JP7307883B2 - 基板セット及びセキュアエレメント - Google Patents
基板セット及びセキュアエレメント Download PDFInfo
- Publication number
- JP7307883B2 JP7307883B2 JP2019153864A JP2019153864A JP7307883B2 JP 7307883 B2 JP7307883 B2 JP 7307883B2 JP 2019153864 A JP2019153864 A JP 2019153864A JP 2019153864 A JP2019153864 A JP 2019153864A JP 7307883 B2 JP7307883 B2 JP 7307883B2
- Authority
- JP
- Japan
- Prior art keywords
- secure element
- mutual authentication
- main
- board
- electronic circuit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
本開示は、主基板と追加基板からなる基板セットに関し、より詳しくは、相互認証を行うセキュアエレメントを含む基板セットに関連する。本開示は、そのようなセキュアエレメントにも関連する。
耐タンパ性を持つセキュアエレメントを電子情報機器に組み込み、セキュアエレメント内に暗号鍵及び電子証明書等を安全に保存し、暗号演算などを安全に実行することにより、情報を電子情報機器内で安全に利用する技術は広く普及している。従来、セキュアエレメントを搭載した単独の電子情報機器において、複数のエンティティが認証を行なう技術は存在していた(特許文献1)。当該技術においては、携帯電話端末本体上で動作するアプリケーションプログラムと、携帯電話端末に挿入するユーザ識別カード上で動作するアプリケーションプログラムとの間で相互認証を行い、ユーザ識別カード上に記録した重要情報へのアクセス権制御を実施する。そして、電子データはアクセスのための手続きが制限されたセキュアエレメントである識別カード内に格納されることにより、電子機器内で安全に電子データを保持することが可能となっている。
しかし、従来の技術では、セキュアエレメント自体やセキュアエレメントが実装されている部品が、それを組み込んだ電子情報機器ごと、あるいはその電子情報機器から取り外された状態で、悪意の第三者に物理的に盗難された場合、その第三者によって別の環境で悪用される恐れがある。このような理由により、セキュアエレメントやセキュアエレメントが実装されている部品が電子情報機器から取り外されたことを検知する機構を設けることは有用である。ここで、セキュアエレメントが起動処理中に、それ自身のプログラムコードが改ざんされていないかを予め保存されたチェックコードと毎回起動時に計算されるチェック値と比較し、改ざんを検知する技術はTPMなどの技術で実用化されている。ただし、そのような技術については、セキュアエレメント自身及びブートOS等のプログラムの改ざんの検知は実行できるが、その動作環境の変化までを検知することはできなかった。すなわち、セキュアエレメントと協働して動作する電子情報機器が正規の機器であることや、電子情報機器が使用するネットワークの接続アドレスが正常であるかというようなことは、検知することはできなかった。
一方、コンピュータなどの電子情報機器では、それの電子回路がプリント基板のような電子回路基板で構成されていることが通常であり、それはマザーボード、メインボードなどと呼ばれている。また、そのような電子情報機器には、それの拡張バスに接続することによって機能を拡張するための小型のプリント基板で構成される電子回路基板の部品が使用されることがあり、それは拡張カードなどと呼ばれている。そのようなマザーボードや拡張カードの中には、それを主基板とした場合に、それに積み重ねる追加基板を有する基板セットの形態のものがある。追加基板はドーターボードなどと呼ばれる構成であり、それが取り付けられるマザーボードや拡張カードのような主基板と物理的及び電気的に一体となって、その電子回路基板の機能を提供している。しかし、追加基板は通常は簡単に取り外せるため、基板セット全体の改ざんに対して脆弱であり、セキュリティ上の問題がある。
正規のペアを形成する追加基板を含む主基板からなる通常の基板セットにおいては、悪意の第三者が正規の追加基板を取り外し、所望の動作を行わせるような不正な追加基板と入れ替えることにより、基板セット全体が不正な機能を有するように改ざんされる可能性がある。これに対しては、セキュアエレメントを主基板に搭載することによってセキュリティを高めることの可能性が考えられる。しかし、主基板にセキュアエレメントを搭載したとしても、通常それは、追加基板などの変化を物理的に検出することはできないため、追加基板の入れ替えを防止することはできない。そのため、依然としてセキュリティ上の問題が存在する。従って、そのような問題に対するセキュリティを確保するために、追加基板と主基板とが正規のペアであることを確認する機構を設けることが有用である。そのような確認を有線の配線を通じて行なわせようとすると、追加基板と主基板との間の有線のインターフェイスをその目的のために新たに設計する必要があり、コストが増大したり、基板の配線を複雑化させたりする可能性がある。従って、そのような有線のインターフェイス使用時の問題が発生しないような手法が求められる。
本発明は上記の課題に鑑みてなされたものであり、以下のような特徴を有している。すなわち、本発明に係る基板セットは、非接触通信回路を含む主セキュアエレメントを含む主電子回路が形成された主基板と、非接触通信回路を含む副セキュアエレメントを含む副電子回路が形成され、主基板上に設置される追加基板と、を含む基板セットであって、主セキュアエレメント及び副セキュアエレメントは、所定の開始条件に応答して、非接触通信回路を介して相互認証を実行し、主電子回路のいずれかの要素に相互認証の結果を伝達する相互認証機構を有する、ことを特徴とする。
本発明は、主セキュアエレメント及び副セキュアエレメントの相互認証機構の少なくとも一方が主電子回路内又は副電子回路内のいずれかの要素との間で相互認証をさらに実行するように構成できる。本発明は、所定の開始条件がリセット信号の受信であるように構成できる。本発明は、所定の開始条件が、認証要求信号の受信であるように構成できる。本発明は、相互認証が、ピア・ツー・ピアモードで実行されるように構成できる。
本発明は、非接触通信回路を含むセキュアエレメントであって、所定の開始条件に応答して、非接触通信回路を介して他のセキュアエレメントと相互認証を実行し、相互認証の結果を出力する相互認証機構を含む、ことを特徴とするセキュアエレメントとしても成立する。
本発明は、非接触通信回路を含む主セキュアエレメントを含む主電子回路が形成された主基板と、非接触通信回路を含む副セキュアエレメントを含む副電子回路が形成され、主基板上に設置される追加基板と、を含む基板セットが、主セキュアエレメント及び副セキュアエレメントは、所定の開始条件に応答して、非接触通信回路を介して相互認証を実行するため、セキュアエレメント同士が正規のペアであることを、有線のインターフェイスを必要とすることなく、非接触通信で確認でき、基板セットの改ざんを防止できるという効果を有する。
(基板セット100の構成)
これから図面を参照し、本発明に係る基板セット100の構成を説明する。図1には基板セット100の概略平面図が示され、図2には基板セット100の概略斜視図が示されている。基板セット100は、大きく、主基板110と追加基板120とで構成される。主基板110は、追加基板120を電気的に接続するためのコネクタ(図示せず)を有している。コネクタは、例えば、追加基板120の配線の端部が配列されたカードエッジを受けるカードエッジコネクタや、他の任意の種類のコネクタなどとすることができる。コネクタがカードエッジコネクタの場合、追加基板120は主基板110にカードエッジコネクタの電気接点を通じて電気的に接続されると共に、カードエッジコネクタと追加基板120の端部との嵌合により、物理的にも接続される。また、主基板110は、追加基板120を物理的に固定するための物理的結合部(図示せず)を有していてもよい。物理的結合部は、例えば、追加基板120を主基板110に締結するためのスクリューを締結するためのスクリューホールを有する保持部材などとすることができる。この場合、追加基板120は、保持部材に保持された状態で、軸部が追加基板120の一部を貫通するスクリューによって、主基板110に物理的に固定される。
これから図面を参照し、本発明に係る基板セット100の構成を説明する。図1には基板セット100の概略平面図が示され、図2には基板セット100の概略斜視図が示されている。基板セット100は、大きく、主基板110と追加基板120とで構成される。主基板110は、追加基板120を電気的に接続するためのコネクタ(図示せず)を有している。コネクタは、例えば、追加基板120の配線の端部が配列されたカードエッジを受けるカードエッジコネクタや、他の任意の種類のコネクタなどとすることができる。コネクタがカードエッジコネクタの場合、追加基板120は主基板110にカードエッジコネクタの電気接点を通じて電気的に接続されると共に、カードエッジコネクタと追加基板120の端部との嵌合により、物理的にも接続される。また、主基板110は、追加基板120を物理的に固定するための物理的結合部(図示せず)を有していてもよい。物理的結合部は、例えば、追加基板120を主基板110に締結するためのスクリューを締結するためのスクリューホールを有する保持部材などとすることができる。この場合、追加基板120は、保持部材に保持された状態で、軸部が追加基板120の一部を貫通するスクリューによって、主基板110に物理的に固定される。
主基板110は、主基板の機能を実現するための電子回路である主電子回路111を含む。すなわち、主基板110は、それがマザーボードの場合は、それが搭載される電子情報機器の機能を提供し、それが拡張カードの場合は、拡張カードの機能を提供する。図1及び図2には、主電子回路111内の一部の回路素子の例を図示している。図1及び図2には、主電子回路111の回路パターンは図示していないが、その回路パターンは任意の形態の導体で形成することできる。図4に、電子回路の主要な構成要素の概略ブロック図を示す。主電子回路111は、典型的にはメインCPU112、主セキュアエレメント113、及び入出力インターフェイス114を含む。メインCPU112は、それと接続されたメモリ112MやRAM112Rなどの素子(図4に示す)と協働して、メモリ112M内のプログラムをRAM112Rをワークエリアとして実行することにより、所定の機能を実現する。メインCPU112に最初に電源が投入された場合は、メモリ112M内の起動シーケンスのプログラムが読み出されて実行される。メインCPU112は、メインCPU112のパッケージ内にメモリ112MやRAM112Rの全部あるいは一部を含んでいるSoC(System-on-a-chip)の形態や、メモリ112MやRAM112Rなどの素子がパッケージ外に実装される独立した形態であってもよい。
主セキュアエレメント113は、データを安全に格納できるメモリや、そのデータや外部との通信信号に暗号化や復号を実行するための暗号処理回路などを含む、セキュリティ機能を提供するICである。主セキュアエレメント113は、典型的には内部にCPUとプログラムを格納したメモリを含んでおり(図示せず)、CPUがそのプログラムを実行することにより、各種の機能を実行する。主セキュアエレメント113に最初に電源が投入された場合は、そのCPUはプログラムの実行を開始して起動処理を開始させるが、それによって、暗号処理のみならず、能動的機能を実行することも可能となっている。
主セキュアエレメント113は、典型的には、主基板110上の回路パターンの所定の位置に半田付けなどにより直接接続される。主セキュアエレメント113は、ICカードやプラグインSIMなどの形態とすることもでき、その場合は、リーダライターやプラグインSIMコネクタが主基板110に半田付けなどにより直接接続されており、主セキュアエレメント113は、それに挿入されることなどにより物理的及び電気的に接続される。主セキュアエレメント113は、アンテナや高周波回路からなる非接触通信回路を含んでおり、他の非接触通信回路を含むセキュアエレメントなどと通信をすることが可能である。主セキュアエレメント113は、ピア・ツー・ピアモードによる能動的な通信機能を備えており、主セキュアエレメント113は所定の開始条件に応答して、その近傍に実装された他の同様の構成のセキュアエレメントと非接触通信回路を介して相互認証を実行することが可能である。
相互認証は、相手方が正規のものであることを確認する内部認証と、相手方から自身が正規のものであることの確認を受ける外部認証の双方向の認証を行うことで、お互いが正規のものであることを確認するものである。この通信の相手方のセキュアエレメントの存在の確認と、相手方が正規なものであることの確認の結果により、相互認証の成否が判断される。すなわち、相手方のセキュアエレメントとの間で非接触通信が可能であれば、その相手方のセキュアエレメントは主セキュアエレメント113の近傍の位置に存在していることになり、まず、その存在が確認される。そして、相手方のセキュアエレメントとの間で共通の情報(ID情報、暗号化の鍵情報、など)を有しており、正規のものであることが確認されれば、相互認証が成功したこととなる。セキュアエレメント同士の非接触通信による相互認証に失敗した場合は、そのセキュアエレメントは、当所、物理実装された環境とは違う環境で起動されたと判定し、不正に対応した特定の動作をメインCPU112に実行させることができる。相互認証の方法としては、チャレンジレスポンス方式による認証や、共通鍵や公開鍵を使用した認証などを実行することができる。なお、近傍の他のセキュアエレメントと通信する際には、一方を「コマンド送信ノード」、他方を「コマンド受信ノード」とする一般的なマスタースレーブモードの通信でなく、ピア・ツー・ピアモードの通信を使用する。従来における典型的なICカードの通信は、ICC(ICカード)とIFD(検査システム)との間の通信である。この場合、ICC側はスレーブ側で動作することが通常であり、マスター側のIFD側からのリセット信号やコマンドによって受動的に動作するのみであり、相互認証を自らが開始することは難しい。しかし、本発明においては、ピア・ツー・ピアモードを使用してICC(ICカード)同士が能動的に動作することによって相互認証を実行する。
入出力インターフェイス114は、基板セット100が電子情報機器のマザーボードなどに接続される拡張カードの形態の場合に、基板セット100とそれが接続される電子情報機器とを接続するためのハードウェアインターフェイスであり、それによって、基板セット100と電子情報機器の間で情報を送受するための信号処理が実行される。これにより、基板セット100の機能が電子情報機器に提供される。入出力インターフェイス114は、基板セット100がその外部の電子情報機器と情報の伝達を行なうときに必要となる構成要素であり、基板セット100が電子情報機器のマザーボードの場合には必要ない。
追加基板120は、追加基板120の機能を実現するための電子回路である副電子回路121を含む。図1及び図2には、副電子回路121内の一部の回路素子の例を図示している。図1及び図2には、副電子回路121の回路パターンは図示していないが、その回路パターンは任意の形態の導体で形成することができる。副電子回路121は、副セキュアエレメント122を含む。副電子回路121は、CPU及びそれと接続されて協働するメモリやRAMなどの素子を含んでいてもよい。副セキュアエレメント122は、主セキュアエレメント113と同様に、データを安全に格納できるメモリや、そのデータや外部との通信信号に暗号化や復号を実行するための暗号処理回路などを含み、さらに非接触通信回路を含んだ、セキュリティ機能を提供するICである。
副セキュアエレメント122は、追加基板120が主基板110に接続されることにより、主セキュアエレメント113の近傍に位置することとなり、お互いにピア・ツー・ピアモードでの非接触通信が可能となる。図4には、追加基板120が主基板110から取り外された状態が示されている。このように、追加基板120が主基板110から取り外され、主セキュアエレメント113と副セキュアエレメント122との間の非接触通信が可能でない場合は、通信の相手方の存在が確認できないこととなり、非接触通信による相互認証は失敗する。また、正規の追加基板120に代えて、不正な追加基板が主基板110に取り付けられた場合も、非接触通信によって共通の情報を有することが確認できず、相互認証は失敗する。相互認証の失敗により、セキュアエレメントは不正が行なわれていると判断することが可能であり、その判断結果をメインCPU112に伝達することによって、メインCPU112が基板セット100の機能を提供するか否かを決定することが可能となる。主セキュアエレメント113と副セキュアエレメント122とは、基板セット100の製造時に正規のペアとして決定されたものが取り付けられており、それぞれ、自身のID情報と共に、正規のペアの相手方のID情報を記憶させられている。それぞれのセキュアエレメントは、このID情報を非接触通信を通じてお互いに確認することによって相互認証を実行する。このように、主セキュアエレメント113と副セキュアエレメント122は、非接触通信回路を介して相互認証を実行し、主電子回路111の要素であるメインCPU112に相互認証の結果を伝達する相互認証機構をそれぞれ有している。主セキュアエレメント113と副セキュアエレメント122とは、通信手順が確立しているピア・ツー・ピアモードでの非接触通信を行なうため、簡単にお互いが非接触通信を行なうように構成することができる。また、非接触通信のため、主セキュアエレメント113を搭載した主基板110と副セキュアエレメント122を搭載した追加基板120との間のインターフェイスを、新たに設計する必要がない。
(基板セット100の相互認証の動作)
次に、基板セット100の相互認証の動作について説明する。基板セット100は、まず、それが含む主セキュアエレメント113と副セキュアエレメント122との間で相互認証を実行し、基板セット100に搭載されている主セキュアエレメント113と副セキュアエレメント122とが、正規のペアであることを確認する。これにより、追加基板120が不正なものであるかどうかが確認される。また、主セキュアエレメント113と副セキュアエレメント122の相互認証の前あるいは後において、基板セット100のメインCPU112は、主セキュアエレメント113あるいは副セキュアエレメント122が、基板セット100に搭載されるべき正規のセキュアエレメントであることを認証により確認してもよい。これにより、主セキュアエレメント113あるいは副セキュアエレメント122が不正なものと入れ替えられているかどうかが確認される。
次に、基板セット100の相互認証の動作について説明する。基板セット100は、まず、それが含む主セキュアエレメント113と副セキュアエレメント122との間で相互認証を実行し、基板セット100に搭載されている主セキュアエレメント113と副セキュアエレメント122とが、正規のペアであることを確認する。これにより、追加基板120が不正なものであるかどうかが確認される。また、主セキュアエレメント113と副セキュアエレメント122の相互認証の前あるいは後において、基板セット100のメインCPU112は、主セキュアエレメント113あるいは副セキュアエレメント122が、基板セット100に搭載されるべき正規のセキュアエレメントであることを認証により確認してもよい。これにより、主セキュアエレメント113あるいは副セキュアエレメント122が不正なものと入れ替えられているかどうかが確認される。
(セキュアエレメント同士の相互認証のシーケンス)
図5に基板セット100で実行される相互認証のシーケンスを示す。図5には、メインCPU112、主セキュアエレメント113、副セキュアエレメント122という構成要素間の情報のやりとりのような相互作用が時系列で示されている。まず、主セキュアエレメント113と副セキュアエレメント122との間の相互認証が実行される。メインCPU112は、基板セット100が取り付けられている電子情報機器の電源がオンになることなどにより、基板セット100に新たに電源が供給された時などに、所定のプログラムを実行することにより起動シーケンスを開始する。この起動シーケンスにより、基板セット100において、セキュアエレメントの相互認証が実行される。
図5に基板セット100で実行される相互認証のシーケンスを示す。図5には、メインCPU112、主セキュアエレメント113、副セキュアエレメント122という構成要素間の情報のやりとりのような相互作用が時系列で示されている。まず、主セキュアエレメント113と副セキュアエレメント122との間の相互認証が実行される。メインCPU112は、基板セット100が取り付けられている電子情報機器の電源がオンになることなどにより、基板セット100に新たに電源が供給された時などに、所定のプログラムを実行することにより起動シーケンスを開始する。この起動シーケンスにより、基板セット100において、セキュアエレメントの相互認証が実行される。
メインCPU112は、主セキュアエレメント113にリセット信号を送信し(ステップS101)、また、副セキュアエレメント122にリセット信号を送信する(ステップS102)。リセット信号は、基板上の回路を通じた有線の経路で送信される。主セキュアエレメント113と副セキュアエレメント122は、それの内部に記憶されたプログラムを実行することにより起動処理が開始され、それによって相互認証の開始条件が満たされるまで待機している。ここで、相互認証の開始条件は、メインCPU112からのリセット信号の受信であるが、他には、定期的あるいは一時的な認証要求信号を受信することなどを開始条件とすることもできる。メインCPU112からリセット信号を受信した主セキュアエレメント113と副セキュアエレメント122は、それを開始条件として、相互認証を開始する。主セキュアエレメント113は、起動処理が進行することにより、副セキュアエレメント122に対して非接触通信で相互認証要求を実行し、そこからの相互認証応答に基づいた判断結果をメインCPU112に送信するものである。なお、メインCPU112は、定期的に、あるいは所定のイベントに応じて一時的に、主セキュアエレメント113及び副セキュアエレメント122にリセット信号を送信して、それらに相互認証を実行させることも可能である。定期的な相互認証要求としては、例えば、10分毎などに相互認証要求を実行させることなどが可能である。一時的な相互認証要求のトリガーとなる所定のイベントとしては、例えば、電子情報機器が、周辺機器の接続、ホットスワップ、ネットワーク状態の変化のような、動作環境の変化を検知した場合などを使用することができる。また、主セキュアエレメント113と副セキュアエレメント122は、メインCPU112からのリセット信号を必要とすることなく、それ自身が電源がオンとなったことを感知して起動処理を実行するように構成してもよい。
主セキュアエレメント113は、それの起動処理のプログラムが実行されることにより、ピア・ツー・ピアモードの非接触通信で副セキュアエレメント122に対して相互認証要求を送信する(ステップS103)。なお、主セキュアエレメント113は、他のセキュアエレメントと非接触通信を確立できなかった場合は、近傍にペアとなるセキュアエレメントが存在しないと判断し、後述のステップS105に遷移して、相互認証が失敗したことをメインCPU112に伝達する。副セキュアエレメント122は、それの起動処理のプログラムが実行されることにより主セキュアエレメント113からの相互認証要求の受信を行なうために待機しているが、主セキュアエレメント113から相互認証要求を受信すると、相互認証要求に応答して相互認証を実行し、主セキュアエレメント113に対して相互認証応答を送信する(ステップS104)。相互認証応答は、主セキュアエレメント113と副セキュアエレメント122との間で相互認証が成功した場合には、相互認証成功を示す応答であり、相互認証が成功しなかった場合には、相互認証失敗を示す応答である。
なお、ステップS103とステップS104では、1往復の通信によって相互認証が実行されるようにシーケンス図では記載しているが、実際の主セキュアエレメント113と副セキュアエレメント122との間の具体的な相互認証は、典型的には、以下のような手順で複数回の往復の通信によって実行されることが通常である。以下において、お互いが正規のID情報を有していることをチャレンジレスポンス認証で確認する場合の手順を示す。主セキュアエレメント113は、それとペアになる正規の副セキュアエレメント122のID情報を予め記憶している。主セキュアエレメント113は、乱数を生成し、それをチャレンジコードとして、非接触通信回路を介して副セキュアエレメント122に送信し、それに対する応答を要求する。
副セキュアエレメント122は、非接触通信回路を介して受信したチャレンジコードに自身のID情報を付加し、それに対してハッシュ演算を実行することにより、レスポンスを生成する。副セキュアエレメント122は、そのレスポンスを非接触通信回路を介して主セキュアエレメント113に送信する。主セキュアエレメント113は、自身が生成したチャレンジコードに、自身が記憶している正規の相手方のID情報を付加し、それに対してハッシュ演算を実行することにより、正しいレスポンスの値を計算する。主セキュアエレメント113は、自身が計算した正しいレスポンスの値と、副セキュアエレメント122から送信されたレスポンスとを比較し、それらが等しいことを確認することにより、副セキュアエレメント122が主セキュアエレメント113に対応する正規のセキュアエレメントであることを確認する。これにより主セキュアエレメント113による副セキュアエレメント122の内部認証が実行されたことになる。
主セキュアエレメント113は、副セキュアエレメント122による外部認証も受け、それにより相互認証が行なわれる。副セキュアエレメント122は、それとペアになる正規の主セキュアエレメント113のID情報を予め記憶している。副セキュアエレメント122は、主セキュアエレメント113にレスポンスを送信する際に、主セキュアエレメント113の外部認証のために、乱数を生成し、それをチャレンジコードとして、主セキュアエレメント113に送信し、それに対する応答を要求する。
主セキュアエレメント113は、非接触通信回路を介して受信したチャレンジコードに自身のID情報を付加し、それに対してハッシュ演算を実行することにより、レスポンスを生成する。主セキュアエレメント113は、そのレスポンスを非接触通信回路を介して副セキュアエレメント122に送信する。副セキュアエレメント122は、自身が生成したチャレンジコードに、自身が記憶している正規の相手方のID情報を付加し、それに対してハッシュ演算を実行することにより、正しいレスポンスの値を計算する。副セキュアエレメント122は、自身が計算した正しいレスポンスの値と、主セキュアエレメント113から送信されたレスポンスとを比較し、それらが等しいことを確認することにより、主セキュアエレメント113が副セキュアエレメント122に対応する正規のセキュアエレメントであることを確認する。これにより主セキュアエレメント113に対して、副セキュアエレメント122による外部認証が実行されたことになる。副セキュアエレメント122は、その認証結果を主セキュアエレメント113に送信する。これにより、主セキュアエレメント113と副セキュアエレメント122との間で内部認証と外部認証が実行され、相互認証が実行されたことになる。以上が、ステップS103とステップS104の具体的な手順である。なお、上述のチャレンジレスポンス方式に代えて、ID情報を共通鍵で暗号化して送信して共通鍵で復号させたり、ID情報を公開鍵で暗号化して送信して秘密鍵で復号させたりすることなどによっても、ID情報を確認して認証を実行することが可能である。
主セキュアエレメント113は、相互認証の判断結果をメインCPU112に有線で送信する(ステップS105)。メインCPU112は、主セキュアエレメント113から相互認証が成功したとの判断結果を受信すれば、主セキュアエレメント113と副セキュアエレメント122とは正規のペアであり、基板セット100に不正な改変はないものと判断して、基板セット100の機能を提供するプログラムを実行し、その機能の提供が開始される。これにより、基板セット100が電子情報機器のマザーボードなどの場合は、その電子情報機器の機能の提供が開始され、基板セット100が拡張カードなどの場合は、基板セット100の機能が入出力インターフェイス114を通じてマザーボードに提供される。一方、メインCPU112は、主セキュアエレメント113から相互認証が失敗したとの判断結果を受信すれば、主セキュアエレメント113と副セキュアエレメント122とは正規のペアではなく、基板セット100に不正な改変があり、起動シーケンスは異常に終了したと判断して起動を中止させ、エラー処理を実行する。エラー処理としては、起動処理を途中で終了させる、エラーメッセージを出力した上でセーフモードにて起動させる、などの不正に対応した特定の動作を実行させることが可能である。
(メインCPUとセキュアエレメントとの間の相互認証のシーケンス)
なお、基板セット100の機能の提供を開始する前に、さらに図5の破線で囲まれたステップを追加的に実行し、主セキュアエレメント113がメインCPU112に対する正規のセキュアエレメントであることを確認してもよい。この場合、メインCPU112は、メモリ112Mに主セキュアエレメント113のID情報を記憶しており、主セキュアエレメント113は、その内部にメインCPU112のID情報を記憶している。そして、それらのID情報が、相互認証によってお互いに確認される。メインCPU112は、有線で主セキュアエレメント113に対して相互認証要求を送信する(ステップS105)。主セキュアエレメント113は、メインCPU112との相互認証も追加的に実行するような起動処理のプログラムが実行されることにより、メインCPU112からの相互認証要求に応答して相互認証を実行し、主セキュアエレメント113に対して相互認証応答を送信する(ステップS106)。典型的には、ステップS105及びステップS106では、ステップS103及びステップS104と同様に、チャレンジレスポンス方式、共通鍵、暗号鍵などを使用して、複数回の往復の通信により相互認証が実行される。メインCPU112は、それと主セキュアエレメント113との間の相互認証が成功したとの判断結果を主セキュアエレメント113から受信すれば、主セキュアエレメント113はメインCPU112とは正規のペアであり、基板セット100に不正な改変はないものと判断して、基板セット100の機能を提供するプログラムを実行し、その機能の提供を開始する。この場合、メインCPU112、主セキュアエレメント113、及び副セキュアエレメント122の三者の組み合わせが正規であることが確認されており、そのいずれかの改変を検知することが可能であり、より高いセキュリティが提供される。一方、メインCPU112は、主セキュアエレメント113から相互認証が失敗したとの判断結果を受信すれば、エラー処理を実行する。
なお、基板セット100の機能の提供を開始する前に、さらに図5の破線で囲まれたステップを追加的に実行し、主セキュアエレメント113がメインCPU112に対する正規のセキュアエレメントであることを確認してもよい。この場合、メインCPU112は、メモリ112Mに主セキュアエレメント113のID情報を記憶しており、主セキュアエレメント113は、その内部にメインCPU112のID情報を記憶している。そして、それらのID情報が、相互認証によってお互いに確認される。メインCPU112は、有線で主セキュアエレメント113に対して相互認証要求を送信する(ステップS105)。主セキュアエレメント113は、メインCPU112との相互認証も追加的に実行するような起動処理のプログラムが実行されることにより、メインCPU112からの相互認証要求に応答して相互認証を実行し、主セキュアエレメント113に対して相互認証応答を送信する(ステップS106)。典型的には、ステップS105及びステップS106では、ステップS103及びステップS104と同様に、チャレンジレスポンス方式、共通鍵、暗号鍵などを使用して、複数回の往復の通信により相互認証が実行される。メインCPU112は、それと主セキュアエレメント113との間の相互認証が成功したとの判断結果を主セキュアエレメント113から受信すれば、主セキュアエレメント113はメインCPU112とは正規のペアであり、基板セット100に不正な改変はないものと判断して、基板セット100の機能を提供するプログラムを実行し、その機能の提供を開始する。この場合、メインCPU112、主セキュアエレメント113、及び副セキュアエレメント122の三者の組み合わせが正規であることが確認されており、そのいずれかの改変を検知することが可能であり、より高いセキュリティが提供される。一方、メインCPU112は、主セキュアエレメント113から相互認証が失敗したとの判断結果を受信すれば、エラー処理を実行する。
なお、主セキュアエレメント113とメインCPU112との間の追加的な相互認証である、図5の破線で囲まれたステップS105及びステップS106は、ステップS103及びステップS104の主セキュアエレメント113と副セキュアエレメント122との間の相互認証の前に実行してもよい。また、主セキュアエレメント113とメインCPU112との間の相互認証に代えて、副セキュアエレメント122とメインCPU112との間の相互認証を実行してもよい。これらの場合も、メインCPU112、主セキュアエレメント113、及び副セキュアエレメント122の三者の組み合わせが正規であることが確認されることになる。
(セキュアエレメント同士の相互認証の動作フロー)
次に、上述の相互認証を動作フローで説明する。図6に基板セット100で実行される相互認証の処理の動作フローを示す。図6には、それぞれの構成要素の処理が時系列で示されている。図6に示した処理で、図5に示した相互作用に対応するものには、そのステップ番号を括弧書きで付している。まず、基板セット100が取り付けられている電子情報機器の電源がオンになることなどにより、基板セット100に新たに電源が供給された時などに、メインCPU112は起動して(ステップS201)、メモリ112Mに記憶された所定のプログラムを実行することにより起動シーケンスを開始する。
次に、上述の相互認証を動作フローで説明する。図6に基板セット100で実行される相互認証の処理の動作フローを示す。図6には、それぞれの構成要素の処理が時系列で示されている。図6に示した処理で、図5に示した相互作用に対応するものには、そのステップ番号を括弧書きで付している。まず、基板セット100が取り付けられている電子情報機器の電源がオンになることなどにより、基板セット100に新たに電源が供給された時などに、メインCPU112は起動して(ステップS201)、メモリ112Mに記憶された所定のプログラムを実行することにより起動シーケンスを開始する。
メインCPU112は、主セキュアエレメント113及び副セキュアエレメント122にリセット信号を送信することにより、それらのセキュアエレメントをリセットする(ステップS202)(図5のステップS101、S102に対応)。リセット信号は、基板上の回路を通じた有線の経路で送信される。主セキュアエレメント113と副セキュアエレメント122は、それの内部に記憶されたプログラムを実行することにより起動処理を開始しており、リセット信号の入力まで待機しているが、それぞれリセット信号を受信したことを開始条件として相互認証の処理を開始する(ステップS203)。相互認証の開始条件は、メインCPU112からのリセット信号の受信以外に、メインCPU112からの定期的あるいは一時的な認証要求信号を受信することなどとすることもできる。次に、主セキュアエレメント113が、それの起動処理のプログラムが実行されることにより、ピア・ツー・ピアモードで副セキュアエレメント122に対して相互認証要求を送信する(ステップS203)(図5のステップS103に対応)。副セキュアエレメント122は、それの起動処理のプログラムが実行されることにより、主セキュアエレメント113からの相互認証要求に応答して相互認証を実行し、主セキュアエレメント113に対して相互認証応答を送信する(ステップS205)(図5のステップS104に対応)。なお、ステップS204とステップS205では、ステップS103とステップS104と同様に、具体的な相互認証は複数回の往復の通信によって実行されることが通常である。
メインCPU112は、主セキュアエレメント113から相互認証の判断結果を有線で受信し、その判断結果に基づいて相互認証が成功したか否かを決定する(ステップS206))(図5のステップS105に対応)。相互認証が成功していれば、メインCPU112は、主セキュアエレメント113と副セキュアエレメント122とは正規のペアであり、基板セット100に不正な改変はなく、起動シーケンスは正常に終了したと判断して正常に起動を実行させ(ステップS207)、基板セット100の機能を提供するプログラムを実行し、その機能の提供を開始する。一方、相互認証が失敗していれば、メインCPU112は、主セキュアエレメント113と副セキュアエレメント122とは正規のペアではなく、基板セット100に不正な改変があり、起動シーケンスは異常に終了したと判断して起動を中止させ(ステップS208)、エラー処理を実行する。
(メインCPUとセキュアエレメントとの間の相互認証の動作フロー)
なお、メインCPU112が起動シーケンスは正常か異常かを判断する前に、主セキュアエレメント113及び副セキュアエレメント122の相互認証機構の少なくとも一方は、主電子回路111内の要素であるメインCPU112との間で相互認証をさらに実行するように構成することもできる。この場合、基板セット100の機能の提供を開始する前に、さらに図6の破線で囲まれたステップを追加的に実行し、主セキュアエレメント113がメインCPU112に対する正規のセキュアエレメントであることを確認してもよい。メインCPU112は、有線で主セキュアエレメント113に対して相互認証要求を送信し、そこからの相互認証応答に基づいて、メインCPU112と主セキュアエレメント113との間の相互認証の成否を判断する(ステップS209)(図5のステップS106、S107に対応)。相互認証が成功していれば、メインCPU112は、主セキュアエレメント113はメインCPU112とは正規のペアであり、基板セット100に不正な改変はないものと判断して正常に起動を実行させる。一方、相互認証が失敗していれば、メインCPU112は、主セキュアエレメント113と副セキュアエレメント122とは正規のペアではなく、基板セット100に不正な改変があり、起動シーケンスは異常に終了したと判断して起動を中止させ(ステップS210)、エラー処理を実行する。
なお、メインCPU112が起動シーケンスは正常か異常かを判断する前に、主セキュアエレメント113及び副セキュアエレメント122の相互認証機構の少なくとも一方は、主電子回路111内の要素であるメインCPU112との間で相互認証をさらに実行するように構成することもできる。この場合、基板セット100の機能の提供を開始する前に、さらに図6の破線で囲まれたステップを追加的に実行し、主セキュアエレメント113がメインCPU112に対する正規のセキュアエレメントであることを確認してもよい。メインCPU112は、有線で主セキュアエレメント113に対して相互認証要求を送信し、そこからの相互認証応答に基づいて、メインCPU112と主セキュアエレメント113との間の相互認証の成否を判断する(ステップS209)(図5のステップS106、S107に対応)。相互認証が成功していれば、メインCPU112は、主セキュアエレメント113はメインCPU112とは正規のペアであり、基板セット100に不正な改変はないものと判断して正常に起動を実行させる。一方、相互認証が失敗していれば、メインCPU112は、主セキュアエレメント113と副セキュアエレメント122とは正規のペアではなく、基板セット100に不正な改変があり、起動シーケンスは異常に終了したと判断して起動を中止させ(ステップS210)、エラー処理を実行する。
なお、主セキュアエレメント113とメインCPU112との間の追加的な相互認証である図6の破線で囲まれたステップS209及びステップS210は、ステップS203の主セキュアエレメント113と副セキュアエレメント122との間の相互認証の開始の前に実行してもよい。また、主セキュアエレメント113とメインCPU112との間の相互認証に代えて、副セキュアエレメント122とメインCPU112との間の相互認証を実行してもよい。
(セキュアエレメント主体の相互認証)
以上では、本発明の実施形態に係る基板セット100の説明をしてきたが、本発明は、そのような基板セット100で使用される、主セキュアエレメント113又は副セキュアエレメント122のようなセキュアエレメントとしても成立する。すなわち、本発明は、非接触通信回路を含むセキュアエレメント(主セキュアエレメント113又は副セキュアエレメント122の内の一方)であって、所定の開始条件に応答して、非接触通信回路を介して他のセキュアエレメント(主セキュアエレメント113又は副セキュアエレメント122の内の他方)と相互認証を実行し、相互認証の結果を出力する相互認証機構を含むセキュアエレメントとしても成立する。そのようなセキュアエレメントを、基板セット100内の主電子回路111又は副電子回路121のような電子回路内にそれぞれ搭載することにより、いずれかのセキュアエレメントの改変の検出が可能なセキュアな基板セット100を構成することができる。そのセキュアエレメントは、基板セット100内の主電子回路111又は副電子回路121のような電子回路に接続されており、相互認証機構は、主電子回路111内の要素であるメインCPU112との間で相互認証をさらに実行するようにも構成できる。
以上では、本発明の実施形態に係る基板セット100の説明をしてきたが、本発明は、そのような基板セット100で使用される、主セキュアエレメント113又は副セキュアエレメント122のようなセキュアエレメントとしても成立する。すなわち、本発明は、非接触通信回路を含むセキュアエレメント(主セキュアエレメント113又は副セキュアエレメント122の内の一方)であって、所定の開始条件に応答して、非接触通信回路を介して他のセキュアエレメント(主セキュアエレメント113又は副セキュアエレメント122の内の他方)と相互認証を実行し、相互認証の結果を出力する相互認証機構を含むセキュアエレメントとしても成立する。そのようなセキュアエレメントを、基板セット100内の主電子回路111又は副電子回路121のような電子回路内にそれぞれ搭載することにより、いずれかのセキュアエレメントの改変の検出が可能なセキュアな基板セット100を構成することができる。そのセキュアエレメントは、基板セット100内の主電子回路111又は副電子回路121のような電子回路に接続されており、相互認証機構は、主電子回路111内の要素であるメインCPU112との間で相互認証をさらに実行するようにも構成できる。
本発明は、セキュアな状態を維持する必要がある任意の電子情報機器に適用することができ、特に、ドーターボードを有する、マザーボードや拡張カードを備えた電子情報機器に好適に適用することができる。
100 :基板セット
110 :主基板
111 :主電子回路
112 :メインCPU
112M :メモリ
112R :RAM
113 :主セキュアエレメント
114 :入出力インターフェイス
120 :追加基板
121 :副電子回路
122 :副セキュアエレメント
110 :主基板
111 :主電子回路
112 :メインCPU
112M :メモリ
112R :RAM
113 :主セキュアエレメント
114 :入出力インターフェイス
120 :追加基板
121 :副電子回路
122 :副セキュアエレメント
Claims (7)
- 非接触通信回路を含む主セキュアエレメントを含む主電子回路が形成された主基板と、
非接触通信回路を含む副セキュアエレメントを含む副電子回路が形成され、前記主基板上に設置され、前記主基板とコネクタで電気的に接続された追加基板と、を含む基板セットであって、
前記主セキュアエレメント及び前記副セキュアエレメントは、所定の開始条件に応答して、前記非接触通信回路を介して相互認証を実行し、前記主電子回路内のいずれかの要素に前記相互認証の結果を伝達する相互認証機構を有する、ことを特徴とする基板セット。 - 前記主セキュアエレメント及び前記副セキュアエレメントの前記相互認証機構の少なくとも一方は、前記主電子回路内のいずれかの要素との間で相互認証をさらに実行する、請求項1に記載の基板セット。
- 前記所定の開始条件は、リセット信号の受信である、請求項1又は2に記載の基板セット。
- 前記所定の開始条件は、認証要求信号の受信である、請求項1又は2に記載の基板セット。
- 前記相互認証は、ピア・ツー・ピアモードで実行される、請求項1から4のいずれか1項に記載の基板セット。
- 非接触通信回路を含む、主基板上に設置されるセキュアエレメントであって、
所定の開始条件に応答して、前記非接触通信回路を介して、コネクタで前記主基板に電気的に接続された追加基板上に設置された他のセキュアエレメントと相互認証を実行し、前記相互認証の結果を出力する相互認証機構を含む、ことを特徴とするセキュアエレメント。 - 前記セキュアエレメントは、電子回路に接続されており、
前記相互認証機構は、前記電子回路内のいずれかの要素との間で相互認証をさらに実行する、請求項6に記載のセキュアエレメント。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019153864A JP7307883B2 (ja) | 2019-08-26 | 2019-08-26 | 基板セット及びセキュアエレメント |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019153864A JP7307883B2 (ja) | 2019-08-26 | 2019-08-26 | 基板セット及びセキュアエレメント |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021033697A JP2021033697A (ja) | 2021-03-01 |
| JP7307883B2 true JP7307883B2 (ja) | 2023-07-13 |
Family
ID=74678703
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019153864A Active JP7307883B2 (ja) | 2019-08-26 | 2019-08-26 | 基板セット及びセキュアエレメント |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7307883B2 (ja) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030046542A1 (en) | 2001-09-04 | 2003-03-06 | Hewlett-Packard Company | Method and apparatus for using a secret in a distributed computing system |
| JP2007089942A (ja) | 2005-09-30 | 2007-04-12 | Le Tekku:Kk | 遊技機用制御装置、遊技機用認証チップ、及びこれらが搭載された遊技機 |
| JP2007141044A (ja) | 2005-11-21 | 2007-06-07 | Sony Computer Entertainment Inc | 情報処理装置、及びプログラム実行制御方法 |
| JP2008545315A (ja) | 2005-06-29 | 2008-12-11 | エヌエックスピー ビー ヴィ | 複数装置から成る少なくとも1つの装置系の保全性を保障するセキュリティシステム及び方法 |
| JP2011253357A (ja) | 2010-06-02 | 2011-12-15 | Sony Corp | 通信装置、通信方法及び通信システム |
| JP2019057156A (ja) | 2017-09-21 | 2019-04-11 | キヤノン株式会社 | 情報処理装置、その制御方法、及びプログラム |
-
2019
- 2019-08-26 JP JP2019153864A patent/JP7307883B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030046542A1 (en) | 2001-09-04 | 2003-03-06 | Hewlett-Packard Company | Method and apparatus for using a secret in a distributed computing system |
| JP2008545315A (ja) | 2005-06-29 | 2008-12-11 | エヌエックスピー ビー ヴィ | 複数装置から成る少なくとも1つの装置系の保全性を保障するセキュリティシステム及び方法 |
| JP2007089942A (ja) | 2005-09-30 | 2007-04-12 | Le Tekku:Kk | 遊技機用制御装置、遊技機用認証チップ、及びこれらが搭載された遊技機 |
| JP2007141044A (ja) | 2005-11-21 | 2007-06-07 | Sony Computer Entertainment Inc | 情報処理装置、及びプログラム実行制御方法 |
| JP2011253357A (ja) | 2010-06-02 | 2011-12-15 | Sony Corp | 通信装置、通信方法及び通信システム |
| JP2019057156A (ja) | 2017-09-21 | 2019-04-11 | キヤノン株式会社 | 情報処理装置、その制御方法、及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021033697A (ja) | 2021-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9276753B2 (en) | System and method for data authentication among processors | |
| CA2554300C (en) | System and method for encrypted smart card pin entry | |
| US20050061875A1 (en) | Method and apparatus for a secure RFID system | |
| BRPI0612024A2 (pt) | dispositivo, método para inicializar uma chave segura a ser compartilhada entre o primeiro circuito integrado e o segundo circuito integrado, circuito integrado, programa de computador executado em um circuito integrado, e, chip de gerenciamento de energia adaptado para executar o gerenciamento de energia do dispositivo | |
| JP2011504263A (ja) | スマートストレージデバイス | |
| JP2009093401A (ja) | 情報処理装置 | |
| JP2007335962A (ja) | センサノードのデータ保護方法、センサノードを配布するための計算機システム及びセンサノード | |
| Varmedal et al. | The offpad: Requirements and usage | |
| KR20080021834A (ko) | 다수의 디바이스들을 포함하는 적어도 하나의 구성의무결성을 보호하는 보안 시스템 및 방법 | |
| JP7307883B2 (ja) | 基板セット及びセキュアエレメント | |
| WO2005119397A1 (en) | Controlling access to a secure service by means of a removable security device. | |
| CN108270767B (zh) | 数据验证方法 | |
| JP2007507786A (ja) | 電気機器のハードウェア及び/又はソフトウェア並びに電気機器と協働するデータキャリアを識別及び/又は検証するための方法及び回路 | |
| JP5347417B2 (ja) | Icカードシステム、その上位機器、プログラム | |
| JP4642006B2 (ja) | 加入者認証モジュール、非接触icチップ、認証ベクトル生成装置、移動通信システム及び認証ベクトル生成方法 | |
| JP4895288B2 (ja) | 認証システム及び認証方法 | |
| JP2006285392A (ja) | 情報記録媒体セキュリティシステム、リーダライタ装置、認証装置、及び、情報記録媒体セキュリティ保護方法 | |
| EP4152125A1 (en) | Icc reader | |
| JP2010171721A (ja) | Icカードシステム、その上位機器、プログラム | |
| CN114598468B (zh) | 密钥配置方法、数据传输方法、处理器、***及相关设备 | |
| KR101296402B1 (ko) | 암호화된 시드를 이용한 모바일 오티피 장치의 등록 방법 | |
| US8572402B2 (en) | Method and device for detecting an attempt to substitute an original casing portion of an electronic system with a replacement casing portion | |
| JP5245950B2 (ja) | パスワード設定システム、パスワード設定方法及び人体通信の機能を備えたキーボード | |
| JP2015069378A (ja) | 人体通信を用いたユーザ認証システム | |
| CN116700129A (zh) | 一种plc控制器的安全防护方法、装置、存储介质和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220628 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230315 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230320 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230519 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230601 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230614 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7307883 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |