JP5546631B2 - 受信側の印章によりリモートコードの安全を保証する方法 - Google Patents
受信側の印章によりリモートコードの安全を保証する方法 Download PDFInfo
- Publication number
- JP5546631B2 JP5546631B2 JP2012518865A JP2012518865A JP5546631B2 JP 5546631 B2 JP5546631 B2 JP 5546631B2 JP 2012518865 A JP2012518865 A JP 2012518865A JP 2012518865 A JP2012518865 A JP 2012518865A JP 5546631 B2 JP5546631 B2 JP 5546631B2
- Authority
- JP
- Japan
- Prior art keywords
- electronic device
- computer code
- seal
- executable computer
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 claims description 41
- 230000015654 memory Effects 0.000 claims description 13
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 14
- 241000700605 Viruses Species 0.000 description 10
- 238000012423 maintenance Methods 0.000 description 7
- 230000009471 action Effects 0.000 description 4
- 230000004913 activation Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004883 computer application Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000009931 harmful effect Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 230000002250 progressing effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000003936 working memory Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Description
本発明は、受信側の印章によりリモートコードの安全を保証することに係り、より詳細には、配布されたコードを実行している間の2つのデバイス間におけるデータ交換の安全を保証する方法に関するものである。
携帯電子機器の転換は急速に進んでいる。事実、その記憶容量は向上しており、また、面積単位当たりの計算能力を増加させ、全体的面積を削減している。
そのようなデバイスの新たな世代では、新しい分布モデルの開発が可能となった。
そのようなデバイスは最近ではスマートキーと呼ばれ、メモリと、電子秘密情報と、保全された電子モジュールにアクセスするための手段とを備えることを特徴とする。実行可能コンピュータコード(1つ又はいくつかのソフトウェア)は、そのようなスマートキーのメモリに記憶され、(通常USBキーである、スマートキーの通信インターフェースを介して)実行デバイスとも呼ばれる別のホスト電子デバイスにロードされるよう意図されている。
そのようなデバイスは最近ではスマートキーと呼ばれ、メモリと、電子秘密情報と、保全された電子モジュールにアクセスするための手段とを備えることを特徴とする。実行可能コンピュータコード(1つ又はいくつかのソフトウェア)は、そのようなスマートキーのメモリに記憶され、(通常USBキーである、スマートキーの通信インターフェースを介して)実行デバイスとも呼ばれる別のホスト電子デバイスにロードされるよう意図されている。
そのような特定のコードは、現在CDROMと呼ばれている。なぜなら、多くの場合当該コードは、ホスト電子デバイス(コンピュータ)によってCD−ROMとみなされるように(即ち「コンパクトディスク」のように)真似た「読取り専用」領域に、「ISO」イメージとして貯蔵されるからである。
一般的には、スマートキーがコンピュータに挿入されると、コンピュータはスマートキーを検出及び認識し、そして活性化させる。当該活性化の段階は、とりわけ、CD−ROMを含む、スマートキーによって供給される様々な「ディスク」を、オペレーションシステムに設ける段階を含む。一旦活性化されると、スマートキーは当該CDROMの内容を、その内容を実行するコンピュータに送信する。
このような技術によって、可能な限り大きな実行可能コードを、USB通信インターフェースを介して不特定のサポートへ移送し、コンピュータ内に広く普及させることができる。事実、コンパクトディスク及びその後続世代では、そのようなコンピュータコードを移送することができ、しかも静的に行うことができる。
スマートキーは、当該コンピュータコードの発達を可能とするだけではなく、埋め込まれた秘密情報や保全された電子モジュールに関する全ての機能性を提供することができる。そのような機能性は、例えば、安全に関するものであってよい。
さらに、そのようなデバイスは、あるデバイス(実行デバイスと呼ぶ)のソフトウェアリソースに依存することなく、実行デバイス内のコンピュータアプリケーションを実行することを可能にする。事実、スマートキーから提供されるコンピュータコードは、実行デバイスの電子リソースのみを使用する。
このことは、実行デバイスに依存することを必要とせず、実行デバイスのソフトウェアを使用することを可能にする。また、実行されるコンピュータコードが永久または永続的に実行デバイスに保存されないので、何等形跡を残すことなく実行デバイスのソフトウェアを使用することができる。
このことは、実行デバイスに依存することを必要とせず、実行デバイスのソフトウェアを使用することを可能にする。また、実行されるコンピュータコードが永久または永続的に実行デバイスに保存されないので、何等形跡を残すことなく実行デバイスのソフトウェアを使用することができる。
このシステムに伴う主要なリスクは、実行デバイスがコンピュータウイルスやトロイの木馬型の不正プログラムを含んでいる可能性があることである。
厳密に言えば、コンピュータウイルスは、「ホスト」プログラムと呼ばれる正規のプログラムへ密かに侵入することによって他のコンピュータへ伝播するように作成されたコンピュータプログラムである。またこれは、感染コンピュータの動作に大なり小なり深刻な憂慮すべき悪影響を(想定されていようがいまいが)与えうる。
トロイの木馬は、ユーザには有益なアプリケーション又はファイルであると見せかけつつ、有害な動作を実行するプログラムである。
厳密に言えば、コンピュータウイルスは、「ホスト」プログラムと呼ばれる正規のプログラムへ密かに侵入することによって他のコンピュータへ伝播するように作成されたコンピュータプログラムである。またこれは、感染コンピュータの動作に大なり小なり深刻な憂慮すべき悪影響を(想定されていようがいまいが)与えうる。
トロイの木馬は、ユーザには有益なアプリケーション又はファイルであると見せかけつつ、有害な動作を実行するプログラムである。
その不正プログラムあるいは「マルウェア(悪意あるソフトウェア)」が何であれ、それらの多くの主機能は、攻撃の足掛かりとなることである。すなわちこのプログラムは、感染コンピュータ内で発生した全部又は一部のイベントを獲得し、それらをいわゆる攻撃コンピュータに(一般的にインターネットを介して)伝送する。またその逆も同様である。この動作は、とりわけ、感染コンピュータに対するスパイ行為や感染コンピュータのアプリケーションのいくつかを悪用することを可能にする。
事実、感染コンピュータに挿入されたスマートキーを起源とするプログムのコピーを(同様なスマートキーを適法に有していたり、他の手段によって大容量メモリのコンテンツを見つけたりすることにより)攻撃コンピュータが有している場合に、このプログラムを利用することで、マルウェアは正規の持ち主に気付かれずに、攻撃コンピュータが例えばスマートキーのサービスを使用することを可能にする。
このようなマルウェアを、感染コンピュータ内で発生したイベントをスパイすることやそのイベントを攻撃コンピュータに伝送することができるものと基本的に定義する。またその逆も同様である。
従って、感染コンピュータで実行されるアプリケーションと感染コンピュータに接続されたスマートキーとの間の情報交換をスパイすることができてしまう。従って、攻撃コンピュータで実行されるアプリケーションに、感染コンピュータで実行されるアプリケーションによって受信された情報と同じ情報を提供することができる。この技術はアプリケーションの同期と呼ばれる。反対に、攻撃コンピュータも自身のアプリケーションを起動することができ、そのアプリケーションがスマートキーからのサービスを必要とすれば、感染コンピュータ内にあるマルウェアに要求を送信し、その動作が感染コンピュータ内のアプリケーションで発生したかのように装うことにより、感染コンピュータに、当該要求をスマートキーへ伝送させることができる。
このトリックにより、被害者に気付かれることなく、攻撃者は被害者のスマートキーから提供されるサービスや機能を利用することができる。
本発明はそのような攻撃を回避することを目的とする。
このトリックにより、被害者に気付かれることなく、攻撃者は被害者のスマートキーから提供されるサービスや機能を利用することができる。
本発明はそのような攻撃を回避することを目的とする。
上述の目的のため、具体的に本発明は、「コンピュータ」とも呼ばれる少なくとも1つの第2の電子デバイスと通信可能な、「スマートキー」とも呼ばれる少なくとも1つの第1の電子デバイスとの間のデータ交換の安全を保証する方法であって、「スマートキー」電子デバイスは、少なくとも1つのコントローラと第1の実行可能コンピュータコードを格納する大容量メモリと、「安全エージェント」とも呼ばれる第2の実行可能コンピュータコードとのアクセス手段とを含み、第1の実行可能コンピュータコードは「コンピュータ」デバイスで実行されるよう意図されている。この方法は少なくとも、
−コントローラが、「コンピュータ」デバイスに対して第2の実行可能安全エージェントコード(25)と第2の電子デバイスによってこれを実行させるコマンドとを送信したことを認識するステップと、
−安全エージェントコードが、「コンピュータ」デバイスを構成する電子部品の全部又は一部に関連する情報を収集するステップと、
−収集した情報に基づいて「コンピュータ」デバイスの印章を作成(又は発生:どちらの用語も正しい)するステップと、
−印章を用いて「コンピュータ」デバイスと「スマートキー」デバイスとの間のデータ交換の全部又は一部の保全をはかるステップと、を含む。
−コントローラが、「コンピュータ」デバイスに対して第2の実行可能安全エージェントコード(25)と第2の電子デバイスによってこれを実行させるコマンドとを送信したことを認識するステップと、
−安全エージェントコードが、「コンピュータ」デバイスを構成する電子部品の全部又は一部に関連する情報を収集するステップと、
−収集した情報に基づいて「コンピュータ」デバイスの印章を作成(又は発生:どちらの用語も正しい)するステップと、
−印章を用いて「コンピュータ」デバイスと「スマートキー」デバイスとの間のデータ交換の全部又は一部の保全をはかるステップと、を含む。
ある実施例では、「コンピュータ」デバイスを構成する電子部品の全部又は一部に関連する情報は、修正不可能な情報であってもよい。
そのような情報は、例えばシリーズ番号や技術的特徴であってもよい。
そのような情報は、例えばシリーズ番号や技術的特徴であってもよい。
ある実施例では、印章は安全エージェントコードによって作成されてもよい。また別の実施例では、収集された情報は「スマートキー」デバイスに送信され、この「スマートキー」デバイスによって印章が作成されるようにしてもよい。若しくは、収集された情報は保全電子デバイスSEに送信され、この保全電子デバイスによって印章が作成されるようにしてもよい。
印章の作成は、一定でないデータの利用を含むようにしてもよく、この一定でないデータはランダム番号であってもよい。
印章の作成は、一定でないデータの利用を含むようにしてもよく、この一定でないデータはランダム番号であってもよい。
ある実施例によっては、本方法は第1の実行可能コンピュータコードが実行される前に実行されてもよいし、若しくは、例えば本方法を起動する第1の実行可能コードの実行中に実行されてもよい。
本発明のその他特徴及び利点は、添付図面を参照し、これに限定されない一例として示す以下の記載により明らかになる。
図1には、電子デバイス1に接続されたスマートキー2が示されている。この電子デバイスはコンピュータとして示される。通常のシステム動作において、コンピュータ1とキー2とは両方向矢印4で示される通信チャンネルを介して通信を行う。このチャンネルは如何なるコンピュータ通信プロトコルによっても提供されうる。
そのようなプロトコルは、Tキャリア(T1,T3等)、RS232、イーサネット(登録商標)、IDE等のような有線のものであってもよいし、若しくは赤外線、Wifi、Bluetooth(登録商標)、RFID等のような無線のものであってもよい。
そのようなプロトコルは、Tキャリア(T1,T3等)、RS232、イーサネット(登録商標)、IDE等のような有線のものであってもよいし、若しくは赤外線、Wifi、Bluetooth(登録商標)、RFID等のような無線のものであってもよい。
好適な実施例では、キーとコンピュータとはUSB(ユニバーサル・シリアル・バス:Universal Serial Bus)プロトコルを介して通信する。このプロトコルを使用することにより、キー2が図1のコンピュータ1のようなパーソナルコンピュータに接続し、(ほとんどのオペレーションシステムに存在し、現在「ドライバ」とも呼ばれる低レベルのソフトウェアを介して)認識されることを容易にすることができる。
最適には、キーがチップカードのような保全モジュール3を備えることが好ましい。
キー2とコンピュータ1と場合によっては保全モジュール3との間の情報交換を容易に管理するために、コントローラ6がしばしばスマートキーに挿入される。図1においてボックス6で示されるコントローラは、少なくとも1つの演算部(マイクロプロセッサ)と、ワーキングメモリ(揮発性メモリ)と、不揮発性メモリ(例えばRAM又はROM)とがスマートキー2内に設けられることを前提としている。
キー2とコンピュータ1と場合によっては保全モジュール3との間の情報交換を容易に管理するために、コントローラ6がしばしばスマートキーに挿入される。図1においてボックス6で示されるコントローラは、少なくとも1つの演算部(マイクロプロセッサ)と、ワーキングメモリ(揮発性メモリ)と、不揮発性メモリ(例えばRAM又はROM)とがスマートキー2内に設けられることを前提としている。
さらにキーは、大容量メモリとも呼ばれる不揮発性メモリ7を含む。不揮発性メモリ7は、実行可能コンピュータコード5を備える。以下、本明細書では、この実行可能コンピュータコード5を「アプリケーション」と呼ぶ。
キー2がコンピュータ1に接続されると、キーはその起動のために必要な電源を受取る。するとコントローラ6はコンピュータ1と通信する。
この段階において、コントローラは、通信セッションを開始する。この通信セッションでは特に、キーが有する電子デバイス(大容量記憶部やマルチメディアデバイス等)のタイプによってキーの識別が行われるものとする。
この段階において、コントローラは、通信セッションを開始する。この通信セッションでは特に、キーが有する電子デバイス(大容量記憶部やマルチメディアデバイス等)のタイプによってキーの識別が行われるものとする。
また、アプリケーション5がキーに含まれており、そのアプリケーションがコンピュータ1の電子リソースによって実行されなければならないものであることを、キーがコンピュータ1に通知する間にも、通信は開始する。好適には、コンピュータがそのアプリケーションをCDROMであると識別することによっても、そのような通信は開始しうる。実際、CDROMをコンピュータに挿入すると、コンピュータはCDROMを識別し、CDROMが許可する場合には、コンピュータ(又はより正確にはコンピュータオペレーションシステム)からの標準的な応答としてそのコンテントを実行する(自動実行)。
アプリケーションがコンピュータ1に登録されると、キー2のコントローラ6はアプリケーション5を、コンピュータ1に送る。8として示されるようにコンピュータ1はこれを実行する。
このコンピュータシステムは、とりわけ、コンピュータ1にはないアプリケーション5をコンピュータ1で実行することを可能にする。さらに、保全モジュール3を用いることにより、最先端の暗号ツールを有するアプリケーション5の使用を制限することができる。例えば、(例として、パーソナルコード(「PIN」コード)を使用することにより)保全モジュールに与えられた認証は、如何なる侵襲的命令にも対応することができる。
このコンピュータシステムは、とりわけ、コンピュータ1にはないアプリケーション5をコンピュータ1で実行することを可能にする。さらに、保全モジュール3を用いることにより、最先端の暗号ツールを有するアプリケーション5の使用を制限することができる。例えば、(例として、パーソナルコード(「PIN」コード)を使用することにより)保全モジュールに与えられた認証は、如何なる侵襲的命令にも対応することができる。
本発明による動作はソフトフォンを例として説明されるため、図1においてこのアプリケーション8は電話機として示されている。
ソフトフォンとは、電話機からではなくインターネットを介したコンピュータからの電話通信用に使用されるソフトウェアの種類のことである。最適な安全レベルを提供するために、ソフトフォンのいくつかは、一般的にUSB形態の外部ドングルを用いて操作される。
ソフトフォンとは、電話機からではなくインターネットを介したコンピュータからの電話通信用に使用されるソフトウェアの種類のことである。最適な安全レベルを提供するために、ソフトフォンのいくつかは、一般的にUSB形態の外部ドングルを用いて操作される。
図1に示す例では、ソフトフォンのコード5は、キー2の不揮発性メモリ7内に設けられ、CDROMを介してコンピュータ1に伝送される。保全モジュール3は、電話通信ネットワークのユーザを認証するために必要なすべての要素をさらに備える。かかる情報は、ユーザへの課金やユーザの責任を課すために使用されるため、秘密かつ重要である。事実、私的通信を介した不正行為は、その所有者の責任となる。
図1においてアイコン9で示されているものは、コンピュータ1内に存在するウイルスである。ウイルスは、ハッカーのコンピュータ11内にある対応物10と接触を図る。ウイルスは如何なる手段によっても通信することができる。さらに具体的には、赤外線やBluetooth等や、より多くの場合には、インターネット接続があれば、インターネット接続13の作用によって通信することができる。
攻撃が届くように、ハッカーのコンピュータ12は、ソフトフォン・アプリケーションのバージョン12を有する。ハッカーのコンピュータがこのアプリケーションのバーションを有しうるのは、ハッカーもキー2と同一タイプのスマートキーを所有している場合もあるが、例えばアプリケーションの権利が失効していたり、あるいは例えば違法ローディング等によってアプリケーションを違法に取得したりする場合もある。
動作を実行するには、すなわち本実施例では電話をかけるには、アプリケーション12は、ハッカーが有していない有効な認証要素を備えるキーへのアクセス手段が必要である。
ここで、ウイルス10は、キー2の保全モジュール3内に含まれる要素を使用するために、ウイルス9に接触する。
実際には、ウイルス10はソフトフォン12を有するとともに、キーであるかのように偽る。そして、当該仮のキーに対することを意図した通信を受信する。そのような情報はウイルス9に伝送され、引き換えに、それをソフトフォン8ではなくキー2に送信する。キー2によって返送された情報は、ソフトフォン12へ通信する伝送路を介して戻される。
ここで、ウイルス10は、キー2の保全モジュール3内に含まれる要素を使用するために、ウイルス9に接触する。
実際には、ウイルス10はソフトフォン12を有するとともに、キーであるかのように偽る。そして、当該仮のキーに対することを意図した通信を受信する。そのような情報はウイルス9に伝送され、引き換えに、それをソフトフォン8ではなくキー2に送信する。キー2によって返送された情報は、ソフトフォン12へ通信する伝送路を介して戻される。
図2は、本発明を図1のダイアグラムに統合したものである。
実際には、本発明による方法では、ソフトフォン・アプリケーション20を起動する前に、コンピュータ21の印章を計算する。そのような印章は、コンピュータの電子部品に基づく。
実際には、本発明による方法では、ソフトフォン・アプリケーション20を起動する前に、コンピュータ21の印章を計算する。そのような印章は、コンピュータの電子部品に基づく。
実際、コンピュータのような電子デバイスは、電子部品22、23、24を備える。そのような部品は、本質的に固有のものである。基本的に、同一モデルかつ同一シリーズの2つのプロセッサは、そのシリーズ番号により区別される。例えば、2つの記憶装置は、そのシリーズ番号又はアドレス可能領域の配置によって区別される。本発明は、デバイス21に固有の印章を得るために、いくつかの部品にある上述したような情報を収集する。
シリーズ番号を使用することは、実施例において特に有効な方法であり、その性能計算も非常に優れた結果をもたらす。
性能計算は、2つの部品によって実行される同一の(比較的複雑な)動作が、若干異なる時間で実行されるという事実に基づく。そのような異なる時間は、その部品の特徴的性質でもある。
シリーズ番号を使用することは、実施例において特に有効な方法であり、その性能計算も非常に優れた結果をもたらす。
性能計算は、2つの部品によって実行される同一の(比較的複雑な)動作が、若干異なる時間で実行されるという事実に基づく。そのような異なる時間は、その部品の特徴的性質でもある。
本発明は従って、安全エージェントとも呼ばれ、上述したような情報収集を担う実行可能コンピュータコード25を提案する。安全エージェントはキー26によって提供され、コンピュータ21によって実行され、コンピュータの部品22、23,24を分析する。安全エージェントは、キー26の不揮発性メモリ27又は保全モジュール28のうちいずれかに貯蔵されうる。そのような安全エージェントはまた、収集したデータに基づいて印章29を計算することを担う。本実施例によると、安全エージェントは、スマートキーの設定時点から又はその設定の後、かつどちらの場合においても本発明によってもたらされる安全レベルを要求するアプリケーションを使用する前に、伝送及び実行されうる。
実施例による方法によれば、特徴的な値を有する部品22、23、24の全てが使用される。しかしながら、好適な実施例によれば、一部の部品のみが印章29を規定するために使用される。そのような特定の部品は、その本質によって、又はランダムに、若しくはその両方によって、選択されうる。
例えば、本発明による解決方法では、印章29を規定する間、安全エージェント25は、特徴的な値を与えることができる部品22、23、24の全部又は一部のリストを収集する。そのようなリストはキー26に伝送され、キーはこのリストからサブセットを選択することにより、印章29を作成するための値を有する部品を規定する。
通信スパイや「リプレイ」から保護するために、そのようなサブセットの交換を定期的に行うことが特に効果的な方法である。
「リプレイ攻撃」とは、「介入者」型攻撃であり、データパケットを妨害し、それらをそのまま(暗号解読をせずに)受信側コンピュータに返送、すなわち再伝送するものである。
「リプレイ攻撃」とは、「介入者」型攻撃であり、データパケットを妨害し、それらをそのまま(暗号解読をせずに)受信側コンピュータに返送、すなわち再伝送するものである。
本発明のある実施例によっては、印章29はアプリケーション20の一部によって計算されたり、キー26内あるいは保全モジュール28内で計算されたりする。
印章の作成に保全モジュールを使用すれば、その作成中、保全モジュール28内に埋め込まれた暗号手段の全部又は一部を使用することができる。
印章の作成に保全モジュールを使用すれば、その作成中、保全モジュール28内に埋め込まれた暗号手段の全部又は一部を使用することができる。
印章は、少なくとも1つの機能を利用することにより、選択された部品の値に基づき作成される。
この機能は、再成可能でなくてはならない。すなわちその機能は、入力パラメータの1つのセットとただ1つの結果とを一致させる。
また、非可逆的な機能を選択してもよい。すなわち、その結果から入力パラメータを見つけることができないようにする。
そのような機能の特に効果的な例として、例えば、「排他的論理和」機能やハッシング機能を用いてもよい。
この機能は、再成可能でなくてはならない。すなわちその機能は、入力パラメータの1つのセットとただ1つの結果とを一致させる。
また、非可逆的な機能を選択してもよい。すなわち、その結果から入力パラメータを見つけることができないようにする。
そのような機能の特に効果的な例として、例えば、「排他的論理和」機能やハッシング機能を用いてもよい。
ハッシング機能とは、印章を1つの要素と適合させることができる機能であり(ハッシュバージョンとも呼ばれる)、以下の3つの重要な特徴を維持するものである。
−印章作成のために使用される情報を見つけることが不可能なハッシュバージョンから開始すること。
−電子データ処理の場合、それが何であれ、同一のハッシュ機能が適用されるときに同一のハッシュバージョンを与える2つのデータを見つけることが不可能であること。
−電子データ処理の場合、データ及びハッシュバージョンから及びハッシュ機能から、同一のハッシュバージョンを有する別のデータを見つけることが不可能であること。
−印章作成のために使用される情報を見つけることが不可能なハッシュバージョンから開始すること。
−電子データ処理の場合、それが何であれ、同一のハッシュ機能が適用されるときに同一のハッシュバージョンを与える2つのデータを見つけることが不可能であること。
−電子データ処理の場合、データ及びハッシュバージョンから及びハッシュ機能から、同一のハッシュバージョンを有する別のデータを見つけることが不可能であること。
SHA−1(安全ハッシュアルゴリズム1(Secure Hash Algorithm 1):160ビット)やSHA−2(SHA−256、SHA−384又はSHA−512ビットのうちどれを選択してもよい)がハッシュ機能として頻繁に使用される。
本発明の好適な実施例では、印章を作成する段階で他の値を利用してもよい。そのような値は固定値ではなく、従って、例えばランダム番号でもよい。
印章29が作成されると、全部又は一部のデータ交換の安全を保証するために、印章はソフトフォン・アプリケーション20及びキー26によって共有されなければならない。通常、保全モジュール28がキー26のために印章29を保持及び使用する。
印章29が作成されると、全部又は一部のデータ交換の安全を保証するために、印章はソフトフォン・アプリケーション20及びキー26によって共有されなければならない。通常、保全モジュール28がキー26のために印章29を保持及び使用する。
本発明の特に興味深い実施例では、そのような印章29の通信妨害を防止するために、安全エージェント25は、コンピュータ21によってロード及び実行される。安全エージェントはコンピュータ21の部品22、23、24の全部又は一部にある情報を収集し、それらをキー26に伝送する。
キー26は、保全モジュール28を用いてそのような情報のサブアセンブリを選択し、上述した方法で印章29を作成する。印章は、プログラム20bisがコンピュータ21によってロード及び実行される前にプログラム20bisに統合される。すると当該プログラムは、印章がコンピュータ21とキー26との間で直接交換されることなく、印章29を識別することができる。
データ交換の安全を保証する方法として、様々な形態がある。実際、それは一方方向又は両方向で適用されうる。
一方方向で安全を保証する場合、例えばソフトフォン・アプリケーション20から発生しキー26へと伝送される情報、もしくは、その逆方向の情報にのみ有効である。
ソフトフォンはそのメッセージに印章29を使用し、キー26は正しい印章が使用されたか否かをチェックする。
一方方向で安全を保証する場合、例えばソフトフォン・アプリケーション20から発生しキー26へと伝送される情報、もしくは、その逆方向の情報にのみ有効である。
ソフトフォンはそのメッセージに印章29を使用し、キー26は正しい印章が使用されたか否かをチェックする。
さらに、そのデータ交換が秘密か否かよってその安全を保護することができる。
もし秘密保護が選択された場合、データ交換は、全部又は一部の印章を含むキーと秘密鍵アルゴリズムとにより暗号化され、安全が保証される。もしデータ交換の秘密性に関して保証しないという選択がなされた場合、発行元が保証されるようにデータ交換をマークすることによって安全が保証される。印章をデータの始め又は終わりに付けることも、本実施例における解決方法のひとつである。安全を保証するデータは、印章29を考慮しつつ、ハッシュバージョンに関連付けられるようにしてもよい。
もし秘密保護が選択された場合、データ交換は、全部又は一部の印章を含むキーと秘密鍵アルゴリズムとにより暗号化され、安全が保証される。もしデータ交換の秘密性に関して保証しないという選択がなされた場合、発行元が保証されるようにデータ交換をマークすることによって安全が保証される。印章をデータの始め又は終わりに付けることも、本実施例における解決方法のひとつである。安全を保証するデータは、印章29を考慮しつつ、ハッシュバージョンに関連付けられるようにしてもよい。
もしシステムのデバイスのうち一つが受信したデータが想定よりも安全ではない場合、本発明の好適な実施例によれば、そのようなデータは無視されるであろう。また別の実施例では、そのようなデータは処理されてもよいが、その情報の一部はその後の分析のために保存されうる。
従って、コンピュータ21にインストールされたウイルス31は、データの安全を保証するために要求される印章29を有しないので、アプリケーション32の情報をキー26に伝送することはない。
1、21:コンピュータ
2、26:スマートキー
3、28:保全モジュール
6、30:コントローラ
7、27:不揮発性メモリ
22、23、24:電子部品
25:安全エージェントコード
29:印章
2、26:スマートキー
3、28:保全モジュール
6、30:コントローラ
7、27:不揮発性メモリ
22、23、24:電子部品
25:安全エージェントコード
29:印章
Claims (16)
- 少なくとも1つの第2の電子デバイス(1)と通信可能な少なくとも1つの第1の電子デバイス(2)との間のデータ交換の安全を保証する方法であって、
前記第1の電子デバイス(2)は、少なくとも1つのコントローラと、第1の実行可能コンピュータコード(5)を格納する大容量メモリ(7)と、安全エージェントコード(25)と呼ばれる第2の実行可能コンピュータコードとのアクセス手段とを含み、
前記第1の実行可能コンピュータコードは、前記第1の実行可能コンピュータコードを前記第2の電子デバイスで実行するために、前記第2の電子デバイスの電子リソースのみを使用し、
前記第2の実行可能コンピュータコード(25)は前記第2の電子デバイス(1)で実行されるよう意図されており、
前記方法は、
a)前記第2の実行可能コンピュータコードが前記第1の電子デバイスに含まれていることと、当該第2の実行可能コンピュータコードが前記第2の電子デバイスの前記電子リソースによって実行されなければならないものであることとを、前記第2の電子デバイスに伝達するステップと、
b)前記コントローラが、前記第2の電子デバイス(1)に対して前記第2の実行可能コンピュータコード(25)と前記第2の電子デバイス(1)によってこれを実行させるコマンドとを送信したことを認識するステップと、
c)前記第2の実行可能コンピュータコード(25)が、前記第2の電子デバイス(1)を構成する電子部品(22,23,24)の全部又は一部に関連する情報を収集するステップと、
d)収集した情報に基いて前記第2の電子デバイス(1)の印章を作成するステップと、
e)前記第1の実行可能コンピュータコードの実行中に、前記印章を用いて前記第1の電子デバイス(2)と前記第2の電子デバイス(1)との間のデータ交換の全部又は一部の保全をはかるステップと、
を含むことを特徴とする方法。 - 請求項1に記載の方法において、
前記第2の電子デバイス(1)を構成する電子部品(22,23,24)の全部又は一部に関連する前記情報は、修正不可能な情報であることを特徴とする方法。 - 請求項2に記載の方法において、
前記情報は、シリーズ番号であることを特徴とする方法。 - 請求項2に記載の方法において、
前記情報は、技術情報であることを特徴とする方法。 - 請求項1乃至4のいずれか1項に記載の方法において、
前記印章は、前記第2の実行可能コンピュータコード(25)によって作成されることを特徴とする方法。 - 請求項1乃至4のいずれか1項に記載の方法において、
前記情報は前記第1の電子デバイス(2)に送信され、前記第1の電子デバイス(2)によって前記印章が作成されることを特徴とする方法。 - 請求項1乃至4のいずれか1項に記載の方法において、
前記情報は保全電子デバイス(SE)に送信され、前記保全電子デバイス(SE)によって前記印章が作成されることを特徴とする方法。 - 請求項5乃至7のいずれか1項に記載の方法において、
前記印章の作成は、一定でないデータの利用を含むことを特徴とする方法。 - 請求項8に記載の方法において、
前記一定でないデータは、ランダム番号であることを特徴とする方法。 - 請求項1乃至9のいずれか1項に記載の方法において、
前記方法は、前記第1の実行可能なコンピュータコード(5)が実行される前に実行されることを特徴とする方法。 - 請求項1乃至9のいずれか1項に記載の方法において、
前記方法は、前記第1の実行可能コンピュータコード(5)の実行中に実行されることを特徴とする方法。 - 請求項11に記載の方法において、
前記方法は、保全される必要のあるコードを使用する前に、前記第1の実行可能コンピュータコード(5)によって起動されることを特徴とする方法。 - 請求項1乃至12のいずれか1項に記載の方法において、
前記印章の作成は、前記電子部品を用いた性能計算に基づくことを特徴とする方法。 - 請求項1乃至13のいずれか1項に記載の方法において、
前記印章を規定するステップと、
前記印章を作成するステップにおいて用いられる前記電子部品のサブセットを選択するステップと、を含み、
前記印章を規定するステップにおいて、前記第2の実行可能コンピュータコードが、特徴的な値を与えることができる前記電子部品の全部又は一部のリストを収集することを特徴とする方法。 - 請求項6に記載の方法において、
前記第1の実行可能コンピュータコードが前記第2の電子デバイスによってロード及び実行される前に、前記印章を前記第1の実行可能コンピュータコードに統合するステップをさらに含むことを特徴とする方法。 - 請求項14に記載の方法において、
前記電子部品の前記サブセットは、定期的に交換されることを特徴とする方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP09305649A EP2273407A1 (fr) | 2009-07-06 | 2009-07-06 | Sécurisation de localisation d'un code distant à travers l'empreinte du destinataire |
| EP09305649.7 | 2009-07-06 | ||
| PCT/EP2010/058668 WO2011003721A1 (fr) | 2009-07-06 | 2010-06-18 | Securisation de localisation d'un code distant a travers l'empreinte du destinataire |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012532392A JP2012532392A (ja) | 2012-12-13 |
| JP5546631B2 true JP5546631B2 (ja) | 2014-07-09 |
Family
ID=41693171
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012518865A Expired - Fee Related JP5546631B2 (ja) | 2009-07-06 | 2010-06-18 | 受信側の印章によりリモートコードの安全を保証する方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9053331B2 (ja) |
| EP (2) | EP2273407A1 (ja) |
| JP (1) | JP5546631B2 (ja) |
| WO (1) | WO2011003721A1 (ja) |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6665709B1 (en) | 2000-03-27 | 2003-12-16 | Securit-E-Doc, Inc. | Method, apparatus, and system for secure data transport |
| DE10310372B4 (de) * | 2003-03-10 | 2005-02-03 | Siemens Ag | Verfahren zur Übertragung von mobilen Programmen |
| JP4638158B2 (ja) * | 2003-10-06 | 2011-02-23 | 美恵子 露崎 | 著作権保護システム |
| US20070113090A1 (en) * | 2004-03-10 | 2007-05-17 | Villela Agostinho De Arruda | Access control system based on a hardware and software signature of a requesting device |
| JP4631303B2 (ja) * | 2004-04-16 | 2011-02-16 | ソニー株式会社 | データ利用システム,記憶装置,データ利用方法,およびコンピュータプログラム |
| EP1783581A4 (en) * | 2004-06-30 | 2010-08-25 | Panasonic Corp | PROVISION OF EXECUTION OF A PROGRAM AND METHOD OF EXECUTION |
| KR100713128B1 (ko) * | 2004-11-08 | 2007-05-02 | 주식회사 비젯 | 바이러스 방역 장치 및 시스템 |
| US20070083610A1 (en) * | 2005-10-07 | 2007-04-12 | Treder Terry N | Method and a system for accessing a plurality of files comprising an application program |
| GB2434887A (en) * | 2006-01-13 | 2007-08-08 | Deepnet Technologies Ltd | Access control by encrypting stored data with a key based on a "fingerprint" of the device storing the data |
| JP2007233226A (ja) * | 2006-03-03 | 2007-09-13 | I-O Data Device Inc | 可搬性記憶媒体、機密保護システム、および機密保護方法 |
| JP2007249575A (ja) * | 2006-03-15 | 2007-09-27 | Ricoh Co Ltd | 情報処理装置、コンピュータ読み取り可能な可搬性記録媒体、情報処理方法、情報処理プログラム及び情報処理システム |
| US20080132279A1 (en) * | 2006-12-04 | 2008-06-05 | Blumenthal Steven H | Unlicensed mobile access |
| KR101368714B1 (ko) * | 2006-12-22 | 2014-03-05 | 삼성전자주식회사 | 이동식 저장장치, 소프트웨어 자동설치시스템 및소프트웨어 자동설치방법 |
| JP2008210324A (ja) * | 2007-02-28 | 2008-09-11 | Sync Inc | ソフトウェアの実行制御プログラム、および実行制御方法 |
| WO2009111409A1 (en) * | 2008-03-04 | 2009-09-11 | Apple Inc. | System and method of authorizing execution of software code based on accessible entitlements |
| US8782404B2 (en) * | 2010-09-07 | 2014-07-15 | Nicholas L. Lamb | System and method of providing trusted, secure, and verifiable operating environment |
| US20120127516A1 (en) * | 2010-11-22 | 2012-05-24 | I O Interconnect, Ltd. | Portable device and printing method thereof |
-
2009
- 2009-07-06 EP EP09305649A patent/EP2273407A1/fr not_active Withdrawn
-
2010
- 2010-06-18 JP JP2012518865A patent/JP5546631B2/ja not_active Expired - Fee Related
- 2010-06-18 US US13/382,462 patent/US9053331B2/en not_active Expired - Fee Related
- 2010-06-18 WO PCT/EP2010/058668 patent/WO2011003721A1/fr active Application Filing
- 2010-06-18 EP EP10725742A patent/EP2452286A1/fr not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| EP2452286A1 (fr) | 2012-05-16 |
| US9053331B2 (en) | 2015-06-09 |
| US20120110265A1 (en) | 2012-05-03 |
| WO2011003721A1 (fr) | 2011-01-13 |
| JP2012532392A (ja) | 2012-12-13 |
| EP2273407A1 (fr) | 2011-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kolodenker et al. | Paybreak: Defense against cryptographic ransomware | |
| Parno et al. | Bootstrapping trust in modern computers | |
| CN109858265B (zh) | 一种加密方法、装置及相关设备 | |
| US11947688B2 (en) | Secure computing system | |
| US10162975B2 (en) | Secure computing system | |
| Dunn et al. | Cloaking malware with the trusted platform module | |
| EP1349033B1 (en) | A method of protecting the integrity of a computer program | |
| JP4689946B2 (ja) | 安全なデータを使用して情報処理を実行するシステム | |
| JP4689945B2 (ja) | リソースアクセス方法 | |
| JP4796340B2 (ja) | 状態検証を使用した保護されたオペレーティングシステムブートのためのシステムおよび方法 | |
| KR101939078B1 (ko) | 호스트 컴퓨팅 디바이스와 주변기기의 데이터의 보안을 강화하기 위한 장치및 방법 | |
| US10867049B2 (en) | Dynamic security module terminal device and method of operating same | |
| Xu et al. | Data-provenance verification for secure hosts | |
| Pham et al. | Universal serial bus based software attacks and protection solutions | |
| Suciu et al. | Horizontal privilege escalation in trusted applications | |
| JP4791250B2 (ja) | マイクロコンピュータおよびそのソフトウェア改竄防止方法 | |
| EP3790257B1 (en) | Security system for using shared computational facilities | |
| JP2020126586A (ja) | ログデータの完全性保護 | |
| Mayrhofer | An architecture for secure mobile devices | |
| JP5575950B2 (ja) | 無線端末装置およびシステム保護方法 | |
| JP5546631B2 (ja) | 受信側の印章によりリモートコードの安全を保証する方法 | |
| WO2020207292A1 (zh) | 数据安全处理系统、方法、存储介质、处理器及硬件安全卡 | |
| Bove | Secure Services for Standard RISC-V Architectures | |
| CN111651740A (zh) | 一种面向分布式智能嵌入式系统的可信平台共享系统 | |
| Safford et al. | Trusted computing and open source |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130904 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130910 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131209 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140430 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140513 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5546631 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |