JP5468182B2 - 保全電子トークンの動作の分析方法 - Google Patents

保全電子トークンの動作の分析方法 Download PDF

Info

Publication number
JP5468182B2
JP5468182B2 JP2013526418A JP2013526418A JP5468182B2 JP 5468182 B2 JP5468182 B2 JP 5468182B2 JP 2013526418 A JP2013526418 A JP 2013526418A JP 2013526418 A JP2013526418 A JP 2013526418A JP 5468182 B2 JP5468182 B2 JP 5468182B2
Authority
JP
Japan
Prior art keywords
token
electronic token
dedicated application
buffer
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013526418A
Other languages
English (en)
Other versions
JP2013536961A (ja
Inventor
ペリノー オリヴィア
Original Assignee
ジェムアルト エスアー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ジェムアルト エスアー filed Critical ジェムアルト エスアー
Publication of JP2013536961A publication Critical patent/JP2013536961A/ja
Application granted granted Critical
Publication of JP5468182B2 publication Critical patent/JP5468182B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/77Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Telephone Function (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、保全電子トークンの動作の分析方法に関する。特に、保全電子トークンの受信及び発信データの監査方法に関する。
電子トークンは、限られた資源を備える携帯電子装置である。一般的に、電子トークンは異なるタイプの複数のメモリを備える。例えば、電子トークンはRAM、ROM、EEPROM、もしくはフラッシュタイプのメモリを備える。スマートカード、とりわけ汎用ICカード(UICC)は、保全電子トークンである。保全電子トークンは通常、電力及びグラフィカルユーザインターフェイスを提供するホスト装置に接続される。
一般的に、保全電子トークンは、トークンが最初に一つ又はいくつかのステップを通して物理的に形成される通常のライフサイクルに従う。次に、トークンの不揮発性メモリ内に特定のオペレーティングシステムが書き込まれる。トークンの使用種別が判明すると、個人化データの第1のセットがトークンにダウンロードされる。
エンドユーザが判明すると、個人化データの第2のセットがトークンにダウンロードされる。この第2のセットは、エンドユーザの要求に基づいてカスタマイズされる。次に、トークンが発行される。この発行のステップの後、トークンは、新たなアプリケーション、新たなアプリケーションバージョン又は応用データ等の追加データによってアップグレードされる。
ますます複雑なアプリケーションが開発され、そして保全電子トークンに内蔵される。そのようなアプリケーションは、銀行業務、アクセスサービス、ゲーム、もしくはあらゆるサービスに使用される。このようなアプリケーションは一般的に、遠隔アプリケーションサーバと通信するために考案されている。アプリケーションは頻繁に、タイプが大きく異なるいくつかの構成要素を含む。
例えば、アプリケーションは、異なるタイプの遠隔サーバ、これらの遠隔サーバにアクセスするための異なるネットワーク、トークンが接続される異なる通信プロトコル及び異なるホスト装置を要求する。例えば、SIMカードは多くのタイプの携帯電話に使用され、また支払カードはたくさんの異なる支払装置に使用される。
配置段階の前に、これらのアプリケーションは検査され認証を受ける。残念なことに、フィールドにおいてアプリケーションの予期しない動作が起こることがある。そのような予期しない動作はアプリケーションに入り込んだバグによるもの、トークンのオペレーティングシステムに入り込んだバグによるもの、関連するハードウェア要素の不適合によるもの、サーバに入り込んだバグによるもの、もしくはエンドユーザによる不合理な動作によるものである。
保全電子トークンがフィールドに配置されると、このトークンの動作を監視することは困難である。
監視データを提供するために保全電子トークン内のコマンドカウンタを監視することは周知である。コマンドカウンタ値を取得することにより、トークンの使用の分析が実行される。それにもかかわらず、そのようなカウンタは、不十分なデータを提供し、分析は問題の根本的原因の検出に失敗し得る。コマンドカウンタ管理のメカニズムは、トークンの個人化段階の前もしくはその間に初期化される。このメカニズムは凍結され、特定の問題に適用することはできない。
フィールド上のトークンに問題が検出されると、分析は全ての関連する構成要素に関する情報を有する必要がある。多くの場合、これらの構成要素に関して推測することしかできない:サーバアプリケーション、トークンアプリケーション、トークンオペレーティングシステム、ユーザの動作、ホスト装置の動作及びネットワーク動作。従って、調査は極めて達成困難で、費用と時間のかかるものとなり易い。
結果として、保全電子トークンによって提供される監視データをカスタマイズ可能にする必要がある。特に、トークンが発行されフィールド上に配置された後にもカスタマイズされた監視データを取得可能にすることが重要である。
本発明の目的は、上記の技術的問題を解決することである。
本発明の目的は、外部実体とのデータ交換のための通信インターフェイスを備える保全電子トークンの動作の分析方法である。前記保全電子トークンは、作成されてから発行されるものとするライフサイクルを有する。前記方法は:
a)専用アプリケーションを前記保全電子トークンにロード及びインストールし、
b)バッファを生成し、
c)外部装置に前記バッファを送信するステップを備える。
前記ロード及びインストールするステップは、前記保全電子トークンが発行された後に実行される。前記方法は:
d)前記通信インターフェイスを通して交換されたデータを監視し、前記専用アプリケーションに前記交換されたデータを提供するステップを備える。前記バッファは、前記専用アプリケーションによって前記交換されたデータから生成される。
有利には、前記方法は、前記保全電子トークンがどのように使用されているか判定するために、外部装置において前記バッファを分析するステップを備える。
好ましい実施形態において、前記バッファは、前記通信インターフェイスを通して交換されたデータのサブセットを備える。
有利には、前記バッファがプリセットされた閾値に達すると、前記バッファを送信するステップが自動的に開始される。
好ましい実施形態において、前記監視するステップは、前記専用アプリケーションが前記保全電子トークンにロード又はインストールされると自動的に起動される特定の手段によって実行される。
一つの実施形態において、前記監視するステップは、前記専用アプリケーションが前記保全電子トークンから除去されると自動的に停止する特定の手段によって実行される。
一つの実施形態において、前記監視するステップは、前記通信インターフェイスに受信される第一の指令によって起動され、及び/又は、前記通信インターフェイスに受信される第二の指令によって停止される特定の手段によって実行される。
本発明のもう一つの目的は、外部実体とのデータ交換のための通信インターフェイスを備える保全電子トークンである。前記保全電子トークンは、作成されてから発行されるものとするライフサイクルを有する。前記保全電子トークンは、専用アプリケーションをロード及びインストール可能であり、前記通信インターフェイスを通して交換されたデータを監視するための特定の手段を備える。前記特定の手段は、前記専用アプリケーションが前記電子トークンにインストールされている場合にのみ、前記専用アプリケーションに前記交換されたデータを提供するように構成されている。
有利には、前記保全電子トークンはオペレーティングシステムを備え、このオペレーティングシステムは前記特定の手段を備える。
一つの実施形態において、バッファは前記専用アプリケーションによって前記通信インターフェイスを通して交換された前記データから生成され、前記専用アプリケーションは外部装置への前記バッファの送信を要請可能なエクスポート手段を備える。
有利には、前記専用アプリケーションは、前記バッファがプリセットされた閾値に達したことを検出可能な検査手段を備える。
一つの実施形態において、前記特定の手段は、前記専用アプリケーションが前記保全電子トークンにロード又はインストールされると自動的に起動される。
一つの実施形態において、前記特定の手段は、前記専用アプリケーションが前記保全電子トークンから除去されると自動的に停止される。
有利には、前記特定の手段は、前記専用アプリケーションのプリセットされた識別子を備える。
一つの実施形態において、前記保全電子トークンはUICCもしくはSIM機能を備えるトークンである。
本発明に記載の保全電子トークンを備えるホスト装置と遠隔装置とを備えるシステムの一例。 本発明に記載の保全電子トークンの構造を描く概略図。 本発明に記載の、保全電子トークンに受信される対の指令/応答、及び対応して生成されるログのリストの一例。
本発明のその他の特性や利点は、添付の図面を参照しながら、本発明の数々の好ましい実施形態の詳細な説明によってより明確に明らかにされる。
本発明は、通信チャネルを使用して遠隔装置とデータ交換可能な、あらゆるタイプの保全電子トークンに適用される。特に、保全電子トークンは、遠隔装置と保全電子トークンとの間に通信チャネルを確立する手段を提供する無線装置に接続された、汎用ICカード(UICC)、SIMカード、もしくは装置同士(M2M)のトークンである。
本明細書の例において、保全電子トークンはSIMカードであるが、不揮発性メモリ及び遠隔装置とのデータ交換手段の両方を備える、他のいかなる種類の保全電子トークンでもあり得る。トークンはまた、パーソナルコンピュータに接続された、UICCカードもしくはUSBトークンでもある。
本発明は、トークンによって受信/送信されるデータを監視可能な監視手段及びカスタマイズされたアプリケーションの組み合わせに依拠する。監視手段は、トークンに受信される全てのデータをカスタマイズされたアプリケーションに提供することができる。カスタマイズされたアプリケーションは、特定の問題を対象とする特定のタイプの分析によって開発される。カスタマイズされたアプリケーションは、第1の手段によって提供されたデータのサブセットを選択するように構成されている。従って、分析に関連するデータのみがトークンに記憶され、さらなる分析のために外部装置に送信される。
本発明は、テレコムドメイン及びM2Mドメインで使用されることを目的とする保全電子トークンに特に適している。本発明の利点は、接続されたホスト装置からのトークンの抽出を必要とせずにトークンの分析を可能にする点である。本発明により、トークンへの物理的なアクセスは必要とされない。
本発明は、フィールドに配置されたトークンにおいて問題が発生した際に、根本的欠陥を判定することを可能にする。特に、本発明は、主要な問題がトークン自体によるものであるか、配置されたインフラストラクチャ及びアプリケーションの使用によるものであるかを検査する方法を提供する。
図1は、遠隔装置EMと、本発明に記載の保全電子トークンSCを備えるホスト装置HMとを備えるシステムの一例を示す。
遠隔装置EMは、外部装置もしくは遠隔装置とも呼ばれる。遠隔装置EMは、ホスト装置HMを通して保全電子トークンSCとデータを交換可能なサーバである。ホスト装置HMは、携帯電話、もしくは保全電子トークンを接続可能かつ遠隔装置EMと通信可能なあらゆる装置である。この例において、保全電子トークンSCはSIMカードである。
遠隔装置EMは、GSM(登録商標)03.40、GSM03.48、及び/又は、ETSI/SCP−3GPP−3GPP2基準によって規定される、OTAとして知られる無線メカニズムである無線チャネルによってトークンSCとデータを交換可能である。遠隔装置EMとトークンSCとの間の遠隔接続は、ショートメッセージサービス(SMS)もしくはベアラインディペンデントプロトコル(BIP)を伝達手段として使用する。
遠隔装置EMは、携帯電話ネットワークオペレータ(MNO)のマテリアルインフラストラクチャに属する。マテリアルインフラストラクチャは、MNOの携帯電話ネットワークである。このインフラストラクチャは、フィールド上のSIMスマートカードとのデータ交換を可能にする。
また、遠隔装置EMは、ネットワークチャネルによって、特にインターネット又はあらゆる有線リンクを通して、データを交換可能なサーバである。このような場合には、ホスト装置HMは、有線リンクを可能にする通信手段を有する。
また、ホスト装置HMは、M2M装置ボックス、パーソナルコンピュータ、支払端末、又は遠隔装置EMとの通信チャネルを確立可能なあらゆる装置である。
ホスト装置HMは、接続されたトークンSCと通信可能にする通信インターフェイスIN2を備える。トークンSCは、ホスト装置HMを接続するための通信インターフェイスINTを備える。トークンSCは、オペレーティングシステムOSを備える。このオペレーティングシステムOSは、通信インターフェイスINTを通して交換されたデータを監視するように構成されている特定の手段M1を備える。
トークンSCは、トークンの発行時には存在しない専用アプリケーションDRを備えることを目的としている。専用アプリケーションDRは、トークンSCに記憶されるバッファLOを生成することができる。専用アプリケーションDRは、外部装置EMへのバッファLOの内容の送信を要請可能なエクスポート手段M2を備える。専用アプリケーションDRは、バッファLOの内容量がプリセットされた閾値に達したことを検出可能な検査手段M3を備える。
好ましい実施例において、エクスポート手段M2は検査手段M3によって起動される。また、エクスポート手段M2は、あらゆるプリセットされたイベントによって起動される。そのようなプリセットされたイベントは、プリセットされた継続時間、バッファに記憶された多数の指令、インターフェイスINT上で監視された指令の所定の組み合わせ、又はあらゆる関連する特定のイベントである。
特定の手段M1は、専用アプリケーションDRが電子トークンSC内でアクティブな場合にのみ、専用アプリケーションDRに通信インターフェイスINTを通して交換された全てのデータを提供するように構成されている。特定の手段M1は、通信インターフェイスそのものを通して直接、又はトークンのオペレーティングシステムを介して、交換されたデータを監視する。
特定の手段M1は、専用アプリケーションDRに未加工の監視されたデータを送信する。特定の手段M1は監視されたデータを選別しない。
図1及び図2は、点線で描かれたいくつかの構成要素を含む。これらの構成要素は、トークンSCの発行の後に作成される。
図2は、本発明の好ましい実施形態による保全電子トークンの一例として、SIMカードの構造の一例を示す。SIMカードSCは、マイクロプロセッサMP、通信インターフェイスINT、不揮発性メモリMEM、及び作業メモリWMを備える。作業メモリはRAMである。通信インターフェイスINTは、ホスト装置を接続することを目的とし、接続されたホスト装置とデータを交換することを可能にする。
好ましい実施形態において、接続されたホスト装置は携帯電話である。
メモリMEMは、EEPROM又はフラッシュメモリである。メモリMEMは、オペレーティングシステムOS及び閾値THを備える。オペレーティングシステムは、専用アプリケーションDRがSIMカードSC内でアクティブな場合にのみ専用アプリケーションDRに通信インターフェイスINTを通して交換された全てのデータを提供するように構成された特定の手段M1を備える。特定の手段M1は、識別子ID1を備える。識別子ID1は、トークンSC内にインストールされることを目的とする専用アプリケーションDRに達することを可能にする。
メモリMEMは、専用アプリケーションDR及びバッファLOを備えることを目的としている。
専用アプリケーションDRは、バッファLO内にデータを記憶可能である。好ましい実施形態において、バッファLOは逐次的方法で書き込まれる。従って、イベントの時系列はバッファLO内に保持される。
図2の例において、専用アプリケーションDRはエクスポート手段M2及び検査手段M3を備える。
エクスポート手段M2は、バッファLOの内容を遠隔装置EMに送信可能である。
検査手段M3は、バッファLOに記憶されたデータ量がプリセットされた閾値THに達したことを検出可能である。例えば、手段M3は、バッファLOが満杯であることを検出可能である。
図2の例において、トークンは、特定の手段M1を起動及び/又は停止可能な手段M4を備える。好ましい実施形態において、オペレーティングシステムOSは手段M4を備える。
図2の例において、メモリMEMは固有の不揮発性メモリとして実行される。メモリMEMはまた、異なるタイプのいくつかの不揮発性メモリのあらゆる組み合わせとして実行される。
また、バッファLOは揮発性メモリに記憶される。例えば、バッファLOはRAM内に記憶される。この場合、バッファの内容が失われる前に、その送信を処理しなければならない。
オペレーティングシステムOSはバーチャルマシン、特にJava(登録商標)バーチャルマシンもしくは.Net(登録商標)バーチャルマシンを備える。
マイクロプロセッサMPは作業メモリWMと協働し、オペレーティングシステムOSを起動させることを目的としている。二つの手段M1及びM4は、マイクロプロセッサMPによって実行されるソフトウェアアプリケーション、もしくは設計されたハードウェアのいずれかである。これらの二つの手段は、二つの異なる構成要素として実行され、もしくは混合して一つ又はいくつかの構成要素となる。
本発明の記載によると、保全トークンSCの動作の分析方法の実施形態の例は、いくつかのステップを備える。
最初に、保全電子トークンSCが形成される。次に、トークンSCが発行される。次に、トークンSCがホスト装置(例えば、SIMカードの場合においては携帯電話機)に接続される。このとき、トークンSCは、起動されていない特定の手段M1を備える。トークンSCは正常に使用される。
トークンSCの使用中に特定の障害が発生すると、専用アプリケーションDRが開発されなければならない。専用アプリケーションDRは、ターゲットとされた特定の障害に基づいて作成されなければならない。専用アプリケーションDRは、バッファLOに記憶された選択的なログを作り出すように設計されなければならない。
例えば、専用アプリケーションDRは端末プロファイル指令のみを記憶する。別の例において、専用アプリケーションDRは支払取引に関する指令のみを記憶する。別の例において、専用アプリケーションDRはトークンに内蔵された既定のアプリケーションに関する指令のみを記録する(トークンが複数の異なるアプリケーションを内蔵していると仮定する)。
次に、専用アプリケーションDRはトークンSC内にダウンロードされる。専用アプリケーションDRは次にインストールされる。この段階で、専用アプリケーションDRは起動状態にある。好ましい実施形態において、専用アプリケーションDRがインストールされると、ホスト装置HMの手段M4は手段M1を自動的に起動する。
通信インターフェイスINTを通してトークンSCとホスト装置HMとの間で交換された全てのデータは、手段M1によって専用アプリケーションDRに転送される。これらの転送されたデータは、監視されたデータとも呼ばれる。専用アプリケーションDRは、ターゲットとされる監視されたデータを選択し、ターゲットとされる監視されたデータのサブセットを生成する。ターゲットとされる監視されたデータは、追跡されたデータとも呼ばれる。専用アプリケーションDRは、バッファLO内にこのサブセットを記憶する。
監視されたデータのサブセットは、監視されたデータ全体の一部を保持することによって生成される。サブセットは、データのタイプ、データの価値、データの受信者又は発行者に基づいてデータを選択することによって生成される。有利には、サブセットは、日付/時間もしくはトークン内で起動されたアプリケーションタイプに基づいてデータを選択することによって生成される。一つの例において、専用アプリケーションDRは、既定のリストに属する指令のみを保持する。別の例において、専用アプリケーションDRは、発信データのみを保持する(もしくは受信データのみ)。
別の例において、専用アプリケーションDRは、トークンに内蔵されたターゲットとされるアプリケーションに関するデータを保持する。別の例において、専用アプリケーションDRは、特定のアプリケーションサーバから受信される、もしくは特定のアプリケーションサーバに発信されるデータのみを保持する。別の例において、専用アプリケーションDRは、トークンに接続されたホスト装置から出ないデータを保持する。言い換えれば、専用アプリケーションDRは、ホスト装置における内部使用のためにホスト装置で生成されたデータもしくはホスト装置によって受信されたデータのみを保持する。
図3は、手段M1によって監視されている7つの指令/応答のセットEDの一例を示す。図3に示されるように、専用アプリケーションDRは、バッファLO内に記録される四つの指令/応答のサブセットSUを生成する。より正確には、手段M1は、第1の指令CD1及び対応する応答RE1、第2の指令CD2及び対応する応答RE2、CD3/RE3、CD4/RE4、CD5/RE5、CD6/RE6、そして第7の指令CD7及び対応する応答RE7を専用アプリケーションDRに送信する。
専用アプリケーションDRは、その内部基準に基づき、指令/応答CD2/RE2、CD3/RE3、CD5/RE5、及びCD7/RE7のサブセットSUを選択する。専用アプリケーションDRは、このサブセットSUをバッファLO内に記憶する。
例えば、選択された指令は、RunGSMAlgo、Authenticate、UpdateFile、もしくはEnvelopeのようなSIMツールキット(STK)指令である。
別の例において、選択されたデータは、SIMから携帯電話機に送信される、“Display Text(テキストを表示する)”及び“Send SMS(SMSを送信する)”のような先行指令である。選択されたデータはまた、携帯電話機からSIMに送信される、“call connected(接続完了)”及び“Location change(位置変更)”のようなイベントである。
さらなる例において、選択されたデータは、銀行業務のドメインにおいて使用される指令のセットである。例えば、選択されたデータは、“GenerateAC(AC作成)”、“GetProcessingOptions(処理オプション取得)”、“ChangePIN(暗証番号変更)”、及び“UnblockPIN(暗証番号解除)”のようなEMV指令である。
定期的に、専用アプリケーションDRの検査手段M3は、バッファLOの内容量を検証する。バッファLOに記憶されたデータ量がプリセットされた閾値THに達すると、エクスポート手段M2が起動される。エクスポート手段M2は、バッファLOの内容の所定の遠隔装置EMへの送信を開始する。
例えば、エクスポート手段M2は、外部装置EMにバッファLOの内容を送信するようオペレーティングシステムOSに要求する。バッファの送信は、トークンがUICCもしくはSIMカードである場合、SMSメカニズムを通して実行される。専用アプリケーションDRによって開始されるこの送信は、当業者に周知である。バッファLOの内容は、接続されたホスト装置HMを通して遠隔装置EMに送信される。
有利には、遠隔装置EMは、バッファ送信の管理に使用される閾値THのアップデートを要求する。
一つの例において、バッファLOは、バッファに記憶されたデータ量が少なくとも1000バイトであると送信される。この閾値は、トークン内の利用可能な空き容量によって決まる。有利には、閾値は専用の指令によって設定可能である。別の例によると、バッファが80%満たされると、バッファLOは送信される。また、バッファLO内に記録された指令の数がプリセットされた閾値に達すると、バッファの送信が自動的に開始される。例えば、バッファが少なくとも100もしくは500の追跡されたデータを備えると、バッファの内容が送信される。
遠隔装置EMがバッファLOから十分なデータを受信すると、専用アプリケーションDRを停止するために、特定の指令がトークンSCに送信される。この停止ステップは、特定の手段M1を停止する、もしくは専用アプリケーションDRそのものを停止することのいずれかにより実行される。
特定の手段M1の停止はまた、特定の手段M1を停止可能な手段M4によって実行される。
また、この停止ステップは、トークンSCから専用アプリケーションDRをアンインストールもしくは除去することによって実行される。
一つの実施形態において、特定の手段M1は、専用アプリケーションDRの識別子ID1を備える。従って、特定の手段M1は、専用アプリケーションDRにアクセスするために識別子ID1を使用する。有利には、識別子ID1はプリセットされた値を有する。
初期設定により、交換されたデータの監視は自動的に起動される。言い換えれば、専用アプリケーションDRが電子トークンSC内に起動されると、特定の手段M1による監視されたデータの送信は自動的に開始される。
専用アプリケーションDRは、フィールド上にある一つ又はいくつかのトークンにダウンロードされる。
有利には、専用アプリケーションDRは、選択ルールを備えるように設計されている。選択ルールは、ターゲットとされた問題の分析に適した監視されたデータを選択する(もしくはしない)。トークンアプリケーションの技術分野の当業者には、このような選択ルールを設計することが可能である。
有利には、専用アプリケーションDRは、暗号化ルールを備えるように設計されている。暗号化ルールは、バッファLO内に翻訳されたデータを記憶する前に、特定のシンタックスを使用して選択された監視されたデータを翻訳することを目的とする。このような暗号化ルールはまた、選択された監視されたデータからの情報の特定の部分を抽出する。従って、これらの暗号化ルールは、バッファ内にデータを記憶するのに必要なメモリサイズを減らすことを可能にする。
これらの暗号化コードは、選択された監視されたデータに属する重要な要素のみを保持することを可能にする。例えば、選択された監視されたデータがAPDU指令である場合、ヘッダは1バイトの識別子に置換される。従って、ISO7816標準に規定されるように、ヘッダの4バイトは1バイトに置換される。トークンアプリケーションの技術分野の当業者には、このような暗号化ルールを設計することが可能である。
有利には、バッファLOの内容は、データの記憶の前もしくはバッファ内容の送信の前に圧縮される。
有利には、遠隔装置EMは、バッファの送信を管理するために使用される閾値THのアップデートを要求する。
バッファ内容は、プッシュ又はプルモードのいずれかにおいて遠隔装置EMによって取得される。特定の指令は、バッファ送信を要求するために使用される。言い換えれば、トークンSCがバッファ内容を遠隔サーバEMに送信する決定を行う、もしくは遠隔サーバEMがトークンSCにバッファ内容を要求する。この最後の例において、エクスポート手段M2は、閾値に基づいてバッファ内容を送信する決定を行う。
また、バッファLOは、保全トークンのそれぞれの起動フェーズにおいて送信される。
遠隔装置EMがバッファLOから十分なデータを受信すると、監視されたデータの分析が実行される。分析は、自動又は手動で実行される。バッファ内容の分析は、トークンSCの動作及び使用を判定することを目的とする。例えば、トークンSCにストレスを加える一連の動作がバッファLOの内容から取得される。
有利には、バッファLOの分析は、トークンがエンドユーザによって間違って使用されていると結論付ける。そのような場合、警告メッセージがトークンのエンドユーザもしくは関係当局に送信される。
本発明により、トークンに予期できない組み合わせの応用指令が送信された場合にも、保全トークンを使用するアプリケーションの深い分析に着手することが可能である。一般的に、保全トークンを使用するアプリケーションは、トークンに接続された装置HMに記憶される。この接続された装置HMは、無線装置ボックス、携帯電話、あるいはトークンとデータ交換可能なあらゆるコンピュータである。
有利には、バッファ内容は、キーによってトークン内に暗号化され、遠隔装置EM内に解読される。秘密キーは、トークン及び装置EMの両方によって共有される。また、トークン及び装置EMは、公開キー/秘密キーの対を使用する。
本発明により、保全電子トークンの問題の根本的原因が回復される。本発明は、トークンの通常稼動に関わるあらゆる装置から発生する障害を検出することを可能にする。特に、本発明は、異常なネットワーク相互作用、接続された装置(例えば、携帯電話又は無線モジュール又はトークンに接続されるあらゆる装置)の異常な動作、アプリケーション(接続されたホスト装置HMもしくはトークンそのもののいずれかの中で稼動している)の異常な動作、エンドユーザの異常な動作、及びトークンのチップ品質から発生する問題を特定することを可能にする。
有利には、既定の配置されたトークン上の単一故障をターゲットにするために、いくつかの異なる専用アプリケーションが開発される。従って、いくつかのバッファが遠隔装置EMによって取得され、分析がこれらのバッファを照合する。
本発明の利点は、ターゲットとされた、トークンと接続されたホスト装置との間で交換されたデータのタイプに正確に焦点を当てる、柔軟な解決を提供する点である。
本発明によって、エンドユーザとの相互作用は要求されない。
本発明は、装置同士(M2M)のドメイン専用の保全電子トークンにおいて実行される。M2Mドメインは、M2M通信サービスを提供するためにシステムに組み込まれている無線モジュールを使用する。無線モジュールは、SIMカードなどの保全電子トークンを備える。本発明は、自動車、自動販売機、及び飲料販売機に使用されるM2Mトークンにおいて実行される。
トークンの存続期間は、トークンに内蔵された不揮発性メモリの使用によって決まる。保全電子トークンの今後の存続期間を推定するためには、ミッションプロファイルがトークンに加えられる。そのようなミッションプロファイルは、トークンの今後の使用を示すように構成されている。通常、ミッションプロファイルは、トークンによって実行されるべき応用指令の数を推定することによって形成される。本発明により、トークンに受信される指令のタイプと数がわかる。情報の断片を知ることにより、トークンの推定の存続期間の算出が可能となる。
この算出は、それぞれのタイプの指令の処理によるメモリの消耗を考慮に入れる。例えば、ミッションプロファイルは、3つの“authenticate(証明)”指令、2つの“select file(ファイル選択)”指令、及び4つの“update file(ファイルアップデート)”指令が日常的に実行されるという前提に基づく。評価はまた、月単位もしくは年単位で算出される。トークンの発行者は一定のトークン存続期間を確約しなければならないため、トークンの存続期間の査定は重要である。特に、トークンの存続期間に関する全ての問題は、契約上の保証によって処理される。
本発明は、フィールド上に既に配置されているトークンの使用に関する情報を取得することを可能にする。従って、トークンのミッションプロファイルは形成され、アップデートされ、又は承認される。
有利には、接続されたホスト装置のタイプ又は識別子は、バッファLOとともに遠隔装置EMに送信される。
本発明はまた、ホスト装置とのデータ交換のための無線通信インターフェイスを有する保全電子トークンにも適用される。言い換えれば、トークンは、無線通信インターフェイスを通してホスト装置を接続する。
有利には、専用アプリケーションDRの実行は、認証、キー、暗号などの通常のセキュリティメカニズムによって保証される。
CD:指令
DR:専用アプリケーション
EM:遠隔装置、外部装置
HM:ホスト装置、外部実体
ID1:識別子
IN2:通信インターフェイス
INT:通信インターフェイス
LO:バッファ
M1:特定の手段
M2:エクスポート手段
M3:検査手段
M4:手段
MEM:不揮発性メモリ
MP:マイクロプロセッサ
OS:オペレーティングシステム
RE:応答
SC:保全電子トークン
SU:サブセット
TH:閾値
WM:作業メモリ

Claims (15)

  1. 保全電子トークン(SC)の動作の分析方法であって、前記電子トークン(SC)は外部実体(HM)とデータ(CD1、RE1)を交換するための通信インターフェイス(INT)を備え、前記電子トークン(SC)は、作成されてから発行されるものとするライフサイクルを有し、
    a)専用アプリケーション(DR)を前記電子トークン(SC)にロード及びインストールし、
    b)バッファ(LO)を生成し、
    c)外部装置(EM)に前記バッファ(LO)を送信する
    ステップを備える前記分析方法において、
    前記ロード及びインストールするステップは、前記電子トークン(SC)が発行された後に実行され、前記分析方法は:
    d)前記電子トークン(SC)に内蔵された特定の手段(M1)によって交換されたデータ(CD1、RE1)を監視し、前記専用アプリケーション(DR)に前記交換されたデータ(CD1、RE1)を提供し、前記専用アプリケーション(DR)によって前記交換されたデータ(CD1、RE1)から前記バッファ(LO)が生成されるステップを備えることを特徴とする分析方法。
  2. 前記分析方法において、
    e)前記電子トークン(SC)がどのように使用されているか判定するために、前記外部装置(EM)において前記バッファ(LO)を分析するステップを備える、請求項1に記載の分析方法。
  3. 前記分析方法において、前記バッファ(LO)が前記交換されたデータ(CD1、RE1)のサブセットを備える、請求項1又は2に記載の分析方法。
  4. 前記分析方法において、前記バッファ(LO)がプリセットされた閾値(TH)に達すると、前記バッファ(LO)を送信するステップが自動的に始動する、請求項1乃至3のいずれかに記載の分析方法。
  5. 前記分析方法において、前記専用アプリケーション(DR)が前記電子トークン(SC)にロードもしくはインストールされると、前記特定の手段(M1)が自動的に起動する、請求項1乃至4のいずれかに記載の分析方法。
  6. 前記分析方法において、前記専用アプリケーション(DR)が前記電子トークン(SC)から除去されると、前記特定の手段(M1)が自動的に停止する、請求項1乃至5のいずれかに記載の分析方法。
  7. 前記分析方法において、前記特定の手段(M1)は、前記通信インターフェイス(INT)に受信される第一の指令によって起動され、及び/又は、前記通信インターフェイス(INT)に受信される第二の指令によって停止される、請求項1乃至4のいずれかに記載の分析方法。
  8. 外部実体(HM)とデータ(CD1、RE1)を交換するための通信インターフェイス(INT)を備える保全電子トークン(SC)であって、前記電子トークン(SC)は作成されてから発行されるものとするライフサイクルを有し、前記電子トークン(SC)は専用アプリケーション(DR)をロード及びインストール可能である、前記保全電子トークン(SC)において:
    −交換されたデータ(CD1、RE1)を監視するための特定の手段(M1)であり、前記特定の手段(M1)は、前記専用アプリケーション(DR)が前記電子トークン(SC)にインストールされた場合にのみ前記専用アプリケーション(DR)に前記交換されたデータ(CD1、RE1)を提供するように構成され、前記専用アプリケーション(DR)は前記交換されたデータ(CD1、RE1)からバッファ(LO)を生成するように構成され、前記バッファ(LO)は外部装置(EM)に送信されることを目的とする、特定の手段を備えることを特徴とする保全電子トークン。
  9. 前記保全電子トークンにおいて、前記電子トークン(SC)がオペレーティングシステム(OS)を備え、前記オペレーティングシステム(OS)が前記特定の手段(M1)を備える、請求項8に記載の保全電子トークン。
  10. 前記保全電子トークンにおいて、前記専用アプリケーション(DR)が、外部装置(EM)への前記バッファ(LO)の送信を要請可能なエクスポート手段(M2)を備える、請求項8又は9に記載の保全電子トークン。
  11. 前記保全電子トークンにおいて、前記専用アプリケーション(DR)が、前記バッファ(LO)がプリセットされた閾値に達したことを検出可能な検査手段(M3)を備える、請求項8又は9に記載の保全電子トークン。
  12. 前記保全電子トークンにおいて、前記専用アプリケーション(DR)が前記電子トークン(SC)にロードもしくはインストールされると、前記特定の手段(M1)が自動的に起動する、請求項8乃至11のいずれかに記載の保全電子トークン。
  13. 前記保全電子トークン(SC)において、前記専用アプリケーション(DR)が前記電子トークン(SC)から除去されると、前記特定の手段(M1)が自動的に停止する、請求項8乃至12のいずれかに記載の保全電子トークン。
  14. 前記保全電子トークン(SC)において、前記特定の手段(M1)が、前記専用アプリケーション(DR)のプリセットされた識別子(ID1)を備える、請求項8乃至13のいずれかに記載の保全電子トークン。
  15. 前記保全電子トークン(SC)において、前記保全電子トークン(SC)はUICCもしくはSIM機能を備えるトークンである、請求項8乃至14のいずれかに記載の保全電子トークン。
JP2013526418A 2010-09-10 2011-08-25 保全電子トークンの動作の分析方法 Active JP5468182B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP10305973A EP2437195A1 (en) 2010-09-10 2010-09-10 Method of analyzing the behavior of a secure electronic token
EP10305973.9 2010-09-10
PCT/EP2011/064677 WO2012031905A1 (en) 2010-09-10 2011-08-25 Method of analyzing the behavior of a secure electronic token

Publications (2)

Publication Number Publication Date
JP2013536961A JP2013536961A (ja) 2013-09-26
JP5468182B2 true JP5468182B2 (ja) 2014-04-09

Family

ID=43579159

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013526418A Active JP5468182B2 (ja) 2010-09-10 2011-08-25 保全電子トークンの動作の分析方法

Country Status (5)

Country Link
US (1) US9053328B2 (ja)
EP (2) EP2437195A1 (ja)
JP (1) JP5468182B2 (ja)
KR (1) KR101489102B1 (ja)
WO (1) WO2012031905A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10592888B1 (en) 2012-12-17 2020-03-17 Wells Fargo Bank, N.A. Merchant account transaction processing systems and methods
EP2797003A1 (en) * 2013-04-26 2014-10-29 Giesecke & Devrient GmbH Method for flash memory management of a secure element
FR3021437B1 (fr) * 2014-05-21 2016-07-01 Oberthur Technologies Procede et systeme de test de qualite de service

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001118042A (ja) * 1999-10-19 2001-04-27 Hitachi Ltd カード監視方法
DE10004847A1 (de) * 2000-02-02 2001-08-09 Mannesmann Ag SIM-Toolkit-Application-Dienstgüte-Erfassung
DE602004017793D1 (de) * 2004-12-30 2008-12-24 Telecom Italia Spa System zur überwachung der dienstqualität in einem kommunikationsnetz
DE102006016994A1 (de) * 2006-04-11 2007-10-18 Giesecke & Devrient Gmbh Erfassen des Betriebsmittelverbrauchs
ES2302633B1 (es) * 2006-11-23 2009-05-01 Vodafone España, S.A. Procedimiento para gestionar el disparo de aplicaciones u/sim toolkit.
US20080182621A1 (en) * 2007-01-31 2008-07-31 Sony Ericsson Mobile Communications Ab Sim application toolkit application to track phone usage and location
US20090275307A1 (en) * 2008-05-01 2009-11-05 Starscriber Corporation Mobile Communications Facilitated by Interactive Menus
WO2010011467A1 (en) * 2008-06-29 2010-01-28 Oceans' Edge, Inc. Mobile telephone firewall and compliance enforcement system and method

Also Published As

Publication number Publication date
WO2012031905A1 (en) 2012-03-15
EP2437195A1 (en) 2012-04-04
KR101489102B1 (ko) 2015-02-02
EP2614456B1 (en) 2015-07-01
KR20130045920A (ko) 2013-05-06
JP2013536961A (ja) 2013-09-26
EP2614456A1 (en) 2013-07-17
US9053328B2 (en) 2015-06-09
US20130219494A1 (en) 2013-08-22

Similar Documents

Publication Publication Date Title
EP2508014B1 (en) Methods, secure element, server, computer programs and computer program products for improved application management
GB2517155A (en) Local evaluation of computer equipment
EP2829996A1 (en) Authentication method, authentication apparatus and authentication device
CN103051456B (zh) 一种管理智能sd卡内应用程序的方法及系统
US20140273973A1 (en) Method and system for replacing key deployed in se of mobile terminal
JP4972706B2 (ja) 独自のメモリ装置識別表示を管理する方法、サーバー及びモバイル通信装置
JP5468182B2 (ja) 保全電子トークンの動作の分析方法
CN105187410A (zh) 一种应用的自升级方法及其系统
US9756044B2 (en) Establishment of communication connection between mobile device and secure element
KR102099739B1 (ko) 보안 엘리먼트를 관리하는 방법
JP2020024758A (ja) 工場状態に復元可能な保全素子
CN106651555A (zh) 一种网络开票机共享网络的方法、网络开票机及系统
EP2584755A1 (en) Method of sending a command to a secure element
EP3320437A1 (en) Integrated circuit card adapted to transfer first data from a first application for use by a second application
EP2499642B1 (en) Method of analyzing the wear of a non volatile memory embedded in a secure electronic token
KR101718916B1 (ko) 패키지 파일의 전달 단말과 패키지 파일의 수집 서버 및 이들을 이용하여 패키지 파일을 전달하고 수집하는 방법
EP3086257A1 (en) Method of managing a secure element embedded in a host device
KR20100018413A (ko) 단말 설정 방법 및 장치

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130305

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140116

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140121

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140128

R150 Certificate of patent or registration of utility model

Ref document number: 5468182

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250