• 专利附录
  • 专利说明
  • 权利要求
  • 类似技术
  • 同族专利
  • 引用文献
  • 法律状态
  • 优先权
    • 专利摘要:
    セキュアな処理環境及び非セキュアな処理環境を含むブランド保護特徴/タガントリーダ及び/又はライタ機器を提供し、この機器が、所定の基準に基づいてセキュアな環境と非セキュアな環境との間で分けられた処理を実行する。
    公开号:JP2011511355A
    申请号:JP2010544781
    申请日:2009-01-30
    公开日:2011-04-07
    发明作者:ピーター ケリー;スティーブン マクスパデン;マーク ワイルズ
    申请人:アイティーアイ スコットランド リミテッド;
    IPC主号:G06F21-14
    专利说明:

    [0001] 本発明は、ブランド保護管理システム(BPMS)においてセキュリティを実行するための方法及び装置に関する。具体的には、本発明は、セキュアアプリケーションモジュールなどのセキュアな処理環境を統合したセキュリティ機能リーダ/ライタに関する。]
    背景技術

    [0002] PCT/GB2007/001248はブランド保護管理システムについて記載しており、該特許の内容は引用により本明細書に組み入れられる。同文献では、認証情報を含む機械読み取り可能なタグが商品に備えられる。このタグからタグリーダを使用して認証情報を読み取り、記憶済みの認証データと比較することにより、商品の信頼性があるかどうかを判断する。]
    [0003] PCT/GB2007/001248
    PCT/GB2007/002967
    PCT/GB2007/002496]
    先行技術

    [0004] ISO/IECISO 7816−1
    ISO/IEC ISO 7816−2
    ISO/IEC ISO 7816−3
    ISO/IEC ISO 7816−4
    ISO/IEC ISO 7816−8
    ISO/IEC ISO 7816−11]
    発明が解決しようとする課題

    [0005] 認証処理のセキュリティは必須である。]
    課題を解決するための手段

    [0006] 本発明の第1の態様によれば、ブランド保護管理システムで使用するためのブランド保護/タガントリーダ及び/又はライタ機器が提供され、この機器は、セキュアな処理環境及び非セキュアな処理環境を有し、定められた手順に従ってセキュアな環境と非セキュアな環境との間で動作を分ける。この動作は、ブランド保護特徴/タガントの認証、及びブランド保護特徴/タガントの発行又は登録の少なくとも一方とすることができる。]
    [0007] セキュアな機能の一部を、セキュアアプリケーションモジュール(SAM)などのセキュアな処理環境に任せることにより、重要なステップを保護できると同時に、.NET又はJava(登録商標) Virtual Machineにより提供されるような豊富でオープンなソフトウェア環境で処理の大部分を実行することができる。]
    [0008] 機器は、セキュリティ特徴を読み取るためのリーダ、及び/又はセキュリティ特徴を書き込むためのライタとすることができる。動作は、例えば、機械読み取り可能なタグなどの読み取るセキュリティ特徴が信頼できるものであるかどうかをチェックすることであってもよい。これに加えて、或いはこれとは別に、動作は、機械読み取り可能なタグなどのセキュリティ特徴の発行を含むことができる。]
    [0009] 機器は、1又はそれ以上の種類の機械読み取り可能なタガント/ブランド保護特徴を読み取ることができる。このようなタガントは、例えば、一次元又は二次元バーコード、RFIDタグ、蛍光タグ、又はその他のあらゆる適当なタガントタイプを含むことができる。]
    [0010] ほとんどの場合、機械読み取り可能なブランド保護特徴/タガントは、認証する物品に物理的に取り付けられ、又は別様に組み込まれる。]
    [0011] 場合によっては、ブランド保護特徴/タガントは、リーダ手段が検出し/読み取るように設計された目に見える又は隠れた特徴などの物品自体の固有の特徴を含むことができ、ブランド保護特徴/タガント機器はこれらを読み取るように構成される。]
    [0012] 明確にするために説明すれば、当然ながら、本明細書で使用する「ブランド保護特徴」又は「タガント」という用語は、認証する物品に取り付けられた物理的なタグ又はマーカに限定されることを意図するものではなく、物品自体に固有の目に見える又は隠れた特徴も含むことを意図するものである。]
    [0013] 以下の図面を参照しながら本発明を単に一例として説明する。]
    図面の簡単な説明

    [0014] ブランド保護管理システムのブロック図である。
    ブランド保護管理システムと共に使用するための認証機器の概略図である。
    ブランド保護管理システムと共に使用するための代替の認証機器の概略図である。
    図2の機器を使用してセキュリティタグを初期化するための処理の概略図である。
    図2のシステムで使用するためのワークフロースプリッタの概略図である。
    ワークフローを分けるための方法を示す図である。
    ワークフロー例を示す図である。] 図2
    実施例

    [0015] 図1は、PCT/GB2007/001248の教示によるブランド保護管理システムを示している。このシステムは、製品流通チェーン内の様々な場所に設けられる、ポイント・オブ・レジストレーション(PoR)ブランド保護特徴リーダ/ライタ装置及びポイント・オブ・オーセンティケーション(PoA)リーダ装置と通信することができるブランド保護サーバを有する。リーダ装置は、認証する物品上のブランド保護特徴/タガントを読み取るためのブランド保護特徴リーダを含む。このようなタガントは、例えば、一次元又は二次元バーコード、RFIDタグ、蛍光タグ、又は他のあらゆる適当なタガントタイプを含むことができる。リーダ装置は、ユーザが提供するユーザ識別情報を認証目的で読み取るための、例えばスマートカードリーダ又は生体認証リーダなどのユーザ認証装置を含むことができる。場合によっては、リーダ装置が書き込み能力を有することもできることにより、これらの装置がタガントなどのブランド保護特徴をラベルの形で生成し、同時にこれらを読み取ることができるようになる。例えば、PoR装置は、以前に認証されていない新しい物品に適用されるブランド保護特徴を開始点又は登録点で生成することができる。] 図1
    [0016] PoR及びPoA装置は、固定装置の場合にはLANを介したTCP/IP、又は携帯装置又はGSMの場合にはWiFiなどの、これらに最も適したあらゆる標準的通信方法を使用してブランド保護管理サーバシステムと通信する。1又はそれ以上のPoRリーダ/ライタ装置を、WiFi又はイーサネット(Ethernet)(登録商標)などのローカルネットワーキングを使用してクライアントのパーソナルコンピュータ(PC)などの単一のポイント・オブ・レジストレーション(PoR)制御装置にリンク/提供することができる。同様に、複数のPoA装置を同様の方法でクライアントのパーソナルコンピュータ(PC)などのメインPoA装置によりリンク/提供することができる。以下の説明では、「PoA/PoR機器」への言及は、PoA装置、又はPoR装置、或いはPoR及びPoA装置を組み合わせた単一の機器を意味するということを理解されたい。]
    [0017] ブランド保護サーバ側には、プラットフォーム全体にわたってセキュリティを確実にするための信用管理システム(TMS)、及びブランド管理データを分析して記憶し、ブランドに関連する特徴又は機能を制御するためのブランド保護管理システムが含まれる。また、サーバ側には、システム内の個々のPoR及びPoA機器を制御するポリシを管理するための機器構成管理システム(ICMS)が提供される。ポリシは、例えば、読み取るブランド保護特徴の種類、特定のブランド保護特徴を認証するために使用すべき処理の種類、リーダの使用を認められたユーザのグレード又は役割、リーダを操作するユーザが取るべきステップであるワークフローを特定する制御情報又は構成情報、及びその他のあらゆるブランド保護特徴リーダ情報を含む。ワークフローの詳細の説明はPCT/GB2007/002967で提供されており、該特許はその内容が引用により本明細書に組み入れられる。ICMSには、通常、ハードウェアセキュリティモジュール(HSM)又はセキュアアクセス及び認証モジュール(SAAM)上に実装される信用管理システムの構成要素、又はその他の何らかの改ざん防止セキュリティ構成要素が含まれる。データは、中央TMSからICMSを経由して現場の機器へ流れる。ローカルセキュリティを確実にするために、個々のPoR及びPoA装置は独自の信用管理システム構成要素を含む。]
    [0018] 図2は、ブランド保護管理システム(BPMS)と共に使用するための機器5を示している。機器5は、BPMSに代わって商品又はリソース上のセキュアなタグと相互作用する。機器5は、入出力モジュール10、メモリ15、機器5内の全ての処理動作を制御するためのコアプロセッサ25を有するコア処理サブシステム20、タグ固有の特徴抽出及び構成ブロック30、及び機密情報を記憶、操作、及び/又は処理するためのセキュアアプリケーションモジュール(SAM)を有するセキュリティサブシステムを含む。装置の全ての構成要素に給電するための電力サブシステムも提供される。] 図2
    [0019] 入出力モジュール10は、例えば、キーパッド、スマートカードスロット、又は生体認証スキャナであってもよいユーザ入力50、及びユーザディスプレイ55を有する。機器5は、通常は機器とは異なる地理的場所に物理的に配置されたTMSと通信するための、例えばLAN又はWiFiであってもよいインターフェイス60を備える。機器ストレージ設備15は、変換された認証データのためのデータストア、及びブランド保護特徴抽出モジュール30の構成を設定する構成データのためのデータストアを含む。構成の詳細としては、製品ID、認証イベント、これらのパラメータ、これらの順序付け、どのタグ技術を使用すべきか、及び1つのブランド保護特徴から読み取ったデータと同じ製品上の別のデータとの間にリンクが存在するかどうかが挙げられる。構成データは、機器構成マネージャから機器にダウンロードされる。]
    [0020] タグ固有の特徴抽出及び構成ブロック30は、センサインターフェイス35及びタグ固有のプロセッサ40を含む。センサは、例えば、バーコードスキャナ、RFIDタグリーダ、又はその他のいずれの選択された機械読み取り可能なタグリーダ及び/又はライタ装置であってもよい。センサインターフェイス35及びタグ固有のプロセッサ40は、タグに関連する識別情報を抽出し及び/又はタグを構成するために、センサを制御し、センサと交換したデータを処理してタグからの読み取り及び/又はタグへの書き込みを行う。タグから抽出されたデータは、共通ブランド保護特徴インターフェイス45により共通プラットフォームフォーマットに変換されて機器構成要素の残り部分に伝えられ、及び逆に機器からタグに伝えられる。]
    [0021] セキュリティを維持するために、機器5は、タグリーダとブランド保護管理サーバとの間の認証データの通信を処理及び制御するためのセキュアアプリケーションモジュール(SAM)を含む。SAMは、認証情報を記憶し及び/又は認証要求を少なくとも部分的に処理するための物理的及び論理的にセキュアなモジュールを提供する。SAM65は、BPMSの信用管理エージェントとしての役割を果たし、例えば、MAC又はデジタル署名などの暗号化されたチェックのような、例えば重複する検証可能なコンテンツを有するタグの特徴を使用してタグを認証するためのセキュアな情報を処理して記憶するようになっている。一般的に言えば、SAMは、メモリ及びコンピューティング能力が限られた実行環境である。]
    [0022] SAM65は、例えばスマートカードであってもよい。SAMと、電気信号、通信プロトコル、及びこのような全てのモジュールが互換性を有するべきアプリケーションプロトコルデータユニット(APDU)について詳述するその他の集積回路カード(ICC)とに関する明確に定義された一連の仕様が存在する。関連するISO7816仕様が、以下の参考文献に詳述されている。
    ISO/IECISO 7816−1、IDカード−−(単複の)接触型集積回路カード−−第1部:物理特性、1998年(2003年補正)、
    ISO/IEC ISO 7816−2、IDカード−−集積回路カード−−第2部:接触型カード−−接触の寸法及び位置、1999年(2004年補正)、
    ISO/IEC ISO 7816−3、情報技術−−IDカード−−(単複の)接触型集積回路カード−−第3部:電子信号及び送信プロトコル、1997年(2002年補正)、
    ISO/IEC ISO 7816−4、IDカード−−集積回路カード−−第4部:構成、セキュリティ、及び交換用コマンド、2005年、
    ISO/IEC ISO 7816−8、IDカード−−(単複の)接触型集積回路カード−−第8部:セキュリティ動作用コマンド、2004年、
    ISO/IEC ISO 7816−11、生体認証法を通じた個人の確認、2004年。]
    [0023] 図2の機器を認証装置として使用している場合、ユーザが自分自身及び使用するタグの種類を識別することにより、タグ固有のプロセッサ40が、読み取られようとしているタグに必要な処理を識別できるようになる。読み取ることにより、センサインターフェイス35内に代表的信号が発生し、これがタグ固有処理モジュール40に伝えられてタグ機能のタグ固有の第1レベルの処理及び抽出が行われる。タグ信号を共通データフォーマットに変換し、信頼性調査のためにSAM65へ送ることによりタグのオフライン認証が行われる。] 図2
    [0024] タグの認証処理は、リーダ機器を使用して物理的現象を処理可能な電気信号に変換する段階、この信号をフィルタリング又は変換して検証可能な出力を生成する段階、及びこの出力をいくつかの所定の基準に照らして検証する段階という3段階を含む。多くの場合、偽造防止機能のセキュリティの有効性は、第2段階で行われる処理の詳細の秘匿性又は内密性を保持することに由来する。これを確実にするために、及び本発明によれば、リーダ機器内のセキュアな処理構成要素の利用可能性及び能力に基づいて、認証処理をセキュアな機能と非セキュアな機能とに分割して、全ての又はできるだけ多くの重要なセキュリティ機能を信頼できるSAMの環境で実施する。]
    [0025] セキュアな分割処理を説明するために、内容が引用により本明細書に組み入れられる同時係属中の国際特許出願PCT/GB2007/002496に記載されるような、隠れた二次効果を含む線形バーコードの認証について考察する。従来の線形バーコードは、単位幅Xの倍数である様々な幅の複数のバー及びスペースを有する。バーコード読取装置を使用してバー及びスペースをデコードすることにより、一次データを明らかにすることができる。個々のバーは長方形で、所定の均一な高さを有する。PCT/GB2007/002496の教示によれば、バーの少なくとも1本の形状全体を変化させることにより、例えば、バーの幅を単位幅Xの倍数でない量だけ変化させることにより、従来のバーコード内に追加の又は二次的な情報を組み込むことができる。このようにして、バーコード内に二次情報をエンコードすることができる。バーの形状の変化は、一次データを読み取るための標準的バーコードリーダの能力には影響を与えないが、二次情報を伝えるのに十分な、好ましくは見た目に分からないようなものでなければならない。]
    [0026] 二次効果を有する画像をデコードする主な段階は、この変調に関わらず同じものであり、これらは、二次元データマトリクスの読み取りである一次データのデコード、及びこのマトリクス内に組み込まれた二次効果のデコードである。セキュリティ上の観点から、関心領域は、二次効果変調データのデータ抽出及びその後の処理である。これを観察可能な方法で、又は重要なデータ値の直接操作にさらされるプラットフォーム上で実際に行えば、その提供物は、重要処理及びこれらの動作の監視、例えば閾値の監視などの重要なセキュリティパラメータの決定、サービス拒否攻撃を悪用する機会、以前に記録したデータを重要ポイントで挿入することにより処理を完全に迂回する機会を含む数多くの種類の攻撃にさらされる。]
    [0027] 図3は、二次効果を有するバーコードの読み取りに関与するステップを示している。この場合、バーの幅を一次データに使用する単位幅とは異なる量だけ変化させることにより、バーコードに二次情報が組み込まれる。バーコードが読み取られると、個々のポイントごとにグレースケール値が生成され、勾配計算を実行してブロックが真に黒から白に変化するポイントが判定され、これについてはステップA及びBを参照されたい。これは、分析のエッジ判定部分である。同時に一次データがデコードされ、これについてはステップCを参照されたい。このデータから、二次効果データを保持できるブロックの位置が判定され、これについてはステップDを参照されたい。デコード処理の分岐が交わるステップEでは、二次効果データを含むことができる画像位置をチェックして、これらが実際に二次効果データを含むかどうかを判定する。そのほとんどの基本形では、内部的に記憶された隠れた閾値と単純に比較することにより、この判定を行うことができる。二次効果が検出されない場合、このブロックは論理ビット0として解釈される。二次効果が検出された場合、このブロックは論理ビット1として解釈される。この検出は、水平及び垂直の両方のブロックに適用される。ビットがデコードされると、適用されたあらゆるエラー訂正をデコードして、結果データ内のビットエラーレートを低減することができ、これについてはステップFを参照されたい。] 図3
    [0028] 図3の処理のセキュリティを改善するために、図4に示すように、選択したステップをSAM内で実施する。これらの第1のステップは、一次データ内の二次効果をエンコードできる位置の判定、すなわちステップDである。SAM内で実施されることが理想的なもう1つのステップは、一次データ内の二次効果がエンコードされた位置の判定、すなわちステップEである。データのエラー訂正もSAM内で実施することができ、すなわちこれはステップFである。このようにした場合、最終結果データがSAMの環境を離れる必要はなく、したがって、例えばこのデータが実際に一次データのセキュアなデジタル署名又はMACの一部であれば、二次効果を介したタグの認証は、信頼できるコンピューティングドメイン内に完全にカプセル化される。どのブロックが二次データを含むことができるかについての計算、及びどのビットがデータ並びに任意にエラー訂正データを実際に含むかについての判定を隠すことにより、攻撃者は、ブランド保護特徴がどのように機能しているかについての鍵となる情報を奪われる。] 図3 図4
    [0029] 図1の偽造防止システムでは、PoA及びPoRは様々であってよい。例えば、図2に示すように、SAMを有するものもあればSAMを有していないものもあってよい。同様に、異なる処理能力のスマートカードを有することができるものもある。ICMSは個々の機器の能力の記録を有し、これらの機器の能力に応じて、あらゆる処理をセキュアな部分と非セキュアな部分とに別々に分割することを選択することができる。例えば、機器は、完全に保護された高機能プロセッサを有することができる。この場合、処理は分割されず、又は全ての分割されたステップが再編成されてセキュアなプロセッサ上にダウンロードされる。別の場合には、機器が、処理全体ではないが全てのセキュリティ実行ステップを実行できる高性能なスマートカードを有することができ、したがって、アルゴリズムをセキュリティ実行ステップとセキュリティ非実行ステップとに分割し、これに応じて機器を構成することもできる。さらに別の例では、機器が、セキュリティ実行ステップの全てではないがいくつかを実行できるスマートカードを含むことができる。ICMSが、記憶された構成情報に基づいてPoR及びPoAを構成できるようにすることにより、所望のレベルのセキュリティ実行のみを行う最適化したリーダ機器を使用して、単一の偽造防止機能をサポートすることができる。] 図1 図2
    [0030] PoR及びPoA装置により実行されるステップを、セキュアなSAM内で実施されるセキュアな部分と、それほどセキュアでない処理環境20において実施される非セキュアな部分とに分割することに関しては多くの用途がある。例えば、認証及び検証する必要があるワークフローに基づいてPoR及びPoA装置を使用しているときに、分割を使用することができる。ワークフロー保証技術の詳細については、同時係属中の国際特許出願PCT/GB2007/001248に詳細に記載されており、該特許出願はその内容が引用により本明細書に組み入れられる。]
    [0031] ワークフロー又は実行可能ポリシは、ICMSにより提供されるワークフロー及び機器構成情報を使用してBPMS内で生成される。ワークフロー又はポリシが機器に導入されると、これを悪意を持って変更できないことを確実にすることが望ましい。これを実施するために、例えば読み取るタグの認証を含む指定されたワークフローのステップをSAMに割り当てることができる。その他の非セキュアなステップは、汎用プロセッサ25上で実施される。ワークフロー保証エンティティの構成管理は、動作が所定の処理の正しい段階で実行されることを確認することにより重要なステップを実行する。この結果、偶然に或いは故意に間違った順序で続いた場合に違反が起きたことを示すためのメカニズムが提供される。]
    [0032] ワークフローを分割するために、図5に示すように、ワークフロースプリッタによりセキュリティ仕様が生成される。あらゆる入力済みのポリシ/ワークフローに関して、スプリッタは、PoR/PoA上で実行されるハードウェアセキュリティモジュール(SAM)のための命令を含む新たな表現にポリシを変換したものである一連の仕様を計算することができ、この結果、所定の機器構成に基づいて、ポリシをセキュアな部分と非セキュアな部分とに分裂又は分割できるようになる。機器上でワークフローが実行中の場合には、ワークフロースプリッタは、セキュアなプリミティブの正当な順序を識別できるようにワークフローを処理することが好ましい。その後、処理のセキュアな部分及び非セキュアな部分が、機器の適切な領域内で実施されるようにラベル付けされる。] 図5
    [0033] ワークフローが分けられると、ICMSはポリシを処理して、ポリシがターゲット機器のための適切な形式又はバージョンであることを確実にする。その後、SAM内にワークフロー手順のセキュアなステップが組み込まれるとともに非セキュアなステップが汎用処理環境25内に位置する状態でポリシがBPMSに戻され、1又はそれ以上の選択されたPoR及び/又はPoA装置に送られてダウンロードされる。]
    [0034] 機器にワークフローが導入されると、ワークフローのための命令が表示され、手順を通じてオペレータを誘導する。全ての重要なワークフローイベントが取り込まれ、直ちに又は後でバッチ転送の一部としてBPMSへ送られる。ワークフローの実行における様々なポイントにおいて、SAM上でセキュアなプリミティブが呼び出される。これらのセキュアなプリミティブをSAM上で実行することにより、SAMが、財務的グレードのセキュリティを含む環境内にセキュアなプリミティブをカプセル化するので、1つのレベルのセキュリティが提供される。セキュアなプリミティブは、ブランド保護特徴を検証するための、及び遠隔のBPMSへ検証イベントをセキュアに送信するための能力を含む。]
    [0035] 図6は、ワークフローを分けるための方法をより詳細に示している。ワークフローポリシを生成したBPMSにより、ICMS−SAAMへメッセージが送信される。メッセージ内容はワークフローポリシのXML表現であり、これはICMS−SAAMの内部表現に一致しても又はしなくてもよい。変換が必要な場合にはポリシマッパが使用される。この機能を拡張して、XML以外の技術をポリシ交換に使用できるようにすることができる。ポリシ内の個々のプリミティブが処理され、これがセキュアなプリミティブであるかどうかが所定のセキュアなプリミティブセットに照らしてチェックされる。ICMS−SAAMによって事前に定められたセキュアなプリミティブを使用してポリシが構築されていることが前提となる。] 図6
    [0036] セキュアなプリミティブが検出されると(ステップ1.1.1.2.1において)、これがICMS−SAAMポリシ内のSecureTaskNodeにマッピングされる。非セキュアなプリミティブが検出されると(ステップ1.1.1.3.1において)、これがICMS−SAAMポリシ内のTaskNodeにマッピングされる。セキュアな及び非セキュアなノードを識別して、ICMS−SAAMは、機器内のワークフロー保証実行エンティティのための構成スクリプトを生成する。この例では、ステップ1.2に示すように、SecureTaskNode及びTaskNodeを含む分割されたポリシがScriptManagerに渡されて、機器内のSAMのための構成スクリプトに変換される。次に、このスクリプトが機器のSAMへ転送され、SAMが、ポリシ実行中に使用する適当なセキュリティ実行データ値を構築して正しいワークフローに従っていることを確実にする。]
    [0037] ポリシ内でセキュアなプリミティブステップが検出されると、信用エージェントモジュールを呼び出して、ポリシの特定のポイントに達したことをポリシがアサートしたがっている旨をSAMに通知する。事実上、これはワークフローポリシのセキュア面の状態管理である。SAMは、数多くの異なる方法でこれを確認することができる。例えば、SAMは、モジュールに渡された特定のパラメータを確認して、これが以前に定めた許容範囲内にあること、或いは例えば行った測定又はデジタル署名又はメッセージ認証暗号文(MAC)の認証のための常識的な値であることさえも確実にすることができる。この確認はまた、ユーザの生体認証データ又はPIN値などのその他のユーザ認証データを確認して、これらがステップの実行を許可されていることを確実にすることにも関与することができる。次のステップは、セキュアなプリミティブ自体の実行である。このステップは、処理の早期段階から収集したさらなる認証データをこのステップに関連付けることができ、又はBPFの生成などのセンシティブとみなされる動作を行うための要求であってもよい。このステップは、以前のノードのアサーション及び求められるデータ/結果をSAMが生成するかどうかを判断するために使用するプリミティブ実行呼び出し中に渡される他のいずれかのデータに基づいてこのコマンドにより実行される内部チェックであるため、重要なワークフロー保証ステップである。]
    [0038] 機器は、呼び出しを行うポリシノードの識別子をセキュアなプリミティブに提供する必要がある。SAMは、この識別子を使用して、現在のセキュアなプリミティブを表すトークンを現在のノードIDに連結することにより現在のノード記述を生成する。SAMは、ハッシュテーブル、又は現在の実行ノード記述のセキュアなプリミティブから考えられる前身のノード記述へのマッピングを含むその他の適当なデータ構造を保持する。ノードは、セキュアなプリミティブの名前をポリシ内で定義されるようなノードの一意の識別子と連結させたものから成ると定義される。実行時、SAMは、「last node」変数及び「last secure primitive」変数を保持しなければならない。SAMに対して呼び出しが行われるたびに、SAMは、データ構造/ハッシュテーブル内の有効なノード記述の組を調べることにより、最後のセキュアなプリミティブと最後のノード識別子との連結が、現在のノード記述の有効な前身であるかどうかをチェックする。]
    [0039] 図7は、ワークフローの例を示している。ワークフローの実行が、SAMの構成されたポリシにマッチすることを保証するために、特定の重要なイベントの順序を確実にする必要がある。PoR又はPoAがタガントの読み取り及び書き込みを行うことができる場合、これらの一方は、ReadBPF[1]及びGenerateBPF[4]というノード記述となる。GenerateBPF[4]ステップは、エンドユーザがラベルの印刷として認識するセキュアなプリミティブの呼び出しである。ReadBPF[1]が行われない限り、決してラベルを印刷することはできない。ポリシが故意にハッキングされ、最初のReadBPF[1]ノードが削除されるようになった場合について考察する。このようなポリシは、偽造者が、既存のパッケージとは関係なく流通チェーン内に無限の数のパッケージを導入できるようにすると思われる。GenerateBPF[4]ステップの実行時に、以前のコマンドがReadBPF[1]だった場合にのみGenerateBPF[4]が正当であることをSAMが認識している限り、SAMは、このハッキングされたポリシの実行を拒否することができる。様々な呼び出しを区別するために、実行中のプリミティブの名前にノードIdが加えられる。したがって、「GenerateBPF」は、加えられたノードid4を有する。] 図7
    [0040] ワークフローステップが指定した順序で行われることを確実にするために、遭遇する個々のセキュアなプリミティブごとに全ての考えられるノード記述をセキュアな動作に対応する個々のノードからバックトラックするようにポリシが処理される。したがって、一例として、
    ReadBPF[1]の場合にはStart[0]のみが可能であり、
    GenerateBPF[4]の場合にはReadBPF[1]のみが可能であり、
    ReadBPF[5]の場合にはPrintLabel[1]のみが可能である。]
    [0041] これには、真(true)のままでなければならない遷移上の制約の小集合が含まれる。これらはセキュアな処理環境で記憶されるので、この指定した順序が保護され、この順序からのあらゆる逸脱がワークフローの違反を示すことになる。]
    [0042] 現在のノードをキーとして前提条件のリストをルックアップテーブルに記憶することはできるが、ルックアップテーブルの値は一般的な場合の配列又は集合である必要があり、一例では、ルックアップテーブルがハッシュテーブルなどの場合、これらは{”Start[0]”}などの単一の要素の集合となり、
    Hash constraints={
    “ReadBPF[1]”={“Start[0]”}
    “PrintLabel[2]”={“ReadBPF[1]”}
    “ReadBPF[5]”={“GenerateBPF[4]”}
    となる。]
    [0043] 所与のノードに対してより可能性の高い前身が存在する状況では、ハッシュテーブルエントリに関して以下のようなものを認識するであろう。
    “ReadBPF[5]”={“PrintLabel[1],“ReadBPF[2]”}]
    [0044] これは、“PrintLabel[1]”又は“ReadBPF[2]”のいずれかが、“ReadBPF[5]”の有効な前身であったことを意味する。]
    [0045] execSecurePrimitive(primitiveName,args,nodeIdentifier)
    という署名を含むメッソドによって全てのセキュアなメッソドが呼び出されることを前提とすると、]
    [0046] これは擬似コードでは、
    execSecurePrimitive(primitiveName,args,nodeIdentifier){
    String[] allowableNodes = constraints.get( primitiveName +“[“ +nodeIdentifier+”]”;
    if(lastRecordedOperation is not in allowableNodes){
    raise a workflow verification exception

    else{
    exec(primitiveName,args);
    lastRecordedOperation=primitiveName+“[“+ nodeIdentifier+”]”


    となる。]
    [0047] ワークフロー検証の例外が発生した場合には、機器にワークフロー順序違反が通知され、この結果、機器が適切なステップを行ってポリシ及びBPMS又はその他のシステムへの変換イベントを無効にし、調査すべき潜在的なセキュリティ違反が存在することを管理者に通知できるようにすることができる。]
    [0048] 当業者であれば、本発明の範囲から逸脱することなく、開示した構成を変更できる点を理解するであろう。したがって、特定の実施形態についての上記説明は、限定目的ではなく例示目的でのみ行ったものである。当業者であれば、上述の動作に大きな変更を加えることなく僅かな修正を行うことができる点を理解するであろう。]
    [0049] 5機器
    10 機器入出力サブシステム
    15メモリサブシステム
    25プロセッサシステム
    30タガント固有サブシステム
    35センサインターフェイス
    40 タガント固有処理
    45 共通タガントインタフェース(CTI)
    50ユーザ入力(キーパッド、キーボード)
    55ユーザディスプレイ
    65セキュアアプリケーションモジュール(SAM)]
    权利要求:

    請求項1
    セキュアな処理環境及び非セキュアな処理環境を含むブランド保護特徴/タガントリーダ及び/又はライタ機器であって、所定の基準に基づいて前記セキュアな環境と前記非セキュアな環境との間で分けられた処理を実行する、ことを特徴とする機器。
    請求項2
    前記処理が、ブランド保護特徴/タガントの抽出又は識別、及びブランド保護特徴/タガントの発行又は登録の少なくとも一方である、ことを特徴とする請求項1に記載の機器。
    請求項3
    ブランド保護特徴/タガントの抽出又は識別が前記セキュアな処理環境で行われる、ことを特徴とする請求項2に記載の機器。
    請求項4
    隠れた情報/データを含むブランド保護特徴/タガントを読み取り又は書き込むようになっている、ことを特徴とする請求項1から請求項3のいずれかに記載の機器。
    請求項5
    前記ブランド保護特徴/タガントを読み取り、これを前記セキュアな環境で処理して前記隠れたデータの潜在的な位置を判定するようになっている、ことを特徴とする請求項4に記載の機器。
    請求項6
    前記ブランド保護特徴/タガントを読み取り、これを前記セキュアな環境で処理して前記隠れたデータを識別するようになっている、ことを特徴とする請求項4又は請求項5に記載の機器。
    請求項7
    前記隠れたデータを読み取り、これを処理して前記ブランド保護特徴/タガントを認証するようになっている、ことを特徴とする請求項4から請求項6のいずれかに記載の機器。
    請求項8
    前記処理がワークフロー又はポリシである、ことを特徴とする請求項1に記載の機器。
    請求項9
    前記処理が、指定された順序で実行すべき複数のステップを含み、前記指定された順序が前記セキュアな環境に記憶され、前記機器が、ステップを実行する前記実際の順序を前記セキュアに記憶された指定された順序に照らしてチェックするようになっている、ことを特徴とする請求項1から請求項8のいずれかに記載の機器。
    請求項10
    前記ブランド保護特徴/タガントが機械読み取り可能である、ことを特徴とする請求項1から請求項9のいずれかに記載の機器。
    請求項11
    前記動作が、ブランド保護特徴の認証及びブランド保護特徴の発行又は登録の少なくとも一方である、ことを特徴とする請求項1に記載の機器。
    請求項12
    前記セキュアな処理環境が改ざん防止されている、ことを特徴とする請求項1から請求項11のいずれかに記載の機器。
    請求項13
    前記セキュアな処理環境が完全にカプセル化される、ことを特徴とする請求項12に記載の機器。
    請求項14
    前記セキュアな処理環境が、前記機器から取り外し可能である、ことを特徴とする請求項1から請求項13のいずれかに記載の機器。
    請求項15
    前記セキュアな処理環境が、セキュアアプリケーションモジュール又はハードウェアセキュリティモジュールを含む、ことを特徴とする請求項1から請求項14のいずれかに記載の機器。
    請求項16
    一次元又は二次元バーコード、RFIDタグ、蛍光タグのうちの1又はそれ以上を読み取り及び/又は書き込むようになっている、ことを特徴とする請求項1から請求項15のいずれかに記載の機器。
    請求項17
    ブランド保護特徴リーダ/ライタ機器に関するセキュリティを改善する方法であって、実行する処理をセキュアな処理環境と非セキュアな処理環境との間で分割するステップを含む、ことを特徴とする方法。
    請求項18
    前記機器の前記構成に関する既知の情報を使用して前記処理を分割するステップを含む、ことを特徴とする請求項17に記載の方法。
    請求項19
    前記処理を前記機器にダウンロードするステップを含む、ことを特徴とする請求項16又は請求項18に記載の方法。
    請求項20
    請求項17から請求項19に記載の前記方法を実施するためのコード又は命令を有する、ことを特徴とする好ましくはデータキャリア又はコンピュータ可読媒体又はプロセッサ上のコンピュータプログラム。
    請求項21
    請求項1から請求項16のいずれかに従って、機器から認証データを収集するようになっている、ことを特徴とするブランド保護管理システム(BPMS)。
    請求項22
    タガントリーダ及び/又はライタ機器上で実施するための処理を分配するようになっているブランド保護管理システムであって、前記処理が、部分的に前記機器上のセキュアな環境で、及び部分的に非セキュアな環境で実行するように分割される、ことを特徴とするブランド保護管理システム。
    請求項23
    複数の異なるタガントリーダ及び/又はライタ機器と共に使用するようになっているブランド保護管理システムであって、前記処理の異なるバージョンが準備され、個々のバージョンが、前記機器のタイプの一方の前記能力に従って分割される、ことを特徴とする請求項22に記載のブランド保護管理システム。
    类似技术:
    公开号 | 公开日 | 专利标题
    US10120993B2|2018-11-06|Secure identity binding |
    US9467292B2|2016-10-11|Hardware-based zero-knowledge strong authentication |
    US10140479B1|2018-11-27|Systems and methods for a wearable user authentication factor
    US10104070B2|2018-10-16|Code sequencing
    US20170359180A1|2017-12-14|Authentication in ubiquitous environment
    US9256881B2|2016-02-09|Authenticating and managing item ownership and authenticity
    JP2020074513A|2020-05-14|供給チェーンにおける出所の暗号検証
    US9740847B2|2017-08-22|Method and system for authenticating a user by means of an application
    US9946865B2|2018-04-17|Document authentication based on expected wear
    EP3217308B1|2018-12-26|A smart card reader with a secure logging feature
    EP2885904B1|2018-04-25|User-convenient authentication method and apparatus using a mobile authentication application
    Hendry2001|Smart card security and applications
    CN104281954B|2017-11-24|产品防伪方法
    US6934855B1|2005-08-23|Remote administration of smart cards for secure access systems
    US7840034B2|2010-11-23|Method, system and program for authenticating a user by biometric information
    TWI305327B|2009-01-11|Smart card data transaction system and methods for providing high levels of storage and transmission security
    US8621602B2|2013-12-31|One-time authentication system
    US8289135B2|2012-10-16|System, method and program product for associating a biometric reference template with a radio frequency identification tag
    JP5149909B2|2013-02-20|Rfid装置とのデータ・アクセス制御
    TW405105B|2000-09-11|Terminal and system for performing secure electronic transactions
    US9396506B2|2016-07-19|System providing an improved skimming resistance for an electronic identity document
    US8417960B2|2013-04-09|Method for generating an encryption key using biometrics authentication and restoring the encryption key and personal authentication system
    US8510572B2|2013-08-13|Remote access system, gateway, client device, program, and storage medium
    Windley2005|Digital Identity: Unmasking identity management architecture |
    US10373410B2|2019-08-06|Information processing system, control information processing device, and program
    同族专利:
    公开号 | 公开日
    US20110114718A1|2011-05-19|
    GB2457062A|2009-08-05|
    EP2238556A1|2010-10-13|
    GB0801811D0|2008-03-05|
    WO2009095691A1|2009-08-06|
    引用文献:
    公开号 | 申请日 | 公开日 | 申请人 | 专利标题
    JP2001273468A|2000-03-24|2001-10-05|Ntt Data Corp|Icカード発行装置、及び方法|
    JP2007143188A|2003-03-05|2007-06-07|Hitachi Ltd|二値画像用電子透かし方法|
    JP2006085251A|2004-09-14|2006-03-30|Toppan Printing Co Ltd|Authentication apparatus and method|
    WO2007100116A1|2006-02-27|2007-09-07|Sharp Kabushiki Kaisha|Control flow protection mechanism|
    WO2007128966A1|2006-04-07|2007-11-15|Iti Scotland Limited|Product authentication system|JP2015509234A|2011-12-28|2015-03-26|インテル・コーポレーション|ネットワークアクセスに関連したアプリケーションのための認証|
    JP2015514253A|2012-04-16|2015-05-18|インテル コーポレイション|Scalable and secure execution|
    JP2016146208A|2016-04-06|2016-08-12|インテル・コーポレーション|ネットワークアクセスに関連したアプリケーションのための認証|DE19804784A1|1998-02-06|1999-08-12|Philips Patentverwaltung|Chipkarte mit integrierter Schaltung|
    US6795905B1|2000-03-31|2004-09-21|Intel Corporation|Controlling accesses to isolated memory using a memory controller for isolated execution|
    FR2834573A1|2002-01-08|2003-07-11|Oberthur Card Syst Sa|Dispositif electronique de traitement de donnees apte a executer un logiciel protege contre les copies|
    US7080231B2|2002-10-18|2006-07-18|Sun Microsystems, Inc.|Processor with tagging buffer and methods for avoiding memory collisions|
    EP2937805A1|2003-09-30|2015-10-28|Broadcom Corporation|Proximity authentication system|
    US7451325B2|2004-08-02|2008-11-11|At&T Intellectual Property I, L.P.|Methods, systems and computer program products for detecting tampering of electronic equipment by varying a verification process|
    EP2315423B1|2004-08-06|2017-11-01|Digimarc Corporation|Fast signal detection and distributed computing in portable computing devices|
    US7382260B2|2004-09-01|2008-06-03|Microsoft Corporation|Hot swap and plug-and-play for RFID devices|
    US7156305B2|2004-12-23|2007-01-02|T3C Inc.|Apparatus and method for authenticating products|
    US8245292B2|2005-11-16|2012-08-14|Broadcom Corporation|Multi-factor authentication using a smartcard|
    US7494062B2|2006-11-17|2009-02-24|Ncr Corporation|Secure reader for use in data management|US7162035B1|2000-05-24|2007-01-09|Tracer Detection Technology Corp.|Authentication method and system|
    US8171567B1|2002-09-04|2012-05-01|Tracer Detection Technology Corp.|Authentication method and system|
    US7995196B1|2008-04-23|2011-08-09|Tracer Detection Technology Corp.|Authentication method and system|
    法律状态:
    2012-01-31| A621| Written request for application examination|Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120130 |
    2013-01-22| A521| Written amendment|Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130121 |
    2013-08-01| A977| Report on retrieval|Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130731 |
    2013-08-08| A131| Notification of reasons for refusal|Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130807 |
    2014-04-22| A131| Notification of reasons for refusal|Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140421 |
    2014-10-02| A02| Decision of refusal|Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20141001 |
    优先权:
    申请号 | 申请日 | 专利标题
    [返回顶部]