JP2019517229A - ポータブル電子デバイスと関連したデジタルシークレットの生成、格納、管理および使用のためのシステムおよび方法 - Google Patents

ポータブル電子デバイスと関連したデジタルシークレットの生成、格納、管理および使用のためのシステムおよび方法 Download PDF

Info

Publication number
JP2019517229A
JP2019517229A JP2019505330A JP2019505330A JP2019517229A JP 2019517229 A JP2019517229 A JP 2019517229A JP 2019505330 A JP2019505330 A JP 2019505330A JP 2019505330 A JP2019505330 A JP 2019505330A JP 2019517229 A JP2019517229 A JP 2019517229A
Authority
JP
Japan
Prior art keywords
thim
portable electronic
secure memory
trusted
electronic device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019505330A
Other languages
English (en)
Other versions
JP7186163B2 (ja
Inventor
レイスギース,ハンス
Original Assignee
シークエント ソフトウェア、インコーポレイテッド
シークエント ソフトウェア、インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by シークエント ソフトウェア、インコーポレイテッド, シークエント ソフトウェア、インコーポレイテッド filed Critical シークエント ソフトウェア、インコーポレイテッド
Publication of JP2019517229A publication Critical patent/JP2019517229A/ja
Priority to JP2022124672A priority Critical patent/JP2022172099A/ja
Application granted granted Critical
Publication of JP7186163B2 publication Critical patent/JP7186163B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mathematical Physics (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Storage Device Security (AREA)
  • Medicines Containing Antibodies Or Antigens For Use As Internal Diagnostic Agents (AREA)

Abstract

ポータブル電子デバイスに関連する1以上のデジタルシークレットの生成、格納、管理および使用のためのシステム。システムは、1以上のマスターキーのみを格納する安全性の高いメモリと;安全性の高いメモリの外部でポータブル電子デバイスに実装されたキーストアと;安全性の高いメモリの外部でポータブル電子デバイスに実装された1以上の暗号アプレットと;安全性の高いメモリの外部に実装された信頼性の高い中間モジュール(ThIM)とを含み、ThIMは、安全性の高いメモリ、キーストア、1以上の暗号アプレット、および少なくとも1つの第三者アプリケーション間の信頼性の高い通信コンジットを確立および管理し、ThIMは、ポータブル電子デバイス内の各コンポーネントの信頼スコア、初期化コスト、およびトランザクションコストを決定するために、ポータブル電子デバイス、安全性の高いメモリ、キーストア、1以上の暗号アプレットをポーリングし、ThIMは、信頼スコア、初期化コスト、およびトランザクションコストに基づいて信頼できる第三者アプリケーション許容可能な相互作用パラメータを提供し、ThIMは、許容可能な相互作用パラメータに従って、信頼できる第三者アプリケーションと安全性の高いメモリとの間の信頼性の高い通信を管理する。

Description

関連出願との相互参照
本出願は、2016年4月14日に出願された米国仮出願第62/322,288号の優先権を主張し、その全体の内容は、参照により本明細書に明確に組み込まれる。
本発明は、一般に、デジタルシークレットの保護および使用に関し、より詳細には、ポータル通信デバイス上の様々なアプリケーションに安全なデータ通信機能を提供するためのシステムおよび方法に関する。
電子制御ポイントが広く使用されている。電子制御ポイントは、電子クレデンシャルを動作可能に受信し、その後、かかる電子クレデンシャルの受信に応答して、支払いの受け取り、アクセスの提供、それらの組み合わせおよび他の応答を行うことによって動作するデバイスである。例えば、POSデバイスは、電子制御ポイントの1つの種類である。POS端末は、電子決済信用証明書を操作可能に受信し、電子決済信用証明書および他の取引識別情報を発行者に送信し、発行者から、金融取引が許可されているか拒否されているか、電子証明書を保持している消費者が求める商品またはサービスと引き換えに、許可された者が電子決済を受け入れるかを示すメッセージを受信する。
POS端末/デバイス、自動預金預け払い機(ATM)、有料道路ゲート、電子ドア/イグニッションロック(職場、ホテル、その他の宿泊施設、車内、車中)、金庫、回転式改札(例えば、トランジットステーション、アミューズメント施設、コンサート、スポーツ、その他のエンターテイメント施設など)、駐車場アクセスゲート、自動販売機、ロイヤルティプログラムの処理を管理するなどの電子制御ポイントには多くの種類がある。また、電子制御ポイントは、電子クレデンシャルを読み取って、アクセスを許可または拒否する人に情報を提供するだけでよいと考えられる。そのような配置の一例は、空港ではよく知られている。セキュリティエージェントは、コード(すなわち、電子証明書)を読み取る光学読取装置に電子証明書を配置し、続いて読み取られた電子データに関する人間が理解できる情報を提供し、その後人間エージェントによって検索パラメータと空港への全体的なアクセスを決定するために使用される。
RFIDベースの近接カードを使用する電子クレデンシャルの無線提示はよく知られている。例えば、労働者はRFIDキーカードを使用して、電子ドアロックを介して職場にアクセスする。ドライバはRFIDパスを使用して高速道路の通行料(別の種類の電子制御ポイント)で料金を支払う。無線周波数識別を表すRFIDは、電磁波を使用して電子制御ポイントと物体(例えば、電子キーカード)との間で識別のためにデータを交換する。
特定の種類のRFIDの1つは、近距離通信(NFC)と呼ばれる。NFC波は、短距離(数センチメートルのオーダー)で高周波でのみ送信される。NFC対応デバイスは、POS端末で支払いを行い、アクセス制御を提供するために既に使用されている。NFCは、変調方式、符号化、転送速度およびRFインターフェースを指定するオープンスタンダード(例えば、ISO/IEC18092参照)である。NFCは、電子クレデンシャルを提示するために一般化されたRFIDよりも優れたセキュリティを提供する。この改善されたセキュリティは、金融取引および多くの種類のアクセス制御において特に望ましい。
その結果、スマートカード、スマートフォン、スマートウォッチ、キーフォブ、フィットネストラッカー、パーソナルコンピュータ、および他のモバイルデバイスのようなポータブル電子デバイスが、電子クレデンシャルをエミュレートする目的で1以上の近距離電磁通信送信機(または、より好ましくはトランシーバ)を含むことが一般的になっている。
1以上の近接電磁通信送信機/トランシーバに加えて、ほぼすべてのポータブル電子デバイス(および特に前の段落で説明した種類)は、少なくともマイクロプロセッサおよびメモリを含む。メモリは、ROM、RAM、および1以上のリムーバブルメモリカードを含むことができる。大容量メモリは、基本入出力システム(「BIOS」)およびポータブル電子デバイスの動作を制御するためのオペレーティングシステムを含む、コンピュータ可読命令および他のデータ用のストレージを提供する。これらのポータブル電子デバイスの多くは、消費者が情報を受信し、次に情報を入力するか、または受け取った情報に応答する手段を提供するユーザインターフェースをさらに含む。現在のところ理解されるように(本開示を限定する意図はないが)、このユーザインターフェースは、マイクロフォン、オーディオスピーカ、触覚インターフェース、グラフィックディスプレイ、キーパッド、キーボード、ポインティングデバイスおよび/またはタッチスクリーンを含む。
これらのポータブル電子デバイスはまた、しばしば、1以上のネットワークを有するか、そうでなければそれらと動作可能に接続することができる。かかるネットワークの1つは、モバイルネットワークオペレータ(一般にMNOと呼ばれる)によってポータブル電子デバイスに提供されてもよい。モバイルネットワークオペレータは、通常、モバイル通信のためのグローバルシステム(GSM(登録商標))、3G、4G、LTE、CDMA、時分割多元接続(TDMA)、ユーザデータグラムプロトコル(UDP)、TCP/IP、SMS、一般パケット無線サービス(GPRS)、WAP、超広帯域(UWB)、マイクロ波アクセスのためのIEEE802.16ワールドワイド相互運用(WiMax)、SIP/RTP、または他の様々な無線通信プロトコルの1以上の技術を含むことができる。これらのポータブル電子デバイスの多くは、消費者向アプリケーションをダウンロードして実行する能力も有する。
いくつかのポータブル電子デバイスは、地球の表面上のポータブル電子デバイスの物理座標を(通常、その緯度、経度および高度の関数として)決定することができる1以上の位置決定デバイスも含むことができる。この位置決定装置は、多くの場合、装置の位置を決定するためにGPS技術に頼っているので、そのような装置は、本明細書では、GPSトランシーバという呼び方と交換可能に呼ぶことができるが、三角測量、支援GPS(AGPS)、E−OTD、CI、SAI、ETA、BSS、またはそれらの組み合わせを含み、これらに限定されない同様の地球の表面上のポータブル電子デバイスの物理的位置を決定することができる他のジオ位置決め機構を使用することができることを理解されたい。
多くのポータブル電子デバイス、特にポータブル電子通信デバイスは、デバイスを識別するための専用のメモリを含む。例えば、スマートフォンでは、デバイス識別メモリはSIMカードである。一般的に理解されるように、これらのSIMカードは、装置の一意のシリアル番号(ESN)、国際的に固有の番号の移動ユーザ(IMSI)、セキュリティ認証および暗号文情報、ローカルネットワークに関する一時的情報、ユーザがアクセスできるサービスのリストと2つのパスワード(通常の使用の場合はPIN、ロックを解除する場合はPUK)を含む。本明細書、図面、および請求項を前にしたこの分野の当業者によって理解されるように、デバイスの種類、その主要ネットワークの種類、ホームモバイルネットワークオペレータなどに応じて、デバイス識別メモリに他の情報を維持することができる。
ポータブル電子デバイスに関連して電子クレデンシャルを使用することは、セキュリティ上の懸念を伴う。窃盗犯が電子クレデンシャルのコピーを入手できる場合、意図されているクレデンシャルのエンドユーザだけでなく、商店主、不動産管理者、電子クレデンシャルの保有者に電子クレデンシャルへのアクセスを許可した人など、クレデンシャル発行者および第三者のホストにも問題が生じる。これらの電子クレデンシャルを保護するための最も基本的なソリューションは、暗号方式を使用して実際の値を隠すことである。
暗号は一般に、平文コンテンツ(例えば、テキスト)を不明瞭なコンテンツにスクランブルするための、暗号化と呼ばれる様々な方法を記述しており、隠された情報を平文コンテンツに戻す方法を知っている別の人が元のコンテンツを後で回復することができるようにする。復号化は、ほとんどの場合、データを暗号化する(すなわち、隠蔽する)方法と、不明瞭な箇所を変えるために暗号化方法によって使用されるデータの両方を知っていることを必要とする。この可変データは、しばしば暗号化キーと呼ばれる。ここで、あなたが敵の背後にある偵察者であり、司令官にメッセージを返そうとしていたと想像してください。もしあなたがその可能性を先に計画していたなら、あなたと司令官は、一定の数の位置でメッセージを前後に均等にシフトさせることによってあなたのメッセージを隠すことに決めることができる。
この単純な例では、シフトを後方にするかまたは前方にするかは暗号化方式であり、位置の番号は暗号化キーと考えることができる。この例に従うには、2つの文字を一様に前方にシフトすることにした場合、あなたのメッセージの受信者は、後方に2つのスペースをずらしてあなたのメッセージを解読することを知っているため、暗号方式は「A」を伝えたいときにいつでも「C」を、「B」を伝えたいときは「D」を書くように指示する。あなたが疑うように、この形式の単純な暗号化は、あなたの敵がパターンを検索するのに十分な暗号化された材料を取得すると、比較的簡単に突破することができる。現代の暗号化はより複雑であり、データを暗号化および復号化するためにコンピュータ(スーパーコンピュータではないにしても)を必要とする。しかしながら、基本的な概念は依然として同じであり、すなわち、暗号方式、暗号キー、暗号テキストに変換される平文コンテンツが存在する。
スマートフォンが登場するようになった時、安全なメッセージングが望まれることが理解されていた。このセキュリティは、当初はセキュアエレメント(SE)とともに提供されていた。今日、GlobalPlatform標準は、SEの構成と管理を定義している。特に、これは、耐タンパーマイクロコントローラ(通常は1チップ)としてのセキュアエレメント(SE)を定義し、ローカルにかつセキュアにSEに格納されたアプリケーション(またはアプレット)によって使用される秘密の電子クレデンシャル(すなわち機密データおよび暗号データ)を安全にホストする。次に、SEは、内部に格納された電子クレデンシャルが外部に見えなくなるのを防ぎながら、アプレットが機密データと暗号データとに関連して安全に動作できる安全な環境を提供する。
SEは、SE上に格納されたアプリケーション、信頼できるソース、および第三者(商店主、不動産管理者、交通機関など)間の対話をさらに制御する。SEは、ユニバーサル集積回路カード(UICC)、組込みSE、マイクロSDのような異なるフォームファクタを持つことができる。現在、GlobalPlatform標準に準拠したセキュアエレメントを作成する少数の企業が存在する。言うまでもなく、いくつかのメーカーが他のメーカーより優れている。さらに、SEメーカーの中には、規格の最低要件を超えてSEを生産するものもあれば、そうでないSEもある。SEは処理が難しく、暗号アプレットが製造プロセス中にSEにロードされることが多いため、SEには頻繁に古いバージョンのアプレットが含まれている。
したがって、SEは、根本的な信頼と、様々な暗号方式(すなわち、アプレット)が動作するブラックボックスとを提供する。この根本的な信頼とブラックボックスな環境は、モバイルデバイスでの電子クレデンシャルやその他のデジタルシークレットの保護と使用に理想的である。しかし、このモデルは実生活で、特に現在検討されている規模で操作することは非常に困難である。SEに格納された電子クレデンシャルとアプレットの提供とそれに続く管理の複雑さは、このTSM(またはトラステッド・サービス・マネージャ)モデルの広範な普及に大きな障壁となることが判明している。
このモデルでは、TSMは、SE製造業者、ポータブル電子デバイスメーカー、モバイルネットワーク事業者、エンドユーザ、および第三者(発行者や商店主など)の間で技術情報をバックグラウンドで転送する中立的な関係者である。この複雑さの一部を説明するために、TSMは、各セキュアエレメントの識別番号をその製造元から取得し、次に各SEの特定のポータブル電子デバイスへの挿入を追跡する。各ポータブル電子デバイスは、IMEI(「国際移動局機器識別」−有効なモバイル機器を識別するためにMNOネットワーク(通常はGSM(登録商標)、UMTS、LTEおよびiDEN)によって使用される一意の番号)または電子ポータブルデバイスの他の識別番号に類似する何らかの識別子を有する。
このように、このシステムでは、TSMは、各SEの識別番号(「SEid」)を、SEが格納されている各ポータブルデバイスと等しくするデータベースを維持する役割を担うようになった。TSMは、SEの信頼できる実行環境の発行、管理、および追跡、信頼できる実行環境を有する領域の様々なサービスへの割り当て、信頼できる実行環境のためのキーの管理、SEを含むポータブル電子デバイスへのアプリケーションの安全なダウンロード、さまざまなステークホルダーからの要求に基づくアプリケーションのロック、ロック解除、削除も担う。様々なデバイスおよびSE製造業者、複数のMNO、数多くの関心のある第三者、およびエンドユーザと連携してこれらのサービスを提供することは、在庫および物流上の悪夢を作り出す。
トラステッド・サービス・マネージャ・モデルの複雑さと、SE(およびSEを導入しない携帯電話製造業者の決定)の追加ハードウェア費用は、ホスト・カード・エミュレーション(HCE)と呼ばれる代替ソリューションの開発につながった。HCEは、セキュアエレメントを使用せずに電子クレデンシャルの仮想表現を提供するクラウドベースのオファリングである。実際に、HCEは当初、クラウドの中にセキュアエレメントを持つことと同等であると考えられていた。最初のHCEアプローチでは、バックエンド(すなわち、クラウド)は、電子クレデンシャル(すなわち、機密データおよび暗号データ)ならびに電子制御ポイントへの承認を提供した他の電子クレデンシャル(しばしばトークンと呼ばれる)を生成するために使用される暗号アプレットを格納していた。
第1世代のHCEでは、電子クレデンシャル(またはトークン)が安全な通信チャネルを介してクラウド/バックエンドからポータブル電子デバイスに渡されていた。このように、第1世代のHCEは、暗号アプレットがより安全に動作することができるブラックボックス環境(すなわち、クラウド内のバックエンド)を依然として提供していた。 しかし、このアプローチでは、トークンサービスプロバイダ(TSP)と呼ばれる企業がサポートするバックエンドオペレーションが必要であった。TSPは、SEに関してTSMと同様の役割を果たすが、TSMに対するTSPの他の潜在的利点の中で、物理的資産(すなわち、SEからハンドセットへ)の間の関係を追跡する必要はない。
HCEの開発のある時点で、このアプローチは、以前に格納され、セキュアエレメント内または安全なクラウド内で実行されている暗号プロセスを、通常そのオペレーティングシステム内のポータブル電子デバイス自体に提供することに変更された。この変更により、TMの必要性はなくなったが、以前は暗号プロセスを見えないようにしていたブラックボックスの保護も実質的に排除された。これにより、暗号プロセスとそれに関連するキーがハッカーの研究のために容易に利用できるようになり、攻撃を設計する機会が与えられた。
HCEの両方の世代では、ポータブル通信デバイス上に展開されているサービス層のいずれも、オンラインアプリケーションストアから直接デバイスにダウンロードして、電子制御ポイントと直接通信するローカルアプリケーションを提供して、セキュアエレメント/TSMを通過する必要がある。
暗号プロセスが展開され、オープンで動作する場合、電子セキュリティの通常のスキルを持つ人々は、この種類の展開を「ホワイトボックス」(つまり、ブラックボックスの反対側(つまり、特定の入力に基づいて生成された出力のみを表示できるシステム))と呼ぶ。
第2世代HCEの大部分の展開では、何らかの形式のホワイトボックス暗号を使用する。ホワイトボックス暗号は、データとコードのキーを難読化することによって暗号キーを含む機密情報が漏洩するのを防ぐ。データやコードの構成をランダム化することもある。したがって、ホワイトボックス暗号で使用される暗号アルゴリズムは、しばしば公開されていることが多く、暗号キーは容易には観測できない。しかし、ホワイトボックス暗号化ソリューションのさまざまなプロバイダは、例えばキーを不明瞭にしたりする、より安全な様々な態様を提供し、いくつかは他のものよりも効率的である。
第2世代HCEモデルは、アンドロイドバージョン4.4以降のアンドロイドオペレーティングシステムに実装されている。特に、アンドロイドキーストアは、ポータブル通信デバイス内の仮想コンテナに暗号キーを格納する。暗号キーがキーストアに格納されると、暗号操作に使用できるが、削除することはできない。また、キーストアは、デバイス上のアプリケーションが、特定の承認された用途に格納された暗号キーを使用するように制限する。
これらの制限は、保護されるデジタルシークレットに対していくつかの追加のセキュリティを提供するが、アンドロイドキーストアにアクセスすることが許可されているアプリケーションほど安全ではない。その結果、アプリケーション自体が、デバイスとプロセスのセキュリティを脅かす可能性がある。実際、ハッカーが格納されたキー値に直接アクセスできない場合でも、ハッカーがアプリケーションの操作を介してアプリケーションのキーを使用、操作、さらには見ることができるということは、アンドロイドキーストアの既に知られていた問題である。
HCEモデルは、TSMおよびトークン化モデルよりもはるかに少ない管理の複雑さしか必要としないが、それらのモデルと同じくらいの安全性も無い。したがって、HCEモデルは、MNO、プロバイダ、エンドユーザおよび第三者をセキュリティ侵害および/または攻撃にさらす可能性が高くなる。
TEEシステムでは、ハードウェアおよびソフトウェアソリューションを使用してポータブル電子デバイスのマイクロプロセッサ内に独立した実行環境が提供され、TEE内に格納された任意のアプレットおよび電子クレデンシャル(すなわち機密データおよび暗号データ)の保全性が、HCE環境よりも良好に確保されるようにする。さらに、電子クレデンシャルは、TEEシステムに渡されている間に一時的に公開されてもよいが、ホワイトボックス環境(例えば、第2世代HCE)に見られるように開放されたままではない。したがって、TEEは、多くの電子クレデンシャルおよび電子制御ポイントアプリケーションに適した中級レベルのセキュリティを提供する。しかし、追加されたハードウェアコストに加えて、アプレットの陳腐化やデータのTEEへの安全な移動に関する問題など、TEEモデルには依然として問題が存在する。
電子決済および他の種類の安全なクレデンシャルに加えて、その他のホワイトボックス環境における安全な生成、格納、管理、および利用可能性から利益を得ることができる他のデジタルシークレットが依然として存在する。 たとえば、ユーザ名、パスワード/PIN、デジタル認証、デジタルキーセット、バイオメトリックデータファイル、およびその他の取り扱いに注意を要するデータは、改善されたデバイスセキュリティメカニズムが利用できるという利点がある追加の種類のデジタルシークレットになる。
これまで、信頼できるクレデンシャルインフラストラクチャを単純化し拡張するために採用されてきた解決策は、システムの調整、配布、および保守のために、必要とされる高いセキュリティを大いに必要とする実用性を伴って提供することに成功していない。
以下は、本開示のいくつかの態様の基本的な理解を提供するために、本開示の簡略化された概要を提示する。この概要は、開示の網羅的な概要ではない。本開示の重要な要素または重要な要素を特定すること、または本開示の範囲を説明することを意図するものではない。以下の要約は、以下に提供されるより詳細な説明の前置きとして、簡略化した形態で本開示のいくつかの概念を提示するだけである。
本開示は、ポータブル電子デバイスに関連する1以上のデジタルシークレットの生成、格納、管理および使用のためのシステムに関する。システムは、1以上のマスターキーのみを格納するポータブル電子デバイス内の安全性の高いメモリと;安全性の高いメモリの外部でポータブル電子デバイスに実装されたキーストアと;安全性の高いメモリの外部でポータブル電子デバイスに実装された1以上の暗号アプレットとを含む。
システムは、安全性の高いメモリの外部に実装される信頼性の高い中間モジュール(ThIM)をさらに備える。ThIMは、安全性の高いメモリ、キーストア、1以上の暗号アプレット、および少なくとも1つの第三者アプリケーションの間の信頼性の高い通信コンジットを確立および管理する。ThIMは、ポータブル電子デバイス、安全性の高いメモリ、キーストア、1以上の暗号アプレットをポーリングして、ポータブル電子デバイス内の各コンポーネントの信頼スコア、初期化コスト、およびトランザクションコストを決定する。ThIMはさらに、信頼スコア、初期化コスト、およびポータブル電子デバイスの様々なコンポーネントのトランザクションコストに基づいて、信頼できる第三者アプリケーションに受け入れ可能な相互作用パラメータを提供する。ThIMはまた、受け入れ可能な相互作用パラメータに従って、信頼できる第三者アプリケーションと安全性の高いメモリとの間の信頼性の高い通信を管理する。
本開示のこれらの態様および他の態様は、以下でより完全に説明される。
本開示をよりよく理解するために、非限定的で非網羅的な実施形態を以下の図面を参照して説明する。図面において、特に明記しない限り、すべての図面を通して同様の参照番号は同様の部分を示す。
図1は、ポータブル電子デバイス100の安全性の高いメモリ150とのすべての通信を制御する信頼性の高い中間モジュール(ThIM)を示す、ポータブル電子デバイス100および信頼された機関サーバ300の概略平面図である。 図2は、ThIM200に関連する機能およびデータの概略平面図である。
本発明は、本明細書の一部を形成し、例示として、本発明が実施され得る特定の例示的な実施形態を示す添付の図面を参照して、以下により完全に記載される。しかしながら、本発明は、多くの異なる形態で実施することができ、本明細書に記載の実施形態に限定されるものと解釈すべきではない。むしろ、これらの実施形態は、本開示が完全かつ完全であり、本発明の範囲を当業者に完全に伝えるように提供される。とりわけ、本発明は、方法またはデバイスとして実施することができる。したがって、本発明は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態、またはソフトウェアとハードウェアの態様を組み合わせた実施形態の形態を取ることができる。したがって、以下の詳細な説明は、限定的な意味で解釈されるべきではない。
本開示は、ポータブル電子デバイスに関連する1以上の高度なセキュリティコンポーネントによって保護される場合に、取り扱いに注意を要するクレデンシャル情報の生成、格納、管理および使用を提供するためのシステムおよび方法を提供する。本発明はまた、第三者に、特定のポータブル電子デバイスでデジタルシークレットを使用するリスクを管理するためのシステムおよびプロセスを提供する。
図1に示すように、ポータブル電子デバイス100は、好ましくは、安全性の高いメモリ150を有する。安全性の高いメモリ150は、物理的なセキュアエレメント(SE)または少なくともTEEを備えたマイクロプロセッサであってもよい。オリジナルのTSMシステムは、アプリケーションおよび暗号アプリケーション(またはアプレット)自体によって使用される機密データおよび暗号データを格納していたが、本発明は、最秘密の部分のみを安全性の高いメモリ:1以上の発行者キーに格納する。次に、アプレットおよびその他のカードデータは、ポータブル電子デバイス100に関連付けられたメモリ内の他の場所に格納される。
発行者(またはマスタ)キーだけが安全性の高いメモリ150に格納されるので、安全性の高いメモリは、より最近に配備されたSEおよびTEEのメモリよりも小さくなり得る。特に、安全性の高いメモリのためにフラッシュメモリハードウェアを使用するSEに関して、安全性の高いメモリ150のサイズの縮小は、本発明を実施するポータブルデバイス製造業者に大きなコスト削減をもたらすはずである。逆に、セキュアエレメントは、IC製造プロセス中に数千の利用可能な未割り当てのキーセットで事前設定することができる。これらの高いセキュリティで保護されたメモリを備えたモバイル通信デバイスの製造後および展開後に、事前に保存された未割り当てのキーセットを発行者に容易に割り当てることができ、新しいサービスの迅速な採用が可能になる。
アプレットおよび非発行者キーデータを他のデバイスメモリ160にオフロードすることにより、TSMが信頼できるサービスモデル内のSEを管理するために必要とされた労力とオーバーヘッドが既に簡単化される。さらに、シークレットキーのSE(またはTEE)への格納は、ポータブル電子デバイス100のメモリ上の公開されたこれらの機密性の高い情報を単に格納することよりもはるかに安全である。さらに、ポータブル通信デバイス上の安全な資産(すなわち、SEまたはTEE)を確保するためにキーを元に戻すことで、電子制御ポイントとの相互作用のためのポータブル通信デバイスの使用頻度に依存して、定期的にバックエンド(またはクラウド)で行われる必要がある計算を単純化する。
さらに、シークレットキーをポータブル通信デバイス100内の非常に安全な資産(すなわち安全性の高いメモリ150)に移動させ、アプレットおよび他のカードデータをポータブル通信デバイス自体の別の場所に移動させることは、システムバックエンドがもはやトークンサービスプロバイダである必要性がないことを意味する。そして、バックエンドプロバイダは、「信頼された機関」または「認証された機関」または「キー管理機関」または「キー管理サービス」の役割を果たすだけでよい。この役割において、バックエンド不揮発性メモリ310は、依然として、クラウド内にデジタルシークレットを格納して、ポータブル通信デバイス100によって生成され、ユーザがセキュアな電子制御ポイントをアクティブにするか、さもなければ相互作用させることができ、その後、信頼された機関のシステム300にアクセスすることができる。しかし、不揮発性メモリ310、プロセッサ350および2つ以上の通信デバイス(例えば360aおよび360b)を含む信頼された機関システム300は、もはやトークンを生成し、トークンを発行してポータブル通信デバイス。しかし、信頼された機関システム300‐不揮発性メモリ310、プロセッサ350、および2つ以上の通信デバイス(例えば、360aおよび360b)を含む‐は、ポータブル通信デバイスを要求するトークンを継続的に生成して発行するトークンボールト(vault)としてはもはや機能しない。
これらのより安全性の高いキーは、理論的には、アンドロイドキーストア(または他の第三者の暗号プログラム)によってアクセスされ、アンドロイドキーストアとインターフェースするAPIの大規模かつ増大するライブラリを単に利用することができるが、アンドロイドキーストアは簡単に破損して根こそぎにされる可能性がある。また、安全性の高いSEにキーを格納すると、第2世代のHCEおよびTEEソリューションでも安全性が大幅に向上するが、本発明では、安全性の高い暗号アプレットおよびその他のカードデータを比較的安全でないデバイスのメモリに格納して、アプレットや他のカードデータを更新する利点がある。
しかしながら、シークレットキーを取得するために安全性の高いメモリ150(例えば、SEまたはTEE)にアクセスするために公開されたアプレットを使用すると、容易に悪用可能なセキュリティ上の弱点が提供される。したがって、本発明は、セキュアでないアプレットからの安全性の高いメモリ150への直接アクセスを可能にするのではなく、他のデバイスメモリ160内のセキュアでない暗号アプレットと安全性の高いメモリ150との間で通信する信頼性の高い中間モジュール(ThIM200)を提供する。この信頼性の高い中間モジュールは、例えば、コンピュータプログラムを特定の電子インターフェースに変換する、非一時的なコンピュータ可読媒体(例えば、メモリ、RAM、ROMなど)に格納されたソフトウェアプログラムまたは他のコンピュータ可読命令であってもよい。安全性の高いメモリ150(例えば、SEまたはTEEでさえも)と、同じポータブル通信デバイス100上で動作する他の機能モジュールとの間の信頼性の高い通信コンジットを確立し、維持し、管理する役割を果たす。信頼できる中間モジュール(ThIM200)は、ポータブル通信デバイスに関連する少なくとも1つのプロセッサによって実行されると、デバイスに本明細書に記載の動作を実行させることができる。また、ThIM200は、最小量のメモリ(おそらく1以上の格納レジスタだけ)を備えた主として物理的構成要素の設計によって実装され得ることが企図される。
信頼性の高い中間モジュール(「ThIM」)の信頼度は、例えば、ThIM200が、ポータブル通信デバイス100によって最初に使用されたとき、ThIM200の内部のソフトウェアが更新されたとき、ThIM200の最後の信頼性を確認してから所定の時間が経過したとき、暗号化されたアプレットが、安全性の高いメモリ150に格納されたデータを利用しようとするとき、および/または、第三者アプリケーションが安全性の高いメモリ150に格納されたデータを利用しようとするたびに確認されるべきである。信頼提供(Trust provisioning)は、不正なThIMまたはアプリケーションがセキュアエレメントまたはTEEへのアクセスを取得するのを防ぐために使用することもできる。(不正なThIMは、正当なアプリケーションストアからのダウンロードなど、任意の数の場所から理論的に入手でき、ハッカーは、実際のThIMの見た目、フィーリング、および/または操作を模倣する不正なThIMを設計することもできる)。
他のデバイスメモリ160内の各ThIM200および各暗号アプレットは、安全性の高いメモリ150に格納されたキー(たとえば、データの読み取り、書き込み、削除)にアクセスするかまたは他の方法で管理する前に、システム内でそれぞれの信頼性を確立するために登録プロセスを受ける。その信頼を確立するために、ThIM200は、好ましくは少なくとも1つのプロセッサ350と、コンピュータ可読命令を格納する少なくとも1つのメモリ310(または非一時的なコンピュータ可読媒体)とを含むバックエンドシステム300(a/k/a 信頼できる機関システム)に登録しようと試みることができる。命令は、実行されると、プロセッサ350に本明細書に記載の機能を実行させることができる。ThIM200のバックエンドシステム300への登録が成功すると、ThIM200は、次に、信頼された機関システム300を介して1以上のアプレットを登録しようとすることができる。アプレットが登録されたThIM200に首尾よく登録されると、安全性の高いメモリ150に格納されたキーにアクセスし、そうでなければ問い合わせる。
ThIM200と信頼された機関システム300との間の信頼を確立するための1つの方法は、2013年6月12日に出願された「ソフトウェアアプリケーションにおける信頼を最初に確立し、定期的に確認するためのシステムおよび方法」と題する係属中の米国特許出願第13/916,307号に記載されている。ポータブル電子デバイス100内のThIM200の信頼が確立されると、ThIM200を使用して、ポータブル電子デバイス100上の暗号アプレットを検証してクレデンシャルシステムを保護し、アプレットが検証されると、ThIM200を介して安全性の高いメモリ150に記憶される。
アプレットの信頼できる状態を確認することは、許可されたまたは信頼できるアプリケーションのローカル承認データベースにアクセスすることを含むことができる。好ましい方法では、ローカル承認データベースは、信頼された機関システム300に関連する1以上のサーバに動作可能に関連付けられたリモート承認データベース370と協働する。したがって、データベース370は、サーバ側でデバイス単位でデバイス上に維持される可能性が高い。当業者には理解されるように、データベース370は、別個の物理的データベースまたは1つの統一されたデータベースに実装されてもよい。データベース370は、安全なシステムプロバイダによって許可されたアプレットに関連する情報またはそれ以外の情報を含むことができる。
このアプレット情報は、アプレットの逐語的なコピー全体から、アプレットの許可されたバージョンの識別情報のみ、およびそれらの組み合わせに及ぶ可能性がある。データベースは、他の情報の中に、アプリケーションID、発行者ID、およびコンパイルIDまたはトークンを含むことができる。コンパイルIDは、好ましくは、特定のアプレットの適格性確認プロセス中に1以上のプロセスによって各アプリケーションに対して生成されるグローバル定数である。固有のポータブル通信デバイス100上の特定のThIM200によって生成された後、コンパイルトークンは、ポータブル電子デバイス上のアプリケーション/アプレットに含まれるか、さもなければ関連付けられる。このコンパイルトークンは、好ましくは、アプリケーションID、コンパイルID、発行者ID、またはそれらのいくつかの組み合わせなどの所定のシードを使用するデバイスにローカルな擬似乱数生成器によって生成される。
アプレットが検証を必要とするとき、コンパイルID(デジタルトークン)およびアプリケーションID(デジタル識別子)は、ポータブル通信デバイスに格納されたコンパイルIDおよびアプリケーションIDのペアに対して照合され得る。本明細書を目の前にした当業者には理解されるように、同じコンパイルIDおよびアプリケーションIDのペアが、システムに関連付けられた他のデバイスにも送信される(または場合によっては事前に格納される)。コンパイルID/アプリケーションIDのペアが、その特定のデバイス上のThIMに格納されたペアの1つに一致する場合、シークレットトークンIDは、好ましくは、擬似乱数ジェネレータ(例えば、セキュアエレメントに関連付けられたものTEE)に変換され、次いで、ポータブル通信デバイス100上の他のデバイスメモリ160のカードサービスレジストリ内のコンパイルID/アプリケーションIDのペアに関連して格納される。場合によっては、コンパイルIDをあらかじめ選択し、乱数ジェネレータをシードするために使用することができる。デバイスに関連付けられた1以上の他の所定のデータ、ThIM、または他の合意された標準が、シードとして事前に選択され得ることを理解されたい。シークレットトークンIDはまた、アプリケーションと共に配布されたコンパイルIDの代わりに、ポータブル通信デバイス100上のアプレットに埋め込まれるか、そうでなければ関連付けられる。
本システムの1つの好ましいアプローチでは、ThIM200は、オペレーティングシステム、安全性の高いメモリ150、信頼できるアプレット、および他のハードウェア、ドライバ、およびソフトウェアをポーリング(polling)して、製造者、バージョン、利用可能な動作パラメータの設定、および安全なエコシステムの要素としてのポータブル電子デバイス100の各態様の相対的な安全性を決定するのに関連し得る他の情報を含む。図2に示されるように、データベースは、例えば、各コンポーネント(例えば、ポータブル電子デバイス100のハードウェアおよびソフトウェア要素)の相対的な信頼度を示す、ゼロ(信頼しない)と100(最高の信頼)との間の少なくとも1つの信頼番号をさらに含み、その信頼番号が基づいているThIM200によって実施されたポーリングの結果として得られたおよび/または生成された情報を潜在的に含むことができる。例えば、ThIM200は、まず、ThIM200が配備されたポータブルデバイス100環境内のSEの存在を認識することができる。これはセキュアエレメントであるため、SEがSEの製造業者によってそのSEに推奨されている最新のスタックを実行している限り、信頼スコアは非常に高い(例えば95−100)ようである。特に、信用格付けのこの最後の側面は、主に信頼された機関システム300と通信して決定されるであろう。
別の例では、ThIM200は、ポータブルデバイス100内のTEEの存在を認識することができる。ここでは安全な要素ではなく、TEEであるため、TEEの製造元が推奨する最新のファームウェアをTEEが実行している限り、信頼スコアは高く(例えば、70−75)なるが、適切に構成されたSEの信頼スコアほど高くはない。例えば、ThiMは、ポータブルデバイス自体が、アンドロイド6.0を実行しているSamsung Exynos 7 Octa 7420チップ(「マシュマロ」)を搭載したSamsung Galaxy S6(モデル番号SM−G925V)スマートフォンであると判断することができる。バックエンドと通信することによって、ThIM200は、SM-G925Vのこの特定の構成がデジタル秘密を保持する比較的安全な環境であると判断することができる(電話を遠隔からハッキングすることができるさまざまなセキュリティ問題があると伝えられているサムスンが導入したアンドロイド 5.1.1 OSとは対照的に)。ランキングは機器の適切な信頼番号をThIM200と動作可能に関連付けられているデータベースに書き込むことによって反映させる。このデータベースは、ThIM200の内部にあり、ポータブルの他の場所に配備されている可能性がある電子デバイス100内に配置されていても、クラウド内に配置されていてもよい。もちろん、展開の場所に応じて、システムの完全性を保証するために、特定のセキュリティ対策を講じなければならない場合がある。
図2に示すように、安全性の高いメモリとしてのセキュアエレメントを有するポータブル通信デバイスの例に戻ると、そのセキュアエレメントのアクティブ化は、ワンタイム初期化料金の要求をもたらし得る。図2に示す例では、この初期化料金は$2.00である。理解されるように、初期費用は、安全性の高いメモリのディストリビュータおよび/または製造業者によって先ずは設定されるであろう任意の量とすることができる。手数料が査定されると、例えば、SE製造業者またはポータブルデバイス製造業者に電子的に支払って、SEを最初に配備するコストを回収できるようにすることができる。ポータブル通信デバイス100を初期化する前にエンドユーザに信頼された機関システム300とのアカウントを確立することを要求することにより、ポータブル通信デバイス100のエンドユーザが料金を支払うことも考えられる。しかしながら、システムは、第三者アプリケーション所有者に、安全なリソースを使用することを求めることが、よりありそうなことである。
より具体的には、銀行がポータブル通信デバイス100上にウォレットアプリケーションを展開したい場合、そのデバイス上のSEをアクティブ化することが必要とされる/要求される、であろう。最終的にエンドユーザが電子ウォレット・ソフトウェアにアクセスできるようになるため、銀行はSEを開始するために銀行に請求するのが理にかなっている。図2にさらに示されているように、安全性の高いメモリは、関連するトランザクションコスト(例えば、使用ごと、期間当たりなど)を有することも考えられる。このアプローチは、複数のクレデンシャルおよび他のデジタルシークレットが安全性の高いメモリの初期化および使用の恩恵を受ける状況において特に望ましいことがある。その場合、トランザクションごとにメモリの使用を価格設定することにより、安全性の高いメモリの存在の直接の各受益者は、その安全性の高いメモリをそのアプレットが使用できるようにするコストを分担することができる。安全性の高いメモリ(またはThIMトラスト解析テーブル210トラックによるセキュリティエコシステムのその他の要素)に関連する取引料金は、特定の最大値で上限を設定することができるとさらに考えられる。
ほとんどの場合、信頼できるアプレットには、キーストア(アンドロイドキーストアまたはiOSキーストアなど)および1以上のホワイトボックス暗号プログラム(Arxan WBCおよびWhite-Box AESプロジェクトなど)が含まれる。図2に示すように、デバイス、オペレーティングシステム、および安全性の高いメモリの場合と同様に、これらのアプレットのそれぞれには、ThIM200によって信頼スコアが割り当てられる。その信頼スコアは、ThIM信頼分析テーブル210に保存される。アプレットのそれぞれは、関連する初期化コストおよびトランザクション当たりのコストのうちの一方または両方を有してもよく、最大合計課金値であってもよい。ここで、潜在的な順列は無限であり、市場主導型になるだろう。たとえば、最も強力なホワイトボックス暗号(WBC)の種類が最もコストがかかる可能性がある。このようなWBCの開発者は、固定費の前払いを増額することを好み、増分的な使用についてはこれ以上何もしないことを決定する可能性がある(例えば、データベース210のWBCn参照)、または、開発者は、1回の使用モデル(WBCを参照)に基づいてコストを回収することを決定する可能性がある。
いずれの場合も、第三者アプリケーションがこれらのアプレットの使用料を支払っている可能性があり、アプレットの信頼スコアとその使用コストに応じて、使用するアプレットを決定することがある。説明の目的のために、図2に示す例では、
・WBCnには信頼スコア39が割り当てられ、開始コストは$1.00、トランザクションコストは$0.00であったが、
・WBCには35の信頼スコアが割り当てられ、開始コストは$0であったが、トランザクションコストは$0.05であった。
まれにしか使用されず、高度なセキュリティを心配していない第三者アプリケーションでは、開始コスト$1.00を避けるために4点の信頼スコアが差し引かれる。そのような場合、第三者アプリケーションは暗号アプレットとしてWBCを使用することを選択できる。
データベース210における特定の信頼値は、セキュリティ、動作、電力消費、および様々なコンポーネントに関連する他の変数に関する第三者ランキングまたは他のレポートに基づくことができる。信頼値は、定期的に確立および/または改訂されてもよい。また、信頼された機関または信頼された機関に代わって一部のエンティティーによって定期的に公開されることもある。これらの値は、(信頼できる機関システム300に関連して)クラウド内の第1のインスタンスに格納されてもよく、その後、ThIMによる装置のポーリングに続いて特定のポータブル通信デバイス100内のThIM200に関連するローカルデータベース210にプルダウンされる。これらの信頼値は、セキュリティ、動作、電力消費、および様々なコンポーネントに関連する他の変数に関する第三者のランキングまたは他のレポートに基づくことができる。値は定期的に確立および/または改訂され、信頼された機関または信頼された機関を代表する誰かによって定期的に公開される。また、特定のデバイスの信頼数が大幅に低下した場合は、さまざまなThIMに値をプッシュアウトすることもできる。
安全なエコシステム内に存在する様々な要素のThIMのポーリングは、デバイス100が本物であるか、または恐らく不正デバイスであるかを知るためにデバイスに問い合わせるためのThIM200に関連する機能によって達成することができる。例えば、ThIM200は、デバイス100上のSEおよび/またはTEEにデータを書き込んだ後、そのデータをその暗号化された形態および暗号化されていない形態で読み取り、SE/TEEが実在するかどうかを判断する能力を備えることができる。類似の機能は、デバイス内の他のコンポーネントをテストして、それらのコンポーネントが彼らが言うものであるかどうかを判断するThIM200に関連して展開することができる。
最終的に、エンドユーザにサービスを提供するためにマスターキーを使用する1以上の第三者アプリケーションは、ポータブル電子デバイス100内の安全性の高いメモリ150に格納されたマスターキーを使用できるように、ThIM200に登録しようとする。これらの第三者アプリケーションは、電子決済、中継アクセス、電子アクセス(潜在的にはバイオメトリックセキュリティを含む)などを提供することができる。まず、各第三者アプリケーションは、上記の方法でThIMによって信頼される必要がある。第三者アプリケーションまたはアプレットがThIMによって信頼された後(適切な秘密トークンがアプリケーションに埋め込まれ、ThIMに関連付けられたデータベースに格納されている)、ThIM200は、第三者アプリケーションが所有者/作成者によって安全なエコシステムと対話する方法を決定することができる。したがって、たとえば、第三者app2の所有者がアマゾン銀行であり、アマゾン銀行が非常にリスク回避的であるとする。
このアプリケーションの場合、アマゾン銀行は、デバイスが90-90-95-20-35以上の複合信頼スコアを提供できない場合、アプレットをデバイス100で動作させないようにプログラムするであろう。現在、複合信頼スコアは、個別に取得された、デバイス−オペレーティングシステム−安全性の高いメモリ−キーストア−WBCのそれぞれの信頼値の配列であると考えられている。しかし、個々の値を数学的に集計して全体の環境保全(すなわち、90+90+95+20+35=330)を反映させることが可能である可能性がある。
この例では、デバイスはWBCのみを有効にしている(図2では信頼スコアが30であると示されている)ので、第三者アプリケーションプロバイダは、そのアプリケーションをデバイス100上で動作させたくないかもしれない。システム300がエラーの理由を判断できるように、好ましくは、メッセージに含まれる十分な情報を用いて、エラー・メッセージを生成して少なくとも信頼された機関システム300に送信することができる。別の例では、別の第三者アプリケーションは、アプリケーションが特定のタスク(例えば、安全性の高いメモリを読み取る)を実行するが、それぞれの要素の信頼スコアに依存して、他のタスク(特定の状況ではクレデンシャルの書き込みまたはエミュレートなど)は実行しない。同様に、第三者アプリケーションは、特定のコンポーネントの利用可能性のために特定のコストを負担するようにプログラムされてもよい。
したがって、この例を続けると、アプリケーションは、デバイスで使用可能な無効化されたWBCオプションを調べ、第三者アプリケーションの所有者のビジネスとセキュリティの考え方に基づいて、アプリケーションは、WBC、WBCまたはWBCnのうちの1つが、アプリケーションと共に使用されるホワイトボックス暗号で増加した信頼スコアを達成することを可能にすることができる。いずれの場合においても、WBC、WBCおよびWBCnの信頼スコアは、最小信頼スコア35(仮想第三者アプリケーションが望む)以上であり、ただし、各アプリケーションの初期化に伴う価格設定は、トランザクションごとのコストとは異なる。頻繁に使用されるアプリケーションでは、開発者がトランザクション当たりのコストを低くすることが考えられる。また、実行されているトランザクションの種類に応じて、有効化されたWBCアプレットを切り替えるようにアプリケーションをプログラムすることもできると考えられる。
また、第三者アプリケーションが加重集計信頼スコアを使用することも考えられる。第三者アプリケーションの所有者は、適切なオペレーティングシステムを備えた安全性の高いデバイスを持つよりも重要なことは何もないと判断することができるが、安全性の高いメモリはTEEである可能性がある(たとえば、信頼スコア75;図2の図に示されている95スコアの代わりに)。そのような場合、第三者アプリケーション所有者は、デバイスおよびOSのスコアを重要なものにする重み付け関数を提供することができる(例えば、90*10+90*10+75*1+20*5+35*5=2150;装置およびOS信頼スコアが総合信頼スコアのほぼ84%を占める)。重み付け関数および最小総信頼スコアを変更することによって、アプリケーション所有者は、アプリケーションが動作する最小セキュリティ環境を操作することができることが、本開示を目の前にした当業者であれば今や分かるであろう。
また、アプリケーション所有者は、より危険な環境に対応するリスクを最小限に抑えるために、製品の動作を変更することができると考えられる。したがって、仮説的な例を続けると、アプリケーションが信頼性の高いWBCアプレットを支払うことを望まない場合、代わりに信頼スコア30のWBCに固執する可能性があり、アプリケーションによってサポートされるトランザクションを危険性の低い操作に制限する。例えば、カード上の信用限度額は、ポータブル通信デバイスを介した使用の目的で、$10,000から$500に引き下げることができる。別の例では、第三者アプリケーションは、発行者への不正な取引のリスクを最小限に抑えるために、クレジット取引の代わりにデビットカード取引として決済をセットアップすることができる。最終的に、第三者アプリケーションがデバイス上で望む信頼スコアを得ることができない場合、システムは、アプリケーションがデバイス上にキーを全く格納しないことを可能にし、むしろ信頼された機関システム300からモバイル通信デバイス100にワンタイムキーを提供することができる。
第三者アプリケーションが特定のデバイスに関連して展開する機能を決定すると、アプリケーションは起動して、現在有効な(または信頼されている)アプリケーションに必要な(または、使用に必要な)発行者固有の資格情報へのアクセスをエンドユーザにオプトインするよう促す。信頼できるアプレットのその後の起動では、埋め込まれたシークレットトークンおよび/またはアプリケーションIDが、デバイス上のThIMのデータと比較される。一致した場合、アプリケーションは信頼され、ThIM経由でSEまたはTEEにアクセスできる。このようにして、いずれかのアプレットに関連するシークレットトークンおよび/またはアプリケーションIDをThIMから除去して、SEまたはTEEへのアクセスを無効にすることができることが分かる。
同様に、いずれかのアプレットがシークレットトークンで改ざんされた場合、および/またはアプリケーションIDが無効になる。ThIMに関連するデータベースは、例えば、1以上のパラメータ(例えば、セキュアエレメントID、パスコードなど)から入力として生成されたハッシュであるキー値を有するセキュリティアルゴリズム((AES)アルゴリズム、セキュアハッシュアルゴリズム(SHA)、メッセージダイジェスト5(MD5)アルゴリズムなどのような)を使用して、テーブルを暗号化することによって保護されることが好ましい。たとえば、不正なアプリケーションがThIMで改ざんすると、ThIMはその変更を検出して、セキュアエレメント管理サーバから取得したもので許可テーブルを置き換える。
ThIMはまた、好ましくは、信頼できるアプリケーション検証ステップを使用して、各アプレットに対して承認されたサブシステムアクセスの適切なレベルを決定する。例えば、一実施形態では、1つのアプレットは、支払いサブシステムに含まれるデータのすべてにアクセスして表示する承認を与えられ、別のアプレットは、支払いサブシステムに含まれるデータのサブセットにアクセスして表示するだけでよい。1つのアプローチでは、アプリケーションへの権限の割り当ては次のように考えることができる。
これらの許可を使用して、上から下の順に16進数を大部分から最下位までの数字に整形できる。たとえば、アプリケーションの権限レベルは11111で、0001 0001 0001 0001 0001まで拡張することができる。つまり、このアプリケーションは、独自の資格情報を読み取り、書き込み、削除、有効化/無効化、およびダウンロードできるが、拡張された発行者資格情報ではなくすべての資格情報をダウンロードできる。プロバイダに別の発行者コードがある場合、それは拡張発行者アプリケーションになる。したがって、発行者IDに関連付けられたアプリケーションの許可レベルが0010 0001 0001 0010 0001(または21121hex)に設定されている場合、アプリケーションは両方の発行者IDに関連付けられたクレデンシャル情報を読み取り、有効化/無効化することができる。
当業者には理解されるように、これらはアプレットに与えられる可能性がある潜在的な許可の単なる例であり、他の許可も考えられる。例えば、一部のアプレットは、拡張発行者クレデンシャル情報を読み取ることができるが、アプリケーションの独自のクレデンシャル情報(例えば、0010 0001 0001 0001に展開される21111)の書き込み、削除、有効化およびダウンロードのみを行うことができる。さらに別の例では、アプリケーションは、有効化/無効化およびダウンロードの権利(例えば、16進数で0000 0000 0000 0001 0001または00011)のみが与えられてもよい。さらに別の例では、すべての権利をゼロに設定することによって、アプリケーションを信頼できるアプリケーションデータベースまたはカードサービスレジストリから削除せずに無効にすることができる。
たとえば、アプレットがSEまたはTEEと対話する必要がある場合、デジタル識別子(発行者IDまたはアプリケーションIDなどの)、デジタルトークン(すなわち、コンパイルIDまたは秘密トークンID)、所望のアクション、およびアクションに必要な任意の関連する引数をThIMに渡すことができる。ThIMは、デジタル識別子−デジタルトークンペアがセキュアデータテーブル内の信頼できるアプリケーションデータと一致することを検証し、その後、ThIMは、アプレットが要求したアクションを実行するために必要なSEまたはTEEに1以上のコマンドを発行する。アプレットによって使用される可能性があるアクションの中には、以下に関連するものがある:
a.ウォレット管理(たとえば、ウォレット・パスコードの設定、リセット、有効化、OTAサーバのURLの取得、無線レジストリ提供、支払タイミングの設定、支払いタイミングの増加、デフォルトカードの設定、リスト発行者の指定、サポートされたクレデンシャルのリスト作成、クレデンシャルの格納優先度の設定、カテゴリ/フォルダの作成、クレデンシャルのカテゴリへの関連付け、メモリ監査、クレデンシャルの格納のためのセキュアエレメント(SE)の決定、オファーの取得、ウォレットステータスの更新);
b.クレデンシャル管理(たとえば、クレデンシャルの追加、クレデンシャルの詳細の表示、クレデンシャルの削除、クレジットの有効化、クレデンシャルの無効化、クレデンシャルの検索、クレデンシャル機能のリストア、デフォルトクレデンシャルの設定、クレデンシャルのロック/アンロック、パスコードアクセスの要求、クレデンシャルイメージの取得、アクセスパスコードのセット);
c.安全性の高いメモリ(SE/TEE)管理(たとえば、発行者のセキュリティ・ドメインの作成、キーの回転、アプリケーションのロード、アプリケーションの更新、ウォレットのロック/ロック解除、SEのロック/ロック解除など);
d.パーソナライゼーション(たとえば、クレデンシャルの追加、クレデンシャルの削除、クレデンシャルの一時停止/停止解除、発行者メタデータの更新に関する通知、カードメタデータの更新に関する通知)。
前述の説明および図面は、単に本発明を説明および例示するものであり、本発明はそれに限定されない。本明細書は、特定の実装または実施形態に関連して説明されているが、多くの詳細は、例示のために記載されている。したがって、上記は単に本発明の原理を説明するに過ぎない。例えば、本発明は、その精神または本質的な特性から逸脱することなく、他の特定の形態を有することができる。記載された構成は例示的であり、限定的ではない。当業者であれば、本発明は、追加の実施形態または実施形態が可能であり、本出願に記載されたこれらの詳細のうちのいくつかは、本発明の基本原理から逸脱することなく、したがって、当業者は、本明細書に明示的に記載または図示されていないが、本発明の原理を具体化し、したがってその範囲および精神の範囲内で様々な構成を考案できることを理解されよう。

Claims (3)

  1. ポータブル電子デバイスに関連する1以上のデジタルシークレットの生成、格納、管理および使用のためのシステムであって、 ‐1以上のマスターキーのみを格納するポータブル電子デバイス内の安全性の高いメモリと; ‐安全性の高いメモリの外部でポータブル電子デバイスに実装されたキーストアと; ‐安全性の高いメモリの外部でポータブル電子デバイスに実装された1以上の暗号アプレットと; ‐安全性の高いメモリの外部に実装された信頼性の高い中間モジュール(ThIM)とを含み、 ThIMは、安全性の高いメモリ、キーストア、1以上の暗号アプレット、および少なくとも1つの第三者アプリケーション間の信頼性の高い通信コンジットを確立および管理し、ThIMは、ポータブル電子デバイス内の各コンポーネントの信頼スコア、初期化コスト、およびトランザクションコストを決定するために、ポータブル電子デバイス、安全性の高いメモリ、キーストア、1以上の暗号アプレットをポーリングし、ThIMは、信頼スコア、初期化コスト、およびトランザクションコストに基づいて信頼できる第三者アプリケーション許容可能な相互作用パラメータを提供し、ThIMは、許容可能な相互作用パラメータに従って、信頼できる第三者アプリケーションと安全性の高いメモリとの間の信頼性の高い通信を管理する、 前記システム。
  2. ポータブル電子デバイスに関連する1以上のデジタルシークレットの生成、格納、管理および使用のためのシステムであって、 ‐1以上のマスターキーのみを格納するポータブル電子デバイス内の安全性の高いメモリと; ‐安全性の高いメモリの外部でポータブル電子デバイスに実装されたキーストアと; ‐安全性の高いメモリの外部でポータブル電子デバイスに実装された1以上の暗号アプレットと; ‐安全性の高いメモリの外部に実装された信頼性の高い中間モジュール(ThIM)とを含み、 ThIMは、安全性の高いメモリ、キーストア、1以上の暗号アプレット、および少なくとも1つの第三者アプリケーション間の信頼性の高い通信コンジットを確立および管理し、ThIMは、各コンポーネントの信頼スコアを決定するために、ポータブル電子デバイス、安全性の高いメモリ、キーストア、1以上の暗号アプレットをポーリングし、ThIMは、信頼できる第三者アプリケーションが信頼スコアに基づいて許容可能な相互作用パラメータを決定することを許可し、ThIMは、許容可能な相互作用パラメータに従って、信頼できる第三者アプリケーションと安全性の高いメモリとの間の信頼性の高い通信を管理する、 前記システム。
  3. 許容可能な相互作用パラメータが、信頼できる第三者アプリケーションによってThIMに提供される一意のデータをさらに含むことができる、請求項2に記載のシステム。
JP2019505330A 2016-04-14 2017-04-14 ポータブル電子デバイスと関連したデジタルシークレットの生成、格納、管理および使用のためのシステムおよび方法 Active JP7186163B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2022124672A JP2022172099A (ja) 2016-04-14 2022-08-04 ポータブル電子デバイスと関連したデジタルシークレットの生成、格納、管理および使用のためのシステムおよび方法

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201662322288P 2016-04-14 2016-04-14
US62/322,288 2016-04-14
PCT/US2017/027749 WO2017181097A1 (en) 2016-04-14 2017-04-14 System and method for generation, storage, administration and use of one or more digital secrets in association with a portable electronic device

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2022124672A Division JP2022172099A (ja) 2016-04-14 2022-08-04 ポータブル電子デバイスと関連したデジタルシークレットの生成、格納、管理および使用のためのシステムおよび方法

Publications (2)

Publication Number Publication Date
JP2019517229A true JP2019517229A (ja) 2019-06-20
JP7186163B2 JP7186163B2 (ja) 2022-12-08

Family

ID=60038940

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2019505330A Active JP7186163B2 (ja) 2016-04-14 2017-04-14 ポータブル電子デバイスと関連したデジタルシークレットの生成、格納、管理および使用のためのシステムおよび方法
JP2022124672A Pending JP2022172099A (ja) 2016-04-14 2022-08-04 ポータブル電子デバイスと関連したデジタルシークレットの生成、格納、管理および使用のためのシステムおよび方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2022124672A Pending JP2022172099A (ja) 2016-04-14 2022-08-04 ポータブル電子デバイスと関連したデジタルシークレットの生成、格納、管理および使用のためのシステムおよび方法

Country Status (6)

Country Link
US (1) US11829506B2 (ja)
EP (1) EP3443462B8 (ja)
JP (2) JP7186163B2 (ja)
CN (1) CN109643282B (ja)
ES (1) ES2918011T3 (ja)
WO (1) WO2017181097A1 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10027658B1 (en) * 2017-06-12 2018-07-17 Cyberark Software Ltd Seamless provision of secret token to cloud-based assets on demand
US20180367528A1 (en) * 2017-06-12 2018-12-20 Cyberark Software Ltd. Seamless Provision of Authentication Credential Data to Cloud-Based Assets on Demand
US10911236B2 (en) * 2017-12-13 2021-02-02 Paypal, Inc. Systems and methods updating cryptographic processes in white-box cryptography
US11483306B2 (en) 2018-03-26 2022-10-25 Matrics2, Inc. Secure communication with random numbers
US11734416B2 (en) * 2018-04-27 2023-08-22 Huawei Technologies Co., Ltd. Construct general trusted application for a plurality of applications
KR102498326B1 (ko) * 2018-06-19 2023-02-10 주식회사 직방 고유의 마스터 키를 가지는 디지털 도어락 및 그 조작 방법
KR102605461B1 (ko) * 2018-09-20 2023-11-23 삼성전자주식회사 보안 엘리먼트를 이용하여 서비스를 제공하는 전자 장치 및 그의 동작 방법
US11316851B2 (en) * 2019-06-19 2022-04-26 EMC IP Holding Company LLC Security for network environment using trust scoring based on power consumption of devices within network
US11245670B1 (en) * 2020-12-17 2022-02-08 360 It, Uab Dynamic system and method for identifying optimal servers in a virtual private network
CN115187237B (zh) * 2022-07-08 2023-03-24 深圳市深圳通有限公司 数字人民币硬钱包的交易方法、装置、终端设备以及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004199138A (ja) * 2002-12-16 2004-07-15 Matsushita Electric Ind Co Ltd メモリデバイスとそれを使用する電子機器
WO2011074168A1 (ja) * 2009-12-14 2011-06-23 パナソニック株式会社 情報処理装置
JP2015064694A (ja) * 2013-09-24 2015-04-09 キヤノン株式会社 情報処理装置およびその制御方法、並びにプログラム
JP2015532499A (ja) * 2012-10-19 2015-11-09 マカフィー, インコーポレイテッド リアルタイムモジュールプロテクション

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5604801A (en) * 1995-02-03 1997-02-18 International Business Machines Corporation Public key data communications system under control of a portable security device
US6246767B1 (en) * 1995-04-03 2001-06-12 Scientific-Atlanta, Inc. Source authentication of download information in a conditional access system
US20080215474A1 (en) * 2000-01-19 2008-09-04 Innovation International Americas, Inc. Systems and methods for management of intangible assets
US6986052B1 (en) 2000-06-30 2006-01-10 Intel Corporation Method and apparatus for secure execution using a secure memory partition
US7181017B1 (en) 2001-03-23 2007-02-20 David Felsher System and method for secure three-party communications
AU2002249751A1 (en) * 2002-03-27 2003-10-13 Innovations Pte Ltd. Barracuda A system and method for secure electronic transaction using a registered intelligent telecommunication device
DE50200601D1 (de) 2002-05-24 2004-08-12 Swisscom Mobile Ag Vorrichtungen und Verfahren zur Zertifizierung von digitalen Unterschriften
FI20051022A (fi) * 2005-10-11 2007-04-12 Meridea Financial Software Oy Menetelmä, laite, palvelinjärjestely, järjestelmä ja tietokoneohjelmatuotteet datan tallentamiseksi turvallisesti kannettavassa laitteessa
US8763110B2 (en) * 2006-11-14 2014-06-24 Sandisk Technologies Inc. Apparatuses for binding content to a separate memory device
JP5005811B2 (ja) 2007-07-24 2012-08-22 エヌエックスピー ビー ヴィ アプリケーションを携帯電話にセキュアに伝送するための方法、システム及びトラステッド・サービス・マネージャ
US20090234751A1 (en) * 2008-03-14 2009-09-17 Eric Chan Electronic wallet for a wireless mobile device
US8713325B2 (en) * 2011-04-19 2014-04-29 Authentify Inc. Key management using quasi out of band authentication architecture
US8621636B2 (en) * 2009-12-17 2013-12-31 American Express Travel Related Services Company, Inc. Systems, methods, and computer program products for collecting and reporting sensor data in a communication network
WO2011150346A2 (en) * 2010-05-28 2011-12-01 Laurich Lawrence A Accelerator system for use with secure data storage
WO2012031165A2 (en) * 2010-09-02 2012-03-08 Zaretsky, Howard System and method of cost oriented software profiling
US9607293B2 (en) * 2010-11-29 2017-03-28 Barclays Bank Plc Method and system for account management and electronic wallet access on a mobile device
US20120159612A1 (en) * 2010-11-17 2012-06-21 Sequent Software Inc. System for Storing One or More Passwords in a Secure Element
US20120123935A1 (en) 2010-11-17 2012-05-17 David Brudnicki System and Method for Physical-World Based Dynamic Contactless Data Emulation in a Portable Communication Device
US8850200B1 (en) 2011-06-21 2014-09-30 Synectic Design, LLC Method and apparatus for secure communications through a trusted intermediary server
US9721071B2 (en) * 2011-06-29 2017-08-01 Sonic Ip, Inc. Binding of cryptographic content using unique device characteristics with server heuristics
US9286471B2 (en) * 2011-10-11 2016-03-15 Citrix Systems, Inc. Rules based detection and correction of problems on mobile devices of enterprise users
EP2786301A1 (en) * 2011-11-29 2014-10-08 Sony Mobile Communications AB System and method for providing secure inter-process communications
US8925055B2 (en) * 2011-12-07 2014-12-30 Telefonaktiebolaget Lm Ericsson (Publ) Device using secure processing zone to establish trust for digital rights management
US9015066B2 (en) * 2011-12-13 2015-04-21 Ebay Inc. Digital wallet loading
US20140040139A1 (en) * 2011-12-19 2014-02-06 Sequent Software, Inc. System and method for dynamic temporary payment authorization in a portable communication device
US9214184B2 (en) * 2012-04-10 2015-12-15 Western Digital Technologies, Inc. Digital rights management system, devices, and methods for binding content to an intelligent storage device
US9911118B2 (en) 2012-11-21 2018-03-06 Visa International Service Association Device pairing via trusted intermediary
US20140145823A1 (en) * 2012-11-27 2014-05-29 Assa Abloy Ab Access control system
SG11201505845RA (en) * 2013-01-29 2015-08-28 Mary Grace Smart card and smart card system with enhanced security features
US9317704B2 (en) 2013-06-12 2016-04-19 Sequent Software, Inc. System and method for initially establishing and periodically confirming trust in a software application
US9774448B2 (en) * 2013-10-30 2017-09-26 Duo Security, Inc. System and methods for opportunistic cryptographic key management on an electronic device
US20150326545A1 (en) 2014-05-06 2015-11-12 Apple Inc. Secure key rotation for an issuer security domain of an electronic device
US9775029B2 (en) * 2014-08-22 2017-09-26 Visa International Service Association Embedding cloud-based functionalities in a communication device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004199138A (ja) * 2002-12-16 2004-07-15 Matsushita Electric Ind Co Ltd メモリデバイスとそれを使用する電子機器
WO2011074168A1 (ja) * 2009-12-14 2011-06-23 パナソニック株式会社 情報処理装置
JP2015532499A (ja) * 2012-10-19 2015-11-09 マカフィー, インコーポレイテッド リアルタイムモジュールプロテクション
JP2015064694A (ja) * 2013-09-24 2015-04-09 キヤノン株式会社 情報処理装置およびその制御方法、並びにプログラム

Also Published As

Publication number Publication date
EP3443462A4 (en) 2020-02-26
EP3443462B1 (en) 2022-04-13
EP3443462A1 (en) 2019-02-20
WO2017181097A1 (en) 2017-10-19
US20170300716A1 (en) 2017-10-19
JP7186163B2 (ja) 2022-12-08
US11829506B2 (en) 2023-11-28
CN109643282A (zh) 2019-04-16
EP3443462B8 (en) 2022-05-18
JP2022172099A (ja) 2022-11-15
ES2918011T3 (es) 2022-07-13
CN109643282B (zh) 2023-08-25

Similar Documents

Publication Publication Date Title
JP7043701B2 (ja) ソフトウェアアプリケーションの信頼を最初に確立し、かつ定期的に確認するシステム及び方法
JP7186163B2 (ja) ポータブル電子デバイスと関連したデジタルシークレットの生成、格納、管理および使用のためのシステムおよび方法
JP6818679B2 (ja) セキュアホストカードエミュレーションクレデンシャル
US9607298B2 (en) System and method for providing secure data communication functionality to a variety of applications on a portable communication device
CA2838763C (en) Credential authentication methods and systems
Yang Security Enhanced EMV‐Based Mobile Payment Protocol
RU2537795C2 (ru) Доверенный дистанционный удостоверяющий агент (traa)
US20120159612A1 (en) System for Storing One or More Passwords in a Secure Element
Dmitrienko et al. Secure free-floating car sharing for offline cars
Cheng et al. A secure and practical key management mechanism for NFC read-write mode
Kasper et al. Rights management with NFC smartphones and electronic ID cards: A proof of concept for modern car sharing
Mattsson Security and Infrastructure for Mobile Phone Payments using Near Field Communication
WO2013130651A2 (en) System for storing one or more passwords in a secure element

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190422

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200413

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210428

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210527

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20210827

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20211027

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211104

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20220404

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220804

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20220804

C11 Written invitation by the commissioner to file amendments

Free format text: JAPANESE INTERMEDIATE CODE: C11

Effective date: 20220822

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20221013

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20221014

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221028

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221128

R150 Certificate of patent or registration of utility model

Ref document number: 7186163

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150