JP2003523029A - 不揮発性メモリ用保護付きリアルタイム書込み方法 - Google Patents
不揮発性メモリ用保護付きリアルタイム書込み方法Info
- Publication number
- JP2003523029A JP2003523029A JP2001559022A JP2001559022A JP2003523029A JP 2003523029 A JP2003523029 A JP 2003523029A JP 2001559022 A JP2001559022 A JP 2001559022A JP 2001559022 A JP2001559022 A JP 2001559022A JP 2003523029 A JP2003523029 A JP 2003523029A
- Authority
- JP
- Japan
- Prior art keywords
- data
- writing
- memory
- write
- initial data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/77—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
-
- G—PHYSICS
- G11—INFORMATION STORAGE
- G11C—STATIC STORES
- G11C16/00—Erasable programmable read-only memories
- G11C16/02—Erasable programmable read-only memories electrically programmable
- G11C16/06—Auxiliary circuits, e.g. for writing into memory
- G11C16/10—Programming or data input circuits
- G11C16/102—External programming circuits, e.g. EPROM programmers; In-circuit programming or reprogramming; EPROM emulators
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
- Read Only Memory (AREA)
- Fire-Detection Mechanisms (AREA)
- Techniques For Improving Reliability Of Storages (AREA)
- Measurement Of Unknown Time Intervals (AREA)
Abstract
(57)【要約】
プロセッサ(PR)により読出し/書込みコントローラ(CM)に送信された書込み要求(RE1)のデータは、スマートカードなどの携帯用電子製品内の不揮発性メモリ(MNV)に書込まれなければならない。アプリケーションは、書込み用コントローラの有効性を示す認知(AC)に応じて、メモリのデータ書込みと同時にプロセッサ内で実行されることが可能である。しかしながら、書込み終了前に送信された別の書込み要求は書込み終了まで待機する。また、コントローラは、メモリ内に書込まれたデータの完全性の検証を提供する。
Description
【0001】
(技術分野)
本発明は、不揮発性メモリを有する、潜在的にいかなるスマートカード又はそ
れに相当する携帯用電子製品に関し、例えば電子的に消去可能なプログラマブル
メモリEEPROMやフラッシュメモリに関する。
れに相当する携帯用電子製品に関し、例えば電子的に消去可能なプログラマブル
メモリEEPROMやフラッシュメモリに関する。
【0002】
(背景技術)
ICカードやマイクロコントローラとも呼ばれているスマートカードは、ポケ
ット計算機、オーガナイザー、電子財布、電子ゲームなどに相当する多くの携帯
用電子製品のように、異なる種類の情報を不揮発性メモリ内に蓄積する。 しかし、このデータ蓄積は、特にスマートカードに基づいたアプリケーション
では、書込み時間や安全性などの点で種々の制約を受ける。 書込み時間はメモリの種類に関係する。カードのアプリケーション層がバンキ
ング取引中や非接触のスマートカードなどで長時間制約を受けるのと相対的に書
込み時間が長くなる。
ット計算機、オーガナイザー、電子財布、電子ゲームなどに相当する多くの携帯
用電子製品のように、異なる種類の情報を不揮発性メモリ内に蓄積する。 しかし、このデータ蓄積は、特にスマートカードに基づいたアプリケーション
では、書込み時間や安全性などの点で種々の制約を受ける。 書込み時間はメモリの種類に関係する。カードのアプリケーション層がバンキ
ング取引中や非接触のスマートカードなどで長時間制約を受けるのと相対的に書
込み時間が長くなる。
【0003】
多くの場合、不揮発性メモリに委ねられたデータは、アプリケーション層によ
り傷つきやすいと考えられている。したがって、これらのデータの書込みプロセ
スは安全な状態で行われることが重要である。これらのデータの書込み中に書込
み失敗や欠陥やメモリへの作動が無効などの問題がみつかった場合は、取引の取
り消しやカードの無効など必要な措置を取るため、特にアプリケーション層に表
示させなければならない。
り傷つきやすいと考えられている。したがって、これらのデータの書込みプロセ
スは安全な状態で行われることが重要である。これらのデータの書込み中に書込
み失敗や欠陥やメモリへの作動が無効などの問題がみつかった場合は、取引の取
り消しやカードの無効など必要な措置を取るため、特にアプリケーション層に表
示させなければならない。
【0004】
この書込み機能を遂行するために、スマートカードのオペレーティングシステ
ムはソフトウェアエントリーポイントを構成し、メモリ管理専用のいくつかのサ
ービスを供給する。これを以後、“ドライバ”という。 “アプリケーション”という言葉は、以後、アプリケーション層においてカー
ドにより維持されるアプリケーション機能を実行するすべてのソフトウェアを示
す。ドライバは特にドライバ層に含まれた書込み及び読出しデータ用サブプログ
ラムを含む。
ムはソフトウェアエントリーポイントを構成し、メモリ管理専用のいくつかのサ
ービスを供給する。これを以後、“ドライバ”という。 “アプリケーション”という言葉は、以後、アプリケーション層においてカー
ドにより維持されるアプリケーション機能を実行するすべてのソフトウェアを示
す。ドライバは特にドライバ層に含まれた書込み及び読出しデータ用サブプログ
ラムを含む。
【0005】
図1はアプリケーションに要求され、ドライバにより実行されるメモリカード
への書込みプロセスの従来のアンフォールディングを左から右へと示すタイムチ
ャートである。書込みプロセスは通常3つのステップに分けられる。 − アプリケーションの書込み要求REに応じて、メモリの書込み及び読出し制
御の機能性を提供するコントローラの初期化INのステップ。 − 所要時間がメモリコントローラの技術的性能によって決まる、要求REに含
まれたデータ項目を書込むための書込みステップEC。 − メモリに書込まれたデータの精密度を確かめるための検証ステップVEで、
検証とは、ステップECで書込まれたデータをメモリに読出し、読出したデータ
と要求REに含まれた初期データとを比較することである。
への書込みプロセスの従来のアンフォールディングを左から右へと示すタイムチ
ャートである。書込みプロセスは通常3つのステップに分けられる。 − アプリケーションの書込み要求REに応じて、メモリの書込み及び読出し制
御の機能性を提供するコントローラの初期化INのステップ。 − 所要時間がメモリコントローラの技術的性能によって決まる、要求REに含
まれたデータ項目を書込むための書込みステップEC。 − メモリに書込まれたデータの精密度を確かめるための検証ステップVEで、
検証とは、ステップECで書込まれたデータをメモリに読出し、読出したデータ
と要求REに含まれた初期データとを比較することである。
【0006】
そこで、書込みプロセスの制御はドライバによりアプリケーションに引き渡さ
れ、最後の検証ステップVEが終了した後に応答終了RFをアプリケーションに
送信する。承知のように、すべての書込みプロセスはたいていメモリ製造に使用
された技術に応じて相対的に長く、したがって、それによりアプリケーションの
性能は悪くなる。このようにして、図1の2つの引続くアプリケーションタスク
TA1とTA2との間にSAで示したように、アプリケーションは書込みプロセ
スの最後まで一時中断される。
れ、最後の検証ステップVEが終了した後に応答終了RFをアプリケーションに
送信する。承知のように、すべての書込みプロセスはたいていメモリ製造に使用
された技術に応じて相対的に長く、したがって、それによりアプリケーションの
性能は悪くなる。このようにして、図1の2つの引続くアプリケーションタスク
TA1とTA2との間にSAで示したように、アプリケーションは書込みプロセ
スの最後まで一時中断される。
【0007】
従来の演算の分野において、“リアルタイムで”のデータの書込みは、データ
が“ノンリアルタイムで”書込まれることを可能にする、つまり、アプリケーシ
ョンの進行を妨げることのない従来の解決法である。この解決法は特にディスク
やハードディスクタイプの蓄積手段に適用される。 一方、スマートカード専用システムを操作する状況において、データを“ノン
リアルタイムで”書込むことはさらに実行し難い。一般的にオペレーティングシ
ステムは特にRAMタイプのメモリに対して低下するハードウェア環境と適合さ
せなければならない。このため、一般的に最終検証のために書込まれたデータを
メモリ内にとどめておくことが不可能である。
が“ノンリアルタイムで”書込まれることを可能にする、つまり、アプリケーシ
ョンの進行を妨げることのない従来の解決法である。この解決法は特にディスク
やハードディスクタイプの蓄積手段に適用される。 一方、スマートカード専用システムを操作する状況において、データを“ノン
リアルタイムで”書込むことはさらに実行し難い。一般的にオペレーティングシ
ステムは特にRAMタイプのメモリに対して低下するハードウェア環境と適合さ
せなければならない。このため、一般的に最終検証のために書込まれたデータを
メモリ内にとどめておくことが不可能である。
【0008】
(発明の開示)
本発明は、チップカード又はそれに相当する携帯用電子製品を“リアルタイム
書込み”という概念にソフトウェアの安全性に関する性能に損傷なく適合させる
ことを目的とする。 この目的において、データプロセッシング手段によってスマートカードタイプ
の携帯用電子製品のメモリの書込み/読出し制御手段に送信された書込み要求に
含まれた初期データを書込む方法は、以下のステップから成ることを特徴とする
。
書込み”という概念にソフトウェアの安全性に関する性能に損傷なく適合させる
ことを目的とする。 この目的において、データプロセッシング手段によってスマートカードタイプ
の携帯用電子製品のメモリの書込み/読出し制御手段に送信された書込み要求に
含まれた初期データを書込む方法は、以下のステップから成ることを特徴とする
。
【0009】
− 制御手段がメモリの初期データの書込みに利用可能な場合にのみ、制御手段
により書込み要求に応じて直ちにデータプロセッシング手段に認知を送信し、 − メモリに書込まれたデータとして初期データの書込みと同時に認知に応じて
データプロセッシング手段のタスクを実行し、 − もしデータプロセッシング手段が書込み終了より前に別の書込み要求を送信
すると、書込み終了までデータプロセッシング手段を待機させ、 − 制御手段によりメモリの初期データの書込み終了後にのみ、別の書込み要求
を受け入れる。
により書込み要求に応じて直ちにデータプロセッシング手段に認知を送信し、 − メモリに書込まれたデータとして初期データの書込みと同時に認知に応じて
データプロセッシング手段のタスクを実行し、 − もしデータプロセッシング手段が書込み終了より前に別の書込み要求を送信
すると、書込み終了までデータプロセッシング手段を待機させ、 − 制御手段によりメモリの初期データの書込み終了後にのみ、別の書込み要求
を受け入れる。
【0010】
このように、携帯用電子製品のプロセッサのようなデータプロセッシング手段
の少なくとも1つのアプリケーションに関するタスクは、メモリへの初期データ
の書込みと平行して実行される。しかし、制御手段のドライバに送信された別の
書込み要求は、初期データの書込みが終了したときのみ供給される。ドライバの
サービスにアクセスするこの手段は、ドライバの書込みプロセスへのアクセスを
制御する信号装置を通して行われ、書込み要求間の摩擦を管理し、ドライバが利
用不可能であると認識される間、次の書込み要求の終了を遅延させることを可能
とする。
の少なくとも1つのアプリケーションに関するタスクは、メモリへの初期データ
の書込みと平行して実行される。しかし、制御手段のドライバに送信された別の
書込み要求は、初期データの書込みが終了したときのみ供給される。ドライバの
サービスにアクセスするこの手段は、ドライバの書込みプロセスへのアクセスを
制御する信号装置を通して行われ、書込み要求間の摩擦を管理し、ドライバが利
用不可能であると認識される間、次の書込み要求の終了を遅延させることを可能
とする。
【0011】
ドライバの開放は、携帯用電子製品に備えられた書込み検出手段の終了により
、認知が送信されるとすぐに所定の時間十分にカウントダウンし、所定の時間が
終了すると書込み終了を知らせるため、データプロセッシング手段で生成したア
プリケーションに知らされる。他の実施の形態によると、別の書込み要求を受け
入れるステップはメモリ内部の電圧増加手段の非活性化を伴う。
、認知が送信されるとすぐに所定の時間十分にカウントダウンし、所定の時間が
終了すると書込み終了を知らせるため、データプロセッシング手段で生成したア
プリケーションに知らされる。他の実施の形態によると、別の書込み要求を受け
入れるステップはメモリ内部の電圧増加手段の非活性化を伴う。
【0012】
また、本発明による制御手段は、安全性の制約に従って書込まれたデータの完
全性のチェック、つまり、初期データの書込みとデータプロセッシング手段の制
御のもとで書込まれたデータの次の読出しとの間で生じる書込みデータを比較し
た初期データの完全性の検証を備えることが可能である。検証は初期データの書
込み直後、特に別の書込み要求を受け入れるステップの前に行なわれるか、書込
み終了後、特に書込まれたデータの次の読出し直前に行なわれるかのどちらかで
ある。
全性のチェック、つまり、初期データの書込みとデータプロセッシング手段の制
御のもとで書込まれたデータの次の読出しとの間で生じる書込みデータを比較し
た初期データの完全性の検証を備えることが可能である。検証は初期データの書
込み直後、特に別の書込み要求を受け入れるステップの前に行なわれるか、書込
み終了後、特に書込まれたデータの次の読出し直前に行なわれるかのどちらかで
ある。
【0013】
本発明では、書込まれたデータを単に読出すことによって初期データの完全性
の検証を実行することはない。また、スマートカードなど携帯用電子製品のメモ
リ内の資源が相対的に限定されて、メモリへの書込み時にすべての初期データを
一時的に蓄積することが不可能な場合、それについて初期データとの比較を実行
することもない。本発明による完全性の検証では、初期データの署名と書込まれ
たデータ読出しの署名との比較を備えることができる。それぞれの署名は対応す
るデータの巡回冗長暗号、又は対応するデータのチョッピングから取り出すこと
が出来る。このように、検証のためのメモリの占有は、データ署名に対してはデ
ータ自体に対してよりもかなり短く削減される。
の検証を実行することはない。また、スマートカードなど携帯用電子製品のメモ
リ内の資源が相対的に限定されて、メモリへの書込み時にすべての初期データを
一時的に蓄積することが不可能な場合、それについて初期データとの比較を実行
することもない。本発明による完全性の検証では、初期データの署名と書込まれ
たデータ読出しの署名との比較を備えることができる。それぞれの署名は対応す
るデータの巡回冗長暗号、又は対応するデータのチョッピングから取り出すこと
が出来る。このように、検証のためのメモリの占有は、データ署名に対してはデ
ータ自体に対してよりもかなり短く削減される。
【0014】
完全性の検証はデータプロセッシング手段にとって時間の面で貴重であり、検
証は、例えばアプリケーション層のコミュニケーションプロトコルの管理など、
敏感なプロセスと干渉しないように最小限の優先タスク形式で“ノンリアルタイ
ムで”実行される。初期データと比較して書込みデータの完全性に不足がある場
合、セキュリティーソフトウェアマネージャのような安全手段が、例えば携帯用
電子製品の通常の使用を回避する目的で起動される。このように、検証の実行は
アプリケーションの現在のタスクに干渉せず、時には中断することなく、例えば
コミュニケーションプロトコルに関連したプロセスのようである。この特性を保
障するために、データプロセッシング手段のシステムを操作するソフトウェアの
構造は、それぞれのタスクに分配された優先権を仲裁することが可能な真に簡易
化されたリアルタイムカーネルを使ってこの制約を適合させる。 本発明のその他の特徴および利点は、添付の図面を参考にしながら本発明のい
くつかの好適な実施形態を読み取ることによりさらに明確になるだろう。
証は、例えばアプリケーション層のコミュニケーションプロトコルの管理など、
敏感なプロセスと干渉しないように最小限の優先タスク形式で“ノンリアルタイ
ムで”実行される。初期データと比較して書込みデータの完全性に不足がある場
合、セキュリティーソフトウェアマネージャのような安全手段が、例えば携帯用
電子製品の通常の使用を回避する目的で起動される。このように、検証の実行は
アプリケーションの現在のタスクに干渉せず、時には中断することなく、例えば
コミュニケーションプロトコルに関連したプロセスのようである。この特性を保
障するために、データプロセッシング手段のシステムを操作するソフトウェアの
構造は、それぞれのタスクに分配された優先権を仲裁することが可能な真に簡易
化されたリアルタイムカーネルを使ってこの制約を適合させる。 本発明のその他の特徴および利点は、添付の図面を参考にしながら本発明のい
くつかの好適な実施形態を読み取ることによりさらに明確になるだろう。
【0015】
(発明を実施するための最良の形態)
図2に関して、スマートカードCPやその他のそれに相当する携帯用電子製品
、例えば無線電話ターミナルに差込み可能なSIM(加入者識別モジュール)スマ
ートカードと呼ばれているマイクロプロセッサモジュールなどの“チップ”を構
成するマイクロコントローラは、主に、概要的にセントラルプロセッシングユニ
ットCPUを含む。このCPUはマイクロプロセッサPRと、カード用オペレー
ティングシステムOSを含む、あるいは、ブラウザと特定のコミュニケーション
と認証アプリケーションアルゴリズムにより補足されているROMタイプのメモ
リMOと、特に、個人識別番号や名前のリストなどのカードのプロセッサに関連
するデータを含むEEPROMタイプの不揮発性メモリMNVと、そして、本質
的に、無線電話やバンキングターミナルなど、カードを受け入れるステーション
から受信されるデータや受け入れるステーションへ送信するデータを処理するこ
とを意図したRAMのメモリMAとを含む。すべての構成要素PR、MO、MN
V、MAは互いに内部バスBUにより接続されている。
、例えば無線電話ターミナルに差込み可能なSIM(加入者識別モジュール)スマ
ートカードと呼ばれているマイクロプロセッサモジュールなどの“チップ”を構
成するマイクロコントローラは、主に、概要的にセントラルプロセッシングユニ
ットCPUを含む。このCPUはマイクロプロセッサPRと、カード用オペレー
ティングシステムOSを含む、あるいは、ブラウザと特定のコミュニケーション
と認証アプリケーションアルゴリズムにより補足されているROMタイプのメモ
リMOと、特に、個人識別番号や名前のリストなどのカードのプロセッサに関連
するデータを含むEEPROMタイプの不揮発性メモリMNVと、そして、本質
的に、無線電話やバンキングターミナルなど、カードを受け入れるステーション
から受信されるデータや受け入れるステーションへ送信するデータを処理するこ
とを意図したRAMのメモリMAとを含む。すべての構成要素PR、MO、MN
V、MAは互いに内部バスBUにより接続されている。
【0016】
本発明に関して、スマートカードもまた、データのメモリへの書込み、読出し
、消去のようなコマンドを確立するために不揮発性メモリMNVを制御するコン
トローラCMを備えており、メモリの区画をアドレス指定する。メモリコントロ
ーラCMは、バスBUを通じて要求と応答とを交換することで展開するアプリケ
ーションとして、プロセッサPRと相互に作用する。特に、コントローラCMは
メモリMNVで少なくとも書込みプロセスと読出しプロセスとを制御するドライ
バDRと、信号検出器VSと、書込み終了検出器DFEとを含む、もしくは、少
なくとも部分的に結合する。DR、VS、CMのエレメントはハードウェアおよ
び/もしくはソフトウェア形式で製造される。もし、あるエレメントが少なくと
もソフトウェア形式であれば、これらの機能のいくらかは、メモリMO内に配置
することが出来る。
、消去のようなコマンドを確立するために不揮発性メモリMNVを制御するコン
トローラCMを備えており、メモリの区画をアドレス指定する。メモリコントロ
ーラCMは、バスBUを通じて要求と応答とを交換することで展開するアプリケ
ーションとして、プロセッサPRと相互に作用する。特に、コントローラCMは
メモリMNVで少なくとも書込みプロセスと読出しプロセスとを制御するドライ
バDRと、信号検出器VSと、書込み終了検出器DFEとを含む、もしくは、少
なくとも部分的に結合する。DR、VS、CMのエレメントはハードウェアおよ
び/もしくはソフトウェア形式で製造される。もし、あるエレメントが少なくと
もソフトウェア形式であれば、これらの機能のいくらかは、メモリMO内に配置
することが出来る。
【0017】
図3には図1の従来技術によるものと比較可能なタイムチャートがある。オペ
レーティングシステムOSに基づいたアプリケーションAPが左から右への一連
のタスクT1、T2、T3で動作する。アプリケーションAPが第1タスクT1
の端の方で次にドライバDRに配信される書込み要求RE1を確立すると仮定す
る。アプリケーションは同時にドライバの書込みプロセスと展開され、図1のよ
うにアプリケーションを中断せず、アプリケーションのタスクT1から後に続く
次のタスクT2、T3の動作を阻止しない。
レーティングシステムOSに基づいたアプリケーションAPが左から右への一連
のタスクT1、T2、T3で動作する。アプリケーションAPが第1タスクT1
の端の方で次にドライバDRに配信される書込み要求RE1を確立すると仮定す
る。アプリケーションは同時にドライバの書込みプロセスと展開され、図1のよ
うにアプリケーションを中断せず、アプリケーションのタスクT1から後に続く
次のタスクT2、T3の動作を阻止しない。
【0018】
図4は本発明の第1の実施例によるアプリケーションにより確立された次の書
込み要求REに遭遇するメインステップE1からE7を示す。 第1ステップE1で、ドライバは要求REに含まれた初期データDIに関連す
る書込みプロセスを初期化する。図3のRE1で示したように、ドライバDRが
いずれの書込みタスクからも開放されていると、すでに述べたように、アプリケ
ーションAPは書込みプロセスと並行に展開する。ドライバはアプリケーション
に認知ACを送信することにより、次のステップE2で近接した書込みの始動を
確認する。
込み要求REに遭遇するメインステップE1からE7を示す。 第1ステップE1で、ドライバは要求REに含まれた初期データDIに関連す
る書込みプロセスを初期化する。図3のRE1で示したように、ドライバDRが
いずれの書込みタスクからも開放されていると、すでに述べたように、アプリケ
ーションAPは書込みプロセスと並行に展開する。ドライバはアプリケーション
に認知ACを送信することにより、次のステップE2で近接した書込みの始動を
確認する。
【0019】
一方、ステップE3で示したように、書込みプロセス中に、タスクT2の最中
での要求RE2、またはタスクT3(図3)の開始での要求RE3のように、書
込み要求REが発生すると、それが検出器DFEの書込み信号FEの終了により
知らされて、アプリケーションAPは現行の書込みプロセスの終了まで中断され
る。そこで、要求RE1またはRE2は、現行の書込みプロセスが終了次第、す
ぐに読み取られるようにドライバの列に書込まれた後、待機状態となる。
での要求RE2、またはタスクT3(図3)の開始での要求RE3のように、書
込み要求REが発生すると、それが検出器DFEの書込み信号FEの終了により
知らされて、アプリケーションAPは現行の書込みプロセスの終了まで中断され
る。そこで、要求RE1またはRE2は、現行の書込みプロセスが終了次第、す
ぐに読み取られるようにドライバの列に書込まれた後、待機状態となる。
【0020】
このように、初期化ステップE1およびE2に続くプロセス段階で、次のタス
クT2が書込みを要求しないと、従来技術のように中断なく、保留もされずに実
行されるだろう。例えば、スマートカードを受け入れるステーションに応答を送
る、もしくは受け入れるステーションから要求を受け取るアプリケーションAP
のタスクT2は、現行の書込みプロセスにより干渉されることはない。
クT2が書込みを要求しないと、従来技術のように中断なく、保留もされずに実
行されるだろう。例えば、スマートカードを受け入れるステーションに応答を送
る、もしくは受け入れるステーションから要求を受け取るアプリケーションAP
のタスクT2は、現行の書込みプロセスにより干渉されることはない。
【0021】
ステップE2において、第1の変形例で、書込み検出器DFEの終了が直接メ
モリMNVのコントローラCMに含まれず、いわゆる、クロックパルスカウンタ
という所定の時間DP用タイマの形式であるときには、応答ACの確立と同時に
書込み検出器DFEの終了が起動される。特定のメモリ書込みの所定の継続時間
が予めプログラムされているので、書込み検出器DFEの終了は要求RE1に続
くプロセッサPRによってコントローラCMを起動させる。
モリMNVのコントローラCMに含まれず、いわゆる、クロックパルスカウンタ
という所定の時間DP用タイマの形式であるときには、応答ACの確立と同時に
書込み検出器DFEの終了が起動される。特定のメモリ書込みの所定の継続時間
が予めプログラムされているので、書込み検出器DFEの終了は要求RE1に続
くプロセッサPRによってコントローラCMを起動させる。
【0022】
第2の変形例によると、書込み検出器DFEの終了は集積回路基板上の不揮発
性メモリMNVのコントローラ内で実行される。この例では、レジスタの再初期
化によりマークされた書込みプロセスの停止や、特に書込み時に必要なEEPR
OMタイプの再度書込み可能なメモリ内部の高いプログラミング電圧としてカー
ドに供給電圧を増加させるチャージパンプの非活性化は自動的に行われる。
性メモリMNVのコントローラ内で実行される。この例では、レジスタの再初期
化によりマークされた書込みプロセスの停止や、特に書込み時に必要なEEPR
OMタイプの再度書込み可能なメモリ内部の高いプログラミング電圧としてカー
ドに供給電圧を増加させるチャージパンプの非活性化は自動的に行われる。
【0023】
ステップE2に続くステップE4の後、ドライバDRはメモリMNVの指定さ
れた区画のレジスタRE1に初期データDIを書込む。次にドライバは安全性の
見地から極めて重要な、ステップ5において書込まれたデータを検証する。ステ
ップE5の間、ドライバDRは書込まれたデータDEを読出し、検証器VSは固
有の書込みステップE4の前に、要求RE1に最初に含まれたデータIDと比較
する。実際の検証器VSでの比較は、ドライバによって確立された書込み以前の
初期データの署名S(DI)と書込み後に読出されたデータの署名S(DE)と
の比較である。署名S(DI)とS(DE)とは全く同一の検証アルゴリズムに
より算出される。対応する書込みデータの署名S(DE)の算出を待つ間に、要
求RE1の初期データの署名S(DI)はただちに算出され、メモリ内に読出さ
れる。好都合にも、これらの署名はデータ信号よりもかなり短いデータ長である
。
れた区画のレジスタRE1に初期データDIを書込む。次にドライバは安全性の
見地から極めて重要な、ステップ5において書込まれたデータを検証する。ステ
ップE5の間、ドライバDRは書込まれたデータDEを読出し、検証器VSは固
有の書込みステップE4の前に、要求RE1に最初に含まれたデータIDと比較
する。実際の検証器VSでの比較は、ドライバによって確立された書込み以前の
初期データの署名S(DI)と書込み後に読出されたデータの署名S(DE)と
の比較である。署名S(DI)とS(DE)とは全く同一の検証アルゴリズムに
より算出される。対応する書込みデータの署名S(DE)の算出を待つ間に、要
求RE1の初期データの署名S(DI)はただちに算出され、メモリ内に読出さ
れる。好都合にも、これらの署名はデータ信号よりもかなり短いデータ長である
。
【0024】
例えば、署名S(DI)やS(DE)のそれぞれは、プロセッサPRの介入な
しに検証器VSにより迅速に実行される巡回冗長暗号CRC(巡回冗長検査)か
ら抽出される。 別の例によると、署名S(DI)やS(DE)のそれぞれは、対応するデータ
のチョッピングから、つまり、対応するデータの所定の部分のサンプリングから
発生させることが出来、チョッピングされた初期データと書込まれ、読出されて
チョッピングされたデータとから発生させた署名が比較される。 検証器VSは、図2に示したように、ハードワイヤードロジックとしても実現
出来、ROMメモリMOにソフトウェア形式で実現することも可能である。
しに検証器VSにより迅速に実行される巡回冗長暗号CRC(巡回冗長検査)か
ら抽出される。 別の例によると、署名S(DI)やS(DE)のそれぞれは、対応するデータ
のチョッピングから、つまり、対応するデータの所定の部分のサンプリングから
発生させることが出来、チョッピングされた初期データと書込まれ、読出されて
チョッピングされたデータとから発生させた署名が比較される。 検証器VSは、図2に示したように、ハードワイヤードロジックとしても実現
出来、ROMメモリMOにソフトウェア形式で実現することも可能である。
【0025】
もし、検証テストでステップE5で、初期データDIと比較された書込みデー
タDEに完全性の不足が明らかになると、ステップE6に示すように、安全手段
、例えばスマートカードのメモリMOに組込まれた安全マネージャが緊急タスク
を実行するために起動される。緊急タスクとは、例えば、カードを無効にしたり
、初期データの再書込みを要求するため、アプリケーションAPを中断したり、
ドライバの書込み初期データのプロセスをカードの別のメモリへ転送することに
よって、スマートカードとカードを差し込むためのカード受け入れステーション
とのコミュニケーションを禁止するものである。
タDEに完全性の不足が明らかになると、ステップE6に示すように、安全手段
、例えばスマートカードのメモリMOに組込まれた安全マネージャが緊急タスク
を実行するために起動される。緊急タスクとは、例えば、カードを無効にしたり
、初期データの再書込みを要求するため、アプリケーションAPを中断したり、
ドライバの書込み初期データのプロセスをカードの別のメモリへ転送することに
よって、スマートカードとカードを差し込むためのカード受け入れステーション
とのコミュニケーションを禁止するものである。
【0026】
検証を伴う書込みプロセスの終了はステップE7においての書込み検出器DF
Eの終了によって検出され、前の書込みプロセスの終了後コントローラCMに表
示される。ついで、コントローラは別の書込み要求を受け入れる状態になり、あ
るいは、図3に示した要求RE2のように既に待機中となる。
Eの終了によって検出され、前の書込みプロセスの終了後コントローラCMに表
示される。ついで、コントローラは別の書込み要求を受け入れる状態になり、あ
るいは、図3に示した要求RE2のように既に待機中となる。
【0027】
変形例として、コントローラCMはアプリケーションAPへ送信される割り込
みの形で、書込み信号FEの終了を発生させる。検出器DFEが前述の継続時間
タイマの場合、所定の期間DPの終了に対応するゼロへの移行は、信号FEによ
りプロセッサPRに伝えられ、コントローラCMを停止する。検出器DFEがコ
ントローラCMに直接組込まれているときには、後者はプロセッサPRに配信す
るため、書込みに必要なチャージパンプの非活性化に続く検証に有効な所定の遅
延の後、自動的に信号FEを発生させる。
みの形で、書込み信号FEの終了を発生させる。検出器DFEが前述の継続時間
タイマの場合、所定の期間DPの終了に対応するゼロへの移行は、信号FEによ
りプロセッサPRに伝えられ、コントローラCMを停止する。検出器DFEがコ
ントローラCMに直接組込まれているときには、後者はプロセッサPRに配信す
るため、書込みに必要なチャージパンプの非活性化に続く検証に有効な所定の遅
延の後、自動的に信号FEを発生させる。
【0028】
他の実施の形態によると、安全ステップE6を伴う検証ステップE5は、ステ
ップE4とE7との間の書込みプロセス中ではなく、図5のE10に示したよう
に、プロセッサPRによりメモリMNVに書込まれたデータを読取るその後のプ
ロセスのスタート時に含むようにすることも出来る。ステップ10はアプリケー
ションAPからの読出し要求RLを伴い、プロセッサPRによりバスBUを通し
てドライバDRに印加される。読出し要求RLはステップE1と同じように、読
出しのためのステップE8でドライバDRにより有効化されるか、もしくは、ド
ライバDRが書込み要求を処理するとき、読出しステップが終了するまでステッ
プE9の間待機させられる。 ついで、ステップE10でのポジティブな検証の後、ステップE11で既知の
方法により読出しプロセスは継続される。
ップE4とE7との間の書込みプロセス中ではなく、図5のE10に示したよう
に、プロセッサPRによりメモリMNVに書込まれたデータを読取るその後のプ
ロセスのスタート時に含むようにすることも出来る。ステップ10はアプリケー
ションAPからの読出し要求RLを伴い、プロセッサPRによりバスBUを通し
てドライバDRに印加される。読出し要求RLはステップE1と同じように、読
出しのためのステップE8でドライバDRにより有効化されるか、もしくは、ド
ライバDRが書込み要求を処理するとき、読出しステップが終了するまでステッ
プE9の間待機させられる。 ついで、ステップE10でのポジティブな検証の後、ステップE11で既知の
方法により読出しプロセスは継続される。
【図1】
従来技術によるメモリへの書込みプロセスのタイムチャートである。
【図2】
スマートカードのハードウェア構造の回路ブロック図である。
【図3】
本発明によるメモリへの書込みプロセスのタイムチャートである。
【図4】
本発明の第一の実施例による書込みプロセスのアルゴリズムである。
【図5】
本発明の第二の実施例によるデータ書込み及び読出しプロセスのアルゴリズム
である。
である。
─────────────────────────────────────────────────────
フロントページの続き
(81)指定国 EP(AT,BE,CH,CY,
DE,DK,ES,FI,FR,GB,GR,IE,I
T,LU,MC,NL,PT,SE,TR),OA(BF
,BJ,CF,CG,CI,CM,GA,GN,GW,
ML,MR,NE,SN,TD,TG),AP(GH,G
M,KE,LS,MW,MZ,SD,SL,SZ,TZ
,UG,ZW),EA(AM,AZ,BY,KG,KZ,
MD,RU,TJ,TM),AE,AG,AL,AM,
AT,AU,AZ,BA,BB,BG,BR,BY,B
Z,CA,CH,CN,CR,CU,CZ,DE,DK
,DM,DZ,EE,ES,FI,GB,GD,GE,
GH,GM,HR,HU,ID,IL,IN,IS,J
P,KE,KG,KP,KR,KZ,LC,LK,LR
,LS,LT,LU,LV,MA,MD,MG,MK,
MN,MW,MX,MZ,NO,NZ,PL,PT,R
O,RU,SD,SE,SG,SI,SK,SL,TJ
,TM,TR,TT,TZ,UA,UG,US,UZ,
VN,YU,ZA,ZW
(72)発明者 パスカル ガターマン
フランス ロクエバイル エフ−13360
ラスコーズ シェマン デ ロオーレ
Fターム(参考) 5B035 AA02 BB09 CA11 CA29
5B060 CC01
【要約の続き】
Claims (10)
- 【請求項1】 携帯用電子製品(CP)内のメモリ(MNV)の書込み/読
出し制御手段(CM、DR)にデータプロセッシング手段(PR、AP)によっ
て送信された書込み要求(RE1)に含まれる初期データを書込む方法において
、 前記制御手段(CM、DR)が、前記メモリの初期データ(DI)の書込み(
E4)に利用可能な場合にのみ、前記制御手段は前記書込み要求(RE1)に応
じて直ちに前記データプロセッシング手段(PR、AP)に認知(AC)を送信
し(E1、E2)、 前記メモリに書込まれた(DE)データとして前記初期データ(DI)の前記
書込み(E4)と同時に前記認知に応じて前記データプロセッシング手段でタス
ク(T2、T3)を実行し、 前記データプロセッシング手段が前記書込み終了より前に別の書込み要求(R
E2)を送信すると、前記書込み終了まで前記データプロセッシング手段(PR
、AP)を待機させ(E3)、 前記制御手段により前記メモリ(MNV)の前記初期データの前記書込み終了
後にのみ、前記別の書込み要求(RE2)を受け入れる(E7)、 ことを特徴とする初期データを書込む方法。 - 【請求項2】 前記認知(AC)が送信される(E2)とすぐに所定の時間
(DP)を計測し、前記所定の時間が終了すると前記書込み終了(E7)を知ら
せるため、書込み検出手段(DFE)の終了が前記携帯用電子製品(CP)に備
えられることを特徴とする請求項1に記載の方法。 - 【請求項3】 別の書込み要求を受け入れるステップ(E7)が前記メモリ
(MNV)内部の電圧増加手段の非活性化を伴うことを特徴とする請求項1に記
載の方法。 - 【請求項4】 前記初期データ(E4)の前記書込みと前記書込まれたデー
タ(DE)の次の読出し(E11)との間で生じる前記書込みデータ(DE)と
を比較し、前記初期データ(DI)の完全性を検証するステップ(E5、E10
)を備えることを特徴とする請求項1乃至3のいずれかに記載の方法。 - 【請求項5】 前記検証(E5)が前記初期データ(DI)の前記書込み(
E4)直後に起こることを特徴とする請求項4に記載の方法。 - 【請求項6】 前記検証(E10)が前記書込まれたデータ(DE)の前記
次の読出し(E11)直前に起こることを特徴とする請求項4に記載の方法。 - 【請求項7】 前記検証が初期データ信号(S(DI))と前記メモリ(M
NV)に読出された書込みデータ信号(S(DE))との比較を備えることを特
徴とする請求項4乃至6のいずれかに記載の方法。 - 【請求項8】 それぞれの署名は対応するデータの巡回冗長暗号から取出さ
れることを特徴とする請求項7に記載の方法。 - 【請求項9】 それぞれの署名は対応するデータのチョッピングから発生さ
せられることを特徴とする請求項7に記載の方法。 - 【請求項10】 前記初期データ(DI)と比較された前記書込みデータ(
DE)の完全性の不足に応答し、安全手段(E6)を活性化させるステップを備
えることを特徴とする請求項4乃至9のいずれかに記載の方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR00/01869 | 2000-02-11 | ||
| FR0001869A FR2805073B1 (fr) | 2000-02-11 | 2000-02-11 | Ecriture en temps reel securisee pour memoire non volatile |
| PCT/FR2001/000325 WO2001059788A1 (fr) | 2000-02-11 | 2001-02-02 | Ecriture en temps reel securisee pour memoire volatile |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003523029A true JP2003523029A (ja) | 2003-07-29 |
Family
ID=8847025
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001559022A Pending JP2003523029A (ja) | 2000-02-11 | 2001-02-02 | 不揮発性メモリ用保護付きリアルタイム書込み方法 |
Country Status (11)
| Country | Link |
|---|---|
| US (1) | US20030089786A1 (ja) |
| EP (1) | EP1258004B1 (ja) |
| JP (1) | JP2003523029A (ja) |
| CN (1) | CN1286114C (ja) |
| AT (1) | ATE404974T1 (ja) |
| AU (1) | AU2001231969A1 (ja) |
| DE (1) | DE60135309D1 (ja) |
| ES (1) | ES2313944T3 (ja) |
| FR (1) | FR2805073B1 (ja) |
| MX (1) | MXPA02007711A (ja) |
| WO (1) | WO2001059788A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006127360A (ja) * | 2004-11-01 | 2006-05-18 | Dainippon Printing Co Ltd | Icカード用icチップ、icカード及びicカード用プログラム |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2829847A1 (fr) * | 2001-09-20 | 2003-03-21 | Cp8 | Procede de controle d'acces a des ressources partagees dans un systeme embarque et systeme embarque pour la mise en oeuvre d'un tel procede |
| DE102006038428A1 (de) * | 2006-08-17 | 2008-02-21 | Bayerische Motoren Werke Ag | Verfahren zur Programmierung eines Steuergerätes eines Kraftfahrzeugs |
| DE102007055654A1 (de) * | 2007-11-21 | 2009-05-28 | Giesecke & Devrient Gmbh | Tragbarer Datenträger |
| DE102009014995A1 (de) | 2009-03-26 | 2010-09-30 | Giesecke & Devrient Gmbh | Sicherer Speicherzugriff auf einem portablen Datenträger |
| US8769188B2 (en) * | 2009-11-18 | 2014-07-01 | Mediatek Inc. | Nonvolatile memory controller and method for writing data to nonvolatile memory |
| FR3035239B1 (fr) * | 2015-04-17 | 2017-03-31 | Morpho | Procede de gestion d'une memoire de carte electronique |
| CN109920462B (zh) * | 2019-03-01 | 2021-01-22 | 中国科学院微电子研究所 | 一种数据写入控制电路和控制方法 |
| US10972902B1 (en) * | 2019-09-27 | 2021-04-06 | Qualcomm Incorporated | Managing concurrent access to universal integrated circuit cards |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3732615A1 (de) * | 1986-11-19 | 1988-06-01 | Toshiba Kawasaki Kk | Verarbeitungssystem fuer eine tragbare, elektronische vorrichtung |
| JP2724046B2 (ja) * | 1991-02-07 | 1998-03-09 | 富士写真フイルム株式会社 | Icメモリカードシステム |
| US5663901A (en) * | 1991-04-11 | 1997-09-02 | Sandisk Corporation | Computer memory cards using flash EEPROM integrated circuit chips and memory-controller systems |
| JP3053301B2 (ja) * | 1992-09-11 | 2000-06-19 | 三菱電機株式会社 | 半導体集積回路及びicカード |
| FR2705820B1 (fr) * | 1993-05-26 | 1995-08-11 | Solaic Sa | Procédé pour sécuriser les écritures de données sensibles dans la mémoire de stockage de données EEPROM d'une carte à mémoire, et carte à mémoire pour la mise en Óoeuvre de ce procédé. |
| JPH0896106A (ja) * | 1994-09-29 | 1996-04-12 | Mitsubishi Electric Corp | Icカード及びicカードシステム |
| DE19600081C2 (de) * | 1996-01-03 | 1999-11-18 | Ibm | Sicherung der Datenintegrität bei Datenträgerkarten |
| JP3728366B2 (ja) * | 1997-05-13 | 2005-12-21 | 株式会社ルネサステクノロジ | Icカード |
| DE19858840A1 (de) * | 1998-12-19 | 2000-06-21 | Orga Kartensysteme Gmbh | Verfahren zum bidirektionalen Datentransfer zwischen einem Terminal und einer Chipkarte sowie Chipkarte |
-
2000
- 2000-02-11 FR FR0001869A patent/FR2805073B1/fr not_active Expired - Fee Related
-
2001
- 2001-02-02 DE DE60135309T patent/DE60135309D1/de not_active Expired - Lifetime
- 2001-02-02 AT AT01904042T patent/ATE404974T1/de not_active IP Right Cessation
- 2001-02-02 AU AU2001231969A patent/AU2001231969A1/en not_active Abandoned
- 2001-02-02 JP JP2001559022A patent/JP2003523029A/ja active Pending
- 2001-02-02 EP EP01904042A patent/EP1258004B1/fr not_active Expired - Lifetime
- 2001-02-02 CN CNB018047793A patent/CN1286114C/zh not_active Expired - Fee Related
- 2001-02-02 WO PCT/FR2001/000325 patent/WO2001059788A1/fr active IP Right Grant
- 2001-02-02 ES ES01904042T patent/ES2313944T3/es not_active Expired - Lifetime
- 2001-02-02 MX MXPA02007711A patent/MXPA02007711A/es unknown
- 2001-02-02 US US10/203,284 patent/US20030089786A1/en not_active Abandoned
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006127360A (ja) * | 2004-11-01 | 2006-05-18 | Dainippon Printing Co Ltd | Icカード用icチップ、icカード及びicカード用プログラム |
| JP4669262B2 (ja) * | 2004-11-01 | 2011-04-13 | 大日本印刷株式会社 | Icカード用icチップ、icカード及びicカード用プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1286114C (zh) | 2006-11-22 |
| CN1398404A (zh) | 2003-02-19 |
| ATE404974T1 (de) | 2008-08-15 |
| ES2313944T3 (es) | 2009-03-16 |
| US20030089786A1 (en) | 2003-05-15 |
| MXPA02007711A (es) | 2002-10-11 |
| FR2805073A1 (fr) | 2001-08-17 |
| DE60135309D1 (de) | 2008-09-25 |
| WO2001059788A1 (fr) | 2001-08-16 |
| FR2805073B1 (fr) | 2002-05-03 |
| EP1258004A1 (fr) | 2002-11-20 |
| EP1258004B1 (fr) | 2008-08-13 |
| AU2001231969A1 (en) | 2001-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TW514833B (en) | 1-chip microcomputer and IC card using same | |
| EP1573466B1 (en) | Enhancing data integrity and security in a processor-based system | |
| JPH0682405B2 (ja) | テストプログラム起動方式 | |
| US20150287024A1 (en) | Processing method for failing to read data from non-contact ic card and device for implementing the method | |
| JP2003523029A (ja) | 不揮発性メモリ用保護付きリアルタイム書込み方法 | |
| JP3125070B2 (ja) | Icカード | |
| JP2750746B2 (ja) | 携帯用端末装置の不正使用防止方式 | |
| JP2003022216A (ja) | 記憶装置 | |
| JP2651426B2 (ja) | Icカード | |
| US20030120770A1 (en) | Method and apparatus for processing transactions in a data processing system | |
| JP5754287B2 (ja) | Icチップ、icチップにおける処理方法、uim、携帯端末、及びicチップ用処理プログラム | |
| JP2003044801A (ja) | 複数の情報伝達手段を備えた可搬情報処理装置 | |
| JP2009129402A (ja) | Icカード用半導体装置、icカード、及びicカード用端末装置 | |
| US20030041187A1 (en) | Method and apparatus for controlling card device | |
| JP2003036206A (ja) | 不正アクセス監視装置、icカード、不正アクセス監視方法 | |
| JPH1153487A (ja) | Icカードにおける書き込みデータの有効性判定方法 | |
| JP3849036B2 (ja) | カードリーダ及びカードリーダの通信制御方法 | |
| JP2002366986A (ja) | Icカード処理装置 | |
| JPH01223586A (ja) | Icカードテスト方式 | |
| JPH10187543A (ja) | メモリアクセス方法および情報処理装置およびカード処理装置 | |
| JPH01194093A (ja) | 携帯可能電子装置 | |
| JP2003308501A (ja) | 非接触icカード及びそれへの書き込み方式 | |
| JP3071958B2 (ja) | データキャリアを用いた情報処理装置 | |
| JP2004102885A (ja) | 非接触icカードリーダ装置 | |
| JPH05265826A (ja) | ファイルの二重化方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050114 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050215 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050512 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050628 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050927 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060404 |