[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP5695037B2 - 時間制限使用の自動開始アプリケーションを含む機器 - Google Patents

時間制限使用の自動開始アプリケーションを含む機器 Download PDF

Info

Publication number
JP5695037B2
JP5695037B2 JP2012516729A JP2012516729A JP5695037B2 JP 5695037 B2 JP5695037 B2 JP 5695037B2 JP 2012516729 A JP2012516729 A JP 2012516729A JP 2012516729 A JP2012516729 A JP 2012516729A JP 5695037 B2 JP5695037 B2 JP 5695037B2
Authority
JP
Japan
Prior art keywords
portable electronic
electronic device
application
vcc
gnd
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012516729A
Other languages
English (en)
Other versions
JP2012530993A (ja
Inventor
ミッシェル ティル
ミッシェル ティル
ジョセフ ライベングート
ジョセフ ライベングート
オリヴィエ ジョフレイ
オリヴィエ ジョフレイ
Original Assignee
ゲマルト ソシエテ アノニム
ゲマルト ソシエテ アノニム
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ゲマルト ソシエテ アノニム, ゲマルト ソシエテ アノニム filed Critical ゲマルト ソシエテ アノニム
Publication of JP2012530993A publication Critical patent/JP2012530993A/ja
Application granted granted Critical
Publication of JP5695037B2 publication Critical patent/JP5695037B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/40Transformation of program code
    • G06F8/54Link editing before load time
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/018Certifying business or products
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Sources (AREA)
  • Storage Device Security (AREA)
  • Telephone Function (AREA)
  • Credit Cards Or The Like (AREA)

Description

本発明は、携帯用電子機器、特にスマートカードに関する。本発明はまた、このような機器を設定するための方法及び製造装置にも関する。
通常、携帯用電子機器は、製造後に設定を必要とする。設定は、多くの場合、製造直後に工場で行われる。
携帯用電子機器には、大量に製造されるものもある。例えば、本出願人は、2008年に約14億1900万台(1日ほぼ400万台を毎日)の携帯用電子機器(ほとんどがスマートカード)を製造した。従って、個々の装置をできるだけ短時間で設定できることは極めて重要である。実際、携帯用電子機器の製造にかかる時間は、機器のコスト、従ってメーカーの粗利に直接影響を及ぼす。
スマートカードの分野では、通常、設定は、「個人化」と呼ばれる周知の段階中に行われる。実際に、大抵の場合、スマートカードは個人向けの機器であり、通常、その設定では、例えばメモリにユーザ名を記録し、個人ごとに異なる(PINコードなどの)パスワードを記憶し、及び/又は(写真、名前、会社などの)何らかの情報をプリントすることにより、スマートカードを(個人などの)特定のエンティティに結び付ける。通常、個人化は、個人化機によって行われる。一般に、各個人化機はかなり複雑な装置であり、通常、最大32個又は64個のスマートカードと同時に通信して(暗号アルゴリズムによる個々のスマートカードとの相互認証などの)多くのセキュリティチェックを行い、その後スマートカードを設定するために、スマートカードと情報を交換して多くの命令を送信する。スマートカードが異なれば、使用する通信プロトコルも異なることがあり、これが個人化機を一層複雑にする。
通常、個人化機の価格は非常に高額(通常は数十万ユーロ)であり、従って製造速度を速めるために個人化機の数を増やすことはもちろん可能であるが、非常にコストがかかる。
個人化機を使用すると、「個人的」要素を使用せずに(すなわち、個人に特化した要素を伴わずに)スマートカードを設定することができる。例えば、携帯用電子機器の設定では、(汎用Java(登録商標)アプレットなどの)汎用ソフトウェアを携帯用電子機器にロードし、又は携帯用電子機器の特定の構成要素の正しい動作を確認するための、また場合によっては、正常に作動しない構成要素に携帯用電子機器が依存しないようにこれらの構成要素を識別するための検査を行う。
最近では、ますます多くの携帯用電子機器が、大容量フラッシュメモリを内蔵している。SDカード又はMMCカード、又は特定のSIMカード(携帯電話で使用されるスマートカード)などの新世代スマートカードがこれに当てはまる。
フラッシュメモリには、主に以下の2種類がある。
・コントローラを含まずにパッケージ化されたフラッシュメモリ(「独立パッケージ」)。通常、このようなフラッシュメモリは、パッケージ化後に十分に検査される。
・ウェハレベルで販売されるフラッシュメモリ。一般に、このメモリは、メモリカード、及び大容量メモリを内蔵する新世代スマートカードに使用される種類のフラッシュメモリである。このような種類のフラッシュメモリでは、最終パッケージに、大容量フラッシュメモリ、及びこの大容量フラッシュメモリにアクセスするためのコントローラが組み込まれる。現在、これらのフラッシュメモリを検査するための方法は、フラッシュメモリの供給者が行うウェハレベルの簡単な検査を行うこと、及びパッケージ化後又はパッケージ化中にカードメーカが行う広範にわたる検査を行うことである。
通常、フラッシュメモリが十分に機能することを確認するための検査には非常に時間がかかる。(数ギガバイトの)大容量フラッシュメモリを内蔵する通常のスマートカードでは、大体3〜6分を要する。個人化をほんの数秒(例えばGSM(登録商標)カードでは通常13秒未満)で完了すべきスマートカード工場では、このような継続時間が問題となる。
独立フラッシュパッケージ用の、及び(SD、MMCなどの)メモリカード用の特定の高額な検査システムは市場で入手できる。通常、このようなシステムでは、256個、512個、また時にはさらに多くのパッケージを同時に検査することができる。フラッシュメモリ内蔵スマートカードでは、専用の個人化機を使用してフラッシュメモリの検査を行うことが既知の解決策である。しかしながら、この方法には少なくとも2つの重大な欠点がある。1つめは、個人化機が高額なことであり、2つめは、これらの装置の同時処理性能が低く、通常はせいぜい32個から64個のスマートカードしか同時に管理できないことである。
携帯用電子機器がセキュリティ機器である場合、多くの場合、その設定において少なくとも1つの非対称暗号鍵の対が生成される。非対称暗号法は、ほぼ40年前に導入された。非対称暗号法では、所与のエンティティのために、秘密鍵と公開鍵から成る少なくとも1つの鍵対が生成される。秘密鍵は、エンティティにより安全に保持されるが、公開鍵は、このエンティティとの関係を確立する意思があるいずれかの関係者に送信される。秘密鍵と公開鍵は、互いに数学的に結合するが、公開鍵から秘密鍵を算出することは非常に難しい(実際には不可能)と考えられる。鍵の一方を使用して実行されるあらゆる動作は、他方の鍵によって「逆転」させることができる。従って、エンティティがその秘密鍵を使用して署名すべきデータ(というよりもむしろこのようなデータのハッシュ)を「暗号化」するデジタル署名機構を導入することができる。この秘密鍵を所有するのはエンティティだけであるため、このエンティティ以外、このような動作を行うことはできない。しかしながら、対応する公開鍵を使用することにより、誰もが署名を確認することができる。逆に、エンティティに代わって機密データを暗号化する意思がある者なら誰でもエンティティの公開鍵を使用して暗号化を行い、(秘密鍵を有する)エンティティしかこの暗号を解読できないと認識することができる。エンティティを認証する意思がある第三者が乱数を送信し、エンティティが秘密鍵で署名した乱数を戻し、その第三者が署名を確認できるようにする非対称暗号法を認証に使用することもできる。多くの異なる使用事例が存在する。実際には、非対称暗号システムは非常に複雑であり、このシステムには(証明書の使用、時にはタイムスタンプの使用などの)追加ステップが含まれる。通常、秘密鍵は非常に機密的であり、厳重に保護すべきである。
例えば、エルガマル、RSA、楕円曲線、ディフィーヘルマンなどの多くの非対称暗号アルゴリズムが存在する。通常、全てのシステムにおいて、鍵対の生成は極めて複雑であり時間がかかる。難点の1つに、良好な乱数の選択がある(鍵対が十分にランダムな数に基づいていなければ、第三者が鍵対を予測できる可能性がある)。しかしながら、現在では、スマートカードが、ハードウェアメカニズムによってかなり良好な乱数を極めて迅速に生成することができる。(最も普及している非対称暗号アルゴリズムと考えられる)RSAでは、大きな素数を発見することが主な難点である(これには非常に時間がかかる)。RSAの場合、現在、起こり得る攻撃に耐えるには、鍵の長さを少なくとも2048ビットにすべきであると考えられている。2048ビットのRSA鍵の対を生成するには、通常、スマートカードでは60秒又はそれ以上の時間がかかる。
暗号に鍵対を使用する場合、スマートカードの破損、盗難、又は紛失に備えて、安全なサーバに鍵のコピーを保管しておくことが良い習慣であると考えられることが多い。そうでなければ、全ての暗号化データが回復不能になり、通常はこの危険性の方が、サーバがハッカ−に攻撃されて鍵対が回収される危険性よりも高い。しかしながら、デジタル署名に鍵を使用する場合、通常は鍵をバックアップすべきではないと考えられる。これには少なくとも2つの理由がある。第1には、たとえスマートカードの紛失、盗難、又は破損の場合でも、ユーザにとって実際に不都合なことはなく、単純に以前の鍵対を無効にし、新たな鍵対を取得し、自身の新たな秘密鍵を使用して以降の文書に署名できるからである。第2には、デジタル署名はユーザの同意を反映するものであり、従って極めて高い安全性を有するべきであり、利用可能な所与の鍵対を異なる場所に有することは、多くの場合許されないからである。デジタル署名に関する欧州指針1999/93/EC、及び世界中における同様の法律の出現により、デジタル署名が自筆署名と同等の法的価値を有するようにするために、通常は鍵対が「署名者の独占的制御下」に存在することが必要とされており、(ユーザの独占的制御下にある)ユーザのスマートカード内と、明らかにユーザの制御下にないサーバ内のいずれにも鍵が存在する場合、明らかにこれに該当しない(場合によっては、不満を抱くサーバ管理者が、サーバに記憶された何らかの鍵を使用できる可能性もある)。
従って、通常は、高性能なセキュリティ機器(通常はハードウェアセキュリティモジュールa.k.aHSM)内で暗号鍵の対を生成し、その後これらをスマートカード及び「安全なサーバ」の両方に安全にロードするように決められている。時には、このHSM法が工場内でも署名鍵の対に使用される。しかしながら、(鍵対が生成されてカードにロードされると、サーバ内にはバックアップされないことになっている場合でも)スマートカード内で署名鍵の対が生成されないとすぐに、鍵対の生成及びそのスマートカードへの送信が本当に安全であったかどうかに疑いが生じることがある。製造中にスマートカード内で鍵対を生成すると非常に長い時間がかかるので、工場の製造ラインが塞がれることもあり、まれにしか行われない。従って、多くの場合、代わりに署名鍵の対を含まない安全性の高いスマートカードが供給され、鍵対の作成の開始はユーザ次第とされる。例えば、カードがSIMカードである場合、ユーザは、SIMカードが挿入された携帯電話から、鍵対を生成するための命令を送信することができる。或いは、スマートカードが、パーソナルコンピュータを保護するために使用されるPKIカードである場合、この命令をコンピュータから送信することができる。しかしながら、動作時間が長いので、ユーザにとって分かりにくく、エラー及び場合によっては攻撃の危険性が生じることもある。生成の真っ最中にスマートカードの電源が落ちる可能性は、処理が正常に制御される工場内よりもかなり高い。
時には、鍵対に(署名及び暗号化などの)複数の目的を持たせることができる。これは(セキュリティ制約が競合するので)一般的には推奨されるものではないが、それでも実施する場合には、鍵対の生成に関する妥協点を見出す必要がある(通常は、安全なサーバ上にバックアップするように決められている)。
特に電子IDカードでは、(ヨーロッパで認定済みの電子署名のような)自筆署名と同等と見なされるデジタル署名がますます必要とされており、工場を塞がずに署名鍵の対を生成するための非常に安全かつ便利な方法を可能にする解決策を見出すことが望まれている。署名が本物であり、カードの保有者のみが生成したものであることを保証するためには、この算出に使用する暗号鍵を秘密にしておくべきであり、すなわち鍵の非公開部分を、カード発行者(すなわち政府代表者)及びカードメーカを含め、決して誰にも開示すべきではない。理想的には、鍵の非公開部分の生成及び保持をいずれもスマートカード内で行うべきであり、たとえ暗号形式であっても決してスマートカード外部に開示すべきではなく、スマートカードが機能しなくなった場合には、鍵の非公開部分も失われるべきである。
ISO7816−1及びISO7816−2に準拠するスマートカードは、C1〜C8という名称の電気接点の組を通じて読取機に接続することができる。これらの接点は、カードに電力を供給するための2つの電気接点(通常はVCCと呼ばれる接点C1、及び通常はGNDと呼ばれる接点C5)と、(読取機によるデータの入出力のための)「I/O」接点と、カードと読取機の間の通信を同期させるために使用する「クロック」接点とを含む。スマートカード内には内部クロックを備えることが知られており、従ってスマートカードには、ソフトウェアを内部的に実行できるようにするために外部からクロックを与える必要がない。このクロックは、主にデータ交換を同期させるのに有用である。電気接点は、スマートカードのブート手順を開始するための「リセット」接点も含む。スマートカードを始動させるための完全な処理は、ISO7816−3規格に記載されている。(ISO7816規格によれば)理論上は、スマートカードの内部ソフトウェアを開始するには、スマートカードに電力を供給するだけでは不十分である。「クロック」接点上にクロック信号を存在させ、「リセット」接点上の電気レベルを変化させることも必要である。より具体的には、VCC及びGNDのみでISO7816スマートカードを起動できると推測的に期待することはできない。しかしながら、実際には、単にVCC及びGNDに電力を供給しただけで、スマートカードの構成要素を起動することが可能になった。この可能性は、特に、標準的なISO接点インターフェイス、及びISO14443無接点インターフェイスやSWP(単線プロトコル)などの別のインターフェイスの両方を内蔵するスマートカードなどの複数のIOスマートカードで最近導入されたものである。このようなスマートカードでは、リセット接点C2上のリセット信号を別様に解釈することができ、この信号は、もはやスマートカードチップ及びスマートカードオペレーティングシステムを起動することではなく、ISOアプリケーションを単純にリセットすることを意味する。
通常、スマートカードは読取機と通信し、この中で読取機の要求(通常、この要求は、ISO7816により標準化されたAPDUコマンドであるが、他の可能性もある)に応答することにより導入される。すなわち、一般にスマートカードは、通常は読取機が(又はほとんどの場合、読取機を通じてスマートカードに命令を送信するエンティティが)要求しない限りいずれの動作も完了しないスレーブである。通常、この動作は、処理の終了時にスマートカードの応答(ISO7816により標準化された状態ワードであることが非常に多い)が読取機に返されることにより終了する。スマートカード読取機は、処理の開始と終了の間、スマートカードに電力及びクロック信号を供給し続けることになっている。(ISO7816−4で定義される)T=0プロトコルを使用する場合、読取機からの時間切れを避けるために、カードは、ISO7816−3に基づいて読取機に特別なバイト(0×60)を送信することができる。スマートカードは、処理を正常に終了させるのにさらなる時間が必要である旨を示すために、この0×60バイトを送信することができる。これは、読取機が送信を途中で停止したであろうはずの、RSA鍵の生成などの異常に長い命令に有用である。T=0では、この0×60バイトが無ければ、読取機が、スマートカード内で実行中のアプリケーションが終了できなくなった(スマートカードに破損又はセキュリティ上の理由による沈黙などの異常が起きた)と思い込む。
スマートカードに電源が入ると、自動検査及び基本動作が開始されることが知られている。
同出願人が出願した、放棄になった欧州特許出願第02703770.4号には、電力が印加されるとすぐに、機構が乱数を生成し、これらを揮発性メモリ(RAM)に記憶し始めるスマートカードを開示している。この機構はスマートカードに電源が入る度に実行され、スマートカードの設定には影響を及ぼさず、スマートカードのRAMのみに影響を与える(スマートカードの電源が落ちた後に消去される)。設定を行うということは、不揮発性メモリ内の何らかの情報を変更することを意味する。この特許出願は、通常のスマートカードの処理と並行して、予め乱数を生成し、この乱数をRAM内で直接利用可能にすることにより、乱数の利用可能性を高めることを目的としている。結局、この種の乱数の生成は極めて高速になり、今では提案した解決策が有用でないことが分かった。
(パーソナルコンピュータなどの)機器に最初に電源を入れたときには、この機器が設定されることが知られている。ソフトウェアが、オペレーティングシステムのインストールを自動的に開始する(例えば、マイクロソフトの世界では、ユーザが、Windows(登録商標) XPとVistaなどの異なるWindowsのバージョン間で1つを選択することができる)。しかしながら、このようなソフトウェアは、外部エンティティとの通信を必要とする。具体的には、このソフトウェアは、ユーザに対して画面上に情報を表示し、ユーザは、何らかの情報をキーボード上で入力し、マウスで特定のボタンをクリックしなければならない。ソフトウェアはまた、通常、ウィンドウズ(登録商標)の起動及びソフトウェアの更新の検索などのためにネットワーク接続も確立しなければならない。このわずかな能力では、装置を設定するのに十分でない。
欧州特許出願第02703770.4号明細書
上記の説明から分かるように、最先端の携帯用電子機器に関する問題点は、特にこれらの機器が、非対称鍵の生成又はフラッシュメモリの検査などの時間を要する機能を必要とする場合、これらの機器を迅速かつ安価に設定することが難しい点である。より効率的に設定できる携帯用電子機器を提案することが本発明の目的である。携帯用電子機器をより効率的に設定するための製造装置及び方法を提案することも本発明の目的である。
以下の明細書では、添付図面を参照しながら本発明及びその利点についてより詳細に説明する。
本発明の好ましい実施形態による、接点VCC(モジュール上部左のC1)及びGND(モジュール上部右のC5)を含むISO7816モジュールと、アンテナANTとを有するスマートカードSCを示す図である。 本発明の好ましい実施形態による、4つのUSB接点(左側にGND、次に2つのデータ接点、及び右側にVBUSと呼ばれることも多いVCC)を含むUSBトークンTKを示す図である。 本発明の好ましい実施形態による、スマートカードSCに電力を供給するように設計された電力供給装置と、スマートカードSCの接点VCC及びGNDに接続された、電気出力手段の配線M_VCC及びM_GNDとを含む製造装置Mの概略図である。この図は簡略図であり、スマートカード用のスロットを4つしか示しておらず、スマートカードが実質的に1枚しか存在しないが、実際には、装置の形状は明らかに全く異なり、より多くのスマートカードが並行して存在する。 本発明の実現可能な実施形態による、スマートカードモジュールを含むリールRの一部を示す図である(個々のスマートカードモジュールはスマートカードチップCを含む)。 本発明の実現可能な実施形態による、製造装置Mの(複数の)部品を示す略図である。
本発明の第1の実施形態による携帯用電子機器は、外部電力供給装置から電力を受け取るための電気入力手段を備える。この電気入力手段は、例えばスマートカードSCの電気接点(ISO7816−2の接点C1及びC5などの)VCC及びGND、又はUSBトークンTKの電気接点VCC(VBUSと呼ばれることもある)及びGNDとすることができる。電気入力手段は、スマートカードSCのアンテナANTであってもよい。本発明によれば、無接点式電力供給装置であれば、その近くに多くの携帯用電子機器を配置することができ、通常なら(さらに理解されるように常にとは限らないが)個々の携帯用電子機器を個別に処理する必要がある上、携帯用電子機器を極めて正確に機械的に配置する必要がある信頼性できる電気接点の確立に取り組む必要がないので、無接点手段を通じて電力を供給することが有利であると考えられる。
本発明による携帯用電子機器は、以下の特徴を有するアプリケーションをさらに備える。このアプリケーションは、上記電気入力手段に電力が供給されたときに起動するように設定され、すなわち一種の自動開始アプリケーションである。換言すれば、このアプリケーションは、電力が供給されたときに自動的に実行されるので、(APDUコマンドを送信する読取機などの)外部エンティティからの明示的要求に従って動作する必要がない。このアプリケーションは、携帯用電子機器の外部にあるエンティティと通信しないようにも設定される。本発明との関連では、外部エンティティと通信する必要がなければ、携帯用電子機器と連動できる通信プロトコルを実行する(個人化機などの)複雑な装置の必要性が避けられるので有利である。
本発明による携帯用電子機器は、アプリケーションが、携帯用電子機器を設定するように設定され、また最大で1回しか正常に実行できないようにさらに設定されることを特徴とする。従って、携帯用電子機器が設定されると、もはやアプリケーションは実行されない。換言すれば、このアプリケーションは、体系的に実行されるブート手順ではなく、実際には、意図するタスクの完了に失敗しない限り1回しか実行されないアプリケーションである。アプリケーションが実行されるのを防ぐことも可能であり、例えば、このアプリケーションは、開始前に数秒間待機することができ、また(最終的に自己設定よりも「手動」設定が好ましい場合には)携帯用電子機器は、このアプリケーションを実行前に「強制終了する」命令を含むことができる。この数秒間の待ち時間により、標準的な個人化ヘッドなどの携帯用電子機器と接続し、アプリケーションの実行前にアプリケーションを削除又は停止する命令を素早く送信できるようになる。
本発明の第2の実施形態によれば、携帯用電子機器が、外部電力供給装置から電力を受け取るための電気入力手段と、この電気入力手段に電力が供給されたときに起動するように設定されたアプリケーションと、外部エンティティに通知を行うための通知手段とを備える。この第2の実施形態の携帯用電子機器は、アプリケーションが、携帯用電子機器を設定するように設定され、最大で1回しか正常に実行できないように設定され、携帯用電子機器が正常に実行されるとすぐに通知手段を起動させることを除き、携帯用電子機器の外部にあるエンティティと通信しないようにさらに設定されることを特徴とする。なお、この例外は、(携帯用電子機器から外部エンティティへの)非常に単純な1方向のみの通信を構成する。第2の実施形態は、通知手段を備えること、従ってアプリケーションが外部エンティティと(アプリケーションは外部エンティティからデータを受け取らないので1方向のみの)通信を行う能力を有することを除き、第1の実施形態と非常に類似する。これ以外にも、第1の実施形態に関して説明した特徴は、第2の実施形態においても同様に当てはまる。好ましい実施形態では、通知手段が非常に単純であり、携帯用電子機器が接点を有する場合には、例えば携帯用電子機器の1又はそれ以上の接点上の電圧を(恒久的に又は短時間にわたって)変更し、或いはアンテナを有する場合には、このアンテナを使用して信号を送信する。例えば、携帯用電子機器が、ISO7816−2に準拠するスマートカードである場合、C2、C3、C4、C6、C7又はC8のいずれかの状態を単純に変更することができる。(接点C7である)IOピンを使用することは、ISO7816−2により定義される役割に準拠するので好ましい。しかしながら、通常は、その他の接点(C2、C3、C4、C6、及びC8)のいずれか、又は接点C2、C3、C4、C6、C7及びC8のいずれかの組み合わせを使用することもできる。実際のところ、本発明との関連では、通常、これらのピンは工場内でしか使用されず、その後規格に準じてピンを使用することができるので、一般にピンC2、C3、C4、C6及びC8が規格に準じた異なる役割を有することは重要ではない。
別途説明しない限り、以下でさらに説明する携帯用電子機器の改善は、上記の第1及び第2の実施形態のいずれにも当てはまる。
好ましい実施形態では、アプリケーションが実行を終えると停止し、任意に携帯用電子機器が(電力供給を中断せずに携帯用電子機器を標準的な個人化ヘッドに接続することを一般的に示唆する)命令を待つことができるが、いずれにせよ携帯用電子機器は、要求されない限り何も行わないので、その電力消費量は大幅に減少する。好ましい実施形態では、アプリケーションが、停止したときに携帯用電子機器をエネルギー節約のための待機モードに入れる。これには、製造装置に関しても以下で説明する利点がある。
好ましい実施形態では、携帯用電子機器が、アプリケーションが完了前に停止又は中断された状況を検出して、電気入力手段に次に電力が供給されたときにアプリケーションを再開又は再起動するための手段を含む。例えば、アプリケーションは、正常に実行を終えると、不揮発性メモリ(NVM)にその正常な完了を記録し、又はヒューズを焼くことができる。その後、携帯用電子機器に次に電力が供給されたときに不揮発性メモリ(又はヒューズ、又は他のいずれかの同様の手段)をチェックすることができ、アプリケーションの正常な完了が記録されていなければ、アプリケーションが途中で停止したことになり、アプリケーションを最初から再実行し、又は停止した部分から継続する必要がある。後者の選択肢を実施するために、アプリケーションの進行を定期的にNVMに記録すること(又は正常に実行された設定の個々のステップごとに別のヒューズを焼くことなど)ができる。問題が起きた場合、携帯機器は、次の電源投入中に、最初のK個のステップが完了したこと、及び設定手順の最後のN〜Kのステップのみを実行する必要があることを解明することができる。なお、アプリケーションが完了前に停止又は中断された状況では、通知手段には、起動する機会又は少なくとも完全に完了する機会はない。
好ましい実施形態では、携帯用電子機器が、アプリケーションの正常な実行を検出するための手段を備える。このような手段は、第2の実施形態の通知手段を起動する手段と同じものであってよい。(アプリケーションの終わりに達すること、及び/又は全ての関連する状態フラグが正しく設定されることなどの)正常な実行が検出されると、アプリケーションは、正常に終了したという事実を不揮発性メモリに記録し、携帯用電子機器に次に電源が入ったときに、不揮発性メモリ内の状態(又はヒューズ、或いはバッテリ又はコンデンサにより保持されているRAMレジスタなど)をチェックすることができる。状態が肯定的なものであれば、アプリケーションは既に正常に実行されたことになるので、携帯用電子機器は、メモリからアプリケーションを削除することが好ましい。これは、アプリケーションが(EEPROM、フラッシュ、電力供給装置が途絶したときにRAMの消去を防ぐバッテリを有するRAMなどの)再書き込み可能メモリに記憶されている状況に当てはまる。携帯用電子機器(特にスマートカードなどの装置)では、多くの場合、メモリは限られたリソースであるが、この削除によりメモリを他の目的に再利用できるので有利である。しかしながら、アプリケーションをROMに記憶した場合、メモリからアプリケーションを削除することはできない。この場合、フラグ又は(ヒューズ、不揮発性メモリに記録された情報などの)上述したような他のいずれかの同様の機構により、アプリケーションが既に正常に実行済みであり、携帯用電子機器に電源を入れたときにこれ以上実行すべきではないことを示すことができる。変形例では、アプリケーションがアプリケーション自体を削除し、すなわち機器の設定が終了するとすぐに、アプリケーションが(好ましくは、例えば削除の真っ最中に電力供給が途絶えた場合、電力供給装置が次に復旧したときに削除処理が終了することを保証する分裂防止機構によって)自動消去される。他の変形例では、携帯用電子機器が、メモリからアプリケーションを削除するためのコマンドを有する(例えば、携帯用電子機器が、電力供給装置のみを使用して機器自体を自己設定した後に接続される個人化機などの工場の機械によってこのようなコマンドを呼び出すことができる)。このような命令を使用する場合には、削除が自動的に行われることはなくなり、コマンドを送信することにより明確に除去を要求する必要がある。
(例えば個人化機を介して)携帯用電子機器にアプリケーションをロードし、次にこの携帯用電子機器に単純に電力を供給することによりアプリケーションを実行させ、次に(例えば引き続き個人化機を使用して)携帯用電子機器に別のアプリケーションをロードすることを含む異なる個人化ステップを行い、この場合も電子機器に電力を供給することのみによってこの別のアプリケーションを実行させ、これらのステップを必要に応じて何度でも繰り返すことができる。これは、携帯用電子機器の設定に使用する製造装置の知能の一部を携帯用電子機器自体に転送して、携帯用電子機器が自主的に完了できる全てのタスクによって製造時間が浪費されないようにするようなものである。
本発明による携帯用電子機器は、多くの異なるフォームファクタで製造することができる。これらのフォームファクタの1つの共通する特徴としては、携帯用電子機器が(ポケットに入れて持ち運びできるほど)比較的小型かつ軽量であることが挙げられる。携帯用電子機器の非限定的な例には、(銀行カード、SIMカード、健康管理カード、PKIバッジなどの)スマートカード、(MMC、SDなどの)メモリカード、USBトークン(この場合、通知手段がD+ピン又はD−ピンのいずれか、或いはこれらの両方のピンを使用することができる)、NFC装置、電子パスポート(又はIDカード、有権者カードなどの、政府が提供する他の電子文書)、又は電子運転免許証がある。本発明による携帯用電子機器は、通常(バッテリなどの)内部エネルギー源を有していない。しかしながら、本発明の変形例では、例えば、2つの携帯用電子機器接続間で確実な時間及び日付基準を保持するために、携帯機器に小型バッテリ又はコンデンサを内蔵することができる。
スマートカード及び一部の携帯用電子機器も製造する場合には、製造段階の1つとして、スマートカードチップをプリント回路又は金属リードフレーム上に(通常は35mm幅の形の)ストライプ又はリール状に並べる。スマートカードチップ自体も、本発明による携帯用電子機器である(これらはその後、より大きな携帯用電子機器(スマートカード)に組み込まれる)。スマートカードチップが、プリント回路又は金属のリードフレーム上にストライプ又はリール状に存在する場合、共通の電気接点を通じて多くのスマートカードチップに同時に電力を供給することができる。これについては、以下でより詳細に説明する。
好ましい実施形態によれば、携帯用電子機器が、不揮発性メモリを備える。携帯用電子機器の設定では、1つの非対称暗号鍵の対(又は複数の非対称鍵の対)を生成し、個々の鍵対のうちの少なくとも秘密鍵を不揮発性メモリに記憶することができる。必要であれば、個々の鍵対の公開鍵も、後で取り出せるように同様に記憶することができる。アルゴリズムによっては、公開鍵の記憶を行わなくてもよい。例えば、RSAでは、公開鍵に一定指数を使用することが常套手段であり(例えば、RSA1024では、0×10001が非常に一般的な値である)、公開鍵の係数は秘密鍵の係数と同じである。この例では、公開鍵が、(前もって分かっている)一定指数、及び予め記憶された又は(CRTを使用する場合)少なくとも秘密鍵から計算可能な係数で構成されており、メモリを多少節約するために、公開鍵を記憶しないことが賢明と思われる(携帯用電子機器を、所与の秘密鍵に対応する公開鍵を算出して出力するようにプログラムすることができる)。しかしながら、上記の例では、問題となるシステムが特定の公開指数を課さない場合、通常は公開鍵を記憶することが必須となる。
上述のように生成された非対称秘密鍵(又は鍵対全体)は、特定用途向けに記憶することができる(例えば、この秘密鍵を、携帯用電子機器をユーザの運転免許証として使用すると予想される運転手の認証キーとすることができる)。或いは、この秘密鍵(又は鍵対全体)を、一時的なものではあるが不揮発性のメモリに記憶することができる。この結果、後の段階で、携帯用電子機器が非対称鍵の対を生成する必要がある場合、携帯用電子機器の鍵生成APIは、新たな鍵対を生成する代わりに、以前に生成した鍵対を直ぐに取り出すことができる。このことは、特に、いくつかの鍵対が必要であることは分かっているものの、鍵対を何の目的で(最大100万ドルの契約への署名、100万ドルを超える契約への署名、電子メールへの署名など)、携帯用電子機器のどこに記憶する必要があるかなどが不明な場合に有利である。安全性の高い公開鍵基盤(PKI)では、多くの場合、鍵の用途に応じて異なる鍵を持つことが推奨される。
好ましい実施形態によれば、携帯用電子機器がフラッシュメモリを備え、この携帯機器の設定が、このフラッシュメモリを検査すること、すなわち具体的には、良好なメモリブロック及び未開のメモリブロックにマーキングすることを含む。これにより、検査を管理するための複雑な機械が避けられる(検査が携帯用電子機器内で自動的に行われる)ので有利である。好ましい実施形態では、フラッシュの検査が以下の3ステップで行われる。
第1のステップでは、(個人化機などを使用して)携帯用セキュリティ機器に(フラッシュメモリの検査用)アプリケーションをロードする。
第2のステップでは、電源を供給する製造装置に携帯用電子機器を接続し、アプリケーションが自動的にフラッシュの実行及び検査を開始する。アプリケーションは、フラッシュメモリ検査の結果(通常はログファイルの形で)及び検査を実行したという事実をNVMに記録することができる。
第3のステップでは、携帯用電子機器を第1の機械(通常は個人化機)に再接続する。携帯用電子機器に電源を入れるが、(既にアプリケーションが実行済みであることを携帯用電子機器がNVMで識別するので)フラッシュ検査用のアプリケーションは開始しない。第1の機械は、NVMに記録されたフラッシュの検査結果をチェックすることができ、結果が悪すぎる場合、携帯用電子機器を故障したものとして識別し、処分することができる。検査結果が悪くなければ、何らかの標準的な個人化処理を継続し、フラッシュメモリの使用可能と見なされる部分、及び場合によっては他のNVMに雑情報を書き込むことができる。
本発明は、製造装置にも関する。製造装置Mの第1の実施形態は、上述したような携帯用電子機器の組を設定するように設定される。例えば、このような製造装置は、個人化機を含むことができる。製造装置は、携帯用電子機器を設定するためにこの機器と通信するための手段、例えば、ISO7816−2により指定されるC1〜C8の8つの接点などの全ての必要な接点と、必要な通信プロトコルを実行するプロセッサとを有する特別なヘッドを有する。製造装置は、(個人化ヘッドなどの既知の要素に加え、)携帯用電子機器の電気入力手段に電力を供給するように設計された電気出力手段をさらに備える。電気出力手段は、5ボルト(又は関連する携帯用電子機器に適したいずれかの電圧)の電力供給装置に接続されたM_VCC、及び電力供給装置の他のピン(通常はアース)に接続されたM_GNDという単純な2本のワイヤである。この2本のワイヤは、携帯用電子機器の電気入力手段と信頼できる接続を確立するのに適した(ISO7816−2対応スマートカードモジュールの接点C1及びC5などの)電気接点で終端することができる。電気出力手段は、(スマートカードモジュールの電気接点C1及びC5を通じて、又はD+ワイヤ及びD−ワイヤを使用せずにVバス及びアース端子のみを使用してUSBポートに接続されたドングルを通じて電気出力手段に接続されたスマートカードなどの)単一の携帯用電子機器に、又は複数の携帯電子モジュールに平行して電力を供給することができ、例えば、この電気出力手段は、複数のチップを含む(上述した35mmのストライプ又は35mmのリールなどの)ストライプ又はリールに電力を供給することができる。このような(リール又はストライプ上の)スマートカードチップに、リール又はストライプを動かすために使用する(導電材料で作製された)ローラ駆動機を介して、或いは静止時にリール又はストライプ上のVCC配線及びGND配線と接触する(検査針とも呼ばれる)検査ピンを介して電力を供給することができる(ピン/針のいくつかが酸化により損傷した場合、又は汚染によりいくつかのピン/針の電気接点が変質した場合でも、信頼できる電気接点が存在することをかなり高く保証するために、例えば3つのピン/針などの複数のピン/針と単一の接触を確立することが好ましい)。リール又はストライプが動いている間に電力供給を維持できるという理由で、通常は(ピン/針と比較して)(ホイールの形の)導電性ローラ駆動機が有利である。スマートカードモジュールのリールを使用する好ましい実施形態を図4及び図5に示す。図4には、リールRの断面を示している。このリールは、モジュールに組み込まれた多くのスマートカードチップC(図4では、35mm幅のリールに2列のスマートカードモジュールが収まっている)を含む。言うまでもなく、他の種類のチップ(必ずしもスマートカードチップとは限らない)を使用することもできる。チップのリールは、スマートカードチップのVCC接点及びGND接点に接続された導電線L_VCC及びL_GNDを有する。このリールは、ホイールの組(図5にはC_W_GND及びC_W_VCCを示しているが、一方は後ろに隠れているのでホイールの一方しか見えない)によって移動可能となるように、フィルムリール上に見られるような一連の孔Hを両側に有する。図5は、スマートカードモジュールを「リール・ツー・リール」モードで管理するように構成された製造装置Mの部品を表す略図である。個々のスマートカードモジュールは、スマートカードチップCを内蔵する。リールRを含む第1のホイール(INPUT_W)が、リールR上に配置されたスマートカードチップCを製造装置Mに供給する。リールR上に歪みが生じないように、入力バッファ(I_BUFFER)が存在することが好ましい。入力バッファ(I_BUFFER)は、製造装置Mが導電性ホイールC_W_GND及びC_W_VCCを通じてリールRを引っ張ったときに、(重い)入力ホイール(INPUT_W)全体が引っ張られずにバッファのみが引っ張られるように、装置の入口左側にあるリールRの余剰部分(この余剰部分は、重力によりU型形になる)に存在することができる。バッファ内に十分な長さを保持するために、ホイール(INPUT_W)も(専用の電気モータなどにより)同様にうまく回転することができる。しかしながら、入力ホイール(INPUT_W)の回転をホイールC_W_GND及びC_W_VCCの回転とできるだけ正確に同期させようと試みたとしても、入力バッファを保持する方がより良好かつ安全である。リールRは、バッファを過ぎると、好ましくは平らな領域に導かれる。チップCの接続部は、(これより前の製造段階に起因して)最初から短絡していることが非常に多い。これらの接続部は、接続されたままであることを必要とする電力供給部VCC及びGNDにとって必要な接続部を除き、機械Mの入口において(接続を穴抜きすることにより、又はレーザーで)切断することができる。チップCの接続部VCC及びGNDは、それぞれ配線L_VCC及びL_GNDに接続することができる。配線L_VCC及びL_GNDは、リールRを動かすために使用する導電性ホイールCW_VCC及びC_W_GNDと電気的に接触するように、リールの各々の側に孔Hと隣接して存在することが好ましい。導電性ホイールC_W_GND及びC_W_VCCは、チップCに電力を供給する電力供給装置に接続される。製造装置Mは、導電性ホイールC_W_GND及びC_W_VCCにより同時に電力供給されるチップが100個(又は適当と見なされるいずれかの数)を超えないように、100個のチップごとなどの一定数のチップごとに、配線L_VCC及び/又は配線L_GND(好ましくは両方の配線)を穴抜きする(或いは他の方法により電気接点を中断する)ことが好ましい。製造装置Mの出力部における歪みを避けるために、製造装置Mの出力部には、入力バッファ(I_BUFFER)と同様の出力バッファ(O_バッファ)が存在することが好ましい。製造装置の出力部は、例えば出力ホイール(OUTPUT_W)として、これにリールを再び巻くことができる。この出力部は、(チップの検査又は個人化などの)その後の製造段階を管理する、リールR(又はストリップ)の操作している部分に可変加速度をもたらすことができる部品であってもよい。
チップがスマートカードなどの「最終的な」携帯用電子機器に内蔵される前に、チップがリール又はストリップ上に並んだらすぐにチップ自体に働き掛けることは、製造環境において非常に有利である。実際に、(スマートカードなどの)分離した物理エンティティを個別に管理するよりも、何千個ものチップを含むストリップ又はリールを管理する方が容易である。このことは、(工場内の重大な要素である)空間最適化の観点からも非常に効率的であり、すなわち管理される携帯用電子機器の1平方メートル当たりの密度は、このようなリール/ストリップの方がずっと高い。その後の製造段階において、スマートカードモジュールはリールRから取り除かれ、(既知の方法で)スマートカード本体に内蔵される。
実現可能な実施形態では、電気出力手段が製造装置に対して固定され、(スマートカードなどの)携帯用電子機器が、電気出力手段と絶えず接触して製造装置内を(平行移動して)流れる。このような場合、望まない接点に電力が供給され、これが短絡又はその他の電気的/電子的問題を生じ得るという危険性がある。例えば、携帯用電子機器が、電気出力手段に対して横方向に移動するスマートカードである場合、スマートカードの接点C1とC5の代わりにスマートカードの接点C2とC6、C3とC7、又はC4とC8に電力が供給されるという危険性も考えられる。従って、製造装置は、電気出力手段を作動させる必要がある携帯用電子機器の位置を識別し(例えば、スマートカードの光学検出、又はスマートカードの端部がスイッチに到達したときにスイッチを機械的に起動する)、このような位置にない場合には電気出力手段を停止するように構成されることが好ましい。これとは別に、又はこれに加えて、電気出力手段は、電力供給装置に接続されたアンテナを備えることができる。この場合、多くの無接点式携帯用電子機器に電力を供給する製造装置のアンテナを有することができる。電気接点の代わりにアンテナを使用すると、電気接点を確立するために携帯用電子機器の各々を正確に配置する必要がなくなるので、製造装置が単純化される。製造装置は、接点式及び無接点式の両方の電気出力手段を備えることもできる。
製造装置は、携帯用電子機器のアプリケーションの実行が終了したことを、電気出力手段のみを通じて電力供給を受ける(製造装置との他の接続又は通信を必要としない)携帯用電子機器と通信せずに決定するための決定手段を有する。このことは、携帯用電子機器と通信するための追加手段を製造装置に組み込む必要がなく、これにより製造装置Mが非常に単純になるので有利である。実際に、根本的な構造変更を行わなければ、製造装置が通信できる携帯電子機器の数には限界があるのに対し、別の電力供給用ケーブル又はアンテナを追加することは非常に容易である。言うまでもなく、アプリケーションが終了したことを検出するということは、アプリケーションが、割り当てられたタスクを正常に完了したことを意味するものではなく、上述したように、後のステップにおいて正常な終了をチェックできることを意味する。
製造装置の第2の実施形態は以下の通りである。製造装置は、携帯用電子機器の第2の実施形態又はその改善に基づいて携帯用電子機器の組を設定するように設定される。例えば、製造装置は、標準的な個人化機を備えることができる。製造装置は、携帯用電子機器の電気入力手段に電力を供給するように設計された電気出力手段をさらに備える。製造装置Mは、上記携帯用電子機器のアプリケーションの実行が終了したことを、上記電気出力手段を通じて電力供給を受ける携帯用電子機器の通知手段から通知を受け取ることによって決定するための決定手段を備える。この製造装置の第2の実施形態は、通知を受け取るための(非常に単純ではあるが)追加の手段を有することを除き、第1の実施形態と非常に類似する。このような手段は、有線電子機器で構成することができる(実質的なプロトコルが存在しないのでプロセッサは不要である)。製造装置は、通知を受け取ると/受け取った場合、アプリケーションが終了したことを認識するだけでなく、アプリケーションが正常に完了したことも認識する。好ましい実施形態では,通知が受け取られないという状況(携帯用電子機器の故障など)に対処するために、検出手段が、後述する特徴をさらに有することができる。別途説明しない限り、以下の改善は製造装置の第1及び第2の実施形態のいずれにも当てはまり、上述した第1の実施形態の詳細を第2の実施形態に置き換えることができる。
好ましい実施形態では、決定手段が、個々の携帯用電子機器が消費する電力を測定するための手段を備える。これにより、個々の携帯用電子機器を頻繁に個別にモニタできるので、接点モードで動作する製造装置にとっては特に有利である(電気出力手段が複数の携帯用電子機器に電力を供給するという第1の実施形態の特定の変形例の場合を除く)。携帯用電子機器のアプリケーションが実行を終了すると、通常、この携帯用電子機器はこれ以上何も行わず、消費する電力は減る。好ましい実施形態では、携帯用電子機器のアプリケーションが実行を終了すると、携帯用電子機器が待機モードに入ることが好ましく、これにより有効電力/待機電力の比率が100、さらにはそれ以上にもなり得るため、より容易に検出可能となる。この実施形態による決定手段は、どの携帯用電子機器の電力消費が少ないかを検出することができ、またこれに伴ってこのような携帯用電子機器を次の製造段階へ移動させ、自己設定すべき他の携帯用電子機器と置き換わらせることができる。携帯用電子機器が正常な終了を通知した(第2の実施形態)にもかかわらず消費電力が高いままの場合、一般にこの携帯用電子機器には障害があると見なすことができる(この場合は、通知機構がうまく機能しなかったに違いない)。
特に第1の実施形態に関連する単純化した変形例では、全ての電気出力手段が単一の決定モジュールに接続され、この決定モジュールが全消費量を測定し、全体の消費電力が所定の閾値未満に低下した場合、全ての携帯用電子機器が正常に設定されたことを示す。これにより、個々の携帯用電子機器を個別に管理する必要性が避けられる(第2の実施形態では、この実施形態を興味深いものにするために、全ての通知を個別に管理するのではなく、単一の包括的通知を管理するために、これらの通知の全てに論理ANDを実行することを推奨する)。しかしながら、このことは、群全体を自己設定するのに必要な時間が、自己設定にかかる時間が最も長い携帯用電子機器によって決まることも意味する。これには、通常、全ての携帯用電子機器が同じものであること、又は少なくとも携帯用電子機器の全体の消費電力が十分に予測可能であることも必要となる。また、電力供給を受けている携帯用電子機器の数を決定手段に通知するための手段も必要となる。決定手段が1つであることにより、同時に電力供給を受ける携帯用電子機器が多すぎる場合、エラーの危険性が生じ得る(例えば、1000個の携帯機器が存在し、そのうちの999個が待機モードにある場合、最後の1台がまだ待機モードに入っていないことに気付くのが難しく成り得る。従って、共通の決定手段を使用する携帯用電子機器を最大でも100個(又は関連する携帯用電子機器の固有の特徴に基づいて適当と見なされるいずれかの台数)にすること、すなわち製造装置の10個の共通の決定手段により、1000個の携帯用電子機器に電力を同時に供給できることが好ましい。また、製造装置内の携帯用電子機器の組が、電力消費特性が不明な全く異なる機器で構成される場合、携帯用電子機器が全てアプリケーションの実行を終了したことを確信するための上限閾値を定める上で困難が生じる可能性があり、従って予測可能性の問題が生じる恐れがある。従って、好ましい実施形態では、製造装置に、一群の同一の携帯用電子機器が提供される(いずれにせよ、他の理由により大抵の場合がこのようになる)。この実施形態には、携帯電子トークンの1つが機能しなくなった(多くの電力を消費し続ける、又は通知を送信しない)場合、群全体がブロックされ得ることに関連する問題点も潜在的に存在する。この問題点には、以下の改善で対処する。
代替の実施形態では、製造装置が、アプリケーションの実行に見込まれる最長時間を測定するタイマを含む決定手段を備える。従って、この時間が経過すると、全ての携帯用電子機器が設定されたと推測することができる(うまく機能しないものがあっても、例えばその後の製造段階において検出することができる)。この最長時間の使用は非常に単純に行われ、携帯用電子機器が実際に消費した電力の正確な測定がより難しいと考えられる無接点式の携帯用電子機器に非常に適することができる。
好ましい実施形態では、例えば、アプリケーションがまだ設定を行っている携帯用電子機器が切断される危険性を最小限に抑えるために、上述した2つの技術(及びその他の技術)を組み合わせることができる。入力(遅延、消費電力、通知...)が異なると、得られる情報も矛盾することがある。これらの異なる入力間で優先度を定めることができ、この優先度は、例えば消費電力は特定の携帯用電子機器の遅延に優先するがその他には優先しないなどのように、状況に応じて決めることができる。遅延には2つが考えられる。1つは、その後にアプリケーションが正常に終了すると予想される遅延であり、もう1つは、それを過ぎるとアプリケーションが終了又は故障していない可能性がなくなる遅延である。従って、第1の遅延が経過したものの依然として著しく電力が消費されている場合、(アプリケーションは予想よりもわずかに遅いことがあるので、消費電力は正常であると考えて)第2の遅延が過ぎるまで待機することができる。しかしながら、第2の遅延に達すると、アプリケーションが故障したに違いないと見なすことができる。たとえ1つのチップが停止しても、オペレータが来て状況を手動で管理するまで群全体がブロックされないことを確実にするために全体の消費電力しか測定しないが、タイマの遅延が過ぎるとそうでなくなるような実施形態では、遅延を使用することが特に有用である。
好ましい実施形態では、製造装置が、多くの携帯用電子機器を同時に自己設定できるように、100個を超える電気出力手段(M_VCC、M_GND)を備える。製造装置が無接点モードで動作する場合には、通常は製造装置の単一のアンテナを使用して多くの無接点式携帯電子機器に電力を供給できるので、この実施形態は主に接点モードに当てはまる。好ましい実施形態によれば、製造装置が接点モードで機能し、携帯用電子機器と通信できる一定の数N_H個のヘッド(例えば、32個又は64個のヘッド)を備え、(例えば100よりも多くの)別の数N_O個の電気出力手段が携帯用電子機器に電力を供給することができる。製造装置は、最大N_H個の機器と並行して通信すると同時に、最大N_O個の機器がそれ自体を自己設定するようにすることにより、N_H+N_O個の携帯用電子機器を同時に管理するように設定することができる。製造装置が、1種類の携帯用電子機器を設定すると予想される場合、N_O及びN_Hの数を、このような携帯用電子機器に最適となるように調整することができる。例えば、製造装置を使用して電子IDカードを設定する場合、及び電子IDカードの設定時間の7%が個人化機との通信を必要とする一方で、設定時間の93%がRSA鍵の対の生成に費やされていると判断される場合、製造装置は、64個のヘッド及び850個の電気出力手段(93*64/7)を含むことができ、これにより製造装置の処理能力は、鍵対を生成しない64のヘッドを有する標準的な個人化機と同じものになる(これは、あたかも鍵対の生成が瞬間的に行われるかのようである)。例えば、64個のヘッドを有する標準的な個人化機と、携帯用電子機器に電力を供給するための850個の電気出力手段を有するものの個人化能力を有していない(携帯用電子機器にデータを送信できない)異なる基本製造装置などの2つの別個の機械を備えたシステムを有することができる。一方、例えば携帯用電子機器と通信し、次にこの機器に機器自体を設定させ、その後場合によっては再びこの機器と通信するなどのように、両方の手順をより簡単に交互に行えるようにするには、全てを単一の製造装置に入れることが有利となり得る。逆に、2つの別個の装置を有していれば、市販されていることもある個人化機などの新たな複雑な機械を再設計する必要性が避けられる。その後、電力供給のみを行う基本製造装置を別個に提供することができ、特に無接点機器の場合にはこの方が簡単である。
従って、本発明による製造装置の実現可能な実施形態では、本発明の製造装置が2つの下位装置に分かれ、
・携帯用電子機器を設定するための(個人化機などの)既知の製造装置と、
・多くの携帯用電子機器に電力を供給することができ、上述したような決定手段を備えるが、携帯用電子機器を設定するのに必要な機能(すなわち命令の送信、不揮発性メモリへの書き込みなど)を有してない別個の基本製造装置と、
を備えたシステムで構成される。
本発明は、上述したような携帯用電子機器を設定する方法にも関し、この方法は、
・製造装置から電気入力手段を通じて電力を受け取るために、上述したような製造装置に携帯用電子機器を提供するステップと、
・携帯用電子機器内のアプリケーションを自動的に開始させて携帯用電子機器を設定させるステップと、
を含む。
携帯用電子機器、携帯用電子機器を設定するための製造装置、携帯用電子機器を設定する方法という3つの目的/方法のいずれか1つに関して上述した好ましい実施形態及び変形例は、他の2つの目的/方法にも同様に当てはまる。
M 製造装置
SC スマートカード
M_VCC 配線
M_GND 配線

Claims (17)

  1. a.製造設備から電力を受け取るための電気入力手段(VCC、GND、ANT)と、
    b.パーソナライゼーション・マシーンを用いることによってメモリ内にロードされたアプリケーションと、
    を有する携帯用電子機器(SC、TK)であって、
    前記アプリケーションは、
    i.前記電気入力手段(VCC、GND、ANT)に電力が供給されたときに前記製造設備によって自動的に起動し、
    ii.前記携帯用電子機器のコンフィグレーション手順の間であって、パーソナライズ・フェーズの間に前記携帯用電子機器(SC、TK)の外部にあるエンティティと通信しない、ように設定され、
    前記アプリケーション
    a.当該アプリケーションが起動されたとき、前記パーソナライズ・フェーズの間に前記携帯用電子機器(SC、TK)のコンフィグレーションを設定し、
    b.最大で1回しか正常に実行することができない、
    ようにさらに設定される、
    ことを特徴とする携帯用電子機器(SC、TK)。
  2. 前記コンフィグレーション手順が終了し、且つ、前記アプリケーションが正常に実行されると、外部エンティティに通知を行うための通知手段を更に含む、請求項1に記載の携帯用電子機器(SC、TK)。
  3. 前記アプリケーションが完了前に停止又は中断された状況を検出して、前記電気入力手段(VCC、GND、ANT)に次に電力が供給されたときに前記アプリケーションを再開又は再起動するための手段を備える、
    ことを特徴とする請求項1又は請求項2に記載の携帯用電子機器(SC、TK)。
  4. 前記アプリケーションの正常な実行を検出するための手段を備え、前記携帯用電子機器(SC、TK)が、正常な実行が検出された後に、前記携帯用電子機器のメモリから前記アプリケーションを削除するように設定されることを特徴とする請求項1から請求項3のいずれかに記載の携帯用電子機器(SC、TK)。
  5. 前記携帯用電子機器(SC、TK)が、スマートカード(SC)、メモリカード、USBトークン(TK)、電子パスポート、又は電子運転免許証である、
    ことを特徴とする請求項1から請求項4のいずれかに記載の携帯用電子機器(SC、TK)。
  6. 前記携帯用電子機器(SC、TK)が不揮発性メモリを備え、前記携帯用電子機器(SC、TK)のコンフィグレーションを設定することが、非対称暗号鍵の対を生成すること、及び前記鍵対のうちの少なくとも秘密鍵を前記不揮発性メモリに記憶することを含むことを特徴とする請求項1から請求項5のいずれかに記載の携帯用電子機器(SC、TK)。
  7. 前記携帯用電子機器(SC、TK)がフラッシュメモリを備え、前記携帯機器(SC、TK)のコンフィグレーションを設定することが、前記フラッシュメモリを検査することを含むことを特徴とする請求項1から請求項6のいずれかに記載の携帯用電子機器(SC、TK)。
  8. 前記携帯用電子機器(SC、TK)の前記電気入力手段(VCC、GND、ANT)に電力を供給するように設計された電気出力手段(M_VCC、M_GND)備えることを特徴とする、請求項1から請求項7のいずれかに記載の携帯用電子機器(SC、TK)の組をコンフィグレーションするための製造装置(M)。
  9. 前記電気出力手段(M_VCC、M_GND)を通じて電力供給を受ける前記携帯用電子機器(SC、TK)と通信することなく、前記携帯用電子機器の前記アプリケーション(SC、TK)の実行が終了したことを決定するための決定手段とを備えることを特徴とする、請求項に記載の携帯用電子機器(SC、TK)の組をコンフィグレーションするための製造装置(M)。
  10. 前記電気出力手段(M_VCC、M_GND)を通じて電力供給を受ける前記携帯用電子機器(SC、TK)の通知手段から通知を受け取ることによって、前記携帯用電子機器の前記アプリケーション(SC、TK)の実行が終了したことを決定するための決定手段とを備えることを特徴とする、請求項8または請求項9に記載の携帯用電子機器(SC、TK)の組をコンフィグレーションするための製造装置(M)。
  11. 前記電気出力手段が、無接点式の携帯用電子機器(SC、TK)に電力を供給するためのアンテナを備えることを特徴とする請求項8から請求項10のいずれかに記載の製造装置。
  12. 前記電気出力手段(M_VCC、M_GND)が、前記携帯用電子機器(SC、TK)に接続するための電気接点を有することを特徴とする請求項8、請求項9又は請求項10に記載の製造装置。
  13. 前記電気出力手段(M_VCC、M_GND)の電気接点の1組が、複数の携帯用電子機器(SC、TK)に電力を供給するように設定されることを特徴とする請求項12に記載の製造装置。
  14. 前記決定手段が、前記電気出力手段を通じて前記携帯用電子機器(SC、TK)に供給される電力を測定するための手段を含むことを特徴とする請求項8から請求項13のいずれかに記載の製造装置。
  15. 前記決定手段が、前記アプリケーションの実行に見込まれる最も長い時間を測定するタイマを含むことを特徴とする請求項8から請求項14のいずれかに基づく製造装置。
  16. 前記製造装置が、100個を超える電気出力手段(M_VCC、M_GND)を備えることを特徴とする請求項8から請求項15のいずれかに記載の製造装置。
  17. 請求項1から請求項7のいずれかに記載の携帯用電子機器(SC、TK)を構成するための方法であって、
    a.前記製造装置から前記電気入力手段(VCC、GND、ANT)を通じて電力を受け取るために、請求項8から請求項16のいずれかに記載の製造装置の前記電気出力手段(M_VCC、M_GND)前記携帯用電子機器(SC、TK)の前記電気入力手段(VCC、GND、ANT)を提供するステップと、
    b.前記携帯用電子機器(SC、TK)内の前記アプリケーションを自動的に開始させて前記携帯用電子機器(SC、TK)をコンフィグレーションを設定るステップと、
    を含む方法。
JP2012516729A 2009-06-24 2010-06-23 時間制限使用の自動開始アプリケーションを含む機器 Active JP5695037B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP09300008A EP2273364A1 (en) 2009-06-24 2009-06-24 Device with time limited use auto start application
EP09300008.1 2009-06-24
PCT/EP2010/058948 WO2010149722A1 (en) 2009-06-24 2010-06-23 Device with time limited use auto start application

Publications (2)

Publication Number Publication Date
JP2012530993A JP2012530993A (ja) 2012-12-06
JP5695037B2 true JP5695037B2 (ja) 2015-04-01

Family

ID=41461061

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012516729A Active JP5695037B2 (ja) 2009-06-24 2010-06-23 時間制限使用の自動開始アプリケーションを含む機器

Country Status (5)

Country Link
US (1) US9965298B2 (ja)
EP (2) EP2273364A1 (ja)
JP (1) JP5695037B2 (ja)
KR (1) KR101680141B1 (ja)
WO (1) WO2010149722A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2983990B1 (fr) * 2011-12-12 2014-06-20 Oberthur Technologies Lecteur de carte a puce
WO2014079872A1 (en) * 2012-11-23 2014-05-30 Telefonica, S.A. System and method to provide a wireless connection to a communication network and a portable communication device
JP7487837B1 (ja) 2023-11-16 2024-05-21 大日本印刷株式会社 電子情報記憶媒体、icチップ、icカード、鍵データ格納方法、及びプログラム

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4494114B1 (en) * 1983-12-05 1996-10-15 Int Electronic Tech Security arrangement for and method of rendering microprocessor-controlled electronic equipment inoperative after occurrence of disabling event
US20060036864A1 (en) * 1999-12-28 2006-02-16 Parulski Kenneth A Digital camera with image authentication
US6820196B2 (en) * 2001-04-09 2004-11-16 Sony Corporation Flash memory initialization in a DTV set-top box
CA2356823C (en) * 2001-09-10 2010-05-11 Research In Motion Limited System and method for real time self-provisioning for a mobile communication device
US20030061604A1 (en) * 2001-09-21 2003-03-27 General Instrument Corporation Software-code configurable digital appliance
EP1367487A1 (en) * 2002-05-30 2003-12-03 Schlumberger Systèmes Remote application correction
US8060070B2 (en) * 2004-12-22 2011-11-15 Research In Motion Limited System and method for redirecting communications for a mobile device
US20070203594A1 (en) * 2006-02-28 2007-08-30 Sony Corporation Stereo security face plate assembly and method
CN101473336B (zh) * 2006-04-05 2013-05-08 意法爱立信有限公司 移动终端中动态分配用户芯片卡触点的方法与相应的用户芯片卡和移动终端

Also Published As

Publication number Publication date
KR20120109460A (ko) 2012-10-08
WO2010149722A1 (en) 2010-12-29
US20120102237A1 (en) 2012-04-26
EP2446351B1 (en) 2022-01-05
JP2012530993A (ja) 2012-12-06
EP2273364A1 (en) 2011-01-12
EP2446351A1 (en) 2012-05-02
US9965298B2 (en) 2018-05-08
KR101680141B1 (ko) 2016-11-28

Similar Documents

Publication Publication Date Title
TWI384366B (zh) 用於智慧卡記憶體模組之智慧控制器系統及方法
JP3918827B2 (ja) セキュアリモートアクセスシステム
EP2229653B1 (en) System and method for updating read-only memory in smart card memory modules
TWI524275B (zh) 儲存裝置及操作一儲存裝置之方法
TWI436372B (zh) 快閃記憶體儲存系統及其控制器與防資料竄改方法
JP3865629B2 (ja) 記憶装置
JPWO2002099742A1 (ja) 記憶装置
JP2003030613A (ja) 記憶装置及び記憶装置を備えたデータ処理装置
JP5695037B2 (ja) 時間制限使用の自動開始アプリケーションを含む機器
KR101783526B1 (ko) Ic 카드, 전자 장치 및 휴대 가능 전자 장치
JP6527440B2 (ja) 情報処理装置及び情報処理方法
JP2003022216A (ja) 記憶装置
EP1258004B1 (fr) Ecriture en temps reel securisee pour memoire non volatile
KR102099739B1 (ko) 보안 엘리먼트를 관리하는 방법
JP4899499B2 (ja) Icカード発行方法、icカード発行システムおよびicカード
TWM504286U (zh) 內嵌智能晶片之安全數位記憶卡及行動讀卡終端機
JP7487837B1 (ja) 電子情報記憶媒体、icチップ、icカード、鍵データ格納方法、及びプログラム
JP2004102885A (ja) 非接触icカードリーダ装置
JP2024139134A (ja) 電子情報記憶媒体、icチップ、発行データの書き込み方法、及びプログラム
JP6610002B2 (ja) 演算装置、演算方法、及び演算処理プログラム
TW201635205A (zh) 內嵌智能晶片之安全數位記憶卡、行動讀卡終端機及其控制方法
KR20150074820A (ko) 금융 마이크로 sd 카드를 구비한 보안 결제 장치 및 이의 실행 방법
JP2007011591A (ja) 携帯可能電子装置およびicカード

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130613

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140123

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140129

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20140430

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20140509

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140729

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150205

R150 Certificate of patent or registration of utility model

Ref document number: 5695037

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250