JP6746771B2 - セキュアエレメントを管理する方法 - Google Patents
セキュアエレメントを管理する方法 Download PDFInfo
- Publication number
- JP6746771B2 JP6746771B2 JP2019501728A JP2019501728A JP6746771B2 JP 6746771 B2 JP6746771 B2 JP 6746771B2 JP 2019501728 A JP2019501728 A JP 2019501728A JP 2019501728 A JP2019501728 A JP 2019501728A JP 6746771 B2 JP6746771 B2 JP 6746771B2
- Authority
- JP
- Japan
- Prior art keywords
- secure element
- nfc controller
- command
- context
- switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/77—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/33—Security of mobile devices; Security of mobile applications using wearable devices, e.g. using a smartwatch or smart-glasses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/47—Security arrangements using identity modules using near field communication [NFC] or radio frequency identification [RFID] modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Telephone Function (AREA)
- Storage Device Security (AREA)
Description
本発明は装置に埋設されたセキュアエレメントを管理する方法に関する。本発明は特にセキュアエレメントの内容をセキュアに管理する方法に関する。
セキュアエレメントは、計算処理のためのメモリ、マイクロプロセッサ及びオペレーティングシステムを備えた小型デバイスである。このようなセキュアエレメントは、不揮発性メモリや揮発性メモリといった異なるタイプの複数のメモリを備える場合がある。セキュアエレメントは、これらに含まれるデータへのアクセスを制御し、他のマシンによるデータの使用を許可する又は許可しないことができるために「セキュア」と呼ばれる。セキュアエレメントは、暗号化コンポーネントをベースとした計算サービスを提供することもできる。一般にセキュアエレメントは、限られたコンピュータ資源及びメモリ資源を有し、電力提供を行うホストマシンに接続されることが意図されている。セキュアエレメントは、ホストマシンに対して取外し可能であっても固定式であってもよい。例えば、グローバルプラットフォームカード規範v2.3又はJava(登録商標)Card v3.0.5によって定義されたスマートカード及び埋設型セキュアエレメントがセキュアエレメントの一種である。
セキュアエレメントは、攻撃の検知を目的とするセキュリティ機構を有することができる。このようなセキュリティ機構は、一般に、検知した異常なイベントの数を反映するカウンタをデクリメントする。装置の製造段階において行われる検査中に、いくつかのイベント(ホスティング端末又は他のハードウェアコンポーネントの電源オンオフなど)が、疑わしいイベントと考えられる予想外の電圧値を生成する可能性がある。この場合、セキュリティ機構はそのカウンタをデクリメントする可能性があり、セキュアエレメントは、カウンタが所定の閾値に達したときに永久的にロックされる可能性がある。
装置の製造段階において、ロック閾値に達する前にセキュアエレメントのセキュリティカウンタをセキュアにリセットできる必要性がある。
本発明の目的は、上述の技術的問題を解決することである。
本発明の目的は、NFCコントローラを備えた装置に埋設されたセキュアエレメントを管理する方法である。セキュアエレメントはセキュリティインジケータを備える。この方法は、以下のステップを含む。
−NFCコントローラが送信したトリガコマンドを受信すると、セキュアエレメントが検査コンテキストに切り替わるステップ、
−アプリケーションが送信した回復コマンドを受信すると、セキュアエレメントが検査コンテキストにある場合にのみ、セキュアエレメントがセキュリティインジケータを所定の値に設定するステップ、
−NFCコントローラが送信した終了コマンドを受信すると、セキュアエレメントがライブコンテキストに切り替わるステップ。セキュアエレメントは、検査コンテキストへの切り替わりを記録し、さらなるいずれのトリガコマンドも拒否する。
−NFCコントローラが送信したトリガコマンドを受信すると、セキュアエレメントが検査コンテキストに切り替わるステップ、
−アプリケーションが送信した回復コマンドを受信すると、セキュアエレメントが検査コンテキストにある場合にのみ、セキュアエレメントがセキュリティインジケータを所定の値に設定するステップ、
−NFCコントローラが送信した終了コマンドを受信すると、セキュアエレメントがライブコンテキストに切り替わるステップ。セキュアエレメントは、検査コンテキストへの切り替わりを記録し、さらなるいずれのトリガコマンドも拒否する。
有利には、セキュアエレメントは、アプリケーションのセキュアエレメントに対する認証が成功した場合にのみセキュリティインジケータを所定の値に設定することができる。
有利には、セキュアエレメントは、セキュリティインジケータが所定の値に設定されたときに特定メッセージをNFCコントローラに送信することができ、NFCコントローラは、特定メッセージの受信に応答して終了コマンドを送信することができる。
有利には、管理装置が送信した切り替えコマンドを受信すると、NFCコントローラは、検査モードに切り替わり、セキュアエレメントにトリガコマンドを送信することができる。NFCコントローラは、終了コマンドの送信後、自動的にライブモードに切り替わることができる。
有利には、アプリケーションは、装置又は外部コンピュータ(すなわち装置と異なる)のいずれかによってホストされてよい。
本発明の別の目的は、上記セキュアエレメントが検査コンテキストに切り替わることを要求するために、トリガコマンドをセキュアエレメントに送信するように構成されたNFCコントローラである。NFCコントローラは、上記セキュアエレメントが永久的にライブコンテキストに切り替わることを要求するために、終了コマンドをセキュアエレメントに送信するように構成される。
有利には、NFCコントローラは、セキュアエレメントから受信した特定メッセージの受信に応答して終了コマンドを送信するように構成されてよい。
有利には、NFCコントローラは、検査モードに切り替わり、管理装置が送信した切り替えコマンドを受信すると、トリガコマンドをセキュアエレメントに送信するように構成されてよい。NFCコントローラは、終了コマンドの送信後、自動的にライブモードに切り替わるように構成されてよい。
有利には、NFCコントローラは、ライブモードへの切り替わりを記録し、さらなるいずれのトリガコマンドも拒否するように構成されてよい。
本発明の別の目的は、セキュリティインジケータを備え、NFCコントローラから受信したトリガコマンドを受信すると検査コンテキストに切り替わるように構成されたセキュアエレメントである。セキュアエレメントは、アプリケーションから受信した回復コマンドを受信すると、セキュアエレメントが検査コンテキストにある場合にのみセキュリティインジケータを所定の値に設定するように構成される。セキュアエレメントは、NFCコントローラから受信した終了コマンドを受信すると、ライブコンテキストに切り替わるように構成される。セキュアエレメントは、検査コンテキストへの切り替わりを記録し、さらなるいずれのトリガコマンドも拒否するように構成される。
有利には、セキュアエレメントは、アプリケーションのセキュアエレメントに対する認証が成功した場合にのみ、セキュリティインジケータを所定の値に設定するように構成されてよい。
本発明の別の目的は、本発明に係るNFCコントローラと、本発明に係るセキュアエレメントとを備えた装置である。この装置は、セキュアエレメントに対する認証と、セキュアエレメントがセキュリティインジケータを所定の値に設定することを要求するための、回復コマンドのセキュアエレメントへの送信とを共に行うように構成されたアプリケーションを備える。
有利には、この装置は、携帯電話、接続されたウォッチ、パーソナルコンピュータやタブレットに埋設されたデバイスであってよい。
本発明の他の特徴及び利点は、対応する添付の図面を参照しながら本発明の複数の好適な実施形態の以下の説明を読めばより明らかになるだろう。
NFC(近距離無線通信)技術は、磁界を介したデータ交換を基礎にする。例えば、ISO14443及びISO18092規格は、NFCドメインで用いられ得る変調技術及び通信プロトコルを規定している。
NFCコントローラは、非接触フロントエンドチップ又は非接触フロントエンド(CLF)とも呼ばれるハードウェアモジュールである。典型的には非接触フロントエンドは、非接触通信のアナログ部分を処理し、非接触伝送リンクの通信プロトコル層を処理し、UICC又はセキュアエレメントとデータ交換を行う回路である。本発明は、セキュアエレメントと通信可能ないずれのタイプのNFCコントローラにも適用可能である。
本発明は、NFCコントローラ及びセキュアエレメントが埋設されるいずれのタイプの装置にも適用される。本発明はいずれの種類のNFC対応装置にも適用される。本発明は例えば、携帯電話、タブレット、接続されたウォッチ、パーソナルコンピュータ、ゲーム機又は電子決済支払端末といった端末装置又は携帯デバイスに適用される。本発明はコンピュータに埋設されたデバイス又はボックスに適用される。本発明はまた、NFCコントローラ及びセキュアエレメントを備えた自動車などの乗り物並びに任意のコンピュータマシンに適用される。
本発明は、NFCコントローラはセキュアエレメントの現在のコンテキストを制御するように適合されているという事実に依拠している。第1のコンテキスト(動作コンテキスト、ライブコンテキスト又はフィールドコンテキストと呼ばれる)において、セキュアエレメントに格納されているセキュリティインジケータはリセットすることができない。第2のコンテキスト(検査コンテキストと呼ばれる)において、セキュアエレメントに格納されているセキュリティインジケータはリセットすることができる。
図1は、本発明に係るNFCコントローラとセキュアエレメントとを備えた装置のアーキテクチャの一例を示す。
装置20は携帯電話機であってよい。NFCコントローラ30は、アンテナ(図示せず)とセキュアエレメント10の両方に接続される。
セキュアエレメント10は、セキュリティインジケータ40とレジストリ45とを備える。
本明細書において、レジストリという言葉は、アイテムを記録するためのシステムを意味する。例えば、レジストリは、データベース、1又は複数のファイル、1又は複数のレジスタとして、又は1又は複数のソフトウェアコンテナとして実装されてよい。
セキュリティインジケータ40は、例えばエラーカウンタ、検出された敵対的イベントの数を反映するセキュリティカウンタ、又は認証フラグであってよい。セキュリティインジケータ40は、複数のカウンタ、フラグ、ファイル又はレジスタとして実装されてもよい。セキュリティインジケータ40は、セキュアエレメントの寿命中のある種のイベントを反映するように変化することが意図された値を有する。
装置20は、NFCコントローラ30と、セキュアエレメント10と、埋設されたセキュアエレメント10と通信するように設計されたソフトウェアアプリケーション50とを備える。
好ましい実施形態において、セキュアエレメント10は、プロセッサと、不揮発性メモリと、オペレーティングシステムとを含む埋め込みセキュアエレメント(eSE)である。
代替的に、セキュアエレメント10は、セキュアデジタル(SD)カード、ミニSDカード、マイクロSDカード、埋め込み汎用集積回路カード(eUICC)、スマートカード、統合セキュアエレメント(iSE)あるいはソフトウェアセキュアエレメントであってもよい。
NFCコントローラ30とセキュアエレメント10は、NFCコントローラ30とセキュアエレメント10の間の接触モード通信を可能にする直接的シングルワイヤリンクにより繋がれている。好ましい実施形態では、NFCコントローラ30及びセキュアエレメント10はTS 102.613が定義するシングルワイヤプロトコル(SWP)を使用する。
セキュアエレメント10は、セキュリティインジケータ40の更新を管理するソフトウェアアプリケーション49を含む。ソフトウェアアプリケーション49は、例えばJava(登録商標)card言語のアプレットとして実装可能である。代替的に、ソフトウェアアプリケーション49はセキュアエレメント10のオペレーティングシステムの一部であってもよい。
セキュアエレメント10は、少なくとも2つの異なるコンテキスト、すなわちライブコンテキストと検査コンテキストで動作するように設計される。セキュアエレメントは、ライブコンテキストで動作する際、セキュリティインジケータ40をリセットしようとする全ての試みを拒絶する。セキュアエレメントは、検査コンテキストで動作する際、追加のセキュリティ条件が満たされればセキュリティインジケータ40をリセットすることを認めることができる。セキュアエレメント10は、検査コンテキストに1回切り替わり、検査コンテキストに切り替わろうとするさらなる全ての試みを拒絶するように設計される。
NFCコントローラ30は、セキュアエレメント10が検査コンテキストに切り替わることを要求するために、セキュアエレメント10にトリガコマンド60を送信するように適合される。例えば、トリガコマンド60は、検査コンテキストへの切り替え要求に専用の特定のパラメータ値を有する、TS_102 622 v120100が定義するANY_SET_PARAMETER()コマンドであってよい。
NFCコントローラ30はまた、セキュアエレメント10が永久的にライブコンテキストに切り替わることを要求するために、セキュアエレメント10に終了コマンド65を送信するように適合される。例えば、終了コマンド65は、ライブコンテキストへの切り替え要求に専用の特定のパラメータ値を有する、ANY_SET_PARAMETER()コマンドであってよい。
NFCコントローラ30は、セキュアエレメント10からの特定メッセージ64の受信に応答して、終了コマンド65をセキュアエレメント10に送信するように適合されてよい。例えば、特定メッセージ64は、ライブコンテキストへの切り替えが必要であることをCLF30に通知することに専用の特定のパラメータ値を有する、ts_102 622 v120100が定義するEVENT_TRANSACTION()コマンドであってよい。
NFCコントローラ30は、少なくとも2つの異なるモード、すなわちライブモードと検査モードで動作するように設計されてよい。ライブモードは、動作モード又はフィールドモードとも呼ばれる。NFCコントローラ30は、ライブモードで動作する際、セキュアエレメント10のコンテキストの変更を要求するいずれのコマンドも送信することができない。NFCコントローラ30は、検査モードで動作する際、セキュアエレメント10の現在のコンテキストを監視する。
NFCコントローラ30は、管理装置80から受信した切り替えコマンド66を受信すると、検査モードに切り替わるとともに、トリガコマンド60をセキュアエレメント10に自動的に送信するように適合されてよい。例えば、CLF30に検査モードに切り替わらなければならないことを通知することに専用の特定のパラメータ値を有する切り替えコマンド66は、USB接続又はTCP/IP接続(専用ソケットを使用する)で伝送可能である。
管理装置80は、生産コンピュータ、又は少なくとも1つのコンピュータを含む検査プラットフォームであってよい。また、NFCコントローラ30は、終了コマンド65をセキュアエレメント10に送信した後に自動的にライブモードに再度切り替わるように適合されてよい。
任意選択的に、NFCコントローラ30は検査モードに一度だけ切り替わるように構成されてよい。
セキュアエレメント10は、NFCコントローラ30が送信したトリガコマンド60を受信すると、検査コンテキストに切り替わるように構成される。セキュアエレメント10は、このコマンドがCLFとの通信に専用の物理インターフェイスを通じて受信される場合にのみトリガコマンド60を受け入れることに留意すべきである。
セキュアエレメント10は、アプリケーション50が送信した回復コマンド63に応答して、セキュアエレメント10が現在検査コンテキストにある場合にのみ、セキュリティインジケータ40を所定の値に設定するように構成される。セキュアエレメント10は、このコマンドがアプリケーション50との通信に専用の物理インターフェイスを通じて受信される場合にのみ回復コマンド63を受け入れることに留意すべきである。
回復コマンド63は、ISO 7816−3/4が定義するAPDUの形で送信される専用コマンドであってよい。
ソフトウェアアプリケーション49は、現在のコンテキストが検査コンテキストであることを確認するために、レジストリ45の内容をチェックするように設計される。ソフトウェアアプリケーション49は、レジストリ45を読み取るアクセス権限を有することに留意されたい。トリガコマンド60を実行する権限があるエンティティ(すなわちセキュアエレメント10のオペレーティングシステム)、及びセキュリティインジケータ40をリセットする権限があるエンティティ(すなわちアプリケーション49)は、レジストリ45を通じて現在のコンテキストを反映する1つの情報を共有する。
セキュアエレメント10は、NFCコントローラ30が送信した終了コマンド65を受信すると、ライブコンテキストに切り替わるように構成される。
セキュアエレメント10は、検査コンテキストへの切り替わりを記録し、さらなるいずれのトリガコマンドも拒絶するように構成される。換言すれば、セキュアエレメント10は一度だけ検査コンテキストに切り替わることができる。セキュアエレメント10は、レジストリ45にコンテキストインジケータを格納するように適合されてよい。
好ましくは、セキュアエレメント10は、アプリケーション50がセキュアエレメント10への認証に成功した場合にのみ、セキュリティインジケータ40を所定の値に設定するように構成される。認証は、静的認証又は相互認証のような公知のメカニズムを使用して行うことができる。
所定の値は、セキュリティインジケータ40のデフォルト値であってよい。
任意選択的に、セキュアエレメント10は、セキュリティインジケータ40が所定の値に回復するとすぐにNFCコントローラに特定メッセージ64を送信するように適合されてよい。
任意選択的に、(現在のコンテキストを反映する)コンテキストインジケータ及び(検査コンテキストへの切り替えが生じたことを反映する)スイッチインジケータは、2つの異なるレジストリに格納することができる。
有利には、セキュアエレメント10は、電源が投入されると、最後の現在のコンテキストが何であったかに関係なくライブコンテキストで始まるように構成される。したがって、現在のコンテキストのインジケータは、セキュアエレメント10の始動段階中に上書きされ得る。
アプリケーション50は、Android(登録商標)環境、iOS(登録商標)環境で、又は装置20上で動く任意のオペレーティングシステムと共に動作するように設計されてよい。
任意選択的に、アプリケーション50は、NFCコントローラ30にコマンドを転送するスタンドアロンソフトウェアアプリケーション又はプロキシアプリケーションであってよい。
別の実施形態において、アプリケーション50は、別のコンピュータ(すなわち装置20の外部)に位置してよい。例えば、アプリケーション50は、CLF30を介してセキュアエレメント10に非接触コマンドを送信できるNFC対応コンピュータ又はNFCリーダによりホストされてよい。
ソフトウェアアプリケーション49は、(ハードコードされた)それ自体のコードに所定の値を含んでよい、又はセキュアエレメント10の不揮発性メモリの別の領域から所定の値を取得してもよい。
図2は、本発明に係る埋設されたセキュアエレメントに格納されたセキュリティインジケータをリセットできるメッセージシーケンスの一例を示している。
NFCコントローラ30、セキュアエレメント10、アプリケーション50、装置20及び管理装置80は、図1で説明したものと同様であると仮定される。
第1の実施形態において、セキュアエレメント10は、ライブコンテキストにあると仮定され、検査コンテキストに切り替わったことがない。NFCコントローラ30は、トリガコマンド60をセキュアエレメント10に送信する。セキュアエレメント10はトリガコマンド60を実行し、その結果、検査コンテキストに切り替わり、新しい現在のコンテキスト、及び検査コンテキストがアクティブ化されたという事実を記録するためにレジストリ45を更新する。
次にセキュアエレメント10は、アプリケーション50が送信した回復コマンド63を受信する。セキュアエレメントは、現在のコンテキストが検査コンテキストであることを(レジストリ45をチェックすることによって)確認し、セキュアエレメント10が現在検査コンテキストにあるためにセキュリティインジケータ40を所定の値に設定する。現在のコンテキストがライブコンテキストである場合は、セキュアエレメント10は、セキュリティインジケータ40の更新を拒否する。セキュアエレメント10は、アプリケーション50が実行結果を認識するように、回復コマンド63に対する応答を送信することができる。任意選択的に、この応答の受信によって、アプリケーション50の装置20からのアンインストールが誘発されてよい。
次にNFCコントローラ30は、永久的にライブコンテキストに切り替わるセキュアエレメントに終了コマンド65を送信する。
有利には、アプリケーション50及びソフトウェアアプリケーション49は、その間でコマンドが送信されるたびにインクリメントされ、セキュアエレメントによる機密コマンドのリプレイを回避するコマンドカウンタを更新することができる。
第2の実施形態において、セキュアエレメント10は、第1の実施形態で行われた動作に加えて、セキュリティインジケータ40の更新後、NFCコントローラ30に特定メッセージ64を自動的に送信する。この特定メッセージ64は、セキュアエレメント10が検査コンテキストで実行する動作がもうないことをCLF30に通知することが意図されている。CLF30による特定メッセージ64の受信によって、NFCコントローラ30による終了コマンド65の送信が誘発される。このように、NFCコントローラ30はセキュアエレメント10の現在のコンテキストを完全に監視する。
第3の実施形態において、アプリケーション50は、第1及び第2の実施形態で行われた動作に加えて、セキュアエレメント10に認証コマンド62を送信する。例えば、アプリケーション50は、AUTHENTICATEコマンドを送信することができる。
この実施形態において、セキュアエレメントは、セキュリティインジケータ40を更新する前にアプリケーション50の認証が成功したかどうかをチェックし、認証不足の場合にセキュリティインジケータ40のリセットを拒絶する。
有利には、アプリケーション50は、ソフトウェアアプリケーション49を選択するために、セキュアエレメント10に(グローバルプラットフォームカード規範v2.3が定義する)選択コマンドを送信することができる。この場合、認証コマンド62はアプリケーション49によって処理することができる。
任意選択的に、アプリケーション50は、ソフトウェアアプリケーション49にリードコマンドを送信してセキュリティインジケータ40の現在値を入手する。
第4の実施形態において、管理装置80は、これまでに提示した実施形態のいずれかで行われた動作に加えて、CFLが検査モードに切り替わることを要求するための切り替えコマンド66をNFCコントローラ30に送信することができる。NFCコントローラ30は、検査モードに切り替わり、トリガコマンド60をセキュアエレメント10に自動的に送信する。
NFCコントローラ30が切り替えコマンド66を処理する能力は、CLF30がライブモードに切り替わるときに損なわれる。したがって、切り替えコマンド66は、検査モードがCLF側で一度使用された後に使用できなくなる。
好ましくは、管理装置80は、接触通信インターフェイスを通じて切り替えコマンド66をNFCコントローラ30に送信することができる。代替的に、管理装置80は、CLF30の非接触通信インターフェイスを通じて切り替えコマンド66を送信してもよい。
管理装置80はまた、別の切り替えコマンドをアプリケーション50に送信して、セキュリティインジケータをリセットするプロセスを同期化することができる。
この実施形態において、NFCコントローラ30は、終了コマンド65をセキュアエレメントに送信したときに(好ましくはコマンドを送信した直後に)自動的に再度切り替わる。
本発明は、CLFが監視する1つのセキュアエレメントに限定されない。NFCコントローラ30は、装置20がホストするいくつかのセキュアエレメントのコンテキストを管理することができる。例えば、NFCコントローラは、同数のセキュアエレメントに接続された2つ又は3つのSWPリンクを有してよい。
本発明によると、セキュアエレメントの寿命は変化がなく、グローバルプラットフォームカード規範v2.3に準拠し続ける可能性がある。
本発明は、フィールドでのセキュリティインジケータへの不正アクセスを防止することができる。
本発明によると、セキュアエレメントのコンテキストを監視するNFCコントローラと、セキュリティインジケータの更新を要求する権限があるアプリケーション50との協働が、強化されたセキュリティフレームワークをもたらす。NFCコントローラ及びアプリケーション50は独自の論理チャネルを使用してセキュアエレメントと通信することに留意されたい。
一実施形において、アプリケーション50は、セキュアエレメント10と通信するためにCLF30をパススルーとして使用することができる。この場合、NFCコントローラ30は、メッセージをアプリケーション50とセキュアエレメント10の間で双方向に転送する。
本発明の範囲内において、上記の実施形態は非限定的な例として提供されていることが理解されなければならない。特に装置は、本発明に従って管理される任意の数のセキュアエレメントを備えてよい。
本発明は、説明された実施形態又は実施例に限定されない。特に、提示した実施形態及び実施例において説明した特徴を組み合わせてよい。
装置20のアーキテクチャ、及び図1に示したセキュアエレメントのアーキテクチャは、単なる例として提供されている。これらのアーキテクチャは異なってもよい。
本発明は、取り外せないセキュアエレメントを管理することに適している。
Claims (9)
- NFCコントローラ(30)を備えた装置(20)に埋設され、セキュリティインジケータ(40)を備えたセキュアエレメント(10)を管理する方法であって、
前記方法が、
−前記セキュアエレメント(10)が、前記NFCコントローラ(30)が送信したトリガコマンド(60)を受信すると、前記セキュアエレメント(10)が前記セキュリティインジケータ(40)をリセットすることを認めることができる検査コンテキストに切り替わるステップと、
−前記セキュアエレメント(10)が、アプリケーション(50)が送信した回復コマンド(63)を受信すると、前記セキュアエレメント(10)が前記検査コンテキストにある場合にのみ前記セキュリティインジケータ(40)を所定の値に設定するステップと、
−前記セキュアエレメント(10)が、前記NFCコントローラ(30)が送信した終了コマンド(65)を受信すると、前記セキュアエレメント(10)が前記セキュリティインジケータ(40)をリセットしようとするいずれの試みも拒否するライブコンテキストに切り替わるステップであって、前記セキュアエレメント(10)が前記検査コンテキストへの前記切り替わりを記録し、さらなるいずれのトリガコマンドも拒否するステップと、
−前記NFCコントローラ(30)が、管理装置(80)が送信した切り替えコマンド(66)を受信すると、検査モードに切り替わり、前記トリガコマンド(60)を前記セキュアエレメント(10)に送信するステップと、
−前記NFCコントローラ(30)が、前記終了コマンド(65)を送信した後にライブモードに自動的に切り替わるステップと、
を含むことを特徴とする方法。 - 前記セキュアエレメント(10)が、前記アプリケーション(50)の前記セキュアエレメント(10)に対する認証が成功した場合にのみ、前記セキュリティインジケータ(40)を前記所定の値に設定する、請求項1に記載の方法。
- 前記セキュアエレメント(10)が、前記セキュリティインジケータ(40)が前記所定の値に設定されたときに、前記NFCコントローラ(30)に特定メッセージ(64)を送信し、前記NFCコントローラ(30)が、前記特定メッセージ(64)の受信に応答して前記終了コマンド(65)を送信する、請求項1に記載の方法。
- 前記アプリケーション(50)が、前記装置(20)又は外部コンピュータのいずれかによりホストされる、請求項1に記載の方法。
- 請求項1に記載の方法で動作するセキュアエレメント(10)を備えた装置(20)であって、前記NFCコントローラ(30)が、前記セキュアエレメント(10)が前記検査コンテキストに切り替わることを要求するために、前記トリガコマンド(60)を前記セキュアエレメント(10)に送信するように構成され、前記NFCコントローラ(30)が、前記セキュアエレメント(10)が前記ライブコンテキストに永久的に切り替わることを要求するために、前記終了コマンド(65)を前記セキュアエレメント(10)に送信するように構成される装置(20)。
- 前記装置(20)が、前記セキュアエレメント(10)に対する認証と、前記セキュアエレメント(10)が前記セキュリティインジケータ(40)を所定の値に設定することを要求するための、回復コマンド(63)の前記セキュアエレメント(10)への送信とを共に行うように構成されたアプリケーション(50)を備える、請求項5に記載の装置(20)。
- 前記NFCコントローラ(30)が、前記セキュアエレメント(10)から受信した特定メッセージ(64)の受信に応答して前記終了コマンド(65)を送信するように構成される、請求項5に記載の装置(20)。
- 前記NFCコントローラ(30)が、管理装置(80)が送信した切り替えコマンド(66)を受信すると検査モードに切り替わり、前記トリガコマンド(60)を前記セキュアエレメント(10)に送信するように構成され、前記NFCコントローラ(30)が、前記終了コマンド(65)を送信した後に自動的にライブモードに切り替わるように構成される、請求項5に記載の装置(20)。
- 前記装置が、携帯電話機、接続されたウォッチ、タブレット、又はコンピュータに埋設された電子デバイスである、請求項5に記載の装置(20)。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP16305906.6A EP3270620A1 (en) | 2016-07-13 | 2016-07-13 | Method and devices for managing a secure element |
| EP16305906.6 | 2016-07-13 | ||
| PCT/EP2017/064498 WO2018010904A1 (en) | 2016-07-13 | 2017-06-14 | Method of managing a secure element |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019522859A JP2019522859A (ja) | 2019-08-15 |
| JP6746771B2 true JP6746771B2 (ja) | 2020-08-26 |
Family
ID=56571273
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019501728A Active JP6746771B2 (ja) | 2016-07-13 | 2017-06-14 | セキュアエレメントを管理する方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US10956620B2 (ja) |
| EP (2) | EP3270620A1 (ja) |
| JP (1) | JP6746771B2 (ja) |
| KR (1) | KR102099739B1 (ja) |
| CN (1) | CN109479195B (ja) |
| WO (1) | WO2018010904A1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102018000913A1 (de) * | 2018-02-05 | 2019-08-08 | Giesecke+Devrient Mobile Security Gmbh | Etablierung verschiedener eUICC-Modi |
| US11848941B2 (en) * | 2020-09-02 | 2023-12-19 | Nxp B.V. | Collection of diagnostic information in a device |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8811196B2 (en) * | 2008-02-19 | 2014-08-19 | Qualcomm Incorporated | Providing remote field testing for mobile devices |
| FR2942683A1 (fr) * | 2009-02-27 | 2010-09-03 | France Telecom | Configuration automotique d'un terminal |
| FR2947361B1 (fr) * | 2009-06-29 | 2011-08-26 | Viaccess Sa | Procede de detection d'une tentative d'attaque, support d'enregistrement et processeur de securite pour ce procede |
| IT1404159B1 (it) * | 2010-12-30 | 2013-11-15 | Incard Sa | Metodo e sistema di controllo di una comunicazione tra una carta universale a circuito integrato ed una applicazione esterna |
| US20120238206A1 (en) * | 2011-03-14 | 2012-09-20 | Research In Motion Limited | Communications device providing near field communication (nfc) secure element disabling features related methods |
| EP2518587B1 (en) * | 2011-04-05 | 2015-06-10 | Nxp B.V. | Management of secure element deadlock |
| FR2973901B1 (fr) * | 2011-04-05 | 2013-04-19 | Proton World Int Nv | Test de la resistance d'un module de securite d'un dispositif de telecommunication couple a un circuit nfc contre des attaques par detournement de canal de communication |
| FR2974208B1 (fr) * | 2011-04-13 | 2013-08-16 | Proton World Int Nv | Mecanisme de controle d'acces pour un element securise couple a un circuit nfc. |
| EP2568407B1 (en) * | 2011-09-09 | 2017-10-25 | Assa Abloy Ab | Method and system for communicating with and programming a secure element |
| GB2498172B (en) * | 2011-12-01 | 2018-12-12 | Qualcomm Technologies Int Ltd | A near field communication equipped device |
| EP2608478A1 (en) * | 2011-12-21 | 2013-06-26 | Gemalto SA | Method of protection of a device against denial of service attacks |
| US8429409B1 (en) * | 2012-04-06 | 2013-04-23 | Google Inc. | Secure reset of personal and service provider information on mobile devices |
| EP2738671B1 (en) * | 2012-12-03 | 2017-08-23 | Nxp B.V. | Method and system for controlling operations in a mobile communication device that is enabled for near field communication (NFC) |
| US20140298411A1 (en) * | 2013-03-26 | 2014-10-02 | Hewlett-Packard Development Company, L.P. | Accessing a secure element through a manageablity engine |
| US10645651B2 (en) * | 2013-06-12 | 2020-05-05 | Qualcomm Incorporated | Methods and apparatus for improving re-activation of a NFC-F based remote NFC device |
| GB2586549B (en) * | 2013-09-13 | 2021-05-26 | Vodafone Ip Licensing Ltd | Communicating with a machine to machine device |
| KR101769973B1 (ko) * | 2013-09-30 | 2017-08-21 | 구글 인코포레이티드 | 보안 요소 상의 데이터를 안전하게 관리하기 위한 시스템들, 방법들 및 비일시적 컴퓨터 판독가능 매체 |
| US10397276B2 (en) * | 2014-04-01 | 2019-08-27 | Huawei Device Co., Ltd. | Secure element management method and terminal |
| US9400888B1 (en) * | 2015-02-27 | 2016-07-26 | Qualcomm Incorporated | Systems and methods for mitigating effects of an unresponsive secure element during link establishment |
| FR3043229B1 (fr) * | 2015-11-03 | 2018-03-30 | Proton World International N.V. | Demarrage securise d'un circuit electronique |
| US20170337390A1 (en) * | 2016-05-18 | 2017-11-23 | Qualcomm Incorporated | Data protection at factory reset |
-
2016
- 2016-07-13 EP EP16305906.6A patent/EP3270620A1/en not_active Withdrawn
-
2017
- 2017-06-14 EP EP17729872.6A patent/EP3456075B1/en active Active
- 2017-06-14 KR KR1020197001058A patent/KR102099739B1/ko active IP Right Grant
- 2017-06-14 JP JP2019501728A patent/JP6746771B2/ja active Active
- 2017-06-14 US US16/315,007 patent/US10956620B2/en active Active
- 2017-06-14 CN CN201780043240.1A patent/CN109479195B/zh active Active
- 2017-06-14 WO PCT/EP2017/064498 patent/WO2018010904A1/en unknown
Also Published As
| Publication number | Publication date |
|---|---|
| EP3456075A1 (en) | 2019-03-20 |
| CN109479195A (zh) | 2019-03-15 |
| EP3270620A1 (en) | 2018-01-17 |
| WO2018010904A1 (en) | 2018-01-18 |
| KR20190017041A (ko) | 2019-02-19 |
| KR102099739B1 (ko) | 2020-04-10 |
| EP3456075B1 (en) | 2020-06-03 |
| US10956620B2 (en) | 2021-03-23 |
| CN109479195B (zh) | 2022-05-03 |
| JP2019522859A (ja) | 2019-08-15 |
| US20190311155A1 (en) | 2019-10-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2508014B1 (en) | Methods, secure element, server, computer programs and computer program products for improved application management | |
| US10091652B2 (en) | Relay device | |
| US8768300B2 (en) | Remote control method and system for smart card | |
| JP6388765B2 (ja) | 無効化モジュールを備えた電子アセンブリ | |
| EP3203645B1 (en) | Information processing method and nfc terminal | |
| CN106663017B (zh) | 实现主机卡模拟的方法、终端、数据路由方法及装置 | |
| JP6746771B2 (ja) | セキュアエレメントを管理する方法 | |
| AU2021273648B2 (en) | Multi-use near field communication front end on a point of sale system | |
| US11308470B2 (en) | Multi-use near field communication front end on a point of sale system | |
| EP3299985B1 (en) | Settlement terminal and method of protecting data stored in the settlement terminal against tampering | |
| US9053328B2 (en) | Method of analyzing the behavior of a secure electronic token | |
| US20210176629A1 (en) | Access control for near field communication functions | |
| EP3751749B1 (en) | Multi-use near field communication front end on a point of sale system | |
| EP3086257A1 (en) | Method of managing a secure element embedded in a host device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190129 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191127 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191203 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200115 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200331 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200513 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200707 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200805 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6746771 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |