JP5260523B2 - 無線周波識別(rfid)認証およびそのための鍵配信システム - Google Patents

無線周波識別(rfid)認証およびそのための鍵配信システム Download PDF

Info

Publication number
JP5260523B2
JP5260523B2 JP2009526989A JP2009526989A JP5260523B2 JP 5260523 B2 JP5260523 B2 JP 5260523B2 JP 2009526989 A JP2009526989 A JP 2009526989A JP 2009526989 A JP2009526989 A JP 2009526989A JP 5260523 B2 JP5260523 B2 JP 5260523B2
Authority
JP
Japan
Prior art keywords
signature
key
rfid
rfid tag
tag
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2009526989A
Other languages
English (en)
Other versions
JP2010503295A (ja
Inventor
グリフィス−ハーヴィー,マイケル
ニール,ブライアン
スミス,キーラン
ロサティー,トニー
デイヴィス,ウォルト
ジェイ. ウォルターズ,アンソニー
ツァング,ランディ
アール. ブラウン,ダニエル
エー. ヴァンストーン,スコット
Original Assignee
サーティコム コーポレーション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by サーティコム コーポレーション filed Critical サーティコム コーポレーション
Publication of JP2010503295A publication Critical patent/JP2010503295A/ja
Application granted granted Critical
Publication of JP5260523B2 publication Critical patent/JP5260523B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3252Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mathematical Physics (AREA)
  • Physics & Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Computing Systems (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Storage Device Security (AREA)

Description

本発明は、無線周波識別(RFID)タグおよびRFID認証システムに関するものであり、特に、RFIDタグの署名時および認証時における有用性に関するものである。
従来、在庫品や販売用商品などの物品は、その物品の追跡、識別および/または監視が可能となるように、それぞれ対応する識別子がつけられている。昨今、識別子を付与するための技術として、バーコードは、無線周波識別(RFID)技術に置き換えられつつある。RFIDには、利用者や機械がバーコードタグを見つけて独特の方法で読み取る必要がなく、自動識別システムを実現するという利点がある。
無線周波識別は、RFIDタグ、または、RFID中継器と通常称される装置を用いてのデータの保存およびデータの遠隔からの取り出しに依存している。RFIDタグは、電波を使った識別を目的として、製品や動物などの生物に、取り付けるまたは組み込むことができるものである。RFIDタグにはシリコンチップおよびアンテナを含むチップベースのものがある。そして、RFIDタグには、パッシブタイプとアクティブタイプとがある。
パッシブタイプのRFIDタグは、内部に電源を必要としない。入ってくる無線信号によってアンテナで生じた比較的小さな電流により、タグの中の回路には、電源を入れて応答を送信するのに十分な電力が供給される。しばしば、パッシブタイプのタグは、リーダからの搬送信号を後方散乱させて信号を送る。したがって、アンテナは入ってくる信号から電力を集め、かつ、外に向かう後方散乱信号を発信するように設計されている。搭載電源を必要としないので、パッシブタイプのRFIDタグを、より小さなサイズで実現することができ、よりコストパフォーマンスが高い。
アクティブタイプのRFIDタグは、タグ内の、外へ出て行く信号を発生させるどの回路にも電力を供給できる電源を内蔵している。アクティブタイプのタグは、リーダとの“セッション(session)”を行うことができるので、パッシブタイプのRFIDタグよりも信頼性が高いことがわかっている。アクティブタイプRFIDタグは搭載電源を持っているので、高出力信号を発信できる。そのため、水中や比較的長距離などの、RF信号の伝送が難しい領域においては、アクティブタイプのRFIDタグの効果は大きい。また、搭載電源にはより広い空間が必要となるので、アクティブタイプRFIDタグは、通常、パッシブタイプRFIDタグよりもサイズが大きく、高価である。
RFIDシステムは一般的にタグ、タグリーダ、および、サポートインフラ(supporting infrastructure)を備えている。RFIDシステムの目的は、RFIDリーダに読み取られて処理されるデータを、携帯機器(タグ)によって伝送可能とすることにある。その処理量およびデータの性質はその用途により大きく左右される。例えば、タグにより伝送される情報は、タグが付けられた対象物に関する識別情報、場所情報、または、仕様を提供するものであってもよい。例えば、在庫追跡といった典型的な用途において、RFIDシステムでは、追跡されるべき対象物に小さく、安価なタグを取り付けて用いる。そのタグは、ユニークなコード(例えば、製品コードなど)が与えられたメモリを備えたトランスポンダ(transponder)を含む。信号は、RFIDタグを作動させるリーダから発信される。その結果、リーダが、データを読み取ったり、データをタグに書き込んだりできる。RFIDタグが、上記信号の発信によってできた電磁ゾーンを通るときに、タグはリーダからの作動信号を検出する。そして、リーダは、タグのメモリ中の符号化されたデータをデコードし、該データは、特定の利用目的のため、サポートインフラに送られる。
RFID技術は、在庫や商品の追跡に必要な労力を減らすためだけでなく、偽造品や欠陥品の存在など、機密事項の問題に対抗するための技術として普及しつつある。薬剤のサプライチェーン(supply chain)の安全性を進歩させて、かつ、患者の安全性を高める上で、上記機密事項の問題は、製薬産業において重要性が一層高まってきている。現行の作業には、サプライチェーン中にある製薬品に認証の階層を付加するステップ(adding a layer of authentication)が含まれる。この作業では、特に、以下の白書に述べられているRFIDシステムと組み合わせた公開鍵暗号基盤が用いられる。上記白書とは、“RFIDと公開鍵暗号基盤(PKI)技術を用いた薬剤サプライチェーンの保護(Securing the Pharmaceutical Supply Chain with RFID and Public-Key Infrastructure (PKI) Technologies)”(Joseph Pearson著, Texas Instruments Radio Frequency Identification (TI-RFIDTM) Systems, RFIDPH01, 2005年6月)と題された白書である。
上記白書に記述されたようなRFID認証システムでは、サプライチェーンの1または複数の段階でタグを認証することが可能であり、サプライチェーン全体の整合性が確保される。
上記を実施するのためには、例えば、1024ビットRSA(Rivest-Shamir-Adleman)デジタル署名などの比較的サイズの大きな署名を十分に格納できるRFIDタグが必要となる。このため、コストが非常に高くなる。その結果、RSA署名が署名される場合、認証用RFIDタグは、用途に見合わない高価なタグを必要としなければ、1つの署名しか収容できない。また、必要な署名が一つの場合であっても、比較的大きなタグが必要である。
上記のような比較的サイズの大きなRSA署名を使用して、1つのタグ上で複数の署名を使用しようとした場合、タグのサイズを大きくしなければ、実現不可能である。タグのサイズを大きくした場合、コストはさらに増加する。
以上のことから、上記不都合を防ぐこと、または、緩和することが、以下の本発明の目的である。
一実施形態において、無線周波識別(RFID)タグに安全性を高める方法を提供する。上記方法は、該RFIDタグを取得するステップと、楕円曲線(EC)暗号方式を用いて上記RFIDタグに署名するステップとを含む。
上記方法は、ECPVS署名方式、または、ECDSA署名方式のどちらかを用いて提供する。
他の実施形態において、楕円曲線暗号署名を含む無線周波識別(RFID)タグを提供する。
さらに他の実施形態において、RFIDタグに署名する方法を提供する。上記方法は、権限のないRFIDリーダに対して隠されるように意図された情報を含むデータセットであって、タグに書き込まれるべき第1のデータセットを取得するステップと、メッセージ復元を伴う署名方式に、上記第1のデータセットを、復元可能な部分として組み込むステップと、対応する検証鍵を有する秘密鍵を用いて、上記タグに署名を書き込むステップとを含み、上記第1のデータセットは、上記検証鍵にアクセス可能な権限のあるRFIDリーダによってのみ、復元が可能である。
さらに他の実施形態において、RFID署名端末を提供する。上記RFID署名端末は、RFIDタグを読み取るためのRFIDリーダと、上記RFIDタグに署名を書き込むための暗号モジュールとを備え、上記暗号モジュールは、権限のないRFIDリーダに対して隠されるように意図された情報を含む、タグに書き込まれるべき第1のデータセットを取得し、メッセージ復元を伴う署名方式に、上記第1のデータセットを、復元可能な部分として組み込み、そして、対応する検証鍵を有する秘密鍵を用いて、上記タグに署名を書き込むように構成されている。上記第1のデータセットは、上記検証鍵にアクセス可能な権限のあるRFIDリーダによってのみ復元が可能である。
さらに他の実施形態において、RFIDタグの認証方法を提供する。上記方法は、第1のデータセットを暗号化した要素を少なくとも1つ含む署名および平文である第2のデータセットを有するタグを取得するステップと、検証鍵を取得するステップと、上記第1のデータセットを取得するために、上記検証鍵を用いて少なくとも1つの要素を復号するステップと、上記署名を検証するために、所定の特徴に関して、上記第1のデータセットを検査するステップとを含み、これにより、上記タグが認証される。
さらに他の実施形態において、RFIDリーダを提供する。上記RFIDリーダは、RFIDタグのEC暗号署名を検証するための暗号モジュールを備え、該暗号モジュールは、第1のデータセットを暗号化した要素を少なくとも1つ含む署名および平文である第2のデータセットを有する上記タグを取得し、検証鍵を取得し、上記第1のデータセットを取得するために、上記検証鍵を用いて少なくとも1つの要素を復号し、上記署名を検証するために、所定の特徴に関して、上記第1のデータセットを検査して、これにより、上記タグを認証するように構成されている。
さらに他の実施形態において、RFID認証システムにおける複数のRFIDリーダ用の検証鍵を管理する方法を提供する。上記方法は、上記複数のRFIDリーダのうちの1以上のリーダのいずれが、1以上の製品タイプを認証する許可を得ているのかを示す、許可のセットを決定するステップと、特定の製品タイプに対応付けられた各検証鍵のセットを、上記許可のセットにしたがって作成するステップと、各RFIDリーダに、上記検証鍵のセットをそれぞれ配布するステップとを含む。
さらに他の実施形態において、複数のRFIDリーダを含むRFID認証システムのための鍵管理システムを提供する。上記鍵管理システムは、上記複数のRFIDリーダのうち、1つ以上のいずれのRFIDリーダが、対応するRFIDタグを有する1つ以上の製品タイプを読み取る許可を有しているかを示す、許可のセットを決定し、上記許可にしたがって、上記複数のリーダのそれぞれに、検証鍵のセットを作成し、上記各リーダに、上記各検証鍵を配布する構成である。
さらに他の実施形態において、集約デジタル署名(aggregate digital signature)の生成方法を提供する。上記方法は、第1の暗号鍵を用いて、第1のデータ部分を暗号化することにより、第1の署名要素を生成するステップと、上記第1の署名要素と第2のデータ部分とから第1の中間署名要素を生成するステップと、上記第1の中間署名要素と第1の秘密鍵とから、第2の署名要素を生成するステップと、上記第1の署名要素および上記第2の署名要素のうちの1つを、第2の暗号鍵を用いて暗号化することにより、第3の署名要素を生成するステップと、上記第3の署名要素と上記第2のデータ部分とから第2の中間署名要素を生成するステップと、上記第2の中間署名要素と第2の秘密鍵とから、第4の署名要素を生成するステップと、上記第1の署名要素および上記第2の署名要素のうちのもう一方と上記第3の署名要素と上記第4の署名要素とを、上記デジタル署名として出力するステップとを含む。
さらに他の実施形態において、集約デジタル署名を検証するための方法を提供する。上記方法は、デジタル署名を取得するステップであって、該デジタル署名が、第1の他の署名要素が第1のデータ部分を暗号化する他の署名要素であって、上記少なくとも1つの他の署名要素をそれぞれの暗号鍵を用いて暗号化する第1の署名要素と、上記第1の署名要素および上記少なくとも1つの他の署名要素それぞれのうちの一方とそれぞれの秘密鍵とから各々生成されている少なくとも1つの二次的署名要素と、を有するデジタル署名を取得するステップと、上記第1の署名要素と第2のデータ部分とを用いて第1の復号鍵を生成し、上記第1の署名要素を復号して復元された署名要素を取得するステップと、上記復元された署名要素を用いて、1つ以上の後続の復号鍵を生成することにより、上記少なくとも1つの他の署名要素に対応する追加の署名要素を復元するステップと、上記少なくとも1つの他の署名要素のうちの上記第1の署名要素から、上記第1のデータ部分の表記を復元するステップと、上記デジタル署名を検証するための所定の特徴に関して、上記第1のデータ部分の上記表記を検査するステップとを含む。
さらに他の実施形態において、複数の署名段階で、集約デジタル署名を生成する方法を提供する。上記方法は、最初の署名要素対を生成するステップと、次の署名要素のセットにて上記最初の署名要素対のうちの1つを暗号化するステップであって、上記次の署名要素のセットは、上記最初の署名要素対のうちのもう一方と2つの新しい署名要素とを含むセットである、該暗号化するステップと、後続の署名段階ごとに、別の先の署名要素を順々に暗号化して追加の新しい署名要素を生成してきた先の署名要素を暗号化するステップとを含む。ここで、上記方法では、各段階における上記デジタル署名における署名要素の数は、各署名段階の合計数より1つ多い。
さらに他の実施形態において、集約デジタル署名を生成する方法を提供する。上記方法は、複数の署名端末のそれぞれによって与えられた第1の個別値から算出された第1の値を用いて、第1の署名要素を生成するステップと、上記複数の署名端末のそれぞれによって与えられた第2の個別値から算出された第2の値を用いて、第2の署名要素を生成するステップと、上記第1の署名要素と上記第2の署名要素とを有するデジタル署名を出力するステップとを含む。
さらに他の実施形態において、集約デジタル署名を検証する方法を提供する。上記方法は、複数の署名端末のそれぞれによって与えられた第1の個別値から算出された第1の値を用いて生成された第1の署名要素と、上記複数の署名端末のそれぞれによって与えられた第2の個別値から算出された第2の値を用いて生成された第2の署名要素とを有する、デジタル署名を取得するステップと、上記複数の署名端末のそれぞれの個別公開鍵を組み合わせて、結合公開鍵を生成するステップと、署名検証処理における少なくと1つのステップにて、上記結合公開鍵を用いるステップとを含む。
さらに他の実施形態において、上述の各方法を実行する暗号処理の演算処理装置および上述の各方法を実行するためのコンピュータが読み取り可能な記録媒体を提供する。
以下に本発明の実施形態について、添付図面を基にして、例を挙げて説明する。
本発明は、例えば、以下の項目を提供する。
(項目1)
無線周波識別(RFID)タグの安全性を高める方法であって、
上記RFIDタグを取得するステップと、
楕円曲線(EC)暗号方式を用いて上記RFIDタグに署名するステップとを含む方法。
(項目2)
上記楕円曲線暗号方式は、ECPV(楕円曲線Pintsov-Vanstone)署名方式であり、
上記RFIDタグを検査するステップと、
第1の署名要素に隠されるべき第1のデータ部分が有する冗長性が、所定の量より少ない場合に、該第1のデータ部分に埋め込み(padding)を行うステップとを含む、項目1に記載の方法。
(項目3)
上記RFIDタグの未使用のデータブロックは、上記埋め込みを提供するために用いられる、項目2に記載の方法。
(項目4)
上記第1のデータ部分は、RFIDが付けられた製品のタイプを識別するものであり、
上記埋め込みは、上記RFIDタグ上に存在する別のデータ部分に内在する冗長性によって提供される、項目2に記載の方法。
(項目5)
上記RFIDタグとして、複数のEC署名を収容するのに十分な大きさのものが選択される、項目1に記載の方法。
(項目6)
上記楕円曲線暗号方式は、楕円曲線デジタル署名アルゴリズム(ECDSA)である、項目1に記載の方法。
(項目7)
署名されるメッセージは、上記RFIDタグの通し番号と識別コードとの組み合わせである、項目6に記載の方法。
(項目8)
楕円曲線暗号署名を含む無線周波識別(RFID)タグ。
(項目9)
上記楕円曲線暗号署名は、ECPV署名であって、
第1の署名要素に隠されるべき第1のデータ部分が有する冗長性が、所定の量より少ない場合に、該第1のデータ部分に埋め込みが行われる(padded)、項目8に記載のRFIDタグ。
(項目10)
当該RFIDタグの未使用のデータブロックは、上記埋め込みを提供するために用いられる、項目9に記載のRFIDタグ。
(項目11)
上記第1のデータ部分は、RFIDが付けられた製品のタイプを識別するものであり、
上記埋め込みは、当該RFIDタグ上に存在する別のデータ部分に内在する冗長性によって提供される、項目9に記載のRFIDタグ。
(項目12)
当該RFIDタグとして、複数のEC署名を収容するのに十分な大きさのものが選択される、項目8に記載のRFIDタグ。
(項目13)
上記楕円曲線暗号署名は、楕円曲線デジタル署名アルゴリズム(ECDSA)署名である、項目8に記載のRFIDタグ。
(項目14)
署名されるメッセージは、当該RFIDタグの通し番号と識別コードとの組み合わせである、項目13に記載のRFIDタグ。
(項目15)
当該RFIDタグの通し番号が、上記署名が行われる前に、当該RFIDタグに焼き付けられている(burned)、項目8に記載のRFIDタグ。
(項目16)
RFIDタグに署名する方法であって、
上記RFIDタグに書き込まれるべき第1のデータセットであり、権限のないRFIDリーダに対して隠されるように意図された情報を含んだ第1のデータセットを取得するステップと、
メッセージ復元を伴う署名方式に(a signature scheme)、復元可能な部分として、上記第1のデータセットを組み込むステップと、
対応する検証鍵を有する秘密鍵を用いて、上記RFIDタグに署名を書き込むステップとを含み、
上記第1のデータセットは、上記検証鍵にアクセス可能な、権限のあるRFIDリーダによってのみ、復元が可能である、RFIDタグに署名する方法。
(項目17)
上記第1のデータセットは、製品識別子である、項目16に記載の方法。
(項目18)
選択された1つまたは複数の権限のあるRFIDリーダに上記検証鍵を配布することにより、上記検証鍵へのアクセスを制御するステップを含む、項目16に記載の方法。
(項目19)
上記署名は、第1のデータセットを暗号化する第1の要素と、上記秘密鍵および上記第1の要素を用いて生成された第2の要素とを有しており、
当該方法は、
上記第1の要素を第3の要素の中に暗号化し、該第3の要素を用いて第4の要素を生成することにより、更新された署名を生成するステップを含み、
上記更新された署名は、上記第2の要素、上記第3の要素、および、上記第4の要素を含む、項目16に記載の方法。
(項目20)
先の署名要素を、次の署名要素の中に暗号化し、さらに次の署名要素を生成するために上記次の署名要素を用いることにより、さらに更新された署名を生成するステップを含む、項目16に記載の方法。
(項目21)
RFIDタグを読み取るRFIDリーダと、上記RFIDタグに署名を書き込むための暗号モジュールとを備えているRFID署名端末であって、
上記暗号モジュールは、
上記RFIDタグに書き込まれるべき第1のデータセットであり、権限のないRFIDリーダに対して隠されるように意図された情報を含んだ第1のデータセットを取得し、
メッセージ復元を伴う署名方式に、復元可能な部分として、上記第1のデータセットを組み込み、
対応する検証鍵を有する秘密鍵を用いて、上記RFIDタグに署名を書き込むように構成されており、
上記第1のデータセットは、
上記検証鍵にアクセス可能な、権限のあるRFIDリーダによってのみ、復元が可能である、RFID署名端末。
(項目22)
上記第1のデータセットは、製品識別子である、項目21に記載のRFID署名端末。
(項目23)
RFIDタグを認証する方法であって、
第1のデータセットをその中に暗号化して、少なくとも1つの要素を含んでいる署名と、平文である第2のデータセットとを有する上記RFIDタグを取得するステップと、
検証鍵を取得するステップと、
上記第1のデータセットを取得するために、上記検証鍵を用いて、上記少なくとも1つの要素を復号するステップと、
上記署名を検証するために、所定の特徴について、上記第1のデータセットを検査するステップとを含み、上記各ステップにより、上記RFIDタグを認証する、方法。
(項目24)
上記第1のデータセットは、製品識別子である、項目23に記載の方法。
(項目25)
RFIDタグのEC暗号署名を検証する暗号モジュールを備えているRFIDリーダであって、
上記暗号モジュールが、
第1のデータセットを当該署名の中に暗号化する少なくとも1つの要素を含んでいる署名と、平文である第2のデータセットとを有する上記RFIDタグを取得し、
検証鍵を取得し、
上記第1のデータセットを取得するために、上記検証鍵を用いて、上記少なくとも1つの要素を復号し、
上記署名を検証するために、所定の特徴について、上記第1のデータセットを検査するように構成されており、該構成により、上記RFIDタグを認証する、RFIDリーダ。
(項目26)
上記第1のデータセットは、製品識別子である、項目25に記載のRFIDリーダ。
(項目27)
RFID認証システムにおける複数のRFIDリーダの検証鍵を管理する方法であって、
上記複数のRFIDリーダのうちの、1または複数のRFIDリーダのいずれが、1または複数のタイプの製品を認証する許可を有するのかを示す、許可のセットを決定するステップと、
上記複数のRFIDリーダのうちの1または複数のRFIDリーダに対して、上記許可のセットに基づいて、個々の製品タイプに対応する各検証鍵のセットを作成するステップと、
上記RFIDリーダのそれぞれに、上記各検証鍵のセットを配布するステップとを含む、方法。
(項目28)
上記配布するステップは、
上記RFIDリーダそれぞれへの専用の接続が必要とならないように、定期的に行われる、項目27に記載の方法。
(項目29)
1または複数の上記RFIDリーダからの鍵更新要求を受信するステップを含み、
上記許可のセットを決定するステップは、
新しい各許可を確認する(checking for new permissions)ステップを含む、項目27に記載の方法。
(項目30)
新しいRFIDリーダから登録要求を受信するステップと、
上記新しいRFIDリーダのために新しい許可のセットを決定するステップとを含む、項目27に記載の方法。
(項目31)
新しい検証鍵に対応する証明書要求を受信するステップと、
上記新しい検証鍵の証明書を返信するステップと、
上記複数のRFIDリーダのうち、1以上のいずれのRFIDリーダが、上記証明書を受け取る権限があるのかを決定するステップと、
上記各許可を更新する(updating said permissions)ステップと、
後の更新のために上記証明書を保存するステップと含む、項目27に記載の方法。
(項目32)
上記検証鍵の使用を報告するレポートを受信するステップと、
上記使用に収益を関連付けるステップとを含む、項目27に記載の方法。
(項目33)
対応するRFIDタグに書き込まれた署名の数を示すレポートを受信するステップと、
書き込まれた上記署名の数に収益を関連付けるステップとを含む、項目27に記載の方法。
(項目34)
予約支払いの受領(receipt of a subscription payment)に基づいて、上記配布するステップを実施する、項目27に記載の方法。
(項目35)
複数のRFIDリーダを含むRFID認証システムのための鍵管理システムであって、
上記複数のRFIDリーダのうちの、1または複数のRFIDリーダのいずれが、対応するRFIDタグを有する1または複数の製品タイプを読み取る許可を有するのかを示す、許可のセットを決定し、
上記の各許可に基づいて、上記複数のRFIDリーダのそれぞれに対して、各検証鍵のセットを作成し、
上記各RFIDリーダに、上記各検証鍵を配布するように構成されている鍵管理システム。
(項目36)
上記検証鍵の証明書を発行する証明書発行エージェント、証明書サーバ、および、上記検証鍵の各々に対応する各証明書を保存するための条件付アクセスデータベースを含む、項目35に記載の鍵管理システム。
(項目37)
RFIDタグの署名と上記検証鍵を用いたRFIDタグの検証とを監視する制御部を少なくとも1つ含む、項目35に記載の鍵管理システム。
(項目38)
上記RFIDリーダそれぞれへの専用の接続が必要とならないように、上記配布が、予定された間隔で行われる、項目35に記載の鍵管理システム。
(項目39)
1または複数の上記RFIDリーダからの鍵更新要求を受信するように構成されており、
上記許可のセットの決定には、新しい各許可の確認が含まれる、項目35に記載の鍵管理システム。
(項目40)
新しいRFIDリーダからの登録要求を受信し、
上記新しいRFIDリーダのために新しい許可のセットを決定するように構成されてい
る、項目35に記載の鍵管理システム。
(項目41)
新しい検証鍵に対応する証明書要求を受信し、
上記新しい検証鍵の証明書を返信し、
上記複数のRFIDリーダのうち、1以上のいずれのRFIDリーダが、上記証明書を受け取る権限があるのかを決定し、
上記各許可を更新し、
後の更新のために上記証明書を保存するように構成されている、項目35に記載の鍵管理システム。
(項目42)
上記検証鍵の使用を報告するレポートを受信し、
上記使用に収益を関連付けるように構成されている、項目35に記載の鍵管理システム。
(項目43)
対応するRFIDタグに書き込まれた署名の数を示すレポートを受信し、
書き込まれた上記署名の数に収益に関連付けるように構成されている、項目35に記載の鍵管理システム。
(項目44)
予約支払いの受領に基づいて、上記配布を実施するように構成されている、項目35に記載の鍵管理システム。
(項目45)
集約デジタル署名を生成する方法であって、
第1の暗号鍵を用いて、第1のデータ部分を暗号化することにより、第1の署名要素を生成するステップと、
上記第1の署名要素および第2のデータ部分から第1の中間署名要素を生成するステップと、
上記第1の中間署名要素および第1の秘密鍵から、第2の署名要素を生成するステップと、
上記第1の署名要素および上記第2の署名要素のいずれか一方を、第2の暗号鍵を用いて暗号化することにより、第3の署名要素を生成するステップと、
上記第3の署名要素および上記第2のデータ部分から第2の中間署名要素を生成するステップと、
上記第2の中間署名要素および第2の秘密鍵から、第4の署名要素を生成するステップと、
上記第1の署名要素および上記第2の署名要素のいずれかもう一方と、上記第3の署名要素と、上記第4の署名要素とを、上記デジタル署名として出力するステップとを含む、方法。
(項目46)
鍵導出関数を、それぞれの一時公開鍵に適用することにより、上記第1の暗号鍵と上記第2の暗号鍵を生成するステップを含む、項目45に記載の方法。
(項目47)
上記第1の中間要素、および、第2の中間要素は、それぞれの署名要素と上記第2のデータ部分との組み合わせをハッシュ化することにより生成される、項目45に記載の方法。
(項目48)
上記第2の署名要素および上記第4の署名要素のそれぞれは、それぞれの中間要素の整数表記(representations)、それぞれの長期秘密鍵、および、それぞれの一時秘密鍵を用いて生成される、項目45に記載の方法。
(項目49)
上記第1の署名要素および上記第2の署名要素は、上記デジタル署名の第1の表記(a first representation)を作成するための第1の署名手段によって生成され、
上記第3の署名要素および上記第4の署名要素は、上記デジタル署名の第2の表記(a second representation)を作成するための第2の署名手段によって、上記第1の表記から生成される、項目45に記載の方法。
(項目50)
上記署名要素は、ECPVS暗号方式にしたがって生成される、項目45に記載の方法。
(項目51)
集約デジタル署名を検証するための方法であって、
デジタル署名が、
各暗号鍵のうちの第1の暗号鍵が第1のデータ部分を暗号化するような、それぞれの暗号鍵を用いて、少なくとも1つの他の署名要素を暗号化する第1の署名要素と、
上記第1の署名要素および上記少なくとも1つの他の署名要素それぞれのうちのいずれか一方と、それぞれの秘密鍵とから各々生成されている、少なくとも1つの二次的署名要素とを有する、
該デジタル署名を取得するステップと、
復元された署名要素を取得するために、上記第1の署名要素と第2のデータ部分とを用いて第1の復号鍵を生成し、上記第1の署名要素を復号するステップと、
1または複数の後続の復号鍵を生成することによって上記少なくとも1つの他の署名要素に対応する追加の署名要素を復元するために、上記復元された署名要素を用いるステップと、
上記少なくとも1つの他の署名要素のうちの上記第1の署名要素から、上記第1のデータ部分の表記を復元するステップと、
上記デジタル署名を検証するための所定の特徴に関して、上記第1のデータ部分の上記表記を検査するステップとを含む、方法。
(項目52)
上記復号鍵は、
上記第1の署名要素または上記少なくとも1つの他の署名要素、および、上記第2のデータ部分から、それぞれの中間値を算出し、
上記各中間値を、各整数表記に変換し、
一時公開鍵をそれぞれ生成するために、上記各整数表記と公開データとを使用し、
上記一時公開鍵から復号鍵を生成することによって、
生成される、項目51に記載の方法。
(項目53)
上記中間要素は、各署名要素と上記第2のデータ部分とをハッシュ化することにより、算出される、項目52に記載の方法。
(項目54)
上記所定の特徴とは、冗長性である、項目51に記載の方法。
(項目55)
上記暗号鍵は、鍵導出関数を用いて生成される、項目51に記載の方法。
(項目56)
ECPVS検証方式を用いる、項目51に記載の方法。
(項目57)
複数の署名段階で、集約デジタル署名を生成する方法であって、
最初の署名要素対を生成するステップと、
次の署名要素セット内には、上記最初の署名要素対のうちのいずれか一方と、2つの新しい署名要素とが含まれており、該次の署名要素セット内に、上記最初の署名要素対のもう一方を暗号化するステップと、
続く署名段階ごとに、さらに先の署名要素を順に暗号化する先の署名要素を暗号化して、さらに新しい署名要素を生成するステップとを含み、
各署名段階における上記デジタル署名の署名要素の数は、署名段階の合計数より1つ多い、方法。
(項目58)
項目45から57までのいずれか1項に記載された方法の各ステップを暗号処理装置に実行させるためのコンピュータ実行可能な命令を記録したコンピュータ読み取り可能な記録媒体。
(項目59)
項目45から57までのいずれか1項に記載された方法に従って、集約デジタル署名を生成する暗号処理装置。
(項目60)
集約デジタル署名を生成する方法であって、
複数の署名手段のそれぞれによって与えられた第1の個別値から算出された第1の値を用いて、第1の署名要素を生成するステップと、
上記複数の署名手段のそれぞれによって与えられた第2の個別値から算出された第2の値を用いて、第2の署名要素を生成するステップと、
上記第1の署名要素および上記第2の署名要素を有する上記デジタル署名を出力するステップとを含む、方法。
(項目61)
上記第1の署名要素は、上記第1の値を用いて、第1のデータ部分を暗号化することによって算出されたものであり、
上記第1の値は、上記複数の署名手段のそれぞれによって生成された、個々の各暗号鍵から算出された暗号鍵であり、
上記第2の署名要素は、上記第1の署名要素および第2のデータ部分から算出された個々の第2要素を組み合わせることによって算出されたものである、項目60に記載の方法。
(項目62)
上記個々の各暗号鍵は、上記複数の署名手段によって算出されたそれぞれの一時鍵から算出される、項目60に記載の方法。
(項目63)
上記個々の第2要素は、
上記第1の署名要素と上記第2のデータ部分との組み合わせをハッシュ化することによって算出された中間署名要素から個々に計算されるものである、項目60に記載の方法。
(項目64)
上記個々の第2要素は、
上記複数の署名手段それぞれの秘密値から、それぞれ算出されるものである、項目60に記載の方法。
(項目65)
上記第1の署名要素は、上記第1の個別値の組み合わせである上記第1の値の関数にしたがって算出されるものであり、
上記第2の署名要素は、上記第2の値と上記第1の署名要素とを用いて算出されるものであり、
上記第2の値は、上記複数の署名手段それぞれからの秘密値を組み合わせることによって算出された結合秘密鍵である、項目60に記載の方法。
(項目66)
上記第1の個別値は、
上記複数の署名手段それぞれによって生成された各一時秘密鍵を用いて算出される、項目65に記載の方法。
(項目67)
上記第2の署名要素は、署名されたメッセージの表記を用いて算出される、項目65に記載の方法。
(項目68)
上記表記は、上記メッセージのハッシュ値である、項目67に記載の方法。
(項目69)
集約デジタル署名を検証する方法であって、
デジタル署名が、
複数の署名手段のそれぞれによって与えられた第1の個別値から算出された第1の値を用いて生成された第1の署名要素と、
上記複数の署名手段のそれぞれによって与えられた第2の個別値から算出された第2の値を用いて生成された第2の署名要素とを有する、
該デジタル署名を取得するステップと、
結合公開鍵を生成するために、上記複数の署名手段それぞれの個別公開値を組み合わせるステップと、
署名検証工程における少なくとも1工程で上記結合公開鍵を用いるステップとを含む、方法。
(項目70)
上記第1の署名要素は、上記複数の署名手段のそれぞれによって生成された個別の暗号鍵から算出された暗号鍵である上記第1の値を用いて、第1のデータ部分を暗号化することによって、算出されたものであり、
上記第2の署名要素は、上記第1の署名要素と第2のデータ部分とから算出された個々の第2要素を組み合わせることによって算出されたものである、項目69に記載の方法。
(項目71)
上記第1の署名要素から上記第1のデータ部分を復号する復号鍵を生成するための一時公開鍵の表記を生成する際に、上記結合公開鍵を用いる、項目70に記載の方法。
(項目72)
上記一時公開鍵の表記は、
上記第2の署名要素と、上記第1の署名要素および上記第2のデータ部分から算出された中間署名要素の整数表記とを用いて算出されるものである、項目71に記載の方法。
(項目73)
上記第1の署名要素は、上記第1の個別値の組み合わせである上記第1の値の関数にしたがって算出されたものであり、
上記第2の署名要素は、上記第2の値と上記第1の署名要素とを用いて算出されたものであり、
上記第2の値は、上記複数の署名手段それぞれからの秘密値を組み合わせることによって算出された結合秘密鍵である、項目69に記載の方法。
(項目74)
上記署名検証工程は、ECDSAである、項目73に記載の方法。
(項目75)
項目60から74までのいずれか1項に記載された方法の各ステップを暗号処理装置に実行させるためのコンピュータ実行可能な命令を記録したコンピュータ読み取り可能な記録媒体。
(項目76)
項目60から74までのいずれか1項に記載された方法に従って、集約デジタル署名を生成する暗号処理装置。
図1は、RFID認証システムを示す概略ブロック図である。 図2は、図1における、認証機関(CA)、署名端末、および、検証装置を示す概略ブロック図である。 図3は、一般的なRFIDタグの概略図である。 図4は、2つの異なるRFID識別(ID)コードのブロック図である。 図5は、256ビットRFIDタグの概略図である。 図6は、鍵配信の処理の流れを示すフローチャートである。 図7は、署名の処理の流れを示すフローチャートである。 図8は、図7のプログラム処理の流れを示すフローチャートである。 図9は、検証の処理の流れを示すフローチャートである。 図10は、RFID認証システムにおける鍵配信用の鍵管理システムと、そのサプライチェーンとを示す概略ブロック図である。 図11は、図10の製造段階を示す概略ブロック図である。 図12は、図10のリーダの製造業者を示す概略ブロック図である。 図13は、図10のKMSを示す概略ブロック図である。 図14は、図10の診療所/薬局を示す概略ブロック図である。 図15は、鍵生成およびタグ署名処理の流れを示すフローチャートである。 図16は、リーダ登録の処理の流れを示すフローチャートである。 図17は、鍵配信の処理の流れを示すフローチャートである。 図18は、資金追跡の処理の流れを示すフローチャートである。 図19は、半集約署名(semi-aggregate signature)生成方式を示す概略ブロック図である。 図20は、半集約署名検証方式を示す概略ブロック図である。 図21は、他の半集約署名生成方式を示す概略ブロック図である。 図22は、他の半集約署名検証方式を示す概略ブロック図である. 図23は、完全集約署名(fully aggregate signature)の生成方式を示す概略ブロック図である。 図24は、完全集約署名の検証方式を示す概略ブロック図である。 図25は、さらに他の集約署名生成方式を示す概略ブロック図である。 図26は、さらに他の集約署名検証方式を示す概略ブロック図である。
〔RFID認証システム、および、サプライチェーン例〕
図1を参照して、RFID認証システム10を説明する。図に示されるシステム10は、一実施形態において、公開鍵の配信を管理するための証明書を発行する認証機関(CA)12と、対象物18(医薬品、消費者製品、荷物、携帯通信装置など)に付けられたRFIDタグ20を読むためのRFIDリーダ14であって、サプライチェーン(supply chain)の過程で配置される、任意の数(N個)のRFIDリーダ14と、タグ20に電子起源情報(electronic pedigree)を創るときに、RFIDタグ20に署名を書き込むための、任意の数(T個)の署名端末(signature station)16とを備えている。各リーダ14は、タグ20を作動させる無線周波(RF;radio frequency)領域26を発生させる。この例の場合、タグ20は、パッシブタイプであることが望ましい。また、特定の用途のために費用が正当であるとされるなら、タグ20はアクティブタイプであってもよい。
CA12は、証明書を発行することにより鍵配信が容易にできるように、また、必要に応じてログの報告が容易にできるように、通信経路(communication channel)24を通して、リーダ14および署名端末16と通信することが好ましい。通信経路24は、(暗号化という保護手段により安全または安全でない)ローカルネットワークもしくは広域ネットワークなどの電子的経路であってもよい。あるいは、通信経路24は、CD−ROMディスクなどの媒体の配布、または、技術者を配置することによっても実現できる。したがって、リーダ14および署名端末16はネットワークを介して協働して、または、単独で動作できるものである。
いくつかの用途において、特定のリーダ14と署名端末16とは、ほとんど関係がないか、または、全く関係がなくてもよく、よって、上記特定のリーダ14と署名端末16とが別々の通信者(party)によって制御されることがある。従って、各通信者は、各リーダ14が署名端末16によって書き込まれた署名を各々検証できるように、CA12と個別に接続し、通信することが必要である。CA12が含まれる構成は、一実施形態に過ぎず、後述のように、別の管理主体または制御主体も使われてもよい点については理解されたい。
図2に示す概略ブロック図は、CA12、署名端末16、および、リーダ14間の鍵配信の一般的な実施形態を示す。CA12は、署名端末16とリーダ14との両者に証明書を発行する。CA12は、また、図に示されない他のCAがリーダの証明書を発行できるように、副CAへの証明書も発行できる。これらの証明書は、公開鍵を配信し検証するために使われる。そして、証明書は通常はRFIDタグ20に保存されていない。それらの証明書はタグ20上に保存されていないため、すべての署名リーダ16用の証明書の鎖(chain)全体は、各リーダ14に分配される。その結果、各リーダ14は、タグ20に書き込まれたいずれの署名もそれぞれ検証することができる。CA12は、暗号化作業を行い、証明書を生成するための暗号モジュール30を備えている。CA12はまた、鍵、および、証明書を保存するための安全な記憶装置32を備えている。各CA12は、CA証明書CCAを有し、さらに、配信されるべき、署名端末16の公開鍵W1−T、リーダの公開鍵Z1−N、ならびに、それぞれの証明書であるCSIGN1−TとCVER1−Nとを保存する。一般的に、(図1のような任意の指定に基づいて、)jは1からTまでのうちのいずれかの数であり、特定の署名端末16を指す。iは1からNまでのうちのいずれかの数であり、特定のリーダ14を指す。
一実施形態においては、CA12は、(公開鍵Z1−Nにそれぞれ対応する)リーダ14の秘密鍵を生成し、その生成した秘密鍵を証明書CVER1−Nとともに、大容量暗号セットにしてまとめてリーダ14の製造業者に提供する。この実施形態では、鍵を生成する作業者が、暗号化されていないアクセスを秘密鍵に対して行わなかったことを、CA12が証明できるので、鍵の整合性がさらに確実になる。図11に基づいて、秘密鍵の付与、および、リーダ14の製造について以下に説明する。
署名端末16は、RFIDリーダに取り付けられていて、暗号モジュール30aを用いて楕円曲線暗号(ECC;elliptic curve cryptography)署名を生成し、生成したECC署名をRFIDタグ20に書き込むことができる。署名端末16は、他の署名手段(other signers)16からの署名を確認するのには用いないことが好ましい。これにより、通常、署名時、および、検証時には、他のRFIDリーダからの証明書に当該署名端末16がアクセスする必要がなくなる。図2において、署名端末1として示された署名端末16は、鍵記憶領域34に保存された秘密鍵/公開鍵対(w,W)と、ECC暗号モジュール30aとを有する。秘密鍵wは、安全なハードウェアに保存され、パスワード、または、別の仕組みで保護されていることが好ましい。
リーダ14は、署名端末16によりタグ20に書き込まれた署名の検証に使われる。リーダ14は、通常、署名を生成するのには使われない、または、署名を生成できない。各リーダ14は、例えば、リーダ1なら、リーダ1用の鍵対(z,Z)というように、それ自身の鍵対を有する。秘密鍵zは、署名端末の証明書CSIGN1を復号化するのに用いられる。公開鍵Zは、秘密鍵zに対応しており、対応する証明書CVER1を有する。リーダ14は、さらに、CA証明書CCAの写しと、さまざまな署名端末16の正当性が確認された公開鍵Wのリストとを保管している。また、リーダ14は、証明書の正当性を検証したり、ECC署名を検証したりする機能を持つ暗号モジュール30aを備えている。
〔楕円曲線暗号化方式を用いたRFID認証方式〕
図3は一般的なRFIDタグ20を示す。タグ20は、主として、データ保存用に使われる。そして、タグ20のためのファームウェアは、製造段階でロックされる。そのため、これらのタグ20は、一度工場から出荷されると、一組の決まったコマンドセットに対応する。コマンドは、データブロックの読み取り、書き込み、および、ロックを行うために用いられる。図3は、そのようなタグ20の典型的なメモリ構成を示す。図3に示される例において、タグ20は、32ビットの各ブロックに区分される。各ブロックは、ファクトリーロックビット(F)(factory lock bit)とユーザロックビット(U)(user lock bit)との2つのロックビットを有する。製造時に、タグ20は、通し番号を付与される。本例においては、通し番号には、2ブロック、すなわち、64ビットが費やされる。通し番号は、確実に各タグに固有のものとなるように、信頼できる通信者によって、読み出し専用メモリ(ROM)に焼き付けて記録されることが好ましい。製造時、構成データ(configuration data)が更にタグ20に加えられる。この例では、構成データに、1ブロック全て、または、一部(すなわち、32ビット以下)が費やされる。製薬サプライチェーンなどの用途においては、適切な規格や規則に基づいて、製品タイプ識別子などの製品固有の情報が、さらに追加される。この例では、製品タイプ識別子には3ブロックまたは96ビットが費やされる。タグ20上の残りのメモリは、例えば、デジタル署名を含む、ユーザデータ用に確保される。図3では、任意のNブロックをユーザデータとする例を示す。広く使われている2048ビットのタグは、このようにして、署名の保存用に64ブロックのデータを提供する。256ビットのタグは8ブロックのデータを提供する。
図5は、RFID認証システムに用いられる256ビットのタグ20の例を示す。この例において、通し番号は、固有識別子(UID;unique identifier)である。この固有識別子は、工場でプログラムされてロックされるものであり、タグ20のそれぞれにユニークであって、通常64ビットのものである。構成データは、データ保存形式識別子(DSFID;data storage format identifier)と、アプリケーションファミリー識別子(AFI;application family identifier)とを含む。DSFIDは、ユーザデータがどのように暗号化されてタグ20に保存されたかを特定するために用いられる。アプリケーションファミリー識別子は、複数の番号方式のうち、(該当する場合は)UIDがどの番号方式に対応するかを特定するために用いられる。この例では、DSFID、および、AFIには、それぞれ8ビットが費やされる。よって、DSFIDとAFIとが同じブロックに書き込まれた場合には、16ビットの空ビットが残る。あるいは、DSFIDとAFIがそれぞれ連続する別々のブロックに書き込まれた場合には、48ビットの空ビットが残ることになる。図5においては、製品タイプ識別子は96ビットのEPCグローバル製品ID(EPCglobal product ID)である。以下に書かれているように、少なくとも、その製品IDの一部には、タグ20が付けられた製品18に関して、細心の注意を要する機密事項、または、極秘情報が含まれていることがある。よって、適切な保護手段が適所に備えられておらず、どのリーダ14も製品IDの上述のような大事な部分を読み取れるのではないかという、秘密に関する懸念が発生する。256ビットのタグでは、ユーザデータにおいて、デジタル署名用に8ブロックが確保される。
RSA署名は大きすぎて、256ビットのタグ20には書き込めず、代わりに、2048ビットのタグ20のようにサイズの大きなタグが必要となると理解されたい。RSA署名は512ビットのような他のサイズのタグ20にも大きすぎると理解されたい。さらに、RSA署名が、ある元のタグから読み出されて別のタグにプログラムされる時には、RSA署名を複製することが可能である。しかし、タグ20は固有のものであり、再プログラミングできないので、複製された署名は、上手く検証されない。図3からもわかるように、RSA署名のような署名には、タグ20のかなりの部分が費やされてしまう(または、比較的多数のユーザデータブロックがあることが必要である)。そして、タグ20を極めて高価なものしなければ、タグ20にはひとつの署名しか収容できない。
例えば、1024ビットのRSA署名をRFIDタグ20への書き込んだり、RFIDタグ20から読み出したりすることは、製造工程において深刻なボトルネックとなっている。したがって、同じレベルの安全性を維持したまま、RSA署名をサイズの小さな署名で置き換えることが望ましい。1024ビットRSA署名のサイズは、1署名しか収容できない比較的大きなサイズの(例えば、2048ビットの)RFIDタグを必要とする。そのようなボトルネックを緩和し、1つのRFIDタグ20に複数の署名(例えば、製造工程における各段階を表す)を含めることを可能とし、より小さな(よって、より安価な)RFIDタグ20を利用可能とするために、安全性は同様であるがサイズが小さな署名が必要となる。楕円曲線暗号(ECC)署名は、特に、以下の分析を検討すると、これらの特徴を与えるのに適しており、利点があると認められてきた。
ECCは、限定された領域にある楕円曲線上の点に定義される代数方式において実現され、ECCを用いた暗号方式は、有限グループにおける離散対数問題の解決の困難性に基づくものである。
一例において、そのようなECC暗号方式の領域パラメータは、y=x+dx+cの形式の曲線およびシード点(seed point)Pである。上記方式において対応するものの1つには、秘密鍵a、0<a<n(ここで、nは点Pの次数(the order)である)、および、対応する公開鍵Q=aPがある。公開鍵は、認証機関(CA)に保持されてもよい。以下の原理は、2値の
Figure 0005260523
アプリケーションに適用可能である。
RSAと比較して、ECCはより小さいサイズで同等の安全性を提供する。「鍵管理への提言 ・ パート1:全改訂版」(“Recommendation for Key Management - Part 1:General Revised”,NIST Special Publication800-57,米国標準技術研究所(National Institute of Standards and Technology), 2006年5月)から抜粋された下記の表においては、同等の安全性レベルにて、ECCビットサイとRSAビットサイとの比較がなされる。
Figure 0005260523
1024ビットのRSA署名と同等の安全性レベルを得るために、160ビット以上の楕円曲線が用いられるべきである。ここで挙げられる例では、ECPVS(elliptic curve Pintsov-Vanstone signature)方式の使用およびECDSA(elliptic curve digital signature algorithm)方式の使用と、RSAのような公開鍵方式の使用とを比較する。他のECC方式も適用できるものと解される。
ECPVSは、メッセージ復元を伴うデジタル署名方式である。これは、署名されたメッセージの一部が、署名検証処理で復元されることを意味する。ECPVSは、IEEE1363a−2004、および、ISO/IEEE9796−3に定められている。また、ANSI基準案として定められている。ECPVSでは、署名されたメッセージMは、2つの異なって区別される部分からなる、あるいは、データHとデータVとのセット(例えば、M=H||V)であると考えられる。ここで、Hは署名に隠される、そして、検証処理中に復元されるメッセージ、または、データセットであり、Vは同様に署名されるが、明らかな状態で(そうでなければ、容易に、または、公に利用可能な状態で)送られ、検証処理に使われるメッセージ、または、データセットである。メッセージHは、特定の検証鍵を持つエンティティによってのみ復元可能である。そして、メッセージVは、例えば、RFIDリーダ14などのいずれのエンティティによっても、つまり、署名を検証することなしに、読み出し可能である。
ECPVS署名生成アルゴリズムは、通常、署名の正当性を確認するための署名検証中に検査することができるメッセージHに特有の特徴を特定することによって始まる。例えば、メッセージHが、実存する偽造攻撃を防ぐために十分な、所定の制限を越えるある量の冗長性を有するかどうかを判断してもよい。メッセージMを形成する元のデータが十分な冗長性を含むと判断される場合、メッセージHは単純にそのデータの部分集約である可能性がある。所定の冗長性が見つからない場合、メッセージHは、余分のゼロのような、人為的に加えられた冗長性を含むように変更されている可能性がある。ある量の冗長性を持つことは、単に一つの特徴であり、それ以外の既知の予想される値と比較可能ないずれの文字列やデータセットなどが用いられてもよいと解される。
例えば、80ビットの冗長性は、通常、1024ビットのRSAと同等レベルの安全性を出すために必要なものである。そして、80ビットの冗長性は、1024ビットのRSAと同等またはそれ以上の安全性が望まれる場合、最低閾値として選択されるべきものであることが好ましい。しかし、下記にあるように、用いられる冗長性の量は、所望のタグのサイズと、(署名の偽造が非経済的であるとする場合、または、別のやり方で受け入れられる場合における)最低限の安全レベルとに基づいて用途に合うように仕立てられる。以下、ECPV署名生成の要約を述べる。
まず、一時的な鍵対(k,Q)が生成される。ここで、Q=kGは、楕円曲線上の点であり、kはランダムな整数1≦k<nであり、nは楕円曲線上の基点Gによって生成されるグループの次数(order)である。次に、鍵k=KDF(Q)が構成される。ここで、KDFは、鍵導出関数である。一般的に、鍵導出関数は、秘密の値(secret value)、および/または、他の既知の情報から、秘密鍵を導出するために用いられる。ECPVSにおいて、KDFは、点Q、および、可能であれば他の情報を入力値として受け取り、暗号鍵kを生成する。それから、署名エンティティは、第1の署名要素(first signature component)cを、
Figure 0005260523
のように計算する(すなわち、鍵kを用いたメッセージHの暗号化)。ここで、ENCは、平文(例えば、H)を入力として受け取って、暗号文cを作るために、その平文を鍵k用いて暗号化する適切な暗号化方式を示す。
次に、中間要素hがh=Hash(c||V)として算出される。ここでHashは、適切なハッシュ関数(例、SHA1)である。好ましくは、例えば、署名元の証明書や識別情報などの、署名を検証する当事者が利用できる、または、利用できるようになる、追加の情報(言い換えれば、検証装置が検証用に「検証側で」必要とする情報)が、hに組み込まれていてもよい。中間要素hは、それから整数eに変換される。そして、第2の署名要素sが、シュノール(Schnorr)アルゴリズムのような適切な署名アルゴリズムを用いて計算される。ここで、s=e・w+k mod nであり、wは、署名手段(つまり、上記の例における署名端末)の長期秘密鍵である。そして、結果として得られる署名は、(c,s,V)または(s,c||V)である。
以下に、署名手段の真の公開鍵(signing entity’s genuine public key)Wが与えられた場合の、署名(s,c||V)についてのECPV署名検証を示す。まず、中間要素hが、要素c||Vと、署名段階で使われたものと同じハッシュ関数と、署名元の識別情報などの追加情報とを用いて算出される。ここで、h=Hash(c||V)である。次に、hは、整数eに変換される。それから、一時的な公開鍵の表記Q’が、整数e、署名元の公開鍵W、基点G、および、署名要素sを用いて算出される(例えば、Q’=sG−eWにしたがって算出される)。
次に、復号鍵k’は、署名段階で使われたものと同じ鍵導出関数KDFを用いて、同じ追加情報を含めて算出される。すなわち、k’=KDF(Q’)にしたがって算出される。上記で導出された鍵、および、復号化補関数(complementary decryption function)DECを用いて、要素cを復号化することによって、H’で表されるHの隠された部位は復元される。すなわち、
Figure 0005260523
のように復元される。それから、検証装置が、例えば、H’に含まれる冗長性など(特定の形式など)の特定の特徴をチェックする。H’にある所定量の冗長性など必要な特徴が含まれる場合、H’は有効なメッセージであり、署名の正当性が確認される。H’が必要な冗長性を含まない場合、効力のない無効な署名は返送される。
メッセージMは細分されているので、例えば、Hなどの1部分のみが、冗長性等の必要条件の特徴を含み、隠されていればよい。別の部分Vは、元のメッセージと同じ構造をもつ平文なので、帯域の効率を向上させることができる。そのため、RFIDタグについて、可視部Vは、RFIDリーダ14が利用できるどんなデータ部分を含んでいてもよい。cに隠された部分Hは、署名元の公開鍵Wを持つ者しか利用できないが、Vに含まれるデータは全ての者が利用できる。データの一部が、機密情報を見られないように隠されているという、ここで説明された原理は、特に、下記で示される、製薬サプライチェーンに適している。しかし、この原理は、どのような製品のタイプのどのようなRFID認証システムにも、また、認証と秘密または機密保持とが望まれるどのような環境におけるどのようなRFID認証システムにも、同様に適用できるものと理解できる。例えば、下記の原理は、空港で荷物を追跡したり、製品を追跡したり、あるいは、RFID技術を利用した携帯機器の利用者を認証したりすることなどにも適用できる。
ここに記述されるRFIDシステム10の認証においてECPVSを使用すると、タグ20の識別情報の一部を、権限のないリーダに対して秘密にできる。その一方で、従来のリーダに対して、残りのデータ(例えば、通常の読み取り動作用のデータ)の読み取りを可能にする。これは、データの特定の部分を署名によって隠すことができるとともに、他の機密でない情報は単にそのままタグ20に残したり、平文Vの一部として含まれた状態で残したりすることができるためである。また、ECPVS署名は、1024ビットのRSA署名よりサイズが小さいため、同等の安全性をもったまま、より小さいタグを使うことができる。例えば、以下で非常に詳細に説明されるように、512ビットのタグ、または、256ビットのタグが、用途、必要な安全性レベル、および、タグの利用可能性に応じて、使用できる。
図4は、製品識別(ID)コード40(例、EPCグローバルコード)の概要を示す図である。このIDコード40は、以下の説明において、96ビットであるとする。変形例(a)は、ヘッダ50aと通し番号52aとを含む。変形例(b)は、ヘッダ50b、通し番号52b、および、製品ID54を含む。製品ID54は通し番号52bの一部であってもよいし、別個のコードであってもよい。製品ID54は、タグ20が付けられた製品のタイプを明示するものである。
製薬産業のような産業においては、変形例(b)のIDコード40bを使うことは、IDコード40bは製品が何であるかを明らかにするので、秘密に関する問題を引き起こすと考えられてきた。したがって、正当でないリーダが、必要条件範囲内にある場合に、消費者が何を購入しているのかを判別する可能性があった。このような秘密に関する懸念は、米国食品医薬品局(FDA)のレポートである“FDA偽造薬品対策委員会レポート:2006更新(FDA Counterfeiting Drug Task Force Report:2006 Update)”で扱われている。このレポートの一部で、RFIDタグでは、薬品を識別する情報を含むNDC番号を明らかにしないことが推奨されている。
そのため、変形例(b)を使った場合、正当でないリーダが製品タイプを判別できないように、少なくとも製品ID54を暗号化するか隠すことが望ましい。署名すべきメッセージとしてIDコード40を指定することによって、そして、製品ID54を、隠されて検証時に復元される部分Hとして指定することによって、署名の中に製品ID54を隠すことが可能な、サイズおよび効率の上で適切なECC署名方式を、ECPVSが提供することが認識されている。
また、ECPVSと、変形例(a)または変形例(b)とを使うと、IDコード40の全体をHとして選択することができる。そして、復元できない部分または可視部Vは、UIDとすることができる。単純な例において、ECPVSは、以下の表にあるように、デジタル署名を256ビットの記憶領域(図5参照)を持つRFIDタグ20に収めることができる。
Figure 0005260523
実用的な実施において、いくつかの問題を検討しなければならない。第一に、IDコード40全体が(署名検証中に復元されるように)隠された場合、ECPVSに対応しない、または、正しい公開鍵Zを持たないリーダ14は、IDコード40を全く読み取ることができなくなる。IDコード40自体は、(例えば、製品ID54が復元可能な場合)復元可能な部分、または、復元不可能な部分に分けられる。しかし、復元可能な部分の冗長性が不十分になる可能性がある。IDコード40が細分化される場合に、追加の冗長性が求められるおよび/または十分な安全性を提供するために冗長性を追加する別の方法(例えば、埋め込み(padding))の検討が必要とされるならば、RFIDタグ20は、大きくせざるを得なくなる可能性がある。
第2に、IEEE基準1363a−2004は、復元可能なメッセージHには、少なくとも1バイトを埋め込むことを規定している。この基準に従うことが望ましいならば、余分なバイトを記憶するための領域が必要となる。第3に、256ビットのタグ20が使われる場合、AFIDにおいて未使用のビットのうち、いくつかを使わない限り、署名時刻などのデータを保存する場所がない場合がある。最後に、署名が有効かどうかを検証装置14が決定できるのに十分な冗長性が、IDコード40の中にない場合がある。何らかの帯域外情報(out of band information)(例えば、紙ラベルでの目に見える検証)が必要になる可能性がある。以下で、冗長性の問題を扱う。
上述したとおり、2つのタイプのIDコード40aと40bがある。変形例(a)の領域は、直接的には製品に関連付けられていない。変形例(b)のコード40bにおいては、製品ID54が、直接的に製品を特定する。したがって、少なくとも製品ID54を暗号化して(すなわち、製品ID54を隠しメッセージHの少なくとも一部分として)、隠すことが望ましい。
用途によっては、IDコード40は十分な冗長性を含まない場合があり、パターンまたは制限が、署名偽造の脆弱性を回避するための領域に課される場合があると理解できる。
160ビットの曲線と、ハッシュ関数としてSHA−1とを用いた場合、通常の目安として、80ビットの冗長性を用いる。しかし、偽造署名は、ある特定の1つのRFIDタグ20に対して限定されるので、より小さいビット数で事足りる場合もある。さらに、1つの署名を偽造するための計算量および/または計算時間は、偽造者が署名を偽造しようと企むことを阻止するのに十分なほど長い。安全性レベルは、そのような偽造者に対する十分な抑止力を与えるように合わせられていればよい。
1024ビットのRSA署名と同等な安全性レベルを提供するために、160ビット曲線のECPVS署名が、図5に示される256ビットの構造に適合している。(もしあれば)製品ID54、および、冗長性を含むIDコード40の一部のような「他の」部分が、復元可能なメッセージHを形成する。そして、IDコード40の残りの部分およびUIDは、復元不能な部分Vを形成する。復元不能な部分Vから利用可能な情報は、署名端末16を識別するのに十分でなければならない。例えば、暗号鍵kを使って、署名要素cは、c=ENCk(製品ID+その他)のように計算される。また、可視部Vとみなされる通し番号とIDコード40のヘッダとを使って、中間要素hがh=HASH(c||通し番号+ヘッダのように計算される。この例において、どんなリーダ14も、通し番号とヘッダ情報とを読み取ることができるが、製品ID54を復号するためには、適切な検証鍵(例、W)へのアクセスが必要となる。
80ビットの冗長性がないかぎり、ECPVSは、1024ビットのRSAと同等レベルの偽造署名に対する耐性を提供することができない。しかし、各偽造署名は、1つの特定のRFIDタグ20にしか適用できないので、他の署名は改ざんされないであろうから、より低いレベルの耐性でも受け入れられる場合がある。
埋め込み(padding)なしにECPVSを実施するために、かつ、RFIDタグ20において追加領域が冗長性を増やすのに利用できない場合でも署名が有効かどうかを判断するには、IDコード40に内在する冗長性に頼ればよい。これは、特定のパターンや構造をIDコード40に課すことであったり、あるいは、製造データベースへの参照などのように、何らかの帯域外情報を用いることであったりしてもよい。IDコード40の一部が復元可能な部分Hに含まれているので、ECPVSに対応しないリーダ14は、IDコード40全体を読み取ることができない。
埋め込み(padding)をしてECPVSを実施するために、AFI、DSFID、および、ユーザロック(U)ビットを復元可能な部分Hの冗長性を増やすのに用いてもよい。例えば、図5から理解されるように、AFI(それ自身のブロックに書き込みされた場合)には未使用のビットが24ビットある。これは、DSFID領域、および、ユーザロックに、未使用のビットが8ビットある(ユーザデータブロックをロックしないことが受け入れられる場合)のと同様である。これらの未使用のビットは、埋め込みを実現するために利用可能となる。
埋め込み(padding)の理想的なレベルは、80ビットである。しかし、特定の用途の目的に対してより小さい埋め込みでも署名の偽造を無力化(uneconomical)にするのに十分に安全であれば、それより少ないビット数の埋め込みを用いてもよい。
余分な埋め込みを使えば、IDコード40に内在する冗長性に頼る必要はない。よって、製品ID54を除くコード40全体は、復元不可能なメッセージVとして保存できる。全てのリーダ14はIDコード40を読み取ることができるが、正しい公開鍵を持つリーダ14しか製品ID54を復元させることはできない。
よって、RSAで署名されるのに適したRFIDタグより小さなRFIDタグ20に、ECPVSを使って署名できると分かる。タグ20にある情報のデータ構造を検討することで、冗長性の様々なレベルが、そのような冗長性を未使用のブロックに埋め込むことによって実現できる。また、IDコード40が権限のないリーダ14に読み取られる必要がない場合、所望の量の冗長性を実現するために、IDコード40内の冗長性に頼ることができる、または、その冗長性を課すことができる。よって、RFIDタグ20上のECC署名を使うことにより、より小さく、効率的となる一方で、RSA署名と同等の保護を提供することができると理解される。これにより、より小さなタグを使用することができ(あるいは、利用可能なデータブロックをより効率的に使用することができ)、および/または、1つのタグに複数の署名を納めることができる。これは、RSA署名を用いたのでは、その全体のサイズのせいで、実現不可能である。
ここで説明されたECPVの使用に関する原理は、メッセージ復元を伴うほかの署名方式にも同様に適用できると理解される。他の署名形式の一例としては、復元を伴う楕円曲線デジタル署名(ECDSR;the Elliptic Curve Digital Signature with Recovery)があり、ECDSRは、「機密メッセージの復元を伴う署名(“Signatures with Confidential Message Recovery”)」と題される米国特許仮出願番号______(出願日:2007年9月4日)に記載されている。その内容は本明細書が参照することによって組み込まれる。ECDSRを用いた場合、安全性とタグのサイズとに関して、上述の記載と同様に考慮される。
他の実施形態において、RFIDタグ20の安全性を確保するために、特に、秘密性が重要な問題ではない変形例(b)のIDコード40bに、ECDSA署名を用いることができる。
ECDSAは、いくつかの基準案と同様に、ANSI X9.62、FIPS186-2、IEEE1363-2000、および、ISO/IEC15946-2基準にでてくる、広く標準化された楕円曲線に基づく署名方式である。
ECDSA署名生成は、秘密鍵dやメッセージm等の数個の領域パラメータ(domain parameter)に基づいて行われ、署名(r,s)(rとsは整数)を出力する。そのアルゴリズムの概要は以下のとおりである。
1.k∈[1,n−1]を選択する。nは楕円曲線に基づく点より生成されるグループの次数(order)であり、領域パラメータの1つである。
2.kP=(x,y)を算出し、xを、
Figure 0005260523
に変換する。ここで、Pは楕円曲線E上の点であり、領域パラメータの1つである。
3.
Figure 0005260523
を算出する。ここで、r=0であれば、ステップ1に戻る。
4.e=H(m)を算出する。ここで、Hは、暗号ハッシュ関数を示し、その出力は、nのビット長以下である(この条件が満たされない場合、出力Hは切り詰められる)。
5.s=k−1(e+dr) mod nを算出する。ここで、s=0であれば、ステップ1に戻る。
6.対(r,s)をECDSA署名として出力する。
ECDSA署名検証は、公開鍵Q、メッセージm、および、上記で導出された署名(r,s)など、いくつかの領域パラメータに基づいて行われる。ECDSA署名検証では、署名の“拒絶(rejection)”、または、“承認(acceptance)”が出力される。ECDSA署名検証は、以下のように進められる。
1.rおよびsが、区間[1,n−1]内にある整数であることを検証する。もし、検証に失敗したら、“拒絶”を返す。
2.e=H(m)を算出する。
3.w=s−1 mod nを算出する。
4.u=ew mod n、および、u=rw mod nを算出する。
5.R=uP+uQを算出する。
6.R=∞であれば、署名は拒絶される。
7.Rのx座標x
Figure 0005260523
8.v=rであれば、署名は承認される。v=rでなければ、署名は拒絶される。
上述したとおり、ECDSA署名は、rとsという2つの整数で構成されている。rおよびsのそれぞれは、楕円曲線に基づく領域と同じサイズである。例えば、160ビットの曲線を使った場合、署名のサイズは、160×2=320ビット、または、40バイトとなる。
メッセージMがECDSAで署名される場合、検証装置が正しい公開鍵Qを既に持っているものとして、M、r、および、sが検証装置に送付される。
RSAと比較すると、RFID認証システム10においてECDSAを使用すると、デジタル署名の読み取り/書き込み時間が短縮される。しかし、ECPVSにあるような機密性は実現できない。ECDSAを実施する最も単純な方法は、1024ビットのRSA署名を、同等の安全性を持つECDSA署名に置き換えることである。曲線サイズは、通常、最小でも160ビット必要がある。よって、ECDSA署名は少なくとも320ビットを占める。NISTに推奨される最小の曲線サイズは、163ビットであり、対応する42バイトのサイズのECDSA署名が伴う。以下の表は、IDコード40が96ビットを占めるものとして、必要なRFIDメモリを示す。
Figure 0005260523
ECDSA方式を使って署名されたメッセージは、タグ20のUIDとIDコード40とを連結したものであってもよい。
変形例(a)のコード40aには、製品ID54は含まれない。署名要素rは、埋め込みのみを用いて、算出される。復元されたメッセージが、予測された埋め込み(the expected padding)と一致する場合、署名は有効である。
変形例(b)では、製品ID54は、どの製品にも対応しない無効な値で置き換えられてもよい。そして、実際の製品ID54、および、埋め込みは、rの算出で用いられる。復元されたメッセージが予測された埋め込みと一致する場合、署名は有効である。そして、リーダ14は、正しいIDコード40bを形成するために、無効な製品ID54を復元された値に置き換えることができる。
選択されるECC署名方式は、通常は、RFIDタグ20で利用可能な記憶領域の量に依存する。使用されるタグのサイズは、許容できる安全性、および、利用可能な記憶領域のサイズを基に選択され得るということは理解されたい。許容される安全性のレベルは、通常、偽造者にとって署名を偽造することが経済的に見合っているか否かに基づいて、決定される。ECPVS署名における冗長性を減らしても、偽造が不可能な場合、より小さなタグを用いることができる。ここでは、2048ビットと256ビットのタグを用いる場合の例を、説明のためだけに示す。よって、例えば、512ビットのタグなどの他のタグサイズを、代わりに用いてもよい。
2048ビットのRFIDタグ20が使われる場合、ECDSA、または、ECPVSのどちらかが使われる。ECDSAは、RSA署名に置き換えて利用することができる。そして、そのデジタル署名は、1024ビットではなく320ビットを占有するだけありながら、同等の安全性レベルを実現する。IDコード40を含めて、必要とされる全記憶領域は416ビット、すなわち、13メモリブロックである。よって、ECDSAを使うことで、同等の安全性を提供し、読み出し/書き込み時間を短縮するとともに、複数の署名が1つの2048ビットのタグ20に書き込むこと可能になると分かる。これによって、製品18が、サプライチェーン22を進む時に、電子起源情報(electronic pedigree)を作成可能となる。しかし、ECPVSと異なり、ECDSAでは製品ID54を隠すことができない。
署名サイズをさらに減らし、適切な公開鍵Zを持たないリーダ14に対して、製品ID54を隠すために、ECPVSを用いることができる。2048ビットのタグ20に余分な保存スペースがあれば、冗長性を許容されるレベルまで増やすために埋め込み(padding)を使うことができる。IDコード40に内在する冗長性を考慮しなければ、1024ビットのRSA署名と同等の安全性を実現するために、80ビットの埋め込みを追加することが可能である。必要な記憶領域の合計は、IDコード40に96ビット、製品ID54に20ビット、そして、rに80ビットの埋め込みとsに160ビットの埋め込みである。よって、合計356ビットまたは12メモリブロックが、埋め込みがなされたECPVS署名に使われる。安全性についてより低いレベルが許容できる場合、メモリの必要条件はさらに緩和できる。以下の表には、256ビットと2048ビットのRFIDタグに使われる署名方式の概要が示される。
Figure 0005260523
よって、ECPVSを用いた2048ビットのRFIDタグ20により、例えばサプライチェーン22の異なる段階などで、複数の署名をタグに書き込むことが可能になることがわかる。また、システム10が、権限のないリーダに対して製品IDを隠すことが可能となり、秘密性を追加することができるとわかる。上記記載は、専ら説明用と解され、上記に述べられたような原理および検討に基づき、他のタグサイズが適している場合もあるということを理解されたい。
結果、許容される安全性のレベルおよびIDコード40により与えられる内在的な冗長性などの特定のパラメータを用いて、埋め込みを伴うECPVS、および、埋め込みを伴わないECPVSを使って、例えば、256ビットのRFIDタグ20、または、512ビットのRFIDタグ(図示されない)のようなより小さいタグ20を用いることができる。
ECPVSが製品ID54を隠すために使われる場合、リーダ14に保存される公開鍵Zは、物理的に保護されるべきである。そして、鍵の配布は、例えば、CA12によって慎重に制御されるべきである。各リーダ14がそれ自身の公開/秘密鍵対を含む場合、証明書が、配布前に、特定の各リーダ14用に暗号化される。CA12は、署名端末16とリーダ14の両方に証明書を発行する。リーダ14および署名端末16用の鍵対は、製造時に生成される。上述のように、各リーダ14は、署名端末の有効な公開鍵Wのリストを有する。これにより、署名の正当性が検証できる。図6は、署名元の証明書CSIGNjを用いた鍵配布処理の手順の例を示す。
CA12は、ステップ100で、適切な公開鍵Wを取得して、ステップ102で、対応する証明書CSIGNjを生成する。そしてステップ104で、証明書の配布先のリーダ14用に、適切な公開鍵Ziを用いて証明書が暗号化されて、これにより、暗号化版のCSIGNj’が得られる。その後、ステップ106で、暗号化版のCSIGNj’は、適切なリーダ14に配布される。ステップ108で、リーダ14がCSIGNj’を受信する。ステップ110で、暗号化版の証明書CSIGNj’は、秘密鍵zを用いて、リーダ14によって復号化され、元の証明書CSIGNjが取得される。ステップ112で、CA証明書が取得された場合、CA証明書CCAを用いて、ステップ114で、上記証明書が評価される。上記証明書が有効な場合、鍵Wが、証明書から取得され、安全な鍵記憶領域36に保存される。
図7は、ECDSA、または、ECPVSに適用できる署名処理を示す。示された例では、ステップ200で、署名端末16が、まず、署名されたタグ20が署名端末16にとって既知の製造業者から来たものかどうかを判断する。製造業者が既知のものであれば、ステップ202で、製造業者IDが選択される。製造業者IDが検出されなかった場合、ステップ204で、署名端末は、製造業者を追加するという選択肢を選ぶ。それにより、ステップ206で、名前が入力される。通常、署名端末は、前もって設定された数の特定の製造業者だけのために署名をするように、前もってプログラムされている。よって、ステップ200から206は、必要がない場合や、オペレータの介入を必要とせずに自動的に実施される場合がある。ステップ208で、署名および曲線のタイプに対応する鍵対が製造業者用に生成され、該製造業者によって、取り込まれる、あるいは、別のやり方で取得される。ステップ210で、秘密鍵は、安全なハードウェアに保存され、ステップ212で、公開鍵は、CA12に連絡される。
そしてステップ214で、署名端末16は、タグ20から、通し番号を選択するまたは読み取る(デフォルトのカウンタの値を使ってもよい)。変形例(b)が適用される場合、ステップ216で、製造コードが選択される。上述したとおり、通し番号は、署名する/プログラムする設備に到達する前に、ROMに前もって焼き付けられていることが好ましい。これにより、署名されていないタグ20の製造業者は、確実に、安全性を危うくするまたはシステムを攻撃するために、単に標準の部品を使って偽造者の目的に合うUIDをプログラムするということではできずに、代わりに、ハードウェアを偽造しなければならなくなる。
上述したとおり、署名端末16は、通常、適切な署名タイプを自動的に生成するように前もってプログラムされているが、オペレータが、タグに書き込む署名のタイプ(例、ECDSA、または、ECPVS)をステップ218で選ぶことができるようにし、ステップ219で署名を書き込むようプログラムされていてもよい。そして、ステップ220で、タグ20はプログラムされてもよい。ステップ222で、記録が作成され、その記録を追跡と監視の目的でログレポートとして保存することが好ましい。署名端末が配置される前に上述の決定が調整されるように、各署名端末16が前もってプログラムされていることが好ましいと理解される。しかし、望まれるのであれば、上述の決定の構成は、例えば、グラフィカルユーザインターフェイス(GUI)(図示されていない)におけるドロップダウン・リストなどによって、プログラムにて実現されてもよい。また、そのようなGUIは、プログラミングや署名端末16の修復のために、技術者によって使われてもよい。
図8は、ステップ220のさらに詳細を示す。ステップ230で、UIDが、タグ20から読み取られる。そしてステップ232で、IDコード40が、製品タイプなどのユーザの選択に基づいて生成される。そしてステップ234で、UID、IDコード、あらゆるメタデータ、および、あらゆる隠しデータ(例えば、製品ID54およびECPVSを使ったもの)が署名され、製造業者に固有の公開鍵を用いた署名が生成される。その後、ステップ236で、IDコード40および上記署名がタグ20に書き込まれる。ステップ238で、署名端末16の少なくとも内部記録において、タイムスタンプが記録されることが望ましい。希望に応じて、ログ記録やログレポートが署名端末16で保存され、後に、監視や追跡目的のために、登録されたり報告されたりしてもよい。
図9は、検証手順を示す。ステップ300で、ある時点において、リーダ14は、CAから製造業者に固有の公開鍵Wを取得する。ステップ302で、タグ20は(パッシブタイプタグの場合)、RFゾーン26に入ると起動される。そしてステップ304で、UID、データおよび署名をリーダ14が読み取る。それから、ステップ306で、リーダ14が、公開鍵Wを使って、採用された署名方式のタイプにしたがって、署名を検証する。そしてステップ308で、適用可能な場合、タイムスタンプが記録される。ステップ310では、サプライチェーンや製品の整合性に責任ある適切な通信者が、監視目的で使うことができるログレポートが、生成されることが好ましい。
したがって、ECC、特に、適切であればECPVSやECDSAを用いることによって、RFID認証システム10において、読み取り/書き込み時間や署名サイズを削減することができることが分かる。ECPVSを使用すると、製品情報の一部分を隠すことができるというメリットがさらに加わる。それは、RFID技術を採用するためのさらなる動機を与える。また、ECPVSは、RSA署名と同等の安全性で、署名サイズを最小とすることができる。より小さなサイズの署名によって、複数の署名端末16をサプライチェーンで利用することができる。これにより、複数の署名が、各タグに残る利用可能なスペースに、順次書き込まれる。この複数の署名は、順次検証が必要とされる。したがって、製品がサプライチェーンを通って移動する際、製品の所在を追跡することが容易になる。
〔RFID認証システムのための鍵管理システム〕
次に、図2の概要で示した鍵配布のための一実施形態として、図10を参照して、鍵管理システム(KMS)400を説明する。図10に示される例では、KMS400は、薬剤の製造段階、サプライチェーン22、および、その後の消費者への流通において、鍵配布の管理を担う。
上述のとおり、薬剤または製品IDコード54のような秘密情報または機密事項を含むRFIDタグ20は、ECPV署名を使って隠すことができる。しかし、隠された部分は、署名端末16公開鍵W1−Tおよびリーダ14の公開鍵Z1−Nそれぞれを使って復元できるので、全体のシステムが分散したり、拡張したり得るように意図されている場合は、一般的には、安全な方法でECPV公開鍵を保護し、その公開鍵の配布を監視し、管理することが望ましい。KMS400は、権限があるリーダ14のみが、製品IDコード54を復元できるように、ECPV公開鍵の配布を管理する目的で使うことができる。よって、以下の例における鍵W1−TおよびZ1−Nは、これらの鍵の使用について管理がなされることによって従来の「公開型」ではないことを前提に、「検証鍵」と称される。
図10に示されるとおり、製造業者402で製造された(RFIDプログラミング、ラベリング、などを含む)製品18は、サプライチェーン22に入ることが可能であり、最終的には、その製品18をさらに消費者に流通させる診療所または薬局408に到達する。製品18は、それ自体に、署名されたRFIDタグ20をつけられている。上記署名は、サプライチェーン20における様々な段階や販売時点でタグ20から読み取られて検証される。よって、診療所または薬局408は、リーダ製造業者410にプログラムされて供給されたRFIDリーダ14を保有する。上述したとおり、署名されたRFIDタグ20の検証には、最新の検証鍵を保有していることが必要である。この検証鍵は、中央KMS400により、配布され、更新され、追跡され、あるいは、管理されている。KMS400は、鍵投入制御部(key inject controllers)422を利用してもよい。これにより、署名されたタグ20の数、プログラムされたリーダ14の数、および、配置済みリーダ14の数を追跡できる。なお、配置済みリーダ14は、リーダ14は、収益を収集するために、ならびに、製品18の流通およびその中身の秘密を保護するために更新される。KMS400は、制御された信頼できる方法にて、配置されているリーダ14に、鍵や関連情報を配布するのに用いられる。これにより、タグ20のECPV署名416は、確実に、「権限の有る」リーダ14によってのみ、認証されるようになる。例えば、権限のないリーダが、薬品IDコード54またはその他機密情報(あるいは、そうでなくてもRFIDタグ20のパッシブタイプメモリのECPV署名に隠された情報)を取得することを防ぐことができる。
図11に示されるように、本例の薬品製造業者402で実施される製造工程は、一部に、RFIDタグのプログラミング段階(programming stage)404、および、薬剤製品のラベリング段階(labeling stage)406を含む。薬剤製品18は、ラベル19を付与されると間もなく、妥当な場合、サプライチェーンに入り、最終的には、診療所または薬局408にたどり着く。そして、そこから、上述したとおり、製品18は、消費者へ流通する(販売される)。
タグプロブラミング段階404は、一般的には、プログラムされていない(好ましくは、前もって焼き付けられた通し番号、または、UIDを含む)RFIDタグ20を取得または受信する。上記RFIDタグ20は、RFIDプログラマ414を用いて、例えば、図5に示されるEPCグローバルコードなどの製品IDコードなどを含むようにプログラムされる。本例では、例えば、ECPV署名などのデジタル署名416は、RFIDプログラマ414によって、タグ20に書き込まれる。RFIDプログラマ414は、インタフェースを有し、鍵投入システム417aによって、少なくとも部分的に制御されることが望ましい。鍵投入システム417aは、署名エージェント419aと、鍵投入サーバ(key inject server)418a(本例においては、プログラミング段階404と同じ位置にある)と、鍵投入制御部422a(通常、鍵投入サーバ418aと安全に通信する外部の主体である)とを含む。本例のRFIDプログラマ414は、タグ20に署名416を作成して書き込むために、署名エージェント419aとの直接のインタフェースを有し、必要な情報を取得する。
一般的に、鍵投入システム417は、装置の登録を離れて監視し、必要であれば、その装置に不変で固有の情報の投入量を測る(meter)システムである。鍵投入システム417の記述一式は、同時係属中の米国特許出願番号11/450,418(出願日:2006年6月12日)にあり、その内容を参照することで本明細書に組み込まれる。本例において、制御部422aは、RFIDプログラミング設備から離れているが、薬品を製造する会社の管理下にあることが好ましいコンピュータシステムである。
鍵投入サーバ418a、署名エージェント419a、RFIDプログラマ414は、同じ場所、または、建物にあってもなくてもよい。鍵投入システム417aの構成要素について、内部および/または外部に接続するネットワーク上に、安全な接続を確立することが好ましい。署名エージェント419aは、好ましくはハードウェアのセキュリティモジュールにおいて、データ記憶装置420を備えている。このデータ記憶装置420は、署名エージェント419が、暗号化、復号化、および、署名などの暗号処理にかかわる機密保護の動作を行うため、および、機密データを保存するために使う、保護された装置である。
記憶装置420は、各製品タイプに対する(例えば、各薬品に対する)鍵対(w,W)を保存する。本例では、薬品製造業者402は、5つ(5)の異なる製品について、署名416を書き込む責任がある。よって、図11に示されるように5つの鍵対を保存する。データ記憶装置420は、同じ施設の複数の製品ライン上または異なる建物に配置される、複数のRFIDプログラマ414からのアクセスを受けることが可能であると解される。よって、製造工程の物流管理に応じて、いくつの鍵投入システム417a、データ記憶装置420、および、RFIDプログラマ414が使われてもよい。ここでは、話を単純にするため、1つの施設内における5つの製品ラインを例に説明する。本例では、製品に適したいずれかの鍵対(w,W)を使って署名416を書き込むように構成された1つのRFIDプログラマ414を備えている共通鍵投入システム417を利用する。鍵投入システム417aは、単に鍵を配布する方法の1つであり、KMS400がそのような工程を、監視し、制御する別の構成を用いてもよいものと理解される。よって、KMS400は、一般的に、鍵を配布するための制御部と考えられ、RFID認証システム全体において含まれる様々な当事者と相互に作用するのに、適用可能なサブシステムならどのようなものでも使うことができる。
署名416は、通し番号、製品18に固有の製品IDコード54、および、他のサプライチェーン22特有のメタデータを用いて、また、その製品18用の秘密鍵を用いて、タグ20に署名することにより生成される。署名416は、上述したとおり、タグ20に書き込まれるECPV署名であることが好ましい。
図11から分かるように、ラベリング段階406では、署名416を含む、プログラムされたRFIDタグ20をラベル19に付け、さらに、ラベル19を製品18に付ける。ラベリング段階406がRFIDプログラミング段階404に統合されていてもよいし、同様に、両者が同じ施設にあってもよい。この場合も、製造工程の性質は、製品18、産業における必要条件などに依存する。そして、図11は単に説明用の一構成である。本例では、ラベリング機(図示せず)を使用してもよいし、望まれる場合、または、署名がラベリング段階406で付加される場合、ラベリング機は、鍵投入システム417aとのインタフェースを有していてもよい。
製品18はラベルをつけられると、輸送、入庫、流通などの工程を含むサプライチェーン22に入れられる。以下で述べられるとおり、追加の署名416を、タグ20に追加することも可能である。および/または、署名416は、サプライチェーンのどの段階でも(または、全ての段階で)RFIDリーダ14によって検証されてもよい。
製品18(ここでは薬品)は、最終的には、1つ以上の診療所または薬局408に到達する。診療所または薬局408は、その後の薬品18の消費者への流通を担うものであり、図14に詳細が示される。各診療所または薬局408は、更新された鍵対を含むリーダ14を備える。更新された鍵対は、ローカルに保存されている。好ましくは安全なハードウェア、つまり、データ記憶装置426に保存されている。図2において概略的に示すように、リーダ14は、各自の鍵対を保存している。この例では、リーダ14は、リーダ1であり、鍵対(z,Z)、対応する証明書CVER1のコピー、CAの証明書CCAのコピー、および、リーダ1が使うことを許可されている検証鍵(例えば、鍵W1−5)を保管している。検証鍵は、以下で説明されるように、KMS400によって、条件付で付与される。
各リーダ14は、図12に示すとおり、鍵投入システム417を使うリーダ製造業者410にてプログラムされる。リーダ製造業者410は、鍵対(z,Z)を生成し、識別目的で装置識別子Devを各リーダ14に割り当てるために、鍵投入システム417を使う。リーダ製造業者410は、KMS400用に装置識別子を記録したデータベース424を備えている。リーダ製造業者のリーダ/プログラマ421は、別の鍵投入エージェント419bとのインタフェースを有している。そして、上記鍵投入エージェント419bは、リーダ14のプログラミングをたどるために、別の鍵投入エージェント418bと通信する。このように、各リーダ14は新しい鍵対を付与されているので、鍵投入サーバ418bは、別の投入制御部422bを介して、KMS400に新しい鍵を折り返し伝えることができ、その様な業務の利益を追跡することができる。
図13に示されるように、KMS400は、CA429、認証サーバ428、および、条件付アクセスデータベース430を備え、領域内のリーダ14が、署名端末16用に更新された証明書を取得できるようにする。その後、これらの証明書は、リーダ14によって、署名端末16の鍵投入エージェント418により生成されるデジタル署名416を検証するために使われる。
署名端末16用の新しい鍵対(w,W)は、いくつかの方法で生成できる。例えば、鍵対は、承認された作業者により、安全な環境下で生成されてもよい。そして、必要に応じて、鍵対を、署名端末16にアップロードしてもよい。他の実施形態においては、鍵対は署名エージェント419、または、鍵投入サーバ418によって、自動的に生成されてもよい。また他の実施形態では、鍵対は、鍵投入制御部422、または、KMS400によって(すなわち、離れた場所で)生成されてもよい。そして、その鍵対は、安全に署名端末16に(すなわち、鍵投入サーバ418、および、エージェント419を介して)送付、または、アップロードされてもよい。新しい鍵対(w,W)は、新しい署名端末16が配置される毎に、または、既存の署名端末16が(例えば、異なる製造ライン用の)複数の鍵を使うことが所望される場合に、必要となる。署名端末16が、新しい鍵対を生成すると、秘密鍵とともに署名された公開鍵を含む証明書の要求が作成される。証明書の要求は、KMS400に折り返し送信される。本例において、証明書の要求の送付は鍵投入制御部422aを通して行われる。鍵投入制御部422aを使うことによって、KMS400が、鍵情報を最新の状態に保つことができるのみならず、正式な合意のない新しい製造ラインを造る不正な試みを抑制することができる。よって、KMS400は、正当に手続きされた各製造ラインの、署名された各タグ20に対応する収益を追跡し、取得することができる。
また、KMS400は、別の鍵投入制御部422bを使って、プログラムされたリーダ14の数を追跡できる。このように、KMS400は、署名端末16によって署名された署名416を検証することができる(また、許可を有する)全てのリーダ14を確実に認識できる。これによって、署名416の復元可能な内容の少なくとも一部が機密、または、秘密の情報である場合、KMS400は全システムの安全性および秘密性をより確実にできる。
同様に、KMS400は、タグ20がサプライチェーン22を通る際に起こる、各署名検証、または、追加の署名書き込み動作を追跡できる。よって、KMS400は適切なエンティティに鍵を安全に配布するだけでなく、鍵配布サービスにおける収益点を確認できる。例えば、KMS400は、署名されたタグ20の数、および、プログラムされたリーダ14の数を追跡し、装置ごとまたはタグごとの使用料を収集できる。また、KMS400は、診療所または薬局408でのリーダの使用についても追跡し、更新された鍵を持つ配置されたリーダ14を同期させることについての、月額料金または定額サービス料金を回収してもよい。そして、診療所または薬局408、および、製造業者402は、その消費者、および/または、その取引先に安全性および秘密性を提供できる。
次に、図15に基づいて、署名端末16用の新しい鍵を生成し、タグ20に署名をするための工程を概略的に示す。上述したとおり、新しい鍵対(w,W)を、安全な環境で生成し、署名エージェント419aに手動でロードできる。もしくは、新しい鍵対(w,W)を、KMS400および/または鍵投入システム417aによって生成し、ロードすることができる。上記新しい鍵対が生成されて署名端末16(例えば、製造業者402)にロードされると、鍵エージェント419aは証明書の要求を生成して、例えば、鍵投入システム417aを通して、KMS400に送信する。なお、図10から図14までに示されるシステムでは、署名端末16、および、リーダ14が常時ネットワーク上にある必要はない。よって証明書の要求は、例えば、eメール、または、その他の通信形式で、KMS400に対する証明書追加の取引上の要求と共に、鍵投入サーバ418aによって、後程に、CA429に送付されてもよい。
取引上の要求は、通常、KMS400と製造業者402との取引関係のパラメータを含む。例えば、署名生成の際には現行の有効な鍵によって更新された状態に製造業者402を維持することに対する、署名ごとの料金(KMS400が回収する料金)に関する合意などが考えられる。また、製造環境の性質、製品18、出来高、単価などによって、定額月料金や単発料金などの別の合意がなされていてもよい。
KMS400により、取引上の合意が処理されると、KMS400は生成された鍵対に対応する証明書CSIGNjを発行し、返信する。証明書は、その証明書を受ける権利があるリーダ14のリストと共に、認証サーバ428におかれる。よって、取引上の要求にも、通常、サプライチェーン22中の好ましい、または、必須の流通者および/または通信者に関する詳細が含まれる。これにより、KMS400は、リーダ14に対する許可を追跡し、それに応じてそれらのリーダ14の鍵を更新できる。また、証明書CSIGNjは、上述したとおり、今後参照するために、署名端末16によっても保存される。なお、署名端末16は、通常の動作において、必ずしも証明書を使うわけではない。
署名エージェント419aに、1つ以上の製品ラインの1つ以上の製品18に対応する、1つ以上の鍵が供給されると、タグ20はプログラミング段階404で署名される。鍵投入システム417aは、署名されたタグ20の数を制限するために、信用取引量(credit pool)を測る(meter)のに用いられてもよい。あるいは、その代わりに、鍵投入システム417aは、安全な報告処理を用いることによって署名されたタグ20の数の簡単な追跡を行ってもよい。例えば、図15に示されるように、タグ20に署名をした後、署名エージェント419aは、署名サーバ418aに、タグ20が署名されたことを示す報告を返す。報告は、特定の実行や移動時に、各タグ20について繰り返される。それから、署名エージェント419aは、次の命令、更新、または、タグ20のバッチ処理を待つ。それから、サーバ418aは、適切な時に、鍵投入制御部422aを通して、KMS400に、署名されたタグの合計数を報告してもよい。あるいは、署名エージェント419aは、署名されたタグの数を追跡し、サーバ418aに合計数を報告し、さらにサーバ418aが制御部422aを通してKMS400に折り返し報告をするようにしてもよい。鍵投入システム417aは、タグの署名を追跡できるだけでなく、特定の時間内に、および/または、特定の製造業者402、または、製造ライン用などについて、署名されたタグ20の数を制限するために、信用取引量(credit pool)を測ることもできる。
次に、図16に基づいて、リーダ14の登録工程を示す。まず、リーダ製造業者410にて、リーダ14が、リーダの鍵対(z,Z)の作成も含めて、製造される。リーダ14は、証明書の要求を生成し、それを、鍵投入システム417bを介して、KMS400に送信する。そして、リーダ14は、対応する証明書CVERiを発行してもらう。それから、リーダ14は、診療所または薬局408、または、サプライチェーン22の中の特定の段階に配置される。リーダ14は配置されると、登録を要求するために、鍵投入システム417bを通して、KMS400に接続される。KMS400は、もしあれば、リーダ14の特定の所持者に権利を与えられている鍵がどれかを判定し、要求の正当性を検証する。正当性が確認された場合、KMS400は、リーダ14に一対の許可を与え、それを記録する。KMS400は、対応する検証鍵Wと共に、これらの許可を示すものを、リーダ14に送る。この時点で、メタデータが添付されてもよい。それから、リーダ14は、好ましくは、ハードウェアセキュリティモジュール(HSM)の中に、安全に鍵を保存し、KMS400に鍵の受領を知らせる。その後、製品18が売られる際に、リーダ14は、タグ20上の署名416を検証するために、上記許可に従い、検証鍵を使ってもよい。
その間、リーダ14は、所定の時間が経過していくつかの鍵が失効している場合があったり、新しい製品18の検証が必要な場合があったりするので、KMS400からの更新を待つ。KMS400は、署名端末16(例えば、製造業者402)から取得されるフィードバックに基づいて、また、製造情報、秘密問題などに基づいて、リーダ14を更新できる。
次に、図17に基づいて、リーダ14の更新処理が示される。KMS400は、まず、証明書の取り消し、製品の期限切れ、および、製品18の有効性とそれに対応する署名416を検証するのに使われる鍵Wの有効性とに影響するその他情報を取得または収集する。この情報は、特定のリーダ14に割り当てられた許可に関するローカルに保存された情報と比較され、各リーダ14の更新の準備が行われる。KMS400は、接続可能な場合(もしくは、ポーリングまたは他の予定されたルーチンを使って)、リーダ14に接続し、更新情報を送信する。それから、KMS400は、リーダ14が更新されたという通知を待ち、その後、次の更新が要求される、および/または、可能になるまで、接続を断つ。
KMS400は、半オンライン状態で作動することができ、よって、リーダ14、および、署名端末16は常にオンライン状態にある専用接続を必要としないことが分かる。KMS400は、必要な時に更新作業をすることができる。または、接続の確立を必要とする予定された更新をすることができる。可能であれば、製造環境、サプライチェーン22、および、流通路経路の性質によって、完全にオンライン状態のシステム、および/または、閉ループのシステムが、1つの主体の中で、使われてもよい。
図18に、KMS400が、最新の鍵を維持することの対価としての、各回の利用料金および定額料金を追跡し、回収ことができるようにする、典型的な利益フローを示す。例えば、署名側では、鍵投入サーバ418aは、書き込まれる署名の数を追跡し、その数を制御部422aに報告するのに用いられてもよい。さらに、必要であれば、鍵投入サーバ418aは、更なる署名の書き込みなどが可能であるかを判断するのに用いられてもよい。(計量(metering))するため、および、さらなる信用取引額(credit)に関して報告をKMS400に返すために、鍵投入サーバ418aが用いられてもよい。あるいは、特定の製造業者402から回収すべき収益を単に報告するために鍵投入サーバ418aが使われてもよい。サーバ418aは、統合された収益レポートをKMS400に対して作成するために、複数の製品ラインの複数の署名エージェント419aを追跡するのに用いることが可能である。制御部422aは、制御部422の動作を(例えば、ログレポートを使って)監視しているKMS400と共に、与信の管理および信用取引額の更新の責任を担う(および、KMS400にこの情報を伝える)ことが望ましい。しかし、KMS400は、適切であれば、更なる与信額を認めてもよい。そして、KMS400は、接続が確立されている間に更新の準備をし、書き込まれた署名416に対する収益を製造業者402から直接回収することもできる。上述したとおり、収益は、対応する取引上の必要条件や取り決めによって、決められる。例えば、KMS400は、前もって所定の数の署名416に対する費用を回収し、その後、個別の署名に対して、追加収益を取得してもよい。
リーダの製造業者410に対して、KMS400は、製造されるリーダ14毎に費用請求してもよい。リーダ14は、費用請求および追跡の必要性のために、鍵投入サーバ418bおよび制御部422bによって、追跡され、KMS400に折り返し報告される。リーダ14が配置されると、KMS400は、正規のサービス料金と引き換えに、鍵を更新することが望ましい。各リーダによる各読み取りを追跡することは、読み取りの失敗などがあるため、案外難しいが、KMS400は、読み取りごとにも料金を請求することができることは解される。また、同様の収益の流れが、他のエンティティが関与する性質により、サプライチェーン22におけるほかの様々な段階を通じて追跡され、取得されることが可能なことがわかる。
〔複数の署名主による署名の集約(Aggregate Signatures for Multiple Signers)〕
署名端末の数が多いまたは署名の数も多い、かつ、署名を保存するためのスペースの量が限られているまたは確保困難な(例えば、RFIDタグ20)場合、全署名の全てを含めたサイズには高い費用がかかる可能性がある。以下の署名方式は、1または複数の署名要素を集約することにより、複数署名の大きさを減少させる。以下の方式は、2つ以上の署名を圧縮する従来の複数署名方式を改良したものである。
以下に示される署名方式は、ここに説明され、例示されるように、RFID署名方式において、複数の署名手段から提供されたものをRFID署名方式に組み込むのに特に適しているが、どのような環境に対しても適用可能であると理解できる。
ある1つの実施においては、以下の集約署名方式(aggregate signature scheme)を、複数の署名端末に(例えば、薬剤サプライチェーンにおけるRFIDタグ20に)採用することができる。
従来、集約署名は、バイリニアペアリング(bilinear pairing)を用いたデジタル署名アルゴリズムに基づいて提案されてきた。アルゴリズムは、従来の署名方式に2つの追加の動作を備えた集約署名方式を定義する。第1の動作で、公開鍵U、...、Uを持つ、t人のユーザによって署名されたメッセージm、m、...、mの署名セットs、s、...、sを取得し、これらを1つの圧縮された署名sに集約する。第2の動作で、メッセージm、m、...、m、および、ユーザの公開鍵U、...、Uが与えられると、集約署名sを検証する。対応するメッセージおよびユーザごとに、すべてのsiの正当性が認められたら、そしてその場合のみ、署名sの正当性が認められる。
以下は、特に、ECPVS署名に好適に使えるが、他のエルガマル(EIGamal)署名にも同じく適用でき、また、同様に、以下に示されるようにECDSAのような別の方式にも、利用できる。
ECPVSおよびECDSA署名方式にを参照にする場合、上記の専門用語が、一貫性を保つために繰り返して使われる。
上述の各例にしたがって、それぞれメッセージMを署名するT個の署名端末16があるものとする。単純化のため、全署名端末のMが同じであるとする。そして、ECPVSを使って署名される場合、復元可能な部分H(例えば、製品ID)、および、可視部V(例えば、UID)も同じであるとする。ある場合において、Vは、各署名端末j、例えば、Vごとに異なるものと理解される。また、上記に代えて、以下においては、署名端末ごとに異なる復元可能なメッセージHを署名することも可能であると考えられる。
以下には、半集約署名方式(semi-aggregate signature scheme)、および、完全集約署名方式(fully-aggregate signature scheme)の、2種類の集約方式について示す。半集約署名方式は、元のサイズの2/3に署名を圧縮できることが分かっている。完全集約署名方式は、いくつかの署名端末16があるにもかかわらず、圧縮された集約署名が、1つの署名サイズであることから、そのように呼ばれている。圧縮率は、T個の署名端末がある場合、T倍である。よって、完全集約方式は、多くの署名端末がある場合に、非常に高い圧縮率を達成することができる。
完全集約は、半集約より、優れた圧縮を行うが、集約署名を作成するのに、各署名端末の協力が必要である。よって、署名端末が、異なる場所にある場合には、適さない場合がある。さらに、例えば、当事者が様々な時間に署名をする場合といった別の状況においては、完全集約署名は不可能である場合がある。しかし、半集約署名は、以下のように、非同期の署名を可能にする。よって、半集約署名を、必要に応じて、完全集約に代えて採用することができる。
〔半集約ECPVS(Semi-Aggregate ECPVS)〕
T個の署名端末のECPVSを用いた半集約署名方式は、第1の署名端末、すなわち、署名端末1が、c内の隠される部分Hを暗号化することによって、従来のECPVS署名(c,s)を算出することにより始まる。次に、署名端末2は、Hを暗号化せずに、cを算出するときにcを暗号化する。そして、別の要素sを、通常の方法で算出して、更新された署名(c,s,s)を算出する。これが、署名端末Tが、cを計算する時にcT−1を暗号化するまで、各署名端末について繰り返される。そして、半集約署名は、(c,s,...s)となる。言い換えれば、各署名端末は、先の“c”要素を暗号化し、さらに、更新された“c”要素を使って、次の“s”要素を生成する。
半集約ECPVS署名を検証するために、検証装置14(例、RFIDリーダ)は、まず、要素(c,s)をECPVS検証することによって、cT−1を復元して、cからcT−1を復号する。次に、検証装置は、(cT−1,sT−1)からcT−2を復元する。これがHの表記H’が復元されるまで繰り返される。それから、H’は、冗長性などの特定の特徴についてチェックされる。もし、その特徴が存在するのであれば、メッセージMはH’とVとを使って再構築される。
半集約方法は、2つの理由のためにそのように呼ばれる。第1に、中間暗号文c,...,cT−1が、最終暗号文cに含まれる必要がない。第2に、検証装置14は、全ての暗号文が復号されるまで、中間署名の、承認または拒絶を引き延ばす。例えば、署名端末2から署名端末Tまでが、冗長性を追加する必要はない。よって、追加の署名端末は、値s,...,sを追加することによって、単にメッセージの拡張を行うだけである。
さらに、半集約署名方式を説明するために、図19、図20を参照しながら、3個の署名端末に対する例を、以下に示す。以下の例は、薬剤サプライチェーンに、特に適用される。薬剤サプライチェーンは、サプライチェーン22の中にある3個の署名端末16を含み、各署名端末16は、物体18(図1も参照)に付けられたRFIDタグ20に加えられた署名に、それぞれが寄与する。半集約署名方式は、どんな環境においても複数の署名を提供するのに用いられ、RFIDシステムに限定されない。
図19に示されるように、署名端末1は、一時的な鍵対(ephemeral key pair)の(k,Q)を生成する。そして、上述したとおり、暗号鍵X=KDF(Q)を生成する。そして、第1の署名端末cについての第1の署名要素が、鍵Xを用いてメッセージMの復元可能な部分Hを暗号化することによって算出される。ここでは、Hには、後の検証のために、十分な冗長性を確実に存在させる。そして、メッセージMの可視部Vを用いて、中間要素hが、ハッシュ関数(例えば、SHA1)を使って算出され、そして、整数eに変換される。この整数eは、署名端末1の秘密鍵wと一時鍵kと共に、第1の署名端末についての第2の署名要素sを生成するために用いられる。本例においては、その後、要素(c,s)をもつ署名が、ECPVSで通常どおりに、RFIDタグ20に書き込まれる。
それから、署名端末2、つまり、第2の署名端末は、別の署名を追加するのではなくて、更新された半集約署名を作成するのに寄与する。この例においては、署名端末2は、サプライチェーンにおける別の地点にある。署名端末2は、署名端末1と同様に、一時鍵対(k,Q)と暗号鍵X=KDF(Q)を生成する。しかし、この段階では、署名端末2は、Xを使って、既存の署名要素cを暗号化して、署名要素cを生成する。中間署名要素h、整数e、および、署名要素sは、上述のように算出されるが、結果として更新された署名は、この時点で、要素(c,s,s)のセットを含む。そのため、署名要素cは、cに暗号化されて、“s”要素(すなわち、この段階ではsとs)が、更新された署名の中に保持される。
本例で、最終署名段階の第3の署名端末、すなわち、署名端末3もまた、現段階でRFIDタグ20上の、(c,s,s)を含む半集約署名に寄与する。先の署名端末16と同様に、署名端末3は、それ自身の暗号鍵(この場合はk)を生成する。その後、更新された“c”の署名要素cを生成するために、kを使って、署名要素cを暗号化する。中間要素h、整数e、および、要素sが、上述したとおり算出され、このようにして更新された(そして、本例においては最終の)署名は、要素(c,s,s,s)を含む。
各段階では、先の署名端末16の“c”要素を組み込まれた新しい署名が、半集約署名の先の形式に上書きされる。よって、半集約署名(c,s,...s)は、RFIDタグ20に個々の署名((c,s),...,(c,s))を書き込む場合よりも小さくなる。
今度は、図20を参照にすると、半集約署名の検証は、通常、各署名段階に対応する段階を含み、本例においては、RFIDタグは、要素(c,s,s,s)とメッセージMの可視部V(例えば、UID)とをもった署名を含む。
段階1では、検証装置14は、要素cと可視部Vを用いてh’を算出し、h’を整数e’に変換し、sおよびe’と署名端末3の公開鍵Wとを用いて、Q’算出する。それから、検証装置14は、同じKDFをQ’に適用してX’を生成する。その後、検証装置14は、X’と、復号補関数(例えば、図20で“DEC”と表記される関数)とを使って、cを復号することにより、cを取得する。
段階2では、検証装置は、cを取得したことで、要素cと可視部Vとを用いて、h’を算出する。そして、検証装置は、h’を整数e’に変換し、sとe’と署名端末2の公開鍵Wとを用いてQ’を算出する。そして、同じKDFをQ’に適用してX’を生成する。それから、検証装置は、X’と復号化補関数とを用いてcを復号し、cを取得する。
段階3では、検証装置は、要素cと可視部Vとを用いてh’を算出し、h’を整数e’に変換する。そして、検証装置は、s、e’、および、署名端末1の公開鍵Wを用いて、Q’を算出する。それから、検証装置は、同じKDFをQ’に適用してX’を生成する。cは、メッセージHの復元可能な部分を暗号化することによって生成されたので、Hの表記であるビット列H’は、X’を用いてcを復号することによって取得される。それから、段階4で、検証装置14は、予測される特徴(本例においてはH’の冗長性など)をチェックする。もし、十分にその特徴があれば、H’を復元可能な部分Hとして受け入れ、例えば、段階5で、H’とVとを結合することによってメッセージMを再構築することができる。その後、検証装置14は、各署名端末が、要素(H,V)で示されるメッセージMを署名した、と結論づけてもよい。
なお、本例において、各署名端末16は1つの可視部Vを処理するが、その代わりに、上記可視部は、署名端末16ごとに異なるVであってもよい。この場合においては、各中間要素h’は、それぞれの可視部Vを使って算出される。そして、検証装置14は、同じそれぞれの可視部Vを用いて、各検証段階を実施する。同一の可視部Vを用いた上述の例は、単純化のために示されたものである。
上記半集約署名方法において、第1署名端末16(例、署名端末1)の後に続く、80ビットの安全性レベルの追加の各署名端末16は、160ビット程度のメッセージ拡張に寄与することが分かる。この160ビット程度のメッセージ拡張は、80ビットの安全性レベルでは、nおよびsのビットサイズである。128ビットの安全性では、署名端末ごとの比較的少ないメッセージ拡張は、256ビット程度である。したがって、上記半集約署名方法は、複数の署名手段に署名に寄与させる場合に特に適している。また、これにより、検証装置は、サプライチェーンにおいて予定されている参加者によってRFIDタグなどが取り扱われたことを保証することができる。半集約署名方式は、記憶領域、帯域、または、その両方が確保しにくいどんな環境にも、同様の利点を提供する。
〔半集約署名の変形例(Semi-Aggregate Signatures - Variations)〕
上述の半集約方法では変形が可能である。例えば、署名端末は、各署名段階で少量の冗長性を追加することも可能である。これは、最低限の量(例、1バイト)の平文への埋め込みを通常必要とする検証過程において修正が必要にならないことを確実にするために行われる。この変形例は、対称暗号方式において、どんなバイト長の平文をも用いることができ、暗号文が平文より長くならないようにする場合に適切である。
別の変形例では、中間平文が先の署名端末の“s”要素を組み込む。この変形例において、最終署名は、(c,s)の形式である。そして、検証装置14は、cなどから、cT−1やsT−1を復元する。半集約署名のこの形式では要素は少ないが、cT−2およびsT−2などの暗号である暗号文c自体が、cT−1やsT−1の暗号であるため、必ずしも、長さが短くなるわけではない。cの長さは最短でも、Hの長さに、s,...,sの長さの合計が加算されたものになると予想され、それは、おおよそ、半集約署名(c,s,...s)の第1の形式と同じ長さである。
別の変形例においては、中間平文が、先の暗号文を含まない、先の“s”の値である。この変形例においては、最後の署名は、(c,...,c,s)の形式である。ここでは、検証装置が、cなどからsT−1を復元する。この場合もまた、署名長は、おおよそ、第1の形式(c,s,...,s)と、同じとなると予想される。
半集約署名方式に関するこの変形例を更に示すために、サプライチェーン22に3つの署名端末16が在る以下の例が、図21および図22を参照にして示される。また、以下の例は、サプライチェーン22中に、それぞれ物18に付けられたRFIDタグ20(図1も参照)に加えられる署名に寄与する3つの署名端末16を含む薬剤サプライチェーンに、特に適用される。
図19と同様に、図21に示されるように、署名端末1は一時鍵対(k,Q)を生成し、暗号鍵X=KDF(Q)を算出する。それから、第1の署名要素cが、メッセージMの復元可能な部分Hを用いて算出され、後の検証用にHの中に十分な冗長性が確実に存在するようにする。メッセージMの可視部Vを用いて、中間要素hがハッシュ関数(例、SHA1)を用いて算出され、hが整数eに変換される。それから、整数eは、署名端末1の秘密鍵wおよび鍵kと共に、第2の署名要素sを生成するために用いられる。この例においては、要素(c,s)を有する署名が、その後、RFIDタグ20に書き込まれる。
それから、既に述べたように、署名端末2は、一時鍵対(k,Q)を生成し、暗号鍵X=KDF(Q)算出することにより、半集約署名に寄与する。ただし、この変形例では、署名端末2は、署名要素cを生成するのに、Xを使って、既存の署名要素sを暗号化する。中間署名要素h、整数e、および、署名要素sは、通常通り算出されるが、その結果の更新された署名は(c,c,s)を含む。このように、署名要素sはcに暗号化されており、“c”要素(すなわち、この段階ではcおよびc)は、上記署名より直接利用できるように保たれる。
それから、上述のように、署名端末3もまた、図21に示されるように、結果としての更新された署名(c,c,c,s)を作成することにより、半集約署名に寄与する。上で述べたのと同様に、署名端末3は、次の“c”要素を生成する際、先の“s”要素を暗号化することによって署名を更新する。そして、各“c”要素の貢献は、更新された状態で署名中に保たれる。
よって、この変形例における各段階で、先の署名端末16の“s”要素を組み込んだ新しい署名が、半集約署名の先の形式に上書きされる。したがって、半集約署名(c,...c,s)は、個々の署名((c,s),...,(c,s))をRFIDタグ20に書き込む場合よりも小さい。
次に、図22を参照すると、上述したとおり、半集約署名の検証には、各署名段階に応じた段階が含まれる。そして、この例においては、RFIDタグ20は、要素(c,c,c,s)とメッセージMの可視部V(例、UID)とを有する署名を含む。
段階1において、検証装置14は、要素c、および、可視部Vを用いてh’を算出し、h’を整数e’に変換し、s、e’および署名端末3の公開鍵Wを用いてQ’を算出する。それから、検証装置14は、同じKDFをQ’に適用して、X’を生成する。その後、検証装置14は、X’と、例えば、図22で“DEC”と表記される復号補関数とを用いてcを復号化することにより、sを取得する。
検証装置は、sを取得したので、段階2では、要素cおよび、可視部Vを用いてh’を算出し、h’を整数e’に変換する。それから、検証装置は、s、e’および署名端末2の公開鍵Wを用いて、Q’を算出する。それから、同じKDFをQ’に適用して、X’を生成する。そして、検証装置は、X’と暗号補関数とを用いてcを復号化することにより、sを取得する。
段階3では、検証装置は、要素cと可視部Vとを用いてh’を算出し、h’を整数e’に変換する。そして、(段階2で復元された)sと、e’、および、署名端末1の公開鍵Wを用いて、Q’を算出する。それから、検証装置は、同じKDFをQ’に適用してX’を生成する。この変形例において、X’は先に復元されたsを持つことによってのみ復元可能である。上述したとおり、cはメッセージHの復元可能な部分を暗号化することによって生成されたので、Hの表記であるビット列H’は、X’を用いてcを復号することにより取得される。それから、段階4で、検証装置14は、予測される特徴(本例においてはH’の冗長性など)をチェックする。もし、十分にその特徴があれば、H’を復元可能な部分Hとして受け入れる。検証装置14は、段階5で、例えば、H’とVとを結合することによって、メッセージMを再構築することができる。その後、検証装置14は、各署名端末が、メッセージMを署名した、と結論づけてもよい。
各署名端末16に対して、復元可能な部分Hが、同じでない場合もある。例えば、復元可能なメッセージの部分が、各署名端末16に対してHであるとする。非集約方式の場合、メッセージHに対して、各署名端末16のECPVS署名(c,s)があり、メッセージHはc中に符号化される。署名が集約される場合、各メッセージは符号化される必要がある。
半集約署名を実現する第1のやり方では、個々に区別したメッセージHを、中間平文に付加することにより、変更が可能である。中間平文は先の中間暗号文であったと解されたため、先の暗号文は、現行の復元可能なメッセージの部分に連結させる(concatenated)(または、別の方法で組み合わせる)ことができる。第1平文PTは、十分な冗長性を保つために必要な埋め込みを持つH1である。そして、中間平文は、PT=c||Hなどにしたがって算出される。
例えば、署名端末3は、一時鍵対(k,Q)を生成し、X=KDF(Q)を算出し、さらに、
Figure 0005260523
を計算し、それから、h=HASH(c||V)を算出してeに変換し、s=e+k(mod n)を計算する。この変形例において、最終的な集約署名は、(c,s,...s)の形式である。しかし、cの長さは、Hの長さだけではなく、少なくとも個々に区別したメッセージH,H,...,Hをまとめた長さになる。署名されたメッセージはより長くなっているが、メッセージの拡張は、上記と同様である。これは、要素cが、署名される復元可能なメッセージの全長ほど長くないからである。あるいは、メッセージの拡張は、主に“s”によって生じるということができ、これは、個々に区別した復元可能な部分Hまたは1つの復元可能な部分Hがあるか否かにかかわらずいえることである。上述した変形例は、個々に区別した可視部Vと同じく、個々に区別した復元可能な部分Hを用いた半集約署名の実施形態として、実現できると理解される。
〔暗示的証明書と共に使われる半集約署名(Semi-Aggregate Signatures used with Implicit Certificates)〕
上述の半集約署名方法はまた、暗示的証明書(Implicit Certificates)と合わせて用いることも可能である。アリスとボブとを通信者とする暗示的証明書に関して、アリスは、ボブ、または、あるディレクトリより、ボブの暗示的証明書Cを取得する。この単一の時点から、アリスはボブの公開鍵をB=Hash(C,I)+QCAにしたがって算出する。ここで、Iは、ボブ、証明機関(CA)、および、有効期間や鍵の使用法などの他の付属情報を識別する文字列であり、QCAは、識別されたCAの公開鍵である。ここでアリスは、Bをボブの潜在的に認証された公共鍵として用いることができる。その潜在的な性質は、アリスは、ボブだけがBに対応する秘密鍵を知っていると確信することはできるが、アリスはボブが実際に秘密鍵を知っていることは確信できない、という事実によるものである。しかし、間もなく、アリスは、ボブに秘密鍵を用いるように求める。このように、アリスは彼女がBを使う必要があるのとほぼ同時に、この問題に気がつくことができる。
半集約署名に関して、もし、署名端末jが暗示的証明書CSigner jを有するならば、検証装置14は、署名端末jの公開鍵をQSigner j=Hash(CSigner j,ISigner j)+QCA jにしたがって算出する。この式において、ISigner jは署名端末jに対応する証明書情報であり、QCA jは、暗示的証明書CSigner jを発行したCAの公開鍵である。
例えば、検証装置14が、署名端末2がECPVSを用いて署名した平文を復元しようとする場合、署名端末14は、通常、h’=HASH(c||V)を計算し、整数e’に変換して、そこから、Q’=sG−e’Wを計算して、最終的にX=KDF(Q’)を算出する。ここで、暗示的証明書Cがある場合は、上記各計算は、代わりに、h’=HASH(c||V)HASH(c||I)mod n、および、X=sG+e’C+Hash(c||V)QCA2のようにそれぞれ行われる。
シャミルのトリック(Shamir’s trick)、および、ソリナス(Solinas)のJSF(“Joint Sparse Form”)などとして知られる既知の方法は、CからQをまず算出してから、上述の式にてXを算出するのに比べて、Xの1つの計算で、計算速度を上げることができる。明示的名証明書が用いられた場合、検証装置14は、公開鍵Qに基づいて算出されたCAの明示的署名を検証する必要があるが、これにはより長い時間かかると理解される。
よって、半集約ECPVS署名のいくつかの変形例が用いられることが分かる。上述のとおり例示された薬剤サプライチェーン22に関しては、製造業者、卸売業者、流通者、および、荷送人は、それぞれ、荷物18に付けられたRFIDタグ20に、彼ら自身のECPVSを追加してもよい。RFIDタグ20上のデータに利用できるスペースは限られているため、半集約署名は、1つの限られたスペースの中により多くの署名をはめ込むことを可能にするので、上記のような用途に有益である。荷物18が薬局に到着すると、集約署名の検証が可能となる。その結果、薬局は、サプライチェーン22の全配送工程を通じて、認証された通信者によって配送処理がなされたものと結論付けることができる。上記の原則は、同様に、他のシステムにも適用され、製薬環境や、RFID認証システムにおける使用に限定されないことは明らかである。
〔完全集約ECPVS署名(Fully-Aggregate ECPVS Signatures)〕
複数の署名端末の協力が得られるある場面において、完全集約ECPVS署名方式を用いることができる。以下の方式においては、T個の署名端末が協働して、通常T個の別個のECPVS署名となるものを、T個の全署名端末のECPVS署名を効果的に1つに集約する。
一般に、署名端末jは、秘密鍵wと公開鍵Wとを有する場合、署名端末jは、一時鍵対(k,Q)を生成し、その後、従来のECPVSでされているように、また、上で詳細が説明されたように、暗号鍵X=KDF(Q)を生成する。集約暗号鍵は、その後、X=X+X+...+Xにしたがって算出される。
上述の各記述のように、この場合、メッセージMの復元可能な部分Hが、暗号鍵を用いて暗号化される。ここでは、暗号鍵は暗号文c=ENCX(H)を取得するための集約暗号鍵Xである。復元可能な部分が変わる場合、HはHに置き換えられ、cはcに置き換えられる。
それから、中間要素h=HASH(c||V)がcから算出され、中間要素hは、整数eに変換される。そして、各署名端末jは、“s”要素を算出する。例えば、s=ew+k(modn)にしたがって算出する。
集約s値は、その後、S=S+...+Sにしたがって算出され、集約署名は(c,s)となる。ここで、cはHを暗号化する。個々に区別されたメッセージの部分Hがある場合、集約署名は、半集約署名、すなわち、(c,...,c,s)と一見類似している。後者の集約署名は、前者の署名ほど完全には集約されていない。これは、完全集約において、メッセージ拡張は、署名端末の数が増えるにつれて大きくはならないが、各暗号文cが冗長性を与えるようにメッセージ拡張にいくらか貢献しているためである。
これを克服するために、ECPVSにおいて利用するための復元可能なメッセージHに埋め込みを行う一般的な方法は、十分に長い文字列SをメッセージHの先頭に付けてH’=S||Hとするものである。もし全ての署名端末が同一のSを用いて、S=Sとする場合、署名端末に共通するある固定文字列cと、各署名端末の固有の文字列c’とについて、c=ENC(H)=ENC(S||H)=c||c’であってもよい。対称暗号方式が、ストリーム暗号の性質を有する場合、上述したとおりになる可能性が高い。CBCモードにおけるAESなどのような対称暗号方式に関して、Sが、(一般に128ビット、または、16バイトの)AESのブロックサイズと一致するある長さを有する場合には、上述したとおりになる。この場合、集約署名は、より簡潔に、(c,c’,...,c’,s)と表すことができる。そして、メッセージ拡張は、(c,s)だけとなる。これは、単一の署名がなされたメッセージのサイズであり、完全集約となる。
ストリーム暗号が用いられる場合、メッセージのどこに共通部分があっても、暗号文も共通の部分を有する。したがって、メッセージ拡張をさらに減らすために共通の暗号文の部分が一度だけ送られる。そのため、共通部分がメッセージの先頭でなくてもどこで起こっているのかにかかわらず、暗号文の共通部分を活用できる。これは、例えば、ストリーム暗号のようなCTRモード、または、(64、または、128ビットの塊の)ECBモードにおいて適用されるブロック暗号についてと同様に、ある固定された形式を有するメッセージについて、起こりうる。
検証用に、1つの可視部Vがある場合、中間要素は、h’=HASH(c||V)にしたがって算出され、前述のように、h’は整数e’に変換される。そして、一時公開鍵Q’は、Q’=sG−e’(W+...+W)にしたがって算出され、そこから、復号鍵が、X=KDF(Q’)として算出される。しかし、個々に区別される明らかな部位Vがある場合、各中間要素は、h’=HASH(c||V)にしたがって算出され、一時公開鍵Q’は、Q’=sG−(e’W+...+e’W)にしたがって算出されることに注意されたい。また、復元可能な部分Hが、署名端末16によって異なる場合、各cの存在は、cに置き換えられることにも注意されたい。
Q’=sG−e’(W+...+W)の計算は、一般的により効率的に計算できるだけでなく、(c,s)が公開鍵W+W+...+Wに対して有効なECPVS署名であることを示している。
それから、検証装置14は、復号鍵Xを用いてcを復号化することにより、平文H’を取得してもよい。復号鍵Xは、同じKDFを用いることによって一時鍵Q’から導き出せるものである。H’が必要な冗長性を有する場合、メッセージMを、例えば、H’とVとを連結することによって再構築することができる。そして、検証装置14は、各署名端末が上記メッセージに署名したと結論付けることができる。
図23および図24を参照にして、署名端末1ないし3までを用いた例を示す。図23に示すとおり、各署名端末16は、Xを算出する際、1つの要素を提供する。そして、各署名端末16は、中間要素h’を用いて、署名に利用される集約体sに与えられる“s”要素を算出する。
また、図24に示すとおり、一時公開鍵が、各署名端末の公開鍵の組み合わせを用いて再構築され、復元可能な部分Hの表記H’は、公開鍵を用いてcから復号される。
各署名端末16が、個々に区別された復元可能な部分Hを用いる場合、H’を復元するステップは、H’=DEC(c)に置き換えられる。
上述の完全集約方法では、各署名端末16の積極的な関与が必要となる。新しい署名端末16が集約体に加えられる場合、先の署名端末らは、新しい寄与(contribution)sを署名要素sに提供する必要がある。新しい署名端末が別の署名を加えることができた場合、半集約ECPVSと比較すると不都合がある。したがって、半集約署名、または、完全集約署名のどちらが、所定の用途に対してより適切であるのかを決定するのに上述の検討が用いられる。
安全上の理由のため、QSigner jについての証明書を取得した署名端末jが、秘密鍵の所持証明(POP;proof-of-possession)を、CAに(または、それができない場合は検証装置に)提供することが、集約ECPVSにおいては好ましい。通常、公開鍵に署名するためのPOPは、CAに送付された証明書の要求に署名することによってなされる。検証装置は、通常、CAが証明書を発行する時に、CAに頼って、各証明書の対象主体からPOPを取得する。
また、完全な集約ECPVS署名は、暗示的証明書と合わせても機能する。例えば、署名端末jが、暗示的証明書CSigner jを有する場合、検証装置14は、署名端末jの公開鍵を、W=Hash(CSigner j,ISigner j)CSigner j+QCA jにしたがって算出することが可能である。ここで、ISigner jは署名端末jに関連付けられた証明書情報であり、QCA jは、暗示的証明書CSigner jを発行したCAの公開鍵である。半集約署名の場合と同様に、Qの計算が、Xの算出用の式に代用されてもよい。これは、まずQを算出してからXを算出する場合よりも、よりよい性能をもたらすことが可能である。
〔その他の署名方式〕
他のエルガマル(ELGamal)タイプの署名は、上述の半集約方式または上記完全集約方式を適用するために、ECPVSに関する上記の原理を用いることができる。EDCSAのような、他の署名方式には、追加の検討を当然必要とする、十分に異なった特徴がある。
〔ECDSA署名の集約(Aggregating ECDSA Signatures)〕
例えば、ECDSAがRFIDタグ20に署名するために使われる薬剤サプライチェーン22においても、ECDSA署名をひとまとめにすることが望ましい。図25および図26は、そのような実施形態を示す。
上記と同様に、T個の署名端末が、どのようにして、対応するT個のECDSA署名が有効な場合に、および、その場合にのみ有効になる完全集約署名を作成するために、協力できるかを検討する。上述のECDSAに関する記載が参照にされる。
各署名端末は、ランダムな値kを選択し、R=kPの値を算出する。この算出結果は、別の署名端末らに送信される。共通の値のRは、R=R+...+Rにしたがって算出される。よって、R=kPのように対応するkは、k=k+...+kとなる。署名端末jは、共通鍵kに提供したkしか知らないので、個々の署名端末のいずれも値kを知らない。同様に、d=d+...+dは、各署名端末の共用秘密鍵を表す。ここでは、個々の署名端末のどれにも、dの値全体は分からない。したがって、対応する公開鍵は、個々の署名端末の公開鍵の和、すなわち、W=dP=dP+...+dP=W+...+Wとして算出される。
第1の署名要素rは、r=f(R)にしたがって算出される。ここで、f()は、特定のECDSAの実施形態において、ある点のx座標を整数に変換するために通常用いられる関数であり、nを法とする整数を減少させる関数である(上記のEDCSAの定義も参照のこと)。
最後に、第2の署名要素sが、s=k−1(H(m)+rd)mod nにしたがって算出されて、上記署名が(r,s)のように算出される。この署名は、共通公開鍵W=W+...+Wに基づくメッセージM上の有効なECDSA署名となる。
集約ECDSA署名の検証は、検証装置14が、まず、共通公開鍵W=W+...+W(ここで、Wは署名端末jの公開鍵である)を算出すること、および、共通公開鍵Wに基づいて(例えば、RFIDタグ20を読み取ることによって)、(r,s)を検証することによって行われる。
値sは、図示されるどの個別の署名端末16も完全には知ることができない秘密の値である、dおよびkから算出される。同様に、どの署名端末16も、他のどの署名端末の秘密鍵も知ることができない。このレベルの安全性を維持するために、各署名端末16は、複数の当事者による安全な計算を行うための既知の方法の1つを用いることができる。その方法とは、複数の主体が、どの当事者もそれ自身の秘密を他の当事者に一切明かすことなく、個々に秘密を保持する複数の関数である値を計算することを可能にする方法である。安全な複数当事者の計算の既知の方法は、チャウム(Chaum)他著の“複数当事者の無条件に安全なプロトコル(Multi-party unconditionally secure protocols)”(in Proc. of ACM STOC’88, 1988)、および、ベン・オア(Ben-Or)他著の“非暗号の耐障害性分散型計算の方式ための完全性定理(Completeness theorems for non-cryptographic fault-tolerant distributed computation)”(in Proc. of ACM STOC’88, 1988, pp. 1-10)に記載されている。
以上のとおり、複数の署名端末からの複数の署名を、メッセージ拡張をより少なくして達成できることが明らかになった。半集約署名方式と完全集約署名方式の両方が、利用可能であり、特に、ECPVSおよびECDSAに適用可能である。複数署名は、上述の署名のための保存スペースの量が確保しにくい応用場面において特に有益である。そして、複数署名によって、例えば、製剤サプライチェーン22におけるRFIDタグ20のように、製造工程の様々な段階で署名を書き込むことが可能になる。
当該発明は、具体的な実施形態を参照にして上記に記載されたが、請求項に示した発明の精神、および、範囲で種々の変更が可能であり、その様々に変更された実施形態も、本発明の技術的範囲に含まれることは、当業者に明らかである。

Claims (14)

  1. 無線周波識別(RFID)タグ(20)に安全性を付加する方法であって、前記方法は、
    前記RFIDタグ(20)に付加されるべきデータを取得することと、
    前記データの隠されるべき部分を決定することであって、前記部分は、前記RFIDタグ(20)が取り付けられる製品を識別する製品識別子を含む、ことと、
    メッセージの復元を伴う楕円曲線(EC)暗号方式を用いて前記RFIDタグ(20)に署名することにより、署名を生成することであって、前記署名は、前記データの前記部分を暗号化するための署名要素を含む、ことと、
    前記署名と、前記データの残りの部分を前記RFIDタグ(20)に格納することであって、前記データの残りの部分は、隠されていない、ことと
    を含む方法。
  2. 前記暗号方式は、ECPV(楕円曲線Pintsov−Vanstone)署名方式を含み、前記署名することは、前記データの部分が所定の量の冗長性より少ない冗長性を有する場合に、前記データの部分に埋め込み行うことをオプションとして含む、請求項1に記載の方法。
  3. 前記暗号方式が埋め込みを伴うECPV署名方式を含む場合に、前記RFIDタグ(20)の未使用のデータブロックは、前記埋め込みを提供するために用いられる、請求項2に記載の方法。
  4. 前記製品識別子は、製品タイプを識別し、前暗号方式が埋め込みを伴うECPV署名方式を含む場合に、前記埋め込みを行うことは、前記RFIDタグ(20)上に存在するデータの別の部分の固有の冗長性を通して提供される、請求項2または請求項3に記載の方法。
  5. 前記RFIDタグ(20)は、複数のEC署名を収容するために十分に大きいように選択される、請求項1から4のいずれか一項に記載の方法。
  6. 前記データは、前記RFIDタグ(20)のシリアル番号と識別コードとの組み合わせを含む、請求項2に記載の方法。
  7. 前記署名することは、対応する検証鍵を有する秘密鍵を用いることを含み、前記データの前記部分は、前記検証鍵を用いて、認証されたRFIDリーダ(14)によってのみ復元されることが可能である、請求項1に記載の方法。
  8. 選択された1つ以上の認証されたRFIDリーダ(14)に前記検証鍵を配布することによって、前記検証鍵に対するアクセスを制御することをさらに含む、請求項7に記載の方法。
  9. 前記署名は、前記データの前記部分を暗号化する第1の要素と、前記秘密鍵と前記第1の要素とを用いて生成される第2の要素とを有し、前記方法は、第3の要素の中に前記第1の要素を暗号化することによって更新された署名を生成することと、前記第3の要素を用いて第4の要素を生成することとを含み、前記更新された署名は、前記第2の要素と、前記第3の要素と、前記第4の要素とを含む、請求項7に記載の方法。
  10. 先の署名要素を次の署名要素の中に暗号化することと、次の別の署名要素を生成するために前記次の署名要素を用いることとによって、1つ以上の追加の署名を生成することをさらに含む、請求項7に記載の方法。
  11. RFIDタグ(20)を認証することをさらに含み、
    前記RFIDタグ(20)を認証することは、
    前記RFIDタグ(20)を取得することと、
    検証鍵を用いて前記署名要素を暗号化することにより、前記データの前記部分を取得することと、
    所定の特性に対して前記データの前記部分を検査することにより、前記署名を検証し、これにより、前記RFIDタグ(20)を認証することと
    によって行われる、請求項1に記載の方法。
  12. 請求項1〜10のいずれか一項に記載の方法に従って署名されたRFIDタグ(20)。
  13. RFIDタグ(20)を読み取るためのRFIDリーダ(14)と、
    前記RFIDタグ(20)に署名するための暗号化モジュール(30)と
    を含むRFID署名端末(16)であって、
    前記暗号化モジュール(30)は、請求項1〜10のいずれか一項に記載の方法を実行するように構成されている、RFID署名端末(16)。
  14. RFIDタグ(20)上のEC暗号化署名を検証するための暗号化モジュール(30)を含むRFIDリーダ(14)であって、前記暗号化モジュール(30)は、請求項11に記載の方法を実行するように構成されている、RFIDリーダ(14)。
JP2009526989A 2006-09-08 2007-09-10 無線周波識別(rfid)認証およびそのための鍵配信システム Active JP5260523B2 (ja)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US82492106P 2006-09-08 2006-09-08
US60/824,921 2006-09-08
US86556606P 2006-11-13 2006-11-13
US60/865,566 2006-11-13
US92981607P 2007-07-13 2007-07-13
US60/929,816 2007-07-13
PCT/CA2007/001567 WO2008028291A1 (en) 2006-09-08 2007-09-10 Authenticated radio frequency identification and key distribution system therefor

Related Child Applications (2)

Application Number Title Priority Date Filing Date
JP2013051470A Division JP2013118706A (ja) 2006-09-08 2013-03-14 無線周波識別(rfid)認証およびそのための鍵配信システム
JP2013051471A Division JP2013118707A (ja) 2006-09-08 2013-03-14 無線周波識別(rfid)認証およびそのための鍵配信システム

Publications (2)

Publication Number Publication Date
JP2010503295A JP2010503295A (ja) 2010-01-28
JP5260523B2 true JP5260523B2 (ja) 2013-08-14

Family

ID=39156776

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2009526989A Active JP5260523B2 (ja) 2006-09-08 2007-09-10 無線周波識別(rfid)認証およびそのための鍵配信システム
JP2013051470A Ceased JP2013118706A (ja) 2006-09-08 2013-03-14 無線周波識別(rfid)認証およびそのための鍵配信システム
JP2013051471A Withdrawn JP2013118707A (ja) 2006-09-08 2013-03-14 無線周波識別(rfid)認証およびそのための鍵配信システム

Family Applications After (2)

Application Number Title Priority Date Filing Date
JP2013051470A Ceased JP2013118706A (ja) 2006-09-08 2013-03-14 無線周波識別(rfid)認証およびそのための鍵配信システム
JP2013051471A Withdrawn JP2013118707A (ja) 2006-09-08 2013-03-14 無線周波識別(rfid)認証およびそのための鍵配信システム

Country Status (6)

Country Link
US (4) US8185744B2 (ja)
EP (2) EP2076799A4 (ja)
JP (3) JP5260523B2 (ja)
CN (1) CN101535845B (ja)
CA (1) CA2662675C (ja)
WO (1) WO2008028291A1 (ja)

Families Citing this family (155)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8332656B2 (en) * 2007-01-09 2012-12-11 Mojix, Inc. Systems and methods for secure supply chain management and inventory control
US9246687B2 (en) * 2007-02-28 2016-01-26 Broadcom Corporation Method for authorizing and authenticating data
CA2593897C (en) * 2007-07-16 2016-06-14 Tet Hin Yeap Method, system and apparatus for accessing a resource based on data supplied by a local user
KR100930695B1 (ko) * 2007-08-06 2009-12-09 현대자동차주식회사 디알엠 시스템 및 디알엠 콘텐츠 관리방법
WO2009046088A1 (en) 2007-10-01 2009-04-09 Neology, Inc. Systems and methods for preventing transmitted cryptographic parameters from compromising privacy
US8693692B2 (en) * 2008-03-18 2014-04-08 Cisco Technology, Inc. Direct delivery of content descrambling keys using chip-unique code
US8220038B1 (en) * 2008-04-25 2012-07-10 Lockheed Martin Corporation Method for securely routing communications
US8219799B1 (en) 2008-04-25 2012-07-10 Lockheed Martin Corporation Secure communication system
US9100361B1 (en) 2008-04-25 2015-08-04 Lockheed Martin Corporation Secure routing module
FR2931336B1 (fr) * 2008-05-19 2011-02-11 Eads Secure Networks Procedes et dispositifs d'emission et d'authentification de messages pour garantir l'authenticite d'un systeme
US20090327735A1 (en) * 2008-06-26 2009-12-31 Microsoft Corporation Unidirectional multi-use proxy re-signature process
US20100141430A1 (en) * 2008-12-04 2010-06-10 Nortel Networks Limited Mobile tag local data reporting system
US8582775B2 (en) * 2009-02-12 2013-11-12 General Motors Llc Method of securing and authenticating data using micro-certificates
WO2010124390A1 (en) 2009-04-30 2010-11-04 Certicom Corp. System and method for authenticating rfid tags
DE102009022850A1 (de) * 2009-05-27 2010-12-02 Siemens Aktiengesellschaft Authentifikation eines RFID-Tags mit einem asymmetrischen Kryptographieverfahren
US9135424B2 (en) * 2009-05-29 2015-09-15 Paypal, Inc. Secure identity binding (SIB)
US9734496B2 (en) 2009-05-29 2017-08-15 Paypal, Inc. Trusted remote attestation agent (TRAA)
JP5337582B2 (ja) 2009-06-01 2013-11-06 株式会社日立製作所 正当性が保証されたidの生成方法及び正当性保証rfidタグ
US9159046B2 (en) * 2009-06-29 2015-10-13 Sap Se Systems and methods for implementing supply chain visibility policies
US9306750B2 (en) * 2009-07-16 2016-04-05 Oracle International Corporation Techniques for securing supply chain electronic transactions
US8710952B2 (en) * 2009-09-08 2014-04-29 The Regents Of The University Of California RFID reader revocation checking using low power attached displays
EP2355402A1 (en) * 2010-01-29 2011-08-10 British Telecommunications public limited company Access control
KR20110090602A (ko) * 2010-02-04 2011-08-10 삼성전자주식회사 인증서버 없이 공개키를 인증하는 방법 및 장치
US10826885B2 (en) * 2010-03-02 2020-11-03 Liberty Plugins, Inc. Digital certificate and reservation
US9544143B2 (en) 2010-03-03 2017-01-10 Duo Security, Inc. System and method of notifying mobile devices to complete transactions
US9532222B2 (en) 2010-03-03 2016-12-27 Duo Security, Inc. System and method of notifying mobile devices to complete transactions after additional agent verification
US8204507B2 (en) 2010-03-12 2012-06-19 Research In Motion Limited Supplemental node transmission assistance in a wireless communications network
US9189904B1 (en) 2013-08-21 2015-11-17 Impinj, Inc. Exit-code-based RFID loss-prevention system
US8593257B1 (en) * 2010-06-14 2013-11-26 Impinj, Inc. RFID-based loss-prevention system
US8866596B1 (en) * 2010-09-25 2014-10-21 Impinj, Inc. Code-based RFID loss-prevention system
EP2405621B1 (en) * 2010-07-07 2013-08-28 Siemens Aktiengesellschaft A method of time synchronization communication
CN103069745B (zh) * 2010-08-24 2017-04-19 皇家飞利浦电子股份有限公司 基于属性的数字签名
US8872636B1 (en) * 2010-09-25 2014-10-28 Impinj, Inc. Algorithm-based RFID loss-prevention system
US8866595B1 (en) * 2010-09-25 2014-10-21 Impinj, Inc. Ticket-based RFID loss-prevention system
US8581702B2 (en) 2010-11-16 2013-11-12 International Business Machines Corporation Information management using a custom identifier stored on an identification tag
FR2970357B1 (fr) * 2011-01-07 2013-01-11 Oridao Dispositif et procede de tracage
US20120233457A1 (en) * 2011-03-08 2012-09-13 Certicom Corp. Issuing implicit certificates
US8661240B2 (en) 2011-04-29 2014-02-25 International Business Machines Corporation Joint encryption of data
DK2715616T3 (en) 2011-05-31 2015-01-19 Copy Stop Systems Aps Communication device verification system and security communication device
CA2838322C (en) * 2011-06-10 2016-10-11 Certicom (U.S.) Limited Secure implicit certificate chaining
US10110386B2 (en) 2011-06-10 2018-10-23 Certicom Corp. Implicitly certified digital signatures
US20120331303A1 (en) * 2011-06-23 2012-12-27 Andersson Jonathan E Method and system for preventing execution of malware
US9467463B2 (en) 2011-09-02 2016-10-11 Duo Security, Inc. System and method for assessing vulnerability of a mobile device
US9524388B2 (en) 2011-10-07 2016-12-20 Duo Security, Inc. System and method for enforcing a policy for an authenticator device
US8819428B2 (en) 2011-10-21 2014-08-26 Ebay Inc. Point of sale (POS) personal identification number (PIN) security
US9503267B2 (en) 2011-12-28 2016-11-22 Certicom Corp. Generating digital signatures
US9691056B2 (en) 2012-03-07 2017-06-27 Clearxchange, Llc System and method for transferring funds
US11593800B2 (en) 2012-03-07 2023-02-28 Early Warning Services, Llc System and method for transferring funds
US10395223B2 (en) 2012-03-07 2019-08-27 Early Warning Services, Llc System and method for transferring funds
US10395247B2 (en) 2012-03-07 2019-08-27 Early Warning Services, Llc Systems and methods for facilitating a secure transaction at a non-financial institution system
US10970688B2 (en) 2012-03-07 2021-04-06 Early Warning Services, Llc System and method for transferring funds
US10318936B2 (en) 2012-03-07 2019-06-11 Early Warning Services, Llc System and method for transferring funds
US9116969B2 (en) * 2012-04-30 2015-08-25 International Business Machines Corporation Generation of electronic pedigree
US20130303085A1 (en) 2012-05-11 2013-11-14 Research In Motion Limited Near field communication tag data management
EP2677473A1 (en) * 2012-06-21 2013-12-25 Nxp B.V. Production method, rfid transponder, authentication method, reader device and computer program product
US9681302B2 (en) * 2012-09-10 2017-06-13 Assa Abloy Ab Method, apparatus, and system for providing and using a trusted tag
CN103685414B (zh) * 2012-09-18 2017-03-22 英业达科技有限公司 通过无线桥接连接外部服务器的系统及其方法
US9135436B2 (en) * 2012-10-19 2015-09-15 The Aerospace Corporation Execution stack securing process
EP2770663A1 (en) 2013-02-21 2014-08-27 Michal Pawlukiewicz Encryption Key-Based Product Authentication System and Method
US9607156B2 (en) 2013-02-22 2017-03-28 Duo Security, Inc. System and method for patching a device through exploitation
US9338156B2 (en) 2013-02-22 2016-05-10 Duo Security, Inc. System and method for integrating two-factor authentication in a device
US9489785B2 (en) 2013-03-14 2016-11-08 Covidien Lp RFID secure authentication
CA2904150A1 (en) 2013-03-15 2014-09-18 Assa Abloy Ab Method, system, and device for generating, storing, using, and validating nfc tags and data
WO2014177934A2 (en) 2013-03-15 2014-11-06 Assa Abloy Ab Chain of custody with release process
DE102013205051A1 (de) 2013-03-21 2014-09-25 Siemens Aktiengesellschaft Aktualisieren eines digitalen Geräte-Zertifikats eines Automatisierungsgeräts
US20150006900A1 (en) * 2013-06-27 2015-01-01 Infosec Global Inc. Signature protocol
US10237072B2 (en) * 2013-07-01 2019-03-19 Assa Abloy Ab Signatures for near field communications
US9565022B1 (en) * 2013-07-02 2017-02-07 Impinj, Inc. RFID tags with dynamic key replacement
US9092302B2 (en) 2013-09-10 2015-07-28 Duo Security, Inc. System and method for determining component version compatibility across a device ecosystem
US9608814B2 (en) 2013-09-10 2017-03-28 Duo Security, Inc. System and method for centralized key distribution
US9418266B1 (en) * 2013-09-26 2016-08-16 Halliburton Energy Services, Inc. Tracking oilfield assets with a universal identification protocol
GB201317292D0 (en) * 2013-09-30 2013-11-13 Bibliotheca Ltd Control system nad method for programmable tags
US9774448B2 (en) 2013-10-30 2017-09-26 Duo Security, Inc. System and methods for opportunistic cryptographic key management on an electronic device
US9191213B2 (en) * 2013-12-18 2015-11-17 Xerox Corporation Methods and systems for messaging with physical presence and temporal verifications
WO2015100109A1 (en) * 2013-12-27 2015-07-02 Abbott Diabetes Care Inc. Systems, devices, and methods for authentication in an analyte monitoring environment
JP6373003B2 (ja) * 2013-12-27 2018-08-15 日本信号株式会社 人体通信システムおよび人体通信カードホルダ
CN103778449B (zh) * 2014-01-20 2017-03-22 中国科学院数据与通信保护研究教育中心 一种区域内移动存储装置的跟踪监控系统和方法
BR112014011015B1 (pt) * 2014-04-04 2020-11-10 Sicpa Holding Sa método de geração de dados em uma cadeia de suprimento de óleo e gás, interface geradora de dados e meio legível de computador não transitório
US9762590B2 (en) 2014-04-17 2017-09-12 Duo Security, Inc. System and method for an integrity focused authentication service
EP3089091B1 (en) 2014-05-02 2020-03-11 Barclays Execution Services Limited Transaction authentication
US9703968B2 (en) 2014-06-16 2017-07-11 Assa Abloy Ab Mechanisms for controlling tag personalization
EP3170292B1 (en) 2014-07-15 2022-03-30 Assa Abloy Ab Cloud card application platform
CN105681041B (zh) * 2014-11-18 2019-09-17 航天信息股份有限公司 一种rfid所有权转移方法
CN104517140A (zh) * 2014-12-29 2015-04-15 大连工业大学 Rfid多卡合一方法
US9979719B2 (en) 2015-01-06 2018-05-22 Duo Security, Inc. System and method for converting one-time passcodes to app-based authentication
FR3032293B1 (fr) * 2015-02-03 2018-03-23 Stmicroelectronics (Rousset) Sas Procede d'authentification d'un objet par un dispositif capables de communiquer mutuellement sans contact, systeme et objet correspondants
US9436923B1 (en) 2015-02-26 2016-09-06 Skuchain, Inc. Tracking unitization occurring in a supply chain
US9641338B2 (en) 2015-03-12 2017-05-02 Skuchain, Inc. Method and apparatus for providing a universal deterministically reproducible cryptographic key-pair representation for all SKUs, shipping cartons, and items
US10769606B2 (en) 2015-03-23 2020-09-08 Early Warning Services, Llc Payment real-time funds availability
US10878387B2 (en) 2015-03-23 2020-12-29 Early Warning Services, Llc Real-time determination of funds availability for checks and ACH items
US10748127B2 (en) 2015-03-23 2020-08-18 Early Warning Services, Llc Payment real-time funds availability
US10832246B2 (en) 2015-03-23 2020-11-10 Early Warning Services, Llc Payment real-time funds availability
US10839359B2 (en) 2015-03-23 2020-11-17 Early Warning Services, Llc Payment real-time funds availability
JP6183400B2 (ja) * 2015-03-31 2017-08-23 コニカミノルタ株式会社 契約書作成プログラム、契約書検証プログラム、最終暗号作成プログラム、契約書作成システム、契約書検証システム及び最終暗号作成システム
US9641341B2 (en) 2015-03-31 2017-05-02 Duo Security, Inc. Method for distributed trust authentication
WO2016195847A1 (en) 2015-06-01 2016-12-08 Duo Security, Inc. Method for enforcing endpoint health standards
US11386410B2 (en) 2015-07-21 2022-07-12 Early Warning Services, Llc Secure transactions with offline device
US10956888B2 (en) 2015-07-21 2021-03-23 Early Warning Services, Llc Secure real-time transactions
US11151522B2 (en) 2015-07-21 2021-10-19 Early Warning Services, Llc Secure transactions with offline device
US11151523B2 (en) 2015-07-21 2021-10-19 Early Warning Services, Llc Secure transactions with offline device
US11037122B2 (en) 2015-07-21 2021-06-15 Early Warning Services, Llc Secure real-time transactions
US10438175B2 (en) 2015-07-21 2019-10-08 Early Warning Services, Llc Secure real-time payment transactions
US11157884B2 (en) 2015-07-21 2021-10-26 Early Warning Services, Llc Secure transactions with offline device
US10963856B2 (en) 2015-07-21 2021-03-30 Early Warning Services, Llc Secure real-time transactions
US10970695B2 (en) 2015-07-21 2021-04-06 Early Warning Services, Llc Secure real-time transactions
US11062290B2 (en) 2015-07-21 2021-07-13 Early Warning Services, Llc Secure real-time transactions
US11037121B2 (en) 2015-07-21 2021-06-15 Early Warning Services, Llc Secure real-time transactions
US9774579B2 (en) 2015-07-27 2017-09-26 Duo Security, Inc. Method for key rotation
CN105118004A (zh) * 2015-08-04 2015-12-02 上海象形通讯科技有限公司 一种电子处方的安全使用方法
DE102015217855A1 (de) * 2015-09-17 2017-03-23 Siemens Aktiengesellschaft Prüfung einer Konsistenz zwischen Referenzdaten eines Fertigungsobjektes und Daten eines digitalen Zwillings des Fertigungsobjektes
US9946903B2 (en) 2016-03-24 2018-04-17 Vladimir Kozlov Authenticity verification system and methods of use
CN105871424B (zh) * 2016-04-05 2018-11-13 菏泽学院 基于ecc的rfid群组验证方法
WO2017192161A1 (en) * 2016-05-06 2017-11-09 Intel IP Corporation Service authorization and credential provisioning for v2x communication
CN105871904B (zh) * 2016-05-25 2018-08-24 电子科技大学 一种用于rfid的限定距离的安全认证方法
CN107579826B (zh) 2016-07-04 2022-07-22 华为技术有限公司 一种网络认证方法、中转节点及相关系统
CA3032282A1 (en) * 2016-07-29 2018-02-01 Magic Leap, Inc. Secure exchange of cryptographically signed records
US11144928B2 (en) 2016-09-19 2021-10-12 Early Warning Services, Llc Authentication and fraud prevention in provisioning a mobile wallet
IL248237A0 (en) * 2016-10-06 2017-01-31 Kipnis Aviad A method and system for signing
US11222319B2 (en) * 2016-10-14 2022-01-11 Cable Television Laboratories, Inc. Systems and methods for post-hoc device registration
US11283625B2 (en) 2016-10-14 2022-03-22 Cable Television Laboratories, Inc. Systems and methods for bootstrapping ecosystem certificate issuance
GB201617620D0 (en) * 2016-10-18 2016-11-30 Cybernetica As Composite digital signatures
US10601585B1 (en) * 2016-12-16 2020-03-24 EMC IP Holding Company LLC Methods and apparatus for blockchain encryption
JP7009743B2 (ja) * 2017-01-23 2022-01-26 凸版印刷株式会社 無線通信デバイス、および、情報通信システム
WO2018165146A1 (en) 2017-03-06 2018-09-13 Cummins Filtration Ip, Inc. Genuine filter recognition with filter monitoring system
GB201707168D0 (en) * 2017-05-05 2017-06-21 Nchain Holdings Ltd Computer-implemented system and method
JP6959155B2 (ja) * 2017-05-15 2021-11-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 検証方法、検証装置およびプログラム
CN108876365B (zh) * 2017-05-16 2023-08-29 江峰 一种生成区块发布机制的智能合约
CN106998252B (zh) * 2017-05-18 2019-10-25 西安电子科技大学 基于云数据库的轻量级rfid群组标签认证方法
WO2019043921A1 (ja) * 2017-09-01 2019-03-07 三菱電機株式会社 暗号化装置、復号装置、暗号化方法、復号方法、暗号化プログラム及び復号プログラム
US10269199B2 (en) * 2017-09-27 2019-04-23 Honda Motor Co., Ltd. System and method for providing energy efficient hands free vehicle door operation
CN107566127B (zh) * 2017-09-30 2020-12-01 北京迪曼森科技有限公司 一种iki可信数字标识的生成方法及使用方法
DE102017220490A1 (de) * 2017-11-16 2019-05-16 Siemens Aktiengesellschaft Verfahren und Vorrichtung zur Ermöglichung der Authentisierung von Erzeugnissen, insbesondere industriell gefertigten Geräten, sowie Computerprogrammprodukt
US10412113B2 (en) 2017-12-08 2019-09-10 Duo Security, Inc. Systems and methods for intelligently configuring computer security
US10911242B2 (en) * 2018-05-29 2021-02-02 International Business Machines Corporation Authentication in distribution systems
US10640273B2 (en) 2018-05-29 2020-05-05 International Business Machines Corporation Authentication of packaged products
WO2020076968A1 (en) 2018-10-12 2020-04-16 Kirkeby Cynthia Fascenelli System and methods for authenticating tangible products
US10439825B1 (en) * 2018-11-13 2019-10-08 INTEGRITY Security Services, Inc. Providing quality of service for certificate management systems
US11658962B2 (en) 2018-12-07 2023-05-23 Cisco Technology, Inc. Systems and methods of push-based verification of a transaction
CN109889341A (zh) * 2019-01-15 2019-06-14 思力科(深圳)电子科技有限公司 数据处理方法、电子标签及射频读卡器
US20230206199A1 (en) * 2019-05-16 2023-06-29 Mighty Jaxx International Pte. Ltd. Ownership data management system and method
CN110289968B (zh) * 2019-06-27 2022-06-24 矩阵元技术(深圳)有限公司 私钥恢复、协同地址的创建、签名方法及装置、存储介质
US11194978B2 (en) 2019-07-12 2021-12-07 Northrop Grumman Systems Corporation Combined radio frequency identification (RFID)-based asset management and component authentication
US20220278853A1 (en) * 2019-07-29 2022-09-01 2Key New Economics Ltd. Decentralized protocol for maintaining cryptographically proven multi-party-state-chains utilizing aggregated signatures
US11088851B2 (en) * 2019-09-04 2021-08-10 Gk8 Ltd Systems and methods for signing of a message
US20220385479A1 (en) * 2019-09-13 2022-12-01 Brown University Multi-message multi-user signature aggregation
CN112819111A (zh) * 2019-10-31 2021-05-18 上海际链网络科技有限公司 商品真伪的识别方法及装置、存储介质、终端、服务器
US11233640B2 (en) 2020-05-13 2022-01-25 Ridgeline, Inc. Mutation processing for events
US11949784B2 (en) 2020-05-13 2024-04-02 Ridgeline, Inc. Auditing for events
US11818259B2 (en) 2020-05-13 2023-11-14 Ridgeline, Inc. Query and projection processing for events
US11582045B2 (en) * 2020-06-02 2023-02-14 John A. Nix Combined digital signature algorithms for security against quantum computers
EP4175217A4 (en) 2020-06-30 2023-08-23 Fujitsu Limited SIGNATURE CONTROL METHOD, SIGNATURE CONTROL PROGRAM AND INFORMATION PROCESSING DEVICE
WO2022132125A1 (en) * 2020-12-14 2022-06-23 Hewlett-Packard Development Company, L.P. Authenticating packaged products
CN114640440B (zh) * 2020-12-16 2023-11-17 华为技术有限公司 一种分布式门限签名的方法和装置
WO2022153452A1 (ja) 2021-01-14 2022-07-21 富士通株式会社 制御方法、制御プログラム、および情報処理装置
US20230122962A1 (en) * 2021-10-15 2023-04-20 Micron Technology, Inc. Ensuring Replacement of a Memory Device Key

Family Cites Families (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4083218B2 (ja) * 1995-06-05 2008-04-30 サートコ・インコーポレーテッド マルチステップディジタル署名方法およびそのシステム
WO1997022092A2 (en) 1995-12-14 1997-06-19 Venda Security Corporation Secure personal information card and method of using the same
US6438691B1 (en) * 1996-04-01 2002-08-20 Hewlett-Packard Company Transmitting messages over a network
EP0804003A3 (en) * 1996-04-26 2000-11-15 Canon Kabushiki Kaisha Digital signature method and communication system
US6088798A (en) * 1996-09-27 2000-07-11 Kabushiki Kaisha Toshiba Digital signature method using an elliptic curve, a digital signature system, and a program storage medium having the digital signature method stored therein
JPH10153956A (ja) 1996-09-27 1998-06-09 Toshiba Corp 電子署名方法、電子署名システム及び、記録媒体
US6298153B1 (en) * 1998-01-16 2001-10-02 Canon Kabushiki Kaisha Digital signature method and information communication system and apparatus using such method
JPH11231777A (ja) 1998-02-16 1999-08-27 Nippon Telegr & Teleph Corp <Ntt> 楕円曲線を用いた多重ディジタル署名方法、その装置およびプログラム記録媒体
JP2000041035A (ja) * 1998-07-23 2000-02-08 Ntt Data Corp 認証システム、認証方法、及び記録媒体
US6494562B1 (en) * 1998-09-03 2002-12-17 Hewlett-Packard Company Method and apparatus for identifying a sales channel
US6959384B1 (en) * 1999-12-14 2005-10-25 Intertrust Technologies Corporation Systems and methods for authenticating and protecting the integrity of data streams and other data
US7249259B1 (en) 1999-09-07 2007-07-24 Certicom Corp. Hybrid signature scheme
EP1094424A3 (en) * 1999-10-22 2004-06-16 Hitachi, Ltd. Digital signing method
US6826690B1 (en) * 1999-11-08 2004-11-30 International Business Machines Corporation Using device certificates for automated authentication of communicating devices
US6898707B1 (en) * 1999-11-30 2005-05-24 Accela, Inc. Integrating a digital signature service into a database
US20020183882A1 (en) 2000-10-20 2002-12-05 Michael Dearing RF point of sale and delivery method and system using communication with remote computer and having features to read a large number of RF tags
JP3899808B2 (ja) * 2000-12-07 2007-03-28 株式会社日立製作所 ディジタル署名生成方法およびディジタル署名検証方法
US6907070B2 (en) * 2000-12-15 2005-06-14 Microsoft Corporation Drifting reduction and macroblock-based control in progressive fine granularity scalable video coding
JP3659178B2 (ja) * 2001-02-22 2005-06-15 日本電信電話株式会社 分散ディジタル署名作成方法及び装置及び分散ディジタル署名付ディジタル文書作成方法及び装置及び分散ディジタル署名作成プログラム及び分散ディジタル署名作成プログラムを格納した記憶媒体
EP1403839A1 (en) * 2001-06-27 2004-03-31 Fujitsu Limited Data originality validating method and system
US20030006121A1 (en) * 2001-07-09 2003-01-09 Lee Kenneth Yukou Passive radio frequency identification system for identifying and tracking currency
US7705732B2 (en) * 2001-07-10 2010-04-27 Fred Bishop Authenticating an RF transaction using a transaction counter
CA2465321C (en) * 2001-11-06 2010-05-11 International Business Machines Corporation Method and system for the supply of data, transactions and electronic voting
US20030183683A1 (en) * 2002-03-28 2003-10-02 Stewart David J. Method and associated system for specimen and sample chain of custody tracking
US20040151309A1 (en) * 2002-05-03 2004-08-05 Gentry Craig B Ring-based signature scheme
SE524803C2 (sv) * 2002-07-12 2004-10-05 Aqualiv Ab Säkerhetssystem och ett sätt för dess funktion
GB0220907D0 (en) * 2002-09-10 2002-10-16 Ingenia Holdings Ltd Security device and system
JP2004206435A (ja) * 2002-12-25 2004-07-22 Victor Co Of Japan Ltd ライセンス管理方法、およびライセンス管理システム
JP4105583B2 (ja) * 2003-04-18 2008-06-25 日本電信電話株式会社 無線タグセキュリティ拡張方法,id管理コンピュータ装置,代理サーバ装置,それらのプログラムおよびそれらのプログラムの記録媒体
US6970070B2 (en) * 2003-05-08 2005-11-29 Rsa Security Inc. Method and apparatus for selective blocking of radio frequency identification devices
US6980087B2 (en) 2003-06-04 2005-12-27 Pitney Bowes Inc. Reusable electronic tag for secure data accumulation
US20050049979A1 (en) * 2003-08-26 2005-03-03 Collins Timothy J. Method, apparatus, and system for determining a fraudulent item
KR100537514B1 (ko) * 2003-11-01 2005-12-19 삼성전자주식회사 그룹 구성원의 신원 정보를 기반으로 한 전자 서명 방법및 전자 서명을 수행한 그룹 구성원의 신원 정보를획득하기 위한 방법 및 그룹 구성원의 신원 정보를기반으로 한 전자 서명 시스템
US8543411B2 (en) * 2003-11-05 2013-09-24 United Parcel Service Of America, Inc. Systems and methods for detecting counterfeit pharmaceutical drugs at the point of retail sale
WO2005111926A1 (en) 2004-05-18 2005-11-24 Silverbrook Research Pty Ltd Method and apparatus for security document tracking
CN1588386B (zh) * 2004-08-02 2011-08-24 上海质尊电子科技有限公司 射频识别与移动通信结合实现物品信息查验的系统和方法
US7548152B2 (en) * 2004-10-08 2009-06-16 Entrust Limited RFID transponder information security methods systems and devices
US7702927B2 (en) * 2004-11-12 2010-04-20 Verayo, Inc. Securely field configurable device
US20060106718A1 (en) * 2004-11-16 2006-05-18 Supplyscape Corporation Electronic chain of custody method and system
JP4993076B2 (ja) * 2004-11-29 2012-08-08 日本電気株式会社 流通経緯認証システム、流通経緯認証方法、リーダライタ、プログラム、無線icタグ
US20060200674A1 (en) 2005-01-26 2006-09-07 Precision Dynamics Corporation Method for securing rfid charge value media via cryptographic signing and block locking
JP4843960B2 (ja) 2005-02-25 2011-12-21 凸版印刷株式会社 タグ認証システム、認証装置、及び、タグ認証方法
EP1710764A1 (en) * 2005-04-07 2006-10-11 Sap Ag Authentication of products using identification tags
CA2510366C (en) 2005-06-14 2013-02-26 Certicom Corp. System and method for remote device registration
US7323992B2 (en) * 2005-06-21 2008-01-29 International Business Machines Corporation Method and system for aggregation of RFID signal sources and composite to develop a unique signature
JP4575251B2 (ja) * 2005-07-25 2010-11-04 株式会社東芝 デジタル署名生成装置、デジタル署名検証装置、デジタル署名生成方法、デジタル署名検証方法、デジタル署名生成プログラム及びデジタル署名検証プログラム
US20070206786A1 (en) * 2005-08-31 2007-09-06 Skyetek, Inc. Rfid security system
TWI340917B (en) 2005-09-13 2011-04-21 Nec China Co Ltd Radio frequency identification system and method
KR100699467B1 (ko) * 2005-09-28 2007-03-26 삼성전자주식회사 Rf-id 태그, rf-id 사생활보호 시스템 및 그 방법
US20070106897A1 (en) * 2005-11-07 2007-05-10 Michael Kulakowski Secure RFID authentication system
US20070168671A1 (en) * 2006-01-16 2007-07-19 Fujitsu Limited Digital document management system, digital document management method, and digital document management program
JP2009540703A (ja) 2006-06-09 2009-11-19 ヴェリサイン インコーポレイテッド 複雑性の低い装置の認証及び機密性を提供する方法及び装置
US20080001724A1 (en) * 2006-06-28 2008-01-03 Symbol Technologies, Inc. Using read lock capability for secure RFID authentication
US20080021843A1 (en) * 2006-07-14 2008-01-24 Patton Daniel H Method for assisting negotiation which uses a dialectic scaffolding process
CN101246538A (zh) 2007-02-14 2008-08-20 日电(中国)有限公司 射频识别系统和方法

Also Published As

Publication number Publication date
WO2008028291A1 (en) 2008-03-13
US8185744B2 (en) 2012-05-22
US20080164976A1 (en) 2008-07-10
US20080150702A1 (en) 2008-06-26
JP2013118706A (ja) 2013-06-13
US8938615B2 (en) 2015-01-20
EP2680046A1 (en) 2014-01-01
CN101535845B (zh) 2014-07-09
EP2076799A1 (en) 2009-07-08
EP2680046B1 (en) 2015-01-21
US9013266B2 (en) 2015-04-21
JP2013118707A (ja) 2013-06-13
US8634559B2 (en) 2014-01-21
CA2662675C (en) 2016-05-24
CA2662675A1 (en) 2008-03-13
CN101535845A (zh) 2009-09-16
US20120213366A1 (en) 2012-08-23
JP2010503295A (ja) 2010-01-28
EP2076799A4 (en) 2011-03-09
US20080069347A1 (en) 2008-03-20

Similar Documents

Publication Publication Date Title
JP5260523B2 (ja) 無線周波識別(rfid)認証およびそのための鍵配信システム
US11038694B1 (en) Devices, methods, and systems for cryptographic authentication and provenance of physical assets
EP3324355B1 (en) Contract agreement method, agreement verification method, contract agreement system, agreement verification device, contract agreement device, contract agreement program and agreement verification program
US10817874B2 (en) Purchase transaction system with encrypted payment card data
US7770009B2 (en) Digital signing method
CN102792633B (zh) 访问控制
JP2007282295A (ja) キー寄託機能付き暗号システムおよび方法
CN102843232B (zh) 生成安全装置密钥
CN111294203B (zh) 信息传输方法
CN112907375B (zh) 数据处理方法、装置、计算机设备和存储介质
US20230259899A1 (en) Method, participant unit, transaction register and payment system for managing transaction data sets
CN109741050B (zh) 延长金融ic卡使用期限的方法以及相关方法和装置
US20100058050A1 (en) Data keeping method, client apparatus, storage device, and program
CN110798321B (zh) 一种基于区块链的物品信息服务方法
CN111309812A (zh) 基于区块链的函件传输方法及相关设备
JP2004252578A (ja) 提供元のicカード、提供先のicカード、情報授受媒介装置、icカード間情報授受システム、icカードプログラム、プログラム及びicカード間情報授受方法
TWM598505U (zh) 基於區塊鏈的醫療資訊整合系統
TW202133060A (zh) 基於區塊鏈的醫療資訊整合系統
CN117909961A (zh) 基于金融软件供应链的程序发布方法及装置
EP1331614A2 (en) Method of loading a secret key of one device into another device

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20100121

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20100728

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100908

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121022

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20130121

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20130128

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20130220

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20130227

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130314

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130405

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130425

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160502

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5260523

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250