が行われ、その結果がMedia IDとして扱われる。
【0280】
[第12実施形態(Media ID binding process)]
次に、図36乃至図37を用い、第12実施形態について説明する。第12実施形態は、Media IDの利用方法(Media ID binding process)に関するものである。
ここで、例えば、商用動画コンテンツ等を物理媒体に記録し、再生する場合、同物理媒体に固有な識別情報をコンテンツ記録時の暗号処理に用いてコンテンツを同物理媒体にバインドする方法がとられる。
【0281】
コンテンツ再生時は、前記識別情報に基づく復号処理もしくは検査処理などを行い、再生された識別情報とコンテンツ記録時の暗号処理に用いられた識別情報が一致しない場合、コンテンツの再生を停止するなどの方法がとられる。ここで物理媒体としては、例えば、SDカードなどのリムーバブルメディアの場合や、携帯電話などに内蔵されているエンベデッドメモリなどが考えられる。
【0282】
いずれにおいても、前記方法の目的は、あるメディアに記録された暗号処理済みコンテンツを、別のメディアへと不正複製された場合、不正複製コンテンツの再生を停止させることである。そのための情報として、メディア毎に異なる上記識別情報(メディアID)を利用している。
【0283】
ID binding process(1)
ID binding process(1)は、図36のように示される。図示するように、この例(1)では、MAC(Message Authentication Code)生成処理を行い、これを不正複製の防止に用いる。
【0284】
具体的には、ステップBP1の際、前記識別情報としてMedia IDを用いる方法例として、コンテンツ暗号化に用いられるContent Keyにより、Media ID及びその他の情報に対し、MAC生成処理を行う。
【0285】
続いて、コンテンツをメディアに記録する装置においては、同MACを生成し、これをメディアに記録しておく。コンテンツをメディアから再生する装置においては、記録されているMACをMedia ID、Content Keyにより検査し、正当性が確認された場合はコンテンツを再生し、正当性が確認されない場合はコンテンツの再生を停止するなどの方法を適用することが可能である。
【0286】
ID binding process(2)
ID binding process(2)は、図37のように示される。図示するように、この例(1)では、コンテンツ暗号化に用いられるContent Keyを生成するための情報として、Media IDを利用する。
【0287】
ステップBP1の際、コンテンツをメディアに記録する装置においては、Content Key Precursorと、Media ID及びContent Key Precursorを一方向性処理(One-way function)する。
【0288】
メディアに記録する装置においては、処理されたContent Keyによって暗号化されたコンテンツを記録しておく。
【0289】
コンテンツをメディアから再生する装置においては、記録されているContent Key PrecursorとMedia IDを同様の一方向性処理をすることでContent Keyを得て、コンテンツの復号と再生を行う。ここで、Media IDが一致しない場合、すなわち記録されているデータが異なるメディアに不正複製された場合など、には導出したContent Keyとコンテンツ暗号化に用いられているContent Keyが一致しないため、コンテンツの復号に失敗し、再生は停止される。
【0290】
[第13実施形態(メモリ、記憶・再生ホストの一例)]
次に、図38を用い、第13実施形態について説明する。第13実施形態は、上記実施形態の構成を組み合わせたメモリカード(inc. NAND chip)10,記録ホスト(Recoding Device)20A,再生ホスト(Playback Device)20Bのシステムにおいて、上記認証を行い、上記メディアIDを用い、ホスト装置20Bにてコンテンツを再生する一例に関するものである。
【0291】
記録ホスト(Recoding Device)20Aがコンテンツをメモリカード(inc. NAND chip)10に記録するに際し、まずメモリカード(inc. NAND chip)10と記録ホスト(Recoding Device)20Aの間で、上記実施形態における認証処理を行う。ここで、認証処理が成立した後、上記実施形態におけるID retrieval processを行う。次いで、上記実施形態におけるID binding process(1)により生成したMACをメモリカード(inc. NAND chip)10に記録する。合わせて、ID binding process(1)において用いたContent Keyにより暗号化したコンテンツ(Encrypted Content)も記録する。更に、Content Key自身も安全な形で記録する。ここで安全な形とは、メモリカード(inc. NAND chip)10と記録ホスト(Recoding Device)20Aの間で認証が成立した後にアクセスが可能となるモリカード(inc. NAND chip)10内の記録エリアであってもよい。また、ここでいう認証は本願において記載されている認証方法でもよいし、メモリカード(inc. NAND chip)10が持つ別の認証機能によって実現してもよい。また、安全な形の別な例としては、メモリカード(inc. NAND chip)10もしくは記録ホスト(Recoding Device)20Aが有する鍵によって暗号化した形であってもよい。
【0292】
再生ホスト(Playback Device)20Bがコンテンツをメモリカード(inc. NAND chip)10から読出し、再生するに際し、まずメモリカード(inc. NAND chip)10と再生ホスト(Playback Device)20Bの間で、上記実施形態における認証処理を行う。ここで、認証処理が成立した後、上記実施形態におけるID retrieval processを行う。次いで、上記実施形態におけるID binding process(1)に対応する処理により、メモリカード(inc. NAND chip)10に記録されているMACを検証する。その後、Content Keyをメモリカード(inc. NAND chip)10より読出し、暗号化したコンテンツ(Encrypted Content)の復号を行うことでコンテンツを再生する。
【0293】
[第14実施形態(メモリ、記憶・再生ホストのその他の一例)]
次に、図39を用い、第14実施形態について説明する。第14実施形態は、上記実施形態の構成を組み合わせたメモリカード(inc. NAND chip)10、記録ホスト(Recoding Device)20A、再生ホスト(Playback Device)20Bのシステムにおいて、上記認証を行い、上記メディアIDを用い、ホスト装置20Bにてコンテンツを再生する一例に関するものである。
【0294】
記録ホスト(Recoding Device)20Aがコンテンツをメモリカード(inc. NAND chip)10に記録するに際し、まずメモリカード(inc. NAND chip)10と記録ホスト(Recoding Device)20Aの間で、上記実施形態における認証処理を行う。ここで、認証処理が成立した後、上記実施形態におけるID retrieval processを行う。次いで、上記実施形態におけるID binding process(1)により生成したContent Keyをメモリカード(inc. NAND chip)10に記録する。合わせて、ID binding process(2)において生成したContent Keyにより暗号化したコンテンツ(Encrypted Content)も記録する。更に、Content Key Precursor自身も安全な形で記録する。
【0295】
ここで安全な形とは、メモリカード(inc. NAND chip)10と記録ホスト(Recoding Device)20Aの間で認証が成立した後にアクセスが可能となるモリカード(inc. NAND chip)10内の記録エリアであってもよい。また、ここでいう認証は本願において記載されている認証方法でもよいし、メモリカード(inc. NAND chip)10が持つ別の認証機能によって実現してもよい。また、安全な形の別な例としては、メモリカード(inc. NAND chip)10もしくは記録ホスト(Recoding Device)20Aが有する鍵によって暗号化した形であってもよい。
【0296】
再生ホスト(Playback Device)20Bがコンテンツをメモリカード(inc. NAND chip)10から読出し、再生するに際し、まずメモリカード(inc. NAND chip)10と再生ホスト(Playback Device)20Bの間で、上記実施形態における認証処理を行う。ここで、認証処理が成立した後、上記実施形態におけるID retrieval processを行う。次いで、上記実施形態におけるID binding process(2)に対応する処理により、メモリカード(inc. NAND chip)10に記録されているContent Key PrecursorからContent Keyを生成する。その後、暗号化したコンテンツ(Encrypted Content)の復号を行うことでコンテンツを再生する。
【0297】
[第15実施形態(メモリ、コントローラ、ホストの一例)]
次に、図40を用い、第15実施形態について説明する。第15実施形態は、上記実施形態に適用可能な上記NAND型フラッシュメモリ10、コントローラ19、およびホスト装置20の一例に関するものである。本例では、メモリカードとしてSDカード(登録商標)を一例に挙げる。
【0298】
図示するように、本例では、メモリカードと接続されるホスト装置の機能ブロックも示されている。各機能ブロックは、ハードウェア、コンピュータソフトウェアのいずれかまたは両者を組み合わせたものとして実現することができる。このため、各ブロックがこれらのいずれでもあることが明確となるように、概してそれらの機能の観点から以下に説明する。このような機能が、ハードウェアとして実行されるか、またはソフトウェアとして実行されるかは、具体的な実施態様またはシステム全体に課される設計制約に依存する。当業者は、具体的な実施態様ごとに、種々の方法でこれらの機能を実現し得るが、いずれの実現の手法も本発明の範疇に含まれる。
【0299】
ホスト装置20は、アプリケーション、オペレーティング・システム等のソフトウェア211を備えている。ソフトウェア211は、ユーザから、メモリカードへのデータの書き込み、メモリカードからのデータの読み出しを指示される。ソフトウェア211は、データの書き込みおよび読み出しをファイルシステム212に指示する。ファイルシステム212は、管理対象の記憶媒体に記録されているファイルデータを管理するための仕組みであり、記憶媒体の記憶領域内に管理情報を記録し、この管理情報を用いてファイルデータを管理する。
【0300】
ホスト装置20は、SDインターフェース213を有する。SDインターフェース213は、ホスト装置20とメモリカードとの間のインターフェース処理を行うのに必要なハードウェア、ソフトウェアからなる。ホスト装置20は、SDインターフェース213を介してメモリカードと通信を行う。SDインターフェース213は、ホスト装置20とメモリカードとが通信するのに必要な様々な取り決めを規定し、後述のメモリカードのSDインターフェース231と相互に認識可能な各種のコマンドの組を備えている。また、SDインターフェース213は、メモリカードのSDインターフェース231と接続可能なハードウェア上の構成(ピンの配置、数等)も含む。
【0301】
メモリカードは、NAND型フラッシュメモリ10、メモリ10を制御するためのコントローラ19を有する。メモリカードは、ホスト装置20に接続されたとき、およびオフ状態のホスト装置20に挿入された状態でホスト装置20がオンされたときに電源供給を受けて初期化動作を行った後、ホスト1からのアクセスに応じた処理を行う。
【0302】
NAND型メモリ10は、データを不揮発に記憶し、複数のメモリセルからなるページと呼ばれる単位でデータの書き込みおよび読み出しを行う。ページには、各ページに固有の物理アドレスが割り当てられている。また、メモリ10は、複数のページからなる物理ブロック(消去ブロック)と呼ばれる単位でデータの消去を行う。なお、物理ブロック単位で物理アドレスが割り当てられていることもある。
【0303】
コントローラ19は、メモリ10によるデータの記憶状態を管理する。記憶状態の管理とは、どの物理アドレスのページ(または物理ブロック)が、どの論理アドレスのデータを保持しているかの関係、およびどの物理アドレスのページ(または物理ブロック)が消去状態(何も書き込まれていない、または無効なデータを保持している状態)であるかを管理することを含んでいる。
【0304】
コントローラ19は、SDインターフェース31、MPU(micro processing unit)32、ROM(read only memory)33、RAM(『random access memory』)34、NANDインターフェース35を含んでいる。
【0305】
SDインターフェース31は、ホスト装置20とコントローラ19との間のインターフェース処理を行うのに必要なハードウェア、ソフトウェアからなり、SDインターフェース13と同様に、両者の通信を可能とする取り決めを規定し、各種のコマンドの組を備え、ハードウェア上の構成(ピンの配置、数等)も含む。メモリカード(コントローラ22)は、SDインターフェース31を介してとホスト1と通信を行う。SDインターフェース31は、レジスタ36を含んでいる。
【0306】
MPU32は、メモリカード2全体の動作を司る。MPU32は、例えば、メモリカード2が電源供給を受けた際に、ROM33内に格納されているファームウェア(制御プログラム)をRAM34上に読み出して所定の処理を実行する。MPU32は、制御プログラムに従って各種のテーブルをRAM34上で作成したり、ホスト1から受けたコマンドに従ってメモリ21に対する所定の処理を実行したりする。
【0307】
ROM33は、MPU32により制御される制御プログラムなどを格納する。RAM34は、MPU32の作業エリアとして使用され、制御プログラムや各種のテーブルを一時的に記憶する。このようなテーブルとして、ファイルシステム12によってデータに割り当てられた論理アドレスを有するデータを実際に記憶しているページの物理アドレスの変換テーブル(論物テーブル)が含まれる。NANDインターフェース35は、コントローラ22とメモリ21とのインターフェース処理を行う。
【0308】
NAND型フラッシュメモリ10内の記憶領域は、保存されるデータの種類に応じて、例えばシステムデータ領域、機密データ領域、保護データ領域、ユーザデータ領域等を含んでいる。システムデータ領域は、コントローラ19が、その動作に必要なデータを保存するためにメモリ10内で確保しておく領域である。機密データ領域は、暗号化に用いる鍵情報や認証時に使用する機密データを保存しており、ホスト装置20からアクセスできない。保護データ領域は、重要なデータ、セキュアなデータを格納する。ユーザデータ領域は、ホスト装置20が自由にアクセスおよび使用することが可能で、例えばAVコンテンツファイルや画像データ等のユーザデータを格納する。なお、コントローラ19は、ユーザデータ領域の一部を確保し、自身の動作に必要な制御データ(論物テーブル等)を保存する。
【0309】
[第16実施形態]
次に、上記NAND型フラッシュメモリ10の具体的構成例として、第16実施形態として説明する。
【0310】
<全体構成例>
上記NAND型フラッシュメモリ10の具体的な全体構成例は、図41のように示される。
【0311】
図示するように、本例に係るNAND型フラッシュメモリは、メモリセルアレイ11、乱数発生回路16、制御回路19、認証回路51、ビット線制御回路52、カラムデコーダ53、データ入出力バッファ54、データ入出力端子55、ワード線駆動回路56、制御信号入力端子58、電源発生回路59を備える。
【0312】
メモリセルアレイ11は、複数のブロック(BLOCK1〜BLOCKn)により構成される。複数のブロック(BLOCK1〜BLOCKn)のそれぞれは、ワード線およびビット線の交差位置に配置される複数のメモリセルを備える。例えば、BLOCK1は、上記ロム領域11−1である。例えば、BLOCK2は、上記秘匿領域11−2である。その他のブロックは、ホスト装置20から利用可能な一般領域(User area)11−3等である。
【0313】
ロム領域11−1は例えばOTP(One Time Program)ブロックであり、1回の書き込みのみ許容される。書き込み後は電気フューズ、レーザフューズ、ROMフューズ等の手段を用いてブロックデコーダを制御し消去動作を禁止する。秘匿領域11−2は、例えば外部アドレスのデコードでは選択できない状態とし、NAND型フラッシュメモリ内部の制御回路19のみが読み出し可能な領域とする。
【0314】
認証回路51は、例えば、上記圧縮演算回路13、バイアスドRNG14、出力部15、乱数生成回路16、順序交換回路18、ビット毎加算回路C1等を備え、制御回路19により制御される。例えば、乱数生成回路16により発生された乱数は、制御回路19の制御に従い、秘密鍵や認証処理におけるチャレンジデータの生成などに用いられ、また必要に応じて、データ入出力端子55を介して外部のホスト装置20に送信される。
【0315】
ビット線制御回路52は、ビット線を介してメモリセルアレイ11中のメモリセルのデータを読み出し、ビット線を介してメモリセルアレイ11中のメモリセルの状態を検出する。また、ビット線制御回路52は、ビット線を介してメモリセルアレイ11中のメモリセルに書き込み制御電圧を印加してメモリセルに書き込みを行う。
【0316】
ビット線制御回路52内には、図示しない上記ページバッファ等のデータ記憶回路12等が設けられ、このデータ記憶回路は、カラムデコーダ53によって選択される。データ記憶回路に読み出されたメモリセルのデータは、データ入出力バッファ54を介してデータ入出力端子55から外部へ出力される。
【0317】
データ入出力端子55は、例えば、外部のホスト装置等に接続される。データ入出力端子55は、例えば8ビット、または16ビットのバス幅を有している。NAND型フラッシュメモリはトグルモードインターフェース(toggle mode interface)などの高速インターフェース規格をサポートしてもよい。トグルモードインターフェースでは、例えば、データストローブ信号(DQS)の立ち上がり、立ち下がり両エッジに同期してデータ入出力端子55を介したデータ転送が行われる。
【0318】
ホスト装置20は、例えば、マイクロコンピュータ等であって、データ入出力端子55から出力されたデータを受ける。ホスト装置20は、NAND型フラッシュメモリ10の動作を制御する各種コマンドCMD(書き込みコマンド、読み出しコマンド、消去コマンド、ステータスリードコマンド等)、アドレスADD、およびデータDTを出力する。ホスト装置からデータ入出力端子55に入力された書き込みデータDTは、データ入出力バッファ54を介して、カラムデコーダ53によって選択された上記データ記憶回路(図示せず)に供給される。一方、コマンドCMDおよびアドレスADDは、制御回路19に供給される。
【0319】
ワード線駆動回路56は、制御回路19の制御に従い、メモリセルアレイ11中のワード線を選択し、選択されたワード線に読み出し、書き込みあるいは消去に必要な電圧を印加する。
【0320】
電圧発生回路59は、制御回路19の制御に従い、図示中の接続された上記構成回路の動作に必要な電圧を供給する。例えば、電圧発生回路59は、ホスト装置から供給される外部電圧を昇圧して、読み出し、書き込みあるいは消去時にワード線に印加される電圧を生成する。
【0321】
制御回路(Controller)19は、NAND型フラッシュメモリ10の全体の動作を制御するために、接続される各回路に必要な制御信号および制御電圧を与える。制御回路19は、メモリセルアレイ11、認証回路51、ビット線制御回路52、カラムデコーダ53、データ入出力バッファ54、ワード線駆動回路56、電圧発生回路59に接続される。接続された上記構成回路は、制御回路19によって制御される。
【0322】
制御回路19は、制御信号入力端子58に接続され、ホスト装置から制御信号入力端子58を介して入力されるWE(ライト・イネーブル)信号、RE(リード・イネーブル)信号、ALE(アドレス・ラッチ・イネーブル)信号、CLE(コマンド・ラッチ・イネーブル)信号等の制御信号の組み合わせによって制御される。
【0323】
ここで、機能的に表現すれば、上記ワード線駆動回路56、ビット線制御回路52、カラムデコーダ53、制御回路19は、データ書き込み回路、データ読み出し回路、およびデータ消去回路を構成する。ホスト装置は、NAND型フラッシュメモリが書き込み、読み出し、消去などの内部動作を実行中であるか否かを、図示せぬRY/BY(レディー/ビジー)信号出力端子をモニタすることで検知する。制御回路19は、RY/BY信号出力端子を介して、RY/BY信号を出力する。
【0324】
<ブロック(BLOCK)の構成例>
次に、図42を用い、メモリセルアレイを構成するブロック(BLOCK)の構成例について説明する。ここでは、図41中のBLOCK1を一例に挙げて説明する。ここで、このブロックBLOCK1中のメモリセルは、一括してデータ消去されるため、ブロックはデータ消去単位である。
【0325】
ブロックBLOCK1は、ワード線方向(WL方向)に配置される複数のメモリセルユニットMUから構成される。メモリセルユニットMUは、WL方向と交差するビット線方向(BL方向)に配置され、電流経路が直列接続される8個のメモリセルMC0〜MC7からなるNANDストリング(メモリセルストリング)と、NANDストリングの電流経路の一端に接続されるソース側の選択トランジスタS1と、NANDストリングの電流経路の他端に接続されるドレイン側の選択トランジスタS2とから構成される。
【0326】
尚、本例では、メモリセルユニットMUは、8個のメモリセルMC0〜MC7から構成されるが、2つ以上のメモリセル、例えば、56個、32個等から構成されていればよく、8個に限定されるというものではない。
【0327】
ソース側の選択トランジスタS1の電流経路の他端はソース線SLに接続される。ドレイン側の選択トランジスタS2の電流経路の他端は、各メモリセルユニットMUに対応してメモリセルユニットMUの上方に設けられ、BL方向に延出するビット線BLm−1に接続される。
【0328】
ワード線WL0〜WL7は、WL方向に延び、WL方向の複数のメモリセルの制御ゲート電極に共通に接続される。選択ゲート線SGSは、WL方向に延び、WL方向の複数の選択トランジスタS1に共通に接続される。選択ゲート線SGDも、WL方向に延び、WL方向の複数の選択トランジスタS2に共通に接続される。
【0329】
また、ワード線WL0〜WL7ごとにページ(PAGE)が存在する。例えば、図中の破線で囲って示すように、ワード線WL7には、ページ7(PAGE7)が存在する。このページ(PAGE)ごとに、後述するデータ読み出し動作、データ書き込み動作が行われるため、ページ(PAGE)はデータ読み出し単位であり、データ書き込み単位である。
【0330】
<2値メモリセル(SLC:Single Level Cell)の閾値分布>
次に、図43を用い、2値メモリセル(SLC:Single Level Cell)の閾値分布について説明する。
【0331】
2値メモリセルの閾値分布(Vth分布)では、メモリセルにデータを記録した後において、図示するような’1’、’0’の分布を示す。ここでは、消去状態(Erase state)に’1’を割り当て、書き込み状態(Programmed state)に’0’を割り当てている。
【0332】
なお、データ書き込み動作およびデータ消去動作の際には、書き込み電圧または消去電圧の印加後に、各メモリセルの閾値電圧を検査し、目標レベルに到達しないセルについては再度データ書き込み、またはデータ消去動作を継続的に制御して行うベリファイ(Verify)動作を行う。そのため、’1’、’0’分布には、上記ベリファイ動作が完了した否かを判定するためのベリファイレベル(Verify level)が設けられる。
【0333】
ここで、制御の例としては、制御回路(Controller)19により、データ書き込み動作において、制御ゲートに印加する電圧を増す、電圧印加時間を増す、電圧印加回数を増す等を復号的に行うことで、各メモリセルの閾値電圧を目標レベルに到達させる。また、データ消去においても、同様に、半導体基板中のpウェル(Pwell)に印加する電圧を増す、電圧印加時間を増す、電圧印加回数を増すなどを復号的に行うことで、各メモリセルの閾値電圧を目標レベルに到達させる。このようにして、書き込まれたデータは、図示するように所定の’1’、’0’の分布幅を持つ。
【0334】
データの読出しにおいては、’0’分布と’1’分布との中間に読み出し電圧(Threshold of read level)を設定することで、各メモリセルがいずれのデータを保持しているかを判別する。具体的には、制御ゲートCGに読み出し電圧を印加した際に、メモリセルMCがオン状態となれば’1’と判別し、メモリセルMCがオフ状態のままであれば’0’と判別する。
【0335】
なお、上記ベリファイ動作を行った場合のほうが、行わない場合に比べて、閾値分布が狭くなる。これは、個々のメモリセルによって1回の書き込み電圧の印加で注入される電子の量にばらつきがあり、早く書き込まれるメモリセルと、遅く書き込まれるメモリセルとが存在するためである。そのため、1回の書き込み電圧の印加毎に各メモリセルの閾値電圧を検査し、ベリファイレベルに到達したメモリセルについては以降の電子注入を禁止(抑制)し、ベリファイレベルに到達しないメモリセルについては再度書き込み電圧を印加して電子注入を継続する。結果として、ベリファイ動作を行わない場合と比較して、閾値分布は狭くなる。
【0336】
<多値メモリセル(MLC:Multi Level Cell)の閾値分布>
次に、図44を用い、多値メモリセル(MLC:Multi Level Cell)の閾値分布について説明する。
【0337】
多値メモリセルでは、上記した書き込み状態(Programmed state)における電子の注入量を細かく制御することで、例えば1個のメモリセルに2ビットを保持する場合は4つの閾値分布を形成し、また1個のメモリセルに3ビットを保持する場合は8つの閾値分布を形成する。
【0338】
多値メモリセルの閾値分布(Vth分布)のうち、本例では、1個のメモリセルに2ビットのデータを記録する例を示す。そのため、4つの閾値分布に対して、閾値電圧の低い方から順に、図示するような’11’、’01’、’00’、’10’を割り当てる。なお、以下では便宜的に、4つの閾値分布を閾値電圧の低い方から順に’E’レベル、’A’レベル、’B’レベル、’C’レベルと記載する場合がある。
【0339】
多値メモリセルのデータ書き込みの場合でも、上記2値メモリセルのデータ書き込みと同様に、目標とする閾値電圧に到達するよう、適宜書き込み動作を制御する。また、’11’、’01’、’00’、’10’分布には、同様にそれぞれベリファイレベル(Verify level)が設けられる。
【0340】
多値メモリセルにおいて、データ読み出しの際には、各分布の中間において、読み出しの電圧TH1, TH2, TH3を設定することで、各メモリセルが’11’、’01’、’00’、’10’のいずれのデータを保持しているかを判別する。
【0341】
ここで、TH2以上か否かによって識別可能なビットすなわち以下図面におけるMSBビットと、TH1以上かつTH3以下か否かによって識別可能なビットすなわち以下図面におけるLSBビットは、各々異なるページにアサインされることが多く、各々Lower page、Upper pageなどと呼ばれる。つまり、TH1, TH2, TH3を同時に用いて1つのページを読み出すのではなく、Lower pageを読み出す場合はTH2を、Upper pageを読み出す場合はTH1及びTH3を用いる。
【0342】
本発明のいくつか実施形態を説明したが、これら実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0343】
10…NAND型フラッシュメモリ(被認証コンポーネント)、19…コントローラ、20…ホストデバイス(認証コンポーネント)。

【特許請求の範囲】
【請求項1】
データ構造が鍵遷移レコードで構成された鍵情報、マトリックス状の秘密情報XY、および前記秘密情報XYが暗号化された秘密情報XYEを記憶する被認証コンポーネントと、前記被認証コンポーネントを認証する認証コンポーネントとの間における認証方法は、
前記認証コンポーネントが、前記被認証コンポーネントから受領した前記鍵情報に対して、自身のデバイスインデックスに対応するレコードを選択し、前記レコードをデバイス鍵によって復号して鍵遷移を取り出すステップと、
前記認証コンポーネントが、前記被認証コンポーネントから受領した前記秘密情報XYEに対して、対応する前記鍵遷移を用いて、復号処理を行い、前記秘密情報XYを共有するステップとを具備する。
【請求項2】
前記被認証コンポーネントが、前記認証コンポーネントが生成する乱数Bを受領するステップと、
前記被認証コンポーネントが、乱数Aおよびデータν(νは1の出現確率がη(ただし、η<0.5))を生成するステップと、
前記被認証コンポーネントが、生成した前記乱数Aと受領した前記乱数Bの少なくとも一部から構成される乱数Dを生成するステップと、
前記被認証コンポーネントが、前記乱数Dと前記秘密情報XYの少なくとも一部とについて、圧縮演算を行い、データCを生成するステップと、
前記被認証コンポーネントが、前記データCに前記データνを付与した演算結果zを、前記認証コンポーネントに送信するステップと、
前記認証コンポーネントが、生成した前記乱数Aと受領した前記乱数Bの少なくとも一部から構成される乱数Dを生成するステップと、
前記認証コンポーネントが、前記乱数Dと前記秘密情報XYの少なくとも一部とについて、圧縮演算を行い、データCを生成するステップと、
前記認証コンポーネントが、受領した演算結果zと生成したデータCとを用いて、判定処理を行うステップとを更に具備する
請求項1に記載の認証方法。
【請求項3】
データ構造が鍵遷移レコードで構成された鍵情報、マトリックス状の秘密情報XY、および前記秘密情報XYが暗号化された秘密情報XYEを記憶するメモリと、
乱数Aを生成する生成部と、
生成した前記乱数Aと、受領する乱数Bの少なくとも一部から構成される乱数Dを生成する生成部と、
前記乱数Dと前記メモリからロードした秘密情報XYとについて、圧縮演算を行い、データCを生成する演算部と、
データν(νは1の出現確率がη(ただし、η<0.5))を生成する生成部と、
前記データCに前記データνを付与して、演算結果zを算出するビット毎加算部と
を具備する被認証コンポーネント。
【請求項4】
前記データ構造がマトリックス状の秘密情報XYは、秘密情報XYmain,XYsubにより構成され、
前記データ構造がマトリックス状の暗号化された秘密情報XYEは、XYmainE,XYsubEにより構成され(但し、データサイズ:XYsub < XYmain,XYsubE < XYmainE)、
前記秘密情報XYmainは、複数の前記被認証コンポーネントから構成されるグループ内で同一であり、
前記秘密情報XYsubは、前記被認証コンポーネントごとに異なる
請求項3に記載の被認証コンポーネント。
【請求項5】
データ構造がそれぞれ鍵遷移レコードで構成された鍵情報、マトリックス状の秘密情報XY、および前記秘密情報XYが暗号化された秘密情報XYEを記憶する被認証コンポーネントを認証する認証コンポーネントは、
前記被認証コンポーネントから受領した前記鍵情報に対して、自身のデバイスインデックスに対応するレコードを選択する解析選択部と、
前記レコードをデバイス鍵によって復号し、鍵遷移を取り出す復号部と、
前記被認証コンポーネントから受領した前記秘密情報XYEに対して、対応する前記鍵遷移を用いて、復号処理を行い、前記秘密情報XYを共有する選択復号部と、
乱数Bを生成する生成部と、
生成した前記乱数Bと、前記被認証コンポーネントから受領する乱数Aの少なくとも一部から構成される乱数Dを生成する生成部と、
前記乱数Dと前記秘密情報XYの少なくとも一部とについて、圧縮演算を行い、データCを生成する演算部と、
前記被認証コンポーネントから受領する演算結果のうち前記レコード中のインデックスに対応する演算結果zを選択する検査部と、
生成した前記データCと前記選択された演算結果zとを用いて、判定処理を行う判定部と
を具備する認証コンポーネント。
【請求項6】
被認証IDと秘密情報XYとを記憶する被認証コンポーネントと、認証IDと固有の秘密情報Unique XYとを記憶する認証コンポーネントとの間の認証方法は、
前記被認証コンポーネントが、要求された前記被認証IDを、前記認証コンポーネントに送信するステップと、
前記認証コンポーネントが、取得した前記被認証IDと自身が有する前記固有の秘密情報Unique XYとに対して非線形処理を行い、固有値(Unique XY for Memory and Device)を取得するステップと、
前記被認証コンポーネントが、送信された前記認証IDと自身の有する前記秘密情報XYとに対して一方向性関数処理を行い、前記秘密情報Unique XYを共有するステップと
を具備する認証方法。
【請求項7】
前記被認証コンポーネントが、自身が有する被認証IDと共有した前記秘密情報Unique XYとに対して非線形処理を行い、固有値(Unique XY for Memory and Device)を取得するステップを更に具備する
請求項6に記載の認証方法。
【請求項8】
前記被認証コンポーネントが、前記認証コンポーネントが生成する乱数Bを受領するステップと、
前記被認証コンポーネントが、乱数Aおよびデータν(νは1の出現確率がη(ただし、η<0.5))を生成するステップと、
前記被認証コンポーネントが、生成した前記乱数Aと受領した前記乱数Bの少なくとも一部から構成される乱数Dを生成するステップと、
前記被認証コンポーネントが、前記乱数Dと前記固有値(Unique XY for Memory and Device)の少なくとも一部とについて、圧縮演算を行い、データCを生成するステップと、
前記被認証コンポーネントが、前記データCに前記データνを付与した演算結果zを、前記認証コンポーネントに送信するステップと、
前記認証コンポーネントが、生成した前記乱数Aと受領した前記乱数Bの少なくとも一部から構成される乱数Dを生成するステップと、
前記認証コンポーネントが、前記乱数Dと前記固有値(Unique XY for Memory and Device)の少なくとも一部とについて、圧縮演算を行い、データCを生成するステップと、
前記認証コンポーネントが、受領した演算結果zと生成したデータCとを用いて、判定処理を行うステップとを更に具備する
請求項7に記載の認証方法。
【請求項9】
被認証IDと秘密情報XYとを記憶するメモリと、
認証コンポーネントから送信される認証IDと自身の有する前記秘密情報XYとに対して一方向性関数処理を行い、固有の秘密情報Unique XYを出力する一方向性関数処理部と、
前記被認証IDと前記固有の秘密情報Unique XYとに対して非線形処理を行い、前記認証コンポーネントと固有値(Unique XY for Memory and Device)を共有する非線形処理部と
を具備する被認証コンポーネント。
【請求項10】
認証IDと固有の秘密情報Unique XYとを有し、
被認証コンポーネントから取得する被認証IDと自身が有する前記固有の秘密情報Unique XYとに対して非線形処理を行い、前記被認証コンポーネントと固有値(Unique XY for Memory and Device)を共有する非線形処理部を具備する
認証コンポーネント。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate

【図9】
image rotate

【図10】
image rotate

【図11】
image rotate

【図12】
image rotate

【図13】
image rotate

【図14】
image rotate

【図15】
image rotate

【図16】
image rotate

【図17】
image rotate

【図18】
image rotate

【図19】
image rotate

【図20】
image rotate

【図21】
image rotate

【図22A】
image rotate

【図22B】
image rotate

【図23】
image rotate

【図24】
image rotate

【図25】
image rotate

【図26】
image rotate

【図27】
image rotate

【図28】
image rotate

【図29】
image rotate

【図30】
image rotate

【図31】
image rotate

【図32】
image rotate

【図33】
image rotate

【図34】
image rotate

【図35】
image rotate

【図36】
image rotate

【図37】
image rotate

【図38】
image rotate

【図39】
image rotate

【図40】
image rotate

【図41】
image rotate

【図42】
image rotate

【図43】
image rotate

【図44】
image rotate


【公開番号】特開2013−5293(P2013−5293A)
【公開日】平成25年1月7日(2013.1.7)
【国際特許分類】
【出願番号】特願2011−135644(P2011−135644)
【出願日】平成23年6月17日(2011.6.17)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】