JP2005505032A - 移動体商取引の機密保護を行うための方法および装置 - Google Patents

移動体商取引の機密保護を行うための方法および装置 Download PDF

Info

Publication number
JP2005505032A
JP2005505032A JP2003531279A JP2003531279A JP2005505032A JP 2005505032 A JP2005505032 A JP 2005505032A JP 2003531279 A JP2003531279 A JP 2003531279A JP 2003531279 A JP2003531279 A JP 2003531279A JP 2005505032 A JP2005505032 A JP 2005505032A
Authority
JP
Japan
Prior art keywords
communication device
wireless communication
program segment
public key
certified
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003531279A
Other languages
English (en)
Inventor
ジェイ.ジュニア ミーム、トーマス
エフ. ビナ、フレッド
キュー. グエン、カーン
モズリー、フィリップ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Motorola Solutions Inc
Original Assignee
Motorola Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Motorola Inc filed Critical Motorola Inc
Publication of JP2005505032A publication Critical patent/JP2005505032A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/12Payment architectures specially adapted for electronic shopping systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3227Aspects of commerce using mobile devices [M-devices] using secure elements embedded in M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Finance (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

無線商取引の機密保護および認証のためのシステムに関する。この方法は、無線通信デバイス(116)の第1の経路(130)を通して再プログラム不可能なROM(114)内に公開鍵をハードコード化するステップを有する。無線通信デバイス上に記憶するオブジェクトには、最初、証明書(120)を生成するために、公開鍵(104)に対応する専用鍵または秘密鍵(104)により署名が行われる。証明書(120)は、次に、オブジェクトに添付され、その後で、両者は、第1の経路(130)とは異なる第2の経路(132)を通して無線デバイス(116)に送られる。証明されたプログラム・セグメント(119)も無線デバイス上に記憶され、デバイスのブートアップ・プロセスの際に実行される。デバイスのブート・プロセス中、証明されたプログラム・セグメント(119)の認証が行われ、本物である場合にはそれが実行される。認証され、証明されたプログラム・シーケンス(119)の実行中、デバイス上に記憶している対応するオブジェクトの証明書は、再プログラム不可能なROM内に記憶している公開鍵および暗号化プログラム・セグメントにより認証が行われる。

Description

【技術分野】
【0001】
本発明は移動体無線通信一般に関し、より詳細には無線通信デバイスにおける機密保護商取引の実行に関する。
【背景技術】
【0002】
「オブジェクト」は、通常、あるコンピュータから他のコンピュータに送られる。オブジェクトは、ソフトウェア・アプリケーション、セキュリティ・コード、およびデータ・セット等であるが、これらに限定されない。オブジェクトは、RFリンク、光リンクおよび有線ネットワーク接続を介して、またインターネット、直列または並列ポートまたは内部バス転送を通して送ることができる。オブジェクトがあるデバイスまたは部分から他のデバイスまたは部分に送られると、オブジェクトの保全性が変化する場合がある。保全性、すなわち、オブジェクトのソースの保全性、および宛先へのオブジェクトの通信方法を含むシステム内でそれに基づいて動作するすべての処理の保全性は、ソースをどの程度信頼できるかによって決められる。オブジェクトのソースが既知のものであり、信頼できる場合には、オブジェクトの保全性は非常に高いが、オブジェクトがシステムを通して転送されている間にその保全性が低下する場合がある。
【0003】
宛先がモバイル機器である場合には、オブジェクトの保全性の維持の問題はさらに困難になる。何故なら、オブジェクトがシステムを移動しているときに、オブジェクトが通る経路を予測することができないからである。より詳細に説明すると、無線インターネットを含む無線通信および電子商取引(eコマース)およびモバイルeコマース(mコマース)の到来と共に、保護機構を持たないシステムにおいては、オブジェクトが、無線、RFまたは光送信を通して送られる場合に、オブジェクトの保全性が従来の有線接続と比較した場合さらに低減するからである。その理由は、有線接続と比較すると、このような送信は伝搬の影響を受けやすく、空中からもっと容易に傍受することが可能となり、悪意のあるユーザによって操作される恐れがあるからである。
【0004】
商取引の機密保護を行うために、またはあるコンピュータから他のコンピュータにオブジェクトを送るために、有線ネットワークで従来使用されてきた方法は、秘密鍵暗号化、公開鍵暗号化などのデータの暗号化、および証明書および署名による認証である。例えば、信頼できる高度の保全性のソースは、システム内のすべてのデバイスにそれを公開する前に、公開鍵/秘密鍵のペアの中の秘密鍵でオブジェクトに署名する必要がある。さらに、「ルート」公開鍵と呼ばれる公開鍵も、システム内のすべてのデバイスに配布される。ルート公開鍵を持っていれば、各デバイスは、ルート公開鍵で署名を処理することにより、受信する任意のオブジェクトの保全性をチェックすることができる。有効な署名は、そのオブジェクトのソースを秘密鍵のオーナー(高度の保全性で信頼できるソース)として識別し、どの処理システムもオブジェクトの保全性を変えなかったことを表示する。この方法は、現在展開中のシステムでは有効であることが分かっているが、デバイスにルート公開鍵を最初にインストールした場合に、高度の保全性プロセスが使用されたという仮定に基づいている。
【0005】
無線デバイスに追加機能を内蔵させた場合には、無線デバイスで従来使用されていたセキュリティ以外の追加のセキュリティが必要になる。現在の世代のモバイル機器は、商取引の機密保護のためまたはシステム内でのオブジェクトの送信のための手段としてルート公開鍵を使用してきた。暗号化プロセスは、オブジェクトの署名を高度に保証するが、オブジェクトの保全性が、ルート公開鍵を最初にインストールしたプロセスの保全性より幾分でも高いという保証はない。例えば、ルート公開鍵をインターネット・ウェブサイトからダウンロードした場合、そのルート公開鍵は、その公開鍵を入手したウェブサイトよりも高い保全性は保証されない。さらに、同じルート公開鍵により処理されたすべてのオブジェクトの署名は、同じウェブサイトの保全性より高い保全性を保証されない。このようなことを受け入れることはできない。新しい無線世代を利用するために、mコマースを通して種々のビジネスが種々のサービスを提供するようになると、もっと高いレベルのセキュリティが必要になる。インターネットのような有線ネットワークで使用している現在のセキュリティ方法は、十分な保護を行わない。そのため、mコマースは依然として攻撃に弱いままである。
【0006】
WAPおよび他のブラウザを使用可能なプロトコルは、モバイルeコマース商取引(モバイル・バンキングなど)の機密保護を行うための手段を提供するが、機密保護商取引中に使用するルート公開鍵をインストールするために、未指定の機密保護プロセスに依存している。モバイル・バンキング・アプリケーションにより、ユーザは無線領域内の任意の場所で自分のバンキングを行うことができる。これらの機能を無線デバイスに内蔵させることは非常に望ましいことである。そうするには、入力情報の識別およびソースの確認、およびシステムへのデバイスの信頼できる識別のような高度の保証プロセスを実行するためのデバイスも必要になる。これらのプロセスの保全性は、これらのプロセスが依存するルート公開鍵をインストールするために使用したプロセスの保全性と直接関連する。現在のシステムは、このレベルの保証を行うことができない。
【0007】
現在、ルート公開鍵をインストールするための高度の保証方法は、モバイル機器の開発および製造の点で実行することができない。上記方法は、速い開発サイクルおよび大量生産のために必要な柔軟性に欠けている。モバイル機器の開発、プログラミングおよび製造の際の柔軟性は、すべての実行可能なセキュリティ・プロセスに必要な機能である。同時に、柔軟性のためにプロセスの保全性を犠牲にすることはできない。現在のシステムおよび方法は、デバイス開発の柔軟性要件および高度の保全性の機密保護要件の両方は満たしていない。
【発明の開示】
【発明が解決しようとする課題】
【0008】
従って、柔軟な製品開発および製造を依然として維持する機密保護無線商取引の保証を改善するためのシステムの開発が待望されている。このような商取引を、エレクトロニック・バンキング、電子商取引として行うことができるモバイル機器による機密保護商取引用の手段を提供する必要があり、同時に、電子無線デバイスを開発し、アップグレードし、維持するための柔軟な手段も提供しなければならない。
【課題を解決するための手段】
【0009】
無線接続を通して高い保全性の機密保護商取引を確立するための改良形システムおよび方法について説明する。このシステムは、電子デバイス内の第1の信頼できる経路による再プログラム不可能な読出し専用メモリ(ROM)の不正使用防止機能付き媒体内に埋め込まれた公開鍵を含む。次に、このシステムは、電子デバイスのブート処理中、スーパールート公開鍵により認証が行われる電子デバイスへの個々の第2の経路を通るオブジェクトを必要とする。オブジェクトは信頼できるソースにより認証が行われるので、オブジェクトは信頼できると見なされ、デバイス上に常駐することができる。当業者であれば、公開鍵のインフラストラクチャ(PKI)、および本発明が使用する認証プロセスを理解することができるだろう。PKIは、今日使用されている多数のシステムの中の任意のものであってもよい。本発明は、PKIを提供しないで、移動体無線デバイス内のPKI処理のセキュリティおよび保全性が、PKIが提供する最高レベルの保証のための手段を提供する。
【発明を実施するための最良の形態】
【0010】
図1は、中央機関または証明機関(CA)102であり、CAは、公開鍵104および秘密鍵106を、公開鍵/秘密鍵のペアとして生成する。公開鍵104は、公開鍵104により暗号化されたデータは秘密鍵106でだけ解読でき、秘密鍵により暗号化されたデータは公開鍵でだけ解読することができるような方法で秘密鍵106を補足する。公開鍵104および秘密鍵106の両方を、暗号化および解読の両方および認証証明書への署名に使用することができる。ある実施形態の場合には、CA102は、また、秘密鍵106および公開鍵104を記憶し、保護する鍵管理機関として機能する。
【0011】
本発明の一実施形態の場合には、スーパールート公開鍵108を形成するために、公開鍵104が秘密鍵106と一緒に署名される。秘密鍵により公開鍵108に署名する必要はない。しかし、そうした場合には、IC製造プロセス中に公開鍵は、不正に変更されることはないことを確実にする。
【0012】
スーパールート公開鍵108は、高度の保全性の第1の経路128を通して読出し専用メモリ(ROM)マスク・データ113の一部として、集積回路(IC)製造施設に送られる。ROMマスク・データ113は、特定用途ICの製造に使用する全データベースのほんの一部である。図2は、ICおよび無線通信デバイス116で使用することができる他の支持構成要素の典型的な構成を示す。この図においては、処理装置202のブロック図は、セルラー無線電話の一部である。一実施形態の場合には、ROMマスク・データ113を含むICは、モトローラ社から入手可能な無線通信デバイス116にインストールした場合に、ネットワーク商取引を実行するための主処理装置(MPU)202である。
【0013】
図2のMPU202は、中央処理装置204、内部再プログラム不可能な読出し専用メモリ(ROM)114、および内部ランダム・アクセス・メモリ(RAM)206を有する。外部フラッシュ・メモリ208、外部RAM210および外部ROM212は、また、バス214を通してMPU202に結合している。マスキング・プロセスの結果、公開鍵104またはスーパールート公開鍵108は、再プログラム不可能なROM114内にハードコード化される。この処理の結果、IC製造データをIC製造施設に経路指定するために通常使用される経路は、CA102から、モバイル機器116のMPU202内の再プログラム不可能なROM114への第1の経路128と同じ高さの保全性を持つ。このIC製造経路は、また、専有の性質およびIC製造データの潜在的な値のために保全性の高い保証を行う。
【0014】
スーパールート公開鍵108の他に、ROMマスク・データは、また、MPU202に電力が供給された場合に、すなわち、ブートアップ処理中に、何時でも最初に実行されるコードである高度保証ブート・プロセス(HABP)コードを含む。図3の再プログラム不可能なROM114、RAM206と外部フラッシュ・メモリ208との間でのメモリの割当ては、複数のコード・セグメントが、コマンド・ファイル・パーサおよびインタプリタおよび短いルーチン、初期化および構成ルーチン、いくつかの自己テスト・ルーチン、主論理制御ループ、いくつかのコマンド・ファイル妥当性検査ルーチンにより実施される暗号化アルゴリズム、または暗号化プログラム・セグメント304を含むことを示す。暗号化プログラム・セグメントは、デバイス上に存在する他のオブジェクトまたはプログラム・セグメントの認証、暗号化または解読のために、同様にROM内に記憶されている公開鍵108を呼び出すルーチンまたはプログラムである。
【0015】
図1においては、再プログラム不可能なROMは、デバイス組立てプロセス中に、本発明の好ましい実施形態の無線通信デバイス116のなどのデバイス116内にインストールされたスーパールート公開鍵108および暗号化プログラム・セグメント304を備える。コマンド・シーケンス・ファイル(CSF)118と呼ばれるプログラム・シーケンスも、組立てプロセス中にデバイスに記憶される。このプログラム・シーケンスは、ROMに記憶されず、例えば、フラッシュ・メモリ208などのデバイス内の書換可能メモリのある種の形式に記憶される。それ故、CSF118は、オブジェクトがデバイスに追加またはデバイスから削除された後の時点で置換または変更することが可能である。CSF118は、無線通信デバイスのデバイス初期化ステップの実行に加えて、ブート・プロセスの一部として実行される。無線通信デバイス116に設置する前に、CSF118は、スーパールート公開鍵108により署名され、証明されたプログラム・シーケンス119になる。次に、ブートアップ・プロセス中に、証明されたプログラム・シーケンス119は、この場合もROM内に記憶されているスーパールート公開鍵108および暗号化プログラム・シーケンス304により認証が行われる。証明されたプログラム・シーケンス119が本物である場合には、無線通信デバイスは、通常の動作モードに入り、証明されたプログラム・セグメントが実行する。証明されたプログラム・シーケンスが認証に失敗した場合、または本物でない場合には、無線通信デバイスは別の動作モードに入る。
【0016】
この別の動作モードは、所与の状況により多数のモードであってもよい。例えば、デバイスは、エラーが発生したこと、およびメーカーに連絡すべきことを示すメッセージを表示することもできるし、またはトラブルシューティング・チップを表示することもできる。別のモードは、また、サービス・プロバイダに、デバイスが無効なCSFを含んでいること、およびデバイスが不正に変更された恐れがあることを通知することができる。デバイスは、また、緊急時専用モードに入ることもできる。この場合、ユーザは、この時点で、911を呼出すことができ、問題を解決するためにデバイスをサービス・プロバイダに持っていかなければならない。
【0017】
証明されたプログラム・セグメント119の認証の実行は、無線通信デバイス内に記憶している他のサブルーチン、または他のプログラム・セグメントの認証を行うプログラム・セグメントの実行を含む。証明されたプログラム・セグメント119は、スーパールート公開鍵により認証が行われるので、証明されたプログラム・セグメント119により実行された他のプログラム・セグメントが本物であり、信任チェーンがスーパールート公開鍵から流れることに対する、高度の確実性がある。
【0018】
例えば、暗号化プログラム・セグメント304およびCSF119を含むMPU202のROM114内のコードは、デバイス116内の他のオブジェクトの認証を行うために、スーパールート公開鍵108を使用するように指示する。他のオブジェクトは、ソフトウェア・セグメント、実行可能なソフトウェア・セグメント、公開鍵、秘密鍵、データ・ファイル、および暗号化プログラム・セグメントを含むことができるが、含むことができるものはこれらに限定されない。
【0019】
一般的に、デバイス上にそのオブジェクトを常駐させたい第三者は、デバイス116に配信する前に、認証のために署名したオブジェクトを持つ必要がある。この目的のために、CA102が公開鍵/秘密鍵のペアを生成し、スーパールート公開鍵108が再プログラム不可能なROM114内に埋め込まれ、無線デバイス116に内蔵されると、デバイス116にインストールされた場合に、その認証が確実に行われるように、CA102は無線デバイスに配信されるオブジェクトに署名しなければならない。CA102のところで専用鍵(private key)106によりオブジェクトに署名が行われると、図1に示すように、証明書120が生成される。証明書が無線通信デバイス116に送られる場合に、証明書がオブジェクトに添付される。デバイス116のところで、オブジェクトおよび証明書120は、スーパールート公開鍵108により認証が行われる。証明書が本物である場合には、デバイス116上でオブジェクトを使用することができる。
【0020】
この例の場合、第三者の一例は、インターネットを通して、無線デバイスにオブジェクトを供給したい機関であってもよい。多くの第三者のプロバイダは、mコマース商取引中にデータをダウンロードしたい場合がある。もう1つの第三者としては、また、デバイス内のソフトウェアをアップグレードしたい、またはデバイスの機能を強化するために任意の他のオブジェクトを追加したいデバイスに対するサービス・プロバイダであってもよいし、端末管理ともよばれる上記デバイスにサービスを提供する通信事業者であってもよい。これらの商取引の性質は、オブジェクトが認証できるものであり、信頼できるソースまでさかのぼって追跡できるものでなければならない。
【0021】
システムの1つの素子は、オブジェクトが、スーパールート公開鍵108の経路から完全に独立している経路を通してデバイスと通信する素子である。第1の経路および第2の経路は、同じ媒体(すなわち、フレキシブルディスク、有線送信、無線送信)であってもよい。しかし、これらの経路は、独立の経路を生成するために、同じ商取引から分離することはできない。第2の経路は、モバイル機器へのネットワークを通る任意の典型的な通信経路であってもよい。この経路は、高い保全性を持つ必要はない。何故なら、ネットワークを通してデバイスの方向に移動する際のオブジェクトの保全性におけるすべての変化は、オブジェクトがスーパールート公開鍵により処理されるとき検出されるからである。
【0022】
図1は、第2の経路132を通るオブジェクトを示す。説明のために、第2の経路は、さらに、第1の部分134、第2の部分136および第3の部分138を含む。オブジェクトを無線デバイス116に送ることができるようになる前に、第三者は、第2の経路132の第1の部分134を通してCA102にオブジェクトを送らなければならない。CA102のところでは、オブジェクトに秘密鍵106により署名が行われる。署名を行っている場合、第三者はCAに「登録している」といわれ、このプロセスは「登録」と呼ばれる。第2の経路の第1の部分は、個人間の商取引であってもよく、フレキシブルディスク、CD ROM、またはある種の形の取外し可能な携帯用媒体のような記録可能な媒体によりトランスポートされる専用有線リンクであってもよい。オブジェクトは、また、オブジェクトのソースをはっきりと識別する識別コード(IDフィールド)およびオブジェクト内のすべてのフィールドに対するチェックサムを含んでいなければならない。IDフィールドは、第三者の公開鍵を第三者の識別子に結合する。証明書は、第三者の識別を「保証」し、その公開鍵の信頼性を「証明」する。
【0023】
署名されたオブジェクトは、第2の経路の第2の部分を通してCA102から第三者124に返送される。これは、第1の部分と同じタイプの通信であってもよいし、または上記他の手段を使用することもできる。第三者124のところで署名されたオブジェクトを受信すると、そのオブジェクトは無線デバイスに送ることができる。本発明の好ましい実施形態の場合には、オブジェクトは、第2の経路の第3の部分を通して、通信事業者により第三者から無線デバイスに送られる。第三者が通信事業者である場合には、オブジェクトは、無線通信デバイス116に直接送られる。無線デバイス116のところでオブジェクトを受信すると、オブジェクトおよびスーパールート公開鍵108の両方が、2つの完全な独立経路、すなわち、第1の高度の保全性経路128および第2の典型的なネットワーク経路132を通して無線通信デバイス上に常駐する。このシステムは、無線通信デバイス、すなわち、この場合は第2の経路に送信される場合に、オブジェクトの発信の柔軟性を受け入れるように設計されていて、この経路は性質上高度の保全性経路ではないので、無線通信デバイスに送信する前に証明を必要とする。
【0024】
デバイスのブート・プロセス中に、CSF118が実行され、スーパールート公開鍵により、第2の経路で受信したデバイス内に記憶している署名のある各オブジェクトの認証を行う。各オブジェクトが本物である場合には、デバイスはブート・プロセスを終了して動作モードに入る。任意のオブジェクトが本物でない場合には、デバイスは通常の動作をスタートしないで、別の動作モードに移行する。この別のモードは、デバイスをシャットダウンし、サービス・プロバイダまたは第三者または多数の他の可能なイベントを呼出すメッセージを表示する場合がある。
【0025】
無線通信デバイスがあるオブジェクトを受信すると、オブジェクトの認証が行われるまでオブジェクトを作動することができない。ICに電力が供給され、ROM内の初期化コードが作動し、図4に示すように、MPUの全制御が確立すると認証プロセスがスタートする。ROMコードは、何時でも、各ブートアップ毎に行動の同じ特定のシーケンスを実行する。
【0026】
図5は、主制御ループ・シーケンスである。最初に、主制御ループは、CSFポインタを探し、コマンドCSF119自身の位置を発見するためにそれを使用する。主制御ループは、CSF署名と一緒にCSF119をMPU202の内部のRAM206内にロードする。主制御ループ・コードは、次に、CSF119の認証および保全性を確立するために、ROM内に記憶している暗号化ライブラリ・ルーチンの中のいくつかを呼出す。本発明の好ましい実施形態の場合には、CSF署名は、スーパールート秘密鍵108と一緒に署名されるHASHと呼ばれるCSF119のチェックサムである。CSF119は、次に、スーパールート公開鍵108により、第1のオブジェクトを解読する。スーパールート公開鍵108による第1のオブジェクトの処理の結果は、解読された答えまたは結果である。この結果は、暗号化したオブジェクト内に含まれるチェックサムをチェックすることにより確認される。オブジェクトが信頼できる場合には、CSF119は、次のオブジェクトに移動し、スーパールート公開鍵108による第2のオブジェクトの認証と同じ手順を行う。このプロセスは、すべてのオブジェクトが確認されるまで行われる。オブジェクト/公開鍵が信頼できない場合には、デバイスは別のモードに入り、ユーザに知らせるか、デバイスが動作できないようにする。別のモードの場合には、オブジェクトがデバイスに再度ダウンロードされるか、またはデバイスが、ユーザが、例えば、911だけしか呼出すことができない緊急使用専用モードに入る。デバイスは、また、端末管理モードに入り、通信事業者がデバイスを制御できるようにするか、問題をトラブルシューティングすることができるようにする。ある番号か、またはさらにトラブルシューティングを行うために、問題のオブジェクトを発生した通信事業者または第三者などのセルラー無線電話の場合には、自動的に呼出された番号を呼出すようにとの通知がユーザに送られる。
【0027】
デバイスへ新しいオブジェクトがダウンロードされる度に、新しいCFS119をデバイス116内に同様に記憶しなければならない。CFS119は、デバイスをブートした場合に、確認すべきオブジェクトを含んでいなければならない。CFS119は、また、CFS119が異なるESNと一緒にデバイス上に記憶された場合には、デバイスが動作の別のモードに入ることができるように、セルラー無線電話の電子通し番号(ESN)のようなデバイス内にID番号と一致するID番号を含むことができる。この場合、デバイスは、通信事業者に、CFS119のIDがデバイスIDと一致しないという通知を送ることができ、またデバイスは、クローン発生のような詐欺または他の誤った使用について問い合わせることができる。
【0028】
無線デバイスの開発段階において、開発グループは第三者として行動することができる。開発の場合には、デバイスに全面的にアクセスする必要がある。その場合、デバイス上に記憶しているオブジェクトは、開発データ、実行可能なもの、または開発目的のために無線デバイスに完全にアクセスすることを可能にする他の鍵のようなものである。開発の際には、全面的なアクセスを与えるデバイスにダウンロードするためにCFS119の供給を受ける。開発プロセス中、開発デバイス内に特殊な開発ROMをインストールすることもできる。特殊な開発中、ROMは開発CFS119内のIDと一致する一意のIDを持つ。t個の一意の開発IDを持つある数のROMだけを開発するので、特殊な開発ROMを含むデバイスは市販されていない。そのため、都合のよいことに、高度の機密保護レベルを持つシステムを維持しながら、開発プロセス中に柔軟性を持つことができる。
【0029】
第三者は、また試験中デバイス内でソフトウェアをアップグレードしたいフィールド試験ユニットであってもよい。フィールド試験ユニットは、デバイスへの全面的なアクセスか、または機密保護のフィールド試験アクセス・レベルを与えるデバイス内にダウンロードするために、CFS119の供給を受ける。
【0030】
ユーザの要求に従って、通信事業者によりデバイスに送られたオブジェクト、バンキング要求、ショッピング要求、任意のmコマース全般、ゲーム、ビデオ・ストリーミング。
今まで本発明を詳細に説明してきたが、本発明は、上記特定の実施形態に限定されない。当業者であれば、本発明のコンセプトから逸脱することなしに、多くの使用、変更および上記特定の実施形態の変更を行うことができることは明らかである。
【図面の簡単な説明】
【0031】
【図1】本発明の例示としての処理を示すブロック図。
【図2】本発明の例示としてのMPUのブロック図。
【図3】本発明の例示としてのアーキテクチャを示すブロック図。
【図4】本発明の例示としての初期処理を示すブロック図。
【図5】本発明の例示としての制御ループを示すブロック図。

Claims (23)

  1. 無線通信デバイスに電力を供給するステップと、
    前記無線通信デバイスへの電力の供給に応じて、暗号化プログラム・セグメントおよび公開鍵で、証明されたプログラム・セグメントの認証を行うステップとを備え、
    前記暗号化プログラム・セグメントおよび前記公開鍵が、前記無線通信デバイスの再プログラム不可能な読出し専用メモリ(ROM)内にハードコード化される、無線通信デバイスで使用する方法。
  2. 前記証明されたプログラム・セグメントの認証が行われた場合、前記証明されたプログラム・セグメントを実行し、
    前記証明されたプログラム・セグメントがオブジェクト認証プログラム・セグメントを有する、請求項1に記載の方法。
  3. 前記証明されたプログラム・セグメントが本物でない場合に、前記無線通信デバイスを別の動作モードにする、請求項1に記載の方法。
  4. 前記証明されたプログラム・セグメントの前記オブジェクト認証プログラム・セグメントを実行した場合に、前記公開鍵および前記暗号化プログラム・セグメントにより前記無線通信デバイス内のオブジェクトの認証を行う、請求項2に記載の方法。
  5. 前記オブジェクトが本物でない場合に、前記無線通信デバイスを第2の動作モードにするステップをさらに備える、請求項4に記載の方法。
  6. 前記証明されたプログラム・セグメント内の前記オブジェクト認証プログラム・セグメントの実行に応答してオブジェクトの認証を行い、前記少なくとも1つのオブジェクト認証プログラム・セグメントが、前記再プログラム不可能なROMの前記公開鍵をポイントしている第1のポインタと、前記再プログラム不可能なROMの前記暗号化プログラム・セグメントをポイントしている第2のポインタとを備える、請求項2に記載の方法。
  7. 第1の経路を通して、前記無線通信デバイス上に、前記暗号化プログラム・セグメントおよび前記公開鍵をインストールする、請求項1に記載の方法。
  8. 前記証明されたプログラム・セグメントに応じて、前記公開鍵および前記暗号化プログラム・セグメントにより、前記無線通信デバイス内のオブジェクトの認証を行い、
    前記オブジェクトおよび前記証明されたプログラム・セグメントが、第2の経路を通して、前記無線通信デバイスにインストールされ、前記第2の経路が前記第1の経路とは異なる、請求項7に記載の方法。
  9. 前記オブジェクトの認証を行う前に、前記無線通信デバイスの無線インタフェースを通して前記オブジェクトを受信する、請求項4に記載の方法。
  10. 前記無線通信デバイス上に、新しいオブジェクトおよび対応する証明されたプログラム・セグメントをダウンロードするステップをさらに備え、
    前記対応する証明されたプログラム・セグメントが、前記新しいオブジェクトの認証を行う第2のオブジェクト認証プログラム・セグメントを有する、請求項4に記載の方法。
  11. マイクロプロセッサと、
    前記マイクロプロセッサに結合している再プログラム不可能なROMと、
    前記再プログラム不可能なROM内にハードコード化された暗号化プログラム・セグメントと、
    証明されたプログラム・セグメントと、
    前記証明されたプログラム・セグメントの認証を行うための前記再プログラム不可能なROM内にハードコード化された公開鍵とを備える、無線通信デバイス。
  12. 前記マイクロプロセッサに結合している記憶装置を備える、請求項11に記載の無線通信デバイス。
  13. オブジェクトを備え、前記オブジェクトが前記記憶装置内に記憶され、さらに、前記オブジェクトの認証を行うための本物の証明されたプログラム・セグメントを備える、請求項12に記載の無線通信デバイス。
  14. 前記無線通信デバイスのブートアップ・プロセス中に、前記証明されたプログラム・セグメントが、前記暗号化プログラム・セグメントおよび前記公開鍵により認証が行われる、請求項11に記載の無線通信デバイス。
  15. 前記証明されたプログラム・セグメントが、前記記憶装置に記憶される、請求項12に記載の無線通信デバイス。
  16. 前記無線通信デバイスが、セルラー無線電話ハンドセットである、請求項11に記載の無線通信デバイス。
  17. 前記再プログラム不可能なROMが、前記マイクロプロセッサに内蔵されている、請求項11に記載の無線通信デバイス。
  18. 前記再プログラム不可能なROMが、マスク・プログラムされたROMである、請求項11に記載の無線通信デバイス。
  19. 前記スーパールート公開鍵を形成するために、前記公開鍵に専用鍵で署名する、請求項11に記載の無線通信デバイス。
  20. 中央プロセッサ手段と、
    複数のハードコード化されたプログラム・セグメントを記憶するために、前記中央プロセッサ手段に結合している再プログラム不可能なROMと、
    前記中央プロセッサ手段に結合しているトランシーバと、
    前記無線通信デバイス上に記憶している証明されたプログラム・セグメントと、
    前記再プログラム不可能なROM内にハードコード化された公開鍵と、
    前記無線通信デバイスのブート・プロセス中に、前記公開鍵により前記証明されたプログラム・セグメントの認証を行うために、前記再プログラム不可能なROM内にハードコード化された認証手段とを備える、無線通信デバイス。
  21. 前記無線通信デバイス上に記憶しているオブジェクトを備え、認証中の前記証明されたプログラム・セグメントに応じて、前記証明されたプログラム・セグメントが実行された場合、前記オブジェクトが前記認証手段により認証が行われる、請求項20に記載の無線通信デバイス。
  22. 無線インタフェースを通して、前記無線通信デバイス内にインストールされた新しいオブジェクトを備える、請求項20に記載の無線通信デバイス。
  23. 前記新しいオブジェクトの認証を行うために、前記無線通信デバイス内に記憶している新しい証明されたプログラム・セグメントを備える、請求項21に記載の無線通信デバイス。
JP2003531279A 2001-09-24 2002-09-19 移動体商取引の機密保護を行うための方法および装置 Pending JP2005505032A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/961,718 US20030059049A1 (en) 2001-09-24 2001-09-24 Method and apparatus for secure mobile transaction
PCT/US2002/029772 WO2003027800A2 (en) 2001-09-24 2002-09-19 Method and apparatus for secure mobile transaction

Publications (1)

Publication Number Publication Date
JP2005505032A true JP2005505032A (ja) 2005-02-17

Family

ID=25504889

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003531279A Pending JP2005505032A (ja) 2001-09-24 2002-09-19 移動体商取引の機密保護を行うための方法および装置

Country Status (8)

Country Link
US (1) US20030059049A1 (ja)
EP (1) EP1485783A4 (ja)
JP (1) JP2005505032A (ja)
CN (1) CN1559028A (ja)
AU (1) AU2002334605A1 (ja)
RU (1) RU2004112548A (ja)
TW (1) TW576065B (ja)
WO (1) WO2003027800A2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009536796A (ja) * 2006-05-11 2009-10-15 イネルカン・ソシエダッド・リミターダ 無線通信能力を有するpc用外部署名装置

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005083561A1 (en) * 2004-02-26 2005-09-09 Telecom Italia S.P.A. Method and circuit for generating random numbers, and computer program product therefor
JP2005286989A (ja) * 2004-03-02 2005-10-13 Ntt Docomo Inc 通信端末及びアドホックネットワーク経路制御方法
WO2006092539A2 (fr) 2005-03-03 2006-09-08 France Telecom Securisation de donnees pour programmes de fidelisation de clientele
US8046824B2 (en) * 2005-04-11 2011-10-25 Nokia Corporation Generic key-decision mechanism for GAA
US20090129593A1 (en) * 2005-05-30 2009-05-21 Semiconductor Energy Laboratory Co., Ltd. Semiconductor device and method for operating the same
US20070162759A1 (en) * 2005-12-28 2007-07-12 Motorola, Inc. Protected port for electronic access to an embedded device
US8254568B2 (en) * 2007-01-07 2012-08-28 Apple Inc. Secure booting a computing device
US8291480B2 (en) * 2007-01-07 2012-10-16 Apple Inc. Trusting an unverified code image in a computing device
US8239688B2 (en) 2007-01-07 2012-08-07 Apple Inc. Securely recovering a computing device
GB2452699B (en) * 2007-08-24 2012-08-01 King S College London Mobility and quality of service
US8150039B2 (en) 2008-04-15 2012-04-03 Apple Inc. Single security model in booting a computing device
US8812701B2 (en) * 2008-05-21 2014-08-19 Uniloc Luxembourg, S.A. Device and method for secured communication
GB2466225B (en) * 2008-12-15 2013-10-02 King S College London Inter-access network handover
GB2466226B (en) 2008-12-15 2012-11-14 King S College London Improvements in or relating to network mobility
BRPI1006951A2 (pt) 2010-11-25 2013-05-21 Light Servicos De Eletricidade S A medidor eletrânico de energia elÉtrica com mecanismo integrado de certificaÇço digital para comunicaÇço segura
US10637820B2 (en) 2011-10-21 2020-04-28 Uniloc 2017 Llc Local area social networking
US20140248908A1 (en) 2013-03-01 2014-09-04 Uniloc Luxembourg S.A. Pedestrian traffic monitoring and analysis
WO2015158772A1 (en) * 2014-04-15 2015-10-22 Lantiq Beteiligungs-GmbH & Co.KG Root of trust

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4319079A (en) * 1979-09-13 1982-03-09 Best Robert M Crypto microprocessor using block cipher
US5434999A (en) * 1988-11-09 1995-07-18 Bull Cp8 Safeguarded remote loading of service programs by authorizing loading in protected memory zones in a terminal
US5802592A (en) * 1996-05-31 1998-09-01 International Business Machines Corporation System and method for protecting integrity of alterable ROM using digital signatures
US6026293A (en) * 1996-09-05 2000-02-15 Ericsson Inc. System for preventing electronic memory tampering
US5892904A (en) * 1996-12-06 1999-04-06 Microsoft Corporation Code certification for network transmission
US6175924B1 (en) * 1997-06-20 2001-01-16 International Business Machines Corp. Method and apparatus for protecting application data in secure storage areas
US6266754B1 (en) * 1998-05-29 2001-07-24 Texas Instruments Incorporated Secure computing device including operating system stored in non-relocatable page of memory
US6735696B1 (en) * 1998-08-14 2004-05-11 Intel Corporation Digital content protection using a secure booting method and apparatus
US6327660B1 (en) * 1998-09-18 2001-12-04 Intel Corporation Method for securing communications in a pre-boot environment
US20010037450A1 (en) * 2000-03-02 2001-11-01 Metlitski Evgueny A. System and method for process protection
US7058806B2 (en) * 2000-10-17 2006-06-06 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for secure leveled access control
US7734285B2 (en) * 2001-04-03 2010-06-08 Qualcomm Incorporated Method and apparatus for network initiated uninstallation of application program over wireless network

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009536796A (ja) * 2006-05-11 2009-10-15 イネルカン・ソシエダッド・リミターダ 無線通信能力を有するpc用外部署名装置

Also Published As

Publication number Publication date
US20030059049A1 (en) 2003-03-27
EP1485783A4 (en) 2009-09-02
WO2003027800A2 (en) 2003-04-03
WO2003027800A3 (en) 2003-07-31
CN1559028A (zh) 2004-12-29
RU2004112548A (ru) 2005-09-20
EP1485783A2 (en) 2004-12-15
TW576065B (en) 2004-02-11
AU2002334605A1 (en) 2003-04-07

Similar Documents

Publication Publication Date Title
JP6262278B2 (ja) アクセス制御クライアントの記憶及び演算に関する方法及び装置
CN109074466B (zh) 用于服务器的平台证明和注册
JP2005505032A (ja) 移動体商取引の機密保護を行うための方法および装置
US8560857B2 (en) Information processing apparatus, a server apparatus, a method of an information processing apparatus, a method of a server apparatus, and an apparatus executable program
US20080003980A1 (en) Subsidy-controlled handset device via a sim card using asymmetric verification and method thereof
US20080082828A1 (en) Circuit arrangement and method for starting up a circuit arrangement
US20080189695A1 (en) Updating of Data Instructions
JP2007519308A (ja) アプリケーションの認証方法
EP2728908B1 (en) Telecommunications chip card
JP2004265026A (ja) アプリケーション認証システムと装置
US8751811B2 (en) Integrated circuit and system for installing computer code thereon
WO2019051839A1 (zh) 一种数据处理的方法及装置
EP1680719A1 (en) Method and device for controlling installation of applications using operator root certificates
EP3912064A1 (en) Apparatus and method for dynamic configuration of trusted application access control
EP3048553B1 (en) Method for distributing applets, and entities for distributing applets
CN112384913A (zh) 终端硬件配置系统
CN112805702A (zh) 仿冒app识别方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050920

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071204

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20080304

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20080311

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080805