JP2021190996A - ユーザのプライバシーを保護しつつrf測距を利用して取引を行う方法及びシステム - Google Patents

ユーザのプライバシーを保護しつつrf測距を利用して取引を行う方法及びシステム Download PDF

Info

Publication number
JP2021190996A
JP2021190996A JP2021074315A JP2021074315A JP2021190996A JP 2021190996 A JP2021190996 A JP 2021190996A JP 2021074315 A JP2021074315 A JP 2021074315A JP 2021074315 A JP2021074315 A JP 2021074315A JP 2021190996 A JP2021190996 A JP 2021190996A
Authority
JP
Japan
Prior art keywords
mobile device
key
anchor
network
temporary
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021074315A
Other languages
English (en)
Inventor
ジャン マリー ド ペルチュイ ユーグ
Jean Marie De Perthuis Hugues
リョン フランク
Leong Frank
ハイスラート ソーレン
Heisrath Soeren
マッシ パルタサラシー スリヴァスサ
Masthi Parthasarathi Srivathsa
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NXP BV
Original Assignee
NXP BV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NXP BV filed Critical NXP BV
Publication of JP2021190996A publication Critical patent/JP2021190996A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • H04W12/64Location-dependent; Proximity-dependent using geofenced areas
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/021Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/029Location-based management or tracking services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/04Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/75Temporary identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Position Fixing By Use Of Radio Waves (AREA)

Abstract

【課題】ユーザのプライバシーを保護しつつ他のシステムと相互作用することで取引を行うRF通信装置を提供する。【解決手段】システム100において、複数のアンカー110〜119を具えたUWBネットワークは、少なくとも1つのトリガ領域を有する所定領域をカバーする。モバイル機器120は、所定領域に入る際に起動すると、初期のネットワークデータを受信し、そのデータに基づいて、UWBネットワークの真正性を確認し、モバイル機器とUWBネットワーク内のアンカーとの間で、部分的な相互認証を含む通信を開始して、モバイル機器とUWBネットワークとの間の安全な通信用のセッションキーを発生する。モバイル機器とUWBネットワーク内の1つ以上のアンカーとの間のセッションキーを用いた安全な通信に基づいて、所定領域内のモバイル機器の位置を追跡し、モバイル機器の位置が少なくとも1つのトリガ領域内にある場合に、取引を行う。【選択図】図1

Description

本発明はRF(radio frequency:無線周波数)通信装置の分野に関するものであり、特に、ユーザのプライバシーを保護しつつ他のシステムと相互作用することによって取引を行うことができるRF通信装置に関するものである。より具体的には、本発明は、UWB(ultrawideband:超広帯域)ネットワーク内のモバイル機器との取引を行う方法に関するものであり、このUWBネットワークは、少なくとも1つのトリガ領域を有する所定領域をカバーする。さらに、本発明は対応するシステムに関するものである。
RFID(radio frequency identification:無線ICタグ)ベースの技術は、交通及びアクセス制御システム用に広く用いられている。ユーザがカードをリーダ(読み取り機)にタッチして取引が発生する。これらのシステムは相当良好なユーザ・プライバシーの保護を提供する、というのは、通信範囲が短距離(数センチメートル)であり、ユーザが実際にRFID取引をトリガして初めてカードにアクセスすることができるからである。
使い勝手と利便性を向上させるために、短距離RFIDシステムを、例えばUWB(超広帯域)技術のような、より限定されない通信範囲を有するRF技術に置き換えることが目論まれている。範囲が何十メートルにもなり得るこうしたシステムでは、取引をシームレスにすることができる、というのは、ユーザはもはや自分のタグ/モバイル機器をリーダにタッチする必要がなく、指定領域を通って移動するだけでよいからである。しかし、こうした円滑化は代償を伴う、というのは、攻撃者が取引をスパイしてユーザのプライバシーを攻撃することがずっと容易にもなるからである。
従って、上述した欠点を克服する方法の必要性が存在し得る。
この必要性は、独立請求項による主題によって満たすことができる。本発明の有利な好適例は従属請求項に記載する。
第1の態様によれば、複数のアンカーを具えたUWB(超広帯域)ネットワーク内でモバイル機器との取引を行う方法が提供され、このUWBネットワークは少なくとも1つのトリガ領域を有する所定領域をカバーし、この方法は:(a)所定領域に入る際にモバイル機器を起動するステップと、(b)初期のネットワークデータをモバイル機器で受信するステップと、(c)初期のネットワークデータに基づいて、UWBネットワークが真正であることを確認するステップと、(d)モバイル機器とUWBネットワーク内のアンカーとの間で、部分的な相互認証を含む通信を開始するステップと、(e)モバイル機器とUWBネットワークとの間の安全(セキュア)な通信用のセッションキーを発生するステップと、(f)モバイル機器とUWBネットワーク内の1つ以上のアンカーとの間のセッションキーを用いた安全な通信に基づいて、所定領域内のモバイル機器の位置を追跡するステップと、(g)モバイル機器の位置が少なくとも1つのトリガ領域内にある場合に、取引を行うステップとを含む。
この態様は、使用における異なる段階中にユーザのプライバシーがいくつかの方法で保護される、という思想に基づき:最初に、即ちモバイル機器がUWBネットワークとの実際の通信に入る前に、(モバイル機器から機微(センシティブ)なデータを取得する目的でネットワークの一部分であることを装う攻撃者とは対照的に)ネットワークが真正であることを確認する。その後に、セッションキーを発生して、UWBネットワークがカバーする所定領域内を移動しながら、UWBネットワークとの安全な(非公開の)通信を利用して、モバイル機器の位置を追跡することができる。この通信は機微な情報を何らネットワークに公開せず、ネットワークが機器の位置を追跡することのみを可能にし、ユーザが誰であるか、支払い情報、及び追跡を実行するために必要ではない他のあらゆる情報をネットワークが知ることがない。次に、一旦、モバイル機器が少なくとも1つのトリガ領域内に位置するものと判定されると、例えば、ユーザが駅構内または類似の施設内の指定された改札口を歩き通ると、取引を行う。この段階で初めて、機微な情報を必要に応じてモバイル機器からUWBネットワークへ伝えて取引を行うことができる。モバイル機器がトリガ領域に入らずに所定領域を離れた場合、ユーザの身元をUWBネットワークに公開せずにセッションを終了する。従って、ユーザがトリガ領域(またはいくつかのトリガ領域のうちの1つ)に入ることによって取引を行うことを決心しない限り、ユーザはUWBネットワークにとって完全に匿名のままである。
本発明の関連では、「モバイル機器」とは、スマートホン、タブレット、専用装置、等のような、小型でUWBネットワークと通信することができる小型電子機器を具体的に表すことができる。より具体的には、モバイル機器は、通信を処理するための専用のアプリケーションをロードすることができる。
本発明の関係では、「アンカー」とは、UWBネットワーク内のノードを具体的に表すことができ、このノードは少なくともUWB通信帯域内でメッセージを送信及び受信することができる。
本発明の関係では、「所定領域」とは、少なくとも1つのアンカーと通信することができ、これによりUWBネットワークと通信することができる領域を具体的に表すことができる。なお、所定領域の正確なサイズ及び形状は特定のモバイル機器及びその通信能力にも依存する。
本発明の関連では、「トリガ領域」とは、ユーザが公共交通機関による旅行の一部分を開始または終了するような取引を行う自分の意欲を示すために入場または通過することができる改札口のような限定され明確に示された領域を具体的に表すことができる。
本発明の関連では、「初期のネットワークデータ」とは、モバイル機器が、UWBネットワークを識別して、UWBネットワークとの通信を開始するために必要な第1ステップを実行することを可能にする、ネットワークについての基本的情報を提供するデータを具体的に表すことができる。
本発明の関係では、「セッションキー」とは、単一の通信セッション内で共に用いることができる暗号化キーを具体的に表すことができる。
1つの好適例によれば、アンカーが真正であることを確認するステップが、(a)モバイル機器の現在位置を特定するステップと、(b)ネットワークの想定位置を決定するステップと、(c)モバイル機器の現在位置がネットワークの想定位置と一致することを確認するステップとを含む。
換言すれば、UWBネットワークの想定位置を決定し、次に(例えば、GPS(Global Positioning System:全地球測位システム)、モバイル・ネットワーク・セルのID(identification:識別番号)、近隣のWiFi(登録商標)、等によって提供される)モバイル機器の現在位置がUWBネットワークの想定位置と合うか否かをチェックする。一例では、想定位置を特定の鉄道駅であるものと決定する。従って、モバイル機器が現在駅構内に、あるいは少なくとも駅の狭い周囲内に位置する場合、UWBネットワークを真正であるものと確認することができる。他方では、機器の位置がネットワークの想定位置と一致しない場合、このことはモバイル機器を攻撃することの企てと見ることができ、UWBネットワークを真正として確認することができない。このことが発生した場合、モバイル機器は真正でないネットワークとの通信の確立に向けたさらなるステップを踏まない。
追加的な実施形態によれば、ネットワークの想定位置を、初期のネットワークデータ、及び/または初期のネットワークデータの少なくとも一部を位置にマッピングするデータベースに基づいて決定する。
換言すれば、想定位置は、初期のネットワークデータ中に含まれるネットワークIDのような情報に基づいて決定することができる。この情報は、想定位置の指示を直接与えることも、この情報を位置にマッピングするデータベースと組み合わせることもできる。
追加的な態様によれば、初期のネットワークデータを複数のアンカーによって同報することができる。
従って、所定領域に入った直後に、モバイル機器は初期のネットワークデータを受信しており、このため上記確認のステップを開始することができ、確認に成功した場合、さらなるステップを継続することができる。
追加的な態様によれば、IEEE802.15.8または同様なプロトコルを用いて通信を開始する。
追加的な好適例によれば、上記方法は、UWBネットワーク内の1つ以上のアンカーとの間の安全な通信中にモバイル機器を識別するためのランダムなIDをモバイル機器に割り当てるステップをさらに含む。
従って、ランダムなIDを用いて通信セッション中にモバイル機器を識別することによって、ネットワークは、モバイル機器が所定領域内を動き回る間にモバイル機器の位置を追跡することができる。モバイル機器が次回にUWBネットワークと(あるいは他の位置で他のUWBネットワークと)通信する際に、モバイル機器は新たなランダムIDを割り当てられる。従って、実際の機器またはそのユーザを追跡することはできない。
追加的な実施形態によれば、モバイル機器の位置を追跡するステップが、モバイル機器と1つ以上のアンカーの各々との間の通信について飛行時間測定を実行するステップを含む。
この飛行時間測定は、モバイル機器と、このモバイル機器との通信に関与するアンカーの各々との間の距離についての情報を提供する。この情報及び三角測量技術を用いて、所定領域内のモバイル機器の現在位置を特定することができる。
追加的な好適例によれば、1つ以上のアンカーの各々が、モバイル機器にメッセージを送信して、対応する応答を当該モバイル機器から受信するまでの時間を測定する。
追加的な好適例によれば、飛行時間測定を実行するための通信がUWBを利用する。
追加的な実施形態によれば、セッションキーを発生するステップが、(a)モバイル機器において、静的なデバイスキー及びその証明書を認証に利用しつつ一時的なデバイスキーを発生するステップであって、一時的なデバイスキーは一時的なデバイス秘密キー及び一時的なデバイス公開キーを含むステップと、(b)アンカーにおいて、静的なアンカーキー及びその証明書を認証に利用しつつ一時的なアンカーキーを発生するステップであって、一時的なアンカーキーは一時的なアンカー秘密キー及び一時的なアンカー公開キーを含むステップと、(c)一時的なデバイス公開キーをアンカーと共有するステップと、(d)一時的なアンカー公開キー及び静的なアンカーキーをモバイル機器と共有するステップと、(e)モバイル機器において、一時的なアンカー公開キー及び静的なデバイスキーに基づいてセッションキーを発生するステップと、(f)アンカーにおいて、一時的なデバイス公開キー及び静的なアンカーキーに基づいてセッションキーを発生するステップとを含む。
換言すれば、モバイル機器及びアンカーは共にそれぞれの一時的なキーを発生し、即ち、それぞれ一時的なデバイスキー及び一時的なアンカーキーを発生する。各一時的なキーは秘密キー及び公開キーを含む。さらに、モバイル機器及びアンカーは、それぞれの静的なキー及び証明書を認証目的で利用し、即ち、互いが、自身が主張するものであることを確認する。次に、モバイル機器は一時的なデバイス公開キーをアンカーと共有する。認証、例えば証明により、アンカーは、一時的なデバイスキーがモバイル機器によって提供されたものと信用する。同様に、アンカーは一時的なアンカー公開キーをモバイル機器と共有する。さらに、アンカーは自身の静的なアンカー(公開)キーをモバイル機器と共有する。次に、両側(即ち、一方の側のモバイル機器及び他方の側のアンカー)が、それぞれの一時的な公開キーを他方の側から取得すると、両者は、他方の側から受信した一時的な公開キー及び自分自身の静的なキーに基づいてセッションキーを発生する。このことは秘密の共有に合意する原理としても知られている。従って、セッションキーは当該モバイル機器及び当該アンカーのみに知られ、これらのみにとって有用であり、第三者が取得すること、発生すること、または再現することはできない。
追加的な実施形態によれば、上記方法は、静的なデバイスキーをアンカーと共有するステップをさらに含む。
静的なデバイスキー及び(例えば、機器があるグループに属することを証明すべく公共交通機関管理所によって署名された)その証明書を共有することによって、非会員はアンカーに接続することができない。
上記に示したように、キーは常に次の2つ:公開キー及び秘密キーに分けることができる。共有されるものが公開キーである。公開キーは、署名を発生する他のキーによって署名することができる。この署名が第三者から来る場合、この署名は証明書になる、というのは、その機関を信用する誰もが、この公開キー(及び他の情報)が当該機関によって保証されていることをチェックすることができるからである。
追加的な態様によれば、静的なデバイスキーを他のモバイル機器と共有し、上記モバイル機器の安全な実行環境内に記憶する。静的なデバイスキーを他のモバイル機器と共有することによって、当該モバイル機器を同じグループ、例えば公共交通機関用の定期券に属するものとして見ることができる。静的なデバイスキーは、安全な実行環境内に、即ちメモリ(ハードウェア)の安全な領域内及び/または安全な機能エリア(ソフトウェア)内に記憶されていることによって保護される。
追加的な態様によれば、静的なアンカーキーに相当する公開キー及びその証明書を、モバイル機器とアンカーとの間の通信を開始するステップ中にモバイル機器で受信し、あるいはデータベースから検索する。
これにより、モバイル機器は、開始直後にネットワークを認証して、安全な様式でネットワークと通信することができる。
追加的な態様によれば、取引を行うステップが、トリガ領域内またはトリガ領域の付近に位置するモバイル機器とアンカーとの間の非接触カード取引をエミュレートするステップを含む。
換言すれば、実際の取引は、ユーザが自分のRFIDまたはNFC(near field communication:近接場通信)装置をRFベースのシステム内のリーダに当てるのと同じ方法でデータを交換することによって実行することができる。従って、この段階で初めて、機微なデータがモバイル機器とUWBネットワークとの間で交換される。
第2の態様によれば、システムが提供され、このシステムは:(a)複数のアンカーを具えたUWBネットワークであって、少なくとも1つのトリガ領域を有する所定領域をカバーするUWBネットワークと、(b)このUWBネットワークと通信するように構成された少なくとも1つのモバイル機器とを具え、このシステムは:(c)所定領域に入る際にモバイル機器を起動し、(d)初期のネットワークデータをモバイル機器で受信し、(e)初期のネットワークデータ、及び他のセンサからのジオフェンス(地理上のフェンス)情報に基づいて、ネットワークが真正であることを確認し、(f)モバイル機器とUWBネットワーク内のアンカーとの間で、部分的な相互認証を含む通信を開始し、(g)モバイル機器とUWBネットワークとの間の安全な通信用のセッションキーを発生し、(h)モバイル機器とUWBネットワーク内の1つ以上のアンカーとの間のセッションキーを用いた安全な通信に基づいて、所定領域内のモバイル機器の位置を追跡し、(i)モバイル機器の位置が少なくとも1つのトリガ領域内にある場合に、取引を行うように構成されている。
この態様は、基本的に第1の態様と同じ思想に基づき、第1の態様及び/または上述した好適例のいずれかによる方法を実行することができるシステムを提供する。
第3の態様によれば、コンピュータプログラムが提供され、このコンピュータプログラムはコンピュータが実行可能な命令を含み、これらの命令は、コンピュータによって実行されると、第1の態様による方法のステップをこのコンピュータに実行させる。
第4の態様によれば、コンピュータプログラム製品が提供され、このコンピュータプログラム製品は、第3の態様によるコンピュータプログラムをロードしたコンピュータ可読のデータ担体を具えている。
なお、本発明の実施形態を、異なる主題を参照しながら説明してきた。特に、いくつかの好適例は方法型の請求項を参照しながら説明したのに対し、他の好適例は装置型の請求項を参照しながら説明している。しかし、当業者は、以上及び以下の説明より、特に断りのない限り、1つの型の主題に属する特徴の任意の組合せに加えて、異なる主題に関係する特徴の組合せも、特に方法型の請求項の特徴と装置型の請求項の特徴との組合せも、本明細書により開示されているものと推測する。
以上に規定する態様、及び本発明の追加的態様は、以下に記載する実施形態より明らかになり、実施形態を参照しながら説明する。本発明は、以下に実施形態を参照しながらより詳細に説明するが、本発明はこれらの実施形態に限定されない。
好適な実施形態によるシステムを示す図である。 好適な実施形態による方法のフローチャートを示す図である。
詳細な説明
図面中の図示は概略的である。なお、異なる図面中では、同様または同一の要素には、同じ参照符号、あるいは1桁目のみが異なる参照符号を与えている。
図1に、好適な実施形態によるシステム100を示す。システム100は、所定領域全体にわたって配列された複数のアンカー110、111、112、113、114、115、116、117、118、119を具えて、この所定領域をカバーするUWBネットワークを確立する。この所定領域内には、指定されたトリガ領域105が存在する。なお、限られた数のアンカー及び単一のトリガ領域105のみの参照は、本実施形態の説明を促進する役目を果たすに過ぎない。他の実施形態では、UWBネットワークが何十個または何百個のアンカー、及び必要な数のトリガ領域を含んで、鉄道駅のような所定の位置で所望の機能を提供することができる。システム100は、UWBネットワークと通信して、公共交通機関にチェックイン及びチェックアウトするような取引を行うためのアプリケーションをロードしたスマートホンのようなモバイル機器120をさらに具えている。
図1は、所定領域内の4つの異なる位置A、B、C、Dにある(同じ)モバイル機器120を示す。(左下隅にある)位置Aでは、モバイル機器120が所定領域に入ったばかりであり、起動されてアンカー112経由でUWBネットワークに接続できる状態にあり、アンカー112は矢印A1で示すようにモバイル機器120の範囲内にある。この起動は、アンカー112によって同報されてモバイル機器120によって受信される(WiFi(登録商標)、BLE(Bluetooth low Energy:ブルートゥース(登録商標)ロー・エナジー)または他のRF信号のような)信号によって、あるいは、例えばGPSまたはWiFi(登録商標)/BLE(登録商標)に基づくジオフェンス情報を利用することによって開始することができる。この段階では、モバイル機器120は初期のネットワークデータも受信し、このネットワークデータは、一意的なネットワークID及び/または一意的な交通機関ID、並びに(好適なRFトランスポート層パラメータのように)より高速な接続を可能にすることができ、例えばタイムスタンプ(日時印)のような追加的な証明を提供することを可能にすることができる他の情報を含むことができる。追加的な証明は、秘密アンカー/ネットワークキーによって認証、例えば署名されなければならない。次に、アンカー112への接続を試みる前に、モバイル機器120は(この場合アンカー112によって代理される)UWBネットワークが真正であることを確認する。この確認は、初期のネットワークデータ中の情報を用いて、例えばUWBネットワークの想定位置を決定して、GPS、セルラ・ネットワークのセルID、WiFi(登録商標)、等のような情報源から得られたモバイル機器120の位置と比較する。想定位置の決定は、モバイル機器120内にローカルに記憶されて定期的に提供及び更新されるデータベース、リモートに記憶されて信頼できる帯域外接続、例えばセルラ・ネットワーク経由でアクセスされるデータベース、及び/またはアンカー112によって同報される情報を利用することができる。すべての場合に、こうした情報を、例えば安全な接続により、あるいは公開キー暗号化により認証しなければならない。こうした情報にタイムスタンプを付けることもでき、これにより、同報された情報及び付された署名が最近のものであることを機器が確認することを可能にする。
この確認に成功して初めて、モバイル機器120はアンカー112との通信を開始してセッションを開始する。このことは、IEEE802.15.8に記述されたプロトコルを用いて行うことができ、部分的な相互認証、及びランダムなIDをセッション中に用いるためにモバイル機器120に割り当てることを含む。スロットを割り当てられ次第、モバイル機器120及びアンカー112は、部分認証されたセッションキーを発生する。(同じネットワークの機器を含む)攻撃者に対する安全性を最大にするために、(NIST Special Publication 800-56A: “Recommendation for Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography”(非特許文献1)に記載されているもののような)静的及び動的なキーに基づく一時的なキーを発生する方式を用いることができる。
セッションキーを発生する好適なプロセスは、モバイル機器120において、静的なデバイスキーを認証用に利用しつつ一時的なデバイスキーを発生するステップと、アンカー112において、静的なアンカーキーを認証用に利用しつつ一時的なアンカーキーを発生するステップとを含むことができる。次に、一時的なデバイスキーをアンカー112と共有し、一時的なアンカーキー及び静的なアンカーキーをモバイル機器120と共有する。最後に、モバイル機器120において、一時的なアンカーキー及び静的なデバイスキーに基づいてセッションキーを発生し、アンカー112において、一時的なデバイスキー及び静的なアンカーキーに基づいてセッションキーを発生する。ここで、両当事者(即ち、モバイル機器120及びアンカー112)が、セッションキー(「共通の秘密」と称されることが多い)を自ら保有し、これを用いてセッション全体を通した安全な通信を行うことができる。これにより、次の利点が得られる:セッションキーは(複数当事者の認証スキームの使用及び定義に基づいて)敵対的盗聴者にとって未知である;セッションキーは、敵対的中間者が計算することができず、敵対的中間者にとって未知である;セッションキーは、アンカーの身元を証明し、モバイル機器がネットワークに属することを証明する;このキーを用いてセッションの残りに用いるキーを導出する。
ここで、セッションキーを確立すると、モバイル機器120とUWBネットワーク(初期にはアンカー112)とがセッション中に互いに安全に通信して、特に、図1の左下隅に示す位置Aから離れるようにユーザが移動する間に所定領域内のモバイル機器120の位置を追跡することができる。モバイル機器120がトリガ領域105に向けて移動する間に、モバイル機器120は通信可能範囲内の1つ以上のアンカーからのメッセージに応答して、対応する飛行時間測定値に基づいて、即ち、アンカーからメッセージを送信してから同じアンカーがモバイル機器120からの応答を受信するまでの時間を測定することによって、モバイル機器120の位置を連続して取得することができる。反復的に取得される対応するアンカーからの距離に、三角測量、及び場合によっては他の技法を適用することによって、モバイル機器120の位置だけでなく方向及び/または速度も追跡することができる。図1に、トリガ領域105に至る経路に沿ったモバイル機器120の他のいくつかの位置を示す。位置Bでは、モバイル機器が、対応する矢印B1、B2、B3で示すようにアンカー112、111及び113に接続されるのに対し、位置Cは経路をさらに下った所にあり、モバイル機器120は、対応する矢印C1、C2及びC3で示すようにアンカー113,114及び116に接続される。最後に、位置Dでは、モバイル機器がトリガ領域105内に到達し、今度はアンカー116と通信している。モバイル機器120がトリガ領域105内にあるものと判定されると、モバイル機器は、例えばアンカー116との非接触のカード取引をエミュレートすることによって取引を行う。この段階で初めて、取引を行うことの一部として、ユーザの身元がシステム100に公開される。従って、ユーザがトリガ領域105(または他のいずれかのトリガ領域)に入らないことを決心して、再度所定領域から出ただけの場合、例えば、ユーザが鉄道駅を通過しただけの場合、システムは、セッションの終了時まで対応するユーザの身元を知らずにランダムなIDを追跡する。
図2に、好適な実施形態による方法のフローチャート200を示す。より具体的には、フローチャート200は図1に関連して上述したのと同様なステップを示す。方法200はステップ210で開始され、ステップ210では所定領域に入る際にモバイル機器120を起動する。次に、ステップ220では、初期のネットワークデータをモバイル機器で受信し、ステップ230では、上述したように初期のネットワークデータに基づいてUWBネットワークが真正であることを確認する。UWBネットワークが真正であることを確認した後に、モバイル機器120とUWBネットワーク内のアンカーとの間の通信を開始する。このステップは、モバイル機器120とアンカーとの部分的な相互認証も含む。ステップ250では、モバイル機器120とUWBネットワークとの間の安全な通信用のセッションキーを発生し、一旦このことを行うと、ステップ260では、モバイル機器120と、UWBネットワーク内の1つ以上のアンカーとの間のセキュアキーを用いた安全な通信を利用して、所定領域内のモバイル機器120の位置を特定する。ステップ265では、モバイル機器120の位置がトリガ領域105内にあるか否かをチェックする。トリガ領域内にない(「いいえ」の)場合、上記方法はステップ260に戻り、ステップ260ではモバイル機器120の位置を更新する。他方では、モバイル機器の位置がトリガ領域105内にあるものと判定された(「はい」の)場合、ステップ270で取引を行う。
取引は、測距用に用いたのと同じチャネル上で、あるいは別個のチャネル上で発生する。取引は、選択した輸送チャネル上のRFID取引をエミュレートする。ユーザの身元は代表的なRFID取引におけるように開示される。
なお、特に断りのない限り、「上方」、「下方」、「左側」、及び「右側」のような用語の使用は、対応する図面中の向きを参照するに過ぎない。
なお、「具える」とは、他の要素またはステップを排除せず、各要素は複数存在し得る。さらに、異なる実施形態に関連して説明した要素は組み合わせることもできる。また、特許請求の範囲中の参照符号は特許請求の範囲を限定するものとして解釈するべきでない。

Claims (15)

  1. 複数のアンカー(110, 111, 112, 113, 114, 115, 116, 117, 118, 119)を具えたUWBネットワーク内でモバイル機器(120)との取引を行う方法であって、前記UWBネットワークが少なくとも1つのトリガ領域(105)を有する所定領域をカバーする方法において、
    前記所定領域に入る際に前記モバイル機器(120)を起動するステップ(210)と、
    初期のネットワークデータを前記モバイル機器(120)で受信するステップ(220)と、
    前記ネットワークデータに基づいて、前記UWBネットワークが真正であることを確認するステップ(230)と、
    前記モバイル機器(120)と前記UWBネットワーク内のアンカーとの間で、部分的な相互認証を含む通信を開始するステップ(240)と、
    前記モバイル機器(120)と前記UWBネットワークとの間の安全な通信用のセッションキーを発生するステップ(250)と、
    前記モバイル機器と前記UWBネットワーク内の1つ以上のアンカーとの間の前記セッションキーを用いた安全な通信に基づいて、前記所定領域内の前記モバイル機器(120)の位置を追跡するステップ(260)と、
    前記モバイル機器(120)の位置が前記少なくとも1つのトリガ領域(105)内にある場合に、前記取引を行うステップ(270)と
    を含む方法。
  2. 前記UWBネットワークが真正であることを確認するステップが、
    前記モバイル機器の現在位置を特定するステップと、
    前記UWBネットワークの想定位置を決定するステップと、
    前記モバイル機器の前記現在位置が前記UWBネットワークの前記想定位置と一致することを確認するステップと
    を含む、請求項1に記載の方法。
  3. 前記UWBネットワークの前記想定位置を、前記初期のネットワークデータ、及び/または前記初期のネットワークデータの少なくとも一部を位置にマッピングするデータベースに基づいて決定する、請求項2に記載の方法。
  4. 前記初期のネットワークデータを前記アンカーによって同報する、請求項1〜3のいずれかに記載の方法。
  5. IEEE802.15.8または同様なプロトコルを用いて前記通信を開始する、請求項1〜4のいずれかに記載の方法。
  6. 前記UWBネットワーク内の前記1つ以上のアンカーとの間の前記安全な通信中に前記モバイル機器を識別するためのランダムなIDを前記モバイル機器に割り当てるステップをさらに含む、請求項1〜5のいずれかに記載の方法。
  7. 前記モバイル機器の位置を追跡するステップが、前記モバイル機器と前記1つ以上のアンカーの各々との間の通信について飛行時間測定を実行するステップを含む、請求項1〜6のいずれかに記載の方法。
  8. 前記1つ以上のアンカーの各々が、前記モバイル機器にメッセージを送信して、対応する応答を前記モバイル機器から受信するまでの時間を測定する、請求項7に記載の方法。
  9. 前記飛行時間測定を実行するための通信がUWBを利用する、請求項7または8に記載の方法。
  10. 前記セッションキーを発生するステップが、
    前記モバイル機器において、静的なデバイスキー及び当該静的なデバイスキーの証明書を認証に利用しつつ一時的なデバイスキーを発生するステップであって、該一時的なデバイスキーは一時的なデバイス秘密キー及び一時的なデバイス公開キーを含むステップと、
    前記アンカーにおいて、静的なアンカーキー及び当該静的なアンカーキーの証明書を利用しつつ一時的なアンカーキーを発生するステップであって、該一時的なアンカーキーは一時的なアンカー秘密キー及び一時的なアンカー公開キーを含むステップと、
    前記一時的なデバイス公開キーを前記アンカーと共有するステップと、
    前記一時的なアンカー公開キー及び前記静的なアンカーキーを前記モバイル機器と共有するステップと、
    前記モバイル機器において、前記一時的なアンカー公開キー及び前記静的なデバイスキーに基づいて前記セッションキーを発生するステップと、
    前記アンカーにおいて、前記一時的なデバイス公開キー及び前記静的なアンカーキーに基づいて前記セッションキーを発生するステップと
    を含む、請求項1〜9のいずれかに記載の方法。
  11. 前記静的なデバイスキーを前記アンカーと共有するステップをさらに含む、請求項10に記載の方法。
  12. 前記静的なデバイスキーを、他のモバイル機器と共有し、前記モバイル機器の安全な実行環境内に記憶する、請求項10または11に記載の方法。
  13. 前記静的なアンカーキーに相当する公開キー及び当該公開キーの証明書を、前記モバイル機器と前記アンカーとの間の通信を開始するステップ中に前記モバイル機器で受信し、あるいはデータベースから検索する、請求項10〜12のいずれかに記載の方法。
  14. 前記取引を行うステップが、前記トリガ領域内または前記トリガ領域の付近に位置する、前記モバイル機器と前記アンカーとの間の非接触カード取引をエミュレートするステップを含む、請求項1〜13のいずれかに記載の方法。
  15. UWBネットワークと、
    前記UWBネットワークと通信するように構成された少なくとも1つのモバイル機器(120)とを具えたシステムであって、
    前記UWBネットワークは、複数のアンカー(110, 111, 112, 113, 114, 115, 116, 117, 118, 119)を具え、少なくとも1つのトリガ領域(105)を有する所定領域をカバーする方法において、
    前記システムは、
    前記所定領域に入る際に前記モバイル機器(120)を起動し、
    初期のネットワークデータを前記モバイル機器(120)で受信し、
    前記初期のネットワークデータに基づいて前記UWBネットワークが真正であることを確認し、
    前記モバイル機器(120)と前記UWBネットワーク内のアンカーとの間で、部分的な相互認証を含む通信を開始し、
    前記モバイル機器(120)と前記UWBネットワークとの間の安全な通信用のセッションキーを発生し、
    前記モバイル機器と前記UWBネットワーク内の1つ以上のアンカーとの間の前記セッションキーを用いた安全な通信に基づいて、前記所定領域内の前記モバイル機器(120)の位置を追跡し、
    前記モバイル機器(120)の位置が前記少なくとも1つのトリガ領域(105)内にある場合に、取引を行う
    ように構成されているシステム。
JP2021074315A 2020-05-28 2021-04-26 ユーザのプライバシーを保護しつつrf測距を利用して取引を行う方法及びシステム Pending JP2021190996A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP20290048.6 2020-05-28
EP20290048.6A EP3917188B1 (en) 2020-05-28 2020-05-28 Methods and systems for committing transactions utilizing rf ranging while protecting user privacy

Publications (1)

Publication Number Publication Date
JP2021190996A true JP2021190996A (ja) 2021-12-13

Family

ID=72088035

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021074315A Pending JP2021190996A (ja) 2020-05-28 2021-04-26 ユーザのプライバシーを保護しつつrf測距を利用して取引を行う方法及びシステム

Country Status (4)

Country Link
US (1) US11812274B2 (ja)
EP (1) EP3917188B1 (ja)
JP (1) JP2021190996A (ja)
CN (1) CN113794988A (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12022287B2 (en) * 2019-07-08 2024-06-25 John A. Nix EAP-TLS authentication with concealed user identities and wireless networks

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7545932B2 (en) * 2004-10-29 2009-06-09 Thomson Licensing Secure authenticated channel
US20160234176A1 (en) * 2015-02-06 2016-08-11 Samsung Electronics Co., Ltd. Electronic device and data transmission method thereof
US9565531B2 (en) * 2015-04-13 2017-02-07 Frensee LLC Augmented beacon and geo-fence systems and methods
EP3410406B1 (en) * 2017-06-02 2023-02-22 Nxp B.V. Mobile device and reader for facilitating a transaction
US10486646B2 (en) * 2017-09-29 2019-11-26 Apple Inc. Mobile device for communicating and ranging with access control system for automatic functionality
US11178148B2 (en) * 2018-08-21 2021-11-16 HYPR Corp. Out-of-band authentication to access web-service with indication of physical access to client device
EP3681046B1 (en) 2019-01-10 2022-07-20 Nxp B.V. Key derivation scheme for data frame transmission in ultra-wide band ranging in keyless entry systems
CN114258693B (zh) * 2019-08-18 2024-02-06 苹果公司 无电子用户身份模块(esim)凭证的移动设备认证
US11687913B2 (en) * 2020-04-01 2023-06-27 Mastercard International Incorporated Ultra-wideband-enabled devices and systems
EP3910901A1 (en) * 2020-05-15 2021-11-17 Nxp B.V. Uwb communication node and operating method

Also Published As

Publication number Publication date
US11812274B2 (en) 2023-11-07
EP3917188A1 (en) 2021-12-01
CN113794988A (zh) 2021-12-14
US20210377741A1 (en) 2021-12-02
EP3917188B1 (en) 2023-06-21

Similar Documents

Publication Publication Date Title
US10096181B2 (en) Hands-free fare gate operation
Gope et al. Lightweight and privacy-preserving RFID authentication scheme for distributed IoT infrastructure with secure localization services for smart city environment
JP7467702B2 (ja) アクセス制御のためのシステム、方法及び装置
US10755501B2 (en) Rolling code based proximity verification for entry access
US10366551B2 (en) Analytic identity measures for physical access control methods
US10963870B2 (en) Method and system for network communication
Zhang et al. Location-based authentication and authorization using smart phones
US10445956B2 (en) Access control reader for secure handsfree access with mobile devices
US6961541B2 (en) Method and apparatus for enhancing security in a wireless network using distance measurement techniques
US20180114214A1 (en) Wireless establishment of identity via bi-directional rfid
Javali et al. I am alice, i was in wonderland: secure location proof generation and verification protocol
EP3535724A1 (en) Verifying an association between a communication device and a user
US10783506B2 (en) Methods and systems for access control to secure facilities
Agadakos et al. Location-enhanced authentication using the IoT: Because you cannot be in two places at once
CN105594154A (zh) 用于控制对无线装置的访问的方法和系统
US11783654B2 (en) Techniques for authenticating building/room access terminals
Conti et al. Context-based co-presence detection techniques: A survey
Piramuthu et al. On sensor-based solutions for simultaneous presence of multiple RFID tags
JP2021190996A (ja) ユーザのプライバシーを保護しつつrf測距を利用して取引を行う方法及びシステム
Tu et al. Lightweight non-distance-bounding means to address RFID relay attacks
US11003744B2 (en) Method and system for securing bank account access
EP3916418A1 (en) Methods and systems for committing transactions utilizing rf ranging with a large number of users
Conti et al. A survey on context-based co-presence detection techniques
Biehl et al. Anchor of trust: Towards collusion-resistant trusted indoor location for enterprise and industrial use
KR102163676B1 (ko) 동적 분할 코드를 이용한 다중 인증 방법

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210510

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240205