ITSOFVC2アプリケーションモニタ
この発明は、オンデバイスファイルシステムが少なくとも1つのオフデバイスITSOアプリケーションとインターフェースすることを可能にする、ファイルシステムとオペレーティングソフトウェアを運ぶITSOスキームにおける使用のための、プログラム可能スマートカードを有するITSOベースのスマートカードシステムを提供する。
インターフェースで、オフデバイスITSOアプリケーションはオンデバイスファイルシステムにおけるデータをアクセスおよび/または変更することを許可される。プログラム可能スマートカードデバイスは、オンデバイスファイルにおけるデータをアクセスおよび/または変更する際に、オフラインアプリケーションによって実行される一連の操作をモニタし、そして一連の操作が所定の基準を満たさない場合、データへの更なるアクセスまたは変更を制限または防止することを操作可能なモニタリング手段を有する。モニタリング手段は多数の状態のうち1つにセットされることが可能なステートエンジンを好ましくは有し、少なくともそのうち1つは誤り状態であり、誤り状態においては一連の操作が再スタートされるまで、いくつかのまたは全てのオンデバイスファイルにおけるデータへの更なる変更が防止される。システムはまた、インターフェースデバイスとスマートカードデバイスの相互結合が、インターフェースデバイスに、プログラム可能スマートカードデバイスによって運ばれるデータをアクセスおよび/または変更するために実行される一連の操作の間、データおよび/またはコマンドの暗号化/または復号化において使用されるセッションキーを生成させるものでも良い。前記プログラム可能スマートカードデバイス上のデータを変更するための一連の操作の完了は、インターフェースデバイスに、新しいセッションを開き、第2のセッションキーを生成し、要求されたデータが前記意図された一連の操作に従って変更されていたことを検査するために前記第2のセッションキー使用することが好ましい。この発明はこのように不正に対するより良い保護と共にITSOベースのシステムを提供することを可能にする。
インターフェースで、オフデバイスITSOアプリケーションはオンデバイスファイルシステムにおけるデータをアクセスおよび/または変更することを許可される。プログラム可能スマートカードデバイスは、オンデバイスファイルにおけるデータをアクセスおよび/または変更する際に、オフラインアプリケーションによって実行される一連の操作をモニタし、そして一連の操作が所定の基準を満たさない場合、データへの更なるアクセスまたは変更を制限または防止することを操作可能なモニタリング手段を有する。モニタリング手段は多数の状態のうち1つにセットされることが可能なステートエンジンを好ましくは有し、少なくともそのうち1つは誤り状態であり、誤り状態においては一連の操作が再スタートされるまで、いくつかのまたは全てのオンデバイスファイルにおけるデータへの更なる変更が防止される。システムはまた、インターフェースデバイスとスマートカードデバイスの相互結合が、インターフェースデバイスに、プログラム可能スマートカードデバイスによって運ばれるデータをアクセスおよび/または変更するために実行される一連の操作の間、データおよび/またはコマンドの暗号化/または復号化において使用されるセッションキーを生成させるものでも良い。前記プログラム可能スマートカードデバイス上のデータを変更するための一連の操作の完了は、インターフェースデバイスに、新しいセッションを開き、第2のセッションキーを生成し、要求されたデータが前記意図された一連の操作に従って変更されていたことを検査するために前記第2のセッションキー使用することが好ましい。この発明はこのように不正に対するより良い保護と共にITSOベースのシステムを提供することを可能にする。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は既存のITSO技術、すなわちイギリス政府によって発展させられた相互運用チケッティング・スマートカード編成(Interoperable TicketingSmartcard Organization)標準で提案され、欧州規格EN1545として受け入れられ、現在利用可能かまたは将来利用可能になる任意のバージョン、特に顧客カスタマ・メディア定義―ITSO part 10、CD10 ITSO
【0002】
TS1000−10 2003−11における電子チケッティングスキームに対する改良に関する。以下の説明から分かるように、用語「チケッティングスキーム」とは、伝統的輸送チケッティング操作だけでなく、チケット、トークン、引換券、または処方箋が商品またはサービスの提供に対する引き換えとして有効である任意の安全なスキームを包含する。特に、この発明はITSOスキームにおける使用のため、かつオフデバイスアプリケーションにオンデバイスファイルシステムにおけるデータへアクセス及び/または変更を許可するために、オンデバイスファイルシステムを少なくとも1つのオフデバイスITSOアプリケーションとインターフェースすることを可能にするファイルシステムおよびオペレーティングソフトウェアを運ぶプログラム可能スマートカードデバイスに関係している。
【背景技術】
【0003】
既存のITSOスキームは、使用されるカードは単に単純なメモリーカードであることに基づき動作する。このことは、「ポイントオブサービス端末機」(「POST」)は、適切なパスワードを提供する要求以外に、何らのチェックまたは制限なしに任意の命令によって自由にカードを読み取り及び書き込みできることを意味する。ITSO仕様はマイクロプロセッサカード(「スマートカード」)の利用も提供するが、これらはメモリーカードとほとんど同じ方法で、POSTと相互動作しなければならない、すなわち、それらはメモリーカードをエミュレートするために構成されなければならない。メモリーカードにおけるセクタの代わりに、スマートカードベースのシステムは、スマートカード上のファイルを利用するが、構造およびリード/ライトのアクセス制限は同様である。
【0004】
ITSOスキームは、例えば幾つかの種類のサービス、または幾つかの他の価格の商品へのアクセスを表すデータ上に暗号で生成されたシールを使用する。データの保全性は、POSTにおいてセキュアアクセスモジュール;Secure Access Module(「SAM」)により全処理を行わせると共に、これらシールによって保護されている。
【0005】
既存のスキーム下では、ITSO値プロダクトは、ITSO POSTによって増加または減少させられるバランスを保持する「電子財布」として使用できる。これは固定データグループ(FRDG)と、そして通常、一方は現在のバランスを保持し、他方は以前のバランスのコピーを保持する2つの値のデータグループ(VRDGs)として実装される。ITSOの仕様はMifare Classicのようなより低機能のメモリーカード型に適応しているので、早まってPOSTからカードが取り除かれるためにトランザクションが中断したときに起こるようなメモリ管理タスクをPOSTは直接関係しければならない。このシナリオは、「アンチティア」として産業上知られている。
【0006】
2つのVRDGは、VRDGの更新中にカードが「引き離され(ティアされ)」るならば少なくとも1つのVRDGのコピーはエラーがないことを保証するためにアンチティア目的のために使用される。正常操作において、IPE(「ITSOプロダクトエンティティ;ITSO Product Entity」―顧客メディアまたはスマートカード上に設定される「チケット」データのためのITSO用語)バランスが変更されるとき、1つのVRDGは現在のバランスのコピーを、そして他方は以前のバランスのコピーを含むために、POSTはVRDGを交互に更新する。アンチティア保護のためにシェルディレクトリの2つの入り口がある。「シェル」はいくつかのIPEのものを含む「チケット財布」に相当するITSOデータ構造である。現在の入り口は現在のVRDGを指し、以前の入り口は以前のバランスのコピーを備えたVRDGを指す。
【0007】
上述の標準によって提案されている既存のFVC2セキュアメッセージングスキームは、顧客メディア(スマートカード)とISAM(ITSOセキュアアプリケーションモジュール;ITSO Secure Application Module―POST中に挿入された信用コンピュータ)との間の相互認証をサポートしてセッションキーを生成する。セッションキーはスマートカードから読み取られるデータ及びスマートカードへ更新されるデータ上に、メッセージ認証証明(Message Authentication Certificate(「MAC」)(暗号で保護された1組のデータのハッシュであり、MACがそのデータの完全性を保証する)を作成するために使用される。
セッションキーはセッションの進行の間は変化しない。スマートカードまたは顧客メディアREADコマンドのため、スマートカード(顧客メディア)は、顧客メディアによって戻されるデータを通してMACを計算し、そしてISAMによって検査される。FVC2顧客メディア内のファイルの選択および読み取りには、セキュリティ状態はない。
【0008】
FVC2顧客メディアのUPDATEコマンドのため、内部で顧客メディアファイルが更新される前に、MACはISAMによってのみコマンドのデータを通して計算され、顧客メディアによって検査される。UPDATEコマンドデータに適用されるセキュアメッセージングに加えて、各ファイルはUPDATEコマンドが完了する前に顧客メディアに送られなければならない一意のパスワードを持つ。パスワードは静的であるので、同じパスワードが各セッションにおいて適用される。
【0009】
このスキームは、POSTにデータがいつ顧客メディア(スマートカード)から読み取られたのかを決定することを許可するが、しかし正しいファイルから読み取られたか否かを決定することはできない。新しいセッションの開始によって、そして従って新しいセッションキーが生成されることによってPOSTは顧客メディアへの更新が成功したか否かを決定することができるが、それが正しいファイルであったかを検査することはできない。
【0010】
既存のFVC2顧客メディアインターフェースにおいて、MACが正しいことを検査する以外、顧客メディア(スマートカード)はデータが正しく書き込まれたこと、または正しい更新のシーケンスが発生していたことをテストしない。
【0011】
先の段落で説明された既存のFVC2スキームにおいて、セキュアメッセージングを備えても備え無くても、アタッカーは顧客メディア(スマートカード)からデータを読み取り、そして異なるファイルの顧客メディアにそれを書き戻し、そしてそのように異なるファイルを選択することによってデータが書き込まれるファイルをPOSTにより変更することが可能である。これら脆弱性につけこむことによって、アタッカーはIPEプロダクトの複数のコピーを作成でき、またはPOSTによってプロダクトの更新検査で読み取られるために、顧客メディアの異なるファイルへ更新されたプロダクトをコピーすることができる。
【0012】
これら攻撃はPOSTがVRDG上のバランスを減分することを試みた場合に、VRDGの変更を停止するためにITSOアプリケーションの範囲内で使用される可能性があり、すなわちアタッカーは、顧客メディア上に更新されたVRDGが書き込まれた場合に位置を変化させ、POSTがデータを読み戻すときにこのデータを戻していた。たとえPOSTが新しいセッションキーを生成するために新しいセッションを開始しても、読み取られたデータが正しいファイルに記憶されたことを決定することはできない。同様に、攻撃は、次回のCMの使用時にPOSTに以前のVRDGのコピーを使用させる、更新されたVRDGを指すITSOディレクトリへの更新を停止するためにも使用され得る。これは「リプレイアタック」の一形態として知られ、「底無し財布」となる。
【発明の開示】
【発明が解決しようとする課題】
【0013】
このように既存のITSO仕様の現在のマイクロプロセッサバージョン(FCV2)は、POSTとカード間のトランザクションのステップを再シーケンスすることを含む攻撃に対してスマートカードを保護していない。
【課題を解決するための手段】
【0014】
この発明に従い、上述されたプログラム可能スマートカードデバイスは、オンデバイスファイルにおけるデータをアクセスおよび/または変更する際にオフラインアプリケーションによって実行される一連の操作をモニタし、及び一連の操作が所定の基準を満たさない場合、このようなデータへの更なるアクセスまたは変更を制限または予防するように操作可能なモニタリング手段を含むことに特徴付けられる。モニタリング手段は、複数のステートのうち1つ、少なくともそのうち1つはエラーステートである、に設定されることができるステートエンジンを含むことが好ましく、そのステートにおいては、一連の操作が再スタートされるまでいくつかのまたは全てのオンデバイスファイルにおける前記データへの更なる変更が防止される。
【0015】
この発明はまた、前記オフデバイスITSOアプリケーションが前記オンデバイスファイルシステムにおけるデータをアクセスおよび/または変更することを許可するために、インターフェースデバイスで少なくとも1つのオフデバイスアプリケーションとインターフェースすることをオンデバイスファイルシステムに可能にするファイルシステムとオペレーティングソフトウェアを有する少なくとも1つのプログラム可能なスマートカードデバイスを有するITSOスマートカードスキームを提供できる。;前記システムは、
前記インターフェースデバイスと前記スマートカードデバイスの相互結合が、前記インターフェースデバイスに、前記プログラム可能スマートカードデバイスによって運ばれるデータをアクセスおよび/または変更するために実行される一連の操作の間、データおよび/またはコマンドの暗号化および/または復号化において使用されるセッションキーを生成させる。スキームは、
前記プログラム可能スマートカードデバイス上のデータを変更するための一連の操作の完了が、前記インターフェースデバイスに、新しいセッションを開き、第2のセッションキーを生成し、要求されたデータが意図された一連の操作に従って変更されていたことを検査するために前記第2のセッションキー使用することによって特徴付けられる。
【0016】
顧客メディアに書き込まれたデータが正しい内容と宛先を持つことを保証するために、FVC2顧客メディア(スマートカード)への更新をモニタリングすることによって、この発明の好ましい実施形態に従い、上述のITSOスキームのセキュリティへの脅威は除去できる。FVC2顧客メディアは、正しいパスワードとMACが与えられた場合にデータがいずれかのファイルに書き込まれることを単に許容するというよりむしろ、詳しく上述した攻撃を予防するルールを処理する動作を関連ITSOアプリケーションに強制する。
このように、この発明は公共的に普及可能な電子財布として使用されるのに十分安全であるように増強されたITSO互換カード及び端末の実装を可能にする。
【発明を実施するための最良の形態】
【0017】
この発明の実施形態は、この発明が実施されることができる手段よるステートマシンを表す概要ダイアグラムの図参照して、例示の方法によって詳細に説明される。
この発明はITSO値プロダクトの変更にのみ関係する。それは、顧客メディア定義―ITSOパート10、CD10 ITSO TS1000−10 2003−11において規定されている処理規則を基礎としている。この発明においてFVC2顧客メディアは、例えばスマートカードまたはそれに類するものであるが、以下の処理及びデータモニタリングチェックを通常処理の間に実現する。
【0018】
状態1
状態1内で、FVC2顧客メディアは入力更新コマンドをモニタし、もし以下のテストのいずれかが失敗したならば誤りへ状態を変化するであろう。
・ IPE内のVRDGデータグループのうちの1つの唯一の更新が発生することをテスト。これは、アタッカーが複数の更新を作成できない、すなわちVRDGのオリジナルの内容を復元することを保証するであろう。IPEはディレクトリセクタチェーンテーブルまたは所有権を主張できるファイルにおいて存在しない、そこで顧客メディアによってモニタされないであろうから、両方のVRDGが顧客メディアに書き込まれた場合にIPEの作成に、これは影響を与えない。
・ VRDGのISAM ID及びISAMS#を検査することにより、更新されたVRDGが同じIPEプロダクトであることをテスト。これはVRDGが別のIPEプロダクトのための別のVRDGによって上書きされていないことを保証するためである。
・ 更新されたVRDGがIPE固定データグループ(FRDG)によって上書きされていないことをテスト。
・ VRDG更新のオフセットが0x0000であることをテスト。
・ 更新されたVRDGにおける最高値シーケンス番号(TS#)が他のVRDGにおける最高TS#+1と等しいことをテスト。この規則は正常動作及びアンチティア状況からの回復にとっては正しい。それは以前のVRDGのコピーが復元されていないことを保証し、VRDGが他のVRDGのコピーを使用して上書きされていないことを保証するであろう。
・ VRDGが記憶されるべきでない場合、VRDGと共に他のファイルが更新されていないことをテスト。これは、どのファイルがVRDGまたは所有権を主張できるファイルから読み取られたデータまたは顧客メディア上のVRDGの位置を特定する要素を持つべきなのかを決定するための、ディレクトリセクタチェーンテーブルを翻訳することによって達成できる。これはアタッカーが検査テストをパスするために、一時的なVRDGのコピーを作成できないことを保証する。
・ 更新されたディレクトリはディレクトリのコピーのために予約された顧客メディア上の最後の2つのファイルのうち1つにのみ書き込まれることをテスト。これはアタッカーが検査テストをパスするために一時的なディレクトリのコピーを作成できないことを保証する。
・ 予約されたディレクトリファイルにおいて、ディレクトリのコピーのみが更新されていることをテスト。これはアタッカーがIPEデータグループでディレクトリを破損できないことを保証する。
【0019】
状態2
ITSOスキームの正常処理範囲内で、唯一のディレクトリの更新が実行される。ディレクトリの更新は内部のFVC2顧客メディアステートを2に変更する。状態2内で、FVC2はいかなるの他のコマンドにも成功して実行されることを許容しないであろう。
【0020】
誤り状態
誤り状態内で、顧客メディアがリセットされるまで、FVC2顧客メディアは、顧客メディアへのいかなる更なる更新も許可しないであろう。
【0021】
さらに、既存のITSO FVC2セキュアメッセージングスキームにおいて、FVC2顧客メディアに書き込まれることを要求されたデータが実際に顧客メディアにおいて更新されたことをPOSTが確認することは、更新動作への応答はFVC2顧客メディアからのいかなるセキュアメッセージング検査データも含んでいないので、不可能である。更新操作への応答はアタッカーが生成できかつPOSTへ戻すことのできるステータスバイトを含むのみである。さらにPOSTは、FVC2顧客メディアへ送られた更新コマンドが正しいファイルへ送られたか、または意図したファイルにおいて異なるオフセットを更新するために変更されたかを決定できない。既存のFVC2セキュアメッセージングスキームにおいて、アタッカーは値の減分を示しているファイルへの更新を停止し、セッションの開始時にファイルの以前の内容でファイルを更新すること、またはFVC2顧客メディア上の正しいファイルにおいて誤った位置へデータを書き込むことによってファイルを汚染することができた。後者の場合、アタッカーはITSOプロダクトのコピーを汚染し、ITSOアンチティアスキームの正常操作の一部として、ITSOアプリケーションをFVC2顧客メディア上のITSOプロダクトのより古いコピーへ復旧させている。
【0022】
UPDATEコマンド後のデータを読み戻すことによって、POSTはデータがFVC2顧客メディアから読み取られたことの検査をするために、ISAMを使用することができる。しかしながらREADとUPDATEコマンドの両方はコマンドデータ上のMACを計算するだけであるため、同じオフセットの読み取りから戻るMACは対応するUPDATEコマンドの範囲内に含まれる同じMACであり、そのためPOSTはデータが更新されたかまたは生成されたMACを単に受信したかを決定できない。
【0023】
このことを克服するため、セッション内でFVC2顧客メディアの更新後スタートされる第2のセキュアセッションが提案される。この第2のセキュアメッセージングセッションは新たなセキュアメッセージングセッションキーを生成するであろう。データが正しいファイルと共に正しいオフセットに書き込まれたかを検査するために、POSTは、FVC2顧客メディア上で更新されるために要求されるデータの読み取りを実行できる。POSTが全体のデータグループを更新していない場合、アタッカーがデータグループを破損または変更するためにデータグループの更新においてオフセットを変更していないことを保証するために、読み取り検査はデータグループの十分なデータ範囲を含むことを保証しなければならない。
【0024】
このようにこの発明は、伝統的なあまり安全でない環境において操作されるFVC2顧客メディアが、公共に普及可能な電子財布スキームとして機能するために十分に安全な方法において利用されることを許可するために実装できる技術を提供する。
【図面の簡単な説明】
【0025】
【図1】この発明が実施されることができる手段よるステートマシンを表す概略ダイアグラムの図である。
【技術分野】
【0001】
この発明は既存のITSO技術、すなわちイギリス政府によって発展させられた相互運用チケッティング・スマートカード編成(Interoperable TicketingSmartcard Organization)標準で提案され、欧州規格EN1545として受け入れられ、現在利用可能かまたは将来利用可能になる任意のバージョン、特に顧客カスタマ・メディア定義―ITSO part 10、CD10 ITSO
【0002】
TS1000−10 2003−11における電子チケッティングスキームに対する改良に関する。以下の説明から分かるように、用語「チケッティングスキーム」とは、伝統的輸送チケッティング操作だけでなく、チケット、トークン、引換券、または処方箋が商品またはサービスの提供に対する引き換えとして有効である任意の安全なスキームを包含する。特に、この発明はITSOスキームにおける使用のため、かつオフデバイスアプリケーションにオンデバイスファイルシステムにおけるデータへアクセス及び/または変更を許可するために、オンデバイスファイルシステムを少なくとも1つのオフデバイスITSOアプリケーションとインターフェースすることを可能にするファイルシステムおよびオペレーティングソフトウェアを運ぶプログラム可能スマートカードデバイスに関係している。
【背景技術】
【0003】
既存のITSOスキームは、使用されるカードは単に単純なメモリーカードであることに基づき動作する。このことは、「ポイントオブサービス端末機」(「POST」)は、適切なパスワードを提供する要求以外に、何らのチェックまたは制限なしに任意の命令によって自由にカードを読み取り及び書き込みできることを意味する。ITSO仕様はマイクロプロセッサカード(「スマートカード」)の利用も提供するが、これらはメモリーカードとほとんど同じ方法で、POSTと相互動作しなければならない、すなわち、それらはメモリーカードをエミュレートするために構成されなければならない。メモリーカードにおけるセクタの代わりに、スマートカードベースのシステムは、スマートカード上のファイルを利用するが、構造およびリード/ライトのアクセス制限は同様である。
【0004】
ITSOスキームは、例えば幾つかの種類のサービス、または幾つかの他の価格の商品へのアクセスを表すデータ上に暗号で生成されたシールを使用する。データの保全性は、POSTにおいてセキュアアクセスモジュール;Secure Access Module(「SAM」)により全処理を行わせると共に、これらシールによって保護されている。
【0005】
既存のスキーム下では、ITSO値プロダクトは、ITSO POSTによって増加または減少させられるバランスを保持する「電子財布」として使用できる。これは固定データグループ(FRDG)と、そして通常、一方は現在のバランスを保持し、他方は以前のバランスのコピーを保持する2つの値のデータグループ(VRDGs)として実装される。ITSOの仕様はMifare Classicのようなより低機能のメモリーカード型に適応しているので、早まってPOSTからカードが取り除かれるためにトランザクションが中断したときに起こるようなメモリ管理タスクをPOSTは直接関係しければならない。このシナリオは、「アンチティア」として産業上知られている。
【0006】
2つのVRDGは、VRDGの更新中にカードが「引き離され(ティアされ)」るならば少なくとも1つのVRDGのコピーはエラーがないことを保証するためにアンチティア目的のために使用される。正常操作において、IPE(「ITSOプロダクトエンティティ;ITSO Product Entity」―顧客メディアまたはスマートカード上に設定される「チケット」データのためのITSO用語)バランスが変更されるとき、1つのVRDGは現在のバランスのコピーを、そして他方は以前のバランスのコピーを含むために、POSTはVRDGを交互に更新する。アンチティア保護のためにシェルディレクトリの2つの入り口がある。「シェル」はいくつかのIPEのものを含む「チケット財布」に相当するITSOデータ構造である。現在の入り口は現在のVRDGを指し、以前の入り口は以前のバランスのコピーを備えたVRDGを指す。
【0007】
上述の標準によって提案されている既存のFVC2セキュアメッセージングスキームは、顧客メディア(スマートカード)とISAM(ITSOセキュアアプリケーションモジュール;ITSO Secure Application Module―POST中に挿入された信用コンピュータ)との間の相互認証をサポートしてセッションキーを生成する。セッションキーはスマートカードから読み取られるデータ及びスマートカードへ更新されるデータ上に、メッセージ認証証明(Message Authentication Certificate(「MAC」)(暗号で保護された1組のデータのハッシュであり、MACがそのデータの完全性を保証する)を作成するために使用される。
セッションキーはセッションの進行の間は変化しない。スマートカードまたは顧客メディアREADコマンドのため、スマートカード(顧客メディア)は、顧客メディアによって戻されるデータを通してMACを計算し、そしてISAMによって検査される。FVC2顧客メディア内のファイルの選択および読み取りには、セキュリティ状態はない。
【0008】
FVC2顧客メディアのUPDATEコマンドのため、内部で顧客メディアファイルが更新される前に、MACはISAMによってのみコマンドのデータを通して計算され、顧客メディアによって検査される。UPDATEコマンドデータに適用されるセキュアメッセージングに加えて、各ファイルはUPDATEコマンドが完了する前に顧客メディアに送られなければならない一意のパスワードを持つ。パスワードは静的であるので、同じパスワードが各セッションにおいて適用される。
【0009】
このスキームは、POSTにデータがいつ顧客メディア(スマートカード)から読み取られたのかを決定することを許可するが、しかし正しいファイルから読み取られたか否かを決定することはできない。新しいセッションの開始によって、そして従って新しいセッションキーが生成されることによってPOSTは顧客メディアへの更新が成功したか否かを決定することができるが、それが正しいファイルであったかを検査することはできない。
【0010】
既存のFVC2顧客メディアインターフェースにおいて、MACが正しいことを検査する以外、顧客メディア(スマートカード)はデータが正しく書き込まれたこと、または正しい更新のシーケンスが発生していたことをテストしない。
【0011】
先の段落で説明された既存のFVC2スキームにおいて、セキュアメッセージングを備えても備え無くても、アタッカーは顧客メディア(スマートカード)からデータを読み取り、そして異なるファイルの顧客メディアにそれを書き戻し、そしてそのように異なるファイルを選択することによってデータが書き込まれるファイルをPOSTにより変更することが可能である。これら脆弱性につけこむことによって、アタッカーはIPEプロダクトの複数のコピーを作成でき、またはPOSTによってプロダクトの更新検査で読み取られるために、顧客メディアの異なるファイルへ更新されたプロダクトをコピーすることができる。
【0012】
これら攻撃はPOSTがVRDG上のバランスを減分することを試みた場合に、VRDGの変更を停止するためにITSOアプリケーションの範囲内で使用される可能性があり、すなわちアタッカーは、顧客メディア上に更新されたVRDGが書き込まれた場合に位置を変化させ、POSTがデータを読み戻すときにこのデータを戻していた。たとえPOSTが新しいセッションキーを生成するために新しいセッションを開始しても、読み取られたデータが正しいファイルに記憶されたことを決定することはできない。同様に、攻撃は、次回のCMの使用時にPOSTに以前のVRDGのコピーを使用させる、更新されたVRDGを指すITSOディレクトリへの更新を停止するためにも使用され得る。これは「リプレイアタック」の一形態として知られ、「底無し財布」となる。
【発明の開示】
【発明が解決しようとする課題】
【0013】
このように既存のITSO仕様の現在のマイクロプロセッサバージョン(FCV2)は、POSTとカード間のトランザクションのステップを再シーケンスすることを含む攻撃に対してスマートカードを保護していない。
【課題を解決するための手段】
【0014】
この発明に従い、上述されたプログラム可能スマートカードデバイスは、オンデバイスファイルにおけるデータをアクセスおよび/または変更する際にオフラインアプリケーションによって実行される一連の操作をモニタし、及び一連の操作が所定の基準を満たさない場合、このようなデータへの更なるアクセスまたは変更を制限または予防するように操作可能なモニタリング手段を含むことに特徴付けられる。モニタリング手段は、複数のステートのうち1つ、少なくともそのうち1つはエラーステートである、に設定されることができるステートエンジンを含むことが好ましく、そのステートにおいては、一連の操作が再スタートされるまでいくつかのまたは全てのオンデバイスファイルにおける前記データへの更なる変更が防止される。
【0015】
この発明はまた、前記オフデバイスITSOアプリケーションが前記オンデバイスファイルシステムにおけるデータをアクセスおよび/または変更することを許可するために、インターフェースデバイスで少なくとも1つのオフデバイスアプリケーションとインターフェースすることをオンデバイスファイルシステムに可能にするファイルシステムとオペレーティングソフトウェアを有する少なくとも1つのプログラム可能なスマートカードデバイスを有するITSOスマートカードスキームを提供できる。;前記システムは、
前記インターフェースデバイスと前記スマートカードデバイスの相互結合が、前記インターフェースデバイスに、前記プログラム可能スマートカードデバイスによって運ばれるデータをアクセスおよび/または変更するために実行される一連の操作の間、データおよび/またはコマンドの暗号化および/または復号化において使用されるセッションキーを生成させる。スキームは、
前記プログラム可能スマートカードデバイス上のデータを変更するための一連の操作の完了が、前記インターフェースデバイスに、新しいセッションを開き、第2のセッションキーを生成し、要求されたデータが意図された一連の操作に従って変更されていたことを検査するために前記第2のセッションキー使用することによって特徴付けられる。
【0016】
顧客メディアに書き込まれたデータが正しい内容と宛先を持つことを保証するために、FVC2顧客メディア(スマートカード)への更新をモニタリングすることによって、この発明の好ましい実施形態に従い、上述のITSOスキームのセキュリティへの脅威は除去できる。FVC2顧客メディアは、正しいパスワードとMACが与えられた場合にデータがいずれかのファイルに書き込まれることを単に許容するというよりむしろ、詳しく上述した攻撃を予防するルールを処理する動作を関連ITSOアプリケーションに強制する。
このように、この発明は公共的に普及可能な電子財布として使用されるのに十分安全であるように増強されたITSO互換カード及び端末の実装を可能にする。
【発明を実施するための最良の形態】
【0017】
この発明の実施形態は、この発明が実施されることができる手段よるステートマシンを表す概要ダイアグラムの図参照して、例示の方法によって詳細に説明される。
この発明はITSO値プロダクトの変更にのみ関係する。それは、顧客メディア定義―ITSOパート10、CD10 ITSO TS1000−10 2003−11において規定されている処理規則を基礎としている。この発明においてFVC2顧客メディアは、例えばスマートカードまたはそれに類するものであるが、以下の処理及びデータモニタリングチェックを通常処理の間に実現する。
【0018】
状態1
状態1内で、FVC2顧客メディアは入力更新コマンドをモニタし、もし以下のテストのいずれかが失敗したならば誤りへ状態を変化するであろう。
・ IPE内のVRDGデータグループのうちの1つの唯一の更新が発生することをテスト。これは、アタッカーが複数の更新を作成できない、すなわちVRDGのオリジナルの内容を復元することを保証するであろう。IPEはディレクトリセクタチェーンテーブルまたは所有権を主張できるファイルにおいて存在しない、そこで顧客メディアによってモニタされないであろうから、両方のVRDGが顧客メディアに書き込まれた場合にIPEの作成に、これは影響を与えない。
・ VRDGのISAM ID及びISAMS#を検査することにより、更新されたVRDGが同じIPEプロダクトであることをテスト。これはVRDGが別のIPEプロダクトのための別のVRDGによって上書きされていないことを保証するためである。
・ 更新されたVRDGがIPE固定データグループ(FRDG)によって上書きされていないことをテスト。
・ VRDG更新のオフセットが0x0000であることをテスト。
・ 更新されたVRDGにおける最高値シーケンス番号(TS#)が他のVRDGにおける最高TS#+1と等しいことをテスト。この規則は正常動作及びアンチティア状況からの回復にとっては正しい。それは以前のVRDGのコピーが復元されていないことを保証し、VRDGが他のVRDGのコピーを使用して上書きされていないことを保証するであろう。
・ VRDGが記憶されるべきでない場合、VRDGと共に他のファイルが更新されていないことをテスト。これは、どのファイルがVRDGまたは所有権を主張できるファイルから読み取られたデータまたは顧客メディア上のVRDGの位置を特定する要素を持つべきなのかを決定するための、ディレクトリセクタチェーンテーブルを翻訳することによって達成できる。これはアタッカーが検査テストをパスするために、一時的なVRDGのコピーを作成できないことを保証する。
・ 更新されたディレクトリはディレクトリのコピーのために予約された顧客メディア上の最後の2つのファイルのうち1つにのみ書き込まれることをテスト。これはアタッカーが検査テストをパスするために一時的なディレクトリのコピーを作成できないことを保証する。
・ 予約されたディレクトリファイルにおいて、ディレクトリのコピーのみが更新されていることをテスト。これはアタッカーがIPEデータグループでディレクトリを破損できないことを保証する。
【0019】
状態2
ITSOスキームの正常処理範囲内で、唯一のディレクトリの更新が実行される。ディレクトリの更新は内部のFVC2顧客メディアステートを2に変更する。状態2内で、FVC2はいかなるの他のコマンドにも成功して実行されることを許容しないであろう。
【0020】
誤り状態
誤り状態内で、顧客メディアがリセットされるまで、FVC2顧客メディアは、顧客メディアへのいかなる更なる更新も許可しないであろう。
【0021】
さらに、既存のITSO FVC2セキュアメッセージングスキームにおいて、FVC2顧客メディアに書き込まれることを要求されたデータが実際に顧客メディアにおいて更新されたことをPOSTが確認することは、更新動作への応答はFVC2顧客メディアからのいかなるセキュアメッセージング検査データも含んでいないので、不可能である。更新操作への応答はアタッカーが生成できかつPOSTへ戻すことのできるステータスバイトを含むのみである。さらにPOSTは、FVC2顧客メディアへ送られた更新コマンドが正しいファイルへ送られたか、または意図したファイルにおいて異なるオフセットを更新するために変更されたかを決定できない。既存のFVC2セキュアメッセージングスキームにおいて、アタッカーは値の減分を示しているファイルへの更新を停止し、セッションの開始時にファイルの以前の内容でファイルを更新すること、またはFVC2顧客メディア上の正しいファイルにおいて誤った位置へデータを書き込むことによってファイルを汚染することができた。後者の場合、アタッカーはITSOプロダクトのコピーを汚染し、ITSOアンチティアスキームの正常操作の一部として、ITSOアプリケーションをFVC2顧客メディア上のITSOプロダクトのより古いコピーへ復旧させている。
【0022】
UPDATEコマンド後のデータを読み戻すことによって、POSTはデータがFVC2顧客メディアから読み取られたことの検査をするために、ISAMを使用することができる。しかしながらREADとUPDATEコマンドの両方はコマンドデータ上のMACを計算するだけであるため、同じオフセットの読み取りから戻るMACは対応するUPDATEコマンドの範囲内に含まれる同じMACであり、そのためPOSTはデータが更新されたかまたは生成されたMACを単に受信したかを決定できない。
【0023】
このことを克服するため、セッション内でFVC2顧客メディアの更新後スタートされる第2のセキュアセッションが提案される。この第2のセキュアメッセージングセッションは新たなセキュアメッセージングセッションキーを生成するであろう。データが正しいファイルと共に正しいオフセットに書き込まれたかを検査するために、POSTは、FVC2顧客メディア上で更新されるために要求されるデータの読み取りを実行できる。POSTが全体のデータグループを更新していない場合、アタッカーがデータグループを破損または変更するためにデータグループの更新においてオフセットを変更していないことを保証するために、読み取り検査はデータグループの十分なデータ範囲を含むことを保証しなければならない。
【0024】
このようにこの発明は、伝統的なあまり安全でない環境において操作されるFVC2顧客メディアが、公共に普及可能な電子財布スキームとして機能するために十分に安全な方法において利用されることを許可するために実装できる技術を提供する。
【図面の簡単な説明】
【0025】
【図1】この発明が実施されることができる手段よるステートマシンを表す概略ダイアグラムの図である。
【特許請求の範囲】
【請求項1】
ITSOスキームにおける使用のための、およびオフデバイスITSOアプリケーションがオンデバイスファイルシステムにおけるデータをアクセスおよび/または変更することを許可するために、前記オンデバイスファイルシステムにと少なくとも1つのオフデバイスITSOアプリケーションとインターフェースすることを可能にするファイルシステムとオペレーティングソフトウェアを運ぶためのプログラム可能スマートカードデバイスであって、
前記オンデバイスファイルにおけるデータをアクセスおよび/または変更する際に前記オフラインアプリケーションによって実行される一連の操作をモニタし、及び一連の操作が所定の基準を満たさない場合、このデータへの更なるアクセスまたは変更を制限または防止するように操作可能なモニタリング手段を含むことを特徴とする、
プログラム可能スマートカードデバイス。
【請求項2】
複数の状態のうち1つに設定されることができ、少なくともそのうち1つは誤り状態であり、前記誤り状態においては一連の操作が再スタートされるまで、いくつかのまたは全ての前記オンデバイスファイルにおける前記データへの更なる変更が防止される、ステートエンジンを前記モニタリング手段は含む、請求項1に記載のデバイス。
【請求項3】
前記ステートエンジンは、同一ITSOプロダクトエンティティ内の値データグループのうち1つの2以上の更新が発生していたことを前記モニタリング手段が決定するとき、前記誤り状態に設定される、請求項2に記載のプログラム可能スマートカードデバイス。
【請求項4】
前記ステートエンジンは、値データグループISAM ID及びISAM S#の検査によって、更新された値データグループが前記正しいITSOプロダクトエンティティに関連していないことを前記モニタリング手段が決定するとき、前記誤り状態に設定される、請求項2または3に記載のデバイス。
【請求項5】
前記ステートエンジンは、前記ITSOプロダクトエンティティに関連した固定データグループによって、前記更新された値データグループが上書きされていたことを前記モニタリング手段が決定するとき、前記誤り状態に設定される、請求項2から4のいずれかに記載のデバイス。
【請求項6】
前記ステートエンジンは、前記値データグループ更新のオフセットが0x0000でないことを前記モニタリング手段が決定するとき、前記誤り状態に設定される、請求項2から5のいずれかに記載のデバイス。
【請求項7】
前記ステートエンジンは、前記更新された値データグループにおける最高値シーケンス番号が、前記同一ITSOプロダクトエンティティに関連している他の値データグループの最高値シーケンス番号より1より大きいことを前記モニタリング手段が決定するとき、前記誤り状態に設定される、請求項2から6のいずれかに記載のデバイス。
【請求項8】
前記ステートエンジンは、VRDGが記憶されるべきでないファイルへ値データグループが更新されていたことを前記モニタリング手段が決定するとき、前記誤り状態に設定される、請求項2から7のいずれかに記載のデバイス。
【請求項9】
前記ステートエンジンは、ディレクトリコピーのために予約された前記デバイス上の最後の2つのファイルのうち1つ以外のファイルに、更新されたディレクトリが書き込まれることを前記モニタリング手段が決定するとき、前記誤り状態に設定される、請求項2から8のいずれかに記載のデバイス。
【請求項10】
前記ステートエンジンは、予約されたディレクトリファイル以外のファイルにおいてディレクトリのコピーが更新されていたことを前記モニタリング手段が決定するとき、前記誤り状態に設定される、請求項2から9のいずれかに記載のデバイス。
【請求項11】
オフデバイスITSOアプリケーションがオンデバイスファイルシステム内のデータをアクセスおよび/または変更することを許可するために、前記オンデバイスファイルシステムがインターフェースデバイスで少なくとも1つのオフデバイスITSOアプリケーションとインターフェースすることを可能にするファイルシステムとオペレーティングソフトウェアを運ぶ少なくとも1つのプログラム可能スマートカードデバイスを含み、前記ファイルシステムは、
前記インターフェースデバイスと前記スマートカードデバイスの相互結合が、前記インターフェースデバイスに、前記プログラム可能スマートカードデバイスによって運ばれるデータをアクセスおよび/または変更するために実行される一連の操作の間、データおよび/またはコマンドの暗号化/復合化において使用されるセッションキーを生成し、
前記プログラム可能スマートカードデバイス上のデータを変更するための一連の操作の完了が、前記インターフェースデバイスに、新しいセッションを開放し、第2のセッションキーを生成させ、要求されたデータが前記意図された一連の操作に従って変更されたことを検査するために前記第2のセッションキー使用することを特徴とする、
ITSOスマートカードスキーム。
【請求項12】
前記プログラム可能スマートカードデバイスは請求項1から10の何れかに記載のデバイスである、請求項11に記載のスキーム。
【請求項1】
ITSOスキームにおける使用のための、およびオフデバイスITSOアプリケーションがオンデバイスファイルシステムにおけるデータをアクセスおよび/または変更することを許可するために、前記オンデバイスファイルシステムにと少なくとも1つのオフデバイスITSOアプリケーションとインターフェースすることを可能にするファイルシステムとオペレーティングソフトウェアを運ぶためのプログラム可能スマートカードデバイスであって、
前記オンデバイスファイルにおけるデータをアクセスおよび/または変更する際に前記オフラインアプリケーションによって実行される一連の操作をモニタし、及び一連の操作が所定の基準を満たさない場合、このデータへの更なるアクセスまたは変更を制限または防止するように操作可能なモニタリング手段を含むことを特徴とする、
プログラム可能スマートカードデバイス。
【請求項2】
複数の状態のうち1つに設定されることができ、少なくともそのうち1つは誤り状態であり、前記誤り状態においては一連の操作が再スタートされるまで、いくつかのまたは全ての前記オンデバイスファイルにおける前記データへの更なる変更が防止される、ステートエンジンを前記モニタリング手段は含む、請求項1に記載のデバイス。
【請求項3】
前記ステートエンジンは、同一ITSOプロダクトエンティティ内の値データグループのうち1つの2以上の更新が発生していたことを前記モニタリング手段が決定するとき、前記誤り状態に設定される、請求項2に記載のプログラム可能スマートカードデバイス。
【請求項4】
前記ステートエンジンは、値データグループISAM ID及びISAM S#の検査によって、更新された値データグループが前記正しいITSOプロダクトエンティティに関連していないことを前記モニタリング手段が決定するとき、前記誤り状態に設定される、請求項2または3に記載のデバイス。
【請求項5】
前記ステートエンジンは、前記ITSOプロダクトエンティティに関連した固定データグループによって、前記更新された値データグループが上書きされていたことを前記モニタリング手段が決定するとき、前記誤り状態に設定される、請求項2から4のいずれかに記載のデバイス。
【請求項6】
前記ステートエンジンは、前記値データグループ更新のオフセットが0x0000でないことを前記モニタリング手段が決定するとき、前記誤り状態に設定される、請求項2から5のいずれかに記載のデバイス。
【請求項7】
前記ステートエンジンは、前記更新された値データグループにおける最高値シーケンス番号が、前記同一ITSOプロダクトエンティティに関連している他の値データグループの最高値シーケンス番号より1より大きいことを前記モニタリング手段が決定するとき、前記誤り状態に設定される、請求項2から6のいずれかに記載のデバイス。
【請求項8】
前記ステートエンジンは、VRDGが記憶されるべきでないファイルへ値データグループが更新されていたことを前記モニタリング手段が決定するとき、前記誤り状態に設定される、請求項2から7のいずれかに記載のデバイス。
【請求項9】
前記ステートエンジンは、ディレクトリコピーのために予約された前記デバイス上の最後の2つのファイルのうち1つ以外のファイルに、更新されたディレクトリが書き込まれることを前記モニタリング手段が決定するとき、前記誤り状態に設定される、請求項2から8のいずれかに記載のデバイス。
【請求項10】
前記ステートエンジンは、予約されたディレクトリファイル以外のファイルにおいてディレクトリのコピーが更新されていたことを前記モニタリング手段が決定するとき、前記誤り状態に設定される、請求項2から9のいずれかに記載のデバイス。
【請求項11】
オフデバイスITSOアプリケーションがオンデバイスファイルシステム内のデータをアクセスおよび/または変更することを許可するために、前記オンデバイスファイルシステムがインターフェースデバイスで少なくとも1つのオフデバイスITSOアプリケーションとインターフェースすることを可能にするファイルシステムとオペレーティングソフトウェアを運ぶ少なくとも1つのプログラム可能スマートカードデバイスを含み、前記ファイルシステムは、
前記インターフェースデバイスと前記スマートカードデバイスの相互結合が、前記インターフェースデバイスに、前記プログラム可能スマートカードデバイスによって運ばれるデータをアクセスおよび/または変更するために実行される一連の操作の間、データおよび/またはコマンドの暗号化/復合化において使用されるセッションキーを生成し、
前記プログラム可能スマートカードデバイス上のデータを変更するための一連の操作の完了が、前記インターフェースデバイスに、新しいセッションを開放し、第2のセッションキーを生成させ、要求されたデータが前記意図された一連の操作に従って変更されたことを検査するために前記第2のセッションキー使用することを特徴とする、
ITSOスマートカードスキーム。
【請求項12】
前記プログラム可能スマートカードデバイスは請求項1から10の何れかに記載のデバイスである、請求項11に記載のスキーム。
【図1】
【公表番号】特表2008−542941(P2008−542941A)
【公表日】平成20年11月27日(2008.11.27)
【国際特許分類】
【出願番号】特願2008−515283(P2008−515283)
【出願日】平成18年6月6日(2006.6.6)
【国際出願番号】PCT/GB2006/002078
【国際公開番号】WO2006/131729
【国際公開日】平成18年12月14日(2006.12.14)
【出願人】(507402808)エセブス・グループ・リミテッド (2)
【Fターム(参考)】
【公表日】平成20年11月27日(2008.11.27)
【国際特許分類】
【出願日】平成18年6月6日(2006.6.6)
【国際出願番号】PCT/GB2006/002078
【国際公開番号】WO2006/131729
【国際公開日】平成18年12月14日(2006.12.14)
【出願人】(507402808)エセブス・グループ・リミテッド (2)
【Fターム(参考)】
[ Back to top ]