特許 6871287 キーパッド設備、キーパッドを提供する方法、及びキーパッドに使用されるセキュリティ攻撃を検出する方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6871287

(24)【登録日】2021年4月19日

(45)【発行日】2021年5月12日

(54)【発明の名称】キーパッド設備、キーパッドを提供する方法、及びキーパッドに使用されるセキュリティ攻撃を検出する方法

(51)【国際特許分類】

   H03M 11/00 20060101AFI20210426BHJP

   G06F 21/83 20130101ALI20210426BHJP

【ＦＩ】

   H03M11/00 600

   G06F21/83

【請求項の数】12

【全頁数】14

(21)【出願番号】特願2019-35104(P2019-35104)

(22)【出願日】2019年2月28日

(65)【公開番号】特開2019-161646(P2019-161646A)

(43)【公開日】2019年9月19日

【審査請求日】2019年2月28日

(31)【優先権主張番号】15/917,854

(32)【優先日】2018年3月12日

(33)【優先権主張国】US

【前置審査】

(73)【特許権者】

【識別番号】508197206

【氏名又は名称】新唐科技股▲ふん▼有限公司

(74)【代理人】

【識別番号】100102923

【弁理士】

【氏名又は名称】加藤 雄二

(72)【発明者】

【氏名】ジヴ ハーシュマン

【審査官】 木村 慎太郎

(56)【参考文献】

【文献】 特開２０１２−２３０６７７（ＪＰ，Ａ）

【文献】 特開２０１０−２５０４１２（ＪＰ，Ａ）

【文献】 特開２０１８−０１０３６５（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｈ０３Ｍ １１／００

Ｇ０６Ｆ ２１／８３

(57)【特許請求の範囲】

【請求項1】

回路と、キーパッドと、アクティブシールド層とを備えるキーパッド設備であって、
前記キーパッドは、使用者がデータを前記回路に入力するための一つまたは複数のキーを備え、
前記アクティブシールド層は前記回路と前記キーパッドの間に設置され、且つ前記回路の少なくとも一部をシールドするパターンの内に設置される一つまたは複数の導体を備え、
特定エリア内の前記アクティブシールド層の前記一つまたは複数の導体は、前記一つまたは複数のキーのコンタクトを検出するように形成される、
前記回路は、少なくとも一つの第一信号を前記アクティブシールド層に送信し、前記アクティブシールド層から少なくとも一つの第二信号を受信し、且つ前記少なくとも一つの第一信号と前記少なくとも一つの第二信号との時間遅延を測定することによって、前記使用者による正当なキーのアクティベーションとセキュリティ攻撃を区別するように構成される、
前記回路は、ダミー信号を前記アクティブシールド層に送信するように構成されることを特徴とする、キーパッド設備。

【請求項2】

前記回路は、前記アクティブシールド層の前記一つまたは複数の導体を介して信号を送信し、前記信号を探知し、且つ探知された前記信号に基づいて、前記回路または前記キーパッドへのセキュリティ攻撃を検出するように構成されることを特徴とする、請求項１に記載のキーパッド設備。

【請求項3】

前記回路は、前記アクティブシールド層の前記一つまたは複数の導体のキャパシタンスによって前記正当なキーのアクティベーションと前記セキュリティ攻撃を区別するように構成されることを特徴とする、請求項１に記載のキーパッド設備。

【請求項4】

前記回路は単一のキーの正当なアクティベーションと複数のキーの正当なアクティベーションを更に区別するように構成されることを特徴とする、請求項１に記載のキーパッド設備。

【請求項5】

前記アクティブシールド層は、多層基板内に形成され、前記多層基板の中に、前記アクティブシールド層の少なくとも一部において、前記アクティブシールド層の第一導体と第二導体は異なる層にルートされ、且つその異なる層の一層は他層の下に設置されることを特徴とする、請求項１に記載のキーパッド設備。

【請求項6】

前記キーパッド及び前記アクティブシールド層は、前記アクティブシールド層の一対の導体を短絡するように構成されることを特徴とする、請求項１に記載のキーパッド設備。

【請求項7】

前記キーパッド及び前記アクティブシールド層は、キーのアクティベーションを介して、前記アクティブシールド層の導体の常閉電気導通をブレークするように構成されることを特徴とする、請求項１に記載のキーパッド設備。

【請求項8】

前記キーパッド及び前記アクティブシールド層は、前記キーのアクティベーションを前記アクティブシールド層の導体の個別コンデンサに接続するように構成されることを特徴とする、請求項１に記載のキーパッド設備。

【請求項9】

キーパッドに使用されるセキュリティ攻撃を検出する方法であって、
少なくとも一つの第一信号をアクティブシールド層の一つまたは複数の導体に送信するステップと、
前記アクティブシールド層から少なくとも一つの第二信号を受信するステップと、
前記少なくとも一つの第一信号と前記少なくとも一つの第二信号の間の時間遅延を計測することによって、正当なキーのアクティベーションとセキュリティ攻撃を区別するステップとを含み、
前記アクティブシールド層は、前記キーパッドによりデータが入力される回路と前記キーパッドの間に設置され、前記キーパッドは、使用者がデータを前記回路に入力するための一つまたは複数のキーを備え、
前記アクティブシールド層の前記一つまたは複数の導体は前記回路の少なくとも一部をシールドするパターンの内に設置され、
特定エリア内の前記アクティブシールド層の前記一つまたは複数の導体は、前記一つまたは複数のキーのコンタクトを検出するように形成され、
前記回路は、ダミー信号を前記アクティブシールド層に送信するように構成されていることを特徴とする、キーパッドに使用されるセキュリティ攻撃を検出する方法。

【請求項10】

前記セキュリティ攻撃と前記使用者による正当なキーのアクティベーションを区別するステップは、前記アクティブシールド層の導体のキャパシタンスを計測するステップを含むことを特徴とする、請求項９に記載の方法。

【請求項11】

単一のキーの正当なアクティベーションと複数のキーの正当なアクティベーションを区別するステップを更に含むことを特徴とする、請求項９に記載の方法。

【請求項12】

キーのアクティベーションが、前記アクティブシールド層の前記一つまたは複数の導体中の一対の導体を短絡するステップ、前記アクティブシールド層の導体の常閉電気導通をブレークするステップ、及び前記アクティブシールド層の導体の個別コンデンサに接続するステップのうちの一つを実行するように、前記キーパッド及び前記アクティブシールド層を設置することを特徴とする、請求項９に記載の方法。

【発明の詳細な説明】

【技術分野】

【0001】

本出願は２０１８年３月１２日に出願した米国仮特許出願第１５／９１７８５４号の優先権および利益を主張し、すべての目的のために、本明細書全体において参照として組み込まれる。

【0002】

本発明は、主に安全なキーパッドに関わり、特に、キーパッドコンタクトとして機能するアクティブシールドに関する。

【背景技術】

【0003】

現在、様々なタイプの安全なキーパッド及びそれを製造する方法は、当分野において知られている。例えば、米国特許第８２３８１１０号は、機密データを入力するためのキーパッドを含む電子装置の侵入に対する保護装置が記載されている。ハウジングに対する干渉防止のアドバイスは、電子カード上に明確に配置され、処理手段に接続する少なくとも二つの導電端子と、及びその間に電気回路を遮断するように二つの導電端子に対して配置された保護回路とを備える。保護回路は、保護回路の劣化に応じて遮断された電気回路を開くように適切な手段を備える。

【先行技術文献】

【特許文献】

【0004】

【特許文献1】米国特許第８２３８１１０号公報

【発明の概要】

【0005】

本明細書で説明する実施例は、回路と、キーパッドと、アクティブシールド層とを備えるキーパッド設備を提供する。キーパッドは、使用者がデータを回路に入力するための一つまたは複数のキーを備え、アクティブシールド層は回路とキーパッドの間に設置され、且つ回路の少なくとも一部をシールドするパターンの内に設置される一つまたは複数の導体を備える。特定エリア内のアクティブシールド層の一つまたは複数の導体は、一つまたは複数のキーのコンタクトを検出するように形成される。

【0006】

いくつかの実施例において、回路はアクティブシールド層の一つまたは複数の導体を介して信号を送信し、信号を探知し、且つ探知された信号に基づいて、回路またはキーパッドへのセキュリティ攻撃（ｓｅｃｕｒｉｔｙ ａｔｔａｃｋ）を検出するように構成される。いくつかの実施例において、回路はアクティブシールド層の一つまたは複数の導体を探知し、且つ探知された一つまたは複数の導体に基づいて、（ｉ）使用者による正当なキーのアクティベーション（ｌｅｇｉｔｉｍａｔｅ ｋｅｙ ａｃｔｉｖａｔｉｏｎ）、及び（ｉｉ）回路またはキーパッドへのセキュリティ攻撃を検出するように構成される。

【0007】

一実施例において、回路は少なくとも一つの第一信号をアクティブシールド層に送信し、アクティブシールド層から少なくとも一つの第二信号を受信し、且つ少なくとも一つの第一信号と少なくとも一つの第二信号との時間遅延を測定することによって、正当なキーのアクティベーションとセキュリティ攻撃を区別するように構成される。もう一つの実施例において、回路はアクティブシールド層の一つまたは複数の導体のキャパシタンス（静電容量）によって正当なキーのアクティベーションとセキュリティ攻撃を区別するように構成される。更にもう一つの実施例において、回路は単一のキーの正当なアクティベーションと複数のキーの正当なアクティベーションを更に区別するように構成される。

【0008】

開示された一実施例において、回路はダミー信号を前記アクティブシールド層に送信するように構成される。一実施例において、アクティブシールド層は、多層基板内に形成され、多層基板の中に、アクティブシールド層の少なくとも一部において、アクティブシールド層の第一導体と第二導体は異なる層にルートされ、且つその異なる層の一層は他層の下に設置される。

【0009】

いくつかの実施例において、キーパッド及びアクティブシールド層は、アクティブシールド層の一対の導体を短絡するように構成される。他の実施例において、キーパッド及びアクティブシールド層は、キーのアクティベーションを介して、アクティブシールド層の導体の常閉（ｎｏｒｍａｌｌｙ−ｃｌｏｓｅｄ）電気導通（ｅｌｅｃｔｒｉｃａｌ ｃｏｎｔｉｎｕｉｔｙ）をブレークするように構成される。他の実施例において、キーパッド及びアクティブシールド層は、キーのアクティベーションをアクティブシールド層の導体の個別コンデンサ（ｒｅｓｐｅｃｔｉｖｅ ｃａｐａｃｉｔｏｒ）に接続するように構成される。

【0010】

本発明の実施例により、キーパッドに使用されるセキュリティ攻撃を検出する方法が提供される。この方法は、アクティブシールド層の一つまたは複数の導体を探知するステップと、探知された一つまたは複数の導体に基づいて、回路またはキーパッドへのセキュリティ攻撃を検出するステップとを含み、アクティブシールド層は、回路及び前記キーパッドの間に設置され、キーパッドは、使用者がデータを前記回路に入力するための一つまたは複数のキーを備え、アクティブシールド層の一つまたは複数の導体は回路の少なくとも一部をシールドするパターンの内に設置され、特定エリア内のアクティブシールド層の一つまたは複数の導体は、一つまたは複数のキーのコンタクトを検出するように形成される。

【0011】

本発明の実施例により、キーパッドを提供する方法が更に提供される。この方法は、回路を設置するステップと、キーパッドを設置するステップと、回路とキーパッドとの間にアクティブシールド層を設置するステップとを含み、キーパッドは、回路にデータを入力するための一つまたは複数のキーを備え、アクティブシールド層は、一つまたは複数の導体を備え、一つまたは複数の導体は、回路の少なくとも一部をシールドするパターンの内に設置され、特定エリア内のアクティブシールド層の一つまたは複数の導体は、一つまたは複数のキーのコンタクトを検出するように形成される。

【0012】

本発明は、以下の詳細な説明の実施例及び図面を参照しながらより完全に理解されるであろう。

【図面の簡単な説明】

【0013】

【図1】図１は、本発明の一実施例によるキーパッドをそねる電子装置の例示的な分解図。

【図2】図２は、本発明の実施例による接続されたアクティブシールド及びキーパッド探知回路例示的なブロック図。

【図3】図３は、本発明の実施例による接続されたアクティブシールド及びキーパッド探知回路例示的なブロック図。

【図4】図４は、本発明の実施例による接続されたアクティブシールド及びキーパッド探知回路例示的なブロック図。

【発明を実施するための形態】

【0014】

本明細書で説明される本発明の実施例は、電子装置をセキュリティ攻撃から保護するように、特にキーパッドによるデータ入力を保護するために改善された方法及びシステムを提供する。開示された技術は、キーパッドを含む様々な電子装置に応用することができる。例えば、クレジットカード、ＰｏＳ（Ｐｏｉｎｔ−ｏｆ−Ｓａｌｅ）端末、パーソナルコンピュータまたは類似の設備。このような電子装置は一般、回路及びキーパッドを備え、そのうち、使用者がデータを回路に入力するようにキーパッドは一つまたは複数のキーを備える。

【0015】

前記装置の安全性を達成するために、いくつかの実施例において、回路とキーの間にアクティブシールド層が設置される。アクティブシールド層は一つまたは複数の導体を備え、すなわち、回路トレースを備える。その導体は少なくとも一部の回路をシールドするパターン内に設置される。回路は一般にアクティブシールド層を介して信号を送信、探知、且つ探知された信号を分析して不審なセキュリティ攻撃を検出する。

【0016】

本発明の一部の実施例において、アクティブシールド層の一つまたは複数の導体は、キーパッドのキーを探知するためにも使用される。これらの実施例において、キーパッドの下を通過するアクティブシールド層の導体は、キーのコンタクトを探知するように形成される。電子回路は、アクティブシールド層からの信号を探知し、且つ探知された信号に基づいて、（ｉ）使用者による正当なキーアクティベーション、及び（ｉｉ）回路またはキーパッドへのセキュリティ攻撃、を検出するように構成される。

【0017】

本明細書に開示された実施例で使用されるキーパッド探知機構は、一般的には直列（ｓｅｒｉａｌ）であり、すなわち、キーのグループを探知するために同じ電気ラインまたは一対の電気ラインを使用する。キーの押下を探知することは、例えば、伝搬遅延（ｐｒｏｐａｇａｔｉｏｎ ｄｅｌａｙ）またはキャパシタンスの測定に基づいてもよい。直列探知方式のいくつかの例、及びアクティブシールド層の一部としてのそれらの統合については、ここで説明する。

【0018】

本明細書に開示された技術は、アクティブシールド及びキーパッド探知のために同じハードウェアを再利用することにより、低コスト、少ない部品数及び小型化などの利点を有すると共に、セキュリティ攻撃に対する高いレベルの安全性を確保できるセキュリティ設備を提供する。

【0019】

システムの説明：

【0020】

図１は、本発明の一実施例による電子装置２０の概略分解図である。電子装置２０は、例えば、クレジットカード端末、ＰｏＳ（Ｐｏｉｎｔ−ｏｆ−Ｓａｌｅ）端末、ＡＴＭ（Ａｕｔｏｍａｔｉｃ Ｔｅｌｌｅｒ Ｍａｃｈｉｎｅ）、警報またはアクセス制御システムの制御パネル、コンピュータ、またはキーパッドを有する任意の他の適切な装置を含むことができる。

【0021】

この例において、キーパッド４４は、電子装置２０のフロントパネル４０に配置され、且つ複数のキー４８を備える。図１の実施例において、単に例として１２個のキーを有するテンキーパッドを示す。あるいは、キーパッドは、任意の所望の数及び配置のキーを有することができる。本明細書において、「キーパッド（ｋｅｙｐａｄ）」という用語は、一つ以上のキー、例えば単一のキーまたは完全な英数字のキーからなる任意の入力装置を指す。「キー（ｋｅｙ）」という用語は、例えば、プッシュボタン、キャパシタンスセンサまたは機械的スイッチなどの任意の適切なタイプのキーを指す。「押す（ｐｒｅｓｓ）」という用語は、広い意味で使われ、ユーザによるキーのいかなる形式のアクティベーションを指す。「キー押下」及び「キーアクティベーション」という用語は、本明細書では交換可能に使用される。

【0022】

この実施例において、回路２４は、様々な電子部品３２及び回路トレース３６が配置されたプリント基板（ＰＣＢ）２８を含む。特に、コントローラ３４は、キーパッド４４を制御する。

【0023】

多くの実際的な場合において、キーパッド４４は、クレジットカード番号、パスワードまたは個人識別番号（ＰＩＮ）などの秘密情報またはその他の機密情報を回路２４に入力するために使用される。このように、キーパッド４４、回路２４、及び電子装置２０は全体として、機密情報を抽出しようとする様々なセキュリティ攻撃の潜在的なターゲットである。攻撃者は例えば、信号を探知及び／または注入するために、電子装置２０を侵入してキーパッド４４または回路２４に接続しようと試みる可能性がある。

【0024】

セキュリティ攻撃を検出するために、電子装置２０は、フロントパネル４０と回路２４との間に配置されたアクティブシールド層５２を備える。アクティブシールド層５２は、基板上に配置された一つまたは複数の電気導体５６、例えば、プリント基板上の回路トレースを備えることができる。以下の説明では、用語「導体」、「トレース」及び「ライン」はすべて交換可能に使用される。

【0025】

導体５６（続いてはライン５６として説明する）は、一般的には、回路２４の少なくとも一部をカバー且つシールドする稠密な二次元パターン、例えばヘビ状パターンとして配置される。図を不明瞭にしないように、図１は、このヘビ状のパターンの単純化された一部のみを示している。実際の応用において、効果的なアクティブシールドを提供するために、ライン５６のパターンは、高密度、最小ピッチ及びライン間の最小間隔でアクティブシールド層５２の全領域を覆う。一般に、アクティブシールド層５２は、隣接するライン５６間の間隔及びピッチが最小限になるように設計されているので、細いプローブが検出されることなくラインの間を通過することを防止する。各キー４８に対するライン５６の蛇行（ヘビのような）形状は必須ではなく、図１に単に例として示されていることに留意されたい。

【0026】

ライン５６は、例えば、相互接続用のフラットケーブル６０を使用して、回路２４に接続される。回路２４内のコントローラ３４は、ライン５６を介して一つ以上の電気信号を送信し、送信された信号に応答してライン５６を介して受信した信号を分析する。受信した信号を分析すること、例えば受信信号の異常を検出することによって、コントローラ３４はセキュリティ攻撃を検出することができる。様々な実施例において、コントローラ３４は、任意の適切な信号及び適切な分析技術を介して異常を検出し、且つ正当なキー押下、無害な異常（例えば、信号過渡）及び不審な攻撃を区別することができる。コントローラ３４は、例えば、受信した信号を連続的または定期的に測定し、コヒーレンシまたは異常を探し、正当なキーの押下の最大回数または最大持続時間を上限に設定し、または他の適切な動作を実行してもよい。

【0027】

いくつかの実施例において、アクティブシールド層５２のライン５６は、キーパッド４４の探知にも寄与する。アクティブシールド層の一部として、ライン５６は、キーパッド４４の下にあるエリア６４を通過する。エリア６４では、破線のセル６８が、それぞれのキー４８の下のエリアを標記する。各セル６８において、各キー４８が押されたかどうかを探知するためのコンタクトを形成するように、一つ以上のライン５６が成形されている。

【0028】

いくつかの実施例において、図１に示すように、キー４８の下を通過するライン５６の部分はより広い幅を有するが、キー４８との高品質の電気的接触を図る形状を有していてもよく、またはセグメント化されてもよい。これらのセグメント間の接続がキースイッチによって制御される。しかし、このような構成は必須ではなく、他の適切な構成を使用することもできる。例えば、代替の実施例において、ライン５６は、キー４８の下を通過する部分の幅が変化しない。代わりに、特定のキーの下のエリアにおいて、ライン５６は、次のキーに進む前に、キーのフットプリントを覆う蛇行または他のパターンで形成することができる。キーを押すと、その下のフットプリントのいくつかの点に接触することができる。

【0029】

図２−４に示すのは、ジョイントキーパッドの探知及びアクティブシールディングのいくつかの実施例である。ライン５６は、キーパッドの探知とアクティブシールディングの両方に使用されるので、コントローラ３４に供給される受信信号は、キー押下とセキュリティ攻撃の両方によって影響を受ける。

【0030】

様々な実施例において、コントローラ３４は正当なキー押下と悪意な攻撃とを区別するように構成される。受信した信号がキー押下を示すとき、コントローラ３４は、キー４８のどれが押されたかを識別するように構成される。いくつかの実施例において、コントローラ３４は、マルチタッチイベント、すなわち同時に押された複数のキーを検出し、どのキーが押されたかを識別することができる。他の実施例において、コントローラ３４は、単一のキーの押下を検出することしかできない。コントローラ３４はまた、一般的には、キーが押されず、不審な攻撃もない「タッチなし」のイベントを区別するように構成される。

【0031】

正当なキーの押下を検出すると、コントローラ３４は、一般的には、キーが押されたという事実及び押されたキーの識別情報を、回路２４内の適切な回路に指示する。セキュリティ攻撃を検出すると、コントローラ３４は、一般的には、適切な応答動作を開始または実行する。応答動作の例は、使用者に警告すること、回路２４の一部または全部をシャットダウンすること、機密情報を消去すること、または他の適切な動作を含むことができる。

【0032】

図１に示される電子装置２０の構成、及び図２〜図４に示されるジョイントアクティブシールド及びキーパッド探知構成は、純粋に概念的明瞭さのために示された構成例である。代替の実施例では、任意の他の適切な構成を使用することができる。

【0033】

様々な実施例において、図１に示される電子装置２０の異なる要素、及び図２〜４に示される様々な要素は、一つ以上の個別のコンポーネント、一つ以上の特定用途向け集積回路（ＡＳＩＣ）、及び／または一つ以上のフィールドプログラマブルゲートアレイ（ＦＰＧＡ）などの任意の適切なハードウェアを使用して実装されてもよい。電子装置２０の機能の一部、例えばコントローラ３４の機能の一部または全部は、ソフトウェアで、またはソフトウェアとハードウェア要素の組み合わせを使用して実装することができる。

【0034】

いくつかの実施例において、コントローラ３４は、本明細書で説明する機能を実行するようにソフトウェアでプログラムされた汎用プロセッサを備える。ソフトウェアは、例えば電子形式、ネットワークを介して、またはホストからプロセッサーにダウンロードされることが可能である。あるいは、それに加えて、磁気、光学または電子メモリのような非一時的な有形の媒体上に提供及び／または格納することができる。

【0035】

例示的なアクティブシールド及びキーパッドの構成：

【0036】

図２は、本発明の一実施例によるジョイントアクティブシールド及びキーパッド探知回路を概略的に示すブロック図である。図２の回路では、コントローラ３４（上記の図１に示す）はキーの押下を探知し、ライン５６上の伝搬遅延を測定することによってセキュリティ攻撃を検出する。

【0037】

この例において、一対のライン５６がキー４８の下を連続的に通過する。特定のキー４８が押されると、キーは二つのラインを短絡させる。いくつかの実施例において、抵抗器７４は、例えば、二つのキーの間のライン５６の少なくとも一つに、ライン５６に直列に挿入されてもよい。一対のライン５６の一端は、一対のＩ／Ｏピン７０を介して回路２４に接続され、他端は（需要に応じて）Ｉ／Ｏピン７０を介して反対側に接続される。

【0038】

最初に、ライン５６がＩ／Ｏピン７０に一端でのみ接続されている構成を考える。この一対のラインの他端は、開放または短絡されていてもよい。コントローラ３４は、ピン７０の一つを介して信号を送信し（例えば、短いパルスをトグルする）、送信された信号と、他のピン７０上の戻された信号との間の時間遅延を測定する。

【0039】

キーが押されず、攻撃が存在しない場合、コントローラ３４は返信された信号を検出しないか（遠端が開放されている態様）、または測定された時間遅延はある既知の最大値を有する（遠端が短絡されている態様）。

【0040】

使用者によってキーが押された場合、コントローラ３４は、一対のライン５６に沿ったキーの位置に依存する所定の時間遅延を検出する。ピン７０に近いキーは、短い時間遅延を引き起こし、逆もまた同様である。一実施例において、コントローラ３４は、それぞれのキー４８の予想される時間遅延の所定のリストを有する。測定された時間遅延がリスト（あらかじめ定義された誤差範囲を有することも可能）上の予想される時間遅延の一つと一致する場合、コントローラ３４は正当なキー押下が実行されたと判断し、時間遅延値からキーを識別する。

【0041】

一実施例において、コントローラ３４は、予想された値のいずれかと異なる時間遅延（例えば、所定の誤差範囲内ではない）を測定する場合、そのような測定値が攻撃を示すものであると決定することができる。もし、（１）コントローラが、送信された信号に応答しない戻り信号を探知した場合、または（２）予め定義された「短い」及び「長い」閾値と比較して、長すぎるまたは短すぎる時間にわたってキー押下が検出された場合に、攻撃されたことを認定することができる。

【0042】

ここでは、ライン５６の一端が第一対のＩ／Ｏピン７０に、他端は第二対のＩ／Ｏピン７０に接続されている構成を考える。一実施例において、コントローラ３４は、第一対及び第二対のピン７０についてそれぞれに上述した手順を実行する（一つのピン７０を介して信号を送信し、その一対の他のピン７０を介して信号を受信し、二つの信号間の時間遅延を測定する）。次に、コントローラ３４は、両方の結果を分析し、イベントが発生したかどうか、キーが押されたかどうか、または攻撃が試みられたかどうかを決定する。この構成はまた、コントローラ３４が二つのキーの同時押下を検出することを可能にする。この構成において、コントローラ３４は、他の一対のＩ／Ｏピンがが論理的に切断される（フローティング）状態を保ちながら、異なる時間に各対のＩ／Ｏピン７０を測定することができる。

【0043】

この実施例において、コントローラ３４は、一般的には、第一対のピン７０を使用する一つの予想される時間遅延と、第二対のピン７０を使用する別の予想される時間遅延との、各キー４８に対する二つの予想される時間遅延を有する。単一のキーが押された場合、二つの時間遅延（二対のピン７０に関して）は、同じキーに対して定義された予想遅延時間と一致する。二つのキーが押された場合、二つの時間遅延は、異なるキーについて定義された予想時間遅延に一致する（各キーは、それに近い一対のピン７０によって検出される）。前述のように、任意の対のピン７０上の予想される時間遅延からの逸脱は、一般的には攻撃とみなされる。

【0044】

より一般的に言えば、コントローラ３４は、四つのピン７０のいずれかに信号を送信し、一つまたは複数の他のピン７０の時間遅延を測定することができる。さらに、コントローラ３４は、複数のピン７０上で同時に信号を送信することができる。正当なキー押下を示す予想される時間遅延とともに、任意の数のそのような測定値を予め定義することができる。予想から逸脱する時間遅延は攻撃とみなされる。

【0045】

上記の技術のいずれにおいても、コントローラ３４は、予想される時間遅延からある一定の最大許容偏差を規定することができる。測定された時間遅延が、あるキー４８の予想される時間遅延と許容偏差よりも小さい場合、測定された時間遅延は、そのキーの予想される時間遅延に「一致する」とみなされる。そうでなければ、すなわち、測定された時間遅延が、予想されるすべての時間遅延と許容される偏差よりも異なる場合、攻撃されることを認定する。

【0046】

一実施例において、全ての予想された時間遅延と許容偏差以上異なる測定された時間遅延は、（ｉ）同時に押された複数のキー（「マルチタッチ」）、（ｉｉ）正当な二つのキー押下間の過渡状態、または（ｉｉｉ）攻撃される、状態を示すことができる。コントローラ３４は、偏差が一時的であることを検証することによって、最初の二つの可能性（正当と考えられる）を排除することができる。

【0047】

いくつかの実施例において、ライン５６は、抵抗器及びコンデンサを内蔵した抵抗（Ｒ）または抵抗−容量（ＲＣ）ネットワークとして設計することができる。抵抗器７４は、任意の二つのキーの間、例えば二つの連続するキーの間に設置することができる。あるいは、ライン５６の自然抵抗（例えば、ラインがインジウム錫酸化物（ＩＴＯ）のような抵抗材料でできている場合）をＲまたはＲＣネットワークの抵抗として使用することができる。コントローラ３４は、キー押下位置及び正当性を決定するために、ライン５６間のＲＣ遅延またはライン５６間の抵抗を測定することができる。

【0048】

いくつかの実施例において、ライン５６は、伝送ライン（例えば、マイクロストリップまたはストリップライン）として設計することができ、この場合、抵抗器７４は不要である。そのような場合、コントローラ３４は、一つのライン５６上で高遷移パルスをトリガし、同じ一対のＩ／Ｏ７０ピンの他のライン５６へのパルス伝搬遅延を測定することができる。

【0049】

いくつかの実施例において、コントローラ３４は、時々、実際の測定値を難読化するために、ピン７０のうちの一つ以上に誤ったダミー信号を生成することがある。例えば、各実信号（時間遅延測定のために実際に使用される）の送信に続いて、コントローラ３４は、類似の特性を有するダミー信号を他のピン７０に送信することができる。

【0050】

一実施例において、アクティブシールド層５２は、多層基板（例えば、多層ＰＣＢ）内に製造される。一対のライン５６の少なくとも一つのセクションにおいて、一対の二つのライン５６は、一つのラインが他のラインの下に（キーの下のエリアを除いて）配置されるように、異なるＰＣＢ層にルートされる。この技術において、一方のライン５６は、他方のラインに対するアクティブシールドとしても機能し、電子装置２０が攻撃に対するの障害許容力をさらに増加させる。

【0051】

図３は、本発明の代替の実施例によるジョイントアクティブシールド及びキーパッド探知回路を概略的に示すブロック図である。図３の実施例において、コントローラ３４は、キーの押下を探知し、単一ライン５６の直列キャパシタンスを測定することによってセキュリティ攻撃を検出する。

【0052】

本実施例では、ライン５６はキー４８の下を連続的に通過する。この実施例のキー４８は「常閉（ｎｏｒｍａｌｌｙ ｃｌｏｓｅｄ）」（すなわち、押されていないときはライン５６の電気的連続性を維持し、押されたときはライン５６の連続性をブレークする）である。ライン５６の一端は単一のＩ／Ｏピン７０を介して回路２４に接続され、他端は（需要に応じて）別の単一のＩ／Ｏピン７０を介して回路の反対側に接続される。

【0053】

まず、ライン５６の一端はＩ／Ｏピン７０に接続され、他端は開放されている構成を考える。コントローラ３４は、ピン７０を介して信号を送信し、ライン５６のキャパシタンスを測定する。ラインのキャパシタンスを測定するために、任意の適切な技術を使用することができる。ラインの自己キャパシタンスを測定するための一つの例示的な技術は、本特許出願の譲受人に譲渡され、その開示が参照により本明細書に組み込まれる米国特許第７，７９７，１１５号に記載されている。

【0054】

キーが押されず、攻撃が存在しない場合、コントローラ３４は、ライン５６の測定されたキャパシタンスが所定のベースラインキャパシタンスに一致することを検出する。使用者がキーを押すと、キーの位置でライン５６の連続性がブレークされ、ラインのキャパシタンスがベースラインキャパシタンスから減少する。実際に測定されるキャパシタンスは、ライン５６に沿ったキーの位置に依存する。ピン７０に近いキーを押すと、測定されたキャパシタンスが小さくなり、逆もまた同様である。

【0055】

一実施例において、コントローラ３４は、それぞれのキー４８の期待キャパシタンスの所定のリストを有する。測定されたキャパシタンスがリスト上の予想キャパシタンスの一つと一致する場合、コントローラ３４は正当なキー押下が実行されたと判断し、キャパシタンス値からキーの一致性を識別する。コントローラ３４が期待値のいずれかと異なるキャパシタンスを測定する場合、コントローラは、そのような測定値が攻撃を示すものであると決定することができる。

【0056】

別の実施例において、ライン５６の一端はＩ／Ｏピン７０に接続され、他端はもう一つのＩ／Ｏピン７０に接続されている。これらの実施例において、コントローラ３４は、二つのピン７０のそれぞれについてラインキャパシタンスを測定することができる。上記の図２に関して説明したように、コントローラ３４は両方の結果を分析して、イベントが発生したかどうか、キーが押されたかどうか、または攻撃が試みられたかどうかを判断することができる。この構成はまた、コントローラが二つのキーの同時押下を検出することを可能にする。この構成は、単純な論理信号（例えば、ラインの一端で信号状態をトグルし、キーストロークが存在しないときの他端で信号状態をチェックする）を用いてアクティブシールド機能を適用することもできる。

【0057】

図４は、本発明のさらに別の実施例によるジョイントアクティブシールド及びキーパッド探知回路を概略的に示すブロック図である。図４の実施例において、コントローラ３４は、キーの押下を探知し、単一ライン５６とグランドとの間の直列キャパシタンスを測定することによってセキュリティ攻撃を検出する。

【0058】

この例において、ライン５６は、キー４８の下または隣接して連続的に通過する。この実装のキー４８は「常開（ｎｏｒｍａｌｌｙ ｏｐｅｎ）」である。各キー４８は、それぞれのコンデンサ７８に関連付けられている。キー４８が押されると、キーは、それぞれのコンデンサ７８を介してライン５６をグランドに接続する。ライン５６の一端は、Ｉ／Ｏピン７０を介して回路２４に接続されている。

【0059】

キーが押されず、攻撃が存在しない場合、コントローラ３４は、ライン５６の測定されたキャパシタンスが所定のベースラインキャパシタンスに一致することを検出する。ライン５６が切断されると、その測定されたキャパシタンスはベースラインキャパシタンスよりも小さくなる。したがって、測定されたライン５６のキャパシタンスが非常に小さいである場合、攻撃の指示としてみなされる。使用者によってキーが押されると、対応するコンデンサ７８のキャパシタンスは、ラインのベースラインキャパシタンスに加えられる。複数のキーが押されると、測定されたキャパシタンスは、対応するコンデンサ７８のキャパシタンスの合計に依存する。

【0060】

一実施において、異なるコンデンサ７８に異なるキャパシタンスが与えられ、コントローラ３４は、測定されたキャパシタンスに基づいてどのキーが押されたかを識別することができる。

【0061】

一実施例において、マルチタッチ機能を可能にするために、キャパシタンスの異なる組合せが異なる合計を有するように、コンデンサ７８のキャパシタンスが割り当てられる。一つの可能性の例は、キャパシタンスＣ、例えばＣ、２Ｃ、４Ｃ、８Ｃ、．．．の２の累乗倍数であるキャパシタンスをコンデンサ７８に割り当てることである。そのような実装では、一つ以上のキーの任意の組み合わせを押すと、測定されたキャパシタンスが異なっている。マルチタッチ機能を起動するとき、この実装では、多くのキーをサポートするために多種なキャパシタンス値が必要になる場合がある。この要件を緩和する一つの可能性は、キー４８を二つ以上のライン５６、例えば、ラインごとに三つまたは四つのキーに分割することである。

【0062】

一実施例において、コントローラ３４は、それぞれのキー４８（場合によってはそれぞれのキーの組み合わせ）の期待キャパシタンスの所定のリストを有する。測定されたキャパシタンスがリスト上の予想キャパシタンスの一つと一致する場合、コントローラ３４は正当なキー押下（またはマルチタッチ）が行われたと識別し、キャパシタンス値からキー（または複数のキー）の一致性を判断する。コントローラ３４が期待値のいずれかと異なるキャパシタンスを測定する場合、コントローラは、そのような測定値が攻撃を示すものであると判断することができる。

【0063】

一実施例において、図４のライン５６の他端は、追加のピン７０（図示せず）を介して回路２４に接続することができる。このようにして、コントローラ３４は、ラインが切断されたことを検出することによって攻撃を検出することができる。例えば、上述したように、コントローラ３４は、ラインの一端で信号状態をトグルし、キーストロークが存在しないときに、他端で信号状態をチェックすることができる。

【0064】

図２〜４に示されたいずれの回路構成も、図１の装置２０におけるジョイントアクティブシールド及びキーパッド探知を実現するために使用することができる。図２〜４の構成は、例示的な構成であり、概念的に明確にするためにのみ選択されている。代替の実施例では、任意の他の適切な構成を使用することができる。

【0065】

したがって、上述した実施例は例として記載されたものであり、本発明は、上記具体的に示されたものに限定されないことが理解されよう。むしろ、本発明の範囲は、上述した様々な特徴の組み合わせ及び部分的な組み合わせ、ならびに前述の説明から当業者に想到し得る従来技術に開示されていない変形及び修正を含む。本特許出願において参照により援用される文献は、本出願の一部であるとみなされるべきであり、これらの組み込まれた文献において、本明細書に明示または示唆された定義と矛盾する場合、本明細書に定義さらたもののみが考慮されるべきである。

【符号の説明】

【0066】

２０：電子装置
２４：回路
２８：プリント基板
３２：電子部品
３４：コントローラ
３６：回路トレース
４０：フロントパネル
４４：キーパッド
４８：キー
５２：アクティブシールド層
５６：ライン
６０：フラットケーブル
６４：エリア
６８：セル
７０：ピン
７４：抵抗器
７８：コンデンサ

【図1】

【図2】

【図3】

【図4】