JP2004295353A - メモリデバイス - Google Patents

メモリデバイス Download PDF

Info

Publication number
JP2004295353A
JP2004295353A JP2003085299A JP2003085299A JP2004295353A JP 2004295353 A JP2004295353 A JP 2004295353A JP 2003085299 A JP2003085299 A JP 2003085299A JP 2003085299 A JP2003085299 A JP 2003085299A JP 2004295353 A JP2004295353 A JP 2004295353A
Authority
JP
Japan
Prior art keywords
data
control unit
secure
memory
area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003085299A
Other languages
English (en)
Inventor
Yoshiaki Nakanishi
良明 中西
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2003085299A priority Critical patent/JP2004295353A/ja
Publication of JP2004295353A publication Critical patent/JP2004295353A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Signal Processing For Digital Recording And Reproducing (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】セキュアな領域へのデータの書き込み/読み込みを効率的に行うことができるメモリデバイスを提供する。
【解決手段】電子機器20に固定的に、または着脱可能に接続されるメモリデバイス30に、記録媒体33のメモリ領域の内、電子機器から直接アクセスすることができない第1のメモリ領域34を管理するセキュア制御部32と、この記録媒体33を対象とするデータの書き込みまたは読み込みのバースト処理を管理するデバイス制御部31とを設け、セキュア制御部32とデバイス制御部31とが協働して、第1のメモリ領域34を対象とするデータの書き込みまたは読み込みのバースト処理を行うように構成している。書き込み・読み込みデータのデータ量が多い場合でも、バースト処理により、短時間で書き込み・読み込み処理を終えることができる。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は、半導体メモリカードなどのメモリデバイスに関し、特に、秘匿性を備えた領域へのデータの書き込みや読み込みの迅速化を図るものである。
【0002】
【従来の技術】
近年、電子商取引などへの利用が拡大しているICカードは、CPUを搭載し、単純なメモリカードと違ってインテリジェントな処理を行うことができる。また、ICカードは、耐タンパー性のモジュール(tamper resistant module:TRM)内にメモリ領域を有しており、そのため、データを強固に秘匿することができ、複製や偽造に対して固い耐性を備えている。ただ、ICカードのメモリ容量は、数十キロバイト程度であり、データ蓄積を目的とするメモリカード程には、多くのデータを格納することはできない。
【0003】
ICカードで行われる処理は、端末アプリケーション(以下、アプリケーションを「アプリ」と略称する)がICカードに搭載されたカードアプリを起動することにより開始され、端末アプリがコマンドを送信し、これに対してカードアプリがレスポンスを返す通信をしながら処理が進められる。国際標準のISO/IEC7816には、このコマンドとレスポンスとのやり取りに関する国際規格が決められており、コマンドはAPDU(Application Protocol Data Unit)と呼ばれる形式を取ることが規定されている(下記非特許文献1参照)。
【0004】
【非特許文献1】
「Interface 2003年3月号」CQ出版社、49〜50頁
【0005】
【発明が解決しようとする課題】
個人情報の流出などの記事が新聞紙上でしばしば報じられる昨今、電子情報のセキュリティの確保は、情報化社会での重要な課題の一つとなっている。安全な保存を必要とする電子情報は、プライバシー保護が必要な、例えばアドレス帳情報、通帳情報、個人写真などの個人情報から、著作権保護が必要な音楽や小説等のコンテンツに至るまで、その対象範囲は拡大し、そのデータ量が増大化して来ている。
【0006】
出願人は、先に、ICカードのインテリジェント性とメモリカード並のメモリ容量とを備えたメモリカードを開発した(特願2003−042288号など)。このカードは、端末からのアクセスが可能な通常領域と、端末から直接アクセスすることができないセキュア領域とを有する非耐タンパー性の第1のメモリと、端末から直接アクセスすることができない耐タンパー性の第2のメモリとを具備し、第1のメモリのセキュア領域には、第2のメモリへのアクセスを管理するセキュア制御部を介してのみアクセスできるように構成されている。
このセキュア領域は、メモリ領域の構成が非耐タンパー性であっても、大容量を有する秘匿性領域として利用することができ、従来のICカードのメモリ容量よりも遥かに大きな数十MBのデータでも取り扱うことができる。
【0007】
しかし、大容量データをセキュア領域に書き込んだり、セキュア領域から読み込んだりする場合に、ISO/IEC7816で規定されたAPDUに従うと、端末からカードに一度に受け渡せるデータ量は、規格上、多くても64KB程度(多くのICカードでは256バイト程度)に制限されるため、数十MBのデータ量を書き込むときには、数百〜数千回に分割して取り扱わなければならず、そのため、書き込み終了までに数十分〜数時間が掛かると言う問題点がある。
【0008】
本発明は、こうした課題を解決するものであり、セキュアな領域へのデータの書き込み/読み込みを効率的に行うことができるメモリデバイスを提供することを目的としている。
【0009】
【課題を解決するための手段】
そこで、本発明では、電子機器に固定的に、または着脱可能に接続されるメモリデバイスに、記録媒体のメモリ領域の内、電子機器から直接アクセスすることができない第1のメモリ領域を管理するセキュア制御部と、この記録媒体を対象とするデータの書き込みまたは読み込みのバースト処理を管理するデバイス制御部とを設け、セキュア制御部とデバイス制御部とが協働して、第1のメモリ領域を対象とするデータの書き込みまたは読み込みのバースト処理を行うように構成している。
そのため、書き込み・読み込みデータのデータ量が多い場合でも、バースト処理により、短時間で書き込み・読み込み処理を終えることができる。
【0010】
【発明の実施の形態】
本発明の実施形態では、二種類のメモリデバイスに対する書き込み/読み込み処理について説明する。まず、各メモリデバイスの構成について説明する。
第1のメモリデバイス(以下、「セキュアメモリカード」と言う)は、図14に示すように、内部不揮発性メモリ324とセキュア制御部321とを含む耐タンパー性モジュール(TRM)32と、予め区画された非認証領域35とセキュア領域34とを含む大容量不揮発性メモリ33と、端末装置20と通信して端末装置のメモリ領域へのアクセスを制御するメモリカードコントローラ(デバイス制御部)31とを備えている。但し、本発明では、内部不揮発性メモリ324の存在は必須ではない。
【0011】
セキュア制御部321は、CPUやROM、RAM、暗号エンジンから成る内部CPU323と、ICカード機能を実行するカードアプリのソフトウエア322とを備えており、セキュア制御部321は、内部不揮発性メモリ324及びセキュア領域34に対してアクセスすることができる。
メモリカードコントローラ31は、通信相手の端末装置20が非認証領域35へのアクセスを要求しているときには、無条件でそのアクセスを認め、また、端末装置の要求が、内部不揮発性メモリ324またはセキュア領域34に関するときは、その要求をセキュア制御部321に伝える。
【0012】
TRM32の内部不揮発性メモリ324は、例えば、16バイト単位で消去・書き込みができるEEPROMから成り、また、大容量不揮発性メモリ33は、512バイト等のブロック単位での消去と1バイト単位での書き込みとが可能なフラッシュメモリから成る。
セキュア領域34と内部不揮発性メモリ324との違いは、内部不揮発性メモリ324がTRM32に設けられているのに対し、セキュア領域34が、耐タンパー性を持たない大容量不揮発性メモリ33に設けられている点である。そのため、セキュア領域34は、内部不揮発性メモリ324に比べて大きい蓄積容量を持つことができるが、その反面、セキュリティレベルは、TRM32に設けられた内部不揮発性メモリ324よりも低い。3つの領域のセキュリティレベルは、非認証領域35が最も低く、セキュア領域34、内部不揮発性メモリ324の順に高くなっている。
【0013】
メモリカードコントローラ31は、端末20から受信したコマンドを解釈し、そのコマンドが非認証領域35へのアクセスを要求するものであるか、ICカード機能による処理を要求するものであるかを判断し、非認証領域35へのアクセスを要求しているときは無条件でアクセス要求を認め、また、ICカード機能による処理を要求しているときは、セキュア制御部321にコマンドを転送する。
セキュア制御部321上で動作するICカード機能322は、メモリカードコントローラ31から送信されたコマンドを解釈し、その処理要求が、内部不揮発性メモリ324へのデータ書き込み/読み出しを要求するものであるか、セキュア領域34へのデータ書き込み/読み出しを要求するものであるか、認証を要求するものであるか、その他の処理を要求するものであるかを判断する。
【0014】
そして、コマンドが、認証を要求しているときは、認証処理を行う。また、コマンドが、内部不揮発性メモリ324へのデータの書き込み/読み出しを要求しているときは、端末20の認証処理が済んでいるか否かを確認し、認証処理が済んでおり、且つ、内部不揮発性メモリ324が要求を満たす状態にあるときは、その要求を認め、書き込むデータを暗号鍵で暗号化して、内部不揮発性メモリ324に書き込む。また、読み出すときは、内部不揮発性メモリ324からデータを読み出し、復号鍵で復号化した後、メモリカードコントローラ31を介して端末装置20に転送する。
【0015】
コマンドが、セキュア領域34を指定してデータの書き込み/読み出しを要求しているとき、あるいは、いずれかの秘匿性領域への書き込み/読み出しを要求し、セキュア制御部321の選択でセキュア領域34への書き込み/読み出しが行われるときの処理については、後述する。
【0016】
図15は、セキュアメモリカード30の構成と機能とを模式的に示している。ここでは、ICカード機能が、セキュア制御部321を含む耐タンパー性モジュール(TRM)32によって行われるものとして表わしている。TRM32は、端末20からAPDUに従うコマンドを受けて処理を進める。また、TRM32は、セキュア領域34へのアクセスが可能であり、セキュア領域34に書き込むデータは暗号鍵で暗号化し、また、セキュア領域34から読み出したデータは復号鍵で復号化する。
【0017】
メモリカードコントローラ31は、端末20の端末アプリ10が非認証領域35にアクセスすることをフリーに認める。そのため、端末アプリ10は、非認証領域35へのデータの書き込み/読み込みを随時行うことができる。しかし、端末アプリ10は、セキュア領域34にアクセスすることはできない。
【0018】
図16は、第2のメモリデバイス50(以下、「拡張セキュアメモリカード」と言う)の構成と機能とを模式的に示している。セキュアメモリカード30では、大容量不揮発性メモリ33内にセキュア領域34が予め区画されているが、この拡張セキュアメモリカード50では、TRM52が、必要時に、通常領域53の中にセキュア領域54を設定する。このセキュア領域54に書き込まれるデータは、TRM52で暗号化され、セキュア領域34から読み出したデータはTRM52で復号化される。また、セキュアメモリカード30と同様、セキュア領域54への端末アプリ10のアクセスは制限される。
その他の構成は、セキュアメモリカード30と変わりがない。
【0019】
端末装置から、このセキュアメモリカード30や拡張セキュアメモリカード50のセキュア領域34、54にデータを書き込んだり、読み込んだりする場合に、ICカードのAPDUに従ってその処理を行うと、データ量が多いときに、データを幾つにも分割して取り扱わなければならず、コマンドの往復回数に応じてオーバーヘッド(目的とする仕事に直接使われていない時間)が増大する。本発明では、セキュア領域34、54へのデータの書き込み/読み込みに、メモリカードで行われているバースト転送を利用してオーバーヘッドを削減し、処理の効率化を図る。
【0020】
(第1の実施形態)
本発明の第1の実施形態では、セキュアメモリカードのセキュア領域にデータを書き込む場合の処理について説明する。
図1は、この場合の処理手順を示している。端末アプリ10は、データをバースト転送して、セキュアメモリカード30の非認証領域35にデータ351を書き込む(▲1▼)。次いで、端末アプリ10とTRM32とは、APDUのICコマンド/レスポンスによる通信で、相互認証を行い、さらに、対象データを指定するため、端末アプリ10がデータ351の非認証領域35の格納位置及びデータサイズ(あるいはファイル名)をTRM32に伝え、TRM32が、このデータを格納するセキュア領域34の格納位置及びデータサイズ(あるいはファイル名)を端末アプリ10に伝える(▲2▼)。
【0021】
端末20のデータ書き込み処理は以上で終了し、以後は、セキュアメモリカード30の内部処理となる。
TRM32は、端末アプリ10から伝えられた非認証領域35の対象データの格納位置からデータ351を読み込み(▲3▼)、暗号化してセキュア領域34にデータ341を書き込む(▲4▼)。
【0022】
このように、端末20とTRM32との間では、常に、APDUのICコマンド/レスポンスによる通信が行われるが、端末20が実際にデータを書き込む際は、バースト転送が可能なメモリカード系のコマンドで処理が進められる。この点は以下の各実施形態においても変わりがない。
そのため、端末20は、このセキュアメモリカード30に対して迅速にデータを書き込むことができる。
【0023】
(第2の実施形態)
本発明の第2の実施形態では、拡張セキュアメモリカードのセキュア領域にデータを書き込む場合の処理について説明する。
図2は、この場合の処理手順を示している。端末アプリ10と拡張セキュアメモリカード50のTRM52とは、APDUのICコマンド/レスポンスによる通信で、相互認証を行い、さらに、対象データを指定するため、端末アプリ10が書き込もうとするデータのファイル名やデータサイズをTRM52に伝え、TRM52が、このデータを書き込むセキュア領域54の通常領域53内の位置を端末アプリ10に伝える(▲1▼)。TRM52は、端末アプリ10に伝えた通常領域53内の位置にセキュア領域54を設定して、そのアクセス制限を解除し(▲2▼)、端末アプリ10は、アクセス制限が解除されたセキュア領域54にデータを書き込む(▲3▼)。
【0024】
端末20のデータ書き込み処理は以上で終了し、以後は、拡張セキュアメモリカード50の内部処理となる。
TRM52は、セキュア領域54のアクセス制限を設定するとともに、そこに書き込まれたデータを暗号化する(▲4▼)。
このように、この拡張セキュアメモリカード50に対して、端末20は、迅速にデータを書き込むことができる。
【0025】
(第3の実施形態)
本発明の第3の実施形態では、セキュアメモリカードに書き込むデータのセキュリティを強化する処理について説明する。
図3は、この場合の処理手順を示している。端末アプリ10とセキュアメモリカード30のTRM32とは、相互認証を行い、さらに、この通信でのみ使用するセッション鍵を交換する(▲1▼)。
【0026】
セッション鍵の交換方式としては、例えば、DH(Diffie−Hellman)法が良く知られている。この鍵交換方式では、端末アプリ10とTRM32との間でセッション鍵Kを交換しようとする場合、まず、端末アプリ10とTRM32とが、共有する例えば当日の月(p)、日(Z)の情報を用いて、このpとZとから、e=Zmodpの計算式でeを算出する。次いで、端末アプリ10は、乱数aを生成・保持し、m=e^aの計算式でmを生成して、このmをTRM32に送信する。一方、TRM32は、乱数bを生成・保持し、n=e^bの計算式でnを生成し、このnを端末アプリ10に送信する。
nを受信した端末アプリ10は、K=n^a=e^abによりセッション鍵Kを生成し、また、mを受信したTRM32は、K=m^b=e^abにより、端末アプリ10と同じセッション鍵Kを生成する。
【0027】
鍵交換を行った端末アプリ10は、書き込むデータをセッション鍵で暗号化する(▲2▼)。
端末アプリ10は、暗号化したデータをセキュアメモリカード30の非認証領域35にデータ351として書き込む(▲3▼)。次いで、端末アプリ10は、対象データを指定するため、データ351の非認証領域35の格納位置及びデータサイズ(あるいはファイル名)をTRM32に伝え、TRM32が、このデータを格納するセキュア領域34の格納位置及びデータサイズ(あるいはファイル名)を端末アプリ10に伝える(▲4▼)。
【0028】
端末20のデータ書き込み処理は以上で終了し、以後は、セキュアメモリカード30の内部処理となる。
TRM32は、端末アプリ10から伝えられた非認証領域35の対象データの格納位置からデータ351を読み込み(▲5▼)、暗号化されているデータをセッション鍵で復号化し(▲6▼)、復号化したデータをTRM32の暗号鍵で暗号化してセキュア領域34にデータ341として書き込む(▲7▼)。
このように、セキュアメモリカード30に書き込むデータをセッション鍵で暗号化することにより、非認証領域35に書き込んだデータが不正に読み出されても、情報の内容を秘匿することができる。
【0029】
(第4の実施形態)
本発明の第4の実施形態では、拡張セキュアメモリカードに書き込むデータを暗号化してセキュリティを強化する処理について説明する。
図4は、この場合の処理手順を示している。端末アプリ10と拡張セキュアメモリカード50のTRM52とは、相互認証を行い、さらに、セッション鍵を交換する(▲1▼)。
鍵交換を行った端末アプリ10は、書き込むデータをセッション鍵で暗号化する(▲2▼)。
【0030】
端末アプリ10は、対象データを指定するため、暗号化したデータのファイル名やデータサイズをTRM52に伝え、TRM52は、このデータを書き込むセキュア領域54の通常領域53内の位置を端末アプリ10に伝える(▲3▼)。TRM52は、端末アプリ10に伝えた位置にセキュア領域54を設定して、そのアクセス制限を解除し(▲4▼)、端末アプリ10は、アクセス制限が解除されたセキュア領域54に暗号化したデータを書き込む(▲5▼)。
【0031】
端末20のデータ書き込み処理は以上で終了し、以後は、拡張セキュアメモリカード50の内部処理となる。
TRM52は、セキュア領域54のアクセス制限を設定するとともに、そこに書き込まれたデータをセッション鍵で復号化した後、TRM52の暗号鍵で暗号化する暗号変換を行う(▲6▼)。
このように、拡張セキュアメモリカード50に書き込むデータをセッション鍵で暗号化することにより、アクセス制限が解除されたセキュア領域に書き込んだデータが不正に読み出されても、情報の内容を秘匿することができる。
【0032】
(第5の実施形態)
本発明の第5の実施形態では、セキュアメモリカードのセキュア領域の一部領域に対するアクセス制限を開放し、そこにデータを書き込む処理について説明する。
図5は、この場合の処理手順を示している。端末アプリ10とセキュアメモリカード30のTRM32とは、相互認証を行い、セッション鍵を交換する(▲1▼)。
鍵交換を行った端末アプリ10は、書き込むデータをセッション鍵で暗号化する(▲2▼)。次いで、端末アプリ10は、TRM32に暗号化したデータのデータサイズを示してセキュア領域34のアクセス制限の開放を要求し、TRM32は、アクセス制限を開放するセキュア領域34の一部領域の位置を伝える(▲3▼)。
TRM32は、このセキュア領域34の一部領域におけるアクセス制限を開放する(▲4▼)。端末アプリ10は、アクセス制限が開放されたセキュア領域に、暗号化したデータを書き込む(▲5▼)。書き込みが終了すると、端末アプリ10は、TRM32に対して、そのセキュア領域34を再びアクセス制限するように要求する(閉塞要求)(▲6▼)。
【0033】
端末20のデータ書き込み処理は以上で終了し、以後は、セキュアメモリカード30の内部処理となる。
TRM32は、閉塞要求を受けたセキュア領域34の一部領域を再びアクセス制限し(▲7▼)、その領域に書き込まれたデータをセッション鍵で復号化した後、TRM32の暗号鍵で暗号化する(暗号変換)(▲8▼)。
【0034】
このように、セキュアメモリカード30のセキュア領域34の一部に対するアクセス制限を開放し、そこにデータを書き込むことにより、セキュアメモリカード30内でのデータの移動が不要になる。そのため、この移動中の事故が回避され安全性が向上する。また、データを移動する場合は、移動元のメモリ領域と移動先のメモリ領域とを使用するため、データ量の2倍のメモリ容量を確保しなければならないが、データを移動しない場合は、データ量のメモリ容量を確保すれば足りる。従って、このセキュアメモリカード30では、大容量不揮発性メモリ33のメモリ容量を効率的に利用することができる。
【0035】
(第6の実施形態)
本発明の第6の実施形態では、拡張セキュアメモリカードに既に設定されているセキュア領域の一部のアクセス制限を開放し、そこにデータを書き込む処理について説明する。
図6は、この場合の処理手順を示している。拡張セキュアメモリカード50の通常領域53には、既に、保護データが書き込まれたセキュア領域54が存在している。
【0036】
端末アプリ10と拡張セキュアメモリカード50のTRM52とは、相互認証を行い、セッション鍵を交換する(▲1▼)。鍵交換を行った端末アプリ10は、書き込むデータをセッション鍵で暗号化する(▲2▼)。次いで、端末アプリ10は、TRM52に暗号化したデータのデータサイズを示してセキュア領域のアクセス制限の開放を要求し、TRM52は、アクセス制限を開放するセキュア領域54の一部領域の位置を伝える(▲3▼)。
【0037】
TRM52は、セキュア領域54の一部領域に対するアクセス権限を開放する(▲4▼)。端末アプリ10は、アクセス制限が開放されたセキュア領域に、暗号化したデータを書き込む(▲5▼)。書き込みが終了すると、端末アプリ10は、TRM52に対して、そのセキュア領域の閉塞を要求する(閉塞要求)(▲6▼)。
端末20のデータ書き込み処理は以上で終了し、以後は、拡張セキュアメモリカード50の内部処理となる。
【0038】
TRM52は、閉塞要求を受けたセキュア領域54の一部領域を再びアクセス制限し(▲7▼)、その領域に書き込まれたデータの暗号変換を行う(▲8▼)。
このように、拡張セキュアメモリカード50では、保護データの中の一部領域に対するアクセス権限を開放し、そこにデータを書き込むことも可能である。
【0039】
(第7の実施形態)
本発明の第7の実施形態では、IC機能を実現するセキュア制御部と、メモリカードコントローラの機能を実現するメモリカード制御部とを耐タンパー性の1チップに形成したセキュアメモリカードについて説明する。
このセキュアメモリカードでは、図8に示すように、ICカード機能を実行するカードアプリのソフトウエア322と、CPUやROM、RAM、暗号エンジンから成る内部CPU323とを備えるセキュア制御部321が、メモリカードコントローラの機能を実行するカードアプリのソフトウエア311と同一のTRMチップ320上に実装されている。このICカード機能のソフトウエア322は、メモリカード制御機能のソフトウエア311との間で、内部通信によって、セクション鍵や、セキュア領域34に格納するデータの暗号化・復号化に用いる鍵(TRM固有鍵)を受け渡すことができる。
【0040】
図7は、このセキュアメモリカード30が、第5の実施形態(図5)と同様に、セキュア領域34の一部領域のアクセス制限を開放し、そこにデータを書き込む場合の処理手順を示している。
端末アプリ10とセキュア制御部321とは、相互認証を行い、セッション鍵を交換する(▲1▼)。
【0041】
鍵交換を行った端末アプリ10は、書き込むデータをセッション鍵で暗号化する(▲2▼)。次いで、端末アプリ10は、セキュア制御部321に暗号化したデータのデータサイズを示してセキュア領域34のアクセス制限の開放を要求し、セキュア制御部321は、アクセス制限を開放するセキュア領域34の一部領域の位置を伝える(▲3▼)。
【0042】
セキュア制御部321は、このセキュア領域34の一部領域におけるアクセス制限を開放し(▲4▼)、メモリカード制御部311にセッション鍵とTRM固有鍵とを渡す(▲5▼)。端末アプリ10は、アクセス制限が開放されたセキュア領域を指定して、メモリカード制御部311に、暗号化したデータの書き込みを要求する(▲6▼)。メモリカード制御部311は、このデータをセッション鍵で復号化し、TRM固有鍵で暗号化して(▲7▼)、アクセス制限が開放されたセキュア領域34の一部領域に書き込む(▲8▼)。端末アプリ10は、セキュア制御部321に対して、アクセス制限を開放したセキュア領域34の閉塞を要求し(▲9▼)、セキュア制御部321は、閉塞要求を受けたセキュア領域34の一部領域に対して再びアクセス制限を行う(10)。
【0043】
このように、このセキュアメモリカード30では、メモリカード制御部311が、端末アプリ10から送られて来るデータを、暗号変換しながら、セキュア領域34に書き込んでいるため、第5の実施形態のように、データを一旦セキュア領域34に書き込み、それを読み出して暗号変換を行い、暗号変換後のデータを再度セキュア領域34に書き込む場合に比して、トータルの処理時間を大幅に短縮することができる。
【0044】
(第8の実施形態)
本発明の第8の実施形態では、IC機能を実現するセキュア制御部と、メモリカードコントローラの機能を実現するメモリカード制御部とを耐タンパー性の1チップに形成した拡張セキュアメモリカードの動作について説明する。耐タンパー性チップ内の構成は図8と同様である。
【0045】
図9は、第4の実施形態(図4)と同様に、拡張セキュアメモリカード50のセキュア領域54にデータを書き込む場合の処理手順を示している。
端末アプリ10とセキュア制御部321とは、相互認証を行い、セッション鍵を交換する(▲1▼)。鍵交換を行った端末アプリ10は、書き込むデータをセッション鍵で暗号化する(▲2▼)。
端末アプリ10は、対象データを指定するため、暗号化したデータのファイル名やデータサイズをセキュア制御部321に伝え、セキュア制御部321は、このデータを書き込むセキュア領域54の通常領域53内の位置を端末アプリ10に伝える(▲3▼)。
【0046】
セキュア制御部321は、端末アプリ10に伝えた位置にセキュア領域54を設定し、そのセキュア領域54へのアクセス権限、セッション鍵及びTRM固有鍵を内部通信でメモリカード制御部311に与える(▲4▼)。端末アプリ10は、セキュア制御部321から伝えられたセキュア領域を指定して、メモリカード制御部311に、暗号化したデータの書き込みを要求する(▲5▼)。メモリカード制御部311は、端末アプリ10から受信したデータを暗号変換しながら(▲6▼)、セキュア領域54に書き込む(▲7▼)。
【0047】
また、図10は、第6の実施形態(図6)と同様に、拡張セキュアメモリカード50に既に設定されているセキュア領域54の一部のアクセス制限を開放し、そこにデータを書き込む場合の処理手順を示している。
端末アプリ10とセキュア制御部321とは、相互認証を行い、セッション鍵を交換する(▲1▼)。鍵交換を行った端末アプリ10は、書き込むデータをセッション鍵で暗号化する(▲2▼)。次いで、端末アプリ10は、セキュア制御部321に暗号化したデータのデータサイズを示してセキュア領域のアクセス制限の開放を要求し、セキュア制御部321は、アクセス制限を開放するセキュア領域54の一部領域の位置を伝える(▲3▼)。
【0048】
セキュア制御部321は、このセキュア領域54の一部のアクセス制限を開放し(▲4▼)、メモリカード制御部311にセッション鍵とTRM固有鍵とを渡す(▲5▼)。端末アプリ10は、アクセス制限が開放されたセキュア領域を指定して、メモリカード制御部311に、暗号化したデータの書き込みを要求する(▲6▼)。メモリカード制御部311は、端末アプリ10から受信したデータを暗号変換しながら(▲7▼)、指定されたセキュア領域54の一部領域に書き込む(▲8▼)。端末アプリ10は、セキュア制御部321に対して、アクセス制限を開放したセキュア領域54の閉塞を要求し(▲9▼)、セキュア制御部321は、閉塞要求を受けたセキュア領域34の一部領域に対して再びアクセス制限を行う(10)。
【0049】
このように、この拡張セキュアメモリカード50では、メモリカード制御部311が、端末アプリ10から送られて来るデータを、暗号変換しながら、セキュア領域34に書き込んでいるため、第4の実施形態や第6の実施形態による処理に比べて、トータルの処理時間を大幅に短縮することができる。
【0050】
(第9の実施形態)
本発明の第9の実施形態では、メモリデバイスからデータを読み込むときの処理について説明する。
データの読み込み時には、基本的に次のような処理が行われる。
端末アプリは、読み込み対象のデータを指定する。セキュア制御部は、セキュア領域に格納されている、指定されたデータを復号化し、そのデータが格納されたセキュア領域のアクセス制限を一時的に解除する。端末アプリは、アクセス制限が解除されたセキュア領域にアクセスして、読み込み対象のデータをバースト的に読み出す。
【0051】
また、読み込みデータのセキュリティを高めるためにセッション鍵で暗号化する場合は、端末アプリとセキュア制御部との間で事前に鍵交換が行われ、また、TRM鍵で復号化したデータをセッション鍵で暗号化する暗号変換が行われ、さらに、端末アプリによりセッション鍵での復号化が行われる。
【0052】
図11は、拡張セキュアメモリカード50からデータを読み込むときの処理手順を示している。
端末アプリ10とTRM52とは、相互認証を行い、セッション鍵を交換する(▲1▼)。端末アプリ10は、TRM54に読み込み対象データのファイル名を指定する(▲2▼)。TRM52は、該当するデータをTRM鍵で復号化し、セッション鍵で暗号化する暗号変換と、当該データが格納されたセキュア領域54のアクセス制限の解除とを行う(▲3▼)。端末アプリ10は、アクセス制限が解除されたセキュア領域54からデータを読み込み(▲4▼)、セッション鍵でデータを復号化する(▲5▼)。データの読み込みが完了した端末アプリ10は、TRM52に対して読み込み完了を伝え(▲6▼)、TRM52は、セキュア領域54のアクセス制限を復旧し、セキュア領域54に格納されているデータをセッション鍵で復号化した後、TRM鍵で暗号化する。
【0053】
こうした処理により、拡張セキュアメモリカード50からデータをバースト的に読み込むことができる。セキュアメモリカード30からデータを読み込むときも同様である。
【0054】
(第10の実施形態)
データを読み込む場合は、セキュア領域54に格納されたデータを暗号変換しているときに、電源断やリセットが発生すると、対象データが消失する危険性がある。データをセッション鍵で暗号化している途中や、セッション鍵で暗号化したデータの読み込み途中、あるいは、TRM鍵で再暗号化している途中に、電源断などによる機能停止が発生すると、TRM鍵で暗号化された元のデータが保存されていないと、データは失われる。
【0055】
本発明の第10の実施形態では、データ消失を防止する読み込み処理について説明する。
図12は、拡張セキュアメモリカード50からデータを読み込むときの処理手順を示している。
【0056】
端末アプリ10とTRM52とは、相互認証を行い、セッション鍵を交換する(▲1▼)。端末アプリ10は、TRM54に対して読み込み対象データのファイル名を指定する(▲2▼)。TRM52は、対象データをセキュア領域54から読み込んでTRM鍵で復号化し、セッション鍵で暗号化して、データ541として通常領域53に複製する(▲3▼)。TRM52は、通常領域上のデータ541の格納位置を端末アプリ10に通知する(▲4▼)。端末アプリ10は、通常領域53のデータ541にアクセスして、これを読み込んだ後(▲5▼)、通常領域53のデータ541を削除する(▲6▼)。端末アプリ10は、読み込んだデータをセッション鍵で復号化する(▲7▼)。
【0057】
このように、この拡張セキュアメモリカード50は、対象データの複製を作成して、その複製が読み込まれるため、読み込み処理の過程で複製データが失われても、元の対象データが存在するので、全く問題ない。
【0058】
(第11の実施形態)
本発明の第11の実施形態では、データ消失の危険を伴わずに、迅速にデータを読み込むことができる拡張セキュアメモリカードについて説明する。
この拡張セキュアメモリカードでは、図13に示すように、IC機能を実現するセキュア制御部321と、メモリカードコントローラの機能を実現するメモリカード制御部311とが耐タンパー性の1チップ320に形成されている。
【0059】
端末アプリ10とセキュア制御部321とは、相互認証を行い、セッション鍵を交換する(▲1▼)。端末アプリ10は、セキュア制御部321に対して読み込み対象データのファイル名を指定する(▲2▼)。
セキュア制御部321は、読み込み対象データが格納されたセキュア領域54へのアクセス権限と、セッション鍵と、TRM固有鍵とを内部通信でメモリカード制御部311に与える(▲3▼)。メモリカード制御部311は、そのセキュア領域54にアクセスして対象データを読み込み(▲4▼)、TRM固有鍵で復号化してセッション鍵で暗号化する暗号変換を行い(▲5▼)、暗号変換した対象データを順次、端末アプリ10に送る(▲6▼)。端末アプリ10は、この対象データをセッション鍵で復号化する(▲7▼)。
【0060】
このように、この拡張セキュアメモリカード50では、メモリカード制御部311のストリーム処理により、複製を作らずに、暗号変換した読み込みデータを端末アプリ10に送ることができる。そのため処理時間が大幅に短縮される。また、メモリカード制御部311の処理過程で電源断やリセットが発生しても、セキュア領域54に格納された対象データには影響が及ばないため、データ消失の危険性は無い。
【0061】
なお、データの読み込み処理については、拡張セキュアメモリカードを例に説明したが、セキュアメモリカードに対しても、同様の処理が可能である。
【0062】
【発明の効果】
以上の説明から明らかなように、本発明のメモリデバイスは、セキュアな領域へのデータの書き込み/読み込みを効率的に行うことができ、大容量のデータであっても、短時間での書き込み/読み込み処理が可能である。
【図面の簡単な説明】
【図1】本発明の第1の実施形態におけるセキュアメモリカードの書き込み手順を示す図
【図2】本発明の第2の実施形態における拡張セキュアメモリカードの書き込み手順を示す図
【図3】本発明の第3の実施形態におけるセキュアメモリカードの書き込み手順を示す図
【図4】本発明の第4の実施形態における拡張セキュアメモリカードの書き込み手順を示す図
【図5】本発明の第5の実施形態におけるセキュアメモリカードの書き込み手順を示す図
【図6】本発明の第6の実施形態における拡張セキュアメモリカードの書き込み手順を示す図
【図7】本発明の第7の実施形態におけるセキュアメモリカードの書き込み手順を示す図
【図8】本発明の第7の実施形態におけるセキュアメモリカードの耐タンパー性チップの構成を示す図
【図9】本発明の第8の実施形態における拡張セキュアメモリカードの書き込み手順を示す図
【図10】本発明の第8の実施形態における拡張セキュアメモリカードの他の書き込み手順を示す図
【図11】本発明の第9の実施形態における拡張セキュアメモリカードの読み込み手順を示す図
【図12】本発明の第10の実施形態における拡張セキュアメモリカードの読み込み手順を示す図
【図13】本発明の第11の実施形態における拡張セキュアメモリカードの読み込み手順を示す図
【図14】セキュアメモリカードの構成を示すブロック図
【図15】セキュアメモリカードの構成と機能とを模式的に示す図
【図16】拡張セキュアメモリカードの構成と機能とを模式的に示す図
【符号の説明】
10 端末アプリ
20 端末装置
30 セキュアメモリカード
31 メモリカードコントローラ
32 TRM
33 大容量不揮発性メモリ
34 セキュア領域
35 非認証領域
50 拡張セキュアメモリカード
51 メモリカードコントローラ
52 TRM
53 通常領域
54 セキュア領域
320 耐タンパー性チップ
321 セキュア制御部
322 ICカード機能ソフトウエア
323 内部CPU
324 内部不揮発性メモリ
341 データ
351 データ

Claims (11)

  1. 電子機器に固定的に、または着脱可能に接続されるメモリデバイスであって、
    記録媒体のメモリ領域の内、電子機器から直接アクセスすることができない第1のメモリ領域を管理するセキュア制御部と、前記記録媒体を対象とするデータの書き込みまたは読み込みのバースト処理を管理するデバイス制御部とを備え、前記セキュア制御部と前記デバイス制御部とが協働して、前記第1のメモリ領域を対象とするデータの書き込みまたは読み込みのバースト処理を行うことを特徴とするメモリデバイス。
  2. 前記デバイス制御部は、電気機器から送られた書き込み用のデータを、前記記録媒体の前記第1のメモリ領域以外の領域に書き込み、前記セキュア制御部は、前記デバイス制御部により書き込まれた前記データを前記第1のメモリ領域に書き込むことを特徴とする請求項1に記載のメモリデバイス。
  3. 前記セキュア制御部は、前記第1のメモリ領域のアクセス制限を一時的に解除し、前記デバイス制御部は、電気機器から送られた書き込み用のデータを、アクセス制限が解除された前記第1のメモリ領域に書き込むことを特徴とする請求項1に記載のメモリデバイス。
  4. 前記セキュア制御部は、前記第1のメモリ領域に含まれる一部の領域に対するアクセス制限を解除することを特徴とする請求項3に記載のメモリデバイス。
  5. 前記セキュア制御部は、前記電気機器とセッション鍵を交換し、前記デバイス制御部が書き込んだ前記データを前記セッション鍵で復号化し、暗号鍵で暗号化することを特徴とする請求項2から請求項4のいずれかに記載のメモリデバイス。
  6. 前記セキュア制御部は、前記電気機器とセッション鍵を交換し、前記デバイス制御部は、前記セキュア制御部から前記セッション鍵と暗号鍵とを取得して、前記電気機器から送られた書き込み用のデータを前記セッション鍵で復号化し、前記暗号鍵で暗号化して前記第1のメモリ領域に書き込むことを特徴とする請求項3に記載のメモリデバイス。
  7. 前記セキュア制御部は、前記電気機器とセッション鍵を交換し、前記デバイス制御部は、前記セキュア制御部から前記セッション鍵と暗号鍵と前記第1のメモリ領域のアクセス権限とを取得して、前記電気機器から送られた書き込み用のデータを前記セッション鍵で復号化し、前記暗号鍵で暗号化して前記第1のメモリ領域に書き込むことを特徴とする請求項1に記載のメモリデバイス。
  8. 前記セキュア制御部は、前記第1のメモリ領域のアクセス制限を一時的に解除し、前記デバイス制御部は、アクセス制限が解除された前記第1のメモリ領域に格納されているデータを読み込んで電気機器に送ることを特徴とする請求項1に記載のメモリデバイス。
  9. 前記セキュア制御部は、前記電気機器とセッション鍵を交換し、アクセス制限を解除した前記第1のメモリ領域に格納されている読み出し用のデータを復号化した後、前記セッション鍵で暗号化し、前記デバイス制御部は、前記第1のメモリ領域から前記セッション鍵で暗号化されたデータを読み込んで電気機器に送ることを特徴とする請求項8に記載のメモリデバイス。
  10. 前記セキュア制御部は、前記第1のメモリ領域に格納された読み出し用のデータを、前記記録媒体の前記第1のメモリ領域以外の領域にコピーし、前記デバイス制御部は、コピーされた前記データを読み込んで電気機器に送ることを特徴とする請求項1に記載のメモリデバイス。
  11. 前記セキュア制御部は、前記電気機器とセッション鍵を交換し、前記デバイス制御部は、前記セキュア制御部から前記セッション鍵と復号鍵と前記第1のメモリ領域のアクセス権限とを取得して、前記第1のメモリ領域から読み込んだデータを前記復号鍵で復号化し、前記セッション鍵で暗号化して前記電気機器に送ることを特徴とする請求項1に記載のメモリデバイス。
JP2003085299A 2003-03-26 2003-03-26 メモリデバイス Pending JP2004295353A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003085299A JP2004295353A (ja) 2003-03-26 2003-03-26 メモリデバイス

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003085299A JP2004295353A (ja) 2003-03-26 2003-03-26 メモリデバイス

Publications (1)

Publication Number Publication Date
JP2004295353A true JP2004295353A (ja) 2004-10-21

Family

ID=33400250

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003085299A Pending JP2004295353A (ja) 2003-03-26 2003-03-26 メモリデバイス

Country Status (1)

Country Link
JP (1) JP2004295353A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008527532A (ja) * 2005-01-13 2008-07-24 サムスン エレクトロニクス カンパニー リミテッド 非セキュリティ領域にセキュリティ領域を割り当てる方法及び携帯用保存装置
JP2015508527A (ja) * 2011-12-21 2015-03-19 インテル・コーポレーション 安全なダイレクトメモリアクセス

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008527532A (ja) * 2005-01-13 2008-07-24 サムスン エレクトロニクス カンパニー リミテッド 非セキュリティ領域にセキュリティ領域を割り当てる方法及び携帯用保存装置
US8161524B2 (en) 2005-01-13 2012-04-17 Samsung Electronics Co., Ltd. Method and portable storage device for allocating secure area in insecure area
JP2015508527A (ja) * 2011-12-21 2015-03-19 インテル・コーポレーション 安全なダイレクトメモリアクセス

Similar Documents

Publication Publication Date Title
JP4242682B2 (ja) メモリデバイス
CN1269071C (zh) 存储卡
JP4856400B2 (ja) 記憶装置及び情報処理端末
CN103221961B (zh) 包括用于保护多用户敏感代码和数据的架构的方法和装置
US7302571B2 (en) Method and system to maintain portable computer data secure and authentication token for use therein
JP4624732B2 (ja) アクセス方法
US7636844B2 (en) Method and system to provide a trusted channel within a computer system for a SIM device
CN103824032A (zh) 在微控制器中用于数据安全性处理的方法和装置
JP2004199138A (ja) メモリデバイスとそれを使用する電子機器
CN101551784A (zh) 一种usb接口的ata类存储设备中数据的加密方法及装置
JP2003280989A (ja) 内部メモリ型耐タンパプロセッサおよび秘密保護方法
US20090296937A1 (en) Data protection system, data protection method, and memory card
JP4338989B2 (ja) メモリデバイス
CN102831081A (zh) 透明加解密sd卡及其实现方法
CN103699853B (zh) 一种智能sd卡及其控制系统及方法
JP2004295353A (ja) メモリデバイス
JP2006227679A (ja) Usbメモリキー
JP4899499B2 (ja) Icカード発行方法、icカード発行システムおよびicカード
JP2007133892A (ja) アクセス方法、メモリデバイス、および情報機器
JP2004334471A (ja) 情報カード
JP2010079426A (ja) 半導体記憶装置
JP2004288080A (ja) Icカードシステムおよびicカード発行方法
Yashiro et al. T-Kernel/SS: a secure filesystem with access control protection using tamper-resistant chip
JP2007122379A (ja) 認証装置及びアプリケーション発行方法
JPH08315089A (ja) Icカード用端末

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20051208

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080311

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080325

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080715