JP4790717B2 - データ処理の方法及び装置 - Google Patents
データ処理の方法及び装置 Download PDFInfo
- Publication number
- JP4790717B2 JP4790717B2 JP2007526510A JP2007526510A JP4790717B2 JP 4790717 B2 JP4790717 B2 JP 4790717B2 JP 2007526510 A JP2007526510 A JP 2007526510A JP 2007526510 A JP2007526510 A JP 2007526510A JP 4790717 B2 JP4790717 B2 JP 4790717B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- processing
- memory
- test result
- characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims description 11
- 238000000034 method Methods 0.000 claims description 119
- 230000015654 memory Effects 0.000 claims description 87
- 230000006870 function Effects 0.000 claims description 62
- 238000012545 processing Methods 0.000 claims description 45
- 230000005856 abnormality Effects 0.000 claims description 29
- 238000012360 testing method Methods 0.000 claims description 29
- 239000001132 aluminium potassium sulphate Substances 0.000 claims description 14
- 239000000347 magnesium hydroxide Substances 0.000 claims description 14
- 239000001119 stannous chloride Substances 0.000 claims description 12
- 239000004263 Guaiac resin Substances 0.000 claims description 10
- 239000001164 aluminium sulphate Substances 0.000 claims description 10
- 238000007689 inspection Methods 0.000 claims description 10
- 239000000665 guar gum Substances 0.000 claims description 9
- 235000010417 guar gum Nutrition 0.000 claims description 9
- HEMHJVSKTPXQMS-UHFFFAOYSA-M sodium hydroxide Substances [OH-].[Na+] HEMHJVSKTPXQMS-UHFFFAOYSA-M 0.000 claims description 9
- 239000001177 diphosphate Substances 0.000 claims description 8
- 235000011180 diphosphates Nutrition 0.000 claims description 8
- 239000001878 Bakers yeast glycan Substances 0.000 claims description 7
- 235000019311 Bakers yeast glycan Nutrition 0.000 claims description 7
- 238000004891 communication Methods 0.000 claims description 7
- 239000001103 potassium chloride Substances 0.000 claims description 7
- 239000008272 agar Substances 0.000 claims description 6
- 235000010419 agar Nutrition 0.000 claims description 6
- 239000000920 calcium hydroxide Substances 0.000 claims description 6
- 239000000711 locust bean gum Substances 0.000 claims description 6
- 235000010420 locust bean gum Nutrition 0.000 claims description 6
- 239000001095 magnesium carbonate Substances 0.000 claims description 6
- 239000001205 polyphosphate Substances 0.000 claims description 6
- 235000011176 polyphosphates Nutrition 0.000 claims description 6
- NLXLAEXVIDQMFP-UHFFFAOYSA-N Ammonium chloride Substances [NH4+].[Cl-] NLXLAEXVIDQMFP-UHFFFAOYSA-N 0.000 claims description 5
- 239000000205 acacia gum Substances 0.000 claims description 5
- 235000010489 acacia gum Nutrition 0.000 claims description 5
- 238000004422 calculation algorithm Methods 0.000 claims description 5
- 230000005670 electromagnetic radiation Effects 0.000 claims description 5
- 239000000231 karaya gum Substances 0.000 claims description 5
- 235000010494 karaya gum Nutrition 0.000 claims description 5
- 239000002478 γ-tocopherol Substances 0.000 claims description 5
- 239000004255 Butylated hydroxyanisole Substances 0.000 claims description 4
- 235000019282 butylated hydroxyanisole Nutrition 0.000 claims description 4
- 239000000555 dodecyl gallate Substances 0.000 claims description 4
- 239000000216 gellan gum Substances 0.000 claims description 4
- 235000010492 gellan gum Nutrition 0.000 claims description 4
- 239000004065 semiconductor Substances 0.000 claims description 4
- -1 E506 Substances 0.000 claims 1
- 238000000926 separation method Methods 0.000 claims 1
- 230000008569 process Effects 0.000 description 24
- 238000001514 detection method Methods 0.000 description 12
- 239000000541 tocopherol-rich extract Substances 0.000 description 6
- 239000011692 calcium ascorbate Substances 0.000 description 5
- 235000010376 calcium ascorbate Nutrition 0.000 description 5
- 239000001825 Polyoxyethene (8) stearate Substances 0.000 description 4
- 230000009471 action Effects 0.000 description 4
- 235000019320 polyoxyethene (8) stearate Nutrition 0.000 description 4
- 239000000256 polyoxyethylene sorbitan monolaurate Substances 0.000 description 4
- 235000010486 polyoxyethylene sorbitan monolaurate Nutrition 0.000 description 4
- 239000000249 polyoxyethylene sorbitan monopalmitate Substances 0.000 description 4
- 235000010483 polyoxyethylene sorbitan monopalmitate Nutrition 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 3
- 239000000648 calcium alginate Substances 0.000 description 3
- 235000010410 calcium alginate Nutrition 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 238000000151 deposition Methods 0.000 description 3
- 239000000737 potassium alginate Substances 0.000 description 3
- 235000010408 potassium alginate Nutrition 0.000 description 3
- 239000000473 propyl gallate Substances 0.000 description 3
- 239000000600 sorbitol Substances 0.000 description 3
- 235000010356 sorbitol Nutrition 0.000 description 3
- 230000007488 abnormal function Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 239000004320 sodium erythorbate Substances 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 239000004268 Sodium erythorbin Substances 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 235000010385 ascorbyl palmitate Nutrition 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001427 coherent effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000001627 detrimental effect Effects 0.000 description 1
- 239000000542 fatty acid esters of ascorbic acid Substances 0.000 description 1
- 230000003278 mimic effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- PMZURENOXWZQFD-UHFFFAOYSA-L sodium sulphate Substances [Na+].[Na+].[O-]S([O-])(=O)=O PMZURENOXWZQFD-UHFFFAOYSA-L 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Description
本発明は例えば超小形回路カード内で行われるデータ処理方法に係わる。
状況によっては、データ処理装置の機能のセキュリティを確保することが必要となる場合がある。特に、(例えば超小形回路カードのような)電子装置が金額を表すデータを含んでおり、従って、所定のプロトコルに従わなければ変更できない金銭分野の場合である。所持者の身分を証明できる電子エレメントも同様であり、この場合にも、偽造や盗用を防止するため、機能のセキュリティを確保しなければならない。
このような電子エレメントの例として、銀行カード、電話用のSIM(英語Subscriber Identity Module-加入者識別モジュールの頭文字)カード、電子パスポート、IBM4758タイプのPCMCIAカードのようなHSM(英語Hardware Security Module-ハードウェアセキュリティモジュールの頭文字)-タイプのセキュリティ・モジュールなどがあるが、これらには限らない。
機能のセキュリティを高めるため、予想される種々の攻撃に対する防衛が試みられる。防御の対象となる主な攻撃のタイプはいわゆる障害発生による攻撃であり、悪意の人物がデータ処理装置を正常な機能から、従って、セキュリティを保障された状態から逸脱させようとする攻撃である。
この種の攻撃をかわすため、現在採用されているデータ処理方法は障害発生による攻撃が原因と考えられる異常を検知するため、方法の正常な進行を検査するステップを設ける。異常が検知されると(即ち、正常な進行が立証されないと)、直ちに異常の処理、いわゆるセキュリティ処理が行われる。このような処理は事実上、攻撃をかわすための対応策、例えば、データ処理装置の以後の機能を一切禁止するための対策である。
異常が存在するままで処理を続行すれば、データ処理装置の機能を、従ってそのセキュリティを低下させることは明らかであるから、異常処理は検知の直後に行われるものと考えられている。
しかし、発明者の所見によれば、このような従来の方法は異常検知の時点に関する情報をアタッカーに与えることになる。実際には、異常検知の瞬間そのものに外部からアクセスすることは困難である。しかし、アタッカーは、例えば、異常処理が外部装置に作用する場合、装置の電力消費(または電磁放射)を観察及び分析することによって異常処理が実施される瞬間にアクセスできると考えられる。従来の方法では、この処理は異常検知の直後に実施されるから、アタッカーは異常検知の瞬間を比較的容易に推測することができる。
従来のシステムにおける異常の検知及びその処理的にアクセスすることによって、アタッカーはデータ処理装置の機能に関する補足的な情報にアクセスできるから、方法のセキュリティにとって明らかに有害である。
この問題を克服してデータ処理方法のセキュリティを高めるため、本発明は方法の正常な進行を示唆する基準を検査するステップと、検査結果がネガティブな場合に行われる処理ステップを含み、処理ステップが非ゼロ時間の中間ステップを介して検査ステップから分離されるデータ処理方法を提案する。
検査結果がポジティブである場合に第1動作が実施され、中間ステップが第1動作と共通の少なくとも1つの第1特性を有する少なくとも1つの第2動作の実施を含む。
従って、方法の機能を知ろうとするアタッカーは正常な機能(検査結果がポジティブな場合)を異常な場合の機能(即ち、検査結果がネガティブな場合)から区別することが困難になる。
第2動作は、例えば、第1動作とは異なる。従って、システムのセキュリティという点で、第2動作が含むリスクは少なく、むしろ皆無である。
検査結果がポジティブである場合に第3動作が実施される場合、処理ステップは第3動作と共通の少なくとも1つの第2特性を有する少なくとも1つの第4動作の実施を含むことができる。
従って、アタッカーは機能モードを識別できない。即ち、異常処理をかわすことができない。
方法が電子装置(10)内で実施される場合、共通の第1または第2特性はそれぞれ第1、第3動作において、及びそれぞれ第2、第4動作によって生ずる装置の、例えば、電力消費または電磁放射である。従って、アタッカーは電子装置の電気的及び/または電磁的挙動によって正常機能モードを異常機能モードから区別することができない。
共通の第1または第2特性がそれぞれ第1、第3動作において、及び第2、第4動作において実行されるインストラクション数であってもよく、この場合、前記動作の持続時間によって機能モードを識別することは不可能である。
共通の第1または第2特性はそれぞれ第1、第3動作によって、及びそれぞれ第2、第4動作によって実行される命令のタイプであってもよく、この場合、電気的及び/または電磁的シグネチャを酷似させることができる。
共通の第1または第2特性はそれぞれ第1、第3動作によって、及びそれぞれ第2、第4動作によって処理されるデータのタイプであってもよく、この場合にもシグネチャを酷似させることができる。
第1、第3動作がそれぞれ1つのメモリの第1ゾーンへのアクセスを含む場合、第2、第4動作がそれぞれ前記メモリの第1ゾーンとは異なる第2ゾーンへのアクセスを含むことができる。実際には異なるコンテキストで行われるにもかかわらず、上記2つのモードにおいてデータ処理がそっくりに見える。
他の可能性として、共通の第1または第2特性は外部装置との通信であり、外部装置としては、例えば、暗号プロセッサ、(例えば、半導体書換え型メモリのような)メモリ、またはユーザ端末が考えられる。このような外部装置との通信はアタッカーによって観察されるから、この共通特性は特にアタッカーを誤らせ易い。
第1動作はセキュリティ保持されたステップ、例えば、暗号化アルゴリズムを含むことができ、これによって障害発生による攻撃から保護される。
処理ステップは、例えば、物理的メモリへのロックデータの書込みを含む。
特に有益な可能性として、方法の進行が正常である限り、ロックデータの書込みは物理的メモリへのデータの書込みと同時に行われる。
1つの実施態様として、データは金額を表す。従って、アタッカーはデータが表す金額に対する操作装置がロックされていることを先験的に見抜くことができない。
例えば、シグネチュアに誤りがあるか、または異常が検知されれば、基準はネガティブである。
攻撃が検知された場合にも、基準はネガティブである。この点において、本発明は特に有益である。
機能エラーが検知された場合にも、基準はネガティブである。機能エラーの場合に行われる処理は稀であるが、特にこのような機能エラーは攻撃されている場合を除いて極めて稀であり、従って攻撃が存在する可能性を示唆するから、システムのセキュリティを高める上で有益である。
考えられる1つの特徴として、中間ステップは方法の実行に際して、例えば、確率的に決定される少なくとも1つの命令を含む。システムの機能をアタッカーが理解することは一段と難しくなる。
1つの実施態様として、超小形回路カードはマイクロプロセッサを含み、方法はこのマイクロプロセッサによって実施される。
本発明は装置の機能の正常性を示唆する基準を検査する手段と、検査結果がネガティブである場合に起動される処理手段と、検査手段の起動を処理手段の起動から非ゼロ時間だけ分離するための分離手段を含むデータ処理装置をも提供する。
1つの実施態様として、検査結果がポジティブである場合に第1動作手段が起動され、分離手段は第1動作手段と共通の少なくとも1つの第1特性を有する。
他の実施態様として、検査結果がポジティブである場合に第2動作手段が起動され、処理手段は第2動作手段と共通の少なくとも1つの第2特性を有する。
この装置は、例えば、超小形回路カードである。
本発明はまた、それ自体オリジナルな態様で、方法の正常な進行を示唆する基準を検査するステップと、検査結果がネガティブな場合に実行される処理ステップを含むデータ処理方法であって、検査結果がポジティブである場合に第1動作が実施され、処理ステップが第1動作と共通の第1特性を有する少なくとも1つの第2動作を含むことを特徴とするデータ処理方法を提供する。
この範囲内において、方法が正常に進行している場合に第2動作が第1動作と同時に行われるように構成することもできる。
この場合、第1動作は、例えば、物理的メモリへのデータ書込みであり、第2動作は、例えば、この物理的メモリへのロックデータの書込みである。
この方法はまた、上記方法に伴う特性及びこれらの特性から得られる利点をも有する。さらにまた、この方法の種々のステップを実行するための手段を含む装置も、方法と同じレベルの発明として提供される。
主要素子を図1に示す超小形回路カード10はランダムアクセスメモリ(または英語Random Access Memoryの頭文字RAM)4と接続する一方、例えば電気的消去再書込み可能な読出し専用メモリ(または英語Electrically Erasable Programable Read Only Memoryの頭文字EEPROM)のような書換え型半導体メモリ6とも接続するマイクロプロセッサ2を含む。書換え型半導体メモリ6に代えてフラッシュメモリを使用することもできる。
図1ではメモリ4、6がそれぞれ別々のバスを介してマイクロプロセッサ2と接続している。但し、共通のバスを介して接続することも可能である。
超小形回路カード10はユーザ端末との通信用インターフェース8をも含み、このインターフェース8はここでは接点の形態で実施されており、その1つは例えばマイクロプロセッサ2との双方向関係を可能にする。これにより、インターフェース8はマイクロプロセッサ2と超小形回路カード10が挿入されるユーザ端末との間の双方向通信を可能にする。
従って、超小形回路カード10がユーザ端末に挿入されると、マイクロプロセッサ2は‐図示しないが‐例えば読出し専用メモリ(または英語Read-Only Memoryの頭文字ROM)または書換え型メモリ6に記憶されていて、コンピュータプログラムを定義する命令セットに従って超小形回路カード10を機能させる方法を実行する。この方法は大ざっぱにはインターフェース8を介してユーザ端末とデータを交換するステップと、このデータを超小形回路カード10内で処理するステップを含み、厳密には、データ処理に際して、書換え型メモリ6に記憶されているデータ及びランダムアクセスメモリ4に一時的に記憶されているデータを利用する。
本発明を実施するこのような方法の例を、図3乃至図5を参照して以下に説明する。
図2は極めて薄い直方体の形状に実施された超小形回路カード10の外観を示す。
上記接点を備える通信用インターフェース8は図2から明らかなように、超小形回路カード10の表面に矩形の形状を呈している。
図3は書換え型メモリ6における読出し方法を示し、この方法は図1に示す超小形回路カード10が、例えば、コンピュータプログラムをマイクロプロセッサ2において実行することによって実施することができる。この方法を本発明の第1実施態様として説明する。
このような方法はデータ処理の際に書換え型メモリ(またはEEPROM)6に書き込まれているデータをマイクロプロセッサ2が利用しなければならない場合に採用される。書換え型メモリ6に書き込まれているデータは、データを容易に操作できるランダムアクセスメモリ4へ転送するため、予め読み出されている。
図3のステップE302に示すように、この方法では書換え型メモリ(またはEEPROM)6における読出しを行わねばならないアドレスADRを方法開始時に受信する。
ステップE304において、この方法ではエラーフラグSが値0に初期化される。
変数が正しく初期化されたら、超小形回路カード利用の安全性に関して通常必要とされるシステムの安全な機能を保障するための検査ステップに進む。
即ち、ステップE306に進んでチェックサムが検査される。当然のことながら、その他の検査も可能であるが、本発明の開示内容をわかり易くするため、図3には示さなかった。チェックサムを検査するステップE306は、書換え型メモリ6に書き込まれているデータがこれらのデータと連携するソム・ドゥ・コントロールチェックサム(英語圏の用語として「チェックサム」と呼称されることが多い)とコヒーレントであるかどうかを検査するステップである。
次いで、ステップE308に進む:チェックサムにエラーがなければ、即ち、チェックサムの検査結果がポジティブなら、正常機能を辿って後述するステップE314に進む。逆に、チェックサムにエラーが検知されたら、即ち、チェックサムの検査結果がネガティブなら、ステップE310に進む。
尚、エラーを伴うチェックサムの存在が超小型回路カード機能の異常な進行を示す場合、種々の原因が考えられる:(例えば書換え型メモリ6の内容のエラーのような)機能エラーの場合もあり得るが、障害発生による攻撃の形跡である場合も考えられる。
ステップ310において、1つの異常が検知されたことを指示するため、エラーフラグが値1にセットされる。
次いでステップE312に進み、方法の開始時点において受信された読出しアドレスADR(上記ステップE302を参照)が、書換え型メモリ6中に位置する「見掛けゾーン」のアドレスに置き換えられる。見掛けゾーンはステップE302において受信されたアドレスとは先験的に異なる記憶域であり;例えば、正常機能であれば(即ち、超小形回路カードが正常に、異常無しに機能している時には)如何なる読出しも行われるはずのないアドレスである。
例えば、このような見掛けゾーンは確率的に求められたデータ及び/またはステップE302において受信されたアドレスにおいて読み出す筈だったデータと同じ構造のデータを含む可能性がある。
尚、上記ステップE312はステップE308において検知された異常を処理するステップではない:例えば、検知された異常に関するコードの転送でもなく、この異常に関するメッセージの表示でもなく、異常が障害発生による攻撃に起因すると考えられる場合の対応策でもない。
(超小形回路カードの機能に異常な進行がある場合、即ち、ステップE306における正常機能の検査結果がネガティブである場合に限ってステップE310のように実施される)ステップE312に続いてステップE314に進むが、ステップE314は上記したように、(ステップE308に関連して述べたようにチェックサムの検査結果がポジティブの場合)超小形回路カードの機能の正常な進行の一部を形成する。
ステップE314は書換え型メモリ6のデータをランダムアクセスメモリ4へ転送し、従って、図3に示す方法のうち、初期化及び検査後では最も重要なステップである。
正確には、ステップE314では、上記可変ADRによって特定されたアドレスにおいて書換え型メモリ6からの読出しが行われ、ランダムアクセスメモリ4から読出したデータが、データ操作を主な機能とするバッファメモリと呼称されるゾーンに書き込まれる。
尚、先行のステップにおいてチェックサムの検査結果がポジティブだった場合、可変ADRは方法開始時に受信された書換え型メモリ6におけるアドレス、即ち、本来読出しの対象となるべきデータを指す。逆に、チェックサムに誤りがあることを検知された場合(即ち、先行のステップにおける検査結果がネガティブであった場合)、可変ADRはステップE312において設定された見掛けゾーンを指し、その結果、ステップE314では、実際にはこの見掛けゾーンのデータをランダムアクセスメモリ4におけるバッファメモリゾーンへ転送されることになり、ステップE302において受信されたアドレスが必要とする読出しは実施されない。
このように、ステップE306における検査結果がネガティブであると云うことで機能の異常が検知されると、セキュリティ計画上比較的機密性の高いデータが記憶されている場合が多い書換え型メモリ6中の、正常機能時に想定されるアドレスへのアクセスは行われない。このようにして、検知された異常の原因が障害発生による攻撃である場合、機密性の高いデータがアタッカーによって盗まれるのを防止する。
また、ステップE314は機能の異常が検知された後、(異なるデータを対象としながらも)正常機能で進行するから、アタッカーにとっては、例えば電流を測定することによって正常機能のアウトプットを検知することは殆ど不可能である。
ステップE314の後、方法はステップE316に進み、エラーフラグSがテストされる。
もしエラーフラグSの値がステップE310の結果に相当する1ならセット(即ち、ステップE306においてチェックサム検査結果がネガティブであることから異常が検知された場合)、ステップE320に進み、例えば、書換え型メモリ6にロック(または施錠)データを書き込むことによって既に検知された異常が処理される。
書換え型メモリ6へのロックの書込みは超小形回路カード10に今後の使用を完全に阻止するようなデータを書き込むことである。例えば、超小形回路カード10が今後本来のユーザ以外のユーザの端末に挿入されると、超小形回路カード10のマイクロプロセッサ2が書換え型メモリ6中のロックデータの存在を検知し、如何なる処理も、ユーザ端末との情報交換をも行わない。
書換え型メモリ6へのロック書込みは障害発生による攻撃に対して特に有効な対策である。従って、検知された異常に対するこの種の処理はこの異常が障害発生に起因する場合、または如何なる異常も直ちに超小形回路カードのロックにつながるようなセキュリティ・レベルが要求される場合に特に有益である。
書換え型メモリ6から例えばパスワードのような極秘データを消去すると云う対策も可能である。
あるいは、異常を処理するステップとして、(ランダムアクセスメモリ4または書換え型メモリ6に記憶されていて)図3に示す方法の過程で検知された異常を表すフラグをセットしてもよい。この解決法は超小形回路カードのロックには直ちにつながらないが、機能に異常が存在することの形跡を保存することにより、遭遇した問題を分析し、(例えば、他の要素が障害発生による攻撃であるとの仮説を裏付けるなら)分析に続いてカードをロックすることを可能にする。
上記ステップE316において、エラーフラグSが値1でない(すなわち、ステップE306の検査結果がポジティブであった)ことを示唆するなら、方法は正常機能に従ってステップE318に進み、上記ランダムアクセスメモリ4におけるバッファメモリゾーンのアドレスが発信されてこの方法が完了する。
例えば、この方法が規格ISO 7816に規定されているようなルーチンRead Recordなら、以後のステップにおいてバッファメモリゾーンの内容が発信される。
図4は本発明の第2実施態様に従って行われる書換え型メモリ6からの読出し方法を示す。
この方法は、例えば、コンピュータプログラムの命令をマイクロプロセッサ2によって実行することで実施される。
図3に示した方法と同様に、開始時にステップE402において、書き換え型メモリ6中から読み出さねばならないデータのアドレスADRが受信される。次いでステップE404に進み、読み出すべきファイルのタイプが検査される。
ステップE404では、例えば、アドレスADRによって指定されるファイルの頭書が書換え型メモリ6から読み出され、この頭書のデータがこの方法を実施することによって読み出すべきタイプを指定するデータと一致するかどうかが検査される。
頭書に指定されているファイルのタイプが読み出すべきファイルのタイプと一致しなければ、ステップE406において、方法の正常な進行から逸れて後述するステップE430に進む。これに反してファイルのタイプが適正であれば、正常機能としてステップE406からステップE408に進む。
ステップE408において、ファイルの頭書に規定されている必要なアクセス権がユーザによって提示されたものと比較された上で、書換え型メモリ6からの読出しが許可されるかどうかが検査され、これらの情報にはランダムアクセスメモリ4においてアクセス可能である。
ランダムアクセスメモリから読出されるデータに照らして書き換え型メモリ6からの読出しが許可されなければ、このメモリ6へのアクセス可否の検査はネガティブであり、後述するステップE432に進む。
逆に、書換え型メモリ6へのアクセスが許可されることがステップE410において判定されると、ステップE412に進み、超小形回路カードの機能の正常な進行を追跡する。
このように、ステップE404からステップE410までは超小形回路カードの正常機能の検査を行う。ここに例示する検査以外の検査も実施可能であることは云うまでもない。
正常機能に関する種々の検査の結果がポジティブであった場合、上記ステップE412では書き換え型メモリ6中のアドレスADRに記憶されているデータが読み出され、これがランダムアクセスメモリ4に記憶され、後刻、マイクロプロセッサ2によるデータ処理の際にこれを利用できるようにする。
従って、このステップは書換え型メモリ6からの反復読出しのためのアクセス及びランダムアクセス4への反復書込みのためのアクセスを可能にする。
(書換え型メモリ6からの一定のオクテット数の読出しによって、または、例えば、方法開始時にステップE402において受信された読み出すべき正確なオクテット数の読出しによって)書換え型メモリ6からランダムアクセスメモリ4へのデータ転送が行われたら、読み出されたデータの正確さを検査するステップE414に進む。この検査のため、例えば、書換え型メモリ6から改めてデータが読み出され、このデータが先にステップE412においてランダムアクセスメモリ4に記憶された対応のデータと比較される。
比較の際にエラーが検知されたら、ステップE416から後述するステップE434へ進む。
これに反して、データがいずれも正しく読み出されたら(即ち、書換え型メモリ6からの2回目の読出しの結果がステップE412において読み出されたデータと全く同じデータであれば)、ステップE416は下記ステップE418による正常機能につながる。
ステップE418では、読み出されたデータのランダムアクセスにおける記憶アドレスが、図4にステップE420によって簡略に示す正常機能のために利用できるように書換え型メモリ6に戻される。規格ISO 7816に規定されている指令Read Recordである場合、このステップE420は例えば読み出されたデータを発信するステップである。
ステップE406において誤ったタイプのファイルであることが検知された場合、先にステップE430において示したように、ファイルのタイプに起因するエラーであることを示すようにエラー状態がセットされる。
ステップE430に続くステップE450において、ランダムアクセスメモリ4の見掛けゾーンが読み出される。見掛けゾーンは、例えば、他に利用目的を持たない専用のゾーンであり、例えば、ステップE408で述べた書換え型メモリ6からの読出し許可に関するアクセス権とは異なる専用のデータを含んでいる。
次いでステップE452において、ステップE450において読み出されたデータ(即ち、見掛けゾーンから読み出された、従って、「見掛けデータ」と呼称することができるデータ)が値0と比較される。
尚、ステップE450及びステップE452はカードの機能において如何なる作用をも果さない。即ち、これらのステップにおいて処理されたデータまたは比較結果は方法の他のステップに対して全く影響を及ぼさない。
但し、超小形回路カードの電流消費を測定するアタッカーのような外部の観察者にとって、これら2つのステップの実施は先に述べた正常機能のステップE408において実施されるオペレーションと変りはない。事実、ランダムアクセスメモリからのデータ読出し及びその比較が行われるステップE408及びステップE410のオペレーションはこれと同様のステップE450及びステップE452において実施されるランダムアクセスメモリからの読出し及び値0との比較のオペレーションと似たシグネチャを有する。
従って、方法のこの段階で、アタッカーはステップE406において異常が検知されたことを外部からの観察によって知ることは不可能である。
ステップE452には後述するステップE454が続く。
ファイル・タイプのエラー検知に関して述べたのと同じアイデアで、書き換え型メモリへのアクセス阻止の場合(ステップE408及びステップE410)に見られたように、ステップE432において、エラーが書換え型メモリ6からの読出し阻止に起因することを示すようにエラー状態Eがセットされる。
ステップE432も上記ステップE454に続き、ステップE454の内容は下記の通りである。
即ち、ステップE454において、書換え型メモリ6の見掛けゾーンからの読出し動作と、ランダムアクセスメモリ4の見掛けゾーンへの書込み動作とが行われる。
先に述べたように、メモリ4,6における見掛けゾーンとはこれらのメモリ中の、正常機能時に特別な作用を持たないデータが書き込まれたゾーンである。但し、これらの見掛けゾーンにおける読出しまたは書込みにアクセスすることによって、方法の進行を外部から観察するアタッカーは正常機能時に実施されるステップ、例えば、ステップE412に似せることができる。しかし、これらのステップは方法の他のステップにおいて利用されるデータまたはそのセキュリティに影響を及ぼすことがない。
ステップE454に続くステップE456では、ランダムアクセスメモリ4中の見掛けゾーンだけでなく書換え型メモリ6中の見掛けゾーンからの読出しが行われる。先に述べたように、読出しに対するこのアクセスはプログラムの正常機能において如何なる機能的役割をも果さない(即ち、見掛けゾーンから読み出されたデータは方法の他のステップにおいて利用されることがない)。しかし、(例えば、マイクロプロセッサまたはメモリ4,6の電力消費の)観察によって方法の内部機能を知ろうとするアタッカーにとっては、ステップE454及びステップE456によって発生するそれぞれのシグネチャは正常機能時におけるステップE412及びステップE414によって発生するそれぞれのシグネチャと似ている。
従って、方法のこの段階では、超小形回路カードの機能を外部から観察することによって、方法が正常機能のステップE412及びステップE414の実施なのか、機能異常(ファイル・タイプの誤りに起因する異常または書換え型メモリ6へのアクセス阻止による正常機能の終了)を検知した後のステップE454及びステップE456の実施なのかをアタッカーが判断すること不可能である。
ステップE450及びステップE452と同様に、ステップE454及びステップE456は検知された異常を処理するステップではない。即ち、これらのステップは見掛けデータに対して作用するステップであり、機能エラーの修復を目的とするものでもなく、障害発生による攻撃に起因する異常である場合の対応策を講ずることを目的とするものでもないからである。
ステップE456には後述するステップE458が続く。
上述したようにステップE412において読み出されたデータの正確性をステップE414が検査した結果がネガティブであれば、ステップE416に続くステップE434において、検知されたエラーが書換え型メモリ6からの読出しの際のエラーに起因することを指示するようにエラー状態Eがセットされる。
ステップE434には既に言及した下記ステップE458に続く。
ステップE458において、先行ステップの1つ(即ち、ステップE430,E432及びE434のうちの1つにおいて検知されたエラー状態が発信される。このエラー・コードの発信は超小形回路カード内で実行される他の方法(または方法の他のステップ)のために行われる可能性がある。例えば、もし図4に示す方法が超小形回路カードの機能運用の主プログラムが書換え型メモリ6からの読出しを要求する場合に実行されるサブプログラムを表すなら、ステップE458において、エラー状態値が主プログラムに戻されることになる。
ステップE458におけるエラー状態発信がインターフェース8を介してユーザー端末に向けられる場合も考えられる。
従って、図4に示す方法は2つの主要な枝から成る:
‐方法の正常な進行に相当する第1の枝(ステップE402乃至ステップE420);
‐少なくとも一部が異常の検知後に実施されるステップから成る第2の枝(ステップE450乃至ステップE458)。
‐方法の正常な進行に相当する第1の枝(ステップE402乃至ステップE420);
‐少なくとも一部が異常の検知後に実施されるステップから成る第2の枝(ステップE450乃至ステップE458)。
以上の説明から明らかなように、異常検知の際に、第1の枝の重要な部分に似せてこれに対応する第2の枝のステップが実施される。このため、第2の枝に含まれる対応のステップが第1の枝に含まれる対応のステップと同じタイプのインストラクションを利用し、場合によっては、第1の枝の対応ステップにおいて利用されるのと同じ装置と交信することによって、アタッカーを想定して、例えば、電力消費または電磁放射の点で同じシグネチャを発生させる。
図5は本発明の第3実施態様として、(英語ではpurseと呼称されることが多い)電子財布(英語purse)タイプの超小形回路カード内で実行される方法を示す。
この方法は、例えば、超小形回路カードのマイクロプロセッサ2において命令から成るプログラムを実行することによって実施される。
図5は電子財布に入金する、即ち、電子的財布の中の金額を表す超小形回路カードに記憶されているデータを、この金額を増やす方向に変化させる方法の主要なステップを示す。
この方法はステップE502で始まり、ステップE502において超小形回路カード10のマイクロプロセッサ2が(インターフェース8を介して)ユーザから入金指令コードC、入金額M及びシグネチャSを受信する。
後述するように、シグネチャSはユーザがこの入金を行うために付与された許可証を安心して有効に利用することを可能にする;事実、このような配慮がなければ、誰でも電子財布の中の金額の増額を指令できることになり、到底受け入れることができない。
正常に機能する場合の電子財布への入金方法のステップを以下に説明する。
正常機能時にステップE502に続くステップE504において、マイクロプロセッサは、キーKの記憶アドレスを特定し、このキーKを書換え型メモリ6から読み出すことを指令する。書換え型メモリ6中に記憶されているキーKは機密であり、外部からはアクセスできない。
次いで、マイクロプロセッサ2はステップE506に進み、書換え型メモリ6から読み出された機密のキーKと指令コードCを(図1には示されていない)暗号プロセッサへ転送する。暗号プロセッサは暗号法の分野では公知のアルゴリズム、例えば、アルゴリズムDESに従って、受信されたデータ(機密のキーK、指令コードC)に基づいて暗号計算を行う。正確には、計算されたシグネチャS1を求めるため、機密のキーKを利用して指令コードCにアルゴリズムが適用される。
次いで、暗号プロセッサは計算されたシグネチャS1をマイクロプロセッサ2に返送する(ステップE508)。
方法の実行を指令するユーザが入金の実施を正式に許可されている場合、このユーザは機密のキーKを知っているから、シグネチャS1を計算するために実施された計算と同じ方法でシグネチャSを求めることができた。
ステップEにおいて、超小形回路カード中に記憶されている機密のキーKに基づいて、ユーザから受信されたシグネチャSが計算されたシグネチャS1と比較される理由はここにあり、この比較によって入金の書込みが許可されているかどうかを判定することができる。
ステップE510におけるSとS1との比較結果がポジティブなら、ステップE512に進み、書換え型メモリ6に入金額Mまたはこの入金の結果である電子財布内の金額が書き込まれる。
逆に、ユーザから受信されたシグネチャSが計算されたシグネチャS1と一致しないことがステップE510において判断されると、電子財布の入金は許可されず、ステップE514に進み、マイクロプロセッサ2がユーザ端末に対してエラー状態を発信する。
電子財布への入金方法の主要なステップを以上に述べた。当然のことながら、この方法の機能がセキュリティを確保できるように、一方では機能エラーの検知を、他方では、例えば、障害発生による攻撃の検知を可能にする方法の正常進行検査ステップを主要ステップ間に挿入することによってこれらの主要ステップを分離する。
攻撃を検知する場合、マイクロプロセッサ2は正常機能のステップとは異なるステップを実行する。場合によっては下記のような事態に順応できる態様として、この方法は(攻撃の検知に代えて)機能エラーを検知する際にも上記異なるステップ(または正常機能とは異なる別のステップ)を実行することができる。
図5に点線で示すように、データ受信ステップE502と書換え型メモリ6からの機密キーK読出しステップE504との間で攻撃が検知されると、ステップE520に進み、書換え型メモリ6中のアドレスK'に存在するデータが読み出される。このアドレスK'は正常機能時にステップE504において読み出される機密キーKが記憶されているゾーンに対応する見掛けゾーンである。
従って、もしアタッカーが障害を発生させて攻撃を仕掛け、これをマイクロプロセッサ2が検知すると、方法はステップE520に進むが、このステップにおける電気的または電磁的シグナチャは(アタッカーから観察して)正常機能時に実行されるステップE504におけるシグネチャとそっくりである。従って、アタッカーは攻撃が検知されなかったし、マイクロプロセッサ2が書換え型メモリ6から機密キーKを有効に読み出しているものと考える。
ステップE520からステップE522に進む。ステップE504とステップE506の間に存在する正常進行検査ステップによって攻撃が検知された場合にもこのステップE522が実行される。
ステップE522において、見掛けデータを構成するデータC'及びK'が(ステップE506及びステップE508に関連して上述した)暗号プロセッサへ送信される。即ち、ステップE522は特別な機能的役割を持たないが、超小形回路カード10による電力消費または電磁放射を測定するという手段だけでこのカードの機能を観察するアタッカーは、ステップE522をステップE506と混同することになる。
ステップE522の前にステップE520が実行された場合、見掛けデータK'はステップE520において読み出されたデータであればよい。あるいは、所定のデータ、好ましくは超小形回路カード10の機能のセキュリティとは無関係なデータであればよい。
上述したように、ステップE522のシグネチャは正常機能において実行されたステップE506のシグネチャとそっくりであるから、ステップE522が実行される時点で、アタッカーは攻撃が既に検知されていることを知らない。
ステップE522に後述するステップE524が続く。
既に述べたように、ステップE506とステップE508を、図5に点線で示すように、攻撃検知を目的とする正常機能検査ステップを挟んで分離することができる。攻撃検知の場合、方法はそのままステップE524に進む。
ステップE524では、暗号プロセッサによって計算されたシグネチャが受信される。ステップE520及びステップE522に関連して既に述べたように、ステップE524は正常機能ステップ(ここではステップE508)に似せることによって、攻撃が既に検知されていることをアタッカーに気付かせないことができる。
先行してステップE522が実行された場合、シグネチャS1'は、例えば、ステップE522において転送されたデータC'及びK'に基づいて暗号プロセッサが計算したシグネチャである。この場合、計算されたシグネチャS1'は見掛けデータに基づくものであるから機能的な役割を持たない。
ステップE506とステップE508の間で攻撃が検知された後、方法がステップE524に達すると、ステップE524は、例えば、ステップE506において発信されたデータC及びKに基づいて暗号プロセッサが計算したシグネチャの一部を受信するに過ぎない。シグネチャS1'の残り部分は、例えば、意図的に特定の値にセットされ、その結果、得られた結果(シグネチャS1')はシグネチャS1と一致せず、従って超小形回路カードの機能のセキュリティが保持される。
ステップE524に続くステップE526において、例えば、得られた値S1'をそれ自体と比較される。既に述べたように、このステップには(上記比較の結果が予め判明しているから)機能的な役割はないが、超小形回路カード10の電気的及び/または電磁的挙動を観察するアタッカーを念頭においてステップE510の実施に似せることができる。事実、ステップE526とステップE510は同じインストラクションの実行であるから、それぞれの電気的(及び電磁的)シグネチャは極めて似ている。
従って、正常機能のステップE502とステップE508の間で攻撃が検知されたら、(見掛けステップE520からE526に迂回することによって)正常機能が中断されるが、この変化がアタッカーによって検知されることはない。
ステップE526に続くステップE528において、書換え型メモリ6にロック(または施錠)データが書き込まれる。
図3に示す第1実施態様に関連して既に述べたように、書換え型メモリ6へのロック・データ書込みによって、超小形回路カード10のその後の使用は一切防止される。このように、攻撃の検知に呼応して極めて厳しく且つ有効な対応が必要である。
尚、ステップE528は正常機能が書換え型メモリ6における金額書込みステップE512を実行するのと同時に実行される。従って、アタッカーは一見してステップE528を正常機能のステップE512と混同する。特に、ステップE512とステップE528はいずれも、マイクロプロセッサ2から書換え型メモリ6への通信を実行するという同じタイプのインストラクションに対応するから、同じ電気的及び/または電磁的シグネチャを有するステップE512と混同するのである。
図5から明らかなように、ステップE512及びこれに先行する正常機能ステップはそれぞれ、攻撃検知の際に実行される類似シグネチャ・ステップを有する。とりわけ、本発明の方法の実施における重要なステップである書換え型メモリ6への金額書込みステップE512は本発明の方法に対する攻撃が検知された場合のまさに対抗策であるロック・データ書込みステップE528と連携関係にある。
従って、正常機能に似せるステップE520乃至ステップE526が存在するためにアタッカーが自らの攻撃が検知されていることを知ることができないだけでなく、そっくりの電気的及び/または電磁的シグネチャを有する正常機能ステップと混同させるようなタイミングで対抗策(ここではロック・データの書込み)が実施される。
以上に述べた例は飽くまでも本発明の実施に当たって採用可能な態様の一部に過ぎない。
Claims (28)
- -方法の正常な進行を示唆する基準を検査するステップと;
-検査結果がネガティブな場合に実行される処理ステップ(E528)
を含むデータ処理方法であって、
検査結果がポジティブである場合に物理的メモリ(6)にデータを書込む第1動作(E512)が実施され、処理ステップが物理的メモリ(6)にロックデータを書込む少なくとも1つの第2動作(E528)の実施を含み、
ロックデータの書込み(E528)は方法の正常な進行の場合における物理的メモリ(6)へのデータの書込み(E512)と同一のタイミングで実施されることを特徴とするデータ処理方法。 - -方法の正常な進行を示唆する基準を検査するステップ(E308;E406,E410,E416)と;
-検査結果がネガティブな場合に行われる処理ステップ(E320;E458;E528)
を含み、
-処理ステップ(E320;E458;E528)がゼロでない時間の中間ステップ(E312,E314;E450,E452,E454,E456;E520,E522,E524,E526)により検査ステップ(E308;E406,E410,E416)から離隔されるデータ処理方法であって、
検査結果がポジティブである場合に第1動作(E314;E408,E412,E414;E504,E506,E508,E510)が実施され、中間ステップが第1動作と共通の少なくとも1つの第1特性を有する少なくとも1つの第2動作(E314;E450,E454,E456;E520,E522,E524,E528)の実施を含み、処理ステップ(E320;E528)が物理的メモリ(6)へのロックデータの書込みを含み、
ロックデータの書込み(E528)は方法の進行が正常である場合における物理的メモリ(6)へのデータの書込み(E512)と同一のタイミングで行われることを特徴とするデータ処理方法。 - 第2動作が第1動作と異なる請求項2に記載の方法。
- 検査結果がポジティブである場合、第3動作(E418;E512)が実施され、処理ステップが第3動作(E418;E512)と共通の少なくとも1つの第2特性を有する少なくとも1つの第4動作(E458;E528)の実施を含む請求項2に記載の方法。
- 方法が電子装置(10)内で実施され、共通の第1または第2特性が第1動作において、及び第2動作によって生ずる装置の電力消費または電磁放射である請求項2に記載の方法。
- 共通の第1または第2特性が第1動作において、及び第2動作において実行される命令数である請求項2までのいずれか1項に記載の方法。
- 共通の第1または第2特性が第1動作によって、及び第2動作によって実行される命令のタイプである請求項2に記載の方法。
- 共通の第1または第2特性が第1動作によって、及び第2動作によって処理されるデータのタイプである請求項2に記載の方法。
- 第1動作が1つのメモリの第1ゾーンへのアクセスを含み、第2動作が前記メモリの第1ゾーンとは異なる第2ゾーンへのアクセスを含む請求項2に記載の方法。
- 共通の第1または第2特性が外部装置との通信である請求項2に記載の方法。
- 外部装置が暗号プロセッサである請求項10に記載の方法。
- 外部装置がメモリ(2,6)である請求項10に記載の方法。
- 外部装置が半導体書換え型メモリ(6)である請求項10に記載の方法。
- 外部装置がユーザ端末である請求項10に記載の方法。
- 第1動作がセキュリティ保護されたステップを含む請求項2に記載の方法。
- セキュリティ保護されたステップが暗号化アルゴリズムを含む請求項15に記載の方法。
- データが金額を表す請求項1または2に記載の方法。
- シグネチュアに誤りがあれば基準がネガティブである請求項1から請求項17までのいずれか1項に記載の方法。
- 異常が検知されれば基準がネガティブである請求項1から請求項18までのいずれか1項に記載の方法。
- 攻撃が検知されれば基準がネガティブである請求項1から請求項19までのいずれか1項に記載の方法。
- 機能エラーが検知されれば基準がネガティブである請求項1から請求項20までのいずれか1項に記載の方法。
- 前記中間ステップが方法の実行に際して決定される少なくとも1つの命令を含む請求項2から請求項21までのいずれか1項に記載の方法。
- 超小形回路カード(10)のマイクロプロセッサ(2)によって実施される請求項1から請求項22までのいずれか1項に記載の方法。
- -装置の機能の正常性を示唆する基準を検査する手段と;
-検査結果がネガティブである場合に起動される処理手段と;
-検査手段の動作を処理手段の動作からゼロでない時間だけ離隔させるための離隔手段
を含むデータ処理装置であって、
検査結果がポジティブである場合に第1動作手段が用いられ、離隔手段が第1動作手段と共通の少なくとも1つの第1特性を有し、
処理手段が物理的メモリへロックデータを物理的メモリへ書込む手段を含み、
ロックデータの書込みは検査結果がポジティブである場合における物理的メモリへのデータの書込みと同一のタイミングで行なわれることを特徴とするデータ処理装置。 - 検査結果がポジティブである場合に第2動作手段が用いられ、処理手段が第2動作手段と共通の少なくとも1つの第2特性を有する請求項24に記載の装置。
- -装置の機能の正常性を示唆する基準を検査する手段と;
-検査結果がネガティブである場合に起動される処理手段
を含むデータ処理装置であって、
検査結果がポジティブである場合に第1動作手段が起動され、処理手段が第1動作手段と共通の少なくとも1つの第1特性を有する
事を特徴とし、
処理手段が物理的メモリへロックデータを物理的メモリへ書込む手段を含み、
ロックデータの書込みは検査結果がポジティブである場合における物理的メモリへのデータの書込みと同一のタイミングで行なわれるデータ処理装置。 - 装置が超小形回路カードである請求項24から請求項26までのいずれか1項に記載の装置。
- 前記第1ゾーンは機密キーを含む請求項9記載の方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0408928A FR2874440B1 (fr) | 2004-08-17 | 2004-08-17 | Procede et dispositif de traitement de donnees |
| FR0408928 | 2004-08-17 | ||
| PCT/FR2005/002083 WO2006021686A2 (fr) | 2004-08-17 | 2005-08-12 | Procédé et dispositif de traitement de données |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011001428A Division JP5254372B2 (ja) | 2004-08-17 | 2011-01-06 | データ処理の方法及び装置 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2008510242A JP2008510242A (ja) | 2008-04-03 |
| JP2008510242A5 JP2008510242A5 (ja) | 2008-05-15 |
| JP4790717B2 true JP4790717B2 (ja) | 2011-10-12 |
Family
ID=34948280
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007526510A Active JP4790717B2 (ja) | 2004-08-17 | 2005-08-12 | データ処理の方法及び装置 |
| JP2011001428A Active JP5254372B2 (ja) | 2004-08-17 | 2011-01-06 | データ処理の方法及び装置 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011001428A Active JP5254372B2 (ja) | 2004-08-17 | 2011-01-06 | データ処理の方法及び装置 |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US20070220603A1 (ja) |
| EP (2) | EP2309409B1 (ja) |
| JP (2) | JP4790717B2 (ja) |
| CA (1) | CA2575143C (ja) |
| ES (2) | ES2543210T3 (ja) |
| FR (1) | FR2874440B1 (ja) |
| PL (2) | PL2309409T3 (ja) |
| WO (1) | WO2006021686A2 (ja) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7516902B2 (en) * | 2004-11-19 | 2009-04-14 | Proton World International N.V. | Protection of a microcontroller |
| US8479288B2 (en) * | 2006-07-21 | 2013-07-02 | Research In Motion Limited | Method and system for providing a honeypot mode for an electronic device |
| JP4882006B2 (ja) * | 2007-01-05 | 2012-02-22 | プロトン ワールド インターナショナル エヌ.ヴィ. | 電子回路のリソースへのアクセス制限 |
| CN101606162A (zh) * | 2007-01-05 | 2009-12-16 | 质子世界国际公司 | 电子电路的临时锁定 |
| US8566931B2 (en) * | 2007-01-05 | 2013-10-22 | Proton World International N.V. | Protection of information contained in an electronic circuit |
| FR2924262B1 (fr) * | 2007-11-26 | 2009-12-11 | Sagem Securite | Procede de masquage de passage en fin de vie d'un dispositif electronique et dispositif comportant un module de controle correspondant |
| FR2935823B1 (fr) * | 2008-09-11 | 2010-10-01 | Oberthur Technologies | Procede et dispositif de protection d'un microcircuit contre les attaques. |
| JP2016517597A (ja) * | 2013-03-15 | 2016-06-16 | パワー フィンガープリンティング インコーポレイテッド | コンピュータベースのシステムに電力指紋付けシステムを使用して保全性評価を強化するシステム、方法、及び装置 |
| FR3045184B1 (fr) | 2015-12-15 | 2018-07-20 | Idemia France | Procede d’ecriture dans une memoire non-volatile d’une entite electronique et entite electronique associee |
| FR3075430B1 (fr) * | 2017-12-20 | 2020-08-07 | Oberthur Technologies | Procede de traitement de donnees et dispositif electronique associe |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030028784A1 (en) * | 2001-08-03 | 2003-02-06 | Nec Corporation | User authentication method and user authentication device |
| JP2003204322A (ja) * | 2001-10-15 | 2003-07-18 | Mitsubishi Electric Corp | 暗号通信装置 |
| JP2003228521A (ja) * | 2001-11-28 | 2003-08-15 | Stmicroelectronics Sa | 集積回路の動作のブロック |
Family Cites Families (73)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS60144851A (ja) * | 1983-12-30 | 1985-07-31 | Fujitsu Ltd | チヤネル制御装置 |
| US5483518A (en) * | 1992-06-17 | 1996-01-09 | Texas Instruments Incorporated | Addressable shadow port and protocol for serial bus networks |
| US6400996B1 (en) * | 1999-02-01 | 2002-06-04 | Steven M. Hoffberg | Adaptive pattern recognition based control system and method |
| US5274817A (en) * | 1991-12-23 | 1993-12-28 | Caterpillar Inc. | Method for executing subroutine calls |
| US7057937B1 (en) * | 1992-03-17 | 2006-06-06 | Renesas Technology Corp. | Data processing apparatus having a flash memory built-in which is rewritable by use of external device |
| JP2746801B2 (ja) * | 1992-08-27 | 1998-05-06 | 三菱電機株式会社 | Icカード及びicカードの暗証番号照合方法 |
| US5434919A (en) * | 1994-01-11 | 1995-07-18 | Chaum; David | Compact endorsement signature systems |
| US5835594A (en) * | 1996-02-09 | 1998-11-10 | Intel Corporation | Methods and apparatus for preventing unauthorized write access to a protected non-volatile storage |
| JP3489708B2 (ja) * | 1996-10-23 | 2004-01-26 | シャープ株式会社 | 不揮発性半導体記憶装置 |
| US7249108B1 (en) * | 1997-07-15 | 2007-07-24 | Silverbrook Research Pty Ltd | Validation protocol and system |
| US7743262B2 (en) * | 1997-07-15 | 2010-06-22 | Silverbrook Research Pty Ltd | Integrated circuit incorporating protection from power supply attacks |
| FR2773250B1 (fr) | 1997-12-31 | 2000-03-10 | Grp Des Cartes Bancaires | Procede et dispositif de traitement de codes confidentiels |
| US6141771A (en) * | 1998-02-06 | 2000-10-31 | International Business Machines Corporation | Method and system for providing a trusted machine state |
| FR2774793B1 (fr) * | 1998-02-12 | 2002-08-30 | Bull Cp8 | Procede pour produire une image au moyen d'un objet portatif, objet portatif et dispositif pour mettre en oeuvre le procede |
| US6223290B1 (en) * | 1998-05-07 | 2001-04-24 | Intel Corporation | Method and apparatus for preventing the fraudulent use of a cellular telephone |
| US6738749B1 (en) * | 1998-09-09 | 2004-05-18 | Ncr Corporation | Methods and apparatus for creating and storing secure customer receipts on smart cards |
| US7599491B2 (en) * | 1999-01-11 | 2009-10-06 | Certicom Corp. | Method for strengthening the implementation of ECDSA against power analysis |
| CN1304977C (zh) * | 1999-07-06 | 2007-03-14 | 索尼株式会社 | 数据提供系统、装置及其方法 |
| US7430670B1 (en) * | 1999-07-29 | 2008-09-30 | Intertrust Technologies Corp. | Software self-defense systems and methods |
| US7036739B1 (en) * | 1999-10-23 | 2006-05-02 | Ultracard, Inc. | Data storage device apparatus and method for using same |
| JP4180757B2 (ja) * | 1999-11-05 | 2008-11-12 | 株式会社東芝 | シミュレーション装置 |
| JP2001216616A (ja) * | 2000-02-02 | 2001-08-10 | Fujitsu Ltd | 磁気記録装置、および磁気記録用ヘッドの異常検出方法 |
| CA2298990A1 (en) * | 2000-02-18 | 2001-08-18 | Cloakware Corporation | Method and system for resistance to power analysis |
| US20040141439A1 (en) * | 2000-03-28 | 2004-07-22 | Takayuki Suzuki | Decoder |
| JP2001306400A (ja) * | 2000-04-21 | 2001-11-02 | Sharp Corp | 半導体記憶装置、その制御装置、および電子機器 |
| DE50014462D1 (de) * | 2000-05-22 | 2007-08-16 | Infineon Technologies Ag | Sicherheits-Datenverarbeitungseinheit sowie dazugehöriges Verfahren |
| JP4028798B2 (ja) * | 2000-06-02 | 2007-12-26 | 株式会社ルネサステクノロジ | 不揮発性半導体記憶装置および情報配信システムにおける情報管理方法 |
| JP4647748B2 (ja) * | 2000-06-12 | 2011-03-09 | キヤノン株式会社 | 暗号化装置及び方法、ならびに通信方法及びシステム |
| US6745370B1 (en) * | 2000-07-14 | 2004-06-01 | Heuristics Physics Laboratories, Inc. | Method for selecting an optimal level of redundancy in the design of memories |
| JP4366845B2 (ja) * | 2000-07-24 | 2009-11-18 | ソニー株式会社 | データ処理装置およびデータ処理方法、並びにプログラム提供媒体 |
| JP4608749B2 (ja) * | 2000-07-24 | 2011-01-12 | ソニー株式会社 | データ処理装置、データ処理方法、およびライセンスシステム、並びにプログラム提供媒体 |
| US6928607B2 (en) * | 2000-10-19 | 2005-08-09 | Oracle International Corporation | Data integrity verification mechanism |
| US7032047B2 (en) * | 2001-03-12 | 2006-04-18 | Motorola, Inc. | Method of regulating usage and/or concession eligibility via distributed list management in a smart card system |
| JP2002278839A (ja) * | 2001-03-15 | 2002-09-27 | Sony Corp | データアクセス管理システム、メモリ搭載デバイス、およびデータアクセス管理方法、並びにプログラム記憶媒体 |
| US7987510B2 (en) * | 2001-03-28 | 2011-07-26 | Rovi Solutions Corporation | Self-protecting digital content |
| US7349884B1 (en) * | 2001-03-29 | 2008-03-25 | Gsc Enterprises, Inc. | Method and apparatus for electronic commerce services at a point of sale |
| FR2822988B1 (fr) * | 2001-04-02 | 2003-08-15 | Oberthur Card Syst Sa | Procede de protection d'une entite electronique a microcircuit et entite electronique dotee d'une telle protection |
| DE10131575A1 (de) * | 2001-07-02 | 2003-01-16 | Bosch Gmbh Robert | Verfahren zum Schutz eines Mikrorechner-Systems gegen Manipulation von in einer Speicheranordnung des Mikrorechner-Systems gespeicherten Daten |
| GB2379293B (en) * | 2001-08-31 | 2005-07-06 | Discreet Logic Inc | Processing Data in an Application comprising a plurality of Application Modules |
| FR2829331B1 (fr) * | 2001-09-04 | 2004-09-10 | St Microelectronics Sa | Procede de securisation d'une quantite secrete |
| JP3822081B2 (ja) * | 2001-09-28 | 2006-09-13 | 東京エレクトロンデバイス株式会社 | データ書込装置、データ書込制御方法及びプログラム |
| US20030112665A1 (en) * | 2001-12-17 | 2003-06-19 | Nec Electronics Corporation | Semiconductor memory device, data processor, and method of determining frequency |
| DE60305564T2 (de) * | 2002-04-12 | 2006-11-16 | Matsushita Electric Industrial Co., Ltd., Kadoma | Speicher, System und Methode für Positionsinformationen, Halbleiter Speicher und Programm |
| US7284111B1 (en) * | 2002-04-17 | 2007-10-16 | Dinochip, Inc. | Integrated multidimensional sorter |
| US20040003321A1 (en) * | 2002-06-27 | 2004-01-01 | Glew Andrew F. | Initialization of protected system |
| JP2004102825A (ja) * | 2002-09-11 | 2004-04-02 | Renesas Technology Corp | キャッシュメモリ制御装置 |
| US6895357B2 (en) * | 2002-09-30 | 2005-05-17 | Continental Teves, Inc. | Offset calibration of a semi-relative steering wheel angle sensor |
| JP4290407B2 (ja) * | 2002-10-28 | 2009-07-08 | パナソニック株式会社 | 電子機器 |
| EP1420560A1 (en) * | 2002-11-13 | 2004-05-19 | Thomson Multimedia Broadband Belgium | Software upgrade over a USB connection |
| JP4639030B2 (ja) * | 2002-11-18 | 2011-02-23 | パナソニック株式会社 | 半導体記憶装置 |
| JP2004201038A (ja) * | 2002-12-18 | 2004-07-15 | Internatl Business Mach Corp <Ibm> | データ記憶装置、これを搭載した情報処理装置及びそのデータ処理方法並びにプログラム |
| US7539423B2 (en) * | 2003-01-10 | 2009-05-26 | Avago Technologies Fiber Ip (Singapore) Pte. Ltd. | Loss of signal detection and programmable behavior after error detection |
| JP2004234720A (ja) * | 2003-01-29 | 2004-08-19 | Toshiba Corp | 半導体装置およびその状態遷移チェック方法 |
| ITRM20030039A1 (it) * | 2003-01-30 | 2004-07-31 | Micron Technology Inc | Sblocco di registro di protezione per chip. |
| KR100528464B1 (ko) * | 2003-02-06 | 2005-11-15 | 삼성전자주식회사 | 스마트카드의 보안장치 |
| US9002724B2 (en) * | 2003-02-28 | 2015-04-07 | Panasonic Corporation | Incentive provision system |
| JP4214815B2 (ja) * | 2003-04-11 | 2009-01-28 | 株式会社デンソー | 車両用電子制御装置 |
| JP2004326278A (ja) * | 2003-04-23 | 2004-11-18 | Renesas Technology Corp | 不揮発性記憶装置及びデータ処理装置 |
| GB2401237A (en) * | 2003-04-28 | 2004-11-03 | Hewlett Packard Development Co | Data transfer arrangement for disaster recovery |
| US20040260593A1 (en) * | 2003-05-20 | 2004-12-23 | Klaus Abraham-Fuchs | System and user interface supporting workflow operation improvement |
| US7107405B2 (en) * | 2003-05-30 | 2006-09-12 | Intel Corporation | Writing cached data to system management memory |
| JP4023803B2 (ja) * | 2003-05-30 | 2007-12-19 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ウェブアプリケーション開発支援装置、データ処理方法及びプログラム |
| JP4174009B2 (ja) * | 2003-05-30 | 2008-10-29 | インターナショナル・ビジネス・マシーンズ・コーポレーション | テープ記録装置、テープ障害検出システム、テープ障害検出方法、プログラム、及び記録媒体 |
| US7149946B2 (en) * | 2003-06-13 | 2006-12-12 | Microsoft Corporation | Systems and methods for enhanced stored data verification utilizing pageable pool memory |
| JP4155133B2 (ja) * | 2003-07-22 | 2008-09-24 | 株式会社日立製作所 | 会計データ処理方法及びシステム |
| US6975557B2 (en) * | 2003-10-02 | 2005-12-13 | Broadcom Corporation | Phase controlled high speed interfaces |
| US7783573B2 (en) * | 2004-01-13 | 2010-08-24 | Microsoft Corporation | Performance optimized smartcard transaction management |
| TW200525360A (en) * | 2004-01-19 | 2005-08-01 | Comax Semiconductor Inc | Mobile communication device and memory device and accessing process thereof |
| US7216270B1 (en) * | 2004-05-14 | 2007-05-08 | National Semiconductor Corporation | System and method for providing testing and failure analysis of integrated circuit memory devices |
| US8296577B2 (en) * | 2004-06-08 | 2012-10-23 | Hrl Laboratories, Llc | Cryptographic bus architecture for the prevention of differential power analysis |
| US20060020810A1 (en) * | 2004-07-24 | 2006-01-26 | International Business Machines Corporation | System and method for software load authentication |
| US7483533B2 (en) * | 2004-08-05 | 2009-01-27 | King Fahd University Of Petroleum | Elliptic polynomial cryptography with multi x-coordinates embedding |
| US7711954B2 (en) * | 2004-08-05 | 2010-05-04 | Digital Keystone, Inc. | Methods and apparatuses for configuring products |
-
2004
- 2004-08-17 FR FR0408928A patent/FR2874440B1/fr not_active Expired - Lifetime
-
2005
- 2005-08-12 PL PL10177462T patent/PL2309409T3/pl unknown
- 2005-08-12 PL PL05798504T patent/PL1779284T3/pl unknown
- 2005-08-12 ES ES10177462.8T patent/ES2543210T3/es active Active
- 2005-08-12 WO PCT/FR2005/002083 patent/WO2006021686A2/fr active Application Filing
- 2005-08-12 US US11/660,218 patent/US20070220603A1/en not_active Abandoned
- 2005-08-12 JP JP2007526510A patent/JP4790717B2/ja active Active
- 2005-08-12 ES ES05798504.6T patent/ES2473326T3/es active Active
- 2005-08-12 CA CA2575143A patent/CA2575143C/fr active Active
- 2005-08-12 EP EP20100177462 patent/EP2309409B1/fr active Active
- 2005-08-12 EP EP05798504.6A patent/EP1779284B1/fr active Active
-
2011
- 2011-01-06 JP JP2011001428A patent/JP5254372B2/ja active Active
-
2013
- 2013-03-18 US US13/845,914 patent/US9454663B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030028784A1 (en) * | 2001-08-03 | 2003-02-06 | Nec Corporation | User authentication method and user authentication device |
| JP2003204322A (ja) * | 2001-10-15 | 2003-07-18 | Mitsubishi Electric Corp | 暗号通信装置 |
| JP2003228521A (ja) * | 2001-11-28 | 2003-08-15 | Stmicroelectronics Sa | 集積回路の動作のブロック |
Also Published As
| Publication number | Publication date |
|---|---|
| US9454663B2 (en) | 2016-09-27 |
| WO2006021686A3 (fr) | 2006-04-13 |
| EP1779284B1 (fr) | 2014-03-19 |
| EP1779284A2 (fr) | 2007-05-02 |
| FR2874440B1 (fr) | 2008-04-25 |
| ES2543210T3 (es) | 2015-08-17 |
| EP2309409A1 (fr) | 2011-04-13 |
| FR2874440A1 (fr) | 2006-02-24 |
| ES2473326T3 (es) | 2014-07-04 |
| EP2309409B1 (fr) | 2015-04-22 |
| US20070220603A1 (en) | 2007-09-20 |
| JP2011076636A (ja) | 2011-04-14 |
| CA2575143C (fr) | 2016-05-31 |
| PL2309409T3 (pl) | 2015-10-30 |
| JP2008510242A (ja) | 2008-04-03 |
| PL1779284T3 (pl) | 2014-09-30 |
| WO2006021686A2 (fr) | 2006-03-02 |
| CA2575143A1 (fr) | 2006-03-02 |
| JP5254372B2 (ja) | 2013-08-07 |
| US20130219522A1 (en) | 2013-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5254372B2 (ja) | データ処理の方法及び装置 | |
| US11157912B2 (en) | Method and system for enhancing the security of a transaction | |
| KR20170095161A (ko) | 시큐어 시스템 온 칩 | |
| US20090288161A1 (en) | Method for establishing a trusted running environment in the computer | |
| US20080180212A1 (en) | Settlement terminal and ic card | |
| ES2963328T3 (es) | Procedimiento para verificar la integridad de un código de aplicación, dispositivo y producto de programa informático correspondientes | |
| CN112930659A (zh) | 用于安全密钥生成的方法和设备 | |
| CN118051919B (zh) | 数据处理方法、芯片、电子设备以及存储介质 | |
| CN108780491A (zh) | 安全装置及其操作方法 | |
| US20060289656A1 (en) | Portable electronic apparatus and data output method therefor | |
| US8930717B2 (en) | Secure processing module and method for making the same | |
| JP2005502140A (ja) | チップカードの初期化 | |
| CN104361298A (zh) | 信息安全保密的方法和装置 | |
| CN111708293A (zh) | 带主动防御功能的在线调试的mcu设计方法 | |
| Markantonakis et al. | Secure and trusted application execution on embedded devices | |
| EP3244375A1 (fr) | Microcontrôleur pour démarrage sécurisé avec pare-feu | |
| Infrastructure et al. | Common criteria for information technology security evaluation | |
| RU2549517C2 (ru) | Карта с интегральной микросхемой с защищенным входным/выходным буфером | |
| US8171456B2 (en) | Method for auditing compliance of an electronic platform and/or a computer program present on said platform, and device and computer program corresponding thereto | |
| US20240187231A1 (en) | Forensics Module and Integrated System | |
| CN110909357B (zh) | 一种电子本及其控制方法 | |
| BE1024111B1 (fr) | Microcontroleur pour demarrage securise avec pare-feu | |
| CN111709019A (zh) | 带主动防御功能的在线烧录的mcu设计方法 | |
| Bahuguna | Review of Smartcard Attacks and Countermeasures | |
| Keersebilck et al. | Smart Card (In-) Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080221 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100706 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20101005 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20101013 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110106 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110628 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110720 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140729 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4790717 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |