JP6388765B2 - 無効化モジュールを備えた電子アセンブリ - Google Patents

無効化モジュールを備えた電子アセンブリ Download PDF

Info

Publication number
JP6388765B2
JP6388765B2 JP2013244175A JP2013244175A JP6388765B2 JP 6388765 B2 JP6388765 B2 JP 6388765B2 JP 2013244175 A JP2013244175 A JP 2013244175A JP 2013244175 A JP2013244175 A JP 2013244175A JP 6388765 B2 JP6388765 B2 JP 6388765B2
Authority
JP
Japan
Prior art keywords
operating system
electronic device
trusted
invalidation
secure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013244175A
Other languages
English (en)
Other versions
JP2014112369A (ja
Inventor
ブスケ,ニコラ
シエラ,ヤニック
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Idemia France SAS
Original Assignee
Oberthur Technologies SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oberthur Technologies SA filed Critical Oberthur Technologies SA
Publication of JP2014112369A publication Critical patent/JP2014112369A/ja
Application granted granted Critical
Publication of JP6388765B2 publication Critical patent/JP6388765B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/28Error detection; Error correction; Monitoring by checking the correct order of processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/48Program initiating; Program switching, e.g. by interrupt
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Bioethics (AREA)
  • Virology (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)
  • Telephone Function (AREA)

Description

本発明は、ターミナルまたはスマートカード等の、少なくとも1つがトラスティッド実行環境(trusted execution environment)であり他の少なくとも1つがリッチOS実行環境(Rich-OS execution environment)である複数の実行環境を備えた電子デバイスをセキュア化する分野に属する。
トラスティッド実行環境は、自身のタスク専用のプロセッサであってもよく他の機能を有していてもよいセキュアプロセッサと、書換え用のセキュアな不揮発性メモリ(secure rewrite non-volatile memory)とによって実装され、トラスティッド実行環境は、トラスティッドオペレーティングシステム(trusted operating system)に基づく。トラスティッドオペレーティングシステムに依存するアプリケーションは、ターミナルのユーザーが制御できない信頼ソースまたは認証ソースからオリジネートする。
リッチOS実行環境は、インターネット等の種々の発行元のアプリケーションを実行させるリッチオペレーティングシステム(rich operating system)に基づく。
例えば、これらの2つのオペレーティングシステムは、ターミナルにおける単一のチップセットによって実行できる。
さらに、トラスティッドオペレーティングシステムは、電子デバイスで実行されるコード、特にトラスティッドオペレーティングシステムのコード、のインテグリティをベリファイすることによって電子デバイスが信頼された状態でスタートアップしていることをベリファイするセキュアなスタートアップメカニズムを有している。トラスティッドオペレーティングシステムは、他のオペレーティングシステムがスタートアップする前に、事前にスタートアップする。
リッチOSオペレーティングシステムが破損している場合には、ターミナルデータのセキュリティはもはや保証されない。この問題を解決するために、リッチOSオペレーティングシステムを無効化することがよく知られている。しかし、これは、人間のユーザーがターミナルをもはや使用できなくなりこのことは特に緊急時において明らかに好ましいことではない(緊急電話番号に電話をかけることが不可能となる)ため、人間のユーザーにとって便利な解決策ではない。
また、リムーバブルのセキュアエレメントであるSIM(UICC)カードまたは埋め込み型のセキュアエレメントeSE等のセキュアエレメントを備えた電子デバイスも知られている。
米国特許出願公開第2002/0186845号明細書は、無線によりブロッキングメッセージを送信することによってターミナルのセキュアエレメントへのアクセスを無効化し、その一方でフェイルソフトモードで機能するターミナルの一部の機能を使用することを許可するシステムを提案している。
しかし、この文献によって開示された解決策では、セキュリティアノマリ(security anomaly)を信号で伝えるタスクはターミナルのユーザーに任されており、ユーザーによってリクエストされた場合のみにターミナルのセキュア化がなされる。従って、ユーザーにトランスペアレントであり見えないセキュリティアノマリにターミナルが遭遇すると、ターミナルのセキュア化はなされない。さらに、上述の文献で提案されている解決策は、無線信号を受信可能とすることを必要とする。従って、ネットワーク接続が不十分であるターミナル(例えば、ネットワークホールまたは欠陥あるネットワークがあるターミナル)またはネットワーク接続がないターミナル(例えば、エアークラフトモード(aircraft mode)のターミナル)をユーザーが使用する場合には、ターミナルのセキュア化はなされ得ない。
従って、電子デバイスをセキュア化する既存の方法を改善する必要がある。
本発明は、主として、上述の問題点を解決することを目的とする。
このため、本発明は、電子デバイス用の電子アセンブリであって、トラスティッドオペレーティングシステムおよびリッチOSオペレーティングシステムが、当該電子アセンブリのメモリに記憶されかつ当該電子アセンブリで実行され、当該電子アセンブリは、リッチOSオペレーティングシステムのセキュリティアノマリを検出するモジュールと、この検出されたアノマリに応答してターミナルにおける少なくとも1つのセキュアな機能(secure function)を無効化するモジュールとを備え、これらの2つのモジュールはトラスティッドオペレーティングシステムに処理系依存し(being implementation-dependent)、一方で、無効化はフェイルソフトモードで電子デバイスを使用すること許可する、電子アセンブリに関する。
本発明はまた、トラスティッドオペレーティングシステムおよびリッチOSオペレーティングシステムが実行される電子デバイスをセキュア化する方法に関する。この方法の実装は、トラスティッドオペレーティングシステムに依存し、この方法は、リッチOSオペレーティングシステムのアノマリを検出するステップと、この検出ステップに応答して、電子デバイスにおける少なくとも1つのセキュアな機能を無効化するステップとを備える。無効化ステップは、一方で、フェイルソフトモードで電子デバイスを使用することを許可する。
本発明はさらに、上述のような電子アセンブリを備えたターミナルに関する。このターミナルは、携帯電話等であってもよく、また、タッチパッドまたはラップトップコンピュータであってもよい。変形例では、ターミナルは、例えば、車載コンピュータのような、マシンツーマシンタイプのアーキテクチャで広く用いられるセルフスタンディング(self-standing)または埋め込み型のインテリジェントなシステムであってもよい。
変形例では、ターミナルは、スマートカードであってもよい。
本発明は、デバイスのユーザーがセキュアな態様でデバイスを利用することを可能とするのであるが、これは、第1に、本発明が、セキュリティアノマリが検出されたときにデバイスのセキュア化をもたらすためであり、第2に、デバイスのセキュア化が一方ではユーザーがフェイルソフトモードで機能するデバイスの一部の機能を使用することを許可するためである。方法の実装はトラスティッドオペレーティングシステムに依存するため、ユーザーは、十分なセキュリティおよび信頼性をもって上述のデバイスを使用できる。先行文献(米国特許出願公開第2002/0186845)で提案された解決策では、デバイスのセキュリティは、デバイスが遭遇し得るセキュリティアノマリへのユーザーの注意力に基づいており、トラスティッドオペレーティングシステムおよびそのアプリケーションにデバイスのセキュリティを直接委ねる本発明とは反対である。
本発明の1つの具体的な実施形態では、セキュアな機能は、電子デバイスによって実行されるセキュアエレメントのアプリケーション、または、電子デバイスがアクセス可能であるセキュリティエレメントのセンシティブなデータ、例えば暗号化キー、にアクセスするアクセス機能である。
デバイスのセキュア化は、セキュアでない機能(non-secure functions)が利用可能に維持されるように、なされる。
一例では、携帯電話の場合には、ユーザーは、例えば支払い機能等の一部のセキュアな機能が無効化されていても、ターミナルを用いて電話できる。
本発明の1つの具体的な実施形態では、セキュリティアノマリは、リッチOSオペレーティングシステムの破損(corruption)である。
リッチOSオペレーティングシステムの破損は、インテグリティベリファイモジュールによって、自動的および/またはシステマティックに検出できる。
リッチOSオペレーティングシステムの破損は、有害な現象(harmful phenomenon)であり、電子デバイスのユーザーには見えないことがよくあり、本発明のこの実施形態は、この不都合を減少するために、必要なセキュリティステップを採用する。
本発明の別の実施形態では、検出モジュールは、セキュア化指令を含むメッセージを受信可能である。
この実施形態には、遠隔で開始できるという利点がある。盗難されたまたは紛失した電子デバイスをセキュア化すること等には、大きな利点がある。
本発明の1つの具体的な実施形態では、無効化モジュールは、アプリケーションの無効化指令をそのアプリケーションに送信することと、そのアプリケーションの無効化の応答を待つことと、が可能である。トラスティッドオペレーティングシステムは、応答が否定的であれば、電子デバイスのセキュア化を確実とするために必要なステップを採用する。
つまり、無効化に失敗した場合であっても、トラスティッドオペレーティングシステムは、電子デバイスのセキュリティを確保するために必要なステップを採用できる。
本発明の1つの具体的な実施形態では、電子デバイスのセキュリティのべリファイに応答して検出モジュールが起動し、検出モジュールは:
トラスティッドオペレーティングシステム主導で(on the initiative of)電子デバイスのスタートアップのときにもしくは定期的に、または
電子デバイスのユーザー主導で、トリガーされる。
この実施形態の1つの利点は、トラスティッドオペレーティングシステム主導でベリファイされたときに、ユーザーからみて自動的に、電子デバイスのセキュア化がなされることである。
この実施形態のさらなる利点は、電子デバイスのセキュリティが疑わしいときに、電子デバイスのユーザーもまたべリファイを開始できることである。この利点は、ユーザーの電子デバイスが紛失しもしくは盗難され、または疑わしいアプリケーションのダウンロードのようなユーザーのターミナルが脆弱化する処理をユーザーが実施したときに、特に有利である。
本発明の1つの具体的な実施形態では、上述の方法のステップは、コンピュータプログラムの指令によって決定される。
本発明はまた、プログラムがプロセッサによって実行されたときに、上述のような方法のステップを実装する指令を含むコンピュータプログラムに関する。
このプログラムは、いずれのプログラム言語を用いたものであってもよく、ソースコード形式またはオブジェクトコード形式等であってもよい。プログラムは、コンパイルおよび/またはインタプリタされたものであってもよく、プロセッサによってインタプリタされ得る他の形式のものであってもよい。
本発明の1つの具体的な実施形態では、このコンピュータプログラムは、トラスティッドオペレーティングシステムである。
本発明の別の実施形態では、このコンピュータプログラムは、トラスティッドオペレーティングシステムのパッチである。このパッチは、既存のAPI基板をエンリッチ化(enriches)するという利点を有し、トラスティッドオペレーティングシステムのネイティブアプリケーションがデプロイされても該ネイティブアプリケーションが一部のサービスを提供できないときにそのネイティブアプリケーションの代替手段を構成したり、デプロイできないネイティブアプリケーションの代替手段を構成したりする。すなわち、パッチは、トラスティッドオペレーティングシステムによって最初に提供された機能に追加の機能を提供する。
本発明はまた、コンピュータによって読み出し可能で、上述のようなコンピュータプログラムの指令を備えたデータ媒体に関する。
データ媒体は、プログラムを格納可能な、埋め込み型またはリムーバブルのいずれのエンティティまたはデバイスであってもよい。例えば、媒体は、ROMメモリ、CD−ROMまたは超小型電子回路ROM等の格納手段であってもよく、ハードディスク、またはフラッシュタイプもしくはRAMタイプのメモリ等の磁気記憶手段であってもよい。
さらに、データ媒体は、電気ケーブルを介して、光ケーブルを介して、無線により、または他の手段により伝達される、電気信号または光信号等の伝送媒体であってもよい。本発明のプログラムは、具体的には、オンラインの格納領域またはインターネットのプラットフォームにダウンロードされてもよい。
あるいは、格納媒体は、コンピュータプログラムが組み込まれ、当該方法を実行したり当該方法の実行に用いられたりすることに適合した、集積回路であってもよい。
本発明の他の特徴および利点は、添付の図面を参照しながら以下の明細書から明らかとなり、これらは本発明の非限定的実施形態を示す。
図1は、本発明の一実施形態に係る電子デバイスを概略的に示す。 図2は、本発明の具体的な一実施形態に係る方法を概略的に示す。 図3は、図2に示す本発明の実施形態に係る方法を使用するシナリオを概略的に示す。 図4は、本発明の別の実施形態に係る方法を示すフローチャートである。
図1は、本発明の一実施形態に係る電子デバイス1を示す。この例では、電子デバイスは、ターミナルであり、例えばタッチパッド、ラップトップコンピュータまたは携帯電話である。
変形例では、電子デバイス1は、車載コンピュータ等のマシンツーマシンタイプのデバイス、または銀行のカードもしくは電子身分証明書等のスマートカードを有していてもよい。
図1の例では、ターミナルは、本発明に適合した電子アセンブリ10とセキュアエレメント20とを備えている。
この例では、電子アセンブリ10自体が、プロセッサ300と、2つのオペレーティングシステムの特定のコード、すなわち100で示されているリッチOSオペレーティングシステムのコードおよび200で示されているトラスティッドオペレーティングシステムのコード、が格納されたメモリ500と、を備えている。
ターミナル1がスタートアップするときに、これらの2つのオペレーティングシステムは、協同して(jointly)スタートアップする。当業者に知られているように、トラスティッドオペレーティングシステム200のセキュアな実行環境はセキュアなスタートアップメカニズム(セキュアブート)を有しており、それによりトラスティッドオペレーティングシステム200が認証され次いで初期化すなわち起動され、リッチOSオペレーティングシステム100のスタートアップが後続する。
より詳細には、セキュアブートは、ターミナルのスタートアップを完了に導く一連のステップであり、各ステップは後続をバリデート(validating)する。例えば、ステップiがトランジション(transition)をバリデートした場合に限りステップi+1がトリガーされる(triggered)。
ただし、オペレーティングシステムの各々におけるスタンバイとは反対のアクティブオペレーションは、排他的である。すなわち、オペレーティングシステムの1つがアクティブであるとき、残りは非アクティブモードにある。
この例では、トラスティッドオペレーティングシステム200は、セキュリティアノマリを検出し210で示された検出モジュールと、無効化モジュール220とを備えている。トラスティッドオペレーティングシステムがモジュール210を用いてセキュリティアノマリを検出すると、これに続いて無効化モジュール220が機能する。
また、例えば、セキュアエレメントは、リーダーによってターミナルに接続される、SIMカード等のスマートカードであってもよく、ターミナルに接続される接続パッドを有する、eSE等の集積回路であってもよい。
一般には、セキュアエレメントは、セキュリティ規格:ISO/CEI15408規格、ISO7816および/またはFIPS140規格のようなコモンクライテリアを満たし、データと、NFC(近接場通信)による非接触決済専用のアプリケーションのようなセンシティブなアプリケーションとを格納している。
この例では、セキュアエレメント20は、ターミナルに特に移動体ネットワークによって通信させるSIMカードである。トラスティッドオペレーティングシステム200は、直接的にすなわちリッチOSオペレーティングシステムをモビライズする(mobilising)ことなく、SIMカード20に格納されたアプリケーションにアクセスできる。
SIMカード20は、SIMカード20に格納されているアプリケーションの管理を担当するコンポーネントCM(カードマネージャー)を備えている。カードマネージャーCMは、SIMカード20のアプリケーションであってもよい。具体的に、カードマネージャーCMは、ISO7816規格に準拠するAPDUタイプのフレームのルーティングを確実に行う。
セキュリティアノマリが検出されると、トラスティッドオペレーティングシステムは、無効化モジュール220を用いて、例えば支払い専用のアプリケーション等特別なタイプの全アプリケーションを無効化する無効化指令を送信し、カードマネージャーCMは、対象となる種々のアプリケーション、この具体例では支払い専用のアプリケーション、へと無効化指令をルーティングする。
この例では、SIMカード20のセキュアな機能を無効化することのみについて説明した。しかし、本発明は、各々が無効化されるべきセキュアな機能を含む複数のセキュアエレメントを備えたターミナルのセキュア化をも対象とする。この構成では、これらのセキュアエレメントのリストおよびセキュアエレメントのアプリケーションのリストが、トラスティッドオペレーティングシステム200によって制御される不揮発性メモリに記憶されている。
図2は、本発明の1つの具体的な実施形態に係る方法の主なステップを示し、その実装は、図1を参照して前述したようなターミナル1におけるトラスティッドオペレーティングシステム200に依存する。
ステップE5では、トラスティッドオペレーティングシステムにおける特定のアプリケーションが、リッチOSオペレーティングシステムのインテグリティをベリファイする。
この例では、方法は、上述のように、ターミナル1のセキュアなスタートアップのときに、トラスティッドオペレーティングシステム200主導で実装される。
変形例では、方法は、トラスティッドオペレーティングシステム200主導でクロックを用いて定期的に実装されてもよく、ターミナル1のユーザー主導で実装されてもよく、ポーリング指令を受信したときに実装されてもよい。
当業者に知られた態様では、オペレーティングシステムのインテグリティのべリファイは、そのシステムの各レベル(コア、ネイティブライブラリ、実行環境、アプリケーション等)における、特有のオクテットの指紋のオンザフライでの計算を必要とし、例えば当業者によく知られたSHA1アルゴリズムを適用することによってこの指紋とリファレンス指紋とを比較する。
ステップE10では、リッチOSオペレーティングシステムのインテグリティのべリファイを担当する特定のアプリケーションは、このシステムが破損していることを確認する。
実際には、破損が確認されたときには、トラスティッドオペレーティングシステム200によって制御される不揮発性メモリに、セキュリティアノマリに関する情報が記憶され、この情報をリードできる当該オペレーティングシステム200の特定のアプリケーションがターミナルにおける少なくとも1つのセキュアな機能を無効化する無効化ステップE11が機能する。
トラスティッドオペレーティングシステム200によって制御される不揮発性メモリにそのリストが記憶された複数のセキュアエレメントをターミナルが備えている特定の場合には、当該オペレーティングシステム200の特定のアプリケーションがリストをリードし、各アプリケーションについて、リスト中の各セキュアエレメントを無効化する無効化ステップE11を開始する。
図2に戻って、無効化ステップE11は、この例ではSIMカード20のセンシティブなアプリケーションに直接的に無効化指令を送信するステップE20と、対象のアプリケーションによって与えられる応答ACKを待つ待機ステップE30とを備えている。
例えばISO7816規格に従ったAPDUプロコトルを用いて、通信(指令および応答の送信および受信)が行われる。
図3は、図2を参照して前述した実施形態に係る方法を組み込んでいる、使用シナリオを概略的に示す。
このシナリオでは、ユーザーは、ターミナル1をオンにする。ステップE5では、トラスティッドオペレーティングシステムの特定のアプリケーションは、リッチOSオペレーティングシステムのインテグリティをベリファイする。
トラスティッドオペレーティングシステムは、リッチOSオペレーティングシステムが破損していることを確認し(ステップE10)、SIMカードの支払いアプリケーションおよびSIMカード20が有する暗号化キーへのアクセスの無効化を開始する(ステップE11)。電子商取引または電子購買のアプリケーション等のSIMカード20の支払いアプリケーションを用いるリッチOSオペレーティングシステムのアプリケーションは、ターミナル1のユーザーによるアクセスを可能なままとするが、SIMカードのアプリケーションまたは暗号化キーを用いた支払い動作はもはや不可能とされる。
この例では、リッチOSオペレーティングシステムのこれらのアプリケーションは、SIMカード20に直接的にアクセスできる。そして、ユーザーは、移動体ネットワークによって電話するためにターミナル1を用いる。SIMカード20に格納されたセキュアな支払いアプリケーションのみがブロックされるため、電話は可能である。一方、ユーザーは、購買および電子商取引のアプリケーションをもはや全く使用できない。ターミナルのこのような部分的な使用は、フェイルソフトモードと称される。
図4は、本発明の別の実施形態に係る方法の主なステップを示すが、これらのステップは、図1を参照して前述したようなターミナル1におけるトラスティッドオペレーティングシステム200によっても実装できる。
さらに、この例では、SIMカードは、3つのアプリケーションAPP0,APP1およびAPP2を備えており、APP1およびAPP2は支払いアプリケーションである。
ステップE10では、トラスティッドオペレーティングシステム200は、SIMカード20に格納された支払いアプリケーションを無効化する指令を含むメッセージを受信する。
ステップE200では、トラスティッドオペレーティングシステム200は、支払いアプリケーションを無効化する指令をカードマネージャーCMに送信し、カードマネージャーCMは、
・APP0アプリケーションは支払いアプリケーションではないためAPP0アプリケーションを選択せず、
・両方が支払い専用であるAPP1アプリケーションおよびAPP2アプリケーションを選択する。
実際には、無効化指令は、APDUフレーム形式であり、カードマネージャーCMは、ISO7816規格に基づいて、アプリケーションを、アプリケーション固有のAID識別子(Application IDendifier)に従って選択する。
カードマネージャーは、無効化指令を含むAPDUフレームを、選択されたアプリケーション、すなわちAPP1およびAPP2に伝送する。
続いて、APP1アプリケーションは無効化を実行して肯定応答ACK+を送信し、アプリケーションAPP2は無効化を失敗して否定応答ACK−を送信する。
この例では、カードマネージャーCMは、応答をとりまとめ、同様にAPDUフレーム形式であるグローバル応答ACK(+,−)をトラスティッドオペレーティングシステムに送信し、これによって応答待機ステップE300がターミネートする。
この例では、前述のように、リッチOSオペレーティングシステムのアプリケーションは、必ずしもトラスティッドオペレーティングシステムをモビライズすることなくSIMカード20にアクセスできる。
変形例では、トラスティッドオペレーティングシステムは、リッチOSオペレーティングシステムとセキュアエレメントすなわちSIMカード20との間におけるシステマティックな媒体であってもよい。
SIMカード20におけるセキュアな機能の無効化ステップは、トラスティッドオペレーティングシステムにおける通信制御コンポーネント(セキュアエレメントアクセスコントローラ)を組み込んでいてもよい。このコントローラは、フィルタとして作用し、事前に定義されたセキュリティポリシーを利用する。セキュリティアノマリを検出すると、このセキュリティポリシーは、例えば、セキュアな機能にアクセスすることをリクエストするリッチOSオペレーティングシステムからオリジネートしたリクエストを、トラスティッドオペレーティングシステムによってブロックし得る。

Claims (15)

  1. 電子デバイス(1)用の電子アセンブリ(10)であって、当該電子アセンブリ(10)は、
    リッチOSオペレーティングシステム(100)のセキュリティアノマリを検出する検出モジュール(210)と、
    前記検出に応答して、前記リッチOSオペレーティングシステムのアプリケーションによって用いられる、前記電子デバイス(1)における少なくとも1つのセキュアな機能を無効化する無効化モジュール(220)とを備え、
    前記無効化は、一方で、フェイルソフトモードで前記電子デバイス(1)を使用すること許可し、これらの2つのモジュールの実装は、トラスティッドオペレーティングシステムに依存し、前記トラスティッドオペレーティングシステム(200)および前記リッチOSオペレーティングシステム(100)は、当該電子アセンブリのメモリ(500)に記憶され、当該電子アセンブリ(10)で実行されることを特徴とする、電子アセンブリ(10)。
  2. 前記セキュリティアノマリは、前記リッチOSオペレーティングシステム(100)の破損であることを特徴とする、請求項1に記載の電子アセンブリ(10)。
  3. 前記検出モジュール(210)は、セキュア化指令を含むメッセージを受信可能であることを特徴とする、請求項1または2に記載の電子アセンブリ(10)。
  4. 前記少なくとも1つのセキュアな機能は、
    前記電子デバイス(1)によって実行される、セキュアエレメント(20)のアプリケーション(App,App1,App2)、または
    前記電子デバイス(1)がアクセス可能であるセキュリティエレメント(20)の少なくとも1つのセンシティブなデータアイテム、例えば暗号化キー、へのアクセスを可能とする機能であることを特徴とする、請求項1から3のいずれか1項に記載の電子アセンブリ(10)。
  5. 前記無効化モジュール(220)は、
    前記アプリケーション(App)の無効化指令を該アプリケーション(App)に送信することと、
    前記アプリケーション(App)の無効化の応答を待つことと、が可能であり、
    前記トラスティッドオペレーティングシステムは、前記応答が否定的であれば、前記電子デバイスのセキュア化を確実とするために必要なステップを採用することを特徴とする、請求項4に記載の電子アセンブリ(10)。
  6. 前記電子デバイス(1)のセキュリティのべリファイ(E5)に応答して前記検出モジュール(210)が起動し、該検出モジュール(210)は:
    前記トラスティッドオペレーティングシステム(200)主導で前記電子デバイス(1)のスタートアップのときにもしくは定期的に、または
    前記電子デバイス(1)のユーザー主導で、トリガーされることを特徴とする、請求項1から5のいずれか1項に記載の電子アセンブリ(10)。
  7. 前記検出モジュールは、オペレーティングシステムの各レベルにおける、特有のオクテットの指紋のオンザフライでの計算を実行し、前記指紋とリファレンス指紋とを比較する、請求項1に記載の電子アセンブリ(10)。
  8. 請求項1から7のいずれか1項に記載の電子アセンブリ(10)を備えたターミナル(1)であって、前記電子デバイス(1)として設けられているターミナル(1)
  9. 携帯電話通信のターミナルであることを特徴とする、請求項8に記載のターミナル(1)。
  10. 電子デバイス(1)をセキュア化する方法であって、当該方法は、リッチOSオペレーティングシステム(100)のセキュリティアノマリを検出する検出ステップ(E10)と、前記検出ステップに応答して、前記電子デバイス(1)における少なくとも1つのセキュアな機能を無効化する無効化ステップ(E11)とを備え、前記無効化ステップは、一方で、フェイルソフトモードで前記電子デバイス(1)を使用することを許可し、当該方法の実装はトラスティッドオペレーティングシステム(200)に依存し、前記トラスティッドオペレーティングシステム(200)および前記リッチOSオペレーティングシステム(100)が前記電子デバイスにおいて実行され、前記検出ステップ(E10)および前記無効化ステップ(E11)は、前記トラスティッドオペレーティングシステム(200)によって実行されることを特徴とする、方法。
  11. プロセッサ(300)によって実行されたときに、請求項10に記載の方法を実装する指令を備えたコンピュータプログラム(PG)。
  12. 前記電子デバイスを、前記検出ステップ(E10)を実行する検出モジュールおよび前記無効化ステップ(E11)を実行する無効化モジュールとして機能させることによって前記検出モジュールおよび前記無効化モジュールを含む前記トラスティッドオペレーティングシステムとして機能させることを特徴とする、請求項11に記載のコンピュータプログラム(PG)。
  13. 前記トラスティッドオペレーティングシステムのパッチを、前記トラスティッドオペレーティングシステムによって最初に提供される機能に追加の機能を提供するものであると定義したとき、
    前記電子デバイスを、前記追加の機能を実行する手段として機能させることを特徴とする、請求項11に記載のコンピュータプログラム(PG)。
  14. 前記電子デバイスを、前記電子デバイスの前記トラスティッドオペレーティングシステムに処理系依存するアプリケーションであって前記電子デバイスのユーザーが制御できない信頼ソースまたは認証ソースからオリジネートされるアプリケーションを実行する手段として機能させることを特徴とする、請求項11に記載のコンピュータプログラム(PG)。
  15. コンピュータによって読み出し可能であり、請求項10に記載の方法を実装する指令を備えたコンピュータプログラムが記録された、記録媒体(500)。
JP2013244175A 2012-11-27 2013-11-26 無効化モジュールを備えた電子アセンブリ Active JP6388765B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1261301A FR2998689B1 (fr) 2012-11-27 2012-11-27 Ensemble electronique comprenant un module de desactivation
FR1261301 2012-11-27

Publications (2)

Publication Number Publication Date
JP2014112369A JP2014112369A (ja) 2014-06-19
JP6388765B2 true JP6388765B2 (ja) 2018-09-12

Family

ID=48224860

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013244175A Active JP6388765B2 (ja) 2012-11-27 2013-11-26 無効化モジュールを備えた電子アセンブリ

Country Status (5)

Country Link
US (2) US20140150104A1 (ja)
EP (1) EP2735969B1 (ja)
JP (1) JP6388765B2 (ja)
KR (1) KR102244465B1 (ja)
FR (1) FR2998689B1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2998689B1 (fr) 2012-11-27 2014-12-26 Oberthur Technologies Ensemble electronique comprenant un module de desactivation
FR3022055B1 (fr) * 2014-06-06 2016-07-01 Oberthur Technologies Appareil electronique comprenant une entite electronique securisee et procede mis en oeuvre dans un tel appareil electronique
JP6305284B2 (ja) * 2014-09-10 2018-04-04 株式会社東芝 携帯可能電子装置
CN104320295B (zh) * 2014-10-08 2018-05-29 清华大学 Can报文异常检测方法及系统
KR20160066728A (ko) 2014-12-03 2016-06-13 삼성전자주식회사 생체 정보를 저장하는 nfc 패키지 및 전자 기기
US10846696B2 (en) * 2015-08-24 2020-11-24 Samsung Electronics Co., Ltd. Apparatus and method for trusted execution environment based secure payment transactions
CN110059500A (zh) 2015-11-30 2019-07-26 华为技术有限公司 用户界面切换方法和终端
JP6505893B2 (ja) * 2018-03-05 2019-04-24 株式会社東芝 携帯可能電子装置

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0758470B2 (ja) * 1988-06-30 1995-06-21 日本電気株式会社 仮想計算機の割込み制御方式
AUPQ334299A0 (en) * 1999-10-08 1999-11-04 Centurion Tech Holdings Pty Ltd Security card
US20020186845A1 (en) 2001-06-11 2002-12-12 Santanu Dutta Method and apparatus for remotely disabling and enabling access to secure transaction functions of a mobile terminal
US20050186954A1 (en) * 2004-02-20 2005-08-25 Tom Kenney Systems and methods that provide user and/or network personal data disabling commands for mobile devices
US7502928B2 (en) * 2004-11-12 2009-03-10 Sony Computer Entertainment Inc. Methods and apparatus for secure data processing and transmission
US8045958B2 (en) * 2005-11-21 2011-10-25 Research In Motion Limited System and method for application program operation on a wireless device
US20090307770A1 (en) * 2006-08-17 2009-12-10 Peter William Harris Apparatus and method for performing integrity checks on sofware
US8209550B2 (en) * 2007-04-20 2012-06-26 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for protecting SIMLock information in an electronic device
JP2009169841A (ja) * 2008-01-18 2009-07-30 Panasonic Corp 情報処理装置および携帯電話装置
US20120137364A1 (en) * 2008-10-07 2012-05-31 Mocana Corporation Remote attestation of a mobile device
US8555089B2 (en) * 2009-01-08 2013-10-08 Panasonic Corporation Program execution apparatus, control method, control program, and integrated circuit
US20110035808A1 (en) * 2009-08-05 2011-02-10 The Penn State Research Foundation Rootkit-resistant storage disks
JP2011060225A (ja) * 2009-09-14 2011-03-24 Toshiba Corp オペレーティングシステム起動方法
FR2998689B1 (fr) 2012-11-27 2014-12-26 Oberthur Technologies Ensemble electronique comprenant un module de desactivation

Also Published As

Publication number Publication date
JP2014112369A (ja) 2014-06-19
FR2998689B1 (fr) 2014-12-26
KR20140067940A (ko) 2014-06-05
US20160162687A1 (en) 2016-06-09
EP2735969A1 (fr) 2014-05-28
KR102244465B1 (ko) 2021-04-26
US20140150104A1 (en) 2014-05-29
EP2735969B1 (fr) 2019-09-04
US9817972B2 (en) 2017-11-14
FR2998689A1 (fr) 2014-05-30

Similar Documents

Publication Publication Date Title
JP6388765B2 (ja) 無効化モジュールを備えた電子アセンブリ
KR102604046B1 (ko) 전자 기기의 프로그램 관리 방법 및 장치
JP6321023B2 (ja) 内部不揮発性メモリを有しないデバイスにおいてアンチロールバック保護を与えるための方法
US11743721B2 (en) Protection of a communication channel between a security module and an NFC circuit
US20210258784A1 (en) Detection of a rerouting of a communication channel of a telecommunication device connected to an nfc circuit
US20140282992A1 (en) Systems and methods for securing the boot process of a device using credentials stored on an authentication token
KR101654778B1 (ko) 하드웨어 강제 액세스 보호
CN109614798B (zh) 安全启动方法、装置及终端设备
CN105934751B (zh) 目标设备的数据擦除
WO2016202108A1 (zh) Nfc支付方法、nfc支付系统和移动终端
WO2010030731A1 (en) Use of a secure element for writing to and reading from machine readable credentials
JP7200952B2 (ja) 情報処理装置、情報処理方法、およびプログラム
JP6354438B2 (ja) 情報処理装置、情報処理システム及び処理プログラム
KR102099739B1 (ko) 보안 엘리먼트를 관리하는 방법
CN110851881A (zh) 终端设备的安全检测方法及装置、电子设备及存储介质
CN112954656A (zh) 用于近场通信功能的访问控制
KR20100137354A (ko) 가상화 스마트 카드 시스템, 상기 가상화 스마트 카드 시스템 제공방법, 및 데이터 프로세싱 장치
CN113823024A (zh) 一种智能卡识别方法、装置及系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161014

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180109

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20180330

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20180608

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180709

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180724

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180815

R150 Certificate of patent or registration of utility model

Ref document number: 6388765

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250