電子タグの認証
【課題】電子タグの認証を該タグに読取器を介して接続されるホストにより行う方法とシステムを提供する。
【解決手段】タグの側で、第1のディジタル署名を、該タグと前記読取器で共有する少なくともひとつの第1関数を使用して、該タグと前記読取器のみで知られる少なくともひとつの第1秘密キーを考慮して計算し、該第1の署名を前記読取器に送信し、読取器の側で、第2のディジタル署名を、前記第1関数とは異なる読取器とホストで共有する少なくともひとつの第2関数を使用して、前記第1署名を考慮して計算し、該第2署名を前記ホストに送信し、ホストの側で、前記第2署名と、前記第2関数と前記ホストと、前記タグ及び前記読取器から選択される単一の素子により共有される第2秘密キーから計算される確認値との一致をチェックする。
【解決手段】タグの側で、第1のディジタル署名を、該タグと前記読取器で共有する少なくともひとつの第1関数を使用して、該タグと前記読取器のみで知られる少なくともひとつの第1秘密キーを考慮して計算し、該第1の署名を前記読取器に送信し、読取器の側で、第2のディジタル署名を、前記第1関数とは異なる読取器とホストで共有する少なくともひとつの第2関数を使用して、前記第1署名を考慮して計算し、該第2署名を前記ホストに送信し、ホストの側で、前記第2署名と、前記第2関数と前記ホストと、前記タグ及び前記読取器から選択される単一の素子により共有される第2秘密キーから計算される確認値との一致をチェックする。
【発明の詳細な説明】
【0001】
【発明の属する技術分野】
本発明は離れた素子(例えば任意の製品に付着される電子タグ)により支持される集積回路の認証のシステムに関する。本発明は特に認証のために3つの別の素子、つまり、認証される集積回路、回路に含まれる情報の読取器、及び読取器と通信するホスト、を必要とするシステムに関する。
【0002】
【従来の技術】
本発明の応用の例は消費材の分配システムの無線周波数タグによるマークに関する。例えばコーヒーマシンの再充填又はプリンタカートリッジである。このとき、製造者により認可されたカートリッジのみが所定のプリンタで使われることを保証するために、認証が行われる。このような応用では、認証対象の集積回路は、電磁トランスポンダのような読取器と無接触で無線で通信できる電子タグの形態のプリンタカートリッジにより支持される。読取器は別の型の接続手段例えばI2C型のような電子インターフェースでホストに接続される。
【0003】
以後、「応用」はタグが認証されたときにシステム(例えばプリンタ)で実施される全てのタスクを指すものとする。
【0004】
正しく動作する応用のために、電子タグは事前に認証されてタグを支持する製品(例えばカートリッジ又は再充填)が認可された製品であることを確認する(例えばタグによりマークされた商品が偽物と置換されていないことを確認する)。
【0005】
ホスト(マイクロコントローラ,離れたところのコンピュータ、又は他の適応電子システム)の機能は応用を制御すること、つまり、検出(例えばプリンタのブロック、又は非認証の場合のコーヒーマシンのブロック)につづく認証プログラム及び適切な動作である。これらの分野で、ホストは好ましくは自動販売機又はプリンタを具備するマイクロコントローラである。しかし、電話線又は専用線で異なる読取器と通信する離れたホストであってもよい。
【0006】
ホストと読取器の間の通信はアクセス可能な広く普及したプロトコルに基礎をおき、応用コントローラを有する同じホストの異なる読取器の使用を可能とする。しかし、このことは、特にホストが読取器から離れていると(同じ装置の中でわずかに離れているときでも)、セキュリティの点で問題が発生する。応用を正しく実行させるタグの認証の最終決定はホストによる。
【0007】
従来の認証システムは暗号アルゴリズムを使用して、特別の秘密キーにより電子タグを認証する。例えばDES型(Data Encryption Standard)のアルゴリズムが使用される。
【0008】
この暗号アルゴリズムの欠点は電子タグが高性能の計算手段、例えばマイクロプロセサを有する必要があることにある。この計算手段によるコストは、タグの寿命が短いので電子タグのコストを最少化しなければならない消費材や再充填に対するこの種のシステムの適応を困難にしている。
【0009】
【発明が解決しようとする課題】
認証対象の集積回路とその読取器の間で無線周波数伝送を行う特別の場合について以下に記述する。しかし、3つの異なる素子(認証対象の電子タグ、読取器及びホスト)を有し、読取器とホストの間の通信が、タグと読取器の間の通信とは異なる手段で実行されるような任意のシステムに一般に適用可能である。
【0010】
本発明の目的は、認証対象の装置と、該装置の読取器と、装置の認証に従って応用の実行を制御するホストとを有するシステムにおける電子装置の認証のための新規な方法とシステムを提供することにある。
【0011】
本発明は、特に、サイズとコストが小さく、マイクロプロセサの不要な電子タグに適応する解決を提供する。
【0012】
本発明はさらに読取器とホストの間の通信を侵入者からの保護のないリンクで実行して認証を可能とすることを目的とする。
【0013】
第1の側面によると、全ての電子タグは同じ型のタグのための同じ秘密キーを有する。
【0014】
第2の側面によると、本発明は秘密キーを各電子タグのレベルで個別化する。
【0015】
【課題を解決するための手段】
これらの目的を達成するための本発明の特徴は、
電子タグの認証を、読取器を介して該タグと通信するホストにより行う認証方法において、
タグの側で、第1のディジタル署名を、該タグと前記読取器で共有する少なくともひとつの第1関数(f)を使用して、該タグと前記読取器のみで知られる少なくともひとつの第1秘密キーを考慮して計算し、該第1の署名を前記読取器に送信し、
読取器の側で、第2のディジタル署名を、前記第1関数とは異なる読取器とホストで共有する少なくともひとつの第2関数(g)を使用して、前記第1署名を考慮して計算し、該第2署名を前記ホストに送信し、
ホストの側で、前記第2署名と、前記第2関数(g)と前記ホストと、前記タグ及び前記読取器から選択される単一の素子により共有される第2秘密キーから計算される確認値(VAL)との一致をチェックする認証方法にある。
【0016】
本発明の実施例によると、前記第2秘密キーは前記読取器と前記ホストのみで知られ、この第2キーは前記読取器により、前記ホストに送られる第2署名(SIGN)の計算で使用される。
【0017】
本発明の実施例によると、前記第2秘密キーは前記タグと前記ホストのみで知られ、前記ホストでの最初の使用のときに前記タグに保存される。
【0018】
本発明の実施例によると、前記読取器と前記ホストのみで知られる第3のキーを使用して、第2署名と確認値の計算をする。
【0019】
本発明の実施例によると、タグからホストに送るデータを抜き取り、該データを読取器を介してホストに送り、該データホスト側と読取器側に保存し、
ホストの側で、ランダム又は擬似ランダム数を発生して読取器を介してタグに送り、このランダム数をホストと読取器とタグに保存し、
タグの側で、前記数、前記データ及び前記第1秘密キーをオペランドとして前記第1関数(f)の適用により中間署名を計算し、
読取器の側で、前記数、前記データ及び前記第1秘密キーをオペランドとして前記第1関数(f)の適用により中間値を計算する。
【0020】
本発明の実施例によると、前記第2秘密キーは読取器とホストのみで知られ、該第2秘密キーは、読取器の側で、ホストに送られる第2署名の計算に用いられ、前記中間値は前記第1署名を形成し、読取器の側で、
前記第1署名と前記読取器で計算される前記中間値を比較し、
前記第2署名を、前記数、前記データ、前記第2秘密キー及び前記比較の結果を考慮して計算する。
【0021】
本発明の実施例によると前記第2署名の計算は、前記比較の結果に従って前記第2関数(g)又は第3関数(h)を使用する。
【0022】
本発明の実施例によると、前記第2署名の計算は、前記数、前記データ、前記第2秘密キー及び前記比較の結果をオペランドとして前記第2関数(g)を使用して計算する。
【0023】
本発明の実施例によると、電子タグの側で、前記中間署名と前記第2秘密キー(K2)のXOR型の第1の組合せを計算して、前記読取器(3)に送る前記第1署名を得、
読取器の側で、
受信した第1署名と前記中間値のXOR型の第2の組合せを計算し、
前記第2署名を、前記第2の組合せの結果と前記数(ALEA)と前記データとをオペランドとして前記第2関数(g)を適用して計算する。
【0024】
本発明の実施例によると、前記第2関数(g)は、読取器とホストに共通の擬似ランダム数の発生の関数である。
【0025】
本発明の実施例によると、前記擬似ランダム発生関数は、種として、前記データと前記数と、読取器の側ではXOR型の第2の組合せ、ホストの側では前記第2秘密キーを使用する。
【0026】
本発明の実施例によると、前記電子タグは電磁トランスポンダである。
【0027】
本発明は、又、集積回路と、第1秘密キーの保存と第1アルゴリズム関数を実行する手段とを有する電子タグを提供する。
【0028】
本発明は、又、電子タグ読取器を提供する。
【0029】
本発明の実施例によると、読取器は前記第2署名を提供することができる擬似ランダム発生器を有する。
【0030】
本発明はさらに電子タグの認証のためのマイクロコントローラを提供する。
【0031】
本発明の実施例によると、該マイクロコントローラは前記確認値を提供することができる擬似ランダム発生器を有する。
【0032】
【発明の実施の形態】
同じ素子と方法ステップは異なる図で同じ符号で示される。明瞭化のために、発明の理解に必要な方法ステップと素子のみが図示され記述される。特に、タグの集積回路と読取器の間の通信及び読取器とホストの間の通信の実際の伝送の実行については詳述はない。本発明は本発明で実行されるデータと情報を運ぶための伝送プロトコルにかかわらず適用することができる。
【0033】
図1は本発明をその第1の側面に従って適用するシステムのブロック図である。電子タグ1(TAG)は例えば電磁トランスポンダのファミリに属し、認証対象の製品(図示なし)に搭載される。電磁トランスポンダ型のタグの場合には、タグは無接触で無線で(無線周波数リンク2)、読取器3(READER)又は無線周波数カップラと通信することができる。該読取器の通常の機能は、電子タグが認証されたときに応用を実行するホスト4と電子タグ1の間の電子インターフェースとして使用されることである。読取器又はカップラ3は、ホスト4と、例えば、有線接続5により通信する。
【0034】
プリンタのインクカートリッジへの応用の例では、タグ1は集積回路チップで構成され、カートリッジに付着(例えば接着)又はインクカートリッジパッケージの中に含まれる。読取器3はプリンタを装着する無線周波数カップラで、ホスト4で形成されるマイクロプロセサと通信する。ホスト4は、例えば、プリンタ制御回路の中に含まれるか、又は、該プリンタが接続されるコンピュータの中に置かれる。
【0035】
カートリッジの認証は、プリンタに任意のカートリッジを受け入れさせる結果となる接続5への侵入を防止するために使用される。本発明によると、認証フェーズがタグ1と読取器3の間で設けられ、この認証はホスト4に伝送される。
【0036】
本発明によると、読取器3からホスト4への認証の伝送は図2で説明する安全な手続きで行われる。
【0037】
本発明を実施するために、図1と図2に示す第1の側面によると、電子タグ1と読取器3は両者で知られる秘密キーKSを具備するか又は集積化している。この第1の側面によると、読取器3はこの型のタグ1(例えばプリンタカートリッジ型)に専用である。
【0038】
図1に示すように、タグ1と読取器3は、図2で示すような、共通の暗号関数fを有する。
【0039】
読取器3とマイクロコントローラ4の各々は共通のキーK1と暗号関数gを有する。この実施例では読取器3はさらに非認証符号関数hを含む。
【0040】
本発明の特徴は、読取器3とホスト4の間の通信で、読取器3による認証が正か否かに従って、符号化又は暗号化関数を区別することにある。従って、認証が正であるときはホスト4へ、伝送し、認証がないときは何も伝送しないということ以上のものがある。常に何かが送信されるが、ホスト4は正の認証か否かを解釈する。
【0041】
図1で関数の相違(gとh)で示されるものは、図2で説明するように、同じ結果のデータを符号化する関数の区別、又は認証結果に従って2つの異なるデータを符号化する同じ関数として理解されるべきである。
【0042】
読取器3とホスト4の間の通信はタグ1と読取器3との間と通信と独立である。ホスト4は、読取器とタグが共有するキーKSとこれら2つの要素の間の通信で実施される暗号関数fの両方を無視する。
【0043】
図2は本発明の第1側面の実行モードのフローチャートである。図2でフローチャートの方法ステップは、実行がタグで行われるか、読取器で行われるか、ホストで行われるかに従って、3つの列に分かれる。
【0044】
本発明による認証方法の第1ステップ(ブロック10,GEN(DATA))は、電子タグ(TAG)により、認証のために伝送されるデータメッセージ(DATA)を発生する。メッセージDATAは、例えば、電子タグ(例えばインクカートリッジのシリアル番号、及び/又は型)を搭載する製品の識別子を含む。電子タグによるこの識別子の発生は、例えばそして通常、タグが読取器3のフィールドに入ったときにタグの供給によって行われる。電磁トランスポンダ型のタグの動作は完全に周知である。簡単には、タグの集積回路の供給により(又は読取器による特別の制御信号の受信)、リモートサプライキャリアのバック変調により、メッセージDATAの伝送が行われる。
【0045】
トランスポンダ型に適応するバック変調を有する読取器は、データを受け取ると、送信されたメッセージを保存する(ブロック11,MEM(DATA))。さらに、読取器はデータをホスト4に送り、ホスト4はそれを保存する(ブロック12,MEM(DATA))。
【0046】
上述の伝送は正当な認証を構成せず、電子タグの識別子のホスト(HOST)への伝送のみである。応用を実行させる前に、ホストはタグが認証製品に属することを確認しなければならない。従って、実際の認証手続きが始まる。
【0047】
本発明によると、ホストはランダム又は擬似ランダム数ALEAを発生し(ブロック13,GEN(ALEA))、保存して、読取器3に送る。読取器3は数ALEAを保存し(ブロック14,MEM(ALEA))、それを電子タグ1に送る。
【0048】
次に、タグ1の集積回路はアルゴリズム関数fと、オペランド変数ALEA,DATA,KSを使用して、第1の署名Stを計算する(ブロック15,St=f(ALEA,DATA,KS))。つまり、電子タグは署名Stを計算し、読取器3に送る。
【0049】
並行して(又はタグ1から署名Stを受信した後に)、読取器3は、同じアルゴリズム関数fを、データALEA,DATA,及び読取器が含むKSに適用して変数Srを計算する(ブロック16,Sr=f(ALEA,DATA,KS))。従って、タグ1と読取器3に共通の関数fとキーKSの関数が得られ、読取器によるタグの暗号化された認証が可能となる。
【0050】
次に読取器3は計算した変数Srと電子タグから送られた署名Stとの一致テストを行う(ブロック17,St=Sr?)。
【0051】
認証方法のこの段階で、本発明は認証結果(Y又はN)をクリアに(つまり見えるように)ホストに送っていない。本発明によると、認証が正であるか負であるかが暗号化される。
【0052】
図示の実施例では、読取器はテスト結果17に従って異なる第2の署名SIGNを計算する。テスト17がタグ1の認証を確認(Y)すると、アルゴリズム関数gを変数ALEA,DATA,及びK1に適用して署名SIGNを計算する(ブロック18,SIGN=g(ALEA,DATA,K1))。負の認証の場合には読取器3は関数hを同じ変数に適用して署名SIGNを計算する(ブロック19,SIGN=h(ALEA,DATA,K1))。
【0053】
このように計算された署名SIGNは次に認証を利用するホストに送られる。ホストは、署名SIGNの受信の前又は後に、関数gをホストが知っている変数ALEA,DATA,K1に適用して確認値VALを計算する。読取器とマイクロコントローラで知られる秘密キーK1と共通の関数gの機能がここで明らかとなる。
【0054】
ホストは読取器から受信した署名SIGNを自身で計算した確認値と比較する(ブロック21,SIGN=VAL?)。このテストの結果のY又はNが電子タグ1を認証するか否かとなる。
【0055】
次に、この結果が認証に続いて通常の手続きで利用される(ブロック22,AUTHENT)。これは本発明の目的ではない。
【0056】
本発明の長所は、読取器3での正の認証又は負の認証の暗号化により、侵入者がリンク5(図1)を介する通信を傍受する利益を妨げることにある。実際、認証が正であってもなくても、彼は全ての場合のメッセージを観察する。
【0057】
本発明の別の長所は読取器と電子タグの間での認証がホストと独立なこと、特に、認証結果を利用し応用を制御するマイクロコントローラ4から独立なことにある。
【0058】
伝送されるデータは上述の認証方法を実施できれば、任意の種類のものでもよい。例えば、データワードDATAはタグにリンクする固定データの部分と可変データの部分とから形成される。固定データ部分は、例えば、タグに固有の単一の数である。可変部分は、例えば、実行される応用の数をカウントする減算カウンタの結果である。この実施例は、正常な使用で、同じデータによる複数の認証が存在できないことを保証し、システムの信頼度を向上させる。
【0059】
ホストが発生するランダム数ALEAは、データを種として用いる擬似ランダム数としてもよい。例えば、この擬似ランダム数はデータの一部を種として用いてもよい。例えば、擬似ランダム発生器の出力の現在の状態の値をシステムのスイッチオフの時に保存して、この値を次の使用のための種として用いてもよい。しかし、理想的には、種はアナログ変数、例えば、抵抗の熱雑音から発生する。
【0060】
図3は本発明の第2の側面による、電子タグと読取器とホストを有するシステムのブロック図である。この図は図1と対応し、図1との相違のみを説明する。
【0061】
本発明の第2の側面によると、各電子タグ、従って識別対象の各製品に含まれるキーKSを個別化する。個別化のためには、例えばそして好ましくは、製品を最初に使用するときにキーを電子タグに書き込む必要がある。
【0062】
従って、図3の実施例では、電子タグ1と読取器3が、前述の実施例と同様にキーKSと関数fを共有する。前述の実施例との相違は、読取器3とホスト4が関数gのみを共有することである。さらにタグ1とホスト4は第2のキーK2を共有する。第2のキーK2はホスト4と関連して最初の使用のときに電子タグに書き込まれる。
【0063】
プリンタカートリッジへの応用の例では、新しいカートリッジを所定のプリンタに装着すると、マイクロコントローラがこのプリンタに関連して、ランダムに発生するキーK2をカートリッジの電子タグに提供して、この電子タグに保存される。
【0064】
この電子タグの各回における認証では、図2で説明した方法のステップ15の電子タグ側での中間署名Stの計算までが行われる。
【0065】
図4は本発明の第2側面による認証方法の残りの部分を示す。タグ1の側で(TAG)、初期データは中間署名St(St=f(ALEA,DATA,KS))を形成している。読取器3に関しては対応する中間値Sr(Sr=f(ALEA,DATA,KS))を計算している。
【0066】
この第2の実施例によると、電子タグは、中間署名StとキーK2のXOR型組合せに対応する第1署名Sttを計算する。
【0067】
【数1】
【0068】
キーK2で暗号化された署名Sttは読取器3に送られる。読取器3の側では、第1署名Sttと前に計算されている中間値SrのXOR型組合せを計算する。
【0069】
【数2】
【0070】
タグが認証されれば(つまり、タグが正しいキーKSとK2及び正しい関数fを含んでいれば)、組合せSrtはキーK2に等しい(St=Sr)。読取器3は関数gにオペランドALEA,DATA,Srtを適用して、組合せSrtを使用して第2の署名SIGNを計算する(ブロック32,SIGN=g(ALEA,DATA,Srt))。署名SIGNはホスト4に送られる。
【0071】
第1の実施例との別の相違点は読取器が負の認証関数を具備しないことである(関数h,図1及び図2)。認証と非認証との区別は、この実施例では、関数gの適用で変数Srtを考慮することから得られる。図4の実施例で必要なこの変更は、図2の実施例でも、関数gのオペランドとしてブロック17のテストの正又は負の結果を使用することにより実施できる。
【0072】
図4の実施例に戻って、ホストは電子タグ1の認証を、読取器3から受信した署名SIGNを、関数gに変数ALEA,DATA,K2を適用して計算した(ブロック33,VAL=g(ALEA,DATA,K2))確認値VALと比較して(ブロック21,SIGN=VAL?)チェックする。値SIGNとVALが同じならば、電子タグが読取器3の関数fばかりでなく、ホスト4がタグ1の最初の使用の時に書き込んだキーK2をも持っていることを意味する。逆の場合には、ホスト4は認証手続きを実行しない。
【0073】
この実施例の長所は、電子タグ1の側に、製造時にはキーK2を保存する必要がないことである。このことは、認証対象の製品を所定の装置による最初の使用の時に個別化することを可能とする。
【0074】
この実施例の別の長所は、関数gが破られたとき、つまり事前の注意にもかかわらず侵入者に発見されてしまったとき、キーK2が別の装置では未知であるので、電子タグ1を搭載する製品は、別の装置(特に別のマイクロコントローラ4)で使用可能なことにある。
【0075】
本発明の第2の側面を実施する際の制限は、組合せ関数の中でのXOR型関数の使用にある(ブロック30,31)。
【0076】
もちろん、図1及び図2の実施例と、図3及び図4の実施例とを組み合わせることは可能である。この場合、変数SIGN(ブロック32,図4)とVAL(ブロック33,図4)は、読取器とホストのみに知られるキーK1の関数となり、このキーは第3のキーと考えることができる。
【0077】
図5は、読取器とホストの間で関数(g)を符号化つまり暗号化する、好ましい実施例を示す。図5は図1及び図3と比較され、電子タグ1、読取器3及びホスト4のブロックをあわらす。
【0078】
この実施例によると読取器3とホスト4の各々は擬似ランダム発生器(PSEUDO RAND GEN)40、40’を関数gに対応して有する。2つの発生器40、40’は同じで、同じ種に対して、両者は同じ出力値を提供する。つまり2つのブロック40、40’の擬似ランダム発生の機能は同じである。
【0079】
本発明によると、発生器40、40’は、各々、読取器3の側とホスト4の側で、変数SIGNとVAL、つまり、ホストが読取器で実行される認証を確認することを可能とする値を提供する。
【0080】
各擬似ランダム発生器では、認証方法で使用する異なる変数の関数である種(β,ブロック41及び41’)が使用される。
【0081】
本発明によると、読取器3の側で、種βは変数DATA,ALEA,Srt(又は図2の実施例では変数Sr)を考慮する。ホスト4の側で、種β’は変数DATA,ALEA,K2(又は図2の実施例では変数K1)を考慮する。種βとβ’は、例えば、考慮される変数の連結又はより複雑な関数によって得られる。
【0082】
本発明によると、従って、2つの擬似ランダム発生器40と40’は認証が正しければ同じ種で初期化される。
【0083】
図4の実施例で、値Srtは、負の認証の場合には、K2とは異なる。
【0084】
図2の実施例で、読取器3で実施される認証(テスト17)が正しくないと、発生器40は初期化発生器40’とは異なる変数で初期化される。この目的のために、テスト17の2値の結果(0又は1)が種βに貢献する。ホストの側で正しい認証をあらわすために選択される値(例えば1)は種β’に貢献する。認証が正でも負でも読取器3の関数gは同じである。
【0085】
このことは、全ての場合に、読取器とホストの間で正の認証と負の認証の両方を伝送することにより、認証を効果的にマスクすることを可能にする。
【0086】
図5の実施例の長所は、簡単で安価で実施でき、侵入者に対する最適のセキュリティを提供することである。
【0087】
認証の頻度は応用毎に異なる。例えば、プリンタに対しては、各使用毎に(各プリンタ毎に)、各スタート毎に(スイッチオン)、カートリッジ交換の各検出毎に、及び/又は周期的に、認証が行われる。飲物の機械に対しては、従来の方法で検出される製品の充填の後認証が実行される。
【0088】
もちろん、本発明は当業者に容易な種々の変更、修飾、改良が可能である。特に、擬似ランダム発生関数、より一般的には異なる装置で実行されるアルゴリズム関数の選択は、上述の機能的記述、応用、及び利用可能な従来のアルゴリズム及び発生関数に基づいて当業者に容易である。さらに、使用されるデジタル変数の大きさ(ビット数)は、所望のセキュリティに従って、通常のとおり選択される。
【0089】
さらに、認証結果の利用は、応用に従って、任意である。
【0090】
さらに、読取器3及びホスト4の側で、認証プロセスは、マイクロコントローラのソフトウェア又はワイヤード論理により実行することができる。しかし、タグ1の側では、マイクロコントローラによるソフトウェアによる実施を除外しないが、好ましくは、本発明は安価なタグのワイヤード論理に適用される。
【0091】
最後に、本発明の実施のために集積回路を有する電子タグは認証対象の製品に付加される素子(例えば詰め替え)、又はその中に含まれる(例えば製品のパッケージに含まれる)素子とすることができる。
【0092】
上述の変更、修飾、改良は本開示の一部であり、本発明の範囲内である。従って、上述の記述は実施例であり、限定を意図しない。本発明は請求の範囲とその均等によってのみ限定される。
【図面の簡単な説明】
【図1】本発明の第1の側面による、電子タグを使用するシステムのブロック図である。
【図2】本発明の第1の側面による、実施例のフローチャートである。
【図3】本発明の第2の側面による、電子タグを使用するシステムのブロック図である。
【図4】本発明の第2の側面による、実施例のフローチャートの一部である。
【図5】本発明により好ましい認証機能を実現するシステムの実施例のブロック図である。
【符号の説明】
1 タグ
3 読取器
4 ホスト
【0001】
【発明の属する技術分野】
本発明は離れた素子(例えば任意の製品に付着される電子タグ)により支持される集積回路の認証のシステムに関する。本発明は特に認証のために3つの別の素子、つまり、認証される集積回路、回路に含まれる情報の読取器、及び読取器と通信するホスト、を必要とするシステムに関する。
【0002】
【従来の技術】
本発明の応用の例は消費材の分配システムの無線周波数タグによるマークに関する。例えばコーヒーマシンの再充填又はプリンタカートリッジである。このとき、製造者により認可されたカートリッジのみが所定のプリンタで使われることを保証するために、認証が行われる。このような応用では、認証対象の集積回路は、電磁トランスポンダのような読取器と無接触で無線で通信できる電子タグの形態のプリンタカートリッジにより支持される。読取器は別の型の接続手段例えばI2C型のような電子インターフェースでホストに接続される。
【0003】
以後、「応用」はタグが認証されたときにシステム(例えばプリンタ)で実施される全てのタスクを指すものとする。
【0004】
正しく動作する応用のために、電子タグは事前に認証されてタグを支持する製品(例えばカートリッジ又は再充填)が認可された製品であることを確認する(例えばタグによりマークされた商品が偽物と置換されていないことを確認する)。
【0005】
ホスト(マイクロコントローラ,離れたところのコンピュータ、又は他の適応電子システム)の機能は応用を制御すること、つまり、検出(例えばプリンタのブロック、又は非認証の場合のコーヒーマシンのブロック)につづく認証プログラム及び適切な動作である。これらの分野で、ホストは好ましくは自動販売機又はプリンタを具備するマイクロコントローラである。しかし、電話線又は専用線で異なる読取器と通信する離れたホストであってもよい。
【0006】
ホストと読取器の間の通信はアクセス可能な広く普及したプロトコルに基礎をおき、応用コントローラを有する同じホストの異なる読取器の使用を可能とする。しかし、このことは、特にホストが読取器から離れていると(同じ装置の中でわずかに離れているときでも)、セキュリティの点で問題が発生する。応用を正しく実行させるタグの認証の最終決定はホストによる。
【0007】
従来の認証システムは暗号アルゴリズムを使用して、特別の秘密キーにより電子タグを認証する。例えばDES型(Data Encryption Standard)のアルゴリズムが使用される。
【0008】
この暗号アルゴリズムの欠点は電子タグが高性能の計算手段、例えばマイクロプロセサを有する必要があることにある。この計算手段によるコストは、タグの寿命が短いので電子タグのコストを最少化しなければならない消費材や再充填に対するこの種のシステムの適応を困難にしている。
【0009】
【発明が解決しようとする課題】
認証対象の集積回路とその読取器の間で無線周波数伝送を行う特別の場合について以下に記述する。しかし、3つの異なる素子(認証対象の電子タグ、読取器及びホスト)を有し、読取器とホストの間の通信が、タグと読取器の間の通信とは異なる手段で実行されるような任意のシステムに一般に適用可能である。
【0010】
本発明の目的は、認証対象の装置と、該装置の読取器と、装置の認証に従って応用の実行を制御するホストとを有するシステムにおける電子装置の認証のための新規な方法とシステムを提供することにある。
【0011】
本発明は、特に、サイズとコストが小さく、マイクロプロセサの不要な電子タグに適応する解決を提供する。
【0012】
本発明はさらに読取器とホストの間の通信を侵入者からの保護のないリンクで実行して認証を可能とすることを目的とする。
【0013】
第1の側面によると、全ての電子タグは同じ型のタグのための同じ秘密キーを有する。
【0014】
第2の側面によると、本発明は秘密キーを各電子タグのレベルで個別化する。
【0015】
【課題を解決するための手段】
これらの目的を達成するための本発明の特徴は、
電子タグの認証を、読取器を介して該タグと通信するホストにより行う認証方法において、
タグの側で、第1のディジタル署名を、該タグと前記読取器で共有する少なくともひとつの第1関数(f)を使用して、該タグと前記読取器のみで知られる少なくともひとつの第1秘密キーを考慮して計算し、該第1の署名を前記読取器に送信し、
読取器の側で、第2のディジタル署名を、前記第1関数とは異なる読取器とホストで共有する少なくともひとつの第2関数(g)を使用して、前記第1署名を考慮して計算し、該第2署名を前記ホストに送信し、
ホストの側で、前記第2署名と、前記第2関数(g)と前記ホストと、前記タグ及び前記読取器から選択される単一の素子により共有される第2秘密キーから計算される確認値(VAL)との一致をチェックする認証方法にある。
【0016】
本発明の実施例によると、前記第2秘密キーは前記読取器と前記ホストのみで知られ、この第2キーは前記読取器により、前記ホストに送られる第2署名(SIGN)の計算で使用される。
【0017】
本発明の実施例によると、前記第2秘密キーは前記タグと前記ホストのみで知られ、前記ホストでの最初の使用のときに前記タグに保存される。
【0018】
本発明の実施例によると、前記読取器と前記ホストのみで知られる第3のキーを使用して、第2署名と確認値の計算をする。
【0019】
本発明の実施例によると、タグからホストに送るデータを抜き取り、該データを読取器を介してホストに送り、該データホスト側と読取器側に保存し、
ホストの側で、ランダム又は擬似ランダム数を発生して読取器を介してタグに送り、このランダム数をホストと読取器とタグに保存し、
タグの側で、前記数、前記データ及び前記第1秘密キーをオペランドとして前記第1関数(f)の適用により中間署名を計算し、
読取器の側で、前記数、前記データ及び前記第1秘密キーをオペランドとして前記第1関数(f)の適用により中間値を計算する。
【0020】
本発明の実施例によると、前記第2秘密キーは読取器とホストのみで知られ、該第2秘密キーは、読取器の側で、ホストに送られる第2署名の計算に用いられ、前記中間値は前記第1署名を形成し、読取器の側で、
前記第1署名と前記読取器で計算される前記中間値を比較し、
前記第2署名を、前記数、前記データ、前記第2秘密キー及び前記比較の結果を考慮して計算する。
【0021】
本発明の実施例によると前記第2署名の計算は、前記比較の結果に従って前記第2関数(g)又は第3関数(h)を使用する。
【0022】
本発明の実施例によると、前記第2署名の計算は、前記数、前記データ、前記第2秘密キー及び前記比較の結果をオペランドとして前記第2関数(g)を使用して計算する。
【0023】
本発明の実施例によると、電子タグの側で、前記中間署名と前記第2秘密キー(K2)のXOR型の第1の組合せを計算して、前記読取器(3)に送る前記第1署名を得、
読取器の側で、
受信した第1署名と前記中間値のXOR型の第2の組合せを計算し、
前記第2署名を、前記第2の組合せの結果と前記数(ALEA)と前記データとをオペランドとして前記第2関数(g)を適用して計算する。
【0024】
本発明の実施例によると、前記第2関数(g)は、読取器とホストに共通の擬似ランダム数の発生の関数である。
【0025】
本発明の実施例によると、前記擬似ランダム発生関数は、種として、前記データと前記数と、読取器の側ではXOR型の第2の組合せ、ホストの側では前記第2秘密キーを使用する。
【0026】
本発明の実施例によると、前記電子タグは電磁トランスポンダである。
【0027】
本発明は、又、集積回路と、第1秘密キーの保存と第1アルゴリズム関数を実行する手段とを有する電子タグを提供する。
【0028】
本発明は、又、電子タグ読取器を提供する。
【0029】
本発明の実施例によると、読取器は前記第2署名を提供することができる擬似ランダム発生器を有する。
【0030】
本発明はさらに電子タグの認証のためのマイクロコントローラを提供する。
【0031】
本発明の実施例によると、該マイクロコントローラは前記確認値を提供することができる擬似ランダム発生器を有する。
【0032】
【発明の実施の形態】
同じ素子と方法ステップは異なる図で同じ符号で示される。明瞭化のために、発明の理解に必要な方法ステップと素子のみが図示され記述される。特に、タグの集積回路と読取器の間の通信及び読取器とホストの間の通信の実際の伝送の実行については詳述はない。本発明は本発明で実行されるデータと情報を運ぶための伝送プロトコルにかかわらず適用することができる。
【0033】
図1は本発明をその第1の側面に従って適用するシステムのブロック図である。電子タグ1(TAG)は例えば電磁トランスポンダのファミリに属し、認証対象の製品(図示なし)に搭載される。電磁トランスポンダ型のタグの場合には、タグは無接触で無線で(無線周波数リンク2)、読取器3(READER)又は無線周波数カップラと通信することができる。該読取器の通常の機能は、電子タグが認証されたときに応用を実行するホスト4と電子タグ1の間の電子インターフェースとして使用されることである。読取器又はカップラ3は、ホスト4と、例えば、有線接続5により通信する。
【0034】
プリンタのインクカートリッジへの応用の例では、タグ1は集積回路チップで構成され、カートリッジに付着(例えば接着)又はインクカートリッジパッケージの中に含まれる。読取器3はプリンタを装着する無線周波数カップラで、ホスト4で形成されるマイクロプロセサと通信する。ホスト4は、例えば、プリンタ制御回路の中に含まれるか、又は、該プリンタが接続されるコンピュータの中に置かれる。
【0035】
カートリッジの認証は、プリンタに任意のカートリッジを受け入れさせる結果となる接続5への侵入を防止するために使用される。本発明によると、認証フェーズがタグ1と読取器3の間で設けられ、この認証はホスト4に伝送される。
【0036】
本発明によると、読取器3からホスト4への認証の伝送は図2で説明する安全な手続きで行われる。
【0037】
本発明を実施するために、図1と図2に示す第1の側面によると、電子タグ1と読取器3は両者で知られる秘密キーKSを具備するか又は集積化している。この第1の側面によると、読取器3はこの型のタグ1(例えばプリンタカートリッジ型)に専用である。
【0038】
図1に示すように、タグ1と読取器3は、図2で示すような、共通の暗号関数fを有する。
【0039】
読取器3とマイクロコントローラ4の各々は共通のキーK1と暗号関数gを有する。この実施例では読取器3はさらに非認証符号関数hを含む。
【0040】
本発明の特徴は、読取器3とホスト4の間の通信で、読取器3による認証が正か否かに従って、符号化又は暗号化関数を区別することにある。従って、認証が正であるときはホスト4へ、伝送し、認証がないときは何も伝送しないということ以上のものがある。常に何かが送信されるが、ホスト4は正の認証か否かを解釈する。
【0041】
図1で関数の相違(gとh)で示されるものは、図2で説明するように、同じ結果のデータを符号化する関数の区別、又は認証結果に従って2つの異なるデータを符号化する同じ関数として理解されるべきである。
【0042】
読取器3とホスト4の間の通信はタグ1と読取器3との間と通信と独立である。ホスト4は、読取器とタグが共有するキーKSとこれら2つの要素の間の通信で実施される暗号関数fの両方を無視する。
【0043】
図2は本発明の第1側面の実行モードのフローチャートである。図2でフローチャートの方法ステップは、実行がタグで行われるか、読取器で行われるか、ホストで行われるかに従って、3つの列に分かれる。
【0044】
本発明による認証方法の第1ステップ(ブロック10,GEN(DATA))は、電子タグ(TAG)により、認証のために伝送されるデータメッセージ(DATA)を発生する。メッセージDATAは、例えば、電子タグ(例えばインクカートリッジのシリアル番号、及び/又は型)を搭載する製品の識別子を含む。電子タグによるこの識別子の発生は、例えばそして通常、タグが読取器3のフィールドに入ったときにタグの供給によって行われる。電磁トランスポンダ型のタグの動作は完全に周知である。簡単には、タグの集積回路の供給により(又は読取器による特別の制御信号の受信)、リモートサプライキャリアのバック変調により、メッセージDATAの伝送が行われる。
【0045】
トランスポンダ型に適応するバック変調を有する読取器は、データを受け取ると、送信されたメッセージを保存する(ブロック11,MEM(DATA))。さらに、読取器はデータをホスト4に送り、ホスト4はそれを保存する(ブロック12,MEM(DATA))。
【0046】
上述の伝送は正当な認証を構成せず、電子タグの識別子のホスト(HOST)への伝送のみである。応用を実行させる前に、ホストはタグが認証製品に属することを確認しなければならない。従って、実際の認証手続きが始まる。
【0047】
本発明によると、ホストはランダム又は擬似ランダム数ALEAを発生し(ブロック13,GEN(ALEA))、保存して、読取器3に送る。読取器3は数ALEAを保存し(ブロック14,MEM(ALEA))、それを電子タグ1に送る。
【0048】
次に、タグ1の集積回路はアルゴリズム関数fと、オペランド変数ALEA,DATA,KSを使用して、第1の署名Stを計算する(ブロック15,St=f(ALEA,DATA,KS))。つまり、電子タグは署名Stを計算し、読取器3に送る。
【0049】
並行して(又はタグ1から署名Stを受信した後に)、読取器3は、同じアルゴリズム関数fを、データALEA,DATA,及び読取器が含むKSに適用して変数Srを計算する(ブロック16,Sr=f(ALEA,DATA,KS))。従って、タグ1と読取器3に共通の関数fとキーKSの関数が得られ、読取器によるタグの暗号化された認証が可能となる。
【0050】
次に読取器3は計算した変数Srと電子タグから送られた署名Stとの一致テストを行う(ブロック17,St=Sr?)。
【0051】
認証方法のこの段階で、本発明は認証結果(Y又はN)をクリアに(つまり見えるように)ホストに送っていない。本発明によると、認証が正であるか負であるかが暗号化される。
【0052】
図示の実施例では、読取器はテスト結果17に従って異なる第2の署名SIGNを計算する。テスト17がタグ1の認証を確認(Y)すると、アルゴリズム関数gを変数ALEA,DATA,及びK1に適用して署名SIGNを計算する(ブロック18,SIGN=g(ALEA,DATA,K1))。負の認証の場合には読取器3は関数hを同じ変数に適用して署名SIGNを計算する(ブロック19,SIGN=h(ALEA,DATA,K1))。
【0053】
このように計算された署名SIGNは次に認証を利用するホストに送られる。ホストは、署名SIGNの受信の前又は後に、関数gをホストが知っている変数ALEA,DATA,K1に適用して確認値VALを計算する。読取器とマイクロコントローラで知られる秘密キーK1と共通の関数gの機能がここで明らかとなる。
【0054】
ホストは読取器から受信した署名SIGNを自身で計算した確認値と比較する(ブロック21,SIGN=VAL?)。このテストの結果のY又はNが電子タグ1を認証するか否かとなる。
【0055】
次に、この結果が認証に続いて通常の手続きで利用される(ブロック22,AUTHENT)。これは本発明の目的ではない。
【0056】
本発明の長所は、読取器3での正の認証又は負の認証の暗号化により、侵入者がリンク5(図1)を介する通信を傍受する利益を妨げることにある。実際、認証が正であってもなくても、彼は全ての場合のメッセージを観察する。
【0057】
本発明の別の長所は読取器と電子タグの間での認証がホストと独立なこと、特に、認証結果を利用し応用を制御するマイクロコントローラ4から独立なことにある。
【0058】
伝送されるデータは上述の認証方法を実施できれば、任意の種類のものでもよい。例えば、データワードDATAはタグにリンクする固定データの部分と可変データの部分とから形成される。固定データ部分は、例えば、タグに固有の単一の数である。可変部分は、例えば、実行される応用の数をカウントする減算カウンタの結果である。この実施例は、正常な使用で、同じデータによる複数の認証が存在できないことを保証し、システムの信頼度を向上させる。
【0059】
ホストが発生するランダム数ALEAは、データを種として用いる擬似ランダム数としてもよい。例えば、この擬似ランダム数はデータの一部を種として用いてもよい。例えば、擬似ランダム発生器の出力の現在の状態の値をシステムのスイッチオフの時に保存して、この値を次の使用のための種として用いてもよい。しかし、理想的には、種はアナログ変数、例えば、抵抗の熱雑音から発生する。
【0060】
図3は本発明の第2の側面による、電子タグと読取器とホストを有するシステムのブロック図である。この図は図1と対応し、図1との相違のみを説明する。
【0061】
本発明の第2の側面によると、各電子タグ、従って識別対象の各製品に含まれるキーKSを個別化する。個別化のためには、例えばそして好ましくは、製品を最初に使用するときにキーを電子タグに書き込む必要がある。
【0062】
従って、図3の実施例では、電子タグ1と読取器3が、前述の実施例と同様にキーKSと関数fを共有する。前述の実施例との相違は、読取器3とホスト4が関数gのみを共有することである。さらにタグ1とホスト4は第2のキーK2を共有する。第2のキーK2はホスト4と関連して最初の使用のときに電子タグに書き込まれる。
【0063】
プリンタカートリッジへの応用の例では、新しいカートリッジを所定のプリンタに装着すると、マイクロコントローラがこのプリンタに関連して、ランダムに発生するキーK2をカートリッジの電子タグに提供して、この電子タグに保存される。
【0064】
この電子タグの各回における認証では、図2で説明した方法のステップ15の電子タグ側での中間署名Stの計算までが行われる。
【0065】
図4は本発明の第2側面による認証方法の残りの部分を示す。タグ1の側で(TAG)、初期データは中間署名St(St=f(ALEA,DATA,KS))を形成している。読取器3に関しては対応する中間値Sr(Sr=f(ALEA,DATA,KS))を計算している。
【0066】
この第2の実施例によると、電子タグは、中間署名StとキーK2のXOR型組合せに対応する第1署名Sttを計算する。
【0067】
【数1】
【0068】
キーK2で暗号化された署名Sttは読取器3に送られる。読取器3の側では、第1署名Sttと前に計算されている中間値SrのXOR型組合せを計算する。
【0069】
【数2】
【0070】
タグが認証されれば(つまり、タグが正しいキーKSとK2及び正しい関数fを含んでいれば)、組合せSrtはキーK2に等しい(St=Sr)。読取器3は関数gにオペランドALEA,DATA,Srtを適用して、組合せSrtを使用して第2の署名SIGNを計算する(ブロック32,SIGN=g(ALEA,DATA,Srt))。署名SIGNはホスト4に送られる。
【0071】
第1の実施例との別の相違点は読取器が負の認証関数を具備しないことである(関数h,図1及び図2)。認証と非認証との区別は、この実施例では、関数gの適用で変数Srtを考慮することから得られる。図4の実施例で必要なこの変更は、図2の実施例でも、関数gのオペランドとしてブロック17のテストの正又は負の結果を使用することにより実施できる。
【0072】
図4の実施例に戻って、ホストは電子タグ1の認証を、読取器3から受信した署名SIGNを、関数gに変数ALEA,DATA,K2を適用して計算した(ブロック33,VAL=g(ALEA,DATA,K2))確認値VALと比較して(ブロック21,SIGN=VAL?)チェックする。値SIGNとVALが同じならば、電子タグが読取器3の関数fばかりでなく、ホスト4がタグ1の最初の使用の時に書き込んだキーK2をも持っていることを意味する。逆の場合には、ホスト4は認証手続きを実行しない。
【0073】
この実施例の長所は、電子タグ1の側に、製造時にはキーK2を保存する必要がないことである。このことは、認証対象の製品を所定の装置による最初の使用の時に個別化することを可能とする。
【0074】
この実施例の別の長所は、関数gが破られたとき、つまり事前の注意にもかかわらず侵入者に発見されてしまったとき、キーK2が別の装置では未知であるので、電子タグ1を搭載する製品は、別の装置(特に別のマイクロコントローラ4)で使用可能なことにある。
【0075】
本発明の第2の側面を実施する際の制限は、組合せ関数の中でのXOR型関数の使用にある(ブロック30,31)。
【0076】
もちろん、図1及び図2の実施例と、図3及び図4の実施例とを組み合わせることは可能である。この場合、変数SIGN(ブロック32,図4)とVAL(ブロック33,図4)は、読取器とホストのみに知られるキーK1の関数となり、このキーは第3のキーと考えることができる。
【0077】
図5は、読取器とホストの間で関数(g)を符号化つまり暗号化する、好ましい実施例を示す。図5は図1及び図3と比較され、電子タグ1、読取器3及びホスト4のブロックをあわらす。
【0078】
この実施例によると読取器3とホスト4の各々は擬似ランダム発生器(PSEUDO RAND GEN)40、40’を関数gに対応して有する。2つの発生器40、40’は同じで、同じ種に対して、両者は同じ出力値を提供する。つまり2つのブロック40、40’の擬似ランダム発生の機能は同じである。
【0079】
本発明によると、発生器40、40’は、各々、読取器3の側とホスト4の側で、変数SIGNとVAL、つまり、ホストが読取器で実行される認証を確認することを可能とする値を提供する。
【0080】
各擬似ランダム発生器では、認証方法で使用する異なる変数の関数である種(β,ブロック41及び41’)が使用される。
【0081】
本発明によると、読取器3の側で、種βは変数DATA,ALEA,Srt(又は図2の実施例では変数Sr)を考慮する。ホスト4の側で、種β’は変数DATA,ALEA,K2(又は図2の実施例では変数K1)を考慮する。種βとβ’は、例えば、考慮される変数の連結又はより複雑な関数によって得られる。
【0082】
本発明によると、従って、2つの擬似ランダム発生器40と40’は認証が正しければ同じ種で初期化される。
【0083】
図4の実施例で、値Srtは、負の認証の場合には、K2とは異なる。
【0084】
図2の実施例で、読取器3で実施される認証(テスト17)が正しくないと、発生器40は初期化発生器40’とは異なる変数で初期化される。この目的のために、テスト17の2値の結果(0又は1)が種βに貢献する。ホストの側で正しい認証をあらわすために選択される値(例えば1)は種β’に貢献する。認証が正でも負でも読取器3の関数gは同じである。
【0085】
このことは、全ての場合に、読取器とホストの間で正の認証と負の認証の両方を伝送することにより、認証を効果的にマスクすることを可能にする。
【0086】
図5の実施例の長所は、簡単で安価で実施でき、侵入者に対する最適のセキュリティを提供することである。
【0087】
認証の頻度は応用毎に異なる。例えば、プリンタに対しては、各使用毎に(各プリンタ毎に)、各スタート毎に(スイッチオン)、カートリッジ交換の各検出毎に、及び/又は周期的に、認証が行われる。飲物の機械に対しては、従来の方法で検出される製品の充填の後認証が実行される。
【0088】
もちろん、本発明は当業者に容易な種々の変更、修飾、改良が可能である。特に、擬似ランダム発生関数、より一般的には異なる装置で実行されるアルゴリズム関数の選択は、上述の機能的記述、応用、及び利用可能な従来のアルゴリズム及び発生関数に基づいて当業者に容易である。さらに、使用されるデジタル変数の大きさ(ビット数)は、所望のセキュリティに従って、通常のとおり選択される。
【0089】
さらに、認証結果の利用は、応用に従って、任意である。
【0090】
さらに、読取器3及びホスト4の側で、認証プロセスは、マイクロコントローラのソフトウェア又はワイヤード論理により実行することができる。しかし、タグ1の側では、マイクロコントローラによるソフトウェアによる実施を除外しないが、好ましくは、本発明は安価なタグのワイヤード論理に適用される。
【0091】
最後に、本発明の実施のために集積回路を有する電子タグは認証対象の製品に付加される素子(例えば詰め替え)、又はその中に含まれる(例えば製品のパッケージに含まれる)素子とすることができる。
【0092】
上述の変更、修飾、改良は本開示の一部であり、本発明の範囲内である。従って、上述の記述は実施例であり、限定を意図しない。本発明は請求の範囲とその均等によってのみ限定される。
【図面の簡単な説明】
【図1】本発明の第1の側面による、電子タグを使用するシステムのブロック図である。
【図2】本発明の第1の側面による、実施例のフローチャートである。
【図3】本発明の第2の側面による、電子タグを使用するシステムのブロック図である。
【図4】本発明の第2の側面による、実施例のフローチャートの一部である。
【図5】本発明により好ましい認証機能を実現するシステムの実施例のブロック図である。
【符号の説明】
1 タグ
3 読取器
4 ホスト
【特許請求の範囲】
【請求項1】
電子タグ(1)の認証を、読取器(3)を介して該タグと通信するホスト(4)により行う認証方法において、
タグ(1)の側で、第1のディジタル署名(St,Stt)を、該タグと前記読取器で共有する少なくともひとつの第1関数(f)を使用して、該タグと前記読取器のみで知られる少なくともひとつの第1秘密キー(KS)を考慮して計算し、該第1の署名を前記読取器に送信し、
読取器(3)の側で、第2のディジタル署名(SIGN)を、前記第1関数とは異なる読取器とホストで共有する少なくともひとつの第2関数(g)を使用して、前記署名を考慮して計算し、該第2署名を前記ホストに送信し、
ホスト(4)の側で、前記第2署名と、前記第2関数(g)と前記ホストと、前記タグ及び前記読取器から選択される単一の素子により共有される第2秘密キー(K1,K2)から計算される確認値(VAL)との一致をチェックすることを特徴とする認証方法。
【請求項2】
前記第2秘密キー(K1)は前記読取器(3)と前記ホスト(4)のみで知られ、この第2キーは前記読取器により、前記ホストに送られる第2署名(SIGN)の計算で使用される請求項1記載の認証方法。
【請求項3】
前記第2秘密キー(K2)は前記タグ(1)と前記ホスト(4)のみで知られ、前記ホストでの最初の使用のときに前記タグに保存される、請求項1記載の認証方法。
【請求項4】
前記読取器(3)と前記ホスト(4)のみで知られる第3のキー(K1)を使用して、第2署名(SIGN)と確認値(VAL)の計算をする、請求項3記載の認証方法。
【請求項5】
タグ(1)からホスト(4)に送るデータ(DATA)を抜き取り、該データを読取器(3)を介してホスト(4)に送り、該データホスト側と読取器側に保存し、
ホスト(4)の側で、ランダム又は擬似ランダム数(ALEA)を発生して読取器を介してタグ(1)に送り、このランダム数(ALEA)をホストと読取器とタグに保存し、
タグ(1)の側で、前記数(ALEA)、前記データ(DATA)及び前記第1秘密キー(KS)をオペランドとして前記第1関数(f)の適用により中間署名(St)を計算し、
読取器(3)の側で、前記数(ALEA)、前記データ(DATA)及び前記第1秘密キー(KS)をオペランドとして前記第1関数(f)の適用により中間値(Sr)を計算する、請求項1記載の認証方法。
【請求項6】
前記第2秘密キー(K1)は読取器(3)とホスト(4)のみで知られ、該第2秘密キーは、読取器の側で、ホストに送られる第2署名(SIGN)の計算に用いられ、前記中間値は前記第1署名(St)を形成し、読取器(3)の側で、
前記第1署名(St)と前記読取器で計算される前記中間値(Sr)を比較し、
前記第2署名(SIGN)を、前記数(ALEA)、前記データ(DATA)、前記第2秘密キー(K1)及び前記比較の結果を考慮して計算する、請求項5記載の認証方法。
【請求項7】
前記第2署名(SIGN)の計算は、前記比較の結果に従って前記第2関数(g)又は第3関数(h)を使用する、請求項6記載の認証方法。
【請求項8】
前記第2署名(SIGN)の計算は、前記数(ALEA)、前記データ(DATA)、前記第2秘密キー(K1)及び前記比較の結果をオペランドとして前記第2関数(g)を使用して計算する、請求項6記載の認証方法。
【請求項9】
前記第2秘密キー(K2)は電子タグ(1)とホスト(4)のみで知られ、ホストでの最初の使用のときにタグに保存され、
電子タグ(1)の側で、前記中間署名(St)と前記第2秘密キー(K2)のXOR型の第1の組合せ(30)を計算して、前記読取器(3)に送る前記第1署名(Stt)を得、
読取器(3)の側で、
受信した第1署名(Stt)と前記中間値(Sr)のXOR型の第2の組合せ(31)を計算し、
前記第2署名(SIGN)を、前記第2の組合せの結果と前記数(ALEA)と前記データ(DATA)とをオペランドとして前記第2関数(g)を適用して計算する、請求項5記載の認証方法。
【請求項10】
前記第2関数(g)は、読取器(3)とホスト(4)に共通の擬似ランダム数の発生の関数である、請求項9記載の認証方法。
【請求項11】
前記擬似ランダム発生関数は、種(β,β’)として、前記データ(DATA)と前記数(ALEA)と、読取器の側ではXOR型の第2の組合せ(Srt)、ホストの側では前記第2秘密キー(K2)を使用する、請求項10記載の認証方法。
【請求項12】
前記電子タグは電磁トランスポンダである、請求項1記載の認証方法。
【請求項13】
集積回路と第1秘密キー(KS)の保存と第1アルゴリズム関数の実行のための手段とを有する電子タグ(1)。
【請求項14】
請求項1の方法を実行するための手段を有する、電子タグ(1)の読取器(3)。
【請求項15】
請求項1の方法を実行することができる手段を有する、電子タグ(1)の認証のためのマイクロプロセサ(4)。
【請求項1】
電子タグ(1)の認証を、読取器(3)を介して該タグと通信するホスト(4)により行う認証方法において、
タグ(1)の側で、第1のディジタル署名(St,Stt)を、該タグと前記読取器で共有する少なくともひとつの第1関数(f)を使用して、該タグと前記読取器のみで知られる少なくともひとつの第1秘密キー(KS)を考慮して計算し、該第1の署名を前記読取器に送信し、
読取器(3)の側で、第2のディジタル署名(SIGN)を、前記第1関数とは異なる読取器とホストで共有する少なくともひとつの第2関数(g)を使用して、前記署名を考慮して計算し、該第2署名を前記ホストに送信し、
ホスト(4)の側で、前記第2署名と、前記第2関数(g)と前記ホストと、前記タグ及び前記読取器から選択される単一の素子により共有される第2秘密キー(K1,K2)から計算される確認値(VAL)との一致をチェックすることを特徴とする認証方法。
【請求項2】
前記第2秘密キー(K1)は前記読取器(3)と前記ホスト(4)のみで知られ、この第2キーは前記読取器により、前記ホストに送られる第2署名(SIGN)の計算で使用される請求項1記載の認証方法。
【請求項3】
前記第2秘密キー(K2)は前記タグ(1)と前記ホスト(4)のみで知られ、前記ホストでの最初の使用のときに前記タグに保存される、請求項1記載の認証方法。
【請求項4】
前記読取器(3)と前記ホスト(4)のみで知られる第3のキー(K1)を使用して、第2署名(SIGN)と確認値(VAL)の計算をする、請求項3記載の認証方法。
【請求項5】
タグ(1)からホスト(4)に送るデータ(DATA)を抜き取り、該データを読取器(3)を介してホスト(4)に送り、該データホスト側と読取器側に保存し、
ホスト(4)の側で、ランダム又は擬似ランダム数(ALEA)を発生して読取器を介してタグ(1)に送り、このランダム数(ALEA)をホストと読取器とタグに保存し、
タグ(1)の側で、前記数(ALEA)、前記データ(DATA)及び前記第1秘密キー(KS)をオペランドとして前記第1関数(f)の適用により中間署名(St)を計算し、
読取器(3)の側で、前記数(ALEA)、前記データ(DATA)及び前記第1秘密キー(KS)をオペランドとして前記第1関数(f)の適用により中間値(Sr)を計算する、請求項1記載の認証方法。
【請求項6】
前記第2秘密キー(K1)は読取器(3)とホスト(4)のみで知られ、該第2秘密キーは、読取器の側で、ホストに送られる第2署名(SIGN)の計算に用いられ、前記中間値は前記第1署名(St)を形成し、読取器(3)の側で、
前記第1署名(St)と前記読取器で計算される前記中間値(Sr)を比較し、
前記第2署名(SIGN)を、前記数(ALEA)、前記データ(DATA)、前記第2秘密キー(K1)及び前記比較の結果を考慮して計算する、請求項5記載の認証方法。
【請求項7】
前記第2署名(SIGN)の計算は、前記比較の結果に従って前記第2関数(g)又は第3関数(h)を使用する、請求項6記載の認証方法。
【請求項8】
前記第2署名(SIGN)の計算は、前記数(ALEA)、前記データ(DATA)、前記第2秘密キー(K1)及び前記比較の結果をオペランドとして前記第2関数(g)を使用して計算する、請求項6記載の認証方法。
【請求項9】
前記第2秘密キー(K2)は電子タグ(1)とホスト(4)のみで知られ、ホストでの最初の使用のときにタグに保存され、
電子タグ(1)の側で、前記中間署名(St)と前記第2秘密キー(K2)のXOR型の第1の組合せ(30)を計算して、前記読取器(3)に送る前記第1署名(Stt)を得、
読取器(3)の側で、
受信した第1署名(Stt)と前記中間値(Sr)のXOR型の第2の組合せ(31)を計算し、
前記第2署名(SIGN)を、前記第2の組合せの結果と前記数(ALEA)と前記データ(DATA)とをオペランドとして前記第2関数(g)を適用して計算する、請求項5記載の認証方法。
【請求項10】
前記第2関数(g)は、読取器(3)とホスト(4)に共通の擬似ランダム数の発生の関数である、請求項9記載の認証方法。
【請求項11】
前記擬似ランダム発生関数は、種(β,β’)として、前記データ(DATA)と前記数(ALEA)と、読取器の側ではXOR型の第2の組合せ(Srt)、ホストの側では前記第2秘密キー(K2)を使用する、請求項10記載の認証方法。
【請求項12】
前記電子タグは電磁トランスポンダである、請求項1記載の認証方法。
【請求項13】
集積回路と第1秘密キー(KS)の保存と第1アルゴリズム関数の実行のための手段とを有する電子タグ(1)。
【請求項14】
請求項1の方法を実行するための手段を有する、電子タグ(1)の読取器(3)。
【請求項15】
請求項1の方法を実行することができる手段を有する、電子タグ(1)の認証のためのマイクロプロセサ(4)。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2004−166208(P2004−166208A)
【公開日】平成16年6月10日(2004.6.10)
【国際特許分類】
【外国語出願】
【出願番号】特願2003−169324(P2003−169324)
【出願日】平成15年6月13日(2003.6.13)
【出願人】(591035139)エステーミクロエレクトロニクス ソシエテ アノニム (31)
【Fターム(参考)】
【公開日】平成16年6月10日(2004.6.10)
【国際特許分類】
【出願番号】特願2003−169324(P2003−169324)
【出願日】平成15年6月13日(2003.6.13)
【出願人】(591035139)エステーミクロエレクトロニクス ソシエテ アノニム (31)
【Fターム(参考)】
[ Back to top ]