JP5923556B2 - データ処理システム、データ処理システムの初期化方法及びコンピュータプログラムプロダクト - Google Patents
データ処理システム、データ処理システムの初期化方法及びコンピュータプログラムプロダクト Download PDFInfo
- Publication number
- JP5923556B2 JP5923556B2 JP2014128359A JP2014128359A JP5923556B2 JP 5923556 B2 JP5923556 B2 JP 5923556B2 JP 2014128359 A JP2014128359 A JP 2014128359A JP 2014128359 A JP2014128359 A JP 2014128359A JP 5923556 B2 JP5923556 B2 JP 5923556B2
- Authority
- JP
- Japan
- Prior art keywords
- key data
- processing system
- data processing
- security level
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012545 processing Methods 0.000 title claims description 52
- 238000004590 computer program Methods 0.000 title description 4
- 238000011423 initialization method Methods 0.000 title description 2
- 238000000034 method Methods 0.000 claims description 16
- 238000004891 communication Methods 0.000 description 5
- 238000013461 design Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000000116 mitigating effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012854 evaluation process Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- ORQBXQOJMQIAOY-UHFFFAOYSA-N nobelium Chemical compound [No] ORQBXQOJMQIAOY-UHFFFAOYSA-N 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
Description
本発明は、データ処理システム、データ処理システムの初期化方法及びコンピュータプログラムプロダクトに関する。
今日では、セキュリティは多くの工学的用途に重要な役割を果たしている。例えば、いわゆる高度道路交通システム(ITS)においては、多量の機密データを交換する必要がある。暗号化処理を実行するソフトウェアを有する一般的プロセッサのセキュリティは容易に破られ得るため、いくつかの用途では暗号化処理のために専用のハードウェアソリューションが必要とされる。それゆえ、いわゆるセキュアエレメントが導入されている。「セキュアエレメント」とは秘密情報(例えば鍵)の安全な格納並びに安全に格納した秘密情報を用いた外部供給データの安全な暗号化処理(例えばAES暗号化)を可能にするハードウェアのピースと定義することができる。
図1は、従来のセキュアエレメントの高レベルの機能概要を示す。セキュアエレメント100は一般的に、プログラマブルマイクロコントローラ108、複数の暗号化アクセラレータ110(例えば3DES,AES,RSA,ECC)、及び記憶装置、即ち不揮発性メモリ112を含む。さらに、セキュアエレメント100は、検出したタンパリング処理をマイクロコントローラ108に信号通知するよう構成されたタンパセンサ104及びタンパ検出装置106、及び他の外部装置とのデータの交換を可能にするように構成された通信装置114を含むことができる。セキュアエレメント110のコンポーネントの保護は一般にタンパ回避手段102と呼ばれ得る。
セキュアエレメント100は一般に、様々な攻撃に対してタンパ検出及びタンパ回避するために複数の高価な対抗手段を含んでいる。セキュアエレメントはこれらの攻撃に対して高いレベルの保護を提供することができる。例えば、NXPセミコンダクターズ社はコモンクライテリアEAL+6認証を得た「SmartMX2」というセキュアエレメントを製造している。コモンクライテリア認証プロセスに従う所定の(例えばスマートカード)保護プロファイルに対するEAL+6セキュリティ評価はセキュリティポリシーのプルーフを要求している。セキュアエレメントは一般に金融又は行政用途に使用されている。例えば、銀行カード及び電子パスポートは通常セキュアエレメントに実装されている。
上述したように、セキュアエレメントのセキュリティレベルは極めて高い。しかしながら、それらの性能レベルは一般にそれほど高くない。例えば、毎秒数回のAES又はRSA処理を実行し得る程度の低い性能である。いくつかの応用分野、例えばバンキング及び電子政府用途においては、この性能の欠如は深刻な問題を生じない。バンキング(銀行業)及び行政用途は一般に極めて高い性能を要求しない。しかしながら、他の用途はもっと高い性能レベルを要求し得る。これらの性能要求が困難な場合、即ちセキュリティレベルとのトレードオフが不可能な場合には、もっと高い性能を有するセキュアエレメントを生成するか、多数のセキュアエレメントを並列に使用する以外に解決法はない。このように高性能で高度にセキュアな解決法の複雑さ及びその結果のコストはいくつかの理由によりかなり高くなる。第1に、暗号化プロセッサのセキュリティ強化実装に要するシリコン領域は、例えば容易に非強化法の4倍になり得る。さらに、再設計により非常に長く費用のかかる認証処理、即ちセキュリティ評価プロセスが要求され得る。その結果、一般に、性能とセキュリティとの間で設計時間のトレードオフが存在する。
高い性能レベル、即ち高いスループット及び/又は低いレイテンシー、は時々必要とするのみであり、セキュリティレベルと性能との間の動的でリアルタイムのトレードオフを行い得るいくつかの用途も存在する。例えば、ある暗号化処理に対するレイテンシー要件はセーフティクリティカルでない殆どの場合に低くすることができるが、いくつかのセーフティクリティカルな状態中に高くしなければならない。このような用途のために単に高性能且つ高セキュアのハードウェアピースを生成することはあまりに複雑で費用がかかりすぎる。代案として、性能対セキュリティのトレードオフを設計時に行う解決法が考えられる。例えば、設計者は所定の暗号化処理の性能を高めるためにこの暗号化機能を常にセキュアエレメントの外部で実行するように決定することができる。しかしながら、これは、特に、これらの処理に必要とされる鍵などの秘密情報がセキュアエレメントの外部に常駐することを意味する。このような解決法では、セキュリティレベルが連続的に低下する。
以上を考慮すると、セキュリティと性能のより柔軟なトレードオフを行い得るより単純な解決法が必要とされている。もっと正確に言えば、暗号化機能を、性能要求が低いときにセキュアエレメント内で実行すべきか、性能要求が高いときに一時的にセキュアエレメント外で実行すべきかをリアルタイムに決定することができる、より単純な解決法が必要とされている。また、このようなセキュリティレベルの一時的緩和は、この一時的緩和の終了後にシステムのセキュリティレベルに悪影響を与えないように実行すべきである。
従って、本発明の目的は、セキュリティと性能のより柔軟なトレードオフを行い得るより単純な解決法を提供することにある。この目的は、請求項1記載のデータ処理システム、請求項10記載のデータ処理システムを初期化する方法、及び請求項11記載のコンピュータプログラムプロダクトにより達成される。
最初に、データ処理システムが着想され、該データ処理システムは、少なくとも2つのセキュリティレベル及び前記セキュリティレベルの特定の1つで格納された鍵データデータを備え、前記鍵データは、前記鍵データを格納し得る最低セキュリティレベルでタグ付けされる。
一つの例示的な実施形態によれば、前記鍵データは、前記鍵データに付与された又は前記鍵データに含められた属性によってタグ付けされ、前記属性は、前記鍵データを格納し得る前記最低セキュリティレベルを示す値を有する。他の例示的な実施形態によれば、前記セキュリティレベルの1つ、特に最高のセキュリティレベルは、耐タンパセキュアエレメントとして実装される。
他の例示的な実施形態によれば、前記セキュリティレベルの1つ、特に中間のセキュリティレベルは、高性能暗号化アクセラレータとして実装される。
他の例示的な実施形態によれば、前記データ処理システムは、前記鍵データを前記鍵データが格納されていたセキュリティレベルより低いセキュリティレベルに少なくとも一時的に移動させるように構成され、前記鍵データが一時的に移動される前記セキュリティレベルは前記最低セキュリティレベルに等しいかそれより高いレベルである。
他の例示的な実施形態によれば、前記鍵データはさらに内部セキュリティレベルでタグ付けされ、前記内部セキュリティレベルは前記鍵データが存在した前記最低セキュリティレベルを示す。
他の例示的な実施形態によれば、前記鍵データはさらに前記鍵データが存在したセキュリティレベルの履歴を示すリストでタグ付けされる。
他の例示的な実施形態によれば、前記データ処理システムは、前記鍵データを用いて交換及び検証することができる一時的な鍵データを生成するように構成される。
他の例示的な実施形態によれば、前記データ処理システムは高度道路交通システムに含まれる。
少なくとも2つのセキュリティレベルを有するデータ処理システムを初期化する方法が着想され、該方法は、鍵データを、前記鍵データを格納し得る最低セキュリティレベルでタグ付けするステップ、及び前記鍵データを、前記複数のセキュリティレベルの特定の1つに格納するステップを備える。
さらに、コンピュータプログラムプロダクトが着想され、該コンピュータプログラムプロダクトは、処理装置による実行時に上述した方法のそれぞれのステップを実行又は制御する命令を備える。
以下、添付図面を参照して実施形態をより詳細に説明する。
本発明によれば、秘密データが処理されるデータ処理システムのセキュリティと性能の動的トレードオフが可能になり、よってこれらのシステムの複雑さとコストを低減することが可能になる。前記トレードオフは前記秘密情報の暗号化処理に使用し得る鍵データを所要の最低セキュリティレベルでタグ付けすることによって可能になる。必要に応じ、データ処理システムは、交換することができ、ロングタームセキュア鍵データを用いて検証することができる一時的な鍵データを生成することができる。
図2は、例示的な実施形態による、異なるセキュリティレベルを有するデータ処理システムを示す。本例では、データ処理システムは複数のセキュリティレベル200,202,204,206,208を備える。セキュリティレベル202及び206はなくてもよく、また複数のセキュリティレベルにさらに分割してもよく、よってセキュリティレベル202及び206は点線で示されている。各セキュリティレベルは秘密データ、例えば鍵データの保存及び前記秘密データを用いる暗号化処理を提供する。各セキュリティレベルはハードウェア、ソフトウェア、又はハードウェアとソフトウェアの特定の組み合わせで実装することができる。例えば、最高セキュリティレベル208(SL N)は上述した種類のセキュアエレメント内に実装することができる。データ処理システムはN個の異なるセキュリティレベルを有し、ここでNは整数値である。
複数のセキュリティレベルの使用によりセキュリティと性能との間の動的でリアルタイムのトレードオフが可能となる。本例では、最低セキュリティレベル200(SL 0)は他のセキュリティレベルより複雑性が低いものである。従って、最低セキュリティレベル200は高性能でも安価である。最高セキュリティレベル208(SL N)は他のセキュリティレベルより高い複雑性を有するものである。従って、最高セキュリティレベル208は、特に依然として適度な性能レベルを有する必要がある場合には、さらに高価なものとなる。
図3は、図2に示すデータ処理システムに入力する鍵データを示す。いくつかの時点で、新しい鍵データ300がデータ処理システムに与えられる。このデータ処理システムへの鍵データ300の挿入は製造時に行うことができるが、その後の任意の時点、例えば定期保守の時間間隔で行うこともできる。データ処理システムに鍵データを入力する技術自体は既知であり、鍵データ300をシステムに挿入するまさにその方法自体は本発明の範囲外である。例えば、このような挿入は安全な制御された環境で実行することができる。図3においては、鍵データ300は最高セキュリティレベル208に挿入される。
データ処理システムは1以上の関連システムと関連させることができる。本開示において、「関連システム」とは、同じ又は対応する鍵データを用いて保護されたデータを本データ処理システムと交換する外部装置と定義する。例えば、本データ処理システムが第1の車両内のセキュアデータ処理システムである場合、関連システムは、例えば、第1の車両内のセキュアデータ処理システムとITS接続を介して通信する第2の車両内の類似のセキュアデータ処理システムとすることができる。さらに、本開示で使用する「保護された」とは、例えば、データの完全性がメッセージ認証コード(MAC)又は署名を用いて保護されたこと又はデータの機密性が暗号化アルゴリズムを用いて保護されたことを意味する。当業者であれば他のデータ保護技術も考えられることは理解されよう。
上述したように、鍵データ300は所要の最低セキュリティレベルでタグ付けされる。本発明によれば、タグは鍵データの発生元(生成者)が鍵データに付与し得る属性(最低SL属性)を含むものとし得る。例えば、図3の鍵データ300に対する最低SL属性がサービスレベルSL M(図示せず)に対応する値(ここで、K≦M≦N)を有する場合には、鍵データ300はレベルM以上に格納しなければならない。一般に、最も安全な選択肢は鍵データ300を最初から最高セキュリティレベル208(SL N)に格納することである。
非対称鍵又は公開鍵暗号化の場合には、鍵データ300は、例えば秘密鍵に、関連非秘密(公開)鍵を含む証明書を加えたチェーンを含むものとし得る。証明書は、鍵が使用される際の最低サービスレベルを規定する最低SL属性を付加的に含むことができる。この鍵データ300が使用されるとき、関連システムは、(少なくとも)前記チェーンのルート証明書にアクセスできるならば、いわゆる公開鍵インフラストラクチャ(PKI)を用いて証明書(及び従って最低SL属性)を検証することができる。よって、関連システムは鍵データ300のセキュリティレベル(又は信頼レベル)を知ることができる。
対称暗号化の場合には、鍵データ300は、例えば秘密鍵及び対応する最低SL属性を含むタプル(組)を含むものとし得る。この場合には、関連システムは同じ鍵データのコピーを得ておく必要もあるため、鍵データ300の最低SL属性をすでに知っているものと想定される。
動作中、第1の動的トレードオフは、鍵データ300を最高セキュリティレベル208より低いが依然として鍵データ300の最低SL属性に対応するサービスレベルに等しいかそれより高いサービスレベルに移動させることによって実現することができる。従って、システムの該当部分は高い性能レベルを有しているため、システムは、実行時に、鍵データ300のいくつかを低いセキュリティレベルに少なくとも一時的に移動させることを決定することができる。この移動は、鍵データ300に対する最低サービスレベルの要求が依然として満足されるため、関連システムに対して何の影響も与えない。システムの高いセキュリティレベルによって提供される追加の保護レベルが一時的に除去されるという影響があるのみである。
拡張例として、システムは鍵データに対して追加の属性、内部セキュリティレベル(ISL)、を維持することもできる。最初は、ISL属性の値は最低SL属性に等しい。鍵データ300が現在のセキュリティレベルより低いセキュリティレベルに移動される場合、ISL属性の値は前記低いセキュリティレベルに対応する値に低下される。鍵データ30が高いセキュリティレベルに戻される場合、ISL属性の値は変化されない。従って、ISL属性の値は、鍵データ300が存在した最低セキュリティレベルを反映する。よって、システムはどの鍵が(ハッカーにより)改ざんされる確率が最低であり、どの鍵が改ざんされる確率が僅かに高いかを追跡することができる。この知識は、例えば低いセキュリティレベルで使用される鍵の寿命を短くするために使用することができる。この管理は、例えば鍵データの最低SL属性の値に等しいかそれより高いセキュリティレベルのリスト及びこれらのセキュリティレベルの各々に対して鍵データ300がそれぞれのセキュリティレベルに存在した期間のリストを格納することによってさらに拡張することもできる。
さらに、第2の動的トレードオフは、(原)鍵データ300の最低SL属性の値に対応するサービスレベルより低いサービスレベルにおいて使用される一時的な鍵データを生成することによって実現することができる。
非対称鍵又は公開鍵暗号化の場合には、一時的な鍵データは、例えば一時的な秘密鍵と、一時的な関連非秘密(公開)鍵及びシステム識別子を含む証明書とを含むものとし得る。この場合も、証明書は一時的な鍵を使用し得る最低サービスレベルを規定する最低SL属性を付加的に含むことができる。証明書自体はこの場合には原鍵データ300の秘密鍵を用いて署名することができ、関連システムは原鍵データ300の証明書を用いて証明書(及びひいては一時的な鍵データ)の完全性及び信頼性を検証することができる。実際上、システムは証明書チェーンを1ノードだけ拡張し、原鍵データ300を使用する認証局(CA)にも、一時的な鍵データを使用する最終ノードにもなる。これは図4に示されている。図4は、例示的な実施形態による証明書チェーンの拡張例を示す。原証明書チェーン400は一時的なシステム証明書で有効に拡張され、拡張証明書チェーン402になる。
対称暗号化の場合には、一時的な鍵データは、例えば秘密鍵と、対応する最低SL属性とを含むトプルを含むものとし得る。この一時的な鍵データは、例えばこの一時的な鍵データを関連システムと交換する前に、原鍵データ300を用いて暗号化することによって、関連システムに安全に提供することができる。
図5Aは、例示的な実施形態によるデータ処理システムの実装を備える車両を示す。本例では、車両500は前記データ処理システム502及びITS通信装置504を備えている。図5Bは図5Aに示すデータ処理システム502のブロック図を示す。データ処理システム502はマイクロコントローラ506、いわゆる暗号化アクセラレータ508及びセキュアエレメント510を備える。
上述した種類のデータ処理システム502の一例は、高度道路交通システム用のセキュリティサブシステムであり、より具体的には、特に安全使用のための801.11pベースの車両間通信システムである。特に、ハイブリッドセキュリティサブシステムは、高いセキュリティレベルを有するセキュアエレメント510及び低いセキュリティレベルを有するが高い性能レベルを有する暗号化アクセラレータ508の両方を備えるものとみなせる。セキュアエレメント510は、例えばNXPセミコンダクターズ社により製造されているSmartMX2チップとして具体化することができる。コモンクライテリアEAL+6の認証を得ているSmartMX2チップは、高いセキュリティレベル要求を有する鍵データを格納することができ、この鍵データを用いて出力メッセージに署名をすることができる。SmartMX2チップ510に加えて、システム502は中程度のセキュリティレベルを有する高性能の暗号化アクセラレータ508を備え、この暗号化アクセラレータは高速度で入力する安全メッセージの検証のために使用することができる。
必要に応じ、セーフティクリティカルの場合には、システムのレイテンシーを減少させるために、同じ暗号化アクセラレータ508が署名生成のためにSmartMX2チップ510に格納された秘密鍵データを使用することができる。このとき、秘密鍵データはSmartMX2チップ510から暗号化アクセラレータ508に一時的に移動させることができる。これは、中間鍵を生成することによって行うことができ、また疑似識別子鍵の組の1つを使用することによって行うこともできる(この疑似識別子鍵はその後汚染されるかもしれず、よって将来のクリティカル操作に使用されないものとしてフラグされる)。
当業者は、データ処理システム502を他の用途及び使用にも有利に使用できることは理解されよう。言い換えれば、データ処理システム502の用途及び使用は高度道路交通システムに限定されない。
最後に、図面は概略図である点に注意されたい。異なる図において、同一もしくは同等の要素に同じ参照符号が付与されている。さらに、例示的な実施形態を簡潔に説明することを目指して、当業者の通常の知識の範囲に入る実施の細部については記載が省略されている点に注意されたい。このような実施形態の開発においては、任意の工学的又は設計プロジェクトの場合と同様に、システム関連及びビジネス関連制約とのコンプライアンスのような実装例ごとに変化し得る開発者固有の目的を達成するために、多くの実装例に固有の決定を行わなければならないことを理解すべきである。更に、そのような開発上の努力は複雑であり時間を要する可能性があるが、それでも本開示の恩恵を受ける当業者にとっては、設計、製作、および製造に関する日常的な業務でありうることを理解すべきである。
上述した実施形態は単なる例示であって、当業者であれば添付の特許請求の範囲から逸脱することなく多くの代替実施形態を設計することができる。特許請求の範囲において、括弧内の参照符号は請求の範囲の限定を意図するものではない。単語「含む」又は「備える」は、請求の範囲に列記されている要素又はステップ以外の要素又はステップの存在を除外するものではない。要素又はステップに先行する単語「a」又は「an」は、複数の係る要素又はステップの存在を排除するものではない。請求項に記載の特徴はいくつかの個別の要素を備えるハードウェア及び/又は適切にプログラムされたプロセッサによって実施することができる。いくつかの手段を列挙する装置請求項においては、これらの手段のいくつかはハードウェアの1つの同じアイテムで具体化することができる。いくつかの手段が互いに異なる従属請求項に記載されているという単なる事実をもってこれらの手段の組み合わせが有利に使用できないことを意味するものではない。
100 セキュアエレメント
102 タンパ回避手段
104 タンパセンサ
106 タンパ検出器
108 マイクロコントローラ
110 暗号化アクセラレータ
112 記憶装置
114 通信装置
200 セキュリティレベル
202 セキュリティレベル
204 セキュリティレベル
206 セキュリティレベル
208 セキュリティレベル
300 鍵データ
400 原証明書チェーン
402 拡張証明書チェーン
500 車両
502 データ処理システム
504 ITS通信装置
506 マイクロコントローラ
508 暗号化アクセラレータ
510 セキュアエレメント
102 タンパ回避手段
104 タンパセンサ
106 タンパ検出器
108 マイクロコントローラ
110 暗号化アクセラレータ
112 記憶装置
114 通信装置
200 セキュリティレベル
202 セキュリティレベル
204 セキュリティレベル
206 セキュリティレベル
208 セキュリティレベル
300 鍵データ
400 原証明書チェーン
402 拡張証明書チェーン
500 車両
502 データ処理システム
504 ITS通信装置
506 マイクロコントローラ
508 暗号化アクセラレータ
510 セキュアエレメント
Claims (7)
- 少なくとも2つのセキュリティレベル、及び
前記セキュリティレベルの特定の1つに属する鍵データを備え、
前記セキュリティレベルの各々に前記鍵データが属することができ、前記セキュリティレベルの各々が前記鍵データを用いる暗号化処理を提供し、
前記鍵データは、前記鍵データが属し得る最低セキュリティレベルでタグ付けされ、
前記セキュリティレベルのうち最高のセキュリティレベルは、耐タンパセキュアエレメントとして実装され、
前記データ処理システムは、前記鍵データを、当該鍵データが属するセキュリティレベルより低いセキュリティレベルに少なくとも一時的に移動させるように構成され、
前記鍵データが一時的に移動される前記セキュリティレベルは、前記最低セキュリティレベルに等しいかそれより高いレベルである、
データ処理システム。 - 前記鍵データは、前記鍵データに付与された又は前記鍵データに含められた属性によってタグ付けされ、
前記属性は、前記鍵データが属し得る前記最低セキュリティレベルを示す値を有する、
請求項1記載のデータ処理システム。 - 前記セキュリティレベルの1つ、特に中間のセキュリティレベルは、高性能暗号化アクセラレータとして実装される、
請求項1または2に記載のデータ処理システム。 - 前記鍵データはさらに内部セキュリティレベルでタグ付けされ、前記内部セキュリティレベルは前記鍵データが存在した前記最低セキュリティレベルを示す、
請求項1〜3のいずれか1項に記載のデータ処理システム。 - 前記鍵データはさらに前記鍵データが存在したセキュリティレベルの履歴を示すリストでタグ付けされる、
請求項1〜4のいずれか1項に記載のデータ処理システム。 - 請求項1〜5のいずれか1項に記載された鍵データを用いて交換及び検証することができる一時的な鍵データを生成するように構成された、
請求項1〜5のいずれか1項に記載のデータ処理システム。 - 請求項1〜6のいずれか1項に記載のデータ処理システムを備える高度道路交通システム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP13173426.1A EP2819057B1 (en) | 2013-06-24 | 2013-06-24 | Data processing system, method of initializing a data processing system, and computer program product |
| EP13173426.1 | 2013-06-24 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015007978A JP2015007978A (ja) | 2015-01-15 |
| JP5923556B2 true JP5923556B2 (ja) | 2016-05-24 |
Family
ID=48672460
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014128359A Active JP5923556B2 (ja) | 2013-06-24 | 2014-06-23 | データ処理システム、データ処理システムの初期化方法及びコンピュータプログラムプロダクト |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20160119362A1 (ja) |
| EP (1) | EP2819057B1 (ja) |
| JP (1) | JP5923556B2 (ja) |
| CN (1) | CN104243137B (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11615199B1 (en) * | 2014-12-31 | 2023-03-28 | Idemia Identity & Security USA LLC | User authentication for digital identifications |
| US11734678B2 (en) * | 2016-01-25 | 2023-08-22 | Apple Inc. | Document importation into secure element |
| US10171452B2 (en) * | 2016-03-31 | 2019-01-01 | International Business Machines Corporation | Server authentication using multiple authentication chains |
| JP6919523B2 (ja) * | 2017-11-22 | 2021-08-18 | 大日本印刷株式会社 | セキュアエレメント、クライアント端末、情報処理方法及び情報処理プログラム |
| CN109150840B (zh) * | 2018-07-25 | 2021-04-20 | 重庆邮电大学 | 一种车联网中更新包自适应防篡改的数据结构及方法 |
| IT201900006242A1 (it) | 2019-04-23 | 2020-10-23 | Italdesign Giugiaro Spa | Perfezionamenti nella trasmissione di dati o messaggi a bordo di un veicolo mediante un protocollo di comunicazione SOME/IP |
| DE112021005787T5 (de) * | 2020-11-05 | 2024-02-15 | Felica Networks, Inc. | Datenverarbeitungsvorrichtung, datenverarbeitungsverfahren, programm, mobiles endgerät und datenverarbeitungssystem |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2018319C (en) * | 1989-06-30 | 1997-01-07 | Larry Alan Wehr | Method of providing mandatory secrecy and integrity file security in a computer system |
| US5204663A (en) * | 1990-05-21 | 1993-04-20 | Applied Systems Institute, Inc. | Smart card access control system |
| US7334127B2 (en) * | 1995-04-21 | 2008-02-19 | Certicom Corp. | Key agreement and transport protocol |
| AU3475000A (en) * | 1999-01-29 | 2000-08-18 | General Instrument Corporation | Key management for telephone calls to protect signaling and call packets betweencta's |
| US6449720B1 (en) * | 1999-05-17 | 2002-09-10 | Wave Systems Corp. | Public cryptographic control unit and system therefor |
| US6963980B1 (en) * | 2000-11-16 | 2005-11-08 | Protegrity Corporation | Combined hardware and software based encryption of databases |
| US7178027B2 (en) * | 2001-03-30 | 2007-02-13 | Capital One-Financial Corp. | System and method for securely copying a cryptographic key |
| GB2384404B (en) * | 2002-01-18 | 2005-02-16 | Sun Microsystems Inc | Key management |
| FI115564B (fi) * | 2003-02-03 | 2005-05-31 | Nokia Corp | Menetelmä ja järjestelmä testauksen suorittamiseksi laitteessa ja laite |
| DE102004040312B4 (de) * | 2003-08-19 | 2018-11-15 | Certicom Corp. | Verfahren und Vorrichtung zum Synchronisieren einer anspassbaren Sicherheitsstufe bei einer elektronischen Datenübertragung |
| BRPI0415314B8 (pt) * | 2003-10-14 | 2018-05-02 | Magnus Nystroem | método e arranjo para gerenciar gerações de informação de código de segurança em um ambiente de informação, e, entidades consumidora e de produção de código de segurança em um ambiente de informação |
| US8139770B2 (en) * | 2003-12-23 | 2012-03-20 | Wells Fargo Bank, N.A. | Cryptographic key backup and escrow system |
| GB0404444D0 (en) * | 2004-02-27 | 2004-09-01 | Bae Sys Defence Sys Ltd | Secure computer communication |
| JP4487607B2 (ja) * | 2004-03-23 | 2010-06-23 | ソニー株式会社 | 情報処理システム、情報処理装置および方法、記録媒体、並びにプログラム |
| JP4606055B2 (ja) * | 2004-04-21 | 2011-01-05 | 株式会社バッファロー | 暗号鍵設定システム、アクセスポイントおよび暗号鍵設定方法 |
| GB2419787B (en) * | 2004-10-28 | 2007-07-04 | Hewlett Packard Development Co | Method and apparatus for providing short-term private keys in public-key cryptographic systems |
| JP4783159B2 (ja) * | 2006-01-16 | 2011-09-28 | 日本放送協会 | コンテンツ蓄積装置およびコンテンツ再生装置、並びに、コンテンツ蓄積プログラムおよびコンテンツ再生プログラム |
| CN101102180B (zh) * | 2006-07-03 | 2010-08-25 | 联想(北京)有限公司 | 基于硬件安全单元的系统间绑定及平台完整性验证方法 |
| GB0701518D0 (en) * | 2007-01-26 | 2007-03-07 | Hewlett Packard Development Co | Methods, devices and data structures for protection of data |
| WO2008128212A1 (en) * | 2007-04-12 | 2008-10-23 | Ncipher Corporation Ltd. | Method and system for identifying and managing encryption keys |
| US8259948B2 (en) * | 2007-12-29 | 2012-09-04 | Intel Corporation | Virtual TPM key migration using hardware keys |
| US20090292930A1 (en) * | 2008-04-24 | 2009-11-26 | Marano Robert F | System, method and apparatus for assuring authenticity and permissible use of electronic documents |
| JP5266322B2 (ja) * | 2008-06-23 | 2013-08-21 | パナソニック株式会社 | 鍵移動装置 |
| US8498418B2 (en) * | 2009-08-31 | 2013-07-30 | International Business Machines Corporation | Conversion of cryptographic key protection |
| US8826039B2 (en) * | 2010-02-02 | 2014-09-02 | Broadcom Corporation | Apparatus and method for providing hardware security |
| US8675875B2 (en) * | 2010-05-18 | 2014-03-18 | International Business Machines Corporation | Optimizing use of hardware security modules |
| JPWO2012008158A1 (ja) * | 2010-07-13 | 2013-09-05 | 三洋電機株式会社 | 端末装置 |
| US8583937B2 (en) * | 2010-12-16 | 2013-11-12 | Blackberry Limited | Method and apparatus for securing a computing device |
-
2013
- 2013-06-24 EP EP13173426.1A patent/EP2819057B1/en active Active
-
2014
- 2014-05-12 US US14/275,722 patent/US20160119362A1/en not_active Abandoned
- 2014-06-11 CN CN201410258996.6A patent/CN104243137B/zh active Active
- 2014-06-23 JP JP2014128359A patent/JP5923556B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20160119362A1 (en) | 2016-04-28 |
| EP2819057A1 (en) | 2014-12-31 |
| EP2819057B1 (en) | 2017-08-09 |
| CN104243137B (zh) | 2018-05-08 |
| JP2015007978A (ja) | 2015-01-15 |
| CN104243137A (zh) | 2014-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5923556B2 (ja) | データ処理システム、データ処理システムの初期化方法及びコンピュータプログラムプロダクト | |
| RU2728524C1 (ru) | Способ и устройство консенсусной верификации | |
| US6233685B1 (en) | Establishing and employing the provable untampered state of a device | |
| US10733291B1 (en) | Bi-directional communication protocol based device security | |
| CN106687980B (zh) | 管理程序和虚拟机保护 | |
| KR20190105027A (ko) | 데이터 공유 방법 및 데이터 공유 시스템 | |
| CN111724150A (zh) | 一种业务请求的处理方法及装置 | |
| KR102144614B1 (ko) | 비밀 선거가 보장된 블록 체인 기반의 전자 투표를 수행하는 단말 장치 및 서버와, 전자 투표 방법 | |
| US11824967B2 (en) | Electronic device using homomorphic encryption and encrypted data processing method thereof | |
| US20220019676A1 (en) | Threat analysis and risk assessment for cyber-physical systems based on physical architecture and asset-centric threat modeling | |
| Yilmaz et al. | ARMOR: An anti-counterfeit security Mechanism for lOw cost Radio frequency identification systems | |
| JP2017063401A (ja) | 集積回路、集積回路を保護する方法及びコンピュータプログラム製品 | |
| CN109445705A (zh) | 固件认证方法及固态硬盘 | |
| BR112013012216B1 (pt) | proteção contra as escutas passivas | |
| CN114091690A (zh) | 联邦学习模型的训练方法和调用方法以及联邦学习系统 | |
| JP6780771B2 (ja) | 検証情報付与装置、検証装置、情報管理システム、方法およびプログラム | |
| US20200117795A1 (en) | System and method for generating and authenticating a trusted polymorphic and distributed unique hardware identifier | |
| EP3214567A1 (en) | Secure external update of memory content for a certain system on chip | |
| US20240048354A1 (en) | Electronic device using homomorphic encryption and encrypted data processing method thereof | |
| EP3616360A2 (en) | Managing cryptographic keys based on identity information | |
| US11615188B2 (en) | Executing software | |
| US8422683B2 (en) | Appraising systems with zero knowledge proofs | |
| CN109684871A (zh) | 基于区块链的文件存储方法及系统 | |
| CN113901502A (zh) | 一种数据处理方法、装置、电子设备以及存储介质 | |
| Anagnostopoulos | Practical lightweight security: Physical unclonable functions and the internet of things |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150728 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150818 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151020 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160322 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160418 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5923556 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |