KR20050088105A

KR20050088105A - 메모리카드에 기록된 변환 데이타의 보안방법

Info

Publication number: KR20050088105A
Application number: KR1020057010284A
Authority: KR
Inventors: 판고드 니콜라스
Original assignee: 에이에스케이 에스.에이.
Priority date: 2002-12-12
Filing date: 2003-12-12
Publication date: 2005-09-01
Also published as: JP4546256B2; WO2004055741B1; PT1573690E; FR2848702A1; ZA200504256B; ATE404959T1; AU2003296828A1; WO2004055741A3; DE60322949D1; WO2004055741A2; BR0316935A; EP1573690B1; MXPA05006159A; IL168472A; CN1757048A; EP1573690A2; TW200424944A; CA2508119A1; US20060015675A1; RU2005121896A

Abstract

스마트 카드와 그 카드, 카드에 의하여 수행되는 거래과 관련하여 데이터 밸류(data value)가 기록된 적어도 하나 이상의 로케이션(location)으로 구성된 비휘발성의 삭제가능하고 다시 쓸 수 있는 것을 포함하는 카드,를 읽을 수 있는 리더기를 포함하는 카드 거래시스템의 데이터 변환방법에 관한 것이다. 각각의 거래는 데이터 밸류의 변환에 기인하고, 후자는 시간에 있어 단조 증가,감소 함수이다. 각각의 거래에서, 데이타 밸류 쓰기 연산은 카운터의 메모리를 형성하는 두개의 미리 정해진 로케이션 중 첫번째 로케이션(B)에 새로운 데이타 밸류(Y)를 쓰는 것을 수행하고, 두번째 로케이션(A)에 기록된 구 데이터 밸류의 지우는 것을 수행하는 쓰기 연산과, 정확하게 쓰기 연산이 실행되어지는 마지막에, 첫번 째 로케이션은 두번 째 로케이션이 제로 밸류를 포함하는 동안 새로운 데이터를 포함하는 것이다.

Description

메모리카드에 기록된 변환 데이타의 보안방법{SECURE METHOD FOR MODIFYING DATA RECORDED IN A MEMORY CARD}

본 발명은 거래가 카드 리더기와 같이 수행되어질 때 스마트카드에 저장된 데이타 기록부분이 변환되어지는 시스템에 관련된 것이고, 특히 본 발명은 리더기로 거래중에 스마트카드에 기록된 변환 데이터의 보안 방법에 관련된 것이다..

칩카드라고도 부르는 스마트카드는 카드홀더와 관계된 데이터의 캐리어로 사용이 증가되고 있다. 이러한 카드는 비접촉 카드를 포함하는데, 이것은 정보의 상호교환이 카드에 내장된 안테나 사이의 두개의 비접촉 전자마크네틱과 연결된 리더기에 의해 행하여지고, 그것은 통제된 접근구역에 접근카드 또는 전자지갑으로서 발전되어오고 있다.

일반적으로, 스마트카드는 비휘발성, 지울수 있고, 다시쓰기 가능한 EEPROM 또는 플래쉬 EEPROM형의 메모리를 사용하며, 따라서 나중에 전원이 꺼지더라도 메모리에 쓰여진 데이터는 보존된다. 그것들은 또한 하나 또는 몇몇의 메모리를 지우고 새로운 데이터를 씀으로써 기록된 데이터를 업데이트하는 것을 가능하게 한다.

거래 중에, 일반적으로 카드의 "갑작스런 취소" 즉 예를 들면, 프로세싱 연산이 끝나기도 전에 제거되는 갑작스런 전력공급의 중단에 의해 메모리가 잘못되는 경우가 가능하며, 그 결과로서 새로운 데이터가 기록되기도 전에 이전 데이터가 손실된다. 이러한 위험은 카드가 기능을 제대로 수행하는지를 인식할 수 없는 공간적 제약이 있는 비접촉 형태의 카드인 경우 특히 더 크다.

만약 비휘발성 EEPROM타입의 메모리인 경우 추가된 위험이 있는데, 쓰기 연산이 정상적인 종결이전에 방해된다면, 데이타는 그럼에도 불구하고 기록될 수 있을 것이며, 그리고 따라서 쓰기 연산 후에 정확하게 읽혀질 수 있을 것이다. 그러나, 만약 이러한 읽기가 추후 시점에서 반복된다면, 이러한 것이 정확하게 수행될지는 확실하지 않으며, 따라서 메모리 셀에 정보의 보유가 이전의 방해된 쓰기 연산의 결과에 의해 불충분 할 수 있다.

데이타 보전을 안전하게 하기 위해, 그 데이터가 변환된 상태에 있거나 또는 변환전의 상태를 보장함으로써 "갑작스런 취소"로부터 기인하는 불명료한 중간적인 상태를 방지하여 이 카드들이 그러한 위험들로부터 보호되는 것이 바람직하다.

자료거래 안전의 이유로, 거래의 과정 동안 전력이 차단되고, 거래이 재시작을 할 수 없다면 주요한 데이터를(예를 들어 전자지갑에 있어 크레딧 밸런스)잃어버려 복구될 수 없는 리스크를 감수하면서 전체적인 거래을 재시작하는 것이 필수적이다.

상기의 구체화 된 문제를 해결하기 위해, 데이타의 저장은 그 자료의 변환을 고려하고 실행하기전에 완충(buffer) 메모리에 저장한다. 일단 변환되어야 할 자료들 모두가 변환이 완료되어지면, 기존의 기록은 완충 메모리로부터 지워진다.

각 기록에 대하여 불행하게도, 이러한 방법은 저장 연산을 할 수 있는 완충공간, 변환되어질 기록을 지우기 위한 연산과, 다시쓰기 연산 및 완충공간에 있는 기존 기록을 제거하기 위한 연산등 총 4개 연산을 할 수 있을 것을 요구한다. 이 연산은 따라서 시간이 소비되는 것의 단점을 가지고 있으며, 그것은 비접촉 카드들의 주요한 단점이다.

게다가, 이전 데이타를 지우기 전에 또다른 로케이션에 있는 메모리의 데이터을 저장하기 위해 변환연산이 정확하게 또는 플래그 밸류에 의해 실행되고 있는지를 나타내는 "플래그"의 존재가 요구 된다. 그 플래그는 단일 비트일 수 있으며, 그것은 변환이 제대로 실행되는지 안되는지에 대하여 0 또는 1의 밸류를 가진다. 데이터가 동일한 로케이션에 있는 체크 비트를 기록하기 위한 명백한 이유를 생각할 수 없기 때문에, 유일한 해결책은 이러한 목적을 가지고 메모리 로케이션에 보존된 플래그를 기록하는 것에 있고, 따라서 16 또는 32비트의 전체 블록에서 단일 비트 또는 몇 비트 정도가 충분하다.

상기 언급된 단점은 스카트카드가 메모리에 있어서 포지션을 낭비하지 않는 것이 필수적이고 여기서 각 거래에서 변환된 데이타 벨류는 시간의 단조증가.감소함수이다. 이러한 어플리케이션에서, 메모리 데이터 기록은 사진복사기의 예에서 처럼 시간에서 증대되는 카운터의 증대 또는, 기록의 밸류가 매 승차시마다 하나의 유닛씩 감소되는 대중교통 카드의 경우에서의 감소되는 카운터 또는, 기록의 밸류가 단지 감소만하는 전자지갑이다.

본 발명의 목적과 특징은 다음의 도면에 기재된 reference와 설명 등을 통하여 보다 명확해질 것이다.

도 1은 본 발명이 실행되어지는 방법에 대한 스마트카드의 개략적인 표현이다.

도 2는 각 쓰기 연산 단계에서 메모리의 두 개의 층을 이루는 카운터의 내부에 대한 개략적인 표현이다.

도 3은 각 다시쓰기 연산 단계에서 갑작스런 취소 이후의 첫번 째 상황에서 메모리의 두 개의 층을 이루는 카운터의 내부에 대한 개략적인 표현이다.

도 4는 각 다시쓰기 연산 단계에서 갑작스런 취소 이후의 두번 째 상황에서 메모리의 두 개의 층을 이루는 카운터의 내부에 대한 개략적인 표현이다.

도 5는 각 다시쓰기 연산 단계에서 갑작스런 취소 이후의 세번 째 상황에서 메모리의 두 개의 층을 이루는 카운터의 내부에 대한 개략적인 표현이다.

도 6은 각 다시쓰기 연산 단계에서 갑작스런 취소 이후의 네번 째 상황에서 메모리의 두 개의 층을 이루는 카운터의 내부에 대한 개략적인 표현이고,

도 7은 각 다시쓰기 연산 단계에서 갑작스런 취소 이후의 다섯번 째 상황에서 메모리의 두 개의 층을 이루는 카운터의 내부에 대한 개략적인 표현이다.

따라서 본 발명의 목적은 카드가 거래중에 시간적 제한이 되는 것에 양립가능한 최소한의 시간에 의해 실행되어지는 거래동안에 스마트카드의 데이터를 변화시키는 방법을 얻기 위한 것이다.

또 다른 발명의 목적은 메모리 로케이션의 체크비트(flag)의 보존이 요구되지 않는 비접촉 스카트카드의 데이터를 변환하는 방법을 얻기 위한 것이다.

발명의 목적은 따라서 리더기에 연결된 결정되어진 포지션에서 카드를 읽을 수 있는 카드와 그 카드리더기를 포함한 거래시스템의 데이터 변환방법에 있어서, 그 카드는 카드에 의하여 수행되는 거래과 관련하여 데이터 밸류가 기록된 적어도 하나 이상의 로케이션을 구성하는 비휘발성, 지울수 있고, 다시 쓰기가능한 것을 포함하고, 각각의 데이타 거래은 데이터밸류의 변환에 결과를 가져오며, 뒷부분이 시간안의 단주적 기능에 의해 수행되어지는 것이다. 각각의 거래에서 데이터 밸류 쓰기 연산은 메모리의 카운터를 형성하는 두 개의 미리 정해진 로케이션 중 첫번 째 로케이션의 새로운 데이타 밸류를 쓰는 것을 실행하고, 쓰기 연산은 그러한 두번 째 로케이션에 기록된 기존 데이터 밸류를 지우는 연산을 실행하고, 두번째 로케이션이 제로의 밸류를 가지는 반면에 새로운 데이타는 첫번째 로케이션에 포함된다.

적은 양의 메모리를 요구하는 연산에 쓰여지는 유선 논리 메모리와 같은 타입의 칩 카드에 있어서, 메모리 로케이션이 제한적이다. 따라서 도 1에서 설명된 것 같은 칩 카드의 메모리는 16-비트 단어들의 32개의 용량을 가지는 EEPROM타입의 메모리이다. 아래의 기술된 발명은 전체 단어를 저장하는 것을 요구하는 메모리의 체크 존(zone)을 생략하는 것을 허용한다. 이를 위해서 두 층의 카운터(층-A, 층-B)를 형성하는 것이 리더기와 스마트카드기 사이에서 자료거래이 실시될 때 새로운 데이터 밸류가 기록된 것이 저장된다.

본 발명의 원리는 각 거래마다 변환된 데이타 밸류의 연산에서 시간내의 단주적 기능에 유용하게 사용되어진다. 몇몇의 경우(예를 들어 사진복사에 사용되는 카드), 기록된 밸류는 증가하는데 이는 기록된 접근 존 또는 전자지갑 같은 경우 데이터 밸류가 감소되는 연산의 경우와 다르다. 그러가 카운터가 감소되는 것보다는 증가하는 것이 더 호의적이다. 사실 갑작스런 취소에 있어서 위험은 메모리에 쓰여진 비트들의 정확한 보유가 아니다. 이런 경우, 기록된 밸류는 각각의 비트 1이 0으로 교체되어 감소할 수 있다. 만약에 감소방법이 사용된다면, 부정확하게 쓰여진 밸류가 감소되고, 카드소지자의 메모리 밸류가 정상적인 감소인지 아니면 비정상적인 메모리 용량의 감소인지에 대해 아는 것이 어려울 위험을 가지게 된다. 이와 반대로, 만약 증가방법이 사용된다면, 갑작스런 취소에 부수되는 부정확하게 기록된 밸류의 증가에 있어서 증가전에 기존의 밸류라고 생각되어지는 것에 대한 위험은 나타나지 않는다.

감소방법의 경우에, 각각의 경우마다 데이터 밸류의 이진법에 대해 이진법의 두개 수 채움(complement)을 생각하기 쉽다. 따라서 각각의 거래에 있어서 연산이 실행되는지에 관계없이 데이터 밸류가 증가되어진다.

본 발명에 대한 방법은 새로운 데이터를 기록하는 것을 구성하는데, 거기에는 밸류 0을 가지는 카운터 층의 변환을 하는 것과, 다른 층의 밸류 0인 것을 지우는 것을 목적으로 한다. 역으로 될 수 없는 이 두 개의 단계는, 거래 중에 리더기의 새로운 밸류를 쓰는 것에 대한 지시에 의해 유발된다.

도 2는 정상적인 작동을 설명한다. 처음에 카운터를 읽는 것은 밸류 X가 A층에 밸류 0은 B층에 나타나게 한다. 쓰기 지시는 그러면 새로운 밸류 Y의 쓰기를 B층에 수행하고, 그러면 A층으로 부터 밸류 X를 지운다. 따라서 카운터는 지시대로 증가하게 된다.

불행하게도, 카드의 갑작스런 취소는 자료거래 중에 발생할 수 있으며, 특별히 칩가드가 비접촉일 수 있다. 이런 경우에 쓰기 연산이 제대로 실행되지 않을 수 있으며, 새로운 밸류의 쓰기가 정확하게 수행되지 않거나, 기존의 밸류가 지워지지 않을 수 있다. 이러한 경우 거래은 성공적이지 않거나 유효하지 않게 된다. 이것의 결과는 제어된 접속 존에 접근하는 것을 제공하는 게이트의 접속을 승인받지 못하거나 소매점에서 산 전자지갑을 사용하지 못하는 결과를 초래한다.

카드소지자는 따라서 리더기앞에서 패스카드의 실행을 다시 반복해야만 한다. 카운터의 두 층이 0의 밸류를 가지면 카운터의 해독을 수행한다. 갑작스럽 취소로 인한 것을 즉시 삭감하고 아래의 기술된 카운터를 복구하는 것을 실행한다.

도 3내지 도 7은 이러한 갑작스런 취소가 쓰기 단계에서 또는 쓰기와 지우기 단계 또는 지우기 단계 동안 발생하는 경우일 때 갑작스런 취소 복구 연산을 실행하는 것을 설명하고, 밸류 Y는 쓰여졌으나 밸류 X는 지워지지 않았다. 이런 경우, 비록 밸류 Y는 정확하지만, 층 B에 이 밸류의 보유를 보장할 수는 없다. 밸류 Y는 따라서 층 A를 0으로 세팅하는 밸류를 지우는 것을 수행하기 전에 다시 쓰여진다. 메모리 로케이션의 쓰기는 그 곳에 위치한 밸류와 새로운 밸류상의 OR기능을 하는 것으로 알려졌고, 따라서 새로운 밸류가 만일 기존 밸류가 0과 동등하가나 새로운 밸류와 동일하다면 다시 쓰여질 수 있다.

도 4에서 설명된 두번 째 상황은, 갑작스런 취소가 쓰기 단계에서 발생하고, X와 Y사이의 밸류 Y'는 B층에 쓰여지고 밸류 X는 A층에서 지워지지 않았다. 이런 경우, 첫번 째 쓰기 연산은 층 B에 있는 Y'를 다시 쓰고 층 A의 X를 지우는 것을 실행한다. 그러면 쓰기 연산은 A층의 Y를 쓰고 층 B의 Y'를 지우는 것을 실행하며, 그 카운터는 일단 한 층에 새로운 밸류가 있고 다른 층에 0이 있는 경우에 정상적인 상황이 된다.

도 5에서 설명된 세번 째 상황은, 쓰기 단계동안 갑작스런 취소가 발생하고, X보다 적은 Y'가 B층에 쓰여지고, 밸류 X가 삭제되지 않는 것이다. 이런 경우에, 첫번 째 재쓰기 연산은 A층의 밸류 X를 다시 쓰고, B층으로 부터 Y'를 지우는 것을 실행한다. 이것은 카운터의 복구는 늘 최고의 밸류와 같이 실행된다는 사실을 정당화시키고, 그것은 이 예에서 밸류 X이다. 그러면, 쓰기 연산은 B층의 밸류 Y를 쓰고 A층으로 부터 X를 제거하는 것을 실행한다.

도 6에서 설명된 네번 째 상황은 갑작스런 취소가 쓰기 단계와 지우기 단계 사이에 발생하는 것으로, 밸류 Y가 B층에 기록되나 A층으로부터 밸류 X는 지워지지 않았다. 밸류 Y의 보유는 보장되지 않았기 때문에, 재쓰기 연산은 B층의 밸류 Y를 다시쓰고 A층으로부터 밸류 X를 지우는 것을 수행한다.

도 7에서 설명된 여섯번 째의 상황은, 갑작스런 취소가 지우기 단계에 발생하는 것으로, 밸류 Y는 B층에 쓰였으나 밸류 X는 정확하게 지워지지 않고 밸류 X'는 A층에 발견된다. 그러므로 B층에 있는 밸류 Y의 재쓰기 연산을 실행하고 따라서 A층으로부터 밸류 X'를 지우는 것을 허락한다.

상기에서 언급된 모든 경우에서, 카운터의 복구는 두 층 중 어느것도 밸류 0을 포함하지 않았기 때문에 수행되고, 복구뒤에 두 층 중 하나는 다른 층이 0을 포함하는 동안에 새로운 데이터 밸류를 포함한다. 어느 경우에도 기존의 밸류(X)보다 A층 또는 B층에 최대한의 밸류가 있는 상태의 카운터가 발견되는 경우는 없다고 인식되고 있다.

Claims

리더기와 관련하여 결정된 위치에 있을때 스마트카드 또는 이와 유사한것과 상기 카드의 리딩이 가능한 리더기를 포함한 카드 거래 시스템에서 데이타의 변환 방법으로, 상기 카드는 상기 카드에 의해 실행되는 거래에 관한 데이타 밸류를 기록하는 적어도 하나의 로케이션을 구성하는 비휘발성의, 삭제 가능하고 다시쓰기 가능한 메모리를 포함하고, 각 거래는 상기 데이타 밸류의 변한을 가져오며, 후자는 시간에 있어 단조 증가.감소함수이며,

상기 방법은, 각각 거래에서, 상기 데이타 밸류를 쓰기 위한 연산은 메로리에서 카운터를 형성하는 두개의 미리 정해진 로케이션의 첫번째 로케이션(B)에 새로운 데이타 밸류(Y)를 기재하고, 상기 쓰기 연산은 상기 두개의 로케이션 중 두번째 로케이션에 기록된 기존 데이터 밸류(X)를 지우는 것을 수행하고, 올바르게 수행된 쓰기 연산의 마지막에, 상기 첫번 째 로케이션은 상기 두번째 로케이션이 제로 밸류를 포함하는 동안 새로운 데이터를 포함하는 것을 특징으로 하는 카드 거래 시스템에서의 데이타 변환 방법.
제1항에 있어서, 상기 두 로케이션(A or B)중 어느 하나에 기록된 데이터 밸류가 각 쓰기 연산에서 증분되는것을 특징으로 하는 카드 거래 시스템에서의 데이타 변환 방법.
제2항에 있어서, 상기 쓰기 연산이, 상기 카운터에 두 층 중 어느 것도 제로와 같은 밸류가 기록된 상기 카운터의 2개 층이 아닌, 거래중에 상기 카드가 갑자기 취소되는 결과에 의해 정확히 수행되지 않으므로 거래가 유효하지 않게되는 카드 거래 시스템에서의 데이타 변환 방법.
제2항에 있어서, 갑작스런 취소가 상기 새로운 밸류의 쓰기 단계에서 발생하는 경우에 상기 첫번 째 로케이션(B)의 상기 새로운 밸류(Y)의 재쓰기와 상기 두번 째 로케이션(A)으로 부터 상기 기존 밸류(X)를 지우는 것을 구성하는 재쓰기 연산에 의한 상기 카운터의 복구를 더 포함하는 카드 거래 시스템에서의 데이타 변환 방법.
제2항에 있어서, 상기 첫번 째 로케이션(B)이 상기 구 데이터 밸류(X)와 상기 새로운 데이터(Y)의 사이에 부정확한 밸류(Y')를 포함할 때, 상기 두번 째 로케이션(A)에 새로운 밸류의 기재와 상기 첫번 째 로케이션으로 부터 상기 부정확한 밸류의 삭제로 구성된 쓰기연산이 차후 수행되어지는, 상기 두번째 로케이션으로 부터 상기 구 밸류의 삭제와 첫번째 로케이션에서의 상기 부정확한 밸류의 재쓰기로 구성된 재쓰기 연산에 의한 상기 카운터의 복구를 더 포함하는 카드 거래 시스템에서의 데이타 변환 방법.
제2항에 있어서, 상기 첫번 째 로케이션(B)이 상기 구 밸류(X)보다 적은 부정확한 데이터 밸류(Y')를 포함할 때, 상기 첫번째 로케이션에서 신 데이타 밸류(Y)의 기재와 상기 두번째 로케이션으로부터 상기 구 데이타 밸류의 삭제로 구성된 쓰기 연산이 차후 수행되어지는, 상기 부정확한 데이타 밸류의 삭제와 상기 두번째 로케이션(A)에서의 상기 구 데이타 밸류(X)의 재쓰기로 이루어진 재쓰기 연산에 의한 상기 카운터의 복구를 더 포함하는 카드 거래 시스템에서의 데이타 변환 방법.
제2항에 있어서, 상기 신 데이터 밸류의 기재와 상기 기존 데이터 밸류의 삭제과정 사이에 갑작스러운 취소가 발생할때, 상기 첫번 째 로케이션(B)에 상기 새로운 데이터 밸류(Y)의 재 기재와 상기 두번 째 로케이션(A)으로 부터 상기 구 데이터 밸류의 삭제로 이루어진 재 기재 연산에 의한 상기 카운터의 복구를 더 포함하는 카드 거래 시스템에서의 데이타 변환 방법.
제2항에 있어서, 상기 구 데이터 밸류(X)의 삭제 과정 동안 갑작스런 취소가 발생되고 부정확한 데이타 밸류(X')가 상기 두번째 로케이션(A)에 기록되는 때, 상기 첫번 째 로케이션(B)에 상기 신 데이터 밸류(Y)의 재 기재와 상기 두번 째 로케이션으로부터 상기 부정확한 데이타 밸류의 삭제로 구성되는 재 기재 연산에 의한 상기 카운터를 복구하는 것을 더 포함하는 카드 거래 시스템에서의 데이타 변환 방법.
리더기와 관련하여 결정된 위치에 있을때 스마트카드 또는 이와 유사한것과 상기 카드의 리딩이 가능한 리더기를 포함한 카드 거래 시스템으로, 상기 카드는 상기 카드에 의해 실행되는 거래에 관한 데이타 밸류를 기록하는 적어도 하나의 로케이션을 구성하는 비휘발성의, 삭제 가능하고 재 기재가 가능한 메모리를 포함하고, 각 거래는 상기 데이타 밸류의 변한을 가져오며, 후자는 시간에 있어 단조 증가.감소함수이며;

상기 시스템은, 상기 메모리는 미리 정해진 첫번째 로케이션과 미리 정해진 두번째 로케이션, 카운터의 형성, 상기 첫번째 로케이션(B)에 새로운 데이타 밸류(Y)의 기재를 수행하는 기재 지시와 상기 두번째 로케이션(A)으로 부터 구 데이타 밸류(X)의 삭제를 가져오는 각 거래를 포함하는데 특징이 있고, 그리하여, 쓰기 연산의 마지막에, 상기 첫번 째 로케이션은 상기 두번째 로케이션이 제로 밸류를 포함하는 동안 새로운 데이터를 포함하는 것을 특징으로 하는 카드 거래 시스템.
제9항에 있어서, 상기 스마트 카드는 비접촉 카드인 것을 특징으로 하는 카드 거래 시스템.