• 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
    • / 22
    • 下载费用:30 金币  

    重庆时时彩119: 用于?;ぴ贜FC系统中传输的敏感数据的方法.pdf

    关 键 词:
    用于 ?;?NFC 系统 传输 敏感数据 方法
      专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    摘要
    申请专利号:

    CN201380050594.0

    申请日:

    2013.09.17

    公开号:

    CN104685520A

    公开日:

    2015.06.03

    当前法律状态:

    授权

    有效性:

    有权

    法律详情: 授权|||实质审查的生效IPC(主分类):G06Q 20/32申请日:20130917|||公开
    IPC分类号: G06Q20/32 主分类号: G06Q20/32
    申请人: 英赛瑟库尔公司
    发明人: M·勒奇; V·阿利米; B·拉特格; B·维安
    地址: 法国梅约尔
    优先权: 1259170 2012.09.28 FR
    专利代理机构: 北京市中咨律师事务所11247 代理人: 杨晓光; 于静
    PDF完整版下载: PDF下载
    法律状态
    申请(专利)号:

    CN201380050594.0

    授权公告号:

    ||||||

    法律状态公告日:

    2018.01.09|||2015.07.01|||2015.06.03

    法律状态类型:

    授权|||实质审查的生效|||公开

    摘要

    本发明涉及一种经由连接到路由控制器(NFCC)的非安全处理器(MPU)或非安全链路(RL)的在安全处理器(CI、SE1)与事务服务器(TSRV)之间的事务方法,所述方法包括以下步骤:所述控制器将由所述非安全处理器或通过所述非安全链路发送的命令消息(CMD)传输到所述安全处理器;所述控制器接收由所述安全处理器发送的响应消息(REP);以及所述控制器将所述响应消息传输到所述非安全处理器或经由所述非安全链路传输所述响应消息;所述控制器分析所述响应消息的内容以便检测其中的第一类型的数据;以及在将检测到的第一类型的数据传输到所述非安全处理器或经由所述非安全链路传输检测到的第一类型的数据之前,从所述响应消息中移除所述检测到的第一类型的数据。

    权利要求书

    权利要求书
    1.  一种经由连接到路由控制器(NFCC)的非安全处理器(MPU)或 非安全链路(RL)的在安全处理器(CI、SE1)与事务服务器(TSRV) 之间的事务方法,所述方法包括以下步骤:
    所述路由控制器将由所述非安全处理器或通过所述非安全链路发送的 命令消息(CMD)传输到所述安全处理器,
    所述路由控制器接收由所述安全处理器发送的响应消息(REP),以 及
    所述路由控制器将所述响应消息传输到所述非安全处理器或经由所述 非安全链路传输所述响应消息,
    其特征在于,所述方法包括以下步骤:
    所述路由控制器分析所述响应消息(REP)的内容以便检测其中的第 一类型的数据,
    通过从所述响应消息中移除至少一部分检测到的数据或在所述响应消 息中加密至少一部分检测到的数据,生成经修改的消息(REP’),以及
    将所述经修改的消息传输到所述非安全处理器(MPU)或经由所述非 安全链路(RL)传输所述经修改的消息。

    2.  根据权利要求1所述的方法,其中,所述路由控制器(NFCC2)系 统地分析所有接收到的响应消息(REP)的内容而不分析所述命令消息 (CMD)的内容。

    3.  根据权利要求1所述的方法,包括以下步骤:所述路由控制器 (NFCC、NFCC1)分析所述命令消息(CMD);如果对所述命令消息的 分析显示所述第一类型的数据可能被包含在随后的响应消息中,则激活对 所述响应消息(REP)的内容的分析。

    4.  根据权利要求2或3所述的方法,包括以下步骤:
    对于由所述路由控制器(NFCC、NFCC1)接收的每个命令消息 (CMD),确定所述第一类型的数据是否可能被包含在相应响应消息 (REP)中,以及
    根据所述第一类型的数据是否可能被包含在所述相应响应消息中,激 活或停用对所述相应响应消息的内容的分析。

    5.  根据权利要求1到4中的一项所述的方法,其中,所述路由控制器 (NFCC、NFCC1)修改在所述响应消息(REP)中检测到的所述第一类 型的数据;通过在所述响应消息中将检测到的所述第一类型的数据替换为 经修改的数据,生成经修改的响应消息(REP’);以及将所述经修改的响 应消息传输到所述非安全处理器(CI)。

    6.  根据权利要求5所述的方法,其中,修改在所述响应消息(REP) 中检测到的所述第一类型的数据包括以下步骤:将检测到的数据传输到连 接到所述路由控制器(NFCC1)的安全处理器(SE1);所述安全处理器 通过加密至少一部分所提取的数据来生成经修改的数据;以及所述安全处 理器将所述经修改的数据传输到所述路由控制器,所述非安全处理器将所 述经修改的响应消息(REP’)和密钥标识符传输到中间服务器(GSRV), 所述密钥标识符使所述中间服务器能够确定解密密钥,所述中间服务器解 密在所述经修改的响应消息中的经加密的数据,并通过在所述经修改的响 应消息中将所述经加密的数据替换为经解密的数据而恢复原始的响应消 息,将所恢复的响应消息传输到事务服务器(TSRV)。

    7.  根据权利要求1到4中的一项所述的方法,其中,当已经在所述响 应消息(REP)中检测到所述第一类型的数据时,所述路由控制器(NFCC1) 将所述响应消息传输到连接到所述路由控制器和所述非安全处理器 (MPU)的安全处理器(SE、SE1),所述安全处理器以加密形式将所述 响应消息传输到所述非安全处理器。

    8.  根据权利要求1到7中的一项所述的方法,其中,仅当路由控制器 (NFCC2)的工作模式的工作模式指示符(SK)指示所述路由控制器处 于不受?;さ哪J绞?,所述路由控制器才分析消息(CMD、REP)的内容。

    9.  根据权利要求1到8中的一项所述的方法,其中,基于包含在所述 响应消息(REP)中的标签字段的值来检测所述第一类型的数据。

    10.  根据权利要求1到9中的一项所述的方法,其中,对所述响应消 息(REP)的内容的分析包括以下步骤:验证所述响应消息的数据字段的 长度对应于包含在所述响应消息中的长度字段的值。

    11.  根据权利要求1到9中的一项所述的方法,包括以下步骤:所述 路由控制器(NFCC)分析所述命令消息(CMD)以确定事务协议或在所 述非安全处理器(MPU)与NFC设备(CI)之间交换的数据(PRT)的 格式,如此确定的事务协议或数据格式用于搜索所述响应消息(REP)中 的所述第一类型的数据。

    12.  一种事务系统,其包括非安全处理器(MPU)和与安全处理器 (SE1、CI)通信的路由控制器(NFCC),
    其特征在于:所述事务系统被配置为实施根据权利要求1到11中的一 项所述的方法,所述路由控制器(NFCC)被配置为:
    响应于由所述路由控制器传输到所述安全处理器的命令消息(CMD), 分析响应消息(REP)的内容,以便检测其中的第一类型的数据,所述响 应消息(REP)由所述安全处理器(CI、SE1)发送并且其目的地是所述 非安全处理器(MPU)或意在经由非安全链路(RL)来传输,
    通过从所述响应消息中移除至少一部分检测到的数据或在所述响应消 息中加密至少一部分检测到的数据,生成经修改的消息(REP’),以及
    将所述经修改的消息传输到所述非安全处理器(MPU)或经由所述非 安全链路(RL)传输所述经修改的消息。

    13.  根据权利要求12所述的事务系统,其中,所述安全处理器被集成 到集成电路卡中或被连接到所述路由控制器(NFCC),所述集成电路卡 包括与所述路由控制器进行NFC通信的近场通信接口(CCLI)。

    14.  根据权利要求12或13所述的事务系统,其中,所述路由控制器 (NFCC1)与安全处理器(SE1)相关联,所述安全处理器(SE1)被配 置为:
    在所述路由控制器的受?;さ墓ぷ髂J街薪邮账邢煊ο?REP), 并在不受?;さ墓ぷ髂J街薪鼋邮瞻龅谝焕嘈偷氖莸南煊ο?, 以及
    在将接收到的消息传输到所述非安全处理器(MPU)之前,加密所述 消息。

    15.  根据权利要求12或13所述的事务系统,其中,所述路由控制器 (NFCC1)与安全处理器(SE1)相关联,所述安全处理器(SE1)被配 置为:
    从所述路由控制器接收提取自由所述路由控制器接收的消息的所述第 一类型的数据,
    加密接收到的所述第一类型的数据,以及
    将经加密的数据传输到所述路由控制器,所述路由控制器被配置为在 所述响应消息中将所述第一类型的数据替换为接收到的经加密的数据,并 将如此修改的响应消息传输到所述非安全处理器(MPU)。

    说明书

    说明书用于?;ぴ贜FC系统中传输的敏感数据的方法
    技术领域
    本发明涉及近场通信(NFC)事务,特别地,涉及在非接触式微电路 卡和诸如集成了NFC组件的移动终端之类的NFC终端之间执行的事务。
    背景技术
    NFC组件可以具有若干工作模式,即“读取器”模式、“卡仿真”模 式、“设备”模式(还被称为“设备对设备”模式或“端对端”模式)。 在“读取器”模式中,NFC组件像标准RFID读取器一样工作以读取或写 入RFID芯片(芯片卡或非接触式标签)。在该模式中,NFC组件发射磁 场、通过调制磁场的幅度来发送数据并通过负载调制和感应耦合来接收数 据。
    在“仿真”模式中,特别地在属于申请人的专利EP 1327222中所描述 的,NFC组件像应答器一样以无源方式工作。在该模式中,NFC组件被 在读取器模式中的NFC终端看到并像RFID芯片一样与后者进行对话。因 此,NFC组件不发射任何磁场,其通过解调由其它读取器发射的磁场来接 收数据,并通过调制其天线电路的阻抗(负载调制)来发送数据。
    在“设备”或“端对端”模式中,NFC组件必须与也正在相同工作模 式中的NFC终端配对。组件和终端通过交替地将它们自身置于无源状态 (不发射任何场)以接收数据并且置于有源状态(发射场)以发送数据来 相互通信,或在事务期间保持相同的无源或有源状态。
    除了这三种工作模式之外(未来可能会设计其它工作模式),NFC组 件可以实施若干非接触式通信协议,并且其例如能够根据ISO 14443-A协 议、ISO 14443-B协议、ISO 15693协议等来交换数据。每个协议定义了磁 场的发射频率、用于调制磁场的幅度以通过有源方式发送数据的调制方法、 通过无源方式发送数据的感应耦合负载调制方法。从而NFC组件是多模式 和多协议设备。申请人例如出售以“MicroReadTM”命名的此种NFC组件。
    由于其扩展的通信容量,意在将NFC组件集成到诸如像智能电话的移 动电话、触摸式平板电脑、笔记本电脑或膝上型电脑之类的便携式设备中。 这种便携式设备形成NFC系统(也被称为“NFC芯片组”,即包括NFC 组件和至少一个主机处理器的芯片组)?!爸骰砥鳌敝溉魏伟ㄎ⒋?理器和/或微控制器的集成电路,并且其被连接到NFC组件的端口。许多 NFC系统包括若干主机处理器,诸如安装有NFC组件的设备的主处理器、 安全处理器。主处理器一般是非安全处理器,例如移动电话的基带电路(或 无线电话电路)。安全主机处理器例如是SIM卡或通用集成电路卡(UICC) 中的微控制器或NFC组件中的微控制器。从而将NFC组件的资源提供给 主机处理器以使它们能够管理非接触式应用。
    构想使用这种NFC系统来执行与包括NFC通信接口的外部安全处理 器的诸如支付事务之类的安全事务,如同那些在非接触式信用卡中实施的 安全事务那样。外部安全处理器还可以被集成到另一个NFC系统中,然后 以“卡仿真”模式工作。
    但是,诸如电话之类的NFC系统的主处理器是不安全的。因此它可以 执行这样的恶意应用:其被设计为获取存储在外部安全处理器中的机密信 息,其中,所述外部安全处理器诸如是在卡中的处理器,其根据NFC型协 议与系统的NFC组件进行通信?;苁菘梢陨婕耙锌?,如银行卡的识 别号、有效期限、持有人姓名、验证码等。实际上,该机密数据一般不特 别地以受?;さ?加密的)形式进行传输,因为该数据中的某些数据(诸 如银行卡号的第一位数字)用于在银行网络内路由交易数据。由于标准的 兼容性或标准的版本(尤其是向上兼容性),还以明文的方式传输此类数 据,投入使用的最初的支付卡以该方式传输此类数据。
    为了克服这样的问题,已经建议实施受?;さ腘FC系统工作模式,其 中,在NFC系统的非安全主机处理器和外部处理器之间交换的所有信息都 通过NFC系统的安全处理器。然后,所述安全处理器被配置为从将被传输 到非安全主机处理器的数据中移除必须保留其机密性的所有数据,或者加 密这样的数据,以使得只有经授权的实体才可以访问被加密的数据。如果 将所述安全处理器集成到NFC组件(其是具有特定操作系统的封闭组件) 中,则在将机密数据传输到所述NFC组件的安全处理器之前,从中提取接 收自外部处理器的这种机密数据是相对困难的。如果不将所述安全处理器 集成到NFC组件中,则可以在所述NFC组件和所述安全处理器之间建立 可能安全的特定传输通道。
    但是,规定该受?;さ墓ぷ髂J酵ü谋溆煞前踩骰砥鞴芾淼?指示符的值来激活。结果是,由所述非安全主机处理器执行的恶意应用可 以仅通过改变所述指示符的值来停用受?;さ哪J?。然后,机密数据不再 由所述安全处理器过滤,所述恶意程序从而可以获得所述机密数据。
    因此,希望增加可能由NFC卡或在“卡仿真”模式中的另一个NFC 系统传输到NFC系统的机密数据的?;ぐ踩??;瓜M闭庵质萁烧?种系统中的安全元件发送或发送到这种系统之外时,?;ふ庵质?。
    发明内容
    某些实施例涉及一种经由连接到路由控制器的非安全处理器或非安 全链路的在安全处理器与事务服务器之间的事务方法,所述方法包括以下 步骤:所述路由控制器将由所述非安全处理器或通过所述非安全链路发送 的命令消息传输到所述安全处理器;所述路由控制器接收由所述安全处理 器发送的响应消息;以及所述路由控制器将所述响应消息传输到所述非安 全处理器或经由所述非安全链路传输所述响应消息。根据一个实施例,所 述方法包括以下步骤:所述路由控制器分析所述响应消息的内容以便检测 其中的第一类型的数据;通过从所述响应消息中移除至少一部分检测到的 数据或在所述响应消息中加密至少一部分检测到的数据,生成经修改的消 息;以及将所述经修改的消息传输到所述非安全处理器或经由所述非安全 链路传输所述经修改的消息。
    根据一个实施例,所述路由控制器系统地分析所有接收到的响应消息 的内容而不分析所述命令消息的内容。
    根据一个实施例,所述方法包括以下步骤:所述路由控制器分析所述 命令消息;如果对所述命令消息的分析显示所述第一类型的数据可能被包 含在随后的响应消息中,则激活对所述响应消息的内容的分析。
    根据一个实施例,所述方法包括:对于由所述路由控制器接收的每个 命令消息,确定所述第一类型数据是否可能被包含在相应响应消息中,以 及根据所述第一类型的数据是否可能被包含在所述相应响应消息中,激活 或停用对所述相应响应消息的内容的分析。
    根据一个实施例,所述路由控制器修改在所述响应消息中检测到的所 述第一类型的数据;通过在所述响应消息中将检测到的所述第一类型的数 据替换为经修改的数据,生成经修改的响应消息;以及将所述经修改的响 应消息传输到所述非安全处理器。
    根据一个实施例,修改在所述响应消息中检测到的所述第一类型的数 据包括以下步骤:将检测到的数据传输到连接到所述路由控制器的安全处 理器;所述安全处理器通过加密至少一部分所提取的数据来生成经修改的 数据;以及所述安全处理器将所述经修改的数据传输到所述路由控制器, 所述非安全处理器将所述经修改的响应消息和密钥标识符传输到中间服务 器,所述密钥标识符使所述中间服务器能够确定解密密钥,所述中间服务 器解密在所述经修改的响应消息中的经加密的数据,并通过在所述经修改 的响应消息中将所述经加密的数据替换为经解密的数据而恢复原始的响应 消息,将所恢复的响应消息传输到事务服务器。
    根据一个实施例,当已经在所述响应消息中检测到所述第一类型的数 据时,所述路由控制器将所述响应消息传输到连接到所述路由控制器和所 述非安全处理器的安全处理器,所述安全处理器以加密形式将所述响应消 息传输到所述非安全处理器。
    根据一个实施例,仅当路由控制器的工作模式的工作模式指示符指示 所述路由控制器处于不受?;さ哪J绞?,所述路由控制器才分析所述消息 的内容。
    根据一个实施例,基于包含在所述响应消息中的标签字段的值来检测 所述第一类型的数据。
    根据一个实施例,对所述响应消息的内容的分析包括以下步骤:验证 所述响应消息的数据字段的长度对应于包含在所述响应消息中的长度字段 的值。
    根据一个实施例,所述方法包括以下步骤:所述路由控制器分析所述 命令消息以确定事务协议或在所述非安全处理器和NFC设备之间交换的 数据的格式,如此确定的事务协议或数据格式用于搜索所述响应消息中的 所述第一类型的数据。
    某些实施例还涉及非安全处理器和与安全处理器通信的路由控制器, 其被配置为实施上述方法,所述路由控制器被配置为:响应于由所述路由 控制器传输到所述安全处理器的命令消息,分析响应消息的内容,以便检 测其中的第一类型的数据,所述响应消息由所述安全处理器发送并且其目 的地是所述非安全处理器或意在经由非安全链路来传输;通过从所述响应 消息中移除至少一部分检测到的数据或在所述响应消息中加密至少一部分 检测到的数据,生成经修改的消息;以及将所述经修改的消息传输到所述 非安全处理器或经由所述非安全链路传输所述经修改的消息。
    根据一个实施例,所述安全处理器被集成到集成电路卡中或被连接到 所述路由控制器,所述集成电路卡包括与所述路由控制器进行NFC通信的 近场通信接口。
    根据一个实施例,所述路由控制器与安全处理器相关联,所述安全处 理器被配置为:在所述路由控制器的受?;さ墓ぷ髂J街薪邮账邢煊ο?息,并在不受?;さ墓ぷ髂J街薪鼋邮瞻龅谝焕嘈偷氖莸南煊ο?息;以及在将接收到的消息传输到所述非安全处理器之前加密所述消息。
    根据一个实施例,所述路由控制器与安全处理器相关联,所述安全处 理器被配置为:从所述路由控制器接收提取自由所述路由控制器接收的消 息的所述第一类型的数据;加密接收到的所述第一类型的数据;以及将经 加密的数据传输到所述路由控制器,所述路由控制器被配置为在所述响应 消息中将所述第一类型数据替换为接收到的经加密的数据,并将如此修改 的响应消息传输到所述非安全处理器。
    附图说明
    以下将结合但不限定于附图来描述本发明的实施例的某些示例,其中:
    图1示意性地示出了能够经由NFC链路与外部处理器进行通信的 NFC系统的示例;
    图2到图4示意性地示出了根据各种实施例的根据NFC型协议与外部 处理器进行通信的NFC系统;
    图5示意性地示出了根据另一个实施例的通过除NFC链路之外的通信 链路与远程服务器进行通信的NFC系统;
    图6示出了根据另一个实施例的根据NFC型协议与NFC终端进行通 信的NFC系统;
    图7示出了由与外部处理器进行通信的NFC系统执行的步骤。
    具体实施方式
    图1示出了与外部处理器进行NFC通信的NFC系统的示例。该系统 包括主机处理器MPU、安全元件SE和NFC组件(NFCD)。处理器MPU 可以经由通信电路RCT连接到远程服务器??梢越砥鱉PU和安全元 件SE集成到诸如移动电话、膝上型轻便电脑、台式计算机或触摸式平板 电脑之类的便携式设备HD之中。组件NFCD被配置为执行与外部NFC 设备(诸如集成电路卡,即CI)的近场通信事务。
    处理器MPU可以是主处理器或者管理设备HD与一个或多个无线和/ 或有线通信网络的通信的处理器。
    安全处理器SE可以是用户身份???SIM)卡或更一般地是集成电 路卡UICC,或者甚至是微安全数字(micro-SD)卡??梢跃闪绰稡1 将元件SE连接到处理器MPU,链路B1可以属于ISO 7816或单线协议 (SWP)型。
    组件NFCD包括尤其保证路由功能的NFC控制器(NFCC)、包括 天线电路AC的NFC通信接口电路(CLF)??梢酝ü绰稡2(例如属 于通用异步收发(UART)型)将控制器NFCC耦合到处理器MPU并通 过链路B3(例如属于单线协议(SWP)型、数字非接触式桥(DCLB)型 或ISO 7816型)将控制器NFCC耦合到处理器SE。
    组件NFCD还可以包括诸如连接到控制器NFCC的安全处理器之类的 安全元件SE1??刂破鱊FCC被特别地配置为将接收自电路CLF的数据 路由到处理器MPU和SE(还可能包括SE1)其中之一并将来自处理器 MPU和SE(或SE1)其中之一的数据路由到电路CLF。
    集成电路CI包括处理器CPU,处理器CPU经由NFC接口电路 (CCLI)链接到天线电路AC1。
    图2示出了通过组件NFCD和非安全近场通信链路RL与外部集成电 路CI进行通信的处理器MPU。处理器MPU包括通信软件层RDAP,通 信软件层RDAP被配置为通过控制器NFCC和接口电路CLF提供与外部 处理器的通信服务NFC并提供使用由层RDAP提供的通信服务的应用程 序PSAP。程序PSAP可以例如通过电路RCT与远程服务器TSRV进行通 信以执行电路CI和服务器TSRV之间的事务。
    根据一个实施例,控制器NFCC包括用于检测命令和通信协议(如果 可适用)的功能DTCF和屏蔽功能MSK。功能DTCF被安排为拦截并重 传由处理器MPU发送的、将由接口电路CLF传输的所有命令CMD,或 者仅监听这些命令。功能DTCF被配置为检测由处理器MPU(通过应用 程序PSAP)发送的命令CMD是否可以触发来自包含将被?;さ氖莸?集成电路的响应。功能DTCF发送被传输到功能MSKF的滤波器使能信 号EN,信号EN的状态取决于每个命令CMD的内容。因此,如果由控制 器NFCC接收的命令CMD包含对将被?;さ氖?即必须不被传输到可 能安装在处理器MPU中的恶意程序MWAP的数据)的请求,则信号EN 处于活动状态。
    功能MSKF被配置为拦截由控制器NFCC接收自电路CI的所有响应 消息REP,并在信号EN处于不活动状态时将这些消息传输到处理器 MPU。当信号EN处于活动状态时,功能MSKF被配置为定位每个接收到 的响应消息REP中将被?;さ氖?。如果定位了将被?;さ氖?,则功能 MSKF生成与消息REP对应的经修改的消息REP’,但是其中所定位的将 被?;さ氖荼灰瞥?、加密或被用其它数据替换。然后,功能MSKF相应 地将消息REP或REP’传输到处理器MPU。
    功能DTCF还可以检测通信协议或事务类型或者甚至所传输的数据的 格式,然后将数据PRT(与协议、事务类型或所检测的数据的格式相关) 传输到功能MSKF,使功能MSKF能够定位将被?;さ氖?。然后,功能 MSKF可以根据协议、事务类型或由功能DTCF提供的数据PRT的格式 来实现定位将被?;さ氖莸牟煌δ?。
    附录1中的表格给出了命令和响应的示例,所述命令和响应可以在 Paypass Magstripe型事务期间在处理器MPU和集成电路CI之间被相继 交换。这些命令和响应由Europay,MasterCard and Visa(EMV)标准特 别定义。根据该类型的事务,处理器MPU相继发送以下命令:
    -SELECT PPSE(Paypass Payment System Environment),
    -SELECT AID(Application Identifier),
    -GPO(GET PROCESSING OPTIONS),
    -READ RECORD,以及
    -COMPUTE CRYPTOGRAPHIC CHECKSUM。
    如附录1所示,与系统HD进行NFC通信的电路CI提供对这些命令 中的每一个的响应。用于该类型的事务的应用协议数据单元(APDU)格 式规定了接收到的命令和由安全元件提供的响应的格式。根据该格式,命 令消息CMD包括以下字段:
    -CLA:类数据,
    -INS:指令,
    -P1:参数1,
    -P2:参数2,
    -Lc:数据字段的长度,
    -Data:数据字段,以及
    -Le:预期响应消息的长度(如果未确定,则为0)。
    根据APDU格式,对命令消息CMD的响应消息REP包括以下字段:
    -Data:数据字段,
    -SW1:状态数据1,以及
    -SW2:状态数据2。
    可以根据TLV格式(标签-长度-值)来构建命令和响应消息的数据字 段,值字段本身可能包括一个或多个嵌套的数据字段。
    在附录1中,“SELECT PPSE”命令使处理器MPU能够向电路CI 的处理器CPU指示其希望开始某种类型的事务。如果其具有专用于支付事 务的兼容应用,则处理器CPU通过提供包含应用(其能够在电路CI中执 行支付事务)的应用标识符AID的响应来响应该命令?;褂Ω米⒁?,如附 录1所指示的,对命令“SELECT PPSE”的响应可以包括4个嵌套的“值” 字段。例如,由处理器CPU提供的标识符AID“A0 00 00 00 04 10 10”的 值对应于能够执行MasterCard型借贷事务的应用。
    在接收到对“SELECT PPSE”命令的响应之后,如果处理器MPU具 有被处理器CPU要求以执行支付事务的专用应用,则处理器MPU发送 “SELECT AID”命令以在所述处理器CPU中激活与接收到的标识符AID 对应的应用。作为响应,所述处理器CPU发送消息以确认所述应用引用的 AID被激活。
    在接收到对“SELECT AID”命令的响应之后,处理器MPU发送 “GPO”(“GET PROCESSING OPTIONS”)命令。该命令使能使用 应用AID发起事务并获得关于所述事务的上下文的信息,所述事务使用应 用AID来执行并由处理器CPU激活,应用AID诸如是应用交互简档(AIP) 和应用文件定位器(AFL)。
    在接收到对GPO命令的响应之后,处理器MPU发送“READ  RECORD”命令。该命令使能从与事务相关的应用获得数据,该数据在 AFL中被引用作为与银行卡有关的数据(如果电路CI是银行卡的电路)。 如关于对“READ RECORD”命令的响应的附录1所指示的,电路CPU 以明文方式(未加密)传输主账号(PAN)、持有人姓名、银行卡有效期 限和服务代码(3个数字),即传输用于执行远程支付的所有必要信息。
    根据一个实施例,为了防止这种信息被安装在处理器MPU中的恶意 程序(MWAP)恢复,当与处理器MPU进行通信的处理器CPU可以发 送这种信息时,功能DTCF被配置为基于由处理器MPU发送的每个命令 来检测这种信息。当执行这种检测时,功能DTCF激活信号EN。
    根据一个实施例,功能DTCF被配置为检测触发或将要触发诸如支付 事务之类的敏感事务,例如方式为:确定“SELECT AID”命令的数据字 段是否与支付事务应用相对应。当信号EN活动时,功能MSKF被配置为 分析对接收到的“READ RECORD”命令的响应。通过在对该命令的响应 的头部中使用的值为“70”(以十六进制表示)的标签的存在,可以识别 这种响应(参看附录1)。一旦识别到这种响应,则功能MSKF被配置为 分析该响应以便检测在将被?;さ氖葜暗谋昵?。在附录1给出的示例 中,该标签等于“56”(以十六进制表示)。一旦定位了标签“56”,则 功能MSKF可以按以下方式将随后的数据(PAN、持有人姓名、有效期限、 验证码)替换为其它数据:根据TLV格式,遵循与标签“56”相关联的长 度字段的值。功能MSKF还可以改变与所述标签相关联的长度字段的值, 例如将其强制为任意值(诸如1),并用长度等于所述任意值的数据替换 将被?;さ氖?。功能DTCF被配置为:在事务的最后,或当接收到的新 命令不能导致处理器CPU提供将被?;さ氖菔?,停用信号EN。
    根据另一个实施例,在接收到由处理器MPU发送的每个命令CMD 之后,功能DTCF激活信号EN或停用信号EN,这取决于相应的能由处 理器CPU发送的响应消息REP是否可以包含将被?;さ氖?。因此,在 附录1中给出的示例中,在接收到“SELECT”-、“COMPUTE  CRYPTOGRAPHIC CHECKSUM”-和“GPO”型命令消息CMD之后, 所述功能停用信号EN,并在接收到“READ RECORD”型命令消息REP 之后激活该信号。
    应当注意,在没有任何位于组件NFCD之内或之外的安全元件的情况 下,可以保证数据?;?。
    图3示出了根据另一个实施例的组件NFCD1。组件NFCD1与组件 NFCD的区别在于:组件NFCD1包括控制器NFCC1和安全元件SE1???制器NFCC1可以包括寄存器以存储安全模式指示符SK,安全模式指示符 SK的值可以由处理器MPU修改。当激活安全模式时,控制器NFCC1将 通过其接口CLF接收到的所有响应路由到安全元件SE1,安全元件SE1 然后可能以经修改的形式将它们或不将它们重传到处理器MPU,这取决于 预先定义的规则。安全元件SE1然后可以实施安全功能以?;せ苄圆⒖?能?;ねü涌贑LF接收的数据的完整性。当修改指示符SK的值以停用 安全模式时,激活功能DTCF以检测对将被?;さ氖莸目赡芙邮詹⒓せ?功能MSKF(使用信号EN),以便检测这种数据的存在并将它们从重传 到处理器MPU的响应消息REP’中移除。
    应当注意,组件NFCD(图2中)还可以包括指示符SK,因为只有 当停用指示符SK时,功能DTCF是开启的。当该指示符被激活时,可以 通过与系统HD的安全元件SE建立的安全通道(经由图1中指示的链路 B3)传输由控制器NFCC接收到的响应消息。
    当响应消息REP包含将被?;さ氖菔?在控制器NFCC1不在被保 护的模式的情况下),功能MSKF可以将这种响应消息传输到安全元件 SE1,而不是从这种响应消息中移除将被?;さ氖?。安全元件SE1然后 可以采取任何适合的措施来?;ふ庵质?,诸如使用已知的安全程序(可 以在处理器MPU或远程服务器上安装)的加密密钥来加密该数据。
    图4示出了根据另一个实施例的组件NFCD2。组件NFCD2包括控制 器NFCC2并可选择地包括安全元件SE1??刂破鱊FCC2与图2或图3 中的控制器NFCC的区别在于:功能DTCF不是对接收自处理器MPU的 命令而是对通过接口CLF接收的响应消息执行其检测任务。然后可以将功 能DTCF和MSKF合并,或者可以移除功能DTCF。在附录1中给出的事 务的示例中,当标签“70”在所接收的响应消息的头部中出现时,功能DTCF 可以激活信号EN。该实施例在以下情况下特别适合:假设安装在电路CPU 中的应用能经由组件NFCD2与处理器MPU进行通信,并且这些应用能使 用事务协议和命令及响应的格式,可能由组件NFCD2接收的响应消息 REP的内容是清楚的。
    可以理解,图3中的实施例也可以执行仅在响应消息REP中的这种检 测。
    根据另一个实施例,功能DTCF和MSKF可以被配置为仅?;じ?某些事务协议或按照某些格式传输的数据。因此,在附录1给出的事务的 示例中,只有当标签“70”出现在接收到的响应消息的头部中时,功能DTCF 才能激活信号EN,而且在将接收到的响应消息重传到处理器MPU之前, 功能MSKF只能移除处于与标签“56”相关联的字段中的数据。
    可以这样规定,以便当控制器NFCC2的功能DTCF根据响应消息 REP的头数据检测到该响应消息可能包含被?;さ氖菔?,该功能执行对 该响应消息的格式控制。因此,在附录1中的示例中,当在响应消息REP 的头部中检测到标签“70”时,功能DTCF可以特别地检查在标签后提供 的消息长度值符合消息的数据字段的长度。以这种方式,功能DTCF可以 消除涉及响应消息的格式和内容的某些模糊性。
    在以上描述的所有实施例中,可以规定使用指示符SK并考虑该指示 符的值以激活功能DTCF。
    图5示出了图3中通过处理器MPU(和通信电路RCT)与远程服务 器TSRV进行通信的NFC系统。图5例如对应于使用安全元件SE1(而 不是电路CI)执行与服务器TSRV的事务。在此,组件NFCD1可能不包 括任何用于存储安全模式指示符SK的寄存器。
    根据一个实施例,在以下情况下,控制器NFCC1可以激活功能DTCF: 当具有安全元件SE1的处理器MPU发起事务时、当没有激活由指示符SK 指示的安全模式时、或者当不存在该指示符时。如上所述,在由处理器 MPU传输并且目的地是元件SE1的命令消息CMD中,功能DTCF检测 对这些命令的响应消息REP是否可能包含被?;さ氖?。如果是,则功能 DTCF激活功能MSKF,并在将在响应消息中检测到的任何数据传输到处 理器MPU之前将其加密,其中,功能MSKF检测由元件SE1提供的响应 消息中将被?;さ氖?。
    图6示出了图3中与NFC终端(RD)进行通信的NFC系统。在这种 情况下,组件NFCD以卡仿真模式工作。在该配置中,以下也是所希望的: 当经由非安全的近场通信链路RL传输由元件SE1存储的机密数据时,保 护该数据。在此再一次地,在以下情况下,控制器NFCC1可以激活功能 DTCF:当在终端RD与安全元件SE1之间发起事务时、当没有激活由指 示符SK指示的安全模式时、或者当不存在该指示符时。如上所述,在由 终端RD传输并且目的地是元件SE1的命令消息CMD中,功能DTCF检 测对这些命令的响应消息REP是否可能包含将被?;さ氖?。如果是,则 功能DTCF激活功能MSKF,并在将响应消息中检测到的任何数据传输到 处理器MPU之前将其加密,其中,功能MSKF检测由元件SE1提供的响 应消息中将被?;さ氖?。
    可以以应用或小应用的形式来产生功能DTCF和MSKF,其可以根据 传输协议或将被处理的数据的格式而改变。例如,除了应用之外,可以加 载命令消息和/或响应消息中的所有将被识别的标签。
    可以理解,在图5和图6的实施例中,可以由检测功能DTCF仅针对 响应消息REP执行将被?;さ氖莸募觳?。
    图7示出了步骤11到步骤35,其由处理器MPU、控制器NFCC1和 经由NFC链路与控制器NFCC1通信的外部处理器(图2至图5的实例) 执行。在图7的示例中,由安全元件SE1的应用EAPP执行对将被?;さ?数据的加密。元件SE1包括路由功能DSPT,路由功能DSPT将接收到的 命令路由到接收命令的元件SE1的应用。在步骤S11中,处理器MPU将 发起消息INIT TRT的事务传输到元件SE1。在步骤S12中,处理器MPU 将用于激活数据?;さ南TRT传输到控制器NFCC1。在步骤S13和 S14中,控制器NFCC1接收消息STRT并查询元件SE1以获得将被用于 检测将被?;さ氖莸谋昵┝斜?。在步骤S15中,元件SE1将待监视的标 签列表TGS传输到控制器NFCC1,待监视的标签列表TGS基于规定了事 务类型的消息INIT TRT来确定。
    在步骤S16中,处理器MPU将第一命令消息CMD传输到用于外部 处理器CI的控制器NFCC1。在步骤S17中,控制器NFCC1将消息CMD 重传到处理器CI。在步骤S18中,处理器CI发送响应消息REP。在步骤 S19中,控制器NFCC1接收消息REP,其测试是否存在将待?;さ氖?引入消息REP的标签。如果没有检测到将被?;さ氖?,则将未作任何修 改的消息REP传输到处理器MPU,否则控制器NFCC1执行步骤S20。 在步骤S20中,控制器NFCC1提取与在步骤S19中定位的每个标签相关 联的数据DT。在步骤S21和S22中,将由此提取的数据DT传输到安全 元件SE1。在步骤S23中,元件SE1使用加密功能Enc加密数据DT。在 步骤S24和S25中,将所获取的被加密的数据ED传输到控制器NFCC1。 在步骤S26中,控制器NFCC1接收被加密的数据ED并将其插入响应消 息REP以替换数据DT。在步骤S27中,控制器NFCC1将响应消息REP’ 传输到处理器MPU,消息REP’包含替换数据DT的数据ED。在步骤S28 中,处理器确定命令消息CMD是否是在步骤S11、S12中发起的事务的最 后一个消息。如果消息CMD不是所述事务的最后一个消息,则使用下一 个命令消息再次执行步骤S16到S28。
    如果处理器MPU确定消息CMD是所述事务的最后一个消息,则在 步骤S28中,其执行步骤S29。在步骤S29中,处理器MPU将请求在步 骤S23中使用的加密密钥标识符的消息传输到控制器NFCC1。在步骤S30 中,将该请求消息传输到元件SE1。在步骤S31中,元件SE1传输加密密 钥标识符KSN。标识符KSN可以例如包括元件SE1的标识符和事务计数 器值。在步骤S32中,控制器NFCC1将该标识符传输到处理器MPU。在 步骤S33中,处理器MPU将可能经修改的由处理器CI提供的所有响应消 息REP、REP’和密钥标识符KSN传输到专用于数据解密的中间服务器 GSRV。服务器GSRV根据接收到的标识符KSN确定解密密钥,解密密 钥使包含在接收到的经修改的消息REP’中的数据DT能够被解密。在步骤 S34中,服务器GSRV提取并解密在经修改的消息REP’中的数据EC,然 后恢复对应的消息REP并在步骤S35中将所有接收的和可能恢复的消息 REP传输到接收所述事务的服务器(例如TSRV)。
    在步骤S23中由元件SE1实施的加密功能Enc可以是保留格式加密 (FPE)式功能,FPE式功能保留数据的格式。功能ENC可以取决于将 被加密的数据的格式。因此,就由16个数字组成的银行卡号来说,仅可以 修改这16个数字中的一部分。根据一个示例,银行卡号的前6个数字被保 留以便能够将事务数据路由到发行该银行卡的银行??梢酝ü褂眉用苊?钥(可以由服务器GSRV根据标识符KSN确定),使用适合的加密算法 来加密所述银行卡号的其它数字的全部或一部分。加密算法可以是高级加 密标准(AES)或三重数字加密标准(3DES)。
    图7中的步骤还可以由图5和图6中的系统执行。在图5中的系统中, 使用元件SE1的应用而不是外部集成电路来执行事务(特别是步骤S17和 S18)。在图6的系统中,终端RD执行由处理器MPU执行的步骤,元件 SE1的应用执行由电路CI执行的步骤。
    本领域技术人员可以理解,本发明能够具有各种备选实施例和各种应 用。特别地,本发明还应用于其它敏感事务,诸如VISA qVSDC、VISA MSD  CVN17、VISA MSD Legacy、MasterCard M/Chip-Select 4、-Lite 4、 -Mobile、-Flex、American Express AEIPS、Discover D-PAS、日本信用卡 株式会社(JCB)、欧洲银行卡(CB)、欧洲货币支票、Maestro等。
    在符合EMV标准的事务中,响应于“READ RECORD”命令,传输 通过标签“9F1F”识别的“Track1Discretionary Data”数据字段或“Track2  Equivalent Data”数据字段。因此,功能DTCF可以在发送每个“READ  RECORD”命令之时激活功能MSKF,而功能MSKF可以尝试检测接收 到的响应消息中的标签“9F1F”。
    在VISA qVSDC型事务中,在通过标签“57”识别的“Track2  Equivalent Data”数据字段中传输将被?;さ氖?PAN、持有人姓名、 有效期限、服务代码等),该字段是响应于“GPO”式命令被传输的。因 此,功能DTCF可以在发送每个GPO”命令之时激活功能MSKF,并且 功能MSKF可以尝试检测在接收到的响应消息中是否存在标签“57”。在 能够处理VISA qVSDC、EMV和Paypass Magstripe型事务的NFC系统 的示例中,功能DTCF仅在发送“GPO”和“READ RECORD”命令消 息时才能激活信号EN。然后功能MSKF(当通过信号EN激活时)可以 被配置为在响应消息REP中搜索引入“Track1Discretionary Data”和 “Track2Equivalent Data”式数据字段的标签(“56”、“57”、“9F1F”)。
    另外,本申请也覆盖以上所述实施例的全部可能的组合。
    附录1(作为说明书的组成部分)
    PayPass Magstripe事务(Track 1)
    ·SELECT PPSE命令
    命令

    响应

    ·SELECT AID命令
    命令
    注释 00 A4 Command=SELECT 04 00 P1-P2 07 Length=7 A0 00 00 00 04 10 10 Value=AID 00 Response length
    响应

    ·GPO命令
    命令
    注释 80 A8 Command=GPO 00 00 P1–P2 02 Length=2 83 00 Value 00 Response length
    响应

    ·READ RECORD命令
    命令
    注释 00 B2 Command=READ RECORD 01 P1(Record number) 0C P2(Reference Control Parameter) 00 Response length
    响应

    1:卡验证码3
    2:不可预测的数字
    3:应用事务计数器
    ·COMPUTE CRYPTOGRAPHIC CHECKSUM命令
    命令
    注释 80 2A Command=Compute Cryptographic Checksum 8E P1 80 P2 04 Length=4 00 00 08 99 Value 00 Response length
    响应

    1:卡验证码3

    关于本文
    本文标题:用于?;ぴ贜FC系统中传输的敏感数据的方法.pdf
    链接地址://www.4mum.com.cn/p-5886990.html

    [email protected] 2017-2018 www.4mum.com.cn网站版权所有
    经营许可证编号:粤ICP备17046363号-1 
     


    收起
    展开
  • 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
  • 白山大嘴棋牌游戏 山东群英会走势图今天81期 哪些是正规的棋牌游戏大厅 江苏省体育彩票 排列3倍投计划 河南泳坛夺金481技巧 北京寨车PK10开奖结果 北京十一选五任五遗漏 360棋牌下载app送36 杀生肖技巧 极速十一选五走势图一定 正规棋牌平台排行榜 炒股的人 重庆幸运农场公式 北京pk10走势软件 亲朋棋牌根本赢不了