JP2021517688A - セキュアデータ処理 - Google Patents

セキュアデータ処理 Download PDF

Info

Publication number
JP2021517688A
JP2021517688A JP2020548761A JP2020548761A JP2021517688A JP 2021517688 A JP2021517688 A JP 2021517688A JP 2020548761 A JP2020548761 A JP 2020548761A JP 2020548761 A JP2020548761 A JP 2020548761A JP 2021517688 A JP2021517688 A JP 2021517688A
Authority
JP
Japan
Prior art keywords
security processor
memory
data processing
security
registration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020548761A
Other languages
English (en)
Other versions
JP7374112B2 (ja
Inventor
トマ,オリヴィエ
バッカ,ニコラ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ledger SAS
Original Assignee
Ledger SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ledger SAS filed Critical Ledger SAS
Publication of JP2021517688A publication Critical patent/JP2021517688A/ja
Application granted granted Critical
Publication of JP7374112B2 publication Critical patent/JP7374112B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0655Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • G06F3/0679Non-volatile semiconductor memory device, e.g. flash memory, one time programmable memory [OTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

自動的かつセキュアな形での命令実行デバイスおよび方法。読取り専用メモリ(ROM)と、ランダムアクセスメモリ(RAM)と、暗号機能を果たす能力を有する計算機(UE)と、単数または複数の単調カウンタ(CM)に結び付けられた単調カウンタ管理ユニット(UG)とを少なくとも含むセキュリティプロセッサ(PS)は、セキュリティプロセッサ(PS)が他のいかなる記憶用メモリも含まず、そのためセキュリティプロセッサ(PS)はいかなるプログラムまたは外部データも記憶しないようになっており、少なくとも1名の初期登録管理者(AI)を認証できるようにする公開鍵(CP)が、読取り専用メモリ(ROM)内でのその最初の使用の前に記憶され、そのランダムアクセスメモリ(RAM)は、公開鍵暗号モジュール(MC)により認証され得るデータおよび命令のセットをロードする能力を有し、該命令が認証された後の、計算機(UE)によるこれらの命令の実行が、単調カウンタ(CM)の1つをインクリメントし、こうしてセキュアな形で一連のオペレーションを自動的に実行できるようになっているようなものであり、このようなセキュリティプロセッサ(PS)は、セキュアデータ処理アセンブリまたはインフラストラクチャ中に含まれる。【選択図】図1

Description

本発明は、セキュアデータ処理に関する。本発明は、より厳密には、読取り専用メモリ、ランダムアクセスメモリ、暗号機能を果たす能力を有する計算機、および少なくとも1つの単調カウンタに結び付けられた単調カウンタ管理ユニットを含むタイプのセキュリティプロセッサ、このようなセキュリティプロセッサそして接続手段を伴って外部メモリを含むセキュアデータ処理アセンブリ、複数のセキュリティプロセッサを含むセキュアデータ処理インフラストラクチャ、そして最後にこのようなセキュアデータ処理アセンブリの使用方法を目的とする。
本発明の枠内で、セキュア化とは、命令および関連するコンテクストで構成されたプログラム、ならびに前記プログラムの実行指令を与える人物の認証の無欠性の維持および制御、を意味する。「コンテクスト」なる用語は、その下でプログラムを使用することができるパラメータ、命令および条件のセット、そしてより広義には、命令、コードまたはデータのセット全体として理解されるべきものである。「管理者」なる用語は、一方では初期登録管理者を、そして他方では、他のあらゆる後続登録管理者を指す。「登録された」とは、記録された、登記されたまたは換言すると、命令を与えることを認可されたという意味に理解すべきである。「1名の登録管理者の認証」とは、命令を与える1名の人物が登録管理者であることを確認し、セキュリティプロセッサによる当該の命令の実行を認可するプロセスを意味する。「複数登録管理者の認証」とは、複数の人物および登録管理人に対して個別に適用される類似のプロセスを意味する。
仏国特許第2906380号明細書は、物理的媒体上に記憶されたデータセキュア化システムおよびその使用方法について記述している。データセキュア化システムは、キーボード、スクリーン、マイクロホン、スピーカ、電子カード、データ送受信用モジュール、加入者識別モジュールおよび給電用バッテリを備えたケースを特に含む携帯電話などのデバイス内に搭載されている。電子カードは、少なくとも1つのマイクロコントローラ、ランダムアクセスメモリ、フラッシュメモリおよびバスシステムを含む。電話の利用は、オペレーティングシステムおよび、例えばこの電話のメモリ内にロードされるアプリケーションセットによって管理される。セキュア化システムは、場合によってはランダムアクセスメモリなどのシステムリソースを伴う計算エンティティ(例えばマイクロプロセッサ)、単調カウンタ(一単位ずつインクリメントすることのみ可能)、システムキー(システムによって認可された唯一のエンティティがアクセスできる暗号鍵)および情報処理データの持続的記憶を保証する物理的データ媒体(例えばハードディスク、フラッシュメモリなど)を一体として含む。この物理的データ媒体は、少なくとも1つのデータブロックおよび2つのマスタブロックを含み、これらのブロックのサイズは設定可能である。実施方法は、認証鍵を使用する。仏国特許第2906380号明細書のデータセキュア化システムおよびその使用方法は、一方ではリプレイ(データ管理システムの以前のコンテンツを不正にコピーすることによるデータに対する不正なアクセス)、そして他方では、特に急激なサービス中断(例えば電源の電流遮断またはシステムの時ならぬ再始動)によって誘発される改変または修正に対するセキュア化の問題を解決することを目指している。この文書は、管理者の認証を保証していない。
米国特許出願公開第2004/0187006号明細書は、データセキュリティの分野に関し、より詳細には、セキュアな環境の外に位置するためにセキュアではない外部メモリからのデータの信頼性の高い回収の分野に関する。データセキュア化システムは、計算エンティティおよび、外部メモリに向けての要求が最新のデータを返送しているか否かをセキュアな環境内で決定するための単調カウンタの使用を含んでいる。単調カウンタは、主要な要素がメモリ内に書き込まれる毎にインクリメントされる。制御入力が、主要要素に関係する要素の最終修正時刻を記録する。単調カウンタの値は、メモリ内のデータの次の書込みまで同じに保たれる。この文書は、単調カウンタの使用を考慮に入れているものの、その目的は、本発明の目的であるセキュア化ではない。
米国特許出願公開第2014/0137178号は、保護されたオブジェクト内に格納された情報にアクセスするために情報処理デバイスのプログラムが発出するデマンドを、情報処理デバイスのセキュアプラットフォームモジュールTPMによって受理するステップ;プログラムが情報にアクセスするのを許可する条件が満たされているか否かを決定するステップ;条件が満たされたことに応えてプログラムに情報へのアクセスを許可するステップ;条件が満たされなかったことに応えて、プログラムに対し情報へのアクセスを拒絶するステップ;およびプログラムに由来するデマンドの閾値数について1つの条件が満たされないことに応えて、不確定期間にわたり情報をロックしてプログラムが情報にアクセスするのを妨げるステップを含む方法に関する。オブジェクトは、セキュアなプラットフォームモジュールによって維持される。各オブジェクトは情報を記憶し、プログラムが情報にアクセスできるようになるためにプログラムが満たさなくてはならない条件を識別する1つのポリシーに結び付けられている。各々のオブジェクトについて、セキュアなプラットフォームモジュールは、オブジェクトに結び付けられた単調カウンタを管理する。単調カウンタは、オブジェクトに結び付けられた方策の条件を満たさないオブジェクトの情報に対するアクセスの要求の閾値数が実現されるかを決定するために使用される。セキュアなプラットフォームモジュールは、情報処理デバイスに対してセキュアな処理機能および/またはセキュアな記憶を提供する。セキュアな記憶は、セキュアなプラットフォームモジュールの特定の機能または他のコンポーネントによって保護された不揮発性メモリに関わるものであり、このメモリによってしかアクセスできない。情報は、データ構造内またはモジュールによって保護されているオブジェクトの名前で呼称されるオブジェクト内に記憶され、暗号鍵などのさまざまな形態をとることができる。情報に対するアクセスは、情報の読取り、その書込みまたはその修正などの異なる形態をとることができる。不揮発性メモリは、単数または複数の単調カウンタおよび単数または複数の保護されたオブジェクトを含む(該文書の図1を参照のこと)。
KTH CSC刊行、Andreas Nilsson著「Key Management with Trusted Platform Modules」は、コンピューティングプラットフォームをより信頼性の高いものにすることを目指した概念に関する。これは、Trusted Platform Module(TPM)と呼ばれるチップに基づいている。TPMは、RSA暗号化およびセキュアな鍵記憶などの暗号機能を提供するチップである。各TPMモジュールは、製造後、ただし顧客への発送前にTPMによって内部で作成される検証鍵と呼ばれる一意的鍵ペアを有する。鍵ペアはTPMを一意的に識別し、二度と変更できない。プライベートパートは、決してTPMから出ることがなく、公開パートは、認証証明書中で使用される。不揮発性メモリおよび揮発性メモリが想定される。不揮発性メモリは、同一性および状態の持続的データおよび内部鍵を記憶するために使用される。所有者の認証と共に、持続的かつ不透明なデータ(TPMがアクセスできないか使用できないもの)を、TPMに向けておよびTPMから、書込みおよび読取りすることが可能である。揮発性メモリは、主としてTPMにより内部で使用される。
Luis F.G.Sarmentaら著、「Virtual Monotonic Counters and Count−Limited Objects using a TPM without a trusted OS」は、セキュアなプラットフォームモジュールTPMによる信頼性を有するものでないマシンを用いた仮想単調カウンタの開発について説明している。
仏国特許第2906380号明細書 米国特許出願公開第2004/0187006号明細書 米国特許出願公開第2014/0137178号明細書
KTH CSC刊行、Andreas Nilsson著「Key Management with Trusted Platform Modules」 Luis F.G.Sarmentaら著、「Virtual Monotonic Counters and Count−Limited Objects using a TPM without a trusted OS」
本発明の基礎にある問題は、読取り専用メモリ、ランダムアクセスメモリ、暗号機能を果たす能力を有する計算機、および少なくとも1つの単調カウンタに結び付けられた単調カウンタ管理ユニットを含むセキュリティプロセッサにおいて、その使用のセキュア化、つまりこのセキュリティプロセッサが実行するプログラムおよびそれに関連するコンテクスト、ならびに前記プログラムの実行指令を与える登録管理者の認証の無欠性の維持および制御を保証することにある。
本発明は、特にプロセッサがいかなるほかの記憶用メモリも含まず、こうしてプロセッサが外部プログラムまたはデータを全く記憶しないことを想定することによって、この問題を解決する。こうして、記憶はプロセッサとの関係において「外在化」され、実行システムは、完璧な無欠性を保つような形で、実行すべきデータから分離され隔離される。
以下で、本発明について説明する。
第1の態様によると本発明は、読取り専用メモリと、ランダムアクセスメモリと、暗号機能を果たす能力を有する計算機と、少なくとも1つの単調カウンタに結び付けられた単調カウンタ管理ユニットとを少なくとも含むセキュリティプロセッサを目的とする。このセキュリティプロセッサは、
− 他のいかなる記憶用メモリも含まず、そのためセキュリティプロセッサは、いかなるプログラム、コンテクスト(命令、コード、データ)または外部データも記憶しないようになっており、
− 少なくとも1名の初期登録管理者を認証できるようにする公開鍵が、その最初の使用の前に読取り専用メモリ内に記憶され、
− ランダムアクセスメモリが、公開鍵暗号モジュールにより認証され得るコンテクストなどのデータおよび命令のセットをロードする能力を有し、
− 該命令が初期登録管理者により認証された後の、計算機によるいくつかの命令の実行が、単調カウンタの1つをインクリメントするようなものである。
このようなセキュリティプロセッサは、このようなセキュリティプロセッサおよび外部メモリを含むセキュアデータ処理アセンブリの枠内で、セキュアな形で一連のオペレーションを自動的に実行することを可能にする。
一実施形態において、セキュリティプロセッサは、バーチャルマシンとしてエミュレートされる。
第2の態様によると、本発明は、上述のセキュリティプロセッサ、そしてさらにこのセキュリティプロセッサの外部の少なくとも1つのメモリおよび、特に電子通信ネットワークを介するような、この少なくとも1つの外部メモリをセキュリティプロセッサに接続する能力を有する少なくとも1つの接続手段を含む、セキュアデータ処理アセンブリを目的とする。
1つの特徴および1つの実施形態によると、セキュリティ上の理由から、セキュアデータ処理アセンブリは、セキュリティプロセッサに接続された複数の、つまり少なくとも2つの外部メモリを含む。
1つの特徴によると、セキュアデータ処理アセンブリの少なくとも1つの外部メモリは、セキュリティプロセッサに対して認証される。
一実施形態によると、セキュアデータ処理アセンブリの外部メモリは、
− セキュリティプロセッサのランダムアクセスメモリ内にロードされることを目的とする少なくとも1つのプログラムおよび少なくとも1つのコンテクスト(命令、コード、データ)を記憶し、
− かつセキュリティプロセッサのランダムアクセスメモリ内に一時的にロードされた少なくとも1つのプログラムおよび少なくとも1つのコンテクストのセキュリティプロセッサによる実行の結果としての認証された全てのファイルを受信し記憶できる、
能力を有しかつ特にそれを目的とするために構成されており、
一方で、少なくとも1つのコンテクストは、単調カウンタの最終状態との少なくとも1つのコンテクストの同期化をセキュリティプロセッサが確認できるようにする能力を有する基準値を含み得る。
第3の態様によると、本発明は、上述のもののような複数の、つまり少なくとも2つのセキュリティプロセッサと、セキュアデータ処理アセンブリとの関係において前述したもののような少なくとも1つの外部メモリとを含むセキュアデータ処理インフラストラクチャにおいて、複数のセキュリティプロセッサの各々のセキュリティプロセッサが少なくとも1つの外部メモリに接続されている、セキュアデータ処理インフラストラクチャを目的とする。
一実施形態によると、セキュアデータ処理インフラストラクチャは、複数の、つまり少なくとも2つの外部メモリを含み、複数のセキュリティプロセッサの各々のセキュリティプロセッサが、複数の外部メモリのうちの少なくとも1つの外部メモリに接続されている。
考えられる一実施形態によると、セキュアデータ処理インフラストラクチャは、複数の、つまり少なくとも2つの互いに同期化された外部メモリを含み、複数セキュリティプロセッサのうちの各々のセキュリティプロセッサは、複数の外部メモリのうちのどちらかの外部メモリを無差別に使用することができる。
考えられる一実施形態によると、セキュアデータ処理インフラストラクチャは、外部メモリのいくつかのペア、トリオ、カルテットまたはそれ以上の組を含み、各々のセキュリティプロセッサは、互いに同期化された外部メモリのペア、トリオ、カルテットまたはそれ以上の組に結び付けられている。
したがって、このままの状態のセキュリティプロセッサは、他の記憶用メモリを含まない。単数または複数のこのような記憶用メモリは、セキュリティプロセッサの外部にあって、セキュアデータ処理アセンブリまたはセキュアデータ処理インフラストラクチャを形成する。
第4の態様によると、本発明は、セキュアデータ処理アセンブリによる一連のオペレーションのセキュアな実行方法において、
− A:セキュリティプロセッサに接続された外部メモリにアクセス可能な管理者が、セキュリティプロセッサを活動化させるステップ、
− B:セキュリティプロセッサが、ひとたび活動化された時点で、外部メモリ内の公開鍵を回収して、公開鍵暗号モジュールによりこの公開鍵を認証できるようになるステップ、
− C:セキュリティプロセッサが、それを活動化した管理者を後続登録管理者として認証する場合、セキュリティプロセッサは、この後続登録管理者によって認証されたデータおよび命令セットをロードし、それを実行するステップ、
− D:セキュリティプロセッサによるこの実行が、認証され得るデータをいくつか含むデータセットを生成し、このデータセットは、セキュリティプロセッサによってひとたび生成された時点で、後続登録管理者によって使用される外部メモリ内に記憶されるステップ、
の実行を少なくとも含む方法を目的とする。
1つの特徴および1つの実施形態によると、セキュリティ上の理由から、上述の方法は、各々1つの外部メモリにアクセス可能な2名の後続登録管理者、より一般的には複数の少なくとも2名の後続登録管理者により実行される。
該方法は、初期登録管理者がセキュアデータ処理アセンブリを有し後続登録管理者を登録する初期ステップの実行を同様に含む。
このとき、該方法は、
− A’:読取り専用メモリ内に記憶された公開鍵によって認証され確認された最初のデータおよび命令セットが、セキュリティプロセッサのランダムアクセスメモリ内にロードされて、別のデータおよび命令セットをロードしこのセットをセキュリティプロセッサにより実行させる後続登録管理者の資格付与プログラムを実行することを可能にするステップ、
− B’:最初のデータおよび命令セットのセキュリティプロセッサによる実行が、後続登録管理者によってセキュリティプロセッサの外部のメモリ上にセーブされ記憶される、暗号化され署名された後続登録管理者の認証要素を含むファイルを生成するステップ、
− C’:最初のデータおよび命令セットのセキュリティプロセッサによる実行が、同時に、単調カウンタのインクリメンテーションをひき起こすステップ、
という登録ステップの実行を含む。
1つの特徴および1つの実施形態によると、セキュリティ上の理由から上述の登録ステップは、初期登録管理者が、少なくとも2名の後続登録管理者、より一般的には複数の少なくとも2名の後続登録管理者を登録するようなものである。
一実施形態によると、全ては、一連のオペレーションをセキュリティプロセッサにより実行させあらゆる電子デバイスまたは外部ネットワークに伝送できることを目的として、後続登録管理者の異なるグループを登録できるようにし、異なるデータおよび命令セットをロードし自ら実行させるような形で、上述の3つのステップA’、B’およびC’を複数回反復することができる。
該方法は同様に、
− 先行する登録ステップの際に登録された後続登録管理者が、データおよび命令セットをセキュリティプロセッサのランダムアクセスメモリ内にロードできるようになる前に、電子署名などの信頼性の高いアクセス制御方法により、現状のままの実行コンテクストに照らしてセキュリティプロセッサに対して自己認証するステップ、
− データおよび命令セットのセキュリティプロセッサによる実行が、単数または複数の単調カウンタのインクリメンテーションを生成でき、かつセキュリティプロセッサの外部で、外部メモリ内にこれらの後続登録管理者の各々によってのみセーブされ記憶される、コードの実行に関係するデータを含む暗号化され署名された第2のファイルを生成するステップ、
という後続ステップの実行を含むこと、を特徴とする。
セキュリティ上の理由から、データおよび命令セットは、ひとたびセキュリティプロセッサのランダムアクセスメモリ内にロードされた時点で、先行するデータおよび命令セットにより全ての後続登録管理者の認証をセキュリティプロセッサが検証した後にのみ実行可能であること、を想定することができる。
ここで、図面について簡単に説明する。
本発明に係る基本的なセキュリティプロセッサを構成する異なるコンポーネントを概略的に表現する。この図は、セキュリティプロセッサが、読取り専用メモリ、ランダムアクセスメモリ、計算機、単調カウンタに結び付けられた単調カウンタ管理ユニットしか含まず、他のいかなる記憶用メモリも含まず、したがっていかなるプログラムも外部データも記憶しないことを例示している。 図1のもののようなセキュリティプロセッサ、セキュリティプロセッサの外部のメモリ、および例えば電子通信ネットワークを介してこのセキュリティプロセッサとこの外部メモリとを接続する能力を有する接続手段、を含む本発明に係る基本的なセキュアデータ処理アセンブリを構成する異なるコンポーネントを概略的に表現する。 本発明に係るセキュアデータ処理インフラストラクチャを構成するコンポーネントを概略的に表現する。図3の場合、インフラストラクチャは、図1および2のもののような2つのセキュリティプロセッサおよび、互いに同期化された図2のもののような3つの外部メモリを含み、各々のセキュリティプロセッサは3つの外部メモリのうちの1つを無差別に使用できる。 本発明に係るセキュアデータ処理インフラストラクチャを構成するコンポーネントを概略的に表現する。図4の場合、インフラストラクチャは、図1および2のもののような2つのセキュリティプロセッサおよび、図2のもののような2つの外部メモリペアを含み、各々のセキュリティプロセッサは、互いに同期化された外部メモリペアに結び付けられる。 本発明に係るセキュアデータ処理アセンブリの実行ステップの全体図を提示する。 2名の後続登録管理者の異なる登録ステップを提示する。
本発明に係るセキュリティプロセッサPS(図1)は、読取り専用メモリROM、ランダムアクセスメモリRAM、暗号機能を果たす能力を有する計算機UE、少なくとも1つの単調カウンタCMに結び付けられた単調カウンタ管理ユニットUGを含む。
少なくとも1名の初期登録管理者AIを認証できるようにする公開鍵CPが、その最初の使用の前に読取り専用メモリROM内に記憶される。ランダムアクセスメモリRAMは、セキュリティプロセッサPSが含む公開鍵暗号モジュールMCにより認証され得る(コンテクストなどの)データおよび命令のセットをロードする能力を有する。
該命令が認証された後の、計算機UEによるいくつかの命令の実行は、1つの単調カウンタCMをインクリメントすることができる。
一実施形態において、セキュリティプロセッサPSは、バーチャルマシンとしてエミュレートされている。
セキュリティプロセッサPSの1つの特徴によると、セキュリティプロセッサPSは、セキュリティプロセッサPSがいかなるプログラム、コンテクスト(命令、コード、データ)または外部データも永久的に記憶しないように、永久的な他のいかなる記憶用メモリも含まない。
したがって、セキュリティプロセッサPSは、読取り専用メモリROM、ランダムアクセスメモリRAM、計算機UE、管理ユニットUG、少なくとも1つの単調カウンタCMおよび暗号モジュールMCで構成されている。
ただし、セキュアデータ処理のためには少なくとも1つのこのような記憶用メモリMEが想定されるものの、この記憶用メモリはセキュリティプロセッサPSの外部にあり、その一部を成さず、物理的にそれに統合されているものではない。
こうして、このようなセキュリティプロセッサPSおよび少なくとも1つのこのような記憶用メモリMEならびに適切な通信手段を用いて、セキュアデータ処理アセンブリETSまたはセキュアデータ処理インフラストラクチャITSが形成される(図2、3および4)。
セキュリティプロセッサPSは、このようなセキュアデータ処理アセンブリETS内またはこのようなセキュアデータ処理インフラストラクチャITS内で、セキュアな形で一連のオペレーションを自動的に実行することができる。これはすなわち、先に定義された意味合いにおいて、プログラムおよびそれに関連するコンテクスト、ならびに登録管理者の認証の無欠性の維持および制御が保証されることを意味する。
「セキュリティプロセッサの外部の」記憶用メモリというのは、セキュリティプロセッサPSが構成する物理的ユニットの中に含まれないメモリとして理解しなければならない。この理由から、このメモリは「外部メモリ」と命名され、MEとして言及される。
メモリMEがセキュリティプロセッサPSの外部にあるという特徴には、セキュリティプロセッサPSとの関係において記憶を外在化させる役割、または換言すると、データから実行システム(プロセッサPS)を分離し隔離する役割がある。
常設の外部固定メモリはセキュリティプロセッサPSそれ自体に対して効果または影響を及ぼさないことから、メモリMEがセキュリティプロセッサPSの外部にあるという特徴は、一方ではプロセッサPSのデータ処理能力を制限しないという結果を、そして他方ではプロセッサの処理の不変性、したがって無欠性を保証するという結果をもたらす。
本発明は同様に、上述の通り外部記憶用メモリMEとは異なるものの、上述のものと同じ役割を果たし類似の結果を提供する他の全ての手段をも目的とする。
セキュアデータ処理アセンブリETSは、先に定義された意味合いにおいて、上述の通りのセキュリティプロセッサPSと、さらには外部メモリMEを含む(図2)。アセンブリETSは同様に、例えば特に電子通信ネットワークを介して、外部メモリMEをセキュリティプロセッサPSに接続する能力を有する少なくとも1つの接続手段COをも含む。
セキュアデータ処理アセンブリETSは、唯一の外部メモリMEしか含まなくてよい。ただし、セキュリティ上の理由から、いかなる適用決定も唯一の人物によって実行することができないようにすることが所望される場合には、セキュアデータ処理アセンブリETSが、少なくとも2名の後続登録管理者AUのための少なくとも2つの外部メモリMEを含むことが想定される。
以下の説明は、2つの外部メモリMEをもつ実施形態に関連するものである。ただし、外部メモリMEの数についてのこの特徴は限定的なものではない。詳細には、3つ以上の外部メモリMEを想定することが可能である。この理由から、複数の、つまり少なくとも2つの外部メモリME(外部メモリMEの数はさらに大きいものであり得る)および複数の、つまり少なくとも2名の後続登録管理者AU(後続登録管理者AUの数はさらに大きいものであり得る)を基準にすることもできる。
接続手段COは、セキュリティプロセッサPSから外部メモリMEへの方向では暗号化された記憶を、そして外部メモリMEからセキュリティプロセッサPSへの方向では暗号化された回収を可能にし得る。
セキュアデータ処理アセンブリETSの単数または複数の外部メモリMEのコンテンツは、セキュリティプロセッサPSに対して認証される。
外部メモリMEは、セキュリティプロセッサPSのランダムアクセスメモリRAM内にロードされることを目的とする少なくとも1つのプログラムおよび少なくとも1つのコンテクスト(命令、コード、データ)を記憶し、かつ以上で説明されたようにランダムアクセスメモリRAM内に一時的にロードされたこのようなプログラムおよびこのようなコンテクストのセキュリティプロセッサPSによる実行の結果としての認証された全てのデータセットを受信し記憶できる能力を有し、かつ特にそれを目的とするために構成されている。
コンテクスト(その下でプログラムを使用できるパラメータおよび条件セット)は、コンテクストと単調カウンタCMの最終状態との同期化をセキュリティプロセッサPSが確認できるようにする能力を有する基準値を含み得る。
セキュアデータ処理インフラストラクチャITSは、上述の通りの少なくとも2つのセキュリティプロセッサPS、例えばPS1およびPS2、そしてさらには上述の通りの少なくとも1つの外部メモリMEを含む(図3および4)。
しかしながら、セキュアデータ処理アセンブリETSの場合と同様に、セキュアデータ処理インフラストラクチャITSが、複数の、すなわち少なくとも2つ(またはより多数)の外部メモリMEを含むことを想定することができる。
インフラストラクチャITSは同様に、アセンブリETSのように、外部メモリMEをセキュリティプロセッサPSに接続する能力を有する少なくとも1つの接続手段COを含む。
このようなセキュアデータ処理インフラストラクチャITSの構造は、多数の実施形態の対象となり得、これらの実施形態の各々は、各セキュリティプロセッサPSが少なくとも1つの外部メモリMEに接続されているようなものである。したがって、場合によって、1つのセキュリティプロセッサPSが、唯一の外部メモリMEまたは反対に複数の外部メモリMEに接続され、1つの外部メモリMEが、唯一のセキュリティプロセッサPSまたは反対に複数のセキュリティプロセッサPSに接続される。
したがって、場合によっては、単数または複数のセキュリティプロセッサPSおよび/または単数または複数の外部メモリMEを有する互いに組合わされた複数のセキュアデータ処理アセンブリETSの構造化として、セキュアデータ処理インフラストラクチャITSを考えることができる。
考えられる一実施形態(図3)において、セキュアデータ処理インフラストラクチャITSは、複数のセキュリティプロセッサPS1、PS2、および互いに同期化された複数の外部メモリME1、ME2、ME3を含み、こうして各セキュリティプロセッサPS1、PS2は外部メモリME1、ME2、ME3のいずれかを無差別で使用することができるようになっている。
このような構造には、高い耐障害性を有するという利点がある。
考えられる別の実施形態(図4)において、セキュアデータ処理インフラストラクチャITSは、複数のセキュリティプロセッサPS1、PS2、および、外部メモリMEの複数のペア、例えば一方ではME1aおよびME2aそして他方ではME2aおよびME2b、あるいは複数のトリオ、カルテットまたはそれ以上の組を含み、こうしてセキュリティプロセッサPS1、PS2の各々が、互いに同期化された外部メモリMEの1つのペア、トリオ、カルテット....に対して結び付けられるようになっている。
このような構造には、分割によりデータ群を作成することによってシステムの性能を改善するという利点がある。
ここで、連続的ステップの実行を含む、上述のセキュアデータ処理アセンブリETSの使用方法について説明する。
本発明に係る方法の枠内では、これらの方法を使用する単数または複数の登録管理者AI、AUを基準とすることになる。これらの管理者は、初期登録管理者AIおよび他の全ての後続登録管理者AUである。
先に説明された通り、セキュリティ上の理由から、いかなる適用決定も唯一の人物によって実行され得ないことが望まれる場合、少なくとも2名の後続登録管理者AUが想定される。
方法についての以下の説明は、それぞれAU1およびAU2という2名の後続登録管理者AUを有する実施形態に関連するものである。しかしながら、後続登録管理者AUの数に関するこの特徴は限定的ではない。詳細には、3名以上の後続登録管理者を想定することができる。
ここで図5を参照して、2名の後続登録管理者AU1およびAU2の場合におけるセキュアデータ処理アセンブリETSの実行について一般的に説明する。
ステップAにおいて、セキュリティプロセッサPSに接続された外部メモリMEに各々アクセス可能な2名の後続登録管理者AU1またはAU2は、前記セキュリティプロセッサPSを活動化させる。したがってこのステップAは、以下のオペレーションを含む。
− A1:登録管理者AU1のコンテクストの回収、
− A2:登録管理者AU2のコンテクストの回収、
− A3:登録管理者AU1によるセキュリティプロセッサPSの活動化、
− A4:登録管理者AU2によるセキュリティプロセッサPSの活動化。
ステップBにおいて、セキュリティプロセッサPSは、ひとたび活動化された時点で、1つのメモリ内の1つの公開鍵CPを回収して、公開鍵アルゴリズムを使用する暗号モジュールMCによってそれらを認証できるようにする。
ステップCにおいて、セキュリティプロセッサPSが登録管理者AU1およびAU2を認証した場合、このセキュリティプロセッサPSは、これらの登録管理者AU1およびAU2により認証されたデータおよび命令セットをロードし(登録管理者AU1およびAU2についてのオペレーションC1およびC2)、それを実行する(オペレーションC3)。
ステップDにおいて、セキュリティプロセッサPSによるこの実行(オペレーションC3)は、認証され得るものをいくつか含むデータセットを生成する。このデータセットは、ひとたびセキュリティプロセッサPSにより生成されると、登録管理者AU1、AU2によって使用された単数または複数の外部メモリME内に記憶される。したがって、このステップDは、以下のオペレーションを含む。
− D1:登録管理者AU1に関係するデータの回収、
− D2:登録管理者AU2に関係するデータの回収、
− D3:登録管理者AU1に関係するデータの、外部メモリME内への記憶、
− D4:登録管理者AU2に関係するデータの、外部メモリME内への記憶。
該方法は同様に、初期登録管理者AIがセキュアデータ処理アセンブリETSを有し、少なくとも1人の後続登録管理者を登録する、以下の初期登録ステップも含んでいる。先に説明した通り、セキュリティ上の理由から、いかなる適用決定も唯一の人物によって実行され得ないことが望まれる場合には、初期登録管理者AIは、2名の後続登録管理者としてそれぞれAU1およびAU2という2人のまたは少なくとも2名の後続登録管理者AUを登録する。登録方法は、2名の後続登録管理者AU1およびAU2を有する実施形態に関して説明されている。しかしながら、指摘された通り、後続登録管理者の数についてのこの特徴は限定的なものではない。同様に、より一般的には、初期登録管理者AIは、少なくとも2名の複数の後続登録管理者(AU)を登録することができる。
それぞれAU1およびAU2というこれら2名の後続登録管理者AUの登録は、後続する実行のために使用される最初の認証コンテクストの定義に参与する最初のセットを構成する。
初期登録管理者AIは、先に登録されているいずれかの後続登録管理者AUを後続して変更することができる。初期登録管理者AIは、単数または複数の後続登録管理者AUを追加することができる。初期登録管理者AIは、単数または複数の後続登録管理者AUを削除することができる。初期登録管理者AIは、単数または複数の後続登録管理者AUの権利を修正することができる。先に登録されているいずれかの後続登録管理者AUが後続して変更される場合、初期登録管理者AIは、対応する適応方法を使用する。このとき、更新されたコンテクストおよび、単数または複数のインクリメントされた単調カウンタが回収される。
ここで、図6を参照して、2名の後続登録管理者AU1およびAU2の異なる登録ステップを説明する。これらの登録ステップは、AU1およびAU2と呼ばれる最初の2名の登録管理者の場合、図5について説明され図示された実行ステップに先行する初期ステップである。最初の登録管理者AU1およびAU2のうちのいずれかの後続の変更の場合、または先に登録されたいずれかの後続管理者AUの変更の場合、先行するコンテクストの枠内で他の管理者について、セキュアデータ処理アセンブリETSは先に命令を実行できたのに対し、登録ステップは管理者の変更の際に介入する。
ステップA’において、読取り専用メモリROM内に記憶された公開鍵CPによって認証され確認された最初のデータおよび命令セットが、セキュリティプロセッサPSのランダムアクセスメモリRAM内にロードされて、他のデータおよび命令セットをロードしセキュリティプロセッサPSによりそれらを実行させる2名の後続登録管理者AU1およびAU2の資格付与プログラムをそれが実行できるようにする。
したがって、このステップA’は、以下のオペレーションを含む。
− A’1:外部メモリMEからの初期管理人AIによる資格付与プログラムの回収、
− A’2:後続管理者AU1の認証要素の回収、
− A’3:類似の要領での、後続管理者AU2の認証要素の回収、
− A’4:セキュリティプロセッサPSに対する資格付与プログラムおよび認証要素の伝送。
ステップB’において、最初のデータおよび命令セットのセキュリティプロセッサPSによる実行は、後続登録管理者AU1およびAU2の認証要素を含む暗号化され署名されたファイルを生成し、このファイルは、前記後続登録管理者AU1、AU2の各々によってセキュリティプロセッサPSの外部のメモリME上にセーブされ記憶される。
したがって、このステップB’は、以下のオペレーションを含む。
− B’1:以下で問題にされるステップCと同時の、最初のデータおよび命令セットのセキュリティプロセッサPSによる実行、
− B’2:後続管理者AU1に関係する暗号化され署名されたデータの伝送、
− B’3:これらのデータの後続管理者AU1による外部メモリME内への記憶、
− B’4:類似の要領での、後続管理者AU2に関係する暗号化され署名されたデータの伝送、
− B’5:および、類似の要領での、これらのデータの後続管理者AU2による外部メモリME内への記憶。
ステップC’において、最初のデータおよび命令セットのセキュリティプロセッサPSによる実行(オペレーションB’1)は、同時に単調カウンタCMのインクリメンテーションをひき起こす。
後続登録管理者AUの異なるグループに、異なるデータおよび命令セットをロードし自ら実行させる資格を付与することを可能にするような形で、先に説明した3つのステップA’、B’およびC’を複数回反復することができ、これは全て、セキュリティプロセッサPSにより実行させ全ての電子デバイスまたは外部ネットワークに対し一連のオペレーションを伝送することを目的としている。
2人の後続管理者AU1およびAU2がひとたび登録されると、これらの管理者は、図5を参照して先に説明したように、後続ステップの実行に着手することができる。
先行する登録ステップの際に登録された後続登録管理者AU1およびAU2は、セキュリティプロセッサPSのランダムアクセスメモリRAM内にデータおよび命令セットをロードすることができる前に、電子署名などの信頼性の高いアクセス制御方法によって、現状のままの実行コンテクストに照らして、セキュリティプロセッサPSに対し自己認証する。
このデータおよび命令セットは、ひとたびセキュリティプロセッサPSのランダムアクセスメモリRAM内にロードされると、先行するデータおよび命令セットによる2名の後続登録管理者AU1およびAU2の認証をセキュリティプロセッサPSが検証した後でないと実行できない。このステップは義務的なものではなく、任意のものであるにすぎない。このステップは、ダブルセキュリティを保証することを目的とする。セキュリティを倍増したい場合には、このステップが実施される。
セキュリティプロセッサPSによるデータおよび命令セットの実行は、セキュリティプロセッサPSの外部で、外部メモリME内にコードの実行に関係するデータを含み、これらの後続登録管理者AU1およびAU2の各々によってのみセーブされ記憶され、かつ単数または複数の単調カウンタCMのインクリメンテーションを生成し得る第2の暗号化され署名されたファイルを生成する。
PS セキュリティプロセッサ
ROM 読取り専用メモリ
RAM ランダムアクセスメモリ
UE 計算機
CM 単調カウンタ
CP 公開鍵
UG 単調カウンタ管理ユニット
MC 公開鍵暗号モジュール
ME 記憶用メモリ・外部メモリ・外部記憶用メモリ
ETS セキュアデータ処理アセンブリ
ITS セキュアデータ処理インフラストラクチャ
CO 接続手段
AI 初期登録管理者
AU 後続登録管理者
A ステップ
B ステップ
C ステップ
D ステップ

Claims (18)

  1. − 読取り専用メモリ(ROM)と、
    − ランダムアクセスメモリ(RAM)と、
    − 暗号機能を果たす能力を有する計算機(UE)と、
    − 少なくとも1つの単調カウンタ(CM)に結び付けられた単調カウンタ管理ユニット(UG)と、
    を少なくとも含むセキュリティプロセッサ(PS)において、
    − セキュリティプロセッサ(PS)が他のいかなる記憶用メモリも含まず、そのためセキュリティプロセッサ(PS)はいかなるプログラム、コンテクスト(命令、コード、データ)または外部データも記憶しないようになっており、
    − 少なくとも1名の初期登録管理者(AI)を認証できるようにする公開鍵(CP)が、その最初の使用の前に読取り専用メモリ(ROM)内に記憶され、
    − ランダムアクセスメモリ(RAM)が、公開鍵暗号モジュール(MC)により認証され得るコンテクストなどのデータおよび命令のセットをロードする能力を有し、
    − 命令が初期登録管理者(AI)により認証された後の、計算機(UE)によるいくつかの命令の実行が、単調カウンタ(CM)の1つをインクリメントし、
    こうしてこのようなセキュリティプロセッサを含むセキュアデータ処理アセンブリの枠内で、セキュアな形で一連のオペレーションを自動的に実行できるようになっていること、を特徴とするセキュリティプロセッサ。
  2. バーチャルマシンとしてエミュレートされていることを特徴とする、請求項1に記載のセキュリティプロセッサ(PS)。
  3. 請求項1または2に記載のセキュリティプロセッサ(PS)を含むセキュアデータ処理アセンブリ(ETS)において、このセキュリティプロセッサ(PS)の外部の少なくとも1つのメモリ(ME)および、特に電子通信ネットワークを介するような、この少なくとも1つの外部メモリ(ME)をセキュリティプロセッサ(PS)に接続する能力を有する少なくとも1つの接続手段(CO)をさらに含むことを特徴とする、セキュアデータ処理アセンブリ。
  4. セキュリティプロセッサ(PS)に接続された複数の、つまり少なくとも2つの外部メモリ(ME)を含むことを特徴とする、請求項3に記載のセキュアデータ処理アセンブリ(ETS)。
  5. 含まれている少なくとも1つの外部メモリ(ME)がセキュリティプロセッサ(PS)に対して認証されることを特徴とする、請求項3または4に記載のセキュアデータ処理アセンブリ(ETS)。
  6. 外部メモリ(ME)が、
    − セキュリティプロセッサ(PS)のランダムアクセスメモリ(RAM)内にロードされることを目的とする少なくとも1つのプログラムおよび少なくとも1つのコンテクスト(命令、コード、データ)を記憶し、
    − かつセキュリティプロセッサ(PS)のランダムアクセスメモリ(RAM)内に一時的にロードされた少なくとも1つのプログラムおよび少なくとも1つのコンテクストのセキュリティプロセッサ(PS)による実行の結果としての認証された全てのファイルを受信し記憶できる、
    能力を有しかつ特にそれを目的とするために構成されていること、
    および少なくとも1つのコンテクストが、単調カウンタ(CM)の最終状態との少なくとも1つのコンテクストの同期化をセキュリティプロセッサ(PS)が確認できるようにする能力を有する基準値を含み得ることを特徴とする、請求項4または5に記載のセキュアデータ処理アセンブリ(ETS)。
  7. セキュアデータ処理インフラストラクチャ(ITS)において、請求項1または2に記載の複数の、つまり少なくとも2つのセキュリティプロセッサ(PS)、および少なくとも1つの外部メモリ(ME)を含むこと、および複数のセキュリティプロセッサ(PS)の各セキュリティプロセッサ(PS)が少なくとも1つの外部メモリ(ME)に接続されていることを特徴とする、セキュアデータ処理インフラストラクチャ(ITS)。
  8. 複数の、つまり少なくとも2つの外部メモリ(ME)を含み、複数のセキュリティプロセッサ(PS)の各々のセキュリティプロセッサ(PS)が、複数の外部メモリ(ME)のうちの少なくとも1つの外部メモリ(ME)に接続されていることを特徴とする、請求項7に記載のセキュアデータ処理インフラストラクチャ(ITS)。
  9. 互いに同期化された複数の、つまり少なくとも2つの外部メモリ(ME)を含み、複数のセキュリティプロセッサ(PS)のうちの各セキュリティプロセッサ(PS)が、複数の外部メモリ(ME)のうちのどちらかの外部メモリ(ME)を無差別に使用することができる、請求項7または8に記載のセキュアデータ処理インフラストラクチャITS。
  10. 外部メモリ(ME)のいくつかのペア、トリオ、カルテットまたはそれ以上の組を含み、セキュリティプロセッサ(PS)の各々が、互いに同期化された外部メモリ(ME)のペア、トリオ、カルテットまたはそれ以上の組に結び付けられている、請求項7または8に記載のセキュアデータ処理インフラストラクチャITS。
  11. 請求項3から6のいずれか一つに記載のセキュアデータ処理アセンブリ(ETS)による一連のオペレーションのセキュアな実行方法において、
    − A:セキュリティプロセッサ(PS)に接続された外部メモリ(ME)にアクセス可能な管理者が、セキュリティプロセッサ(PS)を活動化させるステップ、
    − B:セキュリティプロセッサ(PS)が、ひとたび活動化された時点で、外部メモリ(ME)内の公開鍵(CP)を回収して、公開鍵暗号モジュール(MC)によりこの公開鍵(CP)を認証できるようになるステップ、
    − C:セキュリティプロセッサ(PS)が、それを活動化した管理者を後続登録管理者(AU)として認証する場合、このセキュリティプロセッサが、この後続登録管理者(AU)によって認証されたデータおよび命令セットをロードし、それを実行するステップ、
    − D:セキュリティプロセッサ(PS)によるこの実行が、認証され得るデータをいくつか含むデータセットを生成し、前記データセットが、セキュリティプロセッサ(PS)によってひとたび生成された時点で、後続登録管理者(AU)によって使用される外部メモリ(ME)内に記憶されるステップ、
    の実行を少なくとも含むことを特徴とする方法。
  12. 2名の後続登録管理者(AU)、より一般的には複数の少なくとも2名の後続登録管理者(AU)が、各々1つの外部メモリ(ME)にアクセス可能である、請求項11に記載の一連のオペレーションのセキュアな実行方法。
  13. 初期登録管理者(AI)が請求項3から6のいずれか一つに記載のセキュアデータ処理アセンブリ(ETS)を有し、かつ後続登録管理者(AU)を登録する初期ステップの実行を同様に含むことを特徴とする、請求項11または請求項12に記載の一連のオペレーションのセキュアな実行方法。
  14. − A’:読取り専用メモリ(ROM)内に記憶された公開鍵(CP)によって認証され確認された最初のデータおよび命令セットが、セキュリティプロセッサ(PS)のランダムアクセスメモリ内にロードされて、別のデータおよび命令セットをロードしこのセットをセキュリティプロセッサ(PS)により実行させる後続登録管理者(AU)の資格付与プログラムを実行することを可能にするステップ、
    − B’:最初のデータおよび命令セットのセキュリティプロセッサ(PS)による実行が、後続登録管理者(AU)によってセキュリティプロセッサ(PS)の外部のメモリ(ME)上にセーブされ記憶される、暗号化され署名された後続登録管理者(AU)の認証要素を含むファイルを生成するステップ、
    − C’:最初のデータおよび命令セットのセキュリティプロセッサ(PS)による実行が、同時に、単調カウンタ(CM)のインクリメンテーションをひき起こすステップ、
    という登録ステップの実行を含むことを特徴とする、請求項13に記載の一連のオペレーションのセキュアな実行方法。
  15. 初期登録管理者(AI)が少なくとも2名の後続登録管理者(AU)、より一般的には複数の少なくとも2名の後続登録管理者(AU)を登録する初期ステップの実行を特徴とする、請求項13または14に記載の一連のオペレーションのセキュアな実行方法。
  16. 全ては、一連のオペレーションをセキュリティプロセッサ(PS)により実行させ、あらゆる電子デバイスまたは外部ネットワークに伝送できることを目的として、後続登録管理者(AU)の異なるグループを登録できるようにし、異なるデータおよび命令セットをロードし自ら実行させるような形で、3つのステップA’、B’およびC’を複数回反復することができることを特徴とする、請求項14または15に記載の一連のオペレーションのセキュアな実行方法。
  17. − 先行する登録ステップの際に登録された後続登録管理者(AU)が、データおよび命令セットをセキュリティプロセッサ(PS)のランダムアクセスメモリ(RAM)内にロードできるようになる前に、電子署名などの信頼性の高いアクセス制御方法により、現状のままの実行コンテクストに照らしてセキュリティプロセッサ(PS)に対して自己認証するステップ、
    − データおよび命令セットのセキュリティプロセッサ(PS)による実行が、単数または複数の単調カウンタ(CM)のインクリメンテーションを生成でき、かつセキュリティプロセッサ(PS)の外部で、外部メモリ(ME)内にこれらの後続登録管理者(AU)の各々によってのみセーブされ記憶される、コードの実行に関係するデータを含む暗号化され署名された新たなファイルを生成するステップ、
    という後続ステップの実行を含むことを特徴とする、請求項11から16のいずれか一つに記載の一連のオペレーションのセキュアな実行方法。
  18. データおよび命令セットは、ひとたびセキュリティプロセッサ(PS)のランダムアクセスメモリ(RAM)内にロードされた時点で、先行するデータおよび命令セットにより全ての後続登録管理者(AU)の認証をセキュリティプロセッサ(PS)が検証した後にのみ実行可能であることを特徴とする、請求項17に記載の一連のオペレーションのセキュアな実行方法。

JP2020548761A 2018-03-14 2019-03-13 セキュアデータ処理 Active JP7374112B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR1870286 2018-03-14
FR1870286A FR3079044B1 (fr) 2018-03-14 2018-03-14 Traitement securise de donnees
PCT/FR2019/000033 WO2019175482A1 (fr) 2018-03-14 2019-03-13 Traitement sécurisé de données

Publications (2)

Publication Number Publication Date
JP2021517688A true JP2021517688A (ja) 2021-07-26
JP7374112B2 JP7374112B2 (ja) 2023-11-06

Family

ID=63145118

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020548761A Active JP7374112B2 (ja) 2018-03-14 2019-03-13 セキュアデータ処理

Country Status (10)

Country Link
US (1) US11822795B2 (ja)
EP (1) EP3765984A1 (ja)
JP (1) JP7374112B2 (ja)
KR (1) KR102625023B1 (ja)
CN (1) CN112470153A (ja)
AU (1) AU2019233753B2 (ja)
CA (1) CA3093385A1 (ja)
FR (1) FR3079044B1 (ja)
SG (1) SG11202008989UA (ja)
WO (1) WO2019175482A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019108049A1 (de) * 2019-03-28 2020-10-01 Pilz Gmbh & Co. Kg Zugriffssteuerungssystem zur Steuerung eines Zugriffs eines Nutzers auf eine oder mehrere Betriebsfunktionen einer technischen Anlage

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040187006A1 (en) * 2003-03-21 2004-09-23 International Business Machines Corporation Method for guaranteeing freshness of results for queries against a non-secure data store
JP2008165758A (ja) * 2006-12-07 2008-07-17 Matsushita Electric Ind Co Ltd 記録デバイス、集積回路、アクセス制御方法、プログラム記録媒体
JP2013531284A (ja) * 2010-04-19 2013-08-01 アップル インコーポレイテッド 非ローカル記憶装置からのサブシステムのセキュアなブート及び構成
US20140137178A1 (en) * 2012-11-09 2014-05-15 Microsoft Corporation Attack protection for trusted platform modules
JP2017028654A (ja) * 2015-07-28 2017-02-02 ルネサスエレクトロニクス株式会社 通信端末およびプログラム

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8332653B2 (en) * 2004-10-22 2012-12-11 Broadcom Corporation Secure processing environment
FR2906380B1 (fr) 2006-09-27 2008-12-19 Trusted Logic Sa Systeme et procede de securisation de donnees.
JP5052878B2 (ja) * 2006-12-12 2012-10-17 株式会社バッファロー 記憶装置及び利用者認証方法
CN102270285B (zh) * 2010-06-01 2013-12-04 华为技术有限公司 密钥授权信息管理方法及装置
US9202059B2 (en) * 2011-03-01 2015-12-01 Apurva M. Bhansali Methods, systems, and apparatuses for managing a hard drive security system
US9323950B2 (en) * 2012-07-19 2016-04-26 Atmel Corporation Generating signatures using a secure device
WO2019057308A1 (en) * 2017-09-25 2019-03-28 Telefonaktiebolaget Lm Ericsson (Publ) SUPPLY OF SUPPORTERS FOR SELLERS

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040187006A1 (en) * 2003-03-21 2004-09-23 International Business Machines Corporation Method for guaranteeing freshness of results for queries against a non-secure data store
JP2008165758A (ja) * 2006-12-07 2008-07-17 Matsushita Electric Ind Co Ltd 記録デバイス、集積回路、アクセス制御方法、プログラム記録媒体
JP2013531284A (ja) * 2010-04-19 2013-08-01 アップル インコーポレイテッド 非ローカル記憶装置からのサブシステムのセキュアなブート及び構成
US20140137178A1 (en) * 2012-11-09 2014-05-15 Microsoft Corporation Attack protection for trusted platform modules
JP2017028654A (ja) * 2015-07-28 2017-02-02 ルネサスエレクトロニクス株式会社 通信端末およびプログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
NILSSON, ANDREAS: "Key Management with Trusted Platform Modules", MASTER'S THESIS IN COMPUTER SCIENCE (20 CREDITS) AT THE SCHOOL OF ENGINEERING PHYSICS ROYAL INSTITUT, JPN7023000852, 31 December 2006 (2006-12-31), SE, ISSN: 0005006534 *

Also Published As

Publication number Publication date
AU2019233753A1 (en) 2020-10-15
KR102625023B1 (ko) 2024-01-15
CN112470153A (zh) 2021-03-09
FR3079044B1 (fr) 2020-05-22
KR20210015757A (ko) 2021-02-10
US11822795B2 (en) 2023-11-21
EP3765984A1 (fr) 2021-01-20
WO2019175482A1 (fr) 2019-09-19
US20210042043A1 (en) 2021-02-11
JP7374112B2 (ja) 2023-11-06
CA3093385A1 (fr) 2019-09-19
AU2019233753B2 (en) 2024-03-28
SG11202008989UA (en) 2020-10-29
FR3079044A1 (fr) 2019-09-20

Similar Documents

Publication Publication Date Title
US8997198B1 (en) Techniques for securing a centralized metadata distributed filesystem
US9450966B2 (en) Method and apparatus for lifecycle integrity verification of virtual machines
CN107077546B (zh) 用于更新持有因素凭据的***和方法
US10205747B2 (en) Protection for computing systems from revoked system updates
WO2018229640A1 (en) Securing operating system configuration using hardware
JP6073320B2 (ja) デジタル署名するオーソリティ依存のプラットフォームシークレット
US20170324736A1 (en) Securing biometric data through template distribution
US9990505B2 (en) Temporally isolating data accessed by a computing device
CN102739774B (zh) 一种云计算环境下的取证方法及***
CN101827101A (zh) 基于可信隔离运行环境的信息资产保护方法
CN110908786A (zh) 一种智能合约调用方法、装置及介质
CN111034151B (zh) 用于管理对区块链***中的账户的访问的方法和设备
CN107292176A (zh) 用于访问计算设备的可信平台模块的方法和***
US9740870B1 (en) Access control
CN113039542A (zh) 云计算网络中的安全计数
WO2019178440A1 (en) System and method for securing private keys behind a biometric authentication gateway
US10158623B2 (en) Data theft deterrence
WO2009018366A1 (en) Method and apparatus for lifecycle integrity verification of virtual machines
JP7374112B2 (ja) セキュアデータ処理
EP4121881A1 (en) Systems and methods for protecting a folder from unauthorized file modification
US11841961B2 (en) Management of computing secrets
CN113890751A (zh) 控制联盟链权限投票的方法、设备和可读存储介质
CN111369246A (zh) 智能合约的调用鉴权方法、装置、电子设备及存储介质
US20220245238A1 (en) Trusted Execution Environment to Provide Attestation of Code Execution Result
Roy et al. Data modelling of a multifaceted electronic card-based secure E-Governance system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220228

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230307

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20230525

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20230720

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230905

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231003

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231024

R150 Certificate of patent or registration of utility model

Ref document number: 7374112

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150